« December 2022 | Main | February 2023 »

January 2023

2023.01.31

NPO デジタル・フォレンジック研究会のコラム by 丸山満彦 - 「「木を見て森を見ず」にならず、「神は細部に宿る」を忘れない」

こんにちは、丸山満彦です。

デジタル・フォレンジック研究会にコラムを載せました。

 IDF - Column

・2023.01.31 第754号コラム:「「木を見て森を見ず」にならず、「神は細部に宿る」を忘れない」

何をすべき構想をするときや、計画を立てるときは、振り返って良かったのか考える時は、全体感を持って物事をみることが重要となるのだろうし、ことが決まって実行をするときは、細かい点にも気をかけて丁寧にすることが重要ということなのかもしれませんね。。。

 


私が書いた「NPO デジタル・フォレンジック研究会」の「コラム」の一覧

 

No Date Title
28 754 2023.01.31 「木を見て森を見ず」にならず、「神は細部に宿る」を忘れない
27 731 2022.08.22 サイバー空間の安全に向けて: All for one, One for all
26 702 2022.01.31 サイバーセキュリティは空気のように社会全体に拡がる
25 678 2021.08.16 ティラノサウルスとスズメ
24 650 2021.02.01 データを科学的に分析する
23 627 2020.08.17 若者のサイバー犯罪を無くしたい。。。
22 600 2020.02.03 デジタルフォレンジックスと多様性
21 578 2019.08.26 未来を考えようと思うとき、人は過去を振り返る
20 551 2019.02.11 とらわれずに物事をみつめる
19 521 2018.07.09 AIは科学捜査を騙せるか?
18 493 2017.12.18 セキュリティ・デバイド?
17 474 2017.08.07 『デジタル・フォレンジック』という言葉を今更考える
16 451 2017.02.20 相手を知ることが重要
15 425 2016.08.15 本質を理解する
14 383 2015.10.12 名ばかりCSIRTで良いのか?
13 357 2015.04.13 IoT時代は明るいか暗いか
12 335 2014.11.03 頭を下げるのは社長です
11 308 2014.04.30 標的型攻撃には内部不正対応が重要?
10 286 2013.11.14 セキュリティガバナンスはできる範囲だけやればよいのか?
09 261 2013.05.23 セキュリティの基本はずっとかわっていない
08 240 2012.12.25 さらに組織化が進むサイバー攻撃集団
07 207 2012.05.10 外部から侵入されている想定で情報セキュリティを考える
06 173 2011.09.08 想定外に対応するのが危機管理ではないか
05 139 2011.01.13 データ分析を使った不正発見手法
04 131 2010.11.11 発見的統制の重要性
03 084 2009.12.10 クラウドコンピューティングがもたらす光と影
02 058 2009.06.11 不正をさせない
01 021 2008.09.25 ニーズとシーズ、目的と手段

| | Comments (0)

米国 司法省 ランサムウェアの亜種「Hive」を駆除 (2023.01.26)

こんにちは、丸山満彦です。

米国司法省が、ランサムウェアの亜種「Hive」を駆除したと公表していますね。。。

ニュースではざっと読んでいましたが、ブログに紹介する時間がなく...遅くなりました...

 

Fig2_20230206012001

 

U.S. Department of Justice

・2023.01.26 U.S. Department of Justice Disrupts Hive Ransomware Variant - FBI Covertly Infiltrated Hive Network, Thwarting Over $130 Million in Ransom Demands

U.S. Department of Justice Disrupts Hive Ransomware Variant 米国司法省がランサムウェアの亜種「Hive」を駆除
FBI Covertly Infiltrated Hive Network, Thwarting Over $130 Million in Ransom Demands FBIがHiveのネットワークに潜入し、1億3千万ドルを超える身代金要求を阻止
The Justice Department announced today its months-long disruption campaign against the Hive ransomware group that has targeted more than 1,500 victims in over 80 countries around the world, including hospitals, school districts, financial firms, and critical infrastructure. 司法省は本日、病院、学区、金融企業、重要インフラなど、世界80カ国以上で1,500人以上の被害者を対象にしたランサムウェアグループ「Hive」に対する数カ月にわたる破壊キャンペーンを発表した。
Since late July 2022, the FBI has penetrated Hive’s computer networks, captured its decryption keys, and offered them to victims worldwide, preventing victims from having to pay $130 million in ransom demanded. Since infiltrating Hive’s network in July 2022, the FBI has provided over 300 decryption keys to Hive victims who were under attack. In addition, the FBI distributed over 1,000 additional decryption keys to previous Hive victims. Finally, the department announced today that, in coordination with German law enforcement (the German Federal Criminal Police and Reutlingen Police Headquarters-CID Esslingen) and the Netherlands National High Tech Crime Unit, it has seized control of the servers and websites that Hive uses to communicate with its members, disrupting Hive's ability to attack and extort victims. 2022年7月下旬以降、FBIはHiveのコンピュータネットワークに侵入し、その解読キーを捕獲して世界中の被害者に提供し、被害者が要求された1億3千万ドルの身代金を支払う必要がないようにした。2022年7月にHiveのネットワークに侵入して以来、FBIは攻撃を受けていたHiveの被害者に300以上の復号鍵を提供した。さらにFBIは、これまでのHive被害者に1,000個以上の追加の復号化キーを配布した。最後に、同省は本日、ドイツの法執行機関(ドイツ連邦刑事警察およびロイトリンゲン警察本部-CIDエスリンゲン)およびオランダ国家ハイテク犯罪ユニットと連携し、ハイブがメンバーとの通信に使用しているサーバーとウェブサイトを掌握し、ハイブが被害者を攻撃し恐喝する能力を停止させたことを発表した。
“Last night, the Justice Department dismantled an international ransomware network responsible for extorting and attempting to extort hundreds of millions of dollars from victims in the United States and around the world,” said Attorney General Merrick B. Garland. “Cybercrime is a constantly evolving threat. But as I have said before, the Justice Department will spare no resource to identify and bring to justice, anyone, anywhere, who targets the United States with a ransomware attack. We will continue to work both to prevent these attacks and to provide support to victims who have been targeted. And together with our international partners, we will continue to disrupt the criminal networks that deploy these attacks.” Merrick B. Garland司法長官は、次のように述べた。「昨夜、司法省は、米国および世界中の被害者から数億ドルを恐喝したり、恐喝しようとした国際的なランサムウェアネットワークを解体した。サイバー犯罪は常に進化し続ける脅威である。しかし、以前から申し上げているように、司法省は、米国を標的としたランサムウェア攻撃を行う者を特定し、裁判にかけるために、いかなるリソースも惜まない。私たちは、こうした攻撃の防止と、標的となった被害者への支援の両方に取り組み続ける。また、国際的なパートナーとともに、こうした攻撃を展開する犯罪ネットワークを破壊し続ける。」
“The Department of Justice’s disruption of the Hive ransomware group should speak as clearly to victims of cybercrime as it does to perpetrators,” said Deputy Attorney General Lisa O. Monaco. “In a 21st century cyber stakeout, our investigative team turned the tables on Hive, swiping their decryption keys, passing them to victims, and ultimately averting more than $130 million dollars in ransomware payments. We will continue to strike back against cybercrime using any means possible and place victims at the center of our efforts to mitigate the cyber threat.” 司法省副長官リサ・O・モナコは次のように述べている。「司法省によるランサムウェアグループ「Hive」の破壊は、サイバー犯罪の被害者に対しても、加害者に対してと同様に明確に語りかけるべきものである。21世紀のサイバー張り込みにおいて、私たちの捜査チームはHiveに対抗し、彼らの復号化キーを盗んで被害者に渡し、最終的に1億3000万ドル以上のランサムウェアの支払いを回避することができた。私たちは、今後もあらゆる手段を使ってサイバー犯罪に反撃し、被害者を中心に据えてサイバー脅威を軽減していく。」
“The coordinated disruption of Hive’s computer networks, following months of decrypting victims around the world, shows what we can accomplish by combining a relentless search for useful technical information to share with victims with investigation aimed at developing operations that hit our adversaries hard,” said FBI Director Christopher Wray. “The FBI will continue to leverage our intelligence and law enforcement tools, global presence, and partnerships to counter cybercriminals who target American business and organizations." FBI長官クリストファー・レイは、次のように述べた。「数カ月にわたる世界中の被害者の解読に続き、Hiveのコンピュータネットワークを組織的に破壊したことは、被害者と共有すべき有益な技術情報の絶え間ない探索と、敵対者を徹底的に叩く作戦展開を目指した捜査を組み合わせることで、我々が何を達成できるかを示している。FBIは今後も、情報および法執行手段、グローバルな存在感、そしてパートナーシップを活用して、米国の企業や組織を標的とするサイバー犯罪者に対抗していく」。
“Our efforts in this case saved victims over a hundred million dollars in ransom payments and likely more in remediation costs,” said Assistant Attorney General Kenneth A. Polite, Jr. of the Justice Department’s Criminal Division. “This action demonstrates the Department of Justice’s commitment to protecting our communities from malicious hackers and to ensuring that victims of crime are made whole.  Moreover, we will continue our investigation and pursue the actors behind Hive until they are brought to justice.” 司法省刑事局の Kenneth A. Polite, Jr. 司法長官補佐官は、次のように述べた。「この事件における我々の努力により、被害者は身代金の支払いで1億ドル以上、修復費用でさらに多くの金額を節約することができた。今回の措置は、悪質なハッカーから地域社会を守り、犯罪被害者の救済を確保するという司法省の取り組みを示すものである。 さらに、我々は捜査を継続し、Hiveの背後にいる行為者が裁判にかけられるまで追及していく。」
“Cybercriminals utilize sophisticated technologies to prey upon innocent victims worldwide,” said U.S. Attorney Roger Handberg for the Middle District of Florida. “Thanks to the exceptional investigative work and coordination by our domestic and international law enforcement partners, further extortion by HIVE has been thwarted, critical business operations can resume without interruption, and millions of dollars in ransom payments were averted.”  フロリダ州中部地区連邦検事ロジャー・ハンドバーグは、次のように述べた。「サイバー犯罪者は高度な技術を駆使して、世界中の罪のない被害者を食い物にしている。国内外の法執行機関のパートナーによる卓越した捜査活動と連携のおかげで、HIVEによるさらなる恐喝は阻止され、重要な業務が中断なく再開でき、数百万ドルの身代金の支払いも回避された 。」 
Since June 2021, the Hive ransomware group has targeted more than 1,500 victims around the world and received over $100 million in ransom payments.   2021年6月以降、Hiveランサムウェアグループは、世界中の1,500人以上の被害者を標的とし、1億ドル以上の身代金の支払いを受けた。 
Hive ransomware attacks have caused major disruptions in victim daily operations around the world and affected responses to the COVID-19 pandemic. In one case, a hospital attacked by Hive ransomware had to resort to analog methods to treat existing patients and was unable to accept new patients immediately following the attack.    Hiveランサムウェアの攻撃は、世界中の被害者の日常業務に大きな混乱をもたらし、COVID-19パンデミックへの対応にも影響を及ぼした。Hiveランサムウェアの攻撃を受けた病院では、既存の患者を治療するためにアナログな方法に頼らざるを得ず、攻撃直後から新しい患者を受け入れることができなくなったケースもある。   
Hive used a ransomware-as-a-service (RaaS) model featuring administrators, sometimes called developers, and affiliates. RaaS is a subscription-based model where the developers or administrators develop a ransomware strain and create an easy-to-use interface with which to operate it and then recruit affiliates to deploy the ransomware against victims. Affiliates identified targets and deployed this readymade malicious software to attack victims and then earned a percentage of each successful ransom payment. Hiveは、開発者と呼ばれることもある管理者とアフェリエイトを特徴とするランサムウェア・アズ・ア・サービス(RaaS)モデルを使用していた。RaaSは、サブスクリプション型のモデルで、開発者や管理者がランサムウェアの株を開発し、それを操作するための使いやすいインターフェースを作成し、被害者に対してランサムウェアを展開するアフィリエイトをリクルートするものである。アフィリエイトは、ターゲットを特定し、この既製の悪意のあるソフトウェアを展開して被害者を攻撃し、成功した身代金の支払いに応じて一定の利益を得ていた。
Hive actors employed a double-extortion model of attack. Before encrypting the victim system, the affiliate would exfiltrate or steal sensitive data. The affiliate then sought a ransom for both the decryption key necessary to decrypt the victim’s system and a promise to not publish the stolen data. Hive actors frequently targeted the most sensitive data in a victim’s system to increase the pressure to pay. After a victim pays, affiliates and administrators split the ransom 80/20. Hive published the data of victims who do not pay on the Hive Leak Site. Hiveの攻撃者は、二重の恐喝モデルを採用している。被害者のシステムを暗号化する前に、アフィリエイトは、機密データを流出させたり、盗み出したりする。そして、被害者のシステムを復号するために必要な復号キーと、盗まれたデータを公開しないことを約束させるために身代金を要求する。ハイブアクターは、被害者のシステム内の最も機密性の高いデータを標的とすることが多く、支払いへの圧力を高めることができる。被害者が支払った後、アフィリエイトと管理者は身代金を80/20で分配する。Hiveは、支払わない被害者のデータをHive Leak Siteで公開する。
According to the U.S. Cybersecurity and Infrastructure Security Agency (CISA), Hive affiliates have gained initial access to victim networks through a number of methods, including: single factor logins via Remote Desktop Protocol (RDP), virtual private networks (VPNs), and other remote network connection protocols; exploiting FortiToken vulnerabilities; and sending phishing emails with malicious attachments. For more information about the malware, including technical information for organizations about how to mitigate its effects, is available from CISA, visit [link] 米国サイバーセキュリティ・インフラストラクチャ・セキュリティ局(CISA)によると、Hiveのアフェリエイトは、RDP(Remote Desktop Protocol)、VPN(仮想プライベートネットワーク)、その他のリモートネットワーク接続プロトコルによる単一要素ログイン、FortiTokenの脆弱性の利用、悪質な添付ファイルを含むフィッシングメールの送信など、さまざまな方法によって被害者のネットワークへの初期アクセスを獲得しているとのことである。マルウェアの影響を軽減する方法に関する組織向けの技術情報など、マルウェアに関する詳細については、CISAが提供している [link]。
Victims of Hive ransomware should contact their local FBI field office for further information.  Hiveランサムウェアの被害者は、最寄りのFBI支局に連絡してください。 
The FBI Tampa Field Office, Orlando Resident Agency is investigating the case. FBIタンパ支局オーランド常駐機関がこの事件を捜査している。
Trial Attorneys Christen Gallagher and Alison Zitron of the Criminal Division’s Computer Crime and Intellectual Property Section and Assistant U.S. Attorney Chauncey Bratt for the Middle District of Florida are prosecuting the case. 刑事部コンピュータ犯罪・知的財産課のChristen Gallagher、Alison Zitron両裁判官とフロリダ州中部地区連邦検事補のChauncey Bratt氏がこの事件を起訴している。
The Justice Department also recognizes the critical cooperation of the German Reutlingen Police Headquarters-CID Esslingen, the German Federal Criminal Police, Europol, and the Netherlands Politie, and significant assistance was provided by the U.S. Secret Service, U.S. Attorney’s Office for the Eastern District of Virginia, and U.S. Attorney’s Office for the Central District of California. The Justice Department’s Office of International Affairs and the Cyber Operations International Liaison also provided significant assistance. Additionally, the following foreign law enforcement authorities provided substantial assistance and support: the Canadian Peel Regional Police and Royal Canadian Mounted Police, French Direction Centrale de la Police Judiciaire, Lithuanian Criminal Police Bureau, Norwegian National Criminal Investigation Service in collaboration with the Oslo Police District, Portuguese Polícia Judiciária, Romanian Directorate of Countering Organized Crime, Spanish Policia Nacional, Swedish Police Authority, and the United Kingdom’s National Crime Agency. 司法省はまた、ドイツ・ロイトリンゲン警察本部-CIDエスリンゲン、ドイツ連邦刑事警察、欧州警察、オランダ政治局の重要な協力と、米国シークレットサービス、バージニア州東部地区連邦検事局、カリフォルニア州中部地区連邦検事局から多大な支援を受けた。また、司法省国際局およびサイバーオペレーション国際渉外部からも多大な支援をいただいた。さらに、カナダのピール地域警察とカナダ騎馬警察、フランスのDirection Centrale de la Police Judiciaire、リトアニア刑事警察局、オスロ警察管区と連携するノルウェー国家犯罪捜査局、ポルトガルPolicia Judiciária、ルーマニア組織犯罪対策局、スペインPolicia Nacional、スウェーデン警察当局、英国国家犯罪捜査局が大きな援助と支援を提供した。

 

・2023.01.26 Attorney General Merrick B. Garland Delivers Remarks on the Disruption of Hive Ransomware Variant

Attorney General Merrick B. Garland Delivers Remarks on the Disruption of Hive Ransomware Variant メリック・B・ガーランド司法長官、ランサムウェア「Hive」亜種の被害に関する発言を行う
Remarks as Delivered 挨拶
Good morning. おはようございます。
I am joined today by Deputy Attorney General Lisa Monaco, FBI Director Chris Wray, Assistant Attorney General for the Criminal Division Kenneth Polite, U.S. Attorney for the Middle District of Florida Roger Handberg, and Europol Representative to the United States Lenno Reimand. 本日は、リサ・モナコ副司法長官、クリス・レイFBI長官、ケネス・ポライト刑事局次長、ロジャー・ハンドバーグフロリダ州中部地区連邦検事、レノ・レイマン駐米欧州警察代表とともに出席している。
We are here to announce that last night, the Justice Department dismantled an international ransomware network responsible for extorting and attempting to extort hundreds of millions of dollars from victims in the United States and around the world. 我々は、昨夜、米国および世界中の被害者から数億ドルを恐喝し、また恐喝しようとした国際的なランサムウェアネットワークを司法省が解体したことをここに発表する。
Known as the “Hive” ransomware group, this network targeted more than 1,500 victims around the world since June of 2021.  Hive」ランサムウェアグループとして知られるこのネットワークは、2021年6月以降、世界中の1,500人以上の被害者を標的としていた。 
In ransomware attacks, transnational cybercriminals use malicious software to hold digital systems hostage and demand a ransom. Hive ransomware affiliates employed a double extortion model. ランサムウェア攻撃では、国境を越えたサイバー犯罪者が悪意のあるソフトウェアを使用してデジタルシステムを人質に取り、身代金を要求する。 Hiveランサムウェアのアフェリエイトは、二重の強要モデルを採用していた。
First, they infiltrated a victim’s system and stole sensitive data. Next, the affiliates deployed malicious software, encrypting the victim's system, rendering it unusable. And finally, they demanded a ransom payment in exchange for a system decryption key and a promise not to publish any stolen data. まず、被害者のシステムに侵入し、機密データを盗む。 次に、悪意のあるソフトウェアを導入し、被害者のシステムを暗号化し、使用不能にする。そして最後に、システムの復号キーと、盗まれたデータを公開しないことを約束させる代わりに、身代金の支払いを要求したのである。
Hive affiliates targeted critical infrastructure and some of our nation's most important industries. Hiveのアフェリエイトは、重要なインフラや我が国の最も重要な産業をターゲットにしていた。
In one instance in August 2021, Hive affiliates deployed ransomware on computers owned by a Midwest hospital. At a time when COVID-19 was surging in communities around the world, the Hive ransomware attack prevented this hospital from accepting any new patients. The hospital was also forced to rely on paper copies of patient information. It was only able to recover its data after it paid a ransom. 2021年8月のある事例では、ハイブアフェリエイトが中西部の病院が所有するコンピュータにランサムウェアを展開した。 COVID-19が世界中の地域で急増していた頃、ハイブのランサムウェア攻撃により、この病院は新患を受け入れることができなくなった。 また、この病院は患者情報の紙媒体に頼らざるを得なかった。この病院では、身代金を支払って初めてデータを復旧することができた。
Hive’s most recent victim in the Central District of California was attacked on or about December 30 of last year. Its most recent victim in the [Middle] District of Florida was attacked around 15 days ago. カリフォルニア州中部地区におけるHiveの最新の被害者は、昨年12月30日頃に攻撃された。フロリダ州[中]地区での直近の被害者は、15日ほど前に攻撃された。
In its first year of operation, Hive extorted over $100 million in ransom payments from its victims.            Hiveは、その最初の1年間で、被害者から1億ドル以上の身代金を強要している。           
Last summer, FBI agents from the Tampa Division, with the support of prosecutors in the Criminal Division's Computer Crime and Intellectual Property Section and the Middle District of Florida infiltrated the Hive network and began disrupting Hive’s attempts to extort victims.  昨年夏、タンパ支部のFBI捜査官は、刑事部コンピュータ犯罪・知的財産課とフロリダ州中部地区の検察官の支援を受け、Hiveのネットワークに侵入し、Hiveによる被害者への恐喝の試みを妨害し始めた。 
For example, the FBI disrupted a Hive ransomware attack against a Texas school district’s computer systems. The Bureau provided decryption keys to the school district, saving it from making a $5 million ransom payment. 例えば、FBIはテキサス州の学区のコンピュータシステムに対するHiveのランサムウェア攻撃を阻止した。同局は復号キーを提供し、学区は500万ドルの身代金の支払いを免れることができた。
That same month, the FBI disrupted a Hive ransomware attack on a Louisiana hospital, saving the victim from a $3 million ransom payment. 同月、FBIはルイジアナ州の病院に対するHiveランサムウェアの攻撃を阻止し、被害者を300万ドルの身代金の支払いから救った。
The FBI was also able to disrupt an attack on a food services company. The Bureau provided the company with decryption keys and saved the victim from a $10 million ransom payment. FBIは、食品サービス会社に対する攻撃も阻止することができた。同局は同社に復号キーを提供し、被害者を1千万ドルの身代金支払いから救った。
Since July of last year, we provided assistance to over 300 victims around the world, helping to prevent approximately $130 million in ransom payments. 昨年7月以降、世界中で300人以上の被害者に支援を提供し、約1億3千万ドルの身代金支払いを防ぐことに貢献した。
Our continued investigative efforts led us to two back-end computer servers located in Los Angeles that were used by Hive to store the network’s critical information. Last night, pursuant to a court order, we seized those servers. We also received court authorization to wrest control of Hive's darknet sites and render its services unavailable. 我々は継続的な調査活動により、Hiveがネットワークの重要な情報を保存するために使用していたロサンゼルスにある2つのバックエンドコンピュータサーバを突き止めました。 昨夜、裁判所命令に従い、これらのサーバーを押収した。 また、ハイブのダークネットサイトの制御を奪い、そのサービスを利用できなくする許可を裁判所から得ている。
This morning, if a Hive affiliate tries to access their darknet site, this is what they will see. 今朝、ハイブの関係者がダークネットサイトにアクセスしようとすると、このような画面が表示される。
Our investigation into the criminal conduct of Hive members remains ongoing. ハイブメンバーの犯罪行為に関する調査はまだ続いている。
I want to thank all of the agents, prosecutors, and staff across the Department for their work on this matter. I also want to thank the United States Secret Service, as well as all of our international partners, including Germany and the Netherlands, as well as our law enforcement partners at Europol. この問題に取り組んでくれた捜査官、検察官、職員に感謝したい。 また、米国シークレットサービス、ドイツやオランダを含む国際的なパートナー、そして欧州警察機構の法執行機関のパートナーにも感謝したい。
Cybercrime is a constantly evolving threat. But as I have said before, the Justice Department will spare no resource to identify and bring to justice, anyone, anywhere, who targets the United States with a ransomware attack.   サイバー犯罪は常に進化する脅威である。 しかし、以前にも申し上げたように、司法省は、米国を標的としたランサムウェア攻撃を行う者を特定し、裁判にかけるために、いかなるリソースも惜まない。  
We will continue to work both to prevent these attacks and to provide support to victims who have been targeted. 我々は、こうした攻撃の防止と、標的となった被害者への支援の両方に取り組み続ける。
And together with our international partners, we will continue to disrupt the criminal networks that deploy these attacks. そして、国際的なパートナーとともに、こうした攻撃を展開する犯罪ネットワークを破壊していく。
I’m now going to turn over the podium over to Deputy Attorney General Monaco.  それでは、モナコ副司法長官に壇上を譲ります。 

 

 

・2023.01.26 Deputy Attorney General Lisa O. Monaco Delivers Remarks on the Disruption of Hive Ransomware Variant

Deputy Attorney General Lisa O. Monaco Delivers Remarks on the Disruption of Hive Ransomware Variant リサ・O・モナコ司法副長官、ランサムウェア亜種「Hive」の被害状況についてコメントを発表
Remarks as Prepared for Delivery 配信用に準備した文書
Thank you, Mr. Attorney General. 司法長官、ありがとうございます。
Over the last two years, the Attorney General and I have made clear that the department will use all the tools at its disposal, and work with partners to attack the ransomware threat from every angle. この2年間、司法長官と私は、同省があらゆる手段を駆使し、パートナーと協力してあらゆる角度からランサムウェアの脅威を攻撃していくことを明確にしてきた。
The department’s agents, prosecutors, and trial attorneys have partnered with law enforcement allies across the globe: 同省の捜査官、検察官、司法弁護士は、世界中の法執行機関の同盟者と連携している。
・To track ransom payments through the block chain and seize them back for victims; ・ブロックチェーンを通じて身代金の支払いを追跡し、被害者のためにそれを押収すること。
・To dismantle ransomware networks; ・ランサムウェアのネットワークを解体する。
・To warn targets of exigent ransomware threats to prevent attacks; ・ランサムウェアの脅威を警告し、攻撃を防止すること。
・And to disrupt the criminal ecosystem that enables the targeting of innocent victims. ・そして、罪のない被害者をターゲットにすることを可能にする犯罪エコシステムを崩壊させることである。
We’ve made it clear that we will strike back against cyber crime using any means possible — today’s action reflects that strategy. 我々は、可能な限りの手段を用いてサイバー犯罪に反撃することを明確にしており、本日の行動はその戦略を反映したものである。
We have also pledged to place victims at the center of our mission and prioritize prevention. また、被害者を我々の任務の中心に据え、予防を優先させることを約束した。
As you’ll hear the FBI Director explain in greater detail, for the past several months the FBI and our prosecutors have been inside the network of one of the world’s most prolific ransomware variants: Hive. FBI長官がより詳しく説明するように、過去数か月間、FBIと検察当局は、世界で最も多発するランサムウェアの亜種「Hive」のネットワークに潜入してきた。
The FBI has labeled Hive a top 5 ransomware threat — both for its technical sophistication and for the harm it can inflict on victims. FBIは、Hiveをランサムウェアの脅威のトップ5に分類している。その技術的な巧妙さと被害者に与える被害の大きさからである。
But, for all the group’s technical prowess, it could not outfox our prosecutors, our agents, and our international law enforcement coalition. しかし、このグループの技術力は、我々検察当局、捜査官、そして国際的な法執行機関連合を出し抜くことができませんでした。
Unbeknownst to HIVE, in a 21st century cyber stakeout, our investigative team lawfully infiltrated Hive’s network and hid there for months — repeatedly swiping decryption keys and passing them to victims to free them from ransomware. HIVEが知らないうちに、我々の調査チームは21世紀のサイバー張り込みとして、合法的にHIVEのネットワークに潜入し、数ヶ月間そこに潜伏して、繰り返し復号キーを盗み、被害者に渡してランサムウェアから解放した。
For months, we helped victims defeat their attackers and deprived the Hive network of extortion profits. 数ヶ月の間、我々は被害者が攻撃者を打ち負かすのを助け、Hiveネットワークから強奪による利益を奪った。
Simply put, using lawful means, we hacked the hackers. 簡単に言えば、合法的な手段でハッカーをハッキングしたのである。
We turned the tables on Hive and busted their business model, saving potential victims approximately $130 million dollars in ransomware payments. 我々はHiveのビジネスモデルを破壊し、潜在的な被害者から約1億3千万ドルのランサムウェアの支払いを救った。
Successful actions like the one we announce today require the creative use of civil and criminal authorities, and they require partnerships – among law enforcement to be sure – but also with victims. 今日発表したような行動を成功させるには、民事と刑事の両権限をクリエイティブに活用し、法執行機関だけでなく、被害者とのパートナーシップも必要である。
Our actions in this investigation should speak clearly to those victims: it pays to come forward, and work with us. この捜査における我々の行動は、被害者にはっきりと伝えるべきものである。
We are all in this together – we need your help to stop cybercriminals, to prevent future victims. In exchange, we pledge our tireless efforts to help you protect your systems and prevent or recover losses. サイバー犯罪を阻止し、未来の犠牲者を出さないためには、皆さんの協力が必要なのである。サイバー犯罪者を阻止し、将来の被害者を出さないためには、皆さんの協力が必要である。その代わり、我々は皆さんのシステムを保護し、損失を防止または回復するために、たゆまぬ努力をすることを約束する。
When a victim steps forward it can make all the difference in recovering stolen funds or obtaining decryptor keys. 被害者が名乗り出れば、盗まれた資金の回収や復号キーの入手に大きな違いが生まれる。
Whether you own a small business, run a Fortune 500 company, oversee a school district, or manage a hospital — we can work with you to counter ransomware, mitigate harm, prevent losses, and strike back at the bad guys. 中小企業の経営者、フォーチュン500社の経営者、学区の監督者、病院の経営者など、ランサムウェアへの対策、被害の軽減、損失の防止、そして悪者への反撃のために、我々はあなたと協力することができるのである。
Although today’s announcement marks an important success in the international fight against ransomware, we will not rest when it comes to Hive and its affiliates. 本日の発表は、ランサムウェアとの国際的な戦いにおける重要な成功であるが、我々はHiveとその関連会社に関しても、決して手を緩めることはない。
If you target victims here in the United States, the Department of Justice will target you. 米国内の被害者をターゲットにするなら、司法省はあなたをターゲットにするだろう。
And if you are a victim, know that the Department of Justice and the FBI are on the job, and we’ll be fighting for you and alongside you throughout your time of crisis. そして、もしあなたが被害者になったとしても、司法省とFBIは仕事中であり、あなたのために、あなたの危機の間中、一緒に戦っていくことを知っておいてください。
I’ll now turn the podium over to Director Wray. では、レイ局長に壇上を譲ります。

 

 

Director Christopher Wray’s Remarks at Press Conference Announcing the Disruption of the Hive Ransomware Group

Director Christopher Wray’s Remarks at Press Conference Announcing the Disruption of the Hive Ransomware Group ランサムウェアグループ「Hive」の破壊を発表した記者会見におけるクリストファー・レイ長官のコメント
I’m pleased to represent the FBI here today and speak about our year-and-a-half-long disruption campaign against the Hive ransomware group. 本日、FBIを代表して、1年半に及ぶランサムウェアグループ「Hive」に対する破壊工作についてお話しできることを嬉しく思う。
Hive hurt thousands of victims across the country and around the world—until the FBI and our partners disrupted them, helping their victims decrypt their networks without Hive catching on, and then today dismantling Hive’s front- and back-end infrastructure in the U.S. and abroad. Hiveは、米国内および世界中で何千人もの被害者を出したが、FBIとそのパートナーは、Hiveが感染しないように被害者のネットワークを解読し、今日では米国および海外のHiveのフロントエンドおよびバックエンドのインフラを破壊するまで、被害者を混乱させた。
This operation was led by our Tampa Field Office, assisted by our Cyber Division team at FBI Headquarters and other field office personnel across the country, but also by FBI personnel stationed around the world, who led the collaboration with our foreign law enforcement partners—often shoulder to shoulder, scrutinizing the same data—that was essential to today’s success. Especially the fine work of the German Reutlingen Police Headquarters, the German Federal Criminal Police, the Netherlands National High Tech Crime Unit, and Europol. This coordinated disruption of Hive’s networks illustrates the power of collaboration between the FBI and our international partners.   この作戦はタンパ支局が主導し、FBI本部のサイバー課チームや全米の支局員が支援したが、世界各地に駐在するFBI職員が、海外の法執行機関と連携し、しばしば肩を並べて同じデータを精査したことが、今日の成功に欠かせなかった。特に、ドイツのロイトリンゲン警察本部、ドイツ連邦刑事警察、オランダ国家ハイテク犯罪課、および欧州警察(Europol)の素晴らしい働きぶりには目を見張ルものであった。 ハイブのネットワークを協調して破壊したことは、FBIと国際的なパートナーとの協力関係の威力を示している。  
The FBI’s strategy to combat ransomware leverages both our law enforcement and intelligence authorities to go after the whole cybercrime ecosystem—the actors, their finances, their communications, their malware, and their supporting infrastructure. And since 2021, that’s exactly how we’ve hit Hive ransomware. FBI のランサムウェア対策では、法執行機関と情報機関の両方の権限を活用し、サイバー犯罪のエコシステム全体(犯罪者、資金、通信、マルウェア、支援インフラ)を追及している。 そして2021年以降、私たちはまさにこの方法でHiveランサムウェアに対処してきた。
Last July, FBI Tampa gained clandestine, persistent access to Hive’s control panel. Since then, for the past seven months, we’ve been able to exploit that access to help victims while keeping Hive in the dark, using that access to identify Hive’s victims and to offer over 1,300 victims around the world keys to decrypt their infected networks, preventing at least $130 million in ransom payments, cutting off the gas that was fueling Hive’s fire. 昨年7月、FBIタンパはHiveのコントロールパネルに密かに、かつ持続的にアクセスすることに成功した。 それ以来、この7ヶ月間、私たちはHiveを闇に葬り、Hiveの被害者を特定し、世界中の1300人以上の被害者に感染したネットワークを解読するためのキーを提供し、少なくとも1億3000万ドルの身代金の支払いを防ぎ、Hiveの火種となっていたガスを絶つために、そのアクセス権を悪用して被害者を救済することができたのである。
Our access to Hive’s infrastructure was no accident. Across our cyber program, we combine our technical expertise, our experience handling human sources, and our other investigative tradecraft to seek out technical indicators victims can use to protect themselves. Hiveのインフラにアクセスできたのは偶然ではない。 私たちはサイバー犯罪対策プログラムを通じて、技術的な専門知識と人的資源を扱う経験、そしてその他の調査技術を組み合わせ、被害者が自らを守るために利用できる技術的な指標を探し求めている。
Here, that focus on obtaining useful technical indicators led us to Hive’s decryption keys—which we turned around and provided to those in need, like when our investigative team identified the initial stages of an attack against a university, proactively notified the school, and gave the institution the technical information it needed to kick Hive off of its network before ransomware was deployed.  例えば、ある大学に対する攻撃の初期段階を調査チームが特定し、積極的に学校に通知し、ランサムウェアが展開される前にHiveをネットワークから排除するために必要な技術情報を学校に提供したように、有用な技術指標を得ることに注力した結果、Hiveの復号キーに行き当たった。 
Or when an FBI case agent and computer scientist rushed to provide hands-on support to a local specialty clinic and helped the doctor, who also managed the clinic’s IT security, identify his office’s vulnerabilities and deploy his decryption key—because no victim is too small. また、FBIのケースエージェントとコンピュータサイエンティストが、地元の専門クリニックに駆けつけて実地支援を行い、クリニックのITセキュリティを管理していた医師が自分のオフィスの脆弱性を特定し、復号キーを配備するのを手伝ったこともある(なぜなら、被害者は小さすぎるということはないからである)。
We’ve also shared keys with many victims overseas through our foreign-based Legal Attaché offices, like when we gave a foreign hospital a decryptor they used to get their systems back up before negotiations even began, possibly saving lives. また、海外のリーガル・アタッシェ事務所を通じて、海外の多くの被害者とキーを共有した。例えば、海外の病院に暗号解読機を提供したところ、交渉が始まる前にシステムを復旧させ、人命を救うことができたのである。
Now, as we move to the next phase of the investigation, we’ve worked with our European partners to seize the infrastructure used by these criminal actors—crippling Hive’s ability to sting again. 現在、捜査は次の段階に進んでおり、ヨーロッパのパートナーと協力して、これらの犯罪者が使用したインフラを押収し、ハイブが再び攻撃を仕掛けることができないようにした。
I’m also here today to thank those victims and private sector partners who worked with us and who helped make this operation possible by protecting its sensitivities and to demonstrate that we can and will act on the information victims share with us. また、私は今日、私たちと協力してくれた被害者と民間企業のパートナーに感謝し、その機密を守ることでこの活動を可能にし、被害者から寄せられた情報に基づいて私たちが行動できることを示すために、ここにいる。
So today’s lesson for businesses large and small, hospitals and police departments, and all the other many victims of ransomware is this: Reach out to your local FBI field office today and introduce yourselves, so you know who to call if you become the victim of a cyberattack. We’re ready to help you build a crisis response plan, so when an intruder does come knocking, you’ll be prepared. 今日の教訓は、大企業や中小企業、病院や警察など、ランサムウェアの多くの被害者のために、次のようなことである。 サイバー攻撃の被害に遭ったときに誰に連絡すればよいかを知っておくために、今すぐお近くのFBI支部に連絡を取り、自己紹介をしてください。 FBIは、危機対応計画の策定を支援し、侵入者が襲ってきたときの備えを整えています。
And, like the Hive victims here, when you talk to us in advance—as so many others have—you’ll know how we operate: quickly and quietly, giving you the assistance, intelligence, and technical information you want and need. そして、今回被害に遭われた方々のように、事前に私たちにご相談いただければ、私たちがどのように活動しているかご理解いただけると思います。迅速かつ静かに、必要な支援、情報、技術情報を提供する。
Unfortunately, during these past seven months, we found that only about 20% of Hive’s victims reported potential issues to law enforcement. Here, fortunately, we were still able to identify and help many victims who didn’t report in. But that is not always the case. When victims report attacks to us, we can help them—and others, too.  残念ながら、この7ヶ月の間に、ハイブの被害者のうち法執行機関に潜在的な問題を報告したのは、わずか20%程度であることがわかった。 ここで、幸いなことに、報告しなかった多くの被害者を特定し、支援することができたままであった。しかし、常にそうであるとは限らない。 被害者が私たちに攻撃を報告してくれれば、私たちは彼らを、そして他の人たちをも助けることができるのである。 
Today’s announcement is only the beginning. We’ll continue gathering evidence, building out our map of Hive developers, administrators, and affiliates, and using that knowledge to drive arrests, seizures, and other operations, whether by the FBI or our partners here and abroad.  本日の発表は始まりに過ぎない。我々は引き続き証拠を集め、ハイブの開発者、管理者、およびアフェリエイトの地図を作成し、その知識を使って、FBIや国内外のパートナーによる逮捕、押収、その他の活動を推進する。 
While this is, yes, a fight to protect our country, our citizens, and our national security, make no mistake—the fight for cybersecurity spans the globe. But the FBI’s presence and partnerships do, too. これは確かに、我が国と市民、そして国家安全保障を守るための戦いであるが、サイバーセキュリティのための戦いは世界中に及んでいることに間違いはない。 しかし、FBI の存在と協力関係もまた然りである。
So, a reminder to cybercriminals: No matter where you are, and no matter how much you try to twist and turn to cover your tracks—your infrastructure, your criminal associates, your money, and your liberty are all at risk.  And there will be consequences. さて、サイバー犯罪者への注意喚起である。 あなたがどこにいようと、そしてどれだけ自分の痕跡を消そうとしても、あなたのインフラ、犯罪仲間、お金、そしてあなたの自由はすべて危険にさらされているのである。  そして、その結果もまた然りなのである。
Resources リソース
U.S. Department of Justice Disrupts Hive Ransomware Variant 米国司法省、ランサムウェアの亜種「Hive」を駆除

 

Fig1_20220411162001

 


 

欧州側

● Europol

・2023.01.27 Cybercriminals stung as HIVE infrastructure shut down

Cybercriminals stung as HIVE infrastructure shut down HIVE のインフラがシャットダウンされ、サイバー犯罪者が打撃を受ける
Europol supported German, Dutch and US authorities to shut down the servers and provide decryption tools to victims 欧州警察機構(Europol)がドイツ、オランダ、米国当局を支援し、サーバーの停止と被害者への復号ツールの提供を実現
Europol supported the German, Dutch and US authorities in taking down the infrastructure of the prolific HIVE ransomware. This international operation involved authorities from 13* countries in total. Law enforcement identified the decryption keys and shared them with many of the victims, helping them regain access to their data without paying the cybercriminals.  ユーロポールは、ドイツ、オランダ、米国の当局が、多発するランサムウェア「HIVE」のインフラを停止させるのを支援した。この国際的な作戦には、合計13カ国*の当局が関与している。法執行機関は解読鍵を特定し、それを多くの被害者と共有することで、サイバー犯罪者に金銭を支払うことなくデータへのアクセスを回復させることに成功した。 
In the last year, HIVE ransomware has been identified as a major threat as it has been used to compromise and encrypt the data and computer systems of large IT and oil multinationals in the EU and the USA. Since June 2021, over 1 500 companies from over 80 countries worldwide have fallen victim to HIVE associates and lost almost EUR 100 million in ransom payments. Affiliates executed the cyberattacks, but the HIVE ransomware was created, maintained and updated by developers. Affiliates used the double extortion model of ‘ransomware-as-a-service’; first, they copied data and then encrypted the files. Then, they asked for a ransom to both decrypt the files and to not publish the stolen data on the Hive Leak Site. When the victims paid, the ransom was then split between affiliates (who received 80 %) and developers (who received 20 %).  昨年、HIVEランサムウェアは、EUや米国の大手IT企業や石油会社の多国籍企業のデータやコンピュータシステムを侵害し、暗号化するために使用されたことから、大きな脅威として認識されている。2021年6月以降、世界80カ国以上の1500社以上がHIVEアフィリエイトの被害に遭い、身代金の支払いで約1億ユーロを失った。アフィリエイトはサイバー攻撃を実行したが、HIVEランサムウェアは開発者によって作成、維持、更新されていた。アフィリエイトは、「ransomware-as-a-service」という二重の強要モデルを使用していた。まず、データをコピーし、ファイルを暗号化する。そして、ファイルを復号することと、盗んだデータをHive Leak Siteに公開しないことの両方のために身代金を要求した。被害者が支払いを済ませると、身代金はアフィリエイト(80%)と開発者(20%)に分配された。 
Other dangerous ransomware groups have also used this so-called ransomware-as-a-service (RaaS) model to perpetrate high-level attacks in the last few years. This has included asking for millions of euros in ransoms to decrypt affected systems, often in companies maintaining critical infrastructures. Since June 2021, criminals have used HIVE ransomware to target a wide range of businesses and critical infrastructure sectors, including government facilities, telecommunication companies, manufacturing, information technology, and healthcare and public health. In one major attack, HIVE affiliates targeted a hospital, which led to severe repercussions about how the hospital could deal with the COVID-19 pandemic. Due to the attack, this hospital had to resort to analogue methods to treat existing patients, and was unable to accept new ones.   他の危険なランサムウェアグループも、ここ数年、このいわゆるランサムウェア・アズ・ア・サービス(RaaS)モデルを利用して、ハイレベルな攻撃を仕掛けてきた。これには、重要なインフラを維持する企業の多くで、感染したシステムを復号するために数百万ユーロの身代金を要求することも含まれている。2021年6月以降、犯罪者はHIVEランサムウェアを使用して、政府施設、通信会社、製造業、情報技術、医療・公衆衛生など、幅広い企業や重要インフラ部門を標的にしてきた。ある大規模な攻撃では、HIVEアフェリエイトが病院を標的とし、この病院がCOVID-19のパンデミックにどう対処するかについて深刻な反響を呼びました。この病院は、既存の患者を治療するためにアナログ的な方法を取らざるを得ず、新たな患者を受け入れることができなくなった。 
The affiliates attacked companies in different ways. Some HIVE actors gained access to victim’s networks by using single factor logins via Remote Desktop Protocol, virtual private networks, and other remote network connection protocols. In other cases, HIVE actors bypassed multifactor authentication and gained access by exploiting vulnerabilities. This enabled malicious cybercriminals to log in without a prompt for the user’s second authentication factor by changing the case of the username. Some HIVE actors also gained initial access to victim’s networks by distributing phishing emails with malicious attachments and by exploiting the vulnerabilities of the operating systems of the attacked devices.  アフェリエイトは、さまざまな方法で企業を攻撃した。一部のHIVE関係者は、Remote Desktop Protocol、仮想プライベートネットワーク、その他のリモートネットワーク接続プロトコルを介してシングルファクタログインを使用し、被害者のネットワークにアクセスした。また、HIVE関係者は、多要素認証をバイパスし、脆弱性を悪用してアクセスするケースもありました。これにより、悪意のあるサイバー犯罪者は、ユーザー名の大文字と小文字を変更することで、ユーザーの第2認証要素のプロンプトを出さずにログインすることができた。また、一部のHIVE行為者は、悪意のある添付ファイルを含むフィッシングメールを配信し、攻撃されたデバイスのOSの脆弱性を悪用して、被害者のネットワークへの最初のアクセスを獲得した。 
About EUR 120 million saved thanks to mitigation efforts 被害軽減の取り組みにより約1億2千万ユーロを節約
Europol streamlined victim mitigation efforts with other EU countries, which prevented private companies from falling victim to HIVE ransomware. Law enforcement provided the decryption key to companies which had been compromised in order to help them decrypt their data without paying the ransom. This effort has prevented the payment of more than USD 130 million or the equivalent of about EUR 120 million of ransom payments. ユーロポールは、他のEU諸国と協力して被害者救済活動を効率化し、民間企業がHIVEランサムウェアの犠牲になるのを防いだ。法執行機関は、身代金を支払うことなくデータを復号できるよう、感染した企業に復号鍵を提供した。この取り組みにより、1億3000万米ドル以上、または約1億2000万ユーロに相当する身代金の支払いを防ぐことができた。
Europol facilitated the information exchange, supported the coordination of the operation and funded operational meetings in Portugal and the Netherlands. Europol also provided analytical support linking available data to various criminal cases within and outside the EU, and supported the investigation through cryptocurrency, malware, decryption and forensic analysis.  ユーロポールは、情報交換を促進し、活動の調整を支援し、ポルトガルとオランダでの活動会議に資金を提供した。また、ユーロポールは、入手可能なデータをEU内外の様々な刑事事件に関連付ける分析支援を行い、暗号通貨、マルウェア、復号、フォレンジック分析を通じて捜査をサポートした。 
On the action days, Europol deployed four experts to help coordinate the activities on the ground. Europol supported the law enforcement authorities involved by coordinating the cryptocurrency and malware analysis, cross-checking operational information against Europol’s databases, and further operational analysis and forensic support. Analysis of this data and other related cases is expected to trigger further investigative activities. The Joint Cybercrime Action Taskforce (J-CAT) at Europol also supported the operation. This standing operational team consists of cybercrime liaison officers from different countries who work on high-profile cybercrime investigations. 行動日には、ユーロポールは4名の専門家を派遣し、現場での活動の調整を支援した。ユーロポールは、暗号通貨およびマルウェア解析の調整、運用情報とユーロポールのデータベースとの照合、さらに運用解析およびフォレンジック支援を通じて、関係法執行機関を支援した。このデータおよびその他の関連事例の分析が、さらなる捜査活動の引き金となることが期待されます。欧州警察機構のJoint Cybercrime Action Taskforce (J-CAT)もこの活動を支援した。この常設作戦チームは、注目度の高いサイバー犯罪の捜査に取り組む各国のサイバー犯罪リエゾンオフィサーで構成されている。
*Law enforcement authorities involved *関係する法執行機関
Canada – Royal Canadian Mounted Police (RCMP) & Peel Regional Police カナダ:カナダ騎馬警察(RCMP)およびピール地域警察
France: National Police (Police Nationale) フランス フランス国家警察(Police Nationale)
Germany: Federal Criminal Police Office (Bundeskriminalamt) and Police Headquarters Reutlingen – CID Esslingen (Polizei BW) ドイツ ドイツ:連邦刑事局(Bundeskriminalamt)およびロイトリンゲン警察本部 - CID Esslingen (Polizei BW)
Ireland: National Police (An Garda Síochána) アイルランド アイルランド国家警察(An Garda Síochána)
Lithuania: Criminal Police Bureau (Kriminalinės Policijos Biuras) リトアニア リトアニア:刑事警察局(Kriminalinės Policijos Biuras)
Netherlands – National Police (Politie) オランダ:国家警察(Politie)
Norway: National Police (Politiet) ノルウェー 国家警察(Politiet)
Portugal: Judicial Police (Polícia Judiciária) ポルトガル 司法警察(Polícia Judiciária)
Romania: Romanian Police (Poliția Română – DCCO) ルーマニア ルーマニア警察 (Poliția Română - DCCO)
Spain: Spanish Police (Policía Nacional) スペイン スペイン警察(Policía Nacional)
Sweden: Swedish Police (Polisen) スウェーデン スウェーデン警察(Polisen)
United Kingdom – National Crime Agency イギリス - 国家犯罪局(National Crime Agency
USA – United States Secret Service, Federal Bureau of Investigations 米国:米国シークレットサービス、連邦捜査局(Federal Bureau of Investigations
Headquartered in The Hague, the Netherlands, Europol supports the 27 EU Member States in their fight against terrorism, cybercrime, and other serious and organized crime forms. Europol also works with many non-EU partner states and international organisations. From its various threat assessments to its intelligence-gathering and operational activities, Europol has the tools and resources it needs to do its part in making Europe safer. オランダのハーグに本部を置くユーロポールは、テロリズム、サイバー犯罪、その他の重大犯罪や組織犯罪との戦いにおいて、EU加盟国27カ国を支援している。また、欧州連合以外の多くのパートナー国や国際組織とも連携している。様々な脅威の評価から情報収集や作戦活動まで、欧州警察機構は欧州をより安全にするために必要なツールと資源を有している。



 

| | Comments (0)

欧州 ENISA パーソナルデータ共有を上手くやりこなす

こんにちは、丸山満彦です。

ENISAがパーソナルデータを共有するためにどのような技術が支援できるかを調査したものということですかね。。。プライバシー向上技術と言われるものなのですかね。。。技術自体の問題というよりも、それをどう利用するかということが重要なのですよね。。。

医療分野におけるデータ共有の具体的なユースケースで議論をしていますね。。。

 

ENISA

プレスリリース...

・2023.01.27 Protecting Data: Can we Engineer Data Sharing?

Protecting Data: Can we Engineer Data Sharing? データを守る:データ共有を技術的に支援することは可能か?
The European Union Agency for Cybersecurity (ENISA) celebrates the Data Protection Day and explores how technologies can support personal data sharing in practice. 欧州連合サイバーセキュリティ機関(ENISA)は、データ保護デーを記念して、技術がどのように個人データの共有を実際にサポートできるかを調査している。
To celebrate the European Data Protection Day on 28 January 2023, ENISA publishes today its report on how cybersecurity technologies and techniques can support the implementation of the General Data Protection Regulation (GDPR) principles when sharing personal data. 2023年1月28日の欧州データ保護デーを記念して、ENISAは本日、個人データを共有する際にサイバーセキュリティの技術や手法が一般データ保護規則(GDPR)の原則の実施をいかにサポートできるかについての報告書を発表する。
The Executive Director of the EU Agency for Cybersecurity, Juhan Lepassaar, said: “In an ever growing connected world, protecting shared data is essential if we want to generate trust in the digital services. We therefore need to rely on the technologies at hand to address the emerging risks and thus find the solutions to best protect the rights and freedoms of individuals across the EU." EUサイバーセキュリティ庁のジュハン・レパサー事務局長は、次のように述べている。「つながり続ける世界において、デジタルサービスへの信頼を生み出そうとするならば、共有データの保護は不可欠である。したがって、我々は、新たなリスクに対処するために手近な技術に頼る必要があり、その結果、EU全域の個人の権利と自由を最もよく保護するための解決策を見出す必要がある。」
Because data today is at the heart of our lives and central to our economy, data has been coined as the new currency. No transactions or activity can be performed online nowadays without the exchange and sharing of data. Organisations share information with partners, analytic platforms, public or other private organisations and the ecosystem of shareholders is increasing exponentially. Although we do see data being taken from devices or from organisations to be shared with external parties in order to facilitate business transactions, securing and protecting data should remain a top priority and adequate solutions implemented to this end. 今日のデータは私たちの生活の中心であり、経済の中心であるため、データは新しい通貨として造語されている。現在では、データの交換と共有なしに、オンラインでの取引や活動を行うことはできない。組織は、パートナー、分析プラットフォーム、公的機関、その他の民間組織と情報を共有し、株主のエコシステムは指数関数的に増加している。ビジネス上の取引を円滑にするために、デバイスや組織からデータが取得され、外部と共有されることがあるが、データの安全性と保護は最優先事項であり、この目的のために適切なソリューションが導入されなければならない。
The objective of the report is to show how the data protection principles inscribed in the GDPR can be applied in practice by using technological solutions relying on advanced cryptographic techniques. The report also includes an analysis of how data is dealt with when the sharing is part of another process or service. This is the case when data need to go through a secondary channel or entity before reaching the final recipient. 本報告書の目的は、高度な暗号技術に依存する技術的ソリューションを使用することで、GDPRに刻まれたデータ保護の原則を実際にどのように適用できるかを示すことである。また、本報告書では、データの共有が他のプロセスやサービスの一部である場合に、データがどのように扱われるかの分析も行っている。これは、データが最終的な取得者に到達する前に、二次的なチャネルまたはエンティティを通過する必要がある場合である。
The report focuses on the various challenges and possible architectural solutions on intervention aspects. An example of these is the right to erasure and the right to rectification when sharing data. Targeting policy makers and data protection practitioners, the report provides an overview of the different takes on how to approach personal data sharing in an effective way. 本報告書では、介入面における様々な課題と可能なアーキテクチャ上の解決策に焦点をあてている。例えば、データ共有の際の消去権や修正権などである。政策立案者やデータ保護の実務者を対象に、個人データの共有に効果的にアプローチする方法について、さまざまな見解の概要を示している。
Background 背景
The EU Agency for Cybersecurity has been working in the area of privacy and data protection since 2014, by analysing technical solutions for the implementation of the GDPR, privacy by design and security of personal data processing. EUサイバーセキュリティ機関は、2014年からプライバシーとデータ保護の分野で、GDPRの実施、プライバシー・バイ・デザイン、個人データ処理のセキュリティのための技術的解決策を分析し、活動してきた。
The work in this area falls under the provisions of the Cybersecurity Act (CSA) and is meant to support Member States on specific cybersecurity aspects of Union policy and law in relation to data protection and privacy. This work builds upon the Agency's activities in the area of Data Protection Engineering and is produced in collaboration with the ENISA Ad Hoc Working Group on Data Protection Engineering. この分野の作業は、サイバーセキュリティ法(CSA)の規定に該当し、データ保護とプライバシーに関連する連合の政策と法律の特定のサイバーセキュリティの側面について加盟国を支援することを目的としている。この作業は、データ保護工学の分野における同庁の活動を基礎とし、データ保護工学に関するENISAアドホック・ワーキング・グループと協力して作成されるものである。
The Agency has been providing guidance on data pseudonymisation solutions to data controllers and processors since 2018. 同庁は2018年から、データ管理者と処理者にデータ仮名化ソリューションに関するガイダンスを提供している。
Further information さらに詳しい情報
Engineering Personal Data Sharing – ENISA report 2023 ・パーソナルデータ共有のエンジニアリング - ENISAレポート2023年版
Annual Privacy Forum 2023 ・年次プライバシーフォーラム2023
Other information その他の情報
General Data Protection Regulation ・一般データ保護規則
Cybersecurity Act ・サイバーセキュリティ法
EU Cybersecurity Strategy 2020 ・EUサイバーセキュリティ戦略2020
ePrivacy Regulation Proposal ・eプライバシー保護規則案

 

報告書...

・2023.01.27 Engineering Personal Data Sharing

Engineering Personal Data Sharing パーソナルデータ共有を上手くやりこなす
This report attempts to look closer at specific use cases relating to personal data sharing, primarily in the health sector, and discusses how specific technologies and considerations of implementation can support the meeting of specific data protection. After discussing some challenges in (personal) data sharing, this report demonstrates how to engineer specific technologies and techniques in order to enable privacy preserving data sharing. More specifically it discusses specific use cases for sharing data in the health sector, with the aim of demonstrating how data protection principles can be met through the proper use of technological solutions relying on advanced cryptographic techniques. Next it discusses data sharing that takes place as part of another process or service, where the data is processed through some secondary channel or entity before reaching its primary recipient. Lastly, it identifies challenges, considerations and possible architectural solutions on intervenability aspects (such as the right to erasure and the right to rectification when sharing data). 本レポートでは、主に医療分野における個人データ共有に関連する特定のユースケースに注目し、特定の技術や実装の考慮事項が、特定のデータ保護を満たすことをどのようにサポートするかを論じることを試みている。(個人)データ共有におけるいくつかの課題を論じた後、プライバシーを保護したデータ共有を可能にするために、特定の技術やテクニックをどのように設計すればよいかを示している。具体的には、高度な暗号技術に依存する技術的ソリューションを適切に使用することで、データ保護の原則をどのように満たすことができるかを示すことを目的として、医療分野におけるデータ共有の具体的なユースケースを議論している。次に、他のプロセスやサービスの一部として行われるデータ共有について、データが第一の取得者に届く前に何らかの第二のチャネルやエンティティを経由して処理される場合について説明する。最後に、介入可能性の側面(データ共有時の消去権や修正権など)に関する課題、考慮事項、可能なアーキテクチャ上の解決策を明らかにする。

 

・[PDF]

20230130-181720

 

エグゼクティブ・サマリー...

EXECUTIVE SUMMARY  エグゼクティブサマリー 
Over the last twenty years, we have experienced a steady increase in the amount of data being generated and afterwards processed in some manner. Data have evolved from being a scarce resource, difficult to gather and managed in a centralised way to becoming an abundant resource created in a decentralised way easy to replicate and to communicate. There seems to be a natural trend towards 'taking the data out of devices or organisations' and sharing data among different parties to create new value for our society, or simply to reduce operational costs.   過去20年間、私たちは、生成され、その後何らかの形で処理されるデータの量が着実に増加していることを経験してきた。データは、中央集権的な方法で収集・管理することが困難な希少な資源から、複製やコミュニケーションが容易な分散型の方法で作成される豊富な資源へと進化してきた。データを機器や組織の外に持ち出し、さまざまな関係者の間でデータを共有することで、社会に新たな価値を創造したり、単に運用コストを削減したりしようという流れが自然に起こっているようである。 
Data sharing can be considered as disclosing data to third parties outside the organisation in order to achieve a specific purpose. Such sharing can be performed either as part of a processing operation or while attempting to provide additional utility to existing data. The recent EU legislative initiatives promoting data sharing are sectoral and cross-sectoral instruments that aim to make data available by regulating the reuse of publicly and privately held data, including personal data. They also facilitate data sharing through the creation of novel intermediaries and sharing environments where the involved parties can pool data and facilities in a trusted and secure way.  データ共有とは、特定の目的を達成するために、データを組織外の第三者に開示することと考えることができる。このような共有は、処理作業の一部として行われることもあれば、既存のデータにさらなる有用性を与えようとする場合もある。データ共有を促進する最近のEUの立法措置は、個人データを含む公的・私的保有データの再利用を規制することでデータを利用可能にすることを目的とした部門別・部門横断的な制度である。また、関係者が信頼できる安全な方法でデータや施設をプールできるような新しい仲介者や共有環境の構築を通じて、データ共有を促進するものである。
This report attempts to look closer at specific use cases relating to personal data sharing, primarily in the health sector, and discusses how specific technologies and considerations of implementation can support the meeting of specific data protection. After discussing some challenges in (personal) data sharing, this report demonstrates how to engineer specific technologies and techniques in order to enable privacy preserving data sharing.   本報告書では、主に医療分野における個人データ共有に関連する具体的なユースケースを詳しく調べ、特定の技術や実装の考慮事項が、特定のデータ保護を満たすことをどのようにサポートするかを議論しようとするものである。個人)データ共有におけるいくつかの課題を議論した後、プライバシーを保護したデータ共有を可能にするために、特定の技術や手法をどのように設計すればよいかを示している。 
More specifically it discusses specific use cases for sharing data in the health sector, with the aim of demonstrating how data protection principles can be met through the proper use of technological solutions relying on advanced cryptographic techniques. Next it discusses data sharing that takes place as part of another process or service, where the data is processed through some secondary channel or entity before reaching its primary recipient. Lastly, it identifies challenges, considerations and possible architectural solutions on intervenability aspects (such as the right to erasure and the right to rectification when sharing data).   具体的には、高度な暗号技術に依存する技術的ソリューションを適切に使用することで、データ保護の原則をどのように満たすことができるかを示すことを目的として、医療分野におけるデータ共有の具体的なユースケースを議論している。次に、他のプロセスやサービスの一部として行われるデータ共有について、データが第一の取得者に届く前に何らかの第二のチャネルやエンティティを経由して処理される場合について説明する。最後に、介入可能性(データ共有時の消去権や修正権など)の側面から、課題、検討事項、可能なアーキテクチャ上の解決策を明らかにする。 

 

目次...

1. INTRODUCTION 1. 序文
1.1 RELEVANT EU LEGISLATIVE INITIATIVES 1.1 関連する EU の立法措置
1.2 THE ROLE OF DATA PROTECTION ENGINEERING 1.2 データ保護エンジニアリングの役割
1.3 SCOPE AND OBJECTIVES 1.3 対象範囲と目的
1.4 STRUCTURE OF THE DOCUMENT 1.4 文書の構成
2. DATA SHARING PRACTICES IN THE HEALTH SECTOR 2. 医療分野におけるデータ共有の実践
2.1 USER CONTROLLED PERSONAL DATA SHARING 2.1 ユーザーが管理する個人データの共有
2.1.1 Attribute Based Encryption 2.1.1 属性ベースの暗号化
2.1.2 Proxy Re-encryption 2.1.2 プロキシ再暗号化
2.2 SHARING HEALTH DATA FOR MEDICAL AND RESEARCH PURPOSES BY HEALTH CARE PROVIDERS 2.2 医療従事者による医療・研究目的の健康データ共有
2.2.1 Polymorphic encryption and pseudonymisation 2.2.1 ポリモーフィック暗号化および仮名化
3. DATA SHARING USING THIRD-PARTY SERVICES 3. サードパーティサービスを利用したデータ共有
3.1 MOBILE PUSH NOTIFICATIONS 3.1 モバイルプッシュ通知
3.1.1 Anonymous Notification Protocols (Using Proxies) 3.1.1 匿名通知プロトコル(プロキシの使用)
3.1.2 End-to-End Encryption 3.1.2 エンドツーエンドの暗号化
3.1.3 Design Strategies 3.1.3 デザイン戦略
3.2 DATA SHARING DURING AUTHENTICATION 3.2 本人認証時のデータ共有
3.2.1 Relevance of attribute based access to online platforms 3.2.1 オンライン・プラットフォームにおける属性ベースのアクセスの妥当性
4. CONSIDERATIONS ON EXERCISING THE RIGHTS OF DATA SUBJECTS 4. データ主体の権利行使に関する考慮事項
4.1 INTERACTION BETWEEN DATA SUBJECT AND DATA INTERMEDIARY 4.1 データ主体とデータ仲介者の間の相互作用
4.1.1 Purpose Limitations 4.1.1 目的の制限
4.1.2 Implementation Aspects 4.1.2 実施の側面
4.2 INTERACTION BETWEEN DATA INTERMEDIARY AND DATA UTILISERS 4.2 データ仲介者とデータ利用者間の相互作用
4.2.1 Data Request and Data Response 4.2.1 データ要求とデータ応答
4.3 DATA MANAGEMENT AT THE DATA INTERMEDIARY 4.3 データ仲介者におけるデータ管理
4.3.1 Consent Coverage and Purpose Limitation 4.3.1 合意の範囲と目的の制限
4.3.2 Inter-Intermediary Interaction 4.3.2 仲介者間の相互作用
4.3.3 Logging and Reporting 4.3.3 ロギングとレポーティング
4.3.4 Privacy-Preserving Data Selection 4.3.4 プライバシー保護されたデータの選択
4.4 DATA ALTRUISM 4.4 データ利他主義
5. CONCLUSIONS 5. 結論
REFERENCES 参考文献

 

 

 

 

| | Comments (0)

2023.01.30

経済産業省 「システム監査基準(案)」及び「システム管理基準(案)」に対する意見募集について

こんにちは、丸山満彦です。

経済産業省が、「システム監査基準(案)」及び「システム管理基準(案)」について意見募集をしていますね。。。

ガイドライン等の詳細については、「NPO ⽇本システム監査⼈協会」が、メンテナンスすることになるようですね。それが良いと思います。日本システム監査人協会に、ガイドライン委員会をつくて基本はその委員会で、利害関係者を集めて一般に公正妥当なものとして受け入れられるようになれば良いですね。。。

実は、情報セキュリティ監査基準を最初作る際に、システム監査基準も情報セキュリティ監査基準と同じように、監査人の行為規範となる監査基準と、適正性の評価の尺度 (Criteria) としてのシステム管理基準を分けました。いわば、情報セキュリティ監査とシステム監査は双子のような姉妹のようにしたのですが、それぞれ別の道を歩んで行っているように感じます。

どこかで、両団体の交流が深まれば良いのですけどね。。。

今回は、

e-Gov

・2023.01.25 システム監査基準(案)」及び「システム管理基準(案)」に対する意見募集について

意見募集対象は、、、

・[PDF] システム監査基準(案)  

・[PDF] システム管理基準(案) 

 

参考...

・[PDF] (参考資料1)システム監査基準・管理基準の改訂案概要

・[PDF] (参考資料2)システム監査基準ガイドライン(案)抜粋 

・[PDF] (参考資料3)システム管理基準ガイドライン(案)抜粋 

 

20230130-70210

20230130-140531

 

 

| | Comments (0)

2023.01.29

欧州 サイバーレジリエンス法案に対するポジションペーパー by 欧州消費者機構

こんにちは、丸山満彦です。

欧州消費者機構 (BEUC: Bureau Européen des Unions de Consommateurs, The European Consumer Organisation) [wikipedia] がサイバーレジリエンス法案 (Proposal for a Regulation of the European Parliament and of the Council on horizontal cybersecurity requirements for products with digital elements and amending Regulation (EU) 2019/1020) に対するポジションペーパーを公表していますね。消費者団体の親玉のようなところですから基本的に賛成で、なんなら生ぬるいところもあるから、ちゃんとせいや。。。くらいの勢いですかね。。。

次の6つが書かれていますね。。。

  1. あらゆる種類のデジタル製品および関連サービスを対象としてより広い範囲をカバーすべきである。
  2. 製造者は、製品の期待寿命の全期間を通じて、セキュリティの脆弱性を監視し、対処する義務を負うべきである。
  3. 適合性評価手続きを強化すべきである。
  4. 「重要製品」には消費者向け製品を含め、サイバーセキュリティ認証の義務付けを行うべきである。
  5. 市場監視と執行の枠組みを明確化し、改善すべきである。
  6. 義務が尊重されない場合の消費者に対する効果的な救済措置と救済手段

 

BEUC: Bureau Européen des Unions de Consommateurs

・2023.01.24 Cyber Resilience Act proposal

・[PDF]

20230129-03901

 

Why it matters to consumers  消費者にとって重要な理由 
The number of digital services and connected devices in consumers’ lives is skyrocketing. Consumers expect the products they purchase to be safe and secure. Cyberattacks on connected devices put consumers at risk and endanger their privacy and security, even their physical safety. They can also lead to identity theft and cause economic damage. It is fundamental that the EU develops a strong legal framework to ensure that consumers are adequately protected and that connected devices are cybersecure.   消費者の生活におけるデジタルサービスやコネクテッドデバイスの数は急増しています。消費者は、購入する製品が安全でセキュアであることを期待しています。コネクテッドデバイスへのサイバー攻撃は、消費者を危険にさらし、プライバシーやセキュリティ、さらには身体的な安全まで脅かします。また、個人情報の盗難につながり、経済的な損害を与える可能性もあります。消費者が適切に保護され、接続機器がサイバーセキュアであることを保証するために、EUが強力な法的枠組みを構築することが肝要である。 
Summary  まとめ 
BEUC – The European Consumer Organisation welcomes the European Commission proposal on the Cyber Resilience Act (CRA). This proposal answers a longstanding need that BEUC and its members have identified and warned about repeatedly. Over the past years, BEUC members have demonstrated that too many connected products sold on the European market lack even the most basic security features. Too many products are putting consumers at risk on a daily basis.   BEUC ・欧州消費者機構は、サイバーレジリエンス法(CRA)に関する欧州委員会の提案に歓迎の意を表する。この提案は、BEUCとその会員が繰り返し指摘し、警告してきた長年のニーズに応えるものである。過去数年にわたり、BEUCの会員は、欧州市場で販売されているコネクテッド製品のあまりの多さが、最も基本的なセキュリティ機能さえ欠いていることを実証してきた。あまりにも多くの製品が、日常的に消費者を危険にさらしている。 
BEUC fully supports the proposed introduction of mandatory, essential cybersecurity requirements for manufacturers, distributors and importers of digital products and their ancillary services, to ensure that these products are secure by design and by default.  BEUCは、デジタル製品およびその付属サービスの製造業者、販売業者、輸入業者に対して、設計上およびデフォルトで安全であることを保証するために、必須のサイバーセキュリティ要件の導入を提案していることを全面的に支持する。
However, substantial improvements are still needed regarding several aspects of the proposal, to ensure that it is fit for purpose and can fully deliver a high level of protection to consumers.   しかし、本提案が目的に適っており、消費者に高いレベルの保護を完全に提供できるようにするためには、本提案のいくつかの側面について大幅な改善が必要である。 
In particular, BEUC makes the following key recommendations:   特に、BEUCは以下の主要な提言を行う。 
1) A broader scope covering all types of digital products and associated services.   1) あらゆる種類のデジタル製品および関連サービスを対象としてより広い範囲をカバーすべきである。 
•       The new rules must be applicable to all connected products, and their associated services, marketed to/intended for consumers.  ・新ルールは、消費者向けに販売される、あるいは消費者向けとされる、すべての接続型製品とその関連サービスに適用されなければならない。
•       The scope should be expanded to cover all web-based services (e.g. Software-asa-Service, websites) available to consumers.  ・また、消費者が利用できるすべてのウェブサービス(SaaS、ウェブサイトなど)にも適用範囲を拡大すべきである。
2) Manufacturers should be obliged to monitor and address security vulnerabilities during a product’s entire expected lifespan.  2) 製造者は、製品の期待寿命の全期間を通じて、セキュリティの脆弱性を監視し、対処する義務を負うべきである。
•       Mandatory cybersecurity requirements for manufacturers on vulnerability handling should apply throughout the product’s entire expected lifespan, and not be limited to a maximum period of five years.  ・製造業者に対する脆弱性対応に関するサイバーセキュリティの義務付けは、製品の期待寿命全体を通じて適用されるべきであり、最長5年の期間に限定されるべきではない。
•       A threshold of five years to address vulnerabilities could eventually be a minimum limit, but not a maximum threshold.  ・脆弱性対応のための5年という閾値は、最終的には最小限の制限となり得るが、最大限の閾値とはならない。
3) The conformity assessment procedure must be strengthened.  3) 適合性評価手続きを強化すべきである。
•       Third party assessment should be the rule to assess the conformity of ‘critical products with digital elements’ under Annex III.   ・附属書IIIの「デジタル要素を持つ重要製品」の適合性評価には、第三者評価をルールとすべきである。
•       Self-assessment should only be allowed for those products which are not considered to be ’critical products with digital elements’ under Annex III.  ・自己評価は、附属書IIIの「デジタル要素を持つ重要な製品」とみなされない製品にのみ許可されるべきである。
•       Harmonised standards should only be used to define technical requirements, not to replace legal obligations and requirements.   ・整合規格は、技術的要求事項を定義するためにのみ使用されるべきであり、法的義務や要求事項に取って代わるものではない。
•       Reliance on harmonised technical standards should not open the door to selfassessment in the case of ‘critical products with digital elements’, even those belonging to Class I.   ・整合技術規格への依存は、たとえクラス I に属するものであっても、「デジタル要素を持つ重要製品」の場合に自己評価の門戸を開くものであってはならない。 
4) ‘Critical products’ must include consumer products and be subjected to mandatory cybersecurity certification  4) 「重要製品」には消費者向け製品を含め、サイバーセキュリティ認証の義務付けを行うべきである。
•       The legislation should mandate cybersecurity certification level “high” for ‘critical products with digital elements’ listed in Annex III while discarding other options, especially those relying on self-assessment.   ・法律は、附属書 III に記載された「デジタル要素を持つ重要製品」に対してサイバーセキュリティ認証レベル「高」を義務付ける一方、他の選択肢、特に自己評価に依存する選択肢は排除すべきである。
•       The list of critical products (Classes I and II) must have a broader scope, going beyond its current focus solely on products intended for industrial use.  ・重要製品のリスト(クラスIとII)は、産業用途の製品にのみ焦点を当てた現在のものを超えて、より広い範囲を持つ必要がある。
•       In particular, the list of ‘critical products with digital elements’ of higher risk (Annex III, Class II) must also be extended to include consumer products.  ・特に、よりリスクの高い「デジタル要素を持つ重要製品」(附属書 III、クラス II)のリストは、消費者向け製品も含むように拡張されなければならない。
5) The market surveillance and enforcement framework must be clarified and improved.  5) 市場監視と執行の枠組みを明確化し、改善すべきである。
•       Effectiveness and consistency of market surveillance and enforcement must be strengthened, by providing for cooperation mechanisms between all market actors.  ・すべての市場関係者間の協力体制を整備し、市場監視・取締りの実効性と一貫性を強化する。
•       There must be clear cross-sector cooperation mechanisms for relevant supervisory authorities.   ・関連する監督当局のための明確なセクター横断的な協力メカニズムが必要である。
•       A ‘virtuous cycle’ of cooperation between consumers and national authorities should be encouraged.   ・消費者と国家当局の間の協力の「好循環」が奨励されるべきである。
•       Enforcement at the national level should be reinforced at a technical level. Beyond a supporting role to the investigation procedures of the European Commission, the CRA proposal should also establish an explicit role for ENISA to assist national authorities in their investigations, at their own request. An alternative would be to create a technical body for this role.  ・国家レベルでのエンフォースメントは、技術的なレベルでも強化されるべきである。CRAの提案は、欧州委員会の調査手続を支援する役割を超えて、各国当局の要請に基づき、各国当局の調査を支援するENISAの明確な役割も確立すべきである。代替案としては、この役割のための技術的な組織を設立することが考えられる。
6) Effective remedies and means of redress for consumers when obligations are not respected.  6) 義務が尊重されない場合の消費者に対する効果的な救済措置と救済手段
•       Consumers have a right to cybersecure products and services, and should have a clear right to complain to a national authority and access judicial remedies when they are affected by non-compliance with the CRA obligations.  ・消費者は、サイバーセキュアな製品とサービスを受ける権利を有し、CRAの義務の不履行によって影響を受けた場合、国家機関に苦情を申し立て、司法救済にアクセスする明確な権利を有するべきである。
•       Manufacturers should be required to make a complaint mechanism available and be obliged to react to consumer complaints within a short period of time, with a maximum of five working days.   ・製造業者は、苦情処理機構を利用できるようにし、消費者の苦情に短時間(最大5営業日)以内に対応する義務を負うべきである。 
•       Affected users should have the right to remedies/compensation in case they suffer damages caused by non-compliance with the CRA.  ・CRA の不遵守により損害を被った場合、影響を受けたユーザーは救済・補償を受ける権利を有するべきであ る。
•       Consumer organisations/civil society organisations should be able to represent individual consumers in the exercise of their rights.  ・消費者団体/市民社会組織は、消費者個人の権利行使を代理することができるべきである。
•       The CRA must be added to the Annex of the Representative Actions Directive (RAD) to enable collective redress actions and injunctions in case of mass harm.  ・集団的被害に対する救済措置や差止命令を可能にするため、CRAをRepresentative Actions Directive (RAD)の附属書に追加しなければならない。

 

目次...

1. Introduction 1. 序文
2. A broader scope with very limited exclusions (Article 2) 2. より広い範囲と非常に限定された除外事項(第2条)
3. Mandatory and effective application of cybersecurity requirements 3. サイバーセキュリティ要求事項の義務的かつ効果的な適用
3.1. Products should remain secure throughout their entire expected lifespan 3.1. 製品は、期待される寿命全体を通じて安全であり続けるべきである。
3.2. Risks of premature obsolescence and sustainability concerns on electronic waste 3.2. 早すぎる陳腐化のリスクと電子廃棄物に関する持続可能性の懸念
3.3. Software updates: unbundling security and functionality updates 3.3. ソフトウェアの更新:セキュリティと機能の更新のアンバンドリング
4. Strengthening the conformity assessment procedure 4. 適合性評価手続の強化
4.1. Self-assessment by default means cybersecurity at risk by design 4.1. デフォルトでの自己評価とは、設計上リスクのあるサイバーセキュリティを意味する
4.2. Presumption of conformity, self-assessment through the ‘backdoor’? 4.2. 適合性の推定、"裏口 "からの自己評価?
4.3. The Role of Standards in ensuring cybersecurity for consumers* 4.3. 消費者*のためのサイバーセキュリティを確保するための規格の役割
5. Mandatory third-party assessment for critical products, including consumer products (Annex III) 5. 消費者向け製品を含む重要製品に対する第三者評価の義務化 (附属書 III) 
5.1. The absence of a risk assessment methodology 5.1. リスクアセスメントの方法論がないこと
5.2. The necessity of mandatory certification for all ‘critical products’ 5.2. すべての「重要製品」に対する強制認証の必要性
5.3. List of ‘critical products’ must be extended beyond mere industrial use 5.3. 重要製品」のリストは、単なる産業用途にとどまらず、拡大すべきである。
5.4. Consumer products must be added to the list of ‘critical products’ 5.4. 消費者向け製品を「重要製品」のリストに追加しなければならない。
5.4.1. Private security devices 5.4.1. 民間のセキュリティ機器
5.4.2. Smart home devices 5.4.2. スマートホームデバイス
5.4.3. Connected toys and other devices intended to interact with children 5.4.3. 子供とのインタラクションを意図したコネクテッド・トイやその他のデバイス
5.4.4. Health appliances and wearables 5.4.4. 健康器具・ウェアラブル
6. Stronger market surveillance and enforcement framework (Chapter V) 6. 市場監視と執行の枠組みの強化(第V章)
7. Effective remedies and means of redress for consumers 7. 消費者に対する効果的な救済措置と救済手段
8. Final provisions 8. 最終規定

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.09.17 欧州委員会 サイバーレジリエンス法案 製造者は「積極的に悪用される脆弱性」に気づいたら24時間以内にENISAに報告しなければならない...

| | Comments (0)

2023.01.28

米国 FBI DHS 戦略的インテリジェンス評価と国内テロに関するデータについての報告 (2023.01.05)

こんにちは、丸山満彦です。

FBIとDHSは2020年、2021年の国内テロについての報告を議会にしていますね。。。

テロについては脅威を次の5つに分類しているようですね

Racially or Ethnically Motivated Violent Extremism 人種的・民族的動機による暴力的過激派
Anti-Government or Anti-Authority Violent Extremism  反政府・反権力の暴力的過激派
Animal Rights/Environmental Violent Extremism 動物愛護/環境暴力過激派
Abortion-Related Violent Extremism 人工妊娠中絶に関連する暴力的過激派
All Other DT Threats その他全ての国内テロ脅威

 

この脅威の中では、上の2つが重要という感じですかね。。。興味深い報告書です。。。こういう報告書を出すところが米国らいしいという感じがします。

 

Office of the Director of National Intelligence - National Counterterrorism CenterNCTC TRANSPARENCY

・2023.01.05 FBI AND DHS - STRATEGIC INTELLIGENCE ASSESSMENT AND DATA ON DOMESTIC TERRORISM

・[PDF]

20230128-53402

・[DOCX] 仮訳 (本文、附属書Aのみ...) 

 

 

 

 

| | Comments (0)

2023.01.27

NIST AIリスクフレームワーク

こんにちは、丸山満彦です。

NISTがAIリスクフレームワークを公表していますね。。。

 

NIST

・2023.01.26 NIST Risk Management Framework Aims to Improve Trustworthiness of Artificial Intelligence

 

NIST Risk Management Framework Aims to Improve Trustworthiness of Artificial Intelligence NISTリスクマネジメントフレームワークは人工知能の信頼性向上を目指す
New guidance seeks to cultivate trust in AI technologies and promote AI innovation while mitigating risk. 新しいガイダンスは、AI技術への信頼を培い、リスクを軽減しながらAIイノベーションを促進することを目指している。
WASHINGTON — The U.S. Department of Commerce’s National Institute of Standards and Technology (NIST) has released its Artificial Intelligence Risk Management Framework (AI RMF 1.0), a guidance document for voluntary use by organizations designing, developing, deploying or using AI systems to help manage the many risks of AI technologies.  ワシントン - 米国商務省の国立標準技術研究所(NIST)は、AI技術の多くのリスクを管理するために、AIシステムを設計、開発、展開、または使用する組織が自主的に使用するためのガイダンス文書、「人工知能リスクマネジメントフレームワーク(AI RMF 1.0)」を発表した。 
The AI RMF follows a direction from Congress for NIST to develop the framework and was produced in close collaboration with the private and public sectors. It is intended to adapt to the AI landscape as technologies continue to develop, and to be used by organizations in varying degrees and capacities so that society can benefit from AI technologies while also being protected from its potential harms. AI RMFは、NISTがフレームワークを開発するよう議会から指示されたことを受け、民間および公共部門との緊密な協力のもとに作成されたものである。このフレームワークは、技術が発展するにつれてAIの状況に適応し、さまざまな程度や能力の組織が使用することで、社会がAI技術から恩恵を受けると同時に、その潜在的な害から保護されるようにすることを目的としている。
“This voluntary framework will help develop and deploy AI technologies in ways that enable the United States, other nations and organizations to enhance AI trustworthiness while managing risks based on our democratic values,” said Deputy Commerce Secretary Don Graves. “It should accelerate AI innovation and growth while advancing — rather than restricting or damaging — civil rights, civil liberties and equity for all.”  ドン・グレイブス商務次官は、次のように述べている。「この自主的な枠組みは、米国や他の国、組織が、民主主義の価値観に基づいてリスクをマネジメントしながら、AIの信頼性を高めるような方法でAI技術を開発・展開するのに役立つだろう。すべての人のための市民権、市民的自由、公平性を制限したり損なったりするのではなく、むしろ前進させながら、AIのイノベーションと成長を加速させるべきである。」
Compared with traditional software, AI poses a number of different risks. AI systems are trained on data that can change over time, sometimes significantly and unexpectedly, affecting the systems in ways that can be difficult to understand. These systems are also “socio-technical” in nature, meaning they are influenced by societal dynamics and human behavior. AI risks can emerge from the complex interplay of these technical and societal factors, affecting people’s lives in situations ranging from their experiences with online chatbots to the results of job and loan applications.    従来のソフトウェアと比較して、AIは多くの異なるリスクをもたらす。AIシステムは、時間とともに、時には大きく、予想外に変化し、理解が困難な方法でシステムに影響を与える可能性のあるデータに基づいて学習される。また、これらのシステムは、社会の力学や人間の行動から影響を受けるという意味で、「社会技術的」な性質を持っている。AIリスクは、こうした技術的・社会的要因の複雑な相互作用から発生し、オンラインチャットボットの利用体験から就職やローンの申込結果まで、さまざまな場面で人々の生活に影響を与える可能性がある。  
The framework equips organizations to think about AI and risk differently. It promotes a change in institutional culture, encouraging organizations to approach AI with a new perspective — including how to think about, communicate, measure and monitor AI risks and its potential positive and negative impacts.  このフレームワークは、組織がAIとリスクについてこれまでとは異なる考え方をするためのものである。AIリスクとその潜在的なプラスとマイナスの影響についてどのように考え、伝え、測定し、監視するかを含め、組織が新しい視点でAIにアプローチするよう促し、組織文化の変化を促すものである。 
The new framework should “accelerate AI innovation and growth while advancing — rather than restricting or damaging — civil rights, civil liberties and equity for all.” —Deputy Commerce Secretary Don Graves 「新しいフレームワークは、AIのイノベーションと成長を加速させる一方で、市民の権利、市民の自由、すべての人のための公平性を、制限したり損なったりするのではなく、促進する べきものである。」 -ドン・グレイブス商務次官
The AI RMF provides a flexible, structured and measurable process that will enable organizations to address AI risks. Following this process for managing AI risks can maximize the benefits of AI technologies while reducing the likelihood of negative impacts to individuals, groups, communities, organizations and society. AI リスクマネジメントフレームワークは、組織がAIリスクに対処することを可能にする、柔軟で構造化され、測定可能なプロセスを提供する。このAIリスクマネジメントのプロセスに従うことで、個人、グループ、コミュニティ、組織、社会への悪影響の可能性を低減しながら、AI技術の恩恵を最大限に享受することができる。
The framework is part of NIST’s larger effort to cultivate trust in AI technologies — necessary if the technology is to be accepted widely by society, according to Under Secretary for Standards and Technology and NIST Director Laurie E. Locascio.  標準技術担当次官兼NIST長官のローリー・E・ロカシオによると、このフレームワークは、AI技術が社会に広く受け入れられるために必要な、AI技術への信頼を培うためのNISTの大きな取り組みの一部である。 
“The AI Risk Management Framework can help companies and other organizations in any sector and any size to jump-start or enhance their AI risk management approaches,” Locascio said. “It offers a new way to integrate responsible practices and actionable guidance to operationalize trustworthy and responsible AI. We expect the AI RMF to help drive development of best practices and standards.” 「AIリスクマネジメントフレームワークは、企業やその他の組織が、あらゆる分野、あらゆる規模のAIリスクマネジメントのアプローチを開始または強化するのに役立ちます」と、ロカシオは述べている。「これは、信頼できる責任あるAIを運用するための、責任ある実践と実行可能なガイダンスを統合する新しい方法を提供するものである。AI RMFがベストプラクティスと標準の開発を促進することを期待している。」
The AI RMF is divided into two parts. The first part discusses how organizations can frame the risks related to AI and outlines the characteristics of trustworthy AI systems. The second part, the core of the framework, describes four specific functions — govern, map, measure and manage — to help organizations address the risks of AI systems in practice. These functions can be applied in context-specific use cases and at any stages of the AI life cycle. AI リスクマネジメントフレームワークは、2つのパートに分かれている。第1部では、組織がAIに関連するリスクをどのようにフレームすることができるかを論じ、信頼できるAIシステムの特徴を概説している。フレームワークの中核となる第2部では、組織がAIシステムのリスクに実際に対処するための4つの具体的な機能(ガバナンス、マップ、メジャー、マネジメント)を説明している。これらの機能は、コンテキストに応じたユースケースや、AIのライフサイクルのどの段階でも適用することができる。
Working closely with the private and public sectors, NIST has been developing the AI RMF for 18 months. The document reflects about 400 sets of formal comments NIST received from more than 240 different organizations on draft versions of the framework. NIST today released statements from some of the organizations that have already committed to use or promote the framework. NISTは、民間および公共部門と密接に協力しながら、1年半にわたってAI RMFの開発を進めてきた。この文書には、NISTがフレームワークのドラフト版に対して240以上の組織から受け取った約400件の正式なコメントが反映されている。NISTは本日、このフレームワークの使用や推進を既に表明しているいくつかの組織の声明を発表した。
The agency also today released a companion voluntary AI RMF Playbook, which suggests ways to navigate and use the framework.  また本日、NISTは、フレームワークのナビゲーションと使用方法を提案する、任意のAI RMF Playbookも発表した。 
NIST plans to work with the AI community to update the framework periodically and welcomes suggestions for additions and improvements to the playbook at any time. Comments received by the end of February 2023 will be included in an updated version of the playbook to be released in spring 2023. NISTは、AIコミュニティと協力してフレームワークを定期的に更新する予定であり、プレイブックへの追加や改善の提案を随時受け付けている。2023年2月末までに寄せられたコメントは、2023年春にリリースされるプレイブックの更新版に含まれる予定である。
In addition, NIST plans to launch a Trustworthy and Responsible AI Resource Center to help organizations put the AI RMF 1.0 into practice. The agency encourages organizations to develop and share profiles of how they would put it to use in their specific contexts. Submissions may be sent to [mail]. さらにNISTは、組織がAI RMF 1.0を実践するのを支援するため、「Trustworthy and Responsible AI Resource Center」を立ち上げる予定である。同機関は、各組織が特定の状況下でどのようにこれを使用するかのプロファイルを作成し、共有することを奨励している。提出先は、[mail]
NIST is committed to continuing its work with companies, civil society, government agencies, universities and others to develop additional guidance. The agency today issued a roadmap for that work. NISTは、企業、市民社会、政府機関、大学などとの共同作業を継続し、追加のガイダンスを開発することを約束する。NISTは本日、この作業のためのロードマップを発表した。
The framework is part of NIST’s broad and growing portfolio of AI-related work that includes fundamental and applied research along with a focus on measurement and evaluation, technical standards, and contributions to AI policy.  このフレームワークは、NISTのAI関連業務の幅広い拡大ポートフォリオの一部であり、測定・評価、技術標準、AI政策への貢献に重点を置いた基礎・応用研究が含まれている。  

 

・[PDF]

20230127-55450

・[DOCX] 仮訳

 

リスクマネジメントフレーワーク (RMF)

1_20230127061801

目次...

Executive Summary エグゼクティブサマリー
Part 1: Foundational Information 第1部: 基礎情報
1 Framing Risk 1 リスクの枠組み
1.1 Understanding and Addressing Risks, Impacts, and Harms 1.1 リスク、影響、害を理解し対処する
1.2 Challenges for AI Risk Management 1.2 AIリスクマネジメントの課題
1.2.1 Risk Measurement 1.2.1 リスクの測定
1.2.2 Risk Tolerance 1.2.2 リスクの許容度
1.2.3 Risk Prioritization 1.2.3 リスクの優先順位付け
1.2.4 Organizational Integration and Management of Risk 1.2.4 リスクの組織的統合とマネジメント
2 Audience 2 想定読者
3 AI Risks and Trustworthiness 3 AIリスクと信頼性
3.1 Valid and Reliable 3.1 有効性と信頼性
3.2 Safe 3.2 安全
3.3 Secure and Resilient 3.3 安全性とレジリエンス
3.4 Accountable and Transparent 3.4 説明可能で透明性がある
3.5 Explainable and Interpretable 3.5 説明可能で解釈可能なもの
3.6 Privacy-Enhanced 3.6 プライバシーの保護
3.7 Fair – with Harmful Bias Managed 3.7 公正 - 有害なバイアスは管理された状態で
4 Effectiveness of the AI RMF 4 AI RMFの有効性
Part 2: Core and Profiles 第2部:コアとプロファイル
5 AI RMF Core 5 AI RMFのコア
5.1 Govern 5.1 統治
5.2 Map 5.2 マップ
5.3 Measure 5.3 測定
5.4 Manage 5.4 管理
6 AI RMF Profiles 6 AI RMF プロファイル
Appendix A: Descriptions of AI Actor Tasks from Figures 2 and 3 附属書A:図2および図3のAIアクタータスクの説明
Appendix B: How AI Risks Differ from Traditional Software Risks 附属書B:AIリスクは従来のソフトウェアリスクとどう違うか
Appendix C: AI Risk Management and Human-AI Interaction 附属書C:AIリスクマネジメントと人間-AI間の相互作用
Appendix D: Attributes of the AI RMF 附属書D: AI RMFの属性

 

エグゼクティブサマリー...

 

NISTのAIリスクフレームワークのウェブページ

AI RISK MANAGEMENT FRAMEWORK

 

ここに至るタイムライン...

1_20230127101501

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.08.24 NIST 意見募集 AIリスクマネジメントフレームワーク(第2ドラフト)とそのプレイブック

・2022.03.22 NIST 意見募集 AIリスクマネジメントフレームワーク(初期ドラフト)

 

 

 

| | Comments (0)

2023.01.26

IPA 「情報セキュリティ10大脅威 2023」を公開

こんにちは、丸山満彦です。

IPAが「情報セキュリティ10大脅威 2023」を発表していますね。2006年から始まっていますので、長い間続いていますね。。。

ランサムウェアの脅威はこの3年間トップですね。。。サプライチェーン攻撃もこのところ上位で、この3年間で上昇していますね。。。標的型攻撃による情報漏洩については、4−7年前は連続トップでしたが、このところは2, 3位となっていますね。。。

 

● IPA

プレス発表

・2023.01.25 プレス発表 「情報セキュリティ10大脅威 2023」を決定

・2023.01.25 「情報セキュリティ10大脅威 2023」を公開

・ 2023.01.25 情報セキュリティ10大脅威 2023

 

2022 個人 2023 組織 2022
1位 フィッシングによる個人情報等の詐取 1位 ランサムウェアによる被害 1位
2位 ネット上の誹謗・中傷・デマ 2位 サプライチェーンの弱点を悪用した攻撃 3位
3位 メールやSMS等を使った脅迫・詐欺の手口による金銭要求 3位 標的型攻撃による機密情報の窃取 2位
4位 クレジットカード情報の不正利用 4位 内部不正による情報漏えい 5位
5位 スマホ決済の不正利用 5位 テレワーク等のニューノーマルな働き方を狙った攻撃 4位
7位 不正アプリによるスマートフォン利用者への被害 6位 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) 7位
6位 偽警告によるインターネット詐欺 7位 ビジネスメール詐欺による金銭被害 8位
8位 インターネット上のサービスからの個人情報の窃取 8位 脆弱性対策情報の公開に伴う悪用増加 6位
10位 インターネット上のサービスへの不正ログイン 9位 不注意による情報漏えい等の被害 10位
New ワンクリック請求等の不当請求による金銭被害 10位 犯罪のビジネス化(アンダーグラウンドサービス) New

 

 

2021 個人 2022 組織 2021
2位 フィッシングによる個人情報等の詐取 1位 ランサムウェアによる被害 1位
3位 ネット上の誹謗・中傷・デマ 2位 標的型攻撃による機密情報の窃取 2位
4位 メールやSMS等を使った脅迫・詐欺の手口による金銭要求 3位 サプライチェーンの弱点を悪用した攻撃 4位
5位 クレジットカード情報の不正利用 4位 テレワーク等のニューノーマルな働き方を狙った攻撃 3位
1位 スマホ決済の不正利用 5位 内部不正による情報漏えい 6位
8位 偽警告によるインターネット詐欺 6位 脆弱性対策情報の公開に伴う悪用増加 10位
9位 不正アプリによるスマートフォン利用者への被害 7位 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) New
7位 インターネット上のサービスからの個人情報の窃取 8位 ビジネスメール詐欺による金銭被害 5位
6位 インターネットバンキングの不正利用 9位 予期せぬIT基盤の障害に伴う業務停止 7位
10位 インターネット上のサービスへの不正ログイン 10位 不注意による情報漏えい等の被害 9位

 

2020 個人 2021 組織 2020
1位 スマホ決済の不正利用 1位 ランサムウェアによる被害 5位
2位 フィッシングによる個人情報等の詐取 2位 標的型攻撃による機密情報の窃取 1位
7位 ネット上の誹謗・中傷・デマ 3位 テレワーク等のニューノーマルな働き方を狙った攻撃 NEW
5位 メールやSMS等を使った脅迫・詐欺の手口による金銭要求 4位 サプライチェーンの弱点を悪用した攻撃 4位
3位 クレジットカード情報の不正利用 5位 ビジネスメール詐欺による金銭被害 3位
4位 インターネットバンキングの不正利用 6位 内部不正による情報漏えい 2位
10位 インターネット上のサービスからの個人情報の窃取 7位 予期せぬIT基盤の障害に伴う業務停止 6位
9位 偽警告によるインターネット詐欺 8位 インターネット上のサービスへの不正ログイン 16位
6位 不正アプリによるスマートフォン利用者への被害 9位 不注意による情報漏えい等の被害 7位
8位 インターネット上のサービスへの不正ログイン 10位 脆弱性対策情報の公開に伴う悪用増加 14位
         
2019 個人 2020 組織 2019
NEW スマホ決済の不正利用 1位 標的型攻撃による機密情報の窃取 1位
2位 フィッシングによる個人情報の詐取 2位 内部不正による情報漏えい 5位
1位 クレジットカード情報の不正利用 3位 ビジネスメール詐欺による金銭被害 2位
7位 インターネットバンキングの不正利用 4位 サプライチェーンの弱点を悪用した攻撃 4位
4位 メールやSMS等を使った脅迫・詐欺の手口による金銭要求 5位 ランサムウェアによる被害 3位
3位 不正アプリによるスマートフォン利用者への被害 6位 予期せぬIT基盤の障害に伴う業務停止 16位
5位 ネット上の誹謗・中傷・デマ 7位 不注意による情報漏えい(規則は遵守) 10位
8位 インターネット上のサービスへの不正ログイン 8位 インターネット上のサービスからの個人情報の窃取 7位
6位 偽警告によるインターネット詐欺 9位 IoT機器の不正利用 8位
12位 インターネット上のサービスからの個人情報の窃取 10位 サービス妨害攻撃によるサービスの停止 6位
         
2018 個人 2019 組織 2018
1位 クレジットカード情報の不正利用 1位 標的型攻撃による被害 1位
1位 フィッシングによる個人情報等の詐取 2位 ビジネスメール詐欺による被害 3位
4位 不正アプリによるスマートフォン利用者への被害 3位 ランサムウェアによる被害 2位
NEW メール等を使った脅迫・詐欺の手口による金銭要求 4位 サプライチェーンの弱点を悪用した攻撃の高まり NEW
3位 ネット上の誹謗・中傷・デマ 5位 内部不正による情報漏えい 8位
10位 偽警告によるインターネット詐欺 6位 サービス妨害攻撃によるサービスの停止 9位
1位 インターネットバンキングの不正利用 7位 インターネットサービスからの個人情報の窃取 6位
5位 インターネットサービスへの不正ログイン 8位 IoT機器の脆弱性の顕在化 7位
2位 ランサムウェアによる被害 9位 脆弱性対策情報の公開に伴う悪用増加 4位
9位 IoT 機器の不適切な管理 10位 不注意による情報漏えい 12位
         
2017 個人 2018 組織 2017
1位 インターネットバンキングやクレジットカード情報等の不正利用 1位 標的型攻撃による被害 1位
2位 ランサムウェアによる被害 2位 ランサムウェアによる被害 2位
7位 ネット上の誹謗・中傷 3位 ビジネスメール詐欺による被害 NEW
3位 スマートフォンやスマートフォンアプリを狙った攻撃 4位 脆弱性対策情報の公開に伴う悪用増加 NEW
4位 ウェブサービスへの不正ログイン 5位 脅威に対応するためのセキュリティ人材の不足 NEW
6位 ウェブサービスからの個人情報の窃取 6位 ウェブサービスからの個人情報の窃取 3位
8位 情報モラル欠如に伴う犯罪の低年齢化 7位 IoT機器の脆弱性の顕在化 8位
5位 ワンクリック請求等の不当請求 8位 内部不正による情報漏えい 5位
10位 IoT機器の不適切な管理 9位 サービス妨害攻撃によるサービスの停止 4位
NEW 偽警告によるインターネット詐欺 10位 犯罪のビジネス化(アンダーグラウンドサービス) 9位
         
2016 個人 2017 組織 2016
1位 インターネットバンキングやクレジットカード情報の不正利用 1位 標的型攻撃による情報流出 1位
2位 ランサムウェアによる被害 2位 ランサムウェアによる被害 7位
3位 スマートフォンやスマートフォンアプリを狙った攻撃 3位 ウェブサービスからの個人情報の窃取 3位
5位 ウェブサービスへの不正ログイン 4位 サービス妨害攻撃によるサービスの停止 4位
4位 ワンクリック請求等の不当請求 5位 内部不正による情報漏えいとそれに伴う業務停止 2位
7位 ウェブサービスからの個人情報の窃取 6位 ウェブサイトの改ざん 5位
6位 ネット上の誹謗・中傷 7位 ウェブサービスへの不正ログイン 9位
8位 情報モラル欠如に伴う犯罪の低年齢化 8位 IoT機器の脆弱性の顕在化 NEW
10位 インターネット上のサービスを悪用した攻撃 9位 攻撃のビジネス化(アンダーグラウンドサービス) NEW
NEW IoT機器の不適切な管理 10位 インターネットバンキングやクレジットカード情報の不正利用 8位

 

個人(カッコ内は総合順位) 2016 組織(カッコ内は総合順位)
インターネットバンキングやクレジットカード情報の不正利用(1位) 1位 標的型攻撃による情報流出(2位)
ランサムウェアを使った詐欺・恐喝(3位) 2位 内部不正による情報漏えいとそれに伴う業務停止(8位)
審査をすり抜け公式マーケットに紛れ込んだスマートフォンアプリ(7位) 3位 ウェブサービスからの個人情報の窃取(4位)
巧妙・悪質化するワンクリック請求(9位) 4位 サービス妨害攻撃によるサービスの停止(-)
ウェブサービスへの不正ログイン(5位) 5位 ウェブサイトの改ざん(6位)
匿名によるネット上の誹謗・中傷(-) 6位 脆弱性対策情報の公開に伴い公知となる脆弱性の悪用増加(10位)
ウェブサービスからの個人情報の窃取(4位) 7位 ランサムウェアを使った詐欺・恐喝(3位)
情報モラル不足に伴う犯罪の低年齢化(-) 8位 インターネットバンキングやクレジットカード情報の不正利用(1位)
職業倫理欠如による不適切な情報公開(-) 9位 ウェブサービスへの不正ログイン(5位)
インターネットの広告機能を悪用した攻撃(-) 10位 過失による情報漏えい(-)

 

  2015  
1 インターネットバンキングやクレジットカード情報の不正利用 ~個人口座だけではなく法人口座もターゲットに~
2 内部不正による情報漏えい ~内部不正が事業に多大な悪影響を及ぼす~
3 標的型攻撃による諜報活動 ~標的組織への侵入手口が巧妙化~
4 ウェブサービスへの不正ログイン ~利用者は適切なパスワード管理を~
5 ウェブサービスからの顧客情報の窃取 ~脆弱性や設定の不備を突かれ顧客情報が盗まれる~
6 ハッカー集団によるサイバーテロ ~破壊活動や内部情報の暴露を目的としたサイバー攻撃~
7 ウェブサイトの改ざん ~知らぬ間に、ウイルス感染サイトに仕立てられる~
8 インターネット基盤技術を悪用した攻撃 ~インターネット事業者は厳重な警戒を~
9 脆弱性公表に伴う攻撃 ~求められる迅速な脆弱性対策~
10 悪意のあるスマートフォンアプリ ~アプリのインストールで友人に被害が及ぶことも~
   
  2014
1 標的型メールを用いた組織へのスパイ・諜報活動 サイバー空間(領域)問題
2 不正ログイン・不正利用 ウイルス・ハッキングによるサイバー攻撃
3 ウェブサイトの改ざん ウイルス・ハッキングによるサイバー攻撃
4 ウェブサービスからのユーザー情報の漏えい ウイルス・ハッキングによるサイバー攻撃
5 オンラインバンキングからの不正送金 ウイルス・ハッキングによるサイバー攻撃
6 悪意あるスマートフォンアプリ ウイルス・ハッキングによるサイバー攻撃
7 SNS への軽率な情報公開 インターネットモラル
8 紛失や設定不備による情報漏えい 内部統制・セキュリティマネジメント
9 ウイルスを使った詐欺・恐喝 ウイルス・ハッキングによるサイバー攻撃
10 サービス妨害 ウイルス・ハッキングによるサイバー攻撃
   
  2013
1 クライアントソフトの脆弱性を突いた攻撃
2 標的型諜報攻撃
3 スマートデバイスを狙った悪意あるアプリの横行
4 ウイルスを使った遠隔操作
5 金銭窃取を目的としたウイルスの横行
6 予期せぬ業務停止
7 ウェブサイトを狙った攻撃
8 パスワード流出の脅威
9 内部犯行
10 フィッシング詐欺
   
  2012  
1 機密情報が盗まれる!?新しいタイプの攻撃 ~情報窃取を目的とする標的型の諜報攻撃(APT)~
2 予測不能の災害発生!引き起こされた業務停止 ~自然災害や人為的災害による IT システムの故障、業務データの消失~
3 特定できぬ、共通思想集団による攻撃 ~社会変革をめざす共通的な思想を持つ集団による暴露・妨害攻撃~
4 今もどこかで…更新忘れのクライアントソフトを狙った攻撃 ~標的型攻撃にも悪用されるクライアントソフトの脆弱性~
5 止まらない!ウェブサイトを狙った攻撃 ~狙われ続けるウェブサイトの脆弱性~
6 続々発覚、スマートフォンやタブレットを狙った攻撃 ~狙われる小さなパソコン-スマートデバイス~
7 大丈夫!?電子証明書に思わぬ落し穴 ~電子証明書の管理不備により、引き起こされた問題~
8 身近に潜む魔の手・・・あなたの職場は大丈夫? ~組織内部・関係者による業務妨害や情報漏えい~
9 危ない!アカウントの使いまわしが被害を拡大! ~アカウント情報の管理不備が原因で発生するなりすまし被害~
10 利用者情報の不適切な取扱いによる信用失墜 ~利用者との結びつきが強い情報(利用者情報)の取扱いに関する問題~
   
  2011
1 「人」が起こしてしまう情報漏えい
2 止まらない!ウェブサイトを経由した攻撃
3 定番ソフトウェアの脆弱性を狙った攻撃
4 狙われだしたスマートフォン
5 複数の攻撃を組み合わせた新しいタイプの攻撃
6 セキュリティ対策丌備がもたらすトラブル
7 携帯電話向けウェブサイトのセキュリティ
8 攻撃に気づけない標的型攻撃
9 クラウド・コンピューティングのセキュリティ
10 ミニブログサービスや SNS の利用者を狙った攻撃
   
  2010
1 変化を続けるウェブサイト改ざんの手口
2 アップデートしていないクライアントソフト
3 悪質なウイルスやボットの多目的化
4 対策をしていないサーバ製品の脆弱性
5 あわせて事後対応を!情報漏えい事件
6 被害に気づけない標的型攻撃
7 深刻なDDoS攻撃
8 正規のアカウントを悪用される脅威
9 クラウド・コンピューティングのセキュリティ問題
10 インターネットインフラを支えるプロトコルの脆弱性
   
  2009
  ■組織への脅威
1 DNS キャッシュポイズニングの脅威
2 巧妙化する標的型攻撃
3 恒常化する情報漏えい
   ■利用者への脅威
1 多様化するウイルスやボットの感染経路
2 脆弱な無線 LAN 暗号方式における脅威
3 減らないスパムメール
4 ユーザ ID とパスワードの使いまわしによる危険性
   ■システム管理者・開発者への脅威
1 正規のウェブサイトを経由した攻撃の猛威
2 誘導型攻撃の顕在化
3 組込み製品に潜む脆弱性 
   
  2008
1 高まる「誘導型」攻撃の脅威
2 ウェブサイトを狙った攻撃の広まり
3 恒常化する情報漏えい
4 巧妙化する標的型攻撃
5 信用できなくなった正規サイト
6 検知されにくいボット、潜在化するコンピュータウイルス
7 検索エンジンからマルウェア配信サイトに誘導
8  国内製品の脆弱性が頻発
9 減らないスパムメール
10 組み込み製品の脆弱性の増加 
   
  2007
1 漏えい情報のWinnyによる止まらない流通
2 表面化しづらい標的型(スピア型)攻撃
3 悪質化・潜在化するボット
4 深刻化するゼロデイ攻撃
5 ますます多様化するフィッシング詐欺
6 増え続けるスパムメール
7 減らない情報漏えい
8 狙われ続ける安易なパスワード
9 攻撃が急増するSQLインジェクション
10 不適切な設定のDNSサーバを狙う攻撃の発生
   
  2006
1 漏えい情報のWinnyによる止まらない流通
2 表面化しづらい標的型(スピア型)攻撃
3 悪質化・潜在化するボット
4 深刻化するゼロデイ攻撃
5 ますます多様化するフィッシング詐欺
6 増え続けるスパムメール
7 減らない情報漏えい
8 狙われ続ける安易なパスワード
9 攻撃が急増するSQLインジェクション
10 不適切な設定のDNSサーバを狙う攻撃の発生
   
  2005
1 事件化するSQLインジェクション
2 Winnyを通じたウイルス感染による情報漏えいの多発
3 音楽CDに格納された「ルートキットに類似した機能」の事件化
4 悪質化するフィッシング詐欺
5 巧妙化するスパイウェア
6 流行が続くボット
7 ウェブサイトを狙うCSRFの流行
8 情報家電、携帯機器などの組込みソフトウェアにひそむ脆弱性
9 セキュリティ製品の持つ脆弱性
10 ゼロデイ攻撃

 

Ipa_20230126142601

 


 

まるちゃんの情報セキュリティ気まぐれ日記

| | Comments (0)

英国王立学会 プライバシー向上技術 (PETs) (2023.01.23)

こんにちは、丸山満彦です。

英国王立学会が、プライバシー向上技術についての報告書を出しています。

日本ではあまり議論がされていない部分もあるかもしれませんが、欧米では議論が始まっている分野ですね。

 

The Royal Society

・2023.01.23 Privacy Enhancing Technologies

Privacy Enhancing Technologies プライバシー向上技術
How can technology support data governance and enable new, innovative uses of data for public benefit?  データガバナンスを支援し、公共の利益のための新しい革新的なデータ利用を可能にする技術はどのようなものだろうか? 
The Royal Society’s Privacy Enhancing Technologies programme investigates the potential for tools and approaches collectively known as Privacy Enhancing Technologies, or PETs, in maximising the benefit and reducing the harms associated with data use. 英国王立協会プライバシー向上技術プログラムはプライバシー向上技術(PETs)と総称されるツールやアプローチが、データ利用に伴う利益を最大化し、害を減少させる可能性について調査している。
Our 2023 report, From privacy to partnership: the role of Privacy Enhancing Technologies in data governance and collaborative analysis (PDF), was undertaken in close collaboration with the Alan Turing Institute, and considers the potential for PETs to revolutionise the safe and rapid use of sensitive data for wider public benefit. It considers the role of these technologies in addressing data governance issues beyond privacy, addressing the following questions: 2023年版レポート「From privacy to partnership: the role of Privacy Enhancing Technologies in data governance and collaborative analysis」(PDF)は、アラン・チューリング研究所との密接な協力により作成され、より広い公共の利益のために機密データを安全かつ迅速に使用することに革命を起こすPETの可能性について考察している。プライバシーを超えたデータガバナンスの問題に取り組む上で、これらの技術が果たす役割を考察し、以下の問いに取り組んでいる。
How can PETs support data governance and enable new, innovative uses of data for public benefit? PET は、どのようにしてデータガバナンスを支援し、公共の利益のためにデータの新しい革新的な利用を可能にするのか?
What are the primary barriers and enabling factors around the adoption of PETs in data governance, and how might these be addressed or amplified? データガバナンスにおけるPETの採用に関する主要な障壁と実現要因は何か、またどのように対処し増幅させることができるのか?
How might PETs be factored into frameworks for assessing and balancing risks, harms and benefits when working with personal data? 個人データを扱う際に、リスク、被害、利益を評価しバランスを取るための枠組みに、どのように PET を組み込むことができるのか?
In answering these questions, our report integrates evidence from a range of sources, including the advisement of an expert Working Group, consultation with a range of stakeholders across sectors, as well as a synthetic data explainer and commissioned reviews on UK public sector PETs adoption (PDF) and PETs standards and assurances (PDF), which are available for download. これらの疑問に答えるため、本報告書は、専門家によるワーキンググループの助言、様々な分野の関 係者との協議、合成データ説明書、英国公共部門の PETs 採用に関する委託調査(PDF)、PETs 基準と 保証(PDF)など、様々な情報源からの証拠を統合し、ダウンロードできるようにした。
This report builds on the Royal Society’s 2019 publication Protecting privacy in practice: the current use, development and limits of Privacy Enhancing Technologies for data analysis (PDF). Protecting privacy in practice presented a high-level overview of PETs and identified how these technologies could play a role in addressing privacy in applied data science research, digital strategies and data-driven business.  本報告書は、英国王立協会が2019年に発行した「Protecting privacy in practice: the current use, development and limits of Privacy Enhancing Technologies for data analysis」(PDF)をベースにしている。Protecting privacy in practiceは、PETのハイレベルな概要を示し、これらの技術が応用データ科学研究、デジタル戦略、データ駆動型ビジネスにおけるプライバシーへの取り組みにおいてどのような役割を果たし得るかを明らかにした。 
What are Privacy Enhancing Technologies (PETs)? プライバシー向上技術(PETs)とは?
Privacy Enhancing Technologies (PETs) are a suite of tools that can help maximise the use of data by reducing risks inherent to data use. Some PETs provide new tools for anonymisation, while others enable collaborative analysis on privately-held datasets, allowing data to be used without disclosing copies of data. PETs are multi-purpose: they can reinforce data governance choices, serve as tools for data collaboration or enable greater accountability through audit. For these reasons, PETs have also been described as “Partnership Enhancing Technologies” or “Trust Technologies”.  プライバシー向上技術(Privacy Enhancing Technologies: PETs)は、データ利用に内在するリスクを低減し、データ利用の最大化を支援する一連のツールである。PETの中には、匿名化のための新しいツールを提供するものもあれば、個人所有のデータセットで共同分析を可能にし、データのコピーを開示することなくデータを使用できるようにするものもある。PET は多目的である。すなわち、データガバナンスの選択を強化し、データ協力のためのツールと して機能し、監査を通じてより大きな説明責任を果たすことができるのである。このような理由から、PET は「パートナーシップ強化技術」または「信頼技術」とも呼ばれている。 
What is data privacy, and why is it important? データ・プライバシーとは何か、そしてなぜ重要なのか?
The data we generate every day holds a lot of value and potentially also contains sensitive information that individuals or organisations might not wish to share with everyone. The protection of personal or sensitive data featured prominently in the social and ethical tensions identified in our 2017 British Academy and Royal Society report Data management and use: Governance in the 21st century.  私たちが日々生成するデータには多くの価値がありますが、個人または組織が誰とも共有したくないような機密情報も含まれている可能性があります。個人データや機密データの保護は、2017年の英国アカデミーと王立協会の報告書「Data management and use」で明らかにされた社会的・倫理的緊張の中で、大きく取り上げられている。21世紀におけるガバナンス 
Privacy in Practice (2019) プライバシー・イン・プラクティス(2019年)
Our 2019 report, Protecting privacy in practice (PDF), provided a high-level overview of five current and promising PETs of a diverse nature, with their respective readiness levels and illustrative case studies from a range of sectors, with a view to inform in particular applied data science research and the digital strategies of government departments and businesses. This report also included recommendations on how the UK could fully realise the potential of PETs and to allow their use on a greater scale.  私たちの2019年の報告書「Protecting privacy in practice」(PDF)は、特に応用データ科学研究および政府省庁や企業のデジタル戦略に情報を提供する目的で、多様な性質の現在および有望な5つのPETについて、それぞれの準備レベルと様々なセクターの例示事例とともにハイレベルな概要を提供している。この報告書には、英国がPETの可能性を十分に実現し、より大規模な利用を可能にする方法についての提言も含まれている。 
The 2019 project was informed by a series of conversations and evidence gathering events, involving a range of stakeholders across academia, government and the private sector (also see the project terms of reference and 2019 Working Group). 2019年のプロジェクトは、学界、政府、民間セクターのさまざまな関係者が参加した、一連の会話と証拠収集イベントによってもたらされた(プロジェクトの委託条件と2019年の作業部会も参照)。
On a related topic, in 2017 the Royal Society also partnered with The Israel Academy of Sciences and Humanities to organise a workshop exploring notions of privacy as an individual and public good, how digital technologies might have changed concepts of privacy, and how individuals, organisations and societies manage privacy, including through technology. A note of discussions at this workshop (PDF) is available to download. 関連する話題として、2017年に王立協会はイスラエル科学人文アカデミーとも提携し、個人および公共財としてのプライバシーの概念、デジタル技術によってプライバシーの概念がどのように変化したか、そして個人、組織、社会が技術によるものも含めてどのようにプライバシーを管理しているかを探るワークショップも開催された。このワークショップでの議論のメモ(PDF)をダウンロードすることができる。
Our current Working Group includes Professor Alison Noble OBE FREng FIET FRS (Chair), Professor Jon Crowcroft FREng FRS, Mr George Balston, Dr Anthony Finkelstein CBE FREng, Mr Guy Cohen, Dr Benjamin Curtis, Professor Emiliano de Cristofaro, Dr Marion Oswald, Professor Carsten Maple and Dr Suzanne Weller.  現在のワーキンググループは、Alison Noble OBE FREng FIET FRS教授(議長)、Jon Crowcroft FREng FRS教授、George Balston氏、Anthony Finkelstein CBE FREng博士、Guy Cohen氏、Benjamin Curtis博士、Emiliano de Cristofaro教授、Marion Oswald博士、Carsten Maple教授とSuzanne Weller博士が参加している。 

 

・[PDF] 2023 report: From privacy to partnership

20230126-41025

 

 目次...

Foreword  序文 
executive summary  エグゼクティブサマリー
Scope   対象範囲  
Methodology   方法論
Key findings  主な調査結果 
Recommendations  推薦事項
Introduction  はじめに 
Background   背景  
Key terms and definitions   主要な用語と定義  
Chapter one: the role of technology in privacy-preserving data flows  第1章:プライバシーを保護するデータフローにおける技術の役割 
Data privacy, data protection and information security  データプライバシー、データ保護、情報セキュリティ 
What are privacy enhancing technologies (PETs)?   プライバシー向上技術(PETs)とは何か? 
A downstream harms-based approach: Taxonomy of harms  下流の害悪に基づくアプローチ 危害の分類法 
Recent international developments in PETs  PETsに関する最近の国際的動向 
Interest in PETs for international data transfer and use   国際的なデータ転送と利用におけるPETへの関心  
Accelerating PETs development: Sprints, challenges and international collaboration  PETs開発の加速化:スプリント、課題、国際協力 
Chapter two: Building the Pets marketplace  第2章:PETs市場の構築 
PETs for compliance and privacy  コンプライアンスとプライバシーのためのPET 
PETs in collaborative analysis  共同分析におけるPET 
Barriers to PETs adoption: User awareness and understanding in the UK public sector  PETs採用の障害:英国公共部門におけるユーザーの意識と理解 
Barriers to PETs adoption: Vendors and expertise  PETs採用の障壁:ベンダーと専門知識 
Chapter three: standards, assessments and assurance in Pets  第3章:PETにおける標準、評価、保証 
PETs and assurance: The role of standards  PETと保証:標準の役割 
Chapter four: Use cases for Pets  第4章 ペットに関する使用例 
Considerations and approach  考察とアプローチ 
Privacy in biometric data for health research and diagnostics  健康研究と診断のためのバイオメトリクス・データにおけるプライバシー 
Preserving privacy in audio data for health research and diagnostics  健康研究と診断のための音声データにおけるプライバシーの保護 
PETs and the internet of things: enabling digital twins for net zero  ペットとモノのインターネット:ネットゼロのためのデジタルツインの実現 
Social media data: PETs for researcher access and transparency  ソーシャルメディアデータ:研究者のアクセスと透明性のためのPETs 
Synthetic data for population-scale insights  人口規模での洞察のための合成データ 
Collaborative analysis for collective intelligence  集合知のための共同分析 
Online safety: Harmful content detection on encrypted platforms  オンラインの安全性:暗号化されたプラットフォームにおける有害なコンテンツの検出 
Privacy and verifiability in online voting and electronic public consultation  オンライン投票と電子公会堂におけるプライバシーと検証可能性 
PETs and the mosaic effect: Sharing humanitarian data in emergencies and fragile contexts  PETsとモザイク効果:緊急事態や脆弱な状況における人道的データの共有 
Conclusions  結論 
Appendices  附属書 
Appendix 1: Definitions  附属書1:定義 
Appendix 2: Acknowledgements  附属書2:謝辞 

 

エグゼクティブサマリー...

Executive summary エグゼクティブサマリー
Privacy Enhancing Technologies (PETs) are a suite of tools that can help maximise the use of data by reducing risks inherent to data use. Some PETs provide new techniques for anonymisation, while others enable collaborative analysis on privately-held datasets, allowing data to be used without disclosing copies of data. PETs are multi-purpose: they can reinforce data governance choices, serve as tools for data collaboration or enable greater accountability through audit. For these reasons, PETs have also been described as ‘Partnership Enhancing Technologies’[1] or ‘Trust Technologies’[2]. プライバシー向上技術(PETs)は、データ利用に内在するリスクを低減することで、データの利用を最大化するのに役立つ一連のツールである。PETの中には、匿名化のための新しい技術を提供するものもあれば、個人所有のデータセットで共同分析を可能にし、データのコピーを開示することなくデータを使用できるようにするものもある。PET は多目的である。データガバナンスの選択を強化し、データ協力のためのツールとして機能し、 監査を通じてより大きな説明責任を果たすことができる。このような理由から、PET は「パートナーシップ強化技術」[1]または「信頼技術」[2]とも呼ばれている。
This report builds on the Royal Society’s 2019 publication Protecting privacy in practice: The current use, development and limits of Privacy Enhancing Technologies in data analysis[3], which presented a high-level overview of PETs and identified how these technologies could play a role in addressing privacy in applied data science research, digital strategies and data-driven business. 本報告書は、英国王立協会が2019年に発行した「Protecting privacy in practice」を基に作成されている。The current use, development and limits of Privacy Enhancing Technologies in data analysis[3]は、PETのハイレベルな概要を示し、これらの技術が応用データ科学研究、デジタル戦略、データ駆動型ビジネスにおけるプライバシーへの対処にどのような役割を果たすことができるかを明らかにしたものである。
This new report, developed in close collaboration with the Alan Turing Institute, considers how PETs could play a significant role in responsible data use by enhancing data protection and collaborative data analysis. It is divided into three chapters covering the emerging marketplace for PETs, the state of standards and assurance and use cases for PETs. この新しい報告書は、アラン・チューリング研究所との密接な協力により作成され、データ保護と共同データ分析を強化することにより、責任あるデータ利用においてPETがいかに重要な役割を果たすことができるかを考察している。本レポートは、PETの新興市場、標準と保証の状況、PETの使用事例をカバーする3つの章に分かれている。
scope  範囲 
From privacy to partnership outlines the current PETs landscape and considers the role of these technologies in addressing data governance issues beyond data security. The aim of this report is to address the following questions:  プライバシーからパートナーシップへ」は、現在のPETsの状況を概説し、データセキュリティ以外のデータガバナンスの問題に対処する際のこれらの技術の役割について考察している。本報告書の目的は、以下の問いに取り組むことである。
• How can PETs support data governance and enable new, innovative, uses of data for public benefit? ・PETs はどのようにしてデータガバナンスを支援し,公共の利益のための新しい革新的なデータ利用を可能にするのか?
• What are the primary barriers and enabling factors around the adoption of PETs in data governance, and how might these be addressed or amplified?  ・データガバナンスにおけるPETの採用に関する主要な障壁と実現要因は何か,また,どのように対処または拡大することができるのか?
• How might PETs be factored into frameworks for assessing and balancing risks, harms and benefits when working with personal data?  ・個人データを扱う際に,リスク,被害,利益を評価しバランスを取るための枠組みに,PET をどのように組み入れることができるのか?
Methodology  方法論 
This work was steered by an expert Working Group as well as two closed contact group sessions with senior civil servants and regulators in April and October 2021 (on the scope and remit of the report, and on the use case topics and emerging themes, respectively).  この作業は、専門家によるワーキンググループと、2021年4月と10月に行われた上級公務員および規制当局との2回の非公開コンタクトグループセッション(それぞれ報告書の範囲と任務、使用事例のテーマと新たなテーマについて)により進められた。
The findings in this report are the result of consultations with a wide range of data and privacy stakeholders from academia, government, third sector, and industry, as well as three commissioned research projects on the role of assurance in enabling the uptake of PETs[4], PETs market readiness in the public sector[5], and a survey of synthetic data: data that is artificially generated based on real-world data, but which produces new data points[6]. The use cases were drafted with input from domain specialists, and the report was reviewed by expert readers as well as invited reviewers. The details of contributors, Working Group members, expert readers and reviewers are provided in the Appendix. 本報告書の調査結果は、学術界、政府、第三セクター、産業界の幅広いデータ及びプライバシー関係者との協議の結果であり、また、PETsの導入を可能にする保証の役割[4]、公共セクターにおけるPETs市場の準備[5]、合成データの調査(現実のデータを基に人工的に生成したデータだが新しいデータポイントを生成する)についての三つの委託調査プロジェクト[6]の結果であった。ユースケースは、各分野の専門家の意見を取り入れて作成され、報告書は専門家の読者および招待されたレビュアーによってレビューされた。プロバイダ、ワーキンググループメンバー、専門家読者、レビュアーの詳細は附属書のとおりである。
Key findings 主な調査結果
General knowledge and awareness of PETs remains low amongst many potential PETs users[7], [8], with inherent risk of using new and poorly understood technologies acting as a disincentive to adoption. Few organisations, particularly in the public sector, are prepared to experiment with data protection[9]. Without in-house expertise, external assurance mechanisms or standards, organisations are unable to assess privacy trade-offs for a given PET or application. As a result, the PETs value proposition remains abstract and the business case for adopting PETs is unclear for potential users. 多くの潜在的 PETs ユーザーの間では、PETs に関する一般的な知識と認識がまだ低く[7]、 [8]、新しく理解されていない技術を使用する固有のリスクが、採用の阻害要因として作用している。特に公共部門において、データ保護について実験する用意のある組織はほとんどない[9]。社内の専門知識、外部の保証機構または標準がないため、組織は特定の PET またはアプリケーショ ンのプライバシーのトレードオフを評価することができない。その結果、PET の価値提案は抽象的なままであり、潜在的ユーザーにとって PET 採用のビジネスケースは不明確である。
Standardisation for PETs, including data standards, is lacking and is cited as a hindrance to adoption by potential users in the UK public sector[10]. Technical standards are required to ensure the underpinning technologies work as intended, while process standards are needed to ensure users know how and when to deploy them. While few PETs-specific standards exist to date, standards in adjacent fields (such as cybersecurity and AI) will be relevant. In the future, PETs-specific standards could provide the basis for assurance schemes to bolster user confidence. データ標準を含む PET の標準化は欠落しており、英国の公共部門における潜在的ユーザーによる採用の 障害として挙げられている[10]。技術標準は、基盤となる技術が意図したとおりに機能することを保証するために必要であり、一方、 プロセス標準は、ユーザーがいつどのように導入すればよいかを確実に知るために必要である。現在、PET に特化した標準はほとんど存在しないが、隣接する分野(サイバーセキュリティや AI など)の標準が関連することになる。将来的には、PETs 固有の標準は、ユーザーの信頼を高めるための保証スキームの基礎となる可能性がある。
A significant barrier to the widespread use of PETs is a lack of clear use cases for wider public benefit. To address this, Chapter 4 illustrates the potential benefit of PETs in the contexts of: PET の普及に対する大きな障壁は、より広い公共の利益に対する明確な使用事例がないことである。これに対処するため、第 4 章では、次のような状況における PET の潜在的な利点を説明する。
• Using biometric data for health research and diagnostics; ・健康研究と診断のためのバイオメトリック・データの使用。
• Enhancing privacy in the Internet of Things and in digital twins; ・モノのインターネットやデジタルツインにおけるプライバシーの向上。
• Increasing safe access to social media data and accountability on social media platforms; ・ソーシャルメディアデータへの安全なアクセスとソーシャルメディアプラットフォームのアカウンタビリティの向上。
• Generating population-level insights using synthesised national data; ・統合された国家データを用いた集団レベルの洞察の生成。
• Collective intelligence, crime detection and voting in digital governance; and ・デジタルガバナンスにおける集団的知性,犯罪検知,投票,および
• PETs in crisis situations and in analysis of humanitarian data: ・危機的状況および人道的データの分析におけるPETs。
The use cases demonstrate how PETs might maximise the value of data without compromising privacy. 使用例は、PET がプライバシーを侵害することなくデータの価値を最大化する方法を示している。
A core question for potential PETs users is: What will PETs enable an analyst to do with data that could not be accomplished otherwise? Alternatively: What will PETs prevent an adversary from achieving? As the use cases illustrate, PETs are not a ‘silver bullet’ solution to data protection problems. However, they may be able to provide novel building blocks for constructing responsible data governance systems. For example, in some cases, PETs could be the best tools for reaching legal obligations, such as anonymity. PETs の潜在的ユーザーに対する主要な疑問は、以下の通りである。PETs は、分析者がデータを使って、他の方法では達成できないどんなことを可能にするのか?あるいは。あるいは、「PETs は、敵が何を達成するのを防ぐことができるのか?使用例が示すように、PET は、データ保護問題に対する「銀の弾丸」のような解決策ではない。しかし、責任あるデータガバナンスシステムを構築するための新しい構成要素を提供することができるかもしれない。例えば、場合によっては、PET は、匿名性などの法的義務を達成するための最良のツールになり得る。
Data protection is only one aspect of the right to privacy. In most cases, PETs address this one aspect but do not address how data or the output of data analysis is used, although this could change as PETs mature. Some recent applications utilise PETs as tools for accountability and transparency, or to distribute decision-making power over a dataset across multiple collaborators[11], suggesting their potential in addressing elements of privacy beyond data security. データ保護は、プライバシーの権利の一側面に過ぎない。ほとんどの場合、PET はこの一面を扱うが、データまたはデータ解析の出力がどのように利用され るかについては扱っていない。最近のアプリケーションの中には、説明責任と透明性のためのツールとして、あるいはデータセットに 関する意思決定権を複数の協力者に分散させるために PET を利用するものがあり[11]、データセキュリティ以外のプライバシーの要素に対応する可能性を示唆している。
The field of PETs continues to develop rapidly. This report aims to consolidate and direct these efforts toward using data for public good. Through novel modes of data protection, PETs are already enhancing the responsible use of personal data in tackling significant contemporary challenges. The emerging role of PETs as tools for partnership, enhancing transparency and accountability may entail greater benefits still. PETs の分野は急速に発展し続けている。本報告書は、データを公共の利益のために利用するためのこれらの取り組みを統合し、方向付けることを目的としている。新しいデータ保護様式を通じて、PET は既に、現代の重要な課題に取り組む際の個人データの責 任ある利用を強化している。パートナーシップ、透明性の向上、説明責任のためのツールとしての PET の新たな役割 は、さらに大きな利益をもたらす可能性がある。

 

・[PDF] Privacy Enhancing Technologies: Market Readiness, Enabling and Limiting Factors in the UK public sector

・[PDF] Hattusia: The current state of assurance in establishing trust in PETs

・[PDF] Synthetic Data: what, why and how?

・[PDF] 2019 report: Protecting privacy in practice

・[PDF] 2019 report summary

・[PDF] 2017 workshop: Israel-UK privacy and technology

 

 

 

 

| | Comments (0)

2023.01.25

ENISA 相互運用可能なEUのリスク管理フレームワーク 2022年更新版 (2023.01.16)

こんにちは、丸山満彦です。

ENISAが相互運用可能なEUのリスク管理フレームワークという文書を昨年 (2022.01.13) 公表していますが、その更新版ですね。。。

リスクマネジメントのフレームワークはいくつもあるのですが、次のものが選ばれていますね。。。

  1. ISO/IEC 27005:2018
  2. NIST SP 800-37
  3. NIST SP 800-30
  4. NIST SP 800-39
  5. BSI STANDARD 200-2
  6. OCTAVE-S
  7. OCTAVE ALLEGRO
  8. OCTAVE FORTE
  9. ETSI TS 102 165-1 (TVRA)
  10. MONARC
  11. EBIOS Risk Manager (RM)
  12. MAGERIT v.3
  13. ITSRM²
  14. MEHARI
  15. THE OPEN GROUP STANDARD, RISK ANALYSIS, V2.0.1
  16. GUIDELINES ON CYBER SECURITY ONBOARD SHIPS
  17. The AML/CFT methodology
  18. Circular CSSF 20/750

新しく追加されたのが、

17. The AML/CFT methodology
18. Circular CSSF 20/750

更新されたのが、

10. MONARC 
13. ITSRM²
15. THE OPEN GROUP STANDARD, RISK ANALYSIS

という感じですかね。。。

 

NISTはCOSO-ERMとの整合性を気にしていましたが、こちらでは出てきません。。。

 

● ENISA

・2023.01.16 Interoperable EU Risk Management Framework

Interoperable EU Risk Management Framework 相互運用可能なEUのリスクマネジメントフレームワーク
This report proposes a methodology for assessing the potential interoperability of risk management (RM) frameworks and methodologies and presents related results. The methodology used to evaluate interoperability stemmed from extensive research of the literature, resulting in the use of certain RM framework features which were singled out for this purpose. These features, which were identified as relevant for the assessment of interoperability, are thoroughly described and analysed for each framework/methodology. More specifically, for certain functional features we make use of a four-level scale to evaluate the interoperability level for each method and each set of combined features. 本報告書は、リスクマネジメント(RM)フレームワークと手法の潜在的な相互運用性を評価するための方法論を提案し、関連する結果を示している。相互運用性を評価するための方法論は、文献の広範な調査から生まれ、その結果、この目的のために特定のRMフレームワークの特徴を使用することになった。これらの機能は、相互運用性の評価に関連するものとして特定され、各フレームワーク/方法論について徹底的に説明され、分析される。より具体的には、特定の機能的特徴について、各方法と組み合わせた特徴のセットごとに、相互運用性のレベルを評価するために4レベルの尺度を使用している。

 

・[PDF]

20230125-54046

 

目次...

1. INTRODUCTION 1. はじめに
1.1 PURPOSE AND SCOPE 1.1 目的と範囲
1.2 DEFINITION OF ACRONYMS 1.2 頭字語の定義
2. METHOD OF WORK 2. 作業方法
2.1 FEATURES OF INTEROPERABILITY 2.1 相互運用性の特徴
2.2 INTEROPERABILITY EVALUATION MODEL 2.2 相互運用性評価モデル
2.2.1 Methodology and levels of interoperability 2.2.1 相互運用性の方法論とレベル
2.2.2 Scoring model for potential interoperability 2.2.2 相互接続性の採点モデル
3. RESULTS 3. 結果
3.1 ANALYSIS OF LEVEL OF INTEROPERABILITY FOR EACH RISK MANAGEMENT FRAMEWORK      AND FEATURE 3.1 リスクマネジメントフレームワークと機能ごとの相互運用性レベルの分析
4. INTEGRATION OF INTEROPERABILITY IN THE RM PROCESSES      BASED ON ITSRM2 4. そのRM2に基づくRMプロセスにおける相互運用性の統合
4.1 PROCESS P1 SYSTEM SECURITY CHARACTERISATION 4.1 プロセスP1 システムセキュリティの特性評価
4.1.1 Description of process 4.1.1 プロセスの説明
4.2 PROCESSES P2 PRIMARY ASSETS AND P3 SUPPORTING ASSETS 4.2 プロセスP2 主要資産及びP3 補助資産
4.2.1 Description of processes 4.2.1 プロセスの説明
4.2.2 Recommendations and integration of interoperability features 4.2.2 相互運用性のための機能の推奨と統合
4.3 PROCESS P4 SYSTEM MODELLING 4.3 プロセスP4 システムモデリング
4.3.1 Description of process 4.3.1 プロセスの記述
4.3.2 Recommendations and integration of interoperability features 4.3.2 相互運用性のための推奨事項及び統合機能
4.4 PROCESS P5 RISK IDENTIFICATION 4.4 プロセスP5 リスクの特定
4.4.1 Description of process 4.4.1 プロセスの記述
4.4.2 Recommendations and integration of interoperability features 4.4.2 相互運用性のための推奨事項及び統合事項
4.5 PROCESS P6 RISK ANALYSIS AND EVALUATION 4.5 プロセスP6 リスクの分析及び評価
4.5.1 Description of process 4.5.1 プロセスの記述
4.5.2 Recommendations and integration of interoperability features 4.5.2 相互運用性のための推奨事項及び統合機能
4.6 PROCESS P7 RISK TREATMENT 4.6 プロセスP7 リスクの処置
4.6.1 Description of process 4.6.1 プロセスの記述
4.6.2 Recommendations and integration of interoperability features 4.6.2 相互運用性のための推奨事項及び統合機能
5. SYNOPSIS 5. 用語解説
6. UPDATES ON THE PROMINENT RISK MANAGEMENT FRAMEWORKS  AND METHODOLOGIES 6. 著名なリスクマネジメントのフレームワークと方法論に関する最新情報
6.1 MONARC 6.1 MONARC
6.2 EU ITSRM2, IT SECURITY RISK MANAGEMENT METHODOLOGY V1.2 6.2 EU ITSRM2、セキュリティリスク管理方法論 v1.2
6.3 THE AML/CFT NATIONAL RISK ASSESSMENT METHODOLOGY 6.3 AML/CFT 国家リスク評価手法
6.4 THE AML/CFT NATIONAL RISK ASSESSMENT METHODOLOGY 6.4 AML/CFT 国家リスクアセスメント方法論
6.5 CIRCULAR CSSF 20/750 6.5 CIRCULAR
CSSF 20/750
6.6 SERIMA 6.6 SERIMA
6.7 ISO/IEC 27005:2018 6.7 ISO/iec 27005:2018
6.8 NIST SP 800-37 REV. 2 6.8 NIST SP 800-37 Rev. 2
6.9 NIST SP 800–30 REV.1 6.9 NIST SP 800-30 Rev.1
6.10 NIST SP 800–39 6.10 NIST SP 800-39
6.11 BSI STANDARD 200-2 6.11 BSI標準規格200-2
6.12 OCTAVE-S 6.12 OCTAVE-S
6.13 OCTAVE ALLEGRO 6.13 OCTAVE ALLEGRO
6.14 OCTAVE FORTE (OCTAVE FOR THE ENTERPRISE) 6.14 OCTAVE FORTE
(エンタープライズ向けオクターブ)
6.15 ETSI TS 102 165-1, THREAT VULNERABILITY AND RISK ANALYSIS (TVRA) 6.15 ETSI TS 102 165-1、脅威の脆弱性とリスク分析 (Tvra)
6.16 EBIOS RISK MANAGER (EXPRESSION DES BESOINS ET IDENTIFICATION DES OBJECTIFS DE      SECURITE- EXPRESSION OF NEEDS AND IDENTIFICATION OF SECURITY OBJECTIVES) 6.16 EBIOSリスクマネージャ:ニーズの表現とセキュリティ目標の明確化
6.17 MAGERIT V.3: ANALYSIS AND RISK MANAGEMENT INFORMATION SYSTEMS 6.17 MAGERIT V.3: 分析・リスク管理情報システム
6.18 MEHARI 6.18 MEHARI
6.19 GUIDELINES ON CYBER SECURITY ONBOARD SHIPS 6.19 船舶のサイバーセキュリティに関するガイドライン

 

EXECUTIVE SUMMARY  エグゼクティブサマリー 
This report is an update of the report “Interoperable EU Risk Management Framework” published by ENISA in January 2022. The “Interoperable EU Risk Management Framework” proposes a methodology for assessing the potential interoperability of risk management (RM) frameworks and methods and presents related results. The methods included in this report have been selected as prominent, based on their interoperability features, after evaluating an extended list of risk management frameworks and methods (included in the Compendium of Risk Management Frameworks with Potential Interoperability, ENISA, January 2002) which has been published as Supplement to the Interoperable EU Risk Management.  本報告書は、ENISAが2022年1月に発表した報告書「相互運用可能なEUリスク管理フレームワーク」を更新したものである。相互運用可能なEUリスク管理フレームワーク」は、リスク管理(RM)フレームワークと手法の潜在的な相互運用性を評価するための手法を提案し、関連する結果を提示している。この報告書に含まれる手法は、相互運用可能なEUリスクマネジメントの補足として発表されたリスクマネジメントのフレームワークと手法の拡張リスト(Compendium of Risk Management Frameworks with Potential Interoperability, ENISA, January 2002に含まれる)を評価し、その相互運用性の特徴に基づき、顕著なものとして選択されたものである。
The “Interoperable EU Risk Management Framework” describes and evaluates the interoperability features for prominent risk management frameworks and methods, by employing a four-level scale to evaluate their interoperability level. The features assessed to evaluate the interoperability level include the approach used by the RM method (i.e. to whether it is assetbased or scenario-based), whether risk assessment is quantitative or qualitative, as well as other characteristics such as the use of asset taxonomies, valuation methods, the cataloguing of threats and vulnerabilities, the method of risk calculation etc. It also provides an overview of possible collaborative combinations between them.  相互運用可能なEUのリスクマネジメントフレームワーク」は、著名なリスクマネジメントのフレームワークや手法に対して、相互運用性の特徴を記述・評価し、その相互運用性のレベルを4段階の尺度で評価したものである。相互運用性を評価するための特徴は、リスクマネジメント手法のアプローチ(資産ベースかシナリオベースか)、リスク評価が定量的か定性的か、また、資産分類の使用、評価方法、脅威と脆弱性のカタログ化、リスクの計算方法などの他の特徴も含まれている。また、それらの間で可能な協調的な組み合わせの概要も示している。
The update of “Interoperable EU Risk Management Framework” was based on desktop research and analysis, which resulted in:   相互運用可能なEUのリスクマネジメントフレームワーク "の更新は、デスクトップリサーチと分析に基づいて行われ、その結果、以下のことが明らかになった。 
•        Identifying new risk management methods, which were evaluated with regard to their interoperability potential and included in the ““Interoperable EU Risk Management Framework”. These are the following:  ・新しいリスク管理手法を特定し,その相互運用性の可能性を評価した上で,「相互運用可能なEUのリスクマネジメントフレームワーク」に盛り込む。これらは以下の通りである。
o    SERIMA   o SERIMA 
o    CIRCULAR CSSF 20/750   o CIRCULAR CSSF 20/750 
•        Updating the features and evaluation of the following RM methods which were already included in the Framework:  ・既にフレームワークに含まれている以下のリスク管理手法の特徴と評価を更新する。
o    MONARC    o MONARC  
o    ITSRM²   o ITSRM² 
o    THE OPEN GROUP STANDARD, RISK ANALYSIS   o リスク分析に関するオープングループ基準 
Finally, no updates were identified for the following:  最後に、以下については、更新が確認されなかった。
o       ISO/IEC 27005:2018     o ISO/IEC 27005:2018   
o       NIST SP 800-37   o NIST SP 800-37 
o       NIST SP 800-30   o NIST SP 800-30 
o       NIST SP 800-39   o NIST SP 800-39 
o       BSI STANDARD 200-2   o BSI標準規格200-2 
o       OCTAVE-S   o OCTAVE-S 
o       OCTAVE ALLEGRO   o OCTAVE ALLEGRO
o       OCTAVE FORTE   o OCTAVE FORTE 
o       ETSI TS 102 165-1(TVRA)   o ETSI TS 102 165-1(TVRA) 
o       EBIOS Risk Manager   o EBIOS リスクマネージャー 
o       MAGERIT v.3   o MAGERIT v.3 
o       MEHARI   o MEHARI 
o       GUIDELINES ON CYBER SECURITY ONBOARD SHIPS   o 船舶のサイバーセキュリティに関するガイドライン

 

 

 

フレームワークと方法 一般的な側面 機能   
リスク識別 リスクアセスメント  リスクへの対応
アセットベース(AB)/シナリオベース(SB) 定量的:QT/定性的:QL 資産タクソノミ 資産評価 脅威のカタログ 脆弱性カタログ リスク算出方法 対策カタログ・残存リスク計算
1. ISO/IEC 27005:2018 AB QT/QL 2 3 3 3 3 3
2. NIST SP 800-37 AB QL 3 3 3 3 3 3
3. NIST SP 800-30 SB QT/QL 0 2 3 3 2 3
4. NIST SP 800-39 AB QL 3 3 3 3 3 3
5. BSI STANDARD 200-2 AB/AS QL 3 1 3 3 3 3
6. OCTAVE-S AB/AS QL 3 3 3 3 3 3
7. OCTAVE ALLEGRO AB QL 3 3 3 3 3 3
8. OCTAVE FORTE AB QL 2 3 3 3 3 3
9. ETSI TS 102 165-1 (TVRA) AB QL 2 3 3 3 2 3
10. MONARC AB QL 2 3 3 3 3 3
11. EBIOS Risk Manager (RM) AB/SB QL/QT 3 3 3 2 2 3
12. MAGERIT v.3 AB QT/QL 2 3 3 0 2 3
13. ITSRM² AB QT/QL 2 2 3 0 2 3
14. MEHARI AB/AS QL 3 1 3 3 1 3
15. THE OPEN GROUP STANDARD, RISK ANALYSIS, V2.0.1 SB QT/QL 0 3 3 3 3 3
16. GUIDELINES ON CYBER SECURITY ONBOARD SHIPS AB/AS QT 3 3 3 3 2 3
17. The AML/CFT methodology AB QJ 0 3 1 1 3 3
18. Circular CSSF 20/750 AB/AS QT/QL 0 3 3 3 3 3

 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.01.18 ENISA 相互運用可能なEUのリスク管理フレームワーク

 

 

| | Comments (0)

2023.01.24

ENISA サイバーセキュリティの組織内の啓発プログラムの開発を支援するためのパッケージ

こんにちは、丸山満彦です。

サイバーセキュリティの組織内の啓発プログラムの開発を支援するためのパッケージ (Awareness Raising in a Box(AR-in-a-BOX)) を公表していますね。。。

この啓発プログラム開発支援パッケージには、次のものが含まれているようです。。。

  • 組織内で使用するためのカスタム啓発プログラムの構築方法に関するガイドライン。
  • 社外のステークホルダーを対象とした啓発キャンペーンを作成するためのガイドライン。
  • ターゲットに最も適したツールやチャネルの選択方法。
  • プログラムやキャンペーンを評価するための適切な指標の選択と重要業績評価指標の開発に関する説明。
  • 啓発目標の達成に不可欠なコミュニケーション戦略の策定ガイド。
  • 啓発用ゲーム(様々なバージョンとスタイルで提供され、その遊び方に関するガイドも付いている。)

 

ENISA

・2023.01.19 Cybersecurity Awareness Raising: Peek Into the ENISA-Do-It-Yourself Toolbox

Cybersecurity Awareness Raising: Peek Into the ENISA-Do-It-Yourself Toolbox サイバーセキュリティの意識向上:ENISA-Do-It-Yourself Toolboxを覗く
The European Union Agency for Cybersecurity (ENISA) launches today the “Awareness Raising in a Box (AR-in-a-BOX)” package designed to help organisations build their own awareness raising programmes. 欧州連合サイバーセキュリティ機関(ENISA)は、組織が独自の啓発プログラムを構築するのを支援するために設計された「Awareness Raising in a Box(AR-in-a-BOX)」パッケージを本日発表する。
Awareness raising programmes form an indispensable part of an organisation’s cybersecurity strategy and are used to promote good practices and induce change in the cybersecurity culture of employees and ultimately the society at large. 啓発プログラムは、組織のサイバーセキュリティ戦略の不可欠な部分を形成し、グッドプラクティスを促進し、従業員、ひいては社会全体のサイバーセキュリティ文化に変化をもたらすために使用される。
AR-in-a-Box is offered by ENISA to public bodies, operators of essential services, large private companies as well as small and medium ones (SMEs). With AR-in-a-BOX, ENISA provides theoretical and practical knowledge on how to design and implement cybersecurity awareness activities. AR-in-a-Boxは、ENISAが公共機関、重要サービス運営者、大規模民間企業、中小企業に対して提供している。AR-in-a-BOXでは、ENISAがサイバーセキュリティの啓発活動を設計・実施する方法について理論的・実践的な知識を提供する。
AR-in-a-Box includes: AR-in-a-BOXには以下が含まれる。
・A guideline on how to build a custom awareness program, to be used internally within an organisation; ・組織内で使用するためのカスタム啓発プログラムの構築方法に関するガイドライン。
・A guideline on creating an awareness campaign targeted at external stakeholders; ・社外のステークホルダーを対象とした啓発キャンペーンを作成するためのガイドライン。
・Instructions on how to select the appropriate tools and channels to best match the target audience; ・ターゲットに最も適したツールやチャネルの選択方法。
・Instructions on selecting the right metrics and developing key performance indicators to evaluate a program or campaign; ・プログラムやキャンペーンを評価するための適切な指標の選択と重要業績評価指標の開発に関する説明。
・A guide for the development of a communication strategy, which is indispensable for the achievement of awareness objectives; ・啓発目標の達成に不可欠なコミュニケーション戦略の策定ガイド。
・An awareness raising game, provided in different versions and styles, along with a guide on how it is played; ・啓発用ゲーム。様々なバージョンとスタイルで提供され、その遊び方に関するガイドも付いている。
An awareness raising quiz. 啓発クイズ
Find more in the dedicated page:  Awareness Material — ENISA (europa.eu) 詳しくは、専用ページでご確認ください。  啓発資料 - ENISA (europa.eu)
AR-in-a-Box is dynamic and will be regularly updated and enriched. New versions will be promoted via social media and uploaded on the ENISA website. AR-in-a-Boxは動的なもので、定期的に更新され、充実していく予定です。新バージョンはソーシャルメディアを通じてプロモーションされ、ENISAのウェブサイトにアップロードされる。
Further information さらに詳しい情報
ENISA topic – Awareness Raising ENISAトピック - 認知度向上
Awareness Campaigns — ENISA (europa.eu) 意識向上キャンペーン - ENISA (europa.eu)
SME Cybersecurity — ENISA (europa.eu) 中小企業のサイバーセキュリティ - ENISA (europa.eu)

 

Cybersecurity Awareness Raising: The ENISA -Do-It-Yourself Toolbox 

Cybersecurity Awareness Raising: The ENISA -Do-It-Yourself Toolbox  サイバーセキュリティの意識向上:ENISA -Do-It-Yourself Toolbox
AR-in-a-Box AR-in-a-Box

AR-in-a-Box is a comprehensive solution for cybersecurity awareness activities designed to meet the needs of public bodies, operators of essential services, and both large and small private companies. It provides theoretical and practical knowledge on how to design and implement effective cybersecurity awareness programmes, including:

AR-in-a-Boxは、公共機関、重要なサービスを提供する事業者、および大企業と中小企業のニーズを満たすように設計されたサイバーセキュリティ啓発活動のための包括的なソリューションです。効果的なサイバーセキュリティ啓発プログラムを設計し、実施する方法について、以下のような理論的および実践的な知識を提供する。
A guideline on building custom awareness programmes for internal use within an organisation. Download it here. ・組織内で使用するカスタム啓発プログラムの構築に関するガイドライン。
A guideline on creating targeted awareness campaigns for external stakeholders. Download it here. ・社外のステークホルダーを対象とした啓発キャンペーンを作成するためのガイドライン。
Instructions on selecting the appropriate tools and channels to effectively reach the target audience. Download it here. ・対象者に効果的にリーチするための適切なツールやチャネルの選択に関する説明。
Instructions on developing Key Performance Indicators to evaluate the effectiveness of a programme or campaign. Download it here. ・プログラムやキャンペーンの効果を評価するための主要業績評価指標(KPI)の開発に関する説明。 
A guide for the development of a communication strategy, crucial for achieving awareness objectives. Download it here. ・啓発目標の達成に不可欠なコミュニケーション戦略の策定ガイド 
An awareness raising quiz to test comprehension and retention of key information. Download it here. ・重要な情報の理解と保持をテストするための意識向上クイズ。 
・An awareness raising game provided in different versions and styles, along with a guide on how to play: ・様々なバージョンとスタイルで提供される啓発用ゲームと、その遊び方のガイド。
・・Download the guide on how to play the game here. ・・ゲームの遊び方ガイドのダウンロードはこちら。
・・Generic version of the game  ・・一般的なゲーム 
・・・Style 1 ・・・スタイル1
・・・Style 2 ・・・スタイル2
・・・Mini version  ・・・ミニバージョン 
・・Version of the game tailored for energy sector ・・エネルギー分野に特化したバージョン
・・・Style 1 ・・・スタイル1
・・・Style 2 ・・・スタイル2
・・・Mini version  ・・・ミニバージョン 
With AR-in-a-Box, ENISA equips organisations with the necessary tools and resources to effectively raise cybersecurity awareness within their operations. ENISAは、AR-in-a-Boxにより、各組織の業務におけるサイバーセキュリティの意識を効果的に高めるために必要なツールやリソースを提供する。
AR-in-a-Box is dynamic and will be regularly updated and enriched. AR-in-a-Boxは動的なものであり、定期的に更新され、充実していく予定である。

 

 

[PDF] A guideline on building custom awareness programmes for internal use within an organisation.

20230124-21232

[PDF] A guideline on creating targeted awareness campaigns for external stakeholders.

20230124-21243

[PDF] Instructions on selecting the appropriate tools and channels to effectively reach the target audience.

20230124-21252

[PDF] Instructions on developing Key Performance Indicators to evaluate the effectiveness of a programme or campaign. 

20230124-21305

[PDF] A guide for the development of a communication strategy, crucial for achieving awareness objectives.

20230124-21322

[PDF] An awareness raising quiz to test comprehension and retention of key information.

20230124-21354

 

[PDF] the guide on how to play the game.

20230124-21417

 

・Generic version of the game 

[PDF] Style 1

20230124-21518

[PDF] Style 2

20230124-21558

[PDF] Mini version 

20230124-21607

Version of the game tailored for energy sector

[PDF] Style 1

20230124-21615

[PDF] Style 2

20230124-21622

[PDF] Mini version 

20230124-21642

 

興味深いです。。。

| | Comments (0)

2023.01.23

ENISA 高等教育を通じてスキル不足とギャップに対処する (2022.12.20)

こんにちは、丸山満彦です。

ENISAが、セキュリティのスキル不足とギャップに高等教育で対応するための5つの提言を含む報告書を公表していました。。。

2021年にも、現状把握のための報告書を公表していましたね。。。

 

ENISA

・2022.12.20 Addressing Skills Shortage and Gap Through Higher Education

 

Addressing Skills Shortage and Gap Through Higher Education 高等教育を通じてスキル不足とギャップに対処する
In this report, ENISA contributes to both practice and research on the cybersecurity skills shortage and gap in two distinctive areas. Firstly, it provides an overview of the current supply of cybersecurity skills in Europe through an analysis of data gathered and generated by the recently established Cybersecurity Higher Education Database (CyberHEAD). Secondly, it describes the policy approaches adopted by EU Member States in their quest to increase and sustain their national cybersecurity workforces. These approaches have been classified and analysed based on objectives defined by ENISA’s National Capabilities Assessment Framework (NCAF), namely cybersecurity awareness, training, challenges and exercises. Based on the data collected and analysed, this report makes five recommendations to address the EU cybersecurity skills shortage and gap. 本報告書では、ENISAがサイバーセキュリティのスキル不足とギャップに関する実践と研究の両方に、2つの特徴的な領域で貢献している。まず、最近設立されたサイバーセキュリティ高等教育データベース(CyberHEAD)が収集・作成したデータの分析を通じて、欧州におけるサイバーセキュリティ・スキルの現在の供給状況を概観している。第二に、EU加盟国が自国のサイバーセキュリティ人材を増やし、維持するために採用した政策アプローチについて説明する。これらのアプローチは、ENISAの国家能力評価フレームワーク(NCAF)で定義された目的、すなわちサイバーセキュリティの認識、訓練、課題、演習に基づいて分類・分析されている。収集・分析されたデータに基づき、本報告書は、EUのサイバーセキュリティのスキル不足とギャップに対処するための5つの提言を行う。

 

・[PDF] Addressing Skills Shortage and Gap Through Higher Education

20230123-03242

目次...

EXECUTIVE SUMMARY エグゼクティブサマリー
1. INTRODUCTION 1. 序論
1.1 STUDY OBJECTIVES AND SCOPE 1.1 調査目的と範囲
1.2 METHODOLOGY 1.2 方法論
1.3 DOCUMENT STRUCTURE 1.3 文書の構成
2. CONTEXT AND BACKGROUND 2. 文脈と背景
2.1 THE CYBERSECURITY EDUCATIONAL ROADMAP 2.1 サイバーセキュリティ教育ロードマップ
2.2 LEGAL FRAMEWORK 2.2 法的枠組み
3. CYBERSECURITY EDUCATION INITIATIVES IN EU MEMBER STATES 3. EU加盟国におけるサイバーセキュリティ教育の取り組み
4. BEST PRACTICES AND MAIN CHALLENGES 4. ベストプラクティスと主な課題
4.1 GOVERNANCE AND PRIORITISATION PROCESS 4.1 ガバナンスと優先順位付けプロセス
4.2 MEASUREMENT MECHANISM 4.2 測定メカニズム
4.3 KEY PRINCIPLES 4.3 主要な原則
4.4 COLLABORATION WITH OTHER ORGANISATIONS, INCLUDING ENISA 4.4 ENISAを含む他組織との連携
5. CONCLUSIONS 5. 結論
5.1 CHALLENGES ENCOUNTERED 5.1 遭遇した課題
5.2 KEY PRIORITIES FOR THE ENISA ROADMAP 5.2 ENISAロードマップにおける重要な優先事項

 

エグゼクティブサマリー

EXECUTIVE SUMMARY  エグゼクティブサマリー 
Today, the internet is a tool used in many educational activities, which increases the amount of time children are exposed to cyberspace and its risks. Informing young users about the importance of maintaining personal privacy is not enough to keep them vigilant when using the internet. More proactive training is required to teach children to be safe online.   今日、インターネットは多くの教育活動で使用されるツールであり、子どもたちがサイバースペースとそのリスクにさらされる時間は長くなっている。個人のプライバシーを守ることの重要性を若いユーザーに伝えるだけでは、インターネットを利用する際の警戒心を保つには十分ではありません。子どもたちにネット上での安全性を教えるには、より積極的なトレーニングが必要である。 
Member States, which are advised to increase their cybersecurity capacity, have made efforts to raise cybersecurity awareness among their population through initiatives targeting different age groups of users. With regard to children in particular, the Safer Internet Centers[1], co-funded by the European Commission, have proven to be the main drivers of the majority of initiatives at the national level and have served as a forum for cooperation and exchange of resources.  サイバーセキュリティの能力を高めるよう勧告されている加盟国は、異なる年齢層の利用者を対象とした取り組みを通じて、国民のサイバーセキュリティに対する意識を高める努力をしている。特に子どもに関しては、欧州委員会が共同出資するSafer Internet Centers[1]が、国レベルでの取り組みの大半を推進し、協力とリソース交換の場として機能していることが証明されている。
In line with the European Cybersecurity Act, Article 10[2], ENISA has the mission to focus its efforts in supporting cybersecurity in all levels of education in the Member States. In this context, ENISA has a mandate to support closer coordination and exchange of best practices among Member States on cybersecurity awareness and education.  欧州サイバーセキュリティ法第10条[2]に基づき、ENISAは加盟国のあらゆるレベルの教育におけるサイバーセキュリティの支援に力を注ぐという使命を担っている。この文脈で、ENISAは、サイバーセキュリティの意識と教育に関する加盟国間のより緊密な調整とベストプラクティスの交換を支援する任務を負っている。
Additionally, the EU Digital Education Action Plan[3] identifies two priority areas to prepare the next generations for the challenges posed by the digital: i) Fostering the development of a highperforming digital education ecosystem and ii) Enhancing digital skills and competences for the digital transformation. To address these challenges, ENISA recognises the importance of addressing and reshaping the existing cybersecurity education programmes and the continuous changes in the landscape to align the required cybersecurity knowledge and skills.  さらに、EUデジタル教育行動計画[3]は、デジタルがもたらす課題に次世代を備えるための2つの優先分野を特定している:i) 高性能デジタル教育エコシステムの開発の促進、ii) デジタル変革のためのデジタルスキルと能力の向上。これらの課題に対処するために、ENISAは、既存のサイバーセキュリティ教育プログラムと、必要なサイバーセキュリティの知識とスキルを揃えるための継続的な状況の変化に対処し、再構築することの重要性を認識している。
Through this project, ENISA wants to develop a comprehensive roadmap, towards the implementation of a collaborative campaign at EU level, for enhancing cybersecurity in education - targeting primary and secondary schools - across the EU and create a common platform to foster good practices and knowledge sharing, in order to collaborate with the European Commission (EC) and Member States in the creation and implementation of the required actions.  このプロジェクトを通じて、ENISAは、EU全域の初等・中等学校を対象とした教育におけるサイバーセキュリティを強化するためのEUレベルでの共同キャンペーンの実施に向けた包括的ロードマップを作成し、必要なアクションの作成と実施において欧州委員会(EC)や加盟国と協力するために、優れた実践と知識の共有を促進する共通のプラットフォームを作りたいと考えている。
This study brings out interesting conclusions regarding the best practices around cybersecurity in education across EU Member States, and with-it priorities for ENISA.  この研究は、EU加盟国の教育におけるサイバーセキュリティに関するベストプラクティス、およびENISAの優先事項に関する興味深い結論を導き出している。
Initiatives are often designed by National Cybersecurity Agencies, which then refer to a ministry responsible for the initiatives, but these initiatives may also be designed by that ministry. This usually has an impact on the funding of the initiatives (provided by the state or by private sponsors).  イニシアチブは、しばしば国家サイバーセキュリティ機関によって設計され、その後、そのイニシアチブを担当する省庁に照会するが、これらのイニシアチブはその省庁によって設計されることもあります。これは通常、イニシアチブの資金調達(国または民間スポンサーから提供される)に影響を与える。
The most recurrent and common key principles to be followed when developing educational cybersecurity initiatives were the following: undertake a collaborative approach to involve various stakeholders, undertake a pedagogic approach to ensure the participation of students, rely on the pareto principle to maximize efforts, construct yearly plans to ensure continuous improvement, educate the parents instead of creating a chain reaction…   教育サイバーセキュリティ・イニシアチブを開発する際に従うべき最も一般的な主要原則は、次のとおりである。さまざまな利害関係者を巻き込む協調的アプローチをとる、学生の参加を確実にする教育的アプローチをとる、努力を最大化するパレート原則に頼る、継続的改善を確実にするために年間計画を立てる、連鎖反応を引き起こすのではなく、保護者を教育する・・・など。 
Most of the time, KPIs are deployed to measure the achievement of predefined objectives and targets (such as completion of a task, gathering information through a satisfaction survey, web analytics to see how many people have participated in a training course, etc.). However, only a few Member States collect KPIs that measure the actual performance of users in the activities. Measuring the impact of cybersecurity education initiatives on the target audience, and whether and how their educational skills have evolved, is a challenge that Member States are trying to study and improve in this area.  ほとんどの場合、KPIはあらかじめ定義された目的や目標の達成度を測るために導入されます(タスクの完了、満足度調査による情報収集、トレーニングコースに何人が参加したかを見るためのウェブ解析など)。しかし、活動中のユーザーの実際のパフォーマンスを測定するKPIを収集している加盟国はごくわずかである。サイバーセキュリティ教育の取り組みが対象者に与える影響や、教育スキルがどのように進化したかを測定することは、加盟国がこの分野で研究し、改善しようとしている課題である。
The main challenges faced by Member States are the rigid culture of the ministries responsible for educational cybersecurity initiatives, the decentralized approach of some states, the lack of time and resources (low availability of teachers, staff turnover) and the lack of recognition for stakeholders.  加盟国が直面している主な課題は、サイバーセキュリティ教育イニシアチブを担当する省庁の硬直した文化、一部の国の分散型アプローチ、時間と資源の不足(教師の不足、職員の離職)、関係者の認識不足である。
Many respondents shared advice on how to approach the ministries responsible for the initiatives, and advice on how to develop initiatives at national level. They would also like to have visibility on what other Member States are doing in terms of cybersecurity in education, and finally they showed interest in working with ENISA and the other Member States.  多くの回答者が、取り組みを担当する省庁へのアプローチの仕方や、国レベルでの取り組み展開についてのアドバイスを共有していました。また、教育におけるサイバーセキュリティに関して、他の加盟国がどのような取り組みを行っているかを可視化することを希望し、最後にENISAや他の加盟国との協力に関心を示した。
The goal of this report is to present an overview of the Member States’ best practices when implementing cybersecurity education initiatives - targeting primary and secondary schools - as well as the challenges faced by the interviewed stakeholders when carrying out the activities. The aim is to identify the needs and gaps regarding cybersecurity education and determine how ENISA can provide additional support to the Member States. 本報告書の目的は、初等・中等学校を対象としたサイバーセキュリティ教育の取り組みを実施する際の加盟国のベストプラクティスの概要と、活動を実施する際にインタビューした関係者が直面した課題を提示することである。その目的は、サイバーセキュリティ教育に関するニーズとギャップを特定し、ENISAが加盟国に対してどのように追加的な支援を提供できるかを判断することである。

 

結論...

5.   CONCLUSIONS  5.   結論 
This chapter presents the main findings of the study, in particular it highlights the main challenges and obstacles faced by EU Member States in implementing cybersecurity initiatives in education within their countries and summarises the key priorities that ENISA should focus on for the EU cybersecurity education roadmap.  本章では、本調査の主な結果を示す。特に、EU加盟国が自国内の教育においてサイバーセキュリティの取り組みを実施する際に直面する主な課題と障害を明らかにし、EUサイバーセキュリティ教育ロードマップにおいてENISAが重視すべき主要な優先事項を要約している。
5.1  CHALLENGES ENCOUNTERED  5.1 遭遇した課題 
This section presents any challenges or barriers encountered by the Member States in implementing the Cybersecurity Education initiatives within their countries. A challenge can be defined as a fact or process which has made (or still makes) the initiatives difficult to deploy, or even prevented the initiative from reaching the expected level.  このセクションでは、加盟国が自国内でサイバーセキュリティ教育の取り組みを実施する際に遭遇した課題や障壁を提示する。課題とは、取り組みを展開することを困難にした(あるいは今もしている)事実やプロセス、あるいは取り組みが期待されたレベルに達することを妨げたものと定義することができる。
Below is a list of challenges faced by the Member States encountered in the deployment of the initiatives:  以下は、加盟国がイニシアチブを展開する際に直面した課題のリストである。
•        Rigidity of anchored culture of the ministries responsible for the cybersecurity initiatives in education: The culture, which leads to cybersecurity being treated as a secondary topic (as mentioned in the previous section), leads to a slow pace of change management within these public bodies, which prevents national cybersecurity agencies - or any other organisation designing the initiatives - from deploying them at national level.  ・教育におけるサイバーセキュリティの取り組みを担当する省庁の固定化された文化の硬直性。この文化は、サイバーセキュリティが(前のセクションで述べたように)二次的なトピックとして扱われることにつながり、これらの公的機関における変更管理のペースを遅くし、国のサイバーセキュリティ機関、またはイニシアチブを設計する他の組織が、国レベルでそれらを展開するのを妨げている。
•        Decentralized approach: In Germany and Austria, the country is divided into a number of federal states, which have a certain amount of autonomy at many levels, including in terms of educational strategy. This makes it impossible for them to implement national initiatives, and very difficult to monitor local initiatives.  ・分権的なアプローチ ドイツとオーストリアでは、国がいくつかの連邦州に分割されており、教育戦略の面を含め、多くのレベルで一定の自治権を持っている。そのため、国家的な取り組みを実施することは不可能であり、地域の取り組みを監視することも非常に困難である。
•        Lack of time and resources:   ・時間と資源の不足
o       Teachers’ low availability: In some Member States, initiatives are launched locally with teachers in their free time, which is very limited. It is then very difficult to have them participate due to their low availability.  o 教員の稼働率の低さ。一部の加盟国では、イニシアティブは地元で教師と共に立ち上げられるが、その時間は非常に限られている。その場合、教員の出番が少ないため、教員を参加させることは非常に困難である。
o       Staff turnover: In some Member States, there is a high turnover in the teams working on the initiatives. It is thus difficult to maintain the activities of the initiatives on a long term.  o スタッフの離職率。スタッフの入れ替わり:一部の加盟国では、取り組みに携わるチームの入れ替わりが激しい。そのため、長期的に活動を継続することが難しい。
•        Lack of stakeholder recognition: Stakeholders who participate in initiatives, sometimes in their spare time (e.g., teachers in many Member States), might not receive enough recognition, which could further motivate them to participate in initiatives. For example, it was mentioned that teachers could get a certification or a badge, when they implement an initiative at school and the sense of ownership or confidence, they are given could motivate them further.  ・ステークホルダーの認識不足 多くの加盟国では、教員など、余暇を利用してイニシアティブに参加しているステークホルダーは、十分な評価を得ていない可能性がある。例えば、教師が学校でイニシアチブを実施した場合、認証やバッジを得ることができ、所有感や自信を得ることができれば、さらなる動機付けになるとの意見があった。
•        Need to take into account the different languages spoken in a country: In Luxembourg, Belgium or Austria, for example, initiatives and especially support materials need to be developed in the different languages of the country in order to reach all the students.  ・その国で話されている言語が違うことを考慮する必要がある。例えば、ルクセンブルク、ベルギー、オーストリアでは、すべての生徒に届けるために、その国のさまざまな言語でイニシアチブ、特にサポート教材を開発する必要がある。
5.2  KEY PRIORITIES FOR THE ENISA ROADMAP  5.2 ENISAロードマップの主要な優先事項 
This section presents the key priorities that ENISA should focus on for the EU cybersecurity educational roadmap.   このセクションでは、ENISA が EU のサイバーセキュリティ教育ロードマップのために重点的に取り組むべき主要な優先事項を示します。 
•        Advice on how to approach ministries: For many Member States, the anchored culture of the ministries responsible for the initiatives relegates cybersecurity, and in particular the cybersecurity education field to the background. This makes it difficult to push initiatives at national level and to get funding. Those Member States believe that ENISA is in a strong position to convince the national authorities of the importance of cybersecurity education, and to give them the keys on how to address the challenges.  ・省庁へのアプローチ方法についての助言。多くの加盟国にとって、取り組みを担当する省庁の固定された文化は、サイバーセキュリティ、特にサイバーセキュリティ教育分野を後景に追いやるものである。このため、国家レベルでの取り組みを推進し、資金を得ることが困難になっている。これらの加盟国は、ENISAがサイバーセキュリティ教育の重要性を国家当局に納得させ、課題に対処する方法についての鍵を与える強力な立場にあると信じている。
•        Advice on how to develop initiatives at national level: In some Member States, such as Germany and Austria, the autonomy of the federal states within the country makes it difficult to deploy initiatives at national level, and hampers progress on this area. Those Member States hope that ENISA has the capacity to be the backend/coordinator of the topic and identify and encourage local authorities to develop educational initiatives.  ・国レベルでのイニシアティブの展開方法に関する助言。ドイツやオーストリアなど一部の加盟国では、国内における連邦国家の自治が、国レベルでの取り組みの展開を困難にしており、この分野での進展を妨げている。これらの加盟国は、ENISAがこのテーマのバックエンド/コーディネーターとなり、地方自治体の教育的イニシアティブを特定し、その展開を促す能力を持つことを望んでいる。
•        Visibility on what the other Member States are doing: Many Member States expressed their willingness to compare and discuss existing initiatives deployed in other Member States. By doing so, the Member States would be able to learn from each other and make the most out of each State’s best practices, challenges encountered, and key lessons regarding those initiatives.  ・他の加盟国が行っていることの可視化。多くの加盟国が、他の加盟国で展開されている既存のイニシアチブを比較し、議論することに意欲を示した。そうすることで、加盟国は互いから学び、それぞれの国のベストプラクティス、遭遇した課題、それらのイニシアチブに関する重要な教訓を最大限に活用することができるだろう。
•        Encourage Member States to engage in partnerships with the private sector (e.g., industry): While some Member States already engage in this kind of partnerships (e.g., Italy, Slovenia…), most Member States miss on this opportunity to access more technical / operational point of views, and also to build a multi-disciplinary team. Indeed, this partnership with the private sector would allow to a collaborative approach around decision making process and implementation of cybersecurity innovation initiatives.  ・加盟国に対し、民間部門(産業界など)とのパートナーシップを奨励する。すでにこの種のパートナーシップを結んでいる加盟国もあるが(イタリア、スロベニアなど)、ほとんどの加盟国は、より技術的/運用的な視点にアクセスし、また多分野のチームを構築するこの機会を逃す。実際、民間部門とのパートナーシップは、意思決定プロセスやサイバーセキュリティ・イノベーション・イニシアチブの実施において、協力的なアプローチを可能にするだろう。

 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.11.28 ENISA 欧州におけるサイバーセキュリティに関する高等教育の状況についての報告書を公表

 

 

| | Comments (0)

ENISA European Cybersecurity Skills Framework (ECSF) User Manual & Role Profiles (2022.09.19)

こんにちは、丸山満彦です。

今更ですが、ENISAのSkill関係の報告書のいくつかを見落としていました。。。ということで、まずは、European Cybersecurity Skills Framework (ECSF) 関係です。。。

ENISA

・2022.09.19 European Cybersecurity Skills Framework (ECSF) - User Manual

European Cybersecurity Skills Framework (ECSF) - User Manual 欧州サイバーセキュリティ・スキルフレームワーク(ECSF) - ユーザーマニュアル
The ECSF User Manual provides a comprehensive overview of the ECSF’s main scope, framework principles and application opportunities. The primary purpose of the manual is to make the ECSF easily accessible by, understandable for, and usable by all stakeholders with an active role or a need for appropriately skilled cybersecurity professionals ECSFユーザーマニュアルは、ECSFの主な範囲、フレームワークの原則、適用機会について包括的に説明している。本マニュアルの主な目的は、適切なスキルを持つサイバーセキュリティ専門家の積極的な役割やニーズを持つすべてのステークホルダーがECSFに容易にアクセスでき、理解でき、使用できるようにすることである。

 

・[PDF] European Cybersecurity Skills Framework (ECSF) - User Manual

20230122-230718

目次...

1.   INTRODUCTION  1.   はじめに 
1.1   TARGET AUDIENCE  1.1 想定読者 
1.2   STRUCTURE OF THE MANUAL  1.2 マニュアルの構成 
2.   UNDERSTANDING THE ECSF  2.   ECSFの理解 
2.1   THE ECSF DESIGN PRINCIPLES  2.1 ECSFの設計原則 
2.1.1  Simple yet Comprehensive  2.1.1 シンプルかつ包括的 
2.1.2  Flexible and Scalable  2.1.2 柔軟で拡張性がある 
2.1.3  Open and Impartial  2.1.3 オープンで公平
2.1.4  European  2.1.4 ヨーロッパ的 
2.2   THE MAIN BENEFITS PROVIDED BY THE ECSF  2.2 ECSFが提供する主なメリット 
3.   APPLICATIONS OF THE ECSF  3.   ECSF の応用 
3.1   EMPLOYING CYBERSECURITY PROFESSIONALS – APPLY THE ECSF AS AN ORGANISATION  3.1 サイバーセキュリティの専門家を雇用する - 組織としてECSFを適用する 
3.2   SKILLING CYBERSECURITY PROFESSIONALS – APPLY THE ECSF AS A LEARNING PROVIDER  3.2 サイバーセキュリティの専門家を育成する - 学習プロバイダとしてのECSFを適用する 
3.3   MAKING OWN CAREER CHOICES – APPLY THE ECSF AS AN INDIVIDUAL PROFESSIONAL  3.3 自分のキャリアを選択する - 個人の専門家としてECSFを適用する 
3.4   BUILDING CYBERSECURITY COMMUNITIES – APPLY THE ECSF AS A PROFESSIONAL  ASSOCIATION  3.4 サイバーセキュリティコミュニティを構築する - 専門家集団としての ECSF を適用する 
3.5   EMPOWERING THE SECTOR STRATEGICALLY – APPLY THE ECSF AS A POLICY MAKER  3.5 部門に戦略的な力を与える - 政策立案者としての ECSF を適用する 
4.   TERMS AND DEFINITIONS  4.   用語と定義 
5.   REFERENCES  5.   参考文献 
A   ANNEX: CONNECTING THE ECSF TO OTHER EU STANDARDS  AND FRAMEWORKS  附属書A:ECSFと他のEUの基準やフレームワークとの関連性
A.1   EN16234-1 E-CF A COMMON EUROPEAN REFERENCE FRAMEWORK FOR ICT PROFESSIONALS  IN ALL SECTORS  A.1 EN16234-1 E-CF あらゆる分野の IT 専門家のための欧州共通参照フレームワーク 
A.2   EUROPEAN ICT PROFESSIONAL ROLE PROFILES  A.2 欧州のICT専門家の役割プロファイル 
A.3   EUROPEAN QUALIFICATIONS FRAMEWORK  A.3 欧州の資格フレームワーク 
A.4   ESCO - EUROPEAN CLASSIFICATION OF SKILLS, COMPETENCES AND OCCUPATIONS  A.4 ESCO - スキル、能力、職業に関する欧州の分類 
B   ANNEX: USE CASES  附属書B:ユースケース 
B.1   USE CASE FROM CONCORDIA H2020 PROJECT  B.1 コンコーディア H2020 プロジェクトのユースケース 
B.2   USE CASE FROM SPARTA H2020 PROJECT  B.2 Sparta H2020プロジェクトのユースケース 
B.3   USE CASE FROM INCIBE  B.3 incibeのユースケース 
B.4   USE CASE FROM THE EUROPEAN CYBER SECURITY ORGANISATION (ECSO)  B.4 欧州サイバーセキュリティ機構(Ecso)のユースケース 
B.5   USE CASE FROM ISC2  B.5 ISC2 のユースケース 
B.6   USE CASE FROM ISACA  B.6 Isacaのユースケース 
B.7   USE CASE FROM SANS/GIAC  B.7 SANS/GIACのユースケース 

 

エグゼクティブサマリー

EXECUTIVE SUMMARY  エグゼクティブサマリー 
The cybersecurity workforce shortage and skills gap is a major concern for both economic development and national security. By looking into the problem, ENISA identified Europe’s need for a comprehensive approach to define a set of cybersecurity roles and skills that could be leveraged to reduce the shortage and the skills gap. ENISA has worked on the development of such a framework and presents the European Cybersecurity Skills Framework (ECSF), which is intended to strengthen European cybersecurity culture by providing a common  サイバーセキュリティの人材不足とスキルギャップは、経済発展と国家安全保障の両方にとって大きな懸念事項である。ENISAは、この問題を調べることで、不足とスキルギャップを減らすために活用できる一連のサイバーセキュリティの役割とスキルを定義するための包括的なアプローチの必要性を欧州で確認した。ENISAは、このようなフレームワークの開発に取り組み、欧州サイバーセキュリティ・スキルフレームワーク(ECSF)を発表した。
European language across communities, taking an essential step forward towards Europe’s digital future.  ECSFは、欧州のサイバーセキュリティ文化を強化し、欧州のデジタルな未来に向けた重要な一歩を踏み出すために、コミュニティ間で欧州の共通言語を提供することを目的としている。
The ECSF provides a practical tool to support the identification and articulation of tasks, competences, skills and knowledge associated with the roles of European cybersecurity professionals. The main purpose of the framework is to create a common understanding between individuals, employers and providers of learning programmes across EU Member States, making it a valuable tool to bridge the gap between the cybersecurity professional workplace and learning environments.  ECSFは、欧州のサイバーセキュリティ専門家の役割に関連するタスク、能力、スキル、知識の特定と明確化を支援する実用的なツールを提供する。このフレームワークの主な目的は、EU加盟国の個人、雇用者、学習プログラムの提供者の間で共通の理解を得ることであり、サイバーセキュリティ専門家の職場と学習環境の間のギャップを埋めるための貴重なツールとなっている。
The framework describes the most important requirements of a professional cybersecurity workplace by defining a set of 12 typical cybersecurity professional role profiles. These profiles provide a common understanding of the main cybersecurity missions, tasks and skills needed in a professional cybersecurity context, making it the perfect reference for profiling skills and knowledge needed by cybersecurity professionals. The framework was designed to be easily understood and comprehensive enough to provide appropriate in-depth cybersecurity insights as well as flexible enough to allow customisation based on each user’s needs. By incorporating all stakeholder perspectives, the framework is applicable to all types of organisations and supports the development of all cybersecurity professions.  このフレームワークは、12種類の典型的なサイバーセキュリティ専門家の役割プロファイルを定義することによって、サイバーセキュリティ専門職の最も重要な要件を記述している。これらのプロファイルは、サイバーセキュリティの専門的な状況で必要とされる主なサイバーセキュリティのミッション、タスク、スキルの共通理解を提供し、サイバーセキュリティの専門家が必要とするスキルと知識をプロファイルするための完璧な参考資料となる。このフレームワークは、理解しやすく、サイバーセキュリティに関する深い洞察を提供できるほど包括的であると同時に、各ユーザーのニーズに基づいてカスタマイズできるほど柔軟であるように設計されている。すべての関係者の視点を取り入れることで、このフレームワークはあらゆる種類の組織に適用でき、すべてのサイバーセキュリティ専門家の育成をサポートする。
The ECSF is the result of work conducted by ENISA’s Ad-Hoc Working Group on the European Cybersecurity Skills Framework[1] formed by experts representing various views. The developed framework is based on an analysis of existing frameworks, the results and findings from research on market needs and agreement among experts. User case studies and indicative examples, inspired by various workplace and learning environments, demonstrate the practical implementation of this framework and support this work.  ECSFは、様々な意見を代表する専門家で構成されたENISAの欧州サイバーセキュリティ技能フレームワークに関するアドホックワーキンググループ[1]が行った作業の成果である。開発されたフレームワークは、既存のフレームワークの分析、市場ニーズに関する調査結果や知見、専門家間の合意に基づいている。様々な職場や学習環境から着想を得たユーザ事例や指標となる事例が、このフレームワークの実践を示し、この作業を支援している。
The main benefits of using the ECSF were found to be:  ECSFを使用する主な利点は以下の通りであることが判明した。
•        ensuring a common terminology and shared understanding regarding cybersecurity professionals across the EU;  ・EU全域で,サイバーセキュリティの専門家に関する共通の用語と共通の理解を確保する。
•        identifying the critical skills-set required from the perspective of the cybersecurity workforce to support its further development and enhancement;  ・サイバーセキュリティ人材の観点から必要とされる重要なスキルセットを特定し,そのさらなる開発と強化を支援する。
•        promoting harmonisation in cybersecurity education, training and workforce development programmes.  ・サイバーセキュリティの教育,訓練,人材開発プログラムにおける調和を促進すること。
This ECSF User Manual provides a comprehensive overview of the ECSF’s main scope, framework principles and application opportunities. The primary purpose of the manual is to make the ECSF easily accessible by, understandable for, and usable by all stakeholders with an active role or a need for appropriately skilled cybersecurity professionals.  このECSFユーザーマニュアルは、ECSFの主な範囲、フレームワークの原則、適用機会について包括的な概要を提供している。本マニュアルの主な目的は、適切なスキルを持つサイバーセキュリティ専門家の積極的な役割や必要性を持つすべての関係者が、ECSFに容易にアクセスでき、理解でき、使用できるようにすることである。
The European Cybersecurity Skills Framework (ECSF) is intended to strengthen European cybersecurity culture by providing a common European language across communities, taking an essential step forward towards Europe’s digital future. 欧州サイバーセキュリティ・スキルフレームワーク(ECSF)は、欧州のサイバーセキュリティ文化を強化し、欧州のデジタルな未来に向けて不可欠な一歩を踏み出すために、コミュニティ間で欧州共通言語を提供することを目的としている。

[1] https://www.enisa.europa.eu/topics/cybersecurity-education/european-cybersecurity-skills-framework/adhoc_wg_calls

 

・2022.09.19 European Cybersecurity Skills Framework Role Profiles

European Cybersecurity Skills Framework Role Profiles 欧州サイバーセキュリティ・スキルフレームワークのロールプロファイル
The ECSF role profiles document lists the 12 typical cybersecurity professional role profiles along with their identified titles, missions, tasks, skills, knowledge, competences. The main purpose of this framework is to create a common understanding between individuals, employers and providers of learning programmes across EU Member States, making it a valuable tool to bridge the gap between the cybersecurity professional workplace and learning environments. ECSF の役割プロファイル文書には、12の典型的なサイバーセキュリティ専門家の役割プロファイルが、特定されたタイトル、ミッション、タスク、スキル、知識、コンピテンスとともにリストアップされている。このフレームワークの主な目的は、EU加盟国の個人、雇用者、学習プログラムの提供者の間で共通の理解を得ることであり、サイバーセキュリティ専門家の職場と学習環境の間のギャップを埋めるための貴重なツールとなっている。

 

・[PDF] European Cybersecurity Skills Framework Role Profiles

20230122-234549

・[DOCX] 仮訳

 

目次

1. OVERVIEW 1. 概要
2. PROFILES 2. プロフィル
2.1 CHIEF INFORMATION SECURITY OFFICER (CISO) 2.1 最高情報セキュリティ責任者(CISO)
2.2 CYBER INCIDENT RESPONDER 2.2 サイバーインシデント対応担当者
2.3 CYBER LEGAL, POLICY & COMPLIANCE OFFICER 2.3 サイバー法務・政策・コンプライアンス担当者
2.4 CYBER THREAT INTELLIGENCE SPECIALIST 2.4 サイバー脅威インテリジェンス専門家
2.5 CYBERSECURITY ARCHITECT 2.5 サイバーセキュリティ・アーキテクト
2.6 CYBERSECURITY AUDITOR 2.6 サイバーセキュリティ監査人
2.7 CYBERSECURITY EDUCATOR 2.7 サイバーセキュリティ教育者
2.8 CYBERSECURITY IMPLEMENTER 2.8 サイバーセキュリティ実装者
2.9 CYBERSECURITY RESEARCHER 2.9 サイバーセキュリティ・リサーチャー
2.10 CYBERSECURITY RISK MANAGER 2.10 サイバーセキュリティ・リスクマネージャー
2.11 DIGITAL FORENSICS INVESTIGATOR 2.11 デジタルフォレンジック調査員
2.12 PENETRATION TESTER 2.12 ペネトレーションテスター
3. DELIVERABLES LIBRARY 3. 成果物ライブラリー

 

 

 

 

 


 

■ 参考

米国の場合...

 

NATIONAL INITIATIVE FOR CYBERSECURITY CAREERS AND STUDIES:NICCS

Workforce Framework for Cybersecurity (NICE Framework)

こちらは、、、

  • カテゴリー (7) - 一般的なサイバーセキュリティ機能のハイレベルなグループ化。
  • 専門分野 (33) - サイバーセキュリティの業務における個別の分野。
  • 役割 (52) - 仕事の役割でタスクを実行するために必要な特定の知識、スキル、能力 (KSA) で構成されるサイバーセキュリティの仕事の最も詳細なグループ

スキルを洗い出しているものですね。。。

カテゴリー...

Analyze 分析
Performs highly-specialized review and evaluation of incoming cybersecurity information to determine its usefulness for intelligence. 受信したサイバーセキュリティ情報を高度に専門化したレビューと評価を行い、インテリジェンスとしての有用性を判断する。
Collect and Operate 収集と操作
Provides specialized denial and deception operations and collection of cybersecurity information that may be used to develop intelligence. 専門的な妨害・欺瞞作戦を実施し、インテリジェンス開発に使用される可能性のあるサイバーセキュリティ情報を収集する。
Investigate 調査
Investigates cybersecurity events or crimes related to information technology (IT) systems, networks, and digital evidence. 情報技術(IT)システム、ネットワーク、デジタル証拠に関連するサイバーセキュリティイベントや犯罪を調査する。
Operate and Maintain 運営と維持
Provides the support, administration, and maintenance necessary to ensure effective and efficient information technology (IT) system performance and security. 効果的かつ効率的な情報技術(IT)システムのパフォーマンスとセキュリティを確保するために必要なサポート、管理、保守を提供する。
Oversee and Govern 監督と管理
Provides leadership, management, direction, or development and advocacy so the organization may effectively conduct cybersecurity work. 組織が効果的にサイバーセキュリティ業務を遂行できるように、指導、管理、指示、または開発、擁護を行う。
Protect and Defend 保護と防御
Identifies, analyzes, and mitigates threats to internal information technology (IT) systems and/or networks. 社内の情報技術(IT)システムおよび/またはネットワークに対する脅威を特定し、分析し、軽減させる。
Securely Provision 安全な提供
Conceptualizes, designs, procures, and/or builds secure information technology (IT) systems, with responsibility for aspects of system and/or network development. 情報技術(IT)システムの概念化、設計、調達、構築を行い、システムおよび/またはネットワーク開発の側面を担当する。

 

専門分野

Analyze 分析
All-Source Analysis オールソース分析
Analyzes threat information from multiple sources, disciplines, and agencies across the Intelligence Community. Synthesizes and places intelligence information in context; draws insights about the possible implications. インテリジェンス・コミュニティ内の複数の情報源、分野、機関から得た脅威情報を分析する。インテリジェンス情報を統合し、文脈の中に位置づけ、起こりうる影響についての洞察を導き出す。
Exploitation Analysis エクスプロイト分析
Analyzes collected information to identify vulnerabilities and potential for exploitation. 収集した情報を分析し、脆弱性や悪用される可能性を特定する。
Language Analysis 言語分析
Applies language, cultural, and technical expertise to support information collection, analysis, and other cybersecurity activities. 言語、文化、技術的な専門知識を応用し、情報収集、分析、その他のサイバーセキュリティ活動を支援する。
Targets ターゲット
Applies current knowledge of one or more regions, countries, non-state entities, and/or technologies. 1つまたは複数の地域、国、非国家組織、および/または技術に関する現在の知識を適用する。
Threat Analysis 脅威の分析
Identifies and assesses the capabilities and activities of cybersecurity criminals or foreign intelligence entities; produces findings to help initialize or support law enforcement and counterintelligence investigations or activities. サイバーセキュリティ犯罪者や外国諜報機関の能力と活動を特定・評価し、法執行や防諜の調査・活動の初期化または支援に役立つ知見を提供する。
Collect and Operate 収集と運用
Collection Operations 収集活動
Executes collection using appropriate strategies and within the priorities established through the collection management process. 適切な戦略を用い、収集管理プロセスで確立された優先順位の範囲内で収集を実行する。
Cyber Operational Planning サイバー作戦計画
Performs in-depth joint targeting and cybersecurity planning process. Gathers information and develops detailed Operational Plans and Orders supporting requirements. Conducts strategic and operational-level planning across the full range of operations for integrated information and cyberspace operations. 綿密な共同ターゲティングとサイバーセキュリティの計画プロセスを実行する。情報を収集し、詳細な作戦計画および要件を裏付ける命令を作成する。統合された情報およびサイバースペース運用のための全運用範囲にわたる戦略および運用レベルのプランニングを実施する。
Cyber Operations サイバー作戦
Performs activities to gather evidence on criminal or foreign intelligence entities to mitigate possible or real-time threats, protect against espionage or insider threats, foreign sabotage, international terrorist activities, or to support other intelligence activities. 犯罪者や外国の諜報機関について証拠を収集し、起こりうる脅威やリアルタイムの脅威を緩和し、スパイや内部脅威、外国の破壊工作、国際テロ活動から保護し、その他の諜報活動を支援するための活動を行う。
Investigate 調査
Cyber Investigation サイバー捜査
Applies tactics, techniques, and procedures for a full range of investigative tools and processes to include, but not limited to, interview and interrogation techniques, surveillance, counter surveillance, and surveillance detection, and appropriately balances the benefits of prosecution versus intelligence gathering. あらゆる捜査ツールおよびプロセスの戦術、技術、手順を適用する。これには、取調べや尋問の技術、監視、対抗監視、監視検知などが含まれますが、これらに限定されるものではなく、起訴と情報収集のメリットを適切にバランスさせることができます。
Digital Forensics デジタルフォレンジック
Collects, processes, preserves, analyzes, and presents computer-related evidence in support of network vulnerability mitigation and/or criminal, fraud, counterintelligence, or law enforcement investigations. ネットワーク脆弱性の緩和や犯罪、詐欺、防諜、法執行の調査を支援するために、コンピュータ関連の証拠を収集、処理、保存、分析、提示する。
Operate and Maintain 運用・保守
Customer Service and Technical Support カスタマーサービスとテクニカルサポート
Addresses problems; installs, configures, troubleshoots, and provides maintenance and training in response to customer requirements or inquiries (e.g., tiered-level customer support). Typically provides initial incident information to the Incident Response (IR) Specialty. 問題への対処、インストール、設定、トラブルシューティング、メンテナンスやトレーニングの提供など、顧客の要求や問い合わせに対応する(例:階層別カスタマーサポートなど)。通常、インシデントレスポンス(IR)専門部署に初期インシデント情報を提供する。
Data Administration データ管理
Develops and administers databases and/or data management systems that allow for the storage, query, protection, and utilization of data. データの保存、照会、保護、利用を可能にするデータベースやデータ管理システムを開発・管理する。
Knowledge Management ナレッジマネジメント
Manages and administers processes and tools that enable the organization to identify, document, and access intellectual capital and information content. 組織が知的資本や情報コンテンツを特定し、文書化し、アクセスできるようにするためのプロセスやツールを管理・運用する。
Network Services ネットワークサービス
Installs, configures, tests, operates, maintains, and manages networks and their firewalls, including hardware (e.g., hubs, bridges, switches, multiplexers, routers, cables, proxy servers, and protective distributor systems) and software that permit the sharing and transmission of all spectrum transmissions of information to support the security of information and information systems. 情報および情報システムのセキュリティをサポートするために、情報のあらゆるスペクトル伝送の共有と伝送を可能にするハードウェア(ハブ、ブリッジ、スイッチ、マルチプレクサ、ルータ、ケーブル、プロキシサーバ、保護分配システムなど)およびソフトウェアを含むネットワークおよびそのファイアウォールの設置、設定、テスト、運用、維持、管理。
Systems Administration システム管理
Installs, configures, troubleshoots, and maintains server configurations (hardware and software) to ensure their confidentiality, integrity, and availability. Manages accounts, firewalls, and patches. Responsible for access control, passwords, and account creation and administration. サーバー構成(ハードウェア及びソフトウェア)のインストール、設定、トラブルシューティング、保守を行い、その機密性、完全性、可用性を確保する。アカウント、ファイアウォール、パッチを管理する。アクセスコントロール、パスワード、アカウントの作成と管理を担当。
Systems Analysis システム分析
Studies an organization's current computer systems and procedures, and designs information systems solutions to help the organization operate more securely, efficiently, and effectively. Brings business and information technology (IT) together by understanding the needs and limitations of both. 組織の現在のコンピュータシステムおよび手順を調査し、組織がより安全に、効率よく、効果的に運営できるような情報システムソリューションを設計する。ビジネスと情報技術(IT)双方のニーズと限界を理解し、両者を結びつける。
Oversee and Govern 監督と管理
Cybersecurity Management サイバーセキュリティマネジメント
Oversees the cybersecurity program of an information system or network, including managing information security implications within the organization, specific program, or other area of responsibility, to include strategic, personnel, infrastructure, requirements, policy enforcement, emergency planning, security awareness, and other resources. 情報システムまたはネットワークのサイバーセキュリティプログラムを監督し、組織、特定のプログラム、またはその他の担当領域における情報セキュリティの意味合いを管理し、戦略、人材、インフラ、要件、ポリシー実施、緊急計画、セキュリティ意識、およびその他のリソースを含めることができる。
Executive Cyber Leadership エグゼクティブ・サイバー・リーダーシップ
Supervises, manages, and/or leads work and workers performing cyber and cyber-related and/or cyber operations work. サイバー、サイバー関連、サイバーオペレーション業務を行う業務従事者の監督、管理、指導を行う。
Legal Advice and Advocacy 法的助言と擁護
Provides legally sound advice and recommendations to leadership and staff on a variety of relevant topics within the pertinent subject domain. Advocates legal and policy changes, and makes a case on behalf of client via a wide range of written and oral work products, including legal briefs and proceedings. 関連する領域内の様々なトピックについて、リーダーシップやスタッフに対し、法的に適切なアドバイスや提案を行う。また、法律や政策の変更を主張し、クライアントのために、法律概要書や訴訟手続きなど、幅広い書面や口頭の成果物を通じて主張する。
Program/Project Management and Acquisition プログラム・プロジェクト管理および取得
Applies knowledge of data, information, processes, organizational interactions, skills, and analytical expertise, as well as systems, networks, and information exchange capabilities to manage acquisition programs. Executes duties governing hardware, software, and information system acquisition programs and other program management policies. Provides direct support for acquisitions that use information technology (IT) (including National Security Systems), applying IT-related laws and policies, and provides IT-related guidance throughout the total acquisition life cycle. データ、情報、プロセス、組織の相互作用、スキル、分析的専門知識、およびシステム、ネットワーク、情報交換能力に関する知識を適用し、取得プログラムを管理する。ハードウェア、ソフトウェア、情報システムの取得プログラムおよびその他のプログラム管理方針を管理する職務を遂行する。情報技術(IT)(国家安全保障システムを含む)を使用する買収を直接支援し、IT関連の法律や政策を適用し、買収のライフサイクル全体を通じてIT関連のガイダンスを提供する。
Strategic Planning and Policy 戦略的計画・政策
Develops policies and plans and/or advocates for changes in policy that support organizational cyberspace initiatives or required changes/enhancements. 組織のサイバースペースイニシアチブや必要な変更・強化をサポートする政策・計画の策定や政策変更の提唱を行う。
Training, Education, and Awareness トレーニング、教育、意識向上
Conducts training of personnel within pertinent subject domain. Develops, plans, coordinates, delivers and/or evaluates training courses, methods, and techniques as appropriate. 関連する主題領域における要員のトレーニングを実施する。適切なトレーニングコース、方法、技術を開発、計画、調整、提供、評価する。
Protect and Defend 保護と防衛
Cyber Defense Analysis サイバー防衛分析
Uses defensive measures and information collected from a variety of sources to identify, analyze, and report events that occur or might occur within the network to protect information, information systems, and networks from threats. 情報、情報システム、ネットワークを脅威から守るために、防御策や様々なソースから収集した情報を使用して、ネットワーク内で発生した、または発生する可能性のあるイベントを特定、分析、報告する。
Cyber Defense Infrastructure Support サイバーディフェンスインフラストラクチャサポート
Tests, implements, deploys, maintains, reviews, and administers the infrastructure hardware and software that are required to effectively manage the computer network defense service provider network and resources. Monitors network to actively remediate unauthorized activities. コンピュータネットワーク防御サービスプロバイダのネットワークとリソースを効果的に管理するために必要なインフラのハードウェアとソフトウェアのテスト、実装、展開、維持、レビュー、管理を行います。ネットワークを監視し、不正な活動を積極的に是正する。
Incident Response インシデントレスポンス
Responds to crises or urgent situations within the pertinent domain to mitigate immediate and potential threats. Uses mitigation, preparedness, and response and recovery approaches, as needed, to maximize survival of life, preservation of property, and information security. Investigates and analyzes all relevant response activities. 危機や緊急事態に対応し、緊急かつ潜在的な脅威を軽減する。必要に応じて、緩和、準備、対応と復旧のアプローチを使用し、人命の生存、財産の保全、情報セキュリティを最大化する。関連するすべての対応活動を調査・分析する。
Vulnerability Assessment and Management 脆弱性の評価と管理
Conducts assessments of threats and vulnerabilities; determines deviations from acceptable configurations, enterprise or local policy; assesses the level of risk; and develops and/or recommends appropriate mitigation countermeasures in operational and nonoperational situations. 脅威と脆弱性の評価を実施し、許容される設定、企業または地域のポリシーからの逸脱を判断し、リスクのレベルを評価し、運用中および非運用中の状況において適切な緩和策を開発および/または推奨する。
Securely Provision 安全な提供
Risk Management リスク管理
Oversees, evaluates, and supports the documentation, validation, assessment, and authorization processes necessary to assure that existing and new information technology (IT) systems meet the organization's cybersecurity and risk requirements. Ensures appropriate treatment of risk, compliance, and assurance from internal and external perspectives. 既存及び新規の情報技術(IT)システムが組織のサイバーセキュリティ及びリスク要件を満たすことを保証するために必要な文書化、検証、評価、承認プロセスを監督、評価、サポートする。社内外の視点から、リスク、コンプライアンス、保証の適切な取り扱いを保証する。
Software Development ソフトウェア開発
Develops and writes/codes new (or modifies existing) computer applications, software, or specialized utility programs following software assurance best practices. ソフトウェア保証のベストプラクティスに従って、新しい(または既存の)コンピュータアプリケーション、ソフトウェア、または特殊なユーティリティプログラムを開発し、記述/コード化する。
Systems Architecture システムアーキテクチャー
Develops system concepts and works on the capabilities phases of the systems development life cycle; translates technology and environmental conditions (e.g., law and regulation) into system and security designs and processes. システムコンセプトを開発し、システム開発ライフサイクルの能力フェーズに取り組み、技術や環境条件(法律や規制など)をシステムおよびセキュリティの設計とプロセスに反映させる。
Systems Development システム開発
Works on the development phases of the systems development life cycle. システム開発ライフサイクルの開発フェーズを担当する。
Systems Requirements Planning システム要件計画
Consults with customers to gather and evaluate functional requirements and translates these requirements into technical solutions. Provides guidance to customers about applicability of information systems to meet business needs. 顧客と相談し、機能要件を収集・評価し、これらの要件を技術的なソリューションに変換する。ビジネスニーズを満たすための情報システムの適用性について、顧客にガイダンスを提供する。
Technology R&D 技術研究開発
Conducts technology assessment and integration processes; provides and supports a prototype capability and/or evaluates its utility. 技術評価と統合プロセスの実施、プロトタイプ能力の提供・サポート、およびその実用性の評価。
Test and Evaluation テスト・評価
Develops and conducts tests of systems to evaluate compliance with specifications and requirements by applying principles and methods for cost-effective planning, evaluating, verifying, and validating of technical, functional, and performance characteristics (including interoperability) of systems or elements of systems incorporating IT. ITを組み込んだシステムまたはシステムの要素の技術的、機能的、性能的特性(相互運用性を含む)をコスト効率よく計画、評価、検証、確認するための原則と方法を適用し、仕様と要件への準拠を評価するためのシステムのテストを開発し実施する。

 

 

| | Comments (0)

2023.01.22

読みました! 「CISOのための情報セキュリティ戦略 - 危機から逆算して攻略せよ」

こんにちは、丸山満彦です。

プリファードネットワークのCISO, CPOを務める高橋正和さんの著書、「CISOのための情報セキュリティ戦略 - 危機から逆算して攻略せよ」[amazon] を読み終えました。。。

20230122-12623

 

本書がどんな本かは、前書きから、、、


セキュリティ事件・事故のシナリオに基づいた机上演習フレームワークをCISO-PRACTSIEと呼称し、経営者がセキュリティの文脈を理解し、CISOを始めとしたセキュリティ担当者が、経営視点や事業視点を身につける機会として事件・事故を想定し、そこから逆算して対策の検証を行う手法を提案します。


詳細に、丁寧に書かれていますね。。。

参考になるところが、あちこちにあると思います。是非是非。。。

 

 

ところで、この机上演習ですが、、、以下の資料を参考にしていますね。。。

JPCERT/CC

・2016.03.31 [PDF] 高度サイバー攻撃(APT)への備えと対応ガイド~企業や組織に薦める一連のプロセスについて

1_20230122014201

図 18:様々な演習と効果

ただ、このJPCERT/CCのガイドの図はどこからきたのですかね。。。

 

この辺り(国家安全保障省のHomeland Security Exercise and Evaluation Program)からですかね。。。これ自体は2020年のものですが、2013年発行の前のバージョンがあったのです。。。

Homeland Security Agency

Homeland Security Exercise and Evaluation Program (HSEEP)

Homeland Security Exercise and Evaluation Program 国土安全保障演習と評価プログラム
Exercises are a key component of national preparedness — they provide the whole community with the opportunity to shape planning, assess and validate capabilities, and address areas for improvement. HSEEP provides a set of guiding principles for exercise and evaluation programs, as well as a common approach to exercise program management, design and development, conduct, evaluation, and improvement planning. 演習は国家的な準備態勢の重要な要素であり、地域社会全体に計画を形成し、能力を評価・検証し、改善すべき分野に対処する機会を提供するものである。 HSEEPは、演習と評価プログラムのための一連の指導原則と、演習プログラムの管理、設計と開発、実施、評価、および改善計画に対する共通のアプローチを提供する。
Through the use of HSEEP, the whole community can develop, execute, and evaluate exercises that address the preparedness priorities. These priorities are informed by risk and capability assessments, findings, corrective actions from previous events, and external requirements.  These priorities guide the overall direction of an exercise program and the design and development of individual exercises. HSEEPの利用により、地域社会全体が準備の優先順位に対応した演習を開発、実施、評価することができる。 これらの優先事項は、リスクと能力の評価、所見、過去の事象からの是正措置、および外部要件によってもたらされる。  これらの優先順位は、演習プログラムの全体的な方向性と個々の演習の設計と開発の指針となる。
These priorities guide planners as they identify exercise objectives and align them to capabilities for evaluation during the exercise. Exercise evaluation assesses the ability to meet exercise objectives and capabilities by documenting strengths, areas for improvement, capability performance, and corrective actions in an After-Action Report/Improvement Plan (AAR/IP). Through improvement planning, organizations take the corrective actions needed to improve plans, build and sustain capabilities, and maintain readiness. これらの優先順位は、計画者が演習の目的を特定し、演習中に評価するための能力と整合させる際の指針となる。演習の評価では、演習の目的および能力を満たすために、強み、改善すべき点、能力のパフォーマンス、および是正措置を事後報告/改善計画(AAR/IP)に文書化することによって評価する。改善計画を通じて、組織は計画を改善し、能力を構築・維持し、即応性を維持するために必要な是正措置を講じる。
 ・[PDF] Homeland Security Exercise and Evaluation Program Doctrine 国土安全保障演習・評価プログラムのドクトリン
・[PDF] El Programa de Evaluación y Ejercicios de Seguridad Nacional 国土安全保障評価演習プログラム
・[PDF] HSEEP Information Sheet HSEEP情報シート
・[PDF] HSEEP Frequently Asked Questions 2020 HSEEPよくある質問2020

 

 

・[PDF] Homeland Security Exercise and Evaluation Program Doctrine

 

20230122-33035

 

演習は、大きく

  1. ディスカッションベース:セミナー、ワークショップ、机上演習(TTX)、ゲーム
  2. オペレーションベース:ドリル、機能演習 (FE) 、総合演習(FSE

の2パターンを示していますね。。。

 


1. ディスカッションベースの演習

ディスカッション形式の演習には、セミナー、ワークショップ、机上演習(TTX)、ゲームなどがある。この種の演習は、計画、方針、手順、および協定に慣れ親しんだり、新しいものを開発したりするものである。ディスカッションベースの演習は、戦略的、政策的な問題に焦点を当て、ファシリテーターやプレゼンターが議論をリードし、参加者が演習の目的を達成するために動き続けるものである。次の表(表2.3, 表2.4、表2.5、表2.6)にはそれぞれのタイプのディスカッションベースの演習の重要な情報が記載されている。

表2.3:ディスカッション型演習の種類:セミナー

セミナー
当局、戦略、計画、方針、手順、プロトコル、リソース、概念、およびアイデアについて参加者に説明する、または概要を提供するディスカッションベースの演習。 
要素  考察と活動 
目的  •        共通の理解の枠組みを提供する
•        既存の計画、方針、または手順を開発または大きく変更するための良い出発点を提供する。
構造  •        通常、複数のプレゼンテーション、主題専門家(SME)パネル、またはケーススタディ・ディスカッションの形式で行われる。
•        講義形式
•        セミナーのファシリテーター/プレゼンターが主導する
•        参加者からのフィードバックやインタラクションが少ない 
参加者の目標  •         省庁間の能力または管轄区域間の業務に対する認識を得る、または評価する。
•        将来の能力に関する目標を設定する
実施上の特徴  •        最小限の時間的制約
•        少人数でも大人数でも効果的
成果  •         議論、提起された問題、および(適切な場合)これらの問題に対処するためのアクションアイテムを記録した報告書
•        アフターアクションレポート(AAR)/改善計画(IP) 

 

表2.4:ディスカッション型演習の種類:ワークショップ

ワークショップ
政策、計画、手順の策定によく用いられる議論ベースの演習。 
要素  考察と活動 
目的  •        製品の実現や構築にフォーカスした参加者同士の交流の活発化
•        目的、製品、または目標が明確に定義され、特定の問題に焦点を当てたものであること
構造  •        ディスカッションができる場での個人の集まり
•        講義、プレゼンテーション、パネルディスカッション、ケーススタディーディディスカッション、または意思決定支援ツール ワーキングブレイクアウトセッションのファシリテーション ワークショップのファシリテーター/プレゼンターがリードする 
参加者の目標  •        グループでの製品開発
•        コンセンサスを得る
•        情報の収集または共有 
実施上の特徴  •        少人数でも大人数でも効果的
•        関連するステークホルダーが幅広く参加
•        明確な目的・目標に基づく実施
•        講義形式ではなく、参加者同士のディスカッション形式
•        同じようなグループと課題の一部を探索するために、頻繁にブレイクアウトセッションを利用する 
成果  •        緊急時対応計画
•        相互援助協定
•        標準作業手順書
•         事業継続計画
•        ワークショップ概要報告
•        アフターアクションレポート(AAR)/改善計画(IP) 

 

表2.5:ディスカッション型演習のタイプ:机上演習

机上演習 Tabletop Exdercise (TTX)
概念的な理解を促進し、長所と改善点を明らかにし、計画、政策、または手続きに関する認識の変化を達成するために、さまざまな問題について対話を行うことを目的とした、シナリオに応じたディスカッションベースの演習である。 
要素  考察と活動 
目的  •        演習シナリオに関する様々な課題についての議論を行う
•        概念的な理解を促進し、強みと改善点を明らかにする、または認識の変化を達成する
構造  •        シナリオを提示し、模擬的な時間における事象を説明する
•        プレイヤーは、ファシリテーターから提示された問題のリストに自分の知識とスキルを適用する
•         問題点をグループで話し合い、解決に至り、後の分析のために文書化することができる
•        全体会議または分科会(複数可)
•        ファシリテーター(複数)によるディスカッション
•        プレゼンテーション 
参加者の目標  •        一般的な認知度の向上
•        役割と責任の理解を深める
•        計画や手順の妥当性確認
•        定義されたインシデントにおけるシステムの種類を評価し、コンセプトを議論する 
実施上の特徴  •        経験豊富なファシリテーターが必要
•        徹底討論
•        問題解決型の環境
•        参加者全員が議論に貢献するよう奨励し、無過失責任な環境で意思決定していることを再認識させる必要がある 
成果  •        現行の計画、方針、手順の改訂を推奨する。
•        アフターアクションレポート(AAR)/改善計画(IP) 

 

表2.6:ディスカッション型演習の種類:ゲーム

ゲーム
個人またはチーム向けに設計された、競技または非競争環境での構造化されたプレイであり、議論に基づいたエクササイズ。プレーヤーが参加するイベントであり、その実行には明確なルール、データ、手順が指導される。ゲームは、実際の状況または仮想の状況を描写し、参加者がもっともらしい意思決定と行動を確実に行えるように設計されている。ゲームは、トレーニングの強化、チームビルディングの活性化、作戦・戦術能力の向上などに利用することができる。 
要素  考察と活動 
目的  •        プレイヤーの意思決定や行動の帰結を探る操作シミュレーション
•        重要な意思決定ポイントの特定は、ゲーム評価の成功に大きく影響する 
構造  •        通常、2つ以上のチームが参加できる環境において、実際の状況または仮想の状況を想定したルール、データ、手順を使用する
•         意思決定は、演習のデザインと目的によって、ゆっくりじっくり行うことも、素早くストレスのかかることを行うこともできます
•        ゲームのオープンで意思決定に基づく形式は、エクササイズの効果を拡大する「もしも」の質問を取り入れることができる
•        ゲームのデザインによって、プレイヤーの行動の結果は、事前に記述される場合と動的に決定される場合がある 
参加者の目標  •        意思決定のプロセスと結果を探る
•        既存プランの「what-if」分析の実施
•        既存および潜在的な戦略を評価する 
実施上の特徴  •        実際に使用するリソースはない
•        多くの場合、2つ以上のチームが参加する
•        ゲームの進行に応じて複雑化するモデルやシミュレーションが含まれる場合がある
•        あらかじめ用意されたアクティビティが含まれる場合と含まれない場合がある 
成果  •        計画、方針、手順の妥当性確認、またはリソース要件の評価
•        アフターアクションレポート(AAR)/改善計画(IP) 

 

 

 

2. ディスカッションベースの演習

オペレーションベースの演習には、ドリル、機能演習(FE)、および総合演習(FSE)が含まれる。これらの演習は、計画、方針、手順、および合意を検証し、役割と責任を明確にし、リソースのギャップを特定するものである。運用に基づく演習は、通信の開始、人員及び資源の動員などのリアルタイムの応答を含む。次の表(表2.7、表2.8、表2.9)は、それぞれのタイプのオペレーションベースの演習のための重要な情報を提供する。

 

表2.7:オペレーションベースの演習の種類:ドリル

ドリル
オペレーションに基づく演習で、単一のオペレーションまたは機能を検証するためによく採用される。 
要素  考察と活動 
目的  •         単一の機関/組織における特定の機能または能力を検証するため調整され、監督された活動で、多くの場合、単一の操作または機能を検証するために使用される
•        新しい機器のトレーニング、手順の検証、または現在のスキルの練習と維持の提供 
構造  •        単体でも、連続したドリルとしても使用可能
•        明確に定義された計画、手順、プロトコルを実施する必要がある 
参加者の目標  •        新しい手順、方針、および/または機器を評価する
•         スキルの練習と維持
•        今後の演習に備える
実施上の特徴  •        即時フィードバック
•        リアルな環境
•        ナローフォーカス
•        単体での性能
•        結果は、確立された基準に照らして測定される 
成果  •        計画が設計通りに実行されるかどうかを判断する
•        さらなるトレーニングが必要かどうかを評価する
•        ベストプラクティスの強化
•        アフターアクションレポート(AAR)/改善計画(IP) 

 

表2.8:オペレーションベースの演習の種類。機能演習

機能演習Function Exercise(FE)
オペレーションベースの演習は、現実的なリアルタイムの環境下で、能力や機能をテストし評価するように設計されているが、リソースの移動は通常シミュレートされる。 
要素  考察と活動 
目的  •        能力、複数の機能及び/又は下位機能、又は相互依存のある活動群を検証し評価する。
•        管理、指揮、統制の機能に関わる計画、方針、手順、スタッフについて演習する。
•        危機的状況下で、確立されたプラン、ポリシー、手順を適用する 
構造  •        現実的な演習シナリオでイベントが投影され、イベントの更新により、通常、管理者レベルでの活動が促進される
•        コントローラは通常、マスターシナリオイベントリスト(MSEL)を使用して、参加者の活動が事前に定義された境界線内に収まるようにする
•        評価者は行動を観察し、確立された計画、方針、手順、標準的な実践(該当する場合)に照らして比較する。
参加者の目標  •        能力の検証・評価
•        計画、方針、手続きに重点を置く
実施上の特徴  •        現実的な環境で実施
•        通常、リソースと人員の配置をシミュレートしている
•        シミュレーションセルとマスターシナリオイベントリスト(MSEL)の活用
•        シミュレーターはシナリオの要素を注入することができる
•        コントローラーと評価者を含む 
成果  •        緊急時対応センター(EOC)、指揮所、本部、スタッフの管理評価
•        パフォーマンス分析
•        協力関係の強化
•        アフターアクションレポート(AAR)/改善計画(IP) 

 

表2.9:オペレーションベースの演習の種類:総合演習

総合演習 Full-Scale Exercise (FSE)
演習の種類の中で最も複雑で資源を必要とし、多くの場合、複数の機関、管轄区域/組織、および資源のリアルタイムの移動を伴うオペレーションベースの演習である。 
要素  考察と活動 
目的  •        ICS(インシデント・コマンド・システム)のような協力体制のもとで活動する多くのプレーヤーを含むことが多い
•        ディスカッション形式の演習で作成され、以前の小規模な演習で磨かれた計画、方針、手順の実施と分析に重点を置いている。
構造  •        イベントは演習シナリオを通して投影され、イベントのアップデートによりオペレーションレベルでの活動が促進される
•        複数の機関、組織、管轄区域が関与していること
•        MSELの使用は、プレイヤーの行動を促進する
•        SimCellコントローラは、シナリオ要素を注入する
•        他のタイプのエクササイズに比べ、必要なサポートのレベルが高い可能性がある
•        複雑な問題を提示し、実際の事件を反映させたリアルな環境で実施
参加者の目標  •        計画や手順で示された役割と責任を実証する
•        複数の機関、組織、管轄区域の間の調整 
実施上の特徴  •        迅速な問題解決、クリティカルシンキング
•        人材とリソースの動員
•        運動場は通常、多くの活動が同時に行われる大規模なものである
•        サイトロジスティクスの綿密なモニタリングが必要
•        特に小道具や特殊効果の使用に関する安全性の問題を監視する必要がある
•        計画や手順で示された役割と責任を実証する 
成果  •        計画、方針、手順の妥当性確認
•        リソース要求の評価
•        アフターアクションレポート(AAR)/改善計画(IP) 

 

 

| | Comments (0)

JIS X 9252:2023 情報技術―オンラインにおけるプライバシーに関する通知及び同意

こんにちは、丸山満彦です。

「JIS X 9252:2023 情報技術―オンラインにおけるプライバシーに関する通知及び同意」が公開されていますね。。。

国際標準である"ISO/IEC 29184:2020 Information technology — Online privacy notices and consent" を日本規格にしたものですね。。。3,630円です(^^)

日本規格グループ

・2023.01.20 JIS X 9252:2023 情報技術―オンラインにおけるプライバシーに関する通知及び同意 Information technology -- Online privacy notices and consent

規格概要:PIIの収集及び処理について,オンラインにおけるプライバシーに関する通知の内容及び構成並びにPII主体に同意を求めるプロセスを方向付ける管理策について規定。

・[PDF] プレビュー(最初の5ページ)

20230122-04743

 

目次...

序文
1 適用範囲
2 引用規格
3 用語及び定義。
4 記号及び路語
5 一般要求事項及び推奨事項
 5.1 全体的な目的
 5.2 通知
 5.3 通知内容
 5.4 同意
 5.5 条件の変更
附属書A(参考)PC 及びスマートフォンから PIT 主体の同意を得る場合のユーザーインターフェースの例
附属書B(参考)同意領収書又は同意記録書の例
参考文献
解説

 

ISO

・2020.06 ISO/IEC 29184:2020 Information technology — Online privacy notices and consent

Preview

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.10.18 日本産業標準調査会 意見募集 「JISQ15001 個人情報保護マネジメントシステム-要求事項」と「JISX9252 情報技術-オンラインにおけるプライバシーに関する通知及び同意」

・2022.07.09 総務省 プラットフォームサービスに関する研究会 第二次とりまとめ(案)についての意見募集 (2022.07.04)

・2020.07.16 JIPDEC ”プライバシーに関する国際標準化動向及びEDPBガイドライン”

 

崎村さんのブログ

@_Nat Zone

・2022.10.19 JIS X 9252 『オンラインにおけるプライバシーに関する通知及び同意』に関する意見受付公告が開始されました

 

| | Comments (0)

2023.01.21

米国 NIST サイバーセキュリティフレームワークの改訂の方向性(CSF2.0に向けて...)

こんにちは、丸山満彦です。

NISTのサイバーセキュリティフレームワーク (CSF) は重要インフラ組織における外部脅威への対応という面から見ると網羅性が高いこともあって、2014年2月に公開されてから、重要インフラではない民間企業も含めて広く利用されているところがありますよね。。。

現在は、2018年4月に発行された Ver1.1ですが、それを2024年初めを目標にVer2.0にあげようということですね。。。

変更のポイント

  1. 潜在的用途を明確にする
  2. 既存の標準やリソースとの関連性を提供
  3. ガイダンスの拡張
  4. ガバナンスの重要性の強調
  5. サプライチェーンの重要性の強調
  6. サイバーセキュリティの測定と評価に関する理解の促進

という感じですね。。。

NIST - ITL

・2023.01.19 Concept Paper Released | Comment on Proposed Significant Updates to the CSF & Register for In-Person Event

 

コンセプトペーパーは、今後開催される2つのイベントで議論される予定のようです・・・

1. CSF2.0への旅 ワークショップ#2 (バーチャル) :2023.02.15 登録と詳細

2. CSF2.0への旅 ワーキングショップ (オンサイト) :2023.02.22 (9:00 AM - 1:00 PM EST) , 2023.02.23 (1:00 - 5:00 PM EST), NIST National Cybersecurity Center of Excellence in Rockville, MD. 参加者は、ワーキングセッションでNISTスタッフや専門家とコンセプトペーパーについて話し合うので、申し込みは1つのセッションにのみ。参加人数は非常に限られている。登録

 

・[PDF]  NIST Cybersecurity Framework 2.0 Concept Paper: Potential Significant Updates to the Cybersecurity Framework

20230121-32350

・[DOCX] 仮訳

 

 

Introduction はじめに
Potential Significant Changes in CSF 2.0 CSF2.0における潜在的な重要性のある変更点
1. CSF 2.0 will explicitly recognize the CSF’s broad use to clarify its potential applications 1. CSF2.0では、CSFの幅広い用途を明示的に認識し、その潜在的な用途を明確にする
1.1. Change the CSF’s title and text to reflect its intended use by all organizations 1.1. CSFのタイトルとテキストを変更し、すべての組織が使用することを意図していることを反映させる
1.2. Scope the CSF to ensure it benefits organizations regardless of sector, type, or size 1.2. セクター、タイプ、または規模に関係なく、CSFが組織に利益をもたらすように範囲を設定する。
1.3. Increase international collaboration and engagement 1.3. 国際的なコラボレーションとエンゲージメントの拡大
2. CSF 2.0 will remain a framework, providing context and connections to existing standards and resources 2. CSF 2.0は、既存の標準やリソースとの関連性を提供し、フレームワークとして存続する。
2.1. Retain CSF’s current level of detail 2.1. CSFの現在の詳細レベルを維持する
2.2. Relate the CSF clearly to other NIST frameworks 2.2. CSF と他の NIST フレームワークとの明確な関連性
2.3. Leverage Cybersecurity and Privacy Reference Tool for online CSF 2.0 Core 2.3. サイバーセキュリティとプライバシーのリファレンスツールをCSF2.0コアにオンラインで活用する。
2.4. Use updatable, online Informative References 2.4. 更新可能なオンライン参考文献を使用する
2.5. Use Informative References to provide more guidance to implement the CSF 2.5. CSFを実施するための詳しいガイダンスを提供するために「参考文献」を使用する。
2.6. Remain technology- and vendor-neutral, but reflect changes in cybersecurity practices 2.6. 技術やベンダーの中立性を保ちつつ、サイバーセキュリティの実践の変化を反映させる。
3. CSF 2.0 (and companion resources) will include updated and expanded guidance on Framework implementation 3. CSF2.0(および関連リソース)には、フレームワークの実施に関する更新および拡張されたガイダンスが含まれる。
3.1. Add implementation examples for CSF Subcategories 3.1. CSFサブカテゴリの実装例追加
3.2. Develop a CSF Profile template 3.2. CSFプロファイルのテンプレートの作成
3.3. Improve the CSF website to highlight implementation resources 3.3. CSFウェブサイトを改善し、導入リソースを強調する
4. CSF 2.0 will emphasize the importance of cybersecurity governance 4. CSF2.0では、サイバーセキュリティガバナンスの重要性が強調される。
4.1. Add a new Govern Function 4.1. 新しいガバメント機能の追加
4.2. Improve discussion of relationship to risk management 4.2. リスクマネジメントとの関連性についての議論の改善
5. CSF 2.0 will emphasize the importance of cybersecurity supply chain risk management (C-SCRM) 5. CSF2.0では、サイバーセキュリティ・サプライチェーン・リスク管理(C-SCRM)の重要性が強調される。
5.1. Expand coverage of supply chain 5.1. サプライチェーンへの適用範囲拡大
6. CSF 2.0 will advance understanding of cybersecurity measurement and assessment 6. CSF 2.0は、サイバーセキュリティの測定と評価に関する理解を促進する。
6.1. Clarify how leveraging the CSF can support the measurement and assessment of cybersecurity programs 6.1. CSF を活用することで、サイバーセキュリティプログラムの測定と評価をどのように支援できるかを明確にする。
6.2. Provide examples of measurement and assessment using the CSF 6.2. CSFを用いた測定・評価の例を示す。
6.3. Update the NIST Performance Measurement Guide for Information Security 6.3. 情報セキュリティのためのNISTパフォーマンス測定ガイドの更新
6.4. Provide additional guidance on Framework Implementation Tiers 6.4. フレームワーク実施段階に関する追加ガイダンスを提供する

 

■ 参考

Updating the NIST Cybersecurity Framework – Journey To CSF 2.0

 

連邦通達

Federal Register

・2022.02.22 Evaluating and Improving NIST Cybersecurity Resources: The Cybersecurity Framework and Cybersecurity Supply Chain Risk Management

 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.10.07 米国 NIST 国際的活動に関する最新情報:CSF2.0アップデートワークショップなど (2022.09.30)

 

| | Comments (0)

2023.01.20

EDPB 公共部門によるクラウドサービス利用のためのプライバシーに関する勧告を決定、クッキー バナータスクフォースの報告書を採択

こんにちは、丸山満彦です。

EDPBが、

  1. 公共部門によるクラウドサービス利用のためのプライバシーに関する勧告を決定し、
  2. クッキー バナータスクフォースの報告書 (2021.09.27) を採択

していますね。。。

 

EDPB

・2022.01.18 EDPB determines privacy recommendations for use of cloud services by public sector & adopts report on Cookie Banner Task Force

EDPB determines privacy recommendations for use of cloud services by public sector & adopts report on Cookie Banner Task Force EDPB、公共部門によるクラウドサービス利用のためのプライバシーに関する勧告を決定、クッキー バナータスクフォースの報告書を採択
Brussels, 18 January - Commissioner for Justice Didier Reynders participated in the Plenary meeting. He presented the draft adequacy decision for the EU-U.S. Data Privacy Framework to the Board and had an exchange of views with its Members. The Board is currently working on its opinion on the draft decision, which will be finalised in the coming weeks. ブリュッセル、1月18日 - ディディエ・レインダース欧州委員会司法担当委員は、全体会合に参加した。 同委員は、EU-米国データ・プライバシー・フレームワークの妥当性決定案を理事会に提出し、理事会メンバーとの意見交換を行った。理事会は現在、決定書案に対する意見書を作成中であり、今後数週間のうちに最終決定がなされる予定である。
The EDPB has adopted a report on the findings of its first coordinated enforcement action, which focused on the use of cloud-based services by the public sector. The EDPB underlines the need for public bodies to act in full compliance with the GDPR and includes recommendations for public sector organisations when using cloud-based products or services. In addition, a list of actions already taken by data protection authorities (DPAs) in the field of cloud computing is made available.  EDPBは、公共部門によるクラウドベースのサービスの利用に焦点を当てた、最初の協調的執行措置の結果に関する報告書を採択した。EDPBは、公共機関がGDPRを完全に遵守して行動する必要性を強調し、公共機関がクラウドベースの製品またはサービスを使用する際の推奨事項を含んでいる。さらに、クラウドコンピューティングの分野でデータ保護当局(DPA)がすでに取っている措置のリストが公開されている。 
Andrea Jelinek, Chair of the European Data Protection Board said: “The Coordinated Enforcement Framework (CEF) pilots deeper collaboration methods between DPAs to achieve better efficiency and consistency. Across Europe, public sector organisations are turning to cloud services and they face difficulties in obtaining GDPR-compliant services and products. Personal data handled by public services must be treated with utmost care, especially when processed by a third party. The EDPB CEF 2022 report provides a useful yardstick for this and I trust it will become an important point of reference for public bodies looking at sourcing GDPR-compliant cloud services.” 欧州データ保護委員会のAndrea Jelinek委員長は、次のように述べてた。「調整された執行フレームワーク(CEF)は、より良い効率性と一貫性を実現するために、DPA間のより深い協力方法を試験的に導入するものである。欧州全域で、公共機関はクラウドサービスを利用するようになっており、GDPRに準拠したサービスや製品を入手することの難しさに直面している。公共サービスが扱う個人データは、特に第三者によって処理される場合、最大限の注意を払って扱われなければなりません。EDPB CEF 2022レポートはそのための有用な基準を提供しており、GDPRに準拠したクラウドサービスの調達を検討している公共機関にとって重要な参考資料となることを信じている。」
In the course of 2022, 22 DPAs across the EEA (including the EDPS)* launched coordinated investigations into the use of cloud-based services by the public sector. 2022年の間に、EEAの22のDPA(EDPSを含む)*が、公共部門によるクラウドベースのサービス利用について協調的な調査を開始した。
Around 100 public bodies in total were addressed across the EEA, including European institutions, covering a wide range of sectors (such as health, finance, tax, education, buyers and providers of IT services). 欧州機関を含むEEA全域で、幅広い分野(医療、金融、税務、教育、ITサービスの買い手やプロバイダなど)を対象に、合計約100の公共機関が対象となった。
The CEF is a key action of the EDPB under its 2021-2023 Strategy, aimed at streamlining enforcement and cooperation among SAs. The CEF 2023 action will be on the designation and role of the Data Protection Officer (DPO). CEFは、EDPBの2021-2023年戦略における重要なアクションであり、執行とSA間の協力の合理化を目的としている。CEFの2023年のアクションは、データ保護責任者(DPO)の指定と役割に関するものである。
In addition, the EDPB adopted a report on the work undertaken by the Cookie Banner Task Force, which was established in September 2021 to coordinate the response to complaints concerning cookie banners filed with several EEA DPAs by NGO NOYB. The Task Force aimed to promote cooperation, information sharing and best practices between the DPAs, which was instrumental in ensuring a consistent approach to cookie banners across the EEA. In the report, the DPAs agreed upon a common denominator in their interpretation of the applicable provisions of the ePrivacy Directive and of the GDPR, on issues such as reject buttons, pre-ticked boxes, banner design, or withdraw icons. さらに、EDPBは、NGO NOYBが複数のEEA DPAに提出したクッキーバナーに関する苦情への対応を調整するために2021年9月に設置されたクッキーバナータスクフォースが行った作業に関する報告書を採択した。タスクフォースは、DPA間の協力、情報共有、ベストプラクティスを促進することを目的としており、EEA全体でクッキーバナーに対する一貫したアプローチを確保するために役立った。報告書では、DPAは、拒否ボタン、事前選択ボックス、バナーデザイン、または撤回アイコンなどの問題に関して、eプライバシー指令およびGDPRの適用規定の解釈における共通分母に合意している。
*Further information on national cloud projects: *各国のクラウドプロジェクトに関する詳細な情報
DE SA: EDSA entscheidet über Cookie-Banner und Cloud-Dienste DE SA: EDSAは、クッキーバナーやクラウドサービスに関する情報を提供している。
NL SA: Privacytoezichthouders wijzen overheden op vereisten bij gebruik clouddiensten NL SA: プライバシー保護団体は、クラウドサービス利用時のプライバシー保護に努める。

 

・[PDF] 2022 Coordinated Enforcement Action - use of cloud-based services by the public sector

20230120-24913

エグゼクティブサマリー...

EXECUTIVE SUMMARY  エグゼクティブサマリー
In October 2020, the European Data Protection Board (EDPB) decided to set up a Coordinated Enforcement Framework (CEF), with a view to streamlining enforcement and cooperation among Supervisory Authorities (SAs), consistently with the EDPB 2021-2023 Strategy.   2020年10月、欧州データ保護理事会(EDPB)は、EDPB 2021-2023年戦略と整合的に、執行と監督官庁(SA)間の協力を合理化する目的で、調整執行枠組み(CEF)を設定することを決定した。 
In October 2021, the EDPB selected “the use of cloud in the public sector” for its 2022 Coordinated Enforcement Action.  2021年10月、EDPBは2022年の協調執行行動として「公共部門におけるクラウドの利用」を選択した。
Throughout 2022, 22 Supervisory Authorities across the EEA launched coordinated investigations into the use of cloud-based services by the public sector. The CEF was implemented at national level in one or several of the following ways: fact-finding exercise; questionnaire to identify if a formal investigation is warranted; commencement of a formal enforcement investigation, or follow-up of ongoing formal investigations.   2022年を通じて、EEAの22の監督機関は、公共部門によるクラウドベースのサービスの利用について協調して調査を開始した。CEFは、事実調査、正式な調査が必要かどうかを確認するためのアンケート、正式な執行調査の開始、進行中の正式な調査のフォローアップのいずれか、または複数の方法で、国レベルで実施された。 
Between November 2021 and January 2023, these SAs have discussed the aims and the means of their actions in the context of the CEF, and decided that a questionnaire would be sent to investigate public bodies. They drafted the questionnaire, then discussed the first results of their investigations, and the way they planned to bring public bodies to compliance through the CEF. Some elements, in particular the corrective measures they could decide at national level, are still under discussion.  2021年11月から2023年1月にかけて、これらのSAは、CEFの文脈でその行動の目的と手段を議論し、調査票を公的機関に送付することを決定した。質問票を作成した後、最初の調査結果や、CEFを通じて公的機関をコンプライアンスに適合させる方法について議論した。いくつかの要素、特に国レベルで決定できる是正措置については、まだ議論中である。
The present joint-report aggregates the findings of all the Supervisory Authorities participating in the CEF. A particular attention is paid to 8 challenges identified by SAs during the CEF action. These include issues at the pre-contractual phase relating to the performance of a Data Protection Impact Assessment (and/or a risk assessment) and the role of the parties. With regard to the contracts with the CSP, the issues of lack of contract and difficulty to negotiate a tailored contract were identified, as well as the public bodies’ knowledge or control over sub-processors. Furthermore, challenges relating to international transfers and access by foreign public authorities are raised. Finally, processing of telemetry data and auditing are discussed.   今回の共同報告書は、CEFに参加したすべての監督官庁の調査結果を集約したものである。特に、CEFの活動中にSAが特定した8つの課題に注目している。これらの課題には、データ保護影響評価(および/またはリスク評価)の実施と当事者の役割に関する契約前の段階での問題が含まれている。CSPとの契約に関しては、契約書の欠如やニーズに合わせた契約交渉の難しさ、また、公共機関がサブプロセッサーを把握・管理しているかどうかという問題が確認された。さらに、国際的な移転や外国の公的機関によるアクセスに関する課題も挙げられている。最後に、テレメトリーデータの処理と監査について議論している。 
Taking into account the possible sensitive nature and large amounts of data processed by public bodies, it is however essential that the fundamental right to the protection of personal data is guaranteed by all public administrations. The EDPB therefore underlines the need for public bodies to act in full compliance with the GDPR when using cloud-based products or services. In this regard, the report also provides a list of points of attention that stakeholders should take into account when concluding agreements with CSPs:  公共機関によって処理されるデータの機密性と量の多さを考慮すると、個人データ保護の基本的な権利がすべての公共機関によって保証されることが不可欠である。したがって、EDPBは、公共機関がクラウドベースの製品やサービスを利用する際に、GDPRを完全に遵守して行動する必要性を強調している。また、この点に関して、CSPと契約を締結する際に関係者が留意すべき点を挙げている。
•       Carry out a DPIA;  ・DPIAを実施すること。
•       Ensure that the roles of the involved parties are clearly and unequivocally determined;  ・関係者の役割が明確かつ明白に決定されていることを確認すること。
•       Ensure the CSP acts only on behalf of and according to the documented instructions of the public body and identify any possible processing by the CSP as a controller;  ・CSP が公的機関に代わって、かつ公的機関の文書化された指示にのみ従って行動することを確認し、CSP が管理者として行う可能性がある処理を特定すること。
•       Ensure that a meaningful way to object to new sub processors is possible;  ・新しいサブプロセッサーに異議を唱える有意義な方法が可能であることを確認すること。
•       Ensure that the personal data are determined in relation to the purposes for which they are processed;  ・個人データが処理される目的との関連で決定されることを確実にすること。
•       Promote the DPO’s involvement;  ・DPOの関与を促進すること。
•       Cooperate with other public bodies in negotiating with the CSPs;  ・CSPとの交渉において他の公共機関と協力すること。
•       Carry out a review to assess if processing is performed in accordance with the DPIA;  ・DPIAに従って処理が行われているかどうかを評価するためのレビューを実施すること。
•       Ensure that the procurement procedure already envisages all the necessary requirements to achieve compliance with the GDPR;  ・調達手順が、GDPRの遵守を達成するために必要なすべての要件をすでに想定していることを確認すること。
•       Identify which transfers may take place in the context of routine services provision, and in case of processing of personal data for the CSPs’ own business purposes (see related point) and ensure Chapter V provisions of the GDPR are met, also by identifying and adopting supplementary measures when necessary;  ・通常のサービス提供の文脈で、およびCSP自身の事業目的のために個人データを処理する場合に、どのような移転が行われるかを特定し(関連点を参照)、GDPRの第5章の規定が満たされるようにし、必要に応じて補足措置を特定および採用することも行う。
•       Analyse if a legislation of a third country would apply to the CSP and would lead to the possibility to address access requests to data stored by the CSP in the EU;  ・第三国の法律がCSPに適用され、CSPがEU内で保管するデータへのアクセス要求に対応する可能性が生じるかどうかを分析する。
•       Examine closely and if necessary renegotiate the contract;  ・契約を精査し、必要であれば再交渉する。
•       Verify the conditions under which the public body is allowed for and can contribute to audits and ensure that they are in place.  ・公的機関が監査に貢献できる条件を確認し、その条件を満たしていることを確認する。
The action undertaken by SAs in the CEF are still ongoing at national level, especially when formal investigations were launched. Accordingly, this document does not constitute a definitive statement of the actions carried out within the CEF as the purpose of this report is not to conclude on the measures to be adopted but to reflect on the actions undertaken by competent SAs and identify the possible points of attention. It may need to be updated in the course of 2023 to take into account the progress of the procedures which have not yet been completed to date and given the issues identified, further complementary work on general recommendations to public actors concerning the use of cloud service providers could be foreseen.  CEFのSAが行った行動は、特に正式な調査が開始された場合、国レベルではまだ進行中である。したがって、この報告書の目的は、採用すべき措置について結論を出すことではなく、管轄のSAによって行われた措置を振り返り、考えられる注意点を特定することであるため、この文書はCEF内で行われた措置の決定的な声明ではありません。本報告書は、2023年中に、現在までに完了していない手続きの進捗を考慮し、更新する必要があるかもしれない。また、特定された問題を考慮し、クラウドサービスプロバイダの使用に関する公的機関への一般勧告に関するさらなる補完的な作業も予見され得る。

 

目次...
1 INTRODUCTION 1 序論
2 STATISTICS 2 統計
3  CHALLENGES IDENTIFIED DURING THE CEF ACTION 3 CEFの活動で明らかになった課題
3.1  Data protection impact assessment (DPIA) 3.1 データ保護影響評価(DPIA)
3.2  Role of the parties 3.2 当事者の役割
3.3  Negotiating tailored contracts between public bodies and cloud service providers 3.3 公共機関とクラウドサービスプロバイダの間で交わされる個別契約の交渉
3.4  Sub-processors 3.4 サブプロセッサー
3.5  International transfers 3.5 国際的な移転
3.6  Risk of access by foreign governments when using non-EU CSPs storing data in the EEA 3.6 EEAにデータを保管するEU域外のCSPを利用する際の外国政府によるアクセスのリスク
3.7  Telemetry/diagnostic information 3.7 テレメトリー/診断情報
3.8 Auditing 3.8 監査
4 ACTIONS TAKEN BY SAS 4 SASがとるべき行動
5 POINTS OF ATTENTION FOR PUBLIC BODIES 5 公的機関の注意点
6 CONCLUSION 6 結論
Annex 1: Definitions 附属書 1: 定義

20230120-25212

 


 

・2021.09.27 EDPB establishes cookie banner taskforce

EDPB establishes cookie banner taskforce EDPBがクッキー・バナーのタスクフォースを設立
During its latest plenary, the EDPB decided to set up a taskforce to coordinate the response to complaints concerning cookie banners filed with several EEA SAs by NOYB. EDPBは最新の総会において、NOYBが複数のEEA SAに提出したクッキーバナーに関する苦情への対応を調整するタスクフォースの設立を決定しました。
This taskforce was established in accordance with Art. 70 (1) (u) GDPR and aims to promote cooperation, information sharing and best practices between the SAs. In particular, the taskforce will: このタスクフォースは、GDP70 (1) (u)に基づいて設立されました。70 (1) (u) GDPRに基づき設立され、SA間の協力、情報共有、ベストプラクティスを促進することを目的としている。特に、タスクフォースは以下を行う。
・exchange views on legal analysis and possible infringements; ・法的分析および違反の可能性について意見交換を行う。
・provide support to activities on the national level; ・国家レベルでの活動に対するプロバイダの支援。
・streamline communication. ・コミュニケーションの効率化

 

・2023.01.18 [PDF] Report of the work undertaken by the Cookie Banner Taskforce

20230120-30356

 

Report of the work undertaken by theCookie Banner Taskforce クッキーバナータスクフォースによる作業報告書
Table of Contents 目次
DISCLAIMER 免責事項
1. APPLICABLE LEGAL FRAMEWORK 1. 適用される法的枠組み
2. APPLICATION OF THE OSS 2. OSSの適用
3. TYPE A PRACTICE – “NO REJECT BUTTON ON THE FIRST LAYER” 3. タイプAの慣行 -「第一階層に拒否ボタンがない」
4. TYPE B PRACTICE – “PRE-TICKED BOXES” 4. タイプBの慣行 - 「あらかじめチェックされたボックス」
5. TYPE C PRACTICE 5. タイプCの慣行
6. TYPE D & E PRACTICES : “DECEPTIVE BUTTON COLOURS” & “DECEPTIVE BUTTON CONTRAST” 6. タイプDとEの慣行:「ボタンの色のごまかしとボタンのコントラストのごまかし」
7. TYPE H PRACTICE: “LEGITIMATE INTEREST CLAIMED, LIST OF PURPOSES” 7. タイプHの慣行:「正当な利益の主張、目的の一覧」
8. TYPE I PRACTICE: “INACCURATELY CLASSIFIED « ESSENTIAL » COOKIES” 8. タイプ Iの慣行:「不正確に分類された「不可欠な」クッキー」
9. TYPE K PRACTICE: “NO WITHDRAW ICON 9. タイプKの慣行:「撤回しないアイコン」
DISCLAIMER 免責事項
The positions presented in this document result from the coordination of the members of the TF with a view to handling the “cookies banner” complaints received from NOYB. They reflect the common denominator agreed by the SAs in their interpretation of the applicable provisions of the ePrivacy Directive, and of the applicable provisions of the GDPR, for the analysis to be led when handling these complaints. These positions reflect a minimum threshold in this multi-layered legal framework to assess the placement/reading of cookies and subsequent processing of the data collected. They do not constitute stand-alone recommendations or findings to obtain a greenlight from a competent authority. The positions do not prejudge the analysis that will have to be made by the authorities of each complaint and each website concerned. These positions have to be combined with the application of additional national requirements stemming from the national laws transposing the ePrivacy Directive in the Member States, as well as to further clarifications and guidance provided by the national competent authorities to enforce the law transposing the ePrivacy Directive at national level, which remain fully applicable. この文書に示された見解は、NOYB から寄せられた「クッキー・バナー」に対する苦情を処理するため の TF メンバーの調整の結果得られたものである。これらの見解は、eプライバシー指令の適用条項およびGDPRの適用条項の解釈において、これらの苦情を処理する際に導くべき分析について、SAが合意した共通項を反映している。これらの見解は、クッキーの配置/読み取りと、それに続く収集データの処理を評価するための、この多層的な法的枠組みにおける最小限の閾値を反映したものである。これらは、所轄官庁からグリーンライトを得るための独立した勧告や調査結果を構成するものではありません。この見解は、各苦情や関係する各ウェブサイトの当局が行わなければならない分析を予見するものではありません。これらの見解は、加盟国におけるeプライバシー指令の国内法から生じる追加的な国内要件の適用、およびeプライバシー指令の国内法への置き換えを実施するために各国の主管庁が提供するさらなる明確化およびガイダンスと組み合わせる必要があり、これらは引き続き完全に適用可能なものとなっている。
Following thirteen meetings of the taskforce members to coordinate their actions in handling the complaints received from NOYB, the following points were noted: NOYBから寄せられた苦情への対応について、タスクフォースメンバーが13回の会合を開き、次のような指摘がなされた。
1.     APPLICABLE LEGAL FRAMEWORK 1. 適用される法的枠組み
1.          Where the complaints concern the placement or reading of cookies the delegations confirmed that the applicable framework is only the national law transposing the ePrivacy Directive to the placement of cookies[1]. 1.          苦情がクッキーの配置または読み取りに関するものである場合、適用される枠組みは、クッキーの配置にeプライバシー指令を適用した国内法のみであることを代表団が確認した[1]。
2.          Concerning the subsequent processing activities undertaken by the controller of data, meaning the processing which takes place after storing or gaining access to information stored in the terminal equipment of a user in accordance with Article 5(3) Directive 2002/58/EC (for example, the placement or reading of cookies), the delegations confirmed that the applicable framework is the GDPR  (including to consent, even if given at the same moment of the placement of cookies, as far as this consent constitutes the legal basis of the subsequent processing), in line with the conclusions of EDPB Opinion 5/2019 on the interplay between the ePrivacy Directive and the GDPR[2]. 2.          データの管理者によって行われるその後の処理活動、すなわち、指令2002/58/EC第5条3項に従ってユーザーの端末機器に保存された情報へのアクセスを取得した後に行われる処理(例えば、クッキーの配置または読み取り)に関して代表団は、eプライバシー指令とGDPRの相互作用に関するEDPB意見書5/2019の結論に沿って、適用される枠組みはGDPR(クッキーの配置と同じ瞬間に与えられたとしても、この同意がその後の処理の法的根拠を構成する限り、同意に対するものも含む)であることを確認した[2]。
3.          In accordance with the ePrivacy framework, it was recalled that certain concepts from the GDPR (e.g. the conditions for valid consent[3] and the right to information) are indispensable to assess whether there is an infringement of the national law transposing the ePrivacy Directive or not. 3.         eプライバシーの枠組みに従って、GDPRからの一定の概念(例えば、有効な同意の条件[3]や情報を得る権利)が、eプライバシー指令を移項した国内法の侵害があるか否かを評価するために不可欠であることが想起された。
2.     APPLICATION OF THE OSS 2. OSS の適用
4.          Delegations recalled that the OSS mechanism does not apply to issues that fall under the ePrivacy Directive. 4.          代表団は、OSS の仕組みが eプライバシー 指令に該当する問題には適用されないことを想起した。
5.          When the GDPR applies, the taskforce members favoured the position that article 4(23)(b) may apply but does not per se apply to complaints against website owners just because you can access the respective website from all Member States. The CSAs will be identified based on the factual elements to conclude on cross-border cases. 5.          GDPRが適用される場合、タスクフォースのメンバーは、4条23項(b)は適用されるかもしれないが、すべての加盟国からそれぞれのウェブサイトにアクセスできるからといって、それ自体がウェブサイト所有者に対する苦情に適用されるわけではないとの立場を支持した。CSAは、クロスボーダーのケースについて結論を出すために、事実上の要素に基づいて特定されることになる。
3.     TYPE A PRACTICE – “NO REJECT BUTTON ON THE FIRST LAYER” 3. タイプAの慣行 -「第一階層に拒否ボタンがない」

6.          It appears that some cookie banners displayed by several controllers contain a button to accept the storage of cookies and a button that allows the data subject to access further options, but without containing a button to reject the cookies. 6.          いくつかの管理者によって表示されるクッキーバナーには、クッキーの保存を承諾するボタンと、データ対象者がさらなるオプションにアクセスするためのボタンが含まれているが、クッキーを拒否するボタンが含まれていないようである。
7.          As a preliminary remark, the task force members recalled that by default, no cookies which require consent can be set without a consent and that consent must be expressed by a positive action on the part of the user. 7.          予備的な発言として、タスクフォースのメンバーは、デフォルトでは、同意が必要なクッキーは同意なしに設定できず、同意はユーザー側の積極的な行動によって表明されなければならないことを想起した。
8.          When authorities were asked whether they would consider that a banner which does not provide for accept and refuse/reject/not consent options on any layer with a consent button is an infringement of the ePrivacy Directive, a vast majority of authorities considered that the absence of refuse/reject/not consent options on any layer with a consent button of the cookie consent banner is not in line with the requirements for a valid consent and thus constitutes an infringement. Few authorities considered that they cannot retain an infringement in this case as article 5(3) of the ePrivacy Directive does not explicitly mentioned a “reject option” to the deposit of cookies. 8.          同意ボタンのある層で承諾と拒否/拒絶/同意しないオプションを提供しないバナーはeプライバシー指令の侵害であると考えるかどうかを当局に尋ねたところ、大多数の当局は、クッキー同意バナーの同意ボタンのある層に拒否/拒絶/同意しないオプションがないことは、有効な同意に対する要求と一致しないため侵害を構成すると考えた。eプライバシー指令の5条3項がクッキーの寄託に「拒否オプション」を明示的に言及していないため、本件の侵害を保持できないと考える当局は少数であった。
4.     TYPE B PRACTICE – “PRE-TICKED BOXES” 4. タイプBの慣行 - 「あらかじめチェックされたボックス」
9.          It appears that several controllers provide users with several options (typically, representing each category of cookies the controller wishes to store) with pre-ticked boxes on the second layer of the cookie banner (after the user clicked on the “Settings” button of the first layer). 9.          いくつかのプロバイダが、クッキーバナーの第二層(ユーザーが第一層の「設定」ボタンをクリックした後)で、いくつかの選択肢(典型的には、コントローラが保存したいクッキーの各カテゴリーを表す)をあらかじめチェックしたボックスでユーザーに提供していると思われる。
10.       The taskforce members confirmed that pre-ticked boxes to opt-in do not lead to valid consent as referred to either in the GDPR (see in particular recital 32 “Silence, pre-ticked boxes or inactivity should not therefore constitute consent.”) or in Article 5(3) of the ePrivacy Directive. 10.       タスクフォースのメンバーは、オプトインのための事前選択ボックスは、GDPR(特に説明32「沈黙、事前選択ボックス、非アクティブは、したがって、同意を構成してはならない」を参照)またはeプライバシー指令の第5条(3)で言及されている有効な同意につながらないことを確認した。
5.     TYPE C PRACTICE 5. タイプCの慣行
11.       Deceptive “Link Design”It appears that some cookie banners displayed by several controllers contain a link, not a button, as an option to reject the deposit of cookies (direct link to reject or link to a second layer where a user can reject the deposit of cookies). 11.       欺瞞的な「リンクデザイン」複数の管理者によって表示される一部のクッキーバナーには、クッキーの預託を拒否するオプションとして、ボタンではなくリンク(拒否への直接リンクまたはユーザーがクッキーの預託を拒否できる第二層へのリンク)が含まれていると思われる。
12.       The taskforce members agreed that in any case, there should be a clear indication on what the banner is about, on the purpose of the consent being sought and on how to consent to cookies. 12.       タスクフォースのメンバーは、いかなる場合でも、バナーの内容、同意を求める目的、およびクッキーに同意する方法について、明確な表示を行うべきであることに同意した。
13.       The members agreed that for the consent to be valid, the user should be able to understand what they consent to and how to do so. In order for a valid consent to be freely given, the taskforce members agreed that in any case a website owner must not design cookie banners in a way that gives users the impression that they have to give a consent to access the website content, nor that clearly pushes the user to give consent (one way could be on the contrary to allow the continuation of the navigation without cookies from the first level in particular for example). 13.       同意が有効であるためには、ユーザーが何にどのように同意するのかを理解できるようにする必要があることに同意した。有効な同意が自由に与えられるために、タスクフォースのメンバーは、いかなる場合でも、ウェブサイトの所有者は、ウェブサイトのコンテンツにアクセスするために同意を与えなければならないような印象をユーザーに与えたり、同意を与えることを明確に押し付けるような方法でクッキーバナーを設計してはならないことに同意した(例えば、特に最初のレベルからクッキーなしでナビゲーションを継続できるようにすることも、その方法の一つと考えられる)。
14.       The taskforce members agreed that the following examples do not lead to valid consents (nonexhaustive list): 14.       タスクフォースのメンバーは、以下の例は有効な同意につながらないということで合意した(非網羅的なリスト)。
-       the only alternative action offered (other than granting consent) consists of a link behind wording such as ‘refuse’ or ‘continue without accepting’ embedded in a paragraph of text in the cookie banner, in the absence of sufficient visual support to draw an average user’s attention to this alternative action; ・提供される唯一の代替行為(同意の付与以外)が、平均的なユーザーの注意をこの代替行為に向ける十分な視覚的サポートがないまま、クッキーバナーのテキストの段落に埋め込まれた「拒否」または「受け入れずに続ける」といった文言の後ろのリンクで構成されている場合。
-       the only alternative action offered (other than granting consent) consists of a link behind wording such as ‘refuse’ or ‘continue without accepting’ placed outside the cookie banner where the buttons to accept cookies are presented, in the absence of sufficient visual support to draw the users’ attention to this alternative action outside the frame; ・提供される唯一の代替行為(同意の付与以外)が、クッキーを受け入れるボタンが表示されるクッキーバナーの外側に配置された「拒否」または「受け入れずに続ける」などの文言の背後にあるリンクで構成されており、フレームの外側のこの代替行為にユーザーの注意を引くための十分な視覚的サポートがない場合。
6. TYPE D & E PRACTICES : “DECEPTIVE BUTTON COLOURS” & “DECEPTIVE BUTTON CONTRAST” 6. タイプDとEの慣行:「ボタンの色のごまかしとボタンのコントラストのごまかし」
15.       It appears that the configuration of some cookie banners in terms of colours and contrasts of the buttons (“contrast ratio between the accept button and the background” – type D practice) could lead to a clear highlight of the “accept all” button over the available options. 15.       ボタンの色とコントラストに関するいくつかのクッキーバナーの構成(「承諾ボタンと背景のコントラスト比」-タイプDの慣行)は、利用可能な選択肢の中で「すべて承諾」ボタンを明確に強調することにつながる可能性があるようである。
16.       The taskforce members agreed to examine type D and E practices together as the issues are linked and raise similar points of discussion. 16.       タスクフォースメンバーは、タイプ D とタイプ E の慣行は、問題が関連しており、同様の論点を提起しているため、一緒に検討することに合意した。
17.       The taskforce members agreed that a general banner standard concerning colour and/or contrast cannot be imposed on data controllers. In order to assess the conformity of a banner, a case-by-case verification must be carried out in order to check that the contrast and colours used are not obviously misleading for the users and do not result in an unintended and, as such, invalid consent from them. As a result, it was also agreed that a case-by-case analysis would be necessary to address specific cases, although some examples of features manifestly contrary to the ePrivacy Directive provisions have been identified. 17.       タスクフォースメンバーは、色やコントラストに関する一般的なバナー標準をデータ管理者に課すことはできないことに合意した。バナーの適合性を評価するためには、使用されているコントラストと色が明らかに利用者を誤解させるものではなく、意図しない、つまり利用者の無効な同意につながらないことを確認するために、ケースバイケースで検証を行う必要がある。その結果、eプライバシー指令の規定に明らかに反する機能の例がいくつか確認されたが、特定のケースに対応するためには、ケースバイケースの分析が必要であることも合意された。
18.       Based on concrete examples, the taskforce members took the view that at least this practice could be  manifestly misleading for users: 18.       具体的な事例に基づいて、タスクフォースのメンバーは、少なくともこのような慣行は、利用者を明らかに誤解させる可能性があるという見解を示した。
- an alternative action is offered (other than granting consent) in the form of a button where the contrast between the text and the button background is so minimal that the text is unreadable to virtually any user. - テキストとボタンの背景のコントラストが最小限のため、事実上すべてのユーザーがテキストを読むことができないボタンの形で、(同意の付与以外の)代替アクションが提供されている場合。
19.       While the design choices above are considered problematic, the taskforce members reiterated that each specific cookie banner needs to be assessed on a case-by-case basis. 19.       上記のようなデザインの選択は問題であると考えられているが、タスクフォースのメンバーは、特定のクッキーバナーはケースバイケースで評価される必要があることを再確認している。
7.     TYPE H PRACTICE: “LEGITIMATE INTEREST CLAIMED, LIST OF PURPOSES” 7. タイプHの慣行:「正当な利益の主張、目的の一覧」
20.       It appears that some controllers put in place a banner which highlights the possibility of accepting the read/write operation at the first level (of the banner) but does not include an option to refuse at this level, which can lead the average user to believe that he has no possibility of objection to the deposit of cookies at all, and, incidentally, to the subsequent processing that results from them. 20.       一部の管理者は、(バナーの)最初のレベルで読み取り/書き込み操作を受け入れる可能性を強調するバナーを設置しているようであるが、このレベルで拒否するオプションを含んでいないため、一般ユーザーは、クッキーの預託と、ついでにその結果生じるその後の処理に対して異議を唱える可能性が全くないと考える可能性がある。
21.       In addition, at the second level (of the banner), a distinction is made between the refusal given to read/write operations and the potential objection to further processing presented as falling within the legitimate interest of the data controller. 21.       さらに、(バナーの)第二のレベルでは、読み取り/書き込み操作に与えられる拒否と、情報管理者の正当な利益の範囲内にあるものとして提示されるさらなる処理に対する拒否の可能性とが区別されます。
22.       In those cases, it appears that:  22.      それらの場合、以下のように思われる。
-       The controller relied on legitimate interests under article 6(1)(f) GDPR for different processing activities as, for example, “Create a personalised content profile” or “Select personalised ads” whereas it could be considered that no overriding legitimate interest would exist for such processing activities. ・管理者は、例えば「パーソナライズされたコンテンツプロファイルの作成」または「パーソナライズされた広告の選択」のような異なる処理活動に対して、GDPR第6条第1項(f)に基づく正当な利益に依拠したが、そのような処理活動には優先する正当な利益が存在しないと考えられる。
-       The integration of this notion of legitimate interest for the subsequent processing “in the deeper layers of the banner” could be considered as confusing for users who might think they have to refuse twice in order not to have their personal data processed. ・この正当な利益の概念を「バナーのより深い層」の後続処理に統合することは、個人データを処理させないために二度拒否しなければならないと考えるユーザーにとって、混乱を招くと考えられる。
23.       The taskforce members agreed that whether the subsequent processing based on cookies is lawful requires to determine if: 23.       タスクフォースのメンバーは、クッキーに基づく後続の処理が適法であるかどうかは、以下の点を判断する必要があることに合意した。
-       the storage/gaining of access to information through cookies or similar technologies is done in compliance with Article 5(3) ePrivacy directive (and the national implementing rules). ・クッキーまたは類似の技術による情報の保存/アクセス取得が、eプライバシー指令(および国内実施規則)第5条3項を遵守して行われるかどうか。
-       any subsequent processing is done in compliance with the GDPR. ・その後の処理がGDPRに準拠して行われているかどうか。
24.       In this regard, the taskforce members took the view that non-compliance found concerning Art. 5 (3) in the ePrivacy directive (in particular when no valid consent is obtained where required), means that the subsequent processing cannot be compliant with the GDPR[4]. Also, the TF members confirmed that the legal basis for the placement/reading of cookies pursuant to Article 5 (3) cannot be the legitimate interests of the controller. 24.       この点に関して、タスクフォースのメンバーは、eプライバシー指令の第5条3項に関して発見された非遵守が、GDPRに適合しているとの見解を示した。この点に関して、タスクフォースのメンバーは、eプライバシー指令の第5条(3)に関してコンプライアンス違反が見つかった場合(特に、必要な場合に有効な同意が得られない場合)、その後の処理がGDPR[4]に準拠することができないことを意味するとの見解を示した。また、TFメンバーは、第5条(3)に基づくクッキーの配置/読み込みの法的根拠は、管理者の正当な利益ではありえないことを確認している。
25.       The TF members agreed to resume discussions on this type of practice should they encounter concrete cases where further discussion would be necessary to ensure a consistent approach. 25.       TFメンバーは、一貫したアプローチを確保するためにさらなる議論が必要となる具体的なケースに遭遇した場合、この種の実務に関する議論を再開することに合意した。
8.     TYPE I PRACTICE: “INACCURATELY CLASSIFIED « ESSENTIAL » COOKIES” 8. タイプ Iの慣行:「不正確に分類された「不可欠な」クッキー」
26.       It appears that some controllers classify as “essential” or “strictly necessary” cookies and processing operations which use personal data and serve purposes which would not be considered as “strictly necessary” within the meaning of Article 5(3) ePrivacy Directive or the ordinary meaning of “strictly necessary” or “essential” under the GDPR. 26.       一部の管理者は、eプライバシー指令第5条3項の意味またはGDPRの「厳密に必要」もしくは「不可欠」の通常の意味において「厳密に必要」とみなされない個人データを使用し、目的を果たすクッキーおよび処理操作を「不可欠」または「厳密に必要」と分類しているようである。
27.       Taskforce members agreed that the assessment of cookies to determine which ones are essential raises practical difficulties, in particular due to the fact that the features of cookies change regularly, which prevents the establishment of a stable and reliable list of such essential cookies. 27.       タスクフォースのメンバーは、どのクッキーが必須であるかを決定するためのクッキーの評価は、特にクッキーの機能が定期的に変化し、そのような必須クッキーの安定した信頼できるリストの確立を妨げるという事実のために、実用上の困難をもたらすということに同意した。
28.       The existence of tools to establish the list of cookies used by a website has been discussed, as well as the responsibility of website owners to maintain such lists, and to provide them to the competent authorities where requested and to demonstrate the « essentiality » of the cookies listed. 28.       ウェブサイトが使用するクッキーのリストを作成するツールの存在と、そのようなリストを維持し、要求に応じて所轄官庁に提供し、リストされたクッキーの「必須性」を証明するウェブサイト所有者の責任について議論された。
29.       On that point, it has been mentioned that specific tools exist and may be used to analyse a website and create a report that shows all the cookies that were placed when visiting the website. However, the only available tools do not allow to check the nature of the cookies but only to list the cookies placed in order to ask the website owner to provide documentation on their purposes. These tools are thus an additional help for the competent authorities to seek further clarifications and information from the website owners in addition to the information also provided on the website. 29.       この点については、特定のツールが存在し、ウェブサイトを分析し、ウェブサイトを訪問したときに配置されたすべてのクッキーを示すレポートを作成するために使用することができることが言及されている。しかし、利用可能な唯一のツールは、クッキーの性質をチェックすることはできず、ウェブサイトの所有者にその目的に関する文書を提供するよう求めるために、置かれたクッキーをリストすることだけを可能にします。したがって、これらのツールは、ウェブサイト上で提供される情報に加えて、管轄当局がウェブサイトの所有者にさらなる説明と情報を求めるための追加的な助けとなるものである。
30.       The opinion n°04/2012 on Cookie Consent Exemption of WP 29 has also been recalled in relation to the criteria mentioned to assess which cookies are essential, and in particular the fact that cookies allowing website owners to retain the preferences expressed by users, regarding a service, should be deemed essential. 30.       WP29のクッキーに関する同意の免除に関する意見n°04/2012も、どのクッキーが必須かを評価するために言及された基準、特にサービスに関してユーザーが表明した好みをウェブサイト所有者が保持できるクッキーが必須とみなされるべきという事実に関連して、想起されている。
9.     TYPE K PRACTICE: “NO WITHDRAW ICON” 9. タイプKの慣行:「撤回しないアイコン」
31.       It appears that where controllers provide an option allowing to withdraw consent, different forms of options are displayed. In particular, some controllers have not chosen to use the possibility to show a small hovering and permanently visible icon on all pages of the website that allows data subjects to return to their privacy settings, where they can withdraw their consent. 31.       管理者が同意の撤回を可能にするオプションを提供する場合、異なる形式のオプションが表示されるようである。特に、一部の管理者は、データ対象者がプライバシー設定に戻り、そこで同意を撤回できるようにするために、ウェブサイトのすべてのページに小さなカーソルを合わせて常時表示するアイコンを表示する可能性を選択していないようである。
32.       Website owners should put in place easily accessible solutions allowing users to withdraw their consent at any time, such as an icon (small hovering and permanently visible icon) or a link placed on a visible and standardized place. 32.       ウェブサイトの所有者は、ユーザーがいつでも同意を撤回できるよう、アイコン(小さなアイコン)やリンクなど、目につきやすく標準的な場所に、簡単にアクセスできるソリューションを設置する必要がある。
33.       The ePrivacy Directive’s reference to consent in the GDPR includes both a reference to the definition of consent (article 4 of the GDPR) as well as to the conditions of it (article 7 of the GDPR). 33.       eプライバシー指令のGDPRにおける同意への言及は、同意の定義(GDPRの第4条)だけでなく、その条件(GDPRの第7条)への言及も含んでいる。
34.       In addition to the requirements for the collection of consent to be valid in accordance with the GDPR and under Article 5(3) ePrivacy Directive, three additional cumulative conditions are mandatory (i) the possibility to withdraw consent, (ii) the ability to withdraw consent at any time, (iii) withdrawal of consent must be as easy as to give consent. 34.       GDPRとeプライバシー指令第5条3項に基づく同意の収集が有効であるための要件に加え、さらに3つの累積的条件が必須である(i)同意を撤回できること、(ii)いつでも同意を撤回できること、(iii)同意を撤回することは同意を与えることと同じくらい容易でなければならない。
35.       However, website owners can only be imposed that easily accessible solutions are implemented and displayed once consent has been collected, but they cannot be imposed a specific withdrawal solution, and in particular to set up a hovering solution for the withdrawal of consent to the deposit of cookies and other trackers. A case-by-case analysis of the solution displayed to withdraw consent will always be necessary. In this analysis, it must be examined whether, as a result, the legal requirement that it is as easy to withdraw as to give consent is fulfilled. 35.       しかし、ウェブサイトの所有者は、同意が収集された後、簡単にアクセスできるソリューションが実装されて表示されていることを課すことができるが、彼らは特定の撤退ソリューションを課すことはできない、特にクッキーやその他のトラッカーの堆積への同意を撤回するためのホバリングソリューションを設定する。同意を撤回するために表示されるソリューションについては、常にケースバイケースの分析が必要となる。この分析では、結果として、同意を与えるのと同じくらい簡単に撤回できるという法的要件が満たされているかどうかを検証する必要がある。
[1] In accordance with article 15.3 of ePrivacy directive, and as it has been done in the context of these works, the EDPB shall also carry out its tasks with regard to matters covered by the ePrivacy Directive [1] eプライバシー指令の第15.3条に従い、またこれらの作業の文脈で行われているように、EDPBはeプライバシー指令の対象となる事項に関してもその任務を遂行するものとする。
[2] See also the EDPB Guidelines 01/2020 on processing personal data in the context of connected vehicles and mobility related applications. [2] 接続された車両及びモビリティ関連アプリケーションの文脈における個人データの処理に関するEDPBガイドライン01/2020も参照のこと。
[3] By taking into consideration the EDPB Guidelines 05/2020 on consent under Regulation 2016/679 4 The names of the violations used in the complaints have been kept. [3] 規制2016/679に基づく同意に関するEDPBガイドライン05/2020を考慮することにより 4 苦情に使用された違反の名称は保管されている。
[4] See EDPB guidelines on connected vehicles; also see ECJ C-597/19 para. 118. [4] コネクテッドビークルに関するEDPBガイドライン参照、またECJ C-597/19 para. 118.

 

 

 

 

Continue reading "EDPB 公共部門によるクラウドサービス利用のためのプライバシーに関する勧告を決定、クッキー バナータスクフォースの報告書を採択"

| | Comments (0)

2023.01.19

欧州 NIS2 指令 条文 (2022.12.27)

こんにちは、丸山満彦です。

2023.01.16に施行されたNIS2 指令についての最終条文... 備忘録...

ドラフトから項番が変わったりしていますね... 内容までは確認していない...

 

EUR - Lex

・ 2022.12.27 Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive) (Text with EEA relevance)

・[HTML]

・[PDF]

20230119-34633

・[DOCX] 仮対訳

 

金融分野については、こちらも気にしないといけないようです。。。

・2022.12.27 Regulation (EU) 2022/2554 of the European Parliament and of the Council of 14 December 2022 on digital operational resilience for the financial sector and amending Regulations (EC) No 1060/2009, (EU) No 648/2012, (EU) No 600/2014, (EU) No 909/2014 and (EU) 2016/1011 (Text with EEA relevance)

・[HTML]

・[PDF]

 

 

物理的なセキュリティとの一貫性の観点からこちらも気にする必要があるようです。。。

・2022.12.27 Directive (EU) 2022/2557 of the European Parliament and of the Council of 14 December 2022 on the resilience of critical entities and repealing Council Directive 2008/114/EC (Text with EEA relevance)

・[HTML]

・[PDF]

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.12.06 世界経済フォーラム (WEF) より厳格な報告規則から新たなサイバー脅威ハブまで、EUはサイバーセキュリティ法をアップグレード中

・2022.11.29 EU連合理事会 NIS2成立

| | Comments (0)

2023.01.18

中国 サイバー法制白書 2022 (2023.01.12)

こんにちは、丸山満彦です。

中国では、この数年のうちに、サイバー関連の法令が一気に作られてきているのですが、それを白書としてまとめたものが公表されていますね。。。

中国語でまとめられた法令名をまとめて、日本語訳をしてほしいなぁ、、、と思いますよね。。。

 

中国信通院

・2023.01.12 网络立法白皮书(2022年)

 

[PDF] 网络立法白皮书(2022年)

20230118-24622

 

目次...

网络立法白皮书(2022年) サイバー法制白書 2022年
一、新时代我国网络立法体系建设综述 I. 新時代の中国サイバー法制構築の概要
二、2022年我国网络立法建设持续推进 II. 2022年中国のサイバー法制はさらに進化した
(一)数据治理体系纵深发展,配套措施加速出台 (1) データガバナンス体制の深化と支援策の導入加速
(二)网络安全法律日益完善,基础设施保护持续强化 (2) ネットワークセキュリティの法整備が進み、インフラ保護が強化され続けている
(三)平台治理规则有序出台,网络综合治理扎实推进 (3) プラットフォームガバナンスのルールが整然と導入され、包括的なネットワークガバナンスが強固に推進された。
(四)新技术领域立法持续探索,算法治理不断深化 (4) ニューテクノロジー分野における法整備の継続的な検討とアルゴリズム・ガバナンスの深化
三、2022年国际网络立法建设重点突出 III. 2022年の国際サイバー法制の構築を中心に
(一)数据治理规则全面推进 (1) データガバナンスルールの包括的な推進
(二)网络内容治理持续推进 (2) オンラインコンテンツガバナンスの継続的な推進
(三)网络安全政策法规持续出台 (3) サイバーセキュリティに関する政策や規制の導入が続いていること
(四)超大平台事前监管举措持续落地 (4) メガプラットフォームに対する事前規制の取り組みが続く
(五)新技术新业务催生新立法 (5) 新しい技術や新しいビジネスが新しい法律を生む
四、网络立法展望 IV.  サイバー法制の展望
(一)加快完善数据治理领域配套立法 (1) データガバナンスの分野における支援法の整備を加速させる。
(二)强化对基础设施的促进和保护 (2) インフラの推進と保護の強化
(三)逐步推进数字技术法律制度体系 (3) デジタル技術に対応した法制度の漸進的な推進
(四)研究制定《数字平台法》确立分类分级制度 (4) デジタルプラットフォーム法の検討・策定を行い、分類・等級制度を確立する。
附件:2022年网络立法梳理 付録:2022年のサイバー法制の整理


附件:2022年网络立法梳理

效力位阶 名称 发文字号 发布日期 实施日期
法律 《反垄断法(2022修正)》 中华人民共和国主席令第116号 2022.06.24 2022.08.01
  《反电信网络诈骗法》 中华人民共和国主席令第119号 2022.09.02 2022.12.01
部门规章 《网络安全审查办法》 国家互联网信息办公室、中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局令第8号 2022.01.04 2022.02.15
  《互联网信息服务算法推荐管理规定》 国家互联网信息办公室、中华人民共和国工业和信息化部、中华人民共和国公安部、国家市场监督管理总局令第9号 2022.01.04 2022.03.01
  《互联网用户账号信息管理规定》 国家互联网信息办公室令第10号 2022.06.27 2022.08.01
  《数据出境安全评估办法》 国家互联网信息办公室令第11号 2022.07.07 2022.09.01
  《药品网络销售监督管理办法》 国家市场监督管理总局令第58号 2022.09.02 2022.12.01
  《中央企业合规管理办法》 国务院国有资产监督管理委员会令第42号 2022.09.16 2022.10.01
  《人身保险产品信息披露管理办法》 中国银行保险监督管理委员会令2022年第8号 2022.11.17 2023.06.30
  《互联网信息服务深度合成管理规定》 国家互联网信息办公室、中华人民共和国工业和信息化部、中华人民共和国公安部令第12号 2022.12.11 2023.1.10
法律法规配套规范文件 《关于推动平台经济规范健康持续发展的若干意见》 发改高技〔2021〕1872号 2022.01.18  
  《关于加强网络预约出租汽车行业事前事中事后全链条联合监管有关工作的通知》 交办运〔2022〕6号 2022.02.15 2022.02.15
  《关于试行汽车安全沙盒监管制度的通告》 市场监管总局、工业和信息化部、交通运输部、应急部、海关总署通告2022年第6号 2022.04.01  
  《关于进一步加强新能源汽车企业安全体系建设的指导意见》 工信厅联通装〔2022〕10号 2022.04.08  
  《关于加强网络视听节目平台游戏直播管理的通知》 网函〔2022〕27号 2022.04.15  
  《关于加强打击治理电信网络诈骗违法犯罪工作的意见》 中共中央办公厅、国务院办公厅 2022.04.18  
  《关于规范网络直播打赏加强未成年人保护的意见》 中央文明办、文化和旅游部、国家广播电视总局、国家互联网信息办公室 2022.05.07  
  《关于推进实施国家文化数字化战略的意见》 中共中央办公厅、国务院办公厅 2022.05.22  
  《网络预约出租汽车监管信息交互平台运行管理办法》 交运规〔2022〕1号 2022.05.24 2022.07.01
  《广播电视和网络视听领域经纪机构管理办法》 广电发〔2022〕34号 2022.05.30 2022.06.30
  《关于开展数据安全管理认证工作的公告》 国家市场监督管理总局、国家互联网信息办公室公告2022年第18号 2022.06.09  
  《移动互联网应用程序信息服务管理规定(2022修订)》 国家互联网信息办公室 2022.06.14 2022.08.01
  《关于加强数字政府建设的指导意见》 国发〔2022〕14号 2022.06.23  
  《关于做好智能网联汽车高精度地图应用试点有关工作的通知》 自然资源部办公厅 2022.08.02  
  《关于开展电子认证服务合规性专项整治工作的通知》 工信厅信发函〔2022〕183号 2022.08.02  
  《关于开展银行保险机构侵害个人信息权益乱象专项整治工作的通知》 银保监会办公厅 2022.08.03  
  《关于进一步加强政务数据有序共享工作的通知》 文化和旅游部 2022.08.04  
  《关于加快场景创新以人工智能高水平应用促进经济高质量发展的指导意见》 国科发规〔2022〕199号 2022.08.12  
  《医疗卫生机构网络安全管理办法》 国卫规划发〔2022〕29号 2022.08.29 2022.08.29
  《关于促进智能网联汽车发展维护测绘地理信息安全的通知》 自然资规〔2022〕1号 2022.08.30  
  《关于办理信息网络犯罪案件适用刑事诉讼程序若干问题的意见》 法发〔2022〕23号 2022.08.30 2022.09.01
  《数据出境安全评估申报指南(第一版)》 国家互联网信息办公室 2022.08.31  
  《互联网弹窗信息推送服务管理规定》 国家互联网信息办公室、工业和信息化部、国家市场监督管理总局 2022.09.09 2022.09.30
  《互联网跟帖评论服务管理规定》 国家互联网信息办公室 2022.11.16 2022.12.15
  《电力行业网络安全管理办法》 国能发安全规〔2022〕100号 2022.12.12 2022.12.12
  《电力行业网络安全等级保护管理办法》 国能发安全规〔2022〕101号 2022.12.12 2022.12.12
  《工业和信息化领域数据安全管理办法(试行)》 工信部网安〔2022〕166号 2022.12.13 2023.01.01
  《关于进一步规范移动智能终端应用软件预置行为的通告》 工信部联信管函〔2022〕269号 2022.12.14 2023.01.01
法律法规征求意见稿 关于修改《中华人民共和国网络安全法》的决定(征求意见稿) 国家互联网信息办公室 2022.09.14  
  《中华人民共和国反不正当竞争法(修订草案征求意见稿)》 国家市场监督管理总局 2022.11.22  
部门规章、规范性文件征求意见稿 《人类遗传资源管理条例实施细则(征求意见稿)》 科学技术部 2022.03.21  
  《证券期货业网络安全管理办法(征求意见稿)》 中国证监会 2022.04.29  
  《个人信息出境标准合同规定(征求意见稿)》 国家互联网信息办公室 2022.06.30  
  《电信领域违法行为举报处理规定(征求意见稿)》 工业和信息化部 2022.07.08  
  《关于开展网络安全服务认证工作的实施意见(征求意见稿)》 市场监管总局 2022.07.21  
  《自动驾驶汽车运输安全服务指南(试行)》(征求意见稿) 交通运输部 2022.08.08  
  《广播电视和网络视听节目制作经营管理规定(征求意见稿)》 国家广播电视总局 2022.08.08  
  《化妆品网络经营监督管理办法(征求意见稿)》 国家药品监督管理局 2022.08.17  
  《公路水路关键信息基础设施安全保护管理办法(征求意见稿)》 交通运输部 2022.08.23  
  《网信部门行政执法程序规定(征求意见稿)》 国家互联网信息办公室 2022.09.08  
  《道路机动车辆生产准入许可管理条例(征求意见稿)》 工业和信息化部 2022.10.28  
  《关于开展智能网联汽车准入和上路通行试点工作的通知(征求意见稿)》 工业和信息化部 2022.11.02  

 

・[DOCX] 仮対訳

 

 

 

| | Comments (0)

2023.01.17

米国 CISA 2022年の振り返り (2023.01.12)

こんにちは、丸山満彦です。

CISAが2022年の活動について、戦略計画で定められた4つの目標に沿って振り返ってますね。。。

4つの目標は、

GOAL 1 | CYBER DEFENSE 目標1:サイバー防衛
 Spearhead the national effort to ensure defense and resilience of cyberspace  サイバースペースの防衛とレジリエンスを確保するための国家的取り組みを先導する。
GOAL 2 | RISK REDUCTION AND RESILIENCE  目標2:リスク低減とレジリエンス 
Reduce risks to, and strengthen resilience of, America’s critical infrastructure 米国の重要インフラに対するリスクを低減し、そのレジリエンスを強化する。
GOAL 3 | OPERATIONAL COLLABORATION  目標3:作戦協力 
Strengthen whole-of-nation operational collaboration and information sharing 全国的な作戦協力と情報共有を強化する。
GOAL 4 | AGENCY UNIFICATION  目標4:機関の統一 
Unify as One CISA through integrated functions, capabilities, and workforce 統合された機能、能力、人員により、一つのCISAとして統一される。

です。。。

 

CISA

・2023.01.12 CISA RELEASES 2022 YEAR IN REVIEW

・[PDF] 2022 YEAR IN REVIEW

20230117-05317

 

・[PDF] FY22 END OF YEAR REPORT FACT SHEET

20230117-05326

BACKGROUND  背景 
Protecting our nation’s critical infrastructure is foundational to our national security. That critical infrastructure includes everything from healthcare, water, and education to chemical, transportation systems, telecommunications, energy, and much more. And it’s under constant risk from a wide array of threats. That makes CISA’s work to understand, manage, and reduce risk to the cyber and physical infrastructure that Americans rely on so important. Our 2022 CISA Year in Review in January lays out the tremendous work by our teammates and partners over the past year. Organized around the four goals outlined in our Strategic Plan, it highlights key achievements toward our vision of ensuring secure and resilient critical infrastructure for the American people.   国家の重要なインフラを保護することは、国家の安全保障の基礎となるものです。重要インフラには、医療、水、教育、化学、輸送システム、通信、エネルギーなど、あらゆるものが含まれます。そして、重要インフラは、さまざまな脅威から常に危険にさらされています。そのため、米国人が依存するサイバーおよび物理インフラに対するリスクを理解し、マネジメントし、低減するためのCISAの活動は非常に重要です。1月に発表した「2022年CISA年次報告」では、過去1年間におけるCISAのチームメンバーやパートナーによる多大な功績を紹介しています。戦略計画で示された4つの目標を中心に構成され、米国民のために安全でレジリエンスに優れた重要インフラを確保するというビジョンに向けた主要な成果を紹介しています。 
DID YOU KNOW?  ご存知ですか?
With missions spanning cybersecurity, infrastructure security and emergency communications, there may be a lot you didn’t know about CISA.  Take a look at a sample of activities we conducted in 2022.   サイバーセキュリティ、インフラセキュリティ、緊急通信にまたがるミッションを持つCISAについて、ご存じないことがたくさんあるかもしれません。 2022年に実施した活動の一例をご覧ください。 
CYBER DEFENSE  サイバー防御
•       In October 2022, at the direction of the White House, CISA released a set of cross-sector ・2022年10月、ホワイトハウスの指示により、CISAはセクター横断的なサイバーセキュリティのパフォーマンス目標(Cybersecurity Performance Goals)を発表しました。
Cybersecurity Performance Goals (CPGs) to establish a common set of fundamental cybersecurity practices for critical infrastructure, with a particular focus on helping small- and medium-sized organizations improve their cybersecurity efforts. サイバーセキュリティ・パフォーマンス・ゴール(CPG)を発表し、重要インフラのためのサイバーセキュリティの基本的な実践方法の共通セットを確立し、特に中小規模の組織がサイバーセキュリティの取り組みを改善できるよう支援することに焦点を当てました。
•       CISA held the inaugural Cybersecurity Advisory Committee (CSAC) meeting in December 2021. The CSAC is a federal advisory committee comprised of 22 private sector leaders across diverse professions and communities to provide recommendations on the development and refinement of CISA’s cybersecurity programs and policies. CSAC has already provided CISA’s Director with 53 recommendations that will keep us well-positioned to address threats in a rapidly changing cybersecurity landscape. ・CISAは、2021年12月にサイバーセキュリティ諮問委員会(CSAC)の初会合を開催しました。CSACは、多様な職業やコミュニティに属する22人の民間企業のリーダーで構成される連邦政府の諮問委員会で、CISAのサイバーセキュリティプログラムとポリシーの策定と改良について提言を行います。CSACはすでにCISA長官に53の提言を行い、急速に変化するサイバーセキュリティの状況下で脅威に対処する体制を整えています。
•       The Joint Cyber Defense Collaborative (JCDC), which aims to fundamentally transform how we reduce cyber risk to our country, marked its first year in FY22. With partner representation under nearly all the 16 critical infrastructure sectors, the JCDC reduces risk through continuous operational collaboration between trusted partners in the public and private sectors. The JCDC has also formed relationships with over 150 Computer Emergency Response Teams (CERTs) worldwide ・我が国のサイバーリスクを低減する方法を根本的に変革することを目的とした統合サイバー防衛協力(JCDC)は、22年度にその初年度を迎えました。JCDCは、16の重要インフラ部門のほぼすべてにパートナーを配置し、官民の信頼できるパートナー間の継続的な運用協力を通じてリスクを低減しています。また、JCDCは、世界中の150以上のコンピュータ緊急対応チーム(CERT)と関係を構築しています。
•       We deployed new technologies across nearly 50 federal agencies, with more coming online every month, using new authorities and resources provided by Congress to secure our federal enterprise. ・連邦政府のエンタープライズを保護するために議会から提供された新しい権限とリソースを使用して、約50の連邦政府機関に新しい技術を展開し、毎月オンラインになるものが増えています。
•       We coordinated 713 Coordinated Vulnerability Disclosure (CVD) cases, produced 416 vulnerability advisories and streamlined the patch development and deployment process for millions of devices annually due to the direct communication between vulnerability researchers and vendor(s) and/or service provider(s). ・脆弱性研究者とベンダーやサービスプロバイダとの直接のコミュニケーションにより、713件の脆弱性開示(CVD)を調整し、416件の脆弱性勧告を作成し、年間数百万のデバイスに対するパッチ開発および展開プロセスを合理化しました。
REDUCING RISKS TO AMERICA’S CRITICAL INFRASTRUCTURE  米国の重要インフラへのリスク軽減 
•       CISA and the Federal Emergency Management Agency (FEMA) collaborated on a first-of-its-kind State and Local Cybersecurity Grant Program to help under-resourced state, local, and territorial (SLT) partners build cyber resiliency. This program will help address the unique challenges state and territorial governments face when defending against cyber threats.   ・CISA と連邦緊急事態管理庁(FEMA)は、リソースの乏しい州、地方、地域(SLT)のパートナーがサイバーレジリエンスを構築できるよう、初の「州および地域のサイバーセキュリティ助成プログラム」を共同で実施しました。このプログラムは、州・準州政府がサイバー脅威から身を守る際に直面する特有の課題に対処するために役立ちます。 
•       CISA brought together federal, state, and local school leaders at the inaugural National Summit on K-12 School Safety and Security to share actionable recommendations that enhance safe and supportive learning environments in K-12 schools. This first-of-its-kind virtual event fostered a nationwide dialogue on school safety, providing a venue to share resources, products, and tools to support schools in implementing and strengthening their security postures.   ・CISAは、連邦、州、地域の学校指導者を集め、K-12学校の安全とセキュリティに関する第1回全国サミットを開催し、K-12学校における安全かつ協力的な学習環境を強化するための実行可能な推奨事項を共有しました。この初のバーチャルイベントは、学校の安全性に関する全国的な対話を促進し、学校のセキュリティ体制の導入と強化を支援するためのリソース、製品、ツールを共有する場を提供しました。 
•       In 2022, CISA trained its 150,000th person in counter-improvised explosive device (IED) measures and techniques. We also visited more than 8,300 retail establishments to encourage private sector partners that sell explosive precursor chemicals to take measures to properly secure these chemicals and to report and/or prevent suspicious transactions.    ・2022年、CISAは15万人目となる爆発物(IED)対策と技術に関する訓練を行いました。また、8,300以上の小売店を訪問し、爆発性前駆体化学物質を販売する民間セクターのパートナーに、これらの化学物質を適切に保護するための対策を講じ、疑わしい取引の報告および/または防止を奨励しました。  
•       CISA delivered 114 Active Shooter Preparedness webinars to critical infrastructure, international, law enforcement, emergency response, interagency, and private sector stakeholders with over 32,600 registrants. We also conducted 163 exercises around the nation with 14,260 participants. 87% of respondents stated exercises enhanced individual or organizational preparedness.  ・CISAは、重要インフラ、国際機関、法執行機関、緊急対応機関、省庁間、民間部門の関係者に114のアクティブシューター対策ウェビナーを提供し、32,600人以上の登録者がありました。また、全米で163の演習を実施し、14,260人が参加しました。回答者の87%が、演習によって個人または組織の準備態勢が強化されたと回答しています。
•       In response to the threats to Historically Black Colleges and Universities (HBCUs) in 2022, CISA mobilized resources such as its Protective Security Advisors (PSA) to reach out to all 108 Historically Black Colleges and Universities across the country to provide support.   ・2022年の歴史的黒人大学(HBCU)への脅威を受け、CISAは保護セキュリティアドバイザー(PSA)などのリソースを動員し、全米の歴史的黒人大学全108校に接触し、支援を提供しました。 
OPERATIONAL COLLABORATION AND INFORMATION SHARING  作戦協力と情報共有 
•       In CISA’s constant effort to build collaborative partnerships that help us better identify and mitigate threats, we have worked over the past year to expand our collaboration with the international community. In fact, in July 2022, CISA opened its first Attaché office. Based in London, United Kingdom, the office serves as a focal point for international collaboration between CISA, UK government officials, and other federal agency officials.   ・脅威の特定と緩和に役立つ協力的なパートナーシップを構築するためのCISAの絶え間ない努力の中で、私たちはこの1年間、国際社会との協力関係を拡大するために取り組んできました。実際、2022年7月、CISAは初のアタッシェ事務所を開設しました。英国のロンドンを拠点とするこのオフィスは、CISA、英国政府関係者、その他の連邦機関関係者の間の国際協力の中心的な役割を担っています。 
•       CISA plays an important role in ensuring America’s elections are safe and secure. We work with all 50 states, the District of Columbia, and the U.S. territories to secure elections. This work includes hundreds of election infrastructure security assessments and regular cybersecurity vulnerability scanning in hundreds of jurisdictions. It also includes work with the 3,400-member Election Infrastructure Information Sharing and Analysis Center, which provides real-time, actionable threat and mitigation information to help state and local election officials understand the risk environment. CISA’s annual National Elections Exercise,Tabletop the Vote, included more than 1,100 participants from 48 states, 16 federal agencies, and 18 sector partners, addressing cyber and physical security challenges to election infrastructure.  ・CISAは、アメリカの選挙が安全かつ確実に行われるようにするために重要な役割を果たしています。私たちは、50の州、コロンビア特別区、米国準州のすべてと協力して、選挙の安全確保に取り組んでいます。この活動には、何百もの選挙インフラのセキュリティ評価や、何百もの管轄区域における定期的なサイバーセキュリティの脆弱性スキャンが含まれます。また、3,400人のメンバーからなる選挙インフラ情報共有・分析センターでの活動も含まれます。このセンターでは、州や地方の選挙担当者がリスク環境を理解できるよう、脅威や緩和策に関する情報をリアルタイムで実用的に提供しています。CISAの年次全国選挙演習「Tabletop the Vote」には、48州、16の連邦政府機関、18のセクターパートナーから1,100人以上が参加し、選挙インフラに対するサイバー・セキュリティと物理セキュリティの課題に取り組みました。
•       Around the country, we supported 194 incidents and 197 special events over the past year. We also  triaged 37,875 cyber incident reports, acting on 2,609 incidents requiring CISA’s assistance.   ・昨年は、全米で194のインシデントと197の特別イベントをサポートしました。また、37,875件のサイバーインシデントレポートをトリアージし、CISAの支援を必要とする2,609件のインシデントに対応しました。 
•       CISA executed six U.S. Department of State-funded international capacity building programs reaching more than 1,000 participants from 31 countries in FY22.  ・CISAは、米国務省が資金提供する6つの国際的な能力向上プログラムを実施し、22年度には31カ国から1,000人以上の参加者を得ました。
UNIFYING AS “ONE CISA”   One CISA "としての統一  
•       CISA committed to making 2022 the Year of Mental Health and Wellbeing. Throughout the year, CISA hosted 10 Town Halls with world-renowned wellness experts, medical professionals, and mental health advocates focused on the science behind mental health, practical tips on how to prevent and combat burnout, and the imperatives for any organization to safeguard wellbeing in its workforce.  ・CISAは、2022年を「メンタルヘルスとウェルビーイングの年」とすることを約束しました。CISAは年間を通じて、世界的に著名なウェルネス専門家、医療専門家、メンタルヘルス支援者を招いて10回のタウンホールを開催し、メンタルヘルスの背後にある科学、燃え尽き症候群の予防と対策に関する実践的なヒント、従業員のウェルビーイングを保護するための組織の必須事項などに焦点を当てました。
•       CISA is dedicated to advancing, welcoming, and celebrating all forms of diversity from neurodiversity, diversity of gender identity, race, ethnicity, sexual orientation, age, religion, disability, and social and economic background. Diversity of experience equals diversity of thought and that makes us better problem solvers. In FY22, we instituted a mandatory instructor-led, two-session training—Stronger Together: The Power of Diversity & Inclusion, which was completed by over 2100 employees.  ・CISAは、神経変性疾患、性同一性、人種、民族、性的指向、年齢、宗教、障害、社会的・経済的背景の多様性など,あらゆる形態の多様性を推進し,歓迎し,賞賛することに専心しています。経験の多様性は思考の多様性と同じであり,それが私たちをより良い問題解決者にしてくれます。22年度には,インストラクターによる2セッションのトレーニング「Stronger Together」を義務化しました。この研修は2100人以上の従業員が受講しました。
•       In FY22, Congress took the important step to fund positions to stand up a contracting office in CISA.  The development of this office, along with delegated procurement authorities, now allows CISA to directly coordinate the planning, execution, and administration of the agency’s contracts. For vendors wanting to do business with us, our new procurement capability enables industry to directly interact with our Contracting Officers and Program Offices on specific contract requirements.  ・22年度には、議会はCISAに契約事務局を設置するための資金を提供するという重要なステップを踏んだ。 このオフィスの整備と調達権限の委譲により、現在、CISAは省庁の契約の計画、実行、管理を直接調整することができるようになりました。CISAとの取引を希望するベンダーにとっては、この新しい調達能力により、特定の契約要件についてCISAの契約担当者やプログラムオフィスと直接やり取りすることが可能になります。

 

・ブログ

・2023.01.12 LOOKING BACK TO CHART OUR PATH FORWARD

 

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

2022.09.21 米国 CISA 戦略計画 2023-2025

| | Comments (0)

2023.01.16

PwC サイバーセキュリティに関するグローバルの調査と日本の調査

こんにちは、丸山満彦です。

所属組織の宣伝めいた内容はブログに書かないのですが、これは例え所属組織でなかったとしても、多くの人に読んでもらいたいと思ったので、紹介です。。。

一つは、グローバル3,500名を超える役員に調査をした結果をまとめたものです。(日本語で読めます...)

サイバーセキュリティ対策は経営問題なのから、経営者 (CxO) がまさにBoard Roomに集まって議論をして対応をしましょう。という話です。経営者であれば、取締役会や経営会議で会社の重要事項を色々と議論し、会社の方針として決議していると思いますが、それと同じレベルで、同じことをすべきですよね。という話です(当たり前といえば当たり前の話ですが。。。)

その議論の時に、CEOならその立場を利用してどういう貢献ができるか?、CFOならどうか?、CIOならどうか?、さらには株主の委任を受けた取締役としてはどうか?というような話が書いています。。。

日本では橋渡し人材の話が出ていますが、それはもちろん重要なのですが、一段上のCxOのレベルで本当に議論しましょうね!という話です。。。

 

PwC Japan

・2023.01.11 サイバー有事に備えたCxOの結束の必要性『Global Digital Trust Insights 2023年版』調査結果より

・[PDF

20230114-233041

オリジナルはこちら...

A C-suite united on cyber-ready futures - Findings from the 2023 Global Digital Trust Insights

・[PDF] (情報入力が求められます...)

20230114-233105

 


 

もう一つは、日本の調査ですが、その結果を踏まえて、一歩先をいくサイバーセキュリティ対策を考えています。情報に基づいてセキュリティ対策をダイナミック(動的)に変えていくという考え方です。

ただ、この考え方は、私がNISCにいるときに、すでに亡くなられた山口先生とも議論していた話(当時はMoving Targetにいかに対応するかという文脈でした)で、目新しいわけではないのですが、その重要性がより高まり、かつ、それが実施できる環境も整ってきたということだと思います。

 

例えば、

総合科学技術会議 基本政策推進専門調査会 分野別推進戦略総合PT

・2007.01.18 [PDF] 総合科学技術会議 基本政策推進専門調査会 分野別推進戦略総合PT 第1回情報通信PT 議事録 (2006.12.19開催)


○山口委員

...セキュリティの問題として嫌なのが、1個やれば全部片づくというわけではなくて、リスクの変化というのがありますので、ムービングターゲットを追っかけていくというところがあって、常にいろんな問題が出てくる。また、こういったリスク低減を目指すという研究をやっていっても、ある一定の成果を出しても、すぐにリスクは変容するというようなところで、同じテーマの名前でどんどん研究が変わっていくという特性なんかもあるわけです。

...

それからもう一つは、先ほど申し上げましたリスク低減型研究というのに関しては、レビューが必要であると思っています。これは特にムービングターゲットを持っているという性質上、変化するリスクを可視化することで本当に最初計画されていた幾つかの問題というのを解くと。例えば、スパムを解くとか、ボットを解くとか、いろいろ解くものを決めているんですけれども、これらの質が変わるというところで、本当に状況の変化にキャッチアップすることをちゃんとやっているのかどうかということをやることで、施策の中で足りない領域をちゃんとアイデンティファイすること。それから、萌芽的研究が存在するかを見ていくということがあります。


 

● IT media

・2005.06.03 Linuxが情報セキュリティ管理に果たす役割とは?


われわれを取り巻くIT環境はどんどん変化している。結果として、セキュリティ管理の目標も変動する。「ムービングターゲットを追求していかなければならない。『あのときはOKだったからこれでいい』とか『他社がこうしているのだからうちもこうしよう』ではだめ」(山口氏)。

 逆に、情報セキュリティ管理をしっかり実現していくことで、「これまで利益を生み出さない『ロスセンター』と言われてきたけれど、業務を改善し、強くて耐久性のあるビジネスを作り出すツール」(同氏)として位置付けていくことができるとした。


 

さて、肝心のPwCの報告書ですが、こちらです。。。

・2023.01.12 2023年 Cyber IQ調査 ―インテリジェンス活用によるダイナミックなセキュリティ対策への転換

・[PDF

20230115-02140

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.12.07 日本企業のセキュリティの状況の調査 PwC 2021年 Cyber IQ 調査―機先を制するセキュリティへの転換

 

 

| | Comments (0)

2023.01.15

読みました! 「偽情報戦争」

こんにちは、丸山満彦です。

JPCERT/CCの小宮山さんも執筆者に加わっている「偽情報戦争」[amazon] を読み終えました。。。

 

81ocef7jnul

 

まず、専門書ではないです。これからの議論のきっかけとなるための書物という感じでしょうか。。。とても、読みやすく、スラスラとあっという間に読めました。

読みやすし、きっかけに是非一読を。。。というのが私のコメントです。。。

全体としては、認知戦に関する話で、その認知戦にIT技術(AI等)、サイバー空間(SNS等)が手段としての重要性を帯びてきている現状をどのように理解したら良いのだろうか?ということで書かれているように思いました。。。

この正月休みに、司馬遼太郎の「ロシアについて」、陳舜臣の「中国五千年」を読んだところだったので、ロシア、中国の認知戦の話についても興味深く読むことができました(あまり関係ないですが...)。

最初に表1外交・安全保障における世論形成手段を示してくれているので、素人には言葉による誤解が防げてよかったです。。。

パブリック・ディプロマシー Public Diplomacy 自らの国益に資するべく、相手国世論に直接働きかけ、自国のイメージやプレゼンスを向上させる。公共外交や広報外交などともいわれる(外務省は広報文化外交としている)。透明性があり、相手を魅了するための外交手段とされる。実行形態として①Listening(傾聴)、②Advocacy(立場の主張)、③Cultural Diplomacy(文化外交)、④Exchange Diplomacy(交流外交)、⑤International Broadcasting(国際放送)に区分されることが多い。
プロパガンダ Propaganda 不特定多数の大衆を一定の方向に導き、行動を起こさせるため、社会心理的な手法で特定の考え方や価値観を植え付ける組機的な活動。
影響工作 Influence Operation 平時から有事、そして紛争後に、相手国世論の意見や態度を自らの国益と目的を促進させる方向に醸成するため、外交、軍事、経済、サイバー、情報、その他の能力を統合・連携させ適用すること。
戰略的コミュニケーション Strategic Communication 国家目標を推進するために、協調的行動、メッセージ、イメージ、その他の形態のシグナリングまたはエンゲージメントによって、特定の聴衆に情報発信し、影響を与え、説得しようとすること。単なる広報活動や情報操作、世論操作と異なる。
情報作戦 Information Operations 電子戦、コンピュータ・ネットワーク作戦、心理作戦、オペレーション・セキュリティ、欺瞞作戦の中核的能力を、特定の支援・関連能力と連携して統合的に活用し、敵対する人間や自動意思決定に影響を与え、混乱させ、あるいは奪し、同時に自国の意思決定を保護する作戦。米国防総省が行う作戦との解釈もされる。
情報戦 Information Warfare 自国の情報空間をコントロールし、自国の情報へのアクセスを防護しながら、相手の情報を取得・利用し、情報システムを破壊し、情報の流れを混乱させることで相手に対して優位に立つ作戦。一方、中国の指す情報戦は平時の影響工作や心理戦など幅広く含まれるとの解駅もされる。
ディスインフォメーション・キャンペーン Disinformation Campaigns 経済的・政治的目的を達成するため、意図的に世論を敷くために作り出されたディスインフォメーション(偽情報)を拡散し、公共に害を与える活動。民主的な政治や政策決定に対する脅威につながる。
認知戦 Cognitive Warfare ターゲットとなる国民、組織、国家を干渉または不安定化させることを目的とし、ターゲットの考え方や選択に影響を与え、意思決定の自律性を弱体化させるために用いられる作戦。認知戦に係る活動は軍事に限らず政治、経済、文化、社会など人々の日常生活全体に適用される。ディスインフォメーションも用いられる。
ハイブリッド戦 Hybrid Warfare 国家および非国家の在来型手段と非在来型手段の相互作用や融合を伴う戦争。戦争と平時の境界線が不明瞭になるといった特徴を持つ。
三戦 Three Warfares 世論戦、心理戦、法律戦を指し、軍事的および経済的手段であるハードパワーを用いることなく敵を弱体化させる戦術。2003年に中国人民解放軍政治工作条例に記載された。
シャープパワー Sharp Power 権戚主義国家が強制や情報の歪曲、世論操作などの強引な手段を用い。主に民主主義国家の政治環境や情報環境を「刺す」「穿孔する」ことで、自国の方針をのませようとする力。

 

小宮山さんが、民主主義の危機を気にされていますね。。。

個人的には、民主主義を守るのは、(1)民主主義を守る目的を達成するために必要となる知的情報処理能力の個人個人の高さとその分布の問題と(2)その結果に基づいて行動を起こすことだろうと思っています。。。民主主義は高尚な思想かつ勇気がいる仕組みなのです(^^)。

多くの情報に溢れている(玉石混淆の)現在社会において、個人個人が適切に情報を処理し、適切な行動を起こせるようになるかが重要なのだろうと思っています。そのためには、個人個人がそれなりに思慮深く、かつ行動を起こせないといけないように思います。。。そのような、人間が育つ、あるいは育てるような社会になっているか。。。ということが問題なのかもしれませんね。。。

 

 


 

平和博さんのブログ新聞紙学的も是非是非です。。。

 

まるちゃんの情報セキュリティ気まぐれ日記

日本ファクトチェックセンターの話...

・2022.09.30 日本ファクトチェックセンター

 

グローバルリスクでも、偽情報はそれなりのポジションです。。。

・2023.01.12 世界経済フォーラム (WEF) The Global Risks Report 2023 18th Edition グローバルリスク報告書2023

・2022.01.14 世界経済フォーラム (WEF) The Global Risks Report 2022 17th Edition - 2022年のグローバルリスクのトップは、気候変動への適応の失敗と社会的危機

・2021.01.21 世界経済フォーラム The Global Risks Report 2021 16th Edition - 世界は長期的リスクへの対応に目覚めるべきである

 

中国のDeap Fake等に対する対策など...

・2022.12.23 中国 インターネット情報サービス深層合成管理規定についての専門家のコメント... (2022.12.12)

・2022.12.17 中国 インターネット情報サービス深層合成管理規定 (深層合成で作ったものにはマークを...)(2022.11.25)

・2022.09.12 中国 インターネットポップアップ情報プッシュ型サービス管理規定と偽情報の取締り

・2022.08.15 中国 国家サイバースペース管理局 インターネット情報サービスのアルゴリズム申請に関する情報公開の公告

・2022.01.30 中国 国家サイバースペース管理局 意見募集 インターネット情報サービスの深層合成の管理に関する規定(意見募集稿)

・2022.01.05 中国 インターネット情報サービスのアルゴリズム推奨管理規則

・2021.08.28 中国 意見募集 国家サイバースペース管理局 「インターネット情報サービスのアルゴリズムによる推奨に関する管理規定」

 

その他。。。

・2022.12.18 国家安全保障戦略が閣議決定されましたね。。。(2022.12.16) 対英訳付き...

・2022.12.14 ENISA 外国人による情報操作と干渉(FIMI)とサイバーセキュリティ - 脅威状況

・2022.11.28 防衛省 防衛研究所 中国安全保障レポート2023 ― 認知領域とグレーゾーン事態の掌握を目指す中国 ―

・2022.10.30 米国 国防総省:サイバー軍 CYBER101 - Defend Forward and Persistent Engagement (2022.10.25)

・2022.10.11 米国 FBI 中間選挙を前にサイバーセキュリティについて議論

・2022.08.27 米国 サイバー司令部:米サイバー軍とNSAは中間選挙をどう守るか。一つのチーム、一つの戦い

・2022.08.26 スイス ETH Zürichsで公表されている最近のサイバー作戦、サイバー攻撃等、サイバー関連の最近の記事、論文

・2022.08.14 米国 国土安全保障省 監察官室 国土安全保障省は偽情報キャンペーンに対する統一的な戦略が必要

・2022.08.01 MITRE 誤情報・偽情報の研究課題調査:主要なテーマ

・2022.07.21 カナダ サイバーセキュリティセンター 「サイバー脅威報告:ロシアのウクライナ侵攻に関連するサイバー脅威活動」 (2022.07.14)

・2022.06.06 NATO CCDCOE 選挙干渉への対抗をテーマにしたイノベーションチャレンジ(52大学から56チームが参加)

・2022.04.01 ロシア 外務省 米国とその衛星国による継続的なロシアへのサイバー攻撃についての声明

・2021.12.23 CSET AIと偽情報キャンペーンの未来 パート1:RICHDATAフレームワーク

・2021.12.16 CISA 新しいサイバーセキュリティ諮問委員会の設立会合を開催(委員長等の選任と5つの小委員会の設立)

・2021.12.07 2021.12.09,10開催予定 Summit for Democracy 民主主義サミット + 中国的民主主義 + ロシアの批判 + EUの参加報告書+米国政府まとめ

・2021.08.10 EU議会 STUDY ヨーロッパの政策におけるディープフェイクへの取り組み at 2021.07.30

・2021.07.01 防衛研究所 中国が目指す認知領域における戦いの姿

・2021.06.04 欧州検査院 特別報告書 EUに影響を与える偽情報:対処しても対処しきれない

・2021.05.24 自動で偽の情報を作成するマシーンはできるのか?

・2021.05.03 U.S. CISA 偽情報・誤情報の脅威とその対応方法についての(いかにもアメリカンな)漫画

・2022.01.26 英国王立学会 オンライン情報環境(フェイク情報は削除すべき、削除すべきでない?)at 2022.01.19

・2021.01.26 RAND研究所 真実の崩壊に対抗するためのメディアリテラシー標準についての報告

・2021.01.18 新聞紙学的(平和博さんのブログ) - ディープフェイクスにどれだけ騙される? 意外な実験結果とは

・2020.12.07 民主主義を守るための偽情報との戦い

・2020.11.28 国連(UNICRI) テロリスト、過激派、組織犯罪グループがソーシャルメディアを悪用しCOVID-19対応中の政府への信頼失墜をさせようとしている

・2020.11.04 情報ネットワーク法学会 第20回研究大会

・2020.08.08 Interpol COVID-19により在宅勤務に関連する脆弱性と経済的利益が増加し、今後サイバー犯罪はさらに増える?

・2020.03.31 英国政府はCOVID-19に関する偽情報(misinformation)を取り締まるチームを設置したようですね。。。



 

| | Comments (0)

フランス CNIL 2024年オリンピック・パラリンピック:CNIL、法律案に関する意見を発表(遺伝子特徴の検査、拡張カメラ関係)

こんにちは、丸山満彦です。

フランスのCNILが、2024年オリンピック・パラリンピック:CNIL、法律案に関する意見を発表していますね。。。

ドローンにカメラをつけた拡張カメラや、ドーピング防止のためのDNA検査など、プライバシーに関わる問題があるからですかね。。。

 

CNIL

意見はこちら

・2023.01.04 Délibération n° 2022-118 du 8 décembre 2022 portant avis sur un projet de loi portant sur les jeux Olympiques et Paralympiques de 2024 (demande d’avis n° 22017438)

 

そのプレス。。。

・2023.01.04 Jeux olympiques et paralympiques 2024 : la CNIL publie son avis sur le projet de loi

 

Jeux olympiques et paralympiques 2024 : la CNIL publie son avis sur le projet de loi 2024年オリンピック・パラリンピック:CNIL、法律案に関する意見を発表
04 janvier 2023 2023年1月4日
La CNIL s’est prononcée le 8 décembre 2022 sur le projet de loi relatif aux Jeux olympiques et paralympiques de 2024 qui présente des enjeux forts en matière de protection des données personnelles et de vie privée. Ce projet introduit en particulier la possibilité de mettre en œuvre, à titre expérimental, des caméras dites « augmentées ». 2022年12月8日、CNILは、個人情報保護とプライバシーの面で大きな課題を抱える2024年のオリンピック・パラリンピックに関する法律案について意見を発表した。特に、本法案では、いわゆる「拡張カメラ」を試験的に導入する可能性を紹介している。
Le projet de loi relatif aux Jeux olympiques et paralympiques de 2024 contient plusieurs dispositions qui concernent directement la protection des données personnelles : 2024年オリンピック・パラリンピック競技大会に関する法律案には、個人情報の保護に直接関係するいくつかの条項が含まれている。
・l’autorisation de l’examen des caractéristiques génétiques ou de la comparaison d’empreintes génétiques pour les analyses antidopage ; ・ドーピング防止分析のための遺伝的特徴の検査又は遺伝的指紋の比較の認可。
・la mise en conformité du code de la sécurité intérieure (CSI) avec le RGPD et la directive « Police-Justice » ; ・内部セキュリティコード(ISC)をRGPDと「警察-正義」指令に一致させること。
・l’utilisation de traitements algorithmiques sur les images captées par des dispositifs de vidéoprotection ou des caméras installées sur des drones (appelés également « caméras augmentées ») afin de détecter et de signaler en temps réel des évènements prédéterminés susceptibles de menacer la sécurité des personnes ; ・映像監視装置やドローンに搭載されたカメラ(「拡張カメラ」とも呼ばれる)の映像をアルゴリズム処理し、個人の安全を脅かす可能性のある所定の事象をリアルタイムに検知・報告すること。
・l’extension des types d'images de vidéoprotection que les agents des services internes de la SNCF et de la RATP peuvent visionner lorsqu’ils sont affectés au sein des salles d’information et de commandement relevant de l’État ; ・SNCFとRATPの内部サービス担当者が、国の権限で情報・司令室に配属された際に閲覧できるビデオプロテクト画像の種類を拡大すること。
・l’élargissement de la procédure de « criblage » prévue par le CSI aux fan zones et aux participants aux grands évènements ; ・ISCが規定する「審査」手続きを、ファンゾーンや主要イベント参加者にまで拡大すること。
・la possibilité de mettre en place des scanners corporels à l’entrée de certains évènements. ・特定のイベントの入り口にボディスキャナーを設置する可能性。
Les enjeux pour la protection des données データ保護に関する課題
Dans son avis sur le projet de loi, la CNIL a examiné l'ensemble de ces dispositions et a relevé plusieurs enjeux majeurs pour la protection des données et la vie privée des personnes. 法案に関する意見書の中で、CNILはこれらの条項をすべて検討し、データ保護と個人のプライバシーに関するいくつかの大きな課題を指摘した。
Une mise en conformité nécessaire du code de la sécurité intérieure (CSI) avec le RGPD et la directive « Police-justice » 内部セキュリティコード(CSI)のRGPDおよび「警察・司法」指令への必要な適合性
La CNIL a rappelé à plusieurs reprises que plusieurs dispositions du CSI étaient obsolètes depuis l’évolution de la réglementation en matière de protection des données personnelles en 2018. Le projet de loi prévoit que les enregistrements visuels de vidéoprotection respectent les dispositions applicables en matière de protection des données personnelles. CNILは、2018年の個人情報保護に関する規制の進化以降、ISCのいくつかの規定が陳腐化していることを繰り返し指摘している。この法案では、映像保護録画は、個人情報の保護に関する適用可能な規定に従わなければならないと規定されている。
Une réforme plus globale des traitements des images dans les espaces ouverts au public sera cependant nécessaire pour sécuriser les acteurs et encadrer les usages. De plus, le CSI devra être complété pour prévoir un encadrement au niveau réglementaire de l’ensemble des droits des personnes concernées. しかし、一般に公開されている場所での画像処理については、関係者の安全確保や利用規制など、より包括的な改革が必要だろう。さらに、関係者のすべての権利について規制の枠組みを提供するために、ISCを完成させる必要がある。
Caméras « augmentées » pour assurer la sécurité des grands événements : création d’un cadre d’expérimentation 大型イベントのセキュリティを確保する "拡張 "カメラ:実験のためのフレームワークの構築
Le projet de loi crée un cadre expérimental permettant le recours, dans certaines conditions, à des traitements algorithmiques sur les images captées par les dispositifs de vidéoprotection ou des drones. Il doit permettre d'assurer la sécurité d’évènements sportifs, festifs ou culturels exposés à des risques d’atteintes graves à la sécurité des personnes, notamment de nature terroriste. この法案は、映像保護システムやドローンによって撮影された映像のアルゴリズム処理を、一定の条件の下で使用することを認める実験的な枠組みを作るものである。これは、スポーツ、祝祭、文化イベントなど、特にテロリストのような、個人の安全に対する深刻な脅威の恐れがある場合に、その安全を確保することを目的としている。
Ces traitements comportent des systèmes d’intelligence artificielle (IA), appelés « caméras augmentées ». Ils auront pour objet l’analyse automatique des images en temps réel, par des algorithmes, pour détecter des évènements prédéterminés, par exemple la détection de mouvements de foules, de bagages, de gestes ou de comportements suspects, etc. この処理には、「拡張カメラ」と呼ばれる人工知能(AI)システムも含まれる。その目的は、リアルタイムで画像を自動的に分析し、アルゴリズムを使って、例えば群衆の動き、荷物、不審なジェスチャーや行動など、あらかじめ決められた事象を検出することにある。
Le recours à ces dispositifs soulève des enjeux nouveaux et substantiels en matière de vie privée : ces outils d’analyse des images peuvent conduire à une collecte massive de données personnelles et permettent une surveillance automatisée en temps réel. Le déploiement, même expérimental, de ces dispositifs constitue un tournant qui va contribuer à définir le rôle général qui sera attribué à ces technologies, et plus généralement à l’intelligence artificielle. Dans sa position, publiée en juillet 2022, la CNIL avait appelé à fixer des lignes rouges pour ce type de dispositifs et proposé des pistes pour fixer un encadrement adapté s’ils devaient être utilisés pour certains cas d’usage. これらのデバイスの使用は、新たな実質的なプライバシー問題を提起する。これらの画像分析ツールは、個人情報の大量収集につながり、自動的なリアルタイム監視を可能にし得るからだ。 実験的とはいえ、これらのデバイスの導入は、これらの技術、そしてより一般的な人工知能に帰する一般的な役割を定義するのに役立つ転換点です。 2022年7月に発表されたCNILの見解では、この種のデバイスにレッドラインを設定することを求め、特定の目的で使用する場合に適切な枠組みを確立する方法を提案している。
Les garanties prévues par le projet de loi permettent de limiter les risques d’atteinte aux données et à la vie privée des personnes et vont dans le sens des préconisations formulées par la CNIL dans sa prise de position sur les caméras augmentées de juillet 2022 : 法案に規定されている保証は、個人のデータとプライバシー侵害のリスクを抑えることを可能にし、2022年7月の拡張カメラに関するポジションペーパーでCNILが行った提言に沿うものである。
・un déploiement expérimental ; ・実験的展開 ;
・limité dans le temps et l’espace ; ・時間的・空間的に限定された
・pour certaines finalités spécifiques et correspondant à des risques graves pour les personnes ; ・特定の目的のため、個人にとって重大なリスクに対応するため。
・l'absence de traitement de données biométriques ; ・生体情報の加工がないこと。
・l'absence de rapprochement avec d’autres fichiers ; ・他のファイルとの整合性をとらない。
・l'absence de décision automatique : les algorithmes ne servent qu’à signaler des situations potentiellement problématiques à des personnes qui procèdent ensuite à une analyse humaine. ・自動的な意思決定が行われないこと:アルゴリズムは、問題の可能性がある状況を報告するためにのみ使用され、その後、人間が分析を行うことになる。
L’examen des caractéristiques génétiques pour les analyses antidopage アンチドーピング分析用DNA検査
L’article 4 du projet de loi vise à autoriser l’examen des caractéristiques génétiques ou la comparaison des empreintes génétiques du sportif en prévoyant de nouvelles dérogations au code civil, à des fins de lutte contre le dopage. 法案の第4条は、ドーピングとの闘いのために、民法からの新たな適用除外を規定することにより、遺伝的特徴の検査や競技者の遺伝的指紋の比較を許可することを目的としている。
Le gouvernement souhaite, par ces mesures, transposer les dispositions du code mondial antidopage dans le droit français, en vue de l’organisation des Jeux olympiques. Si la transposition du code mondial antidopage est nécessaire, la CNIL a souligné qu’il s’agirait de tests particulièrement intrusifs, qui dérogent de façon importante aux principes encadrant actuellement les analyses génétiques dans le code civil. これらの措置により、政府は、オリンピックの開催を考慮して、世界ドーピング防止規程の規定をフランスの法律に移項することを希望している。世界アンチ・ドーピング規程の移管は必要だが、CNILは、この検査は特に侵入的であり、現在民法で定められている遺伝子解析の原則から大きく逸脱すると強調した。
Elle a par ailleurs appelé le gouvernement à préciser les modalités d’information et de recueil du consentement du sportif. また、アスリートへの情報提供や同意取得の手続きを明記するよう求めた。
L’avis de la CNIL puis du Conseil d’État sur ce projet de loi ont conduit le gouvernement à le modifier : un nouveau texte a ensuite été déposé au Sénat le 22 décembre 2022. Il faut noter que la CNIL ne s’est pas prononcée sur cette nouvelle version du texte. この法案に対するCNILとConseil d'Étatの意見により、政府は法案を修正し、新しい文章が2022年12月22日に上院に提出された。なお、CNILはこの新バージョンのテキストについて意見を述べていない。
L'avis de la CNIL CNILの意見
> Délibération n° 2022-118 du 8 décembre 2022 portant avis sur un projet de loi portant sur les jeux Olympiques et Paralympiques de 2024  > 2024年オリンピック・パラリンピック競技大会に関する法律案に関する審議第2022-118号(2022年12月8日)
Pour approfondir 詳細
> Déploiement de caméras « augmentées » dans les espaces publics : la CNIL publie sa position  > 公共スペースにおける「拡張」カメラの配備:CNILが見解を発表 

 

1_20220505035301

 

 

| | Comments (0)

米国 MITRE インテリジェンスのこれから:監視技術は現代生活の中に浸透している – インテリジェンス・コミュニティは対応しなければならない

こんにちは、丸山満彦です。

アドテックに代表される、顧客にカスタマイズした提案ができるように、顧客に関する情報を収集し、分析できるようにする技術(例えば、Facebookなど)が世の中に普及していますが、敵対的な国の情報機関は、このような情報を使った諜報活動を容易にすることができますよね。。。という、MITREによる話です。。。

 

MITRE - News & Insights

・2023.01.09 Surveillance Technologies Are Imbedded into the Fabric of Modern Life–The Intelligence Community Must Respond

Surveillance Technologies Are Imbedded into the Fabric of Modern Life–The Intelligence Community Must Respond 監視技術は現代生活の中に浸透している – インテリジェンス・コミュニティは対応しなければならない 
Today’s advertising technology, generating vast amounts of data that includes our identity, locations, and connections, has immense intelligence potential but also poses a threat from adversaries. The Intelligence Community can help develop countermeasures. 今日の広告テクノロジーは、私たちのアイデンティティ、位置、接続を含む膨大な量のデータを生成し、膨大なインテリジェンスの可能性を秘めているが、同時に敵対者からの脅威も引き起こす。インテリジェンス・コミュニティは、その対策に貢献することができる。
As we interact with our phones, websites, and the digital ecosystem, ubiquitous surveillance generates vast amounts of commercial data that creates enduring records of our identity, locations, and connections. This commercial surveillance data is collected, repackaged, and sold in a vast and largely unregulated commercial market and is readily available for purchase by companies around the world and by our adversaries. Despite its omnipresent nature, many national policymakers still do not fully appreciate the overarching national security considerations of commercial surveillance technology that continuously collects personal information, ostensibly to better tune advertising. 私たちが携帯電話やウェブサイト、デジタル・エコシステムを利用する際、ユビキタス監視によって膨大な量の商業データが生成され、私たちのアイデンティティ、場所、接続に関する永続的な記録が作成されます。この商業的監視データは、膨大でほとんど規制されていない商業市場で収集、再パッケージ化、販売されており、世界中の企業や敵対者が容易に購入できるようになっています。その遍在性にもかかわらず、多くの国家政策立案者は、表向きは広告をよりよく調整するために個人情報を継続的に収集する商業的監視技術の包括的な国家安全保障への配慮をまだ十分に理解していない。
The intelligence potential of this Advertising Technology or “AdTech” data is immense, and America's adversaries are leveraging commercial AdTech data to enhance their asymmetric capabilities. The IC is uniquely positioned to both have exquisite insights into adversarial capabilities and threats, as well as a detailed understanding of how the advanced analysis of how these data sets can yield actionable insights.  The IC should take action to understand and enumerate where in the ecosystem is there more risk and where effective countermeasures could strengthen defense and enhance security. このアドテクノロジー(AdTech)データによる諜報活動の可能性は計り知れず、アメリカの敵は商業アドテクデータを活用して非対称能力を高めている。ICは、敵対的な能力と脅威に関する精緻な洞察と、これらのデータセットの高度な分析が実用的な洞察をもたらす方法に関する詳細な理解の両方を持つユニークな立場にある。  ICは、エコシステムのどこにリスクがあり、どこに効果的な対策があれば防衛を強化し、セキュリティを向上できるかを理解し、列挙するための行動を取るべきである。

 

・[PDF]

20230115-20745

・[DOCX] 仮訳

 

 

 

 

| | Comments (0)

2023.01.14

米国 NIST SP 800-157 Rev. 1 (ドラフト) 派生した個人アイデンティティ検証 (PIV) クレデンシャルに関するガイドライン

こんにちは、丸山満彦です。

NISTが「 NIST SP 800-217 (ドラフト) アイデンティティ検証(PIV)連携に関するガイドライン」と同時に、「SP 800-157 Rev. 1 (ドラフト) 派生した個人アイデンティティ検証 (PIV) クレデンシャルに関するガイドライン」を公表し、意見募集をしていますね。。。

 

NIST - ITL

・2023.01.10 SP 800-157 Rev. 1 (Draft) Guidelines for Derived Personal Identity Verification (PIV) Credentials

SP 800-157 Rev. 1 (Draft) Guidelines for Derived Personal Identity Verification (PIV) Credentials SP 800-157 Rev. 1 (ドラフト) 派生した個人アイデンティティ検証 (PIV) クレデンシャルに関するガイドライン
Announcement 発表
Summary 概要
This publication complements FIPS 201-3, which defines the requirements and characteristics of government-wide interoperable identity credentials used by federal employees and contractors. The draft guidelines in SP 800-157r1 detail the issuance and maintenance of authenticators used as derived PIV credentials. この出版物は、連邦職員および請負業者が使用する政府全体の相互運用可能な ID クレデンシャ ルの要件および特性を定義する FIPS 201-3 を補完するものである。SP 800-157r1 のドラフトガイドラインは、派生 PIV クレデンシャルとして使用される認証子の発 行および保守について詳述している。
... ...
Note to Reviewers 査読者への注記
Draft NIST SP 800-157r1 Guidelines for Derived Personal Identity Verification (PIV) Credentials expands the use of derived PIV credentials beyond mobile devices to include non-PKI-based phishing-resistant multi-factor credentials. The draft details the expanded set of derived PIV credentials in a variety of form factors and authenticator types as envisioned in OMB Memoranda M-19-22 and M-22-09, and subsequently outlined in FIPS 201-3. The cross-domain and interagency use of these credentials is provided by federation protocols outlined in the initial public draft of SP 800-217, Guidelines for PIV Federation. Both documents are closely aligned with draft release SP 800-63-4, Digital Identity Guidelines. NIST hopes that the draft document enables a close alignment with new and emerging digital authentication and federation technologies employed in the federal government, while maintaining a strong security posture. 派生個人アイデンティティ検証(PIV)クレデンシャルに関する NIST SP 800-157r1 ガイドラインドラフトは、派生 PIV クレデンシャルの使用をモバイル・デバイスを超えて、非 PKI ベースのフィッシング耐性多要素クレデンシャルに拡大する。ドラフトは、OMB メモランダム M-19-22 および M-22-09 で想定され、その後 FIPS 201-3 で概説された、さまざまなフォームファクタおよび認証子タイプでの派生 PIV クレデンシャルの拡張セットについて詳述している。これらのクレデンシャルの分野横断的および省庁間の使用は、SP 800-217「PIV フェデレーション のガイドライン」の最初の公開ドラフトに概説されているフェデレーション・プロトコルによって提供され る。両方の文書は、ドラフト・リリース SP 800-63-4「デジタル ID ガイドライン」と緊密に連携している。NIST は、このドラフト文書によって、連邦政府で採用されている新し いデジタル認証およびフェデレーション技術と緊密に連携し、強力なセキュリティ体 制を維持することができるようになることを期待している。
NIST is specifically interested in comments on and recommendations for the following topics: NIST は、特に以下のトピックに関するコメントおよび推奨事項を求めている。
1. Are the new controls for issuance, use, maintenance, and termination of non-PKI-based derived PIV credentials clear and practical to implement? 1. 非 PKI ベースの派生 PIV クレデンシャルの発行、使用、維持、および終了に関する新しい管理は、 明確であり実施に実用的であるか。
2. Are phishing-resistant authenticators available to meet agency use cases as well as the requirements for derived PIV authentication? 2. フィッシング耐性のある認証器は、派生 PIV 認証の要件だけでなく、機関の使用事例を満たすために利用可能であるか。
3. Are the new controls sufficient to provide comparable assurance to PIV Cards and other derived PIV credentials? 3. 新しい管理は、PIV カードおよび他の派生 PIV クレデンシャルに匹敵する保証を提供す るのに十分であるか。
Abstract 概要
This recommendation provides technical guidelines for the implementation of standards-based, secure, reliable credentials that are issued by federal departments and agencies to individuals who possess and prove control of their valid PIV Card. These credentials can be either public key infrastructure (PKI)-based like the PIV Card or non PKI-based but verified by the individual's home agency. The scope of this document includes requirements for the initial issuance and maintenance of these credentials, certificate policies as applicable, cryptographic specifications, technical specifications for permitted authenticator types, and the command interfaces for removable implementations of such PKI-based credentials. この勧告は、連邦省庁が、有効な PIV カードを所有し、その管理を証明する個人に発行する、標 準ベースの安全で信頼できるクレデンシャルの実装のための技術的ガイドラインを提供する。これらのクレデンシャルは、PIV カードのように公開鍵基盤(PKI)ベースであるか、PKI ベースではないが個人の所属機関によって検証されるかのいずれかである。この文書の範囲には、これらのクレデンシャルの初期発行および保守の要件、該当する場合 の認証方針、暗号化仕様、許可された認証子タイプの技術仕様、およびこのような PKI ベースのクレデンシャルの取り外し可能な実装のためのコマンド・インターフェイスが含まれる。

 

・[PDF]  SP 800-157 Rev. 1 (Draft)

20230114-04629

 

目次...

1. Introduction 1. はじめに
1.1. Background 1.1. 背景
1.2. Purpose and Scope 1.2. 目的および範囲
1.3. Audience 1.3. 想定読者
1.4. Requirements Notation and Conventions 1.4. 要求事項の表記方法と慣例
1.5. Document Structure 1.5. 文書構造
1.6. Key Terminology 1.6. 主要用語
2. Lifecycle Activities and Related Requirements 2. ライフサイクル活動及び関連要求事項
2.1. Derived PIV Credential Lifecycle Activities 2.1. 派生 PIV クレデンシャル・ライフサイクル活動
2.2. Initial Issuance 2.2. 初期発行
2.2.1. PKI-based Derived PIV Credential Issuance 2.2.1. PKI ベースの派生 PIV クレデンシャルの発行
2.2.2. Non-PKI-based Derived PIV Credential Issuance 2.2.2. 非 PKI ベースの派生 PIV クレデンシャルの発行
2.3. Maintenance 2.3. 保守
2.3.1. PKI-based Derived PIV Credential Maintenance 2.3.1. PKI ベースの派生 PIV クレデンシャルの保守
2.3.2. Non-PKI-based Derived PIV Credential Maintenance 2.3.2. 非 PKI ベースの派生 PIV クレデンシャルの保守
2.4. Invalidation 2.4. 無効化
2.4.1. PKI-based Derived PIV Credential Invalidation 2.4.1. PKI ベースの派生 PIV クレデンシャルの無効化
2.4.2. Non-PKI-based Derived PIV Credential Invalidation 2.4.2. 非 PKI ベースの派生 PIV クレデンシャルの無効化
3. Technical Requirements 3. 技術要件
3.1. PKI-based Derived PIV Credentials 3.1. PKI ベースの派生 PIV クレデンシャル
3.1.1. Certificate Policies for Derived PIV Credentials 3.1.1. 派生 PIV クレデンシャルの証明書ポリシー。
3.1.2. Cryptographic Specifications 3.1.2. 暗号化仕様
3.1.3. Allowable Authenticator Types 3.1.3. 許可される認証機関タイプ
3.1.4. Activation Data 3.1.4. アクティベーションデータ
3.2. Non-PKI-based Derived PIV Credentials 3.2. 非 PKI ベースの派生 PIV クレデンシャル
3.2.1. Allowable Authenticator Types 3.2.1. 許可される認証機関タイプ
3.2.2. Cryptographic Specifications 3.2.2. 暗号化仕様
3.2.3. Activation Data 3.2.3. アクティベーションデータ
3.3. Binding Derived PIV Credentials 3.3. 派生PIVクレデンシャルのバインディング
References 参考文献
Appendix A. Digital Signature and Key Management Keys 附属書 A. デジタル署名およびキー管理キー
Appendix B. Data Model and Interfaces for Removable or Wireless PKI-based Hardware Cryptographic Devices 附属書 B. 取り外し可能またはワイヤレス PKI ベースのハードウェア暗号化装置のデータ・モデルおよびインター フェース
B.1. Derived PIV Application Data Model and Representation B.1. 派生PIV アプリケーション・データ・モデルおよび表現
B.1.1. Derived PIV Application Identifier B.1.1. 派生PIV アプリケーション識別子
B.1.2. Derived PIV Application Data Model Elements B.1.2. 派生PIVアプリケーション・データ・モデル要素
B.1.3. Derived PIV Application Data Objects Representation B.1.3. 派生PIVアプリケーション・データ・オブジェクトの表現
B.1.4. Derived PIV Application Data Types and Their Representation B.1.4. 派生PIVアプリケーション・データ型とその表現
B.1.5. Derived PIV Authentication Mechanisms B.1.5. 派生する PIV 認証機構
B.2. Derived PIV Application Token Command Interface B.2. 派生PIVアプリケーション・トークン・コマンド・インタフェース
B.2.1. Authentication of an Individual B.2.1. 個人の認証
Appendix C. Example Issuance Processes 附属書 C.発行プロセス例
C.1. Example Issuance of a Derived PIV Credential at AAL2 C.1. AAL2 での派生 PIV クレデンシャルの発行例
C.2. Example Binding of a Derived PIV Credential at AAL3 C.2. AAL3 での派生 PIV クレデンシャルのバインディング例。
Appendix D. Glossary 附属書 D. 用語集
Appendix E. Acronyms and Abbreviations 附属書 E. 頭字語および略語
Appendix F. Change Log 附属書 F. 変更履歴

 


余談ですが、国土交通省の内部監査部門である、Department of Homeland Security OIG (国土交通省監察官室)が、離職した従業員および請負業者の個人識別情報確認(PIV)カードへのアクセスを常に停止したり、セキュリティクリアランスを撤回したりしていなかったと報告していますね。。。

Oversight.Gov

・2023.01.09 DHS Did Not Always Promptly Revoke PIV Card Access and Withdraw Security Clearances for Separated Individuals

参考までに。。。

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.01.12 米国 NIST SP 800-217 (ドラフト) アイデンティティ検証(PIV)連携に関するガイドライン

・2022.12.19 NIST SP 800-63-4 (ドラフト) デジタル・アイデンティティ・ガイドライン 、63A-4 (ドラフト) 登録と身元確認、63B-4 (ドラフト) 本人認証とライフサイクル管理、63C-4 (ドラフト) 連携とアサーション

・2022.01.25 NIST FIPS 201-3 連邦職員および委託業者のアイデンティティの検証(PIV)

・2020.11.05 NIST FIPS 201-3 (Draft) Personal Identity Verification (PIV) of Federal Employees and Contractors 連邦政府職員および委託業者の個人認証(PIV)について

 

| | Comments (0)

2023.01.13

個人情報保護委員会 「犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会報告書(案)」に関する意見募集

こんにちは、丸山満彦です。

個人情報保護委員会が、「犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会報告書(案)」に関する意見募集をしていますね。。。

この論点は重要ですよね。。。

 

● 個人情報保護委員会

・2023.01.12 「犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会報告書(案)」に関する意見募集を開始しました。

● e-Gov.

・2023.01.12 「犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会報告書(案)」に関する意見募集について

意見募集対象...

・[PDF] 犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会報告書(案) 

20230113-33145

目次...


第 1 章  本報告書の背景

1 顔識別機能付きカメラシステムを巡る国内動向
2 本報告書の対象範囲について
(1)
取り扱う個人情報
(2) 顔識別機能付きカメラを設置する空間的範囲
(3) 顔識別機能付きカメラシステムを利用する目的
(4) 顔識別機能付きカメラシステムを利用する主体的範囲

3 本報告書の位置づけ

第 2 章 用語の定義

第 3 章 顔識別機能付きカメラシステムについて

1 顔識別機能付きカメラシステムやその他防犯システムの機能や動向
(1)
顔識別機能付きカメラシステムの技術的仕組み
(2) 顔識別機能付きカメラシステム以外の映像分析技術
(3) その他の防犯システム、対策

2 顔識別機能付きカメラシステムを利用することの利点・懸念点
(1)
顔識別機能付きカメラシステムを利用することの利点
(2) 顔識別機能付きカメラシステムを利用することの懸念点

3 犯罪予防や安全確保のために顔識別機能付きカメラシステムを利用することが想定される場面
(1)
犯罪予防
(2) 要保護者保護

第 4 章 肖像権・プライバシーに関する留意点

1 肖像権・プライバシー侵害を争点とする裁判例
(1)
肖像権・プライバシー侵害を争点とする判例
(2) カメラ撮影に関する肖像権・プライバシー侵害を争点とする裁判例における考慮要素
(3) 顔識別機能付きカメラシステムを利用する場合への示唆

2 不法行為の成否と個人情報保護法の関係
(
参考) カメラ撮影に関する肖像権・プライバシー侵害を争点とする裁判例

第 5 章  顔識別機能付きカメラシステムを利用する際の個人情報保護法上の留意点

1 顔識別機能付きカメラシステムの利用と個人情報保護法の適用について
2 利用目的の特定、通知公表及びその他の個人情報に係る規律
(1)
利用目的の特定
(2) 利用目的等の通知公表等
(3) 不適正利用の防止及び適正取得のための態様
(4) 利用目的の通知公表等の例外
(5) 要配慮個人情報について
(6) 従来型防犯カメラについての考え方

3 運用基準の在り方及び当該内容に関する透明性の確保
(1)
登録基準
(2) 対応手順
(3) 保存期間
(4) 登録消去
(5) 運用基準に関する透明性の確保

4 安全管理措置
5 他の事業者等に対する個人データの提供
(1)
法令に基づく場合
(2) 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき及び公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
(3) 委託
(4) 共同利用

6 保有個人データに係る情報の公表等及び開示等の請求や相談への対応
(1)
保有個人データについて
(2) 保有個人データに係る情報の公表等
(3) 開示等の請求や相談への対応

(
参考) 顔識別機能付きカメラシステムに関する委託

第 6 章 事業者の自主的な取組として考えられる事項

1 実現しようとする内容の明確化・適切な手段の選択
2 導入前の影響評価
3 被撮影者への十分な説明
4 他の事業者との連携
5 導入後の検証

別紙1:顔識別機能付きカメラシステムの利用を巡る国際的な議論
別紙2:顔識別機能付きカメラシステムの検討の観点リスト
別紙3:施設内での掲示案
(参考資料)犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

 

Fig_20220201061401

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

この委員会

・2022.12.24 個人情報保護委員会 第7回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.09.10 個人情報保護委員会 第6回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.06.24 個人情報保護委員会 第5回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.05.25 個人情報保護委員会 第4回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.04.17 個人情報保護委員会 第3回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.03.16 個人情報保護委員会 第2回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.02.01 個人情報保護委員会 第1回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2021.12.25 個人情報保護委員会 犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会の設置

 

顔認識

・2022.12.24 個人情報保護委員会 第7回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.12.09 世界経済フォーラム (WEF) 顔認識の責任ある制限のためのポリシーフレームワーク ユースケース:法執行機関の捜査 9つの原則 (2022.11)

・2022.11.01 第44回 世界プライバシー会議 顔認識に関する決議

・2022.10.03 米国 2022年顔認識法案

・2022.09.10 個人情報保護委員会 第6回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.07.10 米国 GAO 顔認識技術:連邦政府機関の利用と関連するプライバシー保護 (2022.06.29)

・2022.06.24 個人情報保護委員会 第5回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.05.30 英国 情報コミッショナー 顔認識データベース会社Clearview AI Incに750万ポンド以上の罰金を科し、英国人のデータの削除を命じた

・2022.05.20 欧州データ保護委員会 (EDPB) 意見募集「法執行分野における顔認識技術の使用に関するガイドライン」

・2022.01.21 ENISA デジタル・アイデンティティ攻撃に注意:あなたの顔が偽装される可能性があります

・2021.12.25 個人情報保護委員会 犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会の設置

・2021.10.17 インターポール、国連地域間犯罪司法研究所、オランダ警察、世界経済会議が「顔認証を責任もって制限するためのポリシーフレームワーク ユースケース:法執行機関の捜査」 at 2021.10.05

・2021.09.29 世界経済フォーラム (WEF) 技術の責任ある利用:IBMをケースにした研究

・2021.09.27 欧州委員会 職場での電子モニタリングと監視 (Electronic Monitoring and Surveillance in the Workplace)

・2021.09.10 EU議会 提言 バイオメトリクス認識と行動検知

・2021.08.28 中国 意見募集 国家サイバースペース管理局 「インターネット情報サービスのアルゴリズムによる推奨に関する管理規定」

・2021.08.27 米国 GAO 顔認識技術:連邦政府機関による現在および計画中の使用方法

・2021.08.20 英国 意見募集 監視カメラ実施規範改訂案 by 監視カメラコミッショナー at 2021.08.13

・2021.08.11 EU議会 STUDY バイオメトリクス認識と行動検知

・2021.08.10 EU議会 STUDY ヨーロッパの政策におけるディープフェイクへの取り組み at 2021.07.30

・2021.08.08 EU議会 BRIEFING スマートシティとアーバンモビリティにおける人工知能 at 2021.07.23

・2021.08.07 総務省 AIネットワーク社会推進会議 「報告書2021」の公表

・2021.08.07 Atlantic Council AIとデータ倫理におけるコミットメントからコンテンツへの移行:正義と説明可能性

・2021.08.04 中国 通信院 信頼できる人工知能についての白書 at 2021.07.09

・2021.08.03 中国 最高人民法院 「民事案件における顔識別技術の使用に関する司法解釈」

・2021.07.15 米国GAO 顔認識技術について連邦法執行機関はプライバシーやその他のリスクをより適切に評価する必要がある at 2021.06.03

・2021.07.12 ニューヨーク市 生体情報プライバシー条例が2021.07.09から施行されましたね。。。

・2021.06.30 WHO 保健のための人工知能の倫理とガバナンス

・2021.06.28 EU 外交政策ツールとしての人工知能ガバナンス

・2021.06.23 欧州 EDPBとEDPS 公共の場における人の特徴を自動認識するためのAIの使用、および不当な差別につながる可能性のあるその他のAIの使用の一部を禁止するよう要請

・2021.06.22 欧州保険職業年金局 (EIOPA) 欧州保険セクターにおける倫理的で信頼できるAIガバナンス原則に関するレポートを公表

・2021.06.20 英国 情報コミッショナー 公共の場でのライブ顔認識技術の使用に関するプライバシーの懸念

・2021.06.17 米国上院・下院 顔認識ツールを含む生体情報監視を政府が使用することを禁止する「顔認識および生体認識技術モラトリアム法案」

・2021.06.17 英国政府:データ倫理とイノベーションセンター プライバシーに関するユーザの積極的選択中間報告(スマートフォン)

・2021.06.08 U.S. の公益団体であるEPICが顔認識技術および遠隔生体認識技術の使用禁止を世界的に呼びかけていますね。。。

・2021.05.12 カナダのプライバシーコミッショナーが顔認識技術について議会で見解を述べたようですね。。。

・2021.05.07 ドイツ連邦情報セキュリティ局 (BSI) が「監査可能なAIシステムを目指して - 現状と今後の展望」を公表しています

・2021.05.03 中国 意見募集 顔認識に続けて、歩行認識、音声認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。

・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね

・2021.04.22 ドイツ連邦情報セキュリティ局 (BSI) が安全なAI導入のための対策をまとめていますね。。。

・2021.04.21 U.S. FTC(連邦取引委員会) のブログ 会社でAIを活用する場合は真実、公正、公平を目指そう、という記事がありますね。。。

・2021.03.14 CNIL 乗客のマスク着用率を測定するためのインテリジェントビデオの使用に関する法令についての意見を公表

・2021.02.05 カナダのプライバシーコミッショナーが顔認識ソフトウェアを提供するClearview AIについての声明を出していますね。。。

・2021.01.30 欧州評議会 108号条約委員会が「顔認証に関するガイドライン」を採択しましたね。。。

・2021.01.12 欧州委員会 市民イニシアティブとして「生体認証による大量監視慣行の禁止」を登録

・2021.01.04 ニューヨーク州 知事が学校での顔認識技術の使用を一時停止し、研究を指示する法律に署名 at 2020.12.22

・2020.11.04 カナダプライバシー委員会 Cadillac Fairview社が500万人の顔データを取得していたことに関する報告書(2020.10.28)

・2020.06.26 人間が間違うなら、人間を模倣したAIも間違うんでしょうね。。。

・2020.06.14 IBM, Amazon, Microsoftは顔認証システムを米国の警察には販売しない

・2020.05.01 (人工知能 AI)ブラックボックスの検証:アルゴリズムシステムを評価するためのツール - アルゴリズムの監査・影響評価のための共通言語の特定

・2020.03.26 JVNVU#99619336 勾配降下法を使用する機械学習モデルに、誤った識別をさせるような入力を作成することが可能な問題

・2020.03.04 FIRST EVER DECISION OF A FRENCH COURT APPLYING GDPR TO FACIAL RECOGNITION

・2020.02.17 遠くからでもわかる顔認識システム!

ぐっと遡って、2000年代

・2009.11.07 世界プライバシー宣言(Global Privacy Standards for a Global World)

・2005.08.11 外務省 IC旅券調査研究報告書

・2005.02.04 監視社会と信頼関係

| | Comments (0)

2023.01.12

世界経済フォーラム (WEF) The Global Risks Report 2023 18th Edition グローバルリスク報告書2023

こんにちは、丸山満彦です。

今年もグローバルリスク報告書が、ダボス会議を前に公表されていますね。。。

昨年と短期のリスクで比較すると...

Fig1_20230112162401

 

● World Economic Forum

・2023.01.11 Global Risks Report 2023

Global Risks Report 2023 グローバルリスク報告書2023
The world faces a set of risks that feel both wholly new and eerily familiar. The Global Risks Report 2023 explores some of the most severe risks we may face over the next decade. As we stand on the edge of a low-growth and low-cooperation era, tougher trade-offs risk eroding climate action, human development and future resilience. 世界は、全く新しいと同時に不気味なほど身近なリスクに直面している。「グローバルリスク報告書2023」は、今後10年間に我々が直面する可能性のある最も深刻なリスクのいくつかを探っている。低成長・低協力時代の端境期にある今、より厳しいトレードオフが気候変動対策、人間開発、未来のレジリエンスを侵食するリスクをはらんでいる。

 

・・Key Findings

Key Findings 主要な調査結果
The first years of this decade have heralded a particularly disruptive period in human history. The return to a “new normal” following the COVID-19 pandemic was quickly disrupted by the outbreak of war in Ukraine, ushering in a fresh series of crises in food and energy – triggering problems that decades of progress had sought to solve. この10年の最初の数年間は、人類の歴史上、特に破壊的な時代を告げるものであった。COVID-19のパンデミック後の「新しい日常」への回帰は、ウクライナでの戦争の勃発によってすぐに中断され、食糧とエネルギーにおける新たな一連の危機をもたらし、数十年の進歩が解決しようとしていた問題を引き起こした。
As 2023 begins, the world is facing a set of risks that feel both wholly new and eerily familiar. We have seen a return of “older” risks – inflation, cost-of-living crises, trade wars, capital outflows from emerging markets, widespread social unrest, geopolitical confrontation and the spectre of nuclear warfare – which few of this generation’s business leaders and public policy-makers have experienced. These are being amplified by comparatively new developments in the global risks landscape, including unsustainable levels of debt, a new era of low growth, low global investment and de-globalization, a decline in human development after decades of progress, rapid and unconstrained development of dual-use (civilian and military) technologies, and the growing pressure of climate change impacts and ambitions in an ever-shrinking window for transition to a 1.5°C world. Together, these are converging to shape a unique, uncertain and turbulent decade to come. 2023年が始まると、世界はまったく新しいと同時に、不気味なほど馴染みのあるリスクに直面することになる。インフレ、生活コスト危機、貿易戦争、新興国からの資本流出、広範な社会不安、地政学的対立、核戦争の脅威など、この世代のビジネスリーダーや公共政策決定者がほとんど経験していない「古い」リスクが再来している。これらは、持続不可能なレベルの債務、低成長の新時代、世界的な低投資と脱グローバリズム、数十年にわたる進歩の後の人間開発の衰退、急速かつ無制限の民生・軍事両用技術の開発、1.5℃の世界へ移行するための時間がますます短くなる中で高まる気候変動の影響と野心といった、世界のリスク情勢の比較的新しい展開によって増幅されつつあるのである。これらは、今後10年間をユニークで不確実、かつ激動的なものにするために集約されている。
The Global Risks Report 2023 presents the results of the latest Global Risks Perception Survey (GRPS). We use three time frames for understanding global risks. Chapter 1 considers the mounting impact of current crises (i.e. global risks which are already unfolding) on the most severe global risks that many expect to play out over the short term (two years). Chapter 2 considers a selection of risks that are likely to be most severe in the long term (10 years), exploring newly emerging or rapidly accelerating economic, environmental, societal, geopolitical and technological risks that could become tomorrow’s crises. Chapter 3 imagines mid-term futures, exploring how connections between the emerging risks outlined in previous sections may collectively evolve into a “polycrisis” centred around natural resource shortages by 2030. The report concludes by considering perceptions of the comparative state of preparedness for these risks and highlighting enablers to charting a course to a more resilient world. Below are key findings of the report. 「グローバルリスク報告書2023』は、最新のグローバルリスク認識調査(GRPS)の結果を示している。グローバルリスクを理解するために、3つの時間軸を使用している。第1章では、現在の危機(すなわち、すでに発生しているグローバルリスク)がもたらす影響のうち、多くの人が短期的(2年間)に発生すると予想する最も深刻なグローバルリスクについて考察している。第2章では、長期的(10年)に最も深刻になると思われるリスクを取り上げ、明日の危機となりうる経済、環境、社会、地政学、技術上のリスクが新たに出現し、あるいは急速に加速していることを探る。第3章では、中期的な未来を想定し、前章で説明した新たなリスクの関連性が、2030年までに天然資源不足を中心とした「無作為危機 (polycrisis) 」へと発展する可能性を探っている。最後に、これらのリスクに対する備えの比較状況について考察し、より強靭な世界への道筋を描くためのイネーブラを強調する。以下は、本レポートの主な調査結果である。
Cost of living dominates global risks in the next two years while climate action failure dominates the next decade 今後2年間のグローバルリスクは生活費に支配され、今後10年間は気候変動対策の失敗に支配される
The next decade will be characterized by environmental and societal crises, driven by underlying geopolitical and economic trends. “Cost-of-living crisis” is ranked as the most severe global risk over the next two years, peaking in the short term. “Biodiversity loss and ecosystem collapse” is viewed as one of the fastest deteriorating global risks over the next decade, and all six environmental risks feature in the top 10 risks over the next 10 years. Nine risks are featured in the top 10 rankings over both the short and the long term, including “Geoeconomic confrontation” and “Erosion of social cohesion and societal polarisation”, alongside two new entrants to the top rankings: “Widespread cybercrime and cyber insecurity” and “Large-scale involuntary migration”. 今後10年間は、地政学的・経済的なトレンドが背景にあり、環境的・社会的な危機が特徴的となる。「生活コスト危機」は、今後 2 年間で最も深刻なグローバルリスクとして位置づけられ、短期的にピークを迎える。 「生物多様性の損失と生態系の崩壊」は、今後 10 年間で最も急速に悪化するグローバルリスクの 1 つと見なされ、今後 10 年間のトップ 10 リスクに 6 つの環境リスクすべてが含まれている。短期と長期の両方で9つのリスクがトップ10に入り、「地政学的対立」「社会的結束の低下と社会の二極化」などがランクインし、「サイバー犯罪とサイバー不安の蔓延」、「大規模な非自発的移住」といった2つの新たなリスクが上位に加わっている。 
Figure A | Global risks ranked by severity over the short and long term 図A|グローバルリスクの短期・長期的な深刻度ランキング
20230112-155713
As an economic era ends, the next will bring more risks of stagnation, divergence and distress 経済の時代が終わり、次の時代には停滞、乖離、苦悩のリスクが増加する
The economic aftereffects of COVID-19 and the war in Ukraine have ushered in skyrocketing inflation, a rapid normalization of monetary policies and started a low-growth, low-investment era. COVID-19とウクライナ戦争の経済的後遺症は、高騰するインフレ、金融政策の急速な正常化をもたらし、低成長、低投資の時代を開始させた。
Governments and central banks could face stubborn inflationary pressures over the next two years, not least given the potential for a prolonged war in Ukraine, continued bottlenecks from a lingering pandemic, and economic warfare spurring supply chain decoupling. Downside risks to the economic outlook also loom large. A miscalibration between monetary and fiscal policies will raise the likelihood of liquidity shocks, signaling a more prolonged economic downturn and debt distress on a global scale. Continued supply-driven inflation could lead to stagflation, the socioeconomic consequences of which could be severe, given an unprecedented interaction with historically high levels of public debt. Global economic fragmentation, geopolitical tensions and rockier restructuring could contribute to widespread debt distress in the next 10 years. 政府や中央銀行は今後2年間、頑強なインフレ圧力に直面する可能性があり、特にウクライナ戦争の長期化の可能性、長引くパンデミックによるボトルネックの継続、経済戦争によるサプライチェーンの断絶を考えると、なおさらである。また、景気の下振れリスクも大きい。金融政策と財政政策の誤りは、流動性ショックの可能性を高め、景気後退の長期化と世界的な債務危機を示唆する。供給主導のインフレが続けばスタグフレーションになりかねず、歴史的に高水準の公的債務との前例のない相互作用を考えると、その社会経済的影響は深刻なものになる可能性がある。世界経済の断片化、地政学的緊張、より不安定な構造改革は、今後10年間に広範な債務苦につながる可能性がある。
Even if some economies experience a softer-than-expected economic landing, the end of the low interest rate era will have significant ramifications for governments, businesses and individuals. The knock-on effects will be felt most acutely by the most vulnerable parts of society and already-fragile states, contributing to rising poverty, hunger, violent protests, political instability and even state collapse. Economic pressures will also erode gains made by middle-income households, spurring discontent, political polarization and calls for enhanced social protections in countries across the world. Governments will continue to face a dangerous balancing act between protecting a broad swathe of their citizens from an elongated cost-of-living crisis without embedding inflation – and meeting debt servicing costs as revenues come under pressure from an economic downturn, an increasingly urgent transition to new energy systems, and a less stable geopolitical environment. The resulting new economic era may be one of growing divergence between rich and poor countries and the first rollback in human development in decades. 一部の国の経済が予想以上に軟調に推移したとしても、低金利時代の終焉は政府、企業、個人にとって大きな影響を及ぼすだろう。その影響は、社会の最も脆弱な部分やすでに脆弱な国家に最も深刻に感じられ、貧困や飢餓の増加、暴力的な抗議行動、政情不安、さらには国家の崩壊を助長することになるだろう。経済的圧力はまた、中所得世帯の利益を侵食し、世界中の国々で不満、政治的偏向、社会的保護強化の要求に拍車をかけるだろう。政府は、インフレを定着させることなく長引く生活コスト危機から多くの国民を守ることと、景気後退、新しいエネルギーシステムへの移行がますます急務となり、地政学的環境が安定しないことから歳入が圧迫される中で債務返済の費用をまかなうことのバランスをとる危険な行為に直面し続けることになるであろう。その結果、新しい経済時代は、富める国と貧しい国の間の乖離が拡大し、人間開発がここ数十年で初めて後退するものとなるかもしれない。
Geopolitical fragmentation will drive geoeconomic warfare and heighten the risk of multi-domain conflicts 地政学的な分断が地政学的戦争を促し、複数領域にわたる紛争のリスクを増大させる。
Economic warfare is becoming the norm, with increasing clashes between global powers and state intervention in markets over the next two years. Economic policies will be used defensively, to build self-sufficiency and sovereignty from rival powers, but also will increasingly be deployed offensively to constrain the rise of others. Intensive geoeconomic weaponization will highlight security vulnerabilities posed by trade, financial and technological interdependence between globally integrated economies, risking an escalating cycle of distrust and decoupling. As geopolitics trumps economics, a longer-term rise in inefficient production and rising prices becomes more likely. Geographic hotspots that are critical to the effective functioning of the global financial and economic system, in particular in the Asia-Pacific, also pose a growing concern. 経済戦争は常態化しつつあり、今後2年間はグローバル大国間の衝突と国家による市場への介入が増加する。経済政策は、自給自足とライバル国からの主権を確立するために防衛的に用いられるだけでなく、他国の台頭を抑制するために攻撃的に展開されることも多くなる。地政学的兵器の集中的な使用は、グローバルに統合された経済間の貿易、金融、技術の相互依存がもたらす安全保障上の脆弱性を強調し、不信とデカップリングのサイクルをエスカレートさせる危険性をはらんでいる。地政学が経済学を凌駕するようになると、非効率的な生産と価格の上昇がより長期化する可能性が高くなる。 また、世界の金融・経済システムが有効に機能するために不可欠な地理的ホットスポット、特にアジア太平洋地域の懸念が高まっている。
Interstate confrontations are anticipated by GRPS respondents to remain largely economic in nature over the next 10 years. However, the recent uptick in military expenditure and proliferation of new technologies to a wider range of actors could drive a global arms race in emerging technologies. The longer-term global risks landscape could be defined by multi-domain conflicts and asymmetric warfare, with the targeted deployment of new-tech weaponry on a potentially more destructive scale than seen in recent decades. Transnational arms control mechanisms must quickly adapt to this new security context, to strengthen the shared moral, reputational and political costs that act as a deterrent to accidental and intentional escalation. GRPSの回答者は、今後10年間、国家間の対立は主に経済的な性質にとどまると予想している。しかし、近年の軍事費の増加や、より広範な主体への新技術の普及は、新興技術における世界的な軍拡競争を促進する可能性がある。より長期的なグローバルリスクの状況は、マルチドメイン紛争と非対称戦争によって定義され、ここ数十年で見られたものより破壊的な規模で新技術の兵器が的を絞って展開される可能性がある。国境を越えた軍備管理メカニズムは、この新しい安全保障状況に迅速に適応し、偶発的・意図的なエスカレーションの抑止力として機能する道徳的、評判的、政治的コストの共有を強化する必要がある。
Technology will exacerbate inequalities while risks from cybersecurity will remain a constant concern 技術は不平等を悪化させるが、サイバーセキュリティによるリスクは常に懸念される。
The technology sector will be among the central targets of stronger industrial policies and enhanced state intervention. Spurred by state aid and military expenditure, as well as private investment, research and development into emerging technologies will continue at pace over the next decade, yielding advancements in AI, quantum computing and biotechnology, among other technologies. For countries that can afford it, these technologies will provide partial solutions to a range of emerging crises, from addressing new health threats and a crunch in healthcare capacity, to scaling food security and climate mitigation. For those that cannot, inequality and divergence will grow. In all economies, these technologies also bring risks, from widening misinformation and disinformation to unmanageably rapid churn in both blue- and white-collar jobs. 技術分野は、より強力な産業政策と国家介入の強化の中心的なターゲットとなる。国家補助や軍事費、民間投資によって、新興技術の研究開発は今後10年間、急速に進み、AI、量子コンピューティング、バイオテクノロジーなどの技術が発展していくだろう。余裕のある国にとっては、これらの技術は、新たな健康上の脅威や医療能力の不足への対応から、食糧安全保障の拡大や気候緩和まで、さまざまな新たな危機に対する部分的な解決策となるであろう。しかし、そうでない国にとっては、不平等と格差が拡大することになる。すべての経済において、これらの技術は、誤情報や偽情報の拡大、ブルーカラーおよびホワイトカラー両方の仕事の手に負えないほどの急速な変化など、リスクももたらす。
However, the rapid development and deployment of new technologies, which often comes with limited protocols governing their use, poses its own set of risks. The ever-increasing intertwining of technologies with the critical functioning of societies is exposing populations to direct domestic threats, including those that seek to shatter societal functioning. Alongside a rise in cybercrime, attempts to disrupt critical technology-enabled resources and services will become more common, with attacks anticipated against agriculture and water, financial systems, public security, transport, energy and domestic, space-based and undersea communication infrastructure. Technological risks are not solely limited to rogue actors. Sophisticated analysis of larger data sets will enable the misuse of personal information through legitimate legal mechanisms, weakening individual digital sovereignty and the right to privacy, even in well-regulated, democratic regimes. しかし、新技術の急速な開発・導入は、その使用を管理するプロトコルが限定されている場合が多く、それ自体がリスクをもたらす。技術と社会の重要な機能との結びつきがますます強まり、人々は社会機能を破壊しようとするものを含む直接的な国内脅威にさらされている。サイバー犯罪の増加とともに、農業や水、金融システム、公共安全保障、輸送、エネルギー、国内、宇宙、海底の通信インフラに対する攻撃が予想され、技術に対応した重要な資源やサービスを妨害しようとする試みがより一般的になっていくだろう。技術的なリスクは、不正な行為者だけに限られたものではない。大規模なデータセットの高度な分析により、合法的な法的メカニズムを通じて個人情報の悪用が可能になり、たとえ規制の厳しい民主主義体制であっても、個人のデジタル主権とプライバシーの権利が弱体化することが予想される。
Climate mitigation and climate adaptation efforts are set up for a risky trade-off, while nature collapses 気候緩和と気候適応の取り組みは、自然が崩壊する一方で、危険なトレードオフに設定されている
Climate and environmental risks are the core focus of global risks perceptions over the next decade – and are the risks for which we are seen to be the least prepared. The lack of deep, concerted progress on climate action targets has exposed the divergence between what is scientifically necessary to achieve net zero and what is politically feasible. Growing demands on public-and private-sector resources from other crises will reduce the speed and scale of mitigation efforts over the next two years, alongside insufficient progress towards the adaptation support required for those communities and countries increasingly affected by the impacts of climate change. 気候・環境リスクは、今後10年間のグローバルなリスク認知の中心であり、我々が最も備えができていないとされるリスクでもある。気候変動対策の目標に深く、協調的な進展が見られないことから、ネットゼロを達成するために科学的に必要なことと、政治的に実現可能なこととの間に乖離があることが露呈している。他の危機による官民のリソースへの要求の高まりは、今後2年間の緩和努力のスピードと規模を縮小させ、同時に、気候変動の影響をますます受けるコミュニティや国々に必要な適応支援への進展も不十分なものとなるだろう。
As current crises diverts resources from risks arising over the medium to longer term, the burdens on natural ecosystems will grow given their still undervalued role in the global economy and overall planetary health. Nature loss and climate change are intrinsically interlinked – a failure in one sphere will cascade into the other. Without significant policy change or investment, the interplay between climate change impacts, biodiversity loss, food security and natural resource consumption will accelerate ecosystem collapse, threaten food supplies and livelihoods in climate-vulnerable economies, amplify the impacts of natural disasters, and limit further progress on climate mitigation. 現在の危機が中長期的に発生するリスクから資源を流出させるため、世界経済と地球全体の健全性において未だ過小評価されている自然生態系への負担が増大する。自然の喪失と気候変動は本質的に相互に関連しており、一方の領域での失敗は他方に連鎖する。大きな政策転換や投資がなければ、気候変動の影響、生物多様性の損失、食料安全保障、天然資源消費の相互作用は、生態系の崩壊を加速させ、気候変動に脆弱な経済圏の食料供給と生活を脅かし、自然災害の影響を増幅し、気候緩和のさらなる進展を阻むだろう。
Food, fuel and cost crises exacerbate societal vulnerability while declining investments in human development erode future resilience 食糧危機、燃料危機、コスト危機が社会の脆弱性を悪化させる一方で、人間開発への投資の減少が将来の回復力を侵食する。
Compounding crises are widening their impact across societies, hitting the livelihoods of a far broader section of the population, and destabilizing more economies in the world, than traditionally vulnerable communities and fragile states. Building on the most severe risks expected to impact in 2023 – including “Energy supply crisis”, “Rising inflation” and “Food supply crisis” – a global Cost-of-living crisis is already being felt. Economic impacts have been cushioned by countries that can afford it, but many lower-income countries are facing multiple crises: debt, climate change and food security. Continued supply-side pressures risk turning the current cost-of-living crisis into a wider humanitarian crisis within the next two years in many import-dependent markets. 複合的な危機は、社会全体にその影響を拡大し、従来から脆弱なコミュニティや脆弱な国家よりも、はるかに広い範囲の人々の生活を直撃し、世界のより多くの経済を不安定にさせている。2023年に影響が予想される最も深刻なリスクである「エネルギー供給危機」「インフレ上昇」「食料供給危機」などを踏まえ、世界的な生活費危機が既に発生している。経済的な影響は、余裕のある国によって緩和されているが、多くの低所得国は、債務、気候変動、食糧安全保障という複数の危機に直面している。供給サイドからの圧力が続くと、輸入に依存する多くの市場において、今後2年以内に現在の生活費危機がより広範な人道的危機に転じるリスクがある。
Associated social unrest and political instability will not be contained to emerging markets, as economic pressures continue to hollow out the middle-income bracket. Mounting citizen frustration at losses in human development and declining social mobility, together with a widening gap in values and equality, are posing an existential challenge to political systems around the world. The election of less centrist leaders as well as political polarization between economic superpowers over the next two years may also reduce space further for collective problem-solving, fracturing alliances and leading to a more volatile dynamic. 経済的な圧力が中所得者層を空洞化させ、それに伴う社会不安や政情不安は新興国市場にとどまることはないだろう。人間開発の遅れや社会的流動性の低下に対する市民の不満の高まりは、価値観や平等性の格差の拡大とともに、世界中の政治体制に存亡の危機を突きつけている。今後2年間の経済大国間の政治的分極化と同様に、中道ではない指導者の選出も、集団的問題解決のための空間をさらに狭め、同盟関係を分断し、より不安定な力学に導くかもしれない。
With a crunch in public-sector funding and competing security concerns, our capacity to absorb the next global shock is shrinking. Over the next 10 years, fewer countries will have the fiscal headroom to invest in future growth, green technologies, education, care and health systems. The slow decay of public infrastructure and services in both developing and advanced markets may be relatively subtle, but accumulating impacts will be highly corrosive to the strength of human capital and development – a critical mitigant to other global risks faced. 公的資金の逼迫と安全保障上の懸念の競合により、次のグローバルな衝撃を吸収する能力は縮小している。今後10年間で、将来の成長、グリーン技術、教育、介護、医療制度に投資する財政的余裕を持つ国は少なくなるだろう。発展途上国と先進国の両市場における公共インフラとサービスの緩やかな衰退は比較的微々たるものかもしれませんが、その影響が蓄積されれば、直面する他のグローバル・リスクの重要な緩和策である人的資本と開発の強度に大きな腐食が生じるだろう。
Figure B | Short- and long-term global outlook 図B|短期および長期の世界的な見通し
20230112-155548
As volatility in multiple domains grows in parallel, the risk of polycrises accelerates 複数の領域で変動が並行して拡大する中、多発危機のリスクは加速する
Concurrent shocks, deeply interconnected risks and eroding resilience are giving rise to the risk of polycrises – where disparate crises interact such that the overall impact far exceeds the sum of each part. Eroding geopolitical cooperation will have ripple effects across the global risks landscape over the medium term, including contributing to a potential polycrisis of interrelated environmental, geopolitical and socioeconomic risks relating to the supply of and demand for natural resources. The report describes four potential futures centred around food, water and metals and mineral shortages, all of which could spark a humanitarian as well as an ecological crisis – from water wars and famines to continued overexploitation of ecological resources and a slowdown in climate mitigation and adaption. Given uncertain relationships between global risks, similar foresight exercises can help anticipate potential connections, directing preparedness measures towards minimizing the scale and scope of polycrises before they arise. 同時多発的なショック、相互に深く関連したリスク、レジリエンスの低下により、ポリクライシス(多発危機:異種の危機が相互に作用し、全体的な影響がそれぞれの部分の和をはるかに超えること)のリスクが生じつつある。地政学的な協力関係の悪化は、天然資源の供給と需要に関連する環境的、地政学的、社会経済的リスクの潜在的な多発危機に寄与するなど、中期的には世界のリスク環境に波及することになる。本報告書では、食糧、水、金属・鉱物の不足を中心とした4つの潜在的な未来について述べている。これらはすべて、水戦争や飢饉から生態系資源の継続的な乱開発、気候緩和と適応の減速に至るまで、生態系だけでなく人道的危機の火種となり得るものである。グローバルなリスク間の関係が不透明である以上、同様の予見演習を行うことで、潜在的な関連性を予測し、多発危機の規模や範囲を事前に最小化するための準備措置を講じることができる。
In the years to come, as continued, concurrent crises embed structural changes to the economic and geopolitical landscape, they accelerate the other risks that we face. More than four in five GRPS respondents anticipate consistent volatility over the next two years at a minimum, with multiple shocks accentuating divergent trajectories. However, respondents are generally more optimistic over the longer term. Just over one-half of respondents anticipate a negative outlook, and nearly one in five respondents predict limited volatility with relative – and potentially renewed – stability in the next 10 years. 今後、同時多発的に発生する危機が経済・地政学的な状況に構造的な変化をもたらし、我々が直面する他のリスクを加速させることになる。GRPSの回答者の5人に4人以上が、少なくとも今後2年間は一貫して不安定な状況が続くと予想しており、複数のショックが多様な軌道を際立たせると考えている。しかし、回答者は長期的には概して楽観的である。回答者の半数強がネガティブな見通しを立てており、5人に1人は今後10年間は変動が限定的で、相対的に(再び)安定すると予想している。
Indeed, there is still a window to shape a more secure future through more effective preparedness. Addressing the erosion of trust in multilateral processes will enhance our collective ability to prevent and respond to emerging cross-border crises and strengthen the guardrails we have in place to address well-established risks. In addition, leveraging the interconnectivity between global risks can broaden the impact of risk mitigation activities – shoring up resilience in one area can have a multiplier effect on overall preparedness for other related risks. As a deteriorating economic outlook brings tougher trade-offs for governments facing competing social, environmental and security concerns, investment in resilience must focus on solutions that address multiple risks, such as funding of adaptation measures that come with climate mitigation co-benefits, or investment in areas that strengthen human capital and development. 実際、より効果的な備えによって、より安全な未来を形成するための窓はまだ残されている。多国間プロセスに対する信頼の低下に対処することは、国境を越えた新たな危機を予防し、それに対処する我々の集団的能力を高め、確立されたリスクに対処するための我々のガードレールを強化することになる。さらに、グローバルなリスク間の相互関連性を活用することで、リスク軽減活動の効果を拡大することができる。ある分野のレジリエンスを強化することで、他の関連リスクに対する備え全体にも相乗効果が期待できる。経済の見通しが悪化し、社会、環境、安全保障の競合する問題に直面している政府にとって、より厳しいトレードオフを迫られる中、レジリエンスへの投資は、気候緩和のコベネフィットを伴う適応策への資金提供や、人的資本と開発を強化する分野への投資など、複数のリスクに対応する解決法に焦点を当てる必要がある。
Some of the risks described in this year’s report are close to a tipping point. This is the moment to act collectively, decisively and with a long-term lens to shape a pathway to a more positive, inclusive and stable world. 今年の報告書に記載されているリスクの中には、転換点に近いものもある。今こそ、より前向きで、包括的かつ安定的な世界への道筋を形作るために、集団的かつ断固として、長期的な視野で行動すべき時である。
Figure C | Global risks landscape: an interconnections map 図C|グローバルリスクランドスケープ:相互関連性マップ
20230112-155422

 

 

・・Full Report

・[PDF] Global Risks Report 2023

20230112-130856

 

・・Data on Global Risk Perceptions

・・Shareables

・・These are the biggest risks facing the world.

 

 

 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.01.14 世界経済フォーラム (WEF) The Global Risks Report 2022 17th Edition - 2022年のグローバルリスクのトップは、気候変動への適応の失敗と社会的危機

・2021.01.21 世界経済フォーラム The Global Risks Report 2021 16th Edition - 世界は長期的リスクへの対応に目覚めるべきである

| | Comments (0)

米国 NIST SP 800-217 (ドラフト) アイデンティティ検証(PIV)連携に関するガイドライン

こんにちは、丸山満彦です。

NISTが「 SP 800-157 Rev. 1 (ドラフト) 派生した個人アイデンティティ検証 (PIV) クレデンシャルに関するガイドライン」と同時に、「NIST SP 800-217 (ドラフト) アイデンティティ検証(PIV)連携に関するガイドライン」を公表し、意見募集をしていますね。。。

FIPS 201-3: Personal Identity Verification (PIV) of Federal Employees and Contractors(連邦職員および委託業者のアイデンティティの検証(PIV))を補完するものですね。。。

 

Fig1_20230112031001

NIST - ITL

・2023.01.10 SP 800-217 (Draft) Guidelines for Personal Identity Verification (PIV) Federation

SP 800-217 (Draft) Guidelines for Personal Identity Verification (PIV) Federation SP 800-217 (ドラフト) アイデンティティ検証(PIV)連携に関するガイドライン
Announcement 発表
Summary 概要
This publication complements FIPS 201-3, which defines the requirements and characteristics of government-wide interoperable identity credentials used by federal employees and contractors. The draft guidelines in SP 800-217 provide technical requirements on the use of federated PIV identity and the use of assertions to implement PIV federations backed by PIV identity accounts and PIV credentials. この出版物は、連邦職員および請負業者が使用する政府全体の相互運用可能な ID クレデンシャ ルの要件および特性を定義している FIPS 201-3 を補完するものである。SP 800-217 のドラフト・ガイドラインは、PIV ID アカウントおよび PIV クレデンシャルに支えられた PIV 連係を実装するために、連係した PIV ID の使用およびアサーションの使用に関する技術的要件を提供する。
Note to Reviewers 査読者への注記
The family of PIV credentials includes a variety of form factors and authenticator types – as envisioned in OMB Memoranda M-19-22 and M-22-09 and subsequently outlined in FIPS 201-3. The cross-domain and interagency use of these credentials is provided by federation protocols outlined in this public draft SP 800-217 Guidelines for PIV Federation. The companion document, SP 800-157r1 Guidelines for Derived PIV Credentials, details the authenticators themselves. Both documents are closely aligned with draft release SP 800-63-4 Digital Identity Guidelines. NIST hopes that the draft document enable a close alignment with new and emerging digital identity and federation technologies employed in the federal government, while maintaining a strong security posture. PIV クレデンシャル・ファミリは、OMB メモランダム M-19-22 および M-22-09 で想定され、その後 FIPS 201-3 で概説されたように、さまざまなフォーム係数および認証子タイプを含んでいる。これらのクレデンシャルの分野横断的および省庁間の使用は、この公開草案 SP 800-217 個人確認(PIV)連携に関するガイドライン で概説された連携プロトコルによって提供される。附属書の SP 800-157r1 派生した PIV クレデンシャルに関するガイドライン は、認証子そのものを詳述している。両方の文書は、ドラフト・リリース SP 800-63-4 デジタル・アイデンティティ・ガイドラインに密接に整合している。NIST は、このドラフトが、連邦政府で採用されている新し いデジタル ID および連携技術と緊密に連携し、強力なセキュリティ体制を維持できるようになることを期待している。
NIST is specifically interested in comments on and recommendations for the following topics: NISTは、特に以下のトピックに関するコメントおよび推奨事項を求めている。
Home Agency Attributes ホーム機関属性
・Are additional attributes needed in the guidelines to achieve interagency or cross-domain interoperability? ・機関間またはドメイン間の相互運用性を達成するために、ガイドラインに追加の属性が必要か?
・Are additional attributes required for RP provisioning and access? ・RP のプロビジョニングとアクセスに追加の属性が必要か?
PIV Federation PIV フェデレーション
・Are additional process steps or mechanisms needed for the connection and communication between home-IdP-to PIV identity account? ・ホーム-IDP-PIV ID アカウント間の接続と通信に追加のプロセス手順または機構が必要か?
・Do the required parameters for establishing trust agreements fit the use cases for PIV RPs? ・トラスト・アグリーメントを確立するために必要なパラメータは、PIV RP の使用事例に適合しているか?
・Are the required identity attributes sufficient for PIV use cases? ・要求される ID 属性は、PIV 使用事例にとって十分か?
・Are the federated subject identifier requirements sufficient for PIV use cases? ・連携対象識別子の要件は、PIV の使用事例にとって十分か?
・Is it clear how to apply the binding ceremony for RP-managed bound authenticators at FAL3 to PIV and non-PIV authenticators? ・FAL3 で RP が管理する結合認証子の結合式を PIV および非 PIV 認証子に適用する方法は明確か?
Abstract 概要
FIPS 201 defines the requirements and characteristics of government-wide interoperable identity credentials used by federal employees and contractors. It also calls for the federated use of those credentials. These guidelines provide technical requirements for federal agencies implementing digital identity services for federal employees and contractors and are not intended to constrain the development or use of standards outside of this purpose. This document focuses on the use of federated PIV identity and the use of assertions to implement PIV federations backed by PIV identity accounts and PIV credentials. Federation allows a PIV identity account to be used by relying parties outside the PIV identity account's home agency. FIPS 201 は、連邦職員および請負業者が使用する政府全体の相互運用可能な ID クレデンシャ ルの要件および特性を定義している。また、これらのクレデンシャルの連携利用を要求している。このガイドラインは、連邦職員および請負業者のためのデジタル ID サービスを実装する連邦機関 のための技術要件を提供し、この目的以外の標準の開発または使用を制約することは意図していない。この文書は、PIV ID アカウントおよび PIV クレデンシャルに裏付けられた PIV 連帯を実施するための、連 帯された PIV ID の使用およびアサーションの使用に重点を置いている。フェデレーションにより、PIV ID アカウントの所属機関以外の依拠当事者によって PIV ID アカウントが使用されるようになる。

 

・[PDF] SP 800-217 (Draft)

20230112-34623

 

目次...

Table of Contents  目次 
1. Introduction 1. はじめに
1.1. Background 1.1. 背景
1.2. Purpose and Scope 1.2. 目的および範囲
1.3. Federation Use Cases 1.3. 連携の使用例
1.3.1. Federation Considerations 1.3.1. 連携に関する考察
1.4. Audience 1.4. 想定読者
1.5. Notations 1.5. 表記方法
1.6. Document Structure 1.6. 文書構造
2. Architecture 2. アーキテクチャ
2.1. PIV Identity Account 2.1. PIV アイデンティティ・アカウント
2.2. Identity Providers 2.2. ID プロバイダ
2.2.1. Home IdP 2.2.1. ホーム IdP
2.2.2. PIV IdP 2.2.2. PIV IdP
2.3. PIV Credentials 2.3. PIV クレデンシャル
2.4. Relying Parties 2.4. 依拠当事者
3. Trust Agreements 3. トラスト・アグリーメント
3.1. Bilateral Agreements 3.1. 二者契約
3.2. Multilateral Agreements 3.2. 多者契約
3.3. Identity Proxies and Brokers 3.3. 身分証明書代理人および仲介業者
3.4. Shared Signaling 3.4. 共有シグナリング
3.5. Home IdPs 3.5. ホームIdP
4. Federation Assurance Level (FAL) 4. フェデレーション保証レベル(FAL)
4.1. Reaching Different FALs in PIV Federation 4.1. PIV 連盟における異なる FAL への到達
4.1.1. FAL1 4.1.1. FAL1
4.1.2. FAL2 4.1.2. FAL2
4.1.3. FAL3 4.1.3. FAL3
4.2. Selecting FAL 4.2. FALの選択
5. Requirements of IdPs and RPs 5. IdP と RP の要件
5.1. IdP Requirements 5.1. IdP の要件
5.1.1. Authentication Requirements 5.1.1. 認証の要件
5.1.2. PIV Identity Account Identification 5.1.2. PIV Identity アカウント識別
5.1.3. Session Management 5.1.3. セッション管理
5.2. RP Requirements 5.2. RP 要件
5.2.1. Assertion Processing 5.2.1. アサーション処理
5.2.2. RP Subscriber Accounts 5.2.2. RP 利用者アカウント
5.2.3. Session Management 5.2.3. セッション管理
5.2.4. Changing the Federated Identifier 5.2.4. 連携識別子の変更
6. Protocol Requirements 6. プロトコル要件
6.1. Required Attributes 6.1. 必要な属性
6.2. Assertion Contents 6.2. アサーション内容
6.2.1. Federated Identifier 6.2.1. 連携識別子
6.2.2. Authorization and Access Rights 6.2.2. 認証とアクセス権
6.3. Discovery and Registration 6.3. 発見と登録
6.4. Assertion Presentation 6.4. アサーションプレゼンテーション
6.5. Attribute APIs 6.5. 属性API
6.6. Identity Proxies and Brokers 6.6. IDプロキシとブローカー
References 参考文献
Appendix A. Examples 附属書A. 例
A.1. Direct Connection to the Home IdP A.1. ホームIdPへの直接接続
A.2. Multilateral Federation Network A.2. 多者間連携ネットワーク
A.3. Enterprise Application A.3. エンタープライズ・アプリケーション
A.4. PKI-Based Federation Gateway A.4. PKIベースの連携ゲートウェイ
A.5. PIV Federation Proxy as a Federation Authority A.5. 連携認証元としての PIV 連携プロキシ
A.6. FAL3 With a PIV Card A.6. FAL3 と PIV カード
A.7. FAL3 With an RP-Bound Authenticator A.7. RP バウンド認証機能付き FAL3
Appendix B. Glossary of Terms 附属書B. 用語集
Appendix C. Abbreviations 附属書C. 略語

 

2章 情報提供 PIV連携の一般的なアーキテクチャの記述。
3章 規範 PIV連携におけるトラスト・アグリーメントの記述。
4章 規範 PIV連携に適用されるフェデレーション保証レベルについての説明。
5章 規範 PIV連携における IdP と RP の要件についての説明。
6章 規範 アサーション・コンテンツを含む、PIV連携要素の要件。
参考文献 情報提供 本文書から参照される出版物のリスト
附属書A 参考資料 本文書で使用される特定の用語の用語集
附属書B 参考資料 本文書で使用される略語の抜粋リスト

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.01.14 米国 NIST SP 800-157 Rev. 1 (ドラフト) 派生した個人アイデンティティ検証 (PIV) クレデンシャルに関するガイドライン

・2022.12.19 NIST SP 800-63-4 (ドラフト) デジタル・アイデンティティ・ガイドライン 、63A-4 (ドラフト) 登録と身元確認、63B-4 (ドラフト) 本人認証とライフサイクル管理、63C-4 (ドラフト) 連携とアサーション

・2022.01.25 NIST FIPS 201-3 連邦職員および委託業者のアイデンティティの検証(PIV)

・2020.11.05 NIST FIPS 201-3 (Draft) Personal Identity Verification (PIV) of Federal Employees and Contractors 連邦政府職員および委託業者の個人認証(PIV)について

 

 

 

 

 

| | Comments (0)

2023.01.11

欧州 ETSI ホワイトペーパー:認知マネジメントによるオペレーターの体験の理解

こんにちは、丸山満彦です。

European Telecommunications Standards Institute; ETSI(欧州電気通信標準化機構)[wikipedia]がAIに関するホワイトペーパーを公開していますね。。。

認知プロセスの多面的な検討等を行っているようですね。。。

 


European Telecommunications Standards Institute; ETSI

・2023.01.09