« December 2022 | Main | February 2023 »

January 2023

2023.01.31

NPO デジタル・フォレンジック研究会のコラム by 丸山満彦 - 「「木を見て森を見ず」にならず、「神は細部に宿る」を忘れない」

こんにちは、丸山満彦です。

デジタル・フォレンジック研究会にコラムを載せました。

 IDF - Column

・2023.01.31 第754号コラム:「「木を見て森を見ず」にならず、「神は細部に宿る」を忘れない」

何をすべき構想をするときや、計画を立てるときは、振り返って良かったのか考える時は、全体感を持って物事をみることが重要となるのだろうし、ことが決まって実行をするときは、細かい点にも気をかけて丁寧にすることが重要ということなのかもしれませんね。。。

 


私が書いた「NPO デジタル・フォレンジック研究会」の「コラム」の一覧

 

No Date Title
28 754 2023.01.31 「木を見て森を見ず」にならず、「神は細部に宿る」を忘れない
27 731 2022.08.22 サイバー空間の安全に向けて: All for one, One for all
26 702 2022.01.31 サイバーセキュリティは空気のように社会全体に拡がる
25 678 2021.08.16 ティラノサウルスとスズメ
24 650 2021.02.01 データを科学的に分析する
23 627 2020.08.17 若者のサイバー犯罪を無くしたい。。。
22 600 2020.02.03 デジタルフォレンジックスと多様性
21 578 2019.08.26 未来を考えようと思うとき、人は過去を振り返る
20 551 2019.02.11 とらわれずに物事をみつめる
19 521 2018.07.09 AIは科学捜査を騙せるか?
18 493 2017.12.18 セキュリティ・デバイド?
17 474 2017.08.07 『デジタル・フォレンジック』という言葉を今更考える
16 451 2017.02.20 相手を知ることが重要
15 425 2016.08.15 本質を理解する
14 383 2015.10.12 名ばかりCSIRTで良いのか?
13 357 2015.04.13 IoT時代は明るいか暗いか
12 335 2014.11.03 頭を下げるのは社長です
11 308 2014.04.30 標的型攻撃には内部不正対応が重要?
10 286 2013.11.14 セキュリティガバナンスはできる範囲だけやればよいのか?
09 261 2013.05.23 セキュリティの基本はずっとかわっていない
08 240 2012.12.25 さらに組織化が進むサイバー攻撃集団
07 207 2012.05.10 外部から侵入されている想定で情報セキュリティを考える
06 173 2011.09.08 想定外に対応するのが危機管理ではないか
05 139 2011.01.13 データ分析を使った不正発見手法
04 131 2010.11.11 発見的統制の重要性
03 084 2009.12.10 クラウドコンピューティングがもたらす光と影
02 058 2009.06.11 不正をさせない
01 021 2008.09.25 ニーズとシーズ、目的と手段

| | Comments (0)

米国 司法省 ランサムウェアの亜種「Hive」を駆除 (2023.01.26)

こんにちは、丸山満彦です。

米国司法省が、ランサムウェアの亜種「Hive」を駆除したと公表していますね。。。

ニュースではざっと読んでいましたが、ブログに紹介する時間がなく...遅くなりました...

 

Fig2_20230206012001

 

U.S. Department of Justice

・2023.01.26 U.S. Department of Justice Disrupts Hive Ransomware Variant - FBI Covertly Infiltrated Hive Network, Thwarting Over $130 Million in Ransom Demands

U.S. Department of Justice Disrupts Hive Ransomware Variant 米国司法省がランサムウェアの亜種「Hive」を駆除
FBI Covertly Infiltrated Hive Network, Thwarting Over $130 Million in Ransom Demands FBIがHiveのネットワークに潜入し、1億3千万ドルを超える身代金要求を阻止
The Justice Department announced today its months-long disruption campaign against the Hive ransomware group that has targeted more than 1,500 victims in over 80 countries around the world, including hospitals, school districts, financial firms, and critical infrastructure. 司法省は本日、病院、学区、金融企業、重要インフラなど、世界80カ国以上で1,500人以上の被害者を対象にしたランサムウェアグループ「Hive」に対する数カ月にわたる破壊キャンペーンを発表した。
Since late July 2022, the FBI has penetrated Hive’s computer networks, captured its decryption keys, and offered them to victims worldwide, preventing victims from having to pay $130 million in ransom demanded. Since infiltrating Hive’s network in July 2022, the FBI has provided over 300 decryption keys to Hive victims who were under attack. In addition, the FBI distributed over 1,000 additional decryption keys to previous Hive victims. Finally, the department announced today that, in coordination with German law enforcement (the German Federal Criminal Police and Reutlingen Police Headquarters-CID Esslingen) and the Netherlands National High Tech Crime Unit, it has seized control of the servers and websites that Hive uses to communicate with its members, disrupting Hive's ability to attack and extort victims. 2022年7月下旬以降、FBIはHiveのコンピュータネットワークに侵入し、その解読キーを捕獲して世界中の被害者に提供し、被害者が要求された1億3千万ドルの身代金を支払う必要がないようにした。2022年7月にHiveのネットワークに侵入して以来、FBIは攻撃を受けていたHiveの被害者に300以上の復号鍵を提供した。さらにFBIは、これまでのHive被害者に1,000個以上の追加の復号化キーを配布した。最後に、同省は本日、ドイツの法執行機関(ドイツ連邦刑事警察およびロイトリンゲン警察本部-CIDエスリンゲン)およびオランダ国家ハイテク犯罪ユニットと連携し、ハイブがメンバーとの通信に使用しているサーバーとウェブサイトを掌握し、ハイブが被害者を攻撃し恐喝する能力を停止させたことを発表した。
“Last night, the Justice Department dismantled an international ransomware network responsible for extorting and attempting to extort hundreds of millions of dollars from victims in the United States and around the world,” said Attorney General Merrick B. Garland. “Cybercrime is a constantly evolving threat. But as I have said before, the Justice Department will spare no resource to identify and bring to justice, anyone, anywhere, who targets the United States with a ransomware attack. We will continue to work both to prevent these attacks and to provide support to victims who have been targeted. And together with our international partners, we will continue to disrupt the criminal networks that deploy these attacks.” Merrick B. Garland司法長官は、次のように述べた。「昨夜、司法省は、米国および世界中の被害者から数億ドルを恐喝したり、恐喝しようとした国際的なランサムウェアネットワークを解体した。サイバー犯罪は常に進化し続ける脅威である。しかし、以前から申し上げているように、司法省は、米国を標的としたランサムウェア攻撃を行う者を特定し、裁判にかけるために、いかなるリソースも惜まない。私たちは、こうした攻撃の防止と、標的となった被害者への支援の両方に取り組み続ける。また、国際的なパートナーとともに、こうした攻撃を展開する犯罪ネットワークを破壊し続ける。」
“The Department of Justice’s disruption of the Hive ransomware group should speak as clearly to victims of cybercrime as it does to perpetrators,” said Deputy Attorney General Lisa O. Monaco. “In a 21st century cyber stakeout, our investigative team turned the tables on Hive, swiping their decryption keys, passing them to victims, and ultimately averting more than $130 million dollars in ransomware payments. We will continue to strike back against cybercrime using any means possible and place victims at the center of our efforts to mitigate the cyber threat.” 司法省副長官リサ・O・モナコは次のように述べている。「司法省によるランサムウェアグループ「Hive」の破壊は、サイバー犯罪の被害者に対しても、加害者に対してと同様に明確に語りかけるべきものである。21世紀のサイバー張り込みにおいて、私たちの捜査チームはHiveに対抗し、彼らの復号化キーを盗んで被害者に渡し、最終的に1億3000万ドル以上のランサムウェアの支払いを回避することができた。私たちは、今後もあらゆる手段を使ってサイバー犯罪に反撃し、被害者を中心に据えてサイバー脅威を軽減していく。」
“The coordinated disruption of Hive’s computer networks, following months of decrypting victims around the world, shows what we can accomplish by combining a relentless search for useful technical information to share with victims with investigation aimed at developing operations that hit our adversaries hard,” said FBI Director Christopher Wray. “The FBI will continue to leverage our intelligence and law enforcement tools, global presence, and partnerships to counter cybercriminals who target American business and organizations." FBI長官クリストファー・レイは、次のように述べた。「数カ月にわたる世界中の被害者の解読に続き、Hiveのコンピュータネットワークを組織的に破壊したことは、被害者と共有すべき有益な技術情報の絶え間ない探索と、敵対者を徹底的に叩く作戦展開を目指した捜査を組み合わせることで、我々が何を達成できるかを示している。FBIは今後も、情報および法執行手段、グローバルな存在感、そしてパートナーシップを活用して、米国の企業や組織を標的とするサイバー犯罪者に対抗していく」。
“Our efforts in this case saved victims over a hundred million dollars in ransom payments and likely more in remediation costs,” said Assistant Attorney General Kenneth A. Polite, Jr. of the Justice Department’s Criminal Division. “This action demonstrates the Department of Justice’s commitment to protecting our communities from malicious hackers and to ensuring that victims of crime are made whole.  Moreover, we will continue our investigation and pursue the actors behind Hive until they are brought to justice.” 司法省刑事局の Kenneth A. Polite, Jr. 司法長官補佐官は、次のように述べた。「この事件における我々の努力により、被害者は身代金の支払いで1億ドル以上、修復費用でさらに多くの金額を節約することができた。今回の措置は、悪質なハッカーから地域社会を守り、犯罪被害者の救済を確保するという司法省の取り組みを示すものである。 さらに、我々は捜査を継続し、Hiveの背後にいる行為者が裁判にかけられるまで追及していく。」
“Cybercriminals utilize sophisticated technologies to prey upon innocent victims worldwide,” said U.S. Attorney Roger Handberg for the Middle District of Florida. “Thanks to the exceptional investigative work and coordination by our domestic and international law enforcement partners, further extortion by HIVE has been thwarted, critical business operations can resume without interruption, and millions of dollars in ransom payments were averted.”  フロリダ州中部地区連邦検事ロジャー・ハンドバーグは、次のように述べた。「サイバー犯罪者は高度な技術を駆使して、世界中の罪のない被害者を食い物にしている。国内外の法執行機関のパートナーによる卓越した捜査活動と連携のおかげで、HIVEによるさらなる恐喝は阻止され、重要な業務が中断なく再開でき、数百万ドルの身代金の支払いも回避された 。」 
Since June 2021, the Hive ransomware group has targeted more than 1,500 victims around the world and received over $100 million in ransom payments.   2021年6月以降、Hiveランサムウェアグループは、世界中の1,500人以上の被害者を標的とし、1億ドル以上の身代金の支払いを受けた。 
Hive ransomware attacks have caused major disruptions in victim daily operations around the world and affected responses to the COVID-19 pandemic. In one case, a hospital attacked by Hive ransomware had to resort to analog methods to treat existing patients and was unable to accept new patients immediately following the attack.    Hiveランサムウェアの攻撃は、世界中の被害者の日常業務に大きな混乱をもたらし、COVID-19パンデミックへの対応にも影響を及ぼした。Hiveランサムウェアの攻撃を受けた病院では、既存の患者を治療するためにアナログな方法に頼らざるを得ず、攻撃直後から新しい患者を受け入れることができなくなったケースもある。   
Hive used a ransomware-as-a-service (RaaS) model featuring administrators, sometimes called developers, and affiliates. RaaS is a subscription-based model where the developers or administrators develop a ransomware strain and create an easy-to-use interface with which to operate it and then recruit affiliates to deploy the ransomware against victims. Affiliates identified targets and deployed this readymade malicious software to attack victims and then earned a percentage of each successful ransom payment. Hiveは、開発者と呼ばれることもある管理者とアフェリエイトを特徴とするランサムウェア・アズ・ア・サービス(RaaS)モデルを使用していた。RaaSは、サブスクリプション型のモデルで、開発者や管理者がランサムウェアの株を開発し、それを操作するための使いやすいインターフェースを作成し、被害者に対してランサムウェアを展開するアフィリエイトをリクルートするものである。アフィリエイトは、ターゲットを特定し、この既製の悪意のあるソフトウェアを展開して被害者を攻撃し、成功した身代金の支払いに応じて一定の利益を得ていた。
Hive actors employed a double-extortion model of attack. Before encrypting the victim system, the affiliate would exfiltrate or steal sensitive data. The affiliate then sought a ransom for both the decryption key necessary to decrypt the victim’s system and a promise to not publish the stolen data. Hive actors frequently targeted the most sensitive data in a victim’s system to increase the pressure to pay. After a victim pays, affiliates and administrators split the ransom 80/20. Hive published the data of victims who do not pay on the Hive Leak Site. Hiveの攻撃者は、二重の恐喝モデルを採用している。被害者のシステムを暗号化する前に、アフィリエイトは、機密データを流出させたり、盗み出したりする。そして、被害者のシステムを復号するために必要な復号キーと、盗まれたデータを公開しないことを約束させるために身代金を要求する。ハイブアクターは、被害者のシステム内の最も機密性の高いデータを標的とすることが多く、支払いへの圧力を高めることができる。被害者が支払った後、アフィリエイトと管理者は身代金を80/20で分配する。Hiveは、支払わない被害者のデータをHive Leak Siteで公開する。
According to the U.S. Cybersecurity and Infrastructure Security Agency (CISA), Hive affiliates have gained initial access to victim networks through a number of methods, including: single factor logins via Remote Desktop Protocol (RDP), virtual private networks (VPNs), and other remote network connection protocols; exploiting FortiToken vulnerabilities; and sending phishing emails with malicious attachments. For more information about the malware, including technical information for organizations about how to mitigate its effects, is available from CISA, visit [link] 米国サイバーセキュリティ・インフラストラクチャ・セキュリティ局(CISA)によると、Hiveのアフェリエイトは、RDP(Remote Desktop Protocol)、VPN(仮想プライベートネットワーク)、その他のリモートネットワーク接続プロトコルによる単一要素ログイン、FortiTokenの脆弱性の利用、悪質な添付ファイルを含むフィッシングメールの送信など、さまざまな方法によって被害者のネットワークへの初期アクセスを獲得しているとのことである。マルウェアの影響を軽減する方法に関する組織向けの技術情報など、マルウェアに関する詳細については、CISAが提供している [link]。
Victims of Hive ransomware should contact their local FBI field office for further information.  Hiveランサムウェアの被害者は、最寄りのFBI支局に連絡してください。 
The FBI Tampa Field Office, Orlando Resident Agency is investigating the case. FBIタンパ支局オーランド常駐機関がこの事件を捜査している。
Trial Attorneys Christen Gallagher and Alison Zitron of the Criminal Division’s Computer Crime and Intellectual Property Section and Assistant U.S. Attorney Chauncey Bratt for the Middle District of Florida are prosecuting the case. 刑事部コンピュータ犯罪・知的財産課のChristen Gallagher、Alison Zitron両裁判官とフロリダ州中部地区連邦検事補のChauncey Bratt氏がこの事件を起訴している。
The Justice Department also recognizes the critical cooperation of the German Reutlingen Police Headquarters-CID Esslingen, the German Federal Criminal Police, Europol, and the Netherlands Politie, and significant assistance was provided by the U.S. Secret Service, U.S. Attorney’s Office for the Eastern District of Virginia, and U.S. Attorney’s Office for the Central District of California. The Justice Department’s Office of International Affairs and the Cyber Operations International Liaison also provided significant assistance. Additionally, the following foreign law enforcement authorities provided substantial assistance and support: the Canadian Peel Regional Police and Royal Canadian Mounted Police, French Direction Centrale de la Police Judiciaire, Lithuanian Criminal Police Bureau, Norwegian National Criminal Investigation Service in collaboration with the Oslo Police District, Portuguese Polícia Judiciária, Romanian Directorate of Countering Organized Crime, Spanish Policia Nacional, Swedish Police Authority, and the United Kingdom’s National Crime Agency. 司法省はまた、ドイツ・ロイトリンゲン警察本部-CIDエスリンゲン、ドイツ連邦刑事警察、欧州警察、オランダ政治局の重要な協力と、米国シークレットサービス、バージニア州東部地区連邦検事局、カリフォルニア州中部地区連邦検事局から多大な支援を受けた。また、司法省国際局およびサイバーオペレーション国際渉外部からも多大な支援をいただいた。さらに、カナダのピール地域警察とカナダ騎馬警察、フランスのDirection Centrale de la Police Judiciaire、リトアニア刑事警察局、オスロ警察管区と連携するノルウェー国家犯罪捜査局、ポルトガルPolicia Judiciária、ルーマニア組織犯罪対策局、スペインPolicia Nacional、スウェーデン警察当局、英国国家犯罪捜査局が大きな援助と支援を提供した。

 

・2023.01.26 Attorney General Merrick B. Garland Delivers Remarks on the Disruption of Hive Ransomware Variant

Attorney General Merrick B. Garland Delivers Remarks on the Disruption of Hive Ransomware Variant メリック・B・ガーランド司法長官、ランサムウェア「Hive」亜種の被害に関する発言を行う
Remarks as Delivered 挨拶
Good morning. おはようございます。
I am joined today by Deputy Attorney General Lisa Monaco, FBI Director Chris Wray, Assistant Attorney General for the Criminal Division Kenneth Polite, U.S. Attorney for the Middle District of Florida Roger Handberg, and Europol Representative to the United States Lenno Reimand. 本日は、リサ・モナコ副司法長官、クリス・レイFBI長官、ケネス・ポライト刑事局次長、ロジャー・ハンドバーグフロリダ州中部地区連邦検事、レノ・レイマン駐米欧州警察代表とともに出席している。
We are here to announce that last night, the Justice Department dismantled an international ransomware network responsible for extorting and attempting to extort hundreds of millions of dollars from victims in the United States and around the world. 我々は、昨夜、米国および世界中の被害者から数億ドルを恐喝し、また恐喝しようとした国際的なランサムウェアネットワークを司法省が解体したことをここに発表する。
Known as the “Hive” ransomware group, this network targeted more than 1,500 victims around the world since June of 2021.  Hive」ランサムウェアグループとして知られるこのネットワークは、2021年6月以降、世界中の1,500人以上の被害者を標的としていた。 
In ransomware attacks, transnational cybercriminals use malicious software to hold digital systems hostage and demand a ransom. Hive ransomware affiliates employed a double extortion model. ランサムウェア攻撃では、国境を越えたサイバー犯罪者が悪意のあるソフトウェアを使用してデジタルシステムを人質に取り、身代金を要求する。 Hiveランサムウェアのアフェリエイトは、二重の強要モデルを採用していた。
First, they infiltrated a victim’s system and stole sensitive data. Next, the affiliates deployed malicious software, encrypting the victim's system, rendering it unusable. And finally, they demanded a ransom payment in exchange for a system decryption key and a promise not to publish any stolen data. まず、被害者のシステムに侵入し、機密データを盗む。 次に、悪意のあるソフトウェアを導入し、被害者のシステムを暗号化し、使用不能にする。そして最後に、システムの復号キーと、盗まれたデータを公開しないことを約束させる代わりに、身代金の支払いを要求したのである。
Hive affiliates targeted critical infrastructure and some of our nation's most important industries. Hiveのアフェリエイトは、重要なインフラや我が国の最も重要な産業をターゲットにしていた。
In one instance in August 2021, Hive affiliates deployed ransomware on computers owned by a Midwest hospital. At a time when COVID-19 was surging in communities around the world, the Hive ransomware attack prevented this hospital from accepting any new patients. The hospital was also forced to rely on paper copies of patient information. It was only able to recover its data after it paid a ransom. 2021年8月のある事例では、ハイブアフェリエイトが中西部の病院が所有するコンピュータにランサムウェアを展開した。 COVID-19が世界中の地域で急増していた頃、ハイブのランサムウェア攻撃により、この病院は新患を受け入れることができなくなった。 また、この病院は患者情報の紙媒体に頼らざるを得なかった。この病院では、身代金を支払って初めてデータを復旧することができた。
Hive’s most recent victim in the Central District of California was attacked on or about December 30 of last year. Its most recent victim in the [Middle] District of Florida was attacked around 15 days ago. カリフォルニア州中部地区におけるHiveの最新の被害者は、昨年12月30日頃に攻撃された。フロリダ州[中]地区での直近の被害者は、15日ほど前に攻撃された。
In its first year of operation, Hive extorted over $100 million in ransom payments from its victims.            Hiveは、その最初の1年間で、被害者から1億ドル以上の身代金を強要している。           
Last summer, FBI agents from the Tampa Division, with the support of prosecutors in the Criminal Division's Computer Crime and Intellectual Property Section and the Middle District of Florida infiltrated the Hive network and began disrupting Hive’s attempts to extort victims.  昨年夏、タンパ支部のFBI捜査官は、刑事部コンピュータ犯罪・知的財産課とフロリダ州中部地区の検察官の支援を受け、Hiveのネットワークに侵入し、Hiveによる被害者への恐喝の試みを妨害し始めた。 
For example, the FBI disrupted a Hive ransomware attack against a Texas school district’s computer systems. The Bureau provided decryption keys to the school district, saving it from making a $5 million ransom payment. 例えば、FBIはテキサス州の学区のコンピュータシステムに対するHiveのランサムウェア攻撃を阻止した。同局は復号キーを提供し、学区は500万ドルの身代金の支払いを免れることができた。
That same month, the FBI disrupted a Hive ransomware attack on a Louisiana hospital, saving the victim from a $3 million ransom payment. 同月、FBIはルイジアナ州の病院に対するHiveランサムウェアの攻撃を阻止し、被害者を300万ドルの身代金の支払いから救った。
The FBI was also able to disrupt an attack on a food services company. The Bureau provided the company with decryption keys and saved the victim from a $10 million ransom payment. FBIは、食品サービス会社に対する攻撃も阻止することができた。同局は同社に復号キーを提供し、被害者を1千万ドルの身代金支払いから救った。
Since July of last year, we provided assistance to over 300 victims around the world, helping to prevent approximately $130 million in ransom payments. 昨年7月以降、世界中で300人以上の被害者に支援を提供し、約1億3千万ドルの身代金支払いを防ぐことに貢献した。
Our continued investigative efforts led us to two back-end computer servers located in Los Angeles that were used by Hive to store the network’s critical information. Last night, pursuant to a court order, we seized those servers. We also received court authorization to wrest control of Hive's darknet sites and render its services unavailable. 我々は継続的な調査活動により、Hiveがネットワークの重要な情報を保存するために使用していたロサンゼルスにある2つのバックエンドコンピュータサーバを突き止めました。 昨夜、裁判所命令に従い、これらのサーバーを押収した。 また、ハイブのダークネットサイトの制御を奪い、そのサービスを利用できなくする許可を裁判所から得ている。
This morning, if a Hive affiliate tries to access their darknet site, this is what they will see. 今朝、ハイブの関係者がダークネットサイトにアクセスしようとすると、このような画面が表示される。
Our investigation into the criminal conduct of Hive members remains ongoing. ハイブメンバーの犯罪行為に関する調査はまだ続いている。
I want to thank all of the agents, prosecutors, and staff across the Department for their work on this matter. I also want to thank the United States Secret Service, as well as all of our international partners, including Germany and the Netherlands, as well as our law enforcement partners at Europol. この問題に取り組んでくれた捜査官、検察官、職員に感謝したい。 また、米国シークレットサービス、ドイツやオランダを含む国際的なパートナー、そして欧州警察機構の法執行機関のパートナーにも感謝したい。
Cybercrime is a constantly evolving threat. But as I have said before, the Justice Department will spare no resource to identify and bring to justice, anyone, anywhere, who targets the United States with a ransomware attack.   サイバー犯罪は常に進化する脅威である。 しかし、以前にも申し上げたように、司法省は、米国を標的としたランサムウェア攻撃を行う者を特定し、裁判にかけるために、いかなるリソースも惜まない。  
We will continue to work both to prevent these attacks and to provide support to victims who have been targeted. 我々は、こうした攻撃の防止と、標的となった被害者への支援の両方に取り組み続ける。
And together with our international partners, we will continue to disrupt the criminal networks that deploy these attacks. そして、国際的なパートナーとともに、こうした攻撃を展開する犯罪ネットワークを破壊していく。
I’m now going to turn over the podium over to Deputy Attorney General Monaco.  それでは、モナコ副司法長官に壇上を譲ります。 

 

 

・2023.01.26 Deputy Attorney General Lisa O. Monaco Delivers Remarks on the Disruption of Hive Ransomware Variant

Deputy Attorney General Lisa O. Monaco Delivers Remarks on the Disruption of Hive Ransomware Variant リサ・O・モナコ司法副長官、ランサムウェア亜種「Hive」の被害状況についてコメントを発表
Remarks as Prepared for Delivery 配信用に準備した文書
Thank you, Mr. Attorney General. 司法長官、ありがとうございます。
Over the last two years, the Attorney General and I have made clear that the department will use all the tools at its disposal, and work with partners to attack the ransomware threat from every angle. この2年間、司法長官と私は、同省があらゆる手段を駆使し、パートナーと協力してあらゆる角度からランサムウェアの脅威を攻撃していくことを明確にしてきた。
The department’s agents, prosecutors, and trial attorneys have partnered with law enforcement allies across the globe: 同省の捜査官、検察官、司法弁護士は、世界中の法執行機関の同盟者と連携している。
・To track ransom payments through the block chain and seize them back for victims; ・ブロックチェーンを通じて身代金の支払いを追跡し、被害者のためにそれを押収すること。
・To dismantle ransomware networks; ・ランサムウェアのネットワークを解体する。
・To warn targets of exigent ransomware threats to prevent attacks; ・ランサムウェアの脅威を警告し、攻撃を防止すること。
・And to disrupt the criminal ecosystem that enables the targeting of innocent victims. ・そして、罪のない被害者をターゲットにすることを可能にする犯罪エコシステムを崩壊させることである。
We’ve made it clear that we will strike back against cyber crime using any means possible — today’s action reflects that strategy. 我々は、可能な限りの手段を用いてサイバー犯罪に反撃することを明確にしており、本日の行動はその戦略を反映したものである。
We have also pledged to place victims at the center of our mission and prioritize prevention. また、被害者を我々の任務の中心に据え、予防を優先させることを約束した。
As you’ll hear the FBI Director explain in greater detail, for the past several months the FBI and our prosecutors have been inside the network of one of the world’s most prolific ransomware variants: Hive. FBI長官がより詳しく説明するように、過去数か月間、FBIと検察当局は、世界で最も多発するランサムウェアの亜種「Hive」のネットワークに潜入してきた。
The FBI has labeled Hive a top 5 ransomware threat — both for its technical sophistication and for the harm it can inflict on victims. FBIは、Hiveをランサムウェアの脅威のトップ5に分類している。その技術的な巧妙さと被害者に与える被害の大きさからである。
But, for all the group’s technical prowess, it could not outfox our prosecutors, our agents, and our international law enforcement coalition. しかし、このグループの技術力は、我々検察当局、捜査官、そして国際的な法執行機関連合を出し抜くことができませんでした。
Unbeknownst to HIVE, in a 21st century cyber stakeout, our investigative team lawfully infiltrated Hive’s network and hid there for months — repeatedly swiping decryption keys and passing them to victims to free them from ransomware. HIVEが知らないうちに、我々の調査チームは21世紀のサイバー張り込みとして、合法的にHIVEのネットワークに潜入し、数ヶ月間そこに潜伏して、繰り返し復号キーを盗み、被害者に渡してランサムウェアから解放した。
For months, we helped victims defeat their attackers and deprived the Hive network of extortion profits. 数ヶ月の間、我々は被害者が攻撃者を打ち負かすのを助け、Hiveネットワークから強奪による利益を奪った。
Simply put, using lawful means, we hacked the hackers. 簡単に言えば、合法的な手段でハッカーをハッキングしたのである。
We turned the tables on Hive and busted their business model, saving potential victims approximately $130 million dollars in ransomware payments. 我々はHiveのビジネスモデルを破壊し、潜在的な被害者から約1億3千万ドルのランサムウェアの支払いを救った。
Successful actions like the one we announce today require the creative use of civil and criminal authorities, and they require partnerships – among law enforcement to be sure – but also with victims. 今日発表したような行動を成功させるには、民事と刑事の両権限をクリエイティブに活用し、法執行機関だけでなく、被害者とのパートナーシップも必要である。
Our actions in this investigation should speak clearly to those victims: it pays to come forward, and work with us. この捜査における我々の行動は、被害者にはっきりと伝えるべきものである。
We are all in this together – we need your help to stop cybercriminals, to prevent future victims. In exchange, we pledge our tireless efforts to help you protect your systems and prevent or recover losses. サイバー犯罪を阻止し、未来の犠牲者を出さないためには、皆さんの協力が必要なのである。サイバー犯罪者を阻止し、将来の被害者を出さないためには、皆さんの協力が必要である。その代わり、我々は皆さんのシステムを保護し、損失を防止または回復するために、たゆまぬ努力をすることを約束する。
When a victim steps forward it can make all the difference in recovering stolen funds or obtaining decryptor keys. 被害者が名乗り出れば、盗まれた資金の回収や復号キーの入手に大きな違いが生まれる。
Whether you own a small business, run a Fortune 500 company, oversee a school district, or manage a hospital — we can work with you to counter ransomware, mitigate harm, prevent losses, and strike back at the bad guys. 中小企業の経営者、フォーチュン500社の経営者、学区の監督者、病院の経営者など、ランサムウェアへの対策、被害の軽減、損失の防止、そして悪者への反撃のために、我々はあなたと協力することができるのである。
Although today’s announcement marks an important success in the international fight against ransomware, we will not rest when it comes to Hive and its affiliates. 本日の発表は、ランサムウェアとの国際的な戦いにおける重要な成功であるが、我々はHiveとその関連会社に関しても、決して手を緩めることはない。
If you target victims here in the United States, the Department of Justice will target you. 米国内の被害者をターゲットにするなら、司法省はあなたをターゲットにするだろう。
And if you are a victim, know that the Department of Justice and the FBI are on the job, and we’ll be fighting for you and alongside you throughout your time of crisis. そして、もしあなたが被害者になったとしても、司法省とFBIは仕事中であり、あなたのために、あなたの危機の間中、一緒に戦っていくことを知っておいてください。
I’ll now turn the podium over to Director Wray. では、レイ局長に壇上を譲ります。

 

 

Director Christopher Wray’s Remarks at Press Conference Announcing the Disruption of the Hive Ransomware Group

Director Christopher Wray’s Remarks at Press Conference Announcing the Disruption of the Hive Ransomware Group ランサムウェアグループ「Hive」の破壊を発表した記者会見におけるクリストファー・レイ長官のコメント
I’m pleased to represent the FBI here today and speak about our year-and-a-half-long disruption campaign against the Hive ransomware group. 本日、FBIを代表して、1年半に及ぶランサムウェアグループ「Hive」に対する破壊工作についてお話しできることを嬉しく思う。
Hive hurt thousands of victims across the country and around the world—until the FBI and our partners disrupted them, helping their victims decrypt their networks without Hive catching on, and then today dismantling Hive’s front- and back-end infrastructure in the U.S. and abroad. Hiveは、米国内および世界中で何千人もの被害者を出したが、FBIとそのパートナーは、Hiveが感染しないように被害者のネットワークを解読し、今日では米国および海外のHiveのフロントエンドおよびバックエンドのインフラを破壊するまで、被害者を混乱させた。
This operation was led by our Tampa Field Office, assisted by our Cyber Division team at FBI Headquarters and other field office personnel across the country, but also by FBI personnel stationed around the world, who led the collaboration with our foreign law enforcement partners—often shoulder to shoulder, scrutinizing the same data—that was essential to today’s success. Especially the fine work of the German Reutlingen Police Headquarters, the German Federal Criminal Police, the Netherlands National High Tech Crime Unit, and Europol. This coordinated disruption of Hive’s networks illustrates the power of collaboration between the FBI and our international partners.   この作戦はタンパ支局が主導し、FBI本部のサイバー課チームや全米の支局員が支援したが、世界各地に駐在するFBI職員が、海外の法執行機関と連携し、しばしば肩を並べて同じデータを精査したことが、今日の成功に欠かせなかった。特に、ドイツのロイトリンゲン警察本部、ドイツ連邦刑事警察、オランダ国家ハイテク犯罪課、および欧州警察(Europol)の素晴らしい働きぶりには目を見張ルものであった。 ハイブのネットワークを協調して破壊したことは、FBIと国際的なパートナーとの協力関係の威力を示している。  
The FBI’s strategy to combat ransomware leverages both our law enforcement and intelligence authorities to go after the whole cybercrime ecosystem—the actors, their finances, their communications, their malware, and their supporting infrastructure. And since 2021, that’s exactly how we’ve hit Hive ransomware. FBI のランサムウェア対策では、法執行機関と情報機関の両方の権限を活用し、サイバー犯罪のエコシステム全体(犯罪者、資金、通信、マルウェア、支援インフラ)を追及している。 そして2021年以降、私たちはまさにこの方法でHiveランサムウェアに対処してきた。
Last July, FBI Tampa gained clandestine, persistent access to Hive’s control panel. Since then, for the past seven months, we’ve been able to exploit that access to help victims while keeping Hive in the dark, using that access to identify Hive’s victims and to offer over 1,300 victims around the world keys to decrypt their infected networks, preventing at least $130 million in ransom payments, cutting off the gas that was fueling Hive’s fire. 昨年7月、FBIタンパはHiveのコントロールパネルに密かに、かつ持続的にアクセスすることに成功した。 それ以来、この7ヶ月間、私たちはHiveを闇に葬り、Hiveの被害者を特定し、世界中の1300人以上の被害者に感染したネットワークを解読するためのキーを提供し、少なくとも1億3000万ドルの身代金の支払いを防ぎ、Hiveの火種となっていたガスを絶つために、そのアクセス権を悪用して被害者を救済することができたのである。
Our access to Hive’s infrastructure was no accident. Across our cyber program, we combine our technical expertise, our experience handling human sources, and our other investigative tradecraft to seek out technical indicators victims can use to protect themselves. Hiveのインフラにアクセスできたのは偶然ではない。 私たちはサイバー犯罪対策プログラムを通じて、技術的な専門知識と人的資源を扱う経験、そしてその他の調査技術を組み合わせ、被害者が自らを守るために利用できる技術的な指標を探し求めている。
Here, that focus on obtaining useful technical indicators led us to Hive’s decryption keys—which we turned around and provided to those in need, like when our investigative team identified the initial stages of an attack against a university, proactively notified the school, and gave the institution the technical information it needed to kick Hive off of its network before ransomware was deployed.  例えば、ある大学に対する攻撃の初期段階を調査チームが特定し、積極的に学校に通知し、ランサムウェアが展開される前にHiveをネットワークから排除するために必要な技術情報を学校に提供したように、有用な技術指標を得ることに注力した結果、Hiveの復号キーに行き当たった。 
Or when an FBI case agent and computer scientist rushed to provide hands-on support to a local specialty clinic and helped the doctor, who also managed the clinic’s IT security, identify his office’s vulnerabilities and deploy his decryption key—because no victim is too small. また、FBIのケースエージェントとコンピュータサイエンティストが、地元の専門クリニックに駆けつけて実地支援を行い、クリニックのITセキュリティを管理していた医師が自分のオフィスの脆弱性を特定し、復号キーを配備するのを手伝ったこともある(なぜなら、被害者は小さすぎるということはないからである)。
We’ve also shared keys with many victims overseas through our foreign-based Legal Attaché offices, like when we gave a foreign hospital a decryptor they used to get their systems back up before negotiations even began, possibly saving lives. また、海外のリーガル・アタッシェ事務所を通じて、海外の多くの被害者とキーを共有した。例えば、海外の病院に暗号解読機を提供したところ、交渉が始まる前にシステムを復旧させ、人命を救うことができたのである。
Now, as we move to the next phase of the investigation, we’ve worked with our European partners to seize the infrastructure used by these criminal actors—crippling Hive’s ability to sting again. 現在、捜査は次の段階に進んでおり、ヨーロッパのパートナーと協力して、これらの犯罪者が使用したインフラを押収し、ハイブが再び攻撃を仕掛けることができないようにした。
I’m also here today to thank those victims and private sector partners who worked with us and who helped make this operation possible by protecting its sensitivities and to demonstrate that we can and will act on the information victims share with us. また、私は今日、私たちと協力してくれた被害者と民間企業のパートナーに感謝し、その機密を守ることでこの活動を可能にし、被害者から寄せられた情報に基づいて私たちが行動できることを示すために、ここにいる。
So today’s lesson for businesses large and small, hospitals and police departments, and all the other many victims of ransomware is this: Reach out to your local FBI field office today and introduce yourselves, so you know who to call if you become the victim of a cyberattack. We’re ready to help you build a crisis response plan, so when an intruder does come knocking, you’ll be prepared. 今日の教訓は、大企業や中小企業、病院や警察など、ランサムウェアの多くの被害者のために、次のようなことである。 サイバー攻撃の被害に遭ったときに誰に連絡すればよいかを知っておくために、今すぐお近くのFBI支部に連絡を取り、自己紹介をしてください。 FBIは、危機対応計画の策定を支援し、侵入者が襲ってきたときの備えを整えています。
And, like the Hive victims here, when you talk to us in advance—as so many others have—you’ll know how we operate: quickly and quietly, giving you the assistance, intelligence, and technical information you want and need. そして、今回被害に遭われた方々のように、事前に私たちにご相談いただければ、私たちがどのように活動しているかご理解いただけると思います。迅速かつ静かに、必要な支援、情報、技術情報を提供する。
Unfortunately, during these past seven months, we found that only about 20% of Hive’s victims reported potential issues to law enforcement. Here, fortunately, we were still able to identify and help many victims who didn’t report in. But that is not always the case. When victims report attacks to us, we can help them—and others, too.  残念ながら、この7ヶ月の間に、ハイブの被害者のうち法執行機関に潜在的な問題を報告したのは、わずか20%程度であることがわかった。 ここで、幸いなことに、報告しなかった多くの被害者を特定し、支援することができたままであった。しかし、常にそうであるとは限らない。 被害者が私たちに攻撃を報告してくれれば、私たちは彼らを、そして他の人たちをも助けることができるのである。 
Today’s announcement is only the beginning. We’ll continue gathering evidence, building out our map of Hive developers, administrators, and affiliates, and using that knowledge to drive arrests, seizures, and other operations, whether by the FBI or our partners here and abroad.  本日の発表は始まりに過ぎない。我々は引き続き証拠を集め、ハイブの開発者、管理者、およびアフェリエイトの地図を作成し、その知識を使って、FBIや国内外のパートナーによる逮捕、押収、その他の活動を推進する。 
While this is, yes, a fight to protect our country, our citizens, and our national security, make no mistake—the fight for cybersecurity spans the globe. But the FBI’s presence and partnerships do, too. これは確かに、我が国と市民、そして国家安全保障を守るための戦いであるが、サイバーセキュリティのための戦いは世界中に及んでいることに間違いはない。 しかし、FBI の存在と協力関係もまた然りである。
So, a reminder to cybercriminals: No matter where you are, and no matter how much you try to twist and turn to cover your tracks—your infrastructure, your criminal associates, your money, and your liberty are all at risk.  And there will be consequences. さて、サイバー犯罪者への注意喚起である。 あなたがどこにいようと、そしてどれだけ自分の痕跡を消そうとしても、あなたのインフラ、犯罪仲間、お金、そしてあなたの自由はすべて危険にさらされているのである。  そして、その結果もまた然りなのである。
Resources リソース
U.S. Department of Justice Disrupts Hive Ransomware Variant 米国司法省、ランサムウェアの亜種「Hive」を駆除

 

Fig1_20220411162001

 


 

欧州側

● Europol

・2023.01.27 Cybercriminals stung as HIVE infrastructure shut down

Cybercriminals stung as HIVE infrastructure shut down HIVE のインフラがシャットダウンされ、サイバー犯罪者が打撃を受ける
Europol supported German, Dutch and US authorities to shut down the servers and provide decryption tools to victims 欧州警察機構(Europol)がドイツ、オランダ、米国当局を支援し、サーバーの停止と被害者への復号ツールの提供を実現
Europol supported the German, Dutch and US authorities in taking down the infrastructure of the prolific HIVE ransomware. This international operation involved authorities from 13* countries in total. Law enforcement identified the decryption keys and shared them with many of the victims, helping them regain access to their data without paying the cybercriminals.  ユーロポールは、ドイツ、オランダ、米国の当局が、多発するランサムウェア「HIVE」のインフラを停止させるのを支援した。この国際的な作戦には、合計13カ国*の当局が関与している。法執行機関は解読鍵を特定し、それを多くの被害者と共有することで、サイバー犯罪者に金銭を支払うことなくデータへのアクセスを回復させることに成功した。 
In the last year, HIVE ransomware has been identified as a major threat as it has been used to compromise and encrypt the data and computer systems of large IT and oil multinationals in the EU and the USA. Since June 2021, over 1 500 companies from over 80 countries worldwide have fallen victim to HIVE associates and lost almost EUR 100 million in ransom payments. Affiliates executed the cyberattacks, but the HIVE ransomware was created, maintained and updated by developers. Affiliates used the double extortion model of ‘ransomware-as-a-service’; first, they copied data and then encrypted the files. Then, they asked for a ransom to both decrypt the files and to not publish the stolen data on the Hive Leak Site. When the victims paid, the ransom was then split between affiliates (who received 80 %) and developers (who received 20 %).  昨年、HIVEランサムウェアは、EUや米国の大手IT企業や石油会社の多国籍企業のデータやコンピュータシステムを侵害し、暗号化するために使用されたことから、大きな脅威として認識されている。2021年6月以降、世界80カ国以上の1500社以上がHIVEアフィリエイトの被害に遭い、身代金の支払いで約1億ユーロを失った。アフィリエイトはサイバー攻撃を実行したが、HIVEランサムウェアは開発者によって作成、維持、更新されていた。アフィリエイトは、「ransomware-as-a-service」という二重の強要モデルを使用していた。まず、データをコピーし、ファイルを暗号化する。そして、ファイルを復号することと、盗んだデータをHive Leak Siteに公開しないことの両方のために身代金を要求した。被害者が支払いを済ませると、身代金はアフィリエイト(80%)と開発者(20%)に分配された。 
Other dangerous ransomware groups have also used this so-called ransomware-as-a-service (RaaS) model to perpetrate high-level attacks in the last few years. This has included asking for millions of euros in ransoms to decrypt affected systems, often in companies maintaining critical infrastructures. Since June 2021, criminals have used HIVE ransomware to target a wide range of businesses and critical infrastructure sectors, including government facilities, telecommunication companies, manufacturing, information technology, and healthcare and public health. In one major attack, HIVE affiliates targeted a hospital, which led to severe repercussions about how the hospital could deal with the COVID-19 pandemic. Due to the attack, this hospital had to resort to analogue methods to treat existing patients, and was unable to accept new ones.   他の危険なランサムウェアグループも、ここ数年、このいわゆるランサムウェア・アズ・ア・サービス(RaaS)モデルを利用して、ハイレベルな攻撃を仕掛けてきた。これには、重要なインフラを維持する企業の多くで、感染したシステムを復号するために数百万ユーロの身代金を要求することも含まれている。2021年6月以降、犯罪者はHIVEランサムウェアを使用して、政府施設、通信会社、製造業、情報技術、医療・公衆衛生など、幅広い企業や重要インフラ部門を標的にしてきた。ある大規模な攻撃では、HIVEアフェリエイトが病院を標的とし、この病院がCOVID-19のパンデミックにどう対処するかについて深刻な反響を呼びました。この病院は、既存の患者を治療するためにアナログ的な方法を取らざるを得ず、新たな患者を受け入れることができなくなった。 
The affiliates attacked companies in different ways. Some HIVE actors gained access to victim’s networks by using single factor logins via Remote Desktop Protocol, virtual private networks, and other remote network connection protocols. In other cases, HIVE actors bypassed multifactor authentication and gained access by exploiting vulnerabilities. This enabled malicious cybercriminals to log in without a prompt for the user’s second authentication factor by changing the case of the username. Some HIVE actors also gained initial access to victim’s networks by distributing phishing emails with malicious attachments and by exploiting the vulnerabilities of the operating systems of the attacked devices.  アフェリエイトは、さまざまな方法で企業を攻撃した。一部のHIVE関係者は、Remote Desktop Protocol、仮想プライベートネットワーク、その他のリモートネットワーク接続プロトコルを介してシングルファクタログインを使用し、被害者のネットワークにアクセスした。また、HIVE関係者は、多要素認証をバイパスし、脆弱性を悪用してアクセスするケースもありました。これにより、悪意のあるサイバー犯罪者は、ユーザー名の大文字と小文字を変更することで、ユーザーの第2認証要素のプロンプトを出さずにログインすることができた。また、一部のHIVE行為者は、悪意のある添付ファイルを含むフィッシングメールを配信し、攻撃されたデバイスのOSの脆弱性を悪用して、被害者のネットワークへの最初のアクセスを獲得した。 
About EUR 120 million saved thanks to mitigation efforts 被害軽減の取り組みにより約1億2千万ユーロを節約
Europol streamlined victim mitigation efforts with other EU countries, which prevented private companies from falling victim to HIVE ransomware. Law enforcement provided the decryption key to companies which had been compromised in order to help them decrypt their data without paying the ransom. This effort has prevented the payment of more than USD 130 million or the equivalent of about EUR 120 million of ransom payments. ユーロポールは、他のEU諸国と協力して被害者救済活動を効率化し、民間企業がHIVEランサムウェアの犠牲になるのを防いだ。法執行機関は、身代金を支払うことなくデータを復号できるよう、感染した企業に復号鍵を提供した。この取り組みにより、1億3000万米ドル以上、または約1億2000万ユーロに相当する身代金の支払いを防ぐことができた。
Europol facilitated the information exchange, supported the coordination of the operation and funded operational meetings in Portugal and the Netherlands. Europol also provided analytical support linking available data to various criminal cases within and outside the EU, and supported the investigation through cryptocurrency, malware, decryption and forensic analysis.  ユーロポールは、情報交換を促進し、活動の調整を支援し、ポルトガルとオランダでの活動会議に資金を提供した。また、ユーロポールは、入手可能なデータをEU内外の様々な刑事事件に関連付ける分析支援を行い、暗号通貨、マルウェア、復号、フォレンジック分析を通じて捜査をサポートした。 
On the action days, Europol deployed four experts to help coordinate the activities on the ground. Europol supported the law enforcement authorities involved by coordinating the cryptocurrency and malware analysis, cross-checking operational information against Europol’s databases, and further operational analysis and forensic support. Analysis of this data and other related cases is expected to trigger further investigative activities. The Joint Cybercrime Action Taskforce (J-CAT) at Europol also supported the operation. This standing operational team consists of cybercrime liaison officers from different countries who work on high-profile cybercrime investigations. 行動日には、ユーロポールは4名の専門家を派遣し、現場での活動の調整を支援した。ユーロポールは、暗号通貨およびマルウェア解析の調整、運用情報とユーロポールのデータベースとの照合、さらに運用解析およびフォレンジック支援を通じて、関係法執行機関を支援した。このデータおよびその他の関連事例の分析が、さらなる捜査活動の引き金となることが期待されます。欧州警察機構のJoint Cybercrime Action Taskforce (J-CAT)もこの活動を支援した。この常設作戦チームは、注目度の高いサイバー犯罪の捜査に取り組む各国のサイバー犯罪リエゾンオフィサーで構成されている。
*Law enforcement authorities involved *関係する法執行機関
Canada – Royal Canadian Mounted Police (RCMP) & Peel Regional Police カナダ:カナダ騎馬警察(RCMP)およびピール地域警察
France: National Police (Police Nationale) フランス フランス国家警察(Police Nationale)
Germany: Federal Criminal Police Office (Bundeskriminalamt) and Police Headquarters Reutlingen – CID Esslingen (Polizei BW) ドイツ ドイツ:連邦刑事局(Bundeskriminalamt)およびロイトリンゲン警察本部 - CID Esslingen (Polizei BW)
Ireland: National Police (An Garda Síochána) アイルランド アイルランド国家警察(An Garda Síochána)
Lithuania: Criminal Police Bureau (Kriminalinės Policijos Biuras) リトアニア リトアニア:刑事警察局(Kriminalinės Policijos Biuras)
Netherlands – National Police (Politie) オランダ:国家警察(Politie)
Norway: National Police (Politiet) ノルウェー 国家警察(Politiet)
Portugal: Judicial Police (Polícia Judiciária) ポルトガル 司法警察(Polícia Judiciária)
Romania: Romanian Police (Poliția Română – DCCO) ルーマニア ルーマニア警察 (Poliția Română - DCCO)
Spain: Spanish Police (Policía Nacional) スペイン スペイン警察(Policía Nacional)
Sweden: Swedish Police (Polisen) スウェーデン スウェーデン警察(Polisen)
United Kingdom – National Crime Agency イギリス - 国家犯罪局(National Crime Agency
USA – United States Secret Service, Federal Bureau of Investigations 米国:米国シークレットサービス、連邦捜査局(Federal Bureau of Investigations
Headquartered in The Hague, the Netherlands, Europol supports the 27 EU Member States in their fight against terrorism, cybercrime, and other serious and organized crime forms. Europol also works with many non-EU partner states and international organisations. From its various threat assessments to its intelligence-gathering and operational activities, Europol has the tools and resources it needs to do its part in making Europe safer. オランダのハーグに本部を置くユーロポールは、テロリズム、サイバー犯罪、その他の重大犯罪や組織犯罪との戦いにおいて、EU加盟国27カ国を支援している。また、欧州連合以外の多くのパートナー国や国際組織とも連携している。様々な脅威の評価から情報収集や作戦活動まで、欧州警察機構は欧州をより安全にするために必要なツールと資源を有している。



 

| | Comments (0)

欧州 ENISA パーソナルデータ共有を上手くやりこなす

こんにちは、丸山満彦です。

ENISAがパーソナルデータを共有するためにどのような技術が支援できるかを調査したものということですかね。。。プライバシー向上技術と言われるものなのですかね。。。技術自体の問題というよりも、それをどう利用するかということが重要なのですよね。。。

医療分野におけるデータ共有の具体的なユースケースで議論をしていますね。。。

 

ENISA

プレスリリース...

・2023.01.27 Protecting Data: Can we Engineer Data Sharing?

Protecting Data: Can we Engineer Data Sharing? データを守る:データ共有を技術的に支援することは可能か?
The European Union Agency for Cybersecurity (ENISA) celebrates the Data Protection Day and explores how technologies can support personal data sharing in practice. 欧州連合サイバーセキュリティ機関(ENISA)は、データ保護デーを記念して、技術がどのように個人データの共有を実際にサポートできるかを調査している。
To celebrate the European Data Protection Day on 28 January 2023, ENISA publishes today its report on how cybersecurity technologies and techniques can support the implementation of the General Data Protection Regulation (GDPR) principles when sharing personal data. 2023年1月28日の欧州データ保護デーを記念して、ENISAは本日、個人データを共有する際にサイバーセキュリティの技術や手法が一般データ保護規則(GDPR)の原則の実施をいかにサポートできるかについての報告書を発表する。
The Executive Director of the EU Agency for Cybersecurity, Juhan Lepassaar, said: “In an ever growing connected world, protecting shared data is essential if we want to generate trust in the digital services. We therefore need to rely on the technologies at hand to address the emerging risks and thus find the solutions to best protect the rights and freedoms of individuals across the EU." EUサイバーセキュリティ庁のジュハン・レパサー事務局長は、次のように述べている。「つながり続ける世界において、デジタルサービスへの信頼を生み出そうとするならば、共有データの保護は不可欠である。したがって、我々は、新たなリスクに対処するために手近な技術に頼る必要があり、その結果、EU全域の個人の権利と自由を最もよく保護するための解決策を見出す必要がある。」
Because data today is at the heart of our lives and central to our economy, data has been coined as the new currency. No transactions or activity can be performed online nowadays without the exchange and sharing of data. Organisations share information with partners, analytic platforms, public or other private organisations and the ecosystem of shareholders is increasing exponentially. Although we do see data being taken from devices or from organisations to be shared with external parties in order to facilitate business transactions, securing and protecting data should remain a top priority and adequate solutions implemented to this end. 今日のデータは私たちの生活の中心であり、経済の中心であるため、データは新しい通貨として造語されている。現在では、データの交換と共有なしに、オンラインでの取引や活動を行うことはできない。組織は、パートナー、分析プラットフォーム、公的機関、その他の民間組織と情報を共有し、株主のエコシステムは指数関数的に増加している。ビジネス上の取引を円滑にするために、デバイスや組織からデータが取得され、外部と共有されることがあるが、データの安全性と保護は最優先事項であり、この目的のために適切なソリューションが導入されなければならない。
The objective of the report is to show how the data protection principles inscribed in the GDPR can be applied in practice by using technological solutions relying on advanced cryptographic techniques. The report also includes an analysis of how data is dealt with when the sharing is part of another process or service. This is the case when data need to go through a secondary channel or entity before reaching the final recipient. 本報告書の目的は、高度な暗号技術に依存する技術的ソリューションを使用することで、GDPRに刻まれたデータ保護の原則を実際にどのように適用できるかを示すことである。また、本報告書では、データの共有が他のプロセスやサービスの一部である場合に、データがどのように扱われるかの分析も行っている。これは、データが最終的な取得者に到達する前に、二次的なチャネルまたはエンティティを通過する必要がある場合である。
The report focuses on the various challenges and possible architectural solutions on intervention aspects. An example of these is the right to erasure and the right to rectification when sharing data. Targeting policy makers and data protection practitioners, the report provides an overview of the different takes on how to approach personal data sharing in an effective way. 本報告書では、介入面における様々な課題と可能なアーキテクチャ上の解決策に焦点をあてている。例えば、データ共有の際の消去権や修正権などである。政策立案者やデータ保護の実務者を対象に、個人データの共有に効果的にアプローチする方法について、さまざまな見解の概要を示している。
Background 背景
The EU Agency for Cybersecurity has been working in the area of privacy and data protection since 2014, by analysing technical solutions for the implementation of the GDPR, privacy by design and security of personal data processing. EUサイバーセキュリティ機関は、2014年からプライバシーとデータ保護の分野で、GDPRの実施、プライバシー・バイ・デザイン、個人データ処理のセキュリティのための技術的解決策を分析し、活動してきた。
The work in this area falls under the provisions of the Cybersecurity Act (CSA) and is meant to support Member States on specific cybersecurity aspects of Union policy and law in relation to data protection and privacy. This work builds upon the Agency's activities in the area of Data Protection Engineering and is produced in collaboration with the ENISA Ad Hoc Working Group on Data Protection Engineering. この分野の作業は、サイバーセキュリティ法(CSA)の規定に該当し、データ保護とプライバシーに関連する連合の政策と法律の特定のサイバーセキュリティの側面について加盟国を支援することを目的としている。この作業は、データ保護工学の分野における同庁の活動を基礎とし、データ保護工学に関するENISAアドホック・ワーキング・グループと協力して作成されるものである。
The Agency has been providing guidance on data pseudonymisation solutions to data controllers and processors since 2018. 同庁は2018年から、データ管理者と処理者にデータ仮名化ソリューションに関するガイダンスを提供している。
Further information さらに詳しい情報
Engineering Personal Data Sharing – ENISA report 2023 ・パーソナルデータ共有のエンジニアリング - ENISAレポート2023年版
Annual Privacy Forum 2023 ・年次プライバシーフォーラム2023
Other information その他の情報
General Data Protection Regulation ・一般データ保護規則
Cybersecurity Act ・サイバーセキュリティ法
EU Cybersecurity Strategy 2020 ・EUサイバーセキュリティ戦略2020
ePrivacy Regulation Proposal ・eプライバシー保護規則案

 

報告書...

・2023.01.27 Engineering Personal Data Sharing

Engineering Personal Data Sharing パーソナルデータ共有を上手くやりこなす
This report attempts to look closer at specific use cases relating to personal data sharing, primarily in the health sector, and discusses how specific technologies and considerations of implementation can support the meeting of specific data protection. After discussing some challenges in (personal) data sharing, this report demonstrates how to engineer specific technologies and techniques in order to enable privacy preserving data sharing. More specifically it discusses specific use cases for sharing data in the health sector, with the aim of demonstrating how data protection principles can be met through the proper use of technological solutions relying on advanced cryptographic techniques. Next it discusses data sharing that takes place as part of another process or service, where the data is processed through some secondary channel or entity before reaching its primary recipient. Lastly, it identifies challenges, considerations and possible architectural solutions on intervenability aspects (such as the right to erasure and the right to rectification when sharing data). 本レポートでは、主に医療分野における個人データ共有に関連する特定のユースケースに注目し、特定の技術や実装の考慮事項が、特定のデータ保護を満たすことをどのようにサポートするかを論じることを試みている。(個人)データ共有におけるいくつかの課題を論じた後、プライバシーを保護したデータ共有を可能にするために、特定の技術やテクニックをどのように設計すればよいかを示している。具体的には、高度な暗号技術に依存する技術的ソリューションを適切に使用することで、データ保護の原則をどのように満たすことができるかを示すことを目的として、医療分野におけるデータ共有の具体的なユースケースを議論している。次に、他のプロセスやサービスの一部として行われるデータ共有について、データが第一の取得者に届く前に何らかの第二のチャネルやエンティティを経由して処理される場合について説明する。最後に、介入可能性の側面(データ共有時の消去権や修正権など)に関する課題、考慮事項、可能なアーキテクチャ上の解決策を明らかにする。

 

・[PDF]

20230130-181720

 

エグゼクティブ・サマリー...

EXECUTIVE SUMMARY  エグゼクティブサマリー 
Over the last twenty years, we have experienced a steady increase in the amount of data being generated and afterwards processed in some manner. Data have evolved from being a scarce resource, difficult to gather and managed in a centralised way to becoming an abundant resource created in a decentralised way easy to replicate and to communicate. There seems to be a natural trend towards 'taking the data out of devices or organisations' and sharing data among different parties to create new value for our society, or simply to reduce operational costs.   過去20年間、私たちは、生成され、その後何らかの形で処理されるデータの量が着実に増加していることを経験してきた。データは、中央集権的な方法で収集・管理することが困難な希少な資源から、複製やコミュニケーションが容易な分散型の方法で作成される豊富な資源へと進化してきた。データを機器や組織の外に持ち出し、さまざまな関係者の間でデータを共有することで、社会に新たな価値を創造したり、単に運用コストを削減したりしようという流れが自然に起こっているようである。 
Data sharing can be considered as disclosing data to third parties outside the organisation in order to achieve a specific purpose. Such sharing can be performed either as part of a processing operation or while attempting to provide additional utility to existing data. The recent EU legislative initiatives promoting data sharing are sectoral and cross-sectoral instruments that aim to make data available by regulating the reuse of publicly and privately held data, including personal data. They also facilitate data sharing through the creation of novel intermediaries and sharing environments where the involved parties can pool data and facilities in a trusted and secure way.  データ共有とは、特定の目的を達成するために、データを組織外の第三者に開示することと考えることができる。このような共有は、処理作業の一部として行われることもあれば、既存のデータにさらなる有用性を与えようとする場合もある。データ共有を促進する最近のEUの立法措置は、個人データを含む公的・私的保有データの再利用を規制することでデータを利用可能にすることを目的とした部門別・部門横断的な制度である。また、関係者が信頼できる安全な方法でデータや施設をプールできるような新しい仲介者や共有環境の構築を通じて、データ共有を促進するものである。
This report attempts to look closer at specific use cases relating to personal data sharing, primarily in the health sector, and discusses how specific technologies and considerations of implementation can support the meeting of specific data protection. After discussing some challenges in (personal) data sharing, this report demonstrates how to engineer specific technologies and techniques in order to enable privacy preserving data sharing.   本報告書では、主に医療分野における個人データ共有に関連する具体的なユースケースを詳しく調べ、特定の技術や実装の考慮事項が、特定のデータ保護を満たすことをどのようにサポートするかを議論しようとするものである。個人)データ共有におけるいくつかの課題を議論した後、プライバシーを保護したデータ共有を可能にするために、特定の技術や手法をどのように設計すればよいかを示している。 
More specifically it discusses specific use cases for sharing data in the health sector, with the aim of demonstrating how data protection principles can be met through the proper use of technological solutions relying on advanced cryptographic techniques. Next it discusses data sharing that takes place as part of another process or service, where the data is processed through some secondary channel or entity before reaching its primary recipient. Lastly, it identifies challenges, considerations and possible architectural solutions on intervenability aspects (such as the right to erasure and the right to rectification when sharing data).   具体的には、高度な暗号技術に依存する技術的ソリューションを適切に使用することで、データ保護の原則をどのように満たすことができるかを示すことを目的として、医療分野におけるデータ共有の具体的なユースケースを議論している。次に、他のプロセスやサービスの一部として行われるデータ共有について、データが第一の取得者に届く前に何らかの第二のチャネルやエンティティを経由して処理される場合について説明する。最後に、介入可能性(データ共有時の消去権や修正権など)の側面から、課題、検討事項、可能なアーキテクチャ上の解決策を明らかにする。 

 

目次...

1. INTRODUCTION 1. 序文
1.1 RELEVANT EU LEGISLATIVE INITIATIVES 1.1 関連する EU の立法措置
1.2 THE ROLE OF DATA PROTECTION ENGINEERING 1.2 データ保護エンジニアリングの役割
1.3 SCOPE AND OBJECTIVES 1.3 対象範囲と目的
1.4 STRUCTURE OF THE DOCUMENT 1.4 文書の構成
2. DATA SHARING PRACTICES IN THE HEALTH SECTOR 2. 医療分野におけるデータ共有の実践
2.1 USER CONTROLLED PERSONAL DATA SHARING 2.1 ユーザーが管理する個人データの共有
2.1.1 Attribute Based Encryption 2.1.1 属性ベースの暗号化
2.1.2 Proxy Re-encryption 2.1.2 プロキシ再暗号化
2.2 SHARING HEALTH DATA FOR MEDICAL AND RESEARCH PURPOSES BY HEALTH CARE PROVIDERS 2.2 医療従事者による医療・研究目的の健康データ共有
2.2.1 Polymorphic encryption and pseudonymisation 2.2.1 ポリモーフィック暗号化および仮名化
3. DATA SHARING USING THIRD-PARTY SERVICES 3. サードパーティサービスを利用したデータ共有
3.1 MOBILE PUSH NOTIFICATIONS 3.1 モバイルプッシュ通知
3.1.1 Anonymous Notification Protocols (Using Proxies) 3.1.1 匿名通知プロトコル(プロキシの使用)
3.1.2 End-to-End Encryption 3.1.2 エンドツーエンドの暗号化
3.1.3 Design Strategies 3.1.3 デザイン戦略
3.2 DATA SHARING DURING AUTHENTICATION 3.2 本人認証時のデータ共有
3.2.1 Relevance of attribute based access to online platforms 3.2.1 オンライン・プラットフォームにおける属性ベースのアクセスの妥当性
4. CONSIDERATIONS ON EXERCISING THE RIGHTS OF DATA SUBJECTS 4. データ主体の権利行使に関する考慮事項
4.1 INTERACTION BETWEEN DATA SUBJECT AND DATA INTERMEDIARY 4.1 データ主体とデータ仲介者の間の相互作用
4.1.1 Purpose Limitations 4.1.1 目的の制限
4.1.2 Implementation Aspects 4.1.2 実施の側面
4.2 INTERACTION BETWEEN DATA INTERMEDIARY AND DATA UTILISERS 4.2 データ仲介者とデータ利用者間の相互作用
4.2.1 Data Request and Data Response 4.2.1 データ要求とデータ応答
4.3 DATA MANAGEMENT AT THE DATA INTERMEDIARY 4.3 データ仲介者におけるデータ管理
4.3.1 Consent Coverage and Purpose Limitation 4.3.1 合意の範囲と目的の制限
4.3.2 Inter-Intermediary Interaction 4.3.2 仲介者間の相互作用
4.3.3 Logging and Reporting 4.3.3 ロギングとレポーティング
4.3.4 Privacy-Preserving Data Selection 4.3.4 プライバシー保護されたデータの選択
4.4 DATA ALTRUISM 4.4 データ利他主義
5. CONCLUSIONS 5. 結論
REFERENCES 参考文献

 

 

 

 

| | Comments (0)

2023.01.30

経済産業省 「システム監査基準(案)」及び「システム管理基準(案)」に対する意見募集について

こんにちは、丸山満彦です。

経済産業省が、「システム監査基準(案)」及び「システム管理基準(案)」について意見募集をしていますね。。。

ガイドライン等の詳細については、「NPO ⽇本システム監査⼈協会」が、メンテナンスすることになるようですね。それが良いと思います。日本システム監査人協会に、ガイドライン委員会をつくて基本はその委員会で、利害関係者を集めて一般に公正妥当なものとして受け入れられるようになれば良いですね。。。

実は、情報セキュリティ監査基準を最初作る際に、システム監査基準も情報セキュリティ監査基準と同じように、監査人の行為規範となる監査基準と、適正性の評価の尺度 (Criteria) としてのシステム管理基準を分けました。いわば、情報セキュリティ監査とシステム監査は双子のような姉妹のようにしたのですが、それぞれ別の道を歩んで行っているように感じます。

どこかで、両団体の交流が深まれば良いのですけどね。。。

今回は、

e-Gov

・2023.01.25 システム監査基準(案)」及び「システム管理基準(案)」に対する意見募集について

意見募集対象は、、、

・[PDF] システム監査基準(案)  

・[PDF] システム管理基準(案) 

 

参考...

・[PDF] (参考資料1)システム監査基準・管理基準の改訂案概要

・[PDF] (参考資料2)システム監査基準ガイドライン(案)抜粋 

・[PDF] (参考資料3)システム管理基準ガイドライン(案)抜粋 

 

20230130-70210

20230130-140531

 

 

| | Comments (0)

2023.01.29

欧州 サイバーレジリエンス法案に対するポジションペーパー by 欧州消費者機構

こんにちは、丸山満彦です。

欧州消費者機構 (BEUC: Bureau Européen des Unions de Consommateurs, The European Consumer Organisation) [wikipedia] がサイバーレジリエンス法案 (Proposal for a Regulation of the European Parliament and of the Council on horizontal cybersecurity requirements for products with digital elements and amending Regulation (EU) 2019/1020) に対するポジションペーパーを公表していますね。消費者団体の親玉のようなところですから基本的に賛成で、なんなら生ぬるいところもあるから、ちゃんとせいや。。。くらいの勢いですかね。。。

次の6つが書かれていますね。。。

  1. あらゆる種類のデジタル製品および関連サービスを対象としてより広い範囲をカバーすべきである。
  2. 製造者は、製品の期待寿命の全期間を通じて、セキュリティの脆弱性を監視し、対処する義務を負うべきである。
  3. 適合性評価手続きを強化すべきである。
  4. 「重要製品」には消費者向け製品を含め、サイバーセキュリティ認証の義務付けを行うべきである。
  5. 市場監視と執行の枠組みを明確化し、改善すべきである。
  6. 義務が尊重されない場合の消費者に対する効果的な救済措置と救済手段

 

BEUC: Bureau Européen des Unions de Consommateurs

・2023.01.24 Cyber Resilience Act proposal

・[PDF]

20230129-03901

 

Why it matters to consumers  消費者にとって重要な理由 
The number of digital services and connected devices in consumers’ lives is skyrocketing. Consumers expect the products they purchase to be safe and secure. Cyberattacks on connected devices put consumers at risk and endanger their privacy and security, even their physical safety. They can also lead to identity theft and cause economic damage. It is fundamental that the EU develops a strong legal framework to ensure that consumers are adequately protected and that connected devices are cybersecure.   消費者の生活におけるデジタルサービスやコネクテッドデバイスの数は急増しています。消費者は、購入する製品が安全でセキュアであることを期待しています。コネクテッドデバイスへのサイバー攻撃は、消費者を危険にさらし、プライバシーやセキュリティ、さらには身体的な安全まで脅かします。また、個人情報の盗難につながり、経済的な損害を与える可能性もあります。消費者が適切に保護され、接続機器がサイバーセキュアであることを保証するために、EUが強力な法的枠組みを構築することが肝要である。 
Summary  まとめ 
BEUC – The European Consumer Organisation welcomes the European Commission proposal on the Cyber Resilience Act (CRA). This proposal answers a longstanding need that BEUC and its members have identified and warned about repeatedly. Over the past years, BEUC members have demonstrated that too many connected products sold on the European market lack even the most basic security features. Too many products are putting consumers at risk on a daily basis.   BEUC ・欧州消費者機構は、サイバーレジリエンス法(CRA)に関する欧州委員会の提案に歓迎の意を表する。この提案は、BEUCとその会員が繰り返し指摘し、警告してきた長年のニーズに応えるものである。過去数年にわたり、BEUCの会員は、欧州市場で販売されているコネクテッド製品のあまりの多さが、最も基本的なセキュリティ機能さえ欠いていることを実証してきた。あまりにも多くの製品が、日常的に消費者を危険にさらしている。 
BEUC fully supports the proposed introduction of mandatory, essential cybersecurity requirements for manufacturers, distributors and importers of digital products and their ancillary services, to ensure that these products are secure by design and by default.  BEUCは、デジタル製品およびその付属サービスの製造業者、販売業者、輸入業者に対して、設計上およびデフォルトで安全であることを保証するために、必須のサイバーセキュリティ要件の導入を提案していることを全面的に支持する。
However, substantial improvements are still needed regarding several aspects of the proposal, to ensure that it is fit for purpose and can fully deliver a high level of protection to consumers.   しかし、本提案が目的に適っており、消費者に高いレベルの保護を完全に提供できるようにするためには、本提案のいくつかの側面について大幅な改善が必要である。 
In particular, BEUC makes the following key recommendations:   特に、BEUCは以下の主要な提言を行う。 
1) A broader scope covering all types of digital products and associated services.   1) あらゆる種類のデジタル製品および関連サービスを対象としてより広い範囲をカバーすべきである。 
•       The new rules must be applicable to all connected products, and their associated services, marketed to/intended for consumers.  ・新ルールは、消費者向けに販売される、あるいは消費者向けとされる、すべての接続型製品とその関連サービスに適用されなければならない。
•       The scope should be expanded to cover all web-based services (e.g. Software-asa-Service, websites) available to consumers.  ・また、消費者が利用できるすべてのウェブサービス(SaaS、ウェブサイトなど)にも適用範囲を拡大すべきである。
2) Manufacturers should be obliged to monitor and address security vulnerabilities during a product’s entire expected lifespan.  2) 製造者は、製品の期待寿命の全期間を通じて、セキュリティの脆弱性を監視し、対処する義務を負うべきである。
•       Mandatory cybersecurity requirements for manufacturers on vulnerability handling should apply throughout the product’s entire expected lifespan, and not be limited to a maximum period of five years.  ・製造業者に対する脆弱性対応に関するサイバーセキュリティの義務付けは、製品の期待寿命全体を通じて適用されるべきであり、最長5年の期間に限定されるべきではない。
•       A threshold of five years to address vulnerabilities could eventually be a minimum limit, but not a maximum threshold.  ・脆弱性対応のための5年という閾値は、最終的には最小限の制限となり得るが、最大限の閾値とはならない。
3) The conformity assessment procedure must be strengthened.  3) 適合性評価手続きを強化すべきである。
•       Third party assessment should be the rule to assess the conformity of ‘critical products with digital elements’ under Annex III.   ・附属書IIIの「デジタル要素を持つ重要製品」の適合性評価には、第三者評価をルールとすべきである。
•       Self-assessment should only be allowed for those products which are not considered to be ’critical products with digital elements’ under Annex III.  ・自己評価は、附属書IIIの「デジタル要素を持つ重要な製品」とみなされない製品にのみ許可されるべきである。
•       Harmonised standards should only be used to define technical requirements, not to replace legal obligations and requirements.   ・整合規格は、技術的要求事項を定義するためにのみ使用されるべきであり、法的義務や要求事項に取って代わるものではない。
•       Reliance on harmonised technical standards should not open the door to selfassessment in the case of ‘critical products with digital elements’, even those belonging to Class I.   ・整合技術規格への依存は、たとえクラス I に属するものであっても、「デジタル要素を持つ重要製品」の場合に自己評価の門戸を開くものであってはならない。 
4) ‘Critical products’ must include consumer products and be subjected to mandatory cybersecurity certification  4) 「重要製品」には消費者向け製品を含め、サイバーセキュリティ認証の義務付けを行うべきである。
•       The legislation should mandate cybersecurity certification level “high” for ‘critical products with digital elements’ listed in Annex III while discarding other options, especially those relying on self-assessment.   ・法律は、附属書 III に記載された「デジタル要素を持つ重要製品」に対してサイバーセキュリティ認証レベル「高」を義務付ける一方、他の選択肢、特に自己評価に依存する選択肢は排除すべきである。
•       The list of critical products (Classes I and II) must have a broader scope, going beyond its current focus solely on products intended for industrial use.  ・重要製品のリスト(クラスIとII)は、産業用途の製品にのみ焦点を当てた現在のものを超えて、より広い範囲を持つ必要がある。
•       In particular, the list of ‘critical products with digital elements’ of higher risk (Annex III, Class II) must also be extended to include consumer products.  ・特に、よりリスクの高い「デジタル要素を持つ重要製品」(附属書 III、クラス II)のリストは、消費者向け製品も含むように拡張されなければならない。
5) The market surveillance and enforcement framework must be clarified and improved.  5) 市場監視と執行の枠組みを明確化し、改善すべきである。
•       Effectiveness and consistency of market surveillance and enforcement must be strengthened, by providing for cooperation mechanisms between all market actors.  ・すべての市場関係者間の協力体制を整備し、市場監視・取締りの実効性と一貫性を強化する。
•       There must be clear cross-sector cooperation mechanisms for relevant supervisory authorities.   ・関連する監督当局のための明確なセクター横断的な協力メカニズムが必要である。
•       A ‘virtuous cycle’ of cooperation between consumers and national authorities should be encouraged.   ・消費者と国家当局の間の協力の「好循環」が奨励されるべきである。
•       Enforcement at the national level should be reinforced at a technical level. Beyond a supporting role to the investigation procedures of the European Commission, the CRA proposal should also establish an explicit role for ENISA to assist national authorities in their investigations, at their own request. An alternative would be to create a technical body for this role.  ・国家レベルでのエンフォースメントは、技術的なレベルでも強化されるべきである。CRAの提案は、欧州委員会の調査手続を支援する役割を超えて、各国当局の要請に基づき、各国当局の調査を支援するENISAの明確な役割も確立すべきである。代替案としては、この役割のための技術的な組織を設立することが考えられる。
6) Effective remedies and means of redress for consumers when obligations are not respected.  6) 義務が尊重されない場合の消費者に対する効果的な救済措置と救済手段
•       Consumers have a right to cybersecure products and services, and should have a clear right to complain to a national authority and access judicial remedies when they are affected by non-compliance with the CRA obligations.  ・消費者は、サイバーセキュアな製品とサービスを受ける権利を有し、CRAの義務の不履行によって影響を受けた場合、国家機関に苦情を申し立て、司法救済にアクセスする明確な権利を有するべきである。
•       Manufacturers should be required to make a complaint mechanism available and be obliged to react to consumer complaints within a short period of time, with a maximum of five working days.   ・製造業者は、苦情処理機構を利用できるようにし、消費者の苦情に短時間(最大5営業日)以内に対応する義務を負うべきである。 
•       Affected users should have the right to remedies/compensation in case they suffer damages caused by non-compliance with the CRA.  ・CRA の不遵守により損害を被った場合、影響を受けたユーザーは救済・補償を受ける権利を有するべきであ る。
•       Consumer organisations/civil society organisations should be able to represent individual consumers in the exercise of their rights.  ・消費者団体/市民社会組織は、消費者個人の権利行使を代理することができるべきである。
•       The CRA must be added to the Annex of the Representative Actions Directive (RAD) to enable collective redress actions and injunctions in case of mass harm.  ・集団的被害に対する救済措置や差止命令を可能にするため、CRAをRepresentative Actions Directive (RAD)の附属書に追加しなければならない。

 

目次...

1. Introduction 1. 序文
2. A broader scope with very limited exclusions (Article 2) 2. より広い範囲と非常に限定された除外事項(第2条)
3. Mandatory and effective application of cybersecurity requirements 3. サイバーセキュリティ要求事項の義務的かつ効果的な適用
3.1. Products should remain secure throughout their entire expected lifespan 3.1. 製品は、期待される寿命全体を通じて安全であり続けるべきである。
3.2. Risks of premature obsolescence and sustainability concerns on electronic waste 3.2. 早すぎる陳腐化のリスクと電子廃棄物に関する持続可能性の懸念
3.3. Software updates: unbundling security and functionality updates 3.3. ソフトウェアの更新:セキュリティと機能の更新のアンバンドリング
4. Strengthening the conformity assessment procedure 4. 適合性評価手続の強化
4.1. Self-assessment by default means cybersecurity at risk by design 4.1. デフォルトでの自己評価とは、設計上リスクのあるサイバーセキュリティを意味する
4.2. Presumption of conformity, self-assessment through the ‘backdoor’? 4.2. 適合性の推定、"裏口 "からの自己評価?
4.3. The Role of Standards in ensuring cybersecurity for consumers* 4.3. 消費者*のためのサイバーセキュリティを確保するための規格の役割
5. Mandatory third-party assessment for critical products, including consumer products (Annex III) 5. 消費者向け製品を含む重要製品に対する第三者評価の義務化 (附属書 III) 
5.1. The absence of a risk assessment methodology 5.1. リスクアセスメントの方法論がないこと
5.2. The necessity of mandatory certification for all ‘critical products’ 5.2. すべての「重要製品」に対する強制認証の必要性
5.3. List of ‘critical products’ must be extended beyond mere industrial use 5.3. 重要製品」のリストは、単なる産業用途にとどまらず、拡大すべきである。
5.4. Consumer products must be added to the list of ‘critical products’ 5.4. 消費者向け製品を「重要製品」のリストに追加しなければならない。
5.4.1. Private security devices 5.4.1. 民間のセキュリティ機器
5.4.2. Smart home devices 5.4.2. スマートホームデバイス
5.4.3. Connected toys and other devices intended to interact with children 5.4.3. 子供とのインタラクションを意図したコネクテッド・トイやその他のデバイス
5.4.4. Health appliances and wearables 5.4.4. 健康器具・ウェアラブル
6. Stronger market surveillance and enforcement framework (Chapter V) 6. 市場監視と執行の枠組みの強化(第V章)
7. Effective remedies and means of redress for consumers 7. 消費者に対する効果的な救済措置と救済手段
8. Final provisions 8. 最終規定

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.09.17 欧州委員会 サイバーレジリエンス法案 製造者は「積極的に悪用される脆弱性」に気づいたら24時間以内にENISAに報告しなければならない...

| | Comments (0)

2023.01.28

米国 FBI DHS 戦略的インテリジェンス評価と国内テロに関するデータについての報告 (2023.01.05)

こんにちは、丸山満彦です。

FBIとDHSは2020年、2021年の国内テロについての報告を議会にしていますね。。。

テロについては脅威を次の5つに分類しているようですね

Racially or Ethnically Motivated Violent Extremism 人種的・民族的動機による暴力的過激派
Anti-Government or Anti-Authority Violent Extremism  反政府・反権力の暴力的過激派
Animal Rights/Environmental Violent Extremism 動物愛護/環境暴力過激派
Abortion-Related Violent Extremism 人工妊娠中絶に関連する暴力的過激派
All Other DT Threats その他全ての国内テロ脅威

 

この脅威の中では、上の2つが重要という感じですかね。。。興味深い報告書です。。。こういう報告書を出すところが米国らいしいという感じがします。

 

Office of the Director of National Intelligence - National Counterterrorism CenterNCTC TRANSPARENCY

・2023.01.05 FBI AND DHS - STRATEGIC INTELLIGENCE ASSESSMENT AND DATA ON DOMESTIC TERRORISM

・[PDF]

20230128-53402

・[DOCX] 仮訳 (本文、附属書Aのみ...) 

 

 

 

 

| | Comments (0)

2023.01.27

NIST AIリスクフレームワーク

こんにちは、丸山満彦です。

NISTがAIリスクフレームワークを公表していますね。。。

 

NIST

・2023.01.26 NIST Risk Management Framework Aims to Improve Trustworthiness of Artificial Intelligence

 

NIST Risk Management Framework Aims to Improve Trustworthiness of Artificial Intelligence NISTリスクマネジメントフレームワークは人工知能の信頼性向上を目指す
New guidance seeks to cultivate trust in AI technologies and promote AI innovation while mitigating risk. 新しいガイダンスは、AI技術への信頼を培い、リスクを軽減しながらAIイノベーションを促進することを目指している。
WASHINGTON — The U.S. Department of Commerce’s National Institute of Standards and Technology (NIST) has released its Artificial Intelligence Risk Management Framework (AI RMF 1.0), a guidance document for voluntary use by organizations designing, developing, deploying or using AI systems to help manage the many risks of AI technologies.  ワシントン - 米国商務省の国立標準技術研究所(NIST)は、AI技術の多くのリスクを管理するために、AIシステムを設計、開発、展開、または使用する組織が自主的に使用するためのガイダンス文書、「人工知能リスクマネジメントフレームワーク(AI RMF 1.0)」を発表した。 
The AI RMF follows a direction from Congress for NIST to develop the framework and was produced in close collaboration with the private and public sectors. It is intended to adapt to the AI landscape as technologies continue to develop, and to be used by organizations in varying degrees and capacities so that society can benefit from AI technologies while also being protected from its potential harms. AI RMFは、NISTがフレームワークを開発するよう議会から指示されたことを受け、民間および公共部門との緊密な協力のもとに作成されたものである。このフレームワークは、技術が発展するにつれてAIの状況に適応し、さまざまな程度や能力の組織が使用することで、社会がAI技術から恩恵を受けると同時に、その潜在的な害から保護されるようにすることを目的としている。
“This voluntary framework will help develop and deploy AI technologies in ways that enable the United States, other nations and organizations to enhance AI trustworthiness while managing risks based on our democratic values,” said Deputy Commerce Secretary Don Graves. “It should accelerate AI innovation and growth while advancing — rather than restricting or damaging — civil rights, civil liberties and equity for all.”  ドン・グレイブス商務次官は、次のように述べている。「この自主的な枠組みは、米国や他の国、組織が、民主主義の価値観に基づいてリスクをマネジメントしながら、AIの信頼性を高めるような方法でAI技術を開発・展開するのに役立つだろう。すべての人のための市民権、市民的自由、公平性を制限したり損なったりするのではなく、むしろ前進させながら、AIのイノベーションと成長を加速させるべきである。」
Compared with traditional software, AI poses a number of different risks. AI systems are trained on data that can change over time, sometimes significantly and unexpectedly, affecting the systems in ways that can be difficult to understand. These systems are also “socio-technical” in nature, meaning they are influenced by societal dynamics and human behavior. AI risks can emerge from the complex interplay of these technical and societal factors, affecting people’s lives in situations ranging from their experiences with online chatbots to the results of job and loan applications.    従来のソフトウェアと比較して、AIは多くの異なるリスクをもたらす。AIシステムは、時間とともに、時には大きく、予想外に変化し、理解が困難な方法でシステムに影響を与える可能性のあるデータに基づいて学習される。また、これらのシステムは、社会の力学や人間の行動から影響を受けるという意味で、「社会技術的」な性質を持っている。AIリスクは、こうした技術的・社会的要因の複雑な相互作用から発生し、オンラインチャットボットの利用体験から就職やローンの申込結果まで、さまざまな場面で人々の生活に影響を与える可能性がある。  
The framework equips organizations to think about AI and risk differently. It promotes a change in institutional culture, encouraging organizations to approach AI with a new perspective — including how to think about, communicate, measure and monitor AI risks and its potential positive and negative impacts.  このフレームワークは、組織がAIとリスクについてこれまでとは異なる考え方をするためのものである。AIリスクとその潜在的なプラスとマイナスの影響についてどのように考え、伝え、測定し、監視するかを含め、組織が新しい視点でAIにアプローチするよう促し、組織文化の変化を促すものである。 
The new framework should “accelerate AI innovation and growth while advancing — rather than restricting or damaging — civil rights, civil liberties and equity for all.” —Deputy Commerce Secretary Don Graves 「新しいフレームワークは、AIのイノベーションと成長を加速させる一方で、市民の権利、市民の自由、すべての人のための公平性を、制限したり損なったりするのではなく、促進する べきものである。」 -ドン・グレイブス商務次官
The AI RMF provides a flexible, structured and measurable process that will enable organizations to address AI risks. Following this process for managing AI risks can maximize the benefits of AI technologies while reducing the likelihood of negative impacts to individuals, groups, communities, organizations and society. AI リスクマネジメントフレームワークは、組織がAIリスクに対処することを可能にする、柔軟で構造化され、測定可能なプロセスを提供する。このAIリスクマネジメントのプロセスに従うことで、個人、グループ、コミュニティ、組織、社会への悪影響の可能性を低減しながら、AI技術の恩恵を最大限に享受することができる。
The framework is part of NIST’s larger effort to cultivate trust in AI technologies — necessary if the technology is to be accepted widely by society, according to Under Secretary for Standards and Technology and NIST Director Laurie E. Locascio.  標準技術担当次官兼NIST長官のローリー・E・ロカシオによると、このフレームワークは、AI技術が社会に広く受け入れられるために必要な、AI技術への信頼を培うためのNISTの大きな取り組みの一部である。 
“The AI Risk Management Framework can help companies and other organizations in any sector and any size to jump-start or enhance their AI risk management approaches,” Locascio said. “It offers a new way to integrate responsible practices and actionable guidance to operationalize trustworthy and responsible AI. We expect the AI RMF to help drive development of best practices and standards.” 「AIリスクマネジメントフレームワークは、企業やその他の組織が、あらゆる分野、あらゆる規模のAIリスクマネジメントのアプローチを開始または強化するのに役立ちます」と、ロカシオは述べている。「これは、信頼できる責任あるAIを運用するための、責任ある実践と実行可能なガイダンスを統合する新しい方法を提供するものである。AI RMFがベストプラクティスと標準の開発を促進することを期待している。」
The AI RMF is divided into two parts. The first part discusses how organizations can frame the risks related to AI and outlines the characteristics of trustworthy AI systems. The second part, the core of the framework, describes four specific functions — govern, map, measure and manage — to help organizations address the risks of AI systems in practice. These functions can be applied in context-specific use cases and at any stages of the AI life cycle. AI リスクマネジメントフレームワークは、2つのパートに分かれている。第1部では、組織がAIに関連するリスクをどのようにフレームすることができるかを論じ、信頼できるAIシステムの特徴を概説している。フレームワークの中核となる第2部では、組織がAIシステムのリスクに実際に対処するための4つの具体的な機能(ガバナンス、マップ、メジャー、マネジメント)を説明している。これらの機能は、コンテキストに応じたユースケースや、AIのライフサイクルのどの段階でも適用することができる。
Working closely with the private and public sectors, NIST has been developing the AI RMF for 18 months. The document reflects about 400 sets of formal comments NIST received from more than 240 different organizations on draft versions of the framework. NIST today released statements from some of the organizations that have already committed to use or promote the framework. NISTは、民間および公共部門と密接に協力しながら、1年半にわたってAI RMFの開発を進めてきた。この文書には、NISTがフレームワークのドラフト版に対して240以上の組織から受け取った約400件の正式なコメントが反映されている。NISTは本日、このフレームワークの使用や推進を既に表明しているいくつかの組織の声明を発表した。
The agency also today released a companion voluntary AI RMF Playbook, which suggests ways to navigate and use the framework.  また本日、NISTは、フレームワークのナビゲーションと使用方法を提案する、任意のAI RMF Playbookも発表した。 
NIST plans to work with the AI community to update the framework periodically and welcomes suggestions for additions and improvements to the playbook at any time. Comments received by the end of February 2023 will be included in an updated version of the playbook to be released in spring 2023. NISTは、AIコミュニティと協力してフレームワークを定期的に更新する予定であり、プレイブックへの追加や改善の提案を随時受け付けている。2023年2月末までに寄せられたコメントは、2023年春にリリースされるプレイブックの更新版に含まれる予定である。
In addition, NIST plans to launch a Trustworthy and Responsible AI Resource Center to help organizations put the AI RMF 1.0 into practice. The agency encourages organizations to develop and share profiles of how they would put it to use in their specific contexts. Submissions may be sent to [mail]. さらにNISTは、組織がAI RMF 1.0を実践するのを支援するため、「Trustworthy and Responsible AI Resource Center」を立ち上げる予定である。同機関は、各組織が特定の状況下でどのようにこれを使用するかのプロファイルを作成し、共有することを奨励している。提出先は、[mail]
NIST is committed to continuing its work with companies, civil society, government agencies, universities and others to develop additional guidance. The agency today issued a roadmap for that work. NISTは、企業、市民社会、政府機関、大学などとの共同作業を継続し、追加のガイダンスを開発することを約束する。NISTは本日、この作業のためのロードマップを発表した。
The framework is part of NIST’s broad and growing portfolio of AI-related work that includes fundamental and applied research along with a focus on measurement and evaluation, technical standards, and contributions to AI policy.  このフレームワークは、NISTのAI関連業務の幅広い拡大ポートフォリオの一部であり、測定・評価、技術標準、AI政策への貢献に重点を置いた基礎・応用研究が含まれている。  

 

・[PDF]

20230127-55450

・[DOCX] 仮訳

 

リスクマネジメントフレーワーク (RMF)

1_20230127061801

目次...

Executive Summary エグゼクティブサマリー
Part 1: Foundational Information 第1部: 基礎情報
1 Framing Risk 1 リスクの枠組み
1.1 Understanding and Addressing Risks, Impacts, and Harms 1.1 リスク、影響、害を理解し対処する
1.2 Challenges for AI Risk Management 1.2 AIリスクマネジメントの課題
1.2.1 Risk Measurement 1.2.1 リスクの測定
1.2.2 Risk Tolerance 1.2.2 リスクの許容度
1.2.3 Risk Prioritization 1.2.3 リスクの優先順位付け
1.2.4 Organizational Integration and Management of Risk 1.2.4 リスクの組織的統合とマネジメント
2 Audience 2 想定読者
3 AI Risks and Trustworthiness 3 AIリスクと信頼性
3.1 Valid and Reliable 3.1 有効性と信頼性
3.2 Safe 3.2 安全
3.3 Secure and Resilient 3.3 安全性とレジリエンス
3.4 Accountable and Transparent 3.4 説明可能で透明性がある
3.5 Explainable and Interpretable 3.5 説明可能で解釈可能なもの
3.6 Privacy-Enhanced 3.6 プライバシーの保護
3.7 Fair – with Harmful Bias Managed 3.7 公正 - 有害なバイアスは管理された状態で
4 Effectiveness of the AI RMF 4 AI RMFの有効性
Part 2: Core and Profiles 第2部:コアとプロファイル
5 AI RMF Core 5 AI RMFのコア
5.1 Govern 5.1 統治
5.2 Map 5.2 マップ
5.3 Measure 5.3 測定
5.4 Manage 5.4 管理
6 AI RMF Profiles 6 AI RMF プロファイル
Appendix A: Descriptions of AI Actor Tasks from Figures 2 and 3 附属書A:図2および図3のAIアクタータスクの説明
Appendix B: How AI Risks Differ from Traditional Software Risks 附属書B:AIリスクは従来のソフトウェアリスクとどう違うか
Appendix C: AI Risk Management and Human-AI Interaction 附属書C:AIリスクマネジメントと人間-AI間の相互作用
Appendix D: Attributes of the AI RMF 附属書D: AI RMFの属性

 

エグゼクティブサマリー...

 

NISTのAIリスクフレームワークのウェブページ

AI RISK MANAGEMENT FRAMEWORK

 

ここに至るタイムライン...

1_20230127101501

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.08.24 NIST 意見募集 AIリスクマネジメントフレームワーク(第2ドラフト)とそのプレイブック

・2022.03.22 NIST 意見募集 AIリスクマネジメントフレームワーク(初期ドラフト)

 

 

 

| | Comments (0)

2023.01.26

IPA 「情報セキュリティ10大脅威 2023」を公開

こんにちは、丸山満彦です。

IPAが「情報セキュリティ10大脅威 2023」を発表していますね。2006年から始まっていますので、長い間続いていますね。。。

ランサムウェアの脅威はこの3年間トップですね。。。サプライチェーン攻撃もこのところ上位で、この3年間で上昇していますね。。。標的型攻撃による情報漏洩については、4−7年前は連続トップでしたが、このところは2, 3位となっていますね。。。

 

● IPA

プレス発表

・2023.01.25 プレス発表 「情報セキュリティ10大脅威 2023」を決定

・2023.01.25 「情報セキュリティ10大脅威 2023」を公開

・ 2023.01.25 情報セキュリティ10大脅威 2023

 

2022 個人 2023 組織 2022
1位 フィッシングによる個人情報等の詐取 1位 ランサムウェアによる被害 1位
2位 ネット上の誹謗・中傷・デマ 2位 サプライチェーンの弱点を悪用した攻撃 3位
3位 メールやSMS等を使った脅迫・詐欺の手口による金銭要求 3位 標的型攻撃による機密情報の窃取 2位
4位 クレジットカード情報の不正利用 4位 内部不正による情報漏えい 5位
5位 スマホ決済の不正利用 5位 テレワーク等のニューノーマルな働き方を狙った攻撃 4位
7位 不正アプリによるスマートフォン利用者への被害 6位 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) 7位
6位 偽警告によるインターネット詐欺 7位 ビジネスメール詐欺による金銭被害 8位
8位 インターネット上のサービスからの個人情報の窃取 8位 脆弱性対策情報の公開に伴う悪用増加 6位
10位 インターネット上のサービスへの不正ログイン 9位 不注意による情報漏えい等の被害 10位
New ワンクリック請求等の不当請求による金銭被害 10位 犯罪のビジネス化(アンダーグラウンドサービス) New

 

 

2021 個人 2022 組織 2021
2位 フィッシングによる個人情報等の詐取 1位 ランサムウェアによる被害 1位
3位 ネット上の誹謗・中傷・デマ 2位 標的型攻撃による機密情報の窃取 2位
4位 メールやSMS等を使った脅迫・詐欺の手口による金銭要求 3位 サプライチェーンの弱点を悪用した攻撃 4位
5位 クレジットカード情報の不正利用 4位 テレワーク等のニューノーマルな働き方を狙った攻撃 3位
1位 スマホ決済の不正利用 5位 内部不正による情報漏えい 6位
8位 偽警告によるインターネット詐欺 6位 脆弱性対策情報の公開に伴う悪用増加 10位
9位 不正アプリによるスマートフォン利用者への被害 7位 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) New
7位 インターネット上のサービスからの個人情報の窃取 8位 ビジネスメール詐欺による金銭被害 5位
6位 インターネットバンキングの不正利用 9位 予期せぬIT基盤の障害に伴う業務停止 7位
10位 インターネット上のサービスへの不正ログイン 10位 不注意による情報漏えい等の被害 9位

 

2020 個人 2021 組織 2020
1位 スマホ決済の不正利用 1位 ランサムウェアによる被害 5位
2位 フィッシングによる個人情報等の詐取 2位 標的型攻撃による機密情報の窃取 1位
7位 ネット上の誹謗・中傷・デマ 3位 テレワーク等のニューノーマルな働き方を狙った攻撃 NEW
5位 メールやSMS等を使った脅迫・詐欺の手口による金銭要求 4位 サプライチェーンの弱点を悪用した攻撃 4位
3位 クレジットカード情報の不正利用 5位 ビジネスメール詐欺による金銭被害 3位
4位 インターネットバンキングの不正利用 6位 内部不正による情報漏えい 2位
10位 インターネット上のサービスからの個人情報の窃取 7位 予期せぬIT基盤の障害に伴う業務停止 6位
9位 偽警告によるインターネット詐欺 8位 インターネット上のサービスへの不正ログイン 16位
6位 不正アプリによるスマートフォン利用者への被害 9位 不注意による情報漏えい等の被害 7位
8位 インターネット上のサービスへの不正ログイン 10位 脆弱性対策情報の公開に伴う悪用増加 14位
         
2019 個人 2020 組織 2019
NEW スマホ決済の不正利用 1位 標的型攻撃による機密情報の窃取 1位
2位 フィッシングによる個人情報の詐取 2位 内部不正による情報漏えい 5位
1位 クレジットカード情報の不正利用 3位 ビジネスメール詐欺による金銭被害 2位
7位 インターネットバンキングの不正利用 4位 サプライチェーンの弱点を悪用した攻撃 4位
4位 メールやSMS等を使った脅迫・詐欺の手口による金銭要求 5位 ランサムウェアによる被害 3位
3位 不正アプリによるスマートフォン利用者への被害 6位 予期せぬIT基盤の障害に伴う業務停止 16位
5位 ネット上の誹謗・中傷・デマ 7位 不注意による情報漏えい(規則は遵守) 10位
8位 インターネット上のサービスへの不正ログイン 8位 インターネット上のサービスからの個人情報の窃取 7位
6位 偽警告によるインターネット詐欺 9位 IoT機器の不正利用 8位
12位 インターネット上のサービスからの個人情報の窃取 10位 サービス妨害攻撃によるサービスの停止 6位
         
2018 個人 2019 組織 2018
1位 クレジットカード情報の不正利用 1位 標的型攻撃による被害 1位
1位 フィッシングによる個人情報等の詐取 2位 ビジネスメール詐欺による被害 3位
4位 不正アプリによるスマートフォン利用者への被害 3位 ランサムウェアによる被害 2位
NEW メール等を使った脅迫・詐欺の手口による金銭要求 4位 サプライチェーンの弱点を悪用した攻撃の高まり NEW
3位 ネット上の誹謗・中傷・デマ 5位 内部不正による情報漏えい 8位
10位 偽警告によるインターネット詐欺 6位 サービス妨害攻撃によるサービスの停止 9位
1位 インターネットバンキングの不正利用 7位 インターネットサービスからの個人情報の窃取 6位
5位 インターネットサービスへの不正ログイン 8位 IoT機器の脆弱性の顕在化 7位
2位 ランサムウェアによる被害 9位 脆弱性対策情報の公開に伴う悪用増加 4位
9位 IoT 機器の不適切な管理 10位 不注意による情報漏えい 12位
         
2017 個人 2018 組織 2017
1位 インターネットバンキングやクレジットカード情報等の不正利用 1位 標的型攻撃による被害 1位
2位 ランサムウェアによる被害 2位 ランサムウェアによる被害 2位
7位 ネット上の誹謗・中傷 3位 ビジネスメール詐欺による被害 NEW
3位 スマートフォンやスマートフォンアプリを狙った攻撃 4位 脆弱性対策情報の公開に伴う悪用増加 NEW
4位 ウェブサービスへの不正ログイン 5位 脅威に対応するためのセキュリティ人材の不足 NEW
6位 ウェブサービスからの個人情報の窃取 6位 ウェブサービスからの個人情報の窃取 3位
8位 情報モラル欠如に伴う犯罪の低年齢化 7位 IoT機器の脆弱性の顕在化 8位
5位 ワンクリック請求等の不当請求 8位 内部不正による情報漏えい 5位
10位 IoT機器の不適切な管理 9位 サービス妨害攻撃によるサービスの停止 4位
NEW 偽警告によるインターネット詐欺 10位 犯罪のビジネス化(アンダーグラウンドサービス) 9位
         
2016 個人 2017 組織 2016
1位 インターネットバンキングやクレジットカード情報の不正利用 1位 標的型攻撃による情報流出 1位
2位 ランサムウェアによる被害 2位 ランサムウェアによる被害 7位
3位 スマートフォンやスマートフォンアプリを狙った攻撃 3位 ウェブサービスからの個人情報の窃取 3位
5位 ウェブサービスへの不正ログイン 4位 サービス妨害攻撃によるサービスの停止 4位
4位 ワンクリック請求等の不当請求 5位 内部不正による情報漏えいとそれに伴う業務停止 2位
7位 ウェブサービスからの個人情報の窃取 6位 ウェブサイトの改ざん 5位
6位 ネット上の誹謗・中傷 7位 ウェブサービスへの不正ログイン 9位
8位 情報モラル欠如に伴う犯罪の低年齢化 8位 IoT機器の脆弱性の顕在化 NEW
10位 インターネット上のサービスを悪用した攻撃 9位 攻撃のビジネス化(アンダーグラウンドサービス) NEW
NEW IoT機器の不適切な管理 10位 インターネットバンキングやクレジットカード情報の不正利用 8位

 

個人(カッコ内は総合順位) 2016 組織(カッコ内は総合順位)
インターネットバンキングやクレジットカード情報の不正利用(1位) 1位 標的型攻撃による情報流出(2位)
ランサムウェアを使った詐欺・恐喝(3位) 2位 内部不正による情報漏えいとそれに伴う業務停止(8位)
審査をすり抜け公式マーケットに紛れ込んだスマートフォンアプリ(7位) 3位 ウェブサービスからの個人情報の窃取(4位)
巧妙・悪質化するワンクリック請求(9位) 4位 サービス妨害攻撃によるサービスの停止(-)
ウェブサービスへの不正ログイン(5位) 5位 ウェブサイトの改ざん(6位)
匿名によるネット上の誹謗・中傷(-) 6位 脆弱性対策情報の公開に伴い公知となる脆弱性の悪用増加(10位)
ウェブサービスからの個人情報の窃取(4位) 7位 ランサムウェアを使った詐欺・恐喝(3位)
情報モラル不足に伴う犯罪の低年齢化(-) 8位 インターネットバンキングやクレジットカード情報の不正利用(1位)
職業倫理欠如による不適切な情報公開(-) 9位 ウェブサービスへの不正ログイン(5位)
インターネットの広告機能を悪用した攻撃(-) 10位 過失による情報漏えい(-)

 

  2015  
1 インターネットバンキングやクレジットカード情報の不正利用 ~個人口座だけではなく法人口座もターゲットに~
2 内部不正による情報漏えい ~内部不正が事業に多大な悪影響を及ぼす~
3 標的型攻撃による諜報活動 ~標的組織への侵入手口が巧妙化~
4 ウェブサービスへの不正ログイン ~利用者は適切なパスワード管理を~
5 ウェブサービスからの顧客情報の窃取 ~脆弱性や設定の不備を突かれ顧客情報が盗まれる~
6 ハッカー集団によるサイバーテロ ~破壊活動や内部情報の暴露を目的としたサイバー攻撃~
7 ウェブサイトの改ざん ~知らぬ間に、ウイルス感染サイトに仕立てられる~
8 インターネット基盤技術を悪用した攻撃 ~インターネット事業者は厳重な警戒を~
9 脆弱性公表に伴う攻撃 ~求められる迅速な脆弱性対策~
10 悪意のあるスマートフォンアプリ ~アプリのインストールで友人に被害が及ぶことも~
   
  2014
1 標的型メールを用いた組織へのスパイ・諜報活動 サイバー空間(領域)問題
2 不正ログイン・不正利用 ウイルス・ハッキングによるサイバー攻撃
3 ウェブサイトの改ざん ウイルス・ハッキングによるサイバー攻撃
4 ウェブサービスからのユーザー情報の漏えい ウイルス・ハッキングによるサイバー攻撃
5 オンラインバンキングからの不正送金 ウイルス・ハッキングによるサイバー攻撃
6 悪意あるスマートフォンアプリ ウイルス・ハッキングによるサイバー攻撃
7 SNS への軽率な情報公開 インターネットモラル
8 紛失や設定不備による情報漏えい 内部統制・セキュリティマネジメント
9 ウイルスを使った詐欺・恐喝 ウイルス・ハッキングによるサイバー攻撃
10 サービス妨害 ウイルス・ハッキングによるサイバー攻撃
   
  2013
1 クライアントソフトの脆弱性を突いた攻撃
2 標的型諜報攻撃
3 スマートデバイスを狙った悪意あるアプリの横行
4 ウイルスを使った遠隔操作
5 金銭窃取を目的としたウイルスの横行
6 予期せぬ業務停止
7 ウェブサイトを狙った攻撃
8 パスワード流出の脅威
9 内部犯行
10 フィッシング詐欺
   
  2012  
1 機密情報が盗まれる!?新しいタイプの攻撃 ~情報窃取を目的とする標的型の諜報攻撃(APT)~
2 予測不能の災害発生!引き起こされた業務停止 ~自然災害や人為的災害による IT システムの故障、業務データの消失~
3 特定できぬ、共通思想集団による攻撃 ~社会変革をめざす共通的な思想を持つ集団による暴露・妨害攻撃~
4 今もどこかで…更新忘れのクライアントソフトを狙った攻撃 ~標的型攻撃にも悪用されるクライアントソフトの脆弱性~
5 止まらない!ウェブサイトを狙った攻撃 ~狙われ続けるウェブサイトの脆弱性~
6 続々発覚、スマートフォンやタブレットを狙った攻撃 ~狙われる小さなパソコン-スマートデバイス~
7 大丈夫!?電子証明書に思わぬ落し穴 ~電子証明書の管理不備により、引き起こされた問題~
8 身近に潜む魔の手・・・あなたの職場は大丈夫? ~組織内部・関係者による業務妨害や情報漏えい~
9 危ない!アカウントの使いまわしが被害を拡大! ~アカウント情報の管理不備が原因で発生するなりすまし被害~
10 利用者情報の不適切な取扱いによる信用失墜 ~利用者との結びつきが強い情報(利用者情報)の取扱いに関する問題~
   
  2011
1 「人」が起こしてしまう情報漏えい
2 止まらない!ウェブサイトを経由した攻撃
3 定番ソフトウェアの脆弱性を狙った攻撃
4 狙われだしたスマートフォン
5 複数の攻撃を組み合わせた新しいタイプの攻撃
6 セキュリティ対策丌備がもたらすトラブル
7 携帯電話向けウェブサイトのセキュリティ
8 攻撃に気づけない標的型攻撃
9 クラウド・コンピューティングのセキュリティ
10 ミニブログサービスや SNS の利用者を狙った攻撃
   
  2010
1 変化を続けるウェブサイト改ざんの手口
2 アップデートしていないクライアントソフト
3 悪質なウイルスやボットの多目的化
4 対策をしていないサーバ製品の脆弱性
5 あわせて事後対応を!情報漏えい事件
6 被害に気づけない標的型攻撃
7 深刻なDDoS攻撃
8 正規のアカウントを悪用される脅威
9 クラウド・コンピューティングのセキュリティ問題
10 インターネットインフラを支えるプロトコルの脆弱性
   
  2009
  ■組織への脅威
1 DNS キャッシュポイズニングの脅威
2 巧妙化する標的型攻撃
3 恒常化する情報漏えい
   ■利用者への脅威
1 多様化するウイルスやボットの感染経路
2 脆弱な無線 LAN 暗号方式における脅威
3 減らないスパムメール
4 ユーザ ID とパスワードの使いまわしによる危険性
   ■システム管理者・開発者への脅威
1 正規のウェブサイトを経由した攻撃の猛威
2 誘導型攻撃の顕在化
3 組込み製品に潜む脆弱性 
   
  2008
1 高まる「誘導型」攻撃の脅威
2 ウェブサイトを狙った攻撃の広まり
3 恒常化する情報漏えい
4 巧妙化する標的型攻撃
5 信用できなくなった正規サイト
6 検知されにくいボット、潜在化するコンピュータウイルス
7 検索エンジンからマルウェア配信サイトに誘導
8  国内製品の脆弱性が頻発
9 減らないスパムメール
10 組み込み製品の脆弱性の増加 
   
  2007
1 漏えい情報のWinnyによる止まらない流通
2 表面化しづらい標的型(スピア型)攻撃
3 悪質化・潜在化するボット
4 深刻化するゼロデイ攻撃
5 ますます多様化するフィッシング詐欺
6 増え続けるスパムメール
7 減らない情報漏えい
8 狙われ続ける安易なパスワード
9 攻撃が急増するSQLインジェクション
10 不適切な設定のDNSサーバを狙う攻撃の発生
   
  2006
1 漏えい情報のWinnyによる止まらない流通
2 表面化しづらい標的型(スピア型)攻撃
3 悪質化・潜在化するボット
4 深刻化するゼロデイ攻撃
5 ますます多様化するフィッシング詐欺
6 増え続けるスパムメール
7 減らない情報漏えい
8 狙われ続ける安易なパスワード
9 攻撃が急増するSQLインジェクション
10 不適切な設定のDNSサーバを狙う攻撃の発生
   
  2005
1 事件化するSQLインジェクション
2 Winnyを通じたウイルス感染による情報漏えいの多発
3 音楽CDに格納された「ルートキットに類似した機能」の事件化
4 悪質化するフィッシング詐欺
5 巧妙化するスパイウェア
6 流行が続くボット
7 ウェブサイトを狙うCSRFの流行
8 情報家電、携帯機器などの組込みソフトウェアにひそむ脆弱性
9 セキュリティ製品の持つ脆弱性
10 ゼロデイ攻撃

 

Ipa_20230126142601

 


 

まるちゃんの情報セキュリティ気まぐれ日記

| | Comments (0)

英国王立学会 プライバシー向上技術 (PETs) (2023.01.23)

こんにちは、丸山満彦です。

英国王立学会が、プライバシー向上技術についての報告書を出しています。

日本ではあまり議論がされていない部分もあるかもしれませんが、欧米では議論が始まっている分野ですね。

 

The Royal Society

・2023.01.23 Privacy Enhancing Technologies

Privacy Enhancing Technologies プライバシー向上技術
How can technology support data governance and enable new, innovative uses of data for public benefit?  データガバナンスを支援し、公共の利益のための新しい革新的なデータ利用を可能にする技術はどのようなものだろうか? 
The Royal Society’s Privacy Enhancing Technologies programme investigates the potential for tools and approaches collectively known as Privacy Enhancing Technologies, or PETs, in maximising the benefit and reducing the harms associated with data use. 英国王立協会プライバシー向上技術プログラムはプライバシー向上技術(PETs)と総称されるツールやアプローチが、データ利用に伴う利益を最大化し、害を減少させる可能性について調査している。
Our 2023 report, From privacy to partnership: the role of Privacy Enhancing Technologies in data governance and collaborative analysis (PDF), was undertaken in close collaboration with the Alan Turing Institute, and considers the potential for PETs to revolutionise the safe and rapid use of sensitive data for wider public benefit. It considers the role of these technologies in addressing data governance issues beyond privacy, addressing the following questions: 2023年版レポート「From privacy to partnership: the role of Privacy Enhancing Technologies in data governance and collaborative analysis」(PDF)は、アラン・チューリング研究所との密接な協力により作成され、より広い公共の利益のために機密データを安全かつ迅速に使用することに革命を起こすPETの可能性について考察している。プライバシーを超えたデータガバナンスの問題に取り組む上で、これらの技術が果たす役割を考察し、以下の問いに取り組んでいる。
How can PETs support data governance and enable new, innovative uses of data for public benefit? PET は、どのようにしてデータガバナンスを支援し、公共の利益のためにデータの新しい革新的な利用を可能にするのか?
What are the primary barriers and enabling factors around the adoption of PETs in data governance, and how might these be addressed or amplified? データガバナンスにおけるPETの採用に関する主要な障壁と実現要因は何か、またどのように対処し増幅させることができるのか?
How might PETs be factored into frameworks for assessing and balancing risks, harms and benefits when working with personal data? 個人データを扱う際に、リスク、被害、利益を評価しバランスを取るための枠組みに、どのように PET を組み込むことができるのか?
In answering these questions, our report integrates evidence from a range of sources, including the advisement of an expert Working Group, consultation with a range of stakeholders across sectors, as well as a synthetic data explainer and commissioned reviews on UK public sector PETs adoption (PDF) and PETs standards and assurances (PDF), which are available for download. これらの疑問に答えるため、本報告書は、専門家によるワーキンググループの助言、様々な分野の関 係者との協議、合成データ説明書、英国公共部門の PETs 採用に関する委託調査(PDF)、PETs 基準と 保証(PDF)など、様々な情報源からの証拠を統合し、ダウンロードできるようにした。
This report builds on the Royal Society’s 2019 publication Protecting privacy in practice: the current use, development and limits of Privacy Enhancing Technologies for data analysis (PDF). Protecting privacy in practice presented a high-level overview of PETs and identified how these technologies could play a role in addressing privacy in applied data science research, digital strategies and data-driven business.  本報告書は、英国王立協会が2019年に発行した「Protecting privacy in practice: the current use, development and limits of Privacy Enhancing Technologies for data analysis」(PDF)をベースにしている。Protecting privacy in practiceは、PETのハイレベルな概要を示し、これらの技術が応用データ科学研究、デジタル戦略、データ駆動型ビジネスにおけるプライバシーへの取り組みにおいてどのような役割を果たし得るかを明らかにした。 
What are Privacy Enhancing Technologies (PETs)? プライバシー向上技術(PETs)とは?
Privacy Enhancing Technologies (PETs) are a suite of tools that can help maximise the use of data by reducing risks inherent to data use. Some PETs provide new tools for anonymisation, while others enable collaborative analysis on privately-held datasets, allowing data to be used without disclosing copies of data. PETs are multi-purpose: they can reinforce data governance choices, serve as tools for data collaboration or enable greater accountability through audit. For these reasons, PETs have also been described as “Partnership Enhancing Technologies” or “Trust Technologies”.  プライバシー向上技術(Privacy Enhancing Technologies: PETs)は、データ利用に内在するリスクを低減し、データ利用の最大化を支援する一連のツールである。PETの中には、匿名化のための新しいツールを提供するものもあれば、個人所有のデータセットで共同分析を可能にし、データのコピーを開示することなくデータを使用できるようにするものもある。PET は多目的である。すなわち、データガバナンスの選択を強化し、データ協力のためのツールと して機能し、監査を通じてより大きな説明責任を果たすことができるのである。このような理由から、PET は「パートナーシップ強化技術」または「信頼技術」とも呼ばれている。 
What is data privacy, and why is it important? データ・プライバシーとは何か、そしてなぜ重要なのか?
The data we generate every day holds a lot of value and potentially also contains sensitive information that individuals or organisations might not wish to share with everyone. The protection of personal or sensitive data featured prominently in the social and ethical tensions identified in our 2017 British Academy and Royal Society report Data management and use: Governance in the 21st century.  私たちが日々生成するデータには多くの価値がありますが、個人または組織が誰とも共有したくないような機密情報も含まれている可能性があります。個人データや機密データの保護は、2017年の英国アカデミーと王立協会の報告書「Data management and use」で明らかにされた社会的・倫理的緊張の中で、大きく取り上げられている。21世紀におけるガバナンス 
Privacy in Practice (2019) プライバシー・イン・プラクティス(2019年)
Our 2019 report, Protecting privacy in practice (PDF), provided a high-level overview of five current and promising PETs of a diverse nature, with their respective readiness levels and illustrative case studies from a range of sectors, with a view to inform in particular applied data science research and the digital strategies of government departments and businesses. This report also included recommendations on how the UK could fully realise the potential of PETs and to allow their use on a greater scale.  私たちの2019年の報告書「Protecting privacy in practice」(PDF)は、特に応用データ科学研究および政府省庁や企業のデジタル戦略に情報を提供する目的で、多様な性質の現在および有望な5つのPETについて、それぞれの準備レベルと様々なセクターの例示事例とともにハイレベルな概要を提供している。この報告書には、英国がPETの可能性を十分に実現し、より大規模な利用を可能にする方法についての提言も含まれている。 
The 2019 project was informed by a series of conversations and evidence gathering events, involving a range of stakeholders across academia, government and the private sector (also see the project terms of reference and 2019 Working Group). 2019年のプロジェクトは、学界、政府、民間セクターのさまざまな関係者が参加した、一連の会話と証拠収集イベントによってもたらされた(プロジェクトの委託条件と2019年の作業部会も参照)。
On a related topic, in 2017 the Royal Society also partnered with The Israel Academy of Sciences and Humanities to organise a workshop exploring notions of privacy as an individual and public good, how digital technologies might have changed concepts of privacy, and how individuals, organisations and societies manage privacy, including through technology. A note of discussions at this workshop (PDF) is available to download. 関連する話題として、2017年に王立協会はイスラエル科学人文アカデミーとも提携し、個人および公共財としてのプライバシーの概念、デジタル技術によってプライバシーの概念がどのように変化したか、そして個人、組織、社会が技術によるものも含めてどのようにプライバシーを管理しているかを探るワークショップも開催された。このワークショップでの議論のメモ(PDF)をダウンロードすることができる。
Our current Working Group includes Professor Alison Noble OBE FREng FIET FRS (Chair), Professor Jon Crowcroft FREng FRS, Mr George Balston, Dr Anthony Finkelstein CBE FREng, Mr Guy Cohen, Dr Benjamin Curtis, Professor Emiliano de Cristofaro, Dr Marion Oswald, Professor Carsten Maple and Dr Suzanne Weller.  現在のワーキンググループは、Alison Noble OBE FREng FIET FRS教授(議長)、Jon Crowcroft FREng FRS教授、George Balston氏、Anthony Finkelstein CBE FREng博士、Guy Cohen氏、Benjamin Curtis博士、Emiliano de Cristofaro教授、Marion Oswald博士、Carsten Maple教授とSuzanne Weller博士が参加している。 

 

・[PDF] 2023 report: From privacy to partnership

20230126-41025

 

 目次...

Foreword  序文 
executive summary  エグゼクティブサマリー
Scope   対象範囲  
Methodology   方法論
Key findings  主な調査結果 
Recommendations  推薦事項
Introduction  はじめに 
Background   背景  
Key terms and definitions   主要な用語と定義  
Chapter one: the role of technology in privacy-preserving data flows  第1章:プライバシーを保護するデータフローにおける技術の役割 
Data privacy, data protection and information security  データプライバシー、データ保護、情報セキュリティ 
What are privacy enhancing technologies (PETs)?   プライバシー向上技術(PETs)とは何か? 
A downstream harms-based approach: Taxonomy of harms  下流の害悪に基づくアプローチ 危害の分類法 
Recent international developments in PETs  PETsに関する最近の国際的動向 
Interest in PETs for international data transfer and use   国際的なデータ転送と利用におけるPETへの関心  
Accelerating PETs development: Sprints, challenges and international collaboration  PETs開発の加速化:スプリント、課題、国際協力 
Chapter two: Building the Pets marketplace  第2章:PETs市場の構築 
PETs for compliance and privacy  コンプライアンスとプライバシーのためのPET 
PETs in collaborative analysis  共同分析におけるPET 
Barriers to PETs adoption: User awareness and understanding in the UK public sector  PETs採用の障害:英国公共部門におけるユーザーの意識と理解 
Barriers to PETs adoption: Vendors and expertise  PETs採用の障壁:ベンダーと専門知識 
Chapter three: standards, assessments and assurance in Pets  第3章:PETにおける標準、評価、保証 
PETs and assurance: The role of standards  PETと保証:標準の役割 
Chapter four: Use cases for Pets  第4章 ペットに関する使用例 
Considerations and approach  考察とアプローチ 
Privacy in biometric data for health research and diagnostics  健康研究と診断のためのバイオメトリクス・データにおけるプライバシー 
Preserving privacy in audio data for health research and diagnostics  健康研究と診断のための音声データにおけるプライバシーの保護 
PETs and the internet of things: enabling digital twins for net zero  ペットとモノのインターネット:ネットゼロのためのデジタルツインの実現 
Social media data: PETs for researcher access and transparency  ソーシャルメディアデータ:研究者のアクセスと透明性のためのPETs 
Synthetic data for population-scale insights  人口規模での洞察のための合成データ 
Collaborative analysis for collective intelligence  集合知のための共同分析 
Online safety: Harmful content detection on encrypted platforms  オンラインの安全性:暗号化されたプラットフォームにおける有害なコンテンツの検出 
Privacy and verifiability in online voting and electronic public consultation  オンライン投票と電子公会堂におけるプライバシーと検証可能性 
PETs and the mosaic effect: Sharing humanitarian data in emergencies and fragile contexts  PETsとモザイク効果:緊急事態や脆弱な状況における人道的データの共有 
Conclusions  結論 
Appendices  附属書 
Appendix 1: Definitions  附属書1:定義 
Appendix 2: Acknowledgements  附属書2:謝辞 

 

エグゼクティブサマリー...

Executive summary エグゼクティブサマリー
Privacy Enhancing Technologies (PETs) are a suite of tools that can help maximise the use of data by reducing risks inherent to data use. Some PETs provide new techniques for anonymisation, while others enable collaborative analysis on privately-held datasets, allowing data to be used without disclosing copies of data. PETs are multi-purpose: they can reinforce data governance choices, serve as tools for data collaboration or enable greater accountability through audit. For these reasons, PETs have also been described as ‘Partnership Enhancing Technologies’[1] or ‘Trust Technologies’[2]. プライバシー向上技術(PETs)は、データ利用に内在するリスクを低減することで、データの利用を最大化するのに役立つ一連のツールである。PETの中には、匿名化のための新しい技術を提供するものもあれば、個人所有のデータセットで共同分析を可能にし、データのコピーを開示することなくデータを使用できるようにするものもある。PET は多目的である。データガバナンスの選択を強化し、データ協力のためのツールとして機能し、 監査を通じてより大きな説明責任を果たすことができる。このような理由から、PET は「パートナーシップ強化技術」[1]または「信頼技術」[2]とも呼ばれている。
This report builds on the Royal Society’s 2019 publication Protecting privacy in practice: The current use, development and limits of Privacy Enhancing Technologies in data analysis[3], which presented a high-level overview of PETs and identified how these technologies could play a role in addressing privacy in applied data science research, digital strategies and data-driven business. 本報告書は、英国王立協会が2019年に発行した「Protecting privacy in practice」を基に作成されている。The current use, development and limits of Privacy Enhancing Technologies in data analysis[3]は、PETのハイレベルな概要を示し、これらの技術が応用データ科学研究、デジタル戦略、データ駆動型ビジネスにおけるプライバシーへの対処にどのような役割を果たすことができるかを明らかにしたものである。
This new report, developed in close collaboration with the Alan Turing Institute, considers how PETs could play a significant role in responsible data use by enhancing data protection and collaborative data analysis. It is divided into three chapters covering the emerging marketplace for PETs, the state of standards and assurance and use cases for PETs. この新しい報告書は、アラン・チューリング研究所との密接な協力により作成され、データ保護と共同データ分析を強化することにより、責任あるデータ利用においてPETがいかに重要な役割を果たすことができるかを考察している。本レポートは、PETの新興市場、標準と保証の状況、PETの使用事例をカバーする3つの章に分かれている。
scope  範囲 
From privacy to partnership outlines the current PETs landscape and considers the role of these technologies in addressing data governance issues beyond data security. The aim of this report is to address the following questions:  プライバシーからパートナーシップへ」は、現在のPETsの状況を概説し、データセキュリティ以外のデータガバナンスの問題に対処する際のこれらの技術の役割について考察している。本報告書の目的は、以下の問いに取り組むことである。
• How can PETs support data governance and enable new, innovative, uses of data for public benefit? ・PETs はどのようにしてデータガバナンスを支援し,公共の利益のための新しい革新的なデータ利用を可能にするのか?
• What are the primary barriers and enabling factors around the adoption of PETs in data governance, and how might these be addressed or amplified?  ・データガバナンスにおけるPETの採用に関する主要な障壁と実現要因は何か,また,どのように対処または拡大することができるのか?
• How might PETs be factored into frameworks for assessing and balancing risks, harms and benefits when working with personal data?  ・個人データを扱う際に,リスク,被害,利益を評価しバランスを取るための枠組みに,PET をどのように組み入れることができるのか?
Methodology  方法論 
This work was steered by an expert Working Group as well as two closed contact group sessions with senior civil servants and regulators in April and October 2021 (on the scope and remit of the report, and on the use case topics and emerging themes, respectively).  この作業は、専門家によるワーキンググループと、2021年4月と10月に行われた上級公務員および規制当局との2回の非公開コンタクトグループセッション(それぞれ報告書の範囲と任務、使用事例のテーマと新たなテーマについて)により進められた。
The findings in this report are the result of consultations with a wide range of data and privacy stakeholders from academia, government, third sector, and industry, as well as three commissioned research projects on the role of assurance in enabling the uptake of PETs[4], PETs market readiness in the public sector[5], and a survey of synthetic data: data that is artificially generated based on real-world data, but which produces new data points[6]. The use cases were drafted with input from domain specialists, and the report was reviewed by expert readers as well as invited reviewers. The details of contributors, Working Group members, expert readers and reviewers are provided in the Appendix. 本報告書の調査結果は、学術界、政府、第三セクター、産業界の幅広いデータ及びプライバシー関係者との協議の結果であり、また、PETsの導入を可能にする保証の役割[4]、公共セクターにおけるPETs市場の準備[5]、合成データの調査(現実のデータを基に人工的に生成したデータだが新しいデータポイントを生成する)についての三つの委託調査プロジェクト[6]の結果であった。ユースケースは、各分野の専門家の意見を取り入れて作成され、報告書は専門家の読者および招待されたレビュアーによってレビューされた。プロバイダ、ワーキンググループメンバー、専門家読者、レビュアーの詳細は附属書のとおりである。
Key findings 主な調査結果
General knowledge and awareness of PETs remains low amongst many potential PETs users[7], [8], with inherent risk of using new and poorly understood technologies acting as a disincentive to adoption. Few organisations, particularly in the public sector, are prepared to experiment with data protection[9]. Without in-house expertise, external assurance mechanisms or standards, organisations are unable to assess privacy trade-offs for a given PET or application. As a result, the PETs value proposition remains abstract and the business case for adopting PETs is unclear for potential users. 多くの潜在的 PETs ユーザーの間では、PETs に関する一般的な知識と認識がまだ低く[7]、 [8]、新しく理解されていない技術を使用する固有のリスクが、採用の阻害要因として作用している。特に公共部門において、データ保護について実験する用意のある組織はほとんどない[9]。社内の専門知識、外部の保証機構または標準がないため、組織は特定の PET またはアプリケーショ ンのプライバシーのトレードオフを評価することができない。その結果、PET の価値提案は抽象的なままであり、潜在的ユーザーにとって PET 採用のビジネスケースは不明確である。
Standardisation for PETs, including data standards, is lacking and is cited as a hindrance to adoption by potential users in the UK public sector[10]. Technical standards are required to ensure the underpinning technologies work as intended, while process standards are needed to ensure users know how and when to deploy them. While few PETs-specific standards exist to date, standards in adjacent fields (such as cybersecurity and AI) will be relevant. In the future, PETs-specific standards could provide the basis for assurance schemes to bolster user confidence. データ標準を含む PET の標準化は欠落しており、英国の公共部門における潜在的ユーザーによる採用の 障害として挙げられている[10]。技術標準は、基盤となる技術が意図したとおりに機能することを保証するために必要であり、一方、 プロセス標準は、ユーザーがいつどのように導入すればよいかを確実に知るために必要である。現在、PET に特化した標準はほとんど存在しないが、隣接する分野(サイバーセキュリティや AI など)の標準が関連することになる。将来的には、PETs 固有の標準は、ユーザーの信頼を高めるための保証スキームの基礎となる可能性がある。
A significant barrier to the widespread use of PETs is a lack of clear use cases for wider public benefit. To address this, Chapter 4 illustrates the potential benefit of PETs in the contexts of: PET の普及に対する大きな障壁は、より広い公共の利益に対する明確な使用事例がないことである。これに対処するため、第 4 章では、次のような状況における PET の潜在的な利点を説明する。
• Using biometric data for health research and diagnostics; ・健康研究と診断のためのバイオメトリック・データの使用。
• Enhancing privacy in the Internet of Things and in digital twins; ・モノのインターネットやデジタルツインにおけるプライバシーの向上。
• Increasing safe access to social media data and accountability on social media platforms; ・ソーシャルメディアデータへの安全なアクセスとソーシャルメディアプラットフォームのアカウンタビリティの向上。
• Generating population-level insights using synthesised national data; ・統合された国家データを用いた集団レベルの洞察の生成。
• Collective intelligence, crime detection and voting in digital governance; and ・デジタルガバナンスにおける集団的知性,犯罪検知,投票,および
• PETs in crisis situations and in analysis of humanitarian data: ・危機的状況および人道的データの分析におけるPETs。
The use cases demonstrate how PETs might maximise the value of data without compromising privacy. 使用例は、PET がプライバシーを侵害することなくデータの価値を最大化する方法を示している。
A core question for potential PETs users is: What will PETs enable an analyst to do with data that could not be accomplished otherwise? Alternatively: What will PETs prevent an adversary from achieving? As the use cases illustrate, PETs are not a ‘silver bullet’ solution to data protection problems. However, they may be able to provide novel building blocks for constructing responsible data governance systems. For example, in some cases, PETs could be the best tools for reaching legal obligations, such as anonymity. PETs の潜在的ユーザーに対する主要な疑問は、以下の通りである。PETs は、分析者がデータを使って、他の方法では達成できないどんなことを可能にするのか?あるいは。あるいは、「PETs は、敵が何を達成するのを防ぐことができるのか?使用例が示すように、PET は、データ保護問題に対する「銀の弾丸」のような解決策ではない。しかし、責任あるデータガバナンスシステムを構築するための新しい構成要素を提供することができるかもしれない。例えば、場合によっては、PET は、匿名性などの法的義務を達成するための最良のツールになり得る。
Data protection is only one aspect of the right to privacy. In most cases, PETs address this one aspect but do not address how data or the output of data analysis is used, although this could change as PETs mature. Some recent applications utilise PETs as tools for accountability and transparency, or to distribute decision-making power over a dataset across multiple collaborators[11], suggesting their potential in addressing elements of privacy beyond data security. データ保護は、プライバシーの権利の一側面に過ぎない。ほとんどの場合、PET はこの一面を扱うが、データまたはデータ解析の出力がどのように利用され るかについては扱っていない。最近のアプリケーションの中には、説明責任と透明性のためのツールとして、あるいはデータセットに 関する意思決定権を複数の協力者に分散させるために PET を利用するものがあり[11]、データセキュリティ以外のプライバシーの要素に対応する可能性を示唆している。
The field of PETs continues to develop rapidly. This report aims to consolidate and direct these efforts toward using data for public good. Through novel modes of data protection, PETs are already enhancing the responsible use of personal data in tackling significant contemporary challenges. The emerging role of PETs as tools for partnership, enhancing transparency and accountability may entail greater benefits still. PETs の分野は急速に発展し続けている。本報告書は、データを公共の利益のために利用するためのこれらの取り組みを統合し、方向付けることを目的としている。新しいデータ保護様式を通じて、PET は既に、現代の重要な課題に取り組む際の個人データの責 任ある利用を強化している。パートナーシップ、透明性の向上、説明責任のためのツールとしての PET の新たな役割 は、さらに大きな利益をもたらす可能性がある。

 

・[PDF] Privacy Enhancing Technologies: Market Readiness, Enabling and Limiting Factors in the UK public sector

・[PDF] Hattusia: The current state of assurance in establishing trust in PETs

・[PDF] Synthetic Data: what, why and how?

・[PDF] 2019 report: Protecting privacy in practice

・[PDF] 2019 report summary

・[PDF] 2017 workshop: Israel-UK privacy and technology

 

 

 

 

| | Comments (0)

2023.01.25

ENISA 相互運用可能なEUのリスク管理フレームワーク 2022年更新版 (2023.01.16)

こんにちは、丸山満彦です。

ENISAが相互運用可能なEUのリスク管理フレームワークという文書を昨年 (2022.01.13) 公表していますが、その更新版ですね。。。

リスクマネジメントのフレームワークはいくつもあるのですが、次のものが選ばれていますね。。。

  1. ISO/IEC 27005:2018
  2. NIST SP 800-37
  3. NIST SP 800-30
  4. NIST SP 800-39
  5. BSI STANDARD 200-2
  6. OCTAVE-S
  7. OCTAVE ALLEGRO
  8. OCTAVE FORTE
  9. ETSI TS 102 165-1 (TVRA)
  10. MONARC
  11. EBIOS Risk Manager (RM)
  12. MAGERIT v.3
  13. ITSRM²
  14. MEHARI
  15. THE OPEN GROUP STANDARD, RISK ANALYSIS, V2.0.1
  16. GUIDELINES ON CYBER SECURITY ONBOARD SHIPS
  17. The AML/CFT methodology
  18. Circular CSSF 20/750

新しく追加されたのが、

17. The AML/CFT methodology
18. Circular CSSF 20/750

更新されたのが、

10. MONARC 
13. ITSRM²
15. THE OPEN GROUP STANDARD, RISK ANALYSIS

という感じですかね。。。

 

NISTはCOSO-ERMとの整合性を気にしていましたが、こちらでは出てきません。。。

 

● ENISA

・2023.01.16 Interoperable EU Risk Management Framework

Interoperable EU Risk Management Framework 相互運用可能なEUのリスクマネジメントフレームワーク
This report proposes a methodology for assessing the potential interoperability of risk management (RM) frameworks and methodologies and presents related results. The methodology used to evaluate interoperability stemmed from extensive research of the literature, resulting in the use of certain RM framework features which were singled out for this purpose. These features, which were identified as relevant for the assessment of interoperability, are thoroughly described and analysed for each framework/methodology. More specifically, for certain functional features we make use of a four-level scale to evaluate the interoperability level for each method and each set of combined features. 本報告書は、リスクマネジメント(RM)フレームワークと手法の潜在的な相互運用性を評価するための方法論を提案し、関連する結果を示している。相互運用性を評価するための方法論は、文献の広範な調査から生まれ、その結果、この目的のために特定のRMフレームワークの特徴を使用することになった。これらの機能は、相互運用性の評価に関連するものとして特定され、各フレームワーク/方法論について徹底的に説明され、分析される。より具体的には、特定の機能的特徴について、各方法と組み合わせた特徴のセットごとに、相互運用性のレベルを評価するために4レベルの尺度を使用している。

 

・[PDF]

20230125-54046

 

目次...

1. INTRODUCTION 1. はじめに
1.1 PURPOSE AND SCOPE 1.1 目的と範囲
1.2 DEFINITION OF ACRONYMS 1.2 頭字語の定義
2. METHOD OF WORK 2. 作業方法
2.1 FEATURES OF INTEROPERABILITY 2.1 相互運用性の特徴
2.2 INTEROPERABILITY EVALUATION MODEL 2.2 相互運用性評価モデル
2.2.1 Methodology and levels of interoperability 2.2.1 相互運用性の方法論とレベル
2.2.2 Scoring model for potential interoperability 2.2.2 相互接続性の採点モデル
3. RESULTS 3. 結果
3.1 ANALYSIS OF LEVEL OF INTEROPERABILITY FOR EACH RISK MANAGEMENT FRAMEWORK      AND FEATURE 3.1 リスクマネジメントフレームワークと機能ごとの相互運用性レベルの分析
4. INTEGRATION OF INTEROPERABILITY IN THE RM PROCESSES      BASED ON ITSRM2 4. そのRM2に基づくRMプロセスにおける相互運用性の統合
4.1 PROCESS P1 SYSTEM SECURITY CHARACTERISATION 4.1 プロセスP1 システムセキュリティの特性評価
4.1.1 Description of process 4.1.1 プロセスの説明
4.2 PROCESSES P2 PRIMARY ASSETS AND P3 SUPPORTING ASSETS 4.2 プロセスP2 主要資産及びP3 補助資産
4.2.1 Description of processes 4.2.1 プロセスの説明
4.2.2 Recommendations and integration of interoperability features 4.2.2 相互運用性のための機能の推奨と統合
4.3 PROCESS P4 SYSTEM MODELLING 4.3 プロセスP4 システムモデリング
4.3.1 Description of process 4.3.1 プロセスの記述
4.3.2 Recommendations and integration of interoperability features 4.3.2 相互運用性のための推奨事項及び統合機能
4.4 PROCESS P5 RISK IDENTIFICATION 4.4 プロセスP5 リスクの特定
4.4.1 Description of process 4.4.1 プロセスの記述
4.4.2 Recommendations and integration of interoperability features 4.4.2 相互運用性のための推奨事項及び統合事項
4.5 PROCESS P6 RISK ANALYSIS AND EVALUATION 4.5 プロセスP6 リスクの分析及び評価
4.5.1 Description of process 4.5.1 プロセスの記述
4.5.2 Recommendations and integration of interoperability features 4.5.2 相互運用性のための推奨事項及び統合機能
4.6 PROCESS P7 RISK TREATMENT 4.6 プロセスP7 リスクの処置
4.6.1 Description of process 4.6.1 プロセスの記述
4.6.2 Recommendations and integration of interoperability features 4.6.2 相互運用性のための推奨事項及び統合機能
5. SYNOPSIS 5. 用語解説
6. UPDATES ON THE PROMINENT RISK MANAGEMENT FRAMEWORKS  AND METHODOLOGIES 6. 著名なリスクマネジメントのフレームワークと方法論に関する最新情報
6.1 MONARC 6.1 MONARC
6.2 EU ITSRM2, IT SECURITY RISK MANAGEMENT METHODOLOGY V1.2 6.2 EU ITSRM2、セキュリティリスク管理方法論 v1.2
6.3 THE AML/CFT NATIONAL RISK ASSESSMENT METHODOLOGY 6.3 AML/CFT 国家リスク評価手法
6.4 THE AML/CFT NATIONAL RISK ASSESSMENT METHODOLOGY 6.4 AML/CFT 国家リスクアセスメント方法論
6.5 CIRCULAR CSSF 20/750 6.5 CIRCULAR
CSSF 20/750
6.6 SERIMA 6.6 SERIMA
6.7 ISO/IEC 27005:2018 6.7 ISO/iec 27005:2018
6.8 NIST SP 800-37 REV. 2 6.8 NIST SP 800-37 Rev. 2
6.9 NIST SP 800–30 REV.1 6.9 NIST SP 800-30 Rev.1
6.10 NIST SP 800–39 6.10 NIST SP 800-39
6.11 BSI STANDARD 200-2 6.11 BSI標準規格200-2
6.12 OCTAVE-S 6.12 OCTAVE-S
6.13 OCTAVE ALLEGRO 6.13 OCTAVE ALLEGRO
6.14 OCTAVE FORTE (OCTAVE FOR THE ENTERPRISE) 6.14 OCTAVE FORTE
(エンタープライズ向けオクターブ)
6.15 ETSI TS 102 165-1, THREAT VULNERABILITY AND RISK ANALYSIS (TVRA) 6.15 ETSI TS 102 165-1、脅威の脆弱性とリスク分析 (Tvra)
6.16 EBIOS RISK MANAGER (EXPRESSION DES BESOINS ET IDENTIFICATION DES OBJECTIFS DE      SECURITE- EXPRESSION OF NEEDS AND IDENTIFICATION OF SECURITY OBJECTIVES) 6.16 EBIOSリスクマネージャ:ニーズの表現とセキュリティ目標の明確化
6.17 MAGERIT V.3: ANALYSIS AND RISK MANAGEMENT INFORMATION SYSTEMS 6.17 MAGERIT V.3: 分析・リスク管理情報システム
6.18 MEHARI 6.18 MEHARI
6.19 GUIDELINES ON CYBER SECURITY ONBOARD SHIPS 6.19 船舶のサイバーセキュリティに関するガイドライン

 

EXECUTIVE SUMMARY  エグゼクティブサマリー 
This report is an update of the report “Interoperable EU Risk Management Framework” published by ENISA in January 2022. The “Interoperable EU Risk Management Framework” proposes a methodology for assessing the potential interoperability of risk management (RM) frameworks and methods and presents related results. The methods included in this report have been selected as prominent, based on their interoperability features, after evaluating an extended list of risk management frameworks and methods (included in the Compendium of Risk Management Frameworks with Potential Interoperability, ENISA, January 2002) which has been published as Supplement to the Interoperable EU Risk Management.  本報告書は、ENISAが2022年1月に発表した報告書「相互運用可能なEUリスク管理フレームワーク」を更新したものである。相互運用可能なEUリスク管理フレームワーク」は、リスク管理(RM)フレームワークと手法の潜在的な相互運用性を評価するための手法を提案し、関連する結果を提示している。この報告書に含まれる手法は、相互運用可能なEUリスクマネジメントの補足として発表されたリスクマネジメントのフレームワークと手法の拡張リスト(Compendium of Risk Management Frameworks with Potential Interoperability, ENISA, January 2002に含まれる)を評価し、その相互運用性の特徴に基づき、顕著なものとして選択されたものである。
The “Interoperable EU Risk Management Framework” describes and evaluates the interoperability features for prominent risk management frameworks and methods, by employing a four-level scale to evaluate their interoperability level. The features assessed to evaluate the interoperability level include the approach used by the RM method (i.e. to whether it is assetbased or scenario-based), whether risk assessment is quantitative or qualitative, as well as other characteristics such as the use of asset taxonomies, valuation methods, the cataloguing of threats and vulnerabilities, the method of risk calculation etc. It also provides an overview of possible collaborative combinations between them.  相互運用可能なEUのリスクマネジメントフレームワーク」は、著名なリスクマネジメントのフレームワークや手法に対して、相互運用性の特徴を記述・評価し、その相互運用性のレベルを4段階の尺度で評価したものである。相互運用性を評価するための特徴は、リスクマネジメント手法のアプローチ(資産ベースかシナリオベースか)、リスク評価が定量的か定性的か、また、資産分類の使用、評価方法、脅威と脆弱性のカタログ化、リスクの計算方法などの他の特徴も含まれている。また、それらの間で可能な協調的な組み合わせの概要も示している。
The update of “Interoperable EU Risk Management Framework” was based on desktop research and analysis, which resulted in:   相互運用可能なEUのリスクマネジメントフレームワーク "の更新は、デスクトップリサーチと分析に基づいて行われ、その結果、以下のことが明らかになった。 
•        Identifying new risk management methods, which were evaluated with regard to their interoperability potential and included in the ““Interoperable EU Risk Management Framework”. These are the following:  ・新しいリスク管理手法を特定し,その相互運用性の可能性を評価した上で,「相互運用可能なEUのリスクマネジメントフレームワーク」に盛り込む。これらは以下の通りである。
o    SERIMA   o SERIMA 
o    CIRCULAR CSSF 20/750   o CIRCULAR CSSF 20/750 
•        Updating the features and evaluation of the following RM methods which were already included in the Framework:  ・既にフレームワークに含まれている以下のリスク管理手法の特徴と評価を更新する。
o    MONARC    o MONARC  
o    ITSRM²   o ITSRM² 
o    THE OPEN GROUP STANDARD, RISK ANALYSIS   o リスク分析に関するオープングループ基準 
Finally, no updates were identified for the following:  最後に、以下については、更新が確認されなかった。
o       ISO/IEC 27005:2018     o ISO/IEC 27005:2018   
o       NIST SP 800-37   o NIST SP 800-37 
o       NIST SP 800-30   o NIST SP 800-30 
o       NIST SP 800-39   o NIST SP 800-39 
o       BSI STANDARD 200-2   o BSI標準規格200-2 
o       OCTAVE-S   o OCTAVE-S 
o       OCTAVE ALLEGRO   o OCTAVE ALLEGRO
o       OCTAVE FORTE   o OCTAVE FORTE 
o       ETSI TS 102 165-1(TVRA)   o ETSI TS 102 165-1(TVRA) 
o       EBIOS Risk Manager   o EBIOS リスクマネージャー 
o       MAGERIT v.3   o MAGERIT v.3 
o       MEHARI   o MEHARI 
o       GUIDELINES ON CYBER SECURITY ONBOARD SHIPS   o 船舶のサイバーセキュリティに関するガイドライン

 

 

 

フレームワークと方法 一般的な側面 機能   
リスク識別 リスクアセスメント  リスクへの対応
アセットベース(AB)/シナリオベース(SB) 定量的:QT/定性的:QL 資産タクソノミ 資産評価 脅威のカタログ 脆弱性カタログ リスク算出方法 対策カタログ・残存リスク計算
1. ISO/IEC 27005:2018 AB QT/QL 2 3 3 3 3 3
2. NIST SP 800-37 AB QL 3 3 3 3 3 3
3. NIST SP 800-30 SB QT/QL 0 2 3 3 2 3
4. NIST SP 800-39 AB QL 3 3 3 3 3 3
5. BSI STANDARD 200-2 AB/AS QL 3 1 3 3 3 3
6. OCTAVE-S AB/AS QL 3 3 3 3 3 3
7. OCTAVE ALLEGRO AB QL 3 3 3 3 3 3
8. OCTAVE FORTE AB QL 2 3 3 3 3 3
9. ETSI TS 102 165-1 (TVRA) AB QL 2 3 3 3 2 3
10. MONARC AB QL 2 3 3 3 3 3
11. EBIOS Risk Manager (RM) AB/SB QL/QT 3 3 3 2 2 3
12. MAGERIT v.3 AB QT/QL 2 3 3 0 2 3
13. ITSRM² AB QT/QL 2 2 3 0 2 3
14. MEHARI AB/AS QL 3 1 3 3 1 3
15. THE OPEN GROUP STANDARD, RISK ANALYSIS, V2.0.1 SB QT/QL 0 3 3 3 3 3
16. GUIDELINES ON CYBER SECURITY ONBOARD SHIPS AB/AS QT 3 3 3 3 2 3
17. The AML/CFT methodology AB QJ 0 3 1 1 3 3
18. Circular CSSF 20/750 AB/AS QT/QL 0 3 3 3 3 3

 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.01.18 ENISA 相互運用可能なEUのリスク管理フレームワーク

 

 

| | Comments (0)

2023.01.24

ENISA サイバーセキュリティの組織内の啓発プログラムの開発を支援するためのパッケージ

こんにちは、丸山満彦です。

サイバーセキュリティの組織内の啓発プログラムの開発を支援するためのパッケージ (Awareness Raising in a Box(AR-in-a-BOX)) を公表していますね。。。

この啓発プログラム開発支援パッケージには、次のものが含まれているようです。。。

  • 組織内で使用するためのカスタム啓発プログラムの構築方法に関するガイドライン。
  • 社外のステークホルダーを対象とした啓発キャンペーンを作成するためのガイドライン。
  • ターゲットに最も適したツールやチャネルの選択方法。
  • プログラムやキャンペーンを評価するための適切な指標の選択と重要業績評価指標の開発に関する説明。
  • 啓発目標の達成に不可欠なコミュニケーション戦略の策定ガイド。
  • 啓発用ゲーム(様々なバージョンとスタイルで提供され、その遊び方に関するガイドも付いている。)

 

ENISA

・2023.01.19 Cybersecurity Awareness Raising: Peek Into the ENISA-Do-It-Yourself Toolbox

Cybersecurity Awareness Raising: Peek Into the ENISA-Do-It-Yourself Toolbox サイバーセキュリティの意識向上:ENISA-Do-It-Yourself Toolboxを覗く
The European Union Agency for Cybersecurity (ENISA) launches today the “Awareness Raising in a Box (AR-in-a-BOX)” package designed to help organisations build their own awareness raising programmes. 欧州連合サイバーセキュリティ機関(ENISA)は、組織が独自の啓発プログラムを構築するのを支援するために設計された「Awareness Raising in a Box(AR-in-a-BOX)」パッケージを本日発表する。
Awareness raising programmes form an indispensable part of an organisation’s cybersecurity strategy and are used to promote good practices and induce change in the cybersecurity culture of employees and ultimately the society at large. 啓発プログラムは、組織のサイバーセキュリティ戦略の不可欠な部分を形成し、グッドプラクティスを促進し、従業員、ひいては社会全体のサイバーセキュリティ文化に変化をもたらすために使用される。
AR-in-a-Box is offered by ENISA to public bodies, operators of essential services, large private companies as well as small and medium ones (SMEs). With AR-in-a-BOX, ENISA provides theoretical and practical knowledge on how to design and implement cybersecurity awareness activities. AR-in-a-Boxは、ENISAが公共機関、重要サービス運営者、大規模民間企業、中小企業に対して提供している。AR-in-a-BOXでは、ENISAがサイバーセキュリティの啓発活動を設計・実施する方法について理論的・実践的な知識を提供する。
AR-in-a-Box includes: AR-in-a-BOXには以下が含まれる。
・A guideline on how to build a custom awareness program, to be used internally within an organisation; ・組織内で使用するためのカスタム啓発プログラムの構築方法に関するガイドライン。
・A guideline on creating an awareness campaign targeted at external stakeholders; ・社外のステークホルダーを対象とした啓発キャンペーンを作成するためのガイドライン。
・Instructions on how to select the appropriate tools and channels to best match the target audience; ・ターゲットに最も適したツールやチャネルの選択方法。
・Instructions on selecting the right metrics and developing key performance indicators to evaluate a program or campaign; ・プログラムやキャンペーンを評価するための適切な指標の選択と重要業績評価指標の開発に関する説明。
・A guide for the development of a communication strategy, which is indispensable for the achievement of awareness objectives; ・啓発目標の達成に不可欠なコミュニケーション戦略の策定ガイド。
・An awareness raising game, provided in different versions and styles, along with a guide on how it is played; ・啓発用ゲーム。様々なバージョンとスタイルで提供され、その遊び方に関するガイドも付いている。
An awareness raising quiz. 啓発クイズ
Find more in the dedicated page:  Awareness Material — ENISA (europa.eu) 詳しくは、専用ページでご確認ください。  啓発資料 - ENISA (europa.eu)
AR-in-a-Box is dynamic and will be regularly updated and enriched. New versions will be promoted via social media and uploaded on the ENISA website. AR-in-a-Boxは動的なもので、定期的に更新され、充実していく予定です。新バージョンはソーシャルメディアを通じてプロモーションされ、ENISAのウェブサイトにアップロードされる。
Further information さらに詳しい情報
ENISA topic – Awareness Raising ENISAトピック - 認知度向上
Awareness Campaigns — ENISA (europa.eu) 意識向上キャンペーン - ENISA (europa.eu)
SME Cybersecurity — ENISA (europa.eu) 中小企業のサイバーセキュリティ - ENISA (europa.eu)

 

Cybersecurity Awareness Raising: The ENISA -Do-It-Yourself Toolbox 

Cybersecurity Awareness Raising: The ENISA -Do-It-Yourself Toolbox  サイバーセキュリティの意識向上:ENISA -Do-It-Yourself Toolbox
AR-in-a-Box AR-in-a-Box

AR-in-a-Box is a comprehensive solution for cybersecurity awareness activities designed to meet the needs of public bodies, operators of essential services, and both large and small private companies. It provides theoretical and practical knowledge on how to design and implement effective cybersecurity awareness programmes, including:

AR-in-a-Boxは、公共機関、重要なサービスを提供する事業者、および大企業と中小企業のニーズを満たすように設計されたサイバーセキュリティ啓発活動のための包括的なソリューションです。効果的なサイバーセキュリティ啓発プログラムを設計し、実施する方法について、以下のような理論的および実践的な知識を提供する。
A guideline on building custom awareness programmes for internal use within an organisation. Download it here. ・組織内で使用するカスタム啓発プログラムの構築に関するガイドライン。
A guideline on creating targeted awareness campaigns for external stakeholders. Download it here. ・社外のステークホルダーを対象とした啓発キャンペーンを作成するためのガイドライン。
Instructions on selecting the appropriate tools and channels to effectively reach the target audience. Download it here. ・対象者に効果的にリーチするための適切なツールやチャネルの選択に関する説明。
Instructions on developing Key Performance Indicators to evaluate the effectiveness of a programme or campaign. Download it here. ・プログラムやキャンペーンの効果を評価するための主要業績評価指標(KPI)の開発に関する説明。 
A guide for the development of a communication strategy, crucial for achieving awareness objectives. Download it here. ・啓発目標の達成に不可欠なコミュニケーション戦略の策定ガイド 
An awareness raising quiz to test comprehension and retention of key information. Download it here. ・重要な情報の理解と保持をテストするための意識向上クイズ。 
・An awareness raising game provided in different versions and styles, along with a guide on how to play: ・様々なバージョンとスタイルで提供される啓発用ゲームと、その遊び方のガイド。
・・Download the guide on how to play the game here. ・・ゲームの遊び方ガイドのダウンロードはこちら。
・・Generic version of the game  ・・一般的なゲーム 
・・・Style 1 ・・・スタイル1
・・・Style 2 ・・・スタイル2
・・・Mini version  ・・・ミニバージョン 
・・Version of the game tailored for energy sector ・・エネルギー分野に特化したバージョン
・・・Style 1 ・・・スタイル1
・・・Style 2 ・・・スタイル2
・・・Mini version  ・・・ミニバージョン 
With AR-in-a-Box, ENISA equips organisations with the necessary tools and resources to effectively raise cybersecurity awareness within their operations. ENISAは、AR-in-a-Boxにより、各組織の業務におけるサイバーセキュリティの意識を効果的に高めるために必要なツールやリソースを提供する。
AR-in-a-Box is dynamic and will be regularly updated and enriched. AR-in-a-Boxは動的なものであり、定期的に更新され、充実していく予定である。

 

 

[PDF] A guideline on building custom awareness programmes for internal use within an organisation.

20230124-21232

[PDF] A guideline on creating targeted awareness campaigns for external stakeholders.

20230124-21243

[PDF] Instructions on selecting the appropriate tools and channels to effectively reach the target audience.

20230124-21252

[PDF] Instructions on developing Key Performance Indicators to evaluate the effectiveness of a programme or campaign. 

20230124-21305

[PDF] A guide for the development of a communication strategy, crucial for achieving awareness objectives.

20230124-21322

[PDF] An awareness raising quiz to test comprehension and retention of key information.

20230124-21354

 

[PDF] the guide on how to play the game.

20230124-21417

 

・Generic version of the game 

[PDF] Style 1

20230124-21518

[PDF] Style 2

20230124-21558

[PDF] Mini version 

20230124-21607

Version of the game tailored for energy sector

[PDF] Style 1

20230124-21615

[PDF] Style 2

20230124-21622

[PDF] Mini version 

20230124-21642

 

興味深いです。。。

| | Comments (0)

2023.01.23

ENISA 高等教育を通じてスキル不足とギャップに対処する (2022.12.20)

こんにちは、丸山満彦です。

ENISAが、セキュリティのスキル不足とギャップに高等教育で対応するための5つの提言を含む報告書を公表していました。。。

2021年にも、現状把握のための報告書を公表していましたね。。。

 

ENISA

・2022.12.20 Addressing Skills Shortage and Gap Through Higher Education

 

Addressing Skills Shortage and Gap Through Higher Education 高等教育を通じてスキル不足とギャップに対処する
In this report, ENISA contributes to both practice and research on the cybersecurity skills shortage and gap in two distinctive areas. Firstly, it provides an overview of the current supply of cybersecurity skills in Europe through an analysis of data gathered and generated by the recently established Cybersecurity Higher Education Database (CyberHEAD). Secondly, it describes the policy approaches adopted by EU Member States in their quest to increase and sustain their national cybersecurity workforces. These approaches have been classified and analysed based on objectives defined by ENISA’s National Capabilities Assessment Framework (NCAF), namely cybersecurity awareness, training, challenges and exercises. Based on the data collected and analysed, this report makes five recommendations to address the EU cybersecurity skills shortage and gap. 本報告書では、ENISAがサイバーセキュリティのスキル不足とギャップに関する実践と研究の両方に、2つの特徴的な領域で貢献している。まず、最近設立されたサイバーセキュリティ高等教育データベース(CyberHEAD)が収集・作成したデータの分析を通じて、欧州におけるサイバーセキュリティ・スキルの現在の供給状況を概観している。第二に、EU加盟国が自国のサイバーセキュリティ人材を増やし、維持するために採用した政策アプローチについて説明する。これらのアプローチは、ENISAの国家能力評価フレームワーク(NCAF)で定義された目的、すなわちサイバーセキュリティの認識、訓練、課題、演習に基づいて分類・分析されている。収集・分析されたデータに基づき、本報告書は、EUのサイバーセキュリティのスキル不足とギャップに対処するための5つの提言を行う。

 

・[PDF] Addressing Skills Shortage and Gap Through Higher Education

20230123-03242

目次...

EXECUTIVE SUMMARY エグゼクティブサマリー
1. INTRODUCTION 1. 序論
1.1 STUDY OBJECTIVES AND SCOPE 1.1 調査目的と範囲
1.2 METHODOLOGY 1.2 方法論
1.3 DOCUMENT STRUCTURE 1.3 文書の構成
2. CONTEXT AND BACKGROUND 2. 文脈と背景
2.1 THE CYBERSECURITY EDUCATIONAL ROADMAP 2.1 サイバーセキュリティ教育ロードマップ
2.2 LEGAL FRAMEWORK 2.2 法的枠組み
3. CYBERSECURITY EDUCATION INITIATIVES IN EU MEMBER STATES 3. EU加盟国におけるサイバーセキュリティ教育の取り組み
4. BEST PRACTICES AND MAIN CHALLENGES 4. ベストプラクティスと主な課題
4.1 GOVERNANCE AND PRIORITISATION PROCESS 4.1 ガバナンスと優先順位付けプロセス
4.2 MEASUREMENT MECHANISM 4.2 測定メカニズム
4.3 KEY PRINCIPLES 4.3 主要な原則
4.4 COLLABORATION WITH OTHER ORGANISATIONS, INCLUDING ENISA 4.4 ENISAを含む他組織との連携
5. CONCLUSIONS 5. 結論
5.1 CHALLENGES ENCOUNTERED 5.1 遭遇した課題
5.2 KEY PRIORITIES FOR THE ENISA ROADMAP 5.2 ENISAロードマップにおける重要な優先事項

 

エグゼクティブサマリー

EXECUTIVE SUMMARY  エグゼクティブサマリー 
Today, the internet is a tool used in many educational activities, which increases the amount of time children are exposed to cyberspace and its risks. Informing young users about the importance of maintaining personal privacy is not enough to keep them vigilant when using the internet. More proactive training is required to teach children to be safe online.   今日、インターネットは多くの教育活動で使用されるツールであり、子どもたちがサイバースペースとそのリスクにさらされる時間は長くなっている。個人のプライバシーを守ることの重要性を若いユーザーに伝えるだけでは、インターネットを利用する際の警戒心を保つには十分ではありません。子どもたちにネット上での安全性を教えるには、より積極的なトレーニングが必要である。 
Member States, which are advised to increase their cybersecurity capacity, have made efforts to raise cybersecurity awareness among their population through initiatives targeting different age groups of users. With regard to children in particular, the Safer Internet Centers[1], co-funded by the European Commission, have proven to be the main drivers of the majority of initiatives at the national level and have served as a forum for cooperation and exchange of resources.  サイバーセキュリティの能力を高めるよう勧告されている加盟国は、異なる年齢層の利用者を対象とした取り組みを通じて、国民のサイバーセキュリティに対する意識を高める努力をしている。特に子どもに関しては、欧州委員会が共同出資するSafer Internet Centers[1]が、国レベルでの取り組みの大半を推進し、協力とリソース交換の場として機能していることが証明されている。
In line with the European Cybersecurity Act, Article 10[2], ENISA has the mission to focus its efforts in supporting cybersecurity in all levels of education in the Member States. In this context, ENISA has a mandate to support closer coordination and exchange of best practices among Member States on cybersecurity awareness and education.  欧州サイバーセキュリティ法第10条[2]に基づき、ENISAは加盟国のあらゆるレベルの教育におけるサイバーセキュリティの支援に力を注ぐという使命を担っている。この文脈で、ENISAは、サイバーセキュリティの意識と教育に関する加盟国間のより緊密な調整とベストプラクティスの交換を支援する任務を負っている。
Additionally, the EU Digital Education Action Plan[3] identifies two priority areas to prepare the next generations for the challenges posed by the digital: i) Fostering the development of a highperforming digital education ecosystem and ii) Enhancing digital skills and competences for the digital transformation. To address these challenges, ENISA recognises the importance of addressing and reshaping the existing cybersecurity education programmes and the continuous changes in the landscape to align the required cybersecurity knowledge and skills.  さらに、EUデジタル教育行動計画[3]は、デジタルがもたらす課題に次世代を備えるための2つの優先分野を特定している:i) 高性能デジタル教育エコシステムの開発の促進、ii) デジタル変革のためのデジタルスキルと能力の向上。これらの課題に対処するために、ENISAは、既存のサイバーセキュリティ教育プログラムと、必要なサイバーセキュリティの知識とスキルを揃えるための継続的な状況の変化に対処し、再構築することの重要性を認識している。
Through this project, ENISA wants to develop a comprehensive roadmap, towards the implementation of a collaborative campaign at EU level, for enhancing cybersecurity in education - targeting primary and secondary schools - across the EU and create a common platform to foster good practices and knowledge sharing, in order to collaborate with the European Commission (EC) and Member States in the creation and implementation of the required actions.  このプロジェクトを通じて、ENISAは、EU全域の初等・中等学校を対象とした教育におけるサイバーセキュリティを強化するためのEUレベルでの共同キャンペーンの実施に向けた包括的ロードマップを作成し、必要なアクションの作成と実施において欧州委員会(EC)や加盟国と協力するために、優れた実践と知識の共有を促進する共通のプラットフォームを作りたいと考えている。
This study brings out interesting conclusions regarding the best practices around cybersecurity in education across EU Member States, and with-it priorities for ENISA.  この研究は、EU加盟国の教育におけるサイバーセキュリティに関するベストプラクティス、およびENISAの優先事項に関する興味深い結論を導き出している。
Initiatives are often designed by National Cybersecurity Agencies, which then refer to a ministry responsible for the initiatives, but these initiatives may also be designed by that ministry. This usually has an impact on the funding of the initiatives (provided by the state or by private sponsors).  イニシアチブは、しばしば国家サイバーセキュリティ機関によって設計され、その後、そのイニシアチブを担当する省庁に照会するが、これらのイニシアチブはその省庁によって設計されることもあります。これは通常、イニシアチブの資金調達(国または民間スポンサーから提供される)に影響を与える。
The most recurrent and common key principles to be followed when developing educational cybersecurity initiatives were the following: undertake a collaborative approach to involve various stakeholders, undertake a pedagogic approach to ensure the participation of students, rely on the pareto principle to maximize efforts, construct yearly plans to ensure continuous improvement, educate the parents instead of creating a chain reaction…   教育サイバーセキュリティ・イニシアチブを開発する際に従うべき最も一般的な主要原則は、次のとおりである。さまざまな利害関係者を巻き込む協調的アプローチをとる、学生の参加を確実にする教育的アプローチをとる、努力を最大化するパレート原則に頼る、継続的改善を確実にするために年間計画を立てる、連鎖反応を引き起こすのではなく、保護者を教育する・・・など。 
Most of the time, KPIs are deployed to measure the achievement of predefined objectives and targets (such as completion of a task, gathering information through a satisfaction survey, web analytics to see how many people have participated in a training course, etc.). However, only a few Member States collect KPIs that measure the actual performance of users in the activities. Measuring the impact of cybersecurity education initiatives on the target audience, and whether and how their educational skills have evolved, is a challenge that Member States are trying to study and improve in this area.  ほとんどの場合、KPIはあらかじめ定義された目的や目標の達成度を測るために導入されます(タスクの完了、満足度調査による情報収集、トレーニングコースに何人が参加したかを見るためのウェブ解析など)。しかし、活動中のユーザーの実際のパフォーマンスを測定するKPIを収集している加盟国はごくわずかである。サイバーセキュリティ教育の取り組みが対象者に与える影響や、教育スキルがどのように進化したかを測定することは、加盟国がこの分野で研究し、改善しようとしている課題である。
The main challenges faced by Member States are the rigid culture of the ministries responsible for educational cybersecurity initiatives, the decentralized approach of some states, the lack of time and resources (low availability of teachers, staff turnover) and the lack of recognition for stakeholders.  加盟国が直面している主な課題は、サイバーセキュリティ教育イニシアチブを担当する省庁の硬直した文化、一部の国の分散型アプローチ、時間と資源の不足(教師の不足、職員の離職)、関係者の認識不足である。
Many respondents shared advice on how to approach the ministries responsible for the initiatives, and advice on how to develop initiatives at national level. They would also like to have visibility on what other Member States are doing in terms of cybersecurity in education, and finally they showed interest in working with ENISA and the other Member States.  多くの回答者が、取り組みを担当する省庁へのアプローチの仕方や、国レベルでの取り組み展開についてのアドバイスを共有していました。また、教育におけるサイバーセキュリティに関して、他の加盟国がどのような取り組みを行っているかを可視化することを希望し、最後にENISAや他の加盟国との協力に関心を示した。
The goal of this report is to present an overview of the Member States’ best practices when implementing cybersecurity education initiatives - targeting primary and secondary schools - as well as the challenges faced by the interviewed stakeholders when carrying out the activities. The aim is to identify the needs and gaps regarding cybersecurity education and determine how ENISA can provide additional support to the Member States. 本報告書の目的は、初等・中等学校を対象としたサイバーセキュリティ教育の取り組みを実施する際の加盟国のベストプラクティスの概要と、活動を実施する際にインタビューした関係者が直面した課題を提示することである。その目的は、サイバーセキュリティ教育に関するニーズとギャップを特定し、ENISAが加盟国に対してどのように追加的な支援を提供できるかを判断することである。

 

結論...

5.   CONCLUSIONS  5.   結論 
This chapter presents the main findings of the study, in particular it highlights the main challenges and obstacles faced by EU Member States in implementing cybersecurity initiatives in education within their countries and summarises the key priorities that ENISA should focus on for the EU cybersecurity education roadmap.  本章では、本調査の主な結果を示す。特に、EU加盟国が自国内の教育においてサイバーセキュリティの取り組みを実施する際に直面する主な課題と障害を明らかにし、EUサイバーセキュリティ教育ロードマップにおいてENISAが重視すべき主要な優先事項を要約している。
5.1  CHALLENGES ENCOUNTERED  5.1 遭遇した課題 
This section presents any challenges or barriers encountered by the Member States in implementing the Cybersecurity Education initiatives within their countries. A challenge can be defined as a fact or process which has made (or still makes) the initiatives difficult to deploy, or even prevented the initiative from reaching the expected level.  このセクションでは、加盟国が自国内でサイバーセキュリティ教育の取り組みを実施する際に遭遇した課題や障壁を提示する。課題とは、取り組みを展開することを困難にした(あるいは今もしている)事実やプロセス、あるいは取り組みが期待されたレベルに達することを妨げたものと定義することができる。
Below is a list of challenges faced by the Member States encountered in the deployment of the initiatives:  以下は、加盟国がイニシアチブを展開する際に直面した課題のリストである。
•        Rigidity of anchored culture of the ministries responsible for the cybersecurity initiatives in education: The culture, which leads to cybersecurity being treated as a secondary topic (as mentioned in the previous section), leads to a slow pace of change management within these public bodies, which prevents national cybersecurity agencies - or any other organisation designing the initiatives - from deploying them at national level.  ・教育におけるサイバーセキュリティの取り組みを担当する省庁の固定化された文化の硬直性。この文化は、サイバーセキュリティが(前のセクションで述べたように)二次的なトピックとして扱われることにつながり、これらの公的機関における変更管理のペースを遅くし、国のサイバーセキュリティ機関、またはイニシアチブを設計する他の組織が、国レベルでそれらを展開するのを妨げている。
•        Decentralized approach: In Germany and Austria, the country is divided into a number of federal states, which have a certain amount of autonomy at many levels, including in terms of educational strategy. This makes it impossible for them to implement national initiatives, and very difficult to monitor local initiatives.  ・分権的なアプローチ ドイツとオーストリアでは、国がいくつかの連邦州に分割されており、教育戦略の面を含め、多くのレベルで一定の自治権を持っている。そのため、国家的な取り組みを実施することは不可能であり、地域の取り組みを監視することも非常に困難である。
•        Lack of time and resources:   ・時間と資源の不足
o       Teachers’ low availability: In some Member States, initiatives are launched locally with teachers in their free time, which is very limited. It is then very difficult to have them participate due to their low availability.  o 教員の稼働率の低さ。一部の加盟国では、イニシアティブは地元で教師と共に立ち上げられるが、その時間は非常に限られている。その場合、教員の出番が少ないため、教員を参加させることは非常に困難である。
o       Staff turnover: In some Member States, there is a high turnover in the teams working on the initiatives. It is thus difficult to maintain the activities of the initiatives on a long term.  o スタッフの離職率。スタッフの入れ替わり:一部の加盟国では、取り組みに携わるチームの入れ替わりが激しい。そのため、長期的に活動を継続することが難しい。
•        Lack of stakeholder recognition: Stakeholders who participate in initiatives, sometimes in their spare time (e.g., teachers in many Member States), might not receive enough recognition, which could further motivate them to participate in initiatives. For example, it was mentioned that teachers could get a certification or a badge, when they implement an initiative at school and the sense of ownership or confidence, they are given could motivate them further.  ・ステークホルダーの認識不足 多くの加盟国では、教員など、余暇を利用してイニシアティブに参加しているステークホルダーは、十分な評価を得ていない可能性がある。例えば、教師が学校でイニシアチブを実施した場合、認証やバッジを得ることができ、所有感や自信を得ることができれば、さらなる動機付けになるとの意見があった。
•        Need to take into account the different languages spoken in a country: In Luxembourg, Belgium or Austria, for example, initiatives and especially support materials need to be developed in the different languages of the country in order to reach all the students.  ・その国で話されている言語が違うことを考慮する必要がある。例えば、ルクセンブルク、ベルギー、オーストリアでは、すべての生徒に届けるために、その国のさまざまな言語でイニシアチブ、特にサポート教材を開発する必要がある。
5.2  KEY PRIORITIES FOR THE ENISA ROADMAP  5.2 ENISAロードマップの主要な優先事項 
This section presents the key priorities that ENISA should focus on for the EU cybersecurity educational roadmap.   このセクションでは、ENISA が EU のサイバーセキュリティ教育ロードマップのために重点的に取り組むべき主要な優先事項を示します。 
•        Advice on how to approach ministries: For many Member States, the anchored culture of the ministries responsible for the initiatives relegates cybersecurity, and in particular the cybersecurity education field to the background. This makes it difficult to push initiatives at national level and to get funding. Those Member States believe that ENISA is in a strong position to convince the national authorities of the importance of cybersecurity education, and to give them the keys on how to address the challenges.  ・省庁へのアプローチ方法についての助言。多くの加盟国にとって、取り組みを担当する省庁の固定された文化は、サイバーセキュリティ、特にサイバーセキュリティ教育分野を後景に追いやるものである。このため、国家レベルでの取り組みを推進し、資金を得ることが困難になっている。これらの加盟国は、ENISAがサイバーセキュリティ教育の重要性を国家当局に納得させ、課題に対処する方法についての鍵を与える強力な立場にあると信じている。
•        Advice on how to develop initiatives at national level: In some Member States, such as Germany and Austria, the autonomy of the federal states within the country makes it difficult to deploy initiatives at national level, and hampers progress on this area. Those Member States hope that ENISA has the capacity to be the backend/coordinator of the topic and identify and encourage local authorities to develop educational initiatives.  ・国レベルでのイニシアティブの展開方法に関する助言。ドイツやオーストリアなど一部の加盟国では、国内における連邦国家の自治が、国レベルでの取り組みの展開を困難にしており、この分野での進展を妨げている。これらの加盟国は、ENISAがこのテーマのバックエンド/コーディネーターとなり、地方自治体の教育的イニシアティブを特定し、その展開を促す能力を持つことを望んでいる。
•        Visibility on what the other Member States are doing: Many Member States expressed their willingness to compare and discuss existing initiatives deployed in other Member States. By doing so, the Member States would be able to learn from each other and make the most out of each State’s best practices, challenges encountered, and key lessons regarding those initiatives.  ・他の加盟国が行っていることの可視化。多くの加盟国が、他の加盟国で展開されている既存のイニシアチブを比較し、議論することに意欲を示した。そうすることで、加盟国は互いから学び、それぞれの国のベストプラクティス、遭遇した課題、それらのイニシアチブに関する重要な教訓を最大限に活用することができるだろう。
•        Encourage Member States to engage in partnerships with the private sector (e.g., industry): While some Member States already engage in this kind of partnerships (e.g., Italy, Slovenia…), most Member States miss on this opportunity to access more technical / operational point of views, and also to build a multi-disciplinary team. Indeed, this partnership with the private sector would allow to a collaborative approach around decision making process and implementation of cybersecurity innovation initiatives.  ・加盟国に対し、民間部門(産業界など)とのパートナーシップを奨励する。すでにこの種のパートナーシップを結んでいる加盟国もあるが(イタリア、スロベニアなど)、ほとんどの加盟国は、より技術的/運用的な視点にアクセスし、また多分野のチームを構築するこの機会を逃す。実際、民間部門とのパートナーシップは、意思決定プロセスやサイバーセキュリティ・イノベーション・イニシアチブの実施において、協力的なアプローチを可能にするだろう。

 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.11.28 ENISA 欧州におけるサイバーセキュリティに関する高等教育の状況についての報告書を公表

 

 

| | Comments (0)

ENISA European Cybersecurity Skills Framework (ECSF) User Manual & Role Profiles (2022.09.19)

こんにちは、丸山満彦です。

今更ですが、ENISAのSkill関係の報告書のいくつかを見落としていました。。。ということで、まずは、European Cybersecurity Skills Framework (ECSF) 関係です。。。

ENISA

・2022.09.19 European Cybersecurity Skills Framework (ECSF) - User Manual

European Cybersecurity Skills Framework (ECSF) - User Manual 欧州サイバーセキュリティ・スキルフレームワーク(ECSF) - ユーザーマニュアル
The ECSF User Manual provides a comprehensive overview of the ECSF’s main scope, framework principles and application opportunities. The primary purpose of the manual is to make the ECSF easily accessible by, understandable for, and usable by all stakeholders with an active role or a need for appropriately skilled cybersecurity professionals ECSFユーザーマニュアルは、ECSFの主な範囲、フレームワークの原則、適用機会について包括的に説明している。本マニュアルの主な目的は、適切なスキルを持つサイバーセキュリティ専門家の積極的な役割やニーズを持つすべてのステークホルダーがECSFに容易にアクセスでき、理解でき、使用できるようにすることである。

 

・[PDF] European Cybersecurity Skills Framework (ECSF) - User Manual

20230122-230718

目次...

1.   INTRODUCTION  1.   はじめに 
1.1   TARGET AUDIENCE  1.1 想定読者 
1.2   STRUCTURE OF THE MANUAL  1.2 マニュアルの構成 
2.   UNDERSTANDING THE ECSF  2.   ECSFの理解 
2.1   THE ECSF DESIGN PRINCIPLES  2.1 ECSFの設計原則 
2.1.1  Simple yet Comprehensive  2.1.1 シンプルかつ包括的 
2.1.2  Flexible and Scalable  2.1.2 柔軟で拡張性がある 
2.1.3  Open and Impartial  2.1.3 オープンで公平
2.1.4  European  2.1.4 ヨーロッパ的 
2.2   THE MAIN BENEFITS PROVIDED BY THE ECSF  2.2 ECSFが提供する主なメリット 
3.   APPLICATIONS OF THE ECSF  3.   ECSF の応用 
3.1   EMPLOYING CYBERSECURITY PROFESSIONALS – APPLY THE ECSF AS AN ORGANISATION  3.1 サイバーセキュリティの専門家を雇用する - 組織としてECSFを適用する 
3.2   SKILLING CYBERSECURITY PROFESSIONALS – APPLY THE ECSF AS A LEARNING PROVIDER  3.2 サイバーセキュリティの専門家を育成する - 学習プロバイダとしてのECSFを適用する 
3.3   MAKING OWN CAREER CHOICES – APPLY THE ECSF AS AN INDIVIDUAL PROFESSIONAL  3.3 自分のキャリアを選択する - 個人の専門家としてECSFを適用する 
3.4   BUILDING CYBERSECURITY COMMUNITIES – APPLY THE ECSF AS A PROFESSIONAL  ASSOCIATION  3.4 サイバーセキュリティコミュニティを構築する - 専門家集団としての ECSF を適用する 
3.5   EMPOWERING THE SECTOR STRATEGICALLY – APPLY THE ECSF AS A POLICY MAKER  3.5 部門に戦略的な力を与える - 政策立案者としての ECSF を適用する 
4.   TERMS AND DEFINITIONS  4.   用語と定義 
5.   REFERENCES  5.   参考文献 
A   ANNEX: CONNECTING THE ECSF TO OTHER EU STANDARDS  AND FRAMEWORKS  附属書A:ECSFと他のEUの基準やフレームワークとの関連性
A.1   EN16234-1 E-CF A COMMON EUROPEAN REFERENCE FRAMEWORK FOR ICT PROFESSIONALS  IN ALL SECTORS  A.1 EN16234-1 E-CF あらゆる分野の IT 専門家のための欧州共通参照フレームワーク 
A.2   EUROPEAN ICT PROFESSIONAL ROLE PROFILES  A.2 欧州のICT専門家の役割プロファイル 
A.3   EUROPEAN QUALIFICATIONS FRAMEWORK  A.3 欧州の資格フレームワーク 
A.4   ESCO - EUROPEAN CLASSIFICATION OF SKILLS, COMPETENCES AND OCCUPATIONS  A.4 ESCO - スキル、能力、職業に関する欧州の分類 
B   ANNEX: USE CASES  附属書B:ユースケース 
B.1   USE CASE FROM CONCORDIA H2020 PROJECT  B.1 コンコーディア H2020 プロジェクトのユースケース 
B.2   USE CASE FROM SPARTA H2020 PROJECT  B.2 Sparta H2020プロジェクトのユースケース 
B.3   USE CASE FROM INCIBE  B.3 incibeのユースケース 
B.4   USE CASE FROM THE EUROPEAN CYBER SECURITY ORGANISATION (ECSO)  B.4 欧州サイバーセキュリティ機構(Ecso)のユースケース 
B.5   USE CASE FROM ISC2  B.5 ISC2 のユースケース 
B.6   USE CASE FROM ISACA  B.6 Isacaのユースケース 
B.7   USE CASE FROM SANS/GIAC  B.7 SANS/GIACのユースケース 

 

エグゼクティブサマリー

EXECUTIVE SUMMARY  エグゼクティブサマリー 
The cybersecurity workforce shortage and skills gap is a major concern for both economic development and national security. By looking into the problem, ENISA identified Europe’s need for a comprehensive approach to define a set of cybersecurity roles and skills that could be leveraged to reduce the shortage and the skills gap. ENISA has worked on the development of such a framework and presents the European Cybersecurity Skills Framework (ECSF), which is intended to strengthen European cybersecurity culture by providing a common  サイバーセキュリティの人材不足とスキルギャップは、経済発展と国家安全保障の両方にとって大きな懸念事項である。ENISAは、この問題を調べることで、不足とスキルギャップを減らすために活用できる一連のサイバーセキュリティの役割とスキルを定義するための包括的なアプローチの必要性を欧州で確認した。ENISAは、このようなフレームワークの開発に取り組み、欧州サイバーセキュリティ・スキルフレームワーク(ECSF)を発表した。
European language across communities, taking an essential step forward towards Europe’s digital future.  ECSFは、欧州のサイバーセキュリティ文化を強化し、欧州のデジタルな未来に向けた重要な一歩を踏み出すために、コミュニティ間で欧州の共通言語を提供することを目的としている。
The ECSF provides a practical tool to support the identification and articulation of tasks, competences, skills and knowledge associated with the roles of European cybersecurity professionals. The main purpose of the framework is to create a common understanding between individuals, employers and providers of learning programmes across EU Member States, making it a valuable tool to bridge the gap between the cybersecurity professional workplace and learning environments.  ECSFは、欧州のサイバーセキュリティ専門家の役割に関連するタスク、能力、スキル、知識の特定と明確化を支援する実用的なツールを提供する。このフレームワークの主な目的は、EU加盟国の個人、雇用者、学習プログラムの提供者の間で共通の理解を得ることであり、サイバーセキュリティ専門家の職場と学習環境の間のギャップを埋めるための貴重なツールとなっている。
The framework describes the most important requirements of a professional cybersecurity workplace by defining a set of 12 typical cybersecurity professional role profiles. These profiles provide a common understanding of the main cybersecurity missions, tasks and skills needed in a professional cybersecurity context, making it the perfect reference for profiling skills and knowledge needed by cybersecurity professionals. The framework was designed to be easily understood and comprehensive enough to provide appropriate in-depth cybersecurity insights as well as flexible enough to allow customisation based on each user’s needs. By incorporating all stakeholder perspectives, the framework is applicable to all types of organisations and supports the development of all cybersecurity professions.  このフレームワークは、12種類の典型的なサイバーセキュリティ専門家の役割プロファイルを定義することによって、サイバーセキュリティ専門職の最も重要な要件を記述している。これらのプロファイルは、サイバーセキュリティの専門的な状況で必要とされる主なサイバーセキュリティのミッション、タスク、スキルの共通理解を提供し、サイバーセキュリティの専門家が必要とするスキルと知識をプロファイルするための完璧な参考資料となる。このフレームワークは、理解しやすく、サイバーセキュリティに関する深い洞察を提供できるほど包括的であると同時に、各ユーザーのニーズに基づいてカスタマイズできるほど柔軟であるように設計されている。すべての関係者の視点を取り入れることで、このフレームワークはあらゆる種類の組織に適用でき、すべてのサイバーセキュリティ専門家の育成をサポートする。
The ECSF is the result of work conducted by ENISA’s Ad-Hoc Working Group on the European Cybersecurity Skills Framework[1] formed by experts representing various views. The developed framework is based on an analysis of existing frameworks, the results and findings from research on market needs and agreement among experts. User case studies and indicative examples, inspired by various workplace and learning environments, demonstrate the practical implementation of this framework and support this work.  ECSFは、様々な意見を代表する専門家で構成されたENISAの欧州サイバーセキュリティ技能フレームワークに関するアドホックワーキンググループ[1]が行った作業の成果である。開発されたフレームワークは、既存のフレームワークの分析、市場ニーズに関する調査結果や知見、専門家間の合意に基づいている。様々な職場や学習環境から着想を得たユーザ事例や指標となる事例が、このフレームワークの実践を示し、この作業を支援している。
The main benefits of using the ECSF were found to be:  ECSFを使用する主な利点は以下の通りであることが判明した。
•        ensuring a common terminology and shared understanding regarding cybersecurity professionals across the EU;  ・EU全域で,サイバーセキュリティの専門家に関する共通の用語と共通の理解を確保する。
•        identifying the critical skills-set required from the perspective of the cybersecurity workforce to support its further development and enhancement;  ・サイバーセキュリティ人材の観点から必要とされる重要なスキルセットを特定し,そのさらなる開発と強化を支援する。
•        promoting harmonisation in cybersecurity education, training and workforce development programmes.  ・サイバーセキュリティの教育,訓練,人材開発プログラムにおける調和を促進すること。
This ECSF User Manual provides a comprehensive overview of the ECSF’s main scope, framework principles and application opportunities. The primary purpose of the manual is to make the ECSF easily accessible by, understandable for, and usable by all stakeholders with an active role or a need for appropriately skilled cybersecurity professionals.  このECSFユーザーマニュアルは、ECSFの主な範囲、フレームワークの原則、適用機会について包括的な概要を提供している。本マニュアルの主な目的は、適切なスキルを持つサイバーセキュリティ専門家の積極的な役割や必要性を持つすべての関係者が、ECSFに容易にアクセスでき、理解でき、使用できるようにすることである。
The European Cybersecurity Skills Framework (ECSF) is intended to strengthen European cybersecurity culture by providing a common European language across communities, taking an essential step forward towards Europe’s digital future. 欧州サイバーセキュリティ・スキルフレームワーク(ECSF)は、欧州のサイバーセキュリティ文化を強化し、欧州のデジタルな未来に向けて不可欠な一歩を踏み出すために、コミュニティ間で欧州共通言語を提供することを目的としている。

[1] https://www.enisa.europa.eu/topics/cybersecurity-education/european-cybersecurity-skills-framework/adhoc_wg_calls

 

・2022.09.19 European Cybersecurity Skills Framework Role Profiles

European Cybersecurity Skills Framework Role Profiles 欧州サイバーセキュリティ・スキルフレームワークのロールプロファイル
The ECSF role profiles document lists the 12 typical cybersecurity professional role profiles along with their identified titles, missions, tasks, skills, knowledge, competences. The main purpose of this framework is to create a common understanding between individuals, employers and providers of learning programmes across EU Member States, making it a valuable tool to bridge the gap between the cybersecurity professional workplace and learning environments. ECSF の役割プロファイル文書には、12の典型的なサイバーセキュリティ専門家の役割プロファイルが、特定されたタイトル、ミッション、タスク、スキル、知識、コンピテンスとともにリストアップされている。このフレームワークの主な目的は、EU加盟国の個人、雇用者、学習プログラムの提供者の間で共通の理解を得ることであり、サイバーセキュリティ専門家の職場と学習環境の間のギャップを埋めるための貴重なツールとなっている。

 

・[PDF] European Cybersecurity Skills Framework Role Profiles

20230122-234549

・[DOCX] 仮訳

 

目次

1. OVERVIEW 1. 概要
2. PROFILES 2. プロフィル
2.1 CHIEF INFORMATION SECURITY OFFICER (CISO) 2.1 最高情報セキュリティ責任者(CISO)
2.2 CYBER INCIDENT RESPONDER 2.2 サイバーインシデント対応担当者
2.3 CYBER LEGAL, POLICY & COMPLIANCE OFFICER 2.3 サイバー法務・政策・コンプライアンス担当者
2.4 CYBER THREAT INTELLIGENCE SPECIALIST 2.4 サイバー脅威インテリジェンス専門家
2.5 CYBERSECURITY ARCHITECT 2.5 サイバーセキュリティ・アーキテクト
2.6 CYBERSECURITY AUDITOR 2.6 サイバーセキュリティ監査人
2.7 CYBERSECURITY EDUCATOR 2.7 サイバーセキュリティ教育者
2.8 CYBERSECURITY IMPLEMENTER 2.8 サイバーセキュリティ実装者
2.9 CYBERSECURITY RESEARCHER 2.9 サイバーセキュリティ・リサーチャー
2.10 CYBERSECURITY RISK MANAGER 2.10 サイバーセキュリティ・リスクマネージャー
2.11 DIGITAL FORENSICS INVESTIGATOR 2.11 デジタルフォレンジック調査員
2.12 PENETRATION TESTER 2.12 ペネトレーションテスター
3. DELIVERABLES LIBRARY 3. 成果物ライブラリー

 

 

 

 

 


 

■ 参考

米国の場合...

 

NATIONAL INITIATIVE FOR CYBERSECURITY CAREERS AND STUDIES:NICCS

Workforce Framework for Cybersecurity (NICE Framework)

こちらは、、、

  • カテゴリー (7) - 一般的なサイバーセキュリティ機能のハイレベルなグループ化。
  • 専門分野 (33) - サイバーセキュリティの業務における個別の分野。
  • 役割 (52) - 仕事の役割でタスクを実行するために必要な特定の知識、スキル、能力 (KSA) で構成されるサイバーセキュリティの仕事の最も詳細なグループ

スキルを洗い出しているものですね。。。

カテゴリー...

Analyze 分析
Performs highly-specialized review and evaluation of incoming cybersecurity information to determine its usefulness for intelligence. 受信したサイバーセキュリティ情報を高度に専門化したレビューと評価を行い、インテリジェンスとしての有用性を判断する。
Collect and Operate 収集と操作
Provides specialized denial and deception operations and collection of cybersecurity information that may be used to develop intelligence. 専門的な妨害・欺瞞作戦を実施し、インテリジェンス開発に使用される可能性のあるサイバーセキュリティ情報を収集する。
Investigate 調査
Investigates cybersecurity events or crimes related to information technology (IT) systems, networks, and digital evidence. 情報技術(IT)システム、ネットワーク、デジタル証拠に関連するサイバーセキュリティイベントや犯罪を調査する。
Operate and Maintain 運営と維持
Provides the support, administration, and maintenance necessary to ensure effective and efficient information technology (IT) system performance and security. 効果的かつ効率的な情報技術(IT)システムのパフォーマンスとセキュリティを確保するために必要なサポート、管理、保守を提供する。
Oversee and Govern 監督と管理
Provides leadership, management, direction, or development and advocacy so the organization may effectively conduct cybersecurity work. 組織が効果的にサイバーセキュリティ業務を遂行できるように、指導、管理、指示、または開発、擁護を行う。
Protect and Defend 保護と防御
Identifies, analyzes, and mitigates threats to internal information technology (IT) systems and/or networks. 社内の情報技術(IT)システムおよび/またはネットワークに対する脅威を特定し、分析し、軽減させる。
Securely Provision 安全な提供
Conceptualizes, designs, procures, and/or builds secure information technology (IT) systems, with responsibility for aspects of system and/or network development. 情報技術(IT)システムの概念化、設計、調達、構築を行い、システムおよび/またはネットワーク開発の側面を担当する。

 

専門分野

Analyze 分析
All-Source Analysis オールソース分析
Analyzes threat information from multiple sources, disciplines, and agencies across the Intelligence Community. Synthesizes and places intelligence information in context; draws insights about the possible implications. インテリジェンス・コミュニティ内の複数の情報源、分野、機関から得た脅威情報を分析する。インテリジェンス情報を統合し、文脈の中に位置づけ、起こりうる影響についての洞察を導き出す。
Exploitation Analysis エクスプロイト分析
Analyzes collected information to identify vulnerabilities and potential for exploitation. 収集した情報を分析し、脆弱性や悪用される可能性を特定する。
Language Analysis 言語分析
Applies language, cultural, and technical expertise to support information collection, analysis, and other cybersecurity activities. 言語、文化、技術的な専門知識を応用し、情報収集、分析、その他のサイバーセキュリティ活動を支援する。
Targets ターゲット
Applies current knowledge of one or more regions, countries, non-state entities, and/or technologies. 1つまたは複数の地域、国、非国家組織、および/または技術に関する現在の知識を適用する。
Threat Analysis 脅威の分析
Identifies and assesses the capabilities and activities of cybersecurity criminals or foreign intelligence entities; produces findings to help initialize or support law enforcement and counterintelligence investigations or activities. サイバーセキュリティ犯罪者や外国諜報機関の能力と活動を特定・評価し、法執行や防諜の調査・活動の初期化または支援に役立つ知見を提供する。
Collect and Operate 収集と運用
Collection Operations 収集活動
Executes collection using appropriate strategies and within the priorities established through the collection management process. 適切な戦略を用い、収集管理プロセスで確立された優先順位の範囲内で収集を実行する。
Cyber Operational Planning サイバー作戦計画
Performs in-depth joint targeting and cybersecurity planning process. Gathers information and develops detailed Operational Plans and Orders supporting requirements. Conducts strategic and operational-level planning across the full range of operations for integrated information and cyberspace operations. 綿密な共同ターゲティングとサイバーセキュリティの計画プロセスを実行する。情報を収集し、詳細な作戦計画および要件を裏付ける命令を作成する。統合された情報およびサイバースペース運用のための全運用範囲にわたる戦略および運用レベルのプランニングを実施する。
Cyber Operations サイバー作戦
Performs activities to gather evidence on criminal or foreign intelligence entities to mitigate possible or real-time threats, protect against espionage or insider threats, foreign sabotage, international terrorist activities, or to support other intelligence activities. 犯罪者や外国の諜報機関について証拠を収集し、起こりうる脅威やリアルタイムの脅威を緩和し、スパイや内部脅威、外国の破壊工作、国際テロ活動から保護し、その他の諜報活動を支援するための活動を行う。
Investigate 調査
Cyber Investigation サイバー捜査
Applies tactics, techniques, and procedures for a full range of investigative tools and processes to include, but not limited to, interview and interrogation techniques, surveillance, counter surveillance, and surveillance detection, and appropriately balances the benefits of prosecution versus intelligence gathering. あらゆる捜査ツールおよびプロセスの戦術、技術、手順を適用する。これには、取調べや尋問の技術、監視、対抗監視、監視検知などが含まれますが、これらに限定されるものではなく、起訴と情報収集のメリットを適切にバランスさせることができます。
Digital Forensics デジタルフォレンジック
Collects, processes, preserves, analyzes, and presents computer-related evidence in support of network vulnerability mitigation and/or criminal, fraud, counterintelligence, or law enforcement investigations. ネットワーク脆弱性の緩和や犯罪、詐欺、防諜、法執行の調査を支援するために、コンピュータ関連の証拠を収集、処理、保存、分析、提示する。
Operate and Maintain 運用・保守
Customer Service and Technical Support カスタマーサービスとテクニカルサポート
Addresses problems; installs, configures, troubleshoots, and provides maintenance and training in response to customer requirements or inquiries (e.g., tiered-level customer support). Typically provides initial incident information to the Incident Response (IR) Specialty. 問題への対処、インストール、設定、トラブルシューティング、メンテナンスやトレーニングの提供など、顧客の要求や問い合わせに対応する(例:階層別カスタマーサポートなど)。通常、インシデントレスポンス(IR)専門部署に初期インシデント情報を提供する。
Data Administration データ管理
Develops and administers databases and/or data management systems that allow for the storage, query, protection, and utilization of data. データの保存、照会、保護、利用を可能にするデータベースやデータ管理システムを開発・管理する。
Knowledge Management ナレッジマネジメント
Manages and administers processes and tools that enable the organization to identify, document, and access intellectual capital and information content. 組織が知的資本や情報コンテンツを特定し、文書化し、アクセスできるようにするためのプロセスやツールを管理・運用する。
Network Services ネットワークサービス
Installs, configures, tests, operates, maintains, and manages networks and their firewalls, including hardware (e.g., hubs, bridges, switches, multiplexers, routers, cables, proxy servers, and protective distributor systems) and software that permit the sharing and transmission of all spectrum transmissions of information to support the security of information and information systems. 情報および情報システムのセキュリティをサポートするために、情報のあらゆるスペクトル伝送の共有と伝送を可能にするハードウェア(ハブ、ブリッジ、スイッチ、マルチプレクサ、ルータ、ケーブル、プロキシサーバ、保護分配システムなど)およびソフトウェアを含むネットワークおよびそのファイアウォールの設置、設定、テスト、運用、維持、管理。
Systems Administration システム管理
Installs, configures, troubleshoots, and maintains server configurations (hardware and software) to ensure their confidentiality, integrity, and availability. Manages accounts, firewalls, and patches. Responsible for access control, passwords, and account creation and administration. サーバー構成(ハードウェア及びソフトウェア)のインストール、設定、トラブルシューティング、保守を行い、その機密性、完全性、可用性を確保する。アカウント、ファイアウォール、パッチを管理する。アクセスコントロール、パスワード、アカウントの作成と管理を担当。
Systems Analysis システム分析
Studies an organization's current computer systems and procedures, and designs information systems solutions to help the organization operate more securely, efficiently, and effectively. Brings business and information technology (IT) together by understanding the needs and limitations of both. 組織の現在のコンピュータシステムおよび手順を調査し、組織がより安全に、効率よく、効果的に運営できるような情報システムソリューションを設計する。ビジネスと情報技術(IT)双方のニーズと限界を理解し、両者を結びつける。
Oversee and Govern 監督と管理
Cybersecurity Management サイバーセキュリティマネジメント
Oversees the cybersecurity program of an information system or network, including managing information security implications within the organization, specific program, or other area of responsibility, to include strategic, personnel, infrastructure, requirements, policy enforcement, emergency planning, security awareness, and other resources. 情報システムまたはネットワークのサイバーセキュリティプログラムを監督し、組織、特定のプログラム、またはその他の担当領域における情報セキュリティの意味合いを管理し、戦略、人材、インフラ、要件、ポリシー実施、緊急計画、セキュリティ意識、およびその他のリソースを含めることができる。
Executive Cyber Leadership エグゼクティブ・サイバー・リーダーシップ
Supervises, manages, and/or leads work and workers performing cyber and cyber-related and/or cyber operations work. サイバー、サイバー関連、サイバーオペレーション業務を行う業務従事者の監督、管理、指導を行う。
Legal Advice and Advocacy 法的助言と擁護
Provides legally sound advice and recommendations to leadership and staff on a variety of relevant topics within the pertinent subject domain. Advocates legal and policy changes, and makes a case on behalf of client via a wide range of written and oral work products, including legal briefs and proceedings. 関連する領域内の様々なトピックについて、リーダーシップやスタッフに対し、法的に適切なアドバイスや提案を行う。また、法律や政策の変更を主張し、クライアントのために、法律概要書や訴訟手続きなど、幅広い書面や口頭の成果物を通じて主張する。
Program/Project Management and Acquisition プログラム・プロジェクト管理および取得
Applies knowledge of data, information, processes, organizational interactions, skills, and analytical expertise, as well as systems, networks, and information exchange capabilities to manage acquisition programs. Executes duties governing hardware, software, and information system acquisition programs and other program management policies. Provides direct support for acquisitions that use information technology (IT) (including National Security Systems), applying IT-related laws and policies, and provides IT-related guidance throughout the total acquisition life cycle. データ、情報、プロセス、組織の相互作用、スキル、分析的専門知識、およびシステム、ネットワーク、情報交換能力に関する知識を適用し、取得プログラムを管理する。ハードウェア、ソフトウェア、情報システムの取得プログラムおよびその他のプログラム管理方針を管理する職務を遂行する。情報技術(IT)(国家安全保障システムを含む)を使用する買収を直接支援し、IT関連の法律や政策を適用し、買収のライフサイクル全体を通じてIT関連のガイダンスを提供する。
Strategic Planning and Policy 戦略的計画・政策
Develops policies and plans and/or advocates for changes in policy that support organizational cyberspace initiatives or required changes/enhancements. 組織のサイバースペースイニシアチブや必要な変更・強化をサポートする政策・計画の策定や政策変更の提唱を行う。
Training, Education, and Awareness トレーニング、教育、意識向上
Conducts training of personnel within pertinent subject domain. Develops, plans, coordinates, delivers and/or evaluates training courses, methods, and techniques as appropriate. 関連する主題領域における要員のトレーニングを実施する。適切なトレーニングコース、方法、技術を開発、計画、調整、提供、評価する。
Protect and Defend 保護と防衛
Cyber Defense Analysis サイバー防衛分析
Uses defensive measures and information collected from a variety of sources to identify, analyze, and report events that occur or might occur within the network to protect information, information systems, and networks from threats. 情報、情報システム、ネットワークを脅威から守るために、防御策や様々なソースから収集した情報を使用して、ネットワーク内で発生した、または発生する可能性のあるイベントを特定、分析、報告する。
Cyber Defense Infrastructure Support サイバーディフェンスインフラストラクチャサポート
Tests, implements, deploys, maintains, reviews, and administers the infrastructure hardware and software that are required to effectively manage the computer network defense service provider network and resources. Monitors network to actively remediate unauthorized activities. コンピュータネットワーク防御サービスプロバイダのネットワークとリソースを効果的に管理するために必要なインフラのハードウェアとソフトウェアのテスト、実装、展開、維持、レビュー、管理を行います。ネットワークを監視し、不正な活動を積極的に是正する。
Incident Response インシデントレスポンス
Responds to crises or urgent situations within the pertinent domain to mitigate immediate and potential threats. Uses mitigation, preparedness, and response and recovery approaches, as needed, to maximize survival of life, preservation of property, and information security. Investigates and analyzes all relevant response activities. 危機や緊急事態に対応し、緊急かつ潜在的な脅威を軽減する。必要に応じて、緩和、準備、対応と復旧のアプローチを使用し、人命の生存、財産の保全、情報セキュリティを最大化する。関連するすべての対応活動を調査・分析する。
Vulnerability Assessment and Management 脆弱性の評価と管理
Conducts assessments of threats and vulnerabilities; determines deviations from acceptable configurations, enterprise or local policy; assesses the level of risk; and develops and/or recommends appropriate mitigation countermeasures in operational and nonoperational situations. 脅威と脆弱性の評価を実施し、許容される設定、企業または地域のポリシーからの逸脱を判断し、リスクのレベルを評価し、運用中および非運用中の状況において適切な緩和策を開発および/または推奨する。
Securely Provision 安全な提供
Risk Management リスク管理
Oversees, evaluates, and supports the documentation, validation, assessment, and authorization processes necessary to assure that existing and new information technology (IT) systems meet the organization's cybersecurity and risk requirements. Ensures appropriate treatment of risk, compliance, and assurance from internal and external perspectives. 既存及び新規の情報技術(IT)システムが組織のサイバーセキュリティ及びリスク要件を満たすことを保証するために必要な文書化、検証、評価、承認プロセスを監督、評価、サポートする。社内外の視点から、リスク、コンプライアンス、保証の適切な取り扱いを保証する。
Software Development ソフトウェア開発
Develops and writes/codes new (or modifies existing) computer applications, software, or specialized utility programs following software assurance best practices. ソフトウェア保証のベストプラクティスに従って、新しい(または既存の)コンピュータアプリケーション、ソフトウェア、または特殊なユーティリティプログラムを開発し、記述/コード化する。
Systems Architecture システムアーキテクチャー
Develops system concepts and works on the capabilities phases of the systems development life cycle; translates technology and environmental conditions (e.g., law and regulation) into system and security designs and processes. システムコンセプトを開発し、システム開発ライフサイクルの能力フェーズに取り組み、技術や環境条件(法律や規制など)をシステムおよびセキュリティの設計とプロセスに反映させる。
Systems Development システム開発
Works on the development phases of the systems development life cycle. システム開発ライフサイクルの開発フェーズを担当する。
Systems Requirements Planning システム要件計画
Consults with customers to gather and evaluate functional requirements and translates these requirements into technical solutions. Provides guidance to customers about applicability of information systems to meet business needs. 顧客と相談し、機能要件を収集・評価し、これらの要件を技術的なソリューションに変換する。ビジネスニーズを満たすための情報システムの適用性について、顧客にガイダンスを提供する。
Technology R&D 技術研究開発
Conducts technology assessment and integration processes; provides and supports a prototype capability and/or evaluates its utility. 技術評価と統合プロセスの実施、プロトタイプ能力の提供・サポート、およびその実用性の評価。
Test and Evaluation テスト・評価
Develops and conducts tests of systems to evaluate compliance with specifications and requirements by applying principles and methods for cost-effective planning, evaluating, verifying, and validating of technical, functional, and performance characteristics (including interoperability) of systems or elements of systems incorporating IT. ITを組み込んだシステムまたはシステムの要素の技術的、機能的、性能的特性(相互運用性を含む)をコスト効率よく計画、評価、検証、確認するための原則と方法を適用し、仕様と要件への準拠を評価するためのシステムのテストを開発し実施する。

 

 

| | Comments (0)

2023.01.22

読みました! 「CISOのための情報セキュリティ戦略 - 危機から逆算して攻略せよ」

こんにちは、丸山満彦です。

プリファードネットワークのCISO, CPOを務める高橋正和さんの著書、「CISOのための情報セキュリティ戦略 - 危機から逆算して攻略せよ」[amazon] を読み終えました。。。

20230122-12623

 

本書がどんな本かは、前書きから、、、


セキュリティ事件・事故のシナリオに基づいた机上演習フレームワークをCISO-PRACTSIEと呼称し、経営者がセキュリティの文脈を理解し、CISOを始めとしたセキュリティ担当者が、経営視点や事業視点を身につける機会として事件・事故を想定し、そこから逆算して対策の検証を行う手法を提案します。


詳細に、丁寧に書かれていますね。。。

参考になるところが、あちこちにあると思います。是非是非。。。

 

 

ところで、この机上演習ですが、、、以下の資料を参考にしていますね。。。

JPCERT/CC

・2016.03.31 [PDF] 高度サイバー攻撃(APT)への備えと対応ガイド~企業や組織に薦める一連のプロセスについて

1_20230122014201

図 18:様々な演習と効果

ただ、このJPCERT/CCのガイドの図はどこからきたのですかね。。。

 

この辺り(国家安全保障省のHomeland Security Exercise and Evaluation Program)からですかね。。。これ自体は2020年のものですが、2013年発行の前のバージョンがあったのです。。。

Homeland Security Agency

Homeland Security Exercise and Evaluation Program (HSEEP)

Homeland Security Exercise and Evaluation Program 国土安全保障演習と評価プログラム
Exercises are a key component of national preparedness — they provide the whole community with the opportunity to shape planning, assess and validate capabilities, and address areas for improvement. HSEEP provides a set of guiding principles for exercise and evaluation programs, as well as a common approach to exercise program management, design and development, conduct, evaluation, and improvement planning. 演習は国家的な準備態勢の重要な要素であり、地域社会全体に計画を形成し、能力を評価・検証し、改善すべき分野に対処する機会を提供するものである。 HSEEPは、演習と評価プログラムのための一連の指導原則と、演習プログラムの管理、設計と開発、実施、評価、および改善計画に対する共通のアプローチを提供する。
Through the use of HSEEP, the whole community can develop, execute, and evaluate exercises that address the preparedness priorities. These priorities are informed by risk and capability assessments, findings, corrective actions from previous events, and external requirements.  These priorities guide the overall direction of an exercise program and the design and development of individual exercises. HSEEPの利用により、地域社会全体が準備の優先順位に対応した演習を開発、実施、評価することができる。 これらの優先事項は、リスクと能力の評価、所見、過去の事象からの是正措置、および外部要件によってもたらされる。  これらの優先順位は、演習プログラムの全体的な方向性と個々の演習の設計と開発の指針となる。
These priorities guide planners as they identify exercise objectives and align them to capabilities for evaluation during the exercise. Exercise evaluation assesses the ability to meet exercise objectives and capabilities by documenting strengths, areas for improvement, capability performance, and corrective actions in an After-Action Report/Improvement Plan (AAR/IP). Through improvement planning, organizations take the corrective actions needed to improve plans, build and sustain capabilities, and maintain readiness. これらの優先順位は、計画者が演習の目的を特定し、演習中に評価するための能力と整合させる際の指針となる。演習の評価では、演習の目的および能力を満たすために、強み、改善すべき点、能力のパフォーマンス、および是正措置を事後報告/改善計画(AAR/IP)に文書化することによって評価する。改善計画を通じて、組織は計画を改善し、能力を構築・維持し、即応性を維持するために必要な是正措置を講じる。
 ・[PDF] Homeland Security Exercise and Evaluation Program Doctrine 国土安全保障演習・評価プログラムのドクトリン
・[PDF] El Programa de Evaluación y Ejercicios de Seguridad Nacional 国土安全保障評価演習プログラム
・[PDF] HSEEP Information Sheet HSEEP情報シート
・[PDF] HSEEP Frequently Asked Questions 2020 HSEEPよくある質問2020

 

 

・[PDF] Homeland Security Exercise and Evaluation Program Doctrine

 

20230122-33035

 

演習は、大きく

  1. ディスカッションベース:セミナー、ワークショップ、机上演習(TTX)、ゲーム
  2. オペレーションベース:ドリル、機能演習 (FE) 、総合演習(FSE

の2パターンを示していますね。。。

 


1. ディスカッションベースの演習

ディスカッション形式の演習には、セミナー、ワークショップ、机上演習(TTX)、ゲームなどがある。この種の演習は、計画、方針、手順、および協定に慣れ親しんだり、新しいものを開発したりするものである。ディスカッションベースの演習は、戦略的、政策的な問題に焦点を当て、ファシリテーターやプレゼンターが議論をリードし、参加者が演習の目的を達成するために動き続けるものである。次の表(表2.3, 表2.4、表2.5、表2.6)にはそれぞれのタイプのディスカッションベースの演習の重要な情報が記載されている。

表2.3:ディスカッション型演習の種類:セミナー

セミナー
当局、戦略、計画、方針、手順、プロトコル、リソース、概念、およびアイデアについて参加者に説明する、または概要を提供するディスカッションベースの演習。 
要素  考察と活動 
目的  •        共通の理解の枠組みを提供する
•        既存の計画、方針、または手順を開発または大きく変更するための良い出発点を提供する。
構造  •        通常、複数のプレゼンテーション、主題専門家(SME)パネル、またはケーススタディ・ディスカッションの形式で行われる。
•        講義形式
•        セミナーのファシリテーター/プレゼンターが主導する
•        参加者からのフィードバックやインタラクションが少ない 
参加者の目標  •         省庁間の能力または管轄区域間の業務に対する認識を得る、または評価する。
•        将来の能力に関する目標を設定する
実施上の特徴  •        最小限の時間的制約
•        少人数でも大人数でも効果的
成果  •         議論、提起された問題、および(適切な場合)これらの問題に対処するためのアクションアイテムを記録した報告書
•        アフターアクションレポート(AAR)/改善計画(IP) 

 

表2.4:ディスカッション型演習の種類:ワークショップ

ワークショップ
政策、計画、手順の策定によく用いられる議論ベースの演習。 
要素  考察と活動 
目的  •        製品の実現や構築にフォーカスした参加者同士の交流の活発化
•        目的、製品、または目標が明確に定義され、特定の問題に焦点を当てたものであること
構造  •        ディスカッションができる場での個人の集まり
•        講義、プレゼンテーション、パネルディスカッション、ケーススタディーディディスカッション、または意思決定支援ツール ワーキングブレイクアウトセッションのファシリテーション ワークショップのファシリテーター/プレゼンターがリードする 
参加者の目標  •        グループでの製品開発
•        コンセンサスを得る
•        情報の収集または共有 
実施上の特徴  •        少人数でも大人数でも効果的
•        関連するステークホルダーが幅広く参加
•        明確な目的・目標に基づく実施
•        講義形式ではなく、参加者同士のディスカッション形式
•        同じようなグループと課題の一部を探索するために、頻繁にブレイクアウトセッションを利用する 
成果  •        緊急時対応計画
•        相互援助協定
•        標準作業手順書
•         事業継続計画
•        ワークショップ概要報告
•        アフターアクションレポート(AAR)/改善計画(IP) 

 

表2.5:ディスカッション型演習のタイプ:机上演習

机上演習 Tabletop Exdercise (TTX)
概念的な理解を促進し、長所と改善点を明らかにし、計画、政策、または手続きに関する認識の変化を達成するために、さまざまな問題について対話を行うことを目的とした、シナリオに応じたディスカッションベースの演習である。 
要素  考察と活動 
目的  •        演習シナリオに関する様々な課題についての議論を行う
•        概念的な理解を促進し、強みと改善点を明らかにする、または認識の変化を達成する
構造  •        シナリオを提示し、模擬的な時間における事象を説明する
•        プレイヤーは、ファシリテーターから提示された問題のリストに自分の知識とスキルを適用する
•         問題点をグループで話し合い、解決に至り、後の分析のために文書化することができる
•        全体会議または分科会(複数可)
•        ファシリテーター(複数)によるディスカッション
•        プレゼンテーション 
参加者の目標  •        一般的な認知度の向上
•        役割と責任の理解を深める
•        計画や手順の妥当性確認
•        定義されたインシデントにおけるシステムの種類を評価し、コンセプトを議論する 
実施上の特徴  •        経験豊富なファシリテーターが必要
•        徹底討論
•        問題解決型の環境
•        参加者全員が議論に貢献するよう奨励し、無過失責任な環境で意思決定していることを再認識させる必要がある 
成果  •        現行の計画、方針、手順の改訂を推奨する。
•        アフターアクションレポート(AAR)/改善計画(IP) 

 

表2.6:ディスカッション型演習の種類:ゲーム

ゲーム
個人またはチーム向けに設計された、競技または非競争環境での構造化されたプレイであり、議論に基づいたエクササイズ。プレーヤーが参加するイベントであり、その実行には明確なルール、データ、手順が指導される。ゲームは、実際の状況または仮想の状況を描写し、参加者がもっともらしい意思決定と行動を確実に行えるように設計されている。ゲームは、トレーニングの強化、チームビルディングの活性化、作戦・戦術能力の向上などに利用することができる。 
要素  考察と活動 
目的  •        プレイヤーの意思決定や行動の帰結を探る操作シミュレーション
•        重要な意思決定ポイントの特定は、ゲーム評価の成功に大きく影響する 
構造  •        通常、2つ以上のチームが参加できる環境において、実際の状況または仮想の状況を想定したルール、データ、手順を使用する
•         意思決定は、演習のデザインと目的によって、ゆっくりじっくり行うことも、素早くストレスのかかることを行うこともできます
•        ゲームのオープンで意思決定に基づく形式は、エクササイズの効果を拡大する「もしも」の質問を取り入れることができる
•        ゲームのデザインによって、プレイヤーの行動の結果は、事前に記述される場合と動的に決定される場合がある 
参加者の目標  •        意思決定のプロセスと結果を探る
•        既存プランの「what-if」分析の実施
•        既存および潜在的な戦略を評価する 
実施上の特徴  •        実際に使用するリソースはない
•        多くの場合、2つ以上のチームが参加する
•        ゲームの進行に応じて複雑化するモデルやシミュレーションが含まれる場合がある
•        あらかじめ用意されたアクティビティが含まれる場合と含まれない場合がある 
成果  •        計画、方針、手順の妥当性確認、またはリソース要件の評価
•        アフターアクションレポート(AAR)/改善計画(IP) 

 

 

 

2. ディスカッションベースの演習

オペレーションベースの演習には、ドリル、機能演習(FE)、および総合演習(FSE)が含まれる。これらの演習は、計画、方針、手順、および合意を検証し、役割と責任を明確にし、リソースのギャップを特定するものである。運用に基づく演習は、通信の開始、人員及び資源の動員などのリアルタイムの応答を含む。次の表(表2.7、表2.8、表2.9)は、それぞれのタイプのオペレーションベースの演習のための重要な情報を提供する。

 

表2.7:オペレーションベースの演習の種類:ドリル

ドリル
オペレーションに基づく演習で、単一のオペレーションまたは機能を検証するためによく採用される。 
要素  考察と活動 
目的  •         単一の機関/組織における特定の機能または能力を検証するため調整され、監督された活動で、多くの場合、単一の操作または機能を検証するために使用される
•        新しい機器のトレーニング、手順の検証、または現在のスキルの練習と維持の提供 
構造  •        単体でも、連続したドリルとしても使用可能
•        明確に定義された計画、手順、プロトコルを実施する必要がある 
参加者の目標  •        新しい手順、方針、および/または機器を評価する
•         スキルの練習と維持
•        今後の演習に備える
実施上の特徴  •        即時フィードバック
•        リアルな環境
•        ナローフォーカス
•        単体での性能
•        結果は、確立された基準に照らして測定される 
成果  •        計画が設計通りに実行されるかどうかを判断する
•        さらなるトレーニングが必要かどうかを評価する
•        ベストプラクティスの強化
•        アフターアクションレポート(AAR)/改善計画(IP) 

 

表2.8:オペレーションベースの演習の種類。機能演習

機能演習Function Exercise(FE)
オペレーションベースの演習は、現実的なリアルタイムの環境下で、能力や機能をテストし評価するように設計されているが、リソースの移動は通常シミュレートされる。 
要素  考察と活動 
目的  •        能力、複数の機能及び/又は下位機能、又は相互依存のある活動群を検証し評価する。
•        管理、指揮、統制の機能に関わる計画、方針、手順、スタッフについて演習する。
•        危機的状況下で、確立されたプラン、ポリシー、手順を適用する 
構造  •        現実的な演習シナリオでイベントが投影され、イベントの更新により、通常、管理者レベルでの活動が促進される
•        コントローラは通常、マスターシナリオイベントリスト(MSEL)を使用して、参加者の活動が事前に定義された境界線内に収まるようにする
•        評価者は行動を観察し、確立された計画、方針、手順、標準的な実践(該当する場合)に照らして比較する。
参加者の目標  •        能力の検証・評価
•        計画、方針、手続きに重点を置く
実施上の特徴  •        現実的な環境で実施
•        通常、リソースと人員の配置をシミュレートしている
•        シミュレーションセルとマスターシナリオイベントリスト(MSEL)の活用
•        シミュレーターはシナリオの要素を注入することができる
•        コントローラーと評価者を含む 
成果  •        緊急時対応センター(EOC)、指揮所、本部、スタッフの管理評価
•        パフォーマンス分析
•        協力関係の強化
•        アフターアクションレポート(AAR)/改善計画(IP) 

 

表2.9:オペレーションベースの演習の種類:総合演習

総合演習 Full-Scale Exercise (FSE)
演習の種類の中で最も複雑で資源を必要とし、多くの場合、複数の機関、管轄区域/組織、および資源のリアルタイムの移動を伴うオペレーションベースの演習である。 
要素  考察と活動 
目的  •        ICS(インシデント・コマンド・システム)のような協力体制のもとで活動する多くのプレーヤーを含むことが多い
•        ディスカッション形式の演習で作成され、以前の小規模な演習で磨かれた計画、方針、手順の実施と分析に重点を置いている。
構造  •        イベントは演習シナリオを通して投影され、イベントのアップデートによりオペレーションレベルでの活動が促進される
•        複数の機関、組織、管轄区域が関与していること
•        MSELの使用は、プレイヤーの行動を促進する
•        SimCellコントローラは、シナリオ要素を注入する
•        他のタイプのエクササイズに比べ、必要なサポートのレベルが高い可能性がある
•        複雑な問題を提示し、実際の事件を反映させたリアルな環境で実施
参加者の目標  •        計画や手順で示された役割と責任を実証する
•        複数の機関、組織、管轄区域の間の調整 
実施上の特徴  •        迅速な問題解決、クリティカルシンキング
•        人材とリソースの動員
•        運動場は通常、多くの活動が同時に行われる大規模なものである
•        サイトロジスティクスの綿密なモニタリングが必要
•        特に小道具や特殊効果の使用に関する安全性の問題を監視する必要がある
•        計画や手順で示された役割と責任を実証する 
成果  •        計画、方針、手順の妥当性確認
•        リソース要求の評価
•        アフターアクションレポート(AAR)/改善計画(IP) 

 

 

| | Comments (0)

JIS X 9252:2023 情報技術―オンラインにおけるプライバシーに関する通知及び同意

こんにちは、丸山満彦です。

「JIS X 9252:2023 情報技術―オンラインにおけるプライバシーに関する通知及び同意」が公開されていますね。。。

国際標準である"ISO/IEC 29184:2020 Information technology — Online privacy notices and consent" を日本規格にしたものですね。。。3,630円です(^^)

日本規格グループ

・2023.01.20 JIS X 9252:2023 情報技術―オンラインにおけるプライバシーに関する通知及び同意 Information technology -- Online privacy notices and consent

規格概要:PIIの収集及び処理について,オンラインにおけるプライバシーに関する通知の内容及び構成並びにPII主体に同意を求めるプロセスを方向付ける管理策について規定。

・[PDF] プレビュー(最初の5ページ)

20230122-04743

 

目次...

序文
1 適用範囲
2 引用規格
3 用語及び定義。
4 記号及び路語
5 一般要求事項及び推奨事項
 5.1 全体的な目的
 5.2 通知
 5.3 通知内容
 5.4 同意
 5.5 条件の変更
附属書A(参考)PC 及びスマートフォンから PIT 主体の同意を得る場合のユーザーインターフェースの例
附属書B(参考)同意領収書又は同意記録書の例
参考文献
解説

 

ISO

・2020.06 ISO/IEC 29184:2020 Information technology — Online privacy notices and consent

Preview

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.10.18 日本産業標準調査会 意見募集 「JISQ15001 個人情報保護マネジメントシステム-要求事項」と「JISX9252 情報技術-オンラインにおけるプライバシーに関する通知及び同意」

・2022.07.09 総務省 プラットフォームサービスに関する研究会 第二次とりまとめ(案)についての意見募集 (2022.07.04)

・2020.07.16 JIPDEC ”プライバシーに関する国際標準化動向及びEDPBガイドライン”

 

崎村さんのブログ

@_Nat Zone

・2022.10.19 JIS X 9252 『オンラインにおけるプライバシーに関する通知及び同意』に関する意見受付公告が開始されました

 

| | Comments (0)

2023.01.21

米国 NIST サイバーセキュリティフレームワークの改訂の方向性(CSF2.0に向けて...)

こんにちは、丸山満彦です。

NISTのサイバーセキュリティフレームワーク (CSF) は重要インフラ組織における外部脅威への対応という面から見ると網羅性が高いこともあって、2014年2月に公開されてから、重要インフラではない民間企業も含めて広く利用されているところがありますよね。。。

現在は、2018年4月に発行された Ver1.1ですが、それを2024年初めを目標にVer2.0にあげようということですね。。。

変更のポイント

  1. 潜在的用途を明確にする
  2. 既存の標準やリソースとの関連性を提供
  3. ガイダンスの拡張
  4. ガバナンスの重要性の強調
  5. サプライチェーンの重要性の強調
  6. サイバーセキュリティの測定と評価に関する理解の促進

という感じですね。。。

NIST - ITL

・2023.01.19 Concept Paper Released | Comment on Proposed Significant Updates to the CSF & Register for In-Person Event

 

コンセプトペーパーは、今後開催される2つのイベントで議論される予定のようです・・・

1. CSF2.0への旅 ワークショップ#2 (バーチャル) :2023.02.15 登録と詳細

2. CSF2.0への旅 ワーキングショップ (オンサイト) :2023.02.22 (9:00 AM - 1:00 PM EST) , 2023.02.23 (1:00 - 5:00 PM EST), NIST National Cybersecurity Center of Excellence in Rockville, MD. 参加者は、ワーキングセッションでNISTスタッフや専門家とコンセプトペーパーについて話し合うので、申し込みは1つのセッションにのみ。参加人数は非常に限られている。登録

 

・[PDF]  NIST Cybersecurity Framework 2.0 Concept Paper: Potential Significant Updates to the Cybersecurity Framework

20230121-32350

・[DOCX] 仮訳

 

 

Introduction はじめに
Potential Significant Changes in CSF 2.0 CSF2.0における潜在的な重要性のある変更点
1. CSF 2.0 will explicitly recognize the CSF’s broad use to clarify its potential applications 1. CSF2.0では、CSFの幅広い用途を明示的に認識し、その潜在的な用途を明確にする
1.1. Change the CSF’s title and text to reflect its intended use by all organizations 1.1. CSFのタイトルとテキストを変更し、すべての組織が使用することを意図していることを反映させる
1.2. Scope the CSF to ensure it benefits organizations regardless of sector, type, or size 1.2. セクター、タイプ、または規模に関係なく、CSFが組織に利益をもたらすように範囲を設定する。
1.3. Increase international collaboration and engagement 1.3. 国際的なコラボレーションとエンゲージメントの拡大
2. CSF 2.0 will remain a framework, providing context and connections to existing standards and resources 2. CSF 2.0は、既存の標準やリソースとの関連性を提供し、フレームワークとして存続する。
2.1. Retain CSF’s current level of detail 2.1. CSFの現在の詳細レベルを維持する
2.2. Relate the CSF clearly to other NIST frameworks 2.2. CSF と他の NIST フレームワークとの明確な関連性
2.3. Leverage Cybersecurity and Privacy Reference Tool for online CSF 2.0 Core 2.3. サイバーセキュリティとプライバシーのリファレンスツールをCSF2.0コアにオンラインで活用する。
2.4. Use updatable, online Informative References 2.4. 更新可能なオンライン参考文献を使用する
2.5. Use Informative References to provide more guidance to implement the CSF 2.5. CSFを実施するための詳しいガイダンスを提供するために「参考文献」を使用する。
2.6. Remain technology- and vendor-neutral, but reflect changes in cybersecurity practices 2.6. 技術やベンダーの中立性を保ちつつ、サイバーセキュリティの実践の変化を反映させる。
3. CSF 2.0 (and companion resources) will include updated and expanded guidance on Framework implementation 3. CSF2.0(および関連リソース)には、フレームワークの実施に関する更新および拡張されたガイダンスが含まれる。
3.1. Add implementation examples for CSF Subcategories 3.1. CSFサブカテゴリの実装例追加
3.2. Develop a CSF Profile template 3.2. CSFプロファイルのテンプレートの作成
3.3. Improve the CSF website to highlight implementation resources 3.3. CSFウェブサイトを改善し、導入リソースを強調する
4. CSF 2.0 will emphasize the importance of cybersecurity governance 4. CSF2.0では、サイバーセキュリティガバナンスの重要性が強調される。
4.1. Add a new Govern Function 4.1. 新しいガバメント機能の追加
4.2. Improve discussion of relationship to risk management 4.2. リスクマネジメントとの関連性についての議論の改善
5. CSF 2.0 will emphasize the importance of cybersecurity supply chain risk management (C-SCRM) 5. CSF2.0では、サイバーセキュリティ・サプライチェーン・リスク管理(C-SCRM)の重要性が強調される。
5.1. Expand coverage of supply chain 5.1. サプライチェーンへの適用範囲拡大
6. CSF 2.0 will advance understanding of cybersecurity measurement and assessment 6. CSF 2.0は、サイバーセキュリティの測定と評価に関する理解を促進する。
6.1. Clarify how leveraging the CSF can support the measurement and assessment of cybersecurity programs 6.1. CSF を活用することで、サイバーセキュリティプログラムの測定と評価をどのように支援できるかを明確にする。
6.2. Provide examples of measurement and assessment using the CSF 6.2. CSFを用いた測定・評価の例を示す。
6.3. Update the NIST Performance Measurement Guide for Information Security 6.3. 情報セキュリティのためのNISTパフォーマンス測定ガイドの更新
6.4. Provide additional guidance on Framework Implementation Tiers 6.4. フレームワーク実施段階に関する追加ガイダンスを提供する

 

■ 参考

Updating the NIST Cybersecurity Framework – Journey To CSF 2.0

 

連邦通達

Federal Register

・2022.02.22 Evaluating and Improving NIST Cybersecurity Resources: The Cybersecurity Framework and Cybersecurity Supply Chain Risk Management

 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.10.07 米国 NIST 国際的活動に関する最新情報:CSF2.0アップデートワークショップなど (2022.09.30)

 

| | Comments (0)

2023.01.20

EDPB 公共部門によるクラウドサービス利用のためのプライバシーに関する勧告を決定、クッキー バナータスクフォースの報告書を採択

こんにちは、丸山満彦です。

EDPBが、

  1. 公共部門によるクラウドサービス利用のためのプライバシーに関する勧告を決定し、
  2. クッキー バナータスクフォースの報告書 (2021.09.27) を採択

していますね。。。

 

EDPB

・2022.01.18 EDPB determines privacy recommendations for use of cloud services by public sector & adopts report on Cookie Banner Task Force

EDPB determines privacy recommendations for use of cloud services by public sector & adopts report on Cookie Banner Task Force EDPB、公共部門によるクラウドサービス利用のためのプライバシーに関する勧告を決定、クッキー バナータスクフォースの報告書を採択
Brussels, 18 January - Commissioner for Justice Didier Reynders participated in the Plenary meeting. He presented the draft adequacy decision for the EU-U.S. Data Privacy Framework to the Board and had an exchange of views with its Members. The Board is currently working on its opinion on the draft decision, which will be finalised in the coming weeks. ブリュッセル、1月18日 - ディディエ・レインダース欧州委員会司法担当委員は、全体会合に参加した。 同委員は、EU-米国データ・プライバシー・フレームワークの妥当性決定案を理事会に提出し、理事会メンバーとの意見交換を行った。理事会は現在、決定書案に対する意見書を作成中であり、今後数週間のうちに最終決定がなされる予定である。
The EDPB has adopted a report on the findings of its first coordinated enforcement action, which focused on the use of cloud-based services by the public sector. The EDPB underlines the need for public bodies to act in full compliance with the GDPR and includes recommendations for public sector organisations when using cloud-based products or services. In addition, a list of actions already taken by data protection authorities (DPAs) in the field of cloud computing is made available.  EDPBは、公共部門によるクラウドベースのサービスの利用に焦点を当てた、最初の協調的執行措置の結果に関する報告書を採択した。EDPBは、公共機関がGDPRを完全に遵守して行動する必要性を強調し、公共機関がクラウドベースの製品またはサービスを使用する際の推奨事項を含んでいる。さらに、クラウドコンピューティングの分野でデータ保護当局(DPA)がすでに取っている措置のリストが公開されている。 
Andrea Jelinek, Chair of the European Data Protection Board said: “The Coordinated Enforcement Framework (CEF) pilots deeper collaboration methods between DPAs to achieve better efficiency and consistency. Across Europe, public sector organisations are turning to cloud services and they face difficulties in obtaining GDPR-compliant services and products. Personal data handled by public services must be treated with utmost care, especially when processed by a third party. The EDPB CEF 2022 report provides a useful yardstick for this and I trust it will become an important point of reference for public bodies looking at sourcing GDPR-compliant cloud services.” 欧州データ保護委員会のAndrea Jelinek委員長は、次のように述べてた。「調整された執行フレームワーク(CEF)は、より良い効率性と一貫性を実現するために、DPA間のより深い協力方法を試験的に導入するものである。欧州全域で、公共機関はクラウドサービスを利用するようになっており、GDPRに準拠したサービスや製品を入手することの難しさに直面している。公共サービスが扱う個人データは、特に第三者によって処理される場合、最大限の注意を払って扱われなければなりません。EDPB CEF 2022レポートはそのための有用な基準を提供しており、GDPRに準拠したクラウドサービスの調達を検討している公共機関にとって重要な参考資料となることを信じている。」
In the course of 2022, 22 DPAs across the EEA (including the EDPS)* launched coordinated investigations into the use of cloud-based services by the public sector. 2022年の間に、EEAの22のDPA(EDPSを含む)*が、公共部門によるクラウドベースのサービス利用について協調的な調査を開始した。
Around 100 public bodies in total were addressed across the EEA, including European institutions, covering a wide range of sectors (such as health, finance, tax, education, buyers and providers of IT services). 欧州機関を含むEEA全域で、幅広い分野(医療、金融、税務、教育、ITサービスの買い手やプロバイダなど)を対象に、合計約100の公共機関が対象となった。
The CEF is a key action of the EDPB under its 2021-2023 Strategy, aimed at streamlining enforcement and cooperation among SAs. The CEF 2023 action will be on the designation and role of the Data Protection Officer (DPO). CEFは、EDPBの2021-2023年戦略における重要なアクションであり、執行とSA間の協力の合理化を目的としている。CEFの2023年のアクションは、データ保護責任者(DPO)の指定と役割に関するものである。
In addition, the EDPB adopted a report on the work undertaken by the Cookie Banner Task Force, which was established in September 2021 to coordinate the response to complaints concerning cookie banners filed with several EEA DPAs by NGO NOYB. The Task Force aimed to promote cooperation, information sharing and best practices between the DPAs, which was instrumental in ensuring a consistent approach to cookie banners across the EEA. In the report, the DPAs agreed upon a common denominator in their interpretation of the applicable provisions of the ePrivacy Directive and of the GDPR, on issues such as reject buttons, pre-ticked boxes, banner design, or withdraw icons. さらに、EDPBは、NGO NOYBが複数のEEA DPAに提出したクッキーバナーに関する苦情への対応を調整するために2021年9月に設置されたクッキーバナータスクフォースが行った作業に関する報告書を採択した。タスクフォースは、DPA間の協力、情報共有、ベストプラクティスを促進することを目的としており、EEA全体でクッキーバナーに対する一貫したアプローチを確保するために役立った。報告書では、DPAは、拒否ボタン、事前選択ボックス、バナーデザイン、または撤回アイコンなどの問題に関して、eプライバシー指令およびGDPRの適用規定の解釈における共通分母に合意している。
*Further information on national cloud projects: *各国のクラウドプロジェクトに関する詳細な情報
DE SA: EDSA entscheidet über Cookie-Banner und Cloud-Dienste DE SA: EDSAは、クッキーバナーやクラウドサービスに関する情報を提供している。
NL SA: Privacytoezichthouders wijzen overheden op vereisten bij gebruik clouddiensten NL SA: プライバシー保護団体は、クラウドサービス利用時のプライバシー保護に努める。

 

・[PDF] 2022 Coordinated Enforcement Action - use of cloud-based services by the public sector

20230120-24913

エグゼクティブサマリー...

EXECUTIVE SUMMARY  エグゼクティブサマリー
In October 2020, the European Data Protection Board (EDPB) decided to set up a Coordinated Enforcement Framework (CEF), with a view to streamlining enforcement and cooperation among Supervisory Authorities (SAs), consistently with the EDPB 2021-2023 Strategy.   2020年10月、欧州データ保護理事会(EDPB)は、EDPB 2021-2023年戦略と整合的に、執行と監督官庁(SA)間の協力を合理化する目的で、調整執行枠組み(CEF)を設定することを決定した。 
In October 2021, the EDPB selected “the use of cloud in the public sector” for its 2022 Coordinated Enforcement Action.  2021年10月、EDPBは2022年の協調執行行動として「公共部門におけるクラウドの利用」を選択した。
Throughout 2022, 22 Supervisory Authorities across the EEA launched coordinated investigations into the use of cloud-based services by the public sector. The CEF was implemented at national level in one or several of the following ways: fact-finding exercise; questionnaire to identify if a formal investigation is warranted; commencement of a formal enforcement investigation, or follow-up of ongoing formal investigations.   2022年を通じて、EEAの22の監督機関は、公共部門によるクラウドベースのサービスの利用について協調して調査を開始した。CEFは、事実調査、正式な調査が必要かどうかを確認するためのアンケート、正式な執行調査の開始、進行中の正式な調査のフォローアップのいずれか、または複数の方法で、国レベルで実施された。 
Between November 2021 and January 2023, these SAs have discussed the aims and the means of their actions in the context of the CEF, and decided that a questionnaire would be sent to investigate public bodies. They drafted the questionnaire, then discussed the first results of their investigations, and the way they planned to bring public bodies to compliance through the CEF. Some elements, in particular the corrective measures they could decide at national level, are still under discussion.  2021年11月から2023年1月にかけて、これらのSAは、CEFの文脈でその行動の目的と手段を議論し、調査票を公的機関に送付することを決定した。質問票を作成した後、最初の調査結果や、CEFを通じて公的機関をコンプライアンスに適合させる方法について議論した。いくつかの要素、特に国レベルで決定できる是正措置については、まだ議論中である。
The present joint-report aggregates the findings of all the Supervisory Authorities participating in the CEF. A particular attention is paid to 8 challenges identified by SAs during the CEF action. These include issues at the pre-contractual phase relating to the performance of a Data Protection Impact Assessment (and/or a risk assessment) and the role of the parties. With regard to the contracts with the CSP, the issues of lack of contract and difficulty to negotiate a tailored contract were identified, as well as the public bodies’ knowledge or control over sub-processors. Furthermore, challenges relating to international transfers and access by foreign public authorities are raised. Finally, processing of telemetry data and auditing are discussed.   今回の共同報告書は、CEFに参加したすべての監督官庁の調査結果を集約したものである。特に、CEFの活動中にSAが特定した8つの課題に注目している。これらの課題には、データ保護影響評価(および/またはリスク評価)の実施と当事者の役割に関する契約前の段階での問題が含まれている。CSPとの契約に関しては、契約書の欠如やニーズに合わせた契約交渉の難しさ、また、公共機関がサブプロセッサーを把握・管理しているかどうかという問題が確認された。さらに、国際的な移転や外国の公的機関によるアクセスに関する課題も挙げられている。最後に、テレメトリーデータの処理と監査について議論している。 
Taking into account the possible sensitive nature and large amounts of data processed by public bodies, it is however essential that the fundamental right to the protection of personal data is guaranteed by all public administrations. The EDPB therefore underlines the need for public bodies to act in full compliance with the GDPR when using cloud-based products or services. In this regard, the report also provides a list of points of attention that stakeholders should take into account when concluding agreements with CSPs:  公共機関によって処理されるデータの機密性と量の多さを考慮すると、個人データ保護の基本的な権利がすべての公共機関によって保証されることが不可欠である。したがって、EDPBは、公共機関がクラウドベースの製品やサービスを利用する際に、GDPRを完全に遵守して行動する必要性を強調している。また、この点に関して、CSPと契約を締結する際に関係者が留意すべき点を挙げている。
•       Carry out a DPIA;  ・DPIAを実施すること。
•       Ensure that the roles of the involved parties are clearly and unequivocally determined;  ・関係者の役割が明確かつ明白に決定されていることを確認すること。
•       Ensure the CSP acts only on behalf of and according to the documented instructions of the public body and identify any possible processing by the CSP as a controller;  ・CSP が公的機関に代わって、かつ公的機関の文書化された指示にのみ従って行動することを確認し、CSP が管理者として行う可能性がある処理を特定すること。
•       Ensure that a meaningful way to object to new sub processors is possible;  ・新しいサブプロセッサーに異議を唱える有意義な方法が可能であることを確認すること。
•       Ensure that the personal data are determined in relation to the purposes for which they are processed;  ・個人データが処理される目的との関連で決定されることを確実にすること。
•       Promote the DPO’s involvement;  ・DPOの関与を促進すること。
•       Cooperate with other public bodies in negotiating with the CSPs;  ・CSPとの交渉において他の公共機関と協力すること。
•       Carry out a review to assess if processing is performed in accordance with the DPIA;  ・DPIAに従って処理が行われているかどうかを評価するためのレビューを実施すること。
•       Ensure that the procurement procedure already envisages all the necessary requirements to achieve compliance with the GDPR;  ・調達手順が、GDPRの遵守を達成するために必要なすべての要件をすでに想定していることを確認すること。
•       Identify which transfers may take place in the context of routine services provision, and in case of processing of personal data for the CSPs’ own business purposes (see related point) and ensure Chapter V provisions of the GDPR are met, also by identifying and adopting supplementary measures when necessary;  ・通常のサービス提供の文脈で、およびCSP自身の事業目的のために個人データを処理する場合に、どのような移転が行われるかを特定し(関連点を参照)、GDPRの第5章の規定が満たされるようにし、必要に応じて補足措置を特定および採用することも行う。
•       Analyse if a legislation of a third country would apply to the CSP and would lead to the possibility to address access requests to data stored by the CSP in the EU;  ・第三国の法律がCSPに適用され、CSPがEU内で保管するデータへのアクセス要求に対応する可能性が生じるかどうかを分析する。
•       Examine closely and if necessary renegotiate the contract;  ・契約を精査し、必要であれば再交渉する。
•       Verify the conditions under which the public body is allowed for and can contribute to audits and ensure that they are in place.  ・公的機関が監査に貢献できる条件を確認し、その条件を満たしていることを確認する。
The action undertaken by SAs in the CEF are still ongoing at national level, especially when formal investigations were launched. Accordingly, this document does not constitute a definitive statement of the actions carried out within the CEF as the purpose of this report is not to conclude on the measures to be adopted but to reflect on the actions undertaken by competent SAs and identify the possible points of attention. It may need to be updated in the course of 2023 to take into account the progress of the procedures which have not yet been completed to date and given the issues identified, further complementary work on general recommendations to public actors concerning the use of cloud service providers could be foreseen.  CEFのSAが行った行動は、特に正式な調査が開始された場合、国レベルではまだ進行中である。したがって、この報告書の目的は、採用すべき措置について結論を出すことではなく、管轄のSAによって行われた措置を振り返り、考えられる注意点を特定することであるため、この文書はCEF内で行われた措置の決定的な声明ではありません。本報告書は、2023年中に、現在までに完了していない手続きの進捗を考慮し、更新する必要があるかもしれない。また、特定された問題を考慮し、クラウドサービスプロバイダの使用に関する公的機関への一般勧告に関するさらなる補完的な作業も予見され得る。

 

目次...
1 INTRODUCTION 1 序論
2 STATISTICS 2 統計
3  CHALLENGES IDENTIFIED DURING THE CEF ACTION 3 CEFの活動で明らかになった課題
3.1  Data protection impact assessment (DPIA) 3.1 データ保護影響評価(DPIA)
3.2  Role of the parties 3.2 当事者の役割
3.3  Negotiating tailored contracts between public bodies and cloud service providers 3.3 公共機関とクラウドサービスプロバイダの間で交わされる個別契約の交渉
3.4  Sub-processors 3.4 サブプロセッサー
3.5  International transfers 3.5 国際的な移転
3.6  Risk of access by foreign governments when using non-EU CSPs storing data in the EEA 3.6 EEAにデータを保管するEU域外のCSPを利用する際の外国政府によるアクセスのリスク
3.7  Telemetry/diagnostic information 3.7 テレメトリー/診断情報
3.8 Auditing 3.8 監査
4 ACTIONS TAKEN BY SAS 4 SASがとるべき行動
5 POINTS OF ATTENTION FOR PUBLIC BODIES 5 公的機関の注意点
6 CONCLUSION 6 結論
Annex 1: Definitions 附属書 1: 定義

20230120-25212

 


 

・2021.09.27 EDPB establishes cookie banner taskforce

EDPB establishes cookie banner taskforce EDPBがクッキー・バナーのタスクフォースを設立
During its latest plenary, the EDPB decided to set up a taskforce to coordinate the response to complaints concerning cookie banners filed with several EEA SAs by NOYB. EDPBは最新の総会において、NOYBが複数のEEA SAに提出したクッキーバナーに関する苦情への対応を調整するタスクフォースの設立を決定しました。
This taskforce was established in accordance with Art. 70 (1) (u) GDPR and aims to promote cooperation, information sharing and best practices between the SAs. In particular, the taskforce will: このタスクフォースは、GDP70 (1) (u)に基づいて設立されました。70 (1) (u) GDPRに基づき設立され、SA間の協力、情報共有、ベストプラクティスを促進することを目的としている。特に、タスクフォースは以下を行う。
・exchange views on legal analysis and possible infringements; ・法的分析および違反の可能性について意見交換を行う。
・provide support to activities on the national level; ・国家レベルでの活動に対するプロバイダの支援。
・streamline communication. ・コミュニケーションの効率化

 

・2023.01.18 [PDF] Report of the work undertaken by the Cookie Banner Taskforce

20230120-30356

 

Report of the work undertaken by theCookie Banner Taskforce クッキーバナータスクフォースによる作業報告書
Table of Contents 目次
DISCLAIMER 免責事項
1. APPLICABLE LEGAL FRAMEWORK 1. 適用される法的枠組み
2. APPLICATION OF THE OSS 2. OSSの適用
3. TYPE A PRACTICE – “NO REJECT BUTTON ON THE FIRST LAYER” 3. タイプAの慣行 -「第一階層に拒否ボタンがない」
4. TYPE B PRACTICE – “PRE-TICKED BOXES” 4. タイプBの慣行 - 「あらかじめチェックされたボックス」
5. TYPE C PRACTICE 5. タイプCの慣行
6. TYPE D & E PRACTICES : “DECEPTIVE BUTTON COLOURS” & “DECEPTIVE BUTTON CONTRAST” 6. タイプDとEの慣行:「ボタンの色のごまかしとボタンのコントラストのごまかし」
7. TYPE H PRACTICE: “LEGITIMATE INTEREST CLAIMED, LIST OF PURPOSES” 7. タイプHの慣行:「正当な利益の主張、目的の一覧」
8. TYPE I PRACTICE: “INACCURATELY CLASSIFIED « ESSENTIAL » COOKIES” 8. タイプ Iの慣行:「不正確に分類された「不可欠な」クッキー」
9. TYPE K PRACTICE: “NO WITHDRAW ICON 9. タイプKの慣行:「撤回しないアイコン」
DISCLAIMER 免責事項
The positions presented in this document result from the coordination of the members of the TF with a view to handling the “cookies banner” complaints received from NOYB. They reflect the common denominator agreed by the SAs in their interpretation of the applicable provisions of the ePrivacy Directive, and of the applicable provisions of the GDPR, for the analysis to be led when handling these complaints. These positions reflect a minimum threshold in this multi-layered legal framework to assess the placement/reading of cookies and subsequent processing of the data collected. They do not constitute stand-alone recommendations or findings to obtain a greenlight from a competent authority. The positions do not prejudge the analysis that will have to be made by the authorities of each complaint and each website concerned. These positions have to be combined with the application of additional national requirements stemming from the national laws transposing the ePrivacy Directive in the Member States, as well as to further clarifications and guidance provided by the national competent authorities to enforce the law transposing the ePrivacy Directive at national level, which remain fully applicable. この文書に示された見解は、NOYB から寄せられた「クッキー・バナー」に対する苦情を処理するため の TF メンバーの調整の結果得られたものである。これらの見解は、eプライバシー指令の適用条項およびGDPRの適用条項の解釈において、これらの苦情を処理する際に導くべき分析について、SAが合意した共通項を反映している。これらの見解は、クッキーの配置/読み取りと、それに続く収集データの処理を評価するための、この多層的な法的枠組みにおける最小限の閾値を反映したものである。これらは、所轄官庁からグリーンライトを得るための独立した勧告や調査結果を構成するものではありません。この見解は、各苦情や関係する各ウェブサイトの当局が行わなければならない分析を予見するものではありません。これらの見解は、加盟国におけるeプライバシー指令の国内法から生じる追加的な国内要件の適用、およびeプライバシー指令の国内法への置き換えを実施するために各国の主管庁が提供するさらなる明確化およびガイダンスと組み合わせる必要があり、これらは引き続き完全に適用可能なものとなっている。
Following thirteen meetings of the taskforce members to coordinate their actions in handling the complaints received from NOYB, the following points were noted: NOYBから寄せられた苦情への対応について、タスクフォースメンバーが13回の会合を開き、次のような指摘がなされた。
1.     APPLICABLE LEGAL FRAMEWORK 1. 適用される法的枠組み
1.          Where the complaints concern the placement or reading of cookies the delegations confirmed that the applicable framework is only the national law transposing the ePrivacy Directive to the placement of cookies[1]. 1.          苦情がクッキーの配置または読み取りに関するものである場合、適用される枠組みは、クッキーの配置にeプライバシー指令を適用した国内法のみであることを代表団が確認した[1]。
2.          Concerning the subsequent processing activities undertaken by the controller of data, meaning the processing which takes place after storing or gaining access to information stored in the terminal equipment of a user in accordance with Article 5(3) Directive 2002/58/EC (for example, the placement or reading of cookies), the delegations confirmed that the applicable framework is the GDPR  (including to consent, even if given at the same moment of the placement of cookies, as far as this consent constitutes the legal basis of the subsequent processing), in line with the conclusions of EDPB Opinion 5/2019 on the interplay between the ePrivacy Directive and the GDPR[2]. 2.          データの管理者によって行われるその後の処理活動、すなわち、指令2002/58/EC第5条3項に従ってユーザーの端末機器に保存された情報へのアクセスを取得した後に行われる処理(例えば、クッキーの配置または読み取り)に関して代表団は、eプライバシー指令とGDPRの相互作用に関するEDPB意見書5/2019の結論に沿って、適用される枠組みはGDPR(クッキーの配置と同じ瞬間に与えられたとしても、この同意がその後の処理の法的根拠を構成する限り、同意に対するものも含む)であることを確認した[2]。
3.          In accordance with the ePrivacy framework, it was recalled that certain concepts from the GDPR (e.g. the conditions for valid consent[3] and the right to information) are indispensable to assess whether there is an infringement of the national law transposing the ePrivacy Directive or not. 3.         eプライバシーの枠組みに従って、GDPRからの一定の概念(例えば、有効な同意の条件[3]や情報を得る権利)が、eプライバシー指令を移項した国内法の侵害があるか否かを評価するために不可欠であることが想起された。
2.     APPLICATION OF THE OSS 2. OSS の適用
4.          Delegations recalled that the OSS mechanism does not apply to issues that fall under the ePrivacy Directive. 4.          代表団は、OSS の仕組みが eプライバシー 指令に該当する問題には適用されないことを想起した。
5.          When the GDPR applies, the taskforce members favoured the position that article 4(23)(b) may apply but does not per se apply to complaints against website owners just because you can access the respective website from all Member States. The CSAs will be identified based on the factual elements to conclude on cross-border cases. 5.          GDPRが適用される場合、タスクフォースのメンバーは、4条23項(b)は適用されるかもしれないが、すべての加盟国からそれぞれのウェブサイトにアクセスできるからといって、それ自体がウェブサイト所有者に対する苦情に適用されるわけではないとの立場を支持した。CSAは、クロスボーダーのケースについて結論を出すために、事実上の要素に基づいて特定されることになる。
3.     TYPE A PRACTICE – “NO REJECT BUTTON ON THE FIRST LAYER” 3. タイプAの慣行 -「第一階層に拒否ボタンがない」

6.          It appears that some cookie banners displayed by several controllers contain a button to accept the storage of cookies and a button that allows the data subject to access further options, but without containing a button to reject the cookies. 6.          いくつかの管理者によって表示されるクッキーバナーには、クッキーの保存を承諾するボタンと、データ対象者がさらなるオプションにアクセスするためのボタンが含まれているが、クッキーを拒否するボタンが含まれていないようである。
7.          As a preliminary remark, the task force members recalled that by default, no cookies which require consent can be set without a consent and that consent must be expressed by a positive action on the part of the user. 7.          予備的な発言として、タスクフォースのメンバーは、デフォルトでは、同意が必要なクッキーは同意なしに設定できず、同意はユーザー側の積極的な行動によって表明されなければならないことを想起した。
8.          When authorities were asked whether they would consider that a banner which does not provide for accept and refuse/reject/not consent options on any layer with a consent button is an infringement of the ePrivacy Directive, a vast majority of authorities considered that the absence of refuse/reject/not consent options on any layer with a consent button of the cookie consent banner is not in line with the requirements for a valid consent and thus constitutes an infringement. Few authorities considered that they cannot retain an infringement in this case as article 5(3) of the ePrivacy Directive does not explicitly mentioned a “reject option” to the deposit of cookies. 8.          同意ボタンのある層で承諾と拒否/拒絶/同意しないオプションを提供しないバナーはeプライバシー指令の侵害であると考えるかどうかを当局に尋ねたところ、大多数の当局は、クッキー同意バナーの同意ボタンのある層に拒否/拒絶/同意しないオプションがないことは、有効な同意に対する要求と一致しないため侵害を構成すると考えた。eプライバシー指令の5条3項がクッキーの寄託に「拒否オプション」を明示的に言及していないため、本件の侵害を保持できないと考える当局は少数であった。
4.     TYPE B PRACTICE – “PRE-TICKED BOXES” 4. タイプBの慣行 - 「あらかじめチェックされたボックス」
9.          It appears that several controllers provide users with several options (typically, representing each category of cookies the controller wishes to store) with pre-ticked boxes on the second layer of the cookie banner (after the user clicked on the “Settings” button of the first layer). 9.          いくつかのプロバイダが、クッキーバナーの第二層(ユーザーが第一層の「設定」ボタンをクリックした後)で、いくつかの選択肢(典型的には、コントローラが保存したいクッキーの各カテゴリーを表す)をあらかじめチェックしたボックスでユーザーに提供していると思われる。
10.       The taskforce members confirmed that pre-ticked boxes to opt-in do not lead to valid consent as referred to either in the GDPR (see in particular recital 32 “Silence, pre-ticked boxes or inactivity should not therefore constitute consent.”) or in Article 5(3) of the ePrivacy Directive. 10.       タスクフォースのメンバーは、オプトインのための事前選択ボックスは、GDPR(特に説明32「沈黙、事前選択ボックス、非アクティブは、したがって、同意を構成してはならない」を参照)またはeプライバシー指令の第5条(3)で言及されている有効な同意につながらないことを確認した。
5.     TYPE C PRACTICE 5. タイプCの慣行
11.       Deceptive “Link Design”It appears that some cookie banners displayed by several controllers contain a link, not a button, as an option to reject the deposit of cookies (direct link to reject or link to a second layer where a user can reject the deposit of cookies). 11.       欺瞞的な「リンクデザイン」複数の管理者によって表示される一部のクッキーバナーには、クッキーの預託を拒否するオプションとして、ボタンではなくリンク(拒否への直接リンクまたはユーザーがクッキーの預託を拒否できる第二層へのリンク)が含まれていると思われる。
12.       The taskforce members agreed that in any case, there should be a clear indication on what the banner is about, on the purpose of the consent being sought and on how to consent to cookies. 12.       タスクフォースのメンバーは、いかなる場合でも、バナーの内容、同意を求める目的、およびクッキーに同意する方法について、明確な表示を行うべきであることに同意した。
13.       The members agreed that for the consent to be valid, the user should be able to understand what they consent to and how to do so. In order for a valid consent to be freely given, the taskforce members agreed that in any case a website owner must not design cookie banners in a way that gives users the impression that they have to give a consent to access the website content, nor that clearly pushes the user to give consent (one way could be on the contrary to allow the continuation of the navigation without cookies from the first level in particular for example). 13.       同意が有効であるためには、ユーザーが何にどのように同意するのかを理解できるようにする必要があることに同意した。有効な同意が自由に与えられるために、タスクフォースのメンバーは、いかなる場合でも、ウェブサイトの所有者は、ウェブサイトのコンテンツにアクセスするために同意を与えなければならないような印象をユーザーに与えたり、同意を与えることを明確に押し付けるような方法でクッキーバナーを設計してはならないことに同意した(例えば、特に最初のレベルからクッキーなしでナビゲーションを継続できるようにすることも、その方法の一つと考えられる)。
14.       The taskforce members agreed that the following examples do not lead to valid consents (nonexhaustive list): 14.       タスクフォースのメンバーは、以下の例は有効な同意につながらないということで合意した(非網羅的なリスト)。
-       the only alternative action offered (other than granting consent) consists of a link behind wording such as ‘refuse’ or ‘continue without accepting’ embedded in a paragraph of text in the cookie banner, in the absence of sufficient visual support to draw an average user’s attention to this alternative action; ・提供される唯一の代替行為(同意の付与以外)が、平均的なユーザーの注意をこの代替行為に向ける十分な視覚的サポートがないまま、クッキーバナーのテキストの段落に埋め込まれた「拒否」または「受け入れずに続ける」といった文言の後ろのリンクで構成されている場合。
-       the only alternative action offered (other than granting consent) consists of a link behind wording such as ‘refuse’ or ‘continue without accepting’ placed outside the cookie banner where the buttons to accept cookies are presented, in the absence of sufficient visual support to draw the users’ attention to this alternative action outside the frame; ・提供される唯一の代替行為(同意の付与以外)が、クッキーを受け入れるボタンが表示されるクッキーバナーの外側に配置された「拒否」または「受け入れずに続ける」などの文言の背後にあるリンクで構成されており、フレームの外側のこの代替行為にユーザーの注意を引くための十分な視覚的サポートがない場合。
6. TYPE D & E PRACTICES : “DECEPTIVE BUTTON COLOURS” & “DECEPTIVE BUTTON CONTRAST” 6. タイプDとEの慣行:「ボタンの色のごまかしとボタンのコントラストのごまかし」
15.       It appears that the configuration of some cookie banners in terms of colours and contrasts of the buttons (“contrast ratio between the accept button and the background” – type D practice) could lead to a clear highlight of the “accept all” button over the available options. 15.       ボタンの色とコントラストに関するいくつかのクッキーバナーの構成(「承諾ボタンと背景のコントラスト比」-タイプDの慣行)は、利用可能な選択肢の中で「すべて承諾」ボタンを明確に強調することにつながる可能性があるようである。
16.       The taskforce members agreed to examine type D and E practices together as the issues are linked and raise similar points of discussion. 16.       タスクフォースメンバーは、タイプ D とタイプ E の慣行は、問題が関連しており、同様の論点を提起しているため、一緒に検討することに合意した。
17.       The taskforce members agreed that a general banner standard concerning colour and/or contrast cannot be imposed on data controllers. In order to assess the conformity of a banner, a case-by-case verification must be carried out in order to check that the contrast and colours used are not obviously misleading for the users and do not result in an unintended and, as such, invalid consent from them. As a result, it was also agreed that a case-by-case analysis would be necessary to address specific cases, although some examples of features manifestly contrary to the ePrivacy Directive provisions have been identified. 17.       タスクフォースメンバーは、色やコントラストに関する一般的なバナー標準をデータ管理者に課すことはできないことに合意した。バナーの適合性を評価するためには、使用されているコントラストと色が明らかに利用者を誤解させるものではなく、意図しない、つまり利用者の無効な同意につながらないことを確認するために、ケースバイケースで検証を行う必要がある。その結果、eプライバシー指令の規定に明らかに反する機能の例がいくつか確認されたが、特定のケースに対応するためには、ケースバイケースの分析が必要であることも合意された。
18.       Based on concrete examples, the taskforce members took the view that at least this practice could be  manifestly misleading for users: 18.       具体的な事例に基づいて、タスクフォースのメンバーは、少なくともこのような慣行は、利用者を明らかに誤解させる可能性があるという見解を示した。
- an alternative action is offered (other than granting consent) in the form of a button where the contrast between the text and the button background is so minimal that the text is unreadable to virtually any user. - テキストとボタンの背景のコントラストが最小限のため、事実上すべてのユーザーがテキストを読むことができないボタンの形で、(同意の付与以外の)代替アクションが提供されている場合。
19.       While the design choices above are considered problematic, the taskforce members reiterated that each specific cookie banner needs to be assessed on a case-by-case basis. 19.       上記のようなデザインの選択は問題であると考えられているが、タスクフォースのメンバーは、特定のクッキーバナーはケースバイケースで評価される必要があることを再確認している。
7.     TYPE H PRACTICE: “LEGITIMATE INTEREST CLAIMED, LIST OF PURPOSES” 7. タイプHの慣行:「正当な利益の主張、目的の一覧」
20.       It appears that some controllers put in place a banner which highlights the possibility of accepting the read/write operation at the first level (of the banner) but does not include an option to refuse at this level, which can lead the average user to believe that he has no possibility of objection to the deposit of cookies at all, and, incidentally, to the subsequent processing that results from them. 20.       一部の管理者は、(バナーの)最初のレベルで読み取り/書き込み操作を受け入れる可能性を強調するバナーを設置しているようであるが、このレベルで拒否するオプションを含んでいないため、一般ユーザーは、クッキーの預託と、ついでにその結果生じるその後の処理に対して異議を唱える可能性が全くないと考える可能性がある。
21.       In addition, at the second level (of the banner), a distinction is made between the refusal given to read/write operations and the potential objection to further processing presented as falling within the legitimate interest of the data controller. 21.       さらに、(バナーの)第二のレベルでは、読み取り/書き込み操作に与えられる拒否と、情報管理者の正当な利益の範囲内にあるものとして提示されるさらなる処理に対する拒否の可能性とが区別されます。
22.       In those cases, it appears that:  22.      それらの場合、以下のように思われる。
-       The controller relied on legitimate interests under article 6(1)(f) GDPR for different processing activities as, for example, “Create a personalised content profile” or “Select personalised ads” whereas it could be considered that no overriding legitimate interest would exist for such processing activities. ・管理者は、例えば「パーソナライズされたコンテンツプロファイルの作成」または「パーソナライズされた広告の選択」のような異なる処理活動に対して、GDPR第6条第1項(f)に基づく正当な利益に依拠したが、そのような処理活動には優先する正当な利益が存在しないと考えられる。
-       The integration of this notion of legitimate interest for the subsequent processing “in the deeper layers of the banner” could be considered as confusing for users who might think they have to refuse twice in order not to have their personal data processed. ・この正当な利益の概念を「バナーのより深い層」の後続処理に統合することは、個人データを処理させないために二度拒否しなければならないと考えるユーザーにとって、混乱を招くと考えられる。
23.       The taskforce members agreed that whether the subsequent processing based on cookies is lawful requires to determine if: 23.       タスクフォースのメンバーは、クッキーに基づく後続の処理が適法であるかどうかは、以下の点を判断する必要があることに合意した。
-       the storage/gaining of access to information through cookies or similar technologies is done in compliance with Article 5(3) ePrivacy directive (and the national implementing rules). ・クッキーまたは類似の技術による情報の保存/アクセス取得が、eプライバシー指令(および国内実施規則)第5条3項を遵守して行われるかどうか。
-       any subsequent processing is done in compliance with the GDPR. ・その後の処理がGDPRに準拠して行われているかどうか。
24.       In this regard, the taskforce members took the view that non-compliance found concerning Art. 5 (3) in the ePrivacy directive (in particular when no valid consent is obtained where required), means that the subsequent processing cannot be compliant with the GDPR[4]. Also, the TF members confirmed that the legal basis for the placement/reading of cookies pursuant to Article 5 (3) cannot be the legitimate interests of the controller. 24.       この点に関して、タスクフォースのメンバーは、eプライバシー指令の第5条3項に関して発見された非遵守が、GDPRに適合しているとの見解を示した。この点に関して、タスクフォースのメンバーは、eプライバシー指令の第5条(3)に関してコンプライアンス違反が見つかった場合(特に、必要な場合に有効な同意が得られない場合)、その後の処理がGDPR[4]に準拠することができないことを意味するとの見解を示した。また、TFメンバーは、第5条(3)に基づくクッキーの配置/読み込みの法的根拠は、管理者の正当な利益ではありえないことを確認している。
25.       The TF members agreed to resume discussions on this type of practice should they encounter concrete cases where further discussion would be necessary to ensure a consistent approach. 25.       TFメンバーは、一貫したアプローチを確保するためにさらなる議論が必要となる具体的なケースに遭遇した場合、この種の実務に関する議論を再開することに合意した。
8.     TYPE I PRACTICE: “INACCURATELY CLASSIFIED « ESSENTIAL » COOKIES” 8. タイプ Iの慣行:「不正確に分類された「不可欠な」クッキー」
26.       It appears that some controllers classify as “essential” or “strictly necessary” cookies and processing operations which use personal data and serve purposes which would not be considered as “strictly necessary” within the meaning of Article 5(3) ePrivacy Directive or the ordinary meaning of “strictly necessary” or “essential” under the GDPR. 26.       一部の管理者は、eプライバシー指令第5条3項の意味またはGDPRの「厳密に必要」もしくは「不可欠」の通常の意味において「厳密に必要」とみなされない個人データを使用し、目的を果たすクッキーおよび処理操作を「不可欠」または「厳密に必要」と分類しているようである。
27.       Taskforce members agreed that the assessment of cookies to determine which ones are essential raises practical difficulties, in particular due to the fact that the features of cookies change regularly, which prevents the establishment of a stable and reliable list of such essential cookies. 27.       タスクフォースのメンバーは、どのクッキーが必須であるかを決定するためのクッキーの評価は、特にクッキーの機能が定期的に変化し、そのような必須クッキーの安定した信頼できるリストの確立を妨げるという事実のために、実用上の困難をもたらすということに同意した。
28.       The existence of tools to establish the list of cookies used by a website has been discussed, as well as the responsibility of website owners to maintain such lists, and to provide them to the competent authorities where requested and to demonstrate the « essentiality » of the cookies listed. 28.       ウェブサイトが使用するクッキーのリストを作成するツールの存在と、そのようなリストを維持し、要求に応じて所轄官庁に提供し、リストされたクッキーの「必須性」を証明するウェブサイト所有者の責任について議論された。
29.       On that point, it has been mentioned that specific tools exist and may be used to analyse a website and create a report that shows all the cookies that were placed when visiting the website. However, the only available tools do not allow to check the nature of the cookies but only to list the cookies placed in order to ask the website owner to provide documentation on their purposes. These tools are thus an additional help for the competent authorities to seek further clarifications and information from the website owners in addition to the information also provided on the website. 29.       この点については、特定のツールが存在し、ウェブサイトを分析し、ウェブサイトを訪問したときに配置されたすべてのクッキーを示すレポートを作成するために使用することができることが言及されている。しかし、利用可能な唯一のツールは、クッキーの性質をチェックすることはできず、ウェブサイトの所有者にその目的に関する文書を提供するよう求めるために、置かれたクッキーをリストすることだけを可能にします。したがって、これらのツールは、ウェブサイト上で提供される情報に加えて、管轄当局がウェブサイトの所有者にさらなる説明と情報を求めるための追加的な助けとなるものである。
30.       The opinion n°04/2012 on Cookie Consent Exemption of WP 29 has also been recalled in relation to the criteria mentioned to assess which cookies are essential, and in particular the fact that cookies allowing website owners to retain the preferences expressed by users, regarding a service, should be deemed essential. 30.       WP29のクッキーに関する同意の免除に関する意見n°04/2012も、どのクッキーが必須かを評価するために言及された基準、特にサービスに関してユーザーが表明した好みをウェブサイト所有者が保持できるクッキーが必須とみなされるべきという事実に関連して、想起されている。
9.     TYPE K PRACTICE: “NO WITHDRAW ICON” 9. タイプKの慣行:「撤回しないアイコン」
31.       It appears that where controllers provide an option allowing to withdraw consent, different forms of options are displayed. In particular, some controllers have not chosen to use the possibility to show a small hovering and permanently visible icon on all pages of the website that allows data subjects to return to their privacy settings, where they can withdraw their consent. 31.       管理者が同意の撤回を可能にするオプションを提供する場合、異なる形式のオプションが表示されるようである。特に、一部の管理者は、データ対象者がプライバシー設定に戻り、そこで同意を撤回できるようにするために、ウェブサイトのすべてのページに小さなカーソルを合わせて常時表示するアイコンを表示する可能性を選択していないようである。
32.       Website owners should put in place easily accessible solutions allowing users to withdraw their consent at any time, such as an icon (small hovering and permanently visible icon) or a link placed on a visible and standardized place. 32.       ウェブサイトの所有者は、ユーザーがいつでも同意を撤回できるよう、アイコン(小さなアイコン)やリンクなど、目につきやすく標準的な場所に、簡単にアクセスできるソリューションを設置する必要がある。
33.       The ePrivacy Directive’s reference to consent in the GDPR includes both a reference to the definition of consent (article 4 of the GDPR) as well as to the conditions of it (article 7 of the GDPR). 33.       eプライバシー指令のGDPRにおける同意への言及は、同意の定義(GDPRの第4条)だけでなく、その条件(GDPRの第7条)への言及も含んでいる。
34.       In addition to the requirements for the collection of consent to be valid in accordance with the GDPR and under Article 5(3) ePrivacy Directive, three additional cumulative conditions are mandatory (i) the possibility to withdraw consent, (ii) the ability to withdraw consent at any time, (iii) withdrawal of consent must be as easy as to give consent. 34.       GDPRとeプライバシー指令第5条3項に基づく同意の収集が有効であるための要件に加え、さらに3つの累積的条件が必須である(i)同意を撤回できること、(ii)いつでも同意を撤回できること、(iii)同意を撤回することは同意を与えることと同じくらい容易でなければならない。
35.       However, website owners can only be imposed that easily accessible solutions are implemented and displayed once consent has been collected, but they cannot be imposed a specific withdrawal solution, and in particular to set up a hovering solution for the withdrawal of consent to the deposit of cookies and other trackers. A case-by-case analysis of the solution displayed to withdraw consent will always be necessary. In this analysis, it must be examined whether, as a result, the legal requirement that it is as easy to withdraw as to give consent is fulfilled. 35.       しかし、ウェブサイトの所有者は、同意が収集された後、簡単にアクセスできるソリューションが実装されて表示されていることを課すことができるが、彼らは特定の撤退ソリューションを課すことはできない、特にクッキーやその他のトラッカーの堆積への同意を撤回するためのホバリングソリューションを設定する。同意を撤回するために表示されるソリューションについては、常にケースバイケースの分析が必要となる。この分析では、結果として、同意を与えるのと同じくらい簡単に撤回できるという法的要件が満たされているかどうかを検証する必要がある。
[1] In accordance with article 15.3 of ePrivacy directive, and as it has been done in the context of these works, the EDPB shall also carry out its tasks with regard to matters covered by the ePrivacy Directive [1] eプライバシー指令の第15.3条に従い、またこれらの作業の文脈で行われているように、EDPBはeプライバシー指令の対象となる事項に関してもその任務を遂行するものとする。
[2] See also the EDPB Guidelines 01/2020 on processing personal data in the context of connected vehicles and mobility related applications. [2] 接続された車両及びモビリティ関連アプリケーションの文脈における個人データの処理に関するEDPBガイドライン01/2020も参照のこと。
[3] By taking into consideration the EDPB Guidelines 05/2020 on consent under Regulation 2016/679 4 The names of the violations used in the complaints have been kept. [3] 規制2016/679に基づく同意に関するEDPBガイドライン05/2020を考慮することにより 4 苦情に使用された違反の名称は保管されている。
[4] See EDPB guidelines on connected vehicles; also see ECJ C-597/19 para. 118. [4] コネクテッドビークルに関するEDPBガイドライン参照、またECJ C-597/19 para. 118.

 

 

 

 

Continue reading "EDPB 公共部門によるクラウドサービス利用のためのプライバシーに関する勧告を決定、クッキー バナータスクフォースの報告書を採択"

| | Comments (0)

2023.01.19

欧州 NIS2 指令 条文 (2022.12.27)

こんにちは、丸山満彦です。

2023.01.16に施行されたNIS2 指令についての最終条文... 備忘録...

ドラフトから項番が変わったりしていますね... 内容までは確認していない...

 

EUR - Lex

・ 2022.12.27 Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive) (Text with EEA relevance)

・[HTML]

・[PDF]

20230119-34633

・[DOCX] 仮対訳

 

条文の目次...

CHAPTER I GENERAL PROVISIONS 第1章 一般規定
Article 1 Subject matter 第1条 主題
Article 2 Scope 第2条 適用範囲
Article 3 Essential and important entities 第3条 必須事業体及び重要事業体
Article 4 Sector-specific Union legal acts 第4条 分野別連合法
Article 5 Minimum harmonisation 第5条 最小限の調和
Article 6 Definitions 第6条 定義
CHAPTER II COORDINATED CYBERSECURITY FRAMEWORKS 第2章 調整されたサイバーセキュリティの枠組み
Article 7 National cybersecurity strategy 第7条 国家サイバーセキュリティ戦略
Article 8 Competent authorities and single points of contact 第8条 権限ある当局と単一の連絡窓口
Article 9 National cyber crisis management frameworks 第9条 国家のサイバー危機管理の枠組み
Article 10 Computer security incident response teams (CSIRTs) 第10条 コンピュータ・セキュリティ・インシデント対応チーム(CSIRT)
Article 11 Requirements, technical capabilities and tasks of CSIRTs 第11条 CSIRT の要件、技術的能力、及びタスク
Article 12 Coordinated vulnerability disclosure and a European vulnerability database 第12条 調整された脆弱性の開示と欧州の脆弱性データベース
Article 13 Cooperation at national level 第13条 国家レベルでの協力
CHAPTER III COOPERATION AT UNION AND INTERNATIONAL LEVEL 第3章 欧州連合及び国際レベルにおける協力
Article 14 Cooperation Group 第14条 協力グループ
Article 15 CSIRTs network 第15条 CSIRTsネットワーク
Article 16 European cyber crisis liaison organisation network (EU-CyCLONe)  第16条 欧州サイバー危機連絡組織ネットワーク(EU-CyCLONe)
Article 17 International cooperation 第17条 国際協力
Article 18 Report on the state of cybersecurity in the Union 第18条 EUにおけるサイバーセキュリティの状況についての報告書
Article 19 Peer reviews 第19条 ピアレビュー
CHAPTER IV CYBERSECURITY RISK-MANAGEMENT MEASURES AND REPORTING OBLIGATIONS 第4章 サイバーセキュリティリスクマネジメント対策と報告義務
Article 20 Governance 第20条 ガバナンス
Article 21 Cybersecurity risk-management measures 第21条 サイバーセキュリティリスクマネジメントのための措置
Article 22 Union level coordinated security risk assessments of critical supply chains 第22条 重要なサプライチェーンに対する連合レベルの協調的なセキュリティリスク評価
Article 23 Reporting obligations 第23条 報告義務
Article 24 Use of European cybersecurity certification schemes 第24条 欧州のサイバーセキュリティ認証制度の利用
Article 25 Standardisation 第25条 標準化
CHAPTER V JURISDICTION AND REGISTRATION 第5章 管轄権及び登録
Article 26 Jurisdiction and territoriality 第26条 管轄権及び領土
Article 27 Registry of entities 第27条 事業体の登録
Article 28 Database of domain name registration data 第28条 ドメイン名登録データのデータベース
CHAPTER VI INFORMATION SHARING 第6章 情報共有
Article 29 Cybersecurity information-sharing arrangements 第29条 サイバーセキュリティに関する情報共有の取り決め
Article 30 Voluntary notification of relevant information 第30条 関連情報の自発的な通知
CHAPTER VII SUPERVISION AND ENFORCEMENT 第7章 監督及び執行
Article 31 General aspects concerning supervision and enforcement 第31条 監督及び執行に関する一般的な側面
Article 32 Supervisory and enforcement measures in relation to essential entities 第32条 必須事業体に関する監督及び執行措置
Article 33 Supervisory and enforcement measures in relation to important entities 第33条 重要事業体に関する監督及び執行措置
Article 34 General conditions for imposing administrative fines on essential and important entities 第34条 必須事業体及び重要事業体に対する行政罰の一般的な条件
Article 35 Infringements entailing a personal data breach 第35条 個人データの漏えいを伴う侵害
Article 36 Penalties 第36条 罰則
Article 37 Mutual assistance 第37条 相互援助
CHAPTER VIII DELEGATED AND IMPLEMENTING ACTS 第8章 委任法および実施法
Article 38 Exercise of the delegation 第38条 委任の行使
Article 39 Committee procedure 第39条 委員会の手続
CHAPTER IX FINAL PROVISIONS 第9章 最終規定
Article 40 Review 第40条 審査
Article 41 Transposition 第41条 移植
Article 42 Amendment of Regulation (EU) No 910/2014 第42条 EU規則 No 910/2014 の改正
Article 43 Amendment of Directive (EU) 2018/1972 第43条 EU指令2018/1972の改正
Article 44 Repeal 第44条 撤廃
Article 45 Entry into force 第45条 施行
Article 46 Addressees 第46条 宛先
ANNEX I SECTORS OF HIGH CRITICALITY 附属書 I 重要度の高い分野
ANNEX II OTHER CRITICAL SECTORS
附属書 II その他の重要分野
ANNEX III CORRELATION TABLE 附属書 III 対比表

 

重要度の高い分野

Sector セクター Subsector サブセクター
1 Energy
    
エネルギー
    
(a) Electricity 電力
(b) District heating and cooling 地域冷暖房
(c) Oil 石油
(d) Gas ガス
(e) Hydrogen 水素
2 Transport
   
運輸
   
(a) Air 航空
(b) Rail 鉄道
(c) Water
(d) Road 道路
3 Banking 銀行    
4 Financial market infrastructures 金融市場インフラ    
5 Health 健康    
6 Drinking water 飲料水    
7 Waste water 廃水    
8 Digital infrastructure デジタル・インフラ    
9 ICT service management (business-to-business) ICTサービス管理(企業間取引)    
10 Public administration 行政    
11 Space 宇宙    

 

その他の重要分野

Sector セクター Subsector サブセクター
1 Postal and courier services 郵便および宅配便サービス    
2 Waste management 廃棄物管理    
3 Manufacture, production and distribution of chemicals 化学製品の製造、生産、流通    
4 Production, processing and distribution of food 食品の製造、加工、流通    
5 Manufacturing
     
製造事業者
     
(a) Manufacture of medical devices and in vitro diagnostic medical devices 医療機器および体外診断用医療機器の製造
(b) Manufacture of computer, electronic and optical products コンピューター、電子機器、光学製品の製造
(c) Manufacture of electrical equipment 電気機器の製造
(d) Manufacture of machinery and equipment n.e.c. 他に分類されない機械設備の製造
(e) Manufacture of motor vehicles, trailers and semi-trailers 自動車、トレーラー、セミトレーラーの製造
(f) Manufacture of other transport equipment その他の輸送機器の製造
6 Digital providers デジタルプロバイダー    
7 Research 研究    

 

essential entitiesは、必須事業者と訳出したのですが、普通は主要事業者と訳出していますよね(^^;;

 

金融分野については、こちらも気にしないといけないようです。。。

・2022.12.27 Regulation (EU) 2022/2554 of the European Parliament and of the Council of 14 December 2022 on digital operational resilience for the financial sector and amending Regulations (EC) No 1060/2009, (EU) No 648/2012, (EU) No 600/2014, (EU) No 909/2014 and (EU) 2016/1011 (Text with EEA relevance)

・[HTML]

・[PDF]

 

 

物理的なセキュリティとの一貫性の観点からこちらも気にする必要があるようです。。。

・2022.12.27 Directive (EU) 2022/2557 of the European Parliament and of the Council of 14 December 2022 on the resilience of critical entities and repealing Council Directive 2008/114/EC (Text with EEA relevance)

・[HTML]

・[PDF]

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.12.06 世界経済フォーラム (WEF) より厳格な報告規則から新たなサイバー脅威ハブまで、EUはサイバーセキュリティ法をアップグレード中

・2022.11.29 EU連合理事会 NIS2成立

| | Comments (0)

2023.01.18

中国 サイバー法制白書 2022 (2023.01.12)

こんにちは、丸山満彦です。

中国では、この数年のうちに、サイバー関連の法令が一気に作られてきているのですが、それを白書としてまとめたものが公表されていますね。。。

中国語でまとめられた法令名をまとめて、日本語訳をしてほしいなぁ、、、と思いますよね。。。

 

中国信通院

・2023.01.12 网络立法白皮书(2022年)

 

[PDF] 网络立法白皮书(2022年)

20230118-24622

 

目次...

网络立法白皮书(2022年) サイバー法制白書 2022年
一、新时代我国网络立法体系建设综述 I. 新時代の中国サイバー法制構築の概要
二、2022年我国网络立法建设持续推进 II. 2022年中国のサイバー法制はさらに進化した
(一)数据治理体系纵深发展,配套措施加速出台 (1) データガバナンス体制の深化と支援策の導入加速
(二)网络安全法律日益完善,基础设施保护持续强化 (2) ネットワークセキュリティの法整備が進み、インフラ保護が強化され続けている
(三)平台治理规则有序出台,网络综合治理扎实推进 (3) プラットフォームガバナンスのルールが整然と導入され、包括的なネットワークガバナンスが強固に推進された。
(四)新技术领域立法持续探索,算法治理不断深化 (4) ニューテクノロジー分野における法整備の継続的な検討とアルゴリズム・ガバナンスの深化
三、2022年国际网络立法建设重点突出 III. 2022年の国際サイバー法制の構築を中心に
(一)数据治理规则全面推进 (1) データガバナンスルールの包括的な推進
(二)网络内容治理持续推进 (2) オンラインコンテンツガバナンスの継続的な推進
(三)网络安全政策法规持续出台 (3) サイバーセキュリティに関する政策や規制の導入が続いていること
(四)超大平台事前监管举措持续落地 (4) メガプラットフォームに対する事前規制の取り組みが続く
(五)新技术新业务催生新立法 (5) 新しい技術や新しいビジネスが新しい法律を生む
四、网络立法展望 IV.  サイバー法制の展望
(一)加快完善数据治理领域配套立法 (1) データガバナンスの分野における支援法の整備を加速させる。
(二)强化对基础设施的促进和保护 (2) インフラの推進と保護の強化
(三)逐步推进数字技术法律制度体系 (3) デジタル技術に対応した法制度の漸進的な推進
(四)研究制定《数字平台法》确立分类分级制度 (4) デジタルプラットフォーム法の検討・策定を行い、分類・等級制度を確立する。
附件:2022年网络立法梳理 付録:2022年のサイバー法制の整理


附件:2022年网络立法梳理

效力位阶 名称 发文字号 发布日期 实施日期
法律 《反垄断法(2022修正)》 中华人民共和国主席令第116号 2022.06.24 2022.08.01
  《反电信网络诈骗法》 中华人民共和国主席令第119号 2022.09.02 2022.12.01
部门规章 《网络安全审查办法》 国家互联网信息办公室、中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局令第8号 2022.01.04 2022.02.15
  《互联网信息服务算法推荐管理规定》 国家互联网信息办公室、中华人民共和国工业和信息化部、中华人民共和国公安部、国家市场监督管理总局令第9号 2022.01.04 2022.03.01
  《互联网用户账号信息管理规定》 国家互联网信息办公室令第10号 2022.06.27 2022.08.01
  《数据出境安全评估办法》 国家互联网信息办公室令第11号 2022.07.07 2022.09.01
  《药品网络销售监督管理办法》 国家市场监督管理总局令第58号 2022.09.02 2022.12.01
  《中央企业合规管理办法》 国务院国有资产监督管理委员会令第42号 2022.09.16 2022.10.01
  《人身保险产品信息披露管理办法》 中国银行保险监督管理委员会令2022年第8号 2022.11.17 2023.06.30
  《互联网信息服务深度合成管理规定》 国家互联网信息办公室、中华人民共和国工业和信息化部、中华人民共和国公安部令第12号 2022.12.11 2023.1.10
法律法规配套规范文件 《关于推动平台经济规范健康持续发展的若干意见》 发改高技〔2021〕1872号 2022.01.18  
  《关于加强网络预约出租汽车行业事前事中事后全链条联合监管有关工作的通知》 交办运〔2022〕6号 2022.02.15 2022.02.15
  《关于试行汽车安全沙盒监管制度的通告》 市场监管总局、工业和信息化部、交通运输部、应急部、海关总署通告2022年第6号 2022.04.01  
  《关于进一步加强新能源汽车企业安全体系建设的指导意见》 工信厅联通装〔2022〕10号 2022.04.08  
  《关于加强网络视听节目平台游戏直播管理的通知》 网函〔2022〕27号 2022.04.15  
  《关于加强打击治理电信网络诈骗违法犯罪工作的意见》 中共中央办公厅、国务院办公厅 2022.04.18  
  《关于规范网络直播打赏加强未成年人保护的意见》 中央文明办、文化和旅游部、国家广播电视总局、国家互联网信息办公室 2022.05.07  
  《关于推进实施国家文化数字化战略的意见》 中共中央办公厅、国务院办公厅 2022.05.22  
  《网络预约出租汽车监管信息交互平台运行管理办法》 交运规〔2022〕1号 2022.05.24 2022.07.01
  《广播电视和网络视听领域经纪机构管理办法》 广电发〔2022〕34号 2022.05.30 2022.06.30
  《关于开展数据安全管理认证工作的公告》 国家市场监督管理总局、国家互联网信息办公室公告2022年第18号 2022.06.09  
  《移动互联网应用程序信息服务管理规定(2022修订)》 国家互联网信息办公室 2022.06.14 2022.08.01
  《关于加强数字政府建设的指导意见》 国发〔2022〕14号 2022.06.23  
  《关于做好智能网联汽车高精度地图应用试点有关工作的通知》 自然资源部办公厅 2022.08.02  
  《关于开展电子认证服务合规性专项整治工作的通知》 工信厅信发函〔2022〕183号 2022.08.02  
  《关于开展银行保险机构侵害个人信息权益乱象专项整治工作的通知》 银保监会办公厅 2022.08.03  
  《关于进一步加强政务数据有序共享工作的通知》 文化和旅游部 2022.08.04  
  《关于加快场景创新以人工智能高水平应用促进经济高质量发展的指导意见》 国科发规〔2022〕199号 2022.08.12  
  《医疗卫生机构网络安全管理办法》 国卫规划发〔2022〕29号 2022.08.29 2022.08.29
  《关于促进智能网联汽车发展维护测绘地理信息安全的通知》 自然资规〔2022〕1号 2022.08.30  
  《关于办理信息网络犯罪案件适用刑事诉讼程序若干问题的意见》 法发〔2022〕23号 2022.08.30 2022.09.01
  《数据出境安全评估申报指南(第一版)》 国家互联网信息办公室 2022.08.31  
  《互联网弹窗信息推送服务管理规定》 国家互联网信息办公室、工业和信息化部、国家市场监督管理总局 2022.09.09 2022.09.30
  《互联网跟帖评论服务管理规定》 国家互联网信息办公室 2022.11.16 2022.12.15
  《电力行业网络安全管理办法》 国能发安全规〔2022〕100号 2022.12.12 2022.12.12
  《电力行业网络安全等级保护管理办法》 国能发安全规〔2022〕101号 2022.12.12 2022.12.12
  《工业和信息化领域数据安全管理办法(试行)》 工信部网安〔2022〕166号 2022.12.13 2023.01.01
  《关于进一步规范移动智能终端应用软件预置行为的通告》 工信部联信管函〔2022〕269号 2022.12.14 2023.01.01
法律法规征求意见稿 关于修改《中华人民共和国网络安全法》的决定(征求意见稿) 国家互联网信息办公室 2022.09.14  
  《中华人民共和国反不正当竞争法(修订草案征求意见稿)》 国家市场监督管理总局 2022.11.22  
部门规章、规范性文件征求意见稿 《人类遗传资源管理条例实施细则(征求意见稿)》 科学技术部 2022.03.21  
  《证券期货业网络安全管理办法(征求意见稿)》 中国证监会 2022.04.29  
  《个人信息出境标准合同规定(征求意见稿)》 国家互联网信息办公室 2022.06.30  
  《电信领域违法行为举报处理规定(征求意见稿)》 工业和信息化部 2022.07.08  
  《关于开展网络安全服务认证工作的实施意见(征求意见稿)》 市场监管总局 2022.07.21  
  《自动驾驶汽车运输安全服务指南(试行)》(征求意见稿) 交通运输部 2022.08.08  
  《广播电视和网络视听节目制作经营管理规定(征求意见稿)》 国家广播电视总局 2022.08.08  
  《化妆品网络经营监督管理办法(征求意见稿)》 国家药品监督管理局 2022.08.17  
  《公路水路关键信息基础设施安全保护管理办法(征求意见稿)》 交通运输部 2022.08.23  
  《网信部门行政执法程序规定(征求意见稿)》 国家互联网信息办公室 2022.09.08  
  《道路机动车辆生产准入许可管理条例(征求意见稿)》 工业和信息化部 2022.10.28  
  《关于开展智能网联汽车准入和上路通行试点工作的通知(征求意见稿)》 工业和信息化部 2022.11.02  

 

・[DOCX] 仮対訳

 

 

 

| | Comments (0)

2023.01.17

米国 CISA 2022年の振り返り (2023.01.12)

こんにちは、丸山満彦です。

CISAが2022年の活動について、戦略計画で定められた4つの目標に沿って振り返ってますね。。。

4つの目標は、

GOAL 1 | CYBER DEFENSE 目標1:サイバー防衛
 Spearhead the national effort to ensure defense and resilience of cyberspace  サイバースペースの防衛とレジリエンスを確保するための国家的取り組みを先導する。
GOAL 2 | RISK REDUCTION AND RESILIENCE  目標2:リスク低減とレジリエンス 
Reduce risks to, and strengthen resilience of, America’s critical infrastructure 米国の重要インフラに対するリスクを低減し、そのレジリエンスを強化する。
GOAL 3 | OPERATIONAL COLLABORATION  目標3:作戦協力 
Strengthen whole-of-nation operational collaboration and information sharing 全国的な作戦協力と情報共有を強化する。
GOAL 4 | AGENCY UNIFICATION  目標4:機関の統一 
Unify as One CISA through integrated functions, capabilities, and workforce 統合された機能、能力、人員により、一つのCISAとして統一される。

です。。。

 

CISA

・2023.01.12 CISA RELEASES 2022 YEAR IN REVIEW

・[PDF] 2022 YEAR IN REVIEW

20230117-05317

 

・[PDF] FY22 END OF YEAR REPORT FACT SHEET

20230117-05326

BACKGROUND  背景 
Protecting our nation’s critical infrastructure is foundational to our national security. That critical infrastructure includes everything from healthcare, water, and education to chemical, transportation systems, telecommunications, energy, and much more. And it’s under constant risk from a wide array of threats. That makes CISA’s work to understand, manage, and reduce risk to the cyber and physical infrastructure that Americans rely on so important. Our 2022 CISA Year in Review in January lays out the tremendous work by our teammates and partners over the past year. Organized around the four goals outlined in our Strategic Plan, it highlights key achievements toward our vision of ensuring secure and resilient critical infrastructure for the American people.   国家の重要なインフラを保護することは、国家の安全保障の基礎となるものです。重要インフラには、医療、水、教育、化学、輸送システム、通信、エネルギーなど、あらゆるものが含まれます。そして、重要インフラは、さまざまな脅威から常に危険にさらされています。そのため、米国人が依存するサイバーおよび物理インフラに対するリスクを理解し、マネジメントし、低減するためのCISAの活動は非常に重要です。1月に発表した「2022年CISA年次報告」では、過去1年間におけるCISAのチームメンバーやパートナーによる多大な功績を紹介しています。戦略計画で示された4つの目標を中心に構成され、米国民のために安全でレジリエンスに優れた重要インフラを確保するというビジョンに向けた主要な成果を紹介しています。 
DID YOU KNOW?  ご存知ですか?
With missions spanning cybersecurity, infrastructure security and emergency communications, there may be a lot you didn’t know about CISA.  Take a look at a sample of activities we conducted in 2022.   サイバーセキュリティ、インフラセキュリティ、緊急通信にまたがるミッションを持つCISAについて、ご存じないことがたくさんあるかもしれません。 2022年に実施した活動の一例をご覧ください。 
CYBER DEFENSE  サイバー防御
•       In October 2022, at the direction of the White House, CISA released a set of cross-sector ・2022年10月、ホワイトハウスの指示により、CISAはセクター横断的なサイバーセキュリティのパフォーマンス目標(Cybersecurity Performance Goals)を発表しました。
Cybersecurity Performance Goals (CPGs) to establish a common set of fundamental cybersecurity practices for critical infrastructure, with a particular focus on helping small- and medium-sized organizations improve their cybersecurity efforts. サイバーセキュリティ・パフォーマンス・ゴール(CPG)を発表し、重要インフラのためのサイバーセキュリティの基本的な実践方法の共通セットを確立し、特に中小規模の組織がサイバーセキュリティの取り組みを改善できるよう支援することに焦点を当てました。
•       CISA held the inaugural Cybersecurity Advisory Committee (CSAC) meeting in December 2021. The CSAC is a federal advisory committee comprised of 22 private sector leaders across diverse professions and communities to provide recommendations on the development and refinement of CISA’s cybersecurity programs and policies. CSAC has already provided CISA’s Director with 53 recommendations that will keep us well-positioned to address threats in a rapidly changing cybersecurity landscape. ・CISAは、2021年12月にサイバーセキュリティ諮問委員会(CSAC)の初会合を開催しました。CSACは、多様な職業やコミュニティに属する22人の民間企業のリーダーで構成される連邦政府の諮問委員会で、CISAのサイバーセキュリティプログラムとポリシーの策定と改良について提言を行います。CSACはすでにCISA長官に53の提言を行い、急速に変化するサイバーセキュリティの状況下で脅威に対処する体制を整えています。
•       The Joint Cyber Defense Collaborative (JCDC), which aims to fundamentally transform how we reduce cyber risk to our country, marked its first year in FY22. With partner representation under nearly all the 16 critical infrastructure sectors, the JCDC reduces risk through continuous operational collaboration between trusted partners in the public and private sectors. The JCDC has also formed relationships with over 150 Computer Emergency Response Teams (CERTs) worldwide ・我が国のサイバーリスクを低減する方法を根本的に変革することを目的とした統合サイバー防衛協力(JCDC)は、22年度にその初年度を迎えました。JCDCは、16の重要インフラ部門のほぼすべてにパートナーを配置し、官民の信頼できるパートナー間の継続的な運用協力を通じてリスクを低減しています。また、JCDCは、世界中の150以上のコンピュータ緊急対応チーム(CERT)と関係を構築しています。
•       We deployed new technologies across nearly 50 federal agencies, with more coming online every month, using new authorities and resources provided by Congress to secure our federal enterprise. ・連邦政府のエンタープライズを保護するために議会から提供された新しい権限とリソースを使用して、約50の連邦政府機関に新しい技術を展開し、毎月オンラインになるものが増えています。
•       We coordinated 713 Coordinated Vulnerability Disclosure (CVD) cases, produced 416 vulnerability advisories and streamlined the patch development and deployment process for millions of devices annually due to the direct communication between vulnerability researchers and vendor(s) and/or service provider(s). ・脆弱性研究者とベンダーやサービスプロバイダとの直接のコミュニケーションにより、713件の脆弱性開示(CVD)を調整し、416件の脆弱性勧告を作成し、年間数百万のデバイスに対するパッチ開発および展開プロセスを合理化しました。
REDUCING RISKS TO AMERICA’S CRITICAL INFRASTRUCTURE  米国の重要インフラへのリスク軽減 
•       CISA and the Federal Emergency Management Agency (FEMA) collaborated on a first-of-its-kind State and Local Cybersecurity Grant Program to help under-resourced state, local, and territorial (SLT) partners build cyber resiliency. This program will help address the unique challenges state and territorial governments face when defending against cyber threats.   ・CISA と連邦緊急事態管理庁(FEMA)は、リソースの乏しい州、地方、地域(SLT)のパートナーがサイバーレジリエンスを構築できるよう、初の「州および地域のサイバーセキュリティ助成プログラム」を共同で実施しました。このプログラムは、州・準州政府がサイバー脅威から身を守る際に直面する特有の課題に対処するために役立ちます。 
•       CISA brought together federal, state, and local school leaders at the inaugural National Summit on K-12 School Safety and Security to share actionable recommendations that enhance safe and supportive learning environments in K-12 schools. This first-of-its-kind virtual event fostered a nationwide dialogue on school safety, providing a venue to share resources, products, and tools to support schools in implementing and strengthening their security postures.   ・CISAは、連邦、州、地域の学校指導者を集め、K-12学校の安全とセキュリティに関する第1回全国サミットを開催し、K-12学校における安全かつ協力的な学習環境を強化するための実行可能な推奨事項を共有しました。この初のバーチャルイベントは、学校の安全性に関する全国的な対話を促進し、学校のセキュリティ体制の導入と強化を支援するためのリソース、製品、ツールを共有する場を提供しました。 
•       In 2022, CISA trained its 150,000th person in counter-improvised explosive device (IED) measures and techniques. We also visited more than 8,300 retail establishments to encourage private sector partners that sell explosive precursor chemicals to take measures to properly secure these chemicals and to report and/or prevent suspicious transactions.    ・2022年、CISAは15万人目となる爆発物(IED)対策と技術に関する訓練を行いました。また、8,300以上の小売店を訪問し、爆発性前駆体化学物質を販売する民間セクターのパートナーに、これらの化学物質を適切に保護するための対策を講じ、疑わしい取引の報告および/または防止を奨励しました。  
•       CISA delivered 114 Active Shooter Preparedness webinars to critical infrastructure, international, law enforcement, emergency response, interagency, and private sector stakeholders with over 32,600 registrants. We also conducted 163 exercises around the nation with 14,260 participants. 87% of respondents stated exercises enhanced individual or organizational preparedness.  ・CISAは、重要インフラ、国際機関、法執行機関、緊急対応機関、省庁間、民間部門の関係者に114のアクティブシューター対策ウェビナーを提供し、32,600人以上の登録者がありました。また、全米で163の演習を実施し、14,260人が参加しました。回答者の87%が、演習によって個人または組織の準備態勢が強化されたと回答しています。
•       In response to the threats to Historically Black Colleges and Universities (HBCUs) in 2022, CISA mobilized resources such as its Protective Security Advisors (PSA) to reach out to all 108 Historically Black Colleges and Universities across the country to provide support.   ・2022年の歴史的黒人大学(HBCU)への脅威を受け、CISAは保護セキュリティアドバイザー(PSA)などのリソースを動員し、全米の歴史的黒人大学全108校に接触し、支援を提供しました。 
OPERATIONAL COLLABORATION AND INFORMATION SHARING  作戦協力と情報共有 
•       In CISA’s constant effort to build collaborative partnerships that help us better identify and mitigate threats, we have worked over the past year to expand our collaboration with the international community. In fact, in July 2022, CISA opened its first Attaché office. Based in London, United Kingdom, the office serves as a focal point for international collaboration between CISA, UK government officials, and other federal agency officials.   ・脅威の特定と緩和に役立つ協力的なパートナーシップを構築するためのCISAの絶え間ない努力の中で、私たちはこの1年間、国際社会との協力関係を拡大するために取り組んできました。実際、2022年7月、CISAは初のアタッシェ事務所を開設しました。英国のロンドンを拠点とするこのオフィスは、CISA、英国政府関係者、その他の連邦機関関係者の間の国際協力の中心的な役割を担っています。 
•       CISA plays an important role in ensuring America’s elections are safe and secure. We work with all 50 states, the District of Columbia, and the U.S. territories to secure elections. This work includes hundreds of election infrastructure security assessments and regular cybersecurity vulnerability scanning in hundreds of jurisdictions. It also includes work with the 3,400-member Election Infrastructure Information Sharing and Analysis Center, which provides real-time, actionable threat and mitigation information to help state and local election officials understand the risk environment. CISA’s annual National Elections Exercise,Tabletop the Vote, included more than 1,100 participants from 48 states, 16 federal agencies, and 18 sector partners, addressing cyber and physical security challenges to election infrastructure.  ・CISAは、アメリカの選挙が安全かつ確実に行われるようにするために重要な役割を果たしています。私たちは、50の州、コロンビア特別区、米国準州のすべてと協力して、選挙の安全確保に取り組んでいます。この活動には、何百もの選挙インフラのセキュリティ評価や、何百もの管轄区域における定期的なサイバーセキュリティの脆弱性スキャンが含まれます。また、3,400人のメンバーからなる選挙インフラ情報共有・分析センターでの活動も含まれます。このセンターでは、州や地方の選挙担当者がリスク環境を理解できるよう、脅威や緩和策に関する情報をリアルタイムで実用的に提供しています。CISAの年次全国選挙演習「Tabletop the Vote」には、48州、16の連邦政府機関、18のセクターパートナーから1,100人以上が参加し、選挙インフラに対するサイバー・セキュリティと物理セキュリティの課題に取り組みました。
•       Around the country, we supported 194 incidents and 197 special events over the past year. We also  triaged 37,875 cyber incident reports, acting on 2,609 incidents requiring CISA’s assistance.   ・昨年は、全米で194のインシデントと197の特別イベントをサポートしました。また、37,875件のサイバーインシデントレポートをトリアージし、CISAの支援を必要とする2,609件のインシデントに対応しました。 
•       CISA executed six U.S. Department of State-funded international capacity building programs reaching more than 1,000 participants from 31 countries in FY22.  ・CISAは、米国務省が資金提供する6つの国際的な能力向上プログラムを実施し、22年度には31カ国から1,000人以上の参加者を得ました。
UNIFYING AS “ONE CISA”   One CISA "としての統一  
•       CISA committed to making 2022 the Year of Mental Health and Wellbeing. Throughout the year, CISA hosted 10 Town Halls with world-renowned wellness experts, medical professionals, and mental health advocates focused on the science behind mental health, practical tips on how to prevent and combat burnout, and the imperatives for any organization to safeguard wellbeing in its workforce.  ・CISAは、2022年を「メンタルヘルスとウェルビーイングの年」とすることを約束しました。CISAは年間を通じて、世界的に著名なウェルネス専門家、医療専門家、メンタルヘルス支援者を招いて10回のタウンホールを開催し、メンタルヘルスの背後にある科学、燃え尽き症候群の予防と対策に関する実践的なヒント、従業員のウェルビーイングを保護するための組織の必須事項などに焦点を当てました。
•       CISA is dedicated to advancing, welcoming, and celebrating all forms of diversity from neurodiversity, diversity of gender identity, race, ethnicity, sexual orientation, age, religion, disability, and social and economic background. Diversity of experience equals diversity of thought and that makes us better problem solvers. In FY22, we instituted a mandatory instructor-led, two-session training—Stronger Together: The Power of Diversity & Inclusion, which was completed by over 2100 employees.  ・CISAは、神経変性疾患、性同一性、人種、民族、性的指向、年齢、宗教、障害、社会的・経済的背景の多様性など,あらゆる形態の多様性を推進し,歓迎し,賞賛することに専心しています。経験の多様性は思考の多様性と同じであり,それが私たちをより良い問題解決者にしてくれます。22年度には,インストラクターによる2セッションのトレーニング「Stronger Together」を義務化しました。この研修は2100人以上の従業員が受講しました。
•       In FY22, Congress took the important step to fund positions to stand up a contracting office in CISA.  The development of this office, along with delegated procurement authorities, now allows CISA to directly coordinate the planning, execution, and administration of the agency’s contracts. For vendors wanting to do business with us, our new procurement capability enables industry to directly interact with our Contracting Officers and Program Offices on specific contract requirements.  ・22年度には、議会はCISAに契約事務局を設置するための資金を提供するという重要なステップを踏んだ。 このオフィスの整備と調達権限の委譲により、現在、CISAは省庁の契約の計画、実行、管理を直接調整することができるようになりました。CISAとの取引を希望するベンダーにとっては、この新しい調達能力により、特定の契約要件についてCISAの契約担当者やプログラムオフィスと直接やり取りすることが可能になります。

 

・ブログ

・2023.01.12 LOOKING BACK TO CHART OUR PATH FORWARD

 

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

2022.09.21 米国 CISA 戦略計画 2023-2025

| | Comments (0)

2023.01.16

PwC サイバーセキュリティに関するグローバルの調査と日本の調査

こんにちは、丸山満彦です。

所属組織の宣伝めいた内容はブログに書かないのですが、これは例え所属組織でなかったとしても、多くの人に読んでもらいたいと思ったので、紹介です。。。

一つは、グローバル3,500名を超える役員に調査をした結果をまとめたものです。(日本語で読めます...)

サイバーセキュリティ対策は経営問題なのから、経営者 (CxO) がまさにBoard Roomに集まって議論をして対応をしましょう。という話です。経営者であれば、取締役会や経営会議で会社の重要事項を色々と議論し、会社の方針として決議していると思いますが、それと同じレベルで、同じことをすべきですよね。という話です(当たり前といえば当たり前の話ですが。。。)

その議論の時に、CEOならその立場を利用してどういう貢献ができるか?、CFOならどうか?、CIOならどうか?、さらには株主の委任を受けた取締役としてはどうか?というような話が書いています。。。

日本では橋渡し人材の話が出ていますが、それはもちろん重要なのですが、一段上のCxOのレベルで本当に議論しましょうね!という話です。。。

 

PwC Japan

・2023.01.11 サイバー有事に備えたCxOの結束の必要性『Global Digital Trust Insights 2023年版』調査結果より

・[PDF

20230114-233041

オリジナルはこちら...

A C-suite united on cyber-ready futures - Findings from the 2023 Global Digital Trust Insights

・[PDF] (情報入力が求められます...)

20230114-233105

 


 

もう一つは、日本の調査ですが、その結果を踏まえて、一歩先をいくサイバーセキュリティ対策を考えています。情報に基づいてセキュリティ対策をダイナミック(動的)に変えていくという考え方です。

ただ、この考え方は、私がNISCにいるときに、すでに亡くなられた山口先生とも議論していた話(当時はMoving Targetにいかに対応するかという文脈でした)で、目新しいわけではないのですが、その重要性がより高まり、かつ、それが実施できる環境も整ってきたということだと思います。

 

例えば、

総合科学技術会議 基本政策推進専門調査会 分野別推進戦略総合PT

・2007.01.18 [PDF] 総合科学技術会議 基本政策推進専門調査会 分野別推進戦略総合PT 第1回情報通信PT 議事録 (2006.12.19開催)


○山口委員

...セキュリティの問題として嫌なのが、1個やれば全部片づくというわけではなくて、リスクの変化というのがありますので、ムービングターゲットを追っかけていくというところがあって、常にいろんな問題が出てくる。また、こういったリスク低減を目指すという研究をやっていっても、ある一定の成果を出しても、すぐにリスクは変容するというようなところで、同じテーマの名前でどんどん研究が変わっていくという特性なんかもあるわけです。

...

それからもう一つは、先ほど申し上げましたリスク低減型研究というのに関しては、レビューが必要であると思っています。これは特にムービングターゲットを持っているという性質上、変化するリスクを可視化することで本当に最初計画されていた幾つかの問題というのを解くと。例えば、スパムを解くとか、ボットを解くとか、いろいろ解くものを決めているんですけれども、これらの質が変わるというところで、本当に状況の変化にキャッチアップすることをちゃんとやっているのかどうかということをやることで、施策の中で足りない領域をちゃんとアイデンティファイすること。それから、萌芽的研究が存在するかを見ていくということがあります。


 

● IT media

・2005.06.03 Linuxが情報セキュリティ管理に果たす役割とは?


われわれを取り巻くIT環境はどんどん変化している。結果として、セキュリティ管理の目標も変動する。「ムービングターゲットを追求していかなければならない。『あのときはOKだったからこれでいい』とか『他社がこうしているのだからうちもこうしよう』ではだめ」(山口氏)。

 逆に、情報セキュリティ管理をしっかり実現していくことで、「これまで利益を生み出さない『ロスセンター』と言われてきたけれど、業務を改善し、強くて耐久性のあるビジネスを作り出すツール」(同氏)として位置付けていくことができるとした。


 

さて、肝心のPwCの報告書ですが、こちらです。。。

・2023.01.12 2023年 Cyber IQ調査 ―インテリジェンス活用によるダイナミックなセキュリティ対策への転換

・[PDF

20230115-02140

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.12.07 日本企業のセキュリティの状況の調査 PwC 2021年 Cyber IQ 調査―機先を制するセキュリティへの転換

 

 

| | Comments (0)

2023.01.15

読みました! 「偽情報戦争」

こんにちは、丸山満彦です。

JPCERT/CCの小宮山さんも執筆者に加わっている「偽情報戦争」[amazon] を読み終えました。。。

 

81ocef7jnul

 

まず、専門書ではないです。これからの議論のきっかけとなるための書物という感じでしょうか。。。とても、読みやすく、スラスラとあっという間に読めました。

読みやすし、きっかけに是非一読を。。。というのが私のコメントです。。。

全体としては、認知戦に関する話で、その認知戦にIT技術(AI等)、サイバー空間(SNS等)が手段としての重要性を帯びてきている現状をどのように理解したら良いのだろうか?ということで書かれているように思いました。。。

この正月休みに、司馬遼太郎の「ロシアについて」、陳舜臣の「中国五千年」を読んだところだったので、ロシア、中国の認知戦の話についても興味深く読むことができました(あまり関係ないですが...)。

最初に表1外交・安全保障における世論形成手段を示してくれているので、素人には言葉による誤解が防げてよかったです。。。

パブリック・ディプロマシー Public Diplomacy 自らの国益に資するべく、相手国世論に直接働きかけ、自国のイメージやプレゼンスを向上させる。公共外交や広報外交などともいわれる(外務省は広報文化外交としている)。透明性があり、相手を魅了するための外交手段とされる。実行形態として①Listening(傾聴)、②Advocacy(立場の主張)、③Cultural Diplomacy(文化外交)、④Exchange Diplomacy(交流外交)、⑤International Broadcasting(国際放送)に区分されることが多い。
プロパガンダ Propaganda 不特定多数の大衆を一定の方向に導き、行動を起こさせるため、社会心理的な手法で特定の考え方や価値観を植え付ける組機的な活動。
影響工作 Influence Operation 平時から有事、そして紛争後に、相手国世論の意見や態度を自らの国益と目的を促進させる方向に醸成するため、外交、軍事、経済、サイバー、情報、その他の能力を統合・連携させ適用すること。
戰略的コミュニケーション Strategic Communication 国家目標を推進するために、協調的行動、メッセージ、イメージ、その他の形態のシグナリングまたはエンゲージメントによって、特定の聴衆に情報発信し、影響を与え、説得しようとすること。単なる広報活動や情報操作、世論操作と異なる。
情報作戦 Information Operations 電子戦、コンピュータ・ネットワーク作戦、心理作戦、オペレーション・セキュリティ、欺瞞作戦の中核的能力を、特定の支援・関連能力と連携して統合的に活用し、敵対する人間や自動意思決定に影響を与え、混乱させ、あるいは奪し、同時に自国の意思決定を保護する作戦。米国防総省が行う作戦との解釈もされる。
情報戦 Information Warfare 自国の情報空間をコントロールし、自国の情報へのアクセスを防護しながら、相手の情報を取得・利用し、情報システムを破壊し、情報の流れを混乱させることで相手に対して優位に立つ作戦。一方、中国の指す情報戦は平時の影響工作や心理戦など幅広く含まれるとの解駅もされる。
ディスインフォメーション・キャンペーン Disinformation Campaigns 経済的・政治的目的を達成するため、意図的に世論を敷くために作り出されたディスインフォメーション(偽情報)を拡散し、公共に害を与える活動。民主的な政治や政策決定に対する脅威につながる。
認知戦 Cognitive Warfare ターゲットとなる国民、組織、国家を干渉または不安定化させることを目的とし、ターゲットの考え方や選択に影響を与え、意思決定の自律性を弱体化させるために用いられる作戦。認知戦に係る活動は軍事に限らず政治、経済、文化、社会など人々の日常生活全体に適用される。ディスインフォメーションも用いられる。
ハイブリッド戦 Hybrid Warfare 国家および非国家の在来型手段と非在来型手段の相互作用や融合を伴う戦争。戦争と平時の境界線が不明瞭になるといった特徴を持つ。
三戦 Three Warfares 世論戦、心理戦、法律戦を指し、軍事的および経済的手段であるハードパワーを用いることなく敵を弱体化させる戦術。2003年に中国人民解放軍政治工作条例に記載された。
シャープパワー Sharp Power 権戚主義国家が強制や情報の歪曲、世論操作などの強引な手段を用い。主に民主主義国家の政治環境や情報環境を「刺す」「穿孔する」ことで、自国の方針をのませようとする力。

 

小宮山さんが、民主主義の危機を気にされていますね。。。

個人的には、民主主義を守るのは、(1)民主主義を守る目的を達成するために必要となる知的情報処理能力の個人個人の高さとその分布の問題と(2)その結果に基づいて行動を起こすことだろうと思っています。。。民主主義は高尚な思想かつ勇気がいる仕組みなのです(^^)。

多くの情報に溢れている(玉石混淆の)現在社会において、個人個人が適切に情報を処理し、適切な行動を起こせるようになるかが重要なのだろうと思っています。そのためには、個人個人がそれなりに思慮深く、かつ行動を起こせないといけないように思います。。。そのような、人間が育つ、あるいは育てるような社会になっているか。。。ということが問題なのかもしれませんね。。。

 

 


 

平和博さんのブログ新聞紙学的も是非是非です。。。

 

まるちゃんの情報セキュリティ気まぐれ日記

日本ファクトチェックセンターの話...

・2022.09.30 日本ファクトチェックセンター

 

グローバルリスクでも、偽情報はそれなりのポジションです。。。

・2023.01.12 世界経済フォーラム (WEF) The Global Risks Report 2023 18th Edition グローバルリスク報告書2023

・2022.01.14 世界経済フォーラム (WEF) The Global Risks Report 2022 17th Edition - 2022年のグローバルリスクのトップは、気候変動への適応の失敗と社会的危機

・2021.01.21 世界経済フォーラム The Global Risks Report 2021 16th Edition - 世界は長期的リスクへの対応に目覚めるべきである

 

中国のDeap Fake等に対する対策など...

・2022.12.23 中国 インターネット情報サービス深層合成管理規定についての専門家のコメント... (2022.12.12)

・2022.12.17 中国 インターネット情報サービス深層合成管理規定 (深層合成で作ったものにはマークを...)(2022.11.25)

・2022.09.12 中国 インターネットポップアップ情報プッシュ型サービス管理規定と偽情報の取締り

・2022.08.15 中国 国家サイバースペース管理局 インターネット情報サービスのアルゴリズム申請に関する情報公開の公告

・2022.01.30 中国 国家サイバースペース管理局 意見募集 インターネット情報サービスの深層合成の管理に関する規定(意見募集稿)

・2022.01.05 中国 インターネット情報サービスのアルゴリズム推奨管理規則

・2021.08.28 中国 意見募集 国家サイバースペース管理局 「インターネット情報サービスのアルゴリズムによる推奨に関する管理規定」

 

その他。。。

・2022.12.18 国家安全保障戦略が閣議決定されましたね。。。(2022.12.16) 対英訳付き...

・2022.12.14 ENISA 外国人による情報操作と干渉(FIMI)とサイバーセキュリティ - 脅威状況

・2022.11.28 防衛省 防衛研究所 中国安全保障レポート2023 ― 認知領域とグレーゾーン事態の掌握を目指す中国 ―

・2022.10.30 米国 国防総省:サイバー軍 CYBER101 - Defend Forward and Persistent Engagement (2022.10.25)

・2022.10.11 米国 FBI 中間選挙を前にサイバーセキュリティについて議論

・2022.08.27 米国 サイバー司令部:米サイバー軍とNSAは中間選挙をどう守るか。一つのチーム、一つの戦い

・2022.08.26 スイス ETH Zürichsで公表されている最近のサイバー作戦、サイバー攻撃等、サイバー関連の最近の記事、論文

・2022.08.14 米国 国土安全保障省 監察官室 国土安全保障省は偽情報キャンペーンに対する統一的な戦略が必要

・2022.08.01 MITRE 誤情報・偽情報の研究課題調査:主要なテーマ

・2022.07.21 カナダ サイバーセキュリティセンター 「サイバー脅威報告:ロシアのウクライナ侵攻に関連するサイバー脅威活動」 (2022.07.14)

・2022.06.06 NATO CCDCOE 選挙干渉への対抗をテーマにしたイノベーションチャレンジ(52大学から56チームが参加)

・2022.04.01 ロシア 外務省 米国とその衛星国による継続的なロシアへのサイバー攻撃についての声明

・2021.12.23 CSET AIと偽情報キャンペーンの未来 パート1:RICHDATAフレームワーク

・2021.12.16 CISA 新しいサイバーセキュリティ諮問委員会の設立会合を開催(委員長等の選任と5つの小委員会の設立)

・2021.12.07 2021.12.09,10開催予定 Summit for Democracy 民主主義サミット + 中国的民主主義 + ロシアの批判 + EUの参加報告書+米国政府まとめ

・2021.08.10 EU議会 STUDY ヨーロッパの政策におけるディープフェイクへの取り組み at 2021.07.30

・2021.07.01 防衛研究所 中国が目指す認知領域における戦いの姿

・2021.06.04 欧州検査院 特別報告書 EUに影響を与える偽情報:対処しても対処しきれない

・2021.05.24 自動で偽の情報を作成するマシーンはできるのか?

・2021.05.03 U.S. CISA 偽情報・誤情報の脅威とその対応方法についての(いかにもアメリカンな)漫画

・2022.01.26 英国王立学会 オンライン情報環境(フェイク情報は削除すべき、削除すべきでない?)at 2022.01.19

・2021.01.26 RAND研究所 真実の崩壊に対抗するためのメディアリテラシー標準についての報告

・2021.01.18 新聞紙学的(平和博さんのブログ) - ディープフェイクスにどれだけ騙される? 意外な実験結果とは

・2020.12.07 民主主義を守るための偽情報との戦い

・2020.11.28 国連(UNICRI) テロリスト、過激派、組織犯罪グループがソーシャルメディアを悪用しCOVID-19対応中の政府への信頼失墜をさせようとしている

・2020.11.04 情報ネットワーク法学会 第20回研究大会

・2020.08.08 Interpol COVID-19により在宅勤務に関連する脆弱性と経済的利益が増加し、今後サイバー犯罪はさらに増える?

・2020.03.31 英国政府はCOVID-19に関する偽情報(misinformation)を取り締まるチームを設置したようですね。。。



 

| | Comments (0)

フランス CNIL 2024年オリンピック・パラリンピック:CNIL、法律案に関する意見を発表(遺伝子特徴の検査、拡張カメラ関係)

こんにちは、丸山満彦です。

フランスのCNILが、2024年オリンピック・パラリンピック:CNIL、法律案に関する意見を発表していますね。。。

ドローンにカメラをつけた拡張カメラや、ドーピング防止のためのDNA検査など、プライバシーに関わる問題があるからですかね。。。

 

CNIL

意見はこちら

・2023.01.04 Délibération n° 2022-118 du 8 décembre 2022 portant avis sur un projet de loi portant sur les jeux Olympiques et Paralympiques de 2024 (demande d’avis n° 22017438)

 

そのプレス。。。

・2023.01.04 Jeux olympiques et paralympiques 2024 : la CNIL publie son avis sur le projet de loi

 

Jeux olympiques et paralympiques 2024 : la CNIL publie son avis sur le projet de loi 2024年オリンピック・パラリンピック:CNIL、法律案に関する意見を発表
04 janvier 2023 2023年1月4日
La CNIL s’est prononcée le 8 décembre 2022 sur le projet de loi relatif aux Jeux olympiques et paralympiques de 2024 qui présente des enjeux forts en matière de protection des données personnelles et de vie privée. Ce projet introduit en particulier la possibilité de mettre en œuvre, à titre expérimental, des caméras dites « augmentées ». 2022年12月8日、CNILは、個人情報保護とプライバシーの面で大きな課題を抱える2024年のオリンピック・パラリンピックに関する法律案について意見を発表した。特に、本法案では、いわゆる「拡張カメラ」を試験的に導入する可能性を紹介している。
Le projet de loi relatif aux Jeux olympiques et paralympiques de 2024 contient plusieurs dispositions qui concernent directement la protection des données personnelles : 2024年オリンピック・パラリンピック競技大会に関する法律案には、個人情報の保護に直接関係するいくつかの条項が含まれている。
・l’autorisation de l’examen des caractéristiques génétiques ou de la comparaison d’empreintes génétiques pour les analyses antidopage ; ・ドーピング防止分析のための遺伝的特徴の検査又は遺伝的指紋の比較の認可。
・la mise en conformité du code de la sécurité intérieure (CSI) avec le RGPD et la directive « Police-Justice » ; ・内部セキュリティコード(ISC)をRGPDと「警察-正義」指令に一致させること。
・l’utilisation de traitements algorithmiques sur les images captées par des dispositifs de vidéoprotection ou des caméras installées sur des drones (appelés également « caméras augmentées ») afin de détecter et de signaler en temps réel des évènements prédéterminés susceptibles de menacer la sécurité des personnes ; ・映像監視装置やドローンに搭載されたカメラ(「拡張カメラ」とも呼ばれる)の映像をアルゴリズム処理し、個人の安全を脅かす可能性のある所定の事象をリアルタイムに検知・報告すること。
・l’extension des types d'images de vidéoprotection que les agents des services internes de la SNCF et de la RATP peuvent visionner lorsqu’ils sont affectés au sein des salles d’information et de commandement relevant de l’État ; ・SNCFとRATPの内部サービス担当者が、国の権限で情報・司令室に配属された際に閲覧できるビデオプロテクト画像の種類を拡大すること。
・l’élargissement de la procédure de « criblage » prévue par le CSI aux fan zones et aux participants aux grands évènements ; ・ISCが規定する「審査」手続きを、ファンゾーンや主要イベント参加者にまで拡大すること。
・la possibilité de mettre en place des scanners corporels à l’entrée de certains évènements. ・特定のイベントの入り口にボディスキャナーを設置する可能性。
Les enjeux pour la protection des données データ保護に関する課題
Dans son avis sur le projet de loi, la CNIL a examiné l'ensemble de ces dispositions et a relevé plusieurs enjeux majeurs pour la protection des données et la vie privée des personnes. 法案に関する意見書の中で、CNILはこれらの条項をすべて検討し、データ保護と個人のプライバシーに関するいくつかの大きな課題を指摘した。
Une mise en conformité nécessaire du code de la sécurité intérieure (CSI) avec le RGPD et la directive « Police-justice » 内部セキュリティコード(CSI)のRGPDおよび「警察・司法」指令への必要な適合性
La CNIL a rappelé à plusieurs reprises que plusieurs dispositions du CSI étaient obsolètes depuis l’évolution de la réglementation en matière de protection des données personnelles en 2018. Le projet de loi prévoit que les enregistrements visuels de vidéoprotection respectent les dispositions applicables en matière de protection des données personnelles. CNILは、2018年の個人情報保護に関する規制の進化以降、ISCのいくつかの規定が陳腐化していることを繰り返し指摘している。この法案では、映像保護録画は、個人情報の保護に関する適用可能な規定に従わなければならないと規定されている。
Une réforme plus globale des traitements des images dans les espaces ouverts au public sera cependant nécessaire pour sécuriser les acteurs et encadrer les usages. De plus, le CSI devra être complété pour prévoir un encadrement au niveau réglementaire de l’ensemble des droits des personnes concernées. しかし、一般に公開されている場所での画像処理については、関係者の安全確保や利用規制など、より包括的な改革が必要だろう。さらに、関係者のすべての権利について規制の枠組みを提供するために、ISCを完成させる必要がある。
Caméras « augmentées » pour assurer la sécurité des grands événements : création d’un cadre d’expérimentation 大型イベントのセキュリティを確保する "拡張 "カメラ:実験のためのフレームワークの構築
Le projet de loi crée un cadre expérimental permettant le recours, dans certaines conditions, à des traitements algorithmiques sur les images captées par les dispositifs de vidéoprotection ou des drones. Il doit permettre d'assurer la sécurité d’évènements sportifs, festifs ou culturels exposés à des risques d’atteintes graves à la sécurité des personnes, notamment de nature terroriste. この法案は、映像保護システムやドローンによって撮影された映像のアルゴリズム処理を、一定の条件の下で使用することを認める実験的な枠組みを作るものである。これは、スポーツ、祝祭、文化イベントなど、特にテロリストのような、個人の安全に対する深刻な脅威の恐れがある場合に、その安全を確保することを目的としている。
Ces traitements comportent des systèmes d’intelligence artificielle (IA), appelés « caméras augmentées ». Ils auront pour objet l’analyse automatique des images en temps réel, par des algorithmes, pour détecter des évènements prédéterminés, par exemple la détection de mouvements de foules, de bagages, de gestes ou de comportements suspects, etc. この処理には、「拡張カメラ」と呼ばれる人工知能(AI)システムも含まれる。その目的は、リアルタイムで画像を自動的に分析し、アルゴリズムを使って、例えば群衆の動き、荷物、不審なジェスチャーや行動など、あらかじめ決められた事象を検出することにある。
Le recours à ces dispositifs soulève des enjeux nouveaux et substantiels en matière de vie privée : ces outils d’analyse des images peuvent conduire à une collecte massive de données personnelles et permettent une surveillance automatisée en temps réel. Le déploiement, même expérimental, de ces dispositifs constitue un tournant qui va contribuer à définir le rôle général qui sera attribué à ces technologies, et plus généralement à l’intelligence artificielle. Dans sa position, publiée en juillet 2022, la CNIL avait appelé à fixer des lignes rouges pour ce type de dispositifs et proposé des pistes pour fixer un encadrement adapté s’ils devaient être utilisés pour certains cas d’usage. これらのデバイスの使用は、新たな実質的なプライバシー問題を提起する。これらの画像分析ツールは、個人情報の大量収集につながり、自動的なリアルタイム監視を可能にし得るからだ。 実験的とはいえ、これらのデバイスの導入は、これらの技術、そしてより一般的な人工知能に帰する一般的な役割を定義するのに役立つ転換点です。 2022年7月に発表されたCNILの見解では、この種のデバイスにレッドラインを設定することを求め、特定の目的で使用する場合に適切な枠組みを確立する方法を提案している。
Les garanties prévues par le projet de loi permettent de limiter les risques d’atteinte aux données et à la vie privée des personnes et vont dans le sens des préconisations formulées par la CNIL dans sa prise de position sur les caméras augmentées de juillet 2022 : 法案に規定されている保証は、個人のデータとプライバシー侵害のリスクを抑えることを可能にし、2022年7月の拡張カメラに関するポジションペーパーでCNILが行った提言に沿うものである。
・un déploiement expérimental ; ・実験的展開 ;
・limité dans le temps et l’espace ; ・時間的・空間的に限定された
・pour certaines finalités spécifiques et correspondant à des risques graves pour les personnes ; ・特定の目的のため、個人にとって重大なリスクに対応するため。
・l'absence de traitement de données biométriques ; ・生体情報の加工がないこと。
・l'absence de rapprochement avec d’autres fichiers ; ・他のファイルとの整合性をとらない。
・l'absence de décision automatique : les algorithmes ne servent qu’à signaler des situations potentiellement problématiques à des personnes qui procèdent ensuite à une analyse humaine. ・自動的な意思決定が行われないこと:アルゴリズムは、問題の可能性がある状況を報告するためにのみ使用され、その後、人間が分析を行うことになる。
L’examen des caractéristiques génétiques pour les analyses antidopage アンチドーピング分析用DNA検査
L’article 4 du projet de loi vise à autoriser l’examen des caractéristiques génétiques ou la comparaison des empreintes génétiques du sportif en prévoyant de nouvelles dérogations au code civil, à des fins de lutte contre le dopage. 法案の第4条は、ドーピングとの闘いのために、民法からの新たな適用除外を規定することにより、遺伝的特徴の検査や競技者の遺伝的指紋の比較を許可することを目的としている。
Le gouvernement souhaite, par ces mesures, transposer les dispositions du code mondial antidopage dans le droit français, en vue de l’organisation des Jeux olympiques. Si la transposition du code mondial antidopage est nécessaire, la CNIL a souligné qu’il s’agirait de tests particulièrement intrusifs, qui dérogent de façon importante aux principes encadrant actuellement les analyses génétiques dans le code civil. これらの措置により、政府は、オリンピックの開催を考慮して、世界ドーピング防止規程の規定をフランスの法律に移項することを希望している。世界アンチ・ドーピング規程の移管は必要だが、CNILは、この検査は特に侵入的であり、現在民法で定められている遺伝子解析の原則から大きく逸脱すると強調した。
Elle a par ailleurs appelé le gouvernement à préciser les modalités d’information et de recueil du consentement du sportif. また、アスリートへの情報提供や同意取得の手続きを明記するよう求めた。
L’avis de la CNIL puis du Conseil d’État sur ce projet de loi ont conduit le gouvernement à le modifier : un nouveau texte a ensuite été déposé au Sénat le 22 décembre 2022. Il faut noter que la CNIL ne s’est pas prononcée sur cette nouvelle version du texte. この法案に対するCNILとConseil d'Étatの意見により、政府は法案を修正し、新しい文章が2022年12月22日に上院に提出された。なお、CNILはこの新バージョンのテキストについて意見を述べていない。
L'avis de la CNIL CNILの意見
> Délibération n° 2022-118 du 8 décembre 2022 portant avis sur un projet de loi portant sur les jeux Olympiques et Paralympiques de 2024  > 2024年オリンピック・パラリンピック競技大会に関する法律案に関する審議第2022-118号(2022年12月8日)
Pour approfondir 詳細
> Déploiement de caméras « augmentées » dans les espaces publics : la CNIL publie sa position  > 公共スペースにおける「拡張」カメラの配備:CNILが見解を発表 

 

1_20220505035301

 

 

| | Comments (0)

米国 MITRE インテリジェンスのこれから:監視技術は現代生活の中に浸透している – インテリジェンス・コミュニティは対応しなければならない

こんにちは、丸山満彦です。

アドテックに代表される、顧客にカスタマイズした提案ができるように、顧客に関する情報を収集し、分析できるようにする技術(例えば、Facebookなど)が世の中に普及していますが、敵対的な国の情報機関は、このような情報を使った諜報活動を容易にすることができますよね。。。という、MITREによる話です。。。

 

MITRE - News & Insights

・2023.01.09 Surveillance Technologies Are Imbedded into the Fabric of Modern Life–The Intelligence Community Must Respond

Surveillance Technologies Are Imbedded into the Fabric of Modern Life–The Intelligence Community Must Respond 監視技術は現代生活の中に浸透している – インテリジェンス・コミュニティは対応しなければならない 
Today’s advertising technology, generating vast amounts of data that includes our identity, locations, and connections, has immense intelligence potential but also poses a threat from adversaries. The Intelligence Community can help develop countermeasures. 今日の広告テクノロジーは、私たちのアイデンティティ、位置、接続を含む膨大な量のデータを生成し、膨大なインテリジェンスの可能性を秘めているが、同時に敵対者からの脅威も引き起こす。インテリジェンス・コミュニティは、その対策に貢献することができる。
As we interact with our phones, websites, and the digital ecosystem, ubiquitous surveillance generates vast amounts of commercial data that creates enduring records of our identity, locations, and connections. This commercial surveillance data is collected, repackaged, and sold in a vast and largely unregulated commercial market and is readily available for purchase by companies around the world and by our adversaries. Despite its omnipresent nature, many national policymakers still do not fully appreciate the overarching national security considerations of commercial surveillance technology that continuously collects personal information, ostensibly to better tune advertising. 私たちが携帯電話やウェブサイト、デジタル・エコシステムを利用する際、ユビキタス監視によって膨大な量の商業データが生成され、私たちのアイデンティティ、場所、接続に関する永続的な記録が作成されます。この商業的監視データは、膨大でほとんど規制されていない商業市場で収集、再パッケージ化、販売されており、世界中の企業や敵対者が容易に購入できるようになっています。その遍在性にもかかわらず、多くの国家政策立案者は、表向きは広告をよりよく調整するために個人情報を継続的に収集する商業的監視技術の包括的な国家安全保障への配慮をまだ十分に理解していない。
The intelligence potential of this Advertising Technology or “AdTech” data is immense, and America's adversaries are leveraging commercial AdTech data to enhance their asymmetric capabilities. The IC is uniquely positioned to both have exquisite insights into adversarial capabilities and threats, as well as a detailed understanding of how the advanced analysis of how these data sets can yield actionable insights.  The IC should take action to understand and enumerate where in the ecosystem is there more risk and where effective countermeasures could strengthen defense and enhance security. このアドテクノロジー(AdTech)データによる諜報活動の可能性は計り知れず、アメリカの敵は商業アドテクデータを活用して非対称能力を高めている。ICは、敵対的な能力と脅威に関する精緻な洞察と、これらのデータセットの高度な分析が実用的な洞察をもたらす方法に関する詳細な理解の両方を持つユニークな立場にある。  ICは、エコシステムのどこにリスクがあり、どこに効果的な対策があれば防衛を強化し、セキュリティを向上できるかを理解し、列挙するための行動を取るべきである。

 

・[PDF]

20230115-20745

・[DOCX] 仮訳

 

 

 

 

| | Comments (0)

2023.01.14

米国 NIST SP 800-217 (ドラフト) アイデンティティ検証(PIV)連携に関するガイドライン

こんにちは、丸山満彦です。

NISTが「 SP 800-157 Rev. 1 (ドラフト) 派生した個人アイデンティティ検証 (PIV) クレデンシャルに関するガイドライン」と同時に、「NIST SP 800-217 (ドラフト) アイデンティティ検証(PIV)連携に関するガイドライン」を公表し、意見募集をしていますね。。。

FIPS 201-3: Personal Identity Verification (PIV) of Federal Employees and Contractors(連邦職員および委託業者のアイデンティティの検証(PIV))を補完するものですね。。。

 

Fig1_20230112031001

NIST - ITL

・2023.01.10 SP 800-217 (Draft) Guidelines for Personal Identity Verification (PIV) Federation

SP 800-217 (Draft) Guidelines for Personal Identity Verification (PIV) Federation SP 800-217 (ドラフト) アイデンティティ検証(PIV)連携に関するガイドライン
Announcement 発表
Summary 概要
This publication complements FIPS 201-3, which defines the requirements and characteristics of government-wide interoperable identity credentials used by federal employees and contractors. The draft guidelines in SP 800-217 provide technical requirements on the use of federated PIV identity and the use of assertions to implement PIV federations backed by PIV identity accounts and PIV credentials. この出版物は、連邦職員および請負業者が使用する政府全体の相互運用可能な ID クレデンシャ ルの要件および特性を定義している FIPS 201-3 を補完するものである。SP 800-217 のドラフト・ガイドラインは、PIV ID アカウントおよび PIV クレデンシャルに支えられた PIV 連係を実装するために、連係した PIV ID の使用およびアサーションの使用に関する技術的要件を提供する。
Note to Reviewers 査読者への注記
The family of PIV credentials includes a variety of form factors and authenticator types – as envisioned in OMB Memoranda M-19-22 and M-22-09 and subsequently outlined in FIPS 201-3. The cross-domain and interagency use of these credentials is provided by federation protocols outlined in this public draft SP 800-217 Guidelines for PIV Federation. The companion document, SP 800-157r1 Guidelines for Derived PIV Credentials, details the authenticators themselves. Both documents are closely aligned with draft release SP 800-63-4 Digital Identity Guidelines. NIST hopes that the draft document enable a close alignment with new and emerging digital identity and federation technologies employed in the federal government, while maintaining a strong security posture. PIV クレデンシャル・ファミリは、OMB メモランダム M-19-22 および M-22-09 で想定され、その後 FIPS 201-3 で概説されたように、さまざまなフォーム係数および認証子タイプを含んでいる。これらのクレデンシャルの分野横断的および省庁間の使用は、この公開草案 SP 800-217 個人確認(PIV)連携に関するガイドライン で概説された連携プロトコルによって提供される。附属書の SP 800-157r1 派生した PIV クレデンシャルに関するガイドライン は、認証子そのものを詳述している。両方の文書は、ドラフト・リリース SP 800-63-4 デジタル・アイデンティティ・ガイドラインに密接に整合している。NIST は、このドラフトが、連邦政府で採用されている新し いデジタル ID および連携技術と緊密に連携し、強力なセキュリティ体制を維持できるようになることを期待している。
NIST is specifically interested in comments on and recommendations for the following topics: NISTは、特に以下のトピックに関するコメントおよび推奨事項を求めている。
Home Agency Attributes ホーム機関属性
・Are additional attributes needed in the guidelines to achieve interagency or cross-domain interoperability? ・機関間またはドメイン間の相互運用性を達成するために、ガイドラインに追加の属性が必要か?
・Are additional attributes required for RP provisioning and access? ・RP のプロビジョニングとアクセスに追加の属性が必要か?
PIV Federation PIV フェデレーション
・Are additional process steps or mechanisms needed for the connection and communication between home-IdP-to PIV identity account? ・ホーム-IDP-PIV ID アカウント間の接続と通信に追加のプロセス手順または機構が必要か?
・Do the required parameters for establishing trust agreements fit the use cases for PIV RPs? ・トラスト・アグリーメントを確立するために必要なパラメータは、PIV RP の使用事例に適合しているか?
・Are the required identity attributes sufficient for PIV use cases? ・要求される ID 属性は、PIV 使用事例にとって十分か?
・Are the federated subject identifier requirements sufficient for PIV use cases? ・連携対象識別子の要件は、PIV の使用事例にとって十分か?
・Is it clear how to apply the binding ceremony for RP-managed bound authenticators at FAL3 to PIV and non-PIV authenticators? ・FAL3 で RP が管理する結合認証子の結合式を PIV および非 PIV 認証子に適用する方法は明確か?
Abstract 概要
FIPS 201 defines the requirements and characteristics of government-wide interoperable identity credentials used by federal employees and contractors. It also calls for the federated use of those credentials. These guidelines provide technical requirements for federal agencies implementing digital identity services for federal employees and contractors and are not intended to constrain the development or use of standards outside of this purpose. This document focuses on the use of federated PIV identity and the use of assertions to implement PIV federations backed by PIV identity accounts and PIV credentials. Federation allows a PIV identity account to be used by relying parties outside the PIV identity account's home agency. FIPS 201 は、連邦職員および請負業者が使用する政府全体の相互運用可能な ID クレデンシャ ルの要件および特性を定義している。また、これらのクレデンシャルの連携利用を要求している。このガイドラインは、連邦職員および請負業者のためのデジタル ID サービスを実装する連邦機関 のための技術要件を提供し、この目的以外の標準の開発または使用を制約することは意図していない。この文書は、PIV ID アカウントおよび PIV クレデンシャルに裏付けられた PIV 連帯を実施するための、連 帯された PIV ID の使用およびアサーションの使用に重点を置いている。フェデレーションにより、PIV ID アカウントの所属機関以外の依拠当事者によって PIV ID アカウントが使用されるようになる。

 

・[PDF] SP 800-217 (Draft)

20230112-34623

 

目次...

Table of Contents  目次 
1. Introduction 1. はじめに
1.1. Background 1.1. 背景
1.2. Purpose and Scope 1.2. 目的および範囲
1.3. Federation Use Cases 1.3. 連携の使用例
1.3.1. Federation Considerations 1.3.1. 連携に関する考察
1.4. Audience 1.4. 想定読者
1.5. Notations 1.5. 表記方法
1.6. Document Structure 1.6. 文書構造
2. Architecture 2. アーキテクチャ
2.1. PIV Identity Account 2.1. PIV アイデンティティ・アカウント
2.2. Identity Providers 2.2. ID プロバイダ
2.2.1. Home IdP 2.2.1. ホーム IdP
2.2.2. PIV IdP 2.2.2. PIV IdP
2.3. PIV Credentials 2.3. PIV クレデンシャル
2.4. Relying Parties 2.4. 依拠当事者
3. Trust Agreements 3. トラスト・アグリーメント
3.1. Bilateral Agreements 3.1. 二者契約
3.2. Multilateral Agreements 3.2. 多者契約
3.3. Identity Proxies and Brokers 3.3. 身分証明書代理人および仲介業者
3.4. Shared Signaling 3.4. 共有シグナリング
3.5. Home IdPs 3.5. ホームIdP
4. Federation Assurance Level (FAL) 4. フェデレーション保証レベル(FAL)
4.1. Reaching Different FALs in PIV Federation 4.1. PIV 連盟における異なる FAL への到達
4.1.1. FAL1 4.1.1. FAL1
4.1.2. FAL2 4.1.2. FAL2
4.1.3. FAL3 4.1.3. FAL3
4.2. Selecting FAL 4.2. FALの選択
5. Requirements of IdPs and RPs 5. IdP と RP の要件
5.1. IdP Requirements 5.1. IdP の要件
5.1.1. Authentication Requirements 5.1.1. 認証の要件
5.1.2. PIV Identity Account Identification 5.1.2. PIV Identity アカウント識別
5.1.3. Session Management 5.1.3. セッション管理
5.2. RP Requirements 5.2. RP 要件
5.2.1. Assertion Processing 5.2.1. アサーション処理
5.2.2. RP Subscriber Accounts 5.2.2. RP 利用者アカウント
5.2.3. Session Management 5.2.3. セッション管理
5.2.4. Changing the Federated Identifier 5.2.4. 連携識別子の変更
6. Protocol Requirements 6. プロトコル要件
6.1. Required Attributes 6.1. 必要な属性
6.2. Assertion Contents 6.2. アサーション内容
6.2.1. Federated Identifier 6.2.1. 連携識別子
6.2.2. Authorization and Access Rights 6.2.2. 認証とアクセス権
6.3. Discovery and Registration 6.3. 発見と登録
6.4. Assertion Presentation 6.4. アサーションプレゼンテーション
6.5. Attribute APIs 6.5. 属性API
6.6. Identity Proxies and Brokers 6.6. IDプロキシとブローカー
References 参考文献
Appendix A. Examples 附属書A. 例
A.1. Direct Connection to the Home IdP A.1. ホームIdPへの直接接続
A.2. Multilateral Federation Network A.2. 多者間連携ネットワーク
A.3. Enterprise Application A.3. エンタープライズ・アプリケーション
A.4. PKI-Based Federation Gateway A.4. PKIベースの連携ゲートウェイ
A.5. PIV Federation Proxy as a Federation Authority A.5. 連携認証元としての PIV 連携プロキシ
A.6. FAL3 With a PIV Card A.6. FAL3 と PIV カード
A.7. FAL3 With an RP-Bound Authenticator A.7. RP バウンド認証機能付き FAL3
Appendix B. Glossary of Terms 附属書B. 用語集
Appendix C. Abbreviations 附属書C. 略語

 

2章 情報提供 PIV連携の一般的なアーキテクチャの記述。
3章 規範 PIV連携におけるトラスト・アグリーメントの記述。
4章 規範 PIV連携に適用されるフェデレーション保証レベルについての説明。
5章 規範 PIV連携における IdP と RP の要件についての説明。
6章 規範 アサーション・コンテンツを含む、PIV連携要素の要件。
参考文献 情報提供 本文書から参照される出版物のリスト
附属書A 参考資料 本文書で使用される特定の用語の用語集
附属書B 参考資料 本文書で使用される略語の抜粋リスト

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.01.14 米国 NIST SP 800-157 Rev. 1 (ドラフト) 派生した個人アイデンティティ検証 (PIV) クレデンシャルに関するガイドライン

・2022.12.19 NIST SP 800-63-4 (ドラフト) デジタル・アイデンティティ・ガイドライン 、63A-4 (ドラフト) 登録と身元確認、63B-4 (ドラフト) 本人認証とライフサイクル管理、63C-4 (ドラフト) 連携とアサーション

・2022.01.25 NIST FIPS 201-3 連邦職員および委託業者のアイデンティティの検証(PIV)

・2020.11.05 NIST FIPS 201-3 (Draft) Personal Identity Verification (PIV) of Federal Employees and Contractors 連邦政府職員および委託業者の個人認証(PIV)について

 

 

 

 

 

| | Comments (0)

米国 NIST SP 800-157 Rev. 1 (ドラフト) 派生した個人アイデンティティ検証 (PIV) クレデンシャルに関するガイドライン

こんにちは、丸山満彦です。

NISTが「 NIST SP 800-217 (ドラフト) アイデンティティ検証(PIV)連携に関するガイドライン」と同時に、「SP 800-157 Rev. 1 (ドラフト) 派生した個人アイデンティティ検証 (PIV) クレデンシャルに関するガイドライン」を公表し、意見募集をしていますね。。。

 

NIST - ITL

・2023.01.10 SP 800-157 Rev. 1 (Draft) Guidelines for Derived Personal Identity Verification (PIV) Credentials

SP 800-157 Rev. 1 (Draft) Guidelines for Derived Personal Identity Verification (PIV) Credentials SP 800-157 Rev. 1 (ドラフト) 派生した個人アイデンティティ検証 (PIV) クレデンシャルに関するガイドライン
Announcement 発表
Summary 概要
This publication complements FIPS 201-3, which defines the requirements and characteristics of government-wide interoperable identity credentials used by federal employees and contractors. The draft guidelines in SP 800-157r1 detail the issuance and maintenance of authenticators used as derived PIV credentials. この出版物は、連邦職員および請負業者が使用する政府全体の相互運用可能な ID クレデンシャ ルの要件および特性を定義する FIPS 201-3 を補完するものである。SP 800-157r1 のドラフトガイドラインは、派生 PIV クレデンシャルとして使用される認証子の発 行および保守について詳述している。
... ...
Note to Reviewers 査読者への注記
Draft NIST SP 800-157r1 Guidelines for Derived Personal Identity Verification (PIV) Credentials expands the use of derived PIV credentials beyond mobile devices to include non-PKI-based phishing-resistant multi-factor credentials. The draft details the expanded set of derived PIV credentials in a variety of form factors and authenticator types as envisioned in OMB Memoranda M-19-22 and M-22-09, and subsequently outlined in FIPS 201-3. The cross-domain and interagency use of these credentials is provided by federation protocols outlined in the initial public draft of SP 800-217, Guidelines for PIV Federation. Both documents are closely aligned with draft release SP 800-63-4, Digital Identity Guidelines. NIST hopes that the draft document enables a close alignment with new and emerging digital authentication and federation technologies employed in the federal government, while maintaining a strong security posture. 派生個人アイデンティティ検証(PIV)クレデンシャルに関する NIST SP 800-157r1 ガイドラインドラフトは、派生 PIV クレデンシャルの使用をモバイル・デバイスを超えて、非 PKI ベースのフィッシング耐性多要素クレデンシャルに拡大する。ドラフトは、OMB メモランダム M-19-22 および M-22-09 で想定され、その後 FIPS 201-3 で概説された、さまざまなフォームファクタおよび認証子タイプでの派生 PIV クレデンシャルの拡張セットについて詳述している。これらのクレデンシャルの分野横断的および省庁間の使用は、SP 800-217「PIV フェデレーション のガイドライン」の最初の公開ドラフトに概説されているフェデレーション・プロトコルによって提供され る。両方の文書は、ドラフト・リリース SP 800-63-4「デジタル ID ガイドライン」と緊密に連携している。NIST は、このドラフト文書によって、連邦政府で採用されている新し いデジタル認証およびフェデレーション技術と緊密に連携し、強力なセキュリティ体 制を維持することができるようになることを期待している。
NIST is specifically interested in comments on and recommendations for the following topics: NIST は、特に以下のトピックに関するコメントおよび推奨事項を求めている。
1. Are the new controls for issuance, use, maintenance, and termination of non-PKI-based derived PIV credentials clear and practical to implement? 1. 非 PKI ベースの派生 PIV クレデンシャルの発行、使用、維持、および終了に関する新しい管理は、 明確であり実施に実用的であるか。
2. Are phishing-resistant authenticators available to meet agency use cases as well as the requirements for derived PIV authentication? 2. フィッシング耐性のある認証器は、派生 PIV 認証の要件だけでなく、機関の使用事例を満たすために利用可能であるか。
3. Are the new controls sufficient to provide comparable assurance to PIV Cards and other derived PIV credentials? 3. 新しい管理は、PIV カードおよび他の派生 PIV クレデンシャルに匹敵する保証を提供す るのに十分であるか。
Abstract 概要
This recommendation provides technical guidelines for the implementation of standards-based, secure, reliable credentials that are issued by federal departments and agencies to individuals who possess and prove control of their valid PIV Card. These credentials can be either public key infrastructure (PKI)-based like the PIV Card or non PKI-based but verified by the individual's home agency. The scope of this document includes requirements for the initial issuance and maintenance of these credentials, certificate policies as applicable, cryptographic specifications, technical specifications for permitted authenticator types, and the command interfaces for removable implementations of such PKI-based credentials. この勧告は、連邦省庁が、有効な PIV カードを所有し、その管理を証明する個人に発行する、標 準ベースの安全で信頼できるクレデンシャルの実装のための技術的ガイドラインを提供する。これらのクレデンシャルは、PIV カードのように公開鍵基盤(PKI)ベースであるか、PKI ベースではないが個人の所属機関によって検証されるかのいずれかである。この文書の範囲には、これらのクレデンシャルの初期発行および保守の要件、該当する場合 の認証方針、暗号化仕様、許可された認証子タイプの技術仕様、およびこのような PKI ベースのクレデンシャルの取り外し可能な実装のためのコマンド・インターフェイスが含まれる。

 

・[PDF]  SP 800-157 Rev. 1 (Draft)

20230114-04629

 

目次...

1. Introduction 1. はじめに
1.1. Background 1.1. 背景
1.2. Purpose and Scope 1.2. 目的および範囲
1.3. Audience 1.3. 想定読者
1.4. Requirements Notation and Conventions 1.4. 要求事項の表記方法と慣例
1.5. Document Structure 1.5. 文書構造
1.6. Key Terminology 1.6. 主要用語
2. Lifecycle Activities and Related Requirements 2. ライフサイクル活動及び関連要求事項
2.1. Derived PIV Credential Lifecycle Activities 2.1. 派生 PIV クレデンシャル・ライフサイクル活動
2.2. Initial Issuance 2.2. 初期発行
2.2.1. PKI-based Derived PIV Credential Issuance 2.2.1. PKI ベースの派生 PIV クレデンシャルの発行
2.2.2. Non-PKI-based Derived PIV Credential Issuance 2.2.2. 非 PKI ベースの派生 PIV クレデンシャルの発行
2.3. Maintenance 2.3. 保守
2.3.1. PKI-based Derived PIV Credential Maintenance 2.3.1. PKI ベースの派生 PIV クレデンシャルの保守
2.3.2. Non-PKI-based Derived PIV Credential Maintenance 2.3.2. 非 PKI ベースの派生 PIV クレデンシャルの保守
2.4. Invalidation 2.4. 無効化
2.4.1. PKI-based Derived PIV Credential Invalidation 2.4.1. PKI ベースの派生 PIV クレデンシャルの無効化
2.4.2. Non-PKI-based Derived PIV Credential Invalidation 2.4.2. 非 PKI ベースの派生 PIV クレデンシャルの無効化
3. Technical Requirements 3. 技術要件
3.1. PKI-based Derived PIV Credentials 3.1. PKI ベースの派生 PIV クレデンシャル
3.1.1. Certificate Policies for Derived PIV Credentials 3.1.1. 派生 PIV クレデンシャルの証明書ポリシー。
3.1.2. Cryptographic Specifications 3.1.2. 暗号化仕様
3.1.3. Allowable Authenticator Types 3.1.3. 許可される認証機関タイプ
3.1.4. Activation Data 3.1.4. アクティベーションデータ
3.2. Non-PKI-based Derived PIV Credentials 3.2. 非 PKI ベースの派生 PIV クレデンシャル
3.2.1. Allowable Authenticator Types 3.2.1. 許可される認証機関タイプ
3.2.2. Cryptographic Specifications 3.2.2. 暗号化仕様
3.2.3. Activation Data 3.2.3. アクティベーションデータ
3.3. Binding Derived PIV Credentials 3.3. 派生PIVクレデンシャルのバインディング
References 参考文献
Appendix A. Digital Signature and Key Management Keys 附属書 A. デジタル署名およびキー管理キー
Appendix B. Data Model and Interfaces for Removable or Wireless PKI-based Hardware Cryptographic Devices 附属書 B. 取り外し可能またはワイヤレス PKI ベースのハードウェア暗号化装置のデータ・モデルおよびインター フェース
B.1. Derived PIV Application Data Model and Representation B.1. 派生PIV アプリケーション・データ・モデルおよび表現
B.1.1. Derived PIV Application Identifier B.1.1. 派生PIV アプリケーション識別子
B.1.2. Derived PIV Application Data Model Elements B.1.2. 派生PIVアプリケーション・データ・モデル要素
B.1.3. Derived PIV Application Data Objects Representation B.1.3. 派生PIVアプリケーション・データ・オブジェクトの表現
B.1.4. Derived PIV Application Data Types and Their Representation B.1.4. 派生PIVアプリケーション・データ型とその表現
B.1.5. Derived PIV Authentication Mechanisms B.1.5. 派生する PIV 認証機構
B.2. Derived PIV Application Token Command Interface B.2. 派生PIVアプリケーション・トークン・コマンド・インタフェース
B.2.1. Authentication of an Individual B.2.1. 個人の認証
Appendix C. Example Issuance Processes 附属書 C.発行プロセス例
C.1. Example Issuance of a Derived PIV Credential at AAL2 C.1. AAL2 での派生 PIV クレデンシャルの発行例
C.2. Example Binding of a Derived PIV Credential at AAL3 C.2. AAL3 での派生 PIV クレデンシャルのバインディング例。
Appendix D. Glossary 附属書 D. 用語集
Appendix E. Acronyms and Abbreviations 附属書 E. 頭字語および略語
Appendix F. Change Log 附属書 F. 変更履歴

 


余談ですが、国土交通省の内部監査部門である、Department of Homeland Security OIG (国土交通省監察官室)が、離職した従業員および請負業者の個人識別情報確認(PIV)カードへのアクセスを常に停止したり、セキュリティクリアランスを撤回したりしていなかったと報告していますね。。。

Oversight.Gov

・2023.01.09 DHS Did Not Always Promptly Revoke PIV Card Access and Withdraw Security Clearances for Separated Individuals

参考までに。。。

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.01.12 米国 NIST SP 800-217 (ドラフト) アイデンティティ検証(PIV)連携に関するガイドライン

・2022.12.19 NIST SP 800-63-4 (ドラフト) デジタル・アイデンティティ・ガイドライン 、63A-4 (ドラフト) 登録と身元確認、63B-4 (ドラフト) 本人認証とライフサイクル管理、63C-4 (ドラフト) 連携とアサーション

・2022.01.25 NIST FIPS 201-3 連邦職員および委託業者のアイデンティティの検証(PIV)

・2020.11.05 NIST FIPS 201-3 (Draft) Personal Identity Verification (PIV) of Federal Employees and Contractors 連邦政府職員および委託業者の個人認証(PIV)について

 

| | Comments (0)

2023.01.13

個人情報保護委員会 「犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会報告書(案)」に関する意見募集

こんにちは、丸山満彦です。

個人情報保護委員会が、「犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会報告書(案)」に関する意見募集をしていますね。。。

この論点は重要ですよね。。。

 

● 個人情報保護委員会

・2023.01.12 「犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会報告書(案)」に関する意見募集を開始しました。

● e-Gov.

・2023.01.12 「犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会報告書(案)」に関する意見募集について

意見募集対象...

・[PDF] 犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会報告書(案) 

20230113-33145

目次...


第 1 章  本報告書の背景

1 顔識別機能付きカメラシステムを巡る国内動向
2 本報告書の対象範囲について
(1)
取り扱う個人情報
(2) 顔識別機能付きカメラを設置する空間的範囲
(3) 顔識別機能付きカメラシステムを利用する目的
(4) 顔識別機能付きカメラシステムを利用する主体的範囲

3 本報告書の位置づけ

第 2 章 用語の定義

第 3 章 顔識別機能付きカメラシステムについて

1 顔識別機能付きカメラシステムやその他防犯システムの機能や動向
(1)
顔識別機能付きカメラシステムの技術的仕組み
(2) 顔識別機能付きカメラシステム以外の映像分析技術
(3) その他の防犯システム、対策

2 顔識別機能付きカメラシステムを利用することの利点・懸念点
(1)
顔識別機能付きカメラシステムを利用することの利点
(2) 顔識別機能付きカメラシステムを利用することの懸念点

3 犯罪予防や安全確保のために顔識別機能付きカメラシステムを利用することが想定される場面
(1)
犯罪予防
(2) 要保護者保護

第 4 章 肖像権・プライバシーに関する留意点

1 肖像権・プライバシー侵害を争点とする裁判例
(1)
肖像権・プライバシー侵害を争点とする判例
(2) カメラ撮影に関する肖像権・プライバシー侵害を争点とする裁判例における考慮要素
(3) 顔識別機能付きカメラシステムを利用する場合への示唆

2 不法行為の成否と個人情報保護法の関係
(
参考) カメラ撮影に関する肖像権・プライバシー侵害を争点とする裁判例

第 5 章  顔識別機能付きカメラシステムを利用する際の個人情報保護法上の留意点

1 顔識別機能付きカメラシステムの利用と個人情報保護法の適用について
2 利用目的の特定、通知公表及びその他の個人情報に係る規律
(1)
利用目的の特定
(2) 利用目的等の通知公表等
(3) 不適正利用の防止及び適正取得のための態様
(4) 利用目的の通知公表等の例外
(5) 要配慮個人情報について
(6) 従来型防犯カメラについての考え方

3 運用基準の在り方及び当該内容に関する透明性の確保
(1)
登録基準
(2) 対応手順
(3) 保存期間
(4) 登録消去
(5) 運用基準に関する透明性の確保

4 安全管理措置
5 他の事業者等に対する個人データの提供
(1)
法令に基づく場合
(2) 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき及び公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
(3) 委託
(4) 共同利用

6 保有個人データに係る情報の公表等及び開示等の請求や相談への対応
(1)
保有個人データについて
(2) 保有個人データに係る情報の公表等
(3) 開示等の請求や相談への対応

(
参考) 顔識別機能付きカメラシステムに関する委託

第 6 章 事業者の自主的な取組として考えられる事項

1 実現しようとする内容の明確化・適切な手段の選択
2 導入前の影響評価
3 被撮影者への十分な説明
4 他の事業者との連携
5 導入後の検証

別紙1:顔識別機能付きカメラシステムの利用を巡る国際的な議論
別紙2:顔識別機能付きカメラシステムの検討の観点リスト
別紙3:施設内での掲示案
(参考資料)犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

 

Fig_20220201061401

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

この委員会

・2022.12.24 個人情報保護委員会 第7回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.09.10 個人情報保護委員会 第6回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.06.24 個人情報保護委員会 第5回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.05.25 個人情報保護委員会 第4回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.04.17 個人情報保護委員会 第3回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.03.16 個人情報保護委員会 第2回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.02.01 個人情報保護委員会 第1回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2021.12.25 個人情報保護委員会 犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会の設置

 

顔認識

・2022.12.24 個人情報保護委員会 第7回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.12.09 世界経済フォーラム (WEF) 顔認識の責任ある制限のためのポリシーフレームワーク ユースケース:法執行機関の捜査 9つの原則 (2022.11)

・2022.11.01 第44回 世界プライバシー会議 顔認識に関する決議

・2022.10.03 米国 2022年顔認識法案

・2022.09.10 個人情報保護委員会 第6回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.07.10 米国 GAO 顔認識技術:連邦政府機関の利用と関連するプライバシー保護 (2022.06.29)

・2022.06.24 個人情報保護委員会 第5回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.05.30 英国 情報コミッショナー 顔認識データベース会社Clearview AI Incに750万ポンド以上の罰金を科し、英国人のデータの削除を命じた

・2022.05.20 欧州データ保護委員会 (EDPB) 意見募集「法執行分野における顔認識技術の使用に関するガイドライン」

・2022.01.21 ENISA デジタル・アイデンティティ攻撃に注意:あなたの顔が偽装される可能性があります

・2021.12.25 個人情報保護委員会 犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会の設置

・2021.10.17 インターポール、国連地域間犯罪司法研究所、オランダ警察、世界経済会議が「顔認証を責任もって制限するためのポリシーフレームワーク ユースケース:法執行機関の捜査」 at 2021.10.05

・2021.09.29 世界経済フォーラム (WEF) 技術の責任ある利用:IBMをケースにした研究

・2021.09.27 欧州委員会 職場での電子モニタリングと監視 (Electronic Monitoring and Surveillance in the Workplace)

・2021.09.10 EU議会 提言 バイオメトリクス認識と行動検知

・2021.08.28 中国 意見募集 国家サイバースペース管理局 「インターネット情報サービスのアルゴリズムによる推奨に関する管理規定」

・2021.08.27 米国 GAO 顔認識技術:連邦政府機関による現在および計画中の使用方法

・2021.08.20 英国 意見募集 監視カメラ実施規範改訂案 by 監視カメラコミッショナー at 2021.08.13

・2021.08.11 EU議会 STUDY バイオメトリクス認識と行動検知

・2021.08.10 EU議会 STUDY ヨーロッパの政策におけるディープフェイクへの取り組み at 2021.07.30

・2021.08.08 EU議会 BRIEFING スマートシティとアーバンモビリティにおける人工知能 at 2021.07.23

・2021.08.07 総務省 AIネットワーク社会推進会議 「報告書2021」の公表

・2021.08.07 Atlantic Council AIとデータ倫理におけるコミットメントからコンテンツへの移行:正義と説明可能性

・2021.08.04 中国 通信院 信頼できる人工知能についての白書 at 2021.07.09

・2021.08.03 中国 最高人民法院 「民事案件における顔識別技術の使用に関する司法解釈」

・2021.07.15 米国GAO 顔認識技術について連邦法執行機関はプライバシーやその他のリスクをより適切に評価する必要がある at 2021.06.03

・2021.07.12 ニューヨーク市 生体情報プライバシー条例が2021.07.09から施行されましたね。。。

・2021.06.30 WHO 保健のための人工知能の倫理とガバナンス

・2021.06.28 EU 外交政策ツールとしての人工知能ガバナンス

・2021.06.23 欧州 EDPBとEDPS 公共の場における人の特徴を自動認識するためのAIの使用、および不当な差別につながる可能性のあるその他のAIの使用の一部を禁止するよう要請

・2021.06.22 欧州保険職業年金局 (EIOPA) 欧州保険セクターにおける倫理的で信頼できるAIガバナンス原則に関するレポートを公表

・2021.06.20 英国 情報コミッショナー 公共の場でのライブ顔認識技術の使用に関するプライバシーの懸念

・2021.06.17 米国上院・下院 顔認識ツールを含む生体情報監視を政府が使用することを禁止する「顔認識および生体認識技術モラトリアム法案」

・2021.06.17 英国政府:データ倫理とイノベーションセンター プライバシーに関するユーザの積極的選択中間報告(スマートフォン)

・2021.06.08 U.S. の公益団体であるEPICが顔認識技術および遠隔生体認識技術の使用禁止を世界的に呼びかけていますね。。。

・2021.05.12 カナダのプライバシーコミッショナーが顔認識技術について議会で見解を述べたようですね。。。

・2021.05.07 ドイツ連邦情報セキュリティ局 (BSI) が「監査可能なAIシステムを目指して - 現状と今後の展望」を公表しています

・2021.05.03 中国 意見募集 顔認識に続けて、歩行認識、音声認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。

・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね

・2021.04.22 ドイツ連邦情報セキュリティ局 (BSI) が安全なAI導入のための対策をまとめていますね。。。

・2021.04.21 U.S. FTC(連邦取引委員会) のブログ 会社でAIを活用する場合は真実、公正、公平を目指そう、という記事がありますね。。。

・2021.03.14 CNIL 乗客のマスク着用率を測定するためのインテリジェントビデオの使用に関する法令についての意見を公表

・2021.02.05 カナダのプライバシーコミッショナーが顔認識ソフトウェアを提供するClearview AIについての声明を出していますね。。。

・2021.01.30 欧州評議会 108号条約委員会が「顔認証に関するガイドライン」を採択しましたね。。。

・2021.01.12 欧州委員会 市民イニシアティブとして「生体認証による大量監視慣行の禁止」を登録

・2021.01.04 ニューヨーク州 知事が学校での顔認識技術の使用を一時停止し、研究を指示する法律に署名 at 2020.12.22

・2020.11.04 カナダプライバシー委員会 Cadillac Fairview社が500万人の顔データを取得していたことに関する報告書(2020.10.28)

・2020.06.26 人間が間違うなら、人間を模倣したAIも間違うんでしょうね。。。

・2020.06.14 IBM, Amazon, Microsoftは顔認証システムを米国の警察には販売しない

・2020.05.01 (人工知能 AI)ブラックボックスの検証:アルゴリズムシステムを評価するためのツール - アルゴリズムの監査・影響評価のための共通言語の特定

・2020.03.26 JVNVU#99619336 勾配降下法を使用する機械学習モデルに、誤った識別をさせるような入力を作成することが可能な問題

・2020.03.04 FIRST EVER DECISION OF A FRENCH COURT APPLYING GDPR TO FACIAL RECOGNITION

・2020.02.17 遠くからでもわかる顔認識システム!

ぐっと遡って、2000年代

・2009.11.07 世界プライバシー宣言(Global Privacy Standards for a Global World)

・2005.08.11 外務省 IC旅券調査研究報告書

・2005.02.04 監視社会と信頼関係

| | Comments (0)

2023.01.12

世界経済フォーラム (WEF) The Global Risks Report 2023 18th Edition グローバルリスク報告書2023

こんにちは、丸山満彦です。

今年もグローバルリスク報告書が、ダボス会議を前に公表されていますね。。。

昨年と短期のリスクで比較すると...

Fig1_20230112162401

 

● World Economic Forum

・2023.01.11 Global Risks Report 2023

Global Risks Report 2023 グローバルリスク報告書2023
The world faces a set of risks that feel both wholly new and eerily familiar. The Global Risks Report 2023 explores some of the most severe risks we may face over the next decade. As we stand on the edge of a low-growth and low-cooperation era, tougher trade-offs risk eroding climate action, human development and future resilience. 世界は、全く新しいと同時に不気味なほど身近なリスクに直面している。「グローバルリスク報告書2023」は、今後10年間に我々が直面する可能性のある最も深刻なリスクのいくつかを探っている。低成長・低協力時代の端境期にある今、より厳しいトレードオフが気候変動対策、人間開発、未来のレジリエンスを侵食するリスクをはらんでいる。

 

・・Key Findings

Key Findings 主要な調査結果
The first years of this decade have heralded a particularly disruptive period in human history. The return to a “new normal” following the COVID-19 pandemic was quickly disrupted by the outbreak of war in Ukraine, ushering in a fresh series of crises in food and energy – triggering problems that decades of progress had sought to solve. この10年の最初の数年間は、人類の歴史上、特に破壊的な時代を告げるものであった。COVID-19のパンデミック後の「新しい日常」への回帰は、ウクライナでの戦争の勃発によってすぐに中断され、食糧とエネルギーにおける新たな一連の危機をもたらし、数十年の進歩が解決しようとしていた問題を引き起こした。
As 2023 begins, the world is facing a set of risks that feel both wholly new and eerily familiar. We have seen a return of “older” risks – inflation, cost-of-living crises, trade wars, capital outflows from emerging markets, widespread social unrest, geopolitical confrontation and the spectre of nuclear warfare – which few of this generation’s business leaders and public policy-makers have experienced. These are being amplified by comparatively new developments in the global risks landscape, including unsustainable levels of debt, a new era of low growth, low global investment and de-globalization, a decline in human development after decades of progress, rapid and unconstrained development of dual-use (civilian and military) technologies, and the growing pressure of climate change impacts and ambitions in an ever-shrinking window for transition to a 1.5°C world. Together, these are converging to shape a unique, uncertain and turbulent decade to come. 2023年が始まると、世界はまったく新しいと同時に、不気味なほど馴染みのあるリスクに直面することになる。インフレ、生活コスト危機、貿易戦争、新興国からの資本流出、広範な社会不安、地政学的対立、核戦争の脅威など、この世代のビジネスリーダーや公共政策決定者がほとんど経験していない「古い」リスクが再来している。これらは、持続不可能なレベルの債務、低成長の新時代、世界的な低投資と脱グローバリズム、数十年にわたる進歩の後の人間開発の衰退、急速かつ無制限の民生・軍事両用技術の開発、1.5℃の世界へ移行するための時間がますます短くなる中で高まる気候変動の影響と野心といった、世界のリスク情勢の比較的新しい展開によって増幅されつつあるのである。これらは、今後10年間をユニークで不確実、かつ激動的なものにするために集約されている。
The Global Risks Report 2023 presents the results of the latest Global Risks Perception Survey (GRPS). We use three time frames for understanding global risks. Chapter 1 considers the mounting impact of current crises (i.e. global risks which are already unfolding) on the most severe global risks that many expect to play out over the short term (two years). Chapter 2 considers a selection of risks that are likely to be most severe in the long term (10 years), exploring newly emerging or rapidly accelerating economic, environmental, societal, geopolitical and technological risks that could become tomorrow’s crises. Chapter 3 imagines mid-term futures, exploring how connections between the emerging risks outlined in previous sections may collectively evolve into a “polycrisis” centred around natural resource shortages by 2030. The report concludes by considering perceptions of the comparative state of preparedness for these risks and highlighting enablers to charting a course to a more resilient world. Below are key findings of the report. 「グローバルリスク報告書2023』は、最新のグローバルリスク認識調査(GRPS)の結果を示している。グローバルリスクを理解するために、3つの時間軸を使用している。第1章では、現在の危機(すなわち、すでに発生しているグローバルリスク)がもたらす影響のうち、多くの人が短期的(2年間)に発生すると予想する最も深刻なグローバルリスクについて考察している。第2章では、長期的(10年)に最も深刻になると思われるリスクを取り上げ、明日の危機となりうる経済、環境、社会、地政学、技術上のリスクが新たに出現し、あるいは急速に加速していることを探る。第3章では、中期的な未来を想定し、前章で説明した新たなリスクの関連性が、2030年までに天然資源不足を中心とした「無作為危機 (polycrisis) 」へと発展する可能性を探っている。最後に、これらのリスクに対する備えの比較状況について考察し、より強靭な世界への道筋を描くためのイネーブラを強調する。以下は、本レポートの主な調査結果である。
Cost of living dominates global risks in the next two years while climate action failure dominates the next decade 今後2年間のグローバルリスクは生活費に支配され、今後10年間は気候変動対策の失敗に支配される
The next decade will be characterized by environmental and societal crises, driven by underlying geopolitical and economic trends. “Cost-of-living crisis” is ranked as the most severe global risk over the next two years, peaking in the short term. “Biodiversity loss and ecosystem collapse” is viewed as one of the fastest deteriorating global risks over the next decade, and all six environmental risks feature in the top 10 risks over the next 10 years. Nine risks are featured in the top 10 rankings over both the short and the long term, including “Geoeconomic confrontation” and “Erosion of social cohesion and societal polarisation”, alongside two new entrants to the top rankings: “Widespread cybercrime and cyber insecurity” and “Large-scale involuntary migration”. 今後10年間は、地政学的・経済的なトレンドが背景にあり、環境的・社会的な危機が特徴的となる。「生活コスト危機」は、今後 2 年間で最も深刻なグローバルリスクとして位置づけられ、短期的にピークを迎える。 「生物多様性の損失と生態系の崩壊」は、今後 10 年間で最も急速に悪化するグローバルリスクの 1 つと見なされ、今後 10 年間のトップ 10 リスクに 6 つの環境リスクすべてが含まれている。短期と長期の両方で9つのリスクがトップ10に入り、「地政学的対立」「社会的結束の低下と社会の二極化」などがランクインし、「サイバー犯罪とサイバー不安の蔓延」、「大規模な非自発的移住」といった2つの新たなリスクが上位に加わっている。 
Figure A | Global risks ranked by severity over the short and long term 図A|グローバルリスクの短期・長期的な深刻度ランキング
20230112-155713
As an economic era ends, the next will bring more risks of stagnation, divergence and distress 経済の時代が終わり、次の時代には停滞、乖離、苦悩のリスクが増加する
The economic aftereffects of COVID-19 and the war in Ukraine have ushered in skyrocketing inflation, a rapid normalization of monetary policies and started a low-growth, low-investment era. COVID-19とウクライナ戦争の経済的後遺症は、高騰するインフレ、金融政策の急速な正常化をもたらし、低成長、低投資の時代を開始させた。
Governments and central banks could face stubborn inflationary pressures over the next two years, not least given the potential for a prolonged war in Ukraine, continued bottlenecks from a lingering pandemic, and economic warfare spurring supply chain decoupling. Downside risks to the economic outlook also loom large. A miscalibration between monetary and fiscal policies will raise the likelihood of liquidity shocks, signaling a more prolonged economic downturn and debt distress on a global scale. Continued supply-driven inflation could lead to stagflation, the socioeconomic consequences of which could be severe, given an unprecedented interaction with historically high levels of public debt. Global economic fragmentation, geopolitical tensions and rockier restructuring could contribute to widespread debt distress in the next 10 years. 政府や中央銀行は今後2年間、頑強なインフレ圧力に直面する可能性があり、特にウクライナ戦争の長期化の可能性、長引くパンデミックによるボトルネックの継続、経済戦争によるサプライチェーンの断絶を考えると、なおさらである。また、景気の下振れリスクも大きい。金融政策と財政政策の誤りは、流動性ショックの可能性を高め、景気後退の長期化と世界的な債務危機を示唆する。供給主導のインフレが続けばスタグフレーションになりかねず、歴史的に高水準の公的債務との前例のない相互作用を考えると、その社会経済的影響は深刻なものになる可能性がある。世界経済の断片化、地政学的緊張、より不安定な構造改革は、今後10年間に広範な債務苦につながる可能性がある。
Even if some economies experience a softer-than-expected economic landing, the end of the low interest rate era will have significant ramifications for governments, businesses and individuals. The knock-on effects will be felt most acutely by the most vulnerable parts of society and already-fragile states, contributing to rising poverty, hunger, violent protests, political instability and even state collapse. Economic pressures will also erode gains made by middle-income households, spurring discontent, political polarization and calls for enhanced social protections in countries across the world. Governments will continue to face a dangerous balancing act between protecting a broad swathe of their citizens from an elongated cost-of-living crisis without embedding inflation – and meeting debt servicing costs as revenues come under pressure from an economic downturn, an increasingly urgent transition to new energy systems, and a less stable geopolitical environment. The resulting new economic era may be one of growing divergence between rich and poor countries and the first rollback in human development in decades. 一部の国の経済が予想以上に軟調に推移したとしても、低金利時代の終焉は政府、企業、個人にとって大きな影響を及ぼすだろう。その影響は、社会の最も脆弱な部分やすでに脆弱な国家に最も深刻に感じられ、貧困や飢餓の増加、暴力的な抗議行動、政情不安、さらには国家の崩壊を助長することになるだろう。経済的圧力はまた、中所得世帯の利益を侵食し、世界中の国々で不満、政治的偏向、社会的保護強化の要求に拍車をかけるだろう。政府は、インフレを定着させることなく長引く生活コスト危機から多くの国民を守ることと、景気後退、新しいエネルギーシステムへの移行がますます急務となり、地政学的環境が安定しないことから歳入が圧迫される中で債務返済の費用をまかなうことのバランスをとる危険な行為に直面し続けることになるであろう。その結果、新しい経済時代は、富める国と貧しい国の間の乖離が拡大し、人間開発がここ数十年で初めて後退するものとなるかもしれない。
Geopolitical fragmentation will drive geoeconomic warfare and heighten the risk of multi-domain conflicts 地政学的な分断が地政学的戦争を促し、複数領域にわたる紛争のリスクを増大させる。
Economic warfare is becoming the norm, with increasing clashes between global powers and state intervention in markets over the next two years. Economic policies will be used defensively, to build self-sufficiency and sovereignty from rival powers, but also will increasingly be deployed offensively to constrain the rise of others. Intensive geoeconomic weaponization will highlight security vulnerabilities posed by trade, financial and technological interdependence between globally integrated economies, risking an escalating cycle of distrust and decoupling. As geopolitics trumps economics, a longer-term rise in inefficient production and rising prices becomes more likely. Geographic hotspots that are critical to the effective functioning of the global financial and economic system, in particular in the Asia-Pacific, also pose a growing concern. 経済戦争は常態化しつつあり、今後2年間はグローバル大国間の衝突と国家による市場への介入が増加する。経済政策は、自給自足とライバル国からの主権を確立するために防衛的に用いられるだけでなく、他国の台頭を抑制するために攻撃的に展開されることも多くなる。地政学的兵器の集中的な使用は、グローバルに統合された経済間の貿易、金融、技術の相互依存がもたらす安全保障上の脆弱性を強調し、不信とデカップリングのサイクルをエスカレートさせる危険性をはらんでいる。地政学が経済学を凌駕するようになると、非効率的な生産と価格の上昇がより長期化する可能性が高くなる。 また、世界の金融・経済システムが有効に機能するために不可欠な地理的ホットスポット、特にアジア太平洋地域の懸念が高まっている。
Interstate confrontations are anticipated by GRPS respondents to remain largely economic in nature over the next 10 years. However, the recent uptick in military expenditure and proliferation of new technologies to a wider range of actors could drive a global arms race in emerging technologies. The longer-term global risks landscape could be defined by multi-domain conflicts and asymmetric warfare, with the targeted deployment of new-tech weaponry on a potentially more destructive scale than seen in recent decades. Transnational arms control mechanisms must quickly adapt to this new security context, to strengthen the shared moral, reputational and political costs that act as a deterrent to accidental and intentional escalation. GRPSの回答者は、今後10年間、国家間の対立は主に経済的な性質にとどまると予想している。しかし、近年の軍事費の増加や、より広範な主体への新技術の普及は、新興技術における世界的な軍拡競争を促進する可能性がある。より長期的なグローバルリスクの状況は、マルチドメイン紛争と非対称戦争によって定義され、ここ数十年で見られたものより破壊的な規模で新技術の兵器が的を絞って展開される可能性がある。国境を越えた軍備管理メカニズムは、この新しい安全保障状況に迅速に適応し、偶発的・意図的なエスカレーションの抑止力として機能する道徳的、評判的、政治的コストの共有を強化する必要がある。
Technology will exacerbate inequalities while risks from cybersecurity will remain a constant concern 技術は不平等を悪化させるが、サイバーセキュリティによるリスクは常に懸念される。
The technology sector will be among the central targets of stronger industrial policies and enhanced state intervention. Spurred by state aid and military expenditure, as well as private investment, research and development into emerging technologies will continue at pace over the next decade, yielding advancements in AI, quantum computing and biotechnology, among other technologies. For countries that can afford it, these technologies will provide partial solutions to a range of emerging crises, from addressing new health threats and a crunch in healthcare capacity, to scaling food security and climate mitigation. For those that cannot, inequality and divergence will grow. In all economies, these technologies also bring risks, from widening misinformation and disinformation to unmanageably rapid churn in both blue- and white-collar jobs. 技術分野は、より強力な産業政策と国家介入の強化の中心的なターゲットとなる。国家補助や軍事費、民間投資によって、新興技術の研究開発は今後10年間、急速に進み、AI、量子コンピューティング、バイオテクノロジーなどの技術が発展していくだろう。余裕のある国にとっては、これらの技術は、新たな健康上の脅威や医療能力の不足への対応から、食糧安全保障の拡大や気候緩和まで、さまざまな新たな危機に対する部分的な解決策となるであろう。しかし、そうでない国にとっては、不平等と格差が拡大することになる。すべての経済において、これらの技術は、誤情報や偽情報の拡大、ブルーカラーおよびホワイトカラー両方の仕事の手に負えないほどの急速な変化など、リスクももたらす。
However, the rapid development and deployment of new technologies, which often comes with limited protocols governing their use, poses its own set of risks. The ever-increasing intertwining of technologies with the critical functioning of societies is exposing populations to direct domestic threats, including those that seek to shatter societal functioning. Alongside a rise in cybercrime, attempts to disrupt critical technology-enabled resources and services will become more common, with attacks anticipated against agriculture and water, financial systems, public security, transport, energy and domestic, space-based and undersea communication infrastructure. Technological risks are not solely limited to rogue actors. Sophisticated analysis of larger data sets will enable the misuse of personal information through legitimate legal mechanisms, weakening individual digital sovereignty and the right to privacy, even in well-regulated, democratic regimes. しかし、新技術の急速な開発・導入は、その使用を管理するプロトコルが限定されている場合が多く、それ自体がリスクをもたらす。技術と社会の重要な機能との結びつきがますます強まり、人々は社会機能を破壊しようとするものを含む直接的な国内脅威にさらされている。サイバー犯罪の増加とともに、農業や水、金融システム、公共安全保障、輸送、エネルギー、国内、宇宙、海底の通信インフラに対する攻撃が予想され、技術に対応した重要な資源やサービスを妨害しようとする試みがより一般的になっていくだろう。技術的なリスクは、不正な行為者だけに限られたものではない。大規模なデータセットの高度な分析により、合法的な法的メカニズムを通じて個人情報の悪用が可能になり、たとえ規制の厳しい民主主義体制であっても、個人のデジタル主権とプライバシーの権利が弱体化することが予想される。
Climate mitigation and climate adaptation efforts are set up for a risky trade-off, while nature collapses 気候緩和と気候適応の取り組みは、自然が崩壊する一方で、危険なトレードオフに設定されている
Climate and environmental risks are the core focus of global risks perceptions over the next decade – and are the risks for which we are seen to be the least prepared. The lack of deep, concerted progress on climate action targets has exposed the divergence between what is scientifically necessary to achieve net zero and what is politically feasible. Growing demands on public-and private-sector resources from other crises will reduce the speed and scale of mitigation efforts over the next two years, alongside insufficient progress towards the adaptation support required for those communities and countries increasingly affected by the impacts of climate change. 気候・環境リスクは、今後10年間のグローバルなリスク認知の中心であり、我々が最も備えができていないとされるリスクでもある。気候変動対策の目標に深く、協調的な進展が見られないことから、ネットゼロを達成するために科学的に必要なことと、政治的に実現可能なこととの間に乖離があることが露呈している。他の危機による官民のリソースへの要求の高まりは、今後2年間の緩和努力のスピードと規模を縮小させ、同時に、気候変動の影響をますます受けるコミュニティや国々に必要な適応支援への進展も不十分なものとなるだろう。
As current crises diverts resources from risks arising over the medium to longer term, the burdens on natural ecosystems will grow given their still undervalued role in the global economy and overall planetary health. Nature loss and climate change are intrinsically interlinked – a failure in one sphere will cascade into the other. Without significant policy change or investment, the interplay between climate change impacts, biodiversity loss, food security and natural resource consumption will accelerate ecosystem collapse, threaten food supplies and livelihoods in climate-vulnerable economies, amplify the impacts of natural disasters, and limit further progress on climate mitigation. 現在の危機が中長期的に発生するリスクから資源を流出させるため、世界経済と地球全体の健全性において未だ過小評価されている自然生態系への負担が増大する。自然の喪失と気候変動は本質的に相互に関連しており、一方の領域での失敗は他方に連鎖する。大きな政策転換や投資がなければ、気候変動の影響、生物多様性の損失、食料安全保障、天然資源消費の相互作用は、生態系の崩壊を加速させ、気候変動に脆弱な経済圏の食料供給と生活を脅かし、自然災害の影響を増幅し、気候緩和のさらなる進展を阻むだろう。
Food, fuel and cost crises exacerbate societal vulnerability while declining investments in human development erode future resilience 食糧危機、燃料危機、コスト危機が社会の脆弱性を悪化させる一方で、人間開発への投資の減少が将来の回復力を侵食する。
Compounding crises are widening their impact across societies, hitting the livelihoods of a far broader section of the population, and destabilizing more economies in the world, than traditionally vulnerable communities and fragile states. Building on the most severe risks expected to impact in 2023 – including “Energy supply crisis”, “Rising inflation” and “Food supply crisis” – a global Cost-of-living crisis is already being felt. Economic impacts have been cushioned by countries that can afford it, but many lower-income countries are facing multiple crises: debt, climate change and food security. Continued supply-side pressures risk turning the current cost-of-living crisis into a wider humanitarian crisis within the next two years in many import-dependent markets. 複合的な危機は、社会全体にその影響を拡大し、従来から脆弱なコミュニティや脆弱な国家よりも、はるかに広い範囲の人々の生活を直撃し、世界のより多くの経済を不安定にさせている。2023年に影響が予想される最も深刻なリスクである「エネルギー供給危機」「インフレ上昇」「食料供給危機」などを踏まえ、世界的な生活費危機が既に発生している。経済的な影響は、余裕のある国によって緩和されているが、多くの低所得国は、債務、気候変動、食糧安全保障という複数の危機に直面している。供給サイドからの圧力が続くと、輸入に依存する多くの市場において、今後2年以内に現在の生活費危機がより広範な人道的危機に転じるリスクがある。
Associated social unrest and political instability will not be contained to emerging markets, as economic pressures continue to hollow out the middle-income bracket. Mounting citizen frustration at losses in human development and declining social mobility, together with a widening gap in values and equality, are posing an existential challenge to political systems around the world. The election of less centrist leaders as well as political polarization between economic superpowers over the next two years may also reduce space further for collective problem-solving, fracturing alliances and leading to a more volatile dynamic. 経済的な圧力が中所得者層を空洞化させ、それに伴う社会不安や政情不安は新興国市場にとどまることはないだろう。人間開発の遅れや社会的流動性の低下に対する市民の不満の高まりは、価値観や平等性の格差の拡大とともに、世界中の政治体制に存亡の危機を突きつけている。今後2年間の経済大国間の政治的分極化と同様に、中道ではない指導者の選出も、集団的問題解決のための空間をさらに狭め、同盟関係を分断し、より不安定な力学に導くかもしれない。
With a crunch in public-sector funding and competing security concerns, our capacity to absorb the next global shock is shrinking. Over the next 10 years, fewer countries will have the fiscal headroom to invest in future growth, green technologies, education, care and health systems. The slow decay of public infrastructure and services in both developing and advanced markets may be relatively subtle, but accumulating impacts will be highly corrosive to the strength of human capital and development – a critical mitigant to other global risks faced. 公的資金の逼迫と安全保障上の懸念の競合により、次のグローバルな衝撃を吸収する能力は縮小している。今後10年間で、将来の成長、グリーン技術、教育、介護、医療制度に投資する財政的余裕を持つ国は少なくなるだろう。発展途上国と先進国の両市場における公共インフラとサービスの緩やかな衰退は比較的微々たるものかもしれませんが、その影響が蓄積されれば、直面する他のグローバル・リスクの重要な緩和策である人的資本と開発の強度に大きな腐食が生じるだろう。
Figure B | Short- and long-term global outlook 図B|短期および長期の世界的な見通し
20230112-155548
As volatility in multiple domains grows in parallel, the risk of polycrises accelerates 複数の領域で変動が並行して拡大する中、多発危機のリスクは加速する
Concurrent shocks, deeply interconnected risks and eroding resilience are giving rise to the risk of polycrises – where disparate crises interact such that the overall impact far exceeds the sum of each part. Eroding geopolitical cooperation will have ripple effects across the global risks landscape over the medium term, including contributing to a potential polycrisis of interrelated environmental, geopolitical and socioeconomic risks relating to the supply of and demand for natural resources. The report describes four potential futures centred around food, water and metals and mineral shortages, all of which could spark a humanitarian as well as an ecological crisis – from water wars and famines to continued overexploitation of ecological resources and a slowdown in climate mitigation and adaption. Given uncertain relationships between global risks, similar foresight exercises can help anticipate potential connections, directing preparedness measures towards minimizing the scale and scope of polycrises before they arise. 同時多発的なショック、相互に深く関連したリスク、レジリエンスの低下により、ポリクライシス(多発危機:異種の危機が相互に作用し、全体的な影響がそれぞれの部分の和をはるかに超えること)のリスクが生じつつある。地政学的な協力関係の悪化は、天然資源の供給と需要に関連する環境的、地政学的、社会経済的リスクの潜在的な多発危機に寄与するなど、中期的には世界のリスク環境に波及することになる。本報告書では、食糧、水、金属・鉱物の不足を中心とした4つの潜在的な未来について述べている。これらはすべて、水戦争や飢饉から生態系資源の継続的な乱開発、気候緩和と適応の減速に至るまで、生態系だけでなく人道的危機の火種となり得るものである。グローバルなリスク間の関係が不透明である以上、同様の予見演習を行うことで、潜在的な関連性を予測し、多発危機の規模や範囲を事前に最小化するための準備措置を講じることができる。
In the years to come, as continued, concurrent crises embed structural changes to the economic and geopolitical landscape, they accelerate the other risks that we face. More than four in five GRPS respondents anticipate consistent volatility over the next two years at a minimum, with multiple shocks accentuating divergent trajectories. However, respondents are generally more optimistic over the longer term. Just over one-half of respondents anticipate a negative outlook, and nearly one in five respondents predict limited volatility with relative – and potentially renewed – stability in the next 10 years. 今後、同時多発的に発生する危機が経済・地政学的な状況に構造的な変化をもたらし、我々が直面する他のリスクを加速させることになる。GRPSの回答者の5人に4人以上が、少なくとも今後2年間は一貫して不安定な状況が続くと予想しており、複数のショックが多様な軌道を際立たせると考えている。しかし、回答者は長期的には概して楽観的である。回答者の半数強がネガティブな見通しを立てており、5人に1人は今後10年間は変動が限定的で、相対的に(再び)安定すると予想している。
Indeed, there is still a window to shape a more secure future through more effective preparedness. Addressing the erosion of trust in multilateral processes will enhance our collective ability to prevent and respond to emerging cross-border crises and strengthen the guardrails we have in place to address well-established risks. In addition, leveraging the interconnectivity between global risks can broaden the impact of risk mitigation activities – shoring up resilience in one area can have a multiplier effect on overall preparedness for other related risks. As a deteriorating economic outlook brings tougher trade-offs for governments facing competing social, environmental and security concerns, investment in resilience must focus on solutions that address multiple risks, such as funding of adaptation measures that come with climate mitigation co-benefits, or investment in areas that strengthen human capital and development. 実際、より効果的な備えによって、より安全な未来を形成するための窓はまだ残されている。多国間プロセスに対する信頼の低下に対処することは、国境を越えた新たな危機を予防し、それに対処する我々の集団的能力を高め、確立されたリスクに対処するための我々のガードレールを強化することになる。さらに、グローバルなリスク間の相互関連性を活用することで、リスク軽減活動の効果を拡大することができる。ある分野のレジリエンスを強化することで、他の関連リスクに対する備え全体にも相乗効果が期待できる。経済の見通しが悪化し、社会、環境、安全保障の競合する問題に直面している政府にとって、より厳しいトレードオフを迫られる中、レジリエンスへの投資は、気候緩和のコベネフィットを伴う適応策への資金提供や、人的資本と開発を強化する分野への投資など、複数のリスクに対応する解決法に焦点を当てる必要がある。
Some of the risks described in this year’s report are close to a tipping point. This is the moment to act collectively, decisively and with a long-term lens to shape a pathway to a more positive, inclusive and stable world. 今年の報告書に記載されているリスクの中には、転換点に近いものもある。今こそ、より前向きで、包括的かつ安定的な世界への道筋を形作るために、集団的かつ断固として、長期的な視野で行動すべき時である。
Figure C | Global risks landscape: an interconnections map 図C|グローバルリスクランドスケープ:相互関連性マップ
20230112-155422

 

 

・・Full Report

・[PDF] Global Risks Report 2023

20230112-130856

 

・・Data on Global Risk Perceptions

・・Shareables

・・These are the biggest risks facing the world.

過去分...

18 2023 2023.01.11 Web PDF Home
17 2022 2022.01.11 Web PDF Press
16 2021 2021.01.19 Web PDF Press
15 2020 2020.01.15 Web PDF Press
14 2019 2019.01.15 Web PDF Press
13 2018 2018.01.17 Web PDF Press
12 2017 2017.01.11 Web PDF Press
11 2016 2016.01.14 Web PDF Press
10 2015 2015.01.09 Web PDF Press
9 2014 2014.01.12 Web PDF Press
8 2013 2012.10.30 Web PDF Press
7 2012 2012.01.05 Web PDF Press
6 2011 2011.09.27 Web PDF Press
5 2010 2010.01.04 Web PDF Press
4 2009     PDF  
3 2008     PDF  
2 2007     PDF  
1 2006     PDF  

 

 

 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.01.14 世界経済フォーラム (WEF) The Global Risks Report 2022 17th Edition - 2022年のグローバルリスクのトップは、気候変動への適応の失敗と社会的危機

・2021.01.21 世界経済フォーラム The Global Risks Report 2021 16th Edition - 世界は長期的リスクへの対応に目覚めるべきである

| | Comments (0)

2023.01.11

欧州 ETSI ホワイトペーパー:認知マネジメントによるオペレーターの体験の理解

こんにちは、丸山満彦です。

European Telecommunications Standards Institute; ETSI(欧州電気通信標準化機構)[wikipedia]がAIに関するホワイトペーパーを公開していますね。。。

認知プロセスの多面的な検討等を行っているようですね。。。

 


European Telecommunications Standards Institute; ETSI

・2023.01.09 NEW ETSI WHITE PAPER: A NOVEL COGNITIVE NETWORK FOR AI-DRIVEN AUTOMATION

NEW ETSI WHITE PAPER: A NOVEL COGNITIVE NETWORK FOR AI-DRIVEN AUTOMATION 新しいETSIホワイトペーパー:AI駆動自動化のための新しい認知ネットワーク
The ETSI group on Experiential Networked Intelligence (ISG ENI) has just published a White Paper describing the design of a novel cognitive network. This White Paper explains how the ETSI ENI novel system architecture (based on ETSI GS ENI-005) intelligently manages, predicts, adjusts and optimises network behaviour using cognition management, thereby enhancing the operator experience. ETSI Experiential Networked Intelligenceグループ(ISG ENI)は、新しい認知ネットワークの設計を説明するホワイトペーパーを発表した。このホワイトペーパーでは、ETSI ENIの新しいシステムアーキテクチャ(ETSI GS ENI-005に基づく)が、認知マネジメントを用いてネットワーク動作をインテリジェントに管理、予測、調整、最適化し、それによってオペレータの体験を向上させる方法を解説している。
“As technology becomes increasingly complex, managing telecommunication infrastructure grows in complexity. Operators need data-driven, context-aware tools to help them make the right decisions at the right time,” outlines Ray Forbes, Chair of the ETSI ISG ENI. “The ETSI ENI system is a set of hierarchical closed control loops based on extensions to the Observe-Orient-Decide-Act model. These extensions enable the ENI Cognitive Architecture to adapt its behaviour according to changes in user needs, business goals, and environmental conditions. As an example, the ENI system could reconfigure a set of 5G slices to meet changing service needs,” he adds. ETSI ISG ENIの議長であるRay Forbesは、次のように述べた。「技術がますます複雑になるにつれて、通信インフラの管理も複雑さを増している。オペレータは、適切なタイミングで正しい判断を下すために、データ駆動型のコンテキストアウェアなツールを必要としている。ETSI ENIシステムは、Observe-Orient-Decide-Actモデルの拡張に基づく、階層的な閉じた制御ループの集合体である。これらの拡張により、ENI認知アーキテクチャは、ユーザーニーズ、ビジネス目標、環境条件の変化に応じてその動作を適応させることができる。例えば、ENIシステムは、変化するサービスニーズに合わせて5Gスライスのセットを再構成することができる。」
Cognition is the process of acquiring and understanding data and information in order to produce new data, information, and knowledge. A cognitive system uses cognitive processes to understand how past behaviour, coupled with currently ingested contextual data and information, affects the goals that the ENI System is trying to achieve. The ENI Cognitive Management system models human decision-making processes to better comprehend the relevance and meaning of ingested data. Cognitive management enables the ENI System to experientially learn to improve its operation and performance. It also describes how cognitive management enables automation and produces autonomic behaviour. 認知とは、新しいデータ、情報、知識を生み出すために、データや情報を取得し、理解するプロセスのことである。認知システムは、過去の行動が、現在取り込まれている文脈上のデータや情報と相まって、ENIシステムが達成しようとしている目標にどのように影響するかを理解するために、認知プロセスを使用する。ENI認知マネジメント・システムは、人間の意思決定プロセスをモデル化し、取り込まれたデータの関連性と意味をより良く理解することができる。認知マネジメントは、ENIシステムの運用とパフォーマンスを向上させるための経験的な学習を可能にする。また、認知マネジメントがどのように自動化を可能にし、自律的な行動を生み出すかについても説明されている。
Key takeaways of the White Paper include: 本ホワイトペーパーの主な内容は以下の通りである。
・Exploration of the ENI cognition model, ・ENI認知モデルの検討
・Examination of multiple facets of the cognition process, including context awareness, situation awareness and the formal cognition process (perception, comprehension, and action), ・文脈認識、状況認識、形式的な認知プロセス(知覚、理解、行動)など、認知プロセスの複数の側面の検討。
・Similarity between human cognition and ENI cognition, and the use of reactive, deliberative and reflective processes to implement ENI cognition. ・人間の認知とENI認知の類似性、およびENI認知を実装するための反応的、熟慮的、反射的プロセスの使用。
The White Paper also describes some of the relevant technical details of the ENI System, as well as a number of recent innovative Proof of Concept projects. また、本ホワイトペーパーでは、ENIシステムの関連する技術的な詳細や、最近の革新的なProof of Conceptプロジェクトの数々についても説明している。

 

・[PDF] ETSI White Paper No.51 ENI Vision: Understanding the Operator Experience Using Cognitive Management

20230111-04637

 

目次...

Executive Summary エグゼクティブサマリー
PART A: Overview PART A:概要
A.1 Introduction A.1 はじめに
A.1.1 Objectives A.1.1 目標
A.1.2 Scope of this White Paper A.1.2本ホワイトペーパーの対象範囲
A.2 ISG ENI Work Programme Summary A.2 ISG ENI ワークプログラム概要
A.2.1 Purpose of ISG ENI A.2.1 ISG ENI の目的
A.2.2 Benefits A.2.2 メリット
A.2.3 Status A.2.3 ステータス
A.2.4 Membership A.2.4 会員資格
A.3 ENI Cognitive Management A.3 ENI認知マネジメント
A.3.1 ENI Cognition Principles A.3.1 ENI認知原則
A.3.2 The ENI Cognitive Control Loop A.3.2 ENI認知制御ループ
A.3.3 ENI Cognition Management Functional Block A.3.3 ENI認知マネジメント機能ブロック
A.3.4 ENI Cognition Process A.3.4 ENI認知プロセス
A.3.5 Enabling Automation and Autonomic Behaviour A.3.5 自動化・自律化動作の実現
A.3.6 Enhancing the Operator Experience using ENI Cognitive Management A.3.6 ENI認知マネジメントによるオペレーター経験の向上
A.4 Summary and Future Work on ENI Cognitive Management A.4 ENI認知マネジメントのまとめと今後の課題
A.4.1 Summary A.4.1 概要
A.4.2 Future Work A.4.2 今後の課題
PART B: ISG ENI Technical Details PART B:ISG ENIの技術的な詳細
B.1 System Architecture B.1 システム・アーキテクチャ
B.1.1 Introduction B.1.1 はじめに
B.1.2 A Personalized Assistant B.1.2 パーソナライズされたアシスタント
B.1.3 Design Principles B.1.3 デザイン原則
B.1.4 The Assisted System B.1.4 アシストシステム
B.1.5 Functional Architecture B.1.5 機能的なアーキテクチャ
B.1.6 Reference Points B.1.6 基準点
B.2 Use Cases B.2 ユースケース
B.2.1 Introduction B.2.1 はじめに
B.2.2 Use case #3-6: “Intent-based Cloud Management for VDI service” B.2.2 ユースケース#3-6:"VDIサービスのためのインテント型クラウド管理"
B.2.3 Use Case #3-7: “Intelligent Vehicle Diversified Service Fulfilment” B.2.3 ユースケース #3-7:"インテリジェントビークル多様化サービスフルフィルメント"
B.3 Proofs of Concept B.3 概念実証
B.3.1 PoC #15: PINet — Polymorphic Intelligent Network B.3.1 PoC #15: ポリモーフィック・インテリジェント・ネットワーク
B.3.2 PoC #14: Intent-based Cloud Management B.3.2 PoC #14: インテント型クラウド管理
B.3.3 PoC #13: Intelligent Coverage Optimization of 5G Massive MIMO BS B.3.3 PoC #13: 5G Massive MIMO BSのインテリジェントなカバレッジ最適化
B.3.4 PoC #12: Intelligent Transport Network Optimization B.3.4 PoC #12: インテリジェント交通網の最適化
B.3.5 PoC #11: Intelligent Energy Management of DC B.3.5 PoC #11: DCのインテリジェントなエネルギー管理
B.4 Collaboration with other Standards Organizations B.4 他の標準化機関との連携
Annex: Terminology Specific to This White Paper 附属書:本ホワイトペーパーに特有の用語集
References 参考文献

 

エグゼクティブサマリー...

Executive Summary  エグゼクティブサマリー 
This White Paper describes the design of a novel cognitive network being done in ETSI ISG ENI. Its novelty lies in the use of a model-driven engineering process, coupled with multiple closed control loops, to implement a formal cognition model to drive learning and decision-making. This is used to enhance the overall operator experience.  このホワイトペーパーでは、ETSI ISG ENIで行われている新しい認知ネットワークの設計について説明する。その新規性は、学習と意思決定を促進するための正式な認知モデルを実装するために、複数の閉じた制御ループと結合したモデル駆動型エンジニアリングプロセスを使用することにある。これは、オペレーターの体験を全体的に向上させるために使用される。 
This White Paper first gives a brief introduction to the purpose of ETSI ISG ENI, along with its benefits and status. It then describes in detail the cognitive management being designed. Cognition is the process of acquiring and understanding data and information in order to produce new data, information, and knowledge. Context awareness keeps track of and catalogues a collection of measured and inferred knowledge that describes the environment in which a managed entity exists or has existed.  This, coupled with historical information and newly ingested data, is used by the situation awareness module to gather the relevant data and behaviour that pertain to contextual circumstances and/or conditions of a system or process in order to understand the meaning and significance of these data and behaviours with respect to the set of goals that the system is trying to achieve. The cognition model infers how processes, actions, and new situations are likely to evolve in the near future, and then selects a set of actions to move the system state to the best possible state for achieving its goals. This results in an adaptive management system that seeks to meet its goals as a function of context. This provides more informed information to the operator as well as intelligently managing the behaviour of the system.  このホワイトペーパーでは、まずETSI ISG ENIの目的、その利点と現状を簡単に紹介する。そして、設計されている認知・マネジメントについて詳しく説明する。認知とは、新しいデータ、情報、知識を生み出すために、データや情報を取得し、理解するプロセスのことである。コンテキスト認識は、管理対象エンティティが存在する、または存在したことのある環境を記述する、測定および推論された知識のコレクションを追跡し、カタログ化する。  これは、履歴情報および新たに取り込まれたデータと相まって、システムが達成しようとしている一連の目標に関して、これらのデータおよび行動の意味および重要性を理解するために、システムまたはプロセスの文脈上の状況および/または条件に関連する関連データおよび行動を収集するために、状況認識モジュールによって使用される。認知モデルは、プロセス、行動、および新しい状況が近い将来にどのように発展しそうかを推測し、次に、システムの状態を目標達成のための最良の状態に移行させるための一連の行動を選択する。この結果、適応型管理システムは、文脈の関数として目標を達成しようとする。これにより、システムの挙動をインテリジェントに管理するだけでなく、より多くの情報をオペレーターに提供することができる。 
The remainder of this White Paper describes some of the relevant technical details of the ENI System as well as five innovative Proof of Concepts.  このホワイトペーパーでは、ENI システムの技術的な詳細と、5 つの革新的な概念実証について説明する。 

 

 

| | Comments (0)

2023.01.10

中国 中国のサイバーセキュリティ政策の発展における成果と変化 (2022.12.30)

こんにちは、丸山満彦です。

2022年の年末に中国政府がサイバーセキュリティ(CIAより広い意味ですが...)に関連するコメントを2つ発表しています。。。

2022年における取り組みの総括という感じですかね。。。備忘録ということで。。。

なかなか2022年が終わりません(^^;;

 

● 中央网安全和信息化委公室 (Cyberspace Administration of China: CAC)

・2022.12.30 我国网络安全工作发展成就与变革

我国网络安全工作发展成就与变革 中国のサイバーセキュリティ施策の発展における成果と変化
党的十八大以来,在习近平新时代中国特色社会主义思想特别是习近平总书记关于网络强国的重要思想指引下,我国网络安全工作取得历史性成就、发生历史性变革。国家网络安全顶层设计不断优化,网络安全政策法规和制度标准体系不断健全,网络安全工作体制机制日益完善,网络安全教育、技术、产业融合发展稳步推进,全社会网络安全意识和能力显著提高,广大人民群众在网络空间的获得感、幸福感、安全感不断提升,网络安全保障体系和能力建设全面加强,为维护国家网络空间主权、安全和发展利益提供坚实保障。 第18回党大会以降、新時代の中国の特色ある社会主義に関する習近平思想、特に強力なネットワークに関する習近平総書記の重要な思想の指導の下、中国のサイバーセキュリティ施策は歴史的な成果を上げ、歴史的な変化を遂げた。 国家サイバーセキュリティのトップレベル設計が最適化され、サイバーセキュリティの政策、規制、制度と基準の体系が改善され、サイバーセキュリティ施策の制度メカニズムがますます完成され、サイバーセキュリティ教育、技術、産業の統合と発展が着実に推進され、サイバーセキュリティに関する社会全体の意識と能力が大幅に向上し、一般市民のサイバー空間におけるアクセス、幸福、安全に対する感覚が絶えず強化され、サイバーセキュリティセキュリティ体制と能力強化が進んでいる。 サイバーセキュリティシステムの全体的な強化と能力向上は、サイバースペースにおける国の主権、安全、発展の利益を守るための確かな保証となる。
网络安全顶层设计、机制体制和工作体系不断完善 サイバーセキュリティのトップレベルの設計、仕組み、勤務体制の継続的な改善
顶层设计和全面布局持续加强。一是加强党中央对网信工作的集中统一领导。完善领导体制,成立中央网络安全和信息化领导小组(后改为“中央网络安全和信息化委员会”),强化网络安全与信息化领域顶层设计、总体布局、统筹协调、整体推进和督促落实。中央、省、市三级网信工作体系基本建立,县级网信机构建设扎实推进。二是加强顶层设计,制定出台《关于加快建立网络综合治理体系的意见》《国家网络空间安全战略》以及“十四五”规划等文件,完善各领域、多层级协调机制,统筹推进网络安全领域重要任务、重大项目、重点工程。三是压实政治责任,制定实施《党委(党组)网络安全工作责任制实施办法》,把党管互联网落到实处。 トップレベル設計と総合レイアウトの強化が継続された。 第一に、サイバーセキュリティ施策に対する党中央委員会の集中的・統一的な指導が強化された。 指導体制を整備するため、ネットワークセキュリティ・情報化中央指導グループ(後にネットワークセキュリティ・情報化中央委員会に変更)を設置し、ネットワークセキュリティ・情報化分野のトップレベルの設計、全体配置、調整、全体推進、実施監督を強化した。 中央、省、市のネットワーク情報業務体制が基本的に確立され、県レベルのネットワーク情報機関の建設が堅実に推進された。 第二に、トップレベルの設計を強化し、「総合的なネットワークガバナンス体制の構築を加速する意見」、「国家サイバースペースセキュリティ戦略」、「第14次5カ年計画」などの文書を策定・導入し、各分野・多レベルの調整メカニズムを改善し、ネットワークセキュリティ分野の重要課題、大型プロジェクト、重点プロジェクトの調整・推進を行うこと。 第三は、政治的責任を押して、開発と "党委員会(党グループ)ネットワークセキュリティ施策責任体制の実装の措置"、インターネットにおける政党管理の実施である。
网络安全政策法规和制度标准体系基本形成。“法者,治之端也。”2017年6月1日,《中华人民共和国网络安全法》正式实施,这是我国网络安全领域首部基础性、框架性、综合性法律,标志着我国网络空间领域的发展和现代化治理迈出了坚实一步。针对各界关注、百姓关切的突出问题,制定相关法律法规,相继颁布《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《关键信息基础设施安全保护条例》等一系列法律法规,出台《网络安全审查办法》《云计算服务安全评估办法》《汽车数据安全管理若干规定(试行)》等政策文件,建立关键信息基础设施安全保护、网络安全审查、云计算服务安全评估、数据安全管理、个人信息保护等一系列重要制度,截至2022年9月,发布340余项网络安全国家标准,基本构建起网络安全政策法规体系的“四梁八柱”。 サイバーセキュリティに関する政策、規制、制度基準などの制度は基本的に形になっている。 「法は統治の果てにある」 2017年6月1日、「中華人民共和国サイバーセキュリティ法」が正式に施行され、中国におけるサイバーセキュリティ分野の初の基本法、枠組み法、包括法となり、中国におけるサイバー空間分野のガバナンスの発展と近代化において、確かな一歩を踏み出すことになった。 各界と国民が関心を寄せる未解決の問題に対応するため、関連法規が制定され、「中華人民共和国データ安全法」「中華人民共和国個人情報保護法」「重要情報基盤安全保護条例」などの法令が次々と公布され、「ネットワークセキュリティ審査対策」「クラウドサービスセキュリティ審査対策」「自動車データセキュリティ管理に関する一定の規定(試用版)」が導入されている。 2022年9月現在、340以上のネットワークセキュリティ国家標準が発行され、基本的にネットワークセキュリティ政策と規制システムの「4つの柱」を構築している。 サイバーセキュリティ政策・規制の「4本柱・8本柱」は基本的に構築された。
国家网络安全工作体系不断健全。建立健全国家网络安全事件应急工作机制,提高应对网络安全事件能力,印发《国家网络安全事件应急预案》,建立健全网络安全应急协调和通报工作机制,与各地区、各部门、有关中央企业建立网络安全应急响应机制,及时汇集信息、监测预警、通报风险、响应处置,构建起“全国一盘棋”的工作体系。 国のサイバーセキュリティ施策体制が整備された。サイバーセキュリティ事件に対する国家緊急対応メカニズムを構築・改善し、サイバーセキュリティ事件への対応能力を高め、「サイバーセキュリティ事件に対する国家緊急対応計画」を発表し、サイバーセキュリティ緊急時の調整・通知メカニズムを構築・改善し、各地域、各部門、関連中央企業とサイバーセキュリティ緊急対応メカニズムを構築し、情報収集、監視・警告、リスク通知、対応・処分を迅速に行い、「国家全体」の作業システムを構築している。
2022年9月5日至11日,2022年国家网络安全宣传周在全国范围内统一开展,其中,开幕式、网络安全博览会、网络安全技术高峰论坛等重要活动在安徽省合肥市举行。图/安徽日报 程兆 摄 2022年9月5日から11日まで、2022年全国サイバーセキュリティ啓発週間が全国統一で実施され、安徽省合肥市で開幕式、サイバーセキュリティ博覧会、サイバーセキュリティ技術サミットなどの重要活動が行われた。 写真/安徽省日報社 Cheng Zhao氏
网络安全防护保障能力持续增强 ネットワークセキュリティ保護能力の継続的強化
关键信息基础设施安全保护体系和能力显著增强。一是通过出台《中华人民共和国网络安全法》《关键信息基础设施安全保护条例》等法律法规,确立了我国关键信息基础设施安全保护法治基础。二是坚持综合协调、分工负责、依法保护。由中央网信办统筹协调,国家相关职能部门在职责范围内做好安全保护和指导监督工作,切实履行本行业、本领域安全保护和监督管理责任,运营者严格落实主体责任,社会各方面协同配合,推进网络安全工作向更高水平、更深层次迈进。三是加强风险评估和安全检测,强化监测预警能力,积极推动建立网络安全信息共享机制。针对水利、能源、油气、交通、电信、金融等领域关键信息基础设施,强化网络安全检查,及时摸清情况、发现隐患、修补漏洞,采取多种措施保护关键信息基础设施安全。 重要な情報インフラのセキュリティ保護体制と能力が大幅に強化された。 まず、「中華人民共和国ネットワークセキュリティ法」、「重要情報インフラのセキュリティ保護に関する条例」などの法令の導入により、中国の重要情報インフラのセキュリティ保護に関する法治の基盤が確立された。 第二に、包括的な調整、分業、法律に基づく保護を主張している。 中央インターネット情報局によって調整、セキュリティ保護と指導監督の良い仕事をする責任の範囲内の関連する国家部門は、業界、セキュリティ保護と監督管理責任の分野、事業者の主な責任の厳格な実施、社会のすべての側面を協力する、より深いレベルにネットワークのセキュリティ作業を促進する。 第三に、リスク評価とセキュリティテストを強化し、監視と早期警戒能力を強化し、ネットワークセキュリティ情報共有メカニズムの確立を積極的に推進すること。 水利、エネルギー、石油・ガス、交通、通信、金融などの重要情報インフラについては、ネットワークセキュリティの点検を強化し、状況の迅速な把握、隠れた危険性の特定、脆弱性の修正、各種対策を実施し、重要情報インフラの安全性を保護した。
数据安全治理和个人信息保护工作取得积极进展。一是制定出台《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《汽车数据安全管理若干规定(试行)》《数据出境安全评估办法》《网络数据安全管理条例(征求意见稿)》等法律和政策文件,逐步筑牢数据安全和个人信息保护的法治屏障。二是数据安全治理和个人信息保护体系不断完善。数据安全和个人信息保护等相关国家标准正在加紧研究制定和发布,数据分类分级保护、风险监测预警和应急处置、数据安全审查、数据跨境流动安全管理等基本制度不断建立健全,数据安全治理和个人信息保护能力持续提升。三是持续开展App违法违规收集使用个人信息专项治理。通过制定标准规范、受理网民举报、开展技术检测、发布问题通告、进行督促整改等方式,严厉打击和有效遏制相关违法违规行为。四是组织开展卫生健康行业、医保领域、邮政快递领域个人信息保护专项行动,排查重点行业个人信息和数据安全风险,指导督促运营单位全面落实数据安全管理和技术防护措施。五是对非法买卖个人信息、侵犯公民隐私等违法犯罪活动保持高压态势。中央网信办会同有关部门针对非法利用摄像头偷窥个人隐私画面、传授偷窥偷拍技术等行为,在全国范围组织开展涉摄像头偷窥等黑产集中治理,有力维护人民群众个人信息安全。 データセキュリティガバナンスと個人情報保護については、積極的な進展があった。 まず、「中華人民共和国データ安全法」、「中華人民共和国個人情報保護法」、「自動車データ安全管理に関する一定の規定(試行実施)」、「データ出口安全評価弁法」、「ネットワークデータ安全管理規定(意見募集案)」などの法律・政策文書を策定・導入し、データ安全・個人情報保護に関する法治の強固な壁を徐々に構築している。 第二に、データセキュリティガバナンスと個人情報保護の体制が継続的に改善されていることである。 データセキュリティと個人情報保護に関する関連国家基準を研究・策定・公表し、データ分類と分類保護、リスク監視と早期警告・緊急対応、データセキュリティ審査、越境データフローのセキュリティ管理などの基本システムを構築・改善し、データセキュリティのガバナンスと個人情報保護に関する能力を継続的に向上させている。 第三に、アプリによる個人情報の違法・不正な収集・利用に対する特別措置が継続的に実施されたことである。 基準や規則の策定、ネットユーザーからの報告、技術テストの実施、問題点の通知と是正の監督などを通じて、関連する違法行為やコンプライアンス違反行為を取り締まり、効果的に抑制している。 第四に、ヘルスケア産業、医療保険分野、郵便速達分野の個人情報保護特別措置を組織し、主要産業の個人情報およびデータセキュリティのリスクを調査し、事業者がデータセキュリティ管理および技術保護措置を完全に実施するよう指導・促した。 第五に、個人情報の違法な売買、市民のプライバシーの侵害、その他の違法・犯罪行為により高い圧力を維持すること。 中央インターネット情報局は、関連部門と共同で、カメラを使って個人のプライバシー画像を盗撮したり、盗撮技術を教えたりするなどの違法行為を伴うブラック商品を全国集中的に処理し、人々の個人情報セキュリティを強力に保護することを組織した。
依法打击电信网络诈骗等网络违法犯罪行为。连续开展打击网络犯罪“净网”专项行动,持续推进专项治理,依法严厉打击黑客攻击、电信网络诈骗、网络侵权盗版等网络犯罪,不断压缩涉网犯罪活动空间,切断网络犯罪利益链条,净化网络空间环境,有效维护网民在网络空间的合法权益。 電気通信ネットワーク詐欺などのサイバー犯罪を法に基づき取り締まった。 我々はサイバー犯罪撲滅のための特別作戦を継続的に実施し、特別待遇を引き続き推進し、ハッキング、通信ネットワーク詐欺、ネットワーク海賊行為などのサイバー犯罪を法に基づいて取り締まり、サイバー関連の犯罪活動の空間を継続的に縮小し、サイバー犯罪の利益連鎖を断ち、サイバー空間の環境を浄化し、サイバー空間におけるインターネットユーザーの権益を効果的に保護する。 サイバースペースにおけるネットユーザーの合法的な権利と利益は、効果的に保護されるだろう。
网络安全风险防范能力持续加强。实施《网络安全审查办法》,建立国家网络安全审查工作机制,明确关键信息基础设施运营者采购网络产品和服务,网络平台运营者开展数据处理活动,影响或者可能影响国家安全的,应当进行网络安全审查,有力维护网络安全和数据安全,防范和化解国家安全风险。 サイバーセキュリティリスクの予防能力は引き続き強化された。 サイバーセキュリティ審査対策を実施し、国家サイバーセキュリティ審査機構を設立し、ネットワーク製品・サービスを調達する重要情報インフラ事業者及び国家セキュリティに影響を与える、又は与える可能性のあるデータ処理活動を行うネットワークプラットフォーム事業者は、サイバーセキュリティ審査を実施し、ネットワークセキュリティ及びデータセキュリティを強力に保護し、国家セキュリティリスクを予防・解決することを明確化した。
网络安全产业与技术稳步提升 ネットワークセキュリティの産業と技術の着実な向上
网络安全产业生态不断完善。一是网络安全营商环境不断优化,网络安全政策更加透明公开,重大项目相继落地,市场准入隐性壁垒逐步打破,市场主体活力充分激发,市场化法治化国际化营商环境逐步形成,营商环境的市场化便利化大幅提高。二是企业合规意识明显提升,不断加强网络安全合规体系建设,强化网络安全人力物力保障,促进网络安全合规需求释放。三是网络安全投融资持续活跃,覆盖云安全、身份管理、威胁检测、工控安全、数据安全、物联网安全、区块链安全等众多细分领域。 ネットワーク・セキュリティ業界の生態系は改善を続けている。 第一に、ネットワークセキュリティのビジネス環境が最適化され、ネットワークセキュリティ政策の透明性と開放性が高まり、大型プロジェクトが上陸し、市場参入の隠れた障壁が徐々に崩れ、市場関係者の活力が十分に刺激され、市場指向の法治と国際ビジネス環境が徐々に形成され、市場指向のビジネス環境の円滑化が大幅に改善されたこと。 第二に、企業のコンプライアンス意識が大幅に向上し、ネットワークセキュリティのコンプライアンス体制の構築を引き続き強化し、ネットワークセキュリティの人的・物的資源の確保を強化し、ネットワークセキュリティのコンプライアンスに対する需要の解放を推進した。 第三に、サイバーセキュリティの投融資は引き続き活発で、クラウドセキュリティ、ID管理、脅威検知、産業制御セキュリティ、データセキュリティ、IoTセキュリティ、ブロックチェーンセキュリティなど、多くのサブセクターをカバーしている。
网络安全产业园和教育技术产业融合发展试验区建设不断推进。北京、湖南长沙国家网络安全产业园区建设有序推进,成渝、长三角、珠三角等产业基础优势逐步激发,“多点支撑、辐射全国、优势互补、协同发展”的网络安全产业园区布局初见成效。2022年首批5家国家网络安全教育技术产业融合发展试验区授牌,旨在探索网络安全教育技术产业融合发展的新机制新模式,形成一系列鼓励和支持融合发展的制度和政策,培育一批支撑融合发展的创新载体,推动在全国范围内形成网络安全人才培养、技术创新、产业发展的良好生态。 ネットワークセキュリティ産業団地や教育技術産業の集積・発展のためのパイロットゾーンの建設も引き続き進めた。 北京と湖南省長沙に国家級サイバーセキュリティ産業園を建設し、成都と重慶、長江デルタと珠江デルタの産業基盤の優位性が徐々に刺激され、「多点支持、全国放射、優位性補完、協調発展」のサイバーセキュリティ産業園のレイアウトが実り始めた。 2022年に最初の全国5つのサイバーセキュリティ教育・技術産業統合発展試験区が授与され、サイバーセキュリティ教育と技術産業統合発展の新しいメカニズムとモデルを模索し、統合発展を奨励・支援する一連の制度と政策を形成し、統合発展を支援する多くのイノベーションキャリアを育成し、サイバーセキュリティ人材育成、技術革新、産業発展の良好な生態形成を全国的に促進することを目指す。
网络安全技术创新综合能力显著提升。我国网络安全产品和服务已覆盖基础安全、基础技术、安全系统、安全服务等多个维度,网络安全产品体系日益完备,产业活力日益增强。网络安全技术应用示范试点扎实推进,重点引导支持网络安全防护、网络安全监测预警、网络安全应急处置、网络安全检测评估、新技术新应用安全等示范项目,促进网络安全先进技术协同创新和应用部署,网络安全产品细分领域和技术方向持续拓展外延。 サイバーセキュリティ技術革新の総合力が大幅に強化された。 中国のネットワークセキュリティ製品とサービスは、基礎セキュリティ、基礎技術、セキュリティシステム、セキュリティサービスなど、さまざまな次元をカバーしており、ネットワークセキュリティ製品体系はますます充実し、産業活力はますます強化されている。 ネットワークセキュリティ技術のアプリケーションのデモンストレーションのパイロットをしっかりと促進する、ネットワークセキュリティの保護、ネットワークセキュリティの監視と早期警戒、ネットワークセキュリティの緊急処分、ネットワークセキュリティのテストと評価、新技術と新しいアプリケーションのセキュリティと他のデモプロジェクトを導くことに焦点を当て、ネットワークセキュリティ先端技術の共同革新と応用展開を促進、ネットワークセキュリティ製品のセグメントと技術の方向は、アウトレットを拡大し続けている。
网络安全人才培养、全民网络安全意识和技能不断加强 サイバーセキュリティ人材の育成と国家レベルのサイバーセキュリティ意識・スキルの継続的な強化
一流网络安全学院建设示范项目成效显著。2016年制定出台《关于加强网络安全学科建设和人才培养的意见》,强化网络安全人才培养宏观指导和政策统筹。增设网络空间安全一级学科,加快网络空间安全高层次人才培养。实施一流网络安全学院建设示范项目,11所高校入选为一流网络安全学院建设示范高校,实现了从本科到硕士、博士的网络安全人才一体化培养。截至2022年9月,国内有60余所高校设立网络安全学院,200余所高校设立网络安全本科专业,每年网络安全专业毕业生超2万人。 2016年には、サイバーセキュリティ人材育成のマクロ指導と政策協調を強化するため、「サイバーセキュリティ規律建設と人材育成の強化に関する意見」が策定・公布された。 サイバースペースセキュリティの1級学科を追加し、サイバースペースセキュリティのハイレベルな人材の育成を加速させた。 一流サイバーセキュリティ大学建設実証プロジェクトを実施し、11大学を一流サイバーセキュリティ大学建設実証大学に選定し、学部から修士・博士課程までのサイバーセキュリティ人材の一貫育成を実現した。 2022年9月現在、中国では60校以上の大学がサイバーセキュリティカレッジを設立し、200校以上の大学がサイバーセキュリティ学部プログラムを設置し、毎年2万人以上のサイバーセキュリティの卒業生を輩出している。
建成国家网络安全人才与创新基地。2016年在武汉成立国家网络安全人才与创新基地,国家网络安全学院、展示中心、国际人才社区、网安基地一期基础设施、中金武汉超算(数据)中心、启迪网安科技孵化园等项目陆续开工。武汉大学国家网络安全学院、华中科技大学网络空间安全学院等入驻师生达2000余人。全国前50强网络安全企业已全部落户,形成网络安全、大数据和信息技术服务三大产业板块,校企合作科研创新成效明显,已合作开展科研项目100余项。 2016年に武漢に「国家サイバーセキュリティ人材・イノベーション基地」が設立され、「国家サイバーセキュリティアカデミー」「展示センター」「国際人材コミュニティ」「サイバーセキュリティ基地第1期インフラ」「CICC武漢スーパーコンピューティング(データ)センター」「Qidianサイバーセキュリティ技術インキュベーションパーク」などのプロジェクトが続々とスタートしている。 武漢大学サイバーセキュリティ研究所と華中科技大学サイバースペースセキュリティ学部には、2,000人以上の教員と学生が在籍している。 中国のサイバーセキュリティ企業の上位50社はすべて落ち着き、サイバーセキュリティ、ビッグデータ、情報技術サービスの3大産業分野を形成し、科学研究・イノベーションにおける大学と企業の協力は効果的で、100以上の科学研究プロジェクトが共同で実施されている。
多措并举加强网络安全人才培养。一是网络安全人才奖励激励机制持续完善。设立网络安全专项基金,开展网络安全优秀教材、优秀教师等评选活动,奖励各类网络安全优秀人才近千人。二是网络安全职业教育不断加强。在网络安全领域设置网络信息安全等近10个中职相关专业、信息安全技术应用等十余个高职专科相关专业、信息安全与管理等5个职业本科专业,全国高职院校开设信息安全技术应用等相关专业布点数达3600余个。三是支持高等院校开设网络安全相关专业“少年班”“特长班”,启动“网络安全万人培训资助计划”,支持培养非学历教育网络安全人才。 ネットワークセキュリティの人材育成を強化するために、さまざまな施策が講じられた。 第一に、サイバーセキュリティの人材に報いるためのインセンティブメカニズムが継続的に改善されていることである。 サイバーセキュリティ特別基金の設立、優秀なサイバーセキュリティ教材、優秀な教師の選定などの活動を行い、1,000人近くの様々なタイプの優秀なサイバーセキュリティ人材に報奨を与えている。 第二に、サイバーセキュリティの職業教育が継続的に強化されていることである。 ネットワーク情報セキュリティなどの中級関連専攻が10近く、情報セキュリティ技術応用などの上級専門家関連専攻が10以上、情報セキュリティや管理などの職業学部専攻が5つ設置され、全国の高等職業教育機関の情報セキュリティ技術応用などの関連専攻の設置箇所数は3,600以上に達している。第三に、高等教育機関がサイバーセキュリティ関連の専攻で「ジュニアクラス」や「特別クラス」を設置することを支援し、非学術教育のサイバーセキュリティ人材育成を支援する「サイバーセキュリティ1万人育成助成制度」を開始することである。 このプログラムは、学問に関係ないサイバーセキュリティの人材育成を支援するものである。
全民网络安全意识和防护技能全面提升。一是持续举办国家网络安全宣传周。自2014年以来,我国连续9年在全国范围举办国家网络安全宣传周,坚持网络安全为人民、网络安全靠人民,广泛开展网络安全进社区、进农村、进企业、进机关、进校园、进军营、进公园“七进”等活动,以通俗易懂的语言、群众喜闻乐见的形式,宣传网络安全理念、普及网络安全知识、推广网络安全技能,形成共同维护网络安全的良好氛围。二是持续开展常态化网络安全宣传教育工作。近年来,中央网信办围绕网络安全领域新政策、新举措、新成效,针对个人信息保护、数据安全治理、关键信息基础设施安全保护、电信网络诈骗犯罪、数字平台健康发展、青少年健康上网等社会热点问题,结合重要时间节点,创新方式方法,通过图文、直播、短视频、公益短剧、益智游戏、线上课程等融媒体形式,以及宣传展览、巡回讲座、技能大赛、社区讲解、互动体验等线下方式,以创新性的内容供给、立体化的传播矩阵、针对性的受众投放,深入开展宣传教育。 国民全体のサイバーセキュリティに対する意識と保護スキルが総合的に強化された。 第一に、「全国サイバーセキュリティ啓発週間」が継続的に開催されていることである。 中国では2014年から9年連続で全国で「全国サイバーセキュリティ啓発週間」を開催し、サイバーセキュリティは国民のためのもの、サイバーセキュリティは国民に依存していると主張し、サイバーセキュリティの「7つの入口」などの活動を地域、農村、企業、機関、キャンパス、軍事キャンプ、公園などに幅広く実施し、わかりやすい言葉や大衆的な形でサイバーセキュリティをアピールしている。 ネットワークセキュリティの概念をわかりやすい言葉で、一般の人々が喜ぶ形で、ネットワークセキュリティの知識を普及させ、ネットワークセキュリティのスキルを促進し、ネットワークセキュリティを共同で維持する良い雰囲気を形成してきた。 第二は、ネットワークセキュリティの広報・教育活動を定期的に継続してきた。 近年、中央インターネット情報局は、個人情報の保護、データセキュリティのガバナンス、重要情報インフラのセキュリティ保護、通信ネットワーク詐欺犯罪、デジタルプラットフォームの健全な発展、青少年の健全なインターネットアクセスなどの社会的ホットスポットを対象としたサイバーセキュリティ分野の新しい政策、新しい取り組み、新しい成果に焦点を当て、グラフィック、ライブ放送、ショートビデオ、公共サービススキット、教育ゲーム、オンラインコースなどの統合メディアを通して重要な時間ポイント、革新的な方法と方法を組み合わせた。 グラフィック、ライブストリーミング、ショートビデオ、公共サービススキット、教育ゲーム、オンラインコースなどの統合メディア形態に加え、広報展示、巡回講演、技能コンテスト、コミュニティ講演、インタラクティブ体験などのオフライン手法により、革新的なコンテンツ供給、三次元コミュニケーションマトリックス、ターゲットオーディエンスの配置など、キャンペーンは深く実行された。
这十年,我国加快推进网络安全领域顶层设计,制定完善网络安全相关战略规划、法律法规和标准规范,网络安全“四梁八柱”基本确立。 この10年間、中国はサイバーセキュリティ分野におけるトップレベルの設計を加速させ、サイバーセキュリティに関する戦略計画、法規、基準・規範を策定・改善し、サイバーセキュリティの「4本柱」を基本的に確立してきた。
这十年,我国持续推进关键信息基础设施安全保护、数据安全管理和个人信息保护等重点工作,着力提升网络安全保障能力,有力维护国家安全、社会稳定和人民权益。 この10年間、中国は重要な情報インフラのセキュリティ保護、データセキュリティ管理、個人情報保護を引き続き推進し、ネットワークのセキュリティ能力の向上に努め、国家の安全、社会の安定、国民の権益を強力に守ってきた。
这十年,我国网络安全产品体系和产业链逐步完善,网络安全产业规模不断扩大,网络安全技术产业快速发展,网络安全产业为国家网络安全提供有力支撑。 この10年間、中国のネットワークセキュリティ製品のシステムと産業チェーンは徐々に、ネットワークセキュリティ業界の規模を拡大し続けて改善、ネットワークセキュリティ技術産業の急速な発展は、ネットワークセキュリティ業界は、国家のネットワークセキュリティのための強力なサポートを提供する。
我们要深入学习贯彻落实党的二十大精神,始终坚持以习近平新时代中国特色社会主义思想特别是习近平总书记关于网络强国的重要思想为指导,全面贯彻总体国家安全观,坚持正确的网络安全观,统筹发展与安全,加快推进网络安全保障体系和能力建设,强化数据安全和个人信息保护,深入落实网络安全工作责任制,切实筑牢国家网络安全屏障,奋力开创新时代网络安全工作新局面,积极防范化解前进道路上的各种风险,全力护航中华民族伟大复兴的中国梦。(作者:中国网络空间研究院网络安全研究所) 我々は第20回中国共産党全国代表大会の精神を深く研究し、実施し、常に習近平の『新時代の中国の特色ある社会主義思想』の指導、特に習近平総書記の強いサイバー国家に関する重要な思想を堅持し、国家安全全体概念を完全に実行し、サイバー安全に関する正しい概念を堅持して発展と安全を調整し、サイバー安全保護制度と能力の建設を加速し、データ安全と個人情報保護を強化し、深化する必要がある。 政府はサイバーセキュリティ施策の責任制を実施し、国家サイバーセキュリティ障壁を効果的に構築し、新時代のサイバーセキュリティ施策の新しい状況を切り開くよう努力し、前途の様々なリスクを積極的に防止・解決し、中華民族の偉大な若返りという中国の夢を完全に護衛する必要がある。 (著者:中国サイバーセキュリティ研究所)
(原标题:《筑牢国家网络安全屏障——我国网络安全工作发展成就与变革》) (原題:"強固な国家サイバーセキュリティ障壁の構築-中国サイバーセキュリティ業務の発展における成果と変化")

 

 

・2022.12.30 我国网络空间国际交流合作领域发展成就与变革

我国网络空间国际交流合作领域发展成就与变革 中国のサイバースペースにおける国際交流・協力の発展の成果と変化
中国作为全球最大的发展中国家和网民数量最多的国家,顺应信息时代发展大势,坚持以人民为中心的发展思想,秉持共商共建共享的全球治理观,加强双边、区域和国际对话与合作,致力于与国际社会各方建立广泛的合作伙伴关系,不断深化网络空间国际交流合作,与国际社会携手推动构建网络空间命运共同体。党的十八大以来,中国深入开展网络空间国际交流合作,取得积极成效。 世界最大の発展途上国であり,インターネット利用者が最も多い国である中国は,情報化時代の発展の趨勢に対応し,人民中心の発展思想を堅持し,相互協議,建設,共有に基づくグローバルガバナンスの概念を支持し,二国間,地域,国際対話と協力を強化し,国際社会のすべての関係者と広範なパートナーシップを確立することを約束し,サイバー空間での国際交流と協力を絶えず深め,国際社会とともに,「インターネット」の構築に向けて推進し,「インターネット」の利用者を増加させた。 中国は、サイバースペースにおける運命共同体の構築に取り組んでいる。 中国共産党第18回全国代表大会以降、中国はサイバースペースにおいて綿密な国際交流と協力を行い、積極的な成果を上げてきた。
不断拓展数字经济国际合作 デジタルエコノミーにおける国際協力の継続的な拡大
推进全球网信基础设施建设,助力互联网普及应用。一是积极推进全球光缆海缆建设。通过光纤和基站等建设,提高相关国家光通信覆盖率,推动当地信息通信产业跨越式发展。推广IPv6技术应用,助力“数字丝绸之路”建设,“云间高速”项目首次在国际云互联目标网络使用SRv6技术,接入海内外多种公有云、私有云,实现端到端跨域部署、业务分钟级开通,已应用于欧洲、亚洲和非洲的十多个国家和地区。二是推动北斗相关产品及服务惠及全球。北斗相关产品已出口至全球一半以上国家和地区。与阿盟、东盟、中亚、非洲等国家和区域组织持续开展卫星导航合作与交流,推动北斗系统进入国际标准化组织、行业和专业应用等标准化组织。三是助力提升全球数字互联互通水平。大力推进5G网络建设,积极开展5G技术创新及开发建设的国际合作。中国企业支持南非建成非洲首个5G商用网络和5G实验室。中国积极支持共建“一带一路”国家互联互通建设,助力提高基础设施数字化水平。将“智慧港口”建设作为港口高质量发展的新动能。 中国はグローバルなサイバーインフラストラクチャーの構築を推進し、インターネットの普及に貢献してきた。 第一に、グローバルな光ファイバー海底ケーブルの建設を積極的に推進したことである。 光ファイバーや基地局の建設を通じて、中国は関連国の光通信のカバー率を向上させ、現地の情報通信産業の飛躍的な発展を促してきた。 High Speed Between Clouds」プロジェクトは、国際的なクラウド相互接続のターゲットネットワークにSRv6技術を初めて採用し、国内外のパブリックおよびプライベートクラウドへのアクセス、エンドツーエンドのクロスドメイン展開、サービスのターンアップを数分で実現するものである。 ヨーロッパ、アジア、アフリカの10以上の国や地域で適用されている。 第二に、北斗関連製品・サービスの普及が進み、全世界に恩恵をもたらしていることである。 北斗関連製品は、世界の半数以上の国と地域に輸出されている。 アラブ連盟、ASEAN、中央アジア、アフリカなどの国々や地域組織と衛星測位に関する協力や交流を続け、北斗システムは国際標準化団体、産業界、専門家によるアプリケーションへの参入が促進されている。 第三に、グローバルなデジタルコネクティビティの向上に貢献することである。 私たちは、5Gネットワークの構築を精力的に推進し、5G技術の革新と開発・建設における国際協力を積極的に行っている。 中国企業は、アフリカ初の商用5Gネットワークと5Gラボの構築で南アフリカを支援した。 中国は「一帯一路」諸国の接続性建設を積極的に支援し、インフラのデジタル化向上を支援した。 スマートポートの構築は、質の高い港湾づくりの新たな原動力となるものである。
分享数字技术红利,助推全球经济发展。中国积极发挥数字技术对经济发展的放大、叠加、倍增作用,助推全球数字产业化和产业数字化进程,推进数字化和绿色化协同转型。一是“丝路电商”合作成果丰硕。自2016年以来,中国与五大洲24个国家建立双边电子商务合作机制,建立中国-中东欧国家、中国-中亚五国电子商务合作对话机制。电子商务企业加速“出海”,带动跨境物流、移动支付等各领域实现全球发展。与自贸伙伴共同构建高水平数字经济规则,电子商务国际规则构建取得突破。二是云计算、人工智能等新技术创新应用发展。中国积极为非洲、中东、东南亚等国家以及共建“一带一路”国家提供云服务支持。以世界微生物数据中心为平台,有效利用云服务平台等资源,建立起由51个国家、141个合作伙伴参加的全球微生物数据信息化合作网络,牵头建立全球微生物菌种保藏目录,促进全球微生物数据资源有效利用。协助泰国共同打造泰国5G智能示范工厂,积极同以色列等国家开展交流合作,提升农业数字化水平。 デジタル技術の配当を共有し、世界経済の発展を後押しする。 中国は、デジタル技術が経済発展を増幅、重畳、倍加させる役割を積極的に果たし、世界のデジタル産業化、産業デジタル化のプロセスを後押しし、デジタル化と緑化の相乗的変革を推進している。 まず、「シルクロード電子商取引」での協力が実を結んだ。 2016年以降、中国は5大陸の24カ国と二国間電子商取引協力メカニズムを設立し、中国と中東欧諸国、中国と中央アジア5カ国との電子商取引協力に関する対話メカニズムを立ち上げた。 Eコマース企業は「海外進出」を加速させ、越境物流やモバイル決済など様々な分野でグローバルな発展を牽引している。 私たちは、自由貿易協定国とともに、ハイレベルなデジタル経済ルールの構築に取り組んでおり、電子商取引に関する国際ルールの構築でブレークスルーを果たしている。 第二に、クラウドコンピューティングや人工知能などの新しい技術革新の応用が発展してきたことである。 中国は、アフリカ、中東、東南アジアなど、「一帯一路」を建設する国々へ積極的にクラウドサービスを提供している。 世界微生物学データセンターをプラットフォームとして、中国はクラウドサービスプラットフォームなどを有効に活用し、51カ国、141のパートナーが参加する世界微生物学データ情報化協力ネットワークを構築し、世界微生物学データリソースの有効活用を促進する世界微生物学株保存カタログを率先して構築している。 タイにおける5Gスマート実証工場の共同建設を支援し、イスラエルなどとは農業のデジタル化強化に向けた交流・協力を積極的に行った。
积极参与数字经济治理合作,推动建立相关国际规则。中国在国际或区域多边经济机制下,推动发起多个符合大多数国家利益和诉求的倡议、宣言和提案。一是推进亚太经合组织数字经济合作。2014年,中国作为亚太经合组织东道主首次将互联网经济引入亚太经合组织合作框架,发起并推动通过《促进互联网经济合作倡议》。积极推动全面平衡落实《APEC互联网和数字经济路线图》,先后提出“优化数字营商环境,激活市场主体活力”“后疫情时代加强数字能力建设,弥合数字鸿沟”等倡议。二是积极参与二十国集团框架下数字经济合作。在中国的推动下,2016年首次将“数字经济”列为二十国集团创新增长蓝图中的一项重要议题,并通过《二十国集团数字经济发展与合作倡议》,这是全球首个由多国领导人共同签署的数字经济政策文件。三是积极推动世贸组织数字经济合作。2017年,中国正式宣布加入世贸组织“电子商务发展之友”。2019年,中国与美国、欧盟、俄罗斯、巴西、新加坡、尼日利亚、缅甸等76个世贸组织成员共同发表《关于电子商务的联合声明》,启动与贸易有关的电子商务议题谈判。2022年,中国与其他世贸组织成员共同发表《关于〈电子商务工作计划〉的部长决定》,支持电子传输免征关税,助力全球数字贸易便利化。 デジタル経済のガバナンス協力に積極的に参加し、関連する国際ルールの確立を推進する。 国際的あるいは地域的な多国間経済メカニズムの下で、中国はほとんどの国の利益と願望を満たすいくつかのイニシアチブ、宣言、提案の立ち上げを推進してきた。 2014年、中国はAPECのホスト国として、インターネット経済を初めてAPECの協力枠組みに導入し、「インターネット経済に関する協力推進イニシアティブ」の採択を開始・推進した。 また、「インターネットとデジタル経済のためのAPECロードマップ」のバランスのとれた実施を積極的に推進し、「デジタルビジネス環境の最適化と市場プレイヤーの活力の活性化」、「デジタル能力開発の強化とポスト疫病時代のデジタルデバイドの解消」などの取り組みを打ち出している。 第二に、中国はG20の枠組みでのデジタル経済協力に積極的に参加している。 中国の促進により、2016年に初めて「デジタル経済」がイノベーションと成長のためのG20青写真に重要課題として盛り込まれ、複数国の首脳が共同署名した世界初のデジタル経済政策文書「デジタル経済の発展と協力に関するG20イニシアティブ」が採択された。 2017年、中国はWTOの「電子商取引の発展の友」への加盟を正式に表明し、2019年には米国、欧州連合、ロシア、ブラジル、シンガポール、ナイジェリア、ミャンマーなどWTO加盟76カ国とともに「電子商取引に関する共同宣言」を発表し、貿易関連の電子商取引の話題をスタートさせました。 2022年、中国は他のWTO加盟国とともに「電子商取引に関する作業計画に関する閣僚決定」を発表し、電子送信の関税免除を支援し、世界のデジタル貿易の促進を支援することになった。
此外,中国积极在《区域全面经济伙伴关系协定》(RCEP)等框架下开展数字经济治理合作,积极推进加入《数字经济伙伴关系协定》(DEPA)、《全面与进步跨太平洋伙伴关系协定》(CPTPP),不断深化同金砖、东盟国家等开展数字经济交流合作,建立数字经济伙伴关系,促进数字创新、数字技能与素养、数字化转型等务实合作,合力营造开放包容、公平公正、非歧视的发展环境。 また,中国は,地域包括的経済連携協定(RCEP)等の枠組みの下でデジタル経済のガバナンスに関する協力を積極的に実施し,デジタル経済連携協定(DEPA)や包括的・先進的環太平洋パートナーシップ協定(CPTPP)への加盟を積極的に推進し,BRICSやASEAN諸国とのデジタル経済交流・協力を継続的に深め,デジタル経済パートナーシップを構築し,推進するとしている。 デジタル・イノベーション、デジタル・スキルとリテラシー、デジタル・トランスフォーメーションに関する実用的な協力を行い、オープンで包括的、公正かつ非差別的な開発環境の実現に向けて協力すること。
2022年7月12日,世界互联网大会成立大会在北京召开。 2022年7月12日、北京で世界インターネット会議の設立総会が開催された。
持续深化全球网络安全合作 グローバルなサイバーセキュリティ協力の継続的な深化
深化网络安全领域合作伙伴关系。中国积极推动达成《金砖国家网络安全务实合作路线图》(2017),通过《上合组织成员国保障国际信息安全2022-2023年合作计划》,分别与印度尼西亚、泰国签署网络安全合作方面谅解备忘录,并与东盟联合建立网络安全交流培训中心。截至2021年,中国已与81个国家和地区的274个计算机应急响应组织建立“CNCERT国际合作伙伴”关系,并与其中33个组织签订网络安全合作备忘录。提高数据安全和个人信息保护合作水平。中国坚持以开放包容的态度推动全球数据安全治理、加强个人信息保护领域的合作,在保障个人信息和重要数据安全的前提下,与世界各国开展交流合作。2020年9月,中国发布《全球数据安全倡议》,为制定全球数据安全规则提供了蓝本。随后,中国同阿拉伯国家、中亚五国等签署数据安全合作倡议,标志着发展中国家在携手推进全球数字治理方面迈出了重要一步。 サイバーセキュリティ分野でのパートナーシップを深める。 中国は、「サイバーセキュリティに関する実践的協力のためのBRICSロードマップ」(2017年)の締結を積極的に推進し、SCO加盟国間の国際情報セキュリティを守るための2022-2023年協力計画を採択、インドネシアおよびタイとそれぞれサイバーセキュリティ協力に関する覚書を締結、ASEANとサイバーセキュリティ交流・訓練センターを共同設立した。 中国は2021年までに、81の国と地域の274のコンピュータ緊急対応組織と「CNCERT国際パートナーシップ」を構築し、そのうち33の国とサイバーセキュリティ協力に関する覚書を締結している。 データセキュリティと個人情報保護に関する協力のレベルアップ。 2020年9月、中国はグローバルなデータセキュリティルール策定の青写真となる「グローバルデータセキュリティイニシアティブ」を発表した。 その後、中国はアラブ諸国および中央アジア5カ国とデータセキュリティ協力イニシアティブに署名し、途上国が手を携えてグローバルデジタルガバナンスを推進する上で重要な一歩を踏み出した。
共同打击网络犯罪和网络恐怖主义。中国一贯支持打击网络犯罪国际合作,支持在联合国框架下制定全球性公约。中国推动联合国网络犯罪政府间专家组于2011年至2021年间召开七次会议,为通过关于启动制定联合国打击网络犯罪全球性公约相关决议作出重要贡献。推动在上合组织和金砖机制下签署共同打击国际恐怖主义的声明,提出加强网络反恐合作交流建议。 サイバー犯罪とサイバーテロに共同で対処する。 中国は、サイバー犯罪対策における国際協力と、国連の枠組みの下での国際条約の策定を常に支持している。 中国は、2011年から2021年の間に7回の国連サイバー犯罪に関する政府間専門家会合の開催を推進し、国連のサイバー犯罪に対する世界条約の策定開始に関する決議の採択に重要な貢献を果たした。 また、SCOとBRICSのメカニズムの下での国際テロ対策への共同努力に関する宣言の署名を促進し、サイバーテロ対策に関する協力と交流を強化するための提案を行った。
积极推动网络空间全球治理 サイバースペースにおけるグローバルガバナンスの積極的な推進
参与网络空间全球治理,贡献中国方案和智慧。中国坚定维护以联合国为核心的国际体系、以国际法为基础的国际秩序,始终恪守《联合国宪章》确立的主权平等、不得使用威胁或武力、和平解决争端等原则,尊重各国自主选择网络发展道路、网络管理模式、互联网公共政策和平等参与网络空间国际治理的权利。2020年9月,《中国关于联合国成立75周年立场文件》发布,呼吁国际社会要在相互尊重、平等互利基础上,加强对话合作,把网络空间用于促进经济社会发展、国际和平与稳定和增进人类福祉,反对网络战和网络军备竞赛,共同建立和平、安全、开放、合作、有序的网络空间。一是推动联合国网络空间治理进程。中国与上合组织其他成员国向联合国大会提交“信息安全国际行为准则”,并于2015年提交更新案文,成为国际上第一份系统阐述网络空间行为规范的文件。中国建设性参与联合国信息安全开放式工作组与政府专家组,积极参与联合国教科文组织《人工智能伦理问题建议书》制定工作,深度参与联合国互联网治理论坛。二是拓展与国际组织的网信合作。国际电信联盟和世界知识产权组织连续多年担任世界互联网大会协办单位。2019年7月,中国与世界知识产权组织签署合作备忘录,并向世界知识产权组织仲裁与调解中心正式授权,在域名规则制定以及域名争议解决领域开展广泛合作。三是积极参与全球互联网组织事务。积极参与互联网名称和数字地址分配机构等平台或组织活动。支持互联网名称和数字地址分配机构治理机制改革,增强发展中国家的发言权和代表性,推进互联网基础资源管理国际化进程。积极参与国际互联网协会、国际互联网工程任务组、互联网架构委员会活动,促进社群交流,推进产品研发和应用实践,深度参与相关标准、规则制定,发挥建设性作用。 中国は、国連を核とする国際システムと国際法に基づく国際秩序を堅持し、国連憲章が定める主権平等、威嚇または武力の不行使、紛争の平和的解決の原則を常に堅持し、各国がサイバー発展の道、サイバー管理の方式、インターネットに関する公共政策、サイバー空間における国際統治への平等な参加を自主的に選択する権利を尊重する2020年9月に「サイバー空間における中国ポジションペーパー」を発表。 国際連合創立75周年記念のポジションペーパーを発表し、国際社会に対し、相互尊重、平等、互恵を基本に対話と協力を強化し、サイバー空間を利用して経済・社会の発展、国際平和と安定、人類の福祉を増進し、サイバー戦争とサイバー軍拡競争に反対し、平和、安全、開放、協力、秩序あるサイバー空間を共同構築するよう呼びかけた。 第一に、国連のサイバースペースガバナンスプロセスを推進することである。 中国をはじめとするSCO加盟国は、情報セキュリティに関する国際行動規範を国連総会に提出し、2015年には更新した文章を提出し、サイバースペースにおける行動規範を体系的に練り上げた初の国際文書となった。 中国は、国連情報セキュリティ公開作業部会と政府専門家会合に建設的に参加し、「人工知能の倫理に関するユネスコ勧告」の策定に積極的に参加し、国連インターネットガバナンスフォーラムに深く参画している。 第二に、サイバー情報に関する国際機関との協力関係を拡大したことである。 国際電気通信連合と世界知的所有権機関は長年にわたり世界インターネット会議の共同主催者を務めており、2019年7月、中国は世界知的所有権機関と協力覚書を締結し、世界知的所有権機関仲裁調停センターにドメイン名の規則制定とドメイン名紛争解決の分野で広範な協力を行うことを正式に認可した。 第三に、グローバルなインターネット組織の業務に積極的に参加していることである。 ICANN(Internet Corporation for Assigned Names and Numbers)等のプラットフォームや組織の活動に積極的に参加する。 ICANNのガバナンス機構の改革を支援し、途上国の声と代表性を高め、基本的なインターネット資源管理の国際化プロセスを促進する。 国際インターネット協会、国際インターネット技術タスクフォース、インターネットアーキテクチャ委員会の活動に積極的に参加し、コミュニティの交流を促進し、製品開発とアプリケーションの実践を進め、関連する標準と規則の策定に深く参加することで建設的な役割を果たすこと。
开展网络空间国际交流合作,推动平等互信、共赢共治。2017年3月,中国发布首份《网络空间国际合作战略》,就推动网络空间国际交流合作首次全面系统地提出了中国主张,向世界发出了中国致力于网络空间和平发展、合作共赢的积极信号。中国秉持相互尊重、平等相待原则,积极同世界各国开展网络空间交流合作。一是深化中俄网信领域的高水平合作。2015年,签署《中华人民共和国政府和俄罗斯联邦政府关于在保障国际信息安全领域合作协定》,为两国信息安全领域合作规划方向。2021年,双方重申将巩固国际信息安全领域的双多边合作,继续推动构建以防止信息空间冲突、鼓励和平使用信息技术为原则的全球国际信息安全体系。二是推进中欧网信领域开放包容合作。举办中欧数字领域高层对话,围绕加强数字领域合作,就通信技术标准、人工智能等方面进行务实和建设性讨论。与欧盟共同成立中欧数字经济和网络安全专家工作组,先后召开四次会议。2012年,建立中欧网络工作组机制,双方在工作组框架下不断加强网络领域对话合作。与英、德、法等国开展双边网络事务对话,深化与欧洲智库交流对话。三是加强与周边和广大发展中国家网信合作。持续推动中国与东盟国家数字领域合作,建立中国-东盟网络事务对话机制。建立中日韩三方网络磋商机制,与韩国联合主办中韩互联网圆桌会议。举办中非互联网发展与合作论坛,发布“中非携手构建网络空间命运共同体倡议”,提出“中非数字创新伙伴计划”。举办中古(古巴)互联网圆桌论坛、中巴(巴西)互联网治理研讨会,围绕信息时代互联网的发展与治理开展对话交流。与亚非国家开展网络法治对话。四是以平等和相互尊重的态度与美国开展对话交流。中国致力于在尊重彼此核心关切、妥善管控分歧的基础上,与美国开展互联网领域对话交流,为包括美国在内的世界各国企业在华发展创造良好市场环境,推进中美网信领域的合作。但一段时间以来,美国采取错误对华政策致使中美关系遭遇严重困难。推动中美关系健康稳定发展,积极开展双方网信合作,符合两国人民根本利益,也是国际社会共同期待。 2017年3月、中国は初めて「サイバースペース国際協力戦略」を発表し、サイバースペースにおける国際交流と協力を包括的かつ体系的に推進する中国の考えを打ち出し、中国がサイバースペースの平和的発展とウィンウィンの協力に取り組んでいることを世界に積極的に発信している。 中国は相互尊重と平等な扱いの原則を守り、世界各国とサイバースペースでの交流と協力を積極的に行っている。 2015年には、情報セキュリティ分野における両国の協力の方向性を示す「国際情報セキュリティの保護における協力に関する中華人民共和国政府とロシア連邦政府との間の協定」に署名し、2021年には、国際情報セキュリティ分野における二国間及び多国間の協力を強化し、情報空間における紛争の防止及び情報技術の平和的利用の奨励という原則に基づく国際情報セキュリティのグローバルシステムの構築を引き続き促進することを再確認した。 2021年、双方は、国際情報セキュリティ分野における二国間及び多国間の協力を強化し、情報空間における紛争を防止し、情報技術の平和利用を奨励するという原則に基づき、グローバルな国際情報セキュリティシステムの構築を引き続き促進することを再確認した。 第二に、サイバー情報分野において、中国と欧州のオープンで包括的な協力を促進することである。 デジタル分野における中欧ハイレベル対話を開催し、通信技術標準や人工知能などデジタル分野での協力強化について、現実的かつ建設的な議論を行う。 2012年には中国-EUサイバーワーキンググループ機構が設立され、双方は同ワーキンググループの枠組みの下、サイバー分野における対話と協力を強化してきた。 英国、ドイツ、フランスとサイバー問題に関する二国間対話を実施し、欧州のシンクタンクとの交流・対話も深めている。 第三に、隣国や途上国全般とのサイバー協力の強化である。 中国とASEAN諸国のデジタル分野での協力を継続的に推進し、サイバー問題に関する中国・ASEAN対話メカニズムを構築する。 日中韓の三者間サイバー協議機構を設立し、中韓インターネット円卓会議を韓国と共催する。 中国・アフリカインターネット発展協力フォーラムが開催され、「サイバースペースにおける運命共同体の構築に関する中国・アフリカイニシアチブ」が発表され、「中国・アフリカデジタル革新パートナーシップ」が提案された。 中国・キューバ・インターネット円卓会議フォーラム、中国・ブラジル・インターネットガバナンスセミナーを開催し、情報化時代のインターネットの発展とガバナンスに関する対話と交流を実施。 インターネットによる法の支配に関するアジア・アフリカ諸国との対話。 第四に、米国との対話と交流を対等かつ相互に尊重しながら行うことである。 中国は、互いの核心的関心を尊重し、差異を適切に管理することに基づいて、インターネット分野において米国と対話と交流を行い、米国を含む世界中の企業の中国での発展のために有利な市場環境を作り、インターネット情報分野における中米協力を促進することにコミットしている。 しかし、米国はここしばらくの間、誤った対中政策をとり、中米関係に深刻な支障をきたしてきた。 中米関係の健全で安定した発展を促進し、双方がサイバー情報協力を積極的に行うことは、両国民の基本的利益にかなうものであり、国際社会が共通して期待するところである。
搭建世界互联网大会交流平台。2014年以来,中国连续9年在浙江乌镇举办世界互联网大会,搭建中国与世界互联互通的国际平台和国际互联网共享共治的中国平台。自2017年起,中国网络空间研究院连续6年在大会上发布《中国互联网发展报告》和《世界互联网发展报告》蓝皮书,全面分析中国与世界互联网发展态势,为全球互联网发展与治理提供思想借鉴与智力支撑。近年来,国际各方建议将世界互联网大会打造成为国际组织。在多家单位共同发起下,今年,世界互联网大会国际组织在北京成立,更好助力全球互联网发展治理。 中国は2014年から9年連続で世界インターネット会議を浙江省烏鎮で開催し、中国と世界をつなぐ国際的なプラットフォームと、インターネットの国際的な共有とガバナンスのための中国のプラットフォームを構築している。 中国サイバースペース研究院は2017年から6年連続で「中国インターネット発展報告青書」と「世界インターネット発展報告」を同会議で発表し、中国と世界のインターネット発展動向を総合的に分析し、世界のインターネットの発展とガバナンスに思慮深い参考と知的支援を提供している。 近年、国際的な当事者から、世界インターネット会議を国際的な組織にするべきだという意見が出されている。 いくつかのユニットの共同イニシアチブにより、今年、世界インターネット会議の国際組織が北京に設立され、グローバルなインターネットの発展とガバナンスをよりよく支援することができるようになった。
促进全球普惠包容发展 グローバルな包括的開発の推進
积极开展网络扶贫国际合作。中国在利用网络消除自身贫困的同时,采取多种技术手段帮助发展中国家提高宽带接入率,努力为最不发达国家提供可负担得起的互联网接入,消除因网络设施缺乏导致的贫困。在非洲20多个国家实施“万村通”项目,通过亚太经济合作组织等平台推广分享数字减贫经验,提出解决方案,例如,将简单小巧的基站放置在木杆上,而且自带电源、功耗很低,快速、低成本地为发展中国家偏远地区提供移动通信服务,目前已有60多个发展中国家受益于此。2019年底,联合国教科文组织国际高等教育创新中心与4所中国高校及11所亚太、非洲地区的高等院校和9家合作企业共同发起设立国际网络教育学院,通过开放的网络平台促进发展中国家高校与教师数字化转型,消除因知识技能匮乏带来的贫困。 インターネットを活用した貧困削減のための国際協力を積極的に行う。 中国は、インターネットを利用して自国の貧困を撲滅する一方で、途上国のブロードバンド接続率の向上を支援するためにさまざまな技術的手段を採用し、後発開発途上国に安価なインターネットアクセスを提供し、インターネット設備の不足による貧困の撲滅に取り組んでいる。 アフリカの20カ国以上で「一万人の村」プロジェクトを実施し、アジア太平洋経済協力などのプラットフォームを通じてデジタル貧困削減の経験を普及・共有し、途上国の遠隔地でモバイル通信サービスを迅速かつ低コストで提供するために、独自電源で消費電力の少ないシンプルでコンパクトな基地局を木の柱に設置するなどのソリューションを提案している。 すでに60以上の途上国がその恩恵を受けている。2019年末、ユネスコの国際高等教育イノベーションセンターは、中国の4大学とアジア太平洋・アフリカの11高等教育機関、パートナー企業9社と共同で、「国際オンライン教育アカデミー」を立ち上げ、知識や技術の欠如がもたらす貧困を撲滅すべく、オープンオンラインを通じて途上国の大学や教師のデジタル変革を推進することにした。
助力提升数字公共服务水平。中国积极研发数字公共产品,中阿电子图书馆项目以共建数字图书馆的形式面向中国、阿盟各国提供中文和阿拉伯文自由切换浏览的数字资源和文化服务。充分利用网络信息技术,建设国际合作教育“云上样板区”。联合日本、英国、西班牙、泰国等国家的教育机构、社会团体共同发起“中文联盟”,为国际中文教育事业搭建教学服务及信息交流平台。2020年10月,与东盟国家联合举办“中国-东盟数字经济抗疫政企合作论坛”。向相关国家捐赠远程视频会议系统,提供远程医疗系统、人工智能辅助诊疗、5G无人驾驶汽车等技术设备及解决方案。 デジタル公共サービスの向上に貢献する。 中国はデジタル公共製品の開発を積極的に行っており、中国・アラブ電子図書館プロジェクトでは、中国とLAS諸国が共同で構築したデジタル図書館という形で、中国語とアラビア語のデジタル資源と文化サービスを自由に閲覧できるようにしている。 中国はインターネット情報技術を駆使して、国際協力や教育のための「クラウド上のモデルゾーン」を構築している。 2020年10月、ASEAN諸国と共同で「中国・ASEANデジタル経済防疫政府・企業協力フォーラム」を開催した。 デジタルエコノミーにおける協力に関するフォーラム 遠隔ビデオ会議システムの関係国への寄贈、遠隔医療システム、人工知能による医療支援、5Gドライバーレスカーなどの技術機器・ソリューションの提供。
推动网络文化交流与文明互鉴。打造网上文化交流平台,促进文明交流互鉴。2020年6月,“中国联合展台在线平台”上线,该平台集信息发布、展览展示、版权交易、互动交流等于一体,成为各国视听机构、视听节目和技术设备展示交流平台。构建多语种的“丝绸之路数字遗产与旅游信息服务平台”,以图片、音视频等形式推介“丝绸之路”沿线国家1500处世界遗产与旅游资源,充分展现科学、美学、历史、文化和艺术价值。2020年9月,中国举办“全球博物馆珍藏展示在线接力”项目,吸引来自五大洲15个国家的16家国家级博物馆参与。2021年5月,联合法国相关博物馆举办“敦煌学的跨时空交流与数字保护探索”线上研讨会,共同探索法藏敦煌文物的数字化保护与传播的新方向、新模式、新方案,以推进敦煌文物的数字化呈现和传播。此外,中俄网络媒体论坛、中国-南非新媒体圆桌会议、中坦(坦桑尼亚)网络文化交流会等持续举办,也在以不同形式推动着网络文化与文明交流互鉴。 オンライン文化交流と文明の相互理解を促進する。 2020年6月、情報発信、展示、著作権取引、インタラクティブな交流を統合した「中国聯合台オンラインプラットフォーム」を立ち上げ、各国の視聴覚団体、視聴覚番組、技術設備などを展示・交流するプラットフォームとなった。 多言語による「シルクロードデジタル遺産・観光情報サービスプラットフォーム」を構築し、シルクロード沿線国の1500の世界遺産と観光資源を写真、音声、動画で紹介し、科学的、美的、歴史的、文化的、芸術的価値を十分に発揮させる。 2020年9月、中国は「世界博物館コレクション・オンライン・リレー」プロジェクトを開催し、5大陸15カ国から16の国立博物館を誘致した。 "フランス所蔵の敦煌文物のデジタル保存と普及のための新しい方向性、モデル、解決策を探るオンラインセミナーである。 さらに、中国-ロシア・オンラインメディアフォーラム、中国-南アフリカ・ニューメディアラウンドテーブル、中国-タンザニア(タンザニア)オンライン文化交流も引き続き開催され、さまざまな形でオンライン文化・文明交流と相互鑑賞を促進している。
党的十八大以来,中国积极务实开展网络空间国际交流合作。中国愿同世界各国一道,携手走出一条数字资源共建共享、数字经济活力迸发、数字治理精准高效、数字文化繁荣发展、数字安全保障有力、数字合作互利共赢的全球数字发展道路,加快构建网络空间命运共同体,为世界和平发展与人类文明进步贡献智慧和力量。(作者:中国网络空间研究院国际治理研究所) 第18回党大会以降、中国はサイバー空間における国際交流と協力を積極的かつ現実的に行ってきた。 中国は世界各国と手を携えて、デジタル資源の共有、活力あるデジタル経済、正確で効率的なデジタルガバナンス、豊かなデジタル文化、強固なデジタルセキュリティ、互恵的なデジタル協力というグローバルなデジタル発展の道を開拓し、サイバースペースにおける運命共同体の構築を加速し、世界の平和的発展と人類文明の進歩に知恵と力を貢献したいと考えている」と述べた。 (筆者:中国サイバースペース研究院国際ガバナンス研究所)
(原标题:《为世界和平发展与人类文明进步贡献智慧和力量——我国网络空间国际交流合作领域发展成就与变革》) (原題:世界の平和的発展と人類文明の進歩に知恵と力を貢献する - 中国におけるサイバー空間での国際交流・協力の展開の成果と変化)。

 

1_20210705085401

 

| | Comments (0)

2023.01.08

NISTIR 8401 衛星地上セグメント:衛星の指揮・統制を保証するためのサイバーセキュリティフレームワークの適用 (2022.12.30)

こんにちは、丸山満彦です。

NISTが、NISTIR 8401 衛星地上セグメント:衛星の指揮・統制を保証するためのサイバーセキュリティフレームワークの適用の確定版です。

宇宙政策指令5(SPD-5)の目標に対応するものですね。。。

報告書の対象範囲は、地上セグメントです。。。

01_20230109034001

 

02_20230109034001

 

サイバーセキュリティフレームワークに準じて対策が例示されています。。。

 

● NIST - ITL

・2022.12.30 NISTIR 8401 Satellite Ground Segment: Applying the Cybersecurity Framework to Satellite Command and Control

Abstract 概要 
Space operations are increasingly important to the national and economic security of the United States. Commercial space’s contribution to the critical infrastructure is growing in both volume and diversity of services as illustrated by the increased use of commercial communications satellite (COMSAT) bandwidth, purchase of commercial imagery, and the hosting of government payloads on commercial satellites. The U.S. government recognizes and supports space resilience as illustrated by numerous space policies, executive orders, and the National Cyber Strategy. The space cyber-ecosystem is an inherently risky, high-cost, and often inaccessible environment consisting of distinct yet interdependent segments. This report applies the NIST Cybersecurity Framework to the ground segment of space operations with an emphasis on the command and control of satellite buses and payloads. 宇宙活動は、米国の国家安全保障および経済安全保障にとってますます重要となっている。商業通信衛星(COMSAT)帯域幅の使用の増加、商業画像の購入、商業衛星での政府ペイロードのホスティングに示されるように、重要インフラへの商業宇宙の貢献は、サービスの量と多様性の両方において成長している。米国政府は、多くの宇宙政策、大統領令、国家サイバー戦略に示されるように、宇宙の回復力を認識し、支援している。宇宙サイバーエコシステムは、本質的にリスクが高く、高コストで、しばしばアクセス不能な環境であり、異なるが相互依存のセグメントで構成されている。本報告書は、NISTサイバーセキュリティフレームワークを、衛星バスとペイロードのコマンド&コントロールに重点を置いて、宇宙事業の地上部門に適用したものである。

 

・[PDF] NISTIR 8401

20230109-33643

 

・[DOCX] 仮訳

 

 

 

Executive Summary  エグゼクティブサマリー 
As stated in the September 2018 United States National Cyber Strategy, the U.S. Government (USG) considers unfettered access and freedom to operate in space vital to the advancement of the security, economic prosperity, and scientific knowledge of the nation, and is concerned about the growing cyber-related threats to space assets and their supporting infrastructure. [NCS-2018] The USG issued Space Policy Directive 5 (SPD-5) in 2020 which establishes key cybersecurity principles to guide and serve as the foundation for America’s approach to the cyber protection of space systems. SPD-5 also fosters practices within the USG and commercial space operations that protect space assets and their supporting infrastructure from cyber threats. [SPD-5]  2018年9月の米国国家サイバー戦略に記載されているように、米国政府(USG)は、国家の安全保障、経済繁栄、科学知識の進歩に宇宙での自由なアクセスと活動の自由が不可欠であると考えており、宇宙資産とそれを支えるインフラへのサイバー関連の脅威の増大を懸念している。[NCS-2018] 米国政府は2020年に宇宙政策指令5(SPD-5)を発行し、宇宙システムのサイバー保護に対する米国のアプローチを導き、その基礎となる重要なサイバーセキュリティの原則を確立している。SPD-5はまた、宇宙資産とそれを支えるインフラをサイバー脅威から保護するために、米国政府と商業宇宙事業における実践を促進するものである。[SPD-5] 
The intent of this document is to introduce the Cybersecurity Framework by applying it to create a Profile for the space sector’s ground segment. The Profile provides a flexible framework for stakeholders to manage risks. Organizations are encouraged to make their risk management decisions in the context of their own cyber ecosystem, architecture, and risk tolerance. The goal of the profile is to supplement preexisting resilience measures and elevate the postures of less mature initiatives.  この文書の意図は、サイバーセキュリティフレームワークを宇宙分野の地上部門に適用してプロファイルを作成することにより、サイバーセキュリティフレームワークを紹介することである。プロファイルは、利害関係者がリスクを管理するための柔軟な枠組みを提供する。組織は、自らのサイバーエコシステム、アーキテクチャ、及びリスク許容度との関連において、リスク管理の決定を行うことが奨励される。このプロファイルの目的は、既存のレジリエンス対策を補完し、成熟度の低いイニシアチブの姿勢を向上させることである。 
The Profile defined in this report helps address SPD-5’s goals for securing space. It directly supports key principles such as developing and implementing cybersecurity plans to ensure space systems’ ability to verify the integrity, confidentiality, and availability of critical functions as well as retain or recover positive control of space vehicles.  本報告書で定義されたプロファイルは、SPD-5 の宇宙安全に関する目標に対応するのに役立つ。それは、宇宙システムが重要な機能の完全性、機密性、可用性を検証し、宇宙船の積極的な制御を保持または回復する能力を確保するためのサイバーセキュリティ計画の開発と実施などの主要原則を直接支援するものである。 
The ground segment profile is voluntary and does not issue regulations, define mandatory practices, provide a checklist for compliance, or carry statutory authority. It is intended to be a foundational set of guidelines. 地上部門プロファイルは任意であり、規制の発行、強制的な業務の定義、準拠のためのチェックリストの提供、または法的権限の付与を行うものではない。基本的なガイドラインとなることを意図している。 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.11.06 NIST ホワイトペーパー NIST CSWP 27:ハイブリッド衛星ネットワーク (HSN) 用サイバーセキュリティ・フレームワーク・プロファイル:注釈付きアウトライン最終版

・2022.08.05 ドイツ BSI 宇宙インフラのためのサイバーセキュリティ

・2022.07.16 経済産業省 令和3年度委託調査報告書(サイバーセキュリティ関係) 2022.07.14現在

・2022.07.14 NIST NCCoE ハイブリッド衛星ネットワーク(HSN)サイバーセキュリティ(ドラフト)

・2022.07.06 NISTIR 8323 Rev. 1 (ドラフト) 基礎的な PNT プロファイル:測位・航法・計時(PNT)サービスの責任ある使用のためのサイバーセキュリティフレームワークの適用 (2022.06.29)

・2022.04.21 NISTIR 8401 (ドラフト) 衛星地上セグメント:衛星の指揮・統制を保証するためのサイバーセキュリティフレームワークの適用

・2022.02.28 NISTIR 8270(ドラフト)商用衛星運用のためのサイバーセキュリティ入門(第2稿)

・2022.02.27 経済産業省 意見募集 「民間宇宙システムにおけるサイバーセキュリティ対策ガイドラインβ版」

・2021.07.02 NISTIR 8270(ドラフト)商用衛星運用のためのサイバーセキュリティ入門

・2021.05.23 GPSの二重化は現在のところ経済効率的ではないようですね。。。

・2021.04.16 U.S. Rand研究所 衛星インターネットサービスは独裁者にとって吉?凶?

・2021.04.12 宇宙経済をサイバー攻撃から守り抜くために by The Center for Security Studies at ETH Zürich at 2021.01.07

・2021.02.13 NIST NISTIR 8323 基本的なPNTプロファイル:測位・航法・計時(PNT)サービスの責任ある使用のためのサイバーセキュリティフレームワークの適用

・2020.11.21 MITREがサイバーセキュリティを含む宇宙関連の5つの技術報告書を公開していますね。。。

・2020.10.23 NISTが測位・航法・計時(PNT)に関連するサービスに関連したセキュリティプロファイルに関する文書(NISTIR 8323)のパブコメを募集していますね。

・2020.09.21 イランのハッカー3名が衛星会社から知財を盗んだ理由等により起訴されていますね。。。

 

 

| | Comments (0)

ノルウェー 個人データ保護局 AI利用における透明性についての報告書 (2022.12.21)

こんにちは、丸山満彦です。

ノルウェーの個人データ保護局 (Datatilsynets) が、AI利用における透明性についての報告書を公開していますね。。。

開発段階、適用段階、事後学習と改善段階の3つを考えているようですね。。。

ケースとしては、学校、労働、行政の3つをケースを考えていますね。。。

 

Datatilsynets

・2022.12.21 Å lykkes med åpenhet

Fig1_20230107143801

01_20230107144101

Å lykkes med åpenhet 透明性を高めることで成功する
Innledning はじめに
Rettslige krav til åpenhet 透明性のための法的要件
Åpenhet ved bruk av kunstig intelligens i skolen 学校における人工知能の使用の透明性
Åpenhet ved bruk av kunstig intelligens i arbeidslivet 労働における人工知能の使用の透明性
Åpenhet ved bruk av kunstig intelligens i offentlig forvaltning 行政における人工知能の使用の透明性
Et spørsmål om tillit 信頼の問題
Huskeliste for god åpenhet ved bruk av KI AIを利用する際の優れた透明性のためのチェックリスト

 

02_20230107144201

 

 

プレスリリース

・2022.12.21 Hva skal du si om bruk av KI?

Fig2_20230107144301

 

 

| | Comments (0)

2023.01.07

経済産業省 米国国土安全保障省とのサイバーセキュリティに関する協力覚書に署名しました

こんにちは、丸山満彦です。

西村経済産業大臣が訪米していますが、、、米国国土安全保障省とのサイバーセキュリティに関する協力覚書に署名したようですね。。。

 

経済産業省

・2023.01.07 米国国土安全保障省とのサイバーセキュリティに関する協力覚書に署名しました


1.概要

2023年1月6日、西村経済産業大臣は、米国マヨルカス国土安全保障長官との会談において、サイバーセキュリティに関する協力覚書(MoC:Memorandum of Cooperation)に署名し、交換しました。
この協力覚書は、昨年12月に決定された国家安全保障戦略において、サイバー安全保障分野の政策を一元的に総合調整する新たな組織を設置するとされたことも踏まえ、経済産業省の所掌分野において米国とのサイバーセキュリティに関する協力をより強固なものとするため、経済産業省と米国国土安全保障省により署名されました。

日時 2023年1月6日(金曜日)

場所 アメリカ合衆国・ワシントンDC

2.覚書のポイント

経済産業省と米国国土安全保障省は、高度化し増加し続けるサイバー攻撃への対応のため、関係機関からの協力も得ながら、以下のサイバーセキュリティ分野について協力を行う。

協力分野

  • 運用面での協力  
  • 制御システムセキュリティの向上
  • インド太平洋地域等の能力向上に関する協力
  • サイバーセキュリティ関連規制及びスキームの調和のための対話促進

 

U.S. Department of Homeland Ssecurity

・2023.01.06 Readout of Secretary Mayorkas’s Meeting with Japanese Minister Nishimura

 

Readout of Secretary Mayorkas’s Meeting with Japanese Minister Nishimura マヨルカス長官と西村大臣との会談の要旨
WASHINGTON – On January 6, 2023, Secretary of Homeland Security Alejandro N. Mayorkas met with Japan’s Minister of Economy, Trade, and Industry Yasutoshi Nishimura to continue their previous discussion in Tokyo in October related to the expansion of cyber cooperation and prevention of the use of forced labor in supply chains. Secretary Mayorkas and Minister Nishimura also signed an updated memorandum of cooperation on cybersecurity that will allow their agencies to strengthen operational collaboration, enhance the security of critical infrastructure, foster more opportunities for partnership, and continue sharing best practices with our Indo-Pacific partners.  ワシントン - 2023年1月6日、アレハンドロ・N・マヨルカス国土安全保障長官は、日本の西村康稔経済産業大臣と会談し、10月に東京で行ったサイバー協力の拡大およびサプライチェーンにおける強制労働の使用防止に関する前回の話し合いに引き続き、話し合いを行った。マヨルカス長官と西村大臣はまた、サイバーセキュリティに関する最新の協力覚書に署名し、両機関が業務上の協力を強化し、重要インフラのセキュリティを強化し、パートナーシップの機会をさらに育み、インド太平洋地域のパートナーとのベストプラクティスの共有を継続することを可能にする。 
Secretary Mayorkas and Minister Nishimura later hosted representatives from Japan’s business community for a roundtable on upholding human rights and preventing the use of forced labor in supply chains. The discussion highlighted DHS’s leading role in enforcing the Uyghur Forced Labor Prevention Act and how DHS is implementing this critical legislation.  マヨルカス長官と西村大臣はその後、日本の経済界の代表を招いて、サプライチェーンにおける人権の擁護と強制労働の防止に関する円卓会議を開催した。この座談会では、ウイグル人強制労働防止法の施行におけるDHSの主導的な役割と、DHSがこの重要な法律をどのように実施しているかが紹介された。

 

01_20230220061501

| | Comments (0)

法務省 令和4年 犯罪白書 (2022.12.13)

こんにちは、丸山満彦です。

備忘録です。犯罪白書...

昭和35年の白書からそろっているのは素敵です。。。令和4年版についてもHTML版(資料も含めて)も公表されるんですかね。。。

 

刑法犯の犯罪認知数はかなり減少していますよね。。。

20230107-00911

でもサイバー犯罪の検挙数は増えています。。。

検挙件数は近年増加し続けており、令和3年は1万2,209件(前年比23.6%増)となっていますね。最近ではランサムウェアによる被害が急増していると指摘していますね。。。

「テレワーク実現のためのVPN機器の脆弱性が悪用され被害増加につながった可能性がある一方、攻撃方法の巧妙化・組織化等も考えられる」と評価しているようです。。。

20230107-01117

 

ただ、サイバー犯罪の大部分は「その他のサイバー犯罪」です。。。で、その「その他のサイバー犯罪」とは次のようなものです...

20230107-01436

 

ランサムウェア被害の報告...

20230107-03912

 

法務省白書・統計・資料  -  白書・統計  -  白書

犯罪白書

・2022.12.13 [PDF] 令和4年版 犯罪白書の概要

20230107-02807

 

・2022.12.13 [PDF] 令和4年版 新型コロナウイルス感染症と刑事政策犯罪者・非行少年の生活意識と価値観

20230107-02219

 

 

 

 

| | Comments (0)

JASA 監査人の警鐘- 2023年 情報セキュリティ十大トレンド

こんにちは、丸山満彦です。

JASA(特定非営利活動法人日本セキュリティ監査協会 )が情報セキュリティ監査人が選ぶ2023年の情報セキュリティ十大トレンドを発表していますね。。。

 

● JASA

・2023.01.06 監査人の警鐘 – 2023年 情報セキュリティ十大トレンド

 

ちなみに過去分は2018年からあります。。。

情報セキュリティ十大トレンド

 

今年の10位までを過去に遡ると。。。

  2023 2022 2021 2020 2019 2018
1 大規模社会インフラシステム障害により増大するサイバーリスク 14        
2 ITサプライチェーンの統制強化 3 11      
3 サイバーランサムによってあぶりだされる「怠け者システム管理者」や「ダメ経営者」 12   8 8 1
4 クラウド障害による社会的影響の拡大 9 3 2 10  
5 要注意!大事故につながるクラウドサービスのユーザ設定不備 7        
6 働き方改革に追いつかない組織管理 2 6      
7 待ったなし!中小企業のセキュリティ対策     5    
8 ディープフェイク等高度化する虚偽情報を使ったネット詐欺に要注意          
9 経済安全保障上の観点からも重要なサイバー攻撃対策          
10 オープンソースソフトウェアの脆弱性懸念に対するSBOM普及の期待          

 

コロナ関係がなくなった感じですね。。。

 

Jasa_logo_darkblue

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.01.07 JASA 監査人の警鐘 – 2022年 情報セキュリティ十大トレンド

 

| | Comments (0)

2023.01.06

インド デジタル個人情報保護法案 (2022.11.22)

こんにちは、丸山満彦です。

インドでは、個人情報保護法が一旦流れた (2022.08.03) のですが、再び提案されでいます (2022.11.22) 。インドの情報技術産業協会 (The Information Technology Industry Council; ITI) も賛意を表明しています。今度こそ、うまくいきますかね。。。

 

インド- 電子・情報技術省

・2022.11.22 The Digital Personal Data Protection Bill, 2022

・[PDF]

20230105-93926

・[DOCX] 仮訳

 

 

情報技術産業協会の賛同のコメント...

The Information Technology Industry Council; ITI

・2022.12.23 ITI: India’s Data Protection Bill Demonstrates Global Leadership in Developing Robust, Consistent Data Protection Standards

全文...

・2022.12.16 [PDF] ITI Comments to India’s draft Digital Personal Data Protection Bill

20230106-00055

 

 


 

まるちゃんの情報セキュリティきまぐれ日記

・2022.08.07 インド 個人情報保護法の制定は振り出しに戻る?

・2021.11.24 インド 個人データ保護法が成立しますかね。。。

 

 

 

| | Comments (0)

2023.01.05

米国 カリフォルニア州 プライバシー権利法 (CPRA) が2023.01.01から施行されていますね。。。

こんにちは、丸山満彦です。

米国カリフォルニア州で大統領選と合わせて2020.11.03に行われた住民投票の結果、プライバシー権利法が可決されたわけですが、その施行が2023.01.01ということでしたね...

選挙投票の時に法案の日本語訳バージョンが用意されていましたね。。。

 

 California General Election Tuesday, November 3, 2020

選挙結果は↓

State Ballot Measures - Statewide Results

プライバシー法に関しては提案24

PROP 24 AMENDS CONSUMER PRIVACY LAWS. INITIATIVE STATUTE.

・・Text of Proposed Laws 法案文

・・・[PDF] English [downloaded]

・・・[PDF] 日本語 / Japanese [downloaded]

20230105-20154

 

| | Comments (0)

岸田総理がフランス、イタリア、英国、カナダ、米国の5カ国を訪問する予定ですね。。。

こんにちは、丸山満彦です。

岸田総理が2023.01.09-14でフランス、イタリア、英国、カナダ、米国の5カ国を訪問する予定ですね。。。

今年はG7もありますからね。。。

外務省

・2023.01.04 岸田内閣総理大臣のフランス、イタリア、英国、カナダ及び米国訪問


  1. 訪問中、岸田総理大臣は、各国首脳との間で会談を行い、ウクライナを含む地域・国際情勢や二国間関係等、幅広い議題について議論する予定です。
  2. 今回の訪問を通じ、本年日本が議長を務めるG7広島サミットの成功に向けた連携を確認するとともに、インド太平洋への関心・関与を強める各国との間で、安全保障協力を一層深化させ、同志国間の連携を深めていくことを確認する考えです。


米国のWhite Houseのウェブページでも岸田総理の訪米が公表されていますね。。。

こちらの方が、内容が詳細です。。。その他の4国の政府や大統領府のウェブページでは岸田首相の訪問についての言及は見つけられませんでした。。。

 

U.S. The White House

・2023.01.03 Statement by White House Press Secretary Karine Jean-Pierre on the Visit of Prime Minister Kishida of Japan

Statement by White House Press Secretary Karine Jean-Pierre on the Visit of Prime Minister Kishida of Japan 岸田文雄首相の訪日に関するホワイトハウス報道官カリーヌ・ジャン=ピエールの声明
President Biden looks forward to welcoming Prime Minister Kishida Fumio of Japan to the White House on Friday, January 13th to further deepen ties between our governments, economies, and our people. Over the past year, the two leaders have worked closely together to modernize the U.S.-Japan Alliance, expand our cooperation on key issues from climate change to critical technologies including through the Quad, and advance a free and open Indo-Pacific. President Biden and Prime Minister Kishida will build on these efforts. They will also discuss a range of regional and global issues including the Democratic People’s Republic of Korea’s unlawful weapons of mass destruction and ballistic missile programs, Russia’s brutal war against Ukraine, and maintaining peace and stability across the Taiwan Strait. President Biden will reiterate his full support for Japan’s recently released National Security Strategy, its presidency of the G7, and its term as a non-permanent member of the United Nations Security Council. The leaders will celebrate the unprecedented strength of the U.S.-Japan Alliance and will set the course for their partnership in the year ahead. バイデン大統領は、1月13日(金)に岸田文雄首相をホワイトハウスにお迎えし、両国の政府、経済、国民の間の絆をさらに深めていくことを楽しみにしている。この1年間、両首脳は日米同盟の近代化、気候変動からクワッドを含む重要技術に至る重要課題での協力の拡大、そして自由で開かれたインド太平洋の推進に向けて緊密に協力してきた。バイデン大統領と岸田首相は、このような努力の上に成り立っている。また、朝鮮民主主義人民共和国の非合法な大量破壊兵器および弾道ミサイル計画、ロシアのウクライナに対する残虐な戦争、台湾海峡の平和と安定の維持など、地域および世界の様々な問題について話し合う予定である。バイデン大統領は、最近発表された日本の国家安全保障戦略、G7議長国、および国連安全保障理事会の非常任理事国としての任期に対する全面的な支持を改めて表明する予定である。両首脳は、日米同盟がかつてないほど強固なものとなったことを祝し、今後1年間の日米のパートナーシップの方向性を定めることになる。

 

20230104-224214

| | Comments (0)

2023.01.04

世界経済フォーラム (WEF) 暗号通貨の未来はこうなる

こんにちは、丸山満彦です。

世界経済フォーラム (WEF) の年次総会 2023 が2023.01.17から開催されますが、それに合わせて幾つかのトピックスが公開されていますね。。。

暗号資産の技術だからこそできる、効率的なことのうち、合法的なものは何か?ということを突き詰めていけば、暗号資産の未来というのは見えてくるように思います。。。その内容、その社会的な規模など、、、

 

World Economic Forum 

・2023.01.02 This is what the future holds for cryptocurrencies

 

This is what the future holds for cryptocurrencies 暗号通貨の未来はこうなる
・2022 was a terrible year for cryptocurrencies, with the loss of $2 trillion in market value. ・2022 年は暗号通貨にとってひどい年であり、2 兆ドルの市場価値が失われた。
・We could now see the handover of crypto technology and blockchain infrastructure to more regulated and established institutions. ・暗号技術とブロックチェーンのインフラは、より規制され確立された機関に引き渡される可能性がある。
・Cryptography and blockchains will continue to be integral parts of the modern economic toolkit. ・暗号技術とブロックチェーンは、今後も現代経済のツールキットの不可欠な要素であり続けるだろう。
By any measure, 2022 was a terrible year for crypto. In all, more than $2 trillion in largely speculative market value evaporated. どのような基準で見ても、2022年は暗号にとってひどい年だった。全体として、主に投機的な市場価値が2兆ドル以上蒸発した。
Millions of consumers and businesses lost money, and perhaps more damaging for a nascent industry and technology, the fundamental trust in the promise of crypto-finance, which was supposed to be a correction to many of the misdeeds that gave rise to the 2008 financial crisis, is waning. 数百万人の消費者と企業が損失を被り、おそらく新興の産業と技術にとってより大きなダメージとなり、2008年の金融危機を引き起こした多くの悪行を正すはずだった暗号金融の約束に対する根本的な信頼が薄らいだ。
Meanwhile, policymakers who have been sounding an alarm about crypto’s excessive risks, while failing to create sensible regulations, have been vindicated by not one, but multiple large-scale failures. 一方、暗号の過剰なリスクについて警鐘を鳴らしながら、賢明な規制を設けることに失敗した政策立案者は、1回だけでなく複数の大規模な失敗によって正当性を証明されたのである。
Have you read? 関連記事
Do cryptocurrencies have a future? An expert explains 暗号通貨に未来はあるのか?専門家が解説
To the diehard crypto utopians (and some crypto-anarchists), 2022 was not just another “crypto winter,” but more of an ice age. Along with a broad loss of confidence, economic value and a market littered with the tombstones of failed firms and projects, perhaps the era of crypto speculation will remain frozen in ice, giving way to a Cambrian explosion for responsible, always-on internet finance. 熱心な暗号ユートピアン(および一部の暗号アナーキスト)にとって、2022年は単なる「暗号の冬」ではなく、むしろ氷河期となった。信頼、経済的価値の喪失、失敗した企業やプロジェクトの墓石が散乱する市場とともに、おそらく暗号投機の時代は氷の中に凍りついたまま、責任ある常時接続のインターネット金融のためのカンブリア爆発に道を譲ることになるのだろう。
Just as it took the dot-com bubble bursting in the early 2000s to hand over the future of the internet to more durable companies, business models and use cases, perhaps 2022 marks a handover of crypto technology and blockchain infrastructure to steadier hands. 2000年代初頭のドットコムバブルが崩壊し、インターネットの未来がより耐久性のある企業、ビジネスモデル、ユースケースに引き継がれたように、2022年は暗号技術とブロックチェーンのインフラがより安定した手に引き継がれる年になるかもしれない。
While the underlying technology of cryptography and blockchain is generalizable to all industries and coordinating activities (collectively the building blocks of Web3), experimentation at the core of financial services, among other sectors, continues unabated. Indeed, as a test of the staying power of digital assets and blockchains at the core of financial services (and other areas of the global economy), watch what the big banks and mature financial services firms do, not what they say. 暗号技術とブロックチェーンの基礎技術は、あらゆる産業や調整活動(総称してWeb3の構成要素)に汎用可能であるが、他の分野の中でも金融サービスの中核となる実験が衰えることなく続けられている。実際、金融サービス(および世界経済の他の分野)の中核におけるデジタル資産とブロックチェーンの持続力を試すには、大手銀行や成熟した金融サービス企業が何をするか、ではなく、何を言うかに注目すること。
Fig1_20230104023701
To the diehard crypto utopians (and some crypto-anarchists), 2022 was not just another “crypto winter,” but more of an ice age. Image: Coinmetrics 熱狂的な暗号ユートピアン(および一部の暗号アナーキスト)にとって、2022年は単なる「暗号の冬」ではなく、むしろ氷河期となった。 コインメトリクス
While the most famous volte-face on policy towards crypto and blockchain belongs to JPMorgan, they are no longer alone among major financial institutions in embracing Web3. Arguably, just as boards and executive teams reluctantly owned their cybersecurity and digital transformation mandates, the embrace of crypto technology is equally inevitable, even if the term feels like a bad word. For all its faults, this technology remains a protagonist in the global financial world. 暗号とブロックチェーンに対する方針転換で最も有名なのはJPMorganであるが、Web3の採用はもはや大手金融機関だけではない。 おそらく、取締役会や経営陣がサイバーセキュリティやデジタル変革の義務を渋々果たしたように、暗号技術の採用も、この言葉が悪口のように感じられたとしても、同様に避けられないものである。この技術は、その欠点にもかかわらず、世界の金融界における主人公であり続けている。
History is riddled with examples of otherwise good or neutral technologies being co-opted by bad actors and those ever-present human follies of greed, nescience, risks of opportunity or outright criminality. All of which are amplified in emerging, lightly regulated sectors and accelerated by technology. Indeed, no sector is risk-free, especially not one involving money. However, crypto punishes the errant at speed, giving bad actors few places to hide. 歴史には、善良なあるいは中立的な技術が、悪質な行為者や、欲深さ、無知、機会損失、犯罪行為など、常に存在する人間の過ちによって利用された例が数多く存在する。これらはすべて、新興の、規制の緩やかなセクターで増幅され、技術によって加速される。実際、リスクのない分野はなく、特に資金が絡む分野はそうである。しかし、暗号は不正行為者を迅速に罰するため、悪質業者が隠れる場所をほとんど提供しない。
DISCOVER ディスカバー
How is the World Economic Forum promoting the responsible use of blockchain? 世界経済フォーラムは、ブロックチェーンの責任ある利用をどのように促進しているのであるか?
The World Economic Forum's Platform for Shaping the Future of Blockchain and Digital Assets ensures equity, interoperability, transparency, and trust in the governance of this technology for everyone in society to benefit from blockchain’s transformative potential. 世界経済フォーラムの「ブロックチェーンとデジタル資産の未来を形作るためのプラットフォーム」は、社会の誰もがブロックチェーンの変革の可能性から利益を得られるよう、この技術のガバナンスにおける公平性、相互運用性、透明性、信頼を確保するものである。
・The Forum helped central banks build, pilot and scale innovative policy frameworks to guide the implementation of blockchain, with a focus on central bank digital currencies. ・フォーラムは、中央銀行のデジタル通貨に焦点を当て、ブロックチェーンの導入を導くための革新的な政策枠組みの構築、試験運用、規模拡大を中央銀行に支援した。
・The Redesigning Trust with Blockchain in the Supply Chain initiative is helping supply chain decision-makers implement blockchain, while ensuring that this technology is utilized in a secure, responsible and inclusive way. ・サプライチェーンにおけるブロックチェーンによる信頼の再設計」イニシアティブは、サプライチェーンの意思決定者がブロックチェーンを導入し、この技術が安全で責任ある包括的な方法で利用されることを保証するために支援している。
・The Centre for the Fourth Industrial Revolution UAE is testing the application of digital assets and tokenization to improve financial systems. ・第4次産業革命UAEセンターは、金融システムを改善するためにデジタル資産とトークン化の適用をテストしている。
Video1 動画1
Contact us for more information on how to get involved. 参加方法については問い合わせること。
Remember how crypto was born from anonymous trading activities on the so-called dark web? Or how insidious global ransomware attacks like WannaCry in 2017 spread worldwide in days, delivered by seemingly innocuous emails and triggered by perilous human curiosity between the keyboard and the chair? 暗号が、いわゆるダークウェブでの匿名取引活動から生まれたことを思い出そう。あるいは、2017年のWannaCryのような陰湿な世界的ランサムウェア攻撃が、一見無害な電子メールで配信され、キーボードと椅子の間の危険な人間の好奇心が引き金となって、数日で世界中に拡散していったことを?
Yet we didn't ban the internet or email. The more enduring approach with all breakthrough technologies is to net out their harmful effects by placing technologies (like all tools) in the hands of responsible actors and encouraging their responsible use. それでも私たちは、インターネットや電子メールを禁止しなかった。すべての画期的な技術に関するより永続的なアプローチは、技術(すべてのツールと同様)を責任ある行為者の手に委ね、その責任ある使用を奨励することによって、その有害な影響を網の目のように消すことである。
Herein lies the regulatory and policy conundrum with the epic crypto failures in 2022. The countries that enable responsible competition will shape the future. Cryptography and blockchains will continue to be integral parts of the modern economic toolkit, despite the great harm these tools may have caused when wielded by the wrong people. ここに、2022年の暗号の大失敗に伴う規制と政策の難問がある。責任ある競争を可能にする国が未来を形成する。暗号とブロックチェーンは、これらのツールが間違った人々に振り回されたときに大きな害をもたらしたかもしれないにもかかわらず、現代の経済ツールキットの不可欠な部分であり続けるだろう。

 


まるちゃんの情報セキュリティきまぐれ日記

WEF関係...

・2023.01.04 世界経済フォーラム (WEF) 暗号通貨の未来はこうなる

・2023.01.04 世界経済フォーラム (WEF) サイバー犯罪の取り締まりに国際的なルールが必要な理由

・2022.12.21 世界経済フォーラム (WEF) サイバー情報共有がもたらすビジネス上の重要性 - 私たちの集団防衛のために

・2022.12.21 世界経済フォーラム (WEF) 製造業における人工知能から価値を解き放つ (2022.12.12)

・2022.12.09 世界経済フォーラム (WEF) 顔認識の責任ある制限のためのポリシーフレームワーク ユースケース:法執行機関の捜査 9つの原則 (2022.11)

・2022.12.06 世界経済フォーラム (WEF) より厳格な報告規則から新たなサイバー脅威ハブまで、EUはサイバーセキュリティ法をアップグレード中

・2022.10.26 世界経済フォーラム (WEF) 規制当局が取締役会に求めるサイバーセキュリティのポイント

・2022.08.19 世界経済フォーラム (WEF) 暗号通貨とステーブルコインがもたらすマクロ経済への影響  (2022.07.22)

・2022.08.18 世界経済フォーラム (WEF) サイバーレジリエンス指数 - 組織のサイバーレジリエンスの向上 (2022.07.14)

・2022.03.30 世界経済フォーラム (WEF) 暗号通貨規制:今、私たちはどこにいて、どこに向かっているのか?

・2022.02.10 世界経済フォーラム (WEF) 欧州におけるエネルギー分野の最新サイバー攻撃が問題となる理由

・2022.01.20 世界経済フォーラム (WEF) グローバル・サイバーセキュリティ・アウトルック 2022

・2022.01.14 世界経済フォーラム (WEF) The Global Risks Report 2022 17th Edition - 2022年のグローバルリスクのトップは、気候変動への適応の失敗と社会的危機

・2021.10.28 世界経済フォーラム (WEF) サイバーセキュリティには多様で包括的 (D&I) な人材がなぜ必要なのか?

・2021.09.29 世界経済フォーラム (WEF) 技術の責任ある利用:IBMをケースにした研究

・2021.09.02 世界経済フォーラム (WEF) 石油・ガス業界におけるサプライチェーン・セキュリティの推進:業界分析

・2021.05.21 世界経済フォーラム&ユニセフ・ジェネレーションAIによるスマートトイ賞が22日に発表へ

・2021.04.25 世界経済フォーラム (WEF) データガバナンスの再設定:承認された公共目的のアクセス (APPA) とその原則の実施のための社会的規準

・2021.04.08 世界経済フォーラム Global Technology Governance Summit

・2021.04.08 世界経済フォーラム サイバーリスクの取締役会ガバナンスための原則 at 2021.03.23

・2021.02.23 2021年の国連の社会正義の日のテーマは「デジタル経済における社会正義の呼びかけ」で、世界経済フォーラムは「デジタル世界において社会正義を如何に実現するかについての4つの視点」を公表していますね。。。

・2021.01.21 世界経済フォーラム The Global Risks Report 2021 16th Edition - 世界は長期的リスクへの対応に目覚めるべきである

・2020.10.17 World Economic Forum ビジネス環境を巡る地域リスクレポート2020 (サイバー攻撃も上位に入っています。。。)

・2020.10.16 World Economic Forumからサイバーセキュリティの報告書(Cyber Information Sharing: Building Collective Security)が出ていましたね。。。

 

 

| | Comments (0)

世界経済フォーラム (WEF) サイバー犯罪の取り締まりに国際的なルールが必要な理由

こんにちは、丸山満彦です。

世界経済フォーラム (WEF) の年次総会 2023 が2023.01.17から開催されますが、それに合わせて幾つかのトピックスが公開されていますね。。。

サイバー犯罪者と逮捕するということが、サイバー犯罪への抑止へと繋がるのでしょうね。。。そのためには、犯罪被害者が届けるためのインセンティブをどのようにつけるか、、、ということも重要なのでしょうね。。。

 

World Economic Forum 

・2023.01.02 Why we need global rules to crack down on cybercrime

 

Why we need global rules to crack down on cybercrime サイバー犯罪の取り締まりに国際的なルールが必要な理由
・The cost of cybercrime could reach $10.5 trillion annually by 2025. ・サイバー犯罪のコストは、2025年までに年間10.5兆ドルに達する可能性がある。
・Targets range from individuals right up to governments and critical infrastructure. ・サイバー犯罪の被害額は、2025年までに年間10.5兆ドルに達する可能性がある。
・Cybercriminals operate internationally, and we need international rules in order to crack down on them. ・サイバー犯罪者は国際的に活動しており、彼らを取り締まるための国際的なルールが必要である。
Cybercrime is high on the agenda of nation states, corporations and international organizations everywhere. As the forthcoming 2023 Global Risk Report will show, deepening geopolitical tensions have increased the prevalence of so-called advanced persistent threats (APTs), which are becoming as sophisticated as they are pervasive. サイバー犯罪は、国家、企業、国際機関にとって重要な課題となっている。近々発行予定の「2023 Global Risk Report」が示すように、地政学的緊張の深化により、いわゆるAPT(Advanced Persistent Threats)の蔓延が拡大しており、その巧妙さは浸透しつつある。
New technology is scaling up the reach and impact of cybercrime: malware and ransomware attacks (the latter threaten to publish data or permanently block it unless a ransom is paid) soared by over 350 percent and 430 per cent respectively in 2020. Next generation tools are bypassing antivirus programs, which is why living off the land (LOtL) attacks, in which attackers use legitimate software and functions to perpetrate malicious actions, accounted for almost two thirds of all reported incidents in 2021. マルウェアやランサムウェアによる攻撃(身代金を支払わない限り、データを公開したり、永久にブロックしたりすると脅す)は、2020年にそれぞれ350%以上、430%以上急増した。次世代ツールはアンチウイルスプログラムを回避するため、攻撃者が正規のソフトウェアや機能を利用して悪質な行為を行うLOtL(Living Off the Land)攻撃が、2021年に報告されたインシデント全体のほぼ3分の2を占めている。
These problems are compounded by a scarcity of security experts, poor reporting habits and a lack of global agreements about how to regulate cyber threats. これらの問題には、セキュリティ専門家の不足、報告習慣の悪さ、サイバー脅威の規制方法に関する世界的な合意の欠如が関係している。
Have you read? 関連記事
To fill the cybersecurity skills gap, the sector needs to boost diversity サイバーセキュリティのスキルギャップを埋めるために、この分野では多様性を高める必要がある
How to develop the global cybersecurity workforce and build a security-first mindset グローバルなサイバーセキュリティ人材を育成し、セキュリティ優先の考え方を構築する方法
The need for international rules to tackle cybercrime サイバー犯罪に対処するための国際的なルールの必要性
Cybercrime is big business. One industry group estimated that the damages incurred by all forms of cyber crime, including the cost of recovery and remediation, totalled $3 trillion in 2015, $6 trillion in 2021, and could reach $10.5 trillion annually by 2025. But the impact of cybercrime extends far beyond the economic costs. It also degrades trust among internet users, and damages the reputations of public and private service providers. Online attacks ratchet up tensions between nations, since governments and critical infrastructure are increasingly the targets. Yet despite all this, there are still few clear global norms, standards and rules to mitigate and prevent cybercrime. サイバー犯罪は大きなビジネスである。 ある業界団体の推計によると、あらゆる形態のサイバー犯罪がもたらす損害は、復旧・修復のコストを含めて、2015年には合計3兆ドル、2021年には6兆ドル、2025年には年間10兆5千億ドルに達する可能性があるとされている。しかし、サイバー犯罪の影響は経済的コストにとどまらず、はるかに拡大している。サイバー犯罪は、インターネットユーザーの信頼を低下させ、公共および民間のサービスプロバイダーの評判を損ねることにもなる。政府機関や重要インフラが狙われることが多くなったため、オンライン攻撃は国家間の緊張を高めている。しかし、このような状況にもかかわらず、サイバー犯罪を軽減・防止するための明確なグローバル規範、基準、ルールはまだほとんど存在しないのが現状である。
Fig1_20230104003501
In the absence of global regulation, the costs of cybercrime have spiralled Image: Cybersecurity Ventures グローバルな規制がないため、サイバー犯罪のコストは急騰している サイバーセキュリティ・ベンチャーズ
A big part of the problem is that many of the public authorities, corporations and civil society groups that are targeted are not mandated to report data breaches and cyber theft. Many are reluctant to do so, fearing reputational damage. This is starting to change: the US’s 2022 Cyber Incident Reporting for Critical Infrastructure Act provides industry-specific guidance for voluntary disclosures, and the European Union’s 2018 Directive on Security Network and Information Systems and a host of other regulations mandate telecom payment services, medical device manufacturers, and critical infrastructure providers to also report breaches. Until global rules are strengthened and reporting of breaches is mandatory across most sectors, it will be impossible to understand the true magnitude of the challenge, much less develop targeted solutions. 問題の大きな要因は、標的となる公的機関、企業、市民社会団体の多くが、データ漏洩やサイバー窃盗の報告を義務付けられていないことである。多くの企業は、風評被害を恐れて、報告することに消極的である。これは変わり始めている。米国の2022年重要インフラ向けサイバーインシデント報告法は、自主的な開示のための業界固有のガイダンスを提供し、欧州連合の2018年セキュリティネットワークと情報システムに関する指令と他の多くの規制は、通信決済サービス、医療機器メーカー、重要インフラプロバイダーにも侵害の報告を義務付けている。グローバルなルールが強化され、ほとんどのセクターで侵害の報告が義務化されない限り、課題の真の大きさを理解することはできず、ましてや的を射た解決策を開発することは不可能だろう。
Video1
Cyber criminals are making fortunes not just in black-mailing targets with ransomware, but also in selling-off their data assets, including credit card information, login credentials of financial accounts, subscription credentials, social security numbers and usernames and passwords. The perpetrators of cybercrime range from powerful intelligence agencies to teenage hackers. Cybercrime is hard to stop precisely because of its distributed nature. Consider the Cobalt CyberCrime gang that in 2018 breached 100 financial institutions in over 40 countries, reaping some $11 million per attack. Although its leader was captured in Spain in 2018, three members arrested by the US in 2018, and three more convicted in Kazakhstan and Ukraine in 2021, experts believe this will do little to dent its operations. サイバー犯罪者は、ランサムウェアで標的を脅迫するだけでなく、クレジットカード情報、金融口座のログイン情報、契約情報、社会保障番号、ユーザー名とパスワードなどのデータ資産を売り渡すことで財を成している。サイバー犯罪の加害者は、強力な諜報機関から10代のハッカーまで多岐にわたる。サイバー犯罪は、その分散型という性質上、止めることが困難である。2018年に40カ国以上の100の金融機関に侵入し、1回の攻撃で約1100万ドルを稼いだCobalt CyberCrimeのギャングを考えてみよう。2018年にスペインでリーダーが捕まり、2018年に米国で3人のメンバーが逮捕され、2021年にはカザフスタンとウクライナでさらに3人が有罪判決を受けたものの、専門家は、これによってその活動を弱めることはほとんどないと見ている。
DISCOVER DISCOVER
What is the World Economic Forum doing on cybersecurity? 世界経済フォーラムはサイバーセキュリティに関して何をしているのか?
The World Economic Forum’s Centre for Cybersecurity drives global action to address systemic cybersecurity challenges and improve digital trust. It is an independent and impartial platform fostering collaboration on cybersecurity in the public and private sectors. 世界経済フォーラムのサイバーセキュリティセンターは、体系的なサイバーセキュリティの課題に対処し、デジタルの信頼を向上させるためのグローバルなアクションを推進している。このセンターは、官民のサイバーセキュリティに関するコラボレーションを促進する独立した公平なプラットフォームである。
・Salesforce, Fortinet and the Global Cyber Alliance, in partnership with the Forum, are delivering free and globally accessible training to a new generation of cybersecurity experts. ・セールスフォース、フォーティネット、グローバル・サイバー・アライアンスは、同フォーラムと連携し、新世代のサイバーセキュリティ専門家に向けて、無料でグローバルにアクセス可能なトレーニングを提供している。
・The Forum, in collaboration with the University of Oxford – Oxford Martin School, Palo Alto Networks, Mastercard, KPMG, Europol, European Network and Information Security Agency, and the US National Institute of Standards and Technology, is identifying future global risks from next-generation technology. ・フォーラムは、オックスフォード大学マーティンスクール、パロアルトネットワークス、マスターカード、KPMG、ユーロポール、欧州ネットワーク・情報セキュリティ機関、米国国立標準技術研究所と共同で、次世代技術による将来のグローバルリスクを特定する活動を行っている。
・The Forum has improved cyber resilience in aviation while working with Deloitte and more than 50 other companies and international organizations. ・同フォーラムは、デロイトをはじめとする50以上の企業や国際組織と協力しながら、航空業界のサイバー耐性を向上させてきた。
・The Forum is bringing together leaders from more than 50 businesses, governments, civil society and academia to develop a clear and coherent cybersecurity vision for the electricity industry. ・フォーラムは、50以上の企業、政府、市民社会、学界のリーダーを集め、電力業界のための明確で一貫したサイバーセキュリティビジョンを策定している。
・The Council on the Connected World agreed on IoT security requirements for consumer-facing devices to protect them from cybers threats, calling on the world’s biggest manufacturers and vendors to take action for better IoT security. ・コネクテッド・ワールド評議会は、消費者向け機器をサイバー脅威から保護するためのIoTセキュリティ要件に合意し、世界最大のメーカーとベンダーにIoTセキュリティ向上のための行動をとるよう呼びかけた。
・The Forum is also a signatory of the Paris Call for Trust and Security in Cyberspace, which aims to ensure global digital peace and security. ・また、同フォーラムは、世界のデジタル平和と安全の確保を目指す「サイバースペースにおける信頼とセキュリティのためのパリ・コール」に署名している。
Video2
Contact us for more information on how to get involved. 参加方法については問い合わせること。
Without global cooperation or a major structural change to the internet, there is not much that victims can do to defend themselves. Cyber insurance is not only increasingly out of reach to most buyers, but it's potentially making a bad problem even worse. We urgently need international rules that are enforced as well as a more expansive approach that fosters cyber resilience. 世界的な協力やインターネットの大きな構造改革がなければ、被害者が自衛のためにできることは多くない。サイバー保険は、ほとんどの購入者にとってますます手が届かなくなるだけでなく、悪い問題をさらに悪化させる可能性がある。私たちは、サイバーレジリエンスを育むより広範なアプローチだけでなく、施行される国際的なルールを早急に必要としている。
The United Nations is discussing precisely this, having voted to set-up a cybercrime treaty in 2019. The first meeting of the treaty was held in 2022 amid concerns that it could also expand government regulation of online content, criminalize free expression and undermine privacy. For now, states are negotiating over the parameters of a treaty - called the Comprehensive International Convention on Countering the Use of Information and Communications Technologies for Criminal Purposes - with most western governments determined that it upholds individual data protection and privacy rights. 国連はまさにこれを議論しており、2019年にサイバー犯罪条約を設定することを決議している。この条約は、オンラインコンテンツに対する政府の規制を拡大し、表現の自由を犯罪化し、プライバシーを損なう可能性もあるという懸念の中、2022年に最初の会合が開かれた。今のところ、各国は条約のパラメータをめぐって交渉している。「犯罪目的の情報通信技術の使用に対処するための包括的国際条約」と呼ばれるこの条約は、ほとんどの西側諸国政府が個人のデータ保護とプライバシー権を支持することを決定している。

 

 


 

まるちゃんの情報セキュリティきまぐれ日記

WEF関係...

・2023.01.04 世界経済フォーラム (WEF) 暗号通貨の未来はこうなる

・2023.01.04 世界経済フォーラム (WEF) サイバー犯罪の取り締まりに国際的なルールが必要な理由

・2022.12.21 世界経済フォーラム (WEF) サイバー情報共有がもたらすビジネス上の重要性 - 私たちの集団防衛のために

・2022.12.21 世界経済フォーラム (WEF) 製造業における人工知能から価値を解き放つ (2022.12.12)

・2022.12.09 世界経済フォーラム (WEF) 顔認識の責任ある制限のためのポリシーフレームワーク ユースケース:法執行機関の捜査 9つの原則 (2022.11)

・2022.12.06 世界経済フォーラム (WEF) より厳格な報告規則から新たなサイバー脅威ハブまで、EUはサイバーセキュリティ法をアップグレード中

・2022.10.26 世界経済フォーラム (WEF) 規制当局が取締役会に求めるサイバーセキュリティのポイント

・2022.08.19 世界経済フォーラム (WEF) 暗号通貨とステーブルコインがもたらすマクロ経済への影響  (2022.07.22)

・2022.08.18 世界経済フォーラム (WEF) サイバーレジリエンス指数 - 組織のサイバーレジリエンスの向上 (2022.07.14)

・2022.03.30 世界経済フォーラム (WEF) 暗号通貨規制:今、私たちはどこにいて、どこに向かっているのか?

・2022.02.10 世界経済フォーラム (WEF) 欧州におけるエネルギー分野の最新サイバー攻撃が問題となる理由

・2022.01.20 世界経済フォーラム (WEF) グローバル・サイバーセキュリティ・アウトルック 2022

・2022.01.14 世界経済フォーラム (WEF) The Global Risks Report 2022 17th Edition - 2022年のグローバルリスクのトップは、気候変動への適応の失敗と社会的危機

・2021.10.28 世界経済フォーラム (WEF) サイバーセキュリティには多様で包括的 (D&I) な人材がなぜ必要なのか?

・2021.09.29 世界経済フォーラム (WEF) 技術の責任ある利用:IBMをケースにした研究

・2021.09.02 世界経済フォーラム (WEF) 石油・ガス業界におけるサプライチェーン・セキュリティの推進:業界分析

・2021.05.21 世界経済フォーラム&ユニセフ・ジェネレーションAIによるスマートトイ賞が22日に発表へ

・2021.04.25 世界経済フォーラム (WEF) データガバナンスの再設定:承認された公共目的のアクセス (APPA) とその原則の実施のための社会的規準

・2021.04.08 世界経済フォーラム Global Technology Governance Summit

・2021.04.08 世界経済フォーラム サイバーリスクの取締役会ガバナンスための原則 at 2021.03.23

・2021.02.23 2021年の国連の社会正義の日のテーマは「デジタル経済における社会正義の呼びかけ」で、世界経済フォーラムは「デジタル世界において社会正義を如何に実現するかについての4つの視点」を公表していますね。。。

・2021.01.21 世界経済フォーラム The Global Risks Report 2021 16th Edition - 世界は長期的リスクへの対応に目覚めるべきである

・2020.10.17 World Economic Forum ビジネス環境を巡る地域リスクレポート2020 (サイバー攻撃も上位に入っています。。。)

・2020.10.16 World Economic Forumからサイバーセキュリティの報告書(Cyber Information Sharing: Building Collective Security)が出ていましたね。。。

 

 

| | Comments (0)

2023.01.03

米国 サイバー司令部の2022年

こんにちは、丸山満彦です。

米国のサイバー司令部の一年の振り返りが公表されていますね。。。

取り上げられている内容は...

U.S. Cyber Command 2022 Year 米国サイバー司令部 2022年
OWN THE DOMAIN 領域を所有する
Cyber Operations サイバー作戦
Hunt Forward Operations ハントフォワード作戦
Multinational Cyber Exercises 多国間サイバー演習
Partnerships パートナーシップ
Election Security 選挙セキュリティ
Integrated Deterrence 統合抑止力
Cyber National Mission Force Sub Unified Establishment サイバー・ナショナル・ミッション・フォース 副統一司令部

 

ちなみに昨年は、、、

COVID RESPONSE COVID対応
Cyber Operations サイバー作戦
TRAINING WITH PARTNERS パートナーとの訓練
INTEGRATED DETTERENCE 統合的抑止力
LARGEST DOD MULTINATIONAL CYBER EXERCISE 国防総省最大の多国間サイバー演習
EXCLUSIVE LOOK INTO THE JOINT INTEGRATED CYBER CENTER 共同統合サイバーセンターの取材

 

 

U.S. Cyber Command

・2022.12.30 U.S. Cyber Command 2022 Year in Review

U.S. Cyber Command 2022 Year 米国サイバー司令部 2022年
OWN THE DOMAIN 領域を所有する
CYBERCOM defends the nation, countering foreign malicious cyber actors alongside our interagency, industry, and international partners. We are always ready to fight and win as part of the Joint Force. Our ability to defend the nation, operate Department of Defense networks, and support the Joint Force is unmatched. サイバー司令部は、省庁間、産業界、国際的なパートナーとともに、外国の悪質なサイバー行為に対抗し、国家を防衛している。我々は、統合軍の一員として、常に戦い、勝利する準備ができている。国を守り、国防総省のネットワークを運用し、統合軍を支援する我々の能力は比類がない。
As the world’s premier cyberspace operations force, we are unrelenting in our obligation to Own the Domain of cyberspace. Our actions are informed by our values – a recognition that CYBERCOM wins with its people, seizes the initiative, is always in the fight, goes where others cannot, and partners, empowers and delivers to defend the nation in cyberspace.  世界最高のサイバー空間作戦部隊として、我々はサイバー空間のドメインを所有する義務に絶え間ない。我々の行動は、我々の価値観、すなわち、サイバー司令部はその人々と共に勝利し、主導権を握り、常に戦いに身を置き、他の者ができないところに行き、サイバ-空間で国を守るために協力し、力を与え、実現するという認識によってもたらされる。 
Learn more about the CYBERCOM’s CODE and efforts to own the domain of cyberspace here.  サイバー空間におけるサイバー司令部のCODEと努力の詳細については、こちらを参照。 
Cyber Operations サイバー作戦
CYBERCOM spent 2022 strengthening relationships with partners and allies across a range of cyber-related capabilities and development opportunities to help meet challenges, get out in front of threats and continue our mission of defending the nation. サイバー司令部は、2022年にパートナーや同盟国との関係を強化し、さまざまなサイバー関連の能力や開発の機会を提供することで、課題に対応し、脅威の前に立ちはだかり、国を守るという我々の使命を継続することに努めた。
CYBERCOM conducted a new global cyberspace defensive operation that exercised information and insight-sharing capabilities across our enterprise and with unified action partners globally. This operation was designed to improve the security and stability of national networks and systems from malicious cyber activities. CYBERCOは、我々のエンタープライズ全体および世界中の統一行動パートナーとの情報および洞察の共有能力を行使する新しいグローバルサイバー空間防衛作戦を実施した。この作戦は、悪意のあるサイバー活動から国家ネットワークとシステムの安全性と安定性を向上させることを目的としている。
The 10-day operation used a library of publicly known malware and all its associated variations as the search criterion. This information was used to assess the integrity of the data, systems, and programs used by the joint force and our key partners. The output from this effort was improving the information-sharing channels across our stakeholders and seeking to mitigate and terminate any threats before they can adversely impact our cybersecurity. この10日間の作戦では、公に知られているマルウェアとその関連するすべてのバリエーションを検索基準として使用した。この情報は、統合軍と主要なパートナーが使用するデータ、システム、プログラムの整合性を評価するために使用された。この取り組みから得られた成果は、関係者間の情報共有チャンネルを改善し、サイバーセキュリティに悪影響を及ぼす前に脅威を緩和・停止させることを目指したものである。
Through such actions, CYBERCOM remains persistently engaged and ensures our nation’s cyber defensive capabilities maintain an enduring advantage in cyberspace. このような行動を通じて、サイバー司令部は粘り強く活動を続け、我が国のサイバー防御能力がサイバー空間における永続的な優位性を維持することを保証している。
Learn more about here.  詳細はこちらをご覧ください。 
Hunt Forward Operations ハントフォワード作戦
2022 marked an essential step in the evolution of CYBERCOM when, with the consent of Ukraine, Cyber National Mission Force deployed its largest-ever hunt forward team. The joint CNMF team of U.S. Navy and U.S. Marine Corps operators hunted for malicious cyber activity on Ukrainian networks.  2022年、ウクライナの同意を得て、サイバー・ナショナル・ミッション・フォースが過去最大のハント・フォワード・チームを展開し、サイバー司令部の進化における重要な一歩を踏み出した。米海軍と米海兵隊のオペレーターからなるCNMF合同チームは、ウクライナのネットワーク上で悪質なサイバー活動を狩った。 
Before Russian forces launched their invasion, the Ukrainian government provided the hunt forward teams access to multiple networks. Working side-by-side with Ukrainian cyber professionals, the hunt forward teams initiated a multifaceted assessment of critical Ukrainian systems to identify suspected malicious cyber activity.  ロシア軍が侵攻を開始する前に、ウクライナ政府はハント・フォワード・チームに複数のネットワークへのアクセス権を提供した。ウクライナのサイバー専門家と肩を並べ、ハント・フォワード・チームは、悪意のあるサイバー活動の疑いを特定するために、ウクライナの重要なシステムの多面的な評価を開始した。 
This effort allowed our Ukrainian counterparts to identify and address potential threats on their networks and proactively mitigate any potential adverse effects. When Russia launched what otherwise may have been a crippling cyber-attack in mid-January, Ukrainian cyber professionals, along with the hunt forward team, were able to disrupt or halt the malicious cyber activity before it was able to cause harm. この取り組みにより、ウクライナのカウンターパートは、彼らのネットワーク上の潜在的な脅威を特定し、対処し、潜在的な悪影響を未然に軽減することができた。1月中旬にロシアが破壊的なサイバー攻撃を行った際、ウクライナのサイバー専門家とハント・フォワード・チームは、悪意のあるサイバー活動が損害を与える前に破壊し、停止させることができたのである。
At the same time, valuable insights into adversarial tools and capabilities were shared with U.S. domestic interagency and public/private industry partners to improve U.S. homeland cyber defenses. 同時に、敵対的なツールや能力に関する貴重な洞察を、米国国内の省庁間および公共/民間企業のパートナーと共有し、米国本土のサイバー防衛を改善することができた。
CNMF routinely conducts hunt forward operations as part of CYBERCOM’s “Defend Forward” global strategy. Persistent engagement in foreign spaces allows the command to be positioned with unique capabilities and insights not only to learn and understand adversary cyber activities but to respond to threats before they can adversely impact the collective cybersecurity of the U.S. and its partners. CNMF は、サイバー司令部 の「前方防衛」世界戦略の一環として、日常的にハント・フォワード作戦を実施している。外国空間での持続的な活動により、敵のサイバー活動を学び理解するだけでなく、米国とそのパートナーのサイバーセキュリティに悪影響を与える前に脅威に対応するための独自の能力と洞察を持つ司令部が位置づけられるようになった。
Learn more about Hunt Forward Operations here.  ハント・フォワード作戦について詳しくは、こちらを参照。 
Multinational Cyber Exercises 多国間サイバー演習
This year saw two iterations of CYBERCOM's annual exercise, CYBER FLAG: CF22 and CF23-1. CYBER FLAG enhances readiness and interoperability as national and multinational cyber teams must collaborate to navigate various real-world cyber threat scenarios. CF22 included Cyber Protection Teams from every "Five Eyes" nation. It focused on the European Theater, while CF23-1 concentrated on the Asian Pacific Theater and saw the inclusion of cyber teams from France, Japan, the Republic of Korea, and Singapore in addition to Australia, the United Kingdom, and the United States. 今年は、サイバー司令部の年次演習であるCYBER FLAGが、CF22とCF23-1の2回実施された。CYBER FLAGは、各国および多国籍のサイバー・チームが協力して様々な現実的なサイバー脅威のシナリオを乗り越えるために、準備と相互運用性を向上させるものである。CF22には、「ファイブ・アイズ」各国からサイバー保護チームが参加した。CF23-1はアジア太平洋地域に焦点を当て、オーストラリア、英国、米国に加え、フランス、日本、韓国、シンガポールのサイバーチームが参加した。
In conjunction with the CYBER FLAG exercise activities, CYBERCOM hosted a Multinational Symposium and Tabletop Exercise, in which partner nation representatives and interagency partners collaborated in discussions and working groups to reinforce the impact that training, partnerships, and information sharing have on interoperability. CYBER FLAGの演習活動に関連して、サイバー司令部は多国籍シンポジウムと卓上演習を開催し、パートナー国の代表と省庁間パートナーが議論とワーキンググループで協力し、訓練、パートナーシップ、情報共有が相互運用性に与える影響を強化した。
This once again reinforces the idea that cyber is a team sport! これにより、サイバーはチームスポーツであるという考え方が再び強化された。
Read more about CF22 here and CF23-1 here. CF22の詳細はこちら、CF23-1の詳細はこちら。
Partnerships パートナーシップ
CYBERCOM sees partnerships as the lifeblood that differentiates us from our adversaries.  サイバー司令部は、パートナーシップを敵対勢力と差別化するための生命線とみなしている。 
Our Commander, Gen. Paul M. Nakasone, emphasized this during an engagement with more than 230 students, faculty, and staff at a CYBERCOM Academic Engagement Network event in February. Additionally, throughout the year, he participated in more than a dozen engagements with students at universities and colleges across the country, continuing to echo, why partnerships command is key. 2月に開催されたサイバー司令部 Academic Engagement Networkのイベントで、230人以上の学生、教員、スタッフを前にして、ナカソネ司令官はこのことを強調した。さらに、今年1年を通して、全米の大学やカレッジで学生との交流会に参加し、なぜ司令部のパートナーシップが重要なのか、その理由を繰り返し説明している。
“It’s only through these partnerships and collaboration that we continue to make it increasingly difficult for our adversaries to operate," Nakasone said.   「このようなパートナーシップとコラボレーションによってのみ、敵対者の活動をますます困難にすることができるのである」とナカソネ司令官は述べている。 
In November, CYBERCOM participated in the eleventh bi-annual Cyber Commanders Forum CCF11, hosted by the Estonian Defense Forces Cyber Command. CCF11 was a strategic event in which Cyber Commanders from around the globe came together to exchange ideas in the pursuit of cyber defense. The theme for CCF11 this year was partnerships among public and private entities. 11月、サイバー司令部はエストニア国防軍サイバー司令部主催の第11回サイバー司令官フォーラムCCF11(隔年開催)に参加した。CCF11は、世界中のサイバーコマンダーが一堂に会し、サイバー防衛を追求するための意見交換を行う戦略的なイベントであった。今年のCCF11のテーマは、「官民のパートナーシップ」であった。
Read more about CCF11 here. CCF11について詳しくはこちらを参照。
Election Security 選挙セキュリティ
For this year’s mid-term elections, we continued our enduring, no-fail mission for CYBERCOM and the National Security Agency, alongside interagency partners at the Department of Homeland Security and the Department of Justice. This whole-of-government effort ensured millions of Americans could cast their votes free from foreign malicious cyber threats. We stood up the joint CYBERCOM-NSA Election Security Group to oversee and direct our efforts to disrupt, deter and degrade foreign adversaries' ability to interfere with and influence our elections. We also partnered with the private sector and U.S. allies, sharing information and building up insight gained from previous election cycles.  今年の中間選挙では、国土安全保障省および司法省の省庁間パートナーとともに、サイバークロムおよび国家安全保障局の永続的で失敗の許されない任務を継続した。この政府を挙げての取り組みにより、何百万人ものアメリカ人が外国の悪質なサイバー脅威から解放されて投票できることが保証された。我々は、サイバー司令部-NSA合同選挙セキュリティ・グループを立ち上げ、外国の敵対者が我々の選挙を妨害し影響を及ぼす能力を破壊し、抑止し、劣化させるための取り組みを監督・指導している。また、民間企業や米国の同盟国と協力し、情報を共有し、過去の選挙サイクルから得た洞察を積み重ねた。 
“Rest assured, we were doing operations well before the midterms began, and we were doing operations likely on the day of the midterms,” said Nakasone. “This is what persistent engagement is. This is the idea of understanding your foreign adversaries and operating outside the United States.” ナカソネ司令官は次のように述べた。「中間選挙が始まる前から、そして中間選挙当日も、我々は作戦を展開していた。これこそが、持続的関与なのである。外国の敵を理解し、米国の外で活動するということである。」
Nakasone added, “we see our adversaries’ influence tradecraft overseas, and we are able to share that with the FBI, who's talking with social media companies to say, this is what your foreign adversaries are doing. That's the power of what we can bring to election defense.” 「その情報をFBIと共有し、FBIがソーシャルメディア企業と話すことで、海外の敵が何をしているかを知ることができるのである。これが、我々が選挙防衛にもたらすことのできる力である。」
After this year’s successful election season, our vigilance did not end on Nov. 8th. It continues every day into 2023 and beyond.  今年の選挙が成功した後も、我々の警戒は11月8日に終わったわけではない。それは2023年以降も毎日続く。 
Learn more here.  詳しくはこちらを参照。 
Integrated Deterrence 統合抑止力
The U.S. National Defense Strategy relies on integrated deterrence: a seamless combination of capabilities designed to convince all potential adversaries that the cost of any hostile activities will significantly outweigh their benefits. Since our efforts in cyberspace touch almost every aspect of what our nation and the military does, CYBERCOM plays an important role in integrating capabilities across the DoD, across domains, and across the spectrum of conflict.  米国の国家防衛戦略は、統合抑止に依存している。これは、すべての潜在的敵対者に、敵対的な活動の代償がその利益を著しく上回ると確信させるように設計された能力のシームレスな組み合わせである。サイバー空間における我々の努力は、我が国と軍隊が行うことのほぼすべての側面に関わるため、サイバー司令部は国防総省全体、領域全体、そして紛争のスペクトル全体にわたって能力を統合する上で重要な役割を担っている。 
Innovation is paramount for CYBERCOM to remain agile and ready in cyberspace. By enabling the flow of new cyber capabilities developed through science and technology (S&T) research processes, we can create a user-directed pipeline to accelerate the tools our cyber operators need.  サイバー空間においてサイバー司令部が機敏に対応し続けるためには、イノベーションが最も重要である。科学技術(S&T)研究プロセスを通じて開発された新しいサイバー能力の流れを可能にすることで、ユーザー主導のパイプラインを作り、サイバーオペレーターが必要とするツールを加速させることができるのである。 
In November, we announced a partnership with DARPA aimed at placing new cyber capabilities into operators’ hands rapidly.  11 月には、新しいサイバー能力を迅速に運用者の手に届けることを目的とした DARPA との提携を発表した。 
“Innovation is core to the command’s strategy, which is why CYBERCOM and DARPA are working more closely than ever to mature emerging tactical and strategic cyber capabilities and integrate them into operational warfighting platforms,” said Mike Clark, director of Cyber Acquisition & Technology, J9 Directorate, at U.S. Cyber Command.  米国サイバー司令部の J9 局サイバー取得・技術部長 マイク・クラーク 氏は、「イノベーションは司令部の戦略の中核であり、サイバー司令部 と DARPA がこれまで以上に緊密に協力して、新たな戦術的・戦略的サイバー能力を成熟させて実戦プラットフォームに統合しているのはそのためである。」 
Ultimately, we are finding optimal ways to innovate and integrate our tailored cyber capabilities into specific settings as we work across the DoD and U.S. government along with U.S. partners and allies. 最終的に、我々はDoDと米国政府、そして米国のパートナーや同盟国と協力しながら、カスタマイズされたサイバー能力を革新し、特定の環境に統合する最適な方法を見つけ出している。
Learn more about the constellation pilot program here.  コンステレーション・パイロット・プログラムの詳細については、こちらを参照。 
Cyber National Mission Force Sub Unified Establishment サイバー・ナショナル・ミッション・フォース副統一司令部
In December, the Cyber National Mission Force (CNMF) was officially elevated to the Department of Defense’s newest subordinate unified command, reflecting the evolution and need for a dedicated, persistent, and professional cyber force. CNMF is the U.S. military’s joint cyber force charged with Defending the Nation in cyberspace through full-spectrum operations, including offensive, defensive, and information operations.  12月、サイバー・ナショナル・ミッション・フォース(CNMF)が正式に国防総省の最新の副統一司令部に昇格した。これは、専門的かつ持続的で、プロフェッショナルなサイバー部隊の進化と必要性を反映している。CNMFは米軍の統合サイバー部隊で、攻撃、防御、情報作戦を含む全領域の作戦を通じて、サイバー空間で国家を防衛することを任務としている。 
The establishment of CNMF as a sub-unified command recognizes the enduring mission to combat foreign malicious cyber actors, reflects CNMF’s ongoing success in support of national priorities, and formalizes its organizational structure. Elevation to sub-unified command will drive how forces are presented to CNMF, how personnel will train, and the authorities CNMF will have.  CNMFの下位統合司令部としての設立は、外国の悪意あるサイバー行為者と戦うという永続的な使命を認識し、国家の優先事項を支援するCNMFの継続的な成功を反映し、その組織構造を正式なものにするものである。副司令部への昇格により、CNMFへの部隊の派遣方法、隊員の訓練方法、CNMFが持つ権限などが決定される。 
Speaking at the elevation ceremony, Maj. Gen. William J. Hartman, commander of CNMF, said, “the elevation of CNMF to a sub-unified command reflects the incredible dedication, professionalism, and commitment of unit members, past and present.”   CNMFのウィリアム・J・ハートマン司令官は昇格式で、「CNMFの準統一司令部への昇格は、過去と現在の隊員の驚くべき献身、専門性、献身を反映している」と述べた。 
Read more about CNMF’s elevation to sub-unified command here. CNMFの副統一司令部への昇格についての詳細はこちら。

 

1200pxseal_of_the_united_states_cyber_co

 


 

まるちゃんの情報セキュリティきまぐれ日記

昨年の...

・2021.12.31 米国 サイバー司令部の2021年

 

それも含めて、サイバー司令部関連...

 

・2022.12.31 米国 GAO 軍サイバー人材:兵役義務ガイダンスとデータ追跡を改善する機会の存在 (2022.12.21)

・2022.12.07 米国 国防総省 ナカソネ陸軍将が「ウクライナとのサイバーセキュリティに関する提携が功を奏した」と話たようですね @レーガン国防フォーラム

・2022.11.30 米国 国防総省 ゼロトラスト戦略とロードマップ (2022.11.07)

・2022.11.29 英国 国防省 サイバー入門(第3版) (2022.10.04)

・2022.11.16 欧州委員会 欧州議会と欧州理事会への声明 「サイバー防衛に関するEUの政策」

・2022.10.30 米国 国防総省:サイバー軍 CYBER101 - Defend Forward and Persistent Engagement (2022.10.25)

・2022.10.01 国防総省 監察官室 国防総省内部関係者脅威管理・分析センターへの国防総省構成機関の内部関係者の脅威報告に関する監査

・2022.08.27 米国 サイバー司令部:米サイバー軍とNSAは中間選挙をどう守るか。一つのチーム、一つの戦い

・2022.08.26 スイス ETH Zürichsで公表されている最近のサイバー作戦、サイバー攻撃等、サイバー関連の最近の記事、論文

・2022.08.23 米国 サイバー司令部:クロアチアと米国のサイバー防衛隊が悪質な行為者をハントする

・2022.06.04 米国 FBI サイバーセキュリティに関するボストン会議2022でのFBI長官の基調講演

・2022.04.06 第117回米国連邦議会におけるポール・M・ナカソネ米サイバー軍司令官の姿勢表明

・2021.12.31 米国 サイバー司令部の2021年

2021.12.29 米国 バイデン大統領が2022年国防授権法にサインをしましたね。。。

・2021.12.07 米国 国防省 23カ国が参加したサイバー防御演習 CYBER FLAG 21-1

・2021.10.15 米国 国家安全保障会議ランサムウェア対策イニシアチブ

・2021.08.15 日本の防衛副大臣が米サイバー軍を訪問し、CYBERCOM司令官のポール・ナカソネ大将と会談したようですね

・2021.07.13 従来型抑止と戦略的抑止に対するサイバー脅威と脆弱性 by 米国サイバースペース・ソラリウム委員会の事務局長

・2021.04.16 White HouseはSolarWindsの不正アクセスに関連する行動がロシアによるものと正式に認め制裁を課す大統領令を発出していますね。。。 U.S. サイバー司令部と国土安全保障省-CISAはSolarWindsの不正アクセスに関連するロシア製マルウェアのサンプルを公開

・2021.03.27 米国 連邦上院軍事委員会 公聴会 特殊作戦コマンドとサイバーコマンド

・2021.01.06 米国 2021年度 National Defense Authorization Act (NDAA) (国防授権法)成立 サイバー関係も・・・

ここからは2020年以前...

・2020.12.08 米国サイバーコマンドとオーストラリア国防軍情報戦部門がサイバー訓練プラットフォームの共同開発契約を締結

・2020.12.04 米軍とエストニアが共同作戦を通じてサイバー領域でのパートナーシップを強化

・2020.11.21 米国GAOが国防省のJoint Cyber Warfighting Architectureについて相互運用性目標を定義することを推奨していますね。。。

・2020.10.04 サイバースペース・ソラリウム委員会

・2020.09.10 米国サイバー軍司令官&国家安全保障局長官を務める中曽根氏による「サイバースペースで競争する方法 - サイバーコマンドの新しいアプローチ」という記事

・2020.08.28 北朝鮮によるサイバー銀行強盗についての警告(BeagleBoyz Robbing Banks)

・2020.06.17 今年の米軍のCyber Flag exerciseは、新しいトレーニング環境で行われる。。。

・2020.05.25 10歳になったUSのCyber Command

・2020.05.13 CISA / FBI / DoD : HIDDEN COBRA 北朝鮮の悪意あるサイバー活動

10年以上前

・2010.05.25 米国防総省 サイバー司令部を設立

・2006.11.06 米空軍 サイバー空間防衛司令部

 

| | Comments (0)

各国代表の新年の挨拶 2023年

こんにちは、丸山満彦です。

各国代表者が新年の挨拶をしていますね。。。国の代表が国民に新年の挨拶をするのはすべての国というわけでは無いすね。。。新年に挨拶をする国だからかもしれませんが、そういう国の代表は、国民に団結を呼びかけていますね。。。

これは興味深い発見です(^^)

さて、欧米はやはりロシア・ウクライナ紛争への言及が多いように思います。シンガポールはコロナからの回復と経済問題。中国はロシア・ウクライナ紛争には触れずに経済成長、宇宙、コロナ、そして、若者に夢を託す。。。

さて、今年はどのような年になるのでしょうね。。。

 

● 日本

・2023.01.01 岸田内閣総理大臣 令和5年 年頭所感

(追記)

・2023.01.04 岸田内閣総理大臣年頭記者会見

 

● 中国

国家主席习近平发表二〇二三年新年贺词 習近平主席による2023年の年頭挨拶

 

● オーストラリア

N/A  

 

● シンガポール

New Year Message 2023 by PM Lee Hsien Loong. リー・シェンロン首相による2023年新年のメッセージ

 

● インド

N/A  

 

● ロシア

New Year Address to the Nation
国民への年頭挨拶

 

● ドイツ

Neujahrsansprache von Bundeskanzler Scholz 連邦首相の年頭挨拶

 

● フランス

Restons unis, bienveillants, solidaires. VŒUX DU PRESIDENT DE LA REPUBLIQUE AUX FRANCAIS. 共和国大統領からフランス国民への挨拶

 

● 英国(スコットランド)

New Year mesage from Scottish Secretary スコティッシュ・セクレタリーからの新年のメッセージ

 

● 米国 (新年の挨拶ではなく、ライス外交官による2022年振り返り...)

2022 in Review 2022年を振り返って

 

● カナダ

Statement by the Prime Minister to mark the New Year 新年を迎えての総理大臣の声明

 

Fig1_20220102071901

 


 

 

まるちゃんの情報セキュリティきまぐれ日記

・2022.02.04 バイデン大統領夫妻の旧正月に寄せたメッセージ. - 米国が競争しているのは、中国ではなく中国共産党政府なんでしょうね。。。

・2022.01.02 各国代表の新年の挨拶 2022年

 

 

| | Comments (0)

2023.01.02

日本銀行金融研究所 セミナー「生体認証におけるディープフェイクの脅威と対策」の資料(2022.11.12開催)

こんにちは、丸山満彦です。

2022.11.22に日本銀行金融研究所情報技術研究センターが、「生体認証におけるディープフェイクの脅威と対策」をテーマとして、情報セキュリティ・セミナーを開催いたようですが、その時の資料が公開されています。。。

金融機関ですので、本人確認周りの話で興味深いです。。。

合成された音声を見抜くために、音声から声帯等を推定し、生物学的にあり得ない声帯等になれば、Fakeという判定をするというアイデアとかは、恐竜等の化石から鳴き声を推定したということの逆のアイデアのようですね。。。

日本銀行 金融研究所

・2022.12.12 情報セキュリティ・セミナーを開催しました

 ・[PDF] ディープフェイクによるなりすましに関する最新の研究動向

20230102-143101

 

 ・[PDF] ディープフェイクの脅威およびeKYCへの攻撃と対策

 

20230102-143124

 


スマートフォンを利用した金融サービス、例えばインターネットバンキングでは、スマートフォン内蔵のカメラにより撮影した顔画像や発声音などによる生体認証方式が採用されており、口座保有者本人であることを確認する手段として導入が進んでいます。また、近年では、銀行口座開設時においても、従来の対面/郵送による方法に代わって、オンラインでの本人確認(eKYC:electronic Know Your Customer)が行われるようになってきました。

こうした非対面での生体認証方式は、スマートフォン内蔵のカメラやマイクによって実行できるなど、使い勝手がよい反面、撮影された画像などが被認証者本人のものであることの確認が必ずしも容易でなく、なりすましのリスクが高いという側面もあります。最近では、深層学習によって顔画像や音声データなどを合成する技術(ディープフェイク)が登場し、それを用いて顔画像などを偽造する攻撃や対策手法に関する研究が盛んになってきています。 そこで、本セミナーでは、生体認証におけるディープフェイクの脅威と対策について、国内外における最新の研究動向をご紹介いたしました。


ということで、プログラムは、、、


・講演1 (10:00-10:45)

ディープフェイクによるなりすましに関する最新の研究動向

講師:菅 和聖 (日本銀行 金融研究所 情報技術研究センター 企画役)

概要:本講演では、ディープフェイクの概要とともに、本年8月に開催されたUSENIX Security Symposium 2022での発表論文を中心に、ディープフェイクによるなりすましの可能性に関する研究事例とそのインプリケーションをご紹介しました。

 

講演2(10:45-11:30)

ディープフェイクの脅威およびeKYCへの攻撃と対策

講師:川名 のん 氏(株式会社日立製作所 研究開発グループ サービスシステムイノベーションセンタ デジタルエコノミー研究部 企画員)

概要:本講演では、運転免許証の画像と顔画像を用いて本人確認を行う実験用eKYCシステムを構築し、ディープフェイクによるなりすましの可能性に関する実験結果をご紹介するとともに、その対策のあり方についてご説明しました。


 

 

 

| | Comments (0)

米国 GAO 情報技術・サイバーセキュリティ:スコアカードの進化は各機関の進捗を監視する上で引き続き重要 (2022.12.15)

こんにちは、丸山満彦です。

昨年のレポートになりますが、、、

米国ではIT・サイバーセキュリティに関連して、各省庁(機関)が評価するスコアカードが現在15も運用(年2回評価)されていて、ITやサイバーセキュリティの対策を進める上では、このスコアカードが役立っているということのようです。。。

以前、NISCに勤務している時に、セキュリティ対策を進めるためにどうしようかという話を山口先生とかとしていた時に、米国連邦政府での各省庁における評価を紹介し、「それで行こう、、、」ということになりました。。。省庁間で競わせれば、がんばるだろう。。。

まぁ、日本の省庁ですからね、、、点数が取れないような項目は、評価から外そうとか、評価の仕方を甘くしようとか、、、ということが起こったような、、、その結果、省庁間で点数差が開かず、、、(かなり前のことですから記憶があやふやですが...)

米国ではうまくいっている背景は、GAOの存在、ひいては民主主義についての成熟度の違いかもしれませんね。。。

 

● U.S. Government Accountability Office; GAO

・2022.12.15 Information Technology and Cybersecurity:Evolving the Scorecard Remains Important for Monitoring Agencies' Progress

 

Information Technology and Cybersecurity:Evolving the Scorecard Remains Important for Monitoring Agencies' Progress 情報技術・サイバーセキュリティ:スコアカードの進化は各機関の進捗を監視する上で引き続き重要
Fast Facts 概要
The federal government annually spends more than $100 billion on IT and cyber investments—many of which have been ineffectively managed. Congress passed laws to address these issues, including provisions such as the Federal Information Technology Acquisition Reform Act (FITARA). 連邦政府は毎年1,000億ドル以上をITおよびサイバー投資に費やしていますが、その多くは効果的な管理がなされていません。連邦議会は、連邦情報技術取得改革法(FITARA)などの条項を含む、これらの問題に対処するための法律を成立させました。
We testified that, since 2015, Congress has issued scorecards to monitor agencies' implementation of FITARA and key IT topics. The scorecards have evolved and served as effective oversight tools. 我々は、2015年以降、議会がFITARAと主要なITトピックの各機関の実施状況を監視するためにスコアカードを発行していることを証言した。スコアカードは進化を遂げ、効果的な監視ツールとして機能しています。
Both IT management and cybersecurity are on our High Risk list. About 76% of the 5,400 recommendations we've made in these areas since 2010 have been implemented. ITマネジメントとサイバーセキュリティの両方が高リスクリストに含まれています。2010年以降、これらの分野で行った5,400件の勧告のうち、約76%が実施されている。
Planned FY 2023 Federal Spending on Information Technology Investments 2023年度連邦政府情報技術投資支出計画
20230102-21811
Highlights ハイライト
What GAO Found GAOの調査結果 
Since November 2015, the scorecards issued by this Subcommittee have served as effective oversight tools for monitoring agencies' implementation of various statutory IT provisions and addressing other key IT issues. The selected provisions are from laws such as the Federal Information Technology Acquisition Reform Act (commonly referred to as FITARA) and the Federal Information Security Modernization Act of 2014. The scorecards have assigned each covered agency a letter grade (i.e., A, B, C, D, or F) based on components derived from statutory requirements and additional IT-related topics. 2015年11月以降、本小委員会が発行するスコアカードは、各機関の様々な法定IT条項の実施を監視し、その他の重要なIT問題に対処するための効果的な監視ツールとして機能してきた。選択された条項は、連邦情報技術取得改革法(通称FITARA)や2014年連邦情報セキュリティ近代化法などの法律からのものである。スコアカードは、法令上の要件やその他のIT関連トピックから導き出された構成要素に基づいて、各対象機関にレターグレード(すなわち、A、B、C、D、またはF)を割り当てている。  
As of December 2022, fifteen scorecards had been released (see figure). 2022年12月現在、15枚のスコアカードが発表されている(図参照)。
Scorecards Release Timeline with Associated Components スコアカードのリリーススケジュールと関連するコンポーネント
20230102-22703
The Subcommittee-assigned grades have shown steady improvement as demonstrated by the removal (or sunset) of components. For example, during 2020 and 2021, all 24 agencies received A grades for software licensing and data center optimization, resulting in removal of these components. 小委員会が指定した等級は、構成要素の削除(または廃止)によって示されるように、着実な改善を示している。例えば、2020年から2021年にかけて、24の機関すべてがソフトウェアライセンスとデータセンターの最適化についてAグレードを獲得し、これらのコンポーネントが削除される結果となった。  
Notwithstanding the improvements made by using the scorecard, the federal government's difficulties acquiring, developing, managing, and securing its IT investments persist. Continued oversight by Congress to hold agencies accountable for implementing statutory provisions and addressing longstanding weaknesses is essential. Evolving the components of the scorecard to adapt to changes in the federal landscape also remains important. スコアカードの活用による改善にもかかわらず、連邦政府によるIT投資の取得、開発、管理、セキュリティの確保が困難な状況は続いている。法律の規定を実施し、長年の弱点に対処する責任を各機関に負わせるために、議会による継続的な監視が不可欠である。また、連邦政府の状況の変化に適応するために、スコアカードの構成要素を進化させることも引き続き重要である。  
Toward this end, GAO provided input to this Subcommittee regarding additional measures that could be added, including topics related to IT legacy system modernization and customer experience. GAO also provided input on ways to enhance the cybersecurity component. この目的のため、GAOは本小委員会に対し、ITレガシーシステムの近代化や顧客体験に関するテーマなど、追加可能な施策に関する情報を提供した。GAOはまた、サイバーセキュリティの要素を強化する方法についても意見を述べた。  
Considering ways to evolve scorecard components is critical to increasing Congress' ability to monitor agencies' implementation of statutory IT provisions and address other key IT topics. Agency attention to implementing GAO recommendations can also be instrumental in delivering needed improvements. スコアカードの構成要素を進化させる方法を検討することは、議会が各機関の法定IT条項の実施を監視し、その他の重要なITトピックに対処する能力を高めるために重要である。また、GAOの勧告を実施するために各機関が注意を払うことは、必要な改善を実現する上で有益である。 
Why GAO Did This Study GAOがこの調査を実施した理由
Federal IT systems provide essential services that are critical to the health, economy, and defense of the nation. For fiscal year 2023, the federal government plans to spend over $122 billion on IT investments. 連邦政府のITシステムは、国家の健康、経済、防衛に不可欠なサービスを提供している。2023会計年度、連邦政府はIT投資に1220億ドル以上を費やす予定である。  
However, many of these investments have suffered from ineffective management. Further, recent high profile cyber incidents have demonstrated the urgency of addressing cybersecurity weaknesses. しかし、これらの投資の多くは、効果的でない管理によって苦しんでいる。さらに、最近頻発するサイバー事件により、サイバーセキュリティの弱点への対処が急務であることが明らかになった。  
GAO has long recognized the importance of addressing these difficulties by including the management of IT acquisitions and operations as well as the cybersecurity of the nation as areas on its high-risk list. GAOは以前から、ITの取得と運用の管理、および国家のサイバーセキュリティを高リスクの分野に含めることで、こうした困難への対処の重要性を認識してきた。 
To improve the management of IT, Congress and the President enacted FITARA in December 2014. FITARA applies to the 24 agencies subject to the Chief Financial Officers Act of 1990, although with limited applicability to the Department of Defense. ITの管理を改善するために、議会と大統領は2014年12月にFITARAを制定した。FITARAは、国防総省への適用は限定的であるが、1990年の最高財務責任者法の対象となる24の機関に適用される。  
GAO was asked to provide an overview of the scorecards released by this Subcommittee and the importance of evolving the components. For this testimony, GAO relied on its previously issued products. GAOは、本小委員会が公表したスコアカードの概要と、構成要素を進化させることの重要性を説明するよう要請された。この証言のために、GAOは以前に発行した製品に依拠した。  
Since 2010, GAO has made approximately 5,400 recommendations to improve IT management and cybersecurity. As of December 2022, federal agencies have fully implemented about 76 percent of these. However, many critical recommendations have not been implemented—nearly 300 on IT management and more than 700 on cybersecurity. 2010年以降、GAOはITマネジメントとサイバーセキュリティを改善するために約5,400件の勧告を行っている。2022年12月現在、連邦政府機関はこれらのうち約76%を完全に実施している。しかし、多くの重要な勧告が実施されておらず、IT管理については約300件、サイバーセキュリティについては700件以上となっている。 
... ...

 

・[PDF] Highlights Page

20230102-00343

 

 

・[PDF] Full Report 

20230102-00355

・[DOCX] 仮訳

 

・[PDF] Accessible PDF

20230102-00408

 


 

● まるちゃんの情報セキュリティきまぐれ日記

・2022.09.30 米国 OMB FISMA Report 2021

・2022.08.02 米国 GAO 情報技術とサイバーセキュリティ:省庁の法定要件の実施を監視するためのスコアカードの使用

・2022.03.17 米国 司法省監察局 独占禁止法部門、麻薬取締局のFISMAに基づく内部監査結果

・2022.01.13 米国 GAO ざっとみたところ、各省庁のFISMA要件の実施は各省庁でばらつきがあるようだ...

・2021.05.04 米国 OMB FISMA Report 2020

・2020.06.05 米国行政管理局(OMB)が2019年度版政府機関のサイバーセキュリティーに関する報告書(FISMAレポート)を公表していますね。。。

2011.05.29 NIST 2010 Computer Security Division Annual Report

2009.12.25 連邦機関による年次FISMAレポートのメトリックに関するコメントを要求するOMB

2009.05.08 GAO GAO Federal Information System Controls Audit Manual(FISCAM)

・2008.05.23 米国政府 セキュリティ評価関係 2007(2) 総合評価はC <= C-

・2008.04.15 米国政府 セキュリティ評価関係 2007

・2007.06.14 米国会計検査院 連邦政府機関の情報セキュリティ管理は依然として不十分

・2007.04.15 米国政府 情報セキュリティ通知簿2006

・2007.04.01 米国政府 セキュリティ評価関係

・2006.03.18 米国政府 情報セキュリティ通知簿2005 2

・2006.03.18 米国政府 OMB Releases Annual FISMA Report

・2006.03.17 米国政府 情報セキュリティ通知簿2005

・2005.02.23 米国政府 情報セキュリティ通知簿2

・2005.02.23 米国政府 情報セキュリティ通知簿

2004.12.08 国家セキュリティ体制 米国の状況・・・

 

FISMAレポート...

・報告書 [Downloded]

 

| | Comments (0)

2023.01.01

あけましておめでとうございます 2023

こんにちは、丸山満彦です。

新年のあけましておめでとうございます。

旧年中はお世話になりました。今年もよろしくお願いします。

大きな病気にかかることもなく、静かに過ごしています。。。

 

皆様にとって良い年となりますように。。。

 

2023

 

 

 


 

 

まるちゃんの情報セキュリティきまぐれ日記

・2022.01.01 あけましておめでとうございます 2022

・2021.01.01 あけましておめでとうございます 2021

 

ちょっとあきまして...

・2013.01.01 明けまして、おめでとうございます 2013

・2012.01.01 明けまして、おめでとうございます 2012

・2011.01.01 明けまして、おめでとうございます 2011

・2010.01.01 明けまして、おめでとうございます 2010

・2009.01.01 明けまして、おめでとうございます 2009

・2008.01.01 明けまして、おめでとうございます 2008

・2007.01.01 明けまして、おめでとうございます 2007

・2006.01.01 あけまして、おめでとうございます。

・2005.01.01 明けまして、おめでとうございます

| | Comments (0)

« December 2022 | Main | February 2023 »