« October 2022 | Main | December 2022 »

November 2022

2022.11.30

米国 国防総省 ゼロトラスト戦略とロードマップ (2022.11.07)

こんにちは、丸山満彦です。

米国国防総省がゼロトラスト戦略とロードマップを公表していますね。。。

2027年に向けて。。。と言う感じですね。。。

しかし、CIOの図書館の情報はたくさんありますね。。。

 

U.S. Department of Defense - Chief Information Officer Library

・2022.11.17 [PDF] DoD Zero Trust Strategy

20221130-23312

目次...

Executive Summary エグゼクティブサマリー
Introduction 序文
Vision ビジョン
DoD Zero Trust Approach 国防総省のゼロ・トラスト・アプローチ
Strategic Assumptions 戦略的前提
Strategic Goals and Objectives 戦略的な目標と目的
Execution Approach 実行アプローチ
Summary 概要
APPENDIX A: DoD Zero Trust Capabilities (Target & Advanced Levels) 附属書 A:国防総省のゼロ・トラスト能力(目標レベル、上級レベル)
APPENDIX B: DoD Zero Trust Activities (Target & Advanced Levels) 附属書 B:国防総省のゼロ・トラスト活動(目標レベル、上級レベル)
APPENDIX C: DoD Zero Trust Capability Roadmap (by Fiscal Year) 附属書 C:国防総省のゼロ・トラスト・ケイパビリティ・ロードマップ(年度別)
APPENDIX D: DoD Zero Trust Strategic and Execution Milestones (FY2023 – FY2024) 附属書 D.国防総省のゼロ・トラスト戦略及び実行マイルストーン(2023年度~2024年度)
APPENDIX E: References 附属書 E:参考文献
APPENDIX F: Acronyms / Definitions 附属書 F:略語/定義


エグゼクティブサマリー

Executive Summary  エグゼクティブサマリー 
"Incremental improvements will not give us the security we need; instead, the Federal Government needs to make bold changes and significant investments in order to defend the vital institutions that underpin the American way of life."  「漸進的な改善では、私たちが必要とする安全保障を得ることはできない。連邦政府は、米国の生活様式を支える重要な制度を守るために、大胆な変更と大規模な投資を行う必要がある。」
— Executive Order on Improving the Nation’s Cybersecurity 12 May 2021  ・国家のサイバーセキュリティの改善に関する大統領令 2021年5月12日 
Five Years into the Future  5年後の未来へ 
The Department of Defense's (DoD) risk-based Zero Trust Framework employed across the Joint Force and the defense ecosystem protects our information systems[1] from increasingly sophisticated attacks as our adversaries seek to affect our warfighters and DoD mission success. Zero Trust principles are now integrated into each of the five cybersecurity functions that represent key elements of a successful and holistic cybersecurity program – Identify, Protect, Detect, Respond, and Recover.[2] As a result, DoD will successfully mitigate attempts to deny, degrade, disrupt, deceive, or destroy our information systems. Operators at all levels are confident that the data accessed, the assets deployed, the applications used, and the services provided are secured and resilient.  統合軍と防衛エコシステムに採用されている国防総省(DoD)のリスクベースのゼロ・トラスト・フレームワークは、敵が戦闘員と国防総省のミッションの成功に影響を与えようとする中、ますます巧妙になる攻撃から我々の情報システム[1]を保護する。ゼロ・トラストの原則は、現在、成功した全体的なサイバーセキュリティ・プログラムの重要な要素である、識別、保護、検出、対応、回復の5つのサイバーセキュリティ機能のそれぞれに統合されている。 その結果、国防省は、情報システムを拒否、劣化、混乱、欺瞞、破壊しようとする試みをうまく軽減することができるようになった。あらゆるレベルのオペレーターは、アクセスするデータ、配備された資産、使用するアプリケーション、提供するサービスが安全でレジリエンスに優れていると確信している。
Today  今日 
The Department's Information Enterprise is under wide scale and persistent attack from known and unknown malicious actors. The Department’s most consequential strategic competitor and the pacing challenge for the Department, the People’s Republic of China,[3] as well as other state-sponsored adversaries and individual malicious actors often breach the Department’s defensive perimeter and roam freely within our information systems. The Department must act now.  米国防総省の情報エンタープライズは、既知および未知の悪質な行為者から大規模かつ持続的な攻撃を受けている。米国防省にとって最も重要な戦略的競合相手であり、ペースメーカーでもある中華人民共和国[3]をはじめ、国家が支援する敵対勢力や個人の悪質な行為者が国防総省の防衛境界を突破し、情報システムの中を自由に動き回ることがよくある。国防総省は今すぐ行動を起こさなければならない。
Vulnerabilities exposed by data breaches inside and outside the Department of Defense demonstrate the need for a new, more robust cybersecurity framework that facilitates well-informed risk-based decisions.[4] Zero Trust security eliminates the traditional idea of perimeters, trusted networks, devices, personas, or processes and shifts to multi-attribute-based levels of confidence that enable authentication and authorization policies founded on the concept of least privileged access. Implementing the Zero Trust Framework requires designing a more efficient architecture that enhances security, the user experience, and overall mission performance.   国防総省内外のデータ侵害によって露呈した脆弱性は、十分な情報に基づくリスクベースの意思決定を促進する、より堅牢な新しいサイバーセキュリティの枠組みの必要性を示している[4]。ゼロトラストセキュリティは、従来の境界、信頼できるネットワーク、デバイス、人物、プロセスという考え方を排除し、最小特権アクセスの概念に基づいた認証および承認ポリシーを可能にする複数属性ベースの信頼レベルへとシフトする。Zero Trustフレームワークを導入するには、セキュリティ、ユーザーエクスペリエンス、ミッションパフォーマンス全体を向上させる、より効率的なアーキテクチャを設計する必要がある。 
Zero Trust uses continuous multi-factor authentication, micro-segmentation, advanced encryption, endpoint security, analytics, and robust auditing, among other capabilities, to fortify data,  ゼロ・トラストは、継続的な多要素認証、マイクロセグメンテーション、高度な暗号化、エンドポイントセキュリティ、分析、堅牢な監査などの機能を使って、データを強化する。
applications, assets, and services to deliver cyber resiliency. The Department is evolving to become a more agile, more mobile, cloud-supported workforce, collaborating with the entirety of DoD enterprise, including federal and non-federal organizations and mission partners working on a variety of missions. The Zero Trust Framework will reduce the attack surface, reduce risk, offer opportunities to manage the full range of risks (e.g., policy, programming, budgeting, execution, cybersecurity-specific, and others) and enable more effective data-sharing in partnership environments. It will also ensure that any adversary damage is quickly contained and remediated if a device, network, user, or credential is compromised.   データ、アプリケーション、資産、サービスを強化し、サイバーレジリエンスを実現する。国防総省は、より機敏に、よりモバイルに、クラウドをサポートする労働力となるべく進化しており、さまざまなミッションに取り組む連邦政府と非連邦政府組織、ミッションパートナーを含む国防総省エンタープライズ全体と協働している。ゼロ・トラスト・フレームワークは、攻撃対象領域を減らし、リスクを低減し、あらゆるリスク(政策、計画、予算、実行、サイバーセキュリティ特有のもの、その他)を管理する機会を提供し、パートナーシップ環境においてより効果的なデータ共有を可能にするものである。また、デバイス、ネットワーク、ユーザー、クレデンシャルが侵害された場合、敵の被害を迅速に食い止め、修復できるようにする。 
This strategy lays out the Department's vision for Zero Trust and sets a path to achieve it. It includes the strategic assumptions and principles that will inform and guide the adoption of ZT and the strategic goals and objectives. The four strategic goals outlined in this strategy are: 1. Zero Trust Culture Adoption, 2. DoD Information Systems Secured and Defended, 3. Technology Acceleration, and 4. Zero Trust Enablement. The strategy also refers to the seven DoD Zero Trust Pillars, which is the basis for the strategy's Zero Trust Capability Roadmap, a capabilities-based execution plan, and the DoD Zero Trust and Cybersecurity Reference Architectures. Finally, this strategy provides highlevel guidance on resourcing and acquisition, measurement and metrics, and governance. The appendices include strategic and execution milestones, as well as references and definitions.   この戦略では、ゼロ・トラストに対する省庁のビジョンを示し、それを達成するための道筋を定めている。この戦略には、ZT の導入に情報を提供し導く戦略的前提および原則と、戦略的目標および目的が含まれている。この戦略で概説されている4つの戦略目標は以下の通りである。1. ゼロ・トラスト文化の採用、2. DoD情報システムの安全確保と防衛、3. テクノロジーの加速、4. ゼロ・トラストの実現である。Zero Trust Enablement(ゼロ・トラストの実現)である。また、この戦略では、7つのDoD Zero Trust Pillarsに言及しており、これは、この戦略のZero Trust Capability Roadmap、能力ベースの実行計画、DoD Zero Trust and Cybersecurity Reference Architecturesの基礎になっている。最後に、この戦略は、人材調達と買収、測定とメトリック、およびガバナンスに関するハイレベルなガイダンスを提供する。附属書には、戦略および実行のマイルストーン、参考文献、定義が記載されている。 
To accelerate Zero Trust implementation within the DoD Information Enterprise, the Department must continue to examine how to streamline and enforce resource priorities to meet the requirements envisioned by this strategy. In January 2022, the DoD CIO established a Zero Trust Portfolio Management Office (PfMO) to orchestrate DoD-wide Zero Trust execution, simplify and streamline existing policies and coordinate the prioritization of resources to accelerate Zero Trust adoption within the DODIN enterprise.  国防総省の情報エンタープライズにおけるゼロ・トラストの実施を加速するために、同省は、この戦略で想定される要件を満たすために、リソースの優先順位を合理化して実施する方法を引き続き検討する必要がある。2022年1月、国防総省CIOは、国防総省全体のゼロ・トラスト実行を指揮し、既存のポリシーを簡素化して合理化し、リソースの優先順位を調整して、DODINエンタープライズ内のゼロ・トラスト導入を加速するために、ゼロ・トラスト・ポートフォリオ管理オフィス(PfMO)を設立した。
Figure 1 below depicts a concise view of the vision, goals, and objectives the Department will achieve by implementing the strategy.[5]   以下の図1は、戦略を実施することによって国防総省が達成するビジョン、目標、目的を簡潔に表したものである[5]。 
Figure 1. DoD Zero Trust Strategy-at-a-Glance  図1. DoDゼロトラスト戦略-一覧 
20221130-24246
[1] Information system includes “a discrete set of information resources organized for the collection, processing, maintenance, use, sharing, dissemination, or disposition of information”. See DoD Instruction (DoDI) 5000.82, Acquisition of Information Technology (IT), 21 Apr 2020, p. 17.   [1] 情報システムには、「情報の収集、処理、維持、使用、共有、普及、または処分のために組織された情報資源の個別の集合」が含まれる。DoD Instruction (DoDI) 5000.82, Acquisition of Information Technology (IT), 21 Apr 2020, p.17 を参照のこと。 
[2] See US National Institute of Standards and Technology (NIST), Special Publication 1271, Getting Started with the NIST Cybersecurity Framework: A Quick Start Guide, 6 August 2021, for descriptions of cybersecurity core functions and a set of guidelines for mitigating organizational cybersecurity risks.   [2] 米国国立標準技術研究所(NIST)、特別刊行物 1271、Getting Started with the NIST Cybersecurity Framework を参照すること。A Quick Start Guide, 6 August 2021, サイバーセキュリティの中核機能の説明と、組織のサイバーセキュリティリスクを軽減するためのガイドライン一式を参照。 
[3] Fact Sheet: 2022 National Defense Strategy, 28 March 2022.  [3] ファクトシート。2022年国家防衛戦略、2022年3月28日。
[4] Risk” refers to probability of an undesired event or condition and 2) the consequences, impact, or severity of the undesired event, were it to occur. See DoD Risk, Issue, and Opportunity Management Guide for Defense Acquisition Programs, January 2017, p. 3  [4] リスクとは、望ましくない事象や状態の発生確率と、2)望ましくない事象が発生した場合の結果、影響、または重大性のことである。DoD Risk, Issue, and Opportunity Management Guide for Defense Acquisition Programs, January 2017, p.3 を参照。
21-Oct-22 21-Oct-22
[5] See Figure 4 in this document for an outcome description of each goal and objective.  [5] 各目標と目的の成果の説明については、本書の図 4 を参照のこと。
21-Oct-22 10月21日-22日

 

プレス...

・2022.11.22 Department of Defense Releases Zero Trust Strategy and Roadmap

Department of Defense Releases Zero Trust Strategy and Roadmap 国防総省がゼロ・トラスト戦略とロードマップを発表
Today, the Department of Defense released the Department of Defense Zero Trust Strategy and Roadmap. 本日、国防総省は「国防総省のゼロ・トラスト戦略とロードマップ」を発表した。
Current and future cyber threats and attacks drive the need for a Zero Trust approach that goes beyond the traditional perimeter defense approach. The Department intends to implement distinct Zero Trust capabilities and activities as outlined in the strategy and associated Roadmap by FY27. 現在および将来のサイバー脅威と攻撃は、従来の境界防御のアプローチを超えたゼロ・トラスト・アプローチの必要性を促している。国防総省は、この戦略および関連するロードマップで説明されているように、明確なゼロ・トラスト能力と活動を27年度までに実施する意向である。
The strategy envisions a DoD Information Enterprise secured by a fully implemented, Department-wide Zero Trust cybersecurity framework that will reduce the attack surface, enable risk management and effective data-sharing in partnership environments, and quickly contain and remediate adversary activities. この戦略は、完全に実装された省全体のゼロ・トラスト・サイバーセキュリティの枠組みによって保護された国防総省の情報エンタープライズを想定しており、攻撃対象を減らし、パートナーシップ環境におけるリスクマネジメントと効果的なデータ共有を可能にし、敵の活動を迅速に抑制・是正するものである。
The strategy outlines four high-level and integrated strategic goals that define what the Department will do to achieve its vision for ZT: この戦略では、ZT のビジョンを達成するために省が何を行うかを定義する、4 つのハイレベルで統合的な戦略目標が概説されている。
•    Zero Trust Cultural Adoption – All DoD personnel are aware, understand, are trained, and committed to a Zero Trust mindset and culture and support integration of ZT. ・ゼロ・トラスト文化の採用:国防総省の全職員がゼロ・トラストの考え方と文化について認識,理解,訓練され,ZTの統合を支援する。
•    DoD information Systems Secured and Defended – Cybersecurity practices incorporate and operationalize Zero Trust in new and legacy systems.  ・国防総省の情報システムの保護と防御:サイバーセキュリティの実践により、新規およびレガシーシステムにゼロ・トラストが組み込まれ、運用される。 
•    Technology Acceleration – Technologies deploy at a pace equal to or exceeding industry advancements. ・技術の加速:業界の進歩と同等またはそれを上回るペースで技術が展開される。
•    Zero Trust Enablement – Department- and Component-level processes, policies, and funding are synchronized with Zero Trust principles and approaches. ・ゼロ・トラストの実現:省およびコンポーネントレベルのプロセス、ポリシー、および資金がゼロ・トラストの原則とアプローチに同期している。
Implementing Zero Trust will be a continuous process in the face of evolving adversary threats and new technologies. Additional Zero Trust enhancements will be incorporated in subsequent years as technology changes and our Nation's adversaries evolve.   ゼロ・トラストの導入は、進化する敵の脅威や新しい技術に直面する継続的なプロセスである。ゼロ・トラストの追加的な強化は、技術の変化や我が国の敵の進化に合わせて、次年度以降に取り入れられる予定である。 
The Department of Defense Zero Trust Strategy and Roadmap can be found at the DoD CIO library. 国防総省のゼロ・トラスト戦略とロードマップは、国防総省CIOライブラリで見ることができる。

 

・ブログ

・2022.11.28 DOD Releases Path to Cyber Security Through Zero Trust Architecture

DOD Releases Path to Cyber Security Through Zero Trust Architecture DOD、ゼロ・トラスト・アーキテクチャーによるサイバーセキュリティへの道筋を発表
The Defense Department on Tuesday released its Zero Trust Strategy and Roadmap, which spells out how it plans to move beyond traditional network security methods to achieve reduced network attack surfaces, enable risk management and effective data-sharing in partnership environments, and contain and remediate adversary activities over the next five years. 国防総省は火曜日、「ゼロ・トラスト戦略およびロードマップ」を発表した。これは、今後5年間で、従来のネットワークセキュリティ手法を越えて、ネットワーク攻撃面の削減を実現し、パートナーシップ環境におけるリスクマネジメントと効果的なデータ共有を可能にし、敵の活動を封じ込めて修復する計画について明記しているものである。
"Zero trust is a framework for moving beyond relying on perimeter-based cybersecurity defense tools alone and basically assuming that breach has occurred within our boundary and responding accordingly," David McKeown, the department's acting chief information officer, said.  「ゼロトラストは、境界ベースのサイバーセキュリティ防御ツールだけに頼るのではなく、基本的に我々の境界内で侵害が発生したと仮定し、それに応じて対応するための枠組みである」と、同省の最高情報責任者代理であるデデヴィット・マッキューン氏は述べた。
McKeown said the department has spent a year now developing the plans to get the department to a zero trust architecture by fiscal year 2027. Included in that effort was development of a Zero Trust Portfolio Management Office, which stood up earlier this year.  マッキューンは、同省が2027会計年度までにゼロ・トラスト・アーキテクチャーを実現するための計画を策定するのに1年を費やしたことを明らかにした。その努力に含まれるのが、今年初めに立ち上がったゼロトラスト・ポートフォリオ管理オフィスの開発だ。 
"With the publication of this strategy we have articulated the 'how' that can address clear outcomes of how to get to zero trust — and not only accelerated technology adoption, as discussed, but also a culture of zero trust at DOD and an integrated approach at the department and the component levels."  この戦略の発表により、我々はゼロトラストに到達するための明確な成果、つまり議論されているような技術導入の加速だけでなく、DODにおけるゼロトラストの文化や、部門およびコンポーネントレベルでの統合的アプローチに対応できる「方法」を明確にした。" 
Getting the Defense Department to reach the goals laid out in the Zero Trust Strategy and Roadmap will be an "ambitious undertaking," McKeown said.   国防総省がゼロトラスト戦略とロードマップで示された目標に到達することは、「野心的な事業」になるとマッキューン氏は述べている。 
Ensuring that work will largely be the responsibility of Randy Resnick, who serves as the director of the Zero Trust Portfolio Management Office.  その作業を確実にするのは、ゼロトラスト・ポートフォリオ管理室のディレクターを務めるランディー・レスニック氏の責任が大きい。 
"With zero trust, we are assuming that a network is already compromised," Resnick said. "And through recurring user authentication and authorization, we will thwart and frustrate an adversary from moving through a network and also quickly identify them and mitigate damage and the vulnerability they may have exploited." 「ゼロトラストでは、ネットワークがすでに侵害されていることを想定している。「そして、ユーザー認証と認可を繰り返し行うことで、敵対者がネットワークを通過するのを阻止し、挫折させるとともに、敵対者を迅速に特定し、被害や彼らが悪用した可能性のある脆弱性を軽減するのである」。
Spotlight: Engineering in the DOD スポットライト 国防総省におけるエンジニアリング
Resnick explained the difference between a zero trust architecture and security on the network today, which assumes a level of trust for anybody already inside the network.  レスニック氏は、ゼロ・トラスト・アーキテクチャーと、すでにネットワーク内にいる人をある程度信頼することを前提とした現在のネットワーク・セキュリティの違いを説明した。 
"If we compare this to our home security, we could say that we traditionally lock our windows and doors and that only those with the key can gain access," he said. "With zero trust, we have identified the items of value within the house and we place guards and locks within each one of those items inside the house. This is the level of security that we need to counter sophisticated cyber adversaries."  「これを家庭のセキュリティに例えると、従来は窓やドアに鍵をかけて、鍵を持っている人だけがアクセスできるようにしていたと言えるでしょう」と、同氏は述べた。「ゼロトラストでは、家の中にある価値あるものを特定し、その一つひとつにガードやロックを設置する。これが、高度なサイバー敵に対抗するために必要なセキュリティレベルである。」 
The Zero Trust Strategy and Roadmap outlines four high-level and integrated strategic goals that define what the department will do to achieve that level of security. These include:  ゼロトラスト戦略とロードマップは、そのレベルのセキュリティを達成するために同省が何をするかを定義する、4つのハイレベルで統合的な戦略目標の概要を示している。その内容は以下の通りである。 
Zero Trust Cultural Adoption — All DOD personnel understand and are aware, trained, and committed to a zero trust mindset and culture to support integration of zero trust.  ゼロ・トラスト文化の採用:すべてのDOD職員はゼロ・トラストの統合をサポートするために、ゼロ・トラストの考え方と文化を理解し、認識し、訓練され、コミットされる。 
DOD information Systems Secured and Defended — Cybersecurity practices incorporate and operationalize zero trust in new and legacy systems.  DOD情報システムの保護と防衛:サイバーセキュリティの実践は、新規およびレガシーシステムにゼロトラストを組み込み、運用する。 
Technology Acceleration — Technologies deploy at a pace equal to or exceeding industry advancements.  技術の加速:業界の進歩と同等またはそれを上回るペースで技術が展開される。 
Zero Trust Enablement — Department- and component-level processes, policies, and funding are synchronized with zero trust principles and approaches.  ゼロ・トラストの実現:省およびコンポーネントレベルのプロセス、ポリシー、資金が、ゼロ・トラストの原則とアプローチに同期している。 
Resnick said development of the Zero Trust Strategy and Roadmap was done in collaboration with the National Security Agency, the Defense Information Systems Agency, the Defense Manpower Data Center, U.S. Cyber Command and the military services.  レズニック氏によると、ゼロトラスト戦略とロードマップの開発は、国家安全保障局、国防情報システム局、国防人材データセンター、米サイバー司令部、軍サービスとの協力で行われたとのこと。 
The department and its partners worked together to develop a total of 45 capabilities and more than 100 activities derived from those capabilities, many of which the department and components will be expected to be involved in as part of successfully achieving baseline, or "target level" compliance with zero trust architecture within the five-year timeline, Resnick said. レスニック氏によると、同省とそのパートナーは、合計45の能力と、それらの能力から派生する100以上の活動を開発した。これらの多くは、5年間のスケジュール内でゼロトラストアーキテクチャのベースライン、つまり「目標レベル」のコンプライアンスを成功させる一環として、同省とコンポーネントが関与することが期待されるものである。
"Each capability, the 45 capabilities, resides either within what we're calling 'target,' or 'advanced' levels of zero trust," he said. "DOD zero trust target level is deemed to be the required minimum set of zero trust capability outcomes and activities necessary to secure and protect the department's data, applications, assets and services, to manage risks from all cyber threats to the Department of Defense."  各能力(45の能力)は、ゼロ・トラストの「目標」または「高度」レベルと呼ばれる範囲に存在する」と彼は言う。「DODゼロトラスト・ターゲット・レベルは、国防総省に対するあらゆるサイバー脅威のリスクを管理し、同省のデータ、アプリケーション、資産、サービスを安全に保護するために必要なゼロトラスト能力の成果および活動の必要最小限のセットと見なされる。
Across the department, every agency will be expected to comply with the target level implementation outlined in the Zero Trust Strategy and Roadmap. Only a few might be expected to achieve the more advanced level.  国防総省全体では、すべての機関がゼロ・トラスト戦略とロードマップで示された目標レベルの実施に準拠することが期待される。より高度なレベルを達成することが期待されるのは、ほんの一握りかもしれない。 
"If you're a national security system, we may require the advanced level for those systems," McKeown said. "But advanced really isn't necessary for literally every system out there. We have an aggressive goal getting to 'targeted' by 2027. And we want to encourage those who have a greater need to secure their data to adopt this advanced level."  「国家安全保障のシステムであれば、上級レベルを要求することもある」とマッキューン氏は言う。「しかし、アドバンストレベルは、文字通りすべてのシステムに対して必要なものではない。私たちは、2027年までに "Targeted "に到達するという積極的な目標を持っている。そして、データを安全に保護する必要性が高い人たちには、このアドバンスドレベルを採用するよう促したいと考えている」。 
Resnick said achieving the target level of zero trust isn't equivalent to a lower standard for network security.  レズニックは、ゼロトラストの目標レベルを達成することは、ネットワークセキュリティの基準を下げることと等価ではないと述べている。 
"We defined target as that level of ability where we're actually containing, slowing down or stopping the adversary from exploiting our networks," he said. "Compared to today, where an adversary could do an attack and then go laterally through the network, frequently under the noise floor of detection, with zero trust that's not going to be possible."  「私たちは、敵対者が私たちのネットワークを悪用するのを実際に封じ込め、減速させ、阻止する能力のレベルを目標と定義した。「敵対者が攻撃を行い、ネットワーク内を横方向に移動し、頻繁に検出のノイズフロアの下を通過することができる今日と比較すると、信頼ゼロでは、それは不可能になります。 
By 2027, Resnick said, the department will be better poised to prevent adversaries from attacking the DOD network and minimize damage if it does occur.  2027年までには、敵対者がDODネットワークを攻撃するのを防ぎ、万が一攻撃が発生しても被害を最小限に抑える態勢が整うだろうと、レズニックは述べている。 
"The target level of zero trust is going to be that ability to contain the adversary, prevent their freedom of movement, from not only going laterally but being able to even see the network, to enumerate the network, and to even try to exploit the network," he said.  「ゼロ・トラストの目標レベルは、敵対者を封じ込め、敵対者が横方向に移動するだけでなく、ネットワークを見ることも、ネットワークを列挙することも、ネットワークを悪用しようとすることもできないようにすることだ」と彼は言う。 
If later on more is needed, he said, the requirements for meeting the target level of compliance can be adjusted.  もし、後でもっと必要なものが出てくれば、目標レベルのコンプライアンスを満たすための要件を調整することができるという。 
"Target will always remain that level to which we're seeing and stopping the adversary," he said. "And for the majority of the DOD, that's really our goal." 「目標は常に、敵対者を確認し、阻止するレベルであることに変わりはありません。そして、国防総省の大部分にとって、それが我々の本当の目標なのである。」

 


 

・2022.11.15 [PDF] Zero Trust Capability Execution Roadmap

20221130-144954

 

Zero Trust Strategy Placemats

20221130-145326

 

 

・2022.07 [PDF] Department of Defense (DoD) Zero Trust Reference Architecture Version 2.0

20221130-64647

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.01.28 米国 OMB M-22-09 米国政府のゼロトラスト・サイバーセキュリティ原則への移行についての覚書

・2022.01.24 米国 国家安全保障、国防総省、および情報コミュニティのシステムのサイバーセキュリティ向上に関する覚書

・2021.12.29 米国 バイデン大統領が2022年国防授権法にサインをしましたね。。。

 

 

| | Comments (0)

2022.11.29

尼崎市 個人情報を含むUSBメモリーの紛失事案について

こんにちは、丸山満彦です。

尼崎市が契約している事業者の無断再々委託先従業員が、個人情報が入ったUSBメモリーを一時的に紛失した事案についての、尼崎市 USB メモリー紛失事案調査委員会の報告書が公表されていますね。。。

櫻庭先生が委員会のメンバーですね。。。

 

尼崎市

・2022.11.28 個人情報を含むUSBメモリーの紛失事案について

・[PDF] 尼崎市 USB メモリ―紛失事案に関する調査報告書  [downloaded]

20221129-63824

 

・尼崎市 USB メモリー紛失事案調査委員会

 ・小林 孝史(当委員会委員長) 関西大学総合情報学部准教授
 ・櫻庭 信之(当委員会委員・同委員長職務代理) 弁護士
 ・大高 利夫(当委員会委員) 藤沢市総務部情報システム課

結構、読み応えあります。。。

 

| | Comments (0)

英国 国防省 サイバー入門(第3版) (2022.10.04)

こんにちは、丸山満彦です。

英国国防省とサイバースペースとの関わり方、国防省職員にとってのサイバーセキュリティの重要性について、より包括的に認識することを目的として、主に国防の観点から、また職場や家庭における日常生活の観点から、「サイバー」というテーマを紹介する入門書ということで、階級に関わらず、すべての職員に読んでもらいたいということのようです。。。

U.K. Government - Ministry of Defence

Guidance Cyber Primer

・2022.10.04 [PDF] Cyber Primer (Third Edition)

20221129-12446

 

序文...

Preface 序文
We will adopt a comprehensive cyber strategy to maintain the UK’s competitive edge in this rapidly evolving domain. We will build a resilient and prosperous digital UK, and make much more integrated, creative and routine use of the UK’s full spectrum of levers – including the National Cyber Force’s offensive cyber tools – to detect, disrupt and deter our adversaries. 我々は、この急速に発展する領域において英国の競争力を維持するために、包括的なサイバー戦略を採用する。我々は、レジリエンスと繁栄のデジタル英国を構築し、敵対者を検知し、混乱させ、抑止するために、国家サイバー軍の攻撃的サイバーツールを含む英国のあらゆる手段をより統合的、創造的、かつ日常的に活用することになる。
Global Britain in a competitive age: The Integrated Review of Security, Defence, Development and Foreign Policy, 2021 競争時代におけるグローバルな英国:2021年 安全保障、防衛、開発、外交政策の統合的見直し
Purpose 目的
1. The purpose of the Cyber Primer is to introduce the subject of ‘cyber’, primarily within the Defence context, but also encompassing everyday aspects of life both at work and home. It is the foundation to reading UK Defence’s cyber and electromagnetic concepts and doctrine.   1. サイバー入門の目的は、「サイバー」というテーマを、主に国防の文脈で、しかし職場や家庭での日常生活 の側面も含めて紹介することである。これは、英国国防省のサイバーおよび電磁波の概念とドクトリンを読むための基礎となるものである。 
Context コンテキスト
2. Cyber capability is vital to our national security and prosperity, playing an integral role in protecting the UK and our interests against external and internal threats. Cyber activity cannot be the responsibility of one government department or agency alone, each will have their own experiences and expertise; Defence is just one partner in a whole of society effort.  2. サイバー能力は国家の安全と繁栄にとって不可欠であり、外部と内部の脅威から英国とその利益を守るために不可欠な役割を担っている。サイバー活動は、政府の一部門や機関だけが担当することはできず、それぞれが独自の経験や専門知識を持っている。
3. Cybersecurity and resilience are vital within Defence as our Armed Forces depend on digital technology, platforms, data, information and communication systems, both in the UK and on operations around the world. Our adversaries’ activities present a real and rapidly developing threat to these systems and to our operations.  3. 国防軍は、英国内および世界各地での活動において、デジタル技術、プラットフォーム、データ、情報、通信システムに依存しているため、サイバーセキュリティとレジリエンスは国防において極めて重要である。敵対者の活動は、これらのシステムと我々の活動に対して、現実的かつ急速に発展する脅威となっている。
4. Cyberspace, and the associated technologies, are full of opportunities for improving the way we work and live; they contribute substantially to our economy and prosperity, but they also introduce new hazards of which we need to be aware. The impact of cyber activities, positive and negative, on military activity requires Defence personnel, and those associated with Defence, to understand the depth of our dependence on ‘cyber’. 4. サイバースペースとその関連技術は、私たちの仕事や生活を改善する機会に満ちており、私たちの経済と繁栄に大きく貢献しているが、同時に私たちが注意しなければならない新たな危険性ももたらしている。サイバー活動が軍事活動に与える影響は、肯定的であれ否定的であれ、国防関係者とその関係者が「サイバー」への依存の深さを理解することが必要である。
5. The primer has a deliberate cyber focus. Although mention is made of the wider electromagnetic environment, this is to provide contextual reference as necessary.  5. この入門書は意図的にサイバーに焦点を合わせている。より広い電磁環境についても言及しているが、これは必要に応じて文脈を参照できるようにするためである。
Audience 想定読者
6. The Cyber Primer seeks to inform a wide audience. As an introduction to cyber it will be of use to all Defence personnel. 6. このサイバー入門書は、幅広い読者に情報を提供することを目的としている。サイバー入門書として、すべての国防関係者に役立つであろう。
Structure 構成
7. The publication is divided into four chapters and is supported by a lexicon and resources section. A breakdown of the chapter contents is below.  7. 本書は4つの章に分かれており、辞書と資料のセクションでサポートされている。各章の内容の内訳は以下の通りである。
a. Chapter 1 – Cyber fundamentals. Chapter 1 introduces the essential terminology and covers cyber from a national policy and strategy perspective. The chapter explains the nature and characteristics of cyberspace and the cyber and electromagnetic domain. The chapter also highlights applicable laws and concludes by looking at the importance of international engagement. a. 第1章 - サイバーの基礎:第1章では、必要不可欠な用語を紹介し、国家政策と戦略の観点からサイバーを取り上げている。この章では、サイバースペースの性質と特徴、サイバー領域と電磁波領域について説明する。また、本章では適用される法律を強調し、国際的な関与の重要性を見て結論を出している。
b. Chapter 2 – Cyber threats. Chapter 2 outlines: the threats from cyberspace; the range of threat actors; the characteristics of a cyberattack and the different tools and techniques used; and cyber threat mitigation. The chapter concludes with Annex 2A detailing seven case studies.1 b. 第2章 - サイバー脅威:第2章では、サイバースペースからの脅威、脅威の主体の範囲、サイバー攻撃の特徴、使用される様々なツールやテクニック、そしてサイバー脅威の緩和について概説している。この章は、7つのケーススタディを詳述した附属書2Aで締めくくられている1。
c. Chapter 3 – Cyber functions. Chapter 3 looks at the four military cyber operations roles – influence, defend, enable and inform – which are delivered by cyber capabilities through offensive and defensive cyber operations, cybersecurity and cyber threat intelligence.  It also examines information management and finally looks at the relationship between cyber and other closely linked military functions. c. 第3章 - サイバー機能:第3章では、攻撃的・防御的サイバー作戦、サイバーセキュリティ、サイバー脅威インテリジェンスを通じたサイバー能力によって実現される、軍の4つのサイバー作戦の役割(影響、防御、実現、情報提供)を見ている。 また、情報管理についても検討し、最後にサイバーと他の密接に関連する軍事機能との関係についても見ている。
d. Chapter 4 – Cyber operations. Chapter 4 looks at how cyber capability is currently organised and integrated with military operations and provides some detail concerning cyber command and control.  d. 第4章 - サイバーオペレーション:第4章は、サイバー能力が現在どのように組織化され、軍事作戦と統合されているかを調べ、サイバー指揮統制に関するいくつかの詳細について述べている。
Linkages 関連性
8. The Cyber Primer is underpinned by a number of policy, strategy and doctrinal publications. In addition, there are number of other publications that provide further context and greater detail on aspects introduced. Links to these data sources can be found within the resource section at the end of this publication.  8. サイバー・プライマーは、多くの政策、戦略、教義に関する出版物によって支えられている。さらに、紹介された側面についてのより詳細な文脈を提供する他の出版物も多数ある。これらのデータソースへのリンクは、本書末尾のリソースセクションに記載されている。
   
1 The examples and case studies included in this primer contain reports selected from various external sources by the Strategic Command Cyber Reserve, a cadre of cyber-industry experts who are also Tri-Service Reservists. All of this information is publicly available online and provided for understanding only; sources quoted and opinions expressed do not necessarily reflect those of the Ministry of Defence (MOD). Similarly, where alleged perpetrators are identified they have been done so through public sources and not through any investigations or conclusions conducted by the MOD. The names of the operations associated with the examples have been assigned by the international cyber security community. 1 この入門書に含まれる事例とケーススタディは、三軍の予備役でもあるサイバー業界の専門家集団である戦略司令部サイバーリザーブが外部の様々な情報源から選んだレポートを含んでいる。これらの情報はすべてオンラインで一般に公開されており、理解のためにのみ提供されている。引用された情報源や表明された意見は、必ずしも国防省(MOD)のものを反映したものではありません。同様に、加害者とされる人物が特定された場合、それは公的な情報源を通じて行われたものであり、国防省が行った調査や結論によるものではありません。例題に関連する作戦名は、国際的なサイバーセキュリティ・コミュニティによって命名されたものである。
2 Full details of these roles and the activities that are conducted within them are detailed within Joint Doctrine Publication 0-50, UK Defence Cyber and Electromagnetic Doctrine, 2nd Edition, which is due to publish in 2023. 2 これらの役割とその中で行われる活動の詳細は、2023年に発行予定の統合ドクトリンパブリケーション0-50「英国国防サイバー及び電磁波ドクトリン第2版」に詳述されている。

 

20221129-15952

 

10 top tips for staying secure online オンラインを安全に利用するための10のアドバイス
01 Protect your personal email by using a strong and unique password 01 強力でユニークなパスワードを使用して、個人的な電子メールを保護する
02 Report if things go wrong or do not look right, such as a suspicious email or link 02 不審なメールやリンクなど、おかしいと感じたら報告する
03 Create a long and strong password by combining three random words 03 3つのランダムな単語を組み合わせて、長くて強力なパスワードを作成する
04 Ensure defences such as antivirus software and firewalls are installed 04 アンチウイルスソフトやファイアウォールなどの防御策を確実に導入する
05 Activate two-step verification to protect your online accounts 05 オンラインアカウントを保護するために、2段階認証機能を有効にする
06 Backup your data to safeguard your most important documents 06 データをバックアップし、重要なドキュメントを保護する
07 Use a password manager to help create and recall passwords 07 パスワードを作成し、思い出すのにパスワードマネージャーを使用する
08 Check your internet footprint - searches, online history and social media accounts 08 検索、オンライン履歴、ソーシャルメディアアカウントなど、インターネットの足跡をチェックする
09 Set up automatic security updates to make sure all your devices are patched 09 自動セキュリティ更新を設定し、すべてのデバイスにパッチが適用されていることを確認する
10 Install the latest software and application updates 10 最新のソフトウェアとアプリケーションのアップデートをインストールする

 

・関連

 

 

| | Comments (0)

EU連合理事会 NIS2成立

こんにちは、丸山満彦です。

NIS2がEU連合理事会で可決されたようですね。。。

 

● European Council/Council of the European Union

・2022.11.28 EU decides to strengthen cybersecurity and resilience across the Union: Council adopts new legislation

EU decides to strengthen cybersecurity and resilience across the Union: Council adopts new legislation EU、サイバーセキュリティとレジリエンスをEU全域で強化することを決定。理事会、新たな法案を採択
The Council adopted legislation for a high common level of cybersecurity across the Union, to further improve the resilience and incident response capacities of both the public and private sector and the EU as a whole. 欧州連合(EU)理事会は、官民およびEU全体のレジリエンスとインシデント対応能力をさらに向上させるため、EU全体で高い共通レベルのサイバーセキュリティを実現するための法案を採択した。
The new directive, called ‘NIS2’, will replace the current directive on security of network and information systems (the NIS directive). 「NIS2」と呼ばれるこの新しい指令は、ネットワークと情報システムのセキュリティに関する現行の指令(NIS指令)に取って代わるものである。
There is no doubt that cybersecurity will remain a key challenge for the years to come. The stakes for our economies and our citizens are enormous. Today, we took another step to improve our capacity to counter this threat. サイバーセキュリティが今後数年間、重要な課題であり続けることに疑いの余地はない。私たちの経済と市民にとって、そのリスクは計り知れない。今日、私たちはこの脅威に対抗する能力を向上させるための新たな一歩を踏み出した。
Ivan Bartoš, Czech Deputy Prime Minister for Digitalization and Minister of Regional Development チェコ共和国デジタル化担当副首相兼地域開発大臣 イワン・バルトシュ氏
Stronger risk and incident management and cooperation リスクマネジメント、インシデントマネジメント、協力体制の強化
NIS2 will set the baseline for cybersecurity risk management measures and reporting obligations across all sectors that are covered by the directive, such as energy, transport, health and digital infrastructure. NIS2は、エネルギー、運輸、健康、デジタルインフラなど、指令の対象となるすべてのセクターにおけるサイバーセキュリティのリスクマネジメント対策と報告義務のベースラインを設定することになる。
The revised directive aims to harmonise cybersecurity requirements and implementation of cybersecurity measures in different member states. To achieve this, it sets out minimum rules for a regulatory framework and lays down mechanisms for effective cooperation among relevant authorities in each member state. It updates the list of sectors and activities subject to cybersecurity obligations and provides for remedies and sanctions to ensure enforcement. 改正指令は、異なる加盟国でのサイバーセキュリティ要件とサイバーセキュリティ対策の実施を調和させることを目的としている。これを実現するために、規制の枠組みに関する最低限のルールを定め、各加盟国の関係当局間の効果的な協力のためのメカニズムを定めている。また、サイバーセキュリティの義務の対象となる部門と活動のリストを更新し、強制力を確保するための救済措置と制裁措置を規定している。
The directive will formally establish the European Cyber Crises Liaison Organisation Network, EU-CyCLONe, which will support the coordinated management of large-scale cybersecurity incidents and crises. この指令は、大規模なサイバーセキュリティ事件や危機の協調的管理を支援する欧州サイバー危機連絡組織ネットワーク(EU-CyCLONe)を正式に設立する予定である。
Widening of the scope of the rules 規則の適用範囲の拡大
While under the old NIS directive member states were responsible for determining which entities would meet the criteria to qualify as operators of essential services, the new NIS2 directive introduces a size-cap rule as a general rule for identification of regulated entities. This means that all medium-sized and large entities operating within the sectors or providing services covered by the directive will fall within its scope. 旧NIS指令では、加盟国はどの事業者が必須サービスの事業者として認定される基準を満たすかを決定する責任を負っていたが、新NIS2指令では、規制対象事業者の特定に関する一般規則として、規模制限規則を導入している。これは、この指令の対象となる分野で活動する、あるいはサービスを提供するすべての中堅・大企業がその範囲に含まれることを意味する。
While the revised directive maintains this general rule, its text includes additional provisions to ensure proportionality, a higher level of risk management and clear-cut criticality criteria for allowing national authorities to determine further entities covered. 改正指令はこの一般規則を維持する一方で、その条文には、国家当局がさらに対象企業を決定できるように、比例性、より高いレベルのリスクマネジメント、明確な重要性の基準を確保するための追加条項が含まれている。
The text also clarifies that the directive will not apply to entities carrying out activities in areas such as defence or national security, public security, and law enforcement. Judiciary, parliaments, and central banks are also excluded from the scope. また、防衛や国家安全保障、公安、法執行といった分野での活動には、この指令は適用されないことも明確化されている。司法、議会、中央銀行も対象から外されている。
NIS2 will also apply to public administrations at central and regional level. In addition, member states may decide that it applies to such entities at local level too. NIS2は、中央および地域レベルの行政機関にも適用される。さらに、加盟国は、地方レベルの行政機関にも適用することを決定することができる。
Other changes introduced by the new law 新法が導入するその他の変更点
Moreover, the new directive has been aligned with sector-specific legislation, in particular the regulation on digital operational resilience for the financial sector (DORA) and the directive on the resilience of critical entities (CER), to provide legal clarity and ensure coherence between NIS2 and these acts. さらに、この新しい指令は、特に金融セクターのデジタル運用のレジリエンスに関する規則(DORA)や重要な事業体のレジリエンスに関する指令(CER)といったセクター固有の法律と整合され、法的明確性を提供し、NIS2とこれらの法律間の一貫性を確保するようになっている。
A voluntary peer-learning mechanism will increase mutual trust and learning from good practices and experiences in the Union, thereby contributing to achieving a high common level of cybersecurity. 自主的なピアラーニングの仕組みは、相互信頼を高め、EUにおける優れた実践や経験から学ぶことで、高い共通レベルのサイバーセキュリティの達成に貢献する。
The new legislation also streamlines the reporting obligations in order to avoid causing over-reporting and creating an excessive burden on the entities covered. また、新法は、過剰な報告や対象事業者の過度な負担を避けるために、報告義務を合理化している。
Next steps 次のステップ
The directive will be published in the Official Journal of the European Union in the coming days and will enter into force on the twentieth day following this publication. この指令は、近日中に欧州連合官報に掲載され、掲載後20日目に発効する予定である。
Member states will have 21 months from the entry into force of the directive in which to incorporate the provisions into their national law. 加盟国は、指令の発効から21カ月以内に、この規定を自国の国内法に組み込む必要がある。
Directive on measures for a high common level of cybersecurity across the Union (PE-CONS 32/22) 欧州連合全体におけるサイバーセキュリティの高い共通レベルのための措置に関する指令(PE-CONS 32/22)
20221129-03247
[DOCX]

仮訳

 

Draft directive on measures for a high common level of cybersecurity across the Union – Council general approach EU全域で共通レベルの高いサイバーセキュリティのための措置に関する指令案 - 理事会一般的アプローチ
Cybersecurity: how the EU tackles cyber threats (background information) サイバーセキュリティ:EUはどのようにサイバー脅威に対処しているか(背景情報)
A digital future for Europe (background information) 欧州のデジタルな未来(背景情報)
How the EU responds to crises and builds resilience EUはどのように危機に対処し、レジリエンスを構築しているか?
Visit the meeting page 会議のページ

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.11.25 ENISA EUにおけるサイバーセキュリティ投資 2022

・2022.11.13 欧州議会 NIS2とデジタル・オペレーショナル・レジリエンス法を可決

・2021.03.15 欧州データ保護監督官 (EDPS) が欧州のサイバーセキュリティ戦略とネットワークおよび情報システムのセキュリティに関する改訂された指令(NIS 2.0)を歓迎すると表明

・2020.12.28 欧州委員会 サイバーセキュリティ戦略の公表とネットワークおよび情報システムのセキュリティに関する指令の改訂(NIS2指令)提案 at 2020.12.16


| | Comments (0)

2022.11.28

防衛省 防衛研究所 中国安全保障レポート2023 ― 認知領域とグレーゾーン事態の掌握を目指す中国 ―

こんにちは、丸山満彦です。

防衛省 防衛研究所が 中国安全保障レポート2023 ― 認知領域とグレーゾーン事態の掌握を目指す中国 ― を公表していますね。。。

日本語版のみならず、英語版、 もあります。。。

 

防衛省 防衛研究所

・2022.11.25 中国安全保障レポート『中国安全保障レポート2023』を掲載しました

・中国安全保障レポート2023 ― 認知領域とグレーゾーン事態の掌握を目指す中国 ―本文要約)·(表紙·奥付

20221128-62030

 

目次... 

中国安全保障レポート2023

目次
要約
略語表

はじめに

第 1 章  中国の軍事組織再編と非軍事的手段の強化
1.
 改革前の軍事組織の問題点
1)改革前の党軍関係の基本構造
2)問題点

2. 習近平の軍事改革における党軍関係の強化
1)中央軍事委員会主席責任制の再確立
2)強調される党委員会の指導
3)軍内監察部門の独立
4)巡視制度の導入
5)政治工作部の役割の縮小

3. 戦略支援部隊の設置

4. 人民武装警察部隊と海警の改編がもたらすもの
1)中央軍事委員会の一元指導を受ける武警
2)警種部隊、公安系統部隊を切り捨ててスリム化した武警
3 14個機動師団の解体と機動総隊の新設
4)人民解放軍に倣った武警総部の再編
5)武警隷下に入った海警
6)共産党統治のための武警

第 2 章  活発化する中国の影響力工作
1.
 中国の影響力工作

2. 中国共産党の心理・認知領域をめぐる闘争
1)宣伝工作
2)統一戦線工作
3)ソーシャルメディアにおける活動
4)秘密裏の活動
5)組織

3. 人民解放軍の心理・認知領域における闘争
1)人民解放軍の情報化戦争における心理・認知領域
2)三戦(輿論戦、心理戦、法律戦)
3)認知領域作戦

4. 事例研究 : 台湾における中国の影響力工作の展開
1)サイバー攻撃の事例
2)メディアの報道を利用した圧力
3)台湾人を利用した影響力工作の展開
4)多国籍企業や軍関係者への工作

第 3 章  海上で展開される中国のグレーゾーン事態
1.
 中国が展開するグレーゾーン事態

2. 進展する海上民兵の組織化
1)海上民兵の組織、指揮命令系統、党との関係
2)海上民兵の役割

3. 海警と海上民兵の活動の積極化
1)海警の装備強化と活動拡大
2)海上民兵に対する支援・組織化
3)海洋アクターの協調

4. 東シナ海と南シナ海におけるグレーゾーン作戦の相違点

おわりに


要約 第 1 章  中国の軍事組織再編と非軍事的手段の強化

習近平の軍事改革によって中国の軍事組織の再編が進み、その中で党の指導が強化されてきた。中国共産党 による直接的コントロールがより強調され、特に中央軍委主席責任制の徹底と軍内党委員会が重視されており、 また軍内における法やルールによる統治も強調されている。党の指導は人民解放軍だけでなく、その他の軍事組 織においても強化されており、軍とそのほかの政府アクターの協調メカニズムが発展しつつある。これは非軍事 的手段を積極的に活用するという現代的な紛争形態への対応でもある。

影響力工作については、戦略支援部隊が設置された。戦略支援部隊はサイバー、電磁スペクトラム、宇宙に関 わる機能を統合するだけでなく、心理・認知領域の戦いにも深く関与しているとみられる。

グレーゾーン作戦については、武警と海警の再編が行われた。武警が中央軍事委員会の単独指導下に置かれるとともに、海警が武警隷下となることで、海警も軍の指導下に置かれた。武警再編によって武警の機能を平時 における治安維持に特化すると同時に、有事における人民解放軍の統合作戦に寄与しやすい組織へと改編した。

20221128-94925

 


要約 第2章 活発化する中国の影響力工作

中国は、心理・認知領域における闘争として党全体の影響力工作と関連する軍の活動を活発化させている。中国にとって、情報と影響力をめぐる争いは、米欧とのイデオロギー上の安全と優位性をめぐるものである。中国に とって、欧米の「誤った見方」を正すだけでなく、中国の観点、中国側のナラティブを内外に積極的に広めること が重要となっている。中国のナラティブが国内外の議論を支配することで、米欧のイデオロギー浸透の試みに対 抗できる。こうして中国は、国内と国外の両方に向けて影響力工作を強化している。そのために、宣伝工作や統 一戦線工作、さらにソーシャルメディアにおける活動が活発化している。

党の影響力工作が主に戦略レベルの活動であるのに対して、軍の活動は戦略レベルにも作戦レベルにもまたが るものである。人民解放軍は、心理戦を重視する伝統を持っており、さらに近年では輿論(よろん)戦、心理戦、法律戦の「三 戦」を重視している。現在、三戦は、さまざまなレベルのさまざまな軍関連組織において実施されると考えられる。 三戦専門の基地もあれば、各部隊において実施されるものもある。近年では党の活動と軍の活動は、重複する 部分が増えている。近年では、人工知能など新興技術の発展に伴い、これを駆使した知能化戦争への移行が模 索される中で、心理戦の延長として認知領域における作戦という概念が登場している。

こうした心理・認知領域における闘争が最も顕著に表れているのが、台湾に対する影響力工作である。サイバー 空間や人脈を通じたフェイクニュース拡散、軍関係者を含む台湾人への働きかけなど、党・人民解放軍による影 響力工作が幅広く行われており、台湾にとって大きな脅威となっている。

 

20221128-95618


 

 

年度 副題 テーマ
2023


認知領域とグレーゾーン事態の掌握を目指す中国


1 中国の軍事組織再編と非軍事的手段の強化
2 活発化する中国の影響力工作
3 海上で展開される中国のグレーゾーン事態
2022


統合作戦能力の深化を目指す中国人民解放軍
1 中国人民解放軍の統合作戦構想の変遷
2 改編された中国人民解放軍の統合作戦体制
3 軍改革における統合作戦訓練・人材育成体制の発展と党軍関係強化の模索
2021 新時代における中国の軍事戦略 1 情報化戦争の準備を進める中国
2 中国のサイバー戦略
3 中国における宇宙の軍事利用
4 中国の軍民融合発展戦略
2020 ユーラシアに向かう中国 1 中国のユーラシア外交
2 中央アジア・ロシアから見た中国の影響力拡大
3 ユーラシアにおけるエネルギー・アーキテクチャ
2019 アジアの秩序をめぐる戦略とその波紋 1 既存秩序と摩擦を起こす中国の対外戦略
2 中国による地域秩序形成とASEANの対応 ――「台頭」から「中心」へ
3 「一帯一路」と南アジア――不透明さを増す中印関係
4 太平洋島嶼国 ――「一帯一路」の南端
2018 岐路に立つ米中関係 1 中国の対米政策
2 米国の対中政策
3 地域における米中関係の争点
2017 変容を続ける中台関係 1 中国の台湾政策の変遷
2 台湾から見た中台関係
3 米国にとっての台湾問題
4 中台関係の変容と「現状維持」
2016 拡大する人民解放軍の活動範囲とその戦略 1 遠海での作戦能力強化を図る中国海軍
2 空軍の戦略的概念の転換と能力の増大
3 ミサイル戦力の拡充
4 統合的な作戦能力の強化
2014 多様化する人民解放軍・人民武装警察部隊の役割 1 中央国家安全委員会創設とその背景
2 人民武装警察部隊の歴史と将来像
3 人民解放軍による災害救援活動
4 軍事外交としての国連平和維持活動
5 ソマリア沖・アデン湾における海賊対処活動
2013   1 中国の対外危機管理体制
2 中国の危機管理概念
3 危機の中の対外対応
2012   1 「党軍」としての性格を堅持する人民解放軍
2 深化する軍と政府の政策調整
3 軍と政府が連携を深める安全保証政策
4 政策調整の制度化を求める人民解放軍
2011   1 海洋に向かう中国
2 南シナ海で摩擦を起こす中国
3 外洋に進出する中国海軍
4 対外園で発言力を増す人民解放軍
創刊号   1 中国の対外姿勢
2 拡大する活動範囲
3 役割を増す軍事外交
4 進む装備の近代化

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.11.28 防衛省 防衛研究所 中国安全保障レポート2022 ― 統合作戦能力の深化を目指す中国人民解放軍 ―

・2020.11.14 防衛省 防衛研究所 「中国安全保障レポート2021 ― 新時代における中国の軍事戦略 ―」は中国のサイバー戦略についての章がありますね

 

| | Comments (0)

NIST サイバーセキュリティ50周年 - NISTサイバーセキュリティプログラムの歴史と年表

こんにちは、丸山満彦です。

NIST(1988年までは旧NBS)は1972年から50年にわたり、サイバーセキュリティの研究を行い、産官学のためのサイバーセキュリティ・ガイダンスを開発してきていますが、主要な研究プロジェクト、プログラム、そして最終的にはNISTのサイバーセキュリティの歴史をざっと見るための年表を公表していますね。。。

興味深いです。。。

 

NIST - NIST Cybersecurity Program History and Timeline

米国標準局 (NBS) のコンピュータ科学技術研究所が、コンピュータ セキュリティ プログラムを確立したところから始まります...

1973年11月に発行された、

・[PDF] NBS Technical Note 809 Government Looks at Privacy and Security in Computer Systems

20221127-45130

 

・[PDF] NBS Special Publication 404 Approaches to Privacy and Security in Computer Systems

20221127-45947

 

1974年には、Privacy Act of 1974

そして、1976年は、

・1976.02.15 [PDF] FIPIS PUB 39 Glossary for Computer Sysytems Security

20221127-50714

用語ですが、あまり大きな違いはないのかもしれません。。。

 

・・・と続いていきます。。。

 


古い話であれば、私のブログにも。。。最近、サイバーセキュリティ業界に入ってきたかたは過去の歴史を知ることが意外と重要かもしれないので、、、

まるちゃんの情報セキュリティ気まぐれ日記

・2016.08.11 コンピュータ・セキュリティ -犯罪対策と災害対策-

・2006.04.25 米国 30年前のIT適用業務処理統制の項目

・2006.04.24 米国 30年前のIT全般統制の項目

 

| | Comments (0)

2022.11.27

個人情報保護委員会 第44回世界プライバシー会議(GPA)結果報告について「顔認識技術における個人情報の適切な利用に関する原則及び期待」

こんにちは、丸山満彦です。

第224回 個人情報保護委員会で、第44回世界プライバシー会議(GPA)結果報告が行われていて、「顔認識技術における個人情報の適切な利用に関する原則及び期待」に係る決議とその委員会による仮訳が公表されていますね。。。

個人情報保護委員会

・2022.11.16 第224回

(1) 第44回世界プライバシー会議(GPA)結果報告について

・[PDF] 資料1―1 第44回世界プライバシー会議(GPA)結果報告

・[PDF] 資料1-2 第44回世界プライバシー会議(GPA)における決議案一覧

・[PDF] 資料1-3 「顔認識技術における個人情報の適切な利用に関する原則及び期待」に係る決議(英語)

20221127-41354

・[PDF] 資料1-4 「顔認識技術における個人情報の適切な利用に関する原則及び期待」に係る決議(当委員会仮訳)

20221127-41546

 

the principles and expectations for the appropriate use of personal information in facial recognition technology
顔認識技術における個人情報の適切な利用に関する原則及び期待
1. LAWFUL BASIS 1.法的根拠
Organizations using facial recognition should have a clear lawful basis for the collection and use of biometrics.  顔認識を利用する組織は、バイオメトリクスの収集及び利用のための明確な法的根拠を持つべきである。 
2. REASONABLENESS, NECESSITY AND PROPORTIONALITY 2.合理性、必要性及び比例性
Organizations should establish, and be able to demonstrate, the reasonableness, necessity, and proportionality of their use of facial recognition technology.  組織は、顔認識技術の利用に関する合理性、必要性及び比例性を確立し、証明できるようにするべきである。
3. PROTECTION OF HUMAN RIGHTS 3.人権の保護
Organizations should in particular assess and protect against unlawful or arbitrary interference with privacy and other human rights.  組織は、特に、プライバシー及びその他の人権に対する不法な又は恣意的な干渉を評価し、保護するべきである。 
4. TRANSPARENCY 4.透明性
The use of facial recognition should be transparent to affected individuals and groups.  顔認識の利用は、影響を受ける個人及びグループに対して透明性のあるものにするべきである。 
5. ACCOUNTABILITY 5.責任
The use of facial recognition should include clear and effective accountability mechanisms.  顔認識の利用には、明確で効果的な責任メカニズムを含めるべきである。 
6. DATA PROTECTION PRINCIPLES 6.データ保護原則
The use of facial recognition should respect all data protection principles, including those referenced a 顔認識の利用は、上記で言及した原則を含む、すべてのデータ保護原則を尊重するべきである。 

 

2つ目の議題は、、、

(2) 電気通信事業法に基づく協議について

・[PDF] 資料2―1 電気通信事業法に基づく協議について

・[PDF] 資料2-2 電気通信事業法に基づく協議に対する回答(案) 

・[PDF] 参考 電気通信事業法に基づく協議に対する回答(令和4年11月16日付け個情第1972号)

・[PDF] 資料2-3 電気通信事業法施行規則改正案 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.11.01 第44回 世界プライバシー会議 顔認識に関する決議

 

 

顔認識についての記事...

・2022.11.04 インターポール、国連地域間犯罪司法研究所、オランダ警察、世界経済会議 顔認証のユースケースを責任を持って制限するためのポリシーフレームワーク:法執行機関の捜査(2022年改訂版)

・2022.11.01 第44回 世界プライバシー会議 顔認識に関する決議

・2022.10.07 米国 科学技術政策局 AI権利章典の青写真

・2022.10.03 米国 2022年顔認識法案

・2022.07.12 米国 国土安全保障省検査局 米国税関・国境警備局は空港での国際線旅行者の識別のために顔認識のポリシーを遵守している (2022.07.07)

・2022.05.30 英国 情報コミッショナー 顔認識データベース会社Clearview AI Incに750万ポンド以上の罰金を科し、英国人のデータの削除を命じた

・2022.05.20 欧州データ保護委員会 (EDPB) 意見募集「法執行分野における顔認識技術の使用に関するガイドライン」

・2022.05.15 カナダ プライバシーコミッショナー室 プライバシーに関する戦略的優先事項とそこから生まれたテーマと見解

・2022.04.30 米国 GAO ブログ 人工知能は国家安全保障をどう変えるか (2022.04.19)

・2022.01.21 ENISA デジタル・アイデンティティ攻撃に注意:あなたの顔が偽装される可能性があります

・2021.12.25 個人情報保護委員会 犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会の設置

・2021.10.17 インターポール、国連地域間犯罪司法研究所、オランダ警察、世界経済会議が「顔認証を責任もって制限するためのポリシーフレームワーク ユースケース:法執行機関の捜査」 at 2021.10.05

・2021.09.29 世界経済フォーラム (WEF) 技術の責任ある利用:IBMをケースにした研究

・2021.09.27 欧州委員会 職場での電子モニタリングと監視 (Electronic Monitoring and Surveillance in the Workplace)

・2021.09.10 EU議会 提言 バイオメトリクス認識と行動検知

・2021.08.28 中国 意見募集 国家サイバースペース管理局 「インターネット情報サービスのアルゴリズムによる推奨に関する管理規定」

・2021.08.27 米国 GAO 顔認識技術:連邦政府機関による現在および計画中の使用方法

・2021.08.20 英国 意見募集 監視カメラ実施規範改訂案 by 監視カメラコミッショナー at 2021.08.13

・2021.08.11 EU議会 STUDY バイオメトリクス認識と行動検知

・2021.08.10 EU議会 STUDY ヨーロッパの政策におけるディープフェイクへの取り組み at 2021.07.30

・2021.08.08 EU議会 BRIEFING スマートシティとアーバンモビリティにおける人工知能 at 2021.07.23

・2021.08.07 総務省 AIネットワーク社会推進会議 「報告書2021」の公表

・2021.08.07 Atlantic Council AIとデータ倫理におけるコミットメントからコンテンツへの移行:正義と説明可能性

・2021.08.04 中国 通信院 信頼できる人工知能についての白書 at 2021.07.09

・2021.08.03 中国 最高人民法院 「民事案件における顔識別技術の使用に関する司法解釈」

・2021.07.15 米国GAO 顔認識技術について連邦法執行機関はプライバシーやその他のリスクをより適切に評価する必要がある at 2021.06.03

・2021.07.12 ニューヨーク市 生体情報プライバシー条例が2021.07.09から施行されましたね。。。

・2021.06.30 WHO 保健のための人工知能の倫理とガバナンス

・2021.06.28 EU 外交政策ツールとしての人工知能ガバナンス

・2021.06.23 欧州 EDPBとEDPS 公共の場における人の特徴を自動認識するためのAIの使用、および不当な差別につながる可能性のあるその他のAIの使用の一部を禁止するよう要請

・2021.06.22 欧州保険職業年金局 (EIOPA) 欧州保険セクターにおける倫理的で信頼できるAIガバナンス原則に関するレポートを公表

・2021.06.20 英国 情報コミッショナー 公共の場でのライブ顔認識技術の使用に関するプライバシーの懸念

・2021.06.17 米国上院・下院 顔認識ツールを含む生体情報監視を政府が使用することを禁止する「顔認識および生体認識技術モラトリアム法案」

・2021.06.17 英国政府:データ倫理とイノベーションセンター プライバシーに関するユーザの積極的選択中間報告(スマートフォン)

・2021.06.08 U.S. の公益団体であるEPICが顔認識技術および遠隔生体認識技術の使用禁止を世界的に呼びかけていますね。。。

・2021.05.12 カナダのプライバシーコミッショナーが顔認識技術について議会で見解を述べたようですね。。。

・2021.05.07 ドイツ連邦情報セキュリティ局 (BSI) が「監査可能なAIシステムを目指して - 現状と今後の展望」を公表しています

・2021.05.03 中国 意見募集 顔認識に続けて、歩行認識、音声認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。

・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね

・2021.04.22 ドイツ連邦情報セキュリティ局 (BSI) が安全なAI導入のための対策をまとめていますね。。。

・2021.04.21 U.S. FTC(連邦取引委員会) のブログ 会社でAIを活用する場合は真実、公正、公平を目指そう、という記事がありますね。。。

・2021.03.14 CNIL 乗客のマスク着用率を測定するためのインテリジェントビデオの使用に関する法令についての意見を公表

・2021.02.05 カナダのプライバシーコミッショナーが顔認識ソフトウェアを提供するClearview AIについての声明を出していますね。。。

・2021.01.30 欧州評議会 108号条約委員会が「顔認証に関するガイドライン」を採択しましたね。。。

・2021.01.12 欧州委員会 市民イニシアティブとして「生体認証による大量監視慣行の禁止」を登録

・2021.01.04 ニューヨーク州 知事が学校での顔認識技術の使用を一時停止し、研究を指示する法律に署名 at 2020.12.22

・2020.11.04 カナダプライバシー委員会 Cadillac Fairview社が500万人の顔データを取得していたことに関する報告書(2020.10.28)

・2020.06.26 人間が間違うなら、人間を模倣したAIも間違うんでしょうね。。。

・2020.06.14 IBM, Amazon, Microsoftは顔認証システムを米国の警察には販売しない

・2020.05.01 (人工知能 AI)ブラックボックスの検証:アルゴリズムシステムを評価するためのツール - アルゴリズムの監査・影響評価のための共通言語の特定

・2020.03.26 JVNVU#99619336 勾配降下法を使用する機械学習モデルに、誤った識別をさせるような入力を作成することが可能な問題

・2020.03.04 FIRST EVER DECISION OF A FRENCH COURT APPLYING GDPR TO FACIAL RECOGNITION

・2020.02.17 遠くからでもわかる顔認識システム!

ぐっと遡って、2000年代

・2009.11.07 世界プライバシー宣言(Global Privacy Standards for a Global World)

・2005.08.11 外務省 IC旅券調査研究報告書

・2005.02.04 監視社会と信頼関係

| | Comments (0)

2022.11.26

中国 パブコメ 重要情報インフラ サイバーセキュリティ対応システムフレームワーク (2022.11.17)

こんにちは、丸山満彦です。

中国の全国信息安全标准化技术委员会 (National Information Security Standardization Technical Committee)、いわゆるTC260が重要情報インフラ事業者のサイバーセキュリティ対応システムフレームワークについての標準案を公表し、意見募集をしていますね。。。

データセンタ事業者や通信事業者に適用されるものだろうと思うのですが、日本の事業者にとっても参考になる部分はあるのだろうと思います。もちろん、伝統的な対策がほとんどなので、対策済みの項目がほとんどだろうとは思いますが...

 

● 全国信息安全标准化技术委员会 (National Information Security Standardization Technical Committee)

・2022.11.17 关于国家标准《信息安全技术 关键信息基础设施网络安全应急体系框架》征求意见稿征求意见的通知

 

・[DOC] 信息安全技术 关键信息基础设施网络安全应急体系框架-标准文本.doc

・[PDF]

20221126-62418

 

信息安全技术 关键信息基础设施网络安全应急体系框架 情報セキュリティ技術 重要情報インフラ サイバーセキュリティ対応システムフレームワーク
1 范围 1 適用範囲
本文件给出了关键信息基础设施网络安全应急体系框架,包括机构设立、分析识别、应急预案、监测预警、应急处置、事后恢复与总结、事件报告与信息共享、应急保障、演练与培训。 本書は、重要情報インフラに対するサイバーセキュリティ緊急対応体制について、組織の設立、分析・識別、緊急対応計画、監視・早期警戒、緊急対応、事後復旧・総括、事故報告・情報共有、緊急防護、演習・訓練などの枠組みを示したものである。
本文件适用于关键信息基础设施运营者建立健全网络安全应急体系、开展网络安全应急活动,也可供关键信息基础设施安全保护的其他相关方参考。 本書は、重要情報インフラの運用者が、健全なサイバーセキュリティ緊急対応体制を構築し、サイバーセキュリティ緊急対応活動を行う際に適用できるとともに、重要情報インフラのセキュリティ保護に関わるその他の関係者にとっても参考となるものである。
2 规范性引用文件 2 規範となる引用文献
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 以下の文書の内容は、本文中の規範的な参照を通じて、この文書の本質的な規定を構成している。 このうち、日付のある文献については、その日付に対応するバージョンのみが本書に適用され、日付のない文献については、最新バージョン(すべての改訂シートを含む)が本書に適用される。
GB/Z 20986 信息安全技术 信息安全事件分类分级指南 GB/Z 20986 情報セキュリティ技術 情報セキュリティインシデントの分類および等級付けガイド
GB/T 25069—2022 信息安全技术 术语 GB/T 25069-2022 情報セキュリティ技術用語集
GB/T 39204—2022  信息安全技术  关键信息基础设施安全保护要求 GB/T 39204-2022 情報セキュリティ技術 重要情報インフラのセキュリティ保護に関する要求事項
GB/T AAAAA—XXXX 信息安全技术 网络安全信息共享指南 GB/T AAAAA-XXXX 情報セキュリティ技術 サイバーセキュリティに関する情報共有のためのガイドライン

 

 

目次的なもの。。。

 

信息安全技术 关键信息基础设施网络安全应急体系框架 情報セキュリティ技術 重要情報インフラ サイバーセキュリティ対応システムフレームワーク
1 范围 1 適用範囲
2 规范性引用文件 2 規範となる引用文献
3 术语和定义 3 用語の説明と定義
3.1 关键信息基础设施  critical information infrastructure 3.1 重要情報インフラ
3.2 网络安全事件  cybersecurity incident 3.2 サイバーセキュリティインシデント
3.3 应急响应  emergency response 3.3 緊急対応
3.4 应急预案  emergency plan 3.4 緊急対応計画 
3.5 网络安全应急相关方  cybersecurity emergency relevant party 3.5 サイバーセキュリティ緊急事態関連当事者
3.6 供应链  supply chain 3.6 サプライチェーン
3.7 关键业务链  critical business chain 3.7 主要事業チェーン
4 缩略语 4 略語
5 总体架构 5 一般的なアーキテクチャ
6 机构设立 6 機関の設立
7 分析识别 7 分析・識別
8 应急预案 8 緊急対応計画
9 监测预警 9 監視と早期警告
9.1 风险发现 9.1 リスクの検出
9.2 风险分析 9.2 リスク分析
9.3 风险预警 9.3 リスク早期警告
10 应急处置 10 緊急対応
10.1 概述 10.1 概要
10.2 应急处置机制 10.2 緊急対応メカニズム
10.3 业务应急处置 10.3 業務上の緊急対応
10.4 数据应急处置 10.4 データ緊急対応
10.5 供应链应急处置 10.5 サプライチェーンでの緊急対応
11 事后恢复与总结 11 事故後の復旧と棚卸し
12 事件报告与信息共享 12 インシデント報告および情報共有
12.1 事件报告 12.1 インシデント報告
12.2 信息共享 12.2 情報共有
12.2.1 信息共享机制 12.2.1 情報共有の仕組み
12.2.2 信息共享内容 12.2.2 情報共有の内容
13 应急保障 13 緊急時のセキュリティ
13.1 基础保障 13.1 基本的なセキュリティ
13.2 协同保障 13.2 協働セキュリティ
13.3 业务保障 13.3 オペレーショナルセキュリティ
13.4 数据保障 13.4 データセキュリティ
13.5 供应链保障 13.5 サプライチェーンセキュリティ
14 演练与培训 14 演習と訓練
14.1 演练 14.1 演習
14.2 培训 14.2 訓練

 

1_20221126064301

 

図1:CIIのサイバーセキュリティ緊急対応システムフレームワークの全体アーキテクチャ

・[DOCX] 仮対訳

 


 

意見募集の一覧

全国信息安全标准化技术委员会

标准征求意见(100件単位)

 

 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.11.16 中国 意見募集 ネットワークデータセキュリティ管理条例

・2021.08.30 中国 「重要情報インフラのセキュリティ保護規制」についての専門家の解釈+「データセキュリティ法」についての解釈

・2022.05.31 中国 意見募集 国家標準案 情報セキュリティ技術- インターネットプラットフォーム及び製品サービスにおけるプライバシーポリシー要求事項

・2021.01.27 中国 TC260 パブコメ ブロックチェーン情報サービスのセキュリティ仕様他

 

 

| | Comments (0)

2022.11.25

ENISA EUにおけるサイバーセキュリティ投資 2022

こんにちは、丸山満彦です。

ENISAがセキュリティ投資に関する報告書2022年版を公表していますね。。。

なかなか興味深いです。。。

健康セクター、エネルギーセクターについては詳細な分析をしていますね。。。そして、大企業と中小企業の比較とかも。。。

昨年に比べて、セキュリティに対する投資が減少しているようです。。。

 

ENISA

・2022.11.23 Cybersecurity Investments in the EU: Is the Money Enough to Meet the New Cybersecurity Standards?

 

Cybersecurity Investments in the EU: Is the Money Enough to Meet the New Cybersecurity Standards? EUにおけるサイバーセキュリティへの投資。新しいサイバーセキュリティ基準を満たすための資金は十分か?
The European Union Agency for Cybersecurity publishes the latest report on Network and Information Security Investments in the EU providing an insight on how the NIS Directive has impacted the cybersecurity budget of operators over the past year with deep-dives into the Energy and Health sectors. 欧州連合サイバーセキュリティ機関は、EUにおけるネットワークと情報セキュリティへの投資に関する最新報告書を発表し、NIS指令が過去1年間に事業者のサイバーセキュリティ予算に与えた影響について、エネルギーと健康分野を深く掘り下げて考察している。
The report analyses data collected from Operators of Essential Services (OES) and from Digital Service Providers (DSP) identified in the European Union's Directive on Network and Information Security Systems (NIS Directive). The analysis seeks to understand whether those operators have invested their budgets differently over the past year in order to meet the new requirements set by the legislative text. この報告書では、EUの「ネットワークおよび情報セキュリティシステムに関する指令(NIS指令)」で特定された「必須サービス事業者(OES)」と「デジタルサービス事業者(DSP)」から収集したデータを分析している。この分析では、これらの事業者が、法文で定められた新たな要件を満たすために、過去1年間に異なる形で予算を投じたかどうかを理解することを目的としている。
EU Agency for Cybersecurity, Executive Director, Juhan Lepassaar, declared: “The resilience of our EU critical infrastructures and technologies will highly depend on our ability to make strategic investments. I am confident that we have the competence and skills driving us to achieve our goal, which is to ensure we will have the adequate resources at hand to further develop our cybersecurity capacities across all economic sectors of the EU." EUサイバーセキュリティ機関、エグゼクティブディレクターのJuhan Lepassaarは、次のように宣言している。「EUの重要なインフラと技術のレジリエンスは、戦略的な投資を行う能力に大きく依存する。私は、EUのすべての経済部門にわたってサイバーセキュリティ能力をさらに発展させるための適切なリソースを手元に確保するという目標を達成するための能力とスキルを、私たちが持っていると確信している。」
Contextual parameters framing the analysis 分析を構成する文脈的パラメータ
The report includes an analysis reaching more than 1000 operators across the 27 EU Member States. Related results show that the proportion of Information Technology (IT) budget dedicated to Information Security (IS) appears to be lower, compared to last year's findings, dropping from 7.7% to 6.7%. 本報告書には、27のEU加盟国にわたる1000以上の事業者を対象とした分析が含まれている。その結果、情報技術(IT)予算のうち情報セキュリティ(IS)に充てられる割合は、昨年の調査結果と比較して低くなっており、7.7%から6.7%に減少していることが判明した。
These numbers should be conceived as a general overview of information security spending across a varied typology of strategic sectors. Accordingly, specific macroeconomic contingencies such as COVID19 may have influenced the average results.   これらの数値は、戦略部門の様々な類型における情報セキュリティ支出の一般的な概観として理解されるべきである。したがって、COVID19のような特定のマクロ経済的偶発事象が平均結果に影響を及ぼしている可能性がある。 
What are the key findings? 重要な発見
The NIS Directive, other regulatory obligations and the threat landscape are the main factors impacting information security budgets; NIS指令、その他の規制義務、脅威の状況が、情報セキュリティ予算に影響を与える主な要因である。
Large operators invest EUR 120 000 on Cyber Threat Intelligence (CTI) compared to EUR 5 500 for SMEs, while operators with fully internal or insourced SOCs spend around EUR 350 000 on CTI, which is 72% more than the spending of operators with a hybrid SOC; 大規模事業者はサイバー脅威インテリジェンス(CTI)に12万ユーロを投資しているのに対し、中小企業は5500ユーロ、完全内部またはインソースSOCを持つ事業者はCTIに約35万ユーロを費やしており、ハイブリッドSOCを持つ事業者の支出より72%多い。
The health and banking sectors bear the heaviest cost among the critical sectors in case of major cybersecurity incidents with the median direct cost of an incident in these sectors amounting to EUR 300 000; 大規模なサイバーセキュリティインシデントが発生した場合、重要なセクターの中で最も重いコストを負担するのは医療と銀行セクターであり、これらのセクターにおけるインシデントの直接コストの中央値は30万ユーロにのぼる。
37% of Operators of Essential Services and Digital Service Providers do not operate a SOC;  重要サービス事業者とデジタルサービス事業者の37%は、SOCを運用していない。 
For 69% the majority of their information security incidents are caused by vulnerabilities in software or hardware products with the health sector declaring the higher number of such incidents; 69%の事業者が、情報セキュリティ事故の大半をソフトウェアまたはハードウェア製品の脆弱性に起因させるとしており、その件数は医療セクターが突出して多いとしている。
Cyber insurance has dropped to 13% in 2021 reaching a low 30% compared to 2020; サイバー保険は、2021年には13%に低下し、2020年と比較して30%という低い水準に達している。
Only 5% of SMEs subscribe to cyber insurance; 中小企業でサイバー保険に加入しているのはわずか5%。
86% have implemented third-party risks management policies. 86%が第三者リスクマネジメントを導入している。
Key findings of Health and Energy sectors 健康分野とエネルギー分野の主な調査結果
・Health ・健康分野
From a global perspective, investments in ICT for the health sector seem to be greatly impacted by COVID-19 with many hospitals looking for technologies to expand healthcare services to be delivered beyond the geographical boundaries of hospitals. Still, cybersecurity controls remain a top priority for spending with 55% of health operators seeking increased funding for cybersecurity tools. グローバルな視点から見ると、健康分野へのICT投資はCOVID-19の影響を大きく受けているようで、多くの病院が病院の地理的な境界を越えて提供される医療サービスを拡大するための技術を求めているようである。それでも、サイバーセキュリティ対策は依然として支出の最優先事項であり、医療事業者の55%がサイバーセキュリティ・ツールのための資金増額を求めている。
64% of health operators already resort to connected medical devices and 62% already deployed a security solution specifically for medical devices. Only 27% of surveyed OES in the sector have a dedicated ransomware defence programme and 40% of them have no security awareness programme for non-IT staff. 医療事業者の64%は、すでに接続された医療機器に頼り、62%は医療機器専用のセキュリティソリューションをすでに導入している。 この分野の調査対象OESのうち、ランサムウェア専用の防御プログラムを実施しているのは27%のみで、40%は非ITスタッフ向けのセキュリティ啓発プログラムを持っていない。
・Energy ・エネルギー
Oil and gas operators seem to prioritise cybersecurity with investments increasing at a rate of 74%.  Energy sector shows a trend in investments shifting from legacy infrastructure and data centres to cloud services. 石油・ガス事業者は、サイバーセキュリティを優先しているようで、投資額は74%の割合で増加している。 エネルギー分野では、レガシーインフラやデータセンターからクラウドサービスへと投資がシフトしている傾向が見られる。
However, 32% of operators in this sector do not have a single critical Operation Technology (OT) process monitored by a SOC. OT and IT are covered by a single SOC for 52% of OES in the energy sector. しかし、この分野の事業者の32%は、SOCによって監視されている重要なオペレーションテクノロジー(OT)プロセスを1つも持っていない。 エネルギー分野のOESの52%では、OTとITが1つのSOCでカバーされている。
Background 背景
The objective of the Directive on Security of Network and Information Systems (NIS Directive) is to achieve a high common level of cybersecurity across all Member States. ネットワークと情報システムのセキュリティに関する指令(NIS指令)の目的は、全加盟国に共通する高いレベルのサイバーセキュリティを実現することである。
One of the three pillars of the NIS Directive is the implementation of risk management and reporting obligations for OES and DSP. NIS指令の3つの柱の1つは、OESとDSPに対するリスクマネジメントと報告義務の実施である。
OES provide essential services in strategic sectors of energy (electricity, oil and gas), transport (air, rail, water and road), banking, financial market infrastructures, health, drinking water supply and distribution, and digital infrastructure (Internet exchange points, domain name system service providers, top-level domain name registries). OESは、エネルギー(電力、石油、ガス)、輸送(航空、鉄道、水、道路)、銀行、金融市場インフラ、健康、飲料水の供給と配給、デジタルインフラ(インターネット交換ポイント、ドメインネームシステムサービスプロバイダ、トップレベルドメイン名レジストリ)の戦略的分野で必須サービスを提供している。
DSP operate in an online environment, namely online marketplaces, online search engines and cloud computing services. DSPはオンライン環境、すなわちオンラインマーケットプレイス、オンライン検索エンジン、クラウドコンピューティングサービスにおいて事業を展開している。
The report investigates how operators invest in cybersecurity and comply with the objectives of the NIS Directive. It also gives an overview of the situation in relation to such aspects as IT security staffing, cyber insurance and organisation of information security in OES and DSP. この報告書では、事業者がどのようにサイバーセキュリティに投資し、NIS指令の目的を遵守しているかを調査している。また、OESとDSPにおけるITセキュリティの人材配置、サイバー保険、情報セキュリティの組織といった側面に関する状況についても概要を示している。
Further information 詳細はこちら
NIS Investments – ENISA report 2022 NIS投資 - ENISA報告書2022
NIS Investments – ENISA Report 2021 NIS投資 - ENISA報告書2021
NIS Investments – ENISA Report 2020 NIS投資 - ENISA報告書2020
ENISA Topic - NIS Directive ENISA トピック - NIS 指令

 

・2022.11.23 NIS Investments 2022

NIS Investments 2022 NIS投資 2022年
This report marks the third iteration of ENISA's NIS Investments report, which collects data on how Operators of Essential Services (OES) and Digital Service Providers (DSP) identified in the European Union’s directive on security of network and information systems (NIS Directive) invest their cybersecurity budgets and how this investment has been influenced by the NIS Directive. In addition, global cybersecurity market trends are presented through Gartner security data and insights observed globally and in the EU, in order to provide a better understanding of the relevant dynamics. This year's report presents data collected from 1080 OES/DSPs from all 27 EU Member States and can now provide a historical dataset that allows for year-on-year comparison and identification of trends. Moreover, sectorial deep dives were conducted for the Energy and Health sectors. Overall, a number of absolute values, such as IT and Information Security (IS) budgets or % of IT budgets spent on IS seem to be significantly lower compared to last year. This can be attributed to the composition of the survey sample and to the higher representation of OES from the Energy and Health sectors due to the sectorial deep dives, but also to the macroeconomic environment, such as the COVID-19 impact on the respective budgets. 本報告書は、ENISAのNIS Investments報告書の第3版であり、欧州連合のネットワークと情報システムのセキュリティに関する指令(NIS指令)で特定されたOperators of Essential Services(OES)とDigital Service Providers(DSP)が、サイバーセキュリティ予算をどのように投資し、この投資がNIS指令にどのように影響されてきたかというデータを収集したものである。さらに、グローバルなサイバーセキュリティ市場の動向を、ガートナーのセキュリティデータと世界およびEUで観測された知見を通じて紹介し、関連するダイナミクスをより深く理解できるようにしている。今年の報告書では、EU加盟全27カ国の1080のOES/DSPから収集したデータを紹介しており、前年比やトレンドの特定を可能にする履歴データセットを提供できるようになった。さらに、エネルギーと健康の分野では、分野別の深堀りが行われた。全体として、ITおよび情報セキュリティ(IS)予算や、IT予算のうちISに費やされた割合など、多くの絶対値が昨年に比べて大幅に減少しているようである。これは、調査サンプルの構成や、エネルギー・健康分野の深堀りによりOESの比率が高くなったことに加え、COVID-19が各予算に与える影響など、マクロ経済環境にも起因していると思われる。

 

・[PDF] NIS Investments 2022

20221125-35334

・[DOCX] 仮訳

 

 

エグゼクティブサマリー

EXECUTIVE SUMMARY  エグゼクティブサマリー 
This report marks the third iteration of ENISA's NIS Investments report, which collects data on how Operators of Essential Services (OES) and Digital Service Providers (DSP) identified in the European Union’s directive on security of network and information systems (NIS Directive)[1] invest their cybersecurity budgets and how this investment has been influenced by the NIS Directive. In addition, global cybersecurity market trends are presented through Gartner security data and insights observed globally and in the EU, in order to provide a better understanding of the relevant dynamics.  本報告書は、ENISAのNIS投資報告書の第3弾となる。本報告書では、ネットワークと情報システムのセキュリティに関する欧州連合の指令(NIS指令)[1] で特定された事業者(OES)とデジタルサービスプロバイダー(DSP)が、サイバーセキュリティ予算をどう投資し、この投資がNIS指令にどう影響されてきたかというデータを集めている。さらに、グローバルなサイバーセキュリティ市場の動向を、ガートナーのセキュリティデータとグローバルおよびEUで観測されたインサイトを通じて提示し、関連する力学の理解を深めている。 
This year's report presents data collected from 1080 OES/DSPs from all 27 EU Member States and can now provide a historical dataset that allows for year-on-year comparison and identification of trends. Moreover, sectorial deep dives were conducted for the Energy and Health sectors.  今年の報告書は、EU全27加盟国の1080のOES/DSPから収集したデータを掲載しており、前年比や傾向の特定が可能な履歴データセットを提供できるようになった。さらに、エネルギーと健康の分野では、セクター別のディープダイブを実施した。 
Overall, a number of absolute values, such as IT and Information Security (IS) budgets or % of IT budgets spent on IS seem to be significantly lower compared to last year. This can be attributed to the composition of the survey sample and to the higher representation of OES from the Energy and Health sectors due to the sectorial deep dives, but also to the macroeconomic environment, such as the COVID-19 impact on the respective budgets.  全体として、ITや情報セキュリティ(IS)予算、IT予算のうちISに費やされた割合など、多くの絶対値が昨年と比べて著しく低くなっているようである。これは、調査サンプルの構成や、セクター別の深堀りによりエネルギー部門と健康部門のOESの割合が高くなったことに加え、COVID-19が各予算に与える影響などマクロ経済環境にも起因していると思われる。 
Other key findings of the report include:  その他の主な調査結果は以下のとおりである。 
•        The median percentage of IT budgets spent on IS is 6.7 %, 1 percentage point lower compared to last year's findings.  •       IT予算のうちISに費やす割合の中央値は6.7%で、昨年の調査結果と比べて1ポイント低くなっている。 
•        The NIS Directive and other regulatory obligations, as well as the threat landscape are the main factors influencing IS budgets.  •       NIS指令やその他の規制義務、そして脅威の状況は、IS予算に影響を与える主な要因となっている。 
•        Large operators invest significantly more on CTI compared to smaller ones with the median spend on CTI across OES/DSPs being EUR 50 000. Internal SOC capabilities seem to be very closely correlated with CTI spending, even though CTI is useful outside the context of SOC operations likely indicating the need to facilitate access to CTI for smaller operators.  •       大規模な事業者は、小規模な事業者に比べて CTI への投資が著しく多く、OES/DSP 全体の CTI への支出の中央値は 50,000 ユーロであった。内部 SOC 能力は、CTI が SOC 操作のコンテキスト以外でも有用であるにもかかわらず、CTI 支出と非常に密接な相関関係があるようで、小規模事業者が CTI にアクセスしやすくする必要があることを示しているようである。 
•        The estimated direct cost of a major security incident is EUR 200 000 on median, twice as large as last year, indicating an increase in the cost of incidents. Health and Banking remain the top two sectors in terms of incident cost.  •       大規模なセキュリティインシデントの推定直接コストは中央値で20万ユーロと、昨年の2倍となっており、インシデントのコストが増加していることがわかる。インシデントコストの上位2部門は、引き続き「医療」と「銀行」である。 
•        37% of the OESs and DSPs in the EU do not operate a dedicated SOC.  •       EUのOESとDSPの37%は、専用のSOCを運用していない。 
•        30% of OES/DSPs possessed cyber insurance in 2021, a decrease of 13% compared to 2020, with only 5% of SMEs subscribing to cyber insurance.  •       2021年にサイバー保険を保有するOES/DSPは30%で、2020年と比較して13%減少し、中小企業のサイバー保険への加入は5%にとどまった。 
•        86% of OES/DSPs have implemented third-party risks management though only 47% have a dedicated TRM budget and only 24% have a dedicated TRM role.  •       OES/DSPの86%がサードパーティリスクマネジメントを導入しているが、TRM専用の予算があるのは47%、TRM専門の役割があるのは24%に過ぎない。 
•        32% of the OESs within the Energy sector indicate that none of their critical OT processes are monitored by a SOC.  •       エネルギーセクターのOESの32%は、重要なOTプロセスのどれもがSOCによって監視されていないと回答している。 
•        Only 27% of surveyed OES in the Health sector have a dedicated ransomware defence programme and 40% of surveyed OES have no security awareness programme for non-IT staff.   •       保健医療分野の調査対象企業のうち、ランサムウェア専用の防御プログラムを実施しているのはわずか27%で、調査対象企業の40%は、IT部門以外のスタッフに対するセキュリティ啓発プログラムを実施していない。  

 

 

目次...

1. INTRODUCTION 1.はじめに
2. INFORMATION SECURITY DYNAMICS AND OUTLOOK 2.情報セキュリティーの動態と展望
2.1 TRENDS IN INFORMATION SECURITY AND SPENDING ON THREAT INTELLIGENCE 2.1 情報セキュリティの動向と脅威インテリジェンスへの支出
2.1.1 Forecast spending on Information security 2.1.1 情報セキュリティへの支出予測
2.1.2 Spending forecast on cyber threat intelligence 2.1.2 サイバー脅威インテリジェンスへの支出予測
2.2 SECTOR SPECIFIC TRENDS IN SPENDING ON TECHNOLOGY 2.2 技術への支出におけるセクター別の傾向
2.2.1 Technology investments in the Health sector 2.2.1 健康分野への技術投資
2.2.2 Technology investments in the Energy sector 2.2.2 エネルギー分野への技術投資
2.3 TOP STRATEGIC TRENDS IN CYBERSECURITY 2.3 サイバーセキュリティのトップ戦略トレンド
2.3.1 Reframing the security practice 2.3.1 セキュリティの実践をリフレーミングする
2.3.2 Rethinking technology 2.3.2 技術を再考する
2.4 THE CHANGING CYBER THREAT LANDSCAPE 2.4 変化するサイバー脅威の状況
2.4.1 Attack surface expansion 2.4.1 攻撃面の拡大
2.4.2 Identity threat detection and response (ITDR) 2.4.2 アイデンティティ脅威の検知と対応
2.4.3 Digital supply chain risks 2.4.3 デジタルサプライチェーンリスク
2.5 THE ONGOING CYBERSECURITY TALENT CRUNCH 2.5 サイバーセキュリティの人材不足が進行中
2.5.1 Leverage non-traditional labour pools and profiles 2.5.1 非伝統的な労働力とプロファイルを活用する
2.5.2 Prioritise and implement relevant technology 2.5.2 関連技術の優先順位付けと導入
2.5.3 Strengthen employee value propositions 2.5.3 従業員への価値提案の強化
2.5.4 Redesign work 2.5.4 リデザイン作業
2.6 ENISA FORESIGHT 2.6 ENISA FORESIGHT
3. INFORMATION SECURITY INVESTMENTS FOR OESs AND DSPs 3.OESおよびDSPの情報セキュリティ投資について
3.1 METHODOLOGY 3.1 方法論
3.2 SPENDING ON INFORMATION SECURITY 3.2 情報セキュリティーのための支出
3.2.1 IT spending 3.2.1 IT投資
3.2.2 IS spending 3.2.2 IS支出
3.2.3 IS spending as a share of IT spending 3.2.3 IT支出に占めるIS支出の割合
3.2.4 Cyber threat intelligence (CTI) spending 3.2.4 サイバー脅威情報(CTI)支出
3.2.5 External factors impacting cybersecurity investment strategies 3.2.5 サイバーセキュリティの投資戦略に影響を与える外部要因
3.3 INFORMATION SECURITY AND NIS STAFFING 3.3 情報セキュリティとNISの人員配置
3.3.1 IT FTEs 3.3.1 IT FTEs
3.3.2 IS FTEs 3.3.2 IS FTEs
3.3.3 IS FTE as a share of IT FTEs 3.3.3 IS FTE が IT FTE に占める割合
4. SECURITY INCIDENTS AND CYBERSECURITY CAPABILITIES 4.セキュリティインシデントとサイバーセキュリティ能力
4.1 CYBERSECURITY INCIDENTS 4.1 サイバーセキュリティのインシデント
4.2 NATURE AND COSTS OF MAJOR SECURITY INCIDENTS 4.2 重大なセキュリティインシデントの性質とコスト
4.3 SECURITY OPERATIONS CENTRES (SOC) 4.3 セキュリティオペレーションセンター(Soc)
4.4 PATCHING 4.4 パッチング
4.5 CYBER INSURANCE 4.5 サイバー保険
4.6 VULNERABILITY MANAGEMENT 4.6 脆弱性の管理
4.7 CYBERSECURITY SKILLS 4.7 サイバーセキュリティのスキル
5. SUPPLY-CHAIN SECURITY 5.サプライチェーンセキュリティ
5.1 THIRD-PARTY RISK MANAGEMENT (TRM) POLICIES 5.1 第三者リスク管理(TRM)方針
5.2 TRM BUDGET 5.2 TRM 予算
5.3 TRM ROLES AND RESPONSIBILITIES 5.3 TRM の役割と責任
5.4 RISK MITIGATING TECHNIQUES 5.4 リスク軽減のための技術
5.5 EUROPEAN CYBERSECURITY REQUIREMENTS 5.5 欧州のサイバーセキュリティ要件
6. SECTORAL ANALYSIS: ENERGY 6.セクター別分析:エネルギー
6.1 DEMOGRAPHICS OF A SECTORIAL DEEP DIVE 6.1 セクター別ディープダイブのデモグラフィック
6.2 INVESTMENT AND STAFFING INFORMATION 6.2 投資と人材に関する情報
6.3 CERTIFICATION SCHEMES 6.3 認証スキーム
6.4 OPERATIONAL TECHNOLOGY (OT) SECURITY 6.4 オペレーショナルテクノロジー(OT)セキュリティ
6.5 CYBERSECURITY CERTIFICATION 6.5 サイバーセキュリティ認証
7. SECTORAL ANALYSIS: HEALTH 7.セクター別分析:健康
7.1 DEMOGRAPHICS OF A SECTORIAL DEEP DIVE 7.1 セクター別ディープダイブのデモグラフィック
7.2 INVESTMENT AND STAFFING INFORMATION 7.2 投資と人材に関する情報
7.3 CONNECTED MEDICAL DEVICES AND CLOUD PLATFORMS IN HEALTH 7.3 健康におけるコネクテッド・メディカル・デバイスとクラウド・プラットフォーム
7.4 MEDICAL DEVICES SECURITY 7.4 医療機器のセキュリティ
7.5 RANSOMWARE DEFENCE AND AWARENESS TRAINING 7.5 ランサムウェアの防御と意識向上トレーニング
7.6 CYBERSECURITY CERTIFICATION 7.6 サイバーセキュリティ認証
8. SME VS LARGE ENTERPRISES 8.SMEと大企業の比較
8.1 SME AND LE DISTRIBUTION BY MEMBER STATE AND SECTOR 8.1 加盟国・セクター別のSMEとLEの分布
8.2 IS SPEND AS A SHARE OF IT SPEND FOR SMEs AND LEs 8.2 中小企業および大企業の IT 投資に占める IS 支出の割合
8.3 CTI SPENDING FOR SMEs AND LEs 8.3 中小企業および大企業に対する CTI 支出
8.4 IS FTEs AS A SHARE OF IT FTEs FOR SMEs AND LEs 8.4 中小企業および大企業のITスタッフに占めるIS FTEsの割合
8.5 SOC CAPABILITIES FOR SMEs AND LEs 8.5 中小企業および LE の社会的能力
8.6 SHARE OF ASSETS VISIBILITY FOR PATCHING FOR SMEs AND LEs 8.6 中小企業および大企業のパッチ適用における資産可視化の割合
8.7 AVERAGE TIME TO PATCH CRITICAL VULNERABILITIES IN IT ASSETS FOR SMEs AND LEs 8.7 中小企業および大企業の IT 資産における重大な脆弱性の修正に要する平均時間
8.8 CYBER INSURANCE FOR SMEs AND LEs 8.8 中小企業および LE のためのサイバー保険
8.9 VULNERABILITY MANAGEMENT FOR SMEs AND LEs 8.9 中小企業および大企業の脆弱性管理
8.10 THIRD PARTY RISK MANAGEMENT (TRM) POLICIES FOR SMEs AND LEs 8.10 中小企業及び大企業の第三者リスク管理(TRM)方針
8.11 CYBERSECURITY SKILLS FOR SMEs AND LEs 8.11 中小企業および LE のためのサイバーセキュリティ・スキル
8.12 EUROPEAN CYBERSECURITY REQUIREMENTS FOR SMEs AND LEs 8.12 中小企業及び大企業に対する欧州のサイバーセキュリティ要求事項
9. CONCLUSIONS 9.結論
A ANNEX: NIS DIRECTIVE SURVEY DEMOGRAPHICS A 附属書:NIS ディレクティブ調査人口統計データ
B ANNEX: DEFINITIONS B 附属書:定義
B.1 MEDIAN AND AVERAGE DEFINITIONS B.1 中央値および平均値の定義
B.2 CAGR DEFINITION B.2 CAGRの定義
B.3 SME DEFINITION B.3 SME の定義
C ANNEX: ACRONYMS C 附属書:頭字語

 

参考...

 

OESとDSP

Operators of Essential Services (OES)  基幹サービス事業者 (OES)
•        Energy (electricity, oil and gas)  ・エネルギー(電気,石油,ガス)
•        Transport (air, rail, water and road)  ・輸送(航空, 鉄道, 海上, 道路)
•        Banking  ・銀行
•        Financial market infrastructures  ・金融市場インフラストラクチャー
•        Health  ・医療機関
•        Drinking water supply and distribution  ・飲料水の供給と配給
•        Digital infrastructure  ・デジタルインフラ
Digital Service Providers (DSP) デジタルサービスプロバイダ (DSP)
•        Online marketplace  ・オンライン・マーケットプレイス
•        Online search engine  ・オンライン検索エンジン
•        Cloud computing service  ・クラウドコンピューティングサービス

 

 

 


昨年の...

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.11.26 ENISA NIS投資動向報告書2021 at 2021.11.17

 

 

 

| | Comments (0)

欧州データ保護委員会 パブコメ コントローラ用 拘束的企業準則 (BCR-C) (2022.11.15)

こんにちは、丸山満彦です。

欧州データ保護委員会がコントローラ用拘束的企業準則 (BCR-C) を公開し、意見募集をしていますね。。。既存のガイダンスをCJEUのSchrems II判決の要件に一致させるための改訂という感じですね。。。

日本では、IIJがBCRを活用していますね。。。

 

European Data Protection Board: EDPB

・2022.11.15 EDPB adopts Recommendations on the application for approval and on the elements and principles to be found in Controller Binding Corporate Rules

EDPB adopts Recommendations on the application for approval and on the elements and principles to be found in Controller Binding Corporate Rules EDPB、承認申請とコントローラ用 拘束的企業準則の要素および原則に関する勧告を採択
During its November plenary, the EDPB adopted Recommendations on the application for approval and on the elements and principles to be found in Controller Binding Corporate Rules (BCR-C). These recommendations form an update of the existing BCR-C referential, which contain criteria for BCR-C approval, and merge it with the standard application form for BCR-C. The new recommendations build upon the agreements reached by data protection authorities in the course of approval procedures on concrete BCR applications since the entering into application of the GDPR. The recommendations provide additional guidance and aim to ensure a level playing field for all BCR applicants. The recommendations also bring the existing guidance in line with the requirements in the CJEU’s Schrems II ruling. EDPBは、11月の総会において、コントローラ用 拘束的企業準則 (BCR-C)の承認申請および要素・原則に関する勧告を採択した。この勧告は、BCR-C承認のための基準を含む既存のBCR-Cリファレンスを更新し、BCR-Cの標準申請書と統合するものである。この新しい勧告は、GDPRの適用開始以来、具体的なBCR申請に関する承認手続きの過程でデータ保護当局が達成した合意に基づいている。この勧告は、追加のガイダンスを提供し、すべてのBCR申請者に公平な競争の場を保証することを目的としている。また、この勧告は、既存のガイダンスをCJEUのSchrems II判決の要件に一致させるものである。
BCR-Cs are a transfer tool that can be used by a group of undertakings or enterprises, engaged in a joint economic activity, to transfer personal data outside the European Economic Area to controllers or processors within the same group. BCRs create enforceable rights and set out commitments to establish a level of data protection essentially equivalent to the one provided by the GDPR. BCR-Cは、共同経済活動を行う企業グループが、欧州経済領域外の個人データを同じグループ内の管理者または処理者に移転するために使用できる移転手段である。BCRは、強制力のある権利を創出し、GDPRが提供するものと本質的に同等のデータ保護レベルを確立するためのコミットメントを定めている。
The aim of these recommendations is to: 本勧告の目的は、以下のとおりである。
・provide an updated standard application form for the approval of BCR-Cs; ・BCR-Cの承認のための標準的な申請書の更新を提供する。
・clarify the necessary content of BCR-Cs and provide further explanation; ・BCR-Cの必要な内容を明確にし、さらなる説明を提供する。
・make a distinction between what must be included in a BCR-C and what must be presented to the BCR lead data protection authority in the BCR application; ・BCR-Cに含まれなければならないものと、BCR申請においてBCRリードデータ保護当局に提示しなければならないものを区別する。
A second set of recommendations for BCR-processors is currently being developed. プロセッサー用BCRに対する第2の勧告は、現在策定中である。
The recommendations will be subject to public consultation until 10 January 2023 勧告は、2023年1月10日まで公開協議の対象となる予定である。

 

・2022.11.17 Recommendations 1/2022 on the Application for Approval and on the elements and principles to be found in Controller Binding Corporate Rules (Art. 47 GDPR)

Recommendations 1/2022 on the Application for Approval and on the elements and principles to be found in Controller Binding Corporate Rules (Art. 47 GDPR) 承認申請に関する勧告1/2022、及びコントローラー用拘束的企業準則(GDPR第47条)に見出されるべき要素及び原則に関する勧告
The European Data Protection Board welcomes comments on the Recommendations 1/2022 on the Application for Approval and on the elements and principles to be found in Controller Binding Corporate Rules (Art. 47 GDPR). 欧州データ保護委員会は、承認申請に関する勧告1/2022およびコントローラー拘束力のある企業規則(GDPR第47条)に見出される要素および原則に関するコメントを歓迎する。
Such comments should be sent 10th January 2023 at the latest using the provided form. このようなコメントは、遅くとも2023年1月10日までに、所定のフォームを使用して送信すること。
Please note that, by submitting your comments, you acknowledge that your comments might be published on the EDPB website. なお、コメントを送信することにより、あなたのコメントがEDPBのウェブサイトに掲載される可能性があることを了承したものとみなされる。
The EDPB Secretariat staff screens all replies provided before publication (only for the purpose of blocking unauthorised submissions, such as spam), after which the replies are made available to the public directly on the EDPB public consultations’ page. Unauthorised submissions are immediately deleted. The attached files are not altered in any way by the EDPB. EDPB事務局では公開前に全ての返信を審査し(スパムなど不正な投稿をブロックする目的のみ)、その後EDPB公開協議のページで直接公開される。無許可の投稿は直ちに削除されます。添付されたファイルは、EDPBによって一切変更されない。
Please, note that regardless the option chosen, your contribution may be subject to a request for access to documents under Regulation 1049/2001 on public access to European Parliament, Council and Commission documents. In this case the request will be assessed against the conditions set out in the Regulation and in accordance with applicable data protection rules. なお、どのオプションを選択したかにかかわらず、あなたの投稿は、欧州議会、理事会、欧州委員会の文書への一般アクセスに関する規則1049/2001に基づく文書アクセス要求の対象となる可能性があることを了承すること。この場合、要求は同規則に規定された条件と、適用されるデータ保護規則に従って評価される。
All legal details can be found in our Specific Privacy Statement (SPS). すべての法的な詳細は、当社の特定個人情報保護方針(SPS)に記載されている。

 

・2022.11.17 [PDF] Recommendations 1/2022 on the Application for Approval and on the elements and principles to be found in Controller Binding Corporate Rules (Art. 47 GDPR)

20221125-10958

・[DOCX] 仮訳

 

 

| | Comments (0)

2022.11.24

ノルウェイ フランス ドイツ オランダ等 ワールドカップが開催されているカタールのアプリについての警告 (2022.11.14-)

こんにちは、丸山満彦です。

FIFA World Cup 2022では、日本がドイツに2-1で勝ち、わいているところですが、、、

Fifa

ノルウェイ フランス ドイツ オランダ等の個人データ保護委員会がワールドカップが開催されているカタールのアプリ (ワールド カップの公式アプリである「Hayya」、感染追跡アプリ「Ehteraz」) について、電話通話履歴を取得している等、広範囲な個人データを取得している可能性があるので、使い捨て携帯にアプリをダウンロードして利用をすることを推奨するなど、警告を出していますね。。。

ノルウェイ

Datatilsynet

Datatilsynet

・2022.11.14 Apper under Qatar-VM

Apper under Qatar-VM カタール ワールド カップ期間中のアプリ
Alle som reiser til Qatar for å følge fotball-VM, kan bli bedt om å laste ned to qatarske apper. Appene kan potensielt brukes til å overvåke de tilreisende. Vi har laget noen råd om hva du kan gjøre i denne situasjonen. FIFA ワールド カップを観戦するためにカタールに旅行する人は誰でも、2 つのカタール アプリをダウンロードするよう求められる。アプリは、訪問者を監視するために使用できる可能性がある。このような状況であなたができることについて、いくつかのアドバイスを用意した。
Tilreisende til Qatar-VM blir bedt om å laste ned appen Hayya, den offisielle VM-appen. Denne har fått kritikk blant annet for å overvåke brukernes lokasjon. カタール ワールド カップの来場者は、ワールド カップの公式アプリである Hayya アプリをダウンロードするよう求められる。これは、とりわけ、ユーザーの位置を監視するため、批判を受けている。
Dersom du trenger å oppsøke helsehjelpfasiliteter i Qatar, vil du også bli bedt om å laste ned appen Ehteraz, en smittesporingsapp. Ehteraz har mottatt sterk kritikk fordi appen kan brukes til å hente ut personopplysninger fra brukernes mobiltelefoner (nrk.no). Den norske ambassaden i Abu Dhabi (De forente arabiske emirater), som er sideakkridert til Qatar, har gjort oss oppmerksom på at obligatorisk forhåndsregistrering i denne appen ble opphevet i starten av november 2022. カタールの医療施設を訪問する必要がある場合は、感染追跡アプリである Ehteraz アプリのダウンロードも求められる。 Ehteraz は、このアプリを使用してユーザーの携帯電話から個人データを抽出できるため、強い批判を受けている (nrk.no)。カタールに認可されているアブダビ (アラブ首長国連邦) のノルウェー大使館は、このアプリでの必須の事前登録が 2022 年 11 月の初めに解除されたことを通知した。
Vide tilganger 広いアクセス
Datatilsynet vet ikke hva disse appene faktisk gjør eller hva brukernes personopplysninger eventuelt vil bli brukt til. ノルウェーのデータ保護機関は、これらのアプリが実際に何をするのか、ユーザーの個人データが何に使用される可能性があるのか​​を知らない。
- Vi er foruroliget over de vide tilgangene appene krever. Det er en reell mulighet for at tilreisende til Qatar, og særlig utsatte grupper, blir overvåket av qatarske myndigheter. Datatilsynet har ikke mulighet til å gripe inn mot dette, sier seksjonsjef for internasjonal seksjon i Datatilsynet, Tobias Judin. ・私たちは、アプリが必要とする広範なアクセスに警戒している。カタールへの訪問者、特に脆弱なグループがカタール当局によって監視される可能性が現実にある。ノルウェイのデータ保護機関の国際セクションの責任者であるトビアス・ジュディンは次のように述べている。「ノルウェイのデータ保護機関には、これに対して介入する機会がない。」
Det finnes imidlertid forhåndsregler du kan ta som reisende. ただし、旅行者としてできる注意事項がある。
Råd for privatpersoner som er bekymret 気になるという個人へのアドバイス
Når du reiser med private enheter uten tilgang til jobbsystemer, er det opp til deg hvilken risiko du er komfortabel med, hvorvidt du ønsker å iverksette tiltak og hvilke tiltak du eventuelt iverksetter. 仕事用のシステムにアクセスしない私用デバイスを持って旅行する場合、どのようなリスクを許容できるか、行動を起こすかどうか、そしてもしあればどのような行動を取るかは、あなた次第である。
Et lavterskeltiltak er å ikke gi appen Hayya tilgang til lokasjonen din. Sjekk innstillingene i appen og på telefonen dersom du er i tvil om appen har slik tilgang. Appens personvernerklæring (qatar2022.qa) gir inntrykk av at appen fremdeles fungerer selv om du nekter tilgang til lokasjon. 敷居の低い対策は、Hayya アプリに位置情報へのアクセスを許可しないことである。アプリにそのようなアクセス権があるかどうか疑問がある場合は、アプリと電話の設定を確認すること。アプリのプライバシー ポリシー (qatar2022.qa) を見ると、位置情報へのアクセスを拒否してもアプリは機能するようである。
Før avreise er det vanskelig å vite om du havner i en situasjon der du blir bedt om å laste ned Ehteraz. Dersom du skal reise til Qatar og er bekymret for personvernet, kan du for eksempel vurdere å ha med to mobiltelefoner: en tom lånetelefon som Ehteraz (og Hayyat) eventuelt installeres på, og din vanlige mobiltelefon ved siden av. Det er lurt å passe ekstra godt på din vanlige mobiltelefon, og i den forbindelse kan du for eksempel vurdere følgende tiltak: 出発前に、Ehteraz のダウンロードを求められる状況に陥るかどうかを知ることは困難である。カタールに行く予定があり、プライバシーが心配な場合は、たとえば、2 台の携帯電話を持ち込むことを検討すると良い。Ehteraz (および Hayyat) をインストールする可能性のある空の代替電話と、通常の携帯電話である。通常の携帯電話を特別に管理することを推奨する。これに関して、たとえば、次の対策を検討できる。
・Før avreise, ta sikkerhetskopi av telefonen din i fall det senere blir nødvendig å gjenopprette den. ・後で復元する必要が生じた場合に備えて、出発する前に電話をバックアップする。
・Unngå å koble til åpne eller usikre WiFi-nettverk. ・公開またはセキュリティで保護されていない WiFi ネットワークへの接続は避ける。
・Ha mobiltelefonen på deg til enhver tid, og unngå å legge den igjen i hotellsafer og liknende. ・携帯電話は常に携帯し、ホテルの金庫などに置きっぱなしにしない。
・Unngå å bruke USB-ladeporter på hotellrom, kollektivtransport, flyplass og liknende. Bruk medbrakt lader med veggstøpsel. ・ホテルの部屋、公共交通機関、空港などでは USB 充電ポートを使用しない。付属の充電器と壁のプラグを使用する。
・Unngå å installere noe under reisen. Automatiske app- og programvareoppdateringer kan skrus av, og det samme gjelder automatisk sikkerhetskopiering. ・移動中は何も設置しない。自動バックアップと同様に、アプリとソフトウェアの自動更新をオフにすることができる。
Hvis ønsker å iverksette tiltak, men ikke har adgang til en tom lånetelefon eller ønsker en enda sikrere løsning, kan du for eksempel tømme mobiltelefonen din før og etter reisen: 行動を起こしたいが空の貸し出し電話にアクセスできない場合、またはさらに安全なソリューションが必要な場合は、たとえば、旅行の前後に携帯電話を空にすることができる。
1. Før avreise, ta sikkerhetskopi av telefonen din. 1. 出発する前に、電話をバックアップする。
2. Slett og nullstill telefonen slik at den er helt tom. 2. 電話を消去してリセットし、完全に空白にする。
3. Installer de qatarske appene. 3. Qatari アプリをインストールする。
4. Husk at alt du bruker telefonen til mens appene er installert, potensielt kan overvåkes. 4. アプリのインストール中に電話を使用することはすべて監視される可能性があることに注意する。
5. Så snart du forlater Qatar, ta eventuelt vare på bilder, og slett og nullstill deretter telefonen på nytt. 5. カタールを出たらすぐに写真を保存し、携帯電話を消去してリセットする。
6. Gjenopprett telefonen fra sikkerhetskopien du tok før avreise. 6. 出発前に取ったバックアップから電話を復元する。
Strenge regler for jobbrelatert utstyr 作業関連設備の厳格なルール
Når arbeidstakere reiser med jobbutstyr eller utstyr som har tilgang til jobbsystemer, har virksomheten ansvar etter personvernforordningen for å sikre at virksomhetens personopplysninger beskyttes under reisen. Hvis ikke tilstrekkelige informasjonssikkerhetstiltak iverksettes, kan det føre til at personopplysninger som virksomheten behandler kommer på avveier, misbrukes, manipuleres eller blir utilgjengeliggjort. 従業員が業務用機器または業務用システムにアクセスできる機器を持って移動する場合、企業はデータ保護規則に基づき、移動中に企業の個人データが保護されるようにする責任がある。適切な情報セキュリティ対策が実施されていない場合、会社が処理する個人データが紛失、誤用、操作、または利用できなくなる可能性がある。
Derfor er det viktig at virksomhetene har oversikt dersom arbeidstakere skal reise til Qatar-VM med jobbutstyr eller utstyr med tilgang til virksomhetens systemer. I slike tilfeller må virksomheten gjennomføre gode risikovurderinger for reisen og iverksette sikkerhetstiltak som står i forhold til den identifiserte risikoen. したがって、従業員が作業用機器または企業のシステムにアクセスできる機器を持ってカタールに移動する場合、企業は概要を把握しておくことが重要である。このような場合、企業は出張の適切なリスク評価を実施し、特定されたリスクに見合ったセキュリティ対策を実施する必要がある。

 

フランス

CNIL

Cnil

・2022.11.14 Voyager en dehors de l’UE : la checklist de la CNIL pour protéger votre téléphone, ordinateur ou tablette

Voyager en dehors de l’UE : la checklist de la CNIL pour protéger votre téléphone, ordinateur ou tablette EU圏外への渡航:携帯電話、コンピュータ、タブレットを保護するためのCNILのチェックリスト
Pour voyager en dehors de l’Union européenne en toute sérénité, n’oubliez pas de protéger vos données ! La CNIL propose une checklist pour sécuriser votre téléphone, votre ordinateur ou votre tablette. EU圏外へ安心して旅行するために、データの保護もお忘れなく! CNILは、あなたの携帯電話、パソコン、タブレットを保護するためのチェックリストを提供している。
Pourquoi protéger ses appareils avant de partir en voyage ? なぜ旅行前にデバイスを保護するのか?
Avant de voyager dans un autre pays, il est essentiel de sécuriser vos téléphones, ordinateurs portables et tablettes. 海外に渡航する前に、携帯電話、ノートパソコン、タブレット端末のセキュリティ確保は必須である。
En France et dans l’Union européenne, vos données sont protégées par le règlement général sur la protection des données (RPGD), mais celui-ci ne vous protègera pas nécessairement si vous visitez un autre pays. フランスおよび欧州連合では、個人のデータは一般データ保護規則(GDPR)により保護されているが、個人が他の国を訪問された場合、必ずしも保護されるとは限らない。
La checklist de la CNIL CNILチェックリスト
・Avant le départ, informez-vous sur les règles applicables aux données personnelles et à la vie privée dans le pays dans lequel vous vous rendez, notamment sur le site du ministère de l'Europe et des Affaires étrangères. ・下記のチェックリストに加えて、欧州外務省のホームページに記載されている渡航先の領事館の番号を常に携帯することを忘れないようにする。

・ Ne dévoilez pas vos absences ou le lieu de votre destination et verrouillez vos comptes sociaux. ・不在や行き先を明かさず、ソーシャルアカウントをロックする。
・ Si le pays en question vous impose de télécharger une application spécifique, quelle qu’en soit la raison : ・当該国が、何らかの理由で特定のアプリケーションのダウンロードを要求している場合、
・・ Installez l’application au dernier moment avant le départ ou sur place. ・・出発前の最後の瞬間、または現場でアプリケーションをインストールする。
・・ Limitez les autorisations systèmes à celles strictement nécessaires. ・・システムの権限を厳密に必要なものに限定する。
・・ Supprimez l’application dès le retour en France. ・・フランスに帰国後、すぐにアプリケーションを削除する。
・ Si possible, voyagez avec un téléphone vierge ・可能であれば、空の携帯電話を持って旅行する。
・・ Faites une sauvegarde de vos messages et photos puis remettez à zéro votre téléphone (restauration d’usine). ・・メッセージや写真のバックアップをとってから、携帯電話をリセット(工場出荷状態に戻す)する。
・・ Restaurez la sauvegarde au retour. ・・帰国後、バックアップを復元する。
・・ ou mieux, utilisez un ancien téléphone remis à zéro si vous en avez un. ・・あるいは、古いリセットされた携帯電話があれば、それを使うのもよい。
・ Gardez votre téléphone avec vous en permanence et ne laissez personne l’utiliser. ・携帯電話は常に持ち歩き、誰にも使わせないようにする。
・ Limitez au strict nécessaire la connexion en ligne à des services nécessitant une authentification, même s’ils semblent officiels. ・認証が必要なオンラインサービスでは、たとえそれが正式なものであっても、ログインは必要な範囲にとどめる。
・ Protégez l’accès à votre smartphone par un mot de passe fort. ・スマートフォンへのアクセスは、強力なパスワードで保護する。
・ Sur place, attention aux photographies que vous prenez. Il peut être interdit de prendre une personne en photo sans son consentement ou des bâtiments publics. ・現地で撮影する写真には注意が必要である。人物を無断で撮影したり、公共の建物を撮影することは違法となる場合がある。
・En ligne ou hors ligne, ne dévoilez jamais d’informations sur vous qui pourraient vous mettre en difficulté selon votre pays de destination, notamment des données sensibles comme vos opinions politiques ou religieuses, ou encore votre orientation sexuelle. ・ オンライン、オフラインを問わず、政治的、宗教的見解、性的指向などの機密情報を含め、渡航先によってはトラブルに巻き込まれる可能性のある情報は絶対に明かさないようにする。
Que se passe-t-il si vous rencontrez des difficultés sur place ? 目的地で困ったことが起こったら?
En dehors de la checklist ci-dessus, pensez à toujours conserver sur vous le numéro de la permanence consulaire du pays de destination, comme indiqué sur le site du ministère de l'Europe et des Affaires étrangères. 上記のチェックリストとは別に、欧州外務省のホームページに記載されている渡航先の領事館の電話番号を常に携帯しておくことを忘れないようにする。
Ce contact vous sera utile, par exemple en cas de vol, perte ou altération de votre téléphone, tablette ou ordinateur. この連絡先は、たとえば、携帯電話、タブレット、パソコンが盗難、紛失、破損した場合などに役立つ。

 

ドイツ

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI)

Bfdi_20221124014901

・2022.11.15 Hinweise zum Umgang mit den Apps Ehteraz und Hayya

Hinweise zum Umgang mit den Apps Ehteraz und Hayya アプリ「Ehteraz」「Hayya」の使用方法について
Der BfDI wurde durch Anfragen darauf aufmerksam gemacht, dass für die Einreise zur Fußball-Weltmeisterschaft 2022 in Katar die Installation der Apps "Ehteraz" und "Hayya" verpflichtend ist. Mit den ihm zur Verfügung stehenden Ressourcen hat der BfDI eine erste Analyse beider Apps vorgenommen. BfDIは、2022年サッカーワールドカップ・カタール大会の入場には、アプリ「Ehteraz」「Hayya」のインストールが必須であることを問い合わせにより知った。BfDIは、そのリソースを活用して、両アプリの初期分析を実施した。
Die Apps "Ehteraz" und "Hayya" sind in den gängigen App-Stores in Europa verfügbar und können damit auch außerhalb von Katar heruntergeladen und "genutzt" werden. Von Seiten des BfDI konnte festgestellt werden, dass die Datenverarbeitungen beider Apps wahrscheinlich deutlich weiter gehen, als es die Beschreibungen der Datenschutzhinweise und Verarbeitungszwecke in den App-Stores angeben. アプリ「Ehteraz」と「Hayya」は、ヨーロッパの通常のアプリストアで入手できるため、カタール国外でもダウンロードして「使用」することが可能である。BfDIは、両アプリのデータ処理が、アプリストアのデータ保護通知や処理目的の記述から推測されるよりもはるかに進んでいることを立証することができた。
So wird bei einer der Apps unter anderem erhoben, ob und mit welcher Nummer ein Telefonat geführt wird. Hierbei handelt es sich um mitunter sensible Telekommunikationsverbindungsdaten, die in Deutschland unter das Fernmeldegeheimnis fallen. Die andere App verhindert unter anderem aktiv, dass das Gerät, auf dem sie installiert wird, in den Schlafmodus wechselt. Es ist zudem naheliegend, dass die von den Apps verwendeten Daten nicht nur lokal auf dem Gerät verbleiben, sondern an einen zentralen Server übermittelt werden. 例えば、あるアプリでは、どの番号に電話をかけたか、というデータを収集している。これは、ドイツでは通信の秘密に該当する、機密性の高い通信接続データである。中でも、もう一つのアプリは、インストールされた端末がスリープモードに切り替わるのを積極的に阻止する。また、アプリが使用するデータは、端末のローカルに残るだけではなく、中央のサーバーに送信されることも明らかとなった。
Der BfDI rät daher dazu, die beiden Apps nur dann zu installieren, wenn es absolut unumgänglich ist. Zudem sollte erwogen werden, für die Installation ein eigenes Telefon zu verwenden, das ausschließlich für die Apps genutzt wird. Insbesondere sollten auf diesem Gerät keine weiteren personenbezogenen Daten, wie etwa Telefonnummern, Bild- oder Tondateien gespeichert sein. Im Nachgang der Nutzung der Apps sollten auf dem verwendeten Telefon, das Betriebssystem und sämtliche Inhalte vollständig gelöscht werden. そのため、BfDIでは、やむを得ない場合にのみ、この2つのアプリをインストールすることを勧めている。また、インストールする携帯電話は、アプリ専用に別のものを使用するなどの配慮が必要である。特に、電話番号、画像や音声ファイルなど、その他の個人情報をこのデバイスに保存してはいけません。アプリを使用した後は、使用した携帯電話のオペレーティングシステムとすべてのコンテンツを完全に削除する必要がある。
Hinsichtlich der mit der Nutzung der Apps verbundenen datenschutzrechtlichen Problematik hat der BfDI auch das Bundesamt für Sicherheit in der Informationstechnik und das Auswärtige Amt kontaktiert. BfDIは、アプリの使用に関連するデータ保護の問題について、連邦情報セキュリティ局および連邦外務省にも問い合わせをした。

 

オランダ

Autoriteit Persoonsgegevens

Ap_20221124015201

・2022.11.17  AP waarschuwt WK-gangers voor Qatarese apps

AP waarschuwt WK-gangers voor Qatarese apps AP、W杯観戦者にカタール製アプリを警告
De Autoriteit Persoonsgegevens (AP) raadt bezoekers van het WK voetbal in Qatar aan om goed op hun digitale veiligheid te letten. Wie het WK bezoekt, is verplicht een aantal apps op de mobiele telefoon te installeren. De AP raadt Qatar-bezoekers aan daarvoor een telefoon te gebruiken die zij voor niets anders gebruiken. 個人情報保護局(AP)は、カタール・ワールドカップの来場者に対し、デジタル・セキュリティに細心の注意を払うよう勧告している。ワールドカップに参加される方は、携帯電話にいくつものアプリをインストールする必要がある。APは、カタールの訪問者に、他のことに使わない携帯電話をこの目的のために使うようアドバイスしている。
Eerder waarschuwden de Duitse, Franse, Noorse en Deense privacytoezichthouders al voor deze apps. Met name de Duitse toezichthouder heeft een analyse van de apps uitgevoerd. De AP sluit zich aan bij de waarschuwing van de Europese collega-toezichthouders. 先に、ドイツ、フランス、ノルウェー、デンマークの個人情報保護規制当局が、これらのアプリに対して警告を発している。特に、ドイツの規制当局がアプリの分析を実施した。APは、同じ欧州の規制当局からの警告に加わる。
De betreffende apps heten Ehteraz – een coronatracker – en Hayya, een speciale WK-app. Privacytoezichthouders uit verschillende Europese landen wijzen erop dat de apps waarschijnlijk informatie over gebruikers verzamelen zonder dat gebruikers hiervan op de hoogte zijn.  問題のアプリは、コロナトラッカー「Ehteraz」とワールドカップ専用アプリ「Hayya」と呼ばれるものである。欧州数カ国の個人情報保護規制当局は、アプリがユーザーの知らないところでユーザーの情報を収集している可能性が高いと指摘している。 
Bijvoorbeeld met wie een gebruiker gebeld heeft en welke apps er allemaal op de telefoon staan. Dus ook of het bijvoorbeeld gaat om een dating-app waaruit iemands seksuele voorkeur blijkt. Ook is het vermoedelijk mogelijk dat de apps toegang hebben tot de foto’s van de gebruiker. 例えば、ユーザーが誰と通話したのか、どのアプリがすべて電話に入っているのか、などである。また、例えば出会い系アプリで誰かの性的指向を明らかにするものなのかどうかもそうである。また、アプリがユーザーの写真にアクセスする可能性も考えられる。

 


ちなみに、FIFA Qatarのプライバシーポリシー

FIFA World Cup Qatar 2022

Fifa

 

 

 

 

 

 

 

Privacy Policy

Hayya に関係しそうなところ...

Annex C 附属書C
App アプリ
Additional information that we collect about you 我々があなたについて収集する追加情報
When you register for an account to use the App, we may collect: あなたが本アプリを使用するためにアカウントを登録する際、我々は以下の情報を収集することがある。
Basic information about yourself, such as your name, date of birth, address, email address, telephone or mobile number; 氏名、生年月日、住所、電子メールアドレス、電話番号または携帯電話番号などのあなたに関する基本情報。
Information about your Tournament itinerary, such as the matches which you have ticket(s) to attend; あなたが入場券をお持ちの試合など、大会の日程に関する情報。
Information about your preferences, such as tourist attractions you might like to visit whilst you are in Qatar; カタール滞在中に訪れたいと思う観光地など、あなたの好みに関する情報
Location data, if you have enabled location tracking within the App; and あなたが本アプリ内で位置情報の追跡を有効にしている場合、位置情報
Sensitive personal data, for example, information relating to your needs at the stadium (e.g. requests for disabled access), should you choose to provide us with that information. 機密性の高い個人情報、例えば、スタジアムでのあなたのニーズに関する情報(例:身体障害者用のアクセスのリクエスト)(あなたがその情報を我々に提供することを選択した場合)。
​​​​​​​We may collect this information both by way of you providing it to us (for example, through forms and questionnaires on the App), or through your browsing history on the App. 我々は、あなたが我々に情報を提供する方法(例えば、本アプリ上のフォームやアンケートなど)、またはあなたの本アプリの閲覧履歴を通じて、この情報を収集することがある。
Additional purposes of use その他の利用目的
​​​​​​​To provide you with updates and recommendations ► To provide you with information about recommended travel routes (e.g. based on traffic and crowding), changes to match schedules, and other information relevant to your stay in Qatar and attendance at the Tournament(s). Separately, we may provide you with marketing materials where you have chosen to receive these (see the section titled “What we do with your information?” in the main Privacy Policy). 最新情報やおすすめ情報を提供するため ► おすすめの移動経路(例:交通渋滞や混雑状況に基づく)、試合日程の変更、その他カタールでの滞在や大会への参加に関連する情報を提供するため。これとは別に、我々は、あなたがマーケティング資料を受け取ることを選択された場合、あなたにマーケティング資料を提供することがある(プライバシーポリシーの「あなたの情報をどう扱うか」の項を参照すること)。
Lawful bases: consent, legitimate interests (to keep you updated with news in relation to your stay in Qatar and attendance at the Tournament(s)) 合法的根拠:同意、正当な利益(カタールでの滞在および大会への参加に関連した最新情報を提供するため)。
​​​​​​​For crowd control and tournament management purposes ► If you have enabled location tracking, we may combine this data with that of other Fans to identify areas which are at risk of overcrowding, and release announcements recommending that Fans avoid those areas or use alternative routes. 混雑管理および大会運営のため ►あなたが位置情報の追跡を有効にした場合、我々は、このデータを他のファンのデータと組み合わせて、混雑のおそれのあるエリアを特定し、そのエリアを避けるか、別のルートを使用するよう勧めるアナウンスを流すことがある。
Lawful bases: consent, legitimate interests (to ensure the safety and security of attendees at the Tournaments) 合法的根拠:同意、正当な利益(トーナメント参加者の安全と安心を確保するため)。
   
​​​​​​​Annex D 附属書D
Hayya Card Hayya カード
Additional information that we collect about you 我々があなたについて収集する追加情報
When you use or carry your Hayya Card, we may collect: あなたがハイヤカードを使用又は携帯する場合、我々は以下の情報を収集することがある。
Details of your check-ins, for example, the location (e.g. the gantry number) and time at which you check into one of our stadiums for a Tournament, using your Hayya Card; and チェックインに関する詳細(例:大会のために我々のスタジアムにチェックインした場所(例:ガントリー番号)及び時間);及び
Details of your travel journeys made using your Hayya Card (e.g. mode of transport and time of journey). あなたのHayyaカードによる移動の詳細(例:移動手段、移動時間)。
Additional purposes of use その他の利用目的
​​​​​​​To verify your identity and access rights ► When you scan or present your Hayya Card, for example, at a gantry, we will use that data to confirm that you have a valid ticket to the match in question, or to access public transport during the Tournament(s). 本人確認とアクセス権の確認 ► 例えば、ガントリーでHayyaカードをスキャンまたは提示した場合、我々はそのデータを使用して、当該試合の有効なチケットを持っていることを確認したり、トーナメント開催中に公共交通機関にアクセスするために利用します。
Lawful bases: contract performance, legitimate interests (to enable us to perform our obligations and provide our services to you) 合法的根拠:契約の履行、正当な利益(我々が義務を履行し、あなたにサービスを提供できるようにするため)。
​​​​​​​For crowd control and tournament management purposes ► We may combine location data from your Hayya Card data with that of other Fans to identify areas which are at risk of overcrowding, and release announcements recommending that Fans avoid those areas or use alternative routes. 混雑管理および大会運営のため►我々は、あなたのHayyaカードの位置情報と他のファンの位置情報を組み合わせて、混雑のおそれがあるエリアを特定し、そのエリアを回避したり、別のルートを使用するよう推奨するアナウンスを流すことがある。
Lawful bases: legitimate interests (to ensure the safety and security of attendees at the Tournaments) 合法的根拠:正当な利益(大会参加者の安全と安心を確保するため)
   
Annex E 附属書E
Hayya Portal Hayya ポータル
Additional information that we collect about you 我々があなたについて収集する追加情報
When you use the Hayya Portal to apply for a Hayya Card, we may ask you to provide: あなたがHayyaポータルを利用してHayyaカードを申請する際、我々はあなたに以下の提供をお願いすることがある。
Basic information about yourself, such as your name, date of birth, address, email address, telephone or mobile number; 氏名、生年月日、住所、電子メールアドレス、電話番号または携帯電話番号などの基本情報。
Details about your nationality and passport (e.g., passport number, expiry date); 国籍、パスポートの詳細(パスポート番号、有効期限など)。
Details of any ticket(s) you may have to the Tournaments; あなたが持っているトーナメントチケットの詳細。
Sensitive personal data, for example, information about whether you have any symptoms of an infectious disease, particularly where there is an ongoing epidemic or pandemic. We may also collect biometric information in your passport as needed to apply for an entry visa on your behalf. If you provide us with information relating to your needs at the Tournaments (e.g., requests for disabled access), we will also keep a record of that information. 機密性の高い個人情報、例えば、感染症の症状を持っているかどうかに関する情報(特に、現在進行中の流行病またはパンデミックが存在する場合)。また、我々は、あなたに代わって入国ビザを申請するために、必要に応じて、あなたのパスポートの生体情報を収集することがある。あなたがトーナメントでのあなたのニーズに関する情報(例:身体障害者用のアクセスの要求)を我々に提供した場合、我々はその情報の記録も保管します。
We may also receive information about you from the following third parties: また、我々は、以下の第三者からあなたに関する情報を受け取ることがある。
Immigration information ► The Qatar Ministry of Interior (http://www.moi.gov.qa) may send us information that may inform our decision on whether to accept or reject your application for a Hayya Card; an 出入国情報 ► カタール内務省(http://www.moi.gov.qa)は、あなたのHayyaカードの申請を受理するか否かの判断に役立つ情報を我々に送付することがある。
Ticket information ► FIFA (https://www.fifa.com/) may share with us information about the ticket(s) which you have purchased to the Tournaments, including ticket number and information about you as the purchaser of the ticket. チケット情報 ► FIFA (https://www.fifa.com/) は、チケット番号及びチケット購入者としてのあなたに関する情報を含む、あなたが購入した大会のチケットに関する情報を我々と共有することがある。
Single Sign-On (SSO) ► SSO is in place across FIFA’s ticketing portal (www.fifa.com) and SC’s Hayya Portal and Accommodation Portal. This means that if you sign into FIFA’s portal using your username and password, you will automatically be able to access the Hayya Portal and Accommodation Portal without having to re-enter your sign-in details. However, aside from the login username and password, and the ticket information described above, no other personal information is shared between the FIFA and SC portals using the SSO mechanism. シングルサインオン(SSO) ► FIFAのチケットポータル(www.fifa.com)およびSCのHAYYAポータルおよび宿泊ポータルにおいて、SSOが導入されています。これは、ユーザー名とパスワードを使用してFIFAのポータルにサインインすると、サインイン情報を再入力することなく、自動的にHayyaポータルおよび宿泊ポータルにアクセスできるようになることを意味しています。ただし、ログインユーザー名とパスワード、および上述のチケット情報以外には、SSOの仕組みを利用してFIFAとSCのポータル間で個人情報が共有されることはない。
Additional purposes of use その他の利用目的
​​​​​​​To consider your application for a Hayya Card ► To carry out all necessary checks regarding your application; to liaise with relevant government agencies to obtain approval for your visit to Qatar; to issue and deliver your Hayya Card. Hayyaカードの申請を検討するため ► 申請に関して必要なすべてのチェックを行うため、カタール訪問の承認を得るために関連政府機関と連絡を取るため、Hayyaカードを発行し交付するため。
Lawful bases: contract performance, legitimate interests (to enable us to consider your application and provide our services to you) 合法的根拠:契約の履行、正当な利益(我々があなたの申請を検討し、あなたに我々のサービスを提供することを可能にするため)。

 

 


 

報道...

POLITICO

・2022.11.15 Don’t download Qatar World Cup apps, EU data authorities warn

 

Info Security

・2022.11.16 Euro Authorities Warn World Cup Fans Over Qatari Apps

 

Gigazine

・2022.11.17 カタールW杯の参加者にインストールが求められるアプリ「Hayya」「Ehteraz」についてデータ保護当局が警告、使い捨てスマホの使用を推奨

| | Comments (0)

2022.11.23

中国 個人情報保護認証制度が始まりますね...中国版Pマーク?

こんにちは、丸山満彦です。

中華人民共和国で、個人情報保護認証制度が始まりますね。。。中国版Pマークのようなものでしょうかね。。。個人情報の越境移転の有無でマークが変わりますね。。。認証のクライテリアは、

  1. GB/T 35273「情報セキュリティ技術個人情報セキュリティ仕様」
  2. TC260-PG-20222A「個人情報の越境処理活動に関する安全認証仕様」

ということのようです。。。

越境移転がない場合は、1. だけ、越境移転がある場合は、1.と2. に準拠する必要がありますね。。。

 

● 中央网安全和信息化委公室 (Cyberspace Administration of China: CAC)

・2022.11.18 关于实施个人信息保护认证的公告

关于实施个人信息保护认证的公告 個人情報保護認証の実施に関する通知
为贯彻落实《中华人民共和国个人信息保护法》有关规定,规范个人信息处理活动,促进个人信息合理利用,根据《中华人民共和国认证认可条例》,国家市场监督管理总局、国家互联网信息办公室决定实施个人信息保护认证,鼓励个人信息处理者通过认证方式提升个人信息保护能力。从事个人信息保护认证工作的认证机构应当经批准后开展有关认证活动,并按照《个人信息保护认证实施规则》(见附件)实施认证。 中華人民共和国個人情報保護法の関連規定を実施し、個人情報処理活動を規制し、個人情報の合理的な使用を促進するため、「中華人民共和国認証認可条例」に基づき、国家市場監督管理総局と国家サイバースペース管理局は、個人情報保護認証を実施し、個人情報処理者が認証を通じて個人情報保護能力を高めることを奨励することにした。 個人情報保護の認証に携わる認証機関は、「個人情報保護認証実施規則」(別紙参照)に基づき、当該認証活動を行うことを承認され、認証を実施するものとする。
特此公告。 発表
附件:个人信息保护认证实施规则 別紙:個人情報保護認証の実施規定
国家市场监督管理总局 国家互联网信息办公室 国家市場監督管理局 国家サイバースペース管理局

 

・2022.11.18 个人信息保护认证实施规则

​个人信息保护认证实施规则 個人情報保護認証実施規則
1 适用范围 1 適用範囲
本规则依据《中华人民共和国认证认可条例》制定,规定了对个人信息处理者开展个人信息收集、存储、使用、加工、传输、提供、公开、删除以及跨境等处理活动进行认证的基本原则和要求。 この規則は、「中華人民共和国認証認定条例」に基づいて制定され、個人情報の収集、保存、使用、処理、伝送、提供、開示、削除及び越境処理などの処理活動を行う個人情報処理業者の認証に関する基本原則と要件を定めている。
2 认证依据 2 認証根拠
个人信息处理者应当符合GB/T 35273《信息安全技术 个人信息安全规范》的要求。 個人情報取扱事業者は、GB/T 35273「情報セキュリティ技術個人情報セキュリティ仕様」の要求事項を遵守しなければならない。
对于开展跨境处理活动的个人信息处理者,还应当符合TC260-PG-20222A《个人信息跨境处理活动安全认证规范》的要求。 また、越境処理活動を行う個人情報取扱事業者は、TC260-PG-20222A「個人情報の越境処理活動に関する安全認証仕様」の要求事項に適合しなければならない。
上述标准、规范原则上应当执行最新版本。 上記の規格・仕様は、原則として最新版で実施するものとする。
3 认证模式 3 認証モデル
个人信息保护认证的认证模式为: 個人情報保護認証の認証モデルは、以下の通りである。
技术验证 + 现场审核 + 获证后监督 技術検証+現地査定+認証取得後の監督
4 认证实施程序 4 認証実施手順
4.1 认证委托 4.1 認証委員会
认证机构应当明确认证委托资料要求,包括但不限于认证委托人基本材料、认证委托书、相关证明文档等。 認証機関は、認証委託者の基本資料、認証委託書、関連する補足資料等を含むが、これらに限定されない認証委託情報の要件を規定する。
认证委托人应当按认证机构要求提交认证委托资料,认证机构在对认证委托资料审查后及时反馈是否受理。 認証委託者は、認証機関の要求に応じて認証委託情報を提出し、認証機関は審査後、認証委託情報の受理についてフィードバックする。
认证机构应当根据认证委托资料确定认证方案,包括个人信息类型和数量、涉及的个人信息处理活动范围、技术验证机构信息等,并通知认证委托人。 認証機関は、個人情報の種類と量、関与する個人情報処理活動の範囲、技術検証機関情報などの認証委託情報に基づいて認証方式を決定し、認証本部に通知する。
4.2 技术验证 4.2 技術検証
技术验证机构应当按照认证方案实施技术验证,并向认证机构和认证委托人出具技术验证报告。 技術認証機関は、認証スキームに従って技術認証を実施し、認証機関及び認証主体に技術検証報告書を発行する。
4.3 现场审核 4.3 現地査定
认证机构实施现场审核,并向认证委托人出具现场审核报告。 認証機関は、現地査定を実施し、認証主体に現地査定報告書を発行する
4.4 认证结果评价和批准 4.4 認証結果の評価と承認
认证机构根据认证委托资料、技术验证报告、现场审核报告和其他相关资料信息进行综合评价,作出认证决定。对符合认证要求的,颁发认证证书;对暂不符合认证要求的,可要求认证委托人限期整改,整改后仍不符合的,以书面形式通知认证委托人终止认证。 認証機関は、認証委員会の情報、技術検証報告書、現地査定報告書と包括的な評価のための他の関連情報に応じて、認証の決定を行う。認定要件が満たされている場合、認定証明書が発行される。当分の間、認定要件を満たしていない場合、認証委員会は、期限の是正を求めることができる。修正後も満たしていない場合、認証の解除を認証委託者に通知するための書面を発行する。
如发现认证委托人、个人信息处理者存在欺骗、隐瞒信息、故意违反认证要求等严重影响认证实施的行为时,认证不予通过。 認証委託者または個人情報処理者が、偽り、情報の隠蔽、故意の認証要件違反、その他認証の実施に重大な影響を与える行為を行ったことが判明した場合は、認証を付与することはできない。
4.5 获证后监督 4.5 認証取得後の監督
4.5.1 监督的频次 4.5.1 監督の頻度
认证机构应当在认证有效期内,对获得认证的个人信息处理者进行持续监督,并合理确定监督频次。 認証機関は、認証の有効期間中、認証された個人情報取扱事業者に対する継続的な監督を行い、その頻度を合理的に決定するものとする。
4.5.2 监督的内容 4.5.2 監督の内容
认证机构应当采取适当的方式实施获证后监督,确保获得认证的个人信息处理者持续符合认证要求。 認証機関は、認証された個人情報処理機関が認証要件を継続して満たしていることを確認するために、認証後の監督を実施する適切な手段を採用するものとする。
4.5.3 获证后监督结果的评价 4.5.3 認証取得後の監督結果の評価
认证机构对获证后监督结论和其他相关资料信息进行综合评价,评价通过的,可继续保持认证证书;不通过的,认证机构应当根据相应情形作出暂停直至撤销认证证书的处理。 包括的な評価のための認証取得後の監督の所見とその他の関連情報に基づき評価が渡され、認証証明書を維持し続けることができる。認証機関は、処理の証明書を一時停止または取り消すために、対応する状況に応じて、対応しなければならない。
4.6 认证时限 4.6 認証取得時期
认证机构应当对认证各环节的时限作出明确规定,并确保相关工作按时限要求完成。认证委托人应当对认证活动予以积极配合。 認証機関は、明確な規定を設けるために、時間的要件に従って作業が完了するよう、あらゆる側面から認証を受けるべきである。 認証委託者は、認証活動に積極的に協力することが望ましい。
5 认证证书和认证标志 5 認証証明書と認証マーク
5.1 认证证书 5.1 認証証明書
5.1.1 认证证书的保持 5.1.1 認証証明書の維持管理
认证证书有效期为3年。在有效期内,通过认证机构的获证后监督,保持认证证书的有效性。 認証証明書の有効期限は3年間である。 有効期間中、認証機関の認証後の監督を通じて、認証の有効性を維持する。
证书到期需延续使用的,认证委托人应当在有效期届满前6个月内提出认证委托。认证机构应当采用获证后监督的方式,对符合认证要求的委托换发新证书。 認証が失効し、更新が必要な場合、認証委託者は、失効日の6ヶ月前以内に認証委託書を提出する。 認証機関は、認証後の監督を利用して、委員会の認証要件を満たし、新たな認証書を発行するものとする。
5.1.2 认证证书的变更 5.1.2 認証証明書の変更
认证证书有效期内,若获得认证的个人信息处理者名称、注册地址,或认证要求、认证范围等发生变化时,认证委托人应当向认证机构提出变更委托。认证机构根据变更的内容,对变更委托资料进行评价,确定是否可以批准变更。如需进行技术验证和/或现场审核,还应当在批准变更前进行技术验证和/或现场审核。 認証証明書は有効であり、認証された個人情報取扱事業者の名称、登録住所、または認証要件、認証範囲などが変更された場合、認証委託者は認証機関に委託内容の変更を提案する必要がある。 認証機関は、変更内容に応じて変更委託情報を評価し、変更承認の可否を判断する。 技術検証および/または現地査定の場合、また、技術検証および/または現地査定の変更前に承認される必要があります。
5.1.3 认证证书的注销、暂停和撤销 5.1.3 認証の取消し、一時停止及び取消し
当获得认证的个人信息处理者不再符合认证要求时,认证机构应当及时对认证证书予以暂停直至撤销。认证委托人在认证证书有效期内可申请认证证书暂停、注销。 認証された個人情報処理事業者が認証要件を満たさなくなった場合、認証機関は、認証が取り消されるまで、速やかに認証の停止を行うものとする。 認証主体は、認証書の有効期間内に認証書の停止および抹消を申請することができる。
5.1.4 认证证书的公布 5.1.4 認証証明書の発行
认证机构应当采用适当方式对外公布认证证书颁发、变更、暂停、注销和撤销等相关信息。 認証機関は、適切な手段を用いて、発行した認証書、変更、停止、取消しおよび関連情報の撤回を公表するものとする。
5.2 认证标志 5.2 認証マーク
不含跨境处理活动的个人信息保护认证标志如下: 越境処理活動を伴わない個人情報保護に関する認証マークは以下の通りである。
16703999366581291670399936859756
包含跨境处理活动的个人信息保护认证标志如下: 越境処理活動を含む個人情報保護に関する認証マークは、以下の通りである。
16703999366581291670399936872313
“ABCD”代表认证机构识别信息。 ABCD は認証機関の識別情報を表す。
5.3 认证证书和认证标志的使用 5.3 認証書および認証マークの使用について
在认证证书有效期内,获得认证的个人信息处理者应当按照有关规定在广告等宣传中正确使用认证证书和认证标志,不得对公众产生误导。 認定個人情報処理事業者は、認定証の有効期間中、関連規定に従って、認定証及び認定マークを広告その他の宣伝に正しく使用し、誤解を与えないようにしなければならない。
6 认证实施细则 6 認証実施規則
认证机构应当依据本规则有关要求,细化认证实施程序,制定科学、合理、可操作的认证实施细则,并对外公布实施。 認証機関は、これらの規則の関連要件に基づいて、認証の実装手順、科学的、合理的かつ運用認証と実装のルールの開発、および実装の公表を洗練するものとする。
7 认证责任 7 認証責任
认证机构应当对现场审核结论、认证结论负责。 認証機関は、現地審査の結論と認証の結論に責任を持つ。
技术验证机构应当对技术验证结论负责。 技術的検証機関は、技術的検証の結論に責任を持つ。
认证委托人应当对认证委托资料的真实性、合法性负责。 認証委託者は、認証委託情報の真正性、適法性について責任を負う。

 

 


 

越境移転の場合に追加されるクライテリアについてはこちら(仮対訳あり)...

まるちゃんの情報セキュリティ気まぐれ日記

・2022.06.27 中国 TC260 個人情報の国際的な処理活動に関するセキュリティ認証仕様

 

 

| | Comments (0)

NIST SP 800-215 安全なエンタープライズ・ネットワーク環境のためのガイド

こんにちは、丸山満彦です。

NISTが、SP 800-215 安全なエンタープライズ・ネットワーク環境のためのガイドを公表していますね。。。

・マルチクラウド環境

・地理期的に広がった事業所

・疎結合のマイクロサービスへの移行

などをふまえて・・・ということですかね。。。

 

今後のネットワーク・アーキテクチャを考える上で参考になりそうですね。。。

 

● NIST - ITL

・2022.11.17 SP 800-215 Guide to a Secure Enterprise Network Landscape

 

SP 800-215 Guide to a Secure Enterprise Network Landscape SP 800-215 安全なエンタープライズ・ネットワーク環境のためのガイ
Abstract 概要
Access to multiple cloud services, the geographic spread of enterprise Information Technology (IT) resources (including multiple data centers), and the emergence of microservices-based applications (as opposed to monolithic ones) have significantly altered the enterprise network landscape. This document is meant to provide guidance to this new enterprise network landscape from a secure operations perspective. Hence, it starts by examining the security limitations of current network access solutions to the enterprise network. It then considers security feature enhancements to traditional network appliances in the form of point security solutions, network configurations for various security functions (e.g., application/services security, cloud services access security, device or endpoint security), security frameworks that integrate these individual network configurations (e.g., zero trust network access [ZTNA]), and the evolving wide area network (WAN) infrastructure to provide a comprehensive set of security services for the modern enterprise network landscape (e.g., secure access service edge [SASE]). 複数のクラウドサービスへのアクセス、エンタープライズの情報技術(IT)リソースの地理的な広がり(複数のデータセンターを含む)、マイクロサービスベースのアプリケーションの出現(モノリシックなものとは対照的)により、エンタープライズ・ネットワークの状況は大きく変化している。本書は、この新しいエンタープライズ・ネットワークの状況に対して、安全な運用の観点からガイダンスを提供することを目的としている。そのため、まず、現在のエンタープライズ・ネットワークへのネットワークアクセスソリューションのセキュリティ上の制限を検証する。次に、ポイントセキュリティソリューションという形で従来のネットワーク機器に追加されたセキュリティ機能、さまざまなセキュリティ機能(アプリケーション/サービスセキュリティ、クラウドサービスアクセスセキュリティ、デバイスまたはエンドポイントセキュリティなど)のためのネットワーク構成、これらの個々のネットワーク構成を統合するセキュリティフレームワーク(ZTNAなど)、現代のエンタープライズ・ネットワークの状況に対応したセキュリティサービスの総合セット(SASEなど)を提供する進化型WAN(ワイドエリアネットワーク)インフラについて考察している。

 

・[PDF] SP 800-215

20221123-20305

目次...

Executive Summary エグゼクティブサマリー
1. Introduction 1. はじめに
1.1. Structural Implications of Drivers on the Enterprise Network Landscape 1.1. ドライバがエンタープライズ・ネットワークに与える構造的影響
1.2. Security Implications of Drivers on the Enterprise Network Landscape 1.2. エンタープライズ・ネットワークにおけるドライバのセキュリティへの影響
1.3. The Need for a Security Guide 1.3. セキュリティガイドの必要性
1.4. Scope 1.4. 適用範囲
1.5. Target Audience 1.5. 対象読者
1.6. Organization of This Document 1.6. 本書の構成
2. Traditional Enterprise Network Access Approaches and Their Limitations 2. 従来のエンタープライズ・ネットワークアクセスのアプローチとその限界
2.1. Limitations of Network Perimeter-based Protections 2.1. ネットワーク境界ベース防御の限界
2.2. Limitations of VPN-based Access 2.2. VPN ベースアクセスの限界
2.3. Limitation of MPLS Technology as Enterprise WANs 2.3. エンタープライズWANとしてのMPLS技術の限界
2.4. Limitation of Authentication Infrastructure 2.4. 認証基盤の限界
3. Network Security Appliances in the Enterprise Network Landscape 3. エンタープライズ・ネットワークにおけるネットワークセキュリティ・アプライアンス
3.1. Cloud Access Security Broker (CASB) 3.1. クラウド・アクセス・セキュリティ・ブローカー(CASB)
3.2. Enhanced Firewall Capabilities 3.2. 強化されたファイアウォール機能
3.3. Appliance-set with Integrated Functions 3.3. 機能統合型アプライアンスセット
3.4. Network Security Automation Tools 3.4. ネットワークセキュリティ自動化ツール
3.4.1. Network Monitoring and Observability Tools 3.4.1. ネットワーク監視・観測可能ツール
3.4.2. Automated Network Provisioning Tools 3.4.2. ネットワーク自動化プロビジョニングツール
3.5. Networking Appliances as Services 3.5. サービスとしてのネットワーク・アプライアンス
4. Network Configurations for Basic Security Functions 4. 基本的なセキュリティ機能のためのネットワーク構成
4.1. Conceptual Underpinning – Contextual Information 4.1. 概念的基盤 ・コンテキスト情報
4.2. Network Configuration for Device Management 4.2. 機器管理のためのネットワーク構成
4.3. Network Configuration for User Authentication 4.3. ユーザー認証のためのネットワーク構成
4.4. Network Configuration for Device Authentication and Health Monitoring 4.4. 機器認証とヘルスモニタリングのためのネットワーク構成
4.5. Network Configuration for Authorizing Application/Service Access 4.5. アプリケーション/サービスへのアクセスを許可するためのネットワーク構成
4.6. Network Configurations for Preventing Attack Escalation 4.6. 攻撃のエスカレーションを防止するためのネットワーク構成
5. Enterprise-Wide Network Security Framework – Zero Trust Network Access (ZTNA) 5. エンタープライズ全体のネットワークセキュリティ・フレームワーク – ゼロトラスト・ネットワーク・アクセス (ZTNA)
5.1. Microsegmentation 5.1. マイクロセグメンテーション
5.1.1. Prerequisites for Implementing Microsegmentation 5.1.1. マイクロセグメンテーションを実装するための前提条件
5.1.2. Microsegmentation – Implementation Approaches 5.1.2. マイクロセグメンテーション ・実装のアプローチ
5.2. Software-defined Perimeter (SDP) 5.2. ソフトウェア定義境界(SDP)
6. Secure Wide Area Network Infrastructure for an Enterprise Network 6. エンタープライズ・ネットワークにおけるセキュアな広域ネットワーク基盤
6.1. Common Requirements for a Secure SD-WAN 6.1. セキュアなSD-WANの共通要件
6.2. Specific Requirements for SD-WANs for Cloud Access 6.2. クラウドアクセスのためのSD-WANの具体的な要件
6.3. Requirements for an Integrated Security Services Architecture for SD-WAN 6.3. SD-WANのための統合セキュリティサービスアーキテクチャの要件
7. Summary and Conclusions 7. まとめと結論
References 参考文献

 

エグゼクティブ・サマリー...

Executive Summary  エグゼクティブサマリー 
The enterprise network landscape has undergone tremendous changes in the last decade due to the following three drivers:  エンタープライズ・ネットワークの状況は、以下の3つの推進要因によって、この10年で大きく変化している。
・Enterprise access to multiple cloud services,   ・エンタープライズが複数のクラウドサービスにアクセスできるようになったこと。
・The geographical spread of enterprise-based (on-premises) IT resources (e.g., multiple data centers, headquarters, and branch offices), and   ・エンタープライズベースのITリソース(オンプレミス)の地理的な広がり(複数のデータセンター、本社、支店など)。 
・Changes to application architecture from being monolithic to a set of loosely coupled microservices.  ・アプリケーションのアーキテクチャが、モノリシックから疎結合のマイクロサービスへと変化すること。
The impacts of these drivers on the security of the enterprise network landscape include:  これらの推進要因が、エンタープライズのネットワーク環境のセキュリティに与える影響には、次のようなものがある。
・Disappearance of the concept of a network perimeter that can be protected and the necessity to protect each endpoint (device or service) that treats it as a perimeter  ・ネットワークの境界を保護するという概念の消滅と、境界として扱う各エンドポイント(デバイスやサービス)を保護する必要性 
・Increase in attack surface due to sheer multiplicity of IT resources (computing, networking, storage) and components  ・ITリソース(コンピューティング、ネットワーク、ストレージ)およびコンポーネントの多重化による攻撃対象の増加 
・Escalation of attacks across several network boundaries leveraging the connectivity features  ・接続機能を利用した複数のネットワーク境界をまたぐ攻撃のエスカレーション
This document is meant to provide guidance to this new enterprise network landscape from a secure operations perspective. The adopted methodology first considers the security challenges that the new network landscape poses and examines the limitations of current network access technologies. It then shows how solutions for meeting the challenges have evolved from being security function-specific to a security framework to a comprehensive security infrastructure that provides a holistic set of security services. Specific areas addressed include:  本書は、このような新しいエンタープライズ・ネットワークの状況に対して、安全な運用の観点からガイダンスを提供することを意図している。採用した手法は、まず、新しいネットワーク環境がもたらすセキュリティ上の課題を検討し、現在のネットワークアクセス技術の限界を調べる。そして、この課題に対応するためのソリューションが、セキュリティ機能に特化したものから、セキュリティフレームワーク、包括的なセキュリティサービスのセットを提供する包括的なセキュリティインフラへと進化していることを示す。具体的な内容は以下の通りである。
・Feature enhancements to traditional network security appliances  ・従来のネットワークセキュリティ・アプライアンスの機能強化
・Secure enterprise networking configurations for specific security functions  ・特定のセキュリティ機能に特化したセキュアなエンタープライズ・ネットワーク構成
・Security frameworks that integrate individual network configurations  ・個々のネットワーク構成を統合するセキュリティフレームワーク
・Evolving wide area network (WAN) infrastructure that provides a comprehensive set of security services  ・包括的なセキュリティサービスを提供する進化したWAN(Wide Area Network)インフラストラクチャ 
Based on the drivers outlined above, an enterprise network in the context of this document encompasses the following:  本書でいうエンタープライズ・ネットワークとは、上記の推進要因に基づき、次のようなものを指する。
・The private virtual networks that the enterprise (cloud services subscriber) configures in the cloud service provider’s native network within which its compute resources will be provisioned (e.g., virtual network [VNet], virtual private cloud [VPC])  ・エンタープライズ(クラウドサービス利用者)がクラウドサービスプロバイダーのネイティブネットワークに設定するプライベート仮想ネットワークで、その中で計算リソースがプロビジョニングされる(例:仮想ネットワーク(VNet)、仮想プライベートクラウド(VPC))。
・Various local networks on enterprise premises (e.g., enterprise data centers, headquarters, and branch offices)   ・エンタープライズ敷地内の各種ローカルネットワーク(エンタープライズのデータセンター、本社、支社など)
・The portion of a wide area network that is used by the enterprise to connect its various geographically dispersed locations and cloud service access points  ・エンタープライズが地理的に分散した様々な拠点とクラウドサービスのアクセスポイントを接続するために使用する広域ネットワークの部分

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.08.06 NIST SP 800-215 (ドラフト) 安全なエンタープライズ・ネットワーク環境のためのガイド

 

| | Comments (0)

2022.11.22

JPCERT/CC PSIRT Services Framework Ver 1.1 と PSIRT Maturity Document の日本語版 (2022.11.17)

こんにちは、丸山満彦です。

JPCERT/CCが、PSIRT Services Framework Ver 1.1 と PSIRT Maturity Document の日本語版を公表していました。。。

● JPCERT/CC - PSIRT Services Framework と PSIRT Maturity Document

・2022.11.17 [PDF] PSIRT Services Framework Version 1.1 日本語版 

20221122-181340

 

 

・2022.11.17 [PDF] PSIRT Maturity Document 日本語版

20221122-181542

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2022.07.28 日本シーサート協議会 PSIRT Maturity Document 日本語版 (2022.07.13)

 

| | Comments (0)

内閣官房 「国力としての防衛力を総合的に考える有識者会議」報告書

こんにちは、丸山満彦です。

内閣官房に9月末に設置された「国力としての防衛力を総合的に考える有識者会議」が4回の議論を重ねて、報告書を公表しましたね。。。


(有識者会議設置の趣旨)

○ 我が国を取り巻く厳しい安全保障環境を乗り切るためには、我が国が持てる力、すなわち経済力を含めた国力を総合し、あらゆる政策手段を組み合わせて対応していくことが重要である。こうした観点から、自衛隊の装備及び活動を中心とする防衛力の抜本的強化はもとより、自衛隊と民間との共同事業、研究開発、国際的な活動等、実質的に我が国の防衛力に資する政府の取組を整理し、これらも含めた総合的な防衛体制の強化をどのように行っていくべきかについて議論する。

○ また、こうした取組を技術力や産業基盤の強化につなげるとともに、有事であっても我が国の信用や国民生活が損なわれないよう、経済的ファンダメンタルズを 涵養していくことが不可欠である。こうした観点から、総合的な防衛体制の強化と経済財政の在り方について、どのように考えるべきかについて議論する。


 

内閣官房 - 国力としての防衛力を総合的に考える有識者会議

・2022.11.22 [PDF]  「国力としての防衛力を総合的に考える有識者会議」報告書

20221122-161340

目次...

はじめに

1.防衛力の抜本的強化について
(1) 目的・理念、国民の理解
(2) 防衛力の抜本的強化の必要性

2.縦割りを打破した総合的な防衛体制の強化について
(1) 総論
(2) 研究開発
(3) 公共インフラ
(4) サイバー安全保障、国際的協力
(5) 具体的な仕組み

3.経済財政の在り方について
(1) 防衛力強化と経済財政
(2) 財源の確保

(参考1)国力としての防衛力を総合的に考える有識者会議 議論の経緯
(参考2)国力としての防衛力を総合的に考える有識者会議 構成員




回数 日付 会議資料 議事要旨 議事録
第1回 2022.09.30 議事次第・資料 議事要旨 議事録
資料1 国力としての防衛力を総合的に考える有識者会議の開催について
資料2 国力としての防衛力を総合的に考える有識者会議運営要領
資料3 安全保障環境の変化と防衛力強化の必要性(内閣官房国家安全保障局提出資料)
資料4 参考資料(事務局提出資料)
第2回 2022.10.20 議事次第・資料 議事要旨 議事録
資料1 防衛力の抜本的強化(防衛省提出資料)
資料2 総合的な防衛力強化に向けた論点(財務省提出資料)
資料3 空港・港湾における自衛隊の利用状況及び安全保障における海上保安庁の役割(国土交通省提出資料)
資料4 総合的な防衛体制の強化に資する科学技術分野の研究開発に向けて(橋本委員・上山委員提出資料)
参考 防衛力を支える産業・技術基盤の強化に向けて(経済産業大臣発言補足資料)
第3回 2022.11.09 議事次第・資料 議事要旨 議事録
資料1 議論の整理(佐々江座長提出資料)
資料2 総合的な防衛体制の強化に向けた取組(内閣官房長官提出資料)
資料3 総合的な防衛体制の強化に必要な財源確保の考え方(財務省提出資料)
資料4 折木元統合幕僚長提出資料
資料5 佐藤元海上保安庁長官提出資料
第4回 2022.11.21 議事次第・資料 議事要旨 議事録

 

 

| | Comments (0)

経団連 web3推進戦略 (2022.11.15)

こんにちは、丸山満彦です。

経団連が、「web3推進戦略」を公表していますね。。。賛否両論色々あるのだろうと思いますが、、、まずは、落ち着いて読んでみましょうね。。。

とは、いえ。。。。

ーーーーー

Ⅲ.直ちに取り組むべきこと

  1. トークンの保有を促進
  2. トークンへの投資を促進
  3. トークンの流通を促進

ーーーーー

というのは、ゾワゾワしますね。。。

 

日本経済団体連合会

・2022.11.15 web3推進戦略- Society 5.0 for SDGs実現に向けて -

20221122-154703

 

 

目次...

Ⅰ.はじめに- Society 5.0 for SDGs実現に向けたweb3活用の可能性 -

  1. わが国の現状
  2. Society 5.0 for SDGs実現に向けたweb3活用の可能性

Ⅱ.web3先進国への変貌に向けたステップ

  1. 目指すべきweb3先進国の姿
  2. 具体的なステップ

Ⅲ.直ちに取り組むべきこと

  1. トークンの保有を促進
  2. トークンへの投資を促進
  3. トークンの流通を促進

Ⅳ.今後求められる関連分野の施策

  1. NFT
  2. DAO
  3. メタバース

Ⅴ.おわりに

【関連用語集】

 


 

Ⅲ.直ちに取り組むべきこと

「web3鎖国」脱却に向け直ちに取り組むべきこと

 

| | Comments (0)

NISTIR 8286D リスクの優先順位付けと対応を行うためのビジネス影響分析の使用

こんにちは、丸山満彦です。

サイバーセキュリティとERMとの連携である、NISTIR 8286シリーズですが、8286Dも確定し、全て確定しましたね。。。

 

・2022.11.17 NISTIR 8286D Using Business Impact Analysis to Inform Risk Prioritization and Response 

NISTIR 8286D Using Business Impact Analysis to Inform Risk Prioritization and Response  NISTIR 8286D リスクの優先順位付けと対応を行うためのビジネスインパクト分析の使用
Abstract 概要
While business impact analysis (BIA) has historically been used to determine availability requirements for business continuity, the process can be extended to provide a broad understanding of the potential impacts of any type of loss on the enterprise mission. The management of enterprise risk requires a comprehensive understanding of mission-essential functions (i.e., what must go right) and the potential risk scenarios that jeopardize those functions (i.e., what might go wrong). The process described in this publication helps leaders determine which assets enable the achievement of mission objectives and evaluate the factors that render assets as critical and sensitive. Based on those factors, enterprise leaders provide risk directives (i.e., risk appetite and tolerance) as input to the BIA. System owners then apply the BIA to developing asset categorization, impact values, and requirements for the protection of critical or sensitive assets. The output of the BIA is the foundation for the Enterprise Risk Management (ERM)/Cybersecurity Risk Management (CSRM) integration process, as described in the NIST Interagency Report (IR) 8286 series, and enables consistent prioritization, response, and communication regarding information security risk. ビジネス影響分析(BIA)は、これまで事業継続のための可用性要件を決定するために使用されてきたが、このプロセスを拡張することで、あらゆる種類の損失がエンタープライズのミッションに与える潜在的な影響を幅広く理解することができる。エンタープライズリスクの管理には、ミッションに不可欠な機能(すなわち、正しく機能しなければならないこと)と、それらの機能を危険にさらす潜在的なリスクシナリオ(すなわち、うまくいかないかもしれないこと)を包括的に理解することが必要である。本書で説明するプロセスは、リーダーがミッション目標の達成を可能にするのはどの資産かを判断し、資産を重要かつ機密であると判断する要素を評価するのに役立つ。これらの要因に基づき、エンタープライズのリーダーはリスク指令(すなわち、リスク選好度と許容度)をBIAへの入力として提供する。次にシステム所有者は、BIAを適用して、資産の分類、影響度、および重要資産や機密資産の保護要件を作成する。BIAのアウトプットは、NIST Interagency Report(IR)8286シリーズに記載されているように、エンタープライズリスクマネジメント(ERM)/サイバーセキュリティリスクマネジメント(CSRM)統合プロセスの基盤となり、情報セキュリティリスクに関する一貫した優先順位付け、対応、コミュニケーションを可能にする。

 

・[PDF] NISTIR 8286D

20221122-24038

 

目次...

Table of Contents 目次
Executive Summary エグゼクティブサマリー
1.  Introduction 1.  はじめに
1.1.  Benefits of Extending the BIA for Risk Types 1.1.  BIAをリスクタイプに拡張するメリット
1.2.  Foundational Practices for Business Impact Analysis 1.2.  ビジネス影響分析の基礎的な実践
1.3.  Document Structure 1.3.  文書構造
2.  Cataloging and Categorizing Assets Based on Enterprise Value 2.  エンタープライズの価値に基づく資産のカタログ化および分類
2.1.  Identification of Enterprise Business Asset Types 2.1.  エンタープライズ・ビジネス資産の種類の特定
2.2.  The Business Impact Analysis Process 2.2.  ビジネス影響分析プロセス
2.3.  Determining Asset Value to Support CSRM Activities 2.3.  CSRM活動を支援するための資産価値の決定
2.4.  Determining Loss Scenarios and Their Consequences 2.4.  損失シナリオとその結果の決定
2.5.  Business Impact Analysis in Terms of Criticality and Sensitivity 2.5.  重要度・感度の観点からのビジネス影響分析
2.6.  Using a BIA to Record Interdependencies 2.6.  相互依存関係を記録するためのBIAの使用
2.7.  Consistent Business Impact Analysis Through an Enterprise Approach 2.7.  エンタープライズ・アプローチによる一貫したビジネス影響分析
2.8.  Using a BIA to Support an Enterprise Registry of System Assets 2.8.  システム資産のエンタープライズ登録を支援するためのBIAの使用
3.  Conclusion 3.  結論
References 参考文献
Appendix A. List of Symbols, Abbreviations, and Acronyms 附属書A.記号・略語・頭字語の一覧表

 

エグゼクティブ・サマリー

Executive Summary  エグゼクティブサマリー 
Risk is measured in terms of impact on enterprise mission, so it is vital to understand the various information and technology (IT) assets whose functions enable that mission. Each asset has a value to the enterprise. For government enterprises, many of those IT assets are key components for supporting critical services provided to citizens. For corporations, IT assets directly influence enterprise capital and valuation, and IT risks can have a direct impact on the balance sheet or budget. For each type of enterprise, it is both vital and challenging to determine the conditions that will truly impact a mission. Government agencies must provide critical services while adhering to priority directives from senior leaders. In the commercial world, mission priority is often driven by long-term goals and factors that might impact the next quarter’s earnings call. Therefore, it is highly important to continually analyze and understand the enterprise resources that enable enterprise objectives and that can be jeopardized by cybersecurity risks.  リスクは、エンタープライズのミッションへの影響という観点から評価されるため、そのミッションを実現する様々な情報・技術(IT)資産を理解することが重要である。各資産はエンタープライズにとって価値がある。政府系エンタープライズの場合、これらのIT資産の多くは、市民に提供される重要なサービスを支える重要な構成要素である。エンタープライズの場合、IT資産はエンタープライズの資本や評価に直接影響し、ITリスクは貸借対照表や予算に直接的な影響を与える可能性がある。それぞれのエンタープライズにとって、ミッションに真に影響を与える状況を判断することは、極めて重要であると同時に困難でもある。政府機関では、上級指導者からの優先的な指示を守りながら、重要なサービスを提供しなければならない。一方、民間のエンタープライズでは、ミッションの優先順位は、長期的な目標や次の四半期の決算に影響を与えるような要因によって左右されることがよくある。したがって、エンタープライズの目標を実現し、サイバーセキュリティのリスクによって危険にさらされる可能性のあるエンタープライズリソースを継続的に分析し、理解することが非常に重要である。
The NIST Interagency Report (IR) 8286 series has coalesced around the risk register as a construct for storing and a process for communicating risk data [NISTIR8286]. Another critical artifact of risk management that serves as both a construct and a means of communication with the risk register is the Business Impact Analysis (BIA) Register. The BIA examines the potential impacts associated with the loss or degradation of an enterprise’s technology-related assets based on a qualitative or quantitative assessment of the criticality and sensitivity of those assets and stores the results in the BIA Register. An asset criticality or resource dependency assessment identifies and prioritizes the information assets that support the enterprise’s critical missions. Similarly, assessments of asset sensitivity identify and prioritize information assets that store, process, or transmit information that must not be modified or disclosed to unauthorized parties. In the cybersecurity realm, the use of the BIA has historically been limited to calculations of quality-based and time-based objectives for incident handling (including continuity of operations and disaster recovery).   NIST Interagency Report (IR) 8286 シリーズは、リスクデータを保存し、伝達するためのプロセスとして、リスク登録の中心にまとまった[NISTIR8286]。リスク登録の構成と伝達手段の両方として機能するリスク管理のもう一つの重要な成果物は、ビジネス影響度分析(BIA)登録である。BIAは、エンタープライズの技術関連資産の損失または劣化に関連する潜在的な影響を、それらの資産の重要性と感度の定性的または定量的評価に基づいて調査し、その結果をBIA登録簿に保存する。資産の重要性またはリソース依存の評価では、エンタープライズの重要なミッションを支える情報資産を特定し、優先順位をつける。同様に、資産の機密性の評価では、不正な者に変更または開示されてはならない情報を保存、処理、または伝送する情報資産を特定し、優先順位を付けます。サイバーセキュリティの分野では、BIAの使用は歴史的に、インシデント処理(業務継続や災害復旧を含む)のための品質ベースおよび時間ベースの目標の計算に限られている。 
Because the BIA serves as a nexus for understanding risk (which is the measurement of uncertainty on the mission), it provides a basis for risk appetite and tolerance values as part of the enterprise risk strategy.[1] That guidance supports performance and risk metrics based on the relative value of enterprise assets to communicate and monitor Cybersecurity Risk Management[2] (CSRM) activities, including measures determined to be key performance indicators (KPIs) and key risk indicators (KRIs). The BIA supports asset classification that drives requirements, risk communications, and monitoring.  BIAは、リスク(ミッションに関する不確実性の測定)を理解するための結節点として機能するため、エンタープライズリスク戦略の一部としてリスク選好度と許容値の根拠を提供する。 そのガイダンスは、主要業績評価指標(KPI)および主要リスク指標(KRI)であると決定した指標を含むサイバーセキュリティリスク管理(CSRM)活動を伝達および監視するためのエンタープライズ資産の相対価値に基づく業績およびリスク指標を支援している[2]。BIAは、要件、リスクコミュニケーション、およびモニタリングを推進するための資産分類を支援する。
Expanding use of the BIA to include confidentiality and integrity considerations supports comprehensive risk analysis. The basis of asset valuation on enterprise impact helps to better align risk decisions to enterprise risk strategy. CSRM/ERM integration helps to complete the risk cycle by informing future iterations of impact analysis based on previous information gained through cybersecurity risk register (CSRR) aggregation, as detailed in NIST IR 8286C. As organizational and enterprise leaders gain an understanding of aggregate risk exposure and composite impact, that information helps adjust risk expectations (including business impact guidance to ensure an ongoing balance among asset value, resource optimization, and risk considerations).  BIAの利用を拡大し、機密性と完全性への配慮を含めることで、包括的なリスク分析が可能になる。エンタープライズへの影響に基づく資産評価により、リスクに関する意思決定とエンタープライズのリスク戦略との整合性を高めることができる。CSRM/ERMの統合は、NIST IR 8286Cに詳述されているように、サイバーセキュリティリスク登録(CSRR)集計を通じて得られた過去の情報に基づいて、影響分析の将来の反復に情報を提供することによって、リスクサイクルを完成させるのに役立つ。組織とエンタープライズのリーダーは、集約されたリスクエクスポージャーと複合的な影響について理解することで、その情報はリスク予想(資産価値、リソース最適化、リスク考慮の間の継続的バランスを確保するためのビジネス影響ガイダンスを含む)を調整するのに役立つ。
The BIA process enables system owners to record the benefits provided by an asset by considering the contribution to the enterprise, particularly in terms of mission, finance, and reputational aspects. Once informed about how each asset supports enterprise value, system owners can then work with risk managers to determine the implications of uncertainty on those assets.  BIAプロセスにより、システム所有者は、特にミッション、財務、評判といった側面からエンタープライズへの貢献を考慮し、資産によってもたらされる利益を記録することができる。各資産がどのようにエンタープライズ価値を支えているかを知ることができれば、システムオーナーはリスクマネージャーと協力して、その資産に不確実性が及ぼす影響を判断することができる。
It is more critical than ever to have centralized and reliable asset information recorded in the BIA Register since enterprises rely on various types of information and communications technology (ICT) resources, which are increasingly targeted by adversaries. The BIA process provides information that can be consistently recorded in a centralized registry of important asset management information, such as system ownership, contact information for key stakeholders, and characteristics of the physical devices (or services). Since asset management is an important element of cybersecurity risk management, this information is quite valuable for protecting the asset, detecting cyber events, responding quickly to potential issues, and recovering services when necessary.  エンタープライズはさまざまな種類の情報通信技術(ICT)資源に依存しており、これらの資源は敵対勢力にますます狙われているため、BIA登録簿に記録される一元化された信頼性の高い資産情報がこれまで以上に重要となっている。BIAプロセスは、システムの所有権、主要な関係者の連絡先、物理的な装置(またはサービス)の特性など、重要な資産管理情報を一元的に登録することで、一貫して記録できる情報を提供するものである。資産管理はサイバーセキュリティのリスク管理の重要な要素であるため、この情報は資産の保護、サイバーイベントの検出、潜在的な問題への迅速な対応、必要時のサービスの回復にとって非常に貴重なものである。
Public- and private-sector enterprises must maintain a continual understanding of potential business impacts, the risk conditions that might lead to those impacts, and the steps being taken to address those impacts (as recorded in various risk registers and, ultimately, in the Enterprise Risk Profile). In many cases, when a company or agency is asked about risks, they are actually being asked to describe potential impacts. Companies must describe the risk factors that could have a material adverse effect on the enterprise’s financial position, its ability to operate, or its corporate cash flow. Agencies must report to legislative and regulatory stakeholders about adverse impacts that could impair agency missions and funding. Use of the BIA methodology to categorize the criticality and sensitivity of enterprise assets enables effective risk management and the subsequent integration of reporting and monitoring at the enterprise level to ensure that risk and resource utilization are optimized in light of the value of those assets.  公共部門および民間部門のエンタープライズは、潜在的なビジネスへの影響、それらの影響をもたらす可能性のあるリスク状況、およびそれらの影響に対処するための措置(各種リスク登録簿、最終的にはエンタープライズリスクプロファイルに記録される)に対する継続的な理解を維持しなければならない。多くの場合、エンタープライズや機関がリスクについて尋ねられるとき、実際には潜在的な影響について説明するよう求められている。エンタープライズは、エンタープライズの財政状態、経営能力、またはエンタープライズのキャッシュフローに重大な悪影響を及ぼす可能性のあるリスク要因を記述しなければならない。省庁は、省庁の使命や資金調達を損なう可能性のある悪影響について、立法・規制上の利害関係者に報告しなければならない。BIAの手法を使用してエンタープライズ資産の重要度と機密性を分類することで、効果的なリスク管理が可能になり、その後のエンタープライズレベルでの報告と監視の統合により、リスクとリソースの利用がこれらの資産の価値に照らして最適化されることが保証される。
[1] Office of Management and Budget (OMB) Circular A-123 defines risk appetite as “the broad-based amount of risk an organization is willing to accept in pursuit of its mission/vision. It is established by the organization’s most senior level leadership and serves as the guidepost to set strategy and select objectives.” The same document defines risk tolerance as “the acceptable level of variance in performance relative to the achievement of objectives.”  [1] 米行政管理予算局(OMB)Circular A-123では、リスク選好度を「組織がその使命/ビジョンを追求するために受け入れようとする広範なリスク量」と定義している。これは、「組織の最上位レベルのリーダーシップによって確立され、戦略を設定し、目標を選択するための道標として機能する 」と定義している。同文書では、リスク許容度を 「目標達成に対するパフォーマンスのばらつきの許容レベル 」と定義している。
[2] Cybersecurity Risk Management, or CSRM, is the process of managing uncertainty on or within information and technology.  [2] サイバーセキュリティリスク管理、または CSRM は、情報および技術上の、または技術内の不確実性を管理するプロセスである。

 

図1:BIAプロセスとサイバーセキュリティリスクマネジメントの統合

1_20221122025601

Step A – Based on the enterprise mission, executives identify the products and business processes that are essential to the successful operation of the enterprise. Based on that list, the executives and senior leaders identify the enterprise-level assets[6] that enable those functions. The identification of enterprise-level assets should consider the interdependencies of systems and assets. Those assets inherit the criticality/priority of the functions they support. ステップ A - エンタープライズのミッションに基づき、経営幹部は、エンタープライズの成功に不可欠な製品とビジネスプロセスを特定する。そのリストに基づいて、エグゼクティブとシニアリーダーは、それらの機能を実現する企業レベルの資産[6]を特定する。企業レベルの資産の特定は、システムと資産の相互依存関係を考慮する必要がある。これらの資産は、それらがサポートする機能の重要度/優先度を引き継ぎます。

Step B – Leaders establish and communicate the risk appetite associated with those enterprise assets, and organizational managers determine the resulting risk tolerance.  ステップ B - リーダーは、それらの企業資産に関連するリスク許容度を設定し、伝達し、組織管理者は、その結果としてのリスク許容度を決定する。
Step C – As part of the CSRM process, the system owner will determine the extent to which every system or activity enables a mission/business-critical function (as illustrated in Figure 2). The criticality/priority direction from leaders, expressed through risk appetite/risk tolerance statements (Step B), is used to help determine what the impact of losses would be on confidentiality, integrity, or availability. That impact understanding and the basis for those determinations are recorded in the system BIA Register. [7]
ステップ C - CSRMプロセスの一環として、システム所有者は、すべてのシステムまたはアクティビティが、ミッション/ビジネスクリティカルな機能(図2に図示)をどの程度可能にするかを決定する。リスク選好度/リスク許容度ステートメント(ステップB)を通じて表現されたリーダーからの重要度/優先度の指示は、損失が機密性、完全性、または可用性に及ぼす影響を判断するために使用される。その影響の把握とその判断の根拠は、システムのBIA登録に記録される。[7]
Fig2_20220614030001
  • 機密性による損失の影響の文書化
  • 完全性による損失の影響の文書化
  • 可用性による損失の影響の文書化
  • 資産の重要度・機微性の分類
  • BIA登録への追加・更新
Figure 2: Level 3 BIA Activities
図2:レベル3のBIA活動
Step D – The analysis and results provide the input into the CSRM process illustrated in the diagram and described in NISTIRs 8286A, 8286B, and 8286C.   ステップ D - 分析と結果は、図に示され、NISTIRs 8286A、8286B、8286Cで説明されているCSRMプロセスへのインプットを提供する。 
Step E – Residual risks, particularly those that impact critical and sensitive resources, are highlighted in the Level 2 risk registers as those CSRRs are normalized and aggregated.  Of important note is that cybersecurity is one component of technology risk that feeds operational risks (OpRisk).  ステップ E - 残留リスク、特に重要で機密性の高いリソースに影響を与えるリスクは、CSRR が正規化され、集約されることで、レベル 2 リスク登録でハイライトされる。 重要なことは、サイバーセキュリティは、オペレーショナルリスク(OpRisk)を養うテクノロジーリスクの1つの要素であるということである。
Step F – Enterprise leaders consider the results of ongoing risk activities reported through Level 2 CSRRs as integrated into an Enterprise Cybersecurity Risk Register (E-CSRR) and assess the aggregate impact of the Level 3 and Level 2 risks. This understanding of the composite impact on mission/business-critical functions (including OpRisk) is used to prioritize risk response based on enterprise finance, mission, and reputation consequences.[8] Composite understanding also helps to confirm that risks are within the stated risk appetite or to identify necessary adjustments (e.g., implementing controls, risk mitigation). If adjustments are necessary, an action plan is created that will result in the appropriate increase or decrease of risk appetite to achieve the appropriate impact levels. ステップ F - エンタープライズのリーダーは、レベル 2 CSRR を通じて報告された継続的なリスク活動の結果を、エンタープライズ・サイバーセキュリティ・リスク登録(E-CSRR)に統合して検討し、レベル 3 とレベル 2のリスクの複合的な影響を評価する。ミッション/ビジネスクリティカルな機能(OpRisk を含む)に対する複合的な影響のこの理解は、企業財務、ミッション、レピュテーションへの影響に基づいてリスク対応の優先順位付けに用いられる[8]。 複合的な理解はまた、リスクが規定リスク許容度の範囲内にあることを確認し、必要な調整(例えば、統制の実施、リスク軽減)を特定するのに役立つ。調整が必要な場合は、適切な影響レベルを達成するために、リスクアペタイトを適切に増減させるアクションプランが作成される。
[6] The term ‘asset’ or ‘assets’ is used in multiple frameworks and documents. For the purposes of this publication, ‘assets’ are defined as technologies that may comprise an information system.  Examples include laptop computers, desktop computers, servers, sensors, data, mobile phones, tablets, routers, and switches.  In instances where the authors mean ‘assets’ as they appear on a balance sheet, the word ‘asset’ will be proceeded by words such as ‘high-level’ or ‘balance sheet’ or ‘Level 1’ to differentiate context.  [6] 「資産」または「資産」という用語は、複数のフレームワークや文書で使用されています。本書では、「資産」を情報システムを構成する可能性のある技術として定義しています。 例えば、ノートパソコン、デスクトップパソコン、サーバー、センサー、データ、携帯電話、タブレット端末、ルーター、スイッチなどである。 著者が貸借対照表上の「資産」を意味する場合、文脈を区別するために、「資産」という語の後に「ハイレベル」、「貸借対照表」、「レベル1」などの語を付すことにしている。
[7] A BIA register records business impact information about relevant assets; the register is related to but separate from a risk register, which is a repository of risk information including the data understood about risks over time.
[7]BIA登録簿は、関連する資産に関するビジネスインパクト情報を記録する。登録簿は、リスク登録簿と関連しているが、リスク登録簿とは別物であり、リスクについて時系列で理解されるデータを含むリスク情報のリポジトリである。
[8] Operational risk is discussed more fully in NISTIR 8286C Section 3.1.  [8] オペレーショナルリスクについては、NISTIR8286Cの3.1節でより詳細に議論されている。

 

NISTIR 8286 関連

Date St. Web PDF  
2020.10.13  Final NISTIR 8286 Integrating Cybersecurity and Enterprise Risk Management (ERM)  サイバーセキュリティとエンタープライズ・リスク・マネジメント (ERM) の統合
2021.11.12  Final NISTIR 8286A Identifying and Estimating Cybersecurity Risk for Enterprise Risk Management エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの識別と推定
2022.02.10  Final NISTIR 8286B Prioritizing Cybersecurity Risk for Enterprise Risk Management  エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの優先順位付け
2022.09.14  Final NISTIR 8286C Staging Cybersecurity Risks for Enterprise Risk Management and Governance Oversight エンタープライズ・リスク・マネジメント (ERM) とガバナンスの監督のためのサイバーセキュリティ・リスクのステージング
2022.11.17 Final NISTIR 8286D Using Business Impact Analysis to Inform Risk Prioritization and Response リスクの優先順位付けと対応を行うためのビジネス影響分析の使用

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.11.22 NISTIR 8286D リスクの優先順位付けと対応を行うためのビジネス影響分析の使用

・2022.09.16 NISTIR 8286C エンタープライズ・リスク・マネジメント (ERM) とガバナンスの監督のためのサイバーセキュリティ・リスクのステージング

・2022.06.14 NISTIR 8286D (ドラフト) リスクの優先順位付けと対応にビジネスインパクト分析を使用する方法 (2022.06.09)

・2022.02.13 NISTIR 8286B エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの優先順位付け

・2022.01.28 NISTIR 8286C (ドラフト)エンタープライズ・リスク・マネジメント (ERM) とガバナンスの監督のためのサイバーセキュリティ・リスクのステージング

・2021.11.15 NISTIR 8286A エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの識別と推定

・2021.09.03 NISTIR 8286B(ドラフト)エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの優先順位付け

・2021.07.08 NISTIR 8286A (ドラフト)エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの識別と推定(第2ドラフト)

・2020.10.22 NISTIR 8286 Integrating Cybersecurity and Enterprise Risk Management (ERM)

・2020.07.12 NISTIR 8286 (Draft) Integrating Cybersecurity and Enterprise Risk Management (ERM) (2nd Draft)

・2020.03.20 NISTIR 8286(Draft) Integrating Cybersecurity and Enterprise Risk Management (ERM)

 

関連する情報

・2021.08.19 NISTIR 8170 連邦政府機関がサイバーセキュリティフレームワークを使用するためのアプローチ

・2021.08.10 NIST SP 1271 NISTサイバーセキュリティフレームワーク入門:クイックスタートガイド

・2021.02.04 サイバーセキュリティとプライバシーに関する 2021年のNISTの取り組み

 

COSO 関連

・2022.01.18 ENISA 相互運用可能なEUのリスク管理フレームワーク

・2020.06.23 GAO GreenbookとOMB Circular No. A-123

少し(^^)遡ります。。。

・2011.12.22 COSO Exposure Draft: International Control Integrated Framework

・2009.01.27 COSO Guidance on Monitoring Internal Control Systems

・2008.06.12 COSO ED Guidance on Monitoring Internal Control Systems

・2007.09.15 COSO Guidance on Monitoring Internal Control Systems

・2007.06.26 英国規格 パブコメ リスクマネジメントのための実践規範 (BS 31100, Code of practice for risk management)

次の3つは歴史を知る上でも重要↓

・2006.08.28 SAS No.55の内部統制の要素

・2006.07.31 内部統制の構成要素比較 日本語

・2006.07.30 内部統制の構成要素比較

・2006.07.08 Internal Control over Financial Reporting — Guidance for Small Public Companies

この4つは歴史的にも重要かもですね。。。↓

・2006.05.10 CoCoにおける取締役会の統制上の責任

・2006.04.26 カナダCoCo内部統制ガイダンスにあって米国COSO内部統制報告書に明確にはないもの 「相互の信頼」

・2006.04.24 米国 30年前のIT全般統制の項目

・2006.04.03 米国では、全般統制と業務処理統制は30年以上前から言われている

・2005.10.28 COSO Guidance for Smaller Public Companies Reporting on Internal Control over Financial Reporting exposure draft

・2005.01.30 NHK COSOを導入

| | Comments (0)

2022.11.21

経済産業省 「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン Ver 1.0」

こんにちは、丸山満彦です。

経済産業省が、「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン Ver 1.0」を策定していますね。。。

「産業サイバーセキュリティ研究会ワーキンググループ1(制度・技術・標準化)工場SWG」 の成果物ですね。。。

 

経済産業省

・2022.11.16 「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン Ver 1.0」を策定しました

20221121-60507

 

 


2.ガイドラインの概要

本ガイドラインは、セキュリティ対策を行うに当たり参照すべき考え方やステップを示しているため、業界団体や個社が自らの工場を取り巻く環境を整理し必要な工場のセキュリティ対策を企画・実行していく際に役に立つガイドラインとなっています。

 


目次...

1 はじめに
1.1
工場セキュリティガイドラインの目的
【参考】 工場システムにおいてセキュリティ脅威により生じる影響の例
1.2
ガイドラインの適用範囲
1.3 5

2 本ガイドラインの想定工場
2.1
想定企業
2.2
想定組織構成
2.3
想定生産ライン
2.4
想定業務
2.5
想定データ
2.6
想定ゾーン

3 セキュリティ対策企画・導入の進め方
3.1
ステップ1  内外要件(経営層の取組や法令等)や業務、保護対象等の整理
3.1.1
ステップ 1-1  セキュリティ対策検討・企画に必要な要件の整理 
3.1.2 ステップ 1-2  業務の整理
3.1.3 ステップ 1-3  業務の重要度の設定
【参考】 業務の重要度(想定工場における例)
3.1.4 ステップ 1-4  保護対象の整理
3.1.5 ステップ 1-5  保護対象の重要度の設定
3.1.6 ステップ 1-6  ゾーンの整理と、ゾーンと業務、保護対象の結びつけ
3.1.7 ステップ 1-7  ゾーンと、セキュリティ脅威による影響の整理
【参考】 攻撃者の動機
【参考】 経営層による取組の宣言

3.2
ステップセキュリティ対策の立案
3.2.1
ステップ 2-1  セキュリティ対策方針の策定
【参考】 セキュリティ要求レベルの考え方の例
【参考】 対策の程度
3.2.2 ステップ 2-2  想定脅威に対するセキュリティ対策の対応づけ
(1) システム構成面での対策
(2) 物理面での対策 
【参考】 入退管理の考え方
【参考】 物理セキュリティ運用・管理の担当部署
 
3.3
ステップ 3 セキュリティ対策の実行、及び計画・対策・運用体制の不断の見直し(PDCA サイクルの実施)
(1)ライフサイクルでの対策
【参考】 運用管理体制(例) 
(2)サプライチェーン対策
【参考】 制御システムや IoT に関するセキュリティ認証制度 
【参考】 下請振興基準 .
【参考】 稼働中の工場と新設の工場における対策の考慮 
【参考】 戦略の実行管理

付録 A 用語/略語

付録 B 工場システムを取り巻く社会的セキュリティ要件 
B-1
法規制、標準規格、ガイドライン準拠に関わる要件 
B-1.1 法規制によるセキュリティ対策の要求
【参考】 業界ごとのセキュリティに関わる法規制 
B-1.2 セキュリティに関わる標準規格・ガイドライン準拠の要求 
【参考】 セキュリティインシデント対応に関する主なガイドライン
B-2 国・自治体からの要求 
B-3 産業界からの要求
【参考】 業界ごとの要求
B-4 市場・顧客からの要求 
B-5 B-5 取引先からの要求
B-6 出資者からの要求

付録 C 関係文書におけるセキュリティ対策レベルの考え方 
C-1
代表的なセキュリティ対策評価基準
C-2 セキュリティ対策を行う度合いの定義例

付録 D 関連/参考資料 

付録 E チェックリスト

付録 F 調達仕様書テンプレート(記載例)

コラム 1 : 工場セキュリティを巡る動向 
コラム 2 : 工場システムの目的や製造業/工場の価値から観た セキュリティ 
コラム 3 : スマート工場への流れ 
コラム 4 : 工場におけるクラウド利用 

本ガイドラインの検討体制

謝辞 

委員...
市岡 裕嗣 三菱電機株式会社 名古屋製作所ソフトウエアシステム部 部長 ※2022 年度~
西雪 弘 三菱電機株式会社 FA ソリューションシステム部 部長 (※~2021 年度)
岩﨑 章彦 一般社団法人電子情報技術産業協会 セキュリティ専任部長
江崎 浩 東京大学大学院 情報理工学系研究科教授
榎本 健男 一般社団法人日本工作機械工業会 技術委員会 標準化部会 電気・安全規格専門委員会委員 (三菱電機株式会社 名古屋製作所ドライブシステム部 専任)
桑田 雅彦 日本電気株式会社 デジタルネットワーク事業部門 兼 テクノロジーサービス部門 サイバーセキュリティ事業統括部  シニアプロフェッショナル(サイバーセキュリティ)(Edgecross・GUTP 合同 工場セキュリティ WG リーダー)
斉田 浩一 ファナック株式会社 IT 本部情報システム部五課 課長
佐々木 弘志 フォーティネットジャパン合同会社 OT ビジネス開発部 部長 (IPA ICSCoE 専門委員)
斯波 万恵 株式会社東芝 サイバーセキュリティ技術センター 参事 (ロボット革命イニシアティブ(RRI)産業セキュリティ AG)
高橋 弘宰 トレンドマイクロ株式会社 OT セキュリティ事業部 OT プロダクトマネジメントグループ シニアマネージャー
中野 利彦 株式会社日立製作所 制御プラットフォーム統括本部 大みか事業所 セキュリティエバンジェリスト
藤原 剛 ビー・ユー・ジーDMG 森精機株式会社 制御開発本部コネクティビティー部 副部長
松原 豊 名古屋大学大学院 情報学研究科准教授
村瀬 一郎 技術研究組合制御システムセキュリティセンター 事務局長
渡辺 研司 名古屋工業大学大学院 社会工学専攻教授 

| | Comments (0)

経済産業省 日本発の自動運転システムの「シナリオに基づく安全性評価フレームワーク」に関する国際標準 (ISO34502) が発行されたことを公表

こんにちは、丸山満彦です。

経済産業省が、ISO 34502:2022 Road vehicles — Test scenarios for automated driving systems — Scenario based safety evaluation frameworkが発行されたことをニュースリリースで公表していますね。。。


自動運転システムの安全性を評価するための手順やシナリオに関する、日本発の国際標準が発行されました。これにより、自動運転システムの安全性と開発効率の向上が期待されます。


とのことです。。。

誤用、人と機械間のインターフェース、サイバーセキュリティに関わる安全関連については、対象外です。。。

 

経済産業省

・2022.11.16 日本発の自動運転システムの「シナリオに基づく安全性評価フレームワーク」に関する国際標準が発行されました ~安全で自由に移動できる社会の実現を目指して(ISO 34502)~

 

2. 標準の概要...


本標準は、自動運転システムの安全性を評価する手順や、クリティカルシナリオ(自車にとって危険と認知した場合に即座に安全行動を行う必要がある事象)の導出手法等から構成されております。(図1)

① 安全目標の設定(例えば有能なドライバーより優秀である)
② シナリオ検証範囲の設定(例えば交通参加者の速度範囲等)
③ 危険な事象に至る要因(例えば自車と他車との相対速度や車間距離)及び②シナリオ検証範囲からクリティカルシナリオの特定
④ 安全性試験・評価を実施
⑤ ①で設定した安全目標を達成しているか判断
⑥ ⑤で未達成の場合、自動運転システムの再検討を要求し、①に戻る(反復ループ)

 

 

図1:ISO 34502で規定された安全性評価の全体的な流れ

日本提案の特徴は、クリティカルシナリオの導出手法について、より実現可能な「シナリオベースアプローチ」を提案した点にあります。これは、自動運転システムの各要素を「認知」、「判断」、「操作」の3要素に分解し、それぞれの危険に繋がる事象を体系的に整理する事で、シナリオを漏れなく導出する手法です。(図2)
シナリオの種類が無限に近くなった場合、最適な検証作業に支障をきたしますが、このアプローチによって、安全性保証にとって必要十分なシナリオを、過不足なく検討することが容易になります。

 

図2:シナリオの体系化

なお、ISO/TC22/SC33(ビークルダイナミクス、シャーシコンポーネント、運転自動化システムのテスト)/WG9(自動運転システムのテストシナリオ)においては、安全性を評価するための5つのプロジェクトが、2018年9月からスタートしています。この中でも標準化の主軸は、シナリオに基づく安全性評価フレームワークを構築するプロジェクトでした。このプロジェクトについて、自動運転システムの安全性評価基盤構築に向けて経済産業省が実施しているSAKURAプロジェクト*2の活動成果を活用する事で、日本主導において検討されてISO 34502の発行につながったものです。

 

ISO

ISO 34502:2022 Road vehicles — Test scenarios for automated driving systems — Scenario based safety evaluation framework

ISO 34502:2022 Road vehicles — Test scenarios for automated driving systems — Scenario based safety evaluation framework ISO 34502:2022 道路運送車両-自動運転システムの試験シナリオ-シナリオに基づく安全性評価フレームワーク
This document provides guidance for a scenario-based safety evaluation framework for automated driving systems (ADSs). The framework elaborates a scenario-based safety evaluation process that is applied during product development. The guidance for the framework is intended to be applied to ADS defined in ISO/SAE PAS 22736 and to vehicle categories 1 and 2 according to Reference [10]. This scenario-based safety evaluation framework for ADS is applicable for limited access highways. この文書は、自動運転システム(ADS)のためのシナリオベースの安全性評価フレームワークのためのガイダンスを提供する。このフレームワークは、製品開発時に適用されるシナリオに基づく安全性評価プロセスを精緻化したものである。このフレームワークのガイダンスは、ISO/SAE PAS 22736 で定義された ADS と、文献 [10] による車両カテゴリ 1 と 2 に適用されることを意図している。このシナリオに基づく ADS の安全性評価フレームワークは、アクセス制限のある高速道路に適用されるものである。
This document does not address safety-related issues involving misuse, human machine interface and cybersecurity. 本書は、誤用、ヒューマンマシンインタフェース、サイバーセキュリティに関わる安全関連の問題には言及しない。
This document does not address non-safety related issues involving comfort, energy efficiency or traffic flow efficiency. また、快適性、エネルギー効率、交通流効率など、安全以外の問題についても触れていない。

 

目次概要...

Foreword 序文
Introduction はじめに
1 ​Scope 1 適用範囲
2 ​Normative references 2 引用規格
3 ​Terms and definitions 3 用語と定義
4 ​Test scenario-based safety evaluation process 4 テストシナリオベースの安全性評価プロセス
4.1 ​Integration into the overall development process 4.1 開発プロセス全体への統合
4.2 ​Safety test objectives 4.2 安全性試験の目的
4.3 ​Specification of the relevant scenario space 4.3 関連するシナリオ空間の仕様
4.4 ​Derivation of critical scenarios based on risk factors 4.4 リスク要因に基づく重要シナリオの導出
4.5 ​Derivation of test scenarios based on covering the relevant scenario space 4.5 関連するシナリオ空間をカバーすることに基づくテストシナリオの導出
4.6 ​Derivation of concrete test scenarios and test scenario allocation 4.6 具体的な試験シナリオの導出及び試験シナリオの割当て
4.7 ​Test execution 4.7 試験の実施
4.8 ​Safety evaluation 4.8 安全性評価
Annex 附属書
Annex A Physics principles scenario-based approach 附属書 A 物理原則 シナリオに基づくアプローチ
Annex B Traffic-related critical scenarios 附属書 B 交通関連の重要シナリオ
Annex C Perception-related critical scenarios 附属書 C 知覚に関連するクリティカルシナリオ
Annex E Derivation and structuring of scenarios using criticality analysis 附属書 E 臨界分析を用いたシナリオの導出と構造化
Annex F Qualification of virtual test platforms 附属書 F 仮想テストプラットフォームの適格性評価
Annex G Scenario database and parameter variation methods 附属書 G シナリオデータベースとパラメータ変動法
Annex H Segmentation of test space 附属書 H 試験空間の区分け
Annex I Evaluation of test scenarios based on behavioural safety assessment 附属書 I 行動安全アセスメントに基づくテストシナリオの評価
Annex J Risk evaluation based on positive risk balance 附属書 J ポジティブリスクバランスに基づくリスク評価
Annex K Constrained random testing to identify unknown critical scenarios 附属書 K 未知の重要シナリオを特定するための制約付きランダム試験
Annex L Sufficiency of traffic data to develop parameter ranges 附属書 L パラメータ範囲を開発するためのトラフィックデータの十分性
Bibliography 参考文献

 

Continue reading "経済産業省 日本発の自動運転システムの「シナリオに基づく安全性評価フレームワーク」に関する国際標準 (ISO34502) が発行されたことを公表"

| | Comments (0)

2022.11.20

NIST SP 800-160 Vol.1 Rev.1 信頼性の高い安全なシステムのエンジニアリング (2022.11.16)

こんにちは、丸山満彦です。

NISTが意見募集をしていた、SP 800-160 Vol.1 Rev.1 信頼性の高い安全なシステムのエンジニアリングの最終版を公表していますね。。。

 

● NIST - ITL 

・2022.11.16 SP 800-160 Vol. 1 Rev. 1 Engineering Trustworthy Secure Systems

SP 800-160 Vol. 1 Rev. 1 Engineering Trustworthy Secure Systems SP 800-160 Vol.1 Rev.1 信頼性の高い安全なシステムのエンジニアリング
Abstract 概要
This publication describes a basis for establishing principles, concepts, activities, and tasks for engineering trustworthy secure systems. Such principles, concepts, activities, and tasks can be effectively applied within systems engineering efforts to foster a common mindset to deliver security for any system, regardless of the system’s purpose, type, scope, size, complexity, or the stage of its system life cycle. The intent of this publication is to advance systems engineering in developing trustworthy systems for contested operational environments (generally referred to as systems security engineering) and to serve as a basis for developing educational and training programs, professional certifications, and other assessment criteria. 本書は、信頼性の高いセキュアなシステムを設計するための原則、概念、活動、およびタスクを確立するための基礎を説明するものである。このような原則、概念、活動、およびタスクは、システムの目的、種類、範囲、規模、複雑さ、またはシステムライフサイクルの段階に関係なく、あらゆるシステムのセキュリティを実現するための共通の考え方を醸成するために、システムエンジニアの取り組みに効果的に適用することができる。本書の目的は、厳しい運用環境において信頼性の高いシステムを開発するシステム工学(一般にシステムセキュリティ工学と呼ばれる)を発展させ、教育・訓練プログラム、専門家認定、その他の評価基準を開発するための基礎とすることである。

 

・[PDF] SP 800-160 Vol. 1 Rev. 1

20221120-54329

 

目次...

1.  Introduction 1.  はじめに
1.1.  Purpose and Applicability 1.1.  目的及び適用性
1.2.  Target Audience 1.2.  対象読者
1.3.  How to Use this Publication 1.3.  この出版物の使用方法
1.4.  Organization of this Publication 1.4.  本書の構成
2.  Systems Engineering Overview 2.  システムエンジニアリングの概要
2.1.  System Concepts 2.1.  システム概念
2.1.1. Systems and System Structure 2.1.1. システムとシステム構造
2.1.2. Interfacing, Enabling, and Interoperating Systems 2.1.2. システムのインターフェイス、イネーブル、および相互運用
2.2.  Systems Engineering Foundations 2.2.  システムエンジニアリングの基礎
2.3.  Trust and Trustworthiness 2.3.  信頼と信用性
3.  System Security Concepts 3.  システムセキュリティの概念
3.1.  The Concept of Security 3.1.  セキュリティの概念
3.2.  The Concept of an Adequately Secure System 3.2.  十分な安全性を持つシステムの概念
3.3.  Characteristics of Systems 3.3.  システムの特徴
3.4.  The Concept of Assets 3.4.  資産の概念
3.5.  The Concepts of Loss and Loss Control 3.5.  損失と損失管理の概念
3.6.  Reasoning about Asset Loss 3.6.  資産の損失に関する推論
3.7.  Determining Protection Needs 3.7.  保護の必要性の判断
3.8.  System Security Viewpoints 3.8.  システムセキュリティの視点
3.9.  Demonstrating System Security 3.9.  システムセキュリティの実証
3.10.  Systems Security Engineering 3.10.  システムセキュリティエンジニアリング
4.  Systems Security Engineering Framework 4.  システムセキュリティ工学の枠組み
4.1.  The Problem Context 4.1.  問題の背景
4.2.  The Solution Context 4.2.  ソリューションコンテキスト
4.3.  The Trustworthiness Context 4.3.  信頼性のコンテキスト
References  参考文献 
Appendix A. Acronyms 附属書A. 頭字語
Appendix B. Glossary 附属書B. 用語集
Appendix C. Security Policy and Requirements 附属書C. セキュリティポリシーと要求事項
C.1. Security Policy C.1. セキュリティポリシー
C.2. Security Requirements C.2. セキュリティに関する要求事項
C.3. Distinguishing Requirements, Policy, and Mechanisms C.3. 要求事項、ポリシー、メカニズムの区別
Appendix D. Trustworthy Secure Design 附属書D. 信頼性の高いセキュアな設計
D.1. Design Approach for Trustworthy Systems D.1. 信頼性の高いシステムのための設計アプローチ
D.2.Design Considering Emergence D.2. 創発性を考慮した設計
D.3. Security Design Order of Precedence D.3. セキュリティ設計の優先順位
D.4. Functional Design Considerations D.4. 機能的設計の考慮点
Appendix E. Principles for Trustworthy Secure Design 附属書E. 信頼性の高いセキュアな設計のための原則
E.1. Anomaly Detection E.1. 異常の検出
E.2. Clear Abstractions E.2. 明確な抽象化
E.3. Commensurate Protection E.3. 適切な保護
E.4. Commensurate Response E.4. 正確な応答
E.5. Commensurate Rigor E.5. 適正な厳しさ
E.6. Commensurate Trustworthiness E.6. 正確な信頼性
E.7. Compositional Trustworthiness E.7. 構成的信頼性
E.8. Continuous Protection E.8. 継続的な保護
E.9. Defense In Depth E.9. 多重防御
E.10. Distributed Privilege E.10. 特権の分散
E.11. Diversity (Dynamicity) E.11. 多様性(動的)
E.12. Domain Separation E.12. ドメイン分離
E.13. Hierarchical Protection E.13. 階層的な保護
E.14. Least Functionality E.14. 最小限の機能
E.15. Least Persistence E.15. 最小限の持続性
E.16. Least Privilege E.16. 最小の特権
E.17. Least Sharing E.17. 最小限の共有
E.18. Loss Margins E.18. 損失マージン
E.19. Mediated Access E.19. 媒介アクセス
E.20. Minimal Trusted Elements E.20. 最小限の信頼される要素
E.21. Minimize Detectability E.21. 検出可能性の最小化
E.22. Protective Defaults E.22. 保護デフォルト
E.23. Protective Failure E.23. プロテクトの失敗
E.24. Protective Recovery E.24. 保護リカバリ
E.25. Reduced Complexity E.25. 複雑さの軽減
E.26. Redundancy E.26. 冗長性
E.27. Self-Reliant Trustworthiness E.27. 自立した信頼性
E.28. Structured Decomposition and Composition E.28. 構造化分解と構造化合成
E.29. Substantiated Trustworthiness E.29. 裏付けされた信頼性の高さ
E.30. Trustworthy System Control E.30. 信頼性の高いシステム制御
Appendix F. Trustworthiness and Assurance 附属書F.信頼性及び保証
F.1. Trust and Trustworthiness F.1. 信頼と信用
F.2.Assurance F.2.保証
Appendix G. System Life Cycle Processes Overview 附属書G. システムライフサイクルプロセスの概要
G.1. Process Overview G.1. プロセスの概要
G.2. Process Relationships G.2. プロセスの関係
Appendix H. Technical Processes 附属書H. 技術プロセス
H.1. Business or Mission Analysis H.1. ビジネスまたはミッションの分析
H.2. Stakeholder Needs and Requirements Definition H.2. ステークホルダーのニーズと要件の定義
H.3. System Requirements Definition H.3. システム要件定義
H.4. System Architecture Definition H.4. システムアーキテクチャの定義
H.5. Design Definition H.5. デザイン定義
H.6. System Analysis H.6. システム分析
H.7. Implementation H.7. 実装
H.8. Integration H.8. 統合
H.9. Verification H.9. 検証
H.10. Transition H.10. 移行
H.11. Validation H.11. 妥当性確認
H.12. Operation H.12. 操作
H.13. Maintenance H.13. 保守者ンス
H.14. Disposal H.14. 廃棄について
Appendix I. Technical Management Processes 附属書 I. 技術管理プロセス
I.1. Project Planning I.1. プロジェクト計画
I.2. Project Assessment and Control I.2. プロジェクトの評価と管理
I.3. Decision Management I.3. 意思決定管理
I.4. Risk Management I.4. リスク管理
I.5. Configuration Management I.5. コンフィギュレーション・マネジメント
I.6. Information Management I.6. 情報管理
I.7. Measurement I.7. 測定
I.8. Quality Assurance I.8. 品質保証
Appendix J. Organizational Project-Enabling Processes 附属書J. プロジェクトを実現するための組織的プロセス
J.1. Life Cycle Model Management J.1. ライフサイクルモデルの管理
J.2. Infrastructure Management J.2. インフラストラクチャー管理
J.3. Portfolio Management J.3. ポートフォリオ管理
J.4. Human Resource Management J.4. ヒューマンリソースマネジメント
J.5. Quality Management J.5. 品質管理
J.6. Knowledge Management J.6. ナレッジマネジメント
Appendix K. Agreement Processes 附属書K. 契約プロセス
K.1.Acquisition K.1.取得
K.2. Supply K.2. 供給
Appendix L. Change Log 附属書 L. 変更履歴

 

 

1.  Introduction   1.  はじめに  
Today’s systems[1] are inherently complex. The growth in the size, number, and types of components and technologies[2] that compose those systems as well as the system dependencies result in a range of consequences from inconvenience to catastrophic loss due to adversity[3] within the operating environment. Managing the complexity of trustworthy secure systems requires achieving the appropriate level of confidence in the feasibility, correctness-in-concept, philosophy, and design of a system to produce only the intended behaviors and outcomes. This provides the foundation to address stakeholder protection needs and security concerns with sufficient confidence that the system functions only as intended while subjected to different types of adversity and to realistically bound those expectations with respect to constraints and uncertainty. The failure to address complexity and security will leave the Nation susceptible to potentially serious, severe, or catastrophic consequences.  今日のシステム[1]は本質的に複雑である。システムを構成する部品や技術[2] の規模、数、種類の増加や、システムの依存関係により、運用環境における不都合から逆境による壊滅的な損失[3]まで、様々な結果が生じている。信頼性の高い安全なシステムの複雑性を管理するには、意図された動作と結果のみをもたらすシステムの実現可能性、概念の正しさ、哲学、および設計について、適切なレベルの信頼性を達成することが必要である。これは、さまざまな種類の逆境にさらされてもシステムが意図したとおりにしか機能しないという十分な確信をもって、利害関係者の保護ニーズとセキュリティの懸念に対処し、制約と不確実性に関してそれらの期待を現実的に拘束するための基盤を提供するものである。複雑性と安全性に対処できなければ、国家は深刻な、深刻な、または破滅的な結果に陥る可能性がある。
The term security is used in this publication to mean freedom from the conditions that can cause a loss of assets with unacceptable consequences.[4] Stakeholders must define the scope of security in terms of the assets to which security applies and the consequences against which security is assessed.[5] Systems engineering provides a foundation for a disciplined and structured approach to building assured, trustworthy secure systems. As a systems engineering subdiscipline, systems security engineering addresses security-relevant considerations intended to produce secure outcomes. The engineering efforts are conducted at the appropriate level of fidelity and rigor needed to achieve trustworthiness and assurance objectives.  本書では、セキュリティという用語は、許容できない結果を伴う資産の損失を引き起こす可能性のある条件からの自由を意味するものとして使用される[4] 。利害関係者は、セキュリティが適用される資産と、セキュリティを評価する結果という観点からセキュリティの範囲を定義しなければならない[5] 。システムズエンジニアリングの下位分野として、システムセキュリティ工学は、安全な結果をもたらすことを意図したセキュリティ関連の考慮事項に取り組む。工学的な取り組みは、信頼性と保証の目標を達成するために必要な、適切なレベルの忠実度と厳密さで実施される。
Peter Neumann described the concept of trustworthiness in [2] as follows:  ピーター・ノイマンは[2]で信頼性の概念を次のように説明している。
“By trustworthiness, we mean simply worthy of being trusted to fulfill whatever critical requirements may be needed for a particular component, subsystem, system, network, application, mission, enterprise, or other entity. Trustworthiness requirements might typically involve (for example) attributes of security, reliability, performance, and survivability under a wide range of potential adversities. Measures of trustworthiness are meaningful only to the extent that (a) the requirements are sufficiently complete and well defined, and (b) can be accurately evaluated.”  「信頼性とは、特定のコンポーネント、サブシステム、システム、ネットワーク、アプリケーション、ミッション、エンタープライズ、または他のエンティティに必要とされるあらゆる重要な要件を満たすために信頼されるに値することを意味する。信頼性の要件には、例えば、セキュリティ、信頼性、性能、および広範な潜在的敵対行為下での生存性などの属性が含まれることが一般的である。信頼性の測定は、(a)要件が十分に完全で、よく定義され、(b)正確に評価できる範囲でのみ意味がある。
Systems security engineering provides complementary engineering capabilities that extend the concept of trustworthiness to deliver trustworthy secure systems. Trustworthiness is not only about demonstrably meeting a set of requirements. The requirements must also be complete, consistent, and correct. From a security perspective, a trustworthy system meets a set of welldefined requirements, including security requirements. Through evidence and expert judgment, trustworthy secure systems can limit and prevent the effects of modern adversities. Such adversities come in malicious and non-malicious forms and can emanate from a variety of sources, including physical and electronic. Adversities can include attacks from determined and capable adversaries, human errors of omission and commission, accidents and incidents, component faults and failures, abuses and misuses, and natural and human-made disasters.  システムセキュリティ工学は、信頼性の概念を拡張し、信頼性の高い安全なシステムを提供するための補完的な工学能力を提供する。信頼性とは、一連の要件を実証的に満たすことだけではない。要件は完全で、一貫性があり、正しくなければならない。セキュリティの観点からは、信頼性の高いシステムは、セキュリティ要件を含む、明確に定義された一連の要件を満たしている。証拠と専門家の判断により、信頼性の高い安全なシステムは、現代の敵の影響を制限し、防止することができる。このような敵は、悪意のあるものとないものがあり、物理的、電子的なものを含む様々なソースから発生する可能性がある。逆境には、決意のある有能な敵からの攻撃、人間の不注意や過失、事故や事件、部品の欠陥や故障、悪用や誤用、自然災害や人為的災害などがある。
“Security is embedded in systems. Rather than two engineering groups designing two systems, one intended to protect the other, systems engineering specifies and designs a single system with security embedded in the system and its components.”  「セキュリティはシステムに組み込まれる。2つのエンジニアリンググループが2つのシステムを設計し、一方が他方を保護することを意図するのではなく、システムエンジニアリングは、システムとそのコンポーネントにセキュリティを組み込んだ単一のシステムを指定・設計するのである。
-- An Objective of Security in the Future of Systems Engineering [7]  -・システムズエンジニアリングの将来におけるセキュリティの目的[7]。
1.1.  Purpose and Applicability  1.1.  目的及び適用範囲 
This publication is intended to:  本書は、次のことを目的としている。
・Provide a basis for establishing a discipline for systems security engineering as part of systems engineering in terms of its principles, concepts, activities, and tasks  ・システムズセキュリティ工学を、その原則、概念、活動、及び作業の観点から、システムズ工学の一部として確立するための基礎を提供すること
・Foster a common mindset to deliver security for any system, regardless of its purpose, type, scope, size, complexity, or stage of the system life cycle  ・目的、種類、範囲、規模、複雑さ、システムライフサイクルの段階に関係なく、あらゆるシステムのセキュリティを実現するための共通の考え方を醸成すること
・Demonstrate how selected systems security engineering principles, concepts, activities, and tasks can be effectively applied to systems engineering activities  ・選択したシステムセキュリティ工学の原則,概念,活動,タスクを,どのようにシステムエンジニアリング活動に効果的に適用できるかを示すこと
・Advance the field of systems security engineering as a discipline that can be applied and studied  ・システムセキュリティ工学を応用・研究可能な学問分野として発展させること
・Serve as a basis for the development of educational and training programs, including individual certifications and other professional assessment criteria  ・個人認定資格やその他の専門的な評価基準を含む、教育・訓練プログラムの開発の基礎となるようにすること

The considerations set forth in this publication are applicable to all federal systems other than those systems designated as national security systems as defined in 44 U.S.C., Section 3542.[6] These considerations have been broadly developed from a technical and technical management perspective to complement similar considerations for national security systems and may be used for such systems with the approval of federal officials who exercise policy authority over such systems. State, local, and tribal governments, as well as private sector entities, are encouraged to consider using the material in this publication, as appropriate.  本書に記載されている考慮事項は、44 U.S.C. 第 3542 条に定義されている国家安全保障システムとして指定されているシステム以外のすべての連邦システムに適用される[6]。これらの考慮事項は、国家安全保障システムに対する同様の考慮事項を補完するために技術及び技術管理の観点から幅広く策定されており、当該システムに対する政策権限を有する連邦当局者の承認を得て当該システムに使用できるようになっている。州、地方、および部族政府は、民間部門と同様に、本書の資料の適切な利用を検討することが推奨される。
The applicability statement is not meant to limit the technical and management application of these considerations. That is, the security design principles, concepts, and techniques described in this publication are part of a trustworthy secure design approach as described in Appendix D and can be applied in any of the following cases:  適用性の記述は、これらの考慮事項の技術的および管理的な適用を制限することを意図していない。すなわち、本書に記載されているセキュリティ設計の原則、概念、および技術は、附属書Dに記載されている信頼性の高い安全な設計手法の一部であり、以下のいずれの場合にも適用することが可能である。
・Development of a new capability or system  ・新しい能力またはシステムの開発
The engineering effort includes such activities as concept exploration, preliminary or applied research to refine the concepts and/or feasibility of technologies employed in a new system, and an assessment of alternative solutions. This effort is initiated during the concept and development stages of the system life cycle.  エンジニアリングの取り組みには、コンセプトの探求、新システムに採用される技術のコンセプト及び/又は実現可能性を洗練させるための予備又は応用研究、及び代替ソリューションの評価などの活動が含まれる。この作業は、システムライフサイクルのコンセプトと開発段階において開始される。
・Modification of an existing capability or system  ・既存の能力またはシステムの修正
-       Reactive modifications to fielded systems: The engineering effort occurs in response to adversity that diminishes or prevents the system from achieving the design intent. This effort can occur during the production, utilization, or support stages of the system life cycle and may be performed concurrently with or independent of day-to-day system operations.  ・実戦配備されたシステムに対する反応的な修正。このエンジニアリング作業は、システムが設計意図を達成するのを減少させるか妨げるような逆境に対応して行われる。この作業は、システムライフサイクルの生産、利用、またはサポート段階において発生し、日常的なシステム運用と同時に行われることもあれば、独立に行われることもある。
-       Planned upgrades to fielded systems while continuing to sustain day-to-day operations: Planned system upgrades may enhance an existing system capability, provide a new capability, or constitute a technology refresh of an existing capability. This effort occurs during the production, utilization, or support stages of the system life cycle.  ・日々の運用を維持しつつ、実戦配備されたシステムの計画的なアップグレード。計画されたシステムアップグレードは、既存のシステム能力を強化し、新しい能力を提供し、または既存の能力の技術更新を構成することができる。この作業は、システムライフサイクルの生産、利用、またはサポート段階において行われる。
-       Planned upgrades to fielded systems that result in new systems: The engineering effort is conducted as if developing a new system with a system life cycle that is distinct from the life cycle of a fielded system. The upgrades are performed in a development environment that is independent of the fielded system.  ・新システムにつながる、実戦配備されたシステムの計画されたアップグレード。このエンジニアリング作業は、実戦配備されたシステムのライフサイクルとは異なるシステムライフサイクルを持つ新システムを開発するように実施される。アップグレードは、実戦配備されたシステムから独立した開発環境において実施される。
・Evolution of an existing capability or system  ・既存の能力またはシステムの進化
The engineering effort involves migrating or adapting a system or system implementation from one operational environment or set of operating conditions to another operational environment or set of operating conditions.[7]  システムまたはシステム実装を、ある運用環境または一連の運用条件から別の運用環境または一連の運用条件へ移行または適応させるエンジニアリングの作業である[7]。
・Retirement of an existing capability or system  ・既存の能力又はシステムの退役
The engineering effort removes system functions, services, elements, or the entire system from operation and may include the transition of system functions and services to another system. The effort occurs during the retirement stage of the system life cycle and may be conducted while sustaining day-to-day operations.  システム機能、サービス、要素、またはシステム全体を運用から外し、システム機能及びサービスを別のシステムへ移行することを含む場合がある。この作業は、システムライフサイクルの引退段階で行われ、日常的な運用を維持しながら実施されることもある。
・Development of a dedicated, domain-specific, or special-purpose capability or system  ・専用、ドメイン固有、または特殊な目的の能力またはシステムの開発
- Security-dedicated or security-purposed system: The engineering effort delivers a system that satisfies a security-dedicated need or provides a security-oriented purpose and does so as a stand-alone system that may monitor or interact with other systems. Such systems can include surveillance systems, physical protection systems, monitoring systems, and security service provisioning systems.  ・セキュリティ専用またはセキュリティ目的のシステム。セキュリティ専用のニーズを満たすか、またはセキュリティ指向の目的を提供するシステムであり、他のシステムを監視したり、他のシステムと相互作用することができる独立したシステムとして行うエンジニアリング作業。このようなシステムには、監視システム、物理的保護システム、監視システム、及びセキュリティサービス提供システムが含まれることがある。
-       High-confidence, dedicated-purpose system: The engineering effort delivers a system that satisfies the need for real-time vehicular control, industrial or utility processes, weapons, nuclear power plants, and other special-purpose needs. Such systems may include multiple operational states or modes with varying forms of manual, semi-manual, automated, or autonomous modes. These systems have highly deterministic properties, strict timing constraints, functional interlocks, and severe or catastrophic consequences of failure.  ・信頼性の高い、専用目的のシステム。リアルタイム車両制御、産業用または公益事業用プロセス、兵器、原子力発電所、およびその他の特別な目的のニーズを満たすシステムを提供するエンジニアリング作業である。このようなシステムには、手動、半手動、自動、または自律モードなど、さまざまな形態の複数の動作状態またはモードが含まれる場合がある。これらのシステムは、高度に決定論的な特性、厳格なタイミング制約、機能的インターロック、および故障の深刻なまたは壊滅的な結果を有する。
・Development of a system of systems  ・システム・オブ・システムの開発
The engineering effort occurs across a set of constituent systems, each with its own stakeholders, primary purpose, and planned evolution. The composition of the constituent systems into a system of systems as noted in [9] produces a capability that would otherwise be difficult or impractical to achieve. This effort can occur across a variety of system of systems from a relatively informal, unplanned system of systems concept and evolution that emerges over time via voluntary participation to a more formal execution with the most formal being a system of systems concept that is directed, structured, planned, and achieved via a centrally managed engineering effort. Any resulting emergent behavior often introduces opportunities and additional challenges for systems security engineering.  エンジニアリング作業は、それぞれが利害関係者、主要目的、および計画された進化を持つ一連の構成システムにわたって行われる。[9]で述べたように、構成システムをシステムオブシステムとして構成することで、他の方法では実現が困難または非現実的な能力が生み出される。この努力は、自発的な参加によって時間をかけて出現する比較的非公式で無計画なシステムコンセプトと進化から、最も正式なシステムコンセプトは、中央管理のエンジニアリング努力によって指示、構造化、計画、達成されるシステムオブシステムであり、より正式な実行まで、様々なシステムオブシステムで起こりうるものである。その結果生じるいかなる創発的行動も、しばしばシステムセキュリティ工学に機会と新たな課題をもたらす。
1.2.  Target Audience  1.2.  対象読者 
This publication is intended for systems engineers, security engineers, and other engineering professionals. The term systems security engineer is used to include systems engineers and security professionals who apply the concepts and principles and perform the activities and tasks described in this publication.[8] This publication can also be used by professionals who perform other system life cycle activities or tasks, including:  本書は、システムエンジニア、セキュリティエンジニア、およびその他のエンジニアリング専門家を対象としている。システムセキュリティエンジニアという用語は、本書に記載された概念と原則を適用し、活動とタスクを実行するシステムエンジニアとセキュリティ専門家を含む意味で使用される[8]。 本書は、以下のような他のシステムライフサイクル活動またはタスクを実行する専門家も使用することができる。
・Individuals with security governance, risk management, and oversight responsibilities  ・セキュリティガバナンス、リスク管理、および監視の責任を有する者
・Individuals with security verification, validation, testing, evaluation, auditing, assessment, inspection, and monitoring responsibilities  ・セキュリティの検証、妥当性確認、テスト、評価、監査、評価、検査、及び、監視を担当する個人
・Individuals with acquisition, budgeting, and project management responsibilities  ・取得、予算、及びプロジェクト管理の責任を有する個人
・Individuals with operations, maintenance, sustainment, logistics, and support responsibilities  ・運用、保守、維持、ロジスティクス、サポートに責任を持つ個人
・Providers of technology-related products, systems, or services  ・技術関連製品、システム、またはサービスのプロバイダー
・Educators in academic institutions that offer systems engineering, computer engineering, computer science, software engineering, and computer security programs  ・システムエンジニアリング、コンピュータエンジニアリング、コンピュータサイエンス、ソフトウェアエンジニアリング、コンピュータセキュリティプログラムを提供する学術機関の教育者
1.3.  How to Use this Publication  1.3.  本書の使用方法 
This publication is intended to serve as a reference and educational resource for systems engineers, engineering specialties, architects, designers, and any individuals involved in the development of trustworthy secure systems and system components. It is meant to be flexible in its application to meet the diverse needs of organizations. There is no expectation that all of the technical content in this publication will be used as part of a systems engineering effort. Rather, the concepts and principles for trustworthy secure design in Appendices D through F as well as the systems life cycle processes and security-relevant activities and tasks in Appendices G through K can be selectively employed by organizations – relying on the experience and expertise of the engineering teams to determine what is correct for their purposes. Applying the content of this publication enables the achievement of security outcomes that are consistent with the systems engineering perspective on system life cycle processes.  本書は、システムエンジニア、専門技術者、建築家、設計者、および信頼性の高いセキュアシステムとシステムコンポーネントの開発に携わるすべての人のための参考および教育リソースとして機能することを意図している。本書は、組織の多様なニーズに対応するために柔軟に適用されることを意図している。本書の技術的内容のすべてが、システムエンジニアリングの一環として使用されることを期待するものではない。むしろ、附属書D〜Fの信頼性の高い安全設計のための概念と原則、および附属書G〜Kのシステムライフサイクルプロセスとセキュリティ関連の活動やタスクは、組織が選択的に採用できるものである。本書の内容を適用することで、システムライフサイクルプロセスに関するシステム工学の視点と一致するセキュリ ティ成果を達成することができる。
The system life cycle processes described in this publication can take advantage of any system or software development methodology. The processes are equally applicable to waterfall, spiral, DevOps, agile, and other approaches. The processes can be applied recursively, iteratively, concurrently, sequentially, or in parallel and to any system regardless of its size, complexity, purpose, scope, operational environment, or special nature. The full extent of the application of the content in this publication is guided by stakeholder capability needs, protection needs, and concerns with particular attention paid to considerations of cost, schedule, and performance.  本書で説明するシステムライフサイクルプロセスは、あらゆるシステムまたはソフトウェア開発手法を活用することができる。このプロセスは、ウォーターフォール、スパイラル、DevOps、アジャイル、その他のアプローチにも同様に適用可能である。プロセスは、再帰的、反復的、同時進行、順次、または並行して、その規模、複雑さ、目的、範囲、運用環境、または特殊性にかかわらず、あらゆるシステムに適用することができる。本書の内容をどの程度適用するかは、利害関係者の能力ニーズ、保護ニーズ、およびコスト、スケジュール、性能の考慮事項に特に注意を払いながら決定される。
1.4.  Organization of this Publication  1.4.  本書の構成 
The remainder of this publication is organized as follows:  本書の構成は以下の通りである。
・Chapter 2 presents an overview of systems engineering and the fundamental concepts associated with engineering trustworthy secure systems. This includes basic concepts that address the structure and types of systems, systems engineering foundations, and the concepts of trust and trustworthiness of systems and system components.  ・第2章では、システムズエンジニアリングの概要と、信頼性の高い安全なシステムのエンジニアリングに関連する基本的な概念 を示す。これには、システムの構造と種類、システム工学の基礎、システム及びシステム構成要素の信頼と信頼性の概念に対応する基本的な概念が含まれる。
・Chapter 3 describes foundational system security concepts and an engineering perspective to building trustworthy secure systems. This includes the concepts of security and system security, the nature and character of systems, the concepts of assets and asset loss, reasoning about asset loss, defining protection needs, system security viewpoints, demonstrating system security, and an introduction to systems security engineering.  ・第3章では、システムセキュリティの基礎的な概念と、信頼性の高い安全なシステムを構築するための工学的な視点について説明する。これには、セキュリティとシステムセキュリティの概念、システムの性質と特徴、資産と資産損失の概念、資産損失の推論、保護ニーズの定義、システムセキュリティの視点、システムセキュリティの実証、システムセキュリティ工学の紹介が含まれる。
・Chapter 4 provides a systems security engineering framework that includes a problem context, solution context, and trustworthiness context.  ・第4章では、問題の背景、解決策の背景、信頼性の背景を含む、システムセキュリティ工学の枠組みを提供している。
The following sections provide additional information to support the engineering of trustworthy secure systems:  以下の章では、信頼性の高い安全なシステムの設計を支援するための追加情報を提供する。
・References  ・参考文献
・Appendix A: Glossary  ・附属書A: 用語集
・Appendix B: Acronyms  ・附属書B: 頭字語
・Appendix C: Security Policy and Requirements  ・附属書C: セキュリティポリシーと要求事項
・Appendix D: Trustworthy Secure Design  ・附属書D: 信頼性の高いセキュアな設計
・Appendix E: Principles for Trustworthy Secure Design     ・附属書E: 信頼性の高いセキュアな設計のための原則
・Appendix F: Trustworthiness and Assurance  ・附属書F: 信頼性と保証
・Appendix G: System Life Cycle Processes Overview  ・附属書G: システムライフサイクルプロセスの概要
・Appendix H: Technical Processes  ・附属書H: 技術プロセス
・Appendix I: Technical Management Processes  ・附属書I: 技術管理プロセス
・Appendix J: Organizational Project-Enabling Processes  ・附属書J: プロジェクトを実現するための組織的プロセス
・Appendix K: Agreement Processes  ・附属書K: 契約プロセス
・Appendix L: Change Log  ・附属書L: 変更履歴
ENGINEERING-DRIVEN SOLUTIONS  エンジニアリング主導のソリューション 
The effectiveness of any engineering discipline first requires a thorough understanding of the problem and consideration of all feasible solutions before acting to solve the identified problem. To maximize the effectiveness of systems security engineering, the security requirements for the protection against asset loss must be driven by business, mission, and all other stakeholder asset loss concerns. The security requirements are defined and managed as a well-defined set of engineering requirements and cannot be addressed independently or after the fact.  どのようなエンジニアリング分野でも、その有効性を高めるには、まず問題を徹底的に理解し、特定された問題を解決するために行動する前に、実現可能なすべての解決策を検討することが必要である。システムセキュリティエンジニアリングの効果を最大にするためには、資産損失から保護するためのセキュリティ要件が、ビジネス、ミッション、その他すべての利害関係者の資産損失に関する懸念によって推進される必要がある。セキュリティ要件は、明確に定義されたエンジニアリング要件のセットとして管理され、独立して、あるいは事後的に対処することはできない。
In the context of systems security engineering, the term protection has a broad scope and is primarily focused on the concept of assets and asset loss resulting in unacceptable consequences. The protection capability provided by a system goes beyond prevention and aims to control the events, conditions, and consequences that constitute asset loss. It is achieved in the form of the specific capability and constraints on system architecture, design, function, implementation, construction, selection of technology, methods, and tools and must be “engineered in” as part of the system life cycle process.  システムセキュリティ工学の文脈では、保護という用語は広い範囲を持ち、主に資産と許容できない結果をもたらす資産損失の概念に焦点が当てられている。システムが提供する保護機能は、予防を超え、資産損失を構成する事象、条件、結果を制御することを目的としている。それは、システムのアーキテクチャ、設計、機能、実装、構築、技術の選択、方法、ツールに関する特定の能力及び制約という形で達成され、システムのライフサイクルプロセスの一部として「組み込まれる」必要がある。
Understanding stakeholder asset protection needs (including assets that they own and assets that they do not own but must protect) and expressing those needs through a set of well-defined security requirements is an investment in the organization’s mission and business success in the modern age of global commerce, powerful computing systems, and network connectivity.  利害関係者の資産保護ニーズ(所有する資産と所有しないが保護すべき資産を含む)を理解し、明確に定義された一連のセキュリティ要件を通じてそのニーズを表現することは、グローバルな商取引、強力なコンピュータシステム、ネットワーク接続の現代において、組織のミッションとビジネスの成功への投資である。
[1] A system is an arrangement of parts or elements that exhibit a behavior or meaning that the individual constituents do not [3]. The elements that compose a system include hardware, software, data, humans, processes, procedures, facilities, materials, and naturally occurring entities [4]. [1] システムとは、個々の構成要素にはない動作や意味を示す部品や要素の配置のことである [3]。システムを構成する要素には、ハードウェア、ソフトウェア、データ、人間、プロセス、手順、施設、材料、自然発生的なエンティティが含まれる[4]。
[2] The term technology is used in the broadest context in this publication to include computing, communications, and information technologies, as well as any mechanical, hydraulic, pneumatic, or structural components in systems that contain or are enabled by such technologies. This view of technology provides an increased recognition of the digital, computational, and electronic machine-based foundation of modern complex systems and the growing importance of an assured trustworthiness of that foundation in providing the system’s functional capability and interaction with its physical machine and human system elements. [2] 本書では、コンピュータ、通信、情報技術に加え、機械、油圧、空圧、構造物など、これらの技術を含む、またはこれらの技術によって実現されるシステムを含む広い意味で技術という用語を使用する。このような技術の見方は、現代の複雑なシステムのデジタル、計算及び電子機械ベースの基盤、並びにシステムの機能的能力及び物理的機械及び人間のシステム要素との相互作用を提供する上で、その基盤の確実な信頼性の重要性が増していることを認識させるものである。
[3] The term adversity refers to those conditions that can cause asset loss (e.g., threats, attacks, vulnerabilities, hazards, disruptions, and exposures). [3] adversityという用語は、資産の損失を引き起こす可能性のある条件(例えば、脅威、攻撃、脆弱性、ハザード、混乱、露出など)を指す。
[4] The phrasing used in this definition of security is intentional. Ross Anderson noted in [5] that “now that everything’s acquiring connectivity, you can’t have safety without security, and these ecosystems are emerging.” Reflecting on this observation, the security definition was chosen to achieve alignment with a prevailing safety definition. [4] このセキュリティの定義で使われている言い回しは意図的なものである。ロス・アンダーソンは[5]で、"あらゆるものが接続性を獲得している今、セキュリティなしに安全を得ることはできず、これらの生態系が出現している "と指摘している。この観察を反映し、セキュリティの定義は、一般的な安全の定義との整合性を達成するために選択された。
[5] Adapted from [6]. [5] [6]より引用。
[6] Increasing the trustworthiness of systems is a significant undertaking that requires a substantial investment in the requirements, architecture, design, and development of systems, system components, applications, and networks. The policy in [8] requires federal agencies to implement the systems security engineering principles, concepts, techniques, and system life cycle processes in this publication for all high-value assets. [6] システムの信頼性を高めることは、システム、システムコンポーネント、アプリケーション、及びネットワークの要件、アーキテクチャ、設計、及び開発に多大な投資を必要とする重要な事業である。[8]の方針は、連邦政府機関に対し、すべての高価値資産に対し、本書のシステムセキュリティ工学の原則、概念、技術、およびシステムライフサイクルプロセスを実施することを求めている。
[7] There is a growing need to reuse or leverage system implementation successes within operational environments that are different from how they were originally designed and developed. This type of reuse or reimplementation of systems within other operational environments is more efficient and represents potential advantages in maximizing interoperability between various system implementations. It should be noted that reuse may violate the assumptions used to determine that a system or system component was trustworthy.  [7] 当初の設計・開発方法とは異なる運用環境において、システム実装の成功事例を再利用または活用する必要性が高まっている。このような再利用や他の運用環境でのシステムの再実装は、より効率的であり、様々なシステム実装間の相互運用性を最大化する上で潜在的な利点を示すものである。再利用は、システムまたはシステムコンポーネントが信頼性の高いと判断するために使用された仮定に違反する可能性があることに留意すべきである。
[8] Systems security engineering activities and tasks can be applied to a mechanism, component, system element, system, system of systems, processes, or organizations. Regardless of the size or complexity of the entity, a transdisciplinary systems engineering team is needed to deliver systems that are trustworthy and that satisfy the protection needs and concerns of stakeholders. The processes are intended to be tailored to facilitate effectiveness.  [8] システムセキュリティ工学の活動及び作業は、メカニズム、コンポーネント、システム要素、システム、システムシステム、プロセス、または組織に適用することができる。事業体の規模や複雑さに関係なく、信頼性が高く、利害関係者の保護ニーズと懸念を満たすシステムを提供するためには、学際的なシステムエンジニアリングチームが必要である。このプロセスは、有効性を促進するために調整されることを意図している。

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.01.21 NIST SP 800-160 Vol.1 Rev.1 (ドラフト) 信頼性の高いセキュアなシステムの構築 at 2022.01.11

・2021.08.07 SP 800-160 Vol. 2 Rev. 1 (Draft) サイバーレジリエントなシステムの開発:システムセキュリティ・エンジニアリング・アプローチ

 

| | Comments (0)

NIST SP 800-188(ドラフト)政府データセットの非識別化(ドラフト第3版)(2022.11.15)

こんにちは、丸山満彦です。

NISTが、SP 800-188(ドラフト)政府データセットの非識別化(ドラフト第3版)を公表していますね。ドラフト第2版から、6年の時を経ての更新です。。。

差分プライバシーは今後ということで、非識別の話が中心のようです。。。

 

NIST - ITL

・2022.11.15 SP 800-188 (Draft) De-Identifying Government Data Sets (3rd Draft)

 

SP 800-188 (Draft) De-Identifying Government Data Sets (3rd Draft) SP 800-188(ドラフト)政府データセットの非識別化(ドラフト第3版)
Announcement 発表
De-identification removes identifying information from a data set so that the remaining data cannot be linked to specific individuals. Government agencies can use de-identification to reduce the privacy risks associated with collecting, processing, archiving, distributing, or publishing government data. Previously, NIST published NIST Internal Report (IR) 8053, De-Identification of Personal Information, which provided a survey of de-identification and re-identification techniques. This document provides specific guidance to government agencies that wish to use de-identification. 非識別化とは、データセットから識別情報を削除し、残りのデータを特定の個人にリンクできないようにすることである。政府機関は、識別情報の削除を利用して、政府データの収集、処理、保管、配布、または公開に関連するプライバシーリスクを軽減することができる。以前、NIST は NIST Internal Report (IR) 8053「個人情報の非識別化」を発行し、非識別化および再識別化技術の調査結果を提供した。本書は、非識別化を使用することを希望する政府機関に対する具体的なガイダンスを提供するものである。
Six years have passed since NIST released the second draft of SP 800-188. During this time, there have been significant developments in privacy technology, specifically in the theory and practice of differential privacy. While this draft reflects some of those advances, it remains focused on de-identification, as differential privacy is still not sufficiently mature to be used by many government agencies. Where appropriate, this document cautions users about the inherent limitations of de-identification when compared to formal privacy methods, such as differential privacy. NIST が SP 800-188 の第 2 ドラフトを発表してから 6 年が経過した。この間、プライバシー技術、特に差分プライバシーの理論と実践に大きな進展があった。このドラフトは、それらの進歩の一部を反映しているが、差分プライバシーが多くの政府機関によって使用されるにはまだ十分に成熟していないため、依然として非識別に焦点を合わせている。適切な場合、本書は、差分プライバシーなどの正式なプライバシー手法と比較した場合、非識別化の固有の限界についてユーザーに注意を促している。
Abstract 概要
De-identification is a process that is applied to a dataset with the goal of preventing or limiting informational risks to individuals, protected groups, and establishments while still allowing for meaningful statistical analysis. Government agencies can use de-identification to reduce the privacy risk associated with collecting, processing, archiving, distributing, or publishing government data. Previously, NISTIR 8053, De-Identification of Personal Information, provided a survey of de-identification and re-identification techniques. This document provides specific guidance to government agencies that wish to use de-identification. Before using de-identification, agencies should evaluate their goals for using de-identification and the potential risks that de-identification might create. Agencies should decide upon a de-identification release model, such as publishing de-identified data, publishing synthetic data based on identified data, or providing a query interface that incorporates de-identification. Agencies can create a Disclosure Review Board to oversee the process of de-identification. They can also adopt a de-identification standard with measurable performance levels and perform re-identification studies to gauge the risk associated with de-identification. Several specific techniques for de-identification are available, including de-identification by removing identifiers and transforming quasi-identifiers and the use of formal privacy models. People performing de-identification generally use special-purpose software tools to perform the data manipulation and calculate the likely risk of re-identification. However, not all tools that merely mask personal information provide sufficient functionality for performing de-identification. This document also includes an extensive list of references, a glossary, and a list of specific de-identification tools, which is only included to convey the range of tools currently available and is not intended to imply a recommendation or endorsement by NIST. 非識別化とは、個人、保護されたグループ、および事業体に対する情報リスクを防止または制限する一方で、意味のある統計分析を可能にすることを目的としてデータセットに適用されるプロセスである。政府機関は、政府データの収集、処理、アーカイブ、配布、または公開に関連するプライバシーリスクを低減するために、非識別化を使用することができる。以前、NISTIR 8053「個人情報の非識別化」では、非識別化および再識別化技術の調査結果を提供した。本書では、非識別化を使用することを希望する政府機関に対する具体的なガイダンスを提供する。非識別化を使用する前に、政府機関は非識別化の使用目的と非識別化によって生じる可能性のあるリスクを評価する必要がある。機関は、非識別化データの公開、識別されたデータに基づく合成データの公開、または非識別化を組み込んだクエリーインターフェースの提供など、非識別化公開モデルを決定する必要がある。機関は、非識別化プロセスを監督するための開示審査委員会(Disclosure Review Board)を設立することができる。また、測定可能なパフォーマンス・レベルを持つ非識別化標準を採用し、非識別化に関連するリスクを評価するために再識別化調査を実施することもできる。識別子の除去、準識別子の変換による識別解除、正式なプライバシーモデルの使用など、識別解除のためのいくつかの特定の技術が利用可能である。一般に、非識別化を行う人々は、データ操作を行い、再識別化の可能性が高いリスクを計算するために、特別な目的のソフトウェア・ツールを使用する。しかし、個人情報を単にマスクするだけのツールのすべてが、非識別化の実行に十分な機能を備えているわけではない。本書には、広範な参考文献のリスト、用語集、および特定の非識別化ツールのリストも含まれているが、これは現在利用可能なツールの範囲を伝えるためにのみ含まれており、NISTによる推奨または推奨を意味するものではない。

 

・[PDF] SP 800-188 (Draft)

20221120-51903_20221120052001

 

目次...

Executive Summary エグゼクティブサマリー
1. Introduction 1. はじめに
1.1. Document Purpose and Scope 1.1. 文書の目的および範囲
1.2. Intended Audience 1.2. 対象読者
1.3. Organization 1.3. 組織
2. Introducing De-Identifcation 2. 非識別化技術の導入
2.1. Historical Context 2.1. 歴史的背景
2.2. Terminology 2.2. 用語解説
3. Governance and Management of Data De-Identifcation 3. データ非識別化のガバナンスと管理
3.1. Identifying Goals and Intended Uses of De-Identifcation 3.1. 識別解除の目的と用途の特定
3.2. Evaluating Risks that Arise from De-Identifed Data Releases 3.2. 非識別加工されたデータの公開によって生じるリスクの評価
3.2.1. Probability of Re-Identifcation 3.2.1. 再識別の確率
3.2.2. Adverse Impacts of Re-Identifcation 3.2.2. 再識別による悪影響
3.2.3. Impacts Other Than Re-Identifcation 3.2.3. 再識別以外の影響
3.2.4. Remediation 3.2.4. 修復
3.3. Data Life Cycle 3.3. データのライフサイクル
3.4. Data-Sharing Models 3.4. データ共有モデル
3.5. The Five Safes 3.5. 5つの安全
3.6. Disclosure Review Boards 3.6. 開示審査委員会
3.7. De-Identifcation Standards 3.7. 非識別化基準
3.7.1. Benefts of Standards 3.7.1. 標準のメリット
3.7.2. Prescriptive De-Identifcation Standards 3.7.2. 規範的非識別化標準
3.7.3. Performance-Based De-Identifcation Standards 3.7.3. パフォーマンスベースの非識別化標準
3.8. Education, Training, and Research 3.8. 教育、トレーニング、及び研究
3.9. Defense in Depth 3.9. 多重防御
3.9.1. Encryption and Access Control 3.9.1. 暗号化とアクセス制御
3.9.2. Secure Computation 3.9.2. 安全な計算
3.9.3. Trusted Execution Environments 3.9.3. 信頼された実行環境
3.9.4. Physical Enclaves 3.9.4. 物理的領域
4. Technical Steps for Data De-Identifcation 4. データ非識別化のための技術的ステップ
4.1. Determine the Privacy, Data Usability, and Access Objectives 4.1. プライバシー、データの使いやすさ、アクセスの目的の決定
4.2. Conducting a Data Survey 4.2. データ調査の実施
4.3. De-Identifcation by Removing Identifers and Transforming Quasi-Identifers 4.3. 識別子の削除と擬似識別子の変換による脱識別子化
4.3.1. Removing or Transforming of Direct Identifers 4.3.1. 直接識別子の除去または変換
4.3.2. Special Security Note Regarding the Encryption or Hashing of Direct Identifers 4.3.2. 直接識別子の暗号化またはハッシュ化に関する特別なセキュリティ上の注意点
4.3.3. De-Identifying Numeric Quasi-Identifers 4.3.3. 数的擬似識別子の非識別化
4.3.4. De-Identifying Dates 4.3.4. 日付の非識別化
4.3.5. De-Identifying Geographical Locations and Geolocation Data 4.3.5. 地理的位置と地理的位置データの非識別化
4.3.6. De-Identifying Genomic Information 4.3.6. ゲノム情報の非識別化
4.3.7. De-Identifying Text Narratives and Qualitative Information 4.3.7. テキストの語りと質的情報の非識別化
4.3.8. Challenges Posed by Aggregation Techniques 4.3.8. 集計技術がもたらす課題
4.3.9. Challenges Posed by High-Dimensional Data 4.3.9. 高次元データがもたらす課題
4.3.10. Challenges Posed by Linked Data 4.3.10. リンクデータの課題
4.3.11. Challenges Posed by Composition 4.3.11. 合成による課題
4.3.12. Potential Failures of De-Identifcation 4.3.12. 非識別化の潜在的な失敗
4.3.13. Post-Release Monitoring 4.3.13. リリース後のモニタリング
4.4. Synthetic Data 4.4. 合成データ
4.4.1. Partially Synthetic Data 4.4.1. 部分合成データ
4.4.2. Test Data 4.4.2. テストデータ
4.4.3. Fully Synthetic Data 4.4.3. 完全合成データ
4.4.4. Synthetic Data with Validation 4.4.4. 検証付き合成データ
4.4.5. Synthetic Data and Open Data Policy 4.4.5. 合成データとオープンデータポリシー
4.4.6. Creating a Synthetic Dataset with Diferential Privacy 4.4.6. 差分プライバシーを持つ合成データセットの作成
4.5. De-Identifying with an Interactive Query Interface 4.5. インタラクティブなクエリ・インターフェイスによる識別の解除
4.6. Validating a De-Identifed Dataset 4.6. 非識別化データセットの検証
4.6.1. Validating Data Usefulness 4.6.1. データの有用性の検証
4.6.2. Validating Privacy Protection 4.6.2. プライバシー保護の検証
4.6.3. Re-Identifcation Studies 4.6.3. 再認識のための調査
5. Software Requirements, Evaluation, and Validation 5. ソフトウェア要件、評価、検証
5.1. Evaluating Privacy-Preserving Techniques 5.1. プライバシー保護技術の評価
5.2. De-Identifcation Tools 5.2. 個人認証解除ツール
5.2.1. De-Identifcation Tool Features 5.2.1. 身元確認ツールの特徴
5.2.2. Data Provenance and File Formats 5.2.2. データプロベナンスとファイルフォーマット
5.2.3. Data Masking Tools 5.2.3. データマスキングツール
5.3. Evaluating De-Identifcation Software 5.3. 非識別化ソフトウェアの評価
5.4. Evaluating Data Accuracy 5.4. データ精度の評価
6. Conclusion 6. まとめ
References 参考文献
Appendix A. Standards 附属書A. 標準
A.1. NIST Publications A.1. NISTの出版物
A.2. Other U.S. Government Publications A.2. その他の米国政府出版物
Selected Publications by Other Governments その他の政府出版物(抜粋
Reports and Books レポートと書籍
How-To Articles ハウツー記事
Appendix B. List of Symbols, Abbreviations, and Acronyms 附属書B. 記号、略語、頭字語のリスト
Appendix C. Glossary 附属書C. 用語集

 

エグゼクティブサマリー...

Executive Summary  エグゼクティブサマリー 
Every federal agency creates and maintains internal datasets that are vital for fulflling its mission. The Foundation for Evidence-based Policymaking Act of 2018 [2] mandates that agencies also collect and publish their government data in open, machine-readable formats, when it is appropriate to do so. Agencies can use de-identifcation to make government datasets available while protecting the privacy of the individuals whose data are contained within those datasets.  すべての連邦政府機関は、その使命を果たすために不可欠な内部データセットを作成し、維持している。2018年のFoundation for Evidence-based Policymaking Act [2]は、政府機関も、そうすることが適切な場合、政府データをオープンな機械可読形式で収集し、公開することを義務付けている。政府機関は、データセットに含まれる個人のプライバシーを保護しながら、政府データセットを利用できるようにするために、個人識別情報の削除を使用することができる。
Many Government documents use the phrase personally identifable information (PII) to describe private information that can be linked to an individual [62, 79], although there are a variety of defnitions for PII. As a result, it is possible to have information that singles out individuals but that does not meet a specifc defnition of PII. This document therefore presents ways of removing or altering information that can identify individuals that go beyond merely removing PII.  多くの政府文書では、個人にリンクできる個人情報を記述するために個人識別情報(PII) という語句が使用されているが[62, 79]、PIIにはさまざまな定義がある。その結果、個人を特定できる情報であっても、PIIの明確な定義に当てはまらない場合もあり得る。そこで、本書では、単なるPIIの削除にとどまらず、個人を特定できる情報を削除・変更する方法を提示する。
For decades, de-identifcation based on simply removing of identifying information was thought to be suffcient to prevent the re-identifcation of individuals in large datasets. Since the mid 1990s, a growing body of research has demonstrated the reverse, resulting in new privacy attacks capable of re-identifying individuals in “de-identifed” data releases. For several years the goals of such attacks appeared to be the embarrassment of the publishing agency and achieving academic distinction for the privacy researcher [50]. More recently, as high-resolution de-identifed geolocation data has become commercially available, reidentifcation techniques have been used by journalists and activists [100, 140, 70] with the goal of learning confdential information.  何十年もの間、大規模なデータセットにおける個人の再識別を防ぐには、単に識別情報を除去することに基づく識別排除で十分であると考えられてきた。しかし、1990年代半ばから、その逆で、「非識別化」されたデータから個人を再識別することが可能な新たなプライバシー攻撃が出現していることが、多くの研究によって明らかにされている。数年間、このような攻撃の目的は、出版社を困らせることと、プライバシー研究者の学術的な栄誉を獲得することであったように思われる[50]。より最近では、高解像度の非識別化されたジオロケーションデータが商業的に利用可能になったため、再識別化技術がジャーナリストや活動家によって、機密情報を知る目的で使用されている[100, 140, 70]。
These attacks have become more sophisticated in recent years with the availability of geolocation data, highlighting the defciencies in traditional Formal models of privacy, like k-anonymity [122] and differential privacy, [39] use mathematically rigorous approaches that are designed to allow for the controlled use of confdential data while minimizing the privacy loss suffered by the data subjects. Because there is an inherent trade-off between the accuracy of published data and the amount of privacy protection afforded to data subjects, most formal methods have some kind of parameter that can be adjusted to control the “privacy cost” of a particular data release. Informally, a data release with a low privacy cost causes little additional privacy risk to the participants, while a higher privacy cost results in more privacy risk. When they are available, formal privacy methods shoudl be preferred over informal, ad hoc methods.  これらの攻撃は近年ジオロケーションデータが利用可能になるにつれてより巧妙になり、k-匿名性[122]や差分プライバシー[39]などの従来の形式のプライバシーモデルの欠点を浮き彫りにしている。このモデルは、データ対象が被るプライバシー損失を最小限に抑えながら機密データの利用を制御できるように設計された数学的に厳密なアプローチである。公表されるデータの正確さとデータ対象者に与えられるプライバシー保護の量との間には本質的なトレードオフがあるため、ほとんどの形式的手法は、特定のデータ公表の「プライバシーコスト」を制御するために調整できるある種のパラメータを備えている。非公式には、プライバシーコストが低いデータ公開は参加者に追加のプライバシーリスクをほとんど与えず、逆にプライバシーコストが高い場合はプライバシーリスクが高くなる。利用可能な場合は、非公式のその場しのぎの方法よりも正式なプライバシー保護方法が好まれるはずである。
Decisions and practices regarding the de-identifcation and release of government data can be integral to the mission and proper functioning of a government agency. As such, an agency’s leadership should manage these activities in a way that assures performance and results in a manner that is consistent with the agency’s mission and legal authority. One way that agencies can manage this risk is by creating a formal Disclosure Review Board (DRB) that consists of legal and technical privacy experts, stakeholders within the organization, and representatives of the organization’s leadership. The DRB evaluated applications for data release that describe the confdential data, the techniques that will be used to minimize the risk of disclosure, the resulting protected data, and how the effectiveness of those techniques will be evaluated.  政府データの非識別化および公開に関する意思決定および慣行は、政府機関の使命および適切な機能にとって不可欠なものである場合がある。そのため、機関の指導者は、機関の使命および法的権限と一致する方法で、パフォーマンスと結果を保証する方法でこれらの活動を管理する必要がある。政府機関がこのリスクを管理する方法の一つは、法律および技術的なプライバシーの専門家、組織内の利害関係者、および組織の指導者の代表からなる正式な開示審査委員会(DRB)を設置することである。DRBは、機密データ、開示のリスクを最小化するために使用される技術、結果として得られる保護データ、およびこれらの技術の有効性を評価する方法について記述したデータ開示申請書を評価する。
Establishing a DRB may seem like an expensive and complicated administrative undertaking for some agencies. However, a properly constituted DRB and the development of consistent procedures regarding data release should enable agencies to lower the risks associated with each data release, which is likely to save agency resources in the long term.  DRBを設立することは、機関によっては高価で複雑な管理業務に思えるかもしれません。しかし、適切に構成されたDRBとデータ公開に関する一貫した手順の開発により、各データ公開に関連するリスクを低減することができ、長期的には機関のリソースを節約できる可能性が高くなるはずである。
Agencies can create or adopt standards to guide those performing de-identifcation, and regarding regarding the accuracy of de-identifed data. If accuracy goals exist, then techniques such as differential privacy can be used to make the data suffciently accurate for the intended purpose but not unnecessarily more accurate, which can limit the amount of privacy loss. However, agencies must carefully choose and implement accuracy requirements.  機関は、非識別化を行う人、および非識別化データの精度に関するガイドとなる基準を作成または採用することができる。正確さの目標がある場合、差分プライバシーなどの技術を使用して、意図された目的に対して十分な正確さを持ちながら、不必要に正確さを上げないようにデータを作成し、プライバシー損失の量を制限することができる。しかし、機関は精度要件を慎重に選択し、実施しなければならない。
If data accuracy and privacy goals cannot be well-maintained, then releases of data that are not suffciently accurate can result in incorrect scientifc conclusions and policy decisions.  データの正確さとプライバシーの目標が十分に維持できない場合、十分に正確でないデータを公開すると、科学的な結論や政策決定が不正確になる可能性がある。
Agencies should consider performing de-identifcation with trained individuals using software specifcally designed for the purpose. While it is possible to perform de-identifcation with off-the-shelf software like a commercial spreadsheet or fnancial planning program, such programs typically lack the key functions required for proper de-identifcation. As a result, they may encourage the use of simplistic de-identifcation methods, such as deleting sensitive columns and manually searching and removing data that appears sensitive. This may result in a dataset that appears de-identifed but that still contain signifcant disclosure risks.  機関は、訓練を受けた個人が、この目的のために特別に設計されたソフトウェアを使用して、識別情報の除去を行うことを検討すべきである。市販のスプレッドシートや財務計画プログラムのような市販のソフトウェアで個人識別情報の除去を行うことは可能ですが、そのようなプログラムには一般的に適切な個人識別情報の除去に必要な主要機能が欠けている。その結果、機密性の高い列を削除したり、機密性が高いと思われるデータを手作業で検索して削除するなど、単純化された個人識別情報の除去方法の使用が推奨される場合がある。その結果、一見個人を特定できないように見えるデータセットであっても、重大な開示リスクを含んでいる可能性がある。
Finally, different countries have different standards and policies regarding the defnition and use of de-identifed data. Information that is regarded as de-identifed in one jurisdiction may be regarded as being identifable in another.   最後に、国によって、非識別化データの定義と使用に関する基準や方針は異なる。ある法域で非識別化されたとみなされる情報が、別の法域では識別可能であるとみなされることがある。 

 

 

| | Comments (0)

NIST NISTIR 8409 共通脆弱性評点システムの基礎評点の計算式の測定 (2022.11.15)

こんにちは、丸山満彦です。

意見募集をしていた、NISTIR 8409 共通脆弱性評点システムの基礎評点の計算式の測定が確定のようですね。。。

 

● NIST - ITL

・2022.11.15 NISTIR 8409 Measuring the Common Vulnerability Scoring System Base Score Equation

 

NISTIR 8409 Measuring the Common Vulnerability Scoring System Base Score Equation NISTIR 8409 共通脆弱性評点システムの基礎評点の計算式の測定
Abstract 概要
This work evaluates the validity of the Common Vulnerability Scoring System (CVSS) Version 3 "base score" equation in capturing the expert opinion of its maintainers. CVSS is a widely used industry standard for rating the severity of information technology vulnerabilities; it is based on human expert opinion across many sectors and industries. This study is important because the equation design has been questioned since it has features that are both unintuitive and unjustified by the CVSS specification. If one can show that the equation reflects CVSS expert opinion, then that study justifies the equation, and the security community can treat the equation as an opaque box that functions as described. この研究では、共通脆弱性評点システム (CVSS) Version 3の「基礎評点」式が、その保守者の専門的な意見を反映する上で有効であるかどうかを評価する。CVSSは、情報技術の脆弱性の深刻度を評価するための業界標準として広く利用されており、多くの分野や産業における人間の専門的な意見に基づいている。この研究は、CVSSの仕様では直感的でなく、正当化できない特徴を持つ方程式の設計が疑問視されているため、重要である。もし、数式がCVSS専門家の意見を反映していることを示すことができれば、その研究は数式を正当化し、セキュリティコミュニティは数式を説明通りに機能する不透明な箱として扱うことができる。
This work shows that the CVSS base score equation closely -- though not perfectly -- represents the CVSS maintainers' expert opinion. The CVSS specification itself provides a measurement of error called "acceptable deviation" (with a value of 0.5 points). This work measures the distance between the CVSS base scores and the closest consistent scoring systems (ones that completely conform to the recorded expert opinion). The authors calculate that the mean scoring distance is 0.13 points, and the maximum scoring distance is 0.40 points. The acceptable deviation was also measured to be 0.20 points (lower than claimed by the specification). These findings validate that the CVSS base score equation represents the CVSS maintainers' domain knowledge to the extent described by these measurements. この研究は、CVSSの基礎評点の式が、完全ではないものの、CVSSの保守者の専門家の意見を忠実に表していることを示している。CVSS仕様自体は、「許容偏差」(0.5ポイントの値を持つ)と呼ばれる誤差の測定法を提供している。この研究では、CVSSの基礎評点と、最も近い整合性のある評点システム(記録された専門家の意見に完全に適合するもの)との間の距離を測定している。著者らは、平均評点距離は0.13ポイント、最大評点距離は0.40ポイントと計算している。また、許容偏差は0.20ポイントと測定された(仕様で主張されている値より低い)。これらの結果から、CVSSの基礎評点式がCVSS保守者のドメイン知識をこれらの測定値で記述される程度に表していることが検証された。

 

・[PDF] NISTIR 8409

20221120-50144

 

目次...

Executive Summary エグゼクティブサマリー
1.  Introduction 1.  はじめに
2.  Common Vulnerability Scoring System 2.  共通脆弱性評点システ
2.1. CVSS Base Score Metrics 2.1. CVSS 基礎評点の評価基準
2.2. CVSS Base Score Equations 2.2. CVSS 基礎評点の計算式
3.  Rationale for the CVSS Base Score Equations 3.  CVSS基礎評点の算出根拠
3.1. Development of the CVSS Base Score Equation 3.1. CVSS基礎評点評価式の開発
3.2. Acceptable Deviation 3.2. 許容される偏差
4.  Metrology Tools, Metrics, and Algorithms 4.  測定ツール、測定基準、アルゴリズム
4.1. Knowledge Encoder Tool 4.1. ナレッジ・エンコーダ・ツール
4.2. Knowledge Constraint Graphs 4.2. 知識制約グラフ
4.2.1.  Equivalency Sets 4.2.1.  等価集合
4.2.2.  Magnitude Measurements 4.2.2.  マグニチュード測定
4.2.3.  Simplified Graphs 4.2.3.  簡略化されたグラフ
4.3. Inconsistency Metrics for Knowledge Constraint Graphs 4.3. 知識制約グラフの非整合性指標
4.4. Voting Unification Algorithm 4.4. 投票一元化アルゴリズム
4.4.1.  Analysis of Votes 4.4.1.  投票の解析
4.4.2.  Priority Ordering 4.4.2.  優先順位付け
4.4.3.  Unified Graph Construction 4.4.3.  ユニファイドグラフの構築
4.4.4.  Description of Constructed Graph 4.4.4.  構築されたグラフの記述
5.  Data Collection and Processing 5.  データの収集と処理
5.1. Data Set of Analyzied Vectors 5.1. 解析済みベクターのデータセット
5.2. Volunteer Participants 5.2. ボランティア参加者
5.3. Produced Knowledge Constraint Graphs 5.3. 作成された知識制約グラフ
5.4. Knowledge Constraint Graph Inconsistency Measurements 5.4. 知識制約グラフの非整合性測定
5.4.1.  Graph f00 5.4.1.  グラフf00
5.4.2.  Graph 977 5.4.2.  グラフ977
5.5. Unified Knowledge Constraint Graph 5.5. 統合知識制約グラフ
5.6. Optimal Number of Equivalency Sets 5.6. 最適な等価集合の数
6.  Measurement Approach 6.  測定アプローチ
6.1. Consistent Scoring Systems 6.1. 一貫した採点システム
6.1.1.  Scoring System Defnition 6.1.1.  採点システムの定義
6.1.2.  Consistent Scoring System Defnition 6.1.2.  一貫性のある採点システムの定義
6.2. Generation of a Closest Consistent Scoring System 6.2. 最接近型採点システムの生成
6.3. Measurement Methodology 6.3. 測定方法
7.  Measurement Results 7.  測定結果
7.1. Mean Scoring Distance 7.1. 平均得点距離
7.2. Maximum Scoring Distance 7.2. 最大評点距離
7.3. Acceptable Deviation 7.3. 許容偏差
7.4. Increasing Accuracy with More Data 7.4. より多くのデータによる精度の向上
8.  Interpretation of Results and Related Work 8.  結果の解釈と関連する研究
9.  Conclusion 9.  まとめ
References 参考文献
Appendix A. Acronyms 附属書A. 頭字語
Appendix B. Set of Evaluated CVSS vectors 附属書B. 評価済みCVSSベクタの集合
Appendix C. Encoded Knowledge Constraint Graphs 附属書C. 符号化された知識制約グラフ

 

エグゼクティブサマリー...

Executive Summary  エグゼクティブサマリー 
The Common Vulnerability Scoring System (CVSS) Version 3 maintained by the CVSS Special Interest Group (SIG) is a widely used industry standard for characterizing the properties of information technology vulnerabilities and measuring their severity. It is based on human expert opinion. Vulnerability properties are characterized through a multidimensional vector. The severity is primarily defned through a multi-part “base score” equation with 8 input metrics that is not readily amenable to human comprehension.  CVSS Special Interest Group (SIG) によって維持されている 共通脆弱性評点システム (CVSS) Version 3 は、情報技術の脆弱性の特性を特徴付け、その深刻度を測定するために広く使用されている業界標準である。CVSSは、人間の専門家の意見に基づいている。脆弱性の特性は、多次元ベクトルによって特徴づけられます。深刻度は、主に8つの入力指標を持つ多部構成の「基礎評点」式によって定義されるが、これは人間の理解には容易ではない。
To develop the equation, CVSS SIG members frst described a set of real vulnerabilities using CVSS vectors and assigned them one of fve severity levels. This created a partial lookup table mapping vectors to severity levels. They then defned a target score range for each severity level and created an equation to attempt to map each vector to a score within the specifed score range. Finally, they reviewed the equation’s scoring of vectors that were not included in the partial lookup table to evaluate the effectiveness of the equation on the full set of possible vectors. Since the equation could not perfectly map vectors to score ranges, the CVSS Version 3.1 specifcation provides a measurement of error (an ‘acceptable deviation’ of 0.5 points). However, suffcient information is not provided to reproduce the experiment.  この方程式を開発するために、CVSS SIGのメンバーはまず、CVSSベクトルを使用して一連の実際の脆弱性を記述し、5段階の深刻度レベルのうちの1つを割り当てた。これにより、ベクターと重要度レベルを対応させた部分的なルックアップテーブルが作成された。次に、各重要度レベルの目標評点範囲を定義し、各ベクトルを指定された評点範囲内の評点に対応付けることを試みる方程式を作成した。最後に、部分ルックアップテーブルに含まれていないベクトルに対する方程式の評点を確認し、可能性のあるすべてのベクトルに対する方程式の有効性を評価した。この方程式はベクターを評点範囲に完全に対応付けることができないため、CVSSバージョン3.1の仕様では、誤差の測定値(0.5ポイントの「許容偏差」)を提供している。しかし、実験を再現するのに十分な情報は提供されていない。
This work measures the degree to which the CVSS base score equation refects CVSS SIG expert domain knowledge while providing a reproducible justifcation for the measurements. It starts not from a set of real vulnerabilities, as the CVSS SIG did, but from a set of 66 vulnerability types (i.e., CVSS vectors) that represent 90 % of the vulnerabilities published by the U.S. National Vulnerability Database. CVSS SIG experts evaluate these vulnerability types and encode their knowledge as constraint graphs; sets of graphs are then unifed using a voting algorithm. These unifed graphs represent sets of consistent scoring systems (mappings of vectors to scores). The consistent scoring system closest to the CVSS Version 3.1 scores was found, and the distance between the scores and the closest consistent scoring system scores was measured. These measurements represent the degree to which the CVSS v3.1 base score equation represents the CVSS SIG expert domain knowledge.  この研究は、CVSS基礎評点の式がCVSS SIG専門家のドメイン知識をどの程度反映しているかを測定し、測定値の再現可能な正当性を提供するものである。CVSS SIGのように実際の脆弱性の集合からではなく、米国の国家脆弱性データベースによって公開された脆弱性の90%を占める66種類の脆弱性(すなわちCVSSベクトル)の集合から出発している。CVSS SIGの専門家はこれらの脆弱性の種類を評価し、その知識を制約グラフとして符号化する。次に、グラフの集合は投票アルゴリズムを用いて単一化される。これらの統一されたグラフは、一貫した採点システム(ベクトルと評点の対応付け)の集合を表している。CVSS Version 3.1の評点に最も近い一貫した採点システムを見つけ、その評点と最も近い一貫した採点システムの評点との間の距離を測定した。これらの測定値は、CVSS v3.1の基礎評点式がCVSS SIG専門家のドメイン知識をどの程度表しているかを表している。
Using this approach, the mean and maximum distance of the CVSS v3.1 scores compared to the closest consistent scoring system scores were measured, and the acceptable deviation was recalculated. Unlike acceptable deviation, the new distance metrics measure the score values themselves separate from the severity levels. Using all 12 CVSS SIG inputs, the mean scoring distance is 0.13 points, the maximum scoring distance is 0.40 points, and the acceptable deviation is 0.20 points. Sets of 11 out of 12 of the inputs were used to calculate precision measurements (i.e., standard deviation).  この方法を用いて、最も近い一貫性のある採点システムの評点と比較したCVSS v3.1評点の平均距離と最大距離が測定され、許容偏差が再計算された。許容偏差とは異なり、新しい距離メトリックは、深刻度レベルとは別に評点値そのものを測定する。12のCVSS SIGインプットすべてを使用した場合、平均評点距離は0.13ポイント、最大評点距離は0.40ポイント、許容偏差は0.20ポイントとなった。12個の入力のうち11個の入力は、精度の測定(すなわち標準偏差)を計算するために使用された。
These fndings validate that the CVSS base score equation functions as described (to the extent described by these measurements), and it represents the encoded CVSS SIG domain knowledge. The measurements support the equation as defned. The security community may use it as an opaque box without understanding the internal functionality.  これらの結果は、CVSS基礎評点の式が(これらの測定値によって記述された範囲内で)記述されたとおりに機能し、符号化されたCVSS SIGドメイン知識を表していることを検証している。測定結果は、定義された方程式をサポートしている。セキュリティコミュニティは、内部機能を理解することなく、不透明な箱としてそれを使用することができる。

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.11.17 CISA ステークホルダー別脆弱性分類 (SSVC) ガイド

・2022.06.11 NIST NISTIR 8409 (ドラフト) 共通脆弱性評点システムの基礎評点の計算式の測定

・2021.04.30 カーネギー大学 ソフトウェア工学研究所が「Stakeholder-Specific Vulnerability Categorization:SSVC 2.0」を発表していますね。。。

昔に遡り。。。

・2010.10.25 IPA 共通脆弱性評価システムCVSS概説

・2007.04.26 JVN は、名称をJP Vendor Status Notes (JVN) から、Japan Vulnerability Notes (JVN) と変更しました

 

 

| | Comments (0)

NIST SP 800-55 Rev. 2 (ドラフト)情報セキュリティ パフォーマンス測定ガイド(初期ワーキング・ドラフト)(2022.11.14)

こんにちは、丸山満彦です。

NISTが、SP 800-55 Rev. 2 (ドラフト)情報セキュリティのパフォーマンス測定ガイド(初期ワーキング・ドラフト)を公表し、意見募集をしていますね。。。

NIST - ITL

・2022.11.14 SP 800-55 Rev. 2 (Draft) Performance Measurement Guide for Information Security (initial working draft)

 

SP 800-55 Rev. 2 (Draft)Performance Measurement Guide for Information Security (initial working draft)  SP 800-55 Rev. 2 (ドラフト)情報セキュリティのパフォーマンス測定ガイド(初期ワーキング・ドラフト)
Announcement 発表
This working draft of SP 800-55 Revision 2 is an annotated outline that will enable further community discussions and feedback. Comments received by the deadline will be incorporated to the extent practicable. NIST will then post a complete public draft of SP 800-55 Rev. 2 for an additional comment period. SP 800-55 Rev.2のこのワーキングドラフトは、コミュニティでの議論やフィードバックを可能にするための注釈付きアウトラインである。期限までに寄せられたコメントは、可能な限り反映される予定である。その後、NISTはSP 800-55 Rev.2の完全な公開ドラフトを投稿し、追加のコメント期間を設ける予定である。
Note to Reviewers レビュアーへの注意事項
We seek input on the changes being proposed to SP 800-55. New sections are noted as new additions to SP 800-55. Many are also marked by a “Note to Reviewer” with a request for feedback. These questions are meant to facilitate discussion and should not discourage input on any other topics within this annotated outline. There are three additional questions for reviewer consideration. These questions are: SP 800-55 に提案されている変更点についての意見を求める。新しいセクションは、SP 800-55 に新たに追加されたものとして記されている。また、その多くには、フィードバックを求める「レビュアーへの注意事項」が記されている。これらの質問は、議論を促進するためのものであり、この注釈付きアウトライン内の他のトピックに関する意見を妨げてはならない。レビュアーが検討するための追加の質問が3つある。これらの質問は以下の通りである。
・CIOs and CISOs: What measurement and metrics guidance would benefit your program? ・CIOとCISO:どのような測定と測定基準のガイダンスがあなたのプログラムに役立つか
・How to best communicate information security measurement needs up and down the organizational structure? ・情報セキュリティ測定のニーズを組織構造の上下に伝えるのに最も適した方法は何か?
・Examples: What kinds of measures and metrics examples or templates could this publication provide that would be helpful in your work? ・例 この出版物は、どのような種類の対策や測定基準の例やテンプレートを提供することができ、あなたの仕事に役立つか?
This working draft also has sections with only minor planned changes marked as “intentionally left out of this review cycle” to allow for readers to focus on the more substantial proposed changes. The Initial Public Draft will include the full proposed text for all sections of the document. Feedback is still welcome on the sections not highlighted in this Initial Working Draft.   このワーキング・ドラフトでは、読者がより実質的な変更案に集中できるように、「このレビューサイクルでは意図的に除外した」と記された、わずかな変更しか予定されていないセクションも含まれている。初回公開ドラフトでは、文書のすべてのセクションについて提案された全文が含まれる予定である。この初回ワーキング・ドラフトで強調されていない部分については、引き続きフィードバックを歓迎する。 
virtual public forum will be held on December 13, 2022, to introduce the working draft of SP 800-55 and highlight the various questions for reviewers within the document through a panel of practitioners across different sectors. 2022年12月13日に仮想パブリックフォーラムを開催し、SP 800-55のワーキングドラフトを紹介し、異なるセクターの実務者のパネルを通じて、文書内のレビュー担当者への様々な質問を強調する予定である。
Abstract 概要
This document provides guidance on how an organization can use metrics to identifies the adequacy of an in-place security controls, policies, and procedures. It provides an approach to help management decide where to invest in additional security protection resources or identify and evaluate nonproductive controls. It explains the metric development and implementation process and how it can also be used to adequately justify security control investments. The results of an effective metric program can provide useful data for directing the allocation of information security resources and should simplify the preparation of performance-related reports. 本書は、組織がどのように評価指標を使用して、実施中のセキュリティ管理、方針、及び手続きの妥当性を識別できるかについての指針を提供する。経営陣がセキュリティ保護リソースの追加投資先を決定したり、非生産的な管理策を特定・評価したりするのに役立つアプローチを提供する。測定基準の開発と実施プロセス、およびセキュリティ管理への投資を適切に正当化するために測定基準をどのように利用できるかを説明する。効果的な評価指標プログラムの結果は、情報セキュリティ資源の配分を指示するための有用なデータを提供し、パフォーマンス関連の報告書の作成を簡素化することができるはずである。

 

・[PDF] SP 800-55 Rev. 2 (Draft)

20221120-44734

 

目次...

1.  Introduction 1.  はじめに
1.1.  Purpose and Scope 1.1.  目的及び範囲
1.2.  Audience 1.2.  対象読者
1.3.  Relation to Other NIST Publications 1.3.  他のNIST出版物との関係
1.4.  Document Organization 1.4.  文書の構成
2.  Information Security Measures Fundamentals 2.  情報セキュリティ対策の基礎
2.1.  Document Conventions 2.1.  文書規則
2.1.1. Terminology 2.1.1. 用語の説明
2.1.2. Definition 2.1.2. 定義
2.2.  Benefits of Using Measures 2.2.  測定値を使用するメリット
2.3.  Critical Success Factors 2.3.  重要成功要因
2.4.  Types of Measures 2.4.  施策の種類
2.4.1. Implementation Measures 2.4.1. 実施施策
2.4.2. Effectiveness/Efficiency Measures 2.4.2. 有効性/効率性対策
2.4.3. Impact Measures 2.4.3. 影響度評価
2.5.  Measurement Considerations 2.5.  測定に関する考慮事項
2.5.1. Organizational Considerations 2.5.1. 組織的な検討
2.5.2. Manageability 2.5.2. 管理性
2.5.3. Data Management Concerns 2.5.3. データ管理に関する懸念
2.5.4. Measurement Quality 2.5.4. 測定品質
2.5.5. Trends and Historical Information 2.5.5. トレンドと履歴情報
2.5.6. Automation of Data Collection 2.5.6. データ収集の自動化
2.6.  Information Security Measurement Program Scope 2.6.  情報セキュリティ測定プログラムの範囲
2.6.1. Individual Information Systems 2.6.1. 個々の情報システム
2.6.2. Enterprise-wide Program 2.6.2. 全社的なプログラム
3.  Information Security Measures Fundamentals 3.  情報セキュリティ対策の基礎
3.1.  Information Security Measurement Program Scope 3.1.  情報セキュリティ対策プログラムの範囲
3.2.  Goals and Objective Definition 3.2.  目標及び目的の定義
3.2.1. Governance and Compliance 3.2.1. ガバナンスとコンプライアンス
3.3.  Information Security Policies, Guidelines, and Procedures Review 3.3.  情報セキュリティ方針、ガイドライン、手順の見直し
3.4.  Information Security Measurement Program Implementation Review 3.4.  情報セキュリティ測定プログラム実施状況の確認
3.5.  Measures Development and Schedules 3.5.  対策の策定及びスケジュール
3.5.1. Measures Development Approach 3.5.1. 測定法開発のアプローチ
3.5.2. Measures Prioritization and Selection 3.5.2. 対策の優先順位付けと選択
3.5.3. Establishing Performance Targets 3.5.3. パフォーマンス目標の設定
3.6.  Defining Evaluation Methods 3.6.  評価方法の定義
3.7.  Measures Development and Schedules 3.7.  施策の策定とスケジュール
3.8.  Feedback Within the Development Process 3.8.  開発プロセスにおけるフィードバック
4.  Information Security Measures Program Implementation 4.  情報セキュリティ対策プログラムの実施
4.1.  Prepare for Data Collection 4.1.  データ収集の準備
4.2.  Collect Data and Analyze Results 4.2.  データ収集と結果の分析
4.2.1. Data Collection and Reporting 4.2.1. データ収集と報告
4.3.  Identify Corrective Actions 4.3.  是正処置の特定
4.4.  Develop a Business Case and Obtain Resources 4.4.  ビジネスケースの作成とリソースの確保
4.5.  Apply Corrective Actions 4.5.  是正措置の適用
References 参考文献
Appendix A. List of Symbols, Abbreviations, and Acronyms 附属書 A. 記号、略語、頭字語のリスト
Appendix B. Glossary 附属書B. 用語集
Appendix C. Change Log 附属書C. 変更履歴

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.02.04 サイバーセキュリティとプライバシーに関する 2021年のNISTの取り組み

 

2008年に発行の現在のバージョン (Rev 1.0) については、IPAで翻訳を公表していますね・・・

IPA - 情報セキュリティ - ... - セキュリティ関連NIST文書

 ・[PDF] SP 800-55 rev.1 情報セキュリティパフォーマンス測定ガイド

| | Comments (0)

2022.11.19

会計検査院 令和3年検査報告(森田検査院長から岸田総理大臣へ) (2022.11.07)

こんにちは、丸山満彦です。

会計検査院が令和3年検査報告を岸田内閣総理大臣にしましたね。検査院長は、私の前職入社時の上司の森田さんです。。。

検査に重点を置く施策

  1. 社会保障
  2. 教育及び科学技術
  3. 公共事業
  4. 防衛
  5. 農林水産業
  6. 環境及びエネルギー
  7. 経済協力
  8. 中小企業
  9. 情報通信(IT)

これからは、もっとテクノロジー目線の検査(森田さんはISACA大阪支部の初期の会員ですからね)とか、サイバーセキュリティの検査も増えるとよいなと思います。。。

検査に重点を置く施策は、昨年度と同じですね。。。

 

会計検査院

・2022.11.07 最新の検査報告

  1. 令和3年度決算検査報告の概要

  2. 令和3年度決算検査報告の本文

  3. 令和3年度決算検査報告の特徴的な案件
  4. [PDF] 会計検査院長談話
  5. [YouTube] 森田会計検査院長が令和3年度決算検査報告について紹介する動画

 


1. 令和3年度決算検査報告の概要

指摘事項は、310件、455億2351万円で、うち不当事項は、265件、104億円3136万円ということのようです。。。

・[PDF] 一括ダウンロード

20221119-05523

 

  1. [PDF] 検査結果の大要

  2. [PDF] 検査の概況

  3. [PDF] 決算の確認

  4. 検査の結果
  5. [PDF] 国の財政等の状況等

 

2. 令和3年度決算検査報告の本文

[PDF] 目次

第1章 検査の概要

 第1節 [PDF] 検査活動の概況
 第2節 [PDF] 検査結果の大要

第2章 [PDF] 決算の確認

第3章 個別の検査結果

 第1節 省庁別の検査結果
 第2節 団体別の検査結果
 第3節 不当事項に係る是正措置等の検査の結果

第4章 国会及び内閣に対する報告並びに国会からの検査要請事項に関する報告等

 第1節 国会及び内閣に対する報告
 第2節 国会からの検査要請事項に関する報告
 第3節 特定検査対象に関する検査状況
 第4節 [PDF] 国民の関心の高い事項等に関する検査状況
 第5節 [PDF] 特別会計財務書類の検査

第5章 [PDF] 会計事務職員に対する検定

第6章 歳入歳出決算その他検査対象の概要

 第1節 [PDF] 検査対象別の概要
 第2節 [PDF] 国の財政等の状況

 


 

3. 令和3年度決算検査報告の特徴的な案件

 

Ⅰ 新型コロナウイルス感染症対策関係経費等に関するもの

 1 新型コロナウイルス感染症対策に関連する各種施策に係る予算の執行状況等
 2 モバイルWi-Fiルータ等の使用状況
 3 新型コロナウイルス感染症対応地方創生臨時交付金による事業の実施
 4 雇用調整助成金等及び休業支援金等の事後確認
 5 Go To トラベル事業における取消料対応費用等の支払
 6 雇用調整助成金の支給額の算定方法
 7 病床確保事業における交付金の過大交付
 8 Go To Eat キャンペーンに係る委託費の算定

Ⅱ 社会保障に関するもの

 9 障害児通所支援事業所における児童指導員等加配加算の算定

Ⅲ 国民生活の安全性の確保に関するもの

 10 社会福祉施設等に整備する非常用設備等の耐震性
 11 防雪柵の設計が適切でなかったもの

Ⅳ 情報通信(IT)に関するもの

 12 生活保護業務における情報提供ネットワークシステムを通じた情報照会の実施状況
 13 DRシステムの活用

Ⅴ 制度・事業の効果等に関するもの

 14 農林水産分野におけるTPP等関連政策大綱に基づく施策の実施状況等

Ⅵ 予算の適正な執行、会計経理の適正な処理等に関するもの

 15 子どもの健康と環境に関する全国調査(エコチル調査)における生化学検査等の業務に係る契約

Ⅶ 資産、基金等のストックに関するもの

16 特定地域中小企業特別資金事業に係る貸付金の規模

Ⅷ その他

17 大口の個人株主等の配当所得に係る確定申告の審理


 

● まるちゃんの情報セキュリティ気まぐれ日記

会計検査院, GAO, NAO等に関する記事...

・2022.11.01 英国 会計監査院 国防のデジタル戦略:初期導入のレビュー

・2022.10.09 米国 GAO ランサムウェア:連邦政府機関は有用な支援を提供しているが、協力体制を改善することができる

・2022.09.27 米国 GAO 遠隔医療:監視を強化し、プロバイダーがプライバシーとセキュリティのリスクについて患者を教育するために必要な行動

・2022.09.26 米国 GAO 情報環境:DODの国家安全保障ミッションに対する機会および脅威 (2022.09.21)

・2022.09.26 米国 GAO 核兵器のサイバーセキュリティ:NNSAはサイバーセキュリティの基礎的なリスクマネジメントを完全に実施すべき

・2022.08.02 米国 GAO 情報技術とサイバーセキュリティ:省庁の法定要件の実施を監視するためのスコアカードの使用

・2022.07.10 米国 GAO 顔認識技術:連邦政府機関の利用と関連するプライバシー保護 (2022.06.29)

・2022.06.25 米国 GAO 来年度 (FY23) の予算要求額は8億1,030万ドル(約1兆700億円)サイバーセキュリティも強化項目

・2022.04.30 米国 GAO ブログ 人工知能は国家安全保障をどう変えるか (2022.04.19)

・2022.04.23 オーストラリア政府機関の年次パフォーマンス報告書の監査-パイロット・プログラム2020-21年

・2022.04.03 米国 GAO 自らのプライバシープログラムを改善し、データ保護の強化をしなければならない by GAOの内部監査部門

・2022.03.29 米国 GAO ブロックチェーン:新たな技術がもたらす利点と課題

・2022.03.29 米国 GAO 2022-2027の戦略計画 (2022.03.15)

・2022.03.29 米国 GAO 政府・社会に影響を与えるトレンド (2022.03.15)

・2022.03.17 英国 会計監査院ブログ 公共分野のサイバーセキュリティに挑む (2022.03.08)

・2022.02.11 米国 GAO 重要インフラ保護:各省庁はサイバーセキュリティガイダンスの採用を評価する必要がある

・2022.02.10 米国 GAOブログ ハッキング事件を機に米国議会と連邦政府機関が今後のサイバーセキュリティリスクを軽減するための取り組みを強化

・2022.01.27 英国 会計検査院 モデルをレビューするためのフレームワーク

・2022.01.17 米国 GAO サイバーセキュリティ:SolarWindsおよびMicrosoft Exchangeのインシデントに対する連邦政府の対応

・2022.01.15 英国 会計検査院 NAO Blog サイバーセキュリティ:パンデミックは何を変えたか?

・2022.01.13 米国 GAO ざっとみたところ、各省庁のFISMA要件の実施は各省庁でばらつきがあるようだ...

・2021.12.11 米国 GAO 国防省の委託事業者のサイバーセキュリティについての認証フレームワークの改善

・2021.12.07 米国 GAO サイバーセキュリティ:国の重要インフラをより良く保護するための連邦政府の行動が緊急に求められている

 

・2021.08.27 米国 GAO 顔認識技術:連邦政府機関による現在および計画中の使用方法

・2021.07.23 U.S. GAO 人工知能のための新しい枠組み at 2021.06.30

・2021.07.15 米国GAO 顔認識技術について連邦法執行機関はプライバシーやその他のリスクをより適切に評価する必要がある at 2021.06.03

・2021.06.04 欧州検査院 特別報告書 EUに影響を与える偽情報:対処しても対処しきれない

・2021.05.28 会計検査院 「政府情報システムに関する会計検査の結果について」

・2021.05.27 U.S. GAO 連邦政府はサプライチェーンリスクを管理するための勧告に従ってね。。。

・2021.05.25 米国GAO サイバー保険の加入率も保険料率も上昇?

・2021.05.21 U.S. GAO (blog) コロニアルパイプラインへのサイバー攻撃は、連邦政府および民間部門のサイバーセキュリティへの備えの必要性を認識させた

・2021.05.02 100周年を迎えるU.S. GAOの来年度 (FY22) の予算要求額は7億4,430万ドル(約820億円)サイバーセキュリティ監査能力の強化

・2021.04.17 U.S. GAO 連邦政府は、ITおよびサイバー関連に年間1,000億ドル(11兆円)以上の投資をしているが、多くは失敗またはパフォーマンスが低く、管理が不十分で、セキュリティ上の弱点がある。

・2021.04.03 U.S. Office of Inspectors General(連邦監察官室)

↑ 米国連邦政府の内部監査部門の一覧があります。

 

・2021.04.01 GAO 連邦政府の財務諸表に監査意見を付与することができない・・・その理由は・・・

・2021.03.26 U.S. GAO 電力網サイバーセキュリティ:エネルギー省は彼らの計画が配電システムのリスクに完全に対応していることを確認する必要がある at 2021.03.18

・2021.03.25 U.S. GAO High-Riskシリーズ:連邦政府は主要なサイバーセキュリティの課題に対処するための重要な行動を早急に実施する必要がある

・2021.03.16 U.S. GAO 2022年度予算要求「複雑なサイバー・セキュリティの開発をレビューする能力を高める」

・2021.03.16 U.S. GAO CISAに対して組織変革を確実に遂行するために11の勧告をしたようですね。。。(CISAも同意済み)

・2021.03.08 U.S. GAO 国防省に兵器システムについてサイバーセキュリティ要件を購買プログラム契約で定義し、作業を承認または拒否するための基準と、要件が満たされていることを政府が確認する方法についての基準を確立する必要があると指摘

・2021.03.07 U.S. GAO ハイリスクリスト 2021 (サイバーセキュリティはリスクが高まっているという評価のようです...)

↑ 監査計画を立案する際のリスク評価に関係するのでしょうが、参考になるでしょうね。。。

 

・2021.02.22 U.S. GAOが技術評価ハンドブックを公表していますね

・2021.01.14 重要な情報の棚卸しは必要だが、そのリストをどのように伝達する?

・2020.12.27 U.S. GAO 国防省の15のシステム開発を監査してみて・・・開発手法やセキュリティについてコメント付けてます

・2020.12.02 U.S. GAO 医療における人工知能:患者ケアを強化する技術の利点と課題

・2020.12.02 U.S. GAO 5Gネットワークの機能と課題 @2020.11.19

・2020.11.21 米国GAOが国防省のJoint Cyber Warfighting Architectureについて相互運用性目標を定義することを推奨していますね。。。

・2020.10.22 米国GAOのブログでDeepfakeが取り上げられていますね。。。

・2020.10.14 米国GAOは連邦航空局がアビオニクスのリスクベースのサイバーセキュリティ監視を強化するための仕組みを入れる必要があると推奨していますね。。。

・2020.09.29 米国GAO が「国家サイバー戦略」の完全実施のためにリーダーシップを明確にするために議会がリーダーを指名するように提案していますね。

・2020.09.24 U.S. GAO サイバー空間安全保証・新興技術局の設立計画の策定に関連する連邦機関を関与させていない

・2020.09.18 米国GAO 財務省は金融セクターのサイバーセキュリティリスク軽減の取り組みについての追跡調査を改善する必要がある

・2020.09.02 米国GAO - FedRAMP-連邦政府機関によるクラウドコンピューティングの安全な利用の確保

・2020.08.19 米国GAO 国土安全保障省と特定の機関は、ネットワーク監視プログラムの実装上の欠点に対処する必要がある

↑ CDMの話ですね。。。

 

・2020.08.10 DeepfakeについてのNATO, CSET, Partnership on AI, GAOの報告書(少し前ですが・・・)

・2020.08.06 US-GAO GAOがOMBにIT管理、サイバーセキュリティの監査結果を伝えていますが結構厳しい・・・

・2020.07.30 US-GAO COVID-19 CONTACT TRACING APPSに関するペーパーを出していますね。。。

・2020.07.20 US GAO 連邦政府のIT人材のニーズの優先順位付け

・2020.07.11 US-GAOの報告書 サイバーセキュリティに関する10-Kの開示は一般的な内容が多くあまり参考にならないので追加の開示を希望している by 年金基金代表者

・2020.06.23 GAO GreenbookとOMB Circular No. A-123

↑ 米国連邦政府の内部統制を理解する上で参考になりますね。。。

 

・2020.06.22 US-GAO 米空軍は強化されたエンタープライズリスクマネジメントと内部統制評価を通じてミッションクリティカルな資産に対する説明責任を向上させることができる

・2020.06.05 米国行政管理局(OMB)が2019年度版政府機関のサイバーセキュリティーに関する報告書(FISMAレポート)を公表していますね。。。

・2020.04.15 GAO 国防総省はサイバー衛生を改善する必要があるので7つの推奨事項を作ったよ!という報告書

↑ GAOと会計検査院の比較表あります

 

・2011.02.20 会計検査院の権限

・2010.12.31 内部監査部門がない政府機関はマネジメントできているのか?

・2010.12.28 会計検査院 都道府県及び政令指定都市における国庫補助事業に係る事務費等の不適正な経理処理等の事態、発生の背景及び再発防止策について

・2010.11.06 会計検査院報告 平成21年度検査報告

・2009.11.28 会計検査院報告 平成20年度検査報告

・2009.07.21 GAO Agencies Continue to Report Progress, but Need to Mitigate Persistent Weaknesses

・2009.04.27 総務省 地方公共団体における内部統制のあり方に関する研究会最終報告書

・2008.11.22 会計検査院 平成19年度決算検査報告

・2008.04.14 総務省 「地方公共団体における内部統制のあり方に関する研究会」における中間報告(論点整理)の公表

・2007.11.13 会計検査院 平成18年度決算検査報告の概要

・2007.09.01 会計検査院の是正効果は1000億円以上

・2007.08.04 省庁サイバーテロ対策不十分?

・2007.06.14 米国会計検査院 連邦政府機関の情報セキュリティ管理は依然として不十分

・2007.05.29 会計検査報告書 H17 政府出資法人における内部監査等の状況について

・2007.05.28 会計検査報告書 H17 各府省等におけるコンピュータシステムに関する会計検査の結果について

・2006.11.30 米国会計検査院 省庁に情報セキュリティに関する定期的な検査のための適切な方針の開発と導入が必要

・2006.09.23 日本銀行 米・英政府の内部統制

・2006.06.23 パブリックセクターの内部統制

・2006.05.16 有効性を評価し、監査するとは・・・

・2005.11.09 会計検査院 検査結果を首相に提出

・2005.08.04 参議院 会計検査院法改正案可決

・2005.07.21 米国会計検査院 国土安全保障省のサイバーセキュリティへの対応は不十分

・2005.07.13 米国会計検査院 国土安全保障省はセキュリティプログラムを実施していない

・2005.06.16 米国会計検査院 米国政府機関はネット上の脅威に対し無防備と警告

・2005.06.07 参議院 会計検査院にITシステムの運用に関して重点検査要請

・2005.06.01 米国会計検査院 証券取引委員会の監査結果

・2005.05.31 米国会計検査院 プライバシーに対する配慮不足とRFID使用に警告

・2005.05.31 米国会計検査院 国土安全保障省はサイバーセキュリティに無防備と批判

・2005.04.22 米国の会計検査院は情報セキュリティ監査でがんばっている

・2005.03.29 会計検査院のウェブページ

 

 

| | Comments (0)

2022.11.18

米国 米中経済・安全保障検討委員会 2022年年次報告書

こんにちは、丸山満彦です。

米国議会の米中経済・安全保障検討委員会が、2022年の年次報告書を公開していますね。。。報告書は780ページ強!!!!

サイバーセキュリティについても触れられていますね。。。

 

せめてエグゼクティブサマリーと勧告だけでも。。。

 

U.S.-CHINA ECONOMIC AND SECURITY REVIEW COMMISSION

2022 Annual Report to Congress

2022 Annual Report to Congress 2022年 米国議会への年次報告書
Topics this year include CCP decision-making and Xi Jinping’s centralization of authority, challenging China’s trade practices, China’s energy plans and practices, U.S. supply chain vulnerabilities and resilience, China’s cyber warfare and espionage capabilities, China’s activities and influence in South and Central Asia, and a review of Taiwan, Hong Kong, economics, trade, security, political, and foreign affairs developments in 2022. 今年のトピックは、中国共産党の意思決定と習近平の中央集権化、中国の貿易慣行への挑戦、中国のエネルギー計画と慣行、米国のサプライチェーンの脆弱性と回復力、中国のサイバー戦とスパイ能力、南・中央アジアにおける中国の活動と影響、2022年の台湾、香港、経済、貿易、セキュリティ、政治、外交の発展に関するレビューなどである。

 

アレックス・ウォン議長の開会宣言

・2022.11.15 [PDF] Opening Statement of Chairman Alex Wong

キム・グラス副議長の開会宣言

・2022.11.15 [PDF] Opening Statement of Vice Chair Kim Glas

 

報告書

2022年 年次報告書、サマリー、勧告

・[PDF] Executive Summary

20221118-52256

・[DOCX] 仮訳

 

 

・[PDF] Recommendations to Congress

20221118-51540

 

・[PDF] Annual Report to Congress

20221118-51527

 

 

 

VIDEO
14:54くらいから始まります。。。

Unable to see this video? Click here.

 

 

Chapter 1 - CCP Decision-Making and Xi Jinping’s Centralization of Authority 第1章 中国共産党の意思決定と習近平の中央集権化
Chapter 1 - CCP Decision-Making and Xi Jinping’s Centralization of Authority 第1章 中国共産党の意思決定と習近平の中央集権化
Chapter 2 - U.S.-China Economic and Trade Relations 第2章 米中経済・貿易関係
Chapter 2, Section 1 - U.S.-China Economic and Trade Relations 第2章 第1節 米中経済・貿易関係
Chapter 2, Section 2 - Challenging China’s Trade Practices 第2章 第2節 中国の貿易慣行への挑戦
Chapter 2, Section 3 - China’s Energy Plans and Practices 第2章 第3節 中国のエネルギー計画と実践
Chapter 2, Section 4 - U.S. Supply Chain Vulnerabilities and Resilience 第2章 第4節 米国のサプライチェーンにおける脆弱性と回復力
Chapter 3 - U.S.-China Security and Foreign Affairs 第3章 米中安全保障と外交問題
Chapter 3, Section 1 - Year in Review: Security and Foreign Affairs 第3章 第1節 今年の振り返り:安全保障と外交
Chapter 3, Section 2 - China’s Cyber Capabilities: Warfare, Espionage, and Implications for the United States 第3章 第2節 中国のサイバー能力:戦い、スパイ行為、そして米国への影響
Chapter 3, Section 3 - China’s Activities and Influence in South and Central Asia 第3章 第3節 南アジア・中央アジアにおける中国の活動と影響力
Chapter 4 - Taiwan 第4章 台湾
Chapter 4 - Taiwan 第4章 台湾
Chapter 5 - Hong Kong 第5章 香港
Chapter 5 - Hong Kong 第5章 香港

 

 

| | Comments (0)

2022.11.17

内閣官房 意見募集 「「世界一安全な日本」の創造のための新たな戦略(仮称)」(案) 締め切り間近!!!

こんにちは、丸山満彦です。

2022.11.11に「「世界一安全な日本」の創造のための新たな戦略(仮称)」(案)についての意見募集(窓口は内閣官房副長官補室
)が出ていました。。。締め切りが11.20で10日間!!!!!。短くないですかね。。。

全体で57ページの報告書ですが、最初はサイバーから始まります...

9年前の2013年12月の「「世界一安全な日本」創造戦略」の改訂版ですかね。。。

 

● e-Gov

・2022.11.11 「「世界一安全な日本」の創造のための新たな戦略(仮称)」(案)に関する意見募集について

・[PDF] 「「世界一安全な日本」の創造のための新たな戦略(仮称)」(案)  [downloaded]

20221117-195527

目次的なもの...

1 デジタル社会に対応した世界最高水準の安全なサイバー空間の確保
(1)サイバー空間の脅威等への対処
(2)国際連携の推進
(3)インターネット上の違法・有害情報等の収集及び分析の高度化
(4)民間事業者、関係機関等と連携したサイバーセキュリティ強化

2 国内外の情勢に応じたテロ対策、カウンターインテリジェンス機能の強化等の推進
(1)G7サミット等の大規模行事を見据えたテロに強い社会の構築
(2)テロ等の脅威に対する警戒警備等の強化
(3)水際対策の強化
(4)テロの手段を封じ込める対策の強化
(5)国際連携を通じたテロの脅威等への対処
(6)テロの未然防止のための情報収集・分析体制の充実強化
(7)経済安全保障の強化に向けた取組の推進
(8)テロ資金供与等対策の強化
(9)大量破壊兵器等の国境を越える脅威に対する対策の強化
(10)北朝鮮による日本人拉致容疑事案等への対応
(11)カウンターインテリジェンス機能の強化
(12)外交一元化の下での「司法外交」の推進
(13)緊急事態への対処能力の強化

3 犯罪の繰り返しを食い止める再犯防止対策の推進
(1)「再犯防止推進計画」に基づく再犯防止対策の推進
(2)就労支援及び住居の確保の推進等
(3)対象者の特性に応じた指導及び支援の強化
(4)社会的な孤立を防ぐための地域社会での相談・支援連携の拠点確保
(5)保護司等民間協力者の活動を充実させるための支援強化
(6)更生保護施設の処遇機能の充実
(7)地方公共団体等による再犯の防止の推進に向けた取組の支援
(8)再犯防止対策に対する国民の理解と協力の推進

4 組織的・常習的に行われる悪質な犯罪への対処
(1)対立抗争への対応をはじめとする暴力団対策等の推進
(2)特殊詐欺対策の強化
(3)マネー・ローンダリング等対策の強化
(4)覚醒剤や大麻等の違法薬物等への対策の推進
(5)模倣品・海賊版対策の強化
(6)国際的な犯罪対策の推進
(7)社会の安全安心を脅かす各種事犯への対策の推進

5 子供・女性・高齢者等全ての人が安心して暮らすことのできる社会環境の実現
(1)子供・女性の安全安心の確保
(2)高齢者の安全安心の確保
(3)犯罪に強いまちづくり等の身近な犯罪への対策の推進
(4)犯罪被害者等への支援

6 外国人との共生社会の実現に向けた取組の推進
(1) 外国人の受入れ環境の整備
(2)不法入国等の事前阻止
(3)不法滞在者の縮減に向けた対策強化
(4)関係機関の連携強化
(5)外国人の安全安心の確保

7 「世界一安全な日本」創造のための治安基盤の強化
(1)第一線の職務執行を支える取組の強化
(2)先端技術・デジタル技術の活用の推進
(3)時代に即した捜査力の強化

 


 

9年前のもの...

・2013.12.10 [PDF] 「世界一安全な日本」創造戦略について 

20221117-202433

 

 

 

Continue reading "内閣官房 意見募集 「「世界一安全な日本」の創造のための新たな戦略(仮称)」(案) 締め切り間近!!!"

| | Comments (0)

米国 ニューヨーク州 金融サービス局 意見募集:サイバーセキュリティ規則更新案:取締役会およびCXOレベルにおけるサイバーセキュリティの説明責任を強化等 (2022.11.09)

こんにちは、丸山満彦です。

米国ニューヨーク州金融サービス局が、「金融サービス局がサイバーセキュリティ規則の更新案」を公表し、意見募集をしていますね。。。

主な変更点

・規制の多くの部分が免除される中小企業の規模基準の引き上げ

・取締役会およびCXOレベルにおけるサイバーセキュリティの説明責任の強化

・技術システムへの最初の不正アクセスを防止し、攻撃の拡大を防止または軽減するための管理を追加

・リスクと脆弱性の定期的評価を実施し、インシデント対応、事業継続、災害復旧計画等をより強固にすることの義務付け

他...

 

New York State - Department of Financial Services

・2022.11.09 DFS SUPERINTENDENT ADRIENNE A. HARRIS ANNOUNCES UPDATED CYBERSECURITY REGULATION  

DFS SUPERINTENDENT ADRIENNE A. HARRIS ANNOUNCES UPDATED CYBERSECURITY REGULATION   DFS管理者Adrienne A. Harris、サイバーセキュリティ規制の更新を発表  
Amends First-In-The-Nation Cybersecurity Regulation Created in 2017 in Response to Increasingly Sophisticated Technologies and Threats   高度化する技術や脅威に対応するため、2017年に策定された国内初のサイバーセキュリティ規制を改正  
The Department Seeks Comments on the Proposed Regulation During the Next 60 Days   同局は今後60日間、規制案に関するコメントを募集中  
Superintendent of Financial Services Adrienne A. Harris announced today that the New York State Department of Financial Services (DFS) proposed an updated cybersecurity regulation. DFS’s original regulation, which DFS promulgated in 2017, established a regulatory model that is now used by both federal and state financial regulators. DFS has taken a data-driven approach to amending the regulation to ensure that regulated entities address new and increasing cybersecurity threats with the most effective controls and best practices to protect consumers and businesses.    金融サービス監督官Adrienne A. Harrisは、ニューヨーク州金融サービス局(DFS)がサイバーセキュリティ規制の更新を提案したことを発表した。DFSが2017年に公布したオリジナルの規制は、現在、連邦および州の金融規制当局で使用されている規制モデルを確立した。DFSは、規制対象事業者が消費者と企業を保護するために最も効果的なコントロールとベストプラクティスで、新たに増加するサイバーセキュリティの脅威に対処できるよう、データ駆動型のアプローチで規制の改正に取り組んだ。  
With cyber-attacks on the rise, it is critical that our regulation keeps pace with new threats and technology purpose-built to steal data or inflict harm,” said Superintendent Harris. “Cyber criminals go after all types of companies, big and small, across industries, which is why all of our regulated entities must comply with these standards – whether a bank, virtual currency company, or a health insurance company.”   ハリス監督官は以下のように述べている。「サイバー攻撃は増加傾向にあり、我々の規制が、データを盗んだり損害を与えたりする目的で作られた新しい脅威や技術に対応していくことは非常に重要である。サイバー犯罪者は、業界の大小を問わず、あらゆる企業を狙っている。だからこそ、銀行、仮想通貨会社、健康保険会社など、規制対象となるすべての企業がこれらの基準を遵守しなければならないのである」。 
The proposed amended regulation strengthens the DFS risk-based approach to ensure cybersecurity risk is integrated into business planning, decision-making, and ongoing risk management. The changes include:   提案された改正規則は、サイバーセキュリティのリスクが事業計画、意思決定、継続的なリスク管理に統合されるよう、DFSのリスクベースのアプローチを強化するものである。変更点は以下の通りである。  
・The creation of three tiers of companies, further tailoring the regulation to a diverse set of businesses with different defensive needs. Furthermore, based on feedback from the industry and in recognition of the realities of operating a small business, the proposed amendment increases the size threshold of smaller companies that are exempt from many parts of the regulation;     ・3つの階層を設け、防御のニーズが異なる多様な企業に合わせて規制をさらに調整する。さらに、業界からのフィードバックに基づき、また、中小企業経営の現実を認識し、修正案では、規制の多くの部分が免除される中小企業の規模基準を引き上げる。    
・Enhanced governance requirements, thereby increasing accountability for cybersecurity at the Board and C-Suite levels;    ・ガバナンス要件の強化により、取締役会およびCXOレベルにおけるサイバーセキュリティの説明責任を強化する。   
・Additional controls to prevent initial unauthorized access to technology systems and to prevent or mitigate the spread of an attack;    ・技術システムへの最初の不正アクセスを防止し、攻撃の拡大を防止または軽減するための管理を追加する。   
・Requiring more regular risk and vulnerability assessments, as well as more robust incident response, business continuity and disaster recovery planning; and    ・リスクと脆弱性の評価をより定期的に行い、インシデント対応、事業継続、災害復旧計画をより強固にすることを義務付ける。   
・Directing companies to invest in regular training and cybersecurity awareness programs that are relevant to their business model and personnel.    ・企業に対して、自社のビジネスモデルや人材に適した定期的なトレーニングやサイバーセキュリティの意識向上プログラムに投資するよう指示する。   
Over the course of the past few months, DFS has solicited feedback on proposed amendments from other regulators, industry groups, and regulated entities through the recent Cybersecurity Symposium, industry conferences, and meetings.      過去数ヶ月間、DFSは、最近のサイバーセキュリティ・シンポジウム、業界会議、会合を通じて、他の規制当局、業界団体、規制対象事業者から改正案に関する意見を募集してきた。     
The proposed amended regulation is subject to a 60-day comment period beginning today upon publication in the State Register. DFS looks forward to and appreciates receiving feedback on the proposed amended regulation during the comment period. As the comment period ends, DFS will then review all received comments and either repropose a revised version or adopt the final regulation.       本改正案は、本日、州政府官報に掲載された後、60日間の意見公募期間が設けられる。DFSは、意見募集期間中に提案された改正規則に対する意見を待っている。コメント期間終了後、DFSは受領した全てのコメントを検討し、修正版を再提出するか、最終規則を採択する予定である。      
A copy of the proposed amended regulation is available on the DFS website.    本規制案は、DFS のウェブサイトにて公開されている。   

 

・[PDF] NEW YORK STATE DEPARTMENT OF FINANCIAL SERVICES PROPOSED SECOND AMENDMENT TO 23 NYCRR 500 - CYBERSECURITY REQUIREMENTS FOR FINANCIAL SERVICES COMPANIES

20221117-31111

 

現在のレギュレーション...

Part 500 Cybersecurity Requirements for Financial Services Companies

 

 

| | Comments (0)

デジタル庁 デジタル臨時行政調査会作業部会 テクノロジーベースの規制改革推進委員会(第2回)

こんにちは、丸山満彦です。

デジタル庁のデジタル臨時行政調査会作業部会 テクノロジーベースの規制改革推進委員会(第2回)の資料等が公表されています。。。

日本経済の停滞の原因の一つがデジタル化の遅れ、という感じとなっておりますが、そういう面はあるでしょうね。。。もっと言えば、既得権益者による変革の阻害なのでしょう。。。これは、社会全体においては、民主主義社会における国民の選択の結果でしょうし、会社等においても、資本主義社会における投資家等による選択の結果なのかもしれませんね。。。

民主主義や資本主義というのは、国民や投資家が適切な情報を入手し、合理的な判断ができないと、最適解には辿り着けないわけです。情報の入手するという意味では、例えば、報道の自由、財務諸表等の開示が重要となるでしょうし、合理的な判断という意味では、論理的に考えられる頭脳が必要となるのでしょう。もちろん、生身の人間ですから、実行に移す場合は、感情に対する対応もする必要があるでしょう(ただ、これは手段の話ですが。。。)。

日本人がこれだけ成長できないというのは、相当国民が劣化しているのかもしれませんね。。。

 

第1回の登さんの資料も興味深いです。。。

 

デジタル庁 -  会議等 - デジタル臨時行政調査会作業部会 テクノロジーベースの規制改革推進委員会

・2022.11.16 第2回

議事

  1. テクノロジーベースの規制改革推進委員会 今後の議論の方向性及び論点(事務局から説明)
  2. 江崎構成員からの説明
    • 技術マップに関する提案
      ~技術活用におけるセキュリティ等のリスク評価の進め方~
  3. 島田構成員からの説明
    • 東芝が考えるAI品質保証について
  4. 意見交換

資料

・2022.10.03 第1回

 

議事

  1. テクノロジーベースの規制改革推進委員会の開催等について(事務局から説明)
  2. テクノロジーベースの規制改革推進委員会の検討事項等について(事務局から説明)
  3. 登構成員からの説明
    • テクノロジーマップ、技術カタログの在り方について
  4. 意見交換

資料

 



| | Comments (0)

CISA ステークホルダー別脆弱性分類 (SSVC) ガイド

こんにちは、丸山満彦です。

CISAがステークホルダー別脆弱性分類 (Stakeholder-Specific Vulnerability Categorization: SSVC) ガイドを公表していますね。。。

 

STAKEHOLDER-SPECIFIC VULNERABILITY CATEGORIZATION  ステークホルダー別脆弱性分類 
Carnegie Mellon University's Software Engineering Institute (SEI), in collaboration with CISA, created the Stakeholder-Specific Vulnerability Categorization (SSVC) system in 2019 to provide the cyber community a vulnerability analysis methodology that accounts for a vulnerability's exploitation status, impacts to safety, and prevalence of the affected product in a singular system. CISA worked with SEI in 2020 to develop its own customized SSVC decision tree to examine vulnerabilities relevant to the United States government (USG), as well as state, local, tribal, and territorial (SLTT) governments, and critical infrastructure entities. Implementing SSVC has allowed CISA to better prioritize its vulnerability response and vulnerability messaging to the public.  カーネギーメロン大学のソフトウェア工学研究所(SEI)は、CISAと共同で、脆弱性の悪用状況、安全性への影響、単一システムにおける影響製品の普及率を考慮した脆弱性分析手法をサイバーコミュニティに提供するために、2019年に「ステークホルダー固有の脆弱性分類(SSVC)」システムを作成した。CISAは2020年にSEIと協力して、米国政府(USG)、州・地方・部族・準州(SLTT)政府、重要インフラ事業体に関連する脆弱性を調査するために、独自にカスタマイズしたSSVC決定木を開発した。SSVCの導入により、CISAは、脆弱性対応と一般市民への脆弱性メッセージの優先順位をより適切に設定できるようになった。 
How CISA Uses SSVC  CISAはどのようにしてSSVCを使うのか? 
CISA uses its own SSVC decision tree model to prioritize relevant vulnerabilities into four possible decisions:  CISAは、独自のSSVC決定木モデルを使用して、関連する脆弱性を4つの可能な判断に優先順位付けしている。 
Track: The vulnerability does not require action at this time. The organization would continue to track the vulnerability and reassess it if new information becomes available. CISA recommends remediating Track vulnerabilities within standard update timelines.  追跡:この脆弱性は、現時点では対処する必要がない。組織は、脆弱性の追跡を継続し、新しい情報が入手できた場合に再評価を行いる。CISAでは、「追跡」の脆弱性を標準的な更新スケジュールで修正することを推奨している。 
Track*: The vulnerability contains specific characteristics that may require closer monitoring for changes. CISA recommends remediating Track* vulnerabilities within standard update timelines.  追跡*:この脆弱性には特定の特性があり、その変化についてより綿密な監視が必要な場合がある。CISAでは、「追跡*」の脆弱性を標準的な更新スケジュールで修正することを推奨している。 
Attend: The vulnerability requires attention from the organization's internal, supervisory-level individuals. Necessary actions include requesting assistance or information about the vulnerability, and may involve publishing a notification either internally and/or externally. CISA recommends remediating Attend vulnerabilities sooner than standard update timelines.  注意:この脆弱性は、組織内部の監督者レベルの個人による注意を必要とする。必要なアクションには、支援や脆弱性に関する情報の要求が含まれ、内部および/または外部への通知の公表を伴う場合がある。CISAでは、標準的な更新スケジュールよりも早く「注意」の脆弱性を修正することを推奨している。 
Act: The vulnerability requires attention from the organization's internal, supervisory-level and leadership-level individuals. Necessary actions include requesting assistance or information about the vulnerability, as well as publishing a notification either internally and/or externally. Typically, internal groups would meet to determine the overall response and then execute agreed upon actions. CISA recommends remediating Act vulnerabilities as soon as possible.  対処:この脆弱性は、組織内部の監督者レベル、および指導者レベルの個人による注意を必要とする。必要なアクションには、脆弱性に関する支援や情報の要求、社内外への通知の公表などがある。通常、社内のグループは、全体的な対応策を決定するために会議を開き、合意した対応策を実行することになります。CISAは、「対処」の脆弱性をできるだけ早く是正することを推奨している。 
The CISA SSVC tree determines the decisions of Track, Track*, Attend, and Act based on five values:   CISAのSSVC決定木は、5つの値に基づいて、追跡、追跡*、注意、対処を決定する。 
・Exploitation status   ・悪用状況  
・Technical impact   ・技術的影響  
・Automatable  ・自動化可能性
・Mission prevalence  ・任務の普及性
・Public well-being impact  ・公共福祉への影響 
To learn more, see the CISA SSVC Guide (pdf, 948 kb).  詳細については、CISA SSVC Guide (pdf, 948 kb)を参照のこと。 
CISA's SSVC Calculator  CISAのSSVC計算機 
The CISA SSVC Calculator allows users to input decision values and navigate through the CISA SSVC tree model to the final overall decision for a vulnerability affecting their organization. The SSVC Calculator allows users to export the data as .PDF or JSON. CISAのSSVC計算機を使用すると、ユーザーは意思決定値を入力し、CISAのSSVC決定木モデルを通じて、自分の組織に影響を与える脆弱性の最終的な総合意思決定に至るまでナビゲートすることができる。SSVC 計算機では、ユーザーはデータを.PDFまたはJSONとしてエクスポートすることができる。 
Additional SSVC Decision Tree Models   追加のSSVC決定木モデル  
Organizations whose mission spaces need to evaluate the effect of vulnerabilities in at least one external organization may find the CISA SSVC decision tree model helpful. The CISA SSVC decision tree model closely resembles the standard SSVC “Coordinator” tree. For organizations whose mission spaces do not align with CISA’s decision tree, the SEI whitepaper Prioritizing Vulnerability Response: A Stakeholder-Specific Vulnerability Categorization (Version 2.0) details other decision tree models that may better align to their mission space.   ミッション・スペースが少なくとも1つの外部組織の脆弱性の影響を評価する必要がある組織は、CISAのSSVC決定木モデルが役に立つかもしれません。CISA SSVC決定木モデルは、標準的なSSVCの「コーディネータ」木に酷似している。ミッション空間がCISAの決定木と一致しない組織については、SEIホワイトペーパー「Prioritizing Vulnerability Response: A Stakeholder-Specific Vulnerability Categorization (Version 2.0) は、組織のミッション空間に適した他の決定木モデルを詳細に説明している。 

 

・2022.11 [PDF] CISA Stakeholder-Specific Vulnerability Categorization Guide

20221117-01552

 

目次...

Overview 概要
The Vulnerability Scoring Decision 脆弱性スコアリングの決定
Relevant Decision Points 関連する判断ポイント
(State of) Exploitation 悪用状況
Technical Impact 技術的影響
Automatable 自動化可能性
Automating Reconnaissance and Vulnerability Chaining 偵察と脆弱性の連鎖の自動化
Mission Prevalence 任務の普及性
Public Well-Being Impact 公衆衛生への影響
Mitigation Status 緩和状況
Decision Tree 意思決定木

 

Exploitation status   悪用状況  
Evidence of Active Exploitation of a Vulnerability 脆弱性を積極的に悪用した証拠
・None ・なし
・Public PoC ・公開PoC
・Active ・アクティブ
Technical impact   技術的影響  
Technical Impact of Exploiting the Vulnerability 脆弱性を悪用した場合の技術的影響
・Partial ・部分的
・Total ・全体
Automatable  自動化可能性
・No ・No
・Yes ・Yes
Mission prevalence  任務の普及性
Impact on Mission Essential Functions of Relevant Entities 関連事業体のミッション・エッセンシャル機能への影響
・Minimal ・ミニマム
・Support ・サポート
・Essential ・必須
Public well-being impact  公共福祉への影響 
Impacts of Affected System Compromise on Humans 被災したシステムの危殆化による人体への影響
・Minimal ・ミニマム
・Material ・重要
・Irreverslble ・不可逆的

 

 

ブログ...

・2022.11.10 TRANSFORMING THE VULNERABILITY MANAGEMENT LANDSCAPE

TRANSFORMING THE VULNERABILITY MANAGEMENT LANDSCAPE 脆弱性管理状況を変革する
By Eric Goldstein, Executive Assistant Director for Cybersecurity エリック・ゴールドスタイン(サイバーセキュリティ担当エグゼクティブ・アシスタント・ディレクター)著
In the current risk environment, organizations of all sizes are challenged to manage the number and complexity of new vulnerabilities. Organizations with mature vulnerability management programs seek more efficient ways to triage and prioritize efforts. Smaller organizations struggle with understanding where to start and how to allocate limited resources. Fortunately, there is a path toward more efficient, automated, prioritized vulnerability management. Working with our partners across government and the private sector, we are excited to outline three critical steps to advance the vulnerability management ecosystem: 現在のリスク環境では、あらゆる規模の組織が、新たな脆弱性の数と複雑さを管理するという課題を抱えている。成熟した脆弱性管理プログラムを持つ組織は、取り組みの優先順位付けとトリアージに、より効率的な方法を求めている。一方、小規模な組織は、どこから手をつければよいのか、限られたリソースをどのように配分すればよいのかを理解するのに苦労している。幸いなことに、より効率的で自動化され、優先順位が付けられた脆弱性管理への道は開かれている。私たちは、政府機関や民間企業のパートナーとともに、脆弱性管理のエコシステムを前進させるための3つの重要なステップの概要を説明することができる。
・First, we must introduce greater automation into vulnerability management, including by expanding use of the Common Security Advisory Framework (CSAF) ・第一に、共通セキュリティ・アドバイザリー・フレームワーク  (CSAF) の利用を拡大するなどして、脆弱性管理にさらなる自動化を導入する必要がある。
・Second, we must make it easier for organizations to understand whether a given product is impacted by a vulnerability through widespread adoption of Vulnerability Exploitability eXchange (VEX) ・第二に、VEX(Vulnerability Exploitability eXchange)の普及により、ある製品が脆弱性の影響を受けているかどうかを、組織がより簡単に理解できるようにする必要がある。
・Third, we must help organizations more effectively prioritize vulnerability management resources through use of Stakeholder Specific Vulnerability Categorization (SSVC), including prioritizing vulnerabilities on CISA’s Known Exploited Vulnerabilities (KEV) catalog ・第三に、CISAのKEV(Known Exploited Vulnerabilities)カタログにおける脆弱性の優先順位付けなど、ステークホルダー別脆弱性分類 (SSVC) を使用して、組織が脆弱性管理リソースの優先順位をより効果的に決定できるようにする必要がある。
With these advances, described further below, we will make necessary progress in vulnerability management and reduce the window that our adversaries have to exploit American networks. 以下に説明するこれらの進歩により、私たちは脆弱性管理において必要な進歩を遂げ、敵対者が米国のネットワークを悪用するための窓を減らすことができるだろう。
1. Achieving Automation: Publish machine-readable security advisories based on the Common Security Advisory Framework (CSAF). 1. 自動化の実現:共通セキュリティ・アドバイザリー・フレームワーク (CSAF) に基づいて、機械可読のセキュリティ勧告を発行する。
When a new vulnerability is identified, software vendors jump into action: understanding impacts to products, identifying remediations, and communicating to end users. But as we know, the clock is ticking: adversaries are often turning vulnerabilities to exploits within hours of initial public reports. 新しい脆弱性が特定されると、ソフトウェア・ベンダーは、製品への影響の把握、対処法の特定、エンドユーザーへの情報提供などの活動に飛びつく。しかし、ご存知のように、時間は刻々と過ぎていく。敵は、脆弱性を最初に公表してから数時間以内にエクスプロイト(悪用)に変えてしまうことがよくある。
Software vendors work constantly to understand if their products are impacted by a new vulnerability. To meet this timeframe, our community needs a standardized approach for vendors to disclose security vulnerabilities to end users in an accelerated and automated way. ソフトウェアベンダーは、自社製品が新しい脆弱性の影響を受けているかどうかを把握するために常に努力している。この時間枠を満たすために、私たちのコミュニティは、ベンダーがエンドユーザーに対してセキュリティ脆弱性を迅速かつ自動的に開示するための標準的なアプローチを必要としている。
The CSAF, developed by the OASIS CSAF Technical Committee, is a standard for machine-readable security advisories. CSAF provides a standardized format for ingesting vulnerability advisory information and simplify triage and remediation processes for asset owners.  By publishing security advisories using CSAF, vendors will dramatically reduce the time required for enterprises to understand organizational impact and drive timely remediation. OASIS CSAF 技術委員会が開発した CSAF は、機械可読なセキュリティアドバイザリの標準である。CSAF は、脆弱性アドバイザリ情報を取り込むための標準化されたフォーマットを提供し、資産所有者のトリアージと修復プロセスを簡素化する。  CSAF を使用してセキュリティアドバイザリを公開することで、ベンダーは、企業が組織の影響を理解し、タイムリーに修正を行うために必要な時間を大幅に短縮することができる。
2. Clarifying Impact: Use Vulnerability Exploitability eXchange (VEX) to communicate whether a product is affected by a vulnerability and enable prioritized vulnerability response 2. 影響の明確化:VEXを使用して、製品が脆弱性の影響を受けるかどうかを伝え、優先的に脆弱性に対応できるようにする。
VEX allows a vendor to assert whether specific vulnerabilities affect a product; a VEX advisory can also indicate that a product is not affected by a vulnerability. Not all vulnerabilities are exploitable and put an organization at risk. To help reduce effort spent by users investigating vulnerabilities, vendors can issue a VEX advisory that states whether a product is or is not affected by a specific vulnerability in a machine readable, automated way. VEX is implemented as a profile in CSAF and is one of its more popular use cases, aligning with the existing work supporting machine-readable advisories. VEXにより、ベンダーは、特定の脆弱性が製品に影響を及ぼすかどうかを表明できる。VEXアドバイザリでは、製品が脆弱性の影響を受けないことを示すこともできる。すべての脆弱性が悪用され、組織を危険にさらすとは限らない。ユーザーが脆弱性を調査する労力を軽減するために、ベンダーは、製品が特定の脆弱性の影響を受けるかどうかを、機械的に読み取り可能な自動化された方法で表明するVEXアドバイザリを発行することができる。VEXは、CSAFのプロファイルとして実装されており、より一般的なユースケースの1つで、機械可読アドバイザリをサポートする既存の作業と連携している。
The ultimate goal of VEX is to support greater automation across the vulnerability ecosystem, including disclosure, vulnerability tracking, and remediation. VEX data can also support more effective use of software bill of materials (SBOM) data. An SBOM is a machine-readable, comprehensive inventory of software components and dependencies. Machine-readable VEX documents support linking to an SBOM and specific SBOM components. While SBOM gives an organization information on where they are potentially at risk, a VEX document helps an organization find out where they are actually affected by known vulnerabilities, and if actions need to be taken to remediate based on exploitation status. VEX の最終的な目標は、情報開示、脆弱性追跡、修正など、脆弱性エコシステム全体の自動化を促進することである。VEXデータは、ソフトウェア部品表(SBOM)データのより効果的な利用もサポートすることができる。SBOMは、ソフトウェアコンポーネントと依存関係の機械読み取り可能な包括的インベントリである。機械読み取り可能なVEX文書は、SBOMおよび特定のSBOMコンポーネントへのリンクをサポートする。SBOMは、組織が潜在的なリスクを抱えている場所に関する情報を提供するが、VEX文書は、組織が既知の脆弱性の影響を実際に受けている場所と、悪用状況に基づいて是正するために行動を起こす必要があるかどうかを確認するのに役立つ。
3. Prioritized Based on Organizational Attributes: Use vulnerability management frameworks, such as Stakeholder-Specific Vulnerability Categorization (SSVC), which utilize exploitation status and other vulnerability data to help prioritize remediation efforts. 3. 組織属性に基づく優先順位付け:ステークホルダー別脆弱性分類 (SSVC) などの脆弱性管理のフレームワークを使用し、悪用状況やその他の脆弱性データを活用して、是正措置の優先順位付けを支援する。
Last year, CISA issued Binding Operational Directive (BOD) 22-01, which directs federal civilian agencies to remediate KEVs and encourages all organizations to implement the KEV catalog into their vulnerability management framework. The first publication of KEV vulnerabilities derived from CISA's use of SSVC which occurred on November 3, 2021. 昨年、CISA は拘束的運用指令(BOD)22-01 を発行し、連邦政府文民機関に KEV の是正を指示するとともに、すべての組織に KEV カタログを脆弱性管理の枠組みに導入するよう奨励しました。2021年11月3日に発生したCISAのSSVCの利用に由来するKEV脆弱性の最初の公表は、このようなものであった。
CISA encourages every organization to use a vulnerability management framework that considers a vulnerability’s exploitation status, such as SSVC. CISAは、すべての組織がSSVCのような脆弱性の悪用状況を考慮した脆弱性管理のフレームワークを使用することを推奨している。
To assist organizations with using SSVC, today, CISA released: SSVCを利用する組織を支援するため、本日、CISAは以下を公開しました。
・An SSVC webpage introducing CISA's SSVC decision tree; ・CISAのSSVC決定木を紹介するSSVCウェブページ。
・The CISA SSVC Guide instructing how to use the scoring decision tree; and ・スコアリング決定木の使用方法を説明した「CISA SSVCガイド」、および
・The CISA SSVC Calculator for evaluating how to prioritize vulnerability responses in an organization’s respective environment. ・CISA SSVC計算機は、組織の環境における脆弱性対応の優先順位を評価するためのものである。
Organizations now have the option to use CISA’s customized SSVC decision tree guide to prioritize a known vulnerability based on an assessment of five decision points, which are (1) exploitation status, (2) technical impact, (3) automatability, (4) mission prevalence, and (5) public well-being impact. Based on reasonable assumptions for each decision point, a vulnerability will be categorized either as Track, Track*, Attend, or Act. A description of each decision and value can be found on CISA’s new SSVC webpage 組織は、CISAのカスタマイズされたSSVC決定木ガイドを使用して、5つの決定ポイント((1) 悪用状況 (2) 技術的影響 (3) 自動化可能性 (4) 任務の普及性 (5) 公共福祉への影響)の評価に基づいて、既知の脆弱性の優先度を決定できるようになった。各決定ポイントの合理的な仮定に基づき、脆弱性は「追跡」「追跡*」「注意」「対処」のいずれかに分類される。各判断と数値の説明は、CISAの新しいSSVCウェブページで見ることができる。 
As we collectively work to advance vulnerability management practices, we want to hear from you. Please send any feedback or questions to "Mail" 我々は、脆弱性管理の実践を推進するために、皆様からの意見を待っている。フィードバックや質問は、"Mail" まで。

 

 


 

関連...

まるちゃんの情報セキュリティ気まぐれ日記

・2022.06.11 NIST NISTIR 8409 (ドラフト) 共通脆弱性評点システムの基礎評点の計算式の測定

・2021.04.30 カーネギー大学 ソフトウェア工学研究所が「Stakeholder-Specific Vulnerability Categorization:SSVC 2.0」を発表していますね。。。

昔に遡り。。。

・2010.10.25 IPA 共通脆弱性評価システムCVSS概説

・2007.04.26 JVN は、名称をJP Vendor Status Notes (JVN) から、Japan Vulnerability Notes (JVN) と変更しました

| | Comments (0)

2022.11.16

欧州委員会 欧州議会と欧州理事会への声明 「サイバー防衛に関するEUの政策」

こんにちは、丸山満彦です。

欧州委員会が、欧州議会と欧州理事会に「サイバー防衛に関するEUの政策」を発表していますね。。。

サイバー防衛には、民間と軍との協力関係が重要ということなのでしょうかね。。。民間解放されたインターネットを軍が使うということなので、そうなるのでしょうね。。。軍専用品の中に民間用品が混じるというよりも、民間用品を軍が使うということがこれまでとの違いなのでしょうかね。。。民間にもなかなか難しいバランスが求められるのかもしれません。。。

 

European Commission

プレス発表...

・2022.11.10 Cyber Defence: EU boosts action against cyber threats

Cyber Defence: EU boosts action against cyber threats サイバーディフェンス EU:サイバー脅威に対する行動を強化
Today, the Commission and the High Representative put forward a Joint Communication on an EU Cyber Defence policy and an Action Plan on Military Mobility 2.0 to address the deteriorating security environment following Russia's aggression against Ukraine and to boost the EU's capacity to protect its citizens and infrastructure.   本日、欧州委員会と上級代表は、ロシアのウクライナに対する侵略に伴う安全保障環境の悪化に対処し、EUの市民とインフラを守る能力を高めるため、EUサイバー防衛政策と軍事移動2.0に関する行動計画に関する共同コミュニケを提出した。  
With its new cyber defence policy, the EU will enhance cooperation and investments in cyber defence to better protect, detect, deter, and defend against a growing number of cyber-attacks.  新しいサイバー防衛政策により、EUはサイバー防衛における協力と投資を強化し、増え続けるサイバー攻撃に対する保護、検知、抑止、防御をより良くしていく。 
Cyberspace has no borders. Recent cyber-attacks on energy networks, transport infrastructure and space assets show the risks that they pose to both civilian and military actors. This calls for more action to protect citizens, armed forces, as well as the EU's civilian and military missions and operations, against cyber threats.   サイバー空間には国境がない。エネルギーネットワーク、輸送インフラ、宇宙資産に対する最近のサイバー攻撃は、それが民間と軍事の両方の関係者にもたらすリスクを示している。このため、市民、軍隊、そしてEUの文民・軍事ミッションと作戦をサイバー脅威から守るため、さらなる行動を起こすことが求められている。  
The EU Policy on Cyber Defence aims to boost EU cyber defence capabilities and strengthen coordination and cooperation between the military and civilian cyber communities (civilian, law enforcement, diplomatic and defence). It will enhance efficient cyber crisis management within the EU and help reduce our strategic dependencies in critical cyber technologies, while strengthening the European Defence Technological Industrial Base (EDTIB). It will also stimulate training, attracting, and retaining cyber talents and step up cooperation with our partners in the field of cyber defence.  EUのサイバー防衛政策は、EUのサイバー防衛能力を高め、軍と民間のサイバーコミュニティ(文民、法執行、外交、防衛)間の調整と協力を強化することを目的としている。また、EU域内の効率的なサイバー危機管理を強化し、重要なサイバー技術における戦略的依存度の低減を支援するとともに、欧州防衛技術産業基盤(EDTIB)を強化する。また、サイバー人材の育成、誘致、確保を促進し、サイバー防衛分野におけるパートナーとの協力関係を強化する。 
The EU Policy on Cyber Defence is built around four pillars that cover a wide range of initiatives that will help the EU and Member States:   サイバー防衛に関するEU政策は、EUと加盟国を支援する幅広い取り組みを網羅する4つの柱を中心に構築されている。  
Act together for a stronger EU cyber defence: The EU will reinforce its coordination mechanisms among national and EU cyber defence players, to increase information exchange and cooperation between military and civilian cybersecurity communities, and further support military CSDP missions and operations.   EUのサイバー防衛を強化するために共に行動する:EUは、各国およびEUのサイバー防衛関係者間の調整メカニズムを強化し、軍民のサイバーセキュリティ・コミュニティ間の情報交換と協力を強化し、軍のCSDPミッションと作戦をさらに支援する。  
Secure the EU defence ecosystem: Even non-critical software components can be used to carry out cyber-attacks on companies or governments, including in the defence sector. This calls for further work on cybersecurity standardisation and certification to secure both military and civilian domains.   EUの防衛エコシステムを安全にする:防衛分野を含め、企業や政府に対するサイバー攻撃は、重要でないソフトウェア・コンポーネントでさえも利用される可能性がある。このため、軍事・民間の両領域を保護するためのサイバーセキュリティの標準化と認証に関するさらなる取り組みが必要である。  
Invest in cyber defence capabilities: Member States need to significantly increase investments in modern military cyber defence capabilities in a collaborative manner, using the cooperation platforms and funding mechanisms available at the EU level, such as PESCO, the European Defence Fund, as well as Horizon Europe and the Digital Europe Programme. サイバー防衛能力への投資:加盟国は、PESCO、欧州防衛基金、ホライゾン欧州、デジタル欧州プログラムなど、EUレベルで利用可能な協力プラットフォームや資金調達メカニズムを利用して、現代的な軍事サイバー防衛能力への投資を協力的に大幅に増加させる必要がある。
Partner to address common challenges: Building on existing security and defence as well as cyber dialogues with partner countries, the EU will seek to set up tailored partnerships in the area of cyber defence.   共通の課題に取り組むために協力する:EUは、パートナー国との既存の安全保障・防衛・サイバー対話に基づき、サイバー防衛の分野で独自のパートナーシップを構築することを目指す。  
Next steps  次のステップ 
The Commission and the High Representative, including in his capacity as Head of the European Defence Agency (EDA), will present an annual report to the Council of the EU to monitor and assess the progress of the implementation of the actions in the Joint Communication on the EU Policy on Cyber Defence. Member States are encouraged to contribute with their inputs on the progress of the implementation measures taking place in national or in cooperation formats. An implementation plan could be set up in cooperation with Member States. 欧州委員会と上級代表は、欧州防衛機関(EDA)長官としての立場を含め、サイバー防衛に関するEU政策についての共同声明における行動の実施状況を監視・評価するために、EU理事会に年次報告書を提出する予定である。加盟国は、国内または協力体制で行われている実施措置の進捗状況について、インプットを提供することが奨励される。加盟国との協力のもと、実施計画を策定することも可能である。
Background 背景
The 2020 EU Cybersecurity Strategy highlighted the need for a review of the EU's cyber defence policy framework. Furthermore, President von der Leyen called for the development of a European Cyber Defence Policy in her 2021 State of the Union address. This is also an ambition of the Strategic Compass for Security and Defence approved by the Council in March this year. In May, in the Council conclusions on the development of the European Union's cyber posture, Member States invited the High Representative together with the Commission to table an ambitious proposal for an EU Cyber Defence Policy in 2022.  2020年のEUサイバーセキュリティ戦略では、EUのサイバー防衛政策の枠組みを見直す必要性が強調された。さらに、フォン・デル・ライエン大統領は、2021年の一般教書演説において、欧州サイバー防衛政策の策定を呼びかけた。これは、今年3月に理事会で承認された「安全保障と防衛のための戦略的羅針盤」の野心でもある。5月、EUのサイバー態勢の整備に関する理事会結論において、加盟国は欧州委員会とともに上級代表に対し、2022年にEUサイバー防衛政策の野心的な提案を提出するよう要請した。 
Together with the Security and Defence package, the Commission is also publishing today the first progress report on the Action Plan on synergies between civil, defence, and space industries, available here 欧州委員会は、安全保障・防衛パッケージとともに、民間、防衛、宇宙産業間の相乗効果に関する行動計画に関する最初の進捗報告書も本日発表している。 
For More Information  詳しくはこちら 
Joint Communication on the EU Policy on Cyber Defence サイバー防衛に関するEU政策についての共同声明
Question and Answers on the EU Policy on Cyber Defence EUのサイバー防衛政策に関する質問と回答
Factsheet on the EU Policy on Cyber Defence EUのサイバー防衛政策に関するファクトシート
EU's Cybersecurity Strategy for the Digital Decade  デジタル化の10年に向けたEUのサイバーセキュリティ戦略 
Factsheet on the new EU Cybersecurity Strategy  新EUサイバーセキュリティ戦略に関するファクトシート 
2021 State of the Union address  2021年の一般教書演説 
Strategic Compass for Security and Defence  安全保障と防衛のための戦略的コンパス 
Council conclusions on the development of the European Union's cyber posture  EUのサイバー態勢の整備に関する理事会結論 
Joint Communication on defence investment gaps  防衛投資のギャップに関する共同コミュニケーション 
Proposal for a Cyber Resilience Act  サイバーレジリエンス法の提案 
Factsheet on Cybersecurity: EU External Action  サイバーセキュリティに関するファクトシート EUの対外行動 
Cyber defence activities of the European Defence Agency   欧州防衛庁のサイバー防衛活動  
European Security Union  欧州安全保障連合 
More on Cybersecurity  サイバーセキュリティの詳細 
More on the NIS Directive NIS指令の詳細
Quote(s) 引用
The EU Policy on Cyber Defence shows that by bringing our civilian and military instruments together we can make a stronger impact against cyber threats. サイバー防衛に関するEU政策は、文民と軍人が共に力を合わせることで、サイバー脅威に対してより強い影響を与えることができることを示している。
Margrethe Vestager, Executive Vice-President for a Europe Fit for the Digital Age - 「デジタル時代に適した欧州」マルグレーテ・ヴェスタガー担当上級副総裁

 

声明...

・[PDF] JOINT COMMUNICATION TO THE EUROPEAN PARLIAMENT AND THE COUNCIL - EU Policy on Cyber Defence -

20221116-15441

・[DOCX] 仮訳

 

目次...

I. INTRODUCTION I. イントロダクション
II. EU CYBER DEFENCE TO PROTECT, DETECT, DETER AND DEFEND AGAINST CYBERATTACKS II. サイバー攻撃を保護、検知、抑止、防御するための EU のサイバー防衛
1. Act together for a stronger cyber defence 1. より強固なサイバー防衛のために共に行動する
1.1 Strengthening common situational awareness and coordination within defence community 1.1. 防衛省コミュニティにおける共通の状況認識と調整の強化
1.2 Enhancing coordination with civilian communities 1.2. 文民社会との連携強化
2. Secure the EU defence ecosystem 2. EU の防衛エコシステムを確保する
2.1. Enhancing the cyber resilience of the defence ecosystem 2.1. 防衛エコシステムのサイバー耐性を強化する
2.2. Ensure EU cyber defence interoperability and coherence of standards 2.2. EU のサイバー防衛の相互運用性と規格の一貫性を確保する
3. Invest in cyber defence capabilities 3. サイバー防衛能力への投資
3.1. Develop full-spectrum state-of-the-art cyber defence capabilities 3.1. フル・スペクトルの最先端サイバー防衛能力を開発する
3.2. Agile, competitive and innovative European defence industry 3.2. 機敏で競争力があり、革新的な欧州の防衛産業
3.3. EU cyber defence workforce 3.3. EU のサイバー防衛の労働力
4. Partner to address common challenges 4. 共通の課題に取り組むためのパートナー
4.1. Cooperation with NATO 4.1. NATOとの協力関係
4.2. Cooperation with like-minded partners 4.2. 志を同じくするパートナーとの協力関係
4.3. Cyber defence capacity building support for partner countries 4.3. パートナー国に対するサイバー防衛能力構築支援
III. CONCLUSION III.結論

 

EUのサイバー防衛政策に関する質問と回答...

Questions and Answers: The EU Policy on Cyber Defence

Questions and Answers: The EU Policy on Cyber Defence 質問と回答:サイバー防衛に関するEUの政策
Why is the EU policy on cyber defence needed?  なぜ、EUのサイバー防衛政策が必要なのか? 
The cyber domain is increasingly contested and the number of cyber-attacks against the EU and its Member States continues to grow. The Russian attack on the KA-SAT satellite network which disrupted communication across several public authorities as well as the Ukrainian armed forces is an example of how much civilian and defence players rely on the same critical infrastructure. This reinforces the need to secure such critical infrastructure.   サイバー領域はますます競争が激しくなっており、EUとその加盟国に対するサイバー攻撃は増え続けている。 ロシアがKA-SAT衛星ネットワークを攻撃し、複数の公的機関やウクライナ軍の通信を妨害したことは、民生と防衛のプレーヤーがいかに同じ重要インフラに依存しているかを示す一例である。このことは、このような重要なインフラを安全に保護する必要性をより強く示している。  
To protect its armed forces, citizens, as well as the EU's civilian and military crisis management missions and operations, the EU needs to boost cooperation and investments in cyber defence to enhance its ability to prevent, detect, deter, recover, and defend against cyber-attacks.   自国の軍隊、市民、そしてEUの文民・軍事危機管理ミッションと活動を守るために、EUはサイバー防衛における協力と投資を強化し、サイバー攻撃の予防、検知、抑止、回復、防御の能力を高める必要がある。 
The need for a review of the EU's cyber defence policy framework was noted in the 2020 EU Cybersecurity Strategy. Furthermore, President von der Leyen called for the development of a European Cyber Defence Policy in her 2021 State of the Union address. The Strategic Compass for Security and Defence approved by the Council in March this year called for an EU Cyber Defence Policy by 2022. In May, in the Council conclusions on the development of the European Union's cyber posture, Member States invited the High Representative together with the Commission to table an ambitious proposal for an EU Cyber Defence Policy in 2022.  EUのサイバー防衛政策の枠組みを見直す必要性は、「2020年EUサイバーセキュリティ戦略」でも指摘されている。さらに、フォン・デア・ライエン大統領は、2021年の一般教書演説で欧州サイバー防衛政策の策定を呼びかけた。今年3月に理事会で承認された「安全保障と防衛のための戦略的羅針盤」では、2022年までにEUサイバー防衛政策を策定することが求められていた。5月には、EUのサイバー態勢の整備に関する理事会結論で、加盟国は欧州委員会とともに上級代表に対し、2022年にEUサイバー防衛政策の野心的な提案を提出するよう求めている。 
What does the EU Policy on Cyber Defence set out to do?  EUのサイバー防衛政策は何を目指しているのか? 
The EU Policy on Cyber Defence is built around four pillars that cover a wide range of initiatives that will help the EU and Member States to be better able to detect, deter and defend against cyber-attacks. Better and stronger cooperation between the military and civilian actors is the common thread running across all these pillars:  EUのサイバー防衛政策は、EUと加盟国がサイバー攻撃を検知、抑止、防御する能力を向上させるための幅広い取り組みを網羅する4つの柱を中心に構築されている。軍と民間の関係者間のより良い、より強い協力関係が、これらすべての柱に共通するものである。 
ACT TOGETHER FOR A STRONGER EU CYBER DEFENCE  より強力なEUのサイバー防衛のために協力する 
The EU will reinforce its coordination mechanisms among national and EU cyber defence players, to increase information exchange and cooperation, and further support military Common Security and Defence Policy (CSDP) missions and operations. To this effect, the EU will:   EUは、各国およびEUのサイバー防衛関係者間の調整メカニズムを強化し、情報交換と協力を強化し、共通安全保障・防衛政策(CSDP)のミッションと作戦をさらに支援する。この目的のために、EUは以下を行う。 
1. create an EU Cyber Defence Coordination Centre (EUCDCC) to support enhanced situational awareness within the defence community;  1. EUサイバー防衛調整センター(EUCDCC)を設立し、防衛コミュニティ内の状況認識の強化。 
2. set up an operational network for milCERTs (Military Computer Emergency Response Teams);  2. 軍用コンピュータ緊急対応チーム(milCERT)の運用ネットワークの構築。 
3. develop and strengthen the EU Cyber Commanders Conference;  3. EUサイバー司令官会議の発展・強化。 
4. develop a new framework project CyDef-X to support EU cyber defence exercises; 4. EUのサイバー防衛演習を支援するための新しい枠組みプロジェクトCyDef-Xの開発。
5. further develop information exchange between the cyber defence community and the other cyber communities; 5. サイバー防衛コミュニティと他のサイバーコミュニティとの間の情報交換をさらなる発展。
6. strengthen common EU detection, situational awareness, and response capabilities through the EU civilian infrastructure of Security Operation Centres (SOCs); 6. EUの民間インフラであるセキュリティ・オペレーション・センター(SOC)を通じた、EU共通の探知、状況認識、対応能力の強化。
7. establish a mechanism to gradually build an EU-level cyber reserve with services from trusted private providers.  7. 信頼できる民間プロバイダーのサービスにより、EUレベルのサイバー予備軍を徐々に構築するためのメカニズムの確立。 
SECURE THE DEFENCE ECOSYSTEM  防衛エコシステムの保護 
Even non-critical software components can be used to carry out cyber-attacks on companies or governments, including in the defence sector. This calls for further work on cybersecurity standardisation and certification to secure both military and civilian domains. To this effect, the EU will:  防衛分野を含め、企業や政府に対するサイバー攻撃は、重要でないソフトウェア・コンポーネントでさえも利用される可能性がある。このため、軍事・民間の両領域を保護するためのサイバーセキュリティの標準化と認証に関するさらなる取り組みが必要である。この目的のために、EUは以下のことを行う。 
1. provide a platform to support Member States in the development of non-legally binding recommendations for the defence community;  1. 法的拘束力のない防衛関連勧告の策定において、加盟国を支援するためのプラットフォームを提供する。 
2. develop recommendations on EU cyber defence interoperability requirements;  2. EUのサイバー防衛相互運用性要件に関する勧告を策定する。 
3. develop risk scenarios for critical infrastructure of importance to military communication and mobility to target preparedness actions including through penetration testing;  3. 軍事通信および機動性にとって重要なインフラのリスクシナリオを開発し、侵入テストを含む準備行動の目標とする。 
4. foster cooperation between civilian and military standardisation bodies for the development of harmonised standards for dual-use products.  4. デュアルユース製品の調和された規格を開発するために、民生用と軍事用の標準化団体間の協力を促進する。 
INVEST IN CYBER DEFENCE CAPABILITIES  サイバー防衛能力への投資 
Member States need to significantly increase investments in modern military cyber defence capabilities in a collaborative manner, using the cooperation platforms and funding mechanisms available at the EU level, such as PESCO and the European Defence Fund. To address these challenges, the EU will:   加盟国は、PESCOや欧州防衛基金といったEUレベルで利用可能な協力プラットフォームや資金調達メカニズムを活用し、現代的な軍事サイバー防衛能力への投資を協力的に大幅に増やす必要がある。これらの課題に対処するために、EUは以下を行う。  
1. update priorities for cyber defence capability development and further support Member States in developing their cyber defence capabilities in cooperation; 1. サイバー防衛能力開発に関する優先順位を更新し、加盟国が協力してサイバー防衛能力を開発することをさらに支援する。
2. develop an EU cyber technology roadmap to reduce dependencies on critical technologies using all EU instruments;   2. EUのあらゆる手段を用いて、重要技術への依存度を低減するためのEUサイバー技術ロードマップを作成する。 
3. develop Emerging Disruptive Technologies (EDTs) Strategic Assessment to support long-term strategic investment decisions of Member States;   3. 加盟国の長期的戦略的投資決定を支援するための新興破壊的技術(EDTs)戦略的評価の策定。 
4. explore with Member States the possibility to develop a set of voluntary commitments for the development of national cyber defence capabilities;  4. 加盟国とともに、国家のサイバー防衛能力開発のための一連の自発的コミットメントを策定する可能性を探る。 
5. develop EU cyber defence training and exercises, including through the ESDC Cyber Education, Training, Exercises and Evaluation (ETEE) platform;  5. ESDCのサイバー教育・訓練・演習・評価(ETEE)プラットフォームを含む、EUのサイバー防衛訓練・演習を発展させる。 
6. establish an EU Cyber Skills Academy, considering needs for specific skills for different professional profiles and sectors of activity, including in the defence workforce.  6. EUサイバー・スキル・アカデミーを設立し、防衛職を含む様々な専門職や活動分野に対する特定のスキルのニーズを検討する。 
PARTNER TO ADDRESS COMMON CHALLENGES  共通の課題に取り組むためのパートナー 
Building on existing security and defence as well as cyber dialogues with partner countries, the EU will seek to establish tailored partnerships in the area of cyber defence. In this regard, the EU will:  EUは、パートナー国との既存の安全保障・防衛およびサイバー対話に基づき、サイバー防衛の分野において、それぞれに適したパートナーシップを構築することを模索する。この点に関して、EUは以下のことを行う。 
1. strengthen EU-NATO cooperation in the field of cyber-defence training, exercises, education, situational awareness, standardisation and certification;  1. サイバー防衛の訓練、演習、教育、状況認識、標準化、認証の分野におけるEUとNATOの協力関係を強化する。 
2. include cyber defence in EU-led cyber as well as security and defence dialogues with key partners;  2. EUが主導するサイバーおよび主要なパートナーとの安全保障・防衛に関する対話に、サイバー防衛を含める。 
3. support partners in cyber defence capacity building, including through the European Peace Facility (EPF).  3. 欧州平和ファシリティ(EPF)を含め、サイバー防衛の能力構築においてパートナーを支援すること。 
What has been done since the second Cyber Defence Policy Framework was launched in 2018?  2018年に第2次サイバー防衛政策フレームワークが開始されて以来、何が行われたのか? 
The Joint Communication builds on the Cyber Defence Policy Framework (CDPF) established in 2014 and updated in 2018, as well as the 2020 Cybersecurity Strategy. They have allowed to prepare the ground for many actions proposed in this policy.  共同声明は、2014年に策定され2018年に更新されたサイバー防衛政策フレームワーク(CDPF)、および2020年サイバーセキュリティ戦略の上に構築されている。それらにより、本政策で提案されている多くのアクションのための基盤を整えることができた。 
In the framework of the Cyber Defence Policy Framework, progress has been achieved in all the six priority areas: supporting the development of Member States' cyber defence capabilities, enhancing the protection of the Common Security and Defence Policy (CSDP) communication and information systems used by EU entities, promotion of civil-military cooperation, development of research and technology, improving education, training, and exercises opportunities and in enhancing cooperation with relevant international partners. サイバー防衛政策枠組みの枠組みでは、加盟国のサイバー防衛能力の開発支援、EUの事業体が使用する共通安全保障・防衛政策(CSDP)の通信・情報システムの保護強化、民軍協力の推進、研究・技術の開発、教育・訓練・演習の機会の改善、関連国際パートナーとの協力強化の6つの優先分野すべてにおいて進捗があった。

 

ファクトシート...

・[PDF] THE EU POLICY ON CYBER DEFENCE 

20221116-22204

 

| | Comments (0)

2022.11.15

経済産業省 意見募集 特定デジタルプラットフォームの透明性及び公正性についての評価(案)

こんにちは、丸山満彦です。

経済産業省が、「特定デジタルプラットフォームの透明性及び公正性についての評価」(案)についての意見募集が行われていますね・・・

 

● 経済産業省

・2022.11.11 特定デジタルプラットフォームの透明性及び公正性についての評価(案)への御意見を募集します

● e-Gov

・2022.11.11 特定デジタルプラットフォームの透明性及び公正性の向上に関する法律に基づく特定デジタルプラットフォームに対する経済産業省大臣による評価(案)に対する意見公募について

 

意見募集...

20221115-155544

 

関連資料...

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.10.17 G7 デジタル分野における独占禁止法執行について議論 (2022.10.12)

 

日本関係...

・2022.09.25 経済産業省 デジタルプラットフォームの透明性・公正性に関するモニタリング会合

・2022.09.04 総務省 ICT を取り巻く市場環境の動向に関する調査研究の請負報告書

・2022.08.07 デジタル市場競争会議 ワーキンググループ 第38回 「モバイル・エコシステムに関する競争評価 中間報告」及び「新たな顧客接点(ボイスアシスタント及びウェアラブル)に関する競争評価 中間報告」に関する意見募集に寄せられた御意見等

・2022.05.04 日本銀行 経済的視点からみた個人情報の利活用 ―デジタルプラットフォーマーと決済サービスー

 

欧州 デジタルサービス法、デジタル市場法関係

・2022.09.23 ⽇欧産業協⼒センター 欧州デジタル政策 (Vol.1-3)

・2022.07.20 欧州理事会 欧州連合理事会 デジタル市場法 (DMA) 案を採択

・2022.07.11 欧州議会 デジタルサービス法 (DSA) デジタル市場法 (DMA) が可決 (2022.07.05)

・2022.03.26 欧州理事会 欧州連合理事会 デジタル市場法(DMA)が理事会・欧州議会で合意されたようですね。。。

・2020.12.16 欧州委員会 デジタルプラットフォーマを規制するためのデジタルサービス法とデジタル市場法の最終提案を公表

 

 

| | Comments (0)

米国 中国 G20関係 ジョー・バイデン大統領と中華人民共和国の習近平国家主席との会談

こんにちは、丸山満彦です。

G20が本日から始まりますが、その前に色々とリーダー間のミーティングが行われていますね。。。今回はロシアの代表が来ていませんのが、残念ですね。。。

ただ、開催前日に行われた、バイデン大統領と習近平国家主席の会談後の両者の笑顔の写真に少し安堵(もちろん演出かもしれませんが...)しました。。。

報道スタイルの違いも興味深いですよね。。。言ったままの米国、周到に準備した文面、、、日本はどっちに近い???

 

まずは、米国側から...

The White House

・2022.11.14 Readout of President Joe Biden’s Meeting with President Xi Jinping of the People’s Republic of China

Readout of President Joe Biden’s Meeting with President Xi Jinping of the People’s Republic of China ジョー・バイデン大統領と中華人民共和国・習近平国家主席との会談の読み上げ
President Joseph R. Biden, Jr. met on November 14 with President Xi Jinping of the People’s Republic of China (PRC), in Bali, Indonesia. The two leaders spoke candidly about their respective priorities and intentions across a range of issues. President Biden explained that the United States will continue to compete vigorously with the PRC, including by investing in sources of strength at home and aligning efforts with allies and partners around the world. He reiterated that this competition should not veer into conflict and underscored that the United States and China must manage the competition responsibly and maintain open lines of communication. The two leaders discussed the importance of developing principles that would advance these goals and tasked their teams to discuss them further.  バイデン大統領は11月14日、インドネシアのバリ島で、中華人民共和国の習近平国家主席と会談した。 両首脳は、さまざまな問題について、それぞれの優先順位と意図について率直に語り合った。 バイデン大統領は、米国は自国の強さの源泉に投資し、世界中の同盟国やパートナーと力を合わせるなどして、中国と精力的に競争を続けていくと説明した。バイデン大統領は、この競争が紛争に発展してはならないと繰り返し述べ、米国と中国が責任を持ってこの競争を管理し、開かれたコミュニケーションラインを維持しなければならないことを強調した。 両首脳は、これらの目標を推進するための原則を策定することの重要性について議論し、両チームにさらに議論を進めるよう命じた。 
President Biden underscored that the United States and China must work together to address transnational challenges – such as climate change, global macroeconomic stability including debt relief, health security, and global food security – because that is what the international community expects. The two leaders agreed to empower key senior officials to maintain communication and deepen constructive efforts on these and other issues. They welcomed ongoing efforts to address specific issues in U.S.-China bilateral relations, and encouraged further progress in these existing mechanisms, including through joint working groups. They also noted the importance of ties between the people of the United States and the PRC. バイデン大統領は、米国と中国が、気候変動、債務救済を含む世界のマクロ経済の安定、健康の安全保障、世界の食料安全保障などの国境を越える課題に協力して取り組む必要があり、それは国際社会が期待していることだからであると強調した。 両首脳は、これらの問題及びその他の問題についてのコミュニケーションを維持し、建設的な努力を深めるために、主要な高官に権限を与えることに合意した。 両首脳は、米中二国間関係における特定の問題に対処するための継続的な努力を歓迎し、共同作業グループを含むこれらの既存のメカニズムにおける更なる進捗を奨励した。 また、米国と中国の国民の間の絆の重要性についても言及した。
President Biden raised concerns about PRC practices in Xinjiang, Tibet, and Hong Kong, and human rights more broadly. On Taiwan, he laid out in detail that our one China policy has not changed, the United States opposes any unilateral changes to the status quo by either side, and the world has an interest in the maintenance of peace and stability in the Taiwan Strait. He raised U.S. objections to the PRC’s coercive and increasingly aggressive actions toward Taiwan, which undermine peace and stability across the Taiwan Strait and in the broader region, and jeopardize global prosperity. President Biden also raised ongoing concerns about China’s non-market economic practices, which harm American workers and families, and workers and families around the world. He again underscored that it is a priority for us to resolve the cases of American citizens who are wrongfully detained or subject to exit bans in China バイデン大統領は、新疆ウイグル自治区、チベット、香港における中国の慣行や、より広範な人権について懸念を表明した。 台湾については、我々の一つの中国政策は変わっていないこと、米国はどちらか一方による一方的な現状変更に反対していること、世界は台湾海峡の平和と安定の維持に関心を持っていることなどを詳しく説明した。 また、中国が台湾に対して強圧的でますます攻撃的な行動をとっており、それが台湾海峡とより広い地域の平和と安定を損ない、世界の繁栄を危うくしていることに米国が異議を唱えた。 バイデン大統領はまた、中国の非市場的な経済慣行について、米国の労働者と家族、そして世界中の労働者と家族に害を与えているという継続的な懸念を表明した。 彼は、中国で不当に拘束されたり、出国禁止措置の対象となっている米国人のケースを解決することが、我々の優先事項であることを再度強調した。
The two leaders exchanged views on key regional and global challenges. President Biden raised Russia’s brutal war against Ukraine and Russia’s irresponsible threats of nuclear use. President Biden and President Xi reiterated their agreement that a nuclear war should never be fought and can never be won and underscored their opposition to the use or threat of use of nuclear weapons in Ukraine. President Biden also raised concerns about the DPRK’s provocative behavior, noted all members of the international community have an interest in encouraging the DPRK to act responsibly, and underscored the United States’ ironclad commitment to defending our Indo-Pacific Allies. 両首脳は、地域的・世界的な主要課題について意見交換を行った。 バイデン大統領は、ロシアのウクライナに対する残虐な戦争と、ロシアの無責任な核使用の威嚇を提起した。 バイデン大統領と習主席は、核戦争は決して起こしてはならず、決して勝つことはできないという点で一致したことを改めて表明し、ウクライナにおける核兵器の使用や使用の威嚇に反対することを強調した。 バイデン大統領はまた、DPRKの挑発的な行動について懸念を示し、国際社会のすべてのメンバーがDPRKに責任ある行動を促すことに関心を持っていると指摘し、インド太平洋地域の同盟国を防衛するという米国の鉄壁のコミットメントを強調した。
The two leaders agreed that Secretary of State Blinken will visit China to follow up on their discussions. 両首脳は、ブリンケン国務長官が中国を訪問し、議論のフォローアップを行うことで合意した。

 

・2022.11.14 Remarks by President Biden and President Xi Jinping of the People’s Republic of China Before Bilateral Meeting

Remarks by President Biden and President Xi Jinping of the People’s Republic of China Before Bilateral Meeting バイデン大統領と習近平国家主席による二国間会談前の挨拶
Mulia Hotel ムリアホテル
Bali, Indonesia インドネシア・バリ島
5:41 P.M. WITA 5:41 P.M. WITA
PRESIDENT BIDEN: Well, President Xi, it’s — I’m really glad to be able to see you again in person. We spent a lot of time together and — back in the days when we were both vice presidents, and it’s just great to see you. バイデン大統領:さて、習主席、それは - 私は直接あなたに再び会うことができることを本当に嬉しく思います。私たちは副大統領だったころ、多くの時間を一緒に過ごしてきました。
And you and I have had a number of candid and useful conversations over the years and since I became President as well. You were kind enough to call me to congratulate me, and I congratulate you as well. And I believe there’s little substitute, though, for — to face-to-face discussions. そしてあなたと私は、長年にわたって、そして私が大統領になってからも、率直で有益な会話を何度もしてきました。あなたは親切にも私にお祝いの電話をくれましたが、私もあなたをお祝いします。しかし、私は、直接会っての話し合いに代わるものはほとんどないと思っています。
And as you know, I’m committed to keeping the lines of communications open between you and me personally but our governments across the board, because our two countries are — have so much that we have an opportunity to deal with. ご存知のように、私はあなたと私個人、そして政府間のコミュニケーションラインを常にオープンにしておくことに全力を注いでいます。
As the leaders of our two nations, we share a responsibility, in my view, to show that China and the United States can manage our differences, prevent competition from becoming anything ever near conflict, and to find ways to work together on urgent global issues that require our mutual cooperation. 両国の指導者として、私たちは中国と米国が互いの相違を管理できることを示し、競争が対立に近いものになるのを防ぎ、相互協力を必要とする緊急のグローバルな問題で協力する方法を見出す責任を共有していると私は考えています。
And I believe this is critical for the sake of our two countries and the international community. This — this was a key to the theme of the COP27 meeting, where I spoke on Friday. And we’ll be discussing a lot of these challenges together, I hope, in the next couple hours. そして、これは両国と国際社会のために非常に重要なことだと私は考えています。これは - 金曜日に私が講演したCOP27の会議のテーマでも重要なポイントでした。そして、私たちはこれから数時間のうちに、こうした課題の多くを共に議論していきたいと思います。
And the world expects, I believe, China and the United States to play key roles in addressing global challenges, from climate changes, to food insecurity, and to — for us to be able to work together. そして、世界は、中国と米国が、気候変動から食料不安まで、世界的な課題に取り組む上で重要な役割を果たすことを期待している、と私は信じています。
The United States stands ready to do just that — work with you — if that’s what you desire. 米国は、あなたが望むのであれば、あなたとともに行動する用意があります。
So, President Xi, I look forward to our continuing and ongoing open and honest dialogue we’ve always had. And I thank you for the opportunity. 習近平国家主席、私は、これまで通りオープンで正直な対話を続けることを楽しみにしている。そして、この機会に感謝します。
PRESIDENT XI: (As interpreted.) Mr. President, it’s good to see you. The last time we met was in 2017, during the World Economic Forum in Davos. That was already more than five years ago. 習主席:(通訳)主席、お会いできてうれしいです。前回お会いしたのは2017年、ダボスでの世界経済フォーラムの時でした。すでに5年以上前のことです。
Since you assumed the presidency, we have maintained communication via video conferences, phone calls, and letters. But none of them can really substitute for face-to-face exchanges. And today, we finally have this face-to-face meeting. あなたが大統領に就任して以来、私たちはテレビ会議、電話、手紙などでコミュニケーションを維持してきました。しかし、どれも対面での交流に代わるものではありません。そして今日、私たちはついに対面することができました。
From the initial contact and the establishment of diplomatic relations to today, China and the United States have gone through 50-plus eventful years. We have gained experience, and we’ve also learned lessons. 最初の接触、国交樹立から今日まで、中国と米国は50年余の波乱に満ちた歳月を過ごしてきた。私たちは経験を積み、また教訓を学んできました。
History is the best textbook, so we should take history as a mirror and let it guide the future. 歴史は最高の教科書であり、我々は歴史を鏡として捉え、未来を導くべきものです。
Currently, the China-U.S. relationship is in such a situation that we all care a lot about it, because this is not the fundamental interests of our two countries and peoples and it is not what the international community expects us. 現在、中米関係は、私たち全員が大いに気にするような状況にあります。なぜなら、これは両国と人民の根本的な利益ではなく、国際社会が私たちに期待しているものでもないからです。
As leaders of the two major countries, we need to chart the right course for the China-U.S. relationship. We need to find the right direction for the bilateral relationship going forward and elevate the relationship. 2つの主要国の指導者として、私たちは中米関係の正しい道筋を描く必要があります。私たちは、今後の二国間関係の正しい方向性を見出し、関係を高めていく必要があります。
A statesman should think about and know where to lead his country. He should also think about and know how to get along with other countries and the wider world. 政治家は自分の国をどこに導くべきかを考え、知るべきです。また、他の国や広い世界とどのように付き合っていくかを考え、知るべきでしょう。
Well, in this time and age, great changes are unfolding in ways like never before. Humanity are confronted with unprecedented challenges. The world has come to a crossroads. Where to go from here — this is a question that is not only on our mind but also on the mind of all countries. さて、この時代には、かつてないほどの大きな変化が起きています。人類は前例のない課題に直面しています。世界は岐路に立たされているのです。これからどこへ行くのか-これは私たちだけでなく、すべての国が考えている問題です。
The world expects that China and the United States will properly handle the relationship. And for our meeting, it has attracted the world’s attention. 世界は、中国と米国が関係を適切に処理することを期待している。そして、私たちの会談についても、世界の注目を集めています。
So, we need to work with all countries to bring more hope to world peace, greater confidence in global stability, and stronger impetus to common development. ですから、私たちはすべての国々と協力し、世界平和にさらなる希望を、世界の安定にさらなる信頼を、そして共通の発展にさらなる推進力をもたらす必要があります。
In our meeting today, I’m ready to have a candid — as we always did — have a candid and in-depth exchange of views with you on issues of strategic importance in China-U.S. relations and on major global and regional issues. 本日の会談では、中米関係における戦略的に重要な問題や、世界や地域の主要な問題について、いつもそうであったように、率直で深い意見交換をする用意があります。
I look forward to working with you, Mr. President, to bring China-U.S. relations back to the track of healthy and stable growth to the benefit of our two countries and the world as a whole. 私は、中米関係を健全で安定した成長の軌道に戻し、両国と世界全体に利益をもたらすために、大統領と一緒に働くことを楽しみにしています。
Thank you. ありがとうございました。
5:47 P.M. WITA 5:47 P.M. WITA

 

 

・2022.11.10 Statement by White House Press Secretary Karine Jean-Pierre on the Meeting Between President Joe Biden and President Xi Jinping of the People’s Republic of China

Statement by White House Press Secretary Karine Jean-Pierre on the Meeting Between President Joe Biden and President Xi Jinping of the People’s Republic of China ジョー・バイデン大統領と習近平国家主席の会談に関するホワイトハウスのカリーヌ・ジャン=ピエール報道官の声明
President Biden will meet with President Xi Jinping of the People’s Republic of China (PRC) in Bali, Indonesia on November 14, 2022. The Leaders will discuss efforts to maintain and deepen lines of communication between the United States and the PRC, responsibly manage competition, and work together where our interests align, especially on transnational challenges that affect the international community. The two Leaders will also discuss a range of regional and global issues. バイデン大統領は、2022年11月14日にインドネシアのバリ島で、中華人民共和国の習近平国家主席と会談する予定。両首脳は、米国と中国の間のコミュニケーションラインを維持・深化させ、責任を持って競争を管理し、特に国際社会に影響を与える国境を越えた課題について、我々の利益が一致するところで協力するための努力について議論する予定である。両首脳はまた、様々な地域的及び世界的課題について議論する。

 

 

次に、中国側から...

中华人民共和国中央人民政府

・2022.11.14 近平同美国总统拜登在巴厘岛举行会晤

习近平同美国总统拜登在巴厘岛举行会晤 習近平とジョー・バイデン米大統領がバリ島で会談
当地时间2022年11月14日下午,国家主席习近平在印度尼西亚巴厘岛同美国总统拜登举行会晤。两国元首就中美关系中的战略性问题以及重大全球和地区问题坦诚深入交换了看法。 習近平国家主席は2022年11月14日午後、インドネシアのバリ島で米国のジョー・バイデン大統領と会談した。 両首脳は、中米関係における戦略的問題や、世界や地域の主要な問題について、率直かつ深い意見交換を行った。
习近平指出,当前中美关系面临的局面不符合两国和两国人民根本利益,也不符合国际社会期待。中美双方需要本着对历史、对世界、对人民负责的态度,探讨新时期两国正确相处之道,找到两国关系发展的正确方向,推动中美关系重回健康稳定发展轨道,造福两国,惠及世界。 習近平は、米中関係が直面している現在の状況は、両国と人民の根本的な利益に合致しておらず、国際社会の期待にも合致していないと指摘した。 中国と米国は、両国が新しい時代に歴史、世界、人々に対して責任ある態度で付き合うための正しい道を探り、両国関係の発展の正しい方向を見出し、両国と世界の利益のために中米関係が健全で安定した発展軌道に戻ることを促進する必要がある。
习近平介绍了中国共产党第二十次全国代表大会主要情况和重要成果,指出,中国党和政府的内外政策公开透明,战略意图光明磊落,保持高度连续性和稳定性。我们以中国式现代化全面推进中华民族伟大复兴,继续把实现人民对美好生活的向往作为出发点,坚定不移把改革开放进行下去,推动建设开放型世界经济。中国继续坚定奉行独立自主的和平外交政策,始终根据事情本身的是非曲直决定自己的立场和态度,倡导对话协商、和平解决争端,深化和拓展全球伙伴关系,维护以联合国为核心的国际体系和以国际法为基础的国际秩序,推动构建人类命运共同体。中国将坚持和平发展、开放发展、共赢发展,做全球发展的参与者、推动者,同各国一起实现共同发展。 習近平氏は、中国共産党第20回全国代表大会の主な状況と重要な成果を紹介し、中国の党と政府の内外の政策は開放的で透明性があり、明るく明確な戦略的意図を持ち、高度な連続性と安定性を保っていると指摘した。 私たちは、中国式の近代化によって中華民族の偉大な若返りを全面的に推進し、より良い生活を求める人々の願望の実現を引き続き原点とし、改革開放を揺るぎなく実行し、開かれた世界経済の構築を推進している。 中国は引き続き自主的かつ平和的な外交政策を堅持し、常に問題そのものの是非に基づいて立場と態度を決め、対話と協議、紛争の平和的解決を提唱し、グローバルなパートナーシップを深化・拡大し、国連を中心とした国際体制と国際法に基づく国際秩序を堅持し、人類運命共同体の構築を推進します。 中国は平和的発展、開放的発展、ウィンウィンの発展を堅持し、世界の発展の参加者、推進者となり、他国と協力して共通の発展を達成する。
习近平指出,世界正处于一个重大历史转折点,各国既需要面对前所未有的挑战,也应该抓住前所未有的机遇。我们应该从这个高度看待和处理中美关系。中美关系不应该是你输我赢、你兴我衰的零和博弈,中美各自取得成功对彼此是机遇而非挑战。宽广的地球完全容得下中美各自发展、共同繁荣。双方应该正确看待对方内外政策和战略意图,确立对话而非对抗、双赢而非零和的交往基调。我高度重视总统先生有关“四不一无意”的表态。中国从来不寻求改变现有国际秩序,不干涉美国内政,无意挑战和取代美国。双方应该坚持相互尊重、和平共处、合作共赢,共同确保中美关系沿着正确航向前行,不偏航、不失速,更不能相撞。遵守国际关系基本准则和中美三个联合公报,这是双方管控矛盾分歧、防止对抗冲突的关键,也是中美关系最重要的防护和安全网。 習近平は、世界は大きな歴史的転換期にあり、各国は前例のない課題に直面する必要があると同時に、前例のないチャンスをつかむべきであると指摘した。 この高みから中米関係を眺め、対処していくべきである。 中米関係は、あなたが負ければ私が勝つ、あなたが上がれば私が下がるというゼロサムゲームであってはならず、中米の成功は互いにとって挑戦ではなくチャンスなのである。 広い地球は、米国と中国の発展と共同繁栄を受け入れることができるのである。 双方は、互いの内外の政策と戦略的意図を正しく把握し、対立ではなく対話、ゼロサムではなくウィン・ウィンの関係を築くべきである。 私は、社長の「4つのNoと1つのNoの意図」についての発言を非常に重要視している。 中国は既存の国際秩序を変えようとしたことはなく、米国の内政に干渉することもなく、米国に挑戦したり、取って代わろうとする意図もない。 双方は相互尊重、平和共存、ウィンウィンの協力を堅持し、中米関係が衝突はおろか、あくびも速度も落とさず、正しい道を進むよう協力する必要がある。 国際関係の基本規範と3つの中米共同コミュニケを遵守することは、双方の矛盾と相違を管理し、対立と衝突を防止する鍵であり、中米関係の最も重要な保護と安全網である。
习近平系统阐述了台湾问题由来以及中方原则立场。习近平强调,台湾问题是中国核心利益中的核心,是中美关系政治基础中的基础,是中美关系第一条不可逾越的红线。解决台湾问题是中国人自己的事,是中国的内政。维护祖国统一和领土完整,是中国人民和中华民族的共同心愿。任何人想把台湾从中国分裂出去,都违背中国的民族大义,中国人民都绝不会答应!我们希望看到并始终致力于保持台海的和平稳定,但“台独”同台海和平稳定水火不容。希望美方言行一致,恪守一个中国政策和中美三个联合公报。总统先生多次讲过不支持“台独”,无意将台湾作为谋求对华竞争优势或遏制中国的工具。希望美方将总统先生的承诺落到实处。 習近平は、台湾問題の起源と中国の原則的な立場を体系的に詳しく説明した。 習近平は、台湾問題は中国の核心的利益の核心であり、中米関係の政治的基盤の基礎であり、中米関係における越えてはならない最初のレッドラインであると強調した。 台湾問題の解決は、中国人自身の問題であり、中国の内政問題である。 祖国の統一と領土保全を守ることは、中国人民と中華民族の共通の願いである。 台湾を中国から分割しようとする者は、中国の国是に反するものであり、中国人民は決してそれに同意しないでしょう 私たちは、台湾海峡の平和と安定の維持を望み、そのために尽力しているが、「台湾独立」は台湾海峡の平和と安定と相容れないものである。 我々は、米国が言動を一貫させ、一帯一路と3つの中米共同コミュニケを遵守することを希望する。 総統は、「台湾独立」を支持せず、台湾を中国に対する競争優位を求めたり、中国を封じ込めるための道具にするつもりはない、と繰り返し述べている。 米国側には、大統領のコミットメントを実践してほしい。
习近平指出,自由、民主、人权是人类的共同追求,也是中国共产党的一贯追求。美国有美国式民主,中国有中国式民主,都符合各自的国情。中国全过程人民民主基于中国国情和历史文化,体现人民意愿,我们同样感到自豪。任何国家的民主制度都不可能至善至美,都需要不断发展完善。对双方存在的具体分歧,可以进行探讨,前提是平等交流。所谓“民主对抗威权”不是当今世界的特点,更不符合时代发展的潮流。 習近平は、自由、民主、人権は人類共通の追求であり、中国共産党が一貫して追求しているものだと指摘した。 アメリカにはアメリカ型の民主主義、中国には中国型の民主主義があり、それぞれの国情に合った形で成り立っている。 私たちは、中国の人民民主化の全プロセスが中国の国情と歴史と文化に基づき、人民の意志を反映しているという事実を同様に誇りに思っている。 どの国の民主主義制度も完璧ではなく、常に発展と改善を必要とします。 両者の間に存在する具体的な相違点については、対等な意見交換の場であれば、議論することが可能である。 いわゆる「権威主義に対抗する民主主義」というのは、今の時代の特徴でもないし、時代の趨勢にもそぐわない。
习近平指出,美国搞的是资本主义,中国搞的是社会主义,双方走的是不同的路。这种不同不是今天才有的,今后还会继续存在。中国共产党领导和中国社会主义制度得到14亿人民拥护和支持,是中国发展和稳定的根本保障。中美相处很重要一条就是承认这种不同,尊重这种不同,而不是强求一律,试图去改变甚至颠覆对方的制度。美方应将有关承诺体现在具体行动上,而不是说一套做一套。 習近平は、米国は資本主義に、中国は社会主義に取り組んでおり、両者は異なる道を歩んでいると指摘した。 この差は現在だけでなく、今後も存在し続けるでしょう。 14億の人々に支持され、受け入れられている中国共産党の指導力と中国の社会主義体制は、中国の発展と安定を根本的に保障するものである。 中国と米国は、画一化を強要したり、相手の制度を変えたり、あるいは破壊しようとするのではなく、この違いを認め、尊重しながら、仲良くやっていくことが重要である。 米国側は、あることを言いながら別のことをするのではなく、関連するコミットメントを具体的な行動に移すべきである。
习近平强调,中美是两个历史文化、社会制度、发展道路不同的大国,过去和现在有差异和分歧,今后也还会有,但这不应成为中美关系发展的障碍。任何时候世界都有竞争,但竞争应该是相互借鉴、你追我赶,共同进步,而不是你输我赢、你死我活。中国有自强不息的光荣传统,一切打压和遏制只会激发中国人民的意志和热情。打贸易战、科技战,人为“筑墙设垒”,强推“脱钩断链”,完全违反市场经济原则,破坏国际贸易规则,只会损人不利己。我们反对把经贸科技交流政治化、武器化。当前形势下,中美两国共同利益不是减少了,而是更多了。中美不冲突、不对抗、和平共处,这是两国最基本的共同利益。中美两国经济深度融合,面临新的发展任务,需要从对方发展中获益,这也是共同利益。全球经济疫后复苏、应对气候变化、解决地区热点问题也离不开中美协调合作,这还是共同利益。双方应该相互尊重,互惠互利,着眼大局,为双方合作提供好的氛围和稳定的关系。 習近平は、中国と米国は歴史、文化、社会制度、発展の道筋が異なる2つの大国であり、これまでも相違や不一致があり、今後もあるが、それが中米関係の発展の障害になってはならない、と強調した。 世の中には常に競争があるが、その競争はお互いに学び合い、追いつき、共に進歩するものであるべきで、あなたが負けて私が勝ち、あなたが死ぬというものではないはずである。 中国には輝かしい自己改革の伝統があり、あらゆる抑圧や封じ込めは、中国国民の意志と熱意を呼び起こすだけだ。 貿易戦争や技術戦争を行い、人工的な壁や障壁を作り、「デカップリングと鎖の切断」を推し進めることは、市場経済の原理と国際貿易のルールに全く反しており、自らを損ない他者を傷つけるだけである。 私たちは、経済・貿易・科学交流の政治化・武器化に反対します。 現在の状況では、中国と米国の共通利益は減るどころか増えている。 中国と米国は、衝突せず、対立せず、平和的に共存することが、両国の最も基本的な共通利益である。 中国と米国は経済的に深く融合し、新たな発展課題に直面しており、互いの発展から利益を得る必要があり、それは共通の利益でもある。 疫病後の世界経済の回復、気候変動への対応、地域のホットスポット問題の解決も、やはり共通の利益である中米間の協調と協力と切り離せないものである。 双方は互いを尊重し、互いから利益を得、大局的に判断して、相互協力のための良い雰囲気と安定した関係を提供する必要がある。
拜登表示,我同习近平主席相识多年,保持着经常性沟通,但无论如何也代替不了面对面的会晤。祝贺你再次连任中共中央总书记。美中作为两个大国,有责任保持建设性关系。美方致力于保持两国元首以及政府各层级沟通渠道畅通,就双方存在分歧的问题开展坦诚对话,为应对气候变化、粮食安全等重要全球性挑战加强必要合作,发挥关键作用。这对美中两国和两国人民至关重要,对整个世界也十分重要。我愿重申,一个稳定和发展的中国符合美国和世界的利益。美国尊重中国的体制,不寻求改变中国体制,不寻求“新冷战”,不寻求通过强化盟友关系反对中国,不支持“台湾独立”,也不支持“两个中国”“一中一台”,无意同中国发生冲突。美方也无意寻求同中国“脱钩”,无意阻挠中国经济发展,无意围堵中国。 バイデン大統領は、「私は習近平国家主席を長年知っており、定期的にコミュニケーションをとっているが、決して直接会うことに取って代わることはできない」と述べた。 中国共産党中央委員会総書記に再選されたことをお祝いする。 米国と中国は、2つの偉大な国として、建設的な関係を維持する責任がある。 米国は、両首脳間および政府のあらゆるレベルにおいて、コミュニケーションチャネルをオープンに保ち、意見が対立する問題については率直に対話を行い、気候変動や食糧安全保障などの重要な地球規模の課題に取り組むために必要な協力関係を強化するために重要な役割を果たすことにコミットしている。 このことは、米国と中国、そしてその国民、さらには世界全体にとって極めて重要なことである。 安定し、発展する中国は、米国と世界の利益となることを改めて強調したい。 米国は中国の制度を尊重し、それを変えようとしない、「新冷戦」を求めない、同盟関係を強化して中国に対抗しようとしない、「台湾独立」を支持しない、「二つの中国」を支持しない、「一つの中国、一つの台湾」を支持しない、などである。 "米国は中国との紛争に入るつもりはない。 また、米国は、中国との「縁切り」を求めたり、中国の経済発展を妨害したり、中国を包囲したりするつもりはない。
拜登表示,美中关系如何发展,对未来世界走向至关重要。美中双方有共同责任向世界展示,美中能够管控分歧,避免和防止由于误解误判或激烈竞争演变成对抗甚至冲突。美方认同应确立指导美中关系的原则,可由双方团队在已有的共识基础上继续谈下去,争取尽早达成一致。美国政府奉行一个中国政策,不寻求利用台湾问题作为工具遏制中国,希望看到台海和平稳定。 バイデン大統領は、米中関係がどのように発展していくかは、世界の将来の方向性にとって非常に重要であると述べた。 米国と中国は、互いの相違を管理し、誤解や誤算、あるいは激しい競争が対立や紛争に発展することを回避・防止できることを世界に示すという共通の責任を負っているのである。 米国側は、米中関係の指針となる原則が確立されるべきであり、できるだけ早く合意に達することを目指し、既に存在するコンセンサスに基づいて話し合いを続けることは、双方のチーム次第であることに同意している。 米国政府は、一帯一路の政策を追求し、台湾問題を中国封じ込めの道具として利用しようとせず、台湾海峡の平和と安定を望んでいる。
两国元首同意,双方外交团队保持战略沟通,开展经常性磋商。同意两国财金团队就宏观经济政策、经贸等问题开展对话协调。同意共同努力推动《联合国气候变化框架公约》第二十七次缔约方大会取得成功。双方就开展两国公共卫生、农业和粮食安全对话合作达成一致。同意用好中美联合工作组,推动解决更多具体问题。同意中美人文交流十分重要,鼓励扩大两国各领域人员交往。 両首脳は、双方の外交チームが戦略的なコミュニケーションを維持し、定期的に協議を行うことに合意した。 両国の財務チームがマクロ経済政策、経済及び貿易問題に関して対話と協調を行うことに合意した。 気候変動枠組条約第27回締約国会議の成功のために協力することに合意した。 両国間で公衆衛生、農業、食料安全保障に関する対話と協力を発展させることに合意した。 双方は、より具体的な問題の解決を促進するために、米中共同作業部会を有効に活用することに合意した。 両者は、中米人文交流の重要性に合意し、両国のあらゆる分野における人文交流の拡大を促した。
两国元首还就乌克兰危机等问题交换了意见。习近平指出,中方高度关切当前乌克兰局势。危机爆发后,我就提出了“四个应该”,前不久我又提出“四个共同”。面对乌克兰危机这样的全球性、复合性危机,有这么几条值得认真思考:一是冲突战争没有赢家;二是复杂问题没有简单解决办法;三是大国对抗必须避免。中方始终站在和平的一边,将继续劝和促谈,支持并期待俄乌双方恢复和谈,同时希望美国、北约、欧盟同俄罗斯开展全面对话。 また、両首脳はウクライナ危機などについても意見交換を行った。 習近平は、中国が現在のウクライナ情勢に強い懸念を抱いていることに言及した。 危機の発生以来、私は「4つのべき論」を提唱してきたが、少し前に「4つの共通論」を提唱した。 ウクライナ危機のような世界的かつ複合的な危機を前にして、第一に紛争や戦争に勝者はいないこと、第二に複雑な問題に単純な解決策はないこと、第三に大国間の対立は避けなければならないこと、など真剣に考えなければならない点がいくつかある。 中国は常に平和の側にあり、今後も平和を促し、協議を推進する。 ロシアとウクライナの和平協議再開を支持、期待すると同時に、米国、NATO、欧州連合がロシアと包括的対話を開始することを望んでいる。
两国元首都认为,会晤是深入坦诚和建设性的,责成两国工作团队及时跟进和落实两国元首达成的重要共识,采取切实行动,推动中美关系重返稳定发展轨道。两国元首同意继续保持经常性联系。 両首脳は、会談が綿密かつ率直で建設的なものであったことに同意し、両作業チームに対し、両首脳が達した重要な合意を適時にフォローアップし実施し、中米関係の安定的発展への復帰を促進するための実践的行動をとるよう命じた。 両首脳は、今後も定期的な連絡を維持することに合意した。
丁薛祥、王毅、何立峰等参加会见。 Ding Xuexiang、Wang Yi、He Lifengが会議に出席した。

 

● 外交部

・2022.11.14 习近平:找到中美关系发展正确方向,推动中美关系重回健康稳定发展轨道

习近平:找到中美关系发展正确方向,推动中美关系重回健康稳定发展轨道 習近平:中米関係の発展に正しい方向を見出し、健全で安定した発展の軌道に押し戻す。
当地时间2022年11月14日下午,国家主席习近平在印度尼西亚巴厘岛同美国总统拜登举行会晤。 習近平国家主席は現地時間2022年11月14日午後、インドネシアのバリ島で米国のジョー・バイデン大統領と会談した。
习近平指出,中美两国从接触、建交走到今天,历经50多年风风雨雨,有得也有失,有经验也有教训。历史是最好的教科书。我们应该以史为鉴、面向未来。当前,中美关系面临的局面不符合两国和两国人民根本利益,也不符合国际社会期待。我们作为中美两个大国的领导人,要起到把舵定向的作用,应该为两国关系找到正确的发展方向,推动中美关系向上提升。政治家要思考和明确本国的发展方向,也要思考和明确同他国、同世界的相处之道。 習近平は、中国と米国が接触し、国交を樹立して以来、50年以上の苦難と嵐、得失、経験と教訓を経て今日に至る長い道のりを歩んできたと指摘した。 歴史は最高の教科書である。 私たちは歴史から学び、未来を見据えるべきである。 現在、中米関係が直面している状況は、両国と人民の根本的な利益に合致しておらず、国際社会の期待にも応えてはいない。 私たちは、二大国の指導者として舵取りの役割を果たし、両国関係の発展の正しい方向性を見出して、それを押し上げていかなければならないのである。 政治家は、自国の発展の方向性、他国や世界との付き合い方を考え、明確にする必要がある。
习近平强调,当前,时代之变正以前所未有的方式展开,人类社会面临前所未有的挑战,世界站在十字路口。何去何从,我们关心,世界各国都关心。国际社会普遍期待中美处理好彼此关系。我们今天的会晤举世瞩目。我们应该同各国一道,为世界和平增强希望,为全球稳定增加信心,为共同发展增添动力。我愿同总统先生就中美关系中的战略性问题以及重大全球和地区问题一如既往地坦诚深入交换看法。我也期待同总统先生共同努力,推动中美关系重回健康稳定发展轨道,造福两国,惠及世界。 習近平は「時代の変化はかつてない形で展開し、人類社会は未曾有の試練に直面し、世界は岐路に立たされている」と強調した。 世界は岐路に立っている。 私たちは進むべき道を憂い、世界のすべての国々がその憂いを感じている。 国際社会は一般に、中国と米国が互いの関係をうまく処理することを期待している。 今日の私たちの会議は、世界にとって大きな関心事である。 私たちは、世界平和への希望を高め、世界の安定への信頼を高め、共通の発展に勢いをつけるために、他の国々と協力すべきである。 私は、米中関係における戦略的問題や、世界や地域の主要な問題について、大統領といつも通り率直で深い意見交換をする用意がある。 また、私は、中米関係の健全で安定した発展への回帰を促進し、両国と世界のためになるよう、大統領とともに努力することを楽しみにしている。

 

 

1_20221115121601

| | Comments (0)

米国 上院情報委員会 外国の諜報活動の脅威を詳述した超党派の報告書 (2022.09.20)

こんにちは、丸山満彦です。

米国上院情報委員会が、外国の諜報活動の脅威を詳述した超党派の報告書を公表していました。。。

チームとしてまとまるのは難しいですかね。。。

あっ、所々黒塗り (おそらく機密指定されている部分) があります。。。

 

U.S. Senate Select Committee on Intelligence

・2022.09.20 Senate Intelligence Committee Releases Bipartisan Report Detailing Foreign Intelligence Threats

 

Senate Intelligence Committee Releases Bipartisan Report Detailing Foreign Intelligence Threats 上院情報委員会が超党派の報告書を発表し、対外情報機関の脅威を詳細に説明
~ Overdue reforms are necessary to confront current foreign intelligence threats and protect national and economic security ~ ~ 現在の対外情報機関の脅威に立ち向かい、国家と経済の安全を守るためには、改革が必要であり、機は熟している ~
WASHINGTON – Today, Senate Select Committee on Intelligence Chairman Mark R. Warner (D-VA) and Vice Chairman Marco Rubio (R-FL) released a redacted, bipartisan assessment of foreign intelligence threats facing our country, in advance of an open hearing examining the topic featuring testimony from expert witnesses. ワシントン - 本日、上院情報特別委員会のマーク・ワーナー委員長(民主党、バージニア州)とマルコ・ルビオ副委員長(共和党、フロリダ州)は、専門家証人による証言でこのテーマを検討する公開公聴会に先立ち、わが国が直面する外国情報機関の脅威について超党派で編集した評価書を発表した。
The redacted report, based upon two years of independent research conducted by non-partisan Committee staff, identifies challenges facing the National Counterintelligence and Security Center (NCSC), and offers a range of solutions to ensure that the NCSC is positioned to respond to today’s foreign intelligence threats.  The investigation assessed the mission, duties and authorities, resources, and structure of the NCSC. 超党派の委員会スタッフによる2年間の独自調査に基づくこの再編集報告書は、国家防諜・安全保障センター(NCSC)が直面する課題を明らかにし、NCSCが今日の外国情報の脅威に対応できるよう、さまざまな解決策を提示している。  この調査では、NCSCの使命、任務と権限、資源、構造について評価した。
“The United States faces a dramatically different threat landscape today than it did just a couple of decades ago,” said Chairman Warner. “New threats and new technology mean that we have to make substantial adjustments to our counterintelligence posture if we are going to protect our country’s national and economic security.” ウォーナー委員長は、以下のように述べている。「米国は今日、ほんの数十年前とは劇的に異なる脅威の状況に直面している。新しい脅威と新しい技術は、我が国の国家と経済の安全を守るために、防諜体制を大幅に調整する必要があることを意味する。」
“Foreign adversarial governments, including the People’s Republic of China, are now targeting all sectors of U.S. society,” Vice Chairman Rubio added. “This Committee aims to ensure that the American public, industry, and academia are aware of this, and also to ensure that the Intelligence Community has the authorities and resources necessary to effectively confront these new counterintelligence threats.” ルビオ副委員長は、次のように述べている。「中華人民共和国を含む外国の敵対的な政府は、現在、米国社会のあらゆる分野を標的にしている。この委員会の目的は、米国民、産業界、学界がこのことを確実に認識し、また情報機関がこれらの新たな防諜の脅威に効果的に立ち向かうために必要な権限と資源を確保することである。」
Among the report’s key findings: 報告書の主要な発見事項:
・The United States faces threats from a wide variety of adversaries, including powerful state actors such as China and Russia, regional adversaries, minor states aligned with U.S. adversaries, ideologically motivated entities, and transnational criminal organizations; ・米国は、中国やロシアのような強力な国家主体、地域の敵対者、米国の敵対者と連携する小国家、イデオロギー的な動機のある団体、国際犯罪組織など、多種多様な敵対者からの脅威に直面している。
・Foreign intelligence entities are targeting the public and private sectors alike, including the financial sector, the U.S. industrial base, academic entities, U.S. government departments and agencies that are not part of the intelligence community, and national laboratories; ・外国の情報機関は、金融セクター、米国の産業基盤、学術団体、情報機関に属さない米国政府省庁、国立研究所など、公共・民間を問わず標的にしている。
・Today’s adversaries have access to a much wider variety of tools for stealing information, influencing U.S. officials or inflaming social and political tensions than in the past, including nontraditional human, cyber, advanced technical, and open source intelligence operations to collect against U.S. plans and policies, sensitive technology, personally identifiable information, and intellectual property, as well as to influence U.S. decision-making and public opinion; ・米国の計画や政策、機密技術、個人を特定できる情報、知的財産などに対する情報収集や、米国の意思決定や世論に影響を与えるための非伝統的な人的情報、サイバー情報、先端技術情報、オープンソース情報活動など、今日の敵は情報を盗み、米国当局に影響を与え、社会や政治の緊張を煽る手段を過去よりはるかに幅広く利用している。
・The U.S. counterintelligence efforts are not postured to effectively confront the whole-of-society threat landscape facing the country today, with the NCSC lacking a clear mission, sufficient and well-defined authorities, and adequate resources to do so; ・米国の防諜活動は、NCSCが明確な任務、十分かつ明確に定義された権限、適切な資源を欠いているため、今日米国が直面している社会全体の脅威の状況に効果的に立ち向かう態勢を整えていない。
・The report recommends that Congress, in conjunction with the Executive Branch and the Office of the Director of National Intelligence, develop a consistent U.S. government-wide definition of counterintelligence that reflects today’s threat landscape, and enact reforms to clarify NCSC's mission, structure and responsibilities and determine what role it should play in traditional, strategic, and offensive counterintelligence operations. ・報告書は、議会が行政府および国家情報長官室と連携して、今日の脅威の状況を反映した米国政府全体の防諜に関する一貫した定義を策定し、NCSCの任務、組織、責任を明確にする改革を実施し、伝統的、戦略的、攻撃的防諜活動に果たすべき役割を決定することを提言している。

 

報告書... 

・[PDF] Senate Intelligence Committee Releases Bipartisan Report Detailing Foreign Intelligence Threats

20221115-14000

 

表題...

(U) ORGANIZATIONAL ASSESSMENT: THE NATIONAL COUNTERINTELLIGENCE ANDSECURITYCENTER (U) 組織的評価:国家防諜・安全保障センター
(U) AUDITS AND PROJECTS REPORT 22-01 (U) 監査とプロジェクト報告書22-01
(U) SELECT COMMITTTEE ON INTELLIGENCE (U) 情報機関に関する特別委員会
(U) UNITED STATES SENATE (U) 米国上院
   

目次...

 
(U) EXECUTIVE SUMMARY (U) エグゼクティブ・サマリー
(U) ABBREVIATIONS (U) 略語
(U) INTRODUCTION AND METHODOLOGY (U) 序論と方法論
(U) CURRENT THREAT LANDSCAPE (U) 現在の脅威の状況
A.(U) Current Adversaries and Threat Actors A.(U) 現在の敵対者と脅威の行為者
B.(U) Current FIE Targets B.(U) 現在の外国情報機関のターゲット
C.(U) Current FIE Tactics C.(U) 現在の外国情報機関の戦術
D.(U) Overview of the National Counterintelligence and Security Center D.(U) 国家防諜・安全保障センターの概要
(U) FINDINGS (U) 発見事項
A.(U) MISSION A.(U) ミッション
1 (U) It is Unclear Whether Certain FIE Threats and U S Activities to Counter Them Fall within the Definition of CI 1 (U) ある種の国際金融活動家の脅威とそれに対抗する米国の活動が防諜の定義に入るかどうかは不明確である。
2. (U)T h e Boundaries of the CI Enterprise are Unclear 2. (U)防諜組織の境界が不明確である。
3. (U) Traditional CI and Strategic CI are Different Missions- but it is Unclear Whether NCSC Should Focus on Traditional CI, Strategic CI, or Both 3. (U) 伝統的防諜と戦略的防諜は異なる任務であるが、NCSC が伝統的防諜、戦略的防諜、あるいはその両方に重点を置くべきかは不明確である。
4. (U) NCSC Plays a Limited Role in Offensive CI Despite its Importance to the Strategic CI Mission 4. (U) 戦略的情報収集の重要性にもかかわらず、NCSCは攻撃的情報収集に限定的な役割を担っている。
B. (U) DUTIES AND AUTHORITIES B. (U) 任務と権限
1. (U) NCSC Does Not Fulfill Al Statutorily Assigned Duties Partly Due to Authority and Resource Limitations 1. (U) NCSC は、権限と資源の制約のため、部分的に法定された任務を遂行できていない。
2. (U) NCSC Conducts Several Duties Not Assigned in Statute due to Perceived IC Need 2. (U) NCSC は、情報機関 の必要性から、法令に定められていないいくつかの職務を遂行している。
C. (U) RESOURCES AND STAFFING C. (U) リソースとスタッフ配置
1 (U) Key NCSC Duties are Limited due to Staffing and Resource Constraints 1 (U) NCSC の主要任務は、人員及び資源上の制約により制限されている。
2. (U) NCSC's Staff Composition is Appropriate 2. (U) NCSC の職員構成は適切である。
3. (U) Change in NCSC Staffing Over Time 3. (U) NCSCの人員の経年変化
4. (U) NCSC's Hiring Procedures Take Time 4. (U) NCSCの採用手続きは時間がかかる
5. (U) NCSC's Budget is Small Relative to its Mission 5. (U) NCSCの予算は、その使命に比して少ない。
D. (U) LOCATION AND STRUCTURE D. (U) 所在地と構造
1. (U) NCSC Experiences Drawbacks and Benefits as an ODNI Center 1. (U) ODNI センターとしての NCSC の利点と欠点
2. (U) Officials Disagree Over Whether NCSC Should Remain Exclusively Within the IC 2. (U)NCSCが情報機関内に留まるべきか否かについて、関係者の間で意見の相違がある。
(U) CONCLUSION AND RECOMMENDATIONS (U) 結論と提言
(U) APPENDIX A: EVOLUTION OF CI AUTHORITIES (U) 附属書 A:防諜権限の変遷

 

エグゼクティブサマリー

(U) EXECUTIVE SUMMARY (U) エグゼクティブサマリー
(U) The Senate Select Committee on Intelligence (SSCI or the Committee) has long expressed interest in reviewing the United States Government (USG) counterintelligence (CI) enterprise to identify actions needed to enhance its posture, capabilities, and responsibilities in response to contemporary foreign intelligence entity (FIE) threats. The Committee tasked the Audits & Projects Team (Team) with conducting a targeted organizational assessment of the National Counterintelligence and Security Center (NCSC or the Center)- the statutory head of U.S. CI- to understand whether this entity is properly authorized, resourced, and structured to carry out its mission. This report seeks to (1) identify the key challenges facing NCSC in carrying out its mission and (2) capture a range of opinions from CI experts on those challenges and potential ways forward. (U) 上院情報特別委員会(SS防諜または委員会)は、米国政府(USG)の防諜(CI)組織を見直し、現代の外国情報機関(FIE)の脅威に対応する姿勢、能力、責任を強化するために必要な措置を特定することに、長年関心を示してきた。委員会は監査・プロジェクト・チームに、米国防諜センターの法定責任者である国家防諜安全保障センター(NCSCまたはセンター)の組織評価を行い、この組織が任務を遂行するために適切な権限、資源、体制を有しているかどうかを把握するよう命じた。本報告書は、(1)NCSCがその任務を遂行する上で直面する主要な課題を特定し、(2)それらの課題と今後の可能性に関して、防諜の専門家から様々な意見を収集することを目的としている。
(U) CURRENT THREAT LANDSCAPE (U) 現在の脅威の状況
(U) The United States faces a dramatically different threat landscape today than it did just a couple of decades ago. Multiple adversaries target nearly every sector of U.S. society using traditional and novel tactics and techniques. As the current National CI Strategy notes, FIEs- "to include nation-states, organizations, and individuals- are employing innovative combinations of traditional spying, economic espionage and supply chain and cyber operations to gain access to critical infrastructure and steal sensitive information, research, technology, and industrial secrets." These changes have profound implications for the mission, structure, authorities, and resources of the CI enterprise in general and NCSC in particular. (U)米国は、今日、ほんの数十年前とは劇的に異なる脅威の状況に直面している。複数の敵対者が、伝統的・斬新な戦術や技術を用いて、米国社会のほぼすべての分野を標的としている。現在の国家情報戦略で述べられているように、「国家、組織、個人を含む」情報機関は、従来のスパイ活動、経済スパイ活動、サプライチェーンやサイバー作戦を革新的に組み合わせて、重要インフラへのアクセスや機密情報、研究、技術、産業機密の窃取を行っている。これらの変化は、一般的な防諜組織、特にNCSCの任務、構造、権限、資源に深い影響を与える。
(U) During the Cold War, the United States' main adversary was the Soviet Union and other Warsaw Pact countries, as well as Soviet client states such as Cuba. After the terrorist attacks of September 11, 2001, the United States pivoted to focus on al-Qaeda and other extremist jihadist groups around the world. Today, however, the United States faces a wide variety of adversaries to include powerful state rivals with global ambitions -namely China and Russia- regional adversaries, minor states aligned with U.S. adversaries, ideologically motivated entities, and transnational criminal organizations. (U) 冷戦時代、米国の主な敵はソ連とワルシャワ条約機構諸国、およびキューバのようなソ連の同盟国家であった。2001年9月11日の同時多発テロ以降、米国はアルカイダをはじめとする世界中の過激派ジハード主義勢力に焦点を当てる方向に舵を切った。しかし今日、米国が直面する敵は、中国やロシアなど世界的な野心を持つ強力な国家のライバル、地域の敵、米国の敵と連携する小国、イデオロギー的な動機を持つ組織、国際犯罪組織など、多種多様である。
(U) FIEs target desired information wherever it may reside. Many FIE efforts previously focused primarily on state secrets held by the Intelligence Community (IC) and the broader national security establishment. Now, however, FIEs target a wide range of information from entities and individuals across nearly every sector of U.S. society. As the Commission on the Intelligence Capabilities of the United States Regarding Weapons of Mass Destruction (Iraq WMD Commission) noted: "Spies have always existed, but currently our adversaries- and many of our 'friends'- are expanding and intensifying their intelligence activities against U.S. interests worldwide. They target virtually all of our nation's levers of power." Put simply, FIE threats to the United States are now more complex, diverse, and harmful to U.S. interests, and FIEs are targeting a wider set of public and private entities to include NT-50s (that is, non-IC USG departments and agencies that do not have 50 U.S.C. authorities, such as the Department of Health and Human Services or the National Science Foundation) as well as national laboratories, the financial sector, the U.S. industrial base, and academic entities. (U) 外国情報機関は、必要な情報が存在する場所ならどこでもターゲットにする。外国情報機関の取り組みの多くは、以前は主に情報機関(IC)や広範な国家安全保障体制が保有する国家機密を対象としていた。しかし現在では、外国情報機関は米国社会のほぼすべての部門にまたがる団体や個人からの広範な情報を対象としている。大量破壊兵器に関する米国の情報能力に関する委員会(イラクWMD委員会)は、次のように指摘している。スパイはいつの時代にも存在したが、現在、我々の敵、そして多くの "友"は、世界中の米国の利益に対する情報活動を拡大し、強化している。彼らは事実上、わが国のあらゆる権力機構を標的にしている」。簡単に言えば、米国に対する外国情報機関の脅威は現在、より複雑で多様、かつ米国の利益に有害であり、外国情報機関はNT-50(すなわち、保健福祉省や国立科学財団のような合衆国憲法50条の権限を持たない非情報機関米政府部門や機関)、国立研究所、金融部門、米国の産業基盤、学術団体など、より幅広い公共・民間団体を標的にしている。
(U) In the past, U.S. adversaries had relatively limited options for stealing information, influencing U.S. officials, or inflaming social and political tensions. Traditional intelligence collection and influence efforts required foreign nations to, for example, send spies to U.S. soil, co-opt an insider, target U.S. officials when overseas, bug offices, or intercept U.S. communications from collection facilities around the world. Today, however, U.S. adversaries have access to a much wider variety of tools to accomplish their goals, and the damage is far greater. In addition to traditional espionage-which continues unabated- FIEs can now exploit non- traditional human, cyber, advanced technical, and open source intelligence operations to collect against U.S. plans and policies, sensitive technology, personally identifiable information (PII), and intellectual property, as well as to influence U.S. decision-making and public opinion on a scale previously unimaginable. (U)かつて、米国の敵対者は、情報を盗み、米国の役人に影響を与え、社会的・政治的緊張を煽るための選択肢を比較的制限されていた。従来の情報収集と影響力の行使には、外国は例えば、米国内にスパイを送り込む、内通者を取り込む、海外にいる米国政府関係者を狙う、オフィスを盗聴する、世界中の収集施設から米国内の通信を傍受する、などの方法が必要だった。しかし今日、米国の敵は目的を達成するためにはるかに多様なツールを利用できるようになり、その被害ははるかに大きくなっている。外国情報機関は、今も衰えることのない伝統的なスパイ活動に加え、従来とは異なる人的、サイバー的、高度な技術的、オープンソースの情報活動を駆使して、米国の計画や政策、機密技術、個人識別情報(PII)、知的財産に対する情報収集、さらには米国の意思決定や世論に影響を及ぼすという、これまで想像もできなかった規模の活動を展開できるようになったのである。
(U) FINDINGS (U) 発見事項
(U) As illustrated above, the FIE threat landscape facing the country today is wide-ranging and sophisticated. Yet NCSC, as the USG lead for CI, lacks a clear mission as well as sufficient and well-defined authorities and resources to effectively confront this landscape. Moreover, NCSC's placement within the Office of the Director of National Intelligence (ODNI) may hinder its ability to scale and respond to threats in an agile manner. Despite these challenges, there is no consensus among CI officials on a way forward for NCSC. (U) 上記に示されるように、今日、米国が直面している 外国情報機関 の脅威の状況は広範かつ巧妙である。しかし、NCSCは、米国政府による防諜の主導機関として、この状況に効果的に対処するための明確な任務、十分かつ明確に定義された権限と資源を有していない。さらに、NCSCは国家情報長官室(ODNI)に所属しているため、脅威への機動的な対応や規模拡大の妨げになる可能性がある。これらの課題にもかかわらず、NCSC の進むべき道について防諜関係者の間でコンセンサスが得られていない。
(U) MISSION (U) 任務
(U) Under current law, the mission of the Director of NCSC is to "serve as the head of national counterintelligence for the United States Government." The Committee, however, found that the scope of this mission is not clear to the Committee, to the broader IC, or even to some NCSC officials. First, it is unclear whether certain FIE threats- namely, cyber and foreign malign influence- as well as USG activities- namely, "CI awareness" activities such as FIE target identification, foreign travel briefings, and receipt and review of certain CI products fall within the current definition of CI. Second, various current and former NCSC officials disagree over which types of entities comprise the CI enterprise that NCSC is tasked with leading. Specifically, it's not clear whether non-title 50s (NT-50s)- that is, non-IC entities that do not have 50 U.S.C. authorities--private sector entities, or academic institutions should be considered part of the CI enterprise and should therefore have CI responsibilities. Third, there is no consensus as to whether NCSC should focus on traditional CI activities, the strategic CI mission, or both. Traditional CI is internally-focused on the protection of individual IC entities, whereas strategic CI focuses on using al available national resources to defend the United States as a whole rather than on protecting individual IC entities or their parochial operations. Fourth, NCSC plays a marginal role in offensive CI, despite the importance of offensive CI to the CI mission. Finally, officials disagree on the optimal relationship between CI, which directly deals with the threat from FIEs, and security, which indirectly defends against FIE actions by minimizing vulnerabilities, and over what specific role NCSC should play with regards to security. (U) 現行法では、NCSC長官の任務は「米国政府の国家防諜の長として機能する」ことである。しかし、委員会は、この任務の範囲が、委員会、より広範な情報機関、または一部のNCSC職員にとってさえ明確でないことを発見した。第一に、ある種の外国情報機関脅威、すなわちサイバーや外国の悪意ある影響、また米国政府の活動、すなわち外国情報機関標的の特定、外国への出張報告、特定の防諜製品の受領・検討などの「防諜認識」活動が、現在の防諜の定義に当てはまるかどうか不明確であることである。第二に、NCSCの現職・元職員は、NCSCが指揮を執る情報産業がどのような組織から構成されているのかについて意見が分かれている。特に、Non-title 50s(NT-50s)、すなわち、合衆国法典第50条の権限を持たない非情報機関機関、民間セクター、または学術機関が、防諜組織の一部とみなされ、したがって防諜の責任を負うべきかどうかは明らかでない。第三に、NCSCが伝統的な情報収集活動、戦略的情報収集任務、あるいはその両方に重点を置くべきかについて、コンセンサスが得られていないことである。伝統的防諜は個々の 情報機関の保護に重点を置くが、戦略的防諜は個々の 情報機関やその偏狭な活動の保護ではなく、利用可能な国家資源を駆使して米国全体の防衛に重点を置く。第四に、攻撃的情報収集の重要性にもかかわらず、NCSCは攻撃的情報収集においてわずかな役割しか担っていない。最後に、情報機関の脅威に直接対処する防諜と、脆弱性を最小化することで情報機関の行動から間接的に防御するセキュリティの最適な関係、およびセキュリティに関して NCSC が果たすべき具体的な役割について、当局者の意見は一致していない。
(U) DUTIES AND AUTHORITIES (U)任務と権限
(U) NCSC's duties have changed over its 20-year lifespan, due in part to lack of clarity over its mission. Various duties are enumerated in statute, but NCSC does not effectively fulfill all of them. In addition, NCSC has taken on several duties not explicitly assigned in statute. In general, the Committee assesses that NCSC's focus at any given time is based on the perceived CI gaps the IC needs filled or the interests of its Director, rather than on a well-formulated and enduring vision of the activities it should be undertaking to support its mission. Former National CI Executive Michelle Van Cleave noted that "fundamentally, there is no agreed-upon understanding of what NCSC is supposed to do". Several FBI officials also told the Committee that NCSC "seems to be al over the place." One NCSC official said that NCSC's "sweet spot" is not to replicate work already being done by the IC, but to identify and fill gaps and seams. Thus, NCSC often takes on projects that do not have "natural homes" at other agencies, offloading projects to agencies better suited to handle them when possible. (U)NCSCの任務は、その使命が明確でないこともあり、20年間の存続期間中に変化してきた。法令には様々な任務が列挙されているが、NCSCはそのすべてを効果的に果たしているわけではない。さらに、NCSCは、法令に明示されていないいくつかの職務を引き受けている。一般的に、委員会は、NCSCが、その使命を支えるために行うべき活動に関する明確で永続的なビジョンではなく、情報機関が埋めるべきと考える防諜ギャップや長官の関心に基づいて、その時々に焦点を合わせていると評価している。元国家情報局長ミッシェル・ヴァン・クリーブは、「基本的に、NCSCが何をすべきかについての合意形成がなされていない」と指摘している。また、複数の FBI 関係者が委員会に対し、NCSC は「あちこちにいるようだ」と述べている。ある NCSC 関係者は、NCSC の「スイートスポット」は、情報機関 で既に行われている業務の複製ではなく、ギャップや継ぎ目を特定し埋めることであると述べている。従って、NCSC は、他の機関に「本家」がないプロジェクトを引き受けることが多く、可能な限り、そのプロ ジェクトを処理するのに適した機関にオフロードする。
(U) NCSC is also limited in its ability to carry out its duties by ambiguous or insufficient authorities. NCSC can influence and advocate for IC CI spending, but NCSC has little authority or leverage over IC entities' budgets and budget priorities. NCSC can also provide voluntary guidance, threat awareness, and advice to NT-50s and non-USG entities on developing and maintaining effective CI and security programs, but NCSC cannot provide direct financial support, and NT-50s and non-USG entities are not required to maintain CI programs. NCSC officials told the Committee that much of NCSC's ability to influence CI and security programs across the USG stems from personal relationships and advocacy, rather than statutes, regulations, or other authorities.  (U)また、NCSC は権限が曖昧で不十分であるため、その職務を遂行する能力が制限されている。NCSC は 情報機関 の防諜支出に影響を与え主張することはできるが、情報機関 の予算や予算の優先順位に対してほとんど権限や影響力はない。また、NCSCは、NT-50や非米国政府機関に対し、効果的な防諜・セキュリティプログラムの策定・維持に関する自主的な指導、脅威認識、助言を行うことができるが、直接的な財政支援はできず、NT-50や非米国政府機関は防諜プログラムの維持が義務付けられていない。NCSCの職員は、NCSCが米国政府全体の情報セキュリティプログラムに影響を与える能力の多くは、法令やその他の権限よりも、個人的な関係や支持に起因すると委員会に語った。
(U) RESOURCES AND STAFFING (U) リソースとスタッフ
(U) Staffing and resource constraints impact NCSC's ability to effectively carry out its mission. One senior NCSC official described xxxxxxxxxx. For example, several key NCSC duties, including xxxxxxxxxx on strained due to NCSC staffing levels.  (U) 人材とリソースの制約は、NCSC がその任務を効果的に遂行する能力に影響を及ぼす。ある NCSC の高官は xxxxxxxxxx と述べている。例えば、NCSC の人員不足により、xxxxxxxx を含むいくつかの NCSC の主要業務が逼迫している。
(U) Despite xxxxxxxxxx staffing and resource levels, NCSC officials indicated that its current mix of permanent staff (cadres), joint-duty staff (detailees), and contractors was appropriate. NCSC, however, faces several unique staffing challenges owing to its position as a Center within ODNI. For instance, several NCSC officials described how the approval process for cadres and detailees is time consuming it is a "nonstop challenge." One NCSC official told the Committee that it can take more than two months to bring on a detailee and between 12 and 18 months to hire an external candidate, leading some candidates to seek a position elsewhere. (U)人員およびリソースのレベルはxxxxxxxxで あるが、NCSC関係者は、正社員(幹部)、合議制職員(detailee)、および契約社員の現在の構成は適切である と述べている。しかし、NCSC は ODNI 内のセンターという立場から、いくつかのユニークな人員配置の課題に直面している。例えば、NCSCの複数の職員は、幹部職員と分遣隊員の承認手続きに時間がかかり、「ノンストップ・チャレンジ」であることを説明した。ある NCSC 職員は委員会に 対し、派遣者の採用には 2 ヶ月以上、外部候補者の採用には 12 ヶ月から 18 ヶ月かかることがあり、そのため一部の候補者は他で職を探すことになると述べている。
Xxxxxx Finally, NCSC's budget is small relative to its mission and is controlled by ODNI. Yet ODNI has not requested any substantial growth for NCSC’s budget or full-time employees (FTE), nor has Congress provided it. Moreover, NCSC's budget is xxxxxxxxxx. 最後に、NCSCの予算はその使命に比して少なく、ODNIによって管理されている。しかし、ODNIはNCSCの予算やフルタイム従業員(FTE)の大幅な増加を要求しておらず、議会もそれを認めていない。さらに、NCSC の予算は xxxxxxxx である。
(U) LOCATION AND STRUCTURE (U) 所在地および構造
Xxxxx NCSC is structured as a Center within ODNI. There are various drawbacks and benefits associated with this structure. According to various officials, drawbacks include: xxxxxxxxxxx. NCSC は ODNI 内の一センターとして構成されている。この構造には様々な欠点と利点がある。様々な関係者によると、欠点は以下の通りである。xxxxxxxxx
(U) NCSC is also located entirely within the IC, as its authorities stem from Title 50 and it is funded by the National Intelligence Program (NIP). Officials disagree over whether this is the appropriate location for NCSC. Some officials argue that CI is primarily an IC responsibility and thus should remain exclusively within the purview of the IC. Other officials argue that strategic CI is a whole-of- society responsibility, so NCSC should span the IC and NT-50 worlds. (U) NCSCはまた、その権限がタイトル50に由来し、国家情報プログラム(NIP)から資金を調達しているため、完全に情報機関内に位置している。これがNCSCにとって適切な場所であるかどうかについては、関係者の間で意見が分かれている。防諜は主に 情報機関 の責任であり、情報機関 の権限にのみ留まるべきとする意見もある。また、戦略的な防諜は社会全体の責任であり、NCSC は 情報機関 と NT-50 の世界をまたぐべきであると主張する関係者もいる。
(U) Finally, former NCSC Director William Evanina has argued for the establishment of an independent National Counterintelligence and Security Agency, which would be responsible for the strategic CI mission and focus on protecting the United States as a whole. If such an agency were to be established, several officials suggested incorporating other existing U S entities with close ties to the strategic CI mission. (U) 最後に、前 NCSC 長官 ウイリアム・エバニーナ は、独立した国家防諜・安全保障庁を設立し、戦略的防諜任務を担当し、米国全体の保護に焦点を当てるべきであると主張している。このような機関が設立された場合、戦略的防諜ミッションと密接な関係を持つ他の既存の米国組織を取り込むことを提案する関係者もいた。
(U) CONCLUSION AND RECOMMENDATIONS (U) 結論と勧告
(U) The U.S. CI enterprise is not postured to confront the whole-of-society FIE threat landscape facing the country today. CI as a mission first arose throughout the IC after World War II to defend IC operations, and the United States is still living with the legacy of that structure. Although that structure may have been appropriate when FIEs were primarily targeting information held by the IC and other national security entities, today's FIEs dedicate enormous energy and resources to acquiring not only sensitive state secrets, but also information from NT-50s and non-USG entities- -which are significantly more vulnerable targets than the IC. There is thus a "disconnect" between the location of valuable information relevant to U.S. national security interests and what the U.S. CI enterprise is tasked with protecting. (U)米国の防諜組織は、今日、米国が直面している社会全体の外国情報機関脅威の状況に立ち向かう態勢をとっていない。第二次世界大戦後、情報機関の作戦を守るために防諜というミッションが情報機関全体に生まれ、米国はその構造のレガシーを今も抱えている。外国情報機関が主に情報機関や他の国家安全保障機関が保有する情報を対象としていた頃は、この構造が適切だったかもしれないが、今日の外国情報機関は国家機密だけでなく、情報機関よりもはるかに脆弱なNT-50や非USG機関の情報を取得するために膨大なエネルギーと資源を注いでいる。このように、米国の国家安全保障上の利益に関連する貴重な情報の所在と、米国の防諜組織が保護すべき対象との間に「断絶」が生じているのである。
(U) As more and more sensitive information has moved outside the protective walls of the CI, CI as a mission has struggled to adapt. The very definition of C-I both in terms of the types of activities FIEs conduct to target the United States, as well as the types of U.S. efforts to counter those activities- is murky and no longer clearly reflects the reality on the ground. For instance, various non-IC entities have established or are establishing "CI programs," but their CI activities conceptually overlap in many ways with the security mission and do not conform to the traditional understanding of CI activities namely efforts to identify, deceive, exploit, disrupt, or protect against espionage. The USG must determine which FIE and USG activities fall within the CI mission set today, draw clear boundaries between the CI and security missions and clarify where "CI awareness" activities fall, and clarify the roles and responsibilities of USG and non-USG entities tasked with carrying out the CI and/or security missions. (U)より多くの機密情報が情報収集の枠外に移動するにつれ、情報収集の使命は適応するのに苦労してきた。外国情報機関が米国を標的にどのような活動を行い、それに対抗するために米国がどのような努力をするかという点で、防諜の定義そのものが不明確で、もはや現地の現実を明確に反映しているとはいえない。例えば、情報機関以外の様々な組織が「防諜プログラム」を設立しているか、設立しようとしているが、彼らの防諜活動は概念的に安全保障任務と多くの点で重複しており、伝統的な防諜活動の理解、すなわちスパイを特定、欺瞞、悪用、破壊、防御する努力には適合していない。USGは、どの外国情報機関およびUSGの活動が今日設定された防諜ミッションに該当するかを決定し、防諜ミッションとセキュリティ・ミッションの間に明確な境界線を引き、「防諜認識」活動がどこに該当するかを明確にし、防諜ミッションおよび/またはセキュリティ・ミッションを遂行するUSGおよび非USG主体の役割と責任を明確にする必要がある。
(U) This distinction is important because it implies different national security models; CI measures deal directly with FIE activities, whereas security programs indirectly defend against FIE actions by minimizing vulnerabilities. Thus, under an expansive CI enterprise model, the entire U S and potentially non-USG entities would bear responsibility for dealing directly with FIE activities. On the other hand, a more traditional CI enterprise model would be based exclusively on the IC.__but could nevertheless require non-IC entities to be responsible for defensive security measures to identify and mitigate vulnerabilities. (U)この区別は、異なる国家安全保障モデルを意味するため重要である。情報収集対策は直接的に情報機関の活動に対処するが、安全保障プログラムは脆弱性を最小化することにより間接的に情報機関の活動から防衛する。したがって、拡張的な防諜組織モデルの下では、米国全体および潜在的に非 USG 団体が、外国情報機関 の活動に直接対処する責任を負うことになる。一方、より伝統的な防諜組織モデルは、情報機関 にのみ基づいているが、情報機関 以外の組織にも脆弱性を特定し緩和するための防御的なセキュリティ対策の責任を求めることができます。
xxxxxxxxx. In either case, tactical, one-off responses are no longer sufficient to address the current FIE threat landscape; a strategic response is required. Yet, the U.S. CI enterprise has not fully pivoted to confront this new reality. xxxxxxxxxx. xxxxxxxxx。いずれの場合も、戦術的で単発の対応では現在の 外国情報機関 脅威の状況に対処することはもはや不可能であり、戦略的な対応が必要である。しかし、米国の防諜組織は、この新たな現実に立ち向かうために完全な方向転換をしていない。xxxxxxxxxx。
(U) Moreover, CI as a discipline has traditionally been undervalued in the USG. Back in 2005, the Iraq WMD Commission, for example, noted that CI has been "plagued by a lack of policy attention and national leadership" and is largely neglected by policymakers and the IC. The Commission also stated that CI actually lost stature after September 11, 2001 as the U S turned its attention to counterterrorism (CT). The 2009 Intelligence and National Security Alliance (INSA) report Counterintelligence for the 21st Century noted that CI was not a priority for their first two Directors of National Intelligence (DNI). Mr. Evanina added that agency heads often assign lower priority to CI divisions and programs than to offensive mission requirements. As of July 2022, the Administration has not yet officially nominated a permanent NCSC Director, despite the position being vacant for over a year. (U)さらに、防諜は伝統的に米国政府内で過小評価されてきた。例えば2005年のイラク大量破壊兵器委員会(Iraq WMD Commission)は、防諜が「政策的注目と国家的リーダーシップの欠如に悩まされてきた」と指摘し、政策立案者や情報機関からほとんど顧みられないと述べている。また同委員会は、2001年9月11日以降、米国がテロ対策(CT)に目を向けたため、防諜は実際に地位を失ったと述べている。2009年のINSA(Intelligence and National Security Alliance)の報告書「Counterintelligence for the 21st Century」では、最初の2人の国家情報長官(DNI)にとって、防諜は優先事項ではなかったと述べている。またエヴァニナ氏は、各省庁のトップは攻撃的な任務要件よりも防諜部門やプログラムの優先順位を低く設定することが多い、と述べている。2022 年 7 月現在、NCSC 長官は 1 年以上空席であるにもかかわらず、政権はまだ正式の長官を指名していない。
(U) The impact of all these challenges is clear: foreign adversaries compromise U.S. assets across the globe, acquire billions of dollars a year in U.S. research and technology, jeopardize the competitiveness of U.S. companies and the economic dominance of the United States, steal sensitive PII on USG employees and U.S. citizens, and interfere in domestic affairs. The U S cannot allow this situation to continue without serious repercussions for U.S. national security. (U)これらすべての課題の影響は明らかである。外国の敵対者は世界中で米国の資産を危険にさらし、米国の研究・技術で年間数十億ドルを獲得し、米国組織の競争力と米国の経済支配を脅かし、米国政府職員と米国市民の機密PIIを盗み、内政干渉しているのである。米国は、米国の国家安全保障に深刻な影響を与えることなくこの状況を継続させることはできない。
(U) Congress last tried to seriously reform CI statutes in 2002, when it passed the Counterintelligence Enhancement Act and created NCSC's precursor to try to better integrate the CI silos scattered across the IC. The Committee believes that NCSC has made progress towards achieving that goal. Yet NCSC lacks the necessary clarity of mission, sufficient authorities and resources, and an optimal location and structure to truly lead U.S. CI and to execute the strategic CI mission. (U) 米国議会が最後に防諜関連法規を真剣に改革しようとしたのは、2002年に防諜強化法を可決し、情報機関に散在する防諜サイロをよりよく統合しようとNCSCの前身を設立した時である。委員会は、NCSCがその目標達成に向けて前進していると考えている。しかし、NCSC は、米国の防諜を真に主導し、戦略的な防諜ミッションを遂行するために必要な使命の明確化、十分な権限と資源、最適な場所と構造を欠いている。
Xxxxxxxxxxx. It is time for Congress to take another hard look at the ability of the U.S. CI enterprise in general and NCSC in particular to confront today's FIE threat landscape. As Vice Chairman Rubio noted during a hearing on CI in 2020: "The IC may need a fundamental rethink of its counterintelligence enterprise." As Ms. Van Cleave told the Committee: "The USG does not have the right business model' for CI; rather than being strategic, forward looking, and proactive, U.S. CI is tactical, reactive, and defensive." Mr. Evanina has similarly called for a" dramatic new construct to ensure adequate and enhanced coordination of a holistic CI program for the United States." Xxxxxxxxxx。米国議会は、米国の防諜組織全般、特にNCSCが今日の国際テロの脅威に立ち向かう能力を改めて厳しく評価する時期に来ている。ルビオ副議長は、2020年の情報収集に関する公聴会で次のように述べた。「情報機関 は防諜事業を根本的に見直す必要があるかもしれない。ヴァン・クリーヴ女史が委員会で述べたように。米国政府は情報収集のための適切な「ビジネスモデル」を持っていない。米国の情報収集は戦略的、前方視的、積極的であるどころか、戦術的、後方視的、防御的なのである。エバニーナ氏も同様に、「米国の全体的な情報収集プログラムの適切かつ強化された調整を確保するための劇的な新しい構造」を要求している。
(U) There is no easy "fix" to U.S. CI, nor is there one single way in which NCSC could be reformed to better serve as head of national CI. If Congress and ODNI determine that NCSC should focus exclusively on better operationalizing traditional CI activities, then NCSC may not need additional authorities or resources, and a structural change to the Center may not be necessary. Yet, there must be an "owner" for strategic CI to address the FIE landscape facing the nation today, and NCSC is currently the only USG entity positioned lead this mission. If Congress and ODNI assign the strategic CI mission to NCSC, then bigger changes to the Center may be warranted. Owning strategic CI would require sufficient authorities and resources to enable NCSC to successfully develop a strategic CI program to bring together all the means of execution for strategic CI priorities. In addition, Congress may want to consider whether NCSC can best carry out the strategic CI mission as a Center within ODNI, or whether such a mission requires the establishment of an independent agency spanning the IC and NT-50s universe. (U) 米国の防諜には簡単な「修正」はなく、また NCSC が国家的な防諜のトップとしてより良く機能するように改革できる唯一の方法もない。議会と ODNI が NCSC は伝統的な防諜活動の運用改善にのみ注力すべきと判断すれば、NCSC は新たな権限や資源を必要とせず、センターの構造改革は必要ないかもしれない。しかし、今日、国家が直面している 外国情報機関 の状況に対処するためには、戦略的防諜の「オーナー」が必要であり、NCSC は現在、このミッションを主導する唯一の USG エンティティである。もし議会と ODNI が NCSC に戦略的防諜任務を与えるならば、センターはより大きな変革を迫られるであろう。戦略的防諜を所有するためには、NCSC が戦略的防諜の優先事項の実行手段をすべて集約した戦略的防諜プログラムを成功裏に開発できるような十分な権限と資源が必要であろう。また、議会は、NCSC が ODNI 内のセンターとして戦略的防諜の任務を遂行するのが最善か、それとも 情報機関 と NT-50s にまたがる独立機関の設立が必要かを検討することが望まれる。
(U) This Committee recognizes that any major change to the CI enterprise will be difficult and time consuming, and that various members of the USG may fiercely resist such changes. However, the U S has made big, bold changes before. After the terrorist attacks of September 1, 2001, Congress reorganized the U.S. national security enterprise to better confront terrorism. But more importantly, Congress helped to reorient the CT mission away from reactive, defensive efforts focused on figuring out who conducted a specific terrorist attack towards a proactive, offensive posture focused on stopping terrorists before they strike. It is time for CI to undergo a similar revolution and to receive the national-level attention it deserves. (U)当委員会は、防諜組織の大きな変革は困難で時間がかかること、また、米国政府内の様々なメンバーがそのような変革に激しく抵抗する可能性があることを認識している。しかし、米国はこれまでにも大きく大胆な変化を遂げてきた。2001年9月1日の同時多発テロ事件後、米国議会はテロに対抗するために国家安全保障を再編成した。しかし、それ以上に重要なことは、米国議会がCTの任務を、特定のテロ攻撃を行った人物を特定することに焦点を当てた事後的な防御的努力から、テロ攻撃を行う前に阻止することに焦点を当てた積極的な攻撃的姿勢に方向転換させたことである。防諜技術(防諜)も同様の変革を遂げ、国家レベルの注目を浴びるべき時期に来ている。
(U) SSCI Recommendations  (U)情報機関に関する上院特別委員会の勧告 
Definitions 定義
1. The Executive Branch should develop and adopt, and Congress should codify, a consistent USG-wide definition of CI that: 1. 行政府は、以下のような米国政府全体の一貫した防諜の定義を策定・採用し、議会はそれを成文化すべきである。
a. Reflects today's FIE threat landscape; and  a. 今日の 外国情報機関 の脅威の状況を反映するものであること。
b. Delineates CI and security. b. 情報技術と安全保障を区別する。
2. The Executive Branch should develop and adopt, and Congress should codify, related definitions to include strategic CI and offensive CI. 2. 行政府は戦略的情報収集と攻撃的情報収集を含む関連定義を策定・採用し、議会はそれを成文化すべきである。
The CI Enterprise 防諜組織
3. NCSC, in consultation with ODNI, should identify the conceptual boundaries of the CI enterprise, including by identifying key stakeholders (e.g., which entities are members, partners, beneficiaries, etc.); outline stakeholders' CI and security roles and responsibilities; and clarify their relationship with 3. NCSC は ODNI と協議の上、主要なステークホルダー(例:どの団体がメンバー、パートナー、受益者であるか等)を特定し、ステークホルダーの情報セキュリティ上の役割と責任の概要を示し、NCSC との関係を明確にするなど、情報セキュリティ組織の概念上の境界を明らかにする必要がある。
NCSC. NCSC
4. NCSC, in consultation with ODNI, should determine what role each element of the IC should play in protecting non-USG entities that FIEs target for their research, technologies, data, and IP. 4. NCSCはODNIと協議の上、外国情報機関が研究、技術、データ及びIPの対象とする非USG主体の保護について、情報機関の各要素が果たすべき役割を決定すべきである。
5. NT-50s should consistently establish "CI awareness" and/or security programs to ensure that U S data and sensitive information are identified and protected. 5. NT-50s は、米国のデータ及び機密情報が特定され保護されることを保証するため、一貫して「防諜意識」及び/又はセキュリティ・プログラムを確立すべきである。
NCSC's Mission and Structure NCSC の使命と構造
6. Congress, in consultation with the Executive Branch, should clarify NSC's mission and determine what, if any, role it should play in: 6. 議会は行政府と協議の上、NSC の使命を明確にし、NSC が果たすべき役割があるとすれば、それは何かを決定すべきである。
a. Traditional CI; a. 伝統的な防諜
b. Strategic CI; and b. 戦略的防諜
c. Offensive CI operations. c. 攻撃的防諜
7. Congress, in consultation with the Executive Branch, should determine whether NCSC should remain a Center within ODNI or should be established as an independent agency. 7. 議会は行政府と協議の上、NCSC を ODNI 内のセンターとして残すか、独立した機関として設立するかを決定すること。
8. Congress, in consultation with the Executive Branch, should determine which aspects of the security mission NCSC should retain. 8. 議会は行政府と協議の上、NCSCが保持すべき安全保障上の任務について決定すること。
9. Congress, in consultation with the Executive Branch, should consider whether the Director of NCSC/NCSA should be the official Sec/EA. 9. 議会は行政府と協議の上、NCSC/NCSA長官を正式なSec/EAとすべきかどうかを検討する。
NCSC's Duties NCSCの任務
10. NCSC should develop a strategic plan to conduct vulnerability assessments within the IC, NT-50s, and selected non-USG entities or sectors, and should request resources and authorities necessary to conduct those assessments. 10. NCSC は、情報機関、NT-50s、および選択された非米国政府機関またはセクター内の脆弱性評価を実施するための戦略的計画を策定し、これらの評価の実施に必要な資源および権限を要求すること。
11. NCSC should develop a plan for IC CI outreach to non-IC entities, including: 11. NCSC は、情報機関 以外の組織に対する 情報機関 の防諜アウトリーチについて、以下のような計画を策定する。
a. Identifying IC outreach roles and responsibilities for each element of the IC: and a. 情報機関 の各要素に対する 情報機関 アウトリーチの役割と責任を明確にする。
b. Identifying and requesting resources and authorities necessary to implement this plan. b. この計画を実施するために必要な資源及び権限を特定し、要請すること。
12. The USG should consider establishing a dedicated CIR&D fund and a CI R&D board to fund and oversee R&D efforts. 12. 米国政府は、研究開発努力に資金を提供し監督するために、専用の防諜R&D 基金及び防諜研究開発委員会の設立を検討すべきである。
13. NCSC should develop a strategic plan, in consultation with relevant stakeholders, for CIR&D efforts. 13. NCSC は、関連するステークホルダーと協議の上、防諜R&D の取組みに関する戦略的計画を策定するべきである。
14. NCSC should develop a plan for strategic CI training across the IC as well as for NT-50s and non-USG entities. 14. NCSC は、情報機関 全体及び NT-50s と非 USG 団体のための戦略的な防諜訓練の計画を策定すること。
15. NCSC should establish a clear vision of what, if any, role it should play in developing and maintaining IC databases that support the CI mission. 15. NCSCは、防諜ミッションに対応した情報機関データベースの開発・維持にどのような役割を果たすべきかについて、明確なビジョンを定めるべきである。
NCSC's Authorities and Resources