« September 2022 | Main | November 2022 »

October 2022

2022.10.31

公正取引委員会 経済産業省 サプライチェーン全体のサイバーセキュリティ向上のための取引先とのパートナーシップの構築に向けて

こんにちは、丸山満彦です。

公正取引委員会と経済産業省が、「サプライチェーン全体のサイバーセキュリティ向上のための取引先とのパートナーシップの構築に向けて」という発表をしていますね。。。

サプライチェーン全体でセキュリティを向上する際に、取引先にもセキュリティ対応をしてもらう必要がある場合がありますが、その際に優越的地位の濫用にならないようにしないとね。。。ということで、経済産業省と公正取引委員会が協力して検討してくれたんですかね。。。ホワイトリストは作りにくいので、ブラックになりそうな例の提示という感じですかね。。。(これは、個人情報保護法のガイドラインを最初に作った時の考え方と同じ...)

次は、国税庁と寄附金認定されないようにするためのガイドか...(^^)

 

経済産業省

・[PDF] 「サプライチェーン全体のサイバーセキュリティの向上のための取引先とのパートナーシップの構築に向けて(概要)」

・[PDF] 「サプライチェーン全体のサイバーセキュリティ向上のための取引先とのパートナーシップの構築に向けて」

 

公正取引委員会

・2022.10.28 サプライチェーン全体のサイバーセキュリティ向上のための取引先とのパートナーシップの構築に向けて

 

興味深いのは、


第3 取引先との関係構築

1 パートナーシップ構築宣言

 「パートナーシップ構築宣言」は、サプライチェーンの取引先や価値創造を図る事業者の皆様との連携・共存共栄を進めることで、新たなパートナーシップを構築することを、「発注者」側の立場から企業の代表者の名前で宣言するものである。
 宣言に際し、発注側企業の取引先に対するサイバーセキュリティ対策の助言・支援等は、サプライチェーン全体の共存共栄と規模・系列等を超えた新たな連携の一つとして例示されていることに加え、下請振興基準にも記載されており、「第2」に示した施策の活用促進をはじめとして、「発注者」側の立場の企業の積極的な対応が期待される。


 

というところですかね。。。で、「第2」というのが、次の通りです。


2 取引先への対策の支援・要請についての考え方

...

(1)取引の対価の一方的決定

 取引上の地位が相手方に優越している事業者が、取引の相手方に対し、サイバーセキュリティ対策の要請を行い、サイバーセキュリティ対策の実施によって取引の相手方に生じるコスト上昇分を考慮することなく、一方的に著しく低い対価を定める場合には、独占禁止法上問題となります。
 このため、違反行為の未然防止を図る観点からは、積極的に価格の交渉の機会を設け、取引の相手方と十分に協議を行い、サイバーセキュリティ対策の内容や費用負担の在り方を決定することが望まれます。
 例えば、取引上の地位が相手方に優越している事業者が、次のような方法で取引価格を据え置くことは、独占禁止法上問題となるおそれがあるため注意が必要です。
○ 取引の相手方に対し、有償のセキュリティサービスの利用やセキュリティの認証の取得を要請したにもかかわらず、コスト上昇分の取引価格への反映の必要性について、価格の交渉の場において明示的に協議することなく、従来どおりに取引価格を据え置くこと
○ 取引の相手方に対し、セキュリティ対策責任者の設置、従業員へのセキュリティ教育の実施、サイバー攻撃による被害発生時における自らが定めた対処フローの遵守など、セキュリティ体制の構築を要請した結果、人件費などのコスト上昇を理由とする取引価格の引上げを求められたにもかかわらず、それに応じない理由を書面、電子メール等で取引の相手方に回答することなく、従来どおりに取引価格を据え置くこと
 

 また、下請法の規制対象となる取引において、親事業者が下請事業者に対し、下請事業者に生じるコスト上昇分を考慮することなく、著しく低い下請代金の額を不当に定めた場合には、下請法上の「買いたたき」として問題となります。

 (2)セキュリティ対策費の負担の要請

 取引上の地位が相手方に優越している事業者が、取引の相手方に対し、セキュリティ対策費などの名目で金銭の負担を要請し、当該セキュリティ対策費の負担額及びその算出根拠等について、取引の相手方との間で明確になっておらず、取引の相手方にあらかじめ計算できない不利益を与えることとなる場合や、取引の相手方が得る直接の利益等を勘案して合理的であると認められる範囲を超えた負担となり、取引の相手方に不利益を与えることとなる場合には、独占禁止法上問題となります。
 また、下請法の規制対象となる取引において、親事業者が下請事業者に対し、自己のために金銭、役務その他の経済上の利益を提供させることによって、取引先の利益を不当に害する場合には、下請法上の「不当な経済上の利益の提供要請」として問題となります。

 (3)購入・利用強制

 取引上の地位が相手方に優越している事業者が、取引の相手方に対し、サイバーセキュリティ対策の実施の要請に際して、合理的な必要性がないにもかかわらず、自己の指定する商品の購入や役務の利用を強制する場合には、独占禁止法上問題となります。例えば、取引の相手方が、サイバーセキュリティ対策の実施の要請を受け、当該要請と同等又はそれ以上のサイバーセキュリティ対策を講じているため、新たなセキュリティサービスを利用する必要がないにもかかわらず、自己の指定する事業者が提供するより高価なセキュリティサービスを利用することを要請し、当該事業者から利用させることは、独占禁止法上問題となります。
 また、下請法の規制対象となる取引において、親事業者が下請事業者に対し、正当な理由がある場合を除き、自己の指定する物を強制して購入させ、又は役務を強制して利用させる場合には、下請法上の「購入・利用強制」として問題となります


 

1_20221031120601

 

 

| | Comments (0)

経済産業省 ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン(個別編:空調システム)第1版 (2022.10.24)

こんにちは、丸山満彦です。

経済産業省が、「ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン(個別編:空調システム)第1版」を公表していますね。。。5月にパブコメを募集していたものが、確定したものです。(パブコメの時、このブログで紹介するのを失念していたようです。。。)

経済産業省

・2022.10.24 ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン(個別編:空調システム)第1版

 ・[PDF] ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン(個別編:空調システム)第1版

20221031-54648

目次...

1. はじめに
1.1.
ガイドライン(個別編:空調システム)を策定する目的
1.2.
対象とする空調システム(空調システムの定義)
1.3.
ガイドライン(個別編:空調システム)の位置付け

2. 空調システムを巡る状況
2.1.
空調システムで起こりうる攻撃パターンと対応の考え方
2.2.
実際のサイバー攻撃事例
 2.2.1.
ネットワークビジーで中央監視盤がシステムダウンした事例
 2.2.2. 空調機コントローラが不正アクセスによりデータを消失した事例
 2.2.3. 空調専用コントローラがマルウェア(ランサムウェア)に感染した事例

3. 空調システムにおけるサイバーセキュリティ対策の考え方
3.1.
セントラル空調方式のセキュリティ対策
3.2.
個別分散空調方式のセキュリティ対策
 3.2.1.
個別分散空調システムのセキュリティ対策事例
 3.2.1.1. 空調システムの管理

4. ビルシステムにおけるリスクと対応ポリシー
4.1.
空調システムの管理策

5. ライフサイクルを考慮したセキュリティ対応策

付録 A 空調システムの種類
付録 B 参考文献


 ・[PDF] ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン(個別編:空調システム)第1版別紙

20221031-54825

ビル空調システムのライフサイクル

  1. 設計・仕様 (Method/Measure):
  2. 建設 (Building)
  3. 竣工検査 (Completion inspection)
  4. 運用 (Operation)
  5. 改修・廃棄 (Reforming)

 


 

関連

経済産業省

・2019.06.17 ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン第1版を策定しました

20221031-60210

20221031-60346

  関連リンク

 

 

調査報告書...

・2022.07.14 ビルシステムのサイバーセキュリティ高度化に向けた調査 報告書 

20220716-71146

 

1. はじめに
1.1 調査背景・目的
1.2 調査実施概要

2. ビルガイドラインの高度化のための調査
2.1 ビルの空調設備システムの対応策に関する調査
2.2 共通ガイドラインの拡充に向けた調査
 インシデントレスポンスに対する要求の整理
 現在のガイドラインへの追加情報の充実化
 ビルシステム及び関連するシステムへの攻撃事例の収集

3. ビルシステムのサイバーセキュリティ推進体制の調査
3.1 推進体制の情報提供・共有・相談等の機能の実践的評価
3.2 推進体制のあり方の調査

4. 検討会の運営
4.1 ビルSWGの運営
 第12回ビル SWG の運営
 第13回ビル SWG の運営
4.2 作業グループの運営
 小グループ検討会(空調編作業グループ)の実施
 小グループ検討会(インシデントレスポンス作業グループ)の実施
 小グループ検討会(情報共有・推進体制ディスカッション)の実施

5. 総括

 


 

 

| | Comments (0)

ドイツ 連邦情報セキュリティ局 (BSI) ドイツにおける ITセキュリティの現状 2022年 (2022.10.25)

こんにちは、丸山満彦です。

ドイツ連邦情報セキュリティ局 (BSI) が2022年版「ドイツにおける ITセキュリティの現状」を公表していますね。。。

分野ごとの脅威Top3

社会 経済 国家と行政
個人情報保護 ランサムウェア ランサムウェア
セキストラクション 脆弱性、オープン又は設定ミスのあるオンラインサーバー APT
インターネット上の偽店 ITサプライチェーン:依存関係とセキュリティ 脆弱性、オープン又は設定ミスのあるオンラインサーバー

 

Bundesamt für Sicherheit in der Informationstechnik: BSI 

・2022.10.25 BSI-Lagebericht 2022: Gefährdungslage im Cyber-Raum hoch wie nie

BSI-Lagebericht 2022: Gefährdungslage im Cyber-Raum hoch wie nie BSI状況報告書2022:サイバー空間における脅威の状況はかつてないほど高まっている
Im Berichtszeitraum von Juni 2021 bis Mai 2022 hat sich die bereits zuvor angespannte Lage weiter zugespitzt. 2021年6月から2022年5月までの報告期間において、すでに緊迫した状況はさらに深刻化している。
Die Gründe für die hohe Bedrohungslage sind anhaltende Aktivitäten im Bereich der Cyber-Kriminalität, Cyber-Angriffe im Kontext des russischen Angriffs auf die Ukraine und auch in vielen Fällen eine unzureichende Produktqualität von IT- und Software-Produkten. 脅威が高い状況の理由は、継続的なサイバー犯罪活動、ロシアのウクライナ攻撃を背景としたサイバー攻撃、さらに多くの場合、ITおよびソフトウェア製品の品質が不十分であることである。
Bundesinnenministerin Nancy Faeser: „Die seit dem russischen Angriffskrieg auf die Ukraine anhaltend erhöhte Cyber-Bedrohungslage erfordert eine strategische Neuaufstellung und deutliche Investitionen in unsere Cyber-Sicherheit. Die Cyber-Sicherheitsagenda des BMI bildet die für uns wesentlichen Ziele und Maßnahmen ab. Hier wollen wir als BMI noch in dieser Legislaturperiode wesentliche Fortschritte erreichen und die Cyber-Sicherheit auf ein neues Level heben. Die Modernisierung unserer Cyber-Sicherheitsarchitektur mit dem Ausbau des BSI zur Zentralstelle, der weitere Ausbau und die Erneuerung von Netzen und IT-Systemen der Verwaltung, die Stärkung der Sicherheitsbehörden zur Verfolgung von Cyber-Crime sowie die Verbesserung der Abwehrfähigkeiten gegen Cyber-Angriffe sind wichtige und notwendige Schritte für eine eng verzahnte föderale Cyber-Abwehr und eine effektive und effiziente Aufstellung im Cyber-Raum.“ ナンシー・フェーザー連邦内務大臣:「ロシアのウクライナ侵略戦争以来、持続的に高まっているサイバー脅威の状況は、戦略的な再配置とサイバーセキュリティへの大規模な投資を必要としている。連邦内務省のサイバーセキュリティアジェンダは、私たちにとって必要不可欠な目標と対策の概要を示している。連邦内務省として、この立法期間中にこの分野で大きな進展を遂げ、サイバーセキュリティを新たなレベルに引き上げたいと考えている。BSIの中央オフィスへの拡張、行政のネットワークとITシステムのさらなる拡張と更新、サイバー犯罪の訴追のためのセキュリティ当局の強化、サイバー攻撃に対する防衛能力の向上など、サイバーセキュリティ・アーキテクチャの近代化は、緊密に連携した連邦サイバー防衛とサイバー空間における効果的かつ効率的な位置付けのために重要かつ必要な措置である。」
Jede Schwachstelle in Soft- oder Hardware-Produkten ist ein potenzielles Einfallstor für Angreifer und gefährdet die Informationssicherheit in Verwaltung, Wirtschaft und Gesellschaft. Im Jahr 2021 wurden über 20.000 Schwachstellen in Software-Produkten registriert. Das entspricht einem Zuwachs von 10 % gegenüber dem Vorjahr. ソフトウェアやハードウェア製品に存在するあらゆる脆弱性は、攻撃者にとっての潜在的な入り口であり、行政、経済、社会における情報セキュリティを脅かすものである。2021年には、ソフトウェア製品に2万件以上の脆弱性が登録された。これは、前年度比10%の増加に相当する。
Vizepräsident des BSI, Dr. Gerhard Schabhüser: „Die Bedrohungslage im Cyber-Raum ist angespannt, dynamisch und vielfältig und damit so hoch wie nie. In einer digitalisierten Welt hängt das Wohlergehen der Bevölkerung stärker als jemals zuvor davon ab, wie gut wir uns gegen IT-Sicherheitsvorfälle gerüstet haben. Jedes Computersystem, das nicht gehackt werden kann, jede digitale Dienstleistung, die nicht gestört werden kann, ist ein elementarer Beitrag zu einer funktionierenden digital vernetzten Gesellschaft. Mit den richtigen Maßnahmen können wir der Bedrohungslage begegnen. Wir dürfen beim Thema Cyber-Sicherheit keinen Deut nachlassen.“ BSI副会長 ゲルハルト・シャブヒューザー博士:「サイバー空間における脅威の状況は、緊迫し、ダイナミックで多様であるため、これまでになく高まっている。デジタル化された世界では、国民の幸福度は、ITセキュリティインシデントに対する備えがどれだけできているかに、これまで以上に左右されることになる。ハッキングされないコンピュータシステム、中断されないデジタルサービス、これらはすべてデジタルネットワーク社会が機能するための基本的な貢献である。適切な対策を講じることで、脅威の状況に対抗することができるのである。サイバーセキュリティの問題には一歩も手を緩めてはいけない。」
Ransomware-Angriffe, also Cyber-Angriffe auf Unternehmen, Universitäten und Behörden, mit dem Ziel, Lösegeld zu erpressen, gilt aktuell als größte Bedrohung im Cyber-Bereich. So ist es im Berichtszeitraum zu mehreren Ransomware-Vorfällen gekommen bei denen Kommunen in Deutschland angegriffen wurden. Zum ersten Mal in der deutschen Geschichte wurde in Folge eines Cyber-Angriffs von der betroffenen Kommune der Katastrophenfall ausgerufen. ランサムウェア攻撃とは、身代金の強奪を目的とした企業や大学、当局に対するサイバー攻撃で、現在サイバーセクターにおける最大の脅威と考えられている。報告期間中、ドイツの自治体が攻撃を受けたランサムウェア事件が数件発生した。ドイツ史上初めて、サイバー攻撃によって被害を受けた自治体から災害宣言が出されたのである。
Cyber-Sicherheit ist ein wesentlicher Aspekt der Daseinsvorsorge und dient unmittelbar dem Schutz von Bürgerinnen und Bürger. サイバーセキュリティは、一般消費者向けのサービスには欠かせないものであり、市民の保護に直接役立つものである。

 

・2022.10.25 Die Lage der IT-Sicherheit in Deutschland 2022

Die Lage der IT-Sicherheit in Deutschland 2022 ドイツにおけるITセキュリティの現状 2022
Mit seinem Bericht zur Lage der IT-Sicherheit in Deutschland legt das Bundesamt für Sicherheit in der Informationstechnik (BSI) als die Cyber-Sicherheitsbehörde des Bundes jährlich einen umfassenden Überblick über die Bedrohungen im Cyber-Raum vor. In diesem Jahr bewertet der Bericht auch die IT-Sicherheitslage im Kontext des russischen Angriffskrieges auf die Ukraine. ドイツ連邦情報セキュリティ局(BSI)は、連邦政府のサイバーセキュリティ当局として、毎年、ドイツのITセキュリティの現状に関する報告書を発表し、サイバー空間における脅威の包括的な概要を示している。今年は、ロシアのウクライナ侵略戦争を背景としたITセキュリティの状況も評価している。
IT-Sicherheitslage spitzt sich zu ITセキュリティの状況は頭打ちになる
Insgesamt spitzte sich im Berichtszeitraum die bereits zuvor angespannte Lage weiter zu. Die Bedrohung im Cyber-Raum ist damit so hoch wie nie. Im Berichtszeitraum wurde – wie schon im Vorjahr – eine hohe Bedrohung durch Cybercrime beobachtet. Hinzu kamen verschiedene Bedrohungen im Zusammenhang mit dem russischen Angriffskrieg auf die Ukraine. 全体として、すでに緊張状態にあった状況は、報告期間中に悪化した。このように、サイバー空間における脅威はかつてないほど高まっている。この報告期間中、前年度と同様に、サイバー犯罪による高い脅威が観察された。さらに、ロシアのウクライナ侵略戦争に関連して、さまざまな脅迫があった。
Russischer Angriffskrieg gegen die Ukraine ロシアによるウクライナへの侵略戦争
Bislang gab es in Deutschland in Zusammenhang mit dem Angriffskrieg Russlands gegen die Ukraine eine Ansammlung kleinerer Vorfälle und Hacktivismus-Kampagnen. Beispiele hierfür waren der Ausfall der Fernwartung in deutschen Windkraftanlagen nach dem Angriff auf ein Unternehmen der Satellitenkommunikation und ein Hacktivismus-Angriff auf deutsche Mineralölhändler mit russischem Mutterkonzern. Eine übergreifende Angriffskampagne gegen deutsche Ziele war nicht ersichtlich. Die Lage im Cyber-Raum von NATO-Partnern war dagegen teilweise angespannt und in der Ukraine teilweise existenzbedrohend kritisch . これまでドイツでは、ロシアのウクライナ侵略戦争に関連して、小規模な事件やハクティビズム・キャンペーンが積み重ねられてきました。例えば、衛星通信会社が攻撃されてドイツの風力発電機の遠隔保守ができなくなったり、ロシアを親会社とするドイツの石油商社がハクティビズム攻撃を受けたりした。ドイツの目標に対する包括的な攻撃作戦は明らかにされていない。一方、NATO加盟国のサイバー空間における状況は、ウクライナでは国の存立を脅かすほど緊迫したケースもあり、危機的な状況であった。
Cyber-Erpressung bleibt eine der größten Bedrohungen サイバー恐喝は依然として最大の脅威の一つである
Ransomware blieb die Hauptbedrohung besonders für Unternehmen. Die im vergangenen Berichtszeitraum beobachtete Ausweitung von Methoden der Erpressungsmethoden im Cyber-Raum hat sich im aktuellen Berichtszeitraum fortgesetzt. Insbesondere das sogenannte Big Game Hunting, also die Erpressung umsatzstarker Unternehmen mit verschlüsselten und exfiltrierten Daten, hat weiter zugenommen. Sowohl die von IT-Sicherheitsdienstleistern berichteten Lösegeld- und Schweigegeld-Zahlungen als auch die Anzahl der Opfer, deren Daten etwa wegen ausbleibender Zahlungen auf Leak-Seiten veröffentlicht wurden, sind weiter gestiegen. Das nicht nur Unternehmen Ziel von Ransomware-Angriffen sind, zeigt eindrücklich der folgenschwere Angriff auf eine Landkreisverwaltung in Sachsen-Anhalt: Erstmals wurde wegen eines Cyber-Angriffs der Katastrophenfall ausgerufen. Bürgernahe Dienstleistungen waren über 207 Tage lang nicht oder nur eingeschränkt verfügbar. ランサムウェアは、特に企業にとって主要な脅威であることに変わりはない。前回の報告期間中に見られたサイバー空間における恐喝の手法の拡大は、今回の報告期間でも継続された。特に、いわゆる大物狩り、つまり暗号化され流出したデータで高収益の企業を強奪するケースが増え続けているのである。ITセキュリティサービスプロバイダーが報告する身代金や口止め料の支払いも、支払いがないために漏洩サイトなどでデータが公開された被害者も、ともに増え続けている。ランサムウェアの攻撃対象が企業だけではないことは、ザクセン=アンハルト州の行政機関が深刻な攻撃を受け、初めてサイバー攻撃による災害事態が宣言されたことからも印象的に示されている。207日間、市民に身近なサービスが利用できなかったり、限られた範囲でしか利用できなかったりした。
Zahl der Schwachstellen steigt weiter 増加し続ける脆弱性の数
Im Jahr 2021 wurden zehn Prozent mehr Schwachstellen in Software-Produkten bekannt als im Vorjahr. Mehr als die Hälfte von ihnen wiesen hohe oder kritische Scores nach dem Common Vulnerability Scoring System (CVSS) auf. Als kritisch wurden 13 Prozent der Schwachstellen bewertet. Zu ihnen zählt die Schwachstelle in Log4j, da sich diese in vielen frei verfügbaren Software-Bausteinen befand. IT-Sicherheitsverantwortliche konnten daher in der Regel nur schwer einschätzen, ob die von ihnen eingesetzte Software die Schwachstelle aufwies. Aufgrund der hohen Verbreitung von Log4j war von einer großen Angriffsfläche für Cyber-Angriffe auszugehen. 2021年には、ソフトウェア製品の脆弱性が前年より10%多く知られるようになった。そのうちの半数以上は、CVSS(Common Vulnerability Scoring System)によるスコアが「高」または「重大」であった。13%の脆弱性が「重要」と評価された。Log4jの脆弱性もその一つで、自由に利用できるソフトウェア部品に多く見受けられたからである。 そのため、ITセキュリティ管理者は、通常、使用しているソフトウェアに脆弱性があるかどうかを判断することは困難であった。Log4jの分布が多いため、サイバー攻撃の攻撃対象が多いと想定される。
DDoS-Angriffe und Advanced Persistent Threats (APT) nehmen zu DDoS攻撃とAPT(Advanced Persistent Threat)が増加中
Im aktuellen Berichtszeitraum waren vermehrt Angriffe auf Perimeter-Systeme, wie zum Beispiel Firewalls oder Router zu beobachten. Während gezielte APT-Angriffe mittels Schadprogrammen in E-Mails in der Regel hohen Aufwand erfordern, sind Perimeter-Systeme direkt aus dem Internet erreichbar, vergleichsweise schlecht geschützt und daher leichter angreifbar. Mehr und mehr scannen APT-Gruppen das Internet nach bekannten Schwachstellen in Perimeter-Systemen, für die noch keine Patches verfügbar sind, um diese gezielt angreifen zu können. 今回の報告期間では、ファイアウォールやルーターなどの境界システムに対する攻撃が多く観測された。電子メールにマルウェアを仕込んだ標的型攻撃は、通常、多大な労力を必要とするが、境界システムはインターネットから直接アクセスでき、比較的防御が甘いため、攻撃されやすいといえます。APTグループは、境界システムの既知の脆弱性のうち、まだパッチが提供されていないものをインターネット上でスキャンし、特別に攻撃できるようにするケースが増えている。
Auch die Zahl der Distributed Denial of Service-Angriffe (DDoS-Angriffe) hat nach Berichten verschiedener Mitigationsdienstleister weiter zugenommen. So verzeichnete etwa der deutsche Dienstleister Link11 für das Jahr 2021 einen Anstieg der DDoS-Angriffe um rund 41 Prozent im Vergleich zum Vorjahr. Insbesondere rund um das jährliche Onlineshopping-Event Cyber Week und in der Vorweihnachtszeit waren spürbar mehr Angriffe zu beobachten. Rund um die Cyber Week 2021 hat sich die Zahl der DDoS-Angriffe gegenüber der Cyber Week 2020 verdoppelt. また、各ミティゲーション・サービス・プロバイダーからの報告によると、分散型サービス拒否攻撃(DDoS攻撃)の件数も増加し続けているとのことである。例えば、ドイツのサービスプロバイダーであるLink11は、2021年に前年比約41%のDDoS攻撃の増加を記録している。特に、毎年恒例のネット通販イベント「サイバーウィーク」の前後や、クリスマスまでの間に、顕著に多くの攻撃が観測された。2021年のサイバーウィーク前後には、2020年のサイバーウィークと比較してDDoS攻撃の件数が2倍に増加した。
Zeitenwende für "Cyber-Sicherheit made in Germany" 「ドイツにおけるサイバーセキュリティ」の転換点
Die beschleunigte Digitalisierung in allen Bereichen des alltäglichen Lebens – von den Lieferketten der international agierenden Konzerne, den Geschäftsprozessen auch in kleinen und kleinsten Unternehmen über die Dienstleistungen öffentlicher Institutionen bis hin zu den digitalen Anwendungen, die fast jede Bürgerin und jeder Bürger täglich im Alltag nutzt – macht auch bei der "Cyber-Sicherheit made in Germany" eine Zeitenwende notwendig. 国際的に事業展開する企業のサプライチェーン、中小企業でもビジネスプロセス、公共機関のサービス、ほぼすべての市民が毎日利用するデジタルアプリケーションなど、日常生活のあらゆる分野でデジタル化が加速しており、「メイド・イン・ジャーマニー」のサイバーセキュリティにも転換が必要となっている。
Denn das vergangene Jahr hat gezeigt, dass unvorhergesehene Ereignisse die Bedrohungslage auf ein neues Level heben können und Kollateralschäden durch Cyber-Angriffe in Nachbarländern auch unmittelbare Auswirkungen auf Deutschland haben können. All dies macht deutlich, dass präventive IT-Sicherheitsmaßnahmen die wirkungsvollsten IT-Sicherheitsmaßnahmen sind. Jedes Computersystem, das nicht gehackt werden kann, jede IT-basierte Dienstleitung, die nicht gestört werden kann, ist ein elementarer Beitrag zu einer funktionierenden digital vernetzten Gesellschaft. Vor diesem Hintergrund ist die von der Bundesregierung geplante Modernisierung der Cyber-Sicherheitsarchitektur und der Ausbau des BSI zur Zentralstelle für Informationssicherheit im Bund-Länderverhältnis ein wichtiger Schritt für eine eng verzahnte föderale Cyber-Abwehr. この1年で、不測の事態が脅威の状況を新たなレベルに引き上げ、近隣諸国のサイバー攻撃の巻き添えがドイツにも直接影響を及ぼすことが明らかになった。これらのことから、予防的なITセキュリティ対策が最も効果的なITセキュリティ対策であることは明らかである。ハッキングされないコンピュータシステム、中断されないITベースのサービスは、デジタルネットワーク社会が機能するための初歩的な貢献である。このような背景から、連邦政府が計画しているサイバーセキュリティ・アーキテクチャーの近代化、およびBSIの連邦国家関係における情報セキュリティの中央機関への拡大は、緊密に連動した連邦サイバー防衛にとって重要なステップとなる。

 

・2022.10.25 Die Lage der IT-Sicherheit in Deutschland 2022

Die Lage der IT-Sicherheit in Deutschland 2022 ドイツにおけるITセキュリティの現状 2022
Der Bericht zur Lage der IT-Sicherheit in Deutschland 2022 beschreibt und analysiert die aktuelle IT-Sicherheitslage, auch anhand konkreter Beispiele und Vorfälle. Daraus abgeleitet stellen wir die Angebote und Lösungsansätze des BSI zur Verbesserung der IT-Sicherheit in Deutschland vor. 2022年ドイツのITセキュリティの現状について、具体的な事例やインシデントも踏まえて解説・分析したレポートである。そこから導き出された、ドイツにおけるITセキュリティ向上のためのBSIの提案とソリューションへのアプローチを紹介する。

 

  ・[PDF] Die Lage der IT-Sicherheit in Deutschland 2022

20221031-02755

 

目次...

Vorwort Nancy Faeser, Bundesministerin des Innern und für Heimat 序文 Nancy Faeser(連邦内務大臣) 内務・内政担当大臣
Vorwort Dr. Gerhard Schabhüser, Vizepräsident des Bundesamts für Sicherheit in der Informationstechnik 序文 連邦情報セキュリティ局副局長 ゲルハルト・シャブヒューザー博士
1 Gefährdungen der Cyber-Sicherheit in Deutschland 1 ドイツにおけるサイバーセキュリティへの脅威
1.1 Zusammenfassung und Bewertung 1.1 概要と評価
1.2 Schadprogramme 1.2 マルウェア
1.2.1 Neue Schadprogramm-Varianten 1.2.1 新しいマルウェアの亜種
1.2.2 Ransomware 1.2.2 ランサムウェア
1.2.3 Botnetze 1.2.3 ボットネット
1.2.4 Spam und Phishing 1.2.4 スパムとフィッシング
1.2.5 Social Bots 1.2.5 ソーシャルボット
1.3 Schwachstellen 1.3 脆弱性
1.3.1 Schwachstellen in Software-Produkten 1.3.1 ソフトウェア製品における脆弱性
1.3.2 Schwachstellen in Hardware-Produkten 1.3.2 ハードウェア製品における脆弱性
1.4 Advanced Persistent Threats 1.4 アドバンスドパーシステントスレット
1.5 Distributed Denial of Service 1.5 分散型サービス拒否(Denial of Service
1.6 Angriffe im Kontext Kryptografie 1.6 暗号の文脈における攻撃
1.7 Hybride Bedrohungen 1.7 ハイブリッドの脅威
1.8 Cyber-Sicherheitslage im Kontext des russischen Angriffskrieges gegen die Ukraine 1.8 ロシアのウクライナ侵略戦争を背景としたサイバーセキュリティの状況
2 Zielgruppenspezifische Erkenntnisse und Maßnahmen 2 ターゲットグループ別の知見と対策
2.1 Gesellschaft 2.1 社会
2.1.1 Erkenntnisse zur Gefährdungslage in der Gesellschaft 2.1.1 社会における脅威の状況についての所見
2.1.2 Digitaler Verbraucherschutz 2.1.2 デジタル消費者保護
2.1.3 IT-Sicherheitskennzeichen 2.1.3 ITセキュリティラベル
2.1.4 Information und Sensibilisierung von Verbraucherinnen und Verbrauchern 2.1.4 消費者への情報提供と意識啓発
2.1.5 Projekt „Dialog für Cyber-Sicherheit“ 2.1.5 「サイバーセキュリティーのための対話」プロジェクト
2.1.6 Sicherheit im Internet der Dinge, im Smart Home und in Smart Cities 2.1.6 モノのインターネット、スマートホーム、スマートシティーにおけるセキュリティ
2.1.7 Sicherheit im Gesundheitswesen 2.1.7 保健分野でのセキュリティ
2.1.8 Sichere Gestaltung virtueller Versammlungen und Abstimmungen 2.1.8 バーチャル会議と投票の安全性確保
2.1.9 Sicherheit von Bezahlverfahren 2.1.9 支払手続きのセキュリティ
2.1.10 Zwei-Faktor-Authentisierung 2.1.10 二要素認証
2.1.11 Bewertung von elektronischen Identifizierungsverfahren 2.1.11 電子的な本人確認手続きの評価
2.1.12 Sichere elektronische Identitäten auf dem Smartphone 2.1.12 スマートフォンでの電子IDの保護
2.1.13 Mediale Identitäten 2.1.13 メディア・アイデンティティ
2.1.14 Moderne Messenger für sichere Kommunikation 2.1.14 安全な通信を実現するモダンメッセンジャー
2.2 Wirtschaft 2.2 経済
2.2.1 Erkenntnisse zur Gefährdungslage in der Wirtschaft 2.2.1 経済における脅威の状況についての所見
2.2.2 Gefährdungslage Kritischer Infrastrukturen 2.2.2 重要インフラストラクチャーの脆弱性
2.2.3 UP KRITIS 2.2.3 アップクリッツ
2.2.4 Unternehmen im Fokus der europäischen und deutschen Cyber-Sicherheits-Regulierung 2.2.4 欧州とドイツのサイバーセキュリティ規制で注目される企業
2.2.5 Besondere Situation der KMU in Deutschland 2.2.5 ドイツにおける中小企業の特殊な状況
2.2.6 Cyber-Sicherheit im Automobilbereich 2.2.6 自動車産業におけるサイバーセキュリティ
2.2.7 Cyber-Sicherheit im Luftverkehr 2.2.7 航空輸送におけるサイバーセキュリティ
2.2.8 Digitalisierung der Energiewirtschaft 2.2.8 エネルギー産業のデジタル化
2.2.9 Cyber-Sicherheit in der industriellen Versorgungskette 2.2.9 産業用サプライチェーンにおけるサイバーセキュリティ
2.2.10 Moderne Telekommunikationsinfrastrukturen (5G/6G) 2.2.10 最新の通信インフラ(5G/6G)
2.2.11 Sicherheit von Cloud-Diensten 2.2.11 クラウドサービスにおけるセキュリティ
2.2.12 Technische Sicherheitseinrichtung für elektronische Aufzeichnungssysteme 2.2.12 電子記録システムのための技術的セキュリティ装置
2.2.13 Überführung der Produktzertifizierung in den europäischen Rechtsakt zur Cyber-Sicherheit 2.2.13 製品認証のサイバーセキュリティに関する欧州の法律行為への移行
2.2.14 IT-Grundschutz 2.2.14 IT関連サービス
2.2.15 Allianz für Cyber-Sicherheit 2.2.15 アライアンス・フォー・サイバー・セキュリティ
2.2.16 Cyber-Sicherheitsnetzwerk 2.2.16 サイバーセキュリティネットワーク
2.2.17 Sonstige Lösungen für die Wirtschaft 2.2.17 経済に関するその他の解決策
2.3 Staat und Verwaltung 2.3 国家と行政
2.3.1 Die Gefährdungslage in der Bundesverwaltung 2.3.1 連邦政府における脅威の状況
2.3.2 Computer Emergency Response Team für Bundesbehörden 2.3.2 連邦政府機関向けコンピュータ緊急対応チーム
2.3.3 Nationales Verbindungswesen 2.3.3 国内リエゾン体制
2.3.4 Zusammenarbeit mit Ländern und Kommunen 2.3.4 州・自治体との連携
2.3.5 Cyber-Sicherheit von Landtagswahlen 2.3.5 国政選挙のサイバーセキュリティ
2.3.6 Informationssicherheitsberatung 2.3.6 情報セキュリティコンサルティング
2.3.7 Geheimschutzberatung zu VS-IT 2.3.7 VS-ITに関する秘密のセキュリティアドバイス
2.3.8 Smart Borders und hoheitliches Identitätsmanagement 2.3.8 スマートボーダーと主権者ID管理
2.3.9 Technologieverifikation in sogenannten Technologie Labs 2.3.9 いわゆる技術研究所での技術検証
2.3.10 App-Testing für mobile Lösungen 2.3.10 モバイルソリューションのアプリテスト
2.3.11 Onlinezugangsgesetz: die IT-Sicherheitsverordnung Portalverbund 2.3.11 オンラインアクセス法:ITセキュリティ規制ポータルネットワーク
2.4 Internationales 2.4 国際
2.4.1 Engagement des BSI im EU-Rahmen 2.4.1 BSI の EU 枠組みへの関与
2.4.2 Engagement des BSI in der NATO 2.4.2 BSIのNATOへの関与
2.4.3 Multilaterales und bilaterales Engagement des BSI 2.4.3 BSIの多国間および二国間エンゲージメント
2.4.4 Aufbau der National Cybersecurity Certification Authority 2.4.4 国家サイバーセキュリティ認証機関の設立
2.4.5 Nationales Koordinierungszentrum für Cyber-Sicherheit 2.4.5 ナショナル・サイバー・セキュリティ・コーディネーション・センター
2.4.6 eID: Novellierung der eIDAS-Verordnung 2.4.6 eID:eIDAS規制の改正について
2.4.7 Mindestanforderungen für die IT- und Cyber-Sicherheit von Satelliten 2.4.7 人工衛星のIT・サイバーセキュリティに関する最低要件
2.5 Aktuelle Trends und Entwicklungen in der IT-Sicherheit 2.5 ITセキュリティの最新動向と展開
2.5.1 Künstliche Intelligenz 2.5.1 人工知能
2.5.2 Kryptografie 2.5.2 暗号技術
2.5.3 Quantum Key Distribution 2.5.3 量子鍵配布
2.5.4 Self-Sovereign Identities und Blockchain-Technologie 2.5.4 自己主権型アイデンティティとブロックチェーン技術
3 Fazit 3 結論
Glossar 用語集
Quellenverzeichnis
出典元一覧

 

本文よりぬき...

1 Gefährdungen der Cyber-Sicherheit in Deutschland 1 ドイツにおけるサイバーセキュリティへの脅威
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beobachtet als nationale Cyber-Sicherheitsbehörde kontinuierlich die Gefährdungslage der IT-Sicherheit in Deutschland. Im Fokus des BSI stehen Cyber-Angriffe auf Unternehmen, staatliche sowie öffentliche Institutionen und Privatpersonen, aber auch Maßnahmen zur Prävention und Bekämpfung dieser Lagen. Der vorliegende Bericht zieht eine Bilanz für die Zeit vom 1. Juni 2021 bis zum 31. Mai 2022 (Berichtszeitraum). Damit greift der Bericht aktuelle und unter Umständen anhaltende Cyber-Bedrohungen auf. Er bewertet auch die IT-Sicherheitslage im Kontext des russischen Angriffskrieges auf die Ukraine.  連邦情報セキュリティ局(BSI)は、サイバーセキュリティの国家機関として、ドイツのITセキュリティの脅威の状況を継続的に監視している。BSIは、企業、国家・公共機関、個人に対するサイバー攻撃だけでなく、こうした事態を防止し、対抗するための対策にも重点を置いている。本報告書は、2021 年 6 月 1 日から 2022 年 5 月 31 日までの期間(報告期間)の状況を把握したものである。このように、この報告書では、現在進行中の、そして特定の状況下では継続的なサイバー脅威を扱っている。また、ロシアのウクライナ侵略戦争を背景としたITセキュリティの状況についても評価している。
Anhand zahlreicher konkreter Beispiele aus vielen unterschiedlichen Bereichen zeichnet der Bericht den Weg und die typischen Methoden der Angreifer nach, um zugleich aufzuzeigen, wie sich Menschen und Organisationen schützen können. Die Übersicht beginnt mit einer Zusammenfassung der allgemeinen Gefährdungslage und aktueller Cyber-Bedrohungen. Angriffe wirken sich nicht nur unmittelbar auf die betroffenen Menschen und Organisationen aus, sondern beeinträchtigen das Leben aller in einer digitalisierten Gesellschaft. Umso wichtiger ist es, jeden einzelnen Bereich mit seinen spezifischen Bedrohungen zu beleuchten und im weiteren Verlauf die Gegenmaßnahmen zielgruppenspezifisch darzustellen. 本報告書では、さまざまな分野の具体的な事例を数多く取り上げ、攻撃者の手口や典型的な手法を追うと同時に、人々や組織がどのようにして自らを守ることができるかを示している。概要は、まず一般的な脅威の状況や現在のサイバー脅威の概要について説明する。攻撃は、被害を受けた人や組織に直接的な影響を与えるだけでなく、デジタル化された社会に生きるすべての人の生活に影響を与えます。そのため、各領域の脅威を明確にし、さらにターゲットグループに応じた対策を提示することがより重要である。
1.1 —  Zusammenfassung und Bewertung 1.1 - 概要と評価
Insgesamt spitzte sich im Berichtszeitraum die bereits zuvor angespannte Lage weiter zu. Die Bedrohung im Cyber-Raum ist damit so hoch wie nie. Im Berichtszeitraum wurde – wie schon im Vorjahr – eine hohe Bedrohung durch Cybercrime beobachtet. Ransomware blieb die Hauptbedrohung (siehe Kapitel Ransomware, S. 13), besonders für Unternehmen. Hinzu kamen verschiedene Bedrohungen im Zusammenhang mit dem russischen Angriffskrieg auf die Ukraine, zum Beispiel durch Hacktivismus, insbesondere mittels Distributed-Denial-of-Service-Angriffen (DDoS-Angriffen), und Kollateralschäden bei Cyber-Sabotage-Angriffen  im Rahmen des Krieges. Sowohl durch Cybercrime als auch durch Cyber-Aktivitäten im Rahmen des Kriegs in der Ukraine hat es darüber hinaus im Berichtszeitraum Störungen von IT-Lieferketten gegeben. Eine Erhöhung der Resilienz gegenüber Cyber-Angriffen und technischen Störungen ist daher eine Hauptaufgabe für alle beteiligten Akteure in Staat, Wirtschaft und Gesellschaft. 全体として、すでに緊張状態にあった状況は、報告期間中に悪化した。このように、サイバー空間における脅威はかつてないほど高まっている。この報告期間中、前年度と同様に、サイバー犯罪による高い脅威が観察された。ランサムウェアは、特に企業にとって主要な脅威であることに変わりはない(13ページのランサムウェアの章を参照)。また、ロシアのウクライナ侵略戦争に関連して、特に分散型サービス妨害(DDoS)攻撃によるハクティビズムや、戦争に伴うサイバー妨害攻撃での巻き添えなど、さまざまな脅威があった。また、報告期間中、ウクライナ戦争を背景としたサイバー犯罪とサイバー活動の両方により、ITサプライチェーンに混乱が生じた。したがって、サイバー攻撃や技術的混乱に対するレジリエンスを高めることは、国家、経済、社会に関わるすべてのアクターにとって重要な課題である。
Russischer Angriffskrieg gegen die Ukraine: ロシアのウクライナへの侵略戦争:
Bislang gab es in Deutschland im Zusammenhang mit dem Angriffskrieg Russlands gegen die Ukraine eine Ansammlung kleinerer Vorfälle und HacktivismusKampagnen (vgl. zum Beispiel Vorfall Kollateralschäden nach Angriff auf ein Unternehmen der Satellitenkommunikation, Seite 49 und Vorfall Cyber-Angriff auf deutschen Mineralölhändler, Seite 50). Eine übergreifende Angriffskampagne gegen deutsche Ziele war nicht ersichtlich. Die Lage im Cyber-Raum von NATO-Partnern war dagegen teilweise angespannt und in der Ukraine teilweise existenzbedrohend kritisch.  これまでドイツでは、ロシアのウクライナ侵略戦争に関連して、小規模な事件やハクティビズムキャンペーンが蓄積されてきた(例えば、衛星通信会社に対する攻撃後の巻き添え事件49ページ、ドイツ鉱油取引業者に対するサイバー攻撃事件50ページ参照)。ドイツの目標に対する包括的な攻撃作戦は明らかにされていない。一方、NATO加盟国のサイバー空間における状況は、ウクライナでは国の存立を脅かすほど緊迫し、危機的状況に陥ったケースもあった。
Erpressungsmethoden im Cyber-Raum: サイバー空間における恐喝の手口:
Die im vergangenen Berichtszeitraum beobachtete Ausweitung von Methoden der Erpressungsmethoden im Cyber-Raum hat sich im aktuellen Berichtszeitraum fortgesetzt. Insbesondere das sogenannte Big Game Hunting, also die Erpressung umsatzstarker Unternehmen mit verschlüsselten und exfiltrierten Daten, hat weiter zugenommen. Sowohl die von IT-Sicherheitsdienstleistern berichteten Lösegeld- und SchweigegeldZahlungen als auch die Anzahl der Opfer, deren Daten etwa wegen ausbleibender Zahlungen auf Leak-Seiten veröffentlicht wurden, sind weiter gestiegen. Zudem kam es im aktuellen Berichtszeitraum auch immer wieder zu Erpressungen mit erbeuteten Identitätsdaten.  前回の報告期間中に見られたサイバー空間における恐喝の手法の拡大は、今回の報告期間でも継続された。特に、いわゆる大物狩り、つまり暗号化され流出したデータで高収益の企業を強奪するケースが増え続けているのである。ITセキュリティサービスプロバイダーが報告する身代金や口止め料の支払いも、支払いがないために漏洩サイトなどでデータが公開された被害者も、ともに増え続けている。また、今回の報告期間では、取り込んだIDデータを使った恐喝事件が繰り返された。
Es ließen sich auch wieder mehrere, teils ungewöhnlich ausgeprägte Sextortion-Kampagnen beobachten. In diesen Spam-Mails behaupten Angreifer, über kompromittierende, intime Geheimnisse des Opfers zu verfügen und drohen, diese zu veröffentlichen. Um die Veröffent lichung der vermeintlich vorhandenen kompromittierenden Informationen zu verhindern, solle das Opfer einen bestimmten Betrag in einer Kryptowährung (z. B. Bitcoin) überweisen.  また、いくつかの異常に顕著なセクストーションキャンペーンも再び観測された。これらのスパムメールの中で、攻撃者は被害者の危険な親密な秘密を持っていると主張し、それを公表すると脅す。漏洩したとされる情報の公開を防ぐために、被害者は暗号通貨(ビットコインなど)で一定額を送金することになっている。
Schwachstellen: 脆弱性:
Im Jahr 2021 wurden zehn Prozent mehr Schwachstellen bekannt als im Vorjahr. Mehr als die Hälfte von ihnen wiesen hohe oder kritische Scores nach dem Common Vulnerability Scoring System (CVSS) auf. Als besonders kritisch war die Schwachstelle in Log4j zu bewerten, da sich diese in vielen frei verfügbaren Software-Bausteinen befand. IT-Sicherheitsverantwortliche konnten daher in der Regel nur schwer einschätzen, ob die von ihnen eingesetzte Software die Schwachstelle aufwies. Aufgrund der hohen Verbreitung von Log4j war von einer großen Angriffsfläche für Cyber-Angriffe auszugehen. 2021年は、前年より10%多く脆弱性が開示された。そのうちの半数以上は、CVSS(Common Vulnerability Scoring System)によるスコアが「高」または「重大」であった。特にLog4jの脆弱性は、自由に利用できるソフトウェア・コンポーネントの多くで発見されたため、非常に重大な問題だった。そのため、ITセキュリティ担当者は、通常、使用しているソフトウェアにその脆弱性があるかどうかを判断することは困難であった。Log4jの分布が多いため、サイバー攻撃の攻撃対象が多いと想定される。
Advanced Persistent Threats (APT): 高度な持続的な脅威 (APT):
Im aktuellen Berichtszeitraum waren vermehrt Angriffe auf Perimeter-Systeme, wie zum Beispiel Firewalls oder Router, zu beobachten. Während gezielte APT-Angriffe mittels Schadprogrammen in E-Mails in der Regel hohen Aufwand erfordern, sind PerimeterSysteme direkt aus dem Internet erreichbar, vergleichsweise schlecht geschützt und daher leichter angreifbar. Mehr und mehr scannen APT-Gruppen das Internet nach bekannten Schwachstellen in Perimeter-Systemen, für die noch keine Patches verfügbar sind, um diese gezielt angreifen zu können.  今回の報告期間では、ファイアウォールやルーターなどの境界システムに対する攻撃が多く観測された。電子メールにマルウェアを仕込んだ標的型攻撃は、通常、多大な労力を必要とするが、境界システムはインターネットから直接アクセスでき、比較的防御が甘いため、攻撃されやすいといえます。APTグループは、境界システムの既知の脆弱性のうち、まだパッチが提供されていないものをインターネット上でスキャンし、特別に攻撃できるようにするケースが増えている。
Distributed Denial of Service (DDoS): DDoS(Distributed Denial of Service):
Nach Berichten verschiedener Mitigationsdienstleister hat die Zahl der DDoS-Angriffe weiter zugenommen. So verzeichnete etwa der deutsche Mitigationsdienstleister Link11 für das Jahr 2021 einen Anstieg der DDoSAngriffe um rund 41 Prozent im Vergleich zum Vorjahr. Insbesondere rund um das jährliche OnlineshoppingEvent Cyber Week und in der Vorweihnachtszeit waren spürbar mehr Angriffe zu beobachten. Rund um die Cyber Week 2021 hat sich die Zahl der DDoS-Angriffe gegenüber der Cyber Week 2020 verdoppelt. 各種ミティゲーション・サービス・プロバイダーからの報告によると、DDoS攻撃は増加の一途をたどっているとのことである。例えば、ドイツのミティゲーションサービスプロバイダーであるLink11は、2021年のDDoS攻撃が前年比で約41%増加したことを記録している。特に、毎年恒例のネット通販イベント「サイバーウィーク」の前後や、クリスマスまでの間に、顕著に多くの攻撃が観測された。2021年のサイバーウィーク前後には、2020年のサイバーウィークと比較して、DDoS攻撃の件数が倍増している。
... ...
2 Zielgruppenspezifische Erkenntnisse und Maßnahmen 2 ターゲットグループ別の知見と対策
Das BSI ist die Cyber-Sicherheitsbehörde des Bundes und gestaltet die sichere Digitalisierung in Deutschland – gemeinsam mit den Bürgerinnen und Bürgern, der Wirtschaft sowie mit Staat und Verwaltung und internationalen Gremien. Mit Inkrafttreten des IT-Sicherheitsgesetzes 2.0 wurde der Auftrag des BSI erweitert, um den Herausforderungen der fortschreitenden Digitalisierung zu begegnen, unter anderem mit der Verankerung des digitalen Verbraucherschutzes im BSI. Damit unterstützt das BSI Verbraucherinnen und Verbraucher in der Risikobewertung von Technologien, Produkten, Dienstleistungen und Medienangeboten. BSIは連邦政府のサイバーセキュリティ当局であり、市民、ビジネスコミュニティ、さらには国や行政、国際機関とともに、ドイツにおける安全なデジタル化を形成している。ITセキュリティ法2.0の発効により、BSIの任務は、デジタル消費者保護をBSIに定着させるなど、デジタル化の進展に伴う課題に対応するために拡大された。このように、BSIは、技術、製品、サービス、メディアのリスク評価において消費者をサポートしている。
2.1 — Gesellschaft  2.1 - 社会 
Die Digitalisierung spielt heutzutage in eine Vielzahl von Bereichen unserer Gesellschaft mit hinein – von der Nutzung verschiedenster Online-Dienste über das Gesundheitswesen bis hin zu Abstimmungen und Wahlen. Informationssicherheit ist für all das eine notwendige Voraussetzung. Das BSI arbeitet kontinuierlich daran, die Informationssicherheit in allen Bereichen unseres Lebens zu verbessern, damit die Bürgerinnen und Bürger ihre persönlichen Daten gut aufgehoben sehen, IT sicher anwenden und sich vertrauensvoll in der vernetzten Welt bewegen können. Dafür bündelt das BSI sein umfangreiches Know-how in den Bereichen Prävention, Detektion und Reaktion und leitet daraus konkrete Informationsangebote für gesellschaftliche Gruppen, aber auch für die einzelnen Bürgerinnen und Bürger ab. Im Berichtszeitraum hat sich das BSI dafür unter anderem mit Fragen rund um die Sicherheit vernetzter medizinischer Produkte, elektronischer Identitätsverfahren und den Möglichkeiten virtueller Versammlungen und Abstimmungen auseinandergesetzt. 現在、デジタル化は、多種多様なオンラインサービスの利用、ヘルスケア、投票や選挙など、社会の多くの分野で役割を担っている。そのためには、情報セキュリティが必須条件となる。BSIは、市民が個人情報を安心して預けられ、ITを安全に利用し、ネットワーク社会で自信を持って行動できるよう、生活のあらゆる場面で情報セキュリティを向上させるための活動を続けている。この目的のために、BSIは予防、検出、対応の分野における幅広いノウハウを蓄積し、そこから社会グループだけでなく、個々の市民に対しても具体的な情報を提供している。報告期間中、BSIは、ネットワークに接続された医療製品のセキュリティ、電子ID手続き、仮想会議と投票の可能性などの問題に取り組んだ。
2.1.1 Erkenntnisse zur Gefährdungslage in der Gesellschaft 2.1.1 社会における脅威の状況についての所見
Das BSI und das Programm Polizeiliche Kriminalprävention der Länder und des Bundes (ProPK) kooperieren, um Verbraucherinnen und Verbraucher umfassend über Schutzmöglichkeiten und die Risiken im Internet aufzuklären. Grundlage dieser Arbeit ist das Digitalbarometer, eine gemeinsame, repräsentative und seit 2019 jährlich durchgeführte Online-Befragung. Es wird erhoben, welche Bedeutung Sicherheit im Internet für Verbraucherinnen und Verbraucher hat, inwiefern sie sich vor den Gefahren der digitalen Welt schützen und wie sie sich über Schwachstellen, Risiken und Schutzmaßnahmen informieren. BSIと連邦州警察の犯罪防止プログラム(ProPK)が協力し、インターネットにおける保護の可能性とリスクについて消費者を総合的に教育している。その根拠となるのが、2019年から毎年実施している代表的なオンライン共同調査「デジタルバロメーター」である。消費者にとってのインターネット上のセキュリティの重要性、デジタル世界の危険からどの程度身を守っているか、脆弱性、リスク、防御策についてどのように情報を提供しているかなどを調査している。
Kriminalität im Internet leicht gestiegen – mehr als jeder Vierte ist Opfer インターネット上の犯罪がやや増加 - 4人に1人以上が被害者に
Die generelle Betroffenheit von Verbraucherinnen und Verbrauchern ist im Vergleich zu den vergangenen drei Jahren zuletzt leicht angestiegen: 29 Prozent der Befragten gaben an, bereits Opfer von Kriminalität im Internet gewesen zu sein. In den vergangenen Jahren waren es noch 25 Prozent. Dabei ist jeweils einem Viertel der Befragten vor allem Betrug beim Onlineshopping (25 %), ein Fremdzugriff auf ein Online-Konto (25 %) und/oder eine Infektion mit Schadsoftware (24 %) widerfahren. Im Gegensatz zum Betrug beim Onlineshopping (2021: 19 %) sind die Zahlen zur Betroffenheit vom Fremdzugriff auf ein Online-Konto (2021: 31 %) oder einer Infektion mit Schadsoftware (2021: 29 %) im Vergleich zum Vorjahr rückläufig. Von Phishing waren nur noch 19 Prozent der Befragten betroffen – im Vorjahr galt das noch für ein Viertel (25 %). 消費者の一般的な懸念は、最近、過去3年間と比較してわずかに増加している。調査対象者の29%が、すでにインターネット上で犯罪の被害に遭ったと回答している。過去数年間は、まだ25%だった。いずれの場合も、回答者の4分の1が、オンラインショッピングでの詐欺(25%)、オンラインアカウントへの第三者によるアクセス(25%)、マルウェアへの感染(24%)を経験していることがわかった。オンラインショッピング詐欺(2021年:19%)とは対照的に、オンラインアカウントへの第三者によるアクセス(2021年:31%)やマルウェアへの感染(2021年:29%)の被害を受けたという数値は前年より減少している。フィッシングの被害に遭った回答者はわずか19%だった。前年度も4分の1(25%)の回答者がそうだった。
Die Anwendung von Schutzmaßnahmen durch Verbraucherinnen und Verbraucher bleibt weiterhin ausbaufähig. Die Nutzung von Antivirenprogrammen (53 %), sicheren Passwörtern (52 %) und einer aktuellen Firewall (44 %) ist in der Bevölkerung verbreitet. Lediglich ein Drittel (34 %) der Befragten gab an, automatische Updates zu nutzen. Die Aktivierung einer 2FA nutzten nur 38 Prozent der Befragten. 消費者による保護手段の利用は、依然として拡大可能である。ウイルス対策ソフト(53%)、安全なパスワード(52%)、最新のファイアウォール(44%)の使用は、国民の間に広く浸透している。自動更新を利用していると回答したのは3分の1(34%)に過ぎない。2FAの有効化は、38%の回答者しか利用していない。
Umgang mit Sicherheitsempfehlungen セキュリティ勧告への対応
Zwei von fünf Befragten kennen Sicherheitsempfehlungen zum Schutz vor Kriminalität im Internet (45 %). Von diesen gab wiederum über die Hälfte (58 %) an, diese Empfehlungen zum Teil umzusetzen. 22 Prozent setzen sie vollständig um, nur vier Prozent gar nicht. Über die Hälfte der Befragten (51 %) informiert sich über Internetsicherheit, gut ein Fünftel (23 %) nie. Besonders wichtig ist den Befragten die Sicherheit beim Onlinebanking (83 %), beim Installieren von Software (70 %) und beim Onlineshopping (62 %). 回答者の5人に2人は、インターネット上の犯罪から身を守るためのセキュリティに関する推奨事項を知っている(45%)。このうち、半数以上(58%)が、これらの提言を部分的に実施していると回答している。完全に実施しているのは22%、全く実施していないのはわずか4%である。半数以上(51%)の回答者がインターネットの安全性について自分自身に知らせているが、5分の1(23%)は全くしていない。オンラインバンキング(83%)、ソフトウェアのインストール(70%)、オンラインショッピング(62%)の際に、セキュリティは回答者にとって特に重要な要素となっている。
Wunsch nach Orientierung für den Notfall 緊急時の案内を希望する
Die Opfer von Kriminalität im Internet gaben meist an, sich selbst geholfen zu haben. Das entspricht ihrem Bedarf nach Informationen: Die meisten wünschen sich eine Checkliste für den Notfall als Hilfestellung, gefolgt von einer Webseite mit Erklärvideos und einem Berater oder einer Beraterin bei der Polizei. Insgesamt wünschte sich über die Hälfte mehr Informationen zu Themen rund um Sicherheit im Internet, insbesondere Hinweise, wie sich Kriminalität im Internet erkennen lässt, und Informationen, wie sich Online-Konten schützen lassen. インターネット上の犯罪被害者は、ほとんどが「自分が助かった」と答えている。これは、情報に対するニーズと一致する。緊急時のチェックリストに続いて、説明ビデオを掲載したウェブサイト、警察署でのアドバイザーやカウンセラーの配置を希望する人が多いようである。全体として、半数以上がインターネット上の安全に関するトピック、特にインターネット上の犯罪を見分ける方法やオンラインアカウントを保護する方法に関する情報をもっと知りたいと考えているようである。
... ...
2.2 — Wirtschaft 2.2 - 経済
Die Erfolge bei der Digitalisierung entscheiden im hohen Maße über die Zukunft des Wirtschaftsstandortes Deutschland. Eine funktionierende und sichere IT schafft dafür die wesentlichen Voraussetzungen – sei es für das Betreiben Kritischer Infrastrukturen (KRITIS) oder die erfolgreiche Transformation der Geschäftsmodelle von kleinen und mittleren Unternehmen (KMU). Daher unterstützt das BSI mit zahlreichen Angeboten die Resilienz des Cyber-Standortes Deutschland sowie KRITIS-Betreiber bei der Umsetzung von Präventionsmaßnahmen gegen Cyber-Attacken. KMU profitieren vom fachlichen Austausch sowie von praxisorientierten IT-Sicherheitsempfehlungen. Mit der Allianz für CyberSicherheit wiederum stärkt das BSI die Widerstandsfähigkeit des Standorts Deutschland. Für mehr Informationssicherheit neuer Technologien gestaltet das BSI u. a. praxisgerechte Sicherheitsanforderungen, Standards und Handlungsempfehlungen. Auch als zentrale Zertifizierungs- und Standardisierungsstelle übernimmt das BSI Verantwortung und leistet obendrein einen wesentlichen Beitrag zum Gelingen großer Digitalisierungsprojekte. デジタル化の成功は、ビジネス拠点としてのドイツの将来にとって極めて重要である。重要なインフラの運用や、中小企業のビジネスモデルの転換を成功させるためにも、機能的で安全なITは必要不可欠な条件となるのであり、重要インフラ(KRITIS)の運用や、中小企業のビジネスモデルの転換を成功させるためである。このため、BSIは、サイバー攻撃への予防策を実施するKRITISオペレーターと同様に、サイバー拠点としてのドイツの強靭性を多くのオファーでサポートしている。中小企業にとっては、専門家同士の交流や実践に即したITセキュリティの提言が得られるというメリットがある。BSIは、サイバーセキュリティのためのアライアンスとともに、ビジネス拠点としてのドイツのレジリエンスを強化している。BSIは、新技術の情報セキュリティのために、特に実践的なセキュリティ要件、基準、行動勧告を設計している。BSIは、中央の認証・標準化機関としての責任も担っており、その上で、大規模なデジタル化プロジェクトの成功に大きく寄与しているのである。
2.2.1 — Erkenntnisse zur Gefährdungslage in der Wirtschaft 2.2.1 - 経済における脅威の状況についての所見
Die Wirtschaft war auch in diesem Berichtszeitraum erneut einer großen Anzahl von Cyber-Angriffen ausgesetzt, von denen der Großteil wiederum durch Ransomware geprägt war (vgl. Kapitel Ransomware, Seite 13). この報告期間中、経済は再び多くのサイバー攻撃にさらされ、その大半は再びランサムウェアによって特徴づけられた(13ページの「ランサムウェア」の章を参照)。
Zentrale Herausforderung für die Unternehmen in Deutschland ist die Steigerung der Cyber-Resilienz, d. h. die Kombination aus guter Präventionsarbeit mit der Möglichkeit, auf Cyber-Angriffe zu reagieren mit dem Ziel, den Betrieb des Unternehmens aufrechtzuerhalten und zu sichern. Das BSI beobachtet eine starke Zunahme der Nachfrage nach den Unterstützungsangeboten – von den Standards zur Cyber-Sicherheit bis hin zu Austausch- und Unterstützungsformaten wie der Allianz für Cyber-Sicherheit. Für die CyberSicherheitslage in Deutschland ist die Verfassung der IT-Sicherheit in der Wirtschaft essenziell, sodass eine Intensivierung der Bemühungen der Unternehmen in diesem Bereich für die Verbesserung der CyberSicherheit von großer Bedeutung ist. ドイツにおける企業の中心的な課題は、サイバー耐性を高めること、すなわち、企業活動の維持と安全を目的として、優れた予防業務とサイバー攻撃への対応能力を組み合わせることである。BSIは、サイバーセキュリティの標準から、サイバーセキュリティのためのアライアンスなどの交流・支援形式に至るまで、支援サービスに対する強い需要の増加を確認している。ドイツのサイバーセキュリティの状況には、企業部門のITセキュリティの状況が不可欠であり、この分野での企業の取り組みを強化することは、サイバーセキュリティの向上にとって非常に重要なことである。
... ...
2.3 — Staat und Verwaltung  2.3 - 国家と行政 
Eine Kernaufgabe des BSI ist die Abwehr von CyberAngriffen auf Regierungsnetze und die Bundesverwaltung. Für Behörden bei Bund, Ländern und Kommunen stellt das BSI ein breites Angebot zur Erhöhung der Informationssicherheit zur Verfügung: Die Basis bilden die Informationssicherheitsberatung, IT-Grundschutz und Mindeststandards sowie Zertifizierung und Zulassung. Bei IT-Sicherheitsvorfällen unterstützen CERT-Bund, mobile Einsatzteams (MIRT) oder das Nationale Cyber-Abwehrzentrum betroffene Behörden. Zentraler Ansprechpartner für Länder und Kommunen ist das nationale Verbindungswesen des BSI. Verbindungsstellen befinden sich in Hamburg, Berlin, Bonn, Wiesbaden und Stuttgart. BSIの中核的な任務のひとつは、政府ネットワークや連邦行政に対するサイバー攻撃から身を守ることである。BSIは、連邦、州、地方当局の情報セキュリティを高めるために幅広いサービスを提供している。情報セキュリティコンサルティング、IT-Grundschutz、最低基準、認証・認定がその基盤となっている。ITセキュリティ事件が発生した場合、CERT-Bund、モバイル事件対応チーム(MIRT)、国家サイバー防衛センターが影響を受ける当局を支援する。BSIの国内リエゾンオフィスは、レンダーや自治体との連絡の中心的な役割を担っている。リエゾンオフィスは、ハンブルク、ベルリン、ボン、ヴィースバーデン、シュトゥットガルトにある。
2.3.1 — Die Gefährdungslage in der Bundesverwaltung  2.3.1 - 連邦政府における脅威の状況 
Die Regierungsnetze sind tagtäglich Angriffen aus dem Internet ausgesetzt. Neben überwiegend ungezielten Massenangriffen finden sich hierbei auch gezielte Angriffe auf die Bundesverwaltung. Das BSI setzt verschiedene, sich gegenseitig ergänzende Maßnahmen zum Schutz der Regierungsnetze vor diesen Angriffen ein. 政府機関のネットワークは、日常的にインターネットからの攻撃にさらされている。標的を絞らない集団攻撃が主であることに加え、連邦政府を標的とした攻撃もある。BSIは、これらの攻撃から政府ネットワークを保護するために、相互に補完し合うさまざまな手段を用いている。
Eine präventive Komponente stellen Webfilter dar, die den Zugriff auf Webseiten oder die Verbindung zu Webservern blockieren, die mit Schadprogrammen im Zusammenhang stehen. Dadurch wird zum Beispiel der Zugriff auf hinter Download-Links versteckte Schadprogramme, die im Rahmen von Social-EngineeringAngriffen über E-Mail, Social-Media oder Webseiten verbreitet werden, verhindert. Auch die Kommunikation von Schadsoftware mit den entsprechenden Webservern, zum Beispiel zum Nachladen von weiteren Komponenten oder Befehlen, wird unterbunden. Im aktuellen Berichtszeitraum mussten rund 78.000 maliziöse Webseiten zusätzlich gesperrt werden. Während die Anzahl der monatlich gesperrten Webseiten von Juni 2021 bis Februar 2022 relativ stabil blieb, hat sich die Bedrohungseinschätzung im März 2022 vor dem Hintergrund des russischen Angriffskrieges gegen die Ukraine deutlich verändert, sodass spürbar mehr maliziöse Webseiten für den Zugriff aus der Bundesverwaltung gesperrt werden mussten. Der Index sprang binnen Monatsfrist um 158 Prozent auf 353 Punkte (vgl. Abbildung 28) – der höchste Wert seit Beginn der Aufzeichnungen. 予防的な要素としては、マルウェアに関連するウェブサイトへのアクセスやウェブサーバーへの接続をブロックするウェブフィルタがある。これにより、例えば、ソーシャルエンジニアリング攻撃の一環として電子メール、ソーシャルメディア、Webサイトを通じて拡散されるダウンロードリンクの背後に隠されたマルウェアへのアクセスを防止することができる。また、マルウェアが対応するウェブサーバーと通信し、さらなるコンポーネントやコマンドを再ロードすることも防いでいる。今回の報告では、約78,000の悪質なウェブサイトを追加でブロックする必要があった。2021年6月から2022年2月まで、毎月ブロックされるウェブサイトの数は比較的安定していたが、2022年3月にロシアのウクライナ侵略戦争を背景に脅威評価が大きく変化し、連邦政府からのアクセスをブロックしなければならない悪質なウェブサイトが顕著に増えた。この指数は1ヶ月で158%も上昇し353ポイントとなり(図28参照)、記録開始以来最も高い値となった。
Direkt in E-Mail-Anhängen versendete Schadprogramme werden mittels automatisierter AntivirusSchutzmaßnahmen erkannt und die Zustellung zum Empfänger gestoppt. Dies betraf im Berichtszeitraum durchschnittlich 34.000 E-Mails pro Monat. Nach einer sehr starken Angriffswelle im vorangegangenen Berichtszeitraum und der Abschaltung der EmotetInfrastruktur Ende Januar 2021 zeigt der „Index über Schadprogramm-Angriffe auf die Bundesverwaltung“ zunächst eine Normalisierung des Niveaus. Im März 2022 markiert sodann ein deutlicher Ausschlag des Indikators den sprunghaften Anstieg von Emotet-Spam (vgl. Abbildung 29). In dem Botnetz waren bereits seit Herbst 2021 wieder Aktivitäten zu beobachten, die sich seit März 2022 spürbar verstärkten. メールの添付ファイルで直接送られたマルウェアは、自動的なウイルス対策手段によって検知され、受信者への配信が停止される。この結果、報告期間中、月平均34,000通の電子メールに影響があった。前報告期間に非常に強い攻撃の波があり、2021年1月末にEmotetのインフラが停止した後、「連邦行政に対するマルウェア攻撃の指標」は当初、水準の正常化を示していた。そして、2022年3月には、指標に明確なスパイクが発生し、Emotetスパムの急増を示する(図29参照)。ボットネットでの活動は、2021年秋から既に再確認されていたが、2022年3月以降、顕著に増加した。
Rund 5.200 E-Mails pro Monat wurden ausschließlich auf Basis von eigens durch das BSI erstellter AntivirusSignaturen als schädlich identifiziert. Insbesondere um gezielte Angriffe auf die Bundesverwaltung erkennen zu können, betreibt das BSI zusätzlich zu den bereits beschriebenen Maßnahmen nachgelagert ein System zur Detektion von Schadprogrammen im Datenverkehr der Regierungsnetze. Mit einer Kombination von automatisierten Testverfahren und manueller Analyse konnten die Analystinnen und Analysten des BSI durchschnittlich weitere knapp 2.500 Angriffe pro Monat identifizieren, die weder durch eine kommerzielle noch durch eine der oben genannten automatisierten Lösungen erkannt wurden. 毎月約5,200通のメールが、BSIが作成したアンチウイルスのシグネチャーに基づいて悪意あるメールと判定された。BSIでは、特に連邦政府を標的とした攻撃を検知できるよう、前述の対策に加え、下流の政府ネットワークのデータトラフィックからマルウェアを検知するシステムを運用している。BSIのアナリストは、自動テスト手順と手動分析を組み合わせることで、市販のソリューションでも上記の自動ソリューションでも検出できなかった、月平均約2,500件の攻撃を特定することに成功した。
Ergänzend wird die Sicherheit der Regierungsnetze mit einem zentralen Schutz vor Spam-E-Mails erhöht. Diese Maßnahme wirkt nicht nur gegen unerwünschte Werbe-E-Mails. Auch Cyber-Angriffe wie Phishing-EMails werden damit erkannt. また、スパムメール対策も一元化し、官公庁のネットワークの安全性を高めている。この対策は、迷惑な商用メールに対してのみ有効なわけではない。また、フィッシングメールなどのサイバー攻撃も検知することができる。
Die Spam-Quote, also der Anteil unerwünschter E-Mails an allen eingegangenen E-Mails, lag im Berichtszeitraum bei durchschnittlich 58 Prozent. Aufkommen und Entwicklung der Spam-E-Mails in den Netzen des Bundes werden durch den Spam-Mail-Index gemessen. Dieser erreichte im Berichtszeitraum durchschnittlich 111 Punkte. Im vergangenen Berichtszeitraum hatte der Indikator noch bei 114 Punkten gelegen. Dabei waren teils erhebliche Schwankungen zu verzeichnen. Während das Spam-Aufkommen im Spätsommer und Herbst 2021 auf unterdurchschnittlichem Niveau lag, sprangen die Index-Werte im Dezember 2021 und insbesondere im Februar 2022 deutlich nach oben. スパム率(受信した全メールのうち迷惑メールが占める割合)は、報告期間中平均58%だった。連邦政府のネットワークにおけるスパムメールの発生・発展状況を、スパムメール指数で測定している。この結果、当四半期の平均は 111 ポイントとなった。前回の報告期間では、この指標は114ポイントだった。かなり変動があるケースもあった。2021年晩夏から秋にかけてスパムの量が平均を下回る中、2021年12月、特に2022年2月に指数値が大きく跳ね上がった。
Im Dezember 2021 trieb eine Sextortion-Kampagne im Anschluss an die Onlineshopping-Events Black Friday und Cyber Monday die Werte nach oben (vgl. auch Kapitel Spam und Phishing, Seite 26). Die Spam-Filter der Bundesverwaltung wehren solche Spam-Wellen zuverlässig ab, sodass sie die adressierten Nutzerinnen und Nutzer nicht erreichen. 2021年12月には、オンラインショッピングのイベント「ブラックフライデー」と「サイバーマンデー」に伴うセクスチューションキャンペーンが値を押し上げた(26ページ「スパムとフィッシング」の章も参照)。連邦政府のスパムフィルターは、このようなスパムの波を確実にかわし、宛先のユーザーに届くことはない。
... ...
3 Fazit 3 まとめ
Neue Dimension bei Schwachstellen 新たな次元の脆弱性
Die Lage bei Schwachstellen war im Berichtszeitraum überdurchschnittlich bedrohlich. Das lag einerseits daran, dass mit Schwachstellen in MS Exchange und Log4j besonders kritische Schwachstellen in weitverbreiteten Produkten auftraten und nur zögerlich geschlossen werden konnten. Insbesondere bei Log4Shell herrschte eine langanhaltende Unsicherheit, wie viele IT-Produkte tatsächlich betroffen waren und wie das Problem umfänglich behoben werden konnte. Zum anderen hat aber auch die Anzahl der bekannt gewordenen Schwachstellen insgesamt weiter zugenommen. So verzeichnete das CVSS-Scoring-System im Jahr 2021 mit 20.174 Schwachstellen in Software-Produkten rund 10 Prozent mehr als im Jahr zuvor. Das spiegelt sich auch in den im Jahr 2021 vom Warn- und Informationsdienst des BSI veröffentlichten Meldungen über Schwachstellen in den 150 gängigsten Produkten. Mit 6.910 stieg die Anzahl um rund zehn Prozent im Vergleich zum Vorjahr. 報告期間中の脆弱性の状況は平均以上であった。一方では、MS ExchangeやLog4jの脆弱性など、特に重大な脆弱性が広く普及している製品で発生し、躊躇しているうちに終結してしまったことが原因である。特にLog4Shellの場合、実際にどれだけのIT製品が影響を受け、どのようにすれば問題を包括的に解決できるのか、不明な点が長く続いた。一方、判明した脆弱性の件数も、全体として増加傾向が続いている。例えば、CVSSスコアリングシステムは、2021年にソフトウェア製品に20,174件の脆弱性を記録し、前年より約10%増加した。これは、BSIのWarning and Information Serviceが2021年に発表した、最も一般的な150製品の脆弱性に関する報告書にも反映されている。6,910となり、前年度比で約10%増加した。
Im zweiten Halbjahr 2021 kam es zudem zu herausragenden Supply-Chain-Angriffen über die Software Virtual System Administrator (VSA) eines amerikanischen Software-Herstellers, die auch in Deutschland vielfach verwendet wird und deshalb zahlreiche Kundinnen und Kunden betraf. VSA wird beispielsweise zur Fernwartung und zum Monitoring von IT-Systemen eingesetzt. Schwachstellen in VSA sind deshalb besonders kritisch, weil sich über den Verwaltungsserver von VSA auf jeden verwalteten Client zugreifen und auch Software verteilen lässt. Das BSI hat deshalb am 4. Juli 2021 eine Cyber-Sicherheitswarnung herausgegeben, die anschließend regelmäßig aktualisiert wurde. Das BSI beobachtete die Betroffenheit deutscher Organisationen intensiv, beriet Betroffene zu IT-forensischen Maßnahmen und übermittelte Erste-Hilfe-Dokumente. 2021年後半には、アメリカのソフトウェアメーカーのVSA(Virtual System Administrator)ソフトウェアを介したサプライチェーン攻撃も顕著で、このソフトウェアはドイツでも広く使われているため、多数の顧客に影響が及んだ。VSAは、ITシステムの遠隔保守・監視などに利用されている。特にVSAの脆弱性は、VSAの管理サーバーを経由して、すべての管理対象クライアントにアクセスし、ソフトウェアを配布することができるため、非常に重要である。そこでBSIは、2021年7月4日にサイバーセキュリティ警告を発し、その後、定期的に更新している。BSIは、ドイツの組織がどのような影響を受けたかを集中的に監視し、影響を受けた組織にITフォレンジック対策をアドバイスし、応急処置の文書を提供した。
Zeitenwende für Cyber-Sicherheit made in Germany ドイツ製サイバーセキュリティの転機
Schon vor dem Digitalisierungsschub, den die CoronaPandemie verstärkt hat, und vor der neuen Bedrohungslage in Folge des russischen Angriffskrieges auf die Ukraine, war Cyber-Sicherheit ein wesentlicher Erfolgsfaktor für eine zunehmend digital vernetzte Gesellschaft und Wirtschaft. Doch die beschleunigte Digitalisierung in allen Bereichen des alltäglichen Lebens – von den Lieferketten der international agierenden Konzerne, den Geschäftsprozessen auch in kleinen und kleinsten Unternehmen über die Dienstleistungen öffentlicher Institutionen bis hin zu den digitalen Anwendungen, die fast jede Bürgerin und jeder Bürger täglich im Alltag nutzt – macht auch bei der Cyber-Sicherheit made in Germany eine Zeitenwende notwendig. コロナ・パンデミックが激化したデジタル化の波や、ロシアのウクライナ侵略戦争による新たな脅威の状況以前から、サイバーセキュリティはデジタルネットワーク化が進む社会・経済にとって必須の成功要因であった。しかし、国際的に事業を展開する企業のサプライチェーン、中小企業でもビジネスプロセス、公共機関のサービス、ほぼすべての国民が毎日日常的に利用するデジタルアプリケーションなど、日常生活のあらゆる分野でデジタル化が加速していることもあり、ドイツ製のサイバーセキュリティには転換が必要となっている。
Das Wohlergehen der Bevölkerung hängt stärker als je zuvor unmittelbar und in großem Umfang davon ab, wie erfolgreich es gelingt, die digitale Resilienz der Gesellschaft zu stärken. Und das bedeutet nicht nur Resilienz gegen Angriffe von Cyber-Kriminellen, gegen Soft- und Hardware-Ausfälle oder Konfigurationsfehler, die die Verfügbarkeit von gewohnten und alltäglichen Dienstleistungen gefährden können. Das vergangene Jahr hat auch gezeigt, dass unvorhergesehene Ereignisse die Bedrohungslage auf ein neues Level heben können, dass Kollateralschäden durch Cyber-Angriffe in Nachbarländern auch unmittelbare Auswirkungen auf Deutschland und Europa haben können. これまで以上に、国民の幸福度は、社会のデジタル・レジリエンスをいかに強化するかに直接かつ大きく依存している。これは、サイバー犯罪者による攻撃や、ソフトウェアやハードウェアの障害、設定ミスなど、身近なサービスの可用性を損なうことに対するレジリエンス(回復力)だけを意味するのではない。また、この1年は、不測の事態が脅威の状況を新たなレベルに引き上げること、近隣諸国におけるサイバー攻撃の巻き添えがドイツやヨーロッパにも直接影響を及ぼす可能性があることを示しめした。
All dies macht deutlich, dass präventive IT-Sicherheitsmaßnahmen die wirkungsvollsten IT-Sicherheitsmaßnahmen sind. Vor diesem Hintergrund ist die von der Bundesregierung geplante Modernisierung der CyberSicherheitsarchitektur und der Ausbau des BSI zur Zentralstelle für Informationssicherheit im Bund-Länderverhältnis ein wichtiger Schritt für eine eng verzahnte föderale Cyber-Abwehr. Denn nur eine intensive, dauerhafte und fortgesetzte Zusammenarbeit zwischen Bund und Ländern ermöglicht es, den Gefahren im „grenzenlosen Cyberraum“ eine effektive Antwort entgegen zu setzen. Das BSI wird seinen Beitrag weiter und schnell erhöhen und wirkungsvolle Prävention gegen IT-Sicherheitsvorfälle vorantreiben. Denn jedes Computersystem, das nicht gehackt werden kann, jede IT-basierte Dienstleitung, die nicht gestört werden kann, ist ein elementarer Beitrag zu einer funktionierenden digital vernetzten Gesellschaft. これらのことから、予防的なITセキュリティ対策が最も効果的なITセキュリティ対策であることは明らかである。このような背景から、連邦政府が計画しているサイバーセキュリティ・アーキテクチャーの近代化、およびBSIの連邦国家関係における情報セキュリティの中央オフィスへの拡大は、緊密に連動した連邦サイバー防衛のための重要なステップとなるものである。連邦政府とレンダーが集中的、持続的に協力してこそ、「国境のないサイバースペース」の脅威に効果的に対処することができる。BSIは、ITセキュリティインシデントに対する効果的な予防策を推進し、さらに急速に貢献度を高めていく。なぜなら、ハッキングされないコンピュータシステム、中断されないITベースのサービスはすべて、デジタル・ネットワーク社会が機能するための基本的な貢献だからである。

 

| | Comments (0)

ドイツ シンガポール 消費者向けIoT製品のサイバーセキュリティ・ラベルの相互承認 (2022.10.20)

こんにちは、丸山満彦です。

ドイツの連邦情報セキュリティ局 (BSI) とシンガポールのサイバーセキュリティ庁 (CSA) が消費者向けIoT製品のサイバーセキュリティ・ラベルの相互承認協定に署名していますね。。。

米国では、NISTを中心にIoT製品の認証のための仕組みづくりの検討が進み、欧州では、サイバーレジリエンス法案が欧州委員会から提案されるなど、消費者向けIoT製品についての認証等が話題になりそうですね。。。ドイツ、シンガポール、フィンランドでは認証制度がはじまっています。。。シンガポールがこの分野はなかなか熱心ですね。。。

相互認証が進めば、企業側も利用者側もメリットがありますね。。。あっ、日本ってどうするだっけ...

 

Fig1_20221030171201

 

ドイツ

Bundesamt für Sicherheit in der Informationstechnik: BSI 

・2022.10.20 BSI and Singapore Cyber Security Agency Mutually Recognise Cyber Security Labels

BSI and Singapore Cyber Security Agency Mutually Recognise Cyber Security Labels BSIとシンガポールサイバーセキュリティ庁がサイバーセキュリティラベルを相互認証
The Vice President of the German Federal Office for Information Security (BSI), Dr. Gerhard Schabhüser, and the Chief Executive of the Cyber Security Agency Singapore (CSA), David Koh, signed a bilateral agreement. ドイツ連邦情報セキュリティ局(BSI)副総裁ゲアハルト・シャブヒューザー博士とシンガポールサイバーセキュリティ庁(CSA)長官デビッド・コーが二国間協定に署名。
The Vice President of the German Federal Office for Information Security (BSI), Dr. Gerhard Schabhüser, and the Chief Executive of the Cyber Security Agency Singapore (CSA), David Koh, signed a bilateral agreement on the mutual recognition of the German IT Security Label and Singapore’s Cybersecurity Label on this year's Singapore International Cyber Week (SICW). ドイツ連邦情報セキュリティ局(BSI)の副総裁ゲアハルト・シャブヒューザー博士と、サイバーセキュリティ庁シンガポール(CSA)の最高責任者デビッド・コーは、今年のシンガポール国際サイバーウィーク(SICW)で、ドイツのITセキュリティラベルとシンガポールのサイバーセキュリティラベルの相互認証に関する二国間協定に調印した。
With immediate effect, products with the German IT Security Label of the BSI can receive a level 2 Cybersecurity Label in Singapore. Level 2 or higher of the Singaporean Cybersecurity Label allows manufacturers to undergo a simplified application process to obtain the German IT Security Label. The agreement covers the product category Smart Consumer Devices published by the BSI. This mainly bases on the European IoT basic standard ETSI EN 303 645. 即日、BSIのドイツITセキュリティラベルを取得した製品は、シンガポールでレベル2のサイバーセキュリティラベルを取得することができる。シンガポールのサイバーセキュリティラベルのレベル2以上であれば、メーカーはドイツのITセキュリティラベルを取得するための簡略化された申請手続きを受けることができる。本協定は、BSIが発行する製品カテゴリー「スマート消費者向けデバイス」を対象としている。これは主に欧州のIoT基本規格であるETSI EN 303 645に基づくものである。
Through the joint agreement with the CSA, the BSI as the German federal cyber security authority is further expanding its cooperation with international cyber security authorities. In the further development of the German IT Security Label, the BSI attaches particular importance to the best possible synchronisation with existing and future European and international cyber security labels. CSAとの共同合意により、ドイツ連邦サイバーセキュリティ当局であるBSIは、国際的なサイバーセキュリティ当局との協力関係をさらに拡大している。ドイツITセキュリティラベルのさらなる発展において、BSIは、既存および将来の欧州および国際的なサイバーセキュリティラベルとの最適な同期を特に重要視している。
With this mutual recognition agreement, the BSI is fulfilling its role as a pioneer and shaper of secure digitisation not only in Germany but also at international level. The joint agreement confirms the importance of the IT Security Label as a blueprint for the design of European and international labels. この相互認証協定により、BSIはドイツ国内だけでなく、国際的にも安全なデジタル化の先駆者、形成者としての役割を果たすことができる。この共同合意は、欧州および国際的なラベルの設計のための青写真として、ITセキュリティラベルの重要性を確認するものである。
With the help of the IT Security Label, consumers can easily find out, via the short link or QR code on the label, about the security features of networked, internet-enabled products as assured by manufacturers and providers. The BSI issues the IT Security Label after a manufacturer has tested and comprehensibly and plausibly declared that its device or service meets specific, security-relevant product requirements. ITセキュリティラベルのおかげで、消費者はラベル上のショートリンクやQRコードを通じて、メーカーやプロバイダーが保証するネットワークやインターネットに接続された製品のセキュリティ機能について簡単に知ることができる。BSIは、メーカーがその機器やサービスをテストし、セキュリティに関連する特定の製品要件を満たしていることを分かりやすく、かつもっともらしく ドイツ宣言した後に、ITセキュリティラベルを発行している。

 

ドイツのIoTセキュリティラベリング制度

IT-Sicherheitskennzeichen

 


シンガポール

Cyber Security Agency of Singapore: CSA

・2022.10.20 Singapore and Germany Sign Mutual Recognition Arrangement on Cybersecurity Labels for Consumer Smart Products

Singapore and Germany Sign Mutual Recognition Arrangement on Cybersecurity Labels for Consumer Smart Products シンガポールとドイツは、消費者向けスマート製品のサイバーセキュリティラベルに関する相互承認に調印
The Cyber Security Agency of Singapore (CSA) and Germany’s Federal Office for Information Security (BSI) will sign a Mutual Recognition Arrangement (MRA) on the cybersecurity labels to be issued by both countries today. シンガポールのサイバーセキュリティ庁(CSA)とドイツの連邦情報セキュリティ局(BSI)は、本日、両国が発行するサイバーセキュリティラベルに関する相互承認協定(MRA)に調印する予定である。
2. CSA’s Cybersecurity Labelling Scheme (CLS) is the first multi-level labelling scheme in the Asia Pacific region.  Under the scheme, smart devices will be rated according to their levels of cybersecurity provisions, from Level 1 to Level 4. Under the MRA, smart consumer products issued with Germany’s IT Security Label and Singapore’s Cybersecurity Label will be mutually recognised in either country. Products issued with BSI’s label will be recognised by CSA to have fulfilled CLS Level 2 requirements, while products with CLS Levels 2 and above will be recognised by BSI. 2. CSAのサイバーセキュリティ・ラベリングスキーム(CLS)は、アジア太平洋地域初のマルチレベル・ラベリングスキームである。  この制度では、スマートデバイスは、サイバーセキュリティ規定のレベルに応じて、レベル1からレベル4まで格付けされる。MRAのもと、ドイツのITセキュリティラベルとシンガポールのサイバーセキュリティラベルが発行されたスマート消費者向け製品は、どちらの国でも相互に承認される。BSIのラベルが発行された製品は、CSAによってCLSレベル2の要件を満たしていると認定され、CLSレベル2以上の製品はBSIによって認定される。
3. The mutual recognition of cybersecurity labels will apply to devices intended for use by consumers such as smart cameras, smart televisions, smart speakers, smart toys, smart garden and household robots, gateways and hubs for home automation, health trackers, smart lighting, smart plug (smart power socket) and smart thermostats. 3. サイバーセキュリティラベルの相互認証は、スマートカメラ、スマートテレビ、スマートスピーカー、スマート玩具、スマートガーデンや家庭用ロボット、ホームオートメーションのためのゲートウェイやハブ、ヘルストラッカー、スマート照明、スマートプラグ(スマートコンセント)、スマートサーモスタットなど消費者が使用することを目的としたデバイスに適用される。
4. For a start, the MRA will not cover some products such as Smart Door Locks, Fire/Gas/Water detectors1, and general computing devices such as computers, smartphones or tablets, which are designed to run any applications without a predefined purpose. CSA and BSI will progressively work towards recognising more product categories under the scope of the MRA. 4. MRAは、まず、スマートドアロック、火災/ガス/水検知器1、およびコンピュータ、スマートフォン、タブレットなどの一般的なコンピューティングデバイスのように、事前に定義された目的なしに任意のアプリケーションを実行するように設計されている一部の製品は対象外となる。CSA と BSI は、より多くの製品カテゴリーを MRA の対象として認識するよう、順次取り組んでいく。
5. Germany is the second country after Finland to formalise the mutual recognition of national cybersecurity labels with Singapore. At SICW 2021, CSA signed its first Memorandum Of Understanding (MOU) with the Transport and Communications Agency of Finland (Traficom). Consumer IoT products with Finland's Cybersecurity Label will be recognised as having met CLS Level 3 requirements, and vice versa2. 5. ドイツは、フィンランドに続き、シンガポールとの間で国家サイバーセキュリティラベルの相互承認を正式に行った2番目の国である。SICW 2021において、CSAはフィンランド運輸通信庁(Traficom)と初の覚書 (MOU)を締結した。フィンランドのサイバーセキュリティラベルを取得した消費者向けIoT製品は、CLSレベル3の要件を満たしていると認識され、その逆もまた然りである2。
6. Manufacturers of smart consumer devices will benefit from these agreements as they save costs and time on duplicated testing and gain improved access to new markets. Companies that have benefited from the Singapore-Finland’s MOU include Signify, Polar and ASUS.  The first CLS Level 3 labels under the MoU were awarded to eight products from Signify's smart lighting system and Polar Electro's multi-sport watches3. The first Traficom's cybersecurity labels under the MoU were awarded to seven products from ASUS’s Wi-Fi 6 routers4. 6. スマート消費者機器の製造企業は、これらの協定により、重複する試験のコストと時間を節約し、新規市場へのアクセスを改善することができるというメリットがある。シンガポールとフィンランドの覚書の恩恵を受けている企業には、Signify、Polar、ASUSなどがある。  覚書に基づく最初のCLSレベル3ラベルは、Signifyのスマート照明システムとPolar Electroのマルチスポーツウォッチ3から8製品に付与された。覚書に基づく最初のトラフィコムのサイバーセキュリティ・ラベルは、ASUSのWi-Fi 6ルーターから7製品に付与された4。
7. As of October 2022, more than 200 products – ranging from routers to smart lighting to smart cameras – have been awarded the CLS label. 7. 2022年10月現在、ルーターからスマート照明、スマートカメラまで、200以上の製品にCLSラベルが付与されている。
1 The list of product types is not exhaustive. 1 製品の種類を網羅したものではない。
2 Both CSA's and Traficom's labels are based on the same standard, ETSI EN 303 645. 2 シンガポール・サイバーセキュリティ庁とフィンランド運輸通信庁のラベルは、いずれも同じ規格であるETSI EN 303 645に基づいている。
The products from Signify and Polar Electro are Philips Hue Starter kit and Hue Bridge, and Polar Grit X, Polar Grit X pro, Polar Vantage V2, Polar Vantage M2, Polar Ignite 2 and Polar Unite. 3 Signify社およびPolar Electro社の製品は、Philips Hue Starter kitおよびHue Bridge、Polar Grit X、Polar Grit X pro、Polar Vantage V2、Polar Vantage M2、Polar Ignite 2およびPolar Uniteである。
4 The products from ASUS are RT-AX88U, GT-AX11000, RT-AX82U, TUF-AX5400, TUF-AX3000, RT-AX58U and ZenWiFI XD6. 4 ASUSの製品は、RT-AX88U、GT-AX11000、RT-AX82U、TUF-AX5400、TUF-AX3000、RT-AX58U、ZenWiFI XD6である。


シンガポールのCLS

● CSA - Cybersecurity Certification Centre - Cybersecurity Labelling Scheme (CLS) 

 フィンランドとドイツとの相互認証についても触れられていますね。。。

 


 

参考

 

まるちゃんの情報セキュリティ気まぐれ日記

BSIのITセキュリティラベル

・2022.05.09 ドイツ ITセキュリティラベル for 消費者向けスマート製品

・2022.02.03 ドイツ BSI Mail.deの電子メールサービスにITセキュリティラベルを付与

・2021.07.18 独国 BSIがITセキュリティラベルについてのウェブページを公開していますね。。。

 

米国のサイバーセキュリティラベル

・2022.06.19 NISTIR 8425 (ドラフト) 消費者向けIoT製品のIoTコアベースラインのプロファイル

・2022.05.19 NIST IoTセキュリティ関連の文書についてNISTのブログで簡単に説明されていますね。。。

・2022.02.07 NIST ホワイトペーパー :消費者向けソフトウェアのサイバーセキュリティラベルの推奨規準

・2022.02.06 NIST ホワイトペーパー :消費者向けIoT製品のサイバーセキュリティラベルの推奨規準

・2021.11.04 NIST 消費者向けソフトウェアのサイバーセキュリティに関するラベリングについての意見募集

 

 

| | Comments (0)

2022.10.30

米国 国防総省:サイバー軍 CYBER101 - Defend Forward and Persistent Engagement (2022.10.25)

こんにちは、丸山満彦です。

国防総省のサイバー軍が、Defend Forwardについての記事を公表していますね。。。Defend Forwardについては最近日本でもいろいろと言われ出していますね。。。米軍は、イラン等に対して継続的にサイバー活動をしていますが、その一部にはDefend Forwardも含まれているのでしょう。。。

・2022.10.25 CYBER101 - Defend Forward and Persistent Engagement

CYBER101 - Defend Forward and Persistent Engagement CYBER101 -一歩踏み込んだ防衛と絶えざる交戦
Cyberspace is not governed by a central body, but by numerous government and non-governmental organizations across the globe. The cyber domain is not naturally occurring and is wholly dependent upon owned or leased technology on both government and commercial infrastructure providers for its existence and operation. Due to the ever-evolving technological aspects of the information environment, adversaries are continuously looking to disrupt and degrade the integrity of U.S. information networks and those of its allies and partners. サイバー空間は中央の組織によって統治されているのではなく、世界中の多数の政府および非政府組織によって統治されている。サイバー領域は自然に発生するものではなく、その存在と運用のために政府と商業インフラストラクチャ・プロバイダーの所有またはリース技術に全面的に依存している。情報環境の技術的側面は常に進化しているため、敵対者は米国の情報ネットワークとその同盟国およびパートナーのネットワークの完全性を破壊し、低下させることを常に狙っている。
These campaigns can take shape through overt efforts to infiltrate and disrupt U.S. Department of Defense (DOD) networks, steal information and intellectual property from U.S. government and private sector companies, and spread online disinformation campaigns designed to sow division among the American people. These activities present an unacceptable risk to the United States. Without a strategy to defeat these persistent campaigns, the United States risks death by a thousand cuts. これらのキャンペーンは、米国防総省(DOD)ネットワークへの侵入や妨害、米国政府や民間企業の情報や知的財産の窃盗、米国民の間に分裂をもたらすことを目的としたオンライン偽情報キャンペーンの拡散など、あからさまな努力によって具体化することがある。これらの活動は、米国にとって容認できないリスクである。これらの執拗なキャンペーンを打ち負かす戦略がなければ、米国は千差万別の死を迎える危険性がある。
The 2018 Department of Defense Cyber Strategy states the United States will defend forward to disrupt malicious cyber activity at its source, including activity that falls below the level of armed conflict. This means if a device, a network, an organization, or adversary nation is identified as a threat to U.S. networks and institutions, or is actively attacking them in or through cyberspace – it can expect the United States to impose costs in response. 2018年の国防総省サイバー戦略では、米国は、武力紛争のレベルに満たない活動を含め、悪意のあるサイバー活動をその発生源で混乱させるために「一歩踏み込んだ防衛」を行うとしている。これは、デバイス、ネットワーク、組織、敵対国が米国のネットワークや機関に対する脅威と認識された場合、またはサイバー空間で、あるいはサイバー空間を通じて積極的に攻撃している場合、米国が対応コストを課すことが期待できることを意味する。
Responsibility for defending forward starts with U.S. Cyber Command (USCYBERCOM). As the nation’s cyber warriors, USCYBERCOM operates daily in cyberspace against capable adversary nations and non-state actors, such as terrorist groups and transnational criminal gangs. USCYBERCOM’s mission is guided by the Command’s commitment to intercept 「一歩踏み込んだ防衛」の責任は、米国サイバー司令部(USCYBERCOM)から始まる。米国のサイバー戦士として、USCYBERCOM は有能な敵対国やテロリスト・グループ、国際犯罪集団などの非国家主体に対して、サイバー空間で日々活動している。USCYBERCOM の使命は、以下のような司令部のコミットメントによって導かれている。
USCYBERCOM’s mission is guided by the Command’s commitment to persistent engagement. Under this operational framework, cyber operators constantly work to intercept and halt cyber threats, degrade the capabilities and networks of adversaries, and continuously strengthen the cybersecurity of the Department of Defense Information Network (DODIN) that supports DOD missions. USCYBERCOM の使命は、「絶えざる交戦」に対する司令部のコミットメントによって導かれている。この作戦の枠組みの下で、サイバーオペレーターはサイバー脅威を阻止し、停止させ、敵対者の能力とネットワークを低下させ、国防総省の任務を支える国防情報ネットワーク(DODIN)のサイバーセキュリティを継続的に強化するために絶えず活動している。
Persistent engagement shifts DOD and USCYBERCOM’s posture in cyberspace from reactive to proactive. Just as the U.S. Navy keeps the peace by sailing the seas, or the U.S. Air Force secures air space by patrolling the skies, USCYBERCOM actively seeks out threats in cyberspace and eliminates them to defend the United States and its allies. However, just as a navy goes underway from a port or an airplane takes off from a runway, and thus are legitimate targets during times of conflict – persistent engagement involves targeting adversary cyber capabilities and their underlying infrastructure. This approach prevents adversary nations and non-state actors from launching disruptive and destructive cyberattacks in the first place. 絶えざる交戦は、サイバー空間における防衛総省と USCYBERCOM の姿勢を、事後的なものから積極的なものへと変化させる。米海軍が海上を航行することで平和を維持し、米空軍が空をパトロールすることで空域を確保するように、USCYBERCOM は米国とその同盟国を守るためにサイバー空間で積極的に脅威を探し出し、それを排除している。しかし、海軍が港から出港し、飛行機が滑走路から離陸するように、敵対するサイバー能力とその基盤となるインフラを標的とすることが含まれ、紛争時には正当なターゲットとなる。このアプローチにより、敵対する国や非国家主体が破壊的なサイバー攻撃を仕掛けることを未然に防ぐことができる。
Partnerships form an integral component of persistent engagement. For example, USCYBERCOM conducts ‘hunt forward operations’ (HFOs) at the invitation of partner countries. These operations are strictly defensive and at the invitation of the host nation. During HFOs, USCYBERCOM operators sit side-by-side with partners searching for malicious cyber activities and vulnerabilities in host nation networks. The findings of HFOs, as well as other USCYBERCOM operations, are then shared with the public. These findings then help private sector software companies issue patches and updates as well as eliminate adversary network accesses and capabilities. 絶えざる交戦の不可欠な要素は、パートナーシップである。例えば、USCYBERCOM はパートナー国の招きで「ハント・フォワード作戦」(HFO)を実施する。この作戦は厳密には防衛的であり、ホスト国の招聘によるものである。HFOの間、USCYBERCOMのオペレーターはパートナーと並んで、ホスト国のネットワークにおける悪質なサイバー活動や脆弱性を探す。HFOやその他のUSCYBERCOMの活動で得られた知見は、一般に公開される。これらの調査結果は、民間のソフトウェア会社がパッチやアップデートを発行したり、敵のネットワークへのアクセスや能力を排除したりするのに役立つ。
Each day, USCYBERCOM demonstrates its value and importance to the DOD and United States by defending the Nation in cyberspace, persistently engaging threats, and continuously upgrading defenses. USCYBERCOM は日々、サイバー空間で国を守り、脅威と粘り強く戦い、防御を継続的にアップグレードすることによって、国防総省と米国にとってその価値と重要性を実証している。

 

 

関連情報...

 

2018年の国防総省のサイバー戦略

・2018.09 [PDF] Summary: DEPARTMENT OF DEFENSE CYBER STRATEGY 2018

20221030-64659

・[DOCX] 仮訳

 

 

その一つ前...

・2015.04 [PDF] THE DEPARTMENT OF DEFENSE CYBER STRATEGY 2015 (downloaded)

20221030-65405

 

ほぼ同時期に発表された国家サイバーセキュリティ戦略

・2018.09.20 [PDF] NATIONAL CYBER STRATEGY of the United States of America 2018

20210513-121917


2018年の戦略が発表された時の2015年の戦略との違いを説明した記事。戦略の変更の結果、Defence Forwardが違いの一つとして出てきていると説明していますね。。。

War on the Rocks

・2018.09.20 DEFENDING FORWARD: THE 2018 CYBER STRATEGY IS HERE

 

 

2019年に米国がイランに対して実施した、Cyber軍によるDefend Forward?

The New York Times

・2019.06.22 U.S. Carried Out Cyberattacks on Iran

 

Defend Forwardについては最近日本でもいろいろと言われ出しているように思いますが、国家として実施するためには、周到な準備が必要なのだろうと思います。。。特に日本の場合は、専守防衛との関係でどこからをDefend Fowardとして実施するのかの線引きをするにしても、国のあり方を変えるような話であれば、憲法改正も含めて国民的な議論をする必要があるのかも知れませんね。方針を変えると良くなる面もありますが、悪くなる面も出てきますよね。。。その悪くなる面も、適切に把握し、それに対してはどのように対処をするのかも含めて議論をする必要があるでしょうね。。。変えるということはそれも含めた覚悟と対応が必要だと思います。。。

 

| | Comments (0)

2022.10.29

英国 ICO 雇用慣行とデータ保護:労働者の健康情報案に関するコンサルテーション (2022.10.27)

こんにちは、丸山満彦です。

英国の情報コミッショナー事務局 (Infomation Commissioner's Office; ICO) は、労働者の健康情報の取り扱い案を公表し、意見募集をしていますね。。。

Information Commissioner's Office: ICO

・2022.10.27 ICO consultation on draft employment practices guidance – information about workers’ health

 

ICO consultation on draft employment practices guidance – information about workers’ health 雇用慣行ガイダンスのドラフトに関するICOのコンサルテーション - 労働者の健康に関する情報
The Information Commissioner’s Office (ICO) is producing an online resource with topic-specific guidance on employment practices and data protection. We are releasing our drafts of the different topic areas in stages and adding to the resource over time. A draft of the guidance on handling information about workers’ health is now out for public consultation. 情報コミッショナー事務局(ICO)は、雇用慣行とデータ保護に関するトピック別ガイダンスのオンラインリソースを作成している。異なるトピック分野のドラフトを段階的に公開し、時間をかけてリソースを追加している。現在、労働者の健康に関する情報の取り扱いに関するガイダンスの草案が公開されている。
Draft guidance - Employment practices and data protection: information about workers' health ガイダンス案 - 雇用慣行とデータ保護:労働者の健康についての情報
The draft guidance aims to provide practical guidance about handling the health information of workers in accordance with data protection legislation and to promote good practice. 本ガイダンス案は、データ保護法に従って労働者の健康情報を取り扱う際の実践的なガイダンスを提供し、優れた実践を促進することを目的としている。
We also intend to produce additional practical tools (such as checklists) to go alongside the guidance to help support employment practices. また、雇用慣行を支援するために、ガイダンスと並行して追加の実用的なツール(チェックリストなど)を作成する予定である。
Before drafting the guidance, the ICO issued a call for views between August and October 2021. This sought input from relevant stakeholders including: ガイダンスの起草に先立ち、ICOは2021年8月から10月にかけて意見募集を行いました。これは、以下のような関連するステークホルダーからの意見を求めるものであった。
・employers; ・雇用主
・professional associations; ・専門家団体
・those representing the interests of staff; ・職員の利益を代表する者
・recruitment agencies; ・人材紹介会社
・employment dispute resolution bodies; ・雇用紛争解決機関
・workers, volunteers, employees; and ・労働者、ボランティア、従業員、および
・suppliers of employment technology solutions. ・雇用技術ソリューションのサプライヤー
The call for views helped to inform our work in developing updated employment guidance. You can view a summary document of the responses on our website. この意見募集は、最新の雇用ガイダンスを作成する際の参考となりました。なお、回答内容の要約は、当局のウェブサイトにて確認できる。
The public consultation on the draft guidance will remain open until 5pm on Thursday 26 January 2023. The ICO welcomes feedback on the specific questions set out in the consultation. ガイダンス草案に関するパブリックコンサルテーションは、2023年1月26日(木)午後5時まで実施される予定である。ICOは、コンサルテーションで提示された特定の質問に対するフィードバックを歓迎する。

 

・[PDF] Draft guidance - Employment practices and data protection: information about workers' health

20221029-24122

 

Data protection and worker health information データ保護と労働者の健康情報
In detail 詳細
When might we need to process information about workers’ health? 労働者の健康に関する情報を処理する必要があるのは、どのような場合か?
How do we lawfully process the health information of workers? 労働者の健康情報を合法的に処理するにはどうしたらよいか?
Can we rely on worker consent? 労働者の同意に頼れるか?
What lawful bases might apply if we want to process workers’ health information? 労働者の健康情報を処理する場合、どのような法的根拠が適用される可能性があるか?
What about special category data and conditions for processing? 特別なカテゴリーデータおよび処理条件についてはどうか?
How do we limit how much health information we collect? 収集する健康情報の量をどのように制限するか?
What do we need to tell workers when processing their health information? 労働者の健康情報を処理する際、何を伝える必要があるか?
How long should we keep workers’ health information? 労働者の健康情報をどれくらいの期間保管すべきか?
How do we keep workers’ health information accurate and up to date? 労働者の健康情報を正確かつ最新の状態に保つにはどうすればよいか?
How do we keep the health data of workers secure? 労働者の健康データをどのように安全に保つか?
What about automated decision making and health information? 自動意思決定と健康情報についてはどうか?
What about data protection impact assessments? データ保護影響評価についてはどうか?
Who is responsible for health information and data protection in our organisation? 当社の組織で健康情報およびデータ保護に責任を持つのは誰か?
How do we handle sickness and injury records? 病気や怪我の記録はどのように扱うか?
In detail 詳細
What about sickness, injury and absence records? 病気、怪我、欠勤の記録についてはどうか?
Can we process sickness and injury records? 病気やケガの記録を処理することは可能か?
How do we lawfully process sickness and injury records? 病気やケガの記録を合法的に処理するにはどうすればよいか?
How should we store sickness and injury records? 病気やケガの記録はどのように保管すべきか?
How should we limit access to sickness, injury and absence records of individual workers? 個々の労働者の傷病・欠勤記録へのアクセスはどのように制限すべきか?
Can we share information from sickness or injury records? 病気や怪我の記録から得られる情報を共有することは可能か?
What about occupational health schemes? 産業保健制度はどうなっているか?
In detail 詳細
What must we tell workers when using an occupational health scheme? 産業保健制度を利用する場合、労働者に何を伝えなければならないか?
How should we limit who has access to medical information about workers? 労働者の医療情報にアクセスできる人をどのように制限すべきか?
What about workers’ confidential communications with health professionals? 労働者の医療専門家との秘密通信はどうか?
Are occupational health providers controllers or processors? 産業保健事業者は管理者なのか処理者なのか?
What do we need to do when requesting a worker’s medical file as part of an occupational health referral? 産業保健の紹介の一環として労働者の医療ファイルを要求する場合、何をする必要があるか?
What about medical examinations and testing? 健康診断や検査についてはどうでしょうか?
In detail 詳細
Why might we want to obtain information from medical examinations and testing? なぜ私たちは健康診断や検査から情報を得たいと思うのか?
Why should we consider if we want to introduce medical examinations and testing? 健康診断・検査を導入するかどうか検討する理由は?
Can we use medical examinations and testing as part of our recruitment process? 採用活動の一環として健康診断や検査を利用することは可能か?
How should we limit the purpose of the examination or testing and the information we obtain? 健康診断や検査の目的、取得する情報をどのように限定すべきか?
How do we ensure testing is appropriate? 検査が適切であることをどのように確認するか?
How much personal information should we collect from testing? 検査で収集すべき個人情報はどの程度か?
How do we select workers for testing? 検査対象の労働者をどのように選定するか?
What about random testing? 無作為抽出の検査についてはどうか?
What should we tell workers about examinations and testing? 検査や試験について労働者に何を伝えるべきか?
Can we retain information obtained from medical examination or testing? 健康診断や検査で得た情報を保持することは可能か?
How do we ensure testing is of a good standard and quality? 検査が良い水準と品質であることをどのように確認するか?
What about genetic testing? 遺伝子検査についてはどうでしょうか?
In detail 詳細
Can we use genetic testing on our workers? 労働者に遺伝子検査を使用できるか?
Can we ask a worker to disclose the results of a previous genetic test? 労働者に以前の遺伝子検査の結果を開示するよう求めることができるか?
Are there any circumstances we can use information from genetic testing? 遺伝子検査からの情報を使用できる状況はあるか?
What about health monitoring? 健康モニタリングについてはどうでしょうか?
In detail 詳細
What about the use of health monitoring technologies? 健康モニタリング技術の使用についてはどうか?
What do we need to consider if we want to monitor the health of workers? 労働者の健康状態を監視したい場合、何を考慮する必要があるか?
Can we ask workers to agree to the use of health monitoring technologies? 労働者に健康モニタリング技術の使用への同意を求めることができるか?
When can we share worker health information? 労働者の健康情報はいつから共有できるのか?
In detail 詳細
Can we share health information of our workers? 労働者の健康情報を共有することは可能か?
How do we ensure the lawfulness of sharing? 共有が適法であることをどのように確認するか?
Can we share worker health information in an emergency? 緊急時に労働者の健康情報を共有することができるか?
Can we disclose information about a worker’s health to other workers? 労働者の健康に関する情報を他の労働者に開示することができるか?

 

 

ブログ記事

・2022.10.27 Making our employment guidance work for you

Making our employment guidance work for you 雇用ガイダンスを活用する
Working life for millions of people has changed a lot over the past few years. Every sector, industry and size of business has been affected by the pandemic and the accelerated pace of change of the workplace; whether that’s through a rise in remote working, the use of artificial intelligence to sift and respond to job applications or the increased use of monitoring technologies. この数年で、何百万人もの人々のワーキングライフは大きく変わりました。リモートワークの増加、人工知能による求人票の選別や対応、監視技術の利用拡大など、あらゆる分野、産業、企業規模がパンデミックの影響を受け、職場環境の変化のスピードが加速している。
It's important that employers understand how using these technologies can impact on their workers’ privacy. It’s also important that workers understand what’s happening with their information and what their rights are. 雇用主は、これらの技術の使用が労働者のプライバシーにどのような影響を与えるかを理解することが重要である。また、労働者にとっても、自分の情報に何が起きているのか、自分の権利は何なのかを理解することが重要である。
That’s where we come in. そこで、私たちの出番である。
Data protection is not a barrier to the use of new technologies to improve and develop employment practices. Data protection enables innovation to happen responsibly. It also builds trust between employers and workers. データ保護は、雇用慣行を改善・発展させるために新しいテクノロジーを利用する際の障害にはなりません。データ保護は、イノベーションを責任を持って実現することを可能にする。また、データ保護は雇用者と労働者の間の信頼関係を構築する。
We’ve recently launched a consultation on our draft monitoring at work guidance, which offers practical advice about monitoring workers in line with data protection legislation. It lets employers know what they need to tell their workers if they’re using monitoring technologies, and it lets workers know what their rights are under data protection law. This consultation runs until 11 January 2023. このガイダンスは、データ保護法に従って労働者を監視するための実践的なアドバイスを提供するものである。このガイダンスでは、雇用主が監視技術を使用する場合に労働者に伝えるべきことを示し、労働者がデータ保護法の下でどのような権利を有するかを示している。このコンサルテーションは、2023年1月11日まで実施される。
Today, we’re launching a second consultation. We’re looking for your views on our draft guidance about workers’ health information. As an employer, you’re likely to process a lot of information about your workers and their health, such as occupational health reports or sickness absences. It’s vital, for you and your workers, that you know how to look after this sensitive information. Read our guidance and let us know your thoughts – this consultation is open until 26 January 2023. 本日、私たちは2回目のコンサルテーションを開始する。労働者の健康情報についてのガイダンスの草案について、皆様のご意見を伺いたい。雇用主は、労働衛生報告書や病気欠勤など、労働者とその健康について多くの情報を処理することがあります。このような機密情報をどのように管理するかは、あなたとあなたの労働者のために非常に重要である。このコンサルテーションは、2023年1月26日まで開催されている。
These consultations are the first part of an ongoing project to replace our employment code of practice with new, UK GDPR-focused guidance. We’re aiming to create a hub – a one-stop shop for employers and workers to visit and quickly find the answers to their questions. This forms a key part of our commitment laid out in our new three-year strategy, ICO25, to empower responsible innovation. We’re keen to help organisations understand their responsibilities under data protection law, and one of the ways we can do this is by creating helpful, easy-to-understand guidance. このコンサルテーションは、私たちの雇用慣行コードを、英国のGDPRに焦点を当てた新しいガイダンスに置き換えるための進行中のプロジェクトの最初の部分である。私たちは、雇用者と労働者が訪問し、疑問に対する答えを素早く見つけることができるワンストップショップであるハブを作成することを目指している。これは、私たちの新しい3カ年戦略であるICO25で打ち出された、責任あるイノベーションを促進するというコミットメントの重要な部分を形成している。私たちは、データ保護法の下での責任を組織が理解できるようにしたいと考えており、その方法のひとつが、役に立つ、理解しやすいガイダンスを作成することである。
As the world of work continues to adjust to rapid change brought about by the pandemic and other factors, so too must our guidance and the support we offer to organisations. That’s why we’re taking a different approach to our employment guidance project and consulting throughout, asking you to tell us how and where you need the most support and clarity. 仕事の世界がパンデミックやその他の要因によってもたらされた急速な変化に適応し続けているため、私たちのガイダンスや組織に提供する支援も同様に変化していかなければなりません。そのため、私たちは雇用ガイダンスプロジェクトに異なるアプローチを取り、全体を通してコンサルティングを行い、どのように、どこで、最もサポートや明確さが必要かを教えてもらうことにした。
Make our guidance work for you. Have your say and contribute to our consultations – both are live on the website now. 私たちのガイダンスをあなたのために役立てよう。私たちのコンサルテーションに参加し、意見をお願いする。

 

 


 

参考  

● まるちゃんの情報セキュリティ気まぐれ日記

・2022.10.29 英国 ICO 雇用慣行とデータ保護:労働者の健康情報案に関するコンサルテーション (2022.10.27)

・2022.10.29 英国 ICO 雇用慣行:職場における監視ガイダンスと影響評価案に関するコンサルテーション (2022.10.12)

・2022.10.28 英国 ICO 未熟なバイオメトリクス技術は人を差別する可能性がある「バイオメトリクス洞察レポート」「バイオメトリクス予見レポート」

 

| | Comments (0)

英国 ICO 雇用慣行:職場における監視ガイダンスと影響評価案に関するコンサルテーション (2022.10.12)

こんにちは、丸山満彦です。

英国の情報コミッショナー事務局 (Infomation Commissioner's Office; ICO) は、職場における監視ガイダンスと影響評価案を公表し、意見募集をしています。。。

Information Commissioner's Office: ICO

・2022.10.12 ICO consultation on the draft employment practices: monitoring at work guidance and draft impact assessment

ICO consultation on the draft employment practices: monitoring at work guidance and draft impact assessment 雇用慣行:職場における監視ガイダンスと影響評価案に関するICOのコンサルテーション
This consultation closes on 11 January 2023; このコンサルテーションは2023年1月11日に締め切られる。
The Information Commissioner’s Office (ICO) is producing topic-specific guidance on employment practices and data protection. We are releasing our drafts of the different topic areas in stages and adding to the resource over time. A draft of the guidance on monitoring at work is now out for public consultation. 情報コミッショナー事務局(ICO)は、雇用慣行とデータ保護に関するトピック別ガイダンスを作成している。異なるトピック分野の草案を段階的に公開し、時間をかけてリソースを追加している。現在、職場のモニタリングに関するガイダンスの草案が公開されている。
The draft guidance aims to provide practical guidance about monitoring workers in accordance with data protection legislation and to promote good practice. このガイダンスのドラフトは、データ保護法に従って労働者を監視することについての実践的なガイダンスを提供し、優れた実践を促進することを目的としている。
Before drafting the guidance, the ICO issued a call for views between August and October 2021. This sought input from relevant stakeholders including: ガイダンスの草案作成に先立ち、ICOは2021年8月から10月にかけて意見募集を行った。これは、以下のような関連するステークホルダーからの意見を求めるものだった。
・employers; ・雇用者
・professional associations; ・専門家団体
・those representing the interests of staff; ・職員の利益を代表する者
・recruitment agencies; ・人材紹介会社
・employment dispute resolution bodies; ・雇用紛争解決機関
・workers; ・労働者
・volunteers; ・ボランティア
・employees; and ・従業員
・suppliers of employment technology solutions. ・雇用技術ソリューションの供給者
This call for views informed our work in developing updated employment guidance. You can view a summary document of the responses on our website. この意見募集は、最新の雇用ガイダンスを開発するための我々の作業に反映された。回答内容の要約は、当局のウェブサイトで確認できる。
We also intend to produce additional practical tools (such as checklists) to go alongside the guidance to help support your employment practices. また、雇用慣行を支援するために、ガイダンスに付随する実用的なツール(チェックリストなど)を追加で作成する予定である。
We have also produced an impact scoping document. This provides a high-level outline of some potential impacts we have considered so far. We are seeking feedback on this document as well as any other insights from stakeholders. You should read this document alongside the monitoring at work consultation document. However, some of the questions may not be relevant to you or your organisation, so please skip these as necessary. また、インパクト・スコーピングの文書も作成した。この文書では、これまでに検討した潜在的な影響について、大まかな概要を説明している。私たちは、この文書に対するフィードバックや、ステークホルダーからの他の洞察を求めている。この文書は、職場におけるモニタリングのコンサルテーション文書と一緒にお読みください。ただし、質問の中には、あなたやあなたの組織には関係のないものもあるかもしれないので、必要に応じて読み飛ばしてもよい。
The public consultation on the draft guidance and draft impact assessment will remain open until 11 January 2023. The ICO welcomes feedback on the specific questions set out below. ガイダンス案と影響評価案に関するパブリックコンサルテーションは、2023年1月11日まで開催される予定である。ICOは、以下に示す特定の質問に対するフィードバックを歓迎する。

 

・[PDF] Employment practices: Monitoring at work draft guidance

20221029-11759

・[DOCX] 仮訳

 

目次...

About this guidance 本ガイドラインについて
At a glance 概略
In detail 詳細
What do we mean by monitoring at work? 職場のモニタリングとは?
Who is this guidance for? 本ガイダンスは誰のためのものであるか?
How do we lawfully monitor workers? 労働者を合法的にモニタリングするには?
In detail 詳細
Can we monitor workers? 労働者のモニタリングはできるのか?
How do we lawfully monitor workers? 労働者を合法的にモニタリングするには?
How do we identify a lawful basis? 法的根拠をどのように特定するか?
What if our monitoring involves special category data? 当局のモニタリングが特殊なカテゴリーデータを含む場合はどうなるか?
What about criminal offence data? 犯罪歴のデータはどうか?
Are there other laws we should consider? 他に考慮すべき法律はあるか?
What about fairness? 公平性についてはどうか?
What about transparency? 透明性についてはどうか?
What about accountability? 説明責任についてはどうか?
start monitoring? モニタリングを開始する前に、データ保護影響評価(DPIA)を行う必要があるか?
Do we have to define our purpose for monitoring workers? 労働者をモニタリングする目的を明確にする必要があるか?
monitor workers? 労働者をモニタリングする際に、収集する情報量を制限する必要があるのか?
What about accuracy? 正確性とは何か?
How long should we keep monitoring data? モニタリングデータはいつまで保存すればよいのか?
What about security? セキュリティはどうなっているか?
What should we tell workers about our monitoring? 当局のモニタリングについて、労働者に何を伝えるべきであるか?
Do we need to consult workers? 労働者に相談する必要があるのか?
Can we use covert monitoring? 秘密裏にモニタリングすることは可能か?
What about workers’ right of access to their data? 労働者のデータへのアクセス権についてはどうか?
Can workers object to being monitored? 労働者はモニタリングされることに異議を唱えることができるか?
What do we need to consider if we use a third-party provider or an application provided by a third-party to carry out monitoring? モニタリングを行うために、第三者のプロバイダーや第三者が提供するアプリケーションを利用する場合、どのような点に注意する必要があるか?
What about international transfers? 海外転送はどうするのであるか?
What about automated processes in monitoring tools? モニタリングツールの自動処理についてはどうか?
At a glance 概略
In detail 詳細
What do we mean by automated decision making and profiling? 自動的な意思決定とプロファイリングとはどういう意味であるか?
What do we need to consider if we are planning to make solely automated decisions with legal or similar effect? 法的または類似の効果を持つ自動化された意思決定のみを計画している場合、何を考慮する必要があるか?
What should we tell workers about automated decision making? 自動化された意思決定について、労働者に何を伝えるべきであるか?
What is the role of human oversight? 人間のモニタリングの役割とは?
How do we lawfully monitor workers? 労働者を合法的にモニタリングするには?
Checklist チェックリスト
Specific data protection considerations for different types of workplace monitoring さまざまな種類の職場モニタリングにおけるデータ保護に関する具体的な考慮事項
At a glance 概略
In detail 詳細
What if commercially available tools are part of our monitoring? 市販のツールがモニタリングの一部になるとしたら?
Can we monitor telephone calls? 電話の通話をモニターすることはできるか?
Can we monitor emails and messages? メールやメッセージのモニタリングはできるか?
Checklist チェックリスト
What if we supply a product or service to another organisation and they ask me to monitor my workers? 他の組織に製品やサービスを提供していて、その組織から従業員のモニタリングを求められたらどうするか?
Can we use video or audio to monitor workers? ビデオやオーディオを使用して労働者をモニタリングすることは可能か?
Can we monitor work vehicles? 作業車のモニタリングは可能か?
What about dashcams? ダッシュカムはどうか?
Can we monitor information about workers from third party sources? 第三者からの労働者情報をモニタリングすることは可能か?
Can we monitor time and attendance information? 勤怠情報のモニタリングは可能か?
What if we are monitoring to prevent data loss or detect malicious traffic? データ損失の防止や悪意のあるトラフィックの検出を目的としたモニタリングであればどうか?
Checklist チェックリスト
Can we monitor device activity? デバイスの動作をモニタリングすることはできるか?
What do we need to consider when we monitor device activity? デバイスのアクティビティをモニタリングする際に考慮すべきことは何だろうか?
What about remote and home workers? リモート労働者や在宅労働者についてはどうか?
Can we use biometric data for time and attendance control and monitoring? 勤怠管理・モニタリングにバイオメトリクス情報を活用できないか?
At a glance 概略
In detail 詳細
What is biometric data? バイオメトリクスデータとは?
and proportionate? アクセスコントロールのためにバイオメトリクス情報を使用することが必要かつ適切であるかどうかは、どのように判断すればよいのか?
How do we identify a lawful basis, and a special category condition where needed? 合法的根拠、および必要に応じて特別なカテゴリー条件をどのように特定するか?
Do we need to carry out a data protection impact assessment (DPIA)? データ保護影響評価(DPIA)を実施する必要があるか?
What about accuracy and fairness? 正確さや公平性についてはどうか?
What about informing workers? 労働者への周知は?
Can workers object to the use of biometric data for access control? バイオメトリクス情報をアクセス制御に使用することに、労働者は反対できるか?
What about the security of biometric data? バイオメトリクス情報のセキュリティはどうか?
Checklist チェックリスト

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2022.10.29 英国 ICO 雇用慣行とデータ保護:労働者の健康情報案に関するコンサルテーション (2022.10.27)

・2022.10.29 英国 ICO 雇用慣行:職場における監視ガイダンスと影響評価案に関するコンサルテーション (2022.10.12)

・2022.10.28 英国 ICO 未熟なバイオメトリクス技術は人を差別する可能性がある「バイオメトリクス洞察レポート」「バイオメトリクス予見レポート」

 

| | Comments (0)

米国 国家防衛戦略

こんにちは、丸山満彦です。

国防総省が国家防衛戦略(非機密版)を公表していますね。。。安全保障とサイバーセキュリティも関わりがあるので、見ておきますかね。。。

ところで、、、、国家というのは、国民のためにあるわけですから、できる限り公開しよう(たとえ競争する国が分析するために読むとしても)という姿勢は重要だと思います。

 

U.S. Department of Defence

・2022.10.27 National Defence Strategy

National Defense Strategy 国家防衛戦略
President Biden has stated that we are living in a “decisive decade,” one stamped by dramatic changes in geopolitics, technology, economics, and our environment. The defense strategy that the United States pursues will set the Department’s course for decades to come. The Department of Defense owes it to our All-Volunteer Force and the American people to provide a clear picture of the challenges we expect to face in the crucial years ahead—and we owe them a clear and rigorous strategy for advancing our defense and security goals. バイデン大統領は、我々は「決定的な10年」に生きており、地政学、技術、経済、そして環境の劇的な変化に刻印されていると述べている。米国が追求する防衛戦略は、今後数十年にわたる国防総省の進路を決定することになる。国防総省は義勇軍と米国民に対し、今後数年間の重要な時期に直面すると予想される課題を明確に示す義務があり、また、国防と安全保障の目標を推進するための明確かつ厳格な戦略を示す義務がある。
The 2022 National Defense Strategy (NDS) details the Department’s path forward into that decisive decade—from helping to protect the American people, to promoting global security, to seizing new strategic opportunities, and to realizing and defending our democratic values. 2022年国家防衛戦略(NDS)は、米国民を守るための支援から、世界の安全保障の促進、新たな戦略的機会の獲得、そして民主的価値の実現と防衛まで、この決定的な10年に向けた国防総省の進むべき道を詳述している。
We live in turbulent times. Yet, I am confident that the Department, along with our counterparts throughout the U.S. Government and our Allies and partners around the world, is well positioned to meet the challenges of this decisive decade. 我々は激動の時代を生きている。しかし、私は、国防総省が、米国政府全体、世界中の同盟国やパートナーとともに、この決定的な10年の課題に対応するための体制を整えていることを確信している。
~ Secretary of Defense Lloyd J. Austin III ~ 国防長官 ロイド・J・オースティン3世
On October 27, 2022, the Department of Defense publicly released our unclassified National Defense Strategy (NDS), a Congressionally-mandated review. This strategy sets the strategic direction of the Department to support U.S. national security priorities, and flows directly from President Biden's National Security Strategy. The National Defense Strategy includes the Nuclear Posture Review (NPR) and the Missile Defense Review (MDR). 2022年10月27日、国防総省は、議会が義務付けている見直しである「国家防衛戦略(NDS)」の非機密版を公に発表した。この戦略は、米国の国家安全保障の優先事項を支援するために、国防総省の戦略的方向性を定めるもので、バイデン大統領の国家安全保障戦略から直接流れている。国家防衛戦略には、核態勢見直し(NPR)とミサイル防衛見直し(MDR)が含まれる。
The Nuclear Posture Review is a legislatively-mandated review that describes U.S. nuclear strategy, policy, posture, and forces. The Missile Defense Review is a review conducted pursuant to guidance from the President and the Secretary of Defense, while also addressing the legislative requirement to assess U.S. missile defense policy and strategy. 核態勢見直しとは、米国の核戦略、政策、態勢、戦力を記述する立法上の義務づけられた見直しである。ミサイル防衛レビューは、大統領と国防長官の指導に従って実施されるレビューであり、同時に米国のミサイル防衛政策と戦略を評価するという立法要件に対処するものである。
DEFENSE PRIORITIES 防衛の優先事項
Together, these rapidly evolving features of the security environment threaten to erode the United States' ability to deter aggression and to help maintain favorable balances of power in critical regions. The PRC presents the most consequential and systemic challenge, while Russia poses acute threats - both to vital U.S. national interests abroad and to the homeland. Other features of the security environment, including climate change and other transboundary threats, will increasingly place pressure on the Joint Force and the systems that support it. In this context, and in support of a stable and open international system and our defense commitments, the Department's priorities are: このような安全保障環境の急速な変化は、米国が侵略を抑止し、重要な地域における良好なパワーバランスを維持する能力を低下させる恐れがある。PRCは最も重大で体系的な課題を提示し、ロシアは海外と自国の重要な国益に深刻な脅威を与えている。気候変動や国境を越えた脅威など、安全保障環境の他の特徴は、統合軍とそれを支えるシステムに対してますます圧力をかけることになる。このような状況の中、安定した開かれた国際システムと防衛公約を支援するために、国防総省の優先事項は以下の通りである。
・Defending the homeland, paced to the growing multi-domain threat posed by the PRC; 中国がもたらす複合領域の脅威の増大に対応した国土の防衛。
・Deterring strategic attacks against the United States, Allies, and partners; 米国、同盟国、パートナーに対する戦略的な攻撃を抑止する。
・Deterring aggression, while being prepared to prevail in conflict when necessary - prioritizing the PRC challenge in the Indo-Pacific region, then the Russia challenge in Europe, and; インド太平洋地域におけるPRCの課題、次に欧州におけるロシアの課題を優先し、必要な場合には紛争で勝利する準備をしつつ、侵略を抑止する。
・Building a resilient Joint Force and defense ecosystem. 弾力性のある統合軍と防衛エコシステムを構築する。
Security Environment 安全保障環境
Now and over the next two decades, we face strategic challenges stemming from complex interactions between a rapidly changing global balance of military capabilities; emerging technologies; competitor doctrines that pose new threats to the U.S. homeland and to strategic stability; an escalation of competitors' coercive and malign activities in the "gray zone"; and transboundary challenges that impose new demands on the Joint Force and the defense enterprise. 現在、そして今後 20 年にわたり、我々は、急速に変化する世界の軍事力バランス、新興技術、米国本土と戦略的安定性に新たな脅威をもたらす競合他社の教義、「グレーゾーン」における競合他社の強制的かつ悪質な活動のエスカレーション、統合軍と防衛エンタープライズへの新しい要求を課す越境的課題などの複雑な相互作用から生じる戦略的課題に直面している。
Strategic Competition with the People's Republic of China (PRC) 中華人民共和国(PRC)との戦略的競争
The most comprehensive and serious challenge to U.S. national security is the PRC's coercive and increasingly aggressive endeavor to refashion the Indo-Pacific region and the international system to suit its interests and authoritarian preferences. The PRC seeks to undermine U.S. alliances and security partnerships in the Indo-Pacific region, and leverage its growing capabilities, including its economic influence and the PLA's growing strength and military footprint, to coerce its neighbors and threaten their interests. The PRC's increasingly provocative rhetoric and coercive activity towards Taiwan are destabilizing, risk miscalculation, and threaten the peace and stability of the Taiwan Strait. This is part of a broader pattern of destabilizing and coercive PRC behavior that stretches across the East China Sea, the South China Sea, and along the Line of Actual Control. 米国の国家安全保障に対する最も包括的で深刻な挑戦は、インド太平洋地域と国際システムを自国の利益と権威主義の好みに合わせて再構築しようとする中国の強圧的でますます攻撃的な努力である。PRCは、インド太平洋地域における米国の同盟と安全保障上のパートナーシップを弱体化させ、経済的影響力、PLAの強さと軍事的足跡の拡大を含むその能力の増大を活用して、近隣諸国を威圧し、その利益を脅かそうとする。台湾に対するPRCのますます挑発的なレトリックと強制的な活動は、不安定化させ、誤算の危険をもたらし、台湾海峡の平和と安定を脅かす。これは、東シナ海、南シナ海、そして実質的支配線に沿って広がる、不安定化し強圧的なPRCの行動のより広範なパターンの一部である。
Russia as an Acute Threat 急迫した脅威としてのロシア
Even as the PRC poses the Department's pacing challenge, recent events underscore the acute threat posed by Russia. Contemptuous of its neighbors' independence, Russia's government seeks to use force to impose border changes and to reimpose an imperial sphere of influence. Its extensive track record of territorial aggression includes the escalation of its brutal, unprovoked war against Ukraine. Although its leaders' political and military actions intended to fracture NATO have backfired dramatically, the goal remains. Russia presents serious, continuing risks in key areas. 中国がアジア太平洋省の課題であるにもかかわらず、最近の出来事は、ロシアがもたらす深刻な脅威を浮き彫りにしている。近隣諸国の独立を軽んじるロシア政府は、武力で国境を変更し、帝国的な勢力圏を再確立しようとしている。その領土侵略の豊富な実績は、ウクライナに対する残忍な、いわれのない戦争のエスカレーションを含んでいる。NATOを崩壊させようとする指導者の政治的・軍事的行動は劇的に裏目に出たが、その目的は変わらない。ロシアは主要な分野において、深刻で継続的なリスクをもたらしている。
Threats to the U.S. Homeland 米国の国土に対する脅威
The scope and scale of threats to the homeland have fundamentally changed. The PRC and Russia now pose more dangerous challenges to safety and security at home, even as terrorist threats persist. Both states are already using non-kinetic means against our defense industrial base and mobilization systems, as well as deploying counterspace capabilities that can target our Global Positioning System and other space-based capabilities that support military power and daily civilian life. 国土に対する脅威の範囲と規模は根本的に変化している。中国とロシアは、テロの脅威が続く中で、現在、自国の安全と安心に対してより危険な挑戦をしている。両国はすでに、わが国の防衛産業基盤や動員システムに対して非キネティックな手段を用いており、また、軍事力や日常的な市民生活を支える全地球測位システムやその他の宇宙ベースの能力を標的とできるカウンタースペース能力を配備している。
Other Persistent Threats - North Korea, Iran, and VEOs その他の持続的脅威 - 北朝鮮、イラン、VEOs
North Korea continues to expand its nuclear and missile capability to threaten the U.S. homeland, deployed U.S. forces, and the Republic of Korea (ROK) and Japan, while seeking to drive wedges between the United States-ROK and United States-Japan Alliances. Iran is taking actions that would improve its ability to produce a nuclear weapon should it make the decision to do so, even as it builds and exports extensive missile forces, uncrewed aircraft systems, and advanced maritime capabilities that threaten chokepoints for the free flow of energy resources and international commerce. Iran further undermines Middle East stability by supporting terrorist groups and military proxies, employing its own paramilitary forces, engaging in military provocations, and conducting malicious cyber and information operations. Global terrorist groups - including al-Qa'ida, Islamic State in Iraq and Syria (ISIS), and their affiliates – have had their capabilities degraded, but some may be able to reconstitute them in short order, which will require monitoring indications and warning against the VEO threat. 北朝鮮は、米国本土、配備された米軍、韓国、日本を脅かす核・ミサイル能力を拡大し続け、米韓同盟、日米同盟の間に楔を打ち込もうとしている。イランは、核兵器を製造する決断をした場合、その能力を向上させるような行動をとっている。その一方で、エネルギー資源と国際商業の自由な流れを脅かす大規模なミサイル部隊、乗員なしの航空機システム、高度な海上能力を構築し、輸出している。イランは、テロ集団や軍事的代理人を支援し、自国の準軍事組織を使用し、軍事的挑発を行い、悪意のあるサイバーや情報操作を行うことによって、中東の安定をさらに損なわせている。アルカーイダ、イラク・シリアのイスラム国(ISIS)、およびその関連組織を含む世界的なテロリスト集団は、その能力を低下させているが、一部は短期間で再構成できる可能性があり、VEO脅威に対する兆候の監視と警告が必要となる。
Complex Escalation Dynamics: Rapidly Evolving Domains and Technologies 複雑なエスカレーションダイナミクス。急速に進化する領域と技術
A wide range of new or fast-evolving technologies and applications are complicating escalation dynamics and creating new challenges for strategic stability. These include counterspace weapons, hypersonic weapons, advanced CBW, and new and emerging payload and delivery systems for both conventional and non-strategic nuclear weapons. In the cyber and space domains, the risk of inadvertent escalation is particularly high due to unclear norms of behavior and escalation thresholds, complex domain interactions, and new capabilities. 幅広い種類の新しい、あるいは急速に進化する技術やアプリケーションが、エスカレーションの力学を複雑にし、戦略的安定性に対する新たな課題を作り出している。これには、対空間兵器、極超音速兵器、先進的なCBW、通常兵器と非戦略核兵器の両方に対する新しいペイロードとデリバリーシステムなどが含まれる。サイバーと宇宙の領域では、行動規範やエスカレーション閾値の不明確さ、複雑な領域の相互作用、新しい能力のために、不注意によるエスカレーションのリスクが特に高い。
Competitors' Gray Zone Activities 競合他社のグレーゾーン活動
Competitors now commonly seek adverse changes in the status quo using gray zone methods - coercive approaches that may fall below perceived thresholds for U.S. military action and across areas of responsibility of different parts of the U.S. Government. 競合他社は現在、グレーゾーンの手法、つまり米軍の軍事行動の閾値を下回る可能性のある強制的なアプローチや、米国政府のさまざまな部署の責任領域を超えて、現状に不利な変化をもたらすことを求めるのが一般的である。
Climate Change and other Transboundary Challenges 気候変動とその他の越境的課題
Beyond state and non-state actors, changes in global climate and other dangerous transboundary threats are already transforming the context in which the Department operates. Increasing temperatures, changing precipitation patterns, rising sea levels, and more frequent extreme weather conditions will affect basing and access while degrading readiness, installations, and capabilities. Climate change is creating new corridors of strategic interaction, particularly in the Arctic region. It will increase demands, including on the Joint Force, for disaster response and defense support of civil authorities, and affect security relationships with some allies and partners. Insecurity and instability related to climate change may tax governance capacity in some countries while heightening tensions between others, risking new armed conflicts and increasing demands for stabilization activities. The COVID-19 pandemic continues to have far-reaching effects on societies, global supply chains, and the U.S. defense industrial base. It has required substantial commitment of Department resources for support of civil authorities and support to international partners. COVID-19 also spotlights the costs and risks of future biological threats, whether natural or human-made, for the Department and the Joint Force. 国家や非国家勢力を超えて、地球規模の気候変動やその他の危険な越境的脅威は、すでに国防総省が活動する状況を一変させている。気温の上昇、降水パターンの変化、海面上昇、より頻繁な異常気象は、即応性、施設、能力を低下させる一方で、基地やアクセスに影響を与える。気候変動は、特に北極圏において、新たな戦略的相互作用の通路を作り出している。気候変動は、統合軍を含め、災害対応や民間当局の防衛支援に対する需要を増大させ、一部の同盟国やパートナーとの安全保障関係に影響を与えるだろう。気候変動に関連した不安と不安定は、一部の国の統治能力を低下させる一方、他の国の緊張を高め、新たな武力紛争のリスクと安定化活動への需要を増加させるかもしれません。COVID-19パンデミックは、社会、世界のサプライチェーン、米国の防衛産業基盤に広範囲な影響を与え続けている。市民当局の支援や国際的なパートナーへの支援のために、国防総省の資源を大幅に投入する必要があった。COVID-19はまた、自然・人為を問わず、将来の生物学的脅威が国防総省と統合軍にもたらすコストとリスクにもスポットを当てている。
Approaches アプローチ
The Department will advance our priorities through integrated deterrence, campaigning, and actions that build enduring advantages. 国防総省は、統合的抑止力、キャンペーン、永続的な優位性を構築する行動を通じて、優先事項を推進することになる。
Integrated Deterrence 統合抑止力
Integrated deterrence entails working seamlessly across warfighting domains, theaters, the spectrum of conflict, all instruments of U.S. national power, and our network of Alliances and partnerships. Tailored to specific circumstances, it applies a coordinated, multifaceted approach to reducing competitors' perceptions of the net benefits of aggression relative to restraint. Integrated deterrence is enabled by combat-credible forces prepared to fight and win, as needed, and backstopped by a safe, secure, and effective nuclear deterrent. 統合抑止力とは、戦域、戦場、紛争範囲、米国のあらゆる国力手段、同盟とパートナーシップのネットワークにまたがるシームレスな作業を意味する。特定の状況に合わせて、協調的で多面的なアプローチを適用し、自制に対する侵略の純益に対する競争相手の認識を低下させる。統合抑止は、必要に応じて戦い、勝利する準備を整えた戦闘信用力の高い軍隊によって可能となり、安全、確実、かつ効果的な核抑止力によって支援される。
Campaigning キャンペーン
Day after day, the Department will strengthen deterrence and gain advantage against competitors' most consequential coercive measures by campaigning - the conduct and sequencing of logically-linked military initiatives aimed at advancing well-defined, strategy-aligned priorities over time. The United States will operate forces, synchronize broader Departmental efforts, and align Departmental activities with other instruments of national power to counter forms of competitor coercion, complicate competitors' military preparations, and develop our own warfighting capabilities together with those of our Allies and partners. 米国は日々、抑止力を強化し、キャンペーン(明確に定義された、戦略に沿った優先事項を長期的に推進することを目的とした、論理的にリンクした軍事構想の実施と順序付け)によって、競争相手の最も重大な強制的手段に対して優位に立つことができる。米国は、戦力を運用し、国防総省の幅広い取り組みを同期させ、国防総省の活動を国力の他の手段と連携させて、競争相手の強制力に対抗し、競争相手の軍事準備を複雑にし、同盟国やパートナーの戦力とともに自国の戦力を発展させることにする。
Building Enduring Advantages 永続的な優位性の構築
To shore up the foundations for integrated deterrence and campaigning, we will act urgently to build enduring advantages across the defense ecosystem - the Department of Defense, the defense industrial base, and the array of private sector and academic enterprises that create and sharpen the Joint Force's technological edge. We will modernize the systems that design and build the Joint Force, with a focus on innovation and rapid adjustment to new strategic demands. We will make our supporting systems more resilient and agile in the face of threats that range from competitors to the effects of climate change. And we will cultivate our talents, recruiting and training a workforce with the skills, abilities, and diversity we need to creatively solve national security challenges in a complex global environment. 統合抑止力と作戦の基盤を強化するため、我々は、国防総省、防衛産業基盤、そして統合軍の技術的優位性を生み出し、研ぎ澄ます民間企業や学術機関の数々といった防衛エコシステム全体で永続的な優位性を築くために緊急の行動を起こす。我々は、イノベーションと新たな戦略的需要への迅速な適応に焦点を当て、統合軍を設計・構築するシステムを近代化する予定である。我々は、競合他社から気候変動の影響に至るまで、さまざまな脅威に直面している我々の支援システムをよりレジリエンスで俊敏なものにします。そして、複雑なグローバル環境において国家安全保障上の課題を創造的に解決するために必要なスキル、能力、多様性を備えた人材を採用し、訓練することで、才能を開花させる。
Alliances and Partnerships 同盟とパートナーシップ
We cannot meet these complex and interconnected challenges alone. Mutually-beneficial Alliances and partnerships are our greatest global strategic advantage - and they are a center of gravity for this strategy. We will strengthen major regional security architectures with our Allies and partners based on complementary contributions; combined, collaborative operations and force planning; increased intelligence and information sharing; new operational concepts; and our ability to draw on the Joint Force worldwide. 我々は、このような複雑で相互に関連し合う課題に単独で対処することはできない。相互に利益をもたらす同盟とパートナーシップは、我々の最大の世界戦略的優位性であり、この戦略の重心である。我々は、同盟国やパートナーとともに、補完的な貢献、複合的で協力的な作戦や部隊計画、情報と情報共有の強化、新しい作戦コンセプト、そして世界中の統合軍を活用する能力に基づいて、主要な地域の安全保障体制を強化していくつもりである。
The Indo-Pacic Region インド・太平洋地域
The Department will reinforce and build out a resilient security architecture in the Indo- Pacific region in order to sustain a free and open regional order and deter attempts to resolve disputes by force. We will modernize our Alliance with Japan and strengthen combined capabilities by aligning strategic planning and priorities in a more integrated manner; deepen our Alliance with Australia through investments in posture, interoperability, and expansion of multilateral cooperation; and foster advantage through advanced technology cooperation with partnerships like AUKUS and the Indo-Pacific Quad. 自由で開かれた地域秩序を維持し、武力による紛争解決の試みを抑止するため、インド太平洋地域におけるレジリエンス・アーキテクチャーを強化・構築する。日本との同盟関係を近代化し、戦略立案と優先順位をより統合的に調整することで統合能力を強化し、態勢、相互運用性、多国間協力の拡大への投資を通じてオーストラリアとの同盟関係を深め、AUKUSやインド太平洋クアッドなどのパートナーシップによる先端技術協力を通じて優位性を育成します。
Europe ヨーロッパ
The Department will maintain its bedrock commitment to NATO collective security, working alongside Allies and partners to deter, defend, and build resilience against further Russian military aggression and acute forms of gray zone coercion. As we continue contributing to NATO capabilities and readiness - including through improvements to our posture in Europe and our extended nuclear deterrence commitments - the Department will work with Allies bilaterally and through NATO's established processes to better focus NATO capability development and military modernization to address Russia's military threat. NATOの集団安全保障に対する基本的なコミットメントを維持し、同盟国やパートナーとともに、さらなるロシアの軍事的侵略やグレーゾーンでの強要に対して抑止、防御、レジリエンスを構築していく。欧州における態勢の改善や拡大核抑止のコミットメントを含め、NATOの能力と即応性に貢献し続けるとともに、ロシアの軍事的脅威に対処するためにNATOの能力開発と軍事近代化をより重視するため、同盟国と二国間およびNATOの確立したプロセスを通じて協働する。
The Middle East 中東
As the Department continues to right-size its forward military presence in the Middle East following the mission transition in Afghanistan and continuing our "by, with, and through" approach in Iraq and Syria, we will address major security challenges in the region in effective and sustainable ways. The Joint Force will retain the ability to deny Iran a nuclear weapon; to identify and support action against Iranian and Iranian-backed threats; and to disrupt top-tier VEO threats that endanger the homeland and vital U.S. national interests. アフガニスタンでの任務移行に伴い、中東における前方軍事プレゼンスを適正化し、イラクとシリアでは「by, with, and through」アプローチを継続する中で、我々は効果的かつ持続可能な方法でこの地域の主要な安全保障上の課題に対処することになる。統合軍は、イランの核保有を阻止する能力、イランやイランに支援された脅威を特定し行動を支援する能力、そして国土と米国の重要な国益を脅かすトップレベルのVEO脅威を破壊する能力を保持する。
Western Hemisphere 西半球
The United States derives immense benefit from a stable, peaceful, and democratic Western Hemisphere that reduces security threats to the homeland. To prevent distant threats from becoming a challenge at home, the Department will continue to partner with countries in the region to build capability and promote security and stability. 米国は、安定した平和で民主的な西半球から莫大な利益を得ており、それによって自国への安全保障上の脅威が軽減される。遠くの脅威が自国の課題となることを防ぐため、同省は、能力を構築し、安全と安定を促進するために、この地域の国々との提携を継続する予定である。
Africa アフリカ
In Africa, the Department will prioritize disrupting VEO threats against the U.S. homeland and vital U.S. national interests, working "by, with, and through" our African partners to build states' capability to degrade terrorist organizations and contribute broadly to regional security and stability. We will orient our approach on the continent towards security cooperation, increase coordination with Allies, multilateral organizations, and regional bodies that share these objectives, and support for U.S. interagency initiatives in the region. アフリカでは、米国本土や米国の重要な国益に対するVEOの脅威を阻止することを優先し、アフリカのパートナーによって、パートナーとともに、パートナーを通じて、テロ組織を衰退させる国家の能力を高め、地域の安全と安定に広く貢献する。我々は、アフリカ大陸における我々のアプローチを安全保障協力に向け、これらの目的を共有する同盟国、多国間組織、地域組織との連携を強化し、同地域における米国の省庁間イニシアティブを支援する。
The Arctic 北極圏
The United States seeks a stable Arctic region characterized by adherence to internationally-agreed upon rules and norms. The Department will deter threats to the U.S. homeland from and through the Arctic region by improving early warning and JSR capabilities, partnering with Canada to enhance North American Aerospace Defense Command capabilities, and working with Allies and partners to increase shared maritime domain awareness. U.S. activities and posture in the Arctic should be calibrated, as the Department preserves its focus on the Indo-Pacific region. 米国は、国際的に合意されたルールと規範の遵守を特徴とする安定した北極圏地域を求めている。米国は、早期警戒とJSRの能力を向上させ、カナダと提携して北米航空宇宙防衛司令部の能力を強化し、同盟国やパートナーと協力して共通の海域認識を高めることにより、北極地域から、あるいは北極地域を通じて米国本土への脅威を抑止していくであろう。北極圏における米国の活動や態勢は、インド太平洋地域への注力を維持する中で、調整されるべきものである。
Force Planning 戦力計画
Sustaining and strengthening deterrence requires that the Department design, develop, and manage a combat-credible U.S. military fit for advancing our highest defense priorities. The Department's force development and design program will integrate new operational concepts with the force attributes required to strengthen and sustain deterrence and to prevail in conflict if necessary. The Department will prioritize a future force that is: 抑止力を維持・強化するためには、国防の最優先事項を推進するのに適した、戦闘上信頼できる米軍を設計、開発、管理することが必要である。国防総省の戦力開発・設計プログラムは、新しい作戦コンセプトと、抑止力を強化・維持し、必要に応じて紛争に勝利するために必要な戦力特性を統合するものである。国防総省は、以下のような将来の戦力を優先する。
Lethal: Possesses anti-access/area-denial-insensitive strike capabilities that can penetrate adversary defenses at range. 致死性:敵の防御を射程距離で貫くことができる反アクセス/領域拒否の攻撃能力を有する。
Sustainable: Securely and effectively provides logistics and sustainment to continue operations in a contested and degraded environment, despite adversary disruption. 持続可能性:持続可能:敵の妨害にもかかわらず、紛争や劣化した環境下で作戦を継続するためのロジスティクスとサステイメントを確実かつ効果的に提供する。
Resilient: Maintains information and decision advantage, preserves command, control, and communications systems, and ensures critical detection and targeting operations. レジリエンス:情報・意思決定の優位性を維持し、指揮・統制・通信システムを維持し、重要な探知・照準業務を確保する。
Survivable: Continues generating combat power to support strike capabilities and enablers for logistics and sustainment, despite adversary attacks. 生存可能:敵の攻撃を受けても、攻撃能力を支援するための戦闘力と、ロジスティクスと維持のためのイネーブラーを生成し続ける。
Agile and Responsive: Rapidly mobilizes forces, generates combat power, and provides logistics and sustainment, even given adversary regional advantages and climate change impacts. 機動性と対応力:敵の地域的な優位性や気候変動の影響を考慮しても、戦力を迅速に動員し、戦闘力を生み出し、後方支援と持続可能性を提供する。
Risk Management リスクマネジメント
No strategy will perfectly anticipate the threats we may face, and we will doubtless confront challenges in execution. This strategy shifts focus and resources toward the Department's highest priorities, which will inevitably affect risk profiles in other areas. An NDS that is clear-eyed about this reality will help ensure that the Department effectively implements the strategy and assesses its impact over time. どのような戦略も、我々が直面する可能性のある脅威を完全に予測することはできず、また、実行する上で困難に直面することは間違いない。この戦略では、省庁の最優先事項に向けて焦点と資源をシフトするため、必然的に他の分野のリスクプロファイルに影響を与えることになる。この現実を明確に認識したNDSは、省庁が戦略を効果的に実施し、その影響を長期的に評価するのに役立つ。
Foresight Risks 先見性のあるリスク
In developing this strategy, the Department considered the risks stemming from inaccurate predictions, including unforeseen shocks in the security environment. Chief among these: The rate at which a competitor modernizes its military, and the conditions under which competitor aggression manifests, could be different than anticipated. Our threat assessments may prove to be either over-or underestimated. We might fail to anticipate which technologies and capabilities may be employed and change our relative military advantage. A new pandemic or the impacts of climate change could cause increased readiness or operational strain. この戦略を策定するにあたり、国防総省は、安全保障環境における予期せぬショックなど、不正確な予測に起因するリスクを考慮した。その中でも特に重要なのは 競合他社が軍備を近代化する速度や、競合他社の侵略が顕在化する条件は、予想と異なる可能性がある。当社の脅威評価は過大または過小評価であることが判明する可能性がある。どのような技術や能力が採用され、相対的な軍事的優位性が変化するかを予測できない可能性がある。新たなパンデミックや気候変動の影響により、準備態勢や作戦上の負担が増加する可能性がある。
Implementation Risks 実施上のリスク
This strategy will not be successful if we fail to resource its major initiatives or fail to make the hard choices to align available resources with the strategy's level of ambition; if we do not effectively incorporate new technologies and identify, recruit, and leverage new talent; and if we are unsuccessful in reducing the barriers that limit collaboration with Allies and partners. We aim to mitigate these and other risks by ruthless prioritization. For example, we must not over-exert, reallocate, or redesign our forces for regional crises that cross the threshold of risk to preparedness for our highest strategic priorities また、新技術を効果的に取り入れ、新しい人材を発掘し、採用し、活用することができなければ、また、同盟国やパートナーとの協業を制限する障壁を減らすことに成功しなければ、この戦略は成功しない。我々は、これらのリスクやその他のリスクを軽減するために、冷酷なまでに優先順位をつけることを目指す。例えば、戦略上の最優先事項に対する備えとリスクの閾値を超えるような地域的危機のために、戦力を過剰に投入したり、再配置したり、再設計したりしてはならない。
Building Enduring Advantages 永続的な優位性の構築
To shore up the foundations for integrated deterrence and campaigning, we will act urgently to build enduring advantages across the defense ecosystem - the Department of Defense, the defense industrial base, and the array of private sector and academic enterprises that create and sharpen the Joint Force's technological edge. We will modernize the systems that design and build the Joint Force, with a focus on innovation and rapid adjustment to new strategic demands. We will make our supporting systems more resilient and agile in the face of threats that range from competitors to the effects of climate change. And we will cultivate our talents, recruiting and training a workforce with the skills, abilities, and diversity we need to creatively solve national security challenges in a complex global environment. 統合抑止力と作戦の基盤を強化するため、我々は、国防総省、防衛産業基盤、そして統合軍の技術的優位性を生み出し、研ぎ澄ます民間企業や学術機関の数々といった防衛エコシステム全体で永続的な優位性を築くために緊急の行動を起こす。我々は、イノベーションと新たな戦略的需要への迅速な適応に焦点を当て、統合軍を設計・構築するシステムを近代化する予定である。我々は、競合他社から気候変動の影響に至るまで、さまざまな脅威に直面している我々の支援システムをよりレジリエンスで俊敏なものにします。そして、複雑なグローバル環境において国家安全保障上の課題を創造的に解決するために必要なスキル、能力、多様性を備えた人材を採用・育成し、才能を開花させる。
Conclusion 結論
The United States is endowed with remarkable qualities that confer great advantages, including in the realm of national security. We are a free people devoted to democracy and the rule of law. Our combination of diversity, free minds, and free enterprise drives extraordinary innovation and adaptability. We are a member of an unparalleled and unprecedented network of alliances and partnerships. Together, we share many common values and a common interest in defending the stable and open international system, the basis for the most peaceful and prosperous epoch in modern history. 米国は、国家安全保障の領域を含め、大きな利点をもたらす驚くべき資質を備えている。我々は、民主主義と法の支配に献身する自由な国民である。多様性、自由な精神、自由なエンタープライズの組み合わせは、並外れた革新性と適応性を促進します。我々は、他に類を見ない、前例のない同盟とパートナーシップのネットワークの一員である。我々は、多くの共通の価値観を持ち、近代史の中で最も平和で豊かな時代の基盤である安定した開かれた国際システムを守ることに共通の関心を持っている。
We must not lose sight of these qualities and advantages. Our generational challenge is to combine and integrate them, developing our capabilities together with those of our Allies and partners to sustain and strengthen an international system under threat. 我々は、これらの資質や利点を見失ってはならない。我々の世代的な課題は、これらを組み合わせ、統合し、我々の能力を同盟国やパートナーの能力とともに開発し、脅威の下にある国際システムを維持し強化することである。
This NDS has outlined the courses of action the Department of Defense will take to help meet this challenge. We are confident in success. Our country has faced and prevailed in multi-year competitions with major powers threatening or using force to subjugate others on more than one occasion in the past. Working in service of the American people, and in collaboration with our partners around the world, the men and women of our superbly capable Joint Force stand ready to do so again. この NDS は、この挑戦の達成を支援するために国防総省が取るべき行動指針を示したものである。我々は、成功を確信している。わが国は、過去に何度も、他国を支配するために脅威を与え、あるいは武力を行使する大国との数年にわたる競争に直面し、勝利してきた。米国民に奉仕し、世界中のパートナーとの協力のもと、我々の素晴らしく有能な統合軍の男女は、再びそうする準備ができている。

 

・[PDF]

20230317-193145

 

Cyberという文字は34箇所ででてきますが、サイバーセキュリティではなく、サイバー空間、サイバー領域という意味で使われているところがほとんどですかね。。。

 

 

| | Comments (0)

2022.10.28

英国 ICO 未熟なバイオメトリクス技術は人を差別する可能性がある「バイオメトリクス洞察レポート」「バイオメトリクス予見レポート」

こんにちは、丸山満彦です。

英国の情報コミッショナー事務局 (Infomation Commissioner's Office; ICO) は、「未熟なバイオメトリクス技術は人を差別する可能性がある」と警告を出していますね。。。バイオメトリクスを利用した感情分析技術(視線追跡、感情分析、顔の動き、歩行分析、心拍、顔の表情、肌の水分などのデータをAI等を利用して処理し、感情を推測する技術)について気にしているのでしょうかね。。。

2023年春にバイオメトリクスに関するガイダンスを出すようですね。。。

 

Information Commissioner's Office: ICO

・2022.10.26 ‘Immature biometric technologies could be discriminating against people’ says ICO in warning to organisations

‘Immature biometric technologies could be discriminating against people’ says ICO in warning to organisations 「未熟なバイオメトリクス技術は人を差別する可能性がある」とICOが組織への警告を発表
The Information Commissioner’s Office (ICO) is warning organisations to assess the public risks of using emotion analysis technologies, before implementing these systems. Organisations that do not act responsibly, posing risks to vulnerable people, or fail to meet ICO expectations will be investigated. 情報コミッショナー事務局(ICO)は、感情分析技術を導入する前に、その公共的リスクを評価するよう組織に警告している。責任ある行動をとらず、弱者にリスクを与える組織や、ICOの期待に応えられない組織は、調査を受けることになる。
Emotional analysis technologies process data such as gaze tracking, sentiment analysis, facial movements, gait analysis, heartbeats, facial expressions and skin moisture. 感情分析技術は、視線追跡、感情分析、顔の動き、歩行分析、心拍、顔の表情、肌の水分などのデータを処理する。
Examples include monitoring the physical health of workers by offering wearable screening tools or using visual and behavioural methods including body position, speech, eyes and head movements to register students for exams. 例としては、ウェアラブルスクリーニングツールを提供して労働者の身体的健康を監視したり、体位、スピーチ、目、頭の動きなどの視覚的・行動的手法を用いて受験生を登録したりすることが挙げられる。
Emotion analysis relies on collecting, storing and processing a range of personal data, including subconscious behavioural or emotional responses, and in some cases, special category data. This kind of data use is far more risky than traditional biometric technologies that are used to verify or identify a person. 感情分析は、潜在的な行動や感情的な反応、場合によっては特別なカテゴリーデータなど、さまざまな個人データの収集、保存、処理に依存する。このようなデータの使用は、個人の確認や識別に使用される従来のバイオメトリクス認証技術よりもはるかにリスクが高い。
The inability of algorithms which are not sufficiently developed to detect emotional cues, means there’s a risk of systemic bias, inaccuracy and even discrimination. 感情の手がかりを検出するためのアルゴリズムが十分に発達していないため、体系的なバイアス、不正確さ、さらには差別のリスクがあることを意味する。
Deputy Commissioner, Stephen Bonner said: 副長官であるStephen Bonnerは、次のように述べている。
“Developments in the biometrics and emotion AI market are immature. They may not work yet, or indeed ever. 「バイオメトリクスと感情AI市場の開発は未熟である。まだ、いや、これからも機能しないかもしれない。」
“While there are opportunities present, the risks are currently greater. At the ICO, we are concerned that incorrect analysis of data could result in assumptions and judgements about a person that are inaccurate and lead to discrimination. 「機会が存在する一方で、現状ではリスクの方が大きい。ICOでは、データの不正確な分析が、その人に関する不正確な仮定や判断につながり、差別につながることを懸念している。」
“The only sustainable biometric deployments will be those that are fully functional, accountable and backed by science. As it stands, we are yet to see any emotion AI technology develop in a way that satisfies data protection requirements, and have more general questions about proportionality, fairness and transparency in this area. 「持続可能なバイオメトリクス認証の導入は、完全に機能し、説明責任を果たし、科学的な裏付けがあるものだけだろう。現状では、データ保護の要件を満たすような感情的なAI技術の開発はまだ見られず、この分野における比例性、公平性、透明性についてより一般的な疑問を持っている。」
“The ICO will continue to scrutinise the market, identifying stakeholders who are seeking to create or deploy these technologies, and explaining the importance of enhanced data privacy and compliance, whilst encouraging trust and confidence in how these systems work.” 「ICOは今後も市場を精査し、こうした技術の創出や展開を目指す関係者を特定し、データプライバシーとコンプライアンスの強化の重要性を説明するとともに、こうしたシステムの仕組みに対する信頼と信用を促していく。」
Biometric guidance coming in Spring 2023   2023年春にバイオメトリクスのガイダンスが発行される
The ICO is an advocate for genuine innovation and business growth. To enable a fairer playing field, we will act positively towards those demonstrating good practice, whilst taking action against organisations who try to gain unfair advantage through the use of unlawful or irresponsible data collection technologies. このガイダンスは、エイダ・ラブレス研究所とブリティッシュ・ユース・カウンシルの協力のもとで開催される公開討論会にも協力し、人々を中核に据えたものとなる。 このダイアログでは、バイオメトリクス技術に対する一般の人々の認識を探り、バイオメトリクスデータの使用方法について意見を収集する。
As well as warning about the risks around emotion analysis technologies, we are developing guidance on the wider use of biometric technologies. These technologies may include facial, fingerprint and voice recognition, which are already successfully used in industry. バイオメトリクス製品やサービスの開発段階で企業や組織を支援することは、「プライバシー・バイ・デザイン」のアプローチを取り入れることになるため、リスク要因を減らし、組織が安全かつ合法的に運営されていることを保証することになる。
Our biometric guidance, which is due to be published in Spring 2023, will aim to further empower and help businesses, as well as highlight the importance of data security. Biometric data is unique to an individual and is difficult or impossible to change should it ever be lost, stolen or inappropriately used.  2023年春に発行予定のバイオメトリクスのガイダンスは、ビジネスの力をさらに高め、支援するとともに、データセキュリティの重要性を強調することを目的としている。バイオメトリクスデータは個人に固有のものであり、紛失、盗難、不適切な利用があった場合、変更することは困難か不可能である。
This guidance will also have people at its core, with the assistance of public dialogues held in liaison with both the Ada Lovelace Institute and the British Youth Council. These will explore public perceptions of biometric technologies and gain opinions on how biometric data is used. また、このガイダンスは、エイダ・ラブレイス研究所やブリティッシュ・ユース・カウンシルと連携して開催されるパブリック・ダイアログの支援を受けながら、人を中心に据えたものとなる。このダイアログでは、バイオメトリクス技術に対する一般の人々の認識を探り、バイオメトリクスデータの利用方法について意見を聞くことができる。
Supporting businesses and organisations at the development stage of biometrics products and services embeds a ‘privacy by design’ approach, thus reducing the risk factors and ensuring organisations are operating safely and lawfully. バイオメトリクス製品やサービスの開発段階から企業や組織をサポートすることで、「プライバシー・バイ・デザイン」のアプローチを取り入れ、リスク要因を低減し、組織の安全かつ合法的な運営を保証する。
Further information is available in two new reports which have been published this week to support businesses navigating the use of emerging biometrics technologies. さらに、新たなバイオメトリクス技術の活用を目指す企業を支援するため、今週発表された2つの新しいレポートから情報を得ることができる。
Examples of where biometric technologies are currently being used:   バイオメトリクス認証技術の最近の活用例・
・Financial companies are using facial recognition to verify human identities through comparing photo IDs and a selfie. Computer systems then verify the likelihood of the documents being genuine and the person in both images being the same. ・金融機関は、顔認識技術を使って、写真付き身分証明書と自撮り写真を比較し、人間の身元を確認する。そして、コンピュータシステムが、書類が本物であること、両方の画像に写っている人物が同一であることの可能性を検証する。
・Airports are aiming to streamline passenger journeys through facial recognition at check-in, self-service bag drops and boarding gates. ・空港では、チェックイン、セルフサービスの手荷物預かり、搭乗ゲートでの顔認識により、乗客の移動を合理化することを目指している。
・Other companies are using voice recognition to allow users to gain access to secure platforms instead of using passwords. ・また、音声認識を利用して、パスワードの代わりに安全なプラットフォームへのアクセスを可能にする企業もある。
Biometric technologies are also expected to have a major impact on the following sectors:   また、バイオメトリクス技術は、以下の分野にも大きな影響を与えることが予想される:
・The finance and commerce sectors are rapidly deploying behavioural biometrics and technologies such as voice, gait and vein geometry for identification and security purposes. ・金融や商業の分野では、本人確認やセキュリティのために、行動バイオメトリクスや音声、歩行、静脈ジオメトリなどの技術が急速に導入されていく。
・The fitness and health sector which is expanding the range of biometrics they collect, with consumer electronics being repurposed for health data. ・フィットネスや健康分野では、家電製品が健康データに再利用されるなど、バイオメトリクス情報収集の幅が広がっている。
・The employment sector has begun to deploy biometrics for interview analysis and staff training – complete our public consultation ・雇用分野では、面接分析やスタッフ研修にバイオメトリクスの導入が始まっている。 - 公開コンサルテーションを終了した。
・Behavioural analysis in early education is becoming a significant, if distant, concern. ・早期教育における行動分析学は、遠い存在ではあるが、重要な関心事となりつつある。
・Biometrics will also be integral to the success of immersive entertainment. ・また、没入型エンターテインメントの成功には、バイオメトリクス認証が不可欠になる。
Our look into biometrics futures is a key part of the ICO’s horizon-scanning function. This work identifies the critical technologies and innovation that will impact privacy in the near future – it’s aim is to ensure that the ICO is prepared to confront the privacy challenges transformative technology can bring and ensure responsible innovation is encouraged. バイオメトリクスの未来についての考察は、ICOの水平スキャンニング機能の重要な部分を担っている。この作業は、近い将来プライバシーに影響を与える重要な技術と革新を特定する。その目的は、ICOが変革的な技術がもたらすプライバシーの課題に立ち向かう準備を整え、責任ある革新を確実に促進することにある。
Notes to editors: 編集後記
1. The Information Commissioner’s Office (ICO) is the UK’s independent regulator for data protection and information rights law, upholding information rights in the public interest, promoting openness by public bodies and data privacy for individuals. 1. 情報コミッショナーオフィス(ICO)は、データ保護と情報権利法に関する英国の独立規制機関であり、公共の利益のために情報権利を支持し、公的機関による公開と個人のデータプライバシーを促進する。
2. The ICO has specific responsibilities set out in the Data Protection Act 2018 (DPA2018), the United Kingdom General Data Protection Regulation (UK GDPR), the Freedom of Information Act 2000 (FOIA), Environmental Information Regulations 2004 (EIR), Privacy and Electronic Communications Regulations 2003 (PECR) and a further five acts and regulations.  2. ICOは、データ保護法2018(DPA2018)、英国一般データ保護規則(英国GDPR)、情報公開法2000(FOIA)、環境情報規則2004(EIR)、プライバシーおよび電子通信規則2003(PECR)、さらに5つの法律および規則で定められた特定の責任を担っている。
3. Biometric technologies are: technologies that process biological or behavioural characteristics for the purpose of identification, verification, categorisation or profiling.   3. バイオメトリクス技術とは:識別、検証、分類またはプロファイリングを目的として、生物学的または行動学的特性を処理する技術。  
4. If you are interested in biometric technologies and would like engage with the work we are doing in this area please email biometrics@ico.org.uk. 4. バイオメトリクス技術に興味があり、この分野で私たちが行っている活動に参加したい方は、biometrics@ico.org.uk にメールを送付すること。

 

・2022.10.26 Biometrics technologies

Biometrics technologies バイオメトリクス技術
The Information Commissioner’s Office (ICO) is warning organisations to assess the public risks of using emotion analysis technologies before implementing these systems. Organisations that do not act responsibly, posing risks to vulnerable people, or fail to meet ICO expectations will be investigated. 情報コミッショナー事務局(ICO)は、感情分析技術を使用する際の公衆のリスクを評価した上で、これらのシステムを導入するよう組織に警告している。責任ある行動をとらず、弱者にリスクを与える組織や、ICOの期待に応えられない組織には調査が行われる。
Supporting businesses and organisations at the development stage of biometrics products and services embeds a ‘privacy by design’ approach, thus reducing the risk factors and ensuring organisations are operating safely and lawfully. バイオメトリクス製品およびサービスの開発段階で企業や組織を支援することは、「プライバシー・バイ・デザイン」アプローチを組み込むことになるため、リスク要因を減らし、組織が安全かつ合法的に運営されていることを保証する。
Further information is available in two new reports which have been published to support businesses navigating the use of emerging biometrics technologies. さらに詳しい情報は、新たなバイオメトリクス技術の利用を進める企業を支援するために発行された2つの新しい報告書に記載されている。
Further Reading 参考資料
Biometrics insight report - 26 October 2022 バイオメトリクス洞察レポート(2022年10月26日発行)
Biometrics foresight report - 26 October 2022 バイオメトリクス予見レポート(2022年10月26日発行)

 

・[PDF] Biometrics insight report

20221028-55557

目次...

Biometrics insight report バイオメトリクス洞察レポート
Introduction 序文
Background 背景
Why biometric data? なぜバイオメトリクスデータなのか?
Defining biometric data バイオメトリクスデータの定義
Biometric technologies – the context バイオメトリクス技術 - その背景
Why biometrics technologies? なぜバイオメトリクス技術なのか?
Biometric technologies: patent analysis バイオメトリクス技術:特許分析
Biometric technologies: further insights バイオメトリクス技術:さらなる洞察
Legal context 法的背景
What’s next? 次は何?
Annex A – Glossary 附属書A - 用語集

 

・[PDF] Biometrics foresight report 

20221028-55703

目次...

Biometrics foresight report バイオメトリクス予見レポート
Introduction 序文
Context 背景
Sector scenarios 分野別シナリオ
Short term scenarios 短期シナリオ
Medium term scenarios 中期シナリオ
Long term scenarios 長期シナリオ
Key issues in biometric futures バイオメトリクス情報未来における重要課題
Issue 1: Clarification of terminology and production of guidance 課題1:用語の明確化、ガイダンスの作成
Issue 2: Increasing use of biometric technologies for classificatory purposes 課題2:分類のためのバイオメトリクス技術の利用拡大
Issue 3: Compliance with transparency and lawfulness requirements when processing ambient data will present significant challenges 課題3:環境データを処理する際の透明性と適法性の要件への準拠が大きな課題となる
Issue 4: Emotional AI is developing at pace despite being considered a high risk biometric technology 課題4:高リスクのバイオメトリクス技術と考えられているにもかかわらず、エモーショナルAIは急速に発展している
What’s next? 次は何?
Annex A – Methodology and responses 附属書A - 方法論と回答
Annex B – Call for view questions 附属書B - 閲覧募集の質問

 


まるちゃんの情報セキュリティ気まぐれ日記

・2022.10.29 英国 ICO 雇用慣行とデータ保護:労働者の健康情報案に関するコンサルテーション (2022.10.27)

・2022.10.29 英国 ICO 雇用慣行:職場における監視ガイダンスと影響評価案に関するコンサルテーション (2022.10.12)

・2022.10.28 英国 ICO 未熟なバイオメトリクス技術は人を差別する可能性がある「バイオメトリクス洞察レポート」「バイオメトリクス予見レポート」

 

中国は顔認識、歩行認識、音声認識データについてのセキュリティ標準を最近決定しましたね。。。

・2022.10.22 中国 TC260 14のセキュリティ関連の標準を決定

 

Faicial Recognition

・2022.10.07 米国 科学技術政策局 AI権利章典の青写真

・2022.10.03 米国 2022年顔認識法案

・2022.07.12 米国 国土安全保障省検査局 米国税関・国境警備局は空港での国際線旅行者の識別のために顔認識のポリシーを遵守している (2022.07.07)

・2022.05.30 英国 情報コミッショナー 顔認識データベース会社Clearview AI Incに750万ポンド以上の罰金を科し、英国人のデータの削除を命じた

・2022.05.20 欧州データ保護委員会 (EDPB) 意見募集「法執行分野における顔認識技術の使用に関するガイドライン」

・2022.05.15 カナダ プライバシーコミッショナー室 プライバシーに関する戦略的優先事項とそこから生まれたテーマと見解

・2022.04.30 米国 GAO ブログ 人工知能は国家安全保障をどう変えるか (2022.04.19)

・2022.01.21 ENISA デジタル・アイデンティティ攻撃に注意:あなたの顔が偽装される可能性があります

・2021.12.25 個人情報保護委員会 犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会の設置

・2021.10.17 インターポール、国連地域間犯罪司法研究所、オランダ警察、世界経済会議が「顔認証を責任もって制限するためのポリシーフレームワーク ユースケース:法執行機関の捜査」 at 2021.10.05

・2021.09.29 世界経済フォーラム (WEF) 技術の責任ある利用:IBMをケースにした研究

・2021.09.27 欧州委員会 職場での電子モニタリングと監視 (Electronic Monitoring and Surveillance in the Workplace)

・2021.09.10 EU議会 提言 バイオメトリクス認識と行動検知

・2021.08.28 中国 意見募集 国家サイバースペース管理局 「インターネット情報サービスのアルゴリズムによる推奨に関する管理規定」

・2021.08.27 米国 GAO 顔認識技術:連邦政府機関による現在および計画中の使用方法

・2021.08.20 英国 意見募集 監視カメラ実施規範改訂案 by 監視カメラコミッショナー at 2021.08.13

・2021.08.11 EU議会 STUDY バイオメトリクス認識と行動検知

・2021.08.10 EU議会 STUDY ヨーロッパの政策におけるディープフェイクへの取り組み at 2021.07.30

・2021.08.08 EU議会 BRIEFING スマートシティとアーバンモビリティにおける人工知能 at 2021.07.23

・2021.08.07 総務省 AIネットワーク社会推進会議 「報告書2021」の公表

・2021.08.07 Atlantic Council AIとデータ倫理におけるコミットメントからコンテンツへの移行:正義と説明可能性

・2021.08.04 中国 通信院 信頼できる人工知能についての白書 at 2021.07.09

・2021.08.03 中国 最高人民法院 「民事案件における顔識別技術の使用に関する司法解釈」

・2021.07.15 米国GAO 顔認識技術について連邦法執行機関はプライバシーやその他のリスクをより適切に評価する必要がある at 2021.06.03

・2021.07.12 ニューヨーク市 生体情報プライバシー条例が2021.07.09から施行されましたね。。。

・2021.06.30 WHO 保健のための人工知能の倫理とガバナンス

・2021.06.28 EU 外交政策ツールとしての人工知能ガバナンス

・2021.06.23 欧州 EDPBとEDPS 公共の場における人の特徴を自動認識するためのAIの使用、および不当な差別につながる可能性のあるその他のAIの使用の一部を禁止するよう要請

・2021.06.22 欧州保険職業年金局 (EIOPA) 欧州保険セクターにおける倫理的で信頼できるAIガバナンス原則に関するレポートを公表

・2021.06.20 英国 情報コミッショナー 公共の場でのライブ顔認識技術の使用に関するプライバシーの懸念

・2021.06.17 米国上院・下院 顔認識ツールを含む生体情報監視を政府が使用することを禁止する「顔認識および生体認識技術モラトリアム法案」

・2021.06.17 英国政府:データ倫理とイノベーションセンター プライバシーに関するユーザの積極的選択中間報告(スマートフォン)

・2021.06.08 U.S. の公益団体であるEPICが顔認識技術および遠隔生体認識技術の使用禁止を世界的に呼びかけていますね。。。

・2021.05.12 カナダのプライバシーコミッショナーが顔認識技術について議会で見解を述べたようですね。。。

・2021.05.07 ドイツ連邦情報セキュリティ局 (BSI) が「監査可能なAIシステムを目指して - 現状と今後の展望」を公表しています

・2021.05.03 中国 意見募集 顔認識に続けて、歩行認識、音声認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。

・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね

・2021.04.22 ドイツ連邦情報セキュリティ局 (BSI) が安全なAI導入のための対策をまとめていますね。。。

・2021.04.21 U.S. FTC(連邦取引委員会) のブログ 会社でAIを活用する場合は真実、公正、公平を目指そう、という記事がありますね。。。

・2021.03.14 CNIL 乗客のマスク着用率を測定するためのインテリジェントビデオの使用に関する法令についての意見を公表

・2021.02.05 カナダのプライバシーコミッショナーが顔認識ソフトウェアを提供するClearview AIについての声明を出していますね。。。

・2021.01.30 欧州評議会 108号条約委員会が「顔認証に関するガイドライン」を採択しましたね。。。

・2021.01.12 欧州委員会 市民イニシアティブとして「生体認証による大量監視慣行の禁止」を登録

・2021.01.04 ニューヨーク州 知事が学校での顔認識技術の使用を一時停止し、研究を指示する法律に署名 at 2020.12.22

・2020.11.04 カナダプライバシー委員会 Cadillac Fairview社が500万人の顔データを取得していたことに関する報告書(2020.10.28)

・2020.06.26 人間が間違うなら、人間を模倣したAIも間違うんでしょうね。。。

・2020.06.14 IBM, Amazon, Microsoftは顔認証システムを米国の警察には販売しない

・2020.05.01 (人工知能 AI)ブラックボックスの検証:アルゴリズムシステムを評価するためのツール - アルゴリズムの監査・影響評価のための共通言語の特定

・2020.03.26 JVNVU#99619336 勾配降下法を使用する機械学習モデルに、誤った識別をさせるような入力を作成することが可能な問題

・2020.03.04 FIRST EVER DECISION OF A FRENCH COURT APPLYING GDPR TO FACIAL RECOGNITION

・2020.02.17 遠くからでもわかる顔認識システム!

ぐっと遡って、2000年代

・2009.11.07 世界プライバシー宣言(Global Privacy Standards for a Global World)

・2005.08.11 外務省 IC旅券調査研究報告書

・2005.02.04 監視社会と信頼関係

| | Comments (0)

2022.10.27

経済産業省 サイバーセキュリティ経営ガイドライン Ver3.0(案)に対する意見募集

こんにちは、丸山満彦です。

経済産業省が、サイバーセキュリティ経営ガイドライン Ver3.0(案)に対する意見募集をしていますね。。。

突然やなぁ...

Vwe1.1から作成に関わっています。。。最近、これをいろいろなところで参照することが増えてきているので、みなさん、ちゃんと意見をだしがほうがよいと思います。。。

意見は、個人名でもよいと思いますし。。。

TwitterやFacebookに書いている人であれば、そのままの内容でよいと思うので。。。

でないと、これを「正」として、いろいろと政策が進められたり、依頼が行われたりするかもしれませんし。。。

 

● e-Gov

・2022.10.26 サイバーセキュリティ経営ガイドライン Ver3.0(案)に対する意見募集

 

・[PDF] サイバーセキュリティ経営ガイドライン Ver3.0(案) [Downloaded]

20221027-60740

 

・[PDF] 「サイバーセキュリティ経営ガイドライン Ver3.0(案)」の改訂概要 [Downloaded]

20221027-60750


...

Ver2.0からの主な変更点

 

(1) 「サイバーセキュリティ経営ガイドライン・概要」の内容を見直し、企業リスクマネジメントの一部としてサイバーセキュリティ対策の必要性やサイバーセキュリティ対策における経営者の責務などを記載しました。

(2) 経営者が認識すべき3原則について、記載の見直し等を行いました。主な変更後の記載は以下のとおりです。

対策の実施を通じたサイバーセキュリティに関する残留リスクを許容水準まで低減することは経営者の責務である旨を記載

サプライチェーン構造の複雑化に伴い、サプライチェーン全体を俯瞰し、総合的なセキュリティを徹底することの必要性等を記載

- 関係者とのコミュニケーションについて、社外のみならず、社内関係者とも積極的にコミュニケーションをとることが必要である旨を記載 

(3) CISO 等に対して指示すべき10の重要項目について、記載の見直し等を行いました。主な変更後の記載は以下のとおりです。

指示3について、セキュリティ業務に従事する従業員のみならず、全ての従業員が自らの業務遂行にあたってセキュリティを意識し、必要かつ十分なセキュリティ対策を実現できるスキル向上の取組が必要である旨を記載

指示8について、事業継続の観点から、制御系も含めた業務の復旧プロセスと整合性のとれた復旧計画・体制の整備の必要性や対象をIT系・社内・インシデントに限定せず、サプライチェーンも含めた実践的な演習の実施等について記載

指示9について、自社へのリスク波及を防ぐ観点からサプライチェーン全体での対策が必要であること、委託先に一方的な対策を強いるのでなく、方策の実効性を高めることを記載

指示10について、有益な情報を得るためには適切な情報を提供することも必要であることを強調しつつ、被害の報告・公表への備えをすることやステークホルダーへの情報開示について記載

その他、全体的に対策を怠った場合のシナリオや対策例の追記等

(4) その他、全体的な表現等の見直しを行いました。

...


 

しつこいですが、意見は積極的にだしたほうがよいと思います。。。

委員として、自信がないものを出したという意味ではないでが、、、(^^)

 

 

 

| | Comments (0)

国際監査・保証基準審議会 準同型暗号

こんにちは、丸山満彦です。

国際監査・保証基準審議会 (The International Auditing and Assurance Standards Board; IAASB)  [wikipedia] が準同型暗号についての記事を書いています。

The International Auditing and Assurance Standards Board; IAASB

・2022.10.20 IAASB DIGITAL TECHNOLOGY MARKET SCAN: HOMOMORPHIC ENCRYPTION

日本語(上にある言語選択タブで選べます...)

・2022.10.20 IAASB デジタル テクノロジー マーケット スキャン: 準同型暗号化

Iaasblogo


面白い組み合わせだなぁ...と思ったので紹介です。そして、それを知ったのが、日本公認会計士協会のウェブページ...

 

日本公認会計士協会

・2022.10.26 IAASB】デジタル技術に関するマーケット動向:準同型暗号
 

まず、国際監査・保証基準審議会ってなんですかというかとも多いと思うので、まずはここからの紹介です。。。国際監査・保証基準審議会は、財務諸表監査、品質管理、レビュー、その他の保証、および関連サービスのための国際基準を設定する、独立した団体です。国際会計士連盟 (International Federation of Accountants;IFAC) [wikipedia] が支援しています。

次に、準同型暗号 (Homomorphic encryption) [wikipedia]です。。。セキュリティをしている方はおそらく知らない人は少ないと思いますが、、、暗号化されたままのデータで計算(秘密計算)ができる暗号方式ですね。。。そのため、個人データ等を処理する場合、プライバシーを維持したままでデータ処理できるので、プライバシーテックなどど言われ、注目されている暗号でもあります。公開暗号鍵暗号である、RSA暗号 [wikipedia] やElGamal暗号 [wikipedia] もそうですね。。。

さて、どうして、IAASBが準同型暗号の記事を書いているのか...その理由ですが、記事によると、つぎの5つの点のようです。。。たしかに。。。

  1. 不正発見等のデータ分析をする際に監査法人の情報漏えい等のリスクを低減することができる。
  2. 第三者にデータ分析を依頼しやすくなる
  3. データ移転に規制のある国のデータを使った分析的手続きがやりやすくなる
  4. 競合他社等のデータをつかった分析的手続きがやりやすくなる
  5. 監査で機械学習を使う場合にバイアスを抑制することができそう

 

Homomorphic encryption has many potential benefits for a wide range of industries from healthcare to financial services. From an audit and assurance perspective, there are several areas where homomorphic encryption can be leveraged. 準同型暗号には、医療から金融サービスまで、幅広い業界で多くの潜在的な利点があります。監査と保証の観点から、準同型暗号化を活用できる領域がいくつかあります。
Using aggregated data to securely achieve common goals – Audit firms or other organizations that may perceive privacy or confidentiality risks when working together could collaborate using encrypted data to achieve a common goal such as developing fraud pattern detection applications. Using homomorphic encryption, encrypted data sets from multiple sources could be linked together, used to train an AI application, and develop a technology product for all parties to use. 集約されたデータを使用して 共通の目標を安全に達成する 一緒に作業するときにプライバシーや機密性のリスクを認識する可能性のある監査事務所やその他の組織は、暗号化されたデータを使用して協力し、詐欺パターン検出アプリケーションの開発などの共通の目標を達成できます。準同型暗号を使用すると、複数のソースからの暗号化されたデータ セットをリンクし、AI アプリケーションのトレーニングに使用して、すべての関係者が使用できるテクノロジ製品を開発できます。
Enabling use of third parties without compromising data privacy – Homomorphic encryption may enable audit practitioners to leverage third parties with greater analytics capabilities or expertise to perform analysis on encrypted data to support audit procedures—an approach that would be difficult if not impossible without the encryption technology. データのプライバシーを侵害することなく第三者の使用を可能にする – 準同型暗号化により、監査担当者は、より優れた分析能力または専門知識を持つ第三者を利用して、暗号化されたデータを分析し、監査手順をサポートできるようになります。これは、暗号化技術なしでは不可能ではないにしても困難なアプローチです
Enhancing effectiveness of cross-border audits – Homomorphic encryption could be used to enable data analysis across borders while respecting data residency and privacy laws. This would be particularly beneficial to group audits with components in jurisdictions with strict data residency restrictions. 国境を越えた監査の有効性を高める– 準同型暗号化を使用して、国境を越えたデータ分析を可能にし、データの所在地とプライバシーに関する法律を尊重することができます。これは、厳格なデータ所在地制限のある法域のコンポーネントを含む監査をグループ化する場合に特に有益です
Greater capability to perform benchmarking – Homomorphic encryption could be used to provide benchmarks across industries, including competitive companies, without exposing market sensitive data. Benchmarking data may be used when performing an audit, for example when performing analytical procedures. ベンチマークを実行する機能の向上– 準同型暗号化を使用して、市場の機密データを公開することなく、競合企業を含む業界全体のベンチマークを提供できます。ベンチマーク データは、分析手順の実行など、監査の実行時に使用される場合があります
Mitigating bias whilst stress testing models – Using homomorphic encryption, machine learning models and algorithms could be stress tested using encrypted data sets, so the data could not be fitted to the model ahead of time. モデルのストレス テスト中のバイアスの軽減– 準同型暗号化を使用すると、暗号化されたデータ セットを使用して機械学習モデルとアルゴリズムをストレス テストできるため、事前にデータをモデルに適合させることができませんでした
All these areas focus on homomorphic encryption’s ability to increase the data analysis that can be done while still ensuring data security and privacy. As the technology gains wider traction, it offers audit and assurance practitioners opportunities to increase their analytical capabilities and leverage the specialized skills of other entities or parties, without compromising data privacy. これらすべての領域は、データのセキュリティとプライバシーを確​​保しながら実行できるデータ分析を向上させる準同型暗号化の能力に焦点を当てています。このテクノロジーが広く普及するにつれて、監査および保証の実務者は、データのプライバシーを損なうことなく、分析能力を高め、他のエンティティまたは関係者の専門的なスキルを活用する機会を得ることができます。

 

なるほどですね。。。

会計分野は古くからコンピュータの利用が進んでいたので、会計士業界というのは、比較的デジタル化が進んでいる業界なのです(多分...)が、これからも、ITの理解をより深め、監査の品質向上に努める必要があるようですね。。。

 

さて、この記事は、IAASBのシリーズもののようです、過去には自然言語処理などの記事も書いています。。。

2022.10.20 Homomorphic Encryption 準同型暗号化
2022.06.22 Natural Language Processing 自然言語処理
2022.03.23 Artificial Intelligence—A Primer 人工知能 - 入門書
2022.01.20 API Access API アクセス
2021.10.27 Data Standardization データの標準化

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.07.14 国際監査・保証基準審議会 「デジタル時代の保証」 (2022.07.01)

 

| | Comments (0)

2022.10.26

世界経済フォーラム (WEF) 規制当局が取締役会に求めるサイバーセキュリティのポイント

こんにちは、丸山満彦です。

世界経済フォーラム (WEF)が「規制当局が取締役会に求めるサイバーセキュリティのポイント」という記事を公表していますね。。。世界経済フォーラム (WEF) の一つのトピックスとして、Cybersecurityがあります。。。

Cybersecurityはそのリスクの大きさや変化のスピードという点から見ても、経営課題の重要な一部であることには違いないと思います。

 

World Economic Forum - Whitepaper

Centre for Cybersecurity

・2022.10.24 Here’s what regulators will want boards to know about cybersecurity

Here’s what regulators will want boards to know about cybersecurity 規制当局が取締役会に求めるサイバーセキュリティのポイント
・Cybersecurity is no longer an issue reserved strictly for the IT or compliance executives, it is an issue that impacts all board members. ・サイバーセキュリティは、もはや IT 部門やコンプライアンス部門の役員だけの問題ではなく、すべての役員に影響を与える問題である。
・The SEC are increasing their requirements for cybersecurity disclosures and so boards must be fully informed and aware of cyber risks and responses. ・SEC はサイバーセキュリティの開示要件を強化しているため、取締役会はサイバーリスクとその対応について十分な情報を得、認識する必要がある。
・The new NACD Cyber Risk-Reporting Service will help companies navigate their regulatory responsibilities and real time cyber risks. ・NACDの新しいサイバーリスク報告サービスは、企業の規制責任とリアルタイムのサイバーリスクをナビゲートするのに役立つ。
New United States Securities and Exchange Commission (SEC) rulemaking makes cyber risk reporting and business resilience planning a key component of effective board governance. Earlier this year, the SEC released a proposed cybersecurity disclosure rule to advance risk management and governance towards the treatment of cyber risk. 米国証券取引委員会(SEC)の新しい規則制定により、サイバーリスク報告とビジネスレジリエンス計画は、効果的な取締役会ガバナンスの重要な要素となる。今年初め、SECは、サイバーリスクの扱いに向けてリスクマネジメントとガバナンスを進めるため、サイバーセキュリティ開示規則案を発表した。
As per the SEC: “The SEC is proposing rules to enhance and standardize disclosures regarding cybersecurity risk management, strategy, governance, and cybersecurity incident reporting by public companies that are subject to the reporting requirements of the Securities Exchange Act of 1934. Specifically, we are proposing amendments to require current reporting about material cybersecurity incidents. We are also proposing to require periodic disclosures about a registrant’s policies and procedures to identify and manage cybersecurity risks, management’s role in implementing cybersecurity policies and procedures, and the board of directors’ cybersecurity expertise if any, and its oversight of cybersecurity risk.” SECの発表によると次の通りである。 「SECは、1934年証券取引法の報告義務の対象となる公開企業によるサイバーセキュリティリスクマネジメント、戦略、ガバナンス、サイバーセキュリティインシデント報告に関する開示を強化し標準化する規則を提案している。具体的には、重要なサイバーセキュリティインシデントに関する最新の報告を義務付ける改正を提案している。また、サイバーセキュリティリスクを特定し管理するための登録者の方針と手続き、サイバーセキュリティ方針と手続きの実施における経営者の役割、取締役会のサイバーセキュリティに関する専門知識がある場合はその知識、サイバーセキュリティリスクの監督について定期的に開示することを要求することを提案している。」
Have you read? もう読みましたか?
Global Cybersecurity Outlook 2022 グローバル・サイバーセキュリティ・アウトルック2022
Board responsibility 取締役会の責任
These recent developments heighten attention on the management and disclosure of cyber risks and incidents across US publicly listed companies. It also underscores the importance of advancing risk management, business resilience and governance efforts across the boardroom to ensure resources and investments are applied to those cyber risks that have the most material financial, business, and operational impact. これらの最近の動向は、米国の上場企業におけるサイバーリスクとインシデントのマネジメントと情報開示への関心を高めている。また、財務、事業、業務に最も重大な影響を及ぼすサイバーリスクにリソースと投資が行われるように、リスクマネジメント、ビジネスレジリエンス、ガバナンスの取り組みを取締役会全体で推進することの重要性が強調されている。
The World Economic Forum and National Association of Corporate Directors (NACD) Principles for Board Governance of Cyber Risk insights report finds that this is a Board level issue that needs to be proactively addressed, especially given the potential financial impacts of cyber risks. 世界経済フォーラムと全米企業役員協会(NACD)の「サイバーリスクに関する取締役会ガバナンスのための原則」レポートは、特にサイバーリスクの潜在的な財務的影響を考えると、これは積極的に取り組む必要のある取締役会レベルの問題であることを見抜いている。
As regulatory attention increases, it is essential for the board to ensure budgets allocated to cybersecurity risk align to effectively mitigate potential impact. The days where security budgets are set without business impact context are over. 規制当局の注目が高まる中、取締役会は、サイバーセキュリティリスクに割り当てられる予算が、潜在的な影響を効果的に軽減するよう調整されることを確認することが不可欠である。ビジネスへの影響を考慮せずにセキュリティ予算が設定される時代は終わったのである。
DISCOVER ディスカバー
What is the World Economic Forum doing on cybersecurity? 世界経済フォーラムは、サイバーセキュリティに関してどのような取り組みを行っているか?
The World Economic Forum’s Centre for Cybersecurity drives global action to address systemic cybersecurity challenges and improve digital trust. It is an independent and impartial platform fostering collaboration on cybersecurity in the public and private sectors. 世界経済フォーラムのサイバーセキュリティ・センターは、サイバーセキュリティの体系的な課題に対処し、デジタルの信頼を向上させるために、グローバルな活動を推進している。このセンターは、官民のサイバーセキュリティに関するコラボレーションを促進する独立した公平なプラットフォームである。
・Salesforce, Fortinet and the Global Cyber Alliance, in partnership with the Forum, are delivering free and globally accessible training to a new generation of cybersecurity experts. ・セールスフォース、フォーティネット、グローバル・サイバー・アライアンスは、同フォーラムと連携し、新世代のサイバーセキュリティ専門家に向けて、無料でグローバルにアクセス可能なトレーニングを提供している。
・The Forum, in collaboration with the University of Oxford – Oxford Martin School, Palo Alto Networks, Mastercard, KPMG, Europol, European Network and Information Security Agency, and the US National Institute of Standards and Technology, is identifying future global risks from next-generation technology. ・フォーラムは、オックスフォード大学マーティンスクール、パロアルトネットワークス、マスターカード、KPMG、ユーロポール、欧州ネットワーク・情報セキュリティ機関、米国国立標準技術研究所と共同で、次世代技術による将来のグローバルリスクを特定する活動を行っている。
・The Forum has improved cyber resilience in aviation while working with Deloitte and more than 50 other companies and international organizations. ・同フォーラムは、デロイトをはじめとする50以上の企業や国際組織と協力しながら、航空業界のサイバーレジリエンスを向上させてきた。
・The Forum is bringing together leaders from more than 50 businesses, governments, civil society and academia to develop a clear and coherent cybersecurity vision for the electricity industry. ・フォーラムは、50以上の企業、政府、市民社会、学界のリーダーを集め、電力業界のための明確で一貫したサイバーセキュリティビジョンを策定している。
・The Council on the Connected World agreed on IoT security requirements for consumer-facing devices to protect them from cybers threats, calling on the world’s biggest manufacturers and vendors to take action for better IoT security. ・コネクテッド・ワールド評議会は、消費者向け機器をサイバー脅威から保護するためのIoTセキュリティ要件に合意し、世界最大のメーカーとベンダーにIoTセキュリティ向上のための行動をとるよう呼びかけた。
・The Forum is also a signatory of the Paris Call for Trust and Security in Cyberspace, which aims to ensure global digital peace and security. ・また、同フォーラムは、世界のデジタル平和と安全の確保を目指す「サイバースペースにおける信頼とセキュリティのためのパリ・コールに署名している。
Contact us for more information on how to get involved. 参加方法の詳細については、問い合わせること。
The importance of communication コミュニケーションの重要性
Effective communication is a cornerstone of positive outcomes in business. Developing a common language for discussing the complex issues of cyber risk is essential to achieving business resilience. This requires simplifying confusing, technical discussions loaded with nuanced security terms into understandable financial exposure analysis, which sheds light on the potential of how cyber-attacks endanger organizations financially in the short and long term. 効果的なコミュニケーションは、ビジネスにおいてポジティブな結果をもたらすための礎となる。サイバーリスクという複雑な問題を議論するための共通言語を開発することは、ビジネスのレジリエンスを実現するために不可欠である。そのためには、微妙なニュアンスのセキュリティ用語が並ぶ混乱した技術的な議論を、理解しやすい財務エクスポージャー分析に単純化し、サイバー攻撃が短期的にも長期的にも組織を財政的に危険にさらすという可能性に光を当てる必要がある。
For boards, It is not the technical part of cyber they need to become experts in (although technical awareness may help). They need to view cyber as a material business financial risk and need to understand the potential of its material impact on business. 取締役会にとって、専門家になる必要があるのはサイバーの技術的な部分ではない(技術的な認識は役立つかもしれないが)。取締役会は、サイバーを重要な事業財務リスクと見なし、それが事業に及ぼす重大な影響の可能性を理解する必要がある。
This will ensure oversight that converts the technical conversation around cyber security to one of taking steps to establish business resiliency. On an ongoing basis, boards can engage in effective oversight by ensuring management develops strategy and aligns budget to demonstrate risk mitigation and financial exposure reduction. これにより、サイバーセキュリティにまつわる技術的な話を、ビジネスのレジリエンスを確立するための措置を講じるという話に変換する監視が保証される。取締役会は、経営陣がリスク軽減と財務的エクスポージャーの削減を実証するための戦略を策定し、予算を調整することで、継続的に効果的な監督を行うことができる。
When formulating their cyber resiliency plans, boards would do well to ask management questions like: サイバーレジリエンス計画を策定する際、取締役会は経営陣に次のような質問をするのがよいだろう。
・What is our potential financial exposure to cyber threats? ・サイバー脅威に対する当社の潜在的な財務的エクスポージャーはどの程度か?
・What cyber threats are most likely to have a major financial impact on our business? ・どのようなサイバー脅威が当社のビジネスに大きな財務的影響を与える可能性が高いか?
・How much financial exposure are we willing to accept across our enterprise and digital supplier ecosystem? ・当社のエンタープライズとデジタルサプライヤのエコシステム全体で、どれだけの財務的エクスポージャーを受け入れることができるか?
・How can we align our budget, implement controls, develop strategy and optimize risk transfer to address our cyber risk exposure? ・サイバーリスクのエクスポージャーに対処するために、どのように予算を調整し、コントロールを導入し、戦略を策定し、リスク移転を最適化できるか?
・Are our digital initiatives being developed in a cyber-resilient way? ・当社のデジタルイニシアチブは、サイバーレジリエンスに対応した方法で開発されているか?
Cyber risk is a discussion for all c-suites サイバーリスクはすべてのc-suiteのための議論である
Chris Hetner, former senior cybersecurity advisor to the SEC and Nasdaq Center for Board Excellence Insights Council member, says that “It is essential for boards to continuously incorporate cyber risk management discussions related to the most effective way to reduce the financial and business impact connected with cyber risk. The conversation isn’t just for the Chief Information Officer (CIO) and Chief Information Security Officer (CISO). It is a broader c-suite discussion, which must be led by the Chief Financial Officer (CFO) and General Counsel.” SECの元シニア・サイバーセキュリティ・アドバイザーで、ナスダックのCenter for Board Excellence Insights Councilのメンバーでもあるクリス・ヘットナーは、「取締役会は、サイバーリスクに関連する財務およびビジネスへの影響を軽減する最も効果的な方法に関するサイバーリスクマネジメントの議論を継続的に取り入れることが不可欠である」と述べている。この議論は、最高情報責任者(CIO)や最高情報セキュリティ責任者(CISO)のためだけのものではない。最高財務責任者(CFO)と法務責任者が主導しなければならない、より広範なCSUITEの議論なのである。
Hetner says that the failure of cybersecurity to leave a mark on the board is no longer, noting that: "The default tendency of executives is to rely on periodic tactical and technical reports to justify tech solutions that may address technical security issues.” He adds that: "Too often cybersecurity gets lost in translation when engaging board members and the c-suite. This leaves leadership unsure of precisely what they are funding and where residual gaps remain." ヘットナーは、サイバーセキュリティが取締役会に痕跡を残さないことはもうないと言い、次のように指摘している。「経営陣の既定の傾向は、技術的なセキュリティ問題に対処する可能性のある技術ソリューションを正当化するために、定期的な戦術的および技術的な報告書に頼ることである。」 また、次のように付け加えている。「取締役会や経営幹部を巻き込む際に、サイバーセキュリティが訳が分からなくなることがあまりに多いのである。このため、経営陣は、自分たちが何に資金を提供しているのか、どこにギャップが残っているのか、正確に把握できないままになっている」。
Chris and the NACD recently supported the launch of a groundbreaking service whereby boards are supported to more effectively provide oversight related to cyber risk exposure. The X-Analytics and NACD Cyber Risk-Reporting Service is an annual subscription that provides quarterly board reports highlighting the financial exposure attributed to an organization’s cyber risk. The platform relies on the same analytics used by leaders within the cyber insurance industry. クリスとNACDは最近、取締役会がサイバーリスクのエクスポージャーに関連した監視をより効果的に提供できるよう支援する、画期的なサービスの立ち上げを支援した。X-AnalyticsとNACDのサイバーリスクレポートサービスは年間契約であり、組織のサイバーリスクに起因する財務エクスポージャーを強調した四半期ごとの取締役会報告書を提供するものである。このプラットフォームは、サイバー保険業界のリーダーたちが使用しているのと同じ分析に依存している。
This new NACD service facilitates a broader c-suite conversation related to cyber risk and assists boards in engaging in discussions that transcend the technical aspects of cybersecurity. NACDのこの新しいサービスは、サイバーリスクに関連する経営陣との幅広い対話を促進し、取締役会がサイバーセキュリティの技術的側面を超えた議論に参加することを支援する。
Cyber risk management is a team sport that requires the entirety of the enterprise to ensure business resilience. This is driven by a collective analysis that supports inclusive messaging and collaboration. The CISO is a key component of the enterprise cyber resilience strategy but is not the only actor in cyber anymore. What is required is a more inclusive message and collaboration that includes all enterprise risk management leaders. サイバーリスクマネジメントは、ビジネスのレジリエンスを確保するためにエンタープライズ全体が必要とするチームスポーツである。これを推進するのは、包括的なメッセージングとコラボレーションをサポートする集合的な分析である。CISO は、エンタープライズのサイバーレジリエンス戦略の重要な構成要素であるが、もはやサイバーに関わる唯一のアクターではない。必要なのは、すべてのエンタープライズ・リスク・マネジメントのリーダーを含む、より包括的なメッセージと協力体制である。
The new SEC rules seek to engage senior management and the board in a meaningful way. These recent developments heighten attention to disclosures of cyber risks and incidents by US SEC publicly listed companies. They underscore the importance of advancing risk management and governance efforts across the boardroom community to ensure resources and investments are applied to those cyber risks that have the most material financial, business, and operational impact. SECの新ルールは、経営幹部と取締役会を有意義な形で関与させることを求めている。これらの最近の動きは、米国SECの上場企業によるサイバーリスクとインシデントの開示への関心を高めている。また、財務、事業、業務に最も重大な影響を及ぼすサイバーリスクにリソースと投資が行われるよう、取締役会全体でリスクマネジメントとガバナンスの取り組みを進めることの重要性が強調されている。

 

 

 

Wef_20221026015401

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.08.19 世界経済フォーラム (WEF) 暗号通貨とステーブルコインがもたらすマクロ経済への影響  (2022.07.22)

・2022.08.18 世界経済フォーラム (WEF) サイバーレジリエンス指数 - 組織のサイバーレジリエンスの向上 (2022.07.14)

・2022.05.12 世界経済フォーラム (WEF) 「AI Procurment in a Box」を使ってみる:実装からのインサイト

・2022.03.30 世界経済フォーラム (WEF) 暗号通貨規制:今、私たちはどこにいて、どこに向かっているのか?

・2022.02.10 世界経済フォーラム (WEF) 欧州におけるエネルギー分野の最新サイバー攻撃が問題となる理由

・2022.01.20 世界経済フォーラム (WEF) グローバル・サイバーセキュリティ・アウトルック 2022

 

 

| | Comments (0)

2022.10.25

ISO/IEC 27001:2022 情報セキュリティ、サイバーセキュリティ及びプライバシー保護 - 情報セキュリティマネジメントシステム - 要求事項

こんにちは、丸山満彦です。

ISO/IEC 27001:2022 Information security, cybersecurity and privacy protection — Information security management systems — Requirements が公表されていますね。。。

前回は2013年ですから、約9年ぶりの改訂ということですかね。。。

ちなみに、ISO/IEC 27002は今年の2月に改訂されていますね。。。

 

ISO - International Organization for Standardization

・2022.10.25 ISO/IEC 27001:2022 Information security, cybersecurity and privacy protection — Information security management systems — Requirements

Preview

 

ISO/IEC 27001:2022 Information security, cybersecurity and privacy protection — Information security management systems — Requirements ISO/IEC 27001:2022 情報セキュリティ、サイバーセキュリティ及びプライバシー保護 - 情報セキュリティマネジメントシステム - 要求事項
Abstract 概要
This document specifies the requirements for establishing, implementing, maintaining and continually improving an information security management system within the context of the organization. This document also includes requirements for the assessment and treatment of information security risks tailored to the needs of the organization. The requirements set out in this document are generic and are intended to be applicable to all organizations, regardless of type, size or nature. Excluding any of the requirements specified in Clauses 4 to 10 is not acceptable when an organization claims conformity to this document. この文書は,情報セキュリティマネジメントシステムを,組織の文脈の中で確立し,実施し,維持し,継続的に改善するための要求事項を規定するものである。また、組織のニーズに合わせた情報セキュリティリスクの評価及び処理に関する要求事項を含む。本文書で規定する要求事項は一般的なものであり、組織の種類、規模、性質にかかわらず、すべての組織に適用されることを意図している。組織が本文書への適合を主張する場合、第4項から第10項までに規定された要求事項のいずれかを除外することは容認されない。

 

目次...(訳は仮訳...)

Foreword まえがき
Introduction 序文
1 ​Scope 1 適用範囲
2 ​Normative references 2 引用規格
3 ​Terms and definitions 3 用語及び定義
4 ​Context of the organization 4 組織の状況
4.1 ​Understanding the organization and its context 4.1 組織とその状況の理解
4.2 ​Understanding the needs and expectations of interested parties 4.2 利害関係者のニーズ及び期待の理解
4.3 ​Determining the scope of the information security management system 4.3 情報セキュリティマネジメントシステムの適用範囲の決定
4.4 ​Information security management system 4.4 情報セキュリティマネジメントシステム
5 ​Leadership 5 リーダーシップ
5.1 ​Leadership and commitment 5.1 リーダーシップ及びコミットメント
5.2 ​Policy 5.2 方針
5.3 ​Organizational roles, responsibilities and authorities 5.3 組織の役割、責任及び権限
6 ​Planning 6 計画
6.1 ​Actions to address risks and opportunities 6.1 リスク及び機会に対処する行動
6.2 ​Information security objectives and planning to achieve them 6.2 情報セキュリティ目的及びそれを達成するための計画策定
7 ​Support 7 支援
7.1 ​Resources 7.1 資源
7.2 ​Competence 7.2 力量
7.3 ​Awareness 7.3 認識
7.4 ​Communication 7.4 コミュニケーション
7.5 ​Documented information 7.5 文書化した情報
8 ​Operation 8 運用
8.1 ​Operational planning and control 8.1 運用の計画及び管理
8.2 ​Information security risk assessment 8.2 情報セキュリティリスクアセスメント
8.3 ​Information security risk treatment 8.3 情報セキュリティリスク対応
9 ​Performance evaluation 9 パフォーマンス評価
9.1 ​Monitoring, measurement, analysis and evaluation 9.1 監視、測定、分析及び評価
9.2 ​Internal audit 9.2 内部監査
9.3 ​Management review 9.3 マネジメントレビュー
10 ​Improvement 10 改善
10.1 ​Continual improvement 10.1 継続的改善
10.2 ​Nonconformity and corrective action 10.2 不適合及び是正処置 
Annex A Information security controls reference 附属書A 情報セキュリティマネジメント参考資料
Bibliography 参考文献

 

2224pxiso_logo_red_squaresvg

 


 

ちなみに、ISO/IEC 27000ファミリーの規格等の検討状況・・・

 

JIPDEC事業紹介 - 事業一覧 - ISMS・ITSMSの普及

国際動向

現在の最新版

・2022.07.22 [PDF] ISO/IEC 27000ファミリー規格について

20221025-145058

 

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2022.02.17 ISO/IEC 27002:2022 Information security, cybersecurity and privacy protection — Information security controls

・2020.12.11 SP 800-53 Rev. 5 Security and Privacy Controls for Information Systems and Organizations, SP 800-53B Control Baselines for Information Systems and Organizationsの記載ミスの修正と第5版と第4版の更新分析、ISO/IEC27001とのマッピング表等の追加

・2020.06.13 佐藤慶浩さんによる「ISO/IEC 27701「プライバシー情報マネジメントのためのISO/IEC 27001及びISO/IEC 27002への拡張」の解説」

・2020.06.12 ENISA セキュリティ認証スキームになりうる領域の調査 他 WebTrust, ISMS, Common Criteria...

・2020.04.07 ENISAがGood practices on interdependencies between OES and DSPsとISO/IEC 27002, NIST Cybersecurity Framework, Cobit5とのマッピング表を公開しましたね。。。

・2020.04.03 佐藤慶浩さんによる「15分でわかる「ISO/IEC 27701国際規格(プライバシー情報マネジメントのためのISO/IEC 27001及びISO/IEC 27002への拡張-要求事項及び指針)の概要紹介」を講演録」

 

ぐっと時代は遡り...

・2011.02.11 SC27 Platinum Book -Twenty Years of ISO/IEC JTC 1/SC27- Information Security Standardisation

・2009.08.08 JIPDEC ISO/IEC27000ファミリー

| | Comments (0)

G7 金融セクター 「ランサムウェアに対するレジリエンスに関するG7の基礎的要素」「サードパーティのサイバーリスクマネジメントに関するG7の基礎的要素 」(2022.10.13)

こんにちは、丸山満彦です。

G7が「金融セクターのランサムウェアに対するレジリエンスに関するG7の基礎的要素」 と「金融セクターにおけるサードパーティのサイバーリスクマネジメントに関するG7の基礎的要素」を公表していますね。。。

金融庁が仮訳をしてくれています。。。

 

G7 Germany

・2022.10.13 G7 countries adopt reports on cybersecurity

G7 countries adopt reports on cybersecurity G7諸国がサイバーセキュリティに関する報告書を採択
Cybersecurity in the financial sector remains of key importance for the G7 countries. The G7 Cyber Expert Group established in 2015 to address this issue, represented in Germany by the Federal Ministry of Finance, the Bundesbank and the Federal Financial Supervisory Authority, drew up two additional reports during Germany’s G7 presidency this year that set out fundamental elements for risk management. 金融セクターにおけるサイバーセキュリティは、G7諸国にとって引き続き重要な課題である。この問題に取り組むために2015年に設立されたG7サイバー専門家グループは、ドイツでは連邦財務省、ブンデスバンク、連邦金融監督庁が代表を務め、今年のドイツのG7議長国の間に、リスクマネジメントの基本的要素を定めた2つの追加報告書を作成した。
These were adopted by the G7 finance ministers and central bank governors in October 2022 and are of an advisory nature. これらは2022年10月にG7財務大臣・中央銀行総裁によって採択されたもので、諮問的な性格を持つものである。
The G7 Fundamental Elements of Ransomware Resilience for the Financial Sector [pdf, 507KB] contain specific recommendations for financial market agents as to how they can address the increasing threat of ransomware attacks. Financial institutions should prepare themselves for a potential attack by clarifying in advance the measures to be taken in such an event, e.g. communication with stakeholders or ransom payment issues. G7「金融セクターのランサムウェアに対するレジリエンスに関するG7の基礎的要素」には、拡大するランサムウェア攻撃の脅威にどう対処するか、金融市場関係者に対する具体的な推奨事項が記載されている。金融機関は、ステークホルダーとのコミュニケーションや身代金の支払い問題など、攻撃された場合の対応策を事前に明確化し、攻撃の可能性に備える必要がある。
The G7 Fundamental Elements for Third Party Cyber Risk Management in the Financial Sector [pdf, 250KB] represent an update to the fundamental elements published on this topic back in 2018. The increasing use of service providers in the area of information and communication technology (third parties) by financial institutions and new forms of cyberattacks via third parties have made this update necessary. The update includes, for example, explicit recommendations for monitoring risks along the supply chain, which, in a nutshell, may refer to any procurement of ICT services – i.e. the deployment of IT service providers or the use of software or hardware, or a combination of these. The revised fundamental elements also contain recommendations for public authorities, such as identifying systemically important third-party providers and concentration risks. G7「金融セクターにおけるサードパーティのサイバーリスクマネジメントに関するG7の基礎的要素」は、2018年にこのテーマで発表された基本的要素の更新である。金融機関による情報通信技術分野のサービスプロバイダー(サードパーティー)の利用の増加や、サードパーティーを経由した新たな形態のサイバー攻撃を受けて、今回のアップデートが必要になった。今回の更新では、例えば、サプライチェーンに沿ったリスクを監視するための明示的な推奨事項が含まれており、これは一言で言えば、ICTサービスのあらゆる調達、すなわちITサービスプロバイダーの配置やソフトウェアやハードウェアの使用、またはこれらの組み合わせを指すと考えられる。改訂された基本的要素には、システム上重要な第三者事業者の特定や集中リスクなど、公的機関に対する勧告も含まれている。
Besides the fundamental elements just adopted, general fundamental elements for cybersecurity in the financial sector as well as for penetration tests and cyberexercises, amongst other things, have been published since 2016. 今回採択された基本的要素以外にも、金融分野におけるサイバーセキュリティのための一般的な基本的要素や、ペネトレーションテストやサイバーエクササイズなどについては、2016年から発表されている。

 

金融庁が仮訳をしてくれています。。。

 

● 金融庁

・2022.10.21 G7サイバー・エキスパート・グループによるランサムウェア及びサードパーティのサイバーリスクマネジメントに関する基礎的要素の公表について

 


G7 Fundamental Elements of Ransomware Resilience for the Financial Sector

20221025-23551


金融セクターのランサムウェアに対するレジリエンスに関するG7の基礎的要素

20221025-23634


G7 Fundamental Elements for Third Party Cyber Risk Management in the Financial Sector

20221025-23609

金融セクターにおけるサードパーティのサイバーリスクマネジメントに関するG7の基礎的要素

20221025-23711

 

 

| | Comments (0)

NIST SP 800-140B Rev. 1 (Draft) CMVP セキュリティポリシー要求事項 ISO/IEC 24759 および ISO/IEC 19790 附属書 B に対する CMVP 検証権限の更新(第2次公開草案)

こんにちは、丸山満彦です。

NIST SP 800-140B の改訂版の第二次公開草案を公表し、意見募集していますね。。。

NIST - ITL

・2022.10.17 SP 800-140B Rev. 1 (Draft) CMVP Security Policy Requirements: CMVP Validation Authority Updates to ISO/IEC 24759 and ISO/IEC 19790 Annex B (2nd Public Draft)

 

SP 800-140B Rev. 1 (Draft) CMVP Security Policy Requirements: CMVP Validation Authority Updates to ISO/IEC 24759 and ISO/IEC 19790 Annex B (2nd Public Draft) SP 800-140B Rev. 1 (Draft) CMVP セキュリティポリシー要求事項 ISO/IEC 24759 および ISO/IEC 19790 附属書 B に対する CMVP 検証権限の更新(第 2 次公開草案)
Announcement 発表
The initial public draft introduced four significant changes to NIST SP 800-140B: 最初の公開草案では、NIST SP 800-140B に 4 つの重要な変更が加えられた。
1. Defines a more detailed structure and organization for the Security Policy 1. セキュリティポリシーのより詳細な構造と組織を定義する
2. Captures Security Policy requirements that are defined outside of ISO/IEC 19790 and ISO/IEC 24759 2. ISO/IEC 19790及びISO/IEC 24759以外で定義されているセキュリティポリシーの要件を取り込む
3. Builds the Security Policy document as a combination of the subsection information 3. サブセクションの情報の組み合わせとしてセキュリティポリシー文書を構築する
4. Generates the approved algorithm table based on lab/vendor selections from the algorithm tests 4. アルゴリズムテストによるラボ/ベンダーの選択に基づいて、承認されたアルゴリズム表を生成する
This second public draft addresses the comments made on the initial draft, including concerns with the structure of the Security Policy and the process for creating it. Appendix B provides details on these changes. この第2次公開草案では、セキュリティポリシーの構成や作成プロセスに関する懸念など、初回草案に対して寄せられたコメントに対応している。附属書Bにこれらの変更点の詳細が記載されている。
The NIST SP 800-140x series supports Federal Information Processing Standards (FIPS) Publication 140-3, Security Requirements for Cryptographic Modules, and its associated validation testing program, the Cryptographic Module Validation Program (CMVP). The series specifies modifications to ISO/IEC 19790 Annexes and ISO/IEC 24759 as permitted by the validation authority. NIST SP 800-140x シリーズは、連邦情報処理標準規格(FIPS)Publication 140-3「暗号モジュールに対するセキュリティ要件」と、それに関連する検証テストプログラム「暗号モジュール検証プログラム(CMVP)」をサポートしている。このシリーズは、検証機関の許可に基づく ISO/IEC 19790 Annexes と ISO/IEC 24759 の修正について規定している。
Abstract 概要
NIST Special Publication (SP) 800-140Br1 is to be used in conjunction with ISO/IEC 19790 Annex B and ISO/IEC 24759 section 6.14. The special publication modifies only those requirements identified in this document. SP 800-140Br1 also specifies the content of the information required in ISO/IEC 19790 Annex B. As a validation authority, the Cryptographic Module Validation Program (CMVP) may modify, add, or delete Vendor Evidence (VE) and/or Test Evidence (TE) specified under paragraph 6.14 of the ISO/IEC 24759 and specify the order of the security policy as specified in ISO/IEC 19790:2012 B.1. NIST Special Publication (SP) 800-140Br1 は、ISO/IEC 19790 Annex B および ISO/IEC 24759 のセクション 6.14 と共に使用されるものである。この特別刊行物は、この文書で特定された要件のみを変更する。SP 800-140Br1 は、ISO/IEC 19790 Annex B で要求される情報の内容も規定する。暗号モジュール検証プログラム(CMVP)は、検証機関として、ISO/IEC 24759 の 6.14 項で規定されるベンダエビデンス(VE)及び/又はテストエビデンス(TE)を修正、追加、削除し、ISO/IEC 19790:2012 B.1 で規定するセキュリティポリシーの順序を指定することができる。

 

・[PDF] SP 800-140B Rev. 1 (Draft)

20221025-12530

 

目次...

1.  Scope 1.  範囲
2.  Normative references 2.  規範となる参考文献
3.  Terms and definitions 3.  用語と定義
4.  Symbols and abbreviated terms 4.  記号・略語
5.  Document organization 5.  文書構成
5.1.  General 5.1.  一般
5.2.  Modifications 5.2.  変更点
6.  Security requirements 6.  セキュリティ要件
6.1.  Changes to ISO/IEC 24759 section 6.14 and ISO/IEC 19790 Annex B Requirements 6.1.  ISO/IEC 24759 6.14 節及び ISO/IEC 19790 Annex B の要求事項の変更
6.2.  Documentation requirement additions 6.2.  文書化要求の追加
6.3.  Documentation input, structure, and formatting  6.3.  ドキュメントの入力、構造、及び書式 
Appendix A.  Security Policy Detailed Information Description 附属書 A.  セキュリティポリシー詳細情報説明
Appendix B.  Document Revisions 附属書B.  文書の改訂

 

SP 800-140シリーズがどのような状況か...

SP 800-140 Final 2020.03.20 FIPS 140-3 Derived Test Requirements (DTR): CMVP Validation Authority Updates to ISO/IEC 24759 [PDF]
SP 800-140A Final 2020.03.20 CMVP Documentation Requirements: CMVP Validation Authority Updates to ISO/IEC 24759 [PDF]
SP 800-140B Final 2020.03.20 CMVP Security Policy Requirements: CMVP Validation Authority Updates to ISO/IEC 24759 and ISO/IEC 19790 Annex B [PDF]
SP 800-140B Rev. 1 2nd.
Draft
2022.10.17 CMVP Security Policy Requirements: CMVP Validation Authority Updates to ISO/IEC 24759 and ISO/IEC 19790 Annex B  [PDF]
SP 800-140C Rev. 1 Final 2022.05.20 CMVP Approved Security Functions: CMVP Validation Authority Updates to ISO/IEC 24759 [PDF]
SP 800-140D Rev. 1 Final 2022.05.20 CMVP Approved Sensitive Parameter Generation and Establishment Methods: CMVP Validation Authority Updates to ISO/IEC 24759 [PDF]
SP 800-140E Final 2020.03.20 CMVP Approved Authentication Mechanisms: CMVP Validation Authority Requirements for ISO/IEC 19790 Annex E and ISO/IEC 24579 Section 6.17 [PDF]
SP 800-140F Final 2020.03.20 CMVP Approved Non-Invasive Attack Mitigation Test Metrics: CMVP Validation Authority Updates to ISO/IEC 24759 [PDF]
SP 800-140F Rev. 1 Draft 2021.08.20 CMVP Approved Non-Invasive Attack Mitigation Test Metrics: CMVP Validation Authority Updates to ISO/IEC 24759 [PDF]

 

【参考】

● FIPS140-3 Security Requirements for Cryptographic Modules [PDF]

● ISO/IEC 19790:2012 Information technology — Security techniques — Security requirements for cryptographic modules

● ISO/IEC 24759:2017 Information technology — Security techniques — Test requirements for cryptographic modules

  

【参考 日本】

● IPA 暗号モジュール試験及び認証制度(JCMVP):規程集

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.05.25 NIST SP 800-140C Rev.1 CMVP 承認されたセキュリティ機能:ISO/IEC 24759 に対する CMVP 検証機関に関する更新、SP 800-140D Rev.1 CMVP 承認のセンシティブパラメーター生成及び確立方法:ISO/IEC 24759 に対する CMVP 検証機関の更新

 ・2022.05.14 NIST SP 800-140B Rev.1(ドラフト)CMVP セキュリティポリシー要件:ISO/IEC 24759 及び ISO/IEC 19790 附属書Bに対する CMVP検証権限の更新

・2022.02.12 NIST SP 800-140D Rev.1(ドラフト)CMVP認定済みのセンシティブパラメータ生成・確立方法:ISO/IEC 24759に対するCMVP検証機関のアップデート(第2稿)

・2022.02.12 NIST SP 800-140C Rev.1(ドラフト)CMVP認定済みのセキュリティ機能: ISO/IEC 24759に対するCMVP検証機関の更新(第2稿)

・2020.03.21 NIST SP 800-140 FIPS 140-3 Derived Test Requirements (DTR): CMVP Validation Authority Updates to ISO/IEC 24759

 

| | Comments (0)

NIST NISTIR 8406 (ドラフト) 液化天然ガス向けサイバーセキュリティフレームワークプロファイル (2022.10.17)

こんにちは、丸山満彦です。

NISTが、NISTIR 8406 液化天然ガス向けサイバーセキュリティフレームワークプロファイルの案を公表し、意見募集をしていますね。。。

NIST - ITL

・2022.10.17 NISTIR 8406 (Draft) Cybersecurity Framework Profile for Liquefied Natural Gas

NISTIR 8406 (Draft) Cybersecurity Framework Profile for Liquefied Natural Gas NISTIR 8406 (ドラフト) 液化天然ガス向けサイバーセキュリティフレームワークプロファイル
Announcement 発表内容
The LNG Cybersecurity Framework Profile, created in collaboration with the Department of Energy's Office of Cybersecurity, Energy Security, and Emergency Response, in addition to working with LNG security experts, provides a voluntary, risk-based approach for managing cybersecurity activities and reducing cyber risk to all components of the LNG supply chain. The publication explores the industry’s unique alignment of its organizational requirements and objectives, risk appetite, and resources against the desired outcomes of the Cybersecurity Framework Core. エネルギー省のサイバーセキュリティ、エネルギーセキュリティ、緊急対応室との協力に加え、LNGセキュリティの専門家と協力して作成されたLNGサイバーセキュリティフレームワークプロファイルは、LNGサプライチェーンのすべての構成要素に対するサイバーセキュリティ活動の管理とサイバーリスク低減のための自主的でリスクに基づくアプローチを提供する。 この出版物は、サイバーセキュリティフレームワークコアの望ましい成果に対して、業界の組織要件と目的、リスク選好度、リソースの独自の整合性を探る。
The LNG Cybersecurity Framework Profile identifies and prioritizes opportunities for improving the cybersecurity posture of the LNG supply chain and is designed to supplement, not replace, current cybersecurity standards, regulations, and industry guidelines that are already being used by the LNG industry. LNGサイバーセキュリティフレームワークプロファイルは、LNGサプライチェーンのサイバーセキュリティ態勢を改善する機会を特定し優先順位付けし、LNG業界がすでに使用している現行のサイバーセキュリティ基準、規制、業界ガイドラインを置き換えるのではなく、補完するように設計されている。
Abstract 概要
This document is the Cybersecurity Framework Profile developed for the Liquefied Natural Gas (LNG) industry and the subsidiary functions that support the overarching liquefaction process, transport, and distribution of LNG. The LNG Cybersecurity Framework Profile can be used by liquefaction facilities, LNG vessels, and other supporting entities of the LNG lifecycle so that cybersecurity risks associated with these critical processes and systems can be minimized. The LNG Profile provides a voluntary, risk-based approach for managing cybersecurity activities and reducing cyber risk to the overall LNG process. The Cybersecurity Framework LNG Profile is meant to supplement but not replace current cybersecurity standards, regulations, and industry guidelines that are already being used by the Liquefied Natural Gas industry. 本書は、液化天然ガス(LNG)産業と、LNGの液化プロセス、輸送、流通を包括的に支援する補助的な機能のために開発されたサイバーセキュリティフレームワークプロファイルである。LNGサイバーセキュリティフレームワークプロファイルは、液化施設、LNG船、およびLNGライフサイクルを支える他の事業体が使用することができ、これらの重要なプロセスやシステムに関連するサイバーセキュリティリスクを最小化することができるようにする。LNGプロファイルは、サイバーセキュリティ活動をマネジメントし、LNGプロセス全体に対するサイバーリスクを低減するための自主的でリスクベースのアプローチを提供する。サイバーセキュリティフレームワーク LNG プロファイルは、液化天然ガス業界で既に使用されている現行のサイバーセキュリティ基準、規制、および業界ガイドラインを補完することを意図しているが、それに代わるものではない。

 

・[PDF] NISTIR 8406 (Draft)

20221025-04101

 

目次...

1. Introduction 1. 序文
1.1.  Purpose and Scope 1.1. 目的及び範囲
1.1.Audience 1.1. 想定読者
1.2. Document Structure 1.2. 文書構成
2. The Liquefied Natural Gas Industry 2. 液化天然ガス産業
2.1. The Need for Liquefied Natural Gas 2.1. 液化天然ガスの必要性
2.2. Liquefied Natural Gas Safety 2.2. 液化天然ガスの安全性
2.3. Components of the Liquefied Natural Gas Industry 2.3. 液化天然ガス産業の構成要素
 2.3.1. Liquefaction Facilities  2.3.1. 液化設備
 2.3.2. Liquefied Natural Gas Vessels and the Marine Transportation System  2.3.2. 液化天然ガス船と海上輸送システム
 2.3.3. Liquefied Port Facilities  2.3.3. 液化港湾施設
3. Overview of the Cybersecurity Framework 3. サイバーセキュリティフレームワークの概要
3.1. The Cybersecurity Framework Core 3.1. サイバーセキュリティフレームワークの中核
3.2. Cybersecurity Framework Profiles 3.2. サイバーセキュリティフレームワーク・プロファイル
4. Cybersecurity Profile Development Methodology 4. サイバーセキュリティプロファイル開発手法
4.1. Stakeholder Workshops 4.1. ステークホルダーワークショップ
 4.1.1. Workshop 1: Establishing Mission Objectives  4.1.1. ワークショップ1:ミッション目標の設定
 4.1.2. Workshop 2: Prioritizing Mission Objectives  4.1.2. ワークショップ2:ミッション目標の優先順位付け
 4.1.3. Workshop 3: Prioritizing CSF Categories for Mission Objectives  4.1.3. ワークショップ 3: ミッション目標のCSF分類の優先順位付け
4.2. Subcategory Scoring 4.2. サブカテゴリのスコアリング
5. Marine Transportation System Liquefied Natural Gas Mission Objectives 5. 海上輸送システム液化天然ガスミッション目標
5.1. Mission Objective-1: Maintain Safe and Secure Operations 5.1. ミッション目標-1: 安全・安心な操業の維持
5.2. Mission Objective-2: Ensure Operational Integrity of Plant Systems and Processes 5.2. ミッション目標-2: プラントのシステム及びプロセスの操作上の完全性を確保すること
5.3. Mission Objective-3: Control Operational and Enterprise Security and Access 5.3. ミッション目標-3: 運用上及びエンタープライズ上のセキュリティとアクセスを管理する。
5.4. Mission Objective-4: Monitor, Detect, and Respond to Anomalous Behavior 5.4. ミッション目標-4: 異常な動作の監視、検出、及び対応
5.5. Mission Objective-5: Safeguard the Environment 5.5. ミッション目標-5: 環境の保護
5.6. Mission Objective-6: Define Policy and Governance Actions that Capture/Protect the Mission 5.6. ミッション目標-6: ミッション目標を達成し、保護するための方針とガバナンスの明確化
5.7. Mission Objective-7: Maintain Regulatory Compliance 5.7. ミッション目標-7: 法規制の遵守の維持
5.8. Mission Objective-8: Continuously Optimize and Maintain Current Operational State by Establishing Baselines and Measures 5.8. ミッション目標-8: ベースライン及び手段を確立することによる、現在の運用状態の継続的な最適化及び維持
5.9. Mission Objective-9: Validate and Optimize the Supply Chain 5.9. ミッション目標-9: サプライチェーンの検証と最適化
6. Category Prioritization Summary 6. カテゴリーの優先順位付けの概要
6.1. Prioritized Cybersecurity Framework Categories by Mission Objective 6.1. サイバーセキュリティフレームワークのミッション目標別優先順位付けカテゴリー
6.2. Summary Table 6.2. 総括表
7. Priority Cybersecurity Framework Subcategories by Mission Objective 7. ミッション目的別優先順位付けされたサイバーセキュリティフレームワークのサブカテゴリー
7.1. Cybersecurity Framework Subcategory Priority Chart 7.1. サイバーセキュリティフレームワークサブカテゴリーの優先順位表
7.2. Subcategory Implementation Considerations 7.2. サブカテゴリの実装に関する検討事項
References 参考文献
Appendix A.  List of Symbols, Abbreviations, and Acronyms 附属書A.記号、略語、および頭字語のリスト
Appendix B.  Glossary 附属書B.  用語集

 

文書構成...

This document consists of the following sections:  本書は以下のセクションで構成されている。
Section 2 provides an overview of the LNG industry. セクション 2 では、LNG 産業の概要を説明する。
Section 3 discusses key aspects of the CSF and CSF Profiles. セクション 3 では、CSF と CSF プロファイルの主要な側面について述べている。
Section 4 describes the methodology used to develop this Profile. セクション 4 では、本プロファイルの作成に用いた方法論を述べている。
Section 5 presents the high-level Mission objectives that support the LNG industry. セクション 5 では、LNG 産業を支援するハイレベルなミッション目標を示している。
Section 6 summarizes CSF Categories prioritized for the LNG industry. セクション 6 は、LNG 産業のために優先順位付けされた CSF カテゴリーを要約している。
Section 7 details the relative importance of CSF Subcategories to the LNG industry. セクション 7 は、LNG 産業における CSF サブカテゴリの相対的な重要性を詳述している。
A References section contains a list of all items cited in this document. 参考文献の項では、本書で引用されたすべての項目のリストを掲載している。
Appendix A defines acronyms used in this document. 附属書 A では、本書で使用される略語を定義している。
Appendix B provides a glossary of key terms used in this document. 附属書 B は、本書で使用される主要な用語の解説である。

 

20221025-04816

 

| | Comments (0)

2022.10.24

欧州委員会 Europrivacy: GDPR準拠を保証する認証 (2022.10.17)

こんにちは、丸山満彦です。

欧州委員会が、GDPR準拠を保証する認証するEuroprivacyについての発表をしていますね。。。CriteriaはGDPRで認証のスキームをISOマネジメント認証を使うのでしょうかね。。。素直な感じですね。。。日本のプライバシーマーク制度よりも。

European Commission

・2022.10.17 Europrivacy: the first certification mechanism to ensure compliance with GDPR

Europrivacy: the first certification mechanism to ensure compliance with GDPR Europrivacy: GDPRへの準拠を保証する初の認証メカニズム
Europrivacy is the first certifcation mechanism that demonstrates compliance with the General Data Protection Regulation (GDPR). It marks a leap forward in ensuring the respect of the European Union's groundbreaking privacy protection rules. Europrivacyは、一般データ保護規則(GDPR)への準拠を証明する最初の認証メカニズムである。欧州連合の画期的なプライバシー保護規則の尊重を保証する上で、飛躍的な前進となるものである。
The European data processing board, an independent body bringing together the EU’s national data protection authorities from across the EU, approved the very first European Data Protection Seal. The certification mechanism encompasses a wide range of data processing operations in many sectors. Both data controllers, the companies and services who decide ‘why’ and ‘how’ personal data is processed, as well as data processors, a third party or employee who processes personal data on behalf of the controller, perform such operations. The Europrivacy certification can help data controllers and data processors certify their is valid in all member states. EU全域から各国のデータ保護当局を集めた独立機関である欧州データ処理委員会は、まさに最初の欧州データ保護シールを承認した。この認証メカニズムは、多くの分野における幅広いデータ処理業務を包含している。データ管理者は、個人データを「なぜ」「どのように」処理するかを決定する企業やサービスであり、データ処理者は、管理者に代わって個人データを処理する第三者または従業員であり、いずれもそのような業務を行っている。Europrivacy認証は、データ管理者とデータ処理者が、すべての加盟国で有効であることを認証するのに役立つ。
Compliance with GDPR: simplified & certified GDPRへの準拠:簡素化と認証
With GDPR, the EU has taken the lead in modernising and strengthening users’ rights and freedoms to protect their personal data, and hence, their privacy. The Europrivacy certification criteria is based on the data protection requirements laid down in the regulation. GDPRにより、EUは、個人データ、ひいてはプライバシーを保護するためのユーザーの権利と自由を近代化し、強化することに率先して取り組んでいる。Europrivacyの認証基準は、同規則で定められたデータ保護要件に基づいている。
Companies and services can use the certification scheme to increase the value of their businesses and trust in their services. They can use Europrivacy to: 企業やサービスは、この認証制度を利用して、自社のビジネスの価値やサービスに対する信頼を高めることができる。Europrivacyを利用すると、以下のことが可能になる。
 ・assess the compliance of their data processing activities ・自社のデータ処理活動のコンプライアンスの評価
・select data processors ・データ処理者の選定
・assess the adequacy of cross-border data transfers ・国境を越えたデータ移転の妥当性の評価
・assure citizens and clients of the adequate processing of their personal data ・市民および顧客に対して、個人データの適切な処理の保証
Meanwhile, citizens can rest assured that companies are adequately processing their personal data, in respect of their rights as data subjects. 一方、市民は、企業がデータ主体としての権利を尊重し、個人データを適切に処理していることに安心することができる。
Ensuring compliance in an innovative way 革新的な方法でコンプライアンスを確保
Researches developed the certification scheme under Europe’s Horizon 2020 research programme. It resulted in a combination of characteristics that highlight its innovative nature, namely: 欧州の研究プログラム「Horizon 2020」のもと、研究者たちがこの認証スキームを開発した。その結果、その革新的な性質を際立たせる、次のような特徴を兼ね備えることになった。
・It is applicable to a wide variety of data processing activities, while taking into account sector-specific obligations and risks ・部門固有の義務やリスクを考慮しつつ、多様なデータ処理活動に適用できる。
・It is applicable to emerging technologies, such as AI, IoT, blockchain, automated cars, smart cities, etc ・AI、IoT、ブロックチェーン、自動運転車、スマートシティなどの新しい技術に適用可能であること。
・It is supported by a Ledger (Blockchain) based registry of certificates for authenticating delivered certificates and for preventing forgery ・配信された証明書を認証し、偽造を防止するためのLedger(ブロックチェーン)ベースの証明書レジストリによってサポートされている。
・It has an innovative format for criteria, which is both human and machine-readable. Auditors can easily use and integrate it into software, applications and tools ・人間にも機械にも読みやすい革新的な基準形式を採用している。監査人は、ソフトウェア、アプリケーション、ツールに簡単に使用し、統合することができる。
The Europrivacy International Board of Experts in data protection and the European Centre for Certification and Privacy manage and update the certification scheme, accordingly. The two bodies will ensure that it is in step with regulatory and technological advancements. 7.        It leverages two complementary models of ISO certification (ISO/IEC 17065 and ISO/IEC 17021-1) in order to make it applicable to a large set of data processing activities. It is aligned with ISO standards and can be easily combined with the certification of security of information management systems (ISO/IEC 27001). データ保護に関するEuroprivacy International Board of ExpertsとEuropean Centre for Certification and Privacyが、適宜、認証スキームを管理・更新している。両機関は、規制や技術の進歩に対応できるようにする。7. ISO認証の2つの補完的なモデル(ISO/IEC 17065とISO/IEC 17021-1)を活用し、多くのデータ処理業務に適用できるようにする。ISO 規格と整合しており、情報管理システムのセキュリティ認証(ISO/IEC 27001)と容易に組み合わせることができる。

 

Europeancommission

 


 

EDPBからの発表...

European Data Protection Board: EDPB

・2022.10.12 EDPB adopts “wish list” of procedural aspects, first EU data protection seal and a statement on digital euro

EDPB adopts “wish list” of procedural aspects, first EU data protection seal and a statement on digital euro EDPB、手続き面の「希望リスト」、EU初のデータ保護シール、デジタル・ユーロに関する声明を採択
Brussels, 12 October - The EDPB adopted a list of aspects in national procedural law that it wishes to see harmonised at EU level to facilitate GDPR enforcement. This “wish list” is one of the key actions set out in the EDPB’s Vienna statement on enforcement cooperation. The list has been sent to the European Commission for its consideration. ブリュッセル、10月12日 - EDPBは、GDPRの施行を促進するためにEUレベルでの調和を望む、各国の手続法の側面のリストを採択した。この「希望リスト」は、執行協力に関するEDPBのウィーン声明で定められた重要な行動の1つである。このリストは、欧州委員会に送付され、検討されている。
EDPB Chair Andrea Jelinek said: “The EDPB has taken important steps to promote effective cooperation in view of strong and swift enforcement of the GDPR.  We have identified some obstacles beyond our remit which may require a legislative initiative. The current patchwork of national procedures and practices has a detrimental impact on cooperation between data protection authorities.” EDPBのAndrea Jelinek委員長は次のように述べている。「EDPBは、GDPRの強力かつ迅速な施行を視野に入れ、効果的な協力を促進するための重要な措置を講じてきた。  私たちは、私たちの権限を超えて、立法的な取り組みが必要となる可能性のあるいくつかの障害を特定しました。現在の各国の手続きや実務のパッチワークは、データ保護当局間の協力に有害な影響を及ぼしている。」
The list addresses, among others, the status and rights of the parties to the administrative procedures; procedural deadlines; requirements for admissibility or dismissal of complaints; investigative powers of data protection authorities; and the practical implementation of the cooperation procedure. このリストでは、特に、行政手続きの当事者の地位と権利、手続き上の期限、苦情の容認または却下の要件、データ保護当局の調査権限、協力手続きの実務的な実施について取り上げている。
Next, the EDPB adopted an Opinion  on  the  approval  by  the  Board  of  the Europrivacy  certification  criteria submitted by the Luxembourg data protection authority (DPA). This Opinion marks the approval of the very first European Data Protection Seal by the EDPB pursuant to Art. 42 (5) GDPR. 次に、EDPBは、ルクセンブルグのデータ保護当局(DPA)から提出されたEuroprivacy認証規準の理事会による承認に関する意見を採択した。この意見は、GDPR第42条(5)に基づくEDPBによる最初の欧州データ保護シールの承認を意味する。42 (5) GDPRに基づき、EDPBが最初の欧州データ保護シールを承認したことを意味する。
The Europrivacy certification mechanism is a general scheme that targets a large range of different processing operations performed by both controllers and processors from various sectors. The scheme includes specific criteria that make it scalable and applicable to specific processing operations or sectors of activity. Europrivacy認証メカニズムは、様々な分野の管理者と処理者の両方が行う広範な異なる処理業務を対象とする一般的なスキームである。この制度には、特定の処理業務や活動分野に適用できるよう拡張性を持たせるための特定の基準が含まれている。
This approval is another step towards greater GDPR compliance. Certification under the Data Protection Seal has validity in all EU Member States. It allows different controllers and processors in different countries to achieve the same level of compliance for similar processing operations. この認定は、GDPRの遵守を強化するための新たな一歩となる。データ保護シールに基づく認証は、すべてのEU加盟国において有効である。これにより、異なる国の異なる管理者や処理者が、類似の処理業務について同じレベルのコンプライアンスを達成することができる。
Finally, the EDPB adopted a statement on the digital euro. In its statement, the EDPB reiterates the importance of ensuring privacy and data protection by design and by default in this project. 最後に、EDPBはデジタル・ユーロに関する声明を採択した。声明の中で、EDPBは、このプロジェクトにおいて、プライバシーとデータ保護を設計上およびデフォルトで確保することの重要性を改めて強調している。
The EDPB cautions against the use of systematic validation and tracing of all transactions in digital euros. In this respect, the EDPB recommends that the digital euro is made available both online and offline, along a threshold below which no tracing is possible, to allow full anonymity of daily transactions. Finally, the EDPB calls on the European Central Bank and the European Commission to enhance public debate on the digital euro project to ensure it meets the highest standards of privacy and data protection. EDPBは、デジタル・ユーロにおけるすべての取引の体系的な検証および追跡を行うことに注意を促している。この点に関して、EDPBは、日々の取引の完全な匿名性を可能にするために、追跡が不可能な閾値に沿って、デジタル・ユーロをオンラインとオフラインの両方で利用可能にすることを推奨する。最後に、EDPBは欧州中央銀行および欧州委員会に対し、デジタル・ユーロ・プロジェクトが最高水準のプライバシーおよびデータ保護に適合するよう、公開討論を強化するよう要請する。
Note to editors: 編集後記
All documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed. EDPB総会で採択された文書はすべて、必要な法的チェック、言語チェック、フォーマットチェックが行われ、それらが完了次第、EDPBウェブサイトにて公開される。

 

 

 

・2022.10.10 [PDF] Opinion 28/2022 on the Europrivacy criteria of certification regarding their approval by the Board as European Data Protection Seal pursuant to Article 42.5 (GDPR)

42.5条(GDPR)に基づく欧州データ保護シールとしての理事会による承認に関するEuroprivacy認証規準に関する意見書 28/2022

20221024-160331

・[DOCX] 仮訳

 

| | Comments (0)

中国 第20回全国大会が閉幕

こんにちは、丸山満彦です。

中国の第20回全国大会が閉幕しましたね。。。習近平さんは3期やるようですね。。。

 

24日の10時から会見が行われるようです。。。

 

中国共产党第20次全国代表大会

 

20221024-32301


日本語のレポートもあります。。。

・多言語レポート(日本語)

・2022.10.23 中国共産党第 20 回中央委員会第 1 回本会議 コミュニケ

・2022.10.23 第20回党大会閉幕  習近平氏が重要談話を発表

 

 

新華通信(日本)

中国共産党第20次全国代表大会

 

そういえば、ちょっとしたハプニングもありましたね。。。

● Yahoo! Japanニュース

・2022.10.23 胡前国家主席、突然の会議中座 体調不良か強制退場か、臆測拡大



| | Comments (0)

2022.10.23

金融安定理事会 サイバーインシデント報告における収斂を高めるための提言

こんにちは、丸山満彦です。

金融安定理事会が、いろんなところから、色々と言われるサイバーインシデント報告を収斂させるための提言をしていますね。。。

 

Financial Stability Board 

・2022.10.17 FSB makes proposals to achieve greater convergence in cyber incident reporting

FSB makes proposals to achieve greater convergence in cyber incident reporting 金融安定理事会はサイバーインシデント報告におけるより収斂を高めるための提言を行なった。
The Financial Stability Board (FSB) today published a consultative document on Achieving Greater Convergence in Cyber Incident Reporting. Timely and accurate information on cyber incidents is crucial for effective incident response and recovery and promoting financial stability. The proposals take a comprehensive approach and include: 金融安定理事会(FSB)は本日、サイバーインシデント報告におけるより大きな収斂を達成に関する協議文書を公表した。サイバーインシデントに関する適時で正確な情報は、効果的なインシデント対応と復旧、金融安定化の促進に不可欠である。本提案は包括的なアプローチをとっており、以下を含む。
Recommendations to address the challenges to achieving greater convergence in cyber incident reporting. Drawing on the experience of financial authorities and engagement with financial institutions, the FSB has set out 16 recommendations to address the practical issues associated with the collection of cyber incident information from financial institutions and the onward sharing between financial authorities. サイバーインシデント報告における収斂を高めるための課題に対処するための提言。 金融当局の経験及び金融機関とのエンゲージメントに基づき、FSBは、金融機関からのサイバーインシデント情報の収集及び金融当局間の共有に関連する実務的な問題に対処するための16の提言を行った。
Further work on establishing common terminologies related to cyber incidents. A key instrument for achieving convergence in cyber incident reporting is the use of a common language. In particular, a common definition and understanding for what constitutes a ‘cyber incident’ is needed that avoids the over reporting of incidents that are not meaningful for financial authorities or financial stability. サイバーインシデントに関連する共通の用語の確立に向けた更なる作業。 サイバーインシデント報告における収束を達成するための重要な手段は、共通の言語を使用することである。特に、金融当局や金融の安定にとって意味のないインシデントの過剰な報告を回避するために、何が「サイバーインシデント」を構成するかについての共通の定義と理解が必要である。
Proposal to develop of a common format for incident reporting exchange (FIRE). A review of incident reporting templates and stocktake of authorities’ cyber incident reporting regimes indicated a high degree of commonality in the information requirements for cyber incident reports. Building on these commonalities, the FSB proposes the development of a common reporting format that could be further considered among financial institutions and financial authorities. インシデント報告交換のための共通フォーマット開発の提案(FIRE)。 インシデント報告テンプレートのレビューと当局のサイバーインシデント報告制度のストックテイクは、サイバーインシデント報告の情報要件に高度な共通性があることを示した。これらの共通性に基づき、FSBは、金融機関及び金融当局間で更に検討されうる共通の報告様式の開発を提案する。
The FSB is inviting feedback on this consultative document, in particular on the questions it has set out. Responses should be sent to fsb@fsb.org by 31 December 2022 with the subject line ‘CIR Convergence’. Responses will be published on the FSB’s website unless respondents expressly request otherwise. 金融安定理事会は、本諮問文書、特に本諮問文書が提示した質問に対するフィードバックを求めている。回答は、2022年12月31日までに、件名を「CIR Convergence」として fsb@fsb.org 宛てに送付されたい。回答は、回答者からの明確な要請がない限り、FSBのウェブサイト上で公表される予定である。
Notes to editors 編集後記
The FSB published a report on Cyber Incident Reporting: Existing Approaches and Next Steps for Broader Convergence in October 2021. The report found that fragmentation exists across sectors and jurisdictions in the scope of what should be reported for a cyber incident; methodologies to measure severity and impact of an incident; timeframes for reporting cyber incidents; and how cyber incident information is used. This subjects financial institutions that operate across borders or sectors to multiple reporting requirements for one cyber incident. At the same time, financial authorities receive heterogeneous information for a given incident, which could undermine a financial institution’s response and recovery actions. Recognising that information on cyber incidents is crucial for effective actions and promoting financial stability, the G20 asked the FSB to take forward work to achieve greater convergence in cyber incident reporting. 金融安定理事会は、サイバーインシデント報告に関する報告書を公表した。2021年10月に「既存のアプローチとより広範な収束のための次のステップ」を発表した。同報告書では、サイバーインシデントの報告対象範囲、インシデントの重大性と影響の測定方法、サイバーインシデントの報告期限、サイバーインシデント情報の利用方法について、分野や法域を超えた分断が存在することが明らかにされています。このため、国境やセクターを越えて活動する金融機関は、1つのサイバーインシデントに対して複数の報告義務を負うことになります。同時に、金融当局はあるインシデントについて異質な情報を受け取ることになり、金融機関の対応と回復のための行動が損なわれる可能性があります。サイバーインシデントに関する情報は、効果的な対応と金融安定の促進に不可欠であることを認識し、G20はFSBに対し、サイバーインシデント報告におけるより大きな収束を達成するための作業を進めるよう求めました。
In 2018, the FSB developed a Cyber Lexicon to foster a common understanding of relevant cyber security and cyber resilience terminology across the financial sector, including banking, financial market infrastructures, insurance and capital markets, and with other industry sectors. A common lexicon could foster a common understanding with other industry sectors and facilitate appropriate cooperation to enhance cyber security and cyber resilience. 2018年、金融安定理事会は、銀行、金融市場インフラ、保険、資本市場を含む金融セクター全体、および他の産業セクターとの間で、関連するサイバーセキュリティおよびサイバーレジリエンス用語の共通理解を醸成するためのサイバーレキシコンを開発しました。共通の語彙は、他の産業セクターとの共通理解を促進し、サイバーセキュリティ及びサイバーレジリエンスを強化するための適切な協力を促進することができる。
The FSB coordinates at the international level the work of national financial authorities and international standard-setting bodies and develops and promotes the implementation of effective regulatory, supervisory, and other financial sector policies in the interest of financial stability. It brings together national authorities responsible for financial stability in 24 countries and jurisdictions, international financial institutions, sector-specific international groupings of regulators and supervisors, and committees of central bank experts. The FSB also conducts outreach with approximately 70 other jurisdictions through its six Regional Consultative Groups. FSB は、各国の金融当局及び国際的な基準設定機関の作業を国際レベルで調整し、金融の安定のために効果的な規制・監督・その他の金融セクター政策の策定及び実施を促進する機関である。FSBは、24の国・地域の金融安定に責任を有する各国当局、国際金融機関、規制・監督当局のセクター別の国際グループ、中央銀行の専門家による委員会を結集している。金融安定理事会はまた、6つの地域協議会(Regional Consultative Groups)を通じて、他の約70の国・地域に対してアウトリーチを行っている。
The FSB is chaired by Klaas Knot, President of De Nederlandsche Bank. The FSB Secretariat is located in Basel, Switzerland, and hosted by the Bank for International Settlements. 金融安定理事会の議長はDe Nederlandsche BankのKlaas Knot総裁が務めている。金融安定理事会事務局はスイスのバーゼルにあり、国際決済銀行が主催している。

 

・[PDF] Achieving Greater Convergence in Cyber Incident Reporting

20221023-72736

・[DOCX] 仮訳

 

 

Executive summary エグゼクティブサマリー
1. Introduction 1. はじめに
2. Challenges to achieving greater convergence in CIR 2. サイバーインシデント報告のコンバージェンス化に向けた課題
2.1.  Operational challenges 2.1. 運用上の課題
2.2.  Setting reporting criteria 2.2. 報告規準の設定
2.3.  Culture of timely reporting 2.3. 適時報告の文化
2.4.  Early assessment challenges 2.4. 初期評価の課題
2.5.  Secure communications 2.5. セキュアな通信
2.6.  Cross-border and cross-sectoral issues 2.6. 国境を越えた、セクターを越えた問題
3. Recommendations 3. 推奨事項
3.1.  Design of approach to CIR 3.1. サイバーインシデント報告へのアプローチ設計
3.2.  Supervisory engagement with FIs and among financial authorities 3.2. 金融機関及び金融当局間の監督当局の関与
3.3.  Industry engagement 3.3. 産業界の取り組み
3.4.  Capability development (individual and shared) 3.4. 能力開発(個人と共有)
4. Common terminologies for CIR 4. サイバーインシデント報告に関する一般的な用語
5. Format for incident reporting exchange (FIRE) 5. インシデント報告交換のためのフォーマット (FIRE)
5.1.  Potential benefits, risks and costs 5.1. 潜在的な利益、リスク、コスト
5.2.  The FIRE concept 5.2.  FIREのコンセプト
Annex 1: 2022 Survey findings 附属書1:2022年調査結果
Annex 2: Recommendations mapped to identified challenges 附属書2:特定された課題にマッピングされた推奨事項
Annex 3: Initial reporting trigger reference material 附属書3:初回報告トリガー参考資料

 

16の推奨事項...

Design of CIR Approach サイバーインシデント報告アプローチの設計
1  Establish and maintain objectives for CIR 1  サイバーインシデント報告の目的の設定と維持
2  Explore greater convergence of CIR frameworks 2  サイバーインシデント報告フレームワークの収束の促進の検討
3  Adopt common reporting formats 3  共通の報告様式の採用
4  Implement phased and incremental reporting requirements 4  段階的かつ漸進的な報告要件の実施
5  Select incident reporting triggers 5  インシデント報告のトリガーの選択
6  Calibrate initial reporting windows 6  初期報告窓口の調整
7  Minimise interpretation risk 7  解釈リスクの最小化
8  Extend materiality-based triggers to include likely breaches 8  重要性に基づくトリガーの拡張と、違反の可能性が高いものの包含
Authority interactions 当局とのやりとり
9  Review the effectiveness of CIR processes 9  サイバーインシデント報告プロセスの有効性のレビュー
10  Conduct ad-hoc data collection or industry engagement 10  アドホックなデータ収集と産業界への関与の実施
11  Address impediments to cross-border information sharing   11  国境を越えた情報共有の阻害要因への対処  
Industry engagement 産業界の取り組み
12  Foster mutual understanding of benefits of reporting 12  報告の利益に関する相互理解の促進
13  Provide guidance on effective CIR communication 13  効果的なサイバーインシデント報告コミュニケーションに関するガイダンスの提供
Capability Development (individual and shared) 能力開発(個人と共有)
14  Maintain response capabilities which support CIR 14  サイバーインシデント報告を支援する対応能力の維持
15  Pool knowledge to identify related cyber events and cyber incidents 15  関連するサイバーイベント及びサイバーインシデントを特定するための知識の共有
16  Protect sensitive information 16  機密情報の保護

 

 

推奨事項をもう少し詳細に...

Recommendations: 推奨事項
1. Establish and maintain objectives for CIR. Financial authorities should have clearly defined objectives for incident reporting, and periodically assess and demonstrate how these objectives can be achieved in an efficient manner, both for FIs and authorities. 1. サイバーインシデント報告の目的の設定と維持:金融当局は、インシデント報告に関する目的を明確に定義し、金融機関及び当局の双方にとって、これらの目的がいかに効率的に達成され得るかを定期的に評価し、示すべきである。 
2. Explore greater convergence of CIR frameworks. Financial authorities should continue to explore ways to align their CIR regimes with other relevant authorities, on a cross-border and cross-sectoral basis, to minimise potential fragmentation and improve interoperability. 2. サイバーインシデント報告フレームワークの収束の促進の検討:金融当局は、潜在的な断片化を最小化し、相互運用性を向上させるために、国境を越え、セクターを越えて、他の関連当局とサイバーインシデント報告制度を整合させる方法を引き続き検討するべきである。 
3. Adopt common reporting formats. Financial authorities should individually or collectively identify common data requirements, and, where appropriate, develop or adopt standardised formats for the exchange of incident reporting information. 3. 共通の報告様式の採用:金融当局は、個別又は集合的に共通のデータ要件を特定し、適切な場合には、事故報告情報 の交換のための標準的なフォーマットを開発又は採用すべきである。 
4. Implement phased and incremental reporting requirements. Financial authorities should implement incremental reporting requirements in a phased manner, balancing the authority’s need for timely reporting with the affected institution’s primary objective of bringing the incident under control. 4. 段階的かつ漸進的な報告要件の実施:金融当局は、タイムリーな報告に対する当局の必要性と、インシデントをコントロール下に置くという影響を受ける機関の主要な目的とのバランスを取りながら、段階的な報告要件を導入すべきである。 
5. Select incident reporting triggers. Financial authorities should explore the benefits and implications of a range of reporting trigger options as part of the design of their CIR regime. 5. インシデント報告のトリガーの選択:金融当局は、サイバーインシデント報告制度の設計の一環として、様々な報告トリガーのオプションの利点と意味を検討するべきである。 
6. Calibrate initial reporting windows. Financial authorities should consider potential outcomes associated with window design or calibration used for initial reporting. 6. 初期報告窓口の調整:金融当局は、初期報告に用いる窓口の設計や調整に関連する潜在的な結果を検討すべきである。 
7. Minimise interpretation risk. Financial authorities should promote consistent understanding and minimise interpretation risk by providing an appropriate level of detail in setting reporting thresholds, including supplementing CIR guidance with examples, and engaging with FIs. 7. 解釈リスクの最小化:金融当局は、サイバーインシデント報告ガイダンスを事例で補足することを含め、報告閾値を設定する際に適切なレベルの詳細を提供し、金融機関との連携を図ることにより、一貫した理解を促進し、解釈リスクを最小化すべきである。  
8. Extend materiality-based triggers to include likely breaches. Financial authorities that use materiality thresholds should explore adjusting threshold language, or use other equivalent approaches, to encourage FIs to report incidents where reporting criteria have yet to be met but are likely to be breached. 8. 重要性に基づくトリガーの拡張と、違反の可能性が高いものの包含:重要性の閾値を使用する金融当局は、報告基準がまだ満たされていないが、違反の可能性が高いインシデントを報告するよう金融機関を奨励するために、閾値の文言を調整すること、または他の同等のアプローチを使用することを検討するべきである。 
9. Review the effectiveness of CIR processes. Financial authorities should explore ways to review the effectiveness of FIs’ CIR processes and procedures as part of their existing supervisory or regulatory engagement. 9. サイバーインシデント報告プロセスの有効性のレビュー:金融当局は、既存の監督・規制の一環として、金融機関のサイバーインシデント報告プロセスと手続の有効性をレビューする方法を検討するべきである。 
10. Conduct ad-hoc data collection and industry engagement. Financial authorities should explore ways to complement CIR frameworks with supervisory measures as needed and engage FIs on cyber incidents, both during and outside of live incidents. 10. アドホックなデータ収集と産業界への関与の実施:金融当局は、必要に応じてサイバーインシデント報告のフレームワークを監督上の措置で補完する方法を模索し、サイバーインシデントについて、インシデント発生中もそれ以外も金融機関に関与するべきである。 
11. Address impediments to cross-border information sharing. Financial authorities should explore methods for collaboratively addressing legal or confidentiality challenges relating to the exchange of CIR information on a cross-border basis. 11. 国境を越えた情報共有の阻害要因への対処:金融当局は、国境を越えたサイバーインシデント報告情報の交換に関連する法的又は守秘義務上の課題に協力して対処する方法を検討するべきである。 
12. Foster mutual understanding of benefits of reporting. Financial authorities should engage regularly with FIs to raise awareness of the value and importance of incident reporting, understand possible challenges faced by FIs and identify approaches to overcome them when warranted. 12. 報告の利益に関する相互理解の促進:金融当局は、インシデント報告の価値と重要性に対する認識を高め、金融機関が直面する可能性のある課題を理解し、必要な場合にはそれを克服するためのアプローチを特定するために、金融機関と定期的に関係を持つべきである。 
13. Provide guidance on effective CIR communication. Financial authorities should explore ways to develop, or foster development of, toolkits and guidelines to promote effective communication practices in cyber incident reports. 13. 効果的なサイバーインシデント報告コミュニケーションに関するガイダンスの提供:金融当局は、サイバーインシデント報告における効果的なコミュニケーションの実践を促進するため、ツールキットやガイドラインの開発、または開発を促進する方法を模索すべきである。 
14. Maintain response capabilities which support CIR. FIs should continuously identify and address any gaps in their cyber incident response capabilities which directly support CIR, including incident detection, assessment and training on a continuous basis. 14. サイバーインシデント報告を支援する対応能力の維持:金融機関は、インシデントの検知、評価及び訓練を含む、サイバーインシデント報告を直接支援するサイバーインシデント対応能力のギャップを継続的に特定し、対処しなければならない。 
15. Pool knowledge to identify related cyber events and cyber incidents. Financial authorities and FIs should collaborate to identify and implement mechanisms to proactively share event, vulnerability and incident information amongst financial sector participants to combat situational uncertainty, and pool knowledge in collective defence of the financial sector. 15. 関連するサイバーイベント及びサイバーインシデントを特定するための知識の共有:金融当局及び金融機関は、状況の不確実性に対処するために、金融セクターの参加者間でイベント、脆弱性及びインシデント情報をプロアクティブに共有し、金融セクターの集団防衛における知識を蓄積するメカニズムを特定し、実施するために協力するべきである。 
16. Protect sensitive information. Financial authorities should implement secure forms of incident information handling to ensure protection of sensitive information at all times. 16. 機密情報の保護:金融当局は、常に機密情報の保護を確実にするために、事故情報の取り扱いを安全な形で実施すべきである。 

 

■ 関連

ちょうど昨年の今頃。。。

・2021.10.19 Cyber Incident Reporting: Existing Approaches and Next Steps for Broader Convergence

・[PDF] Cyber Incident Reporting: Existing Approaches and Next Steps for Broader Convergence

 

20211022-00239

 

サイバー用語集

Cyber Lexicon

・2018.11.12 [PDF] Cyber Lexicon

20221024-24219

 

金融庁

・2018.11.16 金融安定理事会による「サイバー用語集」の公表について

 

翻訳しても良いのにね。。。

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.10.22 金融安定理事会 (FSB) 「サイバーインシデントレポート:既存のアプローチとより広範な収斂のための次のステップ」

 

 

| | Comments (0)

2022.10.22

中国 TC260 14のセキュリティ関連の標準を決定

こんにちは、丸山満彦です。

中国が14のセキュリティ関連の標準を決定しましたね。。。

 

● 全国信息安全标准化技术委员会 (National Information Security Standardization Technical Committee)

2022.10.19 14项网络安全国家标准获批发布 サイバーセキュリティに関する14の国家標準の発行を承認

 

标准编号
标准名称 Standards 標準名
GB/T 25068.3-2022 信息技术安金技术网络安金第 3部分:面向网络接入场景的威胁、设计技术和控制 Information Security Technology Network Security: Part 3 Threats, design techniques and controls for network access scenarios; 情報セキュリティ技術 ネットワークセキュリティ 第3部 ネットワークアクセスシナリオの脅威と設計技術、制御方法
GB/T 25068.4-2022 信息技术安金技术网络安金第 4部分:使用安全网关的网间通信安全保护 Information Security Technology Network Security: Part 4 Internet communication using secure gateways; 情報セキュリティ技術 ネットワークセキュリティ 第4部 セキュアゲートウェイを用いたインターネット通信
GB/T 41773.2022 信息安全技术步态识别数据安全要求 Information Security Technology Gait recognition data security requirements; 情報セキュリティ技術 歩行認識データのセキュリティ要件
GB/T 41806.2022 信息安金技术基因识别数据安全要求 Information Security Technology Genetic identification data security requirements; 情報セキュリティ技術 遺伝子識別データセキュリティ要件
GB/T 41807.2022 信息安金技术声纹识别数据安全要求 Information Security Technology Voice recognition data security requirements; 情報セキュリティ技術 音声認識データセキュリティ要件
GB/T 41817.2022 信息安全技术个人信息安全工程指南 Information Security Technology Personal Information engineering guide; 情報セキュリティ技術 個人情報エンジニアリングガイド
GB/T 41819.2022 信息安金技术人脸识别数据安全要求 Information Security Technology Face recognition data security requirements; 情報セキュリティ技術 顔認識データセキュリティ要件
GB/T 41871.2022 信息安金技术汽车数据处理安全要求 Information Security Technology Automotive data processing data security requirements; 情報セキュリティ技術 自動車データ処理データセキュリティ要件
GB/T 42012.2022 信息安金技术即时通信服务数据安金要求 Information Security Technology Instant Messaging data security requirements; 情報セキュリティ技術 インスタントメッセージングデータセキュリティ要件
GB/T 42013.2022 信息安全技术快递物流服务数据安全要求 Information Security Technology Express logistics service data security requirements; 情報セキュリティ技術 高速物流サービスのデータセキュリティ要件
GB/T 42014.2022 信息安金技术网上购物服务数据安全要求 Information Security Technology Online shopping service data security requirements; 情報セキュリティ技術 オンラインショッピングサービスデータセキュリティ要件
GB/T 42015.2022 信息安金技术网络支付服务数据安全要求 Information Security Technology Online payment service data security requirements; 情報セキュリティ技術 オンライン決済サービスのデータセキュリティ要件
GB/T 42016.2022 信息安金技术网络音视频服务数据安全要求 Information Security Technology Number of network audio and video services safety requirements 情報セキュリティ技術 ネットワーク音声・映像サービス数安全要求事項
GB/T 42017.2022 信息安全技术网络预约汽车服务数据安全要求 Information Security Technology Online car booking service data security requirements. 情報セキュリティ技術 オンライン自動車予約サービス データセキュリティ要件

 


去年の今頃...

まるちゃんの情報セキュリティ気まぐれ日記

・2021.10.13 中国 TC260 15のセキュリティ関連の標準を決定

 

その他。。。

・2022.06.27 中国 TC260 個人情報の国際的な処理活動に関するセキュリティ認証仕様

・2022.05.31 中国 意見募集 国家標準案 情報セキュリティ技術- インターネットプラットフォーム及び製品サービスにおけるプライバシーポリシー要求事項

・2021.10.22 中国 意見募集 国家標準案「情報セキュリティ技術 自動車収集データに関するセキュリティ要件 」

・2021.10.13 中国 TC260 15のセキュリティ関連の標準を決定

・2021.08.30 中国 2021年のサイバーセキュリティに関する国家標準プロジェクトリスト 

・2021.08.13 中国 意見募集 「機械学習アルゴリズムのセキュリティ評価に関する情報セキュリティ技術仕様書」案を発表し、意見募集していますね。。。 at 2021.08.04

・2021.08.13 中国 意見募集 「情報セキュリティ技術ブロックチェーン技術セキュリティフレームワーク」案を発表し、意見募集していますね。。。 at 2021.08.02

・2021.05.13 中国 意見募集 顔認識、歩行認識、音声認識に続けて、遺伝子認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。

・2021.05.03 中国 意見募集 顔認識に続けて、歩行認識、音声認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。

・2021.04.28 中国 意見募集 スマホアプリによる個人情報保護管理に関する暫定規定

・2021.01.27 中国 TC260 パブコメ ブロックチェーン情報サービスのセキュリティ仕様他

・2020.11.12 中国 TC260 パブコメ オンライン車予約サービスのデータセキュリティに関するガイド案

・2020.10.29 中国が情報セキュリティに関連の国家標準のパブコメ (2020.03.20期日以降2020.11.29まで分)

・2020.10.21 中国電子標準化研究所が国家標準GB/T 37988-2019「情報セキュリティ技術 データセキュリティ能力成熟度モデル」に準拠した成熟度評価ツールをリリースしましたね

・2020.02.04 中国が情報セキュリティ関連の国家標準のパブコメを18件出していました・・・

 

 

 

| | Comments (0)

米国 GAO 重要インフラの防御:K-12サイバーセキュリティを強化するためには、連邦政府のさらなる調整が必要である。

こんにちは、丸山満彦です。

サイバー空間が、社会のインフラとして当然の存在になっているので、生徒に対するサイバー教育というのも必要ですよね。。。米国の場合は、学校というか教育機関は重要インフラとなっていて、学校というか教育システム全体のセキュリティを保護する必要があるという認識ですね。。

個別のセキュリティ対策というよりも、政府間の連携対策、セキュリティ製品・サービス等を選定する際の規準のようなものの不足が課題として上がっていますね。。。

 

U.S. GAO

・2022.10.20 Critical Infrastructure Protection:Additional Federal Coordination Is Needed to Enhance K-12 Cybersecurity

速報ハイライト

Critical Infrastructure Protection:Additional Federal Coordination Is Needed to Enhance K-12 Cybersecurity 重要インフラの防御:K-12サイバーセキュリティを強化するためには、連邦政府のさらなる調整が必要である。
GAO-23-105480 GAO-23-105480
Fast Facts 速報
U.S. schools rely on information technology for many operations. But cybersecurity incidents, like ransomware attacks, could significantly affect everything from educational instruction to school operations. 米国の学校は、多くの業務を情報技術に依存している。しかし、ランサムウェア攻撃のようなサイバーセキュリティインシデントは、教育指導から学校運営に至るまで、あらゆるものに大きな影響を及ぼす可能性がある。
Three federal agencies assist schools in protecting against cyber threats. But there are no formal channels for how agencies coordinate with each other or with K-12 schools to address cybersecurity risks or incidents. Also, the agencies don't measure or obtain feedback on whether their cybersecurity-related services are effective. 3つの連邦政府機関が、サイバー脅威から学校を守るための支援を行っている。しかし、サイバーセキュリティのリスクやインシデントに対処するために、各機関が互いに、あるいは幼稚園から高校までの学校とどのように連携するかについて、正式なチャンネルはない。また、各機関はサイバーセキュリティ関連のサービスが効果的かどうかを測定したり、フィードバックを得たりしていない。
Our recommendations could improve how agencies coordinate cybersecurity assistance with K-12 schools. われわれの勧告により、各機関がK-12スクールとサイバーセキュリティ支援を調整する方法を改善できる可能性がある。
Cyberattacks Used Against K-12 Schools 幼稚園から高校までの学校に対するサイバー攻撃
Highlights ハイライト
What GAO Found GAOの調査結果
Kindergarten through grade 12 (K-12) schools have reported significant educational impact due to cybersecurity incidents, such as ransomware attacks. Cyberattacks can also cause monetary losses for targeted schools due to the downtime and resources needed to recover from incidents. Officials from state and local entities reported that the loss of learning following a cyberattack ranged from 3 days to 3 weeks, and recovery time ranged from 2 to 9 months. While the precise national magnitude of cyberattacks on K-12 schools is unknown, the research organization Comparitech reported the number of students affected by ransomware attacks between 2018 and 2021 (see figure). 幼稚園から12年生までの(K-12)学校は、ランサムウェア攻撃などのサイバーセキュリティインシデントにより、教育に大きな影響を与えたと報告している。サイバー攻撃は、インシデントからの復旧に必要なダウンタイムやリソースにより、標的となった学校に金銭的な損失をもたらす可能性もある。州や地方の事業体の関係者は、サイバー攻撃後の学習損失は3日から3週間、復旧時間は2カ月から9カ月に及ぶと報告している。幼稚園から高校までの学校に対するサイバー攻撃の全国的な正確な規模は不明だが、調査機関Comparitechは、2018年から2021年にかけてランサムウェア攻撃の影響を受けた生徒数を報告している(図参照)。
Number of U.S. Students Affected by Ransomware Attacks on K-12 Schools and School Districts, 2018-2021 K-12学校および学区に対するランサムウェア攻撃の影響を受ける米国の生徒数(2018年~2021年
1_20230814144701
Federal guidance, such as the National Infrastructure Protection Plan (National Plan), establishes roles and responsibilities for the protection of the nation's critical infrastructure, including the Education Subsector. Specifically, the Department of Education (Education) is the lead agency, or sector risk management agency, for the subsector. As such, Education and the Department of Homeland Security's Cybersecurity and Infrastructure Security Agency (CISA) are to coordinate K-12 cybersecurity efforts with federal and nonfederal partners. In addition, the FBI is to provide criminal investigative support. 国家インフラ保護計画などの連邦政府の指針は、教育サブセクターを含む国家の重要インフラの保護に関する役割と責任を定めている。具体的には、教育省がサブセクターの主導機関、すなわちセクターリスクマネジメント機関である。そのため、教育省および国土安全保障省のサイバーセキュリティ・インフラセキュリティ庁(CISA)は、連邦および連邦以外のパートナーとともに、K-12サイバーセキュリティの取り組みを調整することになっている。また、FBIは犯罪捜査支援を提供することになっている。
Education and CISA offer cybersecurity-related products and services to K-12 schools, such as online safety guidance. However, they otherwise have little to no interaction with other agencies and the K-12 community regarding schools' cybersecurity. This is due in part to Education not establishing a government coordinating council, as called for in the National Plan. Such a council can facilitate ongoing communication and coordination among federal agencies and with the K-12 community. This, in turn, can enable federal agencies to better address the cybersecurity needs of K-12 schools. Regarding the products and services they do offer to schools, Education and CISA do not measure their effectiveness. Doing so would provide further input on the needs of the schools. 教育機関とCISAは、K-12学校にオンライン安全指導などのサイバーセキュリティ関連の製品やサービスを提供している。しかし、それ以外では、学校のサイバーセキュリティに関して、他の機関やK-12コミュニティとの交流はほとんどない。これは、教育省が国家計画で求められている政府調整協議会を設立していないことにも起因している。このような協議会は、連邦政府機関間およびK-12コミュニティとの継続的なコミュニケーションと調整を促進することができる。その結果、連邦政府機関は、K-12 学校のサイバーセキュリティ・ニーズによりよく対応できるようになる。学校向けに提供している製品やサービスについて、Education と CISA はその効果を測定していない。そうすることで、学校のニーズについてさらなるインプットが得られるだろう。
Why GAO Did This Study GAOがこの調査を行った理由
The COVID-19 pandemic forced schools across the nation to increase their reliance on IT to deliver educational instruction to students. This amplified the vulnerability of K-12 schools to potentially serious cyberattacks. Several federal agencies have a role in enhancing the protection of our nation's critical infrastructure, which includes the Education Facilities Subsector. COVID-19の大流行により、全米の学校は、生徒に教育指導を提供するためのITへの依存度を高めざるを得なくなった。これは、潜在的に深刻なサイバー攻撃に対するK-12学校の脆弱性を増幅させた。いくつかの連邦政府機関は、教育施設サブセクターを含むわが国の重要インフラの保護を強化する役割を担っている。
GAO was asked to review cybersecurity in K-12 schools. The objectives of this report are to (1) determine what is known about the impact of cyber incidents, and (2) determine the extent to which key federal agencies coordinate with other federal and nonfederal entities to help K-12 schools combat cyber threats. GAOは、K-12学校のサイバーセキュリティの見直しを依頼された。本報告書の目的は、(1)サイバーインシデントの影響について知られていることを明らかにすること、(2)主要な連邦政府機関が他の連邦政府機関や連邦政府以外の事業体とどの程度連携し、K-12学校のサイバー脅威対策を支援しているかを明らかにすることである。
To do so, GAO analyzed publicly reported K-12 cyber incidents and related documentation. In addition, GAO identified law and federal guidance that establish roles and responsibilities for coordinating K-12 cybersecurity. GAO also interviewed officials from federal agencies and selected state-level and local-level school-related organizations on the impact of cyber incidents and level of federal cybersecurity support received. そのために、GAOは公に報告されたK-12のサイバーインシデントと関連文書を分析した。さらにGAOは、K-12サイバーセキュリティを調整するための役割と責任を定めた法律と連邦政府のガイダンスを特定した。GAOはまた、サイバーインシデントの影響や連邦政府が受けたサイバーセキュリティ支援のレベルについて、連邦政府機関や特定の州レベルおよび地方レベルの学校関連組織の関係者にインタビューを行った。
Recommendations 勧告
GAO is making three recommendations to Education and one to DHS to improve coordination of K-12 schools' cybersecurity and to measure the effectiveness of products and services. Education concurred with one recommendation and partially concurred with two; DHS concurred with its recommendation. GAO continues to believe all recommendations are warranted. GAOは教育省に対して3件、DHSに対して1件の勧告を行い、幼稚園から高校までのサイバーセキュリティの調整を改善し、製品やサービスの効果を測定するよう求めている。教育省は1つの勧告に同意し、2つの勧告に部分的に同意した。GAOは、すべての勧告が正当であると引き続き考えている。

Recommendations for Executive Action
行政措置に関する勧告
Agency Affected 影響を受ける機関
Department of Education 教育省
The Secretary of Education, in consultation with the Cybersecurity and Infrastructure Security Agency and other stakeholders involved in updating the Education Facilities Sector-Specific Plan, should establish a collaborative mechanism, such as an applicable government coordinating council, to coordinate cybersecurity efforts between agencies and with the K-12 community. (Recommendation 1) 教育省長官は、サイバーセキュリティ・インフラセキュリティ庁および教育施設分野別計画の更新に関与する他の利害関係者と協議の上、省庁間およびK-12コミュニティとのサイバーセキュリティの取り組みを調整するために、適用される政府調整協議会などの協力体制を確立すべきである。(勧告1)
The Secretary of Education should develop metrics for obtaining feedback to measure the effectiveness of Education's K-12 cybersecurity-related products and services that are available for school districts. (Recommendation 2) 教育省長官は、教育省が学区向けに提供するK-12サイバーセキュリティ関連の製品やサービスの有効性を測定するためのフィードバックを得るための指標を開発すべきである。(勧告2)
The Secretary of Education, in coordination with federal and nonfederal stakeholders, should determine how best to help school districts overcome the identified challenges and consider the identified opportunities for addressing cyber threats, as appropriate. (Recommendation 3) 教育省長官は、連邦政府および連邦政府以外の利害関係者と連携して、学区が識別された課題を克服し、識別されたサイバー脅威に対処するための機会を検討するのを支援するための最善の方法を適宜決定すべきである。(勧告3)
Department of Homeland Security 国土安全保障省
The Secretary of the Department of Homeland Security should ensure that the Director of the Cybersecurity and Infrastructure Security Agency develops metrics for measuring the effectiveness of its K-12 cybersecurity-related products and services that are available for school districts and determine the extent that CISA meets the needs of state and local-level school districts to combat cybersecurity threats. (Recommendation 4) 国土安全保障省長官は、サイバーセキュリティ・インフラセキュリティ庁長官が、学区が利用可能なK-12サイバーセキュリティ関連製品およびサービスの有効性を測定するための指標を開発し、CISAが州および地方レベルの学区のサイバーセキュリティの脅威に対抗するニーズにどの程度対応しているかを判断するようにすべきである。(勧告4)

 

報告書...

・[PDF] Highlights Page

20230814-145105

 

 

・[PDF] Full Report

20230814-145238

 

・[PDF] Accessible PDF

 

| | Comments (0)

2022.10.21

ENISA ポスト量子暗号 - 統合研究

こんにちは、丸山満彦です。

ENISAが、「ポスト量子暗号 - 統合研究」という報告書を公表していますね。。。ポスと量子暗号への移行をどうしていくのかは、重要な課題ですね。。。

ENISA

・2022.10.18 (news) Post-Quantum Cryptography: Anticipating Threats and Preparing the Future

Post-Quantum Cryptography: Anticipating Threats and Preparing the Future ポスト量子暗号:脅威の予測と将来への備え
The new report published by the European Union Agency for Cybersecurity (ENISA) explores the necessity to design new cryptographic protocols and integrate post-quantum systems into existing protocols. 欧州連合サイバーセキュリティ機関(ENISA)が発表した新しい報告書では、新しい暗号プロトコルを設計し、ポスト量子システムを既存のプロトコルに統合する必要性を探っている。
Can we integrate post-quantum algorithms to existing protocols? Can new protocols be designed around post-quantum systems? What's the role of double encryption and double signatures? What changes will new post-quantum algorithms impose to existing protocols? These are some of the questions the report published today intends to answer. ポスト量子アルゴリズムを既存のプロトコルに統合することは可能か?ポスト量子システムに対応した新しいプロトコルを設計することは可能か?二重暗号や二重署名はどのような役割を果たすのか?新しいポスト量子アルゴリズムは、既存のプロトコルにどのような変化をもたらすのか?これらは、本日発表された報告書が答えようとしている疑問の一部である。
The transition to post-quantum cryptography (PQC) does not end with the selection and standardisation of post-quantum algorithms. Integration with existing systems and protocols is also required. The report focuses on the necessity to resort to future-proofing and for the acquisition of knowledge not limited to external standards. ポスト量子暗号(ポスト量子暗号)への移行は、ポスト量子アルゴリズムの選択と標準化で終わるわけではない。既存のシステムやプロトコルと統合することも必要である。本報告書では、将来を見据えた対策と、外部標準にとらわれない知識習得の必要性に着目している。
The report expands on the initial aspects of those post-quantum cryptography challenges addressed in the study published last year by ENISA: Post-Quantum Cryptography: Current state and quantum mitigation. 本報告書は、ENISAが昨年発表した研究、「ポスト量子暗号:現状と量子緩和」、で取り上げたポスト量子暗号の課題について、初期の側面を発展させたものである。 
Why do we need to anticipate the rise of quantum technology? なぜ量子技術の台頭を予見する必要があるのか?
Scientists commonly agree that quantum computers will be able to break widely used public-key cryptographic schemes, when they come into being. Because, in reality, systems using this new technology do not widely exist yet. 科学者の間では、量子コンピュータが実現すれば、広く使われている公開鍵暗号方式を破ることができるようになるというのが共通の認識である。なぜなら、現実には、この新しい技術を使ったシステムはまだ広く存在していないからだ。
The transition to new quantum resistant cryptographic algorithms is expected to take years due to the complex processes and financial costs. This is why we still need to anticipate this and be prepared to deal with all possible consequences. 新しい量子耐性のある暗号アルゴリズムへの移行は、複雑なプロセスと金銭的なコストがかかるため、何年もかかると予想される。そのため、やはりこれを予見し、あらゆる可能性のある結果に対処できるように準備しておく必要がある。
The report answers the difficult questions raised by post-quantum cryptography in order to make sure we will avoid jeopardising today's public key cryptosystems, e-commerce, digital signatures, electronic identities, etc. This will be critical, even if rolling out new cryptographic systems might prove impossible for a number of systems with restricted accessibility such as satellites. 本報告書は、今日の公開鍵暗号システム、電子商取引、電子署名、電子IDなどを危険にさらすことがないよう、ポスト量子暗号が提起する難問に答えている。人工衛星のようなアクセス制限のあるシステムでは、新しい暗号システムの導入が不可能になる可能性があるとしても、これは非常に重要なことである。
If quantum technology is sought after, it is because it can provide efficient solutions to the technical challenges we face today. Unfortunately though, this new technology also comes along with novel threats to the security of our equipment and systems because quantum computing will make most currently used cryptographic solutions insecure and will end up changing the existing threat models radically. We will therefore need to quickly adapt before this happens to avoid threats that might compromise our infrastructures. 量子技術が注目されるのは、私たちが現在直面している技術的な課題を効率的に解決することができるからである。しかし、残念ながら、この新しい技術は、私たちの機器やシステムのセキュリティに対する新しい脅威を伴っている。なぜなら、量子コンピューティングは、現在使用されているほとんどの暗号ソリューションを安全でなくし、既存の脅威モデルを根本的に変えることになるからである。そのため、私たちのインフラを危険にさらすような脅威を回避するために、そうなる前に迅速に対応する必要がある。
So what can we do today? では、私たちが今できることは何でしょうか。
The report includes a number of technical recommendations such as: 本報告書には、以下のような技術的な提言が含まれている。
・Developing guidelines for major use cases to assess the different trade-offs and systems best matching application scenarios; ・アプリケーションシナリオに最適なトレードオフとシステムを評価するための主要なユースケースのガイドラインを作成する。
・New protocols or major changes in existing protocols should be PQC aware, taking into account the integration needs of PQC systems; ・新しいプロトコルや既存のプロトコルの大きな変更は、ポスト量子暗号システムの統合ニーズを考慮し、ポスト量子暗号を意識したものにすべきである。
・The use of a hybrid systems which could translate into a post-quantum cryptography added as an extra layer to pre-quantum cryptography. ・ポスト量子暗号をプレ量子暗号に追加するハイブリッドシステムの使用。
Background 背景
ENISA's Work Programme foresees activities to support Knowledge Building in Cryptographic algorithms. The Agency engages with expert groups to address emerging challenges and promote good practices with the cooperation of the European Commission, Member States and other EU bodies. ENISAの作業部会では、暗号アルゴリズムに関する知識の蓄積を支援する活動を予定している。ENISAは、欧州委員会、加盟国、その他のEU組織の協力を得て、新たな課題に取り組み、グッドプラクティスを推進するために、専門家グループと連携している。
Because quantum computing cryptanalytics capabilities are likely to give rise to new emerging risks, there is a need to transition to quantum safe encryption as a counter measure. The work of ENISA in the area is meant to support the EU in advancing its strategic digital autonomy. 量子コンピュータの暗号解析能力は、新たな緊急的なリスクを生む可能性が高いため、その対策として量子安全暗号への移行が必要である。この分野におけるENISAの活動は、EUの戦略的デジタル自治の推進を支援することを意図している。
Further information 関連情報
ENISA report – Post-Quantum Cryptography: Integration Study ・ENISA報告書 - ポスト量子暗号:統合研究
ENISA report (2021) - Post-Quantum Cryptography: Current state and quantum mitigation ・ENISA報告書 (2021) - ポスト量子暗号:現状と量子緩和
ENISA report (2021) - Crypto Assets: Introduction to Digital Currencies and Distributed Ledger Technologies ・ENISA報告書 (2021) - 暗号資産:デジタル通貨と分散型台帳技術の序文
EU Cybersecurity Strategy for the Digital Decade ・デジタルの10年に向けたEUサイバーセキュリティ戦略

 

 

・2022.10.18 Post-Quantum Cryptography - Integration study

Post-Quantum Cryptography - Integration study ポスト量子暗号 - 統合研究
With this report ENISA seeks to give insight on post-standardisation challenges. As a follow-up to ENISA’s 2021 Post-Quantum Cryptography: Current state and quantum mitigation study, the new report explores the necessity to design new cryptographic protocols and integrate post-quantum systems into existing protocols. 本報告書で、ENISAは標準化後の課題についての知見を得ようとしている。ENISAの2021年版ポスト量子暗号のフォローアップとして。現状と量子緩和に関する研究として、新しい報告書では、新しい暗号プロトコルを設計し、ポスト量子システムを既存のプロトコルに統合する必要性を探っている。

・[PDF

20221021-122248

 

目次...

1. INTRODUCTION 1. 序文
2. INTEGRATING POST-QUANTUM SYSTEMS INTO EXISTING PROTOCOLS 2. ポスト量子システムの既存プロトコルへの統合
2.1 SIZE AND SPEED OF POST-QUANTUM CANDIDATES 2.1 ポスト量子候補のサイズと速度
2.2 SIZE LIMITATIONS IN TYPICAL INTERNET PROTOCOLS 2.2 一般的なインターネットプロトコルにおけるサイズの制限
2.3 PROTOCOLS ADAPTED TO POST-QUANTUM CRYPTOGRAPHY AND PERFORMANCE STUDIES 2.3 ポスト量子暗号に対応したプロトコルと性能研究
2.4 SUMMARY 2.4 要約
3. NEW PROTOCOLS DESIGNED AROUND POST-QUANTUM SYSTEMS 3. ポスト量子システムに対応した新プロトコル
3.1 USING KEMS IN PLACE OF SIGNATURES 3.1 署名に代わる鍵の利用
3.2 NEW DESIGNS TO DEAL WITH KEY SIZE 3.2 鍵のサイズに対応した新しい設計
3.3 NEW DESIGNS ADDRESSING DIFFERENT LAYERS 3.3 異なるレイヤーに対応する新しいデザイン
3.4 SUMMARY 3.4 要約
4. DOUBLE ENCRYPTION AND DOUBLE SIGNATURES 4. 二重暗号と二重署名
4.1 REVIEWING DOUBLE CRYPTOSYSTEMS 4.1 二重暗号の復習
4.2 DETAILS OF DOUBLE ENCRYPTION 4.2 二重暗号の詳細
4.3 DETAILS OF DOUBLE SIGNING 4.3 二重署名の詳細
4.4 PERFORMANCE 4.4 パフォーマンス
4.5 LONG-TERM PERSPECTIVE 4.5 長期的展望
4.6 SUMMARY 4.6 要約
5. SECURITY PROOFS IN THE PRESENCE OF QUANTUM ATTACKERS 5. 量子攻撃者が存在する場合の安全性証明
5.1 QUANTUM ACCESS 5.1 量子アクセス
5.2 NEW MODELS 5.2 新しいモデル
5.3 REVISITING PROOFS 5.3 証明の再検討
5.4 SUMMARY 5.4 要約
6. STANDARDISATION EFFORTS FOR PROTOCOLS 6. プロトコルの標準化活動
6.1 SUMMARY 6.1 要約
7. CONCLUSIONS 7. 結論
BIBLIOGRAPHY 参考文献

 

 

エグゼクティブサマリー...

EXECUTIVE SUMMARY エグゼクティブサマリー
With this report ENISA seeks to give insight on post-standardisation challenges. As a follow-up to ENISA’s 2021 Post-Quantum Cryptography: Current state and quantum mitigation study[1], the new report elaborates on the topic to address the following points: 本報告書により、ENISAは標準化後の課題についての洞察を得ようとしている。ENISAの2021年版ポスト量子暗号のフォローアップとして。現状と量子緩和の研究[1]、新報告書では、以下の点に対処するために、このテーマを詳しく説明している。
•  Integrating post-quantum systems into existing protocols ・ポスト量子システムの既存プロトコルへの統合
•  New protocols designed around post-quantum systems ・ポスト量子システムに対応した新しいプロトコルの開発
•  Double encryption and double signatures using post-quantum systems ・ポスト量子システムを利用した二重暗号化・二重署名
•  Seccurity proofs in the presence of quantum attackers ・量子攻撃者が存在する場合の安全性証明
•  Standardisation efforts for post-quantum enabled protocols ・ポスト量子システムに対応したプロトコルの標準化活動
The 2021 study provided an overview of the current state of play on the standardisation process of Post-Quantum Cryptography (PQC)[2]. It introduced a framework for analysing existing PQC proposals, presented the five (5) main families of PQC algorithms[3], and the NIST Round 3 finalists for encryption and signature schemes[4]. It also sketched two proposals that proactive system owners can implement right now – before a standard is published – in order to protect the confidentiality of their data against a quantum capable attacker[5]. 2021年の研究では、ポスト量子暗号(ポスト量子暗号)の標準化プロセスに関する現状を概観しました[2]。既存のポスト量子暗号提案を分析するためのフレームワークを導入し、ポスト量子暗号アルゴリズムの5つの主要なファミリー[3]、暗号化および署名方式に関するNISTラウンド3ファイナリスト[4]を提示しました。また、量子的な能力を持つ攻撃者からデータの機密性を保護するために、標準が公開される前に、積極的なシステム所有者が今すぐ実行できる2つの提案も紹介している[5]。
While agreeing on PQC cryptoalgorithms for encryption and signing is an important milestone [6], by itself it is not enough. Any new cryptoalgorithm will need to interplay with existing protocols or even require entirely new protocols to be designed and implemented. Furthermore, PQC proposals are a solution to a still unrealised vulnerability – there are currently no publicly known quantum computers, strong enough to break encryption, and not all scientists believe this will ever be the case[7]–. Whether we should implement protections against a threat that might not materialise would be a moot question if said implementations were cost free. However, PQC algorithms are often more costly, e.g. in terms of size and computations. In addition, changing to a new cryptographic paradigm might provide new opportunities for software bugs and our understanding of the security of the PQC algorithms is often less mature[8]. 暗号化および署名のためのポスト量子暗号暗号アルゴリズムに合意したことは重要なマイルストーンですが[6]、それだけでは十分ではない。新しい暗号アルゴリズムは、既存のプロトコルと相互作用する必要があるし、まったく新しいプロトコルを設計し実装する必要がある場合もある。さらに、ポスト量子暗号の提案は、まだ実現されていない脆弱性に対する解決策である。現在、暗号を解読できるほど強力な量子コンピュータは公表されていないし、すべての科学者がそうなると考えているわけでもない[7]。実現しないかもしれない脅威に対する保護を実装すべきかどうかは、その実装にコストがかからないのであれば、無意味な質問でしょう。しかし、ポスト量子暗号アルゴリズムは、サイズや計算量など、よりコストがかかることが多い。さらに、新しい暗号パラダイムへの変更は、ソフトウェアのバグに新たな機会を与える可能性があり、ポスト量子暗号アルゴリズムのセキュリティに関する我々の理解は成熟していないことが多い[8]。
For each of the above open issues an overview of current developments is provided, along with future directions and identified gaps. Chapter 2 Integrating post-quantum systems into existing protocols provides an overview of the work done to integrate PQC proposals with current systems. It comments on the size and speed characteristics of the proposals, based on the benchmarks of the eBACS: ECRYPT Benchmarking of Cryptographic Systems project[9][11], and how they interplay with the Internet Protocol (IP) and security protocols like TLS 1.3, VPN etc. As can be seen, not all use cases are created equal. For instance, in high-load cases, such as car2car communications, even apparently small differences between PQC proposals could have a significant impact by, for example, introducing latency or even incompatibility with existing communication protocols due to limits on message size. System designers will be required to understand the available options and make optimal choices for each use case, through calculated trade-offs. 上記の各未解決の課題について、現在の開発の概要と、将来の方向性、および特定されたギャップを説明する。第2章 既存のプロトコルへのポスト量子システムの統合では、ポスト量子暗号の提案を現在のシステムに統合するために行われた作業の概要を説明する。また、eBACSのベンチマークに基づき、提案のサイズと速度特性についてコメントしている。ECRYPT Benchmarking of Cryptographic Systemsプロジェクト[9][11]のベンチマークに基づく提案のサイズと速度の特性、およびインターネットプロトコル(IP)やTLS 1.3、VPNなどのセキュリティプロトコルとの相互作用についてコメントしている。ご覧のように、すべてのユースケースが同じように作られているわけではない。例えば、車車間通信のような高負荷なケースでは、ポスト量子暗号提案間の一見小さな違いでも、例えば遅延の発生や、メッセージサイズの制限による既存の通信プロトコルとの非互換性によって、大きな影響を与える可能性がある。システム設計者は、利用可能なオプションを理解し、トレードオフを計算しながら、各ユースケースに最適な選択をする必要がある。
A different approach would be to develop new protocols, taking into account the specifications of PQC systems from the design phase. The somewhat limited work done so far is mentioned in chapter 3 New protocols designed around post-quantum systems. The main outcome here is that existing work is promising but more research and deployment work is needed. 別のアプローチとしては、設計段階からポスト量子暗号システムの仕様を考慮した新しいプロトコルを開発することが考えられる。これまでに行われたやや限定的な作業については、第3章ポスト量子システム向けに設計された新しいプロトコルで触れている。ここでの主な成果は、既存の研究は有望であるが、より多くの研究と展開作業が必要であるということである。
Chapter 4 Double encryption and double signatures takes on the veridical paradox that by striving for quantum resistance using a PQC system we might be lowering security overall. Actually, there is no guarantee that the post-quantum cryptosystems that survive the standardisation process are secure. So far cryptanalysts could have missed an important attack, perhaps even one that runs sufficiently quick on today’s non-quantum computers. Furthermore, the complicated new ecosystem of post-quantum cryptographic software has a clear risk of introducing bugs. A solution to this might be to augment, instead of simply replacing, current modern cryptosystems with PQC systems. This can be done by adding an extra layer that also encrypts and/or signs using post-quantum cryptography, as already discussed in our 2021 study. Here we take a closer look at the details and caveats of such a construction. The take away is that if this is done properly, then any attack will require breaking the current cryptosystem (e.g. one based on ellipticcurves) and breaking the post-quantum system. So, even if there are vulnerabilities in the post-quantum cryptosystem or post-quantum software, there will be no damage to the security of the existing system. The perceptive reader will have guessed that once more further investigations are required, but standardisation bodies are already working on this, specifying suitable mechanisms. 第4章 二重暗号と二重署名では、ポスト量子暗号システムを用いて量子耐性を追求すると、全体として安全性が低下するのではないかという真偽不明のパラドックスに挑んでいる。実際、標準化プロセスを経て生き残ったポスト量子暗号システムが安全である保証はない。これまでのところ、暗号解読者は重要な攻撃を見逃している可能性があり、おそらく現在の非量子コンピュータで十分に高速に動作する攻撃も見逃している可能性がある。さらに、ポスト量子暗号ソフトウェアの複雑な新しいエコシステムには、バグが発生するリスクがあることは明らかである。この問題を解決するには、現在の最新の暗号システムを単に置き換えるのではなく、ポスト量子暗号システムで補強することが考えられる。これは、2021年の研究で既に述べたように、ポスト量子暗号を用いた暗号化および/または署名も行う追加レイヤーを追加することで実現可能である。ここでは、そのような構成の詳細と注意点について詳しく見ていく。このような構成が適切に行われた場合、攻撃には現在の暗号システム(例えば楕円曲線に基づくもの)を破り、ポスト量子システムを破る必要があるということである。つまり、ポスト量子暗号システムやポスト量子ソフトウェアに脆弱性があったとしても、既存システムの安全性を損なうことはないのである。鋭い読者は、もう一度さらなる調査が必要であることを察知しているだろうが、標準化団体はすでにこれに取り組み、適切なメカニズムを明記している。
Chapter 5 Security proofs in the presence of quantum attackers, deals with formal models and proofs an important part of the analysis of modern cryptographic systems. While we have known for decades Shor’s and Grover’s algorithms – the former breaking RSA and ECC public key cryptography and the latter reducing the security level of symmetric cryptography – ongoing research on quantum computing might yet reveal more attacks against schemes and protocols. This is why cryptologists are not only working on proofs for the new PQC systems and protocols, but are also revisiting existing proofs for widely used systems and protocols. When we aim for post-quantum security, i.e. security against adversaries making use of a quantum computer, we have to model the adversaries also as quantum algorithms. This requires changing models and deciding about the specific abilities of quantum adversaries. New proofs have to be written that take quantum adversaries into account. This process has been started and is progressing well for basic building blocks, especially those considered in the NIST competition. However, in many other areas, especially in the analysis of protocols, the process has not even begun. 第5章 量子攻撃者の存在下での安全性証明では、現代の暗号システムの解析で重要な形式モデルと証明について扱っている。前者はRSA暗号やECC暗号を、後者は共通鍵暗号の安全性を低下させるというもので、何十年も前から知られていたが、量子コンピュータの研究が進めば、暗号方式やプロトコルに対するさらなる攻撃が明らかになるかもしれない。そのため、暗号研究者は新しいポスト量子暗号システムやプロトコルの証明に取り組むだけでなく、広く使われているシステムやプロトコルの既存の証明も見直しているのである。ポスト量子セキュリティ、つまり量子コンピュータを利用する敵対者に対するセキュリティを目指す場合、敵対者を量子アルゴリズムとしてモデル化する必要がある。そのため、敵対者のモデルを変更し、量子敵対者の具体的な能力を決定する必要がある。また、量子敵対者を考慮した新たな証明の作成が必要である。このプロセスは、基本的なビルディングブロック、特にNISTのコンペティションで検討されたものについては開始され、順調に進んでいる。しかし、他の多くの分野、特にプロトコルの解析では、このプロセスはまだ始まってさえいない。
Finally, chapter 6 Standardisation efforts for protocols briefly discusses the work done by standardisation bodies, going beyond NIST’s seminal work, including ETSI, IETF and ISO, as well as recent reports by other European agencies, namely ANSSI and BSI. It is of interest to note that standardisation bodies continue to standardise protocols built using pre-quantum systems that will not withstand quantum attacks. In cases where significant developing investment has already been spent, one should consider applying the discussed concepts of double encryption, double signatures, etc. Otherwise the sensible thing is to consider post-quantum integration from the beginning when developing new standards. 最後に、第6章プロトコルの標準化活動では、ETSI、IETF、ISO、NISTの代表的な活動以外にも、ANSSIやBSIといった欧州の他の機関による最近の報告も含めて、標準化団体による活動を簡潔に説明している。興味深いのは、標準化団体が、量子攻撃に耐えられないような量子以前のシステムを用いて構築されたプロトコルを標準化し続けていることである。すでに多大な開発投資が行われている場合には、二重暗号化、二重署名など、議論されている概念の適用を検討する必要がある。そうでなければ、新しい標準を開発する際に、最初からポスト量子統合を考慮することが賢明である。

 

[1] https://www.enisa.europa.eu/publications/post-quantum-cryptography-current-state-and-quantum-mitigation, (accessed October 17, 2022).

[2] e.g. NIST’s https://csrc.nist.gov/Projects/post-quantum-cryptography, (accessed October 17, 2022).

[3] code-based, isogeny-based, hash-based, lattice-based and multivariate-based

[4] https://csrc.nist.gov/Projects/post-quantum-cryptography/round-3-submissions, (accessed October 17, 2022).

[5] viz. hybrid implementations that use a combination of pre-quantum and post-quantum schemes, and the mixing of pre-shared keys into all keys established via public-key cryptography.

[6] While this report was being typeset and proofread NIST announced (July 2022) it had identified the four candidate algorithms for standardisation https://csrc.nist.gov/News/2022/ pqc-candidates-to-be-standardized-and-round-4 and https://csrc.nist.gov/publications/detail/nistir/ 8413/final, (accessed October 17, 2022).

[7] See for example https://www.scientificamerican.com/article/ will-quantum-computing-ever-live-up-to-its-hype/ and https://spectrum.ieee.org/ the-case-against-quantum-computing, (accessed October 17, 2022).

[8] As shown by the two recent cryptanalysis attacks against the Supersingular Isogeny Diffie-Hellman

(SIDH) protocol – one by Wouter Castryck and Thomas Decru of KU Leuven and the other by Luciano Maino and Chloe Martindale of the University of Bristol. SIDH is at the core of the Post-Quantum key encapsulation mechanism SIKE (Supersingular Isogeny Key Encapsulation), which was selected to continue to round four of the NIST Post-Quantum Project for consideration of standardisation. https://eprint.iacr.org/2022/975, https://eprint.iacr.org/2022/1026 (accessed October 17, 2022).

[9] https://bench.cr.yp.to/, (accessed October 17, 2022).

 

 

| | Comments (0)

欧州データ保護委員会 EDPB 意見募集 GDPRに基づく個人データ漏えい通知に関するガイドライン9/2022

こんにちは、丸山満彦です。

欧州データ保護委員会 (EDPB) がGDPRに基づく個人データ漏えい通知に関するガイドライン9/2022についての意見募集をしていますね。。。11月29日までです。。。

European Data Protection Board: EDPB

・2022.10.18 Guidelines 9/2022 on personal data breach notification under GDPR

 

どういう場合に、政府や個人に通知しなければならないかなど、色々と参考になる記述があるので、ぜひ一読を...と思います。(おそらく、大幅な変更なく、確定するでしょうし...)

 

例えば、暗号化された個人データも個人データだと記述している(76段落目あたりから...)のですが、これも色々な考慮事項があり、興味深いです。(といっても、日本のガイドラインの内容と同じような内容ですが。。。)

そういえば、最初に経済産業省の個人情報保護法のガイドラインを策定したときのことですが、暗号化された個人データも個人データであると書いたんですね。。。それは、

  • 考えれば必然的にそうなるのと、
  • 欧州でもそのような考え方であった、

からだったんですよね。。。だけど、みんなには評判悪かったですね。。。

 

・[PDF]

20221021-41030

・[DOCX] 仮訳

 

 

目次...

Guidelines 9/2022 on personal data breach notification under GDPR GDPRの下での個人データ侵害通知に関するガイドライン9/2022
TABLE OF CONTENTS 目次
0 PREFACE 0 前書き
INTRODUCTION イントロダクション
I. PERSONAL DATA BREACH NOTIFICATION UNDER THE GDPR I. GDRPに基づく個人データ漏えい通知
A. Basic security considerations A. セキュリティに関する基本的な考慮事項
B. What is a personal data breach? B. 個人データ漏えいとは?
1. Definition 1. 定義
2. Types of personal data breaches 2. 個人データ漏えいの種類
3. The possible consequences of a personal data breach 3. 個人データ漏えいがもたらす可能性のある結果
II. ARTICLE 33 - NOTIFICATION TO THE SUPERVISORY AUTHORITY II. 第33条:監督当局への通知
A. When to notify A. 通知するタイミング
1. Article 33 requirements 1. 第33条の要件
2. When does a controller become “aware”? 2. 管理者が 「認識」するのはどんな時か?
3. Joint controllers 3. 共同管理者
4. Processor obligations 4. 処理者の義務
B. Providing information to the supervisory authority B. 監督官庁への情報提供
1. Information to be provided 1. 提供する情報
2. Notification in phases 2. 段階的な通知
3. Delayed notifications 3. 通知遅延
C. Cross-border breaches and breaches at non-EU establishments C. 国境を越えた違反行為とEU域外の事業所における違反行為
1. Cross-border breaches 1. 国境を越えた違反
2. Breaches at non-EU establishments 2. EU域外の事業所での違反
D. Conditions where notification is not required D. 通知が不要な条件
III. ARTICLE 34 – COMMUNICATION TO THE DATA SUBJECT III. 第34条:データ対象者への通知
A. Informing individuals A. 個人への情報提供
B. Information to be provided B. 提供される情報
C. Contacting individuals C.個人への連絡
D. Conditions where communication is not required D. コミュニケーションを必要としない条件
IV. ASSESSING RISK AND HIGH RISK IV. リスク評価と高リスク
A. Risk as a trigger for notification A. 通知のトリガーとなるリスク
B. Factors to consider when assessing risk B. リスクを評価する際に考慮すべき要素
V. ACCOUNTABILITY AND RECORD KEEPING V. 説明責任と記録の保持
A. Documenting breaches A. 違反の文書化
B. Role of the Data Protection Officer B. データ保護責任者の役割
VI. NOTIFICATION OBLIGATIONS UNDER OTHER LEGAL INSTRUMENTS VI. 他の法的文書に基づく通知義務
VII. ANNEX VII. 附属書
A. Flowchart showing notification requirements A. 報告・通知要件を示すフローチャート
B. Examples of personal data breaches and who to notify B. 個人データ漏えいの例と報告・通知先

 

 

 

| | Comments (0)

2022.10.20

日本公認会計士協会 保証業務実務指針3850「情報セキュリティ等に関する受託業務のTrustに係る内部統制の保証報告書に関する実務指針」及びIT委員会研究報告第55号「保証業務実務指針3850「情報セキュリティ等に関する受託業務のTrustに係る内部統制の保証報告書に関する実務指針」に係るQ&A」の改正

こんにちは、丸山満彦です。

日本公認会計士協会が、情報セキュリティ等に関する受託業務のTrustに係る内部統制の保証報告書の発行業務について、海外団体が公表している特定の規準を利用する場合は、日本公認会計士協会の参考翻訳ではなく海外団体の原文を適用する必要があることを明らかにするために、改訂を行い、公表していますね。。。2022.07.25にドラフトが公開され、意見募集を行い、2022.10.19に公開されたということですね。。。

なお、「保証業務実務指針3850号」は、「保証業務実務指針3702号」に、「IT委員会研究報告第55号」は、「保証業務実務指針3000実務ガイダンス第5号」に番号が変更されています。。。


日本公認会計士協会

・2022.10.19 保証業務実務指針3850「情報セキュリティ等に関する受託業務のTrustに係る内部統制の保証報告書に関する実務指針」及びIT委員会研究報告第55号「保証業務実務指針3850「情報セキュリティ等に関する受託業務のTrustに係る内部統制の保証報告書に関する実務指針」に係るQ&A」の改正について

[PDF] 前文

  保証業務実務指針3702号 保証業務実務指針3000実務ガイダンス第5号
新旧対比表 [PDF]  [PDF] 
本文 [PDF]  [PDF] 

 

昔、 WebTrustとか、SysTrustと言われていたに情報セキュリティ等に関する受託業務のTrustに係る内部統制の保証業務ですが、その際の判断基準、いわゆるクライテリア (Criteria) について、日本公認会計士協会の参考翻訳ではなく、原文を使えということで、当たり前の話といえば、当たり前の話です。旧実務指針3850の「付録5 受託業務のセキュリティ、可用性、処理のインテグリティ、機密保持及びプライバシーに係る内部統制の評価のための規準」が削除したことにより、報告書の例示も付録5を使ったものから、AICPAの規準を使ったものに変更されていますね。。。

カナダと米国で始まった、Trust業務ですが、最初はPKIによる電子署名等のための(運用も含めた)システムの保証(WebTrust for CA)から始まり、ウェブシステムの機密性等の保証やプライバシー保護の領域に拡大し(WebTrust)、一般的なシステムにも拡大し(SysTrust)、全体を合わせてTrust業務として整理されたが、やっぱり残っているのは、WebTrust for CAの領域なんですかね。。。今は、カナダの公認会計士協会 (Chartered Professional Accountants Canada; CPA Canada) [wikipedia] によって維持されていますね。。。

一時、日本の公認会計士協会もTrust Serviceのシールの発行を行なっていた時期もありましたが、それも今は行なっていませんね。。。

GMOのGrobalSignがWebTrustの監査を受けていますが、Trust Service Sealはつけていませんね。。。

 

GrobalSign by GMO

リポジトリ(利用約款・規約・ポリシー) 監査レポート

 

Sealを使っている例としては......

LawTrust

Certification Authorities

Webtrust-seal

 


 

関連

まるちゃんの情報セキュリティ気まぐれ日記

・2022.07.26 日本公認会計士協会 保証業務実務指針3850「情報セキュリティ等に関する受託業務のTrustに係る内部統制の保証報告書に関する実務指針」(IT委員会実務指針第9号)とそのQ&A(IT委員会研究報告第55号)の改訂案

・2022.06.10 日本公認会計士協会 保証業務に関する解説動画

・2021.04.17 日本公認会計士協会 「保証業務実務指針3850「情報セキュリティ等に関する受託業務のTrustに係る内部統制の保証報告書に関する実務指針」及びIT委員会研究報告第55号「保証業務実務指針3850「情報セキュリティ等に関する受託業務のTrustに係る内部統制の保証報告書に関する実務指針」に係るQ&A」」の公表とIT委員会実務指針第2号「Trustサービスに係る実務指針(中間報告)」 IT委員会実務指針第5号「ITに係る保証業務等の実務指針(一般指針)」等の廃止について

・2020.12.26 日本公認会計士協会がTrust規準以外の情報セキュリティ監査ができるように基準を変えるようですよ(公開草案を公表しています)

 

 

| | Comments (0)

IPA 「NSA 商用国家安全保障アルゴリズムスイート2.0」「NSA 商用国家安全保障アルゴリズムスイート2.0及び量子コンピュータに関するFAQ」の和訳 (2022.10.12)

こんにちは、丸山満彦です。

IPAが、「NSA 商用国家安全保障アルゴリズムスイート2.0」「NSA 商用国家安全保障アルゴリズムスイート2.0及び量子コンピュータに関するFAQ」の和訳を公表していますね。。。

● IPA - 情報セキュリティ - 暗号技術

・2022.10.12 [PDF] NSA 商用国家安全保障アルゴリズムスイート2.0の和訳

20221020-00625

 

・2022.10.12 「NSA 商用国家安全保障アルゴリズムスイート2.0及び量子コンピュータに関するFAQの和訳」を公開

20221020-01308

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.09.09 米国 NSA 国家安全保障システムのための将来の耐量子(QR)アルゴリズム要件を発表

| | Comments (0)

経団連 産業技術立国への再挑戦~2030-2040年における産業とキー・テクノロジー~ (2022.10.11)

こんにちは、丸山満彦です。

経団連が、「技術立国への再挑戦~2030-2040年における産業とキー・テクノロジー~」という報告書を公表していますね。。。

経済安全保障を強化する動きがありますが、そもそも産業がないとですね。。。ここのキーテクノロジーの分野も、経済安全保障上では重要な話になるのでしょうかね。。。

 

経団連

・2022.10.11 技術立国への再挑戦

・[PDF] 概要

20221019-232447

・[PDF] 全文

20221019-232912

 

2030-2040年のキー・テクノロジー

キー・テクノロジー 技術
デジタル 半導体
  AI
  量子
  超低消費電力 コンピューティ ング
  光・通信
  ブロック チェーン
  メタバース
  ロボット
  BMI
  サイバーセキュリティ
  デジタルツイ ン
  SoS (System of Systems)
グリーン 電池
  水素・アンモニア
  革新炉
  核融合
  人工光合成
  次世代エネルギー
  CCS/CCUS
  廃棄物処理・ リサイクル
バイオ・ライフ ゲノム編集技術
  フードテック
  マイクロバイオーム
  先端医療技 術
  バイオプラス チック
先端素材・材料 マテリアルズ・インフォマティクス
  半導体素材
  電子部品・材 料
  電池材料
  鉄鋼
  コンクリート
  触媒
  ファインケミカ ル
  繊維
  フィルム

・[DOCX]

20221019-175908

 

産業技術競争力強化に向けた課題と施策

1 政策 (予算・税・制度) 国家的戦略の策定
  科学技術・産業振興に対する政府予算増
  税制・規制改革
2 エネルギー・資源 エネルギーの安価・安定供給
  原発再稼働・再生エネルギー活用等
  重要物資含む資源確保
3 人材 人材育成、リカレント教育の推進、社会受容性等
  研究者・技術者・起業家の厚遇
  外国人人材の活用
4 労働 多様な人材の流動化と活躍 
  日本型雇用システムからの脱却
  労働法制のあり方についての議論
5 スタートアップ スタートアップ振興を第一とする政策推進
  大学発ベンチャーエコシステム
  社内ベンチャー・出島戦略の推進
6 サプライチェーン サプライチェーン全体でのデジタル化・脱炭素化
  強靭化に向けた国内供給基盤強化
  サイバーセキュリティ
7 ルール形成 国際的な規制やシステム標準化等のリード
  産学官での連携体制
  ルール形成やビジネスモデル構築等の人材育成
8 グローバル 各国との競争・協創関係の構築
  経済安全保障の確保
  国際的な取り組みのリード
9 ローカル(地域) デジタルインフラの整備
  地方大学を核としたスタートアップ創出
  国と地方の行政システムや産業構造
10 企業経営 テクノロジーを迅速に経営に活かせる体制
  DX、ファイナンス、組織・人事、パートナーとの協創などあらゆる経営戦略の革新

 

| | Comments (0)

2022.10.19

自民党 わが国が目指すべき 経済安全保障の全体像について~新たな国家安全保障戦略策定に向けて~ (2022.10.04)

こんにちは、丸山満彦です。

自民党の経済安全保障推進本部が、「わが国が目指すべき 経済安全保障の全体像について~新たな国家安全保障戦略策定に向けて~」という提言を公表しています。。。

国として、国際社会において「政治経済の主要プレイヤー」となっていたい。そのために、「国家安全保障戦略に掲げる国益※を経済面から確保する」ことが(政治、外交等以外の手段のみならず)必要なので、それを確保するためにどうするか、考えてみた。。。ということなのでしょうかね。。。

 

自民党

・2022.10.04 わが国が目指すべき 経済安全保障の全体像について~新たな国家安全保障戦略策定に向けて~

・[PDF] (downloaded)

20221019-44703

 


【経済安全保障の理念】
自由、民主主義、基本的人権の尊重、法の支配といった基本的価値を重視し、開かれた国際経済システムを維持しつつ、産業界や学術界など様々な関係者が主体的に関与する形で、わが国の安全の確保と持続的な繁栄を実現するとともに、わが国は国際社会の発展のために政治経済の主要プレイヤーとして寄与していく。


【経済安全保障の定義・目標】
国家安全保障戦略に掲げる国益※を経済面から確保すること。わが国の経済安全保障を進める上で基本となる概念は、

①わが国の社会経済活動の維持に不可欠な基盤を強靱化することにより、いかなる状況の下でも他国に過度に依存することなく、国民生活の持続と正常な経済運営を実現する「自律性の確保」と、

②国際社会全体の産業構造の中で、わが国の存在が国際社会にとって不可欠であるような分野を戦略的に拡大していくことにより、わが国の長期的・持続的な繁栄及び国家の安全を確保する「優位性・不可欠性の維持・獲得」、更には、

③自律性と優位性・不可欠性の向上により、わが国の国際社会におけるプレゼンスを高め、同盟国・同志国との戦略的な連携の下での国際ルール形成の主導

である。

※ 現行の国家安全保障戦略に掲げられている国益とは下記の3点である。すなわち、①わが国自身の主権・独立を維持し、領域を保全し、わが国国民の生命・身体・財産の安全を確保することであり、豊かな文化と伝統を継承しつつ自由と民主主義を基調とするわが国の平和と安全を維持し、その存立を全うすること、②経済発展を通じてわが国と国民の更なる繁栄を実現し、わが国の平和と安全をより強固なものとすること、そのためには、自由貿易体制を強化し、安定性及び透明性が高く、見通しがつきやすい国際環境を実現すること、③自由、民主主義、基本的人権の尊重、法の支配といった基本的価値やルールに基づく国際秩序を維持・擁護すること

...

【経済安全保障の8つの全体像】
経済安全保障の全体像を構成する8つの戦略的アプローチについて、それぞれの設定理由及び具体的課題を以下に示す。なお、戦略1(経済成長の強化・持続化)は経済安全保障の全体像における最上位概念、戦略2~5(自律性の向上、優位性・不可欠性の獲得、競争環境の整備、対外発信・広報の確立)は中核をなすアプローチ、そして、戦略6~8(情報収集・集約・分析・管理(インテリジェンス)の強化、体制の整備、経済安全保障を担う人材育成)はこれら戦略1~5を支える基盤となるものである。


 

8つの戦略...

【最上位概念】
戦略1.経済成長の強化・持続化

【中核をなすアプローチ】
戦略2.わが国の他国に対する経済的依存構造の低減、及びその他脆弱性への対応の強化(自律性の向上)
戦略3.他国のわが国に対する経済的依存構造の構築(優位性・不可欠性の獲得)
戦略4.「公正な」競争環境の整備(国益にかなう国際秩序・ルール形成)
戦略5.戦略的な対外発信・広報の確立

【戦略1~5を支える基盤】
戦略6.情報収集、集約、分析、管理(インテリジェンス)の強化
戦略7.体制の整備
戦略8.経済安全保障を担う人材育成

 


サイバーセキュリティやセキュリティクリアランスの話に行く前に、国をどうしたいのかという議論がきっと重要なんでしょうね。。。この提言の立てつけ(戦略的アプローチ)において、戦略1(経済成長の強化・持続化)を経済安全保障の全体像における最上位概念においていることからそうなのだろうと思います。

米国のような広大な国土にある程度の天然資源を有している国と、シンガポール、スイスといった狭い国土に限られた資源した有しない国では、国として存続するための戦略は大きく異なるのだろうと思います。日本をはじめ多くの国は、この両者の中間的なところにあるわけですが、どのような戦略をとるのかについての議論がもう少し深まればよいのではないかと思っています。

かつて?日本は貿易立国として、製造技術を中核にして、資源を海外から求め、高度な技術でものを作り付加価値をつけて、海外に販売するという形で成功をしていたように思います。しかし、成長の過程で国力が増すと円高、人件費の高騰等もあり、より効率的に付加価値を高めるために、製造技術は日本で考えるが、製造自体は発展途上国でやっていこうという形になり、やがて製造技術も海外で培われるようになったところに、IT技術による革新が進み、その変革スピードに乗り遅れた日本が今にあるという感じですかね。。。それを後押しするように、教育制度がイマイチですしね。。。

このような状況の背景には、日本の政治経済が、民主主義+自由経済ではなく、人的関係主義?により行われていることが影響しているのかもしれませんね。。。お友達を重視した政治+選挙で票が集められる産業の維持といった感じでしょうか。。。それを支える知識が浅い標準化された人間の育成システム。。。

産業的に重要性が相対的に低下していて、本来であればこれから伸びる分野に「張っていく」べきなのに、既得権益のある業界に予算をつけ、これから伸びる分野への予算が相対的に少なくなっていて、産業転換が進まない、、、というのが国として産業が伸びていかない理由なのかもしれません。ということであれば、自民党がこういう提言をしても、結局...ということが見えていて、わかりやすく成果が見える「クリアランス制度」とかの整備に走ってしまうのかもしれませんね。。。(守るべき産業がないのに、クリアランス制度だけあっても他国はやりやすくなるかもですが、日本にとっては...)

てなことを考えながら、この提言の戦略1にもあるように経済成長というのが経済安全保障にとっては一番重要なんだろうなぁ。。。と思ったりしました。。。(経済成長すれば、同じGDP1%でも使える防衛費は増えますからね。。。軍事力という面からも強化できますしね。。。)

さて、人口が減る中で社会全体の高齢化が進むことが確定している日本において、どのような経済成長を実現できるのでしょうかね。。。(岸田内閣の成長戦略、昨年の成長戦略ポータル、これまでの成長戦略

 

米国も最近、国家安全保障戦略を発表していますね。。。

競争国を明確に設定し、それに対してどのように対応をしていくのかを検討しているのが、特徴かもしれませんね。。

・2022.10.14 米国 国家安全保障戦略

 

 

 

 

 

 

 

 

| | Comments (0)

帝国データバンク サイバー攻撃に関する実態アンケート(2022 年 10 月) (2022.10.14)

こんにちは、丸山満彦です。

帝国データバンクが「サイバー攻撃に関する実態アンケート(2022 年 10 月)」を公表していますね。。。

セキュリティベンダーの調査とはまた違うような感じで、なかなか興味深いです。。。

 

約50%の企業は全くサイバー攻撃を受けたことがないということのようです。。。

(1年以上サイバー攻撃を受けていない企業は約10%、1年以内にサイバー攻撃を受けた企業は約25%、約15%はわからない...)

 


調査結果

  1. サイバー攻撃を「1カ月以内に受けた」企業は8.6%となった。「1カ月超から1年以内に受けた」企業 (15.6%)と合計すると『1年以内に受けた』企業は24.2%だった。また、「過去に受けたが、1年以内に受けていない」は10.6%となった。一方で、「全く受けたことがない」企業は約半数だった
  2. 2022年3月に実施した同様の調査と比較すると、サイバー攻撃を「1カ月以内に受けた」企業は19.8ポイント減となった
  3. サイバー攻撃を受けた際に支出した額について、「0円(サイバー攻撃を受けたが支出はない)」が77.9%で最も高い。次いで、「100万円未満」が15.1%で続いた

 

帝国データバンク

・2022.10.14 サイバー攻撃に関する実態アンケート(2022年10月)

・[PDF

20221019-30242

 

 


 

■ 参考

2022.03の調査

・2022.03.15 サイバー攻撃に関する実態アンケート

・[PDF]

20221019-30639

 


調査結果

  1. 企業の28.4%で、1カ月以内にサイバー攻撃を受けたと回答
  2. 企業規模により、1カ月以内のサイバー攻撃の有無に濃淡あり

 

 


 

こういう調査って、まさに企業規模や業種により濃淡がありそうで、母集団を代表するようなサンプリングが難しいのかもしれませんね。。。

 

 

| | Comments (0)

イングランド銀行 「第2回調査 英国の金融業界における機械学習」とディスカッションペーパー「人工知能と機械学習」についての意見募集 (2022.10.11)

こんにちは、丸山満彦です。

英国の中央銀行であるイングランド銀行が、英国の金融業界における機械学習についての調査報告を発表していますね。。。また、人工知能と機械学習についてディスカッションペーパーを公表し、意見募集をしていますね。。。

 

Bank of England

まずは、英国の金融業界における機械学習についての2回目の調査

・2022.10.11 Machine learning in UK financial services

 

目次...

Executive summary エグゼクティブサマリー
1: Introduction 1: 序文
1.1: Context and objectives 1.1: 背景と目的
1.2: Methodology 1.2: 方法論
Box A: Definitions of ML, application, algorithm and model ボックスA:機械学習、アプリケーション、アルゴリズム、モデルの定義
2: Machine learning adoption and use 2: 機械学習の導入と利用
2.1: Financial services firms use an increasing number of ML applications 2.1: 金融サービス企業では機械学習アプリケーションの利用が増加している
2.2: Deployment stage 2.2: デプロイメント段階
2.3: Range of applications across sectors and business areas 2.3: 業種・業務分野別の適用範囲
2.4: Internal versus external implementation and cloud computing 2.4:内部導入と外部導入、クラウドコンピューティング
3: Strategies and governance 3: 戦略とガバナンス
3.1: Firms’ ML strategies 3.1: 企業の機械学習戦略
3.2: Firm ML governance and accountability 3.2: 企業の機械学習ガバナンスとアカウンタビリティ
3.3: Lessons learnt from ML deployment 3.3: 機械学習導入から得た教訓
4: Benefits, risks and constraints 4: メリット、リスク、制約
4.1: Benefits, risks and trade-offs 4.1: メリット、リスク、トレードオフ
4.2: Benefits now and in three years 4.2: 現在と3年後のメリット
4.3: Risks and mitigants 4.3: リスクと緩和策
4.4: Constraints to deployment 4.4: 展開の制約
4.5: Regulation 4.5: 規制
5: Case studies 5: ケーススタディ
5.1: Purpose and background 5.1: 目的・背景
5.2: Cross-firm themes 5.2: 企業横断的なテーマ
5.3: Prominent use cases 5.3: 主なユースケース
Box B: ML methods ボックスB:機械学習手法
6: Conclusion based on survey findings 6: 調査結果に基づく結論
7: Acknowledgements 7: 謝辞

 

 

エグゼクティブサマリー...

Executive summary エグゼクティブサマリー
・The number of UK financial services firms that use machine learning (ML) continues to increase. Overall, 72% of firms that responded to the survey reported using or developing ML applications. These applications are becoming increasingly widespread across more business areas. ・機械学習(ML)を利用する英国金融サービス企業は増加の一途をたどっている。 調査に回答した企業の72%が、機械学習アプリケーションを使用または開発していると回答している。これらのアプリケーションは、より多くのビジネス分野でますます普及しつつある。
・This trend looks set to continue and firms expect the overall median number of ML applications to increase by 3.5 times over the next three years. The largest expected increase in absolute terms is in the insurance sector, followed by banking. ・この傾向は今後も続き、今後3年間で機械学習アプリケーションの数は中央値で3.5倍に増加すると予想される。 この傾向は今後も続くとみられ、企業は今後3年間で機械学習アプリケーションの全体的な中央値が3.5倍に増加すると予想している。
・ML applications are now more advanced and increasingly embedded in day-to-day operations. 79% of ML applications are in the latter stages of development, ie either deployed across a considerable share of business areas and/or critical to some business areas. ・機械学習アプリケーションはより高度になり、日々の業務に組み込まれるようになってきている。 機械学習アプリケーションの79%は開発後期段階にあり、かなりの割合のビジネス領域に展開されているか、一部のビジネス領域にとって重要である。
・Financial services firms are thinking about ML strategically. The majority of respondents that use ML (79%) have a strategy for the development, deployment, monitoring and use of the technology. ・金融サービス企業は機械学習を戦略的に考えている。 機械学習を利用している回答者の大多数(79%)は、技術の開発、展開、モニタリング、利用について戦略を持っている。
・Firms use existing governance frameworks to address the use of ML. 80% of respondents that use ML say their applications have data governance frameworks in place, with model risk management and operational risk frameworks also commonplace (67%). ・機械学習を利用する企業は、既存のガバナンスの枠組みを利用してMLに取り組んでいる。 機械学習を使用している回答者の80%が、自社のアプリケーションにはデータガバナンスの枠組みがあると回答しており、モデルリスクマネジメントとオペレーショナルリスクの枠組みも一般的(67%)である。
・Firms consider that ML presents a range of benefits. Currently the most commonly identified benefits are enhanced data and analytics capabilities, increased operational efficiency, and improved detection of fraud and money laundering. ・企業は機械学種が様々な便益をもたらすと考えている。 現在、最も多く認識されているメリットは、データおよび分析能力の強化、業務効率の向上、詐欺およびマネーロンダリングの検出の改善である。
・Respondents do not see ML, as currently used, as high risk. The top risks identified for consumers relate to data bias and representativeness, while the top risks for firms are considered to be the lack of explainability and interpretability of ML applications. ・回答者は、現在利用されている 機械学習 が高リスクであるとは考えていない。 消費者にとっては、データの偏りや代表性、企業にとっては、機械学習アプリケーションの説明可能性や解釈可能性の欠如が最大のリスクであると考えられている。
・The greatest constraint to ML adoption and deployment is legacy systems. The difficulty integrating ML into business processes is the next highest ranked constraint. ・機械学習の導入・展開における最大の制約はレガシーシステムである. 機械学習をビジネスプロセスに統合することの難しさは、次に高い制約となっている。
・Almost half of firms who responded to the survey said there are Prudential Regulation Authority and/or Financial Conduct Authority regulations that constrain ML deployment. A quarter of firms (25%) said this is due to a lack of clarity within existing regulation. ・調査に回答した企業の約半数が、機械学習導入の制約となる規制(Prudential Regulation AuthorityやFinancial Conduct Authorityの規制)があると回答している。 4分の1の企業(25%)は、既存の規制が明確でないことが原因であると回答している。

 


次にディスカッションペーパー

・2022.10.11 DP5/22 - Artificial Intelligence and Machine Learning

目次

Foreword まえがき
Executive summary エグゼクティブサマリー
Benefits and risks related to the use of AI in financial services 金融サービスにおけるAI活用のメリットとリスク
How existing legal requirements and guidance apply to the use of AI 既存の法的要件とガイダンスがAIの使用にどのように適用されるか
Discussion questions for stakeholder input ステークホルダーからの意見聴取のための質問
1. Introduction 1. 序文
Background 背景
Box 1: UK government – establishing a pro-innovation approach to regulating AI Box 1: 英国政府 - AIを規制するためのイノベーション促進アプローチの確立
2. Supervisory authorities’ objectives and remits 2. 監督当局の目的と任務
Why the supervisory authorities have an interest in AI 監督当局がAIに関心を持つ理由
What is AI? AIとは何か?
How AI is used in financial services 金融サービスにおけるAIの使われ方
Questions: Supervisory authorities’ objectives and remits 質問事項 監督当局の目的と権限
3. Potential benefits and risks 3. 潜在的なメリットとリスク
Consumer protection – FCA 消費者保護 - FCA
Competition – FCA 競争 - FCA
Safety and soundness – PRA and FCA 安全性と健全性 - PRA, FCA
Insurance policyholder protection – PRA and FCA 保険契約者保護 - PRA, FCA
Financial stability and market integrity – the Bank and FCA 金融の安定と市場の健全性 - イングランド銀行, FCA
Questions: Benefits, risks, and harms of AI 質問事項 AIのメリット、リスク、弊害
4. Regulation 4. 規制
Introduction 序文
Consumer protection – FCA 消費者保護 - FCA
Competition – FCA and PRA 競争 – FCA, PRA
Safety and soundness: Data – PRA and FCA 安全性と健全性 データ - PRA, FCA
Safety and soundness: Model risk management – PRA 安全性と健全性 モデルリスクマネジメント - PRA
Safety and soundness: Governance – PRA and FCA 安全性及び健全性 ガバナンス - PRA, FCA
Safety and soundness: Operational resilience, outsourcing, and third-party risk management – PRA and FCA 安全性と健全性 オペレーショナル・レジリエンス、アウトソーシング、第三者によるリスクマネジメント - PRA, FCA
Questions: Regulation 質問 規制
5. Questions 5. 質問事項
Supervisory authorities’ objectives and remits 監督当局の目的および権限
Benefits, risks, and harms of AI AIのメリット、リスク、弊害
Regulation 規制の内容

FCA: Financial Conduct Authority, (wikipedia), 金融行為規制機構

PRA: Prudential regulation, (wikipeia) (イングランド銀行)健全性監督機構

 

まえがき...

Foreword まえがき
The use of artificial intelligence (AI) and machine learning (ML) in financial services may enable firms to offer better products and services to consumers, improve operational efficiency, increase revenue, and drive innovation. All of which may lead to better outcomes for consumers, firms, financial markets, and the wider economy. 金融サービスにおける人工知能(AI)及び機械学習(ML)の活用は、企業が消費者により良い商品・サービスを提供し、業務効率を改善し、収益を増加させ、イノベーションを推進することを可能にする可能性がある。これらはすべて、消費者、企業、金融市場、そしてより広い経済にとって、より良い結果をもたらす可能性がある。
As our recent survey indicates, AI adoption within financial services is likely to continue to increase due to increased availability of data, improvements in computational power, and wider availability of AI skills and resources. Similarly, the Bank of England (the Bank), the Prudential Regulation Authority (PRA), and the Financial Conduct Authority (FCA) (collectively ‘the supervisory authorities’) also endeavour to leverage AI and benefit from this technology to help meet our respective statutory objectives and other functions. 我々の最近の調査が示すように、データの利用可能性の増加、計算能力の向上、AIのスキルやリソースの利用可能性の拡大により、金融サービスにおけるAIの導入は今後も増加すると思われる。同様に、イングランド銀行、健全性監督機構 (PRA)  、金融行動監視機構 (FCA) (総称して「監督当局」)も、それぞれの法定目的およびその他の機能を果たすためにAIを活用し、この技術から利益を得ようと努めているところである。
Although the use of AI may bring a range of benefits, it can also pose novel challenges for firms and regulators as well as amplify existing risks to consumers, the safety and soundness of firms, market integrity, and financial stability. One of the most significant questions is whether AI can be managed through clarifications of the existing regulatory framework, or whether a new approach is needed. How to regulate AI to ensure it delivers in the best interests of consumers, firms, and markets is the subject of a wide-ranging debate, both here in the UK and in other jurisdictions around the world. AIの活用は様々なメリットをもたらすが、同時に企業や規制当局に新たな課題をもたらし、消費者、企業の安全性と健全性、市場の整合性、金融安定性に対する既存のリスクを増幅する可能性もある。最も重要な問題の一つは、既存の規制の枠組みの明確化を通じてAIを管理することができるのか、それとも新たなアプローチが必要なのか、ということである。AIをどのように規制し、消費者、企業、市場の最善の利益を確保するかは、ここ英国だけでなく、世界中の他の管轄区域でも幅広く議論されている。
This Discussion Paper (DP) sits within the context of this wider debate and focuses on the regulation of AI in UK financial services. The Bank, PRA, and the FCA seek to encourage a broad-based and structured discussion with stakeholders on the challenges associated with the use and regulation of AI. We are keen to explore how best to address these issues in a way that is aligned with our statutory objectives, provides clarity, is actionable, and makes a practical difference for consumers, firms, and markets. 本ディスカッション・ペーパーは、このような幅広い議論の中で、英国の金融サービスにおけるAIの規制に焦点を当てたものである。イングランド銀行、健全性監督機構、金融行動監視機構は、AIの利用と規制に関連する課題について、ステークホルダーとの広範かつ体系的な議論を奨励することを目指している。我々は、我々の法的目的に合致し、明確で、実行可能で、消費者、企業、市場にとって実際的な違いをもたらす方法で、これらの問題に対処する最善の方法を模索したいと考えている。
Beginning with our current regulatory framework, we have considered how key existing sectoral legal requirements and guidance in UK financial services apply to AI. This evaluation will allow us to consider which ones are most relevant, explore whether they are sufficient, and identify gaps. The DP considers how such legal requirements and guidance apply to the use of AI in UK financial services to support consumer protection, competition, the safety and soundness of individual firms, market integrity, and financial stability. How can policy mitigate AI risks while facilitating beneficial innovation? Is there a role for technical and, indeed, for global standards? If so, what? まず、現在の規制の枠組みから始め、英国の金融サービスにおける既存の主要なセクターの法的要件とガイダンスがAIにどのように適用されるかを検討した。この評価により、どのようなものが最も関連性が高いかを検討し、それらが十分かどうかを探り、ギャップを特定することができる。本ディスカッション・ペーパーは、消費者保護、競争、個別企業の安全性と健全性、市場の整合性、金融の安定性を支援するために、そうした法的要件やガイダンスが英国金融サービスにおけるAIの利用にどのように適用されるかを検討するものである。有益なイノベーションを促進する一方で、政策はどのようにAIのリスクを軽減することができるのか?技術的な、そして実際、グローバルスタンダードの役割はあるのか?あるとすれば、それは何か?
Given the extent of overlaps within the existing sectoral rules, policies and principles in UK financial services that apply to AI, the supervisory authorities’ approach is largely limited to clarifying how the existing regulatory framework applies to AI and addressing any identified gaps in the regulatory framework. In particular, the supervisory authorities are interested in the additional challenges and risks that AI brings to firms’ decision-making and governance processes, and how those may be addressed through the Senior Managers and Certification Regime (SM&CR) and other existing regulatory tools. 英国金融サービスにおける既存のセクター別の規則、政策、原則の中でAIに適用されるものが重複している程度であることから、監督当局のアプローチは、既存の規制枠組みがAIにどのように適用されるかを明確にし、規制枠組みの中で確認されたギャップに対処することにほぼ限定される。特に、監督当局は、AIが企業の意思決定やガバナンスプロセスにもたらす新たな課題やリスク、そしてそれらがSM&CR(Senior Managers and Certification Regime)やその他の既存の規制手段を通じてどのように対処されるかに関心を持っている。
Given the wide-ranging implications of AI, we are keen to hear from a broad range of stakeholders. This includes firms regulated by the Bank, PRA and/or FCA, as well as non-regulated financial services firms, professional services firms (such as accounting and auditing firms), law firms, third parties (such as technology companies), trade associations and industry bodies, standard setting organisations, academics, and civil society organisations. AIが持つ広範な意味を考慮し、我々は幅広いステークホルダーからの意見を聞きたいと考えている。これには、日本銀行、PRA、FCAによって規制されている企業、規制されていない金融サービス企業、専門サービス企業(会計事務所や監査法人など)、法律事務所、第三者(テクノロジー企業など)、業界団体、標準設定機関、学者、市民社会組織が含まれる。
We note the importance of building, maintaining, and reinforcing the trust of all stakeholders, including consumers in AI. Engagement between the public and private sectors will facilitate the creation of a regulatory framework that enables innovation and mitigates potential risks. 我々は、AIにおける消費者を含む全てのステークホルダーの信頼を構築し、維持し、強化することの重要性に留意する。官民の関与は、イノベーションを可能にし、潜在的なリスクを軽減する規制の枠組み作りを促進する。
We hope that this DP contributes to this process and look forward to hearing from you. 本ディスカッション・ペーパーがこのプロセスに貢献することを期待し、皆様からの意見を待っている。
Victoria Saporta ビクトリア・サポルタ
Executive Director, エグゼクティブ・ディレクター
Prudential Policy Directorate, プルデンシャル・ポリシー・ディレクター
Bank of England イングランド銀行
Sheldon Mills シェルドン・ミルズ
Executive Director, エグゼクティブ・ディレクター
Consumers and Competition, 消費者・競争担当
Financial Conduct Authority 英国金融行為規制機構
Jessica Rusu ジェシカ・ルスー
Chief Data, Information and Intelligence Officer (CDIIO), チーフ・データ、情報、インテリジェンス・オフィサー(CDIIO)
Financial Conduct Authority 英国金融行為規制機構

 

 

エグゼクティブ・サマリー

Executive summary エグゼクティブ・サマリー
Artificial intelligence (AI) and machine learning (ML) are rapidly developing technologies that have the potential to transform financial services. The promise of this technology is to make financial services and markets more efficient, accessible, and tailored to consumer needs. This may bring important benefits to consumers, financial services firms, financial markets, and the wider economy. 人工知能(AI)と機械学習(ML)は、金融サービスを変革する可能性を秘めた、急速に発展している技術である。この技術によって、金融サービスや市場がより効率的になり、アクセスしやすくなり、消費者のニーズに合ったものになることが期待されます。これは、消費者、金融サービス企業、金融市場、そしてより広い経済に重要な利益をもたらす可能性がある。
However, AI can pose novel challenges, as well as create new regulatory risks, or amplify existing ones. The Bank of England (the Bank), the Prudential Regulation Authority (PRA) and the Financial Conduct Authority (FCA) therefore have a close interest in the safe and responsible adoption of AI in UK financial services, including considering how policy and regulation can best support this. しかし、AIは新たな課題をもたらすだけでなく、新たな規制リスクを生み出したり、既存のリスクを増幅させたりする可能性がある。そのため、イングランド銀行、健全性監督機構 (PRA) 、金融行動監視機構  (FCA) は、政策と規制がどのようにAIをサポートすればよいかを検討することを含め、英国の金融サービスにおいて安全かつ責任ある形で導入に深い関心を持っている。
The supervisory authorities are publishing this DP to further our understanding and to deepen dialogue on how AI may affect our respective objectives. This is part of the supervisory authorities’ wider programme of work related to AI, including the AI Public Private Forum, the final report of which was published in February 2022. This DP should also be considered within the context of the evolving wider national and international policy debate on AI, including the UK government’s policy paper ‘Establishing a pro-innovation approach to regulating AI’Opens in a new window, joint working between UK regulators through the Digital Regulation Cooperation Forum (DRCF)Opens in a new window, and international developments from other regulators and authorities, such as the proposed AI regulation for the EUOpens in a new window. 監督当局は、AIが我々のそれぞれの目的にどのような影響を及ぼすかについて理解を深め、対話を深めるために本DPを公表する。これは、2022年2月に最終報告書が公表されたAIパブリック・プライベート・フォーラムを含む、監督当局のAIに関連する幅広い作業プログラムの一部である。本DPは、英国政府の政策文書「AI規制のためのイノベーション促進アプローチの確立」(別ウィンドウで開く)、デジタル規制協力フォーラム(DRCF)を通じた英国の規制当局間の共同作業(別ウィンドウで開く)、EUのAI規制案など他の規制当局の国際動向などAIに関する国内外の幅広い政策議論の進展の中で考慮されるべきである(別ウィンドウで開く)。
Benefits and risks related to the use of AI in financial services 金融サービスにおけるAI活用に関連するメリットとリスク
AI offers potential benefits for consumers, businesses, and markets. However, AI also has the potential to create new or increased risks and challenges. The benefits, risks, and harms discussed in this DP are neither exhaustive nor applicable to every AI use case. AIは、消費者、企業、市場にとって潜在的な利益をもたらすものである。しかし、AIは新たなリスクや課題の増加の可能性も持っている。本DPで議論されているベネフィット、リスク、弊害は、網羅的なものでも、全てのAI利用ケースに適用できるものでもない。
The primary drivers of AI risk in financial services relate to three key stages of the AI lifecycle: (i) data; (ii) models; and (iii) governance. Interconnected risks at the data level can feed into the model level, and then raise broader challenges at the level of the firm and its overall governance of AI systems. Depending on how AI is used in financial services, issues at each of the three stages (data, models, and governance) can result in a range of outcomes and risks that are relevant to the supervisory authorities’ remits. 金融サービスにおけるAIリスクの主な要因は、AIライフサイクルの3つの主要な段階、(i)データ、(ii)モデル、(iii)ガバナンスに関連するものである。データレベルで相互に関連するリスクは、モデルレベルにフィードされ、会社レベルおよびAIシステムの全体的なガバナンスにおいて、より大きな課題を提起する可能性がある。金融サービスにおけるAIの利用方法によっては、3つの段階(データ、モデル、ガバナンス)のそれぞれで問題が発生し、監督当局の権限に関連する様々な結果やリスクが発生する可能性がある。
Consumers 消費者
AI may benefit consumers in important ways – from improved outcomes through more effective matching to products and services, to an enhanced ability to identify and support consumers with characteristics of vulnerability, as well as increasing financial access. However, if misused, these technologies may potentially lead to harmful targeting of consumers’ behavioural biases or characteristics of vulnerability, discriminatory decisions, financial exclusion, and reduced trust. AIは、商品・サービスとの効果的なマッチングによる成果の向上から、脆弱性の特徴を持つ消費者を特定し支援する能力の強化、さらには金融アクセスの向上まで、重要な形で消費者に恩恵をもたらす可能性がある。しかし、これらの技術が誤って使用された場合、消費者の行動バイアスや脆弱性の特徴を標的とした有害なターゲット化、差別的な決定、金融排除、信頼の低下などにつながる可能性がある。
Competition 競争
There may be substantial benefits to competition from the use of AI in financial services, where these technologies may enable consumers to access, assess, and act on information more effectively. But risks to competition may also arise where AI is used to implement or facilitate further harmful strategic behaviour such as collusion, or creating or exacerbating market features that hinder competition, such as barriers to entry or to leverage a dominant position. 金融サービスにおけるAIの利用は、消費者がより効果的に情報にアクセスし、評価し、行動することを可能にするため、競争にとって大きな利益をもたらす可能性がある。しかし、AIが談合のような有害な戦略的行動をさらに実施または促進したり、参入障壁のような競争を阻害する市場の特徴を創出または悪化させたり、支配的地位を活用するために使用される場合、競争に対するリスクも生じる可能性がある。
Firms 企業
There are also many potential benefits for financial services firms including enhanced data and analytical insights, increased revenue generation, increased operational efficiency and productivity, enhanced risk management and controls, and better combatting of fraud and money laundering. Equally, the use of AI can translate into a range of prudential risks to the safety and soundness of firms, which may differ depending on how the technology is used by firms. 金融機関にとっても、データおよび分析的洞察力の強化、収益創出の増加、業務効率および生産性の向上、リスクマネジメントおよび管理の強化、詐欺およびマネーロンダリングへの対処の改善など、多くの潜在的メリットがある。同様に、AIの利用は、企業の安全性と健全性に対する様々なプルデンシャル・リスクにつながる可能性があり、これは、企業による技術の利用方法によって異なる可能性がある。
Financial markets 金融市場
AI may benefit the broader financial system and markets in general through more responsive pricing and more accurate decision-making, which can, in turn, lead to increased allocative efficiency. However, AI may also lead to risks to system resilience and efficiency. For example, models may become correlated in subtle ways and add to risks of herding, or procyclical behaviour at times of market stress. AIは、より迅速な価格決定やより正確な意思決定を通じて、広範な金融システムや市場一般に利益をもたらし、ひいては配分効率の向上につながる可能性がある。しかし、AIはシステムのレジリエンスと効率性にリスクをもたらす可能性もある。例えば、モデルが微妙な形で相関を持ち、群れをなすリスクや、市場ストレス時にプロシクリカルな振る舞いをする可能性がある。
How existing legal requirements and guidance apply to the use of AI 既存の法的要件とガイダンスがAIの使用にどのように適用されるか
In line with their statutory objectives and to support the safe and responsible adoption of AI in UK financial services, the supervisory authorities may need to intervene further to manage and mitigate the potential risks and harms AI may have on consumers, firms, and the stability and integrity of the UK financial system and markets. 法的目的に沿って、また英国金融サービスにおけるAIの安全かつ責任ある採用を支援するために、監督当局はAIが消費者、企業、英国金融システムおよび市場の安定性と整合性に及ぼす可能性のあるリスクと害を管理し軽減するためにさらに介入する必要があるかもしれません。
It is important that the regulatory environment is proportionate and conducive to facilitating safe and responsible adoption of AI, so as not to act as a barrier to beneficial innovation. A first step towards this ambition is clarifying how existing legal requirements and guidance apply to the use of AI. 有益なイノベーションの障壁とならないよう、規制環境が適切であり、AIの安全かつ責任ある採用を促進するものであることが重要である。この野心に向けた第一歩は、既存の法的要件とガイダンスがAIの使用にどのように適用されるかを明確にすることである。
In addition to legal requirements and guidance targeted at particular risks (such as risks to consumers or effective competition), the supervisory authorities have identified sets of ‘cross-cutting’ legal requirements and guidance that encompasses multiple areas of risk. 監督当局は、特定のリスク(消費者や効果的な競争に対するリスクなど)を対象とした法的要件やガイダンスに加え、複数のリスク分野を網羅する「横断的」な法的要件やガイダンスを特定した。
Cross-cutting legal requirements and guidance are relevant primarily to the three key stages of the AI lifecycle – data, models, and governance. Data-related legal requirements and guidance are targeted at data quality, data privacy, data infrastructure, and data governance. Model-related legal requirements and guidance for managing capital risks may provide safeguards surrounding the model development, validation, and review processes for the firms to which these apply. Governance-related legal requirements and guidance (including, notably, the SM&CR, are focused on proper procedures, clear accountability, and effective risk management across the AI lifecycle at various levels of operations. 横断的な法的要件とガイダンスは、主にAIライフサイクルの3つの主要な段階(データ、モデル、ガバナンス)に関連するものである。データ関連の法的要件とガイダンスは、データ品質、データプライバシー、データインフラ、およびデータガバナンスを対象としている。モデル関連の法的要求事項及びガイダンスは、資本リスクを管理するために、モデルの開発、検証及びレビューのプロセスに関するセーフガードを提供することができる。ガバナンス関連の法的規制及びガイダンス(特に SM&CR を含む)は、適切な手続、明 確な説明責任、及び様々なレベルの業務における AI ライフサイクルにわたる効果的な リスクマネジメントに焦点を当てたものである。
AI industry standards or codes of conduct may potentially complement the regulatory system by helping firms build trust amongst users that their systems meet widely accepted industry norms, which may extend beyond the minimum requirements for regulatory compliance. AI の業界標準や行動規範は,企業が,そのシステムが広く認められた業界規範を満たしているという利用者の信頼を築くのを助けることによって,規制制度を補完する可能性がある。これは,規制遵守のための最低要件を超える可能性がある。
The supervisory authorities encourage all relevant stakeholders to respond to this DP. This includes financial services firms regulated by one or more of the supervisory authorities (including both dual- and solo-regulated firms), non-regulated financial services firms, professional services firms (such as accounting and auditing firms), law firms, third parties (such as technology companies), trade associations and industry bodies, standard setting organisations, academics, and representatives from civil society. 監督当局は、全ての関係者が本DPに対応することを奨励する。これには、1つ以上の監督当局の規制を受ける金融サービス企業(二重規制企業と単独規制 企業の両方を含む)、規制を受けていない金融サービス企業、専門サービス企業(会計・ 監査事務所等)、法律事務所、第三者(技術企業等)、業界団体、基準設定機関、学識者、市民 社会からの代表者が含まれます。
Discussion questions for stakeholder input ステークホルダーからの意見聴取のための質問
This DP seeks to explore whether stakeholders consider the existing sectoral legal requirements and guidance to be sufficient to address the risks and harms associated with AI, where there may be gaps in existing legal requirements and guidance, and/or how any additional intervention may support the safe and responsible adoption of AI in UK financial markets. 本DPは、ステークホルダーが既存のセクター別の法的要件やガイダンスがAIに関連するリスクや害に対処するのに十分であると考えているか、既存の法的要件やガイダンスのどこにギャップがあるか、及び/又は、追加の介入は英国の金融市場におけるAIの安全かつ責任ある採用をどのように支援し得るかを探ることを目的とするものである。
To help us in this aim, we are inviting responses to the questions listed in Chapter 5. The questions fall under three main categories: この目的を達成するために、我々は第5章に記載された質問に対する回答を募集している。質問は3つの主要なカテゴリーに分類される。
・Supervisory authorities’ objectives and remits: exploring the best approach to defining and/or scoping the characteristics of AI for the purposes of legal requirements and guidance. ・監督当局の目的と任務:法的要件やガイダンスのためにAIの特徴を定義および/または範囲設定するための最適なアプローチを探る。
・Benefits and risks of AI: identifying the areas of benefits, risks, and harms in relation to which the supervisory authorities should prioritise action. ・AIの便益とリスク:監督当局が優先的に取り組むべき便益、リスク、害悪の分野を特定する。
・Regulation: exploring whether the current set of legal requirements and guidance is sufficient to address the risks and harms associated with AI and how additional intervention may support the safe and responsible adoption of AI in UK financial services. This includes understanding which areas of the current regulatory framework: (i) would benefit from further clarification with respect to AI, (ii) could be extended to better encompass AI, and (iii) could act as a regulatory barrier to the safe and responsible adoption of AI in UK financial services. ・規制:現在の法的要件とガイダンスがAIに関連するリスクと害に対処するのに十分かどうか、また、英国の金融サービスにおけるAIの安全かつ責任ある採用を支援するための追加的な介入はどのようなものかを検討する。これには、現在の規制枠組みのどの分野が、(i) AIに関してさらに明確にすることで恩恵を受けるか、(ii) AIをよりよく包含するために拡張できるか、(iii) 英国金融サービスにおけるAIの安全かつ責任ある導入に対する規制上の障害となり得るか、を理解することも含まれる。

 

1_20221019014401

| | Comments (0)

2022.10.18

日本産業標準調査会 意見募集 「JISQ15001 個人情報保護マネジメントシステム-要求事項」と「JISX9252 情報技術-オンラインにおけるプライバシーに関する通知及び同意」

こんにちは、丸山満彦です。

日本産業標準調査会が、JISQ15001 個人情報保護マネジメントシステム-要求事項」と「JISX9252 情報技術-オンラインにおけるプライバシーに関する通知及び同意」のドラフトを公開し、意見募集(2022.12.15まで)をしていますね。。。

JISQ15001は個人情報保護のための「マネジメントシステム」の標準で、1999年に最初できたものに改訂を重ねてきたもので、対応する国際規格がない日本オリジナル(あるいはガラパゴス)の標準ですね。。。この標準策定当初は、日本に個人情報保護法がなかったので、一定の意味があったのかもしれませんが、今はどうなんでしょうかね。。。ただ、この標準をCriteriaとしてPマーク制度があるので、そのためには必要なのでしょうね。。。

JISX9252は、国際標準のISO/IEC 29184:2020, Information technology-Online privacy notices and consentと一致 (IDT) したJISということになります。。。(29000シリーズにしないんですね。。。)

 

日本産業標準調査会 - 産業標準化とJIS - 意見受付公告(JIS)

JISQ15001

JISQ15001 個人情報保護マネジメントシステム-要求事項

・[PDF閲覧]

目次...


0 序文
0.1
一般
0.2
概要
0.3
他のマネジメントシステム規格との近接性

1 適用範囲

2 引用規格

3 用語及び定義
3.1
マネジメントシステムに関する用語
3.2
個人情報保護リスクアセスメント及び対応に関する用語
3.3
個人情報保護に関する用語

4 組織の状況
4.1
組織及びその状況の理解
4.2
利害関係者のニーズ及び期待の理解
4.3
個人情報保護マネジメントシステムの適用範囲の決定
4.4
個人情報保護マネジメントシステム

5 リーダーシップ
5.1
リーダーシップ及びコミットメント
5.2
方針
5.3
役割、貴任及び権限

6 計画策定
6.1
個人情報の特定
6.2
リスク及び横会への取組
6.3
個人情報保護目的及びそれを連成するための計画策定
6.4
変更の計画策定

7 支援
7.1
資源
7.2
力量
7.3
認識
7.4
コミュニケーション
7.5
文書化した情報

8 運用
8.1
運用の計画及び管理・
8.2
個人情報保護リスクアセスメント
8.3
個人情報保護リスク対応

9 パフォーマンス評価
9.1
監視,測定,分析及び評価
9.2
内部監査
9.3
マネジメントレビュー

10 改善
10.1
縒続的改善
10.2
不適合及び是正処置

附属書A(規定)個人情報保護に関する管理策
附属書B(参考)マネジメントシステムに関する補足
附属書C(参考)附属書 A の管理策に関する補足
附属書D(参考)安全管理措置に関する管理目的及び管理策
附属書E(参考)JIS Q 15001:9999 JIS Q 15001:2017 との対応

参考文献

 


JISX9252

JISX9252 情報技術-オンラインにおけるプライバシーに関する通知及び同意

この規格は、個人識別可能情報(PII)の収集及び処理について、オンラインにおけるプライバシーに関する通知の内容及び構成並びにPII主体に同意を求めるプロセスを方向付ける管理策について標準化を行い、生産及び使用の合理化、品質の向上を図るために制定するものである。

・[PDF閲覧]


序文

1 適用範囲

2 引用規格

3 用語及び定義

4 記号及び略語

5 一般要求事項及び推奨事項
5.1
全体的な目的
5.2
通知
5.3
通知内容
5.4
同意
5.5
条件の変更

附属書A(参考)PC 及びスマートフォンから PII 主体の同意を得る場合のユーザーインターフェースの例
附属書B(参考)同意個収書又は同意記録書の例

参考文献


20221018-25512

 

| | Comments (0)

英国 NCSC ガイダンス サプライチェーンのサイバーセキュリティを評価し、信頼を得る方法 (2022.10.12)

こんにちは、丸山満彦です。

英国のサイバーセキュリティセンターが、サプライチェーンのサイバーセキュリティを評価し、信頼を得る方法というガイダンスを公表していました。。。

2020年に公開された NCSCのサプライチェーンの原則 (NCSC’s Supply Chain Principles) を補足するガイダンスという位置付けのようです。。。

National Cyber Security Centre (NCSC)

発表...

・2022.10.12 (news) NCSC issues fresh guidance following recent rise in supply chain cyber attacks

NCSC issues fresh guidance following recent rise in supply chain cyber attacks NCSC、最近のサプライチェーンにおけるサイバー攻撃の増加を受け、新たなガイダンスを発表
Guidance to help organisations assess the cyber security of their suppliers. 組織がサプライヤーのサイバーセキュリティを評価するためのガイダンス
・New cyber security guidance issued in response to growing trend in supply chain attacks ・サプライチェーンへの攻撃の増加傾向を受け、新たなサイバーセキュリティ・ガイダンスを発行
・GCHQ’s National Cyber Security Centre advises organisations to work with suppliers to identify weaknesses and boost resilience ・GCHQのナショナル・サイバー・セキュリティ・センターが、サプライヤーと協力して弱点を特定し、レジリエンスを高めるよう組織に助言
・Businesses urged to take action as just over 1 in 10 review the risks posed by immediate suppliers ・10社に1社の割合で、サプライヤーのリスクを見直すことが求められている。
CYBER security experts have issued a fresh warning over the threat of supply chain attacks following a rise in the number of incidents. サイバーセキュリティの専門家は、インシデント数の増加を受けて、サプライチェーン攻撃の脅威について新たな警告を発しました。
The National Cyber Security Centre (NCSC) – a part of GCHQ – has today (Wednesday) published new guidance to help organisations effectively assess and gain confidence in the cyber security of their supply chains. GCHQの一部であるナショナル・サイバー・セキュリティ・センター(NCSC)は、本日(水曜日)、組織がサプライチェーンのサイバーセキュリティを効果的に評価し、信頼を得られるようにするための新しいガイダンスを発表しました。
It follows a significant increase in cyber attacks resulting from vulnerabilities within supply chains in recent years, including some high-profile incidents such as the SolarWinds attack. これは、近年、サプライチェーンの脆弱性に起因するサイバー攻撃が大幅に増加していることを受けたもので、SolarWinds社の攻撃のような有名な事件も含まれている。
The new guidance is designed to help medium and larger organisations effectively assess the cyber risks of working with suppliers and gain assurance that mitigations are in place. この新しいガイダンスは、中規模以上の組織が、サプライヤーとの協働によるサイバーリスクを効果的に評価し、緩和策が実施されていることを保証できるよう設計されている。
Supply chain attacks can cause far-reaching and costly disruption, yet the latest government data shows just over one in ten businesses review the risks posed by their immediate suppliers (13%), and the proportion for the wider supply chain is just 7%. サプライチェーンへの攻撃は、広範囲に及ぶコストのかかる混乱を引き起こするが、政府の最新データによると、直近のサプライヤーがもたらすリスクを検討している企業は10社に1社強(13%)、より広いサプライチェーンではわずか7%となっている。
Ian McCormack, NCSC Deputy Director for Government Cyber Resilience, said: NCSCの政府サイバーレジリエンス担当副所長であるイアン・マコーマックは、次のように述べている。
“Supply chain attacks are a major cyber threat facing organisations and incidents can have a profound, long-lasting impact on businesses and customers. 「サプライチェーンへの攻撃は、組織が直面する主要なサイバー脅威であり、事故は企業や顧客に深刻かつ長期的な影響を与える可能性がある。
“With incidents on the rise, it is vital organisations work with their suppliers to identify supply chain risks and ensure appropriate security measures are in place. 「インシデントが増加する中、組織はサプライヤーと協力してサプライチェーンのリスクを特定し、適切なセキュリティ対策が実施されていることを確認することが極めて重要である。
“Our new guidance will help organisations put this into practice so they can assess their supply chain’s security and gain confidence that they are working with suppliers securely.” 「我々の新しいガイダンスは、組織がサプライチェーンのセキュリティを評価し、サプライヤーと安全に協働しているという確信を得ることができるよう、これを実践するのに役立つ。
Cyber minister Julia Lopez, said: サイバー担当大臣のジュリア・ロペス氏は、次のように述べている。
“UK organisations of all sizes are increasingly reliant on a range of IT services to run their business, so it's vital these technologies are secure. 「英国のあらゆる規模の組織は、事業を運営するためにさまざまなITサービスにますます依存するようになっており、これらの技術が安全であることが極めて重要である。
“I urge businesses to follow this expert guidance from our world-leading National Cyber Security Centre. It will help firms protect themselves and their customers from damaging cyber attacks by strengthening cyber security right across their supply chains.” 「世界をリードするナショナル・サイバー・セキュリティ・センターの専門的なガイダンスに従うよう、企業に強く求める。本ガイダンスは、サプライチェーン全体のサイバーセキュリティを強化することで、企業が有害なサイバー攻撃から自社と顧客を守るのに役立つだろう」。
The guidance has been published in conjunction with the Cross Market Operational Resilience Group (CMORG) which supports the improvement of the operational resilience of the financial sector, though the advice is for organisations in any sector. 本ガイダンスは、金融セクターのオペレーショナル・レジリエンスの向上を支援するCross Market Operational Resilience Group(CMORG)と共同で発表されたが、どのセクターの組織も対象となるアドバイスである。
It aims to help cyber security professionals, risk managers and procurement specialists put into practice the NCSC’s 12 supply chain security principles and follows the government’s response to a call for views last year which highlighted the need for further advice. これは、サイバーセキュリティの専門家、リスクマネージャー、調達専門家が、NCSCのサプライチェーンセキュリティ12原則を実践するのを支援することを目的としており、昨年行われた意見募集に対する政府の回答で、さらなるアドバイスが必要であることが浮き彫りになったことを受けて作成された。
It describes typical supplier relationships and potential weaknesses that might expose their supply chain to attacks, defines the expected outcomes and sets out key steps that can help organisations assess their supply chain’s security. 本書では、サプライチェーンが攻撃にさらされる可能性のある典型的なサプライヤーとの関係や潜在的な弱点について説明し、期待される結果を定義し、組織がサプライチェーンのセキュリティを評価するのに役立つ主要なステップを定めている。
In addition to guidance focused on improving supply chain cyber resilience, the NCSC has published a range of advice to help organisations improve their own cyber security. NCSCは、サプライチェーンのサイバーレジリエンス向上に焦点を当てたガイダンスに加え、組織が自らのサイバーセキュリティを向上させるのに役立つ様々なアドバイスを発表している。
This includes the 10 Steps to Cyber Security guidance, aimed at larger organisations, and the Small Business Guide for smaller organisations.
これには、大規模な組織を対象とした「サイバーセキュリティへの10ステップ」ガイダンスや、小規模な組織を対象とした「小規模企業向けガイド」などがある。

 

ガイダンスの要約

・[PDF

20221018-14126

 

ガイダンス

・2022.10.12 (guidance) How to assess and gain confidence in your supply chain cyber security

序文的なもの...

How to assess and gain confidence in your supply chain cyber security サプライチェーンのサイバーセキュリティを評価し、信頼を得る方法
Practical steps to help medium to large organisations gain assurance about the cyber security of their organisation's supply chain. 中規模から大規模の組織が、組織のサプライチェーンのサイバーセキュリティについて確信を得るのに役立つ実践的なステップ。
This guidance describes practical steps to help organisations better assess cyber security in their supply chains. It’s aimed at medium to large organisations who need to gain confidence or assurance that mitigations are in place for vulnerabilities associated with working with suppliers. 本ガイダンスでは、組織がサプライチェーンのサイバーセキュリティをより適切に評価するための実践的なステップを説明している。本ガイダンスは、サプライヤとの協働に関連する脆弱性に対して緩和策が講じられていることを確信または保証する必要がある中堅・大規模組織を対象としている。
More specifically, this guidance: 具体的には、次のような内容である。
・describes typical supplier relationships, and ways that organisations are exposed to vulnerabilities and cyber attacks via the supply chain ・典型的なサプライヤーとの関係、およびサプライチェーンを通じて組織が脆弱性やサイバー攻撃にさらされる方法について説明する。
・defines expected outcomes and key steps to help you assess your supply chain’s approach to cyber security ・サプライチェーンのサイバーセキュリティへの取り組みを評価するために、期待される成果と主なステップを定義している。
・answers common questions you may encounter as you work through the guidance ・ガイダンスを読み進める中で遭遇する可能性のある一般的な質問に回答する。
supplements the NCSC’s Supply Chain Principles (published in 2020) which is referenced throughout ・NCSCのサプライチェーン原則(2020年発行)を補足するもので、全体を通して参照されている。
Note: 注意事項:
For guidance about how to implement cyber security with your own organisation, please refer to the NCSC’s 10 Steps to Cyber Security guidance. Smaller organisations should refer to our Small Business Guide to Cyber Security. 自組織でサイバーセキュリティを実施する方法については、NCSCの「サイバーセキュリティのための10ステップ」ガイダンスを参照、小規模な組織は、当社の「サイバーセキュリティに関する小規模企業向けガイド」を参照のこと。
Who is this guidance for? 本ガイダンスは誰のためのものであるか?
The guidance is aimed at procurement specialists, risk managers and cyber security professionals wanting to establish (or improve) an approach for assessing the cyber security of their organisation’s supply chain. It can be applied ‘from scratch’, or can build upon any existing risk management techniques and approaches that you may have in use. 本ガイダンスは、組織のサプライチェーンのサイバーセキュリティを評価するアプローチを確立(または改善)したいと考えている調達専門家、リスクマネジメント担当者、サイバーセキュリティ専門家を対象としている。ゼロから適用することもできるし、既存のリスクマネジメント手法やアプローチを基に構築することもできる。
・It’s suitable for medium to larger enterprises working in both commercial and public sectors. ・商業・公共セクターの中堅・大企業に適している。
・Organisations with complex supply chains requiring multi-year procurement activity will already have an established process in place to secure their supply chain. ・数年にわたる調達活動を必要とする複雑なサプライチェーンを持つ組織では、サプライチェーンを保護するための確立されたプロセスをすでに持っていることだろう。
This guidance was created in conjunction with the cross market operational resilience group (cmorg) which supports the improvement of the operational resilience of the financial sector through public-private collective action. 本ガイダンスは、官民の共同行動を通じて金融セクターの業務回復力の向上を支援するクロスマーケット業務回復力グループ(cmorg)と連携して作成されたものである。

 

目次...

How to assess and gain confidence in your supply chain cyber security サプライチェーンのサイバーセキュリティを評価し、信頼を得る方法
Understanding the threat 脅威を理解する
Executive summary エグゼクティブサマリー
Stage 1: Before you start  ステージ1:始める前に
Step 1: Understand why your organisation should care about supply chain cyber security ステップ 1:なぜあなたの組織がサプライチェーンサイバーセキュリティに関心を持たなければならないかを理解する。
Step 2: Identify the key players in your organisation ステップ 2: 組織のキープレーヤーを特定する
Step 3: Understand how your organisation evaluates risk ステップ 3: 組織のリスク評価方法を理解する
Further reading 参考資料
Stage 2: Develop an approach to assess supply chain cyber security  ステージ2:サプライチェーンサイバーセキュリティを評価するためのアプローチを開発する
Stage 2a: Prioritise your organisation's 'crown jewels' ステージ 2a: 組織の「至宝」に優先順位を付ける
Stage 2b: Create key components for your approach ステージ 2b: アプローチに必要な主要コンポーネントを作成する
Stage 3: Apply the approach to new supplier relationships  ステージ 3: アプローチを新規サプライヤとの関係に適用する
Step 1: Educate the team ステップ 1: チームを教育する
Step 2: Embed cyber security controls throughout the contract's duration ステップ 2: 契約期間を通じてサイバーセキュリティの管理体制を整備する
Step 3: Monitor supplier security performance ステップ 3: サプライヤのセキュリティパフォーマンスを監視する
Step 4: Report progress to the board ステップ 4: 取締役会に進捗状況を報告する
Further reading 参考資料
Stage 4: Integrate the approach into existing supplier contracts  ステージ 4: 既存のサプライヤとの契約に本アプローチを組み入れる
Step 1: Identify existing contracts ステップ 1: 既存の契約を特定する
Step 2: Risk assess and prioritise your contracts ステップ 2: 契約のリスク評価と優先順位付け
Step 3: Support your suppliers ステップ 3: サプライヤーをサポートする
Step 4: Review contractual clauses ステップ 4: 契約条項の見直し
Step 5: Monitor supplier security performance ステップ 5: サプライヤのセキュリティ実績を監視する
Step 6: Report progress to the board ステップ 6: 取締役会に進捗状況を報告する
Further reading その他の資料
Stage 5: Continuously improve  ステージ 5: 継続的な改善
Step 1: Evaluate the approach and its components regularly ステップ 1: アプローチとその構成要素を定期的に評価する
Step 2: Maintain awareness of evolving threats and update practices accordingly ステップ 2:進化する脅威への認識を維持し、それに応じて実践を更新する
Step 3: Collaborate with your suppliers ステップ 3: サプライヤーとの連携

 


 

おまけ。。。

たまたま、英国のNCSCのサプライチェーン関係の情報を収集していたところ、New ZealandのNCSCが既にサプライチェーンのガイドを2021.04.30に公表していました。。。

 

National Cyber Security Centre - NZ

 ・2021.04.30 Supply Chain Cyber Security: In Safe Hands

・[PDF] Supply Chain Cyber Security 

20221018-15245

 

| | Comments (0)

OECD 国境を越えたデータの流れ -主要な政策とイニシアチブを把握する- (2022.10.12)

こんにちは、丸山満彦です。

OECDが、国境を越えたデータの流れに関する主要な政策とイニシアティブを概観する報告書を公表していますね。。。国境を越えたデータの流れ(クロスボーダー・データフロー)に関する様々な議論についてまとまっていると思います(除く、中国、ロシア)。。。


OECD

・2022.10.12 Cross-border Data Flows -Taking Stock of Key Policies and Initiatives-

 

Cross-border Data Flows -Taking Stock of Key Policies and Initiatives 国境を越えたデータの流れ -主要な政策とイニシアチブを把握する
As data become an important resource for the global economy, it is important to strengthen trust to facilitate data sharing domestically and across borders. Significant momentum for related policies in the G7, and G20, has gone hand in hand with a wide range of – often complementary – national and international initiatives and the development of technological and organisational measures. Advancing a common understanding and dialogue among G7 countries and beyond is crucial to support coordinated and coherent progress in policy and regulatory approaches that leverage the full potential of data for global economic and social prosperity. This report takes stock of key policies and initiatives on cross-border data flows to inform and support G7 countries’ engagement on this policy agenda. データが世界経済にとって重要な資源となるにつれ、国内および国境を越えたデータ共有を促進するための信頼を強化することが重要である。G7やG20における関連政策の大きなモメンタムは、幅広い(しばしば補完的な)国内外のイニシアティブや技術的・組織的措置の開発と密接に関係している。G7諸国とそれ以外の国々の間で共通の理解と対話を進めることは、世界の経済と社会の繁栄のためにデータの潜在能力を最大限に活用する政策と規制のアプローチにおいて、協調的で首尾一貫した進展を支援するために極めて重要である。本報告書は、この政策課題に関するG7諸国の取り組みに情報を提供し支援するために、国境を越えたデータの流れに関する主要な政策とイニシアティブを概観するものである。

・[PDF

20221017-22716

 

目次...

1. Introduction 1.はじめに
2. Unilateral policies and regulations 2.一方的な政策や規制
3. Inter-governmental processes 3.政府間プロセス
3.1 The G7 and G20 deliberations in the areas of Data Free Flow with Trust and crossborder data flows 3.1 G7とG20におけるData Free Flow with Trustとクロスボーダーデータフローの分野での議論
3.2 Multilateral approaches 3.2 多国間アプローチ
3.3 Regional arrangements 3.3 地域ごとの取り決め
3.4 Preferential trade agreements 3.4 特恵貿易協定
4. Technological and organisational measures 4.技術的・組織的な対策
4.1 Data spaces 4.1 データスペース
5. Conclusion 5.まとめ
References 参考文献

 

| | Comments (0)

2022.10.17

G7 デジタル分野における独占禁止法執行について議論 (2022.10.12)

こんにちは、丸山満彦です。

ドイツで開催されたG7で、デジタル分野における将来の独占禁止法執行について議論されたようですね。。。報告書には、各国から提出された各国での取り組み状況が記載されていますね。。。

 

Bundeskartellamt

・2022.10.12 G7-Wettbewerbsgipfel in Berlin: Politik und Wettbewerbsbehörden beraten zukunftsfeste Kartellrechtsdurchsetzung im Digitalbereich

 

G7-Wettbewerbsgipfel in Berlin: Politik und Wettbewerbsbehörden beraten zukunftsfeste Kartellrechtsdurchsetzung im Digitalbereich ベルリンで開催されたG7競争サミット:政治家と競争当局がデジタル分野における将来の独占禁止法執行について議論
Mit dem G7 Joint Competition Policy Makers & Enforcers Summit richten das Bundesministerium für Wirtschaft und Klimaschutz und das Bundeskartellamt am 12. Oktober 2022 ein Forum zum Austausch über Digitalmärkte für Politik und Wettbewerbshüter aus. Vertreterinnen und Vertreter der G7-Mitgliedsstaaten (Deutschland, Frankreich, Großbritannien, Italien, Japan, Kanada, USA) und der Europäischen Kommission werden den Status quo rechtlicher Reformen weltweit, Kartellrechtsdurchsetzung im Digitalbereich sowie Schnittpunkte zwischen dem Wettbewerbsrecht und anderen Rechtsgebieten und Politikbereichen diskutieren. G7 Joint Competition Policy Makers & Enforcers Summitに伴い、連邦経済・気候保護省と連邦カルテル庁は、2022年10月12日に政策立案者と競争執行者を対象に、デジタル市場に関する交流フォーラムを開催する。G7メンバー国(ドイツ、フランス、英国、イタリア、日本、カナダ、米国)と欧州委員会の代表者が、世界の法改正の現状、デジタル分野での独占禁止法の執行、競争法と他の法律・政策分野との交錯について議論する。
Sven Giegold, Staatssekretär im Bundesministerium für Wirtschaft und Klimaschutz: „Ein grundlegendes Element unserer Marktwirtschaften und Demokratien ist fairer Wettbewerb. Dieser ist gleichermaßen wesentlich für Verbraucherinnen und Verbraucher, als auch für Innovationen. Der G7-Wettbewerbsgipfel ist Ausdruck der politischen Dynamik zur Analyse der Strukturen von Digitalmärkten sowie zur Stärkung der entsprechenden Regelwerke und deren Durchsetzung.“ 連邦経済・気候保護省のSven Giegold事務次官:「市場経済と民主主義の基本要素は、公正な競争である。これは、消費者にとっても、イノベーションにとっても同様に必要なことである。G7競争サミットは、デジタル市場の構造を分析し、それに対応する規制の枠組みとその執行を強化するための政治的機運の表れである。"と述べている。
Andreas Mundt, Präsident des Bundeskartellamtes: „Wir können auf einer bereits erfolgreichen Durchsetzungspraxis aufbauen und sehen, dass Wettbewerbsbehörden auf der ganzen Welt mit neuen Instrumenten ausgestattet werden, um ihren Aufgaben noch effektiver nachgehen zu können. Mit Blick auf globale digitale Themen müssen wir sicherstellen, dass Politik und Kartellrechtsdurchsetzung ineinandergreifen. Wir brauchen kohärente Ansätze und Abhilfemaßnahmen, die tatsächlich etwas bewirken, und interdisziplinäres Denken, besonders wenn es um den Umgang mit Daten geht. Beim G7-Wettbewerbsgipfel kommen Wettbewerbshüterinnen und -hüter sowie Vertreterinnen und Vertreter aus der Politik zusammen, um sich auszutauschen, einander zu informieren und gemeinsam unsere Instrumente zukunftsfest zu machen.“ BundeskartellamtのAndreas Mundt会長:「すでに成功した執行実績をもとに、世界中の競争当局が新しいツールを装備して、さらに効果的に任務を遂行できるようになることを期待している。グローバルなデジタル問題に目を向けると、政策と独禁法の執行が絡み合っていることを確認する必要がある。特にデータを扱う際には、首尾一貫したアプローチと実際に変化をもたらす救済策、そして学際的な思考が必要である。G7競争サミットは、競争執行者と政策立案者が一堂に会し、アイデアを共有し、互いに情報を提供し、我々のツールを将来にわたって活用できるよう協力するものである。
Während des Gipfeltreffens werden zwei Dokumente vorgestellt: Das „Policy Makers Inventory“ wurde mit Unterstützung der OECD erstellt und bietet eine umfassende Übersicht gesetzgeberischer Ansätze zum Wettbewerb in Digitalmärkten innerhalb der G7, um das gegenseitige Verständnis zu verbessern und die Zusammenarbeit zu fördern, damit der Wettbewerb in Digitalmärkten gestärkt wird. Auf diese Weise können die G7-Staaten aufbauend auf der Arbeit der französischen und britischen G7-Präsidentschaften voneinander profitieren und langfristig bewährte Vorgehensweisen herausstellen. Das „Compendium“ hebt die wesentlichen Aspekte der Arbeit der einzelnen G7-Wettbewerbsbehörden im Digitalbereich hervor. Das „Compendium“ führt das im Rahmen der britischen G7-Präsidentschaft im Jahr 2021 von der britischen Wettbewerbsbehörde Competition and Markets Authority ins Leben gerufene Format fort. サミットでは、2つのドキュメントが発表されます。OECDの支援を受けて作成されたPolicy Makers Inventoryは、デジタル市場における競争を強化するための相互理解を深め、協力を促進するために、G7内のデジタル市場における競争に関する法的アプローチを包括的に概観するものである。このように、フランスとイギリスのG7議長国の仕事を土台に、G7諸国は互いに恩恵を受け、長期的なベストプラクティスを強調することができる。本コンペンディウムは、G7の各競争当局のデジタル分野での活動の主要な側面を紹介している。Compendiumは、2021年の英国G7議長国時代に英国競争市場庁が開始した形式を引き継いでいる。

 

大要...

・[PDF]  

20221017-15122

・[DOCX] 仮訳

 

Contents  目次 
I. Overview I.概要
II. Introduction II.はじめに
III. Key Challenges III.主な課題
Market power and other positions of economic power マーケットパワーとその他の経済的な力のあるポジション
Challenges to existing competition approaches 既存のコンペティション・アプローチへの挑戦
IV. Key Findings IV.主要な調査結果
Section A: Key issues in digital markets セクションA:デジタル市場の主要課題
Section B: Strengthening competition authorities セクションB:競争当局の強化
Section C: Reforms to existing powers and approaches セクションC:既存の権限とアプローチへの改革
Section D: The importance of regulatory cooperation セクションD:規制協力の重要性
V. Conclusions and next steps V.結論と次のステップ
VI. Submissions VI.提出書類
Canada - Competition Bureau Canada カナダ - カナダ競争局
France - Autorité de la Concurrence フランス - コンカーレンス委員会
Germany - Bundeskartellamt ドイツ - ドイツ連邦カルテル庁
Italy - Autoritá Garante della Concorrenza e del Mercato イタリア - コンコルレン・デ・メルカート保証委員会
Japan - Japan Fair Trade Commission 日本 - 公正取引委員会
UK - Competition and Markets Authority イギリス - 競争市場庁
US - Federal Trade Commission 米国連邦取引委員会
US - Department of Justice アメリカ - 司法省
European Commission – Directorate-General for Competition 欧州委員会 - 競争総局
Australia – Australian Competition and Consumer Commission オーストラリア - オーストラリア競争・消費者委員会
India – Competition Commission of India インド - インド競争委員会
South Africa – Competition Commission South Africa 南アフリカ共和国 - 南アフリカ競争委員会
South Korea – Korea Fair Trade Commission 韓国 - 韓国公正取引委員会

 


まるちゃんの情報セキュリティ気まぐれ日記

日本の話...

・2022.09.25 経済産業省 デジタルプラットフォームの透明性・公正性に関するモニタリング会合

・2022.08.07 デジタル市場競争会議 ワーキンググループ 第38回 「モバイル・エコシステムに関する競争評価 中間報告」及び「新たな顧客接点(ボイスアシスタント及びウェアラブル)に関する競争評価 中間報告」に関する意見募集に寄せられた御意見等

 

欧州 デジタルサービス法、デジタル市場法関係

・2022.09.23 ⽇欧産業協⼒センター 欧州デジタル政策 (Vol.1-3)

・2022.07.20 欧州理事会 欧州連合理事会 デジタル市場法 (DMA) 案を採択

・2022.07.11 欧州議会 デジタルサービス法 (DSA) デジタル市場法 (DMA) が可決 (2022.07.05)

・2022.03.26 欧州理事会 欧州連合理事会 デジタル市場法(DMA)が理事会・欧州議会で合意されたようですね。。。

・2020.12.16 欧州委員会 デジタルプラットフォーマを規制するためのデジタルサービス法とデジタル市場法の最終提案を公表

 

| | Comments (0)

2022.10.16

オランダ サイバーセキュリティ戦略2022-2028 デジタル・セキュリティー社会の実現に向けた渇望と行動 (2022.10.10)

こんにちは、丸山満彦です。

オランダがサイバーセキュリティ戦略 2022-2028と、それをもとにした2022-2023の活動計画を公表していますね。。。オランダは2011年、2013年、2018年にも戦略を発表していたようです。。。見つけられていませんが。。。

2022年−2028年の戦略のポイントは次の4つのようです。。。

Pijler I: Digitale weerbaarheid van de overheid, bedrijven en maatschappelijke organisaties Ⅰ:政府、企業、市民社会組織のデジタル・レジリエンス
Pijler II: Veilige en innovatieve digitale producten en diensten Ⅱ:安全で革新的なデジタル製品・サービス
Pijler III: Tegengaan van digitale dreigingen van staten en criminelen Ⅲ:国家や犯罪者からのデジタル脅威への対処
Pijler IV: Cybersecurity-arbeidsmarkt, onderwijs en de digitale weerbaarheid van burgers Ⅳ:サイバーセキュリティの労働市場、教育、市民のデジタル・レジリエンス

 

プレス発表...

・2022.10.10 Kabinet presenteert nieuwe cybersecuritystrategie

Kabinet presenteert nieuwe cybersecuritystrategie 内閣が新たなサイバーセキュリティ戦略を提示
Namens het kabinet presenteert minister Yeşilgöz-Zegerius (Justitie en Veiligheid en coördinerend bewindspersoon cybersecurity), samen met minister Adriaansens (Economische Zaken en Klimaat) en staatssecretaris Van Huffelen (Koninkrijksrelaties en Digitalisering), vandaag de nieuwe Nederlandse cybersecuritystrategie 2022-2028. Bij de strategie hoort ook een actieplan met concrete acties om Nederland digitaal veiliger te maken. 内閣を代表してイェシルゲーズ=ゼゲリウス大臣(司法・安全保障・サイバーセキュリティ担当調整大臣)が本日、アドリアンスンス大臣(経済・気候)、ファン・フッフェレン国務長官(王国関係・デジタル化)とともに、オランダの新しいサイバーセキュリティ戦略2022-2028を発表した。また、この戦略には、オランダをよりデジタルセキュアにするための具体的なアクションプランが含まれている。
Minister Yeşilgöz-Zegerius: “De digitale dreiging neemt fors toe waarbij criminelen en vijandige staten onze belangen bedreigen zoals de Nationaal Coördinator Terrorismebestrijding en Veiligheid concludeert. Daarom is nu actie nodig om onze digitale weerbaarheid te verhogen, het stelsel te versterken en de dreiging aan te pakken. Alleen dan zijn we als Nederland in staat om op een veilige manier de economische en maatschappelijke kansen van digitalisering te verzilveren, en tegelijkertijd onze veiligheid en publieke waarden te beschermen. Nederland is een van de meest gedigitaliseerde landen ter wereld. We werken digitaal, winkelen digitaal en ontmoeten elkaar digitaal. Digitale systemen vormen het ‘zenuwstelsel’ van onze maatschappij Daarom moeten we deze systemen beschermen en zorgen dat we voorbereid zijn als er toch iets mis gaat.” イェシルギョズ-ゼゲリウス大臣:「テロ対策と安全保障のための国家コーディネーターが結論付けたように、犯罪者と敵対国家が私たちの利益を脅かし、デジタル脅威が急激に高まっている。そのため、デジタルレジリエンスを高め、システムを強化し、脅威に対処するためのアクションが今必要となっている。そうしてこそ、私たちオランダは、安全と公共価値を守りながら、デジタル化の経済的・社会的機会を安全に生かすことができる。オランダは世界で最もデジタル化が進んでいる国の一つである。私たちはデジタルで仕事をし、デジタルで買い物をし、デジタルで会議をする。したがって、これらのシステムを保護し、何か問題が発生した場合に備えておく必要がある。
Minister Adriaansens: “Digitale weerbaarheid is echt belangrijk en dat ervaren we allemaal. Bijvoorbeeld als door een cyberaanval het internet niet werkt, daardoor schappen in winkels niet zijn gevuld of zelfs industriële productie uitvalt. Dat vraagt in deze tijden om een overheid die actief bijdraagt aan onze digitale slagkracht. Immers, cyberveilige digitale apparaten en systemen zijn niet alleen noodzakelijk, maar bieden ook economische kansen voor onze bedrijven en gemak voor consumenten." アドリアンスンス大臣:「デジタル・レジリエンスは本当に重要で、私たちは皆、それを経験している。例えば、サイバー攻撃によってインターネットが使えなくなり、その結果、店の棚に商品が並ばなくなったり、工業生産が停止するような事態が発生した場合である。このような時代だからこそ、デジタル・レジリエンスに積極的に貢献する政府が求められている。結局のところ、サイバーセキュアなデジタル機器やシステムは必要であるだけでなく、私たちの企業に経済的な機会を、消費者に利便性を提供するのである。」
Staatssecretaris Van Huffelen: “Veiligheid en vertrouwen zijn in de digitale wereld, net zoals in de fysieke wereld, een absolute randvoorwaarde. Stevige wet- en regelgeving en toezicht moeten ons helpen de digitale wereld veiliger te maken. De hele overheid moet hierin voorop lopen en samenwerken met een netwerk van publiek en private partners”. ファン・フッフェレン国務長官:「物理的な世界と同様に、デジタルの世界でもセキュリティと信頼は絶対条件である。堅牢な法律、規制、監督によって、デジタル世界をより安全なものにしなければならない。これを政府全体でリードし、官民のネットワークと連携していかなければならない。」
Strategie 戦略
De veiligheid in de digitale wereld blijft nog ver achter bij die in de fysieke wereld. Wie een auto koopt, weet dat die aan allerlei veiligheids- en kwaliteitseisen voldoet. En de koper weet precies wat van hem of haar verwacht wordt om die auto veilig te kunnen en mogen besturen; een rijbewijs, geen alcohol, jaarlijkse APK-keuringen. Dat moet ook gebruikelijk worden voor de digitale veiligheid. In de Nederlandse cybersecuritystrategie beschrijft het kabinet zijn visie op de digitale samenleving en de rol van overheid, bedrijven en burgers daarin. Daarnaast staan in het actieplan concrete acties voor een digitaal veilige samenleving. Om de visie te realiseren zijn doelen geformuleerd langs vier pijlers. Ten eerste het verhogen van de digitale weerbaarheid van de overheid, bedrijven en maatschappelijke organisaties. Verder het bieden van veilige en innovatieve digitale producten en diensten in ons land. Ten derde het tegengaan van digitale dreigingen van staten en criminelen. En tot slot voldoende cybersecurity specialisten, onderwijs over digitale veiligheid en digitale weerbaarheid van burgers. デジタルの世界でのセキュリティは、物理的な世界でのセキュリティに比べ、まだ大きく遅れている。車を購入する人は、それがあらゆる種類の安全性や品質に関する要求を満たしていることを知っている。そして買い手は、その車を安全に運転するために何が求められているのか、運転免許証、アルコール依存症でないこと、毎年の車検などを正確に把握することができる。これは、デジタル・セキュリティの分野でも慣例になるはずである。オランダのサイバーセキュリティ戦略では、デジタル社会のビジョンと、そこでの政府、企業、市民の役割について述べられている。また、アクションプランには、デジタル安心社会の実現に向けた具体的なアクションが盛り込まれている。このビジョンを実現するために、4つの柱に沿った目標が策定されている。第一に、政府、企業、市民社会組織のデジタル・レジリエンスを高めることである。第二に、わが国において安全で革新的なデジタル製品・サービスを提供すること。第三に、国家や犯罪者からのデジタル脅威に対抗することである。そして最後に、十分なサイバーセキュリティの専門家、デジタルセキュリティに関する教育、市民のデジタルレジリエンスである。
Om deze doelen te bereiken wordt het stelsel rondom digitale veiligheid versterkt. Hiertoe worden bijvoorbeeld het Nationaal Cybersecurity Centrum, Digital Trust Center en het Cyber Security Incident Response Team for Digital Service Providers samengevoegd tot één nationale cybersecurity autoriteit. Daarnaast komt er wet- en regelgeving die helder en toetsbaar is waardoor vrijblijvendheid voor het treffen van maatregelen verleden tijd wordt. Eisen voor veilige hard- en software worden in Europees verband gesteld. Ook moet er meer zicht komen op de dreiging want alleen dan kunnen we de weerbaarheid verhogen. これらの目標を達成するために、デジタルセキュリティをめぐる体制を強化する。この目的のために、例えば、国家サイバーセキュリティセンター、デジタルトラストセンター、デジタルサービスプロバイダのためのサイバーセキュリティインシデント対応チームは、単一の国家サイバーセキュリティ当局に統合される予定である。また、明確で検証可能な法律や規制ができ、非妥協的な措置は過去のものとなるでしょう。セキュアなハードウェアとソフトウェアの要件は、欧州レベルで設定されることになる。また、脅威に対する洞察力を高めてこそ、レジリエンスを高めることができる。
Samenwerking 協力
De strategie is tot stand gekomen met een brede betrokkenheid van vele publieke, private en maatschappelijke organisaties, en in het bijzonder met de Cyber Security Raad, en bouwt voort op eerdere kabinetsbrede cybersecuritystrategieën uit 2011, 2013 en 2018. Voor de totstandkoming en implementatie van de strategie werken alle ministe­ries samen, ook met publieke en private partners. この戦略は、多くの官民や市民団体、特にサイバーセキュリティ協議会の幅広い関与のもとに作成され、2011年、2013年、2018年のこれまでの内閣府のサイバーセキュリティ戦略を踏まえている。戦略の策定と実施にあたっては、官民のパートナーを含め、すべての省庁が連携している。

 

● 戦略

・2022.10.10 Nederlandse Cybersecuritystrategie 2022 - 2028

・[PDF

20221016-52157

 

戦略の序文...

Voorwoord  序文 
Internet heeft ons leven ingrijpend veranderd. We leven en werken online, in veel opzichten maakt dat ons leven gemakkelijker en de economische voordelen zijn evident. Burgers en bedrijven moeten ten volle kunnen profiteren van de digitale samen- leving en economie; veiligheid is hiervoor essentieel.  インターネットは私たちの生活を劇的に変化させた。私たちはオンラインで生活し、仕事をしている。多くの点で私たちの生活を便利にし、経済的なメリットも明らかである。市民や企業がデジタル社会・経済を十分に活用できるようにすること、そのためにはセキュリティが不可欠である。
Maar de veiligheid in de digitale wereld blijft nog ver achter bij die in de fysieke wereld. Wie een auto koopt, weet dat die aan allerlei veiligheids- en kwali- teitseisen voldoet. En de koper weet precies wat van hem of haar verwacht wordt om die auto veilig te kunnen en mogen besturen; een rijbewijs, geen alco- hol, jaarlijkse APK-keuringen.  しかし、デジタルの世界でのセキュリティは、物理的な世界でのセキュリティに比べ、まだ大きく遅れているのが現状である。車を購入する人は、その車があらゆる種類の安全性や品質の要求を満たしていることを知っている。そして買い手は、その車を安全に運転するために何が求められているのか、運転免許証、アルコール依存症でないこと、毎年の車検など、正確に把握している。
In de digitale wereld is dat heel anders. Bij het ont- werp van veel digitale systemen was en is veiligheid nog níet het uitgangspunt. Decennialang heeft de verantwoordelijkheid voor die veiligheid gelegen bij de eindgebruikers als burgers en kleinere ondernemingen en organisaties. Maar veel van die eindgebruikers zijn in de praktijk helemaal niet in staat om aan die verantwoordelijkheid invulling te geven. Ze weten bijvoorbeeld niet hoe ze een wifi- router moeten updaten en worstelen met de beveiliging van systemen, privacy-vereisten, et cetera.  デジタルの世界では、状況は大きく異なる。多くのデジタルシステムの設計において、セキュリティは昔も今も出発点ではない。 何十年もの間、セキュリティの責任は市民や中小企業・団体などのエンドユーザーが担ってきた。 しかし、実際には、こうしたエンドユーザーの多くは、この責任を果たすことが全くできない。 例えば、WiFiルーターのアップデート方法がわからない、システムセキュリティやプライバシー要件に苦労している、などである。
Intussen groeien de risico’s. Als hoogontwikkelde samenleving wordt Nederland in hoog tempo afhan- kelijker van digitale systemen. Maar zelfs in meer volwassen organisaties, techbedrijven en overheids- instanties staat of valt de veiligheid van die systemen bij het gedrag van individuen. Alles ligt plat als een werknemer een phishing mail opent of niet de juiste beveiliging installeert.  一方で、リスクは増大している。高度に発達した社会であるオランダでは、デジタルシステムへの依存度が急速に高まっている。しかし、より成熟した組織、ハイテク企業、政府機関であっても、それらのシステムのセキュリティは、個人の行動にかかっている。従業員がフィッシングメールを開いたり、適切なセキュリティを導入しなかったりすると、すべてが台無しになる。
Het kabinet meent dat de eenzijdige nadruk op de verantwoordelijkheid van het individu een doodlo- pende weg is en kiest voor een andere route naar een veilig digitaal ecosysteem. Mede namens het kabinet presenteer ik daarom een nieuwe cybersecuritystra- tegie. Die kent de volgende speerpunten:  政府は、個人の責任を一方的に強調するのは行き止まりだと考え、安全なデジタルエコシステムへの別のルートを選択する。そこで、一部、内閣を代表して、新たなサイバーセキュリティ戦略を提示する。これには、次のような要点がある。
1. Beter zicht op de dreiging. Het kabinet investeert in mensen en systemen die scherper zicht geven op de herkomst van dreigingen en tegen wie ze gericht zijn.  1. 脅威の可視化。政府は、脅威がどこから来て、誰に向かっているのかをより鋭く洞察するための人材とシステムに投資している。
2. Meer cybersecurityspecialisten. We nemen ver- schillende acties om meer ICT-specialisten op de arbeidsmarkt te krijgen.  2. サイバーセキュリティの専門家を増やす。私たちは、より多くのICT専門家を労働市場に投入するために、さまざまな取り組みを行っている。
3. Overheid en sectoren nemen verantwoordelijk- heid. De verantwoordelijkheid voor veiligheid wordt deels verplaatst van eindgebruikers naar de overheid en specifieke sectoren. De meest volwas- sen en bepalende organisaties dragen de zwaarste verantwoordelijkheden. Voor de gehele overheid zelf zullen stevige wettelijke eisen voor veiligheid en toezicht op naleving erop worden ingericht.  3. 政府、セクターが責任を持つ。セキュリティに対する責任は、エンドユーザーから政府や特定部門に一部移行している。最も成熟し、決断力のある組織が最も重い責任を負うことになる。政府全体に対しては、セキュリティとコンプライアンス監視のための強固な法的要件が設定される。
4. Beter toezicht en de noodzakelijke wet- en regelgeving. Herschikking van verantwoordelijk- heden vergt uitbreiding van wettelijke regels en toezicht. Veiligheid moet het fundament worden waarop nieuwe systemen worden ontworpen. Er komen nieuwe regels waar (rijks)overheden, vitale aanbieders, en leveranciers van digitale producten en diensten aan moeten voldoen.  4. より良い監督と必要な法規制。責任の再分配には、法的規制と監督の拡大が必要である。セキュリティは、新しいシステムを設計する際の基盤となるものでなければならない。(中央)政府、重要なプロバイダー、デジタル製品やサービスのサプライヤーが遵守しなければならない新しい規則が生まれるだろう。
5. Heldere informatie via een nationale cyberauto- riteit. Er komt een centrale cyberautoriteit in Nederland: het nationale Cyber Security Incident Response Team. Deze nieuwe organisatie zal in samenwerking met publieke en private partners, vitale en niet-vitale organisaties, overheden en burgers voorzien van informatie over (dreigende) cyberincidenten om hen in staat te stellen zich te beveiligen.  5. 国のサイバー当局を通じた明確な情報提供。オランダには、サイバーセキュリティ事件対応チームという中央のサイバー当局が設置される予定である。この新組織は、官民のパートナーとの協力のもと、重要組織、非重要組織、政府、市民に対し、(差し迫った)サイバーインシデントに関する情報を提供し、彼らの安全を確保することを可能にするものである。
Deze strategie beschrijft de ambities van het kabinet voor de komende zes jaar. In de eerste fase investe- ren we fors in de AIVD en de MIVD, in het NCSC en de versterking van het landelijk dekkend stelsel van cybersecuritysamenwerkingsverbanden waarmee organisaties van beveiligingsadvies worden voorzien, en in de versterking van digitale weerbaarheid van specifieke sectoren.  この戦略は、今後6年間における政府の渇望を定めたものである。第一段階では、AIVDとMIVD、NCSC、そして組織にセキュリティアドバイスを提供するサイバーセキュリティ・パートナーシップの全国システムの強化、特定分野のデジタル・レジリエンスの強化に多額の投資を行う。
Tot slot. Dit is een gezamenlijke verantwoordelijkheid van alle partijen in het cyberveld, waarbij doelgerichte publiek-private samenwerking essenti- eel is. Ik ben dan ook alle publieke en private partijen en de wetenschap, en in het bijzonder de leden van de Cyber Security Raad, zeer erkentelijk die aan de totstandkoming van deze strategie hebben bijgedra- gen. Hou dat vast in de uitvoering!  結論から言うと これは、サイバー分野におけるすべての関係者の共同責任であり、的を射た官民の協力が不可欠である。したがって、この戦略の作成に貢献された官民や学会の皆様、特にサイバーセキュリティ協議会のメンバーの皆様に大変感謝している。さあ、実行に移そう!
Dilan Yeşilgőz-Zegerius, minister van Justitie en Veiligheid  ディラン・イェシルグズ=ゼゲリウス 司法・治安大臣

 

戦略の目次...

Inleiding en context 導入と背景
Samenwerking in het cybersecuritydomein サイバーセキュリティ領域での協力
1. Maatschappelijke opgave cybersecurity 1. 社会的課題サイバーセキュリティ
Digitale risico’s onverminderd groot デジタルリスクは減少せず
Complicaties risicobeheersing gevaar voor samenleving リスクマネジメントの複雑さが社会を危うくする
Noodzaak tot een integrale aanpak digitale weerbaarheid デジタルレジリエンスへの統合的アプローチの必要性
2. Visie: Digitale veiligheid voor iedereen een vanzelfsprekendheid 2. ビジョン:デジタル・セキュリティはすべての人にとって当たり前のこと
Visie ビジョン
3. Doelen 3. 目標
Pijler I: Digitale weerbaarheid van de overheid, bedrijven en maatschappelijke organisaties 柱Ⅰ:政府、企業、市民社会組織のデジタル・レジリエンス
Pijler II: Veilige en innovatieve digitale producten en diensten 柱Ⅱ:安全で革新的なデジタル製品・サービス
Pijler III: Tegengaan van digitale dreigingen van staten en criminelen 柱Ⅲ:国家や犯罪者からのデジタル脅威への対処
Pijler IV: Cybersecurity-arbeidsmarkt, onderwijs en de digitale weerbaarheid van burgers 柱Ⅳ:サイバーセキュリティの労働市場、教育、市民のデジタル・レジリエンス
4. Governance, evaluatie en monitoring 4. ガバナンス・評価・モニタリング
Governance, regie en samenwerking ガバナンス、方向性、協力
Evaluatie en monitoring 評価・モニタリング
Aanpak アプローチ
Evaluatieprogramma 評価プログラム
Bijlagen 附属書
Financiële onderbouwing 財務的裏付け
Afkortingen 略語について
Begrippenlijst 用語集
Noten 備考

 

 

● 活動計画 2022-2023

・2022.10.10 Actieplan Nederlandse Cybersecuritystrategie 2022 - 2023

・[PDF

20221016-52520

 

活動計画の目次...

Pijler I Digitale weerbaarheid van de overheid, bedrijven en maatschappelijke organisaties  柱Ⅰ:政府、企業、市民社会組織のデジタル・レジリエンス 
Doel 1 Organisaties hebben zicht op cyberincidenten, -dreigingen en -risico’s en hoe hiermee om te gaan. 目標1 組織は、サイバーインシデント、脅威、リスク、およびそれらに対処する方法を可視化できている。
Herziening van het stelsel システムの見直し
Versterken Landelijk Dekkend Stelsel van cybersecurity samenwerkingsverbanden (LDS) サイバーセキュリティパートナーシップのナショナル・カバーリングシステムを強化(LDS)
Uitbreiden schakelorganisaties binnen het LDS ナショナル・カバーリングシステム内の連携組織の拡大
Nationaal Detectie Netwerk (NDN) 国家検知ネットワーク(NDN)
Slachtoffernotificatie 被害者への通知
Doel 2 Organisaties zijn goed beschermd tegen digitale risico's, en nemen hierin hun belang voor de sector en andere organisaties in de keten mee.  目標2 組織はデジタルリスクに対して十分に保護されており、セクターとチェーン内の他の組織にとっての重要性を考慮している。
Digitale weerbaarheid vitale infrastructuur デジタルレジリエンス 重要インフラ
Digitale weerbaarheid MKB en bedrijfsleven デジタルレジリエンス 中小企業・ビジネス
Digitale weerbaarheid onderwijs デジタルレジリエンス教育
Digitale weerbaarheid zorginstellingen デジタルレジリエンス医療機関
Digitale weerbaarheid sectoren infrastructuur en waterstaat デジタル・レジリエンス・インフラストラクチャーと水管理部門
Digitale weerbaarheid rijksoverheid デジタル・レジリエンス 中央政府
Digitale weerbaarheid overheid デジタル・レジリエンス 政府
Digitale weerbaarheid sectoren met operationele technologie- en procesautomatiserings-systemen 運用技術やプロセス自動化システムによるデジタル・レジリエンス分野
Zicht op digitale weerbaarheid van overheid en bedrijfsleven 政府および産業界のデジタル・レジリエンスに関する洞察
Doel 3 Organisaties reageren, herstellen en leren snel en adequaat op en van cyber-incidenten en –crises. 目標3 組織は、サイバーインシデントやクライシスに対して、迅速かつ適切に対応し、回復し、学習している。
Incident- en crisispreparatie インシデント・クライシスへの備え
Oefenen 訓練
Pijler II Veilige en innovatieve digitale producten en diensten  柱Ⅱ 安全で革新的なデジタル製品・サービス 
Doel 1 Digitale producten en diensten zijn veiliger. 目標1 デジタル製品・サービスの安全性が高まっている。
Europese wetgeving voor digitale producten en diensten デジタル製品・サービスに関する欧州の法規制
Toezicht en handhaving op digitale producten en diensten デジタル製品・サービスの監視と実施
Certificering en standaarden 認証・規格
Algemene beveiligingseisen rijksoverheid (ABRO) en overheidsinkoopbeleid 一般的なセキュリティ要件 中央政府(ABRO)および政府調達方針
Doel 2 Nederland heeft een sterke cybersecuritykennis- en innovatieketen  目標2 オランダはサイバーセキュリティの知識とイノベーションの連鎖が強固である。
Veilige cryptografie  安全な暗号技術 
Nationale samenwerking kennis- en innovatie-onderzoekssamenwerking  国家的な知識・イノベーション研究協力 
Europese onderzoekssamenwerking en fondsen  欧州研究協力・基金 
Pijler III Tegengaan van digitale dreigingen van staten en criminelen  柱Ⅲ 国家や犯罪者からのデジタル脅威への対処 
Doel 1 Nederland heeft zicht op digitale dreigingen van staten en criminelen  目標1 オランダは国家や犯罪者からのデジタル脅威を可視化することができている。
Zicht op statelijke actoren  国家アクターの可視化 
Onderzoeks- en opsporingscapaciteit cybercriminelen  サイバー犯罪の調査・検知能力 
Versterken diplomatiek netwerk  外交ネットワークの強化 
Doel 2 Nederland heeft grip op digitale dreigingen van staten en criminelen 目標2 オランダは国家や犯罪者からのデジタル脅威を掌握している。
Attributie en respons  アトリビュートと対処 
Defensieve en offensieve cybercapaciteiten  防御的・攻撃的なサイバー能力 
Doel 3 Staten houden zich aan het normatief kader voor verantwoordelijk statelijk gedrag in de digitale ruimte 目標3 国家は、デジタル空間における責任ある国家行動のための規範的枠組みを遵守している。
Normatief kader  規範的な枠組み 
Internet governance  インターネットガバナンス 
Pijler IV Cybersecurity-arbeidsmarkt, onderwijs en digitale weerbaarheid van burgers  柱Ⅳ サイバーセキュリティの労働市場、教育、市民のデジタル・レジリエンス 
Doel 1 Burgers zijn goed beschermd tegen digitale risico's.  目標1 市民はデジタルリスクから十分に保護されている。
Voorlichtingscampagnes  情報キャンペーン 
Beveiligingsadvies burgers  市民へのセキュリティアドバイス 
Betrouwbaarheid digitale overheidsvoorzieningen  デジタル・ガバメント・サービスの信頼性 
Doel 2 Burgers reageren snel en adequaat op cyberincidenten. 目標2 市民はサイバーインシデントに迅速かつ適切に対応している。
Doel 3 Leerlingen krijgen onderwijs in digitale vaardigheden gericht op veiligheid.  目標3 学生はセキュリティに重点を置いたデジタルスキル教育を受けている。
Curriculum  カリキュラム 
Doel 4 De Nederlandse arbeidsmarkt kan voldoen aan de toenemende vraag naar cybersecurity-experts. 目標4 オランダの労働市場は、サイバーセキュリティ専門家の需要増に対応できている。
Cybersecurity arbeidsmarkt  サイバーセキュリティの労働市場 

 

 

■ 参考 各国のサイバーセキュリティ戦略

■ EUの場合

European Commission

・2020.12.16 The EU's Cybersecurity Strategy in the Digital Decade

・[PDF] Factsheet

20210513-120625

 

■ ドイツの場合

Bundesministerium des Innern, für Bau und Heimat 

プレス

・2021.09.08 (press) Cybersicherheitsstrategie für Deutschland 2021 beschlossen

戦略本文

・[PDF] Cybersicherheitsstrategie für Deutschland 2021

20210926-60648

 

■ オランダの場合

・2022.10.10 Kabinet presenteert nieuwe cybersecuritystrategie

● 戦略

・2022.10.10 Nederlandse Cybersecuritystrategie 2022 - 2028

・[PDF

20221016-52157

 

● 活動計画 2022-2023

・2022.10.10 Actieplan Nederlandse Cybersecuritystrategie 2022 - 2023

・[PDF

20221016-52520

 

■ UKの場合

National Cyber Security Centre

2021.12.15 (news) Government publishes blueprint to protect UK from cyber threats

・2021.12.15 Policy paper National Cyber Strategy 2022

・[heml] National Cyber Strategy 2022

 ・[PDF] National Cyber Strategy 2022

20211217-55613

日本語訳 [Downloded]

20230221-170849

 

■ U.S. の場合

・2018.09.20 President Trump Unveils America’s First Cybersecurity Strategy in 15 Years

・[PDF] NATIONAL CYBER STRATEGY of the United States of America


20210513-121917

・仮訳 [DOCX

 

■ 日本の場合

内閣官房 - サイバーセキュリティセンター - サイバーセキュリティ戦略本部

・2021.09.28 [PDF] サイバーセキュリティ戦略

20230820-153236

・2022.06.17 サイバーセキュリティ戦略本部 第34回会合

・2021.09.27 第31回会合

 

 

🔳オーストラリアの場合

AU - Department of Home Affairs - Cyber security - Strategy

・2020.08.06 [PDF] AUSTRALIA’S CYBER SECURITY STRATEGY 2020

20230520-150216

2016年の前回のバージョン

・[PDF] Australia's Cyber Security Strategy

20230520-150443

 

■ 中国の場合

 中央网络安全和信息化委员会办公室 (Cyberspace Administration of China)

 プレス発表

戦略全文

・2016.12.27 国家网络空间安全战略

・英語訳

 ・2016.12.27 National Cyberspace Security Strategy

 

 

■ ロシアの場合(NATO CCDCOEの論文)

● NATO CCDCOE

2020 [PDF] The Past, Present, and Future of Russia’s Cyber Strategy and Forces by Bilyana Lilly and Joe Cheravitch



■ インドの場合

Data Security Council of India

・2020.08.15 [PDF] National Cyber Security Strategy 2020

20210513-131956

 

■ シンガポールの場合

● Cyber Security Agency of Singapore

・2021.10.05 Singapore Updates National Cybersecurity Strategy

The Singapore Cybersecurity Strategy 2021

・[PDF]

20211011-134730

 


まるちゃんの情報セキュリティ気まぐれ日記

・2022.10.16 オランダ サイバーセキュリティ戦略2022-2028 デジタル・セキュリティー社会の実現に向けた渇望と行動 (2022.10.10)

・2022.06.21 内閣官房 サイバーセキュリティ 2022 重要インフラのサイバーセキュリティに係る行動計画 (2022.06.17)

・2021.12.17 英国 国家サイバー戦略

・2021.10.11 シンガポール サイバーセキュリティ戦略2021

・2021.09.28 NISC サイバーセキュリティ戦略本部 第31回会合 サイバーセキュリティ戦略確定 (予算からみるとサイバーセキュリティは経済発展というよりも安全保障?)

・2021.09.26 独国 サイバーセキュリティ戦略2021 at 2021.09.08

・2021.07.15 経団連 提言「全員参加によるサイバーセキュリティの実現に向けて」

・2021.07.13 NISC 「次期サイバーセキュリティ戦略(案)」と「サイバーセキュリティ2021(案)」に関する意見の募集について

・2021.07.12 NATO関連機関が分析したサイバー空間におけるロシアの戦略 at 2021.06.11

・2021.07.07 NISC 「サイバーセキュリティ戦略本部第30回会合」と「サイバーセキュリティ対策推進会議(CISO等連絡会議)第18回会合」

・2021.06.29 IISS サイバー対応能力と国家力 日本のサイバー能力はいけていない?

・2021.06.03 サイバー領域の制度、法律、政策などについての米英の比較

・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令

・2021.05.13 サイバーセキュリティ戦略本部 次期サイバーセキュリティ戦略の骨子

・2020.08.11 オーストラリア政府 内務省がサイバーセキュリティ戦略2020を公表していましたね。。。

 

| | Comments (0)

2022.10.15

警察庁 金融庁 NISC 北朝鮮当局の下部組織とされるラザルスと呼称されるサイバー攻撃グループによる暗号資産関連事業者等を標的としたサイバー攻撃について(注意喚起)

こんにちは、丸山満彦です。

警察庁、金融庁、NISCが共同で、「北朝鮮当局の下部組織とされるラザルスと呼称されるサイバー攻撃グループによる暗号資産関連事業者等を標的としたサイバー攻撃について(注意喚起)」を公表していますね。。。

アトリビューション付きの発表ですね。。。

 

警察庁

・2022.10.14 [PDF] 北朝鮮当局の下部組織とされるラザルスと呼称されるサイバー攻撃グループによる暗号資産関連事業者等を標的としたサイバー攻撃について(注意喚起)

20221015-72155

 


北朝鮮当局の下部組織とされるラザルスと呼称されるサイバー攻撃グループによる暗号資産関連事業者等を標的としたサイバー攻撃について(注意喚起) 

北朝鮮当局の下部組織とされる、ラザルスと呼称されるサイバー攻撃グループについては、国連安全保障理事会北朝鮮制裁委員会専門家パネルが本年10月7日に公表した安全保障理事会決議に基づく対北朝鮮措置に関する中間報告書が、ラザルスと呼称されるものを含む北朝鮮のサイバー攻撃グループが、引き続き暗号資産関連企業及び取引所等を標的にしていると指摘しているところです。また、米国では本年4月 18 日、連邦捜査局(FBI)、サイバーセキュリティ・インフラセキュリティ庁(CISA)及び財務省の連名で、ラザルスと呼称されるサイバー攻撃グループの手口や対応策等の公表を行うなど、これまでに累次の注意喚起が行われている状況にあります。同様の攻撃が我が国の暗号資産交換業者に対してもなされており、数年来、我が国の関係事業者もこのサイバー攻撃グループによるサイバー攻撃の標的となっていることが強く推察される状況にあります。

このサイバー攻撃グループは、

・ 標的企業の幹部を装ったフィッシング・メールを従業員に送る

・ 虚偽のアカウントを用いた SNS を通じて、取引を装って標的企業の従業員に接近する

などにより、マルウェアをダウンロードさせ、そのマルウェアを足がかりにして被害者のネットワークへアクセスする、いわゆるソーシャルエンジニアリングを手口として使うことが確認されています。その他様々な手段を利用して標的に関連するコンピュータネットワークを侵害し、暗号資産の不正な窃取に関与してきているとされ、今後もこのような暗号資産の窃取を目的としたサイバー攻撃を継続するものと考えられます。

また、最近では分散型取引所による取引など暗号資産の取引も多様化しており、秘密鍵をネットワークから切り離して管理するなど、事業者だけでなく個人のセキュリティ対策の強化も重要となっています。

暗号資産取引に関わる個人・事業者におかれましては、暗号資産を標的とした組織的なサイバー攻撃が実施されていることに関して認識を高く持っていただくとともに、以下に示すリスク低減のための対処例を参考に適切にセキュリティ対策を講じていただくようお願いいたします。あわせて、不審な動き等を検知した際には、速やかに所管省庁、警察、セキュリティ関係機関等に情報提供いただきますよう重ねてお願いいたします。

 

【リスク低減のための対処例】

前述のサイバー攻撃グループは、多様な手法、手口を駆使しているとされるところ、次のような対策の実施を推奨します。

(1) この種のサイバー攻撃に対する優先度の高い対策

○ ソーシャルエンジニアリングに関する意識の向上、ユーザ教育の実施

ソーシャルエンジニアリングの手法・技術について理解し、常に注意を払う。例えば、電子メールを介したマルウェア感染のリスクを低減するため、電子メールの添付ファイル又はハイパーリンクを不用意に開封又はクリックしない。企業・組織等においては、職員のトレーニングの実施を検討する。

        例:SNS のプロフィールに違和感や偽りがないか。

ファイルをダウンロードする際の配信元の確認

外部からファイルをダウンロードする際には、配信元が信頼できるソースであることを常に確認する。特に暗号資産関連のアプリケーションは真正性が確認できる配信元以外からダウンロードしない。

        例:配信元の Web サイトは別サイトを模したものや、登録後間もないドメインではないか。

社内資料のやり取りに社外の URL を使用していないか。

秘密鍵のオフライン環境での保管

暗号資産への不正アクセスを防止するため、秘密鍵をインターネットから切り離されたハードウェアウォレット等のデバイス上などで保管する。

(2) この種のサイバー攻撃に対して効果的な対策

○ 電子メールに関する対策の実装

システム管理者等においては、電子メールの添付ファイルやハイパーリンクのスキャンを行う。

ドメインとの通信に関する対策の実装

レピュテーションの低いドメインや登録後間もないドメインとの通信について確認や制限を行う。

アプリケーションセキュリティの強化

マルウェア感染のリスクを低減するため、システム管理者等は、アプリケーション許可リストを用いて、許可されていないプログラムの実行を禁止する。また、Office ファイルのマクロ機能については、必要がなければ無効にする。

(3) 多様な手法、手口に備えたその他の一般的な対策

○ セキュリティパッチ管理の適切な実施

ソフトウェアや機器の脆弱性に対して、迅速にセキュリティパッチを適用する。パッチ適用を可能な限り迅速化し、適用漏れをなくすため、脆弱性管理やパッチ管理を行うプログラムの導入を検討する。

端末の保護(いわゆるエンドポイント・プロテクション等)

端末(PC、タブレット端末、スマートフォン等)のセキュリティ機能の活用や、セキュリティ対策ソフトの導入を行う。

ソフトウェア等の適切な管理・運用、ネットワーク・セグメンテーション

ソフトウェア及び機器のリストを管理し、不要と判断するものは排除する。また役割等に基づいてネットワークを分割する。

本人認証の強化、多要素認証の実装

パスワードスプレー攻撃やブルートフォース攻撃によって認証が破られるリスクを低減するために、パスワードは十分に長く複雑なものを設定する。また、複数の機器やサービスで使い回さない。システム管理者等においては、多要素認証を導入し本人認証をより強化する。また、不正アクセスを早期に検知できるようにするために、ログイン試行を監視する。

アカウント等の権限の適切な管理・運用

アカウントやサービスの権限はそのアカウント等を必要とする業務担当者にのみ付与する。特権アカウント等の管理・運用には特に留意する。

侵害の継続的な監視

ネットワーク内で不審な活動が行われていないか継続的に監視を行う。たとえば、業務担当者以外がシステムやネットワークの構成に関する資料へアクセスするといった通常の行動から外れた活動や、外部の様々な脅威情報と一致するような不審な活動の監視を行う。

インシデント対応計画、システム復旧計画の作成等

インシデント発生時に迅速な対応をとれるように、インシデント対応の手順や関係各所との連絡方法等を記した対応計画を予め作成し、随時見直しや演習を行う。また包括的な事業継続計画の一部としてシステム復旧計画の作成等を行う。

フィッシングサイトへの注意

     暗号資産取引所等を装ったフィッシングサイトに注意を払う。企業・組織等において自社を装ったフィッシングサイトを把握した場合は、利用者等への注意喚起を行う。

 

【参考資料】

「安保理決議に基づく対北朝鮮措置に関する中間報告書(2022)」(令和4年10月7日公表国連安保理北朝鮮制裁委員会専門家パネル)                  

https://undocs.org/S/2022/668

TraderTraitor: North Korean State-Sponsored APT Targets Blockchain Companies」(令和4年4月18日)

https://www.cisa.gov/uscert/ncas/alerts/aa22-108a

AppleJeus: Analysis of North Korea’s Cryptocurrency Malware」(令和3年2月17日)

https://www.cisa.gov/uscert/ncas/alerts/aa21-048a

「現下の情勢を踏まえたサイバーセキュリティ対策の強化について(注意喚起)」(令和4年3月24日 経済産業省、総務省、警察庁、NISC

https://www.nisc.go.jp/pdf/press/20220324NISC press.pdf 

「サイバーセキュリティ対策の強化について(注意喚起)」(令和4年3月1日 経済産業省、金融庁、総務省、厚生労働省、国土交通省、警察庁、NISC

https://www.nisc.go.jp/pdf/press/20220301NISC press.pdf

「昨今の情勢を踏まえたサイバーセキュリティ対策の強化について(注意喚起)」(令和4年2月23日 経済産業省)

https://www.meti.go.jp/press/2021/02/20220221003/20220221003-1.pdf


 

 

 

| | Comments (0)

経団連 サイバーセキュリティ経営宣言 2.0 (2022.10.11)

こんにちは、丸山満彦です。

経団連が、2022.10.11に政党の政策評価を含めて色々と発表していますが、、、それに混じって?「経団連サイバーセキュリティ経営宣言 2.0」を発表していますね。。。2018年に初版を発表しているので、4年ぶりの改訂ということですかね。。。

オリンピックを意識した書き方は無くして、DX推し、サプライチェーン推し、って感じでしょうか???

 

日本経済団体連合会

・2022.10.11 経団連サイバーセキュリティ経営宣言 2.0

・[PDF

20221015-70038

初版との比較を。。。

経団連サイバーセキュリティ経営宣言 2.0 経団連サイバーセキュリティ経営宣言
2022.10.11 2018.03.16
新型コロナウイルス感染症を受けた社会経済活動の変容やデジタルトランスフォーメーション(DX)の進展に伴い、各産業にとどまらず社会全体でサイバー空間とフィジカル空間の融合が進んでいる。一方、サイバー攻撃を受けた際の被害がフィジカル空間にも波及し、事業活動や国民生活に甚大な影響を及ぼす事例が後を絶たない。取引先や海外子会社等のサプライチェーンを経由したサイバー攻撃も増加傾向にある。また、地政学的緊張の高まりがサイバー空間にも波及する中、サイバーセキュリティは国家安全保障に関わる最重要領域の一つとなっている。 最新テクノロジーとデータを活用して社会全体の生産性向上と課題解決を図る「Society 5.0」に向け、あらゆる場面でITとの融合が進む一方、サイバー空間の秩序や安全に脅威を与える、著しい悪意を持った行為も多発している。いまやすべての企業にとって価値創造とリスクマネジメントの両面からサイバーセキュリティ対策に努めることが経営の重要課題となっている。
こうした状況下、Society 5.0 for SDGsの実現に向けた価値創造やバリューチェーンの構築、さらにはリスクマネジメントの観点から、実効あるサイバーセキュリティ対策を講じることは、いまやすべての企業にとって、経営のトッププライオリティと言っても過言ではない。 重要インフラの多くを担い、さまざまな製品やサービスを提供する経済界は、主体的に対策を講じる必要性を強く自覚する。
経済界は、全員参加でサイバーセキュリティ対策を推進し、安心・安全なサイバー空間の構築に貢献すべく、以下の事項の実践に努めることを宣言する。 経済界は、全員参加でサイバーセキュリティ対策を推進し、安心・安全なサイバー空間の構築に貢献する。サイバー攻撃が激化する2020年の東京オリンピック・パラリンピック競技大会までを重点取り組み期間として、以下の事項の実践に努めることを宣言する。
1.経営課題としての認識 1.経営課題としての認識
経営者自らが最新情勢への理解を深めることを怠らず、DXを進めるうえで必須となるサイバーセキュリティを投資と位置づけて積極的な経営に取り組む。 経営者自らが最新情勢への理解を深めることを怠らず、サイバーセキュリティを投資と位置づけて積極的な経営に取り組む。
経営者自らがデジタル化に伴うリスクと向き合い、サプライチェーン全体を俯瞰したサイバーセキュリティの強化を経営の重要課題として認識し、リーダーシップを発揮しつつ、自らの責任で対策に取り組む。 経営者自らが現実を直視してリスクと向き合い、経営の重要課題として認識し、経営者としてのリーダーシップを発揮しつつ、自らの責任で対策に取り組む。
2.経営方針の策定と意思表明 2.経営方針の策定と意思表明
特定・防御だけでなく、検知・対応・復旧も重視した上で、経営方針やインシデントからの早期回復に向けたBCP(事業継続計画)の策定を行う。 特定・防御だけでなく、検知・対応・復旧も重視した上で、経営方針やインシデントからの早期回復に向けたBCP(事業継続計画)の策定を行う。
経営者が率先して社内外のステークホルダーに意思表明を行うとともに、認識するリスクとそれに応じた取り組みを各種報告書に記載するなど開示に努める。 経営者が率先して社内外のステークホルダーに意思表明を行うとともに、認識するリスクとそれに応じた取リ組みを各種報告書に自主的に記載するなど開示に努める。
3.社内外体制の構築・対策の実施 3.社内外体制の構築・対策の実施
予算・人員等のリソースを十分に確保するとともに、社内体制を整え、人的・技術的・物理的等の必要な対策を講じる。 予算・人員等のリソースを十分に確保するとともに、社内体制を整え、人的・技術的・物理的等の必要な対策を講じる。
経営・企画管理・技術者・従業員の各層における人材育成と必要な教育を行う。 経営・企画管理・技術者・従業員の各層における人材育成と必要な教育を行う。
サイバーセキュリティ対策のガイドライン・フレームワークの活用や、政府によるサイバーセキュリティ対策支援活動との連携等を通じて、取引先や委託先、海外も含めたサプライチェーン対策に努める。 取引先や委託先、海外も含めたサプライチェーン対策に努める。
4.対策を講じた製品・システムやサービスの社会への普及 4.対策を講じた製品・システムやサービスの社会への普及
製品・システムやサービスの開発・設計・製造・提供をはじめとするさまざまな事業活動において、サイバーセキュリティ対策に努める。 製品・システムやサービスの開発・設計・製造・提供をはじめとするさまざまな事業活動において、サイバーセキュリティ対策に努める。
5.安心・安全なエコシステムの構築への貢献 5.安心・安全なエコシステムの構築への貢献
関係官庁・組織・団体等との連携のもと、各自の積極的な情報提供による情報共有や国内外における対話、人的ネットワーク構築を図る。 関係官庁・組織・団体等との連携のもと、各自の積極的な情報提供による情報共有や国内外における対話、人的ネットワーク構築を図る。
各種情報を踏まえた対策に関して注意喚起することによって、サプライチェーン全体、ひいては社会全体のサイバーセキュリティ強化に寄与する。 各種情報を踏まえた対策に関して注意喚起することによって、社会全体のサイバーセキュリティ強化に寄与する。

 

初版はこちら。。。

・2018.03.16 経団連サイバーセキュリティ経営宣言

・[PDF]

20221015-70244

 

| | Comments (0)

2022.10.14

米国 国家安全保障戦略

こんにちは、丸山満彦です。

米国が国家安全保障戦略を公表していますね。。。

3つのポイントがありますね。。。

Invest in the underlying sources and tools of American power and influence; ・米国の力と影響力の根本的な源泉と手段に投資する。
Build the strongest possible coalition of nations to enhance our collective influence to shape the global strategic environment and to solve shared challenges; and ・可能な限り強力な国家連合を構築し、世界の戦略的環境を形成し、共有する課題を解決するための我々の集団的影響力を強化する。
Modernize and strengthen our military so it is equipped for the era of strategic competition. ・わが国の軍隊を近代化・強化し、戦略的競争の時代に対応できるようにする。

 

日本もこの影響を受けるでしょうから、目を通していても良いかもですね。。。

中国は競争相手であり、協力できるところがあれば、協力するとあります。そして、ロシアも中国も党や政府とは競争するが、国民同士は仲良くやろうという感じです。。。

 

The White House

・2022.10.13 FACT SHEET: The Biden-Harris Administration’s National Security Strategy

FACT SHEET: The Biden-⁠Harris Administration’s National Security Strategy ファクトシート:バイデン-ハリス政権の国家安全保障戦略
President Biden’s National Security Strategy outlines how the United States will advance our vital interests and pursue a free, open, prosperous, and secure world. We will leverage all elements of our national power to outcompete our strategic competitors; tackle shared challenges; and shape the rules of the road. バイデン大統領の国家安全保障戦略は、米国がいかにして重要な利益を推進し、自由で開かれた、繁栄し、安全な世界を追求するかを概説している。我々は、戦略的な競争相手に打ち勝つために国力のあらゆる要素を活用し、共有の課題に取り組み、世界のルールを形成していく。
The Strategy is rooted in our national interests: to protect the security of the American people, to expand economic opportunity, and to realize and defend the democratic values at the heart of the American way of life. In pursuit of these objectives, we will: この戦略は、米国民の安全を守り、経済的機会を拡大し、米国の生活様式の中核にある民主的価値を実現し、守る、という我々の国益に根ざしている。これらの目標を達成するために、我々は以下のことを行う。
Invest in the underlying sources and tools of American power and influence; ・米国の力と影響力の根本的な源泉と手段に投資する。
Build the strongest possible coalition of nations to enhance our collective influence to shape the global strategic environment and to solve shared challenges; and ・可能な限り強力な国家連合を構築し、世界の戦略的環境を形成し、共有する課題を解決するための我々の集団的影響力を強化する。
Modernize and strengthen our military so it is equipped for the era of strategic competition. ・わが国の軍隊を近代化・強化し、戦略的競争の時代に対応できるようにする。
COOPERATION IN THE AGE OF COMPETITION 競争時代における協力
In the early years of this decisive decade, the terms of geopolitical competition will be set while the window of opportunity to deal with shared challenges will narrow. We cannot compete successfully to shape the international order unless we have an affirmative plan to tackle shared challenges, and we cannot do that unless we recognize how heightened competition affects cooperation and act accordingly. この決定的な 10 年の初期には、地政学的競争の条件が設定される一方で、共通の課題に対処する機会 の窓は狭くなる。我々は、共有する課題に取り組むための確たる計画を持たない限り、国際秩序を形成するための競争を成功させることはできない。また、競争の激化が協力にどのような影響を及ぼすかを認識し、それに従って行動しない限り、それを実現することはできない。
Strategic Competition. The most pressing strategic challenge we face as we pursue a free, open, prosperous, and secure world are from powers that layer authoritarian governance with a revisionist foreign policy. 戦略的競争。 自由で開かれた、繁栄した、安全な世界を追求するうえで、われわれが直面する最も差し迫った戦略的課題は、権威主義的統治と修正主義的外交政策を重ねる大国によるものである。
・We will effectively compete with the People’s Republic of China, which is the only competitor with both the intent and, increasingly, the capability to reshape the international order, while constraining a dangerous Russia. ・われわれは、中華人民共和国と効果的に競争する。中華人民共和国は、危険なロシアを抑制しつつ、国際秩序を再構築する意図と、次第にその能力を備えた唯一の競争相手である。
・Strategic competition is global, but we will avoid the temptation to view the world solely through a competitive lens, and engage countries on their own terms. ・戦略的競争はグローバルなものであるが、我々は、競争というレンズを通してのみ世界を見る誘惑を避け、それぞれの国の事情に応じた関わり方をする。
Shared Challenges. While this competition is underway, people all over the world are struggling to cope with the effects of shared challenges that cross borders—whether it is climate change, food insecurity, communicable diseases, or inflation. These shared challenges are not marginal issues that are secondary to geopolitics. They are at the very core of national and international security and must be treated as such. 課題の共有。このような競争が行われている一方で、世界中の人々は、気候変動、食糧不安、伝染病、インフレなど、国境を越えた共通の課題の影響に対処するために苦闘している。これらの課題は、地政学の二の次ではなく、国家の根幹に関わる問題である。国や国際社会の安全保障の中核をなすものであり、そのように扱われなければならない。
・We are building the strongest and broadest coalition of nations to enhance our collective capacity to solve these challenges and deliver for the American people and those around the world. ・我々は、これらの課題を解決し、米国民と世界中の人々のために成果を上げるための集団的能力を強化するため、最も強力で広範な国家連合を構築している。
・To preserve and increase international cooperation in an age of competition, we will pursue a dual-track approach. On one track, we will work with any country, including our competitors, willing to constructively address shared challenges within the rules-based international order and while working to strengthen international institutions. On the other track, we will deepen cooperation with democracies at the core of our coalition, creating a latticework of strong, resilient, and mutually reinforcing relationships that prove democracies can deliver for their people and the world. ・競争の時代にあって国際協力を維持し、拡大するために、われわれは二本立てのアプローチを追求する。一つは、ルールに基づく国際秩序の下で、国際機関の強化に努めつつ、共有する課題に建設的に取り組む意思のある国とは、競争相手を含め、いかなる国とも協力することである。もう1つは、民主主義国家との協力を深め、強固でレジリエンスの高い、相互に強化し合う格子状の関係を構築し、民主主義国家が国民と世界のために貢献できることを証明していくことである。
INVESTING AT HOME 自国への投
The Biden-Harris Administration has broken down the dividing line between domestic and foreign policy because our strength at home and abroad are inextricably linked. The challenges of our age, from strategic competition to climate change, require us to make investments that sharpen our competitive edge and bolster our resilience. バイデン-ハリス政権は、国内政策と外交政策の間の境界線を取り払った。なぜなら、国内と海外の強さは表裏一体であるからである。戦略的競争から気候変動に至るまで、この時代の課題は、競争力を高め、レジリエンスを強化するための投資を必要とする。
・Our democracy is at the core of who we are and is a continuous work in progress. Our system of government enshrines the rule of law and strives to protect the equality and dignity of all individuals. As we strive to live up to our ideals, to reckon with and remedy our shortcomings, we will inspire others around the world to do the same. ・我々の民主主義は、我々自身の核心であり、絶えず進行中の作業です。我々の政治体制は、法の支配を明文化し、すべての個人の平等と尊厳を守るよう努力しています。我々は理想を実現するために努力し、自らの欠点を認識し、それを改善することで、世界中の人々に同じことをするように刺激を与えていきます。
・We are complementing the innovative power of the private sector with a modern industrial strategy that makes strategic public investments in our workforce, strategic sectors, and supply chains, especially in critical and emerging technologies. ・我々は、労働力、戦略的分野、サプライチェーン、特に重要な新興技術に戦略的な公共投資を行う近代的な産業戦略によって、民間部門の革新力を補っている。
・A powerful U.S. military helps advance and safeguard vital U.S. national interests by backstopping diplomacy, confronting aggression, deterring conflict, projecting strength, and protecting the American people and their economic interests. We are modernizing our military, pursuing advanced technologies, and investing in our defense workforce to best position America to defend our homeland, our allies, partners, and interests overseas, and our values across the globe. ・強力な米軍は、外交を支え、侵略に立ち向かい、紛争を抑止し、力を誇示し、米国民とその経済的利益を守ることで、米国の重要な国益を促進し保護するのに役立つ。我々は、米国が母国、同盟国、パートナー、海外の利益、そして世界中の我々の価値を守るために、軍の近代化、先端技術の追求、そして国防人材への投資を進めている。
OUR ENDURING LEADERSHIP 我々の永続的なリーダーシップ
The United States will continue to lead with strength and purpose, leveraging our national advantages and the power of our alliances and partnerships. We have a tradition of transforming both domestic and foreign challenges into opportunities to spur reform and rejuvenation at home. The idea that we should compete with major autocratic powers to shape the international order enjoys broad support that is bipartisan at home and deepening abroad. 米国は、国家の優位性と同盟・パートナーシップの力を活用し、強さと目的を持ってリードし続ける。米国には、国内外の課題を、自国の改革と若返りに拍車をかける機会に変えてきた伝統がある。国際秩序を形成するために独裁的な大国と競争すべきだという考え方は、国内では超党派の幅広い支持を得ており、海外でもその傾向が強まっている。
・Our alliances and partnerships around the world are our most important strategic asset that we will deepen and modernize for the benefit of our national security. ・世界中の同盟とパートナーシップは、わが国の最も重要な戦略的資産であり、わが国の安全保障に資するよう、これを深化させ、近代化する。
・We place a premium on growing the connective tissue on technology, trade and security between our democratic allies and partners in the Indo-Pacific and Europe because we recognize that they are mutually reinforcing and the fates of the two regions are intertwined. ・我々は、インド太平洋と欧州の民主的な同盟国やパートナーとの間で、技術、貿易、安全保障に関する結合組織を拡大することに重点を置いている。なぜなら、これらは相互に補強し合い、2つの地域の運命が絡み合っていることを認識しているからである。
・We are charting new economic arrangements to deepen economic engagements with our partners and shaping the rules of the road to level the playing field and enable American workers and businesses—and those of partners and allies around the world—to thrive. ・我々は、パートナーとの経済的関与を深めるために新たな経済的取り決めを図り、競争の場を公平にし、米国の労働者と企業、そして世界中のパートナーや同盟国の企業が繁栄できるようにするための道路上の規則を形成している。
・As we deepen our partnerships around the world, we will look for more democracy, not less, to shape the future. We recognize that while autocracy is at its core brittle, democracy’s inherent capacity to transparently course-correct enables resilience and progress. ・我々は、世界中でパートナーシップを深めるとともに、未来を形作るために、より少ない民主主義ではなく、より多 くの民主主義を模索する。独裁政治はその根幹において脆弱であるが、民主主義に固有の透明性のある軌道修正能力がレジリエンスと進歩を可能にすることを、我々は認識している。
AFFIRMATIVE ENGAGEMENT 積極的関与
The United States is a global power with global interests; we are stronger in each region because of our engagement in the others. We are pursuing an affirmative agenda to advance peace and security and to promote prosperity in every region. 米国は世界的な利益を有するグローバルな大国であり、他の地域への関与によって、それぞれの地域でより強くなっている。我々は、平和と安全を推進し、すべての地域において繁栄を促進するために、積極的なアジェンダを追求している。
・As an Indo-Pacific power, the United States has a vital interest in realizing a region that is open, interconnected, prosperous, secure, and resilient. We are ambitious because we know that we and our allies and partners hold a common vision for the region’s future. ・インド太平洋地域の大国として、米国は、開かれた、相互接続された、繁栄し、安全で、レジリエンスに富む地域を実現することに重大な関心を持っている。われわれが野心的であるのは、われわれと同盟国およびパートナーが、この地域の将来について共通のビジョンを持っていることを知っているからである。
・With a relationship rooted in shared democratic values, common interests, and historic ties, the transatlantic relationship is a vital platform on which many other elements of our foreign policy are built. To effectively pursue a common global agenda, we are broadening and deepening the transatlantic bond. ・共通の民主的価値観、共通の利益、そして歴史的な絆に根ざした大西洋の関係は、我々の外交政策の他の多くの要素を支える重要な基盤である。共通のグローバル・アジェンダを効果的に追求するために、我々は大西洋の絆を広げ、深めている。
・The Western Hemisphere directly impacts the United States more than any other region so we will continue to revive and deepen those partnerships to advance economic resilience, democratic stability, and citizen security. ・西半球は、他のどの地域よりも米国に直接影響を与えるため、我々は、経済的レジリエンス、民主主義の安定、および市民の安全を促進するために、こうしたパートナーシップを復活させ、深めていくつもりである。
・A more integrated Middle East that empowers our allies and partners will advance regional peace and prosperity, while reducing the resource demands the region makes on the United States over the long term. ・同盟国やパートナーに力を与える中東の統合は、地域の平和と繁栄を促進し、この地域が米国にもたらす資源需要を長期的に減少させるだろう。
・In Africa, the dynamism, innovation, and demographic growth of the region render it central to addressing complex global problems. ・アフリカは、そのダイナミズム、革新性、人口増加により、複雑な地球規模の問題に対処するための中心的な地域となっている。

 

・[PDF] NATIONAL SECURITY STRATEGY October 2022

20221014-34810

・[DOCX] 仮訳

 

目次...

PART I: THE COMPETITION FOR WHAT COMES NEXT 第I部: 次に来るもののための競争
 Our Enduring Vision  不滅のビジョン
 Our Enduring Role  我々の変わらぬ役割
 The Nature of the Competition Between Democracies and Autocracies  民主主義国家と独裁国家の競争の本質 
 Cooperating to Address Shared Challenges in an Era of Competition  競争の時代、共通の課題に協力して取り組む 
 Overview of Our Strategic Approach  戦略的アプローチの概要
PART II: INVESTING IN OUR STRENGTH 第II部: 強さへの投資
Investing in Our National Power to Maintain a Competitive Edge 競争力を維持するための国力への投資
 Implementing a Modern Industrial and Innovation Strategy  現代的な産業・イノベーション戦略の実施
 Investing In Our People  人材への投資
 Strengthening Our Democracy  民主主義を強化する