« October 2022 | Main | December 2022 »

November 2022

2022.11.30

米国 国防総省 ゼロトラスト戦略とロードマップ (2022.11.07)

こんにちは、丸山満彦です。

米国国防総省がゼロトラスト戦略とロードマップを公表していますね。。。

2027年に向けて。。。と言う感じですね。。。

しかし、CIOの図書館の情報はたくさんありますね。。。

 

U.S. Department of Defense - Chief Information Officer Library

・2022.11.17 [PDF] DoD Zero Trust Strategy

20221130-23312

目次...

Executive Summary エグゼクティブサマリー
Introduction 序文
Vision ビジョン
DoD Zero Trust Approach 国防総省のゼロ・トラスト・アプローチ
Strategic Assumptions 戦略的前提
Strategic Goals and Objectives 戦略的な目標と目的
Execution Approach 実行アプローチ
Summary 概要
APPENDIX A: DoD Zero Trust Capabilities (Target & Advanced Levels) 附属書 A:国防総省のゼロ・トラスト能力(目標レベル、上級レベル)
APPENDIX B: DoD Zero Trust Activities (Target & Advanced Levels) 附属書 B:国防総省のゼロ・トラスト活動(目標レベル、上級レベル)
APPENDIX C: DoD Zero Trust Capability Roadmap (by Fiscal Year) 附属書 C:国防総省のゼロ・トラスト・ケイパビリティ・ロードマップ(年度別)
APPENDIX D: DoD Zero Trust Strategic and Execution Milestones (FY2023 – FY2024) 附属書 D.国防総省のゼロ・トラスト戦略及び実行マイルストーン(2023年度~2024年度)
APPENDIX E: References 附属書 E:参考文献
APPENDIX F: Acronyms / Definitions 附属書 F:略語/定義


エグゼクティブサマリー

Executive Summary  エグゼクティブサマリー 
"Incremental improvements will not give us the security we need; instead, the Federal Government needs to make bold changes and significant investments in order to defend the vital institutions that underpin the American way of life."  「漸進的な改善では、私たちが必要とする安全保障を得ることはできない。連邦政府は、米国の生活様式を支える重要な制度を守るために、大胆な変更と大規模な投資を行う必要がある。」
— Executive Order on Improving the Nation’s Cybersecurity 12 May 2021  ・国家のサイバーセキュリティの改善に関する大統領令 2021年5月12日 
Five Years into the Future  5年後の未来へ 
The Department of Defense's (DoD) risk-based Zero Trust Framework employed across the Joint Force and the defense ecosystem protects our information systems[1] from increasingly sophisticated attacks as our adversaries seek to affect our warfighters and DoD mission success. Zero Trust principles are now integrated into each of the five cybersecurity functions that represent key elements of a successful and holistic cybersecurity program – Identify, Protect, Detect, Respond, and Recover.[2] As a result, DoD will successfully mitigate attempts to deny, degrade, disrupt, deceive, or destroy our information systems. Operators at all levels are confident that the data accessed, the assets deployed, the applications used, and the services provided are secured and resilient.  統合軍と防衛エコシステムに採用されている国防総省(DoD)のリスクベースのゼロ・トラスト・フレームワークは、敵が戦闘員と国防総省のミッションの成功に影響を与えようとする中、ますます巧妙になる攻撃から我々の情報システム[1]を保護する。ゼロ・トラストの原則は、現在、成功した全体的なサイバーセキュリティ・プログラムの重要な要素である、識別、保護、検出、対応、回復の5つのサイバーセキュリティ機能のそれぞれに統合されている。 その結果、国防省は、情報システムを拒否、劣化、混乱、欺瞞、破壊しようとする試みをうまく軽減することができるようになった。あらゆるレベルのオペレーターは、アクセスするデータ、配備された資産、使用するアプリケーション、提供するサービスが安全でレジリエンスに優れていると確信している。
Today  今日 
The Department's Information Enterprise is under wide scale and persistent attack from known and unknown malicious actors. The Department’s most consequential strategic competitor and the pacing challenge for the Department, the People’s Republic of China,[3] as well as other state-sponsored adversaries and individual malicious actors often breach the Department’s defensive perimeter and roam freely within our information systems. The Department must act now.  米国防総省の情報エンタープライズは、既知および未知の悪質な行為者から大規模かつ持続的な攻撃を受けている。米国防省にとって最も重要な戦略的競合相手であり、ペースメーカーでもある中華人民共和国[3]をはじめ、国家が支援する敵対勢力や個人の悪質な行為者が国防総省の防衛境界を突破し、情報システムの中を自由に動き回ることがよくある。国防総省は今すぐ行動を起こさなければならない。
Vulnerabilities exposed by data breaches inside and outside the Department of Defense demonstrate the need for a new, more robust cybersecurity framework that facilitates well-informed risk-based decisions.[4] Zero Trust security eliminates the traditional idea of perimeters, trusted networks, devices, personas, or processes and shifts to multi-attribute-based levels of confidence that enable authentication and authorization policies founded on the concept of least privileged access. Implementing the Zero Trust Framework requires designing a more efficient architecture that enhances security, the user experience, and overall mission performance.   国防総省内外のデータ侵害によって露呈した脆弱性は、十分な情報に基づくリスクベースの意思決定を促進する、より堅牢な新しいサイバーセキュリティの枠組みの必要性を示している[4]。ゼロトラストセキュリティは、従来の境界、信頼できるネットワーク、デバイス、人物、プロセスという考え方を排除し、最小特権アクセスの概念に基づいた認証および承認ポリシーを可能にする複数属性ベースの信頼レベルへとシフトする。Zero Trustフレームワークを導入するには、セキュリティ、ユーザーエクスペリエンス、ミッションパフォーマンス全体を向上させる、より効率的なアーキテクチャを設計する必要がある。 
Zero Trust uses continuous multi-factor authentication, micro-segmentation, advanced encryption, endpoint security, analytics, and robust auditing, among other capabilities, to fortify data,  ゼロ・トラストは、継続的な多要素認証、マイクロセグメンテーション、高度な暗号化、エンドポイントセキュリティ、分析、堅牢な監査などの機能を使って、データを強化する。
applications, assets, and services to deliver cyber resiliency. The Department is evolving to become a more agile, more mobile, cloud-supported workforce, collaborating with the entirety of DoD enterprise, including federal and non-federal organizations and mission partners working on a variety of missions. The Zero Trust Framework will reduce the attack surface, reduce risk, offer opportunities to manage the full range of risks (e.g., policy, programming, budgeting, execution, cybersecurity-specific, and others) and enable more effective data-sharing in partnership environments. It will also ensure that any adversary damage is quickly contained and remediated if a device, network, user, or credential is compromised.   データ、アプリケーション、資産、サービスを強化し、サイバーレジリエンスを実現する。国防総省は、より機敏に、よりモバイルに、クラウドをサポートする労働力となるべく進化しており、さまざまなミッションに取り組む連邦政府と非連邦政府組織、ミッションパートナーを含む国防総省エンタープライズ全体と協働している。ゼロ・トラスト・フレームワークは、攻撃対象領域を減らし、リスクを低減し、あらゆるリスク(政策、計画、予算、実行、サイバーセキュリティ特有のもの、その他)を管理する機会を提供し、パートナーシップ環境においてより効果的なデータ共有を可能にするものである。また、デバイス、ネットワーク、ユーザー、クレデンシャルが侵害された場合、敵の被害を迅速に食い止め、修復できるようにする。 
This strategy lays out the Department's vision for Zero Trust and sets a path to achieve it. It includes the strategic assumptions and principles that will inform and guide the adoption of ZT and the strategic goals and objectives. The four strategic goals outlined in this strategy are: 1. Zero Trust Culture Adoption, 2. DoD Information Systems Secured and Defended, 3. Technology Acceleration, and 4. Zero Trust Enablement. The strategy also refers to the seven DoD Zero Trust Pillars, which is the basis for the strategy's Zero Trust Capability Roadmap, a capabilities-based execution plan, and the DoD Zero Trust and Cybersecurity Reference Architectures. Finally, this strategy provides highlevel guidance on resourcing and acquisition, measurement and metrics, and governance. The appendices include strategic and execution milestones, as well as references and definitions.   この戦略では、ゼロ・トラストに対する省庁のビジョンを示し、それを達成するための道筋を定めている。この戦略には、ZT の導入に情報を提供し導く戦略的前提および原則と、戦略的目標および目的が含まれている。この戦略で概説されている4つの戦略目標は以下の通りである。1. ゼロ・トラスト文化の採用、2. DoD情報システムの安全確保と防衛、3. テクノロジーの加速、4. ゼロ・トラストの実現である。Zero Trust Enablement(ゼロ・トラストの実現)である。また、この戦略では、7つのDoD Zero Trust Pillarsに言及しており、これは、この戦略のZero Trust Capability Roadmap、能力ベースの実行計画、DoD Zero Trust and Cybersecurity Reference Architecturesの基礎になっている。最後に、この戦略は、人材調達と買収、測定とメトリック、およびガバナンスに関するハイレベルなガイダンスを提供する。附属書には、戦略および実行のマイルストーン、参考文献、定義が記載されている。 
To accelerate Zero Trust implementation within the DoD Information Enterprise, the Department must continue to examine how to streamline and enforce resource priorities to meet the requirements envisioned by this strategy. In January 2022, the DoD CIO established a Zero Trust Portfolio Management Office (PfMO) to orchestrate DoD-wide Zero Trust execution, simplify and streamline existing policies and coordinate the prioritization of resources to accelerate Zero Trust adoption within the DODIN enterprise.  国防総省の情報エンタープライズにおけるゼロ・トラストの実施を加速するために、同省は、この戦略で想定される要件を満たすために、リソースの優先順位を合理化して実施する方法を引き続き検討する必要がある。2022年1月、国防総省CIOは、国防総省全体のゼロ・トラスト実行を指揮し、既存のポリシーを簡素化して合理化し、リソースの優先順位を調整して、DODINエンタープライズ内のゼロ・トラスト導入を加速するために、ゼロ・トラスト・ポートフォリオ管理オフィス(PfMO)を設立した。
Figure 1 below depicts a concise view of the vision, goals, and objectives the Department will achieve by implementing the strategy.[5]   以下の図1は、戦略を実施することによって国防総省が達成するビジョン、目標、目的を簡潔に表したものである[5]。 
Figure 1. DoD Zero Trust Strategy-at-a-Glance  図1. DoDゼロトラスト戦略-一覧 
20221130-24246
[1] Information system includes “a discrete set of information resources organized for the collection, processing, maintenance, use, sharing, dissemination, or disposition of information”. See DoD Instruction (DoDI) 5000.82, Acquisition of Information Technology (IT), 21 Apr 2020, p. 17.   [1] 情報システムには、「情報の収集、処理、維持、使用、共有、普及、または処分のために組織された情報資源の個別の集合」が含まれる。DoD Instruction (DoDI) 5000.82, Acquisition of Information Technology (IT), 21 Apr 2020, p.17 を参照のこと。 
[2] See US National Institute of Standards and Technology (NIST), Special Publication 1271, Getting Started with the NIST Cybersecurity Framework: A Quick Start Guide, 6 August 2021, for descriptions of cybersecurity core functions and a set of guidelines for mitigating organizational cybersecurity risks.   [2] 米国国立標準技術研究所(NIST)、特別刊行物 1271、Getting Started with the NIST Cybersecurity Framework を参照すること。A Quick Start Guide, 6 August 2021, サイバーセキュリティの中核機能の説明と、組織のサイバーセキュリティリスクを軽減するためのガイドライン一式を参照。 
[3] Fact Sheet: 2022 National Defense Strategy, 28 March 2022.  [3] ファクトシート。2022年国家防衛戦略、2022年3月28日。
[4] Risk” refers to probability of an undesired event or condition and 2) the consequences, impact, or severity of the undesired event, were it to occur. See DoD Risk, Issue, and Opportunity Management Guide for Defense Acquisition Programs, January 2017, p. 3  [4] リスクとは、望ましくない事象や状態の発生確率と、2)望ましくない事象が発生した場合の結果、影響、または重大性のことである。DoD Risk, Issue, and Opportunity Management Guide for Defense Acquisition Programs, January 2017, p.3 を参照。
21-Oct-22 21-Oct-22
[5] See Figure 4 in this document for an outcome description of each goal and objective.  [5] 各目標と目的の成果の説明については、本書の図 4 を参照のこと。
21-Oct-22 10月21日-22日

 

プレス...

・2022.11.22 Department of Defense Releases Zero Trust Strategy and Roadmap

Department of Defense Releases Zero Trust Strategy and Roadmap 国防総省がゼロ・トラスト戦略とロードマップを発表
Today, the Department of Defense released the Department of Defense Zero Trust Strategy and Roadmap. 本日、国防総省は「国防総省のゼロ・トラスト戦略とロードマップ」を発表した。
Current and future cyber threats and attacks drive the need for a Zero Trust approach that goes beyond the traditional perimeter defense approach. The Department intends to implement distinct Zero Trust capabilities and activities as outlined in the strategy and associated Roadmap by FY27. 現在および将来のサイバー脅威と攻撃は、従来の境界防御のアプローチを超えたゼロ・トラスト・アプローチの必要性を促している。国防総省は、この戦略および関連するロードマップで説明されているように、明確なゼロ・トラスト能力と活動を27年度までに実施する意向である。
The strategy envisions a DoD Information Enterprise secured by a fully implemented, Department-wide Zero Trust cybersecurity framework that will reduce the attack surface, enable risk management and effective data-sharing in partnership environments, and quickly contain and remediate adversary activities. この戦略は、完全に実装された省全体のゼロ・トラスト・サイバーセキュリティの枠組みによって保護された国防総省の情報エンタープライズを想定しており、攻撃対象を減らし、パートナーシップ環境におけるリスクマネジメントと効果的なデータ共有を可能にし、敵の活動を迅速に抑制・是正するものである。
The strategy outlines four high-level and integrated strategic goals that define what the Department will do to achieve its vision for ZT: この戦略では、ZT のビジョンを達成するために省が何を行うかを定義する、4 つのハイレベルで統合的な戦略目標が概説されている。
•    Zero Trust Cultural Adoption – All DoD personnel are aware, understand, are trained, and committed to a Zero Trust mindset and culture and support integration of ZT. ・ゼロ・トラスト文化の採用:国防総省の全職員がゼロ・トラストの考え方と文化について認識,理解,訓練され,ZTの統合を支援する。
•    DoD information Systems Secured and Defended – Cybersecurity practices incorporate and operationalize Zero Trust in new and legacy systems.  ・国防総省の情報システムの保護と防御:サイバーセキュリティの実践により、新規およびレガシーシステムにゼロ・トラストが組み込まれ、運用される。 
•    Technology Acceleration – Technologies deploy at a pace equal to or exceeding industry advancements. ・技術の加速:業界の進歩と同等またはそれを上回るペースで技術が展開される。
•    Zero Trust Enablement – Department- and Component-level processes, policies, and funding are synchronized with Zero Trust principles and approaches. ・ゼロ・トラストの実現:省およびコンポーネントレベルのプロセス、ポリシー、および資金がゼロ・トラストの原則とアプローチに同期している。
Implementing Zero Trust will be a continuous process in the face of evolving adversary threats and new technologies. Additional Zero Trust enhancements will be incorporated in subsequent years as technology changes and our Nation's adversaries evolve.   ゼロ・トラストの導入は、進化する敵の脅威や新しい技術に直面する継続的なプロセスである。ゼロ・トラストの追加的な強化は、技術の変化や我が国の敵の進化に合わせて、次年度以降に取り入れられる予定である。 
The Department of Defense Zero Trust Strategy and Roadmap can be found at the DoD CIO library. 国防総省のゼロ・トラスト戦略とロードマップは、国防総省CIOライブラリで見ることができる。

 

・ブログ

・2022.11.28 DOD Releases Path to Cyber Security Through Zero Trust Architecture

DOD Releases Path to Cyber Security Through Zero Trust Architecture DOD、ゼロ・トラスト・アーキテクチャーによるサイバーセキュリティへの道筋を発表
The Defense Department on Tuesday released its Zero Trust Strategy and Roadmap, which spells out how it plans to move beyond traditional network security methods to achieve reduced network attack surfaces, enable risk management and effective data-sharing in partnership environments, and contain and remediate adversary activities over the next five years. 国防総省は火曜日、「ゼロ・トラスト戦略およびロードマップ」を発表した。これは、今後5年間で、従来のネットワークセキュリティ手法を越えて、ネットワーク攻撃面の削減を実現し、パートナーシップ環境におけるリスクマネジメントと効果的なデータ共有を可能にし、敵の活動を封じ込めて修復する計画について明記しているものである。
"Zero trust is a framework for moving beyond relying on perimeter-based cybersecurity defense tools alone and basically assuming that breach has occurred within our boundary and responding accordingly," David McKeown, the department's acting chief information officer, said.  「ゼロトラストは、境界ベースのサイバーセキュリティ防御ツールだけに頼るのではなく、基本的に我々の境界内で侵害が発生したと仮定し、それに応じて対応するための枠組みである」と、同省の最高情報責任者代理であるデデヴィット・マッキューン氏は述べた。
McKeown said the department has spent a year now developing the plans to get the department to a zero trust architecture by fiscal year 2027. Included in that effort was development of a Zero Trust Portfolio Management Office, which stood up earlier this year.  マッキューンは、同省が2027会計年度までにゼロ・トラスト・アーキテクチャーを実現するための計画を策定するのに1年を費やしたことを明らかにした。その努力に含まれるのが、今年初めに立ち上がったゼロトラスト・ポートフォリオ管理オフィスの開発だ。 
"With the publication of this strategy we have articulated the 'how' that can address clear outcomes of how to get to zero trust — and not only accelerated technology adoption, as discussed, but also a culture of zero trust at DOD and an integrated approach at the department and the component levels."  この戦略の発表により、我々はゼロトラストに到達するための明確な成果、つまり議論されているような技術導入の加速だけでなく、DODにおけるゼロトラストの文化や、部門およびコンポーネントレベルでの統合的アプローチに対応できる「方法」を明確にした。" 
Getting the Defense Department to reach the goals laid out in the Zero Trust Strategy and Roadmap will be an "ambitious undertaking," McKeown said.   国防総省がゼロトラスト戦略とロードマップで示された目標に到達することは、「野心的な事業」になるとマッキューン氏は述べている。 
Ensuring that work will largely be the responsibility of Randy Resnick, who serves as the director of the Zero Trust Portfolio Management Office.  その作業を確実にするのは、ゼロトラスト・ポートフォリオ管理室のディレクターを務めるランディー・レスニック氏の責任が大きい。 
"With zero trust, we are assuming that a network is already compromised," Resnick said. "And through recurring user authentication and authorization, we will thwart and frustrate an adversary from moving through a network and also quickly identify them and mitigate damage and the vulnerability they may have exploited." 「ゼロトラストでは、ネットワークがすでに侵害されていることを想定している。「そして、ユーザー認証と認可を繰り返し行うことで、敵対者がネットワークを通過するのを阻止し、挫折させるとともに、敵対者を迅速に特定し、被害や彼らが悪用した可能性のある脆弱性を軽減するのである」。
Spotlight: Engineering in the DOD スポットライト 国防総省におけるエンジニアリング
Resnick explained the difference between a zero trust architecture and security on the network today, which assumes a level of trust for anybody already inside the network.  レスニック氏は、ゼロ・トラスト・アーキテクチャーと、すでにネットワーク内にいる人をある程度信頼することを前提とした現在のネットワーク・セキュリティの違いを説明した。 
"If we compare this to our home security, we could say that we traditionally lock our windows and doors and that only those with the key can gain access," he said. "With zero trust, we have identified the items of value within the house and we place guards and locks within each one of those items inside the house. This is the level of security that we need to counter sophisticated cyber adversaries."  「これを家庭のセキュリティに例えると、従来は窓やドアに鍵をかけて、鍵を持っている人だけがアクセスできるようにしていたと言えるでしょう」と、同氏は述べた。「ゼロトラストでは、家の中にある価値あるものを特定し、その一つひとつにガードやロックを設置する。これが、高度なサイバー敵に対抗するために必要なセキュリティレベルである。」 
The Zero Trust Strategy and Roadmap outlines four high-level and integrated strategic goals that define what the department will do to achieve that level of security. These include:  ゼロトラスト戦略とロードマップは、そのレベルのセキュリティを達成するために同省が何をするかを定義する、4つのハイレベルで統合的な戦略目標の概要を示している。その内容は以下の通りである。 
Zero Trust Cultural Adoption — All DOD personnel understand and are aware, trained, and committed to a zero trust mindset and culture to support integration of zero trust.  ゼロ・トラスト文化の採用:すべてのDOD職員はゼロ・トラストの統合をサポートするために、ゼロ・トラストの考え方と文化を理解し、認識し、訓練され、コミットされる。 
DOD information Systems Secured and Defended — Cybersecurity practices incorporate and operationalize zero trust in new and legacy systems.  DOD情報システムの保護と防衛:サイバーセキュリティの実践は、新規およびレガシーシステムにゼロトラストを組み込み、運用する。 
Technology Acceleration — Technologies deploy at a pace equal to or exceeding industry advancements.  技術の加速:業界の進歩と同等またはそれを上回るペースで技術が展開される。 
Zero Trust Enablement — Department- and component-level processes, policies, and funding are synchronized with zero trust principles and approaches.  ゼロ・トラストの実現:省およびコンポーネントレベルのプロセス、ポリシー、資金が、ゼロ・トラストの原則とアプローチに同期している。 
Resnick said development of the Zero Trust Strategy and Roadmap was done in collaboration with the National Security Agency, the Defense Information Systems Agency, the Defense Manpower Data Center, U.S. Cyber Command and the military services.  レズニック氏によると、ゼロトラスト戦略とロードマップの開発は、国家安全保障局、国防情報システム局、国防人材データセンター、米サイバー司令部、軍サービスとの協力で行われたとのこと。 
The department and its partners worked together to develop a total of 45 capabilities and more than 100 activities derived from those capabilities, many of which the department and components will be expected to be involved in as part of successfully achieving baseline, or "target level" compliance with zero trust architecture within the five-year timeline, Resnick said. レスニック氏によると、同省とそのパートナーは、合計45の能力と、それらの能力から派生する100以上の活動を開発した。これらの多くは、5年間のスケジュール内でゼロトラストアーキテクチャのベースライン、つまり「目標レベル」のコンプライアンスを成功させる一環として、同省とコンポーネントが関与することが期待されるものである。
"Each capability, the 45 capabilities, resides either within what we're calling 'target,' or 'advanced' levels of zero trust," he said. "DOD zero trust target level is deemed to be the required minimum set of zero trust capability outcomes and activities necessary to secure and protect the department's data, applications, assets and services, to manage risks from all cyber threats to the Department of Defense."  各能力(45の能力)は、ゼロ・トラストの「目標」または「高度」レベルと呼ばれる範囲に存在する」と彼は言う。「DODゼロトラスト・ターゲット・レベルは、国防総省に対するあらゆるサイバー脅威のリスクを管理し、同省のデータ、アプリケーション、資産、サービスを安全に保護するために必要なゼロトラスト能力の成果および活動の必要最小限のセットと見なされる。
Across the department, every agency will be expected to comply with the target level implementation outlined in the Zero Trust Strategy and Roadmap. Only a few might be expected to achieve the more advanced level.  国防総省全体では、すべての機関がゼロ・トラスト戦略とロードマップで示された目標レベルの実施に準拠することが期待される。より高度なレベルを達成することが期待されるのは、ほんの一握りかもしれない。 
"If you're a national security system, we may require the advanced level for those systems," McKeown said. "But advanced really isn't necessary for literally every system out there. We have an aggressive goal getting to 'targeted' by 2027. And we want to encourage those who have a greater need to secure their data to adopt this advanced level."  「国家安全保障のシステムであれば、上級レベルを要求することもある」とマッキューン氏は言う。「しかし、アドバンストレベルは、文字通りすべてのシステムに対して必要なものではない。私たちは、2027年までに "Targeted "に到達するという積極的な目標を持っている。そして、データを安全に保護する必要性が高い人たちには、このアドバンスドレベルを採用するよう促したいと考えている」。 
Resnick said achieving the target level of zero trust isn't equivalent to a lower standard for network security.  レズニックは、ゼロトラストの目標レベルを達成することは、ネットワークセキュリティの基準を下げることと等価ではないと述べている。 
"We defined target as that level of ability where we're actually containing, slowing down or stopping the adversary from exploiting our networks," he said. "Compared to today, where an adversary could do an attack and then go laterally through the network, frequently under the noise floor of detection, with zero trust that's not going to be possible."  「私たちは、敵対者が私たちのネットワークを悪用するのを実際に封じ込め、減速させ、阻止する能力のレベルを目標と定義した。「敵対者が攻撃を行い、ネットワーク内を横方向に移動し、頻繁に検出のノイズフロアの下を通過することができる今日と比較すると、信頼ゼロでは、それは不可能になります。 
By 2027, Resnick said, the department will be better poised to prevent adversaries from attacking the DOD network and minimize damage if it does occur.  2027年までには、敵対者がDODネットワークを攻撃するのを防ぎ、万が一攻撃が発生しても被害を最小限に抑える態勢が整うだろうと、レズニックは述べている。 
"The target level of zero trust is going to be that ability to contain the adversary, prevent their freedom of movement, from not only going laterally but being able to even see the network, to enumerate the network, and to even try to exploit the network," he said.  「ゼロ・トラストの目標レベルは、敵対者を封じ込め、敵対者が横方向に移動するだけでなく、ネットワークを見ることも、ネットワークを列挙することも、ネットワークを悪用しようとすることもできないようにすることだ」と彼は言う。 
If later on more is needed, he said, the requirements for meeting the target level of compliance can be adjusted.  もし、後でもっと必要なものが出てくれば、目標レベルのコンプライアンスを満たすための要件を調整することができるという。 
"Target will always remain that level to which we're seeing and stopping the adversary," he said. "And for the majority of the DOD, that's really our goal." 「目標は常に、敵対者を確認し、阻止するレベルであることに変わりはありません。そして、国防総省の大部分にとって、それが我々の本当の目標なのである。」

 


 

・2022.11.15 [PDF] Zero Trust Capability Execution Roadmap

20221130-144954

 

Zero Trust Strategy Placemats

20221130-145326

 

 

・2022.07 [PDF] Department of Defense (DoD) Zero Trust Reference Architecture Version 2.0

20221130-64647

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.01.28 米国 OMB M-22-09 米国政府のゼロトラスト・サイバーセキュリティ原則への移行についての覚書

・2022.01.24 米国 国家安全保障、国防総省、および情報コミュニティのシステムのサイバーセキュリティ向上に関する覚書

・2021.12.29 米国 バイデン大統領が2022年国防授権法にサインをしましたね。。。

 

 

| | Comments (0)

2022.11.29

尼崎市 個人情報を含むUSBメモリーの紛失事案について

こんにちは、丸山満彦です。

尼崎市が契約している事業者の無断再々委託先従業員が、個人情報が入ったUSBメモリーを一時的に紛失した事案についての、尼崎市 USB メモリー紛失事案調査委員会の報告書が公表されていますね。。。

櫻庭先生が委員会のメンバーですね。。。

 

尼崎市

・2022.11.28 個人情報を含むUSBメモリーの紛失事案について

・[PDF] 尼崎市 USB メモリ―紛失事案に関する調査報告書  [downloaded]

20221129-63824

 

・尼崎市 USB メモリー紛失事案調査委員会

 ・小林 孝史(当委員会委員長) 関西大学総合情報学部准教授
 ・櫻庭 信之(当委員会委員・同委員長職務代理) 弁護士
 ・大高 利夫(当委員会委員) 藤沢市総務部情報システム課

結構、読み応えあります。。。

 

| | Comments (0)

英国 国防省 サイバー入門(第3版) (2022.10.04)

こんにちは、丸山満彦です。

英国国防省とサイバースペースとの関わり方、国防省職員にとってのサイバーセキュリティの重要性について、より包括的に認識することを目的として、主に国防の観点から、また職場や家庭における日常生活の観点から、「サイバー」というテーマを紹介する入門書ということで、階級に関わらず、すべての職員に読んでもらいたいということのようです。。。

U.K. Government - Ministry of Defence

Guidance Cyber Primer

・2022.10.04 [PDF] Cyber Primer (Third Edition)

20221129-12446

 

序文...

Preface 序文
We will adopt a comprehensive cyber strategy to maintain the UK’s competitive edge in this rapidly evolving domain. We will build a resilient and prosperous digital UK, and make much more integrated, creative and routine use of the UK’s full spectrum of levers – including the National Cyber Force’s offensive cyber tools – to detect, disrupt and deter our adversaries. 我々は、この急速に発展する領域において英国の競争力を維持するために、包括的なサイバー戦略を採用する。我々は、レジリエンスと繁栄のデジタル英国を構築し、敵対者を検知し、混乱させ、抑止するために、国家サイバー軍の攻撃的サイバーツールを含む英国のあらゆる手段をより統合的、創造的、かつ日常的に活用することになる。
Global Britain in a competitive age: The Integrated Review of Security, Defence, Development and Foreign Policy, 2021 競争時代におけるグローバルな英国:2021年 安全保障、防衛、開発、外交政策の統合的見直し
Purpose 目的
1. The purpose of the Cyber Primer is to introduce the subject of ‘cyber’, primarily within the Defence context, but also encompassing everyday aspects of life both at work and home. It is the foundation to reading UK Defence’s cyber and electromagnetic concepts and doctrine.   1. サイバー入門の目的は、「サイバー」というテーマを、主に国防の文脈で、しかし職場や家庭での日常生活 の側面も含めて紹介することである。これは、英国国防省のサイバーおよび電磁波の概念とドクトリンを読むための基礎となるものである。 
Context コンテキスト
2. Cyber capability is vital to our national security and prosperity, playing an integral role in protecting the UK and our interests against external and internal threats. Cyber activity cannot be the responsibility of one government department or agency alone, each will have their own experiences and expertise; Defence is just one partner in a whole of society effort.  2. サイバー能力は国家の安全と繁栄にとって不可欠であり、外部と内部の脅威から英国とその利益を守るために不可欠な役割を担っている。サイバー活動は、政府の一部門や機関だけが担当することはできず、それぞれが独自の経験や専門知識を持っている。
3. Cybersecurity and resilience are vital within Defence as our Armed Forces depend on digital technology, platforms, data, information and communication systems, both in the UK and on operations around the world. Our adversaries’ activities present a real and rapidly developing threat to these systems and to our operations.  3. 国防軍は、英国内および世界各地での活動において、デジタル技術、プラットフォーム、データ、情報、通信システムに依存しているため、サイバーセキュリティとレジリエンスは国防において極めて重要である。敵対者の活動は、これらのシステムと我々の活動に対して、現実的かつ急速に発展する脅威となっている。
4. Cyberspace, and the associated technologies, are full of opportunities for improving the way we work and live; they contribute substantially to our economy and prosperity, but they also introduce new hazards of which we need to be aware. The impact of cyber activities, positive and negative, on military activity requires Defence personnel, and those associated with Defence, to understand the depth of our dependence on ‘cyber’. 4. サイバースペースとその関連技術は、私たちの仕事や生活を改善する機会に満ちており、私たちの経済と繁栄に大きく貢献しているが、同時に私たちが注意しなければならない新たな危険性ももたらしている。サイバー活動が軍事活動に与える影響は、肯定的であれ否定的であれ、国防関係者とその関係者が「サイバー」への依存の深さを理解することが必要である。
5. The primer has a deliberate cyber focus. Although mention is made of the wider electromagnetic environment, this is to provide contextual reference as necessary.  5. この入門書は意図的にサイバーに焦点を合わせている。より広い電磁環境についても言及しているが、これは必要に応じて文脈を参照できるようにするためである。
Audience 想定読者
6. The Cyber Primer seeks to inform a wide audience. As an introduction to cyber it will be of use to all Defence personnel. 6. このサイバー入門書は、幅広い読者に情報を提供することを目的としている。サイバー入門書として、すべての国防関係者に役立つであろう。
Structure 構成
7. The publication is divided into four chapters and is supported by a lexicon and resources section. A breakdown of the chapter contents is below.  7. 本書は4つの章に分かれており、辞書と資料のセクションでサポートされている。各章の内容の内訳は以下の通りである。
a. Chapter 1 – Cyber fundamentals. Chapter 1 introduces the essential terminology and covers cyber from a national policy and strategy perspective. The chapter explains the nature and characteristics of cyberspace and the cyber and electromagnetic domain. The chapter also highlights applicable laws and concludes by looking at the importance of international engagement. a. 第1章 - サイバーの基礎:第1章では、必要不可欠な用語を紹介し、国家政策と戦略の観点からサイバーを取り上げている。この章では、サイバースペースの性質と特徴、サイバー領域と電磁波領域について説明する。また、本章では適用される法律を強調し、国際的な関与の重要性を見て結論を出している。
b. Chapter 2 – Cyber threats. Chapter 2 outlines: the threats from cyberspace; the range of threat actors; the characteristics of a cyberattack and the different tools and techniques used; and cyber threat mitigation. The chapter concludes with Annex 2A detailing seven case studies.1 b. 第2章 - サイバー脅威:第2章では、サイバースペースからの脅威、脅威の主体の範囲、サイバー攻撃の特徴、使用される様々なツールやテクニック、そしてサイバー脅威の緩和について概説している。この章は、7つのケーススタディを詳述した附属書2Aで締めくくられている1。
c. Chapter 3 – Cyber functions. Chapter 3 looks at the four military cyber operations roles – influence, defend, enable and inform – which are delivered by cyber capabilities through offensive and defensive cyber operations, cybersecurity and cyber threat intelligence.  It also examines information management and finally looks at the relationship between cyber and other closely linked military functions. c. 第3章 - サイバー機能:第3章では、攻撃的・防御的サイバー作戦、サイバーセキュリティ、サイバー脅威インテリジェンスを通じたサイバー能力によって実現される、軍の4つのサイバー作戦の役割(影響、防御、実現、情報提供)を見ている。 また、情報管理についても検討し、最後にサイバーと他の密接に関連する軍事機能との関係についても見ている。
d. Chapter 4 – Cyber operations. Chapter 4 looks at how cyber capability is currently organised and integrated with military operations and provides some detail concerning cyber command and control.  d. 第4章 - サイバーオペレーション:第4章は、サイバー能力が現在どのように組織化され、軍事作戦と統合されているかを調べ、サイバー指揮統制に関するいくつかの詳細について述べている。
Linkages 関連性
8. The Cyber Primer is underpinned by a number of policy, strategy and doctrinal publications. In addition, there are number of other publications that provide further context and greater detail on aspects introduced. Links to these data sources can be found within the resource section at the end of this publication.  8. サイバー・プライマーは、多くの政策、戦略、教義に関する出版物によって支えられている。さらに、紹介された側面についてのより詳細な文脈を提供する他の出版物も多数ある。これらのデータソースへのリンクは、本書末尾のリソースセクションに記載されている。
   
1 The examples and case studies included in this primer contain reports selected from various external sources by the Strategic Command Cyber Reserve, a cadre of cyber-industry experts who are also Tri-Service Reservists. All of this information is publicly available online and provided for understanding only; sources quoted and opinions expressed do not necessarily reflect those of the Ministry of Defence (MOD). Similarly, where alleged perpetrators are identified they have been done so through public sources and not through any investigations or conclusions conducted by the MOD. The names of the operations associated with the examples have been assigned by the international cyber security community. 1 この入門書に含まれる事例とケーススタディは、三軍の予備役でもあるサイバー業界の専門家集団である戦略司令部サイバーリザーブが外部の様々な情報源から選んだレポートを含んでいる。これらの情報はすべてオンラインで一般に公開されており、理解のためにのみ提供されている。引用された情報源や表明された意見は、必ずしも国防省(MOD)のものを反映したものではありません。同様に、加害者とされる人物が特定された場合、それは公的な情報源を通じて行われたものであり、国防省が行った調査や結論によるものではありません。例題に関連する作戦名は、国際的なサイバーセキュリティ・コミュニティによって命名されたものである。
2 Full details of these roles and the activities that are conducted within them are detailed within Joint Doctrine Publication 0-50, UK Defence Cyber and Electromagnetic Doctrine, 2nd Edition, which is due to publish in 2023. 2 これらの役割とその中で行われる活動の詳細は、2023年に発行予定の統合ドクトリンパブリケーション0-50「英国国防サイバー及び電磁波ドクトリン第2版」に詳述されている。

 

20221129-15952

 

10 top tips for staying secure online オンラインを安全に利用するための10のアドバイス
01 Protect your personal email by using a strong and unique password 01 強力でユニークなパスワードを使用して、個人的な電子メールを保護する
02 Report if things go wrong or do not look right, such as a suspicious email or link 02 不審なメールやリンクなど、おかしいと感じたら報告する
03 Create a long and strong password by combining three random words 03 3つのランダムな単語を組み合わせて、長くて強力なパスワードを作成する
04 Ensure defences such as antivirus software and firewalls are installed 04 アンチウイルスソフトやファイアウォールなどの防御策を確実に導入する
05 Activate two-step verification to protect your online accounts 05 オンラインアカウントを保護するために、2段階認証機能を有効にする
06 Backup your data to safeguard your most important documents 06 データをバックアップし、重要なドキュメントを保護する
07 Use a password manager to help create and recall passwords 07 パスワードを作成し、思い出すのにパスワードマネージャーを使用する
08 Check your internet footprint - searches, online history and social media accounts 08 検索、オンライン履歴、ソーシャルメディアアカウントなど、インターネットの足跡をチェックする
09 Set up automatic security updates to make sure all your devices are patched 09 自動セキュリティ更新を設定し、すべてのデバイスにパッチが適用されていることを確認する
10 Install the latest software and application updates 10 最新のソフトウェアとアプリケーションのアップデートをインストールする

 

・関連

 

 

| | Comments (0)

EU連合理事会 NIS2成立

こんにちは、丸山満彦です。

NIS2がEU連合理事会で可決されたようですね。。。

 

● European Council/Council of the European Union

・2022.11.28 EU decides to strengthen cybersecurity and resilience across the Union: Council adopts new legislation

EU decides to strengthen cybersecurity and resilience across the Union: Council adopts new legislation EU、サイバーセキュリティとレジリエンスをEU全域で強化することを決定。理事会、新たな法案を採択
The Council adopted legislation for a high common level of cybersecurity across the Union, to further improve the resilience and incident response capacities of both the public and private sector and the EU as a whole. 欧州連合(EU)理事会は、官民およびEU全体のレジリエンスとインシデント対応能力をさらに向上させるため、EU全体で高い共通レベルのサイバーセキュリティを実現するための法案を採択した。
The new directive, called ‘NIS2’, will replace the current directive on security of network and information systems (the NIS directive). 「NIS2」と呼ばれるこの新しい指令は、ネットワークと情報システムのセキュリティに関する現行の指令(NIS指令)に取って代わるものである。
There is no doubt that cybersecurity will remain a key challenge for the years to come. The stakes for our economies and our citizens are enormous. Today, we took another step to improve our capacity to counter this threat. サイバーセキュリティが今後数年間、重要な課題であり続けることに疑いの余地はない。私たちの経済と市民にとって、そのリスクは計り知れない。今日、私たちはこの脅威に対抗する能力を向上させるための新たな一歩を踏み出した。
Ivan Bartoš, Czech Deputy Prime Minister for Digitalization and Minister of Regional Development チェコ共和国デジタル化担当副首相兼地域開発大臣 イワン・バルトシュ氏
Stronger risk and incident management and cooperation リスクマネジメント、インシデントマネジメント、協力体制の強化
NIS2 will set the baseline for cybersecurity risk management measures and reporting obligations across all sectors that are covered by the directive, such as energy, transport, health and digital infrastructure. NIS2は、エネルギー、運輸、健康、デジタルインフラなど、指令の対象となるすべてのセクターにおけるサイバーセキュリティのリスクマネジメント対策と報告義務のベースラインを設定することになる。
The revised directive aims to harmonise cybersecurity requirements and implementation of cybersecurity measures in different member states. To achieve this, it sets out minimum rules for a regulatory framework and lays down mechanisms for effective cooperation among relevant authorities in each member state. It updates the list of sectors and activities subject to cybersecurity obligations and provides for remedies and sanctions to ensure enforcement. 改正指令は、異なる加盟国でのサイバーセキュリティ要件とサイバーセキュリティ対策の実施を調和させることを目的としている。これを実現するために、規制の枠組みに関する最低限のルールを定め、各加盟国の関係当局間の効果的な協力のためのメカニズムを定めている。また、サイバーセキュリティの義務の対象となる部門と活動のリストを更新し、強制力を確保するための救済措置と制裁措置を規定している。
The directive will formally establish the European Cyber Crises Liaison Organisation Network, EU-CyCLONe, which will support the coordinated management of large-scale cybersecurity incidents and crises. この指令は、大規模なサイバーセキュリティ事件や危機の協調的管理を支援する欧州サイバー危機連絡組織ネットワーク(EU-CyCLONe)を正式に設立する予定である。
Widening of the scope of the rules 規則の適用範囲の拡大
While under the old NIS directive member states were responsible for determining which entities would meet the criteria to qualify as operators of essential services, the new NIS2 directive introduces a size-cap rule as a general rule for identification of regulated entities. This means that all medium-sized and large entities operating within the sectors or providing services covered by the directive will fall within its scope. 旧NIS指令では、加盟国はどの事業者が必須サービスの事業者として認定される基準を満たすかを決定する責任を負っていたが、新NIS2指令では、規制対象事業者の特定に関する一般規則として、規模制限規則を導入している。これは、この指令の対象となる分野で活動する、あるいはサービスを提供するすべての中堅・大企業がその範囲に含まれることを意味する。
While the revised directive maintains this general rule, its text includes additional provisions to ensure proportionality, a higher level of risk management and clear-cut criticality criteria for allowing national authorities to determine further entities covered. 改正指令はこの一般規則を維持する一方で、その条文には、国家当局がさらに対象企業を決定できるように、比例性、より高いレベルのリスクマネジメント、明確な重要性の基準を確保するための追加条項が含まれている。
The text also clarifies that the directive will not apply to entities carrying out activities in areas such as defence or national security, public security, and law enforcement. Judiciary, parliaments, and central banks are also excluded from the scope. また、防衛や国家安全保障、公安、法執行といった分野での活動には、この指令は適用されないことも明確化されている。司法、議会、中央銀行も対象から外されている。
NIS2 will also apply to public administrations at central and regional level. In addition, member states may decide that it applies to such entities at local level too. NIS2は、中央および地域レベルの行政機関にも適用される。さらに、加盟国は、地方レベルの行政機関にも適用することを決定することができる。
Other changes introduced by the new law 新法が導入するその他の変更点
Moreover, the new directive has been aligned with sector-specific legislation, in particular the regulation on digital operational resilience for the financial sector (DORA) and the directive on the resilience of critical entities (CER), to provide legal clarity and ensure coherence between NIS2 and these acts. さらに、この新しい指令は、特に金融セクターのデジタル運用のレジリエンスに関する規則(DORA)や重要な事業体のレジリエンスに関する指令(CER)といったセクター固有の法律と整合され、法的明確性を提供し、NIS2とこれらの法律間の一貫性を確保するようになっている。
A voluntary peer-learning mechanism will increase mutual trust and learning from good practices and experiences in the Union, thereby contributing to achieving a high common level of cybersecurity. 自主的なピアラーニングの仕組みは、相互信頼を高め、EUにおける優れた実践や経験から学ぶことで、高い共通レベルのサイバーセキュリティの達成に貢献する。
The new legislation also streamlines the reporting obligations in order to avoid causing over-reporting and creating an excessive burden on the entities covered. また、新法は、過剰な報告や対象事業者の過度な負担を避けるために、報告義務を合理化している。
Next steps 次のステップ
The directive will be published in the Official Journal of the European Union in the coming days and will enter into force on the twentieth day following this publication. この指令は、近日中に欧州連合官報に掲載され、掲載後20日目に発効する予定である。
Member states will have 21 months from the entry into force of the directive in which to incorporate the provisions into their national law. 加盟国は、指令の発効から21カ月以内に、この規定を自国の国内法に組み込む必要がある。
Directive on measures for a high common level of cybersecurity across the Union (PE-CONS 32/22) 欧州連合全体におけるサイバーセキュリティの高い共通レベルのための措置に関する指令(PE-CONS 32/22)
20221129-03247
[DOCX]

仮訳

 

Draft directive on measures for a high common level of cybersecurity across the Union – Council general approach EU全域で共通レベルの高いサイバーセキュリティのための措置に関する指令案 - 理事会一般的アプローチ
Cybersecurity: how the EU tackles cyber threats (background information) サイバーセキュリティ:EUはどのようにサイバー脅威に対処しているか(背景情報)
A digital future for Europe (background information) 欧州のデジタルな未来(背景情報)
How the EU responds to crises and builds resilience EUはどのように危機に対処し、レジリエンスを構築しているか?
Visit the meeting page 会議のページ

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.11.25 ENISA EUにおけるサイバーセキュリティ投資 2022

・2022.11.13 欧州議会 NIS2とデジタル・オペレーショナル・レジリエンス法を可決

・2021.03.15 欧州データ保護監督官 (EDPS) が欧州のサイバーセキュリティ戦略とネットワークおよび情報システムのセキュリティに関する改訂された指令(NIS 2.0)を歓迎すると表明

・2020.12.28 欧州委員会 サイバーセキュリティ戦略の公表とネットワークおよび情報システムのセキュリティに関する指令の改訂(NIS2指令)提案 at 2020.12.16


| | Comments (0)

2022.11.28

防衛省 防衛研究所 中国安全保障レポート2023 ― 認知領域とグレーゾーン事態の掌握を目指す中国 ―

こんにちは、丸山満彦です。

防衛省 防衛研究所が 中国安全保障レポート2023 ― 認知領域とグレーゾーン事態の掌握を目指す中国 ― を公表していますね。。。

日本語版のみならず、英語版、 もあります。。。

 

防衛省 防衛研究所

・2022.11.25 中国安全保障レポート『中国安全保障レポート2023』を掲載しました

・中国安全保障レポート2023 ― 認知領域とグレーゾーン事態の掌握を目指す中国 ―本文要約)·(表紙·奥付

20221128-62030

 

目次... 

中国安全保障レポート2023

目次
要約
略語表

はじめに

第 1 章  中国の軍事組織再編と非軍事的手段の強化
1.
 改革前の軍事組織の問題点
1)改革前の党軍関係の基本構造
2)問題点

2. 習近平の軍事改革における党軍関係の強化
1)中央軍事委員会主席責任制の再確立
2)強調される党委員会の指導
3)軍内監察部門の独立
4)巡視制度の導入
5)政治工作部の役割の縮小

3. 戦略支援部隊の設置

4. 人民武装警察部隊と海警の改編がもたらすもの
1)中央軍事委員会の一元指導を受ける武警
2)警種部隊、公安系統部隊を切り捨ててスリム化した武警
3 14個機動師団の解体と機動総隊の新設
4)人民解放軍に倣った武警総部の再編
5)武警隷下に入った海警
6)共産党統治のための武警

第 2 章  活発化する中国の影響力工作
1.
 中国の影響力工作

2. 中国共産党の心理・認知領域をめぐる闘争
1)宣伝工作
2)統一戦線工作
3)ソーシャルメディアにおける活動
4)秘密裏の活動
5)組織

3. 人民解放軍の心理・認知領域における闘争
1)人民解放軍の情報化戦争における心理・認知領域
2)三戦(輿論戦、心理戦、法律戦)
3)認知領域作戦

4. 事例研究 : 台湾における中国の影響力工作の展開
1)サイバー攻撃の事例
2)メディアの報道を利用した圧力
3)台湾人を利用した影響力工作の展開
4)多国籍企業や軍関係者への工作

第 3 章  海上で展開される中国のグレーゾーン事態
1.
 中国が展開するグレーゾーン事態

2. 進展する海上民兵の組織化
1)海上民兵の組織、指揮命令系統、党との関係
2)海上民兵の役割

3. 海警と海上民兵の活動の積極化
1)海警の装備強化と活動拡大
2)海上民兵に対する支援・組織化
3)海洋アクターの協調

4. 東シナ海と南シナ海におけるグレーゾーン作戦の相違点

おわりに


要約 第 1 章  中国の軍事組織再編と非軍事的手段の強化

習近平の軍事改革によって中国の軍事組織の再編が進み、その中で党の指導が強化されてきた。中国共産党 による直接的コントロールがより強調され、特に中央軍委主席責任制の徹底と軍内党委員会が重視されており、 また軍内における法やルールによる統治も強調されている。党の指導は人民解放軍だけでなく、その他の軍事組 織においても強化されており、軍とそのほかの政府アクターの協調メカニズムが発展しつつある。これは非軍事 的手段を積極的に活用するという現代的な紛争形態への対応でもある。

影響力工作については、戦略支援部隊が設置された。戦略支援部隊はサイバー、電磁スペクトラム、宇宙に関 わる機能を統合するだけでなく、心理・認知領域の戦いにも深く関与しているとみられる。

グレーゾーン作戦については、武警と海警の再編が行われた。武警が中央軍事委員会の単独指導下に置かれるとともに、海警が武警隷下となることで、海警も軍の指導下に置かれた。武警再編によって武警の機能を平時 における治安維持に特化すると同時に、有事における人民解放軍の統合作戦に寄与しやすい組織へと改編した。

20221128-94925

 


要約 第2章 活発化する中国の影響力工作

中国は、心理・認知領域における闘争として党全体の影響力工作と関連する軍の活動を活発化させている。中国にとって、情報と影響力をめぐる争いは、米欧とのイデオロギー上の安全と優位性をめぐるものである。中国に とって、欧米の「誤った見方」を正すだけでなく、中国の観点、中国側のナラティブを内外に積極的に広めること が重要となっている。中国のナラティブが国内外の議論を支配することで、米欧のイデオロギー浸透の試みに対 抗できる。こうして中国は、国内と国外の両方に向けて影響力工作を強化している。そのために、宣伝工作や統 一戦線工作、さらにソーシャルメディアにおける活動が活発化している。

党の影響力工作が主に戦略レベルの活動であるのに対して、軍の活動は戦略レベルにも作戦レベルにもまたが るものである。人民解放軍は、心理戦を重視する伝統を持っており、さらに近年では輿論(よろん)戦、心理戦、法律戦の「三 戦」を重視している。現在、三戦は、さまざまなレベルのさまざまな軍関連組織において実施されると考えられる。 三戦専門の基地もあれば、各部隊において実施されるものもある。近年では党の活動と軍の活動は、重複する 部分が増えている。近年では、人工知能など新興技術の発展に伴い、これを駆使した知能化戦争への移行が模 索される中で、心理戦の延長として認知領域における作戦という概念が登場している。

こうした心理・認知領域における闘争が最も顕著に表れているのが、台湾に対する影響力工作である。サイバー 空間や人脈を通じたフェイクニュース拡散、軍関係者を含む台湾人への働きかけなど、党・人民解放軍による影 響力工作が幅広く行われており、台湾にとって大きな脅威となっている。

 

20221128-95618


 

 

年度 副題 テーマ
2023


認知領域とグレーゾーン事態の掌握を目指す中国


1 中国の軍事組織再編と非軍事的手段の強化
2 活発化する中国の影響力工作
3 海上で展開される中国のグレーゾーン事態
2022


統合作戦能力の深化を目指す中国人民解放軍
1 中国人民解放軍の統合作戦構想の変遷
2 改編された中国人民解放軍の統合作戦体制
3 軍改革における統合作戦訓練・人材育成体制の発展と党軍関係強化の模索
2021 新時代における中国の軍事戦略 1 情報化戦争の準備を進める中国
2 中国のサイバー戦略
3 中国における宇宙の軍事利用
4 中国の軍民融合発展戦略
2020 ユーラシアに向かう中国 1 中国のユーラシア外交
2 中央アジア・ロシアから見た中国の影響力拡大
3 ユーラシアにおけるエネルギー・アーキテクチャ
2019 アジアの秩序をめぐる戦略とその波紋 1 既存秩序と摩擦を起こす中国の対外戦略
2 中国による地域秩序形成とASEANの対応 ――「台頭」から「中心」へ
3 「一帯一路」と南アジア――不透明さを増す中印関係
4 太平洋島嶼国 ――「一帯一路」の南端
2018 岐路に立つ米中関係 1 中国の対米政策
2 米国の対中政策
3 地域における米中関係の争点
2017 変容を続ける中台関係 1 中国の台湾政策の変遷
2 台湾から見た中台関係
3 米国にとっての台湾問題
4 中台関係の変容と「現状維持」
2016 拡大する人民解放軍の活動範囲とその戦略 1 遠海での作戦能力強化を図る中国海軍
2 空軍の戦略的概念の転換と能力の増大
3 ミサイル戦力の拡充
4 統合的な作戦能力の強化
2014 多様化する人民解放軍・人民武装警察部隊の役割 1 中央国家安全委員会創設とその背景
2 人民武装警察部隊の歴史と将来像
3 人民解放軍による災害救援活動
4 軍事外交としての国連平和維持活動
5 ソマリア沖・アデン湾における海賊対処活動
2013   1 中国の対外危機管理体制
2 中国の危機管理概念
3 危機の中の対外対応
2012   1 「党軍」としての性格を堅持する人民解放軍
2 深化する軍と政府の政策調整
3 軍と政府が連携を深める安全保証政策
4 政策調整の制度化を求める人民解放軍
2011   1 海洋に向かう中国
2 南シナ海で摩擦を起こす中国
3 外洋に進出する中国海軍
4 対外園で発言力を増す人民解放軍
創刊号   1 中国の対外姿勢
2 拡大する活動範囲
3 役割を増す軍事外交
4 進む装備の近代化

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.11.28 防衛省 防衛研究所 中国安全保障レポート2022 ― 統合作戦能力の深化を目指す中国人民解放軍 ―

・2020.11.14 防衛省 防衛研究所 「中国安全保障レポート2021 ― 新時代における中国の軍事戦略 ―」は中国のサイバー戦略についての章がありますね

 

| | Comments (0)

NIST サイバーセキュリティ50周年 - NISTサイバーセキュリティプログラムの歴史と年表

こんにちは、丸山満彦です。

NIST(1988年までは旧NBS)は1972年から50年にわたり、サイバーセキュリティの研究を行い、産官学のためのサイバーセキュリティ・ガイダンスを開発してきていますが、主要な研究プロジェクト、プログラム、そして最終的にはNISTのサイバーセキュリティの歴史をざっと見るための年表を公表していますね。。。

興味深いです。。。

 

NIST - NIST Cybersecurity Program History and Timeline

米国標準局 (NBS) のコンピュータ科学技術研究所が、コンピュータ セキュリティ プログラムを確立したところから始まります...

1973年11月に発行された、

・[PDF] NBS Technical Note 809 Government Looks at Privacy and Security in Computer Systems

20221127-45130

 

・[PDF] NBS Special Publication 404 Approaches to Privacy and Security in Computer Systems

20221127-45947

 

1974年には、Privacy Act of 1974

そして、1976年は、

・1976.02.15 [PDF] FIPIS PUB 39 Glossary for Computer Sysytems Security

20221127-50714

用語ですが、あまり大きな違いはないのかもしれません。。。

 

・・・と続いていきます。。。

 


古い話であれば、私のブログにも。。。最近、サイバーセキュリティ業界に入ってきたかたは過去の歴史を知ることが意外と重要かもしれないので、、、

まるちゃんの情報セキュリティ気まぐれ日記

・2016.08.11 コンピュータ・セキュリティ -犯罪対策と災害対策-

・2006.04.25 米国 30年前のIT適用業務処理統制の項目

・2006.04.24 米国 30年前のIT全般統制の項目

 

| | Comments (0)

2022.11.27

個人情報保護委員会 第44回世界プライバシー会議(GPA)結果報告について「顔認識技術における個人情報の適切な利用に関する原則及び期待」

こんにちは、丸山満彦です。

第224回 個人情報保護委員会で、第44回世界プライバシー会議(GPA)結果報告が行われていて、「顔認識技術における個人情報の適切な利用に関する原則及び期待」に係る決議とその委員会による仮訳が公表されていますね。。。

個人情報保護委員会

・2022.11.16 第224回

(1) 第44回世界プライバシー会議(GPA)結果報告について

・[PDF] 資料1―1 第44回世界プライバシー会議(GPA)結果報告

・[PDF] 資料1-2 第44回世界プライバシー会議(GPA)における決議案一覧

・[PDF] 資料1-3 「顔認識技術における個人情報の適切な利用に関する原則及び期待」に係る決議(英語)

20221127-41354

・[PDF] 資料1-4 「顔認識技術における個人情報の適切な利用に関する原則及び期待」に係る決議(当委員会仮訳)

20221127-41546

 

the principles and expectations for the appropriate use of personal information in facial recognition technology
顔認識技術における個人情報の適切な利用に関する原則及び期待
1. LAWFUL BASIS 1.法的根拠
Organizations using facial recognition should have a clear lawful basis for the collection and use of biometrics.  顔認識を利用する組織は、バイオメトリクスの収集及び利用のための明確な法的根拠を持つべきである。 
2. REASONABLENESS, NECESSITY AND PROPORTIONALITY 2.合理性、必要性及び比例性
Organizations should establish, and be able to demonstrate, the reasonableness, necessity, and proportionality of their use of facial recognition technology.  組織は、顔認識技術の利用に関する合理性、必要性及び比例性を確立し、証明できるようにするべきである。
3. PROTECTION OF HUMAN RIGHTS 3.人権の保護
Organizations should in particular assess and protect against unlawful or arbitrary interference with privacy and other human rights.  組織は、特に、プライバシー及びその他の人権に対する不法な又は恣意的な干渉を評価し、保護するべきである。 
4. TRANSPARENCY 4.透明性
The use of facial recognition should be transparent to affected individuals and groups.  顔認識の利用は、影響を受ける個人及びグループに対して透明性のあるものにするべきである。 
5. ACCOUNTABILITY 5.責任
The use of facial recognition should include clear and effective accountability mechanisms.  顔認識の利用には、明確で効果的な責任メカニズムを含めるべきである。 
6. DATA PROTECTION PRINCIPLES 6.データ保護原則
The use of facial recognition should respect all data protection principles, including those referenced a 顔認識の利用は、上記で言及した原則を含む、すべてのデータ保護原則を尊重するべきである。 

 

2つ目の議題は、、、

(2) 電気通信事業法に基づく協議について

・[PDF] 資料2―1 電気通信事業法に基づく協議について

・[PDF] 資料2-2 電気通信事業法に基づく協議に対する回答(案) 

・[PDF] 参考 電気通信事業法に基づく協議に対する回答(令和4年11月16日付け個情第1972号)

・[PDF] 資料2-3 電気通信事業法施行規則改正案 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.11.01 第44回 世界プライバシー会議 顔認識に関する決議

 

 

顔認識についての記事...

・2022.11.04 インターポール、国連地域間犯罪司法研究所、オランダ警察、世界経済会議 顔認証のユースケースを責任を持って制限するためのポリシーフレームワーク:法執行機関の捜査(2022年改訂版)

・2022.11.01 第44回 世界プライバシー会議 顔認識に関する決議

・2022.10.07 米国 科学技術政策局 AI権利章典の青写真

・2022.10.03 米国 2022年顔認識法案

・2022.07.12 米国 国土安全保障省検査局 米国税関・国境警備局は空港での国際線旅行者の識別のために顔認識のポリシーを遵守している (2022.07.07)

・2022.05.30 英国 情報コミッショナー 顔認識データベース会社Clearview AI Incに750万ポンド以上の罰金を科し、英国人のデータの削除を命じた

・2022.05.20 欧州データ保護委員会 (EDPB) 意見募集「法執行分野における顔認識技術の使用に関するガイドライン」

・2022.05.15 カナダ プライバシーコミッショナー室 プライバシーに関する戦略的優先事項とそこから生まれたテーマと見解

・2022.04.30 米国 GAO ブログ 人工知能は国家安全保障をどう変えるか (2022.04.19)

・2022.01.21 ENISA デジタル・アイデンティティ攻撃に注意:あなたの顔が偽装される可能性があります

・2021.12.25 個人情報保護委員会 犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会の設置

・2021.10.17 インターポール、国連地域間犯罪司法研究所、オランダ警察、世界経済会議が「顔認証を責任もって制限するためのポリシーフレームワーク ユースケース:法執行機関の捜査」 at 2021.10.05

・2021.09.29 世界経済フォーラム (WEF) 技術の責任ある利用:IBMをケースにした研究

・2021.09.27 欧州委員会 職場での電子モニタリングと監視 (Electronic Monitoring and Surveillance in the Workplace)

・2021.09.10 EU議会 提言 バイオメトリクス認識と行動検知

・2021.08.28 中国 意見募集 国家サイバースペース管理局 「インターネット情報サービスのアルゴリズムによる推奨に関する管理規定」

・2021.08.27 米国 GAO 顔認識技術:連邦政府機関による現在および計画中の使用方法

・2021.08.20 英国 意見募集 監視カメラ実施規範改訂案 by 監視カメラコミッショナー at 2021.08.13

・2021.08.11 EU議会 STUDY バイオメトリクス認識と行動検知

・2021.08.10 EU議会 STUDY ヨーロッパの政策におけるディープフェイクへの取り組み at 2021.07.30

・2021.08.08 EU議会 BRIEFING スマートシティとアーバンモビリティにおける人工知能 at 2021.07.23

・2021.08.07 総務省 AIネットワーク社会推進会議 「報告書2021」の公表

・2021.08.07 Atlantic Council AIとデータ倫理におけるコミットメントからコンテンツへの移行:正義と説明可能性

・2021.08.04 中国 通信院 信頼できる人工知能についての白書 at 2021.07.09

・2021.08.03 中国 最高人民法院 「民事案件における顔識別技術の使用に関する司法解釈」

・2021.07.15 米国GAO 顔認識技術について連邦法執行機関はプライバシーやその他のリスクをより適切に評価する必要がある at 2021.06.03

・2021.07.12 ニューヨーク市 生体情報プライバシー条例が2021.07.09から施行されましたね。。。

・2021.06.30 WHO 保健のための人工知能の倫理とガバナンス

・2021.06.28 EU 外交政策ツールとしての人工知能ガバナンス

・2021.06.23 欧州 EDPBとEDPS 公共の場における人の特徴を自動認識するためのAIの使用、および不当な差別につながる可能性のあるその他のAIの使用の一部を禁止するよう要請

・2021.06.22 欧州保険職業年金局 (EIOPA) 欧州保険セクターにおける倫理的で信頼できるAIガバナンス原則に関するレポートを公表

・2021.06.20 英国 情報コミッショナー 公共の場でのライブ顔認識技術の使用に関するプライバシーの懸念

・2021.06.17 米国上院・下院 顔認識ツールを含む生体情報監視を政府が使用することを禁止する「顔認識および生体認識技術モラトリアム法案」

・2021.06.17 英国政府:データ倫理とイノベーションセンター プライバシーに関するユーザの積極的選択中間報告(スマートフォン)

・2021.06.08 U.S. の公益団体であるEPICが顔認識技術および遠隔生体認識技術の使用禁止を世界的に呼びかけていますね。。。

・2021.05.12 カナダのプライバシーコミッショナーが顔認識技術について議会で見解を述べたようですね。。。

・2021.05.07 ドイツ連邦情報セキュリティ局 (BSI) が「監査可能なAIシステムを目指して - 現状と今後の展望」を公表しています

・2021.05.03 中国 意見募集 顔認識に続けて、歩行認識、音声認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。

・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね

・2021.04.22 ドイツ連邦情報セキュリティ局 (BSI) が安全なAI導入のための対策をまとめていますね。。。

・2021.04.21 U.S. FTC(連邦取引委員会) のブログ 会社でAIを活用する場合は真実、公正、公平を目指そう、という記事がありますね。。。

・2021.03.14 CNIL 乗客のマスク着用率を測定するためのインテリジェントビデオの使用に関する法令についての意見を公表

・2021.02.05 カナダのプライバシーコミッショナーが顔認識ソフトウェアを提供するClearview AIについての声明を出していますね。。。

・2021.01.30 欧州評議会 108号条約委員会が「顔認証に関するガイドライン」を採択しましたね。。。

・2021.01.12 欧州委員会 市民イニシアティブとして「生体認証による大量監視慣行の禁止」を登録

・2021.01.04 ニューヨーク州 知事が学校での顔認識技術の使用を一時停止し、研究を指示する法律に署名 at 2020.12.22

・2020.11.04 カナダプライバシー委員会 Cadillac Fairview社が500万人の顔データを取得していたことに関する報告書(2020.10.28)

・2020.06.26 人間が間違うなら、人間を模倣したAIも間違うんでしょうね。。。

・2020.06.14 IBM, Amazon, Microsoftは顔認証システムを米国の警察には販売しない

・2020.05.01 (人工知能 AI)ブラックボックスの検証:アルゴリズムシステムを評価するためのツール - アルゴリズムの監査・影響評価のための共通言語の特定

・2020.03.26 JVNVU#99619336 勾配降下法を使用する機械学習モデルに、誤った識別をさせるような入力を作成することが可能な問題

・2020.03.04 FIRST EVER DECISION OF A FRENCH COURT APPLYING GDPR TO FACIAL RECOGNITION

・2020.02.17 遠くからでもわかる顔認識システム!

ぐっと遡って、2000年代

・2009.11.07 世界プライバシー宣言(Global Privacy Standards for a Global World)

・2005.08.11 外務省 IC旅券調査研究報告書

・2005.02.04 監視社会と信頼関係

| | Comments (0)

2022.11.26

中国 パブコメ 重要情報インフラ サイバーセキュリティ対応システムフレームワーク (2022.11.17)

こんにちは、丸山満彦です。

中国の全国信息安全标准化技术委员会 (National Information Security Standardization Technical Committee)、いわゆるTC260が重要情報インフラ事業者のサイバーセキュリティ対応システムフレームワークについての標準案を公表し、意見募集をしていますね。。。

データセンタ事業者や通信事業者に適用されるものだろうと思うのですが、日本の事業者にとっても参考になる部分はあるのだろうと思います。もちろん、伝統的な対策がほとんどなので、対策済みの項目がほとんどだろうとは思いますが...

 

● 全国信息安全标准化技术委员会 (National Information Security Standardization Technical Committee)

・2022.11.17 关于国家标准《信息安全技术 关键信息基础设施网络安全应急体系框架》征求意见稿征求意见的通知

 

・[DOC] 信息安全技术 关键信息基础设施网络安全应急体系框架-标准文本.doc

・[PDF]

20221126-62418

 

信息安全技术 关键信息基础设施网络安全应急体系框架 情報セキュリティ技術 重要情報インフラ サイバーセキュリティ対応システムフレームワーク
1 范围 1 適用範囲
本文件给出了关键信息基础设施网络安全应急体系框架,包括机构设立、分析识别、应急预案、监测预警、应急处置、事后恢复与总结、事件报告与信息共享、应急保障、演练与培训。 本書は、重要情報インフラに対するサイバーセキュリティ緊急対応体制について、組織の設立、分析・識別、緊急対応計画、監視・早期警戒、緊急対応、事後復旧・総括、事故報告・情報共有、緊急防護、演習・訓練などの枠組みを示したものである。
本文件适用于关键信息基础设施运营者建立健全网络安全应急体系、开展网络安全应急活动,也可供关键信息基础设施安全保护的其他相关方参考。 本書は、重要情報インフラの運用者が、健全なサイバーセキュリティ緊急対応体制を構築し、サイバーセキュリティ緊急対応活動を行う際に適用できるとともに、重要情報インフラのセキュリティ保護に関わるその他の関係者にとっても参考となるものである。
2 规范性引用文件 2 規範となる引用文献
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 以下の文書の内容は、本文中の規範的な参照を通じて、この文書の本質的な規定を構成している。 このうち、日付のある文献については、その日付に対応するバージョンのみが本書に適用され、日付のない文献については、最新バージョン(すべての改訂シートを含む)が本書に適用される。
GB/Z 20986 信息安全技术 信息安全事件分类分级指南 GB/Z 20986 情報セキュリティ技術 情報セキュリティインシデントの分類および等級付けガイド
GB/T 25069—2022 信息安全技术 术语 GB/T 25069-2022 情報セキュリティ技術用語集
GB/T 39204—2022  信息安全技术  关键信息基础设施安全保护要求 GB/T 39204-2022 情報セキュリティ技術 重要情報インフラのセキュリティ保護に関する要求事項
GB/T AAAAA—XXXX 信息安全技术 网络安全信息共享指南 GB/T AAAAA-XXXX 情報セキュリティ技術 サイバーセキュリティに関する情報共有のためのガイドライン

 

 

目次的なもの。。。

 

信息安全技术 关键信息基础设施网络安全应急体系框架 情報セキュリティ技術 重要情報インフラ サイバーセキュリティ対応システムフレームワーク
1 范围 1 適用範囲
2 规范性引用文件 2 規範となる引用文献
3 术语和定义 3 用語の説明と定義
3.1 关键信息基础设施  critical information infrastructure 3.1 重要情報インフラ
3.2 网络安全事件  cybersecurity incident 3.2 サイバーセキュリティインシデント
3.3 应急响应  emergency response 3.3 緊急対応
3.4 应急预案  emergency plan 3.4 緊急対応計画 
3.5 网络安全应急相关方  cybersecurity emergency relevant party 3.5 サイバーセキュリティ緊急事態関連当事者
3.6 供应链  supply chain 3.6 サプライチェーン
3.7 关键业务链  critical business chain 3.7 主要事業チェーン
4 缩略语 4 略語
5 总体架构 5 一般的なアーキテクチャ
6 机构设立 6 機関の設立
7 分析识别 7 分析・識別
8 应急预案 8 緊急対応計画
9 监测预警 9 監視と早期警告
9.1 风险发现 9.1 リスクの検出
9.2 风险分析 9.2 リスク分析
9.3 风险预警 9.3 リスク早期警告
10 应急处置 10 緊急対応
10.1 概述 10.1 概要
10.2 应急处置机制 10.2 緊急対応メカニズム
10.3 业务应急处置 10.3 業務上の緊急対応
10.4 数据应急处置 10.4 データ緊急対応
10.5 供应链应急处置 10.5 サプライチェーンでの緊急対応
11 事后恢复与总结 11 事故後の復旧と棚卸し
12 事件报告与信息共享 12 インシデント報告および情報共有
12.1 事件报告 12.1 インシデント報告
12.2 信息共享 12.2 情報共有
12.2.1 信息共享机制 12.2.1 情報共有の仕組み
12.2.2 信息共享内容 12.2.2 情報共有の内容
13 应急保障 13 緊急時のセキュリティ
13.1 基础保障 13.1 基本的なセキュリティ
13.2 协同保障 13.2 協働セキュリティ
13.3 业务保障 13.3 オペレーショナルセキュリティ
13.4 数据保障 13.4 データセキュリティ
13.5 供应链保障 13.5 サプライチェーンセキュリティ
14 演练与培训 14 演習と訓練
14.1 演练 14.1 演習
14.2 培训 14.2 訓練

 

1_20221126064301

 

図1:CIIのサイバーセキュリティ緊急対応システムフレームワークの全体アーキテクチャ

・[DOCX] 仮対訳

 


 

意見募集の一覧

全国信息安全标准化技术委员会

标准征求意见(100件単位)

 

 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.11.16 中国 意見募集 ネットワークデータセキュリティ管理条例

・2021.08.30 中国 「重要情報インフラのセキュリティ保護規制」についての専門家の解釈+「データセキュリティ法」についての解釈

・2022.05.31 中国 意見募集 国家標準案 情報セキュリティ技術- インターネットプラットフォーム及び製品サービスにおけるプライバシーポリシー要求事項

・2021.01.27 中国 TC260 パブコメ ブロックチェーン情報サービスのセキュリティ仕様他

 

 

| | Comments (0)

2022.11.25

ENISA EUにおけるサイバーセキュリティ投資 2022

こんにちは、丸山満彦です。

ENISAがセキュリティ投資に関する報告書2022年版を公表していますね。。。

なかなか興味深いです。。。

健康セクター、エネルギーセクターについては詳細な分析をしていますね。。。そして、大企業と中小企業の比較とかも。。。

昨年に比べて、セキュリティに対する投資が減少しているようです。。。

 

ENISA

・2022.11.23 Cybersecurity Investments in the EU: Is the Money Enough to Meet the New Cybersecurity Standards?

 

Cybersecurity Investments in the EU: Is the Money Enough to Meet the New Cybersecurity Standards? EUにおけるサイバーセキュリティへの投資。新しいサイバーセキュリティ基準を満たすための資金は十分か?
The European Union Agency for Cybersecurity publishes the latest report on Network and Information Security Investments in the EU providing an insight on how the NIS Directive has impacted the cybersecurity budget of operators over the past year with deep-dives into the Energy and Health sectors. 欧州連合サイバーセキュリティ機関は、EUにおけるネットワークと情報セキュリティへの投資に関する最新報告書を発表し、NIS指令が過去1年間に事業者のサイバーセキュリティ予算に与えた影響について、エネルギーと健康分野を深く掘り下げて考察している。
The report analyses data collected from Operators of Essential Services (OES) and from Digital Service Providers (DSP) identified in the European Union's Directive on Network and Information Security Systems (NIS Directive). The analysis seeks to understand whether those operators have invested their budgets differently over the past year in order to meet the new requirements set by the legislative text. この報告書では、EUの「ネットワークおよび情報セキュリティシステムに関する指令(NIS指令)」で特定された「必須サービス事業者(OES)」と「デジタルサービス事業者(DSP)」から収集したデータを分析している。この分析では、これらの事業者が、法文で定められた新たな要件を満たすために、過去1年間に異なる形で予算を投じたかどうかを理解することを目的としている。
EU Agency for Cybersecurity, Executive Director, Juhan Lepassaar, declared: “The resilience of our EU critical infrastructures and technologies will highly depend on our ability to make strategic investments. I am confident that we have the competence and skills driving us to achieve our goal, which is to ensure we will have the adequate resources at hand to further develop our cybersecurity capacities across all economic sectors of the EU." EUサイバーセキュリティ機関、エグゼクティブディレクターのJuhan Lepassaarは、次のように宣言している。「EUの重要なインフラと技術のレジリエンスは、戦略的な投資を行う能力に大きく依存する。私は、EUのすべての経済部門にわたってサイバーセキュリティ能力をさらに発展させるための適切なリソースを手元に確保するという目標を達成するための能力とスキルを、私たちが持っていると確信している。」
Contextual parameters framing the analysis 分析を構成する文脈的パラメータ
The report includes an analysis reaching more than 1000 operators across the 27 EU Member States. Related results show that the proportion of Information Technology (IT) budget dedicated to Information Security (IS) appears to be lower, compared to last year's findings, dropping from 7.7% to 6.7%. 本報告書には、27のEU加盟国にわたる1000以上の事業者を対象とした分析が含まれている。その結果、情報技術(IT)予算のうち情報セキュリティ(IS)に充てられる割合は、昨年の調査結果と比較して低くなっており、7.7%から6.7%に減少していることが判明した。
These numbers should be conceived as a general overview of information security spending across a varied typology of strategic sectors. Accordingly, specific macroeconomic contingencies such as COVID19 may have influenced the average results.   これらの数値は、戦略部門の様々な類型における情報セキュリティ支出の一般的な概観として理解されるべきである。したがって、COVID19のような特定のマクロ経済的偶発事象が平均結果に影響を及ぼしている可能性がある。 
What are the key findings? 重要な発見
The NIS Directive, other regulatory obligations and the threat landscape are the main factors impacting information security budgets; NIS指令、その他の規制義務、脅威の状況が、情報セキュリティ予算に影響を与える主な要因である。
Large operators invest EUR 120 000 on Cyber Threat Intelligence (CTI) compared to EUR 5 500 for SMEs, while operators with fully internal or insourced SOCs spend around EUR 350 000 on CTI, which is 72% more than the spending of operators with a hybrid SOC; 大規模事業者はサイバー脅威インテリジェンス(CTI)に12万ユーロを投資しているのに対し、中小企業は5500ユーロ、完全内部またはインソースSOCを持つ事業者はCTIに約35万ユーロを費やしており、ハイブリッドSOCを持つ事業者の支出より72%多い。
The health and banking sectors bear the heaviest cost among the critical sectors in case of major cybersecurity incidents with the median direct cost of an incident in these sectors amounting to EUR 300 000; 大規模なサイバーセキュリティインシデントが発生した場合、重要なセクターの中で最も重いコストを負担するのは医療と銀行セクターであり、これらのセクターにおけるインシデントの直接コストの中央値は30万ユーロにのぼる。
37% of Operators of Essential Services and Digital Service Providers do not operate a SOC;  重要サービス事業者とデジタルサービス事業者の37%は、SOCを運用していない。 
For 69% the majority of their information security incidents are caused by vulnerabilities in software or hardware products with the health sector declaring the higher number of such incidents; 69%の事業者が、情報セキュリティ事故の大半をソフトウェアまたはハードウェア製品の脆弱性に起因させるとしており、その件数は医療セクターが突出して多いとしている。
Cyber insurance has dropped to 13% in 2021 reaching a low 30% compared to 2020; サイバー保険は、2021年には13%に低下し、2020年と比較して30%という低い水準に達している。
Only 5% of SMEs subscribe to cyber insurance; 中小企業でサイバー保険に加入しているのはわずか5%。
86% have implemented third-party risks management policies. 86%が第三者リスクマネジメントを導入している。
Key findings of Health and Energy sectors 健康分野とエネルギー分野の主な調査結果
・Health ・健康分野
From a global perspective, investments in ICT for the health sector seem to be greatly impacted by COVID-19 with many hospitals looking for technologies to expand healthcare services to be delivered beyond the geographical boundaries of hospitals. Still, cybersecurity controls remain a top priority for spending with 55% of health operators seeking increased funding for cybersecurity tools. グローバルな視点から見ると、健康分野へのICT投資はCOVID-19の影響を大きく受けているようで、多くの病院が病院の地理的な境界を越えて提供される医療サービスを拡大するための技術を求めているようである。それでも、サイバーセキュリティ対策は依然として支出の最優先事項であり、医療事業者の55%がサイバーセキュリティ・ツールのための資金増額を求めている。
64% of health operators already resort to connected medical devices and 62% already deployed a security solution specifically for medical devices. Only 27% of surveyed OES in the sector have a dedicated ransomware defence programme and 40% of them have no security awareness programme for non-IT staff. 医療事業者の64%は、すでに接続された医療機器に頼り、62%は医療機器専用のセキュリティソリューションをすでに導入している。 この分野の調査対象OESのうち、ランサムウェア専用の防御プログラムを実施しているのは27%のみで、40%は非ITスタッフ向けのセキュリティ啓発プログラムを持っていない。
・Energy ・エネルギー
Oil and gas operators seem to prioritise cybersecurity with investments increasing at a rate of 74%.  Energy sector shows a trend in investments shifting from legacy infrastructure and data centres to cloud services. 石油・ガス事業者は、サイバーセキュリティを優先しているようで、投資額は74%の割合で増加している。 エネルギー分野では、レガシーインフラやデータセンターからクラウドサービスへと投資がシフトしている傾向が見られる。
However, 32% of operators in this sector do not have a single critical Operation Technology (OT) process monitored by a SOC. OT and IT are covered by a single SOC for 52% of OES in the energy sector. しかし、この分野の事業者の32%は、SOCによって監視されている重要なオペレーションテクノロジー(OT)プロセスを1つも持っていない。 エネルギー分野のOESの52%では、OTとITが1つのSOCでカバーされている。
Background 背景
The objective of the Directive on Security of Network and Information Systems (NIS Directive) is to achieve a high common level of cybersecurity across all Member States. ネットワークと情報システムのセキュリティに関する指令(NIS指令)の目的は、全加盟国に共通する高いレベルのサイバーセキュリティを実現することである。
One of the three pillars of the NIS Directive is the implementation of risk management and reporting obligations for OES and DSP. NIS指令の3つの柱の1つは、OESとDSPに対するリスクマネジメントと報告義務の実施である。
OES provide essential services in strategic sectors of energy (electricity, oil and gas), transport (air, rail, water and road), banking, financial market infrastructures, health, drinking water supply and distribution, and digital infrastructure (Internet exchange points, domain name system service providers, top-level domain name registries). OESは、エネルギー(電力、石油、ガス)、輸送(航空、鉄道、水、道路)、銀行、金融市場インフラ、健康、飲料水の供給と配給、デジタルインフラ(インターネット交換ポイント、ドメインネームシステムサービスプロバイダ、トップレベルドメイン名レジストリ)の戦略的分野で必須サービスを提供している。
DSP operate in an online environment, namely online marketplaces, online search engines and cloud computing services. DSPはオンライン環境、すなわちオンラインマーケットプレイス、オンライン検索エンジン、クラウドコンピューティングサービスにおいて事業を展開している。
The report investigates how operators invest in cybersecurity and comply with the objectives of the NIS Directive. It also gives an overview of the situation in relation to such aspects as IT security staffing, cyber insurance and organisation of information security in OES and DSP. この報告書では、事業者がどのようにサイバーセキュリティに投資し、NIS指令の目的を遵守しているかを調査している。また、OESとDSPにおけるITセキュリティの人材配置、サイバー保険、情報セキュリティの組織といった側面に関する状況についても概要を示している。
Further information 詳細はこちら
NIS Investments – ENISA report 2022 NIS投資 - ENISA報告書2022
NIS Investments – ENISA Report 2021 NIS投資 - ENISA報告書2021
NIS Investments – ENISA Report 2020 NIS投資 - ENISA報告書2020
ENISA Topic - NIS Directive ENISA トピック - NIS 指令

 

・2022.11.23 NIS Investments 2022

NIS Investments 2022 NIS投資 2022年
This report marks the third iteration of ENISA's NIS Investments report, which collects data on how Operators of Essential Services (OES) and Digital Service Providers (DSP) identified in the European Union’s directive on security of network and information systems (NIS Directive) invest their cybersecurity budgets and how this investment has been influenced by the NIS Directive. In addition, global cybersecurity market trends are presented through Gartner security data and insights observed globally and in the EU, in order to provide a better understanding of the relevant dynamics. This year's report presents data collected from 1080 OES/DSPs from all 27 EU Member States and can now provide a historical dataset that allows for year-on-year comparison and identification of trends. Moreover, sectorial deep dives were conducted for the Energy and Health sectors. Overall, a number of absolute values, such as IT and Information Security (IS) budgets or % of IT budgets spent on IS seem to be significantly lower compared to last year. This can be attributed to the composition of the survey sample and to the higher representation of OES from the Energy and Health sectors due to the sectorial deep dives, but also to the macroeconomic environment, such as the COVID-19 impact on the respective budgets. 本報告書は、ENISAのNIS Investments報告書の第3版であり、欧州連合のネットワークと情報システムのセキュリティに関する指令(NIS指令)で特定されたOperators of Essential Services(OES)とDigital Service Providers(DSP)が、サイバーセキュリティ予算をどのように投資し、この投資がNIS指令にどのように影響されてきたかというデータを収集したものである。さらに、グローバルなサイバーセキュリティ市場の動向を、ガートナーのセキュリティデータと世界およびEUで観測された知見を通じて紹介し、関連するダイナミクスをより深く理解できるようにしている。今年の報告書では、EU加盟全27カ国の1080のOES/DSPから収集したデータを紹介しており、前年比やトレンドの特定を可能にする履歴データセットを提供できるようになった。さらに、エネルギーと健康の分野では、分野別の深堀りが行われた。全体として、ITおよび情報セキュリティ(IS)予算や、IT予算のうちISに費やされた割合など、多くの絶対値が昨年に比べて大幅に減少しているようである。これは、調査サンプルの構成や、エネルギー・健康分野の深堀りによりOESの比率が高くなったことに加え、COVID-19が各予算に与える影響など、マクロ経済環境にも起因していると思われる。

 

・[PDF] NIS Investments 2022

20221125-35334

・[DOCX] 仮訳

 

 

エグゼクティブサマリー

EXECUTIVE SUMMARY  エグゼクティブサマリー 
This report marks the third iteration of ENISA's NIS Investments report, which collects data on how Operators of Essential Services (OES) and Digital Service Providers (DSP) identified in the European Union’s directive on security of network and information systems (NIS Directive)[1] invest their cybersecurity budgets and how this investment has been influenced by the NIS Directive. In addition, global cybersecurity market trends are presented through Gartner security data and insights observed globally and in the EU, in order to provide a better understanding of the relevant dynamics.  本報告書は、ENISAのNIS投資報告書の第3弾となる。本報告書では、ネットワークと情報システムのセキュリティに関する欧州連合の指令(NIS指令)[1] で特定された事業者(OES)とデジタルサービスプロバイダー(DSP)が、サイバーセキュリティ予算をどう投資し、この投資がNIS指令にどう影響されてきたかというデータを集めている。さらに、グローバルなサイバーセキュリティ市場の動向を、ガートナーのセキュリティデータとグローバルおよびEUで観測されたインサイトを通じて提示し、関連する力学の理解を深めている。 
This year's report presents data collected from 1080 OES/DSPs from all 27 EU Member States and can now provide a historical dataset that allows for year-on-year comparison and identification of trends. Moreover, sectorial deep dives were conducted for the Energy and Health sectors.  今年の報告書は、EU全27加盟国の1080のOES/DSPから収集したデータを掲載しており、前年比や傾向の特定が可能な履歴データセットを提供できるようになった。さらに、エネルギーと健康の分野では、セクター別のディープダイブを実施した。 
Overall, a number of absolute values, such as IT and Information Security (IS) budgets or % of IT budgets spent on IS seem to be significantly lower compared to last year. This can be attributed to the composition of the survey sample and to the higher representation of OES from the Energy and Health sectors due to the sectorial deep dives, but also to the macroeconomic environment, such as the COVID-19 impact on the respective budgets.  全体として、ITや情報セキュリティ(IS)予算、IT予算のうちISに費やされた割合など、多くの絶対値が昨年と比べて著しく低くなっているようである。これは、調査サンプルの構成や、セクター別の深堀りによりエネルギー部門と健康部門のOESの割合が高くなったことに加え、COVID-19が各予算に与える影響などマクロ経済環境にも起因していると思われる。 
Other key findings of the report include:  その他の主な調査結果は以下のとおりである。 
•        The median percentage of IT budgets spent on IS is 6.7 %, 1 percentage point lower compared to last year's findings.  •       IT予算のうちISに費やす割合の中央値は6.7%で、昨年の調査結果と比べて1ポイント低くなっている。 
•        The NIS Directive and other regulatory obligations, as well as the threat landscape are the main factors influencing IS budgets.  •       NIS指令やその他の規制義務、そして脅威の状況は、IS予算に影響を与える主な要因となっている。 
•        Large operators invest significantly more on CTI compared to smaller ones with the median spend on CTI across OES/DSPs being EUR 50 000. Internal SOC capabilities seem to be very closely correlated with CTI spending, even though CTI is useful outside the context of SOC operations likely indicating the need to facilitate access to CTI for smaller operators.  •       大規模な事業者は、小規模な事業者に比べて CTI への投資が著しく多く、OES/DSP 全体の CTI への支出の中央値は 50,000 ユーロであった。内部 SOC 能力は、CTI が SOC 操作のコンテキスト以外でも有用であるにもかかわらず、CTI 支出と非常に密接な相関関係があるようで、小規模事業者が CTI にアクセスしやすくする必要があることを示しているようである。 
•        The estimated direct cost of a major security incident is EUR 200 000 on median, twice as large as last year, indicating an increase in the cost of incidents. Health and Banking remain the top two sectors in terms of incident cost.  •       大規模なセキュリティインシデントの推定直接コストは中央値で20万ユーロと、昨年の2倍となっており、インシデントのコストが増加していることがわかる。インシデントコストの上位2部門は、引き続き「医療」と「銀行」である。 
•        37% of the OESs and DSPs in the EU do not operate a dedicated SOC.  •       EUのOESとDSPの37%は、専用のSOCを運用していない。 
•        30% of OES/DSPs possessed cyber insurance in 2021, a decrease of 13% compared to 2020, with only 5% of SMEs subscribing to cyber insurance.  •       2021年にサイバー保険を保有するOES/DSPは30%で、2020年と比較して13%減少し、中小企業のサイバー保険への加入は5%にとどまった。 
•        86% of OES/DSPs have implemented third-party risks management though only 47% have a dedicated TRM budget and only 24% have a dedicated TRM role.  •       OES/DSPの86%がサードパーティリスクマネジメントを導入しているが、TRM専用の予算があるのは47%、TRM専門の役割があるのは24%に過ぎない。 
•        32% of the OESs within the Energy sector indicate that none of their critical OT processes are monitored by a SOC.  •       エネルギーセクターのOESの32%は、重要なOTプロセスのどれもがSOCによって監視されていないと回答している。 
•        Only 27% of surveyed OES in the Health sector have a dedicated ransomware defence programme and 40% of surveyed OES have no security awareness programme for non-IT staff.   •       保健医療分野の調査対象企業のうち、ランサムウェア専用の防御プログラムを実施しているのはわずか27%で、調査対象企業の40%は、IT部門以外のスタッフに対するセキュリティ啓発プログラムを実施していない。  

 

 

目次...

1. INTRODUCTION 1.はじめに
2. INFORMATION SECURITY DYNAMICS AND OUTLOOK 2.情報セキュリティーの動態と展望
2.1 TRENDS IN INFORMATION SECURITY AND SPENDING ON THREAT INTELLIGENCE 2.1 情報セキュリティの動向と脅威インテリジェンスへの支出
2.1.1 Forecast spending on Information security 2.1.1 情報セキュリティへの支出予測
2.1.2 Spending forecast on cyber threat intelligence 2.1.2 サイバー脅威インテリジェンスへの支出予測
2.2 SECTOR SPECIFIC TRENDS IN SPENDING ON TECHNOLOGY 2.2 技術への支出におけるセクター別の傾向
2.2.1 Technology investments in the Health sector 2.2.1 健康分野への技術投資
2.2.2 Technology investments in the Energy sector 2.2.2 エネルギー分野への技術投資
2.3 TOP STRATEGIC TRENDS IN CYBERSECURITY 2.3 サイバーセキュリティのトップ戦略トレンド
2.3.1 Reframing the security practice 2.3.1 セキュリティの実践をリフレーミングする
2.3.2 Rethinking technology 2.3.2 技術を再考する
2.4 THE CHANGING CYBER THREAT LANDSCAPE 2.4 変化するサイバー脅威の状況
2.4.1 Attack surface expansion 2.4.1 攻撃面の拡大
2.4.2 Identity threat detection and response (ITDR) 2.4.2 アイデンティティ脅威の検知と対応
2.4.3 Digital supply chain risks 2.4.3 デジタルサプライチェーンリスク
2.5 THE ONGOING CYBERSECURITY TALENT CRUNCH 2.5 サイバーセキュリティの人材不足が進行中
2.5.1 Leverage non-traditional labour pools and profiles 2.5.1 非伝統的な労働力とプロファイルを活用する
2.5.2 Prioritise and implement relevant technology 2.5.2 関連技術の優先順位付けと導入
2.5.3 Strengthen employee value propositions 2.5.3 従業員への価値提案の強化
2.5.4 Redesign work 2.5.4 リデザイン作業
2.6 ENISA FORESIGHT 2.6 ENISA FORESIGHT
3. INFORMATION SECURITY INVESTMENTS FOR OESs AND DSPs 3.OESおよびDSPの情報セキュリティ投資について
3.1 METHODOLOGY 3.1 方法論
3.2 SPENDING ON INFORMATION SECURITY 3.2 情報セキュリティーのための支出
3.2.1 IT spending 3.2.1 IT投資
3.2.2 IS spending 3.2.2 IS支出
3.2.3 IS spending as a share of IT spending 3.2.3 IT支出に占めるIS支出の割合
3.2.4 Cyber threat intelligence (CTI) spending 3.2.4 サイバー脅威情報(CTI)支出
3.2.5 External factors impacting cybersecurity investment strategies 3.2.5 サイバーセキュリティの投資戦略に影響を与える外部要因
3.3 INFORMATION SECURITY AND NIS STAFFING 3.3 情報セキュリティとNISの人員配置
3.3.1 IT FTEs 3.3.1 IT FTEs
3.3.2 IS FTEs 3.3.2 IS FTEs
3.3.3 IS FTE as a share of IT FTEs 3.3.3 IS FTE が IT FTE に占める割合
4. SECURITY INCIDENTS AND CYBERSECURITY CAPABILITIES 4.セキュリティインシデントとサイバーセキュリティ能力
4.1 CYBERSECURITY INCIDENTS 4.1 サイバーセキュリティのインシデント
4.2 NATURE AND COSTS OF MAJOR SECURITY INCIDENTS 4.2 重大なセキュリティインシデントの性質とコスト
4.3 SECURITY OPERATIONS CENTRES (SOC) 4.3 セキュリティオペレーションセンター(Soc)
4.4 PATCHING 4.4 パッチング
4.5 CYBER INSURANCE 4.5 サイバー保険
4.6 VULNERABILITY MANAGEMENT 4.6 脆弱性の管理
4.7 CYBERSECURITY SKILLS 4.7 サイバーセキュリティのスキル
5. SUPPLY-CHAIN SECURITY 5.サプライチェーンセキュリティ
5.1 THIRD-PARTY RISK MANAGEMENT (TRM) POLICIES 5.1 第三者リスク管理(TRM)方針
5.2 TRM BUDGET 5.2 TRM 予算
5.3 TRM ROLES AND RESPONSIBILITIES 5.3 TRM の役割と責任
5.4 RISK MITIGATING TECHNIQUES 5.4 リスク軽減のための技術
5.5 EUROPEAN CYBERSECURITY REQUIREMENTS 5.5 欧州のサイバーセキュリティ要件
6. SECTORAL ANALYSIS: ENERGY 6.セクター別分析:エネルギー
6.1 DEMOGRAPHICS OF A SECTORIAL DEEP DIVE 6.1 セクター別ディープダイブのデモグラフィック
6.2 INVESTMENT AND STAFFING INFORMATION 6.2 投資と人材に関する情報
6.3 CERTIFICATION SCHEMES 6.3 認証スキーム
6.4 OPERATIONAL TECHNOLOGY (OT) SECURITY 6.4 オペレーショナルテクノロジー(OT)セキュリティ
6.5 CYBERSECURITY CERTIFICATION 6.5 サイバーセキュリティ認証
7. SECTORAL ANALYSIS: HEALTH 7.セクター別分析:健康
7.1 DEMOGRAPHICS OF A SECTORIAL DEEP DIVE 7.1 セクター別ディープダイブのデモグラフィック
7.2 INVESTMENT AND STAFFING INFORMATION 7.2 投資と人材に関する情報
7.3 CONNECTED MEDICAL DEVICES AND CLOUD PLATFORMS IN HEALTH 7.3 健康におけるコネクテッド・メディカル・デバイスとクラウド・プラットフォーム
7.4 MEDICAL DEVICES SECURITY 7.4 医療機器のセキュリティ
7.5 RANSOMWARE DEFENCE AND AWARENESS TRAINING 7.5 ランサムウェアの防御と意識向上トレーニング
7.6 CYBERSECURITY CERTIFICATION 7.6 サイバーセキュリティ認証
8. SME VS LARGE ENTERPRISES 8.SMEと大企業の比較
8.1 SME AND LE DISTRIBUTION BY MEMBER STATE AND SECTOR 8.1 加盟国・セクター別のSMEとLEの分布
8.2 IS SPEND AS A SHARE OF IT SPEND FOR SMEs AND LEs 8.2 中小企業および大企業の IT 投資に占める IS 支出の割合
8.3 CTI SPENDING FOR SMEs AND LEs 8.3 中小企業および大企業に対する CTI 支出
8.4 IS FTEs AS A SHARE OF IT FTEs FOR SMEs AND LEs 8.4 中小企業および大企業のITスタッフに占めるIS FTEsの割合
8.5 SOC CAPABILITIES FOR SMEs AND LEs 8.5 中小企業および LE の社会的能力
8.6 SHARE OF ASSETS VISIBILITY FOR PATCHING FOR SMEs AND LEs 8.6 中小企業および大企業のパッチ適用における資産可視化の割合
8.7 AVERAGE TIME TO PATCH CRITICAL VULNERABILITIES IN IT ASSETS FOR SMEs AND LEs 8.7 中小企業および大企業の IT 資産における重大な脆弱性の修正に要する平均時間
8.8 CYBER INSURANCE FOR SMEs AND LEs 8.8 中小企業および LE のためのサイバー保険
8.9 VULNERABILITY MANAGEMENT FOR SMEs AND LEs 8.9 中小企業および大企業の脆弱性管理
8.10 THIRD PARTY RISK MANAGEMENT (TRM) POLICIES FOR SMEs AND LEs 8.10 中小企業及び大企業の第三者リスク管理(TRM)方針
8.11 CYBERSECURITY SKILLS FOR SMEs AND LEs 8.11 中小企業および LE のためのサイバーセキュリティ・スキル
8.12 EUROPEAN CYBERSECURITY REQUIREMENTS FOR SMEs AND LEs 8.12 中小企業及び大企業に対する欧州のサイバーセキュリティ要求事項
9. CONCLUSIONS 9.結論
A ANNEX: NIS DIRECTIVE SURVEY DEMOGRAPHICS A 附属書:NIS ディレクティブ調査人口統計データ
B ANNEX: DEFINITIONS B 附属書:定義
B.1 MEDIAN AND AVERAGE DEFINITIONS B.1 中央値および平均値の定義
B.2 CAGR DEFINITION B.2 CAGRの定義
B.3 SME DEFINITION B.3 SME の定義
C ANNEX: ACRONYMS C 附属書:頭字語

 

参考...

 

OESとDSP

Operators of Essential Services (OES)  基幹サービス事業者 (OES)
•        Energy (electricity, oil and gas)  ・エネルギー(電気,石油,ガス)
•        Transport (air, rail, water and road)  ・輸送(航空, 鉄道, 海上, 道路)
•        Banking  ・銀行
•        Financial market infrastructures  ・金融市場インフラストラクチャー
•        Health  ・医療機関
•        Drinking water supply and distribution  ・飲料水の供給と配給
•        Digital infrastructure  ・デジタルインフラ
Digital Service Providers (DSP) デジタルサービスプロバイダ (DSP)
•        Online marketplace  ・オンライン・マーケットプレイス
•        Online search engine  ・オンライン検索エンジン
•        Cloud computing service  ・クラウドコンピューティングサービス

 

 

 


昨年の...

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.11.26 ENISA NIS投資動向報告書2021 at 2021.11.17

 

 

 

| | Comments (0)

欧州データ保護委員会 パブコメ コントローラ用 拘束的企業準則 (BCR-C) (2022.11.15)

こんにちは、丸山満彦です。

欧州データ保護委員会がコントローラ用拘束的企業準則 (BCR-C) を公開し、意見募集をしていますね。。。既存のガイダンスをCJEUのSchrems II判決の要件に一致させるための改訂という感じですね。。。

日本では、IIJがBCRを活用していますね。。。

 

European Data Protection Board: EDPB

・2022.11.15 EDPB adopts Recommendations on the application for approval and on the elements and principles to be found in Controller Binding Corporate Rules

EDPB adopts Recommendations on the application for approval and on the elements and principles to be found in Controller Binding Corporate Rules EDPB、承認申請とコントローラ用 拘束的企業準則の要素および原則に関する勧告を採択
During its November plenary, the EDPB adopted Recommendations on the application for approval and on the elements and principles to be found in Controller Binding Corporate Rules (BCR-C). These recommendations form an update of the existing BCR-C referential, which contain criteria for BCR-C approval, and merge it with the standard application form for BCR-C. The new recommendations build upon the agreements reached by data protection authorities in the course of approval procedures on concrete BCR applications since the entering into application of the GDPR. The recommendations provide additional guidance and aim to ensure a level playing field for all BCR applicants. The recommendations also bring the existing guidance in line with the requirements in the CJEU’s Schrems II ruling. EDPBは、11月の総会において、コントローラ用 拘束的企業準則 (BCR-C)の承認申請および要素・原則に関する勧告を採択した。この勧告は、BCR-C承認のための基準を含む既存のBCR-Cリファレンスを更新し、BCR-Cの標準申請書と統合するものである。この新しい勧告は、GDPRの適用開始以来、具体的なBCR申請に関する承認手続きの過程でデータ保護当局が達成した合意に基づいている。この勧告は、追加のガイダンスを提供し、すべてのBCR申請者に公平な競争の場を保証することを目的としている。また、この勧告は、既存のガイダンスをCJEUのSchrems II判決の要件に一致させるものである。
BCR-Cs are a transfer tool that can be used by a group of undertakings or enterprises, engaged in a joint economic activity, to transfer personal data outside the European Economic Area to controllers or processors within the same group. BCRs create enforceable rights and set out commitments to establish a level of data protection essentially equivalent to the one provided by the GDPR. BCR-Cは、共同経済活動を行う企業グループが、欧州経済領域外の個人データを同じグループ内の管理者または処理者に移転するために使用できる移転手段である。BCRは、強制力のある権利を創出し、GDPRが提供するものと本質的に同等のデータ保護レベルを確立するためのコミットメントを定めている。
The aim of these recommendations is to: 本勧告の目的は、以下のとおりである。
・provide an updated standard application form for the approval of BCR-Cs; ・BCR-Cの承認のための標準的な申請書の更新を提供する。
・clarify the necessary content of BCR-Cs and provide further explanation; ・BCR-Cの必要な内容を明確にし、さらなる説明を提供する。
・make a distinction between what must be included in a BCR-C and what must be presented to the BCR lead data protection authority in the BCR application; ・BCR-Cに含まれなければならないものと、BCR申請においてBCRリードデータ保護当局に提示しなければならないものを区別する。
A second set of recommendations for BCR-processors is currently being developed. プロセッサー用BCRに対する第2の勧告は、現在策定中である。
The recommendations will be subject to public consultation until 10 January 2023 勧告は、2023年1月10日まで公開協議の対象となる予定である。

 

・2022.11.17 Recommendations 1/2022 on the Application for Approval and on the elements and principles to be found in Controller Binding Corporate Rules (Art. 47 GDPR)

Recommendations 1/2022 on the Application for Approval and on the elements and principles to be found in Controller Binding Corporate Rules (Art. 47 GDPR) 承認申請に関する勧告1/2022、及びコントローラー用拘束的企業準則(GDPR第47条)に見出されるべき要素及び原則に関する勧告
The European Data Protection Board welcomes comments on the Recommendations 1/2022 on the Application for Approval and on the elements and principles to be found in Controller Binding Corporate Rules (Art. 47 GDPR). 欧州データ保護委員会は、承認申請に関する勧告1/2022およびコントローラー拘束力のある企業規則(GDPR第47条)に見出される要素および原則に関するコメントを歓迎する。
Such comments should be sent 10th January 2023 at the latest using the provided form. このようなコメントは、遅くとも2023年1月10日までに、所定のフォームを使用して送信すること。
Please note that, by submitting your comments, you acknowledge that your comments might be published on the EDPB website. なお、コメントを送信することにより、あなたのコメントがEDPBのウェブサイトに掲載される可能性があることを了承したものとみなされる。
The EDPB Secretariat staff screens all replies provided before publication (only for the purpose of blocking unauthorised submissions, such as spam), after which the replies are made available to the public directly on the EDPB public consultations’ page. Unauthorised submissions are immediately deleted. The attached files are not altered in any way by the EDPB. EDPB事務局では公開前に全ての返信を審査し(スパムなど不正な投稿をブロックする目的のみ)、その後EDPB公開協議のページで直接公開される。無許可の投稿は直ちに削除されます。添付されたファイルは、EDPBによって一切変更されない。
Please, note that regardless the option chosen, your contribution may be subject to a request for access to documents under Regulation 1049/2001 on public access to European Parliament, Council and Commission documents. In this case the request will be assessed against the conditions set out in the Regulation and in accordance with applicable data protection rules. なお、どのオプションを選択したかにかかわらず、あなたの投稿は、欧州議会、理事会、欧州委員会の文書への一般アクセスに関する規則1049/2001に基づく文書アクセス要求の対象となる可能性があることを了承すること。この場合、要求は同規則に規定された条件と、適用されるデータ保護規則に従って評価される。
All legal details can be found in our Specific Privacy Statement (SPS). すべての法的な詳細は、当社の特定個人情報保護方針(SPS)に記載されている。

 

・2022.11.17 [PDF] Recommendations 1/2022 on the Application for Approval and on the elements and principles to be found in Controller Binding Corporate Rules (Art. 47 GDPR)

20221125-10958

・[DOCX] 仮訳

 

 

| | Comments (0)

2022.11.24

ノルウェイ フランス ドイツ オランダ等 ワールドカップが開催されているカタールのアプリについての警告 (2022.11.14-)

こんにちは、丸山満彦です。

FIFA World Cup 2022では、日本がドイツに2-1で勝ち、わいているところですが、、、

Fifa

ノルウェイ フランス ドイツ オランダ等の個人データ保護委員会がワールドカップが開催されているカタールのアプリ (ワールド カップの公式アプリである「Hayya」、感染追跡アプリ「Ehteraz」) について、電話通話履歴を取得している等、広範囲な個人データを取得している可能性があるので、使い捨て携帯にアプリをダウンロードして利用をすることを推奨するなど、警告を出していますね。。。

ノルウェイ

Datatilsynet

Datatilsynet

・2022.11.14 Apper under Qatar-VM

Apper under Qatar-VM カタール ワールド カップ期間中のアプリ
Alle som reiser til Qatar for å følge fotball-VM, kan bli bedt om å laste ned to qatarske apper. Appene kan potensielt brukes til å overvåke de tilreisende. Vi har laget noen råd om hva du kan gjøre i denne situasjonen. FIFA ワールド カップを観戦するためにカタールに旅行する人は誰でも、2 つのカタール アプリをダウンロードするよう求められる。アプリは、訪問者を監視するために使用できる可能性がある。このような状況であなたができることについて、いくつかのアドバイスを用意した。
Tilreisende til Qatar-VM blir bedt om å laste ned appen Hayya, den offisielle VM-appen. Denne har fått kritikk blant annet for å overvåke brukernes lokasjon. カタール ワールド カップの来場者は、ワールド カップの公式アプリである Hayya アプリをダウンロードするよう求められる。これは、とりわけ、ユーザーの位置を監視するため、批判を受けている。
Dersom du trenger å oppsøke helsehjelpfasiliteter i Qatar, vil du også bli bedt om å laste ned appen Ehteraz, en smittesporingsapp. Ehteraz har mottatt sterk kritikk fordi appen kan brukes til å hente ut personopplysninger fra brukernes mobiltelefoner (nrk.no). Den norske ambassaden i Abu Dhabi (De forente arabiske emirater), som er sideakkridert til Qatar, har gjort oss oppmerksom på at obligatorisk forhåndsregistrering i denne appen ble opphevet i starten av november 2022. カタールの医療施設を訪問する必要がある場合は、感染追跡アプリである Ehteraz アプリのダウンロードも求められる。 Ehteraz は、このアプリを使用してユーザーの携帯電話から個人データを抽出できるため、強い批判を受けている (nrk.no)。カタールに認可されているアブダビ (アラブ首長国連邦) のノルウェー大使館は、このアプリでの必須の事前登録が 2022 年 11 月の初めに解除されたことを通知した。
Vide tilganger 広いアクセス
Datatilsynet vet ikke hva disse appene faktisk gjør eller hva brukernes personopplysninger eventuelt vil bli brukt til. ノルウェーのデータ保護機関は、これらのアプリが実際に何をするのか、ユーザーの個人データが何に使用される可能性があるのか​​を知らない。
- Vi er foruroliget over de vide tilgangene appene krever. Det er en reell mulighet for at tilreisende til Qatar, og særlig utsatte grupper, blir overvåket av qatarske myndigheter. Datatilsynet har ikke mulighet til å gripe inn mot dette, sier seksjonsjef for internasjonal seksjon i Datatilsynet, Tobias Judin. ・私たちは、アプリが必要とする広範なアクセスに警戒している。カタールへの訪問者、特に脆弱なグループがカタール当局によって監視される可能性が現実にある。ノルウェイのデータ保護機関の国際セクションの責任者であるトビアス・ジュディンは次のように述べている。「ノルウェイのデータ保護機関には、これに対して介入する機会がない。」
Det finnes imidlertid forhåndsregler du kan ta som reisende. ただし、旅行者としてできる注意事項がある。
Råd for privatpersoner som er bekymret 気になるという個人へのアドバイス
Når du reiser med private enheter uten tilgang til jobbsystemer, er det opp til deg hvilken risiko du er komfortabel med, hvorvidt du ønsker å iverksette tiltak og hvilke tiltak du eventuelt iverksetter. 仕事用のシステムにアクセスしない私用デバイスを持って旅行する場合、どのようなリスクを許容できるか、行動を起こすかどうか、そしてもしあればどのような行動を取るかは、あなた次第である。
Et lavterskeltiltak er å ikke gi appen Hayya tilgang til lokasjonen din. Sjekk innstillingene i appen og på telefonen dersom du er i tvil om appen har slik tilgang. Appens personvernerklæring (qatar2022.qa) gir inntrykk av at appen fremdeles fungerer selv om du nekter tilgang til lokasjon. 敷居の低い対策は、Hayya アプリに位置情報へのアクセスを許可しないことである。アプリにそのようなアクセス権があるかどうか疑問がある場合は、アプリと電話の設定を確認すること。アプリのプライバシー ポリシー (qatar2022.qa) を見ると、位置情報へのアクセスを拒否してもアプリは機能するようである。
Før avreise er det vanskelig å vite om du havner i en situasjon der du blir bedt om å laste ned Ehteraz. Dersom du skal reise til Qatar og er bekymret for personvernet, kan du for eksempel vurdere å ha med to mobiltelefoner: en tom lånetelefon som Ehteraz (og Hayyat) eventuelt installeres på, og din vanlige mobiltelefon ved siden av. Det er lurt å passe ekstra godt på din vanlige mobiltelefon, og i den forbindelse kan du for eksempel vurdere følgende tiltak: 出発前に、Ehteraz のダウンロードを求められる状況に陥るかどうかを知ることは困難である。カタールに行く予定があり、プライバシーが心配な場合は、たとえば、2 台の携帯電話を持ち込むことを検討すると良い。Ehteraz (および Hayyat) をインストールする可能性のある空の代替電話と、通常の携帯電話である。通常の携帯電話を特別に管理することを推奨する。これに関して、たとえば、次の対策を検討できる。
・Før avreise, ta sikkerhetskopi av telefonen din i fall det senere blir nødvendig å gjenopprette den. ・後で復元する必要が生じた場合に備えて、出発する前に電話をバックアップする。
・Unngå å koble til åpne eller usikre WiFi-nettverk. ・公開またはセキュリティで保護されていない WiFi ネットワークへの接続は避ける。
・Ha mobiltelefonen på deg til enhver tid, og unngå å legge den igjen i hotellsafer og liknende. ・携帯電話は常に携帯し、ホテルの金庫などに置きっぱなしにしない。
・Unngå å bruke USB-ladeporter på hotellrom, kollektivtransport, flyplass og liknende. Bruk medbrakt lader med veggstøpsel. ・ホテルの部屋、公共交通機関、空港などでは USB 充電ポートを使用しない。付属の充電器と壁のプラグを使用する。
・Unngå å installere noe under reisen. Automatiske app- og programvareoppdateringer kan skrus av, og det samme gjelder automatisk sikkerhetskopiering. ・移動中は何も設置しない。自動バックアップと同様に、アプリとソフトウェアの自動更新をオフにすることができる。
Hvis ønsker å iverksette tiltak, men ikke har adgang til en tom lånetelefon eller ønsker en enda sikrere løsning, kan du for eksempel tømme mobiltelefonen din før og etter reisen: 行動を起こしたいが空の貸し出し電話にアクセスできない場合、またはさらに安全なソリューションが必要な場合は、たとえば、旅行の前後に携帯電話を空にすることができる。
1. Før avreise, ta sikkerhetskopi av telefonen din. 1. 出発する前に、電話をバックアップする。
2. Slett og nullstill telefonen slik at den er helt tom. 2. 電話を消去してリセットし、完全に空白にする。
3. Installer de qatarske appene. 3. Qatari アプリをインストールする。
4. Husk at alt du bruker telefonen til mens appene er installert, potensielt kan overvåkes. 4. アプリのインストール中に電話を使用することはすべて監視される可能性があることに注意する。
5. Så snart du forlater Qatar, ta eventuelt vare på bilder, og slett og nullstill deretter telefonen på nytt. 5. カタールを出たらすぐに写真を保存し、携帯電話を消去してリセットする。
6. Gjenopprett telefonen fra sikkerhetskopien du tok før avreise. 6. 出発前に取ったバックアップから電話を復元する。
Strenge regler for jobbrelatert utstyr 作業関連設備の厳格なルール
Når arbeidstakere reiser med jobbutstyr eller utstyr som har tilgang til jobbsystemer, har virksomheten ansvar etter personvernforordningen for å sikre at virksomhetens personopplysninger beskyttes under reisen. Hvis ikke tilstrekkelige informasjonssikkerhetstiltak iverksettes, kan det føre til at personopplysninger som virksomheten behandler kommer på avveier, misbrukes, manipuleres eller blir utilgjengeliggjort. 従業員が業務用機器または業務用システムにアクセスできる機器を持って移動する場合、企業はデータ保護規則に基づき、移動中に企業の個人データが保護されるようにする責任がある。適切な情報セキュリティ対策が実施されていない場合、会社が処理する個人データが紛失、誤用、操作、または利用できなくなる可能性がある。
Derfor er det viktig at virksomhetene har oversikt dersom arbeidstakere skal reise til Qatar-VM med jobbutstyr eller utstyr med tilgang til virksomhetens systemer. I slike tilfeller må virksomheten gjennomføre gode risikovurderinger for reisen og iverksette sikkerhetstiltak som står i forhold til den identifiserte risikoen. したがって、従業員が作業用機器または企業のシステムにアクセスできる機器を持ってカタールに移動する場合、企業は概要を把握しておくことが重要である。このような場合、企業は出張の適切なリスク評価を実施し、特定されたリスクに見合ったセキュリティ対策を実施する必要がある。

 

フランス

CNIL

Cnil

・2022.11.14 Voyager en dehors de l’UE : la checklist de la CNIL pour protéger votre téléphone, ordinateur ou tablette

Voyager en dehors de l’UE : la checklist de la CNIL pour protéger votre téléphone, ordinateur ou tablette EU圏外への渡航:携帯電話、コンピュータ、タブレットを保護するためのCNILのチェックリスト
Pour voyager en dehors de l’Union européenne en toute sérénité, n’oubliez pas de protéger vos données ! La CNIL propose une checklist pour sécuriser votre téléphone, votre ordinateur ou votre tablette. EU圏外へ安心して旅行するために、データの保護もお忘れなく! CNILは、あなたの携帯電話、パソコン、タブレットを保護するためのチェックリストを提供している。
Pourquoi protéger ses appareils avant de partir en voyage ? なぜ旅行前にデバイスを保護するのか?
Avant de voyager dans un autre pays, il est essentiel de sécuriser vos téléphones, ordinateurs portables et tablettes. 海外に渡航する前に、携帯電話、ノートパソコン、タブレット端末のセキュリティ確保は必須である。
En France et dans l’Union européenne, vos données sont protégées par le règlement général sur la protection des données (RPGD), mais celui-ci ne vous protègera pas nécessairement si vous visitez un autre pays. フランスおよび欧州連合では、個人のデータは一般データ保護規則(GDPR)により保護されているが、個人が他の国を訪問された場合、必ずしも保護されるとは限らない。
La checklist de la CNIL CNILチェックリスト
・Avant le départ, informez-vous sur les règles applicables aux données personnelles et à la vie privée dans le pays dans lequel vous vous rendez, notamment sur le site du ministère de l'Europe et des Affaires étrangères. ・下記のチェックリストに加えて、欧州外務省のホームページに記載されている渡航先の領事館の番号を常に携帯することを忘れないようにする。

・ Ne dévoilez pas vos absences ou le lieu de votre destination et verrouillez vos comptes sociaux. ・不在や行き先を明かさず、ソーシャルアカウントをロックする。
・ Si le pays en question vous impose de télécharger une application spécifique, quelle qu’en soit la raison : ・当該国が、何らかの理由で特定のアプリケーションのダウンロードを要求している場合、
・・ Installez l’application au dernier moment avant le départ ou sur place. ・・出発前の最後の瞬間、または現場でアプリケーションをインストールする。
・・ Limitez les autorisations systèmes à celles strictement nécessaires. ・・システムの権限を厳密に必要なものに限定する。
・・ Supprimez l’application dès le retour en France. ・・フランスに帰国後、すぐにアプリケーションを削除する。
・ Si possible, voyagez avec un téléphone vierge ・可能であれば、空の携帯電話を持って旅行する。
・・ Faites une sauvegarde de vos messages et photos puis remettez à zéro votre téléphone (restauration d’usine). ・・メッセージや写真のバックアップをとってから、携帯電話をリセット(工場出荷状態に戻す)する。
・・ Restaurez la sauvegarde au retour. ・・帰国後、バックアップを復元する。
・・ ou mieux, utilisez un ancien téléphone remis à zéro si vous en avez un. ・・あるいは、古いリセットされた携帯電話があれば、それを使うのもよい。
・ Gardez votre téléphone avec vous en permanence et ne laissez personne l’utiliser. ・携帯電話は常に持ち歩き、誰にも使わせないようにする。
・ Limitez au strict nécessaire la connexion en ligne à des services nécessitant une authentification, même s’ils semblent officiels. ・認証が必要なオンラインサービスでは、たとえそれが正式なものであっても、ログインは必要な範囲にとどめる。
・ Protégez l’accès à votre smartphone par un mot de passe fort. ・スマートフォンへのアクセスは、強力なパスワードで保護する。
・ Sur place, attention aux photographies que vous prenez. Il peut être interdit de prendre une personne en photo sans son consentement ou des bâtiments publics. ・現地で撮影する写真には注意が必要である。人物を無断で撮影したり、公共の建物を撮影することは違法となる場合がある。
・En ligne ou hors ligne, ne dévoilez jamais d’informations sur vous qui pourraient vous mettre en difficulté selon votre pays de destination, notamment des données sensibles comme vos opinions politiques ou religieuses, ou encore votre orientation sexuelle. ・ オンライン、オフラインを問わず、政治的、宗教的見解、性的指向などの機密情報を含め、渡航先によってはトラブルに巻き込まれる可能性のある情報は絶対に明かさないようにする。
Que se passe-t-il si vous rencontrez des difficultés sur place ? 目的地で困ったことが起こったら?
En dehors de la checklist ci-dessus, pensez à toujours conserver sur vous le numéro de la permanence consulaire du pays de destination, comme indiqué sur le site du ministère de l'Europe et des Affaires étrangères. 上記のチェックリストとは別に、欧州外務省のホームページに記載されている渡航先の領事館の電話番号を常に携帯しておくことを忘れないようにする。
Ce contact vous sera utile, par exemple en cas de vol, perte ou altération de votre téléphone, tablette ou ordinateur. この連絡先は、たとえば、携帯電話、タブレット、パソコンが盗難、紛失、破損した場合などに役立つ。

 

ドイツ

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI)

Bfdi_20221124014901

・2022.11.15 Hinweise zum Umgang mit den Apps Ehteraz und Hayya

Hinweise zum Umgang mit den Apps Ehteraz und Hayya アプリ「Ehteraz」「Hayya」の使用方法について
Der BfDI wurde durch Anfragen darauf aufmerksam gemacht, dass für die Einreise zur Fußball-Weltmeisterschaft 2022 in Katar die Installation der Apps "Ehteraz" und "Hayya" verpflichtend ist. Mit den ihm zur Verfügung stehenden Ressourcen hat der BfDI eine erste Analyse beider Apps vorgenommen. BfDIは、2022年サッカーワールドカップ・カタール大会の入場には、アプリ「Ehteraz」「Hayya」のインストールが必須であることを問い合わせにより知った。BfDIは、そのリソースを活用して、両アプリの初期分析を実施した。
Die Apps "Ehteraz" und "Hayya" sind in den gängigen App-Stores in Europa verfügbar und können damit auch außerhalb von Katar heruntergeladen und "genutzt" werden. Von Seiten des BfDI konnte festgestellt werden, dass die Datenverarbeitungen beider Apps wahrscheinlich deutlich weiter gehen, als es die Beschreibungen der Datenschutzhinweise und Verarbeitungszwecke in den App-Stores angeben. アプリ「Ehteraz」と「Hayya」は、ヨーロッパの通常のアプリストアで入手できるため、カタール国外でもダウンロードして「使用」することが可能である。BfDIは、両アプリのデータ処理が、アプリストアのデータ保護通知や処理目的の記述から推測されるよりもはるかに進んでいることを立証することができた。
So wird bei einer der Apps unter anderem erhoben, ob und mit welcher Nummer ein Telefonat geführt wird. Hierbei handelt es sich um mitunter sensible Telekommunikationsverbindungsdaten, die in Deutschland unter das Fernmeldegeheimnis fallen. Die andere App verhindert unter anderem aktiv, dass das Gerät, auf dem sie installiert wird, in den Schlafmodus wechselt. Es ist zudem naheliegend, dass die von den Apps verwendeten Daten nicht nur lokal auf dem Gerät verbleiben, sondern an einen zentralen Server übermittelt werden. 例えば、あるアプリでは、どの番号に電話をかけたか、というデータを収集している。これは、ドイツでは通信の秘密に該当する、機密性の高い通信接続データである。中でも、もう一つのアプリは、インストールされた端末がスリープモードに切り替わるのを積極的に阻止する。また、アプリが使用するデータは、端末のローカルに残るだけではなく、中央のサーバーに送信されることも明らかとなった。
Der BfDI rät daher dazu, die beiden Apps nur dann zu installieren, wenn es absolut unumgänglich ist. Zudem sollte erwogen werden, für die Installation ein eigenes Telefon zu verwenden, das ausschließlich für die Apps genutzt wird. Insbesondere sollten auf diesem Gerät keine weiteren personenbezogenen Daten, wie etwa Telefonnummern, Bild- oder Tondateien gespeichert sein. Im Nachgang der Nutzung der Apps sollten auf dem verwendeten Telefon, das Betriebssystem und sämtliche Inhalte vollständig gelöscht werden. そのため、BfDIでは、やむを得ない場合にのみ、この2つのアプリをインストールすることを勧めている。また、インストールする携帯電話は、アプリ専用に別のものを使用するなどの配慮が必要である。特に、電話番号、画像や音声ファイルなど、その他の個人情報をこのデバイスに保存してはいけません。アプリを使用した後は、使用した携帯電話のオペレーティングシステムとすべてのコンテンツを完全に削除する必要がある。
Hinsichtlich der mit der Nutzung der Apps verbundenen datenschutzrechtlichen Problematik hat der BfDI auch das Bundesamt für Sicherheit in der Informationstechnik und das Auswärtige Amt kontaktiert. BfDIは、アプリの使用に関連するデータ保護の問題について、連邦情報セキュリティ局および連邦外務省にも問い合わせをした。

 

オランダ

Autoriteit Persoonsgegevens

Ap_20221124015201

・2022.11.17  AP waarschuwt WK-gangers voor Qatarese apps

AP waarschuwt WK-gangers voor Qatarese apps AP、W杯観戦者にカタール製アプリを警告
De Autoriteit Persoonsgegevens (AP) raadt bezoekers van het WK voetbal in Qatar aan om goed op hun digitale veiligheid te letten. Wie het WK bezoekt, is verplicht een aantal apps op de mobiele telefoon te installeren. De AP raadt Qatar-bezoekers aan daarvoor een telefoon te gebruiken die zij voor niets anders gebruiken. 個人情報保護局(AP)は、カタール・ワールドカップの来場者に対し、デジタル・セキュリティに細心の注意を払うよう勧告している。ワールドカップに参加される方は、携帯電話にいくつものアプリをインストールする必要がある。APは、カタールの訪問者に、他のことに使わない携帯電話をこの目的のために使うようアドバイスしている。
Eerder waarschuwden de Duitse, Franse, Noorse en Deense privacytoezichthouders al voor deze apps. Met name de Duitse toezichthouder heeft een analyse van de apps uitgevoerd. De AP sluit zich aan bij de waarschuwing van de Europese collega-toezichthouders. 先に、ドイツ、フランス、ノルウェー、デンマークの個人情報保護規制当局が、これらのアプリに対して警告を発している。特に、ドイツの規制当局がアプリの分析を実施した。APは、同じ欧州の規制当局からの警告に加わる。
De betreffende apps heten Ehteraz – een coronatracker – en Hayya, een speciale WK-app. Privacytoezichthouders uit verschillende Europese landen wijzen erop dat de apps waarschijnlijk informatie over gebruikers verzamelen zonder dat gebruikers hiervan op de hoogte zijn.  問題のアプリは、コロナトラッカー「Ehteraz」とワールドカップ専用アプリ「Hayya」と呼ばれるものである。欧州数カ国の個人情報保護規制当局は、アプリがユーザーの知らないところでユーザーの情報を収集している可能性が高いと指摘している。 
Bijvoorbeeld met wie een gebruiker gebeld heeft en welke apps er allemaal op de telefoon staan. Dus ook of het bijvoorbeeld gaat om een dating-app waaruit iemands seksuele voorkeur blijkt. Ook is het vermoedelijk mogelijk dat de apps toegang hebben tot de foto’s van de gebruiker. 例えば、ユーザーが誰と通話したのか、どのアプリがすべて電話に入っているのか、などである。また、例えば出会い系アプリで誰かの性的指向を明らかにするものなのかどうかもそうである。また、アプリがユーザーの写真にアクセスする可能性も考えられる。

 


ちなみに、FIFA Qatarのプライバシーポリシー

FIFA World Cup Qatar 2022

Fifa

 

 

 

 

 

 

 

Privacy Policy

Hayya に関係しそうなところ...

Annex C 附属書C
App アプリ
Additional information that we collect about you 我々があなたについて収集する追加情報
When you register for an account to use the App, we may collect: あなたが本アプリを使用するためにアカウントを登録する際、我々は以下の情報を収集することがある。
Basic information about yourself, such as your name, date of birth, address, email address, telephone or mobile number; 氏名、生年月日、住所、電子メールアドレス、電話番号または携帯電話番号などのあなたに関する基本情報。
Information about your Tournament itinerary, such as the matches which you have ticket(s) to attend; あなたが入場券をお持ちの試合など、大会の日程に関する情報。
Information about your preferences, such as tourist attractions you might like to visit whilst you are in Qatar; カタール滞在中に訪れたいと思う観光地など、あなたの好みに関する情報
Location data, if you have enabled location tracking within the App; and あなたが本アプリ内で位置情報の追跡を有効にしている場合、位置情報
Sensitive personal data, for example, information relating to your needs at the stadium (e.g. requests for disabled access), should you choose to provide us with that information. 機密性の高い個人情報、例えば、スタジアムでのあなたのニーズに関する情報(例:身体障害者用のアクセスのリクエスト)(あなたがその情報を我々に提供することを選択した場合)。
​​​​​​​We may collect this information both by way of you providing it to us (for example, through forms and questionnaires on the App), or through your browsing history on the App. 我々は、あなたが我々に情報を提供する方法(例えば、本アプリ上のフォームやアンケートなど)、またはあなたの本アプリの閲覧履歴を通じて、この情報を収集することがある。
Additional purposes of use その他の利用目的
​​​​​​​To provide you with updates and recommendations ► To provide you with information about recommended travel routes (e.g. based on traffic and crowding), changes to match schedules, and other information relevant to your stay in Qatar and attendance at the Tournament(s). Separately, we may provide you with marketing materials where you have chosen to receive these (see the section titled “What we do with your information?” in the main Privacy Policy). 最新情報やおすすめ情報を提供するため ► おすすめの移動経路(例:交通渋滞や混雑状況に基づく)、試合日程の変更、その他カタールでの滞在や大会への参加に関連する情報を提供するため。これとは別に、我々は、あなたがマーケティング資料を受け取ることを選択された場合、あなたにマーケティング資料を提供することがある(プライバシーポリシーの「あなたの情報をどう扱うか」の項を参照すること)。
Lawful bases: consent, legitimate interests (to keep you updated with news in relation to your stay in Qatar and attendance at the Tournament(s)) 合法的根拠:同意、正当な利益(カタールでの滞在および大会への参加に関連した最新情報を提供するため)。
​​​​​​​For crowd control and tournament management purposes ► If you have enabled location tracking, we may combine this data with that of other Fans to identify areas which are at risk of overcrowding, and release announcements recommending that Fans avoid those areas or use alternative routes. 混雑管理および大会運営のため ►あなたが位置情報の追跡を有効にした場合、我々は、このデータを他のファンのデータと組み合わせて、混雑のおそれのあるエリアを特定し、そのエリアを避けるか、別のルートを使用するよう勧めるアナウンスを流すことがある。
Lawful bases: consent, legitimate interests (to ensure the safety and security of attendees at the Tournaments) 合法的根拠:同意、正当な利益(トーナメント参加者の安全と安心を確保するため)。
   
​​​​​​​Annex D 附属書D
Hayya Card Hayya カード
Additional information that we collect about you 我々があなたについて収集する追加情報
When you use or carry your Hayya Card, we may collect: あなたがハイヤカードを使用又は携帯する場合、我々は以下の情報を収集することがある。
Details of your check-ins, for example, the location (e.g. the gantry number) and time at which you check into one of our stadiums for a Tournament, using your Hayya Card; and チェックインに関する詳細(例:大会のために我々のスタジアムにチェックインした場所(例:ガントリー番号)及び時間);及び
Details of your travel journeys made using your Hayya Card (e.g. mode of transport and time of journey). あなたのHayyaカードによる移動の詳細(例:移動手段、移動時間)。
Additional purposes of use その他の利用目的
​​​​​​​To verify your identity and access rights ► When you scan or present your Hayya Card, for example, at a gantry, we will use that data to confirm that you have a valid ticket to the match in question, or to access public transport during the Tournament(s). 本人確認とアクセス権の確認 ► 例えば、ガントリーでHayyaカードをスキャンまたは提示した場合、我々はそのデータを使用して、当該試合の有効なチケットを持っていることを確認したり、トーナメント開催中に公共交通機関にアクセスするために利用します。
Lawful bases: contract performance, legitimate interests (to enable us to perform our obligations and provide our services to you) 合法的根拠:契約の履行、正当な利益(我々が義務を履行し、あなたにサービスを提供できるようにするため)。
​​​​​​​For crowd control and tournament management purposes ► We may combine location data from your Hayya Card data with that of other Fans to identify areas which are at risk of overcrowding, and release announcements recommending that Fans avoid those areas or use alternative routes. 混雑管理および大会運営のため►我々は、あなたのHayyaカードの位置情報と他のファンの位置情報を組み合わせて、混雑のおそれがあるエリアを特定し、そのエリアを回避したり、別のルートを使用するよう推奨するアナウンスを流すことがある。
Lawful bases: legitimate interests (to ensure the safety and security of attendees at the Tournaments) 合法的根拠:正当な利益(大会参加者の安全と安心を確保するため)
   
Annex E 附属書E
Hayya Portal Hayya ポータル
Additional information that we collect about you 我々があなたについて収集する追加情報
When you use the Hayya Portal to apply for a Hayya Card, we may ask you to provide: あなたがHayyaポータルを利用してHayyaカードを申請する際、我々はあなたに以下の提供をお願いすることがある。
Basic information about yourself, such as your name, date of birth, address, email address, telephone or mobile number; 氏名、生年月日、住所、電子メールアドレス、電話番号または携帯電話番号などの基本情報。
Details about your nationality and passport (e.g., passport number, expiry date); 国籍、パスポートの詳細(パスポート番号、有効期限など)。
Details of any ticket(s) you may have to the Tournaments; あなたが持っているトーナメントチケットの詳細。
Sensitive personal data, for example, information about whether you have any symptoms of an infectious disease, particularly where there is an ongoing epidemic or pandemic. We may also collect biometric information in your passport as needed to apply for an entry visa on your behalf. If you provide us with information relating to your needs at the Tournaments (e.g., requests for disabled access), we will also keep a record of that information. 機密性の高い個人情報、例えば、感染症の症状を持っているかどうかに関する情報(特に、現在進行中の流行病またはパンデミックが存在する場合)。また、我々は、あなたに代わって入国ビザを申請するために、必要に応じて、あなたのパスポートの生体情報を収集することがある。あなたがトーナメントでのあなたのニーズに関する情報(例:身体障害者用のアクセスの要求)を我々に提供した場合、我々はその情報の記録も保管します。
We may also receive information about you from the following third parties: また、我々は、以下の第三者からあなたに関する情報を受け取ることがある。
Immigration information ► The Qatar Ministry of Interior (http://www.moi.gov.qa) may send us information that may inform our decision on whether to accept or reject your application for a Hayya Card; an 出入国情報 ► カタール内務省(http://www.moi.gov.qa)は、あなたのHayyaカードの申請を受理するか否かの判断に役立つ情報を我々に送付することがある。
Ticket information ► FIFA (https://www.fifa.com/) may share with us information about the ticket(s) which you have purchased to the Tournaments, including ticket number and information about you as the purchaser of the ticket. チケット情報 ► FIFA (https://www.fifa.com/) は、チケット番号及びチケット購入者としてのあなたに関する情報を含む、あなたが購入した大会のチケットに関する情報を我々と共有することがある。
Single Sign-On (SSO) ► SSO is in place across FIFA’s ticketing portal (www.fifa.com) and SC’s Hayya Portal and Accommodation Portal. This means that if you sign into FIFA’s portal using your username and password, you will automatically be able to access the Hayya Portal and Accommodation Portal without having to re-enter your sign-in details. However, aside from the login username and password, and the ticket information described above, no other personal information is shared between the FIFA and SC portals using the SSO mechanism. シングルサインオン(SSO) ► FIFAのチケットポータル(www.fifa.com)およびSCのHAYYAポータルおよび宿泊ポータルにおいて、SSOが導入されています。これは、ユーザー名とパスワードを使用してFIFAのポータルにサインインすると、サインイン情報を再入力することなく、自動的にHayyaポータルおよび宿泊ポータルにアクセスできるようになることを意味しています。ただし、ログインユーザー名とパスワード、および上述のチケット情報以外には、SSOの仕組みを利用してFIFAとSCのポータル間で個人情報が共有されることはない。
Additional purposes of use その他の利用目的
​​​​​​​To consider your application for a Hayya Card ► To carry out all necessary checks regarding your application; to liaise with relevant government agencies to obtain approval for your visit to Qatar; to issue and deliver your Hayya Card. Hayyaカードの申請を検討するため ► 申請に関して必要なすべてのチェックを行うため、カタール訪問の承認を得るために関連政府機関と連絡を取るため、Hayyaカードを発行し交付するため。
Lawful bases: contract performance, legitimate interests (to enable us to consider your application and provide our services to you) 合法的根拠:契約の履行、正当な利益(我々があなたの申請を検討し、あなたに我々のサービスを提供することを可能にするため)。

 

 


 

報道...

POLITICO

・2022.11.15 Don’t download Qatar World Cup apps, EU data authorities warn

 

Info Security

・2022.11.16 Euro Authorities Warn World Cup Fans Over Qatari Apps

 

Gigazine

・2022.11.17 カタールW杯の参加者にインストールが求められるアプリ「Hayya」「Ehteraz」についてデータ保護当局が警告、使い捨てスマホの使用を推奨

| | Comments (0)

2022.11.23

中国 個人情報保護認証制度が始まりますね...中国版Pマーク?

こんにちは、丸山満彦です。

中華人民共和国で、個人情報保護認証制度が始まりますね。。。中国版Pマークのようなものでしょうかね。。。個人情報の越境移転の有無でマークが変わりますね。。。認証のクライテリアは、

  1. GB/T 35273「情報セキュリティ技術個人情報セキュリティ仕様」
  2. TC260-PG-20222A「個人情報の越境処理活動に関する安全認証仕様」

ということのようです。。。

越境移転がない場合は、1. だけ、越境移転がある場合は、1.と2. に準拠する必要がありますね。。。

 

● 中央网安全和信息化委公室 (Cyberspace Administration of China: CAC)

・2022.11.18 关于实施个人信息保护认证的公告

关于实施个人信息保护认证的公告 個人情報保護認証の実施に関する通知
为贯彻落实《中华人民共和国个人信息保护法》有关规定,规范个人信息处理活动,促进个人信息合理利用,根据《中华人民共和国认证认可条例》,国家市场监督管理总局、国家互联网信息办公室决定实施个人信息保护认证,鼓励个人信息处理者通过认证方式提升个人信息保护能力。从事个人信息保护认证工作的认证机构应当经批准后开展有关认证活动,并按照《个人信息保护认证实施规则》(见附件)实施认证。 中華人民共和国個人情報保護法の関連規定を実施し、個人情報処理活動を規制し、個人情報の合理的な使用を促進するため、「中華人民共和国認証認可条例」に基づき、国家市場監督管理総局と国家サイバースペース管理局は、個人情報保護認証を実施し、個人情報処理者が認証を通じて個人情報保護能力を高めることを奨励することにした。 個人情報保護の認証に携わる認証機関は、「個人情報保護認証実施規則」(別紙参照)に基づき、当該認証活動を行うことを承認され、認証を実施するものとする。
特此公告。 発表
附件:个人信息保护认证实施规则 別紙:個人情報保護認証の実施規定
国家市场监督管理总局 国家互联网信息办公室 国家市場監督管理局 国家サイバースペース管理局

 

・2022.11.18 个人信息保护认证实施规则

​个人信息保护认证实施规则 個人情報保護認証実施規則
1 适用范围 1 適用範囲
本规则依据《中华人民共和国认证认可条例》制定,规定了对个人信息处理者开展个人信息收集、存储、使用、加工、传输、提供、公开、删除以及跨境等处理活动进行认证的基本原则和要求。 この規則は、「中華人民共和国認証認定条例」に基づいて制定され、個人情報の収集、保存、使用、処理、伝送、提供、開示、削除及び越境処理などの処理活動を行う個人情報処理業者の認証に関する基本原則と要件を定めている。
2 认证依据 2 認証根拠
个人信息处理者应当符合GB/T 35273《信息安全技术 个人信息安全规范》的要求。 個人情報取扱事業者は、GB/T 35273「情報セキュリティ技術個人情報セキュリティ仕様」の要求事項を遵守しなければならない。
对于开展跨境处理活动的个人信息处理者,还应当符合TC260-PG-20222A《个人信息跨境处理活动安全认证规范》的要求。 また、越境処理活動を行う個人情報取扱事業者は、TC260-PG-20222A「個人情報の越境処理活動に関する安全認証仕様」の要求事項に適合しなければならない。
上述标准、规范原则上应当执行最新版本。 上記の規格・仕様は、原則として最新版で実施するものとする。
3 认证模式 3 認証モデル
个人信息保护认证的认证模式为: 個人情報保護認証の認証モデルは、以下の通りである。
技术验证 + 现场审核 + 获证后监督 技術検証+現地査定+認証取得後の監督
4 认证实施程序 4 認証実施手順
4.1 认证委托 4.1 認証委員会
认证机构应当明确认证委托资料要求,包括但不限于认证委托人基本材料、认证委托书、相关证明文档等。 認証機関は、認証委託者の基本資料、認証委託書、関連する補足資料等を含むが、これらに限定されない認証委託情報の要件を規定する。
认证委托人应当按认证机构要求提交认证委托资料,认证机构在对认证委托资料审查后及时反馈是否受理。 認証委託者は、認証機関の要求に応じて認証委託情報を提出し、認証機関は審査後、認証委託情報の受理についてフィードバックする。
认证机构应当根据认证委托资料确定认证方案,包括个人信息类型和数量、涉及的个人信息处理活动范围、技术验证机构信息等,并通知认证委托人。 認証機関は、個人情報の種類と量、関与する個人情報処理活動の範囲、技術検証機関情報などの認証委託情報に基づいて認証方式を決定し、認証本部に通知する。
4.2 技术验证 4.2 技術検証
技术验证机构应当按照认证方案实施技术验证,并向认证机构和认证委托人出具技术验证报告。 技術認証機関は、認証スキームに従って技術認証を実施し、認証機関及び認証主体に技術検証報告書を発行する。
4.3 现场审核 4.3 現地査定
认证机构实施现场审核,并向认证委托人出具现场审核报告。 認証機関は、現地査定を実施し、認証主体に現地査定報告書を発行する
4.4 认证结果评价和批准 4.4 認証結果の評価と承認
认证机构根据认证委托资料、技术验证报告、现场审核报告和其他相关资料信息进行综合评价,作出认证决定。对符合认证要求的,颁发认证证书;对暂不符合认证要求的,可要求认证委托人限期整改,整改后仍不符合的,以书面形式通知认证委托人终止认证。 認証機関は、認証委員会の情報、技術検証報告書、現地査定報告書と包括的な評価のための他の関連情報に応じて、認証の決定を行う。認定要件が満たされている場合、認定証明書が発行される。当分の間、認定要件を満たしていない場合、認証委員会は、期限の是正を求めることができる。修正後も満たしていない場合、認証の解除を認証委託者に通知するための書面を発行する。
如发现认证委托人、个人信息处理者存在欺骗、隐瞒信息、故意违反认证要求等严重影响认证实施的行为时,认证不予通过。 認証委託者または個人情報処理者が、偽り、情報の隠蔽、故意の認証要件違反、その他認証の実施に重大な影響を与える行為を行ったことが判明した場合は、認証を付与することはできない。
4.5 获证后监督 4.5 認証取得後の監督
4.5.1 监督的频次 4.5.1 監督の頻度
认证机构应当在认证有效期内,对获得认证的个人信息处理者进行持续监督,并合理确定监督频次。 認証機関は、認証の有効期間中、認証された個人情報取扱事業者に対する継続的な監督を行い、その頻度を合理的に決定するものとする。
4.5.2 监督的内容 4.5.2 監督の内容
认证机构应当采取适当的方式实施获证后监督,确保获得认证的个人信息处理者持续符合认证要求。 認証機関は、認証された個人情報処理機関が認証要件を継続して満たしていることを確認するために、認証後の監督を実施する適切な手段を採用するものとする。
4.5.3 获证后监督结果的评价 4.5.3 認証取得後の監督結果の評価
认证机构对获证后监督结论和其他相关资料信息进行综合评价,评价通过的,可继续保持认证证书;不通过的,认证机构应当根据相应情形作出暂停直至撤销认证证书的处理。 包括的な評価のための認証取得後の監督の所見とその他の関連情報に基づき評価が渡され、認証証明書を維持し続けることができる。認証機関は、処理の証明書を一時停止または取り消すために、対応する状況に応じて、対応しなければならない。
4.6 认证时限 4.6 認証取得時期
认证机构应当对认证各环节的时限作出明确规定,并确保相关工作按时限要求完成。认证委托人应当对认证活动予以积极配合。 認証機関は、明確な規定を設けるために、時間的要件に従って作業が完了するよう、あらゆる側面から認証を受けるべきである。 認証委託者は、認証活動に積極的に協力することが望ましい。
5 认证证书和认证标志 5 認証証明書と認証マーク
5.1 认证证书 5.1 認証証明書
5.1.1 认证证书的保持 5.1.1 認証証明書の維持管理
认证证书有效期为3年。在有效期内,通过认证机构的获证后监督,保持认证证书的有效性。 認証証明書の有効期限は3年間である。 有効期間中、認証機関の認証後の監督を通じて、認証の有効性を維持する。
证书到期需延续使用的,认证委托人应当在有效期届满前6个月内提出认证委托。认证机构应当采用获证后监督的方式,对符合认证要求的委托换发新证书。 認証が失効し、更新が必要な場合、認証委託者は、失効日の6ヶ月前以内に認証委託書を提出する。 認証機関は、認証後の監督を利用して、委員会の認証要件を満たし、新たな認証書を発行するものとする。
5.1.2 认证证书的变更 5.1.2 認証証明書の変更
认证证书有效期内,若获得认证的个人信息处理者名称、注册地址,或认证要求、认证范围等发生变化时,认证委托人应当向认证机构提出变更委托。认证机构根据变更的内容,对变更委托资料进行评价,确定是否可以批准变更。如需进行技术验证和/或现场审核,还应当在批准变更前进行技术验证和/或现场审核。 認証証明書は有効であり、認証された個人情報取扱事業者の名称、登録住所、または認証要件、認証範囲などが変更された場合、認証委託者は認証機関に委託内容の変更を提案する必要がある。 認証機関は、変更内容に応じて変更委託情報を評価し、変更承認の可否を判断する。 技術検証および/または現地査定の場合、また、技術検証および/または現地査定の変更前に承認される必要があります。
5.1.3 认证证书的注销、暂停和撤销 5.1.3 認証の取消し、一時停止及び取消し
当获得认证的个人信息处理者不再符合认证要求时,认证机构应当及时对认证证书予以暂停直至撤销。认证委托人在认证证书有效期内可申请认证证书暂停、注销。 認証された個人情報処理事業者が認証要件を満たさなくなった場合、認証機関は、認証が取り消されるまで、速やかに認証の停止を行うものとする。 認証主体は、認証書の有効期間内に認証書の停止および抹消を申請することができる。
5.1.4 认证证书的公布 5.1.4 認証証明書の発行
认证机构应当采用适当方式对外公布认证证书颁发、变更、暂停、注销和撤销等相关信息。 認証機関は、適切な手段を用いて、発行した認証書、変更、停止、取消しおよび関連情報の撤回を公表するものとする。
5.2 认证标志 5.2 認証マーク
不含跨境处理活动的个人信息保护认证标志如下: 越境処理活動を伴わない個人情報保護に関する認証マークは以下の通りである。
16703999366581291670399936859756
包含跨境处理活动的个人信息保护认证标志如下: 越境処理活動を含む個人情報保護に関する認証マークは、以下の通りである。
16703999366581291670399936872313
“ABCD”代表认证机构识别信息。 ABCD は認証機関の識別情報を表す。
5.3 认证证书和认证标志的使用 5.3 認証書および認証マークの使用について
在认证证书有效期内,获得认证的个人信息处理者应当按照有关规定在广告等宣传中正确使用认证证书和认证标志,不得对公众产生误导。 認定個人情報処理事業者は、認定証の有効期間中、関連規定に従って、認定証及び認定マークを広告その他の宣伝に正しく使用し、誤解を与えないようにしなければならない。
6 认证实施细则 6 認証実施規則
认证机构应当依据本规则有关要求,细化认证实施程序,制定科学、合理、可操作的认证实施细则,并对外公布实施。 認証機関は、これらの規則の関連要件に基づいて、認証の実装手順、科学的、合理的かつ運用認証と実装のルールの開発、および実装の公表を洗練するものとする。
7 认证责任 7 認証責任
认证机构应当对现场审核结论、认证结论负责。 認証機関は、現地審査の結論と認証の結論に責任を持つ。
技术验证机构应当对技术验证结论负责。 技術的検証機関は、技術的検証の結論に責任を持つ。
认证委托人应当对认证委托资料的真实性、合法性负责。 認証委託者は、認証委託情報の真正性、適法性について責任を負う。

 

 


 

越境移転の場合に追加されるクライテリアについてはこちら(仮対訳あり)...

まるちゃんの情報セキュリティ気まぐれ日記

・2022.06.27 中国 TC260 個人情報の国際的な処理活動に関するセキュリティ認証仕様

 

 

| | Comments (0)

NIST SP 800-215 安全なエンタープライズ・ネットワーク環境のためのガイド

こんにちは、丸山満彦です。

NISTが、SP 800-215 安全なエンタープライズ・ネットワーク環境のためのガイドを公表していますね。。。

・マルチクラウド環境

・地理期的に広がった事業所

・疎結合のマイクロサービスへの移行

などをふまえて・・・ということですかね。。。

 

今後のネットワーク・アーキテクチャを考える上で参考になりそうですね。。。

 

● NIST - ITL

・2022.11.17 SP 800-215 Guide to a Secure Enterprise Network Landscape

 

SP 800-215 Guide to a Secure Enterprise Network Landscape SP 800-215 安全なエンタープライズ・ネットワーク環境のためのガイ
Abstract 概要
Access to multiple cloud services, the geographic spread of enterprise Information Technology (IT) resources (including multiple data centers), and the emergence of microservices-based applications (as opposed to monolithic ones) have significantly altered the enterprise network landscape. This document is meant to provide guidance to this new enterprise network landscape from a secure operations perspective. Hence, it starts by examining the security limitations of current network access solutions to the enterprise network. It then considers security feature enhancements to traditional network appliances in the form of point security solutions, network configurations for various security functions (e.g., application/services security, cloud services access security, device or endpoint security), security frameworks that integrate these individual network configurations (e.g., zero trust network access [ZTNA]), and the evolving wide area network (WAN) infrastructure to provide a comprehensive set of security services for the modern enterprise network landscape (e.g., secure access service edge [SASE]). 複数のクラウドサービスへのアクセス、エンタープライズの情報技術(IT)リソースの地理的な広がり(複数のデータセンターを含む)、マイクロサービスベースのアプリケーションの出現(モノリシックなものとは対照的)により、エンタープライズ・ネットワークの状況は大きく変化している。本書は、この新しいエンタープライズ・ネットワークの状況に対して、安全な運用の観点からガイダンスを提供することを目的としている。そのため、まず、現在のエンタープライズ・ネットワークへのネットワークアクセスソリューションのセキュリティ上の制限を検証する。次に、ポイントセキュリティソリューションという形で従来のネットワーク機器に追加されたセキュリティ機能、さまざまなセキュリティ機能(アプリケーション/サービスセキュリティ、クラウドサービスアクセスセキュリティ、デバイスまたはエンドポイントセキュリティなど)のためのネットワーク構成、これらの個々のネットワーク構成を統合するセキュリティフレームワーク(ZTNAなど)、現代のエンタープライズ・ネットワークの状況に対応したセキュリティサービスの総合セット(SASEなど)を提供する進化型WAN(ワイドエリアネットワーク)インフラについて考察している。

 

・[PDF] SP 800-215

20221123-20305

目次...

Executive Summary エグゼクティブサマリー
1. Introduction 1. はじめに
1.1. Structural Implications of Drivers on the Enterprise Network Landscape 1.1. ドライバがエンタープライズ・ネットワークに与える構造的影響
1.2. Security Implications of Drivers on the Enterprise Network Landscape 1.2. エンタープライズ・ネットワークにおけるドライバのセキュリティへの影響
1.3. The Need for a Security Guide 1.3. セキュリティガイドの必要性
1.4. Scope 1.4. 適用範囲
1.5. Target Audience 1.5. 対象読者
1.6. Organization of This Document 1.6. 本書の構成
2. Traditional Enterprise Network Access Approaches and Their Limitations 2. 従来のエンタープライズ・ネットワークアクセスのアプローチとその限界
2.1. Limitations of Network Perimeter-based Protections 2.1. ネットワーク境界ベース防御の限界
2.2. Limitations of VPN-based Access 2.2. VPN ベースアクセスの限界
2.3. Limitation of MPLS Technology as Enterprise WANs 2.3. エンタープライズWANとしてのMPLS技術の限界
2.4. Limitation of Authentication Infrastructure 2.4. 認証基盤の限界
3. Network Security Appliances in the Enterprise Network Landscape 3. エンタープライズ・ネットワークにおけるネットワークセキュリティ・アプライアンス
3.1. Cloud Access Security Broker (CASB) 3.1. クラウド・アクセス・セキュリティ・ブローカー(CASB)
3.2. Enhanced Firewall Capabilities 3.2. 強化されたファイアウォール機能
3.3. Appliance-set with Integrated Functions 3.3. 機能統合型アプライアンスセット
3.4. Network Security Automation Tools 3.4. ネットワークセキュリティ自動化ツール
3.4.1. Network Monitoring and Observability Tools 3.4.1. ネットワーク監視・観測可能ツール
3.4.2. Automated Network Provisioning Tools 3.4.2. ネットワーク自動化プロビジョニングツール
3.5. Networking Appliances as Services 3.5. サービスとしてのネットワーク・アプライアンス
4. Network Configurations for Basic Security Functions 4. 基本的なセキュリティ機能のためのネットワーク構成
4.1. Conceptual Underpinning – Contextual Information 4.1. 概念的基盤 ・コンテキスト情報
4.2. Network Configuration for Device Management 4.2. 機器管理のためのネットワーク構成
4.3. Network Configuration for User Authentication 4.3. ユーザー認証のためのネットワーク構成
4.4. Network Configuration for Device Authentication and Health Monitoring 4.4. 機器認証とヘルスモニタリングのためのネットワーク構成
4.5. Network Configuration for Authorizing Application/Service Access 4.5. アプリケーション/サービスへのアクセスを許可するためのネットワーク構成
4.6. Network Configurations for Preventing Attack Escalation 4.6. 攻撃のエスカレーションを防止するためのネットワーク構成
5. Enterprise-Wide Network Security Framework – Zero Trust Network Access (ZTNA) 5. エンタープライズ全体のネットワークセキュリティ・フレームワーク – ゼロトラスト・ネットワーク・アクセス (ZTNA)
5.1. Microsegmentation 5.1. マイクロセグメンテーション
5.1.1. Prerequisites for Implementing Microsegmentation 5.1.1. マイクロセグメンテーションを実装するための前提条件
5.1.2. Microsegmentation – Implementation Approaches 5.1.2. マイクロセグメンテーション ・実装のアプローチ
5.2. Software-defined Perimeter (SDP) 5.2. ソフトウェア定義境界(SDP)
6. Secure Wide Area Network Infrastructure for an Enterprise Network 6. エンタープライズ・ネットワークにおけるセキュアな広域ネットワーク基盤
6.1. Common Requirements for a Secure SD-WAN 6.1. セキュアなSD-WANの共通要件
6.2. Specific Requirements for SD-WANs for Cloud Access 6.2. クラウドアクセスのためのSD-WANの具体的な要件
6.3. Requirements for an Integrated Security Services Architecture for SD-WAN 6.3. SD-WANのための統合セキュリティサービスアーキテクチャの要件
7. Summary and Conclusions 7. まとめと結論
References 参考文献

 

エグゼクティブ・サマリー...

Executive Summary  エグゼクティブサマリー 
The enterprise network landscape has undergone tremendous changes in the last decade due to the following three drivers:  エンタープライズ・ネットワークの状況は、以下の3つの推進要因によって、この10年で大きく変化している。
・Enterprise access to multiple cloud services,   ・エンタープライズが複数のクラウドサービスにアクセスできるようになったこと。
・The geographical spread of enterprise-based (on-premises) IT resources (e.g., multiple data centers, headquarters, and branch offices), and   ・エンタープライズベースのITリソース(オンプレミス)の地理的な広がり(複数のデータセンター、本社、支店など)。 
・Changes to application architecture from being monolithic to a set of loosely coupled microservices.  ・アプリケーションのアーキテクチャが、モノリシックから疎結合のマイクロサービスへと変化すること。
The impacts of these drivers on the security of the enterprise network landscape include:  これらの推進要因が、エンタープライズのネットワーク環境のセキュリティに与える影響には、次のようなものがある。
・Disappearance of the concept of a network perimeter that can be protected and the necessity to protect each endpoint (device or service) that treats it as a perimeter  ・ネットワークの境界を保護するという概念の消滅と、境界として扱う各エンドポイント(デバイスやサービス)を保護する必要性 
・Increase in attack surface due to sheer multiplicity of IT resources (computing, networking, storage) and components  ・ITリソース(コンピューティング、ネットワーク、ストレージ)およびコンポーネントの多重化による攻撃対象の増加 
・Escalation of attacks across several network boundaries leveraging the connectivity features  ・接続機能を利用した複数のネットワーク境界をまたぐ攻撃のエスカレーション
This document is meant to provide guidance to this new enterprise network landscape from a secure operations perspective. The adopted methodology first considers the security challenges that the new network landscape poses and examines the limitations of current network access technologies. It then shows how solutions for meeting the challenges have evolved from being security function-specific to a security framework to a comprehensive security infrastructure that provides a holistic set of security services. Specific areas addressed include:  本書は、このような新しいエンタープライズ・ネットワークの状況に対して、安全な運用の観点からガイダンスを提供することを意図している。採用した手法は、まず、新しいネットワーク環境がもたらすセキュリティ上の課題を検討し、現在のネットワークアクセス技術の限界を調べる。そして、この課題に対応するためのソリューションが、セキュリティ機能に特化したものから、セキュリティフレームワーク、包括的なセキュリティサービスのセットを提供する包括的なセキュリティインフラへと進化していることを示す。具体的な内容は以下の通りである。
・Feature enhancements to traditional network security appliances  ・従来のネットワークセキュリティ・アプライアンスの機能強化
・Secure enterprise networking configurations for specific security functions  ・特定のセキュリティ機能に特化したセキュアなエンタープライズ・ネットワーク構成
・Security frameworks that integrate individual network configurations  ・個々のネットワーク構成を統合するセキュリティフレームワーク
・Evolving wide area network (WAN) infrastructure that provides a comprehensive set of security services  ・包括的なセキュリティサービスを提供する進化したWAN(Wide Area Network)インフラストラクチャ 
Based on the drivers outlined above, an enterprise network in the context of this document encompasses the following:  本書でいうエンタープライズ・ネットワークとは、上記の推進要因に基づき、次のようなものを指する。
・The private virtual networks that the enterprise (cloud services subscriber) configures in the cloud service provider’s native network within which its compute resources will be provisioned (e.g., virtual network [VNet], virtual private cloud [VPC])  ・エンタープライズ(クラウドサービス利用者)がクラウドサービスプロバイダーのネイティブネットワークに設定するプライベート仮想ネットワークで、その中で計算リソースがプロビジョニングされる(例:仮想ネットワーク(VNet)、仮想プライベートクラウド(VPC))。
・Various local networks on enterprise premises (e.g., enterprise data centers, headquarters, and branch offices)   ・エンタープライズ敷地内の各種ローカルネットワーク(エンタープライズのデータセンター、本社、支社など)
・The portion of a wide area network that is used by the enterprise to connect its various geographically dispersed locations and cloud service access points  ・エンタープライズが地理的に分散した様々な拠点とクラウドサービスのアクセスポイントを接続するために使用する広域ネットワークの部分

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.08.06 NIST SP 800-215 (ドラフト) 安全なエンタープライズ・ネットワーク環境のためのガイド

 

| | Comments (0)

2022.11.22

JPCERT/CC PSIRT Services Framework Ver 1.1 と PSIRT Maturity Document の日本語版 (2022.11.17)

こんにちは、丸山満彦です。

JPCERT/CCが、PSIRT Services Framework Ver 1.1 と PSIRT Maturity Document の日本語版を公表していました。。。

● JPCERT/CC - PSIRT Services Framework と PSIRT Maturity Document

・2022.11.17 [PDF] PSIRT Services Framework Version 1.1 日本語版 

20221122-181340

 

 

・2022.11.17 [PDF] PSIRT Maturity Document 日本語版

20221122-181542

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2022.07.28 日本シーサート協議会 PSIRT Maturity Document 日本語版 (2022.07.13)

 

| | Comments (0)

内閣官房 「国力としての防衛力を総合的に考える有識者会議」報告書

こんにちは、丸山満彦です。

内閣官房に9月末に設置された「国力としての防衛力を総合的に考える有識者会議」が4回の議論を重ねて、報告書を公表しましたね。。。


(有識者会議設置の趣旨)

○ 我が国を取り巻く厳しい安全保障環境を乗り切るためには、我が国が持てる力、すなわち経済力を含めた国力を総合し、あらゆる政策手段を組み合わせて対応していくことが重要である。こうした観点から、自衛隊の装備及び活動を中心とする防衛力の抜本的強化はもとより、自衛隊と民間との共同事業、研究開発、国際的な活動等、実質的に我が国の防衛力に資する政府の取組を整理し、これらも含めた総合的な防衛体制の強化をどのように行っていくべきかについて議論する。

○ また、こうした取組を技術力や産業基盤の強化につなげるとともに、有事であっても我が国の信用や国民生活が損なわれないよう、経済的ファンダメンタルズを 涵養していくことが不可欠である。こうした観点から、総合的な防衛体制の強化と経済財政の在り方について、どのように考えるべきかについて議論する。


 

内閣官房 - 国力としての防衛力を総合的に考える有識者会議

・2022.11.22 [PDF]  「国力としての防衛力を総合的に考える有識者会議」報告書

20221122-161340

目次...

はじめに

1.防衛力の抜本的強化について
(1) 目的・理念、国民の理解
(2) 防衛力の抜本的強化の必要性

2.縦割りを打破した総合的な防衛体制の強化について
(1) 総論
(2) 研究開発
(3) 公共インフラ
(4) サイバー安全保障、国際的協力
(5) 具体的な仕組み

3.経済財政の在り方について
(1) 防衛力強化と経済財政
(2) 財源の確保

(参考1)国力としての防衛力を総合的に考える有識者会議 議論の経緯
(参考2)国力としての防衛力を総合的に考える有識者会議 構成員




回数 日付 会議資料 議事要旨 議事録
第1回 2022.09.30 議事次第・資料 議事要旨 議事録
資料1 国力としての防衛力を総合的に考える有識者会議の開催について
資料2 国力としての防衛力を総合的に考える有識者会議運営要領
資料3 安全保障環境の変化と防衛力強化の必要性(内閣官房国家安全保障局提出資料)
資料4 参考資料(事務局提出資料)
第2回 2022.10.20 議事次第・資料 議事要旨 議事録
資料1 防衛力の抜本的強化(防衛省提出資料)
資料2 総合的な防衛力強化に向けた論点(財務省提出資料)
資料3 空港・港湾における自衛隊の利用状況及び安全保障における海上保安庁の役割(国土交通省提出資料)
資料4 総合的な防衛体制の強化に資する科学技術分野の研究開発に向けて(橋本委員・上山委員提出資料)
参考 防衛力を支える産業・技術基盤の強化に向けて(経済産業大臣発言補足資料)
第3回 2022.11.09 議事次第・資料 議事要旨 議事録
資料1 議論の整理(佐々江座長提出資料)
資料2 総合的な防衛体制の強化に向けた取組(内閣官房長官提出資料)
資料3 総合的な防衛体制の強化に必要な財源確保の考え方(財務省提出資料)
資料4 折木元統合幕僚長提出資料
資料5 佐藤元海上保安庁長官提出資料
第4回 2022.11.21 議事次第・資料 議事要旨 議事録

 

 

| | Comments (0)

経団連 web3推進戦略 (2022.11.15)

こんにちは、丸山満彦です。

経団連が、「web3推進戦略」を公表していますね。。。賛否両論色々あるのだろうと思いますが、、、まずは、落ち着いて読んでみましょうね。。。

とは、いえ。。。。

ーーーーー

Ⅲ.直ちに取り組むべきこと

  1. トークンの保有を促進
  2. トークンへの投資を促進
  3. トークンの流通を促進

ーーーーー

というのは、ゾワゾワしますね。。。

 

日本経済団体連合会

・2022.11.15 web3推進戦略- Society 5.0 for SDGs実現に向けて -

20221122-154703

 

 

目次...

Ⅰ.はじめに- Society 5.0 for SDGs実現に向けたweb3活用の可能性 -

  1. わが国の現状
  2. Society 5.0 for SDGs実現に向けたweb3活用の可能性

Ⅱ.web3先進国への変貌に向けたステップ

  1. 目指すべきweb3先進国の姿
  2. 具体的なステップ

Ⅲ.直ちに取り組むべきこと

  1. トークンの保有を促進
  2. トークンへの投資を促進
  3. トークンの流通を促進

Ⅳ.今後求められる関連分野の施策

  1. NFT
  2. DAO
  3. メタバース

Ⅴ.おわりに

【関連用語集】

 


 

Ⅲ.直ちに取り組むべきこと

「web3鎖国」脱却に向け直ちに取り組むべきこと

 

| | Comments (0)

NISTIR 8286D リスクの優先順位付けと対応を行うためのビジネス影響分析の使用

こんにちは、丸山満彦です。

サイバーセキュリティとERMとの連携である、NISTIR 8286シリーズですが、8286Dも確定し、全て確定しましたね。。。

 

・2022.11.17 NISTIR 8286D Using Business Impact Analysis to Inform Risk Prioritization and Response 

NISTIR 8286D Using Business Impact Analysis to Inform Risk Prioritization and Response  NISTIR 8286D リスクの優先順位付けと対応を行うためのビジネスインパクト分析の使用
Abstract 概要
While business impact analysis (BIA) has historically been used to determine availability requirements for business continuity, the process can be extended to provide a broad understanding of the potential impacts of any type of loss on the enterprise mission. The management of enterprise risk requires a comprehensive understanding of mission-essential functions (i.e., what must go right) and the potential risk scenarios that jeopardize those functions (i.e., what might go wrong). The process described in this publication helps leaders determine which assets enable the achievement of mission objectives and evaluate the factors that render assets as critical and sensitive. Based on those factors, enterprise leaders provide risk directives (i.e., risk appetite and tolerance) as input to the BIA. System owners then apply the BIA to developing asset categorization, impact values, and requirements for the protection of critical or sensitive assets. The output of the BIA is the foundation for the Enterprise Risk Management (ERM)/Cybersecurity Risk Management (CSRM) integration process, as described in the NIST Interagency Report (IR) 8286 series, and enables consistent prioritization, response, and communication regarding information security risk. ビジネス影響分析(BIA)は、これまで事業継続のための可用性要件を決定するために使用されてきたが、このプロセスを拡張することで、あらゆる種類の損失がエンタープライズのミッションに与える潜在的な影響を幅広く理解することができる。エンタープライズリスクの管理には、ミッションに不可欠な機能(すなわち、正しく機能しなければならないこと)と、それらの機能を危険にさらす潜在的なリスクシナリオ(すなわち、うまくいかないかもしれないこと)を包括的に理解することが必要である。本書で説明するプロセスは、リーダーがミッション目標の達成を可能にするのはどの資産かを判断し、資産を重要かつ機密であると判断する要素を評価するのに役立つ。これらの要因に基づき、エンタープライズのリーダーはリスク指令(すなわち、リスク選好度と許容度)をBIAへの入力として提供する。次にシステム所有者は、BIAを適用して、資産の分類、影響度、および重要資産や機密資産の保護要件を作成する。BIAのアウトプットは、NIST Interagency Report(IR)8286シリーズに記載されているように、エンタープライズリスクマネジメント(ERM)/サイバーセキュリティリスクマネジメント(CSRM)統合プロセスの基盤となり、情報セキュリティリスクに関する一貫した優先順位付け、対応、コミュニケーションを可能にする。

 

・[PDF] NISTIR 8286D

20221122-24038

 

目次...

Table of Contents 目次
Executive Summary エグゼクティブサマリー
1.  Introduction 1.  はじめに
1.1.  Benefits of Extending the BIA for Risk Types 1.1.  BIAをリスクタイプに拡張するメリット
1.2.  Foundational Practices for Business Impact Analysis 1.2.  ビジネス影響分析の基礎的な実践
1.3.  Document Structure 1.3.  文書構造
2.  Cataloging and Categorizing Assets Based on Enterprise Value 2.  エンタープライズの価値に基づく資産のカタログ化および分類
2.1.  Identification of Enterprise Business Asset Types 2.1.  エンタープライズ・ビジネス資産の種類の特定
2.2.  The Business Impact Analysis Process 2.2.  ビジネス影響分析プロセス
2.3.  Determining Asset Value to Support CSRM Activities 2.3.  CSRM活動を支援するための資産価値の決定
2.4.  Determining Loss Scenarios and Their Consequences 2.4.  損失シナリオとその結果の決定
2.5.  Business Impact Analysis in Terms of Criticality and Sensitivity 2.5.  重要度・感度の観点からのビジネス影響分析
2.6.  Using a BIA to Record Interdependencies 2.6.  相互依存関係を記録するためのBIAの使用
2.7.  Consistent Business Impact Analysis Through an Enterprise Approach 2.7.  エンタープライズ・アプローチによる一貫したビジネス影響分析
2.8.  Using a BIA to Support an Enterprise Registry of System Assets 2.8.  システム資産のエンタープライズ登録を支援するためのBIAの使用
3.  Conclusion 3.  結論
References 参考文献
Appendix A. List of Symbols, Abbreviations, and Acronyms 附属書A.記号・略語・頭字語の一覧表

 

エグゼクティブ・サマリー

Executive Summary  エグゼクティブサマリー 
Risk is measured in terms of impact on enterprise mission, so it is vital to understand the various information and technology (IT) assets whose functions enable that mission. Each asset has a value to the enterprise. For government enterprises, many of those IT assets are key components for supporting critical services provided to citizens. For corporations, IT assets directly influence enterprise capital and valuation, and IT risks can have a direct impact on the balance sheet or budget. For each type of enterprise, it is both vital and challenging to determine the conditions that will truly impact a mission. Government agencies must provide critical services while adhering to priority directives from senior leaders. In the commercial world, mission priority is often driven by long-term goals and factors that might impact the next quarter’s earnings call. Therefore, it is highly important to continually analyze and understand the enterprise resources that enable enterprise objectives and that can be jeopardized by cybersecurity risks.  リスクは、エンタープライズのミッションへの影響という観点から評価されるため、そのミッションを実現する様々な情報・技術(IT)資産を理解することが重要である。各資産はエンタープライズにとって価値がある。政府系エンタープライズの場合、これらのIT資産の多くは、市民に提供される重要なサービスを支える重要な構成要素である。エンタープライズの場合、IT資産はエンタープライズの資本や評価に直接影響し、ITリスクは貸借対照表や予算に直接的な影響を与える可能性がある。それぞれのエンタープライズにとって、ミッションに真に影響を与える状況を判断することは、極めて重要であると同時に困難でもある。政府機関では、上級指導者からの優先的な指示を守りながら、重要なサービスを提供しなければならない。一方、民間のエンタープライズでは、ミッションの優先順位は、長期的な目標や次の四半期の決算に影響を与えるような要因によって左右されることがよくある。したがって、エンタープライズの目標を実現し、サイバーセキュリティのリスクによって危険にさらされる可能性のあるエンタープライズリソースを継続的に分析し、理解することが非常に重要である。
The NIST Interagency Report (IR) 8286 series has coalesced around the risk register as a construct for storing and a process for communicating risk data [NISTIR8286]. Another critical artifact of risk management that serves as both a construct and a means of communication with the risk register is the Business Impact Analysis (BIA) Register. The BIA examines the potential impacts associated with the loss or degradation of an enterprise’s technology-related assets based on a qualitative or quantitative assessment of the criticality and sensitivity of those assets and stores the results in the BIA Register. An asset criticality or resource dependency assessment identifies and prioritizes the information assets that support the enterprise’s critical missions. Similarly, assessments of asset sensitivity identify and prioritize information assets that store, process, or transmit information that must not be modified or disclosed to unauthorized parties. In the cybersecurity realm, the use of the BIA has historically been limited to calculations of quality-based and time-based objectives for incident handling (including continuity of operations and disaster recovery).   NIST Interagency Report (IR) 8286 シリーズは、リスクデータを保存し、伝達するためのプロセスとして、リスク登録の中心にまとまった[NISTIR8286]。リスク登録の構成と伝達手段の両方として機能するリスク管理のもう一つの重要な成果物は、ビジネス影響度分析(BIA)登録である。BIAは、エンタープライズの技術関連資産の損失または劣化に関連する潜在的な影響を、それらの資産の重要性と感度の定性的または定量的評価に基づいて調査し、その結果をBIA登録簿に保存する。資産の重要性またはリソース依存の評価では、エンタープライズの重要なミッションを支える情報資産を特定し、優先順位をつける。同様に、資産の機密性の評価では、不正な者に変更または開示されてはならない情報を保存、処理、または伝送する情報資産を特定し、優先順位を付けます。サイバーセキュリティの分野では、BIAの使用は歴史的に、インシデント処理(業務継続や災害復旧を含む)のための品質ベースおよび時間ベースの目標の計算に限られている。 
Because the BIA serves as a nexus for understanding risk (which is the measurement of uncertainty on the mission), it provides a basis for risk appetite and tolerance values as part of the enterprise risk strategy.[1] That guidance supports performance and risk metrics based on the relative value of enterprise assets to communicate and monitor Cybersecurity Risk Management[2] (CSRM) activities, including measures determined to be key performance indicators (KPIs) and key risk indicators (KRIs). The BIA supports asset classification that drives requirements, risk communications, and monitoring.  BIAは、リスク(ミッションに関する不確実性の測定)を理解するための結節点として機能するため、エンタープライズリスク戦略の一部としてリスク選好度と許容値の根拠を提供する。 そのガイダンスは、主要業績評価指標(KPI)および主要リスク指標(KRI)であると決定した指標を含むサイバーセキュリティリスク管理(CSRM)活動を伝達および監視するためのエンタープライズ資産の相対価値に基づく業績およびリスク指標を支援している[2]。BIAは、要件、リスクコミュニケーション、およびモニタリングを推進するための資産分類を支援する。
Expanding use of the BIA to include confidentiality and integrity considerations supports comprehensive risk analysis. The basis of asset valuation on enterprise impact helps to better align risk decisions to enterprise risk strategy. CSRM/ERM integration helps to complete the risk cycle by informing future iterations of impact analysis based on previous information gained through cybersecurity risk register (CSRR) aggregation, as detailed in NIST IR 8286C. As organizational and enterprise leaders gain an understanding of aggregate risk exposure and composite impact, that information helps adjust risk expectations (including business impact guidance to ensure an ongoing balance among asset value, resource optimization, and risk considerations).  BIAの利用を拡大し、機密性と完全性への配慮を含めることで、包括的なリスク分析が可能になる。エンタープライズへの影響に基づく資産評価により、リスクに関する意思決定とエンタープライズのリスク戦略との整合性を高めることができる。CSRM/ERMの統合は、NIST IR 8286Cに詳述されているように、サイバーセキュリティリスク登録(CSRR)集計を通じて得られた過去の情報に基づいて、影響分析の将来の反復に情報を提供することによって、リスクサイクルを完成させるのに役立つ。組織とエンタープライズのリーダーは、集約されたリスクエクスポージャーと複合的な影響について理解することで、その情報はリスク予想(資産価値、リソース最適化、リスク考慮の間の継続的バランスを確保するためのビジネス影響ガイダンスを含む)を調整するのに役立つ。
The BIA process enables system owners to record the benefits provided by an asset by considering the contribution to the enterprise, particularly in terms of mission, finance, and reputational aspects. Once informed about how each asset supports enterprise value, system owners can then work with risk managers to determine the implications of uncertainty on those assets.  BIAプロセスにより、システム所有者は、特にミッション、財務、評判といった側面からエンタープライズへの貢献を考慮し、資産によってもたらされる利益を記録することができる。各資産がどのようにエンタープライズ価値を支えているかを知ることができれば、システムオーナーはリスクマネージャーと協力して、その資産に不確実性が及ぼす影響を判断することができる。
It is more critical than ever to have centralized and reliable asset information recorded in the BIA Register since enterprises rely on various types of information and communications technology (ICT) resources, which are increasingly targeted by adversaries. The BIA process provides information that can be consistently recorded in a centralized registry of important asset management information, such as system ownership, contact information for key stakeholders, and characteristics of the physical devices (or services). Since asset management is an important element of cybersecurity risk management, this information is quite valuable for protecting the asset, detecting cyber events, responding quickly to potential issues, and recovering services when necessary.  エンタープライズはさまざまな種類の情報通信技術(ICT)資源に依存しており、これらの資源は敵対勢力にますます狙われているため、BIA登録簿に記録される一元化された信頼性の高い資産情報がこれまで以上に重要となっている。BIAプロセスは、システムの所有権、主要な関係者の連絡先、物理的な装置(またはサービス)の特性など、重要な資産管理情報を一元的に登録することで、一貫して記録できる情報を提供するものである。資産管理はサイバーセキュリティのリスク管理の重要な要素であるため、この情報は資産の保護、サイバーイベントの検出、潜在的な問題への迅速な対応、必要時のサービスの回復にとって非常に貴重なものである。
Public- and private-sector enterprises must maintain a continual understanding of potential business impacts, the risk conditions that might lead to those impacts, and the steps being taken to address those impacts (as recorded in various risk registers and, ultimately, in the Enterprise Risk Profile). In many cases, when a company or agency is asked about risks, they are actually being asked to describe potential impacts. Companies must describe the risk factors that could have a material adverse effect on the enterprise’s financial position, its ability to operate, or its corporate cash flow. Agencies must report to legislative and regulatory stakeholders about adverse impacts that could impair agency missions and funding. Use of the BIA methodology to categorize the criticality and sensitivity of enterprise assets enables effective risk management and the subsequent integration of reporting and monitoring at the enterprise level to ensure that risk and resource utilization are optimized in light of the value of those assets.  公共部門および民間部門のエンタープライズは、潜在的なビジネスへの影響、それらの影響をもたらす可能性のあるリスク状況、およびそれらの影響に対処するための措置(各種リスク登録簿、最終的にはエンタープライズリスクプロファイルに記録される)に対する継続的な理解を維持しなければならない。多くの場合、エンタープライズや機関がリスクについて尋ねられるとき、実際には潜在的な影響について説明するよう求められている。エンタープライズは、エンタープライズの財政状態、経営能力、またはエンタープライズのキャッシュフローに重大な悪影響を及ぼす可能性のあるリスク要因を記述しなければならない。省庁は、省庁の使命や資金調達を損なう可能性のある悪影響について、立法・規制上の利害関係者に報告しなければならない。BIAの手法を使用してエンタープライズ資産の重要度と機密性を分類することで、効果的なリスク管理が可能になり、その後のエンタープライズレベルでの報告と監視の統合により、リスクとリソースの利用がこれらの資産の価値に照らして最適化されることが保証される。
[1] Office of Management and Budget (OMB) Circular A-123 defines risk appetite as “the broad-based amount of risk an organization is willing to accept in pursuit of its mission/vision. It is established by the organization’s most senior level leadership and serves as the guidepost to set strategy and select objectives.” The same document defines risk tolerance as “the acceptable level of variance in performance relative to the achievement of objectives.”  [1] 米行政管理予算局(OMB)Circular A-123では、リスク選好度を「組織がその使命/ビジョンを追求するために受け入れようとする広範なリスク量」と定義している。これは、「組織の最上位レベルのリーダーシップによって確立され、戦略を設定し、目標を選択するための道標として機能する 」と定義している。同文書では、リスク許容度を 「目標達成に対するパフォーマンスのばらつきの許容レベル 」と定義している。
[2] Cybersecurity Risk Management, or CSRM, is the process of managing uncertainty on or within information and technology.  [2] サイバーセキュリティリスク管理、または CSRM は、情報および技術上の、または技術内の不確実性を管理するプロセスである。

 

図1:BIAプロセスとサイバーセキュリティリスクマネジメントの統合

1_20221122025601

Step A – Based on the enterprise mission, executives identify the products and business processes that are essential to the successful operation of the enterprise. Based on that list, the executives and senior leaders identify the enterprise-level assets[6] that enable those functions. The identification of enterprise-level assets should consider the interdependencies of systems and assets. Those assets inherit the criticality/priority of the functions they support. ステップ A - エンタープライズのミッションに基づき、経営幹部は、エンタープライズの成功に不可欠な製品とビジネスプロセスを特定する。そのリストに基づいて、エグゼクティブとシニアリーダーは、それらの機能を実現する企業レベルの資産[6]を特定する。企業レベルの資産の特定は、システムと資産の相互依存関係を考慮する必要がある。これらの資産は、それらがサポートする機能の重要度/優先度を引き継ぎます。

Step B – Leaders establish and communicate the risk appetite associated with those enterprise assets, and organizational managers determine the resulting risk tolerance.  ステップ B - リーダーは、それらの企業資産に関連するリスク許容度を設定し、伝達し、組織管理者は、その結果としてのリスク許容度を決定する。
Step C – As part of the CSRM process, the system owner will determine the extent to which every system or activity enables a mission/business-critical function (as illustrated in Figure 2). The criticality/priority direction from leaders, expressed through risk appetite/risk tolerance statements (Step B), is used to help determine what the impact of losses would be on confidentiality, integrity, or availability. That impact understanding and the basis for those determinations are recorded in the system BIA Register. [7]
ステップ C - CSRMプロセスの一環として、システム所有者は、すべてのシステムまたはアクティビティが、ミッション/ビジネスクリティカルな機能(図2に図示)をどの程度可能にするかを決定する。リスク選好度/リスク許容度ステートメント(ステップB)を通じて表現されたリーダーからの重要度/優先度の指示は、損失が機密性、完全性、または可用性に及ぼす影響を判断するために使用される。その影響の把握とその判断の根拠は、システムのBIA登録に記録される。[7]
Fig2_20220614030001
  • 機密性による損失の影響の文書化
  • 完全性による損失の影響の文書化
  • 可用性による損失の影響の文書化
  • 資産の重要度・機微性の分類
  • BIA登録への追加・更新
Figure 2: Level 3 BIA Activities
図2:レベル3のBIA活動
Step D – The analysis and results provide the input into the CSRM process illustrated in the diagram and described in NISTIRs 8286A, 8286B, and 8286C.   ステップ D - 分析と結果は、図に示され、NISTIRs 8286A、8286B、8286Cで説明されているCSRMプロセスへのインプットを提供する。 
Step E – Residual risks, particularly those that impact critical and sensitive resources, are highlighted in the Level 2 risk registers as those CSRRs are normalized and aggregated.  Of important note is that cybersecurity is one component of technology risk that feeds operational risks (OpRisk).  ステップ E - 残留リスク、特に重要で機密性の高いリソースに影響を与えるリスクは、CSRR が正規化され、集約されることで、レベル 2 リスク登録でハイライトされる。 重要なことは、サイバーセキュリティは、オペレーショナルリスク(OpRisk)を養うテクノロジーリスクの1つの要素であるということである。
Step F – Enterprise leaders consider the results of ongoing risk activities reported through Level 2 CSRRs as integrated into an Enterprise Cybersecurity Risk Register (E-CSRR) and assess the aggregate impact of the Level 3 and Level 2 risks. This understanding of the composite impact on mission/business-critical functions (including OpRisk) is used to prioritize risk response based on enterprise finance, mission, and reputation consequences.[8] Composite understanding also helps to confirm that risks are within the stated risk appetite or to identify necessary adjustments (e.g., implementing controls, risk mitigation). If adjustments are necessary, an action plan is created that will result in the appropriate increase or decrease of risk appetite to achieve the appropriate impact levels. ステップ F - エンタープライズのリーダーは、レベル 2 CSRR を通じて報告された継続的なリスク活動の結果を、エンタープライズ・サイバーセキュリティ・リスク登録(E-CSRR)に統合して検討し、レベル 3 とレベル 2のリスクの複合的な影響を評価する。ミッション/ビジネスクリティカルな機能(OpRisk を含む)に対する複合的な影響のこの理解は、企業財務、ミッション、レピュテーションへの影響に基づいてリスク対応の優先順位付けに用いられる[8]。 複合的な理解はまた、リスクが規定リスク許容度の範囲内にあることを確認し、必要な調整(例えば、統制の実施、リスク軽減)を特定するのに役立つ。調整が必要な場合は、適切な影響レベルを達成するために、リスクアペタイトを適切に増減させるアクションプランが作成される。
[6] The term ‘asset’ or ‘assets’ is used in multiple frameworks and documents. For the purposes of this publication, ‘assets’ are defined as technologies that may comprise an information system.  Examples include laptop computers, desktop computers, servers, sensors, data, mobile phones, tablets, routers, and switches.  In instances where the authors mean ‘assets’ as they appear on a balance sheet, the word ‘asset’ will be proceeded by words such as ‘high-level’ or ‘balance sheet’ or ‘Level 1’ to differentiate context.  [6] 「資産」または「資産」という用語は、複数のフレームワークや文書で使用されています。本書では、「資産」を情報システムを構成する可能性のある技術として定義しています。 例えば、ノートパソコン、デスクトップパソコン、サーバー、センサー、データ、携帯電話、タブレット端末、ルーター、スイッチなどである。 著者が貸借対照表上の「資産」を意味する場合、文脈を区別するために、「資産」という語の後に「ハイレベル」、「貸借対照表」、「レベル1」などの語を付すことにしている。
[7] A BIA register records business impact information about relevant assets; the register is related to but separate from a risk register, which is a repository of risk information including the data understood about risks over time.
[7]BIA登録簿は、関連する資産に関するビジネスインパクト情報を記録する。登録簿は、リスク登録簿と関連しているが、リスク登録簿とは別物であり、リスクについて時系列で理解されるデータを含むリスク情報のリポジトリである。
[8] Operational risk is discussed more fully in NISTIR 8286C Section 3.1.  [8] オペレーショナルリスクについては、NISTIR8286Cの3.1節でより詳細に議論されている。

 

NISTIR 8286 関連

Date St. Web PDF  
2020.10.13  Final NISTIR 8286 Integrating Cybersecurity and Enterprise Risk Management (ERM)  サイバーセキュリティとエンタープライズ・リスク・マネジメント (ERM) の統合
2021.11.12  Final NISTIR 8286A Identifying and Estimating Cybersecurity Risk for Enterprise Risk Management エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの識別と推定
2022.02.10  Final NISTIR 8286B Prioritizing Cybersecurity Risk for Enterprise Risk Management  エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの優先順位付け
2022.09.14  Final NISTIR 8286C Staging Cybersecurity Risks for Enterprise Risk Management and Governance Oversight エンタープライズ・リスク・マネジメント (ERM) とガバナンスの監督のためのサイバーセキュリティ・リスクのステージング
2022.11.17 Final NISTIR 8286D Using Business Impact Analysis to Inform Risk Prioritization and Response リスクの優先順位付けと対応を行うためのビジネス影響分析の使用

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.11.22 NISTIR 8286D リスクの優先順位付けと対応を行うためのビジネス影響分析の使用

・2022.09.16 NISTIR 8286C エンタープライズ・リスク・マネジメント (ERM) とガバナンスの監督のためのサイバーセキュリティ・リスクのステージング

・2022.06.14 NISTIR 8286D (ドラフト) リスクの優先順位付けと対応にビジネスインパクト分析を使用する方法 (2022.06.09)

・2022.02.13 NISTIR 8286B エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの優先順位付け

・2022.01.28 NISTIR 8286C (ドラフト)エンタープライズ・リスク・マネジメント (ERM) とガバナンスの監督のためのサイバーセキュリティ・リスクのステージング

・2021.11.15 NISTIR 8286A エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの識別と推定

・2021.09.03 NISTIR 8286B(ドラフト)エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの優先順位付け

・2021.07.08 NISTIR 8286A (ドラフト)エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの識別と推定(第2ドラフト)

・2020.10.22 NISTIR 8286 Integrating Cybersecurity and Enterprise Risk Management (ERM)

・2020.07.12 NISTIR 8286 (Draft) Integrating Cybersecurity and Enterprise Risk Management (ERM) (2nd Draft)

・2020.03.20 NISTIR 8286(Draft) Integrating Cybersecurity and Enterprise Risk Management (ERM)

 

関連する情報

・2021.08.19 NISTIR 8170 連邦政府機関がサイバーセキュリティフレームワークを使用するためのアプローチ

・2021.08.10 NIST SP 1271 NISTサイバーセキュリティフレームワーク入門:クイックスタートガイド

・2021.02.04 サイバーセキュリティとプライバシーに関する 2021年のNISTの取り組み

 

COSO 関連

・2022.01.18 ENISA 相互運用可能なEUのリスク管理フレームワーク

・2020.06.23 GAO GreenbookとOMB Circular No. A-123

少し(^^)遡ります。。。

・2011.12.22 COSO Exposure Draft: International Control Integrated Framework

・2009.01.27 COSO Guidance on Monitoring Internal Control Systems

・2008.06.12 COSO ED Guidance on Monitoring Internal Control Systems

・2007.09.15 COSO Guidance on Monitoring Internal Control Systems

・2007.06.26 英国規格 パブコメ リスクマネジメントのための実践規範 (BS 31100, Code of practice for risk management)

次の3つは歴史を知る上でも重要↓

・2006.08.28 SAS No.55の内部統制の要素

・2006.07.31 内部統制の構成要素比較 日本語

・2006.07.30 内部統制の構成要素比較

・2006.07.08 Internal Control over Financial Reporting — Guidance for Small Public Companies

この4つは歴史的にも重要かもですね。。。↓

・2006.05.10 CoCoにおける取締役会の統制上の責任

・2006.04.26 カナダCoCo内部統制ガイダンスにあって米国COSO内部統制報告書に明確にはないもの 「相互の信頼」

・2006.04.24 米国 30年前のIT全般統制の項目

・2006.04.03 米国では、全般統制と業務処理統制は30年以上前から言われている

・2005.10.28 COSO Guidance for Smaller Public Companies Reporting on Internal Control over Financial Reporting exposure draft

・2005.01.30 NHK COSOを導入

| | Comments (0)

2022.11.21

経済産業省 「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン Ver 1.0」

こんにちは、丸山満彦です。

経済産業省が、「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン Ver 1.0」を策定していますね。。。

「産業サイバーセキュリティ研究会ワーキンググループ1(制度・技術・標準化)工場SWG」 の成果物ですね。。。

 

経済産業省

・2022.11.16 「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン Ver 1.0」を策定しました

20221121-60507

 

 


2.ガイドラインの概要

本ガイドラインは、セキュリティ対策を行うに当たり参照すべき考え方やステップを示しているため、業界団体や個社が自らの工場を取り巻く環境を整理し必要な工場のセキュリティ対策を企画・実行していく際に役に立つガイドラインとなっています。

 


目次...

1 はじめに
1.1
工場セキュリティガイドラインの目的
【参考】 工場システムにおいてセキュリティ脅威により生じる影響の例
1.2
ガイドラインの適用範囲
1.3 5

2 本ガイドラインの想定工場
2.1
想定企業
2.2
想定組織構成
2.3
想定生産ライン
2.4
想定業務
2.5
想定データ
2.6
想定ゾーン

3 セキュリティ対策企画・導入の進め方
3.1
ステップ1  内外要件(経営層の取組や法令等)や業務、保護対象等の整理
3.1.1
ステップ 1-1  セキュリティ対策検討・企画に必要な要件の整理 
3.1.2 ステップ 1-2  業務の整理
3.1.3 ステップ 1-3  業務の重要度の設定
【参考】 業務の重要度(想定工場における例)
3.1.4 ステップ 1-4  保護対象の整理
3.1.5 ステップ 1-5  保護対象の重要度の設定
3.1.6 ステップ 1-6  ゾーンの整理と、ゾーンと業務、保護対象の結びつけ
3.1.7 ステップ 1-7  ゾーンと、セキュリティ脅威による影響の整理
【参考】 攻撃者の動機
【参考】 経営層による取組の宣言

3.2
ステップセキュリティ対策の立案
3.2.1
ステップ 2-1  セキュリティ対策方針の策定
【参考】 セキュリティ要求レベルの考え方の例
【参考】 対策の程度
3.2.2 ステップ 2-2  想定脅威に対するセキュリティ対策の対応づけ
(1) システム構成面での対策
(2) 物理面での対策 
【参考】 入退管理の考え方
【参考】 物理セキュリティ運用・管理の担当部署
 
3.3
ステップ 3 セキュリティ対策の実行、及び計画・対策・運用体制の不断の見直し(PDCA サイクルの実施)
(1)ライフサイクルでの対策
【参考】 運用管理体制(例) 
(2)サプライチェーン対策
【参考】 制御システムや IoT に関するセキュリティ認証制度 
【参考】 下請振興基準 .
【参考】 稼働中の工場と新設の工場における対策の考慮 
【参考】 戦略の実行管理

付録 A 用語/略語

付録 B 工場システムを取り巻く社会的セキュリティ要件 
B-1
法規制、標準規格、ガイドライン準拠に関わる要件 
B-1.1 法規制によるセキュリティ対策の要求
【参考】 業界ごとのセキュリティに関わる法規制 
B-1.2 セキュリティに関わる標準規格・ガイドライン準拠の要求 
【参考】 セキュリティインシデント対応に関する主なガイドライン
B-2 国・自治体からの要求 
B-3 産業界からの要求
【参考】 業界ごとの要求
B-4 市場・顧客からの要求 
B-5 B-5 取引先からの要求
B-6 出資者からの要求

付録 C 関係文書におけるセキュリティ対策レベルの考え方 
C-1
代表的なセキュリティ対策評価基準
C-2 セキュリティ対策を行う度合いの定義例

付録 D 関連/参考資料 

付録 E チェックリスト

付録 F 調達仕様書テンプレート(記載例)

コラム 1 : 工場セキュリティを巡る動向 
コラム 2 : 工場システムの目的や製造業/工場の価値から観た セキュリティ 
コラム 3 : スマート工場への流れ 
コラム 4 : 工場におけるクラウド利用 

本ガイドラインの検討体制

謝辞 

委員...
市岡 裕嗣 三菱電機株式会社 名古屋製作所ソフトウエアシステム部 部長 ※2022 年度~
西雪 弘 三菱電機株式会社 FA ソリューションシステム部 部長 (※~2021 年度)
岩﨑 章彦 一般社団法人電子情報技術産業協会 セキュリティ専任部長
江崎 浩 東京大学大学院 情報理工学系研究科教授
榎本 健男 一般社団法人日本工作機械工業会 技術委員会 標準化部会 電気・安全規格専門委員会委員 (三菱電機株式会社 名古屋製作所ドライブシステム部 専任)
桑田 雅彦 日本電気株式会社 デジタルネットワーク事業部門 兼 テクノロジーサービス部門 サイバーセキュリティ事業統括部  シニアプロフェッショナル(サイバーセキュリティ)(Edgecross・GUTP 合同 工場セキュリティ WG リーダー)
斉田 浩一 ファナック株式会社 IT 本部情報システム部五課 課長
佐々木 弘志 フォーティネットジャパン合同会社 OT ビジネス開発部 部長 (IPA ICSCoE 専門委員)
斯波 万恵 株式会社東芝 サイバーセキュリティ技術センター 参事 (ロボット革命イニシアティブ(RRI)産業セキュリティ AG)
高橋 弘宰 トレンドマイクロ株式会社 OT セキュリティ事業部 OT プロダクトマネジメントグループ シニアマネージャー
中野 利彦 株式会社日立製作所 制御プラットフォーム統括本部 大みか事業所 セキュリティエバンジェリスト
藤原 剛 ビー・ユー・ジーDMG 森精機株式会社 制御開発本部コネクティビティー部 副部長
松原 豊 名古屋大学大学院 情報学研究科准教授
村瀬 一郎 技術研究組合制御システムセキュリティセンター 事務局長
渡辺 研司 名古屋工業大学大学院 社会工学専攻教授 

| | Comments (0)

経済産業省 日本発の自動運転システムの「シナリオに基づく安全性評価フレームワーク」に関する国際標準 (ISO34502) が発行されたことを公表

こんにちは、丸山満彦です。

経済産業省が、ISO 34502:2022 Road vehicles — Test scenarios for automated driving systems — Scenario based safety evaluation frameworkが発行されたことをニュースリリースで公表していますね。。。


自動運転システムの安全性を評価するための手順やシナリオに関する、日本発の国際標準が発行されました。これにより、自動運転システムの安全性と開発効率の向上が期待されます。


とのことです。。。

誤用、人と機械間のインターフェース、サイバーセキュリティに関わる安全関連については、対象外です。。。

 

経済産業省

・2022.11.16 日本発の自動運転システムの「シナリオに基づく安全性評価フレームワーク」に関する国際標準が発行されました ~安全で自由に移動できる社会の実現を目指して(ISO 34502)~

 

2. 標準の概要...


本標準は、自動運転システムの安全性を評価する手順や、クリティカルシナリオ(自車にとって危険と認知した場合に即座に安全行動を行う必要がある事象)の導出手法等から構成されております。(図1)

① 安全目標の設定(例えば有能なドライバーより優秀である)
② シナリオ検証範囲の設定(例えば交通参加者の速度範囲等)
③ 危険な事象に至る要因(例えば自車と他車との相対速度や車間距離)及び②シナリオ検証範囲からクリティカルシナリオの特定
④ 安全性試験・評価を実施
⑤ ①で設定した安全目標を達成しているか判断
⑥ ⑤で未達成の場合、自動運転システムの再検討を要求し、①に戻る(反復ループ)

 

 

図1:ISO 34502で規定された安全性評価の全体的な流れ

日本提案の特徴は、クリティカルシナリオの導出手法について、より実現可能な「シナリオベースアプローチ」を提案した点にあります。これは、自動運転システムの各要素を「認知」、「判断」、「操作」の3要素に分解し、それぞれの危険に繋がる事象を体系的に整理する事で、シナリオを漏れなく導出する手法です。(図2)
シナリオの種類が無限に近くなった場合、最適な検証作業に支障をきたしますが、このアプローチによって、安全性保証にとって必要十分なシナリオを、過不足なく検討することが容易になります。

 

図2:シナリオの体系化

なお、ISO/TC22/SC33(ビークルダイナミクス、シャーシコンポーネント、運転自動化システムのテスト)/WG9(自動運転システムのテストシナリオ)においては、安全性を評価するための5つのプロジェクトが、2018年9月からスタートしています。この中でも標準化の主軸は、シナリオに基づく安全性評価フレームワークを構築するプロジェクトでした。このプロジェクトについて、自動運転システムの安全性評価基盤構築に向けて経済産業省が実施しているSAKURAプロジェクト*2の活動成果を活用する事で、日本主導において検討されてISO 34502の発行につながったものです。

 

ISO

ISO 34502:2022 Road vehicles — Test scenarios for automated driving systems — Scenario based safety evaluation framework

ISO 34502:2022 Road vehicles — Test scenarios for automated driving systems — Scenario based safety evaluation framework ISO 34502:2022 道路運送車両-自動運転システムの試験シナリオ-シナリオに基づく安全性評価フレームワーク
This document provides guidance for a scenario-based safety evaluation framework for automated driving systems (ADSs). The framework elaborates a scenario-based safety evaluation process that is applied during product development. The guidance for the framework is intended to be applied to ADS defined in ISO/SAE PAS 22736 and to vehicle categories 1 and 2 according to Reference [10]. This scenario-based safety evaluation framework for ADS is applicable for limited access highways. この文書は、自動運転システム(ADS)のためのシナリオベースの安全性評価フレームワークのためのガイダンスを提供する。このフレームワークは、製品開発時に適用されるシナリオに基づく安全性評価プロセスを精緻化したものである。このフレームワークのガイダンスは、ISO/SAE PAS 22736 で定義された ADS と、文献 [10] による車両カテゴリ 1 と 2 に適用されることを意図している。このシナリオに基づく ADS の安全性評価フレームワークは、アクセス制限のある高速道路に適用されるものである。
This document does not address safety-related issues involving misuse, human machine interface and cybersecurity. 本書は、誤用、ヒューマンマシンインタフェース、サイバーセキュリティに関わる安全関連の問題には言及しない。
This document does not address non-safety related issues involving comfort, energy efficiency or traffic flow efficiency. また、快適性、エネルギー効率、交通流効率など、安全以外の問題についても触れていない。

 

目次概要...

Foreword 序文
Introduction はじめに
1 ​Scope 1 適用範囲
2 ​Normative references 2 引用規格
3 ​Terms and definitions 3 用語と定義
4 ​Test scenario-based safety evaluation process 4 テストシナリオベースの安全性評価プロセス
4.1 ​Integration into the overall development process 4.1 開発プロセス全体への統合
4.2 ​Safety test objectives 4.2 安全性試験の目的
4.3 ​Specification of the relevant scenario space 4.3 関連するシナリオ空間の仕様
4.4 ​Derivation of critical scenarios based on risk factors 4.4 リスク要因に基づく重要シナリオの導出
4.5 ​Derivation of test scenarios based on covering the relevant scenario space 4.5 関連するシナリオ空間をカバーすることに基づくテストシナリオの導出
4.6 ​Derivation of concrete test scenarios and test scenario allocation 4.6 具体的な試験シナリオの導出及び試験シナリオの割当て
4.7 ​Test execution 4.7 試験の実施
4.8 ​Safety evaluation 4.8 安全性評価
Annex 附属書
Annex A Physics principles scenario-based approach 附属書 A 物理原則 シナリオに基づくアプローチ
Annex B Traffic-related critical scenarios 附属書 B 交通関連の重要シナリオ
Annex C Perception-related critical scenarios 附属書 C 知覚に関連するクリティカルシナリオ
Annex E Derivation and structuring of scenarios using criticality analysis 附属書 E 臨界分析を用いたシナリオの導出と構造化
Annex F Qualification of virtual test platforms 附属書 F 仮想テストプラットフォームの適格性評価
Annex G Scenario database and parameter variation methods 附属書 G シナリオデータベースとパラメータ変動法
Annex H Segmentation of test space 附属書 H 試験空間の区分け
Annex I Evaluation of test scenarios based on behavioural safety assessment 附属書 I 行動安全アセスメントに基づくテストシナリオの評価
Annex J Risk evaluation based on positive risk balance 附属書 J ポジティブリスクバランスに基づくリスク評価
Annex K Constrained random testing to identify unknown critical scenarios 附属書 K 未知の重要シナリオを特定するための制約付きランダム試験
Annex L Sufficiency of traffic data to develop parameter ranges 附属書 L パラメータ範囲を開発するためのトラフィックデータの十分性
Bibliography 参考文献

 

Continue reading "経済産業省 日本発の自動運転システムの「シナリオに基づく安全性評価フレームワーク」に関する国際標準 (ISO34502) が発行されたことを公表"

| | Comments (0)

2022.11.20

NIST SP 800-160 Vol.1 Rev.1 信頼性の高い安全なシステムのエンジニアリング (2022.11.16)

こんにちは、丸山満彦です。

NISTが意見募集をしていた、SP 800-160 Vol.1 Rev.1 信頼性の高い安全なシステムのエンジニアリングの最終版を公表していますね。。。

 

● NIST - ITL 

・2022.11.16 SP 800-160 Vol. 1 Rev. 1 Engineering Trustworthy Secure Systems

SP 800-160 Vol. 1 Rev. 1 Engineering Trustworthy Secure Systems SP 800-160 Vol.1 Rev.1 信頼性の高い安全なシステムのエンジニアリング
Abstract 概要
This publication describes a basis for establishing principles, concepts, activities, and tasks for engineering trustworthy secure systems. Such principles, concepts, activities, and tasks can be effectively applied within systems engineering efforts to foster a common mindset to deliver security for any system, regardless of the system’s purpose, type, scope, size, complexity, or the stage of its system life cycle. The intent of this publication is to advance systems engineering in developing trustworthy systems for contested operational environments (generally referred to as systems security engineering) and to serve as a basis for developing educational and training programs, professional certifications, and other assessment criteria. 本書は、信頼性の高いセキュアなシステムを設計するための原則、概念、活動、およびタスクを確立するための基礎を説明するものである。このような原則、概念、活動、およびタスクは、システムの目的、種類、範囲、規模、複雑さ、またはシステムライフサイクルの段階に関係なく、あらゆるシステムのセキュリティを実現するための共通の考え方を醸成するために、システムエンジニアの取り組みに効果的に適用することができる。本書の目的は、厳しい運用環境において信頼性の高いシステムを開発するシステム工学(一般にシステムセキュリティ工学と呼ばれる)を発展させ、教育・訓練プログラム、専門家認定、その他の評価基準を開発するための基礎とすることである。

 

・[PDF] SP 800-160 Vol. 1 Rev. 1

20221120-54329

 

目次...

1.  Introduction 1.  はじめに
1.1.  Purpose and Applicability 1.1.  目的及び適用性
1.2.  Target Audience 1.2.  対象読者
1.3.  How to Use this Publication 1.3.  この出版物の使用方法
1.4.  Organization of this Publication 1.4.  本書の構成
2.  Systems Engineering Overview 2.  システムエンジニアリングの概要
2.1.  System Concepts 2.1.  システム概念
2.1.1. Systems and System Structure 2.1.1. システムとシステム構造
2.1.2. Interfacing, Enabling, and Interoperating Systems 2.1.2. システムのインターフェイス、イネーブル、および相互運用
2.2.  Systems Engineering Foundations 2.2.  システムエンジニアリングの基礎
2.3.  Trust and Trustworthiness 2.3.  信頼と信用性
3.  System Security Concepts 3.  システムセキュリティの概念
3.1.  The Concept of Security 3.1.  セキュリティの概念
3.2.  The Concept of an Adequately Secure System 3.2.  十分な安全性を持つシステムの概念
3.3.  Characteristics of Systems 3.3.  システムの特徴
3.4.  The Concept of Assets 3.4.  資産の概念
3.5.  The Concepts of Loss and Loss Control 3.5.  損失と損失管理の概念
3.6.  Reasoning about Asset Loss 3.6.  資産の損失に関する推論
3.7.  Determining Protection Needs 3.7.  保護の必要性の判断
3.8.  System Security Viewpoints 3.8.  システムセキュリティの視点
3.9.  Demonstrating System Security 3.9.  システムセキュリティの実証
3.10.  Systems Security Engineering 3.10.  システムセキュリティエンジニアリング
4.  Systems Security Engineering Framework 4.  システムセキュリティ工学の枠組み
4.1.  The Problem Context 4.1.  問題の背景
4.2.  The Solution Context 4.2.  ソリューションコンテキスト
4.3.  The Trustworthiness Context 4.3.  信頼性のコンテキスト
References  参考文献 
Appendix A. Acronyms 附属書A. 頭字語
Appendix B. Glossary 附属書B. 用語集
Appendix C. Security Policy and Requirements 附属書C. セキュリティポリシーと要求事項
C.1. Security Policy C.1. セキュリティポリシー
C.2. Security Requirements C.2. セキュリティに関する要求事項
C.3. Distinguishing Requirements, Policy, and Mechanisms C.3. 要求事項、ポリシー、メカニズムの区別
Appendix D. Trustworthy Secure Design 附属書D. 信頼性の高いセキュアな設計
D.1. Design Approach for Trustworthy Systems D.1. 信頼性の高いシステムのための設計アプローチ
D.2.Design Considering Emergence D.2. 創発性を考慮した設計
D.3. Security Design Order of Precedence D.3. セキュリティ設計の優先順位
D.4. Functional Design Considerations D.4. 機能的設計の考慮点
Appendix E. Principles for Trustworthy Secure Design 附属書E. 信頼性の高いセキュアな設計のための原則
E.1. Anomaly Detection E.1. 異常の検出
E.2. Clear Abstractions E.2. 明確な抽象化
E.3. Commensurate Protection E.3. 適切な保護
E.4. Commensurate Response E.4. 正確な応答
E.5. Commensurate Rigor E.5. 適正な厳しさ
E.6. Commensurate Trustworthiness E.6. 正確な信頼性
E.7. Compositional Trustworthiness E.7. 構成的信頼性
E.8. Continuous Protection E.8. 継続的な保護
E.9. Defense In Depth E.9. 多重防御
E.10. Distributed Privilege E.10. 特権の分散
E.11. Diversity (Dynamicity) E.11. 多様性(動的)
E.12. Domain Separation E.12. ドメイン分離
E.13. Hierarchical Protection E.13. 階層的な保護
E.14. Least Functionality E.14. 最小限の機能
E.15. Least Persistence E.15. 最小限の持続性
E.16. Least Privilege E.16. 最小の特権
E.17. Least Sharing E.17. 最小限の共有
E.18. Loss Margins E.18. 損失マージン
E.19. Mediated Access E.19. 媒介アクセス
E.20. Minimal Trusted Elements E.20. 最小限の信頼される要素
E.21. Minimize Detectability E.21. 検出可能性の最小化
E.22. Protective Defaults E.22. 保護デフォルト
E.23. Protective Failure E.23. プロテクトの失敗
E.24. Protective Recovery E.24. 保護リカバリ
E.25. Reduced Complexity E.25. 複雑さの軽減
E.26. Redundancy E.26. 冗長性
E.27. Self-Reliant Trustworthiness E.27. 自立した信頼性
E.28. Structured Decomposition and Composition E.28. 構造化分解と構造化合成
E.29. Substantiated Trustworthiness E.29. 裏付けされた信頼性の高さ
E.30. Trustworthy System Control E.30. 信頼性の高いシステム制御
Appendix F. Trustworthiness and Assurance 附属書F.信頼性及び保証
F.1. Trust and Trustworthiness F.1. 信頼と信用
F.2.Assurance F.2.保証
Appendix G. System Life Cycle Processes Overview 附属書G. システムライフサイクルプロセスの概要
G.1. Process Overview G.1. プロセスの概要
G.2. Process Relationships G.2. プロセスの関係
Appendix H. Technical Processes 附属書H. 技術プロセス
H.1. Business or Mission Analysis H.1. ビジネスまたはミッションの分析
H.2. Stakeholder Needs and Requirements Definition H.2. ステークホルダーのニーズと要件の定義
H.3. System Requirements Definition H.3. システム要件定義
H.4. System Architecture Definition H.4. システムアーキテクチャの定義
H.5. Design Definition H.5. デザイン定義
H.6. System Analysis H.6. システム分析
H.7. Implementation H.7. 実装
H.8. Integration H.8. 統合
H.9. Verification H.9. 検証
H.10. Transition H.10. 移行
H.11. Validation H.11. 妥当性確認
H.12. Operation H.12. 操作
H.13. Maintenance H.13. 保守者ンス
H.14. Disposal H.14. 廃棄について
Appendix I. Technical Management Processes 附属書 I. 技術管理プロセス
I.1. Project Planning I.1. プロジェクト計画
I.2. Project Assessment and Control I.2. プロジェクトの評価と管理
I.3. Decision Management I.3. 意思決定管理
I.4. Risk Management I.4. リスク管理
I.5. Configuration Management I.5. コンフィギュレーション・マネジメント
I.6. Information Management I.6. 情報管理
I.7. Measurement I.7. 測定
I.8. Quality Assurance I.8. 品質保証
Appendix J. Organizational Project-Enabling Processes 附属書J. プロジェクトを実現するための組織的プロセス
J.1. Life Cycle Model Management J.1. ライフサイクルモデルの管理
J.2. Infrastructure Management J.2. インフラストラクチャー管理
J.3. Portfolio Management J.3. ポートフォリオ管理
J.4. Human Resource Management J.4. ヒューマンリソースマネジメント
J.5. Quality Management J.5. 品質管理
J.6. Knowledge Management J.6. ナレッジマネジメント
Appendix K. Agreement Processes 附属書K. 契約プロセス
K.1.Acquisition K.1.取得
K.2. Supply K.2. 供給
Appendix L. Change Log 附属書 L. 変更履歴

 

 

1.  Introduction   1.  はじめに  
Today’s systems[1] are inherently complex. The growth in the size, number, and types of components and technologies[2] that compose those systems as well as the system dependencies result in a range of consequences from inconvenience to catastrophic loss due to adversity[3] within the operating environment. Managing the complexity of trustworthy secure systems requires achieving the appropriate level of confidence in the feasibility, correctness-in-concept, philosophy, and design of a system to produce only the intended behaviors and outcomes. This provides the foundation to address stakeholder protection needs and security concerns with sufficient confidence that the system functions only as intended while subjected to different types of adversity and to realistically bound those expectations with respect to constraints and uncertainty. The failure to address complexity and security will leave the Nation susceptible to potentially serious, severe, or catastrophic consequences.  今日のシステム[1]は本質的に複雑である。システムを構成する部品や技術[2] の規模、数、種類の増加や、システムの依存関係により、運用環境における不都合から逆境による壊滅的な損失[3]まで、様々な結果が生じている。信頼性の高い安全なシステムの複雑性を管理するには、意図された動作と結果のみをもたらすシステムの実現可能性、概念の正しさ、哲学、および設計について、適切なレベルの信頼性を達成することが必要である。これは、さまざまな種類の逆境にさらされてもシステムが意図したとおりにしか機能しないという十分な確信をもって、利害関係者の保護ニーズとセキュリティの懸念に対処し、制約と不確実性に関してそれらの期待を現実的に拘束するための基盤を提供するものである。複雑性と安全性に対処できなければ、国家は深刻な、深刻な、または破滅的な結果に陥る可能性がある。
The term security is used in this publication to mean freedom from the conditions that can cause a loss of assets with unacceptable consequences.[4] Stakeholders must define the scope of security in terms of the assets to which security applies and the consequences against which security is assessed.[5] Systems engineering provides a foundation for a disciplined and structured approach to building assured, trustworthy secure systems. As a systems engineering subdiscipline, systems security engineering addresses security-relevant considerations intended to produce secure outcomes. The engineering efforts are conducted at the appropriate level of fidelity and rigor needed to achieve trustworthiness and assurance objectives.  本書では、セキュリティという用語は、許容できない結果を伴う資産の損失を引き起こす可能性のある条件からの自由を意味するものとして使用される[4] 。利害関係者は、セキュリティが適用される資産と、セキュリティを評価する結果という観点からセキュリティの範囲を定義しなければならない[5] 。システムズエンジニアリングの下位分野として、システムセキュリティ工学は、安全な結果をもたらすことを意図したセキュリティ関連の考慮事項に取り組む。工学的な取り組みは、信頼性と保証の目標を達成するために必要な、適切なレベルの忠実度と厳密さで実施される。
Peter Neumann described the concept of trustworthiness in [2] as follows:  ピーター・ノイマンは[2]で信頼性の概念を次のように説明している。
“By trustworthiness, we mean simply worthy of being trusted to fulfill whatever critical requirements may be needed for a particular component, subsystem, system, network, application, mission, enterprise, or other entity. Trustworthiness requirements might typically involve (for example) attributes of security, reliability, performance, and survivability under a wide range of potential adversities. Measures of trustworthiness are meaningful only to the extent that (a) the requirements are sufficiently complete and well defined, and (b) can be accurately evaluated.”  「信頼性とは、特定のコンポーネント、サブシステム、システム、ネットワーク、アプリケーション、ミッション、エンタープライズ、または他のエンティティに必要とされるあらゆる重要な要件を満たすために信頼されるに値することを意味する。信頼性の要件には、例えば、セキュリティ、信頼性、性能、および広範な潜在的敵対行為下での生存性などの属性が含まれることが一般的である。信頼性の測定は、(a)要件が十分に完全で、よく定義され、(b)正確に評価できる範囲でのみ意味がある。
Systems security engineering provides complementary engineering capabilities that extend the concept of trustworthiness to deliver trustworthy secure systems. Trustworthiness is not only about demonstrably meeting a set of requirements. The requirements must also be complete, consistent, and correct. From a security perspective, a trustworthy system meets a set of welldefined requirements, including security requirements. Through evidence and expert judgment, trustworthy secure systems can limit and prevent the effects of modern adversities. Such adversities come in malicious and non-malicious forms and can emanate from a variety of sources, including physical and electronic. Adversities can include attacks from determined and capable adversaries, human errors of omission and commission, accidents and incidents, component faults and failures, abuses and misuses, and natural and human-made disasters.  システムセキュリティ工学は、信頼性の概念を拡張し、信頼性の高い安全なシステムを提供するための補完的な工学能力を提供する。信頼性とは、一連の要件を実証的に満たすことだけではない。要件は完全で、一貫性があり、正しくなければならない。セキュリティの観点からは、信頼性の高いシステムは、セキュリティ要件を含む、明確に定義された一連の要件を満たしている。証拠と専門家の判断により、信頼性の高い安全なシステムは、現代の敵の影響を制限し、防止することができる。このような敵は、悪意のあるものとないものがあり、物理的、電子的なものを含む様々なソースから発生する可能性がある。逆境には、決意のある有能な敵からの攻撃、人間の不注意や過失、事故や事件、部品の欠陥や故障、悪用や誤用、自然災害や人為的災害などがある。
“Security is embedded in systems. Rather than two engineering groups designing two systems, one intended to protect the other, systems engineering specifies and designs a single system with security embedded in the system and its components.”  「セキュリティはシステムに組み込まれる。2つのエンジニアリンググループが2つのシステムを設計し、一方が他方を保護することを意図するのではなく、システムエンジニアリングは、システムとそのコンポーネントにセキュリティを組み込んだ単一のシステムを指定・設計するのである。
-- An Objective of Security in the Future of Systems Engineering [7]  -・システムズエンジニアリングの将来におけるセキュリティの目的[7]。
1.1.  Purpose and Applicability  1.1.  目的及び適用範囲 
This publication is intended to:  本書は、次のことを目的としている。
・Provide a basis for establishing a discipline for systems security engineering as part of systems engineering in terms of its principles, concepts, activities, and tasks  ・システムズセキュリティ工学を、その原則、概念、活動、及び作業の観点から、システムズ工学の一部として確立するための基礎を提供すること
・Foster a common mindset to deliver security for any system, regardless of its purpose, type, scope, size, complexity, or stage of the system life cycle  ・目的、種類、範囲、規模、複雑さ、システムライフサイクルの段階に関係なく、あらゆるシステムのセキュリティを実現するための共通の考え方を醸成すること
・Demonstrate how selected systems security engineering principles, concepts, activities, and tasks can be effectively applied to systems engineering activities  ・選択したシステムセキュリティ工学の原則,概念,活動,タスクを,どのようにシステムエンジニアリング活動に効果的に適用できるかを示すこと
・Advance the field of systems security engineering as a discipline that can be applied and studied  ・システムセキュリティ工学を応用・研究可能な学問分野として発展させること
・Serve as a basis for the development of educational and training programs, including individual certifications and other professional assessment criteria  ・個人認定資格やその他の専門的な評価基準を含む、教育・訓練プログラムの開発の基礎となるようにすること

The considerations set forth in this publication are applicable to all federal systems other than those systems designated as national security systems as defined in 44 U.S.C., Section 3542.[6] These considerations have been broadly developed from a technical and technical management perspective to complement similar considerations for national security systems and may be used for such systems with the approval of federal officials who exercise policy authority over such systems. State, local, and tribal governments, as well as private sector entities, are encouraged to consider using the material in this publication, as appropriate.  本書に記載されている考慮事項は、44 U.S.C. 第 3542 条に定義されている国家安全保障システムとして指定されているシステム以外のすべての連邦システムに適用される[6]。これらの考慮事項は、国家安全保障システムに対する同様の考慮事項を補完するために技術及び技術管理の観点から幅広く策定されており、当該システムに対する政策権限を有する連邦当局者の承認を得て当該システムに使用できるようになっている。州、地方、および部族政府は、民間部門と同様に、本書の資料の適切な利用を検討することが推奨される。
The applicability statement is not meant to limit the technical and management application of these considerations. That is, the security design principles, concepts, and techniques described in this publication are part of a trustworthy secure design approach as described in Appendix D and can be applied in any of the following cases:  適用性の記述は、これらの考慮事項の技術的および管理的な適用を制限することを意図していない。すなわち、本書に記載されているセキュリティ設計の原則、概念、および技術は、附属書Dに記載されている信頼性の高い安全な設計手法の一部であり、以下のいずれの場合にも適用することが可能である。
・Development of a new capability or system  ・新しい能力またはシステムの開発
The engineering effort includes such activities as concept exploration, preliminary or applied research to refine the concepts and/or feasibility of technologies employed in a new system, and an assessment of alternative solutions. This effort is initiated during the concept and development stages of the system life cycle.  エンジニアリングの取り組みには、コンセプトの探求、新システムに採用される技術のコンセプト及び/又は実現可能性を洗練させるための予備又は応用研究、及び代替ソリューションの評価などの活動が含まれる。この作業は、システムライフサイクルのコンセプトと開発段階において開始される。
・Modification of an existing capability or system  ・既存の能力またはシステムの修正
-       Reactive modifications to fielded systems: The engineering effort occurs in response to adversity that diminishes or prevents the system from achieving the design intent. This effort can occur during the production, utilization, or support stages of the system life cycle and may be performed concurrently with or independent of day-to-day system operations.  ・実戦配備されたシステムに対する反応的な修正。このエンジニアリング作業は、システムが設計意図を達成するのを減少させるか妨げるような逆境に対応して行われる。この作業は、システムライフサイクルの生産、利用、またはサポート段階において発生し、日常的なシステム運用と同時に行われることもあれば、独立に行われることもある。
-       Planned upgrades to fielded systems while continuing to sustain day-to-day operations: Planned system upgrades may enhance an existing system capability, provide a new capability, or constitute a technology refresh of an existing capability. This effort occurs during the production, utilization, or support stages of the system life cycle.  ・日々の運用を維持しつつ、実戦配備されたシステムの計画的なアップグレード。計画されたシステムアップグレードは、既存のシステム能力を強化し、新しい能力を提供し、または既存の能力の技術更新を構成することができる。この作業は、システムライフサイクルの生産、利用、またはサポート段階において行われる。
-       Planned upgrades to fielded systems that result in new systems: The engineering effort is conducted as if developing a new system with a system life cycle that is distinct from the life cycle of a fielded system. The upgrades are performed in a development environment that is independent of the fielded system.  ・新システムにつながる、実戦配備されたシステムの計画されたアップグレード。このエンジニアリング作業は、実戦配備されたシステムのライフサイクルとは異なるシステムライフサイクルを持つ新システムを開発するように実施される。アップグレードは、実戦配備されたシステムから独立した開発環境において実施される。
・Evolution of an existing capability or system  ・既存の能力またはシステムの進化
The engineering effort involves migrating or adapting a system or system implementation from one operational environment or set of operating conditions to another operational environment or set of operating conditions.[7]  システムまたはシステム実装を、ある運用環境または一連の運用条件から別の運用環境または一連の運用条件へ移行または適応させるエンジニアリングの作業である[7]。
・Retirement of an existing capability or system  ・既存の能力又はシステムの退役
The engineering effort removes system functions, services, elements, or the entire system from operation and may include the transition of system functions and services to another system. The effort occurs during the retirement stage of the system life cycle and may be conducted while sustaining day-to-day operations.  システム機能、サービス、要素、またはシステム全体を運用から外し、システム機能及びサービスを別のシステムへ移行することを含む場合がある。この作業は、システムライフサイクルの引退段階で行われ、日常的な運用を維持しながら実施されることもある。
・Development of a dedicated, domain-specific, or special-purpose capability or system  ・専用、ドメイン固有、または特殊な目的の能力またはシステムの開発
- Security-dedicated or security-purposed system: The engineering effort delivers a system that satisfies a security-dedicated need or provides a security-oriented purpose and does so as a stand-alone system that may monitor or interact with other systems. Such systems can include surveillance systems, physical protection systems, monitoring systems, and security service provisioning systems.  ・セキュリティ専用またはセキュリティ目的のシステム。セキュリティ専用のニーズを満たすか、またはセキュリティ指向の目的を提供するシステムであり、他のシステムを監視したり、他のシステムと相互作用することができる独立したシステムとして行うエンジニアリング作業。このようなシステムには、監視システム、物理的保護システム、監視システム、及びセキュリティサービス提供システムが含まれることがある。
-       High-confidence, dedicated-purpose system: The engineering effort delivers a system that satisfies the need for real-time vehicular control, industrial or utility processes, weapons, nuclear power plants, and other special-purpose needs. Such systems may include multiple operational states or modes with varying forms of manual, semi-manual, automated, or autonomous modes. These systems have highly deterministic properties, strict timing constraints, functional interlocks, and severe or catastrophic consequences of failure.  ・信頼性の高い、専用目的のシステム。リアルタイム車両制御、産業用または公益事業用プロセス、兵器、原子力発電所、およびその他の特別な目的のニーズを満たすシステムを提供するエンジニアリング作業である。このようなシステムには、手動、半手動、自動、または自律モードなど、さまざまな形態の複数の動作状態またはモードが含まれる場合がある。これらのシステムは、高度に決定論的な特性、厳格なタイミング制約、機能的インターロック、および故障の深刻なまたは壊滅的な結果を有する。
・Development of a system of systems  ・システム・オブ・システムの開発
The engineering effort occurs across a set of constituent systems, each with its own stakeholders, primary purpose, and planned evolution. The composition of the constituent systems into a system of systems as noted in [9] produces a capability that would otherwise be difficult or impractical to achieve. This effort can occur across a variety of system of systems from a relatively informal, unplanned system of systems concept and evolution that emerges over time via voluntary participation to a more formal execution with the most formal being a system of systems concept that is directed, structured, planned, and achieved via a centrally managed engineering effort. Any resulting emergent behavior often introduces opportunities and additional challenges for systems security engineering.  エンジニアリング作業は、それぞれが利害関係者、主要目的、および計画された進化を持つ一連の構成システムにわたって行われる。[9]で述べたように、構成システムをシステムオブシステムとして構成することで、他の方法では実現が困難または非現実的な能力が生み出される。この努力は、自発的な参加によって時間をかけて出現する比較的非公式で無計画なシステムコンセプトと進化から、最も正式なシステムコンセプトは、中央管理のエンジニアリング努力によって指示、構造化、計画、達成されるシステムオブシステムであり、より正式な実行まで、様々なシステムオブシステムで起こりうるものである。その結果生じるいかなる創発的行動も、しばしばシステムセキュリティ工学に機会と新たな課題をもたらす。
1.2.  Target Audience  1.2.  対象読者 
This publication is intended for systems engineers, security engineers, and other engineering professionals. The term systems security engineer is used to include systems engineers and security professionals who apply the concepts and principles and perform the activities and tasks described in this publication.[8] This publication can also be used by professionals who perform other system life cycle activities or tasks, including:  本書は、システムエンジニア、セキュリティエンジニア、およびその他のエンジニアリング専門家を対象としている。システムセキュリティエンジニアという用語は、本書に記載された概念と原則を適用し、活動とタスクを実行するシステムエンジニアとセキュリティ専門家を含む意味で使用される[8]。 本書は、以下のような他のシステムライフサイクル活動またはタスクを実行する専門家も使用することができる。
・Individuals with security governance, risk management, and oversight responsibilities  ・セキュリティガバナンス、リスク管理、および監視の責任を有する者
・Individuals with security verification, validation, testing, evaluation, auditing, assessment, inspection, and monitoring responsibilities  ・セキュリティの検証、妥当性確認、テスト、評価、監査、評価、検査、及び、監視を担当する個人
・Individuals with acquisition, budgeting, and project management responsibilities  ・取得、予算、及びプロジェクト管理の責任を有する個人
・Individuals with operations, maintenance, sustainment, logistics, and support responsibilities  ・運用、保守、維持、ロジスティクス、サポートに責任を持つ個人
・Providers of technology-related products, systems, or services  ・技術関連製品、システム、またはサービスのプロバイダー
・Educators in academic institutions that offer systems engineering, computer engineering, computer science, software engineering, and computer security programs  ・システムエンジニアリング、コンピュータエンジニアリング、コンピュータサイエンス、ソフトウェアエンジニアリング、コンピュータセキュリティプログラムを提供する学術機関の教育者
1.3.  How to Use this Publication  1.3.  本書の使用方法 
This publication is intended to serve as a reference and educational resource for systems engineers, engineering specialties, architects, designers, and any individuals involved in the development of trustworthy secure systems and system components. It is meant to be flexible in its application to meet the diverse needs of organizations. There is no expectation that all of the technical content in this publication will be used as part of a systems engineering effort. Rather, the concepts and principles for trustworthy secure design in Appendices D through F as well as the systems life cycle processes and security-relevant activities and tasks in Appendices G through K can be selectively employed by organizations – relying on the experience and expertise of the engineering teams to determine what is correct for their purposes. Applying the content of this publication enables the achievement of security outcomes that are consistent with the systems engineering perspective on system life cycle processes.  本書は、システムエンジニア、専門技術者、建築家、設計者、および信頼性の高いセキュアシステムとシステムコンポーネントの開発に携わるすべての人のための参考および教育リソースとして機能することを意図している。本書は、組織の多様なニーズに対応するために柔軟に適用されることを意図している。本書の技術的内容のすべてが、システムエンジニアリングの一環として使用されることを期待するものではない。むしろ、附属書D〜Fの信頼性の高い安全設計のための概念と原則、および附属書G〜Kのシステムライフサイクルプロセスとセキュリティ関連の活動やタスクは、組織が選択的に採用できるものである。本書の内容を適用することで、システムライフサイクルプロセスに関するシステム工学の視点と一致するセキュリ ティ成果を達成することができる。
The system life cycle processes described in this publication can take advantage of any system or software development methodology. The processes are equally applicable to waterfall, spiral, DevOps, agile, and other approaches. The processes can be applied recursively, iteratively, concurrently, sequentially, or in parallel and to any system regardless of its size, complexity, purpose, scope, operational environment, or special nature. The full extent of the application of the content in this publication is guided by stakeholder capability needs, protection needs, and concerns with particular attention paid to considerations of cost, schedule, and performance.  本書で説明するシステムライフサイクルプロセスは、あらゆるシステムまたはソフトウェア開発手法を活用することができる。このプロセスは、ウォーターフォール、スパイラル、DevOps、アジャイル、その他のアプローチにも同様に適用可能である。プロセスは、再帰的、反復的、同時進行、順次、または並行して、その規模、複雑さ、目的、範囲、運用環境、または特殊性にかかわらず、あらゆるシステムに適用することができる。本書の内容をどの程度適用するかは、利害関係者の能力ニーズ、保護ニーズ、およびコスト、スケジュール、性能の考慮事項に特に注意を払いながら決定される。
1.4.  Organization of this Publication  1.4.  本書の構成 
The remainder of this publication is organized as follows:  本書の構成は以下の通りである。
・Chapter 2 presents an overview of systems engineering and the fundamental concepts associated with engineering trustworthy secure systems. This includes basic concepts that address the structure and types of systems, systems engineering foundations, and the concepts of trust and trustworthiness of systems and system components.  ・第2章では、システムズエンジニアリングの概要と、信頼性の高い安全なシステムのエンジニアリングに関連する基本的な概念 を示す。これには、システムの構造と種類、システム工学の基礎、システム及びシステム構成要素の信頼と信頼性の概念に対応する基本的な概念が含まれる。
・Chapter 3 describes foundational system security concepts and an engineering perspective to building trustworthy secure systems. This includes the concepts of security and system security, the nature and character of systems, the concepts of assets and asset loss, reasoning about asset loss, defining protection needs, system security viewpoints, demonstrating system security, and an introduction to systems security engineering.  ・第3章では、システムセキュリティの基礎的な概念と、信頼性の高い安全なシステムを構築するための工学的な視点について説明する。これには、セキュリティとシステムセキュリティの概念、システムの性質と特徴、資産と資産損失の概念、資産損失の推論、保護ニーズの定義、システムセキュリティの視点、システムセキュリティの実証、システムセキュリティ工学の紹介が含まれる。
・Chapter 4 provides a systems security engineering framework that includes a problem context, solution context, and trustworthiness context.  ・第4章では、問題の背景、解決策の背景、信頼性の背景を含む、システムセキュリティ工学の枠組みを提供している。
The following sections provide additional information to support the engineering of trustworthy secure systems:  以下の章では、信頼性の高い安全なシステムの設計を支援するための追加情報を提供する。
・References  ・参考文献
・Appendix A: Glossary  ・附属書A: 用語集
・Appendix B: Acronyms  ・附属書B: 頭字語
・Appendix C: Security Policy and Requirements  ・附属書C: セキュリティポリシーと要求事項
・Appendix D: Trustworthy Secure Design  ・附属書D: 信頼性の高いセキュアな設計
・Appendix E: Principles for Trustworthy Secure Design     ・附属書E: 信頼性の高いセキュアな設計のための原則
・Appendix F: Trustworthiness and Assurance  ・附属書F: 信頼性と保証
・Appendix G: System Life Cycle Processes Overview  ・附属書G: システムライフサイクルプロセスの概要
・Appendix H: Technical Processes  ・附属書H: 技術プロセス
・Appendix I: Technical Management Processes  ・附属書I: 技術管理プロセス
・Appendix J: Organizational Project-Enabling Processes  ・附属書J: プロジェクトを実現するための組織的プロセス
・Appendix K: Agreement Processes  ・附属書K: 契約プロセス
・Appendix L: Change Log  ・附属書L: 変更履歴
ENGINEERING-DRIVEN SOLUTIONS  エンジニアリング主導のソリューション 
The effectiveness of any engineering discipline first requires a thorough understanding of the problem and consideration of all feasible solutions before acting to solve the identified problem. To maximize the effectiveness of systems security engineering, the security requirements for the protection against asset loss must be driven by business, mission, and all other stakeholder asset loss concerns. The security requirements are defined and managed as a well-defined set of engineering requirements and cannot be addressed independently or after the fact.  どのようなエンジニアリング分野でも、その有効性を高めるには、まず問題を徹底的に理解し、特定された問題を解決するために行動する前に、実現可能なすべての解決策を検討することが必要である。システムセキュリティエンジニアリングの効果を最大にするためには、資産損失から保護するためのセキュリティ要件が、ビジネス、ミッション、その他すべての利害関係者の資産損失に関する懸念によって推進される必要がある。セキュリティ要件は、明確に定義されたエンジニアリング要件のセットとして管理され、独立して、あるいは事後的に対処することはできない。
In the context of systems security engineering, the term protection has a broad scope and is primarily focused on the concept of assets and asset loss resulting in unacceptable consequences. The protection capability provided by a system goes beyond prevention and aims to control the events, conditions, and consequences that constitute asset loss. It is achieved in the form of the specific capability and constraints on system architecture, design, function, implementation, construction, selection of technology, methods, and tools and must be “engineered in” as part of the system life cycle process.  システムセキュリティ工学の文脈では、保護という用語は広い範囲を持ち、主に資産と許容できない結果をもたらす資産損失の概念に焦点が当てられている。システムが提供する保護機能は、予防を超え、資産損失を構成する事象、条件、結果を制御することを目的としている。それは、システムのアーキテクチャ、設計、機能、実装、構築、技術の選択、方法、ツールに関する特定の能力及び制約という形で達成され、システムのライフサイクルプロセスの一部として「組み込まれる」必要がある。
Understanding stakeholder asset protection needs (including assets that they own and assets that they do not own but must protect) and expressing those needs through a set of well-defined security requirements is an investment in the organization’s mission and business success in the modern age of global commerce, powerful computing systems, and network connectivity.  利害関係者の資産保護ニーズ(所有する資産と所有しないが保護すべき資産を含む)を理解し、明確に定義された一連のセキュリティ要件を通じてそのニーズを表現することは、グローバルな商取引、強力なコンピュータシステム、ネットワーク接続の現代において、組織のミッションとビジネスの成功への投資である。
[1] A system is an arrangement of parts or elements that exhibit a behavior or meaning that the individual constituents do not [3]. The elements that compose a system include hardware, software, data, humans, processes, procedures, facilities, materials, and naturally occurring entities [4]. [1] システムとは、個々の構成要素にはない動作や意味を示す部品や要素の配置のことである [3]。システムを構成する要素には、ハードウェア、ソフトウェア、データ、人間、プロセス、手順、施設、材料、自然発生的なエンティティが含まれる[4]。
[2] The term technology is used in the broadest context in this publication to include computing, communications, and information technologies, as well as any mechanical, hydraulic, pneumatic, or structural components in systems that contain or are enabled by such technologies. This view of technology provides an increased recognition of the digital, computational, and electronic machine-based foundation of modern complex systems and the growing importance of an assured trustworthiness of that foundation in providing the system’s functional capability and interaction with its physical machine and human system elements. [2] 本書では、コンピュータ、通信、情報技術に加え、機械、油圧、空圧、構造物など、これらの技術を含む、またはこれらの技術によって実現されるシステムを含む広い意味で技術という用語を使用する。このような技術の見方は、現代の複雑なシステムのデジタル、計算及び電子機械ベースの基盤、並びにシステムの機能的能力及び物理的機械及び人間のシステム要素との相互作用を提供する上で、その基盤の確実な信頼性の重要性が増していることを認識させるものである。
[3] The term adversity refers to those conditions that can cause asset loss (e.g., threats, attacks, vulnerabilities, hazards, disruptions, and exposures). [3] adversityという用語は、資産の損失を引き起こす可能性のある条件(例えば、脅威、攻撃、脆弱性、ハザード、混乱、露出など)を指す。
[4] The phrasing used in this definition of security is intentional. Ross Anderson noted in [5] that “now that everything’s acquiring connectivity, you can’t have safety without security, and these ecosystems are emerging.” Reflecting on this observation, the security definition was chosen to achieve alignment with a prevailing safety definition. [4] このセキュリティの定義で使われている言い回しは意図的なものである。ロス・アンダーソンは[5]で、"あらゆるものが接続性を獲得している今、セキュリティなしに安全を得ることはできず、これらの生態系が出現している "と指摘している。この観察を反映し、セキュリティの定義は、一般的な安全の定義との整合性を達成するために選択された。
[5] Adapted from [6]. [5] [6]より引用。
[6] Increasing the trustworthiness of systems is a significant undertaking that requires a substantial investment in the requirements, architecture, design, and development of systems, system components, applications, and networks. The policy in [8] requires federal agencies to implement the systems security engineering principles, concepts, techniques, and system life cycle processes in this publication for all high-value assets. [6] システムの信頼性を高めることは、システム、システムコンポーネント、アプリケーション、及びネットワークの要件、アーキテクチャ、設計、及び開発に多大な投資を必要とする重要な事業である。[8]の方針は、連邦政府機関に対し、すべての高価値資産に対し、本書のシステムセキュリティ工学の原則、概念、技術、およびシステムライフサイクルプロセスを実施することを求めている。
[7] There is a growing need to reuse or leverage system implementation successes within operational environments that are different from how they were originally designed and developed. This type of reuse or reimplementation of systems within other operational environments is more efficient and represents potential advantages in maximizing interoperability between various system implementations. It should be noted that reuse may violate the assumptions used to determine that a system or system component was trustworthy.  [7] 当初の設計・開発方法とは異なる運用環境において、システム実装の成功事例を再利用または活用する必要性が高まっている。このような再利用や他の運用環境でのシステムの再実装は、より効率的であり、様々なシステム実装間の相互運用性を最大化する上で潜在的な利点を示すものである。再利用は、システムまたはシステムコンポーネントが信頼性の高いと判断するために使用された仮定に違反する可能性があることに留意すべきである。
[8] Systems security engineering activities and tasks can be applied to a mechanism, component, system element, system, system of systems, processes, or organizations. Regardless of the size or complexity of the entity, a transdisciplinary systems engineering team is needed to deliver systems that are trustworthy and that satisfy the protection needs and concerns of stakeholders. The processes are intended to be tailored to facilitate effectiveness.  [8] システムセキュリティ工学の活動及び作業は、メカニズム、コンポーネント、システム要素、システム、システムシステム、プロセス、または組織に適用することができる。事業体の規模や複雑さに関係なく、信頼性が高く、利害関係者の保護ニーズと懸念を満たすシステムを提供するためには、学際的なシステムエンジニアリングチームが必要である。このプロセスは、有効性を促進するために調整されることを意図している。

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.01.21 NIST SP 800-160 Vol.1 Rev.1 (ドラフト) 信頼性の高いセキュアなシステムの構築 at 2022.01.11

・2021.08.07 SP 800-160 Vol. 2 Rev. 1 (Draft) サイバーレジリエントなシステムの開発:システムセキュリティ・エンジニアリング・アプローチ

 

| | Comments (0)

NIST SP 800-188(ドラフト)政府データセットの非識別化(ドラフト第3版)(2022.11.15)

こんにちは、丸山満彦です。

NISTが、SP 800-188(ドラフト)政府データセットの非識別化(ドラフト第3版)を公表していますね。ドラフト第2版から、6年の時を経ての更新です。。。

差分プライバシーは今後ということで、非識別の話が中心のようです。。。

 

NIST - ITL

・2022.11.15 SP 800-188 (Draft) De-Identifying Government Data Sets (3rd Draft)

 

SP 800-188 (Draft) De-Identifying Government Data Sets (3rd Draft) SP 800-188(ドラフト)政府データセットの非識別化(ドラフト第3版)
Announcement 発表
De-identification removes identifying information from a data set so that the remaining data cannot be linked to specific individuals. Government agencies can use de-identification to reduce the privacy risks associated with collecting, processing, archiving, distributing, or publishing government data. Previously, NIST published NIST Internal Report (IR) 8053, De-Identification of Personal Information, which provided a survey of de-identification and re-identification techniques. This document provides specific guidance to government agencies that wish to use de-identification. 非識別化とは、データセットから識別情報を削除し、残りのデータを特定の個人にリンクできないようにすることである。政府機関は、識別情報の削除を利用して、政府データの収集、処理、保管、配布、または公開に関連するプライバシーリスクを軽減することができる。以前、NIST は NIST Internal Report (IR) 8053「個人情報の非識別化」を発行し、非識別化および再識別化技術の調査結果を提供した。本書は、非識別化を使用することを希望する政府機関に対する具体的なガイダンスを提供するものである。
Six years have passed since NIST released the second draft of SP 800-188. During this time, there have been significant developments in privacy technology, specifically in the theory and practice of differential privacy. While this draft reflects some of those advances, it remains focused on de-identification, as differential privacy is still not sufficiently mature to be used by many government agencies. Where appropriate, this document cautions users about the inherent limitations of de-identification when compared to formal privacy methods, such as differential privacy. NIST が SP 800-188 の第 2 ドラフトを発表してから 6 年が経過した。この間、プライバシー技術、特に差分プライバシーの理論と実践に大きな進展があった。このドラフトは、それらの進歩の一部を反映しているが、差分プライバシーが多くの政府機関によって使用されるにはまだ十分に成熟していないため、依然として非識別に焦点を合わせている。適切な場合、本書は、差分プライバシーなどの正式なプライバシー手法と比較した場合、非識別化の固有の限界についてユーザーに注意を促している。
Abstract 概要
De-identification is a process that is applied to a dataset with the goal of preventing or limiting informational risks to individuals, protected groups, and establishments while still allowing for meaningful statistical analysis. Government agencies can use de-identification to reduce the privacy risk associated with collecting, processing, archiving, distributing, or publishing government data. Previously, NISTIR 8053, De-Identification of Personal Information, provided a survey of de-identification and re-identification techniques. This document provides specific guidance to government agencies that wish to use de-identification. Before using de-identification, agencies should evaluate their goals for using de-identification and the potential risks that de-identification might create. Agencies should decide upon a de-identification release model, such as publishing de-identified data, publishing synthetic data based on identified data, or providing a query interface that incorporates de-identification. Agencies can create a Disclosure Review Board to oversee the process of de-identification. They can also adopt a de-identification standard with measurable performance levels and perform re-identification studies to gauge the risk associated with de-identification. Several specific techniques for de-identification are available, including de-identification by removing identifiers and transforming quasi-identifiers and the use of formal privacy models. People performing de-identification generally use special-purpose software tools to perform the data manipulation and calculate the likely risk of re-identification. However, not all tools that merely mask personal information provide sufficient functionality for performing de-identification. This document also includes an extensive list of references, a glossary, and a list of specific de-identification tools, which is only included to convey the range of tools currently available and is not intended to imply a recommendation or endorsement by NIST. 非識別化とは、個人、保護されたグループ、および事業体に対する情報リスクを防止または制限する一方で、意味のある統計分析を可能にすることを目的としてデータセットに適用されるプロセスである。政府機関は、政府データの収集、処理、アーカイブ、配布、または公開に関連するプライバシーリスクを低減するために、非識別化を使用することができる。以前、NISTIR 8053「個人情報の非識別化」では、非識別化および再識別化技術の調査結果を提供した。本書では、非識別化を使用することを希望する政府機関に対する具体的なガイダンスを提供する。非識別化を使用する前に、政府機関は非識別化の使用目的と非識別化によって生じる可能性のあるリスクを評価する必要がある。機関は、非識別化データの公開、識別されたデータに基づく合成データの公開、または非識別化を組み込んだクエリーインターフェースの提供など、非識別化公開モデルを決定する必要がある。機関は、非識別化プロセスを監督するための開示審査委員会(Disclosure Review Board)を設立することができる。また、測定可能なパフォーマンス・レベルを持つ非識別化標準を採用し、非識別化に関連するリスクを評価するために再識別化調査を実施することもできる。識別子の除去、準識別子の変換による識別解除、正式なプライバシーモデルの使用など、識別解除のためのいくつかの特定の技術が利用可能である。一般に、非識別化を行う人々は、データ操作を行い、再識別化の可能性が高いリスクを計算するために、特別な目的のソフトウェア・ツールを使用する。しかし、個人情報を単にマスクするだけのツールのすべてが、非識別化の実行に十分な機能を備えているわけではない。本書には、広範な参考文献のリスト、用語集、および特定の非識別化ツールのリストも含まれているが、これは現在利用可能なツールの範囲を伝えるためにのみ含まれており、NISTによる推奨または推奨を意味するものではない。

 

・[PDF] SP 800-188 (Draft)

20221120-51903_20221120052001

 

目次...

Executive Summary エグゼクティブサマリー
1. Introduction 1. はじめに
1.1. Document Purpose and Scope 1.1. 文書の目的および範囲
1.2. Intended Audience 1.2. 対象読者
1.3. Organization 1.3. 組織
2. Introducing De-Identifcation 2. 非識別化技術の導入
2.1. Historical Context 2.1. 歴史的背景
2.2. Terminology 2.2. 用語解説
3. Governance and Management of Data De-Identifcation 3. データ非識別化のガバナンスと管理
3.1. Identifying Goals and Intended Uses of De-Identifcation 3.1. 識別解除の目的と用途の特定
3.2. Evaluating Risks that Arise from De-Identifed Data Releases 3.2. 非識別加工されたデータの公開によって生じるリスクの評価
3.2.1. Probability of Re-Identifcation 3.2.1. 再識別の確率
3.2.2. Adverse Impacts of Re-Identifcation 3.2.2. 再識別による悪影響
3.2.3. Impacts Other Than Re-Identifcation 3.2.3. 再識別以外の影響
3.2.4. Remediation 3.2.4. 修復
3.3. Data Life Cycle 3.3. データのライフサイクル
3.4. Data-Sharing Models 3.4. データ共有モデル
3.5. The Five Safes 3.5. 5つの安全
3.6. Disclosure Review Boards 3.6. 開示審査委員会
3.7. De-Identifcation Standards 3.7. 非識別化基準
3.7.1. Benefts of Standards 3.7.1. 標準のメリット
3.7.2. Prescriptive De-Identifcation Standards 3.7.2. 規範的非識別化標準
3.7.3. Performance-Based De-Identifcation Standards 3.7.3. パフォーマンスベースの非識別化標準
3.8. Education, Training, and Research 3.8. 教育、トレーニング、及び研究
3.9. Defense in Depth 3.9. 多重防御
3.9.1. Encryption and Access Control 3.9.1. 暗号化とアクセス制御
3.9.2. Secure Computation 3.9.2. 安全な計算
3.9.3. Trusted Execution Environments 3.9.3. 信頼された実行環境
3.9.4. Physical Enclaves 3.9.4. 物理的領域
4. Technical Steps for Data De-Identifcation 4. データ非識別化のための技術的ステップ
4.1. Determine the Privacy, Data Usability, and Access Objectives 4.1. プライバシー、データの使いやすさ、アクセスの目的の決定
4.2. Conducting a Data Survey 4.2. データ調査の実施
4.3. De-Identifcation by Removing Identifers and Transforming Quasi-Identifers 4.3. 識別子の削除と擬似識別子の変換による脱識別子化
4.3.1. Removing or Transforming of Direct Identifers 4.3.1. 直接識別子の除去または変換
4.3.2. Special Security Note Regarding the Encryption or Hashing of Direct Identifers 4.3.2. 直接識別子の暗号化またはハッシュ化に関する特別なセキュリティ上の注意点
4.3.3. De-Identifying Numeric Quasi-Identifers 4.3.3. 数的擬似識別子の非識別化
4.3.4. De-Identifying Dates 4.3.4. 日付の非識別化
4.3.5. De-Identifying Geographical Locations and Geolocation Data 4.3.5. 地理的位置と地理的位置データの非識別化
4.3.6. De-Identifying Genomic Information 4.3.6. ゲノム情報の非識別化
4.3.7. De-Identifying Text Narratives and Qualitative Information 4.3.7. テキストの語りと質的情報の非識別化
4.3.8. Challenges Posed by Aggregation Techniques 4.3.8. 集計技術がもたらす課題
4.3.9. Challenges Posed by High-Dimensional Data 4.3.9. 高次元データがもたらす課題
4.3.10. Challenges Posed by Linked Data 4.3.10. リンクデータの課題
4.3.11. Challenges Posed by Composition 4.3.11. 合成による課題
4.3.12. Potential Failures of De-Identifcation 4.3.12. 非識別化の潜在的な失敗
4.3.13. Post-Release Monitoring 4.3.13. リリース後のモニタリング
4.4. Synthetic Data 4.4. 合成データ
4.4.1. Partially Synthetic Data 4.4.1. 部分合成データ
4.4.2. Test Data 4.4.2. テストデータ
4.4.3. Fully Synthetic Data 4.4.3. 完全合成データ
4.4.4. Synthetic Data with Validation 4.4.4. 検証付き合成データ
4.4.5. Synthetic Data and Open Data Policy 4.4.5. 合成データとオープンデータポリシー
4.4.6. Creating a Synthetic Dataset with Diferential Privacy 4.4.6. 差分プライバシーを持つ合成データセットの作成
4.5. De-Identifying with an Interactive Query Interface 4.5. インタラクティブなクエリ・インターフェイスによる識別の解除
4.6. Validating a De-Identifed Dataset 4.6. 非識別化データセットの検証
4.6.1. Validating Data Usefulness 4.6.1. データの有用性の検証
4.6.2. Validating Privacy Protection 4.6.2. プライバシー保護の検証
4.6.3. Re-Identifcation Studies 4.6.3. 再認識のための調査
5. Software Requirements, Evaluation, and Validation 5. ソフトウェア要件、評価、検証
5.1. Evaluating Privacy-Preserving Techniques 5.1. プライバシー保護技術の評価
5.2. De-Identifcation Tools 5.2. 個人認証解除ツール
5.2.1. De-Identifcation Tool Features 5.2.1. 身元確認ツールの特徴
5.2.2. Data Provenance and File Formats 5.2.2. データプロベナンスとファイルフォーマット
5.2.3. Data Masking Tools 5.2.3. データマスキングツール
5.3. Evaluating De-Identifcation Software 5.3. 非識別化ソフトウェアの評価
5.4. Evaluating Data Accuracy 5.4. データ精度の評価
6. Conclusion 6. まとめ
References 参考文献
Appendix A. Standards 附属書A. 標準
A.1. NIST Publications A.1. NISTの出版物
A.2. Other U.S. Government Publications A.2. その他の米国政府出版物
Selected Publications by Other Governments その他の政府出版物(抜粋
Reports and Books レポートと書籍
How-To Articles ハウツー記事
Appendix B. List of Symbols, Abbreviations, and Acronyms 附属書B. 記号、略語、頭字語のリスト
Appendix C. Glossary 附属書C. 用語集

 

エグゼクティブサマリー...

Executive Summary  エグゼクティブサマリー 
Every federal agency creates and maintains internal datasets that are vital for fulflling its mission. The Foundation for Evidence-based Policymaking Act of 2018 [2] mandates that agencies also collect and publish their government data in open, machine-readable formats, when it is appropriate to do so. Agencies can use de-identifcation to make government datasets available while protecting the privacy of the individuals whose data are contained within those datasets.  すべての連邦政府機関は、その使命を果たすために不可欠な内部データセットを作成し、維持している。2018年のFoundation for Evidence-based Policymaking Act [2]は、政府機関も、そうすることが適切な場合、政府データをオープンな機械可読形式で収集し、公開することを義務付けている。政府機関は、データセットに含まれる個人のプライバシーを保護しながら、政府データセットを利用できるようにするために、個人識別情報の削除を使用することができる。
Many Government documents use the phrase personally identifable information (PII) to describe private information that can be linked to an individual [62, 79], although there are a variety of defnitions for PII. As a result, it is possible to have information that singles out individuals but that does not meet a specifc defnition of PII. This document therefore presents ways of removing or altering information that can identify individuals that go beyond merely removing PII.  多くの政府文書では、個人にリンクできる個人情報を記述するために個人識別情報(PII) という語句が使用されているが[62, 79]、PIIにはさまざまな定義がある。その結果、個人を特定できる情報であっても、PIIの明確な定義に当てはまらない場合もあり得る。そこで、本書では、単なるPIIの削除にとどまらず、個人を特定できる情報を削除・変更する方法を提示する。
For decades, de-identifcation based on simply removing of identifying information was thought to be suffcient to prevent the re-identifcation of individuals in large datasets. Since the mid 1990s, a growing body of research has demonstrated the reverse, resulting in new privacy attacks capable of re-identifying individuals in “de-identifed” data releases. For several years the goals of such attacks appeared to be the embarrassment of the publishing agency and achieving academic distinction for the privacy researcher [50]. More recently, as high-resolution de-identifed geolocation data has become commercially available, reidentifcation techniques have been used by journalists and activists [100, 140, 70] with the goal of learning confdential information.  何十年もの間、大規模なデータセットにおける個人の再識別を防ぐには、単に識別情報を除去することに基づく識別排除で十分であると考えられてきた。しかし、1990年代半ばから、その逆で、「非識別化」されたデータから個人を再識別することが可能な新たなプライバシー攻撃が出現していることが、多くの研究によって明らかにされている。数年間、このような攻撃の目的は、出版社を困らせることと、プライバシー研究者の学術的な栄誉を獲得することであったように思われる[50]。より最近では、高解像度の非識別化されたジオロケーションデータが商業的に利用可能になったため、再識別化技術がジャーナリストや活動家によって、機密情報を知る目的で使用されている[100, 140, 70]。
These attacks have become more sophisticated in recent years with the availability of geolocation data, highlighting the defciencies in traditional Formal models of privacy, like k-anonymity [122] and differential privacy, [39] use mathematically rigorous approaches that are designed to allow for the controlled use of confdential data while minimizing the privacy loss suffered by the data subjects. Because there is an inherent trade-off between the accuracy of published data and the amount of privacy protection afforded to data subjects, most formal methods have some kind of parameter that can be adjusted to control the “privacy cost” of a particular data release. Informally, a data release with a low privacy cost causes little additional privacy risk to the participants, while a higher privacy cost results in more privacy risk. When they are available, formal privacy methods shoudl be preferred over informal, ad hoc methods.  これらの攻撃は近年ジオロケーションデータが利用可能になるにつれてより巧妙になり、k-匿名性[122]や差分プライバシー[39]などの従来の形式のプライバシーモデルの欠点を浮き彫りにしている。このモデルは、データ対象が被るプライバシー損失を最小限に抑えながら機密データの利用を制御できるように設計された数学的に厳密なアプローチである。公表されるデータの正確さとデータ対象者に与えられるプライバシー保護の量との間には本質的なトレードオフがあるため、ほとんどの形式的手法は、特定のデータ公表の「プライバシーコスト」を制御するために調整できるある種のパラメータを備えている。非公式には、プライバシーコストが低いデータ公開は参加者に追加のプライバシーリスクをほとんど与えず、逆にプライバシーコストが高い場合はプライバシーリスクが高くなる。利用可能な場合は、非公式のその場しのぎの方法よりも正式なプライバシー保護方法が好まれるはずである。
Decisions and practices regarding the de-identifcation and release of government data can be integral to the mission and proper functioning of a government agency. As such, an agency’s leadership should manage these activities in a way that assures performance and results in a manner that is consistent with the agency’s mission and legal authority. One way that agencies can manage this risk is by creating a formal Disclosure Review Board (DRB) that consists of legal and technical privacy experts, stakeholders within the organization, and representatives of the organization’s leadership. The DRB evaluated applications for data release that describe the confdential data, the techniques that will be used to minimize the risk of disclosure, the resulting protected data, and how the effectiveness of those techniques will be evaluated.  政府データの非識別化および公開に関する意思決定および慣行は、政府機関の使命および適切な機能にとって不可欠なものである場合がある。そのため、機関の指導者は、機関の使命および法的権限と一致する方法で、パフォーマンスと結果を保証する方法でこれらの活動を管理する必要がある。政府機関がこのリスクを管理する方法の一つは、法律および技術的なプライバシーの専門家、組織内の利害関係者、および組織の指導者の代表からなる正式な開示審査委員会(DRB)を設置することである。DRBは、機密データ、開示のリスクを最小化するために使用される技術、結果として得られる保護データ、およびこれらの技術の有効性を評価する方法について記述したデータ開示申請書を評価する。
Establishing a DRB may seem like an expensive and complicated administrative undertaking for some agencies. However, a properly constituted DRB and the development of consistent procedures regarding data release should enable agencies to lower the risks associated with each data release, which is likely to save agency resources in the long term.  DRBを設立することは、機関によっては高価で複雑な管理業務に思えるかもしれません。しかし、適切に構成されたDRBとデータ公開に関する一貫した手順の開発により、各データ公開に関連するリスクを低減することができ、長期的には機関のリソースを節約できる可能性が高くなるはずである。
Agencies can create or adopt standards to guide those performing de-identifcation, and regarding regarding the accuracy of de-identifed data. If accuracy goals exist, then techniques such as differential privacy can be used to make the data suffciently accurate for the intended purpose but not unnecessarily more accurate, which can limit the amount of privacy loss. However, agencies must carefully choose and implement accuracy requirements.  機関は、非識別化を行う人、および非識別化データの精度に関するガイドとなる基準を作成または採用することができる。正確さの目標がある場合、差分プライバシーなどの技術を使用して、意図された目的に対して十分な正確さを持ちながら、不必要に正確さを上げないようにデータを作成し、プライバシー損失の量を制限することができる。しかし、機関は精度要件を慎重に選択し、実施しなければならない。
If data accuracy and privacy goals cannot be well-maintained, then releases of data that are not suffciently accurate can result in incorrect scientifc conclusions and policy decisions.  データの正確さとプライバシーの目標が十分に維持できない場合、十分に正確でないデータを公開すると、科学的な結論や政策決定が不正確になる可能性がある。
Agencies should consider performing de-identifcation with trained individuals using software specifcally designed for the purpose. While it is possible to perform de-identifcation with off-the-shelf software like a commercial spreadsheet or fnancial planning program, such programs typically lack the key functions required for proper de-identifcation. As a result, they may encourage the use of simplistic de-identifcation methods, such as deleting sensitive columns and manually searching and removing data that appears sensitive. This may result in a dataset that appears de-identifed but that still contain signifcant disclosure risks.  機関は、訓練を受けた個人が、この目的のために特別に設計されたソフトウェアを使用して、識別情報の除去を行うことを検討すべきである。市販のスプレッドシートや財務計画プログラムのような市販のソフトウェアで個人識別情報の除去を行うことは可能ですが、そのようなプログラムには一般的に適切な個人識別情報の除去に必要な主要機能が欠けている。その結果、機密性の高い列を削除したり、機密性が高いと思われるデータを手作業で検索して削除するなど、単純化された個人識別情報の除去方法の使用が推奨される場合がある。その結果、一見個人を特定できないように見えるデータセットであっても、重大な開示リスクを含んでいる可能性がある。
Finally, different countries have different standards and policies regarding the defnition and use of de-identifed data. Information that is regarded as de-identifed in one jurisdiction may be regarded as being identifable in another.   最後に、国によって、非識別化データの定義と使用に関する基準や方針は異なる。ある法域で非識別化されたとみなされる情報が、別の法域では識別可能であるとみなされることがある。 

 

 

| | Comments (0)

NIST NISTIR 8409 共通脆弱性評点システムの基礎評点の計算式の測定 (2022.11.15)

こんにちは、丸山満彦です。

意見募集をしていた、NISTIR 8409 共通脆弱性評点システムの基礎評点の計算式の測定が確定のようですね。。。

 

● NIST - ITL

・2022.11.15 NISTIR 8409 Measuring the Common Vulnerability Scoring System Base Score Equation

 

NISTIR 8409 Measuring the Common Vulnerability Scoring System Base Score Equation NISTIR 8409 共通脆弱性評点システムの基礎評点の計算式の測定
Abstract 概要
This work evaluates the validity of the Common Vulnerability Scoring System (CVSS) Version 3 "base score" equation in capturing the expert opinion of its maintainers. CVSS is a widely used industry standard for rating the severity of information technology vulnerabilities; it is based on human expert opinion across many sectors and industries. This study is important because the equation design has been questioned since it has features that are both unintuitive and unjustified by the CVSS specification. If one can show that the equation reflects CVSS expert opinion, then that study justifies the equation, and the security community can treat the equation as an opaque box that functions as described. この研究では、共通脆弱性評点システム (CVSS) Version 3の「基礎評点」式が、その保守者の専門的な意見を反映する上で有効であるかどうかを評価する。CVSSは、情報技術の脆弱性の深刻度を評価するための業界標準として広く利用されており、多くの分野や産業における人間の専門的な意見に基づいている。この研究は、CVSSの仕様では直感的でなく、正当化できない特徴を持つ方程式の設計が疑問視されているため、重要である。もし、数式がCVSS専門家の意見を反映していることを示すことができれば、その研究は数式を正当化し、セキュリティコミュニティは数式を説明通りに機能する不透明な箱として扱うことができる。
This work shows that the CVSS base score equation closely -- though not perfectly -- represents the CVSS maintainers' expert opinion. The CVSS specification itself provides a measurement of error called "acceptable deviation" (with a value of 0.5 points). This work measures the distance between the CVSS base scores and the closest consistent scoring systems (ones that completely conform to the recorded expert opinion). The authors calculate that the mean scoring distance is 0.13 points, and the maximum scoring distance is 0.40 points. The acceptable deviation was also measured to be 0.20 points (lower than claimed by the specification). These findings validate that the CVSS base score equation represents the CVSS maintainers' domain knowledge to the extent described by these measurements. この研究は、CVSSの基礎評点の式が、完全ではないものの、CVSSの保守者の専門家の意見を忠実に表していることを示している。CVSS仕様自体は、「許容偏差」(0.5ポイントの値を持つ)と呼ばれる誤差の測定法を提供している。この研究では、CVSSの基礎評点と、最も近い整合性のある評点システム(記録された専門家の意見に完全に適合するもの)との間の距離を測定している。著者らは、平均評点距離は0.13ポイント、最大評点距離は0.40ポイントと計算している。また、許容偏差は0.20ポイントと測定された(仕様で主張されている値より低い)。これらの結果から、CVSSの基礎評点式がCVSS保守者のドメイン知識をこれらの測定値で記述される程度に表していることが検証された。

 

・[PDF] NISTIR 8409

20221120-50144

 

目次...

Executive Summary エグゼクティブサマリー
1.  Introduction 1.  はじめに
2.  Common Vulnerability Scoring System 2.  共通脆弱性評点システ
2.1. CVSS Base Score Metrics 2.1. CVSS 基礎評点の評価基準
2.2. CVSS Base Score Equations 2.2. CVSS 基礎評点の計算式
3.  Rationale for the CVSS Base Score Equations 3.  CVSS基礎評点の算出根拠
3.1. Development of the CVSS Base Score Equation 3.1. CVSS基礎評点評価式の開発
3.2. Acceptable Deviation 3.2. 許容される偏差
4.  Metrology Tools, Metrics, and Algorithms 4.  測定ツール、測定基準、アルゴリズム
4.1. Knowledge Encoder Tool 4.1. ナレッジ・エンコーダ・ツール
4.2. Knowledge Constraint Graphs 4.2. 知識制約グラフ
4.2.1.  Equivalency Sets 4.2.1.  等価集合
4.2.2.  Magnitude Measurements 4.2.2.  マグニチュード測定
4.2.3.  Simplified Graphs 4.2.3.  簡略化されたグラフ
4.3. Inconsistency Metrics for Knowledge Constraint Graphs 4.3. 知識制約グラフの非整合性指標
4.4. Voting Unification Algorithm 4.4. 投票一元化アルゴリズム
4.4.1.  Analysis of Votes 4.4.1.  投票の解析
4.4.2.  Priority Ordering 4.4.2.  優先順位付け
4.4.3.  Unified Graph Construction 4.4.3.  ユニファイドグラフの構築
4.4.4.  Description of Constructed Graph 4.4.4.  構築されたグラフの記述
5.  Data Collection and Processing 5.  データの収集と処理
5.1. Data Set of Analyzied Vectors 5.1. 解析済みベクターのデータセット
5.2. Volunteer Participants 5.2. ボランティア参加者
5.3. Produced Knowledge Constraint Graphs 5.3. 作成された知識制約グラフ
5.4. Knowledge Constraint Graph Inconsistency Measurements 5.4. 知識制約グラフの非整合性測定
5.4.1.  Graph f00 5.4.1.  グラフf00
5.4.2.  Graph 977 5.4.2.  グラフ977
5.5. Unified Knowledge Constraint Graph 5.5. 統合知識制約グラフ
5.6. Optimal Number of Equivalency Sets 5.6. 最適な等価集合の数
6.  Measurement Approach 6.  測定アプローチ
6.1. Consistent Scoring Systems 6.1. 一貫した採点システム
6.1.1.  Scoring System Defnition 6.1.1.  採点システムの定義
6.1.2.  Consistent Scoring System Defnition 6.1.2.  一貫性のある採点システムの定義
6.2. Generation of a Closest Consistent Scoring System 6.2. 最接近型採点システムの生成
6.3. Measurement Methodology 6.3. 測定方法
7.  Measurement Results 7.  測定結果
7.1. Mean Scoring Distance 7.1. 平均得点距離
7.2. Maximum Scoring Distance 7.2. 最大評点距離
7.3. Acceptable Deviation 7.3. 許容偏差
7.4. Increasing Accuracy with More Data 7.4. より多くのデータによる精度の向上
8.  Interpretation of Results and Related Work 8.  結果の解釈と関連する研究
9.  Conclusion 9.  まとめ
References 参考文献
Appendix A. Acronyms 附属書A. 頭字語
Appendix B. Set of Evaluated CVSS vectors 附属書B. 評価済みCVSSベクタの集合
Appendix C. Encoded Knowledge Constraint Graphs 附属書C. 符号化された知識制約グラフ

 

エグゼクティブサマリー...

Executive Summary  エグゼクティブサマリー 
The Common Vulnerability Scoring System (CVSS) Version 3 maintained by the CVSS Special Interest Group (SIG) is a widely used industry standard for characterizing the properties of information technology vulnerabilities and measuring their severity. It is based on human expert opinion. Vulnerability properties are characterized through a multidimensional vector. The severity is primarily defned through a multi-part “base score” equation with 8 input metrics that is not readily amenable to human comprehension.  CVSS Special Interest Group (SIG) によって維持されている 共通脆弱性評点システム (CVSS) Version 3 は、情報技術の脆弱性の特性を特徴付け、その深刻度を測定するために広く使用されている業界標準である。CVSSは、人間の専門家の意見に基づいている。脆弱性の特性は、多次元ベクトルによって特徴づけられます。深刻度は、主に8つの入力指標を持つ多部構成の「基礎評点」式によって定義されるが、これは人間の理解には容易ではない。
To develop the equation, CVSS SIG members frst described a set of real vulnerabilities using CVSS vectors and assigned them one of fve severity levels. This created a partial lookup table mapping vectors to severity levels. They then defned a target score range for each severity level and created an equation to attempt to map each vector to a score within the specifed score range. Finally, they reviewed the equation’s scoring of vectors that were not included in the partial lookup table to evaluate the effectiveness of the equation on the full set of possible vectors. Since the equation could not perfectly map vectors to score ranges, the CVSS Version 3.1 specifcation provides a measurement of error (an ‘acceptable deviation’ of 0.5 points). However, suffcient information is not provided to reproduce the experiment.  この方程式を開発するために、CVSS SIGのメンバーはまず、CVSSベクトルを使用して一連の実際の脆弱性を記述し、5段階の深刻度レベルのうちの1つを割り当てた。これにより、ベクターと重要度レベルを対応させた部分的なルックアップテーブルが作成された。次に、各重要度レベルの目標評点範囲を定義し、各ベクトルを指定された評点範囲内の評点に対応付けることを試みる方程式を作成した。最後に、部分ルックアップテーブルに含まれていないベクトルに対する方程式の評点を確認し、可能性のあるすべてのベクトルに対する方程式の有効性を評価した。この方程式はベクターを評点範囲に完全に対応付けることができないため、CVSSバージョン3.1の仕様では、誤差の測定値(0.5ポイントの「許容偏差」)を提供している。しかし、実験を再現するのに十分な情報は提供されていない。
This work measures the degree to which the CVSS base score equation refects CVSS SIG expert domain knowledge while providing a reproducible justifcation for the measurements. It starts not from a set of real vulnerabilities, as the CVSS SIG did, but from a set of 66 vulnerability types (i.e., CVSS vectors) that represent 90 % of the vulnerabilities published by the U.S. National Vulnerability Database. CVSS SIG experts evaluate these vulnerability types and encode their knowledge as constraint graphs; sets of graphs are then unifed using a voting algorithm. These unifed graphs represent sets of consistent scoring systems (mappings of vectors to scores). The consistent scoring system closest to the CVSS Version 3.1 scores was found, and the distance between the scores and the closest consistent scoring system scores was measured. These measurements represent the degree to which the CVSS v3.1 base score equation represents the CVSS SIG expert domain knowledge.  この研究は、CVSS基礎評点の式がCVSS SIG専門家のドメイン知識をどの程度反映しているかを測定し、測定値の再現可能な正当性を提供するものである。CVSS SIGのように実際の脆弱性の集合からではなく、米国の国家脆弱性データベースによって公開された脆弱性の90%を占める66種類の脆弱性(すなわちCVSSベクトル)の集合から出発している。CVSS SIGの専門家はこれらの脆弱性の種類を評価し、その知識を制約グラフとして符号化する。次に、グラフの集合は投票アルゴリズムを用いて単一化される。これらの統一されたグラフは、一貫した採点システム(ベクトルと評点の対応付け)の集合を表している。CVSS Version 3.1の評点に最も近い一貫した採点システムを見つけ、その評点と最も近い一貫した採点システムの評点との間の距離を測定した。これらの測定値は、CVSS v3.1の基礎評点式がCVSS SIG専門家のドメイン知識をどの程度表しているかを表している。
Using this approach, the mean and maximum distance of the CVSS v3.1 scores compared to the closest consistent scoring system scores were measured, and the acceptable deviation was recalculated. Unlike acceptable deviation, the new distance metrics measure the score values themselves separate from the severity levels. Using all 12 CVSS SIG inputs, the mean scoring distance is 0.13 points, the maximum scoring distance is 0.40 points, and the acceptable deviation is 0.20 points. Sets of 11 out of 12 of the inputs were used to calculate precision measurements (i.e., standard deviation).  この方法を用いて、最も近い一貫性のある採点システムの評点と比較したCVSS v3.1評点の平均距離と最大距離が測定され、許容偏差が再計算された。許容偏差とは異なり、新しい距離メトリックは、深刻度レベルとは別に評点値そのものを測定する。12のCVSS SIGインプットすべてを使用した場合、平均評点距離は0.13ポイント、最大評点距離は0.40ポイント、許容偏差は0.20ポイントとなった。12個の入力のうち11個の入力は、精度の測定(すなわち標準偏差)を計算するために使用された。
These fndings validate that the CVSS base score equation functions as described (to the extent described by these measurements), and it represents the encoded CVSS SIG domain knowledge. The measurements support the equation as defned. The security community may use it as an opaque box without understanding the internal functionality.  これらの結果は、CVSS基礎評点の式が(これらの測定値によって記述された範囲内で)記述されたとおりに機能し、符号化されたCVSS SIGドメイン知識を表していることを検証している。測定結果は、定義された方程式をサポートしている。セキュリティコミュニティは、内部機能を理解することなく、不透明な箱としてそれを使用することができる。

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.11.17 CISA ステークホルダー別脆弱性分類 (SSVC) ガイド

・2022.06.11 NIST NISTIR 8409 (ドラフト) 共通脆弱性評点システムの基礎評点の計算式の測定

・2021.04.30 カーネギー大学 ソフトウェア工学研究所が「Stakeholder-Specific Vulnerability Categorization:SSVC 2.0」を発表していますね。。。

昔に遡り。。。

・2010.10.25 IPA 共通脆弱性評価システムCVSS概説

・2007.04.26 JVN は、名称をJP Vendor Status Notes (JVN) から、Japan Vulnerability Notes (JVN) と変更しました

 

 

| | Comments (0)

NIST SP 800-55 Rev. 2 (ドラフト)情報セキュリティ パフォーマンス測定ガイド(初期ワーキング・ドラフト)(2022.11.14)

こんにちは、丸山満彦です。

NISTが、SP 800-55 Rev. 2 (ドラフト)情報セキュリティのパフォーマンス測定ガイド(初期ワーキング・ドラフト)を公表し、意見募集をしていますね。。。

NIST - ITL

・2022.11.14 SP 800-55 Rev. 2 (Draft) Performance Measurement Guide for Information Security (initial working draft)

 

SP 800-55 Rev. 2 (Draft)Performance Measurement Guide for Information Security (initial working draft)  SP 800-55 Rev. 2 (ドラフト)情報セキュリティのパフォーマンス測定ガイド(初期ワーキング・ドラフト)
Announcement 発表
This working draft of SP 800-55 Revision 2 is an annotated outline that will enable further community discussions and feedback. Comments received by the deadline will be incorporated to the extent practicable. NIST will then post a complete public draft of SP 800-55 Rev. 2 for an additional comment period. SP 800-55 Rev.2のこのワーキングドラフトは、コミュニティでの議論やフィードバックを可能にするための注釈付きアウトラインである。期限までに寄せられたコメントは、可能な限り反映される予定である。その後、NISTはSP 800-55 Rev.2の完全な公開ドラフトを投稿し、追加のコメント期間を設ける予定である。
Note to Reviewers レビュアーへの注意事項
We seek input on the changes being proposed to SP 800-55. New sections are noted as new additions to SP 800-55. Many are also marked by a “Note to Reviewer” with a request for feedback. These questions are meant to facilitate discussion and should not discourage input on any other topics within this annotated outline. There are three additional questions for reviewer consideration. These questions are: SP 800-55 に提案されている変更点についての意見を求める。新しいセクションは、SP 800-55 に新たに追加されたものとして記されている。また、その多くには、フィードバックを求める「レビュアーへの注意事項」が記されている。これらの質問は、議論を促進するためのものであり、この注釈付きアウトライン内の他のトピックに関する意見を妨げてはならない。レビュアーが検討するための追加の質問が3つある。これらの質問は以下の通りである。
・CIOs and CISOs: What measurement and metrics guidance would benefit your program? ・CIOとCISO:どのような測定と測定基準のガイダンスがあなたのプログラムに役立つか
・How to best communicate information security measurement needs up and down the organizational structure? ・情報セキュリティ測定のニーズを組織構造の上下に伝えるのに最も適した方法は何か?
・Examples: What kinds of measures and metrics examples or templates could this publication provide that would be helpful in your work? ・例 この出版物は、どのような種類の対策や測定基準の例やテンプレートを提供することができ、あなたの仕事に役立つか?
This working draft also has sections with only minor planned changes marked as “intentionally left out of this review cycle” to allow for readers to focus on the more substantial proposed changes. The Initial Public Draft will include the full proposed text for all sections of the document. Feedback is still welcome on the sections not highlighted in this Initial Working Draft.   このワーキング・ドラフトでは、読者がより実質的な変更案に集中できるように、「このレビューサイクルでは意図的に除外した」と記された、わずかな変更しか予定されていないセクションも含まれている。初回公開ドラフトでは、文書のすべてのセクションについて提案された全文が含まれる予定である。この初回ワーキング・ドラフトで強調されていない部分については、引き続きフィードバックを歓迎する。 
virtual public forum will be held on December 13, 2022, to introduce the working draft of SP 800-55 and highlight the various questions for reviewers within the document through a panel of practitioners across different sectors. 2022年12月13日に仮想パブリックフォーラムを開催し、SP 800-55のワーキングドラフトを紹介し、異なるセクターの実務者のパネルを通じて、文書内のレビュー担当者への様々な質問を強調する予定である。
Abstract 概要
This document provides guidance on how an organization can use metrics to identifies the adequacy of an in-place security controls, policies, and procedures. It provides an approach to help management decide where to invest in additional security protection resources or identify and evaluate nonproductive controls. It explains the metric development and implementation process and how it can also be used to adequately justify security control investments. The results of an effective metric program can provide useful data for directing the allocation of information security resources and should simplify the preparation of performance-related reports. 本書は、組織がどのように評価指標を使用して、実施中のセキュリティ管理、方針、及び手続きの妥当性を識別できるかについての指針を提供する。経営陣がセキュリティ保護リソースの追加投資先を決定したり、非生産的な管理策を特定・評価したりするのに役立つアプローチを提供する。測定基準の開発と実施プロセス、およびセキュリティ管理への投資を適切に正当化するために測定基準をどのように利用できるかを説明する。効果的な評価指標プログラムの結果は、情報セキュリティ資源の配分を指示するための有用なデータを提供し、パフォーマンス関連の報告書の作成を簡素化することができるはずである。

 

・[PDF] SP 800-55 Rev. 2 (Draft)

20221120-44734

 

目次...

1.  Introduction 1.  はじめに
1.1.  Purpose and Scope 1.1.  目的及び範囲
1.2.  Audience 1.2.  対象読者
1.3.  Relation to Other NIST Publications 1.3.  他のNIST出版物との関係
1.4.  Document Organization 1.4.  文書の構成
2.  Information Security Measures Fundamentals 2.  情報セキュリティ対策の基礎
2.1.  Document Conventions 2.1.  文書規則
2.1.1. Terminology 2.1.1. 用語の説明
2.1.2. Definition 2.1.2. 定義
2.2.  Benefits of Using Measures 2.2.  測定値を使用するメリット
2.3.  Critical Success Factors 2.3.  重要成功要因
2.4.  Types of Measures 2.4.  施策の種類
2.4.1. Implementation Measures 2.4.1. 実施施策
2.4.2. Effectiveness/Efficiency Measures 2.4.2. 有効性/効率性対策
2.4.3. Impact Measures 2.4.3. 影響度評価
2.5.  Measurement Considerations 2.5.  測定に関する考慮事項
2.5.1. Organizational Considerations 2.5.1. 組織的な検討
2.5.2. Manageability 2.5.2. 管理性
2.5.3. Data Management Concerns 2.5.3. データ管理に関する懸念
2.5.4. Measurement Quality 2.5.4. 測定品質
2.5.5. Trends and Historical Information 2.5.5. トレンドと履歴情報
2.5.6. Automation of Data Collection 2.5.6. データ収集の自動化
2.6.  Information Security Measurement Program Scope 2.6.  情報セキュリティ測定プログラムの範囲
2.6.1. Individual Information Systems 2.6.1. 個々の情報システム
2.6.2. Enterprise-wide Program 2.6.2. 全社的なプログラム
3.  Information Security Measures Fundamentals 3.  情報セキュリティ対策の基礎
3.1.  Information Security Measurement Program Scope 3.1.  情報セキュリティ対策プログラムの範囲
3.2.  Goals and Objective Definition 3.2.  目標及び目的の定義
3.2.1. Governance and Compliance 3.2.1. ガバナンスとコンプライアンス
3.3.  Information Security Policies, Guidelines, and Procedures Review 3.3.  情報セキュリティ方針、ガイドライン、手順の見直し
3.4.  Information Security Measurement Program Implementation Review 3.4.  情報セキュリティ測定プログラム実施状況の確認
3.5.  Measures Development and Schedules 3.5.  対策の策定及びスケジュール
3.5.1. Measures Development Approach 3.5.1. 測定法開発のアプローチ
3.5.2. Measures Prioritization and Selection 3.5.2. 対策の優先順位付けと選択
3.5.3. Establishing Performance Targets 3.5.3. パフォーマンス目標の設定
3.6.  Defining Evaluation Methods 3.6.  評価方法の定義
3.7.  Measures Development and Schedules 3.7.  施策の策定とスケジュール
3.8.  Feedback Within the Development Process 3.8.  開発プロセスにおけるフィードバック
4.  Information Security Measures Program Implementation 4.  情報セキュリティ対策プログラムの実施
4.1.  Prepare for Data Collection 4.1.  データ収集の準備
4.2.  Collect Data and Analyze Results 4.2.  データ収集と結果の分析
4.2.1. Data Collection and Reporting 4.2.1. データ収集と報告
4.3.  Identify Corrective Actions 4.3.  是正処置の特定
4.4.  Develop a Business Case and Obtain Resources 4.4.  ビジネスケースの作成とリソースの確保
4.5.  Apply Corrective Actions 4.5.  是正措置の適用
References 参考文献
Appendix A. List of Symbols, Abbreviations, and Acronyms 附属書 A. 記号、略語、頭字語のリスト
Appendix B. Glossary 附属書B. 用語集
Appendix C. Change Log 附属書C. 変更履歴

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.02.04 サイバーセキュリティとプライバシーに関する 2021年のNISTの取り組み

 

2008年に発行の現在のバージョン (Rev 1.0) については、IPAで翻訳を公表していますね・・・

IPA - 情報セキュリティ - ... - セキュリティ関連NIST文書

 ・[PDF] SP 800-55 rev.1 情報セキュリティパフォーマンス測定ガイド

| | Comments (0)

2022.11.19

会計検査院 令和3年検査報告(森田検査院長から岸田総理大臣へ) (2022.11.07)

こんにちは、丸山満彦です。

会計検査院が令和3年検査報告を岸田内閣総理大臣にしましたね。検査院長は、私の前職入社時の上司の森田さんです。。。

検査に重点を置く施策

  1. 社会保障
  2. 教育及び科学技術
  3. 公共事業
  4. 防衛
  5. 農林水産業
  6. 環境及びエネルギー
  7. 経済協力
  8. 中小企業
  9. 情報通信(IT)

これからは、もっとテクノロジー目線の検査(森田さんはISACA大阪支部の初期の会員ですからね)とか、サイバーセキュリティの検査も増えるとよいなと思います。。。

検査に重点を置く施策は、昨年度と同じですね。。。

 

会計検査院

・2022.11.07 最新の検査報告

  1. 令和3年度決算検査報告の概要

  2. 令和3年度決算検査報告の本文

  3. 令和3年度決算検査報告の特徴的な案件
  4. [PDF] 会計検査院長談話
  5. [YouTube] 森田会計検査院長が令和3年度決算検査報告について紹介する動画

 


1. 令和3年度決算検査報告の概要

指摘事項は、310件、455億2351万円で、うち不当事項は、265件、104億円3136万円ということのようです。。。

・[PDF] 一括ダウンロード

20221119-05523

 

  1. [PDF] 検査結果の大要

  2. [PDF] 検査の概況

  3. [PDF] 決算の確認

  4. 検査の結果
  5. [PDF] 国の財政等の状況等

 

2. 令和3年度決算検査報告の本文

[PDF] 目次

第1章 検査の概要

 第1節 [PDF] 検査活動の概況
 第2節 [PDF] 検査結果の大要

第2章 [PDF] 決算の確認

第3章 個別の検査結果

 第1節 省庁別の検査結果
 第2節 団体別の検査結果
 第3節 不当事項に係る是正措置等の検査の結果

第4章 国会及び内閣に対する報告並びに国会からの検査要請事項に関する報告等

 第1節 国会及び内閣に対する報告
 第2節 国会からの検査要請事項に関する報告
 第3節 特定検査対象に関する検査状況
 第4節 [PDF] 国民の関心の高い事項等に関する検査状況
 第5節 [PDF] 特別会計財務書類の検査

第5章 [PDF] 会計事務職員に対する検定

第6章 歳入歳出決算その他検査対象の概要

 第1節 [PDF] 検査対象別の概要
 第2節 [PDF] 国の財政等の状況

 


 

3. 令和3年度決算検査報告の特徴的な案件

 

Ⅰ 新型コロナウイルス感染症対策関係経費等に関するもの

 1 新型コロナウイルス感染症対策に関連する各種施策に係る予算の執行状況等
 2 モバイルWi-Fiルータ等の使用状況
 3 新型コロナウイルス感染症対応地方創生臨時交付金による事業の実施
 4 雇用調整助成金等及び休業支援金等の事後確認
 5 Go To トラベル事業における取消料対応費用等の支払
 6 雇用調整助成金の支給額の算定方法
 7 病床確保事業における交付金の過大交付
 8 Go To Eat キャンペーンに係る委託費の算定

Ⅱ 社会保障に関するもの

 9 障害児通所支援事業所における児童指導員等加配加算の算定

Ⅲ 国民生活の安全性の確保に関するもの

 10 社会福祉施設等に整備する非常用設備等の耐震性
 11 防雪柵の設計が適切でなかったもの

Ⅳ 情報通信(IT)に関するもの

 12 生活保護業務における情報提供ネットワークシステムを通じた情報照会の実施状況
 13 DRシステムの活用

Ⅴ 制度・事業の効果等に関するもの

 14 農林水産分野におけるTPP等関連政策大綱に基づく施策の実施状況等

Ⅵ 予算の適正な執行、会計経理の適正な処理等に関するもの

 15 子どもの健康と環境に関する全国調査(エコチル調査)における生化学検査等の業務に係る契約

Ⅶ 資産、基金等のストックに関するもの

16 特定地域中小企業特別資金事業に係る貸付金の規模

Ⅷ その他

17 大口の個人株主等の配当所得に係る確定申告の審理


 

● まるちゃんの情報セキュリティ気まぐれ日記

会計検査院, GAO, NAO等に関する記事...

・2022.11.01 英国 会計監査院 国防のデジタル戦略:初期導入のレビュー

・2022.10.09 米国 GAO ランサムウェア:連邦政府機関は有用な支援を提供しているが、協力体制を改善することができる

・2022.09.27 米国 GAO 遠隔医療:監視を強化し、プロバイダーがプライバシーとセキュリティのリスクについて患者を教育するために必要な行動

・2022.09.26 米国 GAO 情報環境:DODの国家安全保障ミッションに対する機会および脅威 (2022.09.21)

・2022.09.26 米国 GAO 核兵器のサイバーセキュリティ:NNSAはサイバーセキュリティの基礎的なリスクマネジメントを完全に実施すべき

・2022.08.02 米国 GAO 情報技術とサイバーセキュリティ:省庁の法定要件の実施を監視するためのスコアカードの使用

・2022.07.10 米国 GAO 顔認識技術:連邦政府機関の利用と関連するプライバシー保護 (2022.06.29)

・2022.06.25 米国 GAO 来年度 (FY23) の予算要求額は8億1,030万ドル(約1兆700億円)サイバーセキュリティも強化項目

・2022.04.30 米国 GAO ブログ 人工知能は国家安全保障をどう変えるか (2022.04.19)

・2022.04.23 オーストラリア政府機関の年次パフォーマンス報告書の監査-パイロット・プログラム2020-21年

・2022.04.03 米国 GAO 自らのプライバシープログラムを改善し、データ保護の強化をしなければならない by GAOの内部監査部門

・2022.03.29 米国 GAO ブロックチェーン:新たな技術がもたらす利点と課題

・2022.03.29 米国 GAO 2022-2027の戦略計画 (2022.03.15)

・2022.03.29 米国 GAO 政府・社会に影響を与えるトレンド (2022.03.15)

・2022.03.17 英国 会計監査院ブログ 公共分野のサイバーセキュリティに挑む (2022.03.08)

・2022.02.11 米国 GAO 重要インフラ保護:各省庁はサイバーセキュリティガイダンスの採用を評価する必要がある

・2022.02.10 米国 GAOブログ ハッキング事件を機に米国議会と連邦政府機関が今後のサイバーセキュリティリスクを軽減するための取り組みを強化

・2022.01.27 英国 会計検査院 モデルをレビューするためのフレームワーク

・2022.01.17 米国 GAO サイバーセキュリティ:SolarWindsおよびMicrosoft Exchangeのインシデントに対する連邦政府の対応

・2022.01.15 英国 会計検査院 NAO Blog サイバーセキュリティ:パンデミックは何を変えたか?

・2022.01.13 米国 GAO ざっとみたところ、各省庁のFISMA要件の実施は各省庁でばらつきがあるようだ...

・2021.12.11 米国 GAO 国防省の委託事業者のサイバーセキュリティについての認証フレームワークの改善

・2021.12.07 米国 GAO サイバーセキュリティ:国の重要インフラをより良く保護するための連邦政府の行動が緊急に求められている

 

・2021.08.27 米国 GAO 顔認識技術:連邦政府機関による現在および計画中の使用方法

・2021.07.23 U.S. GAO 人工知能のための新しい枠組み at 2021.06.30

・2021.07.15 米国GAO 顔認識技術について連邦法執行機関はプライバシーやその他のリスクをより適切に評価する必要がある at 2021.06.03

・2021.06.04 欧州検査院 特別報告書 EUに影響を与える偽情報:対処しても対処しきれない

・2021.05.28 会計検査院 「政府情報システムに関する会計検査の結果について」

・2021.05.27 U.S. GAO 連邦政府はサプライチェーンリスクを管理するための勧告に従ってね。。。

・2021.05.25 米国GAO サイバー保険の加入率も保険料率も上昇?

・2021.05.21 U.S. GAO (blog) コロニアルパイプラインへのサイバー攻撃は、連邦政府および民間部門のサイバーセキュリティへの備えの必要性を認識させた

・2021.05.02 100周年を迎えるU.S. GAOの来年度 (FY22) の予算要求額は7億4,430万ドル(約820億円)サイバーセキュリティ監査能力の強化

・2021.04.17 U.S. GAO 連邦政府は、ITおよびサイバー関連に年間1,000億ドル(11兆円)以上の投資をしているが、多くは失敗またはパフォーマンスが低く、管理が不十分で、セキュリティ上の弱点がある。

・2021.04.03 U.S. Office of Inspectors General(連邦監察官室)

↑ 米国連邦政府の内部監査部門の一覧があります。

 

・2021.04.01 GAO 連邦政府の財務諸表に監査意見を付与することができない・・・その理由は・・・

・2021.03.26 U.S. GAO 電力網サイバーセキュリティ:エネルギー省は彼らの計画が配電システムのリスクに完全に対応していることを確認する必要がある at 2021.03.18

・2021.03.25 U.S. GAO High-Riskシリーズ:連邦政府は主要なサイバーセキュリティの課題に対処するための重要な行動を早急に実施する必要がある

・2021.03.16 U.S. GAO 2022年度予算要求「複雑なサイバー・セキュリティの開発をレビューする能力を高める」

・2021.03.16 U.S. GAO CISAに対して組織変革を確実に遂行するために11の勧告をしたようですね。。。(CISAも同意済み)

・2021.03.08 U.S. GAO 国防省に兵器システムについてサイバーセキュリティ要件を購買プログラム契約で定義し、作業を承認または拒否するための基準と、要件が満たされていることを政府が確認する方法についての基準を確立する必要があると指摘

・2021.03.07 U.S. GAO ハイリスクリスト 2021 (サイバーセキュリティはリスクが高まっているという評価のようです...)

↑ 監査計画を立案する際のリスク評価に関係するのでしょうが、参考になるでしょうね。。。

 

・2021.02.22 U.S. GAOが技術評価ハンドブックを公表していますね

・2021.01.14 重要な情報の棚卸しは必要だが、そのリストをどのように伝達する?

・2020.12.27 U.S. GAO 国防省の15のシステム開発を監査してみて・・・開発手法やセキュリティについてコメント付けてます

・2020.12.02 U.S. GAO 医療における人工知能:患者ケアを強化する技術の利点と課題

・2020.12.02 U.S. GAO 5Gネットワークの機能と課題 @2020.11.19

・2020.11.21 米国GAOが国防省のJoint Cyber Warfighting Architectureについて相互運用性目標を定義することを推奨していますね。。。

・2020.10.22 米国GAOのブログでDeepfakeが取り上げられていますね。。。

・2020.10.14 米国GAOは連邦航空局がアビオニクスのリスクベースのサイバーセキュリティ監視を強化するための仕組みを入れる必要があると推奨していますね。。。

・2020.09.29 米国GAO が「国家サイバー戦略」の完全実施のためにリーダーシップを明確にするために議会がリーダーを指名するように提案していますね。

・2020.09.24 U.S. GAO サイバー空間安全保証・新興技術局の設立計画の策定に関連する連邦機関を関与させていない

・2020.09.18 米国GAO 財務省は金融セクターのサイバーセキュリティリスク軽減の取り組みについての追跡調査を改善する必要がある

・2020.09.02 米国GAO - FedRAMP-連邦政府機関によるクラウドコンピューティングの安全な利用の確保

・2020.08.19 米国GAO 国土安全保障省と特定の機関は、ネットワーク監視プログラムの実装上の欠点に対処する必要がある

↑ CDMの話ですね。。。

 

・2020.08.10 DeepfakeについてのNATO, CSET, Partnership on AI, GAOの報告書(少し前ですが・・・)

・2020.08.06 US-GAO GAOがOMBにIT管理、サイバーセキュリティの監査結果を伝えていますが結構厳しい・・・

・2020.07.30 US-GAO COVID-19 CONTACT TRACING APPSに関するペーパーを出していますね。。。

・2020.07.20 US GAO 連邦政府のIT人材のニーズの優先順位付け

・2020.07.11 US-GAOの報告書 サイバーセキュリティに関する10-Kの開示は一般的な内容が多くあまり参考にならないので追加の開示を希望している by 年金基金代表者

・2020.06.23 GAO GreenbookとOMB Circular No. A-123

↑ 米国連邦政府の内部統制を理解する上で参考になりますね。。。

 

・2020.06.22 US-GAO 米空軍は強化されたエンタープライズリスクマネジメントと内部統制評価を通じてミッションクリティカルな資産に対する説明責任を向上させることができる

・2020.06.05 米国行政管理局(OMB)が2019年度版政府機関のサイバーセキュリティーに関する報告書(FISMAレポート)を公表していますね。。。

・2020.04.15 GAO 国防総省はサイバー衛生を改善する必要があるので7つの推奨事項を作ったよ!という報告書

↑ GAOと会計検査院の比較表あります

 

・2011.02.20 会計検査院の権限

・2010.12.31 内部監査部門がない政府機関はマネジメントできているのか?

・2010.12.28 会計検査院 都道府県及び政令指定都市における国庫補助事業に係る事務費等の不適正な経理処理等の事態、発生の背景及び再発防止策について

・2010.11.06 会計検査院報告 平成21年度検査報告

・2009.11.28 会計検査院報告 平成20年度検査報告

・2009.07.21 GAO Agencies Continue to Report Progress, but Need to Mitigate Persistent Weaknesses

・2009.04.27 総務省 地方公共団体における内部統制のあり方に関する研究会最終報告書

・2008.11.22 会計検査院 平成19年度決算検査報告

・2008.04.14 総務省 「地方公共団体における内部統制のあり方に関する研究会」における中間報告(論点整理)の公表

・2007.11.13 会計検査院 平成18年度決算検査報告の概要

・2007.09.01 会計検査院の是正効果は1000億円以上

・2007.08.04 省庁サイバーテロ対策不十分?

・2007.06.14 米国会計検査院 連邦政府機関の情報セキュリティ管理は依然として不十分

・2007.05.29 会計検査報告書 H17 政府出資法人における内部監査等の状況について

・2007.05.28 会計検査報告書 H17 各府省等におけるコンピュータシステムに関する会計検査の結果について

・2006.11.30 米国会計検査院 省庁に情報セキュリティに関する定期的な検査のための適切な方針の開発と導入が必要

・2006.09.23 日本銀行 米・英政府の内部統制

・2006.06.23 パブリックセクターの内部統制

・2006.05.16 有効性を評価し、監査するとは・・・

・2005.11.09 会計検査院 検査結果を首相に提出

・2005.08.04 参議院 会計検査院法改正案可決

・2005.07.21 米国会計検査院 国土安全保障省のサイバーセキュリティへの対応は不十分

・2005.07.13 米国会計検査院 国土安全保障省はセキュリティプログラムを実施していない

・2005.06.16 米国会計検査院 米国政府機関はネット上の脅威に対し無防備と警告

・2005.06.07 参議院 会計検査院にITシステムの運用に関して重点検査要請

・2005.06.01 米国会計検査院 証券取引委員会の監査結果

・2005.05.31 米国会計検査院 プライバシーに対する配慮不足とRFID使用に警告

・2005.05.31 米国会計検査院 国土安全保障省はサイバーセキュリティに無防備と批判

・2005.04.22 米国の会計検査院は情報セキュリティ監査でがんばっている

・2005.03.29 会計検査院のウェブページ

 

 

| | Comments (0)

2022.11.18

米国 米中経済・安全保障検討委員会 2022年年次報告書

こんにちは、丸山満彦です。

米国議会の米中経済・安全保障検討委員会が、2022年の年次報告書を公開していますね。。。報告書は780ページ強!!!!

サイバーセキュリティについても触れられていますね。。。

 

せめてエグゼクティブサマリーと勧告だけでも。。。

 

U.S.-CHINA ECONOMIC AND SECURITY REVIEW COMMISSION

2022 Annual Report to Congress

2022 Annual Report to Congress 2022年 米国議会への年次報告書
Topics this year include CCP decision-making and Xi Jinping’s centralization of authority, challenging China’s trade practices, China’s energy plans and practices, U.S. supply chain vulnerabilities and resilience, China’s cyber warfare and espionage capabilities, China’s activities and influence in South and Central Asia, and a review of Taiwan, Hong Kong, economics, trade, security, political, and foreign affairs developments in 2022. 今年のトピックは、中国共産党の意思決定と習近平の中央集権化、中国の貿易慣行への挑戦、中国のエネルギー計画と慣行、米国のサプライチェーンの脆弱性と回復力、中国のサイバー戦とスパイ能力、南・中央アジアにおける中国の活動と影響、2022年の台湾、香港、経済、貿易、セキュリティ、政治、外交の発展に関するレビューなどである。

 

アレックス・ウォン議長の開会宣言

・2022.11.15 [PDF] Opening Statement of Chairman Alex Wong

キム・グラス副議長の開会宣言

・2022.11.15 [PDF] Opening Statement of Vice Chair Kim Glas

 

報告書

2022年 年次報告書、サマリー、勧告

・[PDF] Executive Summary

20221118-52256

・[DOCX] 仮訳

 

 

・[PDF] Recommendations to Congress

20221118-51540

 

・[PDF] Annual Report to Congress

20221118-51527

 

 

 

VIDEO
14:54くらいから始まります。。。

Unable to see this video? Click here.

 

 

Chapter 1 - CCP Decision-Making and Xi Jinping’s Centralization of Authority 第1章 中国共産党の意思決定と習近平の中央集権化
Chapter 1 - CCP Decision-Making and Xi Jinping’s Centralization of Authority 第1章 中国共産党の意思決定と習近平の中央集権化
Chapter 2 - U.S.-China Economic and Trade Relations 第2章 米中経済・貿易関係
Chapter 2, Section 1 - U.S.-China Economic and Trade Relations 第2章 第1節 米中経済・貿易関係
Chapter 2, Section 2 - Challenging China’s Trade Practices 第2章 第2節 中国の貿易慣行への挑戦
Chapter 2, Section 3 - China’s Energy Plans and Practices 第2章 第3節 中国のエネルギー計画と実践
Chapter 2, Section 4 - U.S. Supply Chain Vulnerabilities and Resilience 第2章 第4節 米国のサプライチェーンにおける脆弱性と回復力
Chapter 3 - U.S.-China Security and Foreign Affairs 第3章 米中安全保障と外交問題
Chapter 3, Section 1 - Year in Review: Security and Foreign Affairs 第3章 第1節 今年の振り返り:安全保障と外交
Chapter 3, Section 2 - China’s Cyber Capabilities: Warfare, Espionage, and Implications for the United States 第3章 第2節 中国のサイバー能力:戦い、スパイ行為、そして米国への影響
Chapter 3, Section 3 - China’s Activities and Influence in South and Central Asia 第3章 第3節 南アジア・中央アジアにおける中国の活動と影響力
Chapter 4 - Taiwan 第4章 台湾
Chapter 4 - Taiwan 第4章 台湾
Chapter 5 - Hong Kong 第5章 香港
Chapter 5 - Hong Kong 第5章 香港

 

 

| | Comments (0)

2022.11.17

内閣官房 意見募集 「「世界一安全な日本」の創造のための新たな戦略(仮称)」(案) 締め切り間近!!!

こんにちは、丸山満彦です。

2022.11.11に「「世界一安全な日本」の創造のための新たな戦略(仮称)」(案)についての意見募集(窓口は内閣官房副長官補室
)が出ていました。。。締め切りが11.20で10日間!!!!!。短くないですかね。。。

全体で57ページの報告書ですが、最初はサイバーから始まります...

9年前の2013年12月の「「世界一安全な日本」創造戦略」の改訂版ですかね。。。

 

● e-Gov

・2022.11.11 「「世界一安全な日本」の創造のための新たな戦略(仮称)」(案)に関する意見募集について

・[PDF] 「「世界一安全な日本」の創造のための新たな戦略(仮称)」(案)  [downloaded]

20221117-195527

目次的なもの...

1 デジタル社会に対応した世界最高水準の安全なサイバー空間の確保
(1)サイバー空間の脅威等への対処
(2)国際連携の推進
(3)インターネット上の違法・有害情報等の収集及び分析の高度化
(4)民間事業者、関係機関等と連携したサイバーセキュリティ強化

2 国内外の情勢に応じたテロ対策、カウンターインテリジェンス機能の強化等の推進
(1)G7サミット等の大規模行事を見据えたテロに強い社会の構築
(2)テロ等の脅威に対する警戒警備等の強化
(3)水際対策の強化
(4)テロの手段を封じ込める対策の強化
(5)国際連携を通じたテロの脅威等への対処
(6)テロの未然防止のための情報収集・分析体制の充実強化
(7)経済安全保障の強化に向けた取組の推進
(8)テロ資金供与等対策の強化
(9)大量破壊兵器等の国境を越える脅威に対する対策の強化
(10)北朝鮮による日本人拉致容疑事案等への対応
(11)カウンターインテリジェンス機能の強化
(12)外交一元化の下での「司法外交」の推進
(13)緊急事態への対処能力の強化

3 犯罪の繰り返しを食い止める再犯防止対策の推進
(1)「再犯防止推進計画」に基づく再犯防止対策の推進
(2)就労支援及び住居の確保の推進等
(3)対象者の特性に応じた指導及び支援の強化
(4)社会的な孤立を防ぐための地域社会での相談・支援連携の拠点確保
(5)保護司等民間協力者の活動を充実させるための支援強化
(6)更生保護施設の処遇機能の充実
(7)地方公共団体等による再犯の防止の推進に向けた取組の支援
(8)再犯防止対策に対する国民の理解と協力の推進

4 組織的・常習的に行われる悪質な犯罪への対処
(1)対立抗争への対応をはじめとする暴力団対策等の推進
(2)特殊詐欺対策の強化
(3)マネー・ローンダリング等対策の強化
(4)覚醒剤や大麻等の違法薬物等への対策の推進
(5)模倣品・海賊版対策の強化
(6)国際的な犯罪対策の推進
(7)社会の安全安心を脅かす各種事犯への対策の推進

5 子供・女性・高齢者等全ての人が安心して暮らすことのできる社会環境の実現
(1)子供・女性の安全安心の確保
(2)高齢者の安全安心の確保
(3)犯罪に強いまちづくり等の身近な犯罪への対策の推進
(4)犯罪被害者等への支援

6 外国人との共生社会の実現に向けた取組の推進
(1) 外国人の受入れ環境の整備
(2)不法入国等の事前阻止
(3)不法滞在者の縮減に向けた対策強化
(4)関係機関の連携強化
(5)外国人の安全安心の確保

7 「世界一安全な日本」創造のための治安基盤の強化
(1)第一線の職務執行を支える取組の強化
(2)先端技術・デジタル技術の活用の推進
(3)時代に即した捜査力の強化

 


 

9年前のもの...

・2013.12.10 [PDF] 「世界一安全な日本」創造戦略について 

20221117-202433

 

 

 

Continue reading "内閣官房 意見募集 「「世界一安全な日本」の創造のための新たな戦略(仮称)」(案) 締め切り間近!!!"

| | Comments (0)

米国 ニューヨーク州 金融サービス局 意見募集:サイバーセキュリティ規則更新案:取締役会およびCXOレベルにおけるサイバーセキュリティの説明責任を強化等 (2022.11.09)

こんにちは、丸山満彦です。

米国ニューヨーク州金融サービス局が、「金融サービス局がサイバーセキュリティ規則の更新案」を公表し、意見募集をしていますね。。。

主な変更点

・規制の多くの部分が免除される中小企業の規模基準の引き上げ

・取締役会およびCXOレベルにおけるサイバーセキュリティの説明責任の強化

・技術システムへの最初の不正アクセスを防止し、攻撃の拡大を防止または軽減するための管理を追加

・リスクと脆弱性の定期的評価を実施し、インシデント対応、事業継続、災害復旧計画等をより強固にすることの義務付け

他...

 

New York State - Department of Financial Services

・2022.11.09 DFS SUPERINTENDENT ADRIENNE A. HARRIS ANNOUNCES UPDATED CYBERSECURITY REGULATION  

DFS SUPERINTENDENT ADRIENNE A. HARRIS ANNOUNCES UPDATED CYBERSECURITY REGULATION   DFS管理者Adrienne A. Harris、サイバーセキュリティ規制の更新を発表  
Amends First-In-The-Nation Cybersecurity Regulation Created in 2017 in Response to Increasingly Sophisticated Technologies and Threats   高度化する技術や脅威に対応するため、2017年に策定された国内初のサイバーセキュリティ規制を改正  
The Department Seeks Comments on the Proposed Regulation During the Next 60 Days   同局は今後60日間、規制案に関するコメントを募集中  
Superintendent of Financial Services Adrienne A. Harris announced today that the New York State Department of Financial Services (DFS) proposed an updated cybersecurity regulation. DFS’s original regulation, which DFS promulgated in 2017, established a regulatory model that is now used by both federal and state financial regulators. DFS has taken a data-driven approach to amending the regulation to ensure that regulated entities address new and increasing cybersecurity threats with the most effective controls and best practices to protect consumers and businesses.    金融サービス監督官Adrienne A. Harrisは、ニューヨーク州金融サービス局(DFS)がサイバーセキュリティ規制の更新を提案したことを発表した。DFSが2017年に公布したオリジナルの規制は、現在、連邦および州の金融規制当局で使用されている規制モデルを確立した。DFSは、規制対象事業者が消費者と企業を保護するために最も効果的なコントロールとベストプラクティスで、新たに増加するサイバーセキュリティの脅威に対処できるよう、データ駆動型のアプローチで規制の改正に取り組んだ。  
With cyber-attacks on the rise, it is critical that our regulation keeps pace with new threats and technology purpose-built to steal data or inflict harm,” said Superintendent Harris. “Cyber criminals go after all types of companies, big and small, across industries, which is why all of our regulated entities must comply with these standards – whether a bank, virtual currency company, or a health insurance company.”   ハリス監督官は以下のように述べている。「サイバー攻撃は増加傾向にあり、我々の規制が、データを盗んだり損害を与えたりする目的で作られた新しい脅威や技術に対応していくことは非常に重要である。サイバー犯罪者は、業界の大小を問わず、あらゆる企業を狙っている。だからこそ、銀行、仮想通貨会社、健康保険会社など、規制対象となるすべての企業がこれらの基準を遵守しなければならないのである」。 
The proposed amended regulation strengthens the DFS risk-based approach to ensure cybersecurity risk is integrated into business planning, decision-making, and ongoing risk management. The changes include:   提案された改正規則は、サイバーセキュリティのリスクが事業計画、意思決定、継続的なリスク管理に統合されるよう、DFSのリスクベースのアプローチを強化するものである。変更点は以下の通りである。  
・The creation of three tiers of companies, further tailoring the regulation to a diverse set of businesses with different defensive needs. Furthermore, based on feedback from the industry and in recognition of the realities of operating a small business, the proposed amendment increases the size threshold of smaller companies that are exempt from many parts of the regulation;     ・3つの階層を設け、防御のニーズが異なる多様な企業に合わせて規制をさらに調整する。さらに、業界からのフィードバックに基づき、また、中小企業経営の現実を認識し、修正案では、規制の多くの部分が免除される中小企業の規模基準を引き上げる。    
・Enhanced governance requirements, thereby increasing accountability for cybersecurity at the Board and C-Suite levels;    ・ガバナンス要件の強化により、取締役会およびCXOレベルにおけるサイバーセキュリティの説明責任を強化する。   
・Additional controls to prevent initial unauthorized access to technology systems and to prevent or mitigate the spread of an attack;    ・技術システムへの最初の不正アクセスを防止し、攻撃の拡大を防止または軽減するための管理を追加する。   
・Requiring more regular risk and vulnerability assessments, as well as more robust incident response, business continuity and disaster recovery planning; and    ・リスクと脆弱性の評価をより定期的に行い、インシデント対応、事業継続、災害復旧計画をより強固にすることを義務付ける。   
・Directing companies to invest in regular training and cybersecurity awareness programs that are relevant to their business model and personnel.    ・企業に対して、自社のビジネスモデルや人材に適した定期的なトレーニングやサイバーセキュリティの意識向上プログラムに投資するよう指示する。   
Over the course of the past few months, DFS has solicited feedback on proposed amendments from other regulators, industry groups, and regulated entities through the recent Cybersecurity Symposium, industry conferences, and meetings.      過去数ヶ月間、DFSは、最近のサイバーセキュリティ・シンポジウム、業界会議、会合を通じて、他の規制当局、業界団体、規制対象事業者から改正案に関する意見を募集してきた。     
The proposed amended regulation is subject to a 60-day comment period beginning today upon publication in the State Register. DFS looks forward to and appreciates receiving feedback on the proposed amended regulation during the comment period. As the comment period ends, DFS will then review all received comments and either repropose a revised version or adopt the final regulation.       本改正案は、本日、州政府官報に掲載された後、60日間の意見公募期間が設けられる。DFSは、意見募集期間中に提案された改正規則に対する意見を待っている。コメント期間終了後、DFSは受領した全てのコメントを検討し、修正版を再提出するか、最終規則を採択する予定である。      
A copy of the proposed amended regulation is available on the DFS website.    本規制案は、DFS のウェブサイトにて公開されている。   

 

・[PDF] NEW YORK STATE DEPARTMENT OF FINANCIAL SERVICES PROPOSED SECOND AMENDMENT TO 23 NYCRR 500 - CYBERSECURITY REQUIREMENTS FOR FINANCIAL SERVICES COMPANIES

20221117-31111

 

現在のレギュレーション...

Part 500 Cybersecurity Requirements for Financial Services Companies

 

 

| | Comments (0)

デジタル庁 デジタル臨時行政調査会作業部会 テクノロジーベースの規制改革推進委員会(第2回)

こんにちは、丸山満彦です。

デジタル庁のデジタル臨時行政調査会作業部会 テクノロジーベースの規制改革推進委員会(第2回)の資料等が公表されています。。。

日本経済の停滞の原因の一つがデジタル化の遅れ、という感じとなっておりますが、そういう面はあるでしょうね。。。もっと言えば、既得権益者による変革の阻害なのでしょう。。。これは、社会全体においては、民主主義社会における国民の選択の結果でしょうし、会社等においても、資本主義社会における投資家等による選択の結果なのかもしれませんね。。。

民主主義や資本主義というのは、国民や投資家が適切な情報を入手し、合理的な判断ができないと、最適解には辿り着けないわけです。情報の入手するという意味では、例えば、報道の自由、財務諸表等の開示が重要となるでしょうし、合理的な判断という意味では、論理的に考えられる頭脳が必要となるのでしょう。もちろん、生身の人間ですから、実行に移す場合は、感情に対する対応もする必要があるでしょう(ただ、これは手段の話ですが。。。)。

日本人がこれだけ成長できないというのは、相当国民が劣化しているのかもしれませんね。。。

 

第1回の登さんの資料も興味深いです。。。

 

デジタル庁 -  会議等 - デジタル臨時行政調査会作業部会 テクノロジーベースの規制改革推進委員会

・2022.11.16 第2回

議事

  1. テクノロジーベースの規制改革推進委員会 今後の議論の方向性及び論点(事務局から説明)
  2. 江崎構成員からの説明
    • 技術マップに関する提案
      ~技術活用におけるセキュリティ等のリスク評価の進め方~
  3. 島田構成員からの説明
    • 東芝が考えるAI品質保証について
  4. 意見交換

資料

・2022.10.03 第1回

 

議事

  1. テクノロジーベースの規制改革推進委員会の開催等について(事務局から説明)
  2. テクノロジーベースの規制改革推進委員会の検討事項等について(事務局から説明)
  3. 登構成員からの説明
    • テクノロジーマップ、技術カタログの在り方について
  4. 意見交換

資料

 



| | Comments (0)

CISA ステークホルダー別脆弱性分類 (SSVC) ガイド

こんにちは、丸山満彦です。

CISAがステークホルダー別脆弱性分類 (Stakeholder-Specific Vulnerability Categorization: SSVC) ガイドを公表していますね。。。

 

STAKEHOLDER-SPECIFIC VULNERABILITY CATEGORIZATION  ステークホルダー別脆弱性分類 
Carnegie Mellon University's Software Engineering Institute (SEI), in collaboration with CISA, created the Stakeholder-Specific Vulnerability Categorization (SSVC) system in 2019 to provide the cyber community a vulnerability analysis methodology that accounts for a vulnerability's exploitation status, impacts to safety, and prevalence of the affected product in a singular system. CISA worked with SEI in 2020 to develop its own customized SSVC decision tree to examine vulnerabilities relevant to the United States government (USG), as well as state, local, tribal, and territorial (SLTT) governments, and critical infrastructure entities. Implementing SSVC has allowed CISA to better prioritize its vulnerability response and vulnerability messaging to the public.  カーネギーメロン大学のソフトウェア工学研究所(SEI)は、CISAと共同で、脆弱性の悪用状況、安全性への影響、単一システムにおける影響製品の普及率を考慮した脆弱性分析手法をサイバーコミュニティに提供するために、2019年に「ステークホルダー固有の脆弱性分類(SSVC)」システムを作成した。CISAは2020年にSEIと協力して、米国政府(USG)、州・地方・部族・準州(SLTT)政府、重要インフラ事業体に関連する脆弱性を調査するために、独自にカスタマイズしたSSVC決定木を開発した。SSVCの導入により、CISAは、脆弱性対応と一般市民への脆弱性メッセージの優先順位をより適切に設定できるようになった。 
How CISA Uses SSVC  CISAはどのようにしてSSVCを使うのか? 
CISA uses its own SSVC decision tree model to prioritize relevant vulnerabilities into four possible decisions:  CISAは、独自のSSVC決定木モデルを使用して、関連する脆弱性を4つの可能な判断に優先順位付けしている。 
Track: The vulnerability does not require action at this time. The organization would continue to track the vulnerability and reassess it if new information becomes available. CISA recommends remediating Track vulnerabilities within standard update timelines.  追跡:この脆弱性は、現時点では対処する必要がない。組織は、脆弱性の追跡を継続し、新しい情報が入手できた場合に再評価を行いる。CISAでは、「追跡」の脆弱性を標準的な更新スケジュールで修正することを推奨している。 
Track*: The vulnerability contains specific characteristics that may require closer monitoring for changes. CISA recommends remediating Track* vulnerabilities within standard update timelines.  追跡*:この脆弱性には特定の特性があり、その変化についてより綿密な監視が必要な場合がある。CISAでは、「追跡*」の脆弱性を標準的な更新スケジュールで修正することを推奨している。 
Attend: The vulnerability requires attention from the organization's internal, supervisory-level individuals. Necessary actions include requesting assistance or information about the vulnerability, and may involve publishing a notification either internally and/or externally. CISA recommends remediating Attend vulnerabilities sooner than standard update timelines.  注意:この脆弱性は、組織内部の監督者レベルの個人による注意を必要とする。必要なアクションには、支援や脆弱性に関する情報の要求が含まれ、内部および/または外部への通知の公表を伴う場合がある。CISAでは、標準的な更新スケジュールよりも早く「注意」の脆弱性を修正することを推奨している。 
Act: The vulnerability requires attention from the organization's internal, supervisory-level and leadership-level individuals. Necessary actions include requesting assistance or information about the vulnerability, as well as publishing a notification either internally and/or externally. Typically, internal groups would meet to determine the overall response and then execute agreed upon actions. CISA recommends remediating Act vulnerabilities as soon as possible.  対処:この脆弱性は、組織内部の監督者レベル、および指導者レベルの個人による注意を必要とする。必要なアクションには、脆弱性に関する支援や情報の要求、社内外への通知の公表などがある。通常、社内のグループは、全体的な対応策を決定するために会議を開き、合意した対応策を実行することになります。CISAは、「対処」の脆弱性をできるだけ早く是正することを推奨している。 
The CISA SSVC tree determines the decisions of Track, Track*, Attend, and Act based on five values:   CISAのSSVC決定木は、5つの値に基づいて、追跡、追跡*、注意、対処を決定する。 
・Exploitation status   ・悪用状況  
・Technical impact   ・技術的影響  
・Automatable  ・自動化可能性
・Mission prevalence  ・任務の普及性
・Public well-being impact  ・公共福祉への影響 
To learn more, see the CISA SSVC Guide (pdf, 948 kb).  詳細については、CISA SSVC Guide (pdf, 948 kb)を参照のこと。 
CISA's SSVC Calculator  CISAのSSVC計算機 
The CISA SSVC Calculator allows users to input decision values and navigate through the CISA SSVC tree model to the final overall decision for a vulnerability affecting their organization. The SSVC Calculator allows users to export the data as .PDF or JSON. CISAのSSVC計算機を使用すると、ユーザーは意思決定値を入力し、CISAのSSVC決定木モデルを通じて、自分の組織に影響を与える脆弱性の最終的な総合意思決定に至るまでナビゲートすることができる。SSVC 計算機では、ユーザーはデータを.PDFまたはJSONとしてエクスポートすることができる。 
Additional SSVC Decision Tree Models   追加のSSVC決定木モデル  
Organizations whose mission spaces need to evaluate the effect of vulnerabilities in at least one external organization may find the CISA SSVC decision tree model helpful. The CISA SSVC decision tree model closely resembles the standard SSVC “Coordinator” tree. For organizations whose mission spaces do not align with CISA’s decision tree, the SEI whitepaper Prioritizing Vulnerability Response: A Stakeholder-Specific Vulnerability Categorization (Version 2.0) details other decision tree models that may better align to their mission space.   ミッション・スペースが少なくとも1つの外部組織の脆弱性の影響を評価する必要がある組織は、CISAのSSVC決定木モデルが役に立つかもしれません。CISA SSVC決定木モデルは、標準的なSSVCの「コーディネータ」木に酷似している。ミッション空間がCISAの決定木と一致しない組織については、SEIホワイトペーパー「Prioritizing Vulnerability Response: A Stakeholder-Specific Vulnerability Categorization (Version 2.0) は、組織のミッション空間に適した他の決定木モデルを詳細に説明している。 

 

・2022.11 [PDF] CISA Stakeholder-Specific Vulnerability Categorization Guide

20221117-01552

 

目次...

Overview 概要
The Vulnerability Scoring Decision 脆弱性スコアリングの決定
Relevant Decision Points 関連する判断ポイント
(State of) Exploitation 悪用状況
Technical Impact 技術的影響
Automatable 自動化可能性
Automating Reconnaissance and Vulnerability Chaining 偵察と脆弱性の連鎖の自動化
Mission Prevalence 任務の普及性
Public Well-Being Impact 公衆衛生への影響
Mitigation Status 緩和状況
Decision Tree 意思決定木

 

Exploitation status   悪用状況  
Evidence of Active Exploitation of a Vulnerability 脆弱性を積極的に悪用した証拠
・None ・なし
・Public PoC ・公開PoC
・Active ・アクティブ
Technical impact   技術的影響  
Technical Impact of Exploiting the Vulnerability 脆弱性を悪用した場合の技術的影響
・Partial ・部分的
・Total ・全体
Automatable  自動化可能性
・No ・No
・Yes ・Yes
Mission prevalence  任務の普及性
Impact on Mission Essential Functions of Relevant Entities 関連事業体のミッション・エッセンシャル機能への影響
・Minimal ・ミニマム
・Support ・サポート
・Essential ・必須
Public well-being impact  公共福祉への影響 
Impacts of Affected System Compromise on Humans 被災したシステムの危殆化による人体への影響
・Minimal ・ミニマム
・Material ・重要
・Irreverslble ・不可逆的

 

 

ブログ...

・2022.11.10 TRANSFORMING THE VULNERABILITY MANAGEMENT LANDSCAPE

TRANSFORMING THE VULNERABILITY MANAGEMENT LANDSCAPE 脆弱性管理状況を変革する
By Eric Goldstein, Executive Assistant Director for Cybersecurity エリック・ゴールドスタイン(サイバーセキュリティ担当エグゼクティブ・アシスタント・ディレクター)著
In the current risk environment, organizations of all sizes are challenged to manage the number and complexity of new vulnerabilities. Organizations with mature vulnerability management programs seek more efficient ways to triage and prioritize efforts. Smaller organizations struggle with understanding where to start and how to allocate limited resources. Fortunately, there is a path toward more efficient, automated, prioritized vulnerability management. Working with our partners across government and the private sector, we are excited to outline three critical steps to advance the vulnerability management ecosystem: 現在のリスク環境では、あらゆる規模の組織が、新たな脆弱性の数と複雑さを管理するという課題を抱えている。成熟した脆弱性管理プログラムを持つ組織は、取り組みの優先順位付けとトリアージに、より効率的な方法を求めている。一方、小規模な組織は、どこから手をつければよいのか、限られたリソースをどのように配分すればよいのかを理解するのに苦労している。幸いなことに、より効率的で自動化され、優先順位が付けられた脆弱性管理への道は開かれている。私たちは、政府機関や民間企業のパートナーとともに、脆弱性管理のエコシステムを前進させるための3つの重要なステップの概要を説明することができる。
・First, we must introduce greater automation into vulnerability management, including by expanding use of the Common Security Advisory Framework (CSAF) ・第一に、共通セキュリティ・アドバイザリー・フレームワーク  (CSAF) の利用を拡大するなどして、脆弱性管理にさらなる自動化を導入する必要がある。
・Second, we must make it easier for organizations to understand whether a given product is impacted by a vulnerability through widespread adoption of Vulnerability Exploitability eXchange (VEX) ・第二に、VEX(Vulnerability Exploitability eXchange)の普及により、ある製品が脆弱性の影響を受けているかどうかを、組織がより簡単に理解できるようにする必要がある。
・Third, we must help organizations more effectively prioritize vulnerability management resources through use of Stakeholder Specific Vulnerability Categorization (SSVC), including prioritizing vulnerabilities on CISA’s Known Exploited Vulnerabilities (KEV) catalog ・第三に、CISAのKEV(Known Exploited Vulnerabilities)カタログにおける脆弱性の優先順位付けなど、ステークホルダー別脆弱性分類 (SSVC) を使用して、組織が脆弱性管理リソースの優先順位をより効果的に決定できるようにする必要がある。
With these advances, described further below, we will make necessary progress in vulnerability management and reduce the window that our adversaries have to exploit American networks. 以下に説明するこれらの進歩により、私たちは脆弱性管理において必要な進歩を遂げ、敵対者が米国のネットワークを悪用するための窓を減らすことができるだろう。
1. Achieving Automation: Publish machine-readable security advisories based on the Common Security Advisory Framework (CSAF). 1. 自動化の実現:共通セキュリティ・アドバイザリー・フレームワーク (CSAF) に基づいて、機械可読のセキュリティ勧告を発行する。
When a new vulnerability is identified, software vendors jump into action: understanding impacts to products, identifying remediations, and communicating to end users. But as we know, the clock is ticking: adversaries are often turning vulnerabilities to exploits within hours of initial public reports. 新しい脆弱性が特定されると、ソフトウェア・ベンダーは、製品への影響の把握、対処法の特定、エンドユーザーへの情報提供などの活動に飛びつく。しかし、ご存知のように、時間は刻々と過ぎていく。敵は、脆弱性を最初に公表してから数時間以内にエクスプロイト(悪用)に変えてしまうことがよくある。
Software vendors work constantly to understand if their products are impacted by a new vulnerability. To meet this timeframe, our community needs a standardized approach for vendors to disclose security vulnerabilities to end users in an accelerated and automated way. ソフトウェアベンダーは、自社製品が新しい脆弱性の影響を受けているかどうかを把握するために常に努力している。この時間枠を満たすために、私たちのコミュニティは、ベンダーがエンドユーザーに対してセキュリティ脆弱性を迅速かつ自動的に開示するための標準的なアプローチを必要としている。
The CSAF, developed by the OASIS CSAF Technical Committee, is a standard for machine-readable security advisories. CSAF provides a standardized format for ingesting vulnerability advisory information and simplify triage and remediation processes for asset owners.  By publishing security advisories using CSAF, vendors will dramatically reduce the time required for enterprises to understand organizational impact and drive timely remediation. OASIS CSAF 技術委員会が開発した CSAF は、機械可読なセキュリティアドバイザリの標準である。CSAF は、脆弱性アドバイザリ情報を取り込むための標準化されたフォーマットを提供し、資産所有者のトリアージと修復プロセスを簡素化する。  CSAF を使用してセキュリティアドバイザリを公開することで、ベンダーは、企業が組織の影響を理解し、タイムリーに修正を行うために必要な時間を大幅に短縮することができる。
2. Clarifying Impact: Use Vulnerability Exploitability eXchange (VEX) to communicate whether a product is affected by a vulnerability and enable prioritized vulnerability response 2. 影響の明確化:VEXを使用して、製品が脆弱性の影響を受けるかどうかを伝え、優先的に脆弱性に対応できるようにする。
VEX allows a vendor to assert whether specific vulnerabilities affect a product; a VEX advisory can also indicate that a product is not affected by a vulnerability. Not all vulnerabilities are exploitable and put an organization at risk. To help reduce effort spent by users investigating vulnerabilities, vendors can issue a VEX advisory that states whether a product is or is not affected by a specific vulnerability in a machine readable, automated way. VEX is implemented as a profile in CSAF and is one of its more popular use cases, aligning with the existing work supporting machine-readable advisories. VEXにより、ベンダーは、特定の脆弱性が製品に影響を及ぼすかどうかを表明できる。VEXアドバイザリでは、製品が脆弱性の影響を受けないことを示すこともできる。すべての脆弱性が悪用され、組織を危険にさらすとは限らない。ユーザーが脆弱性を調査する労力を軽減するために、ベンダーは、製品が特定の脆弱性の影響を受けるかどうかを、機械的に読み取り可能な自動化された方法で表明するVEXアドバイザリを発行することができる。VEXは、CSAFのプロファイルとして実装されており、より一般的なユースケースの1つで、機械可読アドバイザリをサポートする既存の作業と連携している。
The ultimate goal of VEX is to support greater automation across the vulnerability ecosystem, including disclosure, vulnerability tracking, and remediation. VEX data can also support more effective use of software bill of materials (SBOM) data. An SBOM is a machine-readable, comprehensive inventory of software components and dependencies. Machine-readable VEX documents support linking to an SBOM and specific SBOM components. While SBOM gives an organization information on where they are potentially at risk, a VEX document helps an organization find out where they are actually affected by known vulnerabilities, and if actions need to be taken to remediate based on exploitation status. VEX の最終的な目標は、情報開示、脆弱性追跡、修正など、脆弱性エコシステム全体の自動化を促進することである。VEXデータは、ソフトウェア部品表(SBOM)データのより効果的な利用もサポートすることができる。SBOMは、ソフトウェアコンポーネントと依存関係の機械読み取り可能な包括的インベントリである。機械読み取り可能なVEX文書は、SBOMおよび特定のSBOMコンポーネントへのリンクをサポートする。SBOMは、組織が潜在的なリスクを抱えている場所に関する情報を提供するが、VEX文書は、組織が既知の脆弱性の影響を実際に受けている場所と、悪用状況に基づいて是正するために行動を起こす必要があるかどうかを確認するのに役立つ。
3. Prioritized Based on Organizational Attributes: Use vulnerability management frameworks, such as Stakeholder-Specific Vulnerability Categorization (SSVC), which utilize exploitation status and other vulnerability data to help prioritize remediation efforts. 3. 組織属性に基づく優先順位付け:ステークホルダー別脆弱性分類 (SSVC) などの脆弱性管理のフレームワークを使用し、悪用状況やその他の脆弱性データを活用して、是正措置の優先順位付けを支援する。
Last year, CISA issued Binding Operational Directive (BOD) 22-01, which directs federal civilian agencies to remediate KEVs and encourages all organizations to implement the KEV catalog into their vulnerability management framework. The first publication of KEV vulnerabilities derived from CISA's use of SSVC which occurred on November 3, 2021. 昨年、CISA は拘束的運用指令(BOD)22-01 を発行し、連邦政府文民機関に KEV の是正を指示するとともに、すべての組織に KEV カタログを脆弱性管理の枠組みに導入するよう奨励しました。2021年11月3日に発生したCISAのSSVCの利用に由来するKEV脆弱性の最初の公表は、このようなものであった。
CISA encourages every organization to use a vulnerability management framework that considers a vulnerability’s exploitation status, such as SSVC. CISAは、すべての組織がSSVCのような脆弱性の悪用状況を考慮した脆弱性管理のフレームワークを使用することを推奨している。
To assist organizations with using SSVC, today, CISA released: SSVCを利用する組織を支援するため、本日、CISAは以下を公開しました。
・An SSVC webpage introducing CISA's SSVC decision tree; ・CISAのSSVC決定木を紹介するSSVCウェブページ。
・The CISA SSVC Guide instructing how to use the scoring decision tree; and ・スコアリング決定木の使用方法を説明した「CISA SSVCガイド」、および
・The CISA SSVC Calculator for evaluating how to prioritize vulnerability responses in an organization’s respective environment. ・CISA SSVC計算機は、組織の環境における脆弱性対応の優先順位を評価するためのものである。
Organizations now have the option to use CISA’s customized SSVC decision tree guide to prioritize a known vulnerability based on an assessment of five decision points, which are (1) exploitation status, (2) technical impact, (3) automatability, (4) mission prevalence, and (5) public well-being impact. Based on reasonable assumptions for each decision point, a vulnerability will be categorized either as Track, Track*, Attend, or Act. A description of each decision and value can be found on CISA’s new SSVC webpage 組織は、CISAのカスタマイズされたSSVC決定木ガイドを使用して、5つの決定ポイント((1) 悪用状況 (2) 技術的影響 (3) 自動化可能性 (4) 任務の普及性 (5) 公共福祉への影響)の評価に基づいて、既知の脆弱性の優先度を決定できるようになった。各決定ポイントの合理的な仮定に基づき、脆弱性は「追跡」「追跡*」「注意」「対処」のいずれかに分類される。各判断と数値の説明は、CISAの新しいSSVCウェブページで見ることができる。 
As we collectively work to advance vulnerability management practices, we want to hear from you. Please send any feedback or questions to "Mail" 我々は、脆弱性管理の実践を推進するために、皆様からの意見を待っている。フィードバックや質問は、"Mail" まで。

 

 


 

関連...

まるちゃんの情報セキュリティ気まぐれ日記

・2022.06.11 NIST NISTIR 8409 (ドラフト) 共通脆弱性評点システムの基礎評点の計算式の測定

・2021.04.30 カーネギー大学 ソフトウェア工学研究所が「Stakeholder-Specific Vulnerability Categorization:SSVC 2.0」を発表していますね。。。

昔に遡り。。。

・2010.10.25 IPA 共通脆弱性評価システムCVSS概説

・2007.04.26 JVN は、名称をJP Vendor Status Notes (JVN) から、Japan Vulnerability Notes (JVN) と変更しました

| | Comments (0)

2022.11.16

欧州委員会 欧州議会と欧州理事会への声明 「サイバー防衛に関するEUの政策」

こんにちは、丸山満彦です。

欧州委員会が、欧州議会と欧州理事会に「サイバー防衛に関するEUの政策」を発表していますね。。。

サイバー防衛には、民間と軍との協力関係が重要ということなのでしょうかね。。。民間解放されたインターネットを軍が使うということなので、そうなるのでしょうね。。。軍専用品の中に民間用品が混じるというよりも、民間用品を軍が使うということがこれまでとの違いなのでしょうかね。。。民間にもなかなか難しいバランスが求められるのかもしれません。。。

 

European Commission

プレス発表...

・2022.11.10 Cyber Defence: EU boosts action against cyber threats

Cyber Defence: EU boosts action against cyber threats サイバーディフェンス EU:サイバー脅威に対する行動を強化
Today, the Commission and the High Representative put forward a Joint Communication on an EU Cyber Defence policy and an Action Plan on Military Mobility 2.0 to address the deteriorating security environment following Russia's aggression against Ukraine and to boost the EU's capacity to protect its citizens and infrastructure.   本日、欧州委員会と上級代表は、ロシアのウクライナに対する侵略に伴う安全保障環境の悪化に対処し、EUの市民とインフラを守る能力を高めるため、EUサイバー防衛政策と軍事移動2.0に関する行動計画に関する共同コミュニケを提出した。  
With its new cyber defence policy, the EU will enhance cooperation and investments in cyber defence to better protect, detect, deter, and defend against a growing number of cyber-attacks.  新しいサイバー防衛政策により、EUはサイバー防衛における協力と投資を強化し、増え続けるサイバー攻撃に対する保護、検知、抑止、防御をより良くしていく。 
Cyberspace has no borders. Recent cyber-attacks on energy networks, transport infrastructure and space assets show the risks that they pose to both civilian and military actors. This calls for more action to protect citizens, armed forces, as well as the EU's civilian and military missions and operations, against cyber threats.   サイバー空間には国境がない。エネルギーネットワーク、輸送インフラ、宇宙資産に対する最近のサイバー攻撃は、それが民間と軍事の両方の関係者にもたらすリスクを示している。このため、市民、軍隊、そしてEUの文民・軍事ミッションと作戦をサイバー脅威から守るため、さらなる行動を起こすことが求められている。  
The EU Policy on Cyber Defence aims to boost EU cyber defence capabilities and strengthen coordination and cooperation between the military and civilian cyber communities (civilian, law enforcement, diplomatic and defence). It will enhance efficient cyber crisis management within the EU and help reduce our strategic dependencies in critical cyber technologies, while strengthening the European Defence Technological Industrial Base (EDTIB). It will also stimulate training, attracting, and retaining cyber talents and step up cooperation with our partners in the field of cyber defence.  EUのサイバー防衛政策は、EUのサイバー防衛能力を高め、軍と民間のサイバーコミュニティ(文民、法執行、外交、防衛)間の調整と協力を強化することを目的としている。また、EU域内の効率的なサイバー危機管理を強化し、重要なサイバー技術における戦略的依存度の低減を支援するとともに、欧州防衛技術産業基盤(EDTIB)を強化する。また、サイバー人材の育成、誘致、確保を促進し、サイバー防衛分野におけるパートナーとの協力関係を強化する。 
The EU Policy on Cyber Defence is built around four pillars that cover a wide range of initiatives that will help the EU and Member States:   サイバー防衛に関するEU政策は、EUと加盟国を支援する幅広い取り組みを網羅する4つの柱を中心に構築されている。  
Act together for a stronger EU cyber defence: The EU will reinforce its coordination mechanisms among national and EU cyber defence players, to increase information exchange and cooperation between military and civilian cybersecurity communities, and further support military CSDP missions and operations.   EUのサイバー防衛を強化するために共に行動する:EUは、各国およびEUのサイバー防衛関係者間の調整メカニズムを強化し、軍民のサイバーセキュリティ・コミュニティ間の情報交換と協力を強化し、軍のCSDPミッションと作戦をさらに支援する。  
Secure the EU defence ecosystem: Even non-critical software components can be used to carry out cyber-attacks on companies or governments, including in the defence sector. This calls for further work on cybersecurity standardisation and certification to secure both military and civilian domains.   EUの防衛エコシステムを安全にする:防衛分野を含め、企業や政府に対するサイバー攻撃は、重要でないソフトウェア・コンポーネントでさえも利用される可能性がある。このため、軍事・民間の両領域を保護するためのサイバーセキュリティの標準化と認証に関するさらなる取り組みが必要である。  
Invest in cyber defence capabilities: Member States need to significantly increase investments in modern military cyber defence capabilities in a collaborative manner, using the cooperation platforms and funding mechanisms available at the EU level, such as PESCO, the European Defence Fund, as well as Horizon Europe and the Digital Europe Programme. サイバー防衛能力への投資:加盟国は、PESCO、欧州防衛基金、ホライゾン欧州、デジタル欧州プログラムなど、EUレベルで利用可能な協力プラットフォームや資金調達メカニズムを利用して、現代的な軍事サイバー防衛能力への投資を協力的に大幅に増加させる必要がある。
Partner to address common challenges: Building on existing security and defence as well as cyber dialogues with partner countries, the EU will seek to set up tailored partnerships in the area of cyber defence.   共通の課題に取り組むために協力する:EUは、パートナー国との既存の安全保障・防衛・サイバー対話に基づき、サイバー防衛の分野で独自のパートナーシップを構築することを目指す。  
Next steps  次のステップ 
The Commission and the High Representative, including in his capacity as Head of the European Defence Agency (EDA), will present an annual report to the Council of the EU to monitor and assess the progress of the implementation of the actions in the Joint Communication on the EU Policy on Cyber Defence. Member States are encouraged to contribute with their inputs on the progress of the implementation measures taking place in national or in cooperation formats. An implementation plan could be set up in cooperation with Member States. 欧州委員会と上級代表は、欧州防衛機関(EDA)長官としての立場を含め、サイバー防衛に関するEU政策についての共同声明における行動の実施状況を監視・評価するために、EU理事会に年次報告書を提出する予定である。加盟国は、国内または協力体制で行われている実施措置の進捗状況について、インプットを提供することが奨励される。加盟国との協力のもと、実施計画を策定することも可能である。
Background 背景
The 2020 EU Cybersecurity Strategy highlighted the need for a review of the EU's cyber defence policy framework. Furthermore, President von der Leyen called for the development of a European Cyber Defence Policy in her 2021 State of the Union address. This is also an ambition of the Strategic Compass for Security and Defence approved by the Council in March this year. In May, in the Council conclusions on the development of the European Union's cyber posture, Member States invited the High Representative together with the Commission to table an ambitious proposal for an EU Cyber Defence Policy in 2022.  2020年のEUサイバーセキュリティ戦略では、EUのサイバー防衛政策の枠組みを見直す必要性が強調された。さらに、フォン・デル・ライエン大統領は、2021年の一般教書演説において、欧州サイバー防衛政策の策定を呼びかけた。これは、今年3月に理事会で承認された「安全保障と防衛のための戦略的羅針盤」の野心でもある。5月、EUのサイバー態勢の整備に関する理事会結論において、加盟国は欧州委員会とともに上級代表に対し、2022年にEUサイバー防衛政策の野心的な提案を提出するよう要請した。 
Together with the Security and Defence package, the Commission is also publishing today the first progress report on the Action Plan on synergies between civil, defence, and space industries, available here 欧州委員会は、安全保障・防衛パッケージとともに、民間、防衛、宇宙産業間の相乗効果に関する行動計画に関する最初の進捗報告書も本日発表している。 
For More Information  詳しくはこちら 
Joint Communication on the EU Policy on Cyber Defence サイバー防衛に関するEU政策についての共同声明
Question and Answers on the EU Policy on Cyber Defence EUのサイバー防衛政策に関する質問と回答
Factsheet on the EU Policy on Cyber Defence EUのサイバー防衛政策に関するファクトシート
EU's Cybersecurity Strategy for the Digital Decade  デジタル化の10年に向けたEUのサイバーセキュリティ戦略 
Factsheet on the new EU Cybersecurity Strategy  新EUサイバーセキュリティ戦略に関するファクトシート 
2021 State of the Union address  2021年の一般教書演説 
Strategic Compass for Security and Defence  安全保障と防衛のための戦略的コンパス 
Council conclusions on the development of the European Union's cyber posture  EUのサイバー態勢の整備に関する理事会結論 
Joint Communication on defence investment gaps  防衛投資のギャップに関する共同コミュニケーション 
Proposal for a Cyber Resilience Act  サイバーレジリエンス法の提案 
Factsheet on Cybersecurity: EU External Action  サイバーセキュリティに関するファクトシート EUの対外行動 
Cyber defence activities of the European Defence Agency   欧州防衛庁のサイバー防衛活動  
European Security Union  欧州安全保障連合 
More on Cybersecurity  サイバーセキュリティの詳細 
More on the NIS Directive NIS指令の詳細
Quote(s) 引用
The EU Policy on Cyber Defence shows that by bringing our civilian and military instruments together we can make a stronger impact against cyber threats. サイバー防衛に関するEU政策は、文民と軍人が共に力を合わせることで、サイバー脅威に対してより強い影響を与えることができることを示している。
Margrethe Vestager, Executive Vice-President for a Europe Fit for the Digital Age - 「デジタル時代に適した欧州」マルグレーテ・ヴェスタガー担当上級副総裁

 

声明...

・[PDF] JOINT COMMUNICATION TO THE EUROPEAN PARLIAMENT AND THE COUNCIL - EU Policy on Cyber Defence -

20221116-15441

・[DOCX] 仮訳

 

目次...

I. INTRODUCTION I. イントロダクション
II. EU CYBER DEFENCE TO PROTECT, DETECT, DETER AND DEFEND AGAINST CYBERATTACKS II. サイバー攻撃を保護、検知、抑止、防御するための EU のサイバー防衛
1. Act together for a stronger cyber defence 1. より強固なサイバー防衛のために共に行動する
1.1 Strengthening common situational awareness and coordination within defence community 1.1. 防衛省コミュニティにおける共通の状況認識と調整の強化
1.2 Enhancing coordination with civilian communities 1.2. 文民社会との連携強化
2. Secure the EU defence ecosystem 2. EU の防衛エコシステムを確保する
2.1. Enhancing the cyber resilience of the defence ecosystem 2.1. 防衛エコシステムのサイバー耐性を強化する
2.2. Ensure EU cyber defence interoperability and coherence of standards 2.2. EU のサイバー防衛の相互運用性と規格の一貫性を確保する
3. Invest in cyber defence capabilities 3. サイバー防衛能力への投資
3.1. Develop full-spectrum state-of-the-art cyber defence capabilities 3.1. フル・スペクトルの最先端サイバー防衛能力を開発する
3.2. Agile, competitive and innovative European defence industry 3.2. 機敏で競争力があり、革新的な欧州の防衛産業
3.3. EU cyber defence workforce 3.3. EU のサイバー防衛の労働力
4. Partner to address common challenges 4. 共通の課題に取り組むためのパートナー
4.1. Cooperation with NATO 4.1. NATOとの協力関係
4.2. Cooperation with like-minded partners 4.2. 志を同じくするパートナーとの協力関係
4.3. Cyber defence capacity building support for partner countries 4.3. パートナー国に対するサイバー防衛能力構築支援
III. CONCLUSION III.結論

 

EUのサイバー防衛政策に関する質問と回答...

Questions and Answers: The EU Policy on Cyber Defence

Questions and Answers: The EU Policy on Cyber Defence 質問と回答:サイバー防衛に関するEUの政策
Why is the EU policy on cyber defence needed?  なぜ、EUのサイバー防衛政策が必要なのか? 
The cyber domain is increasingly contested and the number of cyber-attacks against the EU and its Member States continues to grow. The Russian attack on the KA-SAT satellite network which disrupted communication across several public authorities as well as the Ukrainian armed forces is an example of how much civilian and defence players rely on the same critical infrastructure. This reinforces the need to secure such critical infrastructure.   サイバー領域はますます競争が激しくなっており、EUとその加盟国に対するサイバー攻撃は増え続けている。 ロシアがKA-SAT衛星ネットワークを攻撃し、複数の公的機関やウクライナ軍の通信を妨害したことは、民生と防衛のプレーヤーがいかに同じ重要インフラに依存しているかを示す一例である。このことは、このような重要なインフラを安全に保護する必要性をより強く示している。  
To protect its armed forces, citizens, as well as the EU's civilian and military crisis management missions and operations, the EU needs to boost cooperation and investments in cyber defence to enhance its ability to prevent, detect, deter, recover, and defend against cyber-attacks.   自国の軍隊、市民、そしてEUの文民・軍事危機管理ミッションと活動を守るために、EUはサイバー防衛における協力と投資を強化し、サイバー攻撃の予防、検知、抑止、回復、防御の能力を高める必要がある。 
The need for a review of the EU's cyber defence policy framework was noted in the 2020 EU Cybersecurity Strategy. Furthermore, President von der Leyen called for the development of a European Cyber Defence Policy in her 2021 State of the Union address. The Strategic Compass for Security and Defence approved by the Council in March this year called for an EU Cyber Defence Policy by 2022. In May, in the Council conclusions on the development of the European Union's cyber posture, Member States invited the High Representative together with the Commission to table an ambitious proposal for an EU Cyber Defence Policy in 2022.  EUのサイバー防衛政策の枠組みを見直す必要性は、「2020年EUサイバーセキュリティ戦略」でも指摘されている。さらに、フォン・デア・ライエン大統領は、2021年の一般教書演説で欧州サイバー防衛政策の策定を呼びかけた。今年3月に理事会で承認された「安全保障と防衛のための戦略的羅針盤」では、2022年までにEUサイバー防衛政策を策定することが求められていた。5月には、EUのサイバー態勢の整備に関する理事会結論で、加盟国は欧州委員会とともに上級代表に対し、2022年にEUサイバー防衛政策の野心的な提案を提出するよう求めている。 
What does the EU Policy on Cyber Defence set out to do?  EUのサイバー防衛政策は何を目指しているのか? 
The EU Policy on Cyber Defence is built around four pillars that cover a wide range of initiatives that will help the EU and Member States to be better able to detect, deter and defend against cyber-attacks. Better and stronger cooperation between the military and civilian actors is the common thread running across all these pillars:  EUのサイバー防衛政策は、EUと加盟国がサイバー攻撃を検知、抑止、防御する能力を向上させるための幅広い取り組みを網羅する4つの柱を中心に構築されている。軍と民間の関係者間のより良い、より強い協力関係が、これらすべての柱に共通するものである。 
ACT TOGETHER FOR A STRONGER EU CYBER DEFENCE  より強力なEUのサイバー防衛のために協力する 
The EU will reinforce its coordination mechanisms among national and EU cyber defence players, to increase information exchange and cooperation, and further support military Common Security and Defence Policy (CSDP) missions and operations. To this effect, the EU will:   EUは、各国およびEUのサイバー防衛関係者間の調整メカニズムを強化し、情報交換と協力を強化し、共通安全保障・防衛政策(CSDP)のミッションと作戦をさらに支援する。この目的のために、EUは以下を行う。 
1. create an EU Cyber Defence Coordination Centre (EUCDCC) to support enhanced situational awareness within the defence community;  1. EUサイバー防衛調整センター(EUCDCC)を設立し、防衛コミュニティ内の状況認識の強化。 
2. set up an operational network for milCERTs (Military Computer Emergency Response Teams);  2. 軍用コンピュータ緊急対応チーム(milCERT)の運用ネットワークの構築。 
3. develop and strengthen the EU Cyber Commanders Conference;  3. EUサイバー司令官会議の発展・強化。 
4. develop a new framework project CyDef-X to support EU cyber defence exercises; 4. EUのサイバー防衛演習を支援するための新しい枠組みプロジェクトCyDef-Xの開発。
5. further develop information exchange between the cyber defence community and the other cyber communities; 5. サイバー防衛コミュニティと他のサイバーコミュニティとの間の情報交換をさらなる発展。
6. strengthen common EU detection, situational awareness, and response capabilities through the EU civilian infrastructure of Security Operation Centres (SOCs); 6. EUの民間インフラであるセキュリティ・オペレーション・センター(SOC)を通じた、EU共通の探知、状況認識、対応能力の強化。
7. establish a mechanism to gradually build an EU-level cyber reserve with services from trusted private providers.  7. 信頼できる民間プロバイダーのサービスにより、EUレベルのサイバー予備軍を徐々に構築するためのメカニズムの確立。 
SECURE THE DEFENCE ECOSYSTEM  防衛エコシステムの保護 
Even non-critical software components can be used to carry out cyber-attacks on companies or governments, including in the defence sector. This calls for further work on cybersecurity standardisation and certification to secure both military and civilian domains. To this effect, the EU will:  防衛分野を含め、企業や政府に対するサイバー攻撃は、重要でないソフトウェア・コンポーネントでさえも利用される可能性がある。このため、軍事・民間の両領域を保護するためのサイバーセキュリティの標準化と認証に関するさらなる取り組みが必要である。この目的のために、EUは以下のことを行う。 
1. provide a platform to support Member States in the development of non-legally binding recommendations for the defence community;  1. 法的拘束力のない防衛関連勧告の策定において、加盟国を支援するためのプラットフォームを提供する。 
2. develop recommendations on EU cyber defence interoperability requirements;  2. EUのサイバー防衛相互運用性要件に関する勧告を策定する。 
3. develop risk scenarios for critical infrastructure of importance to military communication and mobility to target preparedness actions including through penetration testing;  3. 軍事通信および機動性にとって重要なインフラのリスクシナリオを開発し、侵入テストを含む準備行動の目標とする。 
4. foster cooperation between civilian and military standardisation bodies for the development of harmonised standards for dual-use products.  4. デュアルユース製品の調和された規格を開発するために、民生用と軍事用の標準化団体間の協力を促進する。 
INVEST IN CYBER DEFENCE CAPABILITIES  サイバー防衛能力への投資 
Member States need to significantly increase investments in modern military cyber defence capabilities in a collaborative manner, using the cooperation platforms and funding mechanisms available at the EU level, such as PESCO and the European Defence Fund. To address these challenges, the EU will:   加盟国は、PESCOや欧州防衛基金といったEUレベルで利用可能な協力プラットフォームや資金調達メカニズムを活用し、現代的な軍事サイバー防衛能力への投資を協力的に大幅に増やす必要がある。これらの課題に対処するために、EUは以下を行う。  
1. update priorities for cyber defence capability development and further support Member States in developing their cyber defence capabilities in cooperation; 1. サイバー防衛能力開発に関する優先順位を更新し、加盟国が協力してサイバー防衛能力を開発することをさらに支援する。
2. develop an EU cyber technology roadmap to reduce dependencies on critical technologies using all EU instruments;   2. EUのあらゆる手段を用いて、重要技術への依存度を低減するためのEUサイバー技術ロードマップを作成する。 
3. develop Emerging Disruptive Technologies (EDTs) Strategic Assessment to support long-term strategic investment decisions of Member States;   3. 加盟国の長期的戦略的投資決定を支援するための新興破壊的技術(EDTs)戦略的評価の策定。 
4. explore with Member States the possibility to develop a set of voluntary commitments for the development of national cyber defence capabilities;  4. 加盟国とともに、国家のサイバー防衛能力開発のための一連の自発的コミットメントを策定する可能性を探る。 
5. develop EU cyber defence training and exercises, including through the ESDC Cyber Education, Training, Exercises and Evaluation (ETEE) platform;  5. ESDCのサイバー教育・訓練・演習・評価(ETEE)プラットフォームを含む、EUのサイバー防衛訓練・演習を発展させる。 
6. establish an EU Cyber Skills Academy, considering needs for specific skills for different professional profiles and sectors of activity, including in the defence workforce.  6. EUサイバー・スキル・アカデミーを設立し、防衛職を含む様々な専門職や活動分野に対する特定のスキルのニーズを検討する。 
PARTNER TO ADDRESS COMMON CHALLENGES  共通の課題に取り組むためのパートナー 
Building on existing security and defence as well as cyber dialogues with partner countries, the EU will seek to establish tailored partnerships in the area of cyber defence. In this regard, the EU will:  EUは、パートナー国との既存の安全保障・防衛およびサイバー対話に基づき、サイバー防衛の分野において、それぞれに適したパートナーシップを構築することを模索する。この点に関して、EUは以下のことを行う。 
1. strengthen EU-NATO cooperation in the field of cyber-defence training, exercises, education, situational awareness, standardisation and certification;  1. サイバー防衛の訓練、演習、教育、状況認識、標準化、認証の分野におけるEUとNATOの協力関係を強化する。 
2. include cyber defence in EU-led cyber as well as security and defence dialogues with key partners;  2. EUが主導するサイバーおよび主要なパートナーとの安全保障・防衛に関する対話に、サイバー防衛を含める。 
3. support partners in cyber defence capacity building, including through the European Peace Facility (EPF).  3. 欧州平和ファシリティ(EPF)を含め、サイバー防衛の能力構築においてパートナーを支援すること。 
What has been done since the second Cyber Defence Policy Framework was launched in 2018?  2018年に第2次サイバー防衛政策フレームワークが開始されて以来、何が行われたのか? 
The Joint Communication builds on the Cyber Defence Policy Framework (CDPF) established in 2014 and updated in 2018, as well as the 2020 Cybersecurity Strategy. They have allowed to prepare the ground for many actions proposed in this policy.  共同声明は、2014年に策定され2018年に更新されたサイバー防衛政策フレームワーク(CDPF)、および2020年サイバーセキュリティ戦略の上に構築されている。それらにより、本政策で提案されている多くのアクションのための基盤を整えることができた。 
In the framework of the Cyber Defence Policy Framework, progress has been achieved in all the six priority areas: supporting the development of Member States' cyber defence capabilities, enhancing the protection of the Common Security and Defence Policy (CSDP) communication and information systems used by EU entities, promotion of civil-military cooperation, development of research and technology, improving education, training, and exercises opportunities and in enhancing cooperation with relevant international partners. サイバー防衛政策枠組みの枠組みでは、加盟国のサイバー防衛能力の開発支援、EUの事業体が使用する共通安全保障・防衛政策(CSDP)の通信・情報システムの保護強化、民軍協力の推進、研究・技術の開発、教育・訓練・演習の機会の改善、関連国際パートナーとの協力強化の6つの優先分野すべてにおいて進捗があった。

 

ファクトシート...

・[PDF] THE EU POLICY ON CYBER DEFENCE 

20221116-22204

 

| | Comments (0)

2022.11.15

経済産業省 意見募集 特定デジタルプラットフォームの透明性及び公正性についての評価(案)

こんにちは、丸山満彦です。

経済産業省が、「特定デジタルプラットフォームの透明性及び公正性についての評価」(案)についての意見募集が行われていますね・・・

 

● 経済産業省

・2022.11.11 特定デジタルプラットフォームの透明性及び公正性についての評価(案)への御意見を募集します

● e-Gov

・2022.11.11 特定デジタルプラットフォームの透明性及び公正性の向上に関する法律に基づく特定デジタルプラットフォームに対する経済産業省大臣による評価(案)に対する意見公募について

 

意見募集...

20221115-155544

 

関連資料...

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.10.17 G7 デジタル分野における独占禁止法執行について議論 (2022.10.12)

 

日本関係...

・2022.09.25 経済産業省 デジタルプラットフォームの透明性・公正性に関するモニタリング会合

・2022.09.04 総務省 ICT を取り巻く市場環境の動向に関する調査研究の請負報告書

・2022.08.07 デジタル市場競争会議 ワーキンググループ 第38回 「モバイル・エコシステムに関する競争評価 中間報告」及び「新たな顧客接点(ボイスアシスタント及びウェアラブル)に関する競争評価 中間報告」に関する意見募集に寄せられた御意見等

・2022.05.04 日本銀行 経済的視点からみた個人情報の利活用 ―デジタルプラットフォーマーと決済サービスー

 

欧州 デジタルサービス法、デジタル市場法関係

・2022.09.23 ⽇欧産業協⼒センター 欧州デジタル政策 (Vol.1-3)

・2022.07.20 欧州理事会 欧州連合理事会 デジタル市場法 (DMA) 案を採択

・2022.07.11 欧州議会 デジタルサービス法 (DSA) デジタル市場法 (DMA) が可決 (2022.07.05)

・2022.03.26 欧州理事会 欧州連合理事会 デジタル市場法(DMA)が理事会・欧州議会で合意されたようですね。。。

・2020.12.16 欧州委員会 デジタルプラットフォーマを規制するためのデジタルサービス法とデジタル市場法の最終提案を公表

 

 

| | Comments (0)

米国 中国 G20関係 ジョー・バイデン大統領と中華人民共和国の習近平国家主席との会談

こんにちは、丸山満彦です。

G20が本日から始まりますが、その前に色々とリーダー間のミーティングが行われていますね。。。今回はロシアの代表が来ていませんのが、残念ですね。。。

ただ、開催前日に行われた、バイデン大統領と習近平国家主席の会談後の両者の笑顔の写真に少し安堵(もちろん演出かもしれませんが...)しました。。。

報道スタイルの違いも興味深いですよね。。。言ったままの米国、周到に準備した文面、、、日本はどっちに近い???

 

まずは、米国側から...

The White House

・2022.11.14 Readout of President Joe Biden’s Meeting with President Xi Jinping of the People’s Republic of China

Readout of President Joe Biden’s Meeting with President Xi Jinping of the People’s Republic of China ジョー・バイデン大統領と中華人民共和国・習近平国家主席との会談の読み上げ
President Joseph R. Biden, Jr. met on November 14 with President Xi Jinping of the People’s Republic of China (PRC), in Bali, Indonesia. The two leaders spoke candidly about their respective priorities and intentions across a range of issues. President Biden explained that the United States will continue to compete vigorously with the PRC, including by investing in sources of strength at home and aligning efforts with allies and partners around the world. He reiterated that this competition should not veer into conflict and underscored that the United States and China must manage the competition responsibly and maintain open lines of communication. The two leaders discussed the importance of developing principles that would advance these goals and tasked their teams to discuss them further.  バイデン大統領は11月14日、インドネシアのバリ島で、中華人民共和国の習近平国家主席と会談した。 両首脳は、さまざまな問題について、それぞれの優先順位と意図について率直に語り合った。 バイデン大統領は、米国は自国の強さの源泉に投資し、世界中の同盟国やパートナーと力を合わせるなどして、中国と精力的に競争を続けていくと説明した。バイデン大統領は、この競争が紛争に発展してはならないと繰り返し述べ、米国と中国が責任を持ってこの競争を管理し、開かれたコミュニケーションラインを維持しなければならないことを強調した。 両首脳は、これらの目標を推進するための原則を策定することの重要性について議論し、両チームにさらに議論を進めるよう命じた。 
President Biden underscored that the United States and China must work together to address transnational challenges – such as climate change, global macroeconomic stability including debt relief, health security, and global food security – because that is what the international community expects. The two leaders agreed to empower key senior officials to maintain communication and deepen constructive efforts on these and other issues. They welcomed ongoing efforts to address specific issues in U.S.-China bilateral relations, and encouraged further progress in these existing mechanisms, including through joint working groups. They also noted the importance of ties between the people of the United States and the PRC. バイデン大統領は、米国と中国が、気候変動、債務救済を含む世界のマクロ経済の安定、健康の安全保障、世界の食料安全保障などの国境を越える課題に協力して取り組む必要があり、それは国際社会が期待していることだからであると強調した。 両首脳は、これらの問題及びその他の問題についてのコミュニケーションを維持し、建設的な努力を深めるために、主要な高官に権限を与えることに合意した。 両首脳は、米中二国間関係における特定の問題に対処するための継続的な努力を歓迎し、共同作業グループを含むこれらの既存のメカニズムにおける更なる進捗を奨励した。 また、米国と中国の国民の間の絆の重要性についても言及した。
President Biden raised concerns about PRC practices in Xinjiang, Tibet, and Hong Kong, and human rights more broadly. On Taiwan, he laid out in detail that our one China policy has not changed, the United States opposes any unilateral changes to the status quo by either side, and the world has an interest in the maintenance of peace and stability in the Taiwan Strait. He raised U.S. objections to the PRC’s coercive and increasingly aggressive actions toward Taiwan, which undermine peace and stability across the Taiwan Strait and in the broader region, and jeopardize global prosperity. President Biden also raised ongoing concerns about China’s non-market economic practices, which harm American workers and families, and workers and families around the world. He again underscored that it is a priority for us to resolve the cases of American citizens who are wrongfully detained or subject to exit bans in China バイデン大統領は、新疆ウイグル自治区、チベット、香港における中国の慣行や、より広範な人権について懸念を表明した。 台湾については、我々の一つの中国政策は変わっていないこと、米国はどちらか一方による一方的な現状変更に反対していること、世界は台湾海峡の平和と安定の維持に関心を持っていることなどを詳しく説明した。 また、中国が台湾に対して強圧的でますます攻撃的な行動をとっており、それが台湾海峡とより広い地域の平和と安定を損ない、世界の繁栄を危うくしていることに米国が異議を唱えた。 バイデン大統領はまた、中国の非市場的な経済慣行について、米国の労働者と家族、そして世界中の労働者と家族に害を与えているという継続的な懸念を表明した。 彼は、中国で不当に拘束されたり、出国禁止措置の対象となっている米国人のケースを解決することが、我々の優先事項であることを再度強調した。
The two leaders exchanged views on key regional and global challenges. President Biden raised Russia’s brutal war against Ukraine and Russia’s irresponsible threats of nuclear use. President Biden and President Xi reiterated their agreement that a nuclear war should never be fought and can never be won and underscored their opposition to the use or threat of use of nuclear weapons in Ukraine. President Biden also raised concerns about the DPRK’s provocative behavior, noted all members of the international community have an interest in encouraging the DPRK to act responsibly, and underscored the United States’ ironclad commitment to defending our Indo-Pacific Allies. 両首脳は、地域的・世界的な主要課題について意見交換を行った。 バイデン大統領は、ロシアのウクライナに対する残虐な戦争と、ロシアの無責任な核使用の威嚇を提起した。 バイデン大統領と習主席は、核戦争は決して起こしてはならず、決して勝つことはできないという点で一致したことを改めて表明し、ウクライナにおける核兵器の使用や使用の威嚇に反対することを強調した。 バイデン大統領はまた、DPRKの挑発的な行動について懸念を示し、国際社会のすべてのメンバーがDPRKに責任ある行動を促すことに関心を持っていると指摘し、インド太平洋地域の同盟国を防衛するという米国の鉄壁のコミットメントを強調した。
The two leaders agreed that Secretary of State Blinken will visit China to follow up on their discussions. 両首脳は、ブリンケン国務長官が中国を訪問し、議論のフォローアップを行うことで合意した。

 

・2022.11.14 Remarks by President Biden and President Xi Jinping of the People’s Republic of China Before Bilateral Meeting

Remarks by President Biden and President Xi Jinping of the People’s Republic of China Before Bilateral Meeting バイデン大統領と習近平国家主席による二国間会談前の挨拶
Mulia Hotel ムリアホテル
Bali, Indonesia インドネシア・バリ島
5:41 P.M. WITA 5:41 P.M. WITA
PRESIDENT BIDEN: Well, President Xi, it’s — I’m really glad to be able to see you again in person. We spent a lot of time together and — back in the days when we were both vice presidents, and it’s just great to see you. バイデン大統領:さて、習主席、それは - 私は直接あなたに再び会うことができることを本当に嬉しく思います。私たちは副大統領だったころ、多くの時間を一緒に過ごしてきました。
And you and I have had a number of candid and useful conversations over the years and since I became President as well. You were kind enough to call me to congratulate me, and I congratulate you as well. And I believe there’s little substitute, though, for — to face-to-face discussions. そしてあなたと私は、長年にわたって、そして私が大統領になってからも、率直で有益な会話を何度もしてきました。あなたは親切にも私にお祝いの電話をくれましたが、私もあなたをお祝いします。しかし、私は、直接会っての話し合いに代わるものはほとんどないと思っています。
And as you know, I’m committed to keeping the lines of communications open between you and me personally but our governments across the board, because our two countries are — have so much that we have an opportunity to deal with. ご存知のように、私はあなたと私個人、そして政府間のコミュニケーションラインを常にオープンにしておくことに全力を注いでいます。
As the leaders of our two nations, we share a responsibility, in my view, to show that China and the United States can manage our differences, prevent competition from becoming anything ever near conflict, and to find ways to work together on urgent global issues that require our mutual cooperation. 両国の指導者として、私たちは中国と米国が互いの相違を管理できることを示し、競争が対立に近いものになるのを防ぎ、相互協力を必要とする緊急のグローバルな問題で協力する方法を見出す責任を共有していると私は考えています。
And I believe this is critical for the sake of our two countries and the international community. This — this was a key to the theme of the COP27 meeting, where I spoke on Friday. And we’ll be discussing a lot of these challenges together, I hope, in the next couple hours. そして、これは両国と国際社会のために非常に重要なことだと私は考えています。これは - 金曜日に私が講演したCOP27の会議のテーマでも重要なポイントでした。そして、私たちはこれから数時間のうちに、こうした課題の多くを共に議論していきたいと思います。
And the world expects, I believe, China and the United States to play key roles in addressing global challenges, from climate changes, to food insecurity, and to — for us to be able to work together. そして、世界は、中国と米国が、気候変動から食料不安まで、世界的な課題に取り組む上で重要な役割を果たすことを期待している、と私は信じています。
The United States stands ready to do just that — work with you — if that’s what you desire. 米国は、あなたが望むのであれば、あなたとともに行動する用意があります。
So, President Xi, I look forward to our continuing and ongoing open and honest dialogue we’ve always had. And I thank you for the opportunity. 習近平国家主席、私は、これまで通りオープンで正直な対話を続けることを楽しみにしている。そして、この機会に感謝します。
PRESIDENT XI: (As interpreted.) Mr. President, it’s good to see you. The last time we met was in 2017, during the World Economic Forum in Davos. That was already more than five years ago. 習主席:(通訳)主席、お会いできてうれしいです。前回お会いしたのは2017年、ダボスでの世界経済フォーラムの時でした。すでに5年以上前のことです。
Since you assumed the presidency, we have maintained communication via video conferences, phone calls, and letters. But none of them can really substitute for face-to-face exchanges. And today, we finally have this face-to-face meeting. あなたが大統領に就任して以来、私たちはテレビ会議、電話、手紙などでコミュニケーションを維持してきました。しかし、どれも対面での交流に代わるものではありません。そして今日、私たちはついに対面することができました。
From the initial contact and the establishment of diplomatic relations to today, China and the United States have gone through 50-plus eventful years. We have gained experience, and we’ve also learned lessons. 最初の接触、国交樹立から今日まで、中国と米国は50年余の波乱に満ちた歳月を過ごしてきた。私たちは経験を積み、また教訓を学んできました。
History is the best textbook, so we should take history as a mirror and let it guide the future. 歴史は最高の教科書であり、我々は歴史を鏡として捉え、未来を導くべきものです。
Currently, the China-U.S. relationship is in such a situation that we all care a lot about it, because this is not the fundamental interests of our two countries and peoples and it is not what the international community expects us. 現在、中米関係は、私たち全員が大いに気にするような状況にあります。なぜなら、これは両国と人民の根本的な利益ではなく、国際社会が私たちに期待しているものでもないからです。
As leaders of the two major countries, we need to chart the right course for the China-U.S. relationship. We need to find the right direction for the bilateral relationship going forward and elevate the relationship. 2つの主要国の指導者として、私たちは中米関係の正しい道筋を描く必要があります。私たちは、今後の二国間関係の正しい方向性を見出し、関係を高めていく必要があります。
A statesman should think about and know where to lead his country. He should also think about and know how to get along with other countries and the wider world. 政治家は自分の国をどこに導くべきかを考え、知るべきです。また、他の国や広い世界とどのように付き合っていくかを考え、知るべきでしょう。
Well, in this time and age, great changes are unfolding in ways like never before. Humanity are confronted with unprecedented challenges. The world has come to a crossroads. Where to go from here — this is a question that is not only on our mind but also on the mind of all countries. さて、この時代には、かつてないほどの大きな変化が起きています。人類は前例のない課題に直面しています。世界は岐路に立たされているのです。これからどこへ行くのか-これは私たちだけでなく、すべての国が考えている問題です。
The world expects that China and the United States will properly handle the relationship. And for our meeting, it has attracted the world’s attention. 世界は、中国と米国が関係を適切に処理することを期待している。そして、私たちの会談についても、世界の注目を集めています。
So, we need to work with all countries to bring more hope to world peace, greater confidence in global stability, and stronger impetus to common development. ですから、私たちはすべての国々と協力し、世界平和にさらなる希望を、世界の安定にさらなる信頼を、そして共通の発展にさらなる推進力をもたらす必要があります。
In our meeting today, I’m ready to have a candid — as we always did — have a candid and in-depth exchange of views with you on issues of strategic importance in China-U.S. relations and on major global and regional issues. 本日の会談では、中米関係における戦略的に重要な問題や、世界や地域の主要な問題について、いつもそうであったように、率直で深い意見交換をする用意があります。
I look forward to working with you, Mr. President, to bring China-U.S. relations back to the track of healthy and stable growth to the benefit of our two countries and the world as a whole. 私は、中米関係を健全で安定した成長の軌道に戻し、両国と世界全体に利益をもたらすために、大統領と一緒に働くことを楽しみにしています。
Thank you. ありがとうございました。
5:47 P.M. WITA 5:47 P.M. WITA

 

 

・2022.11.10 Statement by White House Press Secretary Karine Jean-Pierre on the Meeting Between President Joe Biden and President Xi Jinping of the People’s Republic of China

Statement by White House Press Secretary Karine Jean-Pierre on the Meeting Between President Joe Biden and President Xi Jinping of the People’s Republic of China ジョー・バイデン大統領と習近平国家主席の会談に関するホワイトハウスのカリーヌ・ジャン=ピエール報道官の声明
President Biden will meet with President Xi Jinping of the People’s Republic of China (PRC) in Bali, Indonesia on November 14, 2022. The Leaders will discuss efforts to maintain and deepen lines of communication between the United States and the PRC, responsibly manage competition, and work together where our interests align, especially on transnational challenges that affect the international community. The two Leaders will also discuss a range of regional and global issues. バイデン大統領は、2022年11月14日にインドネシアのバリ島で、中華人民共和国の習近平国家主席と会談する予定。両首脳は、米国と中国の間のコミュニケーションラインを維持・深化させ、責任を持って競争を管理し、特に国際社会に影響を与える国境を越えた課題について、我々の利益が一致するところで協力するための努力について議論する予定である。両首脳はまた、様々な地域的及び世界的課題について議論する。

 

 

次に、中国側から...

中华人民共和国中央人民政府

・2022.11.14 近平同美国总统拜登在巴厘岛举行会晤

习近平同美国总统拜登在巴厘岛举行会晤 習近平とジョー・バイデン米大統領がバリ島で会談
当地时间2022年11月14日下午,国家主席习近平在印度尼西亚巴厘岛同美国总统拜登举行会晤。两国元首就中美关系中的战略性问题以及重大全球和地区问题坦诚深入交换了看法。 習近平国家主席は2022年11月14日午後、インドネシアのバリ島で米国のジョー・バイデン大統領と会談した。 両首脳は、中米関係における戦略的問題や、世界や地域の主要な問題について、率直かつ深い意見交換を行った。
习近平指出,当前中美关系面临的局面不符合两国和两国人民根本利益,也不符合国际社会期待。中美双方需要本着对历史、对世界、对人民负责的态度,探讨新时期两国正确相处之道,找到两国关系发展的正确方向,推动中美关系重回健康稳定发展轨道,造福两国,惠及世界。 習近平は、米中関係が直面している現在の状況は、両国と人民の根本的な利益に合致しておらず、国際社会の期待にも合致していないと指摘した。 中国と米国は、両国が新しい時代に歴史、世界、人々に対して責任ある態度で付き合うための正しい道を探り、両国関係の発展の正しい方向を見出し、両国と世界の利益のために中米関係が健全で安定した発展軌道に戻ることを促進する必要がある。
习近平介绍了中国共产党第二十次全国代表大会主要情况和重要成果,指出,中国党和政府的内外政策公开透明,战略意图光明磊落,保持高度连续性和稳定性。我们以中国式现代化全面推进中华民族伟大复兴,继续把实现人民对美好生活的向往作为出发点,坚定不移把改革开放进行下去,推动建设开放型世界经济。中国继续坚定奉行独立自主的和平外交政策,始终根据事情本身的是非曲直决定自己的立场和态度,倡导对话协商、和平解决争端,深化和拓展全球伙伴关系,维护以联合国为核心的国际体系和以国际法为基础的国际秩序,推动构建人类命运共同体。中国将坚持和平发展、开放发展、共赢发展,做全球发展的参与者、推动者,同各国一起实现共同发展。 習近平氏は、中国共産党第20回全国代表大会の主な状況と重要な成果を紹介し、中国の党と政府の内外の政策は開放的で透明性があり、明るく明確な戦略的意図を持ち、高度な連続性と安定性を保っていると指摘した。 私たちは、中国式の近代化によって中華民族の偉大な若返りを全面的に推進し、より良い生活を求める人々の願望の実現を引き続き原点とし、改革開放を揺るぎなく実行し、開かれた世界経済の構築を推進している。 中国は引き続き自主的かつ平和的な外交政策を堅持し、常に問題そのものの是非に基づいて立場と態度を決め、対話と協議、紛争の平和的解決を提唱し、グローバルなパートナーシップを深化・拡大し、国連を中心とした国際体制と国際法に基づく国際秩序を堅持し、人類運命共同体の構築を推進します。 中国は平和的発展、開放的発展、ウィンウィンの発展を堅持し、世界の発展の参加者、推進者となり、他国と協力して共通の発展を達成する。
习近平指出,世界正处于一个重大历史转折点,各国既需要面对前所未有的挑战,也应该抓住前所未有的机遇。我们应该从这个高度看待和处理中美关系。中美关系不应该是你输我赢、你兴我衰的零和博弈,中美各自取得成功对彼此是机遇而非挑战。宽广的地球完全容得下中美各自发展、共同繁荣。双方应该正确看待对方内外政策和战略意图,确立对话而非对抗、双赢而非零和的交往基调。我高度重视总统先生有关“四不一无意”的表态。中国从来不寻求改变现有国际秩序,不干涉美国内政,无意挑战和取代美国。双方应该坚持相互尊重、和平共处、合作共赢,共同确保中美关系沿着正确航向前行,不偏航、不失速,更不能相撞。遵守国际关系基本准则和中美三个联合公报,这是双方管控矛盾分歧、防止对抗冲突的关键,也是中美关系最重要的防护和安全网。 習近平は、世界は大きな歴史的転換期にあり、各国は前例のない課題に直面する必要があると同時に、前例のないチャンスをつかむべきであると指摘した。 この高みから中米関係を眺め、対処していくべきである。 中米関係は、あなたが負ければ私が勝つ、あなたが上がれば私が下がるというゼロサムゲームであってはならず、中米の成功は互いにとって挑戦ではなくチャンスなのである。 広い地球は、米国と中国の発展と共同繁栄を受け入れることができるのである。 双方は、互いの内外の政策と戦略的意図を正しく把握し、対立ではなく対話、ゼロサムではなくウィン・ウィンの関係を築くべきである。 私は、社長の「4つのNoと1つのNoの意図」についての発言を非常に重要視している。 中国は既存の国際秩序を変えようとしたことはなく、米国の内政に干渉することもなく、米国に挑戦したり、取って代わろうとする意図もない。 双方は相互尊重、平和共存、ウィンウィンの協力を堅持し、中米関係が衝突はおろか、あくびも速度も落とさず、正しい道を進むよう協力する必要がある。 国際関係の基本規範と3つの中米共同コミュニケを遵守することは、双方の矛盾と相違を管理し、対立と衝突を防止する鍵であり、中米関係の最も重要な保護と安全網である。
习近平系统阐述了台湾问题由来以及中方原则立场。习近平强调,台湾问题是中国核心利益中的核心,是中美关系政治基础中的基础,是中美关系第一条不可逾越的红线。解决台湾问题是中国人自己的事,是中国的内政。维护祖国统一和领土完整,是中国人民和中华民族的共同心愿。任何人想把台湾从中国分裂出去,都违背中国的民族大义,中国人民都绝不会答应!我们希望看到并始终致力于保持台海的和平稳定,但“台独”同台海和平稳定水火不容。希望美方言行一致,恪守一个中国政策和中美三个联合公报。总统先生多次讲过不支持“台独”,无意将台湾作为谋求对华竞争优势或遏制中国的工具。希望美方将总统先生的承诺落到实处。 習近平は、台湾問題の起源と中国の原則的な立場を体系的に詳しく説明した。 習近平は、台湾問題は中国の核心的利益の核心であり、中米関係の政治的基盤の基礎であり、中米関係における越えてはならない最初のレッドラインであると強調した。 台湾問題の解決は、中国人自身の問題であり、中国の内政問題である。 祖国の統一と領土保全を守ることは、中国人民と中華民族の共通の願いである。 台湾を中国から分割しようとする者は、中国の国是に反するものであり、中国人民は決してそれに同意しないでしょう 私たちは、台湾海峡の平和と安定の維持を望み、そのために尽力しているが、「台湾独立」は台湾海峡の平和と安定と相容れないものである。 我々は、米国が言動を一貫させ、一帯一路と3つの中米共同コミュニケを遵守することを希望する。 総統は、「台湾独立」を支持せず、台湾を中国に対する競争優位を求めたり、中国を封じ込めるための道具にするつもりはない、と繰り返し述べている。 米国側には、大統領のコミットメントを実践してほしい。
习近平指出,自由、民主、人权是人类的共同追求,也是中国共产党的一贯追求。美国有美国式民主,中国有中国式民主,都符合各自的国情。中国全过程人民民主基于中国国情和历史文化,体现人民意愿,我们同样感到自豪。任何国家的民主制度都不可能至善至美,都需要不断发展完善。对双方存在的具体分歧,可以进行探讨,前提是平等交流。所谓“民主对抗威权”不是当今世界的特点,更不符合时代发展的潮流。 習近平は、自由、民主、人権は人類共通の追求であり、中国共産党が一貫して追求しているものだと指摘した。 アメリカにはアメリカ型の民主主義、中国には中国型の民主主義があり、それぞれの国情に合った形で成り立っている。 私たちは、中国の人民民主化の全プロセスが中国の国情と歴史と文化に基づき、人民の意志を反映しているという事実を同様に誇りに思っている。 どの国の民主主義制度も完璧ではなく、常に発展と改善を必要とします。 両者の間に存在する具体的な相違点については、対等な意見交換の場であれば、議論することが可能である。 いわゆる「権威主義に対抗する民主主義」というのは、今の時代の特徴でもないし、時代の趨勢にもそぐわない。
习近平指出,美国搞的是资本主义,中国搞的是社会主义,双方走的是不同的路。这种不同不是今天才有的,今后还会继续存在。中国共产党领导和中国社会主义制度得到14亿人民拥护和支持,是中国发展和稳定的根本保障。中美相处很重要一条就是承认这种不同,尊重这种不同,而不是强求一律,试图去改变甚至颠覆对方的制度。美方应将有关承诺体现在具体行动上,而不是说一套做一套。 習近平は、米国は資本主義に、中国は社会主義に取り組んでおり、両者は異なる道を歩んでいると指摘した。 この差は現在だけでなく、今後も存在し続けるでしょう。 14億の人々に支持され、受け入れられている中国共産党の指導力と中国の社会主義体制は、中国の発展と安定を根本的に保障するものである。 中国と米国は、画一化を強要したり、相手の制度を変えたり、あるいは破壊しようとするのではなく、この違いを認め、尊重しながら、仲良くやっていくことが重要である。 米国側は、あることを言いながら別のことをするのではなく、関連するコミットメントを具体的な行動に移すべきである。
习近平强调,中美是两个历史文化、社会制度、发展道路不同的大国,过去和现在有差异和分歧,今后也还会有,但这不应成为中美关系发展的障碍。任何时候世界都有竞争,但竞争应该是相互借鉴、你追我赶,共同进步,而不是你输我赢、你死我活。中国有自强不息的光荣传统,一切打压和遏制只会激发中国人民的意志和热情。打贸易战、科技战,人为“筑墙设垒”,强推“脱钩断链”,完全违反市场经济原则,破坏国际贸易规则,只会损人不利己。我们反对把经贸科技交流政治化、武器化。当前形势下,中美两国共同利益不是减少了,而是更多了。中美不冲突、不对抗、和平共处,这是两国最基本的共同利益。中美两国经济深度融合,面临新的发展任务,需要从对方发展中获益,这也是共同利益。全球经济疫后复苏、应对气候变化、解决地区热点问题也离不开中美协调合作,这还是共同利益。双方应该相互尊重,互惠互利,着眼大局,为双方合作提供好的氛围和稳定的关系。 習近平は、中国と米国は歴史、文化、社会制度、発展の道筋が異なる2つの大国であり、これまでも相違や不一致があり、今後もあるが、それが中米関係の発展の障害になってはならない、と強調した。 世の中には常に競争があるが、その競争はお互いに学び合い、追いつき、共に進歩するものであるべきで、あなたが負けて私が勝ち、あなたが死ぬというものではないはずである。 中国には輝かしい自己改革の伝統があり、あらゆる抑圧や封じ込めは、中国国民の意志と熱意を呼び起こすだけだ。 貿易戦争や技術戦争を行い、人工的な壁や障壁を作り、「デカップリングと鎖の切断」を推し進めることは、市場経済の原理と国際貿易のルールに全く反しており、自らを損ない他者を傷つけるだけである。 私たちは、経済・貿易・科学交流の政治化・武器化に反対します。 現在の状況では、中国と米国の共通利益は減るどころか増えている。 中国と米国は、衝突せず、対立せず、平和的に共存することが、両国の最も基本的な共通利益である。 中国と米国は経済的に深く融合し、新たな発展課題に直面しており、互いの発展から利益を得る必要があり、それは共通の利益でもある。 疫病後の世界経済の回復、気候変動への対応、地域のホットスポット問題の解決も、やはり共通の利益である中米間の協調と協力と切り離せないものである。 双方は互いを尊重し、互いから利益を得、大局的に判断して、相互協力のための良い雰囲気と安定した関係を提供する必要がある。
拜登表示,我同习近平主席相识多年,保持着经常性沟通,但无论如何也代替不了面对面的会晤。祝贺你再次连任中共中央总书记。美中作为两个大国,有责任保持建设性关系。美方致力于保持两国元首以及政府各层级沟通渠道畅通,就双方存在分歧的问题开展坦诚对话,为应对气候变化、粮食安全等重要全球性挑战加强必要合作,发挥关键作用。这对美中两国和两国人民至关重要,对整个世界也十分重要。我愿重申,一个稳定和发展的中国符合美国和世界的利益。美国尊重中国的体制,不寻求改变中国体制,不寻求“新冷战”,不寻求通过强化盟友关系反对中国,不支持“台湾独立”,也不支持“两个中国”“一中一台”,无意同中国发生冲突。美方也无意寻求同中国“脱钩”,无意阻挠中国经济发展,无意围堵中国。 バイデン大統領は、「私は習近平国家主席を長年知っており、定期的にコミュニケーションをとっているが、決して直接会うことに取って代わることはできない」と述べた。 中国共産党中央委員会総書記に再選されたことをお祝いする。 米国と中国は、2つの偉大な国として、建設的な関係を維持する責任がある。 米国は、両首脳間および政府のあらゆるレベルにおいて、コミュニケーションチャネルをオープンに保ち、意見が対立する問題については率直に対話を行い、気候変動や食糧安全保障などの重要な地球規模の課題に取り組むために必要な協力関係を強化するために重要な役割を果たすことにコミットしている。 このことは、米国と中国、そしてその国民、さらには世界全体にとって極めて重要なことである。 安定し、発展する中国は、米国と世界の利益となることを改めて強調したい。 米国は中国の制度を尊重し、それを変えようとしない、「新冷戦」を求めない、同盟関係を強化して中国に対抗しようとしない、「台湾独立」を支持しない、「二つの中国」を支持しない、「一つの中国、一つの台湾」を支持しない、などである。 "米国は中国との紛争に入るつもりはない。 また、米国は、中国との「縁切り」を求めたり、中国の経済発展を妨害したり、中国を包囲したりするつもりはない。
拜登表示,美中关系如何发展,对未来世界走向至关重要。美中双方有共同责任向世界展示,美中能够管控分歧,避免和防止由于误解误判或激烈竞争演变成对抗甚至冲突。美方认同应确立指导美中关系的原则,可由双方团队在已有的共识基础上继续谈下去,争取尽早达成一致。美国政府奉行一个中国政策,不寻求利用台湾问题作为工具遏制中国,希望看到台海和平稳定。 バイデン大統領は、米中関係がどのように発展していくかは、世界の将来の方向性にとって非常に重要であると述べた。 米国と中国は、互いの相違を管理し、誤解や誤算、あるいは激しい競争が対立や紛争に発展することを回避・防止できることを世界に示すという共通の責任を負っているのである。 米国側は、米中関係の指針となる原則が確立されるべきであり、できるだけ早く合意に達することを目指し、既に存在するコンセンサスに基づいて話し合いを続けることは、双方のチーム次第であることに同意している。 米国政府は、一帯一路の政策を追求し、台湾問題を中国封じ込めの道具として利用しようとせず、台湾海峡の平和と安定を望んでいる。
两国元首同意,双方外交团队保持战略沟通,开展经常性磋商。同意两国财金团队就宏观经济政策、经贸等问题开展对话协调。同意共同努力推动《联合国气候变化框架公约》第二十七次缔约方大会取得成功。双方就开展两国公共卫生、农业和粮食安全对话合作达成一致。同意用好中美联合工作组,推动解决更多具体问题。同意中美人文交流十分重要,鼓励扩大两国各领域人员交往。 両首脳は、双方の外交チームが戦略的なコミュニケーションを維持し、定期的に協議を行うことに合意した。 両国の財務チームがマクロ経済政策、経済及び貿易問題に関して対話と協調を行うことに合意した。 気候変動枠組条約第27回締約国会議の成功のために協力することに合意した。 両国間で公衆衛生、農業、食料安全保障に関する対話と協力を発展させることに合意した。 双方は、より具体的な問題の解決を促進するために、米中共同作業部会を有効に活用することに合意した。 両者は、中米人文交流の重要性に合意し、両国のあらゆる分野における人文交流の拡大を促した。
两国元首还就乌克兰危机等问题交换了意见。习近平指出,中方高度关切当前乌克兰局势。危机爆发后,我就提出了“四个应该”,前不久我又提出“四个共同”。面对乌克兰危机这样的全球性、复合性危机,有这么几条值得认真思考:一是冲突战争没有赢家;二是复杂问题没有简单解决办法;三是大国对抗必须避免。中方始终站在和平的一边,将继续劝和促谈,支持并期待俄乌双方恢复和谈,同时希望美国、北约、欧盟同俄罗斯开展全面对话。 また、両首脳はウクライナ危機などについても意見交換を行った。 習近平は、中国が現在のウクライナ情勢に強い懸念を抱いていることに言及した。 危機の発生以来、私は「4つのべき論」を提唱してきたが、少し前に「4つの共通論」を提唱した。 ウクライナ危機のような世界的かつ複合的な危機を前にして、第一に紛争や戦争に勝者はいないこと、第二に複雑な問題に単純な解決策はないこと、第三に大国間の対立は避けなければならないこと、など真剣に考えなければならない点がいくつかある。 中国は常に平和の側にあり、今後も平和を促し、協議を推進する。 ロシアとウクライナの和平協議再開を支持、期待すると同時に、米国、NATO、欧州連合がロシアと包括的対話を開始することを望んでいる。
两国元首都认为,会晤是深入坦诚和建设性的,责成两国工作团队及时跟进和落实两国元首达成的重要共识,采取切实行动,推动中美关系重返稳定发展轨道。两国元首同意继续保持经常性联系。 両首脳は、会談が綿密かつ率直で建設的なものであったことに同意し、両作業チームに対し、両首脳が達した重要な合意を適時にフォローアップし実施し、中米関係の安定的発展への復帰を促進するための実践的行動をとるよう命じた。 両首脳は、今後も定期的な連絡を維持することに合意した。
丁薛祥、王毅、何立峰等参加会见。 Ding Xuexiang、Wang Yi、He Lifengが会議に出席した。

 

● 外交部

・2022.11.14 习近平:找到中美关系发展正确方向,推动中美关系重回健康稳定发展轨道

习近平:找到中美关系发展正确方向,推动中美关系重回健康稳定发展轨道 習近平:中米関係の発展に正しい方向を見出し、健全で安定した発展の軌道に押し戻す。
当地时间2022年11月14日下午,国家主席习近平在印度尼西亚巴厘岛同美国总统拜登举行会晤。 習近平国家主席は現地時間2022年11月14日午後、インドネシアのバリ島で米国のジョー・バイデン大統領と会談した。
习近平指出,中美两国从接触、建交走到今天,历经50多年风风雨雨,有得也有失,有经验也有教训。历史是最好的教科书。我们应该以史为鉴、面向未来。当前,中美关系面临的局面不符合两国和两国人民根本利益,也不符合国际社会期待。我们作为中美两个大国的领导人,要起到把舵定向的作用,应该为两国关系找到正确的发展方向,推动中美关系向上提升。政治家要思考和明确本国的发展方向,也要思考和明确同他国、同世界的相处之道。 習近平は、中国と米国が接触し、国交を樹立して以来、50年以上の苦難と嵐、得失、経験と教訓を経て今日に至る長い道のりを歩んできたと指摘した。 歴史は最高の教科書である。 私たちは歴史から学び、未来を見据えるべきである。 現在、中米関係が直面している状況は、両国と人民の根本的な利益に合致しておらず、国際社会の期待にも応えてはいない。 私たちは、二大国の指導者として舵取りの役割を果たし、両国関係の発展の正しい方向性を見出して、それを押し上げていかなければならないのである。 政治家は、自国の発展の方向性、他国や世界との付き合い方を考え、明確にする必要がある。
习近平强调,当前,时代之变正以前所未有的方式展开,人类社会面临前所未有的挑战,世界站在十字路口。何去何从,我们关心,世界各国都关心。国际社会普遍期待中美处理好彼此关系。我们今天的会晤举世瞩目。我们应该同各国一道,为世界和平增强希望,为全球稳定增加信心,为共同发展增添动力。我愿同总统先生就中美关系中的战略性问题以及重大全球和地区问题一如既往地坦诚深入交换看法。我也期待同总统先生共同努力,推动中美关系重回健康稳定发展轨道,造福两国,惠及世界。 習近平は「時代の変化はかつてない形で展開し、人類社会は未曾有の試練に直面し、世界は岐路に立たされている」と強調した。 世界は岐路に立っている。 私たちは進むべき道を憂い、世界のすべての国々がその憂いを感じている。 国際社会は一般に、中国と米国が互いの関係をうまく処理することを期待している。 今日の私たちの会議は、世界にとって大きな関心事である。 私たちは、世界平和への希望を高め、世界の安定への信頼を高め、共通の発展に勢いをつけるために、他の国々と協力すべきである。 私は、米中関係における戦略的問題や、世界や地域の主要な問題について、大統領といつも通り率直で深い意見交換をする用意がある。 また、私は、中米関係の健全で安定した発展への回帰を促進し、両国と世界のためになるよう、大統領とともに努力することを楽しみにしている。

 

 

1_20221115121601

| | Comments (0)

米国 上院情報委員会 外国の諜報活動の脅威を詳述した超党派の報告書 (2022.09.20)

こんにちは、丸山満彦です。

米国上院情報委員会が、外国の諜報活動の脅威を詳述した超党派の報告書を公表していました。。。

チームとしてまとまるのは難しいですかね。。。

あっ、所々黒塗り (おそらく機密指定されている部分) があります。。。

 

U.S. Senate Select Committee on Intelligence

・2022.09.20 Senate Intelligence Committee Releases Bipartisan Report Detailing Foreign Intelligence Threats

 

Senate Intelligence Committee Releases Bipartisan Report Detailing Foreign Intelligence Threats 上院情報委員会が超党派の報告書を発表し、対外情報機関の脅威を詳細に説明
~ Overdue reforms are necessary to confront current foreign intelligence threats and protect national and economic security ~ ~ 現在の対外情報機関の脅威に立ち向かい、国家と経済の安全を守るためには、改革が必要であり、機は熟している ~
WASHINGTON – Today, Senate Select Committee on Intelligence Chairman Mark R. Warner (D-VA) and Vice Chairman Marco Rubio (R-FL) released a redacted, bipartisan assessment of foreign intelligence threats facing our country, in advance of an open hearing examining the topic featuring testimony from expert witnesses. ワシントン - 本日、上院情報特別委員会のマーク・ワーナー委員長(民主党、バージニア州)とマルコ・ルビオ副委員長(共和党、フロリダ州)は、専門家証人による証言でこのテーマを検討する公開公聴会に先立ち、わが国が直面する外国情報機関の脅威について超党派で編集した評価書を発表した。
The redacted report, based upon two years of independent research conducted by non-partisan Committee staff, identifies challenges facing the National Counterintelligence and Security Center (NCSC), and offers a range of solutions to ensure that the NCSC is positioned to respond to today’s foreign intelligence threats.  The investigation assessed the mission, duties and authorities, resources, and structure of the NCSC. 超党派の委員会スタッフによる2年間の独自調査に基づくこの再編集報告書は、国家防諜・安全保障センター(NCSC)が直面する課題を明らかにし、NCSCが今日の外国情報の脅威に対応できるよう、さまざまな解決策を提示している。  この調査では、NCSCの使命、任務と権限、資源、構造について評価した。
“The United States faces a dramatically different threat landscape today than it did just a couple of decades ago,” said Chairman Warner. “New threats and new technology mean that we have to make substantial adjustments to our counterintelligence posture if we are going to protect our country’s national and economic security.” ウォーナー委員長は、以下のように述べている。「米国は今日、ほんの数十年前とは劇的に異なる脅威の状況に直面している。新しい脅威と新しい技術は、我が国の国家と経済の安全を守るために、防諜体制を大幅に調整する必要があることを意味する。」
“Foreign adversarial governments, including the People’s Republic of China, are now targeting all sectors of U.S. society,” Vice Chairman Rubio added. “This Committee aims to ensure that the American public, industry, and academia are aware of this, and also to ensure that the Intelligence Community has the authorities and resources necessary to effectively confront these new counterintelligence threats.” ルビオ副委員長は、次のように述べている。「中華人民共和国を含む外国の敵対的な政府は、現在、米国社会のあらゆる分野を標的にしている。この委員会の目的は、米国民、産業界、学界がこのことを確実に認識し、また情報機関がこれらの新たな防諜の脅威に効果的に立ち向かうために必要な権限と資源を確保することである。」
Among the report’s key findings: 報告書の主要な発見事項:
・The United States faces threats from a wide variety of adversaries, including powerful state actors such as China and Russia, regional adversaries, minor states aligned with U.S. adversaries, ideologically motivated entities, and transnational criminal organizations; ・米国は、中国やロシアのような強力な国家主体、地域の敵対者、米国の敵対者と連携する小国家、イデオロギー的な動機のある団体、国際犯罪組織など、多種多様な敵対者からの脅威に直面している。
・Foreign intelligence entities are targeting the public and private sectors alike, including the financial sector, the U.S. industrial base, academic entities, U.S. government departments and agencies that are not part of the intelligence community, and national laboratories; ・外国の情報機関は、金融セクター、米国の産業基盤、学術団体、情報機関に属さない米国政府省庁、国立研究所など、公共・民間を問わず標的にしている。
・Today’s adversaries have access to a much wider variety of tools for stealing information, influencing U.S. officials or inflaming social and political tensions than in the past, including nontraditional human, cyber, advanced technical, and open source intelligence operations to collect against U.S. plans and policies, sensitive technology, personally identifiable information, and intellectual property, as well as to influence U.S. decision-making and public opinion; ・米国の計画や政策、機密技術、個人を特定できる情報、知的財産などに対する情報収集や、米国の意思決定や世論に影響を与えるための非伝統的な人的情報、サイバー情報、先端技術情報、オープンソース情報活動など、今日の敵は情報を盗み、米国当局に影響を与え、社会や政治の緊張を煽る手段を過去よりはるかに幅広く利用している。
・The U.S. counterintelligence efforts are not postured to effectively confront the whole-of-society threat landscape facing the country today, with the NCSC lacking a clear mission, sufficient and well-defined authorities, and adequate resources to do so; ・米国の防諜活動は、NCSCが明確な任務、十分かつ明確に定義された権限、適切な資源を欠いているため、今日米国が直面している社会全体の脅威の状況に効果的に立ち向かう態勢を整えていない。
・The report recommends that Congress, in conjunction with the Executive Branch and the Office of the Director of National Intelligence, develop a consistent U.S. government-wide definition of counterintelligence that reflects today’s threat landscape, and enact reforms to clarify NCSC's mission, structure and responsibilities and determine what role it should play in traditional, strategic, and offensive counterintelligence operations. ・報告書は、議会が行政府および国家情報長官室と連携して、今日の脅威の状況を反映した米国政府全体の防諜に関する一貫した定義を策定し、NCSCの任務、組織、責任を明確にする改革を実施し、伝統的、戦略的、攻撃的防諜活動に果たすべき役割を決定することを提言している。

 

報告書... 

・[PDF] Senate Intelligence Committee Releases Bipartisan Report Detailing Foreign Intelligence Threats

20221115-14000

 

表題...

(U) ORGANIZATIONAL ASSESSMENT: THE NATIONAL COUNTERINTELLIGENCE ANDSECURITYCENTER (U) 組織的評価:国家防諜・安全保障センター
(U) AUDITS AND PROJECTS REPORT 22-01 (U) 監査とプロジェクト報告書22-01
(U) SELECT COMMITTTEE ON INTELLIGENCE (U) 情報機関に関する特別委員会
(U) UNITED STATES SENATE (U) 米国上院
   

目次...

 
(U) EXECUTIVE SUMMARY (U) エグゼクティブ・サマリー
(U) ABBREVIATIONS (U) 略語
(U) INTRODUCTION AND METHODOLOGY (U) 序論と方法論
(U) CURRENT THREAT LANDSCAPE (U) 現在の脅威の状況
A.(U) Current Adversaries and Threat Actors A.(U) 現在の敵対者と脅威の行為者
B.(U) Current FIE Targets B.(U) 現在の外国情報機関のターゲット
C.(U) Current FIE Tactics C.(U) 現在の外国情報機関の戦術
D.(U) Overview of the National Counterintelligence and Security Center D.(U) 国家防諜・安全保障センターの概要
(U) FINDINGS (U) 発見事項
A.(U) MISSION A.(U) ミッション
1 (U) It is Unclear Whether Certain FIE Threats and U S Activities to Counter Them Fall within the Definition of CI 1 (U) ある種の国際金融活動家の脅威とそれに対抗する米国の活動が防諜の定義に入るかどうかは不明確である。
2. (U)T h e Boundaries of the CI Enterprise are Unclear 2. (U)防諜組織の境界が不明確である。
3. (U) Traditional CI and Strategic CI are Different Missions- but it is Unclear Whether NCSC Should Focus on Traditional CI, Strategic CI, or Both 3. (U) 伝統的防諜と戦略的防諜は異なる任務であるが、NCSC が伝統的防諜、戦略的防諜、あるいはその両方に重点を置くべきかは不明確である。
4. (U) NCSC Plays a Limited Role in Offensive CI Despite its Importance to the Strategic CI Mission 4. (U) 戦略的情報収集の重要性にもかかわらず、NCSCは攻撃的情報収集に限定的な役割を担っている。
B. (U) DUTIES AND AUTHORITIES B. (U) 任務と権限
1. (U) NCSC Does Not Fulfill Al Statutorily Assigned Duties Partly Due to Authority and Resource Limitations 1. (U) NCSC は、権限と資源の制約のため、部分的に法定された任務を遂行できていない。
2. (U) NCSC Conducts Several Duties Not Assigned in Statute due to Perceived IC Need 2. (U) NCSC は、情報機関 の必要性から、法令に定められていないいくつかの職務を遂行している。
C. (U) RESOURCES AND STAFFING C. (U) リソースとスタッフ配置
1 (U) Key NCSC Duties are Limited due to Staffing and Resource Constraints 1 (U) NCSC の主要任務は、人員及び資源上の制約により制限されている。
2. (U) NCSC's Staff Composition is Appropriate 2. (U) NCSC の職員構成は適切である。
3. (U) Change in NCSC Staffing Over Time 3. (U) NCSCの人員の経年変化
4. (U) NCSC's Hiring Procedures Take Time 4. (U) NCSCの採用手続きは時間がかかる
5. (U) NCSC's Budget is Small Relative to its Mission 5. (U) NCSCの予算は、その使命に比して少ない。
D. (U) LOCATION AND STRUCTURE D. (U) 所在地と構造
1. (U) NCSC Experiences Drawbacks and Benefits as an ODNI Center 1. (U) ODNI センターとしての NCSC の利点と欠点
2. (U) Officials Disagree Over Whether NCSC Should Remain Exclusively Within the IC 2. (U)NCSCが情報機関内に留まるべきか否かについて、関係者の間で意見の相違がある。
(U) CONCLUSION AND RECOMMENDATIONS (U) 結論と提言
(U) APPENDIX A: EVOLUTION OF CI AUTHORITIES (U) 附属書 A:防諜権限の変遷

 

エグゼクティブサマリー

(U) EXECUTIVE SUMMARY (U) エグゼクティブサマリー
(U) The Senate Select Committee on Intelligence (SSCI or the Committee) has long expressed interest in reviewing the United States Government (USG) counterintelligence (CI) enterprise to identify actions needed to enhance its posture, capabilities, and responsibilities in response to contemporary foreign intelligence entity (FIE) threats. The Committee tasked the Audits & Projects Team (Team) with conducting a targeted organizational assessment of the National Counterintelligence and Security Center (NCSC or the Center)- the statutory head of U.S. CI- to understand whether this entity is properly authorized, resourced, and structured to carry out its mission. This report seeks to (1) identify the key challenges facing NCSC in carrying out its mission and (2) capture a range of opinions from CI experts on those challenges and potential ways forward. (U) 上院情報特別委員会(SS防諜または委員会)は、米国政府(USG)の防諜(CI)組織を見直し、現代の外国情報機関(FIE)の脅威に対応する姿勢、能力、責任を強化するために必要な措置を特定することに、長年関心を示してきた。委員会は監査・プロジェクト・チームに、米国防諜センターの法定責任者である国家防諜安全保障センター(NCSCまたはセンター)の組織評価を行い、この組織が任務を遂行するために適切な権限、資源、体制を有しているかどうかを把握するよう命じた。本報告書は、(1)NCSCがその任務を遂行する上で直面する主要な課題を特定し、(2)それらの課題と今後の可能性に関して、防諜の専門家から様々な意見を収集することを目的としている。
(U) CURRENT THREAT LANDSCAPE (U) 現在の脅威の状況
(U) The United States faces a dramatically different threat landscape today than it did just a couple of decades ago. Multiple adversaries target nearly every sector of U.S. society using traditional and novel tactics and techniques. As the current National CI Strategy notes, FIEs- "to include nation-states, organizations, and individuals- are employing innovative combinations of traditional spying, economic espionage and supply chain and cyber operations to gain access to critical infrastructure and steal sensitive information, research, technology, and industrial secrets." These changes have profound implications for the mission, structure, authorities, and resources of the CI enterprise in general and NCSC in particular. (U)米国は、今日、ほんの数十年前とは劇的に異なる脅威の状況に直面している。複数の敵対者が、伝統的・斬新な戦術や技術を用いて、米国社会のほぼすべての分野を標的としている。現在の国家情報戦略で述べられているように、「国家、組織、個人を含む」情報機関は、従来のスパイ活動、経済スパイ活動、サプライチェーンやサイバー作戦を革新的に組み合わせて、重要インフラへのアクセスや機密情報、研究、技術、産業機密の窃取を行っている。これらの変化は、一般的な防諜組織、特にNCSCの任務、構造、権限、資源に深い影響を与える。
(U) During the Cold War, the United States' main adversary was the Soviet Union and other Warsaw Pact countries, as well as Soviet client states such as Cuba. After the terrorist attacks of September 11, 2001, the United States pivoted to focus on al-Qaeda and other extremist jihadist groups around the world. Today, however, the United States faces a wide variety of adversaries to include powerful state rivals with global ambitions -namely China and Russia- regional adversaries, minor states aligned with U.S. adversaries, ideologically motivated entities, and transnational criminal organizations. (U) 冷戦時代、米国の主な敵はソ連とワルシャワ条約機構諸国、およびキューバのようなソ連の同盟国家であった。2001年9月11日の同時多発テロ以降、米国はアルカイダをはじめとする世界中の過激派ジハード主義勢力に焦点を当てる方向に舵を切った。しかし今日、米国が直面する敵は、中国やロシアなど世界的な野心を持つ強力な国家のライバル、地域の敵、米国の敵と連携する小国、イデオロギー的な動機を持つ組織、国際犯罪組織など、多種多様である。
(U) FIEs target desired information wherever it may reside. Many FIE efforts previously focused primarily on state secrets held by the Intelligence Community (IC) and the broader national security establishment. Now, however, FIEs target a wide range of information from entities and individuals across nearly every sector of U.S. society. As the Commission on the Intelligence Capabilities of the United States Regarding Weapons of Mass Destruction (Iraq WMD Commission) noted: "Spies have always existed, but currently our adversaries- and many of our 'friends'- are expanding and intensifying their intelligence activities against U.S. interests worldwide. They target virtually all of our nation's levers of power." Put simply, FIE threats to the United States are now more complex, diverse, and harmful to U.S. interests, and FIEs are targeting a wider set of public and private entities to include NT-50s (that is, non-IC USG departments and agencies that do not have 50 U.S.C. authorities, such as the Department of Health and Human Services or the National Science Foundation) as well as national laboratories, the financial sector, the U.S. industrial base, and academic entities. (U) 外国情報機関は、必要な情報が存在する場所ならどこでもターゲットにする。外国情報機関の取り組みの多くは、以前は主に情報機関(IC)や広範な国家安全保障体制が保有する国家機密を対象としていた。しかし現在では、外国情報機関は米国社会のほぼすべての部門にまたがる団体や個人からの広範な情報を対象としている。大量破壊兵器に関する米国の情報能力に関する委員会(イラクWMD委員会)は、次のように指摘している。スパイはいつの時代にも存在したが、現在、我々の敵、そして多くの "友"は、世界中の米国の利益に対する情報活動を拡大し、強化している。彼らは事実上、わが国のあらゆる権力機構を標的にしている」。簡単に言えば、米国に対する外国情報機関の脅威は現在、より複雑で多様、かつ米国の利益に有害であり、外国情報機関はNT-50(すなわち、保健福祉省や国立科学財団のような合衆国憲法50条の権限を持たない非情報機関米政府部門や機関)、国立研究所、金融部門、米国の産業基盤、学術団体など、より幅広い公共・民間団体を標的にしている。
(U) In the past, U.S. adversaries had relatively limited options for stealing information, influencing U.S. officials, or inflaming social and political tensions. Traditional intelligence collection and influence efforts required foreign nations to, for example, send spies to U.S. soil, co-opt an insider, target U.S. officials when overseas, bug offices, or intercept U.S. communications from collection facilities around the world. Today, however, U.S. adversaries have access to a much wider variety of tools to accomplish their goals, and the damage is far greater. In addition to traditional espionage-which continues unabated- FIEs can now exploit non- traditional human, cyber, advanced technical, and open source intelligence operations to collect against U.S. plans and policies, sensitive technology, personally identifiable information (PII), and intellectual property, as well as to influence U.S. decision-making and public opinion on a scale previously unimaginable. (U)かつて、米国の敵対者は、情報を盗み、米国の役人に影響を与え、社会的・政治的緊張を煽るための選択肢を比較的制限されていた。従来の情報収集と影響力の行使には、外国は例えば、米国内にスパイを送り込む、内通者を取り込む、海外にいる米国政府関係者を狙う、オフィスを盗聴する、世界中の収集施設から米国内の通信を傍受する、などの方法が必要だった。しかし今日、米国の敵は目的を達成するためにはるかに多様なツールを利用できるようになり、その被害ははるかに大きくなっている。外国情報機関は、今も衰えることのない伝統的なスパイ活動に加え、従来とは異なる人的、サイバー的、高度な技術的、オープンソースの情報活動を駆使して、米国の計画や政策、機密技術、個人識別情報(PII)、知的財産に対する情報収集、さらには米国の意思決定や世論に影響を及ぼすという、これまで想像もできなかった規模の活動を展開できるようになったのである。
(U) FINDINGS (U) 発見事項
(U) As illustrated above, the FIE threat landscape facing the country today is wide-ranging and sophisticated. Yet NCSC, as the USG lead for CI, lacks a clear mission as well as sufficient and well-defined authorities and resources to effectively confront this landscape. Moreover, NCSC's placement within the Office of the Director of National Intelligence (ODNI) may hinder its ability to scale and respond to threats in an agile manner. Despite these challenges, there is no consensus among CI officials on a way forward for NCSC. (U) 上記に示されるように、今日、米国が直面している 外国情報機関 の脅威の状況は広範かつ巧妙である。しかし、NCSCは、米国政府による防諜の主導機関として、この状況に効果的に対処するための明確な任務、十分かつ明確に定義された権限と資源を有していない。さらに、NCSCは国家情報長官室(ODNI)に所属しているため、脅威への機動的な対応や規模拡大の妨げになる可能性がある。これらの課題にもかかわらず、NCSC の進むべき道について防諜関係者の間でコンセンサスが得られていない。
(U) MISSION (U) 任務
(U) Under current law, the mission of the Director of NCSC is to "serve as the head of national counterintelligence for the United States Government." The Committee, however, found that the scope of this mission is not clear to the Committee, to the broader IC, or even to some NCSC officials. First, it is unclear whether certain FIE threats- namely, cyber and foreign malign influence- as well as USG activities- namely, "CI awareness" activities such as FIE target identification, foreign travel briefings, and receipt and review of certain CI products fall within the current definition of CI. Second, various current and former NCSC officials disagree over which types of entities comprise the CI enterprise that NCSC is tasked with leading. Specifically, it's not clear whether non-title 50s (NT-50s)- that is, non-IC entities that do not have 50 U.S.C. authorities--private sector entities, or academic institutions should be considered part of the CI enterprise and should therefore have CI responsibilities. Third, there is no consensus as to whether NCSC should focus on traditional CI activities, the strategic CI mission, or both. Traditional CI is internally-focused on the protection of individual IC entities, whereas strategic CI focuses on using al available national resources to defend the United States as a whole rather than on protecting individual IC entities or their parochial operations. Fourth, NCSC plays a marginal role in offensive CI, despite the importance of offensive CI to the CI mission. Finally, officials disagree on the optimal relationship between CI, which directly deals with the threat from FIEs, and security, which indirectly defends against FIE actions by minimizing vulnerabilities, and over what specific role NCSC should play with regards to security. (U) 現行法では、NCSC長官の任務は「米国政府の国家防諜の長として機能する」ことである。しかし、委員会は、この任務の範囲が、委員会、より広範な情報機関、または一部のNCSC職員にとってさえ明確でないことを発見した。第一に、ある種の外国情報機関脅威、すなわちサイバーや外国の悪意ある影響、また米国政府の活動、すなわち外国情報機関標的の特定、外国への出張報告、特定の防諜製品の受領・検討などの「防諜認識」活動が、現在の防諜の定義に当てはまるかどうか不明確であることである。第二に、NCSCの現職・元職員は、NCSCが指揮を執る情報産業がどのような組織から構成されているのかについて意見が分かれている。特に、Non-title 50s(NT-50s)、すなわち、合衆国法典第50条の権限を持たない非情報機関機関、民間セクター、または学術機関が、防諜組織の一部とみなされ、したがって防諜の責任を負うべきかどうかは明らかでない。第三に、NCSCが伝統的な情報収集活動、戦略的情報収集任務、あるいはその両方に重点を置くべきかについて、コンセンサスが得られていないことである。伝統的防諜は個々の 情報機関の保護に重点を置くが、戦略的防諜は個々の 情報機関やその偏狭な活動の保護ではなく、利用可能な国家資源を駆使して米国全体の防衛に重点を置く。第四に、攻撃的情報収集の重要性にもかかわらず、NCSCは攻撃的情報収集においてわずかな役割しか担っていない。最後に、情報機関の脅威に直接対処する防諜と、脆弱性を最小化することで情報機関の行動から間接的に防御するセキュリティの最適な関係、およびセキュリティに関して NCSC が果たすべき具体的な役割について、当局者の意見は一致していない。
(U) DUTIES AND AUTHORITIES (U)任務と権限
(U) NCSC's duties have changed over its 20-year lifespan, due in part to lack of clarity over its mission. Various duties are enumerated in statute, but NCSC does not effectively fulfill all of them. In addition, NCSC has taken on several duties not explicitly assigned in statute. In general, the Committee assesses that NCSC's focus at any given time is based on the perceived CI gaps the IC needs filled or the interests of its Director, rather than on a well-formulated and enduring vision of the activities it should be undertaking to support its mission. Former National CI Executive Michelle Van Cleave noted that "fundamentally, there is no agreed-upon understanding of what NCSC is supposed to do". Several FBI officials also told the Committee that NCSC "seems to be al over the place." One NCSC official said that NCSC's "sweet spot" is not to replicate work already being done by the IC, but to identify and fill gaps and seams. Thus, NCSC often takes on projects that do not have "natural homes" at other agencies, offloading projects to agencies better suited to handle them when possible. (U)NCSCの任務は、その使命が明確でないこともあり、20年間の存続期間中に変化してきた。法令には様々な任務が列挙されているが、NCSCはそのすべてを効果的に果たしているわけではない。さらに、NCSCは、法令に明示されていないいくつかの職務を引き受けている。一般的に、委員会は、NCSCが、その使命を支えるために行うべき活動に関する明確で永続的なビジョンではなく、情報機関が埋めるべきと考える防諜ギャップや長官の関心に基づいて、その時々に焦点を合わせていると評価している。元国家情報局長ミッシェル・ヴァン・クリーブは、「基本的に、NCSCが何をすべきかについての合意形成がなされていない」と指摘している。また、複数の FBI 関係者が委員会に対し、NCSC は「あちこちにいるようだ」と述べている。ある NCSC 関係者は、NCSC の「スイートスポット」は、情報機関 で既に行われている業務の複製ではなく、ギャップや継ぎ目を特定し埋めることであると述べている。従って、NCSC は、他の機関に「本家」がないプロジェクトを引き受けることが多く、可能な限り、そのプロ ジェクトを処理するのに適した機関にオフロードする。
(U) NCSC is also limited in its ability to carry out its duties by ambiguous or insufficient authorities. NCSC can influence and advocate for IC CI spending, but NCSC has little authority or leverage over IC entities' budgets and budget priorities. NCSC can also provide voluntary guidance, threat awareness, and advice to NT-50s and non-USG entities on developing and maintaining effective CI and security programs, but NCSC cannot provide direct financial support, and NT-50s and non-USG entities are not required to maintain CI programs. NCSC officials told the Committee that much of NCSC's ability to influence CI and security programs across the USG stems from personal relationships and advocacy, rather than statutes, regulations, or other authorities.  (U)また、NCSC は権限が曖昧で不十分であるため、その職務を遂行する能力が制限されている。NCSC は 情報機関 の防諜支出に影響を与え主張することはできるが、情報機関 の予算や予算の優先順位に対してほとんど権限や影響力はない。また、NCSCは、NT-50や非米国政府機関に対し、効果的な防諜・セキュリティプログラムの策定・維持に関する自主的な指導、脅威認識、助言を行うことができるが、直接的な財政支援はできず、NT-50や非米国政府機関は防諜プログラムの維持が義務付けられていない。NCSCの職員は、NCSCが米国政府全体の情報セキュリティプログラムに影響を与える能力の多くは、法令やその他の権限よりも、個人的な関係や支持に起因すると委員会に語った。
(U) RESOURCES AND STAFFING (U) リソースとスタッフ
(U) Staffing and resource constraints impact NCSC's ability to effectively carry out its mission. One senior NCSC official described xxxxxxxxxx. For example, several key NCSC duties, including xxxxxxxxxx on strained due to NCSC staffing levels.  (U) 人材とリソースの制約は、NCSC がその任務を効果的に遂行する能力に影響を及ぼす。ある NCSC の高官は xxxxxxxxxx と述べている。例えば、NCSC の人員不足により、xxxxxxxx を含むいくつかの NCSC の主要業務が逼迫している。
(U) Despite xxxxxxxxxx staffing and resource levels, NCSC officials indicated that its current mix of permanent staff (cadres), joint-duty staff (detailees), and contractors was appropriate. NCSC, however, faces several unique staffing challenges owing to its position as a Center within ODNI. For instance, several NCSC officials described how the approval process for cadres and detailees is time consuming it is a "nonstop challenge." One NCSC official told the Committee that it can take more than two months to bring on a detailee and between 12 and 18 months to hire an external candidate, leading some candidates to seek a position elsewhere. (U)人員およびリソースのレベルはxxxxxxxxで あるが、NCSC関係者は、正社員(幹部)、合議制職員(detailee)、および契約社員の現在の構成は適切である と述べている。しかし、NCSC は ODNI 内のセンターという立場から、いくつかのユニークな人員配置の課題に直面している。例えば、NCSCの複数の職員は、幹部職員と分遣隊員の承認手続きに時間がかかり、「ノンストップ・チャレンジ」であることを説明した。ある NCSC 職員は委員会に 対し、派遣者の採用には 2 ヶ月以上、外部候補者の採用には 12 ヶ月から 18 ヶ月かかることがあり、そのため一部の候補者は他で職を探すことになると述べている。
Xxxxxx Finally, NCSC's budget is small relative to its mission and is controlled by ODNI. Yet ODNI has not requested any substantial growth for NCSC’s budget or full-time employees (FTE), nor has Congress provided it. Moreover, NCSC's budget is xxxxxxxxxx. 最後に、NCSCの予算はその使命に比して少なく、ODNIによって管理されている。しかし、ODNIはNCSCの予算やフルタイム従業員(FTE)の大幅な増加を要求しておらず、議会もそれを認めていない。さらに、NCSC の予算は xxxxxxxx である。
(U) LOCATION AND STRUCTURE (U) 所在地および構造
Xxxxx NCSC is structured as a Center within ODNI. There are various drawbacks and benefits associated with this structure. According to various officials, drawbacks include: xxxxxxxxxxx. NCSC は ODNI 内の一センターとして構成されている。この構造には様々な欠点と利点がある。様々な関係者によると、欠点は以下の通りである。xxxxxxxxx
(U) NCSC is also located entirely within the IC, as its authorities stem from Title 50 and it is funded by the National Intelligence Program (NIP). Officials disagree over whether this is the appropriate location for NCSC. Some officials argue that CI is primarily an IC responsibility and thus should remain exclusively within the purview of the IC. Other officials argue that strategic CI is a whole-of- society responsibility, so NCSC should span the IC and NT-50 worlds. (U) NCSCはまた、その権限がタイトル50に由来し、国家情報プログラム(NIP)から資金を調達しているため、完全に情報機関内に位置している。これがNCSCにとって適切な場所であるかどうかについては、関係者の間で意見が分かれている。防諜は主に 情報機関 の責任であり、情報機関 の権限にのみ留まるべきとする意見もある。また、戦略的な防諜は社会全体の責任であり、NCSC は 情報機関 と NT-50 の世界をまたぐべきであると主張する関係者もいる。
(U) Finally, former NCSC Director William Evanina has argued for the establishment of an independent National Counterintelligence and Security Agency, which would be responsible for the strategic CI mission and focus on protecting the United States as a whole. If such an agency were to be established, several officials suggested incorporating other existing U S entities with close ties to the strategic CI mission. (U) 最後に、前 NCSC 長官 ウイリアム・エバニーナ は、独立した国家防諜・安全保障庁を設立し、戦略的防諜任務を担当し、米国全体の保護に焦点を当てるべきであると主張している。このような機関が設立された場合、戦略的防諜ミッションと密接な関係を持つ他の既存の米国組織を取り込むことを提案する関係者もいた。
(U) CONCLUSION AND RECOMMENDATIONS (U) 結論と勧告
(U) The U.S. CI enterprise is not postured to confront the whole-of-society FIE threat landscape facing the country today. CI as a mission first arose throughout the IC after World War II to defend IC operations, and the United States is still living with the legacy of that structure. Although that structure may have been appropriate when FIEs were primarily targeting information held by the IC and other national security entities, today's FIEs dedicate enormous energy and resources to acquiring not only sensitive state secrets, but also information from NT-50s and non-USG entities- -which are significantly more vulnerable targets than the IC. There is thus a "disconnect" between the location of valuable information relevant to U.S. national security interests and what the U.S. CI enterprise is tasked with protecting. (U)米国の防諜組織は、今日、米国が直面している社会全体の外国情報機関脅威の状況に立ち向かう態勢をとっていない。第二次世界大戦後、情報機関の作戦を守るために防諜というミッションが情報機関全体に生まれ、米国はその構造のレガシーを今も抱えている。外国情報機関が主に情報機関や他の国家安全保障機関が保有する情報を対象としていた頃は、この構造が適切だったかもしれないが、今日の外国情報機関は国家機密だけでなく、情報機関よりもはるかに脆弱なNT-50や非USG機関の情報を取得するために膨大なエネルギーと資源を注いでいる。このように、米国の国家安全保障上の利益に関連する貴重な情報の所在と、米国の防諜組織が保護すべき対象との間に「断絶」が生じているのである。
(U) As more and more sensitive information has moved outside the protective walls of the CI, CI as a mission has struggled to adapt. The very definition of C-I both in terms of the types of activities FIEs conduct to target the United States, as well as the types of U.S. efforts to counter those activities- is murky and no longer clearly reflects the reality on the ground. For instance, various non-IC entities have established or are establishing "CI programs," but their CI activities conceptually overlap in many ways with the security mission and do not conform to the traditional understanding of CI activities namely efforts to identify, deceive, exploit, disrupt, or protect against espionage. The USG must determine which FIE and USG activities fall within the CI mission set today, draw clear boundaries between the CI and security missions and clarify where "CI awareness" activities fall, and clarify the roles and responsibilities of USG and non-USG entities tasked with carrying out the CI and/or security missions. (U)より多くの機密情報が情報収集の枠外に移動するにつれ、情報収集の使命は適応するのに苦労してきた。外国情報機関が米国を標的にどのような活動を行い、それに対抗するために米国がどのような努力をするかという点で、防諜の定義そのものが不明確で、もはや現地の現実を明確に反映しているとはいえない。例えば、情報機関以外の様々な組織が「防諜プログラム」を設立しているか、設立しようとしているが、彼らの防諜活動は概念的に安全保障任務と多くの点で重複しており、伝統的な防諜活動の理解、すなわちスパイを特定、欺瞞、悪用、破壊、防御する努力には適合していない。USGは、どの外国情報機関およびUSGの活動が今日設定された防諜ミッションに該当するかを決定し、防諜ミッションとセキュリティ・ミッションの間に明確な境界線を引き、「防諜認識」活動がどこに該当するかを明確にし、防諜ミッションおよび/またはセキュリティ・ミッションを遂行するUSGおよび非USG主体の役割と責任を明確にする必要がある。
(U) This distinction is important because it implies different national security models; CI measures deal directly with FIE activities, whereas security programs indirectly defend against FIE actions by minimizing vulnerabilities. Thus, under an expansive CI enterprise model, the entire U S and potentially non-USG entities would bear responsibility for dealing directly with FIE activities. On the other hand, a more traditional CI enterprise model would be based exclusively on the IC.__but could nevertheless require non-IC entities to be responsible for defensive security measures to identify and mitigate vulnerabilities. (U)この区別は、異なる国家安全保障モデルを意味するため重要である。情報収集対策は直接的に情報機関の活動に対処するが、安全保障プログラムは脆弱性を最小化することにより間接的に情報機関の活動から防衛する。したがって、拡張的な防諜組織モデルの下では、米国全体および潜在的に非 USG 団体が、外国情報機関 の活動に直接対処する責任を負うことになる。一方、より伝統的な防諜組織モデルは、情報機関 にのみ基づいているが、情報機関 以外の組織にも脆弱性を特定し緩和するための防御的なセキュリティ対策の責任を求めることができます。
xxxxxxxxx. In either case, tactical, one-off responses are no longer sufficient to address the current FIE threat landscape; a strategic response is required. Yet, the U.S. CI enterprise has not fully pivoted to confront this new reality. xxxxxxxxxx. xxxxxxxxx。いずれの場合も、戦術的で単発の対応では現在の 外国情報機関 脅威の状況に対処することはもはや不可能であり、戦略的な対応が必要である。しかし、米国の防諜組織は、この新たな現実に立ち向かうために完全な方向転換をしていない。xxxxxxxxxx。
(U) Moreover, CI as a discipline has traditionally been undervalued in the USG. Back in 2005, the Iraq WMD Commission, for example, noted that CI has been "plagued by a lack of policy attention and national leadership" and is largely neglected by policymakers and the IC. The Commission also stated that CI actually lost stature after September 11, 2001 as the U S turned its attention to counterterrorism (CT). The 2009 Intelligence and National Security Alliance (INSA) report Counterintelligence for the 21st Century noted that CI was not a priority for their first two Directors of National Intelligence (DNI). Mr. Evanina added that agency heads often assign lower priority to CI divisions and programs than to offensive mission requirements. As of July 2022, the Administration has not yet officially nominated a permanent NCSC Director, despite the position being vacant for over a year. (U)さらに、防諜は伝統的に米国政府内で過小評価されてきた。例えば2005年のイラク大量破壊兵器委員会(Iraq WMD Commission)は、防諜が「政策的注目と国家的リーダーシップの欠如に悩まされてきた」と指摘し、政策立案者や情報機関からほとんど顧みられないと述べている。また同委員会は、2001年9月11日以降、米国がテロ対策(CT)に目を向けたため、防諜は実際に地位を失ったと述べている。2009年のINSA(Intelligence and National Security Alliance)の報告書「Counterintelligence for the 21st Century」では、最初の2人の国家情報長官(DNI)にとって、防諜は優先事項ではなかったと述べている。またエヴァニナ氏は、各省庁のトップは攻撃的な任務要件よりも防諜部門やプログラムの優先順位を低く設定することが多い、と述べている。2022 年 7 月現在、NCSC 長官は 1 年以上空席であるにもかかわらず、政権はまだ正式の長官を指名していない。
(U) The impact of all these challenges is clear: foreign adversaries compromise U.S. assets across the globe, acquire billions of dollars a year in U.S. research and technology, jeopardize the competitiveness of U.S. companies and the economic dominance of the United States, steal sensitive PII on USG employees and U.S. citizens, and interfere in domestic affairs. The U S cannot allow this situation to continue without serious repercussions for U.S. national security. (U)これらすべての課題の影響は明らかである。外国の敵対者は世界中で米国の資産を危険にさらし、米国の研究・技術で年間数十億ドルを獲得し、米国組織の競争力と米国の経済支配を脅かし、米国政府職員と米国市民の機密PIIを盗み、内政干渉しているのである。米国は、米国の国家安全保障に深刻な影響を与えることなくこの状況を継続させることはできない。
(U) Congress last tried to seriously reform CI statutes in 2002, when it passed the Counterintelligence Enhancement Act and created NCSC's precursor to try to better integrate the CI silos scattered across the IC. The Committee believes that NCSC has made progress towards achieving that goal. Yet NCSC lacks the necessary clarity of mission, sufficient authorities and resources, and an optimal location and structure to truly lead U.S. CI and to execute the strategic CI mission. (U) 米国議会が最後に防諜関連法規を真剣に改革しようとしたのは、2002年に防諜強化法を可決し、情報機関に散在する防諜サイロをよりよく統合しようとNCSCの前身を設立した時である。委員会は、NCSCがその目標達成に向けて前進していると考えている。しかし、NCSC は、米国の防諜を真に主導し、戦略的な防諜ミッションを遂行するために必要な使命の明確化、十分な権限と資源、最適な場所と構造を欠いている。
Xxxxxxxxxxx. It is time for Congress to take another hard look at the ability of the U.S. CI enterprise in general and NCSC in particular to confront today's FIE threat landscape. As Vice Chairman Rubio noted during a hearing on CI in 2020: "The IC may need a fundamental rethink of its counterintelligence enterprise." As Ms. Van Cleave told the Committee: "The USG does not have the right business model' for CI; rather than being strategic, forward looking, and proactive, U.S. CI is tactical, reactive, and defensive." Mr. Evanina has similarly called for a" dramatic new construct to ensure adequate and enhanced coordination of a holistic CI program for the United States." Xxxxxxxxxx。米国議会は、米国の防諜組織全般、特にNCSCが今日の国際テロの脅威に立ち向かう能力を改めて厳しく評価する時期に来ている。ルビオ副議長は、2020年の情報収集に関する公聴会で次のように述べた。「情報機関 は防諜事業を根本的に見直す必要があるかもしれない。ヴァン・クリーヴ女史が委員会で述べたように。米国政府は情報収集のための適切な「ビジネスモデル」を持っていない。米国の情報収集は戦略的、前方視的、積極的であるどころか、戦術的、後方視的、防御的なのである。エバニーナ氏も同様に、「米国の全体的な情報収集プログラムの適切かつ強化された調整を確保するための劇的な新しい構造」を要求している。
(U) There is no easy "fix" to U.S. CI, nor is there one single way in which NCSC could be reformed to better serve as head of national CI. If Congress and ODNI determine that NCSC should focus exclusively on better operationalizing traditional CI activities, then NCSC may not need additional authorities or resources, and a structural change to the Center may not be necessary. Yet, there must be an "owner" for strategic CI to address the FIE landscape facing the nation today, and NCSC is currently the only USG entity positioned lead this mission. If Congress and ODNI assign the strategic CI mission to NCSC, then bigger changes to the Center may be warranted. Owning strategic CI would require sufficient authorities and resources to enable NCSC to successfully develop a strategic CI program to bring together all the means of execution for strategic CI priorities. In addition, Congress may want to consider whether NCSC can best carry out the strategic CI mission as a Center within ODNI, or whether such a mission requires the establishment of an independent agency spanning the IC and NT-50s universe. (U) 米国の防諜には簡単な「修正」はなく、また NCSC が国家的な防諜のトップとしてより良く機能するように改革できる唯一の方法もない。議会と ODNI が NCSC は伝統的な防諜活動の運用改善にのみ注力すべきと判断すれば、NCSC は新たな権限や資源を必要とせず、センターの構造改革は必要ないかもしれない。しかし、今日、国家が直面している 外国情報機関 の状況に対処するためには、戦略的防諜の「オーナー」が必要であり、NCSC は現在、このミッションを主導する唯一の USG エンティティである。もし議会と ODNI が NCSC に戦略的防諜任務を与えるならば、センターはより大きな変革を迫られるであろう。戦略的防諜を所有するためには、NCSC が戦略的防諜の優先事項の実行手段をすべて集約した戦略的防諜プログラムを成功裏に開発できるような十分な権限と資源が必要であろう。また、議会は、NCSC が ODNI 内のセンターとして戦略的防諜の任務を遂行するのが最善か、それとも 情報機関 と NT-50s にまたがる独立機関の設立が必要かを検討することが望まれる。
(U) This Committee recognizes that any major change to the CI enterprise will be difficult and time consuming, and that various members of the USG may fiercely resist such changes. However, the U S has made big, bold changes before. After the terrorist attacks of September 1, 2001, Congress reorganized the U.S. national security enterprise to better confront terrorism. But more importantly, Congress helped to reorient the CT mission away from reactive, defensive efforts focused on figuring out who conducted a specific terrorist attack towards a proactive, offensive posture focused on stopping terrorists before they strike. It is time for CI to undergo a similar revolution and to receive the national-level attention it deserves. (U)当委員会は、防諜組織の大きな変革は困難で時間がかかること、また、米国政府内の様々なメンバーがそのような変革に激しく抵抗する可能性があることを認識している。しかし、米国はこれまでにも大きく大胆な変化を遂げてきた。2001年9月1日の同時多発テロ事件後、米国議会はテロに対抗するために国家安全保障を再編成した。しかし、それ以上に重要なことは、米国議会がCTの任務を、特定のテロ攻撃を行った人物を特定することに焦点を当てた事後的な防御的努力から、テロ攻撃を行う前に阻止することに焦点を当てた積極的な攻撃的姿勢に方向転換させたことである。防諜技術(防諜)も同様の変革を遂げ、国家レベルの注目を浴びるべき時期に来ている。
(U) SSCI Recommendations  (U)情報機関に関する上院特別委員会の勧告 
Definitions 定義
1. The Executive Branch should develop and adopt, and Congress should codify, a consistent USG-wide definition of CI that: 1. 行政府は、以下のような米国政府全体の一貫した防諜の定義を策定・採用し、議会はそれを成文化すべきである。
a. Reflects today's FIE threat landscape; and  a. 今日の 外国情報機関 の脅威の状況を反映するものであること。
b. Delineates CI and security. b. 情報技術と安全保障を区別する。
2. The Executive Branch should develop and adopt, and Congress should codify, related definitions to include strategic CI and offensive CI. 2. 行政府は戦略的情報収集と攻撃的情報収集を含む関連定義を策定・採用し、議会はそれを成文化すべきである。
The CI Enterprise 防諜組織
3. NCSC, in consultation with ODNI, should identify the conceptual boundaries of the CI enterprise, including by identifying key stakeholders (e.g., which entities are members, partners, beneficiaries, etc.); outline stakeholders' CI and security roles and responsibilities; and clarify their relationship with 3. NCSC は ODNI と協議の上、主要なステークホルダー(例:どの団体がメンバー、パートナー、受益者であるか等)を特定し、ステークホルダーの情報セキュリティ上の役割と責任の概要を示し、NCSC との関係を明確にするなど、情報セキュリティ組織の概念上の境界を明らかにする必要がある。
NCSC. NCSC
4. NCSC, in consultation with ODNI, should determine what role each element of the IC should play in protecting non-USG entities that FIEs target for their research, technologies, data, and IP. 4. NCSCはODNIと協議の上、外国情報機関が研究、技術、データ及びIPの対象とする非USG主体の保護について、情報機関の各要素が果たすべき役割を決定すべきである。
5. NT-50s should consistently establish "CI awareness" and/or security programs to ensure that U S data and sensitive information are identified and protected. 5. NT-50s は、米国のデータ及び機密情報が特定され保護されることを保証するため、一貫して「防諜意識」及び/又はセキュリティ・プログラムを確立すべきである。
NCSC's Mission and Structure NCSC の使命と構造
6. Congress, in consultation with the Executive Branch, should clarify NSC's mission and determine what, if any, role it should play in: 6. 議会は行政府と協議の上、NSC の使命を明確にし、NSC が果たすべき役割があるとすれば、それは何かを決定すべきである。
a. Traditional CI; a. 伝統的な防諜
b. Strategic CI; and b. 戦略的防諜
c. Offensive CI operations. c. 攻撃的防諜
7. Congress, in consultation with the Executive Branch, should determine whether NCSC should remain a Center within ODNI or should be established as an independent agency. 7. 議会は行政府と協議の上、NCSC を ODNI 内のセンターとして残すか、独立した機関として設立するかを決定すること。
8. Congress, in consultation with the Executive Branch, should determine which aspects of the security mission NCSC should retain. 8. 議会は行政府と協議の上、NCSCが保持すべき安全保障上の任務について決定すること。
9. Congress, in consultation with the Executive Branch, should consider whether the Director of NCSC/NCSA should be the official Sec/EA. 9. 議会は行政府と協議の上、NCSC/NCSA長官を正式なSec/EAとすべきかどうかを検討する。
NCSC's Duties NCSCの任務
10. NCSC should develop a strategic plan to conduct vulnerability assessments within the IC, NT-50s, and selected non-USG entities or sectors, and should request resources and authorities necessary to conduct those assessments. 10. NCSC は、情報機関、NT-50s、および選択された非米国政府機関またはセクター内の脆弱性評価を実施するための戦略的計画を策定し、これらの評価の実施に必要な資源および権限を要求すること。
11. NCSC should develop a plan for IC CI outreach to non-IC entities, including: 11. NCSC は、情報機関 以外の組織に対する 情報機関 の防諜アウトリーチについて、以下のような計画を策定する。
a. Identifying IC outreach roles and responsibilities for each element of the IC: and a. 情報機関 の各要素に対する 情報機関 アウトリーチの役割と責任を明確にする。
b. Identifying and requesting resources and authorities necessary to implement this plan. b. この計画を実施するために必要な資源及び権限を特定し、要請すること。
12. The USG should consider establishing a dedicated CIR&D fund and a CI R&D board to fund and oversee R&D efforts. 12. 米国政府は、研究開発努力に資金を提供し監督するために、専用の防諜R&D 基金及び防諜研究開発委員会の設立を検討すべきである。
13. NCSC should develop a strategic plan, in consultation with relevant stakeholders, for CIR&D efforts. 13. NCSC は、関連するステークホルダーと協議の上、防諜R&D の取組みに関する戦略的計画を策定するべきである。
14. NCSC should develop a plan for strategic CI training across the IC as well as for NT-50s and non-USG entities. 14. NCSC は、情報機関 全体及び NT-50s と非 USG 団体のための戦略的な防諜訓練の計画を策定すること。
15. NCSC should establish a clear vision of what, if any, role it should play in developing and maintaining IC databases that support the CI mission. 15. NCSCは、防諜ミッションに対応した情報機関データベースの開発・維持にどのような役割を果たすべきかについて、明確なビジョンを定めるべきである。
NCSC's Authorities and Resources NCSC の権限と資源
16. Congress or the Executive Branch should provide NCSC with explicit authorities to ensure that NCSC can require appropriate CI entities to participate in NCSC-led efforts in support of the National CI Strategy. 16. 議会または行政府は、NCSCが適切な情報機関に対し、国家情報戦略に対するNCSC主導の取り組みに参加するよう要求できるよう、明確な権限をNCSCに付与するべきである。
17. If Congress determines that NCSC should own the strategic CI mission, then Congress should provide NCSC with the appropriate authorities and resources necessary to develop and execute a strategic CI program including: 17. 議会が NCSC に戦略的防諜任務を担わせるべきと判断した場合、議会は NCSC に対し、以下を含む戦略的防諜計画の策定及び実行に必要な適切な権限及び資源を与えるべきである。
a. Strengthening NCSC's authorities to determine IC strategic CI budgets. a. 情報機関 の戦略的防諜予算を決定する NCSC の権限を強化すること。
b. Considering the establishment of a separate appropriation for NCSC to support NT-50 and non-USG CI programs with strategic CI and/or security objectives and/or clarifying ODNI's ability to transfer NIP resources to NT-50s. b. 戦略的な防諜及び/又は安全保障を目的とするNT-50及び非USG防諜プログラムを支援するためのNCSCの別予算の設置を検討すること及び/又はODNIによるNT-50へのNIPリソース移転能力を明確化すること。
c. Providing NCSC with authorities to task I entities with carrying out specific elements of a strategic CI program. c. NCSC に、戦略的防諜プログラムの特定の要素を I 機関に実行させる権限を付与すること。

 

公聴会...

・2022.09.21 Hearings

29分45秒あたりから始まります...

Title:  Protecting American Innovation: Industry, Academia, and the National Counterintelligence and Security Center






Witnesses

Hon. William R.

Evanina Founder and CEO

Evanina Group and Former Director for the National Counterintelligence & Security Center (NCSC)

Hon. Michelle Van Cleave

Senior Advisor

Jack Kemp Foundation and Former National Counterintelligence Executive (NCIX)

 

Dr. Kevin Gamache

Associate Vice Chancellor and Chief Research Security Officer

Texas A&M University System

 

Mr. Robert Sheldon

Director, Public Policy & Strategy

CrowdStrike

 

| | Comments (0)

2022.11.14

防衛省防衛研究所 中国共産党第 20 回全国代表大会の分析

こんにちは、丸山満彦です。

防衛省防衛研究所が、中国共産党第 20 回全国代表大会の分析について(今のところ?)2つの報告書を公表していますね。。。

1つ目は、

  • 情勢認識
  • 国内政策方針

2つ目は、

  • 外交方針

をテーマに分析しているようです。。。

防衛省 防衛研究所

・2022.11.08 [PDF] 米国への対抗と途上国外交を中心とした外交路線 ―中国共産党第20回全国代表大会の分析②―

20221114-104722

  • はじめに
  • 厳しい国際情勢認識
  • 「西洋対非西洋」という対立軸を強調
  • 対立を前提とした対米政策
  • 現代の中間地帯論?-新興国・発展途上国外交の重視
  • 対外的な介入の拡大?
  • 台湾に対する圧力路線の継続
  • おわりに

 

・2202.10.27 [PDF] 習近平の危機感と国家安全保障の論理 ―中国共産党第20回全国代表大会の分析①―

20221114-104708

  • はじめに
  • 米中対立の深まりを受けた厳しい国際情勢認識
  • 国家安全保障の論理
  • 中国式現代化、中国式民主、中国的な価値観?
  • 経済と科学技術
  • 中国共産党の指導権とイデオロギー
  • おわりに

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.11.07 米国 ドイツ バイデン大統領と訪中したシュルツ首相との電話会談

・2022.11.05 ドイツ 中国 シュルツ首相の中華人民共和国訪問

・2022.10.24 中国 第20回全国大会が閉幕

・2022.10.10 中国 習近平総書記が中国のサイバーセキュリティ活動を指導 (2022.09.28)

 

| | Comments (0)

欧州データ保護委員会 スロベニアデータ監督庁 財産の保護はGPS追跡の正当な利益となり得るが、その手段は適切かつ必要なものでなければならない

こんにちは、丸山満彦です。

スロベニアのデータ監督庁の依頼(情報提供目的)で、欧州保護委員会に、GPS追跡とプライバシーについての説明を公表していますね。。。

元々、スロベニアの監督庁によって2022.10.04に決定されたものを、スロベニア監督庁の依頼で、EDPBのウェブページにあげたものですね。。。

財産保全目的で社用車のGPS追跡監視と従業員のプライバシーの問題を考える時に参考になるかもですね。。。

 

European Data Protection Board: EDPB

・2022.11.09 Safety of property can be a legitimate interest for GPS tracking, but the measure must be appropriate and necessary

 

Safety of property can be a legitimate interest for GPS tracking, but the measure must be appropriate and necessary 財産の安全性はGPS追跡の正当な利益となり得るが、その手段は適切かつ必要なものでなければならない
Background information 背景情報
Date of final decision: 04 October 2022 最終決定日:2022年10月4日
Controller: employer in private sector 管理者:民間企業における雇用者
Legal Reference: National Law (Personal Data Protection Act), Article 5.1(c) and 6.1(f) of the GDPR 法的な参照先 国内法(個人情報保護法)、GDPR第5条1項(c)、第6条1項(f)
Decision: Order to comply 決定事項:遵守を求める命令
Key words: GPS tracking キーワード:GPSトラッキング
Summary of the Decision 決定の概要
Origin of the case 事案の背景
The data controller introduced GPS tracking of seven company vehicles in 2009, after a theft event at worksite. The vehicles were used for fieldwork transport and installation of equipment at client’s premises. The purpose of GPS tracking was to insure the vehicles, expensive equipment and documents, that are in the vehicle in case of theft. データ管理者は、2009年に職場で盗難事件が発生した後、7台の社用車にGPS追跡を導入した。車両は、フィールドワークの輸送や顧客企業の敷地内での機器の設置に使用されていた。GPS追跡の目的は、盗難に備えて、車両、高価な機器、車両内の文書に保険をかけることであった。
The controller stated that GPS tracking did not represent data processing and that individuals could be identified only in exceptional cases (criminal offences, protection of people and property, traffic accidents, claim event, etc.). GPS application could not access personal data of employers, who used the vehicle, because they were kept in a separate record. The data was processed by application and monitored by external contractor. 管理者は、GPS追跡はデータ処理を意味するものではなく、個人を特定できるのは例外的な場合(犯罪、人や財産の保護、交通事故、クレームイベントなど)だけであると述べている。GPSアプリケーションは、車両を使用する雇用者の個人データにはアクセスできず、それらは別の記録で保管されていたためである。データはアプリケーションで処理され、外部の委託業者が監視していた。
Key Findings 主な調査結果
The Slovenian Supervisory Authority (SA) determined that the controller carried out GPS tracking of eight company vehicles. The vehicles were used by employees as delivery vehicles and passenger delivery vehicles. Tracking was carried out by a special transmitter in the vehicle and monitored by an application that continuously recorded the distance travelled. Individuals were identifiable. スロベニア監督庁(SA)は、管理者が8台の社用車のGPS追跡を実施したことを決定した。これらの車両は、従業員が配送車や乗客用の配送車として使用していた。追跡は、車両に搭載された特殊な送信機によって行われ、走行距離を連続的に記録するアプリケーションによって監視され、個人を特定することができた。
A special record was being created containing a large amount of location data of employees. The data was processed continuously, systematically and automatically so that the employer could determine in any moment, where an individual traveling with one of the vehicles was located. The data could be accessed also retrospectively.  The employer could easily determine the employee who was using the company vehicle and to whom the location data is attributable. 従業員の大量の位置情報を含む特別な記録が作成されていた。データは継続的、系統的、自動的に処理され、雇用主は車両で移動する個人がどこにいるのか、いつでも特定できるようになっていた。このデータは、過去にさかのぼってアクセスすることも可能である。  雇用主は、社用車を使用していた従業員と、位置情報が帰属する従業員を容易に特定することができた。
The Slovenian SA was investigating if there was a legal basis for processing the personal data pursuant to Article 6 of the GDPR.   スロベニア監督庁は、GDPR第6条に基づき、個人データの処理に法的根拠があるかどうかを調査していた。 
Decision 決定
The Slovenian SA was assessing whether data processing was lawful in accordance to Article 6.1 (f) of the GDPR – legitimate interests. スロベニア監督庁は、データ処理がGDPR第6条1項(f)-正当な利益-に従って合法的であるかどうかを評価していた。
Slovenian SA confirmed that providing safety of property can be in a legitimate interest of the data controller, but the controller did not demonstrate that the way the measure was carried out was appropriate and necessary. It was found that GPS tracking was carried out also while the vehicle and the property in it were under constant and direct supervision of an employee. Slovenian SAは、財産の安全を提供することはデータ管理者の正当な利益になり得ることを確認したが、管理者はその措置の実行方法が適切かつ必要であることを証明しなかった。GPS追跡は、車両とその中の財産が従業員の常時直接監視下に置かれている間にも実施されていたことが判明している。
Slovenian SA decided that in the specific case GPS tracking could only be used in a way that the driver could turn on the GPS on the location where the vehicle, the equipment and the documents could be at risk and turn it off after returning to the vehicle, when the protected goods were again under direct supervision of an employee. スロベニア監督庁は、特定のケースにおいて、GPS追跡は、車両、機器、文書が危険にさらされる可能性のある場所で運転手がGPSをオンにし、車両に戻った後、保護対象物が再び従業員の直接の監視下にあるときにオフにするという方法でしか使用できないと判断した。
Regarding safety of individuals in case of traffic accidents Slovenian SA decided that constant GPS tracking was disproportionate. The place of the accident is usually known, the location of the accident could also be reported by the driver himself. The controller should use a less intrusive measure on individual’s information privacy. 交通事故発生時の個人の安全確保について、スロベニア監督庁は、常時GPSを追跡することは不釣り合いであると判断した。事故現場は通常知られており、事故現場は運転手自身によって報告される可能性もあります。管理者は、個人の情報プライバシーに対して、より侵害性の低い手段を用いるべきである。
Slovenian SA decided the controller did not demonstrate legitimate interests according to Article 6.1 (f) and that the GPS tracking was not in accordance with the principle of data minimisation (Article 5.1 (c) of the GDPR).   ソロベニア監督庁は、管理者が第6条1項(f)に基づく正当な利益を証明せず、GPS追跡はデータ最小化の原則(GDPRの第5条1項(c))に従っていないと判断した。 
Slovenian SA ordered the controller to stop processing the data of employees that were collected by continuous, systematic and automatic GPS tracking. スロベニア監督庁は、管理者に対し、継続的、体系的、かつ自動的なGPS追跡によって収集された従業員のデータの処理を停止するよう命じた。
The news published here does not constitute official EDPB communication, nor an EDPB endorsement. This news item was originally published by the national supervisory authority and was published here at the request of the SA for information purposes. Any questions regarding this news item should be directed to the supervisory authority concerned. ここに掲載されたニュースは、EDPBの公式なコミュニケーションではなく、またEDPBの推奨を意味するものでもない。このニュースは、もともと国の監督機関によって発表されたもので、情報提供の目的でSAの要請によりここに掲載されたものである。このニュースに関する質問は、当該監督官庁にすること。

 

1_20221114062301

| | Comments (0)

2022.11.13

欧州議会 NIS2とデジタル・オペレーショナル・レジリエンス法を可決

こんにちは、丸山満彦です。

欧州議会が、NIS2 とデジタル・オペレーショナル・レジリエンス (DORA) 法を可決したようですね。。。

次は欧州理事会ですが、この件については、欧州議会と欧州理事会では合意されているので、手続的な問題ということですかね。。。

 

European Parliament

340pxeuropean_parliament_logosvg

・2022.11.10 Cybersecurity: Parliament adopts new law to strengthen EU-wide resilience

 

Cybersecurity: Parliament adopts new law to strengthen EU-wide resilience サイバーセキュリティ 議会、EU全体のレジリエンスを強化する新法を採択
・New legislation sets tighter requirements for businesses, administrations, infrastructure ・新法は、企業、行政、インフラに対するより厳しい要件を設定。
・Differing national cybersecurity measures make the EU more vulnerable ・各国のサイバーセキュリティ対策が異なるとEUはより脆弱になる。
・New “essential sectors” covered such as energy, transport, banking, health ・エネルギー、運輸、銀行、健康などが新たな「必須セクター」に。
Rules requiring EU countries to meet stricter supervisory and enforcement measures and harmonise their sanctions were approved by MEPs on Thursday. EU諸国に対して、より厳格な監督・執行措置と制裁措置の調和を求める規則が、木曜日、欧州議会で承認された。
The legislation, already agreed between MEPs and the Council in May, will set tighter cybersecurity obligations for risk management, reporting obligations and information sharing. The requirements cover incident response, supply chain security, encryption and vulnerability disclosure, among other provisions. この法律は、5月に欧州議会と理事会の間であるで合意されており、リスク管理、報告義務、情報共有に関するサイバーセキュリティの義務をより厳しく定めるものである。要件は、インシデント対応、サプライチェーンのセキュリティ、暗号化、脆弱性の開示などを規定するものである。
More entities and sectors will have to take measures to protect themselves. “Essential sectors” such as the energy, transport, banking, health, digital infrastructure, public administration and space sectors will be covered by the new security provisions. より多くの企業やセクターが自らを守るための対策を講じなければならなくなる。エネルギー、運輸、銀行、医療、デジタルインフラ、行政、宇宙といった「必須部門」が、新しいセキュリティ条項の対象となる。
During negotiations, MEPs insisted on the need for clear and precise rules for companies, and pushed for the inclusion of as many governmental and public bodies as possible within the scope of the directive. 交渉中、欧州議会議員らは、企業に対する明確かつ正確な規則の必要性を主張し、できるだけ多くの政府機関および公共機関を指令の範囲に含めるよう働きかけた。
The new rules will also protect so-called “important sectors” such as postal services, waste management, chemicals, food, manufacturing of medical devices, electronics, machinery, motor vehicles and digital providers. All medium-sized and large companies in selected sectors would fall under the legislation. 新しい規則は、郵便事業、廃棄物処理、化学、食品、医療機器製造、電子機器、機械、自動車、デジタルプロバイダーなど、いわゆる「重要分野」も保護することになる。特定分野のすべての中堅・大企業は、この法律の対象となる。
It also establishes a framework for better cooperation and information sharing between different authorities and member states and creates a European vulnerability database. また、異なる当局や加盟国間の協力や情報共有をより良くするための枠組みを確立し、欧州の脆弱性データベースを構築する。
Quote 引用
“Ransomware and other cyber threats have preyed on Europe for far too long. We need to act to make our businesses, governments and society more resilient to hostile cyber operations” said lead MEP Bart Groothuis (Renew, NL). 欧州議会議員のBart Groothuis (Renew, NL)は以下のように述べている。「ランサムウェアやその他のサイバー脅威は、あまりにも長い間、欧州を食い物にしてきた。我々は、企業、政府、社会を、敵対的なサイバー操作に対してより強くするために行動する必要がある」。
“This European directive is going to help around 160,000 entities tighten their grip on security and make Europe a safe place to live and work. It will also enable information sharing with the private sector and partners around the world. If we are being attacked on an industrial scale, we need to respond on an industrial scale,” he said. 「この欧州指令は、約16万社の企業がセキュリティを強化し、欧州を生活と仕事の場として安全な場所にするために役立つだろう。また、民間企業や世界中のパートナーとの情報共有も可能になる。産業規模で攻撃されているのであれば、産業規模で対応する必要がある」。
“This is the best cyber security legislation this continent has yet seen, because it will transform Europe to handling cyber incidents pro-actively and service orientated,” he added. 「これは、欧州がサイバーインシデントに積極的に対処し、サービス指向に転換するものであるため、この大陸がこれまでに見たことのない最高のサイバーセキュリティ法制である」。
Next steps 次のステップ
MEPs adopted the text with 577 votes to 6, with 31 abstentions. After Parliament’s approval, Council also has to formally adopt the law before it will be published in the EU’s Official Journal. 欧州議会は、577票対6票で法案を採択し、31票の棄権票を投じた。欧州議会の承認後、EU理事会がこの法律を正式に採択し、EU官報に掲載される予定である。
Background 背景
The Network and Information Security (NIS) Directive was the first piece of EU-wide legislation on cybersecurity, and its specific aim was to achieve a high common level of cybersecurity across the Member States. While it increased the Member States' cybersecurity capabilities, its implementation proved difficult, resulting in fragmentation at different levels across the internal market. ネットワークと情報のセキュリティ(NIS)指令は、サイバーセキュリティに関するEU全体の最初の法律であり、その具体的な目的は、加盟国全体でサイバーセキュリティの高い共通レベルを達成することであった。この指令は、加盟国のサイバーセキュリティ能力を高める一方で、その実施は困難であることが判明し、その結果、域内市場全体で異なるレベルでの分断が生じた。
To respond to the growing threats posed by digitalisation and the surge in cyber-attacks, the Commission has submitted a proposal to replace the NIS Directive and thereby strengthen the security requirements, address the security of supply chains, streamline reporting obligations, and introduce more stringent supervisory measures and stricter enforcement requirements, including harmonised sanctions across the EU. デジタル化とサイバー攻撃の急増がもたらす脅威の増大に対応するため、欧州委員会はNIS指令の代替案を提出し、それによってセキュリティ要件の強化、サプライチェーンのセキュリティへの対応、報告義務の合理化、より厳しい監督措置の導入、EU全域での制裁の調和を含むより厳しい執行要件の導入を図ることにしている。

 

・[PDF] A high common level of cybersecurity across the Union

20221113-34256

 

DORA

・[PDF] Digital finance: Digital Operational Resilience Act (DORA)

20221113-34351

・2022.11.28 (press) Digital finance: Council adopts Digital Operational Resilience Act

 

EUR-LEX 

Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on digital operational resilience for the financial sector and amending Regulations (EC) No 1060/2009, (EU) No 648/2012, (EU) No 600/2014 and (EU) No 909/2014

・[HTML] EN


 

NIS2については、ここを見ればわかるかも。。。

まるちゃんの情報セキュリティ気まぐれ日記

・2020.12.28 欧州委員会 サイバーセキュリティ戦略の公表とネットワークおよび情報システムのセキュリティに関する指令の改訂(NIS2指令)提案 at 2020.12.16

 

こちらも参考に...

・2021.03.24 欧州理事会 EUサイバーセキュリティ戦略を採択

 

 

Continue reading "欧州議会 NIS2とデジタル・オペレーショナル・レジリエンス法を可決"

| | Comments (0)

2022.11.12

NIST ホワイトペーパー【プロジェクト概要】ソフトウェアサプライチェーンとDevOpsのセキュリティ実践:リスクベースアプローチによるDevSecOpsの実践

こんにちは、丸山満彦です。

ソフトウェアのサプライチェーン・リスクは政府機関を含む、多くの組織にとって重要な影響を及ぼすにもかかわらず、その管理が社会全体で見ると十分にできていないために、社会的な取り組みが必要となるのかもしれませんね。SBOMとかもね。。。(ただ、本当にSBOMが最適解なのか、という話もあるかもですが...)

いずれにしてもサプライチェーン・リスクについては、政府機関等、影響を受ける組織が、率先して取り組みを進めることが重要かもしれません。。。

このホワイトペーパーでは、オープンソフト開発、クローズドソフト開発、それぞれのシナリオを用意していますね。。。

 

NIST - ITL

・2022.11.09 White Paper [Project Description] Software Supply Chain and DevOps Security Practices: Implementing a Risk-Based Approach to DevSecOps

 

White Paper [Project Description] Software Supply Chain and DevOps Security Practices: Implementing a Risk-Based Approach to DevSecOps ホワイトペーパー【プロジェクト概要】ソフトウェアサプライチェーンとDevOpsのセキュリティ実践:リスクベースアプローチによるDevSecOpsの実践
Abstract 概要
DevOps brings together software development and operations to shorten development cycles, allow organizations to be agile, and maintain the pace of innovation while taking advantage of cloud-native technology and practices. Industry and government have fully embraced and are rapidly implementing these practices to develop and deploy software in operational environments, often without a full understanding and consideration of security. Also, most software today relies on one or more third-party components, yet organizations often have little or no visibility into and understanding of how these components are developed, integrated, deployed, and maintained, as well as the practices used to ensure the components’ security. To help improve the security of DevOps practices, the NCCoE is planning a DevSecOps project that will focus initially on developing and documenting an applied risk-based approach and recommendations for secure DevOps and software supply chain practices consistent with the Secure Software Development Framework (SSDF), Cybersecurity Supply Chain Risk Management (C-SCRM), and other NIST, government, and industry guidance. This project will apply these DevSecOps practices in proof-of-concept use case scenarios that will each be specific to a technology, programming language, and industry sector. Both closed source (proprietary) and open source technology will be used to demonstrate the use cases. This project will result in a freely available NIST Cybersecurity Practice Guide. DevOpsは、ソフトウェア開発と運用を統合し、開発サイクルの短縮、組織のアジャイル化、クラウドネイティブな技術と実践を活用しながらイノベーションのペースを維持することを可能にする。産業界と政府機関は、運用環境におけるソフトウェアの開発とデプロイのために、これらのプラクティスを完全に受け入れ、急速に導入しているが、多くの場合、セキュリティについて十分に理解し、考慮することなく行っている。また、今日のほとんどのソフトウェアは、1つ以上のサードパーティコンポーネントに依存しているが、組織はこれらのコンポーネントがどのように開発、統合、配備、保守されているか、また、コンポーネントのセキュリティを確保するためのプラクティスについてほとんど可視化できず、理解できないことがよくある。NCCoEは、DevOpsのセキュリティ向上を支援するため、DevSecOpsプロジェクトを計画している。このプロジェクトでは、まず、セキュアソフトウェア開発フレームワーク(SSDF)、サイバーセキュリティサプライチェーンリスク管理(C-SCRM)、その他のNIST、政府、業界の指針に沿った、安全なDevOpsとソフトウェアのサプライチェーンの実践のためのリスクベースのアプローチと推奨事項を適用し、文書化することに焦点を合わせます。このプロジェクトでは、これらのDevSecOpsの実践を、技術、プログラミング言語、産業分野に特化した概念実証のユースケースシナリオに適用する予定である。ユースケースの実証には、クローズドソース(プロプライエタリ)とオープンソースの両方の技術が使用される予定である。このプロジェクトは、自由に利用できるNISTサイバーセキュリティ実践ガイドを作成する予定である。

 

・[PDF] Project Description

20221112-03442

 

目次...

1 Executive Summary 1 エグゼクティブサマリー
Purpose 目的
Scope 範囲
Assumptions/Challenges 前提条件/課題
Background 背景
2 Scenarios 2 シナリオ
Scenario 1: Free and Open Source Software (FOSS) Development シナリオ1:フリー&オープンソースソフトウェア(FOSS)開発
Scenario 2: Closed Source Software Development シナリオ2:クローズドソースソフトウェアの開発
3 High-Level Architecture 3 ハイレベルなアーキテクチャ
Component List コンポーネント一覧
Desired Security Capabilities 望ましいセキュリティ機能
4 Relevant Standards and Guidance 4 関連する標準とガイダンス
5 Security Control Map 5 セキュリティコントロールマップ
Appendix A   References 附属書A 参考文献
Appendix B   Acronyms and Abbreviations 附属書B 頭字語および略語

 

エグゼクティブサマリー...

1 EXECUTIVE SUMMARY  1 エグゼクティブサマリー 
Purpose  目的 
DevOps brings together software development and operations to shorten development cycles, allow organizations to be agile, and maintain the pace of innovation while taking advantage of cloud-native technology and practices. Industry and government have fully embraced and are rapidly implementing these practices to develop and deploy software in operational environments, often without a full understanding and consideration of security.  DevOps は、ソフトウェア開発と運用を統合し、開発サイクルを短縮し、組織がアジャイルになり、クラウドネイティブな技術とプラクティスを活用しながらイノベーションのペースを維持することを可能にする。産業界と政府機関は、運用環境におけるソフトウェアの開発とデプロイのために、これらのプラクティスを完全に受け入れ、急速に導入しているが、多くの場合、セキュリティを十分に理解し、考慮することなく行っている。
DevSecOps helps ensure that security is addressed as part of all DevOps practices by integrating security practices and automatically generating security and compliance artifacts throughout the processes and environments, including software development, builds, packaging, distribution, and deployment. This is important for several reasons, including:  DevSecOpsは、ソフトウェア開発、ビルド、パッケージング、配布、配備などのプロセスや環境全体を通じて、セキュリティの実践を統合し、セキュリティとコンプライアンスの成果物を自動的に生成することにより、すべてのDevOps実践の一部として、セキュリティへの対応を確保することを支援する。これは、以下のようないくつかの理由で重要である。
• reducing vulnerabilities, malicious code, and other security issues in released software without slowing down code production and releases;  ・コードの生産とリリースを減速させることなく, リリース済みソフトウエアの脆弱性、悪意あるコード、その他のセキュリティ問題を低減する。
• mitigating the potential impact of vulnerability exploitation throughout the software lifecycle, including when the software is being developed, built, packaged, distributed, deployed, and executed on dynamic hosting platforms;  ・ソフトウェアの開発、ビルド、パッケージング、配布、配備、および動的ホスティングプラットフォームでの実行を含むソフトウェアライフサイクル全体を通して脆弱性の悪用による潜在的な影響を軽減すること。
• addressing the root causes of vulnerabilities to prevent recurrences, such as strengthening test tools and methodologies in the toolchain, and improving practices for developing code and operating hosting platforms; and  ・再発防止のための脆弱性の根本原因への対処(ツールチェーンにおけるテストツールや手法の強化、コード開発やホスティングプラットフォームの運用方法の改善など);及び 
• reducing friction between the members of the development, operation, and security teams in order to maintain the speed and agility needed to support the organization’s mission while taking advantage of modern and innovative technology.  ・開発・運用・セキュリティの各担当者間の摩擦を減らし、組織のミッションをサポートするために必要なスピードと俊敏性を維持しながら最新かつ革新的な技術を活用すること。
There is increasing recognition that DevSecOps should also encompass software supply chain security. Most software today relies on one or more third-party components, yet organizations often have little or no visibility into and understanding of how these software components are developed, integrated, deployed, and maintained, as well as the practices used to ensure the components’ security. DevSecOps practices can help identify, assess, and mitigate cybersecurity risk for the software supply chain [1].  DevSecOpsは、ソフトウェアサプライチェーンセキュリティも包含すべきであるという認識が広まってきている。今日、ほとんどのソフトウェアは1つ以上のサードパーティコンポーネントに依存しているが、組織はこれらのソフトウェアコンポーネントがどのように開発、統合、配備、保守されているか、また、コンポーネントのセキュリティを確保するためのプラクティスについてほとんど可視化できず、理解できないことがよくある。DevSecOpsの実践は、ソフトウェアサプライチェーンのサイバーセキュリティリスクを特定、評価、軽減するのに役立つ[1]。
This document defines a National Cybersecurity Center of Excellence (NCCoE) project. This project focuses on developing and documenting an applied risk-based approach and recommendations for DevSecOps practices. For the purposes of this project, the term “DevSecOps” refers to integrating security practices developed by the security team into existing pipelines (e.g., continuous integration/continuous delivery [CI/CD]) and existing toolchains used by developers and managed by operations teams. NIST’s proposed approach for this project is similar to those used for the NIST Secure Software Development Framework (SSDF) [2] and the NIST Cybersecurity Framework [3]. This project is intended to help enable organizations to maintain the velocity and volume of software delivery in a cloud-native way and take advantage of automated tools. The project will also determine how the practices and tasks from the NIST SSDF can be implemented as part of a DevSecOps approach.   この文書は、国立サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)プロジェクトを定義している。このプロジェクトは、DevSecOps の実践のための応用リスクベースのアプローチと推奨事項を開発し、文書化することに重点を置いている。このプロジェクトでは、「DevSecOps」という用語は、セキュリティチームが開発したセキュリティ対策を、既存のパイプライン(例えば、継続的インテグレーション/継続的デリバリー[CI/CD])と、開発者が使用し、運用チームが管理する既存のツールチェーンに統合することを指している。このプロジェクトでNISTが提案するアプローチは、NISTセキュアソフトウェア開発フレームワーク(SSDF)[2]やNISTサイバーセキュリティフレームワーク[3]に用いられているアプローチと類似している。このプロジェクトは、組織がクラウドネイティブの方法でソフトウェア提供の速度と量を維持し、自動化ツールを活用できるようにすることを目的としている。また、NIST SSDFのプラクティスやタスクが、DevSecOpsアプローチの一部としてどのように実装できるかを判断する。 
The project’s objective is to produce practical and actionable guidelines that meaningfully integrate security practices into development methodologies. Industry, government, and other organizations could then apply the guidelines when choosing and implementing DevSecOps practices in order to improve the security of the software they develop and operate. That, in turn, would improve the security of the organizations using that software, and so on throughout the software supply chain. Additionally, the project intends to demonstrate how an organization can generate artifacts as a byproduct of its DevSecOps practices to support and inform the organization’s self-attestation and declaration to conformance to applicable NIST and industryrecommended practices for secure software development and cybersecurity supply chain risk management.  このプロジェクトの目的は、セキュリティの実践を開発手法に有意義に統合する、実用的で実行可能なガイドラインを作成することである。産業界、政府機関、その他の組織は、開発・運用するソフトウェアのセキュリティを向上させるために、DevSecOpsの手法を選択・導入する際に、このガイドラインを適用することができる。その結果、そのソフトウェアを使用する組織のセキュリティが向上し、ソフトウェアのサプライチェーン全体が改善される。さらに、このプロジェクトでは、組織がDevSecOpsの実践の副産物として成果物を生成し、安全なソフトウェア開発とサイバーセキュリティサプライチェーンリスク管理に関して適用可能なNISTと業界が推奨する実践への適合を自己証明し、宣言する方法を示すことを意図している。
The project will also strive to demonstrate the use of current and emerging secure development frameworks, practices, and tools to address cybersecurity challenges. Lessons learned during the project will be shared with the security and software development communities to inform improvements to secure development frameworks, practices, and tools. Lessons learned will also be shared with standards developing organizations to inform their DevSecOps-related work.  また、このプロジェクトでは、サイバーセキュリティの課題に対処するために、現在および将来の安全な開発フレームワーク、手法、ツールを使用することを実証するよう努める。このプロジェクトで得られた教訓は、セキュリティコミュニティやソフトウェア開発コミュニティと共有され、安全な開発フレームワーク、実践方法、ツールの改善に役立てられる。また、得られた教訓は、標準化団体と共有し、DevSecOps関連の作業に反映させる予定である。
We received community feedback on the initial draft of this project description through both public comments and the NCCoE DevSecOps Workshop. We revised the project description to address the feedback.  このプロジェクトの説明の最初のドラフトに対して、パブリックコメントとNCCoE DevSecOpsワークショップの両方を通じて、コミュニティからフィードバックがあった。そのフィードバックに対応するため、プロジェクトの説明を改訂した。
This project will result in a publicly available NIST Cybersecurity Practice Guide, a detailed implementation guide of the practical steps needed to implement a cybersecurity reference design that addresses this challenge.  このプロジェクトは、この課題に対処するサイバーセキュリティのリファレンスデザインを実装するために必要な実践的ステップの詳細な実装ガイドである、一般に利用可能なNISTサイバーセキュリティ実践ガイドを作成する予定である。
Scope  範囲 
This project will apply DevSecOps practices in multiple proof-of-concept use case scenarios that each involve different technologies, programming languages, industry sectors, etc. The NCCoE project will use closed source and open source technology to demonstrate the use cases. The intention is to demonstrate DevSecOps practices, especially using automation, that would apply to organizations of all sizes and from all sectors, and to development for information technology (IT), operational technology (OT), Internet of Things (IoT), and other technology types. This project will not focus on the development of any particular technology type.  このプロジェクトでは、異なる技術、プログラミング言語、産業分野などを含む複数の概念実証のユースケースシナリオにDevSecOpsの実践を適用する。NCCoEプロジェクトでは、クローズドソースとオープンソースの技術を使用して、ユースケースを実証する。その意図は、あらゆる規模、あらゆる分野の組織、および情報技術(IT)、運用技術(OT)、モノのインターネット(IoT)、その他の技術タイプの開発に適用できる、特に自動化を用いたDevSecOpsの実践を実証することにある。このプロジェクトは、特定の技術タイプの開発に焦点を当てることはない。
As part of this project, NIST will bring together and normalize content on DevSecOps practices from existing guidance and practices publications. This content, to be published as part of the project’s NIST Cybersecurity Practice Guide, will be drafted and revised in parallel with the use case implementations. It will provide definitions of fundamental DevSecOps concepts so that developers, security professionals, and operations personnel can all have the same shared understanding of them. Also, it will document key elements that organizations would need to build successful DevSecOps practices, from changing the organization’s culture to automating security practices into existing development pipelines and toolchains to support the concept of continuous authorization to operate (ATO). The guide will also provide all organizations with a way to document their current DevSecOps practices and define their future target practices as part of their continuous improvement processes. The recommendations and practices in the guide will be crafted to provide organizations choosing to adopt them with flexibility and customizability in their implementation.  このプロジェクトの一環として、NISTは、既存のガイダンスやプラクティスの出版物からDevSecOpsのプラクティスに関するコンテンツを集め、標準化する予定である。このコンテンツは、このプロジェクトのNISTサイバーセキュリティ実践ガイドの一部として発行される予定で、ユースケースの実装と並行して起草・改訂される予定である。開発者、セキュリティ専門家、運用担当者が同じように理解できるように、DevSecOps の基本概念の定義を提供する。また、組織の文化を変えることから、既存の開発パイプラインやツールチェーンにセキュリティ対策を自動化し、継続的な操作権限(ATO)の概念をサポートするなど、組織がDevSecOpsを成功させるために必要な主要な要素を文書化する予定である。また、このガイドは、すべての組織が、継続的な改善プロセスの一環として、現在のDevSecOpsの実践を文書化し、将来目標とする実践を定義する方法を提供するものである。ガイドの勧告とプラクティスは、それらを採用することを選択した組織が、その実装において柔軟性とカスタマイズ性を得られるように作成される予定である。
Selected NIST guidance most closely related to DevOps and supply chain security, such as NIST Special Publication (SP) 800-218 [2], SP 800-190 [4], and SP 800-161 [1], will be leveraged for the use case implementations and may be updated during the course of the project based on lessons learned from the implementations. There are many existing security guidance and practices publications from NIST and others, but they have not yet been put into the context of DevOps or DevSecOps. Industry, standards developing organizations, government agencies, and others are already performing DevSecOps. Their efforts would be leveraged to provide a community-developed set of recommended practices. Updating affected NIST publications so they reflect DevSecOps principles would also help organizations to make better use of their recommendations.  NIST Special Publication (SP) 800-218 [2]、SP 800-190 [4]、SP 800-161 [1]など、DevOps とサプライチェーンのセキュリティに最も関係の深い NIST のガイダンスが使用事例の実装に利用され、実装から得られた教訓に基づいてプロジェクトの過程で更新されることがある。NIST などから多くの既存のセキュリティガイダンスと実践の出版物があるが、それらはまだ、DevOps または DevSecOps の文脈に当てはめたものではありません。業界、標準化団体、政府機関などは、すでにDevSecOpsを実施している。彼らの努力を活用し、コミュニティが開発した一連の推奨プラクティスを提供する。NIST の関連出版物を更新して、DevSecOps の原則を反映させれば、組織がその勧告をよりよく利用できるようにもなる。
Assumptions/Challenges  前提条件/課題 
Readers are assumed to understand basic DevOps and secure software development concepts.  読者は、基本的なDevOpsと安全なソフトウェア開発の概念を理解していることが前提である。
Background  背景 
A software development life cycle (SDLC)[1] is a formal or informal methodology for designing, creating, and maintaining software (including code built into hardware). There are many models for SDLCs, including waterfall, spiral, agile, and – in particular – agile combined with software development and IT operations (DevOps) practices. Few SDLC models explicitly address software security in detail, so secure software development practices usually need to be added to and integrated into each SDLC model. Regardless of which SDLC model is used, secure software development practices should be integrated throughout it for three reasons: to reduce the number of vulnerabilities in released software, to reduce the potential impact of the exploitation of undetected or unaddressed vulnerabilities by both external attackers and insider threats, and to address the root causes of vulnerabilities to prevent recurrences. Vulnerabilities include not just bugs caused by coding flaws, but also weaknesses caused by security configuration settings, incorrect trust assumptions, secrets or credentials stored within code, and outdated or incorrect risk analysis [5].   ソフトウェア開発ライフサイクル(SDLC)[1]は、ソフトウェア(ハードウェアに組み込まれたコードを含む)を設計、作成、および保守するための公式または非公式な方法論である。SDLC には、ウォーターフォール、スパイラル、アジャイル、そして特にアジャイルとソフトウェア開発および IT オペレーション(DevOps)プラクティスを組み合わせたものなど、多くのモデルが存在する。ソフトウェアセキュリティの詳細を明示的に扱うSDLCモデルはほとんどないため、安全なソフトウェア開発の実践は、通常、各SDLCモデルに追加、統合される必要がある。どの SDLC モデルを使用するかに関係なく、安全なソフトウェア開発の実践は、3つの理由から、SDLC モデル全体に統合されるべきである。脆弱性には、コーディングの欠陥によるバグだけでなく、セキュリティ構成の設定、誤った信頼の仮定、コード内に格納された秘密や認証情報、時代遅れまたは誤ったリスク分析に起因する弱点も含まれる[5]。 
Most aspects of security can be addressed at multiple places within an SDLC, typically with some differences in cost, effectiveness, and ease of integration. However, in general, the earlier in the SDLC that security is addressed, the less effort and cost is ultimately required to achieve the same level of security. This principle, known as shifting left, is critically important regardless of the SDLC model. Shifting left minimizes any technical debt that would require remediating early security flaws late in development or after the software is in production, at a higher cost than if they’d been remediated earlier. Shifting left can also result in software with stronger security.  セキュリティのほとんどの側面は、SDLC 内の複数の場所で対処することができ、典型的には、コスト、有効性、および、統合の容易さにおいて、多少の違いがある。しかし、一般に、SDLC の早い段階でセキュリティに対処すればするほど、同じレベルのセキュリティを達成するために必要な労力とコストは最終的に少なくなる。この原則は、左遷として知られているが、SDLC モデルに関係なく、極めて重要である。左にシフトすることによって、初期のセキュリティ不具合を、開発の後期または、ソフトウェアが生産された後に、早期に是正した場合よりも高いコストで是正しなければならないような技術的負債を最小限にすることができる。また、レフトシフトすることで、より強固なセキュリティを備えたソフトウェアを実現することができる。
With today’s software, the responsibility for implementing security practices is often distributed among multiple organizations based on the delivery mechanism (e.g., infrastructure as a service, software as a service, platform as a service, container as a service, serverless). In these situations, it likely follows a shared responsibility model involving the platform/service providers and the tenant organization that is consuming those platforms/services. The parties will need to agree on what security practices need to be performed based on the organization’s defined policy, regulations, and mandates, which party is responsible for each practice, and how each party will attest to their conformance with the agreement.  今日のソフトウェアでは、セキュリティ対策を実施する責任が、提供メカニズム(例:サービスとしてのインフラ、サービスとしてのソフトウェア、サービスとしてのプラットフォーム、サービスとしてのコンテナ、サーバーレス)に応じて複数の組織に分散されることが多くなっている。このような状況では、プラットフォーム/サービスのプロバイダーと、それらのプラットフォーム/サービスを消費しているテナント組織が関与する責任共有モデルに従う可能性が高い。両当事者は、組織が定義したポリシー、規制、および義務に基づき、どのようなセキュリティ対策を実施する必要があるか、各対策にどの当事者が責任を負うか、そして各当事者が契約への準拠をどのように証明するかについて合意する必要がある。
Another aspect of today’s software is that it often uses one or more software components developed by other organizations, groups, or individuals. Some of those components may also use components from other organizations, and so on. Managing cybersecurity risk from thirdparty software components, as part of cybersecurity supply chain risk management (C-SCRM), involves identifying, assessing, selecting, and implementing processes and mitigating controls. This risk management can largely be integrated into DevSecOps through its automation capabilities—for example, constant automated testing of software and software components to identify vulnerabilities, breaches of integrity, and other security issues.  今日のソフトウェアのもう一つの側面は、他の組織、グループ、または個人によって開発された一つまたは複数のソフトウェアコンポーネントを使用することが多いということである。これらのコンポーネントの中には、他の組織のコンポーネントを使用しているものもあり、そのような場合は、他の組織のコンポーネントを使用することになる。サードパーティのソフトウェアコンポーネントがもたらすサイバーセキュリティリスクを管理するには、サイバーセキュリティサプライチェーンリスク管理(C-SCRM)の一環として、プロセスと緩和策を特定、評価、選択、実施する必要がある。このリスク管理は、自動化機能を通じて、DevSecOps に統合することができる。例えば、ソフトウェアとソフトウェアコンポーネントの自動テストを常に行い、脆弱性、整合性違反、およびその他のセキュリティ問題を特定することができる。
[1] Note that SDLC is also widely used for “system development life cycle.” All usage of “SDLC” in this document is referencing software, not systems.  [1] SDLC は、「システム開発ライフサイクル」としても広く使用されていることに留意してください。本書における「SDLC」のすべての用法は、システムではなく、ソフトウェアに言及している。

 

参考文献

APPENDIX A   REFERENCES

  1. Boyens et al., Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations, National Institute of Standards and Technology (NIST) Special Publication (SP) 800-161 Revision 1, Gaithersburg, Md., May 2022, 326 pp. Available: https://doi.org/10.6028/NIST.SP.800-161r1.

  2. Souppaya et al., Secure Software Development Framework (SSDF) Version 1.1: Recommendations for Mitigating the Risk of Software Vulnerabilities, National Institute of Standards and Technology (NIST) Special Publication (SP) 800-218, Gaithersburg, Md., February 2022, 36 pp. Available: https://doi.org/10.6028/NIST.SP.800-218.

  3. NIST, Framework for Improving Critical Infrastructure Cybersecurity, Version 1.1, 2018. https://doi.org/10.6028/NIST.CSWP.04162018.

  4. Souppaya et al., Application Container Security Guide, National Institute of Standards and Technology (NIST) Special Publication (SP) 800-190, Gaithersburg, Md., September 2017, 63 pp. Available: https://doi.org/10.6028/NIST.SP.800-190.

  5. LeMay et al., The Common Misuse Scoring System (CMSS): Metrics for Software Feature Misuse Vulnerabilities, National Institute of Standards and Technology (NIST) Internal Report (IR) 7864, Gaithersburg, Md., July 2012, 39 pp. Available: https://doi.org/10.6028/NIST.IR.7864.

  6. Executive Order on Improving the Nation’s Cybersecurity, Executive Order (EO) 14028, May 12, 2021. Available: https://www.whitehouse.gov/briefing-room/presidentialactions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity/.

  7. Joint Task Force, Security and Privacy Controls for Information Systems and Organizations, National Institute of Standards and Technology (NIST) Special Publication (SP) 800-53 Revision 5, Gaithersburg, Md., September 2020, 492 pp. Available: https://doi.org/10.6028/NIST.SP.800-53r5.

 


 

まるちゃんの情報セキュリティ気まぐれ日記

ドラフト

・2022.07.26 NIST White Paper (Draft) [プロジェクト概要] ソフトウェアサプライチェーンとDevOpsセキュリティの実践:リスクベースアプローチによるDevSecOpsの実践

 

SP800-161 サプライチェーン関係 

・2022.05.08 NIST SP 800-161 Rev. 1 システムと組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントの実践

・2022.02.06 NIST ホワイトペーパー: 大統領令14028条第4e項に基づくソフトウェア・サプライチェーン・セキュリティ・ガイダンス

・2021.10.30 NIST SP 800-161 Rev. 1 (Draft) システムと組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントの実践(第2次ドラフト)

・2021.05.01 NIST SP 800-161 Rev. 1 (ドラフト) システムと組織のためのサイバー・サプライチェーン・リスク管理の実践

・2020.03.01 NISTに基づくSupply Chain Risk Managementについてのちょっとしたまとめ

・2020.02.05 NISTがサプライチェーンセキュリティの実践資料のドラフトを公開していますね。。。

 

SP800-218 セキュアソフトウェア開発関係

・2022.02.06 NIST SP 800-218 セキュアソフトウェア開発フレームワーク (SSDF) Version 1.1: ソフトウェアの脆弱性のリスクを軽減するための推奨事項

・2021.10.02 NIST SP 800-218 (ドラフト)セキュアソフトウェア開発フレームワーク (SSDF) Version 1.1: ソフトウェアの脆弱性のリスクを軽減するための推奨事項

 

 

| | Comments (0)

2022.11.11

NIST ホワイトペーパー 【プロジェクト概要】コンテキストにおけるAI/MLバイアスの緩和

こんにちは、丸山満彦です。

NISTが、「ホワイトペーパー プロジェクト概要 コンテキストにおけるAI/MLバイアスの緩和 」を公表していますね。。。

まずは、金融の信用取引に焦点を当てるようですね。。。その後、採用や入学、、、にも拡張予定という感じですね。。。

さて、ホワイトペーパーでは、シナリオが4つ示されています。。。

  1. バイアスの検出と緩和のための前処理データセット解析
  2. 統計的バイアスの特定と緩和のためのインプロセス・モデルトレーニング分析
  3. 統計的バイアスの特定と緩和のためのポストプロセス・モデル推論分析
  4. 認知バイアスの特定と緩和のためのHITL (Human-in-the-Loop) 決定フロー

 

NIST - ITL

・2022.11.08 Mitigating AI/ML Bias in Context: Final Project Description Released

Mitigating AI/ML Bias in Context: Final Project Description Released コンテキストにおけるAI/MLバイアスの緩和 :最終プロジェクト概要を公開
The National Cybersecurity Center of Excellence (NCCoE) has released a new final project description, Mitigating AI/ML Bias in Context: Establishing Practices for Testing, Evaluation, Verification, and Validation of AI Systems. Publication of this project description continues the process to identify project requirements and scope, along with hardware and software components for use in a laboratory environment. 国立サイバーセキュリティセンター・オブ・エクセレンス(NCCoE)は、新しい最終プロジェクト説明書「AI/MLバイアスを軽減するコンテクスト」を発表した。AIシステムのテスト、評価、検証、および妥当性確認のための実践を確立する。このプロジェクト説明書の発行は、プロジェクトの要件と範囲、および実験室環境で使用するハードウェアとソフトウェアのコンポーネントを特定するプロセスを継続するものである。
Managing bias in an AI system is critical to establishing and maintaining trust in its operation. To tackle this complex problem, this project will adopt a comprehensive socio-technical approach to testing, evaluation, verification, and validation (TEVV) of AI systems in context. This approach will connect the technology to societal values in order to develop recommended guidance for deploying AI/ML decision-making applications. This project will also look at the interplay between bias and cybersecurity. AIシステムのバイアスを管理することは、その運用に対する信頼を確立し維持するために非常に重要である。この複雑な問題に取り組むため、本プロジェクトでは、AIシステムのテスト、評価、検証、妥当性確認(TEVV)に対して、包括的な社会技術的アプローチを採用する予定である。このアプローチは、AI/ML意思決定アプリケーションを展開するための推奨ガイダンスを開発するために、技術を社会的価値と結びつけるものである。また、このプロジェクトでは、バイアスとサイバーセキュリティの相互作用についても検討する予定である。
The initial phase of the project will focus on a proof-of-concept implementation for credit underwriting decisions in the financial services sector. This project will result in a freely available NIST AI/ML Practice Guide. プロジェクトの初期段階では、金融サービス分野における信用引受の意思決定に関する概念実証の実装に焦点を当てる。このプロジェクトは、自由に利用できるNIST AI/ML実践ガイドに結実する予定である。
In the coming months, the NCCoE AI Bias team will be publishing a Federal Register Notice (FRN) based on the final project description. If you are interested in participating in this project with us as a collaborator, you will have the opportunity to complete a Letter of Interest (LOI) where you can present your capabilities. Completed LOIs are considered on a first-come, first-served basis within each category of components or characteristics listed in the FRN, up to the number of participants in each category necessary to carry out the project build. Please stay tuned for more information. 今後数ヶ月の間に、NCCoE AI バイアスチームは、最終的なプロジェクトの説明に基づいて、連邦官報公告(FRN)を発行する予定である。このプロジェクトに共同研究者として参加することに興味がある場合、あなたの能力を提示できるLOI(Letter of Interest)を完成させる機会がある。完成したLOIは、FRNに記載されたコンポーネントや特性の各カテゴリー内で、プロジェクト構築の遂行に必要な各カテゴリーの参加者数を上限として、先着順で検討される。詳細については、後日。

 

・2022.11.08 White Paper [Project Description] Mitigating AI/ML Bias in Context: Establishing Practices for Testing, Evaluation, Verification, and Validation of AI Systems

White Paper [Project Description] Mitigating AI/ML Bias in Context: Establishing Practices for Testing, Evaluation, Verification, and Validation of AI Systems ホワイトペーパー 【プロジェクト概要】AI/MLバイアスを軽減するコンテクスト:AIシステムのテスト、評価、検証、妥当性確認のための実践の確立
Abstract 概要
Managing bias in an AI system is critical to establishing and maintaining trust in its operation. Despite its importance, bias in AI systems remains endemic across many application domains and can lead to harmful impacts regardless of intent. Bias is also context-dependent. To tackle this complex problem, we adopt a socio-technical approach to testing, evaluation, verification, and validation (TEVV) of AI systems in context. This approach connects the technology to societal values in order to develop recommended guidance for deploying AI/ML-based decision-making applications in a sector of the industry. This project will also look at the interplay between bias and cybersecurity. The project will leverage existing commercial and open-source technology in conjunction with the NIST Dioptra, an experimentation test platform for ML datasets and models. The initial phase of the project will focus on a proof-of-concept implementation for credit underwriting decisions in the financial services sector. This project will result in a freely available NIST AI/ML Practice Guide. AIシステムにおけるバイアスを管理することは、その運用に対する信頼を確立し維持するために非常に重要である。その重要性にもかかわらず、AIシステムにおけるバイアスは多くのアプリケーション領域で常在し、意図に関係なく有害な影響をもたらす可能性がある。また、バイアスはコンテキストに依存する。この複雑な問題に取り組むため、我々は、コンテキストにおけるAIシステムのテスト、評価、検証、および妥当性確認(TEVV)に対する社会技術的アプローチを採用する。このアプローチは、AI/MLベースの意思決定アプリケーションを産業の一分野に展開するための推奨ガイダンスを開発するために、技術を社会的価値と結びつける。このプロジェクトでは、バイアスとサイバーセキュリティの相互作用についても検討する。このプロジェクトは、MLデータセットとモデルの実験テストプラットフォームであるNIST Dioptraと連携して、既存の商用およびオープンソースの技術を活用する。プロジェクトの初期段階では、金融サービス分野における信用引受判断のための概念実証の実装に焦点を当てます。 このプロジェクトは、自由に利用できるNIST AI/ML実践ガイドに結実する予定である。

 

・[PDF

20221111-21623

 

 目次...

1 Executive Summary 1 エグゼクティブサマリー
Purpose 目的
Scope 対象範囲
Assumptions/Challenges 前提条件/課題
Background 背景
2 Scenarios 2 シナリオ
Scenario 1: Pre-process dataset analysis for detecting and managing bias シナリオ1:バイアスの検出と緩和のための前処理データセット解析
Scenario 2: In-process model training analysis for identifying and managing statistical bias シナリオ2:統計的バイアスの特定と緩和のためのインプロセス・モデルトレーニング分析
Scenario 3: Post-process model inference analysis for identifying and managing statistical bias シナリオ3:統計的バイアスの特定と緩和のためのポストプロセス・モデル推論分析
Scenario 4: Human-in-the-loop (HITL) decision flow for identifying and managing cognitive bias シナリオ4:認知バイアスの特定と緩和のためのHITL (Human-in-the-Loop) 決定フロー
3 High-Level Architecture 3 ハイレベルアーキテクチャ
Desired Requirements 望ましい要件
4 Relevant Standards and Guidance 4 関連する規格及びガイダンス
Appendix A References 附属書A 参考文献
Appendix B Acronyms and Abbreviations 附属書B 頭字語および略語

 

エグゼクティブサマリー...

Purpose  目的 
Automated decision-making is appealing because artificial intelligence (AI)/machine learning (ML) systems are believed to produce more consistent, traceable, and repeatable decisions compared to humans; however, these systems come with risks that can result in discriminatory outcomes. For example, harmful biases that manifest in AI/ML-based decision systems in credit underwriting can lead to unfair results, causing impacts such as discrimination to individual applicants and potentially rippling throughout society, leading to distrust of AI-based technology and institutions that rely on it. AI/ML-based credit underwriting applications and the models and datasets that underlie them raise concerns about transparency and the identification and mitigation of bias in enterprises that seek to use ML in their credit underwriting pipeline. Yet ML models tend to exhibit “unexpectedly poor behavior when deployed in real world domains” without domain-specific constraints supplied by human operators, as discussed in NIST Special Publication (SP) 1270, Towards a Standard for Identifying and Managing Bias in Artificial Intelligence [1]. Similar problems exist in other contexts, such as hiring and school admissions.  人工知能(AI)/機械学習(ML)システムは、人間と比較してより一貫性があり、追跡可能で、再現性のある決定を下すと考えられているため、自動化された意思決定は魅力的であるが、これらのシステムには差別的結果をもたらしうるリスクが伴う。例えば、信用調査におけるAI/MLベースの判断システムに現れる有害なバイアスは、不公平な結果をもたらし、個々の申請者に差別などの影響を与え、社会全体に波及し、AIベースの技術やそれに依存する機関への不信につながる可能性がある。AI/MLベースの信用引受アプリケーションとその基盤となるモデルやデータセットは、信用引受パイプラインにMLを使用しようとする企業において、透明性とバイアスの特定および緩和に関する懸念を引き起こする。しかし、MLモデルは、NIST 特別報告書 (SP) 1270, 人工知能におけるバイアスの特定と管理のための標準化に向けて [1] で議論されているように、人間のオペレータによって与えられるドメイン固有の制約なしに「現実世界のドメインに展開されると予想外に悪い動作」を示す傾向にある。同様の問題は、採用や入学試験など、他の文脈でも存在する。 
The heavy reliance on proxies can also be a significant source of bias in AI/ML applications. For example, in credit underwriting an AI system might be developed using input variables such as “length of time in prior employment,” which might disadvantage candidates who are unable to find stable transportation, as a measurable proxy in lieu of the not directly measurable concept of “employment suitability.” The algorithm might also include a predictor variable such as residence zip code, which may relate to other socio-economic factors, indirectly inferring protected attributes, and potentially resulting in the erroneous ranking of certain societal groups lower for receiving credit. This in turn would cause AI/ML systems to contribute to biased outcomes. For further information about how the use of proxies may lead to negative consequences in other contexts, see NIST SP 1270 [1].  また、プロキシへの依存度が高いことも、AI/MLアプリケーションにおけるバイアスの重大な原因となり得る。例えば、信用調査において、「雇用の適性」という直接測定できない概念の代わりに、「前職の期間」のような測定可能な代理変数を使ってAIシステムを開発し、安定した交通手段を見つけられない候補者に不利になる可能性がある。また、アルゴリズムは、居住地の郵便番号などの予測変数を含むかもない。これは、他の社会経済的な要因に関連し、保護された属性を間接的に推測し、特定の社会集団が信用を得るために誤って低くランク付けする結果になる可能性がある。これは、AI/MLシステムが偏った結果をもたらす原因となる。プロキシの使用が他の文脈でどのように否定的な結果をもたらすかについての更なる情報は、NIST SP 1270 [1]を参照すること。 
Bias in AI systems is endemic across many application domains and can lead to harmful impacts regardless of intent. The purpose of this project is to develop domain-specific testing, evaluation, verification, and validation (TEVV) guidance for detecting bias; recommendations for managing and mitigating bias; and recommended practices for human decision makers that interact with AI-based decision systems in the specific context of consumer and small business credit underwriting. These practices can help promote fairer outcomes for those that may currently be negatively impacted by AI-based decision systems—see [1], [2]. In addition, the project aims to study the interactions between bias and cybersecurity, with the goal of identifying approaches which might mitigate risks that exist across these two critical disciplines.  AIシステムにおけるバイアスは、多くのアプリケーション領域で常態化しており、意図に関係なく有害な影響をもたらす可能性がある。このプロジェクトの目的は、バイアスを検出するためのドメイン固有のテスト、評価、検証、およびバリデーション(TEVV)ガイダンス、バイアスを管理および軽減するための推奨事項、ならびに消費者および中小企業の信用査定という特定のコンテキストでAIベースの意思決定システムと対話する人間の意思決定者に対する推奨事項を開発することである。これらの実践は、現在AIベースの意思決定システムから悪影響を受ける可能性のある人々にとって、より公平な結果を促進するのに役立つ。さらに、このプロジェクトは、バイアスとサイバーセキュリティの相互作用を研究し、この2つの重要な分野に存在するリスクを軽減するアプローチを特定することを目的としている。
This project will focus on operational, real-world AI-based decision systems, bias-detection, and bias-mitigation tools. The recommended solution architecture and practices may utilize proprietary vendor products as well as commercially viable open-source solutions. Additionally, the use and application of the NIST Dioptra test platform for testing bias will be investigated with the potential for new extensions providing new insights into the properties of an AI system. The project will include practice descriptions in the form of papers, playbook generation, and implementation demonstrations, which aim to improve the ability and efficiency of organizations to safely and securely deploy AI/ML-based decision-making technology in a specific context of interest. This project will also result in a publicly available NIST AI/ML Practice Guide, a detailed implementation guide of the practical steps needed to implement a reference design that addresses this challenge.  このプロジェクトは、運用可能な実世界のAIベースの意思決定システム、バイアス検出、およびバイアス軽減ツールに焦点を当てる予定である。推奨されるソリューションのアーキテクチャと実践は、独自のベンダー製品だけでなく、商業的に実行可能なオープンソースのソリューションも利用することができる。さらに、バイアスをテストするためのNIST Dioptraテストプラットフォームの使用と応用は、AIシステムの特性に対する新しい洞察を提供する新しい拡張の可能性を持って調査される。このプロジェクトでは、論文の形式による実践の説明、プレイブックの作成、実装のデモンストレーションを行い、組織がAI/MLベースの意思決定技術を特定のコンテキストで安全かつ確実に展開する能力と効率を向上させることを目的としている。また、このプロジェクトは、この課題に対処するリファレンス・デザインの実装に必要な実践的ステップの詳細な実装ガイドである、一般に利用可能なNIST AI/ML実践ガイドを作成する予定である。
Scope  対象範囲 
The initial scope of this project is the consumer and small business credit underwriting use cases. The project will develop appropriate extensions based on third-party tools for automated bias detection and mitigation in this context of interest within the NIST Dioptra test platform. Since fairness metrics are context-specific, it is necessary to develop techniques for identifying metrics and optimizing any tradeoffs within a given real-world context (e.g., credit underwriting) and for contextually assessing gaps in current fairness metrics and processes. The project seeks approaches for how to integrate a variety of contextual factors into the ML pipeline and evaluate how humans reason and make decisions based on model output.  このプロジェクトの最初のスコープは、消費者金融と中小企業の信用調査ユースケースである。このプロジェクトでは、NIST Dioptraテストプラットフォーム内で、この関心事における自動バイアス検出および緩和のためのサードパーティツールに基づく適切な拡張機能を開発する。公平性の指標はコンテキストに依存するため、指標を特定し、与えられた実世界のコンテキスト(例えば、信用引受)内のあらゆるトレードオフを最適化するための技術を開発し、現在の公平性の指標とプロセスのギャップをコンテキストに基づいて評価することが必要である。このプロジェクトでは、様々な文脈的要素をMLパイプラインに統合し、人間がどのように推論し、モデル出力に基づいて意思決定を行うかを評価する方法を模索している。 
Assumptions/Challenges  前提条件/課題 
The following components and assumptions about them are critical for this project:  このプロジェクトでは、以下の構成要素とそれらに関する仮定が重要である。
1.     Dioptra, an extensible framework for AI system testing and evaluation. See the highlevel architecture described in Section 3. We hope to integrate existing tools and capabilities into the Dioptra framework.  1.     Dioptra、AIシステムのテストと評価のための拡張可能なフレームワーク。セクション3で説明されている高レベルのアーキテクチャを参照してください。我々は、既存のツールや機能をDioptraフレームワークに統合することを望んでいる。
2.     Third-party tools for bias detection in context. We are seeking automated tools for unwanted bias detection.  2.     コンテキストにおけるバイアス検出のためのサードパーティツール。不要なバイアス検出のための自動化ツールを求めている。
3.     Test data. We are seeking appropriately defined applicant data, curated by external experts, to be used as test data.  3.     テストデータ。テストデータとして使用する、外部の専門家が監修した適切に定義された応募者データを求めている。
4.     AI/ML models for credit underwriting decisions along with training datasets. We are seeking third-party commercial models from willing collaborators.  4.     信用引受判断のためのAI/MLモデル、およびトレーニングデータセット。協力者の中から、サードパーティの商用モデルを求めている。
5.     Human subjects acting on model output as decision makers in carefully constructed trials for a specific context. 5.     特定の状況下で慎重に構築された試験において、意思決定者としてモデルの出力に基づいて行動する被験者。 
6.     An end-to-end AI/ML-assisted credit underwriting decision system. We are seeking to assemble a context-specific system from components 1 through 5 and evaluate it for detecting harmful impacts stemming from unwanted bias.  6.     エンドツーエンドのAI/ML支援型信用引受意思決定システム。我々は、1~5の構成要素から文脈に応じたシステムを構築し、不要なバイアスに起因する有害な影響を検出するために評価することを求めている。
Background  背景 
NIST developed SP 1270, Towards a Standard for Identifying and Managing Bias in Artificial Intelligence [1], as part of the AI Risk Management Framework [3], which proposes a sociotechnical approach to managing risks from AI-based systems. SP 1270 provides the background for tackling harmful bias within the domain of credit underwriting.  NISTは、AIリスク管理フレームワーク[3]の一環として、SP1270「人工知能におけるバイアスの特定と管理のための標準化に向けて」[1]を開発し、AIベースのシステムからのリスクを管理する社会技術的アプローチを提案している。SP1270は、信用引受の領域内で有害なバイアスに取り組むための背景を提供している。 

 

[1] R. Schwartz et al., Towards a Standard for Identifying and Managing Bias in Artificial Intelligence, NIST Special Publication (SP) 1270, March 2022, 86 pp. Available: https://doi.org/10.6028/NIST.SP.1270.

[2] Equal Credit Opportunity Act. Available: https://www.ftc.gov/legallibrary/browse/statutes/equal-credit-opportunity-act.

[3] AI Risk Management Framework: Second Draft, NIST, August 18, 2022, 36 pp. Available:
https://www.nist.gov/system/files/documents/2022/08/18/AI_RMF_2nd_draft.pdf.

 


NIST- ITL

これは最初に読んでおく方が良いですね。。。ただし、かなりの分量です。。。

Dioptra

こちらも。。。

・2022.03.16 [PDF] NIST SP 1270 Towards a Standard for Identifying and Managing Bias in Artificial Intelligence

20220321-15021

 

 

信用に関する連邦法は...

Federal Trade Commission: FTC

Equal Credit Opportunity Act

 


関連して、

まるちゃんの情報セキュリティ気まぐれ日記

・2022.08.19 NIST ホワイトペーパー(ドラフト) コンテキストにおけるAI/MLバイアスの緩和

・2022.03.22 NIST 意見募集 AIリスクマネジメントフレームワーク(初期ドラフト)

・2022.03.21 NIST SP1270 人工知能におけるバイアスの識別と管理の標準化に向けて

・2021.06.25 NIST SP1270 Draft 人工知能におけるバイアスの識別と管理

 

こちらも参考になるかも...

・2022.06.02 米国 GAO 消費者保護:議会は消費者ランク付けに使用されるスコアに関する保護の強化を検討すべき (2022.05.26)

・2022.06.01 米国 消費者金融保護局 AIを使った与信結果についても消費者にその理由を説明しなければならない

・2022.05.23 ハンガリー AIを利用したコールセンターでの顧客対応がGDPR違反と判定された事例(ハンガリー銀行)

・2022.02.08 米国 下院 アルゴリズム説明責任法案 2022


・2021.12.19 英国 AIバロメータ21 公表

・2021.12.09 英国 AI保証に向けたロードマップを公表(AI認証制度?)

・2021.12.05 欧州理事会 AI法改正案を欧州議会に提出

・2021.10.24 豪州 ビクトリア州  人工知能とプライバシーに関する報告書(2つ)

・2021.06.30 WHO 保健のための人工知能の倫理とガバナンス

・2021.04.21 U.S. FTC(連邦取引委員会) のブログ 会社でAIを活用する場合は真実、公正、公平を目指そう、という記事がありますね。。。

・2021.04.21 英国政府 データ倫理とイノベーションセンターのブログ AIの保証についての3つの記事

・2021.09.24 英国 国家AI戦略

・2020.12.20 UK ICO 雇用決定にアルゴリズムを使用する際に考慮すべき6つのこと

・2020.11.30 米国 OMBが「人工知能アプリケーション規制のためのガイダンス」を発行

・2020.05.01 (人工知能 AI)ブラックボックスの検証:アルゴリズムシステムを評価するためのツール - アルゴリズムの監査・影響評価のための共通言語の特定

 

 

 

 

 

| | Comments (0)

2022.11.10

警察庁 Youtubeドラマ "PRIDE×ORDER 警視庁公安部presents 狙われる日本の技術"

こんにちは、丸山満彦です。

警察庁が、経済安全保障に係る警察の取組の一環として、「PRIDE×ORDER 警視庁公安部presents 狙われる日本の技術」というドラマをYouTubeで公開していますね。。。

警察庁 - 安全な暮らし - 平穏を脅かす脅威 - 経済安全保障 狙われる日本の技術

 

企業の誇り(PRIDE)と警察の秩序(ORDER)の物語


「技術流出の防止に向けて、警視庁公安部が初めて描き出す日常に潜む脅威。新たな技術の開発に熱を注ぐSE(のん)は技術流出防止のために活動する警察官(筧利夫かけい としお)と共に、迫り来る罠から企業を守れるのか。前・中・後編の全3編のドラマです。」


 

| | Comments (0)

2022.11.09

オーストラリア ACSC 年次サイバー脅威報告書(2021年7月から2022年6月)

こんにちは、丸山満彦です。

オーストラリア・サイバーセキュリティ・センター(ACSC)が年次サイバー脅威報告書を公表していますね。。。

トレンドのポイント...

  • サイバースペースは戦場となった。
  • オーストラリアの繁栄は、サイバー犯罪者にとって魅力的である。
  • ランサムウェアは、依然として最も破壊的なサイバー犯罪である。
  • 世界的に、重要なインフラストラクチャーネットワークがますます狙われるようになっている。
  • 公共性の高い重要な脆弱性を迅速に悪用することが常態化した。

 

ACSC

・2022.11.04 ACSC Annual Cyber Threat Report, July 2021 to June 2022

ACSC Annual Cyber Threat Report, July 2021 to June 2022 ACSC 年次サイバー脅威報告書(2021年7月から2022年6月)
The Annual Cyber Threat Report is ACSC’s flagship unclassified publication. The Report provides an overview of key cyber threats impacting Australia, how the ACSC is responding to the threat environment, and crucial advice for Australian individuals and organisations to protect themselves online. 年次サイバー脅威報告書は、ACSC の主要な非機密出版物である。本報告書では、オーストラリアに影響を及ぼす主要なサイバー脅威の概要、ACSCの脅威環境への対応、オーストラリアの個人と組織がオンラインで身を守るための重要なアドバイスが記載されている。

 

・[PDF] Annual Cyber Threat Report, July 2021 to June 2022

20221109-43355

 

目次...

Foreword 序文
Executive Summary エグゼクティブサマリー
Cybercrime and cyber security incident statistics サイバー犯罪とサイバーセキュリティ事件の統計
State actors 国家的行為者
REDSPICE REDSPICE
Cybercrime サイバー犯罪
Ransomware ランサムウェア
Critical infrastructure 重要インフラ
Critical vulnerabilities 重要な脆弱性
Cyber defence and resilience サイバーディフェンスとレジリエンス
About the ACSC ACSCについて
About the contributors 協力者について

 

エグゼクティブサマリー

Executive Summary エグゼクティブサマリー
Over the 2021–22 financial year, the deterioration of the global threat environment was reflected in cyberspace. This was most prominent in Russia’s invasion of Ukraine, where destructive malware resulted in significant damage in Ukraine itself, but also caused collateral damage to European networks and increased the risk to networks worldwide. 2021-22会計年度にかけて、世界的な脅威環境の悪化がサイバースペースにも反映されている。これは、ロシアのウクライナ侵攻において最も顕著であり、破壊的なマルウェアがウクライナ自体に大きな被害をもたらしただけでなく、ヨーロッパのネットワークにも巻き添えを食い、世界中のネットワークへのリスクを増大させる結果となった。
In Australia, we also saw an increase in the number and sophistication of cyber threats, making crimes like extortion, espionage, and fraud easier to replicate at a greater scale. The ACSC received over 76,000 cybercrime reports, an increase of nearly 13 per cent from the previous financial year. This equates to one report every 7 minutes, compared to every 8 minutes last financial year. オーストラリアでも、サイバー脅威の数と精巧さが増し、恐喝、スパイ、詐欺などの犯罪がより大規模に再現されやすくなっていることがわかった。ACSCは76,000件を超えるサイバー犯罪の報告を受け、前年度から約13%増加した。これは、昨年度の8分に1件の割合から、7分に1件の割合で報告されていることに相当する。
The ACSC identified the following key cyber security trends in the 2021–22 financial year: ACSCは、2021-22会計年度のサイバーセキュリティの主要な傾向を次のように指摘した。
・Cyberspace has become a battleground. Cyber is increasingly the domain of warfare, as seen in Russia’s use of malware designed to destroy data and prevent computers from booting in Ukraine. But Russia was not alone in its use of cyber operations to pursue strategic interests. In July 2021, the Australian Government publicly attributed exploitation of Microsoft Exchange vulnerabilities to China’s Ministry of State Security. And a joint Five-Eyes Advisory in November 2021 confirmed exploitation of these vulnerabilities by an Iranian state actor. Regional dynamics in the Indo-Pacific are increasing the risk of crisis and cyber operations are likely to be used by states to challenge the sovereignty of others. ・サイバースペースは戦場となった。ロシアがウクライナでデータを破壊し、コンピュータを起動できなくするように設計されたマルウェアを使用したことに見られるように、サイバーはますます戦争の領域になっている。しかし、戦略的利益を追求するためにサイバー作戦を利用するのはロシアだけではなかった。2021年7月、オーストラリア政府は、Microsoft Exchangeの脆弱性を悪用したのは中国国家安全部であると公表した。また、2021年11月のFive-Eyesの共同アドバイザリーでは、イランの国家主体によるこれらの脆弱性の悪用が確認されている。インド太平洋の地域力学は危機のリスクを高めており、サイバー作戦は国家が他者の主権に挑戦するために利用される可能性が高い。
・Australia’s prosperity is attractive to cybercriminals. According to a 2021 Credit Suisse report, Australia has the highest median wealth per adult in the world. In 2021–22, cybercrimes directed at individuals, such as online banking and shopping compromise, remained among the most common, while Business Email Compromise (BEC) trended towards targeting high value transactions like property settlements. ・オーストラリアの繁栄は、サイバー犯罪者にとって魅力的である。2021年のクレディ・スイスのレポートによると、オーストラリアは成人一人当たりの富の中央値が世界で最も高い。2021-22年、オンラインバンキングやショッピングの侵害など、個人に向けられたサイバー犯罪は引き続き最も多く、ビジネスメール侵害(BEC)は不動産決済などの高額取引を狙う傾向にある。
・Ransomware remains the most destructive cybercrime. Ransomware groups have further evolved their business model, seeking to maximise their impact by targeting the reputation of Australian organisations. In 2021–22, ransomware groups stole and released the personal information of hundreds of thousands of Australians as part of their extortion tactics. The cost of ransomware extends beyond the ransom demands, and may include system reconstruction, lost productivity, and lost customers. ・ランサムウェアは、依然として最も破壊的なサイバー犯罪である。ランサムウェアグループはビジネスモデルをさらに進化させ、オーストラリアの組織の評判を狙うことで、その影響力を最大化しようとしている。2021年から22年にかけて、ランサムウェアグループは恐喝戦術の一環として、数十万人のオーストラリア人の個人情報を盗み出し、公開した。ランサムウェアのコストは身代金要求の範囲を超えており、システムの再構築、生産性の損失、顧客の喪失などが考えられる。
・Worldwide, critical infrastructure networks are increasingly targeted. Both state actors and cybercriminals view critical infrastructure as an attractive target. The continued targeting of Australia’s critical infrastructure is of concern as successful attacks could put access to essential services at risk. Potential disruptions to Australian essential services in 2021–22 were averted by effective cyber defences, including network segregation and effective, collaborative incident response. ・世界的に、重要なインフラストラクチャーネットワークがますます狙われるようになっている。国家権力者とサイバー犯罪者の両方が、重要インフラを魅力的なターゲットとして見ている。オーストラリアの重要インフラが引き続き狙われていることは、攻撃の成功によって重要なサービスへのアクセスが危険にさらされる可能性があるため、懸念されることである。2021-22年にオーストラリアの重要サービスが中断される可能性は、ネットワークの分離や効果的で協力的なインシデント対応などの効果的なサイバー防御によって回避された。
・The rapid exploitation of critical public vulnerabilities became the norm. Australian organisations, and even individuals, were indiscriminately targeted by malicious cyber actors. Malicious actors persistently scanned for any network with unpatched systems, sometimes seeking to use these as entry points for higher value targets. The majority of significant incidents ACSC responded to in 2021–22 were due to inadequate patching. ・公共性の高い重要な脆弱性を迅速に悪用することが常態化した。オーストラリアの組織、そして個人までもが、悪意のあるサイバー行為者によって無差別に標的にされた。悪意のある行為者は、パッチが適用されていないシステムのあるネットワークを執拗にスキャンし、時には、より価値の高いターゲットへの侵入口としてそれらを利用しようとした。ACSCが2021-22年に対応した重大インシデントの大半は、不適切なパッチ適用が原因であった。
In the face of rising threats to the digital-dependent Australian economy, cyber defence must be a priority for all Australians. The most effective means of defending against cyber threats continues to be the implementation of the Essential Eight cyber security strategies. To support this, the ACSC launched several new initiatives in 2021–22 to improve Australia’s cyber resilience, such as a Cyber Threat Intelligence Sharing (CTIS) platform which automates sharing of indicators of compromise. The Australian Government’s ten year investment in ASD, known as REDSPICE, will further harden Australia’s cyber defences in 2022–23 and beyond. デジタルに依存するオーストラリア経済への脅威が高まる中、サイバー防御はすべてのオーストラリア国民にとって優先事項でなければならない。サイバー脅威から身を守る最も効果的な手段は、引き続き「エッセンシャルエイト」のサイバーセキュリティ戦略を実施することである。これを支援するため、ACSCは2021-22年に、侵害の指標の共有を自動化するサイバー脅威情報共有(CTIS)プラットフォームなど、オーストラリアのサイバー耐性を向上させるいくつかの新しい取り組みを開始した。REDSPICEとして知られるオーストラリア政府のASDへの10年間の投資は、2022-23年以降、オーストラリアのサイバー防御をさらに強固なものにすることだろう。
What the ACSC saw: ACSCがわかったこと:
・An increase in financial losses due to BEC to over $98 million ・BECによる金銭的損失は9800万ドル以上に増加
an average loss of $64,000 per report.  (1件当たりの平均損失額は64,000ドル)
・A rise in the average cost per cybercrime report to over $39,000 for small business, $88,000 for medium business, and over $62,000 for large business ・サイバー犯罪の報告1件あたりの平均コストは、中小企業で39,000ドル以上、中堅企業で88,000ドル以上、大企業で62,000ドル以上と上昇した。
an average increase of 14 per cent. (平均14%の増加)
・A 25 per cent increase in the number of publicly reported software vulnerabilities ・ソフトウェアの脆弱性の報告件数が25%増加。
(Common Vulnerabilities and Exposures – CVEs) worldwide. ((Common Vulnerabilities and Exposures - CVEs)が全世界で25%増加)
・Over 76,000 cybercrime reports ・76,000件を超えるサイバー犯罪の報告
an increase of 13 per cent from the previous financial year. (前年度比13%増)
・A cybercrime report every 7 minutes on average ・平均して7分ごとにサイバー犯罪の報告がある。
compared to every 8 minutes last financial year. (昨年度は8分に1件)
・Over 25,000 calls to the Cyber Security Hotline ・サイバーセキュリティ・ホットラインへの問い合わせは25,000件以上。
an average of 69 per day and an increase of 15 per cent from the previous financial year. (1日平均69件、前年度比15%増)
・150,000 to 200,000 Small Office/Home Office routers in Australian homes and small businesses vulnerable to compromise ・オーストラリアの家庭や中小企業にある15万台から20万台のスモールオフィス/ホームオフィスルーターは、国家的な行為も含め、危険にさらされる可能性がある。
including by state actors. (国営企業も含む)
・Fraud, online shopping and online banking ・詐欺、オンラインショッピング、オンラインバンキング
were the top reported cybercrime types, accounting for 54 per cent of all reports. (報告されたサイバー犯罪の上位を占め、全報告の54%を占めた。)
What the ACSC did: ACSCが行ったこと
・Responded to over 1,100 cyber security incidents. ・1,100件以上のサイバーセキュリティインシデントに対応した。
・Blocked over 24 million malicious domain requests ・2400万件以上の悪質なドメインリクエストをブロックした
through the Australian Protective Domain Name System. (オーストラリア保護ドメイン名システムを通じて)
・Took down over 29,000 brute force attacks against Australian servers ・オーストラリアサーバーに対する29,000件以上のブルートフォースアタックをドメインテイクダウンサービスにより阻止した
through the Domain Takedown Service. (ドメインテイクダウンサービスを通じて)
・Took down over 15,000 domains hosting malicious software ・悪質なソフトウェアをホストしている15,000以上のドメインを停止させた
targeting Australia’s COVID-19 vaccine rollout. (オーストラリアのCOVID-19ワクチン展開を狙った)
・Shared over 28,000 indicators of compromise with ACSC Partners ・28,000以上の危険信号をACSCパートナーと共有。
through the Cyber Threat Intelligence Sharing platform. (サイバー脅威インテリジェンス共有プラットフォームを通じ)
・Collaborated with partners on 5 successful operations against criminal online marketplaces and foreign scam networks. ・パートナーとの協力により、犯罪的なオンラインマーケットプレイスや外国人詐欺ネットワークに対する5つの作戦を成功させた。
・Responded to 135 ransomware incidents ・135件のランサムウェアインシデントに対応した。
an increase of over 75 per cent compared to 2019–20. (2019-20年と比較して75%以上の増加)
・Notified 148 entities of ransomware activity on their networks. ・ネットワーク上でのランサムウェアの活動を148の事業者に通知した。
・Conducted 49 high priority operational tasks in response to identified and potential significant cyber threats ・特定された重要なサイバー脅威および潜在的なサイバー脅威に対応するため、49の優先度の高い運用タスクを実施した。
including scanning for vulnerable Australian devices. (オーストラリアの脆弱なデバイスのスキャンを含む)
・Published 49 Alerts and 14 Advisories on cyber.gov.au ・cyber.gov.auで49のアラートと14のアドバイザリーを公開した。
which collectively saw more than 393,000 visits. (合計で393,000以上のアクセスを記録)
・Issued an Advisory urging Australian organisations to adopt an enhanced security posture following Russia’s invasion of Ukraine ・ロシアのウクライナ侵攻を受け、オーストラリアの組織にセキュリティ強化の姿勢をとるよう促すアドバイザリーを発出した。
which was updated 10 times and received more than 57,000 views, plus a potential reach of almost 1 million people through social media. (この勧告は10回更新され、57,000以上の閲覧があり、ソーシャルメディアを通じて約100万人に届けられた)。
・Briefed more than 200 government, business and critical infrastructure organisations ・200以上の政府機関、企業、重要インフラ組織に対して、ブリーフィングを実施した。
on the risk of collateral damage to Australian networks following the Russian invasion of Ukraine. (ロシアのウクライナ侵攻に伴うオーストラリアのネットワークへの巻き添え被害リスクについての)
・Published 13 new Step-by-Step Guides ・13の新しいステップバイステップガイドを発行した。
to help Australian individuals and small businesses to implement simple cyber security practices. (オーストラリアの個人および中小企業が簡単なサイバーセキュリティを実践できるよう支援する)
・Expanded the Partnership Program ・パートナーシップ・プログラムを拡大した
to over 2,300 network partners, 3,400 business partners, and over 82,000 home partners. (ネットワークパートナー2,300社以上、ビジネスパートナー3,400社以上、ホームパートナー82,000社以上へ拡大)
・Led 24 cyber security exercises ・オーストラリアを強化するため、280 以上の組織が参加する 24 のサイバーセキュリティ演習を主導した。
involving over 280 organisations to strengthen Australia’s cyber resilience. オーストラリアのサイバーレジリエンスを強化するため、280 以上の組織が参加する 24 のサイバーセキュリティ演習を主導。
・Operationalised amendments to the Security of Critical Infrastructure Act ・重要インフラ保全法(Security of Critical Infrastructure Act)の改正を実施した。
including through new incident categorisation thresholds and changes to the ReportCyber website. (新しいインシデント分類の基準値やReportCyberウェブサイトの変更などを通じて)

・Notified 5 critical infrastructure entities of malicious cyber activity and vulnerabilities ・5つの重要インフラ事業体に対し、悪質なサイバー活動や脆弱性を通知した。
potentially impacting their networks since the implementation of amendments to the Security of Critical Infrastructure Act. 重要インフラの安全確保に関する法律が改正され、ネットワークに影響を与える可能性が出てきた。
・Completed the Critical Infrastructure Uplift Program (CI-UP) pilot ・重要インフラ高度化プログラム(CI-UP)試験運用を完了した。
and rolled out activities and tools open to all critical infrastructure partners. (すべての重要インフラパートナーに公開された活動とツールを展開した)
What should individuals do? 個人はどうすればいいのか?
Follow the ACSC’s easy steps to secure your devices and accounts including: ACSCの簡単な手順に従って、以下のようなデバイスやアカウントを保護することができる。
・Update your devices ・デバイスをアップデートする
and replace old devices that do not receive updates デバイスをアップデートし、アップデートを受け取らない古いデバイスを交換する
・Activate multi-factor authentication ・多要素認証の有効化
・Regularly backup your devices ・デバイスの定期的なバックアップ
・Set secure passphrases ・安全なパスフレーズを設定する
・Watch out for scams ・詐欺に注意する
・Sign up to the ACSC’s free Alert Service ・ACSCの無料アラートサービスに登録する
・Report a cybercrime to the ACSC ・ACSCにサイバー犯罪を報告する
What should organisations do? 企業は何をすべきか?
For larger organisations: implement the ACSC’s Essential Eight mitigation strategies, Strategies to Mitigate Cyber Security Incidents and the Information Security Manual. 大規模な組織の場合:ACSCのエッセンシャルエイト緩和戦略、サイバーセキュリティインシデントを軽減するための戦略、情報セキュリティマニュアルを実施する。

For smaller organisations: follow the ACSC’s advice for ransomware, Business Email Compromise and other threats. 小規模な組織の場合:ランサムウェア、ビジネスメール詐欺、その他の脅威に対するACSCのアドバイスに従う。
・Review the cyber security posture of remote workers ・リモートワーカーのサイバーセキュリティ態勢を確認する。
and their use of communication, collaboration and business productivity software. (コミュニケーション、コラボレーション、ビジネス生産性ソフトウェア)
・Patch vulnerabilities within 48 hours ・48時間以内に脆弱性のパッチを適用する。
If you cannot achieve this, consider using a cloud service provider or managed service provider that can. (これを実現できない場合は、実現可能なクラウドサービスプロバイダーやマネージドサービスプロバイダーの利用を検討する)
・Only use reputable cloud service providers and managed service providers ・信頼できるクラウドサービスプロバイダーとマネージドサービスプロバイダーのみを使用すること
that implement appropriate cyber security measures. 適切なサイバーセキュリティ対策を実施している
・Sign up to become an ACSC partner ・ACSCパートナーに登録する
to receive insights, Advisories and advice. (洞察、アドバイザリー、アドバイスを受け取ることができる)
・Test your cyber security detection, incident response, business continuity and disaster recovery plans. ・サイバーセキュリティの検出、インシデント対応、事業継続、災害復旧計画をテストする。
・Report all cybercrime and cyber security incidents to the ACSC ・すべてのサイバー犯罪およびサイバーセキュリティインシデントをACSCに報告する。
via ReportCyber. ReportCyber経由で。

 


 

まるちゃんの情報セキュリティ気まぐれ日記

脅威状況

・2022.11.08 ENISA 脅威状況 2022:不安定な地政学がサイバーセキュリティ脅威状況の傾向を揺るがす

・2022.11.01 カナダ サイバーセキュリティセンター 国家サイバー脅威評価 2023-2024

・2022.10.31 ドイツ 連邦情報セキュリティ局 (BSI) ドイツにおける ITセキュリティの現状 2022年 (2022.10.25)

・2022.08.31 シンガポール サイバーセキュリティ庁 2021年シンガポールのサイバーセキュリティ状況

・2022.08.01 ENISA ランサムウェアについての脅威状況

・2022.07.29 ENISA サイバーセキュリティ脅威ランドスケープの方法論 (2022.07.06) ENISA流サイバーインテリジェンスの方法論?

・2022.07.21 カナダ サイバーセキュリティセンター 「サイバー脅威報告:ロシアのウクライナ侵攻に関連するサイバー脅威活動」 (2022.07.14)

・2021.10.29 ENISA Threat Landscape 2021:ランサムウェア、クリプトジャッキングを利用した金銭目的のサイバー犯罪が急増

・2021.07.28 ISACA サイバーセキュリティ調査報告2021 Part1 & Part2

・2021.02.14 オーストラリア ACSC 2020年の医療セクターのサイバーセキュリティ脅威についてのスナップショット

・2020.12.18 ENISA AI サイバーセキュリティのチャレンジ - AI脅威状況報告を公表していますね。

・2020.12.15 ENISA 5Gネットワークの脅威状況報告書のアップデート

・2020.10.21 ENISA Threat Landscape 2020 : サイバー脅威トップ15 サイバー攻撃はより高度化し、標的化が進み、対象も広範囲になり、検知もされにくくなる。。。

・2020.10.06 Europolが2020年版のインターネット組織犯罪脅威評価を公表していますね

 

 

| | Comments (0)

2022.11.08

ENISA 脅威状況 2022:不安定な地政学がサイバーセキュリティ脅威状況の傾向を揺るがす

こんにちは、丸山満彦です。

ENISAが2022年版の脅威状況を公開していますね。。。

今年は、なんといってもロシアのウクライナ侵攻がヨーロッパにとっては大きな事件の一つですよね。。。

その影響もあってか、ランサムウェアの被害に加えて、DDoS攻撃のような可用性に影響を及ぼす攻撃が増加したようですね。。。

 

アクターの分類については、次の4つに、

State-sponsored actors 国家支援攻撃者
Cybercrime actors サイバー犯罪者
Hacker-for-hire actors 雇われハッカー
Hacktivists ハクティビスト

 

影響については、次の5つに、

Reputational Impact 風評被害 サイバーインシデントの被害者である企業に対して、ネガティブな報道がなされたり、世間から不利なイメージを持たれたりする可能性
Digital Impact デジタル・インパクト システムの損傷や使用不能、データファイルの破損、データの流出など
Economic Impact 経済的影響 直接的に発生する金銭的損失、重要な資料の紛失や身代金の要求により発生する国家安全保障上の損害など
Physical Impact 物理的影響 従業員、顧客、患者に対するあらゆる種類の傷害や危害
Social Impact)  社会的影響 一般市民への影響、または社会に影響を与える可能性のある広範囲な混乱(例えば、ある国の国民健康システムを混乱させる事件など)

 

攻撃者の動機については、次の4つに、

Monetisation マネタイズ (サイバー犯罪集団が行う)金銭に関連するあらゆる行為
Geopolitics/Espionage 地政学/スパイ活動 知的財産、機密データ、機密データに関する情報を得る(主に国家支援集団により実行される)。 
Geopolitics/Disruption 地政学/破壊 地政学の名目で行われる破壊的行為(主に国家支援集団によって実行される)。
Ideological イデオロギー イデオロギーに裏打ちされた行動(ハクティビズムなど)。

 

に分類しています。

 

● ENISA

プレス発表...

・2022.11.03 Volatile Geopolitics Shake the Trends of the 2022 Cybersecurity Threat Landscape

Volatile Geopolitics Shake the Trends of the 2022 Cybersecurity Threat Landscape 不安定な地政学が2022年のサイバーセキュリティ脅威状況の傾向を揺るがす
With the geopolitical context giving rise to cyberwarfare and hacktivism, alarming cyber operations and malignant cyberattacks have altered the trends of the 10th edition of the Threat Landscape report released today by the European Union Agency for Cybersecurity (ENISA). 地政学的な状況がサイバー戦やハクティビズムを生み出す中、警戒すべきサイバー作戦や悪質なサイバー攻撃により、欧州連合サイバーセキュリティ機関(ENISA)が本日発表した「脅威状況」報告書第10版のトレンドが変化している。
The ENISA Threat Landscape 2022 (ETL) report is the annual report of the EU Agency for Cybersecurity on the state of the cybersecurity threat landscape. The 10th edition covers a period of reporting starting from July 2021 up to July 2022. ENISA 脅威状況 2022(ETL)報告書は、EUサイバーセキュリティ機関がサイバーセキュリティの脅威の状況について毎年発表している報告書である。第10版では、2021年7月から2022年7月までの報告期間を対象としている。
With more than 10 terabytes of data stolen monthly, ransomware still fares as one of the prime threats in the new report with phishing now identified as the most common initial vector of such attacks. The other threats to rank highest along ransomware are attacks against availability also called Distributed Denial of Service (DDoS) attacks. 毎月10テラバイト以上のデータが盗まれているランサムウェアは、新報告書でも依然として主要な脅威の1つであり、フィッシングがそのような攻撃の最も一般的な最初のベクトルであることが確認されている。ランサムウェアと並んで上位にランクされているのが、分散型サービス拒否(DDoS)攻撃と呼ばれる可用性に対する攻撃である。
With more than 10 terabytes of data stolen monthly, ransomware still fares as one of the prime threats in the new report with phishing now identified as the most common initial vector of such attacks. The other threats to rank highest along ransomware are attacks against availability also called Distributed Denial of Service (DDoS) attacks. しかし、地政学的な状況、特にロシアのウクライナ侵攻は、この報告期間中、世界のサイバー領域にとって大きな変化となった。脅威の数は依然として増加しているが、ゼロデイ攻撃やAIを利用した偽情報やディープフェイクなど、より幅広いベクトルが出現していることも確認されている。その結果、より悪質で広範な攻撃が出現し、より大きな被害が発生している。
EU Agency for Cybersecurity Executive Director, Juhan Lepassaar stated that “Today's global context is inevitably driving major changes in the cybersecurity threat landscape. The new paradigm is shaped by the growing range of threat actors. We enter a phase which will need appropriate mitigation strategies to protect all our critical sectors, our industry partners and therefore all EU citizens." EUサイバーセキュリティ庁長官のユーハン・レパサール氏は、次のように述べている。「今日のグローバルな状況は、必然的にサイバーセキュリティの脅威の状況に大きな変化をもたらしている。新たなパラダイムは、脅威の主体が拡大していることによって形成されている。私たちは、すべての重要なセクター、産業界のパートナー、ひいてはすべてのEU市民を守るために、適切な緩和戦略を必要とする段階に入ったのである。」
Prominent threat actors remain the same 脅威の主体には変わりはない
State sponsored, cybercrime, hacker-for-hire actors and hacktivists remain the prominent threat actors during the reporting period of July 2021 to July 2022. 2021年7月から2022年7月の報告期間中、国家による支援、サイバー犯罪、攻撃者に雇われたハッカー、ハクティビストが依然として主要な脅威主体であることに変わりはない。
Based on the analysis of the proximity of cyber threats in relation to the European Union (EU), the number of incidents remains high over the reporting period in the NEAR category. This category includes affected networks, systems, controlled and assured within EU borders. It also covers the affected population within the borders of the EU. 欧州連合(EU)に関連するサイバー脅威の近接性の分析に基づき、NEARカテゴリでは報告期間中、インシデント数が高いままであることがわかる。このカテゴリには、EUの国境内で影響を受けたネットワーク、システム、制御された、保証されたものが含まれる。また、EUの国境内で影響を受けた人々も対象としている。
Threat analysis across sectors 分野横断的な脅威の分析
Added last year, the threat distribution across sectors is an important aspect of the report as it gives context to the threats identified. This analysis shows that no sector is spared. It also reveals nearly 50% of threats target the following categories; public administration and governments (24%), digital service providers (13%) and the general public (12%) while the other half is shared by all other sectors of the economy. 昨年に引き続き、特定された脅威の背景を明らかにするために、セクター間の脅威の分布は報告書の重要な側面となっている。この分析により、どのセクターも被害を免れていないことがわかる。また、脅威の50%近くが、行政および政府(24%)、デジタルサービスプロバイダー(13%)、一般市民(12%)を対象としており、残りの半分は、その他のすべての経済セクターが対象としていることが明らかになっている。
Top threats still standing their grounds 依然として根強い脅威のトップ
ENISA sorted threats into 8 groups. Frequency and impact determine how prominent all of these threats still are. ENISAは、脅威を8つのグループに分類している。これらの脅威は、その頻度と影響度によって、今もなおその勢いが衰えていないことが分かります。
Ransomware: ランサムウェア
60% of affected organisations may have paid ransom demands 被害を受けた組織の60%が身代金要求額を支払った可能性がある。
Malware: マルウェア
66 disclosures of zero-day vulnerabilities observed in 2021 2021年に観測されたゼロデイ脆弱性の公開は66件
Social engineering: ソーシャルエンジニアリング
Phishing remains a popular technique but we see new forms of phishing arising such as spear-phishing, whaling, smishing and vishing フィッシングは依然として人気のある手法であるが、スピアフィッシング、ホワイリング、スミッシング、ビッシングなど、新しい形態のフィッシングが発生している。
Threats against data: データに対する脅威
Increasing in proportionally to the total of data produced データに対する脅威はデータ量に比例して増加
Threats against availability: 可用性に対する脅威
Largest Denial of Service (DDoS) attack ever was launched in Europe in July 2022; 2022年7月に欧州で過去最大のDDoS(サービス拒否)攻撃が発生。
Internet: destruction of infrastructure, outages and rerouting of internet traffic. インターネット:インフラの破壊、停電、インターネットトラフィックの迂回。
Disinformation – misinformation: 偽情報-誤情報
Escalating AI-enabled disinformation, deepfakes and disinformation-as-a-service AIを活用した偽情報、ディープフェイク、偽情報アズ・ア・サービスのエスカレート化
Supply chain targeting: サプライチェーンの標的化
Third-party incidents account for 17% of the intrusions in 2021 compared to less than 1% in 2020 第三者によるインシデントが侵入の17%を占める(2020年は1%未満)。
Contextual trends emerging コンテキストに沿ったトレンドの出現
Zero-day exploits are the new resource used by cunning threat actors to achieve their goals; ・ゼロデイエクスプロイトは、狡猾な脅威主体が目的を達成するために使用する新しいリソースである。
A new wave of hacktivism has been observed since the Russia-Ukraine war. ・ロシア・ウクライナ戦争以降、ハクティビズムの新たな波が観測されている。
DDoS attacks are getting larger and more complex moving towards mobile networks and Internet of Things (IoT) which are now being used in cyberwarfare. ・DDoS攻撃は、モバイルネットワークとモノのインターネット(IoT)に向かってより大きく、より複雑になっており、これらは現在サイバー戦に利用されている。
AI-enabled disinformation and deepfakes. The proliferation of bots modelling personas can easily disrupt the “notice-and-comment” rulemaking process, as well as the community interaction, by flooding government agencies with fake contents and comments. ・AIを利用した偽情報とディープフェイク。 ボットモデリングペルソナの普及は、政府機関に偽のコンテンツやコメントを殺到させ、「通知とコメント」の規則制定プロセスだけでなく、コミュニティの交流も容易に混乱させることができる。
Shifting motivation and digital impact are driving new trends 動機の変化とデジタルインパクトが新たな潮流を生む
An impact assessment of threats reveals 5 types of impact; damages of reputational, digital, economical, physical or social nature. Although for most incidents the impact really remains unknown because victims fail to disclose information or the information remains incomplete. 脅威の影響評価では、風評被害、デジタル被害、経済的被害、物理的被害、社会的被害という5つのタイプの影響が明らかにされている。しかし、被害者が情報を開示しなかったり、情報が不完全であったりするため、ほとんどの事件で実際の被害は不明なままである。
Prime threats were analysed in terms of motivation. The study reveals that ransomware is purely motivated by financial gains. However, motivation for state sponsored groups can be drawn from geopolitics with threats such as espionage and disruptions. Ideology may also be the motor behind cyber operations by hacktivists. 主要な脅威は、動機の観点から分析された。この調査により、ランサムウェアの動機は純粋に金銭的な利益であることが明らかになった。しかし、国家が支援するグループの動機は、スパイ活動や破壊活動などの脅威を伴う地政学から引き出されることがある。また、ハクティビストによるサイバー作戦の背景には、イデオロギーが存在する可能性もある。
Background 背景
The ETL report maps the cyber threat landscape to help decision-makers, policy-makers and security specialists define strategies to defend citizens, organisations and cyberspace. This work is part of the EU Agency for Cybersecurity’s annual work programme to provide strategic intelligence to its stakeholders. ENISA 脅威状況 2022の報告書は、意思決定者、政策立案者、セキュリティ専門家が、市民、組織、サイバースペースを守るための戦略を定義するのに役立つ、サイバー脅威の状況を地図化したものである。この作業は、EUサイバーセキュリティ機関の年次作業プログラムの一部であり、その利害関係者に戦略的な情報を提供するものである。
The report’s content is gathered from open sources such as media articles, expert opinions, intelligence reports, incident analysis and security research reports; as well as through interviews with members of the ENISA Cyber Threat Landscapes Working Group (CTL working group). 本報告書の内容は、メディア記事、専門家の意見、情報報告、インシデント分析、セキュリティ研究報告などのオープンソースや、ENISA Cyber Threat Landscapes Working Group(CTLワーキンググループ)のメンバーへのインタビューを通じて収集されたものである。
The analysis and views of the threat landscape by ENISA is meant to be industry and vendor neutral. Information based on OSINT (Open Source Intelligence) and the work of ENISA on Situational Awareness also helped document the analysis presented in the report. ENISAによる脅威のランドスケープに関する分析および見解は、業界およびベンダーに中立であることを意図している。OSINT(オープンソースインテリジェンス)に基づく情報および状況認識に関するENISAの作業も、本報告書で紹介する分析の文書化に役立った。
Further Information: さらに詳しい情報はこちら
ENISA Threat Landscape 2022 - Infographic ENISA脅威現状2022 - インフォグラフィック
ENISA Threat Landscape Report 2022 ENISA脅威状況報告書2022
ENISA Threat Landscape Report 2021 ENISA脅威状況報告書2021
ENISA Threat Landscape Supply Chain ENISA脅威状況望 サプライチェーン
ENISA Threat Landscape for Ransomware Attacks – May 2021 – June 2022 ENISAランサムウェア攻撃に関する脅威状況 - 2021年5月~2022年6月

 

ENISA Threat Landscape 2022

ENISA Threat Landscape 2022 ENISA脅威状況 2022
This is the tenth edition of the ENISA Threat Landscape (ETL) report, an annual report on the status of the cybersecurity threat landscape. It identifies the top threats, major trends observed with respect to threats, threat actors and attack techniques, as well as impact and motivation analysis. It also describes relevant mitigation measures. This year’s work has again been supported by ENISA’s ad hoc Working Group on Cybersecurity Threat Landscapes (CTL). 本報告書は、サイバーセキュリティの脅威の状況に関する年次報告書「ENISA 脅威状況(ETL)」の第10版にあたる。上位の脅威、脅威、脅威行為者、攻撃手法に関して観察された主要な傾向を特定し、影響や動機の分析も行っている。また、関連する緩和策についても説明している。本年もENISAのサイバーセキュリティ脅威の展望に関するアドホック作業部会(CTL)の支援を受けている。

 

・[PDF] ENISA Threat Landscape 2022

20221108-53120

・[DOCX] 仮訳

 

目次...

1. THREAT LANDSCAPE OVERVIEW 1. 脅威の全体像
2. THREAT ACTOR TRENDS 2. 脅威要因の傾向
3. RANSOMWARE 3. ランサムウェア
4. MALWARE 4. マルウェア
5. SOCIAL ENGINEERING 5. ソーシャルエンジニアリング
6. THREATS AGAINST DATA 6. データに対する脅威
7. THREATS AGAINST AVAILABILITY: DENIAL OF SERVICE 7. 可用性に対する脅威:DoS
8. THREATS AGAINST AVAILABILITY: INTERNET THREATS 8. 可用性に対する脅威:インターネット上の脅威
9. DISINFORMATION- MISINFORMATION 9. 偽情報 - 誤情報
10.SUPPLY CHAIN ATTACKS 10.サプライチェーンへの攻撃
A ANNEX: MAPPING TO MITRE ATT&CK FRAMEWORK 附属書A:Mitre Att&ck フレームワークへのマッピング
B ANNEX: INDICATIVE LIST OF INCIDENTS 附属書B:インシデントの指標となるリスト
C ANNEX: CVE LANDSCAPE 附属書C:CVEランドスケープ
D ANNEX: RECOMMENDATIONS 附属書D:推奨事項

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

ENISA過去分...

・2021.10.29 ENISA Threat Landscape 2021:ランサムウェア、クリプトジャッキングを利用した金銭目的のサイバー犯罪が急増

・2020.10.21 ENISA Threat Landscape 2020 : サイバー脅威トップ15 サイバー攻撃はより高度化し、標的化が進み、対象も広範囲になり、検知もされにくくなる。。。

 

脅威状況

・2022.11.01 カナダ サイバーセキュリティセンター 国家サイバー脅威評価 2023-2024

・2022.10.31 ドイツ 連邦情報セキュリティ局 (BSI) ドイツにおける ITセキュリティの現状 2022年 (2022.10.25)

・2022.08.31 シンガポール サイバーセキュリティ庁 2021年シンガポールのサイバーセキュリティ状況

・2022.08.01 ENISA ランサムウェアについての脅威状況

・2022.07.29 ENISA サイバーセキュリティ脅威ランドスケープの方法論 (2022.07.06) ENISA流サイバーインテリジェンスの方法論?

・2022.07.21 カナダ サイバーセキュリティセンター 「サイバー脅威報告:ロシアのウクライナ侵攻に関連するサイバー脅威活動」 (2022.07.14)

・2021.10.29 ENISA Threat Landscape 2021:ランサムウェア、クリプトジャッキングを利用した金銭目的のサイバー犯罪が急増

・2021.07.28 ISACA サイバーセキュリティ調査報告2021 Part1 & Part2

・2021.02.14 オーストラリア ACSC 2020年の医療セクターのサイバーセキュリティ脅威についてのスナップショット

・2020.12.18 ENISA AI サイバーセキュリティのチャレンジ - AI脅威状況報告を公表していますね。

・2020.12.15 ENISA 5Gネットワークの脅威状況報告書のアップデート

・2020.10.21 ENISA Threat Landscape 2020 : サイバー脅威トップ15 サイバー攻撃はより高度化し、標的化が進み、対象も広範囲になり、検知もされにくくなる。。。

・2020.10.06 Europolが2020年版のインターネット組織犯罪脅威評価を公表していますね

 

 

| | Comments (0)

2022.11.07

米国 ドイツ バイデン大統領と訪中したシュルツ首相との電話会談

こんにちは、丸山満彦です。

先日、中国を訪問したドイツのシュルツ首相とバイデン大統領が電話会談をしたようですね。。。

 

U.S. The White House

・2022.11.06 Readout of President Joe Biden’s Call with Chancellor Olaf Scholz of Germany

Readout of President Joe Biden’s Call with Chancellor Olaf Scholz of Germany ジョー・バイデン大統領とオラフ・ショルツ ドイツ連邦共和国首相との電話会談の要旨
President Joseph R. Biden, Jr. spoke today with Chancellor Olaf Scholz of Germany.  The leaders discussed the Chancellor’s recent trip to the People’s Republic of China and affirmed their shared commitment to upholding the rules-based international order, human rights, and fair trade practices.  The leaders agreed that Russia’s recent nuclear threats are irresponsible.  They underscored the continued commitment of the United States and Germany to provide Ukraine with the economic, humanitarian, and security support it needs to defend against Russia’s aggression. ジョセフ・R・バイデン大統領は本日、ドイツのオラフ・ショルツ首相と会談した。  両首脳は、同首相の最近の中華人民共和国訪問について話し合い、ルールに基づく国際秩序、人権、および公正な貿易慣行を維持するという両国の共通のコミットメントを確認した。  両首脳は,ロシアの最近の核による威嚇は無責任であることに合意した。  両首脳は、米国とドイツが、ウクライナがロシアの侵略から防衛するために必要な経済的、人道的、および安全保障上の支援を提供するというコミットメントを継続することを強調した。

 

ドイツ連邦共和国のウェブページには今のところ記載がないです。。。

 

Fig1_20221107095901

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.11.05 ドイツ 中国 シュルツ首相の中華人民共和国訪問

 

| | Comments (0)

NIST ホワイトペーパー 【プロジェクト概要】サイバー攻撃への対応と回復:製造業のためのサイバーセキュリティ

こんにちは、丸山満彦です。

NISTが、【プロジェクト概要】サイバー攻撃への対応と回復:製造業のためのサイバーセキュリティについての白書の最終版を公開していますね。。。

想定している、システム概要

Fig1_20221107012901

出典:White Paper [Project Description] Responding to and Recovering from a Cyber Attack: Cybersecurity for the Manufacturing Sector, Figure 1 High level architecture of the experimentation lab

 

シナリオ例:

  1. 未承認のコマンドメッセージ
  2. プロセスまたはコントローラのパラメータの変更
  3. ヒューマンマシンインターフェース(HMI)またはオペレーターコンソールの危殆化
  4. データヒストリアンの危殆化
  5. 未承認デバイスの検出
  6. 不正な接続の検出

 

● NIST - ITL

・2022.11.03 White Paper [Project Description] Responding to and Recovering from a Cyber Attack: Cybersecurity for the Manufacturing Sector

White Paper [Project Description] Responding to and Recovering from a Cyber Attack: Cybersecurity for the Manufacturing Sector ホワイトペーパー 【プロジェクト概要】サイバー攻撃への対応と回復:製造業のためのサイバーセキュリティ
Abstract 概要
The Operational Technology (OT) that runs manufacturing environments play a critical role in the supply chain. Manufacturing organizations rely on OT to monitor and control physical processes that produce goods for public consumption. These same systems are facing an increasing number of cyber attacks, presenting a real threat to safety and production, and economic impact to a manufacturing organization. Though defense-in-depth security architecture helps to mitigate cyber risks, it cannot guarantee elimination of all cyber risks; therefore, manufacturing organizations should also have a plan to recover and restore operations should a cyber incident impact operations. The goal of this project is to demonstrate means to recover equipment from a cyber incident and restore operations. The NCCoE, part of NIST’s Information Technology Laboratory, in conjunction with the NIST Communications Technology Laboratory (CTL) and industry collaborators, will demonstrate an approach for responding to and recovering from an OT attack within the manufacturing sector by leveraging the following cybersecurity capabilities: event reporting, log review, event analysis, and incident handling and response.  The NCCoE will map the security characteristics to the NIST Cybersecurity Framework and NIST Special Publication 800-53, Security and Privacy Controls for Federal Information Systems and Organizations and will provide commercial off the shelf (COTS) based modular security controls for manufacturers. NCCoE will implement each of the listed capabilities in a discrete-based manufacturing work-cell that emulates a typical manufacturing process. This project will result in a freely available NIST Cybersecurity Practice Guide. 製造環境を動かす運用技術(OT)は、サプライチェーンにおいて重要な役割を担っている。製造業は、一般消費者向けの製品を生産する物理プロセスの監視と制御にOTを利用している。これらのシステムは、増加するサイバー攻撃に直面しており、製造業の安全性と生産性、そして経済的な影響に対する真の脅威となっている。深層防護のセキュリティ構造はサイバーリスクを軽減するのに役立つが、すべてのサイバーリスクを排除することを保証するものではない。このプロジェクトの目的は、サイバーインシデントから機器を復旧し、オペレーションを回復する手段を実証することである。NISTの情報技術研究所に属するNCCoEは、NIST通信技術研究所(CTL)および業界の協力者とともに、イベントレポート、ログレビュー、イベント分析、インシデント処理および対応というサイバーセキュリティ機能を活用して、製造業におけるOT攻撃への対応と回復のためのアプローチを実証する予定である。  NCCoEは、セキュリティ特性をNISTサイバーセキュリティフレームワークとNIST Special Publication 800-53「連邦情報システムおよび組織のためのセキュリティおよびプライバシー制御」にマッピングし、製造業者向けに商用汎用品(COTS)ベースのモジュール式セキュリティ制御を提供する。NCCoEは、典型的な製造プロセスをエミュレートするディスクリートベースの製造ワークセルに、記載された各機能を実装する。このプロジェクトは、自由に利用できるNISTサイバーセキュリティ実践ガイドを作成する予定である。

 

・[PDF] Project Description
 

20221107-13507

・[DOCX] 仮訳

 

目次...

1 Executive Summary 1 エグゼクティブサマリー
Purpose 目的
Scope 対象範囲
Assumptions 前提条件
Challenges 課題
Background 背景
2 Cybersecurity Capabilities to be Demonstrated 2 サイバーセキュリティ能力
Event Reporting イベントレポート
Log Review ログレビュー
Event Analysis イベント分析
Incident Handling and Response インシデント対応とレスポンス
Eradication and Recovery 撲滅と復興
3 Cyber Attack Scenarios 3 サイバー攻撃シナリオ
Scenario 1 - Unauthorized Command Message シナリオ1 - 未承認のコマンドメッセージ
Scenario 2 – Modification of Process or Controller Parameters シナリオ2 - プロセスまたはコントローラのパラメータの変更
Scenario 3 – Compromise Human Machine Interface (HMI) or Operator Console シナリオ3 - ヒューマンマシンインターフェース(HMI)またはオペレーターコンソールの危殆化
Scenario 4 – Data Historian Compromise シナリオ4 - データヒストリアンの危殆化
Scenario 5 – Unauthorized Device Detected シナリオ5 - 未承認デバイスの検出
Scenario 6 – Unauthorized Connection Detected シナリオ6 - 不正な接続の検出
4 Architecture and Capabilities of Lab Environment 4 ラボ環境のアーキテクチャと機能
Testbed Architecture テストベッド・アーキテクチャ
Manufacturing Process 製造工程
Key Control System Components キーコントロールシステムの構成要素
5 Solution Capabilities and Components 5. ソリューション機能およびコンポーネント
6 Relevant Standards and Guidance 6 関連標準・指針
7 Security Control Map 8. セキュリティコントロールマップ

 

エグゼクティブサマリー...

1 EXECUTIVE SUMMARY  1 エグゼクティブサマリー 
Purpose  目的 
This document defines a National Cybersecurity Center of Excellence (NCCoE) project focused on responding to and recovering from a cyber incident within an Operational Technology (OT) environment. Manufacturing organizations rely on OT to monitor and control physical processes that produce goods for public consumption. These same systems are facing an increasing number of cyber incidents resulting in a loss of production from destructive malware, malicious insider activity, or honest mistakes. This creates the imperative for organizations to be able to quickly, safely, and accurately recover from an event that corrupts or destroys data (e.g., database records, system files, configurations, user files, application code).  この文書は、運用技術(OT)環境におけるサイバーインシデントへの対応と復旧に焦点を当てた、国家サイバーセキュリティセンターオブエクセレンス(NCCoE)プロジェクトを定義するものである。製造業は、一般消費者向けの製品を生産する物理的なプロセスを監視・制御するために OT に依存している。これらのシステムは、破壊的なマルウェア、悪意のあるインサイダーの活動、または単純なミスによって生産が失われる、ますます多くのサイバーインシデントにさらされている。このため、データ(データベース記録、システムファイル、設定、ユーザーファイル、アプリケーションコードなど)を破損または破壊する事象から、迅速、安全、かつ正確に復旧することが組織にとって不可欠となっている。 
The purpose of this NCCoE project is to demonstrate how to operationalize the NIST Framework for Improving Critical Infrastructure Cybersecurity (NIST Cybersecurity Framework) Functions and Categories. Multiple systems need to work together to recover equipment and restore operations when data integrity is compromised. This project explores methods to effectively restore data corruption in applications and software configurations as well as custom applications and data. The NCCoE—in collaboration with members of the business community and vendors of cybersecurity solutions—will identify standards-based, commercially available, and open-source hardware and software components to design a manufacturing lab environment to address the challenge of responding to and recovering from a cyber incident in an OT environment.    このNCCoEプロジェクトの目的は、NIST Framework for Improving Critical Infrastructure Cybersecurity (NIST Cybersecurity Framework) Functions and Categoriesをどのように運用するかを実証することである。データの完全性が損なわれた場合、複数のシステムが連携して機器を回復し、業務を復旧する必要がある。このプロジェクトでは、アプリケーションやソフトウェア構成、およびカスタムアプリケーションやデータの破損を効果的に修復する方法を探る。NCCoEは、ビジネス・コミュニティのメンバーやサイバーセキュリティ・ソリューションのベンダーと協力して、標準ベースの、市販の、そしてオープンソースのハードウェアとソフトウェアのコンポーネントを特定し、OT環境におけるサイバーインシデントへの対応と回復という課題に取り組む製造ラボ環境を設計する。   
This project will result in a publicly available NIST Cybersecurity Practice Guide, a detailed implementation guide of the practical steps needed to implement a cybersecurity reference design that addresses this challenge.  このプロジェクトは、この課題に対処するサイバーセキュリティのリファレンスデザインを実装するために必要な実践的ステップの詳細な実装ガイドであるNISTサイバーセキュリティ実践ガイドを一般に公開する。 
Scope  対象範囲 
This project will demonstrate how to respond to and recover from a cyber incident within an OT environment. Once a cybersecurity event is detected, typically the following tasks take place before the event is satisfactorily resolved:  このプロジェクトでは、OT環境におけるサイバーインシデントへの対応と復旧の方法を実証する。サイバーセキュリティイベントが検出されると、イベントが満足に解決されるまで、通常、以下のタスクが行われる。 
1. Event reporting  1. イベントレポート 
2. Log review  2. ログレビュー 
3. Event analysis  3. イベント分析 
4. Incident handling and response  4. インシデントハンドリングとレスポンス 
5. Eradication and Recovery  5. 根絶と復興 
NIST Cybersecurity Framework (CSF) Respond and Recover functions and categories are used to guide this project. The objective of the NIST Cybersecurity Framework Respond function is to develop and implement the appropriate activities to take action regarding a detected cybersecurity event. The objective of the Recover function is to develop and implement the appropriate activities to maintain plans for resilience and to restore any capabilities or services that were impaired due to a cybersecurity event.   NIST Cybersecurity Framework (CSF) の Respond と Recover の機能とカテゴリが、このプロジェクトのガイドとして使用されている。NIST サイバーセキュリティフレームワークの応答機能の目的は、検出されたサイバーセキュリティイベントに関して行動を起こすための適切な活動を開発し、実施することである。回復機能の目的は、回復力のための計画を維持し、サイバーセキュリティイベントのために損なわれた能力やサービスを回復するための適切な活動を開発し、実施することである。  
Out of scope for this project are systems such as enterprise resource planning (ERP), manufacturing resource planning (MRP), and manufacturing execution systems (MES) that operate on traditional information technology (IT) infrastructures that run on Windows or Linux operating systems. These IT systems have well documented recovery tools available, including those documented in NIST Cybersecurity Practice Guide SP 1800-11, Data Integrity: Recovering from Ransomware and Other Destructive Events.   このプロジェクトの対象外は、WindowsやLinuxオペレーティングシステム上で動作する従来の情報技術(IT)インフラ上で動作する企業資源計画(ERP)、製造資源計画(MRP)、製造実行システム(MES)などのシステムである。これらのITシステムには、NIST Cybersecurity Practice Guide SP 1800-11「データ完全性」に記載されているものを含め、よく知られた回復ツールが用意されている。ランサムウェアやその他の破壊的なイベントからの復旧」に記載されているものを含め、これらのITシステムには十分な復旧ツールが用意されている。  
Assumptions  前提条件 
This project assumes that the cyber incident is discovered after some impact has occurred or  prior to impact occurring. A cyber incident can be caused by a variety of factors including but not limited to a well-intentioned insider making a change without proper testing, a malicious insider, or an outside adversary. A comprehensive security architecture should be designed to detect cyber incidents prior to impact including detection of initial access, discovery, and lateral movement. However, a comprehensive defense should also be prepared to restore and recover in the event that a cyber incident is not detected until it is too late. This guide focuses on the hopefully rare event of a cyber incident causing an impact.   このプロジェクトでは、何らかの影響が発生した後、または影響が発生する前にサイバーインシデントが発見されることを想定している。サイバーインシデントは、善意の内部関係者が適切なテストを行わずに変更した場合、悪意のある内部関係者、外部の敵対者など、さまざまな要因で発生する可能性がある。包括的なセキュリティ・アーキテクチャは、初期アクセス、発見、横方向の動きの検出など、影響を及ぼす前にサイバーインシデントを検出するように設計されるべきである。しかし、包括的な防御は、サイバーインシデントが手遅れになるまで検出されなかった場合の復旧と回復の準備も必要である。このガイドでは、サイバーインシデントが影響を及ぼすという、できれば稀なケースに焦点を当てる。  
A cyber incident is any compromise to systems or data confidentiality, integrity, or availability.  サイバーインシデントとは、システムやデータの機密性、完全性、可用性に対するあらゆる侵害のことである。 
This could be caused by a malicious outsider gaining access and making changes or stealing data. But this could just as easily, and possibly more likely, be caused by someone just doing their job and making a mistake or failing to fully test changes prior to implementation. For this reason, this project addresses cyber incidents generically without concern of what or who caused the incident. However, some scenarios in this project would only happen due to malicious actions and have, therefore, been described as such.   これは、悪意のある部外者がアクセスし、変更を加えたり、データを盗んだりすることによって引き起こされる可能性がある。しかし、同じように簡単に、そしておそらくもっと可能性が高いのは、誰かが自分の仕事をしていてミスをしたり、実装前に変更を十分にテストしなかったりしたことが原因である可能性である。このため、このプロジェクトでは、サイバーインシデントを一般的に扱い、何が、誰が、インシデントを引き起こしたかは考慮しないことにしている。しかし、このプロジェクトで扱うシナリオの中には、悪意ある行為によってのみ発生するものもあるため、そのように記述している。  
To make the rest of the document more readable, the term "malicious actor" will be used to encompass everything from a malicious insider, who already has access, to an advanced persistent threat actor, who conducts a long-term targeted campaign against a system. This also includes lower-level outside malicious actors performing attacks such as widespread ransomware campaigns for profit.   本書の他の部分を読みやすくするため、「悪意のある行為者」という用語は、すでにアクセス権を持つ悪意のある内部関係者から、システムに対して長期的な標的型キャンペーンを行う高度持続的脅威行為者までを包含するものとして使用される。また、利益を得るために広範なランサムウェアキャンペーンなどの攻撃を行う、外部の低レベルの悪意ある行為者も含まれる。  
The term "non-malicious actor" will be used to indicate an actor who does not have malicious intent but causes a cyber incident. The cyber incident could be a mistake, a change that has unintended consequences or an untested update that causes disruption to normal operations.   悪意のない行為者」という用語は、悪意はないがサイバーインシデントを引き起こす行為者を示すために使用される予定である。サイバーインシデントは、ミス、意図しない結果をもたらす変更、または通常業務に支障をきたす未試験のアップデートである可能性がある。  
This project assumes:   このプロジェクトは想定している。  
§  The lab infrastructure for this project has a relatively small number of robotic and manufacturing process nodes which are representative of a larger manufacturing facility.   §  このプロジェクトのラボのインフラは、大規模な製造施設を代表するような、比較的少数のロボットや製造プロセスのノードを備えている。  
§  The effectiveness of the example solutions is independent of the scale of the manufacturing environment.  §  ソリューション例の効果は、製造環境の規模に依存しない。 
§  This project focuses on the Respond and Recover portions of the NIST Cybersecurity Framework. It is assumed that the Identify, Detect, and Protect functions have been implemented to some maturity level, and the following capabilities are operationalized including the necessary technologies:  §  このプロジェクトは、NIST サイバーセキュリティフレームワークの「対応」と「復旧」の部分に焦点を当てる。識別、検知、保護の各機能はある程度の成熟度まで実装されており、以下の機能は必要な技術を含めて運用されていると想定している。 
o   Managed and protected physical access to the site  o   物理的アクセスの管理と保護 
o   Segmentation of OT assets from IT assets  o   IT資産からOT資産の分離 
o   Authentication and authorization mechanisms for accessing OT assets   o   OT資産にアクセスするための認証・認可の仕組み  
o   Fully managed remote access to the OT environment and OT assets  o   OT環境とOT資産へのフルマネージド・リモートアクセス 
o   Asset and vulnerability management  o   資産・脆弱性管理 
o   Continuous monitoring and detection   o   継続的な監視と検出  
o   IT Network protection measures (such as firewalls, segmentation, intrusion detection, etc.)   o   ITネットワークの保護対策(ファイアウォール、セグメンテーション、侵入検知など)  
o   Addressed vulnerabilities associated with the supply chain and vendor access    o   サプライチェーンやベンダーのアクセスに関する脆弱性に対処した   
o   People and processes that support back-up and overall enterprise incident response plans.  o   バックアップと企業全体のインシデント対応計画をサポートする人とプロセス。 
Challenges  課題 
Implementations that provide recovery solutions and procedures need to acknowledge that restoration procedures that involve the use of backups are designed to restore the system to some previous state, but the "last known good state" may not necessarily be free of vulnerabilities. The following challenges associated with backups are acknowledged:   復旧ソリューションと手順を提供する実装は、バックアップを使用する復旧手順は、システムを以前のある状態に復元するように設計されているが、「最後に知られた良好な状態」は、必ずしも脆弱性がないとは限らないことを認識する必要がある。バックアップに関連する以下の課題が認識されている。  
§  Vulnerabilities may exist in backup data.  §  バックアップデータに脆弱性が存在する可能性がある。 
§  Backup data may be compromised while in storage.  §  バックアップデータは、保管中に漏洩する可能性がある。 
§  Dormant or inactive malware may exist in backup data.  §  バックアップデータには、休眠状態や非稼働状態のマルウェアが存在する場合がある。 
Background  背景 
Manufacturing systems are essential to the nation’s economic security. It is critical for manufacturers to consider how cyber incidents could affect plant operations and the safety of people and property. The NCCoE recognizes this concern and is working with industry through consortia under Cooperative Research and Development Agreements with technology partners from Fortune 500 market leaders to smaller companies specializing in OT security. The aim is to address these challenges by demonstrating practical applications of cybersecurity technologies in a scaled-down version of a manufacturing environment.  製造業のシステムは、国の経済的安全保障に不可欠である。製造業にとって、サイバーインシデントが工場の操業や人々や財産の安全にどのような影響を及ぼすかを考慮することは非常に重要である。NCCoEはこの懸念を認識しており、フォーチュン500のマーケットリーダーからOTセキュリティを専門とする中小企業まで、技術パートナーとの共同研究開発契約に基づくコンソーシアムを通じて、産業界と連携して取り組んでいる。その目的は、製造環境の縮小版でサイバーセキュリティ技術の実用化を実証することで、これらの課題に対処することである。 
Considering the current era of Industry 4.0, enterprises are connecting business systems and IT networks to OT networks to improve business agility and operational efficiency. However, recent attacks on OT have shown that malicious actors are pivoting into the OT environment from business systems and IT networks. Most OT systems have been historically isolated from business systems and IT networks, and therefore, were not designed to withstand cyber attacks. The cyber risk mitigation technologies used in IT networks are often not suitable for OT networks because of the real-time and deterministic nature of the OT. These lead to the increasing likelihood that organizations may have to respond or recover from an OT cyber incident. This project will provide guidance to manufacturing organizations for designing mitigations into an OT environment to address cyber incidents.  インダストリー4.0の時代を考慮し、企業は業務システムやITネットワークをOTネットワークに接続し、ビジネスの俊敏性や業務効率の向上を図っている。しかし、最近のOTに対する攻撃は、悪意のあるアクターが業務システムやITネットワークからOT環境に軸足を移していることを示している。ほとんどのOTシステムは、歴史的に業務システムやITネットワークから分離されていたため、サイバー攻撃に耐えられるように設計されていませんでした。また、ITネットワークで使用されているサイバーリスク軽減技術は、OTのリアルタイム性と決定論的な性質から、OTネットワークには適さないことが多い。これらのことから、組織がOTのサイバーインシデントに対応または回復しなければならない可能性が高まっている。このプロジェクトは、サイバーインシデントに対処するために、OT環境に緩和策を設計するためのガイダンスを製造企業に提供するものである。 
This project will build upon NIST Special Publication 1800-10: Protecting Information and System  このプロジェクトは、NIST Special Publication 1800-10: 情報とシステムの保護をベースに構築される。 
Integrity in Industrial Control System Environments by identifying and demonstrating capabilities to improve response to and recovery from cyber incidents in the OT environment.  OT環境におけるサイバーインシデントへの対応と復旧を改善するための能力を特定し、実証することにより、産業用制御システム環境におけるインテグリティを実現する。 



 

| | Comments (0)

2022.11.06

NIST ホワイトペーパー NIST CSWP 27:ハイブリッド衛星ネットワーク (HSN) 用サイバーセキュリティ・フレームワーク・プロファイル:注釈付きアウトライン最終版

こんにちは、丸山満彦です。

NISTが、ホワイトペーパー NIST CSWP 27:ハイブリッド衛星ネットワーク (HSN) 用サイバーセキュリティ・フレームワーク・プロファイル:注釈付きアウトライン最終版を公表していますね。。。

想定しているシステム概要...

Fig1_20221106070001

出典:NIST Cybersecurity White Paper: NIST CSWP 27 Cybersecurity Framework Profile for Hybrid Satellite Networks (HSN), Fig. 1. Example HSN Architecture

 

 ● NIST - ITL

・2022.11.03 White Paper NIST CSWP 27: Cybersecurity Framework Profile for Hybrid Satellite Networks (HSN): Final Annotated Outline

White Paper NIST CSWP 27: Cybersecurity Framework Profile for Hybrid Satellite Networks (HSN): Final Annotated Outline  ホワイトペーパー NIST CSWP 27:ハイブリッド衛星ネットワーク (HSN) 用サイバーセキュリティ・フレームワーク・プロファイル:注釈付きアウトライン最終版
Abstract 概要
The objective of this Cybersecurity Profile is to identify an approach to assess the cybersecurity posture of Hybrid Satellite Networks (HSN) systems that provide services such as satellite-based systems for communications, position, navigation, and timing (PNT), remote sensing, weather monitoring, and imaging. The HSN systems may interact with other government systems and the Critical Infrastructure as defined by the Department of Homeland Security to provide increased resiliency. This Profile will consider the cybersecurity of all the interacting systems that form the HSN rather than the traditional approach of the government acquiring the entire satellite system that includes the satellite bus, payloads, and ground system. このサイバーセキュリティ・プロファイルの目的は、通信、位置・航法・タイミング(PNT)、リモートセンシング、気象モニタリング、画像処理のための衛星ベースのシステムなどのサービスを提供するハイブリッド衛星ネットワーク(HSN)システムのサイバーセキュリティ姿勢を評価するアプローチを特定することである。ハイブリッド衛星ネットワークシステムは、他の政府システムおよび国土安全保障省が定義する重要インフラと相互作用し、耐障害性を高めることができる。このプロファイルでは、政府が衛星バス、ペイロード、地上システムを含む衛星システム全体を取得するという従来のアプローチではなく、ハイブリッド衛星ネットワークを形成するすべての相互作用するシステムのサイバーセキュリティを考慮することになる。
NIST is developing a consistent approach to better understand the attack surface, incorporate security, and achieve greater resilience for space systems that may be leveraged by critical infrastructure owners and operators, the DoD, or other government missions. NISTは、重要インフラの所有者や運用者、国防総省、その他の政府ミッションによって活用される可能性のある宇宙システムに対して、攻撃対象領域をよりよく理解し、セキュリティを組み込み、より高い耐障害性を実現する一貫したアプローチを開発中である。

 

・[PDF] NIST CSWP 27

20221106-72037

 

目次...

1. HSN Cybersecurity Framework Profile – Introduction 1. ハイブリッド衛星ネットワーク・サイバーセキュリティ・フレームワークの概要 - はじめに 
1.1. Background 1.1 背景
1.2. Purpose and Objectives 1.2. 目的及び目標
1.3. Scope 1.3. 適用範囲
1.4. Audience 1.4. 想定読者
2. How to Use the HSN Cybersecurity Framework Profile 2. HSNサイバーセキュリティ・フレームワークプロファイルの使用方法
3. HSN Cybersecurity Profile – Overview 3. HSN サイバーセキュリティ・プロファイル - 概要
3.1. Risk Management Overview 3.1. リスクマネジメントの概要
3.2. Capabilities Overview 3.2. ケイパビリティの概要
3.2.1. Policies and Procedures 3.2.1. ポリシーと手順
3.2.2. Security Technical Capabilities Overview 3.2.2. セキュリティ技術能力の概要
3.3. The HSN Cybersecurity Profile 3.3. ハイブリッド衛星ネットワーク・サイバーセキュリティ・プロファイル
Appendix A. Acronyms 附属書A. 頭字語
Appendix B. Selected Bibliography 附属書B. 主な参考文献

 

はじめに...の部分

1. Hybrid Satellite Networks Cybersecurity Framework Profile – Introduction  1. ハイブリッド衛星ネットワーク・サイバーセキュリティ・フレームワークの概要 - はじめに 
A significant level of sensing, communications, and PNT capabilities is being provided by the space sector, and there is a growing trend toward multi-national/ multi-organizational consortia providing these services. Hybrid Satellite Networks (HSN) present opportunities for organizations to leverage existing space-based capabilities through means such as hosted payloads; however, there is a need to ensure that these systems are secure, and that the integration of the components is done in a manner that is acceptable to the participating organizations.  宇宙分野では、重要なレベルのセンシング、通信、PNT 機能が提供されており、これらのサービスを 提供する多国籍/複数組織のコンソーシアムへの傾向が強まってきている。ハイブリッド衛星ネットワーク(HSN)は、ホストされたペイロードなどの手段により、組織が既存の宇宙ベースの能力を活用する機会を提供する。しかし、これらのシステムが安全であること、および参加組織が許容する方法でコンポーネントの統合が行われることを保証する必要がある。
The HSN cybersecurity profile (hereafter, the Profile) is intended to provide a means to assess and communicate an organization’s cybersecurity posture in a consistent and standardized manner. The Profile applies to organizations that:  ハイブリッド衛生ネットワーク・サイバーセキュリティ・プロファイル(以下、プロファイル)は、一貫した標準的な方法で組織のサイバーセキュリティ態勢を評価し、伝達する手段を提供することを意図している。このプロファイルは、以下のような組織に適用される。
• have already adopted the NIST Cybersecurity Framework (CSF) to help identify, assess, and manage cybersecurity risks [NIST CSF];  ・サイバーセキュリティのリスクを特定、評価、管理するために、NISTサイバーセキュリティ・フレームワーク(CSF)をすでに採用している組織。
• are familiar with the CSF and want to improve their cybersecurity postures; and  ・CSFをよく理解しており、サイバーセキュリティの姿勢を改善したいと考えている組織。
• are unfamiliar with the CSF but need to implement HSN services in a risk informed manner through the use of a cybersecurity risk management frameworks.  ・CSF をよく知らないが、サイバーセキュリティ・リスク管理フレームワークを使用して、リスク情報に基づいた方法で ハイブリッド衛生ネットワークサービスを実装する必要があると考えている組織。
1.1. Background  1.1. 背景 
The space sector is transitioning towards an aggregation of independently owned and operated segments that create a space system, rather than the traditional approach where a single entity acquires, operates and controls the space, ground and user segments.  To provide guidance to space stakeholders, NIST, in a partnership with industry, is developing this profile. Throughout the Profile development process, NIST will engage the public and private sectors on multiple occasions to include a request for information, participation in workshops, and comment and review of the draft Profile. The Profile development process is iterative and, in the end state, promotes the risk informed use of Hybrid Satellite Networks.   宇宙部門は、単一の事業体が宇宙、地上、ユーザの各セグメントを取得、運用、管理する従来 のアプローチではなく、独立して所有、運用されるセグメントの集合体として宇宙システムを構築する方向に移行している。 宇宙関係者にガイダンスを提供するために、NISTは産業界との協力のもと、このプロファイルを開発している。NISTは、このプロファイルの開発プロセスを通じて、情報提供の要請、ワークショップへの参加、プロファイルのドラフトに対するコメントやレビューなど、複数の機会を通じて官民を巻き込んでいく予定です。プロファイルの開発プロセスは反復的であり、最終的にはハイブリッド衛星ネットワークのリスク情報を得た上での利用を促進するものである。 
1.2. Purpose and Objectives  1.2. 目的及び目標 
The purpose of the Profile is to provide practical guidance for organizations and stakeholders engaged in the design, acquisition, and operation of satellite buses or payloads that involve HSN.   このプロファイルの目的は、ハイブリッド衛生ネットワークを含む衛星バスやペイロードの設計、取得、運用に携わる組織や関係者に実用的なガイダンスを提供することである。 
A completed Profile for commercial satellite companies operating in a hybrid environment that includes government and commercial entities will provide for future cybersecurity resilience. The Profile is suitable for applications that involve multiple stakeholders contributing to communications architecture and for other use cases such as hosted payloads.  政府及び商業機関を含むハイブリッド環境で活動する商業衛星会社のために完成したプロファイルは、将来のサイバーセキュリティの強靭性を提供することになる。このプロファイルは、通信アーキテクチャに貢献する複数の関係者が関与するアプリケーションや、ホスト型ペイロードのような他のユースケースに適している。ハイブリッド衛生ネットワーク・プロファイルの使用 
Use of the HSN Profile will help organizations; ハイブリッド衛生ネットワーク・プロファイルを使用することで、組織は以下のことが可能になる。
• Identify systems, assets, data and threats that pertain to HSN;  ・ハイブリッド衛生ネットワークに関連するシステム、資産、データ、脅威の特定。
• Protect HSN services by adhering to basic principles of resiliency;   ・レジリエンスの基本原則の遵守とハイブリッド衛生ネットワーク・サービスの保護。
• Detect cybersecurity-related disturbances or corruption of HSN services and data;  ・ハイブリッド衛生ネットワーク・サービスとデータのサイバーセキュリティ関連の妨害または破損の検出。
• Respond to HSN service or data anomalies in a timely, effective, and resilient manner; and  ・ハイブリッド衛生ネットワーク・のサービスまたはデータの異常に対して適時に、効果的に、かつ回復力のある方法での対応。
• Recover the HSN to proper working order at the conclusion of a cybersecurity incident.  ・サイバーセキュリティ事故の終了時に、ハイブリッド衛生ネットワーク・を正常な動作状態に回復させること。
1.3. Scope  1.3. 適用範囲 
The Profile will document an example architecture for data transport through hybrid satellite networks. The architecture will describe the salient cybersecurity functions that are part of the HSN to highlight cybersecurity dependencies.  本プロファイルは、ハイブリッド衛星ネットワークによるデータ伝送のためのアーキテクチャ例を文書化する。このアーキテクチャは、サイバーセキュリティの依存関係を明らかにするために、HSN の一部である主要なサイ バーセキュリティ機能を記述する。
The Profile will focus on the complex variety of interfaces, data flows, and space stakeholders involved in modern satellite communications networks. The CSF profile is intended to:  このプロファイルは、現代の衛星通信ネットワークに関わる複雑で多様なインタフェース、データの流れ、および宇宙関係者に焦点を当てることになる。CSFプロファイルは、以下を意図している。
• Facilitate integration of HSN components thorough consideration of cybersecurity functions, categories, and subcategories.   ・サイバーセキュリティ機能、カテゴリー、サブカテゴリーを徹底的に考慮したハイブリッド衛生ネットワーク・コンポーネントの統合を促進する。
• Assess cybersecurity posture in a consistent manner.  ・一貫した方法でサイバーセキュリティの姿勢を評価する。
• Provide a comprehensive framework to facilitate risk management decisions.  ・リスク管理の決定を促進するための包括的なフレームワークを提供する。
• Facilitate consistent assessment of cyber-risk.  ・サイバーリスクの一貫した評価を促進する。
• Communicate cybersecurity posture and priorities in a consistent manner.  ・サイバーセキュリティの態勢と優先順位を一貫した方法で伝達する。
The Profile provides a subset of CSF subcategories that is directly applicable to the HSN and mitigation strategies that could be implemented.  The Profile allows each organization the flexibility to implement selected mitigation strategies based on their risk posture or accepted risk management strategy.  プロファイルは、ハイブリッド衛生ネットワークに直接適用可能な CSF のサブカテゴリと、実施可能な緩和策を提供する。 このプロファイルにより、各組織は、そのリスク姿勢または受け入れられたリスク管理戦略に基づいて、選択した緩和戦略を柔軟に実施することができる。
1.4. Audience  1.4. 想定読者 
This document is intended to be used by those involved in overseeing, developing, implementing, and managing the HSN cybersecurity of systems such as:  この文書は、以下のようなシステムの ハイブリッド衛生ネットワーク・サイバーセキュリティの監督、開発、実施、管理に携わる 人々の利用を意図している。
• Public and private organizations that provide HSN services;  ・ハイブリッド衛生ネットワーク・サービスを提供する公共及び民間組織。
• Managers responsible for the use of HSN services;  ・ハイブリッド衛生ネットワーク・サービスの利用に責任を持つ管理者。
• Risk managers, cybersecurity professionals, and others with a role in cybersecurity risk management for systems that use HSN services;  ・リスク管理者,サイバーセキュリティ専門家,およびハイブリッド衛生ネットワークサービスを使用するシステムのサイバーセキュリティリスク管理の役割を持つその他の人々。
• Procurement officials responsible for the acquisition of HSN services;  ・ハイブリッド衛生ネットワークサービスの取得に責任を有する調達担当者。
• Mission and business process owners responsible for achieving operational outcomes dependent on HSN services;  ・ハイブリッド衛生ネットワークサービスに依存する運用成果の達成に責任を負うミッションおよびビジネス・プロセス・オーナー。
• Researchers and analysts who study the unique cybersecurity needs of HSN services; and  ・ハイブリッド衛生ネットワークサービスに特有のサイバーセキュリティのニーズを研究する研究者とアナリスト。
• Cybersecurity Architects who integrate Cybersecurity into the Product Designs for Space Vehicle Segments and Ground Segments. ・宇宙船セグメントと地上セグメントの製品設計にサイバーセキュリティを統合するサイバーセキュリティ・アーキテクト。

 

 


まるちゃんの情報セキュリティ気まぐれ日記

・2022.08.05 ドイツ BSI 宇宙インフラのためのサイバーセキュリティ

・2022.07.16 経済産業省 令和3年度委託調査報告書(サイバーセキュリティ関係) 2022.07.14現在

・2022.07.14 NIST NCCoE ハイブリッド衛星ネットワーク(HSN)サイバーセキュリティ(ドラフト)

・2022.07.06 NISTIR 8323 Rev. 1 (ドラフト) 基礎的な PNT プロファイル:測位・航法・計時(PNT)サービスの責任ある使用のためのサイバーセキュリティフレームワークの適用 (2022.06.29)

・2022.04.21 NISTIR 8401 (ドラフト) 衛星地上セグメント:衛星の指揮・統制を保証するためのサイバーセキュリティフレームワークの適用

・2022.02.28 NISTIR 8270(ドラフト)商用衛星運用のためのサイバーセキュリティ入門(第2稿)

・2022.02.27 経済産業省 意見募集 「民間宇宙システムにおけるサイバーセキュリティ対策ガイドラインβ版」

・2021.07.02 NISTIR 8270(ドラフト)商用衛星運用のためのサイバーセキュリティ入門

・2021.05.23 GPSの二重化は現在のところ経済効率的ではないようですね。。。

・2021.04.16 U.S. Rand研究所 衛星インターネットサービスは独裁者にとって吉?凶?

・2021.04.12 宇宙経済をサイバー攻撃から守り抜くために by The Center for Security Studies at ETH Zürich at 2021.01.07

・2021.02.13 NIST NISTIR 8323 基本的なPNTプロファイル:測位・航法・計時(PNT)サービスの責任ある使用のためのサイバーセキュリティフレームワークの適用

・2020.11.21 MITREがサイバーセキュリティを含む宇宙関連の5つの技術報告書を公開していますね。。。

・2020.10.23 NISTが測位・航法・計時(PNT)に関連するサービスに関連したセキュリティプロファイルに関する文書(NISTIR 8323)のパブコメを募集していますね。

・2020.09.21 イランのハッカー3名が衛星会社から知財を盗んだ理由等により起訴されていますね。。。

 

 

| | Comments (0)

NIST ホワイトペーパー(ドラフト) 【プロジェクト概要】上下水道事業の安全確保:上下水道システムセクターのためのサイバーセキュリティ

こんにちは、丸山満彦です。

NISTが、【プロジェクト概要】上下水道事業の安全確保:上下水道システムセクターのためのサイバーセキュリティについての白書のドラフトを公開し、意見募集をしていますね。。。

想定している、システム概要

Fig1_20221106064201

出典:White Paper (Draft) [Project Description] Securing Water and Wastewater Utilities: Cybersecurity for the Water and Wastewater Systems Sector, Figure 1 Example WWS Infrastructure

NIST -ITL

・2022.11.02 White Paper (Draft) [Project Description] Securing Water and Wastewater Utilities: Cybersecurity for the Water and Wastewater Systems Sector

 

White Paper (Draft) [Project Description] Securing Water and Wastewater Utilities: Cybersecurity for the Water and Wastewater Systems Sector ホワイトペーパー(ドラフト) 【プロジェクト概要】上下水道事業の安全確保:上下水道システムセクターのためのサイバーセキュリティ
Announcement 発表内容
The National Cybersecurity Center of Excellence (NCCoE) is seeking feedback from all stakeholders in the water and wastewater utilities sector. In our efforts to ensure our guidance can benefit the broadest audience, the NCCOE is especially interested in hearing from water utilities of all sizes: small, medium and large. National Cybersecurity Center of Excellence (NCCoE)は、上下水道事業分野のすべての関係者からのフィードバックを求めている。NCCoE は、我々のガイダンスが最も多くの人々に利益をもたらすことを確実にするため、特に、小、中、大のあらゆる規模の水道事業体からの意見を聞きたいと思っている。
Many U.S. Water and Wastewater Systems (WWS) sector stakeholders are utilizing data-enabled capabilities to improve utility management, operations, and service delivery.   The increasing adoption of network-enabled technologies by the sector merits the development of best-practices, guidance, and solutions to ensure that the cybersecurity posture of facilities is safeguarded. 米国の上下水道システム(WWS)セクターの多くの関係者は、公益事業の管理、運営、サービス提供を改善するためにデータ化された機能を利用している。   このセクターではネットワーク対応技術の採用が進んでいるため、施設のサイバーセキュリティを確保するためのベストプラクティス、ガイダンス、ソリューションを開発することが求められている。
The NCCoE project will demonstrate solutions to protect the cybersecurity of infrastructure within the operating environments of WWS sector utilities that address common cybersecurity risks among water and wastewater systems utilities.  This project will address areas that have been identified by WWS stakeholders, including: asset management, data integrity, remote access, and network segmentation.  NCCoEプロジェクトは、上下水道事業者に共通するサイバーセキュリティリスクに対処するため、上下水道システムセクターの事業環境におけるインフラのサイバーセキュリティを保護するソリューションを実証するものである。  このプロジェクトは、資産管理、データの完全性、リモートアクセス、ネットワークのセグメンテーションなど、上下水道システム関係者が特定した分野に取り組むことになる。 
The NCCoE will demonstrate use of existing commercially available products to mitigate and manage these risks.  The findings can be used as a starting point by utilities in mitigating cybersecurity risks for their specific production environment. This project will result in a freely available NIST Cybersecurity Practice Guide. NCCoEは、これらのリスクを軽減・管理するために、既存の市販製品の利用を実証する予定である。  この調査結果は、電力会社がそれぞれの生産環境におけるサイバーセキュリティのリスクを軽減するための出発点として利用することができる。このプロジェクトは、自由に利用できるNISTサイバーセキュリティ実践ガイドを作成する予定である。
Get Engaged 参加について
You can continue to help shape and contribute to this and future projects by joining the NCCoE’s Water Sector Community of Interest. Visit our project page to join. NCCoE の Water Sector Community of Interest に参加することで、このプロジェクトや将来のプロジェクトの形成に貢献することができる。 参加するには、プロジェクトのページを参照すること。
Abstract 概要
The U.S. Water and Wastewater Systems (WWS) sector has been undergoing a digital transformation. Many sector stakeholders are utilizing data-enabled capabilities to improve utility management, operations, and service delivery. The ongoing adoption of automation, sensors, data collection, network devices, and analytic software may also increase cybersecurity-related vulnerabilities and associated risks. 米国の上下水道システム(WWS)セクターは、デジタル変革の時期を迎えている。多くの関係者がデータ機能を活用し、ユーティリティの管理、運営、サービス提供の改善に取り組んでいる。自動化、センサー、データ収集、ネットワーク機器、分析ソフトウェアの継続的な採用は、サイバーセキュリティ関連の脆弱性と関連リスクを増加させる可能性もある。
The NCCoE has undertaken a program to determine common scenarios for cybersecurity risks among WWS utilities. This project will profile several areas, including asset management, data integrity, remote access, and network segmentation. The NCCoE will also explore the utilization of existing commercially available products to mitigate and manage these risks. The findings can be used as a starting point by WWS utilities in mitigating cybersecurity risks for their specific production environment. This project will result in a freely available NIST Cybersecurity Practice Guide. NCCoEは、上下水道システム公益事業者に共通するサイバーセキュリティリスクのシナリオを決定するプログラムに着手している。このプロジェクトでは、資産管理、データの完全性、リモートアクセス、ネットワークのセグメンテーションなど、いくつかの分野についてプロファイリングする予定である。NCCoEはまた、これらのリスクを軽減し管理するために、既存の市販製品の活用を検討する。調査結果は、上下水道システム・ユーティリティ企業がそれぞれの生産環境におけるサイバーセキュリティリスクを軽減するための出発点として利用することができる。このプロジェクトは、自由に利用できるNISTサイバーセキュリティ実践ガイドを作成する予定である。

 

・[PDF] Draft Project Description

20221106-05616

目次...

1 Executive Summary 1 エグゼクティブサマリー
Purpose 目的
Scope 対象範囲
Assumptions 前提条件
Challenges 課題
Background 背景
2 Scenarios 2 シナリオ
Scenario 1: Asset Management シナリオ1: アセットマネジメント
Scenario 2: Data Integrity シナリオ2: データの完全性
Scenario 3: Remote Access シナリオ3:リモートアクセス
Scenario 4: Network Segmentation シナリオ4:ネットワークセグメンテーション
3 High-Level Architecture 3 ハイレベル・アーキテクチャ
Requirements 要求事項
4 Relevant Standards and Guidance 4 関連する標準とガイダンス
5 Security Control Map 5 セキュリティコントロールマップ
Appendix A References 附属書A 参考文献
Appendix B Acronyms and Abbreviations 附属書B 頭字語および略語

 

エグゼクティブサマリー...

1 EXECUTIVE SUMMARY  1 エグゼクティブサマリー 
Purpose  目的 
This document outlines a National Cybersecurity Center of Excellence (NCCoE) project that will develop example cybersecurity solutions to protect the infrastructure in the operating environments of WWS sector utilities. The increasing adoption of network-enabled technologies by the sector merits the development of best practices, guidance, and solutions to ensure that the cybersecurity posture of facilities is safeguarded.  この文書は、上下水道システムセクターの公益事業運営環境におけるインフラを保護するためのサイバーセキュリティ・ソリューションの例を開発する、国家サイバーセキュリティセンターオブエクセレンス(NCCoE)プロジェクトの概要を説明するものである。このセクターではネットワーク対応技術の採用が進んでいるため、施設のサイバーセキュリティ態勢を確実に保護するためのベストプラクティス、ガイダンス、ソリューションを開発することが求められている。
This project explores four areas of concern identified by WWS stakeholders, namely: asset management, data integrity, remote access, and network segmentation. These areas have been under review to determine the common features among sector stakeholders and to identify issues being faced by broad segments of the sector. For this project, the focus is on municipalscale utilities.   このプロジェクトでは、上下水道システム関係者が指摘した4つの懸念事項、すなわち資産管理、データの完全性、リモートアクセス、ネットワークのセグメンテーションを調査している。これらの分野は、セクター関係者間の共通点を見極め、セクターの幅広い層が直面している問題を特定するために検討されてきました。このプロジェクトでは、自治体規模の公共施設に焦点を当てます。 
Critical infrastructure issues in the WWS sector present several unique challenges. Utilities in the sector typically cover a wide geographic area regarding piped distribution networks and infrastructure together with centralized treatment operations. The supporting operational technologies (OT) underpinning this infrastructure are likely reliant on supervisory control and data acquisition (SCADA) systems which provide data transmission across the enterprise, sending sensor readings and signals in real time. These systems also control the automated processes in the production environment which is linked to the distribution network. Additionally, many OT devices are now converging upon information technology (IT) capability with the advent of Industrial Internet-of-Things (IIoT) devices and platforms, such as cloudbased SCADA and smart monitoring.  上下水道システムセクターの重要なインフラ問題は、いくつかのユニークな課題を提起している。この分野の公益事業者は通常、集中処理事業とともに配管された配水ネットワークとインフラに関して広い地域をカバーしている。このインフラを支える運用技術(OT)は、おそらく監視制御およびデータ収集(SCADA)システムに依存しており、企業全体にデータ伝送を行い、センサーの測定値や信号をリアルタイムで送信している。これらのシステムは、物流ネットワークに接続された生産環境の自動化プロセスも制御する。さらに、クラウドベースのSCADAやスマートモニタリングなど、産業用モノのインターネット(IIoT)デバイスやプラットフォームの出現により、多くのOTデバイスが情報技術(IT)機能に収斂されつつある。
This project will identify challenges and develop a reference architecture that demonstrates solutions using commercially available products and services. The project described herein also serves to initiate a broad discussion with WWS sector stakeholders, both from the public and private sectors, to identify stakeholders and commercial solutions providers. The commercial solutions will be integrated into a pilot-lab environment to develop a reference architecture and case study.    このプロジェクトでは、課題を特定し、市販の製品やサービスを利用したソリューションを実証する参照アーキテクチャを開発する。ここで説明するプロジェクトは、上下水道システムセクターのステークホルダー(官民双方)との幅広い議論を開始し、ステークホルダーと商用ソリューションプロバイダを特定する役割も果たす。商用ソリューションは、参照アーキテクチャとケーススタディを開発するために、パイロットラボ環境に統合される予定である。  
This project will result in a publicly available NIST Cybersecurity Practice Guide which will include a detailed implementation guide of the practical steps needed to implement a cybersecurity reference design that addresses these challenges.  このプロジェクトは、これらの課題に対処するサイバーセキュリティのリファレンスデザインを実装するために必要な実践的ステップの詳細な実装ガイドを含む、一般に利用可能なNISTサイバーセキュリティ実践ガイドに帰結する予定である。
Scope  範囲 
This project description profiles several areas to strengthen the cybersecurity posture within the operational environment of WWS facilities. The following areas will be explored:  このプロジェクトの説明は、上下水道システム施設の運用環境におけるサイバーセキュリティの態勢を強化するためのいくつかの領域について紹介している。以下の領域を検討する。
• Asset Management – inventory, visibility, criticality  ・資産管理 - インベントリ、可視性、重要性
• Data Integrity  ・データの完全性
• Remote Access  ・リモートアクセス
• Network Segmentation  ・ネットワーク・セグメンテーション
Assumptions  前提条件 
The project will demonstrate solutions to improve the cybersecurity posture of WWS stakeholders and is guided by the following assumptions:  このプロジェクトは、上下水道システム関係者のサイバーセキュリティ態勢を改善するためのソリューションを実証するものであり、以下の前提条件によって導かれている。
• WWS infrastructure that adequately reflects operational capabilities is available for solution testing  ・運用能力を適切に反映した上下水道システムのインフラが、ソリューションのテストに利用可能であること。
• A range of commercially available solutions exist and are readily available to sector stakeholders to demonstrate solutions to the identified challenges  ・商業的に利用可能な様々なソリューションが存在し,特定された課題に対するソリューションを実証するために、セクターの利害関係者が容易に利用可能であること。
Challenges  課題 
There are a wide range of capabilities among WWS utilities regarding cyber-enabled operations. Identifying challenges that can be representative in addressing a broad range of issues may be difficult. Also, lab-constructed test solutions may not address the complexities of real-world operational scenarios. The NCCoE does not provide prescriptive solutions, but rather demonstrates illustrative cases that may be voluntarily adopted by a large segment of the sector.  サイバー化されたオペレーションに関して、上下水道システム公益事業者の能力には幅がある。広範な課題に対処する上で、代表的な課題を特定することは難しいかもしれません。また、実験室で構築されたテストソリューションは、実世界の運用シナリオの複雑さに対応できないかもしれません。NCCoEは規範的な解決策を提供するのではなく、業界の大部分に自発的に採用される可能性のある例示的な事例を示すものである。
Background  背景 
There is apparent general consensus from WWS stakeholders that additional cybersecurity implementation references are needed to assist in the protection of its critical infrastructure. The advancement of network-based approaches, together with an ongoing increase in cyber threats, merit the need for sector-wide improvements in cybersecurity protections. The NCCoE, together with its stakeholders, is undertaking this project to identify and demonstrate cybersecurity solutions for the sector.  The project will build on existing sector guidance to provide information for the direct implementation of readily available commercial solutions towards the most pressing cybersecurity challenges faced by sector utilities.  上下水道システムの関係者間では、重要インフラの保護を支援するために、サイバーセキュリティの実装に関する追加的な参考資料が必要であるとの一般的な意見があるようである。ネットワークベースのアプローチの進歩は、サイバー脅威の継続的な増加とともに、サイバーセキュリティ保護におけるセクター全体の改善の必要性にメリットをもたらする。NCCoEは、その利害関係者とともに、このセクターのためのサイバーセキュリティ・ソリューションを特定し、実証するために、このプロジェクトを実施している。 このプロジェクトは、既存のセクター・ガイダンスに基づいて、セクターのユーティリティ企業が直面する最も差し迫ったサイバーセキュリティの課題に対して、すぐに利用できる商用ソリューションを直接実施するための情報を提供するものである。
This project references efforts undertaken by Federal agencies to ensure the protection of water and wastewater providers. The Environmental Protection Agency (EPA) [1] in its role as the Sector Risk Management Specific Agency (SRMA) provides coordination in responding to cyber incidents and support in the form of tools, exercises, and technical assistance. The Department of Homeland Security’s (DHS) Cybersecurity and Infrastructure Security Agency (CISA) [2] leads the efforts to protect assets, mitigate vulnerabilities, and reduce impacts from potential cyber incidents.  このプロジェクトは、上下水道事業者の保護を確保するために連邦機関が行っている取り組みを参照している。環境保護庁(EPA)[1]は、セクターリスク管理特定機関(SRMA)としての役割において、サイバー事件への対応における調整と、ツール、演習、および技術支援の形でのサポートを提供している。国土安全保障省(DHS)のサイバーセキュリティ及びインフラセキュリティ局(CISA)[2]は、資産の保護、脆弱性の緩和、潜在的なサイバー事件からの影響の軽減のための取り組みを主導している。
WWS organizations have also contributed to sector awareness and capacity building. The American Water Works Association (AWWA) provides resources and guidance for aiding water systems in evaluating cybersecurity risks. The AWWA Cybersecurity Assessment Tool and Guidance, referenced herewith, assists utilities in identifying exposure to cyber risks, setting priorities, and executing appropriate and proactive cybersecurity strategies in support of Section  上下水道システムの組織もまた、セクターの認識と能力開発に貢献している。米国水道協会(AWWA)は、水道システムのサイバーセキュリティリスクの評価を支援するためのリソースとガイダンスを提供している。米国水道協会サイバーセキュリティ評価ツールおよびガイダンスは、公益事業者がサイバーリスクにさらされていることを特定し、優先順位を設定し、適切かつプロアクティブなサイバーセキュリティ戦略を実行することを支援するもので、本書で参照されている。
2013 of America’s Water Infrastructure Act of 2018 (AWIA) [3]. Additionally, the Water Environment Federation (WEF) leads the effort among wastewater utilities and is providing guidance and information in the identification of sector needs and priorities [4]. The Water Information Sharing and Analysis Center (WaterISAC) is an all-threats security information source for the water and wastewater sector, providing invaluable information and resources to the WSS sector including the “15 Cybersecurity Fundamentals for Water and Wastewater Utilities.” [5]   2013 of America's Water Infrastructure Act of 2018 (AWIA)[3]をサポートしている。さらに、水環境連盟(WEF)は、下水道事業者間の取り組みを主導し、セクターのニーズと優先事項の特定におけるガイダンスと情報を提供している[4]。Water Information Sharing and Analysis Center(WaterISAC)は、上下水道セクターのための全脅威のセキュリティ情報源であり、「上下水道事業のためのサイバーセキュリティの基礎」を含む上下水道システムセクターへの貴重な情報とリソースを提供している。

 

APPENDIX A   REFERENCES

  1. United States Environmental Protection Agency (EPA), The Sources and Solutions: Wastewater. Available: https://www.epa.gov/nutrientpollution/sources-and-solutionswastewater.
  2. Cybersecurity and Infrastructure Security Agency (CISA), National Critical Functions— Supply Water and Manage Wastewater. Available: https://www.cisa.gov/ncf-water.
  3. Summary 3021, America's Water Infrastructure Act of 2018, Available: https://www.congress.gov/115/bills/s3021/BILLS-115s3021enr.pdf. 

  4. Arceneaux and L. McFadden, The State of Cybersecurity in the Water Sector. Water Environment Technology, January, 2022. Available: https://www.waterenvironmenttechnology-digital.com/waterenvironmenttechnology/january_2022/MobilePagedArticle.action?art icleId=1753528#articleId1753528. 

  5. Water Information Sharing and Analysis Center (ISAC), 15 Cybersecurity Fundamentals for Water and Wastewater Utilities. 2019. Available: https://www.waterisac.org/system/files/articles/15%20Cybersecurity%20Fundamentals %20%28WaterISAC%29.pdf. 

 

 

| | Comments (0)

英国 データ倫理・イノベーションセンター データおよびAIに対する国民の意識:トラッカー調査(第2回)

こんにちは、丸山満彦です。

英国政府のデータ倫理・イノベーションセンター(CDEI)が、データ及びAIに対する国民の意識についての経年調査の2回目の報告書を公表していますね。。。

U.K. Government

・2022.11.02 Public attitudes to data and AI: Tracker survey (Wave 2)

 

Public attitudes to data and AI: Tracker survey (Wave 2) データおよびAIに対する国民の意識:トラッカー調査(第2回)
The CDEI has published a report detailing the findings from the second wave of its Public Attitudes Tracker Survey, which monitors how attitudes towards data and AI vary over time, and assesses the drivers of trust in data use. CDEIは、データとAIに対する態度が時系列でどのように変化するかを監視し、データ利用に対する信頼のドライバーを評価する「公共態度トラッカー調査」の第2回の結果を詳述した報告書を発表した。
Details 詳細
The Centre for Data Ethics and Innovation (CDEI) Public Attitudes Tracker Survey monitors how public attitudes towards the use of data and data-driven technologies change over time, as well as assessing the drivers of trust in data use. Building on Wave 1 this second iteration of the survey provides insight into issues including where citizens see the greatest value in data use, where they see the greatest risks, trust in institutions to use data, and preferences for data sharing. This report summarises the second wave (Wave 2) of research and makes comparisons to the first wave (Wave 1). The research was conducted by Savanta ComRes on behalf of the CDEI. データ倫理・イノベーションセンター(CDEI)の公共態度トラッカー調査は、データやデータ駆動型技術の利用に対する国民の態度が時間とともにどのように変化するかを監視し、データ利用に対する信頼の推進要因を評価するものである。本調査は、第1波をベースに、市民がデータ活用に最大の価値を見出す場所、最大のリスクを見出す場所、データ活用のための機関への信頼、データ共有に対する好みなどの問題に関する洞察を提供するものである。本レポートは、第2回調査(Wave 2)の要約と第1回調査(Wave 1)との比較を行っている。 本調査は、CDEIの委託を受け、Savanta ComResが実施したものである。
Key findings 主な調査結果
Health and the economy are perceived as the greatest opportunities for data use. These mirror the areas where the public perceive the biggest issues facing the UK: ‘the economy’ and ‘tax’ have both increased in importance as key issues faced by the UK since the last wave, while health remains a priority issue. 「健康」と「経済」がデータ活用の最大の機会であると認識されている。これらは、国民が英国が直面している最大の問題を認識している分野と一致している。「経済」と「税」は、前回の調査から英国が直面する重要な課題として重要性を増しているが、「健康」は依然として優先度の高い課題である。
Data security and privacy are the top concerns, reflecting the most commonly recalled news stories. UK adults report a slight increase in perceived risks related to data security since December 2021, with ‘data not being held securely/ being hacked or stolen’ and ‘data being sold onto other organisations for profit’ representing the two greatest perceived risks. データのセキュリティとプライバシーは、最もよく想起されるニュースストーリーを反映して、最大の関心事となっている。英国の成人は、2021年12月以降、データセキュリティに関するリスク認識がわずかに増加していると報告しており、「データが安全に保持されていない/ハッキングされたり盗まれたりする」と「データが利益のために他の組織に売却される」が2大リスク認識として挙げられている。
Trust in data actors is strongly related to overall trust in those organisations. While trust in the NHS and academic researchers to use data remains high, a drop in the public’s trust in the government and utility companies and their data practices has been reported since the previous wave. Trust in big technology companies to act in people’s best interest has also fallen since 2021, particularly amongst those who are most positive and knowledgeable about technology. Trust in social media companies remains low. データ関係者への信頼は、それらの組織に対する全体的な信頼と強く関連している。NHSや学術研究者のデータ活用に対する信頼は依然として高いが、政府や電力会社、そのデータ活用に対する国民の信頼は、前回の波から低下していることが報告されている。人々の最善の利益のために行動する大手テクノロジー企業への信頼も2021年以降低下しており、特にテクノロジーに最も肯定的で知識のある人々の間で低下している。ソーシャルメディア企業への信頼は依然として低い。
UK adults do not want to be identifiable in shared data - but will share personal data in the interests of protecting fairness. When it comes to data governance, people want their data to be managed by experts, and for the privacy of their data to be prioritised. 英国の成人は、共有データで個人を特定されることを望んでいない - しかし、公平性を守るためなら個人データを共有する。データガバナンスに関して、人々は自分のデータが専門家によって管理されること、そして自分のデータのプライバシーが優先されることを望んでいる。
While identifiability is the most important criterion driving willingness to share data, the wider UK adult population is willing to share demographic data for the purpose of evaluating systems for fairness towards all groups. The proportion of people who would be comfortable sharing information about their ethnicity, gender, or the region they live in, to enable testing of systems for fairness is 69%, 68% and 61% respectively. In comparison, adults with very low digital familiarity are less comfortable sharing information about their ethnicity (47%), gender or region they live in (both 55%). 識別可能性がデータ共有の意欲を高める最も重要な基準である一方、英国の成人人口は、すべてのグループに対する公正なシステムを評価する目的で、人口統計データを共有することに前向きである。民族、性別、住んでいる地域について、公平性を検証するために情報を共有してもよいと考える人の割合は、それぞれ69%、68%、61%である。一方、デジタルへの親和性が非常に低い成人は、民族(47%)、性別、住んでいる地域(ともに55%)の情報を共有することに抵抗があるようである。
The UK adult population prefers experts to be involved in the review process for how their data is managed. This preference for experts to be involved in decision-making processes related to shared data is stronger among adults with low levels of trust in institutions tested compared to those with high levels of trust. 英国の成人は、自分のデータがどのように管理されるかの検討プロセスに専門家が関与することを希望している。共有データに関連する意思決定プロセスに専門家が関与することを望むこの傾向は、テストされた機関への信頼度が低い成人では、信頼度が高い人に比べてより強くなっている。
People are positive about the added conveniences of AI, but expect strong governance in higher risk scenarios, such as in healthcare and policing. Healthcare is the area in which UK adults expect there to be the biggest changes as a result of AI. 人々は、AIによる利便性の向上には肯定的であるが、医療や警察などリスクの高いシナリオでは強力なガバナンスを期待します。ヘルスケアは、英国の成人がAIの結果として最も大きな変化があると期待している分野である。
Members of the public with very low digital familiarity have low confidence in their knowledge and control over their personal data, with the majority saying that they know little or nothing about how their data is used and collected (76%). Few feel that their data is stored safely and securely (28%). As a result, they are less likely than the wider UK adult population to feel they personally benefit from technology. However, they are reasonably open to sharing data to benefit society, and the majority consider collecting and analysing data to be good for society (57%). デジタルへの親和性が非常に低い一般市民は、自分の個人データに関する知識やコントロールに対する信頼度が低く、大多数が自分のデータがどのように使用・収集されているかについてほとんど知らない(76%)と回答している。また、自分のデータが安全かつセキュアに保管されていると感じている人はほとんどいません(28%)。その結果、英国の成人人口に比べ、テクノロジーから個人的に恩恵を受けていると感じる割合が低くなっている。しかし、社会に役立つデータの共有には積極的で、データの収集と分析は社会にとって良いことだと考えている人が大半である(57%)。
Next steps 次のステップ
The CDEI has published the raw survey data and data tables alongside the report summarising the findings of this iteration of the tracker survey. This survey, alongside other qualitative and quantitative research at CDEI, provides an evidence base which sits at the heart of our work on responsible innovation. For example, the survey’s research findings on demographic data will inform work to support organisations to access demographic data to monitor their products and services for algorithmic bias. To sign up for updates about future waves for the survey, click here. CDEIは、今回のトラッカー調査の結果をまとめた報告書とともに、調査の生データとデータテーブルを公開した。本調査は、CDEIの他の定性・定量調査とともに、責任あるイノベーションに関する我々の活動の中核となるエビデンスベースを提供するものである。例えば、人口統計データに関する本調査の結果は、アルゴリズムによる偏りがないか製品やサービスを監視するために人口統計データにアクセスする組織を支援するための作業に反映される。本調査の今後の波に関する最新情報を入手するには、ここをクリック。

 

報告書...

Public attitudes to data and AI: Tracker survey (Wave 2)

目次...

Contents 目次
1.Foreword 1.まえがき
2.Executive summary 2.エグゼクティブサマリー
3.Overview 3.概要
4.The value of data for society 4.社会にとってのデータの価値
5.Risks related to data and its portrayal in the media 5.データに関するリスクとメディアにおけるその描写
6.Trust in data actors 6.データ利用者への信頼
7.Public preferences for data governance 7.データガバナンスに対する社会的嗜好
8.Public preferences for data sharing 8.データ共有に対する国民の嗜好
9.The future of AI and AI governance 9.AIとAIガバナンスの将来
10.Attitudes of those with very low digital familiarity 10.デジタルへの親和性が極めて低い人の意識
11.Methodology 11.方法論
12.Annex: Regression models 12.附属書:回帰モデル

 

2. Executive summary 2. エグゼクティブサマリー
Below is a summary of the key findings of this Wave 2 report (June - July 2022), and how these findings differ from Wave 1 (November - December 2021): 以下、本Wave2レポート(2022年6月~7月)の主な調査結果、およびWave1(2021年11月~12月)との違いをまとめている。
1. Health and the economy are perceived as the greatest opportunities for data use. 1. 健康と経済がデータ活用の最大の機会として認識されている。
‘Health’ and ‘the economy’ represent the greatest perceived opportunities for data to be used for public benefit. These mirror the areas where the public perceive the biggest issues facing the UK: ‘the economy’ and ‘tax’ have both increased in importance as key issues faced by the UK since the last wave, while health remains a priority issue. In general, UK adults remain broadly optimistic about data use, with reasonably high agreement that data is useful for creating products and services that benefit individuals, and that collecting and analysing data is good for society. Nevertheless, it is important to recognise that differences persist across population groups, with younger people, and those within higher socio-economic grades, seeing various aspects of data use in a more positive light. 「健康」と「経済」は、データが公共の利益のために利用される最大の機会であると認識されていることを表している。これらは、国民が英国が直面している最大の問題を認識している分野を反映している。経済」と「税」は、前回の波から英国が直面する重要な問題として重要性を増しており、「健康」は依然として優先度の高い問題である。一般に、英国の成人はデータ利用について概ね楽観的であり、データは個人の利益となる製品やサービスを生み出すのに有用であり、データの収集と分析は社会にとって良いことであるという点で、かなり高い同意が得られている。しかし、若年層や社会経済的な地位の高い人々は、データ活用の様々な側面をより肯定的に捉えており、人口集団によって違いがあることを認識することが重要である。
2. Data security and privacy are the top concerns, reflecting the most commonly recalled news stories. 2. データのセキュリティとプライバシーが最大の懸念事項であり、最もよく想起されるニュースストーリーを反映している。
UK adults report a slight increase in perceived risks related to data security since December 2021, with ‘data not being held securely / being hacked or stolen’ and ‘data being sold onto other organisations for profit’ representing the two greatest perceived risks. These concerns are reflected in the news stories that people recall about data, resulting in a predominantly negative overall recall. At the same time, the UK adult population expresses low confidence that concerns related to data are being addressed. 英国の成人は、2021年12月以降、データセキュリティに関するリスク認識がわずかに増加しており、「データが安全に保持されていない/ハッキングや盗難にあう」、「データが他の組織に売られて利益を得る」の2つが最も大きなリスク認識となっている。これらの懸念は、人々がデータについて思い出すニュースストーリーにも反映されており、結果として全体的にネガティブな想起が多くなっている。同時に、英国の成人人口は、データに関連する懸念が対処されていることに低い信頼感を示している。
3. Trust in data actors is strongly related to overall trust in those organisations. 3. データ関係者に対する信頼は、それらの組織に対する全体的な信頼と強く関連している。
Trust in actors to use data safely, effectively, transparently, and with accountability remains strongly related to overall trust in those organisations to act in one’s best interests. This is therefore affected by other events which impact on the level of trust in those organisations (such as public discussions about the current energy crisis, and mismanagement of sewage affecting public trust in utility companies). While trust in the NHS and academic researchers to use data remains high, a drop in the public’s trust in the government and utility companies and their data practices has been reported since the previous wave. Trust in big technology companies to act in people’s best interest has also fallen since 2021, particularly amongst those who are most positive and knowledgeable about technology. Trust in social media companies remains low. データを安全に、効果的に、透明性をもって、そして説明責任をもって利用する行為者に対する信頼は、自分の利益のために行動するそれらの組織に対する全体的な信頼と強い関連性を保っている。したがって、これは、それらの組織に対する信頼のレベルに影響を与える他の出来事(現在のエネルギー危機に関する公的な議論や、公益事業会社に対する国民の信頼に影響を与える下水の不始末など)の影響を受けることになる。NHSと学術研究者のデータ活用に対する信頼は依然として高いが、政府と電力会社とそのデータ活用に対する国民の信頼は、前回の波から低下していることが報告されている。人々の最善の利益のために行動する大手テクノロジー企業への信頼も2021年以降低下しており、特にテクノロジーに最も肯定的で知識のある人々の間で低下している。ソーシャルメディア企業への信頼は依然として低い。
4. UK adults do not want to be identifiable in shared data - but will share personal data in the interests of protecting fairness. 4. 英国の成人は、共有データで個人を特定されることを望んでいない - しかし、公平性を守るためなら個人データを共有する。
When it comes to data governance, people want their data to be managed by experts, and for the privacy of their data to be prioritised. ‘Identifiability’ stands out as the most important consideration for an individual to be willing to share data, and UK adults express a clear preference that they are not personally identifiable in data that is shared. People also express a preference for experts to be involved in the decision-making process for data sharing, over a public or self-assessed review. データガバナンスに関して、人々は自分のデータが専門家によって管理されること、そして自分のデータのプライバシーが優先されることを望んでいる。個人がデータを共有する際に最も重要視されるのは「識別可能性」であり、英国の成人は、共有されるデータから個人を特定できないようにすることを明確に希望している。また、データ共有の意思決定プロセスには、公開レビューや自己評価よりも、専門家が関与することを希望していることが示されている。
While identifiability is the most important criterion driving willingness to share data, the wider UK adult population is willing to share demographic data for the purpose of evaluating systems for fairness towards all groups. The proportion of people who would be comfortable sharing information about their ethnicity, gender, or the region they live in, to enable testing of systems for fairness is 69%, 68% and 61% respectively. In comparison, adults with very low digital familiarity are less comfortable sharing information about their ethnicity (47%), gender or region they live in (both 55%). 識別可能性がデータ共有の意欲を高める最も重要な基準である一方、英国の成人人口は、すべてのグループに対して公平なシステムを評価する目的で、人口統計データを共有することを望んでいる。民族、性別、住んでいる地域に関する情報を、システムの公平性を検証するために共有してもよいと考える人の割合は、それぞれ69%、68%、61%である。これに対し、デジタルへの親和性が非常に低い成人は、民族(47%)、性別、住んでいる地域(ともに55%)に関する情報を共有することに抵抗があるようである。
5. The UK adult population prefers experts to be involved in the review process for how their data is managed. 5. 英国の成人は、自分のデータがどのように管理されるかの検討プロセスに専門家が関与することを好む。
Out of all types of governance tested, people value the involvement of experts in the review process over the involvement of the public, self-assessed review, or no review, suggesting that the public prefers to delegate decisions around data management to professionals skilled in this field. This preference for experts to be involved in decision-making processes related to shared data is stronger among adults with low levels of trust in institutions tested compared to those with high levels of trust. テストしたすべてのガバナンスの種類のうち、人々は、一般人の関与、自己評価によるレビュー、レビューなしよりも、レビュープロセスへの専門家の関与を重視しており、一般人は、データ管理に関する決定をこの分野に精通した専門家に委ねることを好むことが示唆されている。このように、共有データに関連する意思決定プロセスに専門家が関与することを好む傾向は、テストした機関への信頼度が低い成人の方が、信頼度が高い人と比べてより強くなっている。
6. People are positive about the added conveniences of AI, but expect strong governance in higher risk scenarios. 6. 人々はAIの付加的な利便性には肯定的だが、よりリスクの高いシナリオでは強力なガバナンスを期待する。
The UK adult population has a positive expectation that AI will improve the efficiency and effectiveness of regular tasks. However, public views are split on the fairness of the impact of AI on society, and on the effect AI might have on job opportunities. People have higher demands for governance in AI use cases that are deemed higher risk or more complex, such as in healthcare and policing. Healthcare is the area in which UK adults expect there to be the biggest changes as a result of AI. However, overall AI still ranks fairly low against other societal concerns, signalling this is not yet a front of mind topic or concern for people. 英国の成人人口は、AIが通常の作業の効率と効果を向上させることに肯定的な期待を持っている。しかし、AIが社会に与える影響の公平性や、AIが仕事の機会に与える影響については、国民の意見が分かれている。ヘルスケアや警察など、リスクが高い、あるいはより複雑とされるAIのユースケースにおいて、人々はより高いガバナンスを要求している。ヘルスケアは、英国の成人がAIによって最も大きな変化があると期待している分野である。しかし、全体的なAIは、他の社会的な懸念に対してまだかなり低いランクにあり、これはまだ人々の頭の中にあるトピックや懸念ではないことを示している。
7. Those with very low digital familiarity express concerns about the control and security of their data, but are positive about its potential for society. 7. デジタルへの親和性が非常に低い人は、自分のデータの管理やセキュリティに懸念を示す一方で、社会的な可能性については肯定的である。
Members of the public with very low digital familiarity have low confidence in their knowledge and control over their personal data, with the majority saying that they know little or nothing about how their data is used and collected (76%). Few feel that their data is stored safely and securely (28%). As a result, they are less likely than the wider UK adult population to feel they personally benefit from technology. However, they are reasonably open to sharing data to benefit society, and the majority consider collecting and analysing data to be good for society (57%). デジタルへの親和性が非常に低い人々は、自分の個人データに関する知識やコントロールに対する自信が低く、大多数が自分のデータがどのように使用・収集されているかほとんど知らないと回答している(76%)。また、自分のデータが安全かつセキュアに保管されていると感じている人はほとんどいません(28%)。その結果、英国の成人人口に比べ、テクノロジーから個人的に恩恵を受けていると感じる割合が低くなっている。しかし、社会に役立つデータの共有には寛容で、データの収集や分析は社会にとって良いことだと考えている人が大半である(57%)。

 

・[PDF] Dashboard of key metrics from the tracker survey

20221105-71811

 

・[xlsx] CDEI PADAI Tracker - Wave 2 - CATI - Weighted data tables

・[xlsx] CDEI PADAI Tracker - Wave 2 - CAWI - Weighted data tables

・[xlsx] CDEI PADAI Tracker - Wave-on-Wave (W1-W2) - CAWI - Weighted data tables

・[xlsx] CDEI PADAI Tracker - Wave 2 - CATI - Raw data

・[xlsx] CDEI PADAI Tracker - Wave 2 - CAWI - Raw data

 

 

 


 

Wave1

U.K. Government

・2022.03.30 Public attitudes to data and AI: Tracker survey

・[PDF] Public attitudes to data and AI: Tracker survey

20221105-225709

・ Tracker survey: Polling data

 

 

● まるちゃんの情報セキュリティ気まぐれ日記

Centre for Data Ethics and Innovation’s: CDEI

・2022.08.22 英国政府 データ倫理・イノベーションセンター「自動運転車における責任あるイノベーション」

・2022.06.26 英国 国防AI戦略 (2022.06.15)

・2021.12.19 英国 AIバロメータ21 公表

・2021.12.09 英国 AI保証に向けたロードマップを公表(AI認証制度?)

・2021.09.11 英国 Ada Lovelace 協会 「参加型データスチュワードシップ - データの利用に人々を参加させるためのフレームワーク」

・2021.07.19 U.K. プライバシー強化技術:採用ガイド β版 by デジタル・文化・メディア・スポーツ省 データ倫理・イノベーションセンター

・2021.04.21 英国政府 データ倫理とイノベーションセンターのブログ AIの保証についての3つの記事

 

| | Comments (0)

2022.11.05

英国 ウクライナのサイバー防衛に635万ポンド(約10億円)を支援している (2022.11.01)

こんにちは、丸山満彦です。

ロシアのウクライナ侵攻に関して、サイバーディフェンスに関する英国の支援についての内容が少し公表されていますね。。。初期パッケージとして、635万ポンド(約10億円)を支援したとのことですね。。。

 

U.K. Government

・2022.11.01 UK boosts Ukraine's cyber defences with £6 million support package

UK boosts Ukraine's cyber defences with £6 million support package 英国が600万ポンドの支援策でウクライナのサイバー防衛を強化
The UK Ukraine Cyber Programme uses world-leading expertise to protect Ukraine’s critical national infrastructure and vital public services from cyber attacks. 英国ウクライナ・サイバー・プログラムは、世界有数の専門知識を活用して、ウクライナの重要な国家インフラと重要な公共サービスをサイバー攻撃から保護することを目的としている。
From: Foreign, Commonwealth & Development Office and The Rt Hon James Cleverly MP 英国外務・連邦・開発省およびジェームズ・クレバリー国会議員より
・UK’s Ukraine Cyber Programme is protecting the Ukrainian government and its critical national infrastructure from malicious cyber attacks ・英国のウクライナ・サイバー・プログラムは、ウクライナ政府とその重要な国家インフラを悪意のあるサイバー攻撃から保護している。
・partnership with industry is preventing Russian malign actors from accessing vital networks and providing forensic capabilities to the Ukrainian authorities ・産業界とのパートナーシップにより、ロシアの悪意ある行為者による重要なネットワークへのアクセスを防止し、ウクライナ当局にフォレンジック能力を提供している。
・an initial £6.35 million package was mobilised in response to an increasing tempo of Russian cyber activity in the days following the invasion of Ukraine ・ウクライナ侵攻後、ロシアのサイバー攻撃のテンポが速くなったことを受け、635万ポンドの初期パッケージを投入。
A £6.35 million support package from the UK government is protecting Ukraine’s critical national infrastructure and vital public services from cyber attacks, Foreign Secretary James Cleverly has revealed. ジェームズ・クレバリー外務大臣は、英国政府による635万ポンドの支援策が、ウクライナの重要な国家インフラと重要な公共サービスをサイバー攻撃から守っていることを明らかにした。
The UK’s Ukraine Cyber Programme was mobilised shortly after Putin’s invasion in February to protect against increased Russian cyber attacks. The programme has not been made public until now to protect its operational security. 英国のウクライナ・サイバー・プログラムは、2月のプーチン大統領の侵攻後すぐに、増加するロシアのサイバー攻撃から守るために動員された。同プログラムは、運用上の安全性を守るため、これまで公表されていなかった。
Utilising the expertise of world-leading cyber security providers, the UK’s Ukraine Cyber Programme has to date: 世界有数のサイバーセキュリティプロバイダーの専門知識を活用し、英国のウクライナ・サイバー・プログラムは現在までに次のような成果を上げている。
1. Provided incident response support to Government of Ukraine entities, protecting them against destructive cyber attacks, including malware such as Industroyer2. This is preventing malicious actors from accessing vital information relevant to the war effort. 1. ウクライナ政府機関にインシデントレスポンス支援を提供し、Industroyer2などのマルウェアを含む破壊的なサイバー攻撃から保護. これにより、悪意ある者が戦争に関連する重要な情報にアクセスするのを防いでいる。
2. Limited attacker access to vital networks and supported Ukraine to harden their critical infrastructure against future attacks. 2. 攻撃者による重要なネットワークへのアクセスを制限し、ウクライナの重要なインフラを将来の攻撃から守るための強化を支援した。
3. Delivered frontline cyber security hardware and software including: 3. 最前線のサイバーセキュリティハードウェアとソフトウェアを提供した。
・firewalls to prevent attacks taking hold ・攻撃の定着を防止するファイアウォール
・DDoS protection to ensure Ukrainian citizens can continue to access vital information, and ・ウクライナ国民が重要な情報にアクセスできるようにするためのDDoS保護機能
・forensic capabilities to enable Ukrainian analysts to fully understand system compromises ・ウクライナのアナリストがシステム侵害を完全に理解できるようにするためのフォレンジック機能
Foreign Secretary James Cleverly said: ジェームズ・クレバリー外務大臣は次のように述べている。
"Russia’s attack on Ukraine is not limited to its horrific land invasion. It has also persistently attempted to invade Ukraine’s cyberspace, threatening critical information, services and infrastructure. 「ロシアのウクライナへの攻撃は、恐ろしい陸地への侵攻にとどまりません。また、ウクライナのサイバースペースへの侵入を執拗に試み、重要な情報、サービス、インフラを脅かしている。」
"The UK’s support to Ukraine is not limited to military aid – we are drawing on Britain’s world-leading expertise to support Ukraine’s cyber defences. Together, we will ensure that the Kremlin is defeated in every sphere: on land, in the air and in cyber space. 「英国のウクライナへの支援は軍事支援にとどまらず、英国の世界有数の専門知識を活用して、ウクライナのサイバー防衛を支援している。我々は、陸、空、サイバー空間のあらゆる領域でクレムリンの敗北を確実にするために協力する。」
Lindy Cameron, Chief Executive Officer of the National Cyber Security Centre (NCSC), said: ナショナル・サイバー・セキュリティ・センター(NCSC)の最高経営責任者であるリンディ・キャメロンは、次のように述べている。
"The NCSC is proud to have played a part in supporting Ukraine’s cyber defenders. They have mounted an impressive defence against Russian aggression in cyberspace, just as they have done on the physical battlefield. 「NCSCは、ウクライナのサイバー防衛隊を支援する一翼を担えたことを誇りに思いる。彼らは、物理的な戦場で行ったように、サイバースペースでもロシアの侵略に対して素晴らしい防衛を行った。」
"The threat remains real and the UK’s support package is undoubtedly bolstering Ukraine’s defences further. 「脅威は依然として現実であり、英国の支援策がウクライナの防衛をさらに強化することは間違いない。」
Russian actors have a long history of hostile and destabilising activity against Ukraine, including: ロシアの関係者は、ウクライナに対して敵対的で不安定な活動を長く続けてきた。
・shutting off part of Ukraine’s electricity grid in December 2015, leaving 230,000 people without power for up to 6 hours ・2015年12月にウクライナの電力網の一部を遮断し、23万人が最大6時間にわたって停電に見舞われた。
・destructive cyber attacks in 2017 targeting Ukraine’s finance and energy sectors and government services, leading to knock-on effects on other European partners ・2017年、ウクライナの金融、エネルギー部門および政府サービスを標的とした破壊的なサイバー攻撃により、他の欧州パートナーに打撃を与えた。
・Kyiv metro and Odessa airport disrupted by ransomware that encrypted hard drives ・ハードディスクを暗号化するランサムウェアにより、キエフの地下鉄やオデッサの空港が機能不全に陥った。
・distributed Denial of Service (DDoS) attacks on 15 to 16 February 2022, which the UK’s National Cyber Security Centre (NCSC) judge were the work of Russia’s GRU military intelligence agency ・2022年2月15日から16日にかけて発生した分散型サービス妨害(DDoS)攻撃は、英国の国家サイバーセキュリティセンター(NCSC)がロシアの軍事情報機関GRUの仕業と判断した。
・a series of cyber attacks since the invasion, including against commercial operators such as Viasat in March which had a serious impact on access to internet and other services across both Ukraine and other parts of Europe ・侵攻後、3月にViasatなどの民間事業者を狙った一連のサイバー攻撃が発生し、ウクライナおよび欧州全域のインターネットやその他のサービスへのアクセスに深刻な影響を及ぼした。
The tempo of Russian cyber attacks against Ukraine increased significantly following its illegal invasion in February 2022, seeking to undermine Ukraine’s sovereignty and strategic advantage in the war. 2022年2月の不法侵攻後、ロシアのウクライナに対するサイバー攻撃のテンポは著しく上がり、ウクライナの主権と戦争における戦略的優位性を損なおうとするものであった。
The UK’s support is strengthening Ukraine’s cyber defences and improving collective long-term cyber resilience. 英国の支援は、ウクライナのサイバー防御を強化し、集団的な長期的サイバー弾力性を向上させている。

 

Fig1_20221105064801

 

 

| | Comments (0)

ドイツ 中国 シュルツ首相の中華人民共和国訪問

こんにちは、丸山満彦です。

ドイツのシュルツ首相が新体制になってからの中国を訪問していますね。。。

 

中华人民共和国政府

・2022.11.04 习近平会见德国总理朔尔茨

习近平会见德国总理朔尔茨 習近平、ドイツのショルツ首相と会談
新华社北京11月4日电 国家主席习近平11月4日上午在人民大会堂会见来华正式访问的德国总理朔尔茨。 北京11月4日】習近平国家主席は4日午前、人民大会堂で公式訪問のため中国を訪れたドイツのセバスティアン・ショルツ首相と会談した。
习近平指出,你是中共二十大召开后首位来访的欧洲领导人,这也是你就任以来首次访华。相信访问将增进双方了解和互信,深化各领域务实合作,为下阶段中德关系发展做好谋划。 習近平は、あなたが中国共産党第20回全国代表大会以降、欧州の指導者として初めて中国を訪問し、また、就任後初の中国訪問であることに言及した。 今回の訪問は、双方の相互理解と信頼を高め、各分野での実務的な協力を深め、中独関係の次の段階を計画することになると確信している。
习近平强调,中德关系发展到今天的高水平,离不开中德几代领导人的高瞻远瞩和政治魄力。今年恰逢中德建交50周年。50载历程表明,只要秉持相互尊重、求同存异、交流互鉴、合作共赢原则,两国关系的大方向就不会偏,步子也会走得很稳。当前,国际形势复杂多变,中德作为有影响力的大国,在变局、乱局中更应该携手合作,为世界和平与发展作出更多贡献。中方愿同德方共同努力,构建面向未来的全方位战略伙伴关系,推动中德、中欧关系取得新的发展。 習近平は、中独関係が今日のような高い水準に発展したのは、中独両国の数世代にわたる指導者の先見性と政治的勇気がなければ達成できなかったと強調した。 今年は中国とドイツの国交樹立50周年に当たるが、50年の歴史は、相互尊重、違いを留保しつつ共通の基盤を求める、交流と相互評価、ウィンウィンの協力という原則が守られる限り、両国の関係の全般的方向がぶれることはなく、着実に歩みを進めていくことを物語っている。 現在、国際情勢は複雑かつ不安定であり、中国とドイツは影響力のある大国として、変化と混乱の中で協力し、世界の平和と発展にさらに貢献することが求められている。 中国は、ドイツ側と協力して、将来のための全面的な戦略的パートナーシップを構築し、中独関係および中欧関係の新たな発展を促進することを望んでいる。
习近平介绍了中共二十大主要情况,重点阐述了中国式现代化的实质意义。习近平指出,现代化是各国人民的共同期待和目标,但每个国家都应结合自身实际作出路径选择。中国式现代化既有各国现代化的共同特征,更有基于自己国情的中国特色,这是中国独特的客观条件决定的,是中国社会制度和治国理政的理念决定的,也是中国在实现现代化长期实践中得到的规律性认识决定的。中国始终以自身发展维护和促进世界和平,中国发展同世界发展相互交融、相互成就。中国将坚定不移推进高水平对外开放,坚持经济全球化正确方向,继续推动建设开放型世界经济,扩大同各国利益的汇合点。 習近平は第20回中国共産党大会の主要情勢を発表し、中国式近代化の実質的な意義を強調した。 習近平は、近代化はすべての民族の共通の期待であり目標であるが、各国はそれぞれの現実に照らして独自の道を選択すべきであると指摘した。 これは、中国独自の客観的条件、社会制度と統治哲学、そして中国が長期的な近代化の実践の中で得た規則的な理解によって決定される。 中国は常に自らの発展を通じて世界平和を維持・促進し、中国の発展と世界の発展は絡み合い、互いに成功を収めている。 中国は、高水準の対外開放を揺るぎなく推進し、経済のグローバル化の正しい方向性を堅持し、開かれた世界経済の構築を引き続き推進し、他国との利益の収斂を拡大していくだろう。
习近平强调,政治互信破坏很容易,重建却很难,需要双方共同呵护。我很欣赏德国前总理施密特的一个观点,“政治家应当以宁静接受那些不能改变的,以勇气改变那些能改变的,用智慧分清其中的区别”。中德应该相互尊重,照顾彼此核心利益,坚持对话协商,共同抵制阵营对抗、泛意识形态化等因素干扰。双方要始终从战略高度把握两国关系大方向,以建设性态度追求最大公约数,以开放心态促进务实合作,既不自我设限,也不好高骛远,为两国关系长期稳定发展创造条件。中国对德政策保持高度稳定性连贯性,希望德方也奉行积极对华政策,实现两国互利共赢。 習近平は、政治的相互信頼は破壊するのは簡単だが、再構築するのは難しく、双方が育んでいく必要があると強調した。 「政治家は、変えられないものは冷静に受け入れ、変えられるものは勇気を持って変え、知恵を持って違いを見分けるべきだ」というドイツの元首相ゲルハルト・シュミットの言葉を私は高く評価する。 中国とドイツは、互いを尊重し、互いの核心的利益を大切にし、対話と協議を堅持し、陣営間の対立や汎理論化などの要因による干渉に共同で抵抗する必要がある。 双方は、常に戦略的な観点から関係の全般的な方向性を把握し、建設的な姿勢で最大の条約を追求し、開かれた心で現実的な協力を推進し、自ら限界を設けず、過度の野心を持たず、両者関係の長期安定発展のための諸条件を整えるべきである。 中国は、対独政策において高い安定性と一貫性を維持しており、ドイツ側も中国に対して積極的な政策をとり、両国の相互利益とウィンウィンを達成することを期待している。
习近平指出,过去50年,中德务实合作持续深化,双边贸易规模增长近千倍,服务了两国经济社会发展。双方要继续做大共同利益的“蛋糕”,在拓展传统领域合作潜力的同时,激活新能源、人工智能、数字化等新领域合作活力。中方愿同德方、欧方继续深化航空合作,并就新冠肺炎防治开展交流合作,围绕绿色发展、生态环保等课题加强交流互鉴,推动人文交流。希望德方同中方一道抵制保护主义,让两国合作成果更好惠及两国民众。 習近平は、過去50年間、中独の実用的な協力は深化し続け、二国間貿易は約1000倍に増加し、両国の経済・社会の発展に貢献してきたと指摘した。 双方は引き続き共通の利益という「ケーキ」を大きくし、伝統的な分野での協力の可能性を拡大するとともに、新エネルギー、人工知能、デジタル化などの新しい分野での協力を活性化させるべきである。 中国は、今後もドイツやヨーロッパ側との航空協力を深め、ニューカッスル肺炎の予防と治療に関する交流と協力を行い、グリーン開発、エコロジー、環境保護に関する交流と相互理解を強化し、人文交流を促進することを希望している。 ドイツが中国と協力して保護主義に抵抗し、両国の協力の成果が両国の人々のためになるようにすることを願っている。
习近平指出,中欧关系关乎全球格局稳定和亚欧大陆繁荣,值得双方努力维护好、发展好。中方始终视欧洲为全面战略伙伴,支持欧盟战略自主,希望欧洲稳定繁荣,坚持中欧关系不针对、不依附、也不受制于第三方。形势越是复杂困难,中欧就越要坚持相互尊重、互利共赢、对话合作。中方愿同德方、欧方加强在国际事务中的协调合作,围绕应对气候变化、保护生物多样性、促进粮食安全等全球性问题共同寻找解决方案。 習近平は、中国-欧州関係はアジアと欧州の世界的安定と繁栄に関わる問題であり、双方がその維持と発展に努力することに意義があると指摘した。 中国はこれまで、欧州を包括的な戦略パートナーとみなし、EUの戦略的自立を支持し、欧州の安定と繁栄を望み、中欧関係は第三者を対象としたり、依存したり、従属したりすることはないと主張してきた。 状況が複雑で困難であればあるほど、中国とヨーロッパは相互尊重、相互利益、ウィンウィンの対話と協力を堅持しなければならない。 中国は、国際問題においてドイツおよび欧州側との調整と協力を強化し、気候変動への対応、生物多様性の保護、食糧安全保障の促進などの地球規模の問題に対する解決策を共に模索することを望んでいる。
朔尔茨表示,今年恰逢德中建交50周年,我很高兴应邀访华,同你就德中关系和共同关心的重要问题进行深入沟通。感谢你介绍了中国的发展前景。当前国际形势复杂严峻,欧洲大陆也面临前所未有的新挑战,中方在应对气候变化、保护生物多样性、抗击新冠肺炎疫情、应对粮食危机等很多全球性问题上发挥着重要作用,德方希望同中方保持沟通协调,更好维护地区和世界的和平与安全。中国是德国和欧洲的重要经贸伙伴,德方坚定支持贸易自由化,支持经济全球化,反对“脱钩”,愿同中方继续深化经贸合作,支持两国企业相互赴对方开展投资合作。德方也愿同中方就双方立场不一致的问题交换意见,增进了解和互信,努力稳定、巩固和发展德中关系。世界需要一个多极化的格局,新兴国家的作用和影响值得重视,德方反对搞阵营对抗,政治家有必要为此负起责任。德方愿为推动欧中关系发展发挥应有作用。 ショルツ氏は、「今年はドイツと中国の外交関係樹立50周年にあたる。中国を訪問し、ドイツと中国の関係や共通の関心事である重要な問題について、皆さんと深いコミュニケーションを取るために招待されたことをうれしく思う」と述べた。 中国の発展の展望を紹介していただき、ありがとうございました。 現在の国際情勢は複雑かつ深刻であり、欧州大陸も未曾有の新たな課題に直面している。 中国は、気候変動対策、生物多様性の保護、新型肺炎対策、食糧危機への対処など、多くの地球規模の問題で重要な役割を果たしている。ドイツは、地域と世界の平和と安全をよりよく維持するために、中国との意思疎通と協調を維持することを希望している。 中国はドイツおよび欧州の重要な経済・貿易パートナーであり、ドイツは貿易自由化、経済のグローバル化を断固として支持し、「デカップリング」に反対するとともに、今後も中国との経済・貿易協力を深め、両国企業の相互投資と協力を支援する意向である。 ドイツはまた、互いの立場が一致しない問題についても中国と意見交換し、理解と相互信頼を深め、独中関係の安定、強化、発展に努めたいと考えている。 世界は多極化を必要としており、新興国の役割と影響力に注目すべきである。 ドイツは陣営間の対立に反対しており、政治家がその責任を負うことが必要である。 ドイツは、欧州と中国の関係の発展を促進するために、相応の役割を果たす用意がある。
两国领导人还就乌克兰危机交换了意见。习近平指出,中方支持德方、欧方为劝和促谈发挥重要作用,推动构建均衡、有效、可持续的欧洲安全框架。当前形势下,国际社会应该共同支持一切致力于和平解决乌克兰危机的努力,呼吁有关各方保持理性和克制,尽快开展直接接触,为重启谈判创造条件;共同反对使用或威胁使用核武器,倡导核武器用不得、核战争打不得,防止亚欧大陆出现核危机;共同努力确保全球产业链供应链稳定,防止国际能源、粮食、金融等合作受到干扰,损害全球经济复苏特别是发展中国家经济财政稳定;共同为危机地区的平民过冬纾困,改善人道主义状况,防止出现更大规模人道主义危机。 また、両首脳はウクライナ危機についても意見交換を行った。 習近平は、中国がドイツと欧州側が平和の説得と会談の推進に重要な役割を果たし、バランスのとれた効果的かつ持続可能な欧州の安全保障枠組みの構築を推進することを支持すると指摘した。 現在の状況の下で、国際社会は、ウクライナ危機の平和的解決に専念するあらゆる努力を共同で支援し、すべての関係者に合理性と自制を保ち、できるだけ早く直接接触を開始し、交渉を再開する条件を整えるよう求め、核兵器の使用や使用の脅威に共同で反対し、核兵器を使用してはならず、核戦争を行ってはならないと唱え、アジア・ヨーロッパでの核危機の発生を防止するとともに、世界の産業チェーンのサプライチェーンの安定を共同で確保するよう努力すべきである。 また、グローバルな産業チェーンのサプライチェーンの安定性を確保し、エネルギー、食糧、金融における国際協力の途絶が世界経済の回復、特に途上国の経済・金融の安定を損なうことを防止し、冬季の危機地域の民間人への救援に協力し、人道状況を改善し、より大きな人道危機の発生を防止することである。
会见结束后,习近平在人民大会堂金色大厅为朔尔茨举行了宴会。 会談後、習近平は人民大会堂の金堂でショルツのために宴会を催した。
王毅、何立峰等参加上述活动。 上記の活動には、Wang YiとHe Lifengが参加した。

 

国務院

・2022.11.04 李克强同德国总理朔尔茨举行会谈

李克强同德国总理朔尔茨举行会谈 李克強がドイツのショルツ首相と会談
李克强同德国总理朔尔茨举行会谈时强调 李克強とドイツのショルツ首相が会談で強調
在开放进程中深化中德合作 開放過程での中独協力の深化
更好扩大互利共赢 より良い相互利益とWin-Winの状況を拡大する
两国总理共同会见记者 両首相が記者会見
新华社北京11月4日电 国务院总理李克强11月4日下午在人民大会堂同来华进行正式访问的德国总理朔尔茨举行会谈。 【北京 11月4日】李克強首相は4日午後、人民大会堂で中国を公式訪問しているドイツのショルツ首相と会談した。
李克强欢迎朔尔茨访华,他表示,中德同为世界主要经济体,彼此交往日益增多,务实合作不断迈上新台阶。中方高度重视中德关系,习近平主席同你进行了深入交流。当今世界面临诸多困难和挑战,全球经济面临衰退的风险,在此背景下,信心和预期显得更加珍贵。我们愿同德方一道,在相互尊重、互利互惠基础上,持续推动中德关系健康稳定向前发展,为国际关系注入更多稳定性,为世界经济增添更多发展动能,更好维护地区和世界的和平与稳定。 李首相は、ショルツの中国訪問を歓迎し、中国とドイツはともに世界の主要な経済国であり、接触が増え、実務的な協力が新たな一歩を踏み出したと述べた。 中国は中独関係を非常に重視しており、習近平国家主席はあなたと深い交流を持っている。 今日、世界が直面している多くの困難や課題、そして世界的な景気後退のリスクを背景に、自信と期待はより一層貴重なものとなっている。 我々は、ドイツ側と協力し、相互尊重と互恵を基礎として、中独関係の健全で安定した発展を引き続き促進し、国際関係にさらなる安定を注入し、世界経済にさらなる発展の勢いを加え、地域と世界の平和と安定をよりよく守っていく所存である。
李克强指出,双向开放、互利共赢是中德务实合作的鲜明特征,经贸合作是两国关系发展的压舱石。中方愿同德方加强贸易投资、制造业、防疫等领域合作,积极推动建立应对气候变化合作机制,有序增加两国直航航班,更好便利双方人员往来。中国坚定不移走和平发展道路,坚持改革开放的基本国策,坚定奉行互利共赢的开放战略,开放的大门只会越开越大。 李克強首相は、双方向の開放と互恵は中独実務協力の特徴であり、経済貿易協力は両国関係発展のバラストストーンであると指摘した。 中国は、貿易・投資、製造、疫病予防の分野でドイツとの協力を強化し、気候変動に対処するための協力メカニズムの構築を積極的に推進し、両国間の直行便を秩序立てて増やし、両国の人的交流をより円滑にすることを望んでいる。 中国は平和的発展の道を堅持し、改革開放という国家の基本方針を堅持し、互恵・ウィンウィンの開放戦略を追求しており、開放の扉はますます広く開かれることになる。
朔尔茨表示,德中建交50年来,两国政治、经贸等领域合作取得丰硕成果。德国不主张“脱钩”,希望确保世界和平发展,维护全球经济增长,实现平等市场准入。德方愿同中方共同克服疫情影响,在平等互惠基础上深化经贸、防疫、应对气候变化等领域合作,促进人员交往,推动德中关系进一步发展。 ショルツ首相は、以下のように述べた。「ドイツと中国の国交樹立から50年、両国は政治、貿易、経済の分野で実りある成果を上げてきた。 ドイツは「デカップリング」を提唱しておらず、世界の平和的発展を確保し、世界経済の成長を維持し平等な市場アクセスを実現することを望んでいる。 ドイツは中国と協力して疫病の影響を克服し、平等と相互利益に基づいて貿易・経済、疫病予防、気候変動対策の分野で協力を深め、人と人との接触を促進し、独中関係をさらに発展させることを望んでいる」。
双方还就乌克兰危机等共同关心的国际和地区问题交换了意见,表示将致力于维护世界和平与地区稳定。 また、ウクライナ危機など共通の関心事である国際・地域問題について意見交換し、世界平和と地域の安定を維持するためのコミットメントを表明した。
会谈前,李克强在人民大会堂北大厅为朔尔茨举行欢迎仪式。 会談に先立ち、李克強は人民大会堂北講堂でショルツ首相の歓迎セレモニーを行った。
当天下午,两国总理在会谈后共同会见了记者。 午後には、両首相が会談後に記者と合同で会見した。
李克强表示,我与朔尔茨总理举行了坦诚、开放、务实的会谈。当前形势下,中德作为亚欧大陆两端的主要经济体,应当增进战略互信,坚持双向开放,深化互利共赢合作,推动双边关系向纵深方向发展,向世界发出坚持多边主义,支持世界多极化,共同维护自由、公平贸易的积极信号,以中德关系的稳定性促进国际关系和世界经济的稳定,为各方共同应对全球性挑战提供有利条件。 李克強首相は、「私はショルツ首相と率直でオープン、かつ現実的な会談を行った」と述べた。 現在の状況下、中国とドイツは、アジア大陸とヨーロッパ大陸の両端に位置する主要経済国として、戦略的相互信頼を高め、双方向開放を堅持し、互恵・ウィンウィンの協力を深め、二国間関係をより深い方向に推進し、多国間主義を堅持し、世界の多極化を支持するとともに自由・公正な貿易を共同で守ることを世界に積極的に発信し、中独関係の安定をもって国際関係と世界経済の安定を促進し、すべての当事者が共同で対処すべき有利な状況を提供しなければならない。 中独関係の安定は、国際関係と世界経済の安定に寄与し、すべての当事者がグローバルな課題に共同で取り組むための有利な条件を提供することになる。
李克强指出,中德历史文化传统、社会制度不同,在一些问题上看法不同、有分歧是正常的。中德之间共同利益远大于分歧,还是要坚持相互尊重、平等相待,通过坦诚交流、加强沟通,求同存异,妥处分歧。我们一致同意增进中德之间的交往和各领域交流,推进重点项目合作。中国将持续打造市场化法治化国际化营商环境,使中国成为对外开放的高地、外商投资的热土。欢迎包括德国企业在内的各国企业来华投资兴业。 李克強首相は、中国とドイツは歴史的・文化的伝統や社会制度が異なり、いくつかの問題で異なる見解や相違があるのは普通のことだと指摘した。 中国とドイツの共通の利益は、その違いをはるかに凌駕しており、相互尊重を堅持し、対等に扱い、率直な交流とコミュニケーションの強化を通じて違いを留保しつつ共通の基盤を模索し、違いに適切に対処することが依然として必要である。 我々は、中国とドイツの様々な分野での接触と交流を強化し、重要なプロジェクトでの協力を推進することに合意した。 中国を対外開放の高地、外資の温床とするため、市場志向、法治主義、国際的なビジネス環境の構築を進めていきます。 ドイツ企業を含むすべての国の企業が、中国に投資し、事業を立ち上げることを歓迎する。
李克强强调,中德作为有全球影响的国家,要肩负世界大国的责任,维护全球粮食、能源市场稳定,共同应对气候变化等全球性挑战,维护全球产业链供应链稳定畅通,促进世界和平稳定与发展繁荣。 李首相は、中国とドイツは世界的影響力を持つ国として、世界の大国の責任を担い、世界の食糧・エネルギー市場の安定を維持し、気候変動などの世界的課題に共同で取り組み、世界の産業チェーンの安定と円滑な流れを維持し、世界の平和、安定、発展、繁栄を推進すべきだと強調した。
朔尔茨表示,德中经贸往来和双边关系日益密切。德方愿同中方坦诚对话,增进互信,拓展重点领域合作,推动建立应对气候变化合作机制,携手应对粮食、能源安全、生态环境等方面的挑战,为维护世界和平与稳定作出积极努力。 ショルツ首相は、ドイツと中国は経済・貿易関係や二国間関係において、ますます緊密になっていると述べた。 ドイツは中国と率直な対話を行い、相互信頼を高め、重要な分野での協力を拡大し、気候変動に対処するための協力メカニズムの構築を推進し、食糧、エネルギー安全保障、生態環境における課題に手を携えて取り組み、世界の平和と安定を維持するために積極的に努力することを希望している。
王毅、何立峰等出席上述活动。 上記のイベントには、Wang YiとHe Lifengが参加した。

 

 

ドイツ側...

Die Bundesregierung

・2022.11.04 Gemeinsam in globaler Verantwortung

Gemeinsam in globaler Verantwortung グローバルな責任で共に
Internationale Themen, bilaterale Beziehungen und Wirtschaftsfragen standen im Fokus der Gespräche von Bundeskanzler Scholz mit Staatspräsident Xi Jinping und Ministerpräsident Li Keqiang in China. ショルツ首相は、中国で習近平国家主席および李克強首相と会談し、国際的な話題、二国間関係、経済問題などに焦点を当てた。
Deutschland und China wollen bei der Bewältigung weltweiter Krisen noch enger zusammenarbeiten. Dies betonte der Bundeskanzler nach seinen Gesprächen mit Staatspräsident Xi Jinping und Ministerpräsident Li Keqiang. Angesichts der vielfältigen globalen Herausforderungen und Krisen sei es noch wichtiger als sonst, miteinander zu sprechen. „Putins Krieg stellt die weltweite Friedensordnung in Frage. Ich habe in Peking Präsident Xi gebeten, seinen Einfluss auf Russland geltend zu machen“, so Kanzler Scholz. Beide seien sich einig, dass atomare Drohgebärden brandgefährlich seien. Ein Einsatz würde eine rote Linie überschreiten, so Scholz. ドイツと中国は、世界的な危機に対処するために、さらに緊密に協力したいと考えている。首相は、習近平国家主席、李克強首相との会談後、このことを強調した。多くのグローバルな課題や危機を鑑み、互いに話し合うことがいつも以上に重要であると述べた。「プーチンの戦争は、世界の平和秩序に挑戦している。私は北京で習主席に、ロシアへの影響力を行使するよう求めた」とショルツ首相は述べた。 さらに、核による威嚇のジェスチャーは火災の危険性があることで両者が合意したと付け加えた。配備はレッドラインを越えることになる、とショルツは言う。
Ministerpräsident Li hob den offenen und ehrlichen Austausch mit seinem deutschen Gast hervor und erinnerte an die Tradition guter und enger Zusammenarbeit zwischen Deutschland und China seit der Wiederaufnahme diplomatischer Beziehungen vor 50 Jahren. Zuvor hatte Staatspräsident Xi Jinping den Einsatz des Bundeskanzlers für die deutsch-chinesischen Beziehungen gelobt und an ihre erste Begegnung im Jahre 2017 erinnert. Er betonte in einem Statement vor seinem Treffen mit dem Kanzler, Deutschland und China sollten sich weiterhin mit gegenseitigem Respekt begegnen, Gemeinsamkeiten trotz bestehender Unterschiede suchen und ihre Zusammenarbeit zum beiderseitigen Nutzen gestalten. So bleibe man auf dem richtigen Kurs. 李首相は、ドイツのゲストとのオープンで誠実な交流を強調し、50年前の国交再開以来、ドイツと中国が良好で緊密な協力関係を築いてきた伝統を想起した。これに先立ち、習近平国家主席は中独関係に対する首相のコミットメントを称賛し、2017年の初会談を振り返った。首相との会談に先立つ声明で、ドイツと中国は相互尊重のもとに会談を続け、既存の相違にもかかわらず共通の基盤を求め、互いの利益のために協力を形成すべきであると強調した。そうすることで、正しい道を歩むことができるのである。
Ukrainekrieg gefährdet weltweite Stabilität ウクライナ戦争は世界の安定を脅かす
Kanzler Scholz sagte, es ging es in den Gesprächen um eine breite Palette von Themen, angefangen vom russischen Angriff auf die Ukraine und dessen Folgen für die weltweitre Stabilität, bis hin zum Klimawandel, zu Menschenrechtsfragen und zu den bilateralen Beziehungen. ショルツ首相は、ロシアのウクライナ攻撃とその世界的安定への影響から、気候変動、人権問題、二国間関係まで、幅広い話題を取り上げたと述べた。
Der Bundeskanzler forderte Russland erneut auf, seinen Angriff zu beenden und seine Truppen aus der Ukraine zurückzuziehen. Und: Hunger dürfe nicht zu einer Waffe werden. 首相はロシアに対し、攻撃を中止し、ウクライナから軍を撤退させるよう再度要請した。 そして、「飢餓を武器にしてはいけない」ということである。
Li betonte, der Konflikt zwischen Russland und der Ukraine müsse so früh wie möglich beendet werden. Es dürfe keine weitere Eskalation geben. Der Konflikt gefährde schon jetzt die weltweite Stabilität, Lieferketten seien unterbrochen, die Märkte für Nahrungsmittel und Energie gestört. 李首相は、ロシアとウクライナの紛争を一刻も早く終わらせる必要があると強調した。これ以上エスカレートさせてはいけない。紛争はすでに世界の安定を危うくし、サプライチェーンは途絶え、食料とエネルギーの市場は混乱している。
Zusammenarbeit bei der Pandemiebekämpfung パンデミック対策への協力
Der Bundeskanzler räumte ein, dass es bei der Bekämpfung der Covid 19-Pandemie unterschiedliche Ansätze zwischen Deutschland und China gebe. Beide Seiten seien sich aber ihrer Verantwortung bewusst, und deswegen habe man sich auf eine noch engere Zusammenarbeit verständigt. Ein erster Schritt sei die Zulassung von Impfstoffen des deutschen Herstellers Biontech/Pfizer für in China lebende Ausländer. Auch eine generelle Zulassung dieses Impfstoffs in China sei denkbar, Voraussetzung dafür sei aber eine engere Zusammenarbeit zwischen den chinesischen und europäischen Zulassungsbehörden. Schon jetzt habe man eine engere Zusammenarbeit zwischen dem Robert Koch-Institut und der chinesischen Seite vereinbart. 首相は、Covid 19のパンデミック対策において、ドイツと中国の間で異なるアプローチがあることを認めた。しかし、双方がその責任を自覚しているからこそ、より一層緊密な協力をすることで合意したのだという。まず、ドイツのバイオンテック社/ファイザー社のワクチンを中国に住む外国人向けに認可した。中国での一般的な承認も考えられるが、その前提として、中国と欧州の規制当局がより緊密に連携していくことが必要である。ロバート・コッホ研究所と中国側との間では、より緊密な協力関係がすでに合意されている。
Gemeinsam gegen den Klimawandel und für Biodiversität 気候変動対策と生物多様性の両立
Der Bundeskanzler gab bekannt, man habe mit China einen bilateralen Klima- und Transformationsdialog vereinbart. Auch die Vorarbeiten für ein weltweites Biodiversitäts-Abkommen wollten Deutschland und China gemeinsam vorantreiben. Mit Blick auf die weltweite Schuldensituation, auch als Folge steigender Nahrungsmittel- und Energiepreise, sah der Bundeskanzler Deutschland und China als wichtige Geberländer in gemeinsamer Verantwortung. All diese Themen sollten auch bei den deutsch-chinesischen Regierungskonsultationen im kommenden Jahr auf der Tagesordnung stehen, so der Bundeskanzler. 首相は、中国との間で気候変動に関する二国間対話が合意されたことを発表した。また、ドイツと中国は、生物多様性の世界的な合意に向けた準備作業を共同で進めることを希望した。食糧やエネルギー価格の高騰による世界的な債務問題について、首相はドイツと中国を重要な援助国として、共同責任を負うとした。これらの問題はすべて、来年の独中政府間協議の議題にもなるはずだ、と首相は述べた。
Ministerpräsident LI bekräftigte, China bleibe einer nachhaltigen weltweiten Entwicklung, dem Freihandel und dem Multilateralismus verpflichtet. 李首相は、中国が持続可能なグローバル開発、自由貿易、多国間主義に引き続きコミットしていることを改めて強調した。
Offener Austausch zu Wirtschaftsbeziehungen und Menschenrechten 経済関係や人権に関するオープンな交流
Scholz äußerte seine Genugtuung über die engen bilateralen und insbesondere wirtschaftlichen Beziehungen zwischen Deutschland und China. Er hoffe, dass Schwierigkeiten deutscher Firmen beim Marktzugang in China und bei der Durchsetzung geistiger Eigentumsrechte beseitigt werden könnten. Dies sei ein Ungleichgewicht in den Handelsbeziehungen. „Wir müssen hier wieder mehr Freihandel erreichen“, so der Kanzler. ショルツ首相は、ドイツと中国の緊密な二国間関係、特に経済関係に満足していることを表明した。また、ドイツ企業が中国の市場にアクセスする際や、知的財産権の行使において遭遇する困難を解消することを期待した。 これは貿易関係のアンバランスだという。「ここでまた、より自由な貿易を実現する必要がある」と首相は述べた。
Sorgen mache der deutschen Wirtschaft die Betonung wirtschaftlicher Autarkie in China und ganz allgemein eine Tendenz zur Unterordnung der wirtschaftlichen Zusammenarbeit unter politische Zielsetzungen. Er begrüßte, dass man darüber ganz offen habe sprechen können. Einen offenen Austausch habe es auch zu Taiwan gegeben, so der Bundeskanzler. Er erinnerte an die Ein-China-Politik Deutschlands, die mit der Erwartung einhergehe, dass Statusänderungen nur in gegenseitigem Einvernehmen erfolgen dürften. また、ドイツのビジネス界は、中国における経済的自立の強調や、より一般的には、経済協力を政治的目的に従属させる傾向にあることを懸念している、と述べた。このことをオープンに話せるようになったことを歓迎した。また、台湾に関してもオープンなやりとりがあったという。また、ドイツの「一帯一路」政策について、「地位の変更は相互の合意によってのみ可能である」と述べた。
Erörtert worden seien auch Menschenrechtsfragen. Der Bundeskanzler nahm hier konkret Bezug auf die Situation in der Provinz Xinjiang. „Alle Mitglieder der Vereinten Nationen haben sich auf die universellen Menschenrechte und den Schutz von Minderheiten verpflichtet – auch China. Hier bestehen ernsthafte Differenzen zwischen unseren Ländern“, erklärte Scholz. „Mir war wichtig, unsere feste Überzeugung darzustellen.“ また、人権問題についても議論された。首相は、特に新疆ウイグル自治区の状況に言及した。 「中国を含むすべての国連加盟国は、普遍的人権と少数民族の保護に取り組んでいる。ここでは、両国の間に深刻な相違がある」とショルツは説明する。「私たちの確固たる信念を示すことが重要である。」

 

習国家主席と...

・2022.11.04 Pressestatements von Bundeskanzler Scholz und Präsident Xi Jinping am 4. November 2022 in Peking

Pressestatements von Bundeskanzler Scholz und Präsident Xi Jinping am 4. November 2022 in Peking 2022年11月4日、北京で行われたショルツ首相と習近平国家主席の記者会見。
(Die Protokollierung des fremdsprachlichen Teils erfolgte anhand der Simultandolmetschung) (外国語部分は同時通訳で収録した)
P Xi: (Der Anfang fehlt aufgrund technischer Probleme.) - - - zu uns nach China reist. Das steht ja für Ihren guten Wunsch nach der Entwicklung der chinesisch-deutschen Beziehungen. Ich bin überzeugt, dass dieser Besuch dazu beitragen wird, uns einander besser verstehen zu lassen und einander besser vertrauen zu können. Das wird die pragmatische Zusammenarbeit in allen Bereichen vertiefen und dann die Weiterentwicklung unserer Beziehungen in der kommenden Zeit gut planen. 習国家首席:(技術的な問題で冒頭が欠落している) - - 中国で私たちと旅する。これは、中独関係の発展を願うあなたの気持ちを表しているのである。今回の訪問で、お互いの理解と信頼が深まると確信している。これにより、あらゆる分野で現実的な協力関係を深め、その上で、今後の両者の関係のさらなる発展をうまく計画することができるようになるだろう。
Seit Jahren verfolgen Sie unsere Beziehungen und die ergebnisorientierte Zusammenarbeit in allen Bereichen aufmerksam, und Sie setzen sich dafür ein. Das weiß ich sehr zu schätzen. Ich erinnere mich noch sehr gut an das Datum. Es war der 7. Juli 2017. Da haben wir uns in Hamburg kennengelernt. Sie haben mich damals sehr herzlich empfangen. Bereits damals haben Sie ein deutliches Signal gesendet. Sie unterstützen Hamburg ja dabei, die Seidenstraßeninitiative gemeinsam mit uns umzusetzen. 長年にわたり、あなたは私たちとの関係やあらゆる分野における結果重視の協力関係を注視してきた。とても感謝している。その日のことはよく覚えている。ハンブルクで出会ったのは、2017年7月7日。当時はとても温かく迎えてくれました。それでも、明確なシグナルを送りました。シルクロード・イニシアチブを一緒に実行していくハンブルクを応援していますね。
Seit Ihrem Amtsantritt stehen wir beide in engem Kontakt und setzen damit gemeinsam ein positives Signal, nämlich dass China, Deutschland und Europa jetzt stärker miteinander reden und kommunizieren wollen, und Sie wollen ja auch Herausforderungen gemeinsam begegnen. 就任以来、あなたと私は緊密に連絡を取り合い、中国、ドイツ、ヨーロッパが互いにもっと話し合い、コミュニケーションを取りたいと考えていること、また、あなた方も一緒に課題に取り組みたいと思っていることなど、前向きなシグナルを一緒に発信してきた。
Dieses Jahr markierte das 50. Jubiläum der Aufnahme diplomatischer Beziehungen zwischen China und Deutschland. Die Entwicklung in diesen 50 Jahren sagt uns Folgendes: Solange wir uns zu gegenseitigem Respekt, zu Gemeinsamkeiten trotz der Unterschiede, zu Austausch und gegenseitigem Lernen sowie zur Win-win-Zusammenarbeit bekennen, können sich unsere Beziehungen stabil auf dem richtigen Kurs gestalten. 今年は、中国とドイツの国交樹立50周年にあたります。この50年間の発展は、次のようなことを物語っている。私たちが相互尊重、相違はあっても共通の基盤、交流と相互学習、そしてウィン・ウィンの協力に取り組む限り、私たちの関係は正しい方向に安定的に推移することができる。
Die aktuelle komplexe und unbeständige Weltlage ist ja mit nie da gewesenen Risiken und Herausforderungen konfrontiert. China und Deutschland sind ja beide einflussreiche Nationen. Gerade in einer Zeit von Wandel und Chaos sollten wir umso mehr gemeinsam aktuellen Schwierigkeiten begegnen und den Frieden und die Entwicklung der Welt noch mehr fördern. 結局のところ、現在の複雑で変動の激しい世界情勢は、かつてないほどのリスクと課題を突きつけているのである。中国とドイツは、ともに影響力のある国である。特に、変化と混沌の時代にあって、私たちはより一層、共同で現在の困難に立ち向かい、世界の平和と発展を促進しなければならないのである。
Danke schön! Das war es zunächst einmal von mir. ありがとうございました。私からは以上である。
BK Scholz: Schönen Dank! In der Tat ist es so, dass wir jetzt in einer Zeit zusammenkommen, in der wir immerhin schon seit 50 Jahren diplomatische Beziehungen zwischen Deutschland und China haben, auf die wir zurückblicken können. BK シュルツ首相:ありがとう。確かに、ドイツと中国の国交が50年続いており、振り返ることができる時期にお会いすることができた。
Wir kommen auch in einer Zeit zusammen, die von großen Spannungen geprägt ist. Ganz besonders will ich den russischen Krieg gegen die Ukraine hervorheben, der viele Probleme für unsere regelbasierte Weltordnung mit sich bringt. また、私たちは、大きな緊張を伴う時期に集まっている。特に、ロシアのウクライナに対する戦争は、ルールに基づく世界秩序に多くの問題を投げかけていることを強調したいと思う。
Ich bin sehr froh, dass ich hier sein kann und wir miteinander sprechen können, und erinnere mich gut an die Gespräche, die wir geführt haben, als ich Bürgermeister der Freien und Hansestadt Hamburg war, und auch an meinen Besuch hier in Peking als Finanzminister. Insofern ist es gut, dass wir nach der langen Zeit, in der wir intensive Kontakte miteinander hatten, auch per Videokonferenz und per Telefon, jetzt ganz konkret und direkt miteinander sprechen können, um auf die Herausforderung reagieren zu können, vor der die Welt steht, und auch über die bilateralen Beziehungen zwischen Europa und China zu sprechen. 私が自由ハンザ都市ハンブルグの市長であったときや、財務大臣として北京を訪問したときのことをよく覚えている。この点で、長い間、ビデオ会議や電話でも集中的に連絡を取り合ってきた私たちが、世界の直面する課題に対応するために、また、欧州と中国の二国間関係について話すために、非常に具体的かつ直接的に話し合うことができるようになったことは良いことである。
Es geht um die Frage, wie wir mit dem Hunger auf der Welt umgehen und wie wir dafür Sorge tragen können, dass der menschengemachte Klimawandel aufgehalten wird. Wir müssen dafür Sorge tragen, dass die Menschen in der Welt nicht darunter leiden, dass die Schulden vieler Staaten sehr hoch sind. Insofern ist es gut, dass wir hier einen ganz intensiven Austausch über alle Fragen haben werden, die wir miteinander besprechen wollen und können, auch, was unsere bilateralen Beziehungen und die Möglichkeiten betrifft, die wirtschaftlichen Beziehungen weiterzuentwickeln, selbstverständlich auch die Fragen, in denen wir unterschiedliche Perspektiven verfolgen. Das ist das Ziel eines guten Austausches, und ich bin sehr froh, dass das heute jetzt hier miteinander möglich ist. 世界の飢餓にどう対処するか、人為的な気候変動を確実に止めるにはどうしたらいいかということである。多くの国の債務が非常に大きいため、世界の人々が苦しむことがないようにしなければならない。この点で、私たちがここで、二国間関係や経済関係のさらなる発展の可能性、そしてもちろん、私たちが異なる視点を追求している問題など、お互いに議論したい、議論できるすべての問題について、非常に集中的に交流することができるのは良いことだと考えている。それが良い交流の目的であり、今日ここで一緒にできることを大変うれしく思っている。

 

李首相と...

・2022.11.04 Pressestatements von Bundeskanzler Scholz und Ministerpräsident Li Keqiang am 4. November 2022 in Peking

Pressestatements von Bundeskanzler Scholz und Ministerpräsident Li Keqiang am 4. November 2022 in Peking 2022年11月4日、北京で行われたショルツ首相と李克強首相のプレス・ステートメント
(Die Protokollierung des fremdsprachlichen Teils erfolgte anhand der Simultandolmetschung.) (外国語部分は同時通訳で収録)。
MP Li: Herr Bundeskanzler Scholz, willkommen zu Ihrem Antrittsbesuch bei uns in China. Es ist mir eine große Freude, Sie wiederzusehen. Sie haben Sie vor einem Jahr Ihr Amt als Bundeskanzler angetreten, und ein Jahr danach sind Sie bei uns zu Besuch in China. Das ist an sich ein Zeichen für die große Bedeutung, die Sie unseren Beziehungen beimessen. 李首相:ショルツ首相、中国への初訪問を歓迎する。またお会いできることを大変嬉しく思う。1年前に首相に就任され、1年後に中国を訪問した。それ自体が、あなたが私たちの関係を非常に重視していることの表れである。
China und Deutschland sind ja zwei ganz große Volkswirtschaften in der Welt. Geografisch liegen wir weit voneinander entfernt. Wir befinden uns ja jeweils im Osten Asiens beziehungsweise in Westeuropa. Aber trotzdem haben wir unsere Kontakte in den letzten Jahren stetig steigern und auch intensivieren können. Das gilt insbesondere für unsere ergebnisorientierte Zusammenarbeit. Diese können wir stets weiter verbessern. 中国とドイツは、世界でも非常に大きな経済規模を持つ国である。地理的にも離れている。私たちは、アジアの東と西ヨーロッパにそれぞれ位置している。それでも、近年は着実にコンタクトを増やし、強化することができている。特に、成果主義的な協力関係においては、その傾向が顕著である。私たちはいつでもこれをさらに改善することができる。
Wir haben auch einen Handel zwischen beiden Seiten, der eben auch Ballast für unsere bilateralen Beziehungen geworden ist. Die heutige Welt ist mit zu vielen Risiken konfrontiert. Unsere Welt ist mehrfach herausgefordert. Das gilt im gewissen Sinne auch für den Wirtschaftsbereich. Hier gibt es die Gefahr des Abschwungs oder der Rezession. Gerade in solchen Momenten braucht die Welt umso mehr Stabilität und Berechenbarkeit oder Abwägbarkeit. また、両者の間には貿易があり、これが二国間関係のバラストになっている。現代は、あまりにも多くのリスクに直面している。私たちの世界は、さまざまな点で挑戦的である。ある意味で、これは経済的な領域にも当てはまります。ここには、景気後退や不況の危険性がある。そんな時こそ、世界は安定と予測可能性、あるいは熟考を必要としているのである。
Mit Blick auf die Zukunft brauchen wir eine stabile Entwicklung mit noch mehr Erwartungen und Zuversicht. China und Deutschland bekennen sich beide zur Wahrung der Multipolarisierung in Bezug auf den fairen und freien Handel. China wird unbeirrt einen Weg der friedlichen Entwicklung einschlagen. Dabei werden wir uns auch weiter zu der grundlegenden Staatspolitik bekennen, nämlich Reform und Öffnung. Wir werden uns weiter zu einer für alle Seiten vorteilhaften Öffnung nach außen bekennen. Daher sind wir gerne bereit, gemeinsam mit Ihnen im Sinne des gegenseitigen Respekts und auch Gleichbehandlung unsere Beziehungen ständig nach vorne zu bringen, und zwar gesund und stabil. Ich bin überzeugt, dass dies auch die Erwartung oder der Wunsch der Staatengemeinschaft ist. 将来に向けては、より一層の期待と確信を持って、安定した発展が必要である。中国とドイツは、公正で自由な貿易の観点から多極化を維持することを約束している。中国は、平和的発展の道を揺るぎなく追求する。その際、私たちは改革開放という国家の基本方針にもコミットしていくつもりである。私たちは、今後も互恵的な外部への開放に尽力していく。したがって、私たちは、相互尊重、また平等な扱いの精神をもって、常に健全で安定した方法で私たちの関係を前進させるために、皆さんと一緒に仕事ができることを嬉しく思う。私は、これが国家共同体の期待あるいは願いでもあると確信している。
Mit unserer Zusammenarbeit und unserer Entwicklung sind wir in der Lage, auch zur Weltwirtschaft und zu einer besseren Begegnung beizutragen. Was die Herausforderungen angeht, macht uns das dann eben souveräner und auch besser in der Lage, (diese zu bewältigen). Das ist auch von Nutzen für Frieden und Stabilität in der Region, aber auch darüber hinaus in der ganzen Welt. Da können wir unsere gebührende Rolle spielen. 私たちの協力と発展により、世界経済とより良い出会いに貢献することもできるのである。課題に関しては、その方が主権者であり、また(課題を克服する)能力も高くなるのである。これは、この地域だけでなく、その先にある全世界の平和と安定にとっても有益なことである。そこで、私たちは相応の役割を果たすことができるのである。
BK Scholz: In der Tat, wir haben jetzt 50 Jahre bilaterale Beziehungen. Dazu gehören eine ganze Reihe von politischen und wirtschaftlichen Kooperationen, aber natürlich auch die Notwendigkeit, miteinander über das zu sprechen, was die Welt heute unsicher macht. Aus meiner Sicht ist das ganz besonders der russische Angriffskrieg auf die Ukraine mit all seinen Konsequenzen nicht nur für die Bürgerinnen und Bürger des Landes, sondern selbstverständlich auch mit Konsequenzen für Europa und die ganze Welt. BK シュルツ首相:確かに、私たちは今、二国間関係の50年を迎えている。これには、政治的、経済的な協力はもちろんのこと、現在の世界を不確実なものにしているものについてお互いに話し合う必要がある。私の考えでは、これは特にロシアによるウクライナへの侵略戦争であり、ウクライナの市民だけでなく、もちろんヨーロッパ、そして全世界に影響を与えるものである。
Wir haben heute schon über Themen gesprochen, die etwas mit der Welternährungssicherheit, dem Getreideexport und auch mit Fragen zu tun haben, die sich mit hohen Energiepreisen für viele Länder der Welt daraus ergeben, gerade im globalen Süden. Insofern finden unsere Kontakte heute in einer schwierigen Zeit statt, in der wir alles dafür tun müssen, dass wir sicherstellen, dass die Welt sich friedlich entwickelt und die Vorteile, die mit der Globalisierung und dem wirtschaftlichen Wachstum, das dadurch möglich geworden ist, entstanden sind, nicht verlorengehen. Klar ist für uns, dass wir deshalb keine Anhänger von Decoupling-Vorstellungen sind. Klar ist für uns aber auch, dass das etwas mit wirtschaftlichen Beziehungen auf Augenhöhe, mit Reziprozität und mit der Frage zu tun hat, dass Investitionszugänge gleichermaßen gewährleistet sein müssen und dass keine Abhängigkeiten entstehen, die dazu beitragen, dass man nicht frei handeln kann Das ist jedenfalls die Perspektive, die wir verfolgen. 私たちは今日すでに、世界の食料安全保障や穀物輸出に関係する問題、また、世界の多くの国々、特に「南半球」の国々にとって、エネルギー価格の高騰から生じる問題について話してきた。この点で、今日の我々の接触は、世界が平和的に発展し、グローバリゼーションとそれによって可能となった経済成長に伴う利点が失われないよう、あらゆる努力をしなければならない難しい時期に行われたものである。したがって、私たちがデカップリング思想の支持者でないことは明らかである。しかし、これが対等な経済関係、互恵関係、そして投資へのアクセスが平等に保証され、自由に行動できないような依存関係が生じないことと関係があることは、私たちにとっても明らかである。
Auf dieser Basis bin ich sehr froh, dass wir jetzt über sehr viele ganz konkrete Fragen miteinander sprechen und das vertiefen können, was wir heute im Laufe des Tages schon mit dem Präsidenten erörtert haben. その上で、非常に多くの非常に具体的な問題についてお互いに話し合うことができるようになったこと、そして、この日の間にすでに大統領と話し合ったことをさらに深めていけることを非常にうれしく思っている。
Ich freue mich auch, dass wir uns wiedersehen. Denn das ist ja in der Tat nicht die erste Begegnung zwischen uns beiden. Insofern ein guter Anlass, das hier vor Ort zu tun. Aus meiner Sicht ist es auch wichtig, dass wir es nach der langen Zeit, in der die COVID-19-Pandemie die Formen des Austausches beeinträchtigt hat, wieder schaffen, auch direkt miteinander zu sprechen. また、再会できることを嬉しく思う。なにしろ、私たち2人は今回が初対面ではないのであるから。その点、この場は良い機会である。私の立場からすると、COVID 19の大流行で交流の形が崩れた長い期間を経て、再び直接対話ができるようになったことも重要なことである。

 

会談に臨む前...

・2022.11.03 Darum geht es bei meiner Reise nach China

Darum geht es bei meiner Reise nach China これが私の中国への旅である
China ist und bleibt ein wichtiger Partner. Doch wenn sich China verändert, muss sich auch unser Umgang mit dem Land verändern. Gefragt sind Augenmaß und Pragmatismus. Ein Gastbeitrag von Bundeskanzler Olaf Scholz in der Frankfurter Allgemeinen Zeitung. 中国は重要なパートナーであり、今後もそうであり続けるだろう。しかし、中国が変われば、私たちの中国との付き合い方も変わらなければならない。必要なのは、バランス感覚とプラグマティズムである。オラフ・シュルツ連邦首相がFrankfurter Allgemeine Zeitungに寄稿した記事である。
Gut drei Jahre ist es her, dass meine Vorgängerin China zuletzt besucht hat. Drei Jahre, in denen die Herausforderungen und Risiken zugenommen haben – hier in Europa, in Ostasien und natürlich auch im deutsch-chinesischen Verhältnis. Drei Jahre, in denen sich die Welt tiefgreifend verändert hat. Einerseits wegen der Corona-Pandemie, zum anderen wegen Russlands Krieg gegen die Ukraine mit seinen schwerwiegenden Folgen für die internationale Ordnung, für die Energie- und Nahrungsmittelversorgung, für die Wirtschaft und Preise weltweit. Gerade weil business as usual in dieser Lage keine Option ist, reise ich nach Peking. Lange waren solche Treffen aufgrund der Covid-19-Pandemie und Pekings strenger Corona-Politik nicht möglich. Umso wichtiger ist das direkte Gespräch jetzt. 前任者が最後に中国を訪れてから、ちょうど3年が経った。この3年間は、欧州、東アジア、そしてもちろんドイツと中国の関係において、挑戦とリスクが高まった年であった。世界が大きく変化した3年間でもあった。一方ではコロナの大流行、他方ではロシアのウクライナ戦争が国際秩序、エネルギーや食糧の供給、経済や世界の物価に深刻な影響を及ぼしているからである。このような状況だからこそ、私は北京に足を運ぶことにしたのである。長い間、Covid 19の大流行と北京の厳しいコロナ政策のために、このような会議は不可能だったのだ。そのため、今は直談判がより重要となっている。
Fünf Gedanken begleiten mich auf dieser Reise. この旅には、5つの思いが込められている。
1. Das China von heute ist nicht mehr dasselbe wie noch vor fünf oder zehn Jahren. Die Ergebnisse des gerade zu Ende gegangenen Parteitags der Kommunistischen Partei Chinas sprechen eine eindeutige Sprache: Bekenntnisse zum Marxismus-Leninismus nehmen deutlich breiteren Raum ein als in früheren Parteitagsbeschlüssen. Dem Streben nach nationaler Sicherheit, gleichbedeutend mit der Stabilität des kommunistischen Systems, und nationaler Autonomie kommt künftig mehr Bedeutung zu. Es ist klar: Wenn sich China verändert, muss sich auch unser Umgang mit China verändern. 1.今の中国は、5年前、10年前と同じではない。マルクス・レーニン主義へのコミットメントが、以前の党大会の決議よりもはるかに大きなスペースを占めているのだ。共産主義体制の安定と同義である国家の安全保障の追求と国家の自主性は、今後より重要視されるだろう。中国が変われば、我々の中国へのアプローチも変わることは明らかである。
2. Nicht nur China, auch die Welt hat sich verändert. Russlands Krieg gegen die Ukraine stellt die internationale Friedens- und Sicherheitsordnung brutal infrage. Selbst vor der Drohung mit Nuklearwaffen schreckt Präsident Wladimir Putin nicht mehr zurück. Damit droht er eine rote Linie zu überschreiten, die die gesamte Menschheit gezogen hat. China hat sich noch Anfang des Jahres in einer Erklärung mit den anderen ständigen Mitgliedern des UN-Sicherheitsrats klar gegen den Einsatz oder auch nur die Drohung mit Nuklearwaffen positioniert. Als ständigem Mitglied des Sicherheitsrates kommt China eine besondere Verantwortung zu. Klare Worte Pekings an die Adresse Moskaus sind wichtig – zur Wahrung der Charta der Vereinten Nationen und ihrer Prinzipien. 中国だけでなく、世界も変わった。ロシアのウクライナに対する戦争は、国際的な平和と安全保障の秩序に残酷なほど挑戦している。プーチン大統領は、もはや核兵器の脅威にも怯えてはいない。そうすることで、人類が引いたレッドラインを越える恐れがあるのだ。年頭、中国は他の国連安保理常任理事国とともに、核兵器の使用や威嚇にさえも反対する明確な立場をとった。安全保障理事会の常任理事国である中国には、特別な責任がある。北京からモスクワへの明確な言葉は重要である - 国際連合憲章とその原則を守ることである。
Dazu zählen die Souveränität und die territoriale Integrität aller Staaten. Kein Land ist der „Hinterhof“ eines anderen. Was in Europa mit Blick auf die Ukraine gilt, das gilt auch in Asien, in Afrika oder in Lateinamerika. Dort entstehen neue Machtzentren einer multipolaren Welt, mit denen wir Partnerschaften eingehen und ausbauen wollen. Wir haben uns in den vergangenen Monaten international intensiv abgestimmt – mit engen Partnern wie Japan und Korea, mit aufstrebenden asiatischen Mächten wie Indien und Indonesien, auch mit Staaten Afrikas und Lateinamerikas. Ende nächster Woche reise ich nach Südostasien und zum G-20-Gipfel. Parallel zu meinem Besuch in China wird der Bundespräsident in Japan und Korea zu Gast sein. これには、すべての国の主権と領土の保全が含まれる。どの国も他の国の「裏庭」ではないのである。ウクライナに関してヨーロッパで言えることは、アジアでもアフリカでもラテンアメリカでも同じことである。多極化した世界の新しいパワーセンターがそこに出現しており、私たちはこれらのパワーセンターとパートナーシップを結び、拡大していきたいと考えている。ここ数カ月、私たちは日本や韓国などの緊密なパートナー、インドやインドネシアなどのアジアの新興国、さらにはアフリカやラテンアメリカの国々とも、国際レベルで集中的に協調してきました。来週末には、東南アジアとG20サミットに行く予定である。私の中国訪問と並行して、連邦大統領は日本と韓国を訪問する。
Gerade Deutschland, das die Teilung im Kalten Krieg auf besonders schmerzhafte Weise erfahren hat, hat kein Interesse an einer neuen Blockbildung in der Welt. Die neue Nationale Sicherheitsstrategie der USA bekräftigt ebenfalls zu Recht das Ziel, eine neue Blockkonfrontation zu verhindern. Mit Blick auf China heißt das: Natürlich wird dieses Land mit seinen 1,4 Milliarden Einwohnern und seiner wirtschaftlichen Stärke künftig eine bedeutende Rolle auf der Weltbühne spielen – so wie übrigens über weite Strecken der Weltgeschichte hinweg. Daraus lässt sich aber ebenso wenig die Forderung mancher nach einer Isolierung Chinas ableiten wie ein Anspruch auf hegemoniale Dominanz Chinas oder gar eine sinozentrische Weltordnung. 特に冷戦の分裂を痛感したドイツは、世界における新たなブロック形成には関心がない。米国の新国家安全保障戦略でも、新たなブロック対立を防ぐという目標が正しく確認されている。中国については、14億人の人口と経済力を持つこの国が、今後、世界の舞台で重要な役割を果たすことは言うまでもない。しかし、このことは、中国を孤立させるという一部の人々の要求を正当化するものではなく、また、中国による覇権主義の主張、あるいは中国中心の世界秩序を意味するものでもない。
3. China bleibt auch unter veränderten Vorzeichen ein wichtiger Wirtschafts- und Handelspartner für Deutschland und Europa. Wir wollen kein „Decoupling“, keine Entkopplung von China. Aber was will China? Chinas Wirtschaftsstrategie der zwei Kreisläufe ist darauf ausgerichtet, den innerchinesischen Markt zu stärken und Abhängigkeiten von anderen Ländern herunterzufahren. In einer Rede Ende 2020 hat Präsident Xi Jinping zudem davon gesprochen, chinesische Technologien einzusetzen, um „die Abhängigkeit internationaler Produktionsketten von China zu verschärfen“. Solche Aussagen nehmen wir ernst. 3 状況は変わっても、中国はドイツと欧州にとって重要な経済・貿易パートナーであることに変わりはない。中国との "デカップリング "は望んでいない。しかし、中国は何を望んでいるのだろうか。中国の経済戦略は、中国国内市場を強化し、他国への依存を減らすという2つのサイクルを目指している。習近平国家主席も2020年末の演説で、中国の技術を利用して「国際的な生産チェーンの中国への依存を強化する」と語っている。私たちは、このような発言を真摯に受け止めている。
Wir werden daher einseitige Abhängigkeiten abbauen, im Sinne einer klugen Diversifizierung. Dabei braucht es Augenmaß und Pragmatismus. Ein Großteil des Handels zwischen Deutschland und China betrifft Produkte, bei denen es weder an alternativen Lieferquellen fehlt noch gefährliche Monopole drohen. Vielmehr profitieren China, Deutschland und Europa gleichermaßen. Dort aber, wo riskante Abhängigkeiten entstanden sind – etwa bei wichtigen Rohstoffen, manchen seltenen Erden oder bestimmten Zukunftstechnologien –, stellen unsere Unternehmen ihre Lieferketten nun zu Recht breiter auf. Wir unterstützen sie dabei, zum Beispiel durch neue Rohstoff-Partnerschaften. そのため、スマートな分散という意味で、一方的な依存を減らしていく。そのためには、バランス感覚とプラグマティズムが必要である。ドイツと中国の貿易の大部分は、代替供給源の不足も危険な独占の脅威もない製品に関わるものである。それどころか、中国もドイツもヨーロッパも同じように恩恵を受けている。しかし、重要な原材料や一部のレアアース、特定の将来技術など、リスクの高い依存関係が生じている場合には、現在、私たちの会社はサプライチェーンを適切に拡大している。私たちは、新しい原材料のパートナーシップなどを通じて、このような活動を支援している。
Auch bei chinesischen Investitionen in Deutschland differenzieren wir danach, ob ein solches Geschäft riskante Abhängigkeiten schafft oder verstärkt. Das war übrigens auch der Maßstab, den die Bundesregierung im Fall der Minderheitsbeteiligung der chinesischen Reederei Cosco an einem Terminal des Hamburger Hafens angelegt hat. Dank klarer Auflagen bleibt die volle Kontrolle des Terminals bei der Stadt Hamburg und der Hafengesellschaft. Diversifizierung und Stärkung unserer eigenen Resilienz statt Protektionismus und Rückzug auf den eigenen Markt – das ist unsere Haltung, in Deutschland und in der Europäischen Union. また、中国の対独投資の場合、そのような取引がリスクの高い依存関係を生み出すか、強化するかによって区別することができる。ちなみに、ハンブルグ港のターミナルを中国の海運会社コスコが少数株主として保有するケースでも、連邦政府が適用した基準である。明確な条件により、ターミナルの完全な管理はハンブルク市と港湾会社に任されている。保護主義や自国の市場に引きこもるのではなく、多様化し、自国の回復力を強化すること、それがドイツやEUの姿勢である。
Von Reziprozität, von Gegenseitigkeit in den Beziehungen zwischen China und Deutschland sind wir weit, zu weit entfernt, etwa im Hinblick auf den Marktzugang für Unternehmen, Lizenzen, den Schutz geistigen Eigentums oder Fragen der Rechtssicherheit und der Gleichbehandlung unserer Staatsangehörigen. Wir werden Reziprozität weiter einfordern. Wo China diese Gegenseitigkeit nicht zulässt, kann das aber nicht folgenlos bleiben. Ein solch differenzierter Umgang mit China entspricht den langfristigen, strategischen Interessen Deutschlands und Europas. 中国とドイツの関係において、例えば企業の市場アクセス、ライセンス、知的財産の保護、法的確実性、国民の平等な扱いに関する問題など、互恵主義や相互主義からは、あまりにも遠いところにいる。今後も互恵関係を要求していく。しかし、中国がこの互恵関係を許さない場合、これが結果を伴わないままであるはずがない。このような中国に対する差別化されたアプローチは、ドイツと欧州の長期的な戦略的利益に合致している。
4. Präsident Xi hat Anfang des Jahres in Davos gesagt: „Die Welt entwickelt sich durch die Bewegung von Widersprüchen – ohne Widerspruch würde nichts existieren.“ Das bedeutet, Widerspruch auch zuzulassen und auszuhalten. Das bedeutet, schwierige Themen im Austausch miteinander nicht auszuklammern. Hierzu zählt die Achtung bürgerlicher und politischer Freiheitsrechte sowie der Rechte ethnischer Minderheiten etwa in der Provinz Xinjiang. 習主席は年頭のダボス会議で、「世界は矛盾の運動によって発展する。矛盾がなければ何も存在しない」と述べた。それは、矛盾を許容し、耐えるということでもある。それは、お互いのやり取りの中で、難しい問題を省みないということである。これには市民的・政治的自由の尊重や、例えば新疆ウイグル自治区における少数民族の権利も含まれる。
Beunruhigend ist die angespannte Lage rund um Taiwan. Wie die USA und viele andere Staaten verfolgen wir eine Ein-China-Politik. Dazu gehört aber, dass eine Veränderung des Status quo nur friedlich und in gegenseitigem Einvernehmen erfolgen darf. Unsere Politik ist auf den Erhalt der regelbasierten Ordnung, die friedliche Lösung von Konflikten, den Schutz von Menschen- und Minderheitenrechten und den freien, fairen Welthandel gerichtet. 台湾を取り巻く緊迫した状況が心配である。アメリカや他の多くの国々と同様、私たちは「一つの中国」政策を進めている。ただし、これは現状を変更する場合は、平和的かつ相互の合意によるものでなければならないことを意味する。私たちの政策は、ルールに基づく秩序の維持、紛争の平和的解決、人権と少数派の権利の保護、そして自由で公正な世界貿易に向けられている。
5. Wenn ich als deutscher Bundeskanzler nach Peking reise, dann tue ich das zugleich als Europäer. Nicht etwa um im Namen ganz Europas zu sprechen, das wäre falsch und vermessen. Sondern weil deutsche Chinapolitik nur eingebettet in eine europäische Chinapolitik erfolgreich sein kann. Im Vorfeld meiner Reise haben wir uns daher eng mit unseren europäischen Partnern, darunter Präsident Macron, und auch mit unseren transatlantischen Freunden abgestimmt. Mit dem Dreiklang „Partner, Wettbewerber, Rivale“ hat die Europäische Union China richtig beschrieben, wobei Elemente der Rivalität und des Wettbewerbs in den vergangenen Jahren zweifellos zugenommen haben. ドイツの首相として北京に行くときは、ヨーロッパ人として行くのである。ヨーロッパ全体を代表するようなことを言うのは、間違っているし、おこがましい。しかし、ドイツの中国政策は、欧州の中国政策に組み込まれて初めて成功するものだからだ。そのため、私の渡航に向けて、マクロン大統領をはじめとする欧州のパートナーや大西洋をまたぐ友人たちと緊密に連携してきた。欧州連合(EU)は中国を「パートナー、競争、ライバル」の三位一体で正しく表現しているが、近年、ライバルや競争の要素が強まっているのは間違いないだろう。
Damit müssen wir umgehen, indem wir den Wettbewerb annehmen und die Folgen der Systemrivalität ernst nehmen und in unserer Politik berücksichtigen. Zugleich gilt es auszuloten, wo Kooperation auch weiterhin im beiderseitigen Interesse liegt. Schließlich braucht die Welt China – etwa im Kampf gegen globale Pandemien wie Covid-19. 競争を受け入れ、システム対抗の結果を真摯に受け止め、政策に反映させることで対処していかなければならない。同時に、今後も双方の利益になるような協力関係を模索することも重要である。結局のところ、世界は中国を必要としているのだ。例えば、コヴィド19のような世界的なパンデミックとの闘いにおいて。
Auch wenn es um die Beendigung der weltweiten Nahrungsmittelkrise geht, um die Unterstützung hoch verschuldeter Staaten und die Erreichung der UN-Entwicklungsziele, spielt China eine entscheidende Rolle. Ohne entschlossenes Handeln bei der Emissionsreduktion in China können wir den Kampf gegen den Klimawandel nicht gewinnen. Deshalb ist es gut, dass Peking sich ambitionierte Ziele für den Ausbau erneuerbarer Energien gesetzt hat, und ich werbe dafür, dass China gemeinsam mit uns gerade auch international noch mehr Verantwortung für den Klimaschutz übernimmt. また、世界的な食糧危機の終結、重債務国の支援、国連の開発目標の達成などに関しても、中国は重要な役割を担っている。中国での排出量削減のための決定的な行動なくして、私たちは気候変動との戦いに勝つことはできない。だからこそ、北京が再生可能エネルギーの拡大について野心的な目標を設定したのは良いことである。私は、中国が我々と共に、特に国際的に気候保護についてさらに大きな責任を負うようキャンペーンを展開している。
Wir sind uns bewusst, dass wir auch bei klimafreundlichen Technologien im Wettbewerb stehen – um die effizientesten Produkte, die klügsten Ideen, die erfolgreichste Umsetzung der jeweiligen Pläne. Das setzt aber voraus, dass China seinen Markt für unsere klimafreundlichen Technologien nicht verschließt. Diesem Wettbewerb stellen wir uns. Weniger Wettbewerb heißt nämlich immer auch weniger Innovation. Verlierer wäre der Klimaschutz – und damit wir alle. 私たちは、気候変動に配慮した技術に関しても、最も効率的な製品、最も賢明なアイデア、それぞれの計画の実行を成功させるための競争相手であることを認識している。しかし、これは中国が私たちの気候変動対策技術に対して市場を閉じてしまわないことが前提である。これが私たちの直面する競争である。競争が少ないと、常にイノベーションが少なくなる。負けるのは気候保護、つまり私たち全員なのである。
All das ist viel Stoff für einen Antrittsbesuch in Peking. Wir suchen die Kooperation, wo sie im Interesse beider Seiten liegt. Wir werden Kontroversen nicht ausklammern. Das gehört zu einem offenen Austausch zwischen Deutschland und China.  これだけあれば、北京への就任式には十分な材料となる。私たちは、双方の利益になるような協力関係を求めている。私たちは、論争を無視することはない。それは、ドイツと中国のオープンな交流の一環でもあるのである。 

 

 

Fig1_20221105061901

| | Comments (0)

2022.11.04

インターポール、国連地域間犯罪司法研究所、オランダ警察、世界経済会議 顔認証のユースケースを責任を持って制限するためのポリシーフレームワーク:法執行機関の捜査(2022年改訂版)

こんにちは、丸山満彦です。

インターポール国連地域間犯罪司法研究所オランダ警察世界経済会議が、顔認識技術を利用した捜査について、政策立案者、法執行機関に向けた実用的なガイダンスを作ろうという感じですかね。。。昨年に引き続いてです。。。

原則...

1 Respect for human and fundamental rights  1 人権及び基本的人権の尊重 
2 Necessary and proportional use  2 必要かつ比例的な使用 
3 Human oversight and accountability  3 人間の監視と説明責任 
4 Optimization of system performance  4 システム性能の最適化 
5 Mitigation of error and bias 5 エラーとバイアスの軽減
6 Legitimacy of probe images and reference databases 6 プローブ画像および参照データベースの正当性
7 Integrity of images and metadata 7 画像およびメタデータの完全性
8 Skilled human interface and decision-making 8 熟練したヒューマンインターフェースと意思決定
9 Transparency 9 透明性

 

World Economic Forum - Whitepaper

・2022.11.03 A Policy Framework for Responsible Limits on Facial Recognition Use Case: Law Enforcement Investigations (Revised 2022)

A Policy Framework for Responsible Limits on Facial Recognition Use Case: Law Enforcement Investigations (Revised 2022) 顔認証のユースケースを責任を持って制限するためのポリシーフレームワーク:法執行機関の捜査(2022年改訂版)
The World Economic Forum’s governance framework for the responsible use of facial recognition in law enforcement investigations addresses the need for a set of concrete guidelines to ensure the trustworthy and safe use of this technology. Following the release of the first draft in October 2021, six law enforcement agencies undertook an exercise to pilot the policy framework in order to review and validate its utility and completeness. 世界経済フォーラムの「法執行における顔認識の責任ある使用のためのガバナンスフレームワーク」は、この技術の信頼できる安全な使用を保証するための一連の具体的なガイドラインの必要性に対処している。2021年10月に最初のドラフトが発表された後、6つの法執行機関が、その実用性と完全性を検討し検証するために、政策フレームワークを試験的に導入する演習を実施した。
Drawing from the feedback and learnings of the pilots, the World Economic Forum has published a revised version of the policy framework that is actionable, relevant and useable in an operational law enforcement context. It includes a set of principles that defines in practical terms what constitutes the responsible use of facial recognition in law enforcement investigations and a self-assessment questionnaire used to support law enforcement agencies in effectively implementing these proposed principles. パイロット版のフィードバックと学習から、世界経済フォーラムは、実用的で関連性が高く、法執行の運用状況において使用可能な政策フレームワークの改訂版を発表した。このフレームワークには、法執行機関の捜査における顔認識の責任ある利用を構成するものを実践的に定義する一連の原則と、法執行機関がこれらの原則案を効果的に実施するのを支援するために用いられる自己評価アンケートが含まれている。

 

・[PDF] A Policy Framework for Responsible Limits on Facial Recognition Use Case: Law Enforcement Investigations INSIGHT REPORT REVISED NOVEMBER 2022

20221104-13238

目次...

Foreword 序文
Introduction はじめに
Methodology 方法論
1 Law enforcement investigations: use cases and definitions 1 法執行機関の調査:ユースケースと定義
2 Principles 2 原則
3 Self-assessment questionnaire 3 自己評価アンケート
Conclusion まとめ
Glossary 用語解説
Contributors 協力者
Endnotes 巻末資料

 

はじめに...

Introduction はじめに
Over the past decade, progress in artificial intelligence (AI) and sensors has fuelled the development of facial recognition technology (FRT) – software capable of matching a human face from a digital image or a video frame against a database of facial images. This has led to its rapid adoption in various industries, including law enforcement, transportation, healthcare and banking.  過去10年間、人工知能(AI)とセンサーの進歩により、顔認識技術(FRT)、つまりデジタル画像やビデオフレームから人間の顔を顔画像のデータベースと照合できるソフトウェアの開発が促進された。このため、法執行機関、交通機関、ヘルスケア、銀行など、さまざまな産業で急速に採用が進んでいる。
The development of FRT presents considerable opportunities for socially beneficial uses. For instance, it can find application in face-unlock mechanisms in mobile devices, in granting access to concerts and sporting events, and in attendance-tracking for employees and students. But it also creates unique challenges. To fully grasp these challenges and the trade-offs they may entail and to build appropriate governance processes, it is necessary to approach FRT deployment by examining specific applications. Indeed, passing through an airport border control with face identification, using face-based advertising in retail or employing facial recognition solutions for law enforcement investigations involves very different benefits and risks.  顔認識技術の開発は、社会的に有益な利用機会を提供するものである。例えば、携帯端末のロック解除、コンサートやスポーツイベントの入場許可、社員や学生の出席管理などに応用できる。しかし、その一方で、ユニークな課題もある。これらの課題やトレードオフを十分に把握し、適切なガバナンスプロセスを構築するためには、具体的なアプリケーションを検討しながら顔認識技術の展開に取り組む必要があります。実際、空港の国境警備を顔認証で通過すること、小売業で顔ベースの広告を使うこと、法執行機関の捜査に顔認証ソリューションを採用することは、全く異なる利益とリスクを伴いる。
To ensure the trustworthy and safe deployment of this technology across domains, the World Economic Forum has spearheaded a global and multistakeholder policy initiative to design robust governance frameworks. The Forum launched the first workstream in April 2019, focusing on flow management applications1 – replacing tickets with facial recognition to access physical premises or public transport, such as train platforms or airports. This workstream was concluded in December 2020 with the release of a tested assessment questionnaire by Tokyo-Narita Airport, an audit framework and a certification scheme co-designed with AFNOR Certification (Association Française de Normalisation).2 In November 2020, the second workstream was launched, focused on the law enforcement context – supporting the identification of a person by comparing a probe image to one or multiple reference databases to advance a police investigation. While law enforcement has been using biometric data, such as fingerprints or DNA, to conduct investigations, FRT is a new opportunity and challenge for law enforcement. 世界経済フォーラムは、この技術の信頼性と安全性を確保するために、グローバルかつマルチステークホルダーによる政策イニシアチブを主導し、強固なガバナンスの枠組みを設計している。フォーラムは2019年4月に最初のワークストリームを立ち上げ、フロー管理アプリケーション1、すなわち鉄道プラットフォームや空港などの物理的な敷地や公共交通機関にアクセスするためにチケットを顔認証に置き換えることに焦点を当てた。このワークストリームは、2020年12月に東京成田空港によるテスト済みの評価アンケート、監査フレームワーク、AFNOR認証(Association Française de Normalisation)と共同設計した認証スキームを発表して終了しました2。2020年11月には、警察による捜査を進めるためにプローブ画像を一つまたは複数の参照データベースと比較して個人の識別をサポートする、法執行機関のコンテキストに焦点を当てた第2のワークストリームが開始された。法執行機関は、これまで指紋やDNAなどのバイオメトリクスデータを利用して捜査を行ってきましたが、顔認識技術は法執行機関にとって新たな機会であると同時に課題でもあります。
In terms of challenges, use by law enforcement raises multiple public concerns, primarily because of the potentially devastating effects of system errors or misuses in this domain. A study conducted in 2019 by the National Institute of Standards and Technology (NIST) showed that, although some facial recognition algorithms had “undetectable” differences in terms of accuracy across racial groups, others exhibit performance deficiencies based on demographic characteristics such as gender and race.3 Law enforcement agencies should be aware of these potential performance deficiencies and implement appropriate governance processes to mitigate them. In doing so, they would limit the risk of false positives or false negatives and possible wrongful arrests of individuals based on outputs from an FRT system. Failure to build in such processes could have dramatic consequences. For example, in 2018 in the United States, an innocent African American man was arrested and held in custody as a result of being falsely identified as a suspect in a theft investigation in which FRT was used.4 In addition to hampering rights such as the presumption of innocence, and the right to a fair trial and due process, the use of FRT by law enforcement agencies can also undermine freedom of expression, freedom of assembly and association, and the right to privacy.5 課題という点では、法執行機関による利用は、主にこの領域でのシステムエラーや誤用がもたらす壊滅的な影響の可能性から、複数の公共の懸念を引き起こします。米国国立標準技術研究所(NIST)が2019年に実施した研究によると、顔認識アルゴリズムの中には、人種間の精度に「検出できない」差があるものもあるが、性別や人種などの人口統計学的特徴に基づいて性能欠陥を示すものもある3。 法執行機関は、こうした潜在的性能欠陥を認識して、それを軽減するための適切なガバナンスプロセスを導入すべきである。そうすることで、顔認識技術 システムからの出力に基づく個人の偽陽性または偽陰性および可能な限りの誤った逮捕のリスクを制限することができる。このようなプロセスを組み込むことに失敗すると、劇的な結果を招く可能性がある。例えば、2018年に米国で、無実のアフリカ系アメリカ人男性が、顔認識技術が使用された窃盗捜査の容疑者として誤認された結果、逮捕・拘束された4。推定無罪、公正な裁判と適正手続を受ける権利などの権利を阻害することに加え、法執行機関による顔認識技術の使用は、表現の自由、集会と結社の自由、プライバシー権を損なう可能性もある5。
These concerns have led to intensified policy activity globally. In the US alone, some local and state governments have banned the use of FRT by public agencies, including law enforcement. Major cities such as San Francisco,6 Oakland7 and Boston8 have adopted such measures. At the state level, Alabama,9 Colorado,10 Maine,11 Massachusetts,12 Virginia13 and Washington14 have all introduced legislation to regulate its use. Finally, at the federal level, various bills15 – including most recently the Facial Recognition Act of 2022, introduced in September 202216 – have been proposed to regulate FRT but none of them has been adopted to this date. このような懸念から、世界的に政策活動が活発化している。米国だけでも、いくつかの自治体や州政府は、法執行機関を含む公的機関による顔認識技術の利用を禁止している。サンフランシスコ6、オークランド7、ボストン8などの主要都市では、このような措置がとられている。州レベルでは、アラバマ州9、コロラド州10、メイン州11、マサチューセッツ州12、バージニア州13、ワシントン州14が、その使用を規制する法律を制定している。最後に、連邦レベルでは、様々な法案15-直近では2022年9月に提出された「2022年顔認識法」16-が顔認識技術規制のために提案されているが、現在までに採択されたものはない。
Furthermore, large US technology companies have also formulated positions on this topic. In the wake of a series of events in 2020 that increased distrust toward police agencies in the US and worldwide, including the Clearview AI controversy,17 IBM announced that it will no longer offer, develop or research FRT, while Microsoft pledged to stop selling FRT to law enforcement agencies in the US until federal regulation was introduced.18 In 2022, Microsoft went further, putting new limits and safeguards on all uses of FRT as part of a broader set of AI principles.19 In 2021, Amazon Web Services (AWS) also extended its moratorium on police use of its platform Rekognition, which it originally imposed in 2020.20 さらに、米国の大手テクノロジー企業もこのテーマに関するポジションを策定している。2020年にクリアビューAI論争17など、米国や世界で警察機関への不信感が高まる出来事が相次いだことを受け、IBMは今後顔認識技術の提供、開発、研究を行わないことを発表し、マイクロソフトは連邦規制が導入されるまで米国内の法執行機関への顔認識技術販売を停止すると公約している18。2022年、マイクロソフトはさらに踏み込んで、より広範なAI原則の一環として、FRTのすべての用途に新たな制限と保護措置を導入した19。2021年には、アマゾンウェブサービス(AWS)も、2020年に課したプラットフォームRekognitionの警察利用に対するモラトリアムを延長している20。
In other jurisdictions, policy-makers are attempting to limit police use of FRT to very specific use cases associated with robust accountability mechanisms to prevent potential errors that may lead to wrongful arrests. That is the direction proposed by the European Commission, which in 2021 released its draft of an Artificial Intelligence Act21 – a comprehensive regulatory proposal that classifies AI applications under four distinct categories of risk subject to specific requirements.22 This proposal includes provisions on remote biometric systems, which include FRT. It states that AI systems intended to be used for the “real-time” and “post” remote biometric identification of natural persons represent high-risk applications and would require an ex ante conformity assessment of tech providers before getting access to the European Union market and an ex post conformity assessment while their systems are in operation. Moreover, “real-time” remote biometric identification systems in publicly accessible spaces for the purpose of law enforcement are prohibited unless they serve very limited exceptions related to public safety (e.g. the prevention of imminent terrorist threats or a targeted search for missing persons). In order to enter into force, however, the European Commission’s proposal will first need to be adopted by the European Union parliament and the Council of the European Union. 他の法域では、政策立案者は、警察のFRTの利用を、誤認逮捕につながる可能性のある誤りを防ぐための強固な説明責任の仕組みに関連した非常に特定のユースケースに限定しようとしている。これは、欧州委員会が2021年に発表した人工知能法21の草案で、AIアプリケーションを特定の要件の対象となる4つの異なるリスク・カテゴリーに分類する包括的な規制案である22。この提案には、FRTを含む遠隔生体認証システムに関する条項が含まれている。この提案は、自然人の「リアルタイム」および「ポスト」遠隔生体認証に使用することを意図したAIシステムは高リスクのアプリケーションであり、EU市場へのアクセスを得る前に技術提供者の事前適合性評価を、システムが運用されている間は事後適合性評価を必要とするとしている。さらに、公共の安全に関する非常に限定的な例外(差し迫ったテロの脅威の防止や行方不明者の捜索など)を除いて、法執行を目的とした公共のアクセス空間での「リアルタイム」遠隔生体認証システムは禁止されている。ただし、発効するためには、まず欧州委員会の提案が欧州連合議会および欧州連合理事会で採択される必要がある。
At the United Nations, a similar approach is emerging, with the Office of the High Commissioner for Human Rights (OHCHR) presenting a report23 in 2021 to the Human Rights Council on the right to privacy in the digital age, in which it recommends banning AI applications that cannot be used in compliance with international human rights law. With specific respect to the use of FRT by law enforcement, national security, criminal justice and border management, the report stated that remote biometric recognition dramatically increases the ability of State authorities to systematically identify and track individuals in public spaces, undermining the ability of people to go about their lives unobserved and resulting in a direct negative effect on the exercise of the rights to freedom of expression, of peaceful assembly and of association, as well as freedom of movement. The report also reiterates calls for a moratorium on the use of remote biometric recognition in public spaces, at least until authorities can demonstrate that there are no significant issues with accuracy or discriminatory impacts, and that these AI systems comply with robust privacy and data protection standards. 国連でも、同様のアプローチが生まれつつあり、人権高等弁務官事務所(OHCHR)は、2021年に人権理事会でデジタル時代のプライバシー権に関する報告書23を提出し、国際人権法を遵守して使用できないAIアプリケーションを禁止するよう勧告している。法執行、国家安全保障、刑事司法、国境管理による顔認識技術の利用に関して、報告書は、遠隔生体認証は、国家当局が公共空間で個人を体系的に特定し追跡する能力を劇的に高め、人々が人知れず生活する能力を損ない、結果として表現の自由、平和集会および結社の権利、ならびに移動の自由の行使に直接悪影響を及ぼすとしている。また、この報告書は少なくとも当局が、精度や差別的影響に大きな問題がなく、これらのAIシステムが強固なプライバシーおよびデータ保護基準に準拠していることを証明できるまでは、公共の場での遠隔生体認証の使用を一時停止するよう再度要求している。

Courts have also started to play an important role in shaping the policy agenda on FRT. In 2021, the São Paulo Court of Justice in Brazil blocked24 the deployment of FRT in the public transport system. This was perceived as a major victory by civil rights organizations that oppose the increasing use of FRT by public agencies. In a similar case in the UK, while the Court of Appeal found that the deployment of automated FRT by the police did have a legal basis for use in common law, its use by the South Wales Police at certain events and public locations was unlawful because it did not sufficiently define who could be on a watch list and where it could be used.25 裁判所も、顔認識技術に関する政策課題の形成に重要な役割を果たし始めている。2021年、ブラジルのサンパウロ裁判所は、公共交通システムへの顔認識技術の配備を阻止24しました。これは、公共機関による顔認識技術の利用拡大に反対する市民権団体による大きな勝利と受け止められた。また、英国では、警察による自動運転顔認識技術の配備はコモンロー上の法的根拠があるとする一方、サウスウェールズ警察による特定のイベントや公共の場での使用は、誰が監視リストに載り、どこで使用できるかが十分に定義されていないため違法であるとした25。
In some countries, governments have adopted a cautious approach. That has been the case in the Netherlands. In 2019, the Minister of Justice and Security addressed a letter to members of parliament informing them about the existing uses of FRT by law enforcement agencies and reaffirming his support for robust governance processes in relation to this sensitive technology.26 Further, he argued that the existing legal framework and safeguards, both technical and organizational, are sufficiently robust to ensure the responsible use of FRT by law enforcement agencies. Nevertheless, he requested additional privacy, ethical and human rights impact assessments before authorizing any further uses or pilots of FRT. 国によっては、政府が慎重なアプローチをとっているところもある。オランダがそうであった。2019年、司法・安全保障大臣は国会議員宛の書簡で、法執行機関による顔認識技術の既存の利用について知らせ、この敏感な技術に関連する強固なガバナンスプロセスへの支持を再確認した26。さらに、既存の法的枠組みおよび技術・組織の両方のセーフガードは、法執行機関による顔認識技術の責任ある利用を保証するには十分強固であると論じた。しかし、顔認識技術 のさらなる利用や試験運用を許可する前に、プライバシー、倫理、人権に関する影響評価を追加するよう要請している。
Despite these developments, most governments around the world continue to grapple with the challenges presented by FRT. The ambition of this work is thus to strengthen their efforts to overcome them, and support law- and policymakers across the globe in designing an actionable governance framework that addresses the key policy considerations raised, such as the necessity of a specific purpose, the performance assessment of authorized solutions, the procurement processes for law enforcement agencies, the training of professionals and the maintenance of the chain of command for emergency situations.  このような進展にもかかわらず、世界中のほとんどの政府は、顔認識技術が提示する課題に取り組み続けている。したがって、この作業の目的は、それらを克服するための努力を強化し、特定の目的の必要性、認可されたソリューションの性能評価、法執行機関の調達プロセス、専門家の訓練、緊急事態の指揮系統の維持など、提起された重要な政策的考察に対処する実行可能なガバナンスの枠組みを設計する上で、世界中の法律家や政策立案者を支援することである。
To achieve this, the World Economic Forum, the International Criminal Police Organization (INTERPOL), the United Nations Interregional Crime and Justice Research Institute (UNICRI) and the Netherlands Police convened a multistakeholder community centred on co-designing a set of principles that outline what constitutes the responsible use of FRT for law enforcement investigations. These principles are accompanied by a self-assessment questionnaire to support law enforcement agencies to design policies surrounding the use of FRT and to review existing policies in line with the proposed principles.  このため、世界経済フォーラム、国際刑事警察機構(INTERPOL)、国連地域間犯罪司法研究所(UNICRI)、オランダ警察は、法執行捜査のための責任ある顔認識技術の使用を構成するものを概説する一連の原則を共同設計することを中心としたマルチステークホルダーコミュニティを開催しました。これらの原則は、法執行機関が顔認識技術の使用を取り巻く政策を設計し、提案された原則に沿って既存の政策を見直すことを支援するための自己評価アンケートが添付されている。
In addition to providing practical guidance and support to law enforcement and policy-makers, this governance framework seeks to inform public debate on the use of FRT at the national, regional and international levels and provide an actionable framework to maximize the benefits of FRT while mitigating its risks.  このガバナンスの枠組みは、法執行機関や政策立案者に実用的な指針や支援を提供することに加え、国、地域、国際レベルでの 顔認識技術 の使用に関する公開討論に情報を提供し、顔認識技術 のリスクを軽減しながらその利益を最大化するための実行可能な枠組み を提供することを目的としている。
While the policy framework proposed in this paper is not the only such policy guidance in this domain, it seeks to present a unique proposal built with an international perspective, incorporating a multistakeholder approach, including law enforcement, industry and civil society, in its development.  本論文で提案する政策フレームワークは、この領域における唯一の政策ガイダンスではないが、その開発に法執行機関、産業界、市民社会を含むマルチステークホルダーアプローチを取り入れ、国際的視野で構築した独自の提案を示そうとするものである。
While law enforcement has been using biometric data, such as fingerprints or DNA, to conduct investigations, FRT is a new opportunity and challenge for law enforcement. 法執行機関は、これまで指紋や DNA などのバイオメトリクスデータを捜査に利用してきたが、 顔認識技術 は法執行機関にとって新たな機会であり課題でもある。
In addition to providing practical guidance and support to law enforcement and policy-makers, this governance framework seeks to inform public debate on the use of FRT. このガバナンスの枠組みは、法執行機関と政策立案者に実用的なガイダンスと支援を提供することに加え、顔認識技術 の使用に関する公的な議論に情報を提供することを目指すものである。

 

  1. World Economic Forum, A Framework for Responsible Limits on Facial Recognition: Use Case: Flow Management, 2020: https://www.weforum.org/whitepapers/a-framework-for-responsible-limits-on-facial-recognition-use-case-flowmanagement (link as of 16/8/21).
  2. World Economic Forum, Responsible Limits on Facial Recognition: Use Case: Flow Management – Part II, 2020: https://www.weforum.org/whitepapers/responsible-limits-on-facial-recognition-use-case-flow-management (link as of 16/8/21).
  3. NISTIR 8280, Face Recognition Vendor Test (FRVT) Part 3: Demographic Effects, 2019: https://www.nist.gov/publications/ face-recognition-vendor-test-part-3-demographic-effects (link as of 16/8/21).
  4. Bobby Allyn, “‘The Computer Got It Wrong’: How Facial Recognition Led to False Arrest of Black Man”, npr, 24 June 2020: https://www.npr.org/2020/06/24/882683463/the-computer-got-it-wrong-how-facial-recognition-led-to-a-false-arrest-in-michig (link as of 18/8/21).
  5. ACLU, The Dawn of Robot Surveillance: AI, Video Analytics and Privacy, 2019: https://www.aclu.org/report/dawn-robot-surveillance (link as of 16/8/21).
  6. Kate Conger, Richard Fausset and Serge F. Kovaleski, “San Francisco Bans Facial Recognition Technology”, New York Times, 14 May 2019: https://www.nytimes.com/2019/05/14/us/facial-recognition-ban-san-francisco.html (link as of 5/10/22).
  7. Sarah Ravani, “Oakland Bans Use of Facial Recognition Technology, Citing Bias Concerns”, San Francisco Chronicle, 16 July 2019: https://www.sfchronicle.com/bayarea/article/Oakland-bans-use-of-facial-recognition-14101253.php (link as of 5/10/22).
  8. Ally Jarmanning, “Boston Lawmakers Vote to Ban Use of Facial Recognition Technology by the City”, npr, 24 June 2020: https://www.npr.org/sections/live-updates-protests-for-racial-justice/2020/06/24/883107627/boston-lawmakers-vote-toban-use-of-facial-recognition-technology-by-the-city (link as of 5/10/22).
  9. Madison Booth, “Senate Passes Bill Limiting Use of AI by Law Enforcement”, Alabama Daily News, 2 February 2022: https://www.aldailynews.com/senate-passes-bill-limiting-use-of-ai-by-law-enforcement/ (link as of 5/10/22).
  10. Hannah Metzger, “Task Force to Assess Use of Facial Recognition by Colorado Law Enforcement, Government”, Colorado Politics, 9 June 2022: https://www.coloradopolitics.com/legislature/task-force-to-assess-use-of-facial-recognitionby-colorado-law-enforcement-government/article_52846144-e83e-11ec-b930-7fe52b4e1214.html (link as of 5/10/22).
  11. ACLU, “Maine Enacts Strongest Statewide Facial Recognition Regulations in the Country”, press release, 30 June 2021: https://www.aclu.org/press-releases/maine-enacts-strongest-statewide-facial-recognition-regulations-country (link as of 5/10/22).
  12. Emma Peaslee, “Massachusetts Pioneers Rules for Police Use of Facial Recognition Tech”, npr, 7 May 2021: https://www.npr.org/2021/05/07/982709480/massachusetts-pioneers-rules-for-police-use-of-facial-recognitiontech?t=1623343113224 (link as of 16/8/21).
  13. Bill Atkinson, “Virginia to Enact Statewide Ban on Facial Recognition Use”, Government Technology, 9 April 2021: https://www.govtech.com/public-safety/virginia-to-enact-statewide-ban-on-facial-recognition-use.html (link as of 16/8/21).
  14. Monica Nickelsburg, “Washington State Passes Landmark Facial Recognition Bill, Reining in Government Use of AI”, GeekWire, 13 March 2020: https://www.geekwire.com/2020/washington-state-passes-landmark-facial-recognition-billreining-government-use-ai/ (link as of 16/8/21).
  15. iapp, “Will There Be Federal Facial Recognition Regulation in the US?”, 11 February 2021: https://iapp.org/news/a/u-sfacial-recognition-roundup/ (link as of 16/8/21).
  16. United States Congressman Ted W. Lieu (D-Los Angeles County), “Reps Ted Lieu, Sheila Jackson Lee, Yvette Clarke, and Jimmy Gomez Introduce Bill to Regulate Law Enforcement Use of Facial Recognition Technology”, Press Release,  29 September 2022 : https://lieu.house.gov/media-center/press-releases/reps-ted-lieu-sheila-jackson-lee-yvette-clarkeand-jimmy-gomez-introduce (link as of 5/10/22).
  17. Kashmir Hill, “The Secretive Company That Might End Privacy as We Know It”, The New York Times, 18 January 2020: https://www.nytimes.com/2020/01/18/technology/clearview-privacy-facial-recognition.html (link as of 30/9/2022).
  18. Rebecca Heilweil, “Big Tech Companies Back Away from Selling Facial Recognition to Police. That’s Progress”, Vox, 11 June 2020: https://www.vox.com/recode/2020/6/10/21287194/amazon-microsoft-ibm-facial-recognition-moratoriumpolice (link as of 16/8/21).
  19. Sarah Bird, “Responsible AI Investments and Safeguards for Facial Recognition”, Microsoft, 21 June 2022: https://azure.microsoft.com/en-us/blog/responsible-ai-investments-and-safeguards-for-facial-recognition/ (link as of 23/08/2022).
  20. Amazon, “We Are Implementing a One-Year Moratorium on Police Use of Rekognition”, 10 June 2020: https://www.aboutamazon.com/news/policy-news-views/we-are-implementing-a-one-year-moratorium-on-police-use-ofrekognition (link as of 16/8/21).
  21. EUR-Lex, Proposal for a Regulation Laying Down Harmonised Rules on Artificial Intelligence, 21 April 2021: https://digital-strategy.ec.europa.eu/en/library/proposal-regulation-laying-down-harmonised-rules-artificial-intelligence (link as of 16/8/21).
  22. Jorge Liboreiro, “‘The Higher the Risk, the Stricter the Rule’: Brussels’ New Draft Rules on Artificial Intelligence”, Euronews, 21 April, 2021: https://www.euronews.com/2021/04/21/the-higher-the-risk-the-stricter-the-rule-brussels-newdraft-rules-on-artificial-intellige (link as of 16/8/21).
  23. United Nations, “Artificial Intelligence Risks to Privacy Demand Urgent Action – Bachelet”, 15 September 2021: https://www.ohchr.org/en/2021/09/artificial-intelligence-risks-privacy-demand-urgent-actionbachelet?LangID=E&NewsID=27469 (link as of 12/8/2022).
  24. accessnow, “Privacy Win for 350,000 People in São Paulo: Court Blocks Facial Recognition Cameras in Metro”, 12 May 2021: https://www.accessnow.org/sao-paulo-court-bans-facial-recognition-cameras-in-metro/ (link as of 16/8/21).
  25. Royal Court of Justice, “In the Court of Appeal (Civil Division) on Appeal from the High Court of Justice of Queen’s Bench Division (Administrative Court)”, Case No. C1/2019/2670: https://www.judiciary.uk/wp-content/uploads/2020/08/RBridges-v-CC-South-Wales-ors-Judgment.pdf (link as of 12/8/2022).
  26. Rijksoverheid, “Letter of the Minister of Justice and Security of the Netherlands to MPs to Inform Them About the Use of Facial Recognition Technology by Law Enforcement Agencies” (in Dutch), 20 November 2019: https://www.rijksoverheid. nl/documenten/kamerstukken/2019/11/20/tk-waarborgen-en-kaders-bij-gebruik-gezichtsherkenningstechnologie (link as of 16/8/21).

 

1 Respect for human and fundamental rights  1 人権及び基本的人権の尊重 
1.1  FRT should be used only as part of a lawful investigation, and always only as an investigative lead,  to support the identification of criminals/fugitives, missing persons, persons of interest and victims.  1.1 顔認識技術 は、犯罪者・逃亡者、行方不明者、参考人、被害者の特定を支援するため、合法的な捜査の一部と してのみ、また常に捜査上の手掛かりとしてのみ使用されるべきである。
1.2  The rights provided for within the International Bill of Human Rights and other relevant human rights treaties and laws should always be respected, particularly the right to human dignity, the right to equality and non-discrimination, the right to privacy, the right to freedom of expression, association and peaceful assembly, the rights of the child and older persons, the rights of persons with disabilities, the rights of migrants, the rights of Indigenous people and minorities, and the rights of persons subjected to detention or imprisonment. The use of FRT by law enforcement for investigations should respect these rights and be necessary and proportionate to achieve legitimate policing aims. 1.2 国際人権規約及びその他の関連する人権条約・法律に規定されている権利は、常に尊重されるべきであり、特に、人間の尊厳に対する権利、平等及び非差別に対する権利、プライバシーに対する権利、表現、結社及び平和的集会の自由に対する権利、児童及び高齢者の権利、障害者の権利、移民の権利、先住民及び少数者の権利並びに拘禁又は投獄を受けた者の権利が尊重されなければならない。捜査のための法執行機関による 顔認識技術 の使用は、これらの権利を尊重し、正当な取り締まりの目的を達 成するために必要かつ適切なものでなければならない。
1.3  Any restrictions or limitations to human rights are permissible under international human rights law only if they are necessary and proportionate to achieving a legitimate policing aim and are not applied in an arbitrary manner. These restrictions must be established in law and should correspond to the least intrusive means of pursuing such an aim. 1.3 人権に対するいかなる制限も、国際人権法の下では、正当な取り締まりの目的を達成するために必要かつ適切であり、恣意的に適用されない場合にのみ許される。これらの制限は法律で確立されなければならず、そのような目的を追求するための最も侵襲性の低い手段に対応するものでなければならない。
1.4  Law enforcement agencies should be subject to effective oversight by bodies with enforcement powers in accordance with national laws or policies. Among other things, these or other bodies should have the specific task of hearing and following complaints from citizens and assessing the compliance of law enforcement activities with human and fundamental rights.  1.4 法執行機関は、国内法または政策に従って、執行権限を有する機関による効果的な監視に服するべきである。特に、これらの機関または他の機関は、市民からの苦情を聞き、それに従い、法執行活動が人権および基本的権利を遵守しているかどうかを評価するという具体的な任務を有するべきである。
1.5  Law enforcement agencies should consider setting up an independent ethical oversight committee or assigning the responsibility to periodically review law enforcement officers’ use of FRT to a preexisting body, supporting them in achieving respect for human and fundamental rights. 1.5 法執行機関は、独立した倫理監視委員会の設置や、法執行者による顔認識技術の使用を定期的に審査する責任を既存の機関に委ね、人権および基本的権利の尊重を実現するための支援を行うことを検討する必要がある。
1.6  Individuals should have the right to an effective remedy before an independent and impartial tribunal set up by law against actions concerning the use of FRT.  1.6 個人は、顔認識技術の使用に関する行為について、法律により設置された独立かつ公平な法廷において、効果的な救済を受ける権利を有するべきである。
2 Necessary and proportional use  2 必要かつ比例的な使用 
2.1  The decision to use FRT should always be guided by the objective of striking a fair balance between allowing law enforcement agencies to deploy the latest technologies, which are demonstrated to be accurate and safe, to safeguard individuals and society against security threats, and the necessity  to protect the human rights of individuals.  2.1 顔認識技術 の使用は、法執行機関が、安全保障上の脅威から個人と社会を守るために、正確性 と安全性が実証された最新の技術を導入することと、個人の人権を守る必要性との間の公正 なバランスをとるという目的から、常に導かれるべきものである。
2.2  Law enforcement agencies considering the use of FRT should always provide a documented and justified argument as to why FRT is the chosen option and why alternative options were not chosen.  2.2 顔認識技術 の使用を検討している法執行機関は、なぜ 顔認識技術 が選択されたのか、なぜ代替の選択肢が選択されな かったのかについて、常に文書化された正当な論拠を提供しなければならない。
2.3  The use of FRT by law enforcement agencies, from the request to the use of the outcome of the search, should always be aimed at, and limited to, a single specific goal, necessarily related  to investigative purposes.  2.3 法執行機関による 顔認識技術 の使用は、要請から捜査結果の使用に至るまで、常に捜査目的に必然的に 関連する単一の特定の目標を目的とし、かつそれに限定されるべきであり、顔認識技術 の使用は、法執行 機関によって行われる。
2.4  International, regional and national policies and/or laws should specify for which classes of crimes  or investigations the use of FRT by law enforcement agencies is acceptable and/or lawful.  2.4 国際的、地域的及び国内的な政策及び/又は法律は、法執行機関による 顔認識技術 の使用がどの分類の犯罪又は捜査のために許容及び/又は合法であるかを規定すべきである。
2.5  Acknowledging the right to privacy and other human rights, the collection of images from public and publicly accessible spaces for FRT identification purposes should be done only for a determined list of use cases, in a limited area and for an established processing time period in accordance with relevant national laws or policies.  2.5 プライバシーの権利及びその他の人権を認識し、顔認識技術 識別目的のための公共及び公的に アクセス可能なスペースからの画像の収集は、関連する国内法又は政策に従って、決められた 使用事例のリストに対してのみ、限られた地域及び決められた処理期間において行われるべきである。
2.6  As a consequence of the additional risks involved in the use of real-time FRT, an independent authority responsible for oversight of law enforcement operations (such as the independent ethical oversight committee described in Principle 1.5) should be in charge of authorizing applications for its use and, if there is not enough time, it should be authorized through the chain of command. In such cases, the chain of command should inform the independent authority as soon as possible and not later than 24 hours after authorizing the use, justifying its decision to use real-time FRT and explaining why it considered there was insufficient time to seek its authorization in advance. Law enforcement should use the results of any real-time FRT search only to verify an individual’s identity and conduct additional verifications. All images captured during an operation involving the use of real-time FRT, both the original image and the biometric template, should be deleted from the system, according to the policies governing the storage of live images.  2.6 リアルタイム 顔認識技術 の使用に伴う追加的なリスクの結果として、法執行業務の監督に責任を 持つ独立した当局(原則 1.5 で述べた独立した倫理監督委員会のような)が、その使用申請 の認可を担当し、十分な時間がない場合は、命令系統を通じて認可されるべきである。このような場合、指揮系統は、リアルタイム 顔認識技術 を使用する決定を正当化し、なぜ事前に承認を求めるには時間が足りないと考えたかを説明した上で、使用を承認した後 24 時間以内に、できるだけ早く独立当局に通知すべきである。法執行機関は、個人の身元を確認し、追加の検証を行うためにのみ、リアルタイム 顔認識技術 検索の結果を使用するものとする。リアルタイム 顔認識技術 の使用を含む操作中に捕捉されたすべての画像は、オリジナル画像と生 体測定テンプレートの両方が、ライブ画像の保存を管理する方針に従って、システムから削除され るべきである。
2.7  FRT, and other face analysis technologies, should be used for no purpose other than biometric identification/recognition/verification. The use of FRT to infer ethnicity, gender, sex, age, emotion, opinion, health status, religion and sexual orientation, and the use of FRT for predictive analysis, should not be permitted.  2.7 顔認識技術 及び他の顔分析技術は、生体認証/認識/検証以外の目的では使用されるべきではない。民族、性別、年齢、感情、意見、健康状態、宗教、性的指向を推測するための 顔認識技術 の使用、および予測分析のための 顔認識技術 の使用は、許可されるべきではない。
3 Human oversight and accountability  3 人間の監視と説明責任 
3.1  Lines of responsibility for the outcome of a given use of FRT should be well defined and transparent.  A law enforcement agency should never issue analysis and conclusions from FRT without interpretation by an examiner and oversight by a manager with the right expertise (with the unique exception described in Principle 2.6).  3.1 顔認識技術 の所定の使用の結果に対する責任の所在は、明確に定義され、かつ透明でなければなら ない。 法執行機関は、審査官による解釈と適切な専門知識を有する管理者による監督なしに、 顔認識技術 による分析と結論を決して発行すべきではない(原則 2.6 に記載される固有の例外を除く)。
3.2  The use of FRT should always be conducted by an individual trained as described in Principle 8 (with the exception of situations of emergency as presented in Principle 2.6). The skills of facial experts are critical and necessary to maintain the highest level of accuracy in the identification process.  3.2 顔認識技術 の使用は、常に原則 8 に記載された訓練を受けた個人によって実施されるべきである (ただし、原則 2.6 に示された緊急事態の場合は例外とする)。顔の専門家の技能は、識別プロセスにおいて最高レベルの精度を維持するために重要かつ 必要である。
3.3  A peer review (blind verification or examination by a second expert) should systematically be performed before a result is communicated to the requesting investigation team. The result provided should be consensus-based or, in the event of a lack of consensus, the most conservative conclusion in terms of similarities observed should prevail.  3.3 ピアレビュー(第二の専門家によるブラインド検証又は検査)は、結果が依頼元の調査チー ムに通知される前に、体系的に実施されるべきである。提供される結果は、コンセンサスに基づくものであるべきであり、コンセンサスが得られない場合には、観察された類似性の観点から最も保守的な結論が優先されるべきものである。
3.4 The law enforcement agency should verify that a mechanism exists whereby citizens can file a complaint with or seek redress for any harms before a competent body designated by national authorities.  3.4 法執行機関は、市民が国家当局によって指定された管轄機関に苦情を申し立てたり、損害の救済を求めたりできる仕組みが存在することを確認する必要がある。
3.5  If an individual proposed by an FRT system as a potential candidate is subsequently taken into custody, brought in as a witness or assumes any other official role in a law enforcement process, that person should be informed that he/she was subject to a search using FRT, provided that this would not compromise the investigation. 3.5 顔認識技術 システムによって候補者として提案された個人が、その後拘留されるか、証人として連行 されるか、または法執行プロセスにおいて他の公的役割を担う場合、その人は、捜査を損なわない限 り、顔認識技術 を用いた捜査の対象となったことを知らされる必要がある。
4 Optimization of system performance  4 システム性能の最適化 
4.1  Law enforcement agencies should require vendors to follow FRT standards, such as those set by the International Organization for Standardization (ISO) and the European Committee for Standardization (CEN), to evaluate the performance of their algorithms at the design and deployment stages.  4.1 法執行機関は、国際標準化機構(ISO)や欧州標準化委員会(CEN)が定めたような 顔認識技術 標準に準拠し、設計・導入段階でアルゴリズムの性能を評価するようベンダーに求めるべきであ る。
4.2  Law enforcement agencies should introduce a standardized procurement process in a transparent way, requiring vendors to comply with the above-mentioned standards and to submit their algorithms to large-scale independent audits/testing undertaken against appropriate test standards (lab tests and, if possible, field tests). After evaluating all candidates, agencies should select the provider who can demonstrate the best-performing algorithm. 4.2 法執行機関は、標準化された調達プロセスを透明な形で導入し、ベンダーに上記基準の遵守と、適切なテスト基準(ラボテスト、可能ならフィールドテスト)に対して行われる大規模な独立監査/テストにアルゴリズムを提出することを義務付けるべきである。すべての候補を評価した後、機関は、最も性能の良いアルゴリズムを実証できるプロバイダを選択する必要がある。
4.3  Due diligence with respect to system performance should be undertaken by reference to large-scale independent tests, such as those conducted by NIST in the US. These tests provide a scientifically robust, transparent baseline of performance.  4.3 システム性能に関するデューディリジェンスは、米国の NIST が実施するような大規模な独立試験 を参照することによって実施されるべきである。これらのテストは、科学的に堅牢で、透明性のある性能の基準値を提供する。
4.4  Independent lab tests to validate the performance of the FRT should be designed to model, as closely as practical, the real-world objectives and conditions (including data landscape, operators of the technology, timetables affecting decisions made using the technology, etc.) in which the FRT is applied in practice. 4.4 顔認識技術の性能を検証する独立ラボ試験は、顔認識技術 が実際に適用される実世界の目的及び条件(データ の状況、技術の運用者、技術を用いた意思決定に影響を与えるスケジュール等を含む)を、実際 に近い形でモデル化するように設計されなければならない。
4.5  Law enforcement agencies should notify the technology provider of relevant errors identified in order to have the system reviewed.  4.5 法執行機関は、システムの見直しを行うために、特定された関連する誤りを技術提供者に通知す るべきである。
4.6  To leverage accuracy gains, law enforcement agencies should expect to make, and establish procedures for, regular upgrades or replacement of the FRT. 4.6 正確さの向上を活用するために、法執行機関は、顔認識技術 の定期的なアップグレードまたは交換を予期 し、そのための手順を確立することが望ましい。
5 Mitigation of error and bias 5 エラーとバイアスの軽減
5.1  The risk of error and bias by machines and humans should be mitigated to the greatest extent possible. This should be done through an ex ante and ex post evaluation strategy:  5.1 機械と人間によるエラーとバイアスのリスクは、可能な限り軽減されるべきである。これは、事前及び事後の評価戦略によって行われる必要がある。
5.1.1 Ex ante evaluations: technology providers, and where it applies, technology integrators, should ensure biases and errors are mitigated to the greatest extent possible before the deployment of the system by law enforcement agencies. The level of performance across demographics and the design of the quality management system should be evaluated by an independent third party. This evaluation should be organized by the technology provider and the results made available to law enforcement agencies that procure FRT and to the public for review. Law enforcement agencies that procure FRT should require in their procurement criteria information about the specific metrics the provider uses to gauge bias and other relevant risks. Before deploying FRT systems, law enforcement agencies should set up pilot tests to ensure the system is operating as intended. 5.1.1 事前評価:技術提供者、および適用される場合は技術統合者は、法執行機関によるシステムの配備前に、偏りや誤りが可能な限り軽減されていることを確認する必要がある。人口統計学的なパフォーマンスレベルと品質管理システムの設計は、独立した第三者によって評価されるべきです。この評価は、技術提供者によって整理され、その結果は 顔認識技術 を調達する法執行機関および一般市民がレビューできるようにされるべきであ る。顔認識技術 を調達する法執行機関は、その調達基準の中で、プロバイダーが偏りや他の関連リスクを測 定するために使用する特定の指標に関する情報を要求すべきである。顔認識技術 システムを展開する前に、法執行機関はシステムが意図したとおりに動作していることを確認す るためにパイロットテストを設定するべきである。
To continually improve the quality of the processes and the system’s performance, law enforcement agencies, technology providers and technology integrators should establish an in-service support agreement throughout the entire life cycle of the system. プロセスの品質とシステムの性能を継続的に改善するために、法執行機関、技術プロバイダー、および技術インテグレーターは、システムの全ライフサイクルを通じて、インサービスサポート契約を確立すべきである。
6 Legitimacy of probe images and reference databases 6 プローブ画像および参照データベースの正当性
6.1  Law enforcement agencies should ensure that their processing of probe images and reference databases are compliant with international, regional and national laws and/or policies, which should include storage criteria, purpose limitation, retention period, deletion rules, etc.  6.1 法執行機関は、プローブ画像及び参照用データベースの処理が、保存基準、目的制限、保存期間、削除 規則等を含む国際、地域及び国内法及び/又は政策に準拠していることを確認する必要がある。
6.2  The collection of probe images should be conducted on a legal basis and aimed at a specific purpose.  6.2 プローブ画像の収集は、法的根拠に基づき、かつ、特定の目的に沿って実施されるものとする。
6.3  The reference database(s) used for FRT investigations should always have a legal basis and be used under the authorization of competent authorities. Consequently, reference databases that include data collected without legal basis from the internet, electronic devices or other sources should not be used. 6.3 顔認識技術 調査に使用される参照用データベースは、常に法的根拠を有し、所轄官庁の認可の下 で使用されるべきである。従って、インターネット、電子機器、その他の情報源から法的根拠なく収集された データを含む参照用データベースを使用すべきではない。
6.4  Probe images should not be inserted into the reference database by default. Probe images of unidentified subjects may be stored in a database for further investigation; however, such images should be appropriately labelled (e.g. as an unidentified suspect or unidentified victim) and the reasons for their insertion into the database detailed. Differently labelled categories of image can be stored on the same database but should be logically separated so that facial experts can, with requisite authorizations, independently search the specific categories. Additional care should be afforded to ensure that, if the underlying status justifying the insertion of the probe image into the database (e.g. as an unidentified suspect) changes, the image is removed from the database. 6.4 プローブ画像は、デフォルトで参照データベースに挿入されるべきではない。しかし、そのような画像には適切なラベル付けを行い(例:容疑者不明、被害者不明)、 データベースに挿入する理由を詳細に説明する必要がある。異なるラベルが付けられた画像カテゴリーを同一のデータベースに保存することは可能であるが、顔の専門家が必要な権限を持って、特定のカテゴリーを独立して検索できるように、論理的に分離されるべきである。また、プローブ画像のデータベースへの挿入を正当化する基本的な状態(例えば、未確認容疑者としての状態)が変化した場合、その画像がデータベースから削除されるように、さらなる注意を払う必要がある。
6.5  Exporting images and biometric metadata to public cloud-based FRT that could potentially be outside the local jurisdiction should be prohibited. 6.5 画像及び生体認証メタデータを、現地の管轄区域外にある可能性のあるパブリッククラウドベースの 顔認識技術 にエクスポートすることは、禁止されなければならない。
6.6  Law enforcement agencies should maintain a strict and transparent chain of custody of all images (probe image sets and reference databases) used for FRT. The law enforcement agency should specify, and enforce, clear and transparent rules designating who does and does not have access to the images, and under what circumstances. 6.6 法執行機関は、顔認識技術 に使用される全ての画像(プローブ画像セット及び参照データベース) の厳密かつ透明な保管の連鎖を維持しなければならない。法執行機関は、誰が画像にアクセスでき、できないか、また、どのような状況下でアクセス できるかを指定する明確かつ透明な規則を規定し、実施すべきである。
6.7  Law enforcement agencies should specify well-defined protocols for determining when, and on the basis of what criteria, images are to be deleted from a probe set or a reference database. The law enforcement agency should create, and adhere to, a well-defined and transparent protocol for the disposal of images that have been deleted from a probe set or reference database or are otherwise no longer needed; any such protocol should be designed to protect the privacy of any individuals appearing in the images identified for disposal. 6.7 法執行機関は、いつ、どのような基準に基づいて、プローブセットまたは参照データベースから 画像が削除されるべきかを決定するための、明確に定義されたプロトコルを規定するものとする。法執行機関は、プローブセットまたはレファレンスデータベースから削除された画像、またはその他の点 で不要となった画像を廃棄するための、明確に定義された透明性のあるプロトコルを作成し、これを遵守す べきである。そのようなプロトコルでは、廃棄が確認された画像に登場する個人のプライバシーを保護するよう 設計されなければならない。
6.8  For all solved cases or for cases where the investigation has been concluded, the biometric template of the probe image should be deleted from the FRT system and the original facial image stored for accountability purposes in line with existing national law and policies.  6.8 すべての解決された事件または捜査が終了した事件については、プローブ画像のバ イオメトリックテンプレートは 顔認識技術 システムから削除され、オリジナルの顔画像は既存の国内法および 政策に従って説明責任のために保管されなければならない。
7 Integrity of images and metadata 7 画像およびメタデータの完全性
7.1  Law enforcement agencies should establish standards and thresholds of image quality for reference database images in order to mitigate the risk of errors. Reference database images that do not meet the defined standards and image-quality thresholds should not be used.  7.1 法執行機関は、エラーのリスクを軽減するために、参照データベース画像に対する画質の 基準および閾値を設定する必要がある。定義された基準および画質の閾値を満たさない参照データベース画像は、使用されるべきではない。
7.2  Law enforcement agencies should also establish best practices to evaluate image quality for probe images. Before any search using an FRT system, the facial examiner should conduct a manual assessment of the image to ascertain if the probe image is of a high-enough quality to conduct a facial comparison. If the expert is unable to do so manually, the probe image should be rejected. Although a minimum number of pixels between the eyes is often recommended, care should be taken when using this as a threshold as it is often insufficient to confirm image quality.  7.2 法執行機関は、プローブ画像の画質を評価するためのベストプラクティスも確立すべきである。顔認識技術システムを使用した捜査の前に、顔面検査官は画像の手動評価を実施し、プローブ画像が顔面 比較を実施するのに十分な高品質であるかどうかを確認する必要がある。専門家が手動で評価できない場合、プローブ画像は拒否されるべきです。目と目の間の最小ピクセル数はしばしば推奨されていますが、画質の確認には不十分な場合が多いため、これを閾値として使用する場合は注意が必要です。
7.3  Standards for probe images and reference database images should be identified by each law enforcement agency, taking into account the strength of the algorithm, the results of internal testing of the FRT system, the nature of the use case and any recommendations from the technology provider regarding its specific system. Standards, such as International Civil Aviation Organization (ICAO) photo standards, may serve as guidance for assessing image quality of reference database images. Guidance on best practices for probe images and additional recommendations for reference database images could also be provided by groups such as the Facial Identification Scientific Working Group (FISWG), the European Network of Forensic Science Institutes Digital Imaging Working Group (ENFSIDIWG) and the INTERPOL Facial Experts Working Group (IFEWG).  7.3 プローブ画像および参照データベース画像の標準は、アルゴリズムの強度、顔認識技術 システムの内部テストの結果、ユースケースの性質、および特定のシステムに関する技術提供者からの推奨を考慮に入れて、各法執行機関によって特定されるべきであ る。国際民間航空機関(ICAO)写真規格などの規格は、参照データベース画像の画質評価のガイダンスと して機能することができる。また、顔識別科学作業部会(FISWG)、欧州法科学研究所デジタル画像作業部会(ENFSIDIWG)、インターポール顔専門家作業部会(IFEWG)などのグループにより、プローブ画像に関するベストプラクティスに関する指針や参照データベース画像に関する追加勧告が提供される可能性もある。
7.4  Law enforcement examiners should be aware of the risk of image manipulation, such as morphing and deepfakes, when images come from uncontrolled sources and/or production modes. When suspected, these images should be rejected or processed with extreme precaution. 7.4 法執行機関の検査官は、管理されていない情報源および/または製造方法から得られた画像に ついては、モーフィングやディープフェイクなどの画像操作の危険性を認識すべきである。疑われる場合、これらの画像は拒否されるか、または細心の注意を払って処理されるべ きである。
7.5  Forensic upgrading (e.g. contrast and brightness correction) should comply with existing published guidance or standards (such as by FISWG). 7.5 フォレンジック・アップグレード(例えばコントラストや明るさの補正)は、(FISWG によるような)既存の公表されたガイダンスや標準に準拠すべきである。
7.6  The use of tools for non-forensic upgrading (e.g. pose correction) should be used only during the FRT search phase. If non-forensic upgrading is carried out, the insertion or modification of facial features or geometry on an existing image should be performed with care in order to avoid distortion of the image.  7.6 非フォレンジック・アップグレード(例:姿勢補正)のためのツールの使用は、顔認識技術サーチの段階でのみ使用され るべきである。ノンフォレンジック・アップグレードが実施される場合、既存画像への顔の特徴や形状の 挿入・変更は、画像の歪みを避けるために慎重に実施されるべきである。
7.7  In case of a possible match, and to reach a final conclusion, forensic upgrading of face quality only should be accepted. For reporting purposes, the original image should be presented together with the description of forensic upgrading methods to ensure the auditability and reproducibility of the upgrading process.  7.7 一致の可能性がある場合、および最終的な結論を得るために、顔面画質のみのフォレンジック アップグレードを認めるべきである。報告目的のために、アップグレードプロセスの監査可能性と再現性を確保するため、原画像を フォレンジック・アップグレード方法の説明とともに提示するものとする。
7.8  While processing data, law enforcement agencies should always conduct a proper and verified attribution of identity to photos in the reference dataset, and verify the serial number of photos, their traceability and origin. 7.8 データ処理中、法執行機関は常に参照データセット中の写真への適切かつ検証された帰属を行 い、写真のシリアルナンバー、追跡可能性および出所を検証するべきである。
7.9  The integrity of the reference database should be evaluated regularly, in accordance with the applicable legal framework and best practices. 7.9 参照データベースの完全性は、適用される法的枠組み及びベストプラクティスに従って、 定期的に評価されなければならない。
7.10 Vulnerabilities to hacking and cyberattacks should be identified to ensure robustness and avoid data leaks and data manipulation.  7.10 堅牢性を確保し、データ漏洩やデータ操作を避けるため、ハッキングやサイバー攻撃に対する脆弱性が特定されるべ きである。
8 Skilled human interface and decision-making 8 熟練したヒューマンインターフェースと意思決定
8.1  FRT should be used only by trained persons who follow the procedures ordered through the chain  of command and/or by management.  8.1 顔認識技術は、指揮系統及び/又は経営陣によって命じられた手続きに従う訓練を受けた者のみが使用する ものとする。
8.2  Everybody within the organization, especially the chain of command/management, should understand the capacities and limits of the technology and system used. 8.2 組織内の全員、特に指揮系統/管理者は、使用される技術及びシステムの能力と限界を理解すること。
8.3 Law enforcement agencies that use or intend to use FRT should provide or facilitate training on an ongoing basis and should be informed by the latest research in machine learning and remote biometrics.  8.3 顔認識技術 を使用する、または使用しようとする法執行機関は、継続的に研修を提供または促進し、 機械学習および遠隔生体認証における最新の研究により情報を得るべきである。
8.4  The training (and certification when it applies) of facial experts, and those in the chain of command/ management, should include:  8.4 顔の専門家、および指揮命令系統/管理系統の者の訓練(および適用される場合は認証)には、以下が含まれ るべきである。
8.4.1 Knowledge of and updates of mandatory regulations, laws or policies concerning the use  of biometrics.  8.4.1 生体認証の使用に関する強制的な規制、法律又は政策の知識及びその更新。
8.4.2 Awareness of the risk of biases by the FRT system (anticipation of false positives and false negatives, awareness of differences in performance on various demographics, knowing how to calibrate and adjust the threshold of the system, understanding how to configure the system in the manner appropriate to the specific circumstances and risks of a given use case, and how to fix the length of the candidate lists).  8.4.2 顔認識技術 システムによる偏りのリスクについての認識(偽陽性と偽陰性の予測、様々な人口統計学的パフォーマ ンスの違いについての認識、システムの閾値を校正・調整する方法、与えられたユースケースの特定の状況 とリスクに適した方法でシステムを構成する方法の理解、及び候補リストの長さを修正する方法) 8.4.2 生体認証システムによる偏りのリスクについての認識。
8.4.3 Understanding of the risk of biases by the human agent (overestimation of own capability, risk of over-reliance on technology, blind spots, risk of human bias such as other-race-effect bias).  8.4.3 ヒューマンエージェントによるバイアスのリスクの理解(自身の能力の過大評価、技術への過度の依存のリスク、盲点、他民族効果バイアスなどのヒューマンバイアスのリスク)。
8.4.4 Awareness of the risk of false positives from twins, siblings and other related individuals. 8.4.4 双子、兄弟姉妹、その他の近親者による偽陽性のリスクへの認識。
8.4.5 Awareness of the risk of image manipulation, including data integrity attacks and data morphs, and, when available, the tools to identify them.  8.4.5 データ整合性攻撃やデータモーフを含む画像操作のリスクと、利用可能な場合はそれらを特定する ためのツールについての認識。
8.4.6 How to implement risk-mitigation methodologies (one match vs. differential diagnosis approach, blinding techniques, blind verifications, etc.). 8.4.6 リスク軽減のための方法論(1つの一致と鑑別診断のアプローチ、盲検法、盲検検証など)を 実施する方法。
8.4.7 Understanding of the nature of an investigative lead as the outputs of an FRT search and best practices for verifying the identity of leads generated. 8.4.7 顔認識技術 検索のアウトプットとしての捜査の手がかりの性質、および生成された手がかりの同一性を 検証するためのベストプラクティスを理解する。
8.4.8 Instruction in data governance procedures, including the collection, storage, integrity and traceability of data. 8.4.8 データの収集、保存、完全性、トレーサビリティを含む、データガバナンス手順に関する教示。
8.4.9 How to use tools, when available, that assist examiners in understanding the reasoning behind systems’ decisions/recommendations. 8.4.9 審査官がシステムの決定/勧告の背後にある理由を理解することを支援する、利用可能な場合、ツ ールの使用方法。
8.5  Recognizing that innate capability to recognize faces exists on a spectrum, examiners should be recruited by factoring in performance on face comparison tests, acknowledging that experience and training also matter. 8.5 顔の認識には生得的な能力があることを認識し、審査員は経験と訓練も重要であることを認識した上で、顔の比較テストの成績を考慮して採用されるべきである。
9 Transparency 9 透明性
9.1  Information about the use of FRT by law enforcement agencies should be available to the public. This information should be made available on a permanent basis or on request, and communicated by the appropriate official authorities, be it the law enforcement agency itself or another government entity.  9.1 法執行機関による 顔認識技術 の使用に関する情報は、一般に入手可能であるべきである。この情報は、恒久的にまたは要求に応じて利用可能とされ、法執行機関自体または他の政府機関である適切な公的機関によって伝達されるべきである。
9.2  Law enforcement agencies, or the most appropriate other official authority – with input from the law enforcement agency – should, in line with the applicable laws and policies, make public: 9.2 法執行機関、または最も適切な他の公的機関-法執行機関からの情報とともに-は、適用される法律および政策に沿って、公表すべきである。
9.2.1 A clear definition of the use of FRT for law enforcement investigations, specifying the purpose and objectives, such as to identify criminals/fugitives, persons of interest, missing persons and victims.  9.2.1 犯罪者/逃亡者、参考人、行方不明者及び被害者の特定など、目的と目標を特定した、法執行 調査のための 顔認識技術 使用の明確な定義。
9.2.2 The vendor selected (if applicable) and the name and version of the software.  9.2.2 選択したベンダー(該当する場合)、およびソフトウェアの名称とバージョン。
9.2.3 How they use probe images: procedures and criteria to select, store/not store images and, if stored, for how long.  9.2.3 調査画像の使用方法:画像を選択する手順と基準、保存する/しない、保存する場合はどのくらいの期間保存 するか。
9.2.4 How they use the reference database: procedures to consult the database, criteria to select, store/not store probe images in this reference database and, if stored, for how long; as well as details about whether this database can be used to train or refine other FRT systems or machine learning models in general. 9.2.4 参照データベースの使用方法:データベースを参照する手順、この参照データベースにプローブ 画像を選択する基準、保存する/しない、保存する場合はその期間、またこのデータベースが他の 顔認識技術 システムや機械学習モデル一般の訓練や改良に使用できるかどうかに関する詳細。
9.2.5 The policy regarding the type of data that may be shared with other organizations, including personal data and databases of face images.  9.2.5 個人データや顔画像のデータベースなど、他の組織と共有することができるデータの種類に関する方針。
9.2.6 The name of law enforcement departments or units able to launch searches and view the results of searches.  9.2.6 検索を開始し、検索結果を閲覧することができる法執行部門またはユニットの名称。
9.2.7 The functional title, type of expertise and level of training of individuals using the system. 9.2.7 システムを使用する個人の職務上の肩書き、専門知識の種類、及び訓練レベル。
9.2.8 The process to determine a possible match, namely blind-review or peer-review of possible matches.  9.2.8 一致の可能性を判断するためのプロセス、すなわち一致の可能性のブラインドレビューまたはピアレビュー。
9.2.9 Information about the mechanisms in place (see Principle 1.5) to ensure FRT is used as intended. 9.2.9 顔認識技術 が意図されたとおりに使用されていることを確認するために設置された機構(原則 1.5 参照) に関する情報。
9.2.10 Auditable records of search requests made by law enforcement agencies, such as the number of requests, the number of investigative leads generated and the type of crimes related to these requests.  9.2.10 法執行機関による検索要求の監査可能な記録(要求数、生成された捜査の手がかりの数、およびこれらの要求に関連する犯罪の種類など)。
9.2.11 The results of audits and/or evaluations of the performance of the FRT system conducted by the vendor of the technology and/or by the law enforcement agency. This should include a description of: the design of the evaluation; the data used in the evaluation; and the results (metrics) obtained. 9.2.11 技術のベンダーおよび/または法執行機関によって実施された、顔認識技術システムの性能の監査および/または評価の結果。これは、評価の設計、評価で使用されたデータ、および得られた結果(測定基準)の説明を含むべきであ る。
9.2.12 Information about how an individual can contact the law enforcement agency to submit  a query or complaint concerning its use of FRT. 9.2.12 顔認識技術 の使用に関する質問または苦情を提出するために、個人が法執行機関に連絡する方法 についての情報。
9.2.13 A record of complaints filed by members of the public against the use of the FRT and the law enforcement agency’s response of those formal complaints. 9.2.13 顔認識技術 の使用に対して一般市民が提出した苦情、及びそれらの正式な苦情に対する法執行機関の対応の記録。
9.2.14 Any other information that can be publicly shared without compromising law enforcement investigations and that may be relevant for the public. 9.2.14 法執行機関の調査を損なうことなく公に共有することができ、かつ公衆に関連する可能性のあるその他一切の情報。
9.3  Information made available to the public should be concise, easily accessible, understandable and provided in clear and plain language. Exceptions to this should be permitted only if they are necessary and proportionate to pursue legitimate purposes and in accordance with the law.  9.3 一般に公開される情報は、簡潔で、容易にアクセスでき、理解でき、明確で平易な言葉で提供されるべきである。これに対する例外は、合法的な目的を追求するために必要かつ適切であり、法律に従っている場合にのみ許可されなければならない。

 

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

昨年の報告書

・2021.10.17 インターポール、国連地域間犯罪司法研究所、オランダ警察、世界経済会議が「顔認証を責任もって制限するためのポリシーフレームワーク ユースケース:法執行機関の捜査」 at 2021.10.05

 

顔認識

・2022.11.01 第44回 世界プライバシー会議 顔認識に関する決議

・2022.10.07 米国 科学技術政策局 AI権利章典の青写真

・2022.10.03 米国 2022年顔認識法案

・2022.07.12 米国 国土安全保障省検査局 米国税関・国境警備局は空港での国際線旅行者の識別のために顔認識のポリシーを遵守している (2022.07.07)

・2022.05.30 英国 情報コミッショナー 顔認識データベース会社Clearview AI Incに750万ポンド以上の罰金を科し、英国人のデータの削除を命じた

・2022.05.20 欧州データ保護委員会 (EDPB) 意見募集「法執行分野における顔認識技術の使用に関するガイドライン」

・2022.05.15 カナダ プライバシーコミッショナー室 プライバシーに関する戦略的優先事項とそこから生まれたテーマと見解

・2022.04.30 米国 GAO ブログ 人工知能は国家安全保障をどう変えるか (2022.04.19)

・2022.01.21 ENISA デジタル・アイデンティティ攻撃に注意:あなたの顔が偽装される可能性があります

・2021.12.25 個人情報保護委員会 犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会の設置

・2021.10.17 インターポール、国連地域間犯罪司法研究所、オランダ警察、世界経済会議が「顔認証を責任もって制限するためのポリシーフレームワーク ユースケース:法執行機関の捜査」 at 2021.10.05

・2021.09.29 世界経済フォーラム (WEF) 技術の責任ある利用:IBMをケースにした研究

・2021.09.27 欧州委員会 職場での電子モニタリングと監視 (Electronic Monitoring and Surveillance in the Workplace)

・2021.09.10 EU議会 提言 バイオメトリクス認識と行動検知

・2021.08.28 中国 意見募集 国家サイバースペース管理局 「インターネット情報サービスのアルゴリズムによる推奨に関する管理規定」

・2021.08.27 米国 GAO 顔認識技術:連邦政府機関による現在および計画中の使用方法

・2021.08.20 英国 意見募集 監視カメラ実施規範改訂案 by 監視カメラコミッショナー at 2021.08.13

・2021.08.11 EU議会 STUDY バイオメトリクス認識と行動検知

・2021.08.10 EU議会 STUDY ヨーロッパの政策におけるディープフェイクへの取り組み at 2021.07.30

・2021.08.08 EU議会 BRIEFING スマートシティとアーバンモビリティにおける人工知能 at 2021.07.23

・2021.08.07 総務省 AIネットワーク社会推進会議 「報告書2021」の公表

・2021.08.07 Atlantic Council AIとデータ倫理におけるコミットメントからコンテンツへの移行:正義と説明可能性

・2021.08.04 中国 通信院 信頼できる人工知能についての白書 at 2021.07.09

・2021.08.03 中国 最高人民法院 「民事案件における顔識別技術の使用に関する司法解釈」

・2021.07.15 米国GAO 顔認識技術について連邦法執行機関はプライバシーやその他のリスクをより適切に評価する必要がある at 2021.06.03

・2021.07.12 ニューヨーク市 生体情報プライバシー条例が2021.07.09から施行されましたね。。。

・2021.06.30 WHO 保健のための人工知能の倫理とガバナンス

・2021.06.28 EU 外交政策ツールとしての人工知能ガバナンス

・2021.06.23 欧州 EDPBとEDPS 公共の場における人の特徴を自動認識するためのAIの使用、および不当な差別につながる可能性のあるその他のAIの使用の一部を禁止するよう要請

・2021.06.22 欧州保険職業年金局 (EIOPA) 欧州保険セクターにおける倫理的で信頼できるAIガバナンス原則に関するレポートを公表

・2021.06.20 英国 情報コミッショナー 公共の場でのライブ顔認識技術の使用に関するプライバシーの懸念

・2021.06.17 米国上院・下院 顔認識ツールを含む生体情報監視を政府が使用することを禁止する「顔認識および生体認識技術モラトリアム法案」

・2021.06.17 英国政府:データ倫理とイノベーションセンター プライバシーに関するユーザの積極的選択中間報告(スマートフォン)

・2021.06.08 U.S. の公益団体であるEPICが顔認識技術および遠隔生体認識技術の使用禁止を世界的に呼びかけていますね。。。

・2021.05.12 カナダのプライバシーコミッショナーが顔認識技術について議会で見解を述べたようですね。。。

・2021.05.07 ドイツ連邦情報セキュリティ局 (BSI) が「監査可能なAIシステムを目指して - 現状と今後の展望」を公表しています

・2021.05.03 中国 意見募集 顔認識に続けて、歩行認識、音声認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。

・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね

・2021.04.22 ドイツ連邦情報セキュリティ局 (BSI) が安全なAI導入のための対策をまとめていますね。。。

・2021.04.21 U.S. FTC(連邦取引委員会) のブログ 会社でAIを活用する場合は真実、公正、公平を目指そう、という記事がありますね。。。

・2021.03.14 CNIL 乗客のマスク着用率を測定するためのインテリジェントビデオの使用に関する法令についての意見を公表

・2021.02.05 カナダのプライバシーコミッショナーが顔認識ソフトウェアを提供するClearview AIについての声明を出していますね。。。

・2021.01.30 欧州評議会 108号条約委員会が「顔認証に関するガイドライン」を採択しましたね。。。

・2021.01.12 欧州委員会 市民イニシアティブとして「生体認証による大量監視慣行の禁止」を登録

・2021.01.04 ニューヨーク州 知事が学校での顔認識技術の使用を一時停止し、研究を指示する法律に署名 at 2020.12.22

・2020.11.04 カナダプライバシー委員会 Cadillac Fairview社が500万人の顔データを取得していたことに関する報告書(2020.10.28)

・2020.06.26 人間が間違うなら、人間を模倣したAIも間違うんでしょうね。。。

・2020.06.14 IBM, Amazon, Microsoftは顔認証システムを米国の警察には販売しない

・2020.05.01 (人工知能 AI)ブラックボックスの検証:アルゴリズムシステムを評価するためのツール - アルゴリズムの監査・影響評価のための共通言語の特定

・2020.03.26 JVNVU#99619336 勾配降下法を使用する機械学習モデルに、誤った識別をさせるような入力を作成することが可能な問題

・2020.03.04 FIRST EVER DECISION OF A FRENCH COURT APPLYING GDPR TO FACIAL RECOGNITION

・2020.02.17 遠くからでもわかる顔認識システム!

ぐっと遡って、2000年代

・2009.11.07 世界プライバシー宣言(Global Privacy Standards for a Global World)

・2005.08.11 外務省 IC旅券調査研究報告書

・2005.02.04 監視社会と信頼関係



| | Comments (0)

経済産業省 第1回 産業サイバーセキュリティ研究会 ワーキンググループ3 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会

こんにちは、丸山満彦です。

経済産業省で、第1回 産業サイバーセキュリティ研究会 ワーキンググループ3 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会が開催されたようですね。。。

IoT機器等のセキュリティ認証については、EU(ドイツ、フィンランド)、シンガポールで始まり、米国でもNISTを中心に検討が進んでいますね。。。

このタイミングでは、認証を受ける事業者のメリットを考え、国際的な枠組みと同じにしておくことが重要かと思います(最低でも相互認証を前提とした制度にするイメージ)。日本独自色を出したいのであれば、国際的な枠組みの中で、それを提案していく感じです。

ちょうど、ISO\IEC 27000シリーズがそのようになったように思います。。。

あれが、経済産業の安全対策事業者認定制度を廃止し、民間の認証制度に変えようということで、私も初期メンバーとして制度づくりから考えました。当初は、独自色を出したい人も多かったのですが、当時英国が国際基準化を目論んでいたBS7799と同じ内容(それでも当初は、一部日本独自色を出しましたが。。。)にして、BS7799が国際基準になったタイミングで、JIS化をし、日本でも普及しましたよね。。。で、普及したので、日本から多くのメンバーがSC27のメンバーになり、ISO/IEC 27000シリーズの開発、改訂に関わっていますよね。。。

認証制度のポイントは、

・クライテリア(適合するための基準)

・評価基準(評価者の力量、評価方法、評価結果の報告等)

という静的な部分と、

・評価者(認証機関、監査会社)の管理の仕組み(認定機関を含むスキーム)

ということになると思います。2002年に経済産業の情報セキュリティ監査制度を作る時に検討しましたが。。。

 

● 経済産業省- 審議会・研究会 - ものづくり/情報/流通・サービス - 産業サイバーセキュリティ研究会 - ワーキンググループ3(サイバーセキュリティビジネス化) - ワーキンググループ3(IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会)

・2022.11.01 第1回 産業サイバーセキュリティ研究会 ワーキンググループ3 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会

 


 

ドイツのセキュリティ製品の認証

● まるちゃんの情報セキュリティきまぐれ日記

・2022.10.31 ドイツ シンガポール 消費者向けIoT製品のサイバーセキュリティ・ラベルの相互承認 (2022.10.20)

・2022.05.09 ドイツ ITセキュリティラベル for 消費者向けスマート製品

・2022.02.03 ドイツ BSI Mail.deの電子メールサービスにITセキュリティラベルを付与

・2021.07.18 独国 BSIがITセキュリティラベルについてのウェブページを公開していますね。。。

 

米国のサイバーセキュリティラベル

・2022.06.19 NISTIR 8425 (ドラフト) 消費者向けIoT製品のIoTコアベースラインのプロファイル

・2022.05.19 NIST IoTセキュリティ関連の文書についてNISTのブログで簡単に説明されていますね。。。

・2022.02.07 NIST ホワイトペーパー :消費者向けソフトウェアのサイバーセキュリティラベルの推奨規準

・2022.02.06 NIST ホワイトペーパー :消費者向けIoT製品のサイバーセキュリティラベルの推奨規準

・2021.11.04 NIST 消費者向けソフトウェアのサイバーセキュリティに関するラベリングについての意見募集

 

| | Comments (0)

2022.11.03

米国 国土安全保障省 (DHS) 重要インフラのための新たなサイバーセキュリティ・パフォーマンス目標 (2022.10.27)

こんにちは、丸山満彦です。

米国の国土安全保障省 (DHS) が、重要インフラのための新たなサイバーセキュリティ・パフォーマンス目標を公表していますね。。。

 

・2022.10.27 DHS Announces New Cybersecurity Performance Goals for Critical Infrastructure  

DHS Announces New Cybersecurity Performance Goals for Critical Infrastructure   DHS、重要インフラのための新たなサイバーセキュリティ・パフォーマンス目標を発表  
WASHINGTON – Today, the Department of Homeland Security released the Cybersecurity Performance Goals (CPGs), voluntary practices that outline the highest-priority baseline measures businesses and critical infrastructure owners of all sizes can take to protect themselves against cyber threats. The CPGs were developed by DHS, through the Cybersecurity and Infrastructure Security Agency (CISA), at the direction of the White House. Over the past year, CISA worked with hundreds of public and private sector partners and analyzed years of data to identify the key challenges that leave our nation at unacceptable risk. By clearly outlining measurable goals based on easily understandable criteria such as cost, complexity, and impact, the CPGs were designed to be applicable to organizations of all sizes. This effort is part of the Biden-Harris Administration’s ongoing work to ensure the security of the critical infrastructure and reduce our escalating national cyber risk.  国土安全保障省は本日、サイバーセキュリティ・パフォーマンス目標(CPG)を発表した。これは、あらゆる規模の企業や重要インフラの所有者が、サイバー脅威から身を守るために取るべき最優先の基本対策の概要を示す自主的な取り組みである。サイバーセキュリティ・パフォーマンス目標は、ホワイトハウスの指示のもと、DHSがサイバーセキュリティ・インフラセキュリティ局(CISA)を通じて策定した。 過去1年間、CISAは何百もの官民のパートナーと協力し、何年にもわたるデータを分析して、我が国を許容できないリスクにさらしている主要な課題を特定した。サイバーセキュリティ・パフォーマンス目標 は、コスト、複雑性、影響度など、理解しやすい基準に基づいて測定可能な目標を明確に示すことで、あらゆる規模の組織に適用できるように設計されている。この取り組みは、バイデン-ハリス政権が重要インフラのセキュリティを確保し、深刻化する国家的サイバーリスクを軽減するために継続して行っている取り組みの一部である。 
“Organizations across the country increasingly understand that cybersecurity risk is not only a fundamental business challenge but also presents a threat to our national security and economic prosperity,” said Secretary of Homeland Security Alejandro N. Mayorkas. “The new Cybersecurity Performance Goals will help organizations decide how to leverage their cybersecurity investments with confidence that the measures they take will make a material impact on protecting their business and safeguarding our country.”  国土安全保障省のアレハンドロ・マヨルカス長官は、次のように述べている。「全米の組織は、サイバーセキュリティのリスクが基本的なビジネス上の課題であるだけでなく、国家の安全保障と経済の繁栄に対する脅威であることをますます理解している。新しいサイバーセキュリティ・パフォーマンス目標は、組織がサイバーセキュリティへの投資をどのように活用するかを決定する際に、その対策がビジネスの保護と我が国の安全保障に重要な影響を与えるという確信を持って役立つだろう。」 
CISA developed the CPGs in close partnership with organizations across government and the private sector. The resulting CPGs are intended to be implemented in concert with the NIST Cybersecurity Framework. The CPGs prescribe an abridged subset of actions to help organizations prioritize their security investments. CISAは、政府および民間セクターの組織と緊密に連携してサイバーセキュリティ・パフォーマンス目標を開発した。その結果、サイバーセキュリティ・パフォーマンス目標はNISTサイバーセキュリティフレームワークと連動して実施されることを意図している。サイバーセキュリティ・パフォーマンス目標は、組織がセキュリティへの投資に優先順位をつけるのに役立つアクションを簡略化して規定している。
“To reduce risk to the infrastructure and supply chains that Americans rely on every day, we must have a set of baseline cybersecurity goals that are consistent across all critical infrastructure sectors,” said CISA Director Jen Easterly. “CISA has created such a set of cybersecurity performance goals to address medium-to-high impact cybersecurity risks to our critical infrastructure. For months, we’ve been gathering input from our partners across the public and private sectors to put together a set of concrete actions that critical infrastructure owners can take to drive down risk to their systems, networks and data. We look forward to seeing these goals implemented over the coming years and to receiving additional feedback on how we can improve future versions to most effectively reduce cybersecurity risk to our country.”  CISAのディレクターであるJen Easterlyは、次のように述べている。「米国人が毎日依存しているインフラとサプライチェーンのリスクを低減するために、すべての重要インフラ部門に一貫したサイバーセキュリティの基本目標を設定する必要がある。CISAは、重要インフラに対する中~高レベルのサイバーセキュリティリスクに対処するために、このような一連のサイバーセキュリティ性能目標を作成した。CISAは、重要インフラのシステム、ネットワーク、データに対するリスクを低減するために、重要インフラの所有者が取ることのできる一連の具体的な行動をまとめるために、数カ月間、官民にわたるパートナーから意見を集めてきた。私たちは、これらの目標が今後数年にわたって実施されることを楽しみにしている。また、我が国のサイバーセキュリティのリスクを最も効果的に低減するために、今後のバージョンをどのように改善すべきかについて、さらなるご意見をいただくことを期待している。」 
“The Biden-Harris Administration has relentlessly focused on securing our Nation’s critical infrastructure since day one,” said Deputy National Security Advisor for Cyber and Emerging Technologies Anne Neuberger. “CISA has demonstrated tremendous leadership in strengthening our critical infrastructure’s cyber resilience over the last year. The Cyber Performance Goals build on these efforts, by setting a higher cybersecurity standard for sectors to meet.”  アン・ノイベルガー国家安全保障副顧問(サイバー・先端技術担当)は次のように述べている。「バイデン=ハリス政権は、初日から国家の重要インフラの安全確保に執拗なまでに注力してきた。CISAは昨年、重要インフラのサイバー耐性を強化する上で、非常に大きなリーダーシップを発揮した。サイバーパフォーマンスゴールは、これらの努力に基づき、各セクターが満たすべきサイバーセキュリティの基準をより高く設定するものである。」
“Given the myriad serious cybersecurity risks our nation faces, NIST looks forward to continuing to work with industry and government organizations to help them achieve these performance goals,” said Under Secretary of Commerce for Standards and Technology and NIST Director Laurie E. Locascio. “Our priority remains bringing together the right stakeholders to further develop standards, guidelines and practices to help manage and reduce cybersecurity risk.”  標準技術担当商務次官兼NIST長官のローリー・E・ロカシオは、次のように述べている。「我が国が直面している無数の深刻なサイバーセキュリティリスクを考えると、NISTは産業界や政府組織と引き続き協力し、これらのパフォーマンス目標の達成を支援したいと考えている。 私たちの優先事項は、適切なステークホルダーを集め、サイバーセキュリティのリスクを管理・軽減するための標準、ガイドライン、プラクティスをさらに発展させることである。」 
In the months ahead, CISA will actively seek feedback on the CPGs from partners across the critical infrastructure community and has established a Discussions webpage to receive this input. CISA will also begin working directly with individual critical infrastructure sectors as it builds out sector-specific CPGs in the coming months.  今後数ヶ月の間に、CISAは重要インフラストラクチャ・コミュニティ全体のパートナーからサイバーセキュリティ・パフォーマンス目標に関するフィードバックを積極的に求め、この意見を受け取るためにDiscussionsウェブページを立ち上げた。また、CISAは、今後数カ月の間にセクター別のサイバーセキュリティ・パフォーマンス目標を構築する際に、個々の重要インフラセクターと直接作業を開始する予定である。 

 

CROSS-SECTOR CYBERSECURITY PERFORMANCE GOALS

CROSS-SECTOR CYBERSECURITY PERFORMANCE GOALS セクター横断的なサイバーセキュリティのパフォーマンス目標
In July 2021, President Biden signed a National Security Memorandum on Improving Cybersecurity for Critical Infrastructure Control Systems. This memorandum required CISA, in coordination with the National Institute of Standards and Technology (NIST) and the interagency community, to develop baseline cybersecurity performance goals that are consistent across all critical infrastructure sectors. These voluntary cross-sector Cybersecurity Performance Goals (CPGs) are intended to help establish a common set of fundamental cybersecurity practices for critical infrastructure, and especially help small- and medium-sized organizations kickstart their cybersecurity efforts.   2021年7月、バイデン大統領は、重要インフラ制御システムのためのサイバーセキュリティの改善に関する国家安全保障覚書に署名した。 この覚書は、CISAが国立標準技術研究所(NIST)および省庁間コミュニティと連携して、すべての重要インフラ部門に一貫性のあるサイバーセキュリティ性能の基本目標を策定することを要求している。これらの任意のセクター横断的なサイバーセキュリティ性能目標 (サイバーセキュリティ・パフォーマンス目標) は、重要インフラのための基本的なサイバーセキュリティの実践の共通セットを確立し、特に中小規模の組織がサイバーセキュリティの取り組みを開始するのを支援することを目的としている。  
The CPGs are a prioritized subset of IT and operational technology (OT) cybersecurity practices that critical infrastructure owners and operators can implement to meaningfully reduce the likelihood and impact of known risks and adversary techniques. The goals were informed by existing cybersecurity frameworks and guidance, as well as the real-world threats and adversary tactics, techniques, and procedures (TTPs) observed by CISA and its government and industry partners. By implementing these goals, owners and operators will not only reduce risks to critical infrastructure operations, but also to the American people.    サイバーセキュリティ・パフォーマンス目標は、重要インフラの所有者と運用者が、既知のリスクと敵対者の技術の可能性と影響を有意に低減するために実施できるITと運用技術(OT)のサイバーセキュリティ対策の優先順位を定めたサブセットである。この目標は、既存のサイバーセキュリティのフレームワークとガイダンス、およびCISAとその政府・産業界のパートナーが観察した現実の脅威と敵の戦術、技術、手順(TTPs)から情報を得ている。これらの目標を実施することで、所有者と運用者は、重要インフラの運用に対するリスクだけでなく、米国民に対するリスクも減らすことができる。   
The CPGs are intended to be: サイバーセキュリティ・パフォーマンス目標は、以下を意図している。
・A baseline set of cybersecurity practices broadly applicable across critical infrastructure with known risk-reduction value.   ・重要インフラに広く適用され、リスク低減の価値が知られているサイバーセキュリティの基本的な実践例。  
・A benchmark for critical infrastructure operators to measure and improve their cybersecurity maturity.   ・重要インフラの運用者が、サイバーセキュリティの成熟度を測定し、改善するためのベンチマーク。  
・A combination of recommended practices for IT and OT owners, including a prioritized set of security practices.   ・IT および OT 所有者のための推奨プラクティスの組み合わせであり、優先順位付けされたセキュリティプラクティス一式を含む。  
・Unique from other control frameworks as they consider not only the practices that address risk to individual entities, but also the aggregate risk to the nation.   ・他のコントロールフレームワークとは異なり、個々の事業体のリスクに対応するプラクティスだけでなく、国家に対するリスクの総和も考慮されている。  
The CPGs are:  サイバーセキュリティ・パフォーマンス目標は 
Voluntary: The National Security Memorandum does not create new authorities that compel owners and operators to adopt the CPGs or provide any reporting regarding or related to the CPGs to any government agency.   自主的なもの:国家安全保障に関する覚書は、所有者や運営者にサイバーセキュリティ・パフォーマンス目標の採用や、サイバーセキュリティ・パフォーマンス目標に関するいかなる政府機関への報告も強制するような新たな権限を与えるものではない。  
Not Comprehensive. They do not identify all the cybersecurity practices needed to protect national and economic security and public health and safety. They capture a core set of cybersecurity practices with known risk-reduction value broadly applicable across sectors.     包括的でない:国家と経済の安全保障、公衆の健康と安全を守るために必要なすべてのサイバーセキュリティの実践を特定するものではない。このガイドラインは、セクターを問わず広く適用できる、リスク低減の価値が知られているサイバーセキュリティの中核的な実践を対象としている。    
As directed by President Biden’s NSM, the CPGs are intended to supplement the National Institute of Standards and Technology's (NIST) Cybersecurity Framework (CSF) for organizations seeking assistance in prioritizing investment toward a limited number of high-impact security outcomes, whether due to gaps in expertise, resources, or capabilities or to enable focused improvements across suppliers, vendors, business partners, or customers.      バイデン大統領の NSM による指示の通り、サイバーセキュリティ・パフォーマンス目標 は、専門知識、リソース、能力の格差のため、あるいはサプライヤー、ベンダー、ビジネスパートナー、顧客の間で重点的に改善を行うため、影響力の大きい限られた数のセキュリティ成果への投資を優先させる支援を求める組織が、米国標準技術局(NIST)のサイバーセキュリティ フレームワーク(CSF)を補完できるように意図されている。     
In an effort to accelerate adoption of essential actions to improve cybersecurity across the nation’s critical infrastructure providers, the CPGs recommend an abridged subset of actions – a kind of “QuickStart guide” – for the NIST CSF. NIST’s CSF enables organizations to develop a comprehensive, risk-based cybersecurity program and enumerates a holistic set of categorized actions that can be taken to reduce an organization’s cyber risk and quickly respond to and recover from incidents. While the CPGs are mapped to corresponding subcategories in the NIST CSF, CISA still recommends that organizations use NIST CSF to design and mature a comprehensive cybersecurity program.     サイバーセキュリティ・パフォーマンス目標 は、国内の重要インフラ事業者全体でサイバーセキュリティを向上させるために不可欠なアクションの採用を促進するため、NIST CSF のアクションの要約サブセット(一種の「クイックスタート・ガイド」)を推奨している。NIST の CSF は、組織がリスクに基づいた包括的なサイバーセキュリティプログラムを開発することを可能にし、組織のサイバーリスクを低減し、インシデントへの対応と復旧を迅速に行うために実行可能な分類されたアクションを全体的に列挙している。 サイバーセキュリティ・パフォーマンス目標は、NIST CSFの対応するサブカテゴリにマッピングされているが、CISAは、組織が包括的なサイバーセキュリティプログラムを設計し成熟させるためにNIST CSFを使用することを依然として推奨している。    
Full background on the CPGs, their formation, the model, relation to existing standards, and how they should be used is fully outlined in the document. サイバーセキュリティ・パフォーマンス目標の背景、形成、モデル、既存の標準との関係、およびサイバーセキュリティ・パフォーマンス目標の使用方法については、この文書で完全に説明されている。
Quick Links クイックリンク
Cross-Sector Common Baseline Cybersecurity Performance Goals (CPGs) セクター横断共通ベースライン・サイバーセキュリティ・パフォーマンス目標(CPGs)
This is the core document, providing a select list of attestable goals to reduce cyberthreat to your organization. これは中核となる文書で、組織のサイバー脅威を軽減するための証明可能な目標の選択リストを提供する。
CPGs Checklist サイバーセキュリティ・パフォーマンス目標s チェックリスト
This document is to be used in tandem with the CPGs to help prioritize and track your organization’s implementation. この文書は、サイバーセキュリティ・パフォーマンス目標s と一緒に使用して、組織の実装の優先順位付けと追跡に役立てるためのものである。
Complete CPGs Matrix/Spreadsheet サイバーセキュリティ・パフォーマンス目標マトリックス/スプレッドシート
This is the master source document for the CPGs, including all reference information and resource links. これはサイバーセキュリティ・パフォーマンス目標のマスターソースで、すべての参考情報とリソースリンクを含んでいる。
GitHub Discussion Page GitHubディスカッションページ
This virtual forum has been established by CISA to discuss and collaborate on community-proposed additions, changes, and other considerations for future versions of the CPGs. この仮想フォーラムは、コミュニティが提案するサイバーセキュリティ・パフォーマンス目標の将来のバージョンへの追加、変更、その他の検討事項について議論し、協力するためにCISAによって設立された。
Additional Information 追加情報
Frequently Asked Questions よくある質問
Q: HOW ARE THESE CYBERSECURITY PERFORMANCE GOALS (CPGs) DIFFERENT THAN THOSE SEEN PREVIOUSLY? Q: 今回のサイバーセキュリティ業績目標(サイバーセキュリティ・パフォーマンス目標s)は、これまでのものとどう違うのであるか?
A. These Cyber Performance Goals (CPGs) are different than previous guidance for several reasons. First, the CPGs provide a succinct set of high-priority security outcomes and recommended actions applicable to IT and OT environments. In this way, the CPGs enable organizations to undertake prioritized and targeted investment to address the most significant cybersecurity risks. Second, the CPGs are accompanied by Checklist that allow organizations to prioritize their utilization of each goal based upon cost, complexity, and impact, making the CPGs uniquely useful for organizations with limited resources. Finally, the CPGs will be regularly refreshed and updated, allowing them to be used as a continuously effective resource to drive prioritized investments against the most significant threats and critical risks. A. このサイバーパフォーマンス目標(CPGs)は、いくつかの理由で以前のガイダンスと異なっている。まず、サイバーセキュリティ・パフォーマンス目標は、ITおよびOT環境に適用できる優先度の高いセキュリティ上の成果と推奨される行動を簡潔に示している。このように、サイバーセキュリティ・パフォーマンス目標は、組織が最も重大なサイバーセキュリティリスクに対処するために、優先順位をつけ、対象を絞った投資を行うことを可能にする。第二に、サイバーセキュリティ・パフォーマンス目標にはチェックリストが付属しており、コスト、複雑さ、影響に基づいて各目標の活用に優先順位をつけることができるため、サイバーセキュリティ・パフォーマンス目標はリソースが限られた組織にとって非常に有用なものとなっている。最後に、サイバーセキュリティ・パフォーマンス目標は定期的に更新され、最も重要な脅威や重大なリスクに対して優先的に投資を行うための効果的なリソースとして継続的に利用することができる。
Q: HOW DID CISA TAKE INPUT FROM INDUSTRY AS IT DEVELOPED THESE GOALS Q: これらの目標を策定する際、CISAは産業界からどのような意見を取り入れたのか。
A. CISA developed the Cybersecurity Performance Goals based on extensive feedback from partners with the goal of creating a final product that reflects input from a wide range of groups including federal agencies, the private sector, and international partners. We achieved this goal via written comments, workshops, listening sessions, and focused discussions with experts across a variety of disciplines. The feedback we have received throughout this process has been invaluable, which is why we will maintain an open request for input as organizations begin to use the CPGs in practice and as we build out cybersecurity goals specific to individual critical infrastructure sectors in the coming months. A. CISAは、連邦政府機関、民間企業、国際的なパートナーを含む幅広いグループからの意見を反映した最終製品を作成することを目標に、パートナーからの広範なフィードバックに基づいてサイバーセキュリティ業績目標を策定した。この目標は、書面によるコメント、ワークショップ、リスニングセッション、およびさまざまな分野の専門家との集中的な議論を通じて達成された。このプロセスを通じて得られたフィードバックは非常に貴重であったため、組織がサイバーセキュリティ・パフォーマンス目標を実際に使用し始め、今後数ヶ月で個々の重要インフラ部門に固有のサイバーセキュリティ目標を構築する際にも、オープンな意見募集を継続する予定である。
Following the release of the CPGs, CISA will continue taking input and welcomes feedback from partners from across the critical infrastructure community. In fact, CISA has already setup a Discussions page to receive feedback and ideas for new CPGs, plans to regularly update the CPGs at least every 6-12 months, and will work directly with individual critical infrastructure sectors as we build out sector-specific CPGs in the coming months.   サイバーセキュリティ・パフォーマンス目標の発表後、CISAは引き続き意見を聴取し、重要インフラストラクチャ・コミュニティ全体のパートナーからのフィードバックを歓迎する。実際、CISAは、新しいサイバーセキュリティ・パフォーマンス目標に対するフィードバックやアイデアを受け取るためのディスカッション・ページをすでに立ち上げており、少なくとも6~12カ月ごとにサイバーセキュリティ・パフォーマンス目標を定期的に更新する計画で、今後数カ月の間にセクター固有のサイバーセキュリティ・パフォーマンス目標を構築する際には、個々の重要インフラセクターと直接連携する予定である。 
Q: WILL THE CYBER PERFORMANCE GOALS BE SPECIFIC TO CRITICAL INFRASTRUCTURE OPERATORS? Q: サイバーパフォーマンス目標は重要インフラ事業者に特化したものになるのか。
A.Yes. The White House’s National Security Memorandum (NSM) on "Improving Cybersecurity for Critical Infrastructure Control Systems” states that the “performance goals should serve as clear guidance to owners and operators about cybersecurity practices and postures that the American people can trust and should expect for such essential services, from water to transportation to communications to energy, healthcare, and emergency services A. はい、そうである。ホワイトハウスの「重要インフラ制御システムのサイバーセキュリティの改善」に関する国家安全保障メモランダム(NSM)には、「パフォーマンス目標は、水、交通、通信、エネルギー、ヘルスケア、緊急サービスに至るまで、このような重要サービスに対して米国民が信頼でき、期待すべきサイバーセキュリティの実践と態勢に関する所有者と運用者への明確なガイダンスとなるべきである」と記されている。
The CPGs are intended to outline high-priority cybersecurity goals and associated actions to enable progress toward a consistent baseline across all critical infrastructure sectors. The CPGs will be a tool that individual critical infrastructure operators can use to evaluate their own cybersecurity posture and understand how the cybersecurity posture of their sector compares with established practices within the sector and across sectors. サイバーセキュリティ・パフォーマンス目標は、すべての重要インフラ部門において一貫した基本水準を達成できるよう、優先度の高いサイバーセキュリティの目標と関連するアクションの概要を示すことを目的としている。サイバーセキュリティ・パフォーマンス目標は、個々の重要インフラ事業者が自らのサイバーセキュリティの姿勢を評価し、自らの部門のサイバーセキュリティの姿勢が部門内および部門間で確立された慣行と比較してどのようなものかを理解するために使用するツールとなる。
While the NSM is intended to apply specifically to critical infrastructure owners and operators, many organizations that do not self-identify as critical infrastructure will find value in utilizing the CPGs as part of their cybersecurity risk management program, including small and medium organizations that may serve a critical role as part of the supply chain for a national critical function. NSM は特に重要インフラの所有者と運営者に適用されることを意図しているが、重要インフラと自認していない多くの組織が、国の重要機能のサプライチェーンの一部として重要な役割を果たす中小組織を含め、サイバーセキュリティリスク管理プログラムの一部として サイバーセキュリティ・パフォーマンス目標 を活用することに価値を見出すだろう。
Q. WHAT CRITERIA WERE USED TO DETERMINE WHICH GOALS TO INCLUDE? Q. どの目標を含めるかを決定するために、どのような基準が使われたのか。
A.  The CPGs were determined based on three criteria: (1) Significantly and directly reduce the risk or impact caused by commonly observed, cross-sector threats and adversary TTPs; (2) Clear, actionable, and easily definable, and (3) Reasonably straightforward and not cost-prohibitive for even small- and medium-sized entities to successfully implement. CISA benefitted from rigorous input across public and private partners to ensure that each CPG met these criteria. A.  サイバーセキュリティ・パフォーマンス目標は、3つの基準に基づいて決定された。(1)一般に観測される分野横断的な脅威や敵のTTPによるリスクや影響を有意かつ直接的に削減すること (2)明確で実行可能、かつ容易に定義できること (3) 中小企業でも実施できるよう合理的に簡単でコストが高くないこと の3つの基準に基づいて決定された。CISAは、各サイバーセキュリティ・パフォーマンス目標がこれらの基準を満たすように、官民のパートナーからの厳格な情報提供の恩恵を受けている。
Q: WHAT IS THE EXPECTATION IF A GOAL/OBJECTIVE IS NOT APPLICABLE TO MY SECTOR/SUBSECTOR? Q: 目標/目的が自分の部門/サブセクターに適用されない場合、どのようなことが期待されるか?
A. The purpose of the cross-sector CPGs is to outline most important security outcomes and associated actions that apply to all sectors. If goals or objectives in the cross-sector CPGs do not apply to your sector, please note this in any feedback you provide. Following initial publication, CISA intends to continue to collect feedback on the CPGs and incorporate updates at a future date.  We have also posted the CPGs to GitHub here, and encourage stakeholders to submit comments and recommendations for future changes.   A. セクター横断的なサイバーセキュリティ・パフォーマンス目標の目的は、全てのセクターに適用される最も重要な安全保障上の成果及び関連する行動を概説することである。もし、セクター横断的なサイバーセキュリティ・パフォーマンス目標の目標や目的があなたのセクターに適用されない場合は、フィードバックにその旨を明記する。CISAは、最初の公表後、サイバーセキュリティ・パフォーマンス目標に関するフィードバックを引き続き収集し、将来の日付で更新を組み込む予定である。  また、サイバーセキュリティ・パフォーマンス目標をGitHubに掲載し、利害関係者が将来の変更に関するコメントや推奨事項を提出することを奨励している。   
Q: HOW WILL THIS EFFORT CAPTURE CYBERSECURITY PRACTICES FOR DIFFERING SECTOR TYPES? Q: この取り組みでは、異なるセクターの種類に応じたサイバーセキュリティの実践をどのように把握するのか。
A. The purpose of the CPGs is to outline the cybersecurity practices that apply to most critical infrastructure providers. They are intended to be general in nature and not overly prescriptive. In addition to the high-level goals, each objective includes “Recommend Actions” that can be customized by each sector to provide a flexible example of how a goal or objective might be achieved in their own sector. Each sector will also evaluate the need for sector-specific goals, which will address any cybersecurity outcomes specific to their sector. A. サイバーセキュリティ・パフォーマンス目標の目的は、ほとんどの重要インフラ事業者に適用されるサイバーセキュリティの実践を概説することである。これらは一般的なものであり、過度に規範的でないことを意図している。ハイレベルな目標に加えて、各目標には「推奨行動」が含まれており、各セクターがカスタマイズして、目標や目的が自セクターでどのように達成されるかの柔軟な例を提供することができるようになっている。また、各セクターは、セクター固有の目標の必要性を評価し、そのセクター固有のサイバーセキュリティの成果を取り上げることになる。
Q: WILL ALL CRITICAL INFRASTRUCTURE OPERATORS BE EXPECTED TO MEET THE CYBERSECURITY PERFORMANCE GOALS OR WILL THERE BE A THRESHOLD THAT OUTLINES THE TYPE OF ENTITIES THAT WILL BE EXPECTED TO MEET THE GOALS? Q: すべての重要インフラ事業者がサイバーセキュリティ性能目標を満たすことが期待されるのであるか、それとも目標を満たすことが期待される事業者の種類を概説する閾値があるのか?
A. The CPGs are intended to serve as a resource that can be utilized by all critical infrastructure organizations and are expected to be of particular use to small- and medium-sized entities. By making the goals clearly measurable, organizations across the size and maturity spectrum will be able to have a definitive understanding of what actions to take, and how to self-assess progress towards meeting the goals.  A. サイバーセキュリティ・パフォーマンス目標 は、すべての重要インフラ事業者が利用できるリソースとして機能することを意図しており、特に中小規模の事業者に活用されることが期待されます。目標を明確に測定可能なものにすることで、規模や成熟度にかかわらず、どのような行動をとるべきか、また目標達成に向けた進捗をどのように自己評価すべきか、明確に理解することができるようになる。 
Q: WILL THE CPGs BE MAPPED TO NIST CSF? Q: サイバーセキュリティ・パフォーマンス目標はNIST CSFにマッピングされるのか?
A. The National Institute of Standards and Technology's (NIST) Cybersecurity Framework (CSF) enables organizations to develop a comprehensive, risk-based cybersecurity program and enumerates a holistic set of categorized actions that can be taken to reduce an organization’s cyber risk and quickly respond to and recover from incidents.  A. 米国標準技術局(NIST)のサイバーセキュリティフレームワーク(CSF)は、組織がリスクベースの包括的なサイバーセキュリティプログラムを開発することを可能にし、組織のサイバーリスクを低減し、インシデントに迅速に対応し回復するために取ることができる分類されたアクションの全体的なセットを列挙している。  
As directed by President Biden’s NSM, the CPGs are intended to supplement the NIST CSF for organizations seeking assistance in prioritizing investment toward a limited number of high-impact security outcomes, whether due to gaps in expertise, resources, or capabilities or to enable focused improvements across suppliers, vendors, business partners, or customers.    バイデン大統領の NSM による指示の通り、サイバーセキュリティ・パフォーマンス目標 は、専門知識、リソース、能力のギャップがある場合や、サプライヤー、ベンダー、ビジネスパートナー、顧客の間で重点的に改善を行う場合など、影響の大きい限られた数のセキュリティ成果に向けた投資の優先順位付けに支援を求める組織が NIST CSF を補完できるように意図されている。   
In an effort to accelerate adoption of essential actions to improve cybersecurity across the nation’s critical infrastructure providers, the CPGs provide an abridged subset of actions – a kind of “QuickStart guide” – for the NIST CSF. Every organization, including those adopting the CPGs, should still use the NIST CSF to design and mature a comprehensive cybersecurity program. To this end, each goal in the CPGs is mapper to a corresponding subcategory from the NIST CSF.    サイバーセキュリティ・パフォーマンス目標 は、国家の重要なインフラストラクチャ・プロバイダー全体でサイバーセキュリティを向上させるために不可欠な行動の採用を促進するために、NIST CSF の行動の一部を要約したもので、一種の「クイックスタートガイド」となっている。サイバーセキュリティ・パフォーマンス目標 を採用している組織を含め、すべての組織は、包括的なサイバーセキュリティ・プログラムを設計し、成熟させるために、NIST CSF を使用する必要がある。このため、サイバーセキュリティ・パフォーマンス目標 の各目標は、NIST CSF の対応するサブカテゴリのマッパーである。   
Sector-Specific Goals セクター別の目標
Now that the cross-sector CPGs are complete, CISA will work with each Sector Risk Management Agency (SRMA) to begin development of sector-specific goals by:   セクター横断的な サイバーセキュリティ・パフォーマンス目標 が完成した今、CISA は各セクターリスク管理機関(SRMA)と協力して、以下のようにセクター固有の目標の策定を開始する予定である。  
・Identifying any additional cybersecurity practices, not already included in the Common Baseline, needed to ensure the safe and reliable operation of critical infrastructure in that sector.   ・当該セクターにおける重要インフラの安全かつ信頼性の高い運用を確保するために必要な、共通ベースラインに含まれない追加のサイバーセキュリティの実践を特定する。  
・Providing examples for recommended actions specific to the infrastructure and entities in that sector; and   ・そのセクターのインフラとエンティティに固有の推奨されるアクションの例を提供する。  
・Mapping any existing requirements (e.g., regulations or security directives) to the Common Baseline and sector-specific objectives and/or recommended actions so stakeholders can see how their existing compliance practices fulfill certain objectives.   ・既存の要件(例えば、規制又はセキュリティ指令)を共通ベースライン及びセクター固有の目標及び/又は推奨行動にマッピングし、利害関係者が既存のコンプライアンス慣行が特定の目標をどのように満たすかを確認できるようにすること。  
More information on the sector-specific goals will be provided as it is available. セクター固有の目標に関するより詳細な情報は、入手可能になり次第、提供される予定である。

 

 

・[PDF] Cross-Sector Common Baseline Cybersecurity Performance Goals (CPGs)

20221103-15252

 

 目次...

Background and Context 背景と内容
1.0– Account Security 1.0- アカウントセキュリティ
2.0– Device Security 2.0- 機器のセキュリティ
3.0– Data Security 3.0- データセキュリティ
4.0– Governance and Training 4.0- ガバナンスとトレーニング
5.0– Vulnerability Management 5.0- 脆弱性管理
6.0– Supply Chain / Third Party 6.0- サプライチェーン/サードパーティー
7.0– Response and Recovery 7.0- 事案対応と回復
8.0– Other 8.0- その他
Glossary 用語集
Acknowledgements 謝辞

 


Background and Context(背景と内容)...

OUR CHALLENGE AHEAD 今後の課題
CISA works every day with government, private sector, and international partners to gain unique insight into the state of cybersecurity across U.S. critical infrastructure (CI) and the nature of the threat landscape. Leveraging partnerships across all critical infrastructure sectors and with their respective sector risk management agencies (SRMAs), insights from government partners both in the U.S. and abroad, and our own cyber assessments, hunts, and incident response efforts, CISA regularly observes patterns across our critical infrastructure where essential cybersecurity best practices are not sufficiently applied. Subject matter experts and critical infrastructure operators providing input during the course of this document’s development shared similar observations.  CISAは、政府、民間企業、および国際的なパートナーとともに、米国の重要インフラ(CI)全体のサイバーセキュリティの状態と脅威の状況の本質について独自の洞察を得るために日々活動している。CISA は、すべての重要インフラ部門とそれぞれの部門リスク管理機関(SRMA)とのパートナーシップ、米国内外の政府パートナーからの洞察、および独自のサイバー評価、ハント、インシデント対応活動を活用して、重要インフラ全体で本質的なサイバーセキュリティのベストプラクティスが十分に適用されていないパターンを定期的に観察している。この文書の作成過程で意見を提供した主題専門家や重要インフラ事業者も、同様の見解を示している。
Our concerns with these gaps are not merely theoretical or philosophical. Our nation has seen the real impact of some of these gaps, whether ransomware attacks affecting critical functions from hospitals to school districts or sophisticated nation-state campaigns that target government agencies and critical infrastructure. Collectively, these intrusions place our national security, economic security, and the health and safety of American people at risk.  これらのギャップに対する我々の懸念は、単なる理論的・哲学的なものではない。病院から学区までの重要な機能に影響を及ぼすランサムウェア攻撃や、政府機関や重要インフラを標的とした巧妙な国家的キャンペーンなど、これらのギャップがもたらす実際の影響を我が国は目にしてきた。このような侵入により、国家の安全保障、経済の安全保障、そしてアメリカ国民の健康と安全が危険にさらされているのである。
Over the past year, CISA has worked with hundreds of partners, received thousands of comments, and analyzed years of data from our efforts to assess, protect, and respond to cyber incidents to identify key challenges that leave our nation at serious risk. 過去1年間、CISAは何百ものパートナーと協力し、何千ものコメントを受け取り、サイバー事件の評価、保護、対応への取り組みから得た何年ものデータを分析し、わが国を深刻なリスクにさらす主要な課題を特定した。
1. Many organizations have not adopted fundamental security protections. The absence of basic protections such as multi-factor authentication (MFA), strong password management, and maintaining backups, among other foundational measures, repeatedly exposes critical infrastructure to damaging cyber intrusions. 1. 多くの組織が基本的なセキュリティ保護を導入していない。多要素認証(MFA)、強力なパスワード管理、バックアップの維持などの基本的な保護対策がないため、重要インフラが繰り返し有害なサイバー侵入にさらされている。
2. Small- and medium-sized organizations are left behind. Organizations with limited resources or less mature cybersecurity programs often face challenges determining where to start to put in place reasonable cybersecurity measures. While existing resources like the NIST Cybersecurity Framework are invaluable, small organizations face difficulties in identifying where to invest for the greatest impact to their cybersecurity posture and specific guidance on how to effectively implement cybersecurity protections. 2. 中小規模の組織が取り残されている。リソースが限られていたり、サイバーセキュリティプログラムが成熟していない組織は、合理的なサイバーセキュリティ対策を実施するために何から手をつければよいかという問題に直面することがよくある。NIST Cybersecurity Framework のような既存のリソースは非常に貴重であるが、小規模な組織は、サイバーセキュリティ体制に最大の影響を与えるためにどこに投資すべきか、サイバーセキュリティ保護を効果的に実施する方法について特定のガイダンスを特定する難しさに直面している。
3. Lack of consistent standards and cyber maturity across CI sectors. There is significant inconsistency in cybersecurity capabilities, investment, and baseline practices within and across CI sectors. This diversity leads to gaps that can be exploited by our adversaries to cause functional impacts and cascading impacts. 3. CIセクター間で一貫した基準とサイバー成熟度が欠如している。サイバーセキュリティの能力、投資、および基本的なプラクティスは、CI(Critical Infrastructure: 重要インフラ)セクター内およびセクター間で大きな矛盾がある。この多様性は、敵対者に悪用され、機能的な影響や連鎖的な影響を引き起こす可能性のあるギャップにつながる。
4. OT cybersecurity often remains overlooked and under-resourced. The cybersecurity industry is still largely focused on business IT systems, often neglecting the critical risk in OT, which were designed to optimize reliability and availability and often lack native security capabilities. This puts CI entities at serious risk as more OT devices become networkconnected. Even so, many CI entities lack adequate OT cybersecurity programs, especially where cybersecurity is still seen as primarily an IT concern. Entities that do have OT cybersecurity programs often lack basic OT cyber protections and are unable to find relevant OT-specific guidance for their environments. 4. OTサイバーセキュリティは、しばしば見落とされ、リソース不足のままである。サイバーセキュリティ業界は、依然としてビジネス IT システムに大きく焦点を当てており、信頼性と可用性を最適化するために設計され、固有のセキュリティ機能を持たないことが多い OT の重大なリスクを軽視していることがよくある。このため、より多くのOT機器がネットワークに接続されるようになると、情報通信事業者は深刻な危険にさらされることになる。それでも、多くの情報通信事業者は、適切な OT サイバーセキュリティ・プログラムを有していません。OTサイバーセキュリティ・プログラムを持っている事業者は、基本的なOTサイバー保護が不足しており、自分たちの環境に関連するOT固有のガイダンスを見つけることができないことがよくある。
CONFRONTING THIS CHALLENGE: National Security Memorandum 5 この課題に立ち向かう:国家安全保障に関する覚書 5
In July 2021, President Biden signed National Security Memorandum (NSM)-5:  Improving Cybersecurity for Critical Infrastructure Control Systems. This memorandum required CISA, in coordination with the National Institute of Standards and Technology (NIST) and the interagency community, to develop baseline cybersecurity goals that are consistent across all critical infrastructure sectors. This document contains the first iteration of the Cross-Sector Cybersecurity Performance Goals (CPGs). CISA, in coordination with NIST, will regularly update the goals, and starting in late 2022, CISA will begin working with Sector Risk Management Agencies (SRMAs) to build on this foundation to develop sector-specific goals.  2021年7月、バイデン大統領は、国家安全保障に関する覚書(NSM)-5「重要インフラ制御システムのサイバーセキュリティの改善」に署名した。この覚書は、CISAが国立標準技術研究所(NIST)および省庁間コミュニティと連携し、すべての重要インフラ部門に一貫性のあるサイバーセキュリティの基本目標を策定することを要求した。この文書には、セクター横断サイバーセキュリティ・パフォーマンス目標(CPG)の最初の反復が含まれている。CISAは、NISTと連携して、この目標を定期的に更新し、2022年後半から、セクターリスク管理機関(SRMA)と協力して、この基盤の上に、セクター固有の目標を策定する予定である。
KEY CHARACTERISTICS OF THE CPGs CPGの主な特徴
•   A prioritized subset of cybersecurity practices ・サイバーセキュリティ対策の優先的なサブセット
•   For IT and OT ・ITおよびOT向け
•   Prioritized for risk reduction ・リスク低減のための優先順位付け
•   Informed by threats observed by CISA and its government and industry partners ・CISA とその政府および産業界のパートナーによって観測された脅威から情報を得ている。
•   Applicable across all CI sectors ・すべてのCI部門に適用可能
•   Intended to meaningfully reduce risks to both CI operations and to the American people
・CIとアメリカ国民の双方に対するリスクを有意に減少させることを意図している。
WHAT ARE THE CPGs? CPG とは何か?
Simply put, the CPGs are a prioritized subset of IT and OT cybersecurity practices aimed at meaningfully reducing risks to both CI operations and to the American people. These goals are applicable across all CI sectors and are informed by the most common and impactful threats and adversary tactics, techniques, and procedures (TTPs) observed by CISA and its government and industry partners, making them a common set of protections that all CI entities — from large to small — should implement.  簡単に言えば、CPG は、情報セキュリティ活動と米国民に対するリスクを有意に削減することを目的とした、 IT および OT サイバーセキュリティの優先的な実践の一部である。これらの目標は、すべての情報セキュリティ部門に適用可能であり、CISAとその政府および産業界のパートナーが観察した最も一般的で影響力のある脅威と敵の戦術・技術・手順(TTPs)から情報を得ており、大規模から小規模まですべての情報セキュリティ事業体が実施すべき共通の保護対策となっている。
The CPGs do not reflect an all-encompassing cybersecurity program –  rather, they are a minimum set of practices that organizations should implement and aim to help CI entities, particularly small and medium organizations get started on their path towards a strong cybersecurity posture. As such, the CPGs are intended to be a floor, not a ceiling, for what cybersecurity protections organizations should implement to reduce their cyber risk. Important, the CPGs are not:  CPGは、すべてを網羅するサイバーセキュリティプログラムを反映したものではなく、むしろ組織が実施すべき最低限のプラクティスであり、CIエンティティ、特に中小組織が強力なサイバーセキュリティ態勢に向けた道を歩み始めるのを支援することを目的としている。このように、CPG は、組織がサイバーリスクを低減するために実施すべきサイバーセキュリティ保護について、上限ではなく下限を示すことを意図している。重要なのは、CPGは以下のようなものではないことである。
•   Comprehensive: The CPGs do not identify all the cybersecurity practices needed to protect every organization or fully safeguard national and economic security and public health and safety against all potential risks. They represent a minimum baseline of cybersecurity practices with known risk-reduction value broadly applicable across all sectors, and will be followed by sector-specific goals that dive deeper into the unique constraints, threats, and maturity of each sector where applicable. 包括的であること:包括的:(CPG) は,すべての組織を保護するために必要なすべてのサイバーセキュリティ対策を特定するものではなく,すべての潜在的リスクから国家と経済の安全保障,公衆の健康と安全を完全に保護するものではない。CPG は,すべてのセクターに広く適用できる,リスク削減効果が知られているサイバーセキュリティの実践の最小限の基本水準を示すものであり,必要に応じて,各セクター固有の制約,脅威,成熟度に深く踏み込んだセクター固有の目標がそれに続くことになる。
•   A risk management or full cybersecurity program: The CPGs do not cover broader approaches to risk management or risk prioritization, which are well articulated in other frameworks such as the NIST Cybersecurity Framework (NIST CSF). リスク管理または完全なサイバーセキュリティプログラム:CPG は,NIST サイバーセキュリティフレームワーク (NIST CSF) などの他のフレームワークで明確にされている,リスク管理やリスクの優先順位付けといった広範なアプローチについては対象としていません。
•   Mandated by CISA: The CPGs are intended to be voluntarily adopted by organizations to enable prioritization of security investments toward the most critical outcomes, in conjunction with broader frameworks like the NIST CSF. CISAによって義務付けられている:CPG は,組織が自主的に採用し,NIST CSF のような広範なフレームワークと連携して,最も重要な成果に向けてセキュリティ投資の優先順位付けを行えるようにすることを目的としている。
•   A maturity model: The practices in the CPGs apply to all CI organizations, and are not tiered into ‘maturity’ categories. (However, the CPG Worksheet includes criteria such as “Impact,” “Cost,” and “Complexity” to help organizations internally prioritize their investment). 成熟度モデル:CPG の実践内容は、すべての CI 組織に適用され、「成熟度」の区分はない。(ただし、CPGワークシートには「インパクト」「コスト」「複雑性」などの基準が含まれており、組織内部で投資の優先順位を決めるのに役立つ)。
The CPGs will also be regularly updated, with a targeted revision cycle of at least every 6 to 12  months. CISA has also set up a Discussions page to receive feedback and ideas for new CPGs at [link]. A link to this site will also be available via [link]. また、CPGは定期的に更新され、少なくとも6~12カ月ごとの改訂サイクルを目標としている。CISAは、新しいCPGに関するフィードバックやアイデアを受け取るためのDiscussionsページも開設している。このサイトへのリンクは、[link]からも利用可能である。
CPG SELECTION CRITERIA CPGの選定規準
As previously mentioned, the CPGs are a subset of cybersecurity practices, selected through a thorough process of industry, government, and expert consultation using several criteria: 前述のとおり、CPGはサイバーセキュリティ対策のサブセットであり、いくつかの基準を用いて、業界、政府、専門家の協議による徹底的なプロセスを通じて選定されたものである。
1. Significantly and directly reduce the risk or impact caused by commonly observed, cross-sector threats and adversary TTPs. 1. 一般的に観測される分野横断的な脅威や敵対者の TTP によって引き起こされるリスクや影響を大幅にかつ直接的に削減する。
2. Clear, actionable, and easily definable. 2. 明確で、実行可能で、容易に定義できること。
3. Reasonably straightforward and not cost-prohibitive for even small- and medium-sized entities to successfully implement. 3. 中小企業でも実施可能であり、コストが高くないこと。
An example of a CPG that meets this criteria is: “ensuring that none of an organization’s internet-facing systems have any Known Exploited Vulnerabilities (KEV).” This CPG is definable, achievable, and directly reduces the risk from a known threat — that nation-state adversaries actively exploit those weaknesses in the wild. Conversely, a practice such as “Implement Zero Trust (ZT)” would not be a suitable CPG, as this practice is vague, insufficiently defined, hard to measure, and can be overly burdensome for small organizations. この基準を満たす CPG の例として、次のようなものがある。「組織のインターネット向けシステムには、既知の脆弱性(KEV)がないことを保証すること」。この CPG は定義可能であり、達成可能であり、既知の脅威、すなわち国家敵対者が野生の弱点を積極的に悪用することによるリスクを直接的に低減するものである。逆に、「ゼロトラスト(ZT)の導入」のような実践は、曖昧で定義が不十分、測定が困難であり、小規模な組織にとっては過度の負担となるため、CPGとしては適切ではないだろう。
CPG MODEL CPG モデル
The CPGs in this document are displayed in a visual model to help readers understand not only the goals themselves, but the intended outcomes, the risks or TTPs that the goals address, what ‘good’ looks like, and other important information.  本書のCPGは、目標そのものだけでなく、意図する成果、目標が対処するリスクやTTP、「良い」とはどのようなものか、その他の重要な情報を読者が理解できるように、ビジュアルモデルで表示されている。
Each goal is composed of the following components: 各目標は以下のコンポーネントで構成されている。
・MODEL COMPONENT: COMPONENT DESCRIPTION ・モデルの構成要素:コンポーネントの説明
Outcome: The ultimate security outcome that each CPG strives to enable. 成果:各 CPG が実現しようとする究極的なセキュリティ上の成果。
TTP/Risk Addressed: Either (a) the primary set of MITRE ATT&CK TTPs or (b) the set of organizational risks that would be rendered less likely or impactful if the goal is implemented. 対応する 戦術・技術・手順 (TTP)/リスク:(a) MITRE ATT&CK TTP の主要なセット、または (b) 目標が実施された場合に可能性や影響が小さくなる組織リスクのセットのどちらか。
Security Practice: The mitigation(s) that organizations should implement to achieve the outcome and reduce the impact of the TTP or Risk. セキュリティ対策:TTPまたはリスクの影響を軽減し、成果を得るために組織が実施すべき緩和策。
Scope: The set or subset of assets to which organizations should apply the security practice. 範囲:組織がセキュリティ対策を適用すべき資産の集合またはサブセット。
Recommended Action: Example approaches to help organizations progress toward achievement of the Performance Goal, based on input from CISA’s collaborative stakeholder process. These actions will be updated regularly as new threats and defenses are identified. 推奨される対応:CISAのステークホルダーとの協働プロセスから得られた情報に基づき、組織がパフォーマンス目標の達成に向けて前進するためのアプローチ例。これらのアクションは、新たな脅威と防御策が特定されるたびに、定期的に更新される予定である。
NIST CSF Reference: The CSF subcategory that most closely relates to the security practice. NIST CSF の参照:セキュリティ対策に最も密接に関連する CSF のサブカテゴリ。
HOW ARE THESE DIFFERENT FROM NIST CSF AND OTHER STANDARDS? NIST CSF や他の標準とどう違うのか?
Plenty of existing cybersecurity guidance and frameworks exist — especially from the U.S. government. For example, the NIST CSF continues to be one of the most widely adopted and well-known cybersecurity frameworks. CISA and the broader U.S.  既存のサイバーセキュリティのガイダンスやフレームワークは、特に米国政府から多数存在している。例えば、NIST CSF は、最も広く採用され、よく知られているサイバーセキュリティのフレームワークの 1 つであり続けている。CISA と米国政府全体は、NIST CSF の採用を支持している。
government supports adoption of the NIST CSF by every organization to enable development and maintenance of a sustainable, risk information cybersecurity program. Based on stakeholder feedback, the CPGs can be leveraged by organizations as part of a broader cybersecurity program based on the NIST CSF or other frameworks and standards. CISA と米国政府は、持続可能なリスク情報サイバーセキュリティプログラムの開発と維持を可能にするために、すべての組織が NIST CSF を採用することを支持している。利害関係者のフィードバックに基づき、CPG は、NIST CSF または他のフレームワークと標準に基づく広範なサイバーセキュリティプログラムの一部として、組織が活用することができる。
1.  A Quick-Start Guide. The CPGs can help organizations that may lack the cybersecurity experience, resources, or structure in place to quickly identify and implement basic cybersecurity practices. After or in parallel to applying the CPGs, organizations can continue to leverage the NIST CSF to build a holistic risk management program and implement additional NIST controls. 1.  クイックスタートガイド:CPG は、サイバーセキュリティの経験、リソース、または体制が不足している組織が、基本的なサイバーセキュリティの実践方法を迅速に特定し、実施するのに役立ちます。CPG の適用後、または適用と並行して、組織は NIST CSF を引き続き活用し、全体的なリスク管理プログラムを構築し、NIST の追加的な管理策を実施することができる。
2.  Prioritization and Getting Funding. The CPGs contain a worksheet, described more below, that can help organizations with smaller or less mature cybersecurity programs prioritize which protections to implement, and communicate the importance and relative impact and cost of those protections to (non-technical) executives. 2.  優先順位付けと資金調達:CPG には、小規模または成熟度の低いサイバーセキュリティプログラムの組織が、実施すべき保護の優先順位を決定し、それらの保護の重要性、相対的な影響、コストを(技術者ではない)経営陣に伝えるのに役立つ、ワークシートが含まれている(詳細は後述)。
3.  NIST CSF Mappings. Every security practice in the CPGs aligns and is mapped to a corresponding subcategory in the NIST CSF. Note the CPGs do not fully address each NIST CSF Subcategory. For each security practice, identification of the CSF subcategory indicates a relationship between the CPG and the NIST CSF. Organizations that have already adopted and implemented the NIST CSF will not need to perform additional work to implement the relevant CPGs. 3.  NIST CSF マッピング:CPG の各セキュリティ対策は、NIST CSF の対応するサブカテゴリに整合し、マッピングされる。CPG は、NIST CSF の各サブカテゴリーに完全に対応していないことに注意。各セキュリティ対策について、CSF のサブカテゴリを特定することは、CPG と NIST CSF との間の関係を示すものである。NIST CSF を既に採用し、実施している組織は、関連する CPG を実施するための追加作業は必要ない。
HOW TO USE THE CPGs CPG の使用方法
CPG Package Contents CPG パッケージの内容
There are three documents provided on the CPGs: CPG には、次の 3 つの文書が含まれている。
1. The CPG List (this document) 1. CPG リスト(本書) 2.
2. The CPG Worksheet (attached PDF). See more below. 2. CPGワークシート(添付PDF)である。詳細は下記を参照。
3. The CPG Full Data Matrix (attached excel document), which contains all the raw data of the CPGs, their mappings to other frameworks, and more. 3. CPG Full Data Matrix (添付のExcel文書): CPGの生データ、他のフレームワークとのマッピングなどをすべて含んでいる。
The CPG Worksheet CPGワークシート
In addition to the list of CPGs, there is a user-friendly worksheet for asset owners and operators to (1) review and prioritize which CPGs to implement, (2) track the current and future state of CPG implementation, and (3) clearly communicate the priorities, trade-offs, and statuses of the CPGs to other stakeholders, such as non-technical executives. CPGのリストに加え、資産所有者やオペレーターが、(1)どのCPGを実施すべきかを検討し優先順位をつける、(2)CPG実施の現在および将来の状態を追跡する、(3)CPGの優先順位、トレードオフ、状態を非技術系幹部などの他のステークホルダーに明確に伝えるための使いやすいワークシートが用意されている。
The worksheet includes general estimates of the cost, complexity, and impact of implementing each goal. These estimates are intended to be used as an aid to help inform investment strategy to address known gaps in baseline cybersecurity capability.   ワークシートには、各目標を実施する際のコスト、複雑さ、影響に関する一般的な見積もりが記載されている。これらの見積もりは、ベースラインのサイバーセキュリティ能力における既知のギャップに対処するための投資戦略を知らせるための補助として使用されることを意図している。 
Using the CPG Worksheet CPG ワークシートの使用方法
1. Perform an initial self-evaluation. Organizations should review their existing security programs and security controls to determine which CPGs are already implemented. Organizations may have already implemented CPGs-based adherence to existing guidance or regulation, such as NIST CSF or ISA 62443, and all CPGs are mapped to corresponding controls in those common frameworks. 1. 最初の自己評価を行う。組織は、既存のセキュリティプログラムとセキュリティ管理を見直し、どの CPG がすでに実施されているかを判断する必要がある。組織は、NIST CSF や ISA 62443 などの既存のガイダンスや規制に準拠して CPG をすでに実施している可能性があり、すべての CPG は、それらの共通フレームワークの対応するコントロールにマッピングされる。
2. Identify and prioritize gaps. Organizations review gaps in their CPG implementation and prioritize those areas for investment based on factors such as cost, complexity, and impact, which are all included in the CPG Worksheet. 2. ギャップの特定と優先順位付け CPGワークシートに記載されているコスト、複雑性、影響度などの要因に基づいて、CPGの実施におけるギャップを確認し、投資すべき分野の優先順位を決定する。
3. Invest and execute. Organizations can start implementing the prioritized gaps identified in the previous steps. Some organizations may find materials such as the worksheet helpful when working with their leadership to request funding for cybersecurity focused projects. 3. 投資と実行。組織は、前のステップで特定された優先順位の高いギャップの実装を開始することができる。ワークシートのような資料が、サイバーセキュリティに焦点を当てたプロジェクトの資金調達を組織のリーダーに依頼する際に役立つと考える組織もあるだろう。
4. Review progress regularly after 12 months. To track progress towards improved cybersecurity practices, organizations should go through the worksheet after 12 months to capture progress, both for their own leadership as well for third-parties. 4. 12 カ月後に定期的に進捗状況を確認する。サイバーセキュリティの強化に向けた進捗状況を把握するため、組織は 12 カ月後にワークシートを使用して、自組織のリーダーだけでなく、第三者に対しても進捗状況を確認する必要がある。

 

・[PDF] CPGs Checklist

20221103-23701

 

・[xlsx] Complete CPGs Matrix/Spreadsheet

 ・[docx] 仮訳 (NIST CSF Reference, Additional External References, Support Resources) は省略しています...

GitHub Discussion Page

 


参考

まるちゃんの情報セキュリティ気まぐれ日記

・2021.12.07 米国 国土安全保障省運輸保安庁 鉄道事業関連者を対象としたセキュリティ指令等(24時間以内の報告等)

・2021.08.02 米国 連邦政府 重要インフラ制御システムのサイバーセキュリティの向上に関する国家安全保障に関する覚書

 

16の重要インフラセクター ↓↓↓

Cybersecurity &Infrastructure Security Agency: CISA

CRITICAL INFRASTRUCTURE SECTORS

 

The White House

・2021.07.28 National Security Memorandum on Improving Cybersecurity for Critical Infrastructure Control Systems

 

JETRO

・2022.11.02 バイデン米政権、重要インフラ向けのサイバーセキュリティー対策目標を策定


 

| | Comments (0)

国際ランサムウェア対策イニシアティブ 2022 共同声明 (2022.11.01)

こんにちは、丸山満彦です。

ランサムウェアの犯罪に対する国際的な連携は非常に重要ですよね。。。

昨年から公表していますね。。。今年からベルギーが加わったとのことです。。。

サイバー犯罪の国際連携は非常に重要ですよね。。。

 

U.S. White House

・2022.11.01 International Counter Ransomware Initiative 2022 Joint Statem

 

International Counter Ransomware Initiative 2022 Joint Statement 国際ランサムウェア対策イニシアティブ 2022 共同声明
The members of the International Counter Ransomware Initiative (CRI)— Australia, Austria, Belgium, Brazil, Bulgaria, Canada, Croatia, Czech Republic, Dominican Republic, Estonia, France, Germany, India, Ireland, Israel, Italy, Japan, Kenya, Lithuania, Mexico, the Netherlands, New Zealand, Nigeria, Norway, Poland, Republic of Korea, Romania, Singapore, South Africa, Spain, Sweden, Switzerland, United Arab Emirates, United Kingdom, United States, and Ukraine, and the European Union—met in Washington, DC on October 31–November 1, 2022.  Previously participating states welcome Belgium as a new CRI member.  国際ランサムウェア対策イニシアティブ(CRI)のメンバーであるオーストラリア、オーストリア、ベルギー、ブラジル、ブルガリア、カナダ、クロアチア、チェコ共和国、ドミニカ共和国、エストニア、フランス、ドイツ、インド、アイルランド、イスラエル、イタリア、日本、ケニア、リトアニア、メキシコ、オランダ、ニュージーランド、ナイジェリア、ノルウェー、ポーランド、大韓民国、ルーマニア、シンガポール、南アフリカ、スペイン、スウェーデン、スイス、アラブ首長国連邦、英国、米国、ウクライナ、欧州連合は、2022年10月31日から11月1日にかけてワシントンDCで会合を開いた。 前回参加国は、ベルギーが新たにCRIメンバーに加わったことを歓迎した。
At the Second CRI Summit, members re-affirmed our joint commitment to building our collective resilience to ransomware, cooperating to disrupt ransomware and pursue the actors responsible, countering illicit finance that underpins the ransomware ecosystem, working with the private sector to defend against ransomware attacks, and continuing to cooperate internationally across all elements of the ransomware threat.  第2回CRIサミットでは、ランサムウェアに対する集団的な耐性を構築すること、ランサムウェアを混乱させ、責任を負う行為者を追及するために協力すること、ランサムウェアのエコシステムを支える不正資金に対抗すること、ランサムウェア攻撃から身を守るために民間セクターと協力すること、ランサムウェアの脅威のあらゆる要素にわたって国際的な協力を継続すること、といった共同コミットメントを再確認した。
The work of the CRI supports the implementation of the endorsed UN framework for responsible state behavior in cyberspace, specifically the voluntary norm that States should cooperate “to exchange information, assist each other, prosecute terrorist and criminal use of ICTs and implement other cooperative measures to address such threats.”  The joint efforts of the CRI partners are also directly contributing to the implementation of the consensus conclusions and recommendations of the UN Expert Group to Conduct a Comprehensive Study on Cybercrime. CRIの活動は、サイバースペースにおける国家の責任ある行動に関する国連の承認された枠組み、具体的には、国家は「情報交換、相互支援、ICTを利用したテロリストや犯罪者の訴追、その他の脅威に対処するための協力的措置の実施」に協力すべきであるという自主的規範の実施を支援するものである。 CRIパートナーの共同努力は、サイバー犯罪に関する包括的研究を行う国連専門家グループのコンセンサス結論と勧告の実施にも直接貢献している。
We are committed to using all appropriate tools of national power to achieve these goals and jointly committed to the following actions in support of this endeavor.  We intend to: 我々は、これらの目標を達成するために国力のあらゆる適切な手段を用いることを約束し、この努力を支援するために以下の行動を共同で約束する。 我々は以下のことを行うつもりである:
・Hold ransomware actors accountable for their crimes and not provide them safe haven; ・ランサムウェアの行為者にその犯罪に対する責任を負わせ、安全な避難場所を提供しない;
・Combat ransomware actors’ ability to profit from illicit proceeds by implementing and enforcing anti-money laundering and countering the financing of terrorism (AML/CFT) measures, including “know your customer” (KYC) rules, for virtual assets and virtual asset service providers;  ・仮想資産および仮想資産サービス・プロバイダーに対し、「顧客の身元確認(KYC)」規則を含むマネー・ロンダリング防止およびテロ資金供与対策(AML/CFT)措置を実施・執行することにより、ランサムウェア行為者が不正収益から利益を得る能力に対抗する; 
・Disrupt and bring to justice ransomware actors and their enablers, to the fullest extent permitted under each partner’s applicable laws and relevant authorities; and ・各パートナーの適用法及び関連当局の下で許可される最大限の範囲において、ランサムウ ェアの実行者及びその支援者を破壊し、裁判にかける。
・Collaborate in disrupting ransomware by sharing information, where appropriate and in line with applicable laws and regulations, about the misuse of infrastructure to launch ransomware attacks to ensure national cyber infrastructure is not being used in ransomware attacks. ・ランサムウェア攻撃に国のサイバーインフラが使用されないようにするため、適切な場合、適用される法律や規制に沿って、ランサムウェア攻撃を開始するためのインフラの悪用に関する情報を共有することにより、ランサムウェアを阻止するために協力する。
Building our resilience to ransomware attacks requires effective policies and cooperation with trusted partners.  CRI members are building a network of trusted partners to share and disseminate ransomware-related threat information to increase our collective resilience to ransomware attacks.  To that end, we intend to establish a voluntary International Counter Ransomware Task Force (ICRTF) to develop cross-sectoral tools and cyber threat intelligence exchange to increase early warning capabilities and prevent attacks, as well as consolidate policy and best practice frameworks.  The ICRTF expects to produce public reports on tools, tactics, and procedures to improve awareness to global stakeholders, promote and encourage membership of the CRI, and improve cyber hygiene across the board.  The ICRTF intends to consider a model for ongoing collaboration with key private sector partners, including the establishment of an ancillary industry chapter that would be actively engaged with the work of the ICRTF.  ランサムウェア攻撃への耐性を高めるには、効果的な政策と信頼できるパートナーとの協力が必要である。 CRIのメンバーは、ランサムウェア攻撃に対する総合的な耐性を高めるために、ランサムウェア関連の脅威情報を共有し、広めるための信頼できるパートナーのネットワークを構築している。 そのために、私たちは自主的な国際ランサムウェア対策タスクフォース(ICRTF)を設立し、早期警戒能力を高め、攻撃を防止するための分野横断的なツールやサイバー脅威情報の交換を開発するとともに、政策やベストプラクティスの枠組みを統合する予定である。 ICRTFは、ツール、戦術、手順に関する公開報告書を作成し、世界の利害関係者の認識を向上させ、CRIへの加盟を促進・奨励し、サイバー衛生を全面的に改善することを期待している。 ICRTFは、ICRTFの活動に積極的に関与する補助的な業界支部の設立を含め、主要な民間セクターのパートナーとの継続的な協力のモデルを検討する意向である。
We commit to establish processes to most effectively share information and analysis about specific strains of ransomware on an ongoing and enduring basis to improve our collective awareness and resilience. 我々は、ランサムウェアの特定の系統に関する情報と分析を継続的かつ永続的に最も効果的に共有するプロセスを確立し、集団的な認識と回復力を向上させることを約束する。
CRI members are committed to taking action, in line with national law and policy, to disrupt and degrade the ransomware ecosystem and hold accountable criminal ransomware actors based on our collective knowledge, expertise, authorities, and capabilities.  We intend to improve our comprehensive and holistic understanding of the strategies used by these criminal actors and the means by which their malicious activity can be identified and addressed in respective jurisdictions to improve our tools, relevant authorities, and capabilities to disrupt.  We commit to work together to prioritize disruption targets to leverage the breadth of authorities and tools available to pursue hard and complex targets more effectively.  We intend to increase the number and impact of our disruption actions so that ransomware actors are stopped in their tracks.  CRIのメンバーは、ランサムウェアのエコシステムを破壊し、その機能を低下させるために、また犯罪ランサムウェアの行為者に責任を負わせるために、我々の集合的な知識、専門知識、権限、能力に基づいて、国内法および政策に沿った行動をとることを約束する。 我々は、破壊のためのツール、関連する権限、および能力を向上させるために、これらの犯罪行為者が使用する戦略、およびその悪質な活動を特定し、それぞれの管轄区域において対処することができる手段について、包括的かつ全体的な理解を向上させる意向である。 われわれは、困難で複雑な標的をより効果的に追求するために利用可能な幅広い権限と手段を活用するため、混乱させる標的の優先順位を決定するために協力することを約束する。 われわれは、ランサムウェアの実行者を足止めするために、破壊活動の数と影響力を増大させるつもりである。
The CRI is committed not only to protecting ourselves and each other from ransomware, but also to helping other countries protect and disrupt so that ransomware is unable to gain traction worldwide.  To that end, we intend to share technical and threat information and provide protection and remediation recommendations as broadly as possible.  CRIは、ランサムウェアから我々自身とお互いを守るだけでなく、ランサムウェアが世界的に普及することがないよう、他国の保護と破壊活動を支援することにもコミットしている。 そのために、技術情報や脅威情報を共有し、可能な限り広く保護と修復の推奨事項を提供するつもりである。
Taking decisive steps to counter illicit finance that often enables and underpins the profitability of ransomware will also be key to our collective success.  We resolve to work to establish mechanisms for notifying financial institutions and virtual asset platforms of ransomware payments so that funds can potentially be seized once they land in ransomware actors’ accounts.  We commit to working together to promote AML/CFT controls, including KYC policies and procedures within the virtual assets ecosystem to prevent its use for ransomware activity, such as through the implementation and enforcement of the Financial Action Task Force recommendations.  また、ランサムウェアの収益性を可能にし、それを支える不正資金に対抗するための断固とした措置を講じることも、我々の集団的成功の鍵となる。 我々は、ランサムウェア行為者の口座に着金した時点で資金を差し押さえることができるよう、ランサムウェアによる支払いを金融機関や仮想資産プラットフォームに通知する仕組みの確立に取り組むことを決意する。 我々は、金融活動作業部会勧告の実施及び執行などを通じて、ランサムウェア活動への利用を防止するため、仮想資産のエコシステム内におけるKYC方針及び手続を含むAML/CFT管理を促進するために協力することを約束する。
The private sector has a unique role to play in our counter-ransomware efforts, as their insights into the whereabouts and actions of ransomware actors from across the internet can effectively complement state capabilities in this realm.  Private sector companies are often the victims of ransomware, and can be strong allies in defense and disruption.  CRI members are working closely with the private sector to share information and set goals to prevent, reduce, and respond to ransomware threats.  To further this collaboration, we have established a pilot information sharing platform to facilitate the exchange of information about ransomware actors and tools, tactics, techniques, and procedures amongst members, and eventually with the private sector.  In addition, we also intend to develop a capacity-building tool to help countries utilize public-private partnerships to combat ransomware.  We are continuing to work together to develop additional ways to collaborate to combat ransomware with the private sector, taking into account concerns private sector companies may raise. インターネット上のランサムウェア行為者の居場所や行動に関する彼らの洞察力は、この領域における国家の能力を効果的に補完することができるからだ。 民間企業はランサムウェアの被害者であることが多く、防御と破壊において強力な味方になりうる。 CRIのメンバーは民間セクターと緊密に連携し、ランサムウェアの脅威を予防、軽減、対応するための情報を共有し、目標を設定している。 この連携をさらに進めるため、ランサムウェアの関係者やツール、戦術、技術、手順に関する情報交換をメンバー間で、そして最終的には民間セクターとの間で促進するための試験的な情報共有プラットフォームを設立した。 さらに、ランサムウェア対策に官民パートナーシップを活用する国々を支援するためのキャパシティ・ビルディング・ツールも開発する予定である。 私たちは、民間企業が提起しうる懸念を考慮しつつ、民間セクターと協力してランサムウェアと闘うためのさらなる方法を開発するために、引き続き協力していく。
Diplomatic engagement continues to be an essential tool for the international community’s fight against ransomware attacks.  We are committed to continuing to work together not only as the CRI, but also with other partners committed to fighting the scourge of ransomware, which has the power to impact us all, including through the Paris Call for Trust and Security for CRI members that support the Call.  CRI members plan to work with the full spectrum of stakeholders to drive focused regional efforts and advance this agenda in appropriate multilateral frameworks to ensure the global community’s shared resolve and preparedness to defeat these threats.  We are also committed to leveraging capacity building programs in order to strengthen resilience, improve disruption capabilities, increase law enforcement capacities, and support the development of legal frameworks to combat ransomware in both CRI and other countries.  In this regard, we intend to conduct bi-annual cyber exercises for the CRI Member States, which will also contribute to living toolkit of the ICRTF. 外交的関与は、国際社会がランサムウェア攻撃と闘うために不可欠な手段であり続ける。 私たちは、CRIとしてだけでなく、私たち全員に影響を与える力を持つランサムウェアの災禍と闘うことにコミットしている他のパートナーとも、この呼びかけを支持するCRIメンバーのための「信頼と安全のためのパリ呼びかけ」を通じて、引き続き協力していくことを約束する。 CRIのメンバーは、あらゆる利害関係者と協力し、地域に焦点を絞った取り組みを推進するとともに、適切な多国間枠組みにおいてこのアジェンダを推進し、こうした脅威を打ち負かすための国際社会の共通の決意と備えを確保することを計画している。 我々はまた、回復力の強化、破壊能力の向上、法執行能力の向上、CRIおよびその他の国におけるランサムウェアと闘うための法的枠組みの整備を支援するため、能力開発プログラムを活用することにコミットしている。 この点に関して、我々はCRIメンバー国のために年2回のサイバー演習を実施する予定であり、これはICRTFの生きたツールキットにも貢献するものである。
### ###

 

Fig1_20210802074601


まるちゃんの情報セキュリティ気まぐれ日記

・2021.11.05 米国 White House 国際的なランサムウェア対策の継続的な取り組みに関する声明

| | Comments (0)

2022.11.02

NISC デジタル庁 総務省 経済産業省 「ISMAP-LIU」の運用を開始

こんにちは、丸山満彦です。

リスクの小さな業務・情報の処理に用いるSaaSサービスを対象とした仕組みである「ISMAP-LIU」が、2022.11.01から運用を開始したと、NISC、デジタル庁、総務省、経済産業省から公表されていますね。。。

Ismap

ISMAP-LIUは、

ISMAP for Low-Impact Use

の略称で、

イスマップ・エルアイユー

と呼びます。。。

 

NISC

政府情報システムのためのセキュリティ評価制度(ISMAP)

(ISMAP-LIUの章が新設されています。。。)

デジタル庁

・2022.11.01 「ISMAP-LIU」の運用を開始しました

総務省

・2022.11.01 「ISMAP-LIU」の運用開始

経済産業省

・2022.11.01 「ISMAP-LIU」の運用を開始しました

 

e-Gov

・2022.11.01 「ISMAP-LIUクラウドサービス登録規則(案)」等に対する意見募集の結果

・[PDF] 「ISMAP-LIUクラウドサービス登録規則(案)」等に対する意見募集について 御意見に対する回答

20221101-204807

 

ISMAP ポータルサイト

・2022.11.01 ISMAP-LIUに関する制度規程等を公表しました。

・2022.11.01 ISMAP-LIUの事前申請の受付を開始しました。

 

ISMAP登録サービス...

クラウドサービスリスト

 

さて、ISMAP-LIUは、どの程度伸びるのでしょうね。。。

 

 

| | Comments (0)

総務省 「クラウドサービス利用・提供における適切な設定のためのガイドライン」(案)に対する意見募集の結果と「クラウドサービス利用・提供における適切な設定のためのガイドライン」及び「ASP・SaaSの安全・信頼性に係る情報開示指針(ASP・SaaS編)第3版」 の公表

こんにちは、丸山満彦です。

総務省が、「クラウドサービス利用・提供における適切な設定のためのガイドライン」(案)に対する意見募集の結果と「クラウドサービス利用・提供における適切な設定のためのガイドライン」及び「ASP・SaaSの安全・信頼性に係る情報開示指針(ASP・SaaS編)第3版」を公表していますね。。。

ユーザに十分に知らされない状態で、デフォルトの設定がセキュリティを低下する方向に変更された場合に、社会全体としてのリスクが増大することにもつながるので、何らかのガイドがあった方が良いとは思います。。。

意見は、外資系で言えば、VMウェア、Google、Salesforceなど、国内会社で言えば、MOTEX、楽天モバイル、LACなど、合わせて10社、個人会員では5名が意見を出していますね。。。

 

総務省

・2022.10.31 「クラウドサービス利用・提供における適切な設定のためのガイドライン」(案)に対する意見募集の結果と「クラウドサービス利用・提供における適切な設定のためのガイドライン」及び「ASP・SaaSの安全・信頼性に係る情報開示指針(ASP・SaaS編)第3版」 の公表

 概要...

・[PDF]

20221101-194600

責任分解って言うけど、アクセス権を持っている人に責任があるのでしょうね。。。ただ、ユーザ側よりもサービス提供者側がシステムの機能についても、セキュリティについても十分な知見があるわけですから、利用者を踏まえたリスク情報の開示は必要になってくるのだろうと思います。。。

20221101-195121 20221101-195128

 

 

本文...

・[PDF] クラウドサービス提供・利用における適切な設定に関するガイドライン

20221101-190917

 

 


本ガイドラインの要旨

ここ数年、クラウドサービスを利用する事業者において、設定不備による顧客の個人情報の流失のおそれに至る事案が増加しており、クラウドサービスの利用におけるリスクとして社会的に問題となっている。また、独立行政法人情報処理推進機構(IPA)の「コンピュータウイルス・不正アクセスの届出状況 2021 年」によると、不正アクセスの原因別比率では、設定不備が全体のおよそ 17.7%で第 3 位となり、このような社会問題を引き起こす原因として無視できなくなっている。

このような設定不備は、直接的にはクラウドサービス利用者による単純なミスによるものと考えることもできる。しかし、これらの事案の真因を考察すると、利用側においてはクラウドサービス利用に関する理解不足や不十分な管理・作業体制、提供側においては利用側において設定不備を起こさせないための情報・ツール提供不足やミスを起こさせにくい設計への配慮不足など、様々な要因が複雑に絡み合いながら積み重なることによって設定不備事案の発生に至っていることが想定される。

そこで、本ガイドラインではこれらの設定不備が発生しないよう、安全安心なクラウドサービスの利用・提供に資することを目的として、利用者・事業者双方において共通的に認識しておくべき事項及び具体的な対策について整理し、取りまとめた。

クラウドサービスにおける設定不備の抑止・防止に向けた基本的な考え方は、下記の3つである。

  • クラウドサービス利用者・事業者双方において、クラウドサービスの特性や、クラウドサービスの利用・提供におけるリスクについて認識すること

  • クラウドサービス利用者・事業者双方において、自身の責任範囲や役割を理解し、それを共通認識とすること

  • クラウドサービス利用者・事業者間でコミュニケーションを密なものとしつつ、双方における設定不備の抑止・防止の対策を適切に実施すること

これらに資する情報として、本ガイドラインでは「前提および概要」においてクラウドサービスの設定不備のリスクや、クラウドサービスの設定に関する責任共有の考え方、設定不備の要因と対策の概要について記載した。

「クラウドサービス利用側に求められる対策」「クラウドサービス提供側に求められる対策」では、設定不備の抑止・防止のための具体的な対策やベストプラクティスについて記載している。まず「クラウドサービス利用側に求められる対策」では、クラウドサービス利用側における組織体制・人材育成、作業規則やマニュアルの整備、システム動作環境の設定管理、システム動作環境設定の方法論に関する対策を記載した。また、「クラウドサービス提供側に求められる対策」では、クラウドサービス提供側における組織体制や人材育成、提供するサービスの改善等の対策を記載するとともに、利用側に提供すべき情報や学習コンテンツ、学習機会、利用者を支援するツール等に関する対策を記載した。


目次...

Ⅰ.序編
Ⅰ.1 はじめに
Ⅰ.2 ガイドラインの位置付け
Ⅰ.3 ガイドライン活用の効果
Ⅰ.4 ガイドラインの全体構成
Ⅰ.5 ガイドラインの読み方と利用方法
Ⅰ.6 用語の定義
Ⅰ.7 参考文献

Ⅱ. 前提および概要
Ⅱ.1 本ガイドラインの前提事項
Ⅱ.1.1 クラウドサービスにおける典型的なセキュリティ設定項目と設定不備があった場合のリスク
Ⅱ.1.2 クラウドサービス事業者とクラウドサービス利用者の責任と役割
Ⅱ.1.3 環境の設定における留意すべきパターン
Ⅱ.2 設定不備の要因と対策
Ⅱ.2.1 設定不備の事例と要因分析
Ⅱ.2.2 要因に対する対策

Ⅲ. クラウドサービス利用側に求められる対策
Ⅲ.1 組織体制・人材育成
 Ⅲ.1.1 クラウドサービス設定不備の抑止・防止に係る方針的事項
 Ⅲ.1.1.1 【基本】 クラウドサービス利用におけるガバナンスの確保
 Ⅲ.1.1.2 【基本】 事業部門等が独自に利用する場合のルール形成
 Ⅲ.1.1.3 【推奨】設定診断等の支援ツール利用に対する組織的取組
 Ⅲ.1.1.4 【基本】 クラウドに関する人材の組織的育成
Ⅲ.1.2 技術情報の収集
 Ⅲ.1.2.1 【基本】 技術情報の収集
Ⅲ.1.3 人材育成
 Ⅲ.1.3.1 【基本】 クラウドサービス利用におけるリテラシーの向上
 III.1.3.2 【基本】 クラウドシステム動作環境設定における技術力向上
III.1.4 コミュニケーション
 III.1.4.1 【基本】コミュニケーション

III.2 作業規則・マニュアル
III.2.1 作業規則やマニュアルの整備
 III.2.1.1 【基本】作業規則の整備
 III.2.1.2 【基本】作業手順書の整備
 III.2.1.3 【基本】ヒューマンエラー対策
 III.2.1.4 【基本】作業手順書に係るマネジメント

III.3 クラウドサービスにおけるシステム動作環境の設定管理
III.3.1 クラウドセキュリティに係る設定項目の確認
 III.3.1.1 【基本】設定項目の把握と設定
 III.3.1.2 【基本】設定項目の管理
III.3.2 クラウドシステムにおける動作環境のプロビジョニング
 III.3.2.1 【基本】変化への適応及び体制整備
III.3.3 その他のリスクへの対応
 III.3.3.1 【基本】システム動作環境の設定に関連するその他のリスク対応

III.4 クラウドシステム動作環境に関する設定の方法論
III.4.1 ノウハウの蓄積
 III.4.1.1 【推奨】クラウドシステム動作環境設定に関するノウハウの蓄積
III.4.2 支援ツール等の活用
 III.4.2.1 【推奨】支援ツールや外部診断サービス等の活用
III.4.3 定期的な設定のチェックと対応
 III.4.3.1 【基本】システム動作環境の設定に関する定期的なチェックと対応

IV クラウドサービス提供側に求められる対策
IV.1 組織体制・人材育成
IV.1.1 クラウドサービス設定不備の抑止・防止に係る方針的事項
 IV.1.1.1 【基本】 クラウドサービス提供におけるガバナンスの確保
 IV.1.1.2 【推奨】設定診断等の支援ツール提供に対する組織的取組
 IV.1.1.3 【基本】 クラウドに関する人材の組織的育成

IV.2 情報提供
IV.2.1 正しい情報の提供
 IV.2.1.1 【基本】正しい情報の提供
IV.2.2 十分な情報の提供
 IV.2.2.1 【基本】十分な情報の提供
IV.2.3 わかりやすい情報の提供
 IV.2.3.1 【基本】わかりやすい情報の提供
IV.2.4 利用者別の対応
 IV.2.4.1 【推奨】利用者の特性に応じた情報提供
IV.2.5 タイムリーな情報提供
 IV.2.5.1 【基本】システム動作環境の変更等に伴うタイムリーな情報提供
 IV.2.5.2 【基本】公開されたぜい弱性の影響に伴うタイムリーな情報提供

IV.3 学習コンテンツや学習機会の提供
IV.3.1 学習コンテンツの提供
 IV.3.1.1 【推奨】体系的な学習コンテンツの提供
 IV.3.1.2 【推奨】わかりやすい形式のコンテンツの作成
IV.3.2 学習機会の提供 ー 環境の設定に関する説明
 IV.3.2.1 【推奨】セミナーや研修の開催
 IV.3.2.2 【推奨】コンサルティングサービスの提供

IV.4 利用者支援ツールの提供
IV.4.1 設定項目管理ツールの提供
 IV.4.1.1 【推奨】設定項目管理ツールの提供
IV.4.2 設定項目診断ツールの提供
 IV.4.2.1 【推奨】設定項目診断ツールの提供

IV.5 システムの改善 - ミスが発生しにくいシステムの提供
IV.5.1 設定方法の見直し
 IV.5.1.1 【基本】設定項目のメニュー化/リスト化
 IV.5.1.2 【基本】選択肢の表記の工夫
IV.5.2 デフォルト値の見直し
 IV.5.2.1 【基本】デフォルト値の見直し
IV.5.3 セルフチェック機能の追加
 IV.5.3.1 【推奨】セルフチェック機能の追加
IV.5.4 利用者における設定機会の削減
 IV.5.4.1 【基本】設定項目数及び選択肢の削減
 IV.5.4.2 【基本】設定変更回数の削減
IV.5.5 暗号化機能の提供
 IV.5.5.1 【推奨】暗号化機能の提供と設定

IV.6 継続的な改善 - PDCAを回す
IV.6.1 情報収集
 IV.6.1.1 【基本】利用者からのフィードバック情報収集
 IV.6.1.2 【基本】公的機関等からの情報収集
 IV.6.1.3 【基本】その他の情報収集における事実確認
IV.6.2 サービスの改善
 IV.6.2.1 【基本】サービスの改善

IV.7 マネージドサービスの提供
IV.7.1 マネージドサービスの提供
 IV.7.1.1 【推奨】マネージドサービスの提供

参考資料
ANNEX 対策一覧




このガイドラインの策定を踏まえて...

・[PDF] ASP・SaaSの安全・信頼性に係る情報開示指針(ASP・SaaS編)第3版

20221101-195757

 

 


 

 総務省

・2022.02.15 「クラウドサービスの安全・信頼性に係る情報開示指針」における「AIを用いたクラウドサービスの安全・信頼性に係る情報開示指針(ASP・SaaS編)」の追加

・2018.10.26 「クラウドサービスの安全・信頼性に係る情報開示指針」における「IoTクラウドサービスの安全・信頼性に係る情報開示指針」の追加

・2017.03.31 「クラウドサービスの安全・信頼性に係る情報開示指針」の改定

・2007.11.27 [archive] 「ASP・SaaSの安全・信頼性に係る情報開示指針」の公表について

 

まるちゃんの情報セキュリティ気まぐれ日記

意見募集...

・2022.07.26 総務省 「クラウドサービスの利用・提供における適切な設定のためのガイドライン」(案)に対する意見募集及び取組事例の募集

 

クラウドサービスの安全・信頼性に係る情報開示指針...

・2022.02.17 総務省 「AIを用いたクラウドサービスに関するガイドブック」の公表+AIを用いたクラウドサービスの安全・信頼性に係る情報開示指針(ASP・SaaS編)

だいぶ前の話...

2010.01.18 ASP・SaaS安全・信頼性に係る情報開示認定制度 (マルチメディア振興センター)

 

金融分野(日本銀行)

・2020.11.27 日本銀行 クラウドサービス利用におけるリスク管理上の留意点

 

 

| | Comments (0)

2022.11.01

カナダ サイバーセキュリティセンター 国家サイバー脅威評価 2023-2024

こんにちは、丸山満彦です。

カナダのサイバーセキュリティセンターが、国家サイバー脅威評価 2023-2024を公表していますね。。。先日、ドイツもよく似た報告書を出していましたが、内容もよく似ているので、民主主義国は同じような状況に置かれているのかも知れませんね。。。

大阪方面の医療機関でのランサムウェアの報道がなされていたりするようですが、やはりランサムウェアの被害は多いようです。。。仕組み化されて犯罪者が利用しやすいようになっているからね。。。犯罪のDX化。。。

ざっくり言えば、ポイントは次の5つですかね。。。

  • ランサムウェア
  • 重要インフラ
  • 国家支援の攻撃者
  • オンライン空間の信頼
  • 革新的な技術

ドイツの報告書と読み比べてみるのも良いかもですね。。。

 

Canadian Centre for Cyber Security

・2022.10.28 National Cyber Threat Assessment 2023-2024

・[PDF

20221101-151137

目次...

About this document  本書について 
Introduction – Cyber threats are evolving  はじめに - サイバー脅威は進化している 
COVID-19 and the cyber threat landscape  COVID-19とサイバー脅威の状況 
Hybrid work and work-from-anywhere broadens the threat surface for individuals and organizations  ハイブリッドワークとどこでも仕事が、個人と組織の脅威の表面を拡大する 
Faster, broader connections and more devices connected to the Internet  より高速で広範な接続と、インターネットに接続するデバイスの増加 
Cybercrime represents a sophisticated threat to Canada  サイバー犯罪は、カナダにとって高度な脅威となっている
Threat actors are attacking targets indirectly, exploiting vulnerabilities in supply chain and Internet infrastructure  脅威の主体は、サプライチェーンやインターネットインフラの脆弱性を突いて、間接的にターゲットを攻撃している
Geopolitical competition in cyberspace puts everyone at risk  サイバー空間における地政学的な競争により、すべての人が危険にさらされている
The global Internet continues to diverge  グローバルなインターネットの分岐が続いている 
Ransomware is a persistent threat to Canadian organizations  ランサムウェアはカナダの組織にとって持続的な脅威
Ransomware enables other malicious cyber threat activity  ランサムウェアは、他の悪意あるサイバー脅威の活動を可能にする
Ransomware affects critical infrastructure  ランサムウェアが重要インフラに与える影響 
The impact of ransomware  ランサムウェアの影響 
Ransomware-as-a-service has made ransomware more accessible and profitable  ランサムウェア・アズ・ア・サービスにより、ランサムウェアはよりアクセスしやすく、収益性の高いものになった
Cybercriminals will continue to adapt their methods to maximize profits  サイバー犯罪者は、今後も利益を最大化するためにその手法を適応させていくだろう
Critical infrastructure is increasingly at risk from cyber threat activity  重要インフラがサイバー脅威から受けるリスクはますます高まっている 
Connected OT increases critical infrastructure’s cyber threat surface  OTの接続により、重要インフラのサイバー脅威の表面が増加 
Critical infrastructure depends on its supply chain  重要インフラは、そのサプライチェーンに依存している 
Cybercriminals target critical infrastructure  サイバー犯罪者が重要インフラを標的にする
State-sponsored actors targeting critical infrastructure  重要インフラを標的とする国家支援型アクター 
State-sponsored cyber threat activity is impacting Canadians  国家が支援するサイバー脅威の活動がカナダ人に影響を及ぼしている 
Foreign states are targeting Canadian individuals  外国がカナダの個人を標的にしている 
State-sponsored threat actors are attempting to compromise Canadians in worldwide, widespread campaigns  国家に支援された脅威者が、世界規模で広範なキャンペーンを展開し、カナダ人を危険にさらそうとしている
States are targeting Canada’s economic value  国家はカナダの経済価値を標的にしている
States are pursuing financial gain via cyber means  国家は、サイバー手段によって経済的利益を追求している
States are using cybercrime tools and activities to avoid attribution  国家は帰属を回避するためにサイバー犯罪のツールや活動を利用している
Cyber threat actors are attempting to influence Canadians, degrading trust in online spaces サイバー脅威者はカナダ人に影響を与えようとし、オンライン空間における信頼を低下させている
Cyber threat actors exploit technology to spread MDM and deceive Canadians  サイバー脅威の主体がテクノロジーを駆使してMDMを広め、カナダ人を欺く 
Foreign actors use MDM to influence international narratives  海外のアクターがMDMを利用して国際的な物語に影響を与える 
Disruptive technologies bring new opportunities and new threats  破壊的なテクノロジーは、新しい機会と新しい脅威をもたらす 
Digital assets are targets and tools for cyber threat actors  デジタルアセットはサイバー脅威者の標的であり、ツールである 
Machine learning automations can be deceived and exploited  機械学習オートメーションは、騙され、悪用される可能性がある 
Quantum computing threatens modern cryptography  量子コンピュータは現代の暗号技術を脅かす 
Conclusion  まとめ 
Endnotes  巻末資料 

 

エグゼクティブサマリー

Executive summary エグゼクティブサマリー
Canadians use the Internet for financial transactions, to connect with friends and family, attend medical appointments and work. As Canadians spend more time and do more on the Internet, the opportunities grow for cyber threat activity to impact their daily lives. There’s been a rise in the amount of personal, business and financial data available online, making it a target for cyber threat actors. This trend towards connecting important systems to the Internet increases the threat of service disruption from cyber threat activity. Meanwhile, nation states and cybercriminals are continuing to develop their cyber capabilities. State-sponsored and financially motivated cyber threat activity is increasingly likely to affect Canadians. In NCTA 2023-24, we have chosen to focus on five cyber threat narratives that we judge are the most dynamic and impactful and that will continue to drive cyber threat activity to 2024. カナダ人は、金融取引、友人や家族との連絡、診療予約、仕事のためにインターネットを利用している。カナダ人がインターネットを利用する時間や行動が増えるにつれて、サイバー脅威の活動が日常生活に影響を与える機会も増えている。個人情報、ビジネス情報、財務情報をオンラインで入手する機会が増えており、サイバー脅威者のターゲットになっている。重要なシステムがインターネットに接続される傾向にあるため、サイバー脅威活動によってサービスが中断される脅威が高まっている。一方、国家やサイバー犯罪者は、サイバー能力を開発し続けている。国家がスポンサーとなり、金銭的な動機で行われるサイバー脅威活動は、カナダ人に影響を与える可能性が高まっている。NCTA 2023-24では、最もダイナミックでインパクトがあり、2024年までサイバー脅威活動を推進し続けると判断される5つのサイバー脅威シナリオに焦点を当てることにした。
Key judgements 主な判断
Ransomware is a persistent threat to Canadian organizations. Cybercrime continues to be the cyber threat activity most likely to affect Canadians and Canadian organizations. Due to its impact on an organization’s ability to function, ransomware is almost certainly the most disruptive form of cybercrime facing Canadians. Cybercriminals deploying ransomware have evolved in a growing and sophisticated cybercrime ecosystem and will continue to adapt to maximize profits. ランサムウェアは、カナダの組織にとって持続的な脅威である。 サイバー犯罪は、カナダ人およびカナダの組織に最も影響を与える可能性の高いサイバー脅威活動であり続けている。ランサムウェアは、組織の機能に影響を与えるため、カナダ人が直面するサイバー犯罪の中で最も破壊的な形態であることはほぼ間違いないだろう。ランサムウェアを展開するサイバー犯罪者は、成長し洗練されたサイバー犯罪のエコシステムの中で進化しており、今後も利益を最大化するために適応を続けていくだろう。
Critical infrastructure is increasingly at risk from cyber threat activity. Cybercriminals exploit critical infrastructure because downtime can be harmful to their industrial processes and the customers they serve. State-sponsored actors target critical infrastructure to collect information through espionage, to pre-position in case of future hostilities, and as a form of power projection and intimidation. However, we assess that state-sponsored cyber threat actors will very likely refrain from intentionally disrupting or destroying Canadian critical infrastructure in the absence of direct hostilities. 重要インフラは、サイバー脅威の活動からますます危険にさらされている。 サイバー犯罪者は、ダウンタイムがその産業プロセスや顧客に害を及ぼす可能性があるため、重要インフラを悪用する。国家による支援は、スパイ行為による情報収集、将来の敵対行為に備えた事前準備、権力誇示と威嚇の一形態として重要インフラを標的としている。しかし、我々は、国家に支援されたサイバー脅威の行為者は、直接の敵対行為がない場合、カナダの重要インフラを意図的に混乱させたり破壊したりすることを控える可能性が非常に高いと評価している。
State-sponsored cyber threat activity is impacting Canadians. We assess that the state-sponsored cyber programs of China, Russia, Iran, and North Korea pose the greatest strategic cyber threats to Canada. State-sponsored cyber threat activity against Canada is a constant, ongoing threat that is often a subset of larger, global campaigns undertaken by these states. State actors can target diaspora populations and activists in Canada, Canadian organizations and their intellectual property for espionage, and even Canadian individuals and organizations for financial gain. 国家が支援するサイバー脅威の活動はカナダ人に影響を与えている。 我々は、中国、ロシア、イラン、北朝鮮の国家主導のサイバー・プログラムがカナダに最大の戦略的サイバー脅威をもたらすと評価している。カナダに対する国家によるサイバー脅威活動は、常に継続する脅威であり、これらの国家によって行われるより大規模でグローバルなキャンペーンの一部であることがよくある。国家の活動家は、カナダの離散定住民(ディアスポラ)や活動家、カナダの組織とその知的財産をスパイ目的で、さらにはカナダの個人と組織を金銭的利益のために標的にすることがある。
Cyber threat actors are attempting to influence Canadians, degrading trust in online spaces. We have observed cyber threat actors’ use of misinformation, disinformation, and malinformation (MDM) evolve over the past two years. Machine-learning enabled technologies are making fake content easier to manufacture and harder to detect. Further, nation states are increasingly willing and able to use MDM to advance their geopolitical interests. We assess that Canadians’ exposure to MDM will almost certainly increase over the next two years. サイバー脅威の行為者は、カナダ人に影響を与え、オンライン空間における信頼を低下させようと試みている。 我々は、サイバー脅威者が誤情報、偽情報、悪意ある情報(MDM)を使用することが、過去2年間で進化していることを確認している。機械学習を使った技術によって、偽のコンテンツを作ることが容易になり、発見することが難しくなっている。さらに、国家は地政学的な利益を推進するためにMDMを利用する意思と能力を高めている。我々は、カナダ人がMDMにさらされる機会が今後2年間でほぼ確実に増加すると評価している。
Disruptive technologies bring new opportunities and new threats. Digital assets, such as cryptocurrencies and decentralized finance, are both targets and tools for cyber threat actors to enable malicious cyber threat activity. Machine learning has become commonplace in consumer services and data analysis, but cyber threat actors can deceive and exploit this technology. Quantum computing has the potential to threaten our current systems of maintaining trust and confidentiality online. Encrypted information stolen by threat actors today can be held and decrypted when quantum computers become available. 革新的な技術は、新しい機会と新しい脅威をもたらす。 暗号通貨や分散型金融などのデジタル資産は、サイバー脅威行為者にとって、悪意のあるサイバー脅威活動を可能にするターゲットであり、ツールでもある。機械学習は、消費者向けサービスやデータ分析において一般的になったが、サイバー脅威行為者はこの技術を欺き、悪用することができる。量子コンピューティングは、オンラインで信頼と機密を維持する現在のシステムを脅かす可能性がある。今日、脅威行為者によって盗まれた暗号化された情報は、量子コンピュータが利用可能になれば、保持され、解読される可能性がある。

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.10.31 ドイツ 連邦情報セキュリティ局 (BSI) ドイツにおける ITセキュリティの現状 2022年 (2022.10.25)

 

| | Comments (0)

英国 会計監査院 国防のデジタル戦略:初期導入のレビュー

こんにちは、丸山満彦です。

英国国防省は、2021年に「国防のデジタル戦略」を公表していますが、、、その実装についての監査結果を英国会計監査院が公表していますね。。。

 

The Digital Strategy for Defence: A review of early implementation  国防のデジタル戦略:初期導入のレビュー
Background to the report 報告書の背景
The nature of modern warfare is changing, with access to and exploitation of information becoming vital to securing military advantage. The government’s Integrated Review placed greater priority on identifying and deploying new technologies faster than potential adversaries to enable operations across all arenas of warfare and collaborate better with partners. Cyberspace is itself also becoming an increasingly important arena of warfare, with external threats increasing and constantly evolving as access to offensive cyber capabilities becomes easier. 現代の戦争の性質は変化しており、情報へのアクセスとその活用は軍事的優位を確保するために不可欠になっている。政府の統合的レビューでは、あらゆる戦場での作戦を可能にし、パートナーとのより良い協力関係を築くために、潜在的敵対者よりも早く新技術を特定し展開することをより重要視している。サイバースペースもまた、ますます重要な戦場となりつつあり、攻撃的なサイバー能力へのアクセスが容易になるにつれ、外部からの脅威は増大し、常に進化を続けている。
To address these challenges, the Ministry of Defence (MoD) has developed the Digital Strategy for Defence (the strategy), which describes how it intends to transform its use of technology and data. The MoD aims to achieve three strategic outcomes by 2025, which are: これらの課題に対処するため、国防省(MoD)は「国防デジタル戦略」(戦略)を策定し、テクノロジーとデータの活用をどのように変革するつもりかを説明している。MoDは、2025年までに次の3つの戦略的成果を達成することを目指している。
・a digital ‘backbone’ – this is how the MoD describes the technology, people, and organisational processes that will allow it to share data seamlessly and securely with decision-makers across all the military and civilian domains. ・デジタル「バックボーン」 - 軍と民間の全領域の意思決定者とデータをシームレスかつ安全に共有するための技術、人材、組織的なプロセス。
・a digital ‘foundry’ – a software and data analytics development centre. This will use the capability and access to data provided by the ‘backbone’ to rapidly develop digital solutions in response to emerging needs; and ・デジタル「ファウンドリ」 - ソフトウェアとデータ分析開発センター。バックボーン」が提供する能力とデータへのアクセスを利用して、新たなニーズに対応したデジタルソリューションを迅速に開発する。
・an empowered digital function – a skilled and agile community of digital specialists who will help deliver digital transformation and closer integration across defence. ・デジタル機能の強化:デジタル技術の専門家による熟練した機敏なコミュニティで、デジタル変革の実現と防衛全体のより緊密な統合を支援する。
Scope of the report 報告書の範囲
Our report focuses on the May 2021 Digital Strategy for Defence and the MoD’s implementation of it. We, therefore, considered performance information between its publication and our cut-off point for reporting of 30 June 2022 (except where otherwise stated). We have not performed a detailed review of the MoD’s performance on previous digital strategies or programmes, except to the extent it continues to deliver them as part of the current strategy. 本報告書は、2021年5月の国防デジタル戦略とMoDによるその実施に焦点を当てている。したがって、我々は、その公表から我々の報告の締め切りである2022年6月30日までの間のパフォーマンス情報を検討した(特に明記されている場合を除く)。我々は、MoDの過去のデジタル戦略やプログラムに関するパフォーマンスについて、現行戦略の一部として継続的に提供する範囲を除き、詳細なレビューは行っていない。
Our scope includes the whole MoD because, although Defence Digital is responsible for leading implementation, the strategy is intended for all of defence. We do not draw a distinction in our scope between core IT infrastructure and deployed military technologies, as modern warfare requires the seamless movement of data and applications between these spaces. The MoD’s ambition is to create the infrastructure and organisational capability to do this. 我々の範囲はMoD全体を含むが、これは防衛デジタルが実施を主導する責任を負うものの、この戦略が防衛全体を対象とするものであるためである。現代の戦争では、これらの空間間でデータとアプリケーションをシームレスに移動させる必要があるため、私たちはコアITインフラと配備された軍事技術とを範囲内で区別していない。MoD の野望は、これを実現するためのインフラと組織的能力を構築することである。
Report conclusions 報告書の結論
The nature of modern conflict is rapidly digitising, affecting the MoD’s business and how the Armed Forces operate in the battlefield. The MoD has put in place a digital strategy to respond to this challenge, which is consistent with good practice, has provided clear direction across the MoD and has support from the most senior defence officials. The MoD has made good progress with bringing together and aligning digital practitioners across defence. However, its performance in delivering major digital technology programmes needs to improve and is a risk to achieving this alignment. 現代の紛争の性質は急速にデジタル化し、MoDのビジネスと軍隊の戦場での活動方法に影響を及ぼしている。MoDはこの課題に対応するため、デジタル戦略を導入した。この戦略は優れた実践に合致しており、MoD全体に明確な方向性を示し、国防当局の最高幹部から支持を得ている。国防総省は、国防総省全体のデジタル実務者を結集し、足並みを揃えることで、順調な進展を遂げてきた。しかし、主要なデジタル技術プログラムを実施する上でのパフォーマンスは改善する必要があり、この連携を達成する上でのリスクとなっている。
The MoD does not have a complete picture of its progress against the strategy and so cannot readily demonstrate whether it is on track to deliver it or not. To meet the needs of the modern battlefield, and enhance its business efficiency, the MoD must transform a large and complex organisation with an extensive legacy estate, using scarce specialist skills. Given the scale of the challenge and the persistent barriers to change, achieving the strategy’s objectives by 2025 is ambitious. As future delivery challenges emerge, it will be important for the MoD to prioritise its funding and specialist skills to where it needs them most urgently. The MoD will be able to do this more effectively if it can articulate better how it will achieve the strategy’s vision in practice and how it will measure success along the way, not least in supporting its wider departmental objectives. This will allow it to achieve greater value for money with its £4.4 billion of annual digital expenditure. MoDは、戦略に対する進捗状況を完全に把握していないため、戦略の実現に向けた軌道に乗っているかどうかを容易に示すことができない。現代の戦場のニーズを満たし、事業効率を高めるために、MoDは、希少な専門技術を駆使して、大規模で複雑な組織、広大なレガシー施設を変革しなければならない。課題の大きさと変化への根強い障壁を考えると、2025年までに戦略の目標を達成することは野心的である。将来的な課題として、国防総省は資金と専門技能を最も緊急に必要とするところに優先的に配分することが重要である。国防総省は、戦略のビジョンを実際にどのように達成し、その過程でどのように成功を測定するのか、特に、より広い省内目標を支援する上で、より明確にできれば、これをより効果的に行うことができます。そうすることで、年間44億ポンドのデジタル支出に対して、より高い費用対効果を得ることができるようになる。

 

・[PDF] Report - The Digital Strategy for Defence: A review of early implementation

20221101-14131

サマリー...

Summary 概要
1    The nature of modern warfare is changing, with access to and exploitation of information becoming vital to securing military advantage. The government’s Integrated Review placed greater priority on identifying and deploying new technologies faster than potential adversaries to enable operations across all arenas of warfare and collaborate better with partners. Cyberspace is itself also becoming an increasingly important arena of warfare, with external threats increasing and constantly evolving as access to offensive cyber capabilities becomes easier. 1 現代の戦争の性質は変化しており、情報へのアクセスとその活用は軍事的優位を確保するために不可欠になっている。政府の統合的レビューでは、戦争のあらゆる分野での作戦を可能にし、パートナーとのより良い協力関係を築くために、潜在的敵対者よりも早く新技術を特定し展開することをより重要視している。攻撃的なサイバー能力へのアクセスが容易になるにつれて、外部からの脅威が増大し、常に進化しているため、サイバースペース自体もますます重要な戦場となっている。
2    The Ministry of Defence’s (the Department’s) assessment is that it needs to keep pace with adversaries in adapting to this shifting technology landscape, but that it is not set up to implement digital technology at speed and scale. Like many government departments, its digital estate contains many aged (‘legacy’) systems, with resulting operational and cyber security vulnerabilities.1 The Department holds vast amounts of data, but those data are not easily accessible across its different component bodies. It also has gaps in critical skills and its organisational processes are not always suited to best delivering digital technology. 2 国防省(以下、省)の評価では、このように変化する技術状況に適応するために敵に追いつく必要があるが、デジタル技術を迅速かつ大規模に導入する体制が整っていないということである。多くの政府機関と同様、同省のデジタル資産には多くの老朽化した(「レガシー」)システムがあり、その結果、運用やサイバーセキュリティの脆弱性が生じている1。同省は膨大な量のデータを保有しているが、それらのデータは異なる構成組織間で容易にアクセスできない。また、重要なスキルの不足もあり、組織的なプロセスはデジタル技術の導入に必ずしも適しているとは言えない。
3    To address these challenges, the Department has developed the Digital Strategy for Defence (the strategy), which describes how it intends to transform its use of technology and data. The Department aims to achieve three strategic outcomes by 2025, which are: 3 こうした課題に対処するため、防衛省は「防衛デジタル戦略」(戦略)を策定し、技術やデータの活用をどのように変革するつもりかを説明している。同省は、2025 年までに次の 3 つの戦略的成果を達成することを目指している。
• a digital ‘backbone’ – this is how the Department describes the technology, people, and organisational processes that will allow it to share data seamlessly and securely with decision-makers across all the military and civilian domains. ・デジタル「バックボーン」 - 軍事・民間の全領域の意思決定者とデータをシームレスかつ安全に共有するための技術、人材、組織的プロセスを指す。
• a digital ‘foundry’ – a software and data analytics development centre. This will use the capability and access to data provided by the ‘backbone’ to rapidly develop digital solutions in response to emerging needs; and ・デジタル「ファウンドリ」-ソフトウェアとデータ分析開発センター。これは、「バックボーン」が提供する能力とデータへのアクセスを利用して、新たなニーズに対応したデジタルソリューションを迅速に開発するものである。
• an empowered digital function – a skilled and agile community of digital specialists who will help deliver digital transformation and closer integration across Defence. ・権限を与えられたデジタル機能:国防全体のデジタル変換と緊密な統合を実現するのに役立つ、熟練した機敏なデジタル専門家集団である。
4 The Department hopes that, collectively, these will help realise its vision for 2030 of allowing users across all Armed Forces and Defence organisations to access and use the data they need without barriers, and better support more joined-up decision-making. 4 国防省は、これらが一体となって、すべての軍と国防組織のユーザーが必要なデータに障害なくアクセスし、利用できるようにするという 2030 年のビジョンを実現し、より統合された意思決定を支援することを期待している。
1 Legacy refers to systems and applications that have been operationally embedded within a business function but have been overtaken by newer technologies or no longer meet changed business needs. 1 レガシーとは、これまでビジネス機能に組み込まれていたが、新しい技術に追い越されたり、変化したビジネスニーズに対応できなくなったシステムやアプリケーションを指す。
5 The Department’s chief information officer (CIO) leads Defence Digital, an organisation within Strategic Command. The CIO sits on the Department’s Executive Committee and reports jointly to the commander of Strategic Command and the second permanent secretary, who holds senior accountability for digital across Defence. The CIO and Defence Digital lead the digital function, which ensures that digital activity is coordinated across the Department and its Top-Level Budget (TLB) organisations. The CIO and Defence Digital are responsible for leading the implementation of the strategy, with support from TLBs, through a portfolio of organisational change and technology upgrades. 5 防衛省の最高情報責任者(CIO)は、戦略司令部内の組織である防衛デジタル(Defence Digital)を率いている。CIO は国防省の執行委員会のメンバーであり、戦略軍司令官と二等陸軍大臣に連名で報告し、国防全体のデジタルに 関する上級管理職の責任を負っている。CIOと国防デジタルは、国防省とそのトップレベル予算(TLB)組織全体でデジタル活動を調整するデジタル機能を主導している。CIOと国防デジタルは、TLBの支援を受けながら、組織改革と技術改良のポートフォリオを通じて、戦略の実施を主導する責任を負っている。
Our report 我々の報告書
6 Our report examines whether the Department is on track to achieve value for money in its implementation of its digital strategy. To do this, we would expect the Department to: 6 我々の報告書は、防衛省がデジタル戦略の実施においてバリュー・フォー・マネーを達成するための軌道に乗 っているかどうかを検証するものである。そのために、我々は同省に次のことを期待する。
• have put in place an appropriate strategy, considering its strategic context and existing digital estate, drawing on good practice; ・戦略的背景と既存のデジタル資産を考慮し、良い事例を参考にしながら、適切な戦略を導入している。
• have made initial progress implementing the strategy in line with a delivery plan, which allows it to measure and coordinate progress; and ・戦略の実施において、進捗を測定・調整するための実施計画に沿って初期段階での進捗があること。
• be working to address the biggest barriers to success and know how it will prioritise its resources and people. ・成功を阻む最大の障害に対処し、資源と人材の優先順位を決定していること。
• Part One looks at the Department’s strategic context, digital estate and the Digital Strategy for Defence. ・第1部では、国防省の戦略的背景、デジタル資産、国防のためのデジタル戦略について見ている。
• Part Two examines the Department’s progress with implementing the strategy. ・第2部では、同戦略の実施に向けた同省の進捗状況を検証している。
• Part Three considers key challenges to the Department’s implementation of the strategy. ・第3部では、国防省の戦略実施における主要な課題を考察している。
Scope of our work 我々の作業の範囲
8    Our report focuses on the May 2021 Digital Strategy for Defence and the Department’s implementation of it. We, therefore, considered performance information between its publication and our cut-off point for reporting of 30 June 2022 (except where otherwise stated). We have not performed a detailed review of the Department’s performance on previous digital strategies or programmes, except to the extent it continues to deliver them as part of the current strategy. 我々の報告書は、2021年5月の国防デジタル戦略とその実施に焦点を当てている。したがって、我々は、その公表から我々の報告の締め切りである2022年6月30日までの間のパフォーマンス情報を検討した(特に明記されている場合を除く)。我々は、デジタル戦略やプログラムに関する同省のパフォーマンスについて、現戦略の一部として継続的に実施する範囲を除き、詳細な検証は行っていない。
9    Our scope includes the whole Department because, although Defence Digital is responsible for leading implementation, the strategy is intended for all of Defence. We do not draw a distinction in our scope between core IT infrastructure and deployed military technologies, as modern warfare requires the seamless movement of data and applications between these spaces. The Department’s ambition is to create the infrastructure and organisational capability to do this. 9 私たちの調査範囲には、国防デジタル部門が実施を主導する責任を負っているものの、この戦略は国防全体を対象としているため、国防総省全体が含まれている。現代の戦争では、これらの空間間でデータやアプリケーションをシームレスに移動させる必要があるため、中核的なITインフラと配備された軍事技術との間に区別はしていない。国防省は、このためのインフラと組織的能力を構築することを目標としている。
Key findings 主な調査結果
The Digital Strategy for Defence 国防のためのデジタル戦略
10 Implementation of the strategy will help the Department to operate more effectively in an era of disruptive technology and evolving security threats. The government and Department have set out in several strategy and policy documents that the nature of warfare is changing. In response, the Department aims to join up military operations across land, air, sea, space and cyber and work closely with the rest of government, academia, industry and international partners. The Department has recognised that data are fundamental to achieving this integration and that it needs to transform its digital capabilities to be secure and easy to use so that it can share information seamlessly and make decisions based on data (paragraphs 1.2 to 1.4 and Figure 1). 10 この戦略の実施は、破壊的技術と進化する安全保障上の脅威の時代において、国防省がより効果的に活動するのに役立つだろう。政府と国防省は、いくつかの戦略や政策文書で、戦争の性質が変化していることを明らかにしている。これを受けて、同省は陸、空、海、宇宙、サイバーにわたる軍事作戦を連携させ、他の政府機関、学界、産業界、国際パートナーとの緊密な連携を目指す。同省は、この統合を達成するためにはデータが基本であり、シームレスな情報共有とデータに基づく意思決定ができるよう、安全で使いやすいデジタル機能に変革する必要があると認識している(パラグラフ1.2~1.4および図1)。
11 The Department’s assessment is that to keep pace with the increasing capabilities of adversaries requires a fundamental reset of its digital capability. The Department’s diagnosis is that its data are hard to access and share, it has gaps in critical skills, its core technology needs updating and its organisational processes are out of date. This is consistent with our wider work on the reasons government finds digital change challenging. The Department has a large legacy IT estate and upgrading to modern replacements is complex. Defence Digital estimated in 2019 that it would spend £11.7 billion over a decade updating or replacing systems, although this figure does not encompass all of the Department’s legacy estate (paragraphs 1.5 to 1.7 and Figure 2). 11 敵対者の能力向上に対応するためには、デジタル能力を根本的にリセットする必要があるというのが、同省の評価である。同省の診断では、データへのアクセスと共有が困難で、重要なスキルにギャップがあり、コアテクノロジーは更新が必要で、組織的なプロセスは時代遅れであるとしている。これは、政府がデジタル改革を困難と考える理由についての我々の幅広い研究と一致している。防衛省は大規模なレガシーIT資産を有しており、最新の代替技術へのアップグレードは複雑である。防衛デジタルは 2019 年に、システムの更新や交換に 10 年間で 117 億ポンドを費やすと推定したが、この数字は同省のレガシー不動産をすべて網羅しているわけではない(パラグラフ 1.5 ~ 1.7 および図 2)。
12 The nature of the Department’s business adds additional challenges to implementation of the strategy. The Department works across three security classifications (Official, Secret and Above Secret), which sometimes requires it to develop separate systems for each. The Department uses its technology in hostile environments with limited connectivity, such as at sea. This adds to the challenge of modernising and integrating technology. Adversaries also may be actively looking to degrade its digital and military capabilities. The Department shares data with international partners and must be able to work with their technical solutions and security policies (paragraphs 1.8 and 1.9). 12 省の事業の性質上、戦略の実施にはさらなる課題があります。同省は3つのセキュリティ区分(公安、機密、超機密)にまたがって業務を行っており、それぞれに個別のシステムを開発する必要がある場合もあります。また、同省は、海上など接続が制限された厳しい環境下で技術を使用している。そのため、技術の近代化と統合という課題もあります。また、敵対勢力も積極的にデジタルと軍事能力を低下させようとする可能性がある。同省は国際的なパートナーとデータを共有しており、その技術的なソリューションやセキュリティ方針と連携できなければならない(パラグラフ1.8および1.9)。
13 The Department’s digital strategy is consistent with good practice. The strategy states the Department will focus on technology, people, processes and cyber security so that it can securely and seamlessly share and exploit data. Importantly, the strategy recognises that data are a strategic asset and that people and processes are as vital as technology to successful digital change. Both wider government and the Department have been slow to implement digital strategies previously. However, there is strong support for the current strategy from the most senior leaders of the Department (paragraphs 1.10 to 1.14 and Figure 3). 13 同省のデジタル戦略は優れた実践と一致している。同戦略は、同省が安全かつシームレスにデータを共有し活用できるよう、技術、人材、プロセス、サイバーセキュリ ティに注力するとしている。重要なのは、この戦略が、データは戦略的資産であり、デジタル化の成功には、技術と同様に人とプロセスが不可欠であることを認識していることである。政府全体と省庁の両方がデジタル戦略を実施するのは、以前は遅かった。しかし、国防省の最高幹部は今回の戦略を強く支持している(パラグラフ 1.10 から 1.14 と図 3)。
Progress implementing the Digital Strategy for Defence 国防のためのデジタル戦略の実施進捗状況
14 The Department does not have a complete plan to implement the strategy or a clear way of measuring whether its implementation of the strategy is on track. Although the Department has individual plans supporting each of the individual workstreams and programmes, it has not brought these together to provide a complete picture of progress across the strategy. In our work on implementing digital change across government, we have stressed the need for an overall plan for how an organisation can transform itself that clearly sets out the associated ambition and risk. Such a plan would also allow the Department to prioritise its activity effectively when delivery challenges emerge (paragraphs 2.2 to 2.4). 14 防衛省には、戦略を実施するための完全な計画も、戦略の実施が順調に進んでいるかどうかを測る明確な 方法もない。国防省は個々のワークストリームやプログラムをサポートする個別の計画を持っているが、戦略全体の進捗状況を把握するためにこれらをまとめてはいない。政府全体のデジタル変革の実施に関する我々の作業では、組織がどのように自らを変革できるのか、関連する野心とリスクを明確に定めた全体計画の必要性を強調してきた。このような計画があれば、実現に向けた課題が浮上したときに、省は効果的に活動の優先順位を決めることができる(段落 2.2 から 2.4)。
15 The Department has substantially improved the governance of its digital function, which has begun to align Defence organisations to common digital standards and approaches. To create the coherence of digital activity needed to realise the strategy, the Department has developed common approaches and standards for aspects such as data, technology architecture and cyber security. For example, a new Chief Data Office has developed a Data Strategy and rules for formatting and managing data to make them more accessible and usable across Defence. The Department has also established governance to oversee the adoption of these standards across its business, which for 2021-22 it assessed as working effectively with only minor weaknesses. However, the changes required to comply with these standards are substantial, and currently at an early stage. For example, the Department has not yet fully mapped its legacy estate, and not all technology teams have adopted the new standards. Defence Digital sets TLBs annual tasks to improve digital coherence across the Department. For 2022-23, TLBs reported at the end of June that they are on track, or face only minor issues, with completing 66% of them. However, they face moderate issues with, or are at risk of not completing, 29% of them (paragraphs 2.5 to 2.11 and Figures 4 and 5). 国防省はデジタル部門のガバナンスを大幅に改善し、国防組織を共通のデジタル基準やアプローチに合わせ始めている。戦略の実現に必要なデジタル活動の一貫性を確保するため、同省はデータ、技術アーキテクチャ、サイバー・セキュリティなどの面で共通のアプローチと基準を策定した。例えば、新しいチーフ・データ・オフィスは、国防全体でよりアクセスしやすく使いやすいように、データ戦略やデータのフォーマットと管理に関するルールを策定した。また、同省は、事業全体におけるこれらの標準の採用を監督するガバナンスを確立しており、2021-22年については、わずかな弱点を除き、効果的に機能していると評価している。しかし、これらの標準に準拠するために必要な変更は相当なものであり、現在は初期段階である。例えば、同省はまだレガシー資産の地図を完全に作成しておらず、すべての技術チームが新基準を採用しているわけでもない。防衛デジタルは、省内のデジタル一貫性を向上させるためにTLBに年次課題を課している。2022-23年について、TLBは6月末に、66%の課題を完了し、順調である、あるいは小さな問題にしか直面していないと報告している。しかし、そのうちの29%については、中程度の問題に直面しているか、完了しない恐れがある(2.5~2.11項、図4、図5)。
16 The Department has improved its core IT services and has plans to improve services further. In 2015, the Department assessed that its users’ experience was unacceptable: its operating system was out of date; users had limited storage and collaboration tools; and its devices largely did not allow mobile working. As a result, the Department amended its core IT service contract to progressively roll out upgrades, such as an improved core IT system (MODNet), new software and mobile devices. While the Department judges that its core IT is now fit for purpose, it concluded that the contract was too large, insufficiently transparent to understand user experience, and lacking in levers to improve services further. It is now breaking the contract up and procuring its constituent services separately, which it will integrate itself. The new user service desk introduced in October 2021 supports this effort, by gathering information to spot common problems and address them faster. Following the introduction of the new service desk there was a fall in service performance, but it has recently begun to show improvement in service call waiting times and incident resolution times (paragraphs 2.12 to 2.14). 16 同省は、中核的なITサービスを改善し、さらにサービスを向上させる計画を持っている。2015年、同省は、オペレーティングシステムが旧式であること、ユーザーのストレージやコラボレーションツールが限られていること、デバイスの大部分がモバイルワークを許可していないことなど、ユーザーの体験が受け入れがたいものであると評価した。その結果、同省は基幹ITサービス契約を修正し、改良型基幹ITシステム(MODNet)、新しいソフトウェア、モバイルデバイスなどのアップグレードを順次展開することになりました。同省は、基幹ITが目的に適っていると判断する一方で、契約が大きすぎ、ユーザー体験を理解するための透明性が不十分で、サービスをさらに改善するためのレバーが不足していると結論づけた。現在、この契約を分割し、構成するサービスを別々に調達し、自ら統合する予定である。2021年10月に導入された新ユーザーサービスデスクは、この取り組みを支援するもので、情報を収集することで共通の問題を発見し、より迅速に対応することができる。新しいサービスデスクの導入後、サービスのパフォーマンスに低下が見られたが、最近になってサービスコールの待ち時間やインシデント解決時間に改善が見られ始めている(パラグラフ2.12から2.14)。
17 Defence Digital’s historically poor reputation for project and programme delivery has been a barrier to integrating digital activity across Defence. Defence Digital has a portfolio of more than 90 digital projects and programmes, including larger and more complex major programmes, many of which it needs to replace fragmented legacy systems and older software with newer capabilities. Defence Digital’s project delivery has suffered from a lack of skilled and experienced personnel, immature project controls, and a culture focused on the approvals process rather than outcomes. TLB CIOs told us that this undermined trust in Defence Digital’s delivery of the strategy and incentivised them to maintain or produce their own separate capabilities for certain requirements, rather than rely on shared ones delivered by the Department (paragraphs 2.15 and 2.16, and Figure 6). 17 防衛デジタルは、プロジェクトやプログラムの実施において歴史的に低い評価を受けているため、 防衛省全体のデジタル活動を統合する上での障害となっている。防衛デジタルは、大規模で複雑な大規模プログラムを含む90以上のデジタルプロジェクトとプログラム を抱えており、その多くは断片化したレガシーシステムや古いソフトウェアを新しい機能で置き換える必 要がある。防衛省デジタル局は、スキルや経験のある人材の不足、未熟なプロジェクト管理、成果よりも承認プロセスに重点を置く文化に悩まされてきました。TLBのCIOは、このことが防衛デジタルによる戦略遂行への信頼を損ない、省が提供する共有機能に頼らず、特定の要件に対して独自の機能を維持・生産する動機になったと語っている(2.15、2.16項、および図6)。
18 Defence Digital has recognised the weaknesses in its project and programme delivery and is taking action to begin improving them. Defence Digital is resetting its project delivery organisation with improvements including better management information and reporting. The effects are not yet clear in its performance, which the COVID-19 pandemic has also affected. In 2019-20, Defence Digital completed 76% of its most important project delivery milestones, but this fell to 57% in 2020-21 before recovering to 78% in 2021-22, with the Department aiming to increase this to 90%. As of June 2022, two-thirds of projects across its total portfolio reported delivery confidence ratings of green or amber-green, a level it has broadly maintained since the end of 2020-21. The delivery of its major programmes has remained challenging; the Infrastructure and Projects Authority (IPA) publicly rated five programmes for 2021-22, of which three programmes were rated amber, and two red.2 Defence Digital has further plans to improve delivery, including through additional technical training for its delivery staff (paragraphs 2.17 to 2.19 and Figure 6). 18 防衛デジタルは、プロジェクトやプログラムの提供における弱点を認識し、その改善に着手するための行動を起こしている。防衛デジタルは、より良い管理情報と報告を含む改善により、プロジェクトデリバリー組織を再構築している。その効果は、COVID-19のパンデミックも影響しているそのパフォーマンスにおいて、まだ明確ではない。2019-20年、Defence Digitalは最も重要なプロジェクトデリバリーのマイルストーンを76%完了したが、2020-21年には57%に落ち、2021-22年には78%に回復し、これを90%に引き上げることを目標としている。2022年6月時点で、ポートフォリオ全体の3分の2のプロジェクトが、納期の信頼性評価が「グリーン」または「アンバーグリーン」と報告されており、このレベルは2020-21年末以降もほぼ維持されている。防衛デジタルは、納品スタッフに対する技術トレーニングの追加など、納品を改善するためのさらなる計画を持っている(2.17~2.19項、図6)。
2 The IPA produces an annual report that assesses the likelihood of government major programmes achieving their aims and objectives on time and on budget. A ‘red’ rating means successful delivery appears unachievable; ‘amber’ that successful delivery appears feasible but that significant issues exist requiring management attention; and ‘green’ that successful delivery appears highly likely with no outstanding issues that appear to threaten delivery. Across its portfolio of programmes, Defence Digital internally uses a similar rating system that adds amber-green and amber-red as two further possible ratings. 2 IPA は、政府の主要プログラムが期限内・予算内に目的と目標を達成する可能性を評価する年次報告書を作成している。「レッド」の評価は、成功裏に完了することが不可能と思われることを意味し、「アンバー」の評価は、成功裏に完了することは可能であるが、管理上の注意を要する重大な問題が存在することを意味し、「グリーン」の評価は、完了を脅かすような目立った問題がなく、成功の可能性が非常に高いと思われることを意味している。防衛デジタルは、そのプログラムポートフォリオ全体にわたって、社内で同様の評価システムを使用しており、さらに2つの可能な評価としてアンバー・グリーンとアンバー・レッドを追加している。
Strategic challenges 戦略的課題
19 To make the strategy affordable Defence Digital increased its efficiency targets and reviewed its costs, which it found to be lower than it originally forecast. The Department had not fully funded the strategy when it published it in May 2021. There was a short-term funding gap for digital transformation of £248 million and an additional £260 million needed for the Digital Foundry. During 2021-22 Defence Digital and Strategic Command worked together to identify funding for the strategy and address wider financial pressures on Strategic Command. Defence Digital considers the strategy affordable following the Department’s annual budget cycle in March 2022, which prioritised allocating funding to the Digital Foundry. As part of the annual budget cycle Defence Digital found funding for the following few years by reviewing and refining cost forecasts which decreased by £190 million; increasing efficiency targets by £160 million; capitalising £110 million of resource expenditure; and stopping £60 million of lower-priority work. The Department is likely to continue to experience funding challenges for digital transformation: it may need to fund new capabilities; it may underperform against efficiency targets; and it may experience future cost increases (paragraphs 3.2 to 3.4, 3.9 and 3.10). 19 戦略を低コストで実現するため、Defence Digital は効率目標を高め、コストを見直したが、当初の予測より 低いことが判明した。同省は、2021 年 5 月に戦略を発表した際、資金を十分に調達していなかった。デジタル・トランスフォーメーションに2億4,800万ポンドの短期的な資金ギャップがあり、デジタル・ファウンドリに2億6,000万ポンドの追加資金が必要であった。2021-22年の間、防衛デジタルと戦略的司令部は、戦略のための資金を特定し、戦略的司令部に対するより広い財政的圧力に対処するために協力した。国防デジタルは、2022年3月の省内年次予算サイクルの後、デジタルファウンドリへの資金配分を優先させ、戦略を手頃なものにすると考えている。年次予算サイクルの一環として、防衛デジタルは、1億9,000万ポンド減少したコスト予測の見直しと改良、1億6,000万ポンドの効率化目標の増加、1億1000万ポンドの資源支出の資産化、6,000万ポンドの優先度の低い業務の停止によって、その後の数年間の資金を確保した。同省は今後もデジタル変革のための資金調達に苦労しそうだ。新たな能力に資金が必要になる可能性があり、効率性目標に対するパフォーマンスが低下し、将来のコスト増に見舞われるかもしれない(パラグラフ 3.2 から 3.4、 3.9、 3.10)。
20 Defence Digital is on track to exceed its efficiency targets for this Spending Review period and aims to identify up to £790 million more by 2032-33. Defence Digital has formal targets for £1,370 million of cash-releasing efficiencies by 2032-33 but has ambitions to go beyond this and make £2 billion. In June 2022 Defence Digital forecast making £1,215 million of cash-releasing efficiencies between 2023-24 and 2032-33. In the first two years it expects to overachieve against the formal target. However, over the 10-year period it still needs to find £160 million to meet its formal target and £790 million to match its full ambition, and is continuing to work on doing so. It plans for efficiencies to come from workforce transformation, supplier management, automation and data centre rationalisation. Defence Digital’s performance in increasing efficiency will affect the funding available for the Department to invest in its priorities, including the strategy, and to address future financial pressures (paragraphs 3.5 to 3.10 and Figure 7). 20 国防デジタルは、今回の歳出見直し期間中の効率目標を上回るペースで推移しており、2032-33 年までにさらに最大 7 億 9,000 万ポンドを確認することを目標としている。国防デジタルは、2032-33 年までに 13 億 7,000 万ポンドの現金還元効率化の公式目標を掲げているが、これを超えて 20 億ポンドを達成する野心を持っている。2022 年 6 月、Defence Digital は 2023-24 年から 2032-33 年の間に 12 億 1500 万ポンドの現金回収の効率化を達成すると予測した。最初の2年間は、正式な目標に対して超過達成する見込みである。しかし、10年間では、正式な目標を達成するために1億6,000万ポンド、完全な野心に見合うために7億9,000万ポンドを見つける必要があり、そのための努力を続けている。また、労働力の転換、サプライヤー管理、自動化、データセンターの合理化によって効率化を図る計画である。防衛デジタルによる効率化の成果は、同省が戦略を含む優先事項に投資し、将来の財政圧迫に対処するために利用できる資金に影響を与える(パラグラフ 3.5 から 3.10 および図 7)。
21 The Department does not have enough people with the right digital skills, which is affecting delivery of the strategy. There is a digital skills shortage across UK industry and the public sector, and the Department finds it hard to recruit and retain talent. This is because the Department cannot match private sector pay, and not all TLBs have the authority from the Department to apply pay uplifts for digital specialists, which is creating internal competition. Technologists see the Department as bureaucratic and the hiring process, including getting security clearance, takes too long. The Department also finds it increasingly difficult to recruit digital specialists to work in Defence Digital’s main location in Corsham – it intends to make working flexibly the default to help with this issue. The shortfall of technical skills is affecting the delivery of both individual programmes and the strategy as a whole (paragraphs 3.11 to 3.15 and Figure 8). 21 同省には適切なデジタル技術を持つ人材が不足しており、それが戦略の実現に影響を与えている。英国の産業界や公共部門ではデジタル技術が不足しており、同省は人材の採用や維持が困難であると判断している。これは、同省が民間企業の給与に見合わないこと、また、すべてのTLBがデジタル専門家の給与アップを適用する権限を同省から与えられていないため、内部競争が発生していることに起因する。技術者は、同省を官僚的で、セキュリティクリアランスの取得を含む採用プロセスに時間がかかりすぎると考えている。また、防衛省は、防衛デジタル部の主要拠点であるコルシャムで働くデジタル専門家の確保がますます難しくなっていると感じている。この問題を解決するために、フレキシブルに働くことをデフォルトにするつもりだ。技術スキルの不足は、個々のプログラムと戦略全体の両方に影響を与えている(段落 3.11 から 3.15 および図 8)。
22 Defence Digital is trying several initiatives to fix its skills gaps, but its progress has not been fast enough to match the problem and a different approach is required. Our wider work across government suggests that, based on its current plans, the Department will find it difficult to make progress on this issue at the pace it wants. Defence Digital’s ‘Digital Skills for Defence’ programme aims to enhance digital skills across the Department for its digital professionals, leaders and the remaining workforce. Defence Digital is tackling its own workforce challenge by recruiting for technical skills, investing in training, removing legacy roles and reducing the contractor workforce. This activity has taken it longer than anticipated, due to the complexity of developing a workforce plan, and it has begun implementing key elements while it finalises this plan. By June 2022, it had hired 42 of the 151 people with critical skills that it wanted and was in the process of bringing in 39 more. Defence Digital has 3,090 workers, of whom 570 are contractors (18%). It intends to reduce workforce costs further, through organisational restructuring and by reducing the cost of contractors. Defence Digital has started extending its approach to TLBs, who are largely on track to align with it, but still face their own issues acquiring skilled people (paragraphs 3.15 to 3.19). 22 防衛デジタルはスキル不足を解消するためにいくつかの取り組みを試みているが、その進捗は問題 に見合うほど早くはなく、別のアプローチが必要である。我々の政府全体にわたる幅広い取り組みによると、現在の計画に基づくと、同省が望むペースでこの問題を進展させることは困難であると考えられる。防衛デジタルの「防衛のためのデジタルスキル」プログラムは、デジタル専門家、リーダー、および残りの労働力のために、省全体のデジタルスキルを強化することを目的としている。防衛デジタルは、技術スキルの採用、トレーニングへの投資、レガシー業務の廃止、契約社員の削減など、独自の労働力問題に取り組んでいる。この活動は、労働力計画の策定が複雑なため、予想以上に時間がかかっており、この計画を確定する一方で、主要な要素の実行を開始している。2022年6月までに、希望する重要なスキルを持つ151人のうち42人を採用し、さらに39人を迎え入れようとしているところであった。Defence Digitalの従業員数は3,090人で、そのうち570人が契約社員(18%)である。同社は、組織再編や契約社員のコスト削減により、人件費をさらに削減する意向だ。防衛デジタルはTLBへのアプローチを開始し、TLBはほぼ軌道に乗ったが、熟練した人材の獲得という独自の問題に直面している(パラグラフ3.15~3.19)。
23 The Department’s CIO and Defence Digital are accountable for leading the implementation of the strategy, but they do not have all the organisational levers needed to do so. The CIO is accountable for the whole Department’s use of technology and data but only has direct control of £2.7 billion of Defence’s estimated £4.4 billion digital spend. There are business changes needed to realise the strategy, which the wider Department will need to deliver. For example, the Department’s lengthy approvals and acquisition processes do not suit the more iterative approach favoured in technological change. The Department’s senior leadership has recognised that trying to influence the wider Department through the digital function is not enough. The Department is now addressing this as part of its agenda to exploit digital for wider Defence objectives (paragraphs 3.20 to 3.23). 23 省のCIOと防衛デジタル部門は戦略の実施を主導する責任を負っているが、そのために必要な組織的なレバーをすべて 持っているわけでもない。CIO は省全体のテクノロジーとデータ活用に責任を持つが、国防省のデジタル関連支出 44 億ポンドのうち 27 億ポンドを直接管理できるに過ぎない。戦略を実現するために必要なビジネスの変化もあり、それを省全体で実現する必要がある。例えば、国防省の長い承認と取得のプロセスは、技術革新で好まれる反復的なアプローチに適していない。同省の上級幹部は、デジタル部門を通じて省内全体に影響を及ぼそうとしても十分ではないことを認識している。同省は現在、デジタル技術をより広い国防目標に活用するためのアジェンダの一環として、この問題に取り組んでいる(3.20~3.23項)。
Conclusion on value for money バリュー・フォー・マネーの結論
24 The nature of modern conflict is rapidly digitising, affecting the Department’s business and how the Armed Forces operate in the battlefield. The Department has put in place a digital strategy to respond to this challenge, which is consistent with good practice, has provided clear direction across the Department and has support from the most senior Defence officials. The Department has made good progress with bringing together and aligning digital practitioners across Defence. However, its performance in delivering major digital technology programmes needs to improve and is a risk to achieving this alignment. 24 現代の紛争の性質は急速にデジタル化され、国防省の事業や軍隊の戦場での活動方法に影響を 及ぼしている。同省はこの課題に対応するため、デジタル戦略を導入した。この戦略は優れた実践に合致しており、省 全体に明確な方向性を示し、国防省の最高幹部から支持を得ている。国防省は、国防省全体のデジタル実務者を結集し、足並みを揃えることで、良い成果を上げてきた。しかし、主要なデジタル技術プログラムを実施する上でのパフォーマンスは改善される必要があり、この整合性を達成する上でのリスクとなっている。
25 The Department does not have a complete picture of its progress against the strategy and so cannot readily demonstrate whether it is on track to deliver it or not. To meet the needs of the modern battlefield, and enhance its business efficiency, the Department must transform a large and complex organisation with an extensive legacy estate, using scarce specialist skills. Given the scale of the challenge and the persistent barriers to change, achieving the strategy’s objectives by 2025 is ambitious. As future delivery challenges emerge, it will be important for the Department to prioritise its funding and specialist skills to where it needs them most urgently. The Department will be able to do this more effectively if it can articulate better how it will achieve the strategy’s vision in practice and how it will measure success along the way, not least in supporting its wider departmental objectives. This will allow it to achieve greater value for money with its £4.4 billion of annual digital expenditure. 25 国防省は戦略に対する進捗状況を完全に把握していないため、戦略の実現に向けた軌道に乗っているかどうか を容易に示すことができない。現代の戦場のニーズを満たし、事業効率を高めるために、防衛省は、希少な専門技術を駆使して、広大な遺産を持つ大規模で複雑な組織を変革しなければならない。課題の大きさと変革への根強い障壁を考えると、2025年までに戦略の目標を達成することは野心的である。将来的な課題として、同省は資金と専門技能を最も緊急に必要とするところに優先的に配分することが重要である。そのためには、戦略のビジョンを実際にどのように達成するのか、また、その過程でどのように成功を測定するのか、特に、より広い省内目標を支援する上で、より明確に示すことができれば、より効果的にこれを行うことができるだろう。これによって、同省は年間44億ポンドのデジタル支出に対して、より高い費用対効果を達成することができるだろう。
Recommendations 提言
26 Our recommendation aims to support the Department as it attempts to implement the strategy by its target date of 2025. We recommend the Department should immediately create a clear delivery plan for the digital strategy which: 26 我々の提言は、2025年という目標期日までに戦略を実施しようとする同省を支援することを目的としている。我々は、同省がデジタル戦略の明確な実施計画を直ちに策定するよう勧告する。
• integrates the strategy with wider efforts to transform the department, deliver efficiencies and exploit technology; ・デジタル戦略は、省庁の変革、効率化、技術活用のための幅広い取り組みと統合されている。
• identifies and prioritises all the activities needed to achieve its strategic outcomes; ・戦略的成果を達成するために必要なすべての活動を特定し、優先順位をつける。
• identifies what people, skills and funding it will need to deliver these; ・そのために必要な人材、スキル、資金を特定する。
• develops a set of leading indicators to show the prospects for future progress; and ・将来の進歩の見通しを示す一連の先行指標を開発する。
• sets out and agrees a consistent set of performance information for use across the digital function and the wider Department. ・デジタル部門とより広い省内で使用するための一貫したパフォーマンス情報を定め、合意する。

 

 

・[PDF] Summary - The Digital Strategy for Defence: A review of early implementation

20221101-14131

 


 

参考

英国国防省 国防のデジタル戦略

U.K. Governance

・2022.05.27 Digital Strategy for Defence

・[PDF] Digital Strategy for Defence - Delivering the Digital Backbone and unleashing the power of Defence's data

20221101-22050

 

 

 

| | Comments (0)

第44回 世界プライバシー会議 顔認識に関する決議

こんにちは、丸山満彦です。

2022.10.25-26にトルコのイスタンブールで第44回 世界プライバシー会議  (Global Privacy Assembly: GPA) が開催されましたが、顔認識技術における個人情報の適切な使用に関する決議を採択したようですね。。。

Global Privacy Assembly: GPA

1_20221101004401

 

第44回 世界プライバシー会議  (Global Privacy Assembly: GPA)

キーノート、パネルの標題は次の通りです。。。

Keynote 1: Addressing the Artificial Intelligence Challange to Law, Ethics and Democracy 基調講演1:法、倫理、民主主義に対する人工知能の挑戦への対応
Panel 1: Privacy Concerns in the Facial Recognition Technology (FRT) パネル1:顔認識技術(FRT)におけるプライバシーへの懸念
Panel 2: Assessment of Emerging Technologies in the Light of Privacy Principles パネル2:プライバシー原則に照らした新技術の評価
Keynote 2: Big Data: Challenges for Privacy 基調講演2:ビッグデータ:プライバシーに関する課題
Panel 3: Interaction between the Consumer Rights, Competition and Privacy パネル3:消費者の権利、競争、プライバシーの相互作用
Keynote 3: The Role of Private Sector in the Use of Surveillance Technologies 基調講演3:監視技術利用における民間の役割
Panel 4: Mass Surveillance on the Web パネル4:ウェブ上の大量監視
Keynote 4: Digitalization and Privacy: Building Trust for Individuals 基調講演4:デジタル化とプライバシー:個人のための信頼構築
Panel 5: Blockchain and Metaverse: Privacy and Data Protection パネル5:ブロックチェーンとメタバース プライバシーとデータ保護
Keynote 5: Convergence of Data Protection Regulations on Cross-Border Data Transfers 基調講演5:国境を越えたデータ移転におけるデータ保護規制の収束について
Panel 6: Efficiency of Mechanisms Developed for Cross-Border Data Transfers パネル6:国境を越えたデータ移転のために開発されたメカニズムの効率性
Keynote 6: Privacy Risks for Vulnerable Groups 基調講演6: 脆弱な集団のプライバシーリスク
Panel 7: Considering Life and Privacy Together: Common Approaches to Personal Data Protection in Disaster/Crisis Management and Humanitarian Aid パネル7:生命とプライバシーを共に考える。災害・危機管理および人道支援における個人情報保護への共通アプローチ
Panel 8: Protection of Children’s Personal Data in the Digital Age パネル8:デジタル時代における子どものパーソナルデータの保護

 

新技術(人工知能、顔認識技術)の話、消費者との関係の話、プライバシーと主権の問題、災害・危機管理とプライバシーの問題、子供とプライバシーの問題など、興味深い内容ですね。。。

 

Keynote 1: Addressing the Artificial Intelligence Challange to Law, Ethics and Democracy 基調講演1:法、倫理、民主主義に対する人工知能の挑戦への対応
Artificial Intelligence (AI) applications are increasingly used in areas of importance both to fundamental rights and public interest, such as health, education, elections, recruitment and workplace management, security and e-commerce. The privacy impacts of AI are not negligible, neither in the private nor in the public sector. How can AI applications be regulated to ensure a future proof protection of individuals while at the same time fostering innovation? AI applications and systems will have to be evaluated from an ethical perspective and on the basis of fundamental rights, according to principles such as accountability, fairness, transparency, non-discrimination, proportionality and data minimization. And what is the relationship of “explainability” in AI ('XAI') to these concepts? 人工知能(AI)アプリケーションは、健康、教育、選挙、採用や職場管理、セキュリティ、電子商取引など、基本的権利と公共の利益の双方にとって重要な分野でますます利用されるようになってきている。AIがもたらすプライバシーの影響は、民間企業でも公共機関でも無視できない。イノベーションを促進すると同時に、将来にわたって個人の保護を確保するために、AIアプリケーションはどのように規制されるのでしょうか。AIアプリケーションやシステムは、説明責任、公平性、透明性、無差別性、比例性、データ最小化などの原則に従って、倫理的観点から、基本的権利に基づき評価されなければならないだろう。そして、AIにおける「説明可能性」('XAI')は、これらの概念とどのような関係にあるのだろうか。
Paul Nemitz, Principal Advisor, Directorate-General for Justice and Consumers, European Commission 欧州委員会 司法・消費者総局 主席顧問 ポール・ネミッツ氏
Panel 1: Privacy Concerns in the Facial Recognition Technology (FRT) パネル1:顔認識技術(FRT)におけるプライバシーへの懸念
FRT applications, which are used for the purposes such as verification, identification and classification, raise privacy concerns. In this session, the discussion will be on whether both public and private sectors observe the principles that need to be followed for the use of this technology in a manner that will not harm fundamental rights and not lead to discrimination. In addition, possible solutions will be evaluated to provide a balance between the use of FRTs and the right to protection of personal data while ensuring public security. The discussion will also draw from the data protection principles and expectations for the development and use of FRT, risk mitigation policies and the need of global policy. FRTアプリケーションは、認証、識別、分類などの目的で使用されるため、プライバシーに関する懸念があります。本セッションでは、基本的人権を侵害せず、差別につながらない形でこの技術を利用するために、官民双方が守るべき原則を守っているかどうかを議論します。さらに、FRTの利用と個人情報保護の権利のバランスを取りながら、公共の安全を確保するために可能な解決策を評価します。また、データ保護の原則やFRTの開発・利用に対する期待、リスク軽減政策、グローバルな政策の必要性なども議論される予定です。
Moderator モデレーター
Marc Rotenberg, Director, Center for AI and Digital Policy マーク・ローテンバーグ(AI・デジタル政策センター ディレクター
Panelists パネリスト
Angelene Falk, Commissioner, Office of the Australian Information Commissioner (OAIC) オーストラリア情報コミッショナー事務所(OAIC)コミッショナー Angelene Falk氏
Brenda Leong, Partner, BNH.AI Law Firm BNH.AI法律事務所 パートナー ブレンダ・レオン氏
Merve Hickok, Founder, AIethicist.org メルヴェ・ヒコック(AIethicist.org創設者
Catherine Jasserand, Postdoctoral Researcher, KU Leuven Centre for IT&IP Law カトリーヌ・ジャスラン KUルーヴェンIT&IP法センター博士研究員
Panel 2: Assessment of Emerging Technologies in the Light of Privacy Principles パネル2:プライバシー原則に照らした新技術の評価
Measures that can be taken from the initial development of technological systems and throughout their use will be discussed in order to prevent the misuse of personal data, in the balance of protection of personal data and development of artificial intelligence. In this context, privacy impact assessment, privacy by design and default, privacy enhancing technologies will be covered in the light of latest improvements of AI. 個人情報の保護と人工知能の発達のバランスの中で、個人情報の悪用を防ぐために、技術システムの開発当初からその利用を通じて講じることができる対策について議論する。その中で、プライバシー影響評価、プライバシー・バイ・デザイン、デフォルト、プライバシー強化技術について、最新のAIの改良を踏まえて解説する。
Moderator モデレーター
Michael McEvoy, Commissioner, British Columbia Information and Privacy Commission (OIPC), Canada マイケル・マッケボイ(カナダ ブリティッシュ・コロンビア州情報・プライバシー委員会(OIPC)コミッショナー
Panelists パネリスト
Ann Cavoukian, Executive Director, Global Privacy & Security by Design Center アン・カヴーキアン(Global Privacy & Security by Design Center エグゼクティブ・ディレクター
Alessandra Pierucci, Chair of the Consultative Committee of Convention 108, Council of Europe アレッサンドラ・ピアッチ(欧州評議会108号条約諮問委員会委員長
Naomi Lefkovitz, Senior Privacy Policy Advisor Manager, National Institute of Standards and Technology, U.S. Department of Commerce Naomi Lefkovitz, 米国商務省国立標準技術研究所 上級プライバシー・ポリシー・アドバイザー・マネージャ
Hüseyin Can Aksoy, Associate Professor, Faculty of Law, İhsan Doğramacı Bilkent University Hüseyin Can Aksoy, ビリケント大学法学部助教授
William Malcolm, Director, Privacy Legal of Google ウィリアム・マルコム グーグル社プライバシー・リーガル部門ディレクター
Keynote 2: Big Data: Challenges for Privacy 基調講演2:ビッグデータ:プライバシーに関する課題
The “Big Data” phenomenon has enabled the systematic collection and rapid analysis of data, and its use to serve various purposes. Since data sets mostly include personal data, it requires application of data protection rules. Within that context, the term of big data and the tension between big data applications and data protection regulations will be discussed. 「ビッグデータ」現象は、データの体系的な収集と迅速な分析を可能にし、その利用は様々な目的を果たす。データセットには個人情報が含まれることが多いため、データ保護ルールの適用が必要となる。その中で、ビッグデータという用語と、ビッグデータの活用とデータ保護規制の間の緊張関係について議論する。
Alessandro Mantelero, Associate Professor of Private Law and Law & Technology, Polytechnic University of Turin アレッサンドロ・マンテレロ トリノ工科大学私法・法律と技術学科准教授
Panel 3: Interaction between the Consumer Rights, Competition and Privacy パネル3:消費者の権利、競争、プライバシーの相互作用
In this session, the focus will be on the protection of privacy in the face of “big data”, which plays a crucial role in making personal data the backbone of many digital markets in today’s data-driven economy. In this context, the discussion will cover the following topics; the privacy risks of big data applications, regulation of big data based on the interaction between the consumer rights and competition law, the rapidly increasing economic use of big data sets in the digital platforms. The work will draw from the GPA’s work in the DCCWG and past GPA resolutions relating to big data, seeking future regulatory solutions and actions to address the greatest challenges. このセッションでは、今日のデータ駆動型経済において、個人データを多くのデジタル市場の基幹とする上で重要な役割を果たす「ビッグデータ」に直面した際のプライバシー保護に焦点を当てます。この文脈では、ビッグデータアプリケーションのプライバシーリスク、消費者の権利と競争法の相互作用に基づくビッグデータの規制、デジタルプラットフォームにおいて急速に増加するビッグデータセットの経済的利用、といったトピックが議論される予定です。GPAのDCCWGにおける活動や、ビッグデータに関する過去のGPA決議から、最大の課題に対処するための将来の規制的解決策と行動を模索します。
Moderator モデレーター
Andrea Jelinek, Chair, European Data Protection Board (EDPB); Director, Austrian Data Protection Authority アンドレア・イェリネク 欧州データ保護委員会(EDPB)委員長、オーストリアデータ保護局 局長
Panelists パネリスト
Lina Khan, Chair, Federal Trade Commission (FTC) リナ・カーン、米連邦取引委員会(FTC)委員長
Claudia Berg, General Counsel, Information Commissioner's Office (ICO) クラウディア・バーグ、情報コミッショナー事務所(ICO)相談役
Erika M. Douglas, Assistant Professor, Temple University Beasley School of Law エリカ・M・ダグラス テンプル大学ビーズリー・ロー・スクール助教授
Katharine Kemp, Senior Lecturer, Faculty of Law, UNSW キャサリン・ケンプ UNSW法学部上級講師
Keynote 3: The Role of Private Sector in the Use of Surveillance Technologies 基調講演3:監視技術利用における民間の役割
Even though surveillance has been traditionally studied in terms of state-citizen relationship, due to developing technologies, it has become easier for the private sector to monitor the individuals and, therefore, data emerges as an economic value. Within this scope, how can data protection authorities ensure that the right to data protection is assured while promoting the development of private sector in a proportional approach using people’s data in a legitimate, transparent and accountable way? 監視は従来、国家と市民の関係で研究されてきたが、技術の発展により、民間セクターが個人を監視することが容易になり、その結果、データが経済的価値として浮上してきている。このような状況の中で、データ保護当局はどのようにしてデータ保護の権利を確保しつつ、人々のデータを合法的かつ透明で説明責任のある方法で利用する民間部門の発展を比例的に促進することができるでしょうか。
Ashkan Soltani, Executive Director of the California Privacy Protection Agency アシュカン・ソルタニ(カリフォルニア州プライバシー保護局エグゼクティブ・ディレクター
Panel 4: Mass Surveillance on the Web パネル4:ウェブ上の大量監視
Tracking on the internet is carried out in an increasingly invisible and opaque way for the data subjects through online identifiers such as cookies, device fingerprinting, tracking pixels, and beacons used on the web. Thus, personal data could be widely used in behavioural targeting via the tracking technologies including Adtech. People can be exposed to discrimination through profiling and inferences from the profiles of individuals tracked through different domains and different devices. Besides, information collected for such targeting purposes is transferred between different parties in the advertising networks. This session covers the issues: potential solutions and measures for transparency, how to obtain the consent effectively, how to ensure accountability and transparency and various enforcement approaches. インターネット上のトラッキングは、ウェブ上で使用されるクッキー、デバイスフィンガープリント、トラッキングピクセル、ビーコンなどのオンライン識別子を通じて、データ対象者にとってますます不可視かつ不透明な形で実施されている。したがって、個人データは、Adtechを含むトラッキング技術を通じて、行動ターゲティングに広く使用される可能性がある。人々は、異なるドメインや異なるデバイスを通じて追跡された個人のプロファイルからのプロファイリングや推論を通じて、差別にさらされる可能性があります。また、このようなターゲティングのために収集された情報は、広告ネットワーク内の異なる当事者間で転送されます。このセッションでは、透明性のための潜在的な解決策と対策、効果的に同意を得る方法、説明責任と透明性を確保する方法、様々な執行アプローチといった問題を取り上げます。
Moderator モデレーター
Brent R. Homan, Deputy Commissioner, Office of the Privacy Commissioner of Canada ブレント R. ホーマン(カナダ個人情報保護委員会事務局 副委員長
Panelists パネリスト
Luis de Salvador Carrasco, Director of Technological Innovation Division, Spanish Data Protection Authority (AEPD) ルイス・デ・サルバドール・カラスコ、スペインデータ保護局(AEPD)技術革新部門ディレクター
Massimo Attoresi, Acting Head of Unit Technology and Privacy, European Data Protection Supervisor (EDPS) マッシモ・アトレジ 欧州データ保護監督局(EDPS)技術・プライバシーユニット長代理
Colin Bennett, Professor, Department of Political Science at the University of Victoria, Canada コリン・ベネット(カナダ・ビクトリア大学政治学部教授
Josefina Román Vergara, Commissioner, INAI, Mexico Josefina Román Vergara, INAI コミッショナー, メキシコ
Erik Neuenschwander, Apple’s Director of User Privacy エリック・ノイエンシュワンダー(Apple社ユーザープライバシー担当ディレクター
Keynote 4: Digitalization and Privacy: Building Trust for Individuals 基調講演4:デジタル化とプライバシー:個人のための信頼構築
In the digital era, the need to use the technological advancements for the benefit of humans is beyond dispute. In this session, the balance between technology and the protection of personal data will be discussed from the standpoint of trust. Mechanisms for building trust for the individuals will be evaluated in the light of recent technological advancements. デジタル時代において、技術の進歩を人間のために利用することの必要性は論を待ちません。本セッションでは、テクノロジーと個人情報保護のバランスを、信頼という観点から議論する。また、個人に対する信頼を構築するためのメカニズムについて、近年の技術的進歩に照らして評価する。
Perihan Elif Ekmekci, Associate Professor, Faculty of Medicine, TOBB University of Economics and Technology TOBB経済技術大学医学部准教授 Perihan Elif Ekmekci 氏
Panel 5: Blockchain and Metaverse: Privacy and Data Protection パネル5:ブロックチェーンとメタバース プライバシーとデータ保護
The application of existing data protection regulations may prove to be challenging at the light of the development of certain new technologies as Blockchain and Metaverse. Thus, the primary themes to be addressed in this panel with regard to blockchain technology can be listed as; “how to determine the jurisdiction and applicable law”, “determining data controller and data processor”, and “how to ensure that data subjects exercise their rights (especially the right to be forgotten) in non-editable and non-erasable blockchain”. In terms of metaverse, the focus in this session will be on the challenges posed by the universes built on augmented reality and virtual reality in the perspective of privacy. In this framework, the following topics will be evaluated; the concept of “Metaverse”, challenges that may arise when applying existing data protection regulations to the Metaverse (such as determination of the data controller-data processor / data sharing-transfer / ensuring that data subjects exercise their rights), advertising technology, cybersecurity and new cyber threats that may emerge in the Metaverse. ブロックチェーンやメタバースのような新しい技術の発展により、既存のデータ保護規制の適用が困難になる可能性があります。そこで、本パネルでは、ブロックチェーン技術に関して、「管轄と適用法の決定方法」、「データ管理者とデータ処理者の決定」、「編集・消去不可能なブロックチェーンにおいてデータ主体が権利(特に忘れられる権利)を確実に行使する方法」を主要テーマとして挙げることができる。メタバースに関しては、本セッションでは、プライバシーの観点から、拡張現実や仮想現実上に構築されたユニバースがもたらす課題に焦点を当てる予定である。この枠組みにおいて、「メタバース」の概念、既存のデータ保護規制をメタバースに適用する際に生じうる課題(データ管理者-データ処理者の決定/データの共有-移転/データ主体の権利行使の確保など)、広告技術、サイバーセキュリティ、メタバースに出現しうる新たなサイバー脅威などを評価する。
Moderator モデレーター
Gianclaudio Malgieri, Associate Professor, EDHEC, Business School, Lille ジャンクラウディオ・マルジェリ(EDHEC、リール・ビジネススクール、准教授
Panelists パネリスト
Krenare Sogojeva Dermaku, Information and Privacy Commissioner, Information and Privacy Agency, Kosovo クレナレ・ソゴジェヴァ・デルマク(Krenare Sogojeva Dermaku) コソボ情報・プライバシー庁 情報・プライバシーコミッショナー
Daniel Leufer, Senior Policy Analyst, Access Now ダニエル・ロイファー(アクセス・ナウ、シニア・ポリシー・アナリスト
Victoria Lemieux, Professor, Archival Science, School of Information, University of British Columbia ビクトリア・レミュー(Victoria Lemieux) ブリティッシュ・コロンビア大学情報学部教授
Pınar Çağlayan Aksoy, Associate Professor, Faculty of Law , İhsan Doğramacı Bilkent University Pınar Çağlayan Aksoy、イフサン・ドグラマク・ビルケント大学法学部准教授
Rob Sherman, Vice President and Deputy Chief Privacy Officer for Policy, META ロブ・シャーマン META副社長兼政策担当副最高プライバシー責任者
Keynote 5: Convergence of Data Protection Regulations on Cross-Border Data Transfers 基調講演5:国境を越えたデータ移転におけるデータ保護規制の収束について
In such a period where cross-border data flows have accelerated, it has become crucial to ensure cooperation among governments, regional and international organisations having a view to protecting personal data with a common understanding. Accordingly, legal and technical barriers to data transfers, solutions to such barriers, and examples from existing practices will be evaluated all together. 国境を越えたデータの流れが加速する中、個人情報保護の観点から、政府、地域、国際機関が共通の認識を持って協力することが重要となっています。そこで、データ転送を阻む法的・技術的な障害とその解決策、および既存の実践事例を一挙に評価する。
Ulrich Kelber, Federal Commissioner for Data Protection and Freedom of Information (BfDI), Germany Marie-Laure Denis, President of CNIL ウルリッヒ・ケルバー データ保護・情報自由担当連邦委員(BfDI)、ドイツマリー=ローレ・ドニ CNIL会長
Panel 6: Efficiency of Mechanisms Developed for Cross-Border Data Transfers パネル6:国境を越えたデータ移転のために開発されたメカニズムの効率性
Regulations and practices for cross-border data transfers differ from each other globally. There are also mechanisms in place allowing cross-border data flows under certain conditions. In this context, this panel will cover the issues such as: (i) the latest updated mechanism/s, such as the Global CBPR (Cross Border Privacy Rules) Forum certification or the EU-US Transatlantic Data Privacy Framework that can be used to ensure free flow of data, (ii) standards to be applied to ensure protection of personal data against mass data flow in the digital age, (iii) the requirements to build trust in cross-border data transfers, (iv) cross-border data transfers from the perspective of data localization. 国境を越えたデータ移転に関する規制や慣行は、世界的にそれぞれ異なっています。また、一定の条件下で国境を越えたデータフローを可能にするメカニズムも存在します。本パネルでは、このような背景のもと、以下のような問題を取り上げます。(i) グローバルCBPR(Cross Border Privacy Rules)フォーラム認証やEU-US Transatlantic Data Privacy Frameworkなど、データの自由な流れを確保するために利用できる最新のメカニズム、(ii) デジタル時代の大量データフローから個人データを保護するために適用すべき基準、(iii) 越境データ転送における信頼構築の要件、(iv) データローカリゼーションという観点からの越境データ転送、などです。
Moderator モデレーター
Wojciech Wiewiorowski, European Data Protection Supervisor, EDPS ヴォイチェフ・ヴィヴィオロフスキ(欧州データ保護監督官、EDPS
Panelists パネリスト
Bruno Gencarelli, Head of International Data Flows and Protection Unit, European Commission ブルーノ・ジェンカレッリ 欧州委員会 国際データフロー・保護ユニット長
Eduardo Bertoni, The Representative of the Regional Office for South America, Inter American Institute of Human Rights エドゥアルド・ベルトーニ(米州人権協会 南米地域事務所代表
Patricia Adusei Poku, Executive Director, Ghana Data Protection Commission Patricia Adusei Poku, ガーナデータ保護委員会事務局長
Peter A. Winn, Acting Chief Privacy and Civil Liberties Officer (CPCLO), the United States Department of Justice ピーター・A・ウィン 米国司法省首席プライバシー・自由権担当官(CPCLO)代理
Yuji Asai, Commissioner, Personal Information Protection Commission (PPC), Japan 浅井 裕司氏 個人情報保護委員会委員(日本
Keynote 6: Privacy Risks for Vulnerable Groups 基調講演6: 脆弱な集団のプライバシーリスク
Individual privacy and dignity are among the elements of the human rights agenda. International recognition on privacy for vulnerable groups should be increased and minimum standards should be discussed in international level. How to ensure that the personal data processed only to provide the service for persons in need of humanitarian aid by considering the principles of data minimisation and proportionality? What are the factors causing privacy risks and additional protections for privacy risks mitigation for children? 個人のプライバシーと尊厳は、人権課題の要素の一つである。 弱者のプライバシーに関する国際的な認知度を高め、国際レベルで最低基準を議論すべきである。データの最小化と比例の原則を考慮し、人道支援を必要とする人々へのサービス提供のためにのみ処理される個人データをどのように確保するのか?子供のプライバシーリスクとプライバシーリスク軽減のための追加的な保護を引き起こす要因は何か?
Christopher Kuner, Professor of Law, Free University of Brussel (VUB) クリストファー・クナー(ブリュッセル自由大学(VUB)法学部教授
Presenter: Francisco Javier Acuña Llamas, Commissioner, INAI, Mexico プレゼンター フランシスコ・ハビエル・アクーニャ・ラマス(INAI委員、メキシコ
Panel 7: Considering Life and Privacy Together: Common Approaches to Personal Data Protection in Disaster/Crisis Management and Humanitarian Aid パネル7:生命とプライバシーを共に考える。災害・危機管理および人道支援における個人情報保護への共通アプローチ
Protection of rights of the individuals in the event of emergencies and humanitarian aid deployment will be possible by creating an environment where their privacy is protected. Mass data processing, including sensitive data, is carried out during emergencies and humanitarian aid operations that are beyond the control of national authorities. In this session, the following issues will be addressed: “the possibility of a global standard on how to ensure the security of the data processed for humanitarian aid”, “measures to be taken to protect health/biometric data of victims”, “challenges faced by humanitarian organizations with limited resources to apply appropriate security measures to the data”, and “what monitoring/oversight measures should be applied to the national or international NGOs that process sensitive data”. 緊急事態発生時や人道支援展開時の個人の権利保護は、プライバシーが保護される環境を整えることで可能となる。緊急時や人道支援活動時には、国家当局の統制が及ばないところで、機密データを含む大量のデータ処理が行われる。本セッションでは、以下の課題について議論します。「人道支援のために処理されるデータのセキュリティをどのように確保するかについてのグローバルスタンダードの可能性」、「被災者の健康/バイオメトリックデータを保護するために取るべき措置」、「リソースが限られた人道支援組織がデータに適切なセキュリティ対策を適用するために直面する課題」、「機密データを処理する国内または国際NGOに適用すべき監視/監督措置とは」、など。
Moderator モデレーター
Trevor Hughes, President and CEO of the International Association of Privacy Professionals (IAPP) トレバー・ヒューズ(国際プライバシー保護専門家協会(IAPP)会長兼CEO
Panelists パネリスト
Catherine Lennman, Delegate for International Affairs and Francophonie, International Affairs Directorate, The Federal Data Protection and Information Commissioner (FDPIC) キャサリン・レンマン、連邦データ保護・情報コミッショナー(FDPIC)国際業務局国際業務・フランコフォニー担当代表
Cosimo Monda, Director of Maastricht European Centre on Privacy and Cybersecurity コジモ・モンダ(Maastricht European Centre on Privacy and Cybersecurity所長
Julie Brill, Chief Privacy Officer and Corporate Vice President Global Privacy and Regulatory Affairs, Microsoft Julie Brill, マイクロソフト社チーフ・プライバシー・オフィサー兼グローバル・プライバシー&レギュラトリー・アフェアーズ・コーポレート・バイスプレジデント
Lina Jasmontaite, Researcher, Vrije Universiteit Brussel リナ・ジャスモンタイト ブリュッセル自由大学 研究員
Massimo Marelli, Head of the Data Protection Office, International Committee of the Red Cross (ICRC) マッシモ・マレリ、赤十字国際委員会(ICRC)データ保護室長
Tami Dokken, Chief Data Privacy Officer, World Bank タミ・ドッケン 世界銀行 データ・プライバシー・チーフオフィサー
Panel 8: Protection of Children’s Personal Data in the Digital Age パネル8:デジタル時代における子どものパーソナルデータの保護
The focus will be on local or international legislation and regulation on the protection of children’s personal data, existing and potential problems that may arise in the future and ensuring cooperation among countries. In this framework, the following issues will be addressed; circumstances where the consent of the child or the parent should be obtained, validity of the parent’s consent in relation to the principle of the best interest of the child, the criteria for child’s age verification and for providing information to the child. 子どものパーソナルデータの保護に関する国内または国際的な法律や規制、既存の問題や将来起こりうる問題、各国間の協力の確保に焦点を当てます。この枠組みでは、子供または親の同意を得るべき状況、子供の最善の利益という原則に関連した親の同意の有効性、子供の年齢確認と子供への情報提供の基準、といった問題が取り上げられます。
Moderator モデレーター
Ruth Boardman, Partner, Bird & Bird ルース・ボードマン(Bird & Birdパートナー
Panelists パネリスト
John Edwards, UK Information Commissioner, ICO ジョン・エドワーズ(ICO英国情報コミッショナー
Pasquale Stanzione, President, Italian Personal Data Protection Authority (Garante) Pasquale Stanzione, イタリア個人情報保護局(Garante)長官
Sonia Livingstone, Professor, Department of Media and Communications, London School of Economics and Political Science(LSE) ソニア・リビングストン ロンドン大学経済政治学院(LSE)メディア・コミュニケーション学部教授
Valerie Steeves, Professor, Department of Criminology, University of Ottawa Valerie Steeves, オタワ大学犯罪学部長・教授
Elif Küzeci, Associate Professor, Faculty of Law, Bahçeşehir University エリフ・キュゼチ バチェシェヒル大学法学部助教授

 


 

ところで、カナダのプライバシーコミッショナーが顔認識に関する決議に関する記事を公表しています・・・

6つの原則...

Lawful basis: Organizations using facial recognition should have a clear lawful basis for the collection and use of biometrics; 合法的な根拠:顔認識技術を使用する組織は、バイオメトリクスの収集と使用について、明確な法的根拠を持つべきである。
Reasonableness, necessity and proportionality: Organizations should establish, and be able to demonstrate, the reasonableness, necessity, and proportionality of their use of facial recognition technology; 合理性、必要性、比例性:組織は、顔認識技術の使用の合理性、必要性、比例性を確立し、それを証明できるようにする必要がある。
Protection of human rights: Organizations should in particular assess and protect against unlawful or arbitrary interference with privacy and other human rights; 人権の保護:人権の保護: 組織は、特にプライバシーおよびその他の人権に対する不法または恣意的な干渉を評価し、それらから保護する必要がある。
Transparency: The use of facial recognition should be transparent to affected individuals and groups; 透明性: 顔認証の使用は、影響を受ける個人およびグループに対して透明であるべきである。
Accountability: The use of facial recognition should include clear and effective accountability mechanisms; and 説明責任: 顔認識の使用には、明確かつ効果的な説明責任の仕組みが含まれるべきである。
Data protection principles: The use of facial recognition should respect all data protection principles, including those referenced above. データ保護の原則:顔認識の使用は、上記の原則を含むすべてのデータ保護の原則を尊重しなければならない。

 

Office of the Privacy Commissioner of Canada

・2022.10.28 International privacy regulators endorse resolutions on cybersecurity and facial recognition

International privacy regulators endorse resolutions on cybersecurity and facial recognition 国際的なプライバシー規制当局がサイバーセキュリティと顔認識に関する決議を支持
Senior officials from the Office of the Privacy Commissioner of Canada (OPC) joined regulators and other stakeholders from around the world this week to discuss the impact of technology on privacy during the 44th Global Privacy Assembly (GPA) in Istanbul, Türkiye. カナダ・プライバシー・コミッショナー室(OPC)の高官は今週、トルコのイスタンブールで開催された第44回世界プライバシー会議(GPA)で、世界中の規制当局やその他の関係者とともに、技術がプライバシーに与える影響について議論した。
The theme of the public portion of the four-day event was A matter of balance – Privacy in the era of rapid technological advancement. Participants discussed privacy matters of international interest and concern such as facial recognition technology, artificial intelligence, big data, mass surveillance on the web, blockchain and the metaverse and cross-border data transfers. 4日間にわたるイベントの一般公開のテーマは、「A matter of balance - Privacy in the era of rapid technological advancement(バランスの問題 - 急速な技術進歩の時代におけるプライバシー)」でした。参加者は、顔認識技術、人工知能、ビッグデータ、ウェブ上の大量監視、ブロックチェーンとメタバース、国境を越えたデータ転送など、国際的な関心と懸念があるプライバシー問題について議論した。
“The privacy concerns raised by new and emerging technologies are not exclusive to Canada. Privacy regulators around the world are grappling with the same issues,” Commissioner Philippe Dufresne said. 「新しい技術や新興の技術がもたらすプライバシーに関する懸念は、カナダだけのものではない。世界中のプライバシー規制当局が同じ問題に取り組んでいる」と、フィリップ・デュフレーヌ委員は述べている。
“In an age in which data flows transcend borders, cross-jurisdictional and cross-regulatory collaboration has never been more important. By working together, we can streamline our investigative processes, promote greater harmony in the application of laws, expand our capacity to take enforcement action and amplify the compliance impact of those actions. 「データの流れが国境を越える時代において、管轄や規制を越えた協力体制はかつてないほど重要なものとなっている。協力することで、調査プロセスを合理化し、法律の適用における調和を促進し、強制措置を講じる能力を拡大し、その措置がコンプライアンスに与える影響を増幅させることができるのである。
“The Global Privacy Assembly is a tremendous forum for cultivating these critical connections which are vital to ensuring that the personal information and privacy rights of Canadians are protected no matter where they or their data may travel.” 「世界プライバシー会議は、カナダ人の個人情報とプライバシーの権利が、カナダ人やそのデータがどこに移動しようとも保護されることを保証するために不可欠な、こうした重要なつながりを育むための非常に優れたフォーラムである。
Resolutions adopted by the GPA GPAで採択された決議
During the conference, the OPC and more than 120 data protection authorities from across Canada, Europe and beyond adopted a resolution on the appropriate use of personal information in facial recognition technology. In it, authorities outlined six principles and expectations for organizations seeking to use the technology. They include: 会議期間中、OPCとカナダ、欧州、その他の国々の120以上のデータ保護当局が、顔認識技術における個人情報の適切な使用に関する決議を採択した。その中で、当局は、この技術を利用しようとする組織に対して、6つの原則と期待事項を説明した。その内容は以下の通りである。
Lawful basis: Organizations using facial recognition should have a clear lawful basis for the collection and use of biometrics; 合法的な根拠:顔認識技術を使用する組織は、バイオメトリクスの収集と使用について、明確な法的根拠を持つべきである。
Reasonableness, necessity and proportionality: Organizations should establish, and be able to demonstrate, the reasonableness, necessity, and proportionality of their use of facial recognition technology; 合理性、必要性、比例性:組織は、顔認識技術の使用の合理性、必要性、比例性を確立し、それを証明できるようにする必要がある。
Protection of human rights: Organizations should in particular assess and protect against unlawful or arbitrary interference with privacy and other human rights; 人権の保護:人権の保護: 組織は、特にプライバシーおよびその他の人権に対する不法または恣意的な干渉を評価し、それらから保護する必要がある。
Transparency: The use of facial recognition should be transparent to affected individuals and groups; 透明性: 顔認証の使用は、影響を受ける個人およびグループに対して透明であるべきである。
Accountability: The use of facial recognition should include clear and effective accountability mechanisms; and 説明責任: 顔認識の使用には、明確かつ効果的な説明責任の仕組みが含まれるべきである。
Data protection principles: The use of facial recognition should respect all data protection principles, including those referenced above. データ保護の原則:顔認識の使用は、上記の原則を含むすべてのデータ保護の原則を尊重しなければならない。
Authorities committed to working together to promote the principles to external stakeholder groups, to assess the real-world application of the principles by developers and users and to report back on their progress. 当局は、この原則を外部のステークホルダー・グループに広め、開発者とユーザーによるこの原則の実際の適用を評価し、その進捗を報告するために協力することを約束した。
In a second resolution adopted by GPA members, including the OPC, a commitment was made to build capacity to improve cybersecurity regulation and to improve their collective understanding of the harms that may result from a cyber incident. OPC を含む GPA メンバーによって採択された 2つ目の決議では、サイバーセキュリティ規制を改善するための能力を構築し、サイバーインシデントによって生じ得る損害に関する集団的理解を向上させることが約束された。
Data protection authorities resolved to explore possibilities for international cooperation, knowledge, and information sharing, including technical expertise and best practices, amongst members to avoid duplication in investigations or other regulatory activities regarding cybersecurity issues and regulatory approaches as they relate to data protection and privacy. データ保護当局は、データ保護とプライバシーに関連するサイバーセキュリティ問題や規制アプローチに関する調査やその他の規制活動において重複を避けるために、加盟国間で技術的専門知識やベストプラクティスを含む国際協力、知識、情報共有の可能性を探ることを決議した。
GPA awards GPA賞
During the Global Privacy Assembly, the OPC also won an award for innovation for a tool the office developed to offer organizations an automated solution to assess if a privacy breach presents a real risk of significant harm (RROSH) to affected individuals. 世界プライバシー会議において、OPCは、プライバシー侵害が影響を受ける個人にとって重大な損害の真のリスク(RROSH)をもたらすかどうかを評価する自動化ソリューションを組織に提供するために開発したツールでも革新賞を受賞した。
“Many breaches go unreported because organizations are not sure whether they meet the legal reporting threshold. This tool will help them determine the severity of the breach with greater accuracy,” Commissioner Dufresne said. 「多くの違反が報告されないのは、それが法的な報告基準に合致しているかどうかがわからないからである。このツールは、侵害の重大性をより正確に判断するのに役立つ」とデュフレーヌ委員は述べている。
“I have been struck by the innovative spirit espoused at the OPC and the RROSH tool is a fine example of that. I look forward to watching the ongoing evolution of the tool.” 「RROSHツールは、その好例と言えるでしょう。このツールの継続的な進化を見守ることが楽しみである。
Under Canada’s federal private sector privacy law, organizations are required to report breaches of security safeguards to the regulator and to notify affected individuals if it is reasonable in the circumstances to believe that the breach has created a real risk of significant harm for those affected. Criteria to consider include the sensitivity of the personal information involved in the breach and the probability that the information has been, is being, or will be misused. カナダの連邦民間部門プライバシー法の下では、組織はセキュリティ保護措置の違反を規制当局に報告し、その違反が影響を受ける人々に重大な損害の現実的なリスクを生じさせたと信じるに足る状況である場合には、影響を受ける個人に通知することが義務付けられている。考慮すべき基準には、違反に関与する個人情報の機密性と、その情報が悪用されている、されている、またはされる可能性が高いことが含まれる。

 

 

 

| | Comments (0)

« October 2022 | Main | December 2022 »