« September 2022 | Main | November 2022 »

October 2022

2022.10.31

公正取引委員会 経済産業省 サプライチェーン全体のサイバーセキュリティ向上のための取引先とのパートナーシップの構築に向けて

こんにちは、丸山満彦です。

公正取引委員会と経済産業省が、「サプライチェーン全体のサイバーセキュリティ向上のための取引先とのパートナーシップの構築に向けて」という発表をしていますね。。。

サプライチェーン全体でセキュリティを向上する際に、取引先にもセキュリティ対応をしてもらう必要がある場合がありますが、その際に優越的地位の濫用にならないようにしないとね。。。ということで、経済産業省と公正取引委員会が協力して検討してくれたんですかね。。。ホワイトリストは作りにくいので、ブラックになりそうな例の提示という感じですかね。。。(これは、個人情報保護法のガイドラインを最初に作った時の考え方と同じ...)

次は、国税庁と寄附金認定されないようにするためのガイドか...(^^)

 

経済産業省

・[PDF] 「サプライチェーン全体のサイバーセキュリティの向上のための取引先とのパートナーシップの構築に向けて(概要)」

・[PDF] 「サプライチェーン全体のサイバーセキュリティ向上のための取引先とのパートナーシップの構築に向けて」

 

公正取引委員会

・2022.10.28 サプライチェーン全体のサイバーセキュリティ向上のための取引先とのパートナーシップの構築に向けて

 

興味深いのは、


第3 取引先との関係構築

1 パートナーシップ構築宣言

 「パートナーシップ構築宣言」は、サプライチェーンの取引先や価値創造を図る事業者の皆様との連携・共存共栄を進めることで、新たなパートナーシップを構築することを、「発注者」側の立場から企業の代表者の名前で宣言するものである。
 宣言に際し、発注側企業の取引先に対するサイバーセキュリティ対策の助言・支援等は、サプライチェーン全体の共存共栄と規模・系列等を超えた新たな連携の一つとして例示されていることに加え、下請振興基準にも記載されており、「第2」に示した施策の活用促進をはじめとして、「発注者」側の立場の企業の積極的な対応が期待される。


 

というところですかね。。。で、「第2」というのが、次の通りです。


2 取引先への対策の支援・要請についての考え方

...

(1)取引の対価の一方的決定

 取引上の地位が相手方に優越している事業者が、取引の相手方に対し、サイバーセキュリティ対策の要請を行い、サイバーセキュリティ対策の実施によって取引の相手方に生じるコスト上昇分を考慮することなく、一方的に著しく低い対価を定める場合には、独占禁止法上問題となります。
 このため、違反行為の未然防止を図る観点からは、積極的に価格の交渉の機会を設け、取引の相手方と十分に協議を行い、サイバーセキュリティ対策の内容や費用負担の在り方を決定することが望まれます。
 例えば、取引上の地位が相手方に優越している事業者が、次のような方法で取引価格を据え置くことは、独占禁止法上問題となるおそれがあるため注意が必要です。
○ 取引の相手方に対し、有償のセキュリティサービスの利用やセキュリティの認証の取得を要請したにもかかわらず、コスト上昇分の取引価格への反映の必要性について、価格の交渉の場において明示的に協議することなく、従来どおりに取引価格を据え置くこと
○ 取引の相手方に対し、セキュリティ対策責任者の設置、従業員へのセキュリティ教育の実施、サイバー攻撃による被害発生時における自らが定めた対処フローの遵守など、セキュリティ体制の構築を要請した結果、人件費などのコスト上昇を理由とする取引価格の引上げを求められたにもかかわらず、それに応じない理由を書面、電子メール等で取引の相手方に回答することなく、従来どおりに取引価格を据え置くこと
 

 また、下請法の規制対象となる取引において、親事業者が下請事業者に対し、下請事業者に生じるコスト上昇分を考慮することなく、著しく低い下請代金の額を不当に定めた場合には、下請法上の「買いたたき」として問題となります。

 (2)セキュリティ対策費の負担の要請

 取引上の地位が相手方に優越している事業者が、取引の相手方に対し、セキュリティ対策費などの名目で金銭の負担を要請し、当該セキュリティ対策費の負担額及びその算出根拠等について、取引の相手方との間で明確になっておらず、取引の相手方にあらかじめ計算できない不利益を与えることとなる場合や、取引の相手方が得る直接の利益等を勘案して合理的であると認められる範囲を超えた負担となり、取引の相手方に不利益を与えることとなる場合には、独占禁止法上問題となります。
 また、下請法の規制対象となる取引において、親事業者が下請事業者に対し、自己のために金銭、役務その他の経済上の利益を提供させることによって、取引先の利益を不当に害する場合には、下請法上の「不当な経済上の利益の提供要請」として問題となります。

 (3)購入・利用強制

 取引上の地位が相手方に優越している事業者が、取引の相手方に対し、サイバーセキュリティ対策の実施の要請に際して、合理的な必要性がないにもかかわらず、自己の指定する商品の購入や役務の利用を強制する場合には、独占禁止法上問題となります。例えば、取引の相手方が、サイバーセキュリティ対策の実施の要請を受け、当該要請と同等又はそれ以上のサイバーセキュリティ対策を講じているため、新たなセキュリティサービスを利用する必要がないにもかかわらず、自己の指定する事業者が提供するより高価なセキュリティサービスを利用することを要請し、当該事業者から利用させることは、独占禁止法上問題となります。
 また、下請法の規制対象となる取引において、親事業者が下請事業者に対し、正当な理由がある場合を除き、自己の指定する物を強制して購入させ、又は役務を強制して利用させる場合には、下請法上の「購入・利用強制」として問題となります


 

1_20221031120601

 

 

| | Comments (0)

経済産業省 ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン(個別編:空調システム)第1版 (2022.10.24)

こんにちは、丸山満彦です。

経済産業省が、「ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン(個別編:空調システム)第1版」を公表していますね。。。5月にパブコメを募集していたものが、確定したものです。(パブコメの時、このブログで紹介するのを失念していたようです。。。)

経済産業省

・2022.10.24 ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン(個別編:空調システム)第1版

 ・[PDF] ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン(個別編:空調システム)第1版

20221031-54648

目次...

1. はじめに
1.1.
ガイドライン(個別編:空調システム)を策定する目的
1.2.
対象とする空調システム(空調システムの定義)
1.3.
ガイドライン(個別編:空調システム)の位置付け

2. 空調システムを巡る状況
2.1.
空調システムで起こりうる攻撃パターンと対応の考え方
2.2.
実際のサイバー攻撃事例
 2.2.1.
ネットワークビジーで中央監視盤がシステムダウンした事例
 2.2.2. 空調機コントローラが不正アクセスによりデータを消失した事例
 2.2.3. 空調専用コントローラがマルウェア(ランサムウェア)に感染した事例

3. 空調システムにおけるサイバーセキュリティ対策の考え方
3.1.
セントラル空調方式のセキュリティ対策
3.2.
個別分散空調方式のセキュリティ対策
 3.2.1.
個別分散空調システムのセキュリティ対策事例
 3.2.1.1. 空調システムの管理

4. ビルシステムにおけるリスクと対応ポリシー
4.1.
空調システムの管理策

5. ライフサイクルを考慮したセキュリティ対応策

付録 A 空調システムの種類
付録 B 参考文献


 ・[PDF] ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン(個別編:空調システム)第1版別紙

20221031-54825

ビル空調システムのライフサイクル

  1. 設計・仕様 (Method/Measure):
  2. 建設 (Building)
  3. 竣工検査 (Completion inspection)
  4. 運用 (Operation)
  5. 改修・廃棄 (Reforming)

 


 

関連

経済産業省

・2019.06.17 ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン第1版を策定しました

20221031-60210

20221031-60346

  関連リンク

 

 

調査報告書...

・2022.07.14 ビルシステムのサイバーセキュリティ高度化に向けた調査 報告書 

20220716-71146

 

1. はじめに
1.1 調査背景・目的
1.2 調査実施概要

2. ビルガイドラインの高度化のための調査
2.1 ビルの空調設備システムの対応策に関する調査
2.2 共通ガイドラインの拡充に向けた調査
 インシデントレスポンスに対する要求の整理
 現在のガイドラインへの追加情報の充実化
 ビルシステム及び関連するシステムへの攻撃事例の収集

3. ビルシステムのサイバーセキュリティ推進体制の調査
3.1 推進体制の情報提供・共有・相談等の機能の実践的評価
3.2 推進体制のあり方の調査

4. 検討会の運営
4.1 ビルSWGの運営
 第12回ビル SWG の運営
 第13回ビル SWG の運営
4.2 作業グループの運営
 小グループ検討会(空調編作業グループ)の実施
 小グループ検討会(インシデントレスポンス作業グループ)の実施
 小グループ検討会(情報共有・推進体制ディスカッション)の実施

5. 総括

 


 

 

| | Comments (0)

ドイツ 連邦情報セキュリティ局 (BSI) ドイツにおける ITセキュリティの現状 2022年 (2022.10.25)

こんにちは、丸山満彦です。

ドイツ連邦情報セキュリティ局 (BSI) が2022年版「ドイツにおける ITセキュリティの現状」を公表していますね。。。

分野ごとの脅威Top3

社会 経済 国家と行政
個人情報保護 ランサムウェア ランサムウェア
セキストラクション 脆弱性、オープン又は設定ミスのあるオンラインサーバー APT
インターネット上の偽店 ITサプライチェーン:依存関係とセキュリティ 脆弱性、オープン又は設定ミスのあるオンラインサーバー

 

Bundesamt für Sicherheit in der Informationstechnik: BSI 

・2022.10.25 BSI-Lagebericht 2022: Gefährdungslage im Cyber-Raum hoch wie nie

BSI-Lagebericht 2022: Gefährdungslage im Cyber-Raum hoch wie nie BSI状況報告書2022:サイバー空間における脅威の状況はかつてないほど高まっている
Im Berichtszeitraum von Juni 2021 bis Mai 2022 hat sich die bereits zuvor angespannte Lage weiter zugespitzt. 2021年6月から2022年5月までの報告期間において、すでに緊迫した状況はさらに深刻化している。
Die Gründe für die hohe Bedrohungslage sind anhaltende Aktivitäten im Bereich der Cyber-Kriminalität, Cyber-Angriffe im Kontext des russischen Angriffs auf die Ukraine und auch in vielen Fällen eine unzureichende Produktqualität von IT- und Software-Produkten. 脅威が高い状況の理由は、継続的なサイバー犯罪活動、ロシアのウクライナ攻撃を背景としたサイバー攻撃、さらに多くの場合、ITおよびソフトウェア製品の品質が不十分であることである。
Bundesinnenministerin Nancy Faeser: „Die seit dem russischen Angriffskrieg auf die Ukraine anhaltend erhöhte Cyber-Bedrohungslage erfordert eine strategische Neuaufstellung und deutliche Investitionen in unsere Cyber-Sicherheit. Die Cyber-Sicherheitsagenda des BMI bildet die für uns wesentlichen Ziele und Maßnahmen ab. Hier wollen wir als BMI noch in dieser Legislaturperiode wesentliche Fortschritte erreichen und die Cyber-Sicherheit auf ein neues Level heben. Die Modernisierung unserer Cyber-Sicherheitsarchitektur mit dem Ausbau des BSI zur Zentralstelle, der weitere Ausbau und die Erneuerung von Netzen und IT-Systemen der Verwaltung, die Stärkung der Sicherheitsbehörden zur Verfolgung von Cyber-Crime sowie die Verbesserung der Abwehrfähigkeiten gegen Cyber-Angriffe sind wichtige und notwendige Schritte für eine eng verzahnte föderale Cyber-Abwehr und eine effektive und effiziente Aufstellung im Cyber-Raum.“ ナンシー・フェーザー連邦内務大臣:「ロシアのウクライナ侵略戦争以来、持続的に高まっているサイバー脅威の状況は、戦略的な再配置とサイバーセキュリティへの大規模な投資を必要としている。連邦内務省のサイバーセキュリティアジェンダは、私たちにとって必要不可欠な目標と対策の概要を示している。連邦内務省として、この立法期間中にこの分野で大きな進展を遂げ、サイバーセキュリティを新たなレベルに引き上げたいと考えている。BSIの中央オフィスへの拡張、行政のネットワークとITシステムのさらなる拡張と更新、サイバー犯罪の訴追のためのセキュリティ当局の強化、サイバー攻撃に対する防衛能力の向上など、サイバーセキュリティ・アーキテクチャの近代化は、緊密に連携した連邦サイバー防衛とサイバー空間における効果的かつ効率的な位置付けのために重要かつ必要な措置である。」
Jede Schwachstelle in Soft- oder Hardware-Produkten ist ein potenzielles Einfallstor für Angreifer und gefährdet die Informationssicherheit in Verwaltung, Wirtschaft und Gesellschaft. Im Jahr 2021 wurden über 20.000 Schwachstellen in Software-Produkten registriert. Das entspricht einem Zuwachs von 10 % gegenüber dem Vorjahr. ソフトウェアやハードウェア製品に存在するあらゆる脆弱性は、攻撃者にとっての潜在的な入り口であり、行政、経済、社会における情報セキュリティを脅かすものである。2021年には、ソフトウェア製品に2万件以上の脆弱性が登録された。これは、前年度比10%の増加に相当する。
Vizepräsident des BSI, Dr. Gerhard Schabhüser: „Die Bedrohungslage im Cyber-Raum ist angespannt, dynamisch und vielfältig und damit so hoch wie nie. In einer digitalisierten Welt hängt das Wohlergehen der Bevölkerung stärker als jemals zuvor davon ab, wie gut wir uns gegen IT-Sicherheitsvorfälle gerüstet haben. Jedes Computersystem, das nicht gehackt werden kann, jede digitale Dienstleistung, die nicht gestört werden kann, ist ein elementarer Beitrag zu einer funktionierenden digital vernetzten Gesellschaft. Mit den richtigen Maßnahmen können wir der Bedrohungslage begegnen. Wir dürfen beim Thema Cyber-Sicherheit keinen Deut nachlassen.“ BSI副会長 ゲルハルト・シャブヒューザー博士:「サイバー空間における脅威の状況は、緊迫し、ダイナミックで多様であるため、これまでになく高まっている。デジタル化された世界では、国民の幸福度は、ITセキュリティインシデントに対する備えがどれだけできているかに、これまで以上に左右されることになる。ハッキングされないコンピュータシステム、中断されないデジタルサービス、これらはすべてデジタルネットワーク社会が機能するための基本的な貢献である。適切な対策を講じることで、脅威の状況に対抗することができるのである。サイバーセキュリティの問題には一歩も手を緩めてはいけない。」
Ransomware-Angriffe, also Cyber-Angriffe auf Unternehmen, Universitäten und Behörden, mit dem Ziel, Lösegeld zu erpressen, gilt aktuell als größte Bedrohung im Cyber-Bereich. So ist es im Berichtszeitraum zu mehreren Ransomware-Vorfällen gekommen bei denen Kommunen in Deutschland angegriffen wurden. Zum ersten Mal in der deutschen Geschichte wurde in Folge eines Cyber-Angriffs von der betroffenen Kommune der Katastrophenfall ausgerufen. ランサムウェア攻撃とは、身代金の強奪を目的とした企業や大学、当局に対するサイバー攻撃で、現在サイバーセクターにおける最大の脅威と考えられている。報告期間中、ドイツの自治体が攻撃を受けたランサムウェア事件が数件発生した。ドイツ史上初めて、サイバー攻撃によって被害を受けた自治体から災害宣言が出されたのである。
Cyber-Sicherheit ist ein wesentlicher Aspekt der Daseinsvorsorge und dient unmittelbar dem Schutz von Bürgerinnen und Bürger. サイバーセキュリティは、一般消費者向けのサービスには欠かせないものであり、市民の保護に直接役立つものである。

 

・2022.10.25 Die Lage der IT-Sicherheit in Deutschland 2022

Die Lage der IT-Sicherheit in Deutschland 2022 ドイツにおけるITセキュリティの現状 2022
Mit seinem Bericht zur Lage der IT-Sicherheit in Deutschland legt das Bundesamt für Sicherheit in der Informationstechnik (BSI) als die Cyber-Sicherheitsbehörde des Bundes jährlich einen umfassenden Überblick über die Bedrohungen im Cyber-Raum vor. In diesem Jahr bewertet der Bericht auch die IT-Sicherheitslage im Kontext des russischen Angriffskrieges auf die Ukraine. ドイツ連邦情報セキュリティ局(BSI)は、連邦政府のサイバーセキュリティ当局として、毎年、ドイツのITセキュリティの現状に関する報告書を発表し、サイバー空間における脅威の包括的な概要を示している。今年は、ロシアのウクライナ侵略戦争を背景としたITセキュリティの状況も評価している。
IT-Sicherheitslage spitzt sich zu ITセキュリティの状況は頭打ちになる
Insgesamt spitzte sich im Berichtszeitraum die bereits zuvor angespannte Lage weiter zu. Die Bedrohung im Cyber-Raum ist damit so hoch wie nie. Im Berichtszeitraum wurde – wie schon im Vorjahr – eine hohe Bedrohung durch Cybercrime beobachtet. Hinzu kamen verschiedene Bedrohungen im Zusammenhang mit dem russischen Angriffskrieg auf die Ukraine. 全体として、すでに緊張状態にあった状況は、報告期間中に悪化した。このように、サイバー空間における脅威はかつてないほど高まっている。この報告期間中、前年度と同様に、サイバー犯罪による高い脅威が観察された。さらに、ロシアのウクライナ侵略戦争に関連して、さまざまな脅迫があった。
Russischer Angriffskrieg gegen die Ukraine ロシアによるウクライナへの侵略戦争
Bislang gab es in Deutschland in Zusammenhang mit dem Angriffskrieg Russlands gegen die Ukraine eine Ansammlung kleinerer Vorfälle und Hacktivismus-Kampagnen. Beispiele hierfür waren der Ausfall der Fernwartung in deutschen Windkraftanlagen nach dem Angriff auf ein Unternehmen der Satellitenkommunikation und ein Hacktivismus-Angriff auf deutsche Mineralölhändler mit russischem Mutterkonzern. Eine übergreifende Angriffskampagne gegen deutsche Ziele war nicht ersichtlich. Die Lage im Cyber-Raum von NATO-Partnern war dagegen teilweise angespannt und in der Ukraine teilweise existenzbedrohend kritisch . これまでドイツでは、ロシアのウクライナ侵略戦争に関連して、小規模な事件やハクティビズム・キャンペーンが積み重ねられてきました。例えば、衛星通信会社が攻撃されてドイツの風力発電機の遠隔保守ができなくなったり、ロシアを親会社とするドイツの石油商社がハクティビズム攻撃を受けたりした。ドイツの目標に対する包括的な攻撃作戦は明らかにされていない。一方、NATO加盟国のサイバー空間における状況は、ウクライナでは国の存立を脅かすほど緊迫したケースもあり、危機的な状況であった。
Cyber-Erpressung bleibt eine der größten Bedrohungen サイバー恐喝は依然として最大の脅威の一つである
Ransomware blieb die Hauptbedrohung besonders für Unternehmen. Die im vergangenen Berichtszeitraum beobachtete Ausweitung von Methoden der Erpressungsmethoden im Cyber-Raum hat sich im aktuellen Berichtszeitraum fortgesetzt. Insbesondere das sogenannte Big Game Hunting, also die Erpressung umsatzstarker Unternehmen mit verschlüsselten und exfiltrierten Daten, hat weiter zugenommen. Sowohl die von IT-Sicherheitsdienstleistern berichteten Lösegeld- und Schweigegeld-Zahlungen als auch die Anzahl der Opfer, deren Daten etwa wegen ausbleibender Zahlungen auf Leak-Seiten veröffentlicht wurden, sind weiter gestiegen. Das nicht nur Unternehmen Ziel von Ransomware-Angriffen sind, zeigt eindrücklich der folgenschwere Angriff auf eine Landkreisverwaltung in Sachsen-Anhalt: Erstmals wurde wegen eines Cyber-Angriffs der Katastrophenfall ausgerufen. Bürgernahe Dienstleistungen waren über 207 Tage lang nicht oder nur eingeschränkt verfügbar. ランサムウェアは、特に企業にとって主要な脅威であることに変わりはない。前回の報告期間中に見られたサイバー空間における恐喝の手法の拡大は、今回の報告期間でも継続された。特に、いわゆる大物狩り、つまり暗号化され流出したデータで高収益の企業を強奪するケースが増え続けているのである。ITセキュリティサービスプロバイダーが報告する身代金や口止め料の支払いも、支払いがないために漏洩サイトなどでデータが公開された被害者も、ともに増え続けている。ランサムウェアの攻撃対象が企業だけではないことは、ザクセン=アンハルト州の行政機関が深刻な攻撃を受け、初めてサイバー攻撃による災害事態が宣言されたことからも印象的に示されている。207日間、市民に身近なサービスが利用できなかったり、限られた範囲でしか利用できなかったりした。
Zahl der Schwachstellen steigt weiter 増加し続ける脆弱性の数
Im Jahr 2021 wurden zehn Prozent mehr Schwachstellen in Software-Produkten bekannt als im Vorjahr. Mehr als die Hälfte von ihnen wiesen hohe oder kritische Scores nach dem Common Vulnerability Scoring System (CVSS) auf. Als kritisch wurden 13 Prozent der Schwachstellen bewertet. Zu ihnen zählt die Schwachstelle in Log4j, da sich diese in vielen frei verfügbaren Software-Bausteinen befand. IT-Sicherheitsverantwortliche konnten daher in der Regel nur schwer einschätzen, ob die von ihnen eingesetzte Software die Schwachstelle aufwies. Aufgrund der hohen Verbreitung von Log4j war von einer großen Angriffsfläche für Cyber-Angriffe auszugehen. 2021年には、ソフトウェア製品の脆弱性が前年より10%多く知られるようになった。そのうちの半数以上は、CVSS(Common Vulnerability Scoring System)によるスコアが「高」または「重大」であった。13%の脆弱性が「重要」と評価された。Log4jの脆弱性もその一つで、自由に利用できるソフトウェア部品に多く見受けられたからである。 そのため、ITセキュリティ管理者は、通常、使用しているソフトウェアに脆弱性があるかどうかを判断することは困難であった。Log4jの分布が多いため、サイバー攻撃の攻撃対象が多いと想定される。
DDoS-Angriffe und Advanced Persistent Threats (APT) nehmen zu DDoS攻撃とAPT(Advanced Persistent Threat)が増加中
Im aktuellen Berichtszeitraum waren vermehrt Angriffe auf Perimeter-Systeme, wie zum Beispiel Firewalls oder Router zu beobachten. Während gezielte APT-Angriffe mittels Schadprogrammen in E-Mails in der Regel hohen Aufwand erfordern, sind Perimeter-Systeme direkt aus dem Internet erreichbar, vergleichsweise schlecht geschützt und daher leichter angreifbar. Mehr und mehr scannen APT-Gruppen das Internet nach bekannten Schwachstellen in Perimeter-Systemen, für die noch keine Patches verfügbar sind, um diese gezielt angreifen zu können. 今回の報告期間では、ファイアウォールやルーターなどの境界システムに対する攻撃が多く観測された。電子メールにマルウェアを仕込んだ標的型攻撃は、通常、多大な労力を必要とするが、境界システムはインターネットから直接アクセスでき、比較的防御が甘いため、攻撃されやすいといえます。APTグループは、境界システムの既知の脆弱性のうち、まだパッチが提供されていないものをインターネット上でスキャンし、特別に攻撃できるようにするケースが増えている。
Auch die Zahl der Distributed Denial of Service-Angriffe (DDoS-Angriffe) hat nach Berichten verschiedener Mitigationsdienstleister weiter zugenommen. So verzeichnete etwa der deutsche Dienstleister Link11 für das Jahr 2021 einen Anstieg der DDoS-Angriffe um rund 41 Prozent im Vergleich zum Vorjahr. Insbesondere rund um das jährliche Onlineshopping-Event Cyber Week und in der Vorweihnachtszeit waren spürbar mehr Angriffe zu beobachten. Rund um die Cyber Week 2021 hat sich die Zahl der DDoS-Angriffe gegenüber der Cyber Week 2020 verdoppelt. また、各ミティゲーション・サービス・プロバイダーからの報告によると、分散型サービス拒否攻撃(DDoS攻撃)の件数も増加し続けているとのことである。例えば、ドイツのサービスプロバイダーであるLink11は、2021年に前年比約41%のDDoS攻撃の増加を記録している。特に、毎年恒例のネット通販イベント「サイバーウィーク」の前後や、クリスマスまでの間に、顕著に多くの攻撃が観測された。2021年のサイバーウィーク前後には、2020年のサイバーウィークと比較してDDoS攻撃の件数が2倍に増加した。
Zeitenwende für "Cyber-Sicherheit made in Germany" 「ドイツにおけるサイバーセキュリティ」の転換点
Die beschleunigte Digitalisierung in allen Bereichen des alltäglichen Lebens – von den Lieferketten der international agierenden Konzerne, den Geschäftsprozessen auch in kleinen und kleinsten Unternehmen über die Dienstleistungen öffentlicher Institutionen bis hin zu den digitalen Anwendungen, die fast jede Bürgerin und jeder Bürger täglich im Alltag nutzt – macht auch bei der "Cyber-Sicherheit made in Germany" eine Zeitenwende notwendig. 国際的に事業展開する企業のサプライチェーン、中小企業でもビジネスプロセス、公共機関のサービス、ほぼすべての市民が毎日利用するデジタルアプリケーションなど、日常生活のあらゆる分野でデジタル化が加速しており、「メイド・イン・ジャーマニー」のサイバーセキュリティにも転換が必要となっている。
Denn das vergangene Jahr hat gezeigt, dass unvorhergesehene Ereignisse die Bedrohungslage auf ein neues Level heben können und Kollateralschäden durch Cyber-Angriffe in Nachbarländern auch unmittelbare Auswirkungen auf Deutschland haben können. All dies macht deutlich, dass präventive IT-Sicherheitsmaßnahmen die wirkungsvollsten IT-Sicherheitsmaßnahmen sind. Jedes Computersystem, das nicht gehackt werden kann, jede IT-basierte Dienstleitung, die nicht gestört werden kann, ist ein elementarer Beitrag zu einer funktionierenden digital vernetzten Gesellschaft. Vor diesem Hintergrund ist die von der Bundesregierung geplante Modernisierung der Cyber-Sicherheitsarchitektur und der Ausbau des BSI zur Zentralstelle für Informationssicherheit im Bund-Länderverhältnis ein wichtiger Schritt für eine eng verzahnte föderale Cyber-Abwehr. この1年で、不測の事態が脅威の状況を新たなレベルに引き上げ、近隣諸国のサイバー攻撃の巻き添えがドイツにも直接影響を及ぼすことが明らかになった。これらのことから、予防的なITセキュリティ対策が最も効果的なITセキュリティ対策であることは明らかである。ハッキングされないコンピュータシステム、中断されないITベースのサービスは、デジタルネットワーク社会が機能するための初歩的な貢献である。このような背景から、連邦政府が計画しているサイバーセキュリティ・アーキテクチャーの近代化、およびBSIの連邦国家関係における情報セキュリティの中央機関への拡大は、緊密に連動した連邦サイバー防衛にとって重要なステップとなる。

 

・2022.10.25 Die Lage der IT-Sicherheit in Deutschland 2022

Die Lage der IT-Sicherheit in Deutschland 2022 ドイツにおけるITセキュリティの現状 2022
Der Bericht zur Lage der IT-Sicherheit in Deutschland 2022 beschreibt und analysiert die aktuelle IT-Sicherheitslage, auch anhand konkreter Beispiele und Vorfälle. Daraus abgeleitet stellen wir die Angebote und Lösungsansätze des BSI zur Verbesserung der IT-Sicherheit in Deutschland vor. 2022年ドイツのITセキュリティの現状について、具体的な事例やインシデントも踏まえて解説・分析したレポートである。そこから導き出された、ドイツにおけるITセキュリティ向上のためのBSIの提案とソリューションへのアプローチを紹介する。

 

  ・[PDF] Die Lage der IT-Sicherheit in Deutschland 2022

20221031-02755

 

目次...

Vorwort Nancy Faeser, Bundesministerin des Innern und für Heimat 序文 Nancy Faeser(連邦内務大臣) 内務・内政担当大臣
Vorwort Dr. Gerhard Schabhüser, Vizepräsident des Bundesamts für Sicherheit in der Informationstechnik 序文 連邦情報セキュリティ局副局長 ゲルハルト・シャブヒューザー博士
1 Gefährdungen der Cyber-Sicherheit in Deutschland 1 ドイツにおけるサイバーセキュリティへの脅威
1.1 Zusammenfassung und Bewertung 1.1 概要と評価
1.2 Schadprogramme 1.2 マルウェア
1.2.1 Neue Schadprogramm-Varianten 1.2.1 新しいマルウェアの亜種
1.2.2 Ransomware 1.2.2 ランサムウェア
1.2.3 Botnetze 1.2.3 ボットネット
1.2.4 Spam und Phishing 1.2.4 スパムとフィッシング
1.2.5 Social Bots 1.2.5 ソーシャルボット
1.3 Schwachstellen 1.3 脆弱性
1.3.1 Schwachstellen in Software-Produkten 1.3.1 ソフトウェア製品における脆弱性
1.3.2 Schwachstellen in Hardware-Produkten 1.3.2 ハードウェア製品における脆弱性
1.4 Advanced Persistent Threats 1.4 アドバンスドパーシステントスレット
1.5 Distributed Denial of Service 1.5 分散型サービス拒否(DOS)
1.6 Angriffe im Kontext Kryptografie 1.6 暗号の文脈における攻撃
1.7 Hybride Bedrohungen 1.7 ハイブリッドの脅威
1.8 Cyber-Sicherheitslage im Kontext des russischen Angriffskrieges gegen die Ukraine 1.8 ロシアのウクライナ侵略戦争を背景としたサイバーセキュリティの状況
2 Zielgruppenspezifische Erkenntnisse und Maßnahmen 2 ターゲットグループ別の知見と対策
2.1 Gesellschaft 2.1 社会
2.1.1 Erkenntnisse zur Gefährdungslage in der Gesellschaft 2.1.1 社会における脅威の状況についての所見
2.1.2 Digitaler Verbraucherschutz 2.1.2 デジタル消費者保護
2.1.3 IT-Sicherheitskennzeichen 2.1.3 ITセキュリティラベル
2.1.4 Information und Sensibilisierung von Verbraucherinnen und Verbrauchern 2.1.4 消費者への情報提供と意識啓発
2.1.5 Projekt „Dialog für Cyber-Sicherheit“ 2.1.5 「サイバーセキュリティーのための対話」プロジェクト
2.1.6 Sicherheit im Internet der Dinge, im Smart Home und in Smart Cities 2.1.6 モノのインターネット、スマートホーム、スマートシティーにおけるセキュリティ
2.1.7 Sicherheit im Gesundheitswesen 2.1.7 保健分野でのセキュリティ
2.1.8 Sichere Gestaltung virtueller Versammlungen und Abstimmungen 2.1.8 バーチャル会議と投票の安全性確保
2.1.9 Sicherheit von Bezahlverfahren 2.1.9 支払手続きのセキュリティ
2.1.10 Zwei-Faktor-Authentisierung 2.1.10 二要素認証
2.1.11 Bewertung von elektronischen Identifizierungsverfahren 2.1.11 電子的な本人確認手続きの評価
2.1.12 Sichere elektronische Identitäten auf dem Smartphone 2.1.12 スマートフォンでの電子IDの保護
2.1.13 Mediale Identitäten 2.1.13 メディア・アイデンティティ
2.1.14 Moderne Messenger für sichere Kommunikation 2.1.14 安全な通信を実現するモダンメッセンジャー
2.2 Wirtschaft 2.2 経済
2.2.1 Erkenntnisse zur Gefährdungslage in der Wirtschaft 2.2.1 経済における脅威の状況についての所見
2.2.2 Gefährdungslage Kritischer Infrastrukturen 2.2.2 重要インフラストラクチャーの脆弱性
2.2.3 UP KRITIS 2.2.3 アップクリッツ
2.2.4 Unternehmen im Fokus der europäischen und deutschen Cyber-Sicherheits-Regulierung 2.2.4 欧州とドイツのサイバーセキュリティ規制で注目される企業
2.2.5 Besondere Situation der KMU in Deutschland 2.2.5 ドイツにおける中小企業の特殊な状況
2.2.6 Cyber-Sicherheit im Automobilbereich 2.2.6 自動車産業におけるサイバーセキュリティ
2.2.7 Cyber-Sicherheit im Luftverkehr 2.2.7 航空輸送におけるサイバーセキュリティ
2.2.8 Digitalisierung der Energiewirtschaft 2.2.8 エネルギー産業のデジタル化
2.2.9 Cyber-Sicherheit in der industriellen Versorgungskette 2.2.9 産業用サプライチェーンにおけるサイバーセキュリティ
2.2.10 Moderne Telekommunikationsinfrastrukturen (5G/6G) 2.2.10 最新の通信インフラ(5G/6G)
2.2.11 Sicherheit von Cloud-Diensten 2.2.11 クラウドサービスにおけるセキュリティ
2.2.12 Technische Sicherheitseinrichtung für elektronische Aufzeichnungssysteme 2.2.12 電子記録システムのための技術的セキュリティ装置
2.2.13 Überführung der Produktzertifizierung in den europäischen Rechtsakt zur Cyber-Sicherheit 2.2.13 製品認証のサイバーセキュリティに関する欧州の法律行為への移行
2.2.14 IT-Grundschutz 2.2.14 IT関連サービス
2.2.15 Allianz für Cyber-Sicherheit 2.2.15 アライアンス・フォー・サイバー・セキュリティ
2.2.16 Cyber-Sicherheitsnetzwerk 2.2.16 サイバーセキュリティネットワーク
2.2.17 Sonstige Lösungen für die Wirtschaft 2.2.17 経済に関するその他の解決策
2.3 Staat und Verwaltung 2.3 国家と行政
2.3.1 Die Gefährdungslage in der Bundesverwaltung 2.3.1 連邦政府における脅威の状況
2.3.2 Computer Emergency Response Team für Bundesbehörden 2.3.2 連邦政府機関向けコンピュータ緊急対応チーム
2.3.3 Nationales Verbindungswesen 2.3.3 国内リエゾン体制
2.3.4 Zusammenarbeit mit Ländern und Kommunen 2.3.4 州・自治体との連携
2.3.5 Cyber-Sicherheit von Landtagswahlen 2.3.5 国政選挙のサイバーセキュリティ
2.3.6 Informationssicherheitsberatung 2.3.6 情報セキュリティコンサルティング
2.3.7 Geheimschutzberatung zu VS-IT 2.3.7 VS-ITに関する秘密のセキュリティアドバイス
2.3.8 Smart Borders und hoheitliches Identitätsmanagement 2.3.8 スマートボーダーと主権者ID管理
2.3.9 Technologieverifikation in sogenannten Technologie Labs 2.3.9 いわゆる技術研究所での技術検証
2.3.10 App-Testing für mobile Lösungen 2.3.10 モバイルソリューションのアプリテスト
2.3.11 Onlinezugangsgesetz: die IT-Sicherheitsverordnung Portalverbund 2.3.11 オンラインアクセス法:ITセキュリティ規制ポータルネットワーク
2.4 Internationales 2.4 国際
2.4.1 Engagement des BSI im EU-Rahmen 2.4.1 BSI の EU 枠組みへの関与
2.4.2 Engagement des BSI in der NATO 2.4.2 BSIのNATOへの関与
2.4.3 Multilaterales und bilaterales Engagement des BSI 2.4.3 BSIの多国間および二国間エンゲージメント
2.4.4 Aufbau der National Cybersecurity Certification Authority 2.4.4 国家サイバーセキュリティ認証機関の設立
2.4.5 Nationales Koordinierungszentrum für Cyber-Sicherheit 2.4.5 ナショナル・サイバー・セキュリティ・コーディネーション・センター
2.4.6 eID: Novellierung der eIDAS-Verordnung 2.4.6 eID:eIDAS規制の改正について
2.4.7 Mindestanforderungen für die IT- und Cyber-Sicherheit von Satelliten 2.4.7 人工衛星のIT・サイバーセキュリティに関する最低要件
2.5 Aktuelle Trends und Entwicklungen in der IT-Sicherheit 2.5 ITセキュリティの最新動向と展開
2.5.1 Künstliche Intelligenz 2.5.1 人工知能
2.5.2 Kryptografie 2.5.2 暗号技術
2.5.3 Quantum Key Distribution 2.5.3 量子鍵配布
2.5.4 Self-Sovereign Identities und Blockchain-Technologie 2.5.4 自己主権型アイデンティティとブロックチェーン技術
3 Fazit 3 結論
Glossar 用語集
Quellenverzeichnis
出典元一覧

 

本文よりぬき...

1 Gefährdungen der Cyber-Sicherheit in Deutschland 1 ドイツにおけるサイバーセキュリティへの脅威
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beobachtet als nationale Cyber-Sicherheitsbehörde kontinuierlich die Gefährdungslage der IT-Sicherheit in Deutschland. Im Fokus des BSI stehen Cyber-Angriffe auf Unternehmen, staatliche sowie öffentliche Institutionen und Privatpersonen, aber auch Maßnahmen zur Prävention und Bekämpfung dieser Lagen. Der vorliegende Bericht zieht eine Bilanz für die Zeit vom 1. Juni 2021 bis zum 31. Mai 2022 (Berichtszeitraum). Damit greift der Bericht aktuelle und unter Umständen anhaltende Cyber-Bedrohungen auf. Er bewertet auch die IT-Sicherheitslage im Kontext des russischen Angriffskrieges auf die Ukraine.  連邦情報セキュリティ局(BSI)は、サイバーセキュリティの国家機関として、ドイツのITセキュリティの脅威の状況を継続的に監視している。BSIは、企業、国家・公共機関、個人に対するサイバー攻撃だけでなく、こうした事態を防止し、対抗するための対策にも重点を置いている。本報告書は、2021 年 6 月 1 日から 2022 年 5 月 31 日までの期間(報告期間)の状況を把握したものである。このように、この報告書では、現在進行中の、そして特定の状況下では継続的なサイバー脅威を扱っている。また、ロシアのウクライナ侵略戦争を背景としたITセキュリティの状況についても評価している。
Anhand zahlreicher konkreter Beispiele aus vielen unterschiedlichen Bereichen zeichnet der Bericht den Weg und die typischen Methoden der Angreifer nach, um zugleich aufzuzeigen, wie sich Menschen und Organisationen schützen können. Die Übersicht beginnt mit einer Zusammenfassung der allgemeinen Gefährdungslage und aktueller Cyber-Bedrohungen. Angriffe wirken sich nicht nur unmittelbar auf die betroffenen Menschen und Organisationen aus, sondern beeinträchtigen das Leben aller in einer digitalisierten Gesellschaft. Umso wichtiger ist es, jeden einzelnen Bereich mit seinen spezifischen Bedrohungen zu beleuchten und im weiteren Verlauf die Gegenmaßnahmen zielgruppenspezifisch darzustellen. 本報告書では、さまざまな分野の具体的な事例を数多く取り上げ、攻撃者の手口や典型的な手法を追うと同時に、人々や組織がどのようにして自らを守ることができるかを示している。概要は、まず一般的な脅威の状況や現在のサイバー脅威の概要について説明する。攻撃は、被害を受けた人や組織に直接的な影響を与えるだけでなく、デジタル化された社会に生きるすべての人の生活に影響を与えます。そのため、各領域の脅威を明確にし、さらにターゲットグループに応じた対策を提示することがより重要である。
1.1 —  Zusammenfassung und Bewertung 1.1 - 概要と評価
Insgesamt spitzte sich im Berichtszeitraum die bereits zuvor angespannte Lage weiter zu. Die Bedrohung im Cyber-Raum ist damit so hoch wie nie. Im Berichtszeitraum wurde – wie schon im Vorjahr – eine hohe Bedrohung durch Cybercrime beobachtet. Ransomware blieb die Hauptbedrohung (siehe Kapitel Ransomware, S. 13), besonders für Unternehmen. Hinzu kamen verschiedene Bedrohungen im Zusammenhang mit dem russischen Angriffskrieg auf die Ukraine, zum Beispiel durch Hacktivismus, insbesondere mittels Distributed-Denial-of-Service-Angriffen (DDoS-Angriffen), und Kollateralschäden bei Cyber-Sabotage-Angriffen  im Rahmen des Krieges. Sowohl durch Cybercrime als auch durch Cyber-Aktivitäten im Rahmen des Kriegs in der Ukraine hat es darüber hinaus im Berichtszeitraum Störungen von IT-Lieferketten gegeben. Eine Erhöhung der Resilienz gegenüber Cyber-Angriffen und technischen Störungen ist daher eine Hauptaufgabe für alle beteiligten Akteure in Staat, Wirtschaft und Gesellschaft. 全体として、すでに緊張状態にあった状況は、報告期間中に悪化した。このように、サイバー空間における脅威はかつてないほど高まっている。この報告期間中、前年度と同様に、サイバー犯罪による高い脅威が観察された。ランサムウェアは、特に企業にとって主要な脅威であることに変わりはない(13ページのランサムウェアの章を参照)。また、ロシアのウクライナ侵略戦争に関連して、特に分散型サービス妨害(DDoS)攻撃によるハクティビズムや、戦争に伴うサイバー妨害攻撃での巻き添えなど、さまざまな脅威があった。また、報告期間中、ウクライナ戦争を背景としたサイバー犯罪とサイバー活動の両方により、ITサプライチェーンに混乱が生じた。したがって、サイバー攻撃や技術的混乱に対するレジリエンスを高めることは、国家、経済、社会に関わるすべてのアクターにとって重要な課題である。
Russischer Angriffskrieg gegen die Ukraine: ロシアのウクライナへの侵略戦争:
Bislang gab es in Deutschland im Zusammenhang mit dem Angriffskrieg Russlands gegen die Ukraine eine Ansammlung kleinerer Vorfälle und HacktivismusKampagnen (vgl. zum Beispiel Vorfall Kollateralschäden nach Angriff auf ein Unternehmen der Satellitenkommunikation, Seite 49 und Vorfall Cyber-Angriff auf deutschen Mineralölhändler, Seite 50). Eine übergreifende Angriffskampagne gegen deutsche Ziele war nicht ersichtlich. Die Lage im Cyber-Raum von NATO-Partnern war dagegen teilweise angespannt und in der Ukraine teilweise existenzbedrohend kritisch.  これまでドイツでは、ロシアのウクライナ侵略戦争に関連して、小規模な事件やハクティビズムキャンペーンが蓄積されてきた(例えば、衛星通信会社に対する攻撃後の巻き添え事件49ページ、ドイツ鉱油取引業者に対するサイバー攻撃事件50ページ参照)。ドイツの目標に対する包括的な攻撃作戦は明らかにされていない。一方、NATO加盟国のサイバー空間における状況は、ウクライナでは国の存立を脅かすほど緊迫し、危機的状況に陥ったケースもあった。
Erpressungsmethoden im Cyber-Raum: サイバー空間における恐喝の手口:
Die im vergangenen Berichtszeitraum beobachtete Ausweitung von Methoden der Erpressungsmethoden im Cyber-Raum hat sich im aktuellen Berichtszeitraum fortgesetzt. Insbesondere das sogenannte Big Game Hunting, also die Erpressung umsatzstarker Unternehmen mit verschlüsselten und exfiltrierten Daten, hat weiter zugenommen. Sowohl die von IT-Sicherheitsdienstleistern berichteten Lösegeld- und SchweigegeldZahlungen als auch die Anzahl der Opfer, deren Daten etwa wegen ausbleibender Zahlungen auf Leak-Seiten veröffentlicht wurden, sind weiter gestiegen. Zudem kam es im aktuellen Berichtszeitraum auch immer wieder zu Erpressungen mit erbeuteten Identitätsdaten.  前回の報告期間中に見られたサイバー空間における恐喝の手法の拡大は、今回の報告期間でも継続された。特に、いわゆる大物狩り、つまり暗号化され流出したデータで高収益の企業を強奪するケースが増え続けているのである。ITセキュリティサービスプロバイダーが報告する身代金や口止め料の支払いも、支払いがないために漏洩サイトなどでデータが公開された被害者も、ともに増え続けている。また、今回の報告期間では、取り込んだIDデータを使った恐喝事件が繰り返された。
Es ließen sich auch wieder mehrere, teils ungewöhnlich ausgeprägte Sextortion-Kampagnen beobachten. In diesen Spam-Mails behaupten Angreifer, über kompromittierende, intime Geheimnisse des Opfers zu verfügen und drohen, diese zu veröffentlichen. Um die Veröffent lichung der vermeintlich vorhandenen kompromittierenden Informationen zu verhindern, solle das Opfer einen bestimmten Betrag in einer Kryptowährung (z. B. Bitcoin) überweisen.  また、いくつかの異常に顕著なセクストーションキャンペーンも再び観測された。これらのスパムメールの中で、攻撃者は被害者の危険な親密な秘密を持っていると主張し、それを公表すると脅す。漏洩したとされる情報の公開を防ぐために、被害者は暗号通貨(ビットコインなど)で一定額を送金することになっている。
Schwachstellen: 脆弱性:
Im Jahr 2021 wurden zehn Prozent mehr Schwachstellen bekannt als im Vorjahr. Mehr als die Hälfte von ihnen wiesen hohe oder kritische Scores nach dem Common Vulnerability Scoring System (CVSS) auf. Als besonders kritisch war die Schwachstelle in Log4j zu bewerten, da sich diese in vielen frei verfügbaren Software-Bausteinen befand. IT-Sicherheitsverantwortliche konnten daher in der Regel nur schwer einschätzen, ob die von ihnen eingesetzte Software die Schwachstelle aufwies. Aufgrund der hohen Verbreitung von Log4j war von einer großen Angriffsfläche für Cyber-Angriffe auszugehen. 2021年は、前年より10%多く脆弱性が開示された。そのうちの半数以上は、CVSS(Common Vulnerability Scoring System)によるスコアが「高」または「重大」であった。特にLog4jの脆弱性は、自由に利用できるソフトウェア・コンポーネントの多くで発見されたため、非常に重大な問題だった。そのため、ITセキュリティ担当者は、通常、使用しているソフトウェアにその脆弱性があるかどうかを判断することは困難であった。Log4jの分布が多いため、サイバー攻撃の攻撃対象が多いと想定される。
Advanced Persistent Threats (APT): 高度な持続的な脅威 (APT):
Im aktuellen Berichtszeitraum waren vermehrt Angriffe auf Perimeter-Systeme, wie zum Beispiel Firewalls oder Router, zu beobachten. Während gezielte APT-Angriffe mittels Schadprogrammen in E-Mails in der Regel hohen Aufwand erfordern, sind PerimeterSysteme direkt aus dem Internet erreichbar, vergleichsweise schlecht geschützt und daher leichter angreifbar. Mehr und mehr scannen APT-Gruppen das Internet nach bekannten Schwachstellen in Perimeter-Systemen, für die noch keine Patches verfügbar sind, um diese gezielt angreifen zu können.  今回の報告期間では、ファイアウォールやルーターなどの境界システムに対する攻撃が多く観測された。電子メールにマルウェアを仕込んだ標的型攻撃は、通常、多大な労力を必要とするが、境界システムはインターネットから直接アクセスでき、比較的防御が甘いため、攻撃されやすいといえます。APTグループは、境界システムの既知の脆弱性のうち、まだパッチが提供されていないものをインターネット上でスキャンし、特別に攻撃できるようにするケースが増えている。
Distributed Denial of Service (DDoS): DDoS(Distributed Denial of Service):
Nach Berichten verschiedener Mitigationsdienstleister hat die Zahl der DDoS-Angriffe weiter zugenommen. So verzeichnete etwa der deutsche Mitigationsdienstleister Link11 für das Jahr 2021 einen Anstieg der DDoSAngriffe um rund 41 Prozent im Vergleich zum Vorjahr. Insbesondere rund um das jährliche OnlineshoppingEvent Cyber Week und in der Vorweihnachtszeit waren spürbar mehr Angriffe zu beobachten. Rund um die Cyber Week 2021 hat sich die Zahl der DDoS-Angriffe gegenüber der Cyber Week 2020 verdoppelt. 各種ミティゲーション・サービス・プロバイダーからの報告によると、DDoS攻撃は増加の一途をたどっているとのことである。例えば、ドイツのミティゲーションサービスプロバイダーであるLink11は、2021年のDDoS攻撃が前年比で約41%増加したことを記録している。特に、毎年恒例のネット通販イベント「サイバーウィーク」の前後や、クリスマスまでの間に、顕著に多くの攻撃が観測された。2021年のサイバーウィーク前後には、2020年のサイバーウィークと比較して、DDoS攻撃の件数が倍増している。
... ...
2 Zielgruppenspezifische Erkenntnisse und Maßnahmen 2 ターゲットグループ別の知見と対策
Das BSI ist die Cyber-Sicherheitsbehörde des Bundes und gestaltet die sichere Digitalisierung in Deutschland – gemeinsam mit den Bürgerinnen und Bürgern, der Wirtschaft sowie mit Staat und Verwaltung und internationalen Gremien. Mit Inkrafttreten des IT-Sicherheitsgesetzes 2.0 wurde der Auftrag des BSI erweitert, um den Herausforderungen der fortschreitenden Digitalisierung zu begegnen, unter anderem mit der Verankerung des digitalen Verbraucherschutzes im BSI. Damit unterstützt das BSI Verbraucherinnen und Verbraucher in der Risikobewertung von Technologien, Produkten, Dienstleistungen und Medienangeboten. BSIは連邦政府のサイバーセキュリティ当局であり、市民、ビジネスコミュニティ、さらには国や行政、国際機関とともに、ドイツにおける安全なデジタル化を形成している。ITセキュリティ法2.0の発効により、BSIの任務は、デジタル消費者保護をBSIに定着させるなど、デジタル化の進展に伴う課題に対応するために拡大された。このように、BSIは、技術、製品、サービス、メディアのリスク評価において消費者をサポートしている。
2.1 — Gesellschaft  2.1 - 社会 
Die Digitalisierung spielt heutzutage in eine Vielzahl von Bereichen unserer Gesellschaft mit hinein – von der Nutzung verschiedenster Online-Dienste über das Gesundheitswesen bis hin zu Abstimmungen und Wahlen. Informationssicherheit ist für all das eine notwendige Voraussetzung. Das BSI arbeitet kontinuierlich daran, die Informationssicherheit in allen Bereichen unseres Lebens zu verbessern, damit die Bürgerinnen und Bürger ihre persönlichen Daten gut aufgehoben sehen, IT sicher anwenden und sich vertrauensvoll in der vernetzten Welt bewegen können. Dafür bündelt das BSI sein umfangreiches Know-how in den Bereichen Prävention, Detektion und Reaktion und leitet daraus konkrete Informationsangebote für gesellschaftliche Gruppen, aber auch für die einzelnen Bürgerinnen und Bürger ab. Im Berichtszeitraum hat sich das BSI dafür unter anderem mit Fragen rund um die Sicherheit vernetzter medizinischer Produkte, elektronischer Identitätsverfahren und den Möglichkeiten virtueller Versammlungen und Abstimmungen auseinandergesetzt. 現在、デジタル化は、多種多様なオンラインサービスの利用、ヘルスケア、投票や選挙など、社会の多くの分野で役割を担っている。そのためには、情報セキュリティが必須条件となる。BSIは、市民が個人情報を安心して預けられ、ITを安全に利用し、ネットワーク社会で自信を持って行動できるよう、生活のあらゆる場面で情報セキュリティを向上させるための活動を続けている。この目的のために、BSIは予防、検出、対応の分野における幅広いノウハウを蓄積し、そこから社会グループだけでなく、個々の市民に対しても具体的な情報を提供している。報告期間中、BSIは、ネットワークに接続された医療製品のセキュリティ、電子ID手続き、仮想会議と投票の可能性などの問題に取り組んだ。
2.1.1 Erkenntnisse zur Gefährdungslage in der Gesellschaft 2.1.1 社会における脅威の状況についての所見
Das BSI und das Programm Polizeiliche Kriminalprävention der Länder und des Bundes (ProPK) kooperieren, um Verbraucherinnen und Verbraucher umfassend über Schutzmöglichkeiten und die Risiken im Internet aufzuklären. Grundlage dieser Arbeit ist das Digitalbarometer, eine gemeinsame, repräsentative und seit 2019 jährlich durchgeführte Online-Befragung. Es wird erhoben, welche Bedeutung Sicherheit im Internet für Verbraucherinnen und Verbraucher hat, inwiefern sie sich vor den Gefahren der digitalen Welt schützen und wie sie sich über Schwachstellen, Risiken und Schutzmaßnahmen informieren. BSIと連邦州警察の犯罪防止プログラム(ProPK)が協力し、インターネットにおける保護の可能性とリスクについて消費者を総合的に教育している。その根拠となるのが、2019年から毎年実施している代表的なオンライン共同調査「デジタルバロメーター」である。消費者にとってのインターネット上のセキュリティの重要性、デジタル世界の危険からどの程度身を守っているか、脆弱性、リスク、防御策についてどのように情報を提供しているかなどを調査している。
Kriminalität im Internet leicht gestiegen – mehr als jeder Vierte ist Opfer インターネット上の犯罪がやや増加 - 4人に1人以上が被害者に
Die generelle Betroffenheit von Verbraucherinnen und Verbrauchern ist im Vergleich zu den vergangenen drei Jahren zuletzt leicht angestiegen: 29 Prozent der Befragten gaben an, bereits Opfer von Kriminalität im Internet gewesen zu sein. In den vergangenen Jahren waren es noch 25 Prozent. Dabei ist jeweils einem Viertel der Befragten vor allem Betrug beim Onlineshopping (25 %), ein Fremdzugriff auf ein Online-Konto (25 %) und/oder eine Infektion mit Schadsoftware (24 %) widerfahren. Im Gegensatz zum Betrug beim Onlineshopping (2021: 19 %) sind die Zahlen zur Betroffenheit vom Fremdzugriff auf ein Online-Konto (2021: 31 %) oder einer Infektion mit Schadsoftware (2021: 29 %) im Vergleich zum Vorjahr rückläufig. Von Phishing waren nur noch 19 Prozent der Befragten betroffen – im Vorjahr galt das noch für ein Viertel (25 %). 消費者の一般的な懸念は、最近、過去3年間と比較してわずかに増加している。調査対象者の29%が、すでにインターネット上で犯罪の被害に遭ったと回答している。過去数年間は、まだ25%だった。いずれの場合も、回答者の4分の1が、オンラインショッピングでの詐欺(25%)、オンラインアカウントへの第三者によるアクセス(25%)、マルウェアへの感染(24%)を経験していることがわかった。オンラインショッピング詐欺(2021年:19%)とは対照的に、オンラインアカウントへの第三者によるアクセス(2021年:31%)やマルウェアへの感染(2021年:29%)の被害を受けたという数値は前年より減少している。フィッシングの被害に遭った回答者はわずか19%だった。前年度も4分の1(25%)の回答者がそうだった。
Die Anwendung von Schutzmaßnahmen durch Verbraucherinnen und Verbraucher bleibt weiterhin ausbaufähig. Die Nutzung von Antivirenprogrammen (53 %), sicheren Passwörtern (52 %) und einer aktuellen Firewall (44 %) ist in der Bevölkerung verbreitet. Lediglich ein Drittel (34 %) der Befragten gab an, automatische Updates zu nutzen. Die Aktivierung einer 2FA nutzten nur 38 Prozent der Befragten. 消費者による保護手段の利用は、依然として拡大可能である。ウイルス対策ソフト(53%)、安全なパスワード(52%)、最新のファイアウォール(44%)の使用は、国民の間に広く浸透している。自動更新を利用していると回答したのは3分の1(34%)に過ぎない。2FAの有効化は、38%の回答者しか利用していない。
Umgang mit Sicherheitsempfehlungen セキュリティ勧告への対応
Zwei von fünf Befragten kennen Sicherheitsempfehlungen zum Schutz vor Kriminalität im Internet (45 %). Von diesen gab wiederum über die Hälfte (58 %) an, diese Empfehlungen zum Teil umzusetzen. 22 Prozent setzen sie vollständig um, nur vier Prozent gar nicht. Über die Hälfte der Befragten (51 %) informiert sich über Internetsicherheit, gut ein Fünftel (23 %) nie. Besonders wichtig ist den Befragten die Sicherheit beim Onlinebanking (83 %), beim Installieren von Software (70 %) und beim Onlineshopping (62 %). 回答者の5人に2人は、インターネット上の犯罪から身を守るためのセキュリティに関する推奨事項を知っている(45%)。このうち、半数以上(58%)が、これらの提言を部分的に実施していると回答している。完全に実施しているのは22%、全く実施していないのはわずか4%である。半数以上(51%)の回答者がインターネットの安全性について自分自身に知らせているが、5分の1(23%)は全くしていない。オンラインバンキング(83%)、ソフトウェアのインストール(70%)、オンラインショッピング(62%)の際に、セキュリティは回答者にとって特に重要な要素となっている。
Wunsch nach Orientierung für den Notfall 緊急時の案内を希望する
Die Opfer von Kriminalität im Internet gaben meist an, sich selbst geholfen zu haben. Das entspricht ihrem Bedarf nach Informationen: Die meisten wünschen sich eine Checkliste für den Notfall als Hilfestellung, gefolgt von einer Webseite mit Erklärvideos und einem Berater oder einer Beraterin bei der Polizei. Insgesamt wünschte sich über die Hälfte mehr Informationen zu Themen rund um Sicherheit im Internet, insbesondere Hinweise, wie sich Kriminalität im Internet erkennen lässt, und Informationen, wie sich Online-Konten schützen lassen. インターネット上の犯罪被害者は、ほとんどが「自分が助かった」と答えている。これは、情報に対するニーズと一致する。緊急時のチェックリストに続いて、説明ビデオを掲載したウェブサイト、警察署でのアドバイザーやカウンセラーの配置を希望する人が多いようである。全体として、半数以上がインターネット上の安全に関するトピック、特にインターネット上の犯罪を見分ける方法やオンラインアカウントを保護する方法に関する情報をもっと知りたいと考えているようである。
... ...
2.2 — Wirtschaft 2.2 - 経済
Die Erfolge bei der Digitalisierung entscheiden im hohen Maße über die Zukunft des Wirtschaftsstandortes Deutschland. Eine funktionierende und sichere IT schafft dafür die wesentlichen Voraussetzungen – sei es für das Betreiben Kritischer Infrastrukturen (KRITIS) oder die erfolgreiche Transformation der Geschäftsmodelle von kleinen und mittleren Unternehmen (KMU). Daher unterstützt das BSI mit zahlreichen Angeboten die Resilienz des Cyber-Standortes Deutschland sowie KRITIS-Betreiber bei der Umsetzung von Präventionsmaßnahmen gegen Cyber-Attacken. KMU profitieren vom fachlichen Austausch sowie von praxisorientierten IT-Sicherheitsempfehlungen. Mit der Allianz für CyberSicherheit wiederum stärkt das BSI die Widerstandsfähigkeit des Standorts Deutschland. Für mehr Informationssicherheit neuer Technologien gestaltet das BSI u. a. praxisgerechte Sicherheitsanforderungen, Standards und Handlungsempfehlungen. Auch als zentrale Zertifizierungs- und Standardisierungsstelle übernimmt das BSI Verantwortung und leistet obendrein einen wesentlichen Beitrag zum Gelingen großer Digitalisierungsprojekte. デジタル化の成功は、ビジネス拠点としてのドイツの将来にとって極めて重要である。重要なインフラの運用や、中小企業のビジネスモデルの転換を成功させるためにも、機能的で安全なITは必要不可欠な条件となるのであり、重要インフラ(KRITIS)の運用や、中小企業のビジネスモデルの転換を成功させるためである。このため、BSIは、サイバー攻撃への予防策を実施するKRITISオペレーターと同様に、サイバー拠点としてのドイツの強靭性を多くのオファーでサポートしている。中小企業にとっては、専門家同士の交流や実践に即したITセキュリティの提言が得られるというメリットがある。BSIは、サイバーセキュリティのためのアライアンスとともに、ビジネス拠点としてのドイツのレジリエンスを強化している。BSIは、新技術の情報セキュリティのために、特に実践的なセキュリティ要件、基準、行動勧告を設計している。BSIは、中央の認証・標準化機関としての責任も担っており、その上で、大規模なデジタル化プロジェクトの成功に大きく寄与しているのである。
2.2.1 — Erkenntnisse zur Gefährdungslage in der Wirtschaft 2.2.1 - 経済における脅威の状況についての所見
Die Wirtschaft war auch in diesem Berichtszeitraum erneut einer großen Anzahl von Cyber-Angriffen ausgesetzt, von denen der Großteil wiederum durch Ransomware geprägt war (vgl. Kapitel Ransomware, Seite 13). この報告期間中、経済は再び多くのサイバー攻撃にさらされ、その大半は再びランサムウェアによって特徴づけられた(13ページの「ランサムウェア」の章を参照)。
Zentrale Herausforderung für die Unternehmen in Deutschland ist die Steigerung der Cyber-Resilienz, d. h. die Kombination aus guter Präventionsarbeit mit der Möglichkeit, auf Cyber-Angriffe zu reagieren mit dem Ziel, den Betrieb des Unternehmens aufrechtzuerhalten und zu sichern. Das BSI beobachtet eine starke Zunahme der Nachfrage nach den Unterstützungsangeboten – von den Standards zur Cyber-Sicherheit bis hin zu Austausch- und Unterstützungsformaten wie der Allianz für Cyber-Sicherheit. Für die CyberSicherheitslage in Deutschland ist die Verfassung der IT-Sicherheit in der Wirtschaft essenziell, sodass eine Intensivierung der Bemühungen der Unternehmen in diesem Bereich für die Verbesserung der CyberSicherheit von großer Bedeutung ist. ドイツにおける企業の中心的な課題は、サイバー耐性を高めること、すなわち、企業活動の維持と安全を目的として、優れた予防業務とサイバー攻撃への対応能力を組み合わせることである。BSIは、サイバーセキュリティの標準から、サイバーセキュリティのためのアライアンスなどの交流・支援形式に至るまで、支援サービスに対する強い需要の増加を確認している。ドイツのサイバーセキュリティの状況には、企業部門のITセキュリティの状況が不可欠であり、この分野での企業の取り組みを強化することは、サイバーセキュリティの向上にとって非常に重要なことである。
... ...
2.3 — Staat und Verwaltung  2.3 - 国家と行政 
Eine Kernaufgabe des BSI ist die Abwehr von CyberAngriffen auf Regierungsnetze und die Bundesverwaltung. Für Behörden bei Bund, Ländern und Kommunen stellt das BSI ein breites Angebot zur Erhöhung der Informationssicherheit zur Verfügung: Die Basis bilden die Informationssicherheitsberatung, IT-Grundschutz und Mindeststandards sowie Zertifizierung und Zulassung. Bei IT-Sicherheitsvorfällen unterstützen CERT-Bund, mobile Einsatzteams (MIRT) oder das Nationale Cyber-Abwehrzentrum betroffene Behörden. Zentraler Ansprechpartner für Länder und Kommunen ist das nationale Verbindungswesen des BSI. Verbindungsstellen befinden sich in Hamburg, Berlin, Bonn, Wiesbaden und Stuttgart. BSIの中核的な任務のひとつは、政府ネットワークや連邦行政に対するサイバー攻撃から身を守ることである。BSIは、連邦、州、地方当局の情報セキュリティを高めるために幅広いサービスを提供している。情報セキュリティコンサルティング、IT-Grundschutz、最低基準、認証・認定がその基盤となっている。ITセキュリティ事件が発生した場合、CERT-Bund、モバイル事件対応チーム(MIRT)、国家サイバー防衛センターが影響を受ける当局を支援する。BSIの国内リエゾンオフィスは、レンダーや自治体との連絡の中心的な役割を担っている。リエゾンオフィスは、ハンブルク、ベルリン、ボン、ヴィースバーデン、シュトゥットガルトにある。
2.3.1 — Die Gefährdungslage in der Bundesverwaltung  2.3.1 - 連邦政府における脅威の状況 
Die Regierungsnetze sind tagtäglich Angriffen aus dem Internet ausgesetzt. Neben überwiegend ungezielten Massenangriffen finden sich hierbei auch gezielte Angriffe auf die Bundesverwaltung. Das BSI setzt verschiedene, sich gegenseitig ergänzende Maßnahmen zum Schutz der Regierungsnetze vor diesen Angriffen ein. 政府機関のネットワークは、日常的にインターネットからの攻撃にさらされている。標的を絞らない集団攻撃が主であることに加え、連邦政府を標的とした攻撃もある。BSIは、これらの攻撃から政府ネットワークを保護するために、相互に補完し合うさまざまな手段を用いている。
Eine präventive Komponente stellen Webfilter dar, die den Zugriff auf Webseiten oder die Verbindung zu Webservern blockieren, die mit Schadprogrammen im Zusammenhang stehen. Dadurch wird zum Beispiel der Zugriff auf hinter Download-Links versteckte Schadprogramme, die im Rahmen von Social-EngineeringAngriffen über E-Mail, Social-Media oder Webseiten verbreitet werden, verhindert. Auch die Kommunikation von Schadsoftware mit den entsprechenden Webservern, zum Beispiel zum Nachladen von weiteren Komponenten oder Befehlen, wird unterbunden. Im aktuellen Berichtszeitraum mussten rund 78.000 maliziöse Webseiten zusätzlich gesperrt werden. Während die Anzahl der monatlich gesperrten Webseiten von Juni 2021 bis Februar 2022 relativ stabil blieb, hat sich die Bedrohungseinschätzung im März 2022 vor dem Hintergrund des russischen Angriffskrieges gegen die Ukraine deutlich verändert, sodass spürbar mehr maliziöse Webseiten für den Zugriff aus der Bundesverwaltung gesperrt werden mussten. Der Index sprang binnen Monatsfrist um 158 Prozent auf 353 Punkte (vgl. Abbildung 28) – der höchste Wert seit Beginn der Aufzeichnungen. 予防的な要素としては、マルウェアに関連するウェブサイトへのアクセスやウェブサーバーへの接続をブロックするウェブフィルタがある。これにより、例えば、ソーシャルエンジニアリング攻撃の一環として電子メール、ソーシャルメディア、Webサイトを通じて拡散されるダウンロードリンクの背後に隠されたマルウェアへのアクセスを防止することができる。また、マルウェアが対応するウェブサーバーと通信し、さらなるコンポーネントやコマンドを再ロードすることも防いでいる。今回の報告では、約78,000の悪質なウェブサイトを追加でブロックする必要があった。2021年6月から2022年2月まで、毎月ブロックされるウェブサイトの数は比較的安定していたが、2022年3月にロシアのウクライナ侵略戦争を背景に脅威評価が大きく変化し、連邦政府からのアクセスをブロックしなければならない悪質なウェブサイトが顕著に増えた。この指数は1ヶ月で158%も上昇し353ポイントとなり(図28参照)、記録開始以来最も高い値となった。
Direkt in E-Mail-Anhängen versendete Schadprogramme werden mittels automatisierter AntivirusSchutzmaßnahmen erkannt und die Zustellung zum Empfänger gestoppt. Dies betraf im Berichtszeitraum durchschnittlich 34.000 E-Mails pro Monat. Nach einer sehr starken Angriffswelle im vorangegangenen Berichtszeitraum und der Abschaltung der EmotetInfrastruktur Ende Januar 2021 zeigt der „Index über Schadprogramm-Angriffe auf die Bundesverwaltung“ zunächst eine Normalisierung des Niveaus. Im März 2022 markiert sodann ein deutlicher Ausschlag des Indikators den sprunghaften Anstieg von Emotet-Spam (vgl. Abbildung 29). In dem Botnetz waren bereits seit Herbst 2021 wieder Aktivitäten zu beobachten, die sich seit März 2022 spürbar verstärkten. メールの添付ファイルで直接送られたマルウェアは、自動的なウイルス対策手段によって検知され、受信者への配信が停止される。この結果、報告期間中、月平均34,000通の電子メールに影響があった。前報告期間に非常に強い攻撃の波があり、2021年1月末にEmotetのインフラが停止した後、「連邦行政に対するマルウェア攻撃の指標」は当初、水準の正常化を示していた。そして、2022年3月には、指標に明確なスパイクが発生し、Emotetスパムの急増を示する(図29参照)。ボットネットでの活動は、2021年秋から既に再確認されていたが、2022年3月以降、顕著に増加した。
Rund 5.200 E-Mails pro Monat wurden ausschließlich auf Basis von eigens durch das BSI erstellter AntivirusSignaturen als schädlich identifiziert. Insbesondere um gezielte Angriffe auf die Bundesverwaltung erkennen zu können, betreibt das BSI zusätzlich zu den bereits beschriebenen Maßnahmen nachgelagert ein System zur Detektion von Schadprogrammen im Datenverkehr der Regierungsnetze. Mit einer Kombination von automatisierten Testverfahren und manueller Analyse konnten die Analystinnen und Analysten des BSI durchschnittlich weitere knapp 2.500 Angriffe pro Monat identifizieren, die weder durch eine kommerzielle noch durch eine der oben genannten automatisierten Lösungen erkannt wurden. 毎月約5,200通のメールが、BSIが作成したアンチウイルスのシグネチャーに基づいて悪意あるメールと判定された。BSIでは、特に連邦政府を標的とした攻撃を検知できるよう、前述の対策に加え、下流の政府ネットワークのデータトラフィックからマルウェアを検知するシステムを運用している。BSIのアナリストは、自動テスト手順と手動分析を組み合わせることで、市販のソリューションでも上記の自動ソリューションでも検出できなかった、月平均約2,500件の攻撃を特定することに成功した。
Ergänzend wird die Sicherheit der Regierungsnetze mit einem zentralen Schutz vor Spam-E-Mails erhöht. Diese Maßnahme wirkt nicht nur gegen unerwünschte Werbe-E-Mails. Auch Cyber-Angriffe wie Phishing-EMails werden damit erkannt. また、スパムメール対策も一元化し、官公庁のネットワークの安全性を高めている。この対策は、迷惑な商用メールに対してのみ有効なわけではない。また、フィッシングメールなどのサイバー攻撃も検知することができる。
Die Spam-Quote, also der Anteil unerwünschter E-Mails an allen eingegangenen E-Mails, lag im Berichtszeitraum bei durchschnittlich 58 Prozent. Aufkommen und Entwicklung der Spam-E-Mails in den Netzen des Bundes werden durch den Spam-Mail-Index gemessen. Dieser erreichte im Berichtszeitraum durchschnittlich 111 Punkte. Im vergangenen Berichtszeitraum hatte der Indikator noch bei 114 Punkten gelegen. Dabei waren teils erhebliche Schwankungen zu verzeichnen. Während das Spam-Aufkommen im Spätsommer und Herbst 2021 auf unterdurchschnittlichem Niveau lag, sprangen die Index-Werte im Dezember 2021 und insbesondere im Februar 2022 deutlich nach oben. スパム率(受信した全メールのうち迷惑メールが占める割合)は、報告期間中平均58%だった。連邦政府のネットワークにおけるスパムメールの発生・発展状況を、スパムメール指数で測定している。この結果、当四半期の平均は 111 ポイントとなった。前回の報告期間では、この指標は114ポイントだった。かなり変動があるケースもあった。2021年晩夏から秋にかけてスパムの量が平均を下回る中、2021年12月、特に2022年2月に指数値が大きく跳ね上がった。
Im Dezember 2021 trieb eine Sextortion-Kampagne im Anschluss an die Onlineshopping-Events Black Friday und Cyber Monday die Werte nach oben (vgl. auch Kapitel Spam und Phishing, Seite 26). Die Spam-Filter der Bundesverwaltung wehren solche Spam-Wellen zuverlässig ab, sodass sie die adressierten Nutzerinnen und Nutzer nicht erreichen. 2021年12月には、オンラインショッピングのイベント「ブラックフライデー」と「サイバーマンデー」に伴うセクスチューションキャンペーンが値を押し上げた(26ページ「スパムとフィッシング」の章も参照)。連邦政府のスパムフィルターは、このようなスパムの波を確実にかわし、宛先のユーザーに届くことはない。
... ...
3 Fazit 3 まとめ
Neue Dimension bei Schwachstellen 新たな次元の脆弱性
Die Lage bei Schwachstellen war im Berichtszeitraum überdurchschnittlich bedrohlich. Das lag einerseits daran, dass mit Schwachstellen in MS Exchange und Log4j besonders kritische Schwachstellen in weitverbreiteten Produkten auftraten und nur zögerlich geschlossen werden konnten. Insbesondere bei Log4Shell herrschte eine langanhaltende Unsicherheit, wie viele IT-Produkte tatsächlich betroffen waren und wie das Problem umfänglich behoben werden konnte. Zum anderen hat aber auch die Anzahl der bekannt gewordenen Schwachstellen insgesamt weiter zugenommen. So verzeichnete das CVSS-Scoring-System im Jahr 2021 mit 20.174 Schwachstellen in Software-Produkten rund 10 Prozent mehr als im Jahr zuvor. Das spiegelt sich auch in den im Jahr 2021 vom Warn- und Informationsdienst des BSI veröffentlichten Meldungen über Schwachstellen in den 150 gängigsten Produkten. Mit 6.910 stieg die Anzahl um rund zehn Prozent im Vergleich zum Vorjahr. 報告期間中の脆弱性の状況は平均以上であった。一方では、MS ExchangeやLog4jの脆弱性など、特に重大な脆弱性が広く普及している製品で発生し、躊躇しているうちに終結してしまったことが原因である。特にLog4Shellの場合、実際にどれだけのIT製品が影響を受け、どのようにすれば問題を包括的に解決できるのか、不明な点が長く続いた。一方、判明した脆弱性の件数も、全体として増加傾向が続いている。例えば、CVSSスコアリングシステムは、2021年にソフトウェア製品に20,174件の脆弱性を記録し、前年より約10%増加した。これは、BSIのWarning and Information Serviceが2021年に発表した、最も一般的な150製品の脆弱性に関する報告書にも反映されている。6,910となり、前年度比で約10%増加した。
Im zweiten Halbjahr 2021 kam es zudem zu herausragenden Supply-Chain-Angriffen über die Software Virtual System Administrator (VSA) eines amerikanischen Software-Herstellers, die auch in Deutschland vielfach verwendet wird und deshalb zahlreiche Kundinnen und Kunden betraf. VSA wird beispielsweise zur Fernwartung und zum Monitoring von IT-Systemen eingesetzt. Schwachstellen in VSA sind deshalb besonders kritisch, weil sich über den Verwaltungsserver von VSA auf jeden verwalteten Client zugreifen und auch Software verteilen lässt. Das BSI hat deshalb am 4. Juli 2021 eine Cyber-Sicherheitswarnung herausgegeben, die anschließend regelmäßig aktualisiert wurde. Das BSI beobachtete die Betroffenheit deutscher Organisationen intensiv, beriet Betroffene zu IT-forensischen Maßnahmen und übermittelte Erste-Hilfe-Dokumente. 2021年後半には、アメリカのソフトウェアメーカーのVSA(Virtual System Administrator)ソフトウェアを介したサプライチェーン攻撃も顕著で、このソフトウェアはドイツでも広く使われているため、多数の顧客に影響が及んだ。VSAは、ITシステムの遠隔保守・監視などに利用されている。特にVSAの脆弱性は、VSAの管理サーバーを経由して、すべての管理対象クライアントにアクセスし、ソフトウェアを配布することができるため、非常に重要である。そこでBSIは、2021年7月4日にサイバーセキュリティ警告を発し、その後、定期的に更新している。BSIは、ドイツの組織がどのような影響を受けたかを集中的に監視し、影響を受けた組織にITフォレンジック対策をアドバイスし、応急処置の文書を提供した。
Zeitenwende für Cyber-Sicherheit made in Germany ドイツ製サイバーセキュリティの転機
Schon vor dem Digitalisierungsschub, den die CoronaPandemie verstärkt hat, und vor der neuen Bedrohungslage in Folge des russischen Angriffskrieges auf die Ukraine, war Cyber-Sicherheit ein wesentlicher Erfolgsfaktor für eine zunehmend digital vernetzte Gesellschaft und Wirtschaft. Doch die beschleunigte Digitalisierung in allen Bereichen des alltäglichen Lebens – von den Lieferketten der international agierenden Konzerne, den Geschäftsprozessen auch in kleinen und kleinsten Unternehmen über die Dienstleistungen öffentlicher Institutionen bis hin zu den digitalen Anwendungen, die fast jede Bürgerin und jeder Bürger täglich im Alltag nutzt – macht auch bei der Cyber-Sicherheit made in Germany eine Zeitenwende notwendig. コロナ・パンデミックが激化したデジタル化の波や、ロシアのウクライナ侵略戦争による新たな脅威の状況以前から、サイバーセキュリティはデジタルネットワーク化が進む社会・経済にとって必須の成功要因であった。しかし、国際的に事業を展開する企業のサプライチェーン、中小企業でもビジネスプロセス、公共機関のサービス、ほぼすべての国民が毎日日常的に利用するデジタルアプリケーションなど、日常生活のあらゆる分野でデジタル化が加速していることもあり、ドイツ製のサイバーセキュリティには転換が必要となっている。
Das Wohlergehen der Bevölkerung hängt stärker als je zuvor unmittelbar und in großem Umfang davon ab, wie erfolgreich es gelingt, die digitale Resilienz der Gesellschaft zu stärken. Und das bedeutet nicht nur Resilienz gegen Angriffe von Cyber-Kriminellen, gegen Soft- und Hardware-Ausfälle oder Konfigurationsfehler, die die Verfügbarkeit von gewohnten und alltäglichen Dienstleistungen gefährden können. Das vergangene Jahr hat auch gezeigt, dass unvorhergesehene Ereignisse die Bedrohungslage auf ein neues Level heben können, dass Kollateralschäden durch Cyber-Angriffe in Nachbarländern auch unmittelbare Auswirkungen auf Deutschland und Europa haben können. これまで以上に、国民の幸福度は、社会のデジタル・レジリエンスをいかに強化するかに直接かつ大きく依存している。これは、サイバー犯罪者による攻撃や、ソフトウェアやハードウェアの障害、設定ミスなど、身近なサービスの可用性を損なうことに対するレジリエンス(回復力)だけを意味するのではない。また、この1年は、不測の事態が脅威の状況を新たなレベルに引き上げること、近隣諸国におけるサイバー攻撃の巻き添えがドイツやヨーロッパにも直接影響を及ぼす可能性があることを示しめした。
All dies macht deutlich, dass präventive IT-Sicherheitsmaßnahmen die wirkungsvollsten IT-Sicherheitsmaßnahmen sind. Vor diesem Hintergrund ist die von der Bundesregierung geplante Modernisierung der CyberSicherheitsarchitektur und der Ausbau des BSI zur Zentralstelle für Informationssicherheit im Bund-Länderverhältnis ein wichtiger Schritt für eine eng verzahnte föderale Cyber-Abwehr. Denn nur eine intensive, dauerhafte und fortgesetzte Zusammenarbeit zwischen Bund und Ländern ermöglicht es, den Gefahren im „grenzenlosen Cyberraum“ eine effektive Antwort entgegen zu setzen. Das BSI wird seinen Beitrag weiter und schnell erhöhen und wirkungsvolle Prävention gegen IT-Sicherheitsvorfälle vorantreiben. Denn jedes Computersystem, das nicht gehackt werden kann, jede IT-basierte Dienstleitung, die nicht gestört werden kann, ist ein elementarer Beitrag zu einer funktionierenden digital vernetzten Gesellschaft. これらのことから、予防的なITセキュリティ対策が最も効果的なITセキュリティ対策であることは明らかである。このような背景から、連邦政府が計画しているサイバーセキュリティ・アーキテクチャーの近代化、およびBSIの連邦国家関係における情報セキュリティの中央オフィスへの拡大は、緊密に連動した連邦サイバー防衛のための重要なステップとなるものである。連邦政府とレンダーが集中的、持続的に協力してこそ、「国境のないサイバースペース」の脅威に効果的に対処することができる。BSIは、ITセキュリティインシデントに対する効果的な予防策を推進し、さらに急速に貢献度を高めていく。なぜなら、ハッキングされないコンピュータシステム、中断されないITベースのサービスはすべて、デジタル・ネットワーク社会が機能するための基本的な貢献だからである。

 

| | Comments (0)

ドイツ シンガポール 消費者向けIoT製品のサイバーセキュリティ・ラベルの相互承認 (2022.10.20)

こんにちは、丸山満彦です。

ドイツの連邦情報セキュリティ局 (BSI) とシンガポールのサイバーセキュリティ庁 (CSA) が消費者向けIoT製品のサイバーセキュリティ・ラベルの相互承認協定に署名していますね。。。

米国では、NISTを中心にIoT製品の認証のための仕組みづくりの検討が進み、欧州では、サイバーレジリエンス法案が欧州委員会から提案されるなど、消費者向けIoT製品についての認証等が話題になりそうですね。。。ドイツ、シンガポール、フィンランドでは認証制度がはじまっています。。。シンガポールがこの分野はなかなか熱心ですね。。。

相互認証が進めば、企業側も利用者側もメリットがありますね。。。あっ、日本ってどうするだっけ...

 

Fig1_20221030171201

 

ドイツ

Bundesamt für Sicherheit in der Informationstechnik: BSI 

・2022.10.20 BSI and Singapore Cyber Security Agency Mutually Recognise Cyber Security Labels

BSI and Singapore Cyber Security Agency Mutually Recognise Cyber Security Labels BSIとシンガポールサイバーセキュリティ庁がサイバーセキュリティラベルを相互認証
The Vice President of the German Federal Office for Information Security (BSI), Dr. Gerhard Schabhüser, and the Chief Executive of the Cyber Security Agency Singapore (CSA), David Koh, signed a bilateral agreement. ドイツ連邦情報セキュリティ局(BSI)副総裁ゲアハルト・シャブヒューザー博士とシンガポールサイバーセキュリティ庁(CSA)長官デビッド・コーが二国間協定に署名。
The Vice President of the German Federal Office for Information Security (BSI), Dr. Gerhard Schabhüser, and the Chief Executive of the Cyber Security Agency Singapore (CSA), David Koh, signed a bilateral agreement on the mutual recognition of the German IT Security Label and Singapore’s Cybersecurity Label on this year's Singapore International Cyber Week (SICW). ドイツ連邦情報セキュリティ局(BSI)の副総裁ゲアハルト・シャブヒューザー博士と、サイバーセキュリティ庁シンガポール(CSA)の最高責任者デビッド・コーは、今年のシンガポール国際サイバーウィーク(SICW)で、ドイツのITセキュリティラベルとシンガポールのサイバーセキュリティラベルの相互認証に関する二国間協定に調印した。
With immediate effect, products with the German IT Security Label of the BSI can receive a level 2 Cybersecurity Label in Singapore. Level 2 or higher of the Singaporean Cybersecurity Label allows manufacturers to undergo a simplified application process to obtain the German IT Security Label. The agreement covers the product category Smart Consumer Devices published by the BSI. This mainly bases on the European IoT basic standard ETSI EN 303 645. 即日、BSIのドイツITセキュリティラベルを取得した製品は、シンガポールでレベル2のサイバーセキュリティラベルを取得することができる。シンガポールのサイバーセキュリティラベルのレベル2以上であれば、メーカーはドイツのITセキュリティラベルを取得するための簡略化された申請手続きを受けることができる。本協定は、BSIが発行する製品カテゴリー「スマート消費者向けデバイス」を対象としている。これは主に欧州のIoT基本規格であるETSI EN 303 645に基づくものである。
Through the joint agreement with the CSA, the BSI as the German federal cyber security authority is further expanding its cooperation with international cyber security authorities. In the further development of the German IT Security Label, the BSI attaches particular importance to the best possible synchronisation with existing and future European and international cyber security labels. CSAとの共同合意により、ドイツ連邦サイバーセキュリティ当局であるBSIは、国際的なサイバーセキュリティ当局との協力関係をさらに拡大している。ドイツITセキュリティラベルのさらなる発展において、BSIは、既存および将来の欧州および国際的なサイバーセキュリティラベルとの最適な同期を特に重要視している。
With this mutual recognition agreement, the BSI is fulfilling its role as a pioneer and shaper of secure digitisation not only in Germany but also at international level. The joint agreement confirms the importance of the IT Security Label as a blueprint for the design of European and international labels. この相互認証協定により、BSIはドイツ国内だけでなく、国際的にも安全なデジタル化の先駆者、形成者としての役割を果たすことができる。この共同合意は、欧州および国際的なラベルの設計のための青写真として、ITセキュリティラベルの重要性を確認するものである。
With the help of the IT Security Label, consumers can easily find out, via the short link or QR code on the label, about the security features of networked, internet-enabled products as assured by manufacturers and providers. The BSI issues the IT Security Label after a manufacturer has tested and comprehensibly and plausibly declared that its device or service meets specific, security-relevant product requirements. ITセキュリティラベルのおかげで、消費者はラベル上のショートリンクやQRコードを通じて、メーカーやプロバイダーが保証するネットワークやインターネットに接続された製品のセキュリティ機能について簡単に知ることができる。BSIは、メーカーがその機器やサービスをテストし、セキュリティに関連する特定の製品要件を満たしていることを分かりやすく、かつもっともらしく ドイツ宣言した後に、ITセキュリティラベルを発行している。

 

ドイツのIoTセキュリティラベリング制度

IT-Sicherheitskennzeichen

 


シンガポール

Cyber Security Agency of Singapore: CSA

・2022.10.20 Singapore and Germany Sign Mutual Recognition Arrangement on Cybersecurity Labels for Consumer Smart Products

Singapore and Germany Sign Mutual Recognition Arrangement on Cybersecurity Labels for Consumer Smart Products シンガポールとドイツは、消費者向けスマート製品のサイバーセキュリティラベルに関する相互承認に調印
The Cyber Security Agency of Singapore (CSA) and Germany’s Federal Office for Information Security (BSI) will sign a Mutual Recognition Arrangement (MRA) on the cybersecurity labels to be issued by both countries today. シンガポールのサイバーセキュリティ庁(CSA)とドイツの連邦情報セキュリティ局(BSI)は、本日、両国が発行するサイバーセキュリティラベルに関する相互承認協定(MRA)に調印する予定である。
2. CSA’s Cybersecurity Labelling Scheme (CLS) is the first multi-level labelling scheme in the Asia Pacific region.  Under the scheme, smart devices will be rated according to their levels of cybersecurity provisions, from Level 1 to Level 4. Under the MRA, smart consumer products issued with Germany’s IT Security Label and Singapore’s Cybersecurity Label will be mutually recognised in either country. Products issued with BSI’s label will be recognised by CSA to have fulfilled CLS Level 2 requirements, while products with CLS Levels 2 and above will be recognised by BSI. 2. CSAのサイバーセキュリティ・ラベリングスキーム(CLS)は、アジア太平洋地域初のマルチレベル・ラベリングスキームである。  この制度では、スマートデバイスは、サイバーセキュリティ規定のレベルに応じて、レベル1からレベル4まで格付けされる。MRAのもと、ドイツのITセキュリティラベルとシンガポールのサイバーセキュリティラベルが発行されたスマート消費者向け製品は、どちらの国でも相互に承認される。BSIのラベルが発行された製品は、CSAによってCLSレベル2の要件を満たしていると認定され、CLSレベル2以上の製品はBSIによって認定される。
3. The mutual recognition of cybersecurity labels will apply to devices intended for use by consumers such as smart cameras, smart televisions, smart speakers, smart toys, smart garden and household robots, gateways and hubs for home automation, health trackers, smart lighting, smart plug (smart power socket) and smart thermostats. 3. サイバーセキュリティラベルの相互認証は、スマートカメラ、スマートテレビ、スマートスピーカー、スマート玩具、スマートガーデンや家庭用ロボット、ホームオートメーションのためのゲートウェイやハブ、ヘルストラッカー、スマート照明、スマートプラグ(スマートコンセント)、スマートサーモスタットなど消費者が使用することを目的としたデバイスに適用される。
4. For a start, the MRA will not cover some products such as Smart Door Locks, Fire/Gas/Water detectors1, and general computing devices such as computers, smartphones or tablets, which are designed to run any applications without a predefined purpose. CSA and BSI will progressively work towards recognising more product categories under the scope of the MRA. 4. MRAは、まず、スマートドアロック、火災/ガス/水検知器1、およびコンピュータ、スマートフォン、タブレットなどの一般的なコンピューティングデバイスのように、事前に定義された目的なしに任意のアプリケーションを実行するように設計されている一部の製品は対象外となる。CSA と BSI は、より多くの製品カテゴリーを MRA の対象として認識するよう、順次取り組んでいく。
5. Germany is the second country after Finland to formalise the mutual recognition of national cybersecurity labels with Singapore. At SICW 2021, CSA signed its first Memorandum Of Understanding (MOU) with the Transport and Communications Agency of Finland (Traficom). Consumer IoT products with Finland's Cybersecurity Label will be recognised as having met CLS Level 3 requirements, and vice versa2. 5. ドイツは、フィンランドに続き、シンガポールとの間で国家サイバーセキュリティラベルの相互承認を正式に行った2番目の国である。SICW 2021において、CSAはフィンランド運輸通信庁(Traficom)と初の覚書 (MOU)を締結した。フィンランドのサイバーセキュリティラベルを取得した消費者向けIoT製品は、CLSレベル3の要件を満たしていると認識され、その逆もまた然りである2。
6. Manufacturers of smart consumer devices will benefit from these agreements as they save costs and time on duplicated testing and gain improved access to new markets. Companies that have benefited from the Singapore-Finland’s MOU include Signify, Polar and ASUS.  The first CLS Level 3 labels under the MoU were awarded to eight products from Signify's smart lighting system and Polar Electro's multi-sport watches3. The first Traficom's cybersecurity labels under the MoU were awarded to seven products from ASUS’s Wi-Fi 6 routers4. 6. スマート消費者機器の製造企業は、これらの協定により、重複する試験のコストと時間を節約し、新規市場へのアクセスを改善することができるというメリットがある。シンガポールとフィンランドの覚書の恩恵を受けている企業には、Signify、Polar、ASUSなどがある。  覚書に基づく最初のCLSレベル3ラベルは、Signifyのスマート照明システムとPolar Electroのマルチスポーツウォッチ3から8製品に付与された。覚書に基づく最初のトラフィコムのサイバーセキュリティ・ラベルは、ASUSのWi-Fi 6ルーターから7製品に付与された4。
7. As of October 2022, more than 200 products – ranging from routers to smart lighting to smart cameras – have been awarded the CLS label. 7. 2022年10月現在、ルーターからスマート照明、スマートカメラまで、200以上の製品にCLSラベルが付与されている。
1 The list of product types is not exhaustive. 1 製品の種類を網羅したものではない。
2 Both CSA's and Traficom's labels are based on the same standard, ETSI EN 303 645. 2 シンガポール・サイバーセキュリティ庁とフィンランド運輸通信庁のラベルは、いずれも同じ規格であるETSI EN 303 645に基づいている。
The products from Signify and Polar Electro are Philips Hue Starter kit and Hue Bridge, and Polar Grit X, Polar Grit X pro, Polar Vantage V2, Polar Vantage M2, Polar Ignite 2 and Polar Unite. 3 Signify社およびPolar Electro社の製品は、Philips Hue Starter kitおよびHue Bridge、Polar Grit X、Polar Grit X pro、Polar Vantage V2、Polar Vantage M2、Polar Ignite 2およびPolar Uniteである。
4 The products from ASUS are RT-AX88U, GT-AX11000, RT-AX82U, TUF-AX5400, TUF-AX3000, RT-AX58U and ZenWiFI XD6. 4 ASUSの製品は、RT-AX88U、GT-AX11000、RT-AX82U、TUF-AX5400、TUF-AX3000、RT-AX58U、ZenWiFI XD6である。


シンガポールのCLS

● CSA - Cybersecurity Certification Centre - Cybersecurity Labelling Scheme (CLS) 

 フィンランドとドイツとの相互認証についても触れられていますね。。。

 


 

参考

 

まるちゃんの情報セキュリティ気まぐれ日記

BSIのITセキュリティラベル

・2022.05.09 ドイツ ITセキュリティラベル for 消費者向けスマート製品

・2022.02.03 ドイツ BSI Mail.deの電子メールサービスにITセキュリティラベルを付与

・2021.07.18 独国 BSIがITセキュリティラベルについてのウェブページを公開していますね。。。

 

米国のサイバーセキュリティラベル

・2022.06.19 NISTIR 8425 (ドラフト) 消費者向けIoT製品のIoTコアベースラインのプロファイル

・2022.05.19 NIST IoTセキュリティ関連の文書についてNISTのブログで簡単に説明されていますね。。。

・2022.02.07 NIST ホワイトペーパー :消費者向けソフトウェアのサイバーセキュリティラベルの推奨規準

・2022.02.06 NIST ホワイトペーパー :消費者向けIoT製品のサイバーセキュリティラベルの推奨規準

・2021.11.04 NIST 消費者向けソフトウェアのサイバーセキュリティに関するラベリングについての意見募集

 

 

| | Comments (0)

2022.10.30

米国 国防総省:サイバー軍 CYBER101 - Defend Forward and Persistent Engagement (2022.10.25)

こんにちは、丸山満彦です。

国防総省のサイバー軍が、Defend Forwardについての記事を公表していますね。。。Defend Forwardについては最近日本でもいろいろと言われ出していますね。。。米軍は、イラン等に対して継続的にサイバー活動をしていますが、その一部にはDefend Forwardも含まれているのでしょう。。。

・2022.10.25 CYBER101 - Defend Forward and Persistent Engagement

CYBER101 - Defend Forward and Persistent Engagement CYBER101 -一歩踏み込んだ防衛と絶えざる交戦
Cyberspace is not governed by a central body, but by numerous government and non-governmental organizations across the globe. The cyber domain is not naturally occurring and is wholly dependent upon owned or leased technology on both government and commercial infrastructure providers for its existence and operation. Due to the ever-evolving technological aspects of the information environment, adversaries are continuously looking to disrupt and degrade the integrity of U.S. information networks and those of its allies and partners. サイバー空間は中央の組織によって統治されているのではなく、世界中の多数の政府および非政府組織によって統治されている。サイバー領域は自然に発生するものではなく、その存在と運用のために政府と商業インフラストラクチャ・プロバイダーの所有またはリース技術に全面的に依存している。情報環境の技術的側面は常に進化しているため、敵対者は米国の情報ネットワークとその同盟国およびパートナーのネットワークの完全性を破壊し、低下させることを常に狙っている。
These campaigns can take shape through overt efforts to infiltrate and disrupt U.S. Department of Defense (DOD) networks, steal information and intellectual property from U.S. government and private sector companies, and spread online disinformation campaigns designed to sow division among the American people. These activities present an unacceptable risk to the United States. Without a strategy to defeat these persistent campaigns, the United States risks death by a thousand cuts. これらのキャンペーンは、米国防総省(DOD)ネットワークへの侵入や妨害、米国政府や民間企業の情報や知的財産の窃盗、米国民の間に分裂をもたらすことを目的としたオンライン偽情報キャンペーンの拡散など、あからさまな努力によって具体化することがある。これらの活動は、米国にとって容認できないリスクである。これらの執拗なキャンペーンを打ち負かす戦略がなければ、米国は千差万別の死を迎える危険性がある。
The 2018 Department of Defense Cyber Strategy states the United States will defend forward to disrupt malicious cyber activity at its source, including activity that falls below the level of armed conflict. This means if a device, a network, an organization, or adversary nation is identified as a threat to U.S. networks and institutions, or is actively attacking them in or through cyberspace – it can expect the United States to impose costs in response. 2018年の国防総省サイバー戦略では、米国は、武力紛争のレベルに満たない活動を含め、悪意のあるサイバー活動をその発生源で混乱させるために「一歩踏み込んだ防衛」を行うとしている。これは、デバイス、ネットワーク、組織、敵対国が米国のネットワークや機関に対する脅威と認識された場合、またはサイバー空間で、あるいはサイバー空間を通じて積極的に攻撃している場合、米国が対応コストを課すことが期待できることを意味する。
Responsibility for defending forward starts with U.S. Cyber Command (USCYBERCOM). As the nation’s cyber warriors, USCYBERCOM operates daily in cyberspace against capable adversary nations and non-state actors, such as terrorist groups and transnational criminal gangs. USCYBERCOM’s mission is guided by the Command’s commitment to intercept 「一歩踏み込んだ防衛」の責任は、米国サイバー司令部(USCYBERCOM)から始まる。米国のサイバー戦士として、USCYBERCOM は有能な敵対国やテロリスト・グループ、国際犯罪集団などの非国家主体に対して、サイバー空間で日々活動している。USCYBERCOM の使命は、以下のような司令部のコミットメントによって導かれている。
USCYBERCOM’s mission is guided by the Command’s commitment to persistent engagement. Under this operational framework, cyber operators constantly work to intercept and halt cyber threats, degrade the capabilities and networks of adversaries, and continuously strengthen the cybersecurity of the Department of Defense Information Network (DODIN) that supports DOD missions. USCYBERCOM の使命は、「絶えざる交戦」に対する司令部のコミットメントによって導かれている。この作戦の枠組みの下で、サイバーオペレーターはサイバー脅威を阻止し、停止させ、敵対者の能力とネットワークを低下させ、国防総省の任務を支える国防情報ネットワーク(DODIN)のサイバーセキュリティを継続的に強化するために絶えず活動している。
Persistent engagement shifts DOD and USCYBERCOM’s posture in cyberspace from reactive to proactive. Just as the U.S. Navy keeps the peace by sailing the seas, or the U.S. Air Force secures air space by patrolling the skies, USCYBERCOM actively seeks out threats in cyberspace and eliminates them to defend the United States and its allies. However, just as a navy goes underway from a port or an airplane takes off from a runway, and thus are legitimate targets during times of conflict – persistent engagement involves targeting adversary cyber capabilities and their underlying infrastructure. This approach prevents adversary nations and non-state actors from launching disruptive and destructive cyberattacks in the first place. 絶えざる交戦は、サイバー空間における防衛総省と USCYBERCOM の姿勢を、事後的なものから積極的なものへと変化させる。米海軍が海上を航行することで平和を維持し、米空軍が空をパトロールすることで空域を確保するように、USCYBERCOM は米国とその同盟国を守るためにサイバー空間で積極的に脅威を探し出し、それを排除している。しかし、海軍が港から出港し、飛行機が滑走路から離陸するように、敵対するサイバー能力とその基盤となるインフラを標的とすることが含まれ、紛争時には正当なターゲットとなる。このアプローチにより、敵対する国や非国家主体が破壊的なサイバー攻撃を仕掛けることを未然に防ぐことができる。
Partnerships form an integral component of persistent engagement. For example, USCYBERCOM conducts ‘hunt forward operations’ (HFOs) at the invitation of partner countries. These operations are strictly defensive and at the invitation of the host nation. During HFOs, USCYBERCOM operators sit side-by-side with partners searching for malicious cyber activities and vulnerabilities in host nation networks. The findings of HFOs, as well as other USCYBERCOM operations, are then shared with the public. These findings then help private sector software companies issue patches and updates as well as eliminate adversary network accesses and capabilities. 絶えざる交戦の不可欠な要素は、パートナーシップである。例えば、USCYBERCOM はパートナー国の招きで「ハント・フォワード作戦」(HFO)を実施する。この作戦は厳密には防衛的であり、ホスト国の招聘によるものである。HFOの間、USCYBERCOMのオペレーターはパートナーと並んで、ホスト国のネットワークにおける悪質なサイバー活動や脆弱性を探す。HFOやその他のUSCYBERCOMの活動で得られた知見は、一般に公開される。これらの調査結果は、民間のソフトウェア会社がパッチやアップデートを発行したり、敵のネットワークへのアクセスや能力を排除したりするのに役立つ。
Each day, USCYBERCOM demonstrates its value and importance to the DOD and United States by defending the Nation in cyberspace, persistently engaging threats, and continuously upgrading defenses. USCYBERCOM は日々、サイバー空間で国を守り、脅威と粘り強く戦い、防御を継続的にアップグレードすることによって、国防総省と米国にとってその価値と重要性を実証している。

 

 

関連情報...

 

2018年の国防総省のサイバー戦略

・2018.09 [PDF] Summary: DEPARTMENT OF DEFENSE CYBER STRATEGY 2018

20221030-64659

・[DOCX] 仮訳

 

 

その一つ前...

・2015.04 [PDF] THE DEPARTMENT OF DEFENSE CYBER STRATEGY 2015 (downloaded)

20221030-65405

 

ほぼ同時期に発表された国家サイバーセキュリティ戦略

・2018.09.20 [PDF] NATIONAL CYBER STRATEGY of the United States of America 2018

20210513-121917


2018年の戦略が発表された時の2015年の戦略との違いを説明した記事。戦略の変更の結果、Defence Forwardが違いの一つとして出てきていると説明していますね。。。

War on the Rocks

・2018.09.20 DEFENDING FORWARD: THE 2018 CYBER STRATEGY IS HERE

 

 

2019年に米国がイランに対して実施した、Cyber軍によるDefend Forward?

The New York Times

・2019.06.22 U.S. Carried Out Cyberattacks on Iran

 

Defend Forwardについては最近日本でもいろいろと言われ出しているように思いますが、国家として実施するためには、周到な準備が必要なのだろうと思います。。。特に日本の場合は、専守防衛との関係でどこからをDefend Fowardとして実施するのかの線引きをするにしても、国のあり方を変えるような話であれば、憲法改正も含めて国民的な議論をする必要があるのかも知れませんね。方針を変えると良くなる面もありますが、悪くなる面も出てきますよね。。。その悪くなる面も、適切に把握し、それに対してはどのように対処をするのかも含めて議論をする必要があるでしょうね。。。変えるということはそれも含めた覚悟と対応が必要だと思います。。。

 

| | Comments (0)

2022.10.29

英国 ICO 雇用慣行とデータ保護:労働者の健康情報案に関するコンサルテーション (2022.10.27)

こんにちは、丸山満彦です。

英国の情報コミッショナー事務局 (Infomation Commissioner's Office; ICO) は、労働者の健康情報の取り扱い案を公表し、意見募集をしていますね。。。

Information Commissioner's Office: ICO

・2022.10.27 ICO consultation on draft employment practices guidance – information about workers’ health

 

ICO consultation on draft employment practices guidance – information about workers’ health 雇用慣行ガイダンスのドラフトに関するICOのコンサルテーション - 労働者の健康に関する情報
The Information Commissioner’s Office (ICO) is producing an online resource with topic-specific guidance on employment practices and data protection. We are releasing our drafts of the different topic areas in stages and adding to the resource over time. A draft of the guidance on handling information about workers’ health is now out for public consultation. 情報コミッショナー事務局(ICO)は、雇用慣行とデータ保護に関するトピック別ガイダンスのオンラインリソースを作成している。異なるトピック分野のドラフトを段階的に公開し、時間をかけてリソースを追加している。現在、労働者の健康に関する情報の取り扱いに関するガイダンスの草案が公開されている。
Draft guidance - Employment practices and data protection: information about workers' health ガイダンス案 - 雇用慣行とデータ保護:労働者の健康についての情報
The draft guidance aims to provide practical guidance about handling the health information of workers in accordance with data protection legislation and to promote good practice. 本ガイダンス案は、データ保護法に従って労働者の健康情報を取り扱う際の実践的なガイダンスを提供し、優れた実践を促進することを目的としている。
We also intend to produce additional practical tools (such as checklists) to go alongside the guidance to help support employment practices. また、雇用慣行を支援するために、ガイダンスと並行して追加の実用的なツール(チェックリストなど)を作成する予定である。
Before drafting the guidance, the ICO issued a call for views between August and October 2021. This sought input from relevant stakeholders including: ガイダンスの起草に先立ち、ICOは2021年8月から10月にかけて意見募集を行いました。これは、以下のような関連するステークホルダーからの意見を求めるものであった。
・employers; ・雇用主
・professional associations; ・専門家団体
・those representing the interests of staff; ・職員の利益を代表する者
・recruitment agencies; ・人材紹介会社
・employment dispute resolution bodies; ・雇用紛争解決機関
・workers, volunteers, employees; and ・労働者、ボランティア、従業員、および
・suppliers of employment technology solutions. ・雇用技術ソリューションのサプライヤー
The call for views helped to inform our work in developing updated employment guidance. You can view a summary document of the responses on our website. この意見募集は、最新の雇用ガイダンスを作成する際の参考となりました。なお、回答内容の要約は、当局のウェブサイトにて確認できる。
The public consultation on the draft guidance will remain open until 5pm on Thursday 26 January 2023. The ICO welcomes feedback on the specific questions set out in the consultation. ガイダンス草案に関するパブリックコンサルテーションは、2023年1月26日(木)午後5時まで実施される予定である。ICOは、コンサルテーションで提示された特定の質問に対するフィードバックを歓迎する。

 

・[PDF] Draft guidance - Employment practices and data protection: information about workers' health

20221029-24122

 

Data protection and worker health information データ保護と労働者の健康情報
In detail 詳細
When might we need to process information about workers’ health? 労働者の健康に関する情報を処理する必要があるのは、どのような場合か?
How do we lawfully process the health information of workers? 労働者の健康情報を合法的に処理するにはどうしたらよいか?
Can we rely on worker consent? 労働者の同意に頼れるか?
What lawful bases might apply if we want to process workers’ health information? 労働者の健康情報を処理する場合、どのような法的根拠が適用される可能性があるか?
What about special category data and conditions for processing? 特別なカテゴリーデータおよび処理条件についてはどうか?
How do we limit how much health information we collect? 収集する健康情報の量をどのように制限するか?
What do we need to tell workers when processing their health information? 労働者の健康情報を処理する際、何を伝える必要があるか?
How long should we keep workers’ health information? 労働者の健康情報をどれくらいの期間保管すべきか?
How do we keep workers’ health information accurate and up to date? 労働者の健康情報を正確かつ最新の状態に保つにはどうすればよいか?
How do we keep the health data of workers secure? 労働者の健康データをどのように安全に保つか?
What about automated decision making and health information? 自動意思決定と健康情報についてはどうか?
What about data protection impact assessments? データ保護影響評価についてはどうか?
Who is responsible for health information and data protection in our organisation? 当社の組織で健康情報およびデータ保護に責任を持つのは誰か?
How do we handle sickness and injury records? 病気や怪我の記録はどのように扱うか?
In detail 詳細
What about sickness, injury and absence records? 病気、怪我、欠勤の記録についてはどうか?
Can we process sickness and injury records? 病気やケガの記録を処理することは可能か?
How do we lawfully process sickness and injury records? 病気やケガの記録を合法的に処理するにはどうすればよいか?
How should we store sickness and injury records? 病気やケガの記録はどのように保管すべきか?
How should we limit access to sickness, injury and absence records of individual workers? 個々の労働者の傷病・欠勤記録へのアクセスはどのように制限すべきか?
Can we share information from sickness or injury records? 病気や怪我の記録から得られる情報を共有することは可能か?
What about occupational health schemes? 産業保健制度はどうなっているか?
In detail 詳細
What must we tell workers when using an occupational health scheme? 産業保健制度を利用する場合、労働者に何を伝えなければならないか?
How should we limit who has access to medical information about workers? 労働者の医療情報にアクセスできる人をどのように制限すべきか?
What about workers’ confidential communications with health professionals? 労働者の医療専門家との秘密通信はどうか?
Are occupational health providers controllers or processors? 産業保健事業者は管理者なのか処理者なのか?
What do we need to do when requesting a worker’s medical file as part of an occupational health referral? 産業保健の紹介の一環として労働者の医療ファイルを要求する場合、何をする必要があるか?
What about medical examinations and testing? 健康診断や検査についてはどうでしょうか?
In detail 詳細
Why might we want to obtain information from medical examinations and testing? なぜ私たちは健康診断や検査から情報を得たいと思うのか?
Why should we consider if we want to introduce medical examinations and testing? 健康診断・検査を導入するかどうか検討する理由は?
Can we use medical examinations and testing as part of our recruitment process? 採用活動の一環として健康診断や検査を利用することは可能か?
How should we limit the purpose of the examination or testing and the information we obtain? 健康診断や検査の目的、取得する情報をどのように限定すべきか?
How do we ensure testing is appropriate? 検査が適切であることをどのように確認するか?
How much personal information should we collect from testing? 検査で収集すべき個人情報はどの程度か?
How do we select workers for testing? 検査対象の労働者をどのように選定するか?
What about random testing? 無作為抽出の検査についてはどうか?
What should we tell workers about examinations and testing? 検査や試験について労働者に何を伝えるべきか?
Can we retain information obtained from medical examination or testing? 健康診断や検査で得た情報を保持することは可能か?
How do we ensure testing is of a good standard and quality? 検査が良い水準と品質であることをどのように確認するか?
What about genetic testing? 遺伝子検査についてはどうでしょうか?
In detail 詳細
Can we use genetic testing on our workers? 労働者に遺伝子検査を使用できるか?
Can we ask a worker to disclose the results of a previous genetic test? 労働者に以前の遺伝子検査の結果を開示するよう求めることができるか?
Are there any circumstances we can use information from genetic testing? 遺伝子検査からの情報を使用できる状況はあるか?
What about health monitoring? 健康モニタリングについてはどうでしょうか?
In detail 詳細
What about the use of health monitoring technologies? 健康モニタリング技術の使用についてはどうか?
What do we need to consider if we want to monitor the health of workers? 労働者の健康状態を監視したい場合、何を考慮する必要があるか?
Can we ask workers to agree to the use of health monitoring technologies? 労働者に健康モニタリング技術の使用への同意を求めることができるか?
When can we share worker health information? 労働者の健康情報はいつから共有できるのか?
In detail 詳細
Can we share health information of our workers? 労働者の健康情報を共有することは可能か?
How do we ensure the lawfulness of sharing? 共有が適法であることをどのように確認するか?
Can we share worker health information in an emergency? 緊急時に労働者の健康情報を共有することができるか?
Can we disclose information about a worker’s health to other workers? 労働者の健康に関する情報を他の労働者に開示することができるか?

 

 

ブログ記事

・2022.10.27 Making our employment guidance work for you

Making our employment guidance work for you 雇用ガイダンスを活用する
Working life for millions of people has changed a lot over the past few years. Every sector, industry and size of business has been affected by the pandemic and the accelerated pace of change of the workplace; whether that’s through a rise in remote working, the use of artificial intelligence to sift and respond to job applications or the increased use of monitoring technologies. この数年で、何百万人もの人々のワーキングライフは大きく変わりました。リモートワークの増加、人工知能による求人票の選別や対応、監視技術の利用拡大など、あらゆる分野、産業、企業規模がパンデミックの影響を受け、職場環境の変化のスピードが加速している。
It's important that employers understand how using these technologies can impact on their workers’ privacy. It’s also important that workers understand what’s happening with their information and what their rights are. 雇用主は、これらの技術の使用が労働者のプライバシーにどのような影響を与えるかを理解することが重要である。また、労働者にとっても、自分の情報に何が起きているのか、自分の権利は何なのかを理解することが重要である。
That’s where we come in. そこで、私たちの出番である。
Data protection is not a barrier to the use of new technologies to improve and develop employment practices. Data protection enables innovation to happen responsibly. It also builds trust between employers and workers. データ保護は、雇用慣行を改善・発展させるために新しいテクノロジーを利用する際の障害にはなりません。データ保護は、イノベーションを責任を持って実現することを可能にする。また、データ保護は雇用者と労働者の間の信頼関係を構築する。
We’ve recently launched a consultation on our draft monitoring at work guidance, which offers practical advice about monitoring workers in line with data protection legislation. It lets employers know what they need to tell their workers if they’re using monitoring technologies, and it lets workers know what their rights are under data protection law. This consultation runs until 11 January 2023. このガイダンスは、データ保護法に従って労働者を監視するための実践的なアドバイスを提供するものである。このガイダンスでは、雇用主が監視技術を使用する場合に労働者に伝えるべきことを示し、労働者がデータ保護法の下でどのような権利を有するかを示している。このコンサルテーションは、2023年1月11日まで実施される。
Today, we’re launching a second consultation. We’re looking for your views on our draft guidance about workers’ health information. As an employer, you’re likely to process a lot of information about your workers and their health, such as occupational health reports or sickness absences. It’s vital, for you and your workers, that you know how to look after this sensitive information. Read our guidance and let us know your thoughts – this consultation is open until 26 January 2023. 本日、私たちは2回目のコンサルテーションを開始する。労働者の健康情報についてのガイダンスの草案について、皆様のご意見を伺いたい。雇用主は、労働衛生報告書や病気欠勤など、労働者とその健康について多くの情報を処理することがあります。このような機密情報をどのように管理するかは、あなたとあなたの労働者のために非常に重要である。このコンサルテーションは、2023年1月26日まで開催されている。
These consultations are the first part of an ongoing project to replace our employment code of practice with new, UK GDPR-focused guidance. We’re aiming to create a hub – a one-stop shop for employers and workers to visit and quickly find the answers to their questions. This forms a key part of our commitment laid out in our new three-year strategy, ICO25, to empower responsible innovation. We’re keen to help organisations understand their responsibilities under data protection law, and one of the ways we can do this is by creating helpful, easy-to-understand guidance. このコンサルテーションは、私たちの雇用慣行コードを、英国のGDPRに焦点を当てた新しいガイダンスに置き換えるための進行中のプロジェクトの最初の部分である。私たちは、雇用者と労働者が訪問し、疑問に対する答えを素早く見つけることができるワンストップショップであるハブを作成することを目指している。これは、私たちの新しい3カ年戦略であるICO25で打ち出された、責任あるイノベーションを促進するというコミットメントの重要な部分を形成している。私たちは、データ保護法の下での責任を組織が理解できるようにしたいと考えており、その方法のひとつが、役に立つ、理解しやすいガイダンスを作成することである。
As the world of work continues to adjust to rapid change brought about by the pandemic and other factors, so too must our guidance and the support we offer to organisations. That’s why we’re taking a different approach to our employment guidance project and consulting throughout, asking you to tell us how and where you need the most support and clarity. 仕事の世界がパンデミックやその他の要因によってもたらされた急速な変化に適応し続けているため、私たちのガイダンスや組織に提供する支援も同様に変化していかなければなりません。そのため、私たちは雇用ガイダンスプロジェクトに異なるアプローチを取り、全体を通してコンサルティングを行い、どのように、どこで、最もサポートや明確さが必要かを教えてもらうことにした。
Make our guidance work for you. Have your say and contribute to our consultations – both are live on the website now. 私たちのガイダンスをあなたのために役立てよう。私たちのコンサルテーションに参加し、意見をお願いする。

 

 


 

参考  

● まるちゃんの情報セキュリティ気まぐれ日記

・2022.10.29 英国 ICO 雇用慣行とデータ保護:労働者の健康情報案に関するコンサルテーション (2022.10.27)

・2022.10.29 英国 ICO 雇用慣行:職場における監視ガイダンスと影響評価案に関するコンサルテーション (2022.10.12)

・2022.10.28 英国 ICO 未熟なバイオメトリクス技術は人を差別する可能性がある「バイオメトリクス洞察レポート」「バイオメトリクス予見レポート」

 

| | Comments (0)

英国 ICO 雇用慣行:職場における監視ガイダンスと影響評価案に関するコンサルテーション (2022.10.12)

こんにちは、丸山満彦です。

英国の情報コミッショナー事務局 (Infomation Commissioner's Office; ICO) は、職場における監視ガイダンスと影響評価案を公表し、意見募集をしています。。。

Information Commissioner's Office: ICO

・2022.10.12 ICO consultation on the draft employment practices: monitoring at work guidance and draft impact assessment

ICO consultation on the draft employment practices: monitoring at work guidance and draft impact assessment 雇用慣行:職場における監視ガイダンスと影響評価案に関するICOのコンサルテーション
This consultation closes on 11 January 2023; このコンサルテーションは2023年1月11日に締め切られる。
The Information Commissioner’s Office (ICO) is producing topic-specific guidance on employment practices and data protection. We are releasing our drafts of the different topic areas in stages and adding to the resource over time. A draft of the guidance on monitoring at work is now out for public consultation. 情報コミッショナー事務局(ICO)は、雇用慣行とデータ保護に関するトピック別ガイダンスを作成している。異なるトピック分野の草案を段階的に公開し、時間をかけてリソースを追加している。現在、職場のモニタリングに関するガイダンスの草案が公開されている。
The draft guidance aims to provide practical guidance about monitoring workers in accordance with data protection legislation and to promote good practice. このガイダンスのドラフトは、データ保護法に従って労働者を監視することについての実践的なガイダンスを提供し、優れた実践を促進することを目的としている。
Before drafting the guidance, the ICO issued a call for views between August and October 2021. This sought input from relevant stakeholders including: ガイダンスの草案作成に先立ち、ICOは2021年8月から10月にかけて意見募集を行った。これは、以下のような関連するステークホルダーからの意見を求めるものだった。
・employers; ・雇用者
・professional associations; ・専門家団体
・those representing the interests of staff; ・職員の利益を代表する者
・recruitment agencies; ・人材紹介会社
・employment dispute resolution bodies; ・雇用紛争解決機関
・workers; ・労働者
・volunteers; ・ボランティア
・employees; and ・従業員
・suppliers of employment technology solutions. ・雇用技術ソリューションの供給者
This call for views informed our work in developing updated employment guidance. You can view a summary document of the responses on our website. この意見募集は、最新の雇用ガイダンスを開発するための我々の作業に反映された。回答内容の要約は、当局のウェブサイトで確認できる。
We also intend to produce additional practical tools (such as checklists) to go alongside the guidance to help support your employment practices. また、雇用慣行を支援するために、ガイダンスに付随する実用的なツール(チェックリストなど)を追加で作成する予定である。
We have also produced an impact scoping document. This provides a high-level outline of some potential impacts we have considered so far. We are seeking feedback on this document as well as any other insights from stakeholders. You should read this document alongside the monitoring at work consultation document. However, some of the questions may not be relevant to you or your organisation, so please skip these as necessary. また、インパクト・スコーピングの文書も作成した。この文書では、これまでに検討した潜在的な影響について、大まかな概要を説明している。私たちは、この文書に対するフィードバックや、ステークホルダーからの他の洞察を求めている。この文書は、職場におけるモニタリングのコンサルテーション文書と一緒にお読みください。ただし、質問の中には、あなたやあなたの組織には関係のないものもあるかもしれないので、必要に応じて読み飛ばしてもよい。
The public consultation on the draft guidance and draft impact assessment will remain open until 11 January 2023. The ICO welcomes feedback on the specific questions set out below. ガイダンス案と影響評価案に関するパブリックコンサルテーションは、2023年1月11日まで開催される予定である。ICOは、以下に示す特定の質問に対するフィードバックを歓迎する。

 

・[PDF] Employment practices: Monitoring at work draft guidance

20221029-11759

・[DOCX] 仮訳

 

目次...

About this guidance 本ガイドラインについて
At a glance 概略
In detail 詳細
What do we mean by monitoring at work? 職場のモニタリングとは?
Who is this guidance for? 本ガイダンスは誰のためのものであるか?
How do we lawfully monitor workers? 労働者を合法的にモニタリングするには?
In detail 詳細
Can we monitor workers? 労働者のモニタリングはできるのか?
How do we lawfully monitor workers? 労働者を合法的にモニタリングするには?
How do we identify a lawful basis? 法的根拠をどのように特定するか?
What if our monitoring involves special category data? 当局のモニタリングが特殊なカテゴリーデータを含む場合はどうなるか?
What about criminal offence data? 犯罪歴のデータはどうか?
Are there other laws we should consider? 他に考慮すべき法律はあるか?
What about fairness? 公平性についてはどうか?
What about transparency? 透明性についてはどうか?
What about accountability? 説明責任についてはどうか?
start monitoring? モニタリングを開始する前に、データ保護影響評価(DPIA)を行う必要があるか?
Do we have to define our purpose for monitoring workers? 労働者をモニタリングする目的を明確にする必要があるか?
monitor workers? 労働者をモニタリングする際に、収集する情報量を制限する必要があるのか?
What about accuracy? 正確性とは何か?
How long should we keep monitoring data? モニタリングデータはいつまで保存すればよいのか?
What about security? セキュリティはどうなっているか?
What should we tell workers about our monitoring? 当局のモニタリングについて、労働者に何を伝えるべきであるか?
Do we need to consult workers? 労働者に相談する必要があるのか?
Can we use covert monitoring? 秘密裏にモニタリングすることは可能か?
What about workers’ right of access to their data? 労働者のデータへのアクセス権についてはどうか?
Can workers object to being monitored? 労働者はモニタリングされることに異議を唱えることができるか?
What do we need to consider if we use a third-party provider or an application provided by a third-party to carry out monitoring? モニタリングを行うために、第三者のプロバイダーや第三者が提供するアプリケーションを利用する場合、どのような点に注意する必要があるか?
What about international transfers? 海外転送はどうするのであるか?
What about automated processes in monitoring tools? モニタリングツールの自動処理についてはどうか?
At a glance 概略
In detail 詳細
What do we mean by automated decision making and profiling? 自動的な意思決定とプロファイリングとはどういう意味であるか?
What do we need to consider if we are planning to make solely automated decisions with legal or similar effect? 法的または類似の効果を持つ自動化された意思決定のみを計画している場合、何を考慮する必要があるか?
What should we tell workers about automated decision making? 自動化された意思決定について、労働者に何を伝えるべきであるか?
What is the role of human oversight? 人間のモニタリングの役割とは?
How do we lawfully monitor workers? 労働者を合法的にモニタリングするには?
Checklist チェックリスト
Specific data protection considerations for different types of workplace monitoring さまざまな種類の職場モニタリングにおけるデータ保護に関する具体的な考慮事項
At a glance 概略
In detail 詳細
What if commercially available tools are part of our monitoring? 市販のツールがモニタリングの一部になるとしたら?
Can we monitor telephone calls? 電話の通話をモニターすることはできるか?
Can we monitor emails and messages? メールやメッセージのモニタリングはできるか?
Checklist チェックリスト
What if we supply a product or service to another organisation and they ask me to monitor my workers? 他の組織に製品やサービスを提供していて、その組織から従業員のモニタリングを求められたらどうするか?
Can we use video or audio to monitor workers? ビデオやオーディオを使用して労働者をモニタリングすることは可能か?
Can we monitor work vehicles? 作業車のモニタリングは可能か?
What about dashcams? ダッシュカムはどうか?
Can we monitor information about workers from third party sources? 第三者からの労働者情報をモニタリングすることは可能か?
Can we monitor time and attendance information? 勤怠情報のモニタリングは可能か?
What if we are monitoring to prevent data loss or detect malicious traffic? データ損失の防止や悪意のあるトラフィックの検出を目的としたモニタリングであればどうか?
Checklist チェックリスト
Can we monitor device activity? デバイスの動作をモニタリングすることはできるか?
What do we need to consider when we monitor device activity? デバイスのアクティビティをモニタリングする際に考慮すべきことは何だろうか?
What about remote and home workers? リモート労働者や在宅労働者についてはどうか?
Can we use biometric data for time and attendance control and monitoring? 勤怠管理・モニタリングにバイオメトリクス情報を活用できないか?
At a glance 概略
In detail 詳細
What is biometric data? バイオメトリクスデータとは?
and proportionate? アクセスコントロールのためにバイオメトリクス情報を使用することが必要かつ適切であるかどうかは、どのように判断すればよいのか?
How do we identify a lawful basis, and a special category condition where needed? 合法的根拠、および必要に応じて特別なカテゴリー条件をどのように特定するか?
Do we need to carry out a data protection impact assessment (DPIA)? データ保護影響評価(DPIA)を実施する必要があるか?
What about accuracy and fairness? 正確さや公平性についてはどうか?
What about informing workers? 労働者への周知は?
Can workers object to the use of biometric data for access control? バイオメトリクス情報をアクセス制御に使用することに、労働者は反対できるか?
What about the security of biometric data? バイオメトリクス情報のセキュリティはどうか?
Checklist チェックリスト

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2022.10.29 英国 ICO 雇用慣行とデータ保護:労働者の健康情報案に関するコンサルテーション (2022.10.27)

・2022.10.29 英国 ICO 雇用慣行:職場における監視ガイダンスと影響評価案に関するコンサルテーション (2022.10.12)

・2022.10.28 英国 ICO 未熟なバイオメトリクス技術は人を差別する可能性がある「バイオメトリクス洞察レポート」「バイオメトリクス予見レポート」

 

| | Comments (0)

米国 国家防衛戦略

こんにちは、丸山満彦です。

国防総省が国家防衛戦略(非機密版)を公表していますね。。。安全保障とサイバーセキュリティも関わりがあるので、見ておきますかね。。。

ところで、、、、国家というのは、国民のためにあるわけですから、できる限り公開しよう(たとえ競争する国が分析するために読むとしても)という姿勢は重要だと思います。

 

U.S. Department of Defence

・2022.10.27 National Defence Strategy

National Defense Strategy 国家防衛戦略
President Biden has stated that we are living in a “decisive decade,” one stamped by dramatic changes in geopolitics, technology, economics, and our environment. The defense strategy that the United States pursues will set the Department’s course for decades to come. The Department of Defense owes it to our All-Volunteer Force and the American people to provide a clear picture of the challenges we expect to face in the crucial years ahead—and we owe them a clear and rigorous strategy for advancing our defense and security goals. バイデン大統領は、我々は「決定的な10年」に生きており、地政学、技術、経済、そして環境の劇的な変化に刻印されていると述べている。米国が追求する防衛戦略は、今後数十年にわたる国防総省の進路を決定することになる。国防総省は義勇軍と米国民に対し、今後数年間の重要な時期に直面すると予想される課題を明確に示す義務があり、また、国防と安全保障の目標を推進するための明確かつ厳格な戦略を示す義務がある。
The 2022 National Defense Strategy (NDS) details the Department’s path forward into that decisive decade—from helping to protect the American people, to promoting global security, to seizing new strategic opportunities, and to realizing and defending our democratic values. 2022年国家防衛戦略(NDS)は、米国民を守るための支援から、世界の安全保障の促進、新たな戦略的機会の獲得、そして民主的価値の実現と防衛まで、この決定的な10年に向けた国防総省の進むべき道を詳述している。
We live in turbulent times. Yet, I am confident that the Department, along with our counterparts throughout the U.S. Government and our Allies and partners around the world, is well positioned to meet the challenges of this decisive decade. 我々は激動の時代を生きている。しかし、私は、国防総省が、米国政府全体、世界中の同盟国やパートナーとともに、この決定的な10年の課題に対応するための体制を整えていることを確信している。
~ Secretary of Defense Lloyd J. Austin III ~ 国防長官 ロイド・J・オースティン3世
On October 27, 2022, the Department of Defense publicly released our unclassified National Defense Strategy (NDS), a Congressionally-mandated review. This strategy sets the strategic direction of the Department to support U.S. national security priorities, and flows directly from President Biden's National Security Strategy. The National Defense Strategy includes the Nuclear Posture Review (NPR) and the Missile Defense Review (MDR). 2022年10月27日、国防総省は、議会が義務付けている見直しである「国家防衛戦略(NDS)」の非機密版を公に発表した。この戦略は、米国の国家安全保障の優先事項を支援するために、国防総省の戦略的方向性を定めるもので、バイデン大統領の国家安全保障戦略から直接流れている。国家防衛戦略には、核態勢見直し(NPR)とミサイル防衛見直し(MDR)が含まれる。
The Nuclear Posture Review is a legislatively-mandated review that describes U.S. nuclear strategy, policy, posture, and forces. The Missile Defense Review is a review conducted pursuant to guidance from the President and the Secretary of Defense, while also addressing the legislative requirement to assess U.S. missile defense policy and strategy. 核態勢見直しとは、米国の核戦略、政策、態勢、戦力を記述する立法上の義務づけられた見直しである。ミサイル防衛レビューは、大統領と国防長官の指導に従って実施されるレビューであり、同時に米国のミサイル防衛政策と戦略を評価するという立法要件に対処するものである。
DEFENSE PRIORITIES 防衛の優先事項
Together, these rapidly evolving features of the security environment threaten to erode the United States' ability to deter aggression and to help maintain favorable balances of power in critical regions. The PRC presents the most consequential and systemic challenge, while Russia poses acute threats - both to vital U.S. national interests abroad and to the homeland. Other features of the security environment, including climate change and other transboundary threats, will increasingly place pressure on the Joint Force and the systems that support it. In this context, and in support of a stable and open international system and our defense commitments, the Department's priorities are: このような安全保障環境の急速な変化は、米国が侵略を抑止し、重要な地域における良好なパワーバランスを維持する能力を低下させる恐れがある。PRCは最も重大で体系的な課題を提示し、ロシアは海外と自国の重要な国益に深刻な脅威を与えている。気候変動や国境を越えた脅威など、安全保障環境の他の特徴は、統合軍とそれを支えるシステムに対してますます圧力をかけることになる。このような状況の中、安定した開かれた国際システムと防衛公約を支援するために、国防総省の優先事項は以下の通りである。
・Defending the homeland, paced to the growing multi-domain threat posed by the PRC; 中国がもたらす複合領域の脅威の増大に対応した国土の防衛。
・Deterring strategic attacks against the United States, Allies, and partners; 米国、同盟国、パートナーに対する戦略的な攻撃を抑止する。
・Deterring aggression, while being prepared to prevail in conflict when necessary - prioritizing the PRC challenge in the Indo-Pacific region, then the Russia challenge in Europe, and; インド太平洋地域におけるPRCの課題、次に欧州におけるロシアの課題を優先し、必要な場合には紛争で勝利する準備をしつつ、侵略を抑止する。
・Building a resilient Joint Force and defense ecosystem. 弾力性のある統合軍と防衛エコシステムを構築する。
Security Environment 安全保障環境
Now and over the next two decades, we face strategic challenges stemming from complex interactions between a rapidly changing global balance of military capabilities; emerging technologies; competitor doctrines that pose new threats to the U.S. homeland and to strategic stability; an escalation of competitors' coercive and malign activities in the "gray zone"; and transboundary challenges that impose new demands on the Joint Force and the defense enterprise. 現在、そして今後 20 年にわたり、我々は、急速に変化する世界の軍事力バランス、新興技術、米国本土と戦略的安定性に新たな脅威をもたらす競合他社の教義、「グレーゾーン」における競合他社の強制的かつ悪質な活動のエスカレーション、統合軍と防衛エンタープライズへの新しい要求を課す越境的課題などの複雑な相互作用から生じる戦略的課題に直面している。
Strategic Competition with the People's Republic of China (PRC) 中華人民共和国(PRC)との戦略的競争
The most comprehensive and serious challenge to U.S. national security is the PRC's coercive and increasingly aggressive endeavor to refashion the Indo-Pacific region and the international system to suit its interests and authoritarian preferences. The PRC seeks to undermine U.S. alliances and security partnerships in the Indo-Pacific region, and leverage its growing capabilities, including its economic influence and the PLA's growing strength and military footprint, to coerce its neighbors and threaten their interests. The PRC's increasingly provocative rhetoric and coercive activity towards Taiwan are destabilizing, risk miscalculation, and threaten the peace and stability of the Taiwan Strait. This is part of a broader pattern of destabilizing and coercive PRC behavior that stretches across the East China Sea, the South China Sea, and along the Line of Actual Control. 米国の国家安全保障に対する最も包括的で深刻な挑戦は、インド太平洋地域と国際システムを自国の利益と権威主義の好みに合わせて再構築しようとする中国の強圧的でますます攻撃的な努力である。PRCは、インド太平洋地域における米国の同盟と安全保障上のパートナーシップを弱体化させ、経済的影響力、PLAの強さと軍事的足跡の拡大を含むその能力の増大を活用して、近隣諸国を威圧し、その利益を脅かそうとする。台湾に対するPRCのますます挑発的なレトリックと強制的な活動は、不安定化させ、誤算の危険をもたらし、台湾海峡の平和と安定を脅かす。これは、東シナ海、南シナ海、そして実質的支配線に沿って広がる、不安定化し強圧的なPRCの行動のより広範なパターンの一部である。
Russia as an Acute Threat 急迫した脅威としてのロシア
Even as the PRC poses the Department's pacing challenge, recent events underscore the acute threat posed by Russia. Contemptuous of its neighbors' independence, Russia's government seeks to use force to impose border changes and to reimpose an imperial sphere of influence. Its extensive track record of territorial aggression includes the escalation of its brutal, unprovoked war against Ukraine. Although its leaders' political and military actions intended to fracture NATO have backfired dramatically, the goal remains. Russia presents serious, continuing risks in key areas. 中国がアジア太平洋省の課題であるにもかかわらず、最近の出来事は、ロシアがもたらす深刻な脅威を浮き彫りにしている。近隣諸国の独立を軽んじるロシア政府は、武力で国境を変更し、帝国的な勢力圏を再確立しようとしている。その領土侵略の豊富な実績は、ウクライナに対する残忍な、いわれのない戦争のエスカレーションを含んでいる。NATOを崩壊させようとする指導者の政治的・軍事的行動は劇的に裏目に出たが、その目的は変わらない。ロシアは主要な分野において、深刻で継続的なリスクをもたらしている。
Threats to the U.S. Homeland 米国の国土に対する脅威
The scope and scale of threats to the homeland have fundamentally changed. The PRC and Russia now pose more dangerous challenges to safety and security at home, even as terrorist threats persist. Both states are already using non-kinetic means against our defense industrial base and mobilization systems, as well as deploying counterspace capabilities that can target our Global Positioning System and other space-based capabilities that support military power and daily civilian life. 国土に対する脅威の範囲と規模は根本的に変化している。中国とロシアは、テロの脅威が続く中で、現在、自国の安全と安心に対してより危険な挑戦をしている。両国はすでに、わが国の防衛産業基盤や動員システムに対して非キネティックな手段を用いており、また、軍事力や日常的な市民生活を支える全地球測位システムやその他の宇宙ベースの能力を標的とできるカウンタースペース能力を配備している。
Other Persistent Threats - North Korea, Iran, and VEOs その他の持続的脅威 - 北朝鮮、イラン、VEOs
North Korea continues to expand its nuclear and missile capability to threaten the U.S. homeland, deployed U.S. forces, and the Republic of Korea (ROK) and Japan, while seeking to drive wedges between the United States-ROK and United States-Japan Alliances. Iran is taking actions that would improve its ability to produce a nuclear weapon should it make the decision to do so, even as it builds and exports extensive missile forces, uncrewed aircraft systems, and advanced maritime capabilities that threaten chokepoints for the free flow of energy resources and international commerce. Iran further undermines Middle East stability by supporting terrorist groups and military proxies, employing its own paramilitary forces, engaging in military provocations, and conducting malicious cyber and information operations. Global terrorist groups - including al-Qa'ida, Islamic State in Iraq and Syria (ISIS), and their affiliates – have had their capabilities degraded, but some may be able to reconstitute them in short order, which will require monitoring indications and warning against the VEO threat. 北朝鮮は、米国本土、配備された米軍、韓国、日本を脅かす核・ミサイル能力を拡大し続け、米韓同盟、日米同盟の間に楔を打ち込もうとしている。イランは、核兵器を製造する決断をした場合、その能力を向上させるような行動をとっている。その一方で、エネルギー資源と国際商業の自由な流れを脅かす大規模なミサイル部隊、乗員なしの航空機システム、高度な海上能力を構築し、輸出している。イランは、テロ集団や軍事的代理人を支援し、自国の準軍事組織を使用し、軍事的挑発を行い、悪意のあるサイバーや情報操作を行うことによって、中東の安定をさらに損なわせている。アルカーイダ、イラク・シリアのイスラム国(ISIS)、およびその関連組織を含む世界的なテロリスト集団は、その能力を低下させているが、一部は短期間で再構成できる可能性があり、VEO脅威に対する兆候の監視と警告が必要となる。
Complex Escalation Dynamics: Rapidly Evolving Domains and Technologies 複雑なエスカレーションダイナミクス。急速に進化する領域と技術
A wide range of new or fast-evolving technologies and applications are complicating escalation dynamics and creating new challenges for strategic stability. These include counterspace weapons, hypersonic weapons, advanced CBW, and new and emerging payload and delivery systems for both conventional and non-strategic nuclear weapons. In the cyber and space domains, the risk of inadvertent escalation is particularly high due to unclear norms of behavior and escalation thresholds, complex domain interactions, and new capabilities. 幅広い種類の新しい、あるいは急速に進化する技術やアプリケーションが、エスカレーションの力学を複雑にし、戦略的安定性に対する新たな課題を作り出している。これには、対空間兵器、極超音速兵器、先進的なCBW、通常兵器と非戦略核兵器の両方に対する新しいペイロードとデリバリーシステムなどが含まれる。サイバーと宇宙の領域では、行動規範やエスカレーション閾値の不明確さ、複雑な領域の相互作用、新しい能力のために、不注意によるエスカレーションのリスクが特に高い。
Competitors' Gray Zone Activities 競合他社のグレーゾーン活動
Competitors now commonly seek adverse changes in the status quo using gray zone methods - coercive approaches that may fall below perceived thresholds for U.S. military action and across areas of responsibility of different parts of the U.S. Government. 競合他社は現在、グレーゾーンの手法、つまり米軍の軍事行動の閾値を下回る可能性のある強制的なアプローチや、米国政府のさまざまな部署の責任領域を超えて、現状に不利な変化をもたらすことを求めるのが一般的である。
Climate Change and other Transboundary Challenges 気候変動とその他の越境的課題
Beyond state and non-state actors, changes in global climate and other dangerous transboundary threats are already transforming the context in which the Department operates. Increasing temperatures, changing precipitation patterns, rising sea levels, and more frequent extreme weather conditions will affect basing and access while degrading readiness, installations, and capabilities. Climate change is creating new corridors of strategic interaction, particularly in the Arctic region. It will increase demands, including on the Joint Force, for disaster response and defense support of civil authorities, and affect security relationships with some allies and partners. Insecurity and instability related to climate change may tax governance capacity in some countries while heightening tensions between others, risking new armed conflicts and increasing demands for stabilization activities. The COVID-19 pandemic continues to have far-reaching effects on societies, global supply chains, and the U.S. defense industrial base. It has required substantial commitment of Department resources for support of civil authorities and support to international partners. COVID-19 also spotlights the costs and risks of future biological threats, whether natural or human-made, for the Department and the Joint Force. 国家や非国家勢力を超えて、地球規模の気候変動やその他の危険な越境的脅威は、すでに国防総省が活動する状況を一変させている。気温の上昇、降水パターンの変化、海面上昇、より頻繁な異常気象は、即応性、施設、能力を低下させる一方で、基地やアクセスに影響を与える。気候変動は、特に北極圏において、新たな戦略的相互作用の通路を作り出している。気候変動は、統合軍を含め、災害対応や民間当局の防衛支援に対する需要を増大させ、一部の同盟国やパートナーとの安全保障関係に影響を与えるだろう。気候変動に関連した不安と不安定は、一部の国の統治能力を低下させる一方、他の国の緊張を高め、新たな武力紛争のリスクと安定化活動への需要を増加させるかもしれません。COVID-19パンデミックは、社会、世界のサプライチェーン、米国の防衛産業基盤に広範囲な影響を与え続けている。市民当局の支援や国際的なパートナーへの支援のために、国防総省の資源を大幅に投入する必要があった。COVID-19はまた、自然・人為を問わず、将来の生物学的脅威が国防総省と統合軍にもたらすコストとリスクにもスポットを当てている。
Approaches アプローチ
The Department will advance our priorities through integrated deterrence, campaigning, and actions that build enduring advantages. 国防総省は、統合的抑止力、キャンペーン、永続的な優位性を構築する行動を通じて、優先事項を推進することになる。
Integrated Deterrence 統合抑止力
Integrated deterrence entails working seamlessly across warfighting domains, theaters, the spectrum of conflict, all instruments of U.S. national power, and our network of Alliances and partnerships. Tailored to specific circumstances, it applies a coordinated, multifaceted approach to reducing competitors' perceptions of the net benefits of aggression relative to restraint. Integrated deterrence is enabled by combat-credible forces prepared to fight and win, as needed, and backstopped by a safe, secure, and effective nuclear deterrent. 統合抑止力とは、戦域、戦場、紛争範囲、米国のあらゆる国力手段、同盟とパートナーシップのネットワークにまたがるシームレスな作業を意味する。特定の状況に合わせて、協調的で多面的なアプローチを適用し、自制に対する侵略の純益に対する競争相手の認識を低下させる。統合抑止は、必要に応じて戦い、勝利する準備を整えた戦闘信用力の高い軍隊によって可能となり、安全、確実、かつ効果的な核抑止力によって支援される。
Campaigning キャンペーン
Day after day, the Department will strengthen deterrence and gain advantage against competitors' most consequential coercive measures by campaigning - the conduct and sequencing of logically-linked military initiatives aimed at advancing well-defined, strategy-aligned priorities over time. The United States will operate forces, synchronize broader Departmental efforts, and align Departmental activities with other instruments of national power to counter forms of competitor coercion, complicate competitors' military preparations, and develop our own warfighting capabilities together with those of our Allies and partners. 米国は日々、抑止力を強化し、キャンペーン(明確に定義された、戦略に沿った優先事項を長期的に推進することを目的とした、論理的にリンクした軍事構想の実施と順序付け)によって、競争相手の最も重大な強制的手段に対して優位に立つことができる。米国は、戦力を運用し、国防総省の幅広い取り組みを同期させ、国防総省の活動を国力の他の手段と連携させて、競争相手の強制力に対抗し、競争相手の軍事準備を複雑にし、同盟国やパートナーの戦力とともに自国の戦力を発展させることにする。
Building Enduring Advantages 永続的な優位性の構築
To shore up the foundations for integrated deterrence and campaigning, we will act urgently to build enduring advantages across the defense ecosystem - the Department of Defense, the defense industrial base, and the array of private sector and academic enterprises that create and sharpen the Joint Force's technological edge. We will modernize the systems that design and build the Joint Force, with a focus on innovation and rapid adjustment to new strategic demands. We will make our supporting systems more resilient and agile in the face of threats that range from competitors to the effects of climate change. And we will cultivate our talents, recruiting and training a workforce with the skills, abilities, and diversity we need to creatively solve national security challenges in a complex global environment. 統合抑止力と作戦の基盤を強化するため、我々は、国防総省、防衛産業基盤、そして統合軍の技術的優位性を生み出し、研ぎ澄ます民間企業や学術機関の数々といった防衛エコシステム全体で永続的な優位性を築くために緊急の行動を起こす。我々は、イノベーションと新たな戦略的需要への迅速な適応に焦点を当て、統合軍を設計・構築するシステムを近代化する予定である。我々は、競合他社から気候変動の影響に至るまで、さまざまな脅威に直面している我々の支援システムをよりレジリエンスで俊敏なものにします。そして、複雑なグローバル環境において国家安全保障上の課題を創造的に解決するために必要なスキル、能力、多様性を備えた人材を採用し、訓練することで、才能を開花させる。
Alliances and Partnerships 同盟とパートナーシップ
We cannot meet these complex and interconnected challenges alone. Mutually-beneficial Alliances and partnerships are our greatest global strategic advantage - and they are a center of gravity for this strategy. We will strengthen major regional security architectures with our Allies and partners based on complementary contributions; combined, collaborative operations and force planning; increased intelligence and information sharing; new operational concepts; and our ability to draw on the Joint Force worldwide. 我々は、このような複雑で相互に関連し合う課題に単独で対処することはできない。相互に利益をもたらす同盟とパートナーシップは、我々の最大の世界戦略的優位性であり、この戦略の重心である。我々は、同盟国やパートナーとともに、補完的な貢献、複合的で協力的な作戦や部隊計画、情報と情報共有の強化、新しい作戦コンセプト、そして世界中の統合軍を活用する能力に基づいて、主要な地域の安全保障体制を強化していくつもりである。
The Indo-Pacic Region インド・太平洋地域
The Department will reinforce and build out a resilient security architecture in the Indo- Pacific region in order to sustain a free and open regional order and deter attempts to resolve disputes by force. We will modernize our Alliance with Japan and strengthen combined capabilities by aligning strategic planning and priorities in a more integrated manner; deepen our Alliance with Australia through investments in posture, interoperability, and expansion of multilateral cooperation; and foster advantage through advanced technology cooperation with partnerships like AUKUS and the Indo-Pacific Quad. 自由で開かれた地域秩序を維持し、武力による紛争解決の試みを抑止するため、インド太平洋地域におけるレジリエンス・アーキテクチャーを強化・構築する。日本との同盟関係を近代化し、戦略立案と優先順位をより統合的に調整することで統合能力を強化し、態勢、相互運用性、多国間協力の拡大への投資を通じてオーストラリアとの同盟関係を深め、AUKUSやインド太平洋クアッドなどのパートナーシップによる先端技術協力を通じて優位性を育成します。
Europe ヨーロッパ
The Department will maintain its bedrock commitment to NATO collective security, working alongside Allies and partners to deter, defend, and build resilience against further Russian military aggression and acute forms of gray zone coercion. As we continue contributing to NATO capabilities and readiness - including through improvements to our posture in Europe and our extended nuclear deterrence commitments - the Department will work with Allies bilaterally and through NATO's established processes to better focus NATO capability development and military modernization to address Russia's military threat. NATOの集団安全保障に対する基本的なコミットメントを維持し、同盟国やパートナーとともに、さらなるロシアの軍事的侵略やグレーゾーンでの強要に対して抑止、防御、レジリエンスを構築していく。欧州における態勢の改善や拡大核抑止のコミットメントを含め、NATOの能力と即応性に貢献し続けるとともに、ロシアの軍事的脅威に対処するためにNATOの能力開発と軍事近代化をより重視するため、同盟国と二国間およびNATOの確立したプロセスを通じて協働する。
The Middle East 中東
As the Department continues to right-size its forward military presence in the Middle East following the mission transition in Afghanistan and continuing our "by, with, and through" approach in Iraq and Syria, we will address major security challenges in the region in effective and sustainable ways. The Joint Force will retain the ability to deny Iran a nuclear weapon; to identify and support action against Iranian and Iranian-backed threats; and to disrupt top-tier VEO threats that endanger the homeland and vital U.S. national interests. アフガニスタンでの任務移行に伴い、中東における前方軍事プレゼンスを適正化し、イラクとシリアでは「by, with, and through」アプローチを継続する中で、我々は効果的かつ持続可能な方法でこの地域の主要な安全保障上の課題に対処することになる。統合軍は、イランの核保有を阻止する能力、イランやイランに支援された脅威を特定し行動を支援する能力、そして国土と米国の重要な国益を脅かすトップレベルのVEO脅威を破壊する能力を保持する。
Western Hemisphere 西半球
The United States derives immense benefit from a stable, peaceful, and democratic Western Hemisphere that reduces security threats to the homeland. To prevent distant threats from becoming a challenge at home, the Department will continue to partner with countries in the region to build capability and promote security and stability. 米国は、安定した平和で民主的な西半球から莫大な利益を得ており、それによって自国への安全保障上の脅威が軽減される。遠くの脅威が自国の課題となることを防ぐため、同省は、能力を構築し、安全と安定を促進するために、この地域の国々との提携を継続する予定である。
Africa アフリカ
In Africa, the Department will prioritize disrupting VEO threats against the U.S. homeland and vital U.S. national interests, working "by, with, and through" our African partners to build states' capability to degrade terrorist organizations and contribute broadly to regional security and stability. We will orient our approach on the continent towards security cooperation, increase coordination with Allies, multilateral organizations, and regional bodies that share these objectives, and support for U.S. interagency initiatives in the region. アフリカでは、米国本土や米国の重要な国益に対するVEOの脅威を阻止することを優先し、アフリカのパートナーによって、パートナーとともに、パートナーを通じて、テロ組織を衰退させる国家の能力を高め、地域の安全と安定に広く貢献する。我々は、アフリカ大陸における我々のアプローチを安全保障協力に向け、これらの目的を共有する同盟国、多国間組織、地域組織との連携を強化し、同地域における米国の省庁間イニシアティブを支援する。
The Arctic 北極圏
The United States seeks a stable Arctic region characterized by adherence to internationally-agreed upon rules and norms. The Department will deter threats to the U.S. homeland from and through the Arctic region by improving early warning and JSR capabilities, partnering with Canada to enhance North American Aerospace Defense Command capabilities, and working with Allies and partners to increase shared maritime domain awareness. U.S. activities and posture in the Arctic should be calibrated, as the Department preserves its focus on the Indo-Pacific region. 米国は、国際的に合意されたルールと規範の遵守を特徴とする安定した北極圏地域を求めている。米国は、早期警戒とJSRの能力を向上させ、カナダと提携して北米航空宇宙防衛司令部の能力を強化し、同盟国やパートナーと協力して共通の海域認識を高めることにより、北極地域から、あるいは北極地域を通じて米国本土への脅威を抑止していくであろう。北極圏における米国の活動や態勢は、インド太平洋地域への注力を維持する中で、調整されるべきものである。
Force Planning 戦力計画
Sustaining and strengthening deterrence requires that the Department design, develop, and manage a combat-credible U.S. military fit for advancing our highest defense priorities. The Department's force development and design program will integrate new operational concepts with the force attributes required to strengthen and sustain deterrence and to prevail in conflict if necessary. The Department will prioritize a future force that is: 抑止力を維持・強化するためには、国防の最優先事項を推進するのに適した、戦闘上信頼できる米軍を設計、開発、管理することが必要である。国防総省の戦力開発・設計プログラムは、新しい作戦コンセプトと、抑止力を強化・維持し、必要に応じて紛争に勝利するために必要な戦力特性を統合するものである。国防総省は、以下のような将来の戦力を優先する。
Lethal: Possesses anti-access/area-denial-insensitive strike capabilities that can penetrate adversary defenses at range. 致死性:敵の防御を射程距離で貫くことができる反アクセス/領域拒否の攻撃能力を有する。
Sustainable: Securely and effectively provides logistics and sustainment to continue operations in a contested and degraded environment, despite adversary disruption. 持続可能性:持続可能:敵の妨害にもかかわらず、紛争や劣化した環境下で作戦を継続するためのロジスティクスとサステイメントを確実かつ効果的に提供する。
Resilient: Maintains information and decision advantage, preserves command, control, and communications systems, and ensures critical detection and targeting operations. レジリエンス:情報・意思決定の優位性を維持し、指揮・統制・通信システムを維持し、重要な探知・照準業務を確保する。
Survivable: Continues generating combat power to support strike capabilities and enablers for logistics and sustainment, despite adversary attacks. 生存可能:敵の攻撃を受けても、攻撃能力を支援するための戦闘力と、ロジスティクスと維持のためのイネーブラーを生成し続ける。
Agile and Responsive: Rapidly mobilizes forces, generates combat power, and provides logistics and sustainment, even given adversary regional advantages and climate change impacts. 機動性と対応力:敵の地域的な優位性や気候変動の影響を考慮しても、戦力を迅速に動員し、戦闘力を生み出し、後方支援と持続可能性を提供する。
Risk Management リスクマネジメント
No strategy will perfectly anticipate the threats we may face, and we will doubtless confront challenges in execution. This strategy shifts focus and resources toward the Department's highest priorities, which will inevitably affect risk profiles in other areas. An NDS that is clear-eyed about this reality will help ensure that the Department effectively implements the strategy and assesses its impact over time. どのような戦略も、我々が直面する可能性のある脅威を完全に予測することはできず、また、実行する上で困難に直面することは間違いない。この戦略では、省庁の最優先事項に向けて焦点と資源をシフトするため、必然的に他の分野のリスクプロファイルに影響を与えることになる。この現実を明確に認識したNDSは、省庁が戦略を効果的に実施し、その影響を長期的に評価するのに役立つ。
Foresight Risks 先見性のあるリスク
In developing this strategy, the Department considered the risks stemming from inaccurate predictions, including unforeseen shocks in the security environment. Chief among these: The rate at which a competitor modernizes its military, and the conditions under which competitor aggression manifests, could be different than anticipated. Our threat assessments may prove to be either over-or underestimated. We might fail to anticipate which technologies and capabilities may be employed and change our relative military advantage. A new pandemic or the impacts of climate change could cause increased readiness or operational strain. この戦略を策定するにあたり、国防総省は、安全保障環境における予期せぬショックなど、不正確な予測に起因するリスクを考慮した。その中でも特に重要なのは 競合他社が軍備を近代化する速度や、競合他社の侵略が顕在化する条件は、予想と異なる可能性がある。当社の脅威評価は過大または過小評価であることが判明する可能性がある。どのような技術や能力が採用され、相対的な軍事的優位性が変化するかを予測できない可能性がある。新たなパンデミックや気候変動の影響により、準備態勢や作戦上の負担が増加する可能性がある。
Implementation Risks 実施上のリスク
This strategy will not be successful if we fail to resource its major initiatives or fail to make the hard choices to align available resources with the strategy's level of ambition; if we do not effectively incorporate new technologies and identify, recruit, and leverage new talent; and if we are unsuccessful in reducing the barriers that limit collaboration with Allies and partners. We aim to mitigate these and other risks by ruthless prioritization. For example, we must not over-exert, reallocate, or redesign our forces for regional crises that cross the threshold of risk to preparedness for our highest strategic priorities また、新技術を効果的に取り入れ、新しい人材を発掘し、採用し、活用することができなければ、また、同盟国やパートナーとの協業を制限する障壁を減らすことに成功しなければ、この戦略は成功しない。我々は、これらのリスクやその他のリスクを軽減するために、冷酷なまでに優先順位をつけることを目指す。例えば、戦略上の最優先事項に対する備えとリスクの閾値を超えるような地域的危機のために、戦力を過剰に投入したり、再配置したり、再設計したりしてはならない。
Building Enduring Advantages 永続的な優位性の構築
To shore up the foundations for integrated deterrence and campaigning, we will act urgently to build enduring advantages across the defense ecosystem - the Department of Defense, the defense industrial base, and the array of private sector and academic enterprises that create and sharpen the Joint Force's technological edge. We will modernize the systems that design and build the Joint Force, with a focus on innovation and rapid adjustment to new strategic demands. We will make our supporting systems more resilient and agile in the face of threats that range from competitors to the effects of climate change. And we will cultivate our talents, recruiting and training a workforce with the skills, abilities, and diversity we need to creatively solve national security challenges in a complex global environment. 統合抑止力と作戦の基盤を強化するため、我々は、国防総省、防衛産業基盤、そして統合軍の技術的優位性を生み出し、研ぎ澄ます民間企業や学術機関の数々といった防衛エコシステム全体で永続的な優位性を築くために緊急の行動を起こす。我々は、イノベーションと新たな戦略的需要への迅速な適応に焦点を当て、統合軍を設計・構築するシステムを近代化する予定である。我々は、競合他社から気候変動の影響に至るまで、さまざまな脅威に直面している我々の支援システムをよりレジリエンスで俊敏なものにします。そして、複雑なグローバル環境において国家安全保障上の課題を創造的に解決するために必要なスキル、能力、多様性を備えた人材を採用・育成し、才能を開花させる。
Conclusion 結論
The United States is endowed with remarkable qualities that confer great advantages, including in the realm of national security. We are a free people devoted to democracy and the rule of law. Our combination of diversity, free minds, and free enterprise drives extraordinary innovation and adaptability. We are a member of an unparalleled and unprecedented network of alliances and partnerships. Together, we share many common values and a common interest in defending the stable and open international system, the basis for the most peaceful and prosperous epoch in modern history. 米国は、国家安全保障の領域を含め、大きな利点をもたらす驚くべき資質を備えている。我々は、民主主義と法の支配に献身する自由な国民である。多様性、自由な精神、自由なエンタープライズの組み合わせは、並外れた革新性と適応性を促進します。我々は、他に類を見ない、前例のない同盟とパートナーシップのネットワークの一員である。我々は、多くの共通の価値観を持ち、近代史の中で最も平和で豊かな時代の基盤である安定した開かれた国際システムを守ることに共通の関心を持っている。
We must not lose sight of these qualities and advantages. Our generational challenge is to combine and integrate them, developing our capabilities together with those of our Allies and partners to sustain and strengthen an international system under threat. 我々は、これらの資質や利点を見失ってはならない。我々の世代的な課題は、これらを組み合わせ、統合し、我々の能力を同盟国やパートナーの能力とともに開発し、脅威の下にある国際システムを維持し強化することである。
This NDS has outlined the courses of action the Department of Defense will take to help meet this challenge. We are confident in success. Our country has faced and prevailed in multi-year competitions with major powers threatening or using force to subjugate others on more than one occasion in the past. Working in service of the American people, and in collaboration with our partners around the world, the men and women of our superbly capable Joint Force stand ready to do so again. この NDS は、この挑戦の達成を支援するために国防総省が取るべき行動指針を示したものである。我々は、成功を確信している。わが国は、過去に何度も、他国を支配するために脅威を与え、あるいは武力を行使する大国との数年にわたる競争に直面し、勝利してきた。米国民に奉仕し、世界中のパートナーとの協力のもと、我々の素晴らしく有能な統合軍の男女は、再びそうする準備ができている。

 

・[PDF]

20230317-193145

・[DOCX] 仮訳

 

 

 

 

Cyberという文字は34箇所ででてきますが、サイバーセキュリティではなく、サイバー空間、サイバー領域という意味で使われているところがほとんどですかね。。。

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.10.14 米国 国家安全保障戦略

 

| | Comments (0)

2022.10.28

英国 ICO 未熟なバイオメトリクス技術は人を差別する可能性がある「バイオメトリクス洞察レポート」「バイオメトリクス予見レポート」

こんにちは、丸山満彦です。

英国の情報コミッショナー事務局 (Infomation Commissioner's Office; ICO) は、「未熟なバイオメトリクス技術は人を差別する可能性がある」と警告を出していますね。。。バイオメトリクスを利用した感情分析技術(視線追跡、感情分析、顔の動き、歩行分析、心拍、顔の表情、肌の水分などのデータをAI等を利用して処理し、感情を推測する技術)について気にしているのでしょうかね。。。

2023年春にバイオメトリクスに関するガイダンスを出すようですね。。。

 

Information Commissioner's Office: ICO

・2022.10.26 ‘Immature biometric technologies could be discriminating against people’ says ICO in warning to organisations

‘Immature biometric technologies could be discriminating against people’ says ICO in warning to organisations 「未熟なバイオメトリクス技術は人を差別する可能性がある」とICOが組織への警告を発表
The Information Commissioner’s Office (ICO) is warning organisations to assess the public risks of using emotion analysis technologies, before implementing these systems. Organisations that do not act responsibly, posing risks to vulnerable people, or fail to meet ICO expectations will be investigated. 情報コミッショナー事務局(ICO)は、感情分析技術を導入する前に、その公共的リスクを評価するよう組織に警告している。責任ある行動をとらず、弱者にリスクを与える組織や、ICOの期待に応えられない組織は、調査を受けることになる。
Emotional analysis technologies process data such as gaze tracking, sentiment analysis, facial movements, gait analysis, heartbeats, facial expressions and skin moisture. 感情分析技術は、視線追跡、感情分析、顔の動き、歩行分析、心拍、顔の表情、肌の水分などのデータを処理する。
Examples include monitoring the physical health of workers by offering wearable screening tools or using visual and behavioural methods including body position, speech, eyes and head movements to register students for exams. 例としては、ウェアラブルスクリーニングツールを提供して労働者の身体的健康を監視したり、体位、スピーチ、目、頭の動きなどの視覚的・行動的手法を用いて受験生を登録したりすることが挙げられる。
Emotion analysis relies on collecting, storing and processing a range of personal data, including subconscious behavioural or emotional responses, and in some cases, special category data. This kind of data use is far more risky than traditional biometric technologies that are used to verify or identify a person. 感情分析は、潜在的な行動や感情的な反応、場合によっては特別なカテゴリーデータなど、さまざまな個人データの収集、保存、処理に依存する。このようなデータの使用は、個人の確認や識別に使用される従来のバイオメトリクス認証技術よりもはるかにリスクが高い。
The inability of algorithms which are not sufficiently developed to detect emotional cues, means there’s a risk of systemic bias, inaccuracy and even discrimination. 感情の手がかりを検出するためのアルゴリズムが十分に発達していないため、体系的なバイアス、不正確さ、さらには差別のリスクがあることを意味する。
Deputy Commissioner, Stephen Bonner said: 副長官であるStephen Bonnerは、次のように述べている。
“Developments in the biometrics and emotion AI market are immature. They may not work yet, or indeed ever. 「バイオメトリクスと感情AI市場の開発は未熟である。まだ、いや、これからも機能しないかもしれない。」
“While there are opportunities present, the risks are currently greater. At the ICO, we are concerned that incorrect analysis of data could result in assumptions and judgements about a person that are inaccurate and lead to discrimination. 「機会が存在する一方で、現状ではリスクの方が大きい。ICOでは、データの不正確な分析が、その人に関する不正確な仮定や判断につながり、差別につながることを懸念している。」
“The only sustainable biometric deployments will be those that are fully functional, accountable and backed by science. As it stands, we are yet to see any emotion AI technology develop in a way that satisfies data protection requirements, and have more general questions about proportionality, fairness and transparency in this area. 「持続可能なバイオメトリクス認証の導入は、完全に機能し、説明責任を果たし、科学的な裏付けがあるものだけだろう。現状では、データ保護の要件を満たすような感情的なAI技術の開発はまだ見られず、この分野における比例性、公平性、透明性についてより一般的な疑問を持っている。」
“The ICO will continue to scrutinise the market, identifying stakeholders who are seeking to create or deploy these technologies, and explaining the importance of enhanced data privacy and compliance, whilst encouraging trust and confidence in how these systems work.” 「ICOは今後も市場を精査し、こうした技術の創出や展開を目指す関係者を特定し、データプライバシーとコンプライアンスの強化の重要性を説明するとともに、こうしたシステムの仕組みに対する信頼と信用を促していく。」
Biometric guidance coming in Spring 2023   2023年春にバイオメトリクスのガイダンスが発行される
The ICO is an advocate for genuine innovation and business growth. To enable a fairer playing field, we will act positively towards those demonstrating good practice, whilst taking action against organisations who try to gain unfair advantage through the use of unlawful or irresponsible data collection technologies. このガイダンスは、エイダ・ラブレス研究所とブリティッシュ・ユース・カウンシルの協力のもとで開催される公開討論会にも協力し、人々を中核に据えたものとなる。 このダイアログでは、バイオメトリクス技術に対する一般の人々の認識を探り、バイオメトリクスデータの使用方法について意見を収集する。
As well as warning about the risks around emotion analysis technologies, we are developing guidance on the wider use of biometric technologies. These technologies may include facial, fingerprint and voice recognition, which are already successfully used in industry. バイオメトリクス製品やサービスの開発段階で企業や組織を支援することは、「プライバシー・バイ・デザイン」のアプローチを取り入れることになるため、リスク要因を減らし、組織が安全かつ合法的に運営されていることを保証することになる。
Our biometric guidance, which is due to be published in Spring 2023, will aim to further empower and help businesses, as well as highlight the importance of data security. Biometric data is unique to an individual and is difficult or impossible to change should it ever be lost, stolen or inappropriately used.  2023年春に発行予定のバイオメトリクスのガイダンスは、ビジネスの力をさらに高め、支援するとともに、データセキュリティの重要性を強調することを目的としている。バイオメトリクスデータは個人に固有のものであり、紛失、盗難、不適切な利用があった場合、変更することは困難か不可能である。
This guidance will also have people at its core, with the assistance of public dialogues held in liaison with both the Ada Lovelace Institute and the British Youth Council. These will explore public perceptions of biometric technologies and gain opinions on how biometric data is used. また、このガイダンスは、エイダ・ラブレイス研究所やブリティッシュ・ユース・カウンシルと連携して開催されるパブリック・ダイアログの支援を受けながら、人を中心に据えたものとなる。このダイアログでは、バイオメトリクス技術に対する一般の人々の認識を探り、バイオメトリクスデータの利用方法について意見を聞くことができる。
Supporting businesses and organisations at the development stage of biometrics products and services embeds a ‘privacy by design’ approach, thus reducing the risk factors and ensuring organisations are operating safely and lawfully. バイオメトリクス製品やサービスの開発段階から企業や組織をサポートすることで、「プライバシー・バイ・デザイン」のアプローチを取り入れ、リスク要因を低減し、組織の安全かつ合法的な運営を保証する。
Further information is available in two new reports which have been published this week to support businesses navigating the use of emerging biometrics technologies. さらに、新たなバイオメトリクス技術の活用を目指す企業を支援するため、今週発表された2つの新しいレポートから情報を得ることができる。
Examples of where biometric technologies are currently being used:   バイオメトリクス認証技術の最近の活用例・
・Financial companies are using facial recognition to verify human identities through comparing photo IDs and a selfie. Computer systems then verify the likelihood of the documents being genuine and the person in both images being the same. ・金融機関は、顔認識技術を使って、写真付き身分証明書と自撮り写真を比較し、人間の身元を確認する。そして、コンピュータシステムが、書類が本物であること、両方の画像に写っている人物が同一であることの可能性を検証する。
・Airports are aiming to streamline passenger journeys through facial recognition at check-in, self-service bag drops and boarding gates. ・空港では、チェックイン、セルフサービスの手荷物預かり、搭乗ゲートでの顔認識により、乗客の移動を合理化することを目指している。
・Other companies are using voice recognition to allow users to gain access to secure platforms instead of using passwords. ・また、音声認識を利用して、パスワードの代わりに安全なプラットフォームへのアクセスを可能にする企業もある。
Biometric technologies are also expected to have a major impact on the following sectors:   また、バイオメトリクス技術は、以下の分野にも大きな影響を与えることが予想される:
・The finance and commerce sectors are rapidly deploying behavioural biometrics and technologies such as voice, gait and vein geometry for identification and security purposes. ・金融や商業の分野では、本人確認やセキュリティのために、行動バイオメトリクスや音声、歩行、静脈ジオメトリなどの技術が急速に導入されていく。
・The fitness and health sector which is expanding the range of biometrics they collect, with consumer electronics being repurposed for health data. ・フィットネスや健康分野では、家電製品が健康データに再利用されるなど、バイオメトリクス情報収集の幅が広がっている。
・The employment sector has begun to deploy biometrics for interview analysis and staff training – complete our public consultation ・雇用分野では、面接分析やスタッフ研修にバイオメトリクスの導入が始まっている。 - 公開コンサルテーションを終了した。
・Behavioural analysis in early education is becoming a significant, if distant, concern. ・早期教育における行動分析学は、遠い存在ではあるが、重要な関心事となりつつある。
・Biometrics will also be integral to the success of immersive entertainment. ・また、没入型エンターテインメントの成功には、バイオメトリクス認証が不可欠になる。
Our look into biometrics futures is a key part of the ICO’s horizon-scanning function. This work identifies the critical technologies and innovation that will impact privacy in the near future – it’s aim is to ensure that the ICO is prepared to confront the privacy challenges transformative technology can bring and ensure responsible innovation is encouraged. バイオメトリクスの未来についての考察は、ICOの水平スキャンニング機能の重要な部分を担っている。この作業は、近い将来プライバシーに影響を与える重要な技術と革新を特定する。その目的は、ICOが変革的な技術がもたらすプライバシーの課題に立ち向かう準備を整え、責任ある革新を確実に促進することにある。
Notes to editors: 編集後記
1. The Information Commissioner’s Office (ICO) is the UK’s independent regulator for data protection and information rights law, upholding information rights in the public interest, promoting openness by public bodies and data privacy for individuals. 1. 情報コミッショナーオフィス(ICO)は、データ保護と情報権利法に関する英国の独立規制機関であり、公共の利益のために情報権利を支持し、公的機関による公開と個人のデータプライバシーを促進する。
2. The ICO has specific responsibilities set out in the Data Protection Act 2018 (DPA2018), the United Kingdom General Data Protection Regulation (UK GDPR), the Freedom of Information Act 2000 (FOIA), Environmental Information Regulations 2004 (EIR), Privacy and Electronic Communications Regulations 2003 (PECR) and a further five acts and regulations.  2. ICOは、データ保護法2018(DPA2018)、英国一般データ保護規則(英国GDPR)、情報公開法2000(FOIA)、環境情報規則2004(EIR)、プライバシーおよび電子通信規則2003(PECR)、さらに5つの法律および規則で定められた特定の責任を担っている。
3. Biometric technologies are: technologies that process biological or behavioural characteristics for the purpose of identification, verification, categorisation or profiling.   3. バイオメトリクス技術とは:識別、検証、分類またはプロファイリングを目的として、生物学的または行動学的特性を処理する技術。  
4. If you are interested in biometric technologies and would like engage with the work we are doing in this area please email biometrics@ico.org.uk. 4. バイオメトリクス技術に興味があり、この分野で私たちが行っている活動に参加したい方は、biometrics@ico.org.uk にメールを送付すること。

 

・2022.10.26 Biometrics technologies

Biometrics technologies バイオメトリクス技術
The Information Commissioner’s Office (ICO) is warning organisations to assess the public risks of using emotion analysis technologies before implementing these systems. Organisations that do not act responsibly, posing risks to vulnerable people, or fail to meet ICO expectations will be investigated. 情報コミッショナー事務局(ICO)は、感情分析技術を使用する際の公衆のリスクを評価した上で、これらのシステムを導入するよう組織に警告している。責任ある行動をとらず、弱者にリスクを与える組織や、ICOの期待に応えられない組織には調査が行われる。
Supporting businesses and organisations at the development stage of biometrics products and services embeds a ‘privacy by design’ approach, thus reducing the risk factors and ensuring organisations are operating safely and lawfully. バイオメトリクス製品およびサービスの開発段階で企業や組織を支援することは、「プライバシー・バイ・デザイン」アプローチを組み込むことになるため、リスク要因を減らし、組織が安全かつ合法的に運営されていることを保証する。
Further information is available in two new reports which have been published to support businesses navigating the use of emerging biometrics technologies. さらに詳しい情報は、新たなバイオメトリクス技術の利用を進める企業を支援するために発行された2つの新しい報告書に記載されている。
Further Reading 参考資料
Biometrics insight report - 26 October 2022 バイオメトリクス洞察レポート(2022年10月26日発行)
Biometrics foresight report - 26 October 2022 バイオメトリクス予見レポート(2022年10月26日発行)

 

・[PDF] Biometrics insight report

20221028-55557

目次...

Biometrics insight report バイオメトリクス洞察レポート
Introduction 序文
Background 背景
Why biometric data? なぜバイオメトリクスデータなのか?
Defining biometric data バイオメトリクスデータの定義
Biometric technologies – the context バイオメトリクス技術 - その背景
Why biometrics technologies? なぜバイオメトリクス技術なのか?
Biometric technologies: patent analysis バイオメトリクス技術:特許分析
Biometric technologies: further insights バイオメトリクス技術:さらなる洞察
Legal context 法的背景
What’s next? 次は何?
Annex A – Glossary 附属書A - 用語集

 

・[PDF] Biometrics foresight report 

20221028-55703

目次...

Biometrics foresight report バイオメトリクス予見レポート
Introduction 序文
Context 背景
Sector scenarios 分野別シナリオ
Short term scenarios 短期シナリオ
Medium term scenarios 中期シナリオ
Long term scenarios 長期シナリオ
Key issues in biometric futures バイオメトリクス情報未来における重要課題
Issue 1: Clarification of terminology and production of guidance 課題1:用語の明確化、ガイダンスの作成
Issue 2: Increasing use of biometric technologies for classificatory purposes 課題2:分類のためのバイオメトリクス技術の利用拡大
Issue 3: Compliance with transparency and lawfulness requirements when processing ambient data will present significant challenges 課題3:環境データを処理する際の透明性と適法性の要件への準拠が大きな課題となる
Issue 4: Emotional AI is developing at pace despite being considered a high risk biometric technology 課題4:高リスクのバイオメトリクス技術と考えられているにもかかわらず、エモーショナルAIは急速に発展している
What’s next? 次は何?
Annex A – Methodology and responses 附属書A - 方法論と回答
Annex B – Call for view questions 附属書B - 閲覧募集の質問

 


まるちゃんの情報セキュリティ気まぐれ日記

・2022.10.29 英国 ICO 雇用慣行とデータ保護:労働者の健康情報案に関するコンサルテーション (2022.10.27)

・2022.10.29 英国 ICO 雇用慣行:職場における監視ガイダンスと影響評価案に関するコンサルテーション (2022.10.12)

・2022.10.28 英国 ICO 未熟なバイオメトリクス技術は人を差別する可能性がある「バイオメトリクス洞察レポート」「バイオメトリクス予見レポート」

 

中国は顔認識、歩行認識、音声認識データについてのセキュリティ標準を最近決定しましたね。。。

・2022.10.22 中国 TC260 14のセキュリティ関連の標準を決定

 

Faicial Recognition

・2022.10.07 米国 科学技術政策局 AI権利章典の青写真

・2022.10.03 米国 2022年顔認識法案

・2022.07.12 米国 国土安全保障省検査局 米国税関・国境警備局は空港での国際線旅行者の識別のために顔認識のポリシーを遵守している (2022.07.07)

・2022.05.30 英国 情報コミッショナー 顔認識データベース会社Clearview AI Incに750万ポンド以上の罰金を科し、英国人のデータの削除を命じた

・2022.05.20 欧州データ保護委員会 (EDPB) 意見募集「法執行分野における顔認識技術の使用に関するガイドライン」

・2022.05.15 カナダ プライバシーコミッショナー室 プライバシーに関する戦略的優先事項とそこから生まれたテーマと見解

・2022.04.30 米国 GAO ブログ 人工知能は国家安全保障をどう変えるか (2022.04.19)

・2022.01.21 ENISA デジタル・アイデンティティ攻撃に注意:あなたの顔が偽装される可能性があります

・2021.12.25 個人情報保護委員会 犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会の設置

・2021.10.17 インターポール、国連地域間犯罪司法研究所、オランダ警察、世界経済会議が「顔認証を責任もって制限するためのポリシーフレームワーク ユースケース:法執行機関の捜査」 at 2021.10.05

・2021.09.29 世界経済フォーラム (WEF) 技術の責任ある利用:IBMをケースにした研究

・2021.09.27 欧州委員会 職場での電子モニタリングと監視 (Electronic Monitoring and Surveillance in the Workplace)

・2021.09.10 EU議会 提言 バイオメトリクス認識と行動検知

・2021.08.28 中国 意見募集 国家サイバースペース管理局 「インターネット情報サービスのアルゴリズムによる推奨に関する管理規定」

・2021.08.27 米国 GAO 顔認識技術:連邦政府機関による現在および計画中の使用方法

・2021.08.20 英国 意見募集 監視カメラ実施規範改訂案 by 監視カメラコミッショナー at 2021.08.13

・2021.08.11 EU議会 STUDY バイオメトリクス認識と行動検知

・2021.08.10 EU議会 STUDY ヨーロッパの政策におけるディープフェイクへの取り組み at 2021.07.30

・2021.08.08 EU議会 BRIEFING スマートシティとアーバンモビリティにおける人工知能 at 2021.07.23

・2021.08.07 総務省 AIネットワーク社会推進会議 「報告書2021」の公表

・2021.08.07 Atlantic Council AIとデータ倫理におけるコミットメントからコンテンツへの移行:正義と説明可能性

・2021.08.04 中国 通信院 信頼できる人工知能についての白書 at 2021.07.09

・2021.08.03 中国 最高人民法院 「民事案件における顔識別技術の使用に関する司法解釈」

・2021.07.15 米国GAO 顔認識技術について連邦法執行機関はプライバシーやその他のリスクをより適切に評価する必要がある at 2021.06.03

・2021.07.12 ニューヨーク市 生体情報プライバシー条例が2021.07.09から施行されましたね。。。

・2021.06.30 WHO 保健のための人工知能の倫理とガバナンス

・2021.06.28 EU 外交政策ツールとしての人工知能ガバナンス

・2021.06.23 欧州 EDPBとEDPS 公共の場における人の特徴を自動認識するためのAIの使用、および不当な差別につながる可能性のあるその他のAIの使用の一部を禁止するよう要請

・2021.06.22 欧州保険職業年金局 (EIOPA) 欧州保険セクターにおける倫理的で信頼できるAIガバナンス原則に関するレポートを公表

・2021.06.20 英国 情報コミッショナー 公共の場でのライブ顔認識技術の使用に関するプライバシーの懸念

・2021.06.17 米国上院・下院 顔認識ツールを含む生体情報監視を政府が使用することを禁止する「顔認識および生体認識技術モラトリアム法案」

・2021.06.17 英国政府:データ倫理とイノベーションセンター プライバシーに関するユーザの積極的選択中間報告(スマートフォン)

・2021.06.08 U.S. の公益団体であるEPICが顔認識技術および遠隔生体認識技術の使用禁止を世界的に呼びかけていますね。。。

・2021.05.12 カナダのプライバシーコミッショナーが顔認識技術について議会で見解を述べたようですね。。。

・2021.05.07 ドイツ連邦情報セキュリティ局 (BSI) が「監査可能なAIシステムを目指して - 現状と今後の展望」を公表しています

・2021.05.03 中国 意見募集 顔認識に続けて、歩行認識、音声認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。

・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね

・2021.04.22 ドイツ連邦情報セキュリティ局 (BSI) が安全なAI導入のための対策をまとめていますね。。。

・2021.04.21 U.S. FTC(連邦取引委員会) のブログ 会社でAIを活用する場合は真実、公正、公平を目指そう、という記事がありますね。。。

・2021.03.14 CNIL 乗客のマスク着用率を測定するためのインテリジェントビデオの使用に関する法令についての意見を公表

・2021.02.05 カナダのプライバシーコミッショナーが顔認識ソフトウェアを提供するClearview AIについての声明を出していますね。。。

・2021.01.30 欧州評議会 108号条約委員会が「顔認証に関するガイドライン」を採択しましたね。。。

・2021.01.12 欧州委員会 市民イニシアティブとして「生体認証による大量監視慣行の禁止」を登録

・2021.01.04 ニューヨーク州 知事が学校での顔認識技術の使用を一時停止し、研究を指示する法律に署名 at 2020.12.22

・2020.11.04 カナダプライバシー委員会 Cadillac Fairview社が500万人の顔データを取得していたことに関する報告書(2020.10.28)

・2020.06.26 人間が間違うなら、人間を模倣したAIも間違うんでしょうね。。。

・2020.06.14 IBM, Amazon, Microsoftは顔認証システムを米国の警察には販売しない

・2020.05.01 (人工知能 AI)ブラックボックスの検証:アルゴリズムシステムを評価するためのツール - アルゴリズムの監査・影響評価のための共通言語の特定

・2020.03.26 JVNVU#99619336 勾配降下法を使用する機械学習モデルに、誤った識別をさせるような入力を作成することが可能な問題

・2020.03.04 FIRST EVER DECISION OF A FRENCH COURT APPLYING GDPR TO FACIAL RECOGNITION

・2020.02.17 遠くからでもわかる顔認識システム!

ぐっと遡って、2000年代

・2009.11.07 世界プライバシー宣言(Global Privacy Standards for a Global World)

・2005.08.11 外務省 IC旅券調査研究報告書

・2005.02.04 監視社会と信頼関係

| | Comments (0)

2022.10.27

経済産業省 サイバーセキュリティ経営ガイドライン Ver3.0(案)に対する意見募集

こんにちは、丸山満彦です。

経済産業省が、サイバーセキュリティ経営ガイドライン Ver3.0(案)に対する意見募集をしていますね。。。

突然やなぁ...

Vwe1.1から作成に関わっています。。。最近、これをいろいろなところで参照することが増えてきているので、みなさん、ちゃんと意見をだしがほうがよいと思います。。。

意見は、個人名でもよいと思いますし。。。

TwitterやFacebookに書いている人であれば、そのままの内容でよいと思うので。。。

でないと、これを「正」として、いろいろと政策が進められたり、依頼が行われたりするかもしれませんし。。。

 

● e-Gov

・2022.10.26 サイバーセキュリティ経営ガイドライン Ver3.0(案)に対する意見募集

 

・[PDF] サイバーセキュリティ経営ガイドライン Ver3.0(案) [Downloaded]

20221027-60740

 

・[PDF] 「サイバーセキュリティ経営ガイドライン Ver3.0(案)」の改訂概要 [Downloaded]

20221027-60750


...

Ver2.0からの主な変更点

 

(1) 「サイバーセキュリティ経営ガイドライン・概要」の内容を見直し、企業リスクマネジメントの一部としてサイバーセキュリティ対策の必要性やサイバーセキュリティ対策における経営者の責務などを記載しました。

(2) 経営者が認識すべき3原則について、記載の見直し等を行いました。主な変更後の記載は以下のとおりです。

対策の実施を通じたサイバーセキュリティに関する残留リスクを許容水準まで低減することは経営者の責務である旨を記載

サプライチェーン構造の複雑化に伴い、サプライチェーン全体を俯瞰し、総合的なセキュリティを徹底することの必要性等を記載

- 関係者とのコミュニケーションについて、社外のみならず、社内関係者とも積極的にコミュニケーションをとることが必要である旨を記載 

(3) CISO 等に対して指示すべき10の重要項目について、記載の見直し等を行いました。主な変更後の記載は以下のとおりです。

指示3について、セキュリティ業務に従事する従業員のみならず、全ての従業員が自らの業務遂行にあたってセキュリティを意識し、必要かつ十分なセキュリティ対策を実現できるスキル向上の取組が必要である旨を記載

指示8について、事業継続の観点から、制御系も含めた業務の復旧プロセスと整合性のとれた復旧計画・体制の整備の必要性や対象をIT系・社内・インシデントに限定せず、サプライチェーンも含めた実践的な演習の実施等について記載

指示9について、自社へのリスク波及を防ぐ観点からサプライチェーン全体での対策が必要であること、委託先に一方的な対策を強いるのでなく、方策の実効性を高めることを記載

指示10について、有益な情報を得るためには適切な情報を提供することも必要であることを強調しつつ、被害の報告・公表への備えをすることやステークホルダーへの情報開示について記載

その他、全体的に対策を怠った場合のシナリオや対策例の追記等

(4) その他、全体的な表現等の見直しを行いました。

...


 

しつこいですが、意見は積極的にだしたほうがよいと思います。。。

委員として、自信がないものを出したという意味ではないでが、、、(^^)

 

 

 

| | Comments (0)

国際監査・保証基準審議会 準同型暗号

こんにちは、丸山満彦です。

国際監査・保証基準審議会 (The International Auditing and Assurance Standards Board; IAASB)  [wikipedia] が準同型暗号についての記事を書いています。

The International Auditing and Assurance Standards Board; IAASB

・2022.10.20 IAASB DIGITAL TECHNOLOGY MARKET SCAN: HOMOMORPHIC ENCRYPTION

日本語(上にある言語選択タブで選べます...)

・2022.10.20 IAASB デジタル テクノロジー マーケット スキャン: 準同型暗号化

Iaasblogo


面白い組み合わせだなぁ...と思ったので紹介です。そして、それを知ったのが、日本公認会計士協会のウェブページ...

 

日本公認会計士協会

・2022.10.26 IAASB】デジタル技術に関するマーケット動向:準同型暗号
 

まず、国際監査・保証基準審議会ってなんですかというかとも多いと思うので、まずはここからの紹介です。。。国際監査・保証基準審議会は、財務諸表監査、品質管理、レビュー、その他の保証、および関連サービスのための国際基準を設定する、独立した団体です。国際会計士連盟 (International Federation of Accountants;IFAC) [wikipedia] が支援しています。

次に、準同型暗号 (Homomorphic encryption) [wikipedia]です。。。セキュリティをしている方はおそらく知らない人は少ないと思いますが、、、暗号化されたままのデータで計算(秘密計算)ができる暗号方式ですね。。。そのため、個人データ等を処理する場合、プライバシーを維持したままでデータ処理できるので、プライバシーテックなどど言われ、注目されている暗号でもあります。公開暗号鍵暗号である、RSA暗号 [wikipedia] やElGamal暗号 [wikipedia] もそうですね。。。

さて、どうして、IAASBが準同型暗号の記事を書いているのか...その理由ですが、記事によると、つぎの5つの点のようです。。。たしかに。。。

  1. 不正発見等のデータ分析をする際に監査法人の情報漏えい等のリスクを低減することができる。
  2. 第三者にデータ分析を依頼しやすくなる
  3. データ移転に規制のある国のデータを使った分析的手続きがやりやすくなる
  4. 競合他社等のデータをつかった分析的手続きがやりやすくなる
  5. 監査で機械学習を使う場合にバイアスを抑制することができそう

 

Homomorphic encryption has many potential benefits for a wide range of industries from healthcare to financial services. From an audit and assurance perspective, there are several areas where homomorphic encryption can be leveraged. 準同型暗号には、医療から金融サービスまで、幅広い業界で多くの潜在的な利点があります。監査と保証の観点から、準同型暗号化を活用できる領域がいくつかあります。
Using aggregated data to securely achieve common goals – Audit firms or other organizations that may perceive privacy or confidentiality risks when working together could collaborate using encrypted data to achieve a common goal such as developing fraud pattern detection applications. Using homomorphic encryption, encrypted data sets from multiple sources could be linked together, used to train an AI application, and develop a technology product for all parties to use. 集約されたデータを使用して 共通の目標を安全に達成する 一緒に作業するときにプライバシーや機密性のリスクを認識する可能性のある監査事務所やその他の組織は、暗号化されたデータを使用して協力し、詐欺パターン検出アプリケーションの開発などの共通の目標を達成できます。準同型暗号を使用すると、複数のソースからの暗号化されたデータ セットをリンクし、AI アプリケーションのトレーニングに使用して、すべての関係者が使用できるテクノロジ製品を開発できます。
Enabling use of third parties without compromising data privacy – Homomorphic encryption may enable audit practitioners to leverage third parties with greater analytics capabilities or expertise to perform analysis on encrypted data to support audit procedures—an approach that would be difficult if not impossible without the encryption technology. データのプライバシーを侵害することなく第三者の使用を可能にする – 準同型暗号化により、監査担当者は、より優れた分析能力または専門知識を持つ第三者を利用して、暗号化されたデータを分析し、監査手順をサポートできるようになります。これは、暗号化技術なしでは不可能ではないにしても困難なアプローチです
Enhancing effectiveness of cross-border audits – Homomorphic encryption could be used to enable data analysis across borders while respecting data residency and privacy laws. This would be particularly beneficial to group audits with components in jurisdictions with strict data residency restrictions. 国境を越えた監査の有効性を高める– 準同型暗号化を使用して、国境を越えたデータ分析を可能にし、データの所在地とプライバシーに関する法律を尊重することができます。これは、厳格なデータ所在地制限のある法域のコンポーネントを含む監査をグループ化する場合に特に有益です
Greater capability to perform benchmarking – Homomorphic encryption could be used to provide benchmarks across industries, including competitive companies, without exposing market sensitive data. Benchmarking data may be used when performing an audit, for example when performing analytical procedures. ベンチマークを実行する機能の向上– 準同型暗号化を使用して、市場の機密データを公開することなく、競合企業を含む業界全体のベンチマークを提供できます。ベンチマーク データは、分析手順の実行など、監査の実行時に使用される場合があります
Mitigating bias whilst stress testing models – Using homomorphic encryption, machine learning models and algorithms could be stress tested using encrypted data sets, so the data could not be fitted to the model ahead of time. モデルのストレス テスト中のバイアスの軽減– 準同型暗号化を使用すると、暗号化されたデータ セットを使用して機械学習モデルとアルゴリズムをストレス テストできるため、事前にデータをモデルに適合させることができませんでした
All these areas focus on homomorphic encryption’s ability to increase the data analysis that can be done while still ensuring data security and privacy. As the technology gains wider traction, it offers audit and assurance practitioners opportunities to increase their analytical capabilities and leverage the specialized skills of other entities or parties, without compromising data privacy. これらすべての領域は、データのセキュリティとプライバシーを確​​保しながら実行できるデータ分析を向上させる準同型暗号化の能力に焦点を当てています。このテクノロジーが広く普及するにつれて、監査および保証の実務者は、データのプライバシーを損なうことなく、分析能力を高め、他のエンティティまたは関係者の専門的なスキルを活用する機会を得ることができます。

 

なるほどですね。。。

会計分野は古くからコンピュータの利用が進んでいたので、会計士業界というのは、比較的デジタル化が進んでいる業界なのです(多分...)が、これからも、ITの理解をより深め、監査の品質向上に努める必要があるようですね。。。

 

さて、この記事は、IAASBのシリーズもののようです、過去には自然言語処理などの記事も書いています。。。

2022.10.20 Homomorphic Encryption 準同型暗号化
2022.06.22 Natural Language Processing 自然言語処理
2022.03.23 Artificial Intelligence—A Primer 人工知能 - 入門書
2022.01.20 API Access API アクセス
2021.10.27 Data Standardization データの標準化

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.07.14 国際監査・保証基準審議会 「デジタル時代の保証」 (2022.07.01)

 

| | Comments (0)

2022.10.26

世界経済フォーラム (WEF) 規制当局が取締役会に求めるサイバーセキュリティのポイント

こんにちは、丸山満彦です。

世界経済フォーラム (WEF)が「規制当局が取締役会に求めるサイバーセキュリティのポイント」という記事を公表していますね。。。世界経済フォーラム (WEF) の一つのトピックスとして、Cybersecurityがあります。。。

Cybersecurityはそのリスクの大きさや変化のスピードという点から見ても、経営課題の重要な一部であることには違いないと思います。

 

World Economic Forum - Whitepaper

Centre for Cybersecurity

・2022.10.24 Here’s what regulators will want boards to know about cybersecurity

Here’s what regulators will want boards to know about cybersecurity 規制当局が取締役会に求めるサイバーセキュリティのポイント
・Cybersecurity is no longer an issue reserved strictly for the IT or compliance executives, it is an issue that impacts all board members. ・サイバーセキュリティは、もはや IT 部門やコンプライアンス部門の役員だけの問題ではなく、すべての役員に影響を与える問題である。
・The SEC are increasing their requirements for cybersecurity disclosures and so boards must be fully informed and aware of cyber risks and responses. ・SEC はサイバーセキュリティの開示要件を強化しているため、取締役会はサイバーリスクとその対応について十分な情報を得、認識する必要がある。
・The new NACD Cyber Risk-Reporting Service will help companies navigate their regulatory responsibilities and real time cyber risks. ・NACDの新しいサイバーリスク報告サービスは、企業の規制責任とリアルタイムのサイバーリスクをナビゲートするのに役立つ。
New United States Securities and Exchange Commission (SEC) rulemaking makes cyber risk reporting and business resilience planning a key component of effective board governance. Earlier this year, the SEC released a proposed cybersecurity disclosure rule to advance risk management and governance towards the treatment of cyber risk. 米国証券取引委員会(SEC)の新しい規則制定により、サイバーリスク報告とビジネスレジリエンス計画は、効果的な取締役会ガバナンスの重要な要素となる。今年初め、SECは、サイバーリスクの扱いに向けてリスクマネジメントとガバナンスを進めるため、サイバーセキュリティ開示規則案を発表した。
As per the SEC: “The SEC is proposing rules to enhance and standardize disclosures regarding cybersecurity risk management, strategy, governance, and cybersecurity incident reporting by public companies that are subject to the reporting requirements of the Securities Exchange Act of 1934. Specifically, we are proposing amendments to require current reporting about material cybersecurity incidents. We are also proposing to require periodic disclosures about a registrant’s policies and procedures to identify and manage cybersecurity risks, management’s role in implementing cybersecurity policies and procedures, and the board of directors’ cybersecurity expertise if any, and its oversight of cybersecurity risk.” SECの発表によると次の通りである。 「SECは、1934年証券取引法の報告義務の対象となる公開企業によるサイバーセキュリティリスクマネジメント、戦略、ガバナンス、サイバーセキュリティインシデント報告に関する開示を強化し標準化する規則を提案している。具体的には、重要なサイバーセキュリティインシデントに関する最新の報告を義務付ける改正を提案している。また、サイバーセキュリティリスクを特定し管理するための登録者の方針と手続き、サイバーセキュリティ方針と手続きの実施における経営者の役割、取締役会のサイバーセキュリティに関する専門知識がある場合はその知識、サイバーセキュリティリスクの監督について定期的に開示することを要求することを提案している。」
Have you read? もう読みましたか?
Global Cybersecurity Outlook 2022 グローバル・サイバーセキュリティ・アウトルック2022
Board responsibility 取締役会の責任
These recent developments heighten attention on the management and disclosure of cyber risks and incidents across US publicly listed companies. It also underscores the importance of advancing risk management, business resilience and governance efforts across the boardroom to ensure resources and investments are applied to those cyber risks that have the most material financial, business, and operational impact. これらの最近の動向は、米国の上場企業におけるサイバーリスクとインシデントのマネジメントと情報開示への関心を高めている。また、財務、事業、業務に最も重大な影響を及ぼすサイバーリスクにリソースと投資が行われるように、リスクマネジメント、ビジネスレジリエンス、ガバナンスの取り組みを取締役会全体で推進することの重要性が強調されている。
The World Economic Forum and National Association of Corporate Directors (NACD) Principles for Board Governance of Cyber Risk insights report finds that this is a Board level issue that needs to be proactively addressed, especially given the potential financial impacts of cyber risks. 世界経済フォーラムと全米企業役員協会(NACD)の「サイバーリスクに関する取締役会ガバナンスのための原則」レポートは、特にサイバーリスクの潜在的な財務的影響を考えると、これは積極的に取り組む必要のある取締役会レベルの問題であることを見抜いている。
As regulatory attention increases, it is essential for the board to ensure budgets allocated to cybersecurity risk align to effectively mitigate potential impact. The days where security budgets are set without business impact context are over. 規制当局の注目が高まる中、取締役会は、サイバーセキュリティリスクに割り当てられる予算が、潜在的な影響を効果的に軽減するよう調整されることを確認することが不可欠である。ビジネスへの影響を考慮せずにセキュリティ予算が設定される時代は終わったのである。
DISCOVER ディスカバー
What is the World Economic Forum doing on cybersecurity? 世界経済フォーラムは、サイバーセキュリティに関してどのような取り組みを行っているか?
The World Economic Forum’s Centre for Cybersecurity drives global action to address systemic cybersecurity challenges and improve digital trust. It is an independent and impartial platform fostering collaboration on cybersecurity in the public and private sectors. 世界経済フォーラムのサイバーセキュリティ・センターは、サイバーセキュリティの体系的な課題に対処し、デジタルの信頼を向上させるために、グローバルな活動を推進している。このセンターは、官民のサイバーセキュリティに関するコラボレーションを促進する独立した公平なプラットフォームである。
・Salesforce, Fortinet and the Global Cyber Alliance, in partnership with the Forum, are delivering free and globally accessible training to a new generation of cybersecurity experts. ・セールスフォース、フォーティネット、グローバル・サイバー・アライアンスは、同フォーラムと連携し、新世代のサイバーセキュリティ専門家に向けて、無料でグローバルにアクセス可能なトレーニングを提供している。
・The Forum, in collaboration with the University of Oxford – Oxford Martin School, Palo Alto Networks, Mastercard, KPMG, Europol, European Network and Information Security Agency, and the US National Institute of Standards and Technology, is identifying future global risks from next-generation technology. ・フォーラムは、オックスフォード大学マーティンスクール、パロアルトネットワークス、マスターカード、KPMG、ユーロポール、欧州ネットワーク・情報セキュリティ機関、米国国立標準技術研究所と共同で、次世代技術による将来のグローバルリスクを特定する活動を行っている。
・The Forum has improved cyber resilience in aviation while working with Deloitte and more than 50 other companies and international organizations. ・同フォーラムは、デロイトをはじめとする50以上の企業や国際組織と協力しながら、航空業界のサイバーレジリエンスを向上させてきた。
・The Forum is bringing together leaders from more than 50 businesses, governments, civil society and academia to develop a clear and coherent cybersecurity vision for the electricity industry. ・フォーラムは、50以上の企業、政府、市民社会、学界のリーダーを集め、電力業界のための明確で一貫したサイバーセキュリティビジョンを策定している。
・The Council on the Connected World agreed on IoT security requirements for consumer-facing devices to protect them from cybers threats, calling on the world’s biggest manufacturers and vendors to take action for better IoT security. ・コネクテッド・ワールド評議会は、消費者向け機器をサイバー脅威から保護するためのIoTセキュリティ要件に合意し、世界最大のメーカーとベンダーにIoTセキュリティ向上のための行動をとるよう呼びかけた。
・The Forum is also a signatory of the Paris Call for Trust and Security in Cyberspace, which aims to ensure global digital peace and security. ・また、同フォーラムは、世界のデジタル平和と安全の確保を目指す「サイバースペースにおける信頼とセキュリティのためのパリ・コールに署名している。
Contact us for more information on how to get involved. 参加方法の詳細については、問い合わせること。
The importance of communication コミュニケーションの重要性
Effective communication is a cornerstone of positive outcomes in business. Developing a common language for discussing the complex issues of cyber risk is essential to achieving business resilience. This requires simplifying confusing, technical discussions loaded with nuanced security terms into understandable financial exposure analysis, which sheds light on the potential of how cyber-attacks endanger organizations financially in the short and long term. 効果的なコミュニケーションは、ビジネスにおいてポジティブな結果をもたらすための礎となる。サイバーリスクという複雑な問題を議論するための共通言語を開発することは、ビジネスのレジリエンスを実現するために不可欠である。そのためには、微妙なニュアンスのセキュリティ用語が並ぶ混乱した技術的な議論を、理解しやすい財務エクスポージャー分析に単純化し、サイバー攻撃が短期的にも長期的にも組織を財政的に危険にさらすという可能性に光を当てる必要がある。
For boards, It is not the technical part of cyber they need to become experts in (although technical awareness may help). They need to view cyber as a material business financial risk and need to understand the potential of its material impact on business. 取締役会にとって、専門家になる必要があるのはサイバーの技術的な部分ではない(技術的な認識は役立つかもしれないが)。取締役会は、サイバーを重要な事業財務リスクと見なし、それが事業に及ぼす重大な影響の可能性を理解する必要がある。
This will ensure oversight that converts the technical conversation around cyber security to one of taking steps to establish business resiliency. On an ongoing basis, boards can engage in effective oversight by ensuring management develops strategy and aligns budget to demonstrate risk mitigation and financial exposure reduction. これにより、サイバーセキュリティにまつわる技術的な話を、ビジネスのレジリエンスを確立するための措置を講じるという話に変換する監視が保証される。取締役会は、経営陣がリスク軽減と財務的エクスポージャーの削減を実証するための戦略を策定し、予算を調整することで、継続的に効果的な監督を行うことができる。
When formulating their cyber resiliency plans, boards would do well to ask management questions like: サイバーレジリエンス計画を策定する際、取締役会は経営陣に次のような質問をするのがよいだろう。
・What is our potential financial exposure to cyber threats? ・サイバー脅威に対する当社の潜在的な財務的エクスポージャーはどの程度か?
・What cyber threats are most likely to have a major financial impact on our business? ・どのようなサイバー脅威が当社のビジネスに大きな財務的影響を与える可能性が高いか?
・How much financial exposure are we willing to accept across our enterprise and digital supplier ecosystem? ・当社のエンタープライズとデジタルサプライヤのエコシステム全体で、どれだけの財務的エクスポージャーを受け入れることができるか?
・How can we align our budget, implement controls, develop strategy and optimize risk transfer to address our cyber risk exposure? ・サイバーリスクのエクスポージャーに対処するために、どのように予算を調整し、コントロールを導入し、戦略を策定し、リスク移転を最適化できるか?
・Are our digital initiatives being developed in a cyber-resilient way? ・当社のデジタルイニシアチブは、サイバーレジリエンスに対応した方法で開発されているか?
Cyber risk is a discussion for all c-suites サイバーリスクはすべてのc-suiteのための議論である
Chris Hetner, former senior cybersecurity advisor to the SEC and Nasdaq Center for Board Excellence Insights Council member, says that “It is essential for boards to continuously incorporate cyber risk management discussions related to the most effective way to reduce the financial and business impact connected with cyber risk. The conversation isn’t just for the Chief Information Officer (CIO) and Chief Information Security Officer (CISO). It is a broader c-suite discussion, which must be led by the Chief Financial Officer (CFO) and General Counsel.” SECの元シニア・サイバーセキュリティ・アドバイザーで、ナスダックのCenter for Board Excellence Insights Councilのメンバーでもあるクリス・ヘットナーは、「取締役会は、サイバーリスクに関連する財務およびビジネスへの影響を軽減する最も効果的な方法に関するサイバーリスクマネジメントの議論を継続的に取り入れることが不可欠である」と述べている。この議論は、最高情報責任者(CIO)や最高情報セキュリティ責任者(CISO)のためだけのものではない。最高財務責任者(CFO)と法務責任者が主導しなければならない、より広範なCSUITEの議論なのである。
Hetner says that the failure of cybersecurity to leave a mark on the board is no longer, noting that: "The default tendency of executives is to rely on periodic tactical and technical reports to justify tech solutions that may address technical security issues.” He adds that: "Too often cybersecurity gets lost in translation when engaging board members and the c-suite. This leaves leadership unsure of precisely what they are funding and where residual gaps remain." ヘットナーは、サイバーセキュリティが取締役会に痕跡を残さないことはもうないと言い、次のように指摘している。「経営陣の既定の傾向は、技術的なセキュリティ問題に対処する可能性のある技術ソリューションを正当化するために、定期的な戦術的および技術的な報告書に頼ることである。」 また、次のように付け加えている。「取締役会や経営幹部を巻き込む際に、サイバーセキュリティが訳が分からなくなることがあまりに多いのである。このため、経営陣は、自分たちが何に資金を提供しているのか、どこにギャップが残っているのか、正確に把握できないままになっている」。
Chris and the NACD recently supported the launch of a groundbreaking service whereby boards are supported to more effectively provide oversight related to cyber risk exposure. The X-Analytics and NACD Cyber Risk-Reporting Service is an annual subscription that provides quarterly board reports highlighting the financial exposure attributed to an organization’s cyber risk. The platform relies on the same analytics used by leaders within the cyber insurance industry. クリスとNACDは最近、取締役会がサイバーリスクのエクスポージャーに関連した監視をより効果的に提供できるよう支援する、画期的なサービスの立ち上げを支援した。X-AnalyticsとNACDのサイバーリスクレポートサービスは年間契約であり、組織のサイバーリスクに起因する財務エクスポージャーを強調した四半期ごとの取締役会報告書を提供するものである。このプラットフォームは、サイバー保険業界のリーダーたちが使用しているのと同じ分析に依存している。
This new NACD service facilitates a broader c-suite conversation related to cyber risk and assists boards in engaging in discussions that transcend the technical aspects of cybersecurity. NACDのこの新しいサービスは、サイバーリスクに関連する経営陣との幅広い対話を促進し、取締役会がサイバーセキュリティの技術的側面を超えた議論に参加することを支援する。
Cyber risk management is a team sport that requires the entirety of the enterprise to ensure business resilience. This is driven by a collective analysis that supports inclusive messaging and collaboration. The CISO is a key component of the enterprise cyber resilience strategy but is not the only actor in cyber anymore. What is required is a more inclusive message and collaboration that includes all enterprise risk management leaders. サイバーリスクマネジメントは、ビジネスのレジリエンスを確保するためにエンタープライズ全体が必要とするチームスポーツである。これを推進するのは、包括的なメッセージングとコラボレーションをサポートする集合的な分析である。CISO は、エンタープライズのサイバーレジリエンス戦略の重要な構成要素であるが、もはやサイバーに関わる唯一のアクターではない。必要なのは、すべてのエンタープライズ・リスク・マネジメントのリーダーを含む、より包括的なメッセージと協力体制である。
The new SEC rules seek to engage senior management and the board in a meaningful way. These recent developments heighten attention to disclosures of cyber risks and incidents by US SEC publicly listed companies. They underscore the importance of advancing risk management and governance efforts across the boardroom community to ensure resources and investments are applied to those cyber risks that have the most material financial, business, and operational impact. SECの新ルールは、経営幹部と取締役会を有意義な形で関与させることを求めている。これらの最近の動きは、米国SECの上場企業によるサイバーリスクとインシデントの開示への関心を高めている。また、財務、事業、業務に最も重大な影響を及ぼすサイバーリスクにリソースと投資が行われるよう、取締役会全体でリスクマネジメントとガバナンスの取り組みを進めることの重要性が強調されている。

 

 

 

Wef_20221026015401

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.08.19 世界経済フォーラム (WEF) 暗号通貨とステーブルコインがもたらすマクロ経済への影響  (2022.07.22)

・2022.08.18 世界経済フォーラム (WEF) サイバーレジリエンス指数 - 組織のサイバーレジリエンスの向上 (2022.07.14)

・2022.05.12 世界経済フォーラム (WEF) 「AI Procurment in a Box」を使ってみる:実装からのインサイト

・2022.03.30 世界経済フォーラム (WEF) 暗号通貨規制:今、私たちはどこにいて、どこに向かっているのか?

・2022.02.10 世界経済フォーラム (WEF) 欧州におけるエネルギー分野の最新サイバー攻撃が問題となる理由

・2022.01.20 世界経済フォーラム (WEF) グローバル・サイバーセキュリティ・アウトルック 2022

 

 

| | Comments (0)

2022.10.25

ISO/IEC 27001:2022 情報セキュリティ、サイバーセキュリティ及びプライバシー保護 - 情報セキュリティマネジメントシステム - 要求事項

こんにちは、丸山満彦です。

ISO/IEC 27001:2022 Information security, cybersecurity and privacy protection — Information security management systems — Requirements が公表されていますね。。。

前回は2013年ですから、約9年ぶりの改訂ということですかね。。。

ちなみに、ISO/IEC 27002は今年の2月に改訂されていますね。。。

 

ISO - International Organization for Standardization

・2022.10.25 ISO/IEC 27001:2022 Information security, cybersecurity and privacy protection — Information security management systems — Requirements

Preview

 

ISO/IEC 27001:2022 Information security, cybersecurity and privacy protection — Information security management systems — Requirements ISO/IEC 27001:2022 情報セキュリティ、サイバーセキュリティ及びプライバシー保護 - 情報セキュリティマネジメントシステム - 要求事項
Abstract 概要
This document specifies the requirements for establishing, implementing, maintaining and continually improving an information security management system within the context of the organization. This document also includes requirements for the assessment and treatment of information security risks tailored to the needs of the organization. The requirements set out in this document are generic and are intended to be applicable to all organizations, regardless of type, size or nature. Excluding any of the requirements specified in Clauses 4 to 10 is not acceptable when an organization claims conformity to this document. この文書は,情報セキュリティマネジメントシステムを,組織の文脈の中で確立し,実施し,維持し,継続的に改善するための要求事項を規定するものである。また、組織のニーズに合わせた情報セキュリティリスクの評価及び処理に関する要求事項を含む。本文書で規定する要求事項は一般的なものであり、組織の種類、規模、性質にかかわらず、すべての組織に適用されることを意図している。組織が本文書への適合を主張する場合、第4項から第10項までに規定された要求事項のいずれかを除外することは容認されない。

 

目次...(訳は仮訳...)

Foreword まえがき
Introduction 序文
1 ​Scope 1 適用範囲
2 ​Normative references 2 引用規格
3 ​Terms and definitions 3 用語及び定義
4 ​Context of the organization 4 組織の状況
4.1 ​Understanding the organization and its context 4.1 組織とその状況の理解
4.2 ​Understanding the needs and expectations of interested parties 4.2 利害関係者のニーズ及び期待の理解
4.3 ​Determining the scope of the information security management system 4.3 情報セキュリティマネジメントシステムの適用範囲の決定
4.4 ​Information security management system 4.4 情報セキュリティマネジメントシステム
5 ​Leadership 5 リーダーシップ
5.1 ​Leadership and commitment 5.1 リーダーシップ及びコミットメント
5.2 ​Policy 5.2 方針
5.3 ​Organizational roles, responsibilities and authorities 5.3 組織の役割、責任及び権限
6 ​Planning 6 計画
6.1 ​Actions to address risks and opportunities 6.1 リスク及び機会に対処する行動
6.2 ​Information security objectives and planning to achieve them 6.2 情報セキュリティ目的及びそれを達成するための計画策定
7 ​Support 7 支援
7.1 ​Resources 7.1 資源
7.2 ​Competence 7.2 力量
7.3 ​Awareness 7.3 認識
7.4 ​Communication 7.4 コミュニケーション
7.5 ​Documented information 7.5 文書化した情報
8 ​Operation 8 運用
8.1 ​Operational planning and control 8.1 運用の計画及び管理
8.2 ​Information security risk assessment 8.2 情報セキュリティリスクアセスメント
8.3 ​Information security risk treatment 8.3 情報セキュリティリスク対応
9 ​Performance evaluation 9 パフォーマンス評価
9.1 ​Monitoring, measurement, analysis and evaluation 9.1 監視、測定、分析及び評価
9.2 ​Internal audit 9.2 内部監査
9.3 ​Management review 9.3 マネジメントレビュー
10 ​Improvement 10 改善
10.1 ​Continual improvement 10.1 継続的改善
10.2 ​Nonconformity and corrective action 10.2 不適合及び是正処置 
Annex A Information security controls reference 附属書A 情報セキュリティマネジメント参考資料
Bibliography 参考文献

 

2224pxiso_logo_red_squaresvg

 


 

ちなみに、ISO/IEC 27000ファミリーの規格等の検討状況・・・

 

JIPDEC事業紹介 - 事業一覧 - ISMS・ITSMSの普及

国際動向

現在の最新版

・2022.07.22 [PDF] ISO/IEC 27000ファミリー規格について

20221025-145058

 

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2022.02.17 ISO/IEC 27002:2022 Information security, cybersecurity and privacy protection — Information security controls

・2020.12.11 SP 800-53 Rev. 5 Security and Privacy Controls for Information Systems and Organizations, SP 800-53B Control Baselines for Information Systems and Organizationsの記載ミスの修正と第5版と第4版の更新分析、ISO/IEC27001とのマッピング表等の追加

・2020.06.13 佐藤慶浩さんによる「ISO/IEC 27701「プライバシー情報マネジメントのためのISO/IEC 27001及びISO/IEC 27002への拡張」の解説」

・2020.06.12 ENISA セキュリティ認証スキームになりうる領域の調査 他 WebTrust, ISMS, Common Criteria...

・2020.04.07 ENISAがGood practices on interdependencies between OES and DSPsとISO/IEC 27002, NIST Cybersecurity Framework, Cobit5とのマッピング表を公開しましたね。。。

・2020.04.03 佐藤慶浩さんによる「15分でわかる「ISO/IEC 27701国際規格(プライバシー情報マネジメントのためのISO/IEC 27001及びISO/IEC 27002への拡張-要求事項及び指針)の概要紹介」を講演録」

 

ぐっと時代は遡り...

・2011.02.11 SC27 Platinum Book -Twenty Years of ISO/IEC JTC 1/SC27- Information Security Standardisation

・2009.08.08 JIPDEC ISO/IEC27000ファミリー

| | Comments (0)

G7 金融セクター 「ランサムウェアに対するレジリエンスに関するG7の基礎的要素」「サードパーティのサイバーリスクマネジメントに関するG7の基礎的要素 」(2022.10.13)

こんにちは、丸山満彦です。

G7が「金融セクターのランサムウェアに対するレジリエンスに関するG7の基礎的要素」 と「金融セクターにおけるサードパーティのサイバーリスクマネジメントに関するG7の基礎的要素」を公表していますね。。。

金融庁が仮訳をしてくれています。。。

 

G7 Germany

・2022.10.13 G7 countries adopt reports on cybersecurity

G7 countries adopt reports on cybersecurity G7諸国がサイバーセキュリティに関する報告書を採択
Cybersecurity in the financial sector remains of key importance for the G7 countries. The G7 Cyber Expert Group established in 2015 to address this issue, represented in Germany by the Federal Ministry of Finance, the Bundesbank and the Federal Financial Supervisory Authority, drew up two additional reports during Germany’s G7 presidency this year that set out fundamental elements for risk management. 金融セクターにおけるサイバーセキュリティは、G7諸国にとって引き続き重要な課題である。この問題に取り組むために2015年に設立されたG7サイバー専門家グループは、ドイツでは連邦財務省、ブンデスバンク、連邦金融監督庁が代表を務め、今年のドイツのG7議長国の間に、リスクマネジメントの基本的要素を定めた2つの追加報告書を作成した。
These were adopted by the G7 finance ministers and central bank governors in October 2022 and are of an advisory nature. これらは2022年10月にG7財務大臣・中央銀行総裁によって採択されたもので、諮問的な性格を持つものである。
The G7 Fundamental Elements of Ransomware Resilience for the Financial Sector [pdf, 507KB] contain specific recommendations for financial market agents as to how they can address the increasing threat of ransomware attacks. Financial institutions should prepare themselves for a potential attack by clarifying in advance the measures to be taken in such an event, e.g. communication with stakeholders or ransom payment issues. G7「金融セクターのランサムウェアに対するレジリエンスに関するG7の基礎的要素」には、拡大するランサムウェア攻撃の脅威にどう対処するか、金融市場関係者に対する具体的な推奨事項が記載されている。金融機関は、ステークホルダーとのコミュニケーションや身代金の支払い問題など、攻撃された場合の対応策を事前に明確化し、攻撃の可能性に備える必要がある。
The G7 Fundamental Elements for Third Party Cyber Risk Management in the Financial Sector [pdf, 250KB] represent an update to the fundamental elements published on this topic back in 2018. The increasing use of service providers in the area of information and communication technology (third parties) by financial institutions and new forms of cyberattacks via third parties have made this update necessary. The update includes, for example, explicit recommendations for monitoring risks along the supply chain, which, in a nutshell, may refer to any procurement of ICT services – i.e. the deployment of IT service providers or the use of software or hardware, or a combination of these. The revised fundamental elements also contain recommendations for public authorities, such as identifying systemically important third-party providers and concentration risks. G7「金融セクターにおけるサードパーティのサイバーリスクマネジメントに関するG7の基礎的要素」は、2018年にこのテーマで発表された基本的要素の更新である。金融機関による情報通信技術分野のサービスプロバイダー(サードパーティー)の利用の増加や、サードパーティーを経由した新たな形態のサイバー攻撃を受けて、今回のアップデートが必要になった。今回の更新では、例えば、サプライチェーンに沿ったリスクを監視するための明示的な推奨事項が含まれており、これは一言で言えば、ICTサービスのあらゆる調達、すなわちITサービスプロバイダーの配置やソフトウェアやハードウェアの使用、またはこれらの組み合わせを指すと考えられる。改訂された基本的要素には、システム上重要な第三者事業者の特定や集中リスクなど、公的機関に対する勧告も含まれている。
Besides the fundamental elements just adopted, general fundamental elements for cybersecurity in the financial sector as well as for penetration tests and cyberexercises, amongst other things, have been published since 2016. 今回採択された基本的要素以外にも、金融分野におけるサイバーセキュリティのための一般的な基本的要素や、ペネトレーションテストやサイバーエクササイズなどについては、2016年から発表されている。

 

金融庁が仮訳をしてくれています。。。

 

● 金融庁

・2022.10.21 G7サイバー・エキスパート・グループによるランサムウェア及びサードパーティのサイバーリスクマネジメントに関する基礎的要素の公表について

 


G7 Fundamental Elements of Ransomware Resilience for the Financial Sector

20221025-23551


金融セクターのランサムウェアに対するレジリエンスに関するG7の基礎的要素

20221025-23634


G7 Fundamental Elements for Third Party Cyber Risk Management in the Financial Sector

20221025-23609

金融セクターにおけるサードパーティのサイバーリスクマネジメントに関するG7の基礎的要素

20221025-23711

 

 

| | Comments (0)

NIST SP 800-140B Rev. 1 (Draft) CMVP セキュリティポリシー要求事項 ISO/IEC 24759 および ISO/IEC 19790 附属書 B に対する CMVP 検証権限の更新(第2次公開草案)

こんにちは、丸山満彦です。

NIST SP 800-140B の改訂版の第二次公開草案を公表し、意見募集していますね。。。

NIST - ITL

・2022.10.17 SP 800-140B Rev. 1 (Draft) CMVP Security Policy Requirements: CMVP Validation Authority Updates to ISO/IEC 24759 and ISO/IEC 19790 Annex B (2nd Public Draft)

 

SP 800-140B Rev. 1 (Draft) CMVP Security Policy Requirements: CMVP Validation Authority Updates to ISO/IEC 24759 and ISO/IEC 19790 Annex B (2nd Public Draft) SP 800-140B Rev. 1 (Draft) CMVP セキュリティポリシー要求事項 ISO/IEC 24759 および ISO/IEC 19790 附属書 B に対する CMVP 検証権限の更新(第 2 次公開草案)
Announcement 発表
The initial public draft introduced four significant changes to NIST SP 800-140B: 最初の公開草案では、NIST SP 800-140B に 4 つの重要な変更が加えられた。
1. Defines a more detailed structure and organization for the Security Policy 1. セキュリティポリシーのより詳細な構造と組織を定義する
2. Captures Security Policy requirements that are defined outside of ISO/IEC 19790 and ISO/IEC 24759 2. ISO/IEC 19790及びISO/IEC 24759以外で定義されているセキュリティポリシーの要件を取り込む
3. Builds the Security Policy document as a combination of the subsection information 3. サブセクションの情報の組み合わせとしてセキュリティポリシー文書を構築する
4. Generates the approved algorithm table based on lab/vendor selections from the algorithm tests 4. アルゴリズムテストによるラボ/ベンダーの選択に基づいて、承認されたアルゴリズム表を生成する
This second public draft addresses the comments made on the initial draft, including concerns with the structure of the Security Policy and the process for creating it. Appendix B provides details on these changes. この第2次公開草案では、セキュリティポリシーの構成や作成プロセスに関する懸念など、初回草案に対して寄せられたコメントに対応している。附属書Bにこれらの変更点の詳細が記載されている。
The NIST SP 800-140x series supports Federal Information Processing Standards (FIPS) Publication 140-3, Security Requirements for Cryptographic Modules, and its associated validation testing program, the Cryptographic Module Validation Program (CMVP). The series specifies modifications to ISO/IEC 19790 Annexes and ISO/IEC 24759 as permitted by the validation authority. NIST SP 800-140x シリーズは、連邦情報処理標準規格(FIPS)Publication 140-3「暗号モジュールに対するセキュリティ要件」と、それに関連する検証テストプログラム「暗号モジュール検証プログラム(CMVP)」をサポートしている。このシリーズは、検証機関の許可に基づく ISO/IEC 19790 Annexes と ISO/IEC 24759 の修正について規定している。
Abstract 概要
NIST Special Publication (SP) 800-140Br1 is to be used in conjunction with ISO/IEC 19790 Annex B and ISO/IEC 24759 section 6.14. The special publication modifies only those requirements identified in this document. SP 800-140Br1 also specifies the content of the information required in ISO/IEC 19790 Annex B. As a validation authority, the Cryptographic Module Validation Program (CMVP) may modify, add, or delete Vendor Evidence (VE) and/or Test Evidence (TE) specified under paragraph 6.14 of the ISO/IEC 24759 and specify the order of the security policy as specified in ISO/IEC 19790:2012 B.1. NIST Special Publication (SP) 800-140Br1 は、ISO/IEC 19790 Annex B および ISO/IEC 24759 のセクション 6.14 と共に使用されるものである。この特別刊行物は、この文書で特定された要件のみを変更する。SP 800-140Br1 は、ISO/IEC 19790 Annex B で要求される情報の内容も規定する。暗号モジュール検証プログラム(CMVP)は、検証機関として、ISO/IEC 24759 の 6.14 項で規定されるベンダエビデンス(VE)及び/又はテストエビデンス(TE)を修正、追加、削除し、ISO/IEC 19790:2012 B.1 で規定するセキュリティポリシーの順序を指定することができる。

 

・[PDF] SP 800-140B Rev. 1 (Draft)

20221025-12530

 

目次...

1.  Scope 1.  範囲
2.  Normative references 2.  規範となる参考文献
3.  Terms and definitions 3.  用語と定義
4.  Symbols and abbreviated terms 4.  記号・略語
5.  Document organization 5.  文書構成
5.1.  General 5.1.  一般
5.2.  Modifications 5.2.  変更点
6.  Security requirements 6.  セキュリティ要件
6.1.  Changes to ISO/IEC 24759 section 6.14 and ISO/IEC 19790 Annex B Requirements 6.1.  ISO/IEC 24759 6.14 節及び ISO/IEC 19790 Annex B の要求事項の変更
6.2.  Documentation requirement additions 6.2.  文書化要求の追加
6.3.  Documentation input, structure, and formatting  6.3.  ドキュメントの入力、構造、及び書式 
Appendix A.  Security Policy Detailed Information Description 附属書 A.  セキュリティポリシー詳細情報説明
Appendix B.  Document Revisions 附属書B.  文書の改訂

 

SP 800-140シリーズがどのような状況か...

SP 800-140 Final 2020.03.20 FIPS 140-3 Derived Test Requirements (DTR): CMVP Validation Authority Updates to ISO/IEC 24759 [PDF]
SP 800-140A Final 2020.03.20 CMVP Documentation Requirements: CMVP Validation Authority Updates to ISO/IEC 24759 [PDF]
SP 800-140B Final 2020.03.20 CMVP Security Policy Requirements: CMVP Validation Authority Updates to ISO/IEC 24759 and ISO/IEC 19790 Annex B [PDF]
SP 800-140B Rev. 1 2nd.
Draft
2022.10.17 CMVP Security Policy Requirements: CMVP Validation Authority Updates to ISO/IEC 24759 and ISO/IEC 19790 Annex B  [PDF]
SP 800-140C Rev. 1 Final 2022.05.20 CMVP Approved Security Functions: CMVP Validation Authority Updates to ISO/IEC 24759 [PDF]
SP 800-140D Rev. 1 Final 2022.05.20 CMVP Approved Sensitive Parameter Generation and Establishment Methods: CMVP Validation Authority Updates to ISO/IEC 24759 [PDF]
SP 800-140E Final 2020.03.20 CMVP Approved Authentication Mechanisms: CMVP Validation Authority Requirements for ISO/IEC 19790 Annex E and ISO/IEC 24579 Section 6.17 [PDF]
SP 800-140F Final 2020.03.20 CMVP Approved Non-Invasive Attack Mitigation Test Metrics: CMVP Validation Authority Updates to ISO/IEC 24759 [PDF]
SP 800-140F Rev. 1 Draft 2021.08.20 CMVP Approved Non-Invasive Attack Mitigation Test Metrics: CMVP Validation Authority Updates to ISO/IEC 24759 [PDF]

 

【参考】

● FIPS140-3 Security Requirements for Cryptographic Modules [PDF]

● ISO/IEC 19790:2012 Information technology — Security techniques — Security requirements for cryptographic modules

● ISO/IEC 24759:2017 Information technology — Security techniques — Test requirements for cryptographic modules

  

【参考 日本】

● IPA 暗号モジュール試験及び認証制度(JCMVP):規程集

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.05.25 NIST SP 800-140C Rev.1 CMVP 承認されたセキュリティ機能:ISO/IEC 24759 に対する CMVP 検証機関に関する更新、SP 800-140D Rev.1 CMVP 承認のセンシティブパラメーター生成及び確立方法:ISO/IEC 24759 に対する CMVP 検証機関の更新

 ・2022.05.14 NIST SP 800-140B Rev.1(ドラフト)CMVP セキュリティポリシー要件:ISO/IEC 24759 及び ISO/IEC 19790 附属書Bに対する CMVP検証権限の更新

・2022.02.12 NIST SP 800-140D Rev.1(ドラフト)CMVP認定済みのセンシティブパラメータ生成・確立方法:ISO/IEC 24759に対するCMVP検証機関のアップデート(第2稿)

・2022.02.12 NIST SP 800-140C Rev.1(ドラフト)CMVP認定済みのセキュリティ機能: ISO/IEC 24759に対するCMVP検証機関の更新(第2稿)

・2020.03.21 NIST SP 800-140 FIPS 140-3 Derived Test Requirements (DTR): CMVP Validation Authority Updates to ISO/IEC 24759

 

| | Comments (0)

NIST NISTIR 8406 (ドラフト) 液化天然ガス向けサイバーセキュリティフレームワークプロファイル (2022.10.17)

こんにちは、丸山満彦です。

NISTが、NISTIR 8406 液化天然ガス向けサイバーセキュリティフレームワークプロファイルの案を公表し、意見募集をしていますね。。。

NIST - ITL

・2022.10.17 NISTIR 8406 (Draft) Cybersecurity Framework Profile for Liquefied Natural Gas

NISTIR 8406 (Draft) Cybersecurity Framework Profile for Liquefied Natural Gas NISTIR 8406 (ドラフト) 液化天然ガス向けサイバーセキュリティフレームワークプロファイル
Announcement 発表内容
The LNG Cybersecurity Framework Profile, created in collaboration with the Department of Energy's Office of Cybersecurity, Energy Security, and Emergency Response, in addition to working with LNG security experts, provides a voluntary, risk-based approach for managing cybersecurity activities and reducing cyber risk to all components of the LNG supply chain. The publication explores the industry’s unique alignment of its organizational requirements and objectives, risk appetite, and resources against the desired outcomes of the Cybersecurity Framework Core. エネルギー省のサイバーセキュリティ、エネルギーセキュリティ、緊急対応室との協力に加え、LNGセキュリティの専門家と協力して作成されたLNGサイバーセキュリティフレームワークプロファイルは、LNGサプライチェーンのすべての構成要素に対するサイバーセキュリティ活動の管理とサイバーリスク低減のための自主的でリスクに基づくアプローチを提供する。 この出版物は、サイバーセキュリティフレームワークコアの望ましい成果に対して、業界の組織要件と目的、リスク選好度、リソースの独自の整合性を探る。
The LNG Cybersecurity Framework Profile identifies and prioritizes opportunities for improving the cybersecurity posture of the LNG supply chain and is designed to supplement, not replace, current cybersecurity standards, regulations, and industry guidelines that are already being used by the LNG industry. LNGサイバーセキュリティフレームワークプロファイルは、LNGサプライチェーンのサイバーセキュリティ態勢を改善する機会を特定し優先順位付けし、LNG業界がすでに使用している現行のサイバーセキュリティ基準、規制、業界ガイドラインを置き換えるのではなく、補完するように設計されている。
Abstract 概要
This document is the Cybersecurity Framework Profile developed for the Liquefied Natural Gas (LNG) industry and the subsidiary functions that support the overarching liquefaction process, transport, and distribution of LNG. The LNG Cybersecurity Framework Profile can be used by liquefaction facilities, LNG vessels, and other supporting entities of the LNG lifecycle so that cybersecurity risks associated with these critical processes and systems can be minimized. The LNG Profile provides a voluntary, risk-based approach for managing cybersecurity activities and reducing cyber risk to the overall LNG process. The Cybersecurity Framework LNG Profile is meant to supplement but not replace current cybersecurity standards, regulations, and industry guidelines that are already being used by the Liquefied Natural Gas industry. 本書は、液化天然ガス(LNG)産業と、LNGの液化プロセス、輸送、流通を包括的に支援する補助的な機能のために開発されたサイバーセキュリティフレームワークプロファイルである。LNGサイバーセキュリティフレームワークプロファイルは、液化施設、LNG船、およびLNGライフサイクルを支える他の事業体が使用することができ、これらの重要なプロセスやシステムに関連するサイバーセキュリティリスクを最小化することができるようにする。LNGプロファイルは、サイバーセキュリティ活動をマネジメントし、LNGプロセス全体に対するサイバーリスクを低減するための自主的でリスクベースのアプローチを提供する。サイバーセキュリティフレームワーク LNG プロファイルは、液化天然ガス業界で既に使用されている現行のサイバーセキュリティ基準、規制、および業界ガイドラインを補完することを意図しているが、それに代わるものではない。

 

・[PDF] NISTIR 8406 (Draft)

20221025-04101

 

目次...

1. Introduction 1. 序文
1.1.  Purpose and Scope 1.1. 目的及び範囲
1.1.Audience 1.1. 想定読者
1.2. Document Structure 1.2. 文書構成
2. The Liquefied Natural Gas Industry 2. 液化天然ガス産業
2.1. The Need for Liquefied Natural Gas 2.1. 液化天然ガスの必要性
2.2. Liquefied Natural Gas Safety 2.2. 液化天然ガスの安全性
2.3. Components of the Liquefied Natural Gas Industry 2.3. 液化天然ガス産業の構成要素
 2.3.1. Liquefaction Facilities  2.3.1. 液化設備
 2.3.2. Liquefied Natural Gas Vessels and the Marine Transportation System  2.3.2. 液化天然ガス船と海上輸送システム
 2.3.3. Liquefied Port Facilities  2.3.3. 液化港湾施設
3. Overview of the Cybersecurity Framework 3. サイバーセキュリティフレームワークの概要
3.1. The Cybersecurity Framework Core 3.1. サイバーセキュリティフレームワークの中核
3.2. Cybersecurity Framework Profiles 3.2. サイバーセキュリティフレームワーク・プロファイル
4. Cybersecurity Profile Development Methodology 4. サイバーセキュリティプロファイル開発手法
4.1. Stakeholder Workshops 4.1. ステークホルダーワークショップ
 4.1.1. Workshop 1: Establishing Mission Objectives  4.1.1. ワークショップ1:ミッション目標の設定
 4.1.2. Workshop 2: Prioritizing Mission Objectives  4.1.2. ワークショップ2:ミッション目標の優先順位付け
 4.1.3. Workshop 3: Prioritizing CSF Categories for Mission Objectives  4.1.3. ワークショップ 3: ミッション目標のCSF分類の優先順位付け
4.2. Subcategory Scoring 4.2. サブカテゴリのスコアリング
5. Marine Transportation System Liquefied Natural Gas Mission Objectives 5. 海上輸送システム液化天然ガスミッション目標
5.1. Mission Objective-1: Maintain Safe and Secure Operations 5.1. ミッション目標-1: 安全・安心な操業の維持
5.2. Mission Objective-2: Ensure Operational Integrity of Plant Systems and Processes 5.2. ミッション目標-2: プラントのシステム及びプロセスの操作上の完全性を確保すること
5.3. Mission Objective-3: Control Operational and Enterprise Security and Access 5.3. ミッション目標-3: 運用上及びエンタープライズ上のセキュリティとアクセスを管理する。
5.4. Mission Objective-4: Monitor, Detect, and Respond to Anomalous Behavior 5.4. ミッション目標-4: 異常な動作の監視、検出、及び対応
5.5. Mission Objective-5: Safeguard the Environment 5.5. ミッション目標-5: 環境の保護
5.6. Mission Objective-6: Define Policy and Governance Actions that Capture/Protect the Mission 5.6. ミッション目標-6: ミッション目標を達成し、保護するための方針とガバナンスの明確化
5.7. Mission Objective-7: Maintain Regulatory Compliance 5.7. ミッション目標-7: 法規制の遵守の維持
5.8. Mission Objective-8: Continuously Optimize and Maintain Current Operational State by Establishing Baselines and Measures 5.8. ミッション目標-8: ベースライン及び手段を確立することによる、現在の運用状態の継続的な最適化及び維持
5.9. Mission Objective-9: Validate and Optimize the Supply Chain 5.9. ミッション目標-9: サプライチェーンの検証と最適化
6. Category Prioritization Summary 6. カテゴリーの優先順位付けの概要
6.1. Prioritized Cybersecurity Framework Categories by Mission Objective 6.1. サイバーセキュリティフレームワークのミッション目標別優先順位付けカテゴリー
6.2. Summary Table 6.2. 総括表
7. Priority Cybersecurity Framework Subcategories by Mission Objective 7. ミッション目的別優先順位付けされたサイバーセキュリティフレームワークのサブカテゴリー
7.1. Cybersecurity Framework Subcategory Priority Chart 7.1. サイバーセキュリティフレームワークサブカテゴリーの優先順位表
7.2. Subcategory Implementation Considerations 7.2. サブカテゴリの実装に関する検討事項
References 参考文献
Appendix A.  List of Symbols, Abbreviations, and Acronyms 附属書A.記号、略語、および頭字語のリスト
Appendix B.  Glossary 附属書B.  用語集

 

文書構成...

This document consists of the following sections:  本書は以下のセクションで構成されている。
Section 2 provides an overview of the LNG industry. セクション 2 では、LNG 産業の概要を説明する。
Section 3 discusses key aspects of the CSF and CSF Profiles. セクション 3 では、CSF と CSF プロファイルの主要な側面について述べている。
Section 4 describes the methodology used to develop this Profile. セクション 4 では、本プロファイルの作成に用いた方法論を述べている。
Section 5 presents the high-level Mission objectives that support the LNG industry. セクション 5 では、LNG 産業を支援するハイレベルなミッション目標を示している。
Section 6 summarizes CSF Categories prioritized for the LNG industry. セクション 6 は、LNG 産業のために優先順位付けされた CSF カテゴリーを要約している。
Section 7 details the relative importance of CSF Subcategories to the LNG industry. セクション 7 は、LNG 産業における CSF サブカテゴリの相対的な重要性を詳述している。
A References section contains a list of all items cited in this document. 参考文献の項では、本書で引用されたすべての項目のリストを掲載している。
Appendix A defines acronyms used in this document. 附属書 A では、本書で使用される略語を定義している。
Appendix B provides a glossary of key terms used in this document. 附属書 B は、本書で使用される主要な用語の解説である。

 

20221025-04816

 

| | Comments (0)

2022.10.24

欧州委員会 Europrivacy: GDPR準拠を保証する認証 (2022.10.17)

こんにちは、丸山満彦です。

欧州委員会が、GDPR準拠を保証する認証するEuroprivacyについての発表をしていますね。。。CriteriaはGDPRで認証のスキームをISOマネジメント認証を使うのでしょうかね。。。素直な感じですね。。。日本のプライバシーマーク制度よりも。

European Commission

・2022.10.17 Europrivacy: the first certification mechanism to ensure compliance with GDPR

Europrivacy: the first certification mechanism to ensure compliance with GDPR Europrivacy: GDPRへの準拠を保証する初の認証メカニズム
Europrivacy is the first certifcation mechanism that demonstrates compliance with the General Data Protection Regulation (GDPR). It marks a leap forward in ensuring the respect of the European Union's groundbreaking privacy protection rules. Europrivacyは、一般データ保護規則(GDPR)への準拠を証明する最初の認証メカニズムである。欧州連合の画期的なプライバシー保護規則の尊重を保証する上で、飛躍的な前進となるものである。
The European data processing board, an independent body bringing together the EU’s national data protection authorities from across the EU, approved the very first European Data Protection Seal. The certification mechanism encompasses a wide range of data processing operations in many sectors. Both data controllers, the companies and services who decide ‘why’ and ‘how’ personal data is processed, as well as data processors, a third party or employee who processes personal data on behalf of the controller, perform such operations. The Europrivacy certification can help data controllers and data processors certify their is valid in all member states. EU全域から各国のデータ保護当局を集めた独立機関である欧州データ処理委員会は、まさに最初の欧州データ保護シールを承認した。この認証メカニズムは、多くの分野における幅広いデータ処理業務を包含している。データ管理者は、個人データを「なぜ」「どのように」処理するかを決定する企業やサービスであり、データ処理者は、管理者に代わって個人データを処理する第三者または従業員であり、いずれもそのような業務を行っている。Europrivacy認証は、データ管理者とデータ処理者が、すべての加盟国で有効であることを認証するのに役立つ。
Compliance with GDPR: simplified & certified GDPRへの準拠:簡素化と認証
With GDPR, the EU has taken the lead in modernising and strengthening users’ rights and freedoms to protect their personal data, and hence, their privacy. The Europrivacy certification criteria is based on the data protection requirements laid down in the regulation. GDPRにより、EUは、個人データ、ひいてはプライバシーを保護するためのユーザーの権利と自由を近代化し、強化することに率先して取り組んでいる。Europrivacyの認証基準は、同規則で定められたデータ保護要件に基づいている。
Companies and services can use the certification scheme to increase the value of their businesses and trust in their services. They can use Europrivacy to: 企業やサービスは、この認証制度を利用して、自社のビジネスの価値やサービスに対する信頼を高めることができる。Europrivacyを利用すると、以下のことが可能になる。
 ・assess the compliance of their data processing activities ・自社のデータ処理活動のコンプライアンスの評価
・select data processors ・データ処理者の選定
・assess the adequacy of cross-border data transfers ・国境を越えたデータ移転の妥当性の評価
・assure citizens and clients of the adequate processing of their personal data ・市民および顧客に対して、個人データの適切な処理の保証
Meanwhile, citizens can rest assured that companies are adequately processing their personal data, in respect of their rights as data subjects. 一方、市民は、企業がデータ主体としての権利を尊重し、個人データを適切に処理していることに安心することができる。
Ensuring compliance in an innovative way 革新的な方法でコンプライアンスを確保
Researches developed the certification scheme under Europe’s Horizon 2020 research programme. It resulted in a combination of characteristics that highlight its innovative nature, namely: 欧州の研究プログラム「Horizon 2020」のもと、研究者たちがこの認証スキームを開発した。その結果、その革新的な性質を際立たせる、次のような特徴を兼ね備えることになった。
・It is applicable to a wide variety of data processing activities, while taking into account sector-specific obligations and risks ・部門固有の義務やリスクを考慮しつつ、多様なデータ処理活動に適用できる。
・It is applicable to emerging technologies, such as AI, IoT, blockchain, automated cars, smart cities, etc ・AI、IoT、ブロックチェーン、自動運転車、スマートシティなどの新しい技術に適用可能であること。
・It is supported by a Ledger (Blockchain) based registry of certificates for authenticating delivered certificates and for preventing forgery ・配信された証明書を認証し、偽造を防止するためのLedger(ブロックチェーン)ベースの証明書レジストリによってサポートされている。
・It has an innovative format for criteria, which is both human and machine-readable. Auditors can easily use and integrate it into software, applications and tools ・人間にも機械にも読みやすい革新的な基準形式を採用している。監査人は、ソフトウェア、アプリケーション、ツールに簡単に使用し、統合することができる。
The Europrivacy International Board of Experts in data protection and the European Centre for Certification and Privacy manage and update the certification scheme, accordingly. The two bodies will ensure that it is in step with regulatory and technological advancements. 7.        It leverages two complementary models of ISO certification (ISO/IEC 17065 and ISO/IEC 17021-1) in order to make it applicable to a large set of data processing activities. It is aligned with ISO standards and can be easily combined with the certification of security of information management systems (ISO/IEC 27001). データ保護に関するEuroprivacy International Board of ExpertsとEuropean Centre for Certification and Privacyが、適宜、認証スキームを管理・更新している。両機関は、規制や技術の進歩に対応できるようにする。7. ISO認証の2つの補完的なモデル(ISO/IEC 17065とISO/IEC 17021-1)を活用し、多くのデータ処理業務に適用できるようにする。ISO 規格と整合しており、情報管理システムのセキュリティ認証(ISO/IEC 27001)と容易に組み合わせることができる。

 

Europeancommission

 


 

EDPBからの発表...

European Data Protection Board: EDPB

・2022.10.12 EDPB adopts “wish list” of procedural aspects, first EU data protection seal and a statement on digital euro

EDPB adopts “wish list” of procedural aspects, first EU data protection seal and a statement on digital euro EDPB、手続き面の「希望リスト」、EU初のデータ保護シール、デジタル・ユーロに関する声明を採択
Brussels, 12 October - The EDPB adopted a list of aspects in national procedural law that it wishes to see harmonised at EU level to facilitate GDPR enforcement. This “wish list” is one of the key actions set out in the EDPB’s Vienna statement on enforcement cooperation. The list has been sent to the European Commission for its consideration. ブリュッセル、10月12日 - EDPBは、GDPRの施行を促進するためにEUレベルでの調和を望む、各国の手続法の側面のリストを採択した。この「希望リスト」は、執行協力に関するEDPBのウィーン声明で定められた重要な行動の1つである。このリストは、欧州委員会に送付され、検討されている。
EDPB Chair Andrea Jelinek said: “The EDPB has taken important steps to promote effective cooperation in view of strong and swift enforcement of the GDPR.  We have identified some obstacles beyond our remit which may require a legislative initiative. The current patchwork of national procedures and practices has a detrimental impact on cooperation between data protection authorities.” EDPBのAndrea Jelinek委員長は次のように述べている。「EDPBは、GDPRの強力かつ迅速な施行を視野に入れ、効果的な協力を促進するための重要な措置を講じてきた。  私たちは、私たちの権限を超えて、立法的な取り組みが必要となる可能性のあるいくつかの障害を特定しました。現在の各国の手続きや実務のパッチワークは、データ保護当局間の協力に有害な影響を及ぼしている。」
The list addresses, among others, the status and rights of the parties to the administrative procedures; procedural deadlines; requirements for admissibility or dismissal of complaints; investigative powers of data protection authorities; and the practical implementation of the cooperation procedure. このリストでは、特に、行政手続きの当事者の地位と権利、手続き上の期限、苦情の容認または却下の要件、データ保護当局の調査権限、協力手続きの実務的な実施について取り上げている。
Next, the EDPB adopted an Opinion  on  the  approval  by  the  Board  of  the Europrivacy  certification  criteria submitted by the Luxembourg data protection authority (DPA). This Opinion marks the approval of the very first European Data Protection Seal by the EDPB pursuant to Art. 42 (5) GDPR. 次に、EDPBは、ルクセンブルグのデータ保護当局(DPA)から提出されたEuroprivacy認証規準の理事会による承認に関する意見を採択した。この意見は、GDPR第42条(5)に基づくEDPBによる最初の欧州データ保護シールの承認を意味する。42 (5) GDPRに基づき、EDPBが最初の欧州データ保護シールを承認したことを意味する。
The Europrivacy certification mechanism is a general scheme that targets a large range of different processing operations performed by both controllers and processors from various sectors. The scheme includes specific criteria that make it scalable and applicable to specific processing operations or sectors of activity. Europrivacy認証メカニズムは、様々な分野の管理者と処理者の両方が行う広範な異なる処理業務を対象とする一般的なスキームである。この制度には、特定の処理業務や活動分野に適用できるよう拡張性を持たせるための特定の基準が含まれている。
This approval is another step towards greater GDPR compliance. Certification under the Data Protection Seal has validity in all EU Member States. It allows different controllers and processors in different countries to achieve the same level of compliance for similar processing operations. この認定は、GDPRの遵守を強化するための新たな一歩となる。データ保護シールに基づく認証は、すべてのEU加盟国において有効である。これにより、異なる国の異なる管理者や処理者が、類似の処理業務について同じレベルのコンプライアンスを達成することができる。
Finally, the EDPB adopted a statement on the digital euro. In its statement, the EDPB reiterates the importance of ensuring privacy and data protection by design and by default in this project. 最後に、EDPBはデジタル・ユーロに関する声明を採択した。声明の中で、EDPBは、このプロジェクトにおいて、プライバシーとデータ保護を設計上およびデフォルトで確保することの重要性を改めて強調している。
The EDPB cautions against the use of systematic validation and tracing of all transactions in digital euros. In this respect, the EDPB recommends that the digital euro is made available both online and offline, along a threshold below which no tracing is possible, to allow full anonymity of daily transactions. Finally, the EDPB calls on the European Central Bank and the European Commission to enhance public debate on the digital euro project to ensure it meets the highest standards of privacy and data protection. EDPBは、デジタル・ユーロにおけるすべての取引の体系的な検証および追跡を行うことに注意を促している。この点に関して、EDPBは、日々の取引の完全な匿名性を可能にするために、追跡が不可能な閾値に沿って、デジタル・ユーロをオンラインとオフラインの両方で利用可能にすることを推奨する。最後に、EDPBは欧州中央銀行および欧州委員会に対し、デジタル・ユーロ・プロジェクトが最高水準のプライバシーおよびデータ保護に適合するよう、公開討論を強化するよう要請する。
Note to editors: 編集後記
All documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed. EDPB総会で採択された文書はすべて、必要な法的チェック、言語チェック、フォーマットチェックが行われ、それらが完了次第、EDPBウェブサイトにて公開される。

 

 

 

・2022.10.10 [PDF] Opinion 28/2022 on the Europrivacy criteria of certification regarding their approval by the Board as European Data Protection Seal pursuant to Article 42.5 (GDPR)

42.5条(GDPR)に基づく欧州データ保護シールとしての理事会による承認に関するEuroprivacy認証規準に関する意見書 28/2022

20221024-160331

・[DOCX] 仮訳

 

| | Comments (0)

中国 第20回全国大会が閉幕

こんにちは、丸山満彦です。

中国の第20回全国大会が閉幕しましたね。。。習近平さんは3期やるようですね。。。

 

24日の10時から会見が行われるようです。。。

 

中国共产党第20次全国代表大会

 

20221024-32301


日本語のレポートもあります。。。

・多言語レポート(日本語)

・2022.10.23 中国共産党第 20 回中央委員会第 1 回本会議 コミュニケ

・2022.10.23 第20回党大会閉幕  習近平氏が重要談話を発表

 

 

新華通信(日本)

中国共産党第20次全国代表大会

 

そういえば、ちょっとしたハプニングもありましたね。。。

● Yahoo! Japanニュース

・2022.10.23 胡前国家主席、突然の会議中座 体調不良か強制退場か、臆測拡大



| | Comments (0)

2022.10.23

金融安定理事会 サイバーインシデント報告における収斂を高めるための提言

こんにちは、丸山満彦です。

金融安定理事会が、いろんなところから、色々と言われるサイバーインシデント報告を収斂させるための提言をしていますね。。。

 

Financial Stability Board 

・2022.10.17 FSB makes proposals to achieve greater convergence in cyber incident reporting

FSB makes proposals to achieve greater convergence in cyber incident reporting 金融安定理事会はサイバーインシデント報告におけるより収斂を高めるための提言を行なった。
The Financial Stability Board (FSB) today published a consultative document on Achieving Greater Convergence in Cyber Incident Reporting. Timely and accurate information on cyber incidents is crucial for effective incident response and recovery and promoting financial stability. The proposals take a comprehensive approach and include: 金融安定理事会(FSB)は本日、サイバーインシデント報告におけるより大きな収斂を達成に関する協議文書を公表した。サイバーインシデントに関する適時で正確な情報は、効果的なインシデント対応と復旧、金融安定化の促進に不可欠である。本提案は包括的なアプローチをとっており、以下を含む。
Recommendations to address the challenges to achieving greater convergence in cyber incident reporting. Drawing on the experience of financial authorities and engagement with financial institutions, the FSB has set out 16 recommendations to address the practical issues associated with the collection of cyber incident information from financial institutions and the onward sharing between financial authorities. サイバーインシデント報告における収斂を高めるための課題に対処するための提言。 金融当局の経験及び金融機関とのエンゲージメントに基づき、FSBは、金融機関からのサイバーインシデント情報の収集及び金融当局間の共有に関連する実務的な問題に対処するための16の提言を行った。
Further work on establishing common terminologies related to cyber incidents. A key instrument for achieving convergence in cyber incident reporting is the use of a common language. In particular, a common definition and understanding for what constitutes a ‘cyber incident’ is needed that avoids the over reporting of incidents that are not meaningful for financial authorities or financial stability. サイバーインシデントに関連する共通の用語の確立に向けた更なる作業。 サイバーインシデント報告における収束を達成するための重要な手段は、共通の言語を使用することである。特に、金融当局や金融の安定にとって意味のないインシデントの過剰な報告を回避するために、何が「サイバーインシデント」を構成するかについての共通の定義と理解が必要である。
Proposal to develop of a common format for incident reporting exchange (FIRE). A review of incident reporting templates and stocktake of authorities’ cyber incident reporting regimes indicated a high degree of commonality in the information requirements for cyber incident reports. Building on these commonalities, the FSB proposes the development of a common reporting format that could be further considered among financial institutions and financial authorities. インシデント報告交換のための共通フォーマット開発の提案(FIRE)。 インシデント報告テンプレートのレビューと当局のサイバーインシデント報告制度のストックテイクは、サイバーインシデント報告の情報要件に高度な共通性があることを示した。これらの共通性に基づき、FSBは、金融機関及び金融当局間で更に検討されうる共通の報告様式の開発を提案する。
The FSB is inviting feedback on this consultative document, in particular on the questions it has set out. Responses should be sent to fsb@fsb.org by 31 December 2022 with the subject line ‘CIR Convergence’. Responses will be published on the FSB’s website unless respondents expressly request otherwise. 金融安定理事会は、本諮問文書、特に本諮問文書が提示した質問に対するフィードバックを求めている。回答は、2022年12月31日までに、件名を「CIR Convergence」として fsb@fsb.org 宛てに送付されたい。回答は、回答者からの明確な要請がない限り、FSBのウェブサイト上で公表される予定である。
Notes to editors 編集後記
The FSB published a report on Cyber Incident Reporting: Existing Approaches and Next Steps for Broader Convergence in October 2021. The report found that fragmentation exists across sectors and jurisdictions in the scope of what should be reported for a cyber incident; methodologies to measure severity and impact of an incident; timeframes for reporting cyber incidents; and how cyber incident information is used. This subjects financial institutions that operate across borders or sectors to multiple reporting requirements for one cyber incident. At the same time, financial authorities receive heterogeneous information for a given incident, which could undermine a financial institution’s response and recovery actions. Recognising that information on cyber incidents is crucial for effective actions and promoting financial stability, the G20 asked the FSB to take forward work to achieve greater convergence in cyber incident reporting. 金融安定理事会は、サイバーインシデント報告に関する報告書を公表した。2021年10月に「既存のアプローチとより広範な収束のための次のステップ」を発表した。同報告書では、サイバーインシデントの報告対象範囲、インシデントの重大性と影響の測定方法、サイバーインシデントの報告期限、サイバーインシデント情報の利用方法について、分野や法域を超えた分断が存在することが明らかにされています。このため、国境やセクターを越えて活動する金融機関は、1つのサイバーインシデントに対して複数の報告義務を負うことになります。同時に、金融当局はあるインシデントについて異質な情報を受け取ることになり、金融機関の対応と回復のための行動が損なわれる可能性があります。サイバーインシデントに関する情報は、効果的な対応と金融安定の促進に不可欠であることを認識し、G20はFSBに対し、サイバーインシデント報告におけるより大きな収束を達成するための作業を進めるよう求めました。
In 2018, the FSB developed a Cyber Lexicon to foster a common understanding of relevant cyber security and cyber resilience terminology across the financial sector, including banking, financial market infrastructures, insurance and capital markets, and with other industry sectors. A common lexicon could foster a common understanding with other industry sectors and facilitate appropriate cooperation to enhance cyber security and cyber resilience. 2018年、金融安定理事会は、銀行、金融市場インフラ、保険、資本市場を含む金融セクター全体、および他の産業セクターとの間で、関連するサイバーセキュリティおよびサイバーレジリエンス用語の共通理解を醸成するためのサイバーレキシコンを開発しました。共通の語彙は、他の産業セクターとの共通理解を促進し、サイバーセキュリティ及びサイバーレジリエンスを強化するための適切な協力を促進することができる。
The FSB coordinates at the international level the work of national financial authorities and international standard-setting bodies and develops and promotes the implementation of effective regulatory, supervisory, and other financial sector policies in the interest of financial stability. It brings together national authorities responsible for financial stability in 24 countries and jurisdictions, international financial institutions, sector-specific international groupings of regulators and supervisors, and committees of central bank experts. The FSB also conducts outreach with approximately 70 other jurisdictions through its six Regional Consultative Groups. FSB は、各国の金融当局及び国際的な基準設定機関の作業を国際レベルで調整し、金融の安定のために効果的な規制・監督・その他の金融セクター政策の策定及び実施を促進する機関である。FSBは、24の国・地域の金融安定に責任を有する各国当局、国際金融機関、規制・監督当局のセクター別の国際グループ、中央銀行の専門家による委員会を結集している。金融安定理事会はまた、6つの地域協議会(Regional Consultative Groups)を通じて、他の約70の国・地域に対してアウトリーチを行っている。
The FSB is chaired by Klaas Knot, President of De Nederlandsche Bank. The FSB Secretariat is located in Basel, Switzerland, and hosted by the Bank for International Settlements. 金融安定理事会の議長はDe Nederlandsche BankのKlaas Knot総裁が務めている。金融安定理事会事務局はスイスのバーゼルにあり、国際決済銀行が主催している。

 

・[PDF] Achieving Greater Convergence in Cyber Incident Reporting

20221023-72736

・[DOCX] 仮訳

 

 

Executive summary エグゼクティブサマリー
1. Introduction 1. はじめに
2. Challenges to achieving greater convergence in CIR 2. サイバーインシデント報告のコンバージェンス化に向けた課題
2.1.  Operational challenges 2.1. 運用上の課題
2.2.  Setting reporting criteria 2.2. 報告規準の設定
2.3.  Culture of timely reporting 2.3. 適時報告の文化
2.4.  Early assessment challenges 2.4. 初期評価の課題
2.5.  Secure communications 2.5. セキュアな通信
2.6.  Cross-border and cross-sectoral issues 2.6. 国境を越えた、セクターを越えた問題
3. Recommendations 3. 推奨事項
3.1.  Design of approach to CIR 3.1. サイバーインシデント報告へのアプローチ設計
3.2.  Supervisory engagement with FIs and among financial authorities 3.2. 金融機関及び金融当局間の監督当局の関与
3.3.  Industry engagement 3.3. 産業界の取り組み
3.4.  Capability development (individual and shared) 3.4. 能力開発(個人と共有)
4. Common terminologies for CIR 4. サイバーインシデント報告に関する一般的な用語
5. Format for incident reporting exchange (FIRE) 5. インシデント報告交換のためのフォーマット (FIRE)
5.1.  Potential benefits, risks and costs 5.1. 潜在的な利益、リスク、コスト
5.2.  The FIRE concept 5.2.  FIREのコンセプト
Annex 1: 2022 Survey findings 附属書1:2022年調査結果
Annex 2: Recommendations mapped to identified challenges 附属書2:特定された課題にマッピングされた推奨事項
Annex 3: Initial reporting trigger reference material 附属書3:初回報告トリガー参考資料

 

16の推奨事項...

Design of CIR Approach サイバーインシデント報告アプローチの設計
1  Establish and maintain objectives for CIR 1  サイバーインシデント報告の目的の設定と維持
2  Explore greater convergence of CIR frameworks 2  サイバーインシデント報告フレームワークの収束の促進の検討
3  Adopt common reporting formats 3  共通の報告様式の採用
4  Implement phased and incremental reporting requirements 4  段階的かつ漸進的な報告要件の実施
5  Select incident reporting triggers 5  インシデント報告のトリガーの選択
6  Calibrate initial reporting windows 6  初期報告窓口の調整
7  Minimise interpretation risk 7  解釈リスクの最小化
8  Extend materiality-based triggers to include likely breaches 8  重要性に基づくトリガーの拡張と、違反の可能性が高いものの包含
Authority interactions 当局とのやりとり
9  Review the effectiveness of CIR processes 9  サイバーインシデント報告プロセスの有効性のレビュー
10  Conduct ad-hoc data collection or industry engagement 10  アドホックなデータ収集と産業界への関与の実施
11  Address impediments to cross-border information sharing   11  国境を越えた情報共有の阻害要因への対処  
Industry engagement 産業界の取り組み
12  Foster mutual understanding of benefits of reporting 12  報告の利益に関する相互理解の促進
13  Provide guidance on effective CIR communication 13  効果的なサイバーインシデント報告コミュニケーションに関するガイダンスの提供
Capability Development (individual and shared) 能力開発(個人と共有)
14  Maintain response capabilities which support CIR 14  サイバーインシデント報告を支援する対応能力の維持
15  Pool knowledge to identify related cyber events and cyber incidents 15  関連するサイバーイベント及びサイバーインシデントを特定するための知識の共有
16  Protect sensitive information 16  機密情報の保護

 

 

推奨事項をもう少し詳細に...

Recommendations: 推奨事項
1. Establish and maintain objectives for CIR. Financial authorities should have clearly defined objectives for incident reporting, and periodically assess and demonstrate how these objectives can be achieved in an efficient manner, both for FIs and authorities. 1. サイバーインシデント報告の目的の設定と維持:金融当局は、インシデント報告に関する目的を明確に定義し、金融機関及び当局の双方にとって、これらの目的がいかに効率的に達成され得るかを定期的に評価し、示すべきである。 
2. Explore greater convergence of CIR frameworks. Financial authorities should continue to explore ways to align their CIR regimes with other relevant authorities, on a cross-border and cross-sectoral basis, to minimise potential fragmentation and improve interoperability. 2. サイバーインシデント報告フレームワークの収束の促進の検討:金融当局は、潜在的な断片化を最小化し、相互運用性を向上させるために、国境を越え、セクターを越えて、他の関連当局とサイバーインシデント報告制度を整合させる方法を引き続き検討するべきである。 
3. Adopt common reporting formats. Financial authorities should individually or collectively identify common data requirements, and, where appropriate, develop or adopt standardised formats for the exchange of incident reporting information. 3. 共通の報告様式の採用:金融当局は、個別又は集合的に共通のデータ要件を特定し、適切な場合には、事故報告情報 の交換のための標準的なフォーマットを開発又は採用すべきである。 
4. Implement phased and incremental reporting requirements. Financial authorities should implement incremental reporting requirements in a phased manner, balancing the authority’s need for timely reporting with the affected institution’s primary objective of bringing the incident under control. 4. 段階的かつ漸進的な報告要件の実施:金融当局は、タイムリーな報告に対する当局の必要性と、インシデントをコントロール下に置くという影響を受ける機関の主要な目的とのバランスを取りながら、段階的な報告要件を導入すべきである。 
5. Select incident reporting triggers. Financial authorities should explore the benefits and implications of a range of reporting trigger options as part of the design of their CIR regime. 5. インシデント報告のトリガーの選択:金融当局は、サイバーインシデント報告制度の設計の一環として、様々な報告トリガーのオプションの利点と意味を検討するべきである。 
6. Calibrate initial reporting windows. Financial authorities should consider potential outcomes associated with window design or calibration used for initial reporting. 6. 初期報告窓口の調整:金融当局は、初期報告に用いる窓口の設計や調整に関連する潜在的な結果を検討すべきである。 
7. Minimise interpretation risk. Financial authorities should promote consistent understanding and minimise interpretation risk by providing an appropriate level of detail in setting reporting thresholds, including supplementing CIR guidance with examples, and engaging with FIs. 7. 解釈リスクの最小化:金融当局は、サイバーインシデント報告ガイダンスを事例で補足することを含め、報告閾値を設定する際に適切なレベルの詳細を提供し、金融機関との連携を図ることにより、一貫した理解を促進し、解釈リスクを最小化すべきである。  
8. Extend materiality-based triggers to include likely breaches. Financial authorities that use materiality thresholds should explore adjusting threshold language, or use other equivalent approaches, to encourage FIs to report incidents where reporting criteria have yet to be met but are likely to be breached. 8. 重要性に基づくトリガーの拡張と、違反の可能性が高いものの包含:重要性の閾値を使用する金融当局は、報告基準がまだ満たされていないが、違反の可能性が高いインシデントを報告するよう金融機関を奨励するために、閾値の文言を調整すること、または他の同等のアプローチを使用することを検討するべきである。 
9. Review the effectiveness of CIR processes. Financial authorities should explore ways to review the effectiveness of FIs’ CIR processes and procedures as part of their existing supervisory or regulatory engagement. 9. サイバーインシデント報告プロセスの有効性のレビュー:金融当局は、既存の監督・規制の一環として、金融機関のサイバーインシデント報告プロセスと手続の有効性をレビューする方法を検討するべきである。 
10. Conduct ad-hoc data collection and industry engagement. Financial authorities should explore ways to complement CIR frameworks with supervisory measures as needed and engage FIs on cyber incidents, both during and outside of live incidents. 10. アドホックなデータ収集と産業界への関与の実施:金融当局は、必要に応じてサイバーインシデント報告のフレームワークを監督上の措置で補完する方法を模索し、サイバーインシデントについて、インシデント発生中もそれ以外も金融機関に関与するべきである。 
11. Address impediments to cross-border information sharing. Financial authorities should explore methods for collaboratively addressing legal or confidentiality challenges relating to the exchange of CIR information on a cross-border basis. 11. 国境を越えた情報共有の阻害要因への対処:金融当局は、国境を越えたサイバーインシデント報告情報の交換に関連する法的又は守秘義務上の課題に協力して対処する方法を検討するべきである。 
12. Foster mutual understanding of benefits of reporting. Financial authorities should engage regularly with FIs to raise awareness of the value and importance of incident reporting, understand possible challenges faced by FIs and identify approaches to overcome them when warranted. 12. 報告の利益に関する相互理解の促進:金融当局は、インシデント報告の価値と重要性に対する認識を高め、金融機関が直面する可能性のある課題を理解し、必要な場合にはそれを克服するためのアプローチを特定するために、金融機関と定期的に関係を持つべきである。 
13. Provide guidance on effective CIR communication. Financial authorities should explore ways to develop, or foster development of, toolkits and guidelines to promote effective communication practices in cyber incident reports. 13. 効果的なサイバーインシデント報告コミュニケーションに関するガイダンスの提供:金融当局は、サイバーインシデント報告における効果的なコミュニケーションの実践を促進するため、ツールキットやガイドラインの開発、または開発を促進する方法を模索すべきである。 
14. Maintain response capabilities which support CIR. FIs should continuously identify and address any gaps in their cyber incident response capabilities which directly support CIR, including incident detection, assessment and training on a continuous basis. 14. サイバーインシデント報告を支援する対応能力の維持:金融機関は、インシデントの検知、評価及び訓練を含む、サイバーインシデント報告を直接支援するサイバーインシデント対応能力のギャップを継続的に特定し、対処しなければならない。 
15. Pool knowledge to identify related cyber events and cyber incidents. Financial authorities and FIs should collaborate to identify and implement mechanisms to proactively share event, vulnerability and incident information amongst financial sector participants to combat situational uncertainty, and pool knowledge in collective defence of the financial sector. 15. 関連するサイバーイベント及びサイバーインシデントを特定するための知識の共有:金融当局及び金融機関は、状況の不確実性に対処するために、金融セクターの参加者間でイベント、脆弱性及びインシデント情報をプロアクティブに共有し、金融セクターの集団防衛における知識を蓄積するメカニズムを特定し、実施するために協力するべきである。 
16. Protect sensitive information. Financial authorities should implement secure forms of incident information handling to ensure protection of sensitive information at all times. 16. 機密情報の保護:金融当局は、常に機密情報の保護を確実にするために、事故情報の取り扱いを安全な形で実施すべきである。 

 

■ 関連

ちょうど昨年の今頃。。。

・2021.10.19 Cyber Incident Reporting: Existing Approaches and Next Steps for Broader Convergence

・[PDF] Cyber Incident Reporting: Existing Approaches and Next Steps for Broader Convergence

 

20211022-00239

 

サイバー用語集

Cyber Lexicon

・2018.11.12 [PDF] Cyber Lexicon

20221024-24219

 

金融庁

・2018.11.16 金融安定理事会による「サイバー用語集」の公表について

 

翻訳しても良いのにね。。。

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.10.22 金融安定理事会 (FSB) 「サイバーインシデントレポート:既存のアプローチとより広範な収斂のための次のステップ」

 

 

| | Comments (0)

2022.10.22

米国 GAO 重要インフラの防御:K-12サイバーセキュリティを強化するためには、連邦政府のさらなる調整が必要である。

こんにちは、丸山満彦です。

サイバー空間が、社会のインフラとして当然の存在になっているので、生徒に対するサイバー教育というのも必要ですよね。。。米国の場合は、学校というか教育機関は重要インフラとなっていて、学校というか教育システム全体のセキュリティを保護する必要があるという認識ですね。。

個別のセキュリティ対策というよりも、政府間の連携対策、セキュリティ製品・サービス等を選定する際の規準のようなものの不足が課題として上がっていますね。。。

 

U.S. GAO

・2022.10.20 Critical Infrastructure Protection:Additional Federal Coordination Is Needed to Enhance K-12 Cybersecurity

速報ハイライト

Critical Infrastructure Protection:Additional Federal Coordination Is Needed to Enhance K-12 Cybersecurity 重要インフラの防御:K-12サイバーセキュリティを強化するためには、連邦政府のさらなる調整が必要である。
GAO-23-105480 GAO-23-105480
Fast Facts 速報
U.S. schools rely on information technology for many operations. But cybersecurity incidents, like ransomware attacks, could significantly affect everything from educational instruction to school operations. 米国の学校は、多くの業務を情報技術に依存している。しかし、ランサムウェア攻撃のようなサイバーセキュリティインシデントは、教育指導から学校運営に至るまで、あらゆるものに大きな影響を及ぼす可能性がある。
Three federal agencies assist schools in protecting against cyber threats. But there are no formal channels for how agencies coordinate with each other or with K-12 schools to address cybersecurity risks or incidents. Also, the agencies don't measure or obtain feedback on whether their cybersecurity-related services are effective. 3つの連邦政府機関が、サイバー脅威から学校を守るための支援を行っている。しかし、サイバーセキュリティのリスクやインシデントに対処するために、各機関が互いに、あるいは幼稚園から高校までの学校とどのように連携するかについて、正式なチャンネルはない。また、各機関はサイバーセキュリティ関連のサービスが効果的かどうかを測定したり、フィードバックを得たりしていない。
Our recommendations could improve how agencies coordinate cybersecurity assistance with K-12 schools. われわれの勧告により、各機関がK-12スクールとサイバーセキュリティ支援を調整する方法を改善できる可能性がある。
Cyberattacks Used Against K-12 Schools 幼稚園から高校までの学校に対するサイバー攻撃
Highlights ハイライト
What GAO Found GAOの調査結果
Kindergarten through grade 12 (K-12) schools have reported significant educational impact due to cybersecurity incidents, such as ransomware attacks. Cyberattacks can also cause monetary losses for targeted schools due to the downtime and resources needed to recover from incidents. Officials from state and local entities reported that the loss of learning following a cyberattack ranged from 3 days to 3 weeks, and recovery time ranged from 2 to 9 months. While the precise national magnitude of cyberattacks on K-12 schools is unknown, the research organization Comparitech reported the number of students affected by ransomware attacks between 2018 and 2021 (see figure). 幼稚園から12年生までの(K-12)学校は、ランサムウェア攻撃などのサイバーセキュリティインシデントにより、教育に大きな影響を与えたと報告している。サイバー攻撃は、インシデントからの復旧に必要なダウンタイムやリソースにより、標的となった学校に金銭的な損失をもたらす可能性もある。州や地方の事業体の関係者は、サイバー攻撃後の学習損失は3日から3週間、復旧時間は2カ月から9カ月に及ぶと報告している。幼稚園から高校までの学校に対するサイバー攻撃の全国的な正確な規模は不明だが、調査機関Comparitechは、2018年から2021年にかけてランサムウェア攻撃の影響を受けた生徒数を報告している(図参照)。
Number of U.S. Students Affected by Ransomware Attacks on K-12 Schools and School Districts, 2018-2021 K-12学校および学区に対するランサムウェア攻撃の影響を受ける米国の生徒数(2018年~2021年
1_20230814144701
Federal guidance, such as the National Infrastructure Protection Plan (National Plan), establishes roles and responsibilities for the protection of the nation's critical infrastructure, including the Education Subsector. Specifically, the Department of Education (Education) is the lead agency, or sector risk management agency, for the subsector. As such, Education and the Department of Homeland Security's Cybersecurity and Infrastructure Security Agency (CISA) are to coordinate K-12 cybersecurity efforts with federal and nonfederal partners. In addition, the FBI is to provide criminal investigative support. 国家インフラ保護計画などの連邦政府の指針は、教育サブセクターを含む国家の重要インフラの保護に関する役割と責任を定めている。具体的には、教育省がサブセクターの主導機関、すなわちセクターリスクマネジメント機関である。そのため、教育省および国土安全保障省のサイバーセキュリティ・インフラセキュリティ庁(CISA)は、連邦および連邦以外のパートナーとともに、K-12サイバーセキュリティの取り組みを調整することになっている。また、FBIは犯罪捜査支援を提供することになっている。
Education and CISA offer cybersecurity-related products and services to K-12 schools, such as online safety guidance. However, they otherwise have little to no interaction with other agencies and the K-12 community regarding schools' cybersecurity. This is due in part to Education not establishing a government coordinating council, as called for in the National Plan. Such a council can facilitate ongoing communication and coordination among federal agencies and with the K-12 community. This, in turn, can enable federal agencies to better address the cybersecurity needs of K-12 schools. Regarding the products and services they do offer to schools, Education and CISA do not measure their effectiveness. Doing so would provide further input on the needs of the schools. 教育機関とCISAは、K-12学校にオンライン安全指導などのサイバーセキュリティ関連の製品やサービスを提供している。しかし、それ以外では、学校のサイバーセキュリティに関して、他の機関やK-12コミュニティとの交流はほとんどない。これは、教育省が国家計画で求められている政府調整協議会を設立していないことにも起因している。このような協議会は、連邦政府機関間およびK-12コミュニティとの継続的なコミュニケーションと調整を促進することができる。その結果、連邦政府機関は、K-12 学校のサイバーセキュリティ・ニーズによりよく対応できるようになる。学校向けに提供している製品やサービスについて、Education と CISA はその効果を測定していない。そうすることで、学校のニーズについてさらなるインプットが得られるだろう。
Why GAO Did This Study GAOがこの調査を行った理由
The COVID-19 pandemic forced schools across the nation to increase their reliance on IT to deliver educational instruction to students. This amplified the vulnerability of K-12 schools to potentially serious cyberattacks. Several federal agencies have a role in enhancing the protection of our nation's critical infrastructure, which includes the Education Facilities Subsector. COVID-19の大流行により、全米の学校は、生徒に教育指導を提供するためのITへの依存度を高めざるを得なくなった。これは、潜在的に深刻なサイバー攻撃に対するK-12学校の脆弱性を増幅させた。いくつかの連邦政府機関は、教育施設サブセクターを含むわが国の重要インフラの保護を強化する役割を担っている。
GAO was asked to review cybersecurity in K-12 schools. The objectives of this report are to (1) determine what is known about the impact of cyber incidents, and (2) determine the extent to which key federal agencies coordinate with other federal and nonfederal entities to help K-12 schools combat cyber threats. GAOは、K-12学校のサイバーセキュリティの見直しを依頼された。本報告書の目的は、(1)サイバーインシデントの影響について知られていることを明らかにすること、(2)主要な連邦政府機関が他の連邦政府機関や連邦政府以外の事業体とどの程度連携し、K-12学校のサイバー脅威対策を支援しているかを明らかにすることである。
To do so, GAO analyzed publicly reported K-12 cyber incidents and related documentation. In addition, GAO identified law and federal guidance that establish roles and responsibilities for coordinating K-12 cybersecurity. GAO also interviewed officials from federal agencies and selected state-level and local-level school-related organizations on the impact of cyber incidents and level of federal cybersecurity support received. そのために、GAOは公に報告されたK-12のサイバーインシデントと関連文書を分析した。さらにGAOは、K-12サイバーセキュリティを調整するための役割と責任を定めた法律と連邦政府のガイダンスを特定した。GAOはまた、サイバーインシデントの影響や連邦政府が受けたサイバーセキュリティ支援のレベルについて、連邦政府機関や特定の州レベルおよび地方レベルの学校関連組織の関係者にインタビューを行った。
Recommendations 勧告
GAO is making three recommendations to Education and one to DHS to improve coordination of K-12 schools' cybersecurity and to measure the effectiveness of products and services. Education concurred with one recommendation and partially concurred with two; DHS concurred with its recommendation. GAO continues to believe all recommendations are warranted. GAOは教育省に対して3件、DHSに対して1件の勧告を行い、幼稚園から高校までのサイバーセキュリティの調整を改善し、製品やサービスの効果を測定するよう求めている。教育省は1つの勧告に同意し、2つの勧告に部分的に同意した。GAOは、すべての勧告が正当であると引き続き考えている。

Recommendations for Executive Action
行政措置に関する勧告
Agency Affected 影響を受ける機関
Department of Education 教育省
The Secretary of Education, in consultation with the Cybersecurity and Infrastructure Security Agency and other stakeholders involved in updating the Education Facilities Sector-Specific Plan, should establish a collaborative mechanism, such as an applicable government coordinating council, to coordinate cybersecurity efforts between agencies and with the K-12 community. (Recommendation 1) 教育省長官は、サイバーセキュリティ・インフラセキュリティ庁および教育施設分野別計画の更新に関与する他の利害関係者と協議の上、省庁間およびK-12コミュニティとのサイバーセキュリティの取り組みを調整するために、適用される政府調整協議会などの協力体制を確立すべきである。(勧告1)
The Secretary of Education should develop metrics for obtaining feedback to measure the effectiveness of Education's K-12 cybersecurity-related products and services that are available for school districts. (Recommendation 2) 教育省長官は、教育省が学区向けに提供するK-12サイバーセキュリティ関連の製品やサービスの有効性を測定するためのフィードバックを得るための指標を開発すべきである。(勧告2)
The Secretary of Education, in coordination with federal and nonfederal stakeholders, should determine how best to help school districts overcome the identified challenges and consider the identified opportunities for addressing cyber threats, as appropriate. (Recommendation 3) 教育省長官は、連邦政府および連邦政府以外の利害関係者と連携して、学区が識別された課題を克服し、識別されたサイバー脅威に対処するための機会を検討するのを支援するための最善の方法を適宜決定すべきである。(勧告3)
Department of Homeland Security 国土安全保障省
The Secretary of the Department of Homeland Security should ensure that the Director of the Cybersecurity and Infrastructure Security Agency develops metrics for measuring the effectiveness of its K-12 cybersecurity-related products and services that are available for school districts and determine the extent that CISA meets the needs of state and local-level school districts to combat cybersecurity threats. (Recommendation 4) 国土安全保障省長官は、サイバーセキュリティ・インフラセキュリティ庁長官が、学区が利用可能なK-12サイバーセキュリティ関連製品およびサービスの有効性を測定するための指標を開発し、CISAが州および地方レベルの学区のサイバーセキュリティの脅威に対抗するニーズにどの程度対応しているかを判断するようにすべきである。(勧告4)

 

報告書...

・[PDF] Highlights Page

20230814-145105

 

 

・[PDF] Full Report

20230814-145238

 

・[PDF] Accessible PDF

 

| | Comments (0)

中国 TC260 14のセキュリティ関連の標準を決定

こんにちは、丸山満彦です。

中国が14のセキュリティ関連の標準を決定しましたね。。。

 

● 全国信息安全标准化技术委员会 (National Information Security Standardization Technical Committee)

2022.10.19 14项网络安全国家标准获批发布 サイバーセキュリティに関する14の国家標準の発行を承認

 

标准编号
标准名称 Standards 標準名
GB/T 25068.3-2022 信息技术安金技术网络安金第 3部分:面向网络接入场景的威胁、设计技术和控制 Information Security Technology Network Security: Part 3 Threats, design techniques and controls for network access scenarios; 情報セキュリティ技術 ネットワークセキュリティ 第3部 ネットワークアクセスシナリオの脅威と設計技術、制御方法
GB/T 25068.4-2022 信息技术安金技术网络安金第 4部分:使用安全网关的网间通信安全保护 Information Security Technology Network Security: Part 4 Internet communication using secure gateways; 情報セキュリティ技術 ネットワークセキュリティ 第4部 セキュアゲートウェイを用いたインターネット通信
GB/T 41773.2022 信息安全技术步态识别数据安全要求 Information Security Technology Gait recognition data security requirements; 情報セキュリティ技術 歩行認識データのセキュリティ要件
GB/T 41806.2022 信息安金技术基因识别数据安全要求 Information Security Technology Genetic identification data security requirements; 情報セキュリティ技術 遺伝子識別データセキュリティ要件
GB/T 41807.2022 信息安金技术声纹识别数据安全要求 Information Security Technology Voice recognition data security requirements; 情報セキュリティ技術 音声認識データセキュリティ要件
GB/T 41817.2022 信息安全技术个人信息安全工程指南 Information Security Technology Personal Information engineering guide; 情報セキュリティ技術 個人情報エンジニアリングガイド
GB/T 41819.2022 信息安金技术人脸识别数据安全要求 Information Security Technology Face recognition data security requirements; 情報セキュリティ技術 顔認識データセキュリティ要件
GB/T 41871.2022 信息安金技术汽车数据处理安全要求 Information Security Technology Automotive data processing data security requirements; 情報セキュリティ技術 自動車データ処理データセキュリティ要件
GB/T 42012.2022 信息安金技术即时通信服务数据安金要求 Information Security Technology Instant Messaging data security requirements; 情報セキュリティ技術 インスタントメッセージングデータセキュリティ要件
GB/T 42013.2022 信息安全技术快递物流服务数据安全要求 Information Security Technology Express logistics service data security requirements; 情報セキュリティ技術 高速物流サービスのデータセキュリティ要件
GB/T 42014.2022 信息安金技术网上购物服务数据安全要求 Information Security Technology Online shopping service data security requirements; 情報セキュリティ技術 オンラインショッピングサービスデータセキュリティ要件
GB/T 42015.2022 信息安金技术网络支付服务数据安全要求 Information Security Technology Online payment service data security requirements; 情報セキュリティ技術 オンライン決済サービスのデータセキュリティ要件
GB/T 42016.2022 信息安金技术网络音视频服务数据安全要求 Information Security Technology Number of network audio and video services safety requirements 情報セキュリティ技術 ネットワーク音声・映像サービス数安全要求事項
GB/T 42017.2022 信息安全技术网络预约汽车服务数据安全要求 Information Security Technology Online car booking service data security requirements. 情報セキュリティ技術 オンライン自動車予約サービス データセキュリティ要件

 


去年の今頃...

まるちゃんの情報セキュリティ気まぐれ日記

・2021.10.13 中国 TC260 15のセキュリティ関連の標準を決定

 

その他。。。

・2022.06.27 中国 TC260 個人情報の国際的な処理活動に関するセキュリティ認証仕様

・2022.05.31 中国 意見募集 国家標準案 情報セキュリティ技術- インターネットプラットフォーム及び製品サービスにおけるプライバシーポリシー要求事項

・2021.10.22 中国 意見募集 国家標準案「情報セキュリティ技術 自動車収集データに関するセキュリティ要件 」

・2021.10.13 中国 TC260 15のセキュリティ関連の標準を決定

・2021.08.30 中国 2021年のサイバーセキュリティに関する国家標準プロジェクトリスト 

・2021.08.13 中国 意見募集 「機械学習アルゴリズムのセキュリティ評価に関する情報セキュリティ技術仕様書」案を発表し、意見募集していますね。。。 at 2021.08.04

・2021.08.13 中国 意見募集 「情報セキュリティ技術ブロックチェーン技術セキュリティフレームワーク」案を発表し、意見募集していますね。。。 at 2021.08.02

・2021.05.13 中国 意見募集 顔認識、歩行認識、音声認識に続けて、遺伝子認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。

・2021.05.03 中国 意見募集 顔認識に続けて、歩行認識、音声認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。

・2021.04.28 中国 意見募集 スマホアプリによる個人情報保護管理に関する暫定規定

・2021.01.27 中国 TC260 パブコメ ブロックチェーン情報サービスのセキュリティ仕様他

・2020.11.12 中国 TC260 パブコメ オンライン車予約サービスのデータセキュリティに関するガイド案

・2020.10.29 中国が情報セキュリティに関連の国家標準のパブコメ (2020.03.20期日以降2020.11.29まで分)

・2020.10.21 中国電子標準化研究所が国家標準GB/T 37988-2019「情報セキュリティ技術 データセキュリティ能力成熟度モデル」に準拠した成熟度評価ツールをリリースしましたね

・2020.02.04 中国が情報セキュリティ関連の国家標準のパブコメを18件出していました・・・

 

 

 

| | Comments (0)

2022.10.21

ENISA ポスト量子暗号 - 統合研究

こんにちは、丸山満彦です。

ENISAが、「ポスト量子暗号 - 統合研究」という報告書を公表していますね。。。耐量子暗号への移行をどうしていくのかは、重要な課題ですね。。。

ENISA

・2022.10.18 (news) Post-Quantum Cryptography: Anticipating Threats and Preparing the Future

Post-Quantum Cryptography: Anticipating Threats and Preparing the Future ポスト量子暗号:脅威の予測と将来への備え
The new report published by the European Union Agency for Cybersecurity (ENISA) explores the necessity to design new cryptographic protocols and integrate post-quantum systems into existing protocols. 欧州連合サイバーセキュリティ機関(ENISA)が発表した新しい報告書では、新しい暗号プロトコルを設計し、ポスト量子システムを既存のプロトコルに統合する必要性を探っている。
Can we integrate post-quantum algorithms to existing protocols? Can new protocols be designed around post-quantum systems? What's the role of double encryption and double signatures? What changes will new post-quantum algorithms impose to existing protocols? These are some of the questions the report published today intends to answer. ポスト量子アルゴリズムを既存のプロトコルに統合することは可能か?ポスト量子システムに対応した新しいプロトコルを設計することは可能か?二重暗号や二重署名はどのような役割を果たすのか?新しいポスト量子アルゴリズムは、既存のプロトコルにどのような変化をもたらすのか?これらは、本日発表された報告書が答えようとしている疑問の一部である。
The transition to post-quantum cryptography (PQC) does not end with the selection and standardisation of post-quantum algorithms. Integration with existing systems and protocols is also required. The report focuses on the necessity to resort to future-proofing and for the acquisition of knowledge not limited to external standards. ポスト量子暗号(ポスト量子暗号)への移行は、ポスト量子アルゴリズムの選択と標準化で終わるわけではない。既存のシステムやプロトコルと統合することも必要である。本報告書では、将来を見据えた対策と、外部標準にとらわれない知識習得の必要性に着目している。
The report expands on the initial aspects of those post-quantum cryptography challenges addressed in the study published last year by ENISA: Post-Quantum Cryptography: Current state and quantum mitigation. 本報告書は、ENISAが昨年発表した研究、「ポスト量子暗号:現状と量子緩和」、で取り上げたポスト量子暗号の課題について、初期の側面を発展させたものである。 
Why do we need to anticipate the rise of quantum technology? なぜ量子技術の台頭を予見する必要があるのか?
Scientists commonly agree that quantum computers will be able to break widely used public-key cryptographic schemes, when they come into being. Because, in reality, systems using this new technology do not widely exist yet. 科学者の間では、量子コンピュータが実現すれば、広く使われている公開鍵暗号方式を破ることができるようになるというのが共通の認識である。なぜなら、現実には、この新しい技術を使ったシステムはまだ広く存在していないからだ。
The transition to new quantum resistant cryptographic algorithms is expected to take years due to the complex processes and financial costs. This is why we still need to anticipate this and be prepared to deal with all possible consequences. 新しい量子耐性のある暗号アルゴリズムへの移行は、複雑なプロセスと金銭的なコストがかかるため、何年もかかると予想される。そのため、やはりこれを予見し、あらゆる可能性のある結果に対処できるように準備しておく必要がある。
The report answers the difficult questions raised by post-quantum cryptography in order to make sure we will avoid jeopardising today's public key cryptosystems, e-commerce, digital signatures, electronic identities, etc. This will be critical, even if rolling out new cryptographic systems might prove impossible for a number of systems with restricted accessibility such as satellites. 本報告書は、今日の公開鍵暗号システム、電子商取引、電子署名、電子IDなどを危険にさらすことがないよう、ポスト量子暗号が提起する難問に答えている。人工衛星のようなアクセス制限のあるシステムでは、新しい暗号システムの導入が不可能になる可能性があるとしても、これは非常に重要なことである。
If quantum technology is sought after, it is because it can provide efficient solutions to the technical challenges we face today. Unfortunately though, this new technology also comes along with novel threats to the security of our equipment and systems because quantum computing will make most currently used cryptographic solutions insecure and will end up changing the existing threat models radically. We will therefore need to quickly adapt before this happens to avoid threats that might compromise our infrastructures. 量子技術が注目されるのは、私たちが現在直面している技術的な課題を効率的に解決することができるからである。しかし、残念ながら、この新しい技術は、私たちの機器やシステムのセキュリティに対する新しい脅威を伴っている。なぜなら、量子コンピューティングは、現在使用されているほとんどの暗号ソリューションを安全でなくし、既存の脅威モデルを根本的に変えることになるからである。そのため、私たちのインフラを危険にさらすような脅威を回避するために、そうなる前に迅速に対応する必要がある。
So what can we do today? では、私たちが今できることは何でしょうか。
The report includes a number of technical recommendations such as: 本報告書には、以下のような技術的な提言が含まれている。
・Developing guidelines for major use cases to assess the different trade-offs and systems best matching application scenarios; ・アプリケーションシナリオに最適なトレードオフとシステムを評価するための主要なユースケースのガイドラインを作成する。
・New protocols or major changes in existing protocols should be PQC aware, taking into account the integration needs of PQC systems; ・新しいプロトコルや既存のプロトコルの大きな変更は、ポスト量子暗号システムの統合ニーズを考慮し、ポスト量子暗号を意識したものにすべきである。
・The use of a hybrid systems which could translate into a post-quantum cryptography added as an extra layer to pre-quantum cryptography. ・ポスト量子暗号をプレ量子暗号に追加するハイブリッドシステムの使用。
Background 背景
ENISA's Work Programme foresees activities to support Knowledge Building in Cryptographic algorithms. The Agency engages with expert groups to address emerging challenges and promote good practices with the cooperation of the European Commission, Member States and other EU bodies. ENISAの作業部会では、暗号アルゴリズムに関する知識の蓄積を支援する活動を予定している。ENISAは、欧州委員会、加盟国、その他のEU組織の協力を得て、新たな課題に取り組み、グッドプラクティスを推進するために、専門家グループと連携している。
Because quantum computing cryptanalytics capabilities are likely to give rise to new emerging risks, there is a need to transition to quantum safe encryption as a counter measure. The work of ENISA in the area is meant to support the EU in advancing its strategic digital autonomy. 量子コンピュータの暗号解析能力は、新たな緊急的なリスクを生む可能性が高いため、その対策として量子安全暗号への移行が必要である。この分野におけるENISAの活動は、EUの戦略的デジタル自治の推進を支援することを意図している。
Further information 関連情報
ENISA report – Post-Quantum Cryptography: Integration Study ・ENISA報告書 - ポスト量子暗号:統合研究
ENISA report (2021) - Post-Quantum Cryptography: Current state and quantum mitigation ・ENISA報告書 (2021) - ポスト量子暗号:現状と量子緩和
ENISA report (2021) - Crypto Assets: Introduction to Digital Currencies and Distributed Ledger Technologies ・ENISA報告書 (2021) - 暗号資産:デジタル通貨と分散型台帳技術の序文
EU Cybersecurity Strategy for the Digital Decade ・デジタルの10年に向けたEUサイバーセキュリティ戦略

 

 

・2022.10.18 Post-Quantum Cryptography - Integration study

Post-Quantum Cryptography - Integration study ポスト量子暗号 - 統合研究
With this report ENISA seeks to give insight on post-standardisation challenges. As a follow-up to ENISA’s 2021 Post-Quantum Cryptography: Current state and quantum mitigation study, the new report explores the necessity to design new cryptographic protocols and integrate post-quantum systems into existing protocols. 本報告書で、ENISAは標準化後の課題についての知見を得ようとしている。ENISAの2021年版ポスト量子暗号のフォローアップとして。現状と量子緩和に関する研究として、新しい報告書では、新しい暗号プロトコルを設計し、ポスト量子システムを既存のプロトコルに統合する必要性を探っている。

・[PDF

20221021-122248

 

目次...

1. INTRODUCTION 1. 序文
2. INTEGRATING POST-QUANTUM SYSTEMS INTO EXISTING PROTOCOLS 2. ポスト量子システムの既存プロトコルへの統合
2.1 SIZE AND SPEED OF POST-QUANTUM CANDIDATES 2.1 ポスト量子候補のサイズと速度
2.2 SIZE LIMITATIONS IN TYPICAL INTERNET PROTOCOLS 2.2 一般的なインターネットプロトコルにおけるサイズの制限
2.3 PROTOCOLS ADAPTED TO POST-QUANTUM CRYPTOGRAPHY AND PERFORMANCE STUDIES 2.3 ポスト量子暗号に対応したプロトコルと性能研究
2.4 SUMMARY 2.4 要約
3. NEW PROTOCOLS DESIGNED AROUND POST-QUANTUM SYSTEMS 3. ポスト量子システムに対応した新プロトコル
3.1 USING KEMS IN PLACE OF SIGNATURES 3.1 署名に代わる鍵の利用
3.2 NEW DESIGNS TO DEAL WITH KEY SIZE 3.2 鍵のサイズに対応した新しい設計
3.3 NEW DESIGNS ADDRESSING DIFFERENT LAYERS 3.3 異なるレイヤーに対応する新しいデザイン
3.4 SUMMARY 3.4 要約
4. DOUBLE ENCRYPTION AND DOUBLE SIGNATURES 4. 二重暗号と二重署名
4.1 REVIEWING DOUBLE CRYPTOSYSTEMS 4.1 二重暗号の復習
4.2 DETAILS OF DOUBLE ENCRYPTION 4.2 二重暗号の詳細
4.3 DETAILS OF DOUBLE SIGNING 4.3 二重署名の詳細
4.4 PERFORMANCE 4.4 パフォーマンス
4.5 LONG-TERM PERSPECTIVE 4.5 長期的展望
4.6 SUMMARY 4.6 要約
5. SECURITY PROOFS IN THE PRESENCE OF QUANTUM ATTACKERS 5. 量子攻撃者が存在する場合の安全性証明
5.1 QUANTUM ACCESS 5.1 量子アクセス
5.2 NEW MODELS 5.2 新しいモデル
5.3 REVISITING PROOFS 5.3 証明の再検討
5.4 SUMMARY 5.4 要約
6. STANDARDISATION EFFORTS FOR PROTOCOLS 6. プロトコルの標準化活動
6.1 SUMMARY 6.1 要約
7. CONCLUSIONS 7. 結論
BIBLIOGRAPHY 参考文献

 

 

エグゼクティブサマリー...

EXECUTIVE SUMMARY エグゼクティブサマリー
With this report ENISA seeks to give insight on post-standardisation challenges. As a follow-up to ENISA’s 2021 Post-Quantum Cryptography: Current state and quantum mitigation study[1], the new report elaborates on the topic to address the following points: 本報告書により、ENISAは標準化後の課題についての洞察を得ようとしている。ENISAの2021年版ポスト量子暗号のフォローアップとして。現状と量子緩和の研究[1]、新報告書では、以下の点に対処するために、このテーマを詳しく説明している。
•  Integrating post-quantum systems into existing protocols ・ポスト量子システムの既存プロトコルへの統合
•  New protocols designed around post-quantum systems ・ポスト量子システムに対応した新しいプロトコルの開発
•  Double encryption and double signatures using post-quantum systems ・ポスト量子システムを利用した二重暗号化・二重署名
•  Seccurity proofs in the presence of quantum attackers ・量子攻撃者が存在する場合の安全性証明
•  Standardisation efforts for post-quantum enabled protocols ・ポスト量子システムに対応したプロトコルの標準化活動
The 2021 study provided an overview of the current state of play on the standardisation process of Post-Quantum Cryptography (PQC)[2]. It introduced a framework for analysing existing PQC proposals, presented the five (5) main families of PQC algorithms[3], and the NIST Round 3 finalists for encryption and signature schemes[4]. It also sketched two proposals that proactive system owners can implement right now – before a standard is published – in order to protect the confidentiality of their data against a quantum capable attacker[5]. 2021年の研究では、ポスト量子暗号(ポスト量子暗号)の標準化プロセスに関する現状を概観しました[2]。既存のポスト量子暗号提案を分析するためのフレームワークを導入し、ポスト量子暗号アルゴリズムの5つの主要なファミリー[3]、暗号化および署名方式に関するNISTラウンド3ファイナリスト[4]を提示しました。また、量子的な能力を持つ攻撃者からデータの機密性を保護するために、標準が公開される前に、積極的なシステム所有者が今すぐ実行できる2つの提案も紹介している[5]。
While agreeing on PQC cryptoalgorithms for encryption and signing is an important milestone [6], by itself it is not enough. Any new cryptoalgorithm will need to interplay with existing protocols or even require entirely new protocols to be designed and implemented. Furthermore, PQC proposals are a solution to a still unrealised vulnerability – there are currently no publicly known quantum computers, strong enough to break encryption, and not all scientists believe this will ever be the case[7]–. Whether we should implement protections against a threat that might not materialise would be a moot question if said implementations were cost free. However, PQC algorithms are often more costly, e.g. in terms of size and computations. In addition, changing to a new cryptographic paradigm might provide new opportunities for software bugs and our understanding of the security of the PQC algorithms is often less mature[8]. 暗号化および署名のためのポスト量子暗号暗号アルゴリズムに合意したことは重要なマイルストーンですが[6]、それだけでは十分ではない。新しい暗号アルゴリズムは、既存のプロトコルと相互作用する必要があるし、まったく新しいプロトコルを設計し実装する必要がある場合もある。さらに、ポスト量子暗号の提案は、まだ実現されていない脆弱性に対する解決策である。現在、暗号を解読できるほど強力な量子コンピュータは公表されていないし、すべての科学者がそうなると考えているわけでもない[7]。実現しないかもしれない脅威に対する保護を実装すべきかどうかは、その実装にコストがかからないのであれば、無意味な質問でしょう。しかし、ポスト量子暗号アルゴリズムは、サイズや計算量など、よりコストがかかることが多い。さらに、新しい暗号パラダイムへの変更は、ソフトウェアのバグに新たな機会を与える可能性があり、ポスト量子暗号アルゴリズムのセキュリティに関する我々の理解は成熟していないことが多い[8]。
For each of the above open issues an overview of current developments is provided, along with future directions and identified gaps. Chapter 2 Integrating post-quantum systems into existing protocols provides an overview of the work done to integrate PQC proposals with current systems. It comments on the size and speed characteristics of the proposals, based on the benchmarks of the eBACS: ECRYPT Benchmarking of Cryptographic Systems project[9][11], and how they interplay with the Internet Protocol (IP) and security protocols like TLS 1.3, VPN etc. As can be seen, not all use cases are created equal. For instance, in high-load cases, such as car2car communications, even apparently small differences between PQC proposals could have a significant impact by, for example, introducing latency or even incompatibility with existing communication protocols due to limits on message size. System designers will be required to understand the available options and make optimal choices for each use case, through calculated trade-offs. 上記の各未解決の課題について、現在の開発の概要と、将来の方向性、および特定されたギャップを説明する。第2章 既存のプロトコルへのポスト量子システムの統合では、ポスト量子暗号の提案を現在のシステムに統合するために行われた作業の概要を説明する。また、eBACSのベンチマークに基づき、提案のサイズと速度特性についてコメントしている。ECRYPT Benchmarking of Cryptographic Systemsプロジェクト[9][11]のベンチマークに基づく提案のサイズと速度の特性、およびインターネットプロトコル(IP)やTLS 1.3、VPNなどのセキュリティプロトコルとの相互作用についてコメントしている。ご覧のように、すべてのユースケースが同じように作られているわけではない。例えば、車車間通信のような高負荷なケースでは、ポスト量子暗号提案間の一見小さな違いでも、例えば遅延の発生や、メッセージサイズの制限による既存の通信プロトコルとの非互換性によって、大きな影響を与える可能性がある。システム設計者は、利用可能なオプションを理解し、トレードオフを計算しながら、各ユースケースに最適な選択をする必要がある。
A different approach would be to develop new protocols, taking into account the specifications of PQC systems from the design phase. The somewhat limited work done so far is mentioned in chapter 3 New protocols designed around post-quantum systems. The main outcome here is that existing work is promising but more research and deployment work is needed. 別のアプローチとしては、設計段階からポスト量子暗号システムの仕様を考慮した新しいプロトコルを開発することが考えられる。これまでに行われたやや限定的な作業については、第3章ポスト量子システム向けに設計された新しいプロトコルで触れている。ここでの主な成果は、既存の研究は有望であるが、より多くの研究と展開作業が必要であるということである。
Chapter 4 Double encryption and double signatures takes on the veridical paradox that by striving for quantum resistance using a PQC system we might be lowering security overall. Actually, there is no guarantee that the post-quantum cryptosystems that survive the standardisation process are secure. So far cryptanalysts could have missed an important attack, perhaps even one that runs sufficiently quick on today’s non-quantum computers. Furthermore, the complicated new ecosystem of post-quantum cryptographic software has a clear risk of introducing bugs. A solution to this might be to augment, instead of simply replacing, current modern cryptosystems with PQC systems. This can be done by adding an extra layer that also encrypts and/or signs using post-quantum cryptography, as already discussed in our 2021 study. Here we take a closer look at the details and caveats of such a construction. The take away is that if this is done properly, then any attack will require breaking the current cryptosystem (e.g. one based on ellipticcurves) and breaking the post-quantum system. So, even if there are vulnerabilities in the post-quantum cryptosystem or post-quantum software, there will be no damage to the security of the existing system. The perceptive reader will have guessed that once more further investigations are required, but standardisation bodies are already working on this, specifying suitable mechanisms. 第4章 二重暗号と二重署名では、ポスト量子暗号システムを用いて量子耐性を追求すると、全体として安全性が低下するのではないかという真偽不明のパラドックスに挑んでいる。実際、標準化プロセスを経て生き残ったポスト量子暗号システムが安全である保証はない。これまでのところ、暗号解読者は重要な攻撃を見逃している可能性があり、おそらく現在の非量子コンピュータで十分に高速に動作する攻撃も見逃している可能性がある。さらに、ポスト量子暗号ソフトウェアの複雑な新しいエコシステムには、バグが発生するリスクがあることは明らかである。この問題を解決するには、現在の最新の暗号システムを単に置き換えるのではなく、ポスト量子暗号システムで補強することが考えられる。これは、2021年の研究で既に述べたように、ポスト量子暗号を用いた暗号化および/または署名も行う追加レイヤーを追加することで実現可能である。ここでは、そのような構成の詳細と注意点について詳しく見ていく。このような構成が適切に行われた場合、攻撃には現在の暗号システム(例えば楕円曲線に基づくもの)を破り、ポスト量子システムを破る必要があるということである。つまり、ポスト量子暗号システムやポスト量子ソフトウェアに脆弱性があったとしても、既存システムの安全性を損なうことはないのである。鋭い読者は、もう一度さらなる調査が必要であることを察知しているだろうが、標準化団体はすでにこれに取り組み、適切なメカニズムを明記している。
Chapter 5 Security proofs in the presence of quantum attackers, deals with formal models and proofs an important part of the analysis of modern cryptographic systems. While we have known for decades Shor’s and Grover’s algorithms – the former breaking RSA and ECC public key cryptography and the latter reducing the security level of symmetric cryptography – ongoing research on quantum computing might yet reveal more attacks against schemes and protocols. This is why cryptologists are not only working on proofs for the new PQC systems and protocols, but are also revisiting existing proofs for widely used systems and protocols. When we aim for post-quantum security, i.e. security against adversaries making use of a quantum computer, we have to model the adversaries also as quantum algorithms. This requires changing models and deciding about the specific abilities of quantum adversaries. New proofs have to be written that take quantum adversaries into account. This process has been started and is progressing well for basic building blocks, especially those considered in the NIST competition. However, in many other areas, especially in the analysis of protocols, the process has not even begun. 第5章 量子攻撃者の存在下での安全性証明では、現代の暗号システムの解析で重要な形式モデルと証明について扱っている。前者はRSA暗号やECC暗号を、後者は共通鍵暗号の安全性を低下させるというもので、何十年も前から知られていたが、量子コンピュータの研究が進めば、暗号方式やプロトコルに対するさらなる攻撃が明らかになるかもしれない。そのため、暗号研究者は新しいポスト量子暗号システムやプロトコルの証明に取り組むだけでなく、広く使われているシステムやプロトコルの既存の証明も見直しているのである。ポスト量子セキュリティ、つまり量子コンピュータを利用する敵対者に対するセキュリティを目指す場合、敵対者を量子アルゴリズムとしてモデル化する必要がある。そのため、敵対者のモデルを変更し、量子敵対者の具体的な能力を決定する必要がある。また、量子敵対者を考慮した新たな証明の作成が必要である。このプロセスは、基本的なビルディングブロック、特にNISTのコンペティションで検討されたものについては開始され、順調に進んでいる。しかし、他の多くの分野、特にプロトコルの解析では、このプロセスはまだ始まってさえいない。
Finally, chapter 6 Standardisation efforts for protocols briefly discusses the work done by standardisation bodies, going beyond NIST’s seminal work, including ETSI, IETF and ISO, as well as recent reports by other European agencies, namely ANSSI and BSI. It is of interest to note that standardisation bodies continue to standardise protocols built using pre-quantum systems that will not withstand quantum attacks. In cases where significant developing investment has already been spent, one should consider applying the discussed concepts of double encryption, double signatures, etc. Otherwise the sensible thing is to consider post-quantum integration from the beginning when developing new standards. 最後に、第6章プロトコルの標準化活動では、ETSI、IETF、ISO、NISTの代表的な活動以外にも、ANSSIやBSIといった欧州の他の機関による最近の報告も含めて、標準化団体による活動を簡潔に説明している。興味深いのは、標準化団体が、量子攻撃に耐えられないような量子以前のシステムを用いて構築されたプロトコルを標準化し続けていることである。すでに多大な開発投資が行われている場合には、二重暗号化、二重署名など、議論されている概念の適用を検討する必要がある。そうでなければ、新しい標準を開発する際に、最初からポスト量子統合を考慮することが賢明である。

 

[1] https://www.enisa.europa.eu/publications/post-quantum-cryptography-current-state-and-quantum-mitigation, (accessed October 17, 2022).

[2] e.g. NIST’s https://csrc.nist.gov/Projects/post-quantum-cryptography, (accessed October 17, 2022).

[3] code-based, isogeny-based, hash-based, lattice-based and multivariate-based

[4] https://csrc.nist.gov/Projects/post-quantum-cryptography/round-3-submissions, (accessed October 17, 2022).

[5] viz. hybrid implementations that use a combination of pre-quantum and post-quantum schemes, and the mixing of pre-shared keys into all keys established via public-key cryptography.

[6] While this report was being typeset and proofread NIST announced (July 2022) it had identified the four candidate algorithms for standardisation https://csrc.nist.gov/News/2022/ pqc-candidates-to-be-standardized-and-round-4 and https://csrc.nist.gov/publications/detail/nistir/ 8413/final, (accessed October 17, 2022).

[7] See for example https://www.scientificamerican.com/article/ will-quantum-computing-ever-live-up-to-its-hype/ and https://spectrum.ieee.org/ the-case-against-quantum-computing, (accessed October 17, 2022).

[8] As shown by the two recent cryptanalysis attacks against the Supersingular Isogeny Diffie-Hellman

(SIDH) protocol – one by Wouter Castryck and Thomas Decru of KU Leuven and the other by Luciano Maino and Chloe Martindale of the University of Bristol. SIDH is at the core of the Post-Quantum key encapsulation mechanism SIKE (Supersingular Isogeny Key Encapsulation), which was selected to continue to round four of the NIST Post-Quantum Project for consideration of standardisation. https://eprint.iacr.org/2022/975, https://eprint.iacr.org/2022/1026 (accessed October 17, 2022).

[9] https://bench.cr.yp.to/, (accessed October 17, 2022).

 

 

| | Comments (0)

欧州データ保護委員会 EDPB 意見募集 GDPRに基づく個人データ漏えい通知に関するガイドライン9/2022

こんにちは、丸山満彦です。

欧州データ保護委員会 (EDPB) がGDPRに基づく個人データ漏えい通知に関するガイドライン9/2022についての意見募集をしていますね。。。11月29日までです。。。

European Data Protection Board: EDPB

・2022.10.18 Guidelines 9/2022 on personal data breach notification under GDPR

 

どういう場合に、政府や個人に通知しなければならないかなど、色々と参考になる記述があるので、ぜひ一読を...と思います。(おそらく、大幅な変更なく、確定するでしょうし...)

 

例えば、暗号化された個人データも個人データだと記述している(76段落目あたりから...)のですが、これも色々な考慮事項があり、興味深いです。(といっても、日本のガイドラインの内容と同じような内容ですが。。。)

そういえば、最初に経済産業省の個人情報保護法のガイドラインを策定したときのことですが、暗号化された個人データも個人データであると書いたんですね。。。それは、

  • 考えれば必然的にそうなるのと、
  • 欧州でもそのような考え方であった、

からだったんですよね。。。だけど、みんなには評判悪かったですね。。。

 

・[PDF]

20221021-41030

・[DOCX] 仮訳

 

 

目次...

Guidelines 9/2022 on personal data breach notification under GDPR GDPRの下での個人データ侵害通知に関するガイドライン9/2022
TABLE OF CONTENTS 目次
0 PREFACE 0 前書き
INTRODUCTION イントロダクション
I. PERSONAL DATA BREACH NOTIFICATION UNDER THE GDPR I. GDRPに基づく個人データ漏えい通知
A. Basic security considerations A. セキュリティに関する基本的な考慮事項
B. What is a personal data breach? B. 個人データ漏えいとは?
1. Definition 1. 定義
2. Types of personal data breaches 2. 個人データ漏えいの種類
3. The possible consequences of a personal data breach 3. 個人データ漏えいがもたらす可能性のある結果
II. ARTICLE 33 - NOTIFICATION TO THE SUPERVISORY AUTHORITY II. 第33条:監督当局への通知
A. When to notify A. 通知するタイミング
1. Article 33 requirements 1. 第33条の要件
2. When does a controller become “aware”? 2. 管理者が 「認識」するのはどんな時か?
3. Joint controllers 3. 共同管理者
4. Processor obligations 4. 処理者の義務
B. Providing information to the supervisory authority B. 監督官庁への情報提供
1. Information to be provided 1. 提供する情報
2. Notification in phases 2. 段階的な通知
3. Delayed notifications 3. 通知遅延
C. Cross-border breaches and breaches at non-EU establishments C. 国境を越えた違反行為とEU域外の事業所における違反行為
1. Cross-border breaches 1. 国境を越えた違反
2. Breaches at non-EU establishments 2. EU域外の事業所での違反
D. Conditions where notification is not required D. 通知が不要な条件
III. ARTICLE 34 – COMMUNICATION TO THE DATA SUBJECT III. 第34条:データ対象者への通知
A. Informing individuals A. 個人への情報提供
B. Information to be provided B. 提供される情報
C. Contacting individuals C.個人への連絡
D. Conditions where communication is not required D. コミュニケーションを必要としない条件
IV. ASSESSING RISK AND HIGH RISK IV. リスク評価と高リスク
A. Risk as a trigger for notification A. 通知のトリガーとなるリスク
B. Factors to consider when assessing risk B. リスクを評価する際に考慮すべき要素
V. ACCOUNTABILITY AND RECORD KEEPING V. 説明責任と記録の保持
A. Documenting breaches A. 違反の文書化
B. Role of the Data Protection Officer B. データ保護責任者の役割
VI. NOTIFICATION OBLIGATIONS UNDER OTHER LEGAL INSTRUMENTS VI. 他の法的文書に基づく通知義務
VII. ANNEX VII. 附属書
A. Flowchart showing notification requirements A. 報告・通知要件を示すフローチャート
B. Examples of personal data breaches and who to notify B. 個人データ漏えいの例と報告・通知先

 

 

 

| | Comments (0)

2022.10.20

日本公認会計士協会 保証業務実務指針3850「情報セキュリティ等に関する受託業務のTrustに係る内部統制の保証報告書に関する実務指針」及びIT委員会研究報告第55号「保証業務実務指針3850「情報セキュリティ等に関する受託業務のTrustに係る内部統制の保証報告書に関する実務指針」に係るQ&A」の改正

こんにちは、丸山満彦です。

日本公認会計士協会が、情報セキュリティ等に関する受託業務のTrustに係る内部統制の保証報告書の発行業務について、海外団体が公表している特定の規準を利用する場合は、日本公認会計士協会の参考翻訳ではなく海外団体の原文を適用する必要があることを明らかにするために、改訂を行い、公表していますね。。。2022.07.25にドラフトが公開され、意見募集を行い、2022.10.19に公開されたということですね。。。

なお、「保証業務実務指針3850号」は、「保証業務実務指針3702号」に、「IT委員会研究報告第55号」は、「保証業務実務指針3000実務ガイダンス第5号」に番号が変更されています。。。


日本公認会計士協会

・2022.10.19 保証業務実務指針3850「情報セキュリティ等に関する受託業務のTrustに係る内部統制の保証報告書に関する実務指針」及びIT委員会研究報告第55号「保証業務実務指針3850「情報セキュリティ等に関する受託業務のTrustに係る内部統制の保証報告書に関する実務指針」に係るQ&A」の改正について

[PDF] 前文

  保証業務実務指針3702号 保証業務実務指針3000実務ガイダンス第5号
新旧対比表 [PDF]  [PDF] 
本文 [PDF]  [PDF] 

 

昔、 WebTrustとか、SysTrustと言われていたに情報セキュリティ等に関する受託業務のTrustに係る内部統制の保証業務ですが、その際の判断基準、いわゆるクライテリア (Criteria) について、日本公認会計士協会の参考翻訳ではなく、原文を使えということで、当たり前の話といえば、当たり前の話です。旧実務指針3850の「付録5 受託業務のセキュリティ、可用性、処理のインテグリティ、機密保持及びプライバシーに係る内部統制の評価のための規準」が削除したことにより、報告書の例示も付録5を使ったものから、AICPAの規準を使ったものに変更されていますね。。。

カナダと米国で始まった、Trust業務ですが、最初はPKIによる電子署名等のための(運用も含めた)システムの保証(WebTrust for CA)から始まり、ウェブシステムの機密性等の保証やプライバシー保護の領域に拡大し(WebTrust)、一般的なシステムにも拡大し(SysTrust)、全体を合わせてTrust業務として整理されたが、やっぱり残っているのは、WebTrust for CAの領域なんですかね。。。今は、カナダの公認会計士協会 (Chartered Professional Accountants Canada; CPA Canada) [wikipedia] によって維持されていますね。。。

一時、日本の公認会計士協会もTrust Serviceのシールの発行を行なっていた時期もありましたが、それも今は行なっていませんね。。。

GMOのGrobalSignがWebTrustの監査を受けていますが、Trust Service Sealはつけていませんね。。。

 

GrobalSign by GMO

リポジトリ(利用約款・規約・ポリシー) 監査レポート

 

Sealを使っている例としては......

LawTrust

Certification Authorities

Webtrust-seal

 


 

関連

まるちゃんの情報セキュリティ気まぐれ日記

・2022.07.26 日本公認会計士協会 保証業務実務指針3850「情報セキュリティ等に関する受託業務のTrustに係る内部統制の保証報告書に関する実務指針」(IT委員会実務指針第9号)とそのQ&A(IT委員会研究報告第55号)の改訂案

・2022.06.10 日本公認会計士協会 保証業務に関する解説動画

・2021.04.17 日本公認会計士協会 「保証業務実務指針3850「情報セキュリティ等に関する受託業務のTrustに係る内部統制の保証報告書に関する実務指針」及びIT委員会研究報告第55号「保証業務実務指針3850「情報セキュリティ等に関する受託業務のTrustに係る内部統制の保証報告書に関する実務指針」に係るQ&A」」の公表とIT委員会実務指針第2号「Trustサービスに係る実務指針(中間報告)」 IT委員会実務指針第5号「ITに係る保証業務等の実務指針(一般指針)」等の廃止について

・2020.12.26 日本公認会計士協会がTrust規準以外の情報セキュリティ監査ができるように基準を変えるようですよ(公開草案を公表しています)

 

 

| | Comments (0)

IPA 「NSA 商用国家安全保障アルゴリズムスイート2.0」「NSA 商用国家安全保障アルゴリズムスイート2.0及び量子コンピュータに関するFAQ」の和訳 (2022.10.12)

こんにちは、丸山満彦です。

IPAが、「NSA 商用国家安全保障アルゴリズムスイート2.0」「NSA 商用国家安全保障アルゴリズムスイート2.0及び量子コンピュータに関するFAQ」の和訳を公表していますね。。。

● IPA - 情報セキュリティ - 暗号技術

・2022.10.12 [PDF] NSA 商用国家安全保障アルゴリズムスイート2.0の和訳

20221020-00625

 

・2022.10.12 「NSA 商用国家安全保障アルゴリズムスイート2.0及び量子コンピュータに関するFAQの和訳」を公開

20221020-01308

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.09.09 米国 NSA 国家安全保障システムのための将来の耐量子(QR)アルゴリズム要件を発表

| | Comments (0)

経団連 産業技術立国への再挑戦~2030-2040年における産業とキー・テクノロジー~ (2022.10.11)

こんにちは、丸山満彦です。

経団連が、「技術立国への再挑戦~2030-2040年における産業とキー・テクノロジー~」という報告書を公表していますね。。。

経済安全保障を強化する動きがありますが、そもそも産業がないとですね。。。ここのキーテクノロジーの分野も、経済安全保障上では重要な話になるのでしょうかね。。。

 

経団連

・2022.10.11 技術立国への再挑戦

・[PDF] 概要

20221019-232447

・[PDF] 全文

20221019-232912

 

2030-2040年のキー・テクノロジー

キー・テクノロジー 技術
デジタル 半導体
  AI
  量子
  超低消費電力 コンピューティ ング
  光・通信
  ブロック チェーン
  メタバース
  ロボット
  BMI
  サイバーセキュリティ
  デジタルツイ ン
  SoS (System of Systems)
グリーン 電池
  水素・アンモニア
  革新炉
  核融合
  人工光合成
  次世代エネルギー
  CCS/CCUS
  廃棄物処理・ リサイクル
バイオ・ライフ ゲノム編集技術
  フードテック
  マイクロバイオーム
  先端医療技 術
  バイオプラス チック
先端素材・材料 マテリアルズ・インフォマティクス
  半導体素材
  電子部品・材 料
  電池材料
  鉄鋼
  コンクリート
  触媒
  ファインケミカ ル
  繊維
  フィルム

・[DOCX]

20221019-175908

 

産業技術競争力強化に向けた課題と施策

1 政策 (予算・税・制度) 国家的戦略の策定
  科学技術・産業振興に対する政府予算増
  税制・規制改革
2 エネルギー・資源 エネルギーの安価・安定供給
  原発再稼働・再生エネルギー活用等
  重要物資含む資源確保
3 人材 人材育成、リカレント教育の推進、社会受容性等
  研究者・技術者・起業家の厚遇
  外国人人材の活用
4 労働 多様な人材の流動化と活躍 
  日本型雇用システムからの脱却
  労働法制のあり方についての議論
5 スタートアップ スタートアップ振興を第一とする政策推進
  大学発ベンチャーエコシステム
  社内ベンチャー・出島戦略の推進
6 サプライチェーン サプライチェーン全体でのデジタル化・脱炭素化
  強靭化に向けた国内供給基盤強化
  サイバーセキュリティ
7 ルール形成 国際的な規制やシステム標準化等のリード
  産学官での連携体制
  ルール形成やビジネスモデル構築等の人材育成
8 グローバル 各国との競争・協創関係の構築
  経済安全保障の確保
  国際的な取り組みのリード
9 ローカル(地域) デジタルインフラの整備
  地方大学を核としたスタートアップ創出
  国と地方の行政システムや産業構造
10 企業経営 テクノロジーを迅速に経営に活かせる体制
  DX、ファイナンス、組織・人事、パートナーとの協創などあらゆる経営戦略の革新

 

| | Comments (0)

2022.10.19

自民党 わが国が目指すべき 経済安全保障の全体像について~新たな国家安全保障戦略策定に向けて~ (2022.10.04)

こんにちは、丸山満彦です。

自民党の経済安全保障推進本部が、「わが国が目指すべき 経済安全保障の全体像について~新たな国家安全保障戦略策定に向けて~」という提言を公表しています。。。

国として、国際社会において「政治経済の主要プレイヤー」となっていたい。そのために、「国家安全保障戦略に掲げる国益※を経済面から確保する」ことが(政治、外交等以外の手段のみならず)必要なので、それを確保するためにどうするか、考えてみた。。。ということなのでしょうかね。。。

 

自民党

・2022.10.04 わが国が目指すべき 経済安全保障の全体像について~新たな国家安全保障戦略策定に向けて~

・[PDF] (downloaded)

20221019-44703

 


【経済安全保障の理念】
自由、民主主義、基本的人権の尊重、法の支配といった基本的価値を重視し、開かれた国際経済システムを維持しつつ、産業界や学術界など様々な関係者が主体的に関与する形で、わが国の安全の確保と持続的な繁栄を実現するとともに、わが国は国際社会の発展のために政治経済の主要プレイヤーとして寄与していく。


【経済安全保障の定義・目標】
国家安全保障戦略に掲げる国益※を経済面から確保すること。わが国の経済安全保障を進める上で基本となる概念は、

①わが国の社会経済活動の維持に不可欠な基盤を強靱化することにより、いかなる状況の下でも他国に過度に依存することなく、国民生活の持続と正常な経済運営を実現する「自律性の確保」と、

②国際社会全体の産業構造の中で、わが国の存在が国際社会にとって不可欠であるような分野を戦略的に拡大していくことにより、わが国の長期的・持続的な繁栄及び国家の安全を確保する「優位性・不可欠性の維持・獲得」、更には、

③自律性と優位性・不可欠性の向上により、わが国の国際社会におけるプレゼンスを高め、同盟国・同志国との戦略的な連携の下での国際ルール形成の主導

である。

※ 現行の国家安全保障戦略に掲げられている国益とは下記の3点である。すなわち、①わが国自身の主権・独立を維持し、領域を保全し、わが国国民の生命・身体・財産の安全を確保することであり、豊かな文化と伝統を継承しつつ自由と民主主義を基調とするわが国の平和と安全を維持し、その存立を全うすること、②経済発展を通じてわが国と国民の更なる繁栄を実現し、わが国の平和と安全をより強固なものとすること、そのためには、自由貿易体制を強化し、安定性及び透明性が高く、見通しがつきやすい国際環境を実現すること、③自由、民主主義、基本的人権の尊重、法の支配といった基本的価値やルールに基づく国際秩序を維持・擁護すること

...

【経済安全保障の8つの全体像】
経済安全保障の全体像を構成する8つの戦略的アプローチについて、それぞれの設定理由及び具体的課題を以下に示す。なお、戦略1(経済成長の強化・持続化)は経済安全保障の全体像における最上位概念、戦略2~5(自律性の向上、優位性・不可欠性の獲得、競争環境の整備、対外発信・広報の確立)は中核をなすアプローチ、そして、戦略6~8(情報収集・集約・分析・管理(インテリジェンス)の強化、体制の整備、経済安全保障を担う人材育成)はこれら戦略1~5を支える基盤となるものである。


 

8つの戦略...

【最上位概念】
戦略1.経済成長の強化・持続化

【中核をなすアプローチ】
戦略2.わが国の他国に対する経済的依存構造の低減、及びその他脆弱性への対応の強化(自律性の向上)
戦略3.他国のわが国に対する経済的依存構造の構築(優位性・不可欠性の獲得)
戦略4.「公正な」競争環境の整備(国益にかなう国際秩序・ルール形成)
戦略5.戦略的な対外発信・広報の確立

【戦略1~5を支える基盤】
戦略6.情報収集、集約、分析、管理(インテリジェンス)の強化
戦略7.体制の整備
戦略8.経済安全保障を担う人材育成

 


サイバーセキュリティやセキュリティクリアランスの話に行く前に、国をどうしたいのかという議論がきっと重要なんでしょうね。。。この提言の立てつけ(戦略的アプローチ)において、戦略1(経済成長の強化・持続化)を経済安全保障の全体像における最上位概念においていることからそうなのだろうと思います。

米国のような広大な国土にある程度の天然資源を有している国と、シンガポール、スイスといった狭い国土に限られた資源した有しない国では、国として存続するための戦略は大きく異なるのだろうと思います。日本をはじめ多くの国は、この両者の中間的なところにあるわけですが、どのような戦略をとるのかについての議論がもう少し深まればよいのではないかと思っています。

かつて?日本は貿易立国として、製造技術を中核にして、資源を海外から求め、高度な技術でものを作り付加価値をつけて、海外に販売するという形で成功をしていたように思います。しかし、成長の過程で国力が増すと円高、人件費の高騰等もあり、より効率的に付加価値を高めるために、製造技術は日本で考えるが、製造自体は発展途上国でやっていこうという形になり、やがて製造技術も海外で培われるようになったところに、IT技術による革新が進み、その変革スピードに乗り遅れた日本が今にあるという感じですかね。。。それを後押しするように、教育制度がイマイチですしね。。。

このような状況の背景には、日本の政治経済が、民主主義+自由経済ではなく、人的関係主義?により行われていることが影響しているのかもしれませんね。。。お友達を重視した政治+選挙で票が集められる産業の維持といった感じでしょうか。。。それを支える知識が浅い標準化された人間の育成システム。。。

産業的に重要性が相対的に低下していて、本来であればこれから伸びる分野に「張っていく」べきなのに、既得権益のある業界に予算をつけ、これから伸びる分野への予算が相対的に少なくなっていて、産業転換が進まない、、、というのが国として産業が伸びていかない理由なのかもしれません。ということであれば、自民党がこういう提言をしても、結局...ということが見えていて、わかりやすく成果が見える「クリアランス制度」とかの整備に走ってしまうのかもしれませんね。。。(守るべき産業がないのに、クリアランス制度だけあっても他国はやりやすくなるかもですが、日本にとっては...)

てなことを考えながら、この提言の戦略1にもあるように経済成長というのが経済安全保障にとっては一番重要なんだろうなぁ。。。と思ったりしました。。。(経済成長すれば、同じGDP1%でも使える防衛費は増えますからね。。。軍事力という面からも強化できますしね。。。)

さて、人口が減る中で社会全体の高齢化が進むことが確定している日本において、どのような経済成長を実現できるのでしょうかね。。。(岸田内閣の成長戦略、昨年の成長戦略ポータル、これまでの成長戦略

 

米国も最近、国家安全保障戦略を発表していますね。。。

競争国を明確に設定し、それに対してどのように対応をしていくのかを検討しているのが、特徴かもしれませんね。。

・2022.10.14 米国 国家安全保障戦略

 

 

 

 

 

 

 

 

| | Comments (0)

帝国データバンク サイバー攻撃に関する実態アンケート(2022 年 10 月) (2022.10.14)

こんにちは、丸山満彦です。

帝国データバンクが「サイバー攻撃に関する実態アンケート(2022 年 10 月)」を公表していますね。。。

セキュリティベンダーの調査とはまた違うような感じで、なかなか興味深いです。。。

 

約50%の企業は全くサイバー攻撃を受けたことがないということのようです。。。

(1年以上サイバー攻撃を受けていない企業は約10%、1年以内にサイバー攻撃を受けた企業は約25%、約15%はわからない...)

 


調査結果

  1. サイバー攻撃を「1カ月以内に受けた」企業は8.6%となった。「1カ月超から1年以内に受けた」企業 (15.6%)と合計すると『1年以内に受けた』企業は24.2%だった。また、「過去に受けたが、1年以内に受けていない」は10.6%となった。一方で、「全く受けたことがない」企業は約半数だった
  2. 2022年3月に実施した同様の調査と比較すると、サイバー攻撃を「1カ月以内に受けた」企業は19.8ポイント減となった
  3. サイバー攻撃を受けた際に支出した額について、「0円(サイバー攻撃を受けたが支出はない)」が77.9%で最も高い。次いで、「100万円未満」が15.1%で続いた

 

帝国データバンク

・2022.10.14 サイバー攻撃に関する実態アンケート(2022年10月)

・[PDF

20221019-30242

 

 


 

■ 参考

2022.03の調査

・2022.03.15 サイバー攻撃に関する実態アンケート

・[PDF]

20221019-30639

 


調査結果

  1. 企業の28.4%で、1カ月以内にサイバー攻撃を受けたと回答
  2. 企業規模により、1カ月以内のサイバー攻撃の有無に濃淡あり

 

 


 

こういう調査って、まさに企業規模や業種により濃淡がありそうで、母集団を代表するようなサンプリングが難しいのかもしれませんね。。。

 

 

| | Comments (0)

イングランド銀行 「第2回調査 英国の金融業界における機械学習」とディスカッションペーパー「人工知能と機械学習」についての意見募集 (2022.10.11)

こんにちは、丸山満彦です。

英国の中央銀行であるイングランド銀行が、英国の金融業界における機械学習についての調査報告を発表していますね。。。また、人工知能と機械学習についてディスカッションペーパーを公表し、意見募集をしていますね。。。

 

Bank of England

まずは、英国の金融業界における機械学習についての2回目の調査

・2022.10.11 Machine learning in UK financial services

 

目次...

Executive summary エグゼクティブサマリー
1: Introduction 1: 序文
1.1: Context and objectives 1.1: 背景と目的
1.2: Methodology 1.2: 方法論
Box A: Definitions of ML, application, algorithm and model ボックスA:機械学習、アプリケーション、アルゴリズム、モデルの定義
2: Machine learning adoption and use 2: 機械学習の導入と利用
2.1: Financial services firms use an increasing number of ML applications 2.1: 金融サービス企業では機械学習アプリケーションの利用が増加している
2.2: Deployment stage 2.2: デプロイメント段階
2.3: Range of applications across sectors and business areas 2.3: 業種・業務分野別の適用範囲
2.4: Internal versus external implementation and cloud computing 2.4:内部導入と外部導入、クラウドコンピューティング
3: Strategies and governance 3: 戦略とガバナンス
3.1: Firms’ ML strategies 3.1: 企業の機械学習戦略
3.2: Firm ML governance and accountability 3.2: 企業の機械学習ガバナンスとアカウンタビリティ
3.3: Lessons learnt from ML deployment 3.3: 機械学習導入から得た教訓
4: Benefits, risks and constraints 4: メリット、リスク、制約
4.1: Benefits, risks and trade-offs 4.1: メリット、リスク、トレードオフ
4.2: Benefits now and in three years 4.2: 現在と3年後のメリット
4.3: Risks and mitigants 4.3: リスクと緩和策
4.4: Constraints to deployment 4.4: 展開の制約
4.5: Regulation 4.5: 規制
5: Case studies 5: ケーススタディ
5.1: Purpose and background 5.1: 目的・背景
5.2: Cross-firm themes 5.2: 企業横断的なテーマ
5.3: Prominent use cases 5.3: 主なユースケース
Box B: ML methods ボックスB:機械学習手法
6: Conclusion based on survey findings 6: 調査結果に基づく結論
7: Acknowledgements 7: 謝辞

 

 

エグゼクティブサマリー...

Executive summary エグゼクティブサマリー
・The number of UK financial services firms that use machine learning (ML) continues to increase. Overall, 72% of firms that responded to the survey reported using or developing ML applications. These applications are becoming increasingly widespread across more business areas. ・機械学習(ML)を利用する英国金融サービス企業は増加の一途をたどっている。 調査に回答した企業の72%が、機械学習アプリケーションを使用または開発していると回答している。これらのアプリケーションは、より多くのビジネス分野でますます普及しつつある。
・This trend looks set to continue and firms expect the overall median number of ML applications to increase by 3.5 times over the next three years. The largest expected increase in absolute terms is in the insurance sector, followed by banking. ・この傾向は今後も続き、今後3年間で機械学習アプリケーションの数は中央値で3.5倍に増加すると予想される。 この傾向は今後も続くとみられ、企業は今後3年間で機械学習アプリケーションの全体的な中央値が3.5倍に増加すると予想している。
・ML applications are now more advanced and increasingly embedded in day-to-day operations. 79% of ML applications are in the latter stages of development, ie either deployed across a considerable share of business areas and/or critical to some business areas. ・機械学習アプリケーションはより高度になり、日々の業務に組み込まれるようになってきている。 機械学習アプリケーションの79%は開発後期段階にあり、かなりの割合のビジネス領域に展開されているか、一部のビジネス領域にとって重要である。
・Financial services firms are thinking about ML strategically. The majority of respondents that use ML (79%) have a strategy for the development, deployment, monitoring and use of the technology. ・金融サービス企業は機械学習を戦略的に考えている。 機械学習を利用している回答者の大多数(79%)は、技術の開発、展開、モニタリング、利用について戦略を持っている。
・Firms use existing governance frameworks to address the use of ML. 80% of respondents that use ML say their applications have data governance frameworks in place, with model risk management and operational risk frameworks also commonplace (67%). ・機械学習を利用する企業は、既存のガバナンスの枠組みを利用してMLに取り組んでいる。 機械学習を使用している回答者の80%が、自社のアプリケーションにはデータガバナンスの枠組みがあると回答しており、モデルリスクマネジメントとオペレーショナルリスクの枠組みも一般的(67%)である。
・Firms consider that ML presents a range of benefits. Currently the most commonly identified benefits are enhanced data and analytics capabilities, increased operational efficiency, and improved detection of fraud and money laundering. ・企業は機械学種が様々な便益をもたらすと考えている。 現在、最も多く認識されているメリットは、データおよび分析能力の強化、業務効率の向上、詐欺およびマネーロンダリングの検出の改善である。
・Respondents do not see ML, as currently used, as high risk. The top risks identified for consumers relate to data bias and representativeness, while the top risks for firms are considered to be the lack of explainability and interpretability of ML applications. ・回答者は、現在利用されている 機械学習 が高リスクであるとは考えていない。 消費者にとっては、データの偏りや代表性、企業にとっては、機械学習アプリケーションの説明可能性や解釈可能性の欠如が最大のリスクであると考えられている。
・The greatest constraint to ML adoption and deployment is legacy systems. The difficulty integrating ML into business processes is the next highest ranked constraint. ・機械学習の導入・展開における最大の制約はレガシーシステムである. 機械学習をビジネスプロセスに統合することの難しさは、次に高い制約となっている。
・Almost half of firms who responded to the survey said there are Prudential Regulation Authority and/or Financial Conduct Authority regulations that constrain ML deployment. A quarter of firms (25%) said this is due to a lack of clarity within existing regulation. ・調査に回答した企業の約半数が、機械学習導入の制約となる規制(Prudential Regulation AuthorityやFinancial Conduct Authorityの規制)があると回答している。 4分の1の企業(25%)は、既存の規制が明確でないことが原因であると回答している。

 


次にディスカッションペーパー

・2022.10.11 DP5/22 - Artificial Intelligence and Machine Learning

目次

Foreword まえがき
Executive summary エグゼクティブサマリー
Benefits and risks related to the use of AI in financial services 金融サービスにおけるAI活用のメリットとリスク
How existing legal requirements and guidance apply to the use of AI 既存の法的要件とガイダンスがAIの使用にどのように適用されるか
Discussion questions for stakeholder input ステークホルダーからの意見聴取のための質問
1. Introduction 1. 序文
Background 背景
Box 1: UK government – establishing a pro-innovation approach to regulating AI Box 1: 英国政府 - AIを規制するためのイノベーション促進アプローチの確立
2. Supervisory authorities’ objectives and remits 2. 監督当局の目的と任務
Why the supervisory authorities have an interest in AI 監督当局がAIに関心を持つ理由
What is AI? AIとは何か?
How AI is used in financial services 金融サービスにおけるAIの使われ方
Questions: Supervisory authorities’ objectives and remits 質問事項 監督当局の目的と権限
3. Potential benefits and risks 3. 潜在的なメリットとリスク
Consumer protection – FCA 消費者保護 - FCA
Competition – FCA 競争 - FCA
Safety and soundness – PRA and FCA 安全性と健全性 - PRA, FCA
Insurance policyholder protection – PRA and FCA 保険契約者保護 - PRA, FCA
Financial stability and market integrity – the Bank and FCA 金融の安定と市場の健全性 - イングランド銀行, FCA
Questions: Benefits, risks, and harms of AI 質問事項 AIのメリット、リスク、弊害
4. Regulation 4. 規制
Introduction 序文
Consumer protection – FCA 消費者保護 - FCA
Competition – FCA and PRA 競争 – FCA, PRA
Safety and soundness: Data – PRA and FCA 安全性と健全性 データ - PRA, FCA
Safety and soundness: Model risk management – PRA 安全性と健全性 モデルリスクマネジメント - PRA
Safety and soundness: Governance – PRA and FCA 安全性及び健全性 ガバナンス - PRA, FCA
Safety and soundness: Operational resilience, outsourcing, and third-party risk management – PRA and FCA 安全性と健全性 オペレーショナル・レジリエンス、アウトソーシング、第三者によるリスクマネジメント - PRA, FCA
Questions: Regulation 質問 規制
5. Questions 5. 質問事項
Supervisory authorities’ objectives and remits 監督当局の目的および権限
Benefits, risks, and harms of AI AIのメリット、リスク、弊害
Regulation 規制の内容

FCA: Financial Conduct Authority, (wikipedia), 金融行為規制機構

PRA: Prudential regulation, (wikipeia) (イングランド銀行)健全性監督機構

 

まえがき...

Foreword まえがき
The use of artificial intelligence (AI) and machine learning (ML) in financial services may enable firms to offer better products and services to consumers, improve operational efficiency, increase revenue, and drive innovation. All of which may lead to better outcomes for consumers, firms, financial markets, and the wider economy. 金融サービスにおける人工知能(AI)及び機械学習(ML)の活用は、企業が消費者により良い商品・サービスを提供し、業務効率を改善し、収益を増加させ、イノベーションを推進することを可能にする可能性がある。これらはすべて、消費者、企業、金融市場、そしてより広い経済にとって、より良い結果をもたらす可能性がある。
As our recent survey indicates, AI adoption within financial services is likely to continue to increase due to increased availability of data, improvements in computational power, and wider availability of AI skills and resources. Similarly, the Bank of England (the Bank), the Prudential Regulation Authority (PRA), and the Financial Conduct Authority (FCA) (collectively ‘the supervisory authorities’) also endeavour to leverage AI and benefit from this technology to help meet our respective statutory objectives and other functions. 我々の最近の調査が示すように、データの利用可能性の増加、計算能力の向上、AIのスキルやリソースの利用可能性の拡大により、金融サービスにおけるAIの導入は今後も増加すると思われる。同様に、イングランド銀行、健全性監督機構 (PRA)  、金融行動監視機構 (FCA) (総称して「監督当局」)も、それぞれの法定目的およびその他の機能を果たすためにAIを活用し、この技術から利益を得ようと努めているところである。
Although the use of AI may bring a range of benefits, it can also pose novel challenges for firms and regulators as well as amplify existing risks to consumers, the safety and soundness of firms, market integrity, and financial stability. One of the most significant questions is whether AI can be managed through clarifications of the existing regulatory framework, or whether a new approach is needed. How to regulate AI to ensure it delivers in the best interests of consumers, firms, and markets is the subject of a wide-ranging debate, both here in the UK and in other jurisdictions around the world. AIの活用は様々なメリットをもたらすが、同時に企業や規制当局に新たな課題をもたらし、消費者、企業の安全性と健全性、市場の整合性、金融安定性に対する既存のリスクを増幅する可能性もある。最も重要な問題の一つは、既存の規制の枠組みの明確化を通じてAIを管理することができるのか、それとも新たなアプローチが必要なのか、ということである。AIをどのように規制し、消費者、企業、市場の最善の利益を確保するかは、ここ英国だけでなく、世界中の他の管轄区域でも幅広く議論されている。
This Discussion Paper (DP) sits within the context of this wider debate and focuses on the regulation of AI in UK financial services. The Bank, PRA, and the FCA seek to encourage a broad-based and structured discussion with stakeholders on the challenges associated with the use and regulation of AI. We are keen to explore how best to address these issues in a way that is aligned with our statutory objectives, provides clarity, is actionable, and makes a practical difference for consumers, firms, and markets. 本ディスカッション・ペーパーは、このような幅広い議論の中で、英国の金融サービスにおけるAIの規制に焦点を当てたものである。イングランド銀行、健全性監督機構、金融行動監視機構は、AIの利用と規制に関連する課題について、ステークホルダーとの広範かつ体系的な議論を奨励することを目指している。我々は、我々の法的目的に合致し、明確で、実行可能で、消費者、企業、市場にとって実際的な違いをもたらす方法で、これらの問題に対処する最善の方法を模索したいと考えている。
Beginning with our current regulatory framework, we have considered how key existing sectoral legal requirements and guidance in UK financial services apply to AI. This evaluation will allow us to consider which ones are most relevant, explore whether they are sufficient, and identify gaps. The DP considers how such legal requirements and guidance apply to the use of AI in UK financial services to support consumer protection, competition, the safety and soundness of individual firms, market integrity, and financial stability. How can policy mitigate AI risks while facilitating beneficial innovation? Is there a role for technical and, indeed, for global standards? If so, what? まず、現在の規制の枠組みから始め、英国の金融サービスにおける既存の主要なセクターの法的要件とガイダンスがAIにどのように適用されるかを検討した。この評価により、どのようなものが最も関連性が高いかを検討し、それらが十分かどうかを探り、ギャップを特定することができる。本ディスカッション・ペーパーは、消費者保護、競争、個別企業の安全性と健全性、市場の整合性、金融の安定性を支援するために、そうした法的要件やガイダンスが英国金融サービスにおけるAIの利用にどのように適用されるかを検討するものである。有益なイノベーションを促進する一方で、政策はどのようにAIのリスクを軽減することができるのか?技術的な、そして実際、グローバルスタンダードの役割はあるのか?あるとすれば、それは何か?
Given the extent of overlaps within the existing sectoral rules, policies and principles in UK financial services that apply to AI, the supervisory authorities’ approach is largely limited to clarifying how the existing regulatory framework applies to AI and addressing any identified gaps in the regulatory framework. In particular, the supervisory authorities are interested in the additional challenges and risks that AI brings to firms’ decision-making and governance processes, and how those may be addressed through the Senior Managers and Certification Regime (SM&CR) and other existing regulatory tools. 英国金融サービスにおける既存のセクター別の規則、政策、原則の中でAIに適用されるものが重複している程度であることから、監督当局のアプローチは、既存の規制枠組みがAIにどのように適用されるかを明確にし、規制枠組みの中で確認されたギャップに対処することにほぼ限定される。特に、監督当局は、AIが企業の意思決定やガバナンスプロセスにもたらす新たな課題やリスク、そしてそれらがSM&CR(Senior Managers and Certification Regime)やその他の既存の規制手段を通じてどのように対処されるかに関心を持っている。
Given the wide-ranging implications of AI, we are keen to hear from a broad range of stakeholders. This includes firms regulated by the Bank, PRA and/or FCA, as well as non-regulated financial services firms, professional services firms (such as accounting and auditing firms), law firms, third parties (such as technology companies), trade associations and industry bodies, standard setting organisations, academics, and civil society organisations. AIが持つ広範な意味を考慮し、我々は幅広いステークホルダーからの意見を聞きたいと考えている。これには、日本銀行、PRA、FCAによって規制されている企業、規制されていない金融サービス企業、専門サービス企業(会計事務所や監査法人など)、法律事務所、第三者(テクノロジー企業など)、業界団体、標準設定機関、学者、市民社会組織が含まれる。
We note the importance of building, maintaining, and reinforcing the trust of all stakeholders, including consumers in AI. Engagement between the public and private sectors will facilitate the creation of a regulatory framework that enables innovation and mitigates potential risks. 我々は、AIにおける消費者を含む全てのステークホルダーの信頼を構築し、維持し、強化することの重要性に留意する。官民の関与は、イノベーションを可能にし、潜在的なリスクを軽減する規制の枠組み作りを促進する。
We hope that this DP contributes to this process and look forward to hearing from you. 本ディスカッション・ペーパーがこのプロセスに貢献することを期待し、皆様からの意見を待っている。
Victoria Saporta ビクトリア・サポルタ
Executive Director, エグゼクティブ・ディレクター
Prudential Policy Directorate, プルデンシャル・ポリシー・ディレクター
Bank of England イングランド銀行
Sheldon Mills シェルドン・ミルズ
Executive Director, エグゼクティブ・ディレクター
Consumers and Competition, 消費者・競争担当
Financial Conduct Authority 英国金融行為規制機構
Jessica Rusu ジェシカ・ルスー
Chief Data, Information and Intelligence Officer (CDIIO), チーフ・データ、情報、インテリジェンス・オフィサー(CDIIO)
Financial Conduct Authority 英国金融行為規制機構

 

 

エグゼクティブ・サマリー

Executive summary エグゼクティブ・サマリー
Artificial intelligence (AI) and machine learning (ML) are rapidly developing technologies that have the potential to transform financial services. The promise of this technology is to make financial services and markets more efficient, accessible, and tailored to consumer needs. This may bring important benefits to consumers, financial services firms, financial markets, and the wider economy. 人工知能(AI)と機械学習(ML)は、金融サービスを変革する可能性を秘めた、急速に発展している技術である。この技術によって、金融サービスや市場がより効率的になり、アクセスしやすくなり、消費者のニーズに合ったものになることが期待されます。これは、消費者、金融サービス企業、金融市場、そしてより広い経済に重要な利益をもたらす可能性がある。
However, AI can pose novel challenges, as well as create new regulatory risks, or amplify existing ones. The Bank of England (the Bank), the Prudential Regulation Authority (PRA) and the Financial Conduct Authority (FCA) therefore have a close interest in the safe and responsible adoption of AI in UK financial services, including considering how policy and regulation can best support this. しかし、AIは新たな課題をもたらすだけでなく、新たな規制リスクを生み出したり、既存のリスクを増幅させたりする可能性がある。そのため、イングランド銀行、健全性監督機構 (PRA) 、金融行動監視機構  (FCA) は、政策と規制がどのようにAIをサポートすればよいかを検討することを含め、英国の金融サービスにおいて安全かつ責任ある形で導入に深い関心を持っている。
The supervisory authorities are publishing this DP to further our understanding and to deepen dialogue on how AI may affect our respective objectives. This is part of the supervisory authorities’ wider programme of work related to AI, including the AI Public Private Forum, the final report of which was published in February 2022. This DP should also be considered within the context of the evolving wider national and international policy debate on AI, including the UK government’s policy paper ‘Establishing a pro-innovation approach to regulating AI’Opens in a new window, joint working between UK regulators through the Digital Regulation Cooperation Forum (DRCF)Opens in a new window, and international developments from other regulators and authorities, such as the proposed AI regulation for the EUOpens in a new window. 監督当局は、AIが我々のそれぞれの目的にどのような影響を及ぼすかについて理解を深め、対話を深めるために本DPを公表する。これは、2022年2月に最終報告書が公表されたAIパブリック・プライベート・フォーラムを含む、監督当局のAIに関連する幅広い作業プログラムの一部である。本DPは、英国政府の政策文書「AI規制のためのイノベーション促進アプローチの確立」(別ウィンドウで開く)、デジタル規制協力フォーラム(DRCF)を通じた英国の規制当局間の共同作業(別ウィンドウで開く)、EUのAI規制案など他の規制当局の国際動向などAIに関する国内外の幅広い政策議論の進展の中で考慮されるべきである(別ウィンドウで開く)。
Benefits and risks related to the use of AI in financial services 金融サービスにおけるAI活用に関連するメリットとリスク
AI offers potential benefits for consumers, businesses, and markets. However, AI also has the potential to create new or increased risks and challenges. The benefits, risks, and harms discussed in this DP are neither exhaustive nor applicable to every AI use case. AIは、消費者、企業、市場にとって潜在的な利益をもたらすものである。しかし、AIは新たなリスクや課題の増加の可能性も持っている。本DPで議論されているベネフィット、リスク、弊害は、網羅的なものでも、全てのAI利用ケースに適用できるものでもない。
The primary drivers of AI risk in financial services relate to three key stages of the AI lifecycle: (i) data; (ii) models; and (iii) governance. Interconnected risks at the data level can feed into the model level, and then raise broader challenges at the level of the firm and its overall governance of AI systems. Depending on how AI is used in financial services, issues at each of the three stages (data, models, and governance) can result in a range of outcomes and risks that are relevant to the supervisory authorities’ remits. 金融サービスにおけるAIリスクの主な要因は、AIライフサイクルの3つの主要な段階、(i)データ、(ii)モデル、(iii)ガバナンスに関連するものである。データレベルで相互に関連するリスクは、モデルレベルにフィードされ、会社レベルおよびAIシステムの全体的なガバナンスにおいて、より大きな課題を提起する可能性がある。金融サービスにおけるAIの利用方法によっては、3つの段階(データ、モデル、ガバナンス)のそれぞれで問題が発生し、監督当局の権限に関連する様々な結果やリスクが発生する可能性がある。
Consumers 消費者
AI may benefit consumers in important ways – from improved outcomes through more effective matching to products and services, to an enhanced ability to identify and support consumers with characteristics of vulnerability, as well as increasing financial access. However, if misused, these technologies may potentially lead to harmful targeting of consumers’ behavioural biases or characteristics of vulnerability, discriminatory decisions, financial exclusion, and reduced trust. AIは、商品・サービスとの効果的なマッチングによる成果の向上から、脆弱性の特徴を持つ消費者を特定し支援する能力の強化、さらには金融アクセスの向上まで、重要な形で消費者に恩恵をもたらす可能性がある。しかし、これらの技術が誤って使用された場合、消費者の行動バイアスや脆弱性の特徴を標的とした有害なターゲット化、差別的な決定、金融排除、信頼の低下などにつながる可能性がある。
Competition 競争
There may be substantial benefits to competition from the use of AI in financial services, where these technologies may enable consumers to access, assess, and act on information more effectively. But risks to competition may also arise where AI is used to implement or facilitate further harmful strategic behaviour such as collusion, or creating or exacerbating market features that hinder competition, such as barriers to entry or to leverage a dominant position. 金融サービスにおけるAIの利用は、消費者がより効果的に情報にアクセスし、評価し、行動することを可能にするため、競争にとって大きな利益をもたらす可能性がある。しかし、AIが談合のような有害な戦略的行動をさらに実施または促進したり、参入障壁のような競争を阻害する市場の特徴を創出または悪化させたり、支配的地位を活用するために使用される場合、競争に対するリスクも生じる可能性がある。
Firms 企業
There are also many potential benefits for financial services firms including enhanced data and analytical insights, increased revenue generation, increased operational efficiency and productivity, enhanced risk management and controls, and better combatting of fraud and money laundering. Equally, the use of AI can translate into a range of prudential risks to the safety and soundness of firms, which may differ depending on how the technology is used by firms. 金融機関にとっても、データおよび分析的洞察力の強化、収益創出の増加、業務効率および生産性の向上、リスクマネジメントおよび管理の強化、詐欺およびマネーロンダリングへの対処の改善など、多くの潜在的メリットがある。同様に、AIの利用は、企業の安全性と健全性に対する様々なプルデンシャル・リスクにつながる可能性があり、これは、企業による技術の利用方法によって異なる可能性がある。
Financial markets 金融市場
AI may benefit the broader financial system and markets in general through more responsive pricing and more accurate decision-making, which can, in turn, lead to increased allocative efficiency. However, AI may also lead to risks to system resilience and efficiency. For example, models may become correlated in subtle ways and add to risks of herding, or procyclical behaviour at times of market stress. AIは、より迅速な価格決定やより正確な意思決定を通じて、広範な金融システムや市場一般に利益をもたらし、ひいては配分効率の向上につながる可能性がある。しかし、AIはシステムのレジリエンスと効率性にリスクをもたらす可能性もある。例えば、モデルが微妙な形で相関を持ち、群れをなすリスクや、市場ストレス時にプロシクリカルな振る舞いをする可能性がある。
How existing legal requirements and guidance apply to the use of AI 既存の法的要件とガイダンスがAIの使用にどのように適用されるか
In line with their statutory objectives and to support the safe and responsible adoption of AI in UK financial services, the supervisory authorities may need to intervene further to manage and mitigate the potential risks and harms AI may have on consumers, firms, and the stability and integrity of the UK financial system and markets. 法的目的に沿って、また英国金融サービスにおけるAIの安全かつ責任ある採用を支援するために、監督当局はAIが消費者、企業、英国金融システムおよび市場の安定性と整合性に及ぼす可能性のあるリスクと害を管理し軽減するためにさらに介入する必要があるかもしれません。
It is important that the regulatory environment is proportionate and conducive to facilitating safe and responsible adoption of AI, so as not to act as a barrier to beneficial innovation. A first step towards this ambition is clarifying how existing legal requirements and guidance apply to the use of AI. 有益なイノベーションの障壁とならないよう、規制環境が適切であり、AIの安全かつ責任ある採用を促進するものであることが重要である。この野心に向けた第一歩は、既存の法的要件とガイダンスがAIの使用にどのように適用されるかを明確にすることである。
In addition to legal requirements and guidance targeted at particular risks (such as risks to consumers or effective competition), the supervisory authorities have identified sets of ‘cross-cutting’ legal requirements and guidance that encompasses multiple areas of risk. 監督当局は、特定のリスク(消費者や効果的な競争に対するリスクなど)を対象とした法的要件やガイダンスに加え、複数のリスク分野を網羅する「横断的」な法的要件やガイダンスを特定した。
Cross-cutting legal requirements and guidance are relevant primarily to the three key stages of the AI lifecycle – data, models, and governance. Data-related legal requirements and guidance are targeted at data quality, data privacy, data infrastructure, and data governance. Model-related legal requirements and guidance for managing capital risks may provide safeguards surrounding the model development, validation, and review processes for the firms to which these apply. Governance-related legal requirements and guidance (including, notably, the SM&CR, are focused on proper procedures, clear accountability, and effective risk management across the AI lifecycle at various levels of operations. 横断的な法的要件とガイダンスは、主にAIライフサイクルの3つの主要な段階(データ、モデル、ガバナンス)に関連するものである。データ関連の法的要件とガイダンスは、データ品質、データプライバシー、データインフラ、およびデータガバナンスを対象としている。モデル関連の法的要求事項及びガイダンスは、資本リスクを管理するために、モデルの開発、検証及びレビューのプロセスに関するセーフガードを提供することができる。ガバナンス関連の法的規制及びガイダンス(特に SM&CR を含む)は、適切な手続、明 確な説明責任、及び様々なレベルの業務における AI ライフサイクルにわたる効果的な リスクマネジメントに焦点を当てたものである。
AI industry standards or codes of conduct may potentially complement the regulatory system by helping firms build trust amongst users that their systems meet widely accepted industry norms, which may extend beyond the minimum requirements for regulatory compliance. AI の業界標準や行動規範は,企業が,そのシステムが広く認められた業界規範を満たしているという利用者の信頼を築くのを助けることによって,規制制度を補完する可能性がある。これは,規制遵守のための最低要件を超える可能性がある。
The supervisory authorities encourage all relevant stakeholders to respond to this DP. This includes financial services firms regulated by one or more of the supervisory authorities (including both dual- and solo-regulated firms), non-regulated financial services firms, professional services firms (such as accounting and auditing firms), law firms, third parties (such as technology companies), trade associations and industry bodies, standard setting organisations, academics, and representatives from civil society. 監督当局は、全ての関係者が本DPに対応することを奨励する。これには、1つ以上の監督当局の規制を受ける金融サービス企業(二重規制企業と単独規制 企業の両方を含む)、規制を受けていない金融サービス企業、専門サービス企業(会計・ 監査事務所等)、法律事務所、第三者(技術企業等)、業界団体、基準設定機関、学識者、市民 社会からの代表者が含まれます。
Discussion questions for stakeholder input ステークホルダーからの意見聴取のための質問
This DP seeks to explore whether stakeholders consider the existing sectoral legal requirements and guidance to be sufficient to address the risks and harms associated with AI, where there may be gaps in existing legal requirements and guidance, and/or how any additional intervention may support the safe and responsible adoption of AI in UK financial markets. 本DPは、ステークホルダーが既存のセクター別の法的要件やガイダンスがAIに関連するリスクや害に対処するのに十分であると考えているか、既存の法的要件やガイダンスのどこにギャップがあるか、及び/又は、追加の介入は英国の金融市場におけるAIの安全かつ責任ある採用をどのように支援し得るかを探ることを目的とするものである。
To help us in this aim, we are inviting responses to the questions listed in Chapter 5. The questions fall under three main categories: この目的を達成するために、我々は第5章に記載された質問に対する回答を募集している。質問は3つの主要なカテゴリーに分類される。
・Supervisory authorities’ objectives and remits: exploring the best approach to defining and/or scoping the characteristics of AI for the purposes of legal requirements and guidance. ・監督当局の目的と任務:法的要件やガイダンスのためにAIの特徴を定義および/または範囲設定するための最適なアプローチを探る。
・Benefits and risks of AI: identifying the areas of benefits, risks, and harms in relation to which the supervisory authorities should prioritise action. ・AIの便益とリスク:監督当局が優先的に取り組むべき便益、リスク、害悪の分野を特定する。
・Regulation: exploring whether the current set of legal requirements and guidance is sufficient to address the risks and harms associated with AI and how additional intervention may support the safe and responsible adoption of AI in UK financial services. This includes understanding which areas of the current regulatory framework: (i) would benefit from further clarification with respect to AI, (ii) could be extended to better encompass AI, and (iii) could act as a regulatory barrier to the safe and responsible adoption of AI in UK financial services. ・規制:現在の法的要件とガイダンスがAIに関連するリスクと害に対処するのに十分かどうか、また、英国の金融サービスにおけるAIの安全かつ責任ある採用を支援するための追加的な介入はどのようなものかを検討する。これには、現在の規制枠組みのどの分野が、(i) AIに関してさらに明確にすることで恩恵を受けるか、(ii) AIをよりよく包含するために拡張できるか、(iii) 英国金融サービスにおけるAIの安全かつ責任ある導入に対する規制上の障害となり得るか、を理解することも含まれる。

 

1_20221019014401

| | Comments (0)

2022.10.18

日本産業標準調査会 意見募集 「JISQ15001 個人情報保護マネジメントシステム-要求事項」と「JISX9252 情報技術-オンラインにおけるプライバシーに関する通知及び同意」

こんにちは、丸山満彦です。

日本産業標準調査会が、JISQ15001 個人情報保護マネジメントシステム-要求事項」と「JISX9252 情報技術-オンラインにおけるプライバシーに関する通知及び同意」のドラフトを公開し、意見募集(2022.12.15まで)をしていますね。。。

JISQ15001は個人情報保護のための「マネジメントシステム」の標準で、1999年に最初できたものに改訂を重ねてきたもので、対応する国際規格がない日本オリジナル(あるいはガラパゴス)の標準ですね。。。この標準策定当初は、日本に個人情報保護法がなかったので、一定の意味があったのかもしれませんが、今はどうなんでしょうかね。。。ただ、この標準をCriteriaとしてPマーク制度があるので、そのためには必要なのでしょうね。。。

JISX9252は、国際標準のISO/IEC 29184:2020, Information technology-Online privacy notices and consentと一致 (IDT) したJISということになります。。。(29000シリーズにしないんですね。。。)

 

日本産業標準調査会 - 産業標準化とJIS - 意見受付公告(JIS)

JISQ15001

JISQ15001 個人情報保護マネジメントシステム-要求事項

・[PDF閲覧]

目次...


0 序文
0.1
一般
0.2
概要
0.3
他のマネジメントシステム規格との近接性

1 適用範囲

2 引用規格

3 用語及び定義
3.1
マネジメントシステムに関する用語
3.2
個人情報保護リスクアセスメント及び対応に関する用語
3.3
個人情報保護に関する用語

4 組織の状況
4.1
組織及びその状況の理解
4.2
利害関係者のニーズ及び期待の理解
4.3
個人情報保護マネジメントシステムの適用範囲の決定
4.4
個人情報保護マネジメントシステム

5 リーダーシップ
5.1
リーダーシップ及びコミットメント
5.2
方針
5.3
役割、貴任及び権限

6 計画策定
6.1
個人情報の特定
6.2
リスク及び横会への取組
6.3
個人情報保護目的及びそれを連成するための計画策定
6.4
変更の計画策定

7 支援
7.1
資源
7.2
力量
7.3
認識
7.4
コミュニケーション
7.5
文書化した情報

8 運用
8.1
運用の計画及び管理・
8.2
個人情報保護リスクアセスメント
8.3
個人情報保護リスク対応

9 パフォーマンス評価
9.1
監視,測定,分析及び評価
9.2
内部監査
9.3
マネジメントレビュー

10 改善
10.1
縒続的改善
10.2
不適合及び是正処置

附属書A(規定)個人情報保護に関する管理策
附属書B(参考)マネジメントシステムに関する補足
附属書C(参考)附属書 A の管理策に関する補足
附属書D(参考)安全管理措置に関する管理目的及び管理策
附属書E(参考)JIS Q 15001:9999 JIS Q 15001:2017 との対応

参考文献

 


JISX9252

JISX9252 情報技術-オンラインにおけるプライバシーに関する通知及び同意

この規格は、個人識別可能情報(PII)の収集及び処理について、オンラインにおけるプライバシーに関する通知の内容及び構成並びにPII主体に同意を求めるプロセスを方向付ける管理策について標準化を行い、生産及び使用の合理化、品質の向上を図るために制定するものである。

・[PDF閲覧]


序文

1 適用範囲

2 引用規格

3 用語及び定義

4 記号及び略語

5 一般要求事項及び推奨事項
5.1
全体的な目的
5.2
通知
5.3
通知内容
5.4
同意
5.5
条件の変更

附属書A(参考)PC 及びスマートフォンから PII 主体の同意を得る場合のユーザーインターフェースの例
附属書B(参考)同意個収書又は同意記録書の例

参考文献


20221018-25512

 

| | Comments (0)

英国 NCSC ガイダンス サプライチェーンのサイバーセキュリティを評価し、信頼を得る方法 (2022.10.12)

こんにちは、丸山満彦です。

英国のサイバーセキュリティセンターが、サプライチェーンのサイバーセキュリティを評価し、信頼を得る方法というガイダンスを公表していました。。。

2020年に公開された NCSCのサプライチェーンの原則 (NCSC’s Supply Chain Principles) を補足するガイダンスという位置付けのようです。。。

National Cyber Security Centre (NCSC)

発表...

・2022.10.12 (news) NCSC issues fresh guidance following recent rise in supply chain cyber attacks

NCSC issues fresh guidance following recent rise in supply chain cyber attacks NCSC、最近のサプライチェーンにおけるサイバー攻撃の増加を受け、新たなガイダンスを発表
Guidance to help organisations assess the cyber security of their suppliers. 組織がサプライヤーのサイバーセキュリティを評価するためのガイダンス
・New cyber security guidance issued in response to growing trend in supply chain attacks ・サプライチェーンへの攻撃の増加傾向を受け、新たなサイバーセキュリティ・ガイダンスを発行
・GCHQ’s National Cyber Security Centre advises organisations to work with suppliers to identify weaknesses and boost resilience ・GCHQのナショナル・サイバー・セキュリティ・センターが、サプライヤーと協力して弱点を特定し、レジリエンスを高めるよう組織に助言
・Businesses urged to take action as just over 1 in 10 review the risks posed by immediate suppliers ・10社に1社の割合で、サプライヤーのリスクを見直すことが求められている。
CYBER security experts have issued a fresh warning over the threat of supply chain attacks following a rise in the number of incidents. サイバーセキュリティの専門家は、インシデント数の増加を受けて、サプライチェーン攻撃の脅威について新たな警告を発しました。
The National Cyber Security Centre (NCSC) – a part of GCHQ – has today (Wednesday) published new guidance to help organisations effectively assess and gain confidence in the cyber security of their supply chains. GCHQの一部であるナショナル・サイバー・セキュリティ・センター(NCSC)は、本日(水曜日)、組織がサプライチェーンのサイバーセキュリティを効果的に評価し、信頼を得られるようにするための新しいガイダンスを発表しました。
It follows a significant increase in cyber attacks resulting from vulnerabilities within supply chains in recent years, including some high-profile incidents such as the SolarWinds attack. これは、近年、サプライチェーンの脆弱性に起因するサイバー攻撃が大幅に増加していることを受けたもので、SolarWinds社の攻撃のような有名な事件も含まれている。
The new guidance is designed to help medium and larger organisations effectively assess the cyber risks of working with suppliers and gain assurance that mitigations are in place. この新しいガイダンスは、中規模以上の組織が、サプライヤーとの協働によるサイバーリスクを効果的に評価し、緩和策が実施されていることを保証できるよう設計されている。
Supply chain attacks can cause far-reaching and costly disruption, yet the latest government data shows just over one in ten businesses review the risks posed by their immediate suppliers (13%), and the proportion for the wider supply chain is just 7%. サプライチェーンへの攻撃は、広範囲に及ぶコストのかかる混乱を引き起こするが、政府の最新データによると、直近のサプライヤーがもたらすリスクを検討している企業は10社に1社強(13%)、より広いサプライチェーンではわずか7%となっている。
Ian McCormack, NCSC Deputy Director for Government Cyber Resilience, said: NCSCの政府サイバーレジリエンス担当副所長であるイアン・マコーマックは、次のように述べている。
“Supply chain attacks are a major cyber threat facing organisations and incidents can have a profound, long-lasting impact on businesses and customers. 「サプライチェーンへの攻撃は、組織が直面する主要なサイバー脅威であり、事故は企業や顧客に深刻かつ長期的な影響を与える可能性がある。
“With incidents on the rise, it is vital organisations work with their suppliers to identify supply chain risks and ensure appropriate security measures are in place. 「インシデントが増加する中、組織はサプライヤーと協力してサプライチェーンのリスクを特定し、適切なセキュリティ対策が実施されていることを確認することが極めて重要である。
“Our new guidance will help organisations put this into practice so they can assess their supply chain’s security and gain confidence that they are working with suppliers securely.” 「我々の新しいガイダンスは、組織がサプライチェーンのセキュリティを評価し、サプライヤーと安全に協働しているという確信を得ることができるよう、これを実践するのに役立つ。
Cyber minister Julia Lopez, said: サイバー担当大臣のジュリア・ロペス氏は、次のように述べている。
“UK organisations of all sizes are increasingly reliant on a range of IT services to run their business, so it's vital these technologies are secure. 「英国のあらゆる規模の組織は、事業を運営するためにさまざまなITサービスにますます依存するようになっており、これらの技術が安全であることが極めて重要である。
“I urge businesses to follow this expert guidance from our world-leading National Cyber Security Centre. It will help firms protect themselves and their customers from damaging cyber attacks by strengthening cyber security right across their supply chains.” 「世界をリードするナショナル・サイバー・セキュリティ・センターの専門的なガイダンスに従うよう、企業に強く求める。本ガイダンスは、サプライチェーン全体のサイバーセキュリティを強化することで、企業が有害なサイバー攻撃から自社と顧客を守るのに役立つだろう」。
The guidance has been published in conjunction with the Cross Market Operational Resilience Group (CMORG) which supports the improvement of the operational resilience of the financial sector, though the advice is for organisations in any sector. 本ガイダンスは、金融セクターのオペレーショナル・レジリエンスの向上を支援するCross Market Operational Resilience Group(CMORG)と共同で発表されたが、どのセクターの組織も対象となるアドバイスである。
It aims to help cyber security professionals, risk managers and procurement specialists put into practice the NCSC’s 12 supply chain security principles and follows the government’s response to a call for views last year which highlighted the need for further advice. これは、サイバーセキュリティの専門家、リスクマネージャー、調達専門家が、NCSCのサプライチェーンセキュリティ12原則を実践するのを支援することを目的としており、昨年行われた意見募集に対する政府の回答で、さらなるアドバイスが必要であることが浮き彫りになったことを受けて作成された。
It describes typical supplier relationships and potential weaknesses that might expose their supply chain to attacks, defines the expected outcomes and sets out key steps that can help organisations assess their supply chain’s security. 本書では、サプライチェーンが攻撃にさらされる可能性のある典型的なサプライヤーとの関係や潜在的な弱点について説明し、期待される結果を定義し、組織がサプライチェーンのセキュリティを評価するのに役立つ主要なステップを定めている。
In addition to guidance focused on improving supply chain cyber resilience, the NCSC has published a range of advice to help organisations improve their own cyber security. NCSCは、サプライチェーンのサイバーレジリエンス向上に焦点を当てたガイダンスに加え、組織が自らのサイバーセキュリティを向上させるのに役立つ様々なアドバイスを発表している。
This includes the 10 Steps to Cyber Security guidance, aimed at larger organisations, and the Small Business Guide for smaller organisations.
これには、大規模な組織を対象とした「サイバーセキュリティへの10ステップ」ガイダンスや、小規模な組織を対象とした「小規模企業向けガイド」などがある。

 

ガイダンスの要約

・[PDF

20221018-14126

 

ガイダンス

・2022.10.12 (guidance) How to assess and gain confidence in your supply chain cyber security

序文的なもの...

How to assess and gain confidence in your supply chain cyber security サプライチェーンのサイバーセキュリティを評価し、信頼を得る方法
Practical steps to help medium to large organisations gain assurance about the cyber security of their organisation's supply chain. 中規模から大規模の組織が、組織のサプライチェーンのサイバーセキュリティについて確信を得るのに役立つ実践的なステップ。
This guidance describes practical steps to help organisations better assess cyber security in their supply chains. It’s aimed at medium to large organisations who need to gain confidence or assurance that mitigations are in place for vulnerabilities associated with working with suppliers. 本ガイダンスでは、組織がサプライチェーンのサイバーセキュリティをより適切に評価するための実践的なステップを説明している。本ガイダンスは、サプライヤとの協働に関連する脆弱性に対して緩和策が講じられていることを確信または保証する必要がある中堅・大規模組織を対象としている。
More specifically, this guidance: 具体的には、次のような内容である。
・describes typical supplier relationships, and ways that organisations are exposed to vulnerabilities and cyber attacks via the supply chain ・典型的なサプライヤーとの関係、およびサプライチェーンを通じて組織が脆弱性やサイバー攻撃にさらされる方法について説明する。
・defines expected outcomes and key steps to help you assess your supply chain’s approach to cyber security ・サプライチェーンのサイバーセキュリティへの取り組みを評価するために、期待される成果と主なステップを定義している。
・answers common questions you may encounter as you work through the guidance ・ガイダンスを読み進める中で遭遇する可能性のある一般的な質問に回答する。
supplements the NCSC’s Supply Chain Principles (published in 2020) which is referenced throughout ・NCSCのサプライチェーン原則(2020年発行)を補足するもので、全体を通して参照されている。
Note: 注意事項:
For guidance about how to implement cyber security with your own organisation, please refer to the NCSC’s 10 Steps to Cyber Security guidance. Smaller organisations should refer to our Small Business Guide to Cyber Security. 自組織でサイバーセキュリティを実施する方法については、NCSCの「サイバーセキュリティのための10ステップ」ガイダンスを参照、小規模な組織は、当社の「サイバーセキュリティに関する小規模企業向けガイド」を参照のこと。
Who is this guidance for? 本ガイダンスは誰のためのものであるか?
The guidance is aimed at procurement specialists, risk managers and cyber security professionals wanting to establish (or improve) an approach for assessing the cyber security of their organisation’s supply chain. It can be applied ‘from scratch’, or can build upon any existing risk management techniques and approaches that you may have in use. 本ガイダンスは、組織のサプライチェーンのサイバーセキュリティを評価するアプローチを確立(または改善)したいと考えている調達専門家、リスクマネジメント担当者、サイバーセキュリティ専門家を対象としている。ゼロから適用することもできるし、既存のリスクマネジメント手法やアプローチを基に構築することもできる。
・It’s suitable for medium to larger enterprises working in both commercial and public sectors. ・商業・公共セクターの中堅・大企業に適している。
・Organisations with complex supply chains requiring multi-year procurement activity will already have an established process in place to secure their supply chain. ・数年にわたる調達活動を必要とする複雑なサプライチェーンを持つ組織では、サプライチェーンを保護するための確立されたプロセスをすでに持っていることだろう。
This guidance was created in conjunction with the cross market operational resilience group (cmorg) which supports the improvement of the operational resilience of the financial sector through public-private collective action. 本ガイダンスは、官民の共同行動を通じて金融セクターの業務回復力の向上を支援するクロスマーケット業務回復力グループ(cmorg)と連携して作成されたものである。

 

目次...

How to assess and gain confidence in your supply chain cyber security サプライチェーンのサイバーセキュリティを評価し、信頼を得る方法
Understanding the threat 脅威を理解する
Executive summary エグゼクティブサマリー
Stage 1: Before you start  ステージ1:始める前に
Step 1: Understand why your organisation should care about supply chain cyber security ステップ 1:なぜあなたの組織がサプライチェーンサイバーセキュリティに関心を持たなければならないかを理解する。
Step 2: Identify the key players in your organisation ステップ 2: 組織のキープレーヤーを特定する
Step 3: Understand how your organisation evaluates risk ステップ 3: 組織のリスク評価方法を理解する
Further reading 参考資料
Stage 2: Develop an approach to assess supply chain cyber security  ステージ2:サプライチェーンサイバーセキュリティを評価するためのアプローチを開発する
Stage 2a: Prioritise your organisation's 'crown jewels' ステージ 2a: 組織の「至宝」に優先順位を付ける
Stage 2b: Create key components for your approach ステージ 2b: アプローチに必要な主要コンポーネントを作成する
Stage 3: Apply the approach to new supplier relationships  ステージ 3: アプローチを新規サプライヤとの関係に適用する
Step 1: Educate the team ステップ 1: チームを教育する
Step 2: Embed cyber security controls throughout the contract's duration ステップ 2: 契約期間を通じてサイバーセキュリティの管理体制を整備する
Step 3: Monitor supplier security performance ステップ 3: サプライヤのセキュリティパフォーマンスを監視する
Step 4: Report progress to the board ステップ 4: 取締役会に進捗状況を報告する
Further reading 参考資料
Stage 4: Integrate the approach into existing supplier contracts  ステージ 4: 既存のサプライヤとの契約に本アプローチを組み入れる
Step 1: Identify existing contracts ステップ 1: 既存の契約を特定する
Step 2: Risk assess and prioritise your contracts ステップ 2: 契約のリスク評価と優先順位付け
Step 3: Support your suppliers ステップ 3: サプライヤーをサポートする
Step 4: Review contractual clauses ステップ 4: 契約条項の見直し
Step 5: Monitor supplier security performance ステップ 5: サプライヤのセキュリティ実績を監視する
Step 6: Report progress to the board ステップ 6: 取締役会に進捗状況を報告する
Further reading その他の資料
Stage 5: Continuously improve  ステージ 5: 継続的な改善
Step 1: Evaluate the approach and its components regularly ステップ 1: アプローチとその構成要素を定期的に評価する
Step 2: Maintain awareness of evolving threats and update practices accordingly ステップ 2:進化する脅威への認識を維持し、それに応じて実践を更新する
Step 3: Collaborate with your suppliers ステップ 3: サプライヤーとの連携

 


 

おまけ。。。

たまたま、英国のNCSCのサプライチェーン関係の情報を収集していたところ、New ZealandのNCSCが既にサプライチェーンのガイドを2021.04.30に公表していました。。。

 

National Cyber Security Centre - NZ

 ・2021.04.30 Supply Chain Cyber Security: In Safe Hands

・[PDF] Supply Chain Cyber Security 

20221018-15245

 

| | Comments (0)

OECD 国境を越えたデータの流れ -主要な政策とイニシアチブを把握する- (2022.10.12)

こんにちは、丸山満彦です。

OECDが、国境を越えたデータの流れに関する主要な政策とイニシアティブを概観する報告書を公表していますね。。。国境を越えたデータの流れ(クロスボーダー・データフロー)に関する様々な議論についてまとまっていると思います(除く、中国、ロシア)。。。


OECD

・2022.10.12 Cross-border Data Flows -Taking Stock of Key Policies and Initiatives-

 

Cross-border Data Flows -Taking Stock of Key Policies and Initiatives 国境を越えたデータの流れ -主要な政策とイニシアチブを把握する
As data become an important resource for the global economy, it is important to strengthen trust to facilitate data sharing domestically and across borders. Significant momentum for related policies in the G7, and G20, has gone hand in hand with a wide range of – often complementary – national and international initiatives and the development of technological and organisational measures. Advancing a common understanding and dialogue among G7 countries and beyond is crucial to support coordinated and coherent progress in policy and regulatory approaches that leverage the full potential of data for global economic and social prosperity. This report takes stock of key policies and initiatives on cross-border data flows to inform and support G7 countries’ engagement on this policy agenda. データが世界経済にとって重要な資源となるにつれ、国内および国境を越えたデータ共有を促進するための信頼を強化することが重要である。G7やG20における関連政策の大きなモメンタムは、幅広い(しばしば補完的な)国内外のイニシアティブや技術的・組織的措置の開発と密接に関係している。G7諸国とそれ以外の国々の間で共通の理解と対話を進めることは、世界の経済と社会の繁栄のためにデータの潜在能力を最大限に活用する政策と規制のアプローチにおいて、協調的で首尾一貫した進展を支援するために極めて重要である。本報告書は、この政策課題に関するG7諸国の取り組みに情報を提供し支援するために、国境を越えたデータの流れに関する主要な政策とイニシアティブを概観するものである。

・[PDF

20221017-22716

 

目次...

1. Introduction 1.はじめに
2. Unilateral policies and regulations 2.一方的な政策や規制
3. Inter-governmental processes 3.政府間プロセス
3.1 The G7 and G20 deliberations in the areas of Data Free Flow with Trust and crossborder data flows 3.1 G7とG20におけるData Free Flow with Trustとクロスボーダーデータフローの分野での議論
3.2 Multilateral approaches 3.2 多国間アプローチ
3.3 Regional arrangements 3.3 地域ごとの取り決め
3.4 Preferential trade agreements 3.4 特恵貿易協定
4. Technological and organisational measures 4.技術的・組織的な対策
4.1 Data spaces 4.1 データスペース
5. Conclusion 5.まとめ
References 参考文献

 

| | Comments (0)

2022.10.17

G7 デジタル分野における独占禁止法執行について議論 (2022.10.12)

こんにちは、丸山満彦です。

ドイツで開催されたG7で、デジタル分野における将来の独占禁止法執行について議論されたようですね。。。報告書には、各国から提出された各国での取り組み状況が記載されていますね。。。

 

Bundeskartellamt

・2022.10.12 G7-Wettbewerbsgipfel in Berlin: Politik und Wettbewerbsbehörden beraten zukunftsfeste Kartellrechtsdurchsetzung im Digitalbereich

 

G7-Wettbewerbsgipfel in Berlin: Politik und Wettbewerbsbehörden beraten zukunftsfeste Kartellrechtsdurchsetzung im Digitalbereich ベルリンで開催されたG7競争サミット:政治家と競争当局がデジタル分野における将来の独占禁止法執行について議論
Mit dem G7 Joint Competition Policy Makers & Enforcers Summit richten das Bundesministerium für Wirtschaft und Klimaschutz und das Bundeskartellamt am 12. Oktober 2022 ein Forum zum Austausch über Digitalmärkte für Politik und Wettbewerbshüter aus. Vertreterinnen und Vertreter der G7-Mitgliedsstaaten (Deutschland, Frankreich, Großbritannien, Italien, Japan, Kanada, USA) und der Europäischen Kommission werden den Status quo rechtlicher Reformen weltweit, Kartellrechtsdurchsetzung im Digitalbereich sowie Schnittpunkte zwischen dem Wettbewerbsrecht und anderen Rechtsgebieten und Politikbereichen diskutieren. G7 Joint Competition Policy Makers & Enforcers Summitに伴い、連邦経済・気候保護省と連邦カルテル庁は、2022年10月12日に政策立案者と競争執行者を対象に、デジタル市場に関する交流フォーラムを開催する。G7メンバー国(ドイツ、フランス、英国、イタリア、日本、カナダ、米国)と欧州委員会の代表者が、世界の法改正の現状、デジタル分野での独占禁止法の執行、競争法と他の法律・政策分野との交錯について議論する。
Sven Giegold, Staatssekretär im Bundesministerium für Wirtschaft und Klimaschutz: „Ein grundlegendes Element unserer Marktwirtschaften und Demokratien ist fairer Wettbewerb. Dieser ist gleichermaßen wesentlich für Verbraucherinnen und Verbraucher, als auch für Innovationen. Der G7-Wettbewerbsgipfel ist Ausdruck der politischen Dynamik zur Analyse der Strukturen von Digitalmärkten sowie zur Stärkung der entsprechenden Regelwerke und deren Durchsetzung.“ 連邦経済・気候保護省のSven Giegold事務次官:「市場経済と民主主義の基本要素は、公正な競争である。これは、消費者にとっても、イノベーションにとっても同様に必要なことである。G7競争サミットは、デジタル市場の構造を分析し、それに対応する規制の枠組みとその執行を強化するための政治的機運の表れである。"と述べている。
Andreas Mundt, Präsident des Bundeskartellamtes: „Wir können auf einer bereits erfolgreichen Durchsetzungspraxis aufbauen und sehen, dass Wettbewerbsbehörden auf der ganzen Welt mit neuen Instrumenten ausgestattet werden, um ihren Aufgaben noch effektiver nachgehen zu können. Mit Blick auf globale digitale Themen müssen wir sicherstellen, dass Politik und Kartellrechtsdurchsetzung ineinandergreifen. Wir brauchen kohärente Ansätze und Abhilfemaßnahmen, die tatsächlich etwas bewirken, und interdisziplinäres Denken, besonders wenn es um den Umgang mit Daten geht. Beim G7-Wettbewerbsgipfel kommen Wettbewerbshüterinnen und -hüter sowie Vertreterinnen und Vertreter aus der Politik zusammen, um sich auszutauschen, einander zu informieren und gemeinsam unsere Instrumente zukunftsfest zu machen.“ BundeskartellamtのAndreas Mundt会長:「すでに成功した執行実績をもとに、世界中の競争当局が新しいツールを装備して、さらに効果的に任務を遂行できるようになることを期待している。グローバルなデジタル問題に目を向けると、政策と独禁法の執行が絡み合っていることを確認する必要がある。特にデータを扱う際には、首尾一貫したアプローチと実際に変化をもたらす救済策、そして学際的な思考が必要である。G7競争サミットは、競争執行者と政策立案者が一堂に会し、アイデアを共有し、互いに情報を提供し、我々のツールを将来にわたって活用できるよう協力するものである。
Während des Gipfeltreffens werden zwei Dokumente vorgestellt: Das „Policy Makers Inventory“ wurde mit Unterstützung der OECD erstellt und bietet eine umfassende Übersicht gesetzgeberischer Ansätze zum Wettbewerb in Digitalmärkten innerhalb der G7, um das gegenseitige Verständnis zu verbessern und die Zusammenarbeit zu fördern, damit der Wettbewerb in Digitalmärkten gestärkt wird. Auf diese Weise können die G7-Staaten aufbauend auf der Arbeit der französischen und britischen G7-Präsidentschaften voneinander profitieren und langfristig bewährte Vorgehensweisen herausstellen. Das „Compendium“ hebt die wesentlichen Aspekte der Arbeit der einzelnen G7-Wettbewerbsbehörden im Digitalbereich hervor. Das „Compendium“ führt das im Rahmen der britischen G7-Präsidentschaft im Jahr 2021 von der britischen Wettbewerbsbehörde Competition and Markets Authority ins Leben gerufene Format fort. サミットでは、2つのドキュメントが発表されます。OECDの支援を受けて作成されたPolicy Makers Inventoryは、デジタル市場における競争を強化するための相互理解を深め、協力を促進するために、G7内のデジタル市場における競争に関する法的アプローチを包括的に概観するものである。このように、フランスとイギリスのG7議長国の仕事を土台に、G7諸国は互いに恩恵を受け、長期的なベストプラクティスを強調することができる。本コンペンディウムは、G7の各競争当局のデジタル分野での活動の主要な側面を紹介している。Compendiumは、2021年の英国G7議長国時代に英国競争市場庁が開始した形式を引き継いでいる。

 

大要...

・[PDF]  

20221017-15122

・[DOCX] 仮訳

 

Contents  目次 
I. Overview I.概要
II. Introduction II.はじめに
III. Key Challenges III.主な課題
Market power and other positions of economic power マーケットパワーとその他の経済的な力のあるポジション
Challenges to existing competition approaches 既存のコンペティション・アプローチへの挑戦
IV. Key Findings IV.主要な調査結果
Section A: Key issues in digital markets セクションA:デジタル市場の主要課題
Section B: Strengthening competition authorities セクションB:競争当局の強化
Section C: Reforms to existing powers and approaches セクションC:既存の権限とアプローチへの改革
Section D: The importance of regulatory cooperation セクションD:規制協力の重要性
V. Conclusions and next steps V.結論と次のステップ
VI. Submissions VI.提出書類
Canada - Competition Bureau Canada カナダ - カナダ競争局
France - Autorité de la Concurrence フランス - コンカーレンス委員会
Germany - Bundeskartellamt ドイツ - ドイツ連邦カルテル庁
Italy - Autoritá Garante della Concorrenza e del Mercato イタリア - コンコルレン・デ・メルカート保証委員会
Japan - Japan Fair Trade Commission 日本 - 公正取引委員会
UK - Competition and Markets Authority イギリス - 競争市場庁
US - Federal Trade Commission 米国連邦取引委員会
US - Department of Justice アメリカ - 司法省
European Commission – Directorate-General for Competition 欧州委員会 - 競争総局
Australia – Australian Competition and Consumer Commission オーストラリア - オーストラリア競争・消費者委員会
India – Competition Commission of India インド - インド競争委員会
South Africa – Competition Commission South Africa 南アフリカ共和国 - 南アフリカ競争委員会
South Korea – Korea Fair Trade Commission 韓国 - 韓国公正取引委員会

 


まるちゃんの情報セキュリティ気まぐれ日記

日本の話...

・2022.09.25 経済産業省 デジタルプラットフォームの透明性・公正性に関するモニタリング会合

・2022.08.07 デジタル市場競争会議 ワーキンググループ 第38回 「モバイル・エコシステムに関する競争評価 中間報告」及び「新たな顧客接点(ボイスアシスタント及びウェアラブル)に関する競争評価 中間報告」に関する意見募集に寄せられた御意見等

 

欧州 デジタルサービス法、デジタル市場法関係

・2022.09.23 ⽇欧産業協⼒センター 欧州デジタル政策 (Vol.1-3)

・2022.07.20 欧州理事会 欧州連合理事会 デジタル市場法 (DMA) 案を採択

・2022.07.11 欧州議会 デジタルサービス法 (DSA) デジタル市場法 (DMA) が可決 (2022.07.05)

・2022.03.26 欧州理事会 欧州連合理事会 デジタル市場法(DMA)が理事会・欧州議会で合意されたようですね。。。

・2020.12.16 欧州委員会 デジタルプラットフォーマを規制するためのデジタルサービス法とデジタル市場法の最終提案を公表

 

| | Comments (0)

2022.10.16

オランダ サイバーセキュリティ戦略2022-2028 デジタル・セキュリティー社会の実現に向けた渇望と行動 (2022.10.10)

こんにちは、丸山満彦です。

オランダがサイバーセキュリティ戦略 2022-2028と、それをもとにした2022-2023の活動計画を公表していますね。。。オランダは2011年、2013年、2018年にも戦略を発表していたようです。。。見つけられていませんが。。。

2022年−2028年の戦略のポイントは次の4つのようです。。。

Pijler I: Digitale weerbaarheid van de overheid, bedrijven en maatschappelijke organisaties Ⅰ:政府、企業、市民社会組織のデジタル・レジリエンス
Pijler II: Veilige en innovatieve digitale producten en diensten Ⅱ:安全で革新的なデジタル製品・サービス
Pijler III: Tegengaan van digitale dreigingen van staten en criminelen Ⅲ:国家や犯罪者からのデジタル脅威への対処
Pijler IV: Cybersecurity-arbeidsmarkt, onderwijs en de digitale weerbaarheid van burgers Ⅳ:サイバーセキュリティの労働市場、教育、市民のデジタル・レジリエンス

 

プレス発表...

・2022.10.10 Kabinet presenteert nieuwe cybersecuritystrategie

Kabinet presenteert nieuwe cybersecuritystrategie 内閣が新たなサイバーセキュリティ戦略を提示
Namens het kabinet presenteert minister Yeşilgöz-Zegerius (Justitie en Veiligheid en coördinerend bewindspersoon cybersecurity), samen met minister Adriaansens (Economische Zaken en Klimaat) en staatssecretaris Van Huffelen (Koninkrijksrelaties en Digitalisering), vandaag de nieuwe Nederlandse cybersecuritystrategie 2022-2028. Bij de strategie hoort ook een actieplan met concrete acties om Nederland digitaal veiliger te maken. 内閣を代表してイェシルゲーズ=ゼゲリウス大臣(司法・安全保障・サイバーセキュリティ担当調整大臣)が本日、アドリアンスンス大臣(経済・気候)、ファン・フッフェレン国務長官(王国関係・デジタル化)とともに、オランダの新しいサイバーセキュリティ戦略2022-2028を発表した。また、この戦略には、オランダをよりデジタルセキュアにするための具体的なアクションプランが含まれている。
Minister Yeşilgöz-Zegerius: “De digitale dreiging neemt fors toe waarbij criminelen en vijandige staten onze belangen bedreigen zoals de Nationaal Coördinator Terrorismebestrijding en Veiligheid concludeert. Daarom is nu actie nodig om onze digitale weerbaarheid te verhogen, het stelsel te versterken en de dreiging aan te pakken. Alleen dan zijn we als Nederland in staat om op een veilige manier de economische en maatschappelijke kansen van digitalisering te verzilveren, en tegelijkertijd onze veiligheid en publieke waarden te beschermen. Nederland is een van de meest gedigitaliseerde landen ter wereld. We werken digitaal, winkelen digitaal en ontmoeten elkaar digitaal. Digitale systemen vormen het ‘zenuwstelsel’ van onze maatschappij Daarom moeten we deze systemen beschermen en zorgen dat we voorbereid zijn als er toch iets mis gaat.” イェシルギョズ-ゼゲリウス大臣:「テロ対策と安全保障のための国家コーディネーターが結論付けたように、犯罪者と敵対国家が私たちの利益を脅かし、デジタル脅威が急激に高まっている。そのため、デジタルレジリエンスを高め、システムを強化し、脅威に対処するためのアクションが今必要となっている。そうしてこそ、私たちオランダは、安全と公共価値を守りながら、デジタル化の経済的・社会的機会を安全に生かすことができる。オランダは世界で最もデジタル化が進んでいる国の一つである。私たちはデジタルで仕事をし、デジタルで買い物をし、デジタルで会議をする。したがって、これらのシステムを保護し、何か問題が発生した場合に備えておく必要がある。
Minister Adriaansens: “Digitale weerbaarheid is echt belangrijk en dat ervaren we allemaal. Bijvoorbeeld als door een cyberaanval het internet niet werkt, daardoor schappen in winkels niet zijn gevuld of zelfs industriële productie uitvalt. Dat vraagt in deze tijden om een overheid die actief bijdraagt aan onze digitale slagkracht. Immers, cyberveilige digitale apparaten en systemen zijn niet alleen noodzakelijk, maar bieden ook economische kansen voor onze bedrijven en gemak voor consumenten." アドリアンスンス大臣:「デジタル・レジリエンスは本当に重要で、私たちは皆、それを経験している。例えば、サイバー攻撃によってインターネットが使えなくなり、その結果、店の棚に商品が並ばなくなったり、工業生産が停止するような事態が発生した場合である。このような時代だからこそ、デジタル・レジリエンスに積極的に貢献する政府が求められている。結局のところ、サイバーセキュアなデジタル機器やシステムは必要であるだけでなく、私たちの企業に経済的な機会を、消費者に利便性を提供するのである。」
Staatssecretaris Van Huffelen: “Veiligheid en vertrouwen zijn in de digitale wereld, net zoals in de fysieke wereld, een absolute randvoorwaarde. Stevige wet- en regelgeving en toezicht moeten ons helpen de digitale wereld veiliger te maken. De hele overheid moet hierin voorop lopen en samenwerken met een netwerk van publiek en private partners”. ファン・フッフェレン国務長官:「物理的な世界と同様に、デジタルの世界でもセキュリティと信頼は絶対条件である。堅牢な法律、規制、監督によって、デジタル世界をより安全なものにしなければならない。これを政府全体でリードし、官民のネットワークと連携していかなければならない。」
Strategie 戦略
De veiligheid in de digitale wereld blijft nog ver achter bij die in de fysieke wereld. Wie een auto koopt, weet dat die aan allerlei veiligheids- en kwaliteitseisen voldoet. En de koper weet precies wat van hem of haar verwacht wordt om die auto veilig te kunnen en mogen besturen; een rijbewijs, geen alcohol, jaarlijkse APK-keuringen. Dat moet ook gebruikelijk worden voor de digitale veiligheid. In de Nederlandse cybersecuritystrategie beschrijft het kabinet zijn visie op de digitale samenleving en de rol van overheid, bedrijven en burgers daarin. Daarnaast staan in het actieplan concrete acties voor een digitaal veilige samenleving. Om de visie te realiseren zijn doelen geformuleerd langs vier pijlers. Ten eerste het verhogen van de digitale weerbaarheid van de overheid, bedrijven en maatschappelijke organisaties. Verder het bieden van veilige en innovatieve digitale producten en diensten in ons land. Ten derde het tegengaan van digitale dreigingen van staten en criminelen. En tot slot voldoende cybersecurity specialisten, onderwijs over digitale veiligheid en digitale weerbaarheid van burgers. デジタルの世界でのセキュリティは、物理的な世界でのセキュリティに比べ、まだ大きく遅れている。車を購入する人は、それがあらゆる種類の安全性や品質に関する要求を満たしていることを知っている。そして買い手は、その車を安全に運転するために何が求められているのか、運転免許証、アルコール依存症でないこと、毎年の車検などを正確に把握することができる。これは、デジタル・セキュリティの分野でも慣例になるはずである。オランダのサイバーセキュリティ戦略では、デジタル社会のビジョンと、そこでの政府、企業、市民の役割について述べられている。また、アクションプランには、デジタル安心社会の実現に向けた具体的なアクションが盛り込まれている。このビジョンを実現するために、4つの柱に沿った目標が策定されている。第一に、政府、企業、市民社会組織のデジタル・レジリエンスを高めることである。第二に、わが国において安全で革新的なデジタル製品・サービスを提供すること。第三に、国家や犯罪者からのデジタル脅威に対抗することである。そして最後に、十分なサイバーセキュリティの専門家、デジタルセキュリティに関する教育、市民のデジタルレジリエンスである。
Om deze doelen te bereiken wordt het stelsel rondom digitale veiligheid versterkt. Hiertoe worden bijvoorbeeld het Nationaal Cybersecurity Centrum, Digital Trust Center en het Cyber Security Incident Response Team for Digital Service Providers samengevoegd tot één nationale cybersecurity autoriteit. Daarnaast komt er wet- en regelgeving die helder en toetsbaar is waardoor vrijblijvendheid voor het treffen van maatregelen verleden tijd wordt. Eisen voor veilige hard- en software worden in Europees verband gesteld. Ook moet er meer zicht komen op de dreiging want alleen dan kunnen we de weerbaarheid verhogen. これらの目標を達成するために、デジタルセキュリティをめぐる体制を強化する。この目的のために、例えば、国家サイバーセキュリティセンター、デジタルトラストセンター、デジタルサービスプロバイダのためのサイバーセキュリティインシデント対応チームは、単一の国家サイバーセキュリティ当局に統合される予定である。また、明確で検証可能な法律や規制ができ、非妥協的な措置は過去のものとなるでしょう。セキュアなハードウェアとソフトウェアの要件は、欧州レベルで設定されることになる。また、脅威に対する洞察力を高めてこそ、レジリエンスを高めることができる。
Samenwerking 協力
De strategie is tot stand gekomen met een brede betrokkenheid van vele publieke, private en maatschappelijke organisaties, en in het bijzonder met de Cyber Security Raad, en bouwt voort op eerdere kabinetsbrede cybersecuritystrategieën uit 2011, 2013 en 2018. Voor de totstandkoming en implementatie van de strategie werken alle ministe­ries samen, ook met publieke en private partners. この戦略は、多くの官民や市民団体、特にサイバーセキュリティ協議会の幅広い関与のもとに作成され、2011年、2013年、2018年のこれまでの内閣府のサイバーセキュリティ戦略を踏まえている。戦略の策定と実施にあたっては、官民のパートナーを含め、すべての省庁が連携している。

 

● 戦略

・2022.10.10 Nederlandse Cybersecuritystrategie 2022 - 2028

・[PDF

20221016-52157

 

戦略の序文...

Voorwoord  序文 
Internet heeft ons leven ingrijpend veranderd. We leven en werken online, in veel opzichten maakt dat ons leven gemakkelijker en de economische voordelen zijn evident. Burgers en bedrijven moeten ten volle kunnen profiteren van de digitale samen- leving en economie; veiligheid is hiervoor essentieel.  インターネットは私たちの生活を劇的に変化させた。私たちはオンラインで生活し、仕事をしている。多くの点で私たちの生活を便利にし、経済的なメリットも明らかである。市民や企業がデジタル社会・経済を十分に活用できるようにすること、そのためにはセキュリティが不可欠である。
Maar de veiligheid in de digitale wereld blijft nog ver achter bij die in de fysieke wereld. Wie een auto koopt, weet dat die aan allerlei veiligheids- en kwali- teitseisen voldoet. En de koper weet precies wat van hem of haar verwacht wordt om die auto veilig te kunnen en mogen besturen; een rijbewijs, geen alco- hol, jaarlijkse APK-keuringen.  しかし、デジタルの世界でのセキュリティは、物理的な世界でのセキュリティに比べ、まだ大きく遅れているのが現状である。車を購入する人は、その車があらゆる種類の安全性や品質の要求を満たしていることを知っている。そして買い手は、その車を安全に運転するために何が求められているのか、運転免許証、アルコール依存症でないこと、毎年の車検など、正確に把握している。
In de digitale wereld is dat heel anders. Bij het ont- werp van veel digitale systemen was en is veiligheid nog níet het uitgangspunt. Decennialang heeft de verantwoordelijkheid voor die veiligheid gelegen bij de eindgebruikers als burgers en kleinere ondernemingen en organisaties. Maar veel van die eindgebruikers zijn in de praktijk helemaal niet in staat om aan die verantwoordelijkheid invulling te geven. Ze weten bijvoorbeeld niet hoe ze een wifi- router moeten updaten en worstelen met de beveiliging van systemen, privacy-vereisten, et cetera.  デジタルの世界では、状況は大きく異なる。多くのデジタルシステムの設計において、セキュリティは昔も今も出発点ではない。 何十年もの間、セキュリティの責任は市民や中小企業・団体などのエンドユーザーが担ってきた。 しかし、実際には、こうしたエンドユーザーの多くは、この責任を果たすことが全くできない。 例えば、WiFiルーターのアップデート方法がわからない、システムセキュリティやプライバシー要件に苦労している、などである。
Intussen groeien de risico’s. Als hoogontwikkelde samenleving wordt Nederland in hoog tempo afhan- kelijker van digitale systemen. Maar zelfs in meer volwassen organisaties, techbedrijven en overheids- instanties staat of valt de veiligheid van die systemen bij het gedrag van individuen. Alles ligt plat als een werknemer een phishing mail opent of niet de juiste beveiliging installeert.  一方で、リスクは増大している。高度に発達した社会であるオランダでは、デジタルシステムへの依存度が急速に高まっている。しかし、より成熟した組織、ハイテク企業、政府機関であっても、それらのシステムのセキュリティは、個人の行動にかかっている。従業員がフィッシングメールを開いたり、適切なセキュリティを導入しなかったりすると、すべてが台無しになる。
Het kabinet meent dat de eenzijdige nadruk op de verantwoordelijkheid van het individu een doodlo- pende weg is en kiest voor een andere route naar een veilig digitaal ecosysteem. Mede namens het kabinet presenteer ik daarom een nieuwe cybersecuritystra- tegie. Die kent de volgende speerpunten:  政府は、個人の責任を一方的に強調するのは行き止まりだと考え、安全なデジタルエコシステムへの別のルートを選択する。そこで、一部、内閣を代表して、新たなサイバーセキュリティ戦略を提示する。これには、次のような要点がある。
1. Beter zicht op de dreiging. Het kabinet investeert in mensen en systemen die scherper zicht geven op de herkomst van dreigingen en tegen wie ze gericht zijn.  1. 脅威の可視化。政府は、脅威がどこから来て、誰に向かっているのかをより鋭く洞察するための人材とシステムに投資している。
2. Meer cybersecurityspecialisten. We nemen ver- schillende acties om meer ICT-specialisten op de arbeidsmarkt te krijgen.  2. サイバーセキュリティの専門家を増やす。私たちは、より多くのICT専門家を労働市場に投入するために、さまざまな取り組みを行っている。
3. Overheid en sectoren nemen verantwoordelijk- heid. De verantwoordelijkheid voor veiligheid wordt deels verplaatst van eindgebruikers naar de overheid en specifieke sectoren. De meest volwas- sen en bepalende organisaties dragen de zwaarste verantwoordelijkheden. Voor de gehele overheid zelf zullen stevige wettelijke eisen voor veiligheid en toezicht op naleving erop worden ingericht.  3. 政府、セクターが責任を持つ。セキュリティに対する責任は、エンドユーザーから政府や特定部門に一部移行している。最も成熟し、決断力のある組織が最も重い責任を負うことになる。政府全体に対しては、セキュリティとコンプライアンス監視のための強固な法的要件が設定される。
4. Beter toezicht en de noodzakelijke wet- en regelgeving. Herschikking van verantwoordelijk- heden vergt uitbreiding van wettelijke regels en toezicht. Veiligheid moet het fundament worden waarop nieuwe systemen worden ontworpen. Er komen nieuwe regels waar (rijks)overheden, vitale aanbieders, en leveranciers van digitale producten en diensten aan moeten voldoen.  4. より良い監督と必要な法規制。責任の再分配には、法的規制と監督の拡大が必要である。セキュリティは、新しいシステムを設計する際の基盤となるものでなければならない。(中央)政府、重要なプロバイダー、デジタル製品やサービスのサプライヤーが遵守しなければならない新しい規則が生まれるだろう。
5. Heldere informatie via een nationale cyberauto- riteit. Er komt een centrale cyberautoriteit in Nederland: het nationale Cyber Security Incident Response Team. Deze nieuwe organisatie zal in samenwerking met publieke en private partners, vitale en niet-vitale organisaties, overheden en burgers voorzien van informatie over (dreigende) cyberincidenten om hen in staat te stellen zich te beveiligen.  5. 国のサイバー当局を通じた明確な情報提供。オランダには、サイバーセキュリティ事件対応チームという中央のサイバー当局が設置される予定である。この新組織は、官民のパートナーとの協力のもと、重要組織、非重要組織、政府、市民に対し、(差し迫った)サイバーインシデントに関する情報を提供し、彼らの安全を確保することを可能にするものである。
Deze strategie beschrijft de ambities van het kabinet voor de komende zes jaar. In de eerste fase investe- ren we fors in de AIVD en de MIVD, in het NCSC en de versterking van het landelijk dekkend stelsel van cybersecuritysamenwerkingsverbanden waarmee organisaties van beveiligingsadvies worden voorzien, en in de versterking van digitale weerbaarheid van specifieke sectoren.  この戦略は、今後6年間における政府の渇望を定めたものである。第一段階では、AIVDとMIVD、NCSC、そして組織にセキュリティアドバイスを提供するサイバーセキュリティ・パートナーシップの全国システムの強化、特定分野のデジタル・レジリエンスの強化に多額の投資を行う。
Tot slot. Dit is een gezamenlijke verantwoordelijkheid van alle partijen in het cyberveld, waarbij doelgerichte publiek-private samenwerking essenti- eel is. Ik ben dan ook alle publieke en private partijen en de wetenschap, en in het bijzonder de leden van de Cyber Security Raad, zeer erkentelijk die aan de totstandkoming van deze strategie hebben bijgedra- gen. Hou dat vast in de uitvoering!  結論から言うと これは、サイバー分野におけるすべての関係者の共同責任であり、的を射た官民の協力が不可欠である。したがって、この戦略の作成に貢献された官民や学会の皆様、特にサイバーセキュリティ協議会のメンバーの皆様に大変感謝している。さあ、実行に移そう!
Dilan Yeşilgőz-Zegerius, minister van Justitie en Veiligheid  ディラン・イェシルグズ=ゼゲリウス 司法・治安大臣

 

戦略の目次...

Inleiding en context 導入と背景
Samenwerking in het cybersecuritydomein サイバーセキュリティ領域での協力
1. Maatschappelijke opgave cybersecurity 1. 社会的課題サイバーセキュリティ
Digitale risico’s onverminderd groot デジタルリスクは減少せず
Complicaties risicobeheersing gevaar voor samenleving リスクマネジメントの複雑さが社会を危うくする
Noodzaak tot een integrale aanpak digitale weerbaarheid デジタルレジリエンスへの統合的アプローチの必要性
2. Visie: Digitale veiligheid voor iedereen een vanzelfsprekendheid 2. ビジョン:デジタル・セキュリティはすべての人にとって当たり前のこと
Visie ビジョン
3. Doelen 3. 目標
Pijler I: Digitale weerbaarheid van de overheid, bedrijven en maatschappelijke organisaties 柱Ⅰ:政府、企業、市民社会組織のデジタル・レジリエンス
Pijler II: Veilige en innovatieve digitale producten en diensten 柱Ⅱ:安全で革新的なデジタル製品・サービス
Pijler III: Tegengaan van digitale dreigingen van staten en criminelen 柱Ⅲ:国家や犯罪者からのデジタル脅威への対処
Pijler IV: Cybersecurity-arbeidsmarkt, onderwijs en de digitale weerbaarheid van burgers 柱Ⅳ:サイバーセキュリティの労働市場、教育、市民のデジタル・レジリエンス
4. Governance, evaluatie en monitoring 4. ガバナンス・評価・モニタリング
Governance, regie en samenwerking ガバナンス、方向性、協力
Evaluatie en monitoring 評価・モニタリング
Aanpak アプローチ
Evaluatieprogramma 評価プログラム
Bijlagen 附属書
Financiële onderbouwing 財務的裏付け
Afkortingen 略語について
Begrippenlijst 用語集
Noten 備考

 

 

● 活動計画 2022-2023

・2022.10.10 Actieplan Nederlandse Cybersecuritystrategie 2022 - 2023

・[PDF

20221016-52520

 

活動計画の目次...

Pijler I Digitale weerbaarheid van de overheid, bedrijven en maatschappelijke organisaties  柱Ⅰ:政府、企業、市民社会組織のデジタル・レジリエンス 
Doel 1 Organisaties hebben zicht op cyberincidenten, -dreigingen en -risico’s en hoe hiermee om te gaan. 目標1 組織は、サイバーインシデント、脅威、リスク、およびそれらに対処する方法を可視化できている。
Herziening van het stelsel システムの見直し
Versterken Landelijk Dekkend Stelsel van cybersecurity samenwerkingsverbanden (LDS) サイバーセキュリティパートナーシップのナショナル・カバーリングシステムを強化(LDS)
Uitbreiden schakelorganisaties binnen het LDS ナショナル・カバーリングシステム内の連携組織の拡大
Nationaal Detectie Netwerk (NDN) 国家検知ネットワーク(NDN)
Slachtoffernotificatie 被害者への通知
Doel 2 Organisaties zijn goed beschermd tegen digitale risico's, en nemen hierin hun belang voor de sector en andere organisaties in de keten mee.  目標2 組織はデジタルリスクに対して十分に保護されており、セクターとチェーン内の他の組織にとっての重要性を考慮している。
Digitale weerbaarheid vitale infrastructuur デジタルレジリエンス 重要インフラ
Digitale weerbaarheid MKB en bedrijfsleven デジタルレジリエンス 中小企業・ビジネス
Digitale weerbaarheid onderwijs デジタルレジリエンス教育
Digitale weerbaarheid zorginstellingen デジタルレジリエンス医療機関
Digitale weerbaarheid sectoren infrastructuur en waterstaat デジタル・レジリエンス・インフラストラクチャーと水管理部門
Digitale weerbaarheid rijksoverheid デジタル・レジリエンス 中央政府
Digitale weerbaarheid overheid デジタル・レジリエンス 政府
Digitale weerbaarheid sectoren met operationele technologie- en procesautomatiserings-systemen 運用技術やプロセス自動化システムによるデジタル・レジリエンス分野
Zicht op digitale weerbaarheid van overheid en bedrijfsleven 政府および産業界のデジタル・レジリエンスに関する洞察
Doel 3 Organisaties reageren, herstellen en leren snel en adequaat op en van cyber-incidenten en –crises. 目標3 組織は、サイバーインシデントやクライシスに対して、迅速かつ適切に対応し、回復し、学習している。
Incident- en crisispreparatie インシデント・クライシスへの備え
Oefenen 訓練
Pijler II Veilige en innovatieve digitale producten en diensten  柱Ⅱ 安全で革新的なデジタル製品・サービス 
Doel 1 Digitale producten en diensten zijn veiliger. 目標1 デジタル製品・サービスの安全性が高まっている。
Europese wetgeving voor digitale producten en diensten デジタル製品・サービスに関する欧州の法規制
Toezicht en handhaving op digitale producten en diensten デジタル製品・サービスの監視と実施
Certificering en standaarden 認証・規格
Algemene beveiligingseisen rijksoverheid (ABRO) en overheidsinkoopbeleid 一般的なセキュリティ要件 中央政府(ABRO)および政府調達方針
Doel 2 Nederland heeft een sterke cybersecuritykennis- en innovatieketen  目標2 オランダはサイバーセキュリティの知識とイノベーションの連鎖が強固である。
Veilige cryptografie  安全な暗号技術 
Nationale samenwerking kennis- en innovatie-onderzoekssamenwerking  国家的な知識・イノベーション研究協力 
Europese onderzoekssamenwerking en fondsen  欧州研究協力・基金 
Pijler III Tegengaan van digitale dreigingen van staten en criminelen  柱Ⅲ 国家や犯罪者からのデジタル脅威への対処 
Doel 1 Nederland heeft zicht op digitale dreigingen van staten en criminelen  目標1 オランダは国家や犯罪者からのデジタル脅威を可視化することができている。
Zicht op statelijke actoren  国家アクターの可視化 
Onderzoeks- en opsporingscapaciteit cybercriminelen  サイバー犯罪の調査・検知能力 
Versterken diplomatiek netwerk  外交ネットワークの強化 
Doel 2 Nederland heeft grip op digitale dreigingen van staten en criminelen 目標2 オランダは国家や犯罪者からのデジタル脅威を掌握している。
Attributie en respons  アトリビュートと対処 
Defensieve en offensieve cybercapaciteiten  防御的・攻撃的なサイバー能力 
Doel 3 Staten houden zich aan het normatief kader voor verantwoordelijk statelijk gedrag in de digitale ruimte 目標3 国家は、デジタル空間における責任ある国家行動のための規範的枠組みを遵守している。
Normatief kader  規範的な枠組み 
Internet governance  インターネットガバナンス 
Pijler IV Cybersecurity-arbeidsmarkt, onderwijs en digitale weerbaarheid van burgers  柱Ⅳ サイバーセキュリティの労働市場、教育、市民のデジタル・レジリエンス 
Doel 1 Burgers zijn goed beschermd tegen digitale risico's.  目標1 市民はデジタルリスクから十分に保護されている。
Voorlichtingscampagnes  情報キャンペーン 
Beveiligingsadvies burgers  市民へのセキュリティアドバイス 
Betrouwbaarheid digitale overheidsvoorzieningen  デジタル・ガバメント・サービスの信頼性 
Doel 2 Burgers reageren snel en adequaat op cyberincidenten. 目標2 市民はサイバーインシデントに迅速かつ適切に対応している。
Doel 3 Leerlingen krijgen onderwijs in digitale vaardigheden gericht op veiligheid.  目標3 学生はセキュリティに重点を置いたデジタルスキル教育を受けている。
Curriculum  カリキュラム 
Doel 4 De Nederlandse arbeidsmarkt kan voldoen aan de toenemende vraag naar cybersecurity-experts. 目標4 オランダの労働市場は、サイバーセキュリティ専門家の需要増に対応できている。
Cybersecurity arbeidsmarkt  サイバーセキュリティの労働市場 

 

 

■ 参考 各国のサイバーセキュリティ戦略

■ EUの場合

European Commission

・2020.12.16 The EU’s Cybersecurity Strategy for the Digital Decade

・[PDF] JOINT COMMUNICATION TO THE EUROPEAN PARLIAMENT AND THE COUNCIL - The EU's Cybersecurity Strategy for the Digital Decade

20250108-182710

 

・2020.12.16 The EU's Cybersecurity Strategy in the Digital Decade

・[PDF] Factsheet

20210513-120625

 

■ ドイツの場合

Bundesministerium des Innern, für Bau und Heimat 

プレス

・2021.09.08 (press) Cybersicherheitsstrategie für Deutschland 2021 beschlossen

戦略本文

・[PDF] Cybersicherheitsstrategie für Deutschland 2021

20210926-60648

 

■ オランダの場合

・2022.10.10 Kabinet presenteert nieuwe cybersecuritystrategie

● 戦略

・2022.10.10 Nederlandse Cybersecuritystrategie 2022 - 2028

・[PDF

20221016-52157

 

● 活動計画 2022-2023

・2022.10.10 Actieplan Nederlandse Cybersecuritystrategie 2022 - 2023

・[PDF

20221016-52520

 

■ UKの場合

National Cyber Security Centre

2021.12.15 (news) Government publishes blueprint to protect UK from cyber threats

・2021.12.15 Policy paper National Cyber Strategy 2022

・[heml] National Cyber Strategy 2022

 ・[PDF] National Cyber Strategy 2022

20211217-55613

日本語訳 [Downloded]

20230221-170849

 

■ U.S. の場合

・2018.09.20 President Trump Unveils America’s First Cybersecurity Strategy in 15 Years

・[PDF] NATIONAL CYBER STRATEGY of the United States of America


20210513-121917

・仮訳 [DOCX

 

■ 日本の場合

内閣官房 - サイバーセキュリティセンター - サイバーセキュリティ戦略本部

・2021.09.28 [PDF] サイバーセキュリティ戦略

20230820-153236

・2022.06.17 サイバーセキュリティ戦略本部 第34回会合

・2021.09.27 第31回会合

 

 

🔳オーストラリアの場合

AU - Department of Home Affairs - Cyber security - Strategy

・2020.08.06 [PDF] AUSTRALIA’S CYBER SECURITY STRATEGY 2020

20230520-150216

2016年の前回のバージョン

・[PDF] Australia's Cyber Security Strategy

20230520-150443

 

■ 中国の場合

 中央网络安全和信息化委员会办公室 (Cyberspace Administration of China)

 プレス発表

戦略全文

・2016.12.27 国家网络空间安全战略

・英語訳

 ・2016.12.27 National Cyberspace Security Strategy

 

 

■ ロシアの場合(NATO CCDCOEの論文)

● NATO CCDCOE

2020 [PDF] The Past, Present, and Future of Russia’s Cyber Strategy and Forces by Bilyana Lilly and Joe Cheravitch



■ インドの場合

Data Security Council of India

・2020.08.15 [PDF] National Cyber Security Strategy 2020

20210513-131956

 

■ シンガポールの場合

● Cyber Security Agency of Singapore

・2021.10.05 Singapore Updates National Cybersecurity Strategy

The Singapore Cybersecurity Strategy 2021

・[PDF]

20211011-134730

 


まるちゃんの情報セキュリティ気まぐれ日記

・2022.10.16 オランダ サイバーセキュリティ戦略2022-2028 デジタル・セキュリティー社会の実現に向けた渇望と行動 (2022.10.10)

・2022.06.21 内閣官房 サイバーセキュリティ 2022 重要インフラのサイバーセキュリティに係る行動計画 (2022.06.17)

・2021.12.17 英国 国家サイバー戦略

・2021.10.11 シンガポール サイバーセキュリティ戦略2021

・2021.09.28 NISC サイバーセキュリティ戦略本部 第31回会合 サイバーセキュリティ戦略確定 (予算からみるとサイバーセキュリティは経済発展というよりも安全保障?)

・2021.09.26 独国 サイバーセキュリティ戦略2021 at 2021.09.08

・2021.07.15 経団連 提言「全員参加によるサイバーセキュリティの実現に向けて」

・2021.07.13 NISC 「次期サイバーセキュリティ戦略(案)」と「サイバーセキュリティ2021(案)」に関する意見の募集について

・2021.07.12 NATO関連機関が分析したサイバー空間におけるロシアの戦略 at 2021.06.11

・2021.07.07 NISC 「サイバーセキュリティ戦略本部第30回会合」と「サイバーセキュリティ対策推進会議(CISO等連絡会議)第18回会合」

・2021.06.29 IISS サイバー対応能力と国家力 日本のサイバー能力はいけていない?

・2021.06.03 サイバー領域の制度、法律、政策などについての米英の比較

・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令

・2021.05.13 サイバーセキュリティ戦略本部 次期サイバーセキュリティ戦略の骨子

・2020.08.11 オーストラリア政府 内務省がサイバーセキュリティ戦略2020を公表していましたね。。。

 

| | Comments (0)

2022.10.15

警察庁 金融庁 NISC 北朝鮮当局の下部組織とされるラザルスと呼称されるサイバー攻撃グループによる暗号資産関連事業者等を標的としたサイバー攻撃について(注意喚起)

こんにちは、丸山満彦です。

警察庁、金融庁、NISCが共同で、「北朝鮮当局の下部組織とされるラザルスと呼称されるサイバー攻撃グループによる暗号資産関連事業者等を標的としたサイバー攻撃について(注意喚起)」を公表していますね。。。

アトリビューション付きの発表ですね。。。

 

警察庁

・2022.10.14 [PDF] 北朝鮮当局の下部組織とされるラザルスと呼称されるサイバー攻撃グループによる暗号資産関連事業者等を標的としたサイバー攻撃について(注意喚起)

20221015-72155

 


北朝鮮当局の下部組織とされるラザルスと呼称されるサイバー攻撃グループによる暗号資産関連事業者等を標的としたサイバー攻撃について(注意喚起) 

北朝鮮当局の下部組織とされる、ラザルスと呼称されるサイバー攻撃グループについては、国連安全保障理事会北朝鮮制裁委員会専門家パネルが本年10月7日に公表した安全保障理事会決議に基づく対北朝鮮措置に関する中間報告書が、ラザルスと呼称されるものを含む北朝鮮のサイバー攻撃グループが、引き続き暗号資産関連企業及び取引所等を標的にしていると指摘しているところです。また、米国では本年4月 18 日、連邦捜査局(FBI)、サイバーセキュリティ・インフラセキュリティ庁(CISA)及び財務省の連名で、ラザルスと呼称されるサイバー攻撃グループの手口や対応策等の公表を行うなど、これまでに累次の注意喚起が行われている状況にあります。同様の攻撃が我が国の暗号資産交換業者に対してもなされており、数年来、我が国の関係事業者もこのサイバー攻撃グループによるサイバー攻撃の標的となっていることが強く推察される状況にあります。

このサイバー攻撃グループは、

・ 標的企業の幹部を装ったフィッシング・メールを従業員に送る

・ 虚偽のアカウントを用いた SNS を通じて、取引を装って標的企業の従業員に接近する

などにより、マルウェアをダウンロードさせ、そのマルウェアを足がかりにして被害者のネットワークへアクセスする、いわゆるソーシャルエンジニアリングを手口として使うことが確認されています。その他様々な手段を利用して標的に関連するコンピュータネットワークを侵害し、暗号資産の不正な窃取に関与してきているとされ、今後もこのような暗号資産の窃取を目的としたサイバー攻撃を継続するものと考えられます。

また、最近では分散型取引所による取引など暗号資産の取引も多様化しており、秘密鍵をネットワークから切り離して管理するなど、事業者だけでなく個人のセキュリティ対策の強化も重要となっています。

暗号資産取引に関わる個人・事業者におかれましては、暗号資産を標的とした組織的なサイバー攻撃が実施されていることに関して認識を高く持っていただくとともに、以下に示すリスク低減のための対処例を参考に適切にセキュリティ対策を講じていただくようお願いいたします。あわせて、不審な動き等を検知した際には、速やかに所管省庁、警察、セキュリティ関係機関等に情報提供いただきますよう重ねてお願いいたします。

 

【リスク低減のための対処例】

前述のサイバー攻撃グループは、多様な手法、手口を駆使しているとされるところ、次のような対策の実施を推奨します。

(1) この種のサイバー攻撃に対する優先度の高い対策

○ ソーシャルエンジニアリングに関する意識の向上、ユーザ教育の実施

ソーシャルエンジニアリングの手法・技術について理解し、常に注意を払う。例えば、電子メールを介したマルウェア感染のリスクを低減するため、電子メールの添付ファイル又はハイパーリンクを不用意に開封又はクリックしない。企業・組織等においては、職員のトレーニングの実施を検討する。

        例:SNS のプロフィールに違和感や偽りがないか。

ファイルをダウンロードする際の配信元の確認

外部からファイルをダウンロードする際には、配信元が信頼できるソースであることを常に確認する。特に暗号資産関連のアプリケーションは真正性が確認できる配信元以外からダウンロードしない。

        例:配信元の Web サイトは別サイトを模したものや、登録後間もないドメインではないか。

社内資料のやり取りに社外の URL を使用していないか。

秘密鍵のオフライン環境での保管

暗号資産への不正アクセスを防止するため、秘密鍵をインターネットから切り離されたハードウェアウォレット等のデバイス上などで保管する。

(2) この種のサイバー攻撃に対して効果的な対策

○ 電子メールに関する対策の実装

システム管理者等においては、電子メールの添付ファイルやハイパーリンクのスキャンを行う。

ドメインとの通信に関する対策の実装

レピュテーションの低いドメインや登録後間もないドメインとの通信について確認や制限を行う。

アプリケーションセキュリティの強化

マルウェア感染のリスクを低減するため、システム管理者等は、アプリケーション許可リストを用いて、許可されていないプログラムの実行を禁止する。また、Office ファイルのマクロ機能については、必要がなければ無効にする。

(3) 多様な手法、手口に備えたその他の一般的な対策

○ セキュリティパッチ管理の適切な実施

ソフトウェアや機器の脆弱性に対して、迅速にセキュリティパッチを適用する。パッチ適用を可能な限り迅速化し、適用漏れをなくすため、脆弱性管理やパッチ管理を行うプログラムの導入を検討する。

端末の保護(いわゆるエンドポイント・プロテクション等)

端末(PC、タブレット端末、スマートフォン等)のセキュリティ機能の活用や、セキュリティ対策ソフトの導入を行う。

ソフトウェア等の適切な管理・運用、ネットワーク・セグメンテーション

ソフトウェア及び機器のリストを管理し、不要と判断するものは排除する。また役割等に基づいてネットワークを分割する。

本人認証の強化、多要素認証の実装

パスワードスプレー攻撃やブルートフォース攻撃によって認証が破られるリスクを低減するために、パスワードは十分に長く複雑なものを設定する。また、複数の機器やサービスで使い回さない。システム管理者等においては、多要素認証を導入し本人認証をより強化する。また、不正アクセスを早期に検知できるようにするために、ログイン試行を監視する。

アカウント等の権限の適切な管理・運用

アカウントやサービスの権限はそのアカウント等を必要とする業務担当者にのみ付与する。特権アカウント等の管理・運用には特に留意する。

侵害の継続的な監視

ネットワーク内で不審な活動が行われていないか継続的に監視を行う。たとえば、業務担当者以外がシステムやネットワークの構成に関する資料へアクセスするといった通常の行動から外れた活動や、外部の様々な脅威情報と一致するような不審な活動の監視を行う。

インシデント対応計画、システム復旧計画の作成等

インシデント発生時に迅速な対応をとれるように、インシデント対応の手順や関係各所との連絡方法等を記した対応計画を予め作成し、随時見直しや演習を行う。また包括的な事業継続計画の一部としてシステム復旧計画の作成等を行う。

フィッシングサイトへの注意

     暗号資産取引所等を装ったフィッシングサイトに注意を払う。企業・組織等において自社を装ったフィッシングサイトを把握した場合は、利用者等への注意喚起を行う。

 

【参考資料】

「安保理決議に基づく対北朝鮮措置に関する中間報告書(2022)」(令和4年10月7日公表国連安保理北朝鮮制裁委員会専門家パネル)                  

https://undocs.org/S/2022/668

TraderTraitor: North Korean State-Sponsored APT Targets Blockchain Companies」(令和4年4月18日)

https://www.cisa.gov/uscert/ncas/alerts/aa22-108a

AppleJeus: Analysis of North Korea’s Cryptocurrency Malware」(令和3年2月17日)

https://www.cisa.gov/uscert/ncas/alerts/aa21-048a

「現下の情勢を踏まえたサイバーセキュリティ対策の強化について(注意喚起)」(令和4年3月24日 経済産業省、総務省、警察庁、NISC

https://www.nisc.go.jp/pdf/press/20220324NISC press.pdf 

「サイバーセキュリティ対策の強化について(注意喚起)」(令和4年3月1日 経済産業省、金融庁、総務省、厚生労働省、国土交通省、警察庁、NISC

https://www.nisc.go.jp/pdf/press/20220301NISC press.pdf

「昨今の情勢を踏まえたサイバーセキュリティ対策の強化について(注意喚起)」(令和4年2月23日 経済産業省)

https://www.meti.go.jp/press/2021/02/20220221003/20220221003-1.pdf


 

 

 

| | Comments (0)

経団連 サイバーセキュリティ経営宣言 2.0 (2022.10.11)

こんにちは、丸山満彦です。

経団連が、2022.10.11に政党の政策評価を含めて色々と発表していますが、、、それに混じって?「経団連サイバーセキュリティ経営宣言 2.0」を発表していますね。。。2018年に初版を発表しているので、4年ぶりの改訂ということですかね。。。

オリンピックを意識した書き方は無くして、DX推し、サプライチェーン推し、って感じでしょうか???

 

日本経済団体連合会

・2022.10.11 経団連サイバーセキュリティ経営宣言 2.0

・[PDF

20221015-70038

初版との比較を。。。

経団連サイバーセキュリティ経営宣言 2.0 経団連サイバーセキュリティ経営宣言
2022.10.11 2018.03.16
新型コロナウイルス感染症を受けた社会経済活動の変容やデジタルトランスフォーメーション(DX)の進展に伴い、各産業にとどまらず社会全体でサイバー空間とフィジカル空間の融合が進んでいる。一方、サイバー攻撃を受けた際の被害がフィジカル空間にも波及し、事業活動や国民生活に甚大な影響を及ぼす事例が後を絶たない。取引先や海外子会社等のサプライチェーンを経由したサイバー攻撃も増加傾向にある。また、地政学的緊張の高まりがサイバー空間にも波及する中、サイバーセキュリティは国家安全保障に関わる最重要領域の一つとなっている。 最新テクノロジーとデータを活用して社会全体の生産性向上と課題解決を図る「Society 5.0」に向け、あらゆる場面でITとの融合が進む一方、サイバー空間の秩序や安全に脅威を与える、著しい悪意を持った行為も多発している。いまやすべての企業にとって価値創造とリスクマネジメントの両面からサイバーセキュリティ対策に努めることが経営の重要課題となっている。
こうした状況下、Society 5.0 for SDGsの実現に向けた価値創造やバリューチェーンの構築、さらにはリスクマネジメントの観点から、実効あるサイバーセキュリティ対策を講じることは、いまやすべての企業にとって、経営のトッププライオリティと言っても過言ではない。 重要インフラの多くを担い、さまざまな製品やサービスを提供する経済界は、主体的に対策を講じる必要性を強く自覚する。
経済界は、全員参加でサイバーセキュリティ対策を推進し、安心・安全なサイバー空間の構築に貢献すべく、以下の事項の実践に努めることを宣言する。 経済界は、全員参加でサイバーセキュリティ対策を推進し、安心・安全なサイバー空間の構築に貢献する。サイバー攻撃が激化する2020年の東京オリンピック・パラリンピック競技大会までを重点取り組み期間として、以下の事項の実践に努めることを宣言する。
1.経営課題としての認識 1.経営課題としての認識
経営者自らが最新情勢への理解を深めることを怠らず、DXを進めるうえで必須となるサイバーセキュリティを投資と位置づけて積極的な経営に取り組む。 経営者自らが最新情勢への理解を深めることを怠らず、サイバーセキュリティを投資と位置づけて積極的な経営に取り組む。
経営者自らがデジタル化に伴うリスクと向き合い、サプライチェーン全体を俯瞰したサイバーセキュリティの強化を経営の重要課題として認識し、リーダーシップを発揮しつつ、自らの責任で対策に取り組む。 経営者自らが現実を直視してリスクと向き合い、経営の重要課題として認識し、経営者としてのリーダーシップを発揮しつつ、自らの責任で対策に取り組む。
2.経営方針の策定と意思表明 2.経営方針の策定と意思表明
特定・防御だけでなく、検知・対応・復旧も重視した上で、経営方針やインシデントからの早期回復に向けたBCP(事業継続計画)の策定を行う。 特定・防御だけでなく、検知・対応・復旧も重視した上で、経営方針やインシデントからの早期回復に向けたBCP(事業継続計画)の策定を行う。
経営者が率先して社内外のステークホルダーに意思表明を行うとともに、認識するリスクとそれに応じた取り組みを各種報告書に記載するなど開示に努める。 経営者が率先して社内外のステークホルダーに意思表明を行うとともに、認識するリスクとそれに応じた取リ組みを各種報告書に自主的に記載するなど開示に努める。
3.社内外体制の構築・対策の実施 3.社内外体制の構築・対策の実施
予算・人員等のリソースを十分に確保するとともに、社内体制を整え、人的・技術的・物理的等の必要な対策を講じる。 予算・人員等のリソースを十分に確保するとともに、社内体制を整え、人的・技術的・物理的等の必要な対策を講じる。
経営・企画管理・技術者・従業員の各層における人材育成と必要な教育を行う。 経営・企画管理・技術者・従業員の各層における人材育成と必要な教育を行う。
サイバーセキュリティ対策のガイドライン・フレームワークの活用や、政府によるサイバーセキュリティ対策支援活動との連携等を通じて、取引先や委託先、海外も含めたサプライチェーン対策に努める。 取引先や委託先、海外も含めたサプライチェーン対策に努める。
4.対策を講じた製品・システムやサービスの社会への普及 4.対策を講じた製品・システムやサービスの社会への普及
製品・システムやサービスの開発・設計・製造・提供をはじめとするさまざまな事業活動において、サイバーセキュリティ対策に努める。 製品・システムやサービスの開発・設計・製造・提供をはじめとするさまざまな事業活動において、サイバーセキュリティ対策に努める。
5.安心・安全なエコシステムの構築への貢献 5.安心・安全なエコシステムの構築への貢献
関係官庁・組織・団体等との連携のもと、各自の積極的な情報提供による情報共有や国内外における対話、人的ネットワーク構築を図る。 関係官庁・組織・団体等との連携のもと、各自の積極的な情報提供による情報共有や国内外における対話、人的ネットワーク構築を図る。
各種情報を踏まえた対策に関して注意喚起することによって、サプライチェーン全体、ひいては社会全体のサイバーセキュリティ強化に寄与する。 各種情報を踏まえた対策に関して注意喚起することによって、社会全体のサイバーセキュリティ強化に寄与する。

 

初版はこちら。。。

・2018.03.16 経団連サイバーセキュリティ経営宣言

・[PDF]

20221015-70244

 

| | Comments (0)

2022.10.14

米国 国家安全保障戦略

こんにちは、丸山満彦です。

米国が国家安全保障戦略を公表していますね。。。

3つのポイントがありますね。。。

Invest in the underlying sources and tools of American power and influence; ・米国の力と影響力の根本的な源泉と手段に投資する。
Build the strongest possible coalition of nations to enhance our collective influence to shape the global strategic environment and to solve shared challenges; and ・可能な限り強力な国家連合を構築し、世界の戦略的環境を形成し、共有する課題を解決するための我々の集団的影響力を強化する。
Modernize and strengthen our military so it is equipped for the era of strategic competition. ・わが国の軍隊を近代化・強化し、戦略的競争の時代に対応できるようにする。

 

日本もこの影響を受けるでしょうから、目を通していても良いかもですね。。。

中国は競争相手であり、協力できるところがあれば、協力するとあります。そして、ロシアも中国も党や政府とは競争するが、国民同士は仲良くやろうという感じです。。。

 

The White House

・2022.10.13 FACT SHEET: The Biden-Harris Administration’s National Security Strategy

FACT SHEET: The Biden-⁠Harris Administration’s National Security Strategy ファクトシート:バイデン-ハリス政権の国家安全保障戦略
President Biden’s National Security Strategy outlines how the United States will advance our vital interests and pursue a free, open, prosperous, and secure world. We will leverage all elements of our national power to outcompete our strategic competitors; tackle shared challenges; and shape the rules of the road. バイデン大統領の国家安全保障戦略は、米国がいかにして重要な利益を推進し、自由で開かれた、繁栄し、安全な世界を追求するかを概説している。我々は、戦略的な競争相手に打ち勝つために国力のあらゆる要素を活用し、共有の課題に取り組み、世界のルールを形成していく。
The Strategy is rooted in our national interests: to protect the security of the American people, to expand economic opportunity, and to realize and defend the democratic values at the heart of the American way of life. In pursuit of these objectives, we will: この戦略は、米国民の安全を守り、経済的機会を拡大し、米国の生活様式の中核にある民主的価値を実現し、守る、という我々の国益に根ざしている。これらの目標を達成するために、我々は以下のことを行う。
Invest in the underlying sources and tools of American power and influence; ・米国の力と影響力の根本的な源泉と手段に投資する。
Build the strongest possible coalition of nations to enhance our collective influence to shape the global strategic environment and to solve shared challenges; and ・可能な限り強力な国家連合を構築し、世界の戦略的環境を形成し、共有する課題を解決するための我々の集団的影響力を強化する。
Modernize and strengthen our military so it is equipped for the era of strategic competition. ・わが国の軍隊を近代化・強化し、戦略的競争の時代に対応できるようにする。
COOPERATION IN THE AGE OF COMPETITION 競争時代における協力
In the early years of this decisive decade, the terms of geopolitical competition will be set while the window of opportunity to deal with shared challenges will narrow. We cannot compete successfully to shape the international order unless we have an affirmative plan to tackle shared challenges, and we cannot do that unless we recognize how heightened competition affects cooperation and act accordingly. この決定的な 10 年の初期には、地政学的競争の条件が設定される一方で、共通の課題に対処する機会 の窓は狭くなる。我々は、共有する課題に取り組むための確たる計画を持たない限り、国際秩序を形成するための競争を成功させることはできない。また、競争の激化が協力にどのような影響を及ぼすかを認識し、それに従って行動しない限り、それを実現することはできない。
Strategic Competition. The most pressing strategic challenge we face as we pursue a free, open, prosperous, and secure world are from powers that layer authoritarian governance with a revisionist foreign policy. 戦略的競争。 自由で開かれた、繁栄した、安全な世界を追求するうえで、われわれが直面する最も差し迫った戦略的課題は、権威主義的統治と修正主義的外交政策を重ねる大国によるものである。
・We will effectively compete with the People’s Republic of China, which is the only competitor with both the intent and, increasingly, the capability to reshape the international order, while constraining a dangerous Russia. ・われわれは、中華人民共和国と効果的に競争する。中華人民共和国は、危険なロシアを抑制しつつ、国際秩序を再構築する意図と、次第にその能力を備えた唯一の競争相手である。
・Strategic competition is global, but we will avoid the temptation to view the world solely through a competitive lens, and engage countries on their own terms. ・戦略的競争はグローバルなものであるが、我々は、競争というレンズを通してのみ世界を見る誘惑を避け、それぞれの国の事情に応じた関わり方をする。
Shared Challenges. While this competition is underway, people all over the world are struggling to cope with the effects of shared challenges that cross borders—whether it is climate change, food insecurity, communicable diseases, or inflation. These shared challenges are not marginal issues that are secondary to geopolitics. They are at the very core of national and international security and must be treated as such. 課題の共有。このような競争が行われている一方で、世界中の人々は、気候変動、食糧不安、伝染病、インフレなど、国境を越えた共通の課題の影響に対処するために苦闘している。これらの課題は、地政学の二の次ではなく、国家の根幹に関わる問題である。国や国際社会の安全保障の中核をなすものであり、そのように扱われなければならない。
・We are building the strongest and broadest coalition of nations to enhance our collective capacity to solve these challenges and deliver for the American people and those around the world. ・我々は、これらの課題を解決し、米国民と世界中の人々のために成果を上げるための集団的能力を強化するため、最も強力で広範な国家連合を構築している。
・To preserve and increase international cooperation in an age of competition, we will pursue a dual-track approach. On one track, we will work with any country, including our competitors, willing to constructively address shared challenges within the rules-based international order and while working to strengthen international institutions. On the other track, we will deepen cooperation with democracies at the core of our coalition, creating a latticework of strong, resilient, and mutually reinforcing relationships that prove democracies can deliver for their people and the world. ・競争の時代にあって国際協力を維持し、拡大するために、われわれは二本立てのアプローチを追求する。一つは、ルールに基づく国際秩序の下で、国際機関の強化に努めつつ、共有する課題に建設的に取り組む意思のある国とは、競争相手を含め、いかなる国とも協力することである。もう1つは、民主主義国家との協力を深め、強固でレジリエンスの高い、相互に強化し合う格子状の関係を構築し、民主主義国家が国民と世界のために貢献できることを証明していくことである。
INVESTING AT HOME 自国への投
The Biden-Harris Administration has broken down the dividing line between domestic and foreign policy because our strength at home and abroad are inextricably linked. The challenges of our age, from strategic competition to climate change, require us to make investments that sharpen our competitive edge and bolster our resilience. バイデン-ハリス政権は、国内政策と外交政策の間の境界線を取り払った。なぜなら、国内と海外の強さは表裏一体であるからである。戦略的競争から気候変動に至るまで、この時代の課題は、競争力を高め、レジリエンスを強化するための投資を必要とする。
・Our democracy is at the core of who we are and is a continuous work in progress. Our system of government enshrines the rule of law and strives to protect the equality and dignity of all individuals. As we strive to live up to our ideals, to reckon with and remedy our shortcomings, we will inspire others around the world to do the same. ・我々の民主主義は、我々自身の核心であり、絶えず進行中の作業です。我々の政治体制は、法の支配を明文化し、すべての個人の平等と尊厳を守るよう努力しています。我々は理想を実現するために努力し、自らの欠点を認識し、それを改善することで、世界中の人々に同じことをするように刺激を与えていきます。
・We are complementing the innovative power of the private sector with a modern industrial strategy that makes strategic public investments in our workforce, strategic sectors, and supply chains, especially in critical and emerging technologies. ・我々は、労働力、戦略的分野、サプライチェーン、特に重要な新興技術に戦略的な公共投資を行う近代的な産業戦略によって、民間部門の革新力を補っている。
・A powerful U.S. military helps advance and safeguard vital U.S. national interests by backstopping diplomacy, confronting aggression, deterring conflict, projecting strength, and protecting the American people and their economic interests. We are modernizing our military, pursuing advanced technologies, and investing in our defense workforce to best position America to defend our homeland, our allies, partners, and interests overseas, and our values across the globe. ・強力な米軍は、外交を支え、侵略に立ち向かい、紛争を抑止し、力を誇示し、米国民とその経済的利益を守ることで、米国の重要な国益を促進し保護するのに役立つ。我々は、米国が母国、同盟国、パートナー、海外の利益、そして世界中の我々の価値を守るために、軍の近代化、先端技術の追求、そして国防人材への投資を進めている。
OUR ENDURING LEADERSHIP 我々の永続的なリーダーシップ
The United States will continue to lead with strength and purpose, leveraging our national advantages and the power of our alliances and partnerships. We have a tradition of transforming both domestic and foreign challenges into opportunities to spur reform and rejuvenation at home. The idea that we should compete with major autocratic powers to shape the international order enjoys broad support that is bipartisan at home and deepening abroad. 米国は、国家の優位性と同盟・パートナーシップの力を活用し、強さと目的を持ってリードし続ける。米国には、国内外の課題を、自国の改革と若返りに拍車をかける機会に変えてきた伝統がある。国際秩序を形成するために独裁的な大国と競争すべきだという考え方は、国内では超党派の幅広い支持を得ており、海外でもその傾向が強まっている。
・Our alliances and partnerships around the world are our most important strategic asset that we will deepen and modernize for the benefit of our national security. ・世界中の同盟とパートナーシップは、わが国の最も重要な戦略的資産であり、わが国の安全保障に資するよう、これを深化させ、近代化する。
・We place a premium on growing the connective tissue on technology, trade and security between our democratic allies and partners in the Indo-Pacific and Europe because we recognize that they are mutually reinforcing and the fates of the two regions are intertwined. ・我々は、インド太平洋と欧州の民主的な同盟国やパートナーとの間で、技術、貿易、安全保障に関する結合組織を拡大することに重点を置いている。なぜなら、これらは相互に補強し合い、2つの地域の運命が絡み合っていることを認識しているからである。
・We are charting new economic arrangements to deepen economic engagements with our partners and shaping the rules of the road to level the playing field and enable American workers and businesses—and those of partners and allies around the world—to thrive. ・我々は、パートナーとの経済的関与を深めるために新たな経済的取り決めを図り、競争の場を公平にし、米国の労働者と企業、そして世界中のパートナーや同盟国の企業が繁栄できるようにするための道路上の規則を形成している。
・As we deepen our partnerships around the world, we will look for more democracy, not less, to shape the future. We recognize that while autocracy is at its core brittle, democracy’s inherent capacity to transparently course-correct enables resilience and progress. ・我々は、世界中でパートナーシップを深めるとともに、未来を形作るために、より少ない民主主義ではなく、より多くの民主主義を模索する。独裁政治はその根幹において脆弱であるが、民主主義に固有の透明性のある軌道修正能力がレジリエンスと進歩を可能にすることを、我々は認識している。
AFFIRMATIVE ENGAGEMENT 積極的関与
The United States is a global power with global interests; we are stronger in each region because of our engagement in the others. We are pursuing an affirmative agenda to advance peace and security and to promote prosperity in every region. 米国は世界的な利益を有するグローバルな大国であり、他の地域への関与によって、それぞれの地域でより強くなっている。我々は、平和と安全を推進し、すべての地域において繁栄を促進するために、積極的なアジェンダを追求している。
・As an Indo-Pacific power, the United States has a vital interest in realizing a region that is open, interconnected, prosperous, secure, and resilient. We are ambitious because we know that we and our allies and partners hold a common vision for the region’s future. ・インド太平洋地域の大国として、米国は、開かれた、相互接続された、繁栄し、安全で、レジリエンスに富む地域を実現することに重大な関心を持っている。われわれが野心的であるのは、われわれと同盟国およびパートナーが、この地域の将来について共通のビジョンを持っていることを知っているからである。
・With a relationship rooted in shared democratic values, common interests, and historic ties, the transatlantic relationship is a vital platform on which many other elements of our foreign policy are built. To effectively pursue a common global agenda, we are broadening and deepening the transatlantic bond. ・共通の民主的価値観、共通の利益、そして歴史的な絆に根ざした大西洋の関係は、我々の外交政策の他の多くの要素を支える重要な基盤である。共通のグローバル・アジェンダを効果的に追求するために、我々は大西洋の絆を広げ、深めている。
・The Western Hemisphere directly impacts the United States more than any other region so we will continue to revive and deepen those partnerships to advance economic resilience, democratic stability, and citizen security. ・西半球は、他のどの地域よりも米国に直接影響を与えるため、我々は、経済的レジリエンス、民主主義の安定、および市民の安全を促進するために、こうしたパートナーシップを復活させ、深めていくつもりである。
・A more integrated Middle East that empowers our allies and partners will advance regional peace and prosperity, while reducing the resource demands the region makes on the United States over the long term. ・同盟国やパートナーに力を与える中東の統合は、地域の平和と繁栄を促進し、この地域が米国にもたらす資源需要を長期的に減少させるだろう。
・In Africa, the dynamism, innovation, and demographic growth of the region render it central to addressing complex global problems. ・アフリカは、そのダイナミズム、革新性、人口増加により、複雑な地球規模の問題に対処するための中心的な地域となっている。

 

・[PDF] NATIONAL SECURITY STRATEGY October 2022

20221014-34810

・[DOCX] [PDF] 仮訳

 

目次...

PART I: THE COMPETITION FOR WHAT COMES NEXT 第I部: 次に来るもののための競争
 Our Enduring Vision  不滅のビジョン
 Our Enduring Role  我々の変わらぬ役割
 The Nature of the Competition Between Democracies and Autocracies  民主主義国家と独裁国家の競争の本質 
 Cooperating to Address Shared Challenges in an Era of Competition  競争の時代、共通の課題に協力して取り組む 
 Overview of Our Strategic Approach  戦略的アプローチの概要
PART II: INVESTING IN OUR STRENGTH 第II部: 強さへの投資
Investing in Our National Power to Maintain a Competitive Edge 競争力を維持するための国力への投資
 Implementing a Modern Industrial and Innovation Strategy  現代的な産業・イノベーション戦略の実施
 Investing In Our People  人材への投資
 Strengthening Our Democracy  民主主義を強化する
Using Diplomacy to Build the Strongest Possible Coalitions 外交で最強の連合体を構築する
Transformative Cooperation 変革のための協力
 An Inclusive World  インクルーシブな世界
 A Prosperous World  豊かな世界
Modernizing and Strengthening Our Military 軍備の近代化と強化
PART III: OUR GLOBAL PRIORITIES 第III部: グローバルな優先課題
Out-Competing China and Constraining Russia 中国に先んじ、ロシアを抑える
 China  中国
 Russia  ロシア
Cooperating on Shared Challenges 共通の課題への協力
 Climate and Energy Security  気候変動とエネルギー安全保障
 Pandemics and Biodefense  パンデミックとバイオディフェンス
 Food Insecurity  食料不安
 Arms Control and Non-Proliferation  軍備管理・不拡散
 Terrorism  テロリズム
Shaping the Rules of the Road 道のルールを作る
 Technology  技術
 Securing Cyberspace   サイバースペースの確保
 Trade and Economics  貿易・経済
PART IV: OUR STRATEGY BY REGION 第IV部:地域別戦略
Promote a Free and Open Indo-Pacific 自由で開かれたインド太平洋を推進する
Deepen Our Alliance with Europe 欧州との提携を深める
Foster Democracy and Shared Prosperity in the Western Hemisphere 西半球の民主化と繁栄の促進
Support De-Escalation and Integration in the Middle East 中東での段階的な緩和と統合を支援する
Build 21st Century U.S.-Africa Partnerships 21世紀の米国とアフリカのパートナーシップの構築
Maintain a Peaceful Arctic 平和な北極圏を維持するために
Protect Sea, Air, and Space 海・空・宇宙を守る
PART V: CONCLUSION 第V部:結論

 

サリバン国家安全保障顧問の発言

これを読むと本質的な思いがわかるかもしれません。。。

 

・2022.10.12 Remarks by National Security Advisor Jake Sullivan on the Biden-Harris Administration’s National Security Strategy

Remarks by National Security Advisor Jake Sullivan on the Biden-⁠Harris Administration’s National Security Strategy バイデン=ハリス政権の国家安全保障戦略に関するジェイク・サリバン国家安全保障顧問の発言
Good afternoon. こんにちは。
Thank you, Dean Hellman, and thanks to Paul Scharre and the teams at Georgetown and the Center for New America Security for bringing us all together today. And Meghan, thank you for hosting our conversation, though I may want to wait until after the grilling to say thank you. ポール・シャールさんをはじめ、ジョージタウン大学と新アメリカ安全保障センターの皆さん、本日はお集まりいただきありがとうございます。そして、メーガンさん、この対談を主催してくださってありがとうございます。
We have here before us today some of the sharpest foreign policy strategists in the country, many of whom I’m privileged to call friends. 今日、私たちの前にいるのは、この国で最も鋭い外交政策戦略家たちであり、その多くは、私が友人と呼べる特権を持った人たちです。
We also have the next generation of national security leaders – the students. And, in some ways, my speech today is a job interview because I, and my colleagues, are likely going to be working for you all one of these days. また、次世代の国家安全保障のリーダーである学生たちもいる。そして、ある意味では、今日のスピーチは就職面接のようなものです。なぜなら、私も、そして私の同僚たちも、近い将来、皆さんの下で働くことになるからです。
I also want to take a moment to recognize a team without whom we not be here today, starting with the Senior Director for Strategic Planning at the NSC Tom Wright, our former Senior Director who is now at DoD, Sasha Baker, and Rebecca Lissner, who has joined the Office of the Vice President – the three of them were instrumental in putting together this National Security Strategy, and I think we should all give them a round of applause. And I’d like to thank the leadership team of the NSC, Jon Finer, Liz Sherwood-Randall, Anne Neuberger, Jake Phillips, and Mike Pyle – a team that has seen us through an incredibly turbulent and challenging time, but also a time where we were able to see these meaningful strategic opportunities, some of which we will talk about in my remarks today. NSCの戦略計画担当シニア・ディレクターのトム・ライト、前シニア・ディレクターで現在は国防総省にいるサーシャ・ベーカー、そして副大統領府に移ったレベッカ・リズナーです。この3人は、この国家安全保障戦略の策定に大きく貢献したので、全員で拍手を送りたいと思います。そして、NSCのリーダーシップ・チーム、ジョン・フィナー、リズ・シャーウッド・ランドル、アン・ノイバーガー、ジェイク・フィリップス、マイク・パイルに感謝したいと思います。このチームは、信じられないほど激動で困難な時期を乗り越えてきましたが、同時に、意義深い戦略的機会を見出すことができた時期でもあります。
And then, I’d just like to say that I’m very grateful to this community in this room representing both the future and present of our national security enterprise. It really is incredible to have the counsel and the guidance and the support of so many people who helped shape the substance of the document we are releasing today. そして、この部屋にいる、わが国の国家安全保障企業の未来と現在を代表する人たちにとても感謝していることを申し上げたいと思います。今日発表する文書の内容を形成するために、これほど多くの人々の助言と指導と支持を得られたことは、本当に素晴らしいことです。
Seventy-five years ago, in the summer of 1947, President Truman was flying home to Independence, Missouri on a C-54 transport plane nicknamed called the “Scared Cow” – I sort of wish that’s what they still called Air Force One. 75年前の1947年夏、トルーマン大統領は「恐ろしい牛」というニックネームを持つC-54輸送機でミズーリ州インディペンデンスに帰ろうとしていました。
He’s sitting on the “Scared Cow,” and nations in Europe are rebuilding from the rubble of the war, the Iron Curtain was falling, and people everywhere were reckoning with the horrors of the Holocaust. 彼が「恐ろしい牛」に座っている間、ヨーロッパの国々は戦争の瓦礫から復興し、鉄のカーテンは崩壊し、世界中の人々がホロコーストの恐怖を思い知らされることになったのです。
It was what President Biden would call an inflection point. バイデン大統領が言うところの「変曲点」でありました。
The post-war world – and America’s role in leading it – was only beginning to take shape. 戦後の世界、そしてそれをリードするアメリカの役割は、まだ形を整え始めたばかりでした。
And to make sure it did take shape in a way that represented America’s values and interests, on that very plane ride, Truman signed a law that required his administration to create a National Security Strategy—a blueprint for a new world—that the United States would build with nations around the globe. そして、戦後の世界がアメリカの価値と利益を代表するような形で形成されることを確認するために、トルーマンはまさにその飛行機の中で、アメリカが世界中の国々とともに構築する新しい世界のための青写真である国家安全保障戦略を作成するよう政府に求める法律に署名したのです。
In just a few years, guided by that first National Security Strategy, Truman would create the Marshall Plan and NATO, help Europe usher in a new era of integration, and set the terms for America’s engagement with the international community. トルーマンは、この最初の国家安全保障戦略に基づいて、わずか数年の間に、マーシャル・プランとNATOを創設し、ヨーロッパが新しい統合の時代を迎えるのを助け、アメリカの国際社会への関与の条件を設定することにな理ました。
Today, our world is once again at an inflection point. 今日、私たちの世界は再び変曲点にあります。
We are in the early years a decisive decade. 私たちは、決定的な10年の始まりの時期にいるのです。
The terms of our competition with the People’s Republic of China will be set. 中華人民共和国との競争条件が設定されることになります。
The window of opportunity to deal with shared challenges like climate change will narrow drastically, even as the intensity of those challenges grows.   気候変動のような共通の課題に対処するための機会の窓は、その課題の強度が増しているにもかかわらず、大幅に狭まるでしょう。 
So, we need to grasp our moment, just as Truman did his. だから、トルーマンがそうしたように、われわれはこの瞬間をとらえる必要があるのです。
Today, the Biden Administration is releasing our National Security Strategy. 本日、バイデン政権は国家安全保障戦略を発表します。
It touches on our plans and partners in every region of the world. It details the President’s vision of a free, open, prosperous, and secure international order. この戦略では、世界のあらゆる地域における私たちの計画やパートナーについて触れています。この戦略では、自由で開かれた、繁栄し、かつ安全な国際秩序という大統領のビジョンが詳述されています。
And it offers a roadmap for seizing this decisive decade to advance America’s vital interests, position the America and our allies to outpace our competitors, and build broad coalitions to tackle shared challenges. そして、米国の死活的利益を高め、米国と同盟国が競争相手より一歩抜け出し、共通の課題に取り組むために幅広い連合を構築するために、この決定的な10年をつかむためのロードマップを提供しています。
I’d encourage all of you to read it in full, and I hope there will be a thoughtful and robust discussion of it in the months ahead—where you agree, and where you don’t. そして、今後数カ月の間に、この文書について、同意するところとしないところを含めて、思慮深く堅実な議論が行われることを期待します。
Because the matters laid out in this document – and the execution of it – do not only belong to the U.S. Government. They belong to everyone who shares this vision worldwide. この文書に書かれていること、そしてその実行は、米国政府だけのものではありません。このビジョンを共有する世界中の人々のものなのです。
And the stakes could not be higher. The actions we take now will shape whether this decisive decade is an age of conflict and discord… or the beginning of a more prosperous and stable future. そして、その利害はこれ以上ないほど大きいのです。私たちが今取る行動は、この決定的な10年間が紛争と不和の時代となるか、あるいはより豊かで安定した未来の始まりとなるかを決定づけます。
Simply put, we face two main strategic challenges. 簡単に言えば、私たちは2つの主要な戦略的課題に直面しています。
The first is geopolitical competition. The post-Cold War era is over, and a competition is underway between the major powers to shape what comes next. 第一は、地政学的な競争です。ポスト冷戦の時代は終わり、次に来るものを形作るために、主要国の間で競争が進行中です。
The United States, we believe, is better positioned than any other nation in the world to seize this moment – to help set the rules, shore up the norms, and advance the values that will define the world we want to live in.   私たちは、米国がこの瞬間をとらえるのに、世界のどの国よりも適した立場にあると信じています。つまり、ルールを決め、規範を強化し、私たちが生きたいと思う世界を定義する価値を前進させることに貢献できるのです。
But, we are not on the field alone. しかし、私たちは単独で戦場にいるわけではありません。
The PRC’s assertiveness at home and abroad is advancing an illiberal vision across economic, political, security, and technological realms in competition with the West. It is the only competitor with both the intent to reshape the international order and the growing capacity to do it. 中国の国内外における自己主張は、経済、政治、安全保障、技術の各領域で非自由主義的なビジョンを推進し、西側諸国と競争しています。国際秩序を再構築する意図とそれを実行する能力の両方を備えた唯一の競争相手です。
Meanwhile, Russia’s war against Ukraine builds on years of growing regional aggression. Putin is making reckless nuclear threats. Willfully violating the UN Charter. Relentlessly targeting civilians. Acting with a brutality that threatens to drag us all back into the dark days of Soviet expansionism. 一方、ロシアのウクライナに対する戦争は、長年にわたる地域的な侵略の高まりの上に成り立っています。プーチンは、無謀な核の脅威を作り出しています。国連憲章を故意に破っています。民間人を容赦なく標的にしています。ソ連の拡張主義の暗黒時代に引きずり戻そうとする残忍な行為です。
The second strategic challenge we face is the sheer scale and speed of transnational challenges that do not respect borders or adhere to ideologies. 私たちが直面する第2の戦略的課題は、国境やイデオロギーにとらわれない国境を越えた挑戦の規模とスピードが非常に大きいことです。
Climate change, which is already destroying lives and livelihoods in every part of the world. Food insecurity, the energy transition. And now, as we know all too well, diseases and pandemics like COVID-19. 気候変動は、すでに世界のあらゆる地域で生命と生活を破壊しています。食糧不安、エネルギー転換。そして今、私たちがよく知っているように、COVID-19のような病気とパンデミックです。
Our strategy proceeds from the premise that the two strategic challenges – geopolitical competition and shared transnational threats – are intertwined. 私たちの戦略は、地政学的な競争と国境を越えた脅威の共有という2 つの戦略的課題が絡み合っているという前提のもとに進められます。
We cannot build the broad coalitions we need to out-compete our rivals if we sideline the issues that most directly impact the lives of billions of people. 何十億もの人々の生活に最も直接的に影響を与える問題を脇においていては、ライバルに打ち勝つために必要な幅広い連合を構築することはできないのです。
Now over the last thirty years, at various points, American strategists declared geopolitics dead. At other points, like in the last administration, cooperation on climate and other shared challenges fell by the wayside. 過去30年間、アメリカの戦略家はさまざまな局面で地政学は死んだと宣言してきました。また、前政権のように、気候変動やその他の共通の課題に関する協力が道半ばに陥った時期もありました。
In this Administration, the Biden Administration, we believe we’ve come to a point where we can and simply have to tackle both on an equal plane: geopolitical competition and shared transnational challenges. バイデン政権では、地政学的な競争と国境を越えた共通の課題、その両方に対等に取り組むことが可能であり、またそうしなければならない段階に来ていると考えています。
So, we are building a strategy fit for purpose for both competition we cannot ignore and global cooperation without which we cannot succeed. そこで、無視できない競争と、それなくしては成功できないグローバルな協力の両方について、目的に適った戦略を構築しているのです。
Now the good and bad news is that the timelines for these two challenges align. さて、良いニュースと悪いニュースは、この2つの課題のタイムラインが一致していることです。
This is a decisive decade for shaping the terms of competition, especially with the PRC. この10年間は、特に中国との競争条件を形成するための決定的な10年です。
This is a decisive decade for getting ahead of the great global challenges from climate, to disease, to emerging technology. また、気候、病気、新興技術など、地球規模の大きな課題に先手を打つための決定的な10年でもあります。
The further good news is that — despite the obvious tensions between competing vigorously while also rallying cooperation — the basic strategic moves we have to make to prevail on both of these major challenges are also the same. さらに良い知らせは、強力に競争しながらも、協力を呼びかけるという明らかな緊張関係があるにもかかわらず、これら2つの大きな課題に打ち勝つために私たちが取らなければならない基本的な戦略的行動は同じであるということです。
One, invest ambitiously and rapidly in the sources of our national strength. 1つ目は、国力の源泉に野心的かつ迅速に投資することです。
Two, mobilize the broadest coalition of nations to enhance our collective influence. 2つ目は、最も広範な国家連合を動員して、私たちの集団的影響力を強化することです。
Three, shape the rules of the road of the 21st Century economy, from technology, to cyber to trade and economics. 3つ目は、テクノロジー、サイバー、貿易、経済など、21世紀の経済のルールを形成することです。
This is how we will shape geopolitical competition to our advantage, and it is how we will shape effective cooperation on those transnational challenges I just described. これが、地政学的な競争を有利に進める方法であり、今述べたような国境を越えた課題に対する効果的な協力関係を構築する方法でもあります。
Our approach encompasses all elements of our national power—diplomacy, development cooperation, industrial strategy, economic statecraft, intelligence, and defense. 私たちのアプローチは、外交、開発協力、産業戦略、経済政策、情報、防衛など、国力のすべての要素を包含しています。
So, let me take a moment to walk through each of these three main elements of the strategy.  それでは、この戦略の3つの主要な要素について、それぞれ説明させていただきます。 
First, we are replenishing the reservoirs of our national power through targeted, far-reaching investments. まず、ターゲットを絞った広範囲な投資を通じて、国力の貯蔵庫を補充します。
A hallmark of the Biden approach is the integration of foreign policy and domestic policy and a focus on issues that spill out of these two traditional silos – supply chains, foundational technologies, the energy transition, even tax policy. バイデンアプローチの特徴は、外交政策と国内政策を統合し、サプライチェーン、基盤技術、エネルギー移行、さらには税制など、これら2つの伝統的なサイロからはみ出る問題に焦点を当てることです。
We are pursuing a modern industrial and innovation strategy to invest in our economic strength and technological edge at home, which is the deepest source of our power in the world.  私たちは、世界における私たちの力の最も深い源泉である自国の経済力と技術的優位性に投資するため、近代的な産業・イノベーション戦略を追求しています。 
Over the summer alone, President Biden signed the CHIPS and Science Act, an Executive Order on Advancing Biotechnology and Biomanufacturing Innovation, and the Inflation Reduction Act, the single largest investment in climate and clean energy solutions in history. この夏だけでも、バイデン大統領は、CHIPS および科学法、バイオテクノロジーおよびバイオ製造業イノベーションの促進に関する大統領令、インフレ抑制法に署名し、気候およびクリーンエネルギー対策への単独で史上最大の投資を行いました。
Alongside these investments, we are intensely focused on modernizing our military – the strongest fighting force the world has ever known – the foundation of our deterrence in a turbulent world. これらの投資と並行して、私たちは、激動する世界における私たちの抑止力の基盤である、世界がかつて知ることのなかった最強の戦闘力を誇る我が軍の近代化に、最大限の力を注いでいます。
And we are intensely focused on refurbishing our Intelligence Community as well, getting it the tools it needs to succeed in a fast-changing world. さらに、変化の激しい世界で成功するために必要なツールを手に入れるため、情報機関の改修にも力を注いでいます。
We must equip both our military enterprise and our intelligence enterprise for this era of strategic competition, while maintaining the capability to disrupt the terrorist threat to the American homeland. 米国本土に対するテロ脅威を阻止する能力を維持しつつ、この戦略的競争時代に備えて、軍事部門と情報部門の双方を整備する必要があります。
The war in Ukraine, as many of you have come to learn, also highlights the need for a vibrant Defense Industrial Base – one that is capable of rapid mobilization and tooled for innovation and creative adaptation. ウクライナでの戦争は、多くの人が知っているように、迅速な動員を可能にし、革新と創造的な適応のための道具を備えた、活力ある防衛産業基盤の必要性をも浮き彫りにしています。
All of these steps we take at home are force-multiplied by another core source of our American strength – our alliances. 私たちが国内で講じるこうしたすべての措置は、米国の強さのもう一つの核心的な源泉である同盟関係によって、より大きな力を発揮します。
After a period of significant distance and disjuncture with our allies, we are now more fully in lockstep with our friends than at any point in recent history. If there’s anything that’s a true hallmark of Joe Biden’s approach to the world, it is an investment in America’s alliances. 同盟国との間に大きな距離と断絶があった時期を経て、現在では最近の歴史のどの時点よりも完全に同盟国と歩調を合わせています。ジョー・バイデンの世界に対するアプローチの真の特徴があるとすれば、それはアメリカの同盟関係に対する投資です。
A few years ago, NATO was working overtime to justify its value proposition. Today, it is at the apex of its purpose and power. 数年前、NATOはその価値観を正当化することに時間をかけすぎていました。しかし今日、NATOはその目的と力の頂点にあります。
The G7 was struggling for any consensus on how to operate. Today, it is the steering committee of the free world – whether on sanctions or energy security or delivering global policy. G7は、その運営方法についてコンセンサスを得るのに苦労していました。しかし、現在では、制裁やエネルギー安全保障、世界的な政策など、自由な世界の舵取りをする委員会として機能しています。
That is through the hard work of the United States and fellow like-minded democracies, and it’s paying dividends in so many of the crises we see around the world. これは米国と同じ志を持つ民主主義国の努力によるものであり、世界中で起きている多くの危機に対して利益をもたらしています。
In the Indo-Pacific, we have reaffirmed out iron-clad commitments to our treaty allies, lifted our alliances with Japan to South Korea to Australia to new levels of vitality, and restored the Visiting Forces Agreement with the Philippines. インド太平洋地域では、条約加盟国に対する鉄壁の約束を再確認し、日本、韓国、オーストラリアとの同盟関係を新たな活力のあるレベルに引き上げ、フィリピンとの訪問部隊協定を復活させました。
We’ve elevated a new partnership of democracies – the Quad – to help drive our vision of a free and open Indo-Pacific. We’ve built a new transatlantic architecture for trade and technology cooperation with the European Union. 私たちは、自由で開かれたインド太平洋という私たちのビジョンを推進するために、民主主義国の新たなパートナーシップである「クワッド」を立ち上げました。私たちは、欧州連合(EU)と貿易・技術協力のための新しい大西洋横断アーキテクチャを構築しました。
One of the things that we are doing as we strengthen our alliances is to drive more strategic alignment between the Atlantic and the Pacific. 同盟関係を強化する中で、大西洋と太平洋の間の戦略的な整合性を高めることも行っています。
We’ve launched an innovative and far-reaching security arrangement called AUKUS with the Australia and the United Kingdom. 私たちは、オーストラリアと英国との間で、AUKUS と呼ばれる革新的で広範囲な安全保障協定を開始しました。
We included, for the first time ever, the leaders of Japan, South Korea, New Zealand, and Australia at the NATO Summit in Madrid this past June. 今年6月にマドリッドで開催されたNATO首脳会議には、史上初めて日本、韓国、ニュージーランド、オーストラリアの首脳が出席しました。
And we’re working very closely with the European Union, as each of us have formulated and now implementing our Indo-Pacific Strategies. また、欧州連合(EU)とも緊密に連携し、それぞれがインド太平洋戦略を策定し、現在、実施しているところです。
At a time when we need democracies and market economies around the world to work together, the United States has a key role to play in build out these collaborations.  世界中の民主主義国と市場経済国が協力することが必要な今、米国はこうした協力関係を構築する上で重要な役割を担っている。 
Japan and South Korea’s work with us to reroute surplus natural gas to Europe and Australia’s contribution of weapons to Ukraine are examples of how connecting the Atlantic and the Pacific is playing out in practice. 日本と韓国が余剰天然ガスを欧州に送るために協力し、オーストラリアがウクライナに武器を提供したことは、大西洋と太平洋を結ぶことが実際に行われている例です。
Now, the world’s major autocracies believe the democratic world is in decline. 現在、世界の主要な独裁国家は、民主主義世界が衰退していると考えています。
They seek to advance a very different vision —where might makes right, and technological and economic coercion squeezes anyone who steps out of line. 彼らは、全く異なるビジョン、すなわち、力が正義となり、技術的・経済的な強制力が一線を越える者を圧迫するようなビジョンを推進しようとしています。
The last year alone has demonstrated the extreme shortcomings – indeed, the fundamental fragility – of this subversive vision. 昨年だけでも、この破壊的なビジョンの極端な欠点が、いや、根本的な脆弱性が、明らかにな理ました。
And the Biden Administration has proven that a broad and powerful range of nations supports our vision of a free, open, prosperous, and secure world. そしてバイデン政権は、自由で開かれた、繁栄し、かつ安全な世界というわれわれのビジョンを、広範で強力な諸国が支持していることを証明しました。
Even if our democratic allies and partners don’t agree with us on everything, they are aligned with us. And so are many countries that do not embrace democratic institutions but nevertheless depend upon and help sustain a rules-based international system.  They don’t want to see it vanish, and they know that we are the world’s best bet to defend it. 民主的な同盟国やパートナーは、すべてにおいてわれわれと意見が一致しないとしても、われわれと足並みをそろえています。また、民主的な制度を受け入れてはいないが、それでもルールに基づく国際システムに依存し、その維持に貢献している多くの国も同様です。  彼らはこのシステムが消滅するのを見たくはないし、それを守るために私たちが世界で最も頼りになる存在であることを知っています。
That’s why the second strategic focus of President Biden’s approach is mobilizing the broadest possible coalition of nations to leverage our collective influence. だからこそ、バイデン大統領のアプローチの第2の戦略的焦点は、可能な限り広範な国々の連合を動員し、私たちの集団的影響力を活用することなのです。
Our goal is not to force our partners to fall in line with us on every issue. And we will not carve the world into rigid blocs. われわれの目標は、すべての問題についてパートナーにわれわれの意向に沿うよう強制することではありません。また、世界を硬直したブロックに切り分けることもしません。
As the President said in the UN General Assembly last month, “The United Nations Charter was not only signed by democracies of the world, it was negotiated among citizens of dozens of nations with vastly different histories and ideologies, united in their commitment to work for peace.”  大統領が先月の国連総会で述べたように、「国連憲章は世界の民主主義国が署名しただけでなく、歴史もイデオロギーも大きく異なる数十カ国の市民が、平和のために働くという約束で結束して交渉したもの」なのです。 
So, we will work with any nation prepared to stand up for the values of the UN Charter.  ですから、私たちは、国連憲章の価値を守るために立ち上がる用意のある国なら、どんな国とも協力するつもりです。 
That includes the principle of sovereignty and territorial integrity. Last March, 141 nations voted to condemn Putin’s war in the General Assembly. And only four nations stood up for Russia – Belarus, Eritrea, North Korea, and Syria. その中には、主権と領土保全の原則も含まれる。昨年3月の総会では、141カ国がプーチンの戦争を非難する票を投じました。そして、ロシアのために立ち上がったのは、ベラルーシ、エリトリア、北朝鮮、シリアの4カ国だけでした。
I know which side of that I would want to be on – what side the United States is on. 私は、米国がどちらの側にいたいか、わかっています。
This week – in fact today, while this session is ongoing – the nations of the world will vote again overwhelmingly to send another a strong, unmistakable message to Moscow:  that we reject its illegitimate and illegal acts of annexation as fundamentally inconsistent with the UN Charter. 今週、いや、実は今日、このセッションが進行している間に、世界の国々は再び圧倒的多数の投票を行い、モスクワに対してまたもや強力で紛れもないメッセージを送ることになります。すなわち、国連憲章と根本的に矛盾する、不法で違法な併合行為を拒否するというメッセージです。
The UN Charter also includes the freedom of navigation and overflight. So, we stood up the Indo-Pacific Partnership for Maritime Domain Awareness – we’re excellent at naming things in government by the way – which brings the Quad together with nations of the Pacific Islands, Southeast Asia, and the Indian Ocean to address illegal fishing practices and build capacity to respond to disasters. 国連憲章には、航行と上空の飛行の自由も含まれています。このパートナーシップは、太平洋諸島、東南アジア、インド洋の国々とともに、違法な漁業行為に対処し、災害に対応する能力を構築するためのものです。
It’s the world’s democracies working with a diverse range of governments on shared challenges that promote a common vision consistent with the terms of the UN Charter. これは、世界の民主主義国家が多様な政府とともに、国連憲章の条件に合致した共通のビジョンを推進するための共通の課題に取り組むものです。
We’re trying these flexible, creative arrangements all over the world in creative, resourceful, entrepreneurial ways. Like I2U2, which sounds a bit ridiculous by name, but is actually a fascinating new partnership with India, Israel, the United States, and the United Arab Emirates to work together in areas like water, space, health, and food security.  Or bringing the countries of the Atlantic Basin from Africa, from Europe, North America, South America together to cooperate on priorities like maritime security and the blue economy. 私たちは、このような柔軟で創造的な取り決めを、創造的で機知に富み、起業家的な方法で世界中で試みているのです。例えば、I2U2という名前は少しばかばかしいですが、実際にはインド、イスラエル、米国、アラブ首長国連邦が水、宇宙、健康、食糧安全保障などの分野で協力するための魅力的な新しいパートナーシップです。  また、大西洋盆地のアフリカ、ヨーロッパ、北米、南米の国々を結びつけ、海洋安全保障やブルーエコノミーといった優先事項で協力することもできます。
By the end of this year, in 2022 alone, the President will have hosted the leaders of the Americas, the leaders of the Pacific Islands, the leaders of ASEAN, and Africa in separate summits with a focus on practical problem-solving, from climate to food to energy to health. 今年末までに、2022年だけでも、大統領は南北アメリカの首脳、太平洋諸島の首脳、ASEANの首脳、アフリカの首脳を個別に招き、気候、食糧、エネルギー、健康に至るまで、実際的な問題解決に焦点を当てたサミットを開催する予定である。
The pace, scope, and sheer dynamism of our engagements does not give us much time to rest – but it is delivering. 私たちの活動のペース、範囲、そしてそのダイナミズムは、私たちに休む暇を与えてはくれない。
And it is particularly deep and growing in the critical realms where competition will play out most acutely in the decades to come: そして、今後数十年の間に競争が最も激しくなるであろう重要な領域で、特に深く、大きくなっています。
Foundational Technologies. Cyberspace. Trade and Economics. Investment. 基盤技術。サイバースペース。貿易と経済。投資。
That is why the third critical step to our strategy is to shape the rules of the road in these decisive domains, in this decisive decade. だからこそ、われわれの戦略の第3 の重要なステップは、この決定的な10 年間に、これらの決定的な領域における道路のルールを形成することなのです。
A few weeks ago, I laid out the fundamentals of our work to preserve American and allied technological and scientific leadership for generations to come. 数週間前、私は、米国と同盟国の技術的・科学的リーダーシップを次世代に残すための私たちの活動の基本について説明しました。
It tracks closely with what we just released in the National Security Strategy, including recharging the engine of American dynamism at home and deepening our partnerships abroad. これは、先日発表した「国家安全保障戦略」の内容と密接に関連するもので、国内ではアメリカの活力のエンジンを再充電し、海外ではパートナーシップを深めていくことを含んでいます。
This includes making sure we are doing this in a secure and effective way – securing our critical infrastructure, advancing foundational cybersecurity for critical actors from pipelines to water, and working with the private sector to improve security defenses in technology products that you all are using everyday here at Georgetown. これには、重要インフラの安全確保、パイプラインから水道に至る重要な関係者のための基礎的なサイバーセキュリティの推進、民間部門との協力による、皆さんがここジョージタウンで毎日使っている技術製品のセキュリティ防御の改善など、安全かつ効果的な方法でこれを行うことが含まれています。
We’re investing in the technologies and industries of the future to ensure these investments will withstand the next global stress test, and our investments are only as good as the steps we take to protect them, which is why cybersecurity remains so central to the approach we are taking at the National Security Council and across our government. 私たちは、未来のテクノロジーと産業に投資し、これらの投資が次のグローバルなストレステストに耐えられるようにします。私たちの投資は、それらを保護するために講じる措置によってのみ有効です。だからこそ、サイバーセキュリティは、国家安全保障会議と政府全体で取っているアプローチの中心であり続けるのです。
We are enhancing our investment screening, by providing the first formal Presidential guidance to CFIUS in the history of that committee. 私たちは、CFIUS委員会の歴史上初めてとなる大統領による正式なガイダンスを提供することにより、投資審査を強化しています。
And we are making progress in addressing outbound investments in sensitive technologies, especially technologies and investments that would not be captured by export controls and that could accelerate the capabilities of our competitors in the most sensitive areas.  また、機密性の高い技術、特に輸出規制の対象とならず、最も機密性の高い分野で競合他社の能力を加速させる可能性のある技術や投資に対するアウトバウンド投資の取り組みを進めています。 
For example, last week, we launched significant, carefully tailored restrictions on semiconductor technology exports to the PRC, focused on advanced semiconductor manufacturing tools, the most advanced chips, and supercomputing capabilities. 例えば、先週、中国への半導体技術の輸出について、高度な半導体製造装置、最先端のチップ、スーパーコンピューティング機能に焦点を当てた、慎重に調整された重要な制限を開始しました。
These restrictions are premised on straightforward national security concerns. These technologies are used to develop and field advanced military systems, including weapons of mass destruction, hypersonic missiles, autonomous systems, and mass surveillance. これらの規制は、国家安全保障に関する直接的な懸念が前提となっています。これらの技術は、大量破壊兵器、極超音速ミサイル、自律型システム、大量監視など、高度な軍事システムの開発・実戦に使用されるものです。
Many of you have heard the term “small yard, high fence” when it comes to protecting critical technologies.  The concept has been citied at think tanks and universities and conferences for years.  We are now implementing it.  重要技術の保護に関して、「小さな庭、高いフェンス」という言葉を聞いたことがある人は多いでしょう。  このコンセプトは、何年も前からシンクタンクや大学、会議などで引用されてきました。  私たちは今、それを実践しているのです。 
Chokepoints for foundational technologies have to be inside that yard, and the fence has to be high—because our strategic competitors should not be able to exploit American and allied technologies to undermine American and allied security. なぜなら、戦略的な競争相手が米国や同盟国の技術を利用して、米国や同盟国の安全保障を損なうようなことがあってはならないからです。
Alongside these efforts in the technology realm, we are charting new arrangements to shape the economic rules of the road while protecting the interests of American workers. 技術分野におけるこうした努力と並行して、私たちは、米国の労働者の利益を保護しつつ、経済的なルールを形成するための新たな取り決めを図りつつあります。
The bottom line is that we can’t just fall back on the traditional FTAs of the past.  要するに、私たちは過去の伝統的な FTA に後戻りすることはできないということです。 
We have to adapt. We have to cope with fragile supply chains, widening inequality, and the PRC’s emergence as both our most consequential competitor and our largest trading partner. 私たちは適応しなければなりません。脆弱なサプライチェーン、拡大する不平等、そして中国が私たちの最も重要な競争相手であり最大の貿易相手国として台頭してきたことに対処しなければならないのです。
So, we’re bringing American workers and international partners to the table to create a more fair and agile set of economic relationships. そこで私たちは、より公平で機敏な経済関係を構築するために、米国の労働者と国際的なパートナーをテーブルに引き入れています。
In June, in Tokyo, President Biden launched the Indo-Pacific Economic Framework, which now includes fourteen economies, accounting for more than a third of global GDP. 6 月には東京でバイデン大統領がインド太平洋経済枠組みを発足させ、現在では世界の GDP の 3 分の 1 以上を占める 14 の経済圏が参加しています。
The Americas Partnership for Economic Prosperity follows a similar model. It is designed to promote integration by charting new rules to govern trade in digital goods and services and to protect proprietary technologies. To establish early warning systems to identify bottlenecks in supply chains before they occur to set new standards on clean energy. 経済繁栄のための米州パートナーシップも同様のモデルに従っています。これは、デジタル製品やサービスの貿易を管理し、独自の技術を保護するための新しいルールを策定することで、統合を促進することを目的としています。クリーンエネルギーに関する新しい基準を設定するために、サプライチェーンのボトルネックを事前に特定するための早期警告システムを確立することです。
And President Biden’s Partnership for Global Infrastructure and Investment adopted at the G7 this summer will leverage the collective resources of the world’s democracies to mobilize hundreds of billions of dollars for high-standard, sustainable investments in the Global South. また、今夏の G7 で採択されたバイデン大統領の「グローバル・インフラと投資のためのパートナーシップ」は、世界の民主主義国の総力を結集し、「南半球」における高水準で持続可能な投資のために数千億ドルを動員するものです。
Each of these partnerships will be critical to hastening the clean energy transition, which has profound geostrategic consequences as the world weans itself off fossil fuels. これらのパートナーシップは、クリーン・エネルギーへの移行を促進するために不可欠であり、世界が化石燃料から脱却していく中で、地政学的に重大な影響を及ぼすものです。
I know that National Security Strategies often get criticized for not setting priorities. And frankly, as the United States, we can’t be overly rigid about this. Because there’s a lot happening in the world, and we have got to deal with all of it. We have to keep our eye on more than one ball at one time. 国家安全保障戦略は、しばしば優先順位を定めていないと批判されることがあります。率直に言って、米国として、この点に関して過度に厳格になることはできません。なぜなら、世界ではさまざまなことが起こっており、私たちはそのすべてに対処しなければならないからです。私たちは一度に複数のボールから目を離さないようにしなければならないのです。
The DPRK has not halted its forward progress. Iran is still advancing its nuclear program and plotting harm to Americans. Terrorist threats are more geographically diffuse than ever before. The world is anything but calm. 朝鮮民主主義人民共和国は、その前進を止めてはいません。イランは依然として核開発を進め、米国人への危害を企てています。テロリストの脅威は、かつてないほど地理的に拡散しています。世界は決して平穏ではありません。
But the document does recognize some core priorities. The PRC represents America’s most consequential geopolitical challenge. Competition with the PRC is most pronounced in the Indo-Pacific, but it is also increasingly global. しかし、この文書は、いくつかの核となる優先事項を識別しています。中国(PRC)は、米国にとって最も重大な地政学的課題です。中国との競争はインド太平洋地域で最も顕著であるが、グローバルな競争も激化しています。
From Day One of the Biden Administration, our approach has followed the same fundamentals that I have just described in the National Security Strategy, writ large. Invest in the foundations of our strength at home. Align our efforts with our network of allies and partners. And compete responsibility to defend and advance our interests and those of like-minded nations. バイデン政権の初日から、私たちのアプローチは、先ほど私が国家安全保障戦略で説明したのと同じ基本的なことを、大々的に行ってきました。自国の強さの基盤に投資します。同盟国やパートナーのネットワークと私たちの努力を一致させます。そして、自国の利益と志を同じくする国々の利益を守り、促進するために、責任をもって競争します。
Invest. Align. Compete. This is the framework that Secretary Blinken laid out in his speech on our China Strategy a few months ago. 投資する。連携する。競い合う。これは、数カ月前にブリンケン長官が中国戦略に関するスピーチで示した枠組みです。
We will engage constructively with the PRC wherever we can – not as a favor, and not in exchange for our principles – but because working together to solve common problems is what the world expects from responsible powers. And because it is in our interest. しかし、共通の問題を解決するために協力することは、世界が責任ある大国に対して期待することであるため、好意でもなければ、私たちの原則と引き換えでもありません。そして、それが私たちの利益につながるからです。
In that spirit, the National Security Strategy also recognizes that the climate crisis is the greatest of all the shared problems we face. Without immediate global action during this decisive decade, global temperatures will cross the critical warming threshold of 1.5 degrees Celsius. And after that, scientists have warned some of the most catastrophic climate impacts will be irreversible. この精神に基づき、国家安全保障戦略は、気候変動危機が、私たちが直面しているすべての共有問題の中で最大のものであることも認識しています。この決定的な10年間に早急に世界的な行動を起こさなければ、地球の気温は1.5度という決定的な温暖化のしきい値を超えてしまいます。そしてその後、最も壊滅的な気候変動の影響のいくつかは、不可逆的になると科学者たちは警告しています。
The United States will meet its global responsibility on climate, thanks to the Inflation Reduction Act. 米国は、インフレ抑制法のおかげで、気候に関する国際的な責任を果たすことができます。
And we will meet it on health, on food security, on arms control and nonproliferation. そして、健康、食糧安全保障、軍備管理、核不拡散の面でも責任を果たすでしょう。
Because we are steadfastly avoiding the temptation to see the world solely through the prism of strategic competition. なぜなら、われわれは、戦略的競争というプリズムを通してのみ世界を見ようとする誘惑を断固として回避しているからです。
We will continue to engage with countries on their own terms. We will always seek to defend, not dominate. To inspire, not impose. And we will work with any nation that is willing to protect the rules-based order and uphold international law – in every region of the world, no matter the country’s size or so-called strategic importance. 私たちは、各国とそれぞれの条件で関わり続けていきます。私たちは常に、支配するのではなく、防衛することを目指します。押し付けるのではなく、鼓舞します。そして、ルールに基づく秩序を守り、国際法を遵守する意思のある国とは、その国の規模や戦略的重要性にかかわらず、世界のどの地域でも協力します。
A more integrated Middle East that empowers our allies and partners will advance regional peace and prosperity, while reducing the demands the region makes on the United States over the long term. 同盟国やパートナーに力を与える、より統合された中東は、地域の平和と繁栄を促進すると同時に、この地域が米国にもたらす長期的な負担を軽減します。
In Africa, the dynamism and demographic growth of the region make it central to solving every single significant global challenge we face. アフリカは、そのダイナミズムと人口増加により、われわれが直面するあらゆる重要なグローバル課題の解決に中心的な役割を果たします。
And we will continue to revive and deepen our partnerships in the region that most directly impacts the United States more than any other: our own region, the Western Hemisphere. そして、米国に最も直接的に影響を与える地域、すなわち自国の地域である西半球において、パートナーシップを復活させ、深めていくことになります。
This brings me to a thought that I suspect is on your minds, just as it is on mine. ここで、私と同じように皆さんも考えているであろうことをお話しします。
And that is Ukraine. それはウクライナです。
In many ways, the strength of the international response to Russia’s brutal, unprovoked assault – its catastrophic shedding of the terms of the UN Charter – the way the world has come together to respond reveals President Biden’s National Security Strategy in action. 多くの意味で、ロシアの残忍でいわれのない攻撃、すなわち国連憲章の条項を破滅的に覆す行為に対する国際的な反応の強さは、バイデン大統領の国家安全保障戦略の実践を示すものでした。
From the moment we received the first intelligence reports in the fall and stood up a planning cell out of the West Wing, we were disciplined and determined in our strategic objectives:  秋に最初の情報報告を受け、西翼から計画室を立ち上げた瞬間から、われわれは戦略的目標に対して規律正しく、断固とした態度をとっていました。 
To help Ukraine succeed as a democratic, independent, sovereign, and prosperous state, able to deter and defend itself against further aggression. ウクライナが民主的で独立した主権国家として成功し、さらなる侵略を抑止して自らを守ることができるよう支援することです。
To avoid a direct conflict between nuclear superpowers. 核超大国間の直接対決を回避することです。
And to ensure the international system emerges from this conflict stronger rather than weaker. そして、この紛争から国際システムが弱体化するのではなく、むしろ強化されるようにすることです。
And seven months later, we are still guided by these aims.   そして7ヵ月後、私たちはまだこれらの目標に導かれています。 
We wove together a coalition of nations to help Ukrainians defend their country with enormous military, economic, and humanitarian support. 私たちは、ウクライナ人が自国を守るために、膨大な軍事的、経済的、人道的支援を行うために、国家連合を織り成しました。
We united the G7 to impose unprecedented economic costs that are squeezing Russia’s key sources of critical goods and inputs for its economy. 私たちはG7 を結束させ、前例のない経済的コストを課し、ロシア経済の重要な財や投入物の主要供給源を圧迫しています。
We’ve worked closely with our European friends to address the global ripple effects of the war, from striking an energy supply deal that helped cut dependence on Russian gas to driving new investments in food security globally. 私たちは欧州の友人たちと緊密に協力し、ロシア産ガスへの依存を減らすためのエネルギー供給契約の締結から、世界的な食糧安全保障への新たな投資の推進まで、戦争の世界的な波及効果に対処してきました。
And we have put months of quiet work to help shepherd Finland and Sweden into NATO, proving that Putin’s actions have only infused the Alliance with a sense of common purpose that it has not seen in decades. また、フィンランドとスウェーデンがNATOに加盟するために、数カ月にわたって静かな努力を重ねてきました。これは、プーチンの行動が同盟にここ数十年見られなかった共通の目的意識を吹き込んだだけであることを証明しています。
At extraordinary cost, with extraordinary bravery, the people of Ukraine can take enormous pride in knowing that Russia has gotten the exact opposite of what it expected. 並外れたコストと勇気をもって、ウクライナの人々は、ロシアが期待したものと正反対のものを手に入れたことを知り、大きな誇りを持つことができます。
And it is the bravery and courage of the people of Ukraine, with the support of the international community, that has pushed Russia back from the aim it had set out with at the start of this conflict, which was quite literally, as President Biden has said, “to wipe Ukraine off of the map.” そして、バイデン大統領が言ったように、文字通り「ウクライナを地図上から消し去る」という紛争開始時の目的からロシアを押し戻したのは、国際社会の支援を受けたウクライナ国民の勇敢さと勇気です。
At the same time, we remember how acute the risk of escalation has been throughout this conflict. How it was in those first few weeks and how real it remains. 同時に、この紛争を通じてエスカレーションの危険性がどれほど高まっていたかも忘れてはなりません。最初の数週間はそうであったし、今もそうです。
And as National Security Advisor, the risk is never out of my mind. 国家安全保障顧問として、そのリスクは私の頭から離れません。
We take the threats that President Putin is making to the international community –  and to Ukraine itself –  seriously, as we have from the outset of this war. プーチン大統領が国際社会に対して、そしてウクライナ自身に対して行っている脅威を、この戦争の当初からそうであったように、われわれは真剣に受け止めています。
We will continue to be both resolute and responsible in our actions in support of Ukraine’s freedom, its democracy, its sovereignty, its territorial integrity. 私たちは、ウクライナの自由、民主主義、主権、領土保全のために、断固とした態度で責任ある行動を取り続けます。
We will not be intimidated. We will not be knocked off course. We will continue to support Ukraine for as long as it takes. 私たちは脅かされることはありません。軌道修正されることもありません。私たちは、必要な限りウクライナを支援し続けるでしょう。
Standing here today, nearly two years into the Biden Administration, it actually can be kind of hard to look all the way back to the first day on the job. A lot has happened since then. And it can be easy to look around and see that remarkable unity and resolve of the free world today, the way it has stepped up on Ukraine and so many other issues, and say that was just the natural order of things. バイデン政権が発足して2年近くが経過し、今日ここに立ってみると、就任初日から振り返ってみるのはちょっと難しいかもしれません。それ以来、多くのことが起きています。そして、今日の自由世界の驚くべき結束と決意、ウクライナやその他多くの問題に対する歩み寄りを見て、それが自然の摂理であると言うのは簡単なことです。
But it is not necessary the natural order of things. しかし、それは自然の摂理である必要はありません。
It takes work. It takes effort. It takes strategy. 行動が必要なのです。努力も必要です。戦略も必要です。
And, against an array of steep, sharp, and dogged challenges, the United States – I believe – is today strategically well-positioned and – through our historic investments and unrelenting work we’re doing, is growing more so month-by-month. そして、険しく、鋭く、執拗な一連の挑戦に対して、米国は今日、戦略的に十分な位置を占め、歴史的な投資と私たちの行っている絶え間ない活動によって、月ごとにますます成長していると私は信じています。
That doesn’t just happen – like a rubber band springing back into shape. これは、ゴムバンドが元の形に戻るように、ただ起こることではありません。
It is the culmination of the work over 21 months to bend and build the architecture of this National Security Strategy – under the leadership of our President – to replenish our reservoir of strength at home, to rebuild and create our strategic and economic partnerships around the world and to meet every challenge we facing – whether geopolitical or transnational – from a situation of strength. これは、21カ月にわたって、大統領のリーダーシップの下で、この国家安全保障戦略の構造を曲げ、構築してきた作業の集大成であり、国内における力の貯蔵庫を補充し、世界中で戦略と経済のパートナーシップを再構築、創造し、地政学的あるいは国境を越えたものであれ、直面するあらゆる課題に強みのある状況から対処するためです。
That is what we set out to do. That is what we are trying to do every day we have the honor to hold these jobs. それが、私たちが目指したものです。このような職務に就く名誉に浴している私たちは、日々、それを実現しようとしているのです。
And I thank you very much for the opportunity to address you today.  本日は、皆様にご挨拶する機会をいただき、誠にありがとうございます。 

 

記者会見

・2022.10.13 On-the-Record Press Call by National Security Advisor Jake Sullivan Previewing the Biden-Harris Administration’s National Security Strategy

詳細な内容は...  ↓

 

Continue reading "米国 国家安全保障戦略"

| | Comments (0)

デジタル庁 Web3.0研究会 第1回 (2022.10.05) + 第2回 (2022.10.12)

こんにちは、丸山満彦です。

デジタル庁でWeb3.0研究会の資料が公開されていますね。。。

第1回の資料から。。。

【資料3】事務局説明資料の冒頭部分...


Web3.0と呼ばれる新たなテクノロジーと将来の姿(仮説)

⚫ 経済社会の中核的要素である「金融」「資産・取引」「組織」等において、ブロックチェーン技術を活用した新しいサービス・ツールが出現しはじめており、これらは既存のサービス・ツールの役割を一部技術的に補完・代替する可能性があると考えられている。

⚫ それぞれのサービス・ツールによって便益やリスク、抱える問題点は様々であり、こうした動きが、将来の経済社会にどのような影響をもたらすかは不透明。


 

20221014-00122

 


世間におけるWeb3.0への期待

組織の形(資金調達)資金・人材調達のフラット化とコーポレートガバナンスの在り方の変化

  • Web3.0/DAOにより、誰もが世界中から同時に資金や優秀な人材を容易に調達することができるように
  • 株主等のステークホルダーに限定されずプロジェクトにコミットするコミュニティ形成(インセンティブ/富の再分配の設計)が可能に
  • これにより、多様性が確保されたフラットでイノベーションを生みやすい組織を生み出せる
  • また、今まで実現が不可能であった社会課題解決の実施主体となりうる

ビジネスモデル:ビジネスモデルの変化と覇権のシフト

  • Web3.0により、アプリケーションレイヤーからプロトコルレイヤーに比重がシフト
  • 現在のGAFAのようなデータ集約的なビジネスモデルが大きな転換点を迎える
    ※ 全てが分散にシフトするというより、今まで集権的だったレイヤーが分散化し、別の集権的レイヤーが生まれ、その比重が大きくなる
  • また、Web3.0がxR技術と掛け合わされることにより、仮想空間/オンライン上で仮想通貨やトークンなどで何等かの価値交換を行えるメタバースが実現
  • デジタル空間上でリアル空間と同レベルの活動を自由に行える新たな経済圏が出現する

ルールの在り方ルールの在り方の変化

  • デジタルやソフトウェア・アーキテクチャが社会や組織の構造を一定程度、規定する時代へ
  • 現行の法律等をベースとした規制の在り方、法人の在り方を再考する必要性

さて、どんな議論になっていくのでしょうかね。。。

 All or Nothing ではないという前提で、冷静になって考える必要があるでしょうね。。。

 

デジタル庁

・2022.10.05 第1回Web3.0研究会

・2022.10.12 第2回Web3.0研究会

  • 議事次第:
  1. 開会
  2. 議事
    1. ヒアリング1(株式会社 shiftbase)
    2. ヒアリング2(エンジニア)
  3. 閉会

(資料が公開されたら、追記しますね。。。)

 


 

 あと、総務省でも、Web3時代に向けたメタバース等の利活用に関する研究会が設置されていますよね。。。Web3とWeb3.0ややこしい...

 


 

まるちゃんの情報セキュリティきまぐれ日記

・2022.10.06 BIS バーゼルIIIモニタリングレポート (暗号資産に対する銀行のエクスポージャー)(2022.09.30)

・2022.09.14 米国 MITRE Web3のセキュリティ確保とインターネットの未来への挑戦

・2022.08.02 米国 責任あるフィンテック政策を求める書簡 (1500人のコンピュータ科学者、ソフトウェアエンジニア、テクノロジストから米国議員への手紙)(2022.06.01)

・2022.07.27 米国 FBIによるNFT取引の留意事項... (2022.07.22)

・2022.07.19 インド データセキュリティ評議会 Web 3.0 - The Internet of the New Era (2022.07.06)

・2022.07.14 総務省 「Web3時代に向けたメタバース等の利活用に関する研究会」の開催

・2022.06.28 欧州議会 Think Tank メタバース:機会、リスク、政策への影響

・2022.06.13 デジタル庁 デジタル社会の実現に向けた重点計画 (2022.06.08)

・2022.06.09 新しい資本主義のグランドデザイン及び実行計画 経済財政運営と改革の基本方針2022

 

| | Comments (0)

2022.10.13

米国 White House ファクトシート: バイデン-ハリス政権が米国のサイバーセキュリティの強化に貢献

こんにちは、丸山満彦です。

ホワイトハウスが、「ファクトシート: バイデン-ハリス政権が米国のサイバーセキュリティの強化に貢献」を公表していますね。。。なんの脈絡でこの発表に繋がっているんでしたっけ。。。

主要な内容は次の11項目です。。。

Improving the cybersecurity of our critical infrastructure.   重要インフラのサイバーセキュリティを向上させる。
Ensuring new infrastructure is smart and secure.   新しいインフラがスマートで安全であることを保証する。  
Strengthening the Federal Government’s cybersecurity requirements, and raising the bar through the purchasing power of government.   連邦政府のサイバーセキュリティ要件を強化し、政府の購買力によって水準を向上させる。 
Countering ransomware attacks to protect Americans online.  ランサムウェア攻撃に対抗し、オンラインで米国人を保護する。  
Working with allies and partners to deliver a more secure cyberspace.   同盟国やパートナーと協力し、より安全なサイバースペースを実現する。 
Imposing costs on and strengthening our security against malicious actors.  悪意のある行為者に対してコストを課し、安全保障を強化する。  
Implementing internationally accepted cyber norms.   国際的に認められたサイバー規範を実施する。
Developing a new label to help Americans know their devices are secure.  アメリカ人が自分のデバイスが安全であることを知るための新しいラベルを開発する。 
Building the Nation’s cyber workforce and strengthening cyber education.   国家のサイバー人材育成とサイバー教育の強化する。
Protecting the future – from online commerce to national secrets — by developing quantum-resistant encryption.  オンライン商取引から国家機密まで、耐量子暗号の開発によって未来を守る。 
Developing our technological edge through the National Quantum Initiative and issuance of National Security Memorandum-10 (NSM-10) on Promoting United States Leadership in Quantum Computing While Mitigating Risks to Vulnerable Cryptographic Systems.   国家量子イニシアティブと、脆弱な暗号システムに対するリスクを軽減しながら量子コンピューティングにおける米国のリーダーシップを促進するための国家安全保障メモランダム-10(NSM-10)の発行を通じて、我々の技術的優位性を発展させる。

 

● The White House

・2022.10.11 FACT SHEET: Biden-Harris Administration Delivers on Strengthening America’s Cybersecurity

 

FACT SHEET: Biden-⁠Harris Administration Delivers on Strengthening America’s Cybersecurity ファクトシート: バイデン-ハリス政権が米国のサイバーセキュリティの強化に貢献
The Biden-Harris Administration has brought a relentless focus to improving the United States’ cyber defenses, building a comprehensive approach to “lock our digital doors” and take aggressive action to strengthen and safeguard our nation’s cybersecurity, including: バイデン-ハリス政権は、米国のサイバー防御の改善に絶え間ない焦点を当て、「デジタルドアをロックする」ための包括的なアプローチを構築し、以下のように米国のサイバーセキュリティを強化し保護するために積極的な行動をとってきた。
・Improving the cybersecurity of our critical infrastructure.  Much of our Nation’s critical infrastructure is owned and operated by the private sector.  The Administration has worked closely with key sectors – including transportation, banking, water, and healthcare – to help stakeholders understand cyber threats to critical systems and adopt minimum cybersecurity standards.  This includes the introduction of multiple performance-based directives by the Transportation Security Administration (TSA) to increase cybersecurity resilience for the pipeline and rail sectors, as well as a measure on cyber requirements for the aviation sector. Through the President’s National Security Memorandum 8 on Improving Cybersecurity for Critical Infrastructure Control Systems, we are issuing cybersecurity performance goals that will provide a baseline to drive investment toward the most important security outcomes.  We will continue to work with critical infrastructure owners and operators, sector by sector, to accelerate rapid cybersecurity and resilience improvements and proactive measures. ・重要インフラのサイバーセキュリティを向上させる。 我が国の重要インフラの多くは、民間企業によって所有・運営されている。 米国政府は、運輸、銀行、水、医療などの主要部門と緊密に連携し、関係者が重要なシステムに対するサイバー脅威を理解し、サイバーセキュリティの最低基準を採用できるよう支援してきた。 これには、パイプラインと鉄道セクターのサイバーセキュリティのレジリエンスを高めるための運輸保安庁(TSA)による複数のパフォーマンスベースの指令の導入や、航空セクターのサイバー要件に関する施策などが含まれる。重要インフラ制御システムのサイバーセキュリティの改善に関する大統領の国家安全保障メモランダム8を通じて、最も重要なセキュリティ成果に向けて投資を促進するための基準値を提供するサイバーセキュリティのパフォーマンス目標を発表している。 私たちは、重要インフラの所有者や運営者とセクターごとに協力し、サイバーセキュリティとレジリエンスの迅速な改善と事前対策を加速していく。
・Ensuring new infrastructure is smart and secure.  President Biden’s Bipartisan Infrastructure Law is an investment to modernize and strengthen our Nation’s infrastructure.  The Administration is ensuring that these projects, such as expanding the Nation’s network of electric-vehicle charging stations, are built to endure, meeting modern standards of safety and security, which includes cyber protections.  Investments in digital security through the Bipartisan Infrastructure Law (BIL) will also bring high-speed internet to underserved parts of the country, bridging the digital divide as well. Also the BIL, the Administration launched a first-of-its-kind cybersecurity grant program specifically for state, local, and territorial (SLT) governments across the country. The State and Local Cybersecurity Grant Program will provide $1 billion in funding to SLT partners over four years, with $185 million available for fiscal year 2022, to support SLT efforts to address cyber risk to their information systems and critical infrastructure. ・新しいインフラがスマートで安全であることを保証する。  バイデン大統領の超党派インフラ法は、我が国のインフラを近代化し強化するための投資である。  米国政府は、電気自動車の充電ステーション網の拡大など、これらのプロジェクトが、サイバー保護を含む安全性とセキュリティの近代的基準を満たし、永続的に構築されることを保証している。  超党派インフラ法(BIL)を通じたデジタル・セキュリティへの投資は、国内の十分なサービスを受けていない地域に高速インターネットをもたらし、デジタル・デバイドを解消することにもつながる。またBILでは、全米の州・地方・準州(SLT)政府を対象とした初のサイバーセキュリティ助成金プログラムを開始した。州・地域サイバーセキュリティ助成プログラムは、4年間で10億ドル、2022会計年度には1億8500万ドルを提供し、情報システムや重要インフラに対するサイバーリスクに対処するSLTの努力を支援する。
・Strengthening the Federal Government’s cybersecurity requirements, and raising the bar through the purchasing power of government.  Through the President’s Executive Order on Improving the Nation’s Cybersecurity, issued in May 2021, President Biden raised the bar for all Federal Government systems by requiring impactful cybersecurity steps, such as multifactor authentication.  The Administration also issued a strategy for Federal zero trust architecture implementation, as well as budget guidance to ensure that Federal agencies align resources to our cybersecurity goals. We are also harnessing the purchasing power of the Federal Government to improve the cybersecurity of products for the first time, by requiring security features in all software purchased by the Federal Government, which improves security for all Americans. ・連邦政府のサイバーセキュリティ要件を強化し、政府の購買力によって水準を向上させる。  2021年5月に出された「国家のサイバーセキュリティの改善に関する大統領令」を通じて、バイデン大統領は、多要素認証などのインパクトのあるサイバーセキュリティのステップを義務付けることで、すべての連邦政府システムの水準を引き上げた。  また、連邦政府のゼロ・トラスト・アーキテクチャー導入のための戦略や、連邦政府機関が我々のサイバーセキュリティ目標にリソースを合わせるための予算ガイダンスも発表された。また、連邦政府が購入するすべてのソフトウェアにセキュリティ機能を義務付けることで、連邦政府の購買力を活用し、初めて製品のサイバーセキュリティを向上させ、すべてのアメリカ人のセキュリティを向上させる。
・Countering ransomware attacks to protect Americans online.  In 2021, the Administration established the International Counter-Ransomware Initiative (CRI), bringing together partners from around the globe to address the scourge of ransomware.  The White House will host international partners October 31-November 1 to accelerate and broaden this joint work.  This group has raised collective resilience, engaged the private sector, and disrupted criminal actors and their infrastructure.  The United States has made it harder for criminals to move illicit money, sanction a series of cryptocurrency mixers used regularly by ransomware actors to collect and “clean” their illicit earnings.  A number of cyber criminals have also been successfully extradited to the United States to face justice for these crimes. ・ランサムウェア攻撃に対抗し、オンラインで米国人を保護する。  2021年、政権は「国際ランサムウェア対策イニシアチブ(CRI)」を設立し、世界中のパートナーを集めてランサムウェアの惨劇に対処している。  ホワイトハウスは、10月31日から11月1日にかけて、この共同作業を加速させ、拡大するために、国際的なパートナーを迎える。  このグループは、集団的なレジリエンスを高め、民間部門を巻き込み、犯罪行為者とそのインフラを破壊してきた。  米国は、犯罪者が不正な資金を動かすことを困難にし、ランサムウェアの実行者が不正な収益を回収して「洗浄」するために定期的に使用する一連の暗号通貨ミキサーに制裁を加えている。  また、多くのサイバー犯罪者が米国への送還に成功し、これらの犯罪に対する裁きを受けている。
・Working with allies and partners to deliver a more secure cyberspace.  In addition to launching the International Counter Ransomware Initiative, the Administration has established cyber dialogues with a breadth of allies and partners to build collective cybersecurity, formulate coordinated response, and develop cyber deterrence.  We are taking this work to our most vital alliances – for example, establishing a new virtual rapid response mechanism at NATO to ensure Allies can effectively and efficiently offer each other support in response to cyber incidents. ・同盟国やパートナーと協力し、より安全なサイバー空間を実現する。  国際的なランサムウェア対策イニシアチブの立ち上げに加え、行政は幅広い同盟国やパートナーとのサイバー対話を設け、サイバーセキュリティの構築、協調的な対応の策定、サイバー抑止力の開発を進めてきた。  例えば、サイバーインシデントへの対応において同盟国が効果的かつ効率的に支援を提供できるよう、NATOに新たな仮想迅速対応メカニズムを設置するなど、この作業を最も重要な同盟関係にも展開している。
・Imposing costs on and strengthening our security against malicious actors. The Biden-Harris Administration has not hesitated to respond forcefully to malicious cyber actors when their actions threaten American or our partner’s interests.  In April of 2021, we sanctioned Russian cyber actors affiliated with the Russian intelligence services in response to the SolarWinds attack.  We worked with allies and partners to attribute a destructive hack of the Viasat system at the beginning of Russia’s war in Ukraine.  ・悪意のある行為者に対してコストを課し、安全保障を強化する。 バイデン=ハリス政権は、悪意のあるサイバー行為者の行動が米国やパートナーの利益を脅かす場合、力強く対応することをためらわない。  2021年4月、SolarWindsの攻撃を受けて、ロシア情報機関に所属するロシアのサイバー行為者を制裁した。  私たちは同盟国やパートナーと協力し、ロシアのウクライナ戦争の始まりに、Viasatシステムの破壊的なハッキングを属性した。 
・Implementing internationally accepted cyber norms.  The Administration is committed to ensuring internationally negotiated norms are implemented to establish cyber “rules of the road.” More recently, we worked with international partners to call out Iran’s counter-normative attack on Albanian government systems and impose costs on Tehran for this act. ・国際的に認められたサイバー規範を実施する。  政権は、国際的に交渉された規範が確実に実施され、サイバー「道の規則」が確立されるよう尽力している。 最近では、国際的なパートナーと協力して、アルバニア政府のシステムに対するイランの反基準的な攻撃を呼びかけ、この行為に対してテヘランにコストを課した。
Developing a new label to help Americans know their devices are secure. This month, we will bring together companies, associations and government partners to discuss the development of a label for Internet of Things (IoT) devices so that Americans can easily recognize which devices meet the highest cybersecurity standards to protect against hacking and other cyber vulnerabilities.  By developing and rolling out a common label for products that meet by U.S. Government standards and are tested by vetted and approved entities, we will help American consumers easily identify secure tech to bring into their homes.  We are starting with some of the most common, and often most at-risk, technologies — routers and home cameras — to deliver the most impact, most quickly. アメリカ人が自分のデバイスが安全であることを知るための新しいラベルを開発する。 今月、私たちは企業、団体、政府のパートナーを集め、ハッキングやその他のサイバー脆弱性から保護するための最高のサイバーセキュリティ基準を満たした機器を米国人が容易に認識できるよう、モノのインターネット(IoT)機器のラベルの開発について議論することにしている。  米国政府の基準を満たし、審査・承認された団体によってテストされた製品に共通のラベルを開発・展開することで、米国の消費者が自宅に持ち込むべき安全な技術を簡単に見分けられるようにする。  私たちは、最も一般的で、しばしば最も危険な技術であるルーターや家庭用カメラから着手し、最も早く、最も大きな影響を与えるようにする。
Building the Nation’s cyber workforce and strengthening cyber education.  The White House hosted a National Cyber Workforce and Education Summit, bringing together leaders from government and from across the cyber community. At the Summit, the Administration announced a 120-Day Cybersecurity Apprenticeship Sprint to help provide skills-based pathways into cyber jobs. With momentum from the Summit, the Administration continues to work with partners throughout society on building our Nation’s cyber workforce, improving skills-based pathways to good-paying cyber jobs, educating Americans so that they have the skills to thrive in our increasingly digital society, and improving diversity, equity, inclusion, and accessibility (DEIA) in the cyber field . ・国家のサイバー人材育成とサイバー教育の強化する。ホワイトハウスは、「国家サイバー人材育成とサイバー教育の強化」を開催した。  ホワイトハウスは、政府およびサイバーコミュニティーのリーダーを集めて、国家サイバー人材および教育サミットを開催した。このサミットで、政府は、サイバー関連の仕事に就くためのスキルベースの道筋を提供する 120 日間のサイバーセキュリティ実習制度 Sprint を発表した。サミットの勢いに乗り、行政は社会全体のパートナーと協力して、国のサイバー労働力の構築、高収入のサイバー職へのスキルベースの経路の改善、アメリカ人の教育によるますます増えるデジタル社会で成功するためのスキル、サイバー分野での多様性、平等、包括、アクセス性 (DEIA) の改善などに引き続き取り組んでいる。
・Protecting the future – from online commerce to national secrets — by developing quantum-resistant encryption.  We all rely on encryption to help protect our data from compromise or theft by malicious actors.  Advancements in quantum computing threaten that encryption, so this summer the National Institute of Standards and Technology (NIST) announced four new encryption algorithms that will become part of NIST’s post-quantum cryptographic standard, expected to be finalized in about two years.  These algorithms are the first group of encryption tools that are designed to withstand the assault of a future quantum computer, which could potentially crack the security used to protect privacy in the digital systems we rely on every day, such as online banking and email software. ・オンライン商取引から国家機密まで、耐量子暗号の開発によって未来を守る。  私たちは皆、悪意のある人物によるデータの漏洩や盗難からデータを守るために、暗号に依存している。  このため、米国標準技術局(NIST)はこの夏、NISTが約2年後に策定する耐量子暗号標準の一部となる4つの新しい暗号化アルゴリズムを発表した。  これらのアルゴリズムは、将来の量子コンピュータの攻撃に耐えられるように設計された最初の暗号化ツール群であり、オンラインバンキングや電子メールソフトなど、私たちが日常的に利用しているデジタルシステムでプライバシー保護のために使われているセキュリティが破られる可能性がある。
・Developing our technological edge through the National Quantum Initiative and issuance of National Security Memorandum-10 (NSM-10) on Promoting United States Leadership in Quantum Computing While Mitigating Risks to Vulnerable Cryptographic Systems.  This initiative has more than doubled the United States Government’s research and development (R&D) investment in quantum technology, creating new research centers and workforce development programs across the country. NSM-10 prioritizes U.S. leadership in quantum technologies by advancing R&D efforts, forging critical partnerships, expanding the workforce, and investing in critical infrastructure; will move the Nation to quantum-resistant cryptography; and protects our investments, companies, and intellectual property as this technology develops so that the United States and our allies can benefit from this new field’s advances without being harmed by those who would use it against us. ・国家量子イニシアティブと、脆弱な暗号システムに対するリスクを軽減しながら量子コンピューティングにおける米国のリーダーシップを促進するための国家安全保障メモランダム-10(NSM-10)の発行を通じて、我々の技術的優位性を発展させる。  このイニシアティブにより、量子技術に対する米国政府の研究開発(R&D)投資は2倍以上となり、新しい研究センターや人材育成プログラムが全米に設立された。NSM-10は、研究開発の促進、重要なパートナーシップの構築、労働力の拡大、重要インフラへの投資により、量子技術における米国のリーダーシップを優先し、国家を量子耐性暗号に移行させ、この技術の発展に伴う投資、企業、知的財産を保護し、米国と同盟国がこの新しい分野の進歩から損害を受けることなく利用できるようにするものである。

 

Fig1_20210802074601

 


 

まるちゃんの情報セキュリティきまぐれ日記

・2022.10.09 米国 GAO ランサムウェア:連邦政府機関は有用な支援を提供しているが、協力体制を改善することができる

・2022.10.07 米国 NIST 国際的活動に関する最新情報:CSF2.0アップデートワークショップなど (2022.09.30)

・2022.10.06 米国 CISA 拘束的運用指令23-01 - 連邦ネットワークにおける資産の可視化と脆弱性検出の改善

・2022.09.09 米国 NSA 国家安全保障システムのための将来の耐量子(QR)アルゴリズム要件を発表

・2022.07.07 NISTIR 8413 NIST耐量子暗号標準化プロセス第3ラウンドの現状報告

・2022.05.08 NIST SP 800-161 Rev. 1 システムと組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントの実践

・2022.05.05 米国 国家量子推進諮問委員会の強化に関する大統領令

・2022.03.17 米国 バイデン大統領が歳出法案に署名ー重要インフラの所有者・運営者は、サイバー攻撃を受けた場合は72時間以内に、ランサムウェアの支払いを行った場合は24時間以内にCISAに報告することが義務付けられる...

・2022.03.15 米国 CISA 意見募集 ゼロトラスト原則のエンタープライズ・モビリティへの適用 (2022.03.07)

・2022.02.26 NIST RFI(情報要求)サイバーセキュリティフレームワーク、サプライチェーンのサイバーリスクマネジメントの改善等のために。。。

・2022.02.07 NIST ホワイトペーパー :消費者向けソフトウェアのサイバーセキュリティラベルの推奨規準

・2022.02.06 NIST ホワイトペーパー :消費者向けIoT製品のサイバーセキュリティラベルの推奨規準

・2022.02.06 NIST ホワイトペーパー: 大統領令14028条第4e項に基づくソフトウェア・サプライチェーン・セキュリティ・ガイダンス

・2022.02.06 NIST SP 800-218 セキュアソフトウェア開発フレームワーク (SSDF) Version 1.1: ソフトウェアの脆弱性のリスクを軽減するための推奨事項

・2022.01.28 米国 OMB M-22-09 米国政府のゼロトラスト・サイバーセキュリティ原則への移行についての覚書

・2022.01.24 米国 国家安全保障、国防総省、および情報コミュニティのシステムのサイバーセキュリティ向上に関する覚書

・2022.01.17 米国 GAO サイバーセキュリティ:SolarWindsおよびMicrosoft Exchangeのインシデントに対する連邦政府の対応

・2021.12.07 米国 GAO サイバーセキュリティ:国の重要インフラをより良く保護するための連邦政府の行動が緊急に求められている

・2021.11.20 米国 米下院監視改革委員会でのFBIサイバー部門アシスタントディレクターの「ハッカーを阻止し、サイバー脅威からの回復力を高めるための戦略」についての証言

・2021.11.19 米国 CISA サイバーセキュリティインシデント対応と脆弱性対応のプレイブックを発表

・2021.11.13 米国 財務省 金融犯罪捜査ネットワーク ランサムウェア及び身代金支払いのために金融システムを利用する際の勧告

・2021.11.13 米国 財務省 政府一体となったランサムウェア対策によりランサムウェア実行者と仮想通貨取引所に制裁を科す

・2021.11.12 米国 White House ハリス副大統領が宇宙とサイバーセキュリティに関する取り組みを発表(マカロン仏大統領との会談を受けて)

・2021.11.05 米国 White House 国際的なランサムウェア対策の継続的な取り組みに関する声明

・2021.10.15 米国 国家安全保障会議ランサムウェア対策イニシアチブ

・2021.10.06 米国 DHS CISA 量子コンピューティングの進展に伴うセキュリティリスクを軽減するためのガイダンス

・2021.09.27 ホワイトハウス クワッドリーダー共同声明他...サイバーもあります...

・2021.09.09 米国 CISA 意見募集 ゼロトラスト成熟度モデル

・2021.09.09 米国 CISA 意見募集 政府機関のクラウドへの移行を支援する

・2021.08.26 米国 White House バイデン大統領が「米国のサイバーセキュリティを共同で改善する」と発言していますね。。。

・2021.08.05 米国連邦議会上院 国土安全保障・政府問題委員会 「アメリカのデータは危険にさらされている」

・2021.08.02 米国 連邦政府 重要インフラ制御システムのサイバーセキュリティの向上に関する国家安全保障に関する覚書

・2021.07.20 米国、英国、欧州連合は中国が悪意あるサイバー活動を行なっていると発表していますね。。。

・2021.07.10 バイデン大統領とプーチン大統領は電話会議でランサムウェアについて話をしたようですね。。。

・2021.07.10 米国 米国経済における競争促進に関する大統領令

・2021.06.27 NIST ソフトウェアサプライチェーンにおける「クリティカル・ソフトウェア」の定義:大統領令14028に応えて...

・2021.06.13 U.S. White House 新大西洋憲章

・2021.06.13 U.S. White House 米国の機微なデータを国外の敵から保護するための大統領令

・2021.06.11 U.S. White House サプライチェーンの途絶に対処するための取り組み...

・2021.06.02 米国 国家のサイバーセキュリティ向上に関する大統領令 (EO 14028) に基づくソフトウェアサプライチェーン管理に関係して。。。

 

大統領令14028

・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令

 

| | Comments (0)

2022.10.12

金融安定理事会 (FSB) 暗号資産活動の国際的規制の枠組みの提案

こんにちは、丸山満彦です。

金融安定理事会 (FSB) が、暗号資産活動の国際的規制の枠組みの提案していますね。。。

 

Financial Stability Board: FSB

・2022.10.11 (press) FSB proposes framework for the international regulation of crypto-asset activities

FSB proposes framework for the international regulation of crypto-asset activities FSB、暗号資産活動の国際的規制の枠組みを提案
The Financial Stability Board (FSB) today published a proposed framework for the international regulation of crypto-asset activities. The core components of this framework are proposals for 金融安定理事会(FSB)は本日、暗号資産活動の国際的な規制のための枠組み案を公表した。本枠組みの中核となるのは、以下の提案である。 
i. recommendations that promote the consistency and comprehensiveness of regulatory, supervisory and oversight approaches to crypto-asset activities and markets and strengthen international cooperation, coordination and information sharing; and 暗号資産活動及び市場に対する規制・監督・監視アプローチの一貫性と包括性を促進し、国際協力・協調・情報共有を強化するための勧告。
ii. revised high-level recommendations for the regulation, supervision, and oversight of “global stablecoin” arrangements to address associated financial stability risks more effectively. 金融安定化リスクに効果的に対処するための「グローバルステーブルコイン」の規制・監督・監視に関する高水準の勧告の改訂。
The proposed recommendations are issued for public consultation. They are grounded in the principle of “same activity, same risk, same regulation”: where crypto-assets and intermediaries perform an equivalent economic function to one performed by instruments and intermediaries of the traditional financial sector, they should be subject to equivalent regulation. Regulation should also take account of novel features and specific risks of crypto-assets and address potential financial stability risks that could arise from the growing interlinkages between the crypto-asset ecosystem and the traditional financial system. 本勧告案は、公開協議のために発表されたものである。本勧告案は、「同じ活動、同じリスク、同じ規制」の原則に基づくものであり、暗号資産および仲介者が、伝統的な金融セクターの商品および仲介者と同等の経済的機能を果たす場合、同等の規制を受けるべきである。また、暗号資産の新たな特徴や特有のリスクを考慮し、暗号資産エコシステムと従来型金融システムの相互連関の高まりから生じる可能性のある金融安定リスクに対応した規制を行う必要がある。


High regulatory standards should apply to crypto-assets – such as stablecoins – that could be widely used as a means of payments and/or store of value, as they could pose significant risks to financial stability. The proposed revisions high-level recommendations for the regulation, supervision, and oversight of “global stablecoin” arrangements strengthen the requirements for users’ redemption rights and for a robust stabilisation mechanism. ステーブルコインなど、決済手段や価値貯蔵手段として広く利用される可能性のある暗号資産は、金融安定に重大なリスクをもたらす可能性があるため、高い規制基準を適用すべきである。「グローバル・ステーブルコイン」の規制、監督、監視に関するハイレベル勧告の改訂案では、利用者の換金権や強固な安定化メカニズムの要件が強化されている。
The two sets of recommendations are closely interrelated, reflecting the interlinkages between stablecoins and the broader crypto-asset ecosystem. They have been developed as stand-alone documents but are intended to work together in light of these interlinkages and to be consistent where they cover the same issues and risks 2つの勧告は、ステーブルコインと広範な暗号資産エコシステムとの相互関係を反映し、密接に関連している。これらは独立した文書として作成されたが、相互の関連性を考慮し、同じ問題やリスク を扱う場合には一貫性を持たせるよう意図している。
The FSB is soliciting comments from the public on the proposed recommendations. The framework note includes a set of questions for this purpose. The FSB encourages all interested stakeholders to participate in the consultation. Responses should be sent to fsb@fsb.org by Thursday 15 December 2022. FSBは、提案された勧告について一般からのコメントを募集している。フレームワーク・ノートには、この目的のための一連の質問が含まれている。FSBは、関心を有する全てのステークホルダーがコンサルテーションに参加することを奨励する。回答は2022年12月15日(木)までに fsb@fsb.org に送付されたい。
Notes to editors 編集後記
The reports published today stem from the FSB statement, in July 2022, which outlined the work being undertaken by the FSB and international standard-setting bodies to address the potential financial stability risks posed by crypto-assets, including so-called stablecoins. 本日公表された報告書は、2022年7月のFSB声明に端を発しており、いわゆるステーブルコインを含む暗号資産がもたらす潜在的な金融安定リスクに対処するためにFSBと国際標準設定機関が行っている作業を概説している。
The FSB published an updated assessment of risks to financial stability from crypto-assets in February 2022. The report warned that crypto-asset markets are fast evolving and could reach a point where they represent a threat to global financial stability due to their scale, structural vulnerabilities and increasing interconnectedness with the traditional financial system. FSBは2022年2月に暗号資産による金融安定化リスクの最新評価を発表した。同報告書では、暗号資産市場は急速に進化しており、その規模、構造的脆弱性、伝統的金融システムとの相互接続性の増加により、世界の金融安定に対する脅威となる段階に到達する可能性があると警告している。
The FSB coordinates at the international level the work of national financial authorities and international standard-setting bodies and develops and promotes the implementation of effective regulatory, supervisory, and other financial sector policies in the interest of financial stability. It brings together national authorities responsible for financial stability in 24 countries and jurisdictions, international financial institutions, sector-specific international groupings of regulators and supervisors, and committees of central bank experts. The FSB also conducts outreach with approximately 70 other jurisdictions through its six Regional Consultative Groups. FSBは、各国金融当局及び国際的な基準設定機関の作業を国際レベルで調整し、金融安定のために効果的な規制、監督及びその他の金融セクター政策の策定及び実施を促進する。FSBは、24の国・地域の金融安定に責任を有する各国当局、国際金融機関、規制・監督当局のセクター別の国際グループ、中央銀行の専門家による委員会を結集している。FSBはまた、6つの地域協議会(Regional Consultative Groups)を通じて、他の約70の国・地域に対してアウトリーチを行っている。
The FSB is chaired by Klaas Knot, President of De Nederlandsche Bank. The FSB Secretariat is located in Basel, Switzerland, and hosted by the Bank for International Settlements. FSBの議長はDe Nederlandsche BankのKlaas Knot総裁が務めている。FSB事務局はスイスのバーゼルにあり、国際決済銀行がホストしている。

 

・2022.10.11 International Regulation of Crypto-asset Activities: A Proposed Framework – For Consultation

International Regulation of Crypto-asset Activities: A Proposed Framework – For Consultation 暗号資産活動の国際的規制:提案されたフレームワーク-協議のために
An effective regulatory framework must ensure that crypto-asset activities are subject to comprehensive regulation, commensurate to the risks they pose, while harnessing potential benefits of the technology behind them. 効果的な規制の枠組みは、暗号資産活動が、その背後にある技術の潜在的な利益を活用しつつ、それらがもたらすリスクに見合った包括的な規制の対象となることを確保しなければならない。
Crypto-assets and markets must be subject to effective regulation and oversight commensurate with the risks they pose. Crypto-asset markets are fast evolving and could reach a point where they represent a threat to global financial stability due to their scale, structural vulnerabilities and increasing interconnectedness with the traditional financial system. The rapid evolution and international nature of these markets also raise the potential for fragmentation or arbitrage. Although the extent and nature of crypto-asset use varies somewhat across jurisdictions, financial stability risks could rapidly escalate, underscoring the need for both timely and pre-emptive evaluation of possible policy responses as well as regulatory action where existing requirements apply. 暗号資産と市場は、それらがもたらすリスクに見合った効果的な規制と監視に従わなければならない。暗号資産市場は急速に進化しており、その規模、構造的脆弱性及び伝統的金融システムとの相互接続性の増大により、世界の金融安定に対する脅威となる段階に到達する可能性がある。また、これらの市場の急速な進化と国際的な性質は、断片化または裁定取引の可能性を高める。暗号資産の利用範囲や性質は法域によって多少異なるものの、金融安定リスクは急速に拡大する可能性があり、既存の要件が適用される場合には規制措置だけでなく、可能な政策対応について適時かつ先手を打って評価することの必要性が強調された。
An effective regulatory framework must ensure that crypto-asset activities are subject to comprehensive regulation, commensurate with the risks they pose, while harnessing potential benefits of the technology behind them. Where crypto-assets and intermediaries perform an equivalent economic function to the one performed by instruments and intermediaries in the traditional financial system, they should be subject to regulations in line with the principle of “same activity, same risk, same regulation.” 効果的な規制の枠組みは、暗号資産がもたらすリスクに見合った包括的な規制の対象となり、同時に暗号技術を活用した潜在的な利益を確保するものでなければならない。暗号資産および仲介者が、伝統的な金融システムにおける商品および仲介者と同等の経済的機能を果たす場合、「同一活動、同一リスク、同一規制」の原則に沿った規制の対象とすべきである。
This report sets out: 本報告書では、以下を定めている。
・The key issues and challenges in developing a comprehensive and consistent regulatory approach that captures all types of crypto-asset activities that could give rise to financial stability risks; ・金融安定化リスクを生じさせる可能性のあるあらゆるタイプの暗号資産活動を捉える包括的で一貫性のある規制アプローチの開発における主要な問題点と課題。
・Policy initiatives at the jurisdictional and international levels; ・国・地域レベル及び国際レベルにおける政策的な取組み。
・The FSB’s proposed approach for establishing a comprehensive framework. ・包括的な枠組みを構築するためのFSBのアプローチ案。
We welcome comments from the public on our proposals and include a set of questions for this purpose. The FSB encourages all interested stakeholders to participate in the consultation. Responses should be sent to fsb@fsb.org by Thursday 15 December 2022. Responses will be published on the FSB’s website unless respondents expressly request otherwise. 我々は、我々の提案に関する一般からのコメントを歓迎し、そのための一連の質問を掲載している。FSBは、関心を有する全てのステークホルダーが本コンサルテーションに参加することを奨励する。回答は、2022年12月15日(木)までに、fsb@fsb.org。回答は、回答者から明示的な要請がない限り、FSBのウェブサイト上で公表される予定である。
The FSB’s proposals, along with the work undertaken by the standard-setting bodies (SSBs), should provide a foundation for greater consistency and cooperation among authorities’ approaches to the regulation and supervision of crypto-asset activities and markets. FSBの提案は、基準設定主体(SSBs)による作業とともに、暗号資産の活動や市場の規制・監督に対する当局のアプローチの一貫性と協力性を高めるための基盤を提供するものとなるはずである。

 


暗号資産活動の国際的規制-協議のための質問事項

・2022.10.11 International Regulation of Crypto-asset Activities - Questions for consultation

International Regulation of Crypto-asset Activities - Questions for consultation 暗号資産活動の国際的規制-協議のための質問事項
The FSB is inviting comments on its proposed set of recommendations and on the questions set out below. Responses should be sent to fsb@fsb.org by 15 December 2022. Responses will be published on the FSB’s website unless respondents expressly request otherwise. FSBは、提案された一連の勧告及び以下の質問に対するコメントを募集している。回答は 2022 年 12 月 15 日までに fsb@fsb.org 宛に送付されたい。回答は、回答者からの明確な要請がない限り、FSBのウェブサイト上で公表される予定である。
General 一般的な質問
1. Are the FSB’s proposals sufficiently comprehensive and do they cover all crypto-asset activities that pose or potentially pose risks to financial stability? 1. FSB の提案は十分に包括的であり、金融の安定にリスクをもたらす又はもたらす可能 性のある全ての暗号資産活動を対象としているか?
2. Do you agree that the requirements set out in the CA Recommendations should apply to any type of crypto-asset activities, including stablecoins, whereas certain activities, in particular those undertaken by GSC, need to be subject to additional requirements? 2. CA 勧告に示された要件は、ステーブルコインを含むあらゆるタイプの暗号資産活動に 適用されるべきであるが、特定の活動、特に GSC が行う活動については、追加要件を課す必 要があることに同意するか?
3. Is the distinction between GSC and other types of crypto-assets sufficiently clear or should the FSB adopt a more granular categorisation of crypto-assets (if so, please explain)? 3. GSC とその他の暗号資産の区別は十分明確か、それとも FSB は暗号資産のより詳細な分類 を採用すべきか(その場合は説明してほしい)。
4. Do the CA Recommendations and the GSC Recommendations each address the relevant regulatory gaps and challenges that warrant multinational responses? 4. CA 勧告と GSC 勧告は、それぞれ多国間対応を必要とする関連する規制上のギャップや課 題に対処しているか?
5. Are there any financial stability issues that remain unaddressed that should be covered in the recommendations? 5. 未対応の金融安定問題で、勧告で取り上げられるべきものはあるか?
Crypto-assets and markets (CA Recommendations) 暗号資産及び暗号市場(CA勧告)
6. Does the report accurately characterise the functions and activities within the crypto-ecosystem that pose or may pose financial stability risk? What, if any, functions, or activities are missing or should be assessed differently? 6. 本報告書は、金融安定化リスクをもたらす、あるいはもたらす可能性のある暗号エ コシステム内の機能及び活動を正確に特徴づけているか?不足している機能や活動がある場合、または別の方法で評価する必要がある場合 は、どのような機能または活動か?
7. Do you agree with the analysis of activity patterns and the associated potential risks? 7. 活動パターン及び関連する潜在的リスクの分析に同意するか?
8. Have the regulatory, supervisory and oversight issues and challenges as relate to financial stability been identified accurately? Are there other issues that warrant consideration at the international level? 8. 金融の安定に関連する規制・監督・監視上の問題や課題は正確に特定されているか?国際的なレベルで検討する必要がある他の課題はあるか?
9. Do you agree with the differentiated requirements on crypto-asset issuers and service providers in the proposed recommendations on risk management, data management and disclosure? 9. リスクマネジメント、データマネジメント及び開示に関する勧告案において、暗号資産発行 者及びサービスプロバイダーに対する差別化された要件に同意するか?
10. Should there be a more granular differentiation within the recommendations between different types of intermediaries or service providers in light of the risks they pose? If so, please explain. 10. 仲介者やサービスプロバイダがもたらすリスクを考慮し、勧告の中でよりきめ細かい差別化を行うべきであるか?もしそうであれば、説明すること。
Global stablecoins (GSC Recommendations) グローバルステーブルコイン(GSC 勧告)について
11. Does the report provide an accurate analysis of recent market developments and existing stablecoins? What, if anything, is missing in the analysis or should be assessed differently? 11. 本レポートは、最近の市場動向や既存のステーブルコインについて正確な分析を提供しているか?分析に欠けているもの、あるいは別の評価をすべきものがあるとすれば、それは何であるか?
12. Are there other changes or additions to the recommendations that should be considered? 12. その他、提言に検討すべき変更や追加があるか?
13. Do you have comments on the key design considerations for cross-border cooperation and information sharing arrangements presented in Annex 2? Should Annex 2 be specific to GSCs, or could it be also applicable to crypto-asset activities other than GSCs? 13. 附属書 2 に示された国境を越えた協力と情報共有の取り決めのための重要な設計上の考慮事 項についてコメントがあるか?附属書 2 は GSC に特化すべきか、それとも GSC 以外の暗号資産活動にも適用可能か?
14. Does the proposed template for common disclosure of reserve assets in Annex 3 identify the relevant information that needs to be disclosed to users and stakeholders? 14. 附属書 3 の準備資産の共通開示テンプレート案は、利用者や利害関係者に開示すべき関連情報 を特定できているか?
15. Do you have comments on the elements that could be used to determine whether a stablecoin qualifies as a GSC presented in Annex 4? 15. 附属書 4 に提示されたステーブルコインが GSC に該当するかどうかを判断するた めに使用できる要素についてコメントはあるか?

 

・2022.10.11 [PDF] International Regulation of Crypto-asset Activities  A proposed framework – for consultation

20221012-41828

 

Table of Contents 目次
Overview 概要
1. Issues and challenges for regulation and supervision 1. 規制・監督上の問題点と課題
2. Policy initiatives at international and jurisdictional levels 2. 国際レベル、各国レベルの政策的取り組み
3. The FSB’s proposed approach for establishing a comprehensive regulatory framework 3. 包括的な規制の枠組みを構築するためのFSBのアプローチ(案)
4. Way forward 4. 今後の進め方

 


 

暗号資産活動及び市場の規制、監督及び監視:諮問報告書

 

・2022.10.11 Regulation, Supervision and Oversight of Crypto-Asset Activities and Markets: Consultative Report

Regulation, Supervision and Oversight of Crypto-Asset Activities and Markets: Consultative Report 暗号資産活動及び市場の規制、監督及び監視:諮問報告書
Effective regulatory and supervisory frameworks should be based on the principle of “same activity, same risk, same regulation”. 効果的な規制・監督フレームワークは、「同じ活動、同じリスク、同じ規制」の原則に基づくべきである。
In 2022, The FSB, as mandated by the G20, has examined regulatory and supervisory issues raised by crypto-asset activities with a focus to address financial stability risks. Building on a comprehensive analysis of market structure, an extensive survey on national regulatory approaches, and an assessment of challenges and gaps, the FSB proposed high-level recommendations to promote a consistent regulatory framework. 2022年、FSBはG20の委任を受け、金融安定化リスクへの対処に焦点を当て、暗号資産活動によって生じる規制・監督上の問題を検討した。FSBは、市場構造の包括的な分析、各国の規制アプローチに関する広範な調査、課題およびギャップの評価に基づき、一貫した規制の枠組みを促進するためのハイレベルな提言を行った。
This report describes outcomes of these initiatives, covering: 本報告書は、これらの取組みの成果を説明するものである。
・Essential activities and interconnectedness of crypto-asset markets; ・暗号資産市場の本質的な活動及び相互関連性
・Applicable international standards and regulatory and supervisory approaches to crypto-asset activities; ・暗号資産に適用される国際基準及び規制・監督上のアプローチ
・Issues and challenges as well as potential gaps in regulatory, supervisory and oversight approaches to crypto-asset activities; ・暗号資産活動に対する規制・監督・監視アプローチにおける問題点や課題、潜在的なギャップ。
・A set of nine high-level recommendations. ・9つのハイレベル勧告
The high-level recommendations seek to promote the consistency and comprehensiveness of regulatory, supervisory and oversight approaches to crypto-asset activities and markets, and to strengthen international cooperation, coordination and information sharing. The recommendations apply to any type of crypto-asset activities and associated issuers, service providers that may pose risks to financial stability, and are in complement with the high-level Recommendations on global stablecoin arrangements. ハイレベル勧告では、暗号資産活動や市場に対する規制・監督・監視アプローチの一貫性と包括性を促進し、国際協力、調整、情報共有を強化することを目的としている。本勧告は、金融の安定にリスクをもたらす可能性のあるあらゆるタイプの暗号資産活動、関連する発行体、サービス・プロバイダーに適用され、グローバルなステーブルコインの取り決めに関するハイレベル勧告と補完関係にある。
The FSB has been working closely with the International Monetary Fund (IMF), World Bank, the Basel Committee on Banking Supervision (BCBS), the Committee on Payments and Market Infrastructures (CPMI), the International Organization of Securities Commissions (IOSCO), and the Financial Action Task force (FATF) to ensure that the work underway regarding the monitoring and regulation of crypto-asset activities and markets is coordinated and mutually supportive. FSBは、国際通貨基金(IMF)、世界銀行、バーゼル銀行監督委員会(BCBS)、支払・市場インフラ委員会(CPMI)、証券監督者国際機構(IOSCO)、金融活動作業部会(FATF)と緊密に連携し、 暗号資産活動や市場の監視・規制に関する作業が協調・相互支援できるように取り組んでいるところである。
The FSB is soliciting comments from the public on these recommendations. A set of questions for this purpose are included in its proposed framework. The FSB encourages all interested stakeholders to participate in the consultation. Responses should be sent to fsb@fsb.org by Thursday 15 December 2022. Responses will be published on the FSB’s website unless respondents expressly request otherwise. FSBは、本提言について一般からのコメントを募集している。このための一連の質問は、提案されているフレームワークに含まれている。FSBは、関心を有する全てのステークホルダーが本コンサルテーションに参加することを推奨する。回答は、2022年12月15日(木)までに、fsb@fsb.org。回答は、回答者の明示的な要請がない限り、FSBのウェブサイト上で公表される予定である。

 

9つの推奨事項案

暗号資産活動及び市場の規制、監督及び監視のための推奨事項案

Proposed recommendations for the regulation, supervision and oversight of crypto-asset activities and markets 暗号資産活動及び市場の規制、監督及び監視のための推奨事項案
1. Authorities should have the appropriate powers and tools, and adequate resources, to regulate, supervise, and oversee crypto-asset activities and markets, including crypto-asset issuers and service providers, as appropriate. 1. 当局は、暗号資産発行者及びサービスプロバイダを含む暗号資産活動及び市場を規制、 監督及び監視するために、適切な権限及び手段を有し、かつ適切なリソースを有するべきであ る。
2. Authorities should apply effective regulation, supervision, and oversight to crypto-asset activities and markets – including crypto-asset issuers and service providers – proportionate to the financial stability risk they pose, or potentially pose, in line with the principle “same activity, same risk, same regulation.” 2. 当局は、暗号資産発行者及びサービスプロバイダを含む暗号資産活動及び市場に対し、 「同じ活動、同じリスク、同じ規制」の原則に則り、それらがもたらす、あるいはもたらす 可能性のある金融安定リスクに見合った効果的な規制、監督及び監視を適用すべきである。
3. Authorities should cooperate and coordinate with each other, both domestically and internationally, to foster efficient and effective communication, information sharing and consultation in order to support each other as appropriate in fulfilling their respective mandates and to encourage consistency of regulatory and supervisory outcomes. 3. 当局は、国内外において、効率的かつ効果的なコミュニケーション、情報共有、協議を促進し、それぞれのマンデートの遂行を適切に支援するとともに、規制・監督上の成果の一貫性を促すために協力・連携すべきである。
4. Authorities, as appropriate, should require that crypto-asset issuers and service providers have in place and disclose a comprehensive governance framework. The governance framework should be proportionate to their risk, size, complexity and systemic importance, and to the financial stability risk that may be posed by the activity or market in which the crypto-asset issuers and service providers are participating. It should provide for clear and direct lines of responsibility and accountability for the functions and activities they are conducting. 4. 当局は、暗号資産発行者及びサービスプロバイダに対し、適宜、包括的なガバナンスの枠組 みを整備し、開示するよう求めるべきである。ガバナンスの枠組みは、リスク、規模、複雑性、システム上の重要性、及び暗号資産発行 者やサービス提供者が参加する活動や市場がもたらす金融安定リスクに見合ったものであるべき である。また、発行者及びサービスプロバイダが行う機能及び活動に対して、明確かつ直接的な責任と説明 責任を規定すること。
5. Authorities, as appropriate, should require crypto-asset service providers to have an effective risk management framework that comprehensively addresses all material risks associated with their activities. The framework should be proportionate to their risk, size, complexity, and systemic importance, and to the financial stability risk that may be posed by the activity or market in which they are participating. Authorities should, to the extent necessary to achieve regulatory outcomes comparable to those in traditional finance, require crypto-asset issuers to address the financial stability risk that may be posed by the activity or market in which they are participating. 5.当局は、適宜、暗号資産サービスプロバイダに対し、その活動に関連する全ての重要な リスクに包括的に対処する効果的なリスクマネジメントの枠組みを求めるべきである。その枠組みは、当該事業者のリスク、規模、複雑性、システム上の重要性、及び当該 事業者が参加している活動や市場がもたらす可能性のある金融安定リスクに見合ったものであ るべきである。当局は、伝統的な金融と同等の規制成果を得るために必要な範囲で、暗号資産発行者に 対し、参加する活動や市場がもたらす可能性のある金融安定リスクに対処することを求め るべきである。
6. Authorities, as appropriate, should require that crypto-asset issuers and service providers have in place robust frameworks for collecting, storing, safeguarding, and the timely and accurate reporting of data, including relevant policies, procedures and infrastructures needed, in each case proportionate to their risk, size, complexity and systemic importance. Authorities should have access to the data as necessary and appropriate to fulfil their regulatory, supervisory and oversight mandates. 6. 暗号資産発行者及びサービスプロバイダに対し、リスク、規模、複雑性、システム上の重要性に 応じて、データの収集、保管、保護、適時かつ正確な報告のための強固な枠組み(関連す る方針、手順、インフラを含む)を設けるよう、必要に応じて当局が要求すること。当局は、規制、監督及び監視のマンデートを遂行するために、必要かつ適切なデータへのアクセス権を有するべきである。
7. Authorities should require that crypto-asset issuers and service providers disclose to users and relevant stakeholders comprehensive, clear and transparent information regarding their operations, risk profiles and financial conditions, as well as the products they provide and activities they conduct. 7. 当局は、暗号資産発行者及びサービスプロバイダーに対し、その業務、リスクプロファイル、 財務状況、提供する商品及び活動に関する包括的、明確かつ透明な情報を利用者及び関係者に開示 するよう求めるべきである。
8. Authorities should identify and monitor the relevant interconnections, both within the crypto-asset ecosystem, as well as between the crypto-asset ecosystem and the wider financial system. Authorities should address financial stability risks that arise from these interconnections and interdependencies. 8. 当局は、暗号資産エコシステム内、暗号資産エコシステムと広範な金融システム間の 関連する相互接続を特定し、監視する必要がある。当局は、これらの相互関連性及び相互依存性から生じる金融安定リスクに対処すること。
9. Authorities should ensure that crypto-asset service providers that combine multiple functions and activities, for example crypto-asset trading platforms, are subject to regulation, supervision and oversight that comprehensively address the risks associated with individual functions as well as the risks arising from the combination of functions, including requirements to separate certain functions and activities, as appropriate. 9. 暗号資産取引プラットフォームなど、複数の機能・活動を組み合わせる暗号資産サービス プロバイダーは、必要に応じて特定の機能・活動を分離する要件など、個々の機能に関連 するリスクと機能の組み合わせから生じるリスクに包括的に対処する規制・監督・監視の対象となることを確保する。

 

・2022.10.11 [PDF] Regulation, Supervision and Oversight of Crypto-Asset Activities and Markets Consultative document

20221012-110817

Introduction はじめに
1. Crypto-assets and markets: activities and interconnectedness 1. 暗号資産と市場:活動内容と相互関連性
1.1. Crypto-asset markets: essential functions and activities 1.1. 暗号資産市場:本質的な機能と活動
1.2. Interconnectedness within the crypto-asset market 1.2. 暗号資産市場内の相互関連性
1.3. Interconnectedness with the wider financial system 1.3. 広範な金融システムとの相互関連性
2. Development of regulatory and supervisory approaches and standards 2. 規制・監督上のアプローチ及び基準の策定
2.1. International standards and policies 2.1. 国際的な基準及び政策
2.2. Regulatory and supervisory approaches at the jurisdictional level 2.2. 管轄区域レベルでの規制・監督アプローチ
3. Issues and challenges in regulating and supervising crypto-asset activities and markets 3. 暗号資産活動や市場の規制・監督における問題点・課題
3.1. Regulatory powers and coverage 3.1. 規制の権限と適用範囲
3.2. DeFi protocols, non-identifiable entities and governance 3.2. DeFiプロトコル、非識別化エンティティ、ガバナンス
3.3. Cross-border cooperation 3.3. 国境を越えた協力
3.4. Risk management related to wallets and custody services 3.4. ウォレットとカストディサービスに関連するリスクマネジメント.
3.5. Risk management related to trading, lending and borrowing 3.5. 取引・貸借に関するリスクマネジメント
3.6. Data management and disclosure 3.6. データの管理及び開示
3.7. Combination of multiple functions within a single service provider 3.7. 1つのサービスプロバイダー内で複数の機能を組み合わせること
4. Proposed recommendations for the regulation, supervision and oversight of cryptoasset activities and markets 4. 暗号資産活動及び市場の規制、監督、監視に関する提言の提案
4.1. Objectives and scope 4.1. 目的及び範囲
4.2. Follow-up and review 4.2. フォローアップとレビュー
4.3. Proposed Recommendations 4.3. 推奨事項の提案
Annex 1: Essential functions, risks and relevant international standards 附属書1:必須機能、リスク及び関連する国際基準
Annex 2: Study of features of existing crypto-asset trading platforms and DeFi protocols 附属書2:既存の暗号資産取引プラットフォーム及びDeFiプロトコルの特徴に関する研究
Annex 3: Summary of stock-take survey feedback 附属書3:ストックテイク調査フィードバック概要
Annex 4: Update of initiative of SSBs 附属書4:SSBの取り組みに関する最新情報
Glossary 用語集

 

 


 

 

・2022.10.11 Review of the FSB High-level Recommendations of the Regulation, Supervision and Oversight of “Global Stablecoin” Arrangements: Consultative Report

Review of the FSB High-level Recommendations of the Regulation, Supervision and Oversight of “Global Stablecoin” Arrangements: Consultative Report 「グローバル・ステーブルコイン」の規制・監督・監視に関する FSB ハイレベル勧告の見直し:諮問報告書
High regulatory standards are required in particular for crypto-assets – such as stablecoins – that could be widely used as a means of payments and/or store of value, as they could pose significant risks to financial stability. 特に、決済手段および/または価値貯蔵手段として広く利用される可能性のある暗号資産-ステーブルコインなど-については、金融安定に重大なリスクをもたらす可能性があるため、高い規制基準が求められている。
In October 2020, the FSB issued a report with a set of 10 high-level recommendations on the regulation, supervision and oversight of so-called “global stablecoin” (GSC) arrangements (“High-level Recommendations”). 2020 年 10 月に FSB は、いわゆる「グローバルステーブルコイン」(GSC)の取決めの規制、 監督、監視に関する 10 のハイレベル勧告(「ハイレベル勧告」)を含む報告書を公表した。
In 2022 the FSB, in consultation with relevant international standard-setting bodies (SSBs) and international organisations, reviewed its High-level Recommendations, including how any gaps identified could be addressed by existing frameworks, considering recent market and policy developments. 2022 年に FSB は、関連する国際基準設定主体(SSBs)や国際機関と協議の上、最近の 市場や政策の進展を踏まえ、特定されたギャップが既存のフレームワークでどのように対処で きるかを含め、ハイレベル勧告の見直しを行った。
This report describes the findings from this review, covering: 本報告書は、このレビューから得られた知見を記述したものである。
・Recent market developments and the characteristics of existing stablecoins; ・最近の市場動向と既存のステーブルコインの特徴。
・Recent policy developments, including regulatory initiatives and recent work of the SSBs; and ・規制当局のイニシアティブやSSBsの最近の活動など、最近の政策展開
・Proposals to revise the High-level Recommendations. ・ハイレベル勧告の改訂に関する提案
The high-level Recommendations seek to promote consistent and effective regulation, supervision and oversight of GSCs across jurisdictions to address the potential financial stability risks posed by GSCs, both at the domestic and international level, while supporting responsible innovation and providing sufficient flexibility for jurisdictions to implement domestic approaches. ハイレベル勧告は、国内外において、GSCがもたらす潜在的な金融安定リスクに対処するため、国・地域横断的に一貫性のある効果的な規制、監督、監視を促進するとともに、責任ある革新を支援し、国・地域が国内アプローチを実施するための十分な柔軟性を提供することを目的としている。
The FSB is soliciting comments from the public on its proposals. A set of questions for this purpose are included in its proposed framework. The FSB encourages all interested stakeholders to participate in the consultation. Responses should be sent to fsb@fsb.org by Thursday 15 December 2022. Responses will be published on the FSB’s website unless respondents expressly request otherwise. FSBは、その提案について、一般からのコメントを募集している。この目的のための一連の質問は、提案されている枠組みに含まれている。FSBは、関心を有する全てのステークホルダーが本コンサルテーションに参加することを推奨する。回答は、2022年12月15日(木)までに、fsb@fsb.org。回答は、回答者が明示的に要求しない限り、FSBのウェブサイト上で公表される予定である。
The FSB aims to finalise the updated high-level recommendations by July 2023 reflecting comments received through public consultation. FSBは、パブリック・コンサルテーションを通じて受領したコメントを反映し、2023年7月までにハイレベル勧告の改訂版を最終化することを目標としている。

 

・2022.10.11 [PDF] Review of the FSB High-level Recommendations of the Regulation, Supervision and Oversight of “Global Stablecoin” Arrangements - Consultative report

20221012-105423

Introduction はじめに
1. Recent market developments 1. 最近の市場動向
1.1. Strains in crypto-asset markets and implications for stablecoins 1.1. 暗号資産市場の歪みとステーブルコインへの影響
1.2. Analysis of existing stablecoins 1.2. 既存ステーブルコインの分析
2. Recent policy developments 2. 最近の政策動向
3. Review of the High-level Recommendations 3. ハイレベル勧告の検討
3.1. Authorities’ readiness to regulate and supervise global stablecoin arrangements 3.1. グローバルなステーブルコインの取決めを規制・監督する当局の準備状況
3.2. Comprehensive oversight of GSC activities and functions 3.2. GSC の活動と機能に対する包括的な監督
3.3. Cross-border cooperation, coordination and information sharing 3.3. 国境を越えた協力、調整、情報共有
3.4. Governance structures and decentralised operations 3.4. ガバナンス体制と分権的運営
3.5. Risk management 3.5. リスクマネジメント
3.6. Data storage and access to data 3.6. データ保管とデータへのアクセス
3.7. Recovery and resolution of GSC 3.7. GSC の回復と解決
3.8. Disclosures 3.8. 情報開示
3.9. Redemption rights, stabilisation, and prudential requirements 3.9. 償還請求権、安定化、プルデンシャル要件
3.10. Conformance with regulatory, supervisory and oversight requirements before commencing operations 3.10. 業務開始前の規制・監督・監視上の要件への適合性
Annex 1: Key design considerations for cooperation and information sharing arrangements 附属書1:協力および情報共有の取り決めに関する主な設計上の考慮事項
Annex 2: Template for common disclosure of reserve assets 附属書2:準備資産の共通開示のためのテンプレート
Annex 3: Potential elements that could be used to determine whether a stablecoin qualifies as a GSC 附属書 3:ステーブルコインが GSC として適格かどうかを判断するために使用される可能性の ある要素
Annex 4: Recent policy developments 附属書 4: 最近の政策展開
Glossary 用語集

 

 


まるちゃんの情報セキュリティきまぐれ日記

金融安定理事会 (FSB)

・2022.02.21 金融安定理事会 (FSB) 「暗号資産による金融安定化リスクの評価」

・2021.10.22 金融安定理事会 (FSB) 「サイバーインシデントレポート:既存のアプローチとより広範な収斂のための次のステップ」

 

暗号資産

・2022.10.06 BIS バーゼルIIIモニタリングレポート (暗号資産に対する銀行のエクスポージャー)(2022.09.30)

・2022.09.21 米国 デジタル資産の責任ある開発に関する包括的フレームワーク (2022.09.16)

・2022.08.19 世界経済フォーラム (WEF) 暗号通貨とステーブルコインがもたらすマクロ経済への影響  (2022.07.22)

・2022.08.02 米国 責任あるフィンテック政策を求める書簡 (1500人のコンピュータ科学者、ソフトウェアエンジニア、テクノロジストから米国議員への手紙)(2022.06.01)

・2022.08.01 金融庁 寄稿 暗号資産交換所ビジネスの現状とモニタリングの方向性(金融財政事情 2022.05.17)

・2022.07.08 バーゼル銀行監督委員会:(パブコメ)銀行の暗号資産エクスポージャーのプルデンシャルな取り扱いに関する第2回協議文書を公表 (2022.06.30)

・2022.06.17 金融庁 分散型金融システムのトラストチェーンにおける技術リスクに関する研究

・2022.04.12 金融庁 「マネー・ローンダリング・テロ資金供与・拡散金融対策の現状と課題」(2022年3月)(2022.04.08)

・2022.04.05 SECが2022年度の審査強化項目を公表していますね。。。 引き続きサイバーセキュリティも含まれています。。。(2022.03.31)

・2022.04.04 米国 デジタル・ドルができる? H.R. 7231 電子通貨および安全なハードウェア(ECASH)法案

・2022.03.30 世界経済フォーラム (WEF) 暗号通貨規制:今、私たちはどこにいて、どこに向かっているのか?

・2022.03.23 企業会計基準委員会 意見募集 暗号資産(資金決済法、金商法)の発行及び保有についての論点整理と投資性ICOの会計処理・開示についての取り扱い

・2022.03.18 米国 FBIが新たに仮想資産課 (VAU) を設立...

・2022.03.10 米国 デジタル資産の責任ある開発を確保するための大統領令

・2022.02.21 金融安定理事会 (FSB) 「暗号資産による金融安定化リスクの評価」

・2021.11.18 金融庁 「デジタル・分散型金融への対応のあり方等に関する研究会」中間論点整理を公表

・2021.09.29 Cloud Security Alliance ブロックチェーン攻撃、脆弱性と弱点トップ10

・2021.09.26 中国 人民銀行等 仮想通貨取引における投機リスクの更なる防止・対処に関する通知

・2021.09.25 中国 国家発展改革委員会などが仮想通貨の「マイニング」を規制

・2021.09.20 米国 SEC長官の上院での証言(1) 暗号資産に関して「私たちはもっとうまくやれるはず」

・2021.08.23 リキッドグループのQUOINE株式会社および海外関係会社での暗号資産流出(100億円以上?)

・2021.04.14 Cloud Security Alliance 暗号資産交換セキュリティガイドライン

・2021.03.21 金融活動作業部会 仮想資産および仮想資産サービスプロバイダーへのリスクベースアプローチに関するガイダンスの更新草案を公表

・2021.02.11 NIST NISTIR 8301 Blockchain Networks: Token Design and Management Overview(ブロックチェーンネットワーク:トークンのデザインと管理の概要)

・2021.02.10 ENISA 暗号に関する2つの報告書 「ポスト量子暗号:現状と量子緩和」と「暗号資産:デジタル通貨と分散型台帳技術の概要」

・2020.09.18 欧州議会 暗号資産のリスクに関する報告書を発表、サイバー耐性とプライバシーを重要な関心事として強調

・2020.06.15 日本銀行金融研究所 暗号資産とブロックチェーンの安全性の現状と課題 by 松尾真一郎

 

| | Comments (0)

2022.10.11

米国 米国におけるシグナル・インテリジェンス活動のための安全保障の強化に関する大統領令(GDPR対応)

こんにちは、丸山満彦です。

2020年7月に司法裁判所が米国とEUのプライバシー・シールドを無効にする判決(シュレム II判決)を出したので、これを改善するために、色々と取り組んできていますが、諜報活動というのがネックの一つとなっていました。それを解消するための大統領令ということなのでしょうかね。。。

 

The White House

・2022.10.07 FACT SHEET: President Biden Signs Executive Order to Implement the European Union-U.S. Data Privacy Framework

FACT SHEET: President Biden Signs Executive Order to Implement the European Union-U.S. Data Privacy Framework ファクトシート:バイデン大統領、欧州連合と米国のデータ・プライバシー・フレームワークを実施するための大統領令に署名
Today, President Biden signed an Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities (E.O.) directing the steps that the United States will take to implement the U.S. commitments under the European Union-U.S. Data Privacy Framework (EU-U.S. DPF) announced by President Biden and European Commission President von der Leyen in March of 2022.  本日、バイデン大統領は、2022年3月にバイデン大統領とフォン・デル・ライエン欧州委員会委員長が発表した欧州連合・米国データプライバシー枠組み(EU-U.S. DPF)に基づく米国の約束を実施するために米国が取るべき措置を指示する「米国のシグナルズ・インテリジェンス活動に対するセーフガードの強化に関する大統領令」(E.O.)に署名をした。 
Transatlantic data flows are critical to enabling the $7.1 trillion EU-U.S. economic relationship.  The EU-U.S. DPF will restore an important legal basis for transatlantic data flows by addressing concerns that the Court of Justice of the European Union raised in striking down the prior EU-U.S. Privacy Shield framework as a valid data transfer mechanism under EU law.  大西洋を横断するデータの流れは、7兆1千億ドルのEUと米国の経済関係を可能にするために不可欠である。  EU-U.S. DPFは、EU司法裁判所がEU法の下で有効なデータ移転メカニズムであるEU-U.S. Privacy Shieldの先行フレームワークを取り消した際に提起した懸念に対処することにより、大西洋横断のデータフローにとって重要な法的基盤を回復するものである。 
The Executive Order bolsters an already rigorous array of privacy and civil liberties safeguards for U.S. signals intelligence activities. It also creates an independent and binding mechanism enabling individuals in qualifying states and regional economic integration organizations, as designated under the E.O., to seek redress if they believe their personal data was collected through U.S. signals intelligence in a manner that violated applicable U.S. law. この大統領令は、米国のシグナルズ・インテリジェンス活動に対するプライバシーと市民の自由のための厳格なセーフガードをすでに強化している。また、大統領令に基づいて指定された、適格国家および地域経済統合機構に属する個人が、米国の適用法に違反する方法で米国のシグナルインテリジェンスを通じて個人データが収集されたと考える場合に、救済を求めることができる独立した拘束力のあるメカニズムも創設されている。
U.S. and EU companies large and small across all sectors of the economy rely upon cross-border data flows to participate in the digital economy and expand economic opportunities. The EU-U.S. DPF represents the culmination of a joint effort by the United States and the European Commission to restore trust and stability to transatlantic data flows and reflects the strength of the enduring EU-U.S. relationship based on our shared values.  米国およびEUの企業は、経済のあらゆる部門において、デジタル経済への参加と経済機会の拡大のために、国境を越えたデータの流れに依存している。EU-U.S. DPFは、大西洋を越えるデータの流れに信頼と安定を取り戻すための米国と欧州委員会の共同努力の集大成であり、我々の共通の価値に基づく永続的なEU-米国関係の強さを反映するものである。 
In particular, the Executive Order: 特に、この大統領令は
・Adds further safeguards for U.S. signals intelligence activities, including requiring that such activities be conducted only in pursuit of defined national security objectives; take into consideration the privacy and civil liberties of all persons, regardless of nationality or country of residence; and be conducted only when necessary to advance a validated intelligence priority and only to the extent and in a manner proportionate to that priority. ・米国のシグナルズ・インテリジェンス活動に対するさらなる保護措置を追加し、そのような活動は定義された国家安全保障上の目的の追求のためのみに行われ、国籍や居住国にかかわらず、すべての人のプライバシーと市民的自由を考慮し、有効な情報優先事項を進めるために必要な場合にのみ、その優先事項に見合った程度と方法で実施されることを義務づけることが含まれる。
・Mandates handling requirements for personal information collected through signals intelligence activities and extends the responsibilities of legal, oversight, and compliance officials to ensure that appropriate actions are taken to remediate incidents of non-compliance.    ・シグナル・インテリジェンス活動を通じて収集された個人情報の取り扱いに関する要件を定め、法律担当者、監督担当者、コンプライアンス担当者の責任を拡大し、コンプライアンス違反の事例を是正するために適切な措置が取られることを確保する。   
・Requires U.S. Intelligence Community elements to update their policies and procedures to reflect the new privacy and civil liberties safeguards contained in the E.O.  ・米国の情報コミュニティは、大統領令に含まれる新しいプライバシーおよび市民的自由の保障措置を反映させるために、その方針と手続きを更新することを要求する。 
・Creates a multi-layer mechanism for individuals from qualifying states and regional economic integration organizations, as designated pursuant to the E.O., to obtain independent and binding review and redress of claims that their personal information collected through U.S. signals intelligence was collected or handled by the United States in violation of applicable U.S. law, including the enhanced safeguards in the E.O.  大統領令に従って指定された、資格のある国および地域経済統合機関の個人が、米国のシグナルズ・インテリジェンスによって収集された個人情報が、大統領令の強化された保障措置を含む米国の適用法に違反して米国によって収集または取り扱われたという主張について、独立した、拘束力のある審査と救済を受けるための多層のメカニズムを構築する。 
・・Under the first layer, the Civil Liberties Protection Officer in the Office of the Director of National Intelligence (CLPO) will conduct an initial investigation of qualifying complaints received to determine whether the E.O.’s enhanced safeguards or other applicable U.S. law were violated and, if so, to determine the appropriate remediation. The E.O. builds up the existing statutory CLPO functions by establishing that the CLPO’s decision will be binding on the Intelligence Community, subject to the second layer of review, and provides protections to ensure the independence of the CLPO’s investigations and determinations.   ・・第一階層では、国家情報長官室(CLPO)の自由権保護官が、受け取った適格な苦情について最初の調査を行い、大統領令の強化された保護措置またはその他の適用される米国法に違反しているかどうかを判断し、違反している場合は適切な是正措置を決定する。大統領令 は、CLPO の決定が、第二段階の審査を経て、情報コミュニティに対して拘束力を持つこと、および CLPO の調査および決定の独立性を確保するための保護を提供することによって、既存の法定 CLPO 機能を構築している。 
・・As a second layer of review, the E.O. authorizes and directs the Attorney General to establish a Data Protection Review Court (“DPRC”) to provide independent and binding review of the CLPO’s decisions, upon an application from the individual or an element of the Intelligence Community. Judges on the DPRC will be appointed from outside the U.S. Government, have relevant experience in the fields of data privacy and national security, review cases independently, and enjoy protections against removal. Decisions of the DPRC regarding whether there was a violation of applicable U.S. law and, if so, what remediation is to be implemented will be binding. To further enhance the DPRC’s review, the E.O. provides for the DPRC to select a special advocate in each case who will advocate regarding the complainant’s interest in the matter and ensure that the DPRC is well-informed of the issues and the law with regard to the matter. The Attorney General today issued accompanying regulations on the establishment of the DPRC. ・・第二段階の審査として、大統領令は司法長官にデータ保護審査裁判所("DPRC")を設立し、個人または情報機関の一部からの申請により、CLPOの決定に対して独立かつ拘束力のある審査を行うことを許可および指示している。DPRCの裁判官は米国政府外から任命され、データ・プライバシーと国家安全保障の分野で関連した経験を持ち、独立して事件を審査し、罷免に対する保護を受けることになる。適用される米国の法律に違反があったかどうか、違反があった場合はどのような是正措置を取るべきかに関するDPRCの決定には拘束力がある。大統領令は、DPRCの審査をさらに強化するために、DPRCが案件ごとに特別弁護人を選出することを規定しる。この弁護人は、申立人の関心事について弁護し、DPRCが案件に関する問題点や法律について十分に情報を得られるようにする役割を果たす。司法長官は本日、DPRCの設置に関する付随規則を発表した。
Calls on the Privacy and Civil Liberties Oversight Board to review Intelligence Community policies and procedures to ensure that they are consistent with the Executive Order and to conduct an annual review of the redress process, including to review whether the Intelligence Community has fully complied with determinations made by the CLPO and the DPRC. プライバシーおよび自由権監視委員会に対し、情報機関の方針および手続きを見直し、それらが大統領令と一致していることを確認し、情報機関がCLPOおよびDPRCが下した決定を完全に遵守しているかどうかを含め、救済プロセスについて毎年見直しを行うよう要請する。
These steps will provide the European Commission with a basis to adopt a new adequacy determination, which will restore an important, accessible, and affordable data transfer mechanism under EU law. It will also provide greater legal certainty for companies using Standard Contractual Clauses and Binding Corporate Rules to transfer EU personal data to the United States. これらの措置は、欧州委員会に新たな妥当性判断を採用する根拠を与え、EU法の下で重要かつアクセス可能で安価なデータ移転の仕組みを回復させることになる。また、標準契約条項と拘束力のある企業規則を用いてEUの個人データを米国に移転する企業にとって、より大きな法的確実性を提供することになる。

 

・2022.10.07 Executive Order On Enhancing Safeguards For United States Signals Intelligence Activities

Executive Order On Enhancing Safeguards For United States Signals Intelligence Activities 米国におけるシグナル・インテリジェンス活動のための安全保障の強化に関する大統領令
 By the authority vested in me as President by the Constitution and the laws of the United States of America, it is hereby ordered as follows:  合衆国憲法および合衆国法によって大統領である私に与えられた権限により、以下のように命ずる。
Section 1.  Purpose.  The United States collects signals intelligence so that its national security decisionmakers have access to the timely, accurate, and insightful information necessary to advance the national security interests of the United States and to protect its citizens and the citizens of its allies and partners from harm.  Signals intelligence capabilities are a major reason we have been able to adapt to a dynamic and challenging security environment, and the United States must preserve and continue to develop robust and technologically advanced signals intelligence capabilities to protect our security and that of our allies and partners.  At the same time, the United States recognizes that signals intelligence activities must take into account that all persons should be treated with dignity and respect, regardless of their nationality or wherever they might reside, and that all persons have legitimate privacy interests in the handling of their personal information.  Therefore, this order establishes safeguards for such signals intelligence activities. 第1条 目的。米国は、国家安全保障の意思決定者が、米国の国家安全保障上の利益を増進し、自国民および同盟国・パートナーの国民を被害から守るために必要な、適時で正確かつ洞察に満ちた情報にアクセスできるように、シグナル・インテリジェンスを収集する。  シグナルズ・インテリジェンスの能力は、米国が動的で困難な安全保障環境に適応することができた大きな理由であり、米国は自国と同盟国・パートナーの安全を守るため、強固で技術的に進んだシグナルズ・インテリジェンスの能力を維持し、開発を継続しなければならない。  同時に米国は、シグナル・インテリジェンス活動は、国籍や居住地にかかわらず、すべての人が尊厳と尊敬をもって扱われるべきであり、すべての人が自分の個人情報の取り扱いに関して正当なプライバシー権益を持っていることを考慮しなければならないことを認識している。  したがって、この命令は、そのようなシグナルインテリジェンス活動のためのセーフガードを確立するものである。
Sec. 2.  Signals Intelligence Activities.  第2条  シグナルズ・インテリジェンス活動 
     (a)  Principles.  Signals intelligence activities shall be authorized and conducted consistent with the following principles:      (a) 原則。  シグナル・インテリジェンス活動は、以下の原則に従って許可され、実施されるものとする。
(i)  Signals intelligence activities shall be authorized by statute or by Executive Order, proclamation, or other Presidential directive and undertaken in accordance with the Constitution and with applicable statutes and Executive Orders, proclamations, and other Presidential directives. (i) シグナル・インテリジェンス活動は、法令または大統領令、公布、その他の大統領令によって認可され、憲法および該当する法令、大統領令、公布、その他の大統領令に従って実施されるものとする。
(ii)  Signals intelligence activities shall be subject to appropriate safeguards, which shall ensure that privacy and civil liberties are integral considerations in the planning and implementation of such activities so that: (ii) シグナルズ・インテリジェンス活動は、適切な保護措置に従うものとし、これにより、当該活動の計画および実施において、プライバシーおよび市民の自由が不可欠な考慮事項であることを確保する。
(A)  signals intelligence activities shall be conducted only following a determination, based on a reasonable assessment of all relevant factors, that the activities are necessary to advance a validated intelligence priority, although signals intelligence does not have to be the sole means available or used for advancing aspects of the validated intelligence priority; and (A)シグナルズ・インテリジェンス活動は、すべての関連要因の合理的な評価に基づき、その活動が有効な情報の優先事項を推進するために必要であると判断された場合にのみ実施されるが、シグナルズ・インテリジェンスは有効な情報の優先事項の側面を推進するために利用可能または使用可能な唯一の手段である必要はない。
(B)  signals intelligence activities shall be conducted only to the extent and in a manner that is proportionate to the validated intelligence priority for which they have been authorized, with the aim of achieving a proper balance between the importance of the validated intelligence priority being advanced and the impact on the privacy and civil liberties of all persons, regardless of their nationality or wherever they might reside. (B) シグナルズ・インテリジェンス活動は、有効な情報の優先順位を推進することの重要性と、国籍や居住地にかかわらずすべての人のプライバシーおよび市民的自由への影響との適切なバランスを図ることを目的として、許可された有効な情報の優先順位に見合った範囲および方法でのみ実施されなければならないこと。
(iii)  Signals intelligence activities shall be subjected to rigorous oversight in order to ensure that they comport with the principles identified above.  (iii) シグナルズ・インテリジェンス活動は、上記の原則に合致していることを確認するため、厳格な監視に付されるものとする。 
     (b)  Objectives.  Signals intelligence collection activities shall be conducted in pursuit of legitimate objectives.       (b)目的  シグナル・インテリジェンスの収集活動は、合法的な目的を追求するために行われるものとする。 
(i)  Legitimate objectives. (i)正当な目的
(A)  Signals intelligence collection activities shall be conducted only in pursuit of one or more of the following objectives: (A) シグナル情報収集活動は、以下の1つ以上の目的を達成するためにのみ実施されるものとする。
(1)  understanding or assessing the capabilities, intentions, or activities of a foreign government, a foreign military, a faction of a foreign nation, a foreign-based political organization, or an entity acting on behalf of or controlled by any such foreign government, military, faction, or political organization, in order to protect the national security of the United States and of its allies and partners; (1) 米国ならびにその同盟国およびパートナーの国家安全を守るために、外国政府、外国軍隊、外国の一派、外国に本拠を置く政治組織、またはそのような外国政府、軍隊、一派、政治組織を代表して行動する団体、あるいはそれらによって支配される団体の能力、意図、または活動を理解または評価すること。
(2)  understanding or assessing the capabilities, intentions, or activities of foreign organizations, including international terrorist organizations, that pose a current or potential threat to the national security of the United States or of its allies or partners; (2) 米国、その同盟国又はパートナーの国家安全保障に現在又は潜在的な脅威を与える国際テロ組織を含む外国組織の能力、意図又は活動を理解し、又は評価すること。
(3)  understanding or assessing transnational threats that impact global security, including climate and other ecological change, public health risks, humanitarian threats, political instability, and geographic rivalry; (3) 気候やその他の生態系の変化、公衆衛生リスク、人道的脅威、政情不安、地理的対立など、地球規模の安全保障に影響を与える国境を越えた脅威を理解し、評価すること。
(4)  protecting against foreign military capabilities and activities; (4) 外国軍の能力および活動から保護すること。
(5)  protecting against terrorism, the taking of hostages, and the holding of individuals captive (including the identification, location, and rescue of hostages and captives) conducted by or on behalf of a foreign government, foreign organization, or foreign person; (5) 外国政府、外国組織又は外国人のために行われるテロリズム、人質の拘束及び個人の監禁(人質及び捕虜の特定、所在、救出を含む)から保護すること。
(6)  protecting against espionage, sabotage, assassination, or other intelligence activities conducted by, on behalf of, or with the assistance of a foreign government, foreign organization, or foreign person; (6) 外国政府、外国団体又は外国人のために、又はその援助を受けて行われるスパイ活動、サボタージュ、暗殺その他の諜報活動から保護すること。
(7)  protecting against threats from the development, possession, or proliferation of weapons of mass destruction or related technologies and threats conducted by, on behalf of, or with the assistance of a foreign government, foreign organization, or foreign person; (7) 外国政府、外国組織又は外国人のために、又は外国人の援助を受けて行われる大量破壊兵器又は関連技術の開発、保有又は拡散による脅威から保護すること。
(8)  protecting against cybersecurity threats created or exploited by, or malicious cyber activities conducted by or on behalf of, a foreign government, foreign organization, or foreign person; (8) 外国政府、外国組織、外国人によって、または外国人のために行われたサイバーセキュリティの脅威、または悪意のあるサイバー活動から保護すること。
(9)  protecting against threats to the personnel of the United States or of its allies or partners; (9) 米国またはその同盟国もしくはパートナーの人員に対する脅威から保護すること。
(10)  protecting against transnational criminal threats, including illicit finance and sanctions evasion related to one or more of the other objectives identified in subsection (b)(i) of this section; (10) 本節(b)(i)で特定された他の目的の一つ以上に関連する不正資金および制裁回避を含む、国境を越えた犯罪の脅威から保護すること。
(11)  protecting the integrity of elections and political processes, government property, and United States infrastructure (both physical and electronic) from activities conducted by, on behalf of, or with the assistance of a foreign government, foreign organization, or foreign person; and (11) 外国政府、外国組織、外国人によって、あるいは外国人のために、あるいは外国人の支援を受けて行われる活動から、選挙と政治過程、政府財産、米国のインフラ(物理的および電子的)の完全性を保護すること。
(12)  advancing collection or operational capabilities or activities in order to further a legitimate objective identified in subsection (b)(i) of this section. (12) 本節(b)(i)で特定された合法的な目的を促進するために、収集または運用能力または活動を促進すること。
(B)  The President may authorize updates to the list of objectives in light of new national security imperatives, such as new or heightened threats to the national security of the United States, for which the President determines that signals intelligence collection activities may be used.  The Director of National Intelligence (Director) shall publicly release any updates to the list of objectives authorized by the President, unless the President determines that doing so would pose a risk to the national security of the United States. (B)大統領は、米国の国家安全保障に対する新たな脅威や増大した脅威など、新たな国家安全保障上の要請に照らして、シグナルズ・インテリジェンス収集活動を使用することができると判断した場合には、目的のリストを更新することを許可することができる。  国家情報長官(Director of National Intelligence)は、大統領が許可した目的リストの更新を公表するが、そうすることが米国の国家安全保障に危険を及ぼすと大統領が判断した場合はこの限りではない。
(ii)  Prohibited objectives.   (ii) 禁止された目的  
(A)  Signals intelligence collection activities shall not be conducted for the purpose of: (A) シグナルズ・インテリジェンス収集活動は、次の目的のために行ってはならない。
(1)  suppressing or burdening criticism, dissent, or the free expression of ideas or political opinions by individuals or the press; (1) 個人又は報道機関による批判、反対意見又は思想若しくは政治的意見の自由な表現を抑圧し又はこれに負担をかけること。
(2)  suppressing or restricting legitimate privacy interests; (2) 正当なプライバシーの利益を抑圧又は制限すること。
(3)  suppressing or restricting a right to legal counsel; or (3) 法律顧問を受ける権利を抑圧または制限すること。
(4)  disadvantaging persons based on their ethnicity, race, gender, gender identity, sexual orientation, or religion. (4) 民族、人種、性別、性自認、性的指向、または宗教に基づき不利益を与えること。
(B)  It is not a legitimate objective to collect foreign private commercial information or trade secrets to afford a competitive advantage to United States companies and United States business sectors commercially.  The collection of such information is authorized only to protect the national security of the United States or of its allies or partners. (B) 外国の民間商業情報または企業秘密を収集し、米国企業および米国の事業部門に商業上の競争上の優位性を与えることは正当な目的ではない。  このような情報の収集は、米国またはその同盟国もしくはパートナーの国家安全保障を保護するためにのみ許可される。
(iii)  Validation of signals intelligence collection priorities. (iii) シグナルズ・インテリジェンス収集の優先順位の検証。
(A)  Under section 102A of the National Security Act of 1947, as amended (50 U.S.C. 3024), the Director must establish priorities for the Intelligence Community to ensure the timely and effective collection of national intelligence, including national intelligence collected through signals intelligence.  The Director does this through the National Intelligence Priorities Framework (NIPF), which the Director maintains and presents to the President, through the Assistant to the President for National Security Affairs, on a regular basis.  In order to ensure that signals intelligence collection activities are undertaken to advance legitimate objectives, before presenting the NIPF or any successor framework that identifies intelligence priorities to the President, the Director shall obtain from the Civil Liberties Protection Officer of the Office of the Director of National Intelligence (CLPO) an assessment as to whether, with regard to anticipated signals intelligence collection activities, each of the intelligence priorities identified in the NIPF or successor framework: (A) 1947年改正国家安全保障法第102A条(50 U.S.C. 3024)に基づき、長官は、シグナルズ・インテリジェンスによって収集された国家情報を含む国家情報の適時かつ効果的な収集を確保するために、情報コミュニティーの優先順位を設定しなければならない。  長官はこれを国家情報優先順位枠組(NIPF)を通じて行う。NIPFは長官が維持し、国家安全保障問題担当大統領補佐官を通じて、定期的に大統領に提示する。  シグナル情報収集活動が合法的な目的を達成するために行われることを確実にするために、長官は、NIPFまたは情報の優先順位を特定する後継の枠組みを大統領に提示する前に、国家情報長官室(CLPO)の自由権保護官から、予想されるシグナル情報収集活動に関して、NIPFまたは後継の枠組みで特定した情報の優先順位がそれぞれ適切かどうかについての評価を受けるものとする。
(1)  advances one or more of the legitimate objectives set forth in subsection (b)(i) of this section; (1) 本節(b)(i)に規定された正当な目的の一つ以上を推進するものであること。
(2)  neither was designed nor is anticipated to result in signals intelligence collection in contravention of the prohibited objectives set forth in subsection (b)(ii) of this section; and (2) 本節(b)(ii)に定める禁止された目的に反して、シグナルズ・インテリジェンスの収集が行われないように設計されておらず、またそのような結果になることも予想されない。
(3)  was established after appropriate consideration for the privacy and civil liberties of all persons, regardless of their nationality or wherever they might reside. (3) 国籍や居住地に関係なく、すべての人のプライバシーと市民的自由を適切に考慮した上で設立されたものであること。
(B)  If the Director disagrees with any aspect of the CLPO’s assessment with respect to any of the intelligence priorities identified in the NIPF or successor framework, the Director shall include the CLPO’s assessment and the Director’s views when presenting the NIPF to the President. (B)長官が、NIPF又はその後継の枠組みにおいて特定された情報の優先順位に関するCLPOの評価のいずれかの側面に同意しない場合、長官は、NIPFを大統領に提示する際に、CLPOの評価及び長官の見解を含めるものとする。
(c)  Privacy and civil liberties safeguards.  The following safeguards shall fulfill the principles contained in subsections (a)(ii) and (a)(iii) of this section. (c) プライバシー及び市民的自由の保護措置。  以下の保護措置は、本節(a)(ii)および(a)(iii)に含まれる原則を満たすものである。
(i)  Collection of signals intelligence. (i) シグナルズ・インテリジェンスの収集。
(A)  The United States shall conduct signals intelligence collection activities only following a determination that a specific signals intelligence collection activity, based on a reasonable assessment of all relevant factors, is necessary to advance a validated intelligence priority, although signals intelligence does not have to be the sole means available or used for advancing aspects of the validated intelligence priority; it could be used, for example, to ensure alternative pathways for validation or for maintaining reliable access to the same information.  In determining whether to collect signals intelligence consistent with this principle, the United States — through an element of the Intelligence Community or through an interagency committee consisting in whole or in part of the heads of elements of the Intelligence Community, the heads of departments containing such elements, or their designees — shall consider the availability, feasibility, and appropriateness of other less intrusive sources and methods for collecting the information necessary to advance a validated intelligence priority, including from diplomatic and public sources, and shall prioritize such available, feasible, and appropriate alternatives to signals intelligence. (A) 米国は、すべての関連する要素の合理的な評価に基づき、特定の信号情報収集活動が有効な情報優先事項を前進させるために必要であると決定した場合にのみ、信号情報収集活動を行うものとするが、信号情報は有効な情報優先事項の側面を前進させるために利用可能または使用可能な唯一の手段である必要はない。例えば、検証のための代替手段を確保するため、あるいは同じ情報への信頼できるアクセスを維持するために、シグナル・インテリジェンスを使用することも可能である。この原則に従ってシグナル・インテリジェンスを収集するかどうかを決定する場合、米国は、情報コミュニティーの要素を通じて、または情報コミュニティーの各要素の長、当該要素を含む省庁の長、もしくはその指名する者が全体または一部を構成する省庁間委員会を通じて、有効な情報優先事項を推進するために必要な情報を、外交および公共の情報源を含めて収集できる、より侵入の少ない他の情報源および方法について、入手可能性、実現性、妥当性を考慮し、そうした入手可能、実現可能かつ妥当な代替手段に優先的に対応するものとする。
(B)  Signals intelligence collection activities shall be as tailored as feasible to advance a validated intelligence priority and, taking due account of relevant factors, not disproportionately impact privacy and civil liberties.  Such factors may include, depending on the circumstances, the nature of the pursued objective; the feasible steps taken to limit the scope of the collection to the authorized purpose; the intrusiveness of the collection activity, including its duration; the probable contribution of the collection to the objective pursued; the reasonably foreseeable consequences to individuals, including unintended third parties; the nature and sensitivity of the data to be collected; and the safeguards afforded to the information collected. (B) シグナルズ・インテリジェンスの収集活動は、有効な情報の優先順位を高めるために実行可能な限り調整され、関連要因を十分に考慮した上で、プライバシーと市民の自由に不釣り合いな影響を与えないものでなければならない。  当該要因には、状況に応じて、追求される目的の性質、許可された目的に収集範囲を限定するためにとられた実行可能な措置、収集活動の侵入性(その期間を含む)、追求される目的に対する収集の推定される寄与、意図しない第三者を含む個人に対する合理的に予測可能な結果、収集されるデータの性質および感度、ならびに収集される情報に与えられる保障措置が含まれる。
(C)  For purposes of subsection (c)(i) of this section, the scope of a specific signals intelligence collection activity may include, for example, a specific line of effort or target, as appropriate. (C) 本節(c)(i)の目的上、特定のシグナルズ・インテリジェンス収集活動の範囲は、例えば、適宜、特定の努力目標または標的を含むことができる。
(ii)  Bulk collection of signals intelligence. (ii) シグナルズ・インテリジェンスの一括収集。
(A)  Targeted collection shall be prioritized.  The bulk collection of signals intelligence shall be authorized only based on a determination — by an element of the Intelligence Community or through an interagency committee consisting in whole or in part of the heads of elements of the Intelligence Community, the heads of departments containing such elements, or their designees — that the information necessary to advance a validated intelligence priority cannot reasonably be obtained by targeted collection.  When it is determined to be necessary to engage in bulk collection in order to advance a validated intelligence priority, the element of the Intelligence Community shall apply reasonable methods and technical measures in order to limit the data collected to only what is necessary to advance a validated intelligence priority, while minimizing the collection of non-pertinent information. (A) 目標とする収集は、優先的に行われるものとする。  シグナルズ・インテリジェンスの一括収集は、情報コミュニティーの要素、または情報コミュニティーの各要素の長、当該要素を含む省庁の長、またはその指名する者からなる省庁間委員会を通じて、有効な情報優先事項を推進するために必要な情報は、対象を絞った収集では合理的に得られないとの判断にのみ基づくことが許可されるものとする。  有効な情報の優先順位を高めるために一括収集に従事することが必要であると判断された場合、情報共同体の要素は、適切でない情報の収集を最小限に抑えつつ、収集するデータを有効な情報の優先順位を高めるために必要なものだけに制限するために、合理的な方法及び技術的措置を適用するものとする。
(B)  Each element of the Intelligence Community that collects signals intelligence through bulk collection shall use such information only in pursuit of one or more of the following objectives: (B) 大量収集によりシグナルズ・インテリジェンスを収集する情報機関の各要素は、以下の目的の一つ以上を追求するためにのみ、当該情報を使用するものとする。
(1)  protecting against terrorism, the taking of hostages, and the holding of individuals captive (including the identification, location, and rescue of hostages and captives) conducted by or on behalf of a foreign government, foreign organization, or foreign person; (1) 外国政府、外国組織、または外国人によって、または外国人のために行われるテロリズム、人質の拘束、および個人の監禁(人質および捕虜の特定、位置、救出を含む)から保護すること。
(2)  protecting against espionage, sabotage, assassination, or other intelligence activities conducted by, on behalf of, or with the assistance of a foreign government, foreign organization, or foreign person; (2) 外国政府、外国団体又は外国人のために、又は外国人の援助を受けて行われるスパイ活動、サボタージュ、暗殺その他の諜報活動から保護すること。
(3)  protecting against threats from the development, possession, or proliferation of weapons of mass destruction or related technologies and threats conducted by, on behalf of, or with the assistance of a foreign government, foreign organization, or foreign person; (3) 外国政府、外国組織又は外国人のために、又は外国人の援助を受けて行われる大量破壊兵器又は関連技術の開発、保有又は拡散による脅威から保護すること。
(4)  protecting against cybersecurity threats created or exploited by, or malicious cyber activities conducted by or on behalf of, a foreign government, foreign organization, or foreign person; (4) 外国政府、外国組織、外国人によって、または外国人のために行われたサイバーセキュリティの脅威、または悪質なサイバー活動から保護すること。
(5)  protecting against threats to the personnel of the United States or of its allies or partners; and (5) 米国またはその同盟国もしくはパートナーの人員に対する脅威から保護すること。
(6)  protecting against transnational criminal threats, including illicit finance and sanctions evasion related to one or more of the other objectives identified in subsection (c)(ii) of this section. (6) 本節(c)(ii)で特定された他の目的の一つ以上に関連する不正資金や制裁回避を含む、国際犯罪の脅威から保護すること。
(C)  The President may authorize updates to the list of objectives in light of new national security imperatives, such as new or heightened threats to the national security of the United States, for which the President determines that bulk collection may be used.  The Director shall publicly release any updates to the list of objectives authorized by the President, unless the President determines that doing so would pose a risk to the national security of the United States. (C) 大統領は、米国の国家安全保障に対する新たな脅威または高まった脅威など、新たな国家安全保障上の要請に照らして、大量収集が使用され得ると大統領が判断する目的の一覧の更新を承認することができる。  長官は、大統領が許可した目的リストの更新を、そうすることが米国の国家安全保障に危険をもたらすと大統領が判断しない限り、公に公表するものとする。
(D)  In order to minimize any impact on privacy and civil liberties, a targeted signals intelligence collection activity that temporarily uses data acquired without discriminants (for example, without specific identifiers or selection terms) shall be subject to the safeguards described in this subsection, unless such data is: (D) プライバシーおよび市民的自由への影響を最小限にするため、差別なく(例えば、特定の識別子または選択条件なく)取得したデータを一時的に使用する標的シグナルズ・インテリジェンス収集活動は、当該データが以下のものでない限り、本款に記載のセーフガードに従うものとする。
(1)  used only to support the initial technical phase of the targeted signals intelligence collection activity; (1) 標的シグナルズ・インテリジェンス収集活動の最初の技術的段階を支援するためにのみ使用される。
(2)  retained for only the short period of time required to complete this phase; and (2) この段階を完了するために必要な短期間のみ保持され、かつ、(3) その後削除される場合。
(3)  thereafter deleted. (3) その後削除される場合。
(iii)  Handling of personal information collected through signals intelligence. (iii) シグナル・インテリジェンスを通じて収集された個人情報の取り扱い。
(A)  Minimization.  Each element of the Intelligence Community that handles personal information collected through signals intelligence shall establish and apply policies and procedures designed to minimize the dissemination and retention of personal information collected through signals intelligence. (A)最小化。  シグナルズ・インテリジェンスにより収集された個人情報を取り扱う情報機関の各部門は、シグナルズ・インテリジェンスにより収集された個人情報の普及と保持を最小限にするように設計された方針と手続きを確立し、適用する。
(1)  Dissemination.  Each element of the Intelligence Community that handles personal information collected through signals intelligence: (1) 配布。  情報機関のうち、シグナル・インテリジェンスを通じて収集された個人情報を取り扱う部門は、次のことを行う。
(a)  shall disseminate non-United States persons’ personal information collected through signals intelligence only if it involves one or more of the comparable types of information that section 2.3 of Executive Order 12333 of December 4, 1981 (United States Intelligence Activities), as amended, states may be disseminated in the case of information concerning United States persons; (a) シグナル・インテリジェンスを通じて収集された合衆国以外の者の個人情報は、1981年12月4日の大統領令12333(合衆国情報活動)第2条第3項の改正により、合衆国人に関する情報の場合に配布することができるとされている同等の種類の情報の一つ以上に関わる場合にのみ配布するものとする。
(b)  shall not disseminate personal information collected through signals intelligence solely because of a person’s nationality or country of residence; (b) 人の国籍又は居住国のみを理由として、シグナルズ・インテリジェンスにより収集された個人情報を配布しないこと。
(c)  shall disseminate within the United States Government personal information collected through signals intelligence only if an authorized and appropriately trained individual has a reasonable belief that the personal information will be appropriately protected and that the recipient has a need to know the information; (c) 権限を与えられ、かつ、適切に訓練された個人が、個人情報が適切に保護され、かつ、取得者がその情報を知る必要があると合理的に確信する場合にのみ、シグナルズ・インテリジェンスにより収集した個人情報を合衆国政府内で配布させるものとする。
(d)  shall take due account of the purpose of the dissemination, the nature and extent of the personal information being disseminated, and the potential for harmful impact on the person or persons concerned before disseminating personal information collected through signals intelligence to recipients outside the United States Government, including to a foreign government or international organization; and (d) シグナル・インテリジェンスを通じて収集した個人情報を外国政府又は国際機関を含む米国政府以外の取得者に配布する前に、配布の目的、配布する個人情報の性質及び範囲、並びに当該個人又は関係者に有害な影響を与える可能性を十分に考慮するものとする。
(e)  shall not disseminate personal information collected through signals intelligence for the purpose of circumventing the provisions of this order. (e) この命令の規定を迂回する目的で、シグナルズ・インテリジェンスを通じて収集された個人情報を配布してはならない。
(2)  Retention.  Each element of the Intelligence Community that handles personal information collected through signals intelligence: (2) 保持。  シグナルズ・インテリジェンスによって収集された個人情報を取り扱う情報機関の各要素は、次のことを行う。
(a)  shall retain non-United States persons’ personal information collected through signals intelligence only if the retention of comparable information concerning United States persons would be permitted under applicable law and shall subject such information to the same retention periods that would apply to comparable information concerning United States persons; (a) 合衆国人に関する同等の情報を保持することが適用法に基づいて許される場合にのみ、シグナルズ・インテリジェンスによって収集された非合衆国人の個人情報を保持し、当該情報には、合衆国人に関する同等の情報に適用されるのと同じ保持期間を適用するものとする。
(b)  shall subject non-United States persons’ personal information collected through signals intelligence for which no final retention determination has been made to the same temporary retention periods that would apply to comparable information concerning United States persons; and (b) 最終的な保持の決定がなされていないシグナルズ・インテリジェンスにより収集された非米国人の個人情報については、米国人に関する同等の情報に適用されるのと同じ一時的な保持期間を適用するものとする。
(c)  shall delete non-United States persons’ personal information collected through signals intelligence that may no longer be retained in the same manner that comparable information concerning United States persons would be deleted. (c) シグナル・インテリジェンスを通じて収集された、もはや保持することができない合衆国以外の者の個人情報を、合衆国人に関する同等の情報が削除される場合と同様の方法で削除すること。
(B)  Data security and access.  Each element of the Intelligence Community that handles personal information collected through signals intelligence: (B)データの安全性とアクセス。  シグナル・インテリジェンスを通じて収集された個人情報を取り扱う情報機関の各要素は、以下の通りである。
(1)  shall process and store personal information collected through signals intelligence under conditions that provide appropriate protection and prevent access by unauthorized persons, consistent with the applicable safeguards for sensitive information contained in relevant Executive Orders, proclamations, other Presidential directives, Intelligence Community directives, and associated policies;  (1) シグナル・インテリジェンスを通じて収集された個人情報は、関連する大統領令、宣言、その他の大統領指令、情報コミュニティ指令、および関連政策に含まれる機密情報に対する適用可能な保護措置と一致する、適切な保護を提供し無権限者によるアクセスを防止する条件の下で処理および保管されなければならない。 
(2)  shall limit access to such personal information to authorized personnel who have a need to know the information to perform their mission and have received appropriate training on the requirements of applicable United States law, as described in policies and procedures issued under subsection (c)(iv) of this section; and (2) 当該個人情報へのアクセスを、本節(c)(iv)に基づいて発行された方針および手続きに記載されているとおり、任務を遂行するために当該情報を知る必要があり、適用される米国法の要件について適切な訓練を受けた、権限を与えられた職員に限定すること。
(3)  shall ensure that personal information collected through signals intelligence for which no final retention determination has been made is accessed only in order to make or support such a determination or to conduct authorized administrative, testing, development, security, or oversight functions. (3) 最終的な保持の決定がなされていないシグナルズ・インテリジェンスによって収集された個人情報は、そのような決定を行うため、もしくはそれを支援するため、または許可された管理、試験、開発、セキュリティ、もしくは監視機能を実行するためにのみアクセスされることを確認すること。
(C)  Data quality.  Each element of the Intelligence Community that handles personal information collected through signals intelligence shall include such personal information in intelligence products only as consistent with applicable Intelligence Community standards for accuracy and objectivity, with a focus on applying standards relating to the quality and reliability of the information, consideration of alternative sources of information and interpretations of data, and objectivity in performing analysis. (C) データの品質。  シグナルズ・インテリジェンスによって収集された個人情報を取り扱う情報機関の各部門は、正確性と客観性に関する情報機関の適用基準に合致する場合にのみ、当該個人情報を情報製品に含めるものとする。ただし、情報の質および信頼性に関する基準の適用、代替情報源およびデータの解釈の検討、ならびに分析の実行における客観性に重点を置く。
(D)  Queries of bulk collection.  Each element of the Intelligence Community that conducts queries of unminimized signals intelligence obtained by bulk collection shall do so consistent with the permissible uses of signals intelligence obtained by bulk collection identified in subsection (c)(ii)(B) of this section and according to policies and procedures issued under subsection (c)(iv) of this section, which shall appropriately take into account the impact on the privacy and civil liberties of all persons, regardless of their nationality or wherever they might reside. (D) 大量収集の問合せ。  一括収集によって得られた最小化されていないシグナルズ・インテリジェンスの照会を行う情報機関の各要素は、本項(c)(ii)(B)で特定された一括収集によって得られたシグナルズ・インテリジェンスの許容される使用と一致するように、かつ本項(c)(iv)の下に出された方針および手順に従って行うものとし、国籍や居住地にかかわらず、すべての者のプライバシーと市民的自由への影響を適切に考慮するものとする。
(E)  Documentation.  In order to facilitate the oversight processes set forth in subsection (d) of this section and the redress mechanism set forth in section 3 of this order, each element of the Intelligence Community that engages in signals intelligence collection activities shall maintain documentation to the extent reasonable in light of the nature and type of collection at issue and the context in which it is collected.  The content of any such documentation may vary based on the circumstances but shall, to the extent reasonable, provide the factual basis pursuant to which the element of the Intelligence Community, based on a reasonable assessment of all relevant factors, assesses that the signals intelligence collection activity is necessary to advance a validated intelligence priority. (E)文書化。  本項第(d)号に定める監視プロセスおよび本命令第3条に定める救済メカニズムを促進するため、シグナルズ・インテリジェンス収集活動に従事する情報機関の各要素は、問題となっている収集の性質と種類および収集の背景に照らして妥当な範囲で文書を保持するものとする。  このような文書の内容は、状況によって異なるが、合理的な範囲で、情報機関の部門がすべての関連要因の合理的な評価に基づき、シグナルズ・インテリジェンスの収集活動が有効な情報優先事項を推進するために必要であると評価する事実上の根拠を提供するものとする。
(iv)  Update and publication of policies and procedures.  The head of each element of the Intelligence Community: (iv) 政策及び手続きの更新及び公表。  情報共同体の各要素の長は、次のことを行う。
(A)  shall continue to use the policies and procedures issued pursuant to Presidential Policy Directive 28 of January 17, 2014 (Signals Intelligence Activities) (PPD-28), until they are updated pursuant to subsection (c)(iv)(B) of this section; (A) 本節(c)(iv)(B)に従って更新されるまで、2014年1月17日の大統領政策指令28(シグナルズ・インテリジェンス活動)(PPD-28)に従って発行された政策及び手続を引き続き使用するものとする。
(B)  shall, within 1 year of the date of this order, in consultation with the Attorney General, the CLPO, and the Privacy and Civil Liberties Oversight Board (PCLOB), update those policies and procedures as necessary to implement the privacy and civil liberties safeguards in this order; and (B) この命令の日付から1年以内に、司法長官、CLPO、およびプライバシー・自由監視委員会(PCLOB)と協議して、この命令のプライバシーおよび市民的自由の保護措置を実施するために必要に応じてこれらの方針および手続を更新すること。
(C)  shall, within 1 year of the date of this order, release these policies and procedures publicly to the maximum extent possible, consistent with the protection of intelligence sources and methods, in order to enhance the public’s understanding of, and to promote public trust in, the safeguards pursuant to which the United States conducts signals intelligence activities. (C) この命令の日から1年以内に、情報源および方法の保護と矛盾しない範囲で、これらの方針および手順を公開し、米国がシグナルズ・インテリジェンス活動を行う際の保護措置に対する国民の理解を深め、国民の信頼を促進すること。
(v)  Review by the PCLOB.  (v) PCLOBによる審査。 
(A)  Nature of review.  Consistent with applicable law, the PCLOB is encouraged to conduct a review of the updated policies and procedures described in subsection (c)(iv)(B) of this section once they have been issued to ensure that they are consistent with the enhanced safeguards contained in this order. (A) レビューの性質。  適用法に従い、PCLOBは、本節(c)(iv)(B)に記載された最新の政策および手続が発行されたら、それらが本令に含まれる強化された保障措置と一致することを確認するために見直しを行うことが推奨される。
(B)  Consideration of review.  Within 180 days of completion of any review by the PCLOB described in subsection (c)(v)(A) of this section, the head of each element of the Intelligence Community shall carefully consider and shall implement or otherwise address all recommendations contained in such review, consistent with applicable law. (B) 審査の検討。  本項(c)(v)(A)に記載されたPCLOBによる見直しが完了してから180日以内に、情報機関の各機関の長は、当該見直しに含まれるすべての勧告を慎重に検討し、適用法に合致する形で実施またはその他の対処を行わなければならないものとする。
     (d)  Subjecting signals intelligence activities to rigorous oversight.  The actions directed in this subsection are designed to build on the oversight mechanisms that elements of the Intelligence Community already have in place, in order to further ensure that signals intelligence activities are subjected to rigorous oversight.      (d) シグナルズ・インテリジェンスの活動を厳格な監視に付すこと。  本小節で指示された措置は、シグナルズ・インテリジェンス活動が厳格な監視にさらされることをさらに確実にするため、情報コミュニティの各要素がすでに備えている監視機構を基礎とすることを意図している。
(i)  Legal, oversight, and compliance officials.  Each element of the Intelligence Community that collects signals intelligence: (i) 法務、監督、およびコンプライアンス担当者。  情報機関のうち、シグナル・インテリジェンスを収集する各要素は、次のことを行う。
(A)  shall have in place senior-level legal, oversight, and compliance officials who conduct periodic oversight of signals intelligence activities, including an Inspector General, a Privacy and Civil Liberties Officer, and an officer or officers in a designated compliance role with the authority to conduct oversight of and ensure compliance with applicable United States law; (A) シグナルズ・インテリジェンスの活動を定期的に監視する上級レベルの法務、監視、コンプライアンス担当者を配置する。これには、監察官、プライバシーおよび自由権担当官、および適用される米国の法律を監視し確実に遵守する権限を持つ、コンプライアンス担当の役員1名または複数名を含める。
(B)  shall provide such legal, oversight, and compliance officials access to all information pertinent to carrying out their oversight responsibilities under this subsection, consistent with the protection of intelligence sources or methods, including their oversight responsibilities to ensure that any appropriate actions are taken to remediate an incident of non-compliance with applicable United States law; and (B) 当該法務、監督及びコンプライアンスの担当者は、情報源又は方法の保護と整合性を保ちつつ、本款に基づく監督責任の遂行に関連するすべての情報へのアクセスを提供し、これには、米国の適用法に違反する事案を是正するために適切な措置が取られることを確保するための監督責任も含まれるものとする。
(C)  shall not take any actions designed to impede or improperly influence such legal, oversight, and compliance officials in carrying out their oversight responsibilities under this subsection. (C)当該法律担当者、監督担当者及びコンプライアンス担当者が本款に基づく監督責任を遂行することを妨げ、又は不当に影響を及ぼすことを意図したいかなる行動もとってはならない。
(ii)  Training.  Each element of the Intelligence Community shall maintain appropriate training requirements to ensure that all employees with access to signals intelligence know and understand the requirements of this order and the policies and procedures for reporting and remediating incidents of non-compliance with applicable United States law. (ii) 訓練。  情報機関の各組織は、シグナルズ・インテリジェンスにアクセスできるすべての職員が、この命令の要件、並びに適用される米国法の不遵守の事例を報告し是正するための方針及び手順を知り、理解できるように、適切な訓練要件を維持するものとする。
(iii)  Significant incidents of non-compliance. (iii) 重大な違反事例。
(A)  Each element of the Intelligence Community shall ensure that, if a legal, oversight, or compliance official, as described in subsection (d)(i) of this section, or any other employee, identifies a significant incident of non-compliance with applicable United States law, the incident is reported promptly to the head of the element of the Intelligence Community, the head of the executive department or agency (agency) containing the element of the Intelligence Community (to the extent relevant), and the Director. (A) 情報機関の各部門は、本項(d)(i)に規定する法務、監督、または遵守の職員、あるいはその他の職員が、適用される合衆国法に違反する重大な事件を特定した場合、その事件が情報機関の各部門の長、情報機関の各部門が属する行政機関の長(関連する範囲)、および局長に速やかに報告されるよう確保するものとする。
(B)  Upon receipt of such report, the head of the element of the Intelligence Community, the head of the agency containing the element of the Intelligence Community (to the extent relevant), and the Director shall ensure that any necessary actions are taken to remediate and prevent the recurrence of the significant incident of non-compliance. (B) かかる報告を受領した場合、情報機関の長、情報機関の属する機関の長(関連する範囲)、および長官は、重大な違反事例を是正し再発を防止するために必要な措置が取られることを確認するものとする。
     (e)  Savings clause.  Provided the signals intelligence collection is conducted consistent with and in the manner prescribed by this section of this order, this order does not limit any signals intelligence collection technique authorized under the National Security Act of 1947, as amended (50 U.S.C. 3001 et seq.), the Foreign Intelligence Surveillance Act of 1978, as amended (50 U.S.C. 1801 et seq.) (FISA), Executive Order 12333, or other applicable law or Presidential directive.      (e) 救済条項。  シグナルズ・インテリジェンス収集が本命令の本項で規定された方法と一致し、かつ実施される限り、本命令は1947年国家安全保障法改正(50 U.S.C. 3001 et seq)、1978年外国情報監視法改正(50 U.S.C. 1801 et seq)(FISA)、大統領令12333、またはその他の適用法もしくは大統領指令で許可されるシグナルズ・インテリジェンス収集手法を制限しない。
Sec. 3.  Signals Intelligence Redress Mechanism. 第3条  シグナルズ・インテリジェンス救済機構。
(a)  Purpose.  This section establishes a redress mechanism to review qualifying complaints transmitted by the appropriate public authority in a qualifying state concerning United States signals intelligence activities for any covered violation of United States law and, if necessary, appropriate remediation. (a) 目的。  本項は、米国のシグナルズ・インテリジェンス活動に関し、資格国の適切な公的機関から送信された資格ある苦情を、対象となる米国法違反について検討し、必要に応じて適切な是正を行う救済メカニズムを確立する。
(b)  Process for submission of qualifying complaints.  Within 60 days of the date of this order, the Director, in consultation with the Attorney General and the heads of elements of the Intelligence Community that collect or handle personal information collected through signals intelligence, shall establish a process for the submission of qualifying complaints transmitted by the appropriate public authority in a qualifying state.    (b) 適格な苦情を提出するためのプロセス。  この命令の日から60日以内に、長官は、司法長官およびシグナルズ・インテリジェンスにより収集された個人情報を収集または取り扱う情報機関の長と協議して、適格国の適切な公的機関から送信される適格な苦情を提出するためのプロセスを確立するものとする。   
(c)  Initial investigation of qualifying complaints by the CLPO. (c) CLPOによる適格な苦情の初期調査。
(i)  Establishment.  The Director, in consultation with the Attorney General, shall establish a process that authorizes the CLPO to investigate, review, and, as necessary, order appropriate remediation for qualifying complaints.  This process shall govern how the CLPO will review qualifying complaints in a manner that protects classified or otherwise privileged or protected information and shall ensure, at a minimum, that for each qualifying complaint the CLPO shall: (i) 設置。  ディレクターは、司法長官と協議の上、CLPOが適格な苦情について調査、検討し、必要に応じて適切な是正を指示する権限を与えるプロセスを確立するものとする。  このプロセスは、CLPOが機密情報またはその他の特権もしくは保護された情報を保護する方法で適格な苦情を審査する方法を規定し、少なくとも、各適格な苦情について、CLPOが以下を行うことを保証しなければならないものとする。
(A)  review information necessary to investigate the qualifying complaint; (A) 対象となる苦情を調査するために必要な情報を確認する。
(B)  exercise its statutory and delegated authority to determine whether there was a covered violation by: (B) 法定及び委任された権限を行使し、以下の方法により対象となる違反があったかどうかを判断する。
(i)  taking into account both relevant national security interests and applicable privacy protections; (i) 関連する国家安全保障上の利益と適用されるプライバシー保護の双方を考慮すること。
(ii)  giving appropriate deference to any relevant determinations made by national security officials; and (ii) 国家安全保障当局が行った関連するすべての決定に対して適切な尊重を与えること。
(iii)  applying the law impartially; (iii) 公正に法律を適用すること。
(C)  determine the appropriate remediation for any covered violation;  (C) 対象となる違反に対する適切な是正措置を決定すること。 
(D)  provide a classified report on information indicating a violation of any authority subject to the oversight of the Foreign Intelligence Surveillance Court (FISC) to the Assistant Attorney General for National Security, who shall report violations to the FISC in accordance with its rules of procedure; (D) 外国情報監視裁判所(FISC)の監督下にある権限の違反を示す情報についての機密報告書を国家安全保障担当司法長官補佐官に提供し、同司令官は、その手続規則に従って違反をFISCに報告するものとする。
(E)  after the review is completed, inform the complainant, through the appropriate public authority in a qualifying state and without confirming or denying that the complainant was subject to United States signals intelligence activities, that: (E) 審査が完了した後、適格国の適切な公的機関を通じて、申立人が米国のシグナルズ・インテリジェンス活動の対象であることを確認または否定することなく、申立人に次のことを通知する。
(1)  “the review either did not identify any covered violations or the Civil Liberties Protection Officer of the Office of the Director of National Intelligence issued a determination requiring appropriate remediation”; (1) 「審査は、対象となる違反を特定しなかったか、または国家情報長官室の自由権保護官が適切な是正を求める決定を出した」こと。
(2)  the complainant or an element of the Intelligence Community may, as prescribed in the regulations issued by the Attorney General pursuant to section 3(d)(i) of this order, apply for review of the CLPO’s determinations by the Data Protection Review Court described in subsection (d) of this section; and (2) 原告または情報機関の構成員は、この命令の第3節(d)(i)に従って司法長官が発行する規則の定めるところにより、この節の(d)に記載されているデータ保護審査裁判所にCLPOの決定の審査を申請することができること、および
(3)  if either the complainant or an element of the Intelligence Community applies for review by the Data Protection Review Court, a special advocate will be selected by the Data Protection Review Court to advocate regarding the complainant’s interest in the matter; (3) 原告または情報コミュニティの要素のいずれかがデータ保護審査裁判所に審査を申請する場合、データ保護審査裁判所は、その問題における原告の利益に関して弁護を行う特別弁護人を選定する。
(F)  maintain appropriate documentation of its review of the qualifying complaint and produce a classified decision explaining the basis for its factual findings, determination with respect to whether a covered violation occurred, and determination of the appropriate remediation in the event there was such a violation, consistent with its statutory and delegated authority; (F) 適格な苦情の審査に関する適切な文書を維持し、事実上の発見の根拠、対象となる違反があったかどうかに関する決定、および違反があった場合の適切な是正措置の決定について、法令および委任された権限に基づき説明した機密の決定書を作成すること。
(G)  prepare a classified ex parte record of review, which shall consist of the appropriate documentation of its review of the qualifying complaint and the classified decision described in subsection (c)(i)(F) of this section; and (G) 適格な苦情の審査の適切な文書及び本節(c)(i)(F)に記載する機密の決定から成る、機密の一方的審査記録を作成すること。
(H)  provide any necessary support to the Data Protection Review Court. (H) データ保護審査裁判所に必要な支援を提供すること。
(ii)  Binding effect.  Each element of the Intelligence Community, and each agency containing an element of the Intelligence Community, shall comply with any determination by the CLPO to undertake appropriate remediation pursuant to subsection (c)(i)(C) of this section, subject to any contrary determination by the Data Protection Review Court. (ii) 拘束力。  情報機関の各要素および情報機関の各要素を含む機関は、本項(c)(i)(C)に従って適切な改善を行うというCLPOの決定に従うものとし、データ保護審査裁判所の反対決定がある場合には、その決定に従うものとする。
(iii)  Assistance.  Each element of the Intelligence Community shall provide the CLPO with access to information necessary to conduct the reviews described in subsection (c)(i) of this section, consistent with the protection of intelligence sources and methods, and shall not take any actions designed to impede or improperly influence the CLPO’s reviews.  Privacy and civil liberties officials within elements of the Intelligence Community shall also support the CLPO as it performs the reviews described in subsection (c)(i) of this section. (iii) 援助。  情報機関の各部門は、情報源及び方法の保護と整合性を保ちつつ、本項(c)(i)に規定する審査の実施に必要な情報へのアクセスをCLPOに提供し、CLPOの審査を妨害し又は不当に影響を与えることを目的とするいかなる行動もとってはならないものとする。  情報機関内のプライバシー及び市民的自由の担当者も、CLPOが本項(c)(i)に記載されたレビューを実施する際に支援するものとする。
(iv)  Independence.  The Director shall not interfere with a review by the CLPO of a qualifying complaint under subsection (c)(i) of this section; nor shall the Director remove the CLPO for any actions taken pursuant to this order, except for instances of misconduct, malfeasance, breach of security, neglect of duty, or incapacity. (iv) 独立性。  長官は、本項(c)(i)に基づく適格な苦情に関するCLPOによるレビューを妨害してはならない。また、長官は、不正行為、悪事、セキュリティ違反、職務怠慢、無能力の場合を除き、この命令に従って行われるいかなる行為についてもCLPOを解任してはならない。
(d)  Data Protection Review Court. (d) データ保護審査裁判所。
(i)  Establishment.  The Attorney General is authorized to and shall establish a process to review determinations made by the CLPO under subsection (c)(i) of this section.  In exercising that authority, the Attorney General shall, within 60 days of the date of this order, promulgate regulations establishing a Data Protection Review Court to exercise the Attorney General’s authority to review such determinations.  These regulations shall, at a minimum, provide that: (i) 設立。  司法長官は、本項(c)(i)に基づいてCLPOが行った決定を審査するためのプロセスを確立する権限を有し、またそのようにするものとする。  この権限を行使するにあたり、司法長官は本命令の日から60日以内に、かかる決定を審査する司法長官の権限を行使するためのデータ保護審査裁判所を設置する規則を公布するものとする。  これらの規則は、最低限、以下の事項を規定するものとする。
(A)  The Attorney General, in consultation with the Secretary of Commerce, the Director, and the PCLOB, shall appoint individuals to serve as judges on the Data Protection Review Court, who shall be legal practitioners with appropriate experience in the fields of data privacy and national security law, giving weight to individuals with prior judicial experience, and who shall not be, at the time of their initial appointment, employees of the United States Government.  During their term of appointment on the Data Protection Review Court, such judges shall not have any official duties or employment within the United States Government other than their official duties and employment as judges on the Data Protection Review Court. (A) 司法長官は、商務長官、長官およびPCLOBと協議の上、データ保護審査裁判所の裁判官となる者を任命する。この者は、データ・プライバシーおよび国家安全保障法の分野で適切な経験を有する法律実務家でなければならず、司法経験のある者を重視し、最初の任命時点では米国政府の職員であってはならないものとする。  データ保護審査裁判所の任命期間中、当該裁判官は、データ保護審査裁判所の裁判官としての公務および雇用以外に、米国政府内でいかなる公務および雇用も有しないものとする。
(B)  Upon receipt of an application for review filed by the complainant or an element of the Intelligence Community of a determination made by the CLPO under subsection (c) of this section, a three-judge panel of the Data Protection Review Court shall be convened to review the application.  Service on the Data Protection Review Court panel shall require that the judge hold the requisite security clearances to access classified national security information. (B) 本節(c)に基づいてCLPOが行った決定について、原告または情報機関の構成員が提出した審査申請を受領した場合、データ保護審査裁判所の3人の裁判官のパネルが、その申請を審査するために召集されるものとする。  データ保護審査裁判所のパネルへの参加は、裁判官が国家安全保障の機密情報にアクセスするために必要なセキュリティ・クリアランスを保持していることを必要とするものとする。
(C)  Upon being convened, the Data Protection Review Court panel shall select a special advocate through procedures prescribed in the Attorney General’s regulations.  The special advocate shall assist the panel in its consideration of the application for review, including by advocating regarding the complainant’s interest in the matter and ensuring that the Data Protection Review Court panel is well informed of the issues and the law with respect to the matter.  Service as a special advocate shall require that the special advocate hold the requisite security clearances to access classified national security information and to adhere to restrictions prescribed in the Attorney General’s regulations on communications with the complainant to ensure the protection of classified or otherwise privileged or protected information. (C) 召集後、データ保護審査裁判所パネルは、司法長官の規則に定める手続きにより特別擁護者を選出するものとする。  特別擁護者は、審査申請の検討においてパネルを支援するものとし、これには、当該事項における申立人の利害に関する擁護、およびデータ保護審査裁判所パネルが当該事項に関する問題および法律を十分に理解していることを確認することが含まれるものとする。  特別擁護者としての任務は、特別擁護者が国家安全保障の機密情報にアクセスするために必要なセキュリティクリアランスを保持し、機密情報またはその他の特権もしくは保護情報の保護を確実にするために、原告との通信に関する司法長官の規則で定められた制限を遵守することを要求するものとする。
(D)  The Data Protection Review Court panel shall impartially review the determinations made by the CLPO with respect to whether a covered violation occurred and the appropriate remediation in the event there was such a violation.  The review shall be based at a minimum on the classified ex parte record of review described in subsection (c)(i)(F) of this section and information or submissions provided by the complainant, the special advocate, or an element of the Intelligence Community.  In reviewing determinations made by the CLPO, the Data Protection Review Court panel shall be guided by relevant decisions of the United States Supreme Court in the same way as are courts established under Article III of the United States Constitution, including those decisions regarding appropriate deference to relevant determinations of national security officials.  (D) データ保護審査裁判所パネルは、対象となる違反があったかどうか、およびそのような違反があった場合の適切な是正措置に関してCLPOが行った決定を公平に審査するものとする。  審査は、少なくとも、本セクション (c)(i)(F) に記載されている機密の一方的審査記録と、申立人、特別弁護人、または情報機関の構成員が提供した情報または提出物に基づいて行われるものとする。  CLPOによる決定を審査する場合、データ保護審査裁判所パネルは、国家安全保障当局の関連する決定に対する適切な尊重に関する決定を含め、合衆国憲法第3条の下で設立された裁判所と同様に、合衆国最高裁判所の関連する決定に導かれるものとする。 
(E)  In the event that the Data Protection Review Court panel disagrees with any of the CLPO’s determinations with respect to whether a covered violation occurred or the appropriate remediation in the event there was such a violation, the panel shall issue its own determinations. (E) データ保護審査裁判所パネルが、対象となる違反があったかどうか、またはそのような違反があった場合の適切な是正に関するCLPOの判断のいずれかに同意しない場合、パネルは独自の判断を下すものとする。
(F)  The Data Protection Review Court panel shall provide a classified report on information indicating a violation of any authority subject to the oversight of the FISC to the Assistant Attorney General for National Security, who shall report violations to the FISC in accordance with its rules of procedure. (F) データ保護審査裁判所パネルは、FISCの監督対象となる権限の違反を示す情報についての機密報告書を国家安全保障担当司法長官補佐に提出し、同司令長官は、その手続規則に従ってFISCに違反を報告するものとする。
(G)  After the review is completed, the CLPO shall be informed of the Data Protection Review Court panel’s determinations through procedures prescribed by the Attorney General’s regulations. (G) 審査が完了した後、CLPOは、司法長官の規則が定める手続きにより、データ保護審査裁判所パネルの決定を通知されるものとする。
(H)  After a review is completed in response to a complainant’s application for review, the Data Protection Review Court, through procedures prescribed by the Attorney General’s regulations, shall inform the complainant, through the appropriate public authority in a qualifying state and without confirming or denying that the complainant was subject to United States signals intelligence activities, that “the review either did not identify any covered violations or the Data Protection Review Court issued a determination requiring appropriate remediation.” (H) 申立人の審査申請に応じて審査が完了した後、データ保護審査裁判所は、司法長官の規則が定める手続を通じて、適格国の適切な公的機関を通じて、申立人が米国のシグナルズ・インテリジェンス活動の対象であることを肯定も否定もせずに、「審査は対象となる違反を特定しなかったか、データ保護審査裁判所が適切な是正を求める決定を下した」旨を申立人に通知するものとする。
(ii)  Binding effect.  Each element of the Intelligence Community, and each agency containing an element of the Intelligence Community, shall comply with any determination by a Data Protection Review Court panel to undertake appropriate remediation. (ii) 拘束力。  情報機関の各要素および情報機関の各要素を含む機関は、データ保護審査裁判所パネルが適切な是正を行うよう決定した場合、これに従わなければならない。
(iii)  Assistance.  Each element of the Intelligence Community shall provide the CLPO with access to information necessary to conduct the review described in subsection (d)(i) of this section, consistent with the protection of intelligence sources and methods, that a Data Protection Review Court panel requests from the CLPO and shall not take any actions for the purpose of impeding or improperly influencing a panel’s review. (iii) 援助。  情報機関の各要素は、情報源及び方法の保護と整合性を保ちつつ、本項(d)(i)に規定する審査を行うために必要な情報へのアクセスを、データ保護審査法廷パネルがCLPOに要求した場合にCLPOに提供し、パネルの審査を妨げたり不当に影響を与える目的で行動をとってはならない。
(iv)  Independence.  The Attorney General shall not interfere with a review by a Data Protection Review Court panel of a determination the CLPO made regarding a qualifying complaint under subsection (c)(i) of this section; nor shall the Attorney General remove any judges appointed as provided in subsection (d)(i)(A) of this section, or remove any judge from service on a Data Protection Review Court panel, except for instances of misconduct, malfeasance, breach of security, neglect of duty, or incapacity, after taking due account of the standards in the Rules for Judicial-Conduct and Judicial-Disability Proceedings promulgated by the Judicial Conference of the United States pursuant to the Judicial Conduct and Disability Act (28 U.S.C. 351 et seq.). (iv) 独立性。  司法長官は、本セクション(c)(i)に基づく適格な苦情に関してCLPOが行った決定に関するデータ保護レビュー裁判所パネルによるレビューを妨害しないものとする。また、司法長官は、本節(d)(i)(A)の規定により任命された裁判官を、不正行為、悪事、背任、職務怠慢または能力不足の場合を除き、司法行為および障害者法(28 U. S. C. 351 et se se)に従って合衆国司法会議が公布した司法行為および司法障害手続規則における基準を十分考慮した上で解任するか、データ保護審査裁判所の職務から裁判官を解任しなければならない。 28 U.S.C. 351 et seq.)に基づき、米国司法会議が公布したものである。
(v)  Record of determinations.  For each qualifying complaint transmitted by the appropriate public authority in a qualifying state, the Secretary of Commerce shall: (v) 決定事項の記録。  適格州の適切な公的機関から送信された適格な苦情ごとに、商務長官は以下を行うものとする。
(A)  maintain a record of the complainant who submitted such complaint; (A) 当該苦情を提出した苦情提出者の記録を保持すること。
(B)  not later than 5 years after the date of this order and no less than every 5 years thereafter, contact the relevant element or elements of the Intelligence Community regarding whether information pertaining to the review of such complaint by the CLPO has been declassified and whether information pertaining to the review of any application for review submitted to the Data Protection Review Court has been declassified, including whether an element of the Intelligence Community filed an application for review with the Data Protection Review Court; and (B) この命令の日から5年以上経過し、その後5年ごとに、CLPOによる当該苦情の審査に係る情報が機密解除されたか否か、および、情報機関の要素がデータ保護審査裁判所に審査申請を行ったか否かなど、データ保護審査裁判所に提出した審査申請の審査に係る情報が機密解除されたか否かについて情報機関の関連部門または要素に連絡し、かつ、情報機関の要素がデータ保護審査裁判所への審査申請を行ったか否かについて情報機関の関係部門に連絡すること。
(C)  if informed that such information has been declassified, notify the complainant, through the appropriate public authority in a qualifying state, that information pertaining to the review of their complaint by the CLPO or to the review of any application for review submitted to the Data Protection Review Court may be available under applicable law. (C) かかる情報が機密解除されたことを知らされた場合、適格国の適切な公的機関を通じて、CLPOによる苦情の審査またはデータ保護審査裁判所に提出された審査申請の審査に関する情報が、適用法に基づいて入手可能であることを申立人に通知すること。
(e)  Annual review by PCLOB of redress process. (e) PCLOBによる救済プロセスの年次レビュー。
(i)  Nature of review.  Consistent with applicable law, the PCLOB is encouraged to conduct an annual review of the processing of qualifying complaints by the redress mechanism established by section 3 of this order, including whether the CLPO and the Data Protection Review Court processed qualifying complaints in a timely manner; whether the CLPO and the Data Protection Review Court are obtaining full access to necessary information; whether the CLPO and the Data Protection Review Court are operating consistent with this order; whether the safeguards established by section 2 of this order are properly considered in the processes of the CLPO and the Data Protection Review Court; and whether the elements of the Intelligence Community have fully complied with determinations made by the CLPO and the Data Protection Review Court. (i) レビューの性質。  適用法に従い、PCLOBは、CLPOおよびデータ保護審査裁判所が適時に適格な苦情を処理したかどうか、CLPOおよびデータ保護審査裁判所が必要な情報への完全なアクセスを得ているかどうかなど、本令第3項により設立された救済メカニズムによる適格な苦情の処理について年次審査を行うことが奨励される。CLPOとデータ保護審査裁判所がこの命令と整合的に運営されているかどうか、この命令の第2項によって確立された保護措置がCLPOとデータ保護審査裁判所のプロセスで適切に考慮されているかどうか、情報機関の構成員がCLPOとデータ保護審査裁判所が下した決定に完全に準拠しているかどうか。
(ii)  Assistance.  The Attorney General, the CLPO, and the elements of the Intelligence Community shall provide the PCLOB with access to information necessary to conduct the review described in subsection (e)(i) of this section, consistent with the protection of intelligence sources and methods. (ii) 援助。  司法長官、CLPO及び情報機関の要素は、情報源及び方法の保護と整合性を保ちつつ、本節(e)(i)に規定する審査を行うために必要な情報へのアクセスをPCLOBに提供するものとする。
(iii)  Report and certification.  Within 30 days of completing any review described in subsection (e)(i) of this section, the PCLOB is encouraged to: (iii) 報告及び証明書。  本項第(e)(i)号に記載された審査の完了後30日以内に、PCLOBは、以下を行うよう奨励される。
(A)  provide the President, the Attorney General, the Director, the heads of elements of the Intelligence Community, the CLPO, and the congressional intelligence committees with a classified report detailing the results of its review; (A) 大統領、司法長官、長官、情報機関の長、CLPO、および議会の情報委員会に、審査の結果を詳述した機密報告書を提供すること。
(B)  release to the public an unclassified version of the report; and (B) 報告書の非機密版を一般に公開する。
(C)  make an annual public certification as to whether the redress mechanism established pursuant to section 3 of this order is processing complaints consistent with this order. (C) この命令の第3項に従って設立された救済機構がこの命令に従って苦情を処理しているかどうかについて、毎年公開認証を行うこと。
(iv)  Consideration of review.  Within 180 days of receipt of any report by the PCLOB described in subsection (e)(iii)(A) of this section, the Attorney General, the Director, the heads of elements of the Intelligence Community, and the CLPO shall carefully consider and shall implement or otherwise address all recommendations contained in such report, consistent with applicable law. (iv) 審査の検討。  本節(e)(iii)(A)に記載のPCLOBによる報告書を受け取ってから180日以内に、司法長官、長官、情報機関の長、およびCLPOは、当該報告書に含まれるすべての勧告を慎重に検討し、適用法と一致する形で実施または対処しなければならないものとする。
     (f)  Designation of qualifying state.      (f) 適格国家の指定。
(i)  To implement the redress mechanism established by section 3 of this order, the Attorney General is authorized to designate a country or regional economic integration organization as a qualifying state for purposes of the redress mechanism established pursuant to section 3 of this order, effective immediately or on a date specified by the Attorney General, if the Attorney General determines, in consultation with the Secretary of State, the Secretary of Commerce, and the Director, that: (i) 本令第3項により設立された救済機構を実施するため、司法長官は、国務長官、商務長官および長官と協議して司法長官が以下のように決定した場合、即時または司法長官が指定する日に、国または地域経済統合機構を本令第3項により設立された救済機構用の適格国家として指定する権限を有する。
(A)  the laws of the country, the regional economic integration organization, or the regional economic integration organization’s member countries require appropriate safeguards in the conduct of signals intelligence activities for United States persons’ personal information that is transferred from the United States to the territory of the country or a member country of the regional economic integration organization; (A) 当該国、地域経済統合機構、または地域経済統合機構の加盟国の法律が、米国から当該国または地域経済統合機構の加盟国の領域に転送される米国人の個人情報に対するシグナルズ・インテリジェンス活動の実施において適切な保護措置を要求している場合。
(B)  the country, the regional economic integration organization, or the regional economic integration organization’s member countries of the regional economic integration organization permit, or are anticipated to permit, the transfer of personal information for commercial purposes between the territory of that country or those member countries and the territory of the United States; and (B) 当該国、地域経済統合機構又は地域経済統合機構の加盟国が、当該国又は当該加盟国の領域と米国の領域との間で商業目的の個人情報の移転を許可しているか、又は許可することが予想される場合。
(C)  such designation would advance the national interests of the United States. (C) その指定が米国の国益を増進させるものであること。
(ii)  The Attorney General may revoke or amend such a designation, effective immediately or on a date specified by the Attorney General, if the Attorney General determines, in consultation with the Secretary of State, the Secretary of Commerce, and the Director, that: (ii) 司法長官は、国務長官、商務長官および長官と協議の上、司法長官が以下のように決定した場合、当該指定を撤回または修正することができ、即時または司法長官が指定する日に効力を発する。
(A)  the country, the regional economic integration organization, or the regional economic integration organization’s member countries do not provide appropriate safeguards in the conduct of signals intelligence activities for United States persons’ personal information that is transferred from the United States to the territory of the country or to a member country of the regional economic integration organization; (A) 当該国、地域経済統合機構、または地域経済統合機構の加盟国が、シグナルズ・インテリジェンス活動の実施において、米国から当該国または地域経済統合機構の加盟国の領域に移転される米国人の個人情報に対して適切な保護措置を提供していない場合。
(B)  the country, the regional economic integration organization, or the regional economic integration organization’s member countries do not permit the transfer of personal information for commercial purposes between the territory of that country or those member countries and the territory of the United States; or (B) 当該国、地域経済統合機構又は地域経済統合機構の加盟国が、当該国又は当該加盟国の領域と米国の領域との間で商業目的のために個人情報を移転することを許可していない場合、又は
(C)  such designation is not in the national interests of the United States. (C)当該指定が米国の国益に適うものではない場合。
     Sec. 4.  Definitions.  For purposes of this order:      第4条  定義。  本命令の目的上
(a)  “Appropriate remediation” means lawful measures designed to fully redress an identified covered violation regarding a specific complainant and limited to measures designed to address that specific complainant’s complaint, taking into account the ways that a violation of the kind identified have customarily been addressed.  Such measures may include, depending on the specific covered violation at issue, curing through administrative measures violations found to have been procedural or technical errors relating to otherwise lawful access to or handling of data, terminating acquisition of data where collection is not lawfully authorized, deleting data that had been acquired without lawful authorization, deleting the results of inappropriately conducted queries of otherwise lawfully collected data, restricting access to lawfully collected data to those appropriately trained, or recalling intelligence reports containing data acquired without lawful authorization or that were otherwise disseminated in a manner inconsistent with United States law.  Appropriate remediation shall be narrowly tailored to redress the covered violation and to minimize adverse impacts on the operations of the Intelligence Community and the national security of the United States.  (a) 「適切な是正」とは、特定の原告に関して特定された対象違反を完全に是正するために設計された合法的な措置で、特定された種類の違反が慣習的に対処されてきた方法を考慮し、その特定の原告の苦情に対処するために設計された措置に限定することを意味する。  このような措置には、問題となる特定の対象違反に応じて、データへの合法的なアクセスまたはデータの取り扱いに関する手続き上または技術上の誤りであると判明した違反を行政措置によって治癒すること、収集が合法的に許可されていないデータの取得を中止すること、合法的な許可なしに取得されたデータを削除すること、が含まれる場合がある。合法的に収集されたデータに対して不適切に行われたクエリーの結果を削除すること、合法的に収集されたデータへのアクセスを適切に訓練された者に制限すること、合法的な権限なしに取得されたデータまたは米国の法律と矛盾する方法で配布されたデータを含む情報報告書を呼び戻すこと。  適切な是正措置は、対象となる違反を是正し、情報機関の運営および米国の国家安全保障への悪影響を最小限に抑えるよう、狭い範囲に限定されなければならない。 
(b)  “Bulk collection” means the authorized collection of large quantities of signals intelligence data that, due to technical or operational considerations, is acquired without the use of discriminants (for example, without the use of specific identifiers or selection terms). (b) 「一括収集」とは、技術上または運用上の考慮により、識別子を使用せずに(例えば、特定の識別 子または選択語を使用せずに)取得される大量のシグナルズ・インテリジェンスデータの許可された収集をいう。
(c)  “Counterintelligence” shall have the same meaning as it has in Executive Order 12333. (c) 「防諜」は、大統領令12333における意味と同じ意味を有するものとする。
(d)  “Covered violation” means a violation that: (d) 「対象となる違反」とは、以下のような違反をいう。
(i)    arises from signals intelligence activities conducted after the date of this order regarding data transferred to the United States from a qualifying state after the effective date of the Attorney General’s designation for such state, as provided in section 3(f)(i) of this order; (i) 本命令の第3条(f)(i)に規定される、資格のある国に対する司法長官の指定の発効日後に資格のある国から米国に転送されたデータに関して本命令の日付後に行われたシグナルズ・インテリジェンス活動から発生するもの。
(ii)   adversely affects the complainant’s individual privacy and civil liberties interests; and (ii) 申立人の個人的なプライバシーおよび市民的自由の利益に悪影響を及ぼすものであること。
(iii)  violates one or more of the following: (iii) 以下の1つ以上に違反していること。
(A)  the United States Constitution; (A)アメリカ合衆国憲法
(B)  the applicable sections of FISA or any applicable FISC-approved procedures; (B) FISAの該当条項またはFISCが承認した該当手続。
(C)  Executive Order 12333 or any applicable agency procedures pursuant to Executive Order 12333; (C) 大統領令12333または大統領令12333に基づく該当する機関の手続き。
(D)  this order or any applicable agency policies and procedures issued or updated pursuant to this order (or the policies and procedures identified in section 2(c)(iv)(A) of this order before they are updated pursuant to section 2(c)(iv)(B) of this order); (D) この命令、またはこの命令に従って発行または更新された該当する機関の方針および手続き(またはこの命令のセクション2(c)(iv)(B)に従って更新される前にこの命令のセクション2(c)(iv)(A)で識別される方針および手続き)。
(E)  any successor statute, order, policies, or procedures to those identified in section 4(d)(iii)(B)-(D) of this order; or (E) 本注文書のセクション4(d)(iii)(B)〜(D)で特定されている法令、命令、方針、手続きの後継となるもの、または
(F)  any other statute, order, policies, or procedures adopted after the date of this order that provides privacy and civil liberties safeguards with respect to United States signals intelligence activities within the scope of this order, as identified in a list published and updated by the Attorney General, in consultation with the Director of National Intelligence. (F) 国家情報長官と協議の上、司法長官が公表し更新する一覧で特定される、この命令の範囲内の米国のシグナルズ・インテリジェンス活動に関してプライバシーと市民の自由の保護措置を提供する、この命令の日付以降に採択されたその他の法律、命令、政策、または手続き。
(e)  “Foreign intelligence” shall have the same meaning as it has in Executive Order 12333. (e) 「外国情報」は、大統領令12333におけるのと同じ意味を持つものとする。
(f)  “Intelligence” shall have the same meaning as it has in Executive Order 12333. (f)「情報」は、大統領令12333におけるのと同じ意味を持つものとする。
(g)  “Intelligence Community” and “elements of the Intelligence Community” shall have the same meaning as they have in Executive Order 12333. (g) 「情報コミュニティ」および「情報コミュニティの要素」は、行政命令12333におけるのと同じ意味を持つものとする。
(h)  “National security” shall have the same meaning as it has in Executive Order 13526 of December 29, 2009 (Classified National Security Information). (h) 「国家安全保障」は、2009年12月29日の大統領令13526(機密国家安全保障情報)にあるのと同じ意味を持つものとする。
(i)  “Non-United States person” means a person who is not a United States person. (i)「非米国人」とは、米国人でない者をいう。
(j)  “Personnel of the United States or of its allies or partners” means any current or former member of the Armed Forces of the United States, any current or former official of the United States Government, and any other person currently or formerly employed by or working on behalf of the United States Government, as well as any current or former member of the military, current or former official, or other person currently or formerly employed by or working on behalf of an ally or partner. (j) 「合衆国またはその同盟国もしくはパートナーの人員」とは、合衆国軍隊の現または元兵士、合衆国政府の現または元役員、合衆国政府に現在または過去に雇用されまたは合衆国政府のために働くその他の者、および同盟国またはパートナーに現在または過去に雇用されまたは同盟国のために働くその他の者を意味します。
(k)  “Qualifying complaint” means a complaint, submitted in writing, that: (k) 「適格な苦情」とは、書面で提出された、以下のような苦情を意味します。
(i)    alleges a covered violation has occurred that pertains to personal information of or about the complainant, a natural person, reasonably believed to have been transferred to the United States from a qualifying state after the effective date of the Attorney General’s designation for such state, as provided in section 3(f)(i) of this order; (i) 本注文書のセクション3(f)(i)に規定されている、司法長官による当該国の指定の発効日以降に適格州から米国に移転されたと合理的に考えられる自然人の個人情報に関連する対象違反が発生したと主張するものである。
(ii)   includes the following basic information to enable a review:  information that forms the basis for alleging that a covered violation has occurred, which need not demonstrate that the complainant’s data has in fact been subject to United States signals intelligence activities; the nature of the relief sought; the specific means by which personal information of or about the complainant was believed to have been transmitted to the United States; the identities of the United States Government entities believed to be involved in the alleged violation (if known); and any other measures the complainant pursued to obtain the relief requested and the response received through those other measures; (ii) 審査を可能にするために、次の基本情報を含む:対象違反が発生したと主張する根拠となる情報(申立人のデータが実際に米国のシグナルズ・インテリジェンス活動の対象となったことを示す必要はない)、求める救済の性質、申立人の個人情報または申立人に関する情報が米国に送信されたと考えられる特定の手段、申し立てられた違反に関与していると考えられる米国政府機関の身元(分かっていれば)、申立人が求める救済措置を得るために行ったその他の手段とそれらを通じて得た対応。
(iii)  is not frivolous, vexatious, or made in bad faith; (iii) 軽薄、執拗、または不誠実なものでないこと。
(iv)   is brought on behalf of the complainant, acting on that person’s own behalf, and not as a representative of a governmental, nongovernmental, or intergovernmental organization; and (iv) 政府、非政府、または政府間組織の代表としてではなく、申立人自身のために行動する申立人のために提起されたものであること。
(v)    is transmitted by the appropriate public authority in a qualifying state, after it has verified the identity of the complainant and that the complaint satisfies the conditions of section 5(k)(i)-(iv) of this order. (v) 適格国の適切な公的機関が、申立人の身元を確認し、苦情が本注文書のセクション5(k)(i)~(iv)の条件を満たすことを確認した後に、送信されたもの。
(l)  “Significant incident of non-compliance” shall mean a systemic or intentional failure to comply with a principle, policy, or procedure of applicable United States law that could impugn the reputation or integrity of an element of the Intelligence Community or otherwise call into question the propriety of an Intelligence Community activity, including in light of any significant impact on the privacy and civil liberties interests of the person or persons concerned. (l) 「重大な違反行為」とは、適用される合衆国法の原則、政策、手続を遵守しない組織的または故意の不履行であって、情報コミュニティーの要素の評判または完全性を損なう可能性があり、その他情報コミュニティー活動の適正を疑問視するものをいい、関係者または個人のプライバシーおよび市民の自由に対する重大な影響に照らし合わせても、これに該当するものとする。
(m)  “United States person” shall have the same meaning as it has in Executive Order 12333. (m) 「合衆国人」は、大統領令第12333号におけるのと同じ意味を有するものとする。
(n)  “Validated intelligence priority” shall mean, for most United States signals intelligence collection activities, a priority validated under the process described in section 2(b)(iii) of this order; or, in narrow circumstances (for example, when such process cannot be carried out because of a need to address a new or evolving intelligence requirement), shall mean a priority set by the President or the head of an element of the Intelligence Community in accordance with the criteria described in section 2(b)(iii)(A)(1)-(3) of this order to the extent feasible. (n) 「有効な情報優先度」とは、ほとんどの米国シグナルズ・インテリジェンス収集活動について、この命令の第2節(b)(iii)に記載されたプロセスの下で有効な優先度を意味する。または、狭い状況(例えば、新しいまたは発展する情報要求に対処する必要からそのプロセスが実行できない場合)において、大統領または情報コミュニティの要素の長が、実行可能な範囲でこの命令の第2節(b)(iii)(A)(1)から(3)に記載の基準に従って設定する優先度を意味するものとする。
(o)  “Weapons of mass destruction” shall have the same meaning as it has in Executive Order 13526. (o)「大量破壊兵器」は、大統領令13526にあるのと同じ意味を持つものとする。
     Sec. 5.  General Provisions.  (a)  Nothing in this order shall be construed to impair or otherwise affect:      第5項  一般規定  (a) 本命令のいかなる内容も、以下を損なう、またはその他の影響を及ぼすと解釈されてはならない。
(i)   the authority granted by law to an executive department, agency, or the head thereof; or (i) 行政部門、機関、またはその長に法律で与えられた権限。
(ii)  the functions of the Director of the Office of Management and Budget relating to budgetary, administrative, or legislative proposals. (ii) 予算、行政、または立法案に関する行政管理予算局長の職務。
(b)  This order shall be implemented consistent with applicable law, including orders of and procedures approved by the FISC, and subject to the availability of appropriations. (b) 本命令は、FISCの命令およびFISCが承認した手続きを含む適用法に従い、また、充当の可否に従い、実施されるものとする。
(c)  Nothing in this order precludes the application of more privacy-protective safeguards for United States signals intelligence activities that would apply in the absence of this order.  In the case of any conflict between this order and other applicable law, the more privacy-protective safeguards shall govern the conduct of signals intelligence activities, to the maximum extent allowed by law. (c) この命令のいかなる内容も、米国のシグナルズ・インテリジェンス活動に対して、この命令がない場合に適用されるであろう、よりプライバシーを保護するセーフガードの適用を排除するものではない。  この命令と他の適用法との間に矛盾がある場合、法律が許す最大限の範囲において、よりプライバシーを保護する保護措置がシグナルズ・インテリジェンス活動の実施に適用されるものとする。
(d)  Nothing in this order prohibits elements of the Intelligence Community from disseminating information relating to a crime for law enforcement purposes; disseminating warnings of threats of killing, serious bodily injury, or kidnapping; disseminating cyber threat, incident, or intrusion response information; notifying victims or warning potential victims of crime; or complying with dissemination obligations required by statute, treaty, or court order, including orders of and procedures approved by the FISC or other court orders. (d) この命令のいかなる内容も、情報機関の構成員が、法執行の目的で犯罪に関する情報を配布すること、殺害、重傷、誘拐の脅威に関する警告を配布すること、サイバー脅威、事件、侵入対応情報を配布すること、犯罪の被害者に通知または潜在的被害者に警告を発すること、またはFISCまたは他の裁判所の命令によって承認された命令および手続きを含む法律、条約、裁判所の命令によって求められる配布義務に応じることを禁止していない。
(e)  The collection, retention, and dissemination of information concerning United States persons is governed by multiple legal and policy requirements, such as those required by FISA and Executive Order 12333.  This order is not intended to alter the rules applicable to United States persons adopted pursuant to FISA, Executive Order 12333, or other applicable law. (e) 合衆国人に関する情報の収集、保持、および配布は、FISAおよび大統領令12333によって要求されるものなど、複数の法律および政策要件によって管理される。  この命令は、FISA、大統領令12333、またはその他の適用法に従って採用された、米国人に適用される規則を変更することを意図していない。
(f)  This order shall apply to signals intelligence activities consistent with the scope of PPD-28’s application to such activities prior to PPD-28’s partial revocation by the national security memorandum issued concurrently with this order.  To implement this subsection, the head of each agency containing an element of the Intelligence Community, in consultation with the Attorney General and the Director, is hereby delegated the authority to issue guidance, which may be classified, as appropriate, as to the scope of application of this order with respect to the element or elements of the Intelligence Community within their agency.  The CLPO and the Data Protection Review Court, in carrying out the functions assigned to it under this order, shall treat such guidance as authoritative and binding. (f) この命令は、この命令と同時に発行された国家安全保障に関する覚書によってPPD-28が部分的に取り消される前の、PPD-28の適用範囲と一致するシグナルズ・インテリジェンス活動に適用される。  このサブセクションを実施するために、情報コミュニティの要素を含む各機関の長は、司法長官および長官と協議の上、その機関内の情報コミュニティの要素に関するこの命令の適用範囲について、適宜、分類されるガイダンスを発行する権限をここに委譲されるものとする。  CLPOおよびデータ保護審査裁判所は、この命令に基づいて与えられた機能を遂行するにあたり、当該ガイダンスを権威および拘束力を有するものとして取り扱うものとする。
(g)  Nothing in this order confers authority to declassify or disclose classified national security information except as authorized pursuant to Executive Order 13526 or any successor order.  Consistent with the requirements of Executive Order 13526, the CLPO, the Data Protection Review Court, and the special advocates shall not have authority to declassify classified national security information, nor shall they disclose any classified or otherwise privileged or protected information except to authorized and appropriately cleared individuals who have a need to know the information.      (g) 本命令のいかなる部分も、大統領令13526またはその後継命令に従って許可された場合を除き、機密扱いの国家安全保障情報を機密解除または開示する権限を付与するものではありません。  大統領令13526の要件に従い、CLPO、データ保護審査裁判所、および特別弁護人は、機密扱いの国家安全保障情報を機密解除する権限を持たず、また、情報を知る必要がある、権限を持ち適切に許可を受けた個人以外には、機密扱いまたはその他の特権や保護がある情報を開示しないものとする。    
(h)  This order creates an entitlement to submit qualifying complaints to the CLPO and to obtain review of the CLPO’s decisions by the Data Protection Review Court in accordance with the redress mechanism established in section 3 of this order.  This order is not intended to, and does not, create any other entitlement, right, or benefit, substantive or procedural, enforceable at law or in equity by any party against the United States, its departments, agencies, or entities, its officers, employees, or agents, or any other person.  This order is not intended to, and does not, modify the availability or scope of any judicial review of the decisions rendered through the redress mechanism, which is governed by existing law. (h) この命令は、この命令のセクション3で確立された救済メカニズムに従って、CLPOに適格な苦情を提出し、データ保護審査裁判所でCLPOの決定の審査を受ける権利を創設する。  本注文書は、米国、その省庁、団体、その役員、従業員、代理人、またはその他の人物に対して、いかなる当事者も法律上または衡平法上強制できる、実体的または手続き上のその他の資格、権利、または利益を生み出すことを意図しておらず、またそうするものでもない。  本命令は、救済メカニズムを通じて下された決定に対する司法審査の可用性または範囲を変更することを意図したものではなく、また変更するものでもない。
                               JOSEPH R. BIDEN JR.                                ジョセフ・R・バイデン・ジュニア
THE WHITE HOUSE, the white house,
    October 7, 2022.     2022年10月7日

 

・2022.10.07 National Security Memorandum on Partial Revocation of Presidential Policy Directive 28

National Security Memorandum on Partial Revocation of Presidential Policy Directive 28 大統領政策指令28の部分的撤回に関する国家安全保障メモランダム
NATIONAL SECURITY MEMORANDUM/NSM-14 国家安全保障メモランダム/NSM-14
MEMORANDUM FOR THE VICE PRESIDENT 副大統領のための覚書
               THE SECRETARY OF STATE                国務長官
               THE SECRETARY OF THE TREASURY                国庫長官
               THE SECRETARY OF DEFENSE                国防長官
               THE ATTORNEY GENERAL                検事総長
               THE SECRETARY OF COMMERCE                商務長官
               THE SECRETARY OF ENERGY                エネルギー省長官
               THE SECRETARY OF HOMELAND SECURITY                国土安全保障長官
               THE ASSISTANT TO THE PRESIDENT AND CHIEF OF STAFF                大統領補佐官・首席補佐官
               THE DIRECTOR OF THE OFFICE OF MANANGEMENT AND                管理・予算局局長
               BUDGET                予算
               THE UNITED STATES TRADE REPRESENTATIVE                米国通商代表部
               THE REPRESENTATIVE OF THE UNITED STATES OF                アメリカ合衆国代表
               AMERICA TO THE UNITED NATIONS                国際連合へのアメリカ代表
               THE DIRECTOR OF NATIONAL INTELLIGENCE                国家情報長官
               The DIRECTOR OF THE CENTRAL INTELLIGENCE AGENCY                中央情報局(CITA)長官
               THE ASSISTANT TO THE PRESIDENT FOR NATIONAL                国家安全保障問題担当大統領補佐官
               SECURITY AFFAIRS                安全保障問題担当
               THE COUNSEL TO THE PRESIDENT                大統領補佐官
               THE ASSISTANT TO THE PRESIDENT FOR ECONOMIC                大統領補佐官(経済政策担当
               POLICY AND DIRECTOR OF THE NATIONAL ECONOMIC                経済政策担当大統領補佐官兼国家経済会議議長
               COUNCIL                経済政策担当大統領補佐官兼国家経済会議議長
               THE ASSISTANT TO THE PRESIDENT AND HOMELAND                大統領補佐官兼国土安全保障顧問
               SECURITY ADVISOR AND DEPUTY NATIONAL SECURITY                国土安全保障担当補佐官および副国家安全保障担当補佐官
               ADVISOR                アドバイザー
               THE CHAIR OF THE COUNCIL OF ECONOMIC ADVISERS                経済諮問委員会議長
               THE DIRECTOR OF THE OFFICE OF SCIENCE AND                科学技術政策室長
               TECHNOLOGY POLICY                科学技術政策局長
               THE NATIONAL CYBER DIRECTOR                国家サイバーディレクター
               THE CHAIRMAN OF THE JOINT CHIEFS OF STAFF                統合参謀本部議長
               THE DIRECTOR OF THE NATIONAL SECURITY AGENCY                国家安全保障局長官
               THE DIRECTOR OF THE FEDERAL BUREAU OF                連邦捜査局局長
               INVESTIGATION                調査局長
               THE DIRECTOR OF THE NATIONAL COUNTERTERRORISM                国家テロ対策センター長
               CENTER                センター
               THE DIRECTOR OF THE NATIONAL COUNTERINTELLIGENCE                国家防諜・安全保障センター長
               AND SECURITY CENTER                センター長
SUBJECT:       Partial Revocation of Presidential Policy Directive 28 件名       大統領政策指令 28 号の一部撤回について
The Executive Order of October 7, 2022 (Enhancing Safeguards for United States Signals Intelligence Activities), establishes enhanced safeguards for United States signals intelligence activities that supersede the safeguards for personal information collected through signals intelligence established by Presidential Policy Directive 28 of January 17, 2014 (Signals Intelligence Activities) (PPD-28).  The Executive Order establishes enhanced safeguards in recognition that signals intelligence activities must be conducted in a manner that takes into account that all persons should be treated with dignity and respect, regardless of their nationality or wherever they might reside, and that all persons have legitimate privacy interests in the handling of their personal information.  In addition, signals intelligence activities present the potential for national security damage if improperly disclosed.  Therefore, it is essential to maintain the policy process refined by section 3 of PPD-28 and supplemented by the classified annex to PPD-28, under which national security policymakers consider carefully the value of signals intelligence activities to our national interests and the risks entailed in conducting those activities. 2022年10月7日の大統領令(米国シグナルズ・インテリジェンス活動のセーフガードの強化)は、2014年1月17日の大統領政策指令28(シグナルズ・インテリジェンス活動)(PPD-28)で定められたシグナルズ・インテリジェンスを通じて収集した個人情報に対するセーフガードに取って代わり、米国シグナルズ・インテリジェンス活動のセーフガードを強化するものである。  この大統領令は、シグナルインテリジェンス活動は、国籍や居住地にかかわらず、すべての人が尊厳と尊敬をもって扱われるべきであり、すべての人が個人情報の取り扱いに関して正当なプライバシー利益を有することを考慮した方法で実施されなければならないことを認識し、強化された保護措置を定めています。  また、シグナルズ・インテリジェンスの活動は、不適切に開示された場合、国家安全保障に損害を与える可能性があります。  したがって、PPD-28の第3節で洗練され、PPD-28の機密附属文書で補足された政策プロセスを維持することが不可欠である。このプロセスに基づいて国家安全保障政策立案者は、わが国の国益に対するシグナルズ・インテリジェンス活動の価値とその活動の実施に伴うリスクについて慎重に検討するのである。
Section 1.  Revocation.  PPD-28 is hereby revoked except for sections 3 and 6 of that directive and the classified annex to that directive, which remain in effect.  第1条  撤回。 PPD-28は、同指令の第3節と第6節、及び同指令の機密扱いの附属書を除き、ここに撤回され、これらは引き続き有効である。 
Section 2.  General Provisions.  (a)  Nothing in this memorandum shall be construed to impair or otherwise affect: 第2条  一般規定  (a) 本覚書のいかなる内容も、以下の内容を損なったり、影響を与えるものと解釈してはならない。
(i)   the authority granted by law to an executive department, agency, or the head thereof; or (i) 行政機関、省庁、またはその長に法律で与えられた権限。
(ii)  the functions of the Director of the Office of Management and Budget relating to budgetary, administrative, or legislative proposals. (ii) 予算、行政、または立法案に関する行政管理予算局長官の職務。
(b)  This memorandum shall be implemented consistent with applicable law and subject to the availability of appropriations. (b) この覚書は、適用法に従い、充当可能な範囲内で実施されるものとする。
(c)  This memorandum is not intended to, and does not, create any right or benefit, substantive or procedural, enforceable at law or in equity by any party against the United States, its departments, agencies, or entities, its officers, employees, or agents, or any other person. (c) この覚書は、米国、その省庁、団体、その役員、職員、代理人、またはその他の人物に対して、当事者が法律上または衡平法上強制できる、実体的または手続き上の権利または利益を生み出すことを意図したものではなく、またそうすることもない。
                               JOSEPH R. BIDEN JR.                                JOSEPH R. BIDEN JR.

 

Fig1_20210802074601

 


 

まるちゃんの情報セキュリティきまぐれ日記

・2022.03.27 米国と欧州委員会が米国ー欧州間のデータプライバシーフレームワークに合意したと発表していますね。。。

 「米国のシグナル・インテリジェンス活動に適用されるプライバシーと市民的自由の保護を強化する改革を実施する」

・2021.06.04 欧州データ保護委員会 (EDPB) 2020年次報告書

・2021.03.28 EU-USプライバシーシールドを強化するための交渉を推進 - 米国商務長官と欧州司法長官による共同記者会見

・2020.11.20 欧州データ保護委員会-第42回本会議、第41回本会議(標準契約条項)

・2020.08.13 プライバシーシールド無効の判決を受けて、米国商務長官と欧州司法長官が共同プレス声明していますね

・2020.07.26 欧州データ保護委員会がプライバシーシールド無効判決についてのFAQを公開していますね

・2020.07.21 プライバシーシールド無効判決後のアメリカとイギリス

・2020.07.16 EU-USのプライバシーシールドを無効にしま〜す by EU裁判所

 

 

| | Comments (0)

米国 FBI 中間選挙を前にサイバーセキュリティについて議論

こんにちは、丸山満彦です。

FBIサンフランシスコ支局が、中間選挙を前にサイバーセキュリティに留意点等を発表していますね。。。偽情報に踊らされないように、ソーシャルメディア企業とも連携して対応することが必要となってくるのでしょうね。。。

FBI - SAN FRANCISCO

・2022.10.06 FBI San Francisco Discusses Cybersecurity Ahead of Mid-Term Elections

FBI San Francisco Discusses Cybersecurity Ahead of Mid-Term Elections FBI サンフランシスコ支局、中間選挙を前にサイバーセキュリティについて議論
SAN FRANCISCO—The FBI San Francisco Field Office met with reporters today to discuss potential cybersecurity threats to the upcoming elections, what authorities are doing to protect election security, and what the public needs to know to be best informed ahead of election season. サンフランシスコ-FBIサンフランシスコ支局は本日、記者会見を行い、来る選挙に潜むサイバーセキュリティの脅威、選挙のセキュリティを守るために当局が行っていること、選挙シーズンを前に国民が知っておくべき最善の情報提供について話し合いました。
Assistant Special Agent in Charge (ASAC) Elvis Chan is in charge of the FBI San Francisco Division’s Cyber Branch and leads the FBI’s efforts to enforce election security in the Bay Area and Northern California region. 特別捜査官補(ASAC)のエルビス・チャンは、FBIサンフランシスコ支部のサイバー部門を担当し、ベイエリアと北カリフォルニア地域における選挙セキュリティの強化に向けたFBIの取り組みを率いています。
“Election security continues to be one of the FBI’s highest national security priorities across the country and most definitely here in the Northern District of California. Our San Francisco Division’s Cyber Branch is actively working in concert with the Department of Justice, the Department of Homeland Security, our intelligence community counterparts, and our private sector partners, as well as federal, state, and local election officials to share information, bolster security, and identify and disrupt any threats by cyber actors to our nation’s elections,” said Assistant Special Agent in Charge Chan. “Our citizens have a right to expect free and fair elections, and the FBI is committed to ensuring the integrity of the 2022 midterm elections.” 「選挙セキュリティは、全米で、そしてここカリフォルニア州北部地区でも、FBIの国家安全保障上の最優先事項の1つとなっています。サンフランシスコ支部のサイバー部門は、司法省、国土安全保障省、情報機関の協力者、民間セクターのパートナー、連邦、州、地方の選挙管理者とともに、情報の共有、セキュリティの強化、サイバー行為者による選挙への脅威の特定と破壊に積極的に取り組んでいます。FBIは2022年の中間選挙の健全性を確保するために全力を尽くします。」
The FBI is the lead U.S. agency investigating suspicious cyber activity on any election-related systems in the United States, including election infrastructure, campaign networks, related third-party vendors, and service-provider networks. Investigators, analysts, and other professionals in the FBI’s San Francisco Division have been working with our agency partners within our region to protect against persisting cybersecurity threats to our elections. Among those who pose threats to our election infrastructure are actors tied to foreign governments and cybercriminal groups. FBIは、選挙インフラ、選挙運動用ネットワーク、関連する第三者ベンダー、サービスプロバイダネットワークなど、米国内のあらゆる選挙関連システムに対する疑わしいサイバー活動を調査する米国の主導的機関です。FBIサンフランシスコ支局の捜査官、アナリスト、その他の専門家は、選挙に対する根強いサイバーセキュリティの脅威から保護するために、地域内のパートナー機関と協力しています。選挙インフラに脅威を与えているのは、外国政府やサイバー犯罪者集団とつながりのある行為者たちです。
Historically, bad actors who have targeted election infrastructure aim to obtain personally identifiable information of voters and other valuable data, collect ransom on seized data, and generally disrupt election operations and undermine U.S. voter confidence in free and fair elections. 歴史的に、選挙インフラを標的とする悪質な行為者は、有権者の個人識別情報やその他の貴重なデータを入手し、押収したデータの身代金を徴収し、一般的に選挙業務を妨害し、自由で公正な選挙に対する米国の有権者の信頼を損なわせることを目的としてきました。
Malicious activity that occurred in previous elections demonstrated how imperative it is for election officials to ensure their websites and databases are secured against exploitation. Ahead of the 2022 elections, the FBI has been working extensively with our U.S. government partners and state and local election officials to help harden their systems against cyberattacks. The FBI is also collaborating with election campaigns, political committees, social media companies, and directly with the American people to respond quickly to threats and proactively protect systems. 過去の選挙で発生した悪質な活動は、選挙管理者がウェブサイトやデータベースを悪用されないように保護することがいかに不可欠であるかを示しています。2022年の選挙を前に、FBIは米国政府のパートナーや州・地域の選挙管理者と幅広く連携し、サイバー攻撃に対するシステムの堅牢化を支援しています。また FBI は、選挙キャンペーンや政治委員会、ソーシャルメディア企業、そして米国民と直接協力し、脅威への迅速な対応とシステムの積極的な保護に取り組んでいます。
The FBI San Francisco wants to assure the public that we are committed to ensuring the integrity of our elections and that our citizens should feel secure in our election systems. FBIサンフランシスコ支局は、私たちが選挙の健全性を確保するために尽力していること、そして市民の皆様が選挙システムを安心して利用できるようにすることをお約束したいと思います。
Protect Your Vote: Recommendations for the Public あなたの一票を守りましょう。一般市民への提言
The FBI encourages voters to look at news and social media posts with a critical eye and find trusted sources of information. The FBI also warns voters to exercise care when sharing information to avoid inadvertently spreading disinformation and propaganda. When appropriate, using in-platform tools offered by social media companies is encouraged for the public to report suspicious posts that appear to be spreading false or inconsistent information about voting and elections. FBIは、ニュースやソーシャルメディアの投稿を批判的な目で見て、信頼できる情報源を見つけるよう有権者に勧めています。またFBIは、偽情報やプロパガンダを不用意に広めないよう、情報を共有する際には注意を払うよう有権者に警告しています。投票や選挙に関する誤った情報や矛盾した情報を流していると思われる不審な投稿を報告するために、適切な場合には、ソーシャルメディア企業が提供するプラットフォーム内のツールを利用することが推奨されます。
Victim Reporting and Additional Information 被害者報告および追加情報
The best way both the public and private sectors can help the FBI protect our election systems is by reporting suspicious activity. The FBI San Francisco encourages the public to report information concerning suspicious or criminal activity to the FBI at tips.fbi.gov or by calling FBI San Francisco at 415-553-740. For additional election-related assistance and resources, please visit the following FBI webpages: FBIが選挙システムを保護するために、一般市民と民間企業の両方ができる最善の方法は、疑わしい活動を報告することです。FBIサンフランシスコ支部では、疑わしい活動や犯罪行為に関する情報を、tips.fbi.govまたはFBIサンフランシスコ支部(415-553-740)に報告するよう一般の方に呼びかけています。選挙に関連するその他の支援や情報源については、以下のFBIのウェブページをご覧ください。

 

Election Crimes and Security

Protected Voices

・[PDF] 2022.10.04 Malicious Cyber Activity Against Election Infrastructure Unlikely to Disrupt or Prevent Voting

20221011-04031

Recommendations  推奨事項 
•       For information about registering to vote, polling locations, voting by mail, provisional ballot process, and final election results, rely on state and local government election officials.   ・選挙登録、投票所、郵便投票、仮投票の手続き、最終的な選挙結果などの情報については、州や地方自治体の選挙管理者に頼ること。
•       Remain alert to election-related schemes which may attempt to impede election administration.  ・選挙管理を妨害するような選挙関連の詐欺に常に注意を払うこと。
•       Be wary of emails or phone calls from unfamiliar email addresses or phone numbers that make suspicious claims about the elections process or of social media posts that appear to spread inconsistent information about election-related incidents or results.  ・見慣れないメールアドレスや電話番号から、選挙のプロセスについて不審な主張をしているメールや電話、選挙関連の事件や結果について一貫性のない情報を流していると思われるソーシャルメディアへの投稿に注意すること。
•       Do not communicate with unsolicited email senders, open attachments from unknown individuals, or provide personal information via email without confirming the requester’s identity. Be aware that many emails requesting your personal information often appear to be legitimate.  ・迷惑メールの送信者と連絡を取ったり、知らない人からの添付ファイルを開いたり、要求者の身元を確認せずに電子メールで個人情報を提供したりしないこと。個人情報を要求する電子メールは、しばしば合法的なものに見えることがあるので、注意すること。
•       Verify through multiple, reliable sources any reports about compromises of voter information or voting systems, and consider searching for other reliable sources before sharing such information via social media or other avenues.   ・有権者情報や投票システムの侵害に関する報告は、信頼できる複数の情報源を通じて確認し、ソーシャルメディアやその他の手段でそのような情報を共有する前に、他の信頼できる情報源を探すことを検討すること。
•       Be cautious with websites not affiliated with local or state government that solicit voting information, like voter registration information. Websites that end in “.gov” or websites you know are affiliated with your state or local election office are usually trustworthy. Be sure to know what your state and local elections office websites are in advance to avoid inadvertently providing your information to nefarious websites or actors.  ・地方自治体や州政府と関係のないウェブサイトが、有権者登録情報などの投票情報を求めている場合は、注意をすること。末尾が「.gov」のウェブサイトや、州や地域の選挙事務所と提携していることがわかっているウェブサイトは、通常、信頼できるものである。不用意に悪意のあるウェブサイトや行為者に情報を提供しないよう、州や地域の選挙事務所のウェブサイトがどのようなものかを事前に確認しておくこと。
•       Report potential crimes—such as cyber targeting of voting systems—to your local FBI Field Office.  ・投票システムを狙ったサイバー犯罪などの可能性がある場合は、最寄りのFBI支局に報告すること。
•       Report cyber-related incidents on election infrastructure to your local election officials and CISA (Central@CISA.gov).  ・選挙インフラに関するサイバー関連のインシデントを地元の選挙管理者とCISA (Central@CISA.gov)に報告すること。

 

 

| | Comments (0)

内閣官房 NISC 研究開発戦略専門調査会第19回会合(各省の活動状況等) (2022.09.29)

こんにちは、丸山満彦です。

内閣官房 NISC の研究開発戦略専門調査会第19回会合で、総務省、経済産業省、文科省のサイバーセキュリティ関連の研究開発活動状況が共有されていますね。。。また、内閣府から「経済安全保障重要技術育成プログラム」の説明もされていますね。。。

色々と参考になります...

さて、世界をリードするようなサイバーセキュリティの研究開発ができるのでしょうか。。。

 

NISC

・2022.09.29 研究開発戦略専門調査会第19回会合を開催


・資料1 (事務局資料)サプライチェーン・セキュリティを中心とした研究開発の状況(注)資料非公開

・[PDF] 資料2 (総務省資料)総務省の研究開発関連の取組 

20221010-85803

 

・[PDF] 資料3 (経済産業省資料)経済産業省の研究開発関連の取組 

20221010-85814

 

・[PDF] 資料4 (文部科学省資料)文部科学省の研究開発関連の取組 

20221010-85839

 

・[PDF] 資料5 (内閣府資料)経済安全保障重要技術育成プログラムについて 

20221010-85858

 

参考資料1 (事務局資料)研究開発戦略専門調査会(委員名簿、設置について、運営について) 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.02.24 日本のサイバーセキュリティ関連の研究開発状況。。。NISC 研究開発戦略専門調査会第18回会合

 

 

 

| | Comments (0)

2022.10.10

中国 習近平総書記が中国のサイバーセキュリティ活動を指導 (2022.09.28)

こんにちは、丸山満彦です。

中国から見たインターネットの世界を理解することは重要なことだと思います。。。

 

中央网络安全和信息化委员会办公室 (Office of the Central Cyberspace Affairs Commission / Cyberspace Administration of China)

・2022.09.28 《中国网信》杂志发表《习近平总书记指引我国网络安全工作纪实》

Fig1_20221010054901

 

《中国网信》杂志发表《习近平总书记指引我国网络安全工作纪实》 中国ネットニュース発行「習近平総書記が中国のサイバーセキュリティ活動を指導」
成城众志金汤固 街の永続は固い
——习近平总书记指引我国网络安全工作纪实 ・近平総書記による中国のサイバーセキュリティ業務の指導の記録
山川自古雄图在,槛外时闻绕电雷。 古来より山河は雄大であり、敷居を超えると雷が鳴る。
纵观人类社会发展历程,每一次重大技术革新,都会给国家安全带来新的挑战。当前,新一轮科技革命和产业变革加速演进,信息革命时代潮流席卷全球,网络安全威胁和风险日益突出,并且向政治、经济、文化、社会、生态、国防等领域传导渗透,网络安全风险激增,新情况新问题新挑战层出不穷,深刻影响全球经济格局、利益格局、安全格局。 同社は、国家安全保障に新たな課題をもたらす新技術の開発を主な事業としている。 現在、科学技術革命と産業変革の新ラウンドが加速し、情報革命が世界を席巻し、サイバーセキュリティの脅威とリスクがますます顕著になり、政治、経済、文化、社会、生態、国防などの分野に浸透し、サイバーセキュリティリスクが増殖し、新しい状況、新しい問題、新しい挑戦が生まれ、世界の経済、利益、セキュリティパターンに深く影響を与えている。
审视我们面临的安全威胁,最现实的、日常大量发生的不是来自海上、陆地、领空、太空,而是来自被称为第五疆域的网络空间。当前,深刻认识和有力防范网络安全风险,切实维护网络空间安全,已成为事关全局的重大课题。 我々が直面する安全保障上の脅威を見ると、最も現実的で日常的なのは、海、陸、空、宇宙からではなく、第5のフロンティアと呼ばれるサイバースペースからの脅威である。 現在、サイバーセキュリティのリスクを深く理解し、強力に予防し、サイバースペースのセキュリティを効果的に維持することが、全体の大きな関心事になっている。
备豫不虞,为国常道。 備えあれば憂いなし、この国の常識である。
党的十八大以来,以习近平同志为核心的党中央高度重视网络安全工作,习近平总书记多次发表重要讲话、作出重要指示批示,从党和国家事业发展全局的高度对网络安全工作作出一系列新部署新要求,加强网络安全工作战略谋划和顶层设计,推动我国网络安全体系不断完善,网络安全保障能力持续提升,网络安全屏障日益巩固,全社会网络安全意识和防护能力明显增强,广大人民群众在网络空间的获得感、幸福感、安全感不断提升,为加快建设网络强国提供了有力支撑和坚实保障。 第18回党大会以降、習近平同志を中核とする党中央委員会はサイバーセキュリティ業務を非常に重視しており、習近平総書記は重要な演説と重要な指示・指導を繰り返し、党と国家の全面的発展の観点からサイバーセキュリティ業務に対する一連の新しい展開と要求を行い、サイバーセキュリティ業務の戦略立案とトップレベルの設計を強化して、中国のサイバーセキュリティシステム、サイバーセキュリティ保護能力に対する継続的改善を推進した。 社会全体のサイバーセキュリティに対する認識と保護能力が著しく向上し、一般市民のサイバー空間へのアクセス、幸福感、安全感が絶えず向上し、強力なネットワーク国家の建設を加速させるための強力なサポートと強固な保護が提供されている。
万里长风两翼振,树立正确的网络安全观,一体推进网络安全和信息化工作 長い風の両翼が振動し、正しいサイバーセキュリティ観の確立とサイバーセキュリティと情報業務を一体で推進する
树立正确的网络安全观,是习近平总书记对网络安全工作提出的基本原则和要求。当前,互联网等信息网络的普及性、互联性、复杂性以及经济社会对信息网络的依赖性不断增强,给国家网络安全带来新的风险和挑战,网络安全形势日趋复杂严峻。近年来,全球范围内重大网络安全事件层出不穷,各种网络攻击活动时有发生,影响能源、金融、电信、航空、政务等多个重要行业领域,呈现愈演愈烈之势。个别国家强化进攻性网络威慑战略,大规模发展网络作战力量,网络冲突风险不断加剧。 ネットワークセキュリティに対する正しい見方を確立することは、習近平総書記がネットワークセキュリティ業務の基本原則と要求として打ち出したものである。 現在、インターネットをはじめとする情報ネットワークの普及、相互接続性、複雑化、経済・社会の情報ネットワークへの依存度の高まりは、国家ネットワークセキュリティに新たなリスクと課題をもたらし、ネットワークセキュリティの状況はますます複雑かつ深刻になってきている。 近年、世界各地で大規模なサイバーセキュリティ事件が頻発し、エネルギー、金融、通信、航空、政府など多くの重要産業に影響を及ぼす様々なサイバー攻撃が随時発生し、拡大傾向を示している。 個々の国は攻撃的なサイバー抑止戦略を強化し、大規模なサイバー戦力を整備しており、サイバー紛争のリスクは高まっている。
2006年,伊朗重启核电站计划,却屡遭挫折。数年之后才有人发现,原来是因为一种新型“网络武器”——震网病毒攻击了伊朗纳坦兹核工厂,造成大量离心机被摧毁,核研发进程受到影响。这一事件被公认为全球首个通过网络攻击对国家关键军事设施造成严重物理伤害的事件。 2006年、イランは原子力発電所の再稼働計画を何度も阻まれた。 新型の「サイバー兵器」であるショックネットウイルスがイランのナタンズ原子力発電所を攻撃し、大量の遠心分離機を破壊して核開発プロセスを危うくしたことが判明したのは、それから数年後のことであった。 この事件は、一国の重要な軍事施設に深刻な物理的損害を与えた世界初のサイバー攻撃として認識されている。
2013年,斯诺登曝光了美国的“棱镜计划”。曝光显示,自2007年起,美国政府对全球实施电子监听,进入微软、谷歌、苹果等多家互联网巨头服务器监控用户隐私资料,其侵犯人群之广、程度之深、时间之长震惊世人。 2013年、スノーデンは米国のプリズム・プログラムを暴露した。 この暴露により、2007年以降、米国政府は世界中で電子的監視を行っており、マイクロソフト、グーグル、アップルなど多くのインターネット大手のサーバーにアクセスしてユーザーの個人データを監視していることが明らかになり、その侵入の幅、深さ、長さが世界に衝撃を与えた。
2017年5月,全球范围内爆发针对Windows操作系统漏洞的勒索病毒(WannaCry)感染事件。全球100多个国家和地区数十万用户中招,我国企业、学校、医疗、电力、能源、金融、交通等多个行业均遭受不同程度的影响。 2017年5月、Windows OSの脆弱性を狙ったランサムウェア(WannaCry)感染が世界規模で発生した。 世界100以上の国と地域の数十万人のユーザーが被害を受け、中国でも企業、学校、医療、電力、エネルギー、金融、交通など多くの産業が程度の差こそあれ影響を受けた。
2020年,中国网络安全企业360公司发布报告,曝光网络攻击组织APT-C-39曾对我国航空航天、科研机构、石油行业、大型互联网公司以及政府机构等关键领域进行了长达11年的网络渗透攻击,严重损害了我国国家安全、经济安全、关键信息基础设施安全和广大民众的个人信息安全。 2020年、中国のサイバーセキュリティ企業360は、サイバー攻撃集団APT-C-39が11年間にわたり、中国の航空宇宙、科学研究機関、石油産業、大手インターネット企業、政府機関などの重要分野に対してネットワーク侵入攻撃を行い、中国の国家安全保障、経済安全、重要情報インフラのセキュリティ、一般市民の個人情報を著しく損ねたことを暴露するレポートを発表した。 この攻撃は、中国の国家安全保障、経済安全保障、重要な情報インフラのセキュリティ、一般市民の個人情報のセキュリティを著しく損った。
2021年,美国最大成品油运输管道运营商科洛尼尔公司工控系统遭勒索病毒攻击,成品油运输管道运营被迫中断,美国宣布国家进入紧急状态…… 2021年、米国で石油製品輸送パイプラインを運営する最大手クロニエ社の産業用制御システムがランサムウェア攻撃を受け、石油製品輸送パイプラインの操業が不能に陥り、米国が国家非常事態を宣言.........。
网络安全日益成为全球性问题,网络空间不确定性因素增多,传统网络安全威胁与新型网络安全威胁相互交织,国内网络安全与国际网络安全高度关联,网上安全与网下安全密切互动,针对国家、企业和网民的网络攻击日渐增多,数据安全和个人信息保护问题突出,网络违法犯罪活动屡禁不止,国家安全和人民群众利益面临很大威胁。 サイバーセキュリティはますますグローバルな問題となりつつあり、サイバースペースの不確実性が高まり、従来のサイバーセキュリティ脅威と新しいサイバーセキュリティ脅威が絡み合い、国内と海外のサイバーセキュリティが高度に相互接続し、オンラインとオフラインのセキュリティが密接に相互作用し、国家、企業、インターネットユーザーに対するサイバー攻撃が増え、データセキュリティと個人情報の保護が顕著となり、違法なサイバー犯罪行為が繰り返し禁止されるようになっている。 国家の安全保障と国民の利益は、大きな脅威にさらされている。
2017年12月18日至20日,中央经济工作会议在北京举行。中共中央总书记、国家主席、中央军委主席习近平发表重要讲话。其中,“着力解决网上虚假信息诈骗、倒卖个人信息等突出问题”被列为“提高保障和改善民生水平”的一项重要内容。图/新华社记者 谢环驰 摄 2017年12月18日から20日にかけて、北京で中央経済工作会議が開催された。 中国共産党中央委員会総書記、国家主席、中央軍事委員会主席である習近平が重要な演説を行った。 その中で、「保護水準の向上と国民生活の向上」の重要な内容として、「ネット上の不正情報や個人情報の売買などの未解決問題の解決に努めること」が挙げられている。 写真/新華社謝煥智
祸机生隐微,智者鉴未形。 災難が迫っているが、賢者はそれを見ることができない
习近平总书记指出:“当前我国国家安全内涵和外延比历史上任何时候都要丰富,时空领域比历史上任何时候都要宽广,内外因素比历史上任何时候都要复杂,必须坚持总体国家安全观,以人民安全为宗旨,以政治安全为根本,以经济安全为基础,以军事、文化、社会安全为保障,以促进国际安全为依托,走出一条中国特色国家安全道路。”“统筹发展和安全,增强忧患意识,做到居安思危,是我们党治国理政的一个重大原则。”习近平总书记高瞻远瞩、统揽全局,亲自谋划、亲自部署,开启了新时代网络安全工作的崭新篇章。 習近平総書記は、次のように述べた。「現在、中国の国家安全保障は、歴史上のどの時期よりも意味合いと範囲が豊かで、歴史上のどの時期よりも空間と時間が広く、内外の要因が複雑であり、人民の安全を目的、政治の安全を根源、経済の安全を基礎、軍事、文化、社会という国家安全全体概念を固めなければならない。 」「安全保障を保証とし、国際安全保障を背骨として推進し、中国の特色ある国家安全保障の道を歩む 。 」「発展と安全を一体化し、心配り意識を高め、平時から危険に備えることは、わが党の統治の大原則である。」「習近平総書記の先見の明と全体的なアプローチ、そして個人的な計画と展開は、新時代のサイバーセキュリティ業務の全く新しい章を切り開いたと言える。
2014年2月27日,习近平总书记主持召开中央网络安全和信息化领导小组第一次会议并发表重要讲话。“没有网络安全就没有国家安全,没有信息化就没有现代化”,总书记的讲话振聋发聩、字字千钧。总书记深刻指出:“网络安全和信息化是一体之两翼、驱动之双轮,必须统一谋划、统一部署、统一推进、统一实施。做好网络安全和信息化工作,要处理好安全和发展的关系,做到协调一致、齐头并进,以安全保发展、以发展促安全,努力建久安之势、成长治之业。” 2014年2月27日、習近平総書記は「ネットワークセキュリティと情報化に関する中央指導グループ」の初会合の議長を務め、重要なスピーチを行った。 「サイバーセキュリティなくして国家安全保障なし、情報化なくして近代化なし」という総書記の演説は、耳をつんざくような言葉遣いで、とても印象的であった。 総書記は、「サイバーセキュリティと情報化は、一翼の両輪であり、計画、展開、推進、実施を一体化しなければならない」と深く指摘した。 「ネットワークセキュリティと情報化をうまくやるためには、セキュリティと発展の関係に対処し、協調を図り、手を携えて、セキュリティとともに発展を確保し、発展とともにセキュリティを推進し、長期的セキュリティと長いガバナンスの勢いをつけるよう努力しなければならない。」と述べた。
2016年4月19日,网络安全和信息化工作座谈会在北京召开。习近平总书记在会上明确提出要“树立正确的网络安全观”,强调“在信息时代,网络安全对国家安全牵一发而动全身,同许多其他方面的安全都有着密切关系”。总书记深刻剖析了网络安全的主要特征:网络安全是整体的而不是割裂的,是动态的而不是静态的,是开放的而不是封闭的,是相对的而不是绝对的,是共同的而不是孤立的。 2016年4月19日、北京でサイバーセキュリティと情報業務に関するシンポジウムが開催された。 会議で習近平総書記は、「ネットワークセキュリティの正しい概念の確立」を明確に提案し、「情報化時代において、ネットワークセキュリティは国家の安全保障に大きな影響を与え、他の多くのセキュリティの側面と密接に関連している」と強調した。 総書記は、サイバーセキュリティは断片的ではなく全体的、静的ではなく動的、閉鎖的ではなく開放的、絶対的ではなく相対的、孤立的ではなく共通的である、という主な特徴を深く分析した。
2018年4月20日,在全国网络安全和信息化工作会议上,习近平总书记再次强调树立正确的网络安全观,并对加强关键信息基础设施防护,依法严厉打击网络黑客、电信网络诈骗、侵犯公民个人隐私等违法犯罪行为提出要求,对网络安全重点工作作出系统部署。 2018年4月20日、習近平総書記は「ネットワークセキュリティと情報化に関する全国会議」で、改めてネットワークセキュリティの正しい概念の確立を強調し、重要情報インフラの保護強化、ネットワークハッキング、通信網詐欺、市民の個人プライバシー侵害などの違法・犯罪行為を法に基づき取り締まり、ネットワークセキュリティに関する重点作業を系統的に展開することを要件として打ち出した。
2019年9月,在第六个国家网络安全宣传周开幕之际,习近平总书记专门对网络安全工作作出“四个坚持”的重要指示,要求国家网络安全工作要坚持网络安全为人民、网络安全靠人民,保障个人信息安全,维护公民在网络空间的合法权益。要坚持网络安全教育、技术、产业融合发展,形成人才培养、技术创新、产业发展的良性生态。要坚持促进发展和依法管理相统一,既大力培育人工智能、物联网、下一代通信网络等新技术新应用,又积极利用法律法规和标准规范引导新技术应用。要坚持安全可控和开放创新并重,立足于开放环境维护网络安全,加强国际交流合作,提升广大人民群众在网络空间的获得感、幸福感、安全感。“四个坚持”的提出,为网络安全事业进一步锚定了发展航向。 2019年9月、習近平総書記は第6回国家サイバーセキュリティ啓発週間の開幕にあたり、サイバーセキュリティ業務の「4つの主張」について重要な指示を行い、国家サイバーセキュリティ業務に、人民のためのサイバーセキュリティ、人民によるサイバーセキュリティ、個人情報の保護、および、個人情報の保護をサイバースペースにおける市民の正当な権利と利益を保護するため堅持するよう求めた。 私たちは、サイバーセキュリティ教育、技術、産業の統合的発展を主張し、人材育成、技術革新、産業発展の健全な生態系を形成しなければなりません。私たちは、発展の促進と法に基づく管理の統一を堅持し、人工知能、モノのインターネット、次世代通信ネットワークなどの新しい技術やアプリケーションを精力的に育成するだけでなく、法律、規制、基準を積極的に利用して、新しい技術の適用を指導しなければなりません。私たちは、セキュリティとコントロール、オープンイノベーションの同等の重要性を堅持し、オープンな環境に基づくネットワークセキュリティを維持し、国際交流と協力を強化し、サイバー空間における一般市民のアクセス、幸福、セキュリティの感覚を向上させる必要がある。 4つのこだわり "は、ネットワークセキュリティの原因のために、さらにコースの開発を固定するために提唱した。
安全非一国一域之事。网络安全问题是世界各国面临的共同挑战。 安全保障は、一国、一地域の問題ではない。 サイバーセキュリティの問題は、世界のすべての国が直面する共通の課題である。
2015年,习近平主席在接受美国《华尔街日报》书面采访时指出:“互联网作为20世纪最伟大的发明之一,把世界变成了‘地球村’”“但是,这块‘新疆域’不是‘法外之地’”。在华盛顿州当地政府和美国友好团体联合欢迎宴会上演讲时,他向全球郑重重申了中国的一贯立场:“中国是网络安全的坚定维护者”“国际社会应该本着相互尊重和相互信任的原则,共同构建和平、安全、开放、合作的网络空间”。 2015年、習近平主席は米ウォール・ストリート・ジャーナルの書面インタビューで、「20世紀最大の発明の一つであるインターネットは、世界を『地球村』に変えた」と指摘し、「しかし、この ニューフロンティア』は『法の外の土地』ではない」。 ワシントン州で開催された地元政府と米国友好団体の合同歓迎宴でのスピーチで、「中国はサイバーセキュリティの確固たる擁護者である」「国際社会は平和で安全、開放的で、安全な社会を築くために協力すべきである」という中国の一貫した立場を世界に対して厳粛に繰り返したのである。 国際社会は、相互尊重と信頼の原則に基づき、平和で安全、オープンかつ協力的なサイバースペースを構築するために協力する必要がある。"と述べている。
同年12月,习近平主席在第二届世界互联网大会开幕式上指出:“网络安全是全球性挑战,没有哪个国家能够置身事外、独善其身,维护网络安全是国际社会的共同责任。”“中国愿同各国一道,加强对话交流,有效管控分歧,推动制定各方普遍接受的网络空间国际规则,制定网络空间国际反恐公约,健全打击网络犯罪司法协助机制,共同维护网络空间和平安全。” 同年12月、習近平国家主席は第2回世界インターネット会議の開会式で、"サイバーセキュリティはグローバルな課題であり、どの国も手を出さず、単独で行うことはできず、サイバーセキュリティの維持は国際社会の共通の責務である "と指摘した。 "中国は他国と協力して対話と交流を強化し、差異を効果的に管理し、すべての当事者が普遍的に受け入れるサイバースペースの国際ルール策定を推進し、サイバースペースにおける反テロリズムに関する国際条約を策定し、サイバー犯罪と戦うための司法支援メカニズムを改善し、サイバースペースの平和と安全を共同で維持する意思がある。"
维护网络空间和平安全,中国既是积极倡导者,也是坚定践行者。 サイバースペースにおける平和と安全を維持するために、中国は積極的な提唱者であると同時に確固たる実践者でもある。
2016年,我国发布《国家网络空间安全战略》,明确提出以总体国家安全观为指导,贯彻落实创新、协调、绿色、开放、共享的发展理念,增强风险意识和危机意识,统筹国内国际两个大局,统筹发展安全两件大事,积极防御、有效应对,推进网络空间和平、安全、开放、合作、有序,维护国家主权、安全、发展利益,实现建设网络强国的战略目标。 2016年、中国はサイバースペースセキュリティ国家戦略を発表し、国家安全保障の全体的な概念を指針とし、革新、協調、緑、開放、共有の発展概念を実施し、リスク意識と危機意識を高め、国内外の2大状況を調整し、発展と安全の2大問題を調整し、積極的に防御し効果的に対応し、サイバースペースの平和、安全、開放、協力、秩序を推進し、セーフガードすると明確に提唱している。 これは、サイバーセキュリティに関する国内初の法律である。
这是我国首部关于国家网络安全工作的纲领性文件,向全世界阐明了我国网络安全的原则主张和战略任务。 これは、中国初の国家サイバーセキュリティ作業に関するプログラム文書であり、中国のサイバーセキュリティの原則と戦略的課題を世界に明らかにするものである。
舟人指点云开处,喜见青山一抹横。 船頭が雲の開いたところを指差すと、緑の丘が横切っているのが見えてきて嬉しくなる。
党的十八大以来,习近平总书记准确把握信息时代发展大势,运用马克思主义立场观点方法,深刻分析网络安全面临的新情况、新问题、新挑战,超前预判、积极应对,对网络安全问题进行了系统思考和深入探索,在乱云飞渡中坚如磐石,在风险挑战中运筹帷幄,对做好网络安全工作进行了科学谋划和战略部署,形成了新时代网络安全观。 第18回党大会以降、習近平総書記は情報化時代の発展動向を正確に把握し、マルクス主義の立場と視点を適用し、サイバーセキュリティが直面する新しい状況、新しい問題、新しい挑戦を深く分析し、事前判断を行い、積極的に対応し、サイバーセキュリティ問題の体系的思考と深い探究を行い、混沌とした雲の中に岩のようにしっかりと立ち、危険な挑戦の中に戦略を立て、サイバーセキュリティに関する優れた仕事の科学計画・戦略立案を行うようになった。 サイバーセキュリティの科学的計画と戦略的展開を行い、新時代のサイバーセキュリティの概念を形成した。
习近平总书记提出的网络安全观,立意高远、思想深邃,内涵丰富、系统完备,站在党和国家事业发展全局的高度,准确把握网络安全新特点、新趋势,科学回答了新时代网络安全的一系列重大理论和实践问题,深刻阐明了做好网络安全工作的重大意义、基本原则和重点任务,丰富了中国特色社会主义治网之道,深化和拓展了我们党关于信息时代国家安全问题的理论视野和实践领域,为做好网络安全工作指明了前进方向、提供了根本遵循,也为国际社会共同应对网络安全挑战提供了中国方案、贡献了中国智慧。 習近平総書記が打ち出したサイバーセキュリティの概念は、広範で、思想が深く、意味合いが豊かで、体系が完全で、党と国家の全面的発展の高みに立ち、サイバーセキュリティの新しい特徴と傾向を正確に把握し、新時代のサイバーセキュリティに関する一連の理論・実務上の重大な疑問に科学的に答え、サイバーセキュリティをよく行う意義、基本原則、重要課題を深く明らかにし、「サイバーセキュリティ」を豊かにしていくものである。 情報化時代の国家安全保障に関するわが党の理論的視野と実践的分野を深化・拡大し、優れたサイバーセキュリティ業務の進むべき道を示し、基本的指針を提供するとともに、国際社会がサイバーセキュリティの課題に共同で取り組むために中国のソリューションを提供し、中国の知恵を貢献するものである。
云披雾敛天地明,进一步巩固国家网络安全屏障,全面加强网络安全保障体系和能力建设 雲と霧が収束し、天地が晴れ、国家サイバーセキュリティーの障壁をさらに固め、サイバーセキュリティーの保護体制と能力開発を全面的に強化する。
党的十八大以来,在习近平总书记关于网络强国的重要思想指引下,我国网络安全工作取得显著成绩,网络安全和信息化一体推进、共同发展,国家网络安全屏障不断巩固,网络安全技术和产业蓬勃发展,人民群众网络权益得到有力保障,充分证明了理论创新和实践创新相结合所迸发的强大生命力,充分体现了以习近平同志为核心的党中央洞察历史大势的战略眼光和战略智慧,充分彰显了习近平总书记作为马克思主义政治家、思想家、战略家的深刻洞察力、敏锐判断力、理论创造力和坚强领导力。 第18回中国共産党全国代表大会以降、習近平総書記のサイバーパワーに関する重要な思想の指導の下、中国のサイバーセキュリティ業務は目覚ましい成果を上げ、サイバーセキュリティと情報化が共に推進され、発展し、国家サイバーセキュリティの障壁が固まり、サイバーセキュリティ技術と産業が栄え、国民のサイバー権益が強力に保護され、理論と実践を組み合わせた革新の強力な活力を十分に発揮している。 歴史の大きな流れを洞察する習近平同志を核心とする党中央委員会の戦略的ビジョンと戦略的知恵を十分に反映し、マルクス主義政治家、思想家、戦略家としての習近平総書記の深い見識、鋭い判断、理論の創造性、強い指導力を十分に発揮している。
——顶层设计和总体布局全面加强。加强党中央对网络安全工作的集中统一领导,成立中央网络安全和信息化领导小组(后改为委员会),强化网络安全工作的顶层设计、总体布局、统筹协调、整体推进和督促落实,把党管互联网落到实处。制定《党委(党组)网络安全工作责任制实施办法》,明确党委(党组)领导班子、领导干部网络安全政治责任,明确网络安全标准和保护对象、保护层级、保护措施,层层传导压力、逐级压实责任。 ・トップデザイン、全体レイアウトを全面的に強化した。 サイバーセキュリティ業務について、党中央委員会の中央統一指導を強化し、サイバーセキュリティと情報化に関する中央指導グループ(後に委員会に変更)を設置し、サイバーセキュリティ業務のトップレベルの設計、全体配置、調整、全体推進、監督を強化し、党のインターネットに対する統制を実践していくこと。 党委員会(党グループ)ネットワークセキュリティ作業責任制実施弁法」を制定し、ネットワークセキュリティに対する党委員会(党グループ)指導幹部と指導幹部の政治責任を明確にし、ネットワークセキュリティ基準と保護目標、保護レベル、保護手段を明記し、各レベルで圧力と圧縮責任を移譲している。
深化网络空间法治建设。2017年6月1日,《中华人民共和国网络安全法》正式施行,这是我国网络安全领域的首部基础性、框架性、综合性法律。之后,相继颁布《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《关键信息基础设施安全保护条例》等法律法规,出台《网络安全审查办法》《云计算服务安全评估办法》等政策文件,建立关键信息基础设施安全保护、网络安全审查、云计算服务安全评估、数据安全管理、个人信息保护等一批重要制度。发布《关于加强国家网络安全标准化工作的若干意见》,制定发布300余项网络安全领域国家标准。基本构建起网络安全政策法规体系的“四梁八柱”,网络安全法律体系建设日趋完善。 2017年6月1日、「中華人民共和国サイバーセキュリティ法」が発効し、中国におけるサイバーセキュリティ分野の初の基本法、枠組み法、包括法となっている。 その後、「中華人民共和国データ安全法」「中華人民共和国個人情報保護法」「重要情報インフラ安全保護条例」などの法規や「ネットワーク安全審査弁法」「クラウドコンピューティングサービス安全評価弁法」などの政策文書が公布され、重要情報インフラの安全保護、ネットワーク安全審査、クラウドコンピューティングサービス安全評価、データ安全管理、「中国国家安全保证条例」が制定された。 個人情報保護など、重要な制度が数多く制定された。 サイバーセキュリティ国家標準化の強化に関する意見」を発表し、サイバーセキュリティ分野で300以上の国家標準を策定・発表した。 サイバーセキュリティ政策法規システムの「四梁八柱」は基本的に構築され、サイバーセキュリティ法体系の構築はますます完璧になった。
强化网络安全治理。对滴滴、运满满、货车帮、BOSS直聘等启动网络安全审查;开展云计算服务安全评估并对已上线运行的云平台持续进行监督,网络安全执法形成有力震慑。坚持依法管网、依法办网、依法上网,确保互联网在法治轨道上健康运行,我国互联网治理体系和治理能力的现代化水平不断提升,网络安全治理格局日臻完善,网络安全防线进一步巩固。 ネットワークセキュリティのガバナンスを強化。 Drip、Transport、Trucker、BOSSなどのネットワークセキュリティ審査を開始し、クラウドコンピューティングサービスのセキュリティ評価と運用を開始したクラウド基盤の監視を継続し、ネットワークセキュリティ執行の強い抑止力を形成している。 法に従ってインターネットを規制し、法に従ってインターネットを運営し、法に従ってインターネットにアクセスし、法治の軌道でインターネットの健全な運営を確保することで、中国のインターネット統治制度と統治能力の現代化水準は絶えず向上し、ネットワークセキュリティ統治パターンは完成し、ネットワークセキュリティ防衛ラインはさらに強化されてきた。
——关键信息基础设施安全保护持续强化。加强关键信息基础设施保护,一直是习近平总书记关注的重点问题。“金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重。”“不出问题则已,一出就可能导致交通中断、金融紊乱、电力瘫痪等问题,具有很大的破坏性和杀伤力。我们必须深入研究,采取有效措施,切实做好国家关键信息基础设施安全防护。”“要落实关键信息基础设施防护责任,行业、企业作为关键信息基础设施运营者承担主体防护责任,主管部门履行好监管责任”…… ・重要な情報インフラのセキュリティ保護は継続的に強化されている。 重要な情報インフラの保護強化は、習近平総書記の重要な関心事として常に掲げられてきた。 "金融、エネルギー、電力、通信、交通の各分野における重要な情報インフラは、経済・社会活動の中枢であり、サイバーセキュリティの最重要課題である。"問題なし"ならまだしも、"問題あり"となると、交通機関の乱れ、金融の混乱、電力の麻痺など、破壊力、致死率の高い問題が発生する。 国の重要な情報インフラのセキュリティを効果的に守るために、綿密な調査を行い、効果的な対策を講じる必要がある。「重要情報インフラ保護の責任を実行するために、産業と企業は重要情報インフラのオペレータとして、保護の主な責任を引き受けるために、主務部門は、監督の責任を果たすために.....」
2016年10月,中央政治局就实施网络强国战略进行第三十六次集体学习,习近平总书记再次强调,“加强关键信息基础设施安全保障,完善网络治理体系。” 2016年10月、中央政治局はネットワークパワー戦略の実施に関する第36回集団調査を行い、習近平総書記は改めて 「重要情報インフラのセキュリティ保護強化とネットワークガバナンス体制の整備」を強調した。
《中华人民共和国网络安全法》专门设置“关键信息基础设施运行安全”一节,开启了关键信息基础设施安全“强监管时代”;2021年9月1日,《关键信息基础设施安全保护条例》正式施行,这是我国在关键信息基础设施安全方面的首部行政法规,从关键信息基础设施的范围界定、管理体系、监督机制、责任追究等入手,进一步细化保护举措、织密安全之网。 中華人民共和国サイバーセキュリティ法では、特に「重要情報インフラの運用セキュリティ」の項目が設けられ、重要情報インフラセキュリティの「強力な規制の時代」が開かれ、2021年9月1日には「重要情報インフラのセキュリティ保護に関する条例 2021年9月1日、中国初の重要情報インフラのセキュリティに関する行政法規である「重要情報インフラセキュリティ保護条例」が施行され、重要情報インフラの範囲、管理体制、監督機構、説明責任の定義から、保護措置がさらに洗練され、セキュリティ網が強化されることになった。
与此同时,关键信息基础设施安全保护配套措施也相继出台。2018年9月,国务院办公厅发布《关于加强政府网站域名管理的通知》,对加强政府网站域名安全防护及检测处置工作提出要求;2019年12月,全国信息安全标准化技术委员会启动国家标准《信息安全技术 关键信息基础设施网络安全保护基本要求》试点工作,旨在为关键信息基础设施安全保护工作提供技术支撑;2020年10月,工业和信息化部发布通知,开展电信和互联网行业网络安全风险隐患排查…… 2018年9月、国務院総局は、政府ウェブサイトのドメイン名セキュリティ保護と検出・廃棄の強化要件を定めた「政府ウェブサイトのドメイン名管理強化に関する通知」を発表、2019年12月には国家情報セキュリティ標準化技術委員会が国家標準「情報セキュリティ技術重要情報インフラストラクチャ 重要情報インフラのセキュリティ保護に対する技術支援を目的とした「ネットワークセキュリティ保護の基本要件」試行作業、2020年10月、工業情報化部は、通信・インターネット業界におけるネットワークセキュリティリスクと隠れた危険性の調査を実施するよう通達を出した ......
近年来,我国针对水利、电力、油气、交通、通信、金融等领域重要信息基础设施,强化网络安全检查,及时摸清家底、发现隐患、修补漏洞。组织开展对关键信息基础设施运营者采购网络产品和服务活动的网络安全审查,组织对面向党政机关和关键信息基础设施服务的云平台开展安全评估,做到关口前移,力求防患于未然。 近年、中国は水利、電力、石油・ガス、交通、通信、金融などの分野の重要な情報インフラを対象に、ネットワークセキュリティ検査を強化し、ホームベースの迅速なマッピング、隠れた危険の発見、抜け道の修復を行っている。 また、重要情報インフラ事業者によるネットワーク製品・サービスの調達に関するサイバーセキュリティ審査や、党・政府機関や重要情報インフラに提供するクラウドプラットフォームのセキュリティ評価を実施し、ゲートアップの推進と問題の未然防止に努めている。
——网络安全工作基础不断夯实。健全国家网络安全应急体系,实施《国家网络安全事件应急预案》,推动金融、能源、通信、交通等行业领域完善网络安全应急预案,安全防护体系不断健全,网络安全态势感知、事件分析、追踪溯源、应急处置能力全面提升。 ・サイバーセキュリティ業務の基盤が継続的に強化された。 サイバーセキュリティ緊急対応システムの改善,サイバーセキュリティ事件に対する国家緊急対応計画の実施,金融,エネルギー,通信,運輸セクターにおけるサイバーセキュリティ緊急対応計画の改善などが行われた。
《2020年中国互联网网络安全报告》显示,我国网络安全威胁治理成效显著。2020年,国家互联网应急中心(CNCERT)协调处置各类网络安全事件约10.3万起,同比减少4.2%。抽样监测发现,被植入后门的网站数量同比减少37.3%,境内政府网站被植入后门的数量同比减少64.3%;被篡改的网站数量同比减少45.9%。根据相关报告,2020年我国境内DDoS攻击次数减少16.16%,攻击总流量下降19.67%;僵尸网络控制端数量在全球占比下降至2.05%。 2020年中国インターネットサイバーセキュリティ報告書は、中国のサイバーセキュリティ脅威管理が有効であることを示している。2020年、国家インターネット緊急対応センター(CNCERT)は、あらゆる種類のサイバーセキュリティインシデント約10万3000件の処理を調整し、前年比4.2%減とした。 サンプル調査の結果、バックドアを仕掛けられたウェブサイトは前年比37.3%減、バックドアを仕掛けられた国内官庁のウェブサイトは前年比64.3%減、改ざんされたウェブサイトは前年比45.9%減となった。 関連レポートによると、2020年、中国におけるDDoS攻撃の件数は16.16%減少し、攻撃の総トラフィックは19.67%減少、ボットネットコンソールの数は世界的に2.05%に減少した。
民情共倚金汤固。 人民の情緒は堅実である。
自2014年以来,我国连续9年在全国范围举办国家网络安全宣传周,广泛开展网络安全进社区、进农村、进企业、进机关、进校园、进军营、进家庭等活动,以百姓通俗易懂、喜闻乐见的形式,宣传网络安全理念、普及网络安全知识、推广网络安全技能,有效提升全民网络安全意识,在全国范围内形成了共同维护网络安全的良好氛围。2021年国家网络安全宣传周进一步聚焦“网络安全为人民,网络安全靠人民”主题,举行线上线下活动10万余场,发放宣传材料8300余万份,推送短彩信16亿次,覆盖人群达4亿人,营造了网络安全人人参与、人人有责、人人共享的强大舆论声势和浓厚社会氛围。 中国では2014年から9年連続で全国で「全国サイバーセキュリティ啓発週間」を開催し、地域、農村、企業、機関、キャンパス、軍事キャンプ、家庭などでサイバーセキュリティなどの活動を幅広く行い、サイバーセキュリティの概念を広め、国民にわかりやすく楽しい形でサイバーセキュリティ知識の普及とサイバーセキュリティ技術の普及を行い、すべての国民のサイバーセキュリティ意識を効果的に高め、国内のサイバーセキュリティに対する共通認識を作り出している。 2021年の全国サイバーセキュリティ啓発週間は、「国民のためのサイバーセキュリティ、国民によるサイバーセキュリティ」をテーマにさらに力を入れ、10万件以上のオンライン・オフライン活動を行い、8300万部以上の広報資料を配布し、SMSとMMSを16億回送信して4億人をカバーし、誰もがサイバーセキュリティに参加でき、国民がサイバーセキュリティについて学習できる雰囲気作りに努めました。 これにより、誰もが参加し、誰もが責任を持ち、誰もがサイバーセキュリティを共有するという強い世論と社会の雰囲気が生まれた。
致天下之治者在人才。 才能は、世界を支配するための鍵である。
习近平总书记深刻指出,网络空间的竞争,归根结底是人才竞争。“要把我们的事业发展好,就要聚天下英才而用之。要干一番大事业,就要有这种眼界、这种魄力、这种气度。” 習近平総書記は、サイバースペースでの競争は、究極的には人材の競争であると深く指摘した。 "会社の本業であるビジネスをしっかり発展させるためには、世界中から人材を集め、活用しなければならない。 何か大きなことをするためには、このビジョン、この意欲、この気質が必要なのである。"
近年来,国家相关部门推出一系列强有力的政策举措,助力网络安全人才培养、技术创新、产业发展的良性生态加速形成。制定出台《关于加强网络安全学科建设和人才培养的意见》,强化宏观指导和政策统筹;设立网络空间安全一级学科,组织实施一流网络安全学院建设示范项目,11所高校入选;表彰国家网络安全先进集体和先进个人,利用社会资金设立网络安全专项基金,奖励各类网络安全优秀人才近千人;指导实施网络安全学院学生创新资助计划,鼓励和支持高校学生围绕企业网络安全技术创新实际需求和产业发展共性问题开展创新活动;建设国家网络安全人才与创新基地,开展国家网络安全教育技术产业融合发展试验区建设,集聚网络安全人才与创新资源,网络安全学科建设和人才培养进程加快推进。 近年、国家の関連部門は、サイバーセキュリティの人材育成、技術革新、産業発展の健全な生態系の形成を加速させるために、一連の強力な政策的イニシアチブを開始した。 サイバーセキュリティの規律建設と人材育成の強化に関する意見」を策定・発表し、マクロな指導と政策協調を強化し、サイバー空間セキュリティの一級規律を確立し、サイバーセキュリティ一級大学建設の実証プロジェクトを組織・実施し、11大学を選定し、国家サイバーセキュリティ先進集団と先進個人を表彰、社会基金によるサイバーセキュリティ特別基金を設立し、サイバーセキュリティ分野の優れたあらゆる人材千人近くを褒賞した。 サイバーセキュリティ大学学生革新基金制度の実施を指導し、大学の学生が企業のサイバーセキュリティ技術革新の実際のニーズと産業発展における共通の問題を中心に革新活動を行うことを奨励、支援した。国家サイバーセキュリティ人材と革新基地を建設し、国家サイバーセキュリティ教育技術産業統合発展パイロットゾーンの建設を行い、サイバーセキュリティ人材と革新資源を集め、サイバーセキュリティ分野の建設と人材育成のプロセスを加速度的に進歩させた。
——数据安全管理和个人信息保护水平显著提升。如同工业时代的石油一样,数据作为新型生产要素,是信息时代国家重要的战略性、基础性资源。数据在创造巨大价值的同时,也面临着被泄露、篡改、滥用、劫持等风险,直接影响经济社会的健康发展。 ・ データセキュリティ管理および個人情報保護のレベルは大幅に向上している。 工業時代の石油のように,新しいタイプの生産要素であるデータは,情報化時代の国にとって重要な戦略的・基礎的資源である。 データは大きな価値を生み出す一方で,漏洩,改ざん,悪用,乗っ取りなどのリスクに直面し,経済・社会の健全な発展に直結する。
2017年12月,十九届中央政治局专门就实施国家大数据战略进行第二次集体学习。习近平总书记就做好数据安全工作作出重要指示,强调“要切实保障国家数据安全”“要加强关键信息基础设施安全保护,强化国家关键数据资源保护能力,增强数据安全预警和溯源能力。要加强政策、监管、法律的统筹协调,加快法规制度建设”。 2017年12月、第19期中央委員会政治局は、国家ビッグデータ戦略の実施に特化した第2回集団研究を開催した。 習近平総書記は、データセキュリティの作業について重要な指示を出し、「国家のデータセキュリティを有効に保護すること」、「重要情報インフラのセキュリティ保護を強化し、国家の重要データ資源の保護能力を高め、データセキュリティの早期警戒と追跡性を強化すること」を強調した。 政策・規制・法律の連携を強化し、規制・制度の構築を加速させる必要がある」。
数据安全保护工作驶入快车道,相关法律法规密集出台,各类数据处理活动日益规范。2021年9月1日,《中华人民共和国数据安全法》正式施行,标志着我国数据安全保护有法可依、有章可循;2021年10月1日,《汽车数据安全管理若干规定(试行)》正式施行;2021年11月,《网络数据安全管理条例(征求意见稿)》公开向社会征求意见;《数据出境安全评估办法》于2022年9月1日起施行…… データセキュリティ保護は高速道路に入り、関連法規が集中的に導入され、各種データ処理活動の規制が強化されている。 2021年9月1日「中華人民共和国データセキュリティ法」が発効し、中国のデータセキュリティ保護に法的強制力と従うべき規則があることが示され、10月1日「自動車データセキュリティ管理に関する一定の規定(試行実施用)」が発効、2021年11月 ネットワークデータの安全管理に関する規則(パブリックコメント募集案)」がパブリックコメント募集中、「データ出口安全評価措置」は2022年9月1日から施行 ......続きを読む
“安全”二字,托举着人民群众的美好期待和幸福生活。一段时间以来,“大数据杀熟”、个人信息数据泄露等现象屡见不鲜,甚至滋生出非法售卖公民个人信息的黑色产业链。 安心」という言葉は、人々の良い期待や幸せな生活を支えているのである。 ここしばらく、「ビッグデータ殺し」と呼ばれる個人情報データ流出現象が常態化し、市民の個人情報を違法に販売するブラック産業チェーンまで繁殖している。
习近平总书记始终把关乎人民幸福感、安全感的个人信息保护放在心上。2017年5月23日,中央全面深化改革领导小组第三十五次会议召开,习近平总书记强调:“强化安全技术保护,推动个人信息法律保护,确保信息安全和规范应用。” 習近平総書記は、人々の幸福と安全に関わる個人情報の保護を常に念頭に置いている。2017年5月23日、改革全面深化中央指導グループ第35回会議が開かれ、習近平総書記は「セキュリティ技術保護の強化、個人情報の法的保護の推進、情報セキュリティと標準化適用の確保」を強調した。 "
2017年底,习近平总书记主持召开中央经济工作会议。会议围绕推动高质量发展,部署了8项重点工作。其中,“着力解决网上虚假信息诈骗、倒卖个人信息等突出问题”被列为“提高保障和改善民生水平”的一项重要内容。 2017年末、習近平総書記は中央経済工作会議を主宰した。 この会議では、質の高い開発の推進に焦点を当て、8つの重要な課題を展開した。 その中で、「保護水準の向上と国民生活の向上」の重要な要素として、「ネット上の不正情報や個人情報の売買などの未解決問題の解決に努めること」が挙げられている。
在2021年1月1日正式施行的《中华人民共和国民法典》中,完善了对隐私权和民事领域个人信息的保护。2021年8月20日,第十三届全国人大常委会第三十次会议审议通过了《中华人民共和国个人信息保护法》。这是我国第一部个人信息保护方面的专门法律,开启了我国个人信息立法保护的历史新篇章。 2021年1月1日に施行された「中華人民共和国民法」では、民事分野におけるプライバシーと個人情報の保護が改善されている。 これは中国初の個人情報保護に関する特別法であり、中国における個人情報保護の立法化の歴史に新たな1ページを開くものである。
强制授权、过度索权、超范围收集个人信息……手机App违法违规收集使用个人信息问题,百姓一直深恶痛绝。2019年以来,中央网信办、工业和信息化部、公安部和市场监管总局四部委联合持续开展App违法违规收集使用个人信息专项治理,对存在严重违法违规问题的App采取公开通报、责令整改、下架等处罚措施,形成了有力震慑。特别是始终对非法买卖个人信息、侵犯公民隐私、电信网络诈骗等违法犯罪活动保持高压态势,针对人民群众反映强烈的非法利用摄像头偷窥个人隐私画面、传授偷窥偷拍技术等侵害公民个人隐私行为,中央网信办会同工业和信息化部、公安部、市场监管总局等部门,在全国范围组织开展涉摄像头偷窥等黑产集中治理,有力维护了人民群众的个人信息安全。 強制認可、過剰な権利主張、個人情報の過剰収集......モバイルアプリによる個人情報の違法・不正収集・利用問題は、常に国民から忌み嫌われてきていた。2019年から、中央インターネット情報局、工業・情報化部、公安部、市場監督総局の4省・委員会が共同で、アプリによる個人情報の違法・不正収集・利用を継続的に行っている。 この特別措置は、重大な違法・不正問題を起こしたアプリに対して、公告、是正命令、棚上げなどの懲罰的措置の形で行われ、強い抑止力を形成している。 特に、個人情報の違法取引、市民のプライバシー侵害、通信ネットワーク詐欺などの違法犯罪行為に対して、常に高い圧力を維持しており、カメラの違法使用による個人のプライバシー画像の盗撮、盗撮技術の指導など、市民のプライバシー侵害に対する強い反省を受けて、中央インターネット情報局は、工業情報化部、公安部、市場監督総局などと共同で、以下を含む全国キャンペーンを組織した。個人情報の盗用問題に対する包括的な解決策を提供することを主な目的としている。
少年儿童是祖国的未来,也是加强个人信息保护的重点群体。2019年8月,国家互联网信息办公室公布了第4号令《儿童个人信息网络保护规定》。这是我国在儿童个人信息网络保护方面制定的首部专门立法,也是继2013年《电信和互联网用户个人信息保护规定》之后又一部个人信息保护领域的专门规定。《儿童个人信息网络保护规定》及修订后正式施行的《中华人民共和国未成年人保护法》,对未成年人网络保护及个人信息保护等作出专门规定,划定了底线和红线。 2019年8月、国家インターネット情報弁公室は令第4号「児童個人情報ネットワーク保護に関する規定」を発表した。 これは、中国で初めて制定された児童個人情報ネットワーク保護分野の特別立法であり、2013年の「通信及びインターネット利用者の個人情報保護に関する規定」に続く、個人情報保護分野の特別規定となります。 改正後に施行された「児童個人情報ネットワーク保護規定」及び「中華人民共和国未成年者保護法」の改正により、未成年者のネットワーク及び個人情報等の保護について特別な規定を設け、ボトムライン及びレッドラインを設定した。
——网络安全领域国际交流合作深入开展。2022年6月22日至24日,习近平主席在北京以视频方式主持金砖国家领导人第十四次会晤,宣布通过《金砖国家领导人第十四次会晤北京宣言》。 サイバーセキュリティ分野での国際交流・協力が深く行われた。2022年6月22日から24日にかけて、習近平主席は北京で第14回BRICS首脳会議をビデオ会議で主催し、第14回BRICS首脳会議の北京宣言の採択を発表した。
《北京宣言》在“维护和平与安全”部分提出,“呼吁以全面、平衡、客观的方式处理信息通信技术产品和系统的发展和安全。”“强调建立金砖国家关于确保信息通信技术使用安全的合作法律框架的重要性,认为应通过落实《金砖国家网络安全务实合作路线图》以及网络安全工作组工作,继续推进金砖国家务实合作。” 北京宣言では、"平和と安全の維持 "の項で、"ICT製品・システムの開発とセキュリティについて、包括的、均衡的、客観的なアプローチを求める "としている。 "ICT利用のセキュリティ確保に関するBRICS諸国間の協力のための法的枠組みの確立の重要性を強調しつつ、サイバーセキュリティに関するBRICS実務協力ロードマップの実施とサイバーセキュリティに関するワーキンググループの作業を通じて、BRICS諸国間の実務協力を引き続き進めるべきであると考えている "と述べた。
这一宣言向世界发出捍卫国际公平正义的金砖强音,展现出世界主要发展中经济体就网络安全领域一系列重大问题的共同立场。 この宣言は、国際的な公正と正義を擁護するBRICSの強い声を世界に伝えるものであり、サイバーセキュリティの分野における様々な主要課題に対する世界の主要途上国経済の共通の立場を示すものである。
当前,互联网把世界各国的前途命运更加紧密地联系在一起,对人类文明进步产生重大而深远的影响。同时,互联网领域发展不平衡、规则不健全、秩序不合理等问题日益凸显。世界范围内侵害个人隐私、侵犯知识产权、网络犯罪等时有发生,网络监听、网络攻击、网络恐怖主义活动等成为全球公害。 現在、インターネットは世界各国の未来と運命をより身近なものにし、人類の文明の進歩に大きな、そして広範囲な影響を及ぼしている。 一方、インターネット分野では、不均衡な発展、不健全なルール、不合理な秩序などの問題が顕著になってきている。 個人のプライバシー侵害、知的財産権の侵害、サイバー犯罪が世界的に発生し、サイバー盗聴、サイバー攻撃、サイバーテロ活動が世界的な社会的危険となっている。
2014年7月16日,国家主席习近平在巴西国会发表《弘扬传统友好 共谱合作新篇》的演讲。在演讲中,习近平主席指出,各国都有权维护自己的信息安全,不能一个国家安全而其他国家不安全,一部分国家安全而另一部分国家不安全,更不能牺牲别国安全谋求自身所谓绝对安全。图/新华社记者 兰红光 摄 2014年7月16日、習近平国家主席はブラジル全国大会で「伝統的友好関係を促進し、協力の新章を築く」と題する演説を行った。 習近平主席は演説の中で、すべての国が自国の情報セキュリティを維持する権利を持っており、ある国が安全なのに他の国が安全でない、ある部分が安全なのに他の部分が安全でない、ましてや他の国の安全を犠牲にして自国のいわゆる絶対的な安全を求めることはできないと指摘した。 写真/新華社通信の蘭宏光記者
我国是构建网络空间命运共同体的倡导者和先行者。维护网络安全是网络空间国际合作的焦点问题,也是构建网络空间命运共同体的重要方面。2014年7月16日出访巴西时,习近平主席就在巴西国会的演讲中指出,“虽然互联网具有高度全球化的特征,但每一个国家在信息领域的主权权益都不应受到侵犯,互联网技术再发展也不能侵犯他国的信息主权。在信息领域没有双重标准,各国都有权维护自己的信息安全,不能一个国家安全而其他国家不安全,一部分国家安全而另一部分国家不安全,更不能牺牲别国安全谋求自身所谓绝对安全。” 习近平主席关于网络主权的理念和主张牢牢占据了国际道义制高点,抵制网络霸权、维护网络主权日益成为新兴国家的普遍共识。 中国はサイバースペースにおける運命共同体の構築の提唱者であり、パイオニアである。 習近平主席は2014年7月16日のブラジル全国大会での演説で、「インターネットは高度にグローバル化されているが、情報分野における各国の主権的権利と利益を侵害してはならず、インターネットは インターネット技術の発展は、他国の情報主権を侵害することはできません。 情報分野にはダブルスタンダードは存在せず、各国は自国の情報セキュリティを維持する権利がある。ある国が安全なのに他の国が安全でない、ある部分が安全なのに他の部分が安全でない、ましてや他国のセキュリティを犠牲にして自国のいわゆる絶対的な安全を求めることはできない。" サイバー主権に関する習近平主席の思想と主張は、国際的な道徳的優位をしっかりと占め、サイバー覇権に抵抗し、サイバー主権を守ることが新興国の一般的なコンセンサスとなりつつある。
近年来,我国积极参与联合国框架下的论坛、会议以及联盟组织的网络安全国际治理,建设性参与联合国信息安全开放式工作组和政府专家组,倡导各国制定全面、透明、客观、公正的供应链安全风险评估机制,促进全球信息技术产品供应链开放、完整、安全与稳定,开展关键信息基础设施建设的国际合作,积极参与全球联合打击网络恐怖主义、网络犯罪等非传统安全事务,在保护世界人民生命安全、财产安全上有力履行大国责任、充分展现大国担当。 近年,中国は,国連の枠組みの下で,フォーラム,会議及び同盟が主催するサイバーセキュリティに関する国際ガバナンスに積極的に参加し,国連の情報セキュリティに関するオープンワーキンググループ及び政府専門家グループに建設的に参加し,各国がサプライチェーンのセキュリティリスク評価メカニズムを包括的,透明,客観的かつ公平に開発するよう提唱し,情報技術製品のグローバルなサプライチェーンの開放,完全性,セキュリティ及び安定性を促進し,重要情報インフラの構築を実施し,また,情報技術製品のグローバルなサプライチェーンがより強固になるよう支援し続けた。 また、重要な情報インフラの構築に関する国際協力に積極的に参加し、サイバーテロやサイバー犯罪など非伝統的な安全保障に関するグローバルな共同戦に積極的に参加し、世界の人々の生命と財産を守る大国としての責任を精力的に果たし、その役割を十分に発揮していく所存である。
我国支持并积极参与网络空间国际规则制定进程,在联合国信息安全政府专家组和联合国信息安全开放式工作组等多边进程内推动不干涉内政、不使用武力、和平解决争端等原则得到确认。 中国は、サイバースペースにおける国際的なルール策定プロセスを支持し、積極的に参加するとともに、国連情報セキュリティ政府専門家グループや国連情報セキュリティ公開作業部会などの多国間プロセスにおいて、内政不干渉、武力不行使、紛争の平和的解決の原則の認識を促進している。
联合国大会于2019年12月通过由中俄等国共提的重要决议,授权设立政府间特设专家委员会,正式开启谈判制定打击网络犯罪全球性公约的进程,打击网络犯罪国际规则制定迈出具有历史意义的一步。 2019年12月、国連総会は中国とロシアが共同提案した重要な決議を採択し、政府間アドホック専門家委員会の設立を認可、サイバー犯罪に対する世界条約の交渉プロセスを正式に開始し、サイバー犯罪に対する国際ルール形成に向けた歴史的一歩を踏み出した。
2020年9月,在“抓住数字机遇,共谋合作发展”国际研讨会高级别会议上,我国提出《全球数据安全倡议》,就推进全球数据安全治理提出了中国方案。这是世界首份数据安全领域的倡议,充分体现了负责任大国的表率作用,得到国际社会积极响应和广泛赞誉。 2020年9月、中国は「デジタルチャンスをつかみ、協力と発展を求める」国際シンポジウムのハイレベル会合で、「グローバルデータセキュリティイニシアティブ」を打ち出し、グローバルデータセキュリティガバナンスを推進するための中国の解決策を提案した。 これは、責任ある大国の役割を十分に反映した、データセキュリティ分野における世界初の取り組みであり、国際社会から積極的な反応と幅広い評価を得ている。
2021年3月29日,中国外交部同阿拉伯国家联盟秘书处召开中阿数据安全视频会议,宣布共同发表《中阿数据安全合作倡议》,标志着发展中国家在携手推进全球数字治理方面迈出了重要一步。 2021年3月29日、中国外交部とアラブ連盟事務局は、データセキュリティに関する中アラブビデオ会議を開催し、「データセキュリティ協力に関する中アラブイニシアチブ」の共同出版を発表し、途上国が手を携えてグローバルデジタルガバナンスを推進するための重要な一歩とした。
2016年9月12日,第39届国际标准化组织(ISO)大会在北京召开,习近平主席向大会致贺信,指出:“中国将积极实施标准化战略,以标准助力创新发展、协调发展、绿色发展、开放发展、共享发展。”截至2022年8月,全国信息安全标准化技术委员会已研究制定网络安全国家标准340项,涵盖个人信息保护、关键信息基础设施安全保护、网络安全审查、网络安全等级保护等各个方面。其中,有39项国家标准和技术提案已被国际标准化组织吸纳,为网络安全国际标准化提供了中国方案、贡献了中国智慧。 2016年9月12日、第39回国際標準化機構(ISO)総会が北京で開催され、習近平主席は総会に祝電を送り、"中国は標準化戦略を積極的に実施し、標準を利用してイノベーション、協調発展、グリーン発展、開放発展、共有発展を支援する "と述べた 2022年8月現在、情報セキュリティ標準化国家技術委員会は、個人情報保護、重要情報インフラセキュリティ保護、ネットワークセキュリティ審査、ネットワークセキュリティレベル保護などさまざまな側面をカバーするサイバーセキュリティの国家標準340件を研究・開発している。 その中で、39の国家規格と技術提案が国際標準化機構に吸収され、中国のソリューションを提供し、サイバーセキュリティの国際標準化に中国の知恵を貢献している。
建久安之势,成长治之业,为实现中华民族伟大复兴的中国梦提供坚强的网络安全保障 中国の夢である中華民族の偉大な若返りの実現に向け、長期的な安全保障の構築、ガバナンスの強化、強力なサイバーセキュリティを提供する。
伴随信息技术的高速发展,网络安全领域面临的风险和挑战不断加大。从国内看,关系国计民生的关键基础设施大量联网入网,但网络安全防控能力还相对薄弱,关键信息基础设施安全防护水平不高,一些重要工控系统对外国技术依赖严重,我国互联网持续遭受境外网络攻击,不断加剧的网络安全风险和防护能力不足的矛盾日益凸显。 情報技術の急速な発展とともに、サイバーセキュリティの分野で直面するリスクや課題も増加している。 国内から見ると、国家安全保障と国民生活に関わる重要インフラが多数ネットワークに接続されているが、ネットワークセキュリティの予防と制御能力はまだ比較的弱く、重要情報インフラのセキュリティ保護レベルは高くない、一部の重要産業制御システムは海外技術に大きく依存している、中国のインターネットは海外のネットワーク攻撃の被害を受け続けており、ネットワークセキュリティリスクの増大と保護能力の不足の矛盾がますます顕著になってきている。
仅2020年,我国捕获恶意程序样本数量超4200万个,日均传播次数为482万余次,恶意程序样本的境外来源主要是美国、印度等。按照攻击目标IP地址统计,我国境内受恶意程序攻击的IP地址约5541万个,约占我国IP地址总数的14.2%。 2020年だけでも、中国で捕獲された悪意のあるプログラムサンプルは4200万件を超え、1日平均482万回以上拡散し、悪意のあるプログラムサンプルの海外供給元は主に米国とインドであった。 攻撃対象のIPアドレスの統計によると、中国で悪意のあるプログラムに攻撃されたIPアドレスは約5541万件で、中国の総IPアドレス数の約14.2%を占めている。
技术发展每前进一小步,治理难度就增加一大步。 技術開発が少しずつ進むごとに、ガバナンスの難しさは大きくステップアップしていく。
随着人工智能、5G网络、物联网、区块链等技术的发展和进步,设备数量及数据量急剧增加,数据安全威胁持续放大,已成为事关国家安全与经济社会发展的重大问题。同时,一些企业、机构和个人从商业利益等出发,随意收集、违法获取、过度使用、非法买卖个人信息,进一步滋生电信网络诈骗、敲诈勒索等犯罪行为,成为危害人民群众人身和财产安全的重大隐患。 人工知能、5Gネットワーク、Internet of Things、ブロックチェーンなどの開発・進展に伴い、デバイス数やデータ量が飛躍的に増加し、データセキュリティの脅威が増幅し続けており、国家の安全保障や経済・社会の発展に関わる大きな課題になっている。 同時に、いくつかの企業、機関や個人などの商業的利益から、任意の収集、違法なアクセス、過度の使用、個人情報の違法取引、さらに繁殖通信ネットワーク詐欺、恐喝や他の犯罪行為、人々の個人と財産の安全に対する主要な隠された危険になる。
狂澜撼风雷,砥柱屹不动。 波が風を震わせ、雷が鳴るが柱は動かない。
“十四五”时期是我国全面建成小康社会、实现第一个百年奋斗目标之后,乘势而上开启全面建设社会主义现代化国家新征程、向第二个百年奋斗目标进军的第一个五年。《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》明确提出,要把安全发展贯穿国家发展的各领域和全过程,其中14次提及网络安全,对加强网络安全保障体系和能力建设作出系统部署:“健全国家网络安全法律法规和制度标准,加强重要领域数据资源、重要网络和信息系统安全保障”“建立健全关键信息基础设施保护体系,提升安全防护和维护政治安全能力”“加强网络安全风险评估和审查”…… 第14次5カ年計画」期間は、中国が中等度の豊かな社会を十分に建設し、第1次100年目標を達成した後の5年間であり、その勢いに乗って、現代社会主義国の建設という新たな旅路を開き、第2次100年目標に向かって進撃しているのである。 中華人民共和国第14次国家経済社会発展5カ年計画概要とビジョン2035は、セキュリティの発展を国家発展の全領域とプロセスを通じて行うべきことを明確に打ち出しており、その中にはサイバーセキュリティに関する14の言及があり、サイバーセキュリティ保証制度と能力開発を強化するための体系的な展開が含まれている:「サイバーセキュリティに関する国の法律と規制、制度基準の改善」。 重要地域のデータ資源、重要ネットワーク、情報システムのセキュリティ強化」 「重要情報インフラの保護体制の確立と改善、セキュリティ保護と政治的安全性の維持能力の強化」 「サイバーセキュリティリスク評価とレビューの強化」。 " ......
2022年7月26日,习近平总书记在省部级主要领导干部“学习习近平总书记重要讲话精神,迎接党的二十大”专题研讨班上发表重要讲话强调,“全党必须增强忧患意识,坚持底线思维,坚定斗争意志,增强斗争本领,以正确的战略策略应变局、育新机、开新局,依靠顽强斗争打开事业发展新天地,最根本的是要把我们自己的事情做好。” 2022年7月26日、習近平総書記は省・閣僚級主要幹部セミナーで「習近平総書記の重要演説の精神を学び、第20回党大会を迎える」という重要演説を行い、「全党は心配り意識を高め、底流思考を固め、戦意を強化し、戦力を増強しなければならない」と強調した。 最も基本的なことは、自分たちのビジネスをしっかりやることである。"
居安而念危,则终不危;操治而虑乱,则终不乱。 平和に暮らして危険を思えば危険にはならず、なんとか支配して混沌を思えば混沌にはならない。
这十年,是党中央着眼推进网络强国战略部署,不断完善网络安全和信息化工作领导体制机制、不断完善网络安全战略体系和政策体系的十年。 この10年は、党中央委員会が強力なネットワークの戦略的配置を推進し、ネットワークセキュリティと情報化の指導体制とメカニズムを絶えず改善し、ネットワークセキュリティの戦略体制と政策体系を絶えず改善することに重点を置く10年である。
这十年,是国家网络安全保障能力尤其是关键信息基础设施保障水平显著增强的十年。 この10年間は、国家のサイバーセキュリティ・セキュリティ能力、特に重要な情報インフラの保護レベルが著しく向上した10年間である。
这十年,是我国网络安全领域立法不断完善充实,网络安全法律法规体系基本建立,依法治网、依法办网、依法上网扎实推进、成效卓著的十年。 この10年間は、中国のサイバーセキュリティ分野の法律が絶えず改善・充実され、サイバーセキュリティの法規体系が基本的に確立され、法律に基づくインターネットのルール、インターネットの運営、インターネットへのアクセスが堅実に推進され、効果を上げた10年間と言えるだろう。
这十年,是网络安全学科建设和人才培养加快发展,全民网络安全意识和防护技能明显提升,网络安全国际交流合作取得显著成效的十年。 この10年は、サイバーセキュリティの規律構築と人材育成が加速的に発展し、国民のサイバーセキュリティ意識と保護スキルが著しく向上し、サイバーセキュリティの国際交流と協力に顕著な成果を上げた10年である。
理乱安危烛未形,成城众志金汤固。 蝋燭の無秩序と安全はまだ形になっていないが、街は確固たるものである
回顾党的十八大以来走过的不平凡历程,网络安全领域发生历史性变革、取得历史性成就,根本在于以习近平同志为核心的党中央的坚强领导,根本在于习近平总书记关于网络强国的重要思想的科学指引,根本在于习近平总书记作为党中央的核心、全党的核心掌舵领航。 第18回全国代表大会以降の党の並々ならぬ歩みを振り返ると、サイバーセキュリティ分野における歴史的変化と成果は、習近平同志を中核とする党中央委員会の強いリーダーシップと、習近平総書記の強力なネットワークに関する重要な思想による科学的指導、習近平総書記の党中央委員会と全党の中核としての舵取りにあると言えるだろう。
搏风鼓荡四溟水,乘风欲破万里浪。 四つの霧雨の海に風が吹いて、万里の波を打ち破る
面向新时代新征程,网信战线将始终坚持以习近平新时代中国特色社会主义思想特别是习近平总书记关于网络强国的重要思想为指导,全面贯彻总体国家安全观,坚持正确的网络安全观,统筹发展与安全,着力推进网络安全保障体系和能力建设,严格落实网络安全工作责任制,切实筑牢国家网络安全屏障,奋力开创新时代网络安全工作新局面,全力护航中华民族伟大复兴的中国梦! 新しい時代と新しい旅に直面して、サイバー情報戦線は、常に新しい時代の中国の特色ある社会主義思想、特にネットワークパワーに関する習近平総書記の重要な思想の指導を遵守し、包括的に国家の安全保障全体の概念を実装し、ネットワークセキュリティの正しい概念を遵守し、開発とセキュリティを調整し、ネットワークセキュリティのセキュリティシステムと能力開発の促進に焦点を当て、厳密にネットワークセキュリティ作業の責任体制を実装する、効果的に国家の確固たる構築する。 我々は、新時代のサイバーセキュリティ業務の新しい状況を切り開き、中華民族の偉大な若返りという中国の夢を護衛するために努力する。

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.03.30 中国 国家サイバースペース管理局 我が国のインターネットは海外からのサイバー攻撃に遭っています。。。(2022.03.11)

・2021.12.29 中国 ネットワークセキュリティ・情報技術中央委員会が「第14次5ヵ年計画における国家情報化計画」を発表していますね。。。

・2021.12.13 中国 第14次5カ年計画 デジタル経済開発計画

2021.08.30 中国の「重要情報保護条例 インフラのセキュリティ保護条例」

・2021.08.30 中国 2021年のサイバーセキュリティに関する国家標準プロジェクトリスト

・2021.08.18 中国 国務院令第745号 重要情報インフラのセキュリティ保護規制

・2021.07.25 中国 CNCERT / CCが2020年のインターネットセキュリティ報告書を公開

・2021.07.14 中国 工業情報化部 意見募集 「サイバーセキュリティ産業の質の高い発展のための3カ年行動計画(2021-2023)」

 

 

| | Comments (0)

2022.10.09

米国 GAO ランサムウェア:連邦政府機関は有用な支援を提供しているが、協力体制を改善することができる

こんにちは、丸山満彦です。

政府機関にとっては、ランサムウェアの脅威は、お金の問題というよりも、システムを停止させられ、データを喪失することにあるように思います。そのためには、バックアップが有効ではあるのですが、膨大になったデータを全てをオフラインにバックアップすることの困難さ(量、バックアップメディアの紛失等)、システムをバックアップする際にシステムにランサムウェアが混入していないことの検証の問題もあり、なかなか難しい問題ですね。。。

さて、GAOは連邦政府におけるランサムウェア対応について報告書を公表していますね。。。ランサムウェアについてのサービスを州政府等に提供している、国土安全保障省、FBI、シークレットサービスについて監査を行ったものですね。。。ほとんどの政府機関は彼らの対応について満足していると回答しているものの、若干の推奨事項を挙げ、彼らもそれに同意していますね。。。

 

● U.S. Government Accountability Office; GAO

・2022.10.04 Ransomware: Federal Agencies Provide Useful Assistance but Can Improve Collaboration

 

Ransomware:Federal Agencies Provide Useful Assistance but Can Improve Collaboration ランサムウェア:連邦政府機関は有用な支援を提供するが、協力体制を改善することができる
GAO-22-104767 GAO-22-104767
Fast Facts 基本情報
Ransomware is a malicious software that encrypts files and leaves data and systems unusable. With ransomware attacks, hackers gain entry into a system, lock out users, and demand payment to regain access. ランサムウェアは、ファイルを暗号化し、データやシステムを使用不能にする悪質なソフトウェアである。ランサムウェアの攻撃では、ハッカーがシステムに侵入し、ユーザーをロックアウトして、アクセスを回復するために支払いを要求する。
Homeland Security, FBI, and Secret Service help state, local, and other governments prevent or respond to ransomware attacks on systems like emergency services. Most government entities said they're satisfied with the agencies' prevention and response efforts. But many cited inconsistent communication during attacks as a problem. We recommended that the federal agencies address cited issues and follow key practices for better collaboration. 国土安全保障省、FBI、シークレットサービスは、州、地方、その他の政府が、緊急サービスなどのシステムに対するランサムウェア攻撃を防止したり、対応したりするのを支援している。ほとんどの政府機関は、これらの機関の予防と対応に満足していると回答している。しかし、その多くは、攻撃時の一貫性のないコミュニケーションを問題点として挙げている。我々は、連邦政府機関に対し、指摘された問題に対処し、より良い協力関係を築くための重要な慣行に従うよう提言した。
Highlights  ハイライト
What GAO Found GAOの発見事項
Ransomware is a form of malicious software designed to encrypt files on a device and render data and systems unusable. Malicious actors then demand ransom payments in exchange for restoring access to the locked data and systems. A ransomware attack is not a single event but occurs in stages (see figure). ランサムウェアは、デバイス上のファイルを暗号化し、データやシステムを使用不能にするよう設計された悪意のあるソフトウェアの一形態である。そして、悪意のある行為者は、ロックされたデータやシステムへのアクセスを回復させるのと引き換えに、身代金の支払いを要求する。ランサムウェアの攻撃は1回で終わるのではなく、段階的に発生する(図参照)。
Figure: Four Stages of a Common Ransomware Attack 図: 一般的なランサムウェア攻撃の4つのステージ
Fig1_20221009063301
The Department of Homeland Security's Cybersecurity and Infrastructure Security Agency (CISA), FBI, and Secret Service provide assistance in preventing and responding to ransomware attacks on state, local, tribal, and territorial government organizations. For example: 国土安全保障省のサイバーセキュリティおよびインフラセキュリティ局(CISA)、FBI、シークレットサービスは、州、地方、部族、および領土の政府組織に対するランサムウェア攻撃の防止と対応について支援を行っている。例えば、以下のようなものである。
Education and awareness. CISA, in collaboration with FBI, Secret Service, and other federal partners, developed the www.stopransomware.gov website to provide a central location for ransomware guidance, alerts, advisories, and reports from federal agencies and partners. 教育および意識向上: CISAは、FBI、シークレットサービス、その他の連邦政府パートナーと協力して、ランサムウェアのガイダンス、アラート、アドバイザリー、連邦政府機関やパートナーからのレポートの一元化を行うウェブサイト(www.stopransomware.gov)を開発した。
Information sharing and analysis. CISA, FBI, and Secret Service collect and analyze security and ransomware-related information—such as threat indicators, incident alerts, and vulnerability data—and share this information by issuing alerts and advisories. For example, CISA, through a cooperative agreement with the MultiState Information Sharing and Analysis Center, provides intrusion detection sensors to nonfederal entities that reportedly analyze 1 trillion network activity reports per month. 情報の共有と分析: CISA、FBI、シークレットサービスは、脅威指標、インシデントアラート、脆弱性データなど、セキュリティおよびランサムウェア関連の情報を収集、分析し、アラートや推奨事項を発表してこの情報を共有している。例えば、CISA は マルチステートISAC (MS-ISAC) との協力協定を通じて、連邦政府以外の団体に侵入検知センサーを提供しており、毎月 1 兆件のネットワーク活動レポートを分析していると言われている。
Cybersecurity review and assessment. CISA and the Multi-State Information Sharing and Analysis Center have provided review and assessment services upon request, such as vulnerability scanning, remote penetration testing, and risk assessments. サイバーセキュリティのレビューと評価: CISA と マルチステートISAC (MS-ISAC) は、脆弱性スキャン、リモート侵入テスト、リスク評価など、リクエストに応じてレビューと評価のサービスを提供している。
Incident response. When a ransomware attack occurs, CISA, FBI, and Secret Service can provide incident response assistance to nonfederal entities upon request. CISA and the Multi-State Information Sharing and Analysis Center provide technical assistance such as forensic analysis of the attack and recommended mitigations. Additionally, FBI and Secret Service primarily collect evidence to conduct criminal investigations and attribute attacks. According to the Multi-State Information Sharing and Analysis Center, state, local, tribal, and territorial governments experienced more than 2,800 ransomware incidents from January 2017 through March 2021. インシデント対応: ランサムウェア攻撃が発生した場合、CISA、FBI、シークレットサービスは、要請に応じて、連邦政府以外の団体にインシデントレスポンス支援を提供することができる。CISAとマルチステートISAC (MS-ISAC) は、攻撃のフォレンジック分析や推奨される緩和策などの技術的支援を提供する。さらに、FBI とシークレットサービスは、主に犯罪捜査と攻撃の属性決定のために証拠を収集する。マルチステートISAC (MS-ISAC) によると、州、地方、部族、準州の政府は、2017年1月から2021年3月までに2、800件以上のランサムウェアインシデントを経験している。
Other federal agencies, such as the Federal Emergency Management Agency, National Guard Bureau, National Institute of Standards and Technology, and the Department of the Treasury have a more indirect role. These agencies provide ransomware assistance to nonfederal entities through administering cybersecurity grants, issuing guidance to manage ransomware risk, or pursuing sanctions to disrupt ransomware activity. 連邦緊急事態管理庁、国家警備局、国立標準技術研究所、財務省など、その他の連邦機関は、より間接的な役割を担っている。これらの機関は、サイバーセキュリティ助成金の管理、ランサムウェアのリスクマネジメントのためのガイダンスの発行、またはランサムウェアの活動を妨害するための制裁措置の追求を通じて、非連邦団体にランサムウェア支援を提供している。
The officials from government organizations that GAO interviewed were generally satisfied with the prevention and response assistance provided by federal agencies. They had generally positive views on ransomware guidance, detailed threat alerts, quality no-cost technical assessments, and timely incident response assistance. However, respondents identified challenges related to awareness, outreach, and communication. For example, half of the respondents who worked with the FBI cited inconsistent communication as a challenge associated with the agency's ransomware assistance. GAOがインタビューした政府機関の関係者は、連邦政府機関が提供する予防と対応の支援に概ね満足していた。彼らは、ランサムウェアのガイダンス、詳細な脅威の警告、質の高い無償の技術評価、タイムリーなインシデント対応支援について、概ね肯定的な見解を持っていた。しかし、回答者は、啓発、アウトリーチ、コミュニケーションに関連する課題を特定している。例えば、FBIと連携している回答者の半数は、同庁のランサムウェア支援に関連する課題として、一貫性のないコミュニケーションを挙げている。
CISA, FBI, and Secret Service took steps to enhance interagency coordination through existing mechanisms—such as interagency detailees and field-level staff—and demonstrated coordination on a joint ransomware website, guidance, and alerts. However, the three agencies have not addressed aspects of six of seven key practices for interagency collaboration in their ransomware assistance to state, local, tribal, and territorial governments (see table). CISA、FBI、シークレットサービスは、省庁間の抑留者や現場レベルのスタッフなど、既存の仕組みを通じて省庁間の調整を強化する措置を取り、ランサムウェアの共同ウェブサイト、ガイダンス、アラートで調整を示した。しかし、3つの機関は、州、地方、部族、および領土の政府に対するランサムウェア支援において、省庁間の協力のための7つの重要な実践のうち6つの側面には取り組んでいない(表参照)。
Table: Extent to Which Cybersecurity and Infrastructure Security Agency, Federal Bureau of Investigation, and Secret Service Addressed Key Collaboration Practices in Their Ransomware Assistance 表: サイバーセキュリティおよびインフラセキュリティ庁、連邦捜査局、シークレットサービスがランサムウェア支援において主要な協力の実践に取り組んだ度合い
Key practice : Extent addressed 主要な実践: 対応した程度
Defining outcomes and monitoring accountability : Not addressed 成果の定義とアカウンタビリティの監視 : 非対応
Bridging organizational cultures : Partially addressed 組織文化の連携 : 部分的対応
Identifying and sustaining leadership : Generally addressed リーダーシップの確立と維持: 概ね実施済み
Clarifying roles and responsibilities : Partially addressed 役割と責任の明確化:部分的対応
Including relevant participants : Partially addressed 関係者の参加:部分的対応
Identifying and leveraging resources : Partially addressed リソースの特定と活用:部分的対応
Developing and updating written guidance and agreements : Partially addressed 文書による指針及び協定の作成と更新:部分的対応
Source: GAO analysis of agency documentation. | GAO-22-104767 出典:GAOによる機関資料の分析。| GAO-22-104767|
Specifically, the agencies generally addressed the practice of identifying leadership by designating agency leads for technical- and law enforcement-related ransomware response activities. However, the agencies could improve their efforts to address the other six practices. For instance, existing interagency collaboration on ransomware assistance to state, local, tribal, and territorial governments was informal and lacked detailed procedures. 特に、技術的および法執行関連のランサムウェア対応活動のための機関の主導権を指定することによって、機関は概してリーダーシップを特定する慣行に対処している。しかし、各省庁は他の6つの慣行に対する取り組みを改善することができる。例えば、州、地方、部族、および領土の政府に対するランサムウェア支援に関する既存の省庁間協力は非公式なもので、詳細な手順を欠いていた。
Recognizing the importance of formalizing interagency coordination on ransomware, the Consolidated Appropriations Act, 2022 required CISA to establish a Joint Ransomware Task Force, in partnership with other federal agencies. Among other responsibilities, the task force is intended to facilitate coordination and collaboration among federal entities and other relevant entities to improve federal actions against ransomware threats. Addressing key practices for interagency collaboration in concert with the new ransomware task force can help ensure effective delivery of ransomware assistance to state, local, tribal, and territorial governments. ランサムウェアに関する省庁間の調整を正式に行うことの重要性を認識し、2022年の連結歳出法では、CISAに対し、他の連邦機関と連携してランサムウェア合同タスクフォースを設立するよう求めている。このタスクフォースは、他の責務の中でも、ランサムウェアの脅威に対する連邦政府の行動を改善するために、連邦政府機関および他の関連する団体間の調整と協力を促進することを目的としている。新しいランサムウェア・タスクフォースと連携して、省庁間の協力のための重要な実践に取り組むことは、州、地方、部族、および領土の政府に対するランサムウェアの支援を効果的に提供するのに役立つと思われる。
Why GAO Did This Study GAOがこの調査を行った理由
The Department of Homeland Security has reported that ransomware is a serious and growing threat to government operations at the federal, state, and local levels. In recent years, there have been numerous reported ransomware attacks on hospitals, schools, emergency services, and other industries. 国土安全保障省は、ランサムウェアが連邦、州、地方レベルの政府業務に対する深刻かつ増大する脅威であると報告している。近年では、病院、学校、救急サービス、その他の業界に対するランサムウェアの攻撃が多数報告されている。
GAO was asked to review federal efforts to provide ransomware prevention and response assistance to state, local, tribal, and territorial government organizations. Specifically, this report addresses (1) how federal agencies assist these organizations in protecting their assets against ransomware attacks and in responding to related incidents, (2) organizations' perspectives on ransomware assistance received from federal agencies, and (3) the extent to which federal agencies addressed key practices for effective collaboration when assisting these organizations. GAOは、州、地方、部族、および領土の政府組織に対してランサムウェアの予防と対応支援を提供する連邦政府の取り組みについて検討するよう要請された。具体的には、(1)連邦政府機関がこれらの組織の資産をランサムウェア攻撃から保護し、関連する事件に対応する際にどのように支援しているか、(2)連邦政府機関から受けたランサムウェア支援に対する組織の見解、(3)これらの組織を支援する際に連邦政府機関がどの程度効果的な協力のための主要な実践に取り組んでいるかを取り上げた。
GAO reviewed agency documentation from eight federal agencies to identify efforts to help state, local, tribal and territorial governments address ransomware threats. Documents reviewed included agency service catalogs, ransomware guidance, and agency websites. GAO supplemented these reviews with interviews of officials from CISA, FBI, Secret Service, Department of Justice, Federal Emergency Management Agency, Commerce's National Institute for Standards and Technology, and the Department of the Treasury. GAOは、州、地方、部族、準州政府がランサムウェアの脅威に対処するための取り組みを確認するため、8つの連邦機関の文書を調査した。レビューした文書には、機関のサービスカタログ、ランサムウェアのガイダンス、および機関のウェブサイトが含まれている。GAOは、CISA、FBI、シークレットサービス、司法省、連邦緊急事態管理庁、商務省標準技術局、財務省の職員へのインタビューにより、これらのレビューを補足した。
GAO also interviewed officials from government organizations receiving federal ransomware assistance who volunteered to share their perspectives. These officials represented governments from four states, eight localities, and one tribal nation. In addition, GAO interviewed officials from six national organizations. These groups included the National Governors Association; National League of Cities; National Association of State Chief Information Officers; and the National Association of State Auditors, Comptrollers, and Treasurers. To analyze responses from these interviews, GAO coded the qualitative data to enable identification of common trends across the interviews. The interview results from these interviews are not generalizable, but provide insight into perspectives on federal assistance in addressing ransomware. GAOはまた、連邦政府のランサムウェア支援を受ける政府機関の関係者にもインタビューを行い、その見解を共有することをお願いした。これらの職員は、4つの州、8つの地方自治体、1つの部族国家の政府を代表していた。さらにGAOは、6つの国家機関の関係者にもインタビューを行った。これらの団体には、全米知事協会、全米都市連合、全米州最高情報責任者協会、全米州監査役・会計監査人・会計監査人協会が含まれる。これらのインタビューからの回答を分析するため、GAOはインタビューに共通する傾向を特定できるよう、質的データをコード化した。これらのインタビュー結果は一般化できるものではないが、ランサムウェアへの対処における連邦政府の支援に関する見解が示されている。
GAO identified three federal agencies that provide direct ransomware assistance—CISA, FBI, and Secret Service—and assessed their efforts against key practices for interagency collaboration. To support its assessment, GAO reviewed agency documentation on collaborative mechanisms and efforts to coordinate assistance, such as joint alerts and guidance, incident coordination procedures, and interagency agreements. GAO also interviewed officials from the three agencies to clarify information about their collaborative efforts. GAOは、ランサムウェアの直接的な支援を行う3つの連邦機関(CISA、FBI、シークレットサービス)を特定し、機関間協力のための主要な実践に照らしてその取り組みを評価した。この評価を裏付けるため、GAOは、共同警告やガイダンス、インシデント調整手順、省庁間協定など、支援の調整の仕組みや努力に関する省庁の文書を調査した。GAOはまた、3つの機関の職員にインタビューを行い、協力的な取り組みに関する情報を明らかにした。
Recommendations 提言
GAO is making three recommendations to the Department of Homeland Security (CISA and Secret Service) and Department of Justice (FBI) to address identified challenges and incorporate key collaboration practices in delivering services to state, local, tribal, and territorial governments. The agencies concurred with GAO's recommendations. GAOは国土安全保障省(CISAとシークレットサービス)と司法省(FBI)に対し、州・地方・部族・準州政府 (SLTT) へのサービス提供において、特定された課題に取り組み、重要な協力の実践を取り入れるための3つの推奨事項を行っている。同省はGAOの推奨事項に同意した。
Recommendations for Executive Action 行政措置に関する提言
Department of Homeland Security 国土安全保障省
The Secretary of Homeland Security should direct the Director of CISA to (1) evaluate how to best address concerns raised by SLTTs and facilitate collaboration with other key ransomware stakeholders taking into account its leadership of the new joint ransomware task force and (2) improve interagency coordination on ransomware assistance to SLTTs. (Recommendation 1) 国土安全保障省長官はCISA長官に、(1)新しいランサムウェア合同タスクフォースの指導を考慮し、州・地方・部族・準州政府 が提起した懸念に最もよく対処し、他の主要なランサムウェア関係者との協力を促進する方法を評価し、(2) 州・地方・部族・準州政府へのランサムウェア支援に関する省庁間の調整を改善すべきである。(推奨事項1)
The Secretary of Homeland Security should direct the Director of Secret Service to (1) evaluate how to best address concerns raised by SLTTs and facilitate collaboration with other key ransomware stakeholders and (2) improve interagency coordination on ransomware assistance to SLTTs. (Recommendation 2) 国土安全保障長官は、シークレットサービス長官に対し、(1)州・地方・部族・準州政府が提起した懸念に最もよく対処し、他の主要なランサムウェア関係者との協力を促進する方法を評価し、(2)州・地方・部族・準州政府へのランサムウェア支援に関する省庁間の調整を改善するよう指示すること。(推奨事項2)
Department of Justice 司法省
The Attorney General should direct the Director of FBI to (1) evaluate how to best address concerns raised by SLTTs and facilitate collaboration with other key ransomware stakeholders and (2) improve interagency coordination on ransomware assistance to SLTTs. (Recommendation 3) 司法長官はFBI長官に対し、(1)州・地方・部族・準州政府が提起する懸念に最もよく対処し、他の主要なランサムウェア関係者との協力を促進する方法を評価し、(2)州・地方・部族・準州政府へのランサムウェア支援に関する省庁間調整を改善するよう指示すること。(推奨事項3)

 

・[PDF] Full Report

20221009-63957

 

 

・[PDF] Highlights Pages

20221009-63857

 


 

まるちゃんの情報セキュリティ気まぐれ日記

シークレットサービス関連

・2021.09.01 米国 シークレットサービスの戦略

 

ISACs関連

・2020.10.08 米国のISACとISAO (根拠指令、取りまとめ団体、ISAO標準文書など)

 

ランサムウェア関連

・2022.09.14 米国 CISA サイバーインシデント報告法 (CIRCIA) における報告要件に関する意見募集 (2022.09.09)

・2022.08.21 英国 情報コミッショナーオフィスと国家サイバーセキュリティセンターが事務弁護士にランサムウェアの身代金の支払いに歯止めをかけるように依頼 (2022.07.07)

・2022.08.01 ENISA ランサムウェアについての脅威状況

・2022.06.16 徳島県つるぎ町立半田病院 コンピュータウイルス感染事案有識者会議調査報告書

・2022.05.27 第26回サイバー犯罪に関する白浜シンポジウム 顕在化する国境なきサイバー犯罪に立ち向かうために~ ランサムウェアの脅威を考える ~

・2022.05.19 米国 司法省 ランサムウェアの使用と販売、およびサイバー犯罪者と利益分配をしたことでハッカーかつランサムウェア設計者を起訴

・2022.04.21 総務省 経済産業省 警察庁、内閣官房 サイバー攻撃被害に係る情報の共有・公表ガイダンス検討会の開催

・2022.04.01 小島プレス工業 システム停止事案調査報告書(第1報)

・2022.02.27 NISC ホワイトペーパー:サイバーセキュリティリスクマネジメントを始めるために:ランサムウェア

・2022.02.26 NISTIR 8374 ランサムウェア・リスク管理のためのサイバーセキュリティ・フレームワーク・プロファイル

・2022.02.22 NATO CCDCOE 最近のサイバー事件 軍事・国家安全保障の意思決定者のための検討事項 第14号は2021年の振り返り (2022.01)

・2022.01.28 IPA 情報セキュリティ10大脅威 2022 ~昨年と同じ脅威が引き続き上位に、日常的な備えが重要~

・2022.01.16 金銭目的のサイバー攻撃については全ての国が協力できる(コロニアルパイプラインを攻撃した疑いのあるハッカーを米国の要請によりロシアが逮捕)

・2021.12.31 G7 内務担当、安全保障担当高官によるランサムウェアに関する臨時フォーラム

・2021.12.24 JNSA 2021セキュリティ十大ニュース

・2021.11.27 NPO デジタルフォレンジック研究会 「医療機関向けランサムウェア対応検討ガイダンス」の公開

・2021.11.13 米国 財務省 金融犯罪捜査ネットワーク ランサムウェア及び身代金支払いのために金融システムを利用する際の勧告

・2021.11.13 米国 財務省 政府一体となったランサムウェア対策によりランサムウェア実行者と仮想通貨取引所に制裁を科す

・2021.11.12 Interpol 最近のサイバー関係の発表(7つ)

・2021.11.09 米国 司法省 Kaseya社等をランサムウェア攻撃したウクライナ人を逮捕・起訴した

・2021.11.08 米国 連邦取引委員会 (FTC) ランサムウェアのリスク:中小企業のための2つの予防ステップ

・2021.11.05 米国 White House 国際的なランサムウェア対策の継続的な取り組みに関する声明

・2021.11.04 米国 FBI-ICS3 ランサムウェアの実行者は合併等の金融イベント等を狙って攻撃してきているとアラートを出していますね。。。

・2021.10.29 ENISA Threat Landscape 2021:ランサムウェア、クリプトジャッキングを利用した金銭目的のサイバー犯罪が急増

・2021.10.18 内閣官房 NISC ランサムウェア特設ページ

・2021.10.15 米国 国家安全保障会議ランサムウェア対策イニシアチブ

・2021.09.17 警察庁 ランサムウェア被害防止対策

・2021.09.14 カナダ サイバーセキュリティセンタ:ランサムウェア:防止および回復する方法(ITSAP.00.099)

・2021.09.10 NISTIR 8374 (Draft) ランサムウェア・リスク管理のためのサイバーセキュリティ・フレームワーク・プロファイル

・2021.09.05 米国 CISA FBI 休日と週末のためのランサムウェアの認識

・2021.08.26 米国 White House バイデン大統領が「米国のサイバーセキュリティを共同で改善する」と発言していますね。。。

・2021.08.26 米国 カリフォルニア州 医療機関等へのランサムウェアの被害を踏まえ、司法長官が医療データ・プライバシー法の完全な遵守を呼びかけていますね。

・2021.08.19 ニップンとその上場子会社のオーケー食品工業がデータを暗号化され決算発表が遅れていますね。。。

・2021.07.26 Europol、オランダ警察、 Kaspersky、McAfee - NO MORE RANSOM (NMR) 復号ツール取り揃えています...

 

 

 

| | Comments (0)

2022.10.08

欧州 ユーロポール メタバースにおける警察活動: 法執行機関が知っておくべきこと

こんにちは、丸山満彦です。

ユーロポールが「メタバースにおける警察活動:法執行機関が知っておくべきこと」という文書を公表していますね。。。興味深いですね。。。

 

Europole

・2022.10.03 Policing in the metaverse: what law enforcement needs to know

Policing in the metaverse: what law enforcement needs to know メタバースにおける警察活動:法執行機関が知るべきこと
The metaverse has been described as the next iteration of the internet. This report provides a first, law enforcement-centric outlook at current developments on the topic, potential implications for law enforcement, as well as key recommendations as to what the law enforcement community could do to prepare for the future. This report aims to help police chiefs, law enforcement agencies and policy makers to begin to grasp this new environment so that they can adapt and prepare for policing in the metaverse. メタバースは、インターネットの次のイテレーションと言われている。本報告書は、このテーマに関する現在の動向、法執行機関への潜在的な影響、そして法執行機関が将来に備えるために何ができるかという主要な提言について、法執行機関を中心に初めて展望している。 本報告書は、警察署長、法執行機関、政策立案者がこの新しい環境を把握し、メタバースにおける警察活動に適応し、準備できるよう支援することを目的としている。
This is the latest report produced by the Observatory Function of the Europol Innovation Lab. The Observatory Function monitors technological developments that are relevant for law enforcement and reports on the risks, threats and opportunities of these emerging technologies. 本報告書は、欧州警察機構のイノベーションラボのオブザーバトリー部門が作成した最新報告書である。オブザーバトリー機能は、法執行に関連する技術開発を監視し、これらの新興技術のリスク、脅威、機会について報告する。

 

・[PDF] Policing in the metaverse: what law enforcement needs to know

20221008-14557

目次...

Foreword 序文
Introduction はじめに
What is the Metaverse? メタバースと何か?
The basics of the metaverse メタバースの基礎知識
Current state of play 現在の再生状況
Technology powering metaverses メタバーズを支えるテクノロジー
Adverse use and crime in the metaverse メタバースにおける悪用と犯罪
Identity アイデンティティ
Financial: money laundering, scams 金融:マネーロンダリング、詐欺
Harassment and (child) abuse and exploitation ハラスメント、(児童)虐待・搾取
Terrorism テロリズム
Mis- and disinformation 誤情報・偽情報
Feasibility of monitoring/logging evidence エビデンスのモニタリング/ログの取得の可能性
Impact in the physical world 物理的な世界でのインパクト
LE use of metaverse (and related technology) メタバース(および関連技術)のLE利用
Being present regardless of distance 距離に関係なく存在すること
Training トレーニング
Alternative punishments/interventions 代替的な罰・介入
What to do and what is being done? 何をすべきか、何が行われているのか
Build your online presence and experience the metaverse オンラインプレゼンスを構築し、メタバースを体験する
Start the conversation 会話を始める
Monitor and experience the metaverse and related technologies: know what is happening and what you are talking about メタバースと関連技術をモニターし体験する:何が起きているのか、何を話しているのかを知ることができる
Engage with companies creating it 創っている企業との関わり
Conclusion 結論

 

・[DOCX] 仮訳

 

 

| | Comments (0)

2022.10.07

米国 NIST 国際的活動に関する最新情報:CSF2.0アップデートワークショップなど (2022.09.30)

こんにちは、丸山満彦です。

NISTの国際的な活動についての説明が公表されていますね。。。サイバーセキュリティ・フレームワーク (CSF) を2.0に改訂する活動の一環として、8月に開催されたパネルディスカッションの様子や、人材育成、ポスト量子暗号等について、メキシコ、欧州、日本、ヨルダン等との活動についても簡潔に触れられていますね。。。

ちなみに、CSF 2.0関連のパネルディスカッションでは、NTTの松原さんがパネル6にパネリストとして登壇されていますね。国際的に活躍されていたとても素敵だと思います。

 

● NIST

・2022.09.30 NIST International Engagement Updates: CSF 2.0 Update Workshop and More

NIST International Engagement Updates: CSF 2.0 Update Workshop and More NIST国際エンゲージメントに関する最新情報:CSF2.0アップデートワークショップなど
The subject of international alignment and alignment with international resources continues to be an important focus for NIST, particularly with the process for the Cybersecurity Framework (CSF) 2.0 update. This was an important area for many of our stakeholders, as described in the summary of analysis of the Request for Information (RFI) from February. NIST hosted its first virtual workshop on the journey to the CSF 2.0 update process in August. During the workshop, NIST described the importance of international alignment as well as the feedback we heard on continuing our international engagement and incorporating global perspectives into the CSF 2.0 update process. 国際的な整合性と国際的なリソースとの整合性というテーマは、特にサイバーセキュリティフレームワーク(CSF)2.0の更新プロセスにおいて、NISTにとって引き続き重要な焦点となっている。これは、2月の情報提供依頼(RFI)の分析概要に記載されているように、多くのステークホルダーにとって重要な分野でした。NISTは、8月にCSF 2.0更新プロセスへの道のりに関する初の仮想ワークショップを開催した。このワークショップで、NIST は、国際的な整合性の重要性と、国際的なエンゲージメントを継続し、グローバルな視点を CSF 2.0 の更新プロセスに取り入れることについて聞いたフィードバックについて説明した。
NIST also welcomed experts with perspectives from government, industry, and standardization to a panel at the workshop on international use and alignment of the CSF, moderated by the U.S. Department of State. We heard about international cybersecurity policy trends that could be influential for the CSF 2.0 update process and information on how people are using the CSF throughout the world. We also heard about the documents that reference the CSF in the International Organization of Standardization (ISO), including ISO Technical Specification 27110, and the importance of NIST continuing to contribute in standards organizations such as ISO and to align the CSF with the ISO 27000 family. This feedback will help us as we update the CSF to increase its use throughout the world and ensure it is useful to our partners outside the U.S. If you missed it, recordings are available online. More information and an analysis of the workshop can be found in this recently released summary.   また、ワークショップでは、米国国務省の司会により、政府、産業界、標準化の各分野の専門家を迎え、CSFの国際的な活用と連携に関するパネルを開催した。CSF2.0のアップデートプロセスに影響を与える可能性のある国際的なサイバーセキュリティ政策の動向や、世界各国でのCSFの利用状況について情報を得ることができた。また、ISO Technical Specification 27110を含む国際標準化機構(ISO)のCSFを参照する文書について、また、NISTがISOなどの標準化機構で貢献を続け、CSFをISO 27000ファミリーと整合させることの重要性についても意見を聞いた。このフィードバックは、CSFを更新して世界中で使用されるようにし、米国外のパートナーにも役立つようにするために役立ちます。ワークショップの詳細と分析は、最近発表されたこの概要で見ることができる。  
The Department of State has facilitated our involvement in numerous agreements and joint statements with international partners. One example is a recently released Joint Statement on U.S.-Mexico Working Group on Cyber Issues which highlights our commitment with Mexico to continue to share information on cybersecurity resources and support active participation and engagement in initiatives such as the CSF 2.0 update process and the National Initiative for Cybersecurity Education (NICE) community, including events such as the Regional Initiative for Cybersecurity Education and Training (RICET). NIST also worked with the Department of State and the International Trade Administration (ITA) on participation in a virtual stakeholder engagement event with government and industry on cybersecurity approaches. 国務省は、国際的なパートナーとの数多くの協定や共同声明への関与を促してきた。その一例として、最近発表された「サイバー問題に関する米国・メキシコ作業部会に関する共同声明」がある。これは、サイバーセキュリティのリソースに関する情報を引き続き共有し、CSF 2.0 更新プロセスやサイバーセキュリティ教育と訓練のための地域イニシアチブ(RICET)などのイベントを含むサイバーセキュリティ教育のための国家イニシアチブ(NICE)コミュニティなどのイニシアティブに積極的に参加、関与することをメキシコとともに支援するという約束を強調するものである。NISTはまた、国務省や国際貿易局(ITA)と協力して、サイバーセキュリティのアプローチに関する政府および産業界との仮想ステークホルダー参画イベントへの参加にも取り組んだ。
We continue to welcome and learn from visitors who come to NIST and our National Cybersecurity Center of Excellence (NCCoE) to discuss cybersecurity issues. We had discussions on NIST cybersecurity resources with a delegation from Jordan and discussed our 5G security project with visitors from Australia. We welcomed visitors from Japan, the European Commission, and the United Kingdom in September and discussed a number of areas for collaboration in cybersecurity, including NIST’s ongoing work in post quantum cryptography and the NCCoE’s project on zero trust architecture NISTとその国家サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)にサイバーセキュリティの問題を議論するために訪れる訪問者を歓迎し、学び続けている。ヨルダンの代表団とはNISTのサイバーセキュリティリソースについて話し合い、オーストラリアからの訪問客とは5Gセキュリティプロジェクトについて話し合った。9月には日本、欧州委員会、英国からの訪問者を迎え、NISTが現在取り組んでいるポスト量子暗号やNCCoEのゼロトラストアーキテクチャに関するプロジェクトなど、サイバーセキュリティにおける多くの協力領域について話し合った。 
NIST traveled to Cartagena, Colombia, at the end of August to participate in ANDICOM 2022, thanks to the facilitation of ITA. At the event, NIST discussed the Privacy Framework and CSF update to 2.0 process. NIST also leveraged this opportunity to engage with stakeholders in Latin America, where we’ve already had numerous conversations about the CSF and translations of our resources in Spanish and Portuguese. NIST also participated in the U.S.-India dialogue hosted by the National Security Council and hosted the visiting India delegation at the NCCoE to discuss a number of cybersecurity topics and opportunities for collaboration. NISTは、8月末にコロンビアのカルタヘナで開催されたANDICOM 2022に、ITAの仲介で参加した。このイベントで、NISTはプライバシーフレームワークとCSFの2.0への更新プロセスについて説明した。NISTはこの機会を利用して、ラテンアメリカのステークホルダーとも交流し、すでにCSFやスペイン語・ポルトガル語の資料の翻訳について多くの会話を交わしている。 NIST は、国家安全保障会議が主催する米印対話にも参加し、インド訪問団を NCCoE で受け入れ、サイバーセキュリティに関する多くのトピックと協力の機会について議論した。
Additional international resources continue to be posted on the International Cybersecurity and Privacy Resources page. If you are aware of additional translations and resources to share, please reach out to us! 国際的なサイバーセキュリティとプライバシーのリソースのページには、追加の国際的なリソースが引き続き掲載していく。この他にも翻訳やリソースがあれば、ぜひ連絡ください。

 

 


 

CSF 2.0改訂関係...

Updating the NIST Cybersecurity Framework – Journey To CSF 2.0

 

パネルディスカッション。。。

パネルは次の6つです。

Panel 1: NIST Discussion of CSF 2.0  パネル1:NISTによるCSF2.0に関するディスカッション 
Panel 2: Lessons Learned from Development and Use of CSF Profiles  パネル2:CSFプロファイルの開発と利用から学んだ教訓 
Panel 3: International Use and Alignment in the CSF  パネル3:CSFの国際的な利用と整合性 
Panel 4: Consideration of Governance in the CSF  パネル4:CSFにおけるガバナンスの検討 
Panel 5: CSF Measurement and Assessment  パネル5:CSFの測定とアセスメント 
Panel 6: Consideration of Supply Chain Cybersecurity in the CSF  パネル6:CSFにおけるサプライチェーンサイバーセキュリティの検討 

 

ワークショプの様子は、こちらから...パネル6に松原さんが登壇されています。。。

event recording

 

・2022.09.09 Workshop #1 [PDF] Summary Analysis Report

20221007-113839

Panel 1: NIST Discussion of CSF 2.0  パネル1:NISTによるCSF2.0に関するディスカッション 
Moderator: James Lewis, Senior Vice President and Director, Strategic Technologies Program, Center for Strategic and International Studies (CSIS)   モデレーター ジェームズ・ルイス 戦略国際問題研究所(CSIS)上級副所長兼戦略技術プログラム・ディレクター  
Panelists: Jon Boyens, Deputy Chief, Computer Security Division, NIST; Amy Mahn, International Policy Specialist, NIST; Cherilyn Pascoe, Senior Technology Policy Advisor, NIST; Adam Sedgewick, Senior Technology Policy Advisor, NIST  パネリスト NIST コンピュータセキュリティ部次長 Jon Boyens氏、NIST 国際政策専門家 Amy Mahn氏、NIST 上級技術政策アドバイザー Cherilyn Pascoe氏、NIST 上級技術政策アドバイザー Adam Sedgewick氏 
In this first panel, NIST staff discussed the drivers to update the Framework now and the update process. They explained how panels for the day were selected based on the NIST RFI analysis themes on CSF guidance, international engagement/alignment, and additional considerations of governance, supply chain and measurement. Staff emphasized how the CSF 2.0 could be leveraged to increase usage of the CSF, including through increased awareness of existing resources (while also filling gaps in implementation guidance for small and medium sized organizations). They noted the importance of updating the Framework to keep pace with changes in standards and technology. This will require changes to the CSF along with additional mappings to new standards. Staff reinforced the need to keep the CSF technology neutral, while also recognizing the changing landscape due to cloud computing, an increasingly hybrid workforce, and the continual growth of the internet of things. Staff emphasized the importance of international engagement and alignment for the update and outlined NIST’s related international and standards development efforts. Finally, as the cybersecurity policy landscape changes, they noted the importance of engaging government regulators and increasing alignment between the CSF and future regulatory objectives.   最初のパネルでは、NISTのスタッフが、フレームワークを今すぐアップデートすることの意義と、アップデートプロセスについて議論した。この日のパネルは、CSFガイダンス、国際的なエンゲージメント/アライメント、ガバナンス、サプライチェーン、測定などのNIST RFI分析テーマに基づいて選択されたことを説明した。スタッフは、CSF 2.0が、既存のリソースの認知度向上(同時に、中小規模の組織に対する実施ガイダンスのギャップを埋める)を含め、CSFの利用を拡大するためにどのように活用されるかを強調した。また、標準や技術の変化に対応するために、フレームワークを更新することの重要性を指摘した。そのためには、CSFを変更し、新しい規格とのマッピングを追加する必要がある。スタッフは、CSFを技術的に中立に保つ必要性を強調する一方で、クラウドコンピューティング、ハイブリッドワークフォースの増加、モノのインターネットの継続的な成長による状況の変化も認識した。スタッフは、更新のための国際的な関与と調整の重要性を強調し、NISTの関連する国際的な取り組みと標準化の取り組みについて概説した。最後に、サイバーセキュリティ政策の変化に伴い、政府の規制当局を巻き込み、CSFと将来の規制目標との間の整合性を高めることの重要性を指摘した。 
Panel 2: Lessons Learned from Development and Use of CSF Profiles  パネル2:CSFプロファイルの開発と利用から学んだ教訓 
Moderator: Josephine Long, U.S. Coast Guard (Ret.)   モデレーター:ジョセフィン・ロング、米国沿岸警備隊(退役)。 
Panelists: Rudy Brioche, Vice President and Counsel, Global Public Policy, Comcast; Deborah J. Eng, Executive Director, Technology and Cybersecurity Policy and Partnerships, JPMorgan Chase & Co.; Gema Howell, Lead, Election and Mobile Device Security, NIST; Keith Stouffer, Group Leader of the Networked Control Systems Group, NIST パネリスト:ルディ・ブリオッシュ(コムキャスト社グローバル公共政策担当副社長兼顧問)、デボラ J. エン(JPMorgan Chase & Co. 技術・サイバーセキュリティ政策・パートナーシップ担当エグゼクティブディレクター)、ゲマ・ハウェル(NIST 選挙・モバイル機器セキュリティ担当主任)、キース・ストゥーファー(NIST ネットワーク制御システムグループ・リーダー
The second panel discussed how the CSF can be tailored to organizations of various sectors and sizes by showcasing a few examples of sector-specific profiles. Using the CSF, every organization can develop their own profile to tailor the CSF – prioritizing certain categories/subcategories and incorporating sector-specific responsibilities to meet mission and business objectives. Example profiles can be helpful because they do some of the heavy lifting of incorporating sector-specific standards and regulations.    2つ目のパネルでは、セクター別のプロファイルの例をいくつか紹介しながら、CSFをさまざまなセクターや規模の組織にどのように適合させることができるかを議論した。CSFを使用することで、各組織はCSFをカスタマイズするために独自のプロファイルを作成することができる。特定のカテゴリ/サブカテゴリを優先し、ミッションとビジネス目標を満たすためにセクター固有の責任を組み込むことができる。プロファイルの例は、セクター固有の基準や規制を取り入れるという大変な作業を行うため、参考になる。  
The panel included several experts involved in developing example CSF profiles including:   パネルには、CSFプロファイル例の開発に携わった以下のような専門家が参加している。 
•       NISTIR 8183r1 - Cybersecurity Framework Version 1.1 Manufacturing Profile  - NISTIR 8183r1 - サイバーセキュリティフレームワーク バージョン1.1 製造業向けプロファイル 
•       NISTIR 8310 (Draft) - Cybersecurity Framework Election Infrastructure Profile  - NISTIR 8310 (ドラフト) - サイバーセキュリティフレームワークの選挙インフラプロファイル 
•       The Profile by the Cyber Risk Institute (for the financial sector)   ・サイバーリスク研究所によるプロファイル(金融セクター向け)
•       The Cybersecurity Risk Management and Best Practices Profile by the Communications, Security, Reliability, and Interoperability Council, and  ・通信・セキュリティ・信頼性・相互運用性協議会による「サイバーセキュリティリスクマネジメントとベストプラクティス」プロファイル,および
•       Cybersecurity Framework Profiles for Maritime Bulk Liquid Transfer, Offshore Operations, Passenger Vessel, and Industry Cybersecurity Processes created collaboratively on behalf of the U.S. Coast Guard  ・海上液体輸送、オフショア業務,旅客船,および米国沿岸警備隊を代表して共同作成された業界のサイバーセキュリティ・プロセスのためのサイバーセキュリティ・フレームワーク・プロファイル
Panelists discussed how the sample profiles were developed and provided examples of how profiles can be tailored to specific sectors, organizations, or components of an organization. They offered views about how usage of the CSF among small- and medium-sized organizations could be increased. Panelists and workshop attendees alike expressed a need for more sample profiles, as well as additional guidance on how to develop profiles and make profiles already on NIST’s website more readily accessible.    パネリストは、サンプルプロファイルがどのように作成されたかを議論し、プロファイルを特定のセクター、組織、または組織の構成要素に合わせることができる方法を例示した。また、中小規模組織におけるCSFの利用を促進する方法についての意見も出された。パネリストおよびワークショップ参加者からは、より多くのサンプルプロファイル、およびプロファイルの開発方法に関する追加ガイダンス、およびNISTのWebサイトに既に掲載されているプロファイルへのアクセスを容易にすることの必要性が表明された。  
Panel 3: International Use and Alignment in the CSF  パネル3:CSFの国際的な利用と整合性 
Moderator: Leonard Hause, Bureau of Cyberspace and Digital Policy, U.S. Department of State   モデレータ:米国務省サイバースペース・デジタル政策局 Leonard Hause 氏  
Panelists: Kerry-Ann Barrett, Cybersecurity Program Manager, Secretariat of the Inter-American Committee Against Terrorism (CICTE), Secretariat for Multidimensional Security (SMS), Organization of American States; Wen Kwan, Senior Director, ICT Resilience, Innovation, Security and Economic Development Canada, Government of Canada; Laura Lindsay, Cybersecurity Standards Strategist, Microsoft パネリスト:米州機構 多次元安全保障事務局 対テロ米州委員会(CICTE)サイバーセキュリティプログラムマネージャー ケリー=アン・バレット、カナダ政府 イノベーション・セキュリティ・経済開発局 ICTレジリエンス担当シニアディレクター ウェン・クワン、Microsoft サイバーセキュリティ標準ストラテジスト ローラ・リンゼイ
The third panel highlighted the importance of increasing international adoption of the CSF through engagement internationally and alignment with international standards. This panel focused on ways in which the CSF principles have been leveraged across the Americas, including in the United StatesMexico-Canada (USMCA) trade agreement, in Canada, and the Organization of American States. It also addressed international aspects of the CSF more broadly, including how countries have leveraged the common language and risk-based approach of the CSF in national policy.   3つ目のパネルは、国際的な関与と国際標準との連携を通じてCSFの国際的な採用を拡大することの重要性を強調した。このパネルでは、米国・メキシコ・カナダ(USMCA)貿易協定、カナダ、米州機構など、アメリカ大陸でCSFの原則がどのように活用されているかに焦点を当てた。また、CSFの共通言語やリスクベースのアプローチを各国がどのように国家政策に活用しているかなど、より広範なCSFの国際的側面についても言及された。 
Panelists discussed the importance of engaging in international standards bodies to advance the CSF as well as helping organizations to understand the intersections and gaps between ISO 27000 and the CSF. They also noted the trend of ISO to increasingly leverage the CSF. Several panelists pointed to the success of the CSF in creating a common terminology which enhances the communication among governments. The discussion also covered how some terms vary between countries, such as an emphasis on digital security rather than cybersecurity and how language differences also come into play. Panel members noted barriers for small- and medium-sized organizations in using international standards. They emphasized how the voluntary nature of the CSF has been fruitful and effective in its gaining traction around the globe.   パネリストは、CSFを推進するために国際標準化団体に参加することの重要性、およびISO27000とCSFの間の交差点やギャップを組織が理解することを支援することについて議論した。また、ISOがCSFをますます活用する傾向にあることも指摘された。複数のパネリストが、CSFが政府間のコミュニケーションを強化する共通の用語集を作成することに成功していることを指摘した。また、サイバーセキュリティではなくデジタルセキュリティを強調するなど、国によって用語が異なることや、言語の違いも議論になった。パネルディスカッションでは、中小企業が国際標準規格を利用する際の障壁について言及された。また、CSFのボランタリーな性格が、世界的に普及する上で実り多く、効果的であったことを強調した。 
Panelists referenced CSF-related resources and NIST staff shared links through the Slack channel. Some resources that were referenced and shared include:  パネリストは CSF 関連のリソースに言及し、NIST スタッフは Slack チャンネルを通じてリンクを共有した。参照・共有されたリソースをいくつか紹介する。
•       NIST International Cybersecurity and Privacy Resources Site, which describes NIST’s international engagement, including links to CSF translations and adaptations.  ・NIST International Cybersecurity and Privacy Resources Site:NISTの国際的な取り組みについて説明しており,CSFの翻訳や翻案へのリンクも掲載されている。
•       The Organization of American States (OAS) and Amazon Web Services (AWS) White Paper on the CSF addresses opportunities and advantages of the CSF’s cybersecurity risk management approach.  - 米州機構(OAS)とアマゾン ウェブ サービス(AWS)の CSF に関する白書では、CSF のサイバーセキュリティ リスク マネジメント アプローチの機会と利点が述べられている。
•       International Organization for Standardization (ISO)/ International Electrotechnical Commission (IEC) Technical Reference 27103: Cybersecurity and ISO and IEC standards. This document leverages concepts of the CSF and demonstrates how a cybersecurity framework can utilize current information security standards to achieve a well-controlled approach to cybersecurity management.  - 国際標準化機構(ISO)/国際電気標準会議(IEC)テクニカルレファレンス 27103:サイバーセキュリティと ISO および IEC 規格。この文書は、CSF の概念を活用し、サイバーセキュリティフレームワークが、現行の情報セキュリティ標準を利用して、サイバーセキュリティ管理に対する十分に管理されたアプローチを実現する方法を示している。
•       International Organization for Standardization (ISO)/ International Electrotechnical Commission (IEC) Technical Specification 27110: Information technology, cybersecurity and privacy protection — Cybersecurity framework development guidelines. This document specifies guidelines for developing a cybersecurity framework—including using concepts that align with the CSF functions.  - 国際標準化機構(ISO)/国際電気標準会議(IEC)技術仕様書 27110:情報技術、サイバーセキュリティおよびプライバシー保護 - サイバーセキュリティフレームワーク開発ガイドライン。この文書は、サイバーセキュリティフレームワークを開発するためのガイドラインを規定したもので、CSFの機能に沿った概念の使用も含まれている。
Panel 4: Consideration of Governance in the CSF  パネル4:CSFにおけるガバナンスの検討 
Moderator: Nahla Ivy, Enterprise Risk Management Officer, NIST   モデレーター NIST エンタープライズリスクマネジメントオフィサー Nahla Ivy 氏  
Panelists: Julie Chua, Director, Governance, Risk Management, and Compliance Division, U.S. Department of Health and Human Services; Tendai Gomo, Vice President, Head of Cyber Governance and Risk, Capital One; Alicia Rosenbaum, Vice President and Associate General Counsel, Salesforce; Ola Sage, Founder and CEO, CyberRx  パネリスト Julie Chua(米国保健社会福祉省 ガバナンス・リスクマネジメント・コンプライアンス部門ディレクター)、Tendai Gomo(キャピタルワン社 サイバーガバナンス・リスク部門バイスプレジデント)、Alicia Rosenbaum(セールスフォース社 副社長兼副顧問)、Ola Sage(サイバーラックス社 創業者兼CEO)。
The fourth panel examined approaches to governance in addressing cybersecurity risks.  4つ目のパネルは、サイバーセキュリティリスクに対処するためのガバナンスのアプローチについて検討した。
Panel members discussed the challenges in addressing governance given the increasingly interconnected nature of their operating environments and growing dependencies on their supply chain. They stressed: the importance of identifying the roles different people in the organizations play; how the CSF can be used to align cybersecurity risks with business objectives; and how to determine priorities and risk tolerances by engaging senior leadership as well as customers and suppliers in implementing the CSF. Focusing on Enterprise Risk Management, the panel highlighted practices to assist organizations in determining their critical business and mission functions to allow them to better quantify risk reduction.   パネリストは、事業環境の相互接続性が高まり、サプライチェーンへの依存度が高まっていることから、ガバナンスに取り組む上での課題について議論した。パネルディスカッションでは、組織内のさまざまな人々が果たす役割を特定することの重要性、サイバーセキュリティ・リスクと事業目標を整合させるためにCSFをどのように活用できるか、CSFの実施にシニア・リーダーシップや顧客、サプライヤーを関与させることによって優先順位とリスク許容度をどのように決定するか、といった点が強調された。エンタープライズ・リスクマネジメントに焦点を当てたパネルディスカッションでは、企業が重要なビジネスとミッション機能を決定し、リスク削減をより定量化できるようにするためのプラクティスが紹介された。 
Several panelists shared insights about how they use the CSF to provide status updates on meeting cybersecurity priorities to their senior leadership, and the Framework’s value in carrying out their responsibilities. Discussions among the panelists and Slack channel participants cited some of the unique needs of small and medium businesses and offered ideas on how to get them started in setting up a cybersecurity program – moving away from an all-or-nothing approach and getting started by looking at regulatory requirements and their specific threat landscape.   また、複数のパネリストが、サイバーセキュリティの優先事項の達成状況を上級管理職に報告するためにCSFをどのように活用しているか、また、その責任を果たす上でのフレームワークの価値についての見解を述べた。パネリストと Slack チャネル参加者のディスカッションでは、中小企業特有のニーズが挙げられ、サイバーセキュリティプログラムの立ち上げに着手する方法についてアイデアが提供された。 
Panel 5: CSF Measurement and Assessment  パネル5: CSFの測定とアセスメント 
Moderator: Lisa Carnahan, Associate Director for IT Standardization, NIST   モデレーター:リサ・カーナハン(NIST IT標準化担当アソシエイト・ディレクター  
Panelists: Khalid Hasan, Senior Manager for Information Technology Audits, Office of Inspector General for the Board of Governors of the Federal Reserve Board and the Consumer Financial Protection Bureau; Kelly Hood, Executive Vice President and Cybersecurity Engineer, Optic Cyber Solutions; Alicia Clay Jones, Manager, Policy and Performance, Entergy Services, Inc. パネリスト:連邦準備制度理事会および消費者金融保護局監察官室 情報技術監査担当シニアマネージャー Khalid Hasan氏、Optic Cyber Solutions社 執行副社長兼サイバーセキュリティエンジニア Kelly Hood氏、Entergy Services社 ポリシー・パフォーマンス担当マネージャー Alicia Clay Jones氏。
The fifth panel focused on how to enhance cybersecurity measurement and evaluation when using the CSF. 5つ目のパネルは、CSFを利用する際に、サイバーセキュリティの測定と評価をどのように強化するかに焦点を当てた。
Panelists described how they are using the CSF – both in their organization and in organizations they oversee or guide – and the role of measurement and assessment. The panel shared how they leverage the CSF with other risk management frameworks and maturity models to meet their varying measurement and assessment needs. Measurement and assessment relating to the CSF had different meanings and implementations among the group, depending on their goals. Yet it was clear that each leveraged the CSF as a common means for communicating expectations and current cybersecurity posture with nontechnical stakeholders and for identifying programmatic cybersecurity trends. Each cited the inherent flexibility and risk-based approach of the CSF as valuable in developing innovative and tailored approaches to quantifying and qualifying risk.   パネリストは、自分の組織と監督または指導している組織の両方で CSF をどのように使用しているか、測定と評価の役割について説明した。また、さまざまな測定と評価のニーズに対応するために、CSFを他のリスクマネジメントフレームワークや成熟度モデルとどのように活用しているかを紹介した。CSFに関連する測定と評価は、各自の目標によって意味合いも実施方法も異なっていた。しかし、技術的なバックグラウンドを持たないステークホルダーと期待や現在のサイバーセキュリティの状況を共有し、プログラム上のサイバーセキュリティの傾向を特定するための共通の手段として CSF を活用していることは明らかであった。各社とも、リスクを定量化・定性化するための革新的でカスタマイズされたアプローチを開発する上で、CSF固有の柔軟性とリスクベースのアプローチが有効であると述べている。 
Participants in the Slack discussion were especially active in this panel, sharing additional examples of how they are using the CSF for measurement and assessment, additional resources, and opportunities for additional NIST guidance.    このパネルでは、Slackの参加者が特に積極的に発言し、測定と評価のためにCSFをどのように使用しているか、追加のリソース、およびNISTの追加ガイダンスの機会について、追加の例を共有した。  
Panel 6: Consideration of Supply Chain Cybersecurity in the CSF  パネル6:CSFにおけるサプライチェーンサイバーセキュリティの検討 
Moderator: Nadya Bartol, Managing Director, Boston Consulting Group Platinion   モデレーター ボストンコンサルティンググループプラティニオン、マネージングディレクター、ナディア・バートール  
Panelists: David Batz, Managing Director of Cyber and Infrastructure Security, Edison Electric Institute; Paul Eisler, Senior Director, Cybersecurity, USTelecom | The Broadband Association; Mihoko Matsubara, Chief Cybersecurity Strategist, NTT Corporation; Chris van Schijndel, Cybersecurity Director, Johnson & Johnson Consumer Health パネリスト:Edison Electric Institute サイバー&インフラセキュリティ担当マネージングディレクター David Batz氏、USTelecom サイバーセキュリティ担当シニアディレクター Paul Eisler氏、The Broadband Association、NTT株式会社 チーフサイバーセキュリティストラテジスト 松原美穂子氏、Johnson & Johnson Consumer Health サイバーセキュリティディレクター Chris van Scijndel氏
The sixth and final panel discussed supply chain cybersecurity considerations in the CSF.   最後の6番目のパネルでは、CSFにおけるサプライチェーンのサイバーセキュリティの考慮事項について議論された。 
The panel members and participants in Slack discussed the importance of organizations having a robust cybersecurity supply chain risk management approach, including how CSF 2.0 could build on the coverage of cybersecurity supply chain risk management already included in CSF 1.1. They addressed the many challenges associated with cybersecurity supply chain risk management, including the ability to oversee cybersecurity of suppliers, and emphasized the importance of maintaining flexibility to tailor activities based on risks, sectors, and circumstances. The panel and Slack participants also discussed recently issued resources to help secure software supply chains, such as the NIST Secure Software Development Framework Version 1.1 (NIST SP 800-218) and Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations (NIST SP 800-161 Rev. 1). Some panel members also pointed to the importance of global discussions on supply chain management.    パネルメンバーとSlackの参加者は、CSF 2.0がCSF 1.1にすでに含まれているサイバーセキュリティのサプライチェーンリスクマネジメントの範囲をどのように構築できるかを含め、組織が強固なサイバーセキュリティのサプライチェーンリスクマネジメント手法を持つことの重要性を議論した。また、サプライヤーのサイバーセキュリティを監督する能力など、サイバーセキュリティ・サプライチェーン・リスクマネジメントに関連する多くの課題を取り上げ、リスク、セクター、状況に応じて活動を調整する柔軟性を維持することの重要性を強調した。パネルとSlack参加者は、NIST Secure Software Development Framework Version 1.1 (NIST SP 800-218) やCybersecurity Supply Chain Risk Management Practices for Systems and Organizations (NIST SP 800-161 Rev. 1) など、ソフトウェアのサプライチェーンを安全にするために最近発行されたリソースについても議論した。また、一部のパネルメンバーからは、サプライチェーンマネジメントに関するグローバルな議論の重要性が指摘された。  

| | Comments (0)

米国 科学技術政策局 AI権利章典の青写真

こんにちは、丸山満彦です。

ホワイトハウスの科学技術政策局がAI権利章典の青写真を公表していますね。。。

5原則...

・Safe and Effective Systems ・安全で効果的なシステム
・Algorithmic Discrimination Protections ・アルゴリズムによる差別に対する保護
・Data Privacy ・データプライバシー
・Notice and Explanation ・通知と説明
・Human Alternatives, Consideration, and Fallback ・人的代替手段、配慮、およびフォールバック

 

  • 安全で効果的なシステム:安全で効果的なシステム:安全でない、あるいは効果的でないシステムから保護されるべきである。

  • アルゴリズムによる差別に対する保護:アルゴリズムによる差別に直面してはいけない。また、システムは公平な方法で使用、設計されるべきである。

  • データプライバシー:ユーザーは、組み込みの保護機能によって乱用的なデータ処理から保護されるべきであり、ユーザーに関するデータがどのように使用されるかについて代理権を持つ必要がある。

  • 通知と説明:自動化されたシステムがいつ使用されているかを知り、それが自分に影響を与える結果にどのように、そしてなぜ寄与しているかを理解する必要がある。

  • 人的代替手段、配慮、およびフォールバック:適切な場合にはオプトアウトが可能であるべきであり、また、あなたが遭遇した問題を迅速に検討し、改善できる担当者にアクセスできるようにすべきである。

プレス...

White House

・2022.10.04 Blueprint for an AI Bill of Rights: A Vision for Protecting Our Civil Rights in the Algorithmic Age

Blueprint for an AI Bill of Rights: A Vision for Protecting Our Civil Rights in the Algorithmic Age AI権利書の青写真。アルゴリズム時代における我々の市民権を守るためのビジョン
The White House Office of Science and Technology Policy (OSTP) is today releasing the Blueprint for an AI Bill of Rights to help guide the design, development, and deployment of artificial intelligence (AI) and other automated systems so that they protect the rights of the American public. ホワイトハウスの科学技術政策室(OSTP)は本日、人工知能(AI)やその他の自動化システムの設計、開発、配備が米国民の権利を保護するよう導くための「AI権利章典のための青写真」を発表する。
These technologies can drive great innovations, like enabling early cancer detection or helping farmers grow food more efficiently. But in the United States and abroad, people are increasingly being surveilled or ranked by automated systems in their workplaces and in their schools, in housing and banking, in healthcare and the legal system, and beyond. Algorithms used across many sectors are plagued by bias and discrimination, and too often developed with without regard to their real-world consequences and without the input of the people who will have to live with their results. これらの技術は、がんの早期発見を可能にしたり、農家がより効率的に食料を栽培できるようにしたりと、素晴らしいイノベーションを推進することができる。しかし、米国や海外では、職場や学校、住宅や銀行、医療や法制度などにおいて、人々が自動化されたシステムによって監視されたり、順位付けされたりすることが増えている。多くの分野で使用されているアルゴリズムは、偏見や差別に悩まされており、現実世界での影響を考慮せず、その結果と共に生きなければならない人々の意見を聞かずに開発されることがあまりに多い。
These problems, which have expanded dramatically over the past decade, are threatening the rights of millions and hurting people in historically marginalized communities. 過去10年間に劇的に拡大したこれらの問題は、何百万人もの人々の権利を脅かし、歴史的に疎外されたコミュニティの人々を傷つけている。
That’s why today we’re laying out five common sense protections to which everyone in America should be entitled: だからこそ今日、我々はアメリカのすべての人が権利を有するべき、5つの常識的な保護策を提示する。
Safe and Effective Systems: You should be protected from unsafe or ineffective systems. 安全で効果的なシステム:安全で効果的なシステム:安全でない、あるいは効果的でないシステムから保護されるべきである。
Algorithmic Discrimination Protections: You should not face discrimination by algorithms and systems should be used and designed in an equitable way. アルゴリズムによる差別に対する保護:アルゴリズムによる差別に直面してはいけない。また、システムは公平な方法で使用、設計されるべきである。
Data Privacy: You should be protected from abusive data practices via built-in protections and you should have agency over how data about you is used. データプライバシー:ユーザーは、組み込みの保護機能によって乱用的なデータ処理から保護されるべきであり、ユーザーに関するデータがどのように使用されるかについて代理権を持つ必要がある。
Notice and Explanation: You should know when an automated system is being used and understand how and why it contributes to outcomes that impact you. 通知と説明:自動化されたシステムがいつ使用されているかを知り、それが自分に影響を与える結果にどのように、そしてなぜ寄与しているかを理解する必要がある。
Human Alternatives, Consideration, and Fallback: You should be able to opt out, where appropriate, and have access to a person who can quickly consider and remedy problems you encounter. 人的代替手段、配慮、およびフォールバック:適切な場合にはオプトアウトが可能であるべきであり、また、あなたが遭遇した問題を迅速に検討し、改善できる担当者にアクセスできるようにすべきである。
We have been guided in this effort by a set of pressing questions: What could it look like for industry developers and academic researchers to think about equity at the start of a design process, and not only after issues of discrimination emerged downstream? What kind of society could we have if all innovation began with ethical forethought? How do we ensure that the guardrails to which we are entitled in our day-to-day lives carry over into our digital lives? 我々は、この取り組みにおいて、一連の緊急の質問を指針としてきた。産業界の開発者や学術研究者が、差別問題が表面化した後ではなく、設計の初期段階から公平性について考えるようになったら、どのような姿になるだろうか?もし、すべての技術革新が倫理的な先見性を持って始まったとしたら、我々はどのような社会を実現できるだろうか?我々が日常生活で享受しているガードレールを、デジタルライフにも適用するにはどうしたらよいのだろうか?
The Blueprint for an AI Bill of Rights begins to answer these questions. It offers a vision for a society where protections are embedded from the beginning, where marginalized communities have a voice in the development process, and designers work hard to ensure the benefits of technology reach all people. 「AI権利章典のための青写真」は、このような問いに答えるために始まりまった。保護が最初から組み込まれ、疎外されたコミュニティが開発プロセスにおいて発言権を持ち、設計者が技術の恩恵をすべての人に届けるために努力するような社会のビジョンを提示するものである。
More than a set of principles, this is a blueprint to empower people, companies, and policymakers across the United States and meet President Biden’s call to hold big technology accountable, protect the civil rights of Americans, and ensure technology is working for the American people. これは単なる原則ではなく、全米の人々、企業、政策立案者に力を与え、大きな技術に責任を持たせ、アメリカ人の公民権を保護し、技術がアメリカ人のために働くことを確実にするというバイデン大統領の要請に応えるための青写真なのである。
We led a year-long process to develop this framework, diving deeply into how people across the country are affected by these systems. People from many backgrounds offered input through panel discussions, public listening sessions, meetings, a formal request for information, and other outreach formats. 我々は、全米の人々がこれらのシステムからどのような影響を受けているかを深く掘り下げ、このフレームワークを開発するために1年にわたるプロセスを主導した。パネルディスカッション、公聴会、会議、正式な情報提供の要請、その他のアウトリーチ形式を通じて、さまざまな背景を持つ人々から意見をいただいた。
We heard from hundreds of people: workers and high school students, business associations and scholarly associations, software engineers and researchers, civil society organization and community activists, CEOs and entrepreneurs, public servants across federal agencies, and members of the international community who spoke up about both the promises and potential harms of these technologies. 労働者や高校生、企業団体や学術団体、ソフトウェア技術者や研究者、市民団体や地域活動家、CEOや起業家、連邦政府機関の公務員、国際社会のメンバーなど、何百人もの人々から、これらの技術の約束と潜在的な害悪について意見を聞くことができたのである。
Nearly every person who spoke up shared a profound eagerness for clear federal leadership and guidelines to protect the public. This framework is an answer to those calls—and a response to the urgent threats posed to the American public by unchecked automated systems. 発言したほぼすべての人が、国民を保護するための明確な連邦政府のリーダーシップとガイドラインを強く望んでいることを共有している。このフレームワークは、そのような声に応えるものであり、抑制されていない自動化システムが米国民にもたらす緊急の脅威への対応策でもある。
This blueprint is for the older Americans denied critical health benefits because of an algorithm change. The student erroneously accused of cheating by AI-enabled video surveillance. The fathers wrongfully arrested because of facial recognition technology. The Black Americans blocked from a kidney transplant after an AI assumed they were at lesser risk for kidney disease. It is for everyone who interacts daily with these technologies—and every person whose life has been altered by an unaccountable algorithm. この青写真は、アルゴリズムの変更のために重要な医療給付を拒否された高齢のアメリカ人のためのものである。AIを搭載したビデオ監視システムによって、誤ってカンニングを疑われた学生。顔認識技術によって不当に逮捕された父親たち。AIによって腎臓病のリスクが低いと判断され、腎臓移植を断念させられたアメリカ黒人。これらの技術に日々接しているすべての人のために、そして、説明のつかないアルゴリズムによって人生を変えられてしまったすべての人のために、この青写真はある。
The work of bringing these protections to life starts with leading by example—beginning with the U.S. government’s own policies and practices. That’s why today, the Biden-Harris Administration announced a slate of actions across the federal government aligned with the Blueprint for an AI Bill of Rights to protect and support the American people. These commitments are only a down payment on these principles; they mark the start of a long-term process to bring transformative change to the way the U.S. government designs, uses, and regulates automated systems. これらの保護を実現するための作業は、米国政府自身の政策と実践を始めとする、模範を示すことから始まる。だからこそ、バイデン=ハリス政権は本日、米国民を保護し支援するための「AI権利章典」の青写真に沿った、連邦政府全体の一連の行動を発表したのである。これらのコミットメントは、これらの原則の頭金に過ぎず、米国政府が自動化システムを設計、使用、規制する方法に変革をもたらしていくための長期プロセスの始まりを意味している。
Now, we’re rallying leaders across all sectors—policymakers, industry, and communities—to meet this urgent call, and commit to bold action to build a fairer, safer, and more just tech future. The Blueprint for an AI Bill of Rights includes a technical companion which provides examples and concrete steps for communities, industry, governments, and others to take in order to build these key protections into policy, practice, or the technological design process. 今、我々は、政策立案者、産業界、コミュニティなど、あらゆる分野のリーダーを集め、この緊急の呼びかけに応え、より公平で安全、そしてより公正な技術の未来を築くための大胆な行動にコミットしているのである。「AI権利章典のための青写真」には、コミュニティ、産業界、政府などが、政策、実践、技術設計プロセスにこれらの重要な保護を組み込むために取るべき例と具体的なステップを示す技術的な付属文書が含まれている。
The Blueprint for an AI Bill of Rights is designed to be used by people across American society: 「AI権利章典のための青写真」は、米国社会全体で利用できるように設計されている。
Project managers leading the development of new AI products can use the framework as a checklist and incorporate safeguards into the design process. 新しいAI製品の開発を率いるプロジェクトマネージャーは、このフレームワークをチェックリストとして使用し、設計プロセスにセーフガードを組み込むことができる。
Policymakers can codify these measures into law or use the framework and its technical companion to help develop specific guidance on the use of automated systems within a sector. 政策立案者は、これらの措置を法律として成文化したり、このフレームワークとその技術的支柱を利用して、ある分野における自動化システムの使用に関する具体的なガイダンスを策定することができる。
Parents can use the framework as a set of questions to ask school administrators about what protections exist for their children. 保護者は、このフレームワークを、自分の子どもたちのためにどのような保護がなされているかを学校の管理者に尋ねるための一連の質問として利用することができる。
Workers can use the framework to advocate for better workplace conditions. 労働者は、このフレームワークを利用して、より良い職場環境を求めることができる。
Doctors, patients, and healthcare advocates can ask questions about what safeguards from the framework are in place in the automated systems used in healthcare settings. 医師、患者、医療従事者は、医療現場で使用されている自動化されたシステムに、このフレームワークのどのような保護措置が講じられているかを質問することができる。
All of us have a role to play to ensure that innovation is rooted in inclusion, integrity, and our common humanity. Let us know how you are using the Blueprint for an AI Bill of Rights by writing to [address]. 我々は皆、イノベーションがインクルージョン、インテグリティ、そして我々の共通の人間性に根ざしたものであることを保証するために、果たすべき役割を担っているのである。AI権利条約のためのブループリントをどのように活用しているか、[address] まで知らせること。
With the Blueprint for an AI Bill of Rights, the Biden-Harris Administration is charting the course toward making automated systems work for all of us. We look forward to forging this path alongside the American people. バイデン=ハリス政権は、「AI権利章典のためのブループリント」によって、自動化されたシステムを我々全員のために機能させるための道筋を示そうとしている。我々は、米国人と共にこの道を切り開くことを楽しみにしている。

 

ウェブページ

Blueprint for an AI Bill of Rights

Blueprint for an AI Bill of Rights AI権利章典のための青写真
MAKING AUTOMATED SYSTEMS WORK FOR THE AMERICAN PEOPLE 自動化システムをアメリカ国民のために活用する
BLUEPRINT FOR AN AI BILL OF RIGHTS AI権利条約の青写真
What is the Blueprint for an AI Bill of Rights? AI権利章典とは?
Applying the Blueprint for an AI Bill of Rights AI権利章典の適用について
Relationship to Existing Law and Policy 既存の法律や政策との関係
Definitions 定義
From Principles to Practice 原則から実践へ
+ Safe and Effective Systems ・安全で効果的なシステム
+ Algorithmic Discrimination Protections ・アルゴリズムによる差別に対する保護
+ Data Privacy ・データプライバシー
+ Notice and Explanation ・通知と説明
+ Human Alternatives, Consideration, and Fallback ・人的代替手段、配慮、およびフォールバック
Examples of Automated Systems 自動化システムの例
Listening to the American People アメリカの人々の声に耳を傾ける
About this Document この文書について
Among the great challenges posed to democracy today is the use of technology, data, and automated systems in ways that threaten the rights of the American public. Too often, these tools are used to limit our opportunities and prevent our access to critical resources or services. These problems are well documented. In America and around the world, systems supposed to help with patient care have proven unsafe, ineffective, or biased. Algorithms used in hiring and credit decisions have been found to reflect and reproduce existing unwanted inequities or embed new harmful bias and discrimination. Unchecked social media data collection has been used to threaten people’s opportunities, undermine their privacy, or pervasively track their activity—often without their knowledge or consent. 今日の民主主義に突きつけられた大きな課題の中に、米国民の権利を脅かすような形で技術、データ、自動化システムが使用されていることがある。これらのツールは、我々の機会を制限し、重要な資源やサービスへのアクセスを妨げるために使われることがあまりにも多い。これらの問題は、よく知られている。アメリカでも世界でも、患者の治療に役立つはずのシステムが、安全でないこと、効果がないこと、あるいは偏ったものであることが証明されている。雇用や信用に関する判断に使われるアルゴリズムが、既存の望ましくない不公平を反映・再現したり、新たな有害な偏見や差別を埋め込んだりしていることが判明している。ソーシャルメディアにおける無制限のデータ収集は、人々の機会を脅かし、プライバシーを損ない、多くの場合、本人の認識や同意なしに人々の活動を広く追跡するために利用されている。
These outcomes are deeply harmful—but they are not inevitable. Automated systems have brought about extraordinary benefits, from technology that helps farmers grow food more efficiently and computers that predict storm paths, to algorithms that can identify diseases in patients. These tools now drive important decisions across sectors, while data is helping to revolutionize global industries. Fueled by the power of American innovation, these tools hold the potential to redefine every part of our society and make life better for everyone. このような結果は非常に有害であるが、決して避けられないものではない。自動化されたシステムは、農家の食糧生産を効率化する技術や嵐の進路を予測するコンピュータ、患者の病気を特定するアルゴリズムなど、並外れた利益をもたらしてきた。これらのツールは今やあらゆる分野の重要な意思決定を促し、データは世界の産業の革新に役立っている。アメリカのイノベーションの力によってもたらされたこれらのツールは、社会のあらゆる部分を再定義し、すべての人の生活をより良いものにする可能性を持っている。
This important progress must not come at the price of civil rights or democratic values, foundational American principles that President Biden has affirmed as a cornerstone of his Administration. On his first day in office, the President ordered the full Federal government to work to root out inequity, embed fairness in decision-making processes, and affirmatively advance civil rights, equal opportunity, and racial justice in America.[i] The President has spoken forcefully about the urgent challenges posed to democracy today and has regularly called on people of conscience to act to preserve civil rights—including the right to privacy, which he has called “the basis for so many more rights that we have come to take for granted that are ingrained in the fabric of this country.”[ii] この重要な進歩は、バイデン大統領が政権の礎としている米国の基本原則である公民権や民主的価値観と引き換えになるものであってはならない。大統領は就任初日に、連邦政府全体に対して、不公平をなくし、意思決定プロセスに公正さを埋め込み、米国における公民権、機会均等、人種的正義を積極的に推進するよう命じた[i]。大統領は、今日の民主主義に突き付けられた緊急課題について力強く語り、良心ある人々に対して、「この国の構造に染み付いた、我々が当然視するようになっている非常に多くの権利の基礎」と呼ぶプライバシー権を含む市民権を守るために行動するよう定期的に呼びかけている[ii]。
To advance President Biden’s vision, the White House Office of Science and Technology Policy has identified five principles that should guide the design, use, and deployment of automated systems to protect the American public in the age of artificial intelligence. The Blueprint for an AI Bill of Rights is a guide for a society that protects all people from these threats—and uses technologies in ways that reinforce our highest values. Responding to the experiences of the American public, and informed by insights from researchers, technologists, advocates, journalists, and policymakers, this framework is accompanied by From Principles to Practice—a handbook for anyone seeking to incorporate these protections into policy and practice, including detailed steps toward actualizing these principles in the technological design process. These principles help provide guidance whenever automated systems can meaningfully impact the public’s rights, opportunities, or access to critical needs. バイデン大統領のビジョンを推進するため、ホワイトハウスの科学技術政策局は、人工知能の時代に米国民を保護するための自動化システムの設計、使用、展開の指針となるべき5つの原則を明らかにした。「AI権利章の青写真」は、こうした脅威からすべての人々を守り、我々の最高の価値を強化する方法で技術を活用する社会のための指針である。このフレームワークは、米国民の経験に応え、研究者、技術者、擁護者、ジャーナリスト、政策立案者の洞察に基づき、「原則から実践へ」という、これらの保護を政策と実践に取り入れようとする人のためのハンドブックが付属しており、技術設計プロセスにおいてこれらの原則を実現するための詳細な手順が含まれている。これらの原則は、自動化されたシステムが一般市民の権利、機会、重要なニーズへのアクセスに重大な影響を与える可能性がある場合に、ガイダンスを提供するために役立つ。
・Safe and Effective Systems ・安全で効果的なシステム
・Algorithmic Discrimination Protections ・アルゴリズムによる差別に対する保護
・Data Privacy ・データプライバシー
・Notice and Explanation ・通知と説明
・Human Alternatives, Consideration, and Fallback ・人的代替手段、配慮、およびフォールバック
Applying the Blueprint for an AI Bill of Rights 「AI権利条約の青写真」を適用する
Download the Blueprint for an AI Bill of Rights AI権利条約の青写真をダウンロードする
Safe and Effective Systems 安全で効果的なシステム
You should be protected from unsafe or ineffective systems. Automated systems should be developed with consultation from diverse communities, stakeholders, and domain experts to identify concerns, risks, and potential impacts of the system. Systems should undergo pre-deployment testing, risk identification and mitigation, and ongoing monitoring that demonstrate they are safe and effective based on their intended use, mitigation of unsafe outcomes including those beyond the intended use, and adherence to domain-specific standards. Outcomes of these protective measures should include the possibility of not deploying the system or removing a system from use. Automated systems should not be designed with an intent or reasonably foreseeable possibility of endangering your safety or the safety of your community. They should be designed to proactively protect you from harms stemming from unintended, yet foreseeable, uses or impacts of automated systems. You should be protected from inappropriate or irrelevant data use in the design, development, and deployment of automated systems, and from the compounded harm of its reuse. Independent evaluation and reporting that confirms that the system is safe and effective, including reporting of steps taken to mitigate potential harms, should be performed and the results made public whenever possible. 安全でない、または効果のないシステムから保護されるべきである。 自動化されたシステムは、懸念事項、リスク、およびシステムの潜在的な影響を特定するために、多様なコミュニティ、利害関係者、および分野の専門家から相談を受けて開発されるべきである。システムは、展開前のテスト、リスクの特定と軽減、意図された用途に基づく安全性と有効性、意図された用途を超えたものを含む安全でない結果の軽減、およびドメイン固有の標準の遵守を実証する継続的なモニタリングを受ける必要がある。これらの保護措置の結果には、システムを配備しない、またはシステムを使用から削除する可能性が含まれるべきである。自動化システムは、あなたやあなたのコミュニティの安全を脅かす意図や合理的に予見可能な可能性をもって設計されるべきではない。自動化システムの意図しない、しかし予見可能な使用や影響に起因する損害から、あなたを積極的に保護するように設計されるべきである。自動化システムの設計、開発、配備における不適切または無関係なデータの使用、およびその再利用による複合的な被害から保護されるべきである。システムが安全かつ効果的であることを確認する独立した評価と報告(潜在的な害を軽減するためにとられた措置の報告を含む)を行い、可能な限りその結果を公表すべきである。
From Principles to Practice: Safe and Effective Systems 原則から実践へ。 安全で効果的なシステム
Algorithmic Discrimination Protections アルゴリズムによる差別に対する保護
You should not face discrimination by algorithms and systems should be used and designed in an equitable way. Algorithmic discrimination occurs when automated systems contribute to unjustified different treatment or impacts disfavoring people based on their race, color, ethnicity, sex (including pregnancy, childbirth, and related medical conditions, gender identity, intersex status, and sexual orientation), religion, age, national origin, disability, veteran status, genetic information, or any other classification protected by law. Depending on the specific circumstances, such algorithmic discrimination may violate legal protections. Designers, developers, and deployers of automated systems should take proactive and continuous measures to protect individuals and communities from algorithmic discrimination and to use and design systems in an equitable way. This protection should include proactive equity assessments as part of the system design, use of representative data and protection against proxies for demographic features, ensuring accessibility for people with disabilities in design and development, pre-deployment and ongoing disparity testing and mitigation, and clear organizational oversight. Independent evaluation and plain language reporting in the form of an algorithmic impact assessment, including disparity testing results and mitigation information, should be performed and made public whenever possible to confirm these protections. アルゴリズムによる差別に直面してはならず、システムは公平な方法で使用され、設計されなければならない。 アルゴリズムによる差別は、自動化されたシステムが、人種、肌の色、民族、性別(妊娠・出産・関連する健康状態、性自認、性差、性的指向を含む)、宗教、年齢、国籍、障害、退役軍人、遺伝情報、または法律で保護されているその他の分類に基づいて人々を不当に異なる扱いや影響を与えることに貢献する場合に発生する。具体的な状況によっては、このようなアルゴリズムによる差別は法的保護に違反する可能性がある.自動化システムの設計者、開発者、配備者は、アルゴリズムによる差別から個人とコミュニティを保護し、公平な方法でシステムを使用・設計するために、積極的かつ継続的な措置を講じる必要がある.この保護には、システム設計の一環としての積極的な公平性評価、代表的なデータの使用と人口統計的特徴のプロキシに対する保護、設計と開発における障害者のアクセシビリティの確保、配備前および継続中の格差テストと緩和、明確な組織の監視が含まれる必要がある.これらの保護を確認するために、格差テストの結果や緩和情報を含むアルゴリズムの影響評価という形で、独立した評価と平易な報告を実施し、可能な限り公開する必要がある。
From Principles to Practice: Algorithmic Discrimination Protections 原則から実践へ アルゴリズムによる差別に対する保護
Data Privacy データプライバシー
You should be protected from abusive data practices via built-in protections and you should have agency over how data about you is used. You should be protected from violations of privacy through design choices that ensure such protections are included by default, including ensuring that data collection conforms to reasonable expectations and that only data strictly necessary for the specific context is collected. Designers, developers, and deployers of automated systems should seek your permission and respect your decisions regarding collection, use, access, transfer, and deletion of your data in appropriate ways and to the greatest extent possible; where not possible, alternative privacy by design safeguards should be used. Systems should not employ user experience and design decisions that obfuscate user choice or burden users with defaults that are privacy invasive. Consent should only be used to justify collection of data in cases where it can be appropriately and meaningfully given. Any consent requests should be brief, be understandable in plain language, and give you agency over data collection and the specific context of use; current hard-to-understand notice-and-choice practices for broad uses of data should be changed. Enhanced protections and restrictions for data and inferences related to sensitive domains, including health, work, education, criminal justice, and finance, and for data pertaining to youth should put you first. In sensitive domains, your data and related inferences should only be used for necessary functions, and you should be protected by ethical review and use prohibitions. You and your communities should be free from unchecked surveillance; surveillance technologies should be subject to heightened oversight that includes at least pre-deployment assessment of their potential harms and scope limits to protect privacy and civil liberties. Continuous surveillance and monitoring should not be used in education, work, housing, or in other contexts where the use of such surveillance technologies is likely to limit rights, opportunities, or access. Whenever possible, you should have access to reporting that confirms your data decisions have been respected and provides an assessment of the potential impact of surveillance technologies on your rights, opportunities, or access. ユーザーは、組み込みの保護機能によって不正なデータ処理から保護されるべきであり、自分に関するデータがどのように使用されるかを管理する権限を持つべきである。 データ収集が合理的な期待に沿うものであること、特定の状況に厳密に必要なデータのみが収集されることなど、そのような保護がデフォルトで含まれるような設計上の選択によって、プライバシー侵害から保護されるべきである。自動化されたシステムの設計者、開発者、および配備者は、適切な方法で、かつ可能な限りお客様のデータの収集、使用、アクセス、転送、および削除に関するお客様の決定を尊重し、お客様の許可を求めるべきである。システムは、ユーザーの選択を難しくしたり、プライバシーを侵害するようなデフォルト値をユーザーに負担させたりするようなユーザー体験や設計上の決定を採用してはならない。同意は、適切かつ有意義に与えられる場合にのみ、データ収集を正当化するために使用されるべきである。同意の要請は簡潔で、平易な言葉で理解でき、データ収集と使用の特定の状況について代理権を与えるべきである。データの広範な使用に関する現在の理解しがたい通知と選択の慣行は変更されるべきである。健康、仕事、教育、刑事司法、金融などのセンシティブな領域に関連するデータや推論、そして青少年に関連するデータに対する保護と制限を強化し、あなたを第一に考えるべきである。センシティブな領域では、あなたのデータや関連する推論は必要な機能にのみ使用されるべきであり、あなたは倫理的審査や使用禁止によって保護されるべきである。監視技術は、少なくともプライバシーと市民の自由を守るために、潜在的な害悪と範囲制限の配備前評価を含む、高度な監視の対象となるべきである。継続的な監視とモニタリングは、教育、仕事、住宅、またはそのような監視技術の使用が権利、機会、アクセスを制限する可能性があるその他の文脈で使用されるべきではない。可能な限り、あなたのデータに関する決定が尊重されていることを確認し、監視技術があなたの権利、機会、またはアクセスに及ぼす潜在的な影響の評価を提供する報告書にアクセスできるようにすべきである。
From Principles to Practice: Data Privacy 原則から実践へ。 データプライバシー
Notice and Explanation 通知と説明
You should know that an automated system is being used and understand how and why it contributes to outcomes that impact you. Designers, developers, and deployers of automated systems should provide generally accessible plain language documentation including clear descriptions of the overall system functioning and the role automation plays, notice that such systems are in use, the individual or organization responsible for the system, and explanations of outcomes that are clear, timely, and accessible. Such notice should be kept up-to-date and people impacted by the system should be notified of significant use case or key functionality changes. You should know how and why an outcome impacting you was determined by an automated system, including when the automated system is not the sole input determining the outcome. Automated systems should provide explanations that are technically valid, meaningful and useful to you and to any operators or others who need to understand the system, and calibrated to the level of risk based on the context. Reporting that includes summary information about these automated systems in plain language and assessments of the clarity and quality of the notice and explanations should be made public whenever possible. 自動化されたシステムが使用されていることを知り、それがあなたに影響を与える結果にどのように、そしてなぜ寄与しているのかを理解する必要がある。 自動化システムの設計者、開発者、および配備者は、システム全体の機能と自動化が果たす役割の明確な説明、そのようなシステムが使用されていることの通知、システムに責任を負う個人または組織、および明確でタイムリー、かつアクセスしやすい結果の説明を含む一般的にアクセスしやすい平易な文書を提供しなければならない。このような通知は最新の状態に保つべきであり、重要なユースケースや主要機能の変更については、システムの影響を受ける人々に通知する必要がある。自分に影響を与える結果が、自動化されたシステムによってどのように、そしてなぜ決定されたのかを知るべきである(自動化されたシステムが結果を決定する唯一の入力でない場合を含む)。自動化システムは、技術的に有効で、あなた及びシステムを理解する必要のあるオペレーター等にとって有意義かつ有用であり、文脈に基づくリスクレベルに適合した説明を提供する必要がある。これらの自動化システムに関する要約情報を平易な言葉で記載した報告書、および通知と説明の明確さと質の評価を可能な限り公開すべきである。
From Principles to Practice: Notice and Explanation 原則から実践へ。 通知と説明
Human Alternatives, Consideration, and Fallback 人的代替手段、配慮、およびフォールバック
You should be able to opt out, where appropriate, and have access to a person who can quickly consider and remedy problems you encounter. You should be able to opt out from automated systems in favor of a human alternative, where appropriate. Appropriateness should be determined based on reasonable expectations in a given context and with a focus on ensuring broad accessibility and protecting the public from especially harmful impacts. In some cases, a human or other alternative may be required by law. You should have access to timely human consideration and remedy by a fallback and escalation process if an automated system fails, it produces an error, or you would like to appeal or contest its impacts on you. Human consideration and fallback should be accessible, equitable, effective, maintained, accompanied by appropriate operator training, and should not impose an unreasonable burden on the public. Automated systems with an intended use within sensitive domains, including, but not limited to, criminal justice, employment, education, and health, should additionally be tailored to the purpose, provide meaningful access for oversight, include training for any people interacting with the system, and incorporate human consideration for adverse or high-risk decisions. Reporting that includes a description of these human governance processes and assessment of their timeliness, accessibility, outcomes, and effectiveness should be made public whenever possible. あなたは、適切な場合にはオプトアウトすることができ、あなたが遭遇した問題を迅速に検討し、改善することができる人にアクセスすることができるべきである。 適切な場合には、自動化されたシステムからオプトアウトし、人間による代替手段を選択することができるべきである。適切性は、与えられた状況における合理的な期待に基づき、幅広いアクセス性を確保し、特に有害な影響から一般市民を保護することに重点を置いて決定されるべきである。場合によっては、人間または他の代替案が法律で義務付けられていることもある。自動化されたシステムが失敗した場合、エラーが発生した場合、またはその影響について訴えたり異議を唱えたりしたい場合には、フォールバックおよびエスカレーションプロセスにより、タイムリーに人間による検討と救済を受けることができるようにすべきである。人間による配慮とフォールバックは、アクセス可能で、公平で、効果的で、維持され、適切なオペレータの訓練を伴うべきであり、公衆に不合理な負担を課してはならない。刑事司法、雇用、教育、健康など、機密性の高い領域での使用を意図した自動化システムは、さらに、目的に合わせ、監督のための有意義なアクセスを提供し、システムに関わるすべての人のための訓練を含み、有害または高リスクの決定に対する人間の配慮を取り入れるべきである。これらのヒューマンガバナンスプロセスの説明と、その適時性、アクセス性、成果、および有効性の評価を含む報告は、可能な限り公開されるべきである。
From Principles to Practice: Human Alternatives, Consideration, and Fallback 原則から実践へ。 人間の代替案、検討、およびフォールバック
Applying the Blueprint for an AI Bill of Rights AI権利章典のための青写真の適用
While many of the concerns addressed in this framework derive from the use of AI, the technical capabilities and specific definitions of such systems change with the speed of innovation, and the potential harms of their use occur even with less technologically sophisticated tools. このフレームワークで扱う懸念の多くはAIの使用に由来するものであるが、そのようなシステムの技術的能力と具体的定義は技術革新のスピードとともに変化し、技術的に洗練されていないツールであっても、その使用による潜在的被害は発生する。
Thus, this framework uses a two-part test to determine what systems are in scope. This framework applies to (1) automated systems that (2) have the potential to meaningfully impact the American public’s rights, opportunities, or access to critical resources or services. These Rights, opportunities, and access to critical resources of services should be enjoyed equally and be fully protected, regardless of the changing role that automated systems may play in our lives. そこで、本フレームワークでは、どのようなシステムが対象となるかを2つのテストにより判断している。 この枠組みは、(2) 米国民の権利、機会、または重要な資源やサービスへのアクセスに重大な影響を与える可能性がある(1)自動化システムに適用される。 これらの権利、機会、重要な資源やサービスへのアクセスは、自動化システムが我々の生活において果たす役割が変化しようとも、平等に享受され、完全に保護されるべきものである。
This framework describes protections that should be applied with respect to all automated systems that have the potential to meaningfully impact individuals’ or communities’ exercise of: この枠組みは、個人またはコミュニティの以下の権利行使に重大な影響を与える可能性のあるすべての自動化システムに関して適用されるべき保護を記述している。
Rights, Opportunities, or Access 権利、機会、またはアクセス
Civil rights, civil liberties, and privacy, including freedom of speech, voting, and protections from discrimination, excessive punishment, unlawful surveillance, and violations of privacy and other freedoms in both public and private sector contexts; 市民権、市民的自由、プライバシー(言論の自由、投票の自由、差別、過剰な処罰、違法な監視、公共部門と民間部門の両方におけるプライバシーおよびその他の自由の侵害からの保護を含む)。
Equal opportunities, including equitable access to education, housing, credit, employment, and other programs; or, 教育、住宅、クレジット、雇用、その他のプログラムへの公平なアクセスを含む、機会均等、または。
Access to critical resources or services, such as healthcare, financial services, safety, social services, non-deceptive information about goods and services, and government benefits. 医療、金融サービス、安全、社会サービス、商品・サービスに関する欺瞞的でない情報、政府給付など、重要な資源やサービスへのアクセス。
A list of examples of automated systems for which these principles should be considered is provided in the Appendix. The Technical Companion, which follows, offers supportive guidance for any person or entity that creates, deploys, or oversees automated systems. これらの原則を考慮すべき自動化システムの例の一覧は、附属書に記載されている。この後に続く「テクニカルコンパニオン」は、自動化システムを構築、展開、または監督するあらゆる個人または団体に対して、支援となるガイダンスを提供するものである。
Considered together, the five principles and associated practices of the Blueprint for an AI Bill of Rights form an overlapping set of backstops against potential harms. This purposefully overlapping framework, when taken as a whole, forms a blueprint to help protect the public from harm. The measures taken to realize the vision set forward in this framework should be proportionate with the extent and nature of the harm, or risk of harm, to people’s rights, opportunities, and access. AI権利章典」の5つの原則と関連する実践を総合すると、潜在的な被害に対して重なり合ったバックストップを形成することになります。このように意図的に重なり合ったフレームワークは、全体として、国民を被害から守るための青写真を形成している。この枠組みで提示されたビジョンを実現するために取られる措置は、人々の権利、機会、アクセスに対する危害、または危害のリスクの程度と性質に比例したものであるべきである。
[i] The Executive Order On Advancing Racial Equity and Support for Underserved Communities Through the Federal Government.  [i] 人種的平等の推進と連邦政府を通じた恵まれない地域への支援に関する大統領令
[ii] The White House. Remarks by President Biden on the Supreme Court Decision to Overturn Roe v. Wade. Jun. 24, 2022.  [ii] ホワイトハウス:2022.06.24 ロー対ウェイド裁判を覆す最高裁判決に関するバイデン大統領の発言。

 

報告書全文PDF

・[PDF] Blueprint for an AI Bill of Rights

20221007-63103

 

| | Comments (0)

TCFDコンソーシアム:気候関連財務情報開示に関するガイダンス3.0

こんにちは、丸山満彦です。

気候関連財務情報開示タスクフォース(TCFD; Task Force on Climate-related Financial Disclosures)フォーラムが、気候関連財務情報開示に関するガイダンス3.0(TCFDガイダンス3.0)」を公表していますね。。。

2020年7月にTCFDガイダンス2.0が公表されていましたが、その改訂版です。。。

 

TCFDコンソーシアム

・2022.10.05「気候関連財務情報開示に関するガイダンス3.0(TCFDガイダンス3.0)」を公表しました。

気候関連財務情報開示に関するガイダンス3.0(TCFDガイダンス3.0)

 ・[PDF] 日本語版

20221231-110101

 

・[PDF] 業種別ガイダンス

20221231-143917

 

・[PDF] 概要

20221231-144320

 

 

 

| | Comments (0)

2022.10.06

BIS バーゼルIIIモニタリングレポート (暗号資産に対する銀行のエクスポージャー)(2022.09.30)

こんにちは、丸山満彦です。

世の中Web3.0だとか、Web3だとか、NTFだとか、DAOだとか、色々と言われていますが、そういう話の中で出てくるものの一つである暗号資産についてのBISの報告書です。正確には、BISのバーゼルIIIモニタリングレポートの附属書の位置づけです。。。

常識的に考えると当たり前ですが、暗号資産単体で見るとエクスポージャーは大きいかもしれないのですが、金融資産全体で見ると取るに足らない状況という感じですかね。。。しかし、この影響が少ないと思われる状況の中で、金融資産全体の信頼性を損なうようなイメージがつくと良くないとは思うので、それなりにモニタリングをしておくことは重要ではないかと思います。

ただ、利用されている暗号資産の約9割はビットコイン、イーサリアムおよびその派生ということになるようですね。。。

 

Bank for International Settlements; BIS

・2022.09.30 [PDF] Banks' exposures to cryptoassets – a novel dataset

20221006-94154   

 

バーゼルIIIモニタリングレポートは、こちら。。。

Basel III Monitoring Report

・2022.09.30 [PDF] Basel III Monitoring Report September 2022

20221006-95000   

 

 

 

プレス...

・2022.09.30 Basel III capital ratios for largest global banks rose last year to the highest level since 2012, latest Basel III monitoring exercise shows

 

 

 

 

 

 

 

 

| | Comments (0)

米国 CISA 拘束的運用指令23-01 - 連邦ネットワークにおける資産の可視化と脆弱性検出の改善

こんにちは、丸山満彦です。

CISAが、連邦政府機関にサイバーセキュリティ資産の可視化と脆弱性検出の改善のために、「拘束的運用指令23-01 - 連邦ネットワークにおける資産の可視化と脆弱性検出の改善」を発出していますね。。。

SBOMの前提としての作業という位置づけですかね。。。

対象は例によって、連邦文民行政機関 (Federal Civilian Executive Branch: FCEB) のシステムで米軍のシステムや情報機関のシステムは基本は対象外ですね。。。

Cybeersecurity & Ingrastructure Security Agency: CISA 

・2022.10.03 CISA DIRECTS FEDERAL AGENCIES TO IMPROVE CYBERSECURITY ASSET VISIBILITY AND VULNERABILITY DETECTION

 

CISA DIRECTS FEDERAL AGENCIES TO IMPROVE CYBERSECURITY ASSET VISIBILITY AND VULNERABILITY DETECTION CISA、連邦政府機関にサイバーセキュリティ資産の可視化と脆弱性検出の改善を指示
New Binding Operational Directive Establishes Core Actions to Achieve Operational Visibility Throughout Federal Civilian Executive Branch   新しい拘束的運用指令は、連邦文民行政機関全体で運用の可視性を達成するための中核的な行動を確立する  
WASHINGTON – The Cybersecurity and Infrastructure Security Agency (CISA) issued today Binding Operational Directive (BOD) 23-01, Improving Asset Visibility and Vulnerability Detection on Federal Networks, that directs federal civilian agencies to better account for what resides on their networks. ワシントン - サイバーセキュリティおよびインフラセキュリティ局(CISA)は本日、拘束的運用指令(BOD)23-01「連邦ネットワークにおける資産の可視化と脆弱性検出の改善」を発行し、連邦民間機関に対して、ネットワーク上に存在するものをより適切に説明するように指示した。
Over the past several years, CISA has been working urgently to gain greater visibility into risks facing federal civilian networks, a gap made clear by the intrusion campaign targeting SolarWinds devices. The Biden-Harris Administration and Congress have supported significant progress by providing key authorities and resources. This Directive takes the next step by establishing baseline requirements for all Federal Civilian Executive Branch (FCEB) agencies to identify assets and vulnerabilities on their networks and provide data to CISA on defined intervals. 過去数年間、CISAは連邦政府民間ネットワークが直面するリスクの可視性を高めるために緊急に取り組んできたが、SolarWindsのデバイスを標的とした侵入キャンペーンによってそのギャップが明らかになった。バイデン=ハリス政権と議会は、重要な権限とリソースを提供することにより、大きな進展を支援してきた。この指令は、次のステップとして、すべての連邦文民行政機関(FCEB)に対して、そのネットワーク上の資産と脆弱性を特定し、定められた間隔でCISAにデータを提供する基本要件を確立するものである。
“Threat actors continue to target our nation’s critical infrastructure and government networks to exploit weaknesses within unknown, unprotected, or under-protected assets,” said CISA Director Jen Easterly. “Knowing what’s on your network is the first step for any organization to reduce risk. While this Directive applies to federal civilian agencies, we urge all organizations to adopt the guidance in this directive to gain a complete understanding of vulnerabilities that may exist on their networks. We all have a role to play in building a more cyber resilient nation.”   CISA長官のJen Easterlyは次のように述べている。「脅威者は、未知の、保護されていない、または保護されていない資産の弱点を突くために、我が国の重要なインフラと政府ネットワークをターゲットにし続けている。ネットワーク上に何があるのかを知ることは、どのような組織にとってもリスクを減らすための最初のステップである。この指令は連邦政府民間機関に適用されるが、すべての組織がこの指令のガイダンスを採用し、ネットワークに存在する可能性のある脆弱性を完全に理解することを強く勧める。私たちは皆、よりサイバーレジリエンスの高い国家を築くために果たすべき役割を担っている。」  
CISA is committed to using its cybersecurity authorities to gain greater visibility and drive timely risk reduction across federal civilian agencies. Implementation of this Directive will significantly increase visibility into assets and vulnerabilities across the federal government, in turn improving capabilities by both CISA and each agency to detect, prevent, and respond to cybersecurity incidents and better understand trends in cybersecurity risk.   CISAは、サイバーセキュリティの権限を用いて、連邦文民行政機関全体でより大きな可視性を獲得し、タイムリーなリスク削減を推進することを約束する。この指令の実施により、連邦政府全体の資産と脆弱性に対する可視性が大幅に向上し、その結果、CISAと各機関の両方によるサイバーセキュリティ事件の検出、防止、対応能力が向上し、サイバーセキュリティリスクの傾向がよりよく理解されるようになる。  
This Directive is a mandate for federal civilian agencies. However, CISA recommends that private businesses and state, local, tribal and territorial (SLTT) governments review it and prioritize implementation of rigorous asset and vulnerability management programs.  この指令は、連邦文民行政機関に義務付けられている。しかし、CISAは、民間企業や州・地方・部族・準州(SLTT)政府がこれを見直し、厳格な資産および脆弱性管理プログラムの実施を優先させることを推奨している。 
The new Directive can be found at Binding Operational Directive (BOD) 23-01.  新指令は、拘束的運用指令(BOD)23-01に掲載されている。 



拘束的運用規則...

・2022.10.03 BINDING OPERATIONAL DIRECTIVE 23-01 - IMPROVING ASSET VISIBILITY AND VULNERABILITY DETECTION ON FEDERAL NETWORKS

BINDING OPERATIONAL DIRECTIVE 23-01 - IMPROVING ASSET VISIBILITY AND VULNERABILITY DETECTION ON FEDERAL NETWORKS 拘束的運用指令23-01 - 連邦ネットワークにおける資産の可視化と脆弱性検出の改善
A binding operational directive is a compulsory direction to federal, executive branch, departments and agencies for purposes of safeguarding federal information and information systems. 44 U.S.C. § 3552(b)(1). Section 3553(b)(2) of title 44, U.S. Code, authorizes the Secretary of the Department of Homeland Security (DHS) to develop and oversee the implementation of binding operational directives. Federal agencies are required to comply with these directives. 44 U.S.C. § 3554(a)(1)(B)(ii). These directives do not apply to statutorily defined “national security systems” or to certain systems operated by the Department of Defense or the Intelligence Community. 44 U.S.C. § 3553(b), (d), (e)(2), (e)(3). This directive refers to the systems to which it applies as “Federal Civilian Executive Branch” systems, and to agencies operating those systems as “Federal Civilian Executive Branch” agencies. 拘束的運用指令とは、連邦政府の情報および情報システムを保護する目的で、連邦、行政府、機関に対する強制的な指示である。 44 U.S.C. § 3552(b)(1)。 合衆国法典第 44 編第 3553 条(b)(2)は、国土安全保障省(DHS)の長官に拘束的運用指令 を策定し、その実施を監督する権限を与えるものである。連邦機関は、これらの指令に従うことを要求される。 44 U.S.C. § 3554(a)(1)(B)(ii). これらの指令は、法令で定義された「国家安全保障システム」、または国防総省もしくは情報機関によって運用される特定のシステムには適用されない。 44 U.S.C. § 3553(b), (d), (e)(2), (e)(3)。 この指令は、適用されるシステムを「連邦文民行政機関システム」と呼び、それらのシステムを運用する機関を「連邦文民行政機関」と呼ぶ。
Background 背景
Continuous and comprehensive asset visibility is a basic pre-condition for any organization to effectively manage cybersecurity risk. Accurate and up-to-date accounting of assets residing on federal networks is also critical for CISA to effectively manage cybersecurity for the Federal Civilian Executive Branch (FCEB) enterprise. 継続的かつ包括的な資産の可視化は、あらゆる組織がサイバーセキュリティリスクを効果的に管理するための基本的な前提条件である。また、連邦ネットワーク上に存在する資産の正確かつ最新の会計処理は、CISAが連邦文民行政機関(FCEB)エンタープライズのサイバーセキュリティを効果的に管理するために不可欠である。
The purpose of this Binding Operational Directive is to make measurable progress toward enhancing visibility into agency assets and associated vulnerabilities. While the requirements in this Directive are not sufficient for comprehensive, modern cyber defense operations, they are an important step to address current visibility challenges at the component, agency, and FCEB enterprise level. The requirements of this Directive focus on two core activities essential to improving operational visibility for a successful cybersecurity program: asset discovery and vulnerability enumeration. この拘束的運用指令の目的は、機関の資産と関連する脆弱性に対する可視性の強化に向けて、測定可能な進歩を遂げることである。本指令の要件は、包括的で近代的なサイバー防衛作戦には不十分であるが、部局、機関、および FCEB エンタープライズレベルにおける可視性の現在の課題に対処するための重要なステップである。本指令の要件は、サイバーセキュリティプログラムを成功させるために運用の可視性を向上させるために不可欠な2つの中核的活動、すなわち資産の発見と脆弱性一覧に焦点を当てている。
・Asset discovery is a building block of operational visibility, and it is defined as an activity through which an organization identifies what network addressable IP-assets reside on their networks and identifies the associated IP addresses (hosts). Asset discovery is non-intrusive and usually does not require special logical access privileges. ・資産の発見とは、運用の可視性の構成要素であり、組織がネットワーク上に存在するネットワークアドレス可能なIP資産を識別し、関連するIPアドレス(ホスト)を識別する活動として定義される。資産発見は非侵入型であり、通常、特別な論理的アクセス権限を必要としない。
・Vulnerability enumeration identifies and reports suspected vulnerabilities on those assets. It detects host attributes (e.g., operating systems, applications, open ports, etc.), and attempts to identify outdated software versions, missing updates, and misconfigurations. It validates compliance with or deviations from security policies by identifying host attributes and matching them with information on known vulnerabilities. Understanding an asset’s vulnerability posture is dependent on having appropriate privileges, which can be achieved through credentialed network-based scans or a client installed on the host endpoint. ・脆弱性一覧は、これらの資産に存在する脆弱性の疑いを特定し、報告する。ホストの属性(OS、アプリケーション、オープンポートなど)を検出し、古いソフトウェアバージョン、アップデートの欠落、設定の誤りなどを特定しようとするものである。ホストの属性を特定し、既知の脆弱性に関する情報と照合することで、セキュリティポリシーへの準拠や逸脱を検証する。資産の脆弱性ポスチャを理解するには、適切な権限が必要である。この権限は、資格のあるネットワークベースのスキャンや、ホストのエンドポイントにインストールされたクライアントによって実現される場合がある。
Discovery of assets and vulnerabilities can be achieved through a variety of means, including active scanning, passive flow monitoring, querying logs, or in the case of software defined infrastructure, API query. Many agencies’ existing Continuous Diagnostics and Mitigation (CDM) implementations leverage such means to make progress toward intended levels of visibility. Asset visibility is not an end in itself, but is necessary for updates, configuration management, and other security and lifecycle management activities that significantly reduce cybersecurity risk, along with exigent activities like vulnerability remediation. The goal of this Directive is for agencies to comprehensively achieve the following outcomes without prescribing how to do so: 資産と脆弱性の発見は、アクティブスキャン、パッシブフローモニタリング、ログへのクエリ、またはソフトウェア定義インフラの場合はAPIクエリなど、さまざまな手段で行うことができる。多くの機関の既存の継続的診断・軽減(CDM)実装では、このような手段を活用して、意図したレベルの可視化に向けて前進している。資産の可視化はそれ自体が目的ではなく、脆弱性修正のような緊急の活動とともに、アップデート、構成管理、その他のセキュリティおよびライフサイクルマネジメントの活動によって、サイバーセキュリティのリスクを大幅に軽減するために必要なものである。本指令の目標は、各機関が以下の成果を包括的に達成することであり、その方法を規定するものではない。
・Maintain an up-to-date inventory of networked assets as defined in the scope of this directive; ・本指令の適用範囲に定義されるネットワーク資産の最新のインベントリを維持する。
・Identify software vulnerabilities, using privileged or client-based means where technically feasible; ・技術的に可能な場合、特権的またはクライアントベースの手段を用いて、ソフトウェアの脆弱性を特定する。
・Track how often the agency enumerates its assets, what coverage of its assets it achieves, and how current its vulnerability signatures are; and ・技術的に可能な場合は、特権的またはクライアントベースの手段を使用して、ソフトウェアの脆弱性を特定する。
・Provide asset and vulnerability information to CISA’s CDM Federal Dashboard. ・CISAのCDM Federal Dashboardに資産と脆弱性の情報を提供する。
Agencies may request CISA’s assistance in conducting an engineering survey to baseline current asset management capabilities. CISA will work with requesting agencies to provide technical and program assistance to resolve gaps, optimize scanning, and support achieving the required actions in this Directive. 各機関は、現在の資産管理能力を基準化するためのエンジニアリング・サーベイの実施においてCISAの支援を要請することができる。CISAは、要請した機関と協力して、ギャップを解決し、スキャニングを最適化し、本指令の要求事項の達成を支援するための技術的及びプログラム的支援を提供する。
This Directive’s requirements advance the priorities set forth in the Executive Order 14028 on Improving the Nation’s Cybersecurity, specifically Sec. 7 (Improving Detection of Cybersecurity Vulnerabilities and Incidents on Federal Government Networks), and provide operational clarity in achieving policy set forth in previous OMB Memoranda, including M-21-02, M-22-05, and M-22-09. Compliance with this Directive also supports BOD 22-01, Managing Unacceptable Risk Vulnerabilities in Federal Enterprise, as it will enable agencies to enhance the management of known exploited vulnerabilities that can be detected using automated tools. 本指令の要件は、国家のサイバーセキュリティの改善に関する大統領令14028、特に第7項(連邦政府ネットワークにおけるサイバーセキュリティの脆弱性とインシデントの検出の改善)で定められた優先事項を促進し、M-21-02、M-22-05、M-22-09などの以前のOMBメモランダムで定められた政策の達成に運用上の明確さを提供するものである。また、本指令を遵守することにより、BOD 22-01「連邦エンタープライズにおける許容できないリスクの脆弱性管理」をサポートし、自動化ツールを使用して検出可能な既知の悪用される脆弱性の管理を強化することが可能になるためである。
Scope 適用範囲
These required actions apply to any FCEB unclassified federal information system, including any federal information system used or operated by another entity on behalf of an agency, that collects, processes, stores, transmits, disseminates, or otherwise maintains agency information. これらの要求事項は、FCEBの非分類連邦情報システム(機関に代わって他の機関が使用または運用する連邦情報システムを含み、機関情報を収集、処理、保存、伝送、配布、または維持するもの)に適用される。
This Directive applies to all IP-addressable networked assets that can be reached over IPv4 and IPv6 protocols. For the purpose of this directive, an IP-addressable networked asset is defined as any reportable (i.e., non-ephemeral) information technology or operational technology asset that is assigned an IPv4 or IPv6 address and accessible over IPv4 or IPv6 networks, regardless of the environment it operates in. The scope includes, but is not limited to, servers and workstations, virtual machines, routers and switches, firewalls, network appliances, and network printers — whether in on-premises, roaming, and cloud operated deployment models. The scope excludes ephemeral assets, such as containers and third-party-managed software as a service (SaaS) solutions. この指令は、IPv4及びIPv6プロトコルを介して到達可能な、IPアドレス指定可能な全てのネットワーク資産に適用される。 この指令の目的上、IPアドレス指定可能なネットワーク資産とは、IPv4またはIPv6アドレスが割り当てられ、IPv4またはIPv6ネットワーク上でアクセスできる、報告可能(すなわち、非エフェメラル)な情報技術または運用技術資産と定義し、その運用環境を問わないものとする。この範囲には、オンプレミス、ローミング、クラウドのいずれの展開モデルであっても、サーバー、ワークステーション、仮想マシン、ルーター、スイッチ、ファイアウォール、ネットワーク機器、ネットワークプリンターが含まれるが、これらに限定されるものではない。コンテナやサードパーティが管理するSaaSソリューションなどの一時的な資産は対象外とする。
Required Actions 要求される対応
1. By April 3, 2023, all FCEB agencies are required to take the following actions on all federal information systems in scope of this directive: 1. 2023年4月3日までに、すべてのFCEB機関は、この指令の対象となるすべての連邦情報システムにおいて、以下の措置を講じることが求められる。
a. Perform automated asset discovery every 7 days. While many methods and technologies can be used to accomplish this task, at minimum this discovery must cover the entire IPv4 space used by the agency. a. 7日ごとに自動資産探索を実施する。このタスクを達成するために多くの方法と技術を使用することができるが、最低限、この発見は、機関が使用するIPv4空間全体をカバーする必要がある。
b. Initiate vulnerability enumeration across all discovered assets, including all discovered nomadic/roaming devices (e.g., laptops), every 14 days. b. 発見されたすべての資産(発見されたノマディック/ローミングデバイス(例:ラップトップ)を含む)に対して、14日ごとに脆弱性一覧を開始すること。
i. CISA understands that in some instances achieving full vulnerability discovery on the entire enterprise may not complete in 14 days. Enumeration processes should still be initiated at regular intervals to ensure all systems within the enterprise are scanned on a regular cadence within this window. i. CISAは、エンタープライズ全体の完全な脆弱性の発見が14日間で完了しない場合があることを理解している。エンタープライズ内の全システムがこの期間内に定期的にスキャンされるように、列挙プロセスを定期的に開始する必要がある。
ii. To the maximum extent possible and where available technologies support it, all vulnerability enumeration performed on managed endpoints (e.g., servers, workstations, desktops, laptops) and managed network devices (e.g., routers, switches, firewalls) must be conducted with privileged credentials (for the purpose of this directive, both network-based credentialed scans and client- or agent-based vulnerability detection methods are viewed as meeting this requirement). ii. 可能な限り最大限、利用可能な技術でサポートする場合、管理対象エンドポイント(例:サーバー、ワークステー ション、デスクトップ、ラップトップ)および管理対象ネットワークデバイス(例:ルーター、スイッチ、 ファイアウォール)に対して実施するすべての脆弱性一覧は、特権的資格情報を使用して実施しなければ ならない(この指令では、ネットワークベースの資格情報スキャンおよびクライアントまたはエージェント ベースの脆弱性検出方法の両方を、この要件を満たすものと見なす)。
iii. All vulnerability detection signatures used must be updated at an interval no greater than 24 hours from the last vendor-released signature update. iii. 使用するすべての脆弱性検出シグネチャは、ベンダーがリリースした最後のシグネチャ更新から24時間を超えない間隔で更新されなければならない。
iv. Where the capability is available, agencies must perform the same type of vulnerability enumeration on mobile devices (e.g., iOS and Android) and other devices that reside outside of agency on-premises networks. iv. 機能が利用可能な場合、機関は、モバイルデバイス(iOSおよびAndroidなど)および機関のオンプレミスネットワークの外に存在するその他のデバイスに対して、同じタイプの脆弱性一覧を実行しなければならない。
v. All alternative asset discovery and vulnerability enumeration methods (e.g., for systems with specialized equipment or those unable to utilize privileged credentials) must be approved by CISA. v. すべての代替的な資産発見及び脆弱性一覧方法(例えば、特殊な機器を有するシステムや特権的な認証情報を利用できないシステムなど)は、CISAによって承認されなければならない。
c. Initiate automated ingestion of vulnerability enumeration results (i.e., detected vulnerabilities) into the CDM Agency Dashboard within 72 hours of discovery completion (or initiation of a new discovery cycle if previous full discovery has not been completed). c. 発見完了後 72 時間以内に、脆弱性一覧結果(検出された脆弱性)の CDM Agency Dashboard への自動取り込みを開始する(または、以前の完全な発見が完了していない場合は、新しい発見サイクルを開始する)。
d. Develop and maintain the operational capability to initiate on-demand asset discovery and vulnerability enumeration to identify specific assets or subsets of vulnerabilities within 72 hours of receiving a request from CISA and provide the available results to CISA within 7 days of request. d. CISAからの要請を受けてから72時間以内に、特定の資産または脆弱性のサブセットを特定するためのオンデマンドの資産発見と脆弱性一覧を開始し、要請から7日以内に利用可能な結果をCISAに提供する運用能力を開発し維持する。
i. CISA understands that in some instances agencies may not be able to complete a full vulnerability discovery on the entire enterprise within this period. It is still necessary to initiate the enumeration process within this time period as any available results will provide CISA and agencies situational awareness in response to imminent threats. i. CISAは、場合によっては、機関がこの期間内にエンタープライズ全体の完全な脆弱性発見を完了できないことがあることを理解している。利用可能な結果があれば、差し迫った脅威に対応するためのCISA及び機関の状況認識が得られるため、この期間内に列挙プロセスを開始することが依然として必要である。
2. Within 6 months of CISA publishing requirements for vulnerability enumeration performance data, all FCEB agencies are required to initiate the collection and reporting of vulnerability enumeration performance data, as relevant to this directive, to the CDM Dashboard. This data will allow for CISA to automate oversight and monitoring of agency scanning performance including the measurement of scanning cadence, rigor, and completeness. 2. CISAが脆弱性一覧パフォーマンスデータの要件を公表してから6カ月以内に、すべてのFCEB機関は、この指令に関連する脆弱性一覧パフォーマンスデータの収集と報告をCDMダッシュボードに開始することが求められる。このデータにより、CISAはスキャニングの定時性、厳密性、完全性の測定を含む機関のスキャニング性能の監督と監視を自動化することができるようになる。
3. By April 3, 2023, agencies and CISA, through the CDM program, will deploy an updated CDM Dashboard configuration that enables access to object-level vulnerability enumeration data for CISA analysts, as authorized in the Executive Order on Improving the Nation’s Cybersecurity.   3. 2023年4月3日までに、各機関とCISAは、CDMプログラムを通じて、「国家のサイバーセキュリティの改善に関する行政命令」で認められた、CISAアナリストがオブジェクトレベルの脆弱性一覧データにアクセスできる最新のCDMダッシュボード構成を配備する予定である。  
Reporting Requirements and Metrics 報告要件と測定基準
1. Six, twelve, and eighteen months after the issuance, FCEB agencies will either: 1. 発行から6ヶ月後、12ヶ月後、18ヶ月後、FCEB機関は以下のいずれかを行う。
(1) Provide CISA (through a reporting interface in CyberScope) a progress report to include any obstacles, dependencies, or other issues that may prevent them from meeting the directive requirements and expected completion dates, OR (1) CISA(CyberScopeの報告インターフェースを通じて)に対し、指令の要件を満たすことを妨げる可能性のある障害、依存関係、その他の問題、および完了予定日を含む進捗報告書を提出する。
(2) Work with CISA through the CDM program review process outlined in OMB M-22-05, or superseding guidance, to identify and resolve gaps or issues that prevent full operationalization of asset management capabilities, including those requirements in this directive. (2) OMB M-22-05又はそれに代わるガイダンスに概説されているCDMプログラム・レビュープロセスを通じてCISAと協力し、本指令の要件を含む資産管理能力の完全運用を妨げるギャップ又は問題を特定し、解決する。
CISA Actions CISAの対応
1. Within 6 months of issuance, CISA will publish data requirements for agencies to provide machine-level vulnerability enumeration performance data in a common data schema. 1. CISAは、発行から6カ月以内に、各機関が機械レベルの脆弱性一覧パフォーマンスデータを共通のデータスキーマで提供するためのデータ要件を公開する予定である。
2. Within 18 months of issuance, CISA will review this directive to ensure the requirements remain relevant to the cybersecurity landscape. 2. CISAは、発行から18カ月以内に、本指令を見直し、要件がサイバーセキュリティの状況に引き続き適合していることを確認する。
3. Annually, by the end of each fiscal year, CISA will provide a status report to the Secretary of Homeland Security, the Director of OMB, and the National Cyber Director identifying cross-agency status, agency asset discovery and vulnerability management performance indicators, and outstanding issues in implementation of this Directive (scanning performance monitoring data, including the measurement of scanning cadence, rigor, and completeness). Additionally, CISA will report quarterly progress to OMB. 3. CISAは、毎年、各会計年度末までに、国土安全保障長官、OMB長官、及び国家サイバー長官に対して、機関間の状況、機関の資産発見及び脆弱性管理のパフォーマンス指標、並びに本指令の実施における未解決の問題(スキャンの定時性、厳格性、完全性の測定を含む、スキャンパフォーマンスモニタリングデータ)を特定する状況報告書を提出する。さらに、CISA は、四半期ごとに OMB に進捗状況を報告する。
4. CISA will monitor agency compliance with this Directive and will provide assistance upon request to support agency implementation. 4. CISAは、機関が本指令を遵守していることを監視し、機関の実施を支援するために要求に応じて支援を提供する。
Implementation Guidance 実施ガイダンス
The purpose of the Implementation Guidance document is to help federal agencies interpret and implement CISA’s Binding Operational Directive (BOD) 23-01. While the primary audience for this document is Federal Civilian Executive Branch (FCEB) agencies, other entities may find the content useful. At a minimum, CISA expects FCEB agencies to meet or exceed the guidance in this document. The guidance seeks to answer the most common questions asked by federal agencies. CISA will update this document with commonly asked questions and as new information becomes available. 実施ガイダンスの目的は、連邦政府機関がCISAの拘束的運用指令(BOD)23-01を解釈し実施するのを支援することである。この文書の主な対象者は連邦文民行政機関(FCEB)であるが、他の機関もこの内容を有用と考えるかもしれない。CISAは、少なくとも連邦文民行政機関が本書のガイダンスを満たすか、それを上回ることを期待している。このガイダンスは、連邦政府機関から寄せられる最も一般的な質問に答えようとするものである。CISAは、よくある質問や新しい情報が入手可能になったときに、この文書を更新する予定である。

 

 

実施ガイドライン... 用語定義とFAQですね...

 

・2022.10.03 IMPLEMENTATION GUIDANCE FOR CISA BINDING OPERATIONAL DIRECTIVE 23-01: IMPROVING ASSET VISIBILITY AND VULNERABILITY DETECTION ON FEDERAL NETWORKS

IMPLEMENTATION GUIDANCE FOR CISA BINDING OPERATIONAL DIRECTIVE 23-01: IMPROVING ASSET VISIBILITY AND VULNERABILITY DETECTION ON FEDERAL NETWORKS CISA拘束的運用指令23-01の実施ガイダンス:連邦政府のネットワークにおける資産の可視化と脆弱性の検出の改善
The purpose of this document is to help federal agencies interpret and implement CISA’s Binding Operational Directive (BOD) 23-01. While the primary audience for this document is Federal Civilian Executive Branch (FCEB) agencies, other entities may find the content useful. At a minimum, CISA expects FCEB agencies to meet or exceed the guidance in this document. The guidance seeks to answer the most common questions asked by federal agencies. CISA will update this document with commonly asked questions and as new information becomes available. この文書の目的は、連邦政府機関がCISAの拘束的運用指令(BOD)23-01を解釈し、実施するのを支援することである。この文書の主な対象者は連邦政府文民行政機関(FCEB)であるが、他の機関もこの内容を有用と考えるかもしれない。CISAは、少なくとも連邦政府文民行政機関が本書のガイダンスを満たすか、それを上回ることを期待している。このガイダンスは、連邦政府機関から寄せられる最も一般的な質問に答えようとするものである。CISAは、よくある質問や新しい情報が入手可能になったときに、この文書を更新する予定である。
Glossary 用語集
Vulnerability enumeration performance data – Otherwise referred to as scanning logs, vulnerability enumeration performance data describes datapoints or measurements that provide visibility on the level of performance relative to the requirements in this directive, using automation and machine-level data (e.g., logs/events indicating successful credentialed enumeration completion, date/timestamps surrounding enumeration activities, and signature/plug-in update date/timestamps). Data requirements to satisfy this objective will be published in a common data schema and made available to every Federal agency. 脆弱性一覧パフォーマンスデータ - スキャンログとも呼ばれる脆弱性一覧パフォーマンスデータは、自動化およびマシンレベルのデータ(例:認証された列挙の成功を示すログ/イベント、列挙活動に関する日付/タイムスタンプ、署名/プラグイン更新日付/タイムスタンプ)を使用して、この指令の要件に対するパフォーマンスのレベルを可視化するデータポイントまたは測定値について説明する。この目的を満たすためのデータ要件は、共通のデータ・スキーマで公開され、すべての連邦機関が利用できるようにする予定である。
Vulnerability enumeration – A technique to list host attributes (e.g., operating systems, applications, and open ports) and associated vulnerabilities. Vulnerability enumeration typically requires privileged access to gain full visibility at the application and configuration levels. 脆弱性一覧 - ホストの属性(オペレーティングシステム、アプリケーション、オープンポートなど) と関連する脆弱性をリストアップする技術。脆弱性一覧は、通常、アプリケーションおよび構成レベルで完全な可視性を得るために、特権的なアクセス を必要とする。
Privileged credentials – A local or network account or a process with sufficient access to enumerate system configurations and software components across an entire asset. Administrators must apply the principle of least privilege and/or separation of duties on the accounts used for vulnerability enumeration. Poisoning and machine-in-the-middle type attacks commonly target accounts with elevated privileges, including those used for vulnerability enumeration. 特権資格情報 - 資産全体のシステム構成とソフトウェアコンポーネントを列挙するために十分なアクセス権を持つローカルまたはネットワークアカウント、またはプロセス。管理者は、脆弱性一覧に使用するアカウントに最小特権の原則および/または職務分離の原則を適用する必要がある。ポイズニングおよびマシン・イン・ザ・ミドル型の攻撃は、脆弱性一覧に使用されるアカウントを含め、通常、昇格した特権を持つアカウントを標的としている。
Roaming devices – Devices that leave an agency’s on-premises networks, connect to other private networks, and directly access the public internet. ローミングデバイス - 機関のオンプレミスネットワークを離れ、他のプライベートネットワークに接続し、公衆インターネットに直接アクセスするデバイス。
Nomadic devices – Devices that permanently reside outside of agency networks. ノマディックデバイス – 機関内ネットワークの外に常時存在するデバイス。
Frequently Asked Questions よくある質問
Q: What is the scope of this directive? Which devices specifically need to be scanned? Q: この指令の対象は何であるか?具体的にどのデバイスをスキャンする必要があるか?
A: This directive applies to all IP-addressable networked assets that can be reached over IPv4 and IPv6 protocols. An IP-addressable networked asset is defined as any reportable (i.e., non-ephemeral) information technology or operational technology asset that is assigned an IPv4 or IPv6 address and accessible over IPv4 or IPv6 networks, regardless of the environment in which it operates. The scope includes, but is not limited to, servers and workstations, virtual machines, routers and switches, firewalls, network appliances, and network printers — whether in on-premises, roaming, or cloud-operated deployment models. The scope excludes ephemeral assets such as containers and third-party managed software as a service (SaaS) solutions. A: この指令は、IPv4およびIPv6プロトコルを介して到達可能な、すべてのIPアドレス指定可能なネットワーク資産に適用される。IPアドレス指定可能なネットワーク資産とは、IPv4またはIPv6アドレスが割り当てられ、IPv4またはIPv6ネットワーク上でアクセスできる、報告可能な(すなわち、非エフェメラルな)情報技術または運用技術資産であり、それが運用されている環境に関係なく、定義されている。この範囲には、オンプレミス、ローミング、クラウド運用のいずれの展開モデルであっても、サーバー、ワークステーション、仮想マシン、ルーター、スイッチ、ファイアウォール、ネットワーク機器、ネットワークプリンターが含まれるが、これらに限定されるものではない。ただし、コンテナやサードパーティ製のSaaSソリューションなど、一時的な資産は対象外とする。
Q: How does the pre-existing requirement to perform endpoint detection and response (EDR) differ from the requirements of this BOD? To what extent does EDR address asset visibility needs? Q: エンドポイントの検出と対応(EDR)を実行するという既存の要件は、このBODの要件とどのように違うのか?また、EDRは資産の可視化のニーズにどの程度対応しているか?
A: Asset visibility is a prerequisite for determining where to deploy EDR. While most EDR tools do not provide vulnerability information, the directive gives agencies the flexibility to use any tool that provides credential or client-level vulnerability information. If an agency deploys EDR tools that can provide vulnerability information, those tools can be used in place of a client-based scanner. A: 資産の可視化は、EDRを導入する場所を決定するための前提条件である。ほとんどのEDRツールは脆弱性情報を提供しませんが、この指令は、クレデンシャルまたはクライアントレベルの脆弱性情報を提供するいかなるツールも使用する柔軟性を機関に与えている。もし、機関が脆弱性情報を提供できるEDRツールを配備していれば、それらのツールをクライアントベースのスキャナーの代わりに使用することができる。
Q: This BOD uses the term “networked assets.” Does that imply cloud is out of scope? Q: このBODでは、"ネットワーク化された資産 "という用語が使われている。これは、クラウドが対象外であることを意味するのか。
A: Any non-ephemeral asset with an IP address is in scope, including applicable cloud assets. Many cloud use cases are unique. Many agencies have SaaS instances where agencies are unable to run their own scans. In the case of traditional data center collocations, infrastructure as a service (IaaS), and in some cases platform as a service (PaaS), all assets with an IP address are in scope. The scope excludes ephemeral assets such as containers and third-party managed SaaS solutions. A: IPアドレスを持つ非継続的な資産であれば、適用可能なクラウド資産も含めて対象範囲である。多くのクラウドのユースケースは独特である。多くの機関は、機関が独自のスキャンを実行できないSaaSインスタンスを持っている。従来のデータセンターのコロケーション、IaaS(Infrastructure as a Service)、場合によってはPaaS(Platform as a Service)の場合、IPアドレスを持つすべての資産がスコープに含まれる。コンテナやサードパーティ製のマネージドSaaSソリューションのような一時的な資産は対象外である。
Q: Why does the directive say “initiate scans” instead of “execute” or “complete scans”? Q: なぜ指令では、「実行」や「スキャン完了」ではなく、「スキャンを開始する」となっているのか?
A: Sometimes, especially in large enterprises, vulnerability scans may not be complete within the 14-day timeframe required in the BOD. To overcome this issue, BOD 23-01 requires agencies to initiate a new scan every 14 days regardless of whether the previous scan has completed. Agencies are also required to feed available results for the previous scan three days after the new scan is initiated, even when the previous scan is not fully complete. A: 特に大企業では、BODで要求されている14日間の期間内に脆弱性スキャンを完了できないことがある。この問題を克服するために、BOD 23-01は、前回のスキャンが完了したかどうかにかかわらず、14日ごとに新しいスキャンを開始するよう機関に要求している。また、前回のスキャンが完全に終了していない場合でも、新しいスキャンが開始されてから3日後に、前回のスキャンの結果を提供することが義務付けられている。
Q: What is the difference between “asset management” and “asset discovery”? Q: "資産管理 "と "資産発見 "の違いは何であるか?
A: Asset management and asset discovery are two distinct activities that frequently go hand in hand. Asset management is the active monitoring and administration of endpoints using a centralized solution, such as unified endpoint management (UEM), mobile device management (MDM), or enterprise mobility management (EMM). Inventories from asset management solutions may be used to feed the information about agency assets into the results of a comprehensive asset discovery effort. A: 資産管理と資産発見は、しばしば手を取り合って行われる2つの異なる活動である。資産管理は、統合エンドポイント管理(UEM)、モバイルデバイス管理(MDM)、エンタープライズモビリティ管理(EMM)などの集中型ソリューションを使用して、エンドポイントを積極的に監視および管理することである。資産管理ソリューションのインベントリは、機関の資産に関する情報を、包括的な資産探索の取り組みの結果に反映させるために使用することができる。
Asset discovery is the process of checking an IPv4 or IPv6 network for active and inactive hosts (e.g., networked assets) by using a variety of methods. The most common discovery methods include actively trying to communicate with all IP addresses in a range using a scan tool such as “nmap” (which is only feasible on smaller IPv4 based networks), or by passively monitoring traffic on the wire to detect activity from any new assets.   資産発見とは、さまざまな方法を用いて、IPv4またはIPv6ネットワークにアクティブなホストと非アクティブなホスト(ネットワーク上の資産など)があるかどうかを確認するプロセスである。最も一般的な発見方法は、「nmap」などのスキャンツールを使用して範囲内のすべてのIPアドレスとの通信を積極的に試みる方法(これは小規模なIPv4ベースのネットワークでのみ実行可能)、またはワイヤ上のトラフィックをパッシブに監視して新しい資産からのアクティビティを検出する方法などがある。 
Asset discovery helps organizations find unmanaged assets that are present on the network to ensure they are brought under appropriate management. It also helps organizations identify networked devices, such as Internet of Things (IoT), that cannot be centrally managed. It is possible for an asset to fall off the management tool due to inactivity or other reasons, requiring it to be rediscovered. 資産検出は、ネットワーク上に存在する管理されていない資産を発見し、適切な管理下に置くことを可能にする。また、IoT(Internet of Things)など、一元管理できないネットワーク上のデバイスを特定することもできる。不活性化などの理由で管理ツールから外れてしまい、再認識する必要がある場合もあり得る。
Q: Why does the directive reference the software bill of materials (SBOM) in the Background section but not in subsequent sections? Q: なぜ指令は背景のセクションでソフトウェア部品表(SBOM)に言及し、それ以降のセクションで言及しないのか?
A: SBOM is mentioned in the introduction to convey the Administration’s vision and describe our desired state in the long term. The directive focuses on very specific first steps that can be achieved within the next 6-12 months and are prerequisites for broader adoption of SBOM. Without comprehensive asset management, agencies will be unable to effectively use SBOMs to manage risk posed by asset components or libraries.   A: SBOMは、行政のビジョンを伝え、長期的に望ましい状態を説明するために、序章で言及されている。この指令は、今後6〜12ヶ月以内に達成可能で、SBOMをより広く採用するための前提条件となる、非常に具体的な最初のステップに焦点を合わせている。包括的な資産マネジメントがなければ、機関はSBOMを効果的に使用して、資産の構成要素やライブラリによってもたらされるリスクを管理することはできないだろう。 
Q: We offer public wireless access in conference rooms and lobbies. Are guest networks in scope? Q: 当社は、会議室やロビーで公衆無線アクセスを提供している。ゲストネットワークは対象であるか?
A:  Guest hosts are not in scope, provided the guest networks are physically segmented from agency networks. A: ゲストネットワークが機関のネットワークから物理的に分離されている場合、ゲストホストは適用範囲外である。
Q: Are bring-your-own-device (BYOD) assets in scope? Q:BYOD(Bring-Your-Own-Device)資産は範囲内か?
A: Most federal agencies do not allow BYOD on enterprise networks. If they do, then BYOD devices are in scope. This does not apply to personally owned equipment that connects to federal networks via web interface (e.g., website visitors or remote users connecting via SSL remote access solutions). A:ほとんどの連邦政府機関では、エンタープライズ・ネットワーク上でのBYODを許可していません。BYODが許可されている場合、そのデバイスは対象範囲に含まれる。ただし、Webインタフェース経由で連邦政府のネットワークに接続する個人所有の機器(Webサイトの訪問者やSSLリモートアクセスソリューションで接続するリモートユーザーなど)には適用されない。
Q: Are air-gapped networks in scope? It may not be possible to transfer a signature to air-gapped networks within 24 hours. Q:エアギャップ・ネットワークは範囲に含まれるか?24時間以内にエアギャップ・ネットワークに署名を転送することは不可能かもしれない。
A: Many logically isolated networks and systems are incorrectly considered air-gapped. Any device, system, or network that is directly connected to the operating environment, or is connected to another system that is connected to the operating environment, is not considered air-gapped and is in scope for BOD 23-01. Only systems that are truly physically air-gapped are out of scope. A: 論理的に分離されたネットワークやシステムの多くは、誤ってエアギャップされていると考えられている。動作環境に直接接続されている、または動作環境に接続されている他のシステムに接続されているデバイス、システム、またはネットワークは、エアギャップとはみなされず、BOD 23-01の適用範囲に含まれる。本当に物理的にエアギャップされているシステムのみが対象外である。
Q: Does the BOD include requirements for scanning software and configuration enumerations? Q: BODには、スキャンソフトウェアや構成列挙の要件が含まれているか?
A: No, the BOD requirements address only basic (IP) asset discovery and vulnerability enumeration. The current BOD does not address hardware management, software management, or configuration management and associated controls. Note that some vulnerabilities due to misconfigurations and basic configurations may be captured by standard vulnerability scanners. A: いいえ。BOD要件は、基本的な(IP)資産の発見と脆弱性一覧のみを扱っている。現在のBODは、ハードウェア管理、ソフトウェア管理、構成管理および関連するコントロールには対応していません。なお、設定ミスや基本的な設定による脆弱性は、標準的な脆弱性スキャナで捕捉できる場合がある。
Q: Which cloud assets are in scope? Q: どのクラウド資産が対象になるか?
A: Agencies are responsible for the discovery and enumeration of networked assets under agency control, such as assets in authority-to-operate (ATO) inventories. Each cloud instance is unique, but in general, third-party hosting solutions where agencies still control physical or virtual hosts, such as infrastructure as a service, are within the scope of this directive. A: 機関は、ATO(Authority-to-Operate)インベントリ内の資産など、機関の管理下にあるネットワーク資産の発見と列挙に責任を負う。クラウドのインスタンスはそれぞれ異なるが、一般的に、機関が物理的または仮想的なホストを引き続き管理するサードパーティのホスティングソリューション(サービスとしてのインフラストラクチャなど)は、この指令の対象範囲内である。
Q: Are communications devices, such as IP telephony, VOIP phones, cameras, and unified communications peripherals in scope? Q: IP電話、VOIP電話、カメラ、ユニファイドコミュニケーション周辺機器などの通信機器も対象となるか?
A: Yes, these devices are in scope. Adversaries have specifically targeted these devices as they are typically more difficult to harden. A: はい、これらのデバイスは対象である。一般的にハード化が困難なため、攻撃者はこれらのデバイスを特にターゲットにしている。

 

Cisa_20220913192501

 

 

| | Comments (0)

2022.10.05

米国 司法省 元NSA職員をスパイ容疑で逮捕(2022.09.29)

こんにちは、丸山満彦です。

米国連邦政府 司法省が、元NSA職員がスパイ容疑で逮捕されたことを公表していますね。。。

囮捜査ですかね。。。公表しているということは、あまり大きな被害が出ることなく、比較的うまく逮捕された案件なんですかね。。。そうだとしても、通常機密情報だけでなく、最高機密情報も撮られているようですね。。。

簡単な説明ですが、興味深い内容ですね。。。

内部犯行は、日本ではあまり重視されていないようにも感じます。。。以前は、同じ社員を疑うのは良くないという風潮がありましたしね。。。

Department of Justice

・2022.09.29 Former NSA Employee Arrested on Espionage-Related Charges

Former NSA Employee Arrested on Espionage-Related Charges 元NSA職員をスパイ容疑で逮捕
A Colorado Springs man will make his initial appearance in federal court today on charges that he attempted to transmit classified National Defense Information (NDI) to a representative of a foreign government. コロラドスプリングスの男性が、機密の国家防衛情報(NDI)を外国政府の代表者に送信しようとした容疑で、本日連邦裁判所に初出頭する。
Jareh Sebastian Dalke, 30, was an employee of the National Security Agency (NSA) where he served as an Information Systems Security Designer from June 6, 2022, to July 1, 2022. According to the affidavit in support of the criminal complaint, between August and September 2022, Dalke used an encrypted email account to transmit excerpts of three classified documents he had obtained during his employment to an individual Dalke believed to be working for a foreign government. In actuality, that person was an undercover FBI agent. Dalke subsequently arranged to transfer additional classified information in his possession to the undercover FBI agent at a location in Denver, Colorado. The FBI arrested Dalke on Sept. 28, after Dalke arrived at the specified location. ジャレ・セバスチャン・ダルケ(30)は、国家安全保障局(NSA)の職員で、2022年6月6日から2022年7月1日まで情報システムセキュリティデザイナーとして勤務していた。刑事告訴を裏付ける宣誓供述書によると、2022年8月から9月にかけて、ダルケは暗号化されたメールアカウントを使って、在職中に入手した3つの機密文書の抜粋を、ダルケが外国政府のために働いていると考えた人物に送信した。実際には、その人物はFBIの潜入捜査官でした。ダルケはその後、コロラド州デンバーにいるFBI潜入捜査官に、自分が所持していたさらなる機密情報を転送するよう手配した。FBIは9月28日、ダルケが指定された場所に到着した後、ダルケを逮捕した。
According to the affidavit in support of the criminal complaint, Dalke began communicating on or about July 29, 2022, via encrypted email with an individual he believed to be associated with a foreign government. Dalke told that individual that he had taken highly sensitive information relating to foreign targeting of U.S. systems and information on U.S. cyber operations, among other topics. Dalke represented to the undercover FBI agent that he was still employed by the U.S. government but said he was on a temporary assignment at a field location. Dalke requested compensation via a specific type of cryptocurrency in exchange for the information he possessed and stated that he was in financial need. 刑事告訴を裏付ける宣誓供述書によると、ダルケは2022年7月29日頃、外国政府と関係があると思われる個人と暗号化電子メールで連絡を取り始めた。ダルケはその人物に対し、外国による米国システムの標的化に関する機密性の高い情報や、米国のサイバー作戦に関する情報などを持ち出したと伝えた。ダルケは、潜入したFBI捜査官に対し、自分はまだ米国政府に雇用されているが、現地で一時的な任務に就いていると述べた。ダルケは、保有する情報と引き換えに特定の種類の暗号通貨による報酬を要求し、経済的に困窮していると述べた。
To prove he had access to sensitive information, Dalke transmitted excerpts of three classified documents to the undercover FBI agent. Each excerpt contained classification markings. One excerpt was classified at the Secret level, and two excerpts were classified at the Top Secret level. In return for this information, the FBI undercover agent provided the requested cryptocurrency to an address Dalke provided. 機密情報にアクセスできることを証明するために、ダルケは3つの機密文書の抜粋を潜入していたFBI捜査官に送信した。それぞれの抜粋には分類記号がついていた。1つは機密レベル、2つは最高機密レベルに分類されていた。この情報の見返りとして、FBIの潜入捜査官は、要求された暗号通貨をダルケが提供したアドレスに提供した。
On or about Aug. 26, 2022, Dalke requested $85,000 in return for additional information in his possession. Dalke also told the FBI undercover agent that he would share additional information in the future, once he returned to the Washington, D.C., area. Although he was not employed by the NSA while communicating with the FBI, Dalke re-applied to the NSA in August 2022. 2022年8月26日頃、ダルケは保有する追加情報の見返りとして8万5000ドルを要求した。また、ダルケはFBIの潜入捜査官に対し、今後、ワシントンD.C.地域に戻ったら、追加の情報を共有することを告げた。FBIと通信している間はNSAに雇用されていなかったが、ダルケは2022年8月にNSAに再申請している。
Dalke agreed to transmit additional information using a secure connection set up by the FBI at a public location in Denver. On Sept. 28, at that location, the FBI arrested Dalke based on a signed criminal complaint. ダルケは、デンバーの公共の場所にFBIが設置した安全な接続を使用して、追加情報を送信することに同意した。9月28日、その場所で、FBIは署名入りの刑事告訴状に基づいてダルケを逮捕した。
Dalke is charged by criminal complaint alleging three violations of the Espionage Act, which makes it a crime to transmit or attempt to transmit NDI to a representative of a foreign nation with intent or reason to believe that information could be used to the injury of the United States or to the advantage of a foreign nation. The Espionage Act carries a potential sentence of death or any term of years up to life. ダルケは、スパイ活動法違反3件の容疑で刑事告訴されている。スパイ活動法は、情報が米国の損害または外国に有利になるように使用される意図またはそう信じる理由がある場合に、外国代表に対してNDIを送信または送信しようとすることを犯罪とする法律です。スパイ活動法は、死刑または無期懲役の判決を下す可能性がある。
Assistant Attorney General Matthew G. Olsen of the Justice Department’s National Security Division; U.S. Attorney Cole Finegan for the District of Colorado; Assistant Director Alan E. Kohler Jr. of the FBI’s Counterintelligence Division; Assistant Director in Charge Steven M. D’Antuono of the FBI Washington Field Office and Acting Special Agent in Charge Cheryl Mimura of the FBI Denver Field Office made the announcement. 司法省国家安全保障局のマシュー・G・オルセン司法長官補佐官、コロラド州のコール・ファインガン連邦検事、FBI防諜部のアラン・E・コーラー・ジュニア部長補佐、FBIワシントン支局のスティーブン・M・ダントウーノ担当部長補佐、FBIデンバー支局のシェリル三村担当特別捜査官代理が発表した。
Assistant U.S. Attorneys Julia K. Martinez and Jena R. Neuscheler for the District of Colorado, and Trial Attorneys Christina A. Clark and Adam L. Small of the National Security Division’s Counterintelligence and Export Control Section are prosecuting on behalf of the government. The case is being investigated by the FBI Denver Field Office and the FBI Washington Field Office. コロラド州のJulia K. Martinez弁護士とJena R. Neuscheler弁護士補、国家安全保障局防諜・輸出管理課のChristina A. Clark弁護士とAdam L. Small弁護士が、政府を代表して起訴している。この事件は、FBIデンバー支局とFBIワシントン支局によって捜査されている。
A criminal complaint is merely an allegation, and all defendants are presumed innocent until proven guilty beyond a reasonable doubt in a court of law. 刑事告訴は単なる申し立てであり、すべての被告人は法廷で合理的な疑いを超えて有罪と証明されるまでは無罪と推定される。

 

Fig1_20220411162001

 

 

| | Comments (0)

日本公認会計士協会 経営研究調査会研究報告第69号「フォレンジック業務に関する研究」(2022.09.30)

こんにちは、丸山満彦です。

日本公認会計士協会が、経営研究調査会研究報告第69号「フォレンジック業務に関する研究」が公表されていますね。。。

本研究報告は、フォレンジック業務を行う会計事務所等の実務及び業務開発に資するため、改めて整理を行い、主に「リスクの概要」「必要な能力・知見等」「業務支援事例」といった切り口から取りまとめを行ったものです。

とのことです。。。

 なかなか興味深いです。

 

日本公認会計士協会

・2022.09.30 経営研究調査会研究報告第69号「フォレンジック業務に関する研究」の公表について

20221005-13107

目次が長いので、少し短くすると...

Ⅰ はじめに
1.本研究報告の目的
. フォレンジック業務を実施する際の注意点
3.利用上の留意点

Ⅱ フォレンジック業務の全体像
1.不正調査技術とフォレンジック業務の全体像
2.フォレンジックチームの組織体制

Ⅲ 不正・不祥事リスク(Fraud and Misconduct Risks)関連業務
1.リスクの概要
. 業務に必要な主な能力・知見等
3.主な業務支援事例

Ⅳ 国際法規制違反リスク(Global Compliance and Regulatory Risks)関連業務
1.業務の全体像
2.贈収賄法関連法規制
3.競争法関連法規制
4.マネー・ローンダリング及びテロ資金供与防止関連法規制

Ⅴ 契約違反リスク(Contract Compliance Risk)関連業務
1.リスクの概要
2.業務に必要な能力・知見等
3.主な業務支援事例

Ⅵ 訴訟リスク(Litigation Risk)関連業務
1.リスクの概要
2.業務に必要な主な能力・知見等
3.主な業務支援事例

Ⅶ 情報漏えいリスク(Information Leakage Risk)関連業務
1.リスク概要
2.業務に必要な主な能力・知見等
3.主な業務支援事例

Ⅷ おわりに



 

| | Comments (0)

ドイツ BSI 攻撃検知システムの使用に関するガイダンス (2022.09.29)

こんにちは、丸山満彦です。

ドイツ連邦情報セキュリティ庁 (BSI) は攻撃検知システムの使用に関するガイダンスを発表してますね。。。

第1章は、ガイダンスの概要

2章は、攻撃検知システムの基本の紹介。(法的背景、攻撃検知システムの定義、分野別の使用方法)

3章は、攻撃検知システムの要件。

4章は、攻撃検知システムの評価のための実装レベルモデルの提示。

という感じのようです。。。

 

Bundesamt für Sicherheit in der Informationstechnik: BSI 

・2022.09.29 BSI veröffentlicht Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung

BSI veröffentlicht Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung BSI、攻撃検知システムの利用に関するガイダンスを発表
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine neue Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung (SzA) veröffentlicht. Nach einer öffentlichen Kommentierungsrunde steht nun die finale Fassung zur Verfügung als Version 1.0. Diese liefert Anhaltspunkte für die Anforderungen an Betreiber Kritischer Infrastrukturen sowie Betreiber von Energieanlagen und Energieversorgungsnetzen sowie prüfende Stellen. ドイツ連邦情報セキュリティ局(BSI)は、攻撃検知システムの使用に関する新しいガイダンス文書を発表した。パブリックコメントを経て、最終版はバージョン1.0として公開され、重要インフラの運営者、エネルギープラントやエネルギー供給ネットワークの運営者、および監査機関に対する要求事項のガイダンスが提供されることになった。
Die Betreiber sind dazu verpflichtet, angemessene organisatorische und technische Vorkehrungen zu treffen, um Störungen zu vermeiden. Außerdem sind sie dazu angehalten, ihre informationstechnischen Systeme, Komponenten oder Prozesse integer, authentisch und vertraulich zu betreiben. Die Orientierungshilfe liefert Hinweise für Betreiber und prüfende Stellen, wie die gesetzliche Verpflichtung individuell umgesetzt und geprüft werden kann. 事業者は、混乱を回避するために適切な組織的・技術的な予防措置を講じる義務がある。また、情報技術システム、コンポーネントまたはプロセスを、完全性、真正性、機密性をもって運用することが要求される。このガイダンスは、事業者と監査機関に対し、法的義務をどのように実施し、個別に監査することができるかについての情報を提供するものである。
Das BSI-Gesetz sieht in § 8a Absatz 1a BSIG ausdrücklich den Einsatz von SzA vor. Derartige Systeme stellen eine effektive Maßnahme dar, um Cyber-Angriffe frühzeitig zu erkennen und unterstützen dabei, Schäden zu reduzieren oder zu vermeiden. BSI法は、BSIG§8a 1aにおいて、SCAの使用を明確に規定している。このようなシステムは、サイバー攻撃を早期に検知し、被害の軽減・回避を支援する有効な手段である。
Die aktuelle Fassung des Energiewirtschaftsgesetzes sieht die Nachweispflicht für SzA gegenüber dem BSI auch für die Betreiber von Energieanlagen und Energieversorgungsnetzen vor. Das Dokument eignet sich zudem als Grundlage für die Fortentwicklung der Branchenspezifischen Sicherheitsstandards (B3S) im Zuge der Integration der SzA. また、現行版のエネルギー産業法では、エネルギープラントやエネルギー供給ネットワークの事業者に対して、BSIへの攻撃検知システムの証明の提出義務が規定されている。また、攻撃検知システムの統合の過程で、業界固有のセキュリティ標準(B3S)をさらに発展させるための基礎資料としても適している。

 

・[PDF] Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung

20221005-05831 

・[DOCX] 仮訳

 

 

| | Comments (0)

2022.10.04

米国 連邦エネルギー準備委員会 (FERC) 信頼性基準等により義務付けられていない高度なサイバーセキュリティ技術への投資等へのインセンティブ付与基準の案 (2022.09.22)

こんにちは、丸山満彦です。

米国連邦エネルギー準備委員会が、信頼性基準等により義務付けられていない高度なサイバーセキュリティ技術への投資等へのインセンティブ付与基準の案を公表していました。。。

この案では、

(1) 高度なサイバーセキュリティ技術への投資、またはサイバーセキュリティ脅威情報共有プログラムへの参加を通じて、サイバーセキュリティを大幅に改善すること (2) 重要インフラ保護 (CIP) 信頼性基準、または地方・州・連邦法ですでに義務付けられていないこと、という条件に合致する支出については、

(1) 適格なサイバーセキュリティ投資に対する200ベーシスポイントのROE加算、(2) 特定のサイバーセキュリティ関連支出に対する繰延費用回収、これは電力会社が費用を繰り延べ、未償却分を料金ベースに含めることを可能にする

としていますね。。。

背景となる制度をよく理解していないのですが、

・こういう料金計算に影響させるというインセンティブがある

・サイバーセキュリティ脅威情報共有プログラムに参加するというのがインセンティブの対象となる

というのが興味深いですね。。。

 

Federal Energy Regulatory Commission

・2022.09.22 Staff Presentation | Notice of Proposed Rulemaking Regarding Cybersecurity

Staff Presentation | Notice of Proposed Rulemaking Regarding Cybersecurity スタッフプレゼンテーション|サイバーセキュリティに関する提案型規則制定通知書
Item E-1 is a draft Notice of Proposed Rulemaking, or NOPR, that would revise the Commission’s regulations to provide incentive-based rate treatments for the transmission of electric energy in interstate commerce and the sale of electric energy at wholesale in interstate commerce by utilities for the purpose of benefitting consumers by encouraging:  (1) investments by utilities in advanced cybersecurity technology; and (2) participation by utilities in cybersecurity threat information sharing programs.  By issuing this NOPR, the Commission is taking steps to implement section 40123 of the Infrastructure Investment and Jobs Act of 2021, which calls for a final rule by May 2023.    項目E-1は、NOPR(Notice of Proposed Rulemaking)のドラフトで、次のことを奨励することによって消費者に利益をもたらす目的で、公益事業者による州際通商での電気エネルギーの伝送および州際通商での電気エネルギーの卸売販売について、インセンティブに基づく料金処理を規定するために委員会の規則を改訂するものである: (1) 高度なサイバーセキュリティ技術への公益事業者による投資 (2) サイバーセキュリティ脅威情報共有プログラムへの公益事業者による参加。  本NOPRの発行により、委員会は、2023年5月までに最終規則を策定するよう求めている2021年インフラ投資雇用法第40123条を実施するための措置を講じることになる。   
First, under the draft NOPR incentive-eligible cybersecurity expenditures must: (1) materially improve cybersecurity through either an investment in advanced cybersecurity technology or participation in cybersecurity threat information sharing programs; and (2) not already be mandated by Critical Infrastructure Protection (CIP) Reliability Standards, or local, state, or federal law.  Further, the draft NOPR proposes to use a list of pre-qualified investments to identify the types of cybersecurity expenditures that the Commission may find eligible for an incentive.  The draft NOPR also seeks comment on use of a case-by-case approach to incentive requests. まず、NOPR案では、インセンティブに該当するサイバーセキュリティ関連の支出は、以下の要件を満たす必要がある。(1) 高度なサイバーセキュリティ技術への投資またはサイバーセキュリティ脅威情報共有プログラムへの参加によりサイバーセキュリティを実質的に改善すること、および (2) 重要インフラ保護(CIP)信頼性基準、または地方・州・連邦法であるでに義務付けられていないこと。  さらに、NOPR案は、委員会が奨励金の対象として認める可能性のあるサイバーセキュリティ関連の支出を特定するために、事前に適格とされた投資のリストを使用することを提案している。  また、NOPR案は、インセンティブ要請に対してケースバイケースのアプローチを採用することについてもコメントを求めている。
Second, the draft NOPR proposes two potential incentives: (1) a return on equity adder of 200 basis points for eligible cybersecurity investments; and (2) deferred cost recovery for certain cybersecurity-related expenditures that enables utilities to defer expenses and include the unamortized portion in rate base.  The NOPR proposes that certain incentives would be subject to sunset provisions.   (1) 適格なサイバーセキュリティ投資に対する200ベーシスポイントのROE加算、(2) 特定のサイバーセキュリティ関連支出に対する繰延費用回収、これは電力会社が費用を繰り延べ、未償却分を料金ベースに含めることを可能にするものである。  NOPR では、特定のインセンティブに期限を設けることを提案している。 
Finally, the draft NOPR proposes that a utility that has received cybersecurity incentives proposed in this draft NOPR must make an annual informational filing on June 1, provided that the utility has received Commission approval for the incentive at least 60 days prior to June 1 of that year.  The annual informational filing should describe the specific investments, if any, as of that date. 最後に、本NOPRで提案されたサイバーセキュリティインセンティブを受けた電力会社は、その年の6月1日の60日前までに委員会の承認を得ていれば、6月1日に年次報告書を提出する必要があることを提案している。  年次報告書には、その日時点での具体的な投資内容(もしあれば)を記載しなければならない。
In the draft NOPR, the Commission also terminates its earlier cybersecurity incentives rulemaking in Docket No. RM21-3. このNOPR案では、Docket No.RM21-3で行われたサイバーセキュリティインセンティブのルールメイキングも終了している。
Initial comments are due 30 days, and reply comments 45 days, after the date of publication in the Federal Register. 意見提出期限は、連邦官報公示日から30日、回答期限は45日である。

 

・[PDF] Incentives for Advanced Cybersecurity Investment; Cybersecurity Incentives
 

20221004-42329

 

目次...

I. Introduction I. はじめに
II. Background II. 背景
A. Infrastructure Investment and Jobs Act of 2021 A. 2021年インフラ投資・雇用法
B. Prior Commission Action on Cybersecurity Incentives B. サイバーセキュリティインセンティブに関する委員会の先行措置
C. Advanced Cybersecurity Technology and Information C. 先進的なサイバーセキュリティ技術・情報
1. Advanced Cybersecurity Technology 1. 先進的なサイバーセキュリティ技術
2. Advanced Cybersecurity Technology Information 2. 先進的なサイバーセキュリティ技術情報
D. Cybersecurity Threat Information Sharing Programs D. サイバーセキュリティ脅威の情報共有プログラム
III. Discussion III. 議論
A. Proposed Approaches to Request an Incentive A. インセンティブを要求するための提案されたアプローチ
1. Eligibility Criteria 1. 適格性基準
2. Proposed Approaches for Evaluating Cybersecurity Expenditure Eligibility 2. サイバーセキュリティへの支出適格性を評価するための提案されたアプローチ
B. Proposed Rate Incentives B. レートインセンティブの提案
1. ROE Adder 1. ROE加算
2. Deferral of Certain Cybersecurity Expenses for Rate Recovery 2. 特定のサイバーセキュリティ費用の料金回収の繰延べ
3. Performance-Based Rates 3. パフォーマンス・ベース・レート
C. Proposed Incentive Implementation C. インセンティブ導入案

 

・[DOCX] 仮訳

 

 

| | Comments (0)

2022.10.03

米国 2022年顔認識法案

こんにちは、丸山満彦です。

毎年数多くの法案が提出される米国で、顔認識法案がカリフォルニア州選出のリュー下院議員(民主党)達から提出されたようですね。米国では、データプライバシー保護法 (ADPPA)案が検討されていますね。。。

 

Ted Liue

提出された法案です。。。

・2022.09.29 [PDF] Facial Recognition Act of 2022

20221003-61037

 

その概要。。。

・[PDF] Facial Recognition Act of 2022

20221003-61222

Facial Recognition Act of 2022 2022年認識法
Problem: Facial recognition technology (FRT) is one of the most powerful surveillance tools ever created. Law enforcement agencies throughout the country use the technology to fight crime, but a general lack of transparency, accountability, and strong limits on its use threatens Americans’ civil liberties. Local police have employed FRT to identify lawful peaceful protestors. Law enforcement has also regularly deployed the invasive, sometimes flawed technology to investigate minor crimes like shoplifting $12 worth of goods. The algorithms themselves still suffer from discriminatory bias: a federal study showed people of color are far more likely to be misidentified. Moreover, despite disclosure of investigative practices being a constitutionally protected right, FRT use is often hidden from defendants.  問題点:顔認識技術(FRT)は、これまでに作られた最も強力な監視ツールの1つである。全米の法執行機関は犯罪と戦うためにこの技術を使用しているが、透明性、説明責任、そして使用に対する強い制限の欠如は、米国市民の自由を脅かしている。地元警察は、合法的な平和的抗議者を識別するためにFRTを採用している。また、12ドル相当の商品を万引きしたような軽微な犯罪の捜査にも、この侵襲的で、時には欠陥のある技術を定期的に導入している。連邦政府の調査によると、有色人種は誤認される可能性が非常に高いことが分かっている。さらに、捜査手法の開示は憲法で保護された権利であるにもかかわらず、FRTの使用はしばしば被告人に隠されている。
Solution: We need to build robust safeguards that provide transparency to the American people, prevent discriminatory algorithms, ensure defendants are protected with due process rights, and limit the use of the technology to only necessary cases. The Facial Recognition Act of 2022:  解決策 アメリカ国民に透明性を提供し、差別的なアルゴリズムを防ぎ、被告人が適正手続きの権利で保護されることを保証し、技術の使用を必要なケースのみに限定する強固なセーフガードを構築する必要があります。2022年の顔認識法は、
Places strong limits and prohibitions on law enforcement use of FRT 法執行機関による顔認識技術の使用に強い制限と禁止を設ける。
·        Limits law enforcement use of FRT to situations when a warrant is obtained that shows probable cause that an individual committed a serious violent felony. ・ 法執行機関による顔認識技術の利用を,個人が重大な暴力的重罪を犯したという相当な根拠を示す令状が得られた場合に限定する。
·        Prohibits law enforcement from using FRT to create a record documenting how an individual expresses rights guaranteed by the Constitution, e.g. lawfully protesting.  ・ 個人が憲法で保証された権利,例えば合法的に抗議することを表現する方法を文書化するために,法執行機関が顔認識技術を使用することを禁止する。
·        Prohibits an FRT match from being the sole basis upon which probable cause can be established for a search, arrest, or other law enforcement action. ・ 顔認識技術の一致が,捜索,逮捕,または他の法執行行為のための正当な理由を確立するための唯一の根拠となることを禁止する。
·        Prohibits law enforcement use of FRT to enforce immigration laws. ・ 移民法を執行するための 顔認識技術 の法執行使用を禁止する。
·        Bans the use of FRT in conjunction with databases that contain illegitimately obtained information and body cameras, dashboard cameras, and aircraft cameras. ・ 違法に入手された情報を含むデータベースや,ボディカメラ,ダッシュボードカメラ,航空機カ メラと連携して 顔認識技術 を使用することを禁止する。
·        Bans the use of FRT to track individuals with live or stored video footage. ・ ライブまたは保存されたビデオ映像で個人を追跡するために顔認識技術を使用することを禁止する。
·        Ensures that nothing in the bill preempts state or local governments from FRT bans or moratoriums.   ・ 法案のいかなる部分も,州または地方政府の顔認識技術禁止またはモラトリアムを先取りしないことを保証する。
Provides transparency to individuals and protects defendants’ rights 個人に透明性を与え、被告の権利を保護する。
·        Establishes a private right of action for individuals harmed by the use of FRT.  ・ 顔認識技術の使用によって損害を受けた個人のための私的な訴えを確立する。
·        Requires law enforcement to provide notice to individuals who are subjects of an FRT search and a copy of the court order and/or other key data points.  ・ 法執行機関に対し,顔認識技術検索の対象となる個人への通知,裁判所命令の写し,および/またはその他の重要なデータを提供することを義務付ける。
·        Requires law enforcement to purge the photos of individuals who are younger than 18, were released without charge, had charges dismissed, or were acquitted of the charged offense from FRT arrest photo databases every six months. - 法執行機関に対し、18歳未満、無罪放免、告訴棄却、または起訴された犯罪の無罪となった個人の写真を6ヶ月ごとに顔認識技術逮捕写真データベースから削除することを要求する。
Ensures annual assessments and reporting on law enforcement use of FRT 法執行機関の顔認識技術の使用に関する年次評価と報告を確保する。
·        Requires regular auditing of FRT systems used by law enforcement agencies and suspensions for agencies that fail audits. ・ 法執行機関が使用する顔認識技術システムの定期的な監査と,監査に失敗した機関に対する停止を要求する。
·        Requires annual, independent testing of any FRT system that law enforcement employs.  ・ 法執行機関が採用するあらゆる 顔認識技術 システムの年次独立試験を要求する。
·        Requires detailed FRT judicial and prosecutorial reporting as well as data collection. ・ 詳細な 顔認識技術 の司法と検察の報告,およびデータ収集を要求する。

 

発表

・2022.09.29 Op-Ed: Facial recognition technology victimizes people of color. It must be regulated

Op-Ed: Facial recognition technology victimizes people of color. It must be regulated 顔認識技術は有色人種を犠牲にする。規制されなければならない
Last year, the House Judiciary Subcommittee heard a harrowing, but increasingly common, story of injustice. Robert Williams, a Black man, was arrested in 2020 for stealing watches from a store in Detroit. But even though he hadn’t been in that store in several years, police took him away in a squad car in front of his two young daughters. He was held in custody for more than 30 hours for a crime he didn’t commit. 昨年、下院司法小委員会では、悲惨な、しかしますます多くなっている不正の話を聞いた。黒人男性のロバート・ウィリアムズは、2020年にデトロイトの店から時計を盗んだとして逮捕された。しかし、彼が数年ぶりにその店に来たにもかかわらず、警察は幼い娘2人の目の前で彼をパトカーで連行した。彼はやってもいない犯罪のために30時間以上拘束された。
Law enforcement identifying the wrong suspect isn’t new. What is new is how police make these kinds of mistakes. In Williams’ case, the Detroit Police Department used Michigan State Police’s facial recognition program to identify a suspect from a grainy surveillance image. The technology used Michigan’s database of driver’s license photos to land on Williams as a possible match — a high-tech mistake with grave human consequences. It is essential that a federal law is created to help prevent these kinds of mistakes by law enforcement. 法執行機関が間違った容疑者を特定するのは新しいことではない。新しいのは、警察がどのようにこの種の誤りを犯すかということだ。ウィリアムズの場合、デトロイト市警はミシガン州警察の顔認識プログラムを使って、監視カメラの粗い画像から容疑者を特定した。この技術は、ミシガン州の運転免許証の写真のデータベースを使って、ウィリアムズを一致させる可能性があると判断した。法執行機関によるこの種のミスを防ぐための連邦法の制定が不可欠である。
The powerful surveillance tools that were used against Williams are up to 100 times more likely to misidentify Asian and Black people compared with white men, according to a 2019 National Institute of Standards and Technology study. False positive rates are also elevated in South Asian, Central American and Native American people. Facial recognition technology (FRT), in addition to its algorithmic biases, can — and has — been used by law enforcement to identify peaceful protesters, investigate minor offenses and arrest people with no evidence of guilt other than a single FRT match. As a result, there is an ever-growing list of people, particularly those of color, who have been victims of this flawed, unregulated surveillance system. 2019年の国立標準技術研究所の研究によると、ウィリアムズに対して使われた強力な監視ツールは、白人男性に比べてアジア人と黒人を誤認する確率が最大で100倍も高い。また、南アジア、中央アメリカ、ネイティブアメリカンの人々でも誤認識率は高くなる。顔認識技術(FRT)は、そのアルゴリズムのバイアスに加え、法執行機関によって、平和的な抗議者の特定、軽微な犯罪の捜査、FRTの1回の一致以外に有罪の証拠がない人々の逮捕に使われることがあり、これまでもそうでした。その結果、この欠陥のある、規制されていない監視システムの犠牲となった人々、特に有色人種の人々のリストは増え続けている。
Even with clear documentation of how inaccurate facial recognition technology can be, its use continues to grow. After telling his story, Robert Williams called for a moratorium on the use of FRT, which understandably reflects his experience. I agree that broad use of facial recognition technology should be outlawed. I find it ripe for abuse and as an Asian American, I am aware that people who look like me are far more likely to be victims of incorrect matches. 顔認識技術がいかに不正確であるかを示す明確な文書があるにもかかわらず、その使用は増え続けているのだ。ロバート・ウィリアムズは、自身の体験を語った後、顔認識技術の使用を一時停止するよう求めたが、これは彼の経験を反映したものであると理解できる。私は、顔認識技術の広範な利用を禁止することに同意します。アジア系アメリカ人として、私に似た人々が不正確な照合の犠牲者になる可能性がはるかに高いことを認識しているからである。
Yet, despite efforts by advocates and advocacy groups, a federal moratorium hasn’t materialized. Ultimately, we need a workable federal solution with broad backing, and we have the bill to get us there. Rather than an outright ban, the legislation Reps. Jimmy Gomez (D-Los Angeles), Sheila Jackson Lee (D-TX), Yvette Clark (D-NY) and I are sponsoring takes a nuanced approach to the technology, allowing law enforcement use in limited circumstances while ensuring civil liberties are protected. しかし、擁護者や支援団体の努力にもかかわらず、連邦政府のモラトリアムは実現されていない。最終的には、幅広い支持を得られる実行可能な連邦政府の解決策が必要であり、私たちはそのための法案を手に入れた。この法案は、全面的な禁止ではなく、ロサンゼルス在住のジミー・ゴメス議員(民主党、ロサンゼルス市選出)が作成したものである。Jimmy Gomez(ロサンゼルス選出)、Sheila Jackson Lee(テキサス選出)、Yvette Clark(ニューヨーク選出)と私が提案する法案は、全面禁止ではなく、この技術に対して微妙なアプローチをとり、市民の自由を保護しつつ、限られた状況での法執行機関の利用を許可するものである。
The Facial Recognition Act limits FRT use and protects Americans from extreme and unethical uses of this technology. The bill limits law enforcement uses to situations where a warrant shows probable cause that an individual committed a serious violent felony. Additionally, it prohibits law enforcement agencies from using FRT at protests and other constitutionally protected activities and bans them from using the technology in conjunction with body, dashboard and aircraft camera footage. This bill has the backing of a broad coalition, from government oversight organizations and civil liberties groups to retired law enforcement officers and legal scholars. 顔認識法は、顔認識技術の使用を制限し、この技術の極端で非倫理的な使用から米国人を保護するものである。この法案では、法執行機関の使用を、個人が重大な暴力的重罪を犯したという正当な理由が令状によって示される場合に限定している。さらに、法執行機関が抗議活動やその他の憲法で保護された活動で顔認識技術を使用することを禁止し、ボディ、ダッシュボード、航空機のカメラ映像と併せてこの技術を使用することを禁止している。この法案は、政府監督機関や市民的自由を求める団体から、引退した法執行官や法学者まで、幅広い連合から支持されている。
The Facial Recognition Act would prohibit a match from being the sole evidence that establishes probable cause for an arrest — a significant safeguard to prevent innocent people from being swept up in criminal investigations. By requiring all FRT used by law enforcement across the nation to meet a set of uniform standards, the bill can ensure that the accuracy of results won’t vary so egregiously depending on an individual’s skin color. 顔認識法は、顔照合が逮捕の正当な理由を立証する唯一の証拠となることを禁止するもので、無実の人々が犯罪捜査に巻き込まれることを防ぐ重要な保護措置となる。この法案では、全米の警察が使用するすべての顔認識技術に統一された基準を要求することで、個人の肌の色によって結果の精度が極端に異なることがないようにすることができる。
Some advocates for a complete ban on FRT might say this approach doesn’t go far enough — that anything short of a federal ban is a failure to rein in a flawed technology. I respect that view, but I’m concerned about what happens as years pass without any common-sense limits on FRT. There has been momentum at the state and local level: More than a dozen states have enacted laws regulating how law enforcement uses FRT. That’s a great start, but a piecemeal approach doesn’t keep all citizens safe from misidentification. This bill creates baseline protections for all Americans while still enabling state and local jurisdictions to move forward with bans and moratoriums. 顔認識技術の全面禁止を主張する人たちの中には、このやり方では不十分だ、連邦政府が禁止しない限り、欠陥のある技術を抑制することができない、と言う人もいるかもしれない。しかし、このままでは、何年経っても顔認識技術の普及はおぼつかない。州や自治体レベルでは、その機運が高まっている。 12以上の州が、法執行機関が顔認識技術をどのように使用するかを規制する法律を制定している。これは素晴らしいスタートですが、断片的なアプローチでは、すべての市民を誤認識から安全に保つことはできません。この法案は、すべてのアメリカ人のための基本的な保護を作成する一方で、州や地方の管轄区域が禁止やモラトリアムを前進させることを可能にするものである。
Every year, more law enforcement agencies across the country are expanding their use of facial recognition technologies. The Government Accountability Office reported that as of July 2021, of 42 federal agencies surveyed, 20 are using it as part of their law enforcement efforts. Additionally, state and local jurisdictions are increasing their reliance on FRT. If we let the perfect be the enemy of the good, we’ll continue to be bystanders while more Americans become victims of this technology‘s flaws. 毎年、全米でより多くの法執行機関が顔認識技術の利用を拡大している。 政府説明責任局は、2021年7月現在、調査対象となった42の連邦機関のうち、20機関が法執行の一環として使用していると報告している。さらに、州や地方の司法当局も顔認識技術への依存度を高めている。もし、完璧を良しとしないのであれば、私たちは傍観者であり続け、より多くのアメリカ人がこの技術の欠陥の犠牲になることになるだろう。
We need something that can work — and something that civil liberties groups and law enforcement can support. The Facial Recognition Act is an approach we can build on, and one that would prevent what happened to Robert Williams from happening to others. 私たちは、市民的自由を守る団体や法執行機関が支持できるような、うまく機能するものを必要としている。顔認識法は、私たちが構築できるアプローチであり、ロバート・ウィリアムズに起こったことが他の人にも起こらないようにするためのものである。
Ted Lieu, a Democrat, represents California’s 33rd Congressional District テッド・リュー(民主党、カリフォルニア州第33選挙区代表

 


 

まるちゃんの情報セキュリティ気まぐれ日記

データプライバシー保護法関係

・2022.08.17 米国 連邦取引委員会 (FTC) 商用監視と緩いデータ・セキュリティ慣行を取り締まる規則の検討 (2022.08.11)

・2022.07.22 米国 データプライバシー保護法 (ADPPA) はどうなるか

 

顔認識関係

NSA関係

・2022.07.12 米国 国土安全保障省検査局 米国税関・国境警備局は空港での国際線旅行者の識別のために顔認識のポリシーを遵守している (2022.07.07)

 

米国GAO関係

・2022.07.10 米国 GAO 顔認識技術:連邦政府機関の利用と関連するプライバシー保護 (2022.06.29)

・2022.04.30 米国 GAO ブログ 人工知能は国家安全保障をどう変えるか (2022.04.19)

・2021.08.27 米国 GAO 顔認識技術:連邦政府機関による現在および計画中の使用方法

・2021.07.15 米国GAO 顔認識技術について連邦法執行機関はプライバシーやその他のリスクをより適切に評価する必要がある at 2021.06.03

 

日本での犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.06.24 個人情報保護委員会 第5回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.05.25 個人情報保護委員会 第4回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.04.17 個人情報保護委員会 第3回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.03.16 個人情報保護委員会 第2回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.02.01 個人情報保護委員会 第1回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2021.12.25 個人情報保護委員会 犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会の設置

 

欧州AI規制法案

・2021.12.05 欧州理事会 AI法改正案を欧州議会に提出

・2021.08.08 EU議会 BRIEFING 人工知能法 at 2021.07.26

・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね

英情報コミッショナー意見書「公共の場所でのライブ顔認証技術の使用」

・2021.06.20 英国 情報コミッショナー 公共の場でのライブ顔認識技術の使用に関するプライバシーの懸念


欧州評議会 顔認証に関するガイドライン (Guidelines on Facial Recognition)

・2021.01.30 欧州評議会 108号条約委員会が「顔認識に関するガイドライン」を採択しましたね。。。

Faicial Recognition

・2022.07.12 米国 国土安全保障省検査局 米国税関・国境警備局は空港での国際線旅行者の識別のために顔認識のポリシーを遵守している (2022.07.07)

・2022.05.30 英国 情報コミッショナー 顔認識データベース会社Clearview AI Incに750万ポンド以上の罰金を科し、英国人のデータの削除を命じた

・2022.05.20 欧州データ保護委員会 (EDPB) 意見募集「法執行分野における顔認識技術の使用に関するガイドライン」

・2022.05.15 カナダ プライバシーコミッショナー室 プライバシーに関する戦略的優先事項とそこから生まれたテーマと見解

・2022.04.30 米国 GAO ブログ 人工知能は国家安全保障をどう変えるか (2022.04.19)

・2022.01.21 ENISA デジタル・アイデンティティ攻撃に注意:あなたの顔が偽装される可能性があります

・2021.12.25 個人情報保護委員会 犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会の設置

・2021.10.17 インターポール、国連地域間犯罪司法研究所、オランダ警察、世界経済会議が「顔認証を責任もって制限するためのポリシーフレームワーク ユースケース:法執行機関の捜査」 at 2021.10.05

・2021.09.29 世界経済フォーラム (WEF) 技術の責任ある利用:IBMをケースにした研究

・2021.09.27 欧州委員会 職場での電子モニタリングと監視 (Electronic Monitoring and Surveillance in the Workplace)

・2021.09.10 EU議会 提言 バイオメトリクス認識と行動検知

・2021.08.28 中国 意見募集 国家サイバースペース管理局 「インターネット情報サービスのアルゴリズムによる推奨に関する管理規定」

・2021.08.27 米国 GAO 顔認識技術:連邦政府機関による現在および計画中の使用方法

・2021.08.20 英国 意見募集 監視カメラ実施規範改訂案 by 監視カメラコミッショナー at 2021.08.13

・2021.08.11 EU議会 STUDY バイオメトリクス認識と行動検知

・2021.08.10 EU議会 STUDY ヨーロッパの政策におけるディープフェイクへの取り組み at 2021.07.30

・2021.08.08 EU議会 BRIEFING スマートシティとアーバンモビリティにおける人工知能 at 2021.07.23

・2021.08.07 総務省 AIネットワーク社会推進会議 「報告書2021」の公表

・2021.08.07 Atlantic Council AIとデータ倫理におけるコミットメントからコンテンツへの移行:正義と説明可能性

・2021.08.04 中国 通信院 信頼できる人工知能についての白書 at 2021.07.09

・2021.08.03 中国 最高人民法院 「民事案件における顔識別技術の使用に関する司法解釈」

・2021.07.15 米国GAO 顔認識技術について連邦法執行機関はプライバシーやその他のリスクをより適切に評価する必要がある at 2021.06.03

・2021.07.12 ニューヨーク市 生体情報プライバシー条例が2021.07.09から施行されましたね。。。

・2021.06.30 WHO 保健のための人工知能の倫理とガバナンス

・2021.06.28 EU 外交政策ツールとしての人工知能ガバナンス

・2021.06.23 欧州 EDPBとEDPS 公共の場における人の特徴を自動認識するためのAIの使用、および不当な差別につながる可能性のあるその他のAIの使用の一部を禁止するよう要請

・2021.06.22 欧州保険職業年金局 (EIOPA) 欧州保険セクターにおける倫理的で信頼できるAIガバナンス原則に関するレポートを公表

・2021.06.20 英国 情報コミッショナー 公共の場でのライブ顔認識技術の使用に関するプライバシーの懸念

・2021.06.17 米国上院・下院 顔認識ツールを含む生体情報監視を政府が使用することを禁止する「顔認識および生体認識技術モラトリアム法案」

・2021.06.17 英国政府:データ倫理とイノベーションセンター プライバシーに関するユーザの積極的選択中間報告(スマートフォン)

・2021.06.08 U.S. の公益団体であるEPICが顔認識技術および遠隔生体認識技術の使用禁止を世界的に呼びかけていますね。。。

・2021.05.12 カナダのプライバシーコミッショナーが顔認識技術について議会で見解を述べたようですね。。。

・2021.05.07 ドイツ連邦情報セキュリティ局 (BSI) が「監査可能なAIシステムを目指して - 現状と今後の展望」を公表しています

・2021.05.03 中国 意見募集 顔認識に続けて、歩行認識、音声認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。

・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね

・2021.04.22 ドイツ連邦情報セキュリティ局 (BSI) が安全なAI導入のための対策をまとめていますね。。。

・2021.04.21 U.S. FTC(連邦取引委員会) のブログ 会社でAIを活用する場合は真実、公正、公平を目指そう、という記事がありますね。。。

・2021.03.14 CNIL 乗客のマスク着用率を測定するためのインテリジェントビデオの使用に関する法令についての意見を公表

・2021.02.05 カナダのプライバシーコミッショナーが顔認識ソフトウェアを提供するClearview AIについての声明を出していますね。。。

・2021.01.30 欧州評議会 108号条約委員会が「顔認証に関するガイドライン」を採択しましたね。。。

・2021.01.12 欧州委員会 市民イニシアティブとして「生体認証による大量監視慣行の禁止」を登録

・2021.01.04 ニューヨーク州 知事が学校での顔認識技術の使用を一時停止し、研究を指示する法律に署名 at 2020.12.22

・2020.11.04 カナダプライバシー委員会 Cadillac Fairview社が500万人の顔データを取得していたことに関する報告書(2020.10.28)

・2020.06.26 人間が間違うなら、人間を模倣したAIも間違うんでしょうね。。。

・2020.06.14 IBM, Amazon, Microsoftは顔認証システムを米国の警察には販売しない

・2020.05.01 (人工知能 AI)ブラックボックスの検証:アルゴリズムシステムを評価するためのツール - アルゴリズムの監査・影響評価のための共通言語の特定

・2020.03.26 JVNVU#99619336 勾配降下法を使用する機械学習モデルに、誤った識別をさせるような入力を作成することが可能な問題

・2020.03.04 FIRST EVER DECISION OF A FRENCH COURT APPLYING GDPR TO FACIAL RECOGNITION

・2020.02.17 遠くからでもわかる顔認識システム!

ぐっと遡って、2000年代

・2009.11.07 世界プライバシー宣言(Global Privacy Standards for a Global World)

・2005.08.11 外務省 IC旅券調査研究報告書

・2005.02.04 監視社会と信頼関係



| | Comments (0)

2022.10.02

NIST SP 800-220 2021年度サイバーセキュリティ・プライバシー年次報告書 (2022.09.26)

こんにちは、丸山満彦です。

今年も、公表されました。。。。サイバーセキュリティおよびプライバシーに関する年次報告書です。。。

NIST - ITL

・2022.09.26 SP 800-220 Fiscal Year 2021 Cybersecurity and Privacy Annual Report

SP 800-220 Fiscal Year 2021 Cybersecurity and Privacy Annual Report SP 800-220 2021年度サイバーセキュリティ・プライバシーに関する年次報告書
Abstract 概要
During Fiscal Year 2021 (FY 2021) – from October 1, 2020, through September 30, 2021 – the NIST Information Technology Laboratory (ITL) Cybersecurity and Privacy Program successfully responded to numerous challenges and opportunities in security and privacy. This annual report highlights the FY 2021 research agenda and activities for the ITL Cybersecurity and Privacy Program, including the ongoing participation and development of international standards; the enhancement of privacy and security risk management models, including those for the protection of controlled unclassified information (CUI), systems engineering and cyber resiliency, supply chains, and mobile technologies; the continued advancement of cryptographic technologies, including updates to Federal Information Processing Standard (FIPS) Publication 140-3, Security Requirements for Cryptographic Modules, and preparation for post-quantum cryptographic methods; and improved infrastructure protection in areas such as zero trust architectures and advanced networking security. NIST maintained a strong focus on supporting small and medium-sized businesses (SMBs), including updates to the Small Business Cybersecurity Corner website to make resources easier to find and use and drawing on contributed cybersecurity resources and feedback received from federal partners and the public. 2021年度(2020年10月1日から2021年9月30日まで)、NIST情報技術研究所(ITL)サイバーセキュリティ・プライバシープログラムは、セキュリティとプライバシーにおける数々の課題と機会への対応に成功した。本年次報告書では、国際標準への継続的な参加と開発を含む、ITLサイバーセキュリティ・プライバシープログラムの2021年度の研究課題と活動内容を紹介する。プライバシーとセキュリティのリスクマネジメントモデルの強化(管理下非機密情報(CUI)の保護、システムエンジニアリングとサイバーレジリエンス、サプライチェーン、モバイル技術など 連邦情報処理規格(FIPS)Publication 140-3「暗号モジュールに対するセキュリティ要件」の更新やポスト量子暗号方式への対応など、暗号技術の継続的な進歩、ゼロトラストアーキテクチャや高度なネットワークセキュリティなどの分野におけるインフラ保護の改善。NISTは、中小企業(SMB)の支援に重点を置き、リソースを見つけやすく、使いやすくするためのSmall Business Cybersecurity Cornerウェブサイトの更新や、連邦政府のパートナーや一般から受け取ったサイバーセキュリティリソースやフィードバックの活用を行った。


・[PDF] SP 800-220

20221001-224958

Foreword 序文
Focus Area 1: Cryptographic Standards and Validation 重点分野 1 : 暗号の標準と検証
Focus Area 2: Cybersecurity Measurement 重点分野 2 : サイバーセキュリティの測定
Focus Area 3: Education and Workforce 重点分野 3 : 教育と労働力
Focus Area 4: Identity and Access Management 重点分野 4 : アイデンティティとアクセス管理
Focus Area 5: Privacy Engineering 重点分野 5 : プライバシーエンジニアリング
Focus Area 6: Risk Management 重点分野 6 : リスクマネジメント
Focus Area 7: Trustworthy Networks 重点分野 7 : 信頼できるネットワーク
Focus Area 8: Trustworthy Platforms 重点分野 8 : 信頼できるプラットフォーム
ITL Leadership and Participation in National and International Standards Programs 国内および国際標準化プログラムにおける ITL のリーダーシップと参加
Opportunities to Engage with the NIST on Cybersecurity and Privacy サイバーセキュリティとプライバシーに関する NIST との連携の機会

 

・[DOCX] 仮訳


 過去のものを横に並べてみると。。。

2021 2020 2019 2018 2017
SP 800-220 SP 800-214
SP 800-211
SP 800-206 
SP 800-203
重点分野 1 : 暗号の標準と検証 サイバーセキュリティの啓発と教育  サイバーセキュリティとプライバシーの標準化の進化 必須事項 1 - サイバーセキュリティとプライバシー基準の推進 国際ITセキュリティ標準へのITLの関与
重点分野 2 : サイバーセキュリティの測定 アイデンティティとアクセス管理 リスク管理の強化 必須事項 2 - リスクマネジメントの強化 リスク管理
重点分野 3 : 教育と労働力 測定基準と測定 暗号標準と検証の強化 必須事項 3 - 暗号の標準と検証の強化 バイオメトリクス標準と関連する適合性評価試験ツール
重点分野 4 : アイデンティティとアクセス管理 リスクマネジメント 先端サイバーセキュリティ研究・応用開発 必須事項 4 - サイバーセキュリティの研究・応用開発の推進 サイバーセキュリティアプリケーション
重点分野 5 : プライバシーエンジニアリング プライバシーエンジニアリング  サイバーセキュリティについての意識向上、トレーニング、教育、人材育成 必須事項 5 - サイバーセキュリティの意識向上、トレーニング、教育、人材開発 ソフトウェアの保証と品質
重点分野 6 : リスクマネジメント 新規技術 アイデンティティとアクセス管理の強化 必須事項 6 - アイデンティティとアクセス管理の強化 連邦サイバーセキュリティ調査研究
重点分野 7 : 信頼できるネットワーク 暗号の標準化と検証 通信・インフラ保護の強化 必須事項 7 - インフラストラクチャの保護強化  コンピュータ・フォレンジック
重点分野 8 : 信頼できるプラットフォーム 信頼性の高いネットワーク 新技術の確保 必須事項 8 - 新規技術の保護 サイバーセキュリティに関する知識・訓練・教育・アウトリーチ
  信頼性の高いプラットフォーム セキュリティテストと測定ツールの進化 必須事項 9 - セキュリティのテストと測定ツールの推進 暗号標準化プログラム
        バリデーションプログラム
        ID ・アクセス管理
        新規技術の研究
        ナショナル・サイバーセキュリティ・センター・オブ・エクセレンス (NCCoE)
        インターネットインフラ保護
        高度なセキュリティ試験と測定
        技術的な安全性の指標
        利便性とセキュリティ

 


過去分

 

・2021.09.28 SP 800-214 2020 Cybersecurity and Privacy Annual Report

・[PDF] SP 800-214

1 Cybersecurity Awareness and Education  サイバーセキュリティの啓発と教育 
2 Identity and Access Management アイデンティティとアクセス管理
3 Metrics and Measurement 測定基準と測定
4 Risk Management リスクマネジメント
5 Privacy Engineering  プライバシーエンジニアリング 
6 Emerging Technologies 新規技術
7 Cryptographic Standards and Validation 暗号の標準化と検証
8 Trustworthy Networks 信頼性の高いネットワーク
9 Trustworthy Platforms 信頼性の高いプラットフォーム

 

・2020.08.24 SP 800-211 2019 NIST / ITL Cyber​​security Program Annual Report

・[PDF] SP 800-211

1 Advancing Cybersecurity and Privacy Standards サイバーセキュリティとプライバシーの標準化の進化
2 Enhancing Risk Management リスク管理の強化
3 Strengthening Cryptographic Standards and Validation 暗号標準と検証の強化
4 Advanced Cybersecurity Research & Applications Development 先端サイバーセキュリティ研究・応用開発
5 Improving Cybersecurity Awareness, Training, and Education and Workforce Development サイバーセキュリティについての意識向上、トレーニング、教育、人材育成
6 Enhancing Identity and Access Management アイデンティティとアクセス管理の強化
7 Bolstering Communications and Infrastructure Protection 通信・インフラ保護の強化
8 Securing Emerging Technologies 新技術の確保
9 Advancing Security Test and Measurement Tools セキュリティテストと測定ツールの進化

 

・2020.03.13 SP 800-206 Annual Report 2018: NIST/ITL Cybersecurity Program

・[PDF] SP 800-206 

Introduction はじめに
Imperative 1 – Advancing Cybersecurity and Privacy Standards 必須事項 1 - サイバーセキュリティとプライバシー基準の推進
Imperative 2 – Enhancing Risk Management 必須事項 2 - リスクマネジメントの強化
Imperative 3 – Strengthening Cryptographic Standards and Validation 必須事項 3 - 暗号の標準と検証の強化
Imperative 4 – Advancing Cybersecurity Research and Applications Development 必須事項 4 - サイバーセキュリティの研究・応用開発の推進
Imperative 5 – Improving Cybersecurity Awareness, Training, Education, and Workforce Development 必須事項 5 - サイバーセキュリティの意識向上、トレーニング、教育、人材開発
Imperative 6 – Enhancing Identity and Access Management 必須事項 6 - アイデンティティとアクセス管理の強化
Imperative 7 – Bolstering Infrastructure Protection  必須事項 7 - インフラストラクチャの保護強化 
Imperative 8 – Securing Emerging Technologies 必須事項 8 - 新規技術の保護
Imperative 9 – Advancing Security Test and Measurement Tools 必須事項 9 - セキュリティのテストと測定ツールの推進

 

・2018.07.02 SP 800-203 2017 NIST/ITL Cybersecurity Program Annual Report

・[PDF] SP 800-203

1 ITL INVOLVEMENT WITH INTERNATIONAL IT SECURITY STANDARDS 国際ITセキュリティ標準へのITLの関与
2 RISK MANAGEMENT リスク管理
3 BIOMETRIC STANDARDS AND ASSOCIATED CONFORMITY ASSESSMENT TESTING TOOLS バイオメトリクス標準と関連する適合性評価試験ツール
4 CYBERSECURITY APPLICATIONS サイバーセキュリティアプリケーション
5 SOFTWARE ASSURANCE & QUALITY ソフトウェアの保証と品質
6 FEDERAL CYBERSECURITY RESEARCH AND DEVELOPMENT (R&D) 連邦サイバーセキュリティ調査研究
7 COMPUTER FORENSICS コンピュータ・フォレンジック
8 CYBERSECURITY AWARENESS, TRAINING, EDUCATION, AND OUTREACH サイバーセキュリティに関する知識・訓練・教育・アウトリーチ
9 CRYPTOGRAPHIC STANDARDS PROGRAM 暗号標準化プログラム
10 VALIDATION PROGRAMS バリデーションプログラム
11 IDENTITY AND ACCESS MANAGEMENT ID ・アクセス管理
12 RESEARCH IN EMERGING TECHNOLOGIES 新規技術の研究
13 NATIONAL CYBERSECURITY CENTER OF EXCELLENCE (NCCoE) ナショナル・サイバーセキュリティ・センター・オブ・エクセレンス (NCCoE)
14 INTERNET INFRASTRUCTURE PROTECTION インターネットインフラ保護
15 ADVANCED SECURITY TESTING AND MEASUREMENTS 高度なセキュリティ試験と測定
16 TECHNICAL SECURITY METRICS 技術的な安全性の指標
17 USABILITY AND SECURITY 利便性とセキュリティ

 


まるちゃんの情報セキュリティ気まぐれ日記

・2021.10.01 NIST SP 800-214 2020年サイバーセキュリティとプライバシーの年次報告書

・2020.08.26 NIST/ITLのサイバーセキュリティプログラム年次報告書2019

・2020.03.15 NIST SP 800-206 Annual Report 2018: NIST/ITL Cybersecurity Program

 

 

| | Comments (0)

NISTIR 8413 NIST耐量子暗号標準化プロセス第3ラウンドの現状報告(参考文献の追加)

こんにちは、丸山満彦です。

NISTは、ポスト量子暗号、耐量子暗号の標準化プロセスの第3ラウンドを終了し、公開鍵暗号化および鍵確立アルゴリズムとして、CRYSTALS-KYBER [wikipedia]、電子署名としてCRYSTALS-Dilithium、FALCON、SPHINCS+が標準化される予定とり、代替アルゴリズムの候補として、BIKE、Classic McEliece、HQC、SIKEが選ばれていますが、2022.07.05に公表したNISTIR 8413に記載すべき格子ベース暗号に関する重要な参考文献を失念していたので追加し、影響を受ける参考文献番号を変更したようです(附属書Eとして変更履歴を追加し、記載)。。。

NIST - ITL

・2022.09.29 NISTIR 8413 Status Report on the Third Round of the NIST Post-Quantum Cryptography Standardization Process

NISTIR 8413 Status Report on the Third Round of the NIST Post-Quantum Cryptography Standardization Process NISTIR 8413 NISTポスト量子暗号標準化プロセス第3ラウンドに関する状況報告書
Planning Note (9/29/2022):  This errata update makes a change (described in Appendix E) because NIST inadvertently omitted an important reference when discussing the history of lattice-based cryptography. Two references were added to the publication, which resulted in the renumbering of all subsequent references. These are the only changes from the original document published on July 5, 2022. 計画書メモ(2022/9/29)。  この正誤表更新では、格子ベース暗号の歴史を論じる際に、NISTが不注意により重要な参考文献を省略してしまったため、変更(附属書Eに記載)を行っている。2つの参考文献が追加され、その結果、それ以降のすべての参考文献の番号が変更された。2022 年 7 月 5 日に発行されたオリジナルの文書からの変更点は以上である。
Abstract 概要
The National Institute of Standards and Technology is in the process of selecting publickey cryptographic algorithms through a public, competition-like process. The new publickey cryptography standards will specify additional digital signature, public-key encryption, and key-establishment algorithms to augment Federal Information Processing Standard (FIPS) 186-4, Digital Signature Standard (DSS), as well as NIST Special Publication (SP) 800-56A Revision 3, Recommendation for Pair-Wise Key-Establishment Schemes Using Discrete Logarithm Cryptography, and SP 800-56B Revision 2, Recommendation for Pair-Wise Key Establishment Using Integer Factorization Cryptography. It is intended that these algorithms will be capable of protecting sensitive information well into the foreseeable future, including after the advent of quantum computers. 米国標準技術研究所は、公開された競争のようなプロセスを通じて、公開鍵暗号アルゴリズムを選定しているところである。新しい公開鍵暗号標準は、連邦情報処理標準(FIPS)186-4、デジタル署名標準(DSS)、NIST特別刊行物(SP)800-56A改訂3、離散対数暗号を用いたペアワイズ鍵確立方式の勧告、SP800-56B改訂2、整数因子化暗号を用いたペアワイズ鍵確立の勧告を補強する、デジタル署名、公開鍵暗号化、鍵確立アルゴリズムについて規定する予定である。これらのアルゴリズムは、量子コンピュータの出現後を含め、予見可能な将来にわたって機密情報を保護することが可能であることが意図されている。
This report describes the evaluation and selection process of the NIST Post-Quantum Cryptography Standardization process third-round candidates based on public feedback and internal review. The report summarizes each of the 15 third-round candidate algorithms and identifies those selected for standardization, as well as those that will continue to be evaluated in a fourth round of analysis. The public-key encryption and key-establishment algorithm that will be standardized is CRYSTALS–KYBER. The digital signatures that will be standardized are CRYSTALS–Dilithium, FALCON, and SPHINCS+. While there are multiple signature algorithms selected, NIST recommends CRYSTALS–Dilithium as the primary algorithm to be implemented. In addition, four of the alternate key-establishment candidate algorithms will advance to a fourth round of evaluation: BIKE, Classic McEliece, HQC, and SIKE. These candidates are still being considered for future standardization. NIST will also issue a new Call for Proposals for public-key digital signature algorithms to augment and diversify its signature portfolio. 本報告書は、NISTのポスト量子暗号標準化プロセス3次候補について、一般からのフィードバックと内部レビューに基づく評価と選定過程を記述したものである。本報告書では、3ラウンド目の候補となった15のアルゴリズムそれぞれを要約し、標準化に選定されたものと、4ラウンド目の分析で引き続き評価されるものを特定している。標準化される公開鍵暗号化および鍵確立アルゴリズムは、CRYSTALS-KYBERです。電子署名はCRYSTALS-Dilithium、FALCON、SPHINCS+が標準化される予定である。複数の署名アルゴリズムが選択されているが、NISTはCRYSTALS-Dilithiumを実装すべき主要なアルゴリズムとして推奨している。さらに、代替鍵確立候補アルゴリズムのうち4つが第4ラウンドの評価に進むことになった。BIKE、Classic McEliece、HQC、およびSIKEである。これらの候補は、将来の標準化に向けてまだ検討されている。NISTはまた、署名のポートフォリオを増強し多様化するために、公開鍵電子署名アルゴリズムの新たな提案募集を行う予定である。

 

・[PDF]  NISTIR 8413

20221002-62234

 

変更履歴、、、

E. Change Log E. 変更履歴
The errata update of 09-26-2022 incorporated the following changes: 2022年9月26日の正誤表では、以下の変更を行った。
• In Section 3.2.3, we changed the paragraph ・ セクション 3.2.3 において、以下の段落を変更した。
Miccancio [149] introduced a ring-based analogue of Ajtai’s SIS problem in 2002. A ring-based analogue of LWE (and an associated publickey encryption scheme) was introduced by Lyubashevsky, Peikert, and Regev [152] in 2010. Further, an algebraically-structured (and in particular, module-based) formulation of SIS/LWE-type problems – which can be syntactically viewed as interpolating between the original integer-based presentation and the later polynomial-ring-based presentations – was first introduced by Brakerski, Gentry, and Vaikuntanathan [153] in 2011 under the name General Learning With Errors. Miccancio [149]は2002年にAjtaiのSIS問題のリングベースのアナログを紹介した。また、2010年にLyubashevsky, Peikert, and Regev [152]によってLWE(と関連する公開鍵暗号化方式)のリングベースのアナログが発表された。さらに、SIS/LWE型問題の代数的構造化(特にモジュールベース)定式化-これは、構文的には、元の整数ベースの提示と後の多項式リングベースの提示の間を補間すると見ることができる-が、2011年にBrakerski、Gentry、Vaikuntanathan [153] によってGeneral Learning With Errorsという名称で初めて導入された。
to 変更後
Miccancio [149] introduced a ring-based analogue of Ajtai’s SIS problem in 2002. A search variant of ring-based LWE (and an associated publickey encryption scheme, relying on the Goldreich-Levin hardcore function [150]) was introduced by Stehle, Steinfeld, Tanaka, and Xagawa [151] in 2009. A decisional variant of Ring-LWE with associated public-key encryption scheme (and an associated search-to-decision reduction) was introduced by Lyubashevsky, Peikert, and Regev [152] in 2010. Further, an algebraically-structured (and in particular, module-based) formulation of SIS/LWE-type problems – which can be syntactically viewed as interpolating between the original integer-based presentation and the later polynomial-ring-based presentations – was first introduced by Brakerski, Gentry, and Vaikuntanathan [153] in 2011 under the name General Learning With Errors. Miccancio [149]は2002年にAjtaiのSIS問題のリングベースのアナログを紹介した。リングベースLWEの探索変種(および、ゴールドライヒ・レビンのハードコア関数に依存する関連公開鍵暗号化方式[150])は、2009年にStehle, Steinfeld, Tanaka, and Xagawa [151] によって紹介されました。2010年には、Lyubashevsky, Peikert, and Regev [152]によって、公開鍵暗号化方式を含むRing-LWEの決定版(および探索から決定への削減)が発表されました。さらに、SIS/LWEタイプの問題の代数的構造化(特にモジュールベース)の定式化は、構文的には元の整数ベースの表現と後の多項式リングベースの表現の間を補間すると見ることができ、2011年にBrakerski、Gentry、Vaikuntanathan [153] によって General Learning With Errors という名前で初めて導入された。
The change was made because NIST inadvertently omitted an important reference when discussing the history of lattice-based cryptography. この変更は、NISTが格子暗号の歴史を論じる際に、重要な文献を不注意により省略してしまったために行われたものである。
• References [150] and [151] were added as a result of the amended text. All subsequent references were re-numbered. ・ 参考文献[150]と[151]は、修正されたテキストの結果として追加された。それ以降の文献はすべて番号が変更された。

 


まるちゃんの情報セキュリティ気まぐれ日記

前回発表時...

・2022.07.07 NISTIR 8413 NIST耐量子暗号標準化プロセス第3ラウンドの現状報告

 

post-quantum cryptographic関係

・2022.05.05 米国 国家量子推進諮問委員会の強化に関する大統領令

・2022.03.05 NATO サイバーセキュリティセンター 量子コンピュータの攻撃に耐えられるセキュアネットワークの実験に成功

・2021.12.20 ドイツ BSI 量子セキュア暗号の現状に関するガイドライン

・2021.10.26 Cloud Security Alliance 量子後の世界への実践的な備え at 2021.10.19

・2021.10.06 米国 DHS CISA 量子コンピューティングの進展に伴うセキュリティリスクを軽減するためのガイダンス

・2021.05.21 NIST White Paper ドラフト データ格付の実践:データ中心のセキュリティ管理の促進

・2021.04.29 NIST White Paper ポスト量子暗号への備え:ポスト量子暗号アルゴリズムの採用と使用に関連する課題の調査

・2021.02.10 ENISA 暗号に関する2つの報告書 「ポスト量子暗号:現状と量子緩和」と「暗号資産:デジタル通貨と分散型台帳技術の概要」

・2020.08.26 NIST/ITLのサイバーセキュリティプログラム年次報告書2019

 

| | Comments (0)

2022.10.01

国防総省 監察官室 国防総省内部関係者脅威管理・分析センターへの国防総省構成機関の内部関係者の脅威報告に関する監査

こんにちは、丸山満彦です。

国防総省監察官室が、「国防総省内部関係者脅威管理・分析センターへの国防総省構成機関の内部関係者の脅威報告に関する監査」を公表しています。国防総省の内部監査報告書です。一部黒塗り...

インサイダー(内部関係者)、つまり正当な権限を持っている者による、ある意味裏切り行為によるリスクをどうするか?これは難しい問題です。情報漏洩の文脈でここでは述べられていますが、財産的価値に対する内部関係者のリスクについても同じようなものかもしれないと思っています。いわゆる内部不正対策です。いろんな組織で同じ問題があるのでしょう。

 

Department of Defense Office of Inspector General

・2022.09.28 Audit of the DoD Component Insider Threat Reporting to the DoD Insider Threat Management and Analysis Center (DODIG-2022-141)

Audit of the DoD Component Insider Threat Reporting to the DoD Insider Threat Management and Analysis Center
(DODIG-2022-141) 
国防総省内部関係者脅威管理・分析センターへの国防総省構成機関の内部関係者の脅威報告に関する監査
(DODIG-2022-141) 
Publicly Released: September 30, 2022 2022年9月30日公開
Objective 目的
The objective of this audit was to determine whether DoD Components reported insider threat incidents to the DoD Insider Threat Management and Analysis Center (DITMAC) in accordance with DoD guidance. この監査の目的は、国防総省コンポーネントが国防総省の指針に従って国防総省内部脅威管理・分析センター(DITMAC) に内部脅威事件を報告したかどうかを判断することである。
Background 背景
DoD Directive 5205.16 defines a DoD insider as any person (DoD personnel, contractors, and other non‑DoD individuals) to whom the DoD has, or once had, granted eligibility for access to classified information or to hold a sensitive position. The Directive defines an insider threat as a threat that insiders pose to the DoD and Federal Government installations, facilities, personnel, missions, and resources, that can result in damage to the United States through espionage, terrorism, and unauthorized disclosure of national security information. The FY 2017 National Defense Authorization Act revised the definition of a DoD insider (also known as a covered person) to include any person who has, or once had, authorized access to DoD information, facilities, networks, or other resources. According to DoD officials, DoD Directive 5205.16 is being updated to reflect the revised definition of a DoD insider. 国防総省指令 5205.16 は、国防総省の内部関係者を、国防総省が機密情報へのアクセスや機密職への就任資格を与えている、あるいはかつて与えていたあらゆる人物(国防総省職員、契約業者、その他の非国防総省個人) であると定義している。同指令では、内部脅威を、内部関係者が国防総省および連邦政府の施設、設備、人員、任務、資源にもたらす脅威であり、スパイ活動、テロ、国家安全保障情報の不正な開示を通じて米国に損害を与える可能性があると定義している。2017年度国防権限法は、DoD内部関係者(対象者とも呼ばれる) の定義を、DoDの情報、施設、ネットワーク、その他のリソースへのアクセスを許可された者、またはかつて許可された者を含むように改定した。国防総省職員によると、国防総省指令5205.16は、国防総省の内部関係者の定義の改訂を反映するよう更新されている。
DoD insiders have caused high-profile disclosures and breaches of data critical to national security. For example, since 2001, some of the most noted disclosures were made by former National Security Agency (NSA) contractors Edward Snowden and Harold Martin. DoD insiders were also responsible for the mass shootings at Fort Hood, Texas, in 2009 and at the Washington Navy Yard in Washington, D.C., in 2013. 国防総省の内部関係者は、国家安全保障にとって重要なデータの重大な開示と侵害を引き起こしてきた。例えば、2001年以降、最も注目された情報公開は、元国家安全保障局(NSA) の契約者であるエドワード・スノーデン氏とハロルド・マーティン氏によるものである。また、2009年にテキサス州フォートフッドで起きた銃乱射事件や、2013年にワシントンD.C.のワシントン海軍基地で起きた銃乱射事件は、国防総省の内部関係者が引き起こしたものである。
After the Navy Yard shooting in 2013, the Secretary of Defense commissioned independent panels to review gaps and deficiencies in DoD security programs, policies, and procedures. In response to recommendations made in the panel reports, the Secretary of Defense approved the formation of DITMAC to provide a centralized capability to manage and analyze DoD insider threat data. DITMAC helps prevent, deter, detect, and mitigate the potential threat that DoD insiders may pose to the United States. 2013年のネイビーヤード銃乱射事件の後、国防長官は独立したパネルに委託し、国防総省のセキュリティプログラム、政策、手続きのギャップや不備を検証させた。国防長官は、パネルの報告書に記載された提言を受けて、国防総省の内部脅威データを管理・分析するための一元的な機能を提供するDITMACの設立を承認した。DITMACは、国防総省の内部関係者が米国にもたらす可能性のある脅威を防止、抑止、検知、緩和するのに役立つ。
In 2016, the Under Secretary of Defense for Intelligence and Security (USD[I&S]) , who serves as the DoD senior official responsible for overseeing the DoD Insider Threat Program, established DITMAC within the Defense Counterintelligence and Security Agency. The USD(I&S) also directed that all DoD Components report insider threats to DITMAC. DoD Components are required to report to DITMAC through their Component’s insider threat analysis center, known as an Insider Threat Hub. DoD military, civilian, and contractor personnel are required to report any incidents that involve a covered person (DoD insider) and meet one or more of the 13 reporting thresholds established by DITMAC. Examples of reportable incidents involve sexual assault, violent acts, questionable allegiance to the United States, unauthorized disclosure of classified information, and terrorism. DITMAC receives insider threat incidents from the Hubs electronically through the DITMAC System of Systems or e-mail. 2016年、国防総省の内部関係者脅威プログラムを監督する責任を負う国防次官(USD[I&S]) は、国防防諜・保安局内にDITMACを設立した。また、国防総省はすべての国防構成機関に、内部関係者脅威をDITMACに報告するよう指示した。国防総省の各部門は、内部脅威ハブとして知られる各部門の内部脅威分析センターを通じて、DITMAC に報告することが要求されている。国防総省の軍人、文民、請負業者の職員は、対象となる人物(国防総省の内部関係者) が関与し、DITMAC が定めた 13 の報告基準値のうち 1 つ以上に該当するあらゆる事件を報告することが義務付けられている。報告すべき事件の例としては、性的暴行、暴力行為、米国への忠誠を疑うような行為、機密情報の無許可開示、テロリズムなどが挙げられる。DITMACは、DITMACシステム・オブ・システムズまたは電子メールを通じて、ハブから内部脅威インシデントを電子的に受け取っている。
Finding 調査結果
The Army, Navy, Marine Corps, Defense Logistics Agency, and Defense Health Agency Component Hubs did not consistently report to DITMAC insider threat incidents that involved a covered person and met one or more of the reporting thresholds. Specifically, of the 215 insider threat incidents we reviewed from those Hubs, 200 incidents involved a covered person and met one or more of the thresholds. Of those 200 incidents, 115 were reported to DITMAC, but the other 85 were not. Furthermore, of the 115 insider threat incidents that were reported to DITMAC, the time it took the Hubs to report the incidents ranged from 1 day to over 2 years. 陸軍、海軍、海兵隊、国防物流局、および国防保健局の各ハブは、対象者が関与し、かつ1つ以上の報告基準を満たす内部関係者脅威事件を、一貫してDITMACに報告していない。具体的には、我々がレビューした215の内部関係者脅威インシデントのうち、200のインシデントが対象者を巻き込み、1つ以上の閾値を満たしていた。この200件のうち、115件はDITMACに報告されたが、残りの85件は報告されていない。さらに、DITMACに報告された115件の内部関係者脅威インシデントのうち、ハブがインシデントを報告するのに要した時間は、1日から2年以上と幅があった。
The inconsistent reporting to DITMAC occurred because the USD(I&S) did not: DITMACへの一貫性のない報告は、USD(I&S) が以下を行わなかったために発生した。
・develop an oversight program to periodically verify that the Hubs reported insider threat incidents that involved a covered person and met one or more of the reporting thresholds; or ・ハブが、対象者を巻き込んだ内部関係者脅威のインシデントを報告し、一つ以上の報告基準を満たしたことを定期的に確認するための監視プログラムを開発すること、または
・establish timelines for reporting insider threat incidents to DITMAC. ・DITMACに内部関係者脅威事件を報告するためのタイムラインを確立していない。
Insider threat incidents have resulted in harm to the United States and the DoD through espionage, terrorism, unauthorized disclosure of national security information, and the loss or degradation of DoD resources and capabilities. Unless the DoD Component Hubs consistently report insider threat incidents to DITMAC as required, DITMAC cannot fully accomplish its mission to provide the DoD with a centralized capability to identify, mitigate, and counter insider threats and reduce the harm to the United States and the DoD by malicious insiders. 内部関係者脅威事件は、スパイ活動、テロ、国家安全保障情報の不正な開示、国防総省の資源と能力の損失や劣化を通じて、米国と国防総省に損害を与えてきた。国防総省の各ハブが、要求された通りに内部関係者脅威事件を一貫してDITMACに報告しない限り、DITMACは、内部関係者脅威を特定、緩和、対抗する集中的な能力を国防総省に与え、悪意のある内部関係者による米国と国防総省への損害を軽減するという任務を完全に達成することができない。
Recommendations 提言
We recommend that the USD(I&S) implement a process for assessing DoD Component compliance with insider threat reporting requirements, develop timelines for DoD Components to report insider threat incidents to DITMAC, and submit the FY 2021 annual report on the DoD Insider Threat Program to the Secretary of Defense as required. 我々は、国防総省が内部関係者脅威報告要件を遵守しているかどうかを評価するプロセスを導入し、国防総省がDITMACに内部関係者脅威事件を報告するためのタイムラインを策定し、2021年度の内部関係者脅威プログラムに関する年次報告書を要求に従って国防長官に提出することを提言する。
We also recommend that the Secretary of the Army, the Secretary of the Navy, and the Defense Health Agency Director require that their Hub Directors review the insider threat incidents that we determined should have been reported to DITMAC and report those incidents as required. Lastly, we recommend that the NRO Director, USCYBERCOM Commander, and the NSA/Central Security Service Director require that their Hub Directors review the insider threat incidents received since the establishment of their Hubs or the 2016 DoD Component reporting requirement was initiated and report any of the incidents that involve a covered person and meet one or more of the reporting thresholds. また、陸軍長官、海軍長官、防衛衛生庁長官は、私たちがDITMACに報告すべきであったと判断した内部関係者脅威事件を各ハブディレクターに確認させ、それらの事件を要求通りに報告するよう要求することを勧告する。最後に、NRO長官、USCYBERCOM司令官、NSA/Central Security Service長官は、ハブが設立されて以来、あるいは2016年のDoD Component報告要件が開始されて以来受け取った内部関係者脅威事件を見直し、対象者が関与し一つ以上の報告基準値を満たす事件のいずれかを報告するよう、そのハブディレクターに求めることを提言する。
Management Comments and Our Response 執行陣のコメントと当局の対応
The DoD Counter-Insider Threat Deputy Director, responding for the USD(I&S) , agreed to implement a process for assessing DoD Component compliance with insider threat reporting requirements, develop timelines for DoD Components to report insider threat incidents to DITMAC, and submit the DoD Insider Threat Program annual report to the Secretary of Defense. 国防総省の内部関係者脅威対策副局長は、内部関係者脅威報告要件に対する国防総省構成組織のコンプライアンスを評価するプロセスを実施し、国防総省構成組織がDITMACに内部関係者脅威事件を報告するためのタイムラインを開発し、国防長官にDoD内部関係者脅威プログラム年次報告書を提出することに同意したと回答している。
The Under Secretary of the Army, responding for the Secretary of the Army, and the Deputy Under Secretary of the Navy for Intelligence and Security, responding for the Secretary of the Navy, agreed to report the incidents identified in this report to DITMAC. In addition, the USCYBERCOM Chief of Staff, responding for the USCYBERCOM Commander, agreed. 陸軍次官(陸軍長官の代理として回答) と海軍次官(情報・安全保障担当) は、本報告書で確認された事案をDITMACに報告することに同意した。さらに、USCYBERCOM司令官の代理であるUSCYBERCOM参謀長も同意した。
The NRO Director and the NSA Chief of Staff for Workforce Support Activities, responding for the NSA/Central Security Service Director, disagreed. NRO長官とNSA/中央セキュリティ局長の代理として回答したNSA労働力支援活動担当参謀長は同意しなかった。
We disagree. The FY 2017 National Defense Authorization Act revised the definition of a DoD insider (covered person) to include any person who has, or once had, authorized access to DoD information, facilities, networks, or other resources. Therefore, the recommendations to NRO and NSA are unresolved, and we request that the NRO Director and the NSA/Central Security Service Director provide comments on the final report. 我々は同意しない。2017年度国防権限法は、DoD内部関係者(対象者) の定義を、DoDの情報、施設、ネットワーク、その他のリソースへの権限を持つ、またはかつて持っていたすべての人を含むよう改定した。したがって、NRO と NSA に対する勧告は未解決であり、NRO 長官と NSA/中央セキュリティ局長は、最終報告書に対するコメントを提供するよう要請する。
The Defense Health Agency Director did not provide comments on the draft report; therefore, we request that the Defense Health Agency provide comments on the final report. 防衛省衛生局長は報告書案に対してコメントを出さなかったので、最終報告書に対して防衛省衛生局長からコメントをもらうよう要請する。
This report is a result of Project No. D2020-D000CP-0074.000. 本報告書は、プロジェクト番号 D2020-D000CP-0074.000 の成果である。

 

・2022.09.30 [PDF] (U) Audit of the DoD Component Insider Threat Reporting to the DoD Insider Threat Management and Analysis Center

20221001-35448

目次...

(U) Introduction (U) はじめに
(U) Objective (U) 目的
(U) Background (U) 背景
(U) Review of Internal Controls (U) 内部統制のレビュー
(U) Finding.  DoD Component Hubs Did Not Consistently Report Insider Threat Incidents toDITMAC (U) 発見事項:国防総省の各ハブは、内部関係者脅威事件を一貫してDITMACに報告していなかった。
(U) DoD Component Hubs Did Not Follow Insider Threat Reporting Guidance (U) 国防総省の各ハブは内部脅威の報告ガイダンスに従っていなかった。
(U) USD(I&S) Did Not Provide Oversight of the DoD Insider Threat Program (U) USD(I&S) は国防総省の内部関係者脅威プログラムを監督していなかった。
(U) USD(I&S) Did Not Establish Timelines for Reporting Insider Threat Incidents to DITMAC (U) 米国農務省は、DITMACへの内部脅威インシデントの報告のためのタイムラインを確立していなかった。
(CUI) XXXXXXXXX (CUI) XXXXXXXXX
(U) The DoD Is at Risk of Not Identifying or Mitigating Critical Insider Threats (U) 国防総省は重要な内部関係者脅威を特定または軽減しない危険にさらされている。
(U) Other Matters of Interest (U) その他の関心事項
(U) Recommendations, Management Comments, and Our Response (U) 推奨事項、執行陣のコメント、我々の回答
(U) Appendixes (U) 附属書
(U) Appendix A.  Scope and Methodology (U) 附属書A. スコープ及び方法論
 (U) Use of Computer-Processed Data   (U) コンピュータ処理データの使用について 
 (U) Use of Technical Assistance   (U) 技術支援の利用 
 (U) Prior Coverage  (U) 過去の調査結果
(U) Appendix B.  DoD Insider Threat Incidents (U) 附属書B.  国防総省の内部関係者脅威事件
(U) Appendix C.  DITMAC Reporting Thresholds (U) 附属書C. DITMACの報告閾値
(U) Management Comments (U) 執行陣のコメント
(U) Department of the Army (U) 陸軍省
(U) Department of the Navy (U) 海軍省
(U) Under Secretary of Defense for Intelligence and Security (U) 国防総省情報・安全保障担当次官
(U) DoD Insider Threat Management and Analysis Center (U) 国防総省内部脅威管理・分析センター
(U) U.S. Cyber Command (U) 米国サイバー軍
(U) National Reconnaissance Office  (U) 米国国家偵察局
(U) National Security Agency (U) 国家安全保障局
(U) Acronyms and Abbreviations (U) 頭字語および省略形

 

| | Comments (0)

« September 2022 | Main | November 2022 »