« January 2023 | Main | March 2023 »

February 2023

2023.02.28

欧州 EDPB ガイドライン03/2022 ソーシャルメディア・プラットフォームのインターフェースにおける欺瞞的なデザインパターン:その認識と回避方法について

こんにちは、丸山満彦です。

EDPBが、ソーシャルメディア等で利用されている可能性がある、ユーザーインターフェースにおける欺瞞的なデザインパターンを整理し、その回避方法についての説明をプライバシー保護の観点からしているガイドが改定され、公表されています。

ソーシャルメディアに関係ないし、プライバシー保護以外の文脈でも利用できそうで、興味深いです。。。

欺瞞的なデザインについては次の6つに類型化していますね。。。

欺瞞的デザイン   例示  
oberloading 過負荷 Continuous prompting 連続指示
Privacy Maze プライバシー迷宮
Too Many Options 多すぎる選択肢
Skipping スキップ Deceptive Snugness 偽りの快適性
Look over there  あっちを見て
Stirring 動揺 Emotional Steering 感情的誘導
Hidden in plain sight  見えざるもの
Obstructing 妨害 Dead end 行き止まり
Longer than necessary 長すぎ
Misleading action  誤解を招く動作
Fickle 気まぐれ Lacking hierarchy 階層性の欠如
Decontextualising 非文脈化
Inconsistent Interface 一貫性のないインターフェイス
Language Discontinuity 言語の不連続性
Left in the dark 暗闇に取り残す Conflicting information 矛盾する情報
Ambiguous wording or information  曖昧な表現・情報 

 

ガイドの方...

EDPB

・2023.02.24 EDPB publishes three guidelines following public consultation

EDPB publishes three guidelines following public consultation EDPB、パブリックコンサルテーションの結果、3つのガイドラインを発表
Following public consultation, the EDPB has adopted three sets of guidelines in their final version: EDPBは、パブリック・コンサルテーションを経て、3つのガイドラインを最終版として採択した。
Guidelines on the Interplay between the application of Art. 3 and the provisions on international transfers as per Chapter V GDPR: The Guidelines clarify the interplay between the territorial scope of the GDPR (Art. 3) and the provisions on international transfers in Chapter V. They aim to assist controllers and processors when identifying whether a processing operation constitutes an international transfer, and to provide a common understanding of the concept of international transfers. Following public consultation, the guidelines were updated and further clarifications were added. Most notably, a clarification was added regarding the responsibilities of the controller when the data exporter is a processor. In addition, further examples were added to clarify aspects of direct collection, as well as the meaning of “the data importer is in a third country”. Moreover, an annex was added with further illustrations of the examples included in the guidelines to facilitate understanding. 第3条の適用とGDPR第5章の国際的な移転に関する規定の相互作用に関するガイドライン。3とGDPR第5章の国際移転に関する規定との相互作用に関するガイドライン」である。 本ガイドラインは、GDPRの適用範囲(第3条)と第5章の国際移転に関する規定の相互関係を明確にするもので、管理者と処理者が処理業務が国際移転に該当するかどうかを特定する際に支援し、国際移転の概念に関する共通理解を提供することを目的としている。パブリックコンサルテーションの後、ガイドラインは更新され、さらなる明確化が加えられた。最も注目すべきは、データ越境送信者が処理者である場合の管理者の責任に関する明確化が追加されたことである。さらに、直接収集の側面や、「データの越境受信者が第三国にいる」ことの意味を明確にするために、さらなる例が追加された。さらに、ガイドラインに含まれる例をさらに図解した附属書を追加し、理解を容易にした。
Guidelines on certification as a tool for transfers: The main purpose of these guidelines is to provide further clarification on the practical use of this transfer tool. The guidelines are composed of four parts, each focusing on specific aspects regarding certification as a tool for transfers. The guidelines complement guidelines 1/2018 on certification, which provide more general guidance on certification. Following public consultation, the Guidelines were updated to reflect comments received. 移転のためのツールとしての認証に関するガイドライン。 本ガイドラインの主な目的は、この移転ツールの実用的な使用方法をさらに明確にすることである。本ガイドラインは4つのパートで構成され、それぞれが譲渡のためのツールとしての認証に関する特定の側面に焦点を当てている。本ガイドラインは、認証に関するより一般的なガイダンスを提供する、認証に関するガイドライン1/2018を補完するものである。パブリックコンサルテーションの後、寄せられたコメントを反映して、ガイドラインは更新された。
Guidelines on deceptive design patterns in social media platform interfaces: The guidelines offer practical recommendations to designers and users of social media platforms on how to assess and avoid deceptive design patterns in social media interfaces that infringe on GDPR requirements. The guidelines give concrete examples of deceptive design pattern types, present best practices for different use cases and contain specific recommendations for designers of user interfaces that facilitate the effective implementation of the GDPR. Following public consultation, the final version integrates updated wording and further clarifications in order to address comments and feedback received. In particular, the title of the Guidelines has been modified and the term “dark pattern” has been replaced by the term “deceptive design patterns”. In addition, some clarifications were added, for example on how to integrate the present Guidelines in the design thinking process and a second Annex  was added, providing a quick overview of all the best practices. ソーシャルメディア・プラットフォームのインターフェースにおける欺瞞的なデザイン・パターンに関するガイドライン。 本ガイドラインは、ソーシャルメディアプラットフォームの設計者や利用者に対し、GDPRの要件を侵害するソーシャルメディアインターフェースの欺瞞的なデザインパターンをどのように評価し回避するかについて、実践的な推奨を行うものである。ガイドラインは、欺瞞的デザインパターンのタイプの具体例を示し、異なるユースケースに対するベストプラクティスを提示し、GDPRの効果的な実施を促進するユーザーインターフェースの設計者に対する特定の推奨事項を含んでいる。パブリックコンサルテーションを経て、最終版では、寄せられたコメントやフィードバックに対応するため、文言の更新とさらなる明確化が行われている。特に、ガイドラインのタイトルが変更され、「ダークパターン」という用語が「ディセプティブデザインパターン」という用語に置き換えられている。さらに、デザイン思考プロセスにおける本ガイドラインの統合方法など、いくつかの説明が追加され、すべてのベストプラクティスの概要を提供する第二の附属書が追加された。

 

・2023.02.24 Guidelines 03/2022 on deceptive design patterns in social media platform interfaces: how to recognise and avoid them

 

・[PDF]

20230228-43119

 

・「DOCX] 仮訳

 

 

エグゼクティブサマリー...

 

EXECUTIVE SUMMARY  エグゼクティブサマリー 
These Guidelines offer practical recommendations to social media providers as controllers of social media, designers and users of social media platforms on how to assess and avoid so-called “deceptive design patterns” in social media interfaces that infringe on GDPR requirements. To this end, the EDPB recommends that controllers make use of interdisciplinary teams, consisting, among others, of designers, data protection officers and decision-makers. It is important to note that the list of deceptive design patterns and best practices, as well as the use cases, are not exhaustive. Social media providers remain responsible and accountable for ensuring the GDPR compliance of their platforms.  本ガイドラインは、ソーシャルメディアの管理者であるソーシャルメディアプロバイダ、ソーシャルメディアプラットフォームの設計者及び利用者に対し、GDPRの要件を侵害するソーシャルメディアインターフェースにおけるいわゆる「欺瞞的デザインパターン」を評価し回避する方法について実践的な勧告を行うものである。この目的のために、EDPBは、管理者が、特に設計者、データ保護責任者、意思決定者からなる学際的なチームを活用することを推奨している。欺瞞的なデザインパターンやベストプラクティスのリスト、および使用例は、すべてを網羅したものではないことに留意することが重要である。ソーシャルメディア・プロバイダーは、自社のプラットフォームのGDPR遵守を確保する責任と義務を負っている。 
Deceptive design patterns in social media platform interfaces  ソーシャルメディアプラットフォームのインターフェースにおける欺瞞的なデザインパターン 
In the context of these Guidelines, “deceptive design patterns” are considered as interfaces and user journeys implemented on social media platforms that attempt to influence users into making unintended, unwilling and potentially harmful decisions, often toward a decision that is against the users’ best interests and in favour of the social media platforms interests, regarding the processing of their personal data. Deceptive design patterns aim to influence users’ behaviour and can hinder their ability to effectively protect their personal data and make conscious choices. Data protection authorities are responsible for sanctioning the use of deceptive design patterns if these breach GDPR requirements. The deceptive design patterns addressed within these Guidelines can be divided into the following categories:   本ガイドラインの文脈では、「欺瞞的なデザインパターン」とは、ソーシャルメディアプラットフォームに実装されたインターフェースやユーザージャーニーで、ユーザの個人データの処理に関して、意図せず、不本意で有害となりうる決定、しばしばユーザの最善の利益に反する決定やソーシャルメディアプラットフォームの利益を優先する決定に影響を与えようとするものと見なされる。欺瞞的なデザインパターンは、ユーザーの行動に影響を与えることを目的としており、ユーザーが効果的に個人データを保護し、意識的に選択する能力を阻害する可能性がある。データ保護当局は、欺瞞的なデザインパターンの使用がGDPRの要件に違反する場合、その使用を制裁する責任を負う。本ガイドラインで扱う欺瞞的なデザインパターンは、以下のカテゴリーに分類される。  
§  Overloading means users are confronted with an avalanche/large quantity of requests, information, options or possibilities in order to prompt them to share more data or unintentionally allow personal data processing against the expectations of the data subject.  The following three deceptive design pattern types fall into this category: Continuous prompting, Privacy Maze and Too Many Options  §  過負荷とは、ユーザーが雪崩のように大量の要求、情報、オプション、可能性に直面し、より多くのデータを共有するよう促されたり、意図せずデータ主体の期待に反する個人データ処理を許してしまうことを意味する。  次の3つの欺瞞的なデザインパターンは、このカテゴリに分類される。「連続指示」、「プライバシー迷宮」、「多すぎる選択肢」 
§  Skipping means designing the interface or user journey in a way that users forget or do not think about all or some of the data protection aspects.  §  スキップとは、ユーザーがデータ保護の側面のすべてまたは一部を忘れたり、考えないように、インターフェースやユーザージャーニーを設計することを意味する。 
The following two deceptive design pattern types fall into this category: Deceptive Snugness and Look over there  以下の2つの欺瞞的なデザインパターンがこれに該当する。「偽りの快適性」、「あっちを見て」
§  Stirring affects the choice users would make by appealing to their emotions or using visual nudges.  §  動揺とは感情に訴えたり、視覚的な刺激を与えたりすることで、ユーザーの選択に影響を与える。 
The following two deceptive design pattern types fall into this category: Emotional Steering and Hidden in plain sight  次の2つの欺瞞的なデザインパターンがこれに該当する。「感情的誘導」、「見えざるもの」 
§  Obstructing means hindering or blocking users in their process of becoming informed or managing their data by making the action hard or impossible to achieve.  §  妨害とは、ユーザーが情報を得たりデータを管理したりする過程で、その行為を困難または不可能にすることにより、妨げたり阻止したりすることを意味する。 
The following three deceptive design pattern types fall into this category: Dead end, Longer than necessary and Misleading action  以下の3つの欺瞞的なデザインパターンがこれに該当する。「行き止まり」、「長すぎ」、「誤解を招く動作」 
§  Fickle means the design of the interface is inconsistent and not clear, making it hard for the user to navigate the different data protection control tools and to understand the purpose of the processing.  §  気まぐれとは、インターフェースのデザインに一貫性がなく、明確でないため、ユーザーがさまざまなデータ保護管理ツールを操作し、処理の目的を理解することが困難であることを意味する。 
The following four deceptive design pattern types fall into this category: Lacking hierarchy, Decontextualising, Inconsistent Interface and Language Discontinuity  以下の4つの欺瞞的なデザインパターンがこれに該当する。「階層性の欠如」、「非文脈化」、「一貫性のないインターフェース」、「言語の不連続性」 
§  Left in the dark means an interface is designed in a way to hide information or data protection control tools or to leave users unsure of how their data is processed and what kind of control they might have over it regarding the exercise of their rights.  §  暗闇に取り残すとは、情報やデータ保護管理ツールを隠したり、自分のデータがどのように処理され、権利の行使に関してどのような管理が可能なのかユーザーに分からないままにしておくような形でインターフェースが設計されていることを意味する。 
The following two deceptive design pattern types fall into this category: Conflicting information and Ambiguous wording or information  以下の2つの欺瞞的なデザインパターンがこれに該当する。「矛盾する情報」、「曖昧な表現・情報」 
Relevant GDPR provisions for deceptive design pattern assessments   欺瞞的デザインパターン評価に関するGDPRの関連規定  
Regarding the data protection compliance of user interfaces of online applications within the social media sector, the data protection principles applicable are set out within Article 5 GDPR. The principle of fair processing laid down in Article 5 (1) (a) GDPR serves as a starting point to assess whether a design pattern actually constitutes a “deceptive design pattern”. Further principles playing a role in this assessment are those of transparency, data minimisation and accountability under Article 5 (1) (a), (c) and (2) GDPR, as well as, in some cases, purpose limitation under Article 5 (1) (b) GDPR. In other cases, the legal assessment is also based on conditions of consent under Articles 4 (11) and 7 GDPR or other specific obligations, such as Article 12 GDPR. Evidently, in the context of data subject rights, the third chapter of the GDPR also needs to be taken into account. Finally, the requirements of data protection by design and default under Article 25 GDPR play a vital role, as applying them before launching an interface design would help social media providers avoid deceptive design patterns in the first place.  ソーシャルメディア分野におけるオンラインアプリケーションのユーザーインターフェースのデータ保護コンプライアンスに関して、適用されるデータ保護原則は、GDPR第5条に規定されている。GDPR第5条1項(a)に規定されている公正処理の原則は、デザインパターンが実際に「欺瞞的デザインパターン」を構成しているかどうかを評価する出発点として機能する。この評価でさらに役割を果たす原則は、GDPR第5条(1)(a)、(c)、(2)に基づく透明性、データ最小化、説明責任、また、場合によってはGDPR第5条(1)(b)に基づく目的制限の原則である。また、他のケースでは、GDPR第4条(11)および第7条に基づく同意の条件や、GDPR第12条などの特定の義務に基づいて法的評価が行われる。明らかに、データ主体の権利の文脈では、GDPRの第3章も考慮する必要がある。最後に、GDPR第25条に基づくデザインおよびデフォルトによるデータ保護の要件は、インターフェースデザインを開始する前に適用することで、ソーシャルメディアプロバイダが欺瞞的なデザインパターンをそもそも回避するのに役立つため、重要な役割を果たすと言える。 
Examples of deceptive design patterns in use cases of the life cycle of a social media account  ソーシャルメディアアカウントのライフサイクルのユースケースにおける欺瞞的デザインパターンの例 
The GDPR’s provisions apply to the entire course of personal data processing as part of the operation of social media platforms, i.e. to the entire life cycle of a user account. The EDPB gives concrete examples of deceptive design pattern types for the following different use cases within this life cycle: the sign-up, i.e. registration process; the information use cases concerning the privacy notice, joint controllership and data breach communications; consent and data protection management; exercise of data subject rights during social media use; and, finally, closing a social media account. Connections to GDPR provisions are explained in two ways: firstly, each use case explains in more detail which of the above-mentioned GDPR provisions are particularly relevant to it. Secondly, the paragraphs surrounding the deceptive design pattern examples explain how these infringe on the GDPR.   GDPRの規定は、ソーシャルメディアプラットフォームの運用の一環として、個人データ処理の全過程、すなわちユーザーアカウントのライフサイクル全体に適用される。EDPBは、このライフサイクルの中で、サインアップ(登録プロセス)、プライバシー通知、共同管理、データ侵害コミュニケーションに関する情報ユースケース、同意とデータ保護管理、ソーシャルメディア使用中のデータ主体の権利行使、そして最後にソーシャルメディアアカウントの閉鎖という異なる使用ケースについて、欺瞞的デザインパターンタイプの具体例を示している。まず、各ユースケースで、上記のGDPR条項のうち、どの条項が特に関連しているかを詳しく説明している。2つ目は、欺瞞的なデザインパターンの例を囲む段落で、これらがどのようにGDPRに抵触するのかを説明している。  
Best practice recommendations  ベストプラクティスの推奨 
In addition to the examples of deceptive design patterns, the Guidelines also present best practices at the end of each use case, as well as in Annex II to these Guidelines. These contain specific recommendations for designing user interfaces that facilitate the effective implementation of the GDPR.  また、本ガイドラインでは、欺瞞的なデザインパターンの例に加え、各ユースケースの末尾や本ガイドラインの附属書IIでベストプラクティスを提示している。これらには、GDPRの効果的な実施を促進するためのユーザーインターフェースの設計に関する具体的な推奨事項が含まれている。 
Checklist of deceptive design pattern categories  欺瞞的なデザインパターンのカテゴリのチェックリスト 
A checklist of deceptive design pattern categories can be found in Annex I to these Guidelines. It provides an overview of the abovementioned categories and the deceptive design pattern types, along with a list of the examples for each pattern that are mentioned in the use cases. Some readers may find it useful to use the checklist as a starting point to discover these Guidelines.   本ガイドラインの附属書 I には、欺瞞的デザインパターンのカテゴリーに関するチェックリストが掲載されている。これは、上記のカテゴリと欺瞞的デザインパターンのタイプの概要と、ユースケースで言及されている各パターンの例のリストを提供するものである。読者の中には、このチェックリストをきっかけに本ガイドラインを発見される方もいるかもしれない。 

 

目次...

Exective Summary エグゼクティブサマリー
1 Scope 1 範囲
2 Principles Applicable – What to keep in mind? 2 適用される原則 - 何を心がけるべきか?
2.1 Accountability 2.1 説明責任
2.2 Transparency 2.2 透明性
2.3 Data protection by design and default 2.3 デザインとデフォルトによるデータ保護
3 The life cycle of a social media account: putting the principles into practice 3 ソーシャルメディアアカウントのライフサイクル原則を実践する
3.1 Opening a social media account 3.1 ソーシャルメディアのアカウント開設
Use case 1: Registering an account ユースケース1:アカウント登録
3.2 Staying informed on social media 3.2 ソーシャルメディアで情報を発信する
Use case 2a: A layered privacy notice ユースケース2a:重層的なプライバシー通知
Use case 2b: Providing information about joint controllership to the data subject, Article 26 (2) GDPR ユースケース2b:データ対象者への共同支配に関する情報の提供、GDPR第26条(2)項
Use case 2c: Communication of a personal data breach to the data subject ユースケース2c:データ主体への個人情報漏洩の連絡
3.3 Staying protected on social media 3.3 ソーシャルメディアで保護された状態を保つ
Use case 3a: Managing one’s consent while using a social media platform ユースケース3a:ソーシャルメディア利用時の自分の同意の管理
Use case 3b: Managing one’s data protection settings ユースケース3b:自分のデータ保護設定の管理
3.4 Staying right on social media: Data subject rights 3.4 ソーシャルメディアで正しくあること:データ主体の権利
Use case 4: How to provide proper functions for the exercise of data subject rights ユースケース4:データ主体の権利行使のための適切な機能の提供方法
3.5 So long and farewell: leaving a social media account 3.5 終了:ソーシャルメディアアカウントの離脱
Use case 5: pausing the account/erasure of all personal data ユースケース5:アカウントの一時停止/すべての個人データの消去
4 Annex I: List of deceptive design pattern categories and types 4 附属書 I:欺瞞的デザインパターンのカテゴリーとタイプのリスト
4.1 Overloading 4.1 過負荷
4.1.1 Continuous prompting 4.1.1 連続指示 
4.1.2 Privacy Maze 4.1.2 プライバシー迷宮
4.1.3  Too many options 4.1.3 多すぎる選択肢
4.2 Skipping 4.2 スキップ
4.2.1 Deceptive snugness 4.2.1 偽りの快適性
4.2.2 Look over there 4.2.2 あっちを見て
4.3 Stirring 4.3 動揺
4.3.1 Emotional Steering 4.3.1 感情的誘導 
4.3.2 Hidden in plain sight 4.3.2 見えざるもの
4.4 Obstructing 4.4 妨害 
4.4.1 Dead end 4.4.1 行き止まり
4.4.2 Longer than necessary 4.4.2 長すぎ
4.4.3 Misleading action 4.4.3 誤解を招く動作
4.5 Fickle 4.5 気まぐれ
4.5.1 Lacking hierarchy 4.5.1 階層性の欠如
4.5.2 Decontextualising 4.5.2 非文脈化
4.5.3 Inconsistent interface 4.5.3 一貫性のないインターフェース
4.5.4  Language discontinuity 4.5.4 言語の不連続性
4.6 Left in the dark 4.6 暗闇に取り残す
4.6.1 Conflicting information 4.6.1 矛盾する情報
4.6.2 Ambiguous wording or information 4.6.2曖昧な表現・情報
5 Annex II: Best practices 5 附属書 II:ベストプラクティス

 

附属書I より...

4.1 Overloading  4.1 過負荷 
Burying users under mass of requests, information, options or possibilities in order to deter them from going further and make them keep or accept certain data practice.  ユーザーを大量の要求、情報、オプション、可能性の下に置き、それ以上進むことを躊躇させ、特定のデータ処理を維持または受け入れさせること。 
4.1.1 Continuous prompting[1]  4.1.1 連続指示 [1]
Pushing users to provide more personal data than necessary for the purpose of processing or to agree with another use of their data by repeatedly asking users to provide data or to consent to a new purpose of processing. Such repetitive prompts can happen through one or several devices. Users are likely to end up giving in, wearied from having to refuse the request each time they use the platform which disrupts them in their use.   データの提供や新たな処理目的への同意をユーザーに繰り返し求めることで、処理目的に必要以上の個人データを提供するよう、またはデータの別の用途に同意するよう、ユーザーに迫ること。このような反復的なプロンプトは、1つまたは複数のデバイスを通じて行われることがある。ユーザーは、利用を中断させるプラットフォームを利用するたびに要求を拒否しなければならないことに疲れ、結局は屈してしまう可能性が高い。  
[1] This pattern is closely related to a type of pattern called “Nagging’ found in the academic literature.   [1] このパターンは、学術的な文献に見られる「Nagging」と呼ばれるタイプのパターンと密接な関係がある。  
4.1.2 Privacy Maze   4.1.2 プライバシー迷宮  
When users wish to obtain certain information or use a specific control or exercise a data subject right, it is particularly difficult for them to find it as they have to navigate through too many pages in order to obtain the relevant information or control, without having a comprehensive and exhaustive overview available. Users are likely to give up or miss the relevant information or control.  ユーザーが特定の情報を得たり、特定の機能を利用したり、データ主体の権利を行使したりすることを希望する場合、包括的かつ網羅的な概要が利用可能でなければ、関連する情報や機能を得るために多くのページを移動しなければならず、ユーザーがそれを見つけることは特に困難である。ユーザーは、関連する情報または管理をあきらめるか、見逃してしまう可能性が高い。
4.1.3 Too many options  4.1.3 多すぎる選択肢 
Providing users with (too) many options to choose from. The amount of choices leaves users unable to make any choice or make them overlook some settings, especially if information is not available. It can lead them to finally give up or miss the settings of their data protection preferences or rights.  ユーザーに(あまりにも)多くの選択肢を提供すること。選択肢の多さによって、ユーザーは何も選択できなくなったり、特に情報がない場合は、いくつかの設定を見落としたりしてしまう。最終的にあきらめたり、データ保護の設定や権利を見落としたりすることになりかねない。 
4.2 Skipping  4.2 スキップ 
Designing the interface or user journey in such a way that users forget or do not think about all or some of the data protection aspects.  ユーザーがデータ保護の側面のすべてまたは一部を忘れたり、考えなかったりするようなインターフェースやユーザージャーニーの設計をすること。
4.2.1 Deceptive snugness  4.2.1 偽りの快適性 
By default, the most data invasive features and options are enabled. Relying on the default effect which nudges individuals to keep a pre-selected option, users are unlikely to change this even if given the possibility.  デフォルトでは、最もデータ侵襲性の高い機能とオプションが有効になっている。あらかじめ選択されたオプションを維持するように促すデフォルトの効果に依存し、ユーザーは可能性を与えられてもこれを変更することはまずないだろう。 
4.2.2 Look over there  4.2.2 あっちを見て 
A data protection related action or information is put in competition with another element which can either be related to data protection or not. When users choose this distracting option, they are likely to forget about the other, even if it was their primary intent.   データ保護に関連する行動や情報は、データ保護に関連するかしないかの別の要素と競合するように置かれます。ユーザーがこの邪魔な選択肢を選ぶと、たとえそれが本来の目的であったとしても、もう一方のことを忘れてしまう可能性がある。
4.3 Stirring  4.3 動揺 
Affecting the choice users would make by appealing to their emotions or using visual nudges.  感情に訴えたり、視覚的な刺激を与えたりすることで、ユーザーの選択に影響を与える。 
4.3.1 Emotional Steering[1]  4.3.1 感情的誘導 [1]
Using wording or visual elements (such as style, colours, pictures or others) in a way that confers the information to users in either a highly positive outlook, making users feel good, safe or rewarded, or in a highly negative one, making users feel scared, guilty or punished. Influencing the emotional state of users in such a way is likely to lead them to make an action that works against their data protection interests.  ユーザーに、良い、安全、または報われたと感じさせる非常に肯定的な見通し、または怖い、罪悪感、または罰されたと感じさせる非常に否定的な見通しのいずれかで情報を与える方法で、文言または視覚的要素(スタイル、色、写真など)を使用すること。このような方法でユーザーの感情状態に影響を与えることは、データ保護の利益に反する行動を取らせる可能性が高い。
[1] This pattern is closely related to a type of pattern called “Toying with Emotions” found, inter alia, in reports of intergovernmental organisations such as European Commission, Directorate-General for Justice and Consumers, Lupiáñez-Villanueva, F., Boluda, A., Bogliacino, F., et al., Behavioural study on unfair commercial practices in the digital environment : dark patterns and manipulative personalisation : final report, Publications Office of the European Union, 2022, [web].  [1] このパターンは、特に欧州委員会司法・消費者総局、Lupiáñez-Villanueva, F., Boluda, A., Bogliacino, F., et al.などの政府間組織の報告書に見られる「Toying with Emotions」と呼ばれるタイプのパターンに密接に関連している。Behavioural study on unfair commercial practices in the digital environment : dark patterns and manipulative personalisation : final report, Publications Office of the European Union, 2022, などの調査報告書もある。 
4.3.2 Hidden in plain sight  4.3.2 見えざるもの
Use a visual style or technique for information or data protection controls that nudges users toward less restrictive and thus more invasive options.  情報保護やデータ保護の管理には、制限の少ない、つまりより侵襲的な選択肢へとユーザーを誘導するような視覚的スタイルやテクニックを使用する。
4.4 Obstructing[1]  4.4 妨害 [1]
Hindering or blocking users in their process of obtaining information or managing their data by making the action hard or impossible to achieve.  ユーザーが情報を入手したりデータを管理したりする過程で、その行為を困難または不可能にすることにより、妨げたり、遮断したりすること。
[1] This category is closely related to the strategy called “Obstruction” defined and described in Gray Colin M., Kou Yubo, Battles Bryan, Hoggatt Joseph, and Toombs Austin L. 2018. The Dark (Patterns) Side of UX Design. In Proceedings of the 2018 CHI Conference on Human Factors in Computing Systems (Montreal QC, Canada) (CHI ’18). ACM, New York, NY, USA, Article 534, 14 pages. [web].  [1] このカテゴリーは、Gray Colin M., Kou Yubo, Battles Bryan, Hoggatt Joseph, and Toombs Austin L. 2018で定義・説明されている「Obstruction」という戦略に深く関連している。The Dark (Patterns) Side of UX Design(UXデザインのダーク(パターン)サイド)。Proceedings of the 2018 CHI Conference on Human Factors in Computing Systems (Montreal QC, Canada) (CHI '18) に収録。ACM, New York, NY, USA, Article 534, 14 pages.  
4.4.1 Dead end  4.4.1 行き止まり 
While users are looking for information or a control, they end up not finding it as a redirection link is either not working or not available at all. Users are left unable to achieve that task.   ユーザーが情報や操作方法を探しているときに、リダイレクトリンクが機能していなかったり、まったく利用できなかったりして、結局見つからなかったりする。ユーザーはそのタスクを達成できないままになってしまうのである。
4.4.2 Longer than necessary  4.4.2 長すぎ 
When users try to activate a control related to data protection, the user journey is made in a way that requires more steps from users, than the number of steps necessary for the activation of data invasive options. This is likely to discourage them from activating such control.  ユーザーがデータ保護に関連するコントロールを有効にしようとすると、データ侵襲オプションの有効化に必要なステップ数よりも多くのステップをユーザーに要求する方法で、ユーザー・ジャーニーが作られている。これでは、そのようなコントロールを有効にすることを躊躇してしまう可能性がある。
4.4.3 Misleading action  4.4.3 誤解を招く動作 
A discrepancy between information and actions available to users nudges them to do something they do not intend to. The difference between what users expect and what they get is likely to discourage them from going further. ユーザが得られる情報と行動の不一致は、ユーザが意図しない行動を取るように仕向ける。ユーザーが期待するものと得られるものとの差は、それ以上進むことを躊躇させる可能性が高い。
4.5 Fickle  4.5 気まぐれ 
The design of the interface is unstable and inconsistent, making it hard for users to figure out the nature of the processing, to properly make a choice concerning their data, and to find where the different controls are.  インターフェースのデザインは不安定で一貫性がなく、ユーザーが処理の内容を把握し、自分のデータについて適切に選択し、さまざまなコントロールがどこにあるのかを見つけるのは困難である。 
4.5.1 Lacking hierarchy   4.5.1 階層性の欠如  
Information related to data protection lacks hierarchy, making information appear several times and being presented in several ways. Users are likely to be confused by this redundancy and to be left unable to fully understand how their data are processed and how to exercise control over them.  データ保護に関連する情報は階層性を欠き、情報が何度も登場し、複数の方法で提示される。このような冗長性によってユーザーは混乱し、自分のデータがどのように処理され、どのようにコントロールできるのかを十分に理解できないまま放置される可能性がある。
4.5.2 Decontextualising  4.5.2 非文脈化 
A data protection information or control is located on a page that is out of context. Users are unlikely to find the information or control as it would not be intuitive to look for it on this specific page.  データ保護情報またはコントロールが、文脈から外れたページに配置されている。ユーザーは、この特定のページで直感的に探すことができないため、その情報やコントロールを見つけることができない可能性がある。
4.5.3 Inconsistent interface   4.5.3 一貫性のないインターフェース 
An interface is not consistent across different contexts (e.g., a data protection related menu does not display the same items on mobile and on desktop) or with users’ expectations (e.g., an option whose location has been switched with that of another option). These differences can lead users not to find the desired control or information or to interact with an element of the interface out of habits even though this interaction leads to make a data protection choice users do not want.   インターフェースは、異なるコンテキストで一貫性がなく(例:データ保護関連のメニューがモバイルとデスクトップで同じ項目を表示しない)、ユーザーの期待に沿わない(例:オプションの位置が他のオプションと入れ替わっている)ことがある。このような違いにより、ユーザーは目的の操作や情報を見つけられなかったり、ユーザーが望まないデータ保護の選択をすることになるにもかかわらず、習慣的にインターフェースの要素とやりとりしてしまったりすることがある。
4.5.4 Language discontinuity  4.5.4 言語の不連続性 
Information related to data protection is not provided in the official language(s) of the country where users live, whereas the service is. If users do not master the language in which data protection information is given, they will not be able to easily read it and therefore likely to not be aware of how data are processed. データ保護に関する情報は、ユーザーが居住する国の公用語では提供されないが、サービスでは提供される。データ保護に関する情報が提供される言語を習得していなければ、ユーザーはそれを容易に読むことができず、したがってデータがどのように処理されているかを認識できない可能性が高い。
4.6 Left in the dark  4.6 暗闇に取り残す
The interface is designed in a way to hide information or controls related to data protection or to leave users unsure of how data is processed and what kind of controls they might have over it.  データ保護に関連する情報やコントロールを隠したり、データがどのように処理され、どのようなコントロールが可能なのかユーザーに分からないようにするために、インターフェースが設計されている。 
4.6.1 Conflicting information  4.6.1 矛盾する情報 
Giving pieces of information to users that conflict with each other in some way. Users are likely to be left unsure of what they should do and about the consequences of their actions, therefore likely not to take any and to just keep the default settings.  ユーザーに対して、互いに矛盾するような情報を与えること。ユーザーは、自分が何をすべきか、自分の行動がどのような結果をもたらすのかがわからず、何もせず、デフォルトの設定のままにしておく可能性が高い。
4.6.2 Ambiguous wording or information  4.6.2曖昧な表現・情報 
Using ambiguous and vague terms when giving information to users. They are likely to be left unsure of how data will be processed or how to exercise control over their personal data.  ユーザーに情報を提供する際に、曖昧で漠然とした用語を使用すること。データがどのように処理されるのか、または個人データに対してどのようにコントロールを行使するのかが不明なまま放置される可能性が高い。

 

| | Comments (0)

欧州 EDPB 個人データの越境に関するガイド2つ...

こんにちは、丸山満彦です。

EDPBが、個人データの越境に関するガイドを2つと、ソーシャルメディアのユーザーインターフェース等の設計上の留意点?についてのガイドを公表していますが、今回は個人データの越境に関するガイドの方。。。

(27日には、EDPB 認証のための国家基準および欧州データ保護シールに関するEDPB意見の採択手続きに関する文書も公表しています...多分後ほど...)

また、中国も個人データの越境に関する標準約款に関する発表をしていますが、こちらも後ほど...

 

EDPB

・2023.02.24 EDPB publishes three guidelines following public consultation

EDPB publishes three guidelines following public consultation EDPB、パブリックコンサルテーションの結果、3つのガイドラインを発表
Following public consultation, the EDPB has adopted three sets of guidelines in their final version: EDPBは、パブリック・コンサルテーションを経て、3つのガイドラインを最終版として採択した。
Guidelines on the Interplay between the application of Art. 3 and the provisions on international transfers as per Chapter V GDPR: The Guidelines clarify the interplay between the territorial scope of the GDPR (Art. 3) and the provisions on international transfers in Chapter V. They aim to assist controllers and processors when identifying whether a processing operation constitutes an international transfer, and to provide a common understanding of the concept of international transfers. Following public consultation, the guidelines were updated and further clarifications were added. Most notably, a clarification was added regarding the responsibilities of the controller when the data exporter is a processor. In addition, further examples were added to clarify aspects of direct collection, as well as the meaning of “the data importer is in a third country”. Moreover, an annex was added with further illustrations of the examples included in the guidelines to facilitate understanding. 第3条の適用とGDPR第5章の国際的な移転に関する規定の相互作用に関するガイドライン。3とGDPR第5章の国際移転に関する規定との相互作用に関するガイドライン」である。 本ガイドラインは、GDPRの適用範囲(第3条)と第5章の国際移転に関する規定の相互関係を明確にするもので、管理者と処理者が処理業務が国際移転に該当するかどうかを特定する際に支援し、国際移転の概念に関する共通理解を提供することを目的としている。パブリックコンサルテーションの後、ガイドラインは更新され、さらなる明確化が加えられた。最も注目すべきは、データ越境送信者が処理者である場合の管理者の責任に関する明確化が追加されたことである。さらに、直接収集の側面や、「データの越境受信者が第三国にいる」ことの意味を明確にするために、さらなる例が追加された。さらに、ガイドラインに含まれる例をさらに図解した附属書を追加し、理解を容易にした。
Guidelines on certification as a tool for transfers: The main purpose of these guidelines is to provide further clarification on the practical use of this transfer tool. The guidelines are composed of four parts, each focusing on specific aspects regarding certification as a tool for transfers. The guidelines complement guidelines 1/2018 on certification, which provide more general guidance on certification. Following public consultation, the Guidelines were updated to reflect comments received. 移転のためのツールとしての認証に関するガイドライン。 本ガイドラインの主な目的は、この移転ツールの実用的な使用方法をさらに明確にすることである。本ガイドラインは4つのパートで構成され、それぞれが譲渡のためのツールとしての認証に関する特定の側面に焦点を当てている。本ガイドラインは、認証に関するより一般的なガイダンスを提供する、認証に関するガイドライン1/2018を補完するものである。パブリックコンサルテーションの後、寄せられたコメントを反映して、ガイドラインは更新された。
Guidelines on deceptive design patterns in social media platform interfaces: The guidelines offer practical recommendations to designers and users of social media platforms on how to assess and avoid deceptive design patterns in social media interfaces that infringe on GDPR requirements. The guidelines give concrete examples of deceptive design pattern types, present best practices for different use cases and contain specific recommendations for designers of user interfaces that facilitate the effective implementation of the GDPR. Following public consultation, the final version integrates updated wording and further clarifications in order to address comments and feedback received. In particular, the title of the Guidelines has been modified and the term “dark pattern” has been replaced by the term “deceptive design patterns”. In addition, some clarifications were added, for example on how to integrate the present Guidelines in the design thinking process and a second Annex  was added, providing a quick overview of all the best practices. ソーシャルメディア・プラットフォームのインターフェースにおける欺瞞的なデザイン・パターンに関するガイドライン。 本ガイドラインは、ソーシャルメディアプラットフォームの設計者や利用者に対し、GDPRの要件を侵害するソーシャルメディアインターフェースの欺瞞的なデザインパターンをどのように評価し回避するかについて、実践的な推奨を行うものである。ガイドラインは、欺瞞的デザインパターンのタイプの具体例を示し、異なるユースケースに対するベストプラクティスを提示し、GDPRの効果的な実施を促進するユーザーインターフェースの設計者に対する特定の推奨事項を含んでいる。パブリックコンサルテーションを経て、最終版では、寄せられたコメントやフィードバックに対応するため、文言の更新とさらなる明確化が行われている。特に、ガイドラインのタイトルが変更され、「ダークパターン」という用語が「ディセプティブデザインパターン」という用語に置き換えられている。さらに、デザイン思考プロセスにおける本ガイドラインの統合方法など、いくつかの説明が追加され、すべてのベストプラクティスの概要を提供する第二の附属書が追加された。

 

・2023.02.24 Guidelines 05/2021 on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR

・[PDF

20230228-43049 

・[DOCX] 仮訳

 

エグゼクティブサマリー...

EXECUTIVE SUMMARY  エグゼクティブサマリー 
The GDPR does not provide for a legal definition of the notion “transfer of personal data to a third country or to an international organisation”. Therefore, the EDPB provides these guidelines to clarify the scenarios to which it considers that the requirements of Chapter V should be applied and, to that end, it has identified three cumulative criteria to qualify a processing operation as a transfer:  GDPRは、「個人データの第三国または国際機関への移転」という概念の法的な定義を定めていない。そこで、EDPBは、第5章の要件が適用されるべきと考えるシナリオを明確にするために本ガイドラインを提供し、そのために、処理操作を移転と認定するための3つの累積的基準を特定した。 
1)     A controller or a processor (“exporter”) is subject to the GDPR for the given processing.  1)     管理者または処理者(「越境送信者」)は、所定の処理についてGDPRの適用を受ける。 
2)     The exporter discloses by transmission or otherwise makes personal data, subject to this processing, available to another controller, joint controller or processor (“importer”).  2)     越境送信者は、この処理の対象となる個人データを、他の管理者、共同管理者または処理者(「越境受信者」)に伝送することにより開示し、またはその他の方法で利用可能にする。 
3)     The importer is in a third country, irrespective of whether or not this importer is subject to the GDPR for the given processing in accordance with Article 3, or is an international organisation.  3)     越境受信者が第三国にいる場合。この越境受信者が第3条に従って所定の処理についてGDPRの適用を受けるかどうか、または国際組織であるかどうかは関係ない。
If the three criteria as identified by the EDPB are met, there is a transfer and Chapter V of the GDPR is applicable. This means that the transfer can only take place under certain conditions, such as in the context of an adequacy decision from the European Commission (Article 45) or by providing appropriate safeguards (Article 46). The provisions of Chapter V aim at ensuring the continued protection of personal data after they have been transferred to a third country or to an international organisation.  EDPBによって特定された3つの基準を満たす場合、移転が行われ、GDPRの第5章が適用される。つまり、欧州委員会の妥当性決定(第45条)や適切な保護措置の提供(第46条)など、一定の条件下でのみ移転が可能になる。第5章の規定は、第三国または国際機関に移転された後の個人データの継続的な保護を確保することを目的としている。 
Conversely, if the three criteria are not met, there is no transfer and Chapter V of the GDPR does not apply. In this context, it is however important to recall that the controller must nevertheless comply with the other provisions of the GDPR and remains fully accountable for its processing activities, regardless of where they take place. Indeed, although a certain data transmission may not qualify as a transfer according to Chapter V, such processing can still be associated with increased risks since it takes place outside the EU, for example due to conflicting national laws or disproportionate government access in the third country. These risks need to be considered when taking measures under, inter alia, Article 5 (“Principles relating to processing of personal data”), Article 24 (“Responsibility of the controller”) and Article 32 (“Security of processing”) – in order for such processing operation to be lawful under the GDPR.  逆に、3つの基準が満たされない場合は、移転は行われず、GDPRの第5章は適用されない。しかし、この文脈では、管理者はGDPRの他の条項を遵守しなければならず、処理活動がどこで行われるかにかかわらず、その処理活動に対する全責任を負い続けることを想起することが重要である。実際、特定のデータ転送が第5章に基づく移転として適格でないとしても、そのような処理は、例えば、矛盾する国内法や第三国における不当な政府アクセスなどにより、EU域外で行われるため、リスクが増大する可能性がある。こうしたリスクは、特に第5条(「個人データの処理に関する原則」)、第24条(「管理者の責任」)および第32条(「処理の安全性」)に基づく措置を講じる際に考慮する必要があり、こうした処理作業がGDPRの下で合法であるようにするためである。 
These guidelines include various examples of data flows to third countries, which are also illustrated in an Annex in order to provide further practical guidance.   このガイドラインには、第三国へのデータフローに関する様々な事例が含まれており、さらに実践的なガイダンスを提供するために、附属書として図解も行っている。  

 

目次...

Executive summary エグゼクティブサマリー
1  Introduction 1 はじめに
2  Criteria to qualify a processing operation as a transfer of personal data to a third country or to an international organisation 2 第三国または 国際機関への個人データの移転として処理操作を認定するための基準
2.1  A controller or a processor (“exporter”) is subject to the GDPR for the given processing 2.1 管理者または処理者(「越境送信者」)は、所定の処理についてGDPRの適用を受ける。
2.2  The exporter discloses by transmission or otherwise makes personal data, subject to this processing, available to another controller, joint controller or processor (“importer”) 2.2 越境送信者が、この処理の対象となる個人データを、他の管理者、共同管理者または処理者(「越境受信者」)に伝送またはその他の方法で開示する場合。
2.3  The importer is in a third country, irrespective of whether or not this importer is subject to the GDPR for the given processing in accordance with Article 3, or is an international organisation 2.3 越境受信者が第三国にいる場合。この越境受信者が第3条に従って所定の処理についてGDPRの適用を受けるかどうか、または国際組織であるかどうかは関係ない。
3  Consequences in case a transfer of personal data takes place 3 個人情報の移転が行われた場合の影響
4  Safeguards to be provided if personal data are processed outside the EEA but no transfer takes place 4 個人データがEEA域外で処理され、移転が行われない場合に提供されるべき保護措置
Annex: Illustrations of Examples 1–12 附属書:例題1~12の図解

 

 

 

 

・2023.02.24 Guidelines 07/2022 on certification as a tool for transfers

・[PDF]

20230228-43100 

・[DOCX] 仮訳

 

 

エグゼクティブサマリー...

EXECUTIVE SUMMARY  エグゼクティブサマリー 
The GDPR requires in its Article 46 that data exporters shall put in place appropriate safeguards for transfers of personal data to third countries or international organisations. To that end, the GDPR diversifies the appropriate safeguards that may be used by data exporters under Article 46 for framing transfers to third countries by introducing, amongst others, certification as a new transfer mechanism (Articles 42 (2) and 46 (2) (f) GDPR).   GDPRは、その第46条において、データ越境送信者が第三国または国際機関への個人データの移転について適切な保護措置を講じることを求めている。そのため、GDPRは、新たな移転メカニズムとして認証を導入するなどして、データ越境送信者が第三国への移転の際に第46条に基づいて行うことができる適切な保護措置を多様化している(GDPR42条(2)、46条(2)(f))。  
These guidelines provide guidance as to the application of Article 46 (2) (f) of the GDPR on transfers of personal data to third countries or to international organisations on the basis of certification. The document is structured in four sections with an Annex.  このガイドラインは、認証に基づく第三国または国際機関への個人データの移転に関するGDPR第46条(2)項(f)の適用に関するガイダンスを提供するものである。本書は、4つのセクションと附属書で構成されている。 
Part one of this document ("GENERAL") clarifies that the guidelines supplement the already existing general Guidelines 1/2018 on certification and addresses specific requirements from Chapter V of the GDPR when certification is used as a transfer tool. According to Article 44 of the GDPR, any transfer of personal data to third countries or international organisations, must meet the conditions of the other provisions of the GDPR in addition to complying with Chapter V of the GDPR. Therefore, as a first step, compliance with the general provisions of the GDPR must be ensured and, as a second step, the provisions of Chapter V of the GDPR must be complied with. The actors who are involved and their core roles in this context are described, with a special focus on the role of the data importer who will be granted a certification and of the data exporter who will use it as a tool to frame its transfers (considering that the responsibility for data processing compliance remains with the data exporter). In this context the certification can also include measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data. Part one of the guidelines also contains information on the process for obtaining a certification to be used as tool for transfers.  本書の第1部(「一般」)では、本ガイドラインが認証に関する既に存在する一般的なガイドライン1/2018を補足し、認証が移転ツールとして使用される場合のGDPR第5章からの特定の要件に対処することを明確にしている。GDPR第44条によると、個人データを第三国または国際機関に移転する場合、GDPR第5章を遵守することに加え、GDPRの他の規定の条件も満たさなければならない。したがって、第一段階として、GDPRの一般条項の遵守を確保し、第二段階として、GDPRの第5章の規定を遵守する必要があるのである。この文脈で関係するアクターとその中心的な役割について説明する。特に、認証を受けるデータ越境受信者と、データ移転の枠組みを作るツールとして認証を利用するデータ越境送信者の役割に焦点を当てる(データ処理遵守の責任はデータ越境送信者にあることを考慮する)。この文脈では、認証には、個人データの保護に関するEUの水準への準拠を確保するための移転ツールを補完する措置も含めることができる。ガイドラインのパート1には、移転のためのツールとして使用する認証の取得プロセスに関する情報も含まれている。 
The second part of these guidelines (“IMPLEMENTING GUIDANCE ON THE ACCREDITATION REQUIREMENTS”) recalls that the requirements for accreditation of a certification body are to be found in ISO 17065 and by interpreting the Guidelines 4/2018 on the accreditation of certification bodies under Article 43 of the GDPR and its Annex against the background of Chapter V. However, in the context of a transfer, these guidelines further explain some of the accreditation requirements applicable to the certification body.   本ガイドラインの第2部(「認定要件に関するガイドラインの実施」)では、認証機関の認定要件がISO 17065にあることを想起し、第5章を背景にGDPR第43条及びその附属書に基づく認証機関の認定に関するガイドライン4/2018の解釈により、認証機関に適用される認定要件の一部をさらに解説している。  
The third part of these guidelines ("SPECIFIC CERTIFICATION CRITERIA") provides for guidance on the certification criteria already listed in Guidelines 1/2018 and establishes additional specific criteria that should be included in a certification mechanism to be used as a tool for transfers to third countries. These criteria cover the assessment of the third country legislation, the general obligations of exporters and importers, rules on onward transfers, redress and enforcement, process and actions for situations in which national legislation and practices prevents compliance with commitments taken as part of certification and requests for data access by third country authorities.   本ガイドラインの第3部(「SPECIFIC CERTIFICATION CRITERIA」)は、ガイドライン1/2018に既に記載されている認証基準に関する指針を提供し、第三国への移転のツールとして使用する認証メカニズムに含まれるべき追加の特定の基準を確立するものである。これらの基準は、第三国の法律の評価、越境送信者および越境受信者の一般的な義務、前方移転に関する規則、救済および執行、国内の法律および慣行が認証の一部としてとられたコミットメントの遵守を妨げる状況に対するプロセスおよび措置、第三国当局によるデータアクセス要求などを対象としている。  
Part four of these guidelines (“BINDING AND ENFORCEABLE COMMITMENTS TO BE IMPLEMENTED“) provides elements that should be addressed in the binding and enforceable commitments that controllers or processors not subject to the GDPR should take for the purpose of providing appropriate safeguards to data transferred to third countries. These commitments, which may be set out in different instruments including contracts, shall in particular include a warranty that the importer has no reason to believe that the laws and practices in the third country applicable to the processing at stake, including any requirements to disclose personal data or measures authorising access by public authorities, prevent it from fulfilling its commitments under the certification.   本ガイドラインの第4章(「実施すべき拘束力及び強制力のあるコミットメント」)では、第三国に移転するデータに適切なセーフガードを提供する目的で、GDPRの適用を受けない管理者または処理者が取るべき拘束力及び強制力のあるコミットメントにおいて対処すべき要素を提示している。これらの約束は、契約を含むさまざまな文書で定めることができるが、特に、個人データの開示要件または公的機関によるアクセスを許可する措置を含め、問題となっている処理に適用される第三国の法律および慣行が、越境受信者が認証に基づく約束の履行を妨げると考える理由がないことを保証することが含まれる。  
The ANNEX of these guidelines contains some examples of supplementary measures in line with those listed in Annex II Recommendations 01/2020 (Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data) in the context of the use of a certification as a tool for transfers. Examples are constructed with a view to raise attention to critical situations.   本ガイドラインの 附属書 には、附属書 II 勧告 01/2020(個人情報の保護に関する EU レベルの遵守を確保するために移転ツールを補完する措置に関する勧告 01/2020)に記載されたものに沿って、移転のためのツールとして認証を使用する場合の補完措置の例をいくつか挙げている。事例は、危機的状況への注意を喚起する観点から構成されている。  

 

目次...

EXECUTIVE SUMMARY  エグゼクティブサマリー
1 GENERAL  1 一般
1.1 Purpose and scope  1.1 目的と範囲
1.2 General rules applicable to international transfers  1.2 国際送金に適用される一般的な規則
1.3 Who are the actors involved and what is their role for certification as a tool for transfers?  1.3 移転のためのツールとしての認証に関わるアクターは誰か、またその役割は?
1.4 What are the scope and the object of certification as a tool for transfers?  1.4 移転のためのツールとしての認証の範囲と対象は何であるか?
1.5 What should be the role of the exporter in the use of certification as tool for transfers?  1.5 移転のためのツールとしての認証の利用における越境送信者の役割はどうあるべきか?
1.6 What is the process for certification as a tool for transfers?  1.6 乗り換えのためのツールとしての認証はどのようなプロセスで行われるのであるか?
2 IMPLEMENTING GUIDANCE ON THE ACCREDITATION REQUIREMENTS  2 認定要件に関するガイダンスの実施
3 SPECIFIC CERTIFICATION CRITERIA  3 特定認証基準
3.1 IMPLEMENTING GUIDANCE ON THE CERTIFICATION CRITERIA  3.1 認証基準に関するガイダンスの実施
3.2 ADDITIONAL SPECIFIC CERTIFICATION CRITERIA  3.2 追加の特定認証基準
1. Assessment of the third country legislation  1. 第三国の法規制の評価
2. General obligations of exporters and importers  2. 輸出入者の一般的な義務
3. Rules on onward transfers  3. 乗り換えに関するルール
4. Redress and Enforcement  4. 救済と執行
5. Process and actions for situations in which national legislation prevents compliance with commitments taken as part of certification  5. 国内法令により、認証の一部として行われる約束の遵守が妨げられる場合のプロセスおよび対応策
6. Dealing with requests for data access by third country authorities  6. 第三国当局からのデータアクセス要求への対応
7. Additional safeguards concerning the exporter  7. 越境送信者に関する追加セーフガード
4 BINDING AND ENFORCEABLE COMMITMENTS TO BE IMPLEMENTED  4 実行すべき拘束力のあるコミットメント
ANNEX  附属書
A. EXAMPLES OF SUPPLEMENTARY MEASURES TO BE IMPLEMENTED BY THE IMPORTER IN CASE THE TRANSIT IS INCLUDED IN THE SCOPE OF CERTIFICATION  A.移送が認証範囲に含まれる場合に、越境受信者が実施すべき補完措置の例
B. EXAMPLES OF SUPPLEMENTARY MEASURES IN CASE THE TRANSIT IS NOT COVERED BY THE CERTIFICATION AND THE EXPORTER HAS TO ENSURE THEM  B.移送が認証の対象外で、越境送信者がそれを確保しなければならない場合の補足措置の例

 

 

 

 

| | Comments (0)

2023.02.27

内閣官房 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議

こんにちは、丸山満彦です。

高市早苗経済安全保障担当大臣の下に「経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議」が設置され、第一回の会合が開催されましたね。。。「主要国の情報保全の在り方や産業界等のニーズを踏まえ、セキュリティ・クリアランス制度等について検討を行う」ことが目的ということのようですね。。。

経済安全保障に限定するんですかね。。。

20230225-234415

(資料3 P3-4)

 

議論する内容...


 経済安全保障の観点から、セキュリティ・クリアランス制度をもって保護すべき重要な情報・モノとしては、どのようなものが考えられるか。

 日本企業が外国でセキュリティ・クリアランスの保有を求められるケースとして、どのような場面が想定されるか。また、どのような情報にアクセスしようとする際に求められると想定されるか。

 日本企業による国際的なビジネスを推進していくためには、どのような制度が望ましいと考えられるか。

 上記のほか、現行制度や企業等における実務との関係で制度設計に当たって留意すべき事項・論点はどのようなものがあるか。


(資料3 P7)

 

 


経済安全保障推進会議における総理発言(令和5年2月14日)

セキュリティ・クリアランスを含む我が国の情報保全の強化は、同盟国や同志国等との円滑な協力のために重要であるほか、さらに、こうした制度を整備することは、産業界の国際的なビジネスの機会の確保・拡充にもつながることが期待できます。


このため、昨年決定した新たな国家安全保障戦略でも示したとおり、主要国の情報保全の在り方や産業界等のニーズも踏まえ、経済安全保障分野におけるセキュリティ・クリアランス制度の法整備等に向けた検討を進める必要があります。

高市経済安全保障担当大臣におかれては、経済安全保障分野におけるセキュリティ・クリアランス制度のニーズや論点等を専門的な見地から検討する有識者会議を立ち上げ、今後1年程度をめどに、可能な限り速やかに検討作業を進めてください。

この検討に付随する関係省庁との調整等についても、高市大臣にお願いいたします。

関係大臣におかれては、高市大臣と緊密に連携しながら、我が国の情報保全の強化に向け、政府一丸となって取り組むようにしてください。


(資料3 P6) 

 

 

内閣官房 - 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議

・・[PDF] 根拠・構成員

・2023.02.22 第1回

・・[PDF] 議事次第

・・[PDF] 資料1 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議の開催について

・・[PDF] 資料2 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議運営要領

・・[PDF] 資料3 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議

20230225-234618

・・議事要旨

 

 


参考

U.S.の場合...

国家安全保障上の機密情報へのアクセスを許可するためにセキュリティクリアランス制度がありますね。。。

 

U.S. Statement of State  - Bureau of Diplomatic Security

制度概要

Security Clearances

ポリシー

Security Executive Agent:  Policy


Sos

大統領令

・1995.08.02 Executive Order 12968 [wikipedia] [wikisource]

 

 

| | Comments (0)

2023.02.26

NHK 映像の世紀 バタフライエフェクト ロックが壊した冷戦の壁SP

こんにちは、丸山満彦です。

これ面白かったです。(David Bowieが好きだからだけではなく...David BowieのCDはほぼ全て持っていました。。。場所がなく捨てましたが。。。今はオンラインで聴けますからね...)

作品自体は過去の「映像の世紀」を再編集しているのでしょうが、、、時間がある方は是非...(NHK+で見られるのは、2023.03.04 16:17まで)

 

NHK 

・2023.02.25 バタフライエフェクト ロックが壊した冷戦の壁SP

20230226-02947

 

いつも時代は若者が作っていかないといけないのではないかなぁ...と思いました。。。年配者が過去の経験に基づいて若者を押さえつけてリードをしている国や組織というのは、やがて衰退していくのでしょうね。。。

若者がリードをする、年配者が少しアドバイスをする、くらいがちょうど良いのかもしれません、、、勢いよく前に進む、多少のミスはある。でも、何もできなくなり、前にも進んでいないよりも良い。。。

 

 

 

 

| | Comments (0)

NIST 「NISTIR 8011 Vol.1. セキュリティコントロールアセスメントの自動化支援:第1巻:概要」についての意見募集

こんにちは、丸山満彦です。

NISTが、すでに公表され、利用されている「NISTIR 8011 Vol.1. セキュリティコントロールアセスメントの自動化支援。第1巻:概要」について、使い勝手や、内容についての改善が必要ないか、意見募集をしていますね。。。

NISTIR 8011シリーズは、コントロールの評価という意味では興味深い文書ですので、この第1巻の概要については目を通していても良いかもですね。。。

特にNIST SP800-171とかに興味がある人とか...

 

NIST - ITL

・2023.02.22 Call for Feedback: NIST IR 8011 Series Adoption

Call for Feedback: NIST IR 8011 Series Adoption フィードバックの募集 NIST IR 8011 シリーズ
NIST Interagency Report (IR) 8011, Automation Support for Security Control Assessments, provides guidance on automating the assessment of controls that can be tested. This series of technical publications, based on NIST Special Publication (SP) 800-53 controls and SP 800-53A control assessment procedures, is organized into multiple volumes, each dedicated to addressing a specific security capability (security capabilities are groups of controls that support a common purpose). Previously published volumes, which were based on SP 800-53, Revision 4, are being revised. New volumes covering additional security capabilities are being developed.  「NIST 内部報告 (IR) 8011 セキュリティコントロールアセスメントの自動化支援」 は、テスト可能なコントロールの評価を自動化するためのガイダンスを提供する。この一連の技術文書は、NIST 特別発行物 (SP) 800-53のコントロールとSP 800-53Aのコントロール評価手順に基づき、複数の巻で構成され、それぞれが特定のセキュリティ能力(セキュリティ能力は、共通の目的を支援するコントロールのグループ)を扱うことに特化している。SP 800-53改訂4版に基づいて発行された既刊の巻は改訂されている。また、追加のセキュリティ能力をカバーする新版が開発されている。 
The NIST Risk Management Framework (RMF) team seeks feedback from individuals and organizations who have used our guidance for supporting automated security control assessments. We would like to better understand the use of the IR 8011 series by adopters, success stories, what adopters liked/disliked about the methodology and about the series overall, the challenges (if any) adopters faced during implementation, and how we can improve the entire series – from the proposed methodology to ways to facilitate its adoption. NISTリスクマネジメントフレームワーク(RMF)チームは、自動化されたセキュリティ対策の評価を支援するためにNISTのガイダンスを使用したことのある個人および組織からのフィードバックを求めている。 IR 8011シリーズの採用者による使用状況、成功事例、採用者が手法やシリーズ全体について好きなこと/嫌いなこと、導入時に直面した課題(もしあれば)、提案した手法から採用を促進する方法まで、シリーズ全体を改善できる方法をよりよく理解したいと思っている。
... ...
We are looking specifically for information such as: 具体的には、以下のような情報を求めている。
・Adoption Status (e.g., used guidance in the past; currently use; planning to use). ・採用状況(例:過去にガイダンスを使用した、現在使用中、使用予定)。
・How the IR 8011 Series is Being Used – and by Whom (e.g., applied guidance in-house [i.e., for internal operations] or developed a solution that can be used by other organizations [e.g., adoption by a service/solution provider]). ・IR8011シリーズがどのように利用されているか、また、誰によって利用されているか(例:ガイダンスを社内で適用した(例:社内業務用)、他の組織が利用できるソリューションを開発した(例:サービス/ソリューションプロバイダによる採用))。
・Implementation Success (e.g., strengths and benefits of the IR 8011 series; what worked well to support implementation; ROI from the adoption of IR 8011). ・導入の成功事例(例:IR8011シリーズの長所と利点、導入を支援するためにうまくいったこと、IR8011の採用によるROIなど)。
・Implementation Challenges and Opportunities (e.g., issues/concerns – and what can be considered for addressing them – and areas that can be improved). ・導入の課題と機会(例:問題/懸念事項、その対処のために考慮できること、改善可能な分野)。
・Level of Interest (if a NIST IR 8011 Interest Group is established, would you be interested in joining it to share ideas and information with other 8011 adopters or interested parties?) ・興味の度合い(NIST IR 8011 Interest Groupが設立された場合、他の8011採用者や関係者とアイデアや情報を共有するために参加することに興味があるか?)
Feedback received will not be published or shared. There is no due date to respond (feedback can be provided at any time); however, the sooner the feedback is received, the sooner it may be considered, and possibly reflected on revisions and new development.  受け取ったフィードバックは公開、共有されない。回答期限はない(フィードバックはいつでも提供できる)。しかし、フィードバックを早く受け取れば受け取るほど、早く検討され、改訂や新規開発に反映される可能性がある。 

 

・2023.02.22 NISTIR 8011 Vol. 1 Automation Support for Security Control Assessments: Volume 1: Overview

NISTIR 8011 Vol. 1. Automation Support for Security Control Assessments: Volume 1: Overview NISTIR 8011 Vol.1. セキュリティコントロールアセスメントの自動化支援。第1巻:概要
Abstract 概要
This volume introduces concepts to support automated assessment of most of the security controls in NIST Special Publication (SP) 800-53. Referencing SP 800-53A, the controls are divided into more granular parts (determination statements) to be assessed. The parts of the control assessed by each determination statement are called control items. The control items are then grouped into the appropriate security capabilities. As suggested by SP 800-53 Revision 4, security capabilities are groups of controls that support a common purpose. For effective automated assessment, testable defect checks are defined that bridge the determination statements to the broader security capabilities to be achieved and to the SP 800-53 security control items themselves. The defect checks correspond to security sub-capabilities—called sub-capabilities because each is part of a larger capability. Capabilities and sub-capabilities are both designed with the purpose of addressing a series of attack steps. Automated assessments (in the form of defect checks) are performed using the test assessment method defined in SP 800-53A by comparing a desired and actual state (or behavior). この巻では、NIST Special Publication (SP) 800-53のほとんどのセキュリティコントロールの自動アセスメントを支援するための概念を紹介している。SP 800-53Aを参照し、コントロールはより細かい部分(判断文)に分割され、評価される。各決定文で評価されるコントロールの部分は、コントロールアイテムと呼ばれる。そして、管理項目は、適切なセキュリティ能力にグループ化される。SP 800-53 改訂4版で提案されているように、セキュリティ能力は、共通の目的を支援する統制のグループである。効果的な自動アセスメントのために、テスト可能な欠陥チェックを定義し、決定ステートメントと達成すべき広範なセキュリティ能力およびSP 800-53セキュリティ管理項目そのものとの橋渡しをする。欠陥チェックは、セキュリティの下位能力に対応する。下位能力とは、それぞれがより大きな能力の一部であることを意味する。能力とサブ能力は、いずれも一連の攻撃手順に対処する目的で設計されている。自動化された評価(欠陥チェックの形式)は、SP800-53Aで定義されたテスト評価方法を用いて、望ましい状態と実際の状態(または動作)を比較することで実施される。

 

・[PDF] NISTIR 8011 Vol. 1 (DOI)

20230225-63414

 

エグゼクティブサマリー...

Executive Summary  エグゼクティブサマリー 
Evolving threats create a challenge for organizations that design, implement, and operate complex systems containing many moving parts. The ability to assess all implemented information security controls as frequently as needed using manual procedural methods is impractical and unrealistic for most organizations due to the sheer size, complexity, and scope of their information technology footprint. Additionally, the rapid deployment of new technologies such as mobile, cloud, and social media brings with it new risks that make ongoing manual procedural assessments of all controls impossible for the vast majority of organizations. Today there is broad agreement in the information security community that once a system is in production, automation of security control assessments[1] is needed to support and facilitate near real-time information security continuous monitoring (ISCM).   進化する脅威は、多くの可動部品を含む複雑なシステムを設計、実装、運用する組織にとっての課題となっている。実装されているすべての情報セキュリティ対策を、手作業による手順で必要な頻度で評価することは、情報技術の規模、複雑さ、範囲が非常に大きいため、ほとんどの組織にとって非現実的であり、非現実的なことなのである。さらに、モバイル、クラウド、ソーシャルメディアなどの新技術の急速な普及は、新たなリスクをもたらし、大多数の組織にとって、すべての対策を手作業で継続的に評価することを不可能にする。今日、情報セキュリティコミュニティでは、システムが本稼働したら、ほぼリアルタイムの情報セキュリティ継続的監視(ISCM)を支援し促進するために、セキュリティ制御評価の自動化[1]が必要であるという点で広く合意されている。 
In September 2011, as part of Office of Management and Budget (OMB) memorandum M-11- 2011 年 9 月、米行政管理予算局(OMB) の覚書 M-11-33[2] の一部として、OMB はセキュリティ制御評価の自動化を承認した。
33,[2] OMB approved the transition from a static every-three-year security authorization process to an ongoing authorization process via ISCM. Also in September 2011, NIST published SP 800137, Information Security Continuous Monitoring for Federal Information Systems and Organizations, which provided management-level guidance on developing an ISCM strategy and implementing an ISCM program. However, many federal organizations were finding the technical implementation to be challenging.   33の一部として、OMBは、3年ごとの静的なセキュリティ認可プロセスから、ISCMによる継続的な認可プロセスへの移行を承認した。また、2011年9月には、NISTがSP 800-137「連邦政府の情報システムおよび組織における情報セキュリティの継続的モニタリング」を発表し、ISCM戦略の策定とISCMプログラムの導入に関するマネジメントレベルのガイダンスを提供した。しかし、多くの連邦政府機関は、技術的な導入に困難を感じていた。 
Recognizing this challenge, the United States Congress funded the Continuous Diagnostics and Mitigation (CDM) program in 2012 at the Department of Homeland Security (DHS). The DHS CDM program is designed to facilitate automated security control assessment and continuous monitoring that is consistent with NIST guidance by providing a robust, comprehensive set of monitoring tools, an ISCM dashboard, and implementation assistance.   この課題を認識し、米国議会は2012年に国土安全保障省(DHS)の継続的診断・軽減(CDM)プログラムに資金を提供した。DHSのCDMプログラムは、堅牢で包括的な監視ツール、ISCMダッシュボード、および実装支援を提供することにより、NISTの指針に合致した自動セキュリティ制御評価と継続的監視を促進するように設計されている。
In November 2013 OMB issued Memorandum M-14-03,[3] which provided instructions and deadlines to federal organizations for development of an ISCM strategy and program. M-14-03 stated that each organization may follow one of three approaches for ISCM: 1) develop its own ISCM program; 2) leverage the CDM program from DHS; or 3) establish a hybrid program between its own ISCM program and the DHS CDM program.  2013年11月にOMBが発行したM-14-03[3]は、ISCM戦略およびプログラムの開発について、連邦政府組織への指示と期限を定めたものである。M-14-03では、各組織はISCMについて、次の3つのアプローチのいずれかに従うことができると述べている:1)独自のISCMプログラムを開発する、2)DHSのCDMプログラムを活用する、3)独自のISCMプログラムとDHS CDMプログラムとのハイブリッドプログラムを確立する。
This NIST Interagency Report (NISTIR) supports all three of the ISCM approaches in M-14-03 and represents a joint effort between NIST and DHS to provide an operational approach for automating assessments of the selected and implemented security controls from SP 800-53 that is also consistent with the guidance in SP 800-53A.   このNIST 内部報告(NISTIR)は、M-14-03の3つのISCMアプローチすべてを支援し、SP 800-53の選択および実装されたセキュリティコントロールの評価を自動化するための運用アプローチを提供するNISTとDHSの共同作業であり、SP 800-53Aの指針とも整合している。 
Organizations implementing ISCM and automating security control assessments using the methods described herein are encouraged to share the results with both NIST and DHS so that lessons learned can be shared broadly. If needed, this document will be revised and/or supplemented to document such best practices.  ISCMを実施し、ここに記載された方法を使用してセキュリティ対策の評価を自動化する組織は、その結果をNISTおよびDHSの両者と共有し、得られた教訓を広く共有できるようにすることが奨励される。必要に応じて、この文書はそのようなベストプラクティスを文書化するために改訂および/または補足される予定である。
[1] See glossary for definition of ongoing assessment.  [1] 継続的評価の定義については、用語集を参照のこと。
[2] OMB Memos M-11-33 and M-14-03 are no longer available and are referenced here for historical purposes. OMB Circular A-130 provides federal-wide information security policy.   [2] OMB Memos M-11-33 および M-14-03 は既に公開されていないため、ここでは歴史的な目的で参照されている。OMB Circular A-130は、連邦政府全体の情報セキュリティ政策を規定している。 
[3] See Footnote 2.  [3] 脚注2を参照。

 

 

目次...

Executive Summary エグゼクティブサマリー
1. Introduction 1. 序文
1.1 Purpose and Scope 1.1 目的と範囲
1.2 Target Audience 1.2 対象読者
1.3 Organization of Volume 1 1.3 第1巻の構成
2. Overview of an Automated Security Control Assessment Process 2. 自動化されたセキュリティコントロール評価プロセスの概要
2.1 Prerequisites to Automated Security Control Assessment 2.1 セキュリティコントロール評価の自動化の前提条件
2.2 Automating the Test Assessment Method 2.2 テスト評価手法の自動化
2.2.1 Terms for Referring to Assessment Objects 2.2.1 評価対象を参照するための用語
2.3 Factors for Determining When to Trust Automated Ongoing Assessments 2.3 自動化された継続的な評価を信頼するタイミングを決定するための要因
2.4 An Automated Security Control Assessment Program: ISCM 2.4 自動化されたセキュリティコントロールの評価プログラム:ISCM
2.5 Preparing for Automated Security Control Assessments 2.5 自動化されたセキュリティコントロールの評価のための準備
3. Focusing Security Control Assessments on Security Results 3. セキュリティコントロールの評価をセキュリティ結果に集中させる
3.1 Applying Security Capabilities to Automated Assessments 3.1 自動アセスメントへのセキュリティ能力の適用
3.1.1 Supports Strong Systems Engineering of Security Capabilities 3.1.1 セキュリティ能力の強力なシステムエンジニアリングの支援
3.1.2 Supports Guidance for Control Selection 3.1.2 コントロールの選択に関するガイダンスの支援
3.1.3 Simplifies Understanding of the Overall Protection Process 3.1.3 保護プロセス全体の理解の簡素化
3.1.4 Enables Assessment of Security Results at a Higher Level than Individual Controls 3.1.4 個別のコントロールよりも上位のレベルでセキュリティ結果の評価を可能にする
3.1.5 Improves Risk Management by Measuring Security Results More Closely Aligned with Desired Business Results 3.1.5 望ましいビジネス上の成果により近いセキュリティ成果を測定することによるリスクマネジメントの改善
3.2 Attack Steps 3.2 攻撃のステップ
3.2.1 Adversarial Attack Step Model 3.2.1 敵対的攻撃ステップモデル
3.3 Security Capabilities 3.3 セキュリティ能力
3.3.1 SP 800-53 Control Families and Security Capabilities 3.3.1 SP 800-53 コントロールファミリーとセキュリティ能力
3.3.2 SP 800-137 Security Automation Domains and Security Capabilities 3.3.2 SP 800-137 セキュリティオートメーションドメインとセキュリティ能力
3.3.3 Using Security Capabilities in Security Control Assessment 3.3.3 セキュリティコントロールの評価におけるセキュリティ能力の使用
3.3.4 Security Capabilities and ISCM 3.3.4 セキュリティ能力とISCM
3.3.5 Example Security Capabilities Listed and Defined 3.3.5 セキュリティ能力のリストアップと定義の例
3.3.6 Tracing Requirements: Mapping Capability to Attack Steps 3.3.6 要件のトレース:能力から攻撃ステップへのマッピング
3.3.7 Organization-Defined Security Capabilities 3.3.7 組織で定義されたセキュリティ能力
3.4 Sub-Capabilities 3.4 サブ能力
3.4.1 Examples of Sub-Capabilities (from HWAM) 3.4.1 サブ能力の例(HWAMより)
3.4.2 Tracing Sub-Capabilities to Attack Steps 3.4.2 攻撃ステップへのサブ能力のトレース
3.5 Security Control Items 3.5 セキュリティ管理項目
3.5.1 Tracing Security Control Items to Attack Steps 3.5.1 セキュリティ管理項目から攻撃ステップへのトレース
3.5.2 Tracing Security Control Items to Capabilities 3.5.2 セキュリティ制御項目から能力へのトレース
3.5.3 Tracing Security Control Items to Sub-Capabilities 3.5.3 セキュリティ管理項目からサブキャパシティへの追跡
3.6 Synergies Across Each Abstraction Level 3.6 各抽象レベル間の相乗効果
3.6.1 Multiple Capabilities Support Addressing Each Attack Step 3.6.1 各攻撃ステップに対応するための複数の能力
3.6.2 Many Controls Support Multiple Capabilities 3.6.2 多くの制御が複数の能力を支援する
4. Using Actual State and Desired State Specification to Detect Defects 4. 実際の状態と望ましい状態の仕様による欠陥の検出
4.1 Actual State and Desired State Specification 4.1 実状と希望する状態仕様
4.2 Collectors and the Collection System 4.2 収集装置と収集システム
4.2.1 Actual State Collectors 4.2.1 実状収集装置
4.2.2 Collection of Desired State Specifications 4.2.2 望ましい状態の仕様の収集
4.2.3 The Collection System 4.2.3 収集システム
4.3 Authorization Boundary and Assessment Boundary 4.3 認可境界とアセスメント境界
4.3.1 System Authorization Boundary 4.3.1 システム認可境界
4.3.2 ISCM Assessment Boundary 4.3.2 ISCMアセスメント境界
4.3.3 Tracing System Risk to its Sources 4.3.3 システムリスクの発生源へのトレース
4.4 The Desired State Specification 4.4 望ましい状態の仕様
4.4.1 Types of Desired State Specifications 4.4.1 望ましい状態の仕様の種類
4.4.2 Desired State Specification Reflects Policy 4.4.2 ポリシーを反映した望ましい状態の仕様
4.4.3 Desired State Specification Demonstrates the Existence of Policy 4.4.3 望ましい状態仕様はポリシーの存在を証明する
4.5 Using Automation to Compare Actual State and Desired State Specification 4.5 実状と望ましい状態を比較するためのオートメーションの利用
5. Defect Checks 5. 欠陥チェック
5.1 Defect Checks and Determination Statements 5.1 欠陥チェックと判定ステートメント
5.2 Interpreting Defect Checks as Tests of Control Items 5.2 欠陥検査はコントロール項目のテストと解釈する
5.3 Interpreting Defect Checks as Tests of Sub-Capabilities and Control Items 5.3 サブ能力およびコントロール項目のテストとしての欠陥チェックの解釈
5.4 Defect Check Documentation 5.4 欠陥チェックの文書化
5.5 Data Quality Measures 5.5 データ品質対策
5.6 Assessment Criteria Device Groupings to Consider 5.6 評価基準 デバイスのグループ化を考慮する
5.7 Why Not Call Defects Vulnerabilities or Weaknesses? 5.7 欠陥を脆弱性または弱点と呼ばない理由は?
5.8 Security Controls Selected/Not Selected and Defect Checks 5.8 セキュリティコントロールの選択/非選択と欠陥チェック
5.9 Foundational and Local Defect Checks 5.9 基礎的な欠陥と局所的な欠陥チェック
5.10 Documenting Tailoring Decisions 5.10 テーラリングの決定の文書化
6. Assessment Plan Documentation 6. 評価計画書の文書化
6.1 Introduction to Security Assessment Plan Narratives 6.1 セキュリティアセスメント計画書の序文
6.2 Assessment Scope 6.2 評価の範囲
6.3 Determination Statements within the Narratives 6.3 ナラティブ内の決定ステートメント
6.4 Roles and Assessment Methods in the Narratives 6.4 ナラティブにおける役割と評価方法
6.5 Defect Check Rationale Table 6.5 欠陥チェックの根拠表
6.6 Tailoring of Security Assessment Plan Narratives 6.6 セキュリティアセスメント計画ナラティブのテーラリング
6.7 Control Allocation Tables 6.7 コントロールの割り当て表
6.8 Documenting Selected Controls and Tailoring Decisions 6.8 選択されたコントロールとテーラリングの決定事項の文書化
7. Root Cause Analysis 7. 根本原因の分析
7.1 Knowing Who Is Responsible 7.1 責任者の把握
7.2 Root Cause Analysis 7.2 根本原因分析
7.2.1 Root Cause Analysis How-to: Controls 7.2.1 根本原因分析ハウツー:コントロール
7.2.2 Root Cause Analysis How-to: Defect Types 7.2.2 根本原因分析ハウツー:欠陥の種類
8. Roles and Responsibilities 8. 役割と責任
8.1 SP 800-37-Defined Management Responsibilities 8.1 SP 800-37-定義された管理責任
8.2 ISCM Operational Responsibilities 8.2 ISCMの運用責任
9. Relationship of Automated Security Control Assessment to the NIST Risk Management Framework 9. 自動化されたセキュリティ対策評価と NIST リスクマネジメントフレームワークの関係
9.1 Linking ISCM to Specific RMF Assessment Tasks 9.1 ISCM と特定の RMF 評価タスクとの関連付け
Appendix A. References 附属書A. 参考文献
Appendix B. Glossary 附属書B. 用語集
Appendix C. Acronyms and Abbreviations 附属書C. 頭字語・略語

 

 

Fig01_20230225124901

Figure 1: Overview of an Automated Security Control Assessment Process

 

 

Fig03_20230225124901

Figure 3: ISCM Security Capabilities Used in this NISTIR

 

Fig05

Figure 5: ISCM Collection System

 

 

 

参考文献

Appendix A. References

POLICIES, DIRECTIVES, INSTRUCTIONS, REGULATIONS, AND MEMORANDA

  1. Office of Management and Budget Circular A-130, July, 2016.

    https://obamawhitehouse.archives.gov/sites/default/files/omb/assets/OMB/circulars/a1 30/a130revised.pdf

STANDARDS

  1. NIST National Institute of Standards and Technology Federal Information Processing Standards Publication (FIPS) 199, Standards for Security Categorization of Federal Information and Information Systems, February 2004.

    https://doi.org/10.6028/NIST.FIPS.199  

GUIDELINES AND INTERAGENCY REPORTS

  1. National Institute of Standards and Technology Special Publication (SP) 800-30 Revision 1, Guide for Conducting Risk Assessments, September 2012.

    https://doi.org/10.6028/NIST.SP.800-30r1  
  1. National Institute of Standards and Technology Special Publication (SP) 800-37 Revision 1, Guide for Applying the Risk Management Framework to Federal Information Systems: A Security Life Cycle Approach, February 2010 (updated June 5, 2014).

    https://doi.org/10.6028/NIST.SP.800-37r1  
  1. National Institute of Standards and Technology Special Publication (SP) 800-39, Managing Information Security Risk: Organization, Mission, and Information System View, March 2011.

    https://doi.org/10.6028/NIST.SP.800-39  
  2. National Institute of Standards and Technology Special Publication (SP) 800-53 Revision 4, Security and Privacy Controls for Federal Information Systems and Organizations, April 2013 (updated January 22, 2015).

    https://doi.org/10.6028/NIST.SP.800-53r4  
  1. National Institute of Standards and Technology Special Publication (SP) 800-53A Revision 4, Assessing Security and Privacy Controls in Federal Information Systems and Organizations: Building Effective Assessment Plans, December 2014 (updated December 18, 2014).

    https://doi.org/10.6028/NIST.SP.800-53Ar4

  2. National Institute of Standards and Technology Special Publication (SP) 800-115, Technical Guide to Information Security Testing and Assessment, September 2008.

    https://doi.org/10.6028/NIST.SP.800-115


  3. National Institute of Standards and Technology Special Publication (SP) 800-137, Information Security Continuous Monitoring (ISCM) for Federal Information Systems and Organizations, September 2011.

    https://doi.org/10.6028/NIST.SP.800-137

  4. National Institute of Standards and Technology Special Publication (SP) 800-160, Systems Security Engineering: Considerations for a Multidisciplinary Approach in the Engineering of Trustworthy Secure Systems, September 2016.

    https://doi.org/10.6028/NIST.SP.800-160  
  1. National Institute of Standards and Technology Interagency Report (NISTIR) 7298 Revision 2, Glossary of Key Information Security Terms, May 2013.

    https://doi.org/10.6028/NIST.IR.7298r2  
  1. National Institute of Standards and Technology Interagency Report (NISTIR) 7756 (DRAFT), CAESARS Framework Extension: An Enterprise Continuous Monitoring Technical Reference Architecture, January 2012.

    http://csrc.nist.gov/publications/PubsNISTIRs.html#NIST-IR-7756

 


 

参考...

Automation Support for Security Control Assessments: 

NISTIR 8011 Vol. 1  Overview

NISTIR 8011 Vol. 2  Hardware Asset Management

NISTIR 8011 Vol. 3  Software Asset Management

NISTIR 8011 Vol. 4  Software Vulnerability Management

 

Related NIST Publications:

 

SP 800-53A Rev. 4

SP 800-53 Rev. 4

 

| | Comments (0)

2023.02.25

NISC インターネットの安全・安心ハンドブックVer 5.00 (2023.01.31)

こんにちは、丸山満彦です。

NISCが「インターネットの安全・安心ハンドブック」を改訂し、発表していました。。。改訂のメンバーには、主査として猪俣先生のほか、データの宮本さんなどが入っていますね。。。

表紙入れて208ページの大部です。振り返ってみると、このブログではあまり取り上げていなかったですね。。。なぜだろう...

一般国民を意識したこの手の啓発資料は、各省庁で出すのではなく、テーマ毎に省庁横断で整理したほうがわかりやすいかもしれませんね。。。英国政府のように(ただ、英国政府も全体感がわかりにくいという問題はありますが。。。)

あと、PDFでの発行というのは従にして、基本はHTMLで公表するというのが良いと思います。(これも英国政府を参考にしてみてくださいませ。。。)

 

NISC

インターネットの安全・安心ハンドブック

・2023.01.31 [PDF] インターネットの安全・安心ハンドブックVer 5.00

20230225-135144

 

目次的...部分版(各章別)

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

2021.10.18 内閣官房 NISC ランサムウェア特設ページ

・2020.04.21 IPA テレワークを行う際のセキュリティ上の注意事項

 

| | Comments (0)

2023.02.24

NIST NISTIR 8320D(ドラフト)ハードウェア対応セキュリティ:ハードウェアベース・コンフィデンシャル・コンピューティング

こんにちは、丸山満彦です。

NISTがハードウェア対応セキュリティに関する内部報告 (IR) のドラフトを公表し、意見募集をしていますね。。。 DX時代...とかで、ネットワークに接続する機器等が増えるとマシンIDが増えていきますので、その管理が重要となってきますね。。。

 

NIST - ITL

・2023.02.23 Hardware Enabled Security: Draft NIST IR 8320D Available for Comment

 

Hardware Enabled Security: Draft NIST IR 8320D Available for Comment ハードウェアで実現するセキュリティ。NIST IR 8320D ドラフト版 コメント受付中
The National Cybersecurity Center of Excellence (NCCoE) has released a draft report, NIST Interagency Report (NISTIR) 8320D, Hardware Enabled Security: Hardware-Based Confidential Computing, for public comment. NISTIR 8320D is the latest in a series of reports on hardware-enabled security techniques and technologies. 国家サイバーセキュリティ・センター・オブ・エクセレンス (NCCoE) は、ドラフト報告書「NIST内部報告 (NISTIR) 8320D ハードウェア対応セキュリティ:ハードウェアベース・コンフィデンシャル・コンピューティング」を公開し、パブリックコメントを募集している。NISTIR 8320Dは、ハードウェアを利用したセキュリティ技術に関する一連の報告書の最新版である。
Organizations employ a growing volume of machine identities, often numbering in the thousands or millions per organization. Machine identities, such as secret cryptographic keys, can be used to identify which policies need to be enforced for each machine. Centralized management of machine identities helps streamline policy implementation across devices, workloads, and environments. However, the lack of protection for sensitive data in use (e.g., machine identities in memory) puts it at risk. 組織で使用されるマシンIDの数は増え続けており、1組織あたり数千から数百万に及ぶこともある。暗号鍵などのマシンIDは、各マシンに適用する必要のあるポリシーを特定するために使用することができる。マシンIDを一元管理することで、デバイス、ワークロード、環境全体におけるポリシーの実施を効率化することができる。しかし、使用中の機密データ(メモリ内のマシンIDなど)は保護されていないため、危険にさらされている。
This report presents an effective approach for overcoming security challenges associated with creating, managing, and protecting machine identities throughout their lifecycle. It describes a proof-of-concept implementation, a prototype, that addresses those challenges by using hardware-based confidential computing. The report is intended to be a blueprint or template that the general security community can use to validate and utilize the described implementation. この報告書では、マシンIDの作成、管理、保護に関連するセキュリティ上の課題を、そのライフサイクル全体を通じて克服するための効果的なアプローチを紹介する。また、ハードウェアベースの機密コンピューティングを使用してこれらの課題に対処する概念実証の実装(プロトタイプ)を説明している。この報告書は、一般的なセキュリティコミュニティが、説明されている実装を検証し、利用するための青写真またはテンプレートとなることを意図している。

 

・2023.02.23 NISTIR 8320D (Draft) Hardware-Enabled Security: Hardware-Based Confidential Computing

NISTIR 8320D (Draft) Hardware-Enabled Security: Hardware-Based Confidential Computing NISTIR 8320D(ドラフト)ハードウェア対応セキュリティ:ハードウェアベース・コンフィデンシャル・コンピューティング
Announcement 発表
NISTIR 8320D is the latest in a series of reports on hardware-enabled security techniques and technologies. NISTIR 8320Dは、ハードウェア対応のセキュリティ技術およびテクノロジーに関する一連の報告書の最新版である。
Organizations employ a growing volume of machine identities, often numbering in the thousands or millions per organization. Machine identities, such as secret cryptographic keys, can be used to identify which policies need to be enforced for each machine. Centralized management of machine identities helps streamline policy implementation across devices, workloads, and environments. However, the lack of protection for sensitive data in use (e.g., machine identities in memory) puts it at risk. 組織で使用されるマシンIDの数は増え続けており、1つの組織で数千から数百万に及ぶこともある。マシンIDは、秘密の暗号鍵など、各マシンに適用する必要のあるポリシーを特定するために使用されることがある。マシンIDを一元管理することで、デバイス、ワークロード、環境全体におけるポリシーの実施を効率化することができる。しかし、使用中の機密データ(メモリ内のマシンIDなど)は保護されていないため、危険にさらされている。
This report presents an effective approach for overcoming security challenges associated with creating, managing, and protecting machine identities throughout their lifecycle. It describes a proof-of-concept implementation, a prototype, that addresses those challenges by using hardware-based confidential computing. The report is intended to be a blueprint or template that the general security community can use to validate and utilize the described implementation. この報告書では、マシンIDの作成、管理、保護に関連するセキュリティ上の課題を、そのライフサイクル全体を通じて克服するための効果的なアプローチを紹介する。また、ハードウェアベースの機密コンピューティングを使用してこれらの課題に対処する概念実証の実装(プロトタイプ)を説明している。この報告書は、一般のセキュリティコミュニティが、この実装を検証し利用するための青写真またはテンプレートとなることを意図している。
Abstract 概要
Organizations employ a growing volume of machine identities, often numbering in the thousands or millions per organization. Machine identities, such as secret cryptographic keys, can be used to identify which policies need to be enforced for each machine. Centralized management of machine identities helps streamline policy implementation across devices, workloads, and environments. However, the lack of protection for sensitive data in use (e.g., machine identities in memory) puts it at risk. This report presents an effective approach for overcoming security challenges associated with creating, managing, and protecting machine identities throughout their lifecycle. It describes a proof-of-concept implementation, a prototype, that addresses those challenges by using hardware-based confidential computing. The report is intended to be a blueprint or template that the general security community can use to validate and utilize the described implementation. 組織で使用されるマシンIDの数は増え続けており、1組織あたり数千から数百万にのぼることもある。暗号鍵のようなマシンIDは、各マシンに適用されるべきポリシーを特定するために使用される。マシンIDを一元管理することで、デバイス、ワークロード、環境全体におけるポリシーの実施を効率化することができる。しかし、使用中の機密データ(メモリ内のマシンIDなど)は保護されていないため、危険にさらされている。この報告書では、マシンIDの作成、管理、保護に関連するセキュリティ上の課題を、そのライフサイクルを通じて克服するための効果的なアプローチを紹介する。また、ハードウェアベースの機密コンピューティングを使用してこれらの課題に対処する概念実証の実装(プロトタイプ)を説明している。この報告書は、一般的なセキュリティコミュニティが、説明されている実装を検証し、利用するための青写真またはテンプレートとなることを意図している。

 

・[PDF]  NISTIR 8320D (Draft)

20230224-154526

 

目次...

1. Introduction 1. 序文
1.1. Purpose and Scope 1.1. 目的及び範囲
1.2. Terminology 1.2. 用語の説明
1.3. Document Structure 1.3. 文書の構成
2. Challenges with Creating, Managing, and Protecting Machine Identities 2. マシンアイデンティティの作成、管理、保護に関する問題点
3. Stage 0: Enterprise Machine Identity Management 3. ステージ0:エンタープライズ・マシンアイデンティティ管理
4. Stage 1: Secret Key In-Use Protection with Hardware-Based ConfidentialComputing 4. ステージ1:ハードウェアベースのコンフィデンシャル・コンピューティングによる秘密鍵のインユース・プロテクション
5. Stage 2: Machine Identity Management and End-to-End Protection 5. ステージ 2: マシンアイデンティティ管理とエンド・ツー・エンド保護
References 参考文献
Appendix A. Hardware Architecture 附属書A. ハードウェア・アーキテクチャ
Appendix B. AMI TruE Machine Identity Management Implementation 附属書B. AMI TruEマシンアイデンティティ・マネジメントの実装
B.1. Hardware and Software Requirements B.1. ハードウェアおよびソフトウェアの要件
B.2. AMI TruE Deployment B.2. AMI TruEのデプロイメント
B.3. Platform Security Services Configuration B.3. プラットフォーム・セキュリティ・サービスの構成
B.4. Uninstallation B.4. アンインストール
Appendix C. Intel In-Use Secret Key Protection Implementation 附属書C. インテル® In-Use Secret Key Protection の実装
Appendix D. Machine Identity Runtime Protection and Confidential Computing Integration 附属書D. マシンアイデンティティ・ランタイム・プロテクションとコンフィデンシャル・コンピューティングの統合
D.1. Solution Overview D.1. ソリューションの概要
D.2. Solution Architecture D.2. ソリューションのアーキテクチャ
D.3. Installation and Configuration D.3. インストールと構成
Appendix E. Acronyms and Other Abbreviations 附属書E. 頭字語およびその他の略語

 

 

 

「2. Challenges with Creating, Managing, and Protecting Machine Identities」から...

The ultimate goal is to be able to use “trust” as a boundary for hardware-based confidential computing to protect in-use machine identities. This goal is dependent on smaller prerequisite goals described as stages, which can be thought of as requirements that the solution must meet.   最終的な目標は、ハードウェアベースのコンフィデンシャル・コンピューティングの境界として「信頼」を使用し、使用中のマシンIDを保護できるようにすることである。このゴールは、ステージとして記述されたより小さな前提条件のゴールに依存しており、これはソリューションが満たすべき要件と考えることができる。 
• Stage 0: Enterprise Machine Identity Management. Security and automation for all machine identities in the organization should be a priority. A proper, enterprise-wide machine identity management strategy enables security teams to keep up with the rapid growth of machine identities, while also allowing the organization to keep scaling securely. The key components of a typical enterprise-grade machine identity management solution are described in Sec. 3.   ・ステージ 0: エンタープライズ・マシンアイデンティティ管理。組織内のすべてのマシンIDのセキュリティと自動化は、優先事項であるべきである。適切なエンタープライズ規模のマシンID管理戦略は、セキュリティチームがマシンIDの急速な増加に対応し、同時に組織が安全に拡張し続けることを可能にする。一般的なエンタープライズグレードのマシンID管理ソリューションの主要コンポーネントは、セクション3に記載されている。 
• Stage 1: Secret Key In-Use Protection with Hardware-Based Confidential Computing. The confidential computing paradigm can be used to protect secret keys inuse in dynamic environments. Section 4 describes the primary components of a hardware-based confidential computing environment and illustrates a reference architecture demonstrating how its components interact.  ・ステージ1:ハードウェアベースのコンフィデンシャル・コンピューティングによる秘密鍵のインユースプロテクション。機密コンピューティングのパラダイムは、動的環境における使用中の秘密鍵の保護に使用できる。セクション4では、ハードウェアベースの機密コンピューティング環境の主要コンポーネントについて説明し、そのコンポーネントがどのように相互作用するかを示す参照アーキテクチャを図解している。
• Stage 2: Machine Identity Management and End-to-End Protection. Stage 0 discusses how a machine identity can be managed and Stage 1 describes how sensitive information is protected in use in conjunction with hardware-based confidential computing. Stage 2 is about the integration of the two so that machine identity management enables the prerequisites for confidential computing to be leveraged when the secret key is used at runtime. Section 5 describes how these components can be composed together to provide end-to-end protection for machine identities.  ・ステージ2:マシンIDの管理とエンドツーエンドの保護。ステージ0では、マシンIDの管理方法について説明し、ステージ1では、ハードウェアベースの機密コンピューティングと連携して使用する際に機密情報を保護する方法について説明する。ステージ2は、マシンID管理によって、秘密鍵がランタイムに使用される際に機密コンピューティングの前提条件を活用できるように、この2つを統合することを目的としている。セクション5では、これらのコンポーネントを組み合わせて、マシンIDのエンドツーエンドの保護を実現する方法について説明する。
Utilizing hardware-enabled security features, the prototype in this document strives to provide the following capabilities:  ハードウェアで実現されるセキュリティ機能を活用し、この報告書のプロトタイプは以下の機能を提供するよう努める。
• Centralized control and visibility of all machine identities   ・すべてのマシンIDの一元的な制御と可視性
• Machine identities as secure as possible in all major states: at rest, in transit, and in use in random access memory (RAM)  ・マシン ID は、静止状態、転送中、ランダムアクセスメモリー(RAM)上で使用中のすべての主要な状態において、可能な限り安全であること。
• Strong access control for different types of machine identities in the software development lifecycle and DevOps pipeline  ・ソフトウェア開発ライフサイクルおよびDevOpsパイプラインにおける、さまざまなタイプのマシンIDに対する強力なアクセス制御
• Machine identity deployment and use in DevOps processes, striving to be as secure as possible  ・DevOpsプロセスにおけるマシンIDの展開と使用は、可能な限り安全であるように努力する。

 

関係文書

ハードウェア対応セキュリティ:

NISTIR 8320  クラウドおよびエッジ・コンピューティングのユースケースにおけるプラットフォーム・セキュリティへの階層型アプローチの実現

NISTIR 8320A コンテナ・プラットフォーム・セキュリティ・プロトタイプ  

NISTIR 8320B 信頼できるコンテナプラットフォームにおけるポリシーベースのガバナンス

NISTIR 8320C (Draft) マシン・アイデンティティの管理と保護

NISTIR 8320D (Draft) ハードウェアベース・コンフィデンシャル・コンピューティング

 


 

 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.05.07 NISTIR 8320 ハードウェア対応セキュリティ:クラウドおよびエッジ・コンピューティングのユースケースにおけるプラットフォーム・セキュリティへの階層型アプローチの実現

・2022.04.21 NIST SP 1800-19 トラステッドクラウド:VMwareハイブリッド・クラウドのIaaS環境のためのセキュリティ実践ガイド

・2022.04.21 NISTIR 8320C (ドラフト) ハードウェア対応セキュリティ:マシン・アイデンティティの管理と保護

・2022.04.21 NISTIR 8320B ハードウェア対応セキュリティ:信頼できるコンテナプラットフォームにおけるポリシーベースのガバナンス

・2021.10.29 NISTIR 8320 (Draft) ハードウェア対応セキュリティ:クラウドおよびエッジ・コンピューティングのユースケースにおけるプラットフォーム・セキュリティへの階層型アプローチの実現(第二次ドラフト)

・2021.10.29 NISTIR 8320B (ドラフト) ハードウェア対応のセキュリティ:信頼できるコンテナプラットフォームにおけるポリシーベースのガバナンス

・2021.10.29 NIST SP 1800-19 (ドラフト) トラステッドクラウド:VMwareハイブリッド・クラウドのIaaS環境のためのセキュリティ実践ガイド

・2021.06.19 NISTIR 8320A ハードウェア対応セキュリティ:コンテナ・プラットフォーム・セキュリティ・プロトタイプ

・2021.05.28 NISTIR 8320 (Draft) ハードウェア対応セキュリティ:クラウドおよびエッジ・コンピューティングのユースケースにおけるプラットフォーム・セキュリティへの階層型アプローチの実現

・2020.12.13 NISTIR 8320A マルチテナントクラウド環境におけるコンテナを保護するためのハードウェア対応のセキュリティ技術とその技術に基づくアプローチに関する文書の意見募集

 

 

| | Comments (0)

米国 2023年国土安全保障シンポジウム・エキスポにおけるレイFBI長官の発言

こんにちは、丸山満彦です。

2023.02.16にバージニア州のクリストファー・ニューポート大学で開催された「国土安全保障シンポジウム・エキスポ」でクリストファー・レイFBI長官が講演をしていますが、サイバー関連のテーマで話をしていますね。。。


● FBI

・2023.02.16 Director Wray's Remarks at the 2023 Homeland Security Symposium and Expo

Director Wray's Remarks at the 2023 Homeland Security Symposium and Expo 2023年国土安全保障シンポジウム・エキスポにおけるレイ長官の発言について
Introduction  序文 
Thank you. ありがとうございます。
If you take a look at the topics for the conference today, each panel discusses something the FBI is heavily involved in right now—cyber intrusions and ransomware attacks, risks posed by unmanned systems, domestic and international terrorism, and vulnerable supply chains that run through China and everywhere else. So, I appreciate the opportunity to kick off these discussions and share a little bit about how the FBI is working with critical partners like many of you in this room to combat these threats. 今日の会議のトピックをご覧いただくと、サイバー侵入やランサムウェア攻撃、無人システムがもたらすリスク、国内および国際テロ、中国やその他の地域を経由する脆弱なサプライチェーンなど、各パネルでFBIが現在深く関わっている事柄が取り上げられています。そこで、このような議論を始める機会をいただき、ここにお集まりの多くの皆様のような重要なパートナーとともに、FBI がどのようにこれらの脅威と闘っているかについて、少しお話しさせていただきます。
Cyberattacks and ransomware. Unmanned systems. Domestic and international terrorism. Supply chain vulnerabilities. サイバー攻撃とランサムウェア。無人システム。国内および国際的なテロリズム サプライチェーンの脆弱性。
It’s hard not to get overwhelmed by the enormity of those topics and these threats. And, frankly, that’s a lot for one day. これらのテーマと脅威の大きさに圧倒されるのは無理もありません。正直なところ、1日では足りないくらいです。
And, of course, I should add, those are just some of the threats we’re focused on at the FBI, where we’re also tackling the trafficking and exploitation of children, alarming levels of violent crime and hate crimes, the epidemic of deadly narcotics, and malign foreign influence aimed at undermining our government, just to name a few others. もちろん、これらは私たちがFBIで重点的に取り組んでいる脅威の一部に過ぎません。他にも、子どもの人身売買や搾取、憂慮すべきレベルの暴力犯罪や憎悪犯罪、劇薬の蔓延、政府の弱体化を狙った外国の悪意ある影響など、いくつかの例を挙げればきりがありません。
As I like to say: A lot of people seem to have ideas about things they think the FBI should be doing more of, but I haven’t heard any responsible suggestions for things we could be doing less of. 私はこう言いたいのです。多くの人が、FBIはもっとやるべきことがある、と考えているようですが、私は、FBIはもっとやるべきことがあるのではないか、という責任ある提案を聞いたことがありません。
So, in order for the FBI to be at the forefront and stay ahead of all these threats, we rely on the partnerships we’ve developed with folks in the private sector—including many of you represented here today—and across all levels of government, both here at home and abroad. FBIがこうした脅威の最前線に立ち、先手を打つためには、今日ここにお集まりの多くの方々を含む民間部門の人々、そして国内外のあらゆるレベルの政府機関との協力関係が欠かせません。
And the importance of those partnerships is really the core of the message I hope you’ll take away from my time with you here today. このようなパートナーシップの重要性こそが、本日私が皆さんにお伝えしたいメッセージの核心です。
Cyber Threats サイバーの脅威
So, what are we dealing with? では、私たちは何に対処しているのでしょうか。
In cyberspace, the threats only seem to evolve, and the stakes have never been higher. サイバースペースでは、脅威は進化する一方であり、そのリスクはかつてないほど高まっています。
One bad actor targeting a single supply chain can cause cascading effects across multiple sectors and communities. 1つのサプライチェーンを狙った悪質な行為によって、複数のセクターやコミュニティに連鎖的な影響が及ぶ可能性があります。
One unpatched vulnerability can mean the difference between business as usual and a scramble to get scores of systems back online. パッチを適用していない脆弱性が1つでもあれば、通常通りのビジネスができるか、多数のシステムをオンラインに戻すために奔走しなければならないかの分かれ目になります。
And over the past few years, we’ve increasingly seen cybercriminals using ransomware against U.S. critical infrastructure sectors. In 2021, we saw ransomware incidents against 14 of the 16 U.S. critical infrastructure sectors. また、ここ数年、サイバー犯罪者が米国の重要インフラ部門に対してランサムウェアを使用する事例が増加しています。2021年には、米国の重要インフラ16分野のうち14分野に対してランサムウェアのインシデントが発生しました。
In a perverse way, that makes sense, right? 裏を返せば、これは理にかなっていると言えますよね。
If you want someone to quickly pay a ransom, you threaten the very basic things they rely on for their day-to-day lives—something like an oil pipeline, an elementary school, or an electrical grid. Malicious actors assume—and, perhaps, rightly so—that if they attack these things we depend on every day, they can inflict more pain, and people will pay more quickly.  身代金をすぐに支払わせたいのであれば、石油パイプライン、小学校、電力網など、日常生活で頼りにしている基礎的なものを脅かすのです。悪意のある行為者は、私たちが日々依存しているこれらのものを攻撃すれば、より多くの苦痛を与えることができ、人々はより早く代金を支払うだろうと考えています。 
And these actors have demonstrated there’s really no bar too low. They have no problem, for instance, threatening to shut down a children’s hospital to make a quick buck. そして、悪意ある行為者たちは、ハードルが低すぎるということがないことを実証しています。 たとえば、手っ取り早く金を稼ぐために子どもの病院を閉鎖すると脅しても、何の問題もないのです。
Let me be clear: That’s not a hypothetical example. これは仮定の話ではないので、誤解のないようにお願いします。
And while you would expect that cybercriminals are focused on operations for their own financial gain, really, any malicious cyber actor could also be trying to steal information or conduct influence operations, or laying the groundwork to disrupt our critical infrastructure. And those threats are not only proliferating, but becoming more complex. サイバー犯罪者は金銭的な利益を得るための作戦に集中していると思われますが、実際には、悪意のあるサイバー行為者は、情報を盗んだり、影響力を行使したり、重要なインフラを破壊するための土台を築いたりすることも可能なのです。このような脅威は、急増するだけでなく、より複雑化しています。
There is no bright line where cybercriminal activity ends and hostile government activity begins, which both compounds and complicates the threat landscape. サイバー犯罪者の活動がどこで終わり、政府の敵対的な活動がどこで始まるかという明確な線はなく、それが脅威の状況を複雑にしているのです。
We’re seeing blended threats where—for instance—the Iranian government has sponsored cybercriminals to perpetuate attacks to gather intelligence or gain access. 例えば、イラン政府がサイバー犯罪者のスポンサーとなり、情報収集やアクセス権を得るために攻撃を継続させているような脅威が混在しています。
In other instances, hostile governments have attempted to make their cyberattacks look like criminal activity, which caused whole operations to go sideways. また、敵対する政府がサイバー攻撃を犯罪行為に見せかけようとし、その結果、作戦全体がうまくいかなくなるケースもあります。
That’s what we saw in 2017, when the Russian military used the NotPetya malware to hit Ukrainian critical infrastructure. The attack was supposed to look like a criminal heist, but was actually designed to destroy any systems it infected. They targeted Ukraine, but ended up also hitting systems throughout Europe, plus the U.S. and Australia, and even some systems within their own borders. They shut down a big chunk of global logistics, and, ultimately, their recklessness ended up causing more than $10 billion in damages—maybe the most damaging cyberattack in history. 2017年にロシア軍がマルウェア「NotPetya」を使ってウクライナの重要インフラを攻撃したのがそうでした。この攻撃は、犯罪的な強盗のように見えるはずでしたが、実際には、感染したシステムを破壊するように設計されていました。ウクライナをターゲットにした攻撃でしたが、最終的にはヨーロッパ全域、さらに米国とオーストラリアのシステム、そして自国内のシステムにも被害が及びました。世界の物流の大部分を停止させ、最終的に100億ドル以上の損害を与えました。これは、おそらく史上最も大きなサイバー攻撃です。
Add to that, cyber adversaries have also obtained an increasing capacity for stealth in recent years, facilitating more comprehensive access to U.S. networks. They’ve demonstrated the ability to maintain persistent access across various networks and environments by using seemingly legitimate credentials, accessing administrator accounts, and laterally traversing networks. They will park on a system quietly and then just wait for the right opportunity. さらに、近年、サイバー敵対者はステルス能力を高め、米国のネットワークへのアクセスをより包括的なものにしました。彼らは、一見正当な認証情報を使用し、管理者アカウントにアクセスし、ネットワークを横断することで、様々なネットワークや環境に持続的にアクセスする能力を実証しています。彼らは、ひっそりとシステムに潜伏し、適切な機会を待つだけなのです。
So, to sum up the cyber threat picture: There’s a persistent, multi-vector, blended threat that’s constantly evolving and a continual challenge to assess, so we’re battling back against a constant barrage of attacks. つまり、サイバー脅威の全体像をまとめると、次のようになります。このような脅威は常に進化しており、その評価も難しいため、私たちは常に攻撃の嵐に対抗しています。
China 中国
In this cyber threat landscape, China is the most dangerous actor to industry. このようなサイバー脅威の状況において、産業界にとって最も危険な存在なのが中国です。
The Chinese government sees cyber as the pathway to cheat and steal on a massive scale, and more broadly, there’s simply no country that presents a broader or more severe threat to our ideas, innovation, and economic security than the Chinese government because they’ve shown themselves willing to lie, cheat, and steal to dominate major technology and economic sectors, crushing and putting companies from other nations out of business. 中国政府は、サイバーは大規模な不正行為や窃盗を行うための手段だと考えています。もっと広く言えば、中国政府ほど、私たちのアイデア、イノベーション、経済の安全保障に対して広範かつ深刻な脅威を与えている国はありません。なぜなら、彼らは主要技術や経済分野を支配し、他の国の企業を潰して廃業させるために嘘や不正行為、窃盗も辞さないことを示しているのです。
The Chinese government’s hacking program is bigger than that of every other major nation combined, and Chinese government hackers have stolen more of our personal and corporate data than all other countries—big and small—combined. 中国政府のハッキングプログラムは、他のすべての主要国のハッキングプログラムを合わせたよりも大規模であり、中国政府のハッカーは、大小の国を合わせたよりも多くの個人および企業データを盗んでいます。
But the threat from the PRC [People's Republic of China] government is particularly dangerous because they use that massive cyber effort in concert with every other tool in their government’s toolbox. What makes the Chinese government’s strategy so insidious is the way it exploits multiple avenues at once, and often in seemingly innocuous ways. しかし、PRC(中華人民共和国)政府の脅威は特に危険です。なぜなら、彼らは大規模なサイバー活動を、政府の道具箱にある他のあらゆるツールと協調して使っているからです。中国政府の戦略が非常に陰湿なのは、複数の手段を同時に、しかも多くの場合、一見無害に見える方法で利用するからです。
They identify key technologies to target. Their “Made in China 2025” plan, for example, lists ten broad areas—spanning industries like robotics, green energy production and vehicles, aerospace, and biopharma. 中国政府は、ターゲットとなる重要な技術を特定します。例えば、「Made in China 2025」計画では、ロボット工学、グリーンエネルギー生産と自動車、航空宇宙、バイオ医薬品など、10の大分野を挙げています。
Then, they throw every tool in their arsenal at stealing the technology in those areas. And they are fine with causing indiscriminate damage to get to what they want, like in the Microsoft Exchange hack—the Hafnium attack—from 2021, which compromised the networks of more than 10,000 companies in just a single campaign. そして、その分野の技術を盗むために、あらゆる手段を講じるのです。例えば、2021年に起きたMicrosoft Exchangeのハッキング(Hafnium攻撃)では、たった1回のキャンペーンで1万社以上のネットワークが危険にさらされましたが、彼らは欲しいものを手に入れるために無差別に損害を与えることも平気で行います。
At the same time, the Chinese government uses intelligence officers to target the same information. 同時に、中国政府は諜報部員を使って、同じ情報を狙っています。
And to knock down a few misconceptions about what it’s like to be targeted by Chinese intelligence, first of all, most Chinese spies aren’t just targeting people with government secrets. They’re after people with accesses to innovation, trade secrets, and intellectual property they feel would give them an advantage—economically or militarily. そして、中国の情報機関に狙われるとはどういうことなのか、いくつかの誤解を打ち砕くために、まず第一に、ほとんどの中国のスパイは、政府の秘密を持つ人だけを狙っているわけではありません。経済的、軍事的に有利になると思われる技術革新、企業秘密、知的財産へのアクセス権を持つ人物を狙っているのです。
Second, many U.S. citizens who are compromised don’t realize they are working for the Chinese government. Chinese intelligence officers often use co-opted staff from Chinese universities or national businesses—effectively contract intelligence officers—to contact targets and develop what seems like a “collaborative” relationship, and the Chinese intelligence officer actually running the operation might never personally be in contact with the target. 第二に、情報漏洩した米国人の多くは、自分たちが中国政府のために働いていることに気づいていない。中国の諜報員はしばしば、中国の大学や国営企業の共同スタッフ(事実上の諜報員契約)を使ってターゲットと接触し、「協力」関係のようなものを構築しているのですが、実際に作戦を実行している中国の諜報員はターゲットと個人的に接触することはないかもしれません。
Third, and finally: With Chinese intelligence, the spy may not ever ask for information, but may, instead, just be looking for access to people and to networks, and that access may, in turn, be just enough to create a vulnerability for a cyber intrusion. So, their intelligence and cyber efforts are working hand-in-hand. 第三に、最後に。中国の諜報機関では、スパイは情報を求めず、単に人やネットワークへのアクセスを求め、そのアクセスがサイバー侵入のための脆弱性を作り出すのに十分な場合もあります。つまり、彼らの諜報活動とサイバー活動は密接に関係しているのです。
They also use elaborate shell games to disguise their efforts—both from our companies, and from our government investment screening program CFIUS, the Committee on Foreign Investment in the United States. また、彼らは手の込んだ偽装工作を行い、私たちの企業からも、政府の投資審査プログラムであるCFIUS(Committee on Foreign Investment in the United States)からも、その努力を隠蔽しています。
And for non-Chinese companies operating in China, the Chinese government takes advantage of its laws and regulations to enable its stealing. また、中国で活動する非中国企業に対しては、中国政府はその法律や規制を利用して窃盗を可能にします。
For example, in 2022, we learned that a number of U.S. companies operating in China had malware delivered into their networks through tax software the Chinese government required them to use. To put it plainly: By complying with Chinese laws, these companies unwittingly installed backdoors for Chinese state hackers. The overall result of PRC efforts like these is deep, job-destroying damage across a wide range of industries—and it’s damage that hits across the country, too, which is why we’re running 2,000 or so PRC-related counterintelligence investigations, out of every one of our 56 field offices. 例えば、2022年、中国で活動する多くの米国企業が、中国政府が使用を義務付けた税務ソフトウェアを通じて、マルウェアをネットワークに配信されていたことが分かりました。分かりやすく言えば 中国の法律に従うことで、これらの企業は知らず知らずのうちに、中国国家のハッカーのためのバックドアを設置していたのです。このようなPRCの取り組みの結果、幅広い産業分野で雇用を奪う深刻な被害が発生しており、その被害は国内にも及んでいます。そのため、私たちは56の支局すべてから、PRC関連の防諜調査を約2,000件実施しています。
Disrupting the Threat 脅威を断ち切る
In the cyber and espionage realm, just as in our other programs, our goal is disruption: getting ahead of and thwarting cyberattacks as early as possible, seizing infrastructure, and denying hackers the benefit of their crimes. サイバーとスパイの分野でも、他のプログラムと同様、私たちの目標は破壊です。サイバー攻撃をできるだけ早く先回りして阻止し、インフラを押収し、ハッカーが犯罪の利益を得るのを阻止することです。
Just a few weeks ago, we announced the success we’ve had with the year-and-a-half-long disruption campaign against the Hive ransomware group, dismantling their infrastructure and taking it offline. つい数週間前、私たちはランサムウェアグループ「Hive」に対する1年半に及ぶ破壊活動で、彼らのインフラを解体し、オフラインにすることに成功したことを発表したばかりです。
Since 2021, they’ve been one of the larger and more active ransomware groups we know of, targeting businesses and other victims in over 80 countries, and demanding hundreds of millions of dollars in ransom. 2021年以降、彼らは私たちが知る限り、より大規模で活発なランサムウェアグループの1つで、80カ国以上の企業やその他の被害者を標的にし、数億ドルの身代金を要求しています。
Last July, the FBI gained clandestine, persistent access to Hive’s control panel—essentially, hacking the hackers. 昨年7月、FBIはHiveのコントロールパネルに秘密裏に持続的にアクセスし、ハッカーをハッキングすることに成功しました。
From last July to this January, we repeatedly exploited that access to get Hive’s decryption keys and identify victims, and we offered those keys to more than 1,300 victims around the world so they could decrypt their infected networks—preventing at least $130 million in ransom payments—all without Hive catching on. 昨年7月から今年1月にかけて、このアクセス権を悪用してHiveの復号化キーを入手し、被害者を特定しました。そして、世界中の1300人以上の被害者にこのキーを提供し、感染したネットワークを復号化することで、少なくとも1億3000万ドルの身代金の支払いを防ぎましたが、すべてHiveに気づかれずにすんだのです。
The victims targeted by the Hive group reinforced what we know—that ransomware groups don’t discriminate. They went after big and small businesses. Hiveが標的とした被害者たちは、ランサムウェアグループが差別をしないことを改めて認識させられました。彼らは大企業も中小企業もターゲットにしています。
We rushed an FBI case agent and computer scientist to one specialty medical clinic that was so small, the doctor there also managed the clinic’s IT security. We helped larger companies, and we also shared keys with victims overseas through our foreign-based legal attaché offices—like when we gave a foreign hospital a decryptor, which they used to get their systems back up before ransom negotiations even began, possibly saving lives. 私たちはFBIの捜査官とコンピュータサイエンティストを、ある専門医院に急行させました。その医院は非常に小規模で、医師が医院のITセキュリティも管理していました。例えば、海外の病院に暗号解読機を提供したところ、身代金交渉が始まる前にシステムを復旧させ、人命を救うことができたのです。
As we consider how best to focus our efforts at disrupting the hackers, we’re not only providing intelligence to current victims to help them quickly recover from an attack, but also on preventing attacks before they happen. ハッカーを阻止するためにどのような取り組みを行うのが最善かを検討する中で、私たちは攻撃から迅速に回復するための情報を現在の被害者に提供するだけでなく、攻撃を未然に防ぐための取り組みも行っています。
So, for example, while on Hive’s systems, when we saw the initial stages of one attack against a university, we notified the school and gave their IT staff the technical information they needed to kick Hive off of their network before ransomware was deployed. 例えば、ハイブのシステムで、ある大学に対する攻撃の初期段階を確認したとき、学校に通知し、ITスタッフに必要な技術情報を提供し、ランサムウェアが展開される前にハイブをネットワークから追い出しました。
But our ability to help often hinges on victims—both private and public—reaching out to us when they are attacked. しかし、私たちの支援は、民間企業や公的機関の被害者が攻撃を受けた際に、私たちに連絡をくれるかどうかにかかっていることが多いのです。
Unfortunately, during these past seven months, we found that only about 20% of Hive’s victims reported to law enforcement they had been attacked, which means we wouldn’t have been able to help 80% of their victims if we hadn’t managed to get into Hive’s infrastructure, seeing what was happening from the bad guys’ side. So, while an important success, the Hive disruption was somewhat unusual. 残念ながら、この7ヵ月間、Hiveの被害者のうち、警察当局に攻撃を受けたと報告したのはわずか20%でした。つまり、Hiveのインフラに侵入し、悪者側から何が起こっているかを確認できなければ、80%の被害者を助けることはできなかったのです。つまり、重要な成功ではありましたが、Hiveの妨害はやや異例だったのです。
We can’t count on that level of visibility into adversaries’ systems, so we’re counting on our relationships with the private sector to let us know about a problem in time to fix or mitigate it. 私たちは、敵のシステムをそこまで見通すことはできないので、問題を修正・緩和するのに間に合うように問題を知らせてくれる民間企業との関係を頼りにしています。
As part of those relationships, we share threat intelligence to help companies fortify their defenses, and we rely on organizations in the private and public sector to let us know when they’ve been attacked, because once we learn about an attack, we work with our partners to broadly share what we can with public and private industry partners and international security agencies to improve overall network defense and prevent attacks. このような関係の一環として、私たちは企業の防御を強化するために脅威情報を共有しています。また、攻撃を受けた際には、民間および公共部門の組織から私たちに知らせてもらうようにしています。攻撃について知った後は、ネットワーク防御全体の改善と攻撃防止のために、パートナーと協力して、公共および民間業界のパートナーや国際セキュリティ機関とできることを幅広く共有しています。
Dissemination of attack information helps overcome typical silos that thwart recovery efforts, and in many instances, public and private sector partners provide us information in return that we can take back and use to help you with your recovery efforts. 攻撃情報の発信は、復旧作業を妨げる典型的なサイロを克服するのに役立ち、多くの場合、官民のパートナーは、私たちが持ち帰って復旧作業に役立てることができる情報を見返りに提供してくれます。
For example, in 2021, the Port of Houston was attacked by cybercriminals.  Because the Port reached out to us quickly, we were able to get technically trained agents out to the scene. There, they discovered a brand-new, zero-day exploit used to commit the attack—that is, a vulnerability and means of exploiting it that no one knew about yet. We immediately deployed our investigative tools to search for other victims where the same exploit was being deployed, and by the time the software provider developed a patch, we’d already enlisted our partners at CISA [the Cybersecurity and Infrastructure Security Agency] to work with us to help victims already being targeted, for whom that fix would otherwise have been too late. And, of course, the Port—and Houston—benefited greatly, too. 例えば、2021年、ヒューストン港がサイバー犯罪者の攻撃を受けました。  このとき、ヒューストン港はすぐに私たちに連絡し、技術的な訓練を受けたエージェントを現場に派遣することができました。そこで、攻撃に使われた全く新しいゼロデイ脆弱性、つまり、まだ誰も知らない脆弱性とその悪用方法を発見したのです。そして、ソフトウェア・プロバイダーがパッチを開発する頃には、すでにCISA(サイバーセキュリティ・インフラストラクチャ・セキュリティ局)のパートナーに協力を要請し、すでに標的とされていた被害者のために、手遅れになる前にパッチを提供するよう働きかけていました。そしてもちろん、港やヒューストンも大きな恩恵を受けました。
The FBI is determined to use all of our tools and resources to help victims, whether we’re talking about single individuals or whether they number in the thousands. FBIは、被害者が一人であろうと数千人であろうと、あらゆる手段や資源を駆使して被害者を救済することを決意しています。
When the FBI determined the Chinese had executed the Hafnium attack to install backdoors into at least 10,000 U.S. and international partner networks and computers, we worked with a private sector partner to conduct the arduous task of identifying those victims using only IP addresses, including developing a custom tool for the task. We then employed advanced analytics to geolocate victims to specific field offices and legal attaché offices, and triaged over 1,700 victim notifications. And when some system owners weren’t able to remove the Chinese government’s backdoors themselves, we executed a first-of-its-kind, surgical, court-authorized operation, copying and removing the harmful code from hundreds of vulnerable computers—slamming those backdoors shut. FBI は、中国が少なくとも 1 万台の米国および海外のパートナーのネットワークとコンピュータにバックドアをインストールするために Hafnium 攻撃を実行したと判断したとき、民間部門のパートナーと協力して、IP アドレスのみを使用してこれらの被害者を特定する困難な作業を行いました。そして、高度な分析を用いて被害者を特定の現地事務所や法務局に地理的に特定し、1,700件を超える被害者通知のトリアージにあたりました。さらに、中国政府のバックドアを自分で削除できないシステム所有者がいたため、裁判所が承認した初の外科手術を実施し、数百台の脆弱なコンピュータから有害なコードをコピーして削除し、バックドアを閉鎖しました。
That example illustrates how today’s FBI views success: disruption of our adversaries by leveraging our capabilities, tools, and resources to get ahead of and thwart cyber attacks as early as possible. この例は、今日の FBI が成功をどのように捉えているかを示しています。つまり、私たちの能力、ツール、リソースを活用してサイバー攻撃に先手を打ち、できるだけ早く阻止することにより、敵対者を混乱させるということです。
As these examples demonstrate, a lot of good can come from mutual trust and working together—from strong partnership. And strong public and private sector partners not only help us at the FBI get ahead of the threat and aid in recovery, but they also help us leverage our traditional law enforcement authorities to further our disruption goals—not just arresting and extraditing more hackers, but dismantling their infrastructure and seizing their funds. Through seizures, we can also help a company recover funds that would otherwise be lost. これらの例が示すように、相互の信頼と協力、つまり強力なパートナーシップから、多くの良いことが生まれます。官民の強力なパートナーは、私たち FBI が脅威を先取りして復旧を支援するだけでなく、従来の法執行機関の権限を活用して、より多くのハッカーを逮捕して送還するだけでなく、彼らのインフラを解体して資金を押収するなど、破壊工作の目標を達成するのにも役立っています。ハッカーの逮捕や引き渡しだけでなく、インフラを破壊し、資金を押収することができます。押収によって、企業が失われるはずの資金を回収することもできます。
For instance, from January through November 2022, our Internet Crime Complaint Center’s Recovery Asset Team used the Financial Fraud Kill Chain over two thousand times, successfully freezing more than $328 million—a 74% success rate—that could then be returned to individuals and businesses who had been defrauded. 例えば、2022年1月から11月にかけて、インターネット犯罪相談センターのリカバリー・アセット・チームは、金融詐欺のキル・チェーンを2000回以上使用し、3億2800万ドル以上の凍結に成功しました(成功率74%)。
Greed is a primary motivator of the cyber threat, and by hitting cyber actors where it hurts—their wallets—we can disincentivize more attacks before they occur. サイバー脅威の主な動機は貪欲さですが、サイバー犯罪者の財布という痛いところを突くことで、攻撃が起こる前にその意欲をそぐことができるのです。
A few weeks ago, we announced the arrest of a Russian national who administered the Bitzlato Limited cryptocurrency exchange, which laundered over $15 million in ransomware proceeds and over $700 million in darknet illicit transactions. At the same time, we worked with our international law enforcement partners to seize Bitzlato’s servers and execute additional arrests. Cryptocurrency exchanges like Bitzlato are a vital part of the infrastructure cybercriminals use to launder the funds extorted from their victims. In thinking about how we, at the FBI, can have the most durable disruptive impact, our goal is not only to take away the motivation for ransomware attacks, but also to deprive ransomware groups of the resources they need to successfully conduct these attacks. 数週間前、私たちはBitzlato Limitedという暗号通貨取引所を管理していたロシア人を逮捕したと発表しました。この取引所では、1500万ドル以上のランサムウェアの収益と7億ドル以上のダークネット不正取引が洗浄されていました。同時に、当社は国際的な法執行機関のパートナーと協力して、Bitzlatoのサーバーを押収し、追加の逮捕を実行しました。Bitzlatoのような暗号通貨取引所は、サイバー犯罪者が被害者から強奪した資金を洗浄するために使用するインフラの重要な部分です。私たちFBIが最も持続的な破壊的インパクトを与える方法を考える上で、私たちの目標は、ランサムウェア攻撃の動機を奪うだけでなく、ランサムウェアグループがこれらの攻撃を成功させるために必要なリソースを奪うことでもあります。
Conclusion and Partnerships まとめとパートナーシップ
Bottom line: We believe in using every tool we’ve got to protect American innovation and critical infrastructure, but, as I said before, that’s not something the FBI can do alone. 結論です。私たちは、アメリカのイノベーションと重要なインフラを守るために、あらゆる手段を講じることを信条としています。
That’s a big reason conferences like this—focused on building a dialogue between the public and private sector on current and emerging threats—are so important to the Bureau. They build the partnerships necessary for us to understand and stay ahead of the threat. このような会議が FBI にとって非常に重要なのは、現在および将来の脅威について官民の対話を促進することに重点を置いているためです。このような会議は、私たちが脅威を理解し、その先を行くために必要なパートナーシップを構築するものです。
So, again, thank you for inviting me to kickstart the discussions today. Now, let’s turn this into a conversation. 本日のディスカッションを始めるにあたり、お招きいただきありがとうございました。 では、この議論を会話に発展させていきましょう。

 

Fbi_20230224122301

 

 

| | Comments (0)

英国 科学技術省 上場企業等のアニュアルレポートにおけるサイバーセキュリティの開示に関する研究を開始...

こんにちは、丸山満彦です。

英国の科学技術省が、上場企業等のアニュアルレポートにおけるサイバーセキュリティの開示がどのような状況になっているかについて調査を始めるようです。。。

 

U.K. Gov - Department for Science, Innovation and Technology

・2023.02.23 Research on cyber security disclosures in company annual reports

Research on cyber security disclosures in company annual reports 企業のアニュアルレポートにおけるサイバーセキュリティの開示に関する調査研究
The government is carrying out research to explore the prevalence and quality of cyber security disclosures made by large companies in their annual reports. 政府は、大企業がアニュアルレポートで行うサイバーセキュリティ開示の普及率と質を調査するための研究を実施している。
Documents 資料
企業のアニュアルレポートにおけるサイバーセキュリティの開示に関する研究
Details 詳細
The Department for Science, Innovation and Technology (DSIT) has commissioned Azets to carry out research into the prevalence and quality of cyber disclosures. The fieldwork will take place over telephone and online from February 2023 to March 2023. During this period some organisations will be contacted by Azets from their Edinburgh office (an 0131 number) or Glasgow office (an 0141 number) inviting them to take part. You may also receive an email to let you know Azets called and inviting you to reply. You may be offered the option of completing the interview online, and if so, you will receive the survey link via email from Azets 科学技術省(DSIT)は、サイバー情報開示の普及と質に関する調査をAzets社に委託している。フィールドワークは、2023年2月から2023年3月にかけて、電話およびオンラインで行われる予定である。この期間中、一部の組織にはAzets社のエジンバラオフィス(0131番)またはグラスゴーオフィス(0141番)から参加の案内が連絡される。また、Azets社から連絡があったことを知らせるEメールや、返信を促すEメールが届くかもしれない。オンラインでインタビューに参加することも可能である。その場合は、Azets社からEメールでアンケートのリンクが届く。
Taking part is completely confidential and voluntary for all individuals and organisations. The interview is not technical and participants do not need any specific IT knowledge. インタビューへの参加は、個人・団体を問わず、完全に秘密厳守で、任意である。インタビューは技術的なものではなく、参加者に特別なIT知識は必要ない。
Context 背景
This research will support DSIT’s aim to better understand the effectiveness of current cyber disclosures by large organisations. The results of the research will inform government policy on cyber resilience. This work is part of the government’s £2.6 billion National Cyber Strategy to protect and promote the UK digital economy. この調査は、大規模な組織による現行のサイバー情報開示の有効性をより良く理解するというDSITの目的を支援するものである。この研究の結果は、サイバーレジリエンスに関する政府の政策に反映される。この研究は、英国のデジタル経済を保護・促進するための政府の26億ポンドの国家サイバー戦略の一部である。
For more information on the policy context, please see the document above. 政策的背景の詳細については、上記の文書を参照すること。
Who will take part? 誰が参加するのか?
A sample of UK listed and private companies with 750 employees or more and £750m turnover or more. This may include companies traded on the Alternative Investment Market but not Limited Liability Partnerships, nor Public Bodies. 従業員750人以上、売上高7億5000万ポンド以上の英国の上場企業および非上場企業のサンプル。代替投資市場で取引されている企業も含まれるが、有限責任事業組合や公共団体は含まれない。

 

・2023.02.23 Research on cyber security disclosures in company annual reports

Research on cyber security disclosures in company annual reports 企業のアニュアルレポートにおけるサイバーセキュリティの開示に関する研究
1. Summary 1. 概要
The Department for Science, Innovation and Technology (DSIT) has commissioned Azets to carry out research into the prevalence and quality of cyber disclosures. The fieldwork will take place over telephone and online from February 2023 to March 2023. During this period some organisations will be contacted by Azets from their Edinburgh office (an 0131 number) or Glasgow office (an 0141 number) inviting them to take part. You may also receive an email to let you know Azets called and inviting you to reply. You may be offered the option of completing the interview online, and if so, you will receive the survey link via email from Azets 科学技術省(DSIT)は、サイバー開示の普及と質に関する調査をアゼツに委託した。フィールドワークは、2023年2月から2023年3月にかけて、電話およびオンラインで行われる。この期間中、一部の組織にはAzets社のエジンバラオフィス(0131番)またはグラスゴーオフィス(0141番)から参加の案内が連絡される。また、アゼツ社から連絡があったことを知らせるEメールや、返信を促すEメールが届くかもしれない。オンラインでインタビューに参加することも可能である。その場合は、Azets社からEメールでアンケートのリンクが届く。
Taking part is completely confidential and voluntary for all individuals and organisations. The interview is not technical and participants do not need any specific IT knowledge. インタビューへの参加は、個人・団体を問わず、完全に秘密厳守で、任意である。インタビューは技術的なものではなく、参加者は特別なIT知識を必要としない。
For more information, please see the document above. 詳しくは、上記の文書を参照のこと。
2. Context 2. コンテクスト
One of the barriers to companies enhancing their cyber resilience is the lack of accountability and transparency to key stakeholders. One way in which we plan to address this issue is through the introduction of the Resilience Statement. This policy was proposed as part of the Department for Business and Trade’s wider reform of audit and corporate reporting and formed part of their public consultation on audit and corporate governance (p.48). The Resilience Statement will be a statement that forms part of a company’s annual report and will set out how a company is managing risk and building or maintaining business resilience over the short, medium and long-term. It will apply to all UK listed and private companies with 750 employees or more and £750m turnover or more. This includes companies traded on the Alternative Investment Market but not Limited Liability Partnerships, nor Public Bodies. 企業がサイバーレジリエンスを強化する際の障壁のひとつに、主要なステークホルダーに対する説明責任と透明性の欠如がある。この問題に対処するための一つの方法として、レジリエンス・ステートメントの導入が計画されている。この政策は、商務省の監査と企業報告に関する広範な改革の一環として提案され、監査とコーポレートガバナンスに関する公開協議の一部を構成している(p.48)。レジリエンス・ステートメントは、企業の年次報告書の一部を構成するもので、企業が短期、中期、長期にわたってどのようにリスクをマネジメントし、事業の回復力を構築・維持しているかを示すものである。従業員750人以上、売上高7億5000万ポンド以上の英国のすべての上場・非上場企業に適用される。代替投資市場で取引されている企業も含まれますが、有限責任事業組合や公共団体は含まれない。
This research will support DSIT’ aim to better understand the effectiveness of current cyber disclosures by large organisations. The results of the research may be used to inform the supporting guidance for the cyber related aspect of the Resilience Statement, as well as informing wider government policy on cyber resilience. This will support the government’s work with industry and charities to make the UK the safest place to live and work online. この調査は、大企業による現行のサイバー情報開示の有効性をより良く理解するというDSITの目標を支援するものである。この調査の結果は、レジリエンス・ステートメントのサイバー関連の側面に関する支援ガイダンスに活用されるだけでなく、サイバーレジリエンスに関する政府の幅広い政策に情報を提供することもできる。これは、英国をオンラインで生活し働くのに最も安全な場所にするために、政府が産業界や慈善団体と協力して行っている活動を支援するものである。
3. Who will take part? 3. 参加対象者
A sample of UK listed and private companies with 750 employees or more and £750m turnover or more. This may include companies traded on the Alternative Investment Market but not Limited Liability Partnerships, nor Public Bodies. 従業員750人以上、売上高7億5000万ポンド以上の英国の上場企業および非上場企業。代替投資市場で取引されている企業も含まれますが、有限責任事業組合や公共団体は含まれない。

 

開示関連

・2022.05 [PDF] Restoring trust in audit and corporate governance

20230224-01527

 

3.1 Resilience Statement  3.1 レジリエンス・ステートメント 
What the White Paper proposed  白書が提案したこと 
3.1.1 The White Paper proposed that companies within scope of the new Public Interest Entity definition should produce an annual Resilience Statement, which sets out their approach to managing risk and developing resilience over the short, medium and long term. The proposal responded to a recommendation in the Brydon Review and to concerns expressed in both that Review and the FRC Review that existing risk and viability reporting by many companies – including the viability statement produced under the UK Corporate Governance Code – lacked sufficient detail and specificity, and was not long-term enough in outlook.   3.1.1 白書は、新しい公益事業体の定義の範囲内にある企業は、短期、中期、長期のリスクマネジメントとレジリエン ス開発へのアプローチを示すレジリエンス・ステートメントを毎年作成することを提案している。この提案は、Brydon レビューでの提言と、同レビューおよび FRC レビューで表明された、多くの企業による既存のリスクと実行可能性の報告(英国コーポレートガバナンス・コードの下で作成された実行可能性報告書を含む)が十分な詳細さと具体性を欠き、長期的な展望に欠けるという懸念に対応するものであった。 
3.1.2 The White Paper proposal consisted primarily of the following:  3.1.2 白書の提案は、主に次のような内容であった。
•       The Resilience Statement should incorporate and build on the existing going concern and viability statements;  ・レジリエンス・ステートメントは,既存のゴーイングコンサーンやバイアビリティ・ステートメントを組み込んで構築されるべきである。
•       The short-term section of the Resilience Statement should include material uncertainties to a company being a going concern even if these were rendered immaterial following mitigating action or the use of significant judgement;  ・レジリエンス・ステートメントの短期セクションには、継続企業の重要な不確実性が,緩和措置や重要な判断の使用により重要でなくなった場合であっても含めるべきである。
•       The short- and/or medium-term sections should at a minimum provide disclosures on how a company is addressing certain risks or resilience issues, including threats to business continuity, supply chain resilience and cyber security; and  ・短期及び/又は中期セクションは,少なくとも,事業継続,サプライチェーンの強靭性,サイバーセキュリティに対する脅威など,特定のリスクやレジリエンスの問題に企業がどのように対処しているかについての開示を提供すること。
•       The medium-term section should include two reverse stress testing scenarios and should cover a five-year forward look.  - 中期的なセクションは、2つの逆ストレステストのシナリオを含み、5年間のフォワードルックをカバーする必要がある。
Issues arising from consultation  コンサルテーションから生じた問題 
3.1.3 There was broad support for the Resilience Statement in principle, including from a large majority of civil society and investor respondents, and from most business respondents. Many respondents said there was a need for a clearer understanding of the risks that companies face over the short, medium and long term which might threaten the resilience of the business, and a corresponding interest in understanding the mitigating actions being taken by management in response. It was generally accepted that existing disclosures under the viability statement often lacked specificity and sufficient detail to provide confidence that a company had robust plans in place to prepare for business shocks while also delivering sustainable value.  3.1.3 市民社会と投資家の回答者の大多数、および企業の回答者の大多数から、原則的にレジリエンス・ステートメ ントに対する幅広い支持が得られた。多くの回答者は、事業のレジリエンスを脅かす可能性のある、企業が短期、中期、長期にわたって直面するリスクをより明確に理解する必要があり、それに応じて経営陣が取っている緩和策を理解することに関心があると述べている。存続可能性報告書の下での既存の開示は、しばしば、企業が持続可能な価値を提供しつつ、ビジネスショックに備える強固な計画を有していることを確信させるに足る具体性と十分な詳細性を欠いていることが、一般に受け入れられていた。
3.1.4 With supportive comments came a number of suggestions – including from investors, civil society groups, a trade union body, audit firms and a number of business respondents – for how the Resilience Statement could be made more effective than the viability statement, including by:  3.1.4 投資家、市民社会団体、労働組合、監査法人、企業の回答者など、支持するコメントとともに、レジリエンス・ステートメントをバ イアビリティ・ステートメントよりも効果的にする方法として、以下のような提案がなされた。
•       providing an over-arching management narrative on resilience planning, covering both operational and financial resilience and links to the business strategy;  ・レジリエンス計画に関する包括的な経営説明を提供し,事業と財務の両方のレジリエンスを網羅し,事業戦略との関連性を持たせる。
•       incorporating existing disclosures on principal risks and uncertainties made within the Strategic Report;  ・戦略報告書内の主要なリスクと不確実性に関する既存の情報開示を取り入れる。
•       highlighting critical accounting judgements and estimates made in the company’s financial statements;  ・会社の財務諸表で行われる重要な会計上の判断と見積りを強調する。
•       requiring management to set out the mitigating actions they had put in place to address individual risks, and to explain how they saw particular risks crystallising over time;  ・経営陣に対し,個々のリスクに対処するために実施した緩和策を提示し,特定のリスクが時間とともにどのように顕在化すると見ているかを説明するよう求める。
•       focusing less on whether a company would remain viable and meet its liabilities over a given time – which some commented had led to unhelpful and minimalist binary reporting in the viability statement – and more on the company’s actions to help ensure it remained viable, on which investors and other interested stakeholders could then form a view; and/or  ・企業が存続し,一定期間負債を返済し続けるかどうかに焦点を当てるのではなく(そのために,存続可能性報告書において,役に立たない,最小限のバイナリーレポートになっているとのコメントがあった),企業が存続し続けるための行動をより重視し,投資家や他の利害関係者は,それについて意見を形成すること。
•       including wider disclosures on sustainability, and matters arising from business operations that might be material to society and the environment, which took account of existing international and European Union proposals on sustainability reporting, highlighting any risks to a company’s resilience arising from major contract dependencies and complex business structures (including extensive use of subcontracting and out-sourcing).  - 持続可能性に関するより広範な開示、および事業運営から生じる社会と環境にとって重要な事項の開示。これは、持続可能性報告に関する既存の国際的な提案や欧州連合の提案を考慮し、大規模な契約依存や複雑な事業構造(下請けやアウトソーシングの大規模利用など)から生じる企業の回復力に対するあらゆるリスクを強調するものである。
3.1.5 While a large majority of business respondents, including business groups and individual companies, supported the introduction of a Resilience Statement, this support in many cases came with the following two qualifications. First, there was concern over the White Paper proposal that every Resilience Statement should address a minimum set of risks or resilience issues, such as a business continuity shock or major supply chain dependency. Both businesses and many investors argued that this could produce a tick-box approach to resilience reporting, while undermining the responsibility of the board of directors to determine what risk and resilience matters were specifically material for their company in any given year. Second, many companies were concerned about the proposal to mandate a minimum five-year forward look for the medium-term section of the Resilience Statement (the length of the longterm section being left to the discretion of each company). It was argued that this did not take account of the varying business cycles of different companies and sectors, and many businesses said it would not align with their typical three-year business planning process.  3.1.5 企業グループや個々の企業を含む回答者の大多数は、レジリエンス表明の導入を支持していたが、多くの場合、この支持には、次の二つの制約があった。第一に、すべてのレジリエンス・ステートメントが、事業継続のためのショックや主要なサプライチェーンへの依存など、最低限のリスクやレジリエンスの問題を扱うべきだという白書の提案に懸念がありました。企業も多くの投資家も、この提案はレジリエンス報告に対して画一的なアプローチになりかねず、また、どの年度のどのリスクやレジリエンス事項が自社にとって特に重要かを決定する取締役会の責任も損なわれる、と主張しました。第二に、レジリエンス・ステートメントの中期セクションについて、最低5年間のフォワードルックを義務付ける(長期セクションの長さは各社の裁量に委ねる)という提案に、多くの企業が懸念を抱いていました。これは、企業やセクターによって異なるビジネスサイクルを考慮に入れていないと主張し、多くの企業は、これが通常の3年間の事業計画プロセスとは一致しないと述べている。
3.1.6 Around a quarter of business respondents raised concerns, or otherwise asked for more clarification, on the proposal that companies should carry out two reverse stress tests each year and report on this within the Resilience Statement. Some commented that this risked providing commercially sensitive information and/or could create a false expectation that a company was genuinely at risk of failure. Others asked why two reverse stress tests were needed and suggested that just one test was needed which focused on the key variable in a company’s business model and planning which, if not managed correctly, could threaten its survival. A small number of respondents highlighted existing reverse stress testing requirements covering banks and other financial institutions and asked how the new obligation in the Resilience Statement would interact with those for companies subject to both measures.  3.1.6 企業の回答者の約四分の一は、企業が毎年二回の逆ストレステストを実施し、レジリエンス・ステートメントの中でこれを報告すべきという提案に懸念を示し、あるいはさらに明確にするよう求めました。一部の回答者は、これは商業的に敏感な情報を提供するリスクがある、および/または、企業が本当に破綻のリスクにさらされているという誤った期待を抱かせる可能性があるとコメントしています。また、なぜ2つの逆ストレステストが必要なのかという質問もあり、企業のビジネスモデルと計画のうち、正しく管理されなければ企業の存続を脅かす可能性のある重要な変数に焦点を当てた1つのテストだけが必要であると提案した。少数の回答者は、銀行や他の金融機関を対象とした既存の逆ストレステストの要件を強調し、レジリエンス・ステートメントにおける新しい義務が、両方の措置の対象となる企業のそれらとどのように相互作用するかを質問している。
3.1.7 A further concern, raised by a small number of business respondents, was over the proposal to expand the going concern statement to include material uncertainties that existed prior to the exercise of significant judgement or the taking of mitigating action by management. It was argued that this could potentially lead to disclosure of a long list of material uncertainties that routine management action rendered immaterial every year and so create an unjustified impression that a company was struggling to remain a going concern.  3.1.7 さらに、少数の企業回答者が提起した懸念は、継続企業の前提を拡大し、経営陣による重要な判断の行使や緩和措置の実施以前に存在した重要な不確実性を含めるという提案であった。これは、経営者の日常的な行動によって重要でなくなった重要な不確実性のリストを毎年開示することになり、企業が継続企業の地位を維持するのに苦労しているという不当な印象を与える可能性があるというものであった。
3.1.8 The White Paper also invited views on whether new mandatory reporting under the framework of the Taskforce on Climate-related Financial Disclosures (TCFD) should be included within the Resilience Statement in whole or part. A large majority of respondents were opposed to this, with most arguing that since TCFD reporting will be both substantial and focused on a particular issue, it should be reported separately. Nonetheless, a number of respondents noted the parallel short, medium and long-term structures of the Resilience Statement and the TCFD framework and said it would be helpful for companies to cross-refer to relevant TCFD disclosures within their Resilience Statement.  3.1.8 白書は、気候関連財務開示タスクフォ ース(TCFD)の枠組みに基づく新たな義務的報告の全部または一部をレジリエンス表明に 含めるべきかどうかについても意見を求めている。回答者の大多数はこれに反対しており、TCFDの報告は実質的であり、特定の問題に焦点を当てたものとなるため、個別に報告されるべきであると主張している。しかし、多くの回答者がレジリエンス・ステートメントとTCFDの枠組みが短期、中期、長期と並行して構成されていることを指摘し、企業がレジリエンス・ステートメントの中で関連するTCFDの開示を相互参照することは有用であると述べている。
3.1.9 Finally, a small number of business respondents said the Government should review whether the implementing legislation for the Resilience Statement should include a ‘safe harbour’ protection for directors given the greater and potentially longer-term information it would provide concerning the future of businesses. The reasoning here was that directors should be able to set out their views on the resilience of their business on the basis of what could be reasonably known and planned for at the time, and not be constrained by liability concerns which might arise if future events called into question those previous judgements and actions.  3.1.9 最後に、少数の企業回答者は、レジリエンス・ステートメントが企業の将来に関してより大きく、より長期的な情報を提供する可能性があることから、レジリエンス・ステートメントの実施法に取締役に対する「セーフハーバー」保護を含めるべきかどうかを政府が検討すべきであると述べている。その理由は、取締役は、その時点で合理的に知ることができ、計画することができたことに基づいて、事業のレジリエンスに関する見解を示すことができるべきであり、将来の出来事がそれらの以前の判断や行動を疑問視する場合に生じるかもしれない責任懸念に拘束されるべきではないというものであった。
Government response  政府の対応 
3.1.10 The Government welcomes the general support for the Resilience Statement proposal and the constructive feedback offered by many respondents on how it can be most effectively implemented. The Government intends to continue with this proposal, subject to the changes set out below. The Government confirms that the Resilience Statement will apply to companies which are Public Interest Entities in line with the size thresholds set out in Chapter 1 of this document (see paragraph 1.6.48); that is, public and private companies with 750 employees or more and an annual turnover of at least £750m.  3.1.10 政府は、レジリエンス・ステートメントの提案に対する全般的な支持と、それを最も効果的に実施する方法について多くの回答者から提供された建設的なフィードバックを歓迎する。政府は、以下に示す変更点を前提に、この提案を継続する意向である。政府は、レジリエンス・ステートメントが、本書第1章(1.6.48項参照)に示された規模の閾値に沿って、公益事業体、すなわち、従業員750人以上、年間売上高7億5000万ポンド以上の公共及び民間企業に適用されることを確認する。
Identification of material resilience matters  レジリエンスに関する重要事項の特定 
3.1.11 The Government accepts that mandating a common set of risks to be addressed in every statement would cut across the directors’ responsibility to identify, manage and report on those risk and resilience issues that are most material to their business. Instead, the Government intends to legislate for companies to report on matters that they consider a material challenge to resilience over the short and medium term, together with an explanation of how they have arrived at this judgement of materiality. In doing so, companies will be required to have regard to the following[1]:  3.1.11 政府は、すべての報告書で扱うべき共通のリスク群を義務付けることは、自社の事業にとって最も重要なリスクとレジリエンス の問題を特定、管理、報告するという取締役の責任を回避することになると受け止めている。その代わりに、政府は、企業が短期・中期的にレジリエンスにとって重要な課題と考える事項について、その重要性の判断に至った経緯の説明とともに報告することを法律化する予定である。その際、企業は以下の点に留意することが求められる[1]。
•       any materially significant financial liabilities or expected refinancing needs occurring during the assessment period of the short and medium term sections of the Resilience Statement;  ・レジリエンス・ステートメントの短期・中期セクションの評価期間中に発生する,重大な金融負債や借り換えの必要性の予想。
•       the company’s operational and financial preparedness for a significant and prolonged disruption to its normal business trading;  ・通常の事業取引に重大かつ長期的な支障が生じた場合の会社の業務及び財務上の備え。
•       significant accounting judgements or estimates contained in the company’s latest financial statements that are material to the future solvency of the company;  ・会社の最新の財務諸表に含まれる,会社の将来の支払能力にとって重要な会計上の判断や見積り。
•       the company’s ability to manage digital security risks, including cyber security threats and the risk of significant breaches of its data protection obligations;  ・サイバーセキュリティの脅威およびデータ保護義務の重大な違反のリスクを含む,デジタルセキュリティリスクの管理能力。
•       the sustainability of the company’s dividend policy;  ・会社の配当政策の持続可能性
•       any significant areas of business dependency with regard to the company’s suppliers, customers, products, contracts, services or markets which may constitute a material risk; and  ・会社のサプライヤー,顧客,製品,契約,サービス,市場に関して,重大なリスクを構成する可能性のある事業依存の重要な分野。
•       the impact on the company’s business model of climate change, to the extent that this is not already addressed by the company in other statutory reporting.  - 気候変動が会社のビジネスモデルに与 える影響(他の法定報告で取り上げられていない範囲で) 
3.1.12 Supporting guidance by the regulator will set out more detail of how the potential materiality of these matters should be considered as well as on the Resilience Statement as a whole.   3.1.12 規制当局による補助ガイダンスには、レジリエンス・ステートメント全 体に加え、これらの事項の潜在的重要性を 考慮する方法について、より詳細が規定 される予定である。 
3.1.13 On the suggestion by some respondents that the Resilience Statement should be a vehicle for sustainability reporting, in October the Government published “Greening Finance: A Roadmap to Sustainable Investing”[2], a roadmap which sets out plans for a new Sustainability Disclosures Requirement (SDR) regime for UK corporates, financial services firms, asset owners and financial products. It recognises the crucial role of industry, investors and stewardship in delivering a sustainable future. The new SDR regime will require disclosures relevant to enterprise value creation against International Sustainability Standards and disclosures relevant to a company’s impact on the environment using the UK’s Green Taxonomy. In preparing the implementing legislation for the Resilience Statement, and its supporting guidance, the Government and the regulator will consider how the Resilience Statement can effectively reference, make links to and provide a coherent reporting framework with wider sustainability disclosures.  3.1.13 一部の回答者によるレジリエンス・ステートメントを持続可能性報告の手段とすべきとの指摘に 対し、政府は、10 月に「Greening Finance: これは、英国の企業、金融サービス企業、資産家、金融商品に対する新しい持続可能性開示要件(SDR)体制の計画を定めたロードマップである。これは、持続可能な未来を実現するために、産業界、投資家、スチュワードシップが果たす重要な役割を認識するものである。新しい SDR 体制では、国際的な持続可能性基準に照らした企業価値の創造に関連する開示と、英国の Green Taxonomy を用いた企業の環境への影響に関連する開示が要求されます。レジリエンス・ステートメントの施行法およびそれを支えるガイダンスを作成するにあたり、政府と規制当局は、レジリエンス・ステートメントが、より広範な持続可能性の開示といかに効果的に参照、連携し、一貫した報告枠組みを提供できるかを検討する予定である。
Assessment period  評価期間 
3.1.14 The Government continues to believe that companies should be able to demonstrate to shareholders (where relevant) and other interested stakeholders that they are working to help ensure the resilience of the company’s business model, its financial base and its operations over the short, medium and long term. Nonetheless, the Government accepts that having a one-size-fits-all minimum assessment period would be inflexible, given the variation in business cycles and business planning processes across different companies and sectors. The Government therefore intends to replace the five-year mandatory assessment period previously proposed for the combined short- and medium-term sections of the Resilience Statement with an obligation on companies to choose and explain the length of the assessment period for the medium-term section. Companies will be required to include a description of how resilience planning over the chosen period aligns with the company’s strategy and business investment cycle[3]. If the assessment period is the same as the one chosen in the previous year, the company will need to explain why it continues to be justified.  3.1.14 政府は、企業が、株主(関連する場合)やその他の利害関係者に対して、短期、中期、長期にわたって企業のビジネスモデル、財務基盤、事業の回復力を確保するために努力していることを示すことができるべきであると引き続き考えている。しかしながら、政府は、企業やセクターによって事業サイクルや事業計画プロセスが異なることを考慮すると、一律の最低評価期間を設定することは柔軟性に欠けることを認めている。そこで政府は、レジリエンス・ステートメントの短期と中期を合わせたセクションについてこれまで提案されていた5年間の評価期間の義務付けに代えて、中期セクションの評価期間の長さを選択し説明することを企業に義務付ける予定である。企業は、選択した期間におけるレジリエンス計画が、企業の戦略や事業投資サイクルとどのように整合しているかについての説明を含めることが要求される[3]。評価期間が前年度に選択したものと同じである場合、企業は、それが引き続き正当化される理由を説明する必要がある。
High-level narrative  ハイレベルな説明 
3.1.15 The Government accepts that the statement should contain a high-level explanation of the company’s approach to maintaining or enhancing its operational and financial resilience over the short and medium term. This explanation should clearly set out how the company’s assumptions on resilience planning and risk management are influenced by and relate to its strategy on the one hand, and also the main trends and factors that are likely to affect the future development, performance and position of the company’s business[4]. This reporting should precede the company’s specific reporting on individual risk and resilience issues. Again, the supporting guidance by the regulator will provide more detailed advice on good practice.  3.1.15 政府は、声明に、短期および中期にわたって業務および財務のレジリエンスを維持または強化するための会社のアプローチに関するハイレベルな説明を含めるべきであると受け止めている。この説明では、レジリエンス計画とリスクマネジメントに関する会社の前提が、一方でどのように会社の戦略に影響され、関連しているか、また、会社の事業の将来の発展、業績、地位に影響を与えそうな主なトレンドと要因を明確に打ち出すべきである[4]。この報告は、個々のリスクとレジリエンスの問題に関する会社の具体的な報告に先行するものであるべきです。ここでも、規制当局による支援ガイダンスが、グッドプラクティスに関するより詳細なアドバイスを提供することになります。
Disclosure of principal risks and uncertainties  主要なリスクと不確実性の開示 
3.1.16 The Government recognises that, in the interest of integrated and holistic reporting on risk and resilience, the existing Strategic Report requirement on companies to describe the principal risks and uncertainties facing them should be incorporated within the Resilience Statement. The Government intends that companies within scope be given the flexibility to report these risks within the short- and/or medium-term sections of the Resilience Statement, noting that different kinds of risk or uncertainty may crystallise or resolve over different time periods.   3.1.16 政府は、リスクとレジリエンスに関する統合的かつ総合的な報告という観点から、企業が直面する主要なリスクと不確 実性を記述するよう求めている現行の戦略報告書を、レジリエンス表明に組み入れるべきであると認識している。政府は、さまざまな種類のリスクや不確実性が、異なる期間にわたって結晶化したり、解決されたりする可能性があ ることに留意し、対象範囲内の企業には、これらのリスクをレジリエンス表明の短期・中期セクションで報告する柔軟性が 与えられることを意図している。 
3.1.17 Given that companies’ existing description of their principal risks and uncertainties may well overlap with the new requirement to identify and report on material risk and resilience issues facing the company over the short to medium term, the Government intends that the implementing legislation will give companies flexibility to meet the existing requirement through their assessment of risk and resilience issues over the short to medium term. The implementing legislation will also require companies to report, for each risk or resilience issue identified over the short to medium term:  3.1.17 企業の主要なリスクと不確実性に関する既存の説明は、短中期的に企業が直面する重要なリスクとレジリエンス の問題を特定し報告するという新しい要件と重複する可能性が高いことから、政府は、実施法が企業に、短中期的 なリスクとレジリエンスの問題の評価を通じて既存の要件を満たす柔軟性を付与することを意図している。また、実施法では、企業は、短中期的に特定されたリスクやレジリエンスの課題ごとに、以下の事項を報告することが求められる。
•       the likelihood of the risk and its impact on the company’s operations or financial health if it were to materialise;  ・リスクが顕在化する可能性と,顕在化した場合の会社の業務または財務の健全性に対する影響。
•       the time period over which the risk is expected to remain, and potentially crystallise, if known;  - リスクが残存し、潜在的に結晶化すると予想される期間(もし分かっていれば)。
•       what mitigating action, if any, the company has put or plans to put in place to manage the risk; and  - リスクをマネジメントするために会社が実施した、または実施する予定の緩和措置(もしあれば)。
•       any significant changes to any of the above since the previous year’s Resilience Statement.  ・前年のレジリエンス・ステートメント以降に上記のいずれかに生じた重大な変更。
Reverse stress testing  リバース・ストレステスト 
3.1.18 The Government recognises that reverse stress testing may require significant time and internal management resource. However, this investment can provide management with valuable tools and insight with which to re-appraise a company’s capacity to cope with severe but plausible scenarios which, if not planned for properly, could cause the business to fail or otherwise lose the confidence of its customers and finance providers. The Government believes it is appropriate that large public interest entities should be able to demonstrate that they have undergone such a critical evaluation of their business’s key potential vulnerabilities. The Government also notes that a number of large businesses outside the financial services sector are already voluntarily making use of reverse stress testing to understand their resilience[5] and improve their risk management.  3.1.18 政府は、リバース・ストレステストにはかなりの時間と内部の管理リソースが必要であることを認識している。しかし、この投資は、もし適切な計画がなければ、事業の失敗や顧客や金融機関の信頼を失う原因となり得る、厳しいが、もっともらしいシナリオに対処する企業の能力を再評価するための貴重なツールや洞察を経営陣に提供することが可能です。政府は、大規模な公益事業体が、事業の主要な潜在的脆弱性についてこのような重要な評価を受けていることを実証できるようにすることが適切であると考えている。また、政府は、金融サービス部門以外の多くの大企業が、自社のレジリエンスを理解し[5]、リスクマネ ジメントを改善するために、すでに自主的にリバース・ストレステストを活用していることに留意している。
3.1.19 The Government therefore intends to continue with its proposal that companies within scope of the Resilience Statement should perform reverse stress testing. However, in light of the consultation feedback, companies will be required to perform at least one reverse stress test rather than a minimum of two. The Government also recognises the need for consistency between this new requirement and existing reverse stress testing obligations covering banks and insurance companies[6], while not replicating in full obligations that are designed to test solvency and capital adequacy in the financial system. It therefore intends that the Resilience Statement will require a company to:  3.1.19 従って、政府は、レジリエンス・ステートメントの適用範囲内の企業は逆ストレステストを実施すべきであるという提案を継続するつもりである。しかし、コンサルテーションフィードバックを考慮し、会社は最低2回のリバースストレステ ストではなく、最低1回のリバースストレステストを実施することが要求されることになります。政府は、この新しい要件と銀行や保険会社[6]を対象とする既存の逆ストレステストの義務との間の整合性の必要性も 認識していますが、金融システムの支払能力や資本の妥当性をテストするために設けられた義務を完全に複製する ことはありません。そのため、レジリエンス・ステートメントは、企業に対して以下を要求することを意図しています。
•       identify annually a combination of adverse circumstances which would cause its business plan to become unviable;   ・事業計画が実行不可能となるような不利な状況の組み合わせを毎年特定すること。
•       assess the likelihood of such a combination of circumstances occurring; and  ・そのような状況の組み合わせが発生する可能性を評価する。
•       summarise within the Resilience Statement the results of this assessment and any mitigating action put in place by management as a result. The summary would not be required to include any information which, in the opinion of the directors, would be seriously prejudicial to the commercial interests of the company.  ・この評価結果と,その結果経営陣が講じた緩和策をレジリエンス・ステートメントに要約すること。この要約には,会社の商業的利益を著しく損なうと取締役が判断した情報を含める必要はない。
3.1.20 The process should be documented and carried out according to the nature, size and complexity of the business. The supporting documentation will not be required to be published but should be available to the regulator to review on request. The Government will address in its design of the implementing legislation how banks and other financial service companies which already carry out mandatory reverse stress testing may rely on this existing activity to comply with the Resilience Statement requirement.  3.1.20 プロセスは、事業の性質、規模、複雑性に応じて文書化され、実施されなければならない。裏付けとなる文書は公表する必要はないが、規制当局が要求に応じて閲覧できるようにする必要がある。政府は、実施法の設計において、すでに強制的な逆ストレステストを実施している銀行やその他の金融サービス会社が、レジリエンス・ステートメントの要件に準拠するためにこの既存の活動に依存する方法について対処する予定である。
Material uncertainties  重要な不確実性 
3.1.21 The Government acknowledges the concern that requiring companies to disclose all material uncertainties to a company being a going concern prior to mitigating action or the use of significant judgement could potentially produce a long list of risks that are routinely rendered immaterial by business-as-usual action. At the same time, consultation responses from investors and other stakeholders show there is significant interest in understanding critical judgements or actions taken by management to conclude that an identified material uncertainty is no longer material.  3.1.21 政府は、緩和措置や重要な判断を行う前に、企業が継続企業であるための重要な不確実性をすべて開示することを義務付けると、通常通りの行動で重要性が低下するリスクの長いリストを作成する可能性があるという懸念を認識している。同時に、投資家や他の利害関係者からのコ ンサルテーションの回答は、識別された重要 な不確実性がもはや重要でないと結論づける ために経営者が行った重要な判断や行動を理解 することに、大きな関心があることを示してい る。
3.1.22 This information need is arguably already met to an extent by international accounting standards. International Accounting Standard 1 requires companies to disclose the management judgements that have had the most significant effect on the financial statements and also requires disclosure of major sources of estimation uncertainty. Additionally, since 2014, US GAAP has required that management’s initial going concern evaluation should not take account of mitigating actions that are ongoing.  3.1.22 この情報ニーズは、間違いなく、国際会計基 準によって既にある程度満たされている。国際会計基準1号は、財務諸表に最も重要な影響を与えた経営判断の開示を企業に求め、また、見積りの不確実性の主要な原因の開示も求めている。さらに、2014 年以降、米国会計基準では、経営者による最初の継続企業の評価は、進行中の緩和措置を考慮すべきではないとされている。
3.1.23 Balancing the need for proportionality with legitimate and wider investor interest in the going concern assessment process, the Government intends that companies within scope of the Resilience Statement should identify any material uncertainties to going concern, that existed prior to the taking of mitigating action or the use of significant judgement, which the directors consider are necessary for shareholders and other users of the statement to understand the current position and prospects of the business.   3.1.23 政府は、継続企業の評価プロセスにおける正当かつ幅広い投資家の関心と比例する必要性とのバランスを取りながら、レジリエンス・ステートメントの範囲内の会社は、緩和措置の実施や重要な判断の使用以前に存在した、株主やその他の計算書の利用者が事業の現状と展望を理解するために必要だと取締役が考える継続企業の重要な不確実性を特定すべきと意図している。 
Viability statement and Going Concern statement  実行可能性報告書と継続企業の報告書 
3.1.24 The Government confirms that, for companies within scope of the Resilience Statement, the existing viability statement provision in the UK Corporate Governance Code (Provision 31) extending to premium listed companies will be incorporated and adapted within the statutory requirements for the Resilience Statement. As part of this, and taking account of consultation feedback on the viability statement’s provisions on prospects and liabilities, the Government and the FRC will consider how the existing objectives of the viability statement can be adapted within the Resilience Statement, while meeting the aims set out in the White Paper and this response to deliver more meaningful and extensive reporting on risk and resilience.   3.1.24 政府は、レジリエンス・ステートメントの適用範囲内の企業について、プレミアム上場企業に適用される英国コーポレートガバナンス・コード(条項31)の既存のバイアビリティステートメントの条項が、レジリエンス・ステートメントの法定要件に組み込まれ、適合されることを確認した。この一環として、また、見通しと負債に関する実行可能性報告書の規定に関するコンサルテーションのフィードバックを考慮し、政府とFRCは、リスクと回復力に関するより有意義で広範な報告を実現するという白書とこの回答で示された目的を達成しつつ、実行可能性報告書の既存の目的を回復力報告書にどう適合させられるかを検討する。 
3.1.25 The Government and the FRC intend that the existing viability statement provision in the Code (Provision 31) will no longer apply after the Resilience Statement enters into force. Its removal will be subject to consultation by the FRC at the same time it consults on other proposed changes to the Code in response to the Government's final policy position set out in this response. Existing FRC guidance[7]37 under the Code on risk and viability will continue in force, since it is relevant to other Code Principles and Provisions relating to resilience and risk management[8]38 which will continue to apply to all companies that follow the Code.   3.1.25 政府とFRCは、レジリエンス・ステートメントの発効後、現行の実行可能性報告書の規定(条項31)を適用しないことを意図している。本回答で提示した政府の最終的な方針を受けて、FRCは規範の他の変更案について協議すると同時に、その削除について協議する予定である。リスクと実行可能性に関する既存のFRCガイダンス[7]37 は、レジリエンスとリスクマネジメントに関する他のコード原則と規定[8]38 に関連しており、コードに従う全ての企業に適用され続けるため、今後も効力を維持します。 
3.1.26 The FRC also intends to consult on removing Provision 30 from the Code, covering the Going Concern statement, on the basis that this will also be included and built on within the Resilience Statement, and also since all companies subject to the Code will continue to provide a Going Concern statement as required by accounting standards and company law, irrespective of whether they are subject to the new Resilience Statement requirement. Again, the FRC will retain its existing Code guidance on going concern, since it will remain of relevance to all companies which follow the Code.  3.1.26 また、FRCは、レジリエンス・ステートメントに含まれ、その基礎となる継続企業の前提条件(Going Concern Statement)を規定する第30条の削除について協議する意向である。また、FRCは、継続企業の前提に関する既存のコードガイダンスを維持します。なぜなら、このガイダンスは、コードに準拠する全ての企業にとって引き続き適切なものだからである。
Safe harbour  セーフハーバー 
3.1.27 The Government confirms that the Resilience Statement will form part of the Strategic Report. Information provided by directors in the Statement will therefore be covered by the existing ‘safe harbour’ provision in Section 463 of the Companies Act 2006. That means that directors would be liable to the company for untrue or misleading information in the Resilience Statement only if they knew the information was untrue or misleading (or were reckless as to whether it was so) or if they dishonestly concealed a material fact.  3.1.27 政府は、レジリエンス・ステートメントが戦略的報告書の一部を構成することを確認した。そのため、取締役が声明で提供する情報は、2006年会社法第463条にある既存の「セーフハーバー」条項の対象となる。つまり、取締役がレジリエンス・ステートメントにおける虚偽または誤解を招く情報に対して会社に対して責任を負うのは、その情報が虚偽または誤解を招くと知っていた場合(あるいはそのような情報かどうか無謀だった場合)、あるいは重要事実を不誠実に隠蔽した場合に限られる、ということである。
[1] This list of matters to which companies will be required to have regard does not necessarily reflect the precise wording that will be set out in the implementing legislation in due course.  [1] 企業が考慮する必要のある事項のリストは、今後施行される法律で規定される正確な文言を必ずしも反映しているわけではありません。
[2] https://www.gov.uk/government/publications/greening-finance-a-roadmap-to-sustainable-investing 
[3] Existing FRC guidance on the viability statement asks companies to take account of its investment and planning periods in choosing their assessment period, but does not require them to explain how the assessment period aligns with both the investment cycle and company strategy.  [3] 生存能力報告書に関する既存のFRCガイダンスは、評価期間を選択する際に投資期間と計画期間を考慮するよう企業に求めていますが、評価期間が投資サイクルと企業戦略の両方とどのように整合するかを説明するよう求めてはいません。
(https://www.frc.org.uk/getattachment/d672c107-b1fb-4051-84b0-f5b83a1b93f6/Guidance-on-Risk-ManagementInternal-Control-and-Related-Reporting.pdf) 
[4] Section 414C of the Companies Act already requires quoted companies’ strategic reports to include a description of their strategy and of the main trends and factors likely to affect the future development, performance and position of the company’s business.  [4] 会社法414条C項では、既に上場会社の戦略報告書に、戦略、及び会社の事業の将来の発展、業績、地位に影響を及ぼす可能性のある主な傾向や要因についての説明を含めるよう求めている。
[5] The FRC’s Thematic Review of the Going Concern and Viability Statements published in September 2021 found that 5 of the 27 non-financial service companies it sampled which had prepared a viability statement had also carried out a reverse stress test.  [5] 2021年9月に公表されたFRCの継続企業報告書及び実行可能性報告書のテーマ別レビューでは、サンプリングした非金融サービス企業27社のうち、実行可能性報告書を作成していた5社が逆ストレステストも行っていたことが判明しています。
[6] For example, see the existing FCA rules on reverse stress testing under the Senior Management, Systems and Controls Framework [web] [6] 例えば、シニアマネジメント、システム及びコントロールの枠組みの下でのリバースストレステストに関する既存のFCA規則を参照 
[7] https://www.frc.org.uk/getattachment/d672c107-b1fb-4051-84b0-f5b83a1b93f6/Guidance-on-RiskManagement-Internal-Control-and-Related-Reporting.pdf
37       In particular:  37 特に 
Principles N + O – The board should present a fair, balanced and understandable assessment of the company’s position and prospects. The board should establish procedures to manage risk, oversee the internal control framework, and determine the nature and extent of the principal risks the company is willing to take in order to achieve its long-term strategic objectives. 原則N+O - 取締役会は、会社の立場と見通しについて、公正でバランスのとれた理解しやすい評価を示すべきである。取締役会は、リスクを管理する手続きを確立し、内部統制の枠組みを監督し、長期的な戦略目標を達成するために会社が取ることをいとわない主要なリスクの性質と範囲を決定すべきである。
Provision 1 – The board should describe in the annual report how opportunities and risks to the future success of the business have been considered and addressed, the sustainability of the company’s business model and how its governance contributes to the delivery of its strategy  規定1 - 取締役会は、事業の将来の成功に対する機会とリスクがどのように考慮され、対処されたか、会社のビジネスモデルの持続可能性、および会社のガバナンスが戦略の実現にどのように寄与しているかを年次報告書に記述するものとする。
Provision 28 - The board should carry out a robust assessment of the company’s emerging and principal risks.9 The board should confirm in the annual report that it has completed this assessment, including a description of its principal risks, what procedures are in place to identify emerging risks, and an explanation of how these are being managed or mitigated. 規定 28 - 取締役会は、会社の新興リスクと主要リスクについて確固たる評価を行うべきである9 。取締役会 は、主要リスクの説明、新興リスクを特定するためにどのような手続きが行われているか、およびそれらが どのようにマネジメントまたは緩和されているかの説明を含め、この評価が完了していることを年次報告書 で確認しなければならない。

 

 

| | Comments (0)

2023.02.23

厚生労働省 意見募集 医療情報システムの安全管理に関するガイドライン第6.0版」の骨子(案) (2023.02.16)

こんにちは、丸山満彦です。

厚生労働省が「医療情報システムの安全管理に関するガイドライン第6.0版」の骨子(案)」について意見募集をしていますね。。。

このガイドラインは、「健康・医療・介護情報利活用検討会
」の「医療等情報利活用ワーキンググループ」で議論されてきていますので、合わせて関係しそうな資料も・・・

 

まずは、e-Govのパブコメ...

e-Gov

・2023.02.16 「医療情報システムの安全管理に関するガイドライン第6.0版」の骨子(案)に関する御意見の募集について

・[PDF] 「医療情報システムの安全管理に関するガイドライン第6.0版」の骨子(案) [downloaded]

20230223-11023

 


2.第 6.0 版の骨子(案)

ガイドライン第 5.2 版の本編と別冊について、内容面の必要な見直しを行った上で、対象とする読者類型ごとに分冊化を行い、①各編に共通する前提内容を整理した概説編(Overview)、②医療機関等において組織の経営方針を策定し意思決定を担う経営層を対象とした経営管理編(Governance)、③医療情報システムの安全管理(企画管理、システム運営)の実務を担う担当者を対象とした企画管理編(Management)、④医療情報システムの実装・運用の実務を担う担当者を対象としたシステム運用編(Control)の4編構成とする。

4編については、それぞれ以下の内容を記載するものとする。

① 概説編(Overview)
各編を理解する上で前提となる考え方や各編の概要等を示すものとする。主な内容は以下のとおり。
・ ガイドラインの目的
・ ガイドラインの対象
(医療機関等の範囲、医療情報・文書の範囲、医療情報システムの範囲)
・ ガイドラインの構成、読み方
・ ガイドラインの各編を読むに当たって前提となる考え方
(医療情報システムの安全管理の目的、安全管理に必要な要素、関連する法令等)

② 経営管理編(Governance)
主に以下の内容について、経営層として遵守・判断すべき事項、企画管理やシステム運営の担当部署及び担当者に対して指示、管理すべき事項とその考え方を示すものとする。
・ 医療情報システムの安全管理に関する責任・責務
・ リスク評価を踏まえた管理
(情報セキュリティマネジメントシステム(ISMS)の実践等)
・ 医療情報システムの安全管理全般
(経営層による内部統制、情報セキュリティ対策の設計及び管理、事業継続計画(BCP)の整備を含む情報セキュリティインシデントへの対策等)
・ 医療情報システム・サービス事業者との協働
(当該事業者の選定、管理、当該事業者との責任分界等)

③ 企画管理編(Management)
主に以下の内容について、医療機関等において組織体制や情報セキュリティ対策に係る規程の整備等の統制等の安全管理の実務を担う担当者として遵守すべき事項、医療情報システムの実装・運用に関してシステム運用担当者に対する指示・管理を行うに当たって遵守すべき事項とその考え方を示すものとする。
・ 医療情報システムの安全管理全般
(関連する法制度、安全管理方針の策定、責任分界、管理・監査体制、必要な規程・文書類の整備、職員及び委託先の医療情報システム・サービス事業者の人的管理等)
・ リスクアセスメント(リスク分析・評価)とリスクマネジメント(リスク管理)
・ 情報管理(情報の持ち出し、破棄等)
・ 医療情報システムに用いる情報機器等の管理
・ 非常時(災害、サイバー攻撃、システム障害)の対応と非常時に備えた通常時からの対策
・ サイバーセキュリティ対策
(通常時、サイバー攻撃に起因する非常時及び復旧対応時における対応を整理した計画の整備等)
・ 医療情報システムの利用者に関する認証等及び権限管理
・ 法令で定められた記名・押印のための電子署名

④ システム運用編(Control)
主に以下の内容について、医療機関等の経営層や企画管理者の指示に基づき、医療情報システムを構成する情報機器、ソフトウェア、インフラ等の各種資源の設計、実装、運用等の実務を担う担当者として適切に対応すべき事項とその考え方を示すものとする。
・ 医療情報システムの安全管理における技術的対策
(端末等の情報機器、ソフトウェア、ネットワークに対する安全管理措置等)
・ システム設計・運用に必要な規程類と文書体系
・ 技術的な対応における責任分界
・ リスクアセスメントを踏まえた安全管理対策
・ 非常時(災害、サイバー攻撃、システム障害)の対応と非常時に備えた通常時からの対策
・ サイバーセキュリティ対策
(情報機器等の脆弱性対策、バックアップの実施・管理等)
・ 医療情報システムの利用者や連携するアプリケーションの認証等及び権限管理
・ 電子署名に関する技術的対応

○ 各医療機関等が、それぞれの特性に応じたかたちでガイドラインを遵守し、必要な安全管理を確保できるよう、医療機関等の組織体制(専任のシステム運用担当者の有無)や稼働している医療情報システムの構成(オンプレミス型/クラウドサービス型)、採用しているサービス形態(医療情報システム・サービス事業者による提供サービスの範囲)等に応じたガイドラインの参照パターンを例示するとともに、当該パターンに応じた参照項目を示すこととする。

○ 4編に加え、Q&Aや用語集、小規模医療機関(病院、診療所、薬局等)向けの特集、サイバーセキュリティ対策に関する特集等により、4編の内容面の補足を行うものとする。


 

この骨子に至る議論に一端...

健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ

・2023.02.13 第14回

「医療情報システムの安全管理に関するガイドライン」について

資料

 

・2022.12.15 第13回

  1. (1)救急医療時における「全国で医療情報を確認できる仕組み (ACTION1) 」について
  2. (2)「医療情報システムの安全管理に関するガイドライン」について
  3. (3)医療機関におけるサイバーセキュリティ対策について(報告)
  4. (4)インシデント発生時初動対応支援事例及び課題報告(一般社団法人ソフトウェア協会講演)
  5. (5)その他

議事録

森田座長はもちろんですが、高倉先生、山本先生、喜多先生、萩原さん等、知った方が活躍されていますね。。。

資料

20230223-15542

20230223-15640

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.04.04 厚生労働省 医療情報システムの安全管理に関するガイドライン 第5.2版(令和4年3月)

・2021.02.02 厚生労働省 医療情報システムの安全管理に関するガイドライン 第5.1版(令和3年1月)

・2020.10.05 厚生労働省 医療情報システムの安全管理に関するガイドライン第5.1版(案)に関する御意見の募集について

・2020.08.23 総務省 経済産業省 「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」(案)に対する意見募集の結果及び当該ガイドラインの公表

・2020.03.27 厚労省 医療情報システムの安全管理に関するガイドライン 改定素案(第 5.1 版)

・2020.03.10 厚労省の「医療情報システムの安全管理に関するガイドライン」の改訂作業が始まりましたね。。。

・2020.03.06 「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」(案)に対する意見の募集

10年以上遡ると...

・2009.12.26 厚生労働省 パブコメ 「医療情報システムの安全管理に関するガイドライン 第4.1版(案)」

・2009.11.22 パブコメ 厚生労働省 「診療録等の保存を行う場所について」の一部改正

・2009.07.17 総務省 確定 「ASP・SaaS事業者が医療情報を取り扱う際の安全管理に関するガイドライン」

・2009.05.23 総務省 パブコメ 「ASP・SaaS事業者が医療情報を取り扱う際の安全管理に関するガイドライン(案)」

・2009.04.09 厚生労働省 確定 医療情報システムの安全管理に関するガイドライン 第4版

・2008.03.08 厚生労働省 パブコメ 「医療情報システムの安全管理に関するガイドライン第3版(案)」 & 経済産業省 パブコメ 「医療情報を受託管理する情報処理事業者向けガイドライン案」

・2007.04.14 厚生労働省 確定 「医療情報システムの安全管理に関するガイドライン 第2版」

・2005.04.09 医療情報システムの安全管理に関するガイドライン

・2005.03.05 医療情報システム パブコメ



| | Comments (0)

2023.02.22

ENISA 相互運用可能なEUのリスク管理フレームワーク・ツールボックス

こんにちは、丸山満彦です。

ENISAは相互運用可能なEUのリスク管理フレームワークについての文書を発行しておりますが、その文書を補完?する位置付けとしてソリューションを紹介するツールボックスを公表しましたね。。。

サイバーセキュリティ対策はリスクマネジメントの一部ですから、当たり前なのですが、組織内にリスクマネジメントの仕組みがあればそれと整合するように設計、運用するのが良いわけです。。。組織が参考しているリスクマネジメントのフレームワークを理解し、このような文書を利用して整合性をとることが容易になるかもですね。。。

 

ENISA

・2023.02.21 Interoperable EU Risk Management Toolbox

Interoperable EU Risk Management Toolbox 相互運用可能なEUリスクマネジメント・ツールボックス
This document presents the EU RM toolbox, a solution proposed by ENISA to address interoperability concerns related to the use of information security RM methods. The toolbox aims to facilitate the smooth integration of various RM methods in an organisation’s environment or across organisations and bridge the gaps associated with the methods’ disparate respective approaches. With the help of the toolbox, shareholders will be able to have a common understanding of risks and report interoperable risk assessment results to the community and competent authorities. 本書は、情報セキュリティのリスクマネジメント手法の使用に関連する相互運用性の懸念に対処するためにENISAが提案したソリューションであるEU RMツールボックスを提示するものである。このツールボックスは、組織の環境内または組織間の様々なリスク管理手法の円滑な統合を促進し、手法ごとの異種アプローチに関連するギャップを埋めることを目的としている。本ツールボックスを利用することで、株主はリスクを共通に理解し、相互運用可能なリスク評価結果をコミュニティや所轄官庁に報告することができるようになる。

 

・[PDF]

20230222-82914

 

エグゼクティブサマリー...

Executive summary エグゼクティブサマリー
The benefits of the European digital economy and society can only be fully attained under the premise of cybersecurity. All layers of society can be affected and the EU needs to be ready to respond to massive (large-scale and cross-border) cyberattacks and cyber crises. Cross-border interdependencies have highlighted the need for effective cooperation between EU Member States and EU institutions for a faster response and proper coordination of efforts at all levels (strategic, operational, technical and communications). Under this perspective, it is important not only to define interoperable terms in EU risk management (RM) and regulatory frameworks, but also to develop common/comparative risk scales, which will allow for the interpretation of the risk analysis outputs that result from different RM methods, so that the risk levels are comparable. 欧州のデジタル経済・社会がもたらす恩恵は、サイバーセキュリティを前提として初めて完全に達成される。社会のあらゆる層が影響を受ける可能性があり、EUは大規模な(大規模で国境を越えた)サイバー攻撃やサイバー危機に対応する準備が必要である。国境を越えた相互依存関係は、より迅速な対応とあらゆるレベル(戦略、運用、技術、コミュニケーション)における努力の適切な調整のために、EU加盟国とEU機関の間の効果的な協力の必要性を浮き彫りにしている。このような観点から、EUのリスクマネジメント(RM)および規制の枠組みにおいて相互運用可能な用語を定義するだけでなく、異なるRM手法から得られるリスク分析結果の解釈を可能にする共通/比較可能なリスク尺度を開発し、リスクレベルを比較可能にすることが重要である。
This document presents the EU RM toolbox, a solution proposed by ENISA to address interoperability concerns related to the use of information security RM methods. The toolbox aims to facilitate the smooth integration of various RM methods in an organisation’s environment or across organisations and bridge the gaps associated with the methods’ disparate respective approaches. With the help of the toolbox, shareholders will be able to have a common understanding of risks and report interoperable risk assessment results to the community and competent authorities. 本書は、情報セキュリティのRM手法の使用に関連する相互運用性の懸念に対処するためにENISAが提案したソリューションであるEU RMツールボックスを提示するものである。ツールボックスは、組織環境内または組織間での様々なRM手法の円滑な統合を促進し、手法ごとの異質なアプローチに関連するギャップを埋めることを目的としている。ツールボックスの支援により、株主はリスクについて共通の理解を持ち、相互運用可能なリスク評価結果をコミュニティや所轄官庁に報告することができるようになる。

 

序文...

 

1. Introduction 1. 序文
1.1. Purpose and scope 1.1. 目的及び範囲
This report is part of ENISA’s project ‘Building interoperable EU risk management frameworks vol. 02’, which extends and builds on prior work carried out in 2021 and produced the following reports: 本報告書は、ENISAのプロジェクト「相互運用可能なEUリスクマネジメントの枠組み構築 vol.02」の一部であり、2021年に実施された先行作業を拡張・構築して、以下の報告書を作成したものである。
1. 相互運用が可能なリスクマネジメントフレームワークの大要 1. 相互運用可能な EU リスクマネジメントフレームワーク
2. Compendium of Risk Management Frameworks with Potential Interoperability  2. 相互運用が可能なリスクマネジメントフレームワークの大要
The interoperable EU RM toolbox (also referred to in this document as the ‘toolbox’) aims to provide a reference framework that supports the interpretation, comparison and aggregation of the results produced by different risk assessment methods. The EU RM toolbox will allow different stakeholders to work on common threats and risk scenarios and compare their risk levels, even if they are assessed through different or proprietary tools and methods. Such comparative results on the security posture of the organisations will allow different organisations, along with policymakers and regulators, to develop an integrated view on the cybersecurity posture of organisations against specific and/or emerging threats in specific sectors, and across different sectors and countries. 相互運用可能なEUリスクマネジメントツールボックス(本書では「ツールボックス」と呼ぶ)は、異なるリスク評価手法によって得られた結果の解釈、比較、集計を支援する参照フレームワークを提供することを目的としている。EUのRMツールボックスは、異なる利害関係者が共通の脅威とリスクシナリオに取り組み、異なるまたは独自のツールや手法で評価されたとしても、そのリスクレベルを比較することを可能にするものである。組織のセキュリティ態勢に関するこのような比較結果は、政策立案者や規制当局とともに、異なる組織が、特定の部門、異なる部門や国にわたる特定の脅威や新たな脅威に対する組織のサイバーセキュリティ態勢について、統合的な見解を展開することを可能にする。
To this end, the EU RM toolbox will provide directions and facilitate the comparison and interpretation of the cybersecurity readiness of different information systems infrastructures against a specific threat scenario or a set of threat scenarios (e.g. physical threats). この目的のために、EU RM ツールボックスは、特定の脅威シナリオまたは一連の脅威シナリオ(例:物理的脅威)に対する異なる情報システム基盤のサイバーセキュリティ準備の方向性を提供し、比較と解釈を促進するものである。
The objective of this document is to define a scheme and the required set of components (common terminology, assets classification, threat taxonomy and impact/risk scales) that will allow for the interpretation of the risk analysis outputs that result from different RM frameworks. この文書の目的は、異なる RM フレームワークから得られるリスク分析結果の解釈を可能にするスキームと必要な構成要素(共通用語、資産分類、脅威分類法、影響・リスク尺度)を定義することである。
1.2. Report structure 1.2. 報告書の構成
This report includes four sections: Section 1 (Introduction) defines the toolbox’s purpose and scope; Section 2 (Interoperable EU RM toolbox) presents the concept, the scheme and the components of the toolbox; Section 3 (Method of use) outlines the way in which the EU RM toolbox will be used by stakeholders; and Section 4 (Toolbox evolvement) proposes ways in which the toolbox can be further enriched with additional information to achieve its long-term objectives. Section 5 (Conclusions) summarises our conclusions. 本報告書は 4 つのセクションから構成されている。セクション1(序文)はツールボックスの目的と範囲を定義し、セクション2(相互運用可能なEU RMツールボックス)はコンセプト、スキーム、ツールボックスの構成要素を示し、セクション3(使用方法)はEU RMツールボックスの関係者による使用方法の概要を示し、セクション4(ツールボックス進化)はツールボックスがその長期目的を達するために追加情報でさらに充実できる方法を提案している。セクション5(結論)は、我々の結論を要約したものである。
This report also includes the following annexes: 本報告書には、以下の附属書も含まれている。
• Annex I – Terminology ・附属書 I - 用語集
• Annex II – Assets ・附属書II - 附属書II - 資産
• Annex III – Threats ・附属書III - 脅威
• Annex IV – Impact levels ・附属書IV - 影響度
• Annex V – Risk levels ・附属書V - リスクレベル
• Annex VI – Risk calculation interoperability samples ・附属書VI - リスク算出の相互運用性サンプル
• Annex VII – Toolbox libraries ・附属書VII - ツールボックスライブラリ
• Annex VIII – Use case example. ・附属書VIII - ユースケース例

 

Fig1_20230222090801

Figure 1: The role of the EU RM toolbox and its positioning in the RM process

Fig2_20230222090901

Figure 2: EU RM toolbox evolvement

 

目次...

1. INTRODUCTION 1. 序文
1.1. Purpose and scope 1.1. 目的及び範囲
1.2. Report structure 1.2. 報告書の構成
1.3. Definitions of abbreviations 1.3. 略語の定義
2. INTEROPERABLE EU RM TOOLBOX 2. 相互運用可能な EU RM ツールボックス
2.1. Method of work 2.1. 作業方法
2.2. EU RM toolbox description 2.2. EU RM ツールボックスの説明
2.3. Toolbox components 2.3. ツールボックスの構成要素
2.3.1.Knowledge base 2.3.1.ナレッジベース
2.3.2. Functional components 2.3.2. 機能コンポーネント
3. METHOD OF USE 3. 使用方法
3.1. Basic concepts and terms 3.1. 基本的な考え方と用語
3.2. Risk evaluation against a specific threat 3.2. 特定の脅威に対するリスク評価
3.3. Use case development process 3.3. ユースケース開発プロセス
4. TOOLBOX EVOLVEMENT 4. ツールボックスの進化
5. CONCLUSIONS 5. 結論
A Annex I – Toolbox terminology A 附属書 I - ツールボックスの用語集
B Annex II – Toolbox asset classification B 附属書II - ツールボックスの資産分類
C Annex III – Toolbox threat taxonomy C 附属書III - ツールボックスの脅威分類法
D Annex IV – Toolbox impact scale D 附属書IV - ツールボックスの影響尺度
E Annex V – Toolbox risk scale E 附属書V - ツールボックスのリスク尺度
F ANNEX VI – Risk calculation interoperability samples F 附属書VI - リスク計算の相互運用性サンプル
G Annex VII – Toolbox libraries G 附属書VII - ツールボックスライブラリ
H Annex VIII – Use case example H 附属書VIII - ユースケース例
Scenario description シナリオの説明
Indicative assets in scope 対象範囲に含まれる主な資産
Attack path 攻撃経路
Attack scenarios 攻撃シナリオ
Deliverables 成果物
6. BIBLIOGRAPHY / REFERENCES 6. 書誌・参考文献

 

ツール...

| | Comments (0)

ENISA 単一計画文書2023-2025

こんにちは、丸山満彦です。

ENISAが2023−2025年の活動計画を公表しています。。。まだ詳細は読んでいませんが、日本の同様の組織でも参考になるかもしれません。。。

インフレ等もあって予算が厳しいのはどこも同じかもしれませんね。。。

 

ENISA

・2023.02.20 ENISA Single Programming Document 2023-2025

20230222-54328

Juhan Lepassaar Executive Directorの序文...

Foreword まえがき
The strong cyber dimension of the Russian war of aggression against Ukraine and its reflections in the cybersecurity threat landscape have once again emphasised the role of cybersecurity as a cornerstone of a digital and connected Europe. Despite the spill-overs and direct attacks, by-and-large the EU has been able to deal with the cyber threats posed by the Russian aggression through the resilience of its Member States and across Europe, as well as forging support and cooperation with Ukraine and other allies and partners.  ロシアのウクライナに対する侵略戦争のサイバー的側面と、サイバーセキュリティの脅威の状況におけるその反映は、デジタルでつながったヨーロッパの基礎としてのサイバーセキュリティの役割を再び強調することとなった。波及効果や直接的な攻撃にもかかわらず、EUは、加盟国や欧州全体のレジリエンスを高め、ウクライナをはじめとする同盟国やパートナーとの支援や協力関係を築くことによって、おおむねロシアの侵略によってもたらされたサイバー脅威に対処することができたと言える。
Within this context, ENISA’s challenge is both to keep pace and set the pace in supporting the Union in achieving a high common level of cybersecurity across Europe. This Single Programming Document (SPD) for the years 2023-2025 represents another step in bringing this about.  このような状況の中で、ENISAの課題は、欧州全体で高い共通レベルのサイバーセキュリティを達成するために、欧州連合を支援するペースを維持し、かつペースを設定することである。2023年から2025年までのこの単一計画文書(SPD)は、これを実現するための新たなステップを意味する。
Firstly, it puts emphasis on strengthening the resilience of Member States and EU institutions, bodies and agencies. In 2023, approximately half of ENISA’s operational resources, both budget and human resources, will be dedicated to enhancing operational cooperation and building capacity. Together with the one-off support of up to 15 million EUR, which the European Commission allocated to ENISA in Autumn 2022, the Agency will be able to massively scale up and expand its ex-ante and ex-post services to Member States in 2023.  まず、加盟国およびEUの機関、団体、機関のレジリエンスを強化することに重点を置いている。2023年には、ENISAの運営資源(予算と人的資源の両方)の約半分が、業務協力の強化と能力構築に充てられる。2022年秋に欧州委員会がENISAに割り当てた最大1,500万ユーロの単発支援と合わせると、2023年には加盟国に対する事前・事後のサービスを大規模に拡大・拡張することができるだろう。
Secondly, building on the outcomes of strategic discussions within its Management Board throughout 2022, the Agency has developed service packages in key areas of its mandate. They integrate ENISA’s various outputs across different activities, help the agency to prioritise its actions, build and make use of internal synergies, and ensure that adequate resources are reserved across the Agency in a transparent manner.  第二に、2022年を通じて経営委員会で行われた戦略的議論の成果を踏まえて、同庁はその任務の主要分野におけるサービス・パッケージを開発した。これらは、ENISAのさまざまな活動を統合し、活動の優先順位付け、内部シナジーの構築と活用を支援し、透明性のある方法でENISA全体に十分なリソースが確保されるようにするものである。
Thirdly, through this work-programme ENISA will endeavour to help Member States to prepare for the transposition of the reviewed NIS Directive, as well as to prepare the ground for the roll-out and implementation of the EU cybersecurity certification schemes. 第三に、ENISAは、この作業計画を通じて、加盟国が見直されたNIS指令の移行の準備をするのを支援し、EUサイバーセキュリティ認証制度の展開と実施のための基盤を整えることに努める。
Finally, recognising the growing need to bring together the EU's activities and resources across the cybersecurity communities, this SPD establishes a new activity in the area of research and innovation to structure the Agency’s cooperation and collaboration with the European Cybersecurity Competence Centre (ECCC) and its emerging networks.  最後に、サイバーセキュリティのコミュニティ全体にわたってEUの活動と資源をまとめる必要性が高まっていることを認識し、このSPDは、欧州サイバーセキュリティ能力センター(ECCC)とその新興ネットワークとの協力・連携を構築するために、研究・イノベーションの分野で新たな活動を確立している。
All those areas also accentuate the resource constraints under which the Agency now operates. The foreseen budget increase for the 2023 work programme has been fully absorbed by the increase in staff expenditure and inflation. Due to a shortfall of over 3 million EUR, the Agency has had to reduce the scope of some of its operational activities, limiting the number of exercises and training it rolls-out or postponing its actions in countering ransomware.  また、これらの分野はすべて、同庁が現在運用している資源の制約を際立たせている。2023年作業計画のために予期された予算増額は、職員の支出増とインフレによって完全に吸収された。300万ユーロ以上の予算不足のため、同庁は一部の活動範囲を縮小せざるを得ず、演習や訓練の実施回数を制限したり、ランサムウェア対策の活動を延期したりしている。
Such reductions mean drawbacks in certain areas and might become a real obstacle if new tasks should be added to the Agency without a parallel increase in its resources. Thus, though ENISA welcomes the pioneering set of cybersecurity initiatives being put forward in 2022 and relishes the different and varied roles they imply for the Agency, it needs to have the right level of human and financial resourcing to match those aims and ambitions.  このような削減は、特定の分野での後退を意味し、ENISAの資源が並行して増加することなく新たな任務が追加される場合には、真の障害になる可能性がある。したがって、ENISAは、2022年に打ち出される一連の先駆的なサイバーセキュリティ・イニシアチブを歓迎し、それらが同機関に意味するさまざまな多様な役割を喜んでいるが、これらの目的と野心に見合う適切なレベルの人材と資金を確保する必要がある。
The EU has been mastering cybersecurity initiatives and structures not least through a unique general consensus across parties and across Member States as its prime driving force. This consensus should now also include the resourcing of the Agency. This would give the Union the ability it needs to steer cybersecurity developments in the years to come.  EUはサイバーセキュリティの取り組みと構造を獲得してきたが、その主要な推進力として、政党や加盟国を超えた独自の一般的なコンセンサスを得てきた。このコンセンサスには、現在、サイバーセキュリティ機関の資金調達も含まれるはずである。そうすれば、今後数年間、サイバーセキュリティの発展に舵を切るために必要な能力を連合に与えることができるだろう。

 

ミッション、戦略...Fig01_20230222060401

MISSION STATEMENT ミッションステートメント
The mission of the European Union Agency for Cybersecurity (ENISA) is to achieve a high common level of cybersecurity across the Union in cooperation with the wider community. It does this through acting as a centre of expertise on cybersecurity, collecting and providing independent, high quality technical advice and assistance to Member States and EU bodies on cybersecurity. It contributes to developing and implementing the Union’s cybersecurity policies. Our aim is to strengthen trust in the connected economy, boost resilience and trust of the Union’s infrastructure and services and keep our society and citizens digitally secure. We aspire to be an agile, environmentally and socially responsible organisation focused on people. 欧州連合サイバーセキュリティ機関(ENISA)の使命は、より広いコミュニティと協力しながら、欧州連合全体で高い共通レベルのサイバーセキュリティを実現することである。これは、サイバーセキュリティに関する専門知識の中心地として活動し、サイバーセキュリティに関する独立した質の高い技術的助言と支援を加盟国およびEU諸機関に収集・提供することによって実現される。また、EUのサイバーセキュリティ政策の立案と実施に貢献している。私たちの目標は、接続された経済に対する信頼を強化し、EUのインフラとサービスのレジリエンスと信頼性を高め、社会と市民のデジタルセキュリティを維持することである。私たちは、俊敏で環境と社会に配慮した、人に焦点を当てた組織であることを目指す。
STRATEGY 戦略
CYBERSECURITY POLICY サイバーセキュリティ方針
Cybersecurity is the cornerstone of digital transformation and the need for it permeates all sectors, therefore it needs to be considered across a broad range of policy fields and initiatives. Cybersecurity must not be restricted to a specialist community of technical cybersecurity experts. Cybersecurity must therefore be embedded across all domains of EU policies. Avoiding fragmentation and the need for a coherent approach while taking into account the specificities of each sector is essential. サイバーセキュリティは、デジタル変革の基礎であり、その必要性はすべてのセクターに浸透しているため、幅広い政策分野とイニシアチブで検討する必要がある。サイバーセキュリティは、サイバーセキュリティの技術的な専門家集団に限定されるものであってはならない。したがって、サイバーセキュリティは、EUの政策のすべての領域にわたって組み込まれなければならない。断片化を避け、各分野の特殊性を考慮しつつ、首尾一貫したアプローチをとることが必要である。
OPERATIONAL COOPERATION 運用協力
The benefits of the European digital economy and society can only be fully attained under the premise of cybersecurity. Cyber-attacks know no borders. All layers of society can be impacted and the Union needs to be ready to respond to massive (large-scale and cross-border) cyber-attacks and cyber crisis. Cross-border interdependencies have highlighted the need for effective cooperation between Member States and the EU institutions for faster response and proper coordination of efforts at all levels (strategic, operational, technical and communications). 欧州のデジタル経済と社会がもたらす恩恵は、サイバーセキュリティを前提にして初めて十分に達成される。サイバー攻撃には国境がない。社会のあらゆる層が影響を受ける可能性があり、EUは大規模な(大規模かつ国境を越えた)サイバー攻撃やサイバー危機に対応する準備が必要である。国境を越えた相互依存関係により、加盟国とEU機関が効果的に協力し、迅速な対応とあらゆるレベル(戦略、運用、技術、コミュニケーション)における努力の適切な調整を行う必要性が浮き彫りになっている。
CAPACITY BUILDING 能力開発
The frequency and sophistication of cyberattacks is rising speedily, while at the same time the use of ICT infrastructures and technologies by individuals, organisations, and industries is increasing rapidly. The needs for cybersecurity knowledge and competences exceeds the supply. The EU has to invest in building competences and talents in cybersecurity at all levels, from the non-expert to the highly skilled professional. The investments should focus not only on increasing the cybersecurity skillset in the Member States but also on making sure that the different operational communities possess the appropriate capacity to deal with the cyber threat landscape. サイバー攻撃の頻度と精巧さは急速に高まっており、同時に、個人、組織、産業によるICTインフラと技術の利用も急増している。サイバーセキュリティの知識と能力に対するニーズは、供給を上回っている。EUは、非専門家から高度に熟練した専門家まで、あらゆるレベルのサイバーセキュリティに関する能力と才能の育成に投資しなければならない。この投資は、加盟国におけるサイバーセキュリティのスキルセットを向上させるだけでなく、さまざまな運用コミュニティがサイバー脅威の状況に対処するための適切な能力を有することを確認することにも焦点を当てる必要がある。
TRUSTED SOLUTION 信頼できるソリューション
Digital products and services bring benefits as well as risks, and these risks must be identified and mitigated. In the process of evaluating security of digital solutions and ensuring their trustworthiness, it is essential to adopt a common approach, with the goal to strike a balance between societal, market, economic and cybersecurity needs. A neutral entity acting in a transparent manner will increase customer trust on digital solutions and the wider digital environment. デジタル製品やサービスはメリットだけでなくリスクももたらすが、これらのリスクを特定し、軽減する必要がある。デジタルソリューションのセキュリティを評価し、その信頼性を確保するプロセスでは、社会、市場、経済、サイバーセキュリティのニーズのバランスを取ることを目標に、共通のアプローチを採用することが不可欠である。透明性の高い方法で行動する中立的な組織は、デジタルソリューションとより広範なデジタル環境に対する顧客の信頼を高めることになる。
FORESIGHT 見通し
Numerous new technologies, still in their infancy or close to mainstream adoption, would benefit from the use of foresight methods. Through a structured process enabling dialogue among stakeholders, decision- and policy-makers would be able to define early mitigation strategies that improve the EU resilience to cybersecurity threats and find solutions to address emerging challenges. まだ初期段階にある、あるいは主流になりつつある数多くの新技術は、先見性のある手法を用いることで利益を得ることができるだろう。利害関係者間の対話を可能にする構造化されたプロセスを通じて、意思決定者や政策立案者は、サイバーセキュリティの脅威に対するEUの耐性を向上させる早期緩和戦略を定義し、新たな課題に対処するための解決策を見つけることができるようになるであろう。
KNOWLEDGE 知識
The energy that fuels the mill of cybersecurity is information and knowledge. For cybersecurity professionals to be efficient at tackling our objectives, to work in a constantly moving environment – in terms of digital developments as well as with regard to actors – to face the challenges of our time, a continuous process of collecting, organising, summarising, analysing, communicating, and maintaining cybersecurity information and knowledge is clearly needed. All phases are essential to ensure that information and knowledge is shared and expanded within the EU cybersecurity ecosystem サイバーセキュリティを推進するエネルギーは、情報と知識である。サイバーセキュリティの専門家が効率的に目標に取り組み、デジタル開発だけでなくアクターに関しても絶えず変化する環境で働き、現代の課題に立ち向かうためには、サイバーセキュリティの情報と知識を収集、整理、要約、分析、伝達、維持する継続的プロセスが明らかに必要である。EUのサイバーセキュリティのエコシステムの中で情報と知識が共有され、拡大されることを確実にするためには、すべての段階が不可欠である。

 

 

目次...

List of acronyms 頭字語一覧
Foreword まえがき
Mission statement ミッションステートメント
Strategy 戦略
FORESIGHT フォーサイト
KNOWLEDGE ナレッジ
SECTION I  GENERAL CONTEXT セクション I 一般的な背景
LEGISLATIVE MEASURES DESIGNED TO STRENGTHEN THE RESPONSE TO THE THREAT LANDSCAPE 脅威への対応を強化するための立法措置
FURTHER DEVELOPMENTS さらなる進展
SECTION II. MULTI-ANNUAL PROGRAMMING 2023–2025 セクション II. 2023-2025年の複数年計画
2.1. MULTI-ANNUAL WORK PROGRAMME  2.1. 多年次作業計画 
2.2. HUMAN AND FINANCIAL RESOURCES – OUTLOOK FOR YEARS 2023–2025 2.2. 人的・財政的資源 - 2023-2025年の展望
2.2.1. Overview of the past and current situation 2.2.1. 過去と現在の状況の概要
2.2.2. Outlook for the years 2023–2025  2.2.2. 2023年から2025年までの展望 
2.3. RESOURCE PROGRAMMING FOR THE YEARS 2023–2025  2.3. 2023-2025年の資源計画 
2.3.1. Financial Resources  2.3.1. 財源 
2.3.2. Human Resources  2.3.2. 人的資源 
2.4. STRATEGY FOR ACHIEVING GAINS IN EFFICIENCY   2.4. 効率向上を実現するための戦略  
SECTION III. WORK PROGRAMME 2023 セクション III. ワークプログラム 2023
3.1. OPERATIONAL ACTIVITIES 3.1. 事業活動
3.2. CORPORATE ACTIVITIES 3.2. 企業活動
ANNEX 1. ORGANISATION CHART AS OF 1 JANUARY 2022 附属書1. 2022年1月1日時点の組織図
ANNEX 2. RESOURCE ALLOCATION PER ACTIVITY 2023–2025 附属書2. 2023-2025年における各活動の資源配分
ANNEX 3. FINANCIAL RESOURCES 2023–2025 附属書3. 財務リソース 2023-2025年
ANNEX 4. HUMAN RESOURCES – QUANTITATIVE 附属書4. 人的資源 - 量的
ANNEX 5. HUMAN RESOURCES – QUALITATIVE 附属書5. 人的資源 - 質的
A. RECRUITMENT POLICY A. 採用方針
B. APPRAISAL AND RECLASSIFICATION / PROMOTIONS B. 評価および再分類・昇格
C. GENDER REPRESENTATION C. ジェンダー代表性
D. GEOGRAPHICAL BALANCE D. 地理的バランス
E. SCHOOLING E. 学校教育
ANNEX 6. ENVIRONMENT MANAGEMENT 附属書6. 環境管理
ANNEX 7. BUILDING POLICY 附属書7. 構築方針
ANNEX 8. PRIVILEGES AND IMMUNITIES 附属書8. 特権と免責
ANNEX 9. EVALUATIONS 附属書9. 評価
ANNEX 10. STRATEGY FOR ORGANISATIONAL MANAGEMENT AND INTERNAL CONTROL SYSTEMS 附属書10. 組織運営と内部統制システムに関する戦略
ANNEX 11. PLAN FOR GRANT, CONTRIBUTION OR SERVICE-LEVEL AGREEMENTS 附属書11. 補助金、寄付金、サービスレベル協定のための計画
ANNEX 12. STRATEGY FOR COOPERATION WITH THIRD COUNTRIES AND/OR INTERNATIONAL ORGANISATIONS 附属書12. 第三国および/または国際組織との協力に関する戦略
ANNEX 13. ANNUAL COOPERATION PLAN 2023 附属書13. 年次協力計画 2023

 

| | Comments (0)

2023.02.21

米国 ウクライナ バイデン大統領とゼレンスキー大統領による共同声明

こんにちは、丸山満彦です。

中国と気球の話をしながらも、戦時で米軍も駐留していないキーウに大統領が訪問するなど、米国のこういうい能力は高いですね。。。

 

U.S. White House

・2023.02.20 Remarks by President Biden and President Zelenskyy of Ukraine in Joint Statement

Remarks by President Biden and President Zelenskyy of Ukraine in Joint Statement バイデン大統領とウクライナのゼレンスキー大統領による共同声明での発言
Mariinsky Palace  マリインスキー宮殿
Kyiv, Ukraine キーウ、ウクライナ
10:49 A.M. EET 東ヨーロッパ時間 10:49
PRESIDENT ZELENSKYY:  (As interpreted.)  Mr. President, fellow ladies and gentlemen, journalists and everyone in this room, the team of President Biden: I’m very happy to welcome you in Ukraine.  It is a great honor for me and for all of us. ゼレンスキー大統領:(通訳)大統領、ご列席の皆様、ジャーナリストの皆様、そしてこの部屋にいらっしゃる皆様、バイデン大統領チーム:ウクライナで皆様をお迎えできることを大変うれしく思います。  私にとっても、私たち全員にとっても、大変光栄なことです。
We have just had negotiations with the President of the United States in the vis-à-vis format, and then we had a wide discussion with the involvement of our teams.  These conversations brings us closer to the victory.  先ほど米国大統領と 膝詰めで会話をし、その後、我々のチームを巻き込んで幅広い議論を行いました。  このような会話によって、私たちは勝利に近づいているのです。 
And we hope that this year, the 2023, will become a year of victory.  This unprovoked and criminal Russia’s war against Ukraine and against the whole world and democratic world has to end with liberating the whole of Ukraine’s territory from Russia’s occupation and the solid guarantees of the long-term security for our country as well as Europe and the whole world. そして、今年、2023年が勝利の年となることを望んでいます。  ウクライナに対する、そして全世界と民主主義世界に対する、このいわれのない犯罪的なロシアの戦争は、ロシアの占領からウクライナの全領土を解放し、私たちの国だけでなくヨーロッパと全世界の長期にわたる安全をしっかりと保証することで終わらなければならない。
Right now, in Ukraine, the destiny of the international order based on international order is decided.  And we, together with President Biden and our allies and partners, have to continue doing everything possible so that the democratic world would win in this historic fight. 今まさに、ウクライナにおいて、国際秩序に基づく国際秩序の運命が決定づけられているのです。  そして、我々は、バイデン大統領や同盟国、パートナーとともに、この歴史的な戦いで民主主義世界が勝利するよう、可能な限りのことをし続けなければなりません。
Ukrainian remember the focus, the attention, the attitude of President Biden and United States to every single Ukrainian.  To Ukraine, we remain constantly in communication with the President of United States over the course of this large-scale war.  And this is the first visit over 15 years.  And this is really the most important visit of the whole history of Ukraine-U.S. relationship. ウクライナ人は、バイデン大統領と米国の、ウクライナ人一人ひとりに対する焦点、注意、態度を覚えています。  ウクライナにとって、我々はこの大規模な戦争の間、米国大統領と常に連絡を取り続けています。  そして、今回は15年越しの初訪問です。  そして、これはウクライナとアメリカの関係の歴史の中で、本当に最も重要な訪問です。
This is the visit in this most difficult period for Ukraine when Ukraine is fighting for our own liberty, for the liberties of the world.  And this underlines the results that we have already achieved and what sort of historic achievements we might gain altogether with the whole world, with the United States, with Europe.  And today our negotiations were very fruitful.  We’ve — they were very important and crucial.  ウクライナにとって最も困難な時期であり、ウクライナが我々自身の自由と世界の自由のために戦っているときに、この訪問が実現したのである。  そしてこの訪問は、我々がすでに達成した成果、そして全世界、米国、欧州と一体となって得られるであろう歴史的な成果を強調するものである。  そして今日、我々の交渉は非常に実り多いものでした。  非常に重要かつ決定的なものでした。 
And as has become traditional in relationship between our countries, I would like to extend words of gratitude personally to Mr. President Biden and to his team, to the Congress, to all the U.S. people.  And I thank you for this level of Ukraine-U.S. cooperation. そして、両国の関係において恒例となっているように、バイデン大統領とそのチーム、議会、そしてすべての米国国民に対して、個人的に感謝の言葉を述べたいと思います。  そして、このようなレベルのウクライナと米国の協力に感謝します。
And this week, we’ll be marking a one year of our fight against Russia’s aggression, so it’s very symbolic that we solidify our resilience through two meetings with the President of Ukraine — my visit in December and the visit of Mr. President of the United States to Kyiv today. そして今週、私たちはロシアの侵略に対する戦いから1年を迎えます。12月の私の訪問と本日の米国大統領のキーウ訪問という2回のウクライナ大統領との会談を通じて、私たちのレジリエンスを強固にしたことは非常に象徴的なことです。
The results of this visit will surely be seen and will surely have a reflection on the battlefield and in liberating our territories. この訪問の成果は、必ずや戦場や領土の解放に反映されることでしょう。
The decision of the United States on Abrams tanks for Ukraine has already presented a foundation for establishing a tank coalition.  And it’s of historic importance in many other aspects, more specifically in air defense, in Patriots for the defense of our cities.  Now, this is a very fundamental and crucial reinforcement of our capacities. ウクライナ向けエイブラムス戦車に関する米国の決定は、すでに戦車連合を確立するための基盤を提示しています。  また、他の多くの側面、特に防空、都市の防衛のためのパトリオットにおいても、歴史的な重要性を持っています。  これは非常に基本的で重要な能力の強化です。
We’ve also talked about long-range weapons and the weapons that may still be supplied to Ukraine, even though it wasn’t supplied before. また、長距離兵器や、以前は供給されていなかったが、現在もウクライナに供給されている可能性のある兵器についても話をしました。
I know, Mr. President, that there will be a very significant package of security support to Ukraine.  And currently, it will serve as a clear signal that Russia’s attempts of relaunch will have no chance and that we will together defend our cities and citizens from Russia’s (inaudible), will have more impetus towards our victory. 大統領、私は、ウクライナに対する非常に重要な安全保障支援のパッケージがあることを知っています。  そして現在、それはロシアの再攻撃の試みにチャンスがないことを示す明確なシグナルとなり、私たちは共にロシアの(聞き取れない)攻撃から都市と市民を守り、勝利に向けてさらに弾みをつけることになるでしょう。
And today we have yet again underlined that we have our common vision with regards to the perspectives of this war.  We have coordinated the follow-on pressure on the terrorist state.  We are working hard on the reinforcement of sanctions, both bilaterally and in the form of G7, which is very important. そして今日、我々は、この戦争の展望に関して、共通のビジョンを持っていることを改めて強調しました。  我々は、テロ国家に対する後続の圧力を調整しました。  我々は、二国間およびG7という形で、制裁の強化に懸命に取り組んでおり、これは非常に重要です。
We have common vision on the contents of many aspects of our Peace Formula, because its security elements, as well as the tasks to restore the U.N. Charter to its full capacity and to defend the international rule-based order — that’s a common, joint task for all the countries that are interested in the international security. なぜなら、その安全保障の要素はもちろん、国連憲章を完全に回復させ、国際的なルールに基づく秩序を守るための課題も、国際安全保障に関心を持つすべての国にとって共通の、共同の課題であるからです。
The rebuilding and the recovery of justice is also very important for all those who was affected by the Russian terror, by the Russian war.  And the aggressor has to take responsibility for the aggression and to reimburse all the damages. また、ロシアのテロや戦争によって被害を受けたすべての人々にとって、再建と正義の回復が非常に重要です。  そして、侵略者は侵略の責任を負い、すべての損害を賠償しなければなりません。
I thank to the President of United States for supporting our work on restoring the justice more specifically in the work of all of our institutions in that area.  And we believe there’s no alternatives to the establishment of the special tribunal.  This is the position of the Uni- — of Ukraine, and we shall support this position.  私は、正義を回復するための私たちの活動を支援してくださった米国大統領に感謝します。  私たちは、特別法廷の設置に代わるものはないと考えています。  これはウクライナの立場であり、私たちはこの立場を支持します。 
And I would really like the United States to be engaged in the implementation of our Peace Formula, because its implementation would mean a reinforcement of global stability and the predictability of international relations.  And we have some achievements in this area. なぜなら、その実現は、世界の安定と国際関係の予測可能性を強化することになるので、私は、米国が我々の平和フォーミュラの実施に関与することを強く望んでいます。 この分野では、すでにいくつかの成果を上げています。
Already this week, in New York, together with the United States of America and over 60 other countries will be submitting for the consideration of the U.N. General Assembly — of the draft resolution on supporting peace in Ukraine.  And on the eve of the 24th of February, we believe that the approval of this resolution would be very significant evidence to the fact that the terrorist state would never break a civilized country. すでに今週、ニューヨークにおいて、米国をはじめとする60カ国以上が、ウクライナの平和支援に関する決議案を国連総会の審議に付す予定です。  2月24日の前夜、この決議案が承認されれば、テロ国家が文明国を破滅させることはないという事実を示す非常に重要な証拠になると、私たちは信じています。
And I think we are also opening a special tablet dedicated to President Biden.  The first call the night of the 24th of February took place with the United States, and since that time, we had conversations and with very significant attention to our fight, to the protection of Ukraine’s democracy. そして、バイデン大統領に捧げる特別なタブレットもオープンしていると思います。  2月24日の夜、米国と最初の通話が行われました。それ以来、私たちは会話を交わし、私たちの戦い、ウクライナの民主主義の保護に非常に大きな関心を寄せています。
Besides, there’s the personal contribution in President Biden in solidified the liberty and democracy in the world.  This will be remembered eternally.  And Ukraine is grateful to you, Mr. President, to all the U.S. citizens, to all those who cherish freedom just as we cherish them. さらに、バイデン大統領は、世界の自由と民主主義を確固たるものにするために個人的に貢献しました。  これは永遠に記憶されることでしょう。  そして、ウクライナは、大統領、すべての米国市民、私たちと同じように自由を大切にするすべての人々に感謝しています。
Glory to our warriors.  Glory to our allies.  And glory to Ukraine. 我々の戦士に栄光あれ。  同盟国に栄光を。  そしてウクライナに栄光あれ。
PRESIDENT BIDEN:  Well, thank you very much, Mr. President.   You know, it was — it was one year ago this week that we spoke on the telephone, Mr. President.  It was very late at night in Washington, very early in the morning here in Kyiv.  Russian planes were in the air, and tanks were rolling across your border.  You told me that you could hear the explosions in the background.  I’ll never forget that.  And the world was about to change. 大統領、どうもありがとうございました。   私たちが電話で話したのは、1年前のことでした。  ワシントンの夜遅く、ここキーウの朝早い時間でした。  ロシアの飛行機が空中を飛び交い、戦車が国境を越えて侵攻していました。  あなたは私に言った私の後ろで爆発が聞こえるといました。それは忘れられないことです。そして、世界は変わろうとしていました。
I remember it vividly, because I asked you — I asked you next — I asked you, “What is there, Mr. President?  What can I do for you?  How can I be of help?”  私はそれを鮮明に覚えています。私はあなたにまず最初に尋ねました--「何かありますか、大統領?  私に何かできることはありますか?  どうしたらお役に立てるでしょうか?」と。 
And I don’t know that you remember what you said to me, but you said, and I quote, “Gather the leaders of the world.  Ask them to support Ukraine.”  “Gather the leaders of the world, and ask them to support Ukraine.” そして、あなたが私に何と言ったか覚えているかどうかわかりませんが、あなたは、引用しますと、「世界の指導者たちを集めてください。  ウクライナを支援してくれるよう頼んでください。」「世界中の指導者を集めて、ウクライナを支援するようお願いします。」
And you said that you didn’t know when we’d be able to speak again.  That dark night, one year ago, the world was literally, at the time, bracing for the fall of Kyiv — it seems like a lot longer ago than a year, but think back to that year — perhaps even the end of Ukraine. そして、いつまた話せるかわからないとおっしゃっていましたね。  1年前のあの暗い夜、当時世界は文字通り、キーウの陥落に備えていました--1年というよりずっと前のことのように思えますが、その年を思い返してみてほしい--おそらくウクライナの終わりでさえも。
You know, one year later, Kyiv stands and Ukraine stands.  Democracy stands.  1年後、キーウは立ち、ウクライナは立ちました。  民主主義が立っています。 
The Americans stand with you, and the world stands with you. アメリカはあなたたちとともに立ち、世界はあなたたちとともに立っているのです。
Kyiv has captured a part of my heart, I must say.  And I’ve come here six times as Vice President, once as President.  And in 2009, as Vice President, when I first came here.  Then back in 2014, I came three times in the aftermath of the Revolution of Dignity.  And I again came in 2015 to address the Rada about the work of building a strong democracy.  And I came in 2017, just before I left office as Vice President. キーウは私の心の一部を捉えたと言わざるを得ません。  私はこれまで副大統領として6回、大統領として1回、この地を訪れました。  2009年に副大統領として、初めてここに来たときです。  そして2014年、「尊厳の革命」の余波で3回来ました。 そして、2015年に再びやってきて、強い民主主義を構築するための作業についてラダで演説しました。  そして2017年、私が副大統領を辞める直前にも来ました。
I knew I’d be back, but I wanted to be sure.  Even though we’d — the election were over, Barack and I were out of office, I decided to make one more trip, before the next President was sworn in, to Kyiv. また来るだろうとは思っていましたが、確かめたかったのです。  選挙が終わり、バラクと私は退任しましたが、次の大統領が就任する前に、もう1度キーウを訪れることにしたのです。
So, President Zelenskyy, you deeply honor me here in Kyiv with you today to meet with your military, your intelligence folks, your diplomatic teams, community leaders who have stepped up and — to help their country in their hour of need.  ゼレンスキー大統領、今日、キーウで軍や情報機関、外交チーム、地域のリーダーたちと会い、国を助けるために必要な時に立ち上がってくれたことを、私は深く光栄に思います。 
It’s astounding who stood up.  Everybody.  Everybody — women, young children — trying to do something.  Just trying to do something.  Pulling people out of apartments that are being shelled and — literally what I think is a war crimes. 誰が立ち上がったのか、驚くべきことです。  みんなです。  女性も、幼い子供も、みんな何かをしようとしているのです。  ただ、何かをしようとしているのです。  砲撃されたアパートから人々を引きずり出したり、文字通り戦争犯罪だと思うようなこともしています。
It’s astounding.  And the whole world — the whole world sees it and looks at it. 驚くべきことです。  そして全世界が、全世界がそれを見ています。
This is the largest land war in Europe in three quarters of a century, and you’re succeeding against all and every expectation, except your own.  We have every confidence that you’re going to continue to prevail.  これはヨーロッパにおける過去4分の3世紀で最大の陸上戦争であり、あなた方は自分たち以外のすべての、そしてあらゆる予想に反して成功しているのです。  我々は、あなた方が今後も勝利を収め続けることを確信しています。 
You know, from the moment I first received the intelligence report in the fall, about a year ago, we were focused on determining: How do we rally the rest of the world?  How do I help you with the promise you asked me to make to rally the world? 1年前の秋に初めて情報報告を受けたときから、私たちは決断することに集中していましたね。どうすれば世界中の人々を説得できるのか。  世界を結集するために私に依頼した約束を、私はどのように手助けすればよいのでしょうか。
Well, how do you succeed?  How do you ever get a world to respond to a prosperous economy, a confident democracy, a secure and independent state? さて、どうすれば成功するのでしょうか。  繁栄する経済、自信に満ちた民主主義、安全で独立した国家に、世界が反応するようにするにはどうしたらいいのでしょうか。
When united, Americans of all political backgrounds decided that they would step up.  The American people know it matters.  Unchecked aggression is a threat to all of us. 団結したとき、すべての政治的背景を持つアメリカ人は、ステップアップすることを決定しました。  米国民はそれが重要であることを知っています。  歯止めのない侵略は、我々全員にとっての脅威なのです。
We built a coalition of nations, from the Atlantic to the Pacific: NATO to the Atla- — in the Atlantic; Japan in the Pacific.  I mean, across the — across the world, the number of nations stood up — over 50 — to help Ukraine defend itself with unprecedented military, economic, and humanitarian support. 我々は、大西洋から太平洋まで、国家連合を構築しました。大西洋ではNATOが、太平洋では日本が。  つまり、世界中で、50を超える国々が立ち上がり、前例のない軍事、経済、人道的支援によってウクライナの自衛を支援したのです。
We united the leading economies of the world to impose unprecedented cost that are squeezing Russia’s economic lifelines. 我々は、世界の主要な経済諸国を結束させ、ロシアの経済的生命線を圧迫する前例のないコストを課しました。
Together, we’ve committed nearly 700 tanks and thousands of armored vehicles, 1,000 artillery systems, more than 2 million rounds of artillery ammunition, more than 50 advanced launch rocket systems, anti-ship and air defense systems, all defend U- — to defend Ukraine.  And that doesn’t count the other half a billion dollars we’re going to be — we’re announcing with you today and tomorrow that’s going to be coming your way.  And that’s just the United States, in this piece. 我々は、700台近い戦車と数千台の装甲車、1000台の砲兵システム、200万発以上の砲弾、50以上の最新ロケットシステム、対艦・防空システム、すべてをウクライナの防衛のために投入した。  このほかにも、今日と明日、5億ドルの資金を提供すると発表します。  これは、アメリカだけの話です。
And just today, that announcement includes artillery ammunition for HIMARS and howitzers, more Javelins, anti-armor systems, air surveillance radars that’ll protect Ukrainian people from aerial bombardments. 今日発表したのは、HIMARSや榴弾砲のための砲弾、ジャベリンの増設、対人兵器システム、空爆からウクライナの人々を守るための航空監視レーダーなどです。
Later this week, we will announce additional sanctions against elites and companies that are trying to evade sanctions and backfill Russia’s war machine. 今週末には、制裁を逃れ、ロシアの戦争マシンを補強しようとするエリートや企業に対する追加制裁を発表する予定です。
And thanks to a bipartisan support in Congress, this week we’re delivering billions in direct budgetary support — billions in direct budgetary support — which the government can put to use immediately and help provide for basic services of citizens. また、議会での超党派の支援のおかげで、今週、我々は数十億ドルの直接予算支援を行います。数十億ドルの直接予算支援は、政府が直ちに使用することができ、市民の基本サービスを提供するのに役立つものです。
The cost that Ukraine has had to bear has been extraordinarily high, and the sacrifices have been far too great.  They’ve been met, but they’ve been far too great. ウクライナが負わなければならないコストは非常に高く、犠牲はあまりにも大きい。  満たされているが、その犠牲はあまりに大きすぎた。
We mourn alongside the families of those who have been lost to the brutal and unjust war.  We know that there’ll be very difficult days and weeks and years ahead.  残忍で不当な戦争で失われた方々のご遺族とともに、私たちは追悼の意を表します。  この先、非常に困難な日々、数週間、数年が待っていることを私たちは知っています。 
But Russia’s aim was to wipe Ukraine off the map.  Putin’s war of conquest is failing.  Russia’s military has lost half its territory it once occupied.  Young, talented Russians are fleeing by the tens of thousands, not wanting to come back to Russia.  Not fl- — not just fleeing from the military, fleeing from Russia itself, because they see no future in their country.  Russia’s economy is now a backwater, isolated and struggling.  しかし、ロシアの目的は、ウクライナを地図上から消し去ることでした。  プーチンの征服戦争は失敗しています。  ロシア軍はかつて占有していた戦力の半分を失ってしまいました。  若くて優秀なロシア人は、ロシアに戻ることを望まず、何万人も逃げ出している。  軍からだけでなく、ロシアそのものから逃げているのです。  ロシア経済は今や僻地と化し、孤立し、苦境に立たされています。 
Putin thought Ukraine was weak and the West was divided.  As you know, Mr. President, I said to you at the beginning, he’s counting on us not sticking together.  He was counting on the inability to keep NATO united.  He was counting on us not to be able to bring in others on the side of Ukraine. プーチンは、ウクライナは弱く、西側は分裂していると考えていました。  ご存知のように、大統領、私は冒頭で、彼は我々が団結しないことを当てにしている、と申し上げました。  彼は、NATOの結束を維持できないことを当てにしていました。  彼は、我々がウクライナ側に他国を引き込めないことを計算に入れていました。
He thought he could outlast us.  I don’t think he’s thinking that right now.  God knows what he’s thinking, but I don’t think he’s thinking that.  But he’s just been plain wrong.  Plain wrong. 彼は我々より長生きできると考えていました。  今はそんなことは考えていないでしょう。  彼が何を考えているかは神のみぞ知るですが、そんなことはもう考えていないと思います。  だが、彼は明らかに間違っていました。  明白な間違いです。
And one year later, the evidence is right here in this room.  We stand here together. そして1年後、その証拠はここにあります。  私たちは共にここに立っています。
Mr. President, I’m delighted to be able to repay your visit to our country. 大統領、あなたの訪米に報いることができ、嬉しく思います。
In Washington, not long ago, you told us, you told the Congress, quote, “We have no fear, nor should anyone in the world have it.”  End of quote. 少し前にワシントンで、あなたは私たちに、議会でこう言いました。「私たちには恐れがない、世界の誰にも恐れがあってはならない。 」引用終わり
You and all Ukrainians, Mr. President, remind the world every single day what the meaning of the word “courage” is — from all sectors of your economy, all walks of life.  It’s astounding.  Astounding. あなたやすべてのウクライナ人は、「勇気」という言葉の意味を、毎日、世界中に思い出させてくれます。  驚くべきことです。  驚くべきことです。
You remind us that freedom is priceless; it’s worth fighting for for as long as it takes.  And that’s how long we’re going to be with you, Mr. President: for as long as it takes. あなたは、自由はかけがえのないものであり、そのために必要な限り戦う価値があることを私たちに気づかせてくれます。  そして、それが私たちがあなたと一緒にいる期間です、大統領:それが必要である限り。
PRESIDENT ZELENSKYY:  We’ll do it. ゼレンスキー大統領:そうしましょう。
PRESIDENT BIDEN:  Thank you.  (Applause.) ありがとうございました。  (拍手)
11:07 A.M. EET 東部ヨーロッパ時間 11:07

 

 

・2023.02.23 On-the-Record Press Call by Senior Administration Officials on President Biden’s Trip to Ukraine

On-the-Record Press Call by Senior Administration Officials on President Biden’s Trip to Ukraine バイデン大統領のウクライナ訪問に関する政府高官によるオン・ザ・レコード・プレスコール。
Via Teleconference 電話会議
7:42 A.M. EST 東部標準時間 07:42
MS. WATSON:  Good morning, everyone.  Thanks for joining our call on short notice.  This is Adrienne Watson with the NSC. MS. ワトソン:皆さん、おはようございます。  急な呼び出しにお付き合いいただき、ありがとうございます。  こちらはNSCのアドリアン・ワトソンです。
To kick things off, we just want to go over the ground rules really quickly.  This call is on the record.  The contents of the call are embargoed until the call ends.  To ask a question, just raise your hand. まず始めに、基本的なルールを簡単に説明します。  この通話は記録されます。  通話内容は、通話が終了するまで非公開です。  質問は、手を挙げてください。
Our speakers today are White House Communications Director Kate Bedingfield, National Security Advisor Jake Sullivan, and Principal Deputy National Security Advisor Jon Finer.  今日の発言者は ホワイトハウス広報部長 ケイト・ベディングフィールド 国家安全保障顧問 ジェイク・サリバン そして 主席副国家安全保障顧問 ジョン・ファイナーです。 
With that, that I’ll turn it over to Kate. それではケイトさんに交代します。
MS. BEDINGFIELD:  Great.  Thanks, Adrienne.  Hi, everyone.  Thanks for jumping on, on short notice.  So I just wanted to do a little table set at the top here, and then I’ll turn it over to Jake and Jon for some additional points. MS. ベディングフィールド: はい。 ありがとう、アドリアン。  皆さん、こんにちは。  急なお願いにもかかわらず、ご参加いただきありがとうございます。  ここで少しテーブルを囲んでから、ジェイクとジョンに引き継ぎ、さらにいくつかの点についてお話したいと思います。
But, you know, so this trip today was a bold and strong move on President Biden’s part in the face of extreme difficulty, the extreme difficulty of making this trip as President of the United States.  It was logistically complicated and difficult, and it sends an incredibly powerful message that President Biden has faith in the Ukrainian people and is unwavering in his commitment to stand by them. しかし、今日の訪問は、バイデン大統領が極度の困難に直面しながらも、大胆で力強い行動をとった結果です。  バイデン大統領はウクライナの人々を信頼し、彼らの側に立つという揺るぎない決意を持っているという、信じられないほど力強いメッセージを送っているのです。
You know, a visit from a U.S. President to an active warzone like this is historic and unprecedented and, as I say, required a great deal of careful planning. このような活発な紛争地帯への米国大統領の訪問は、歴史的かつ前例のないことであり、私が言うように、非常に慎重な計画が必要であったことはご存じのとおりです。
Unlike previous visits from Presidents to warzones, like Iraq and Afghanistan, the U.S. obviously does not have a military presence on the ground in Ukraine, which made a visit from a sitting President all the more challenging. イラクやアフガニスタンなど、これまでの大統領の戦地訪問とは異なり、米国はウクライナに軍隊を駐留させていないため、現職の大統領の訪問はより困難なものでした。
But this was a risk that Joe Biden wanted to take.  It’s important to him to show up, even when it’s hard, and he directed his team to make it happen, no matter how challenging the logistics.  He wanted to stand shoulder-to-shoulder with President Zelenskyy and remind the world, as we approach the one-year anniversary of the invasion, that Kyiv still stands and the United States will not be deterred from standing with Ukraine.  And he wanted to demonstrate the strength of his commitment to his strategy of holding the West together in a united front against Putin. しかし、これはジョー・バイデンにとってリスクを負うべきことでした。  しかし、これはジョー・バイデン氏が望んだリスクであり、たとえ困難な状況であっても、それを実現することが彼にとって重要であり、彼はチームに指示を出しました。  彼は、ゼレンスキー大統領と肩を並べ、侵攻から1年を迎えるにあたって、キーウがまだ立ち上がっていること、米国がウクライナとともに立ち止まることはないことを世界に想起させたかったのです。  そして、プーチンに対して西側諸国を結束させるという戦略へのコミットメントの強さを示したかったのです。
So it was bold, it was risky, and it should leave no doubt in anyone’s mind that Joe Biden is a leader who takes commitment seriously, and the U.S. is committed to continuing to support Ukraine for as long as it takes. つまり、大胆であり、危険でもあり、ジョー・バイデンはコミットメントを真剣に考えるリーダーであり、米国は必要な限りウクライナを支援し続けることを約束する、ということを誰の心にも残さないはずはありません。
So with that, I’m going to turn it over to Jake Sullivan for some additional thoughts. それでは、ジェイク・サリバンさんに代わって、追加の意見を伺います。
MR. SULLIVAN:  Thanks, Kate.  And hi, everybody.  And I hope I’m able to stay on the call for as long as I can, given access to cell service. MR. サリバン:ありがとう、ケイト。  そして、みなさん、こんにちは。  携帯電話が使えるなら、できるだけ長く通話を続けられるといいんですが。
Let me just start by reiterating something Kate said, which is that this was a historic visit, unprecedented in modern times, to have the President of the United States visit the capital of a country at war where the United States military does not control the critical infrastructure. ケイトが言ったことを繰り返します これは歴史的な訪問でした 近代では前例がありません 米軍が重要なインフラを管理していない 戦争中の国の首都を 米国の大統領が訪問したのです
And that required a security, operational, and logistical effort from professionals across the U.S. government to take what was an inherently risky undertaking and make it a manageable level of risk. そのため、米国政府全体の専門家がセキュリティ、運用、ロジスティクスの面で努力し、本来はリスクの高い事業を管理可能なレベルにまで高める必要がありました。
But, of course, there was still risk and is still risk in an endeavor like this.  And President Biden felt that it was important to make this trip because of the critical juncture that we find ourselves at as we approach the one-year anniversary of Russia’s full-scale invasion of Ukraine. しかし、もちろん、このような取り組みにはリスクがあり、今もなおリスクがあります。  バイデン大統領は、ロシアによるウクライナ侵攻から1年という重大な局面を迎えるにあたり、この訪問が重要であると考えました。
And what he wanted to do in Kyiv was to send a clear, unmistakable message of enduring American support for Ukraine; a clear, unmistakable message of the unity of the West and (inaudible) international community in standing behind Ukraine and standing up to Russian aggression; and also to be able to stand there next to President Zelenskyy in a free Kyiv to not just tell but to show the world, through a powerful demonstration, that Ukraine is successfully resisting Russian aggression and Russia is suffering strategic failure in Ukraine. そして、彼がキーウでやりたかったことは、ウクライナに対するアメリカの永続的な支援の明確な、紛れもないメッセージを送ることでした。西側諸国と国際社会が一致団結してウクライナを支援し、ロシアの侵略に立ち向かうという明確なメッセージです。そして、自由なキーウでゼレンスキー大統領の隣に立ち、強力なデモンストレーションを通じて、ウクライナがロシアの侵略にうまく抵抗していること、ロシアがウクライナで戦略的失敗を被っていることを伝えるだけでなく、世界に示すことができるのです。
And as I said, though, the impending one-year anniversary of Russia’s invasion really presented a crucial moment to do this.  One year ago this week, as the President said in his remarks in Kyiv, he spoke with President Zelenskyy as Russian forces were moving across the border, and President Zelenskyy said to him, “I’m not sure when we’re going to be able to speak again.” そして、先ほども申し上げたように、ロシアの侵攻から1年が間近に迫っていることは、このことを行う上で本当に重要なタイミングとなったのです。  1年前の今週、大統領がキーウでの演説で述べたように、ロシア軍が国境を越えて移動しているときに、大統領はゼレンスキー大統領と話し、ゼレンスキー大統領は彼にこう言いました。「いつまた話ができるのかわからない 」と。
So, one year later, the two men were face-to-face standing together in Kyiv, in a free and independent city, in a free and independent country.  And President Biden made clear in his remarks that there will be difficult times ahead, that a portion of Ukraine is under Russian occupation, that Russia continues to brutalize civilian populations across the country. つまり、1年後、2人はキーウで、自由で独立した都市で、自由で独立した国で、共に面と向かって立っていたのです。  バイデン大統領は、ウクライナの一部がロシアの占領下にあり、ロシアが国中の市民を残虐に扱い続けていることから、この先困難な時期が続くだろうと発言したのです。
And so this was not a celebration but an affirmation of commitment of the resilience of the Ukrainian people, of the courage and bravery they’ve shown, and also an affirmation of the fact that the United States and our allies and partners have mobilized unprecedented levels of military, economic, and humanitarian support to provide the Ukrainian people with the tools that they’ve needed to defend their country, their sovereignty, their territorial integrity, and their independence. これは祝賀会ではなく、ウクライナの人々の抵抗、彼らが示した勇気と勇敢さ、そして米国と同盟国、パートナーが前例のない水準の軍事、経済、人道支援を動員し、ウクライナの人々が自国とその主権、領土の一体性、独立を守るために必要な手段を提供したという事実を確認するためのものです。
In Kyiv, President Biden had the opportunity to meet the President and the First Lady, and then to sit in an extended session with President Zelenskyy to talk about all aspects of the ongoing war.  They spent time talking about the coming months, in terms of the battlefield, and what Ukraine will need in terms of capabilities to be able to succeed on the battlefield. バイデン大統領はキーウで、大統領とファーストレディに会う機会を得た後、ゼレンスキー大統領と長時間にわたって、進行中の戦争のあらゆる側面について話をすることができました。  今後数カ月間の戦場について、また戦場で成功するためにウクライナが必要とする能力について、時間をかけて語り合いました。
They talked about Ukraine’s needs in terms of energy, infrastructure, economic support, humanitarian needs.  And they also talked about the political side of this, including the upcoming U.N. General Assembly session on Ukraine, as well as Ukraine’s Peace Formula and Ukraine’s efforts to rally international support for a just and sustainable and durable peace built on the principles of the U.N. Charter, chief among them sovereignty and territorial integrity. エネルギー、インフラ、経済支援、人道的ニーズなど、ウクライナのニーズについて話しました。  また、国連総会でのウクライナに関するセッションや、国連憲章の原則(特に主権と領土の一体性)に基づく公正で持続可能な平和への国際的支持を集めるためのウクライナの平和フォーミュラなど、政治面についても話がありました。
President Biden also had the chance to get briefed by a number of members of President Zelenskyy’s team and, you know, to have a detailed discussion of the types of steps that are going to be required in the weeks and months ahead from the United States and from our international partners in the G7 and NATO and elsewhere to ensure Ukraine has what it needs to sustain the level of effort going forward that we have seen over the course of the past year, and then some. バイデン大統領はまた、ゼレンスキー大統領のチームの多くのメンバーから説明を受ける機会を得ました。そして、米国やG7、NATOなどの国際パートナーから、ウクライナが過去1年間に見られたようなレベルの努力を今後も維持するために必要なものを確保し、今後数週間から数か月間に求められるであろう措置の種類について詳細に議論することができました。
And President Biden also had the opportunity to pay his respects to the fallen, to those who have given their lives and paid the ultimate sacrifice in service of defending Ukraine.  He also had the chance to stand, as I said, next to President Zelenskyy and send a clear message that the United States will be with Ukraine for as long as it takes and the United States will continue to hold the international community and, in particular, this large and diverse coalition of countries together that has been supporting Ukraine for these past many months. バイデン大統領はまた、ウクライナを守るために命を捧げ、究極の犠牲を払った戦没者に敬意を払う機会もあった。  また、ゼレンスキー大統領の隣に立ち、米国は必要な限りウクライナとともにあり、国際社会、特にこの何カ月もウクライナを支援してきた大規模で多様な国々の連合を、引き続き束ねていくという明確なメッセージを送る機会もあった。
Finally, President Biden really reinforced a point that he will make again when he speaks in Warsaw tomorrow, which is that President Putin thought that Ukraine would cower and that the West would be divided, indeed that the West would be weak.  And he got the opposite of that across the board. 最後に、バイデン大統領は、明日ワルシャワで演説する際に再び述べることになるであろう、「プーチン大統領は、ウクライナは屈し、西側は分裂し、実際西側は弱くなると考えていた」という点を本当に補強しました。  しかし、プーチン大統領は、ウクライナが萎縮し、西側が分裂し、西側が弱体化すると考えていたのです。
And this visit today was really an effort, again, as I said before, to show and not just tell that we will continue to stand up and stand strong and that we will do so, as I said, for as long as it takes. そして今日の訪問は、先ほども申し上げたように、私たちはこれからも立ち上がり、強く立ち続けるということを、伝えるだけでなく示すための努力であり、私が申し上げたように、必要なだけそうするつもりです。
So with that, let me — let me turn it over to Jon, and we’d be happy to take your questions. それでは、ジョンに代わって、質問をお受けしたいと思います。
MR. FINER:  Thanks, Jake.  Jake and Kate really said it all, but I’ll just make a few quick additional points. 質問をどうぞ。FINER: ありがとう、Jake。  ジェイクとケイトが本当にすべてを語ってくれたのですが、私も少し補足させてください。
They each talked about some of the unusual and maybe unprecedented aspects of this visit, but I’ll mention a couple of others, which is — which are: In addition to, obviously, lack of military footprint in Ukraine, the United States also has a very light embassy footprint compared to the massive operations in Afghanistan and Iraq during wartime visits by Presidents to those places. この訪問の珍しい、あるいは前例のない側面についてそれぞれ話してくれましたが、他にもいくつか挙げておきます。ウクライナでの軍の足跡がないことに加え、米国は、大統領が戦時中にアフガニスタンやイラクを訪問した際の大規模な作戦に比べ、大使館の足跡も非常に少ないのです。
And the traveling party accompanying the President was extremely small, as well, consisting basically of a handful of his closest aides, small medical team, photographer, and the security package. 大統領に随行する旅行団も、ごく少数の側近、小規模の医療チーム、写真家、そして警備一式という極めて小規模なものです。
So this entire operation, which was meticulously planned — and I’ll say a bit more about that in a second — was done just at much smaller scale than previous such visits by Presidents to these places, just given the constraints of operating in Kyiv and in the rest of Ukraine during conflict. この作戦は綿密に計画されたもので、それについては後ほど詳しく述べますが、紛争中のキーウやその他のウクライナでの活動という制約のもと、これまでの大統領の訪問よりもはるかに小規模なものです。
In terms of the planning, again, this visit was meticulously planned over a period of months, involving several offices in the White House — of course, the Chief of Staff’s office, the NSC, and White House Military Office — as well as a small number of colleagues from the Pentagon, the Secret Service, and of course, the intelligence community, which offered threat assessments on the visit. この訪問は、ホワイトハウスのいくつかの部署(首席補佐官室、国家安全保障会議、ホワイトハウス軍事室)、国防総省、シークレットサービス、そしてもちろん情報機関からも少数の関係者が参加し、数ヶ月にわたって綿密に計画され、この訪問に関する脅威の評価が行われました。
Only a handful of people in each of these buildings was involved in the planning for operational security.  The President was fully briefed on each stage of the plan and any potential contingencies, and then made the final “go” or “no go” decision after a huddle in the Oval Office and by phone with some key members of his national security cabinet on Friday. これらの建物で作戦警備の計画に携わったのは、それぞれほんの一握りの人間だけです。  大統領は、計画の各段階と起こりうる事態について十分な説明を受けた後、金曜日に大統領執務室と国家安全保障会議の主要メンバーとの電話会議を経て、最終的に「行く」「行かない」の判断を下しました。
Obviously, this was all worked very closely between the White House and the highest levels of the Ukrainian government, who have become quite adept at hosting high-level visitors, although not one quite like this, and with our embassy in Kyiv, which, again, is small but highly capable, playing a key role as an intermediary. もちろん、これはホワイトハウスとウクライナ政府の最高レベルとの間で非常に緊密に行われました。ウクライナ政府は、今回のようなケースはなかったものの、ハイレベルの訪問者を受け入れることに非常に習熟しており、キーウの米国大使館は、小規模ながら非常に有能で、仲介役として重要な役割を担っています。
And with that, I’ll turn it back to Adrienne. それでは、アドリアンに話を戻します。
MS. WATSON:  Thanks, Jon.  We have a couple of minutes for questions.  First question, Nancy Cordes with CBS.  Your line should be unmuted. MS. ジョン、ありがとうございました。  2分ほど質問をお受けします。  最初の質問は CBSのナンシー・コードです  ミュートを解除してください
Q    Sorry, I had to unmute manually.  Okay, so my question is — thank you so much for doing this.  I’m wondering if you gave the Russians any kind of heads up that the President was going to be in Kyiv.  And if not, what was your level of concern about the fact that they would try to act in some way while you were there, either with aggression in Kyiv or elsewhere in the country?  Were you operating under the assumption, if you didn’t give them a heads up, that they knew that you were there? Q すみません、手動でミュートを解除しなければなりませんでした。  では、質問なのですが......このような場を設けていただき、ありがとうございます。  大統領がキーウに来るということをロシア側に予告していたのでしょうか?  もしそうでなければ、あなたが滞在している間に、彼らがキーウや国内の他の場所で何らかの行動を起こそうとすることについて、どの程度の懸念を持っていましたか?  もし、あなたが予告しなければ、彼らはあなたがそこにいることを知っているという前提で行動していたのですか?
MR. SULLIVAN:  Nancy, it’s Jake.  We did notify the Russians that President Biden would be traveling to Kyiv.  We did so some hours before his departure for de-confliction purposes. MR. サリバン:ナンシー、ジェイクです。  バイデン大統領がキーウに行くことをロシアに通知しました。  我々はそうした彼の出発の数時間前に非紛合目的のために。
And because of the sensitive nature of those communications, I won’t get into how they responded or what the precise nature of our message was, but I can confirm that we provided that notification. そして、その通信の機密性のため、私は彼らがどのように反応したか、または私たちのメッセージの正確な性質に入ることはありません しかし、私は我々がその通知を提供したことを確認することができます。
MS. WATSON:  Thanks, Nancy.  Next question to Aamer with the AP.  Aamer, your line is unmuted. ありがとうございます。ありがとう、ナンシー。  次の質問はAP通信のエイマーです  エイマー、貴方は話せます。
Q    Thank you.  On the logistical aspect, could you confirm if — how — offer a little bit more detail on how the President and the package got there?  Was there trains or helicopters?  Or what was used to get there? Q ありがとうございます。  ロジスティクスの面で、大統領と荷物がどうやってそこに着いたのか、もう少し詳しく教えてください。  列車やヘリコプターがあったのでしょうか?  あるいは何を使ってそこに行ったのでしょうか?
And then, secondly, substantively on Ukraine’s future needs, were ATACMS and F-16s or fighter jets discussed?  And was there any resolution on Zelenskyy’s desire to get those?  Thank you. 次に、ウクライナの将来のニーズについてですが、ATACMSやF-16、あるいは戦闘機について議論されたのでしょうか?  そして、それらを手に入れたいというゼレンスキー氏の希望について、何らかの解決策があったのでしょうか?  ありがとうございました。
MS. BEDINGFIELD:  So, on the logistics, just quickly, I’ll say I anticipate that we’ll have more detail and that the print pooler, who was traveling with the President, will have more detail in the coming days. MS. ベディングフィールド:では、ロジスティックスについてですが、手短に言うと、もっと詳細が分かると思いますし、大統領と一緒に旅行していたプリントプーラーが数日中にもっと詳細を教えてくれるでしょう。
But given that we’re allowing the trip to play out and finish out, we are holding back on some of those trans- — modes of — mode of transportation details and other specific logistical details until the trip is fully complete.  しかし、私たちはこの旅行を最後までやり遂げようとしているので、旅行が完全に終了するまで、移動手段やその他の具体的な物流の詳細については控えさせていただいています。 
So I would anticipate that we will have more color for you on that in the coming days, when it’s safe to do so, Aamer. ですから、今後数日のうちに、安全が確認されれば、もっと詳しい情報をお伝えできると思います。
MR. SULLIVAN:  Aamer, it’s Jake.  The two presidents had a detailed discussion of the battlefield situation, of Ukraine’s objectives, of the military support and assistance we’ve already provided, and of capabilities going forward. Mr. サリバン: エイムール、ジェイクだ。  両大統領は戦況、ウクライナの目的、我々が既に提供した軍事支援と援助、そして今後の能力について詳細に議論しました。
I’m not going to get into the specifics of those because we’re not announcing new capabilities today.  But what I will say is that there was a good discussion on the subject.  I think the two presidents both laid out their perspectives on a number of different capabilities that have been thrown around in the press, both recently and over the course of several months.  And I will leave it at that. 今日は新しい能力を発表するわけではないので、その具体的な内容には立ち入るつもりはありません。  しかし、このテーマについて良い議論がなされたと申し上げたいのです。  両大統領は、最近、あるいは数カ月にわたってマスコミで取り沙汰されてきたさまざまな能力について、それぞれの見解を述べられたと思います。  それでは、この辺で失礼します。
MS. WATSON:  And then one more question to Jeremy Diamond with CNN.  Jeremy, you should be unmuted. MS. CNNのジェレミー・ダイアモンドにもう1つ質問します。  ジェレミー、あなたは話せると思います。
Q    Hey, thanks so much for doing this.  I’m wondering if you can tell us a little bit more about the deliberations about getting the President to Kyiv.  Was Secret Service and the Pentagon — were they all on board with the plan for the President to go to Kyiv?  Or did the President have to overrule security officials in any way?  Was there a consideration of going to somewhere closer to the border, like Lviv, for example?  If you could get into that. Q どうもありがとうございます。  大統領をキーウに送るための審議についてもう少し話していただけませんでしょうか。  シークレットサービスと国防総省は、大統領がキーウに行くという計画に賛成だったのでしょうか?  それとも、大統領が何らかの形で警備当局を覆す必要があったのでしょうか。  例えばリヴィウのような国境に近い場所に行くという検討はあったのでしょうか?  そのあたりをお聞かせください。
And then, Jake, I’m just wondering if you can paint a picture for us a little bit about what it was like being on the plane with the President for this very secretive trip and also what type of plane was used to get the President out of Washington. それから、ジェイク、この極秘の旅で大統領と一緒に飛行機に乗っていたのはどんな感じだったか、また、ワシントンを発つのにどんな飛行機が使われたのか、少し描いていただけませんか?
MR. SULLIVAN:  I’ll take the second one first.  So as Kate said, we’ll hold off on going into real detail on the various elements of the trip and modalities and modes of transport and the like until, basically, we get the green light from the security folks to be able to share all of that.  We will share it, but we just want to make sure that we do so once, you know, we feel that it’s operationally safe to do so.  Mr. サリバン:まずは2つ目から。  ケイトが言ったように、私たちは旅行の様々な要素や方法、輸送手段などについての詳細を述べることは控えておきます。  共有するつもりですが、ただ、運用上安全だと判断された時点で共有することを確認したいだけです。 
I can say that, coming over, the President was very focused on making sure that he made the most of his time on the ground, which he knew was going to be limited.  So he was quite focused on how he was going to approach his conversation with President Zelenskyy and, in part, how the two of them were really going to look out over the course of 2023 and try to come to a common understanding of what the objectives are, where Ukraine is trying to get and how the United States can most effectively support them alongside our allies and partners in getting to where it wants to get. 大統領は、限られた時間の中で、現地での滞在を最大限に活用することに集中していました。  そのため、ゼレンスキー大統領との対話にどう臨むか、また、2人が2023年の間に何を目指すのか、ウクライナは何を目指しているのか、そのために米国は同盟国やパートナーとともにどうすれば最も効果的に彼らを支援できるのかについて、共通の理解を得ようとかなり注力していました。
He was excited about making the trip.  I think he felt it was really important to stand up next to President Zelenskyy and speak the way that he did today and convey the messages that you heard from him and that, you know, I’ve just put in some context. 彼はこの訪問を楽しみにしていた。  ゼレンスキー大統領の隣に立って、今日のような話をし、皆さんが聞いたようなメッセージを伝えることは、本当に重要なことだと感じていたようです。
So, frankly, the trip from Washington was a trip filled with real anticipation, that this was an important moment and that the President was rising to the moment and felt he had an important mission to undertake, and he was eager to do it. 率直に言って、ワシントンからの旅は、これは重要な瞬間であり、大統領はこの瞬間に立ち上がり、引き受けるべき重要な使命があると感じ、それを実行に移したいと思っている、本当の期待に満ちた旅でした。
But he wanted to do it, characteristically, by delving into the details, by knowing the specifics of — by being sure that he was going to make the most of every moment. しかし、彼はそれを、特徴的に、細部を掘り下げることによって、具体的な内容を知ることによって、つまり、すべての瞬間を最大限に活用することを確信することによって、やり遂げようとしたのです。
And, you know, what I will say is that, on the question of deliberations, the President proceeded with the confidence that his security team was able to bring risk to a manageable level, and that was what ultimately led him to make the call to go.  そして、私が言いたいのは、熟慮の問題に関して、大統領は、彼のセキュリティ・チームがリスクを管理可能なレベルまで下げることができるという確信を持って行動し、それが最終的に大統領を出発させるという決断につながったということです。 
And I am not going to get into the specifics of who said what to him in the Oval, particularly on things as sensitive as his security.  I will just say that he got a full presentation of a very good and very effective operational security plan.  He heard that presentation.  He was satisfied that the risk was manageable.  And he ultimately made the determination (inaudible). 大統領執務室で誰が何を言ったか、特に大統領の安全保障のような微妙な事柄について、具体的に触れるつもりはない。  ただ、彼は非常に優れた、非常に効果的な作戦上のセキュリティプランの完全なプレゼンテーションを受けたと言うだけです。  彼はそのプレゼンテーションを聞いた。  そして、そのリスクがマネジメント可能であることに納得したのです。  そして、最終的に彼が決断したのです(聞き取れず)。
MS. WATSON:  All right.  Thank you so much to everybody for joining the call this morning.  I know that there are more questions.  You have our contact info for follow-up.  And then we will get in touch as soon as possible with more information as well.  The embargo on the call is lifted now.  Thank you very much. MS ワトソン:はい、それでは。 今朝の電話会議に参加してくれた皆さん、本当にありがとうございました。  まだまだご質問はあると思います。  フォローアップのために私たちの連絡先をお知らせします。  そして、私たちもできるだけ早く、より詳細な情報をご連絡いたします。  これで通話禁止は解除されました。  ありがとうございました。
8:01 A.M. EST 東部標準時間 08:01

 

・2023.02.20 Statement from President Joe Biden on Travel to Kyiv, Ukraine

Statement from President Joe Biden on Travel to Kyiv, Ukraine ウクライナのキーウへの渡航に関するジョー・バイデン大統領の声明
As the world prepares to mark the one-year anniversary of Russia’s brutal invasion of Ukraine, I am in Kyiv today to meet with President Zelenskyy and reaffirm our unwavering and unflagging commitment to Ukraine’s democracy, sovereignty, and territorial integrity. 世界がロシアの残忍なウクライナ侵攻から1周年を迎えるなか、私は今日、ゼレンスキー大統領と会談し、ウクライナの民主主義、主権、領土の一体性に対する我々の揺るぎない、揺るがない約束を再確認するためにキーウにいる。
When Putin launched his invasion nearly one year ago, he thought Ukraine was weak and the West was divided. He thought he could outlast us. But he was dead wrong. プーチンが約1年前に侵攻を開始したとき、彼はウクライナが弱く、西側諸国が分裂している、そして我々より長持ちすると考えた。しかし、彼は大きな間違いをしていた。
Today, in Kyiv, I am meeting with President Zelenskyy and his team for an extended discussion on our support for Ukraine. I will announce another delivery of critical equipment, including artillery ammunition, anti-armor systems, and air surveillance radars to help protect the Ukrainian people from aerial bombardments. And I will share that later this week, we will announce additional sanctions against elites and companies that are trying to evade or backfill Russia’s war machine. Over the last year, the United States has built a coalition of nations from the Atlantic to the Pacific to help defend Ukraine with unprecedented military, economic, and humanitarian support – and that support will endure. 今日、私はキーウでゼレンスキー大統領と彼のチームに会い、ウクライナに対する我々の支援について詳しく話し合う予定だ。私は、空爆からウクライナの人々を守るために、大砲弾薬、対人戦闘システム、航空監視レーダーなど、重要な装備の新たな提供を発表する予定だ。そして、今週末には、ロシアの戦争マシンを回避したり、裏工作をしたりしようとするエリートや企業に対する追加制裁を発表することもお伝えする予定である。昨年、米国は大西洋から太平洋にまたがる国々の連合体を構築し、前例のない軍事、経済、人道的支援によってウクライナの防衛を支援してきたが、この支援は今後も継続される。
I also look forward to traveling on to Poland to meet President Duda and the leaders of our Eastern Flank Allies, as well as deliver remarks on how the United States will continue to rally the world to support the people of Ukraine and the core values of human rights and dignity in the UN Charter that unite us worldwide. さらに私は、ポーランドに移動してドゥダ大統領や東側同盟国の首脳に会い、米国が引き続き世界を結集してウクライナの人々を支援し、国連憲章の人権と尊厳という、世界をひとつにまとめる中核的価値を支える方法について発言することを楽しみにしている。

 

Us-ukraine

 

| | Comments (0)

中国 米国の覇権、覇道、いじめとその危険性

こんにちは、丸山満彦です。

バイデン大統領がキーウ入りをしたことが話題となっていますが、こちらも...

米国からの要請により、2023.02.18に王毅・中国共産党中央委員会政治局委員兼中央委員会外事弁公室主任が、ミュンヘン安全保障会議に出席している米国のブリンケン国務長官と非公式に接触したようです。これはNHKのニュースにもなっていますね。。。

その後、2023.02.20に中国が、米国についての意見を述べていますね。。。

仮訳ですので、原文で確認しつつお願いします。。。

 

中华人民共和国 外交部

・2023.02.20 16:13 美国的霸权霸道霸凌及其危害

美国的霸权霸道霸凌及其危害 米国の覇権、覇道、いじめとその危険性
2023年2月 2023年2月
目 录 目次
序 言 序言
一、肆意妄为的政治霸权 1. 抑制のない政治覇権
二、穷兵黩武的军事霸权 2. 軍国主義的な軍事覇権
三、巧取豪夺的经济霸权 3. 策略と略奪の経済覇権
四、垄断打压的科技霸权 4. 独占と抑圧の科学技術覇権
五、蛊惑人心的文化霸权 5. 脅迫的な文化覇権
结束语 結語
序 言 序言
美国在经历两次世界大战和冷战成为全球头号强国后,更加肆无忌惮,粗暴干涉别国内政,谋求霸权、维护霸权、滥用霸权,大搞颠覆渗透,动辄发动战争,贻害国际社会。 二度の世界大戦と冷戦を経て世界最強の国となった米国は、さらに無謀さを増し、他国の内政に暴力的に干渉し、覇権を求め、覇権を維持し、覇権を乱用し、破壊的な浸透を行い、ことあるごとに戦争を行い、国際社会に害悪を与えてきた。
美国惯于打着民主、自由、人权的幌子,发动颜色革命,挑唆地区争端,甚至直接发动战争。美国固守冷战思维,大搞集团政治,挑动对立对抗。美国泛化国家安全,滥用出口管制,强推单边制裁。美国对国际法和国际规则合则用,不合则弃、则废,打着“基于规则的国际秩序”旗号,谋着维护自身“家法帮规”的私利。 民主主義、自由、人権を口実に、米国はカラー革命を起こし、地域紛争を扇動し、直接戦争を仕掛けることさえあるのだ。 米国は冷戦の精神にしがみつき、ブロック政治を行い、対立を引き起こす。 国家安全保障を一般化し、輸出規制を乱用し、一方的な制裁を加える。 ルールに基づく国際秩序」の旗印のもと、米国は自国の「家の法や決まり」の維持という利己的な利益を求めている。
本报告重在通过列举事实,揭露美国滥用政治军事、经济金融、科技文化霸权的种种恶行劣迹,让国际社会进一步看清美方做法对世界和平稳定和各国民生福祉带来的严重危害。 本報告書は、政治・軍事、経済・金融、科学技術、文化の面で覇権を乱用する米国のあらゆる悪徳・悪行を、事実を挙げて暴露し、国際社会が米国の実践が世界の平和と安定、そしてすべての国の幸福にもたらした深刻な害悪をさらに認識できるようにすることを目的としている。
一、肆意妄为的政治霸权 1. 抑制のない政治覇権
美国长期打着所谓民主和人权旗号,企图按照美国的价值观和政治制度塑造其他国家和世界秩序。 いわゆる民主主義と人権の旗印のもと、米国は長い間、他国と世界秩序を自らの価値観と政治体制に従って形成しようと試みてきた。
◆美国干涉他国内政的例子比比皆是,借“ 推广民主”之名在拉美推行“新门罗主义”,在欧亚煽动“颜色革命”,在西亚北非策动“阿拉伯之春”,给多国带来混乱和灾难。 ◆ラテンアメリカでは「民主化促進」の名の下に「新モンロー・ドクトリン」を、ユーラシアでは「カラー革命」を扇動し、西アジア・北アフリカでは「アラブの春」を扇動するなど、米国の他国への内政干渉の例は枚挙に暇がない。「 アラブの春」は多くの国に混乱と災いをもたらした。
1823年,美国发表“门罗宣言”,讲的是“美洲是美洲人的美洲”,想的却是“美洲是美国人的美洲”,此后历届政府对拉美和加勒比地区的政策都是政治干涉、军事介入和政权颠覆。无论是敌视封锁古巴61年,还是颠覆智利阿连德政府,都是“顺我者昌,逆我者亡”。 1823年、アメリカはモンロー宣言を発し、「アメリカはアメリカ大陸のためのアメリカ」と言いながら、「アメリカはアメリカ人のためのアメリカ」と考えていた。 その後の政権のラテンアメリカとカリブ海諸国に対する政策は、政治的干渉、軍事介入、政権転覆の一途をたどってきた。 61年にわたるキューバへの敵対的封鎖も、チリのアジェンデ政権破壊も、「われわれに従う者は栄え、われわれに背く者は死ぬ」という政策であった。
2003年起,接连发生格鲁吉亚“玫瑰革命”、乌克兰“橙色革命”和吉尔吉斯斯坦“郁金香革命”。美国国务院公开承认在这些“政权更迭”中发挥了“中心作用”。美国还干预菲律宾内政,1986年和2001年以“人民力量”为名将前总统老马科斯和埃斯特拉达赶下台。 2003年以降、グルジアの「バラ革命」、ウクライナの「オレンジ革命」、キルギスの「チューリップ革命」などが相次いで起こった。 米国務省は、これらの「政権交代」において「中心的な役割」を果たしたことを公に認めている。 米国はフィリピンにも内政干渉を行い、1986年と2001年に「ピープルパワー」の名の下にマルコス・シニア元大統領とエストラダ元大統領を追放している。
美国前国务卿蓬佩奥2023年1月出版新书《寸步不让》,披露美国曾计划对委内瑞拉实施干预,拟迫使马杜罗政府同反对派达成协议,剥夺委内瑞拉通过出口石油和黄金获取外汇的能力,施加经济高压,影响2018年总统选举。 2023年1月、マイク・ポンペオ前米国務長官は新著「Never Give an Inch」を出版し、米国がベネズエラへの介入を計画し、マドゥロ政権に野党との合意を迫り、ベネズエラから石油や金の輸出による外貨獲得能力を奪い、経済圧力をかけて2018年の大統領選挙に影響を及ぼすことを明らかにした。
◆美国对国际规则采取双重标准,以私利为先,毁约退群,将国内法凌驾于国际法之上。2017年4月,特朗普政府以联合国人口基金“支持和参与强迫堕胎或非自愿绝育手术”为由,宣布对该组织“断供”。美国曾于1984年、2017年两次退出联合国教科文组织。2017年,宣布退出气候变化《巴黎协定》。2018年,以对以色列“存在偏见”和“无法有效保护人权”为由,宣布退出联合国人权理事会。2019年,为不受束缚地发展先进武器,宣布退出《中导条约》。2020年,宣布退出《开放天空条约》。 ◆米国は国際ルールに対して二重基準を採用し、自己利益を最優先して条約を破り、団体から脱退し、国際法よりも国内法を優先している。2017年4月、トランプ政権は、国連人口基金が「強制的な中絶や強制的な不妊手術を支援・参加している」ことを理由に、同基金への資金提供を打ち切ると発表した。米国は1984年と2017年の2回、ユネスコから脱退し、2017年には気候変動に関するパリ協定からの脱退を発表している。2018年、イスラエルへの「偏見」と「効果的な人権保護ができない」ことを理由に、国連人権理事会からの脱退を発表した。2019年、自制のない先端兵器開発のためINF条約から脱退。2020年、オープンスカイ条約からの脱退を表明した。

美国还反对《禁止生物武器公约》核查议定书谈判,妨碍国际社会对各国生物武器活动进行核查,成为生物军控进程的“绊脚石”。作为世界上唯一拥有化学武器库存的国家,美国多次推迟化学武器销毁时间,消极履行义务,成为建立“无化武世界”的最大障碍。 また、米国は生物兵器禁止条約の検証議定書の交渉に反対し、各国の生物兵器活動の国際的検証を妨げ、生物兵器管理プロセスの「足かせ」となっている。 米国は、世界で唯一の化学兵器保有国として、化学兵器の廃棄を繰り返し先送りし、その義務を果たさず、「化学兵器のない世界」の確立を阻む最大の障害になっている。
◆美国借助盟友体系拉帮结派。在亚太地区强推“印太战略”,纠集“五眼联盟”“四边机制”“美英澳三边安全伙伴关系”,大搞封闭排他的小圈子,强迫地区国家选边站队,实质是制造地区分裂、煽动对抗、破坏和平。 ◆米国は、同盟制度を利用して派閥を形成している。 アジア太平洋地域において、米国は「インド太平洋戦略」を推進し、「ファイブ・アイズ同盟」、「四極メカニズム」、「米英豪三国安全保障パートナーシップ」などを集結させている。 要するに、地域の分断を作り、対立を煽り、平和を損なっている。
◆美国肆意评判他国民主,公然炮制“民主对抗威权”虚假叙事,挑动隔阂分裂,煽动对立对抗。2021年12月,美国举办首届“领导人民主峰会”,践踏民主精神,制造世界分裂,遭到许多国家批评和反对。2023年3月,美国还将再次举办“领导人民主峰会”,将继续不受欢迎、不得人心。 ◆2021年12月、米国は第1回「民主主義に関する首脳会議」を開催し、民主主義の精神を踏みにじり、世界に分断を作り出しました。 2023年3月、米国は再び「民主主義に関する首脳会議」を開催するが、これも不評を買い続けるだろう。
二、穷兵黩武的军事霸权 2. 軍国主義的な軍事覇権
美国的历史,充斥着暴力和扩张。1776年独立以来美国动用武力不断扩张,屠杀印第安人,入侵加拿大,发动美墨战争,策动美西战争,吞并夏威夷。第二次世界大战后,挑起或发动朝鲜战争、越南战争、海湾战争、科索沃战争、阿富汗战争、伊拉克战争、利比亚战争、叙利亚战争,用军事霸权为扩张开路。近年年均军事预算7000多亿美元,占世界军费总支出的40%,超过第2名到第16名国家的总和。美国目前在海外有约800个军事基地,在159个国家驻扎了17.3万人的军队。 米国の歴史は、暴力と膨張の歴史である。1776年の独立以来、アメリカは武力で拡張し、インディアンを虐殺し、カナダに侵攻し、米墨戦争を起こし、米西戦争を扇動し、ハワイを併合してきた。第二次世界大戦後は、朝鮮戦争、ベトナム戦争、湾岸戦争、コソボ戦争、アフガニスタン戦争、イラク戦争、リビア戦争、シリア戦争などを起こし、軍事覇権で拡張の道を切り開いてきた。近年の年間平均軍事予算は7000億ドルを超え、世界の軍事費総額の40%を占め、2位から16位までの国の合計よりも多い。 現在、米国は海外に約800の軍事基地を持ち、159カ国に17万3千人の軍隊を駐留させている。
《美国侵略:我们是如何入侵或军事干预地球上几乎每一个国家的》一书指出,在联合国承认的190多个国家中,只有3个国家没与美国打过仗或受其军事干预。这3个国家能够“幸免于难”,是因为美国没有在地图上发现它们。 『アメリカの侵略:いかにして地球上のほとんどすべての国に侵略または軍事介入したか』という本によると、国連が承認した190以上の国のうち、アメリカが戦わなかった、または軍事介入しなかった国は3つしかない。 この3カ国は、米国が地図上で見つけられなかったため、「免れた」のである。
◆正如美国前总统卡特所言,美国无疑是世界上最好战的国家。塔夫茨大学研究报告《军事干预项目:1776年至2019年美国军事干预的新数据集》显示,1776年至2019年,美国在全球进行了近400次军事干预,34%针对拉丁美洲和加勒比地区,23%针对东亚和太平洋地区,14%针对中东和北非地区,13%针对欧洲地区。当前,美国对中东和北非以及撒哈拉以南非洲地区的军事干预呈现上升趋势。 ◆ジミー・カーター元米国大統領が言ったように、米国は間違いなく世界で最も戦争好きな国である。 タフツ大学の研究「軍事介入プロジェクト:1776年から2019年までの米国の軍事介入に関する新しいデータセット」によると、1776年から2019年の間に、米国は世界中で約400件の軍事介入を行い、その34%がラテンアメリカとカリブ海諸国に対して、23%が東アジアと太平洋に対して、14%が中東と北アフリカに対して、13%がヨーロッパに対して行われたという。 現在、米国の軍事介入は中東・北アフリカとサハラ以南のアフリカで増加傾向にある。
《南华早报》专栏作家亚历克斯·洛指出,美国从建国到现在很少区分外交和战争,上个世纪推翻了很多发展中国家的民选政府,马上替之以亲美的傀儡政权。今天,从乌克兰、伊拉克、阿富汗、利比亚、叙利亚到巴基斯坦、也门,美国一如既往本性难移,开展代理人、低强度和无人机战争。 South China Morning Post紙のコラムニスト、アレックス・ローは、米国は建国以来、外交と戦争の区別をほとんどつけず、前世紀には多くの発展途上国で民主的に選ばれた政府を転覆させ、直ちに親米派の傀儡政権に取って代わったと指摘する。 今日、ウクライナ、イラク、アフガニスタン、リビア、シリアからパキスタン、イエメンまで、米国は相変わらず独創的で、代理戦争、低強度戦争、ドローン戦争を繰り広げている。
◆美国军事霸权酿成人道惨剧。2001年以来,美国以反恐之名发动的战争和军事行动已造成超过90万人死亡,其中约有33.5万是平民,数百万人受伤,数千万人流离失所。2003年伊拉克战争导致约20万至25万平民死亡,被美军直接致死的超过16000人,造成100多万人无家可归。 ◆2001年以来、テロ対策の名の下に行われた米国の戦争と軍事作戦によって、90万人以上が死亡し、そのうち約33万5千人が民間人である。2003年のイラク戦争では、約20万人から25万人の民間人が死亡し、1万6千人以上が米軍によって直接殺され、百数十万人がホームレスとなった。
美国在全球制造了3700万难民。2012年以来,仅叙利亚难民数量就增加10倍。2016年至2019年,叙利亚有记载死于战乱的平民达33584人,其中美国领导的联军轰炸致死3833人,半数是妇女和儿童。美国公共电视网2018年11月9日报道,仅美军对拉卡市发动的空袭就导致1600名平民死亡。 米国は世界で3700万人の難民を生み出した。シリア難民の数だけでも2012年から10倍に増えた。2016年から2019年にかけて、シリアでは戦争の結果33,584人の民間人が死亡し、そのうち3,833人が米国主導の連合軍の爆撃によって死亡し、その半数が女性と子どもであることがわかった。 PBSは2018年11月9日、米国のラッカ市への空爆だけで、1,600人の民間人が死亡したと報じた。
长达20年的阿富汗战争让阿富汗满目疮痍。共4.7万名阿富汗平民以及6.6万至6.9万名与“9·11”事件无关的阿富汗军人和警察在美军行动中丧生,1000多万人流离失所。阿富汗战争毁坏了当地经济发展基础,让阿富汗人民一贫如洗。2021年“喀布尔大溃败”后,美国宣布冻结阿富汗央行约95亿美元资产,被认为是“赤裸裸的掠夺”。 アフガニスタンでは20年にわたる戦争で国が荒廃している。 米国の作戦により、計4万7000人のアフガン民間人と、9・11に関連しないアフガン兵士・警察6万6000~6万9000人が死亡し、1000万人以上が避難民となった。 2021年の「カブール騒動」後、米国はアフガニスタン中央銀行の資産約95億ドルを凍結したと発表し、「裸の略奪」とされた。
2022年9月,土耳其内政部长索伊卢在出席集会时表示,美在叙利亚开展代理人战争,把阿富汗变成鸦片种植田和海洛因加工厂,让巴基斯坦陷入动荡、利比亚内乱不断。无论哪个国家有地下资源,美国都会竭尽所能去掠夺和奴役那里的人们。 2022年9月、トルコのソユ内相は集会で、米国はシリアで代理戦争を行い、アフガニスタンをアヘン農園とヘロイン工場に変え、パキスタンを混乱に陥れ、リビアを内乱に陥れていると発言している。 地下資源がある国ならどこでも、アメリカはその国の人々を略奪し、奴隷にするためにあらゆることをする。
美军还曾采用骇人听闻手段参与战争,在朝鲜战争、越南战争、海湾战争、科索沃战争、阿富汗战争、伊拉克战争中,大量使用生化武器和集束炸弹、油气炸弹、石墨炸弹、贫铀炸弹,造成大量民用设施损毁、无数无辜平民伤亡、持久生态环境污染。 米軍はまた、朝鮮戦争、ベトナム戦争、湾岸戦争、コソボ戦争、アフガニスタン戦争、イラク戦争で、化学・生物兵器やクラスター爆弾、石油・ガス爆弾、黒鉛爆弾、劣化ウラン弾を使用し、民間施設の大規模破壊、無数の罪なき民間人の犠牲、持続する生態系汚染を引き起こし、ひどい方法で戦争を行なっている。
三、巧取豪夺的经济霸权 3. 策略と略奪の経済覇権
第二次世界大战后,美国主导建立布雷顿森林体系、国际货币基金组织和世界银行,与马歇尔计划共同确立起以美元为核心的国际货币体系。美国还利用加权投票制、重大事项85%以上多数通过等国际组织规则安排以及一系列国内贸易法规,建立起国际经济金融领域的制度性霸权。借助美元的主要国际储备货币地位向全世界收取“铸币税”,利用对国际组织的控制,胁迫他国服务美国政治经济战略。 第二次世界大戦後、米国はブレトンウッズ体制、国際通貨基金、世界銀行の設立を主導し、マーシャルプランとともに、米ドルを中核とする国際通貨制度を確立した。 また、米国は、加重投票制度の利用、重要事項の85%過半数などの国際機関の規則・規制の採用、一連の国内貿易規制などを通じて、国際経済・金融分野における制度的ヘゲモニーを確立してきた。 米国は、米ドルを主要な国際基軸通貨として、全世界から「造幣局税」を徴収し、国際組織に対する支配力を利用して、米国の政治・経済戦略に奉仕するように他国を強制している。
◆美国利用“铸币税”攫取全世界财富。凭借一张成本仅约17美分的百元美钞,让其他国家实实在在地向美国提供价值相当于100美元的商品和服务。法国前总统戴高乐半个多世纪前就曾指出,“美国享受着美元所创造的超级特权和不流眼泪的赤字,她用一钱不值的废纸去掠夺其他民族的资源和工厂”。 ◆米国は「造幣局税」を使って、世界の富を収奪している。 100ドル札が約17セントであるため、他国は米国に実質100ドル相当の財やサービスを提供することができるのである。 フランスのシャルル・ドゴール元大統領は、半世紀以上前に「米国はドルという超特権を享受し、価値のない紙切れで他国の資源や工場を略奪しても涙を流さない赤字国である」と指摘している。
◆美元霸权是世界经济不稳定性和不确定性的主要根源。新冠疫情背景下,美国滥用全球金融霸权,向全球市场注入数万亿美元,而买单的却是其他国家特别是新兴经济体。2022年,美联储结束超宽松货币政策,转向激进加息政策,导致国际金融市场动荡,欧元等多种货币大幅贬值,创下20年来新低,许多发展中国家因此遭遇严重通货膨胀、本币贬值和资本外流。尼克松政府财政部长康纳利曾得意洋洋但又一针见血地指出,“美元是我们的货币,却是你们的麻烦”。 ◆米ドルの覇権は世界経済の不安定と不安の元凶である。 Covid-19の流行を背景に、米国は世界金融の覇権を乱用し、世界市場に何兆ドルも注入したが、そのツケは他の国、特に新興国が払った。2022年、米連邦準備制度理事会(FRB)は超緩和的な金融政策を終了し、積極的な利上げ政策に転換し、国際金融市場の混乱、ユーロなど多くの通貨が20年ぶりの安値に急落、結果として多くの途上国で激しいインフレ、現地通貨安、資本流出が発生した。ニクソン政権の財務長官であったコネリー氏は、かつて嬉々として、しかし要領よく「ドルは我々の通貨であるが、それはあなた方の問題である」と述べたことがある。
◆美国操纵国际经济金融组织,在援助他国时施加附带条款。要求受援国推行金融自由化、加大金融市场开放,使受援国经济政策符合美国战略,为美国资本渗透和投机减少阻碍。《国际政治经济学评论》统计,1985年至2014年,国际货币基金组织向131个成员国实施了1550个债务援助项目,附带了55465项附加政治条款。 ◆米国は国際的な経済・金融組織を操り、他国への援助にサイド・クロージングを課していた。 それは、被援助国に金融自由化の推進と金融市場の開放を拡大し、被援助国の経済政策が米国の戦略に沿うようにし、米国資本の侵入と投機の障害を減らすことを要求するものである。 International Review of Political Economy』によると、1985年から2014年まで、国際通貨基金は131の加盟国に対して1550件の債務支援プロジェクトを実施し、5万5465件の追加政治条件が付けられた。
◆美国擅用经济胁迫手段打压对手。20世纪80年代,美国为消除日本经济威胁,控制并利用日本为美国对抗苏联和称霸世界战略目标服务,再次施展霸权主义金融外交,与日本签订“广场协议”,逼迫日元升值,开放金融市场,改革金融体制。“广场协议”沉重打击了日本经济的元气,日本此后进入“失去的三十年”。 ◆1980年代、米国は日本に対する経済的脅威を排除し、ソ連との対決と世界支配という米国の戦略目標のために日本を支配し利用するために、再び覇権的金融外交を行い、日本と「プラザ合意」を結び、円高を強制し金融市場を開放し金融システムを改革していった。 金融システムの 「プラザ合意」は日本経済の活力に大きな打撃を与え、その後、日本は「失われた30年」に突入した。
◆美国经济金融霸权沦为地缘政治武器。美国大搞单边制裁和“长臂管辖”,制订了《国际紧急状态经济权力法》《全球马格尼茨基人权问责法》《以制裁反击美国敌人法》等国内法并推出一系列行政令,对特定国家、组织或个人实施制裁。据统计,从2000年到2021年美国对外制裁增加933%。仅特朗普政府就实施3900多项制裁,相当于平均每天挥舞3次“制裁大棒”。截至目前,美国已对古巴、中国、俄罗斯、朝鲜、伊朗、委内瑞拉等世界上近40个国家实施过经济制裁,全球近一半人口受到影响。“美利坚合众国”已然成为“制裁合众国”。“长臂管辖”完全沦为美国借国家公权力打压商业竞争对手和干涉正常国际商业交易的工具,彻底背离美国长期标榜的自由主义市场经济理念。 ◆米国の経済・金融覇権は、地政学的な武器に成り下がった。 米国は、国際緊急経済力法、グローバル・マグニツキー人権説明責任法、制裁によるアメリカの敵への対抗法などの国内法を制定し、特定の国、組織、個人に制裁を加える大統領令を次々と導入し、一方的な制裁と「ロングアーム司法」を展開してきた。 統計によると、米国の対外制裁は2000年から2021年にかけて933%増加した。 トランプ政権だけでも3,900件以上の制裁を課しており、これは1日に平均3回「制裁棒」を振っていることに相当する。 これまでにアメリカは、キューバ、中国、ロシア、北朝鮮、イラン、ベネズエラなど世界40カ国近くに対して経済制裁を行い、世界人口の約半分に影響を及ぼしている。 「アメリカ合衆国」は「制裁のアメリカ合衆国」になってしまったのある。 「ロングアーム司法権」は、米国が国家の公権力によってビジネス上の競争相手を抑圧し、正常な国際商取引を妨害するための道具に成り下がり、米国が長年培ってきた自由主義市場経済の概念から完全に逸脱してしまった。
四、垄断打压的科技霸权 4. 独占と抑圧の科学技術覇権
美国在高科技领域大搞垄断打压、技术封锁,遏阻其他国家科技和经济发展。 米国は、ハイテク分野において、他国の科学技術や経済の発展を抑制する独占的な弾圧と技術封鎖を行っている。
◆美国借知识产权保护之名搞知识产权垄断。利用各国特别是发展中国家在知识产权上的弱势地位和在相关领域制度上的空缺实施垄断,攫取高额垄断利润。1994年,美国推动《与贸易有关的知识产权协定》,强推知识产权保护的美国化进程和标准,企图固化科技垄断优势。 ◆米国は、知的財産権保護を口実に、知的財産権を独占している。 1994年、米国は知的財産権の貿易関連の側面に関する協定(TRIPS)を推進し、知的財産保護のアメリカ化の過程と基準を強要し、科学技術における独占的優位を固めようとしている。
20世纪80年代,美国为打击日本半导体产业发展,采取包括启动“301”调查、通过多边协议为双边谈判制造筹码、威胁将日本列为不公平贸易国、加征报复性关税等手段,逼迫日本签订《美日半导体协定》,导致日本半导体企业几乎完全退出全球竞争,市场份额由50%跌至10%。同时,在美国政府扶持下,大量美国半导体企业趁机抢占市场。 1980年代、米国は日本の半導体産業の発展に対抗するため、301条調査を開始し、多国間協定による二国間交渉のテコ入れを行い、日本を不公正貿易国に分類すると脅し、報復関税をかけて日米半導体協定を締結させるなどの措置をとり、日本の半導体企業はグローバル競争からほぼ完全に撤退することになった。 日本製半導体のシェアは50%から10%に低下し、世界的な競争から完全に撤退した。 同時に、米国政府の支援を受け、多くの米国半導体企業がこの機会を捉えて市場を奪取した。
◆美国将科技问题政治化、武器化、意识形态化。美国泛化国家安全概念,动用国家力量打压和制裁中国华为公司,限制华为产品进入美国市场,断供芯片和操作系统,在全世界胁迫其他国家禁止华为参与当地5G网络建设,还策动加拿大无理拘押华为首席财务官孟晚舟近3年。 ◆米国は、科学技術の問題を政治化し、武器化し、イデオロギー化した。 米国は国家安全保障の概念を一般化し、国家権力を使って中国のファーウェイを弾圧・制裁し、ファーウェイ製品の米国市場参入を制限し、チップとOSの供給を絶ち、世界各国にファーウェイの現地5Gネットワーク構築への参加を禁止するよう強要し、カナダに扇動されてファーウェイの孟晩舟首席財務官を理由なく3年近く拘束してきた。
美国还炮制各种借口,围追打压具有国际竞争力的中国高科技企业,已将1000多家中国企业列入各种制裁清单。美国还对生物技术、人工智能等高端技术实施管控,强化出口管制,严格投资审查,打压包括TikTok、微信等中国社交媒体应用程序,游说荷兰和日本限制对中国芯片和相关设备与技术出口。 また、米国は様々な口実を作って国際競争力のある中国のハイテク企業を一網打尽にし、1000社以上の中国企業を様々な制裁リストに載せてきた。 さらに米国は、バイオテクノロジーや人工知能などのハイエンド技術に対する規制、輸出規制や投資審査の強化、TikTokやWeChatなど中国のソーシャルメディアアプリの取り締まり、オランダや日本に対してチップや関連機器・技術の中国への輸出を制限するよう働きかけてきた。
美国还在对华科技人才政策方面采取双重标准。2018年6月以来,针对部分高科技专业的中国留学生缩短了签证有效期限,屡屡无端禁止和滋扰中国学者赴美学术交流以及学生赴美留学,对在美华人学者开展大规模调查,排挤、打压华人科研群体。 米国は中国の科学技術人材に対する政策でも二重基準を採用しており、2018年6月以降、一部のハイテク専攻の中国人留学生のビザの有効期間を短縮し、中国人学者の学術交流のための渡米や学生の米国留学を明白な理由なく繰り返し禁止し迷惑をかけ、米国内の中国人学者に対する大規模な調査を開始し、中国の科学研究界を横取りして弾圧している。
◆美国借民主之名维护科技霸权。打造“芯片联盟”“清洁网络”等科技“小圈子”,给高科技打上民主、人权的标签,将技术问题政治化、意识形态化,为对他国实施技术封锁寻找借口。2019年5月,美国拉拢32个国家在捷克召开“布拉格5G安全大会”,发布“布拉格提案”,企图排除中国5G技术产品。2020年4月,时任美国国务卿蓬佩奥宣布“5G清洁路径”,计划在5G领域构建以“民主”为意识形态纽带、以“网络安全”为目标的技术联盟。美国上述举措的实质,就是通过技术联盟维护科技霸权。 ◆米国は科学技術に対する覇権を維持するために、民主主義を口実にしている。 米国は科学技術において「チップアライアンス」「クリーンネットワーク」などの「小輪」を作り、ハイテクに民主主義や人権などのレッテルを貼り、技術問題を政治化・イデオロギー化し、他国への技術封鎖を押し付ける口実にしてきた。 2019年5月、米国は32カ国を集めてチェコで「プラハ5G安全保障会議」を開催し、「プラハ提案」を発表して中国の5G技術製品を排除しようとした。 2020年4月には、ポンペオ国務長官(当時)が「5Gクリーンパス」を発表し、「民主主義」を理念的な結びつきとし、「サイバーセキュリティ」を目標とする5G分野の技術同盟を構築する計画を発表した。 上記のような米国の構想の本質は、技術同盟による技術覇権の維持にある。
◆美国滥用科技霸权大搞网络攻击和监听窃密。美国是全球窃密大户,作为“黑客帝国”早已恶名远扬。美国网络攻击和监听监视无孔不入,窃密手段五花八门,包括利用模拟手机基站信号接入手机盗取数据,操控手机应用程序,侵入云服务器,通过海底光缆进行窃密等。 ◆米国は科学技術における覇権を悪用して、サイバー攻撃や盗聴を行っている。 米国は機密窃取の世界的リーダーであり、長い間「ハッカー帝国」として悪名を馳せてきた。 米国のネットワーク攻撃と盗聴監視は浸透しており、携帯電話の基地局信号を模擬して携帯電話にアクセスしデータを盗む、携帯電話のアプリケーションを操作する、クラウドサーバーに侵入する、海底光ケーブルを通して秘密を盗むなど、様々な手段がある。
美国实施“无差别”监视监听。从竞争对手到盟友,甚至包括德国前总理默克尔、法国多任总统等盟国领导人,无不在监听范围之内。“棱镜门”“脏盒”“怒角计划”“电幕行动”等美国网络监控和攻击事件,印证了美国的盟友伙伴都在美国的严密监控之列。美国窃听盟友伙伴的行径早已引起国际社会公愤。曾曝光美国监听项目的“维基解密”网站创始人阿桑奇说,不要期待这个“监听超级大国”会做出有尊严和让人尊重的行为。规则只有一个,那就是没有规则。 米国は「無差別」な監視・盗聴を行っている。 競争相手から、メルケル元ドイツ首相、フランス大統領など同盟国の指導者まで、全員が監視下に置かれている。 "プリズムゲート"、"ダーティボックス"、"プロジェクト・フューリーホーン"、"エレクトリック・カーテン作戦 "など、米国のサイバー監視・攻撃。 米国の同盟パートナーは、米国による厳重な監視下に置かれている。 米国が同盟国やパートナーを盗聴していることは、長い間、国際的な憤りの種となってきた。 米国の盗聴プログラムを暴露したWikiLeaksの創設者であるアサンジ氏は、「盗聴大国」が尊厳と敬意をもってふるまうことを期待されてはならないと述べた。 ルールはただ一つ、「ルールはない」ということだ。
五、蛊惑人心的文化霸权 5. 脅迫的な文化覇権
美国文化的全球扩张是其对外战略的重要组成部分。美国惯用文化来加强和维护其在世界上的霸权地位。 アメリカ文化の世界的な拡大は、その対外戦略の重要な部分である。 アメリカは、世界における覇権的地位を強化し維持するために、習慣的に文化を利用している。
◆美国在电影等商品中植入美国价值观。通过影视产品、图书、各种媒体以及资助非营利性文化机构,“嵌入配售”美国价值观和生活方式,打造出以美式文化为主导的文化和舆论空间,推行文化霸权。美国学者约翰·耶马在其《世界的美国化》一文中指出,关于文化扩张,美国真正的武器是好莱坞的电影业、麦迪逊大街的形象设计厂和马特尔公司、可口可乐公司的生产线。 ◆米国は、映画やその他の商品において、米国の価値観を植え付ける。 映画やテレビの商品、書籍、さまざまなメディア、非営利の文化機関への資金提供を通じて、アメリカの価値観やライフスタイルが「埋め込まれ、流通」し、アメリカ文化が支配する文化・世論空間を作り、文化的覇権を促進させる。 アメリカの学者ジョン・イエマは、論文「The Americanisation of the World」の中で、アメリカ文化拡大の真の武器は、ハリウッド映画産業、マディソン街のイメージデザインスタジオ、マーテルとコカコーラの生産ラインであると指摘している。
美国推行文化霸权的形式多种多样,占据世界70%以上份额的美国电影是主渠道之一。美国电影善于利用多元文化背景,创造对各族裔吸引力。随着好莱坞电影在全世界不断发行,美国将价值观裹挟其中,大加渲染。 アメリカは様々な形で文化的覇権を追求するが、世界の70%以上のシェアを占めるアメリカ映画はその主要なチャンネルの一つである。 アメリカ映画は、多文化的な背景を巧みに利用し、あらゆる民族にアピールすることに長けている。 ハリウッド映画が世界中に配給され続けると、アメリカはその価値観を映画に巻き付け、大々的に宣伝する。
◆美国文化霸权从“直接介入”走向“媒介渗透”和“世界喇叭”,在干涉他国内政时,更加依靠美国主导的西方媒体,煽动全球舆论。 ◆米国の文化覇権は「直接介入」から「メディア浸透」「世界捏造」に移行し、他国の内政に干渉する際、米国が支配する西側メディアをより頼りにして世界世論を扇動している。 米国政府は、すべてのソーシャルメディア企業を厳しく検閲している。
美国政府严格审查所有社交媒体公司,要求执行政府指示。福克斯商业频道报道,2022年12月27日,推特公司首席执行官马斯克表示,所有社交媒体平台都与美国政府合作,对内容进行审查。美国的舆论导向受到政府干预,限制所有不利言论。谷歌经常让链接页面消失。 米国政府はすべてのソーシャルメディア企業を精査し、政府の指示を実行するよう要求している。 Fox Business Channelは2022年12月27日、TwitterのCEOであるMusk氏が、すべてのソーシャルメディアプラットフォームは米国政府と連携してコンテンツを検閲していると述べたと報じた。 米国の世論は、あらゆる好ましくない言論を制限するために、政府の介入によって導かれている。 グーグルはしばしばリンクページを消滅させる。
美国国防部操控社交媒体。2022年12月,美国独立调查网站“The Intercept”披露,2017年7月美军中央司令部官员纳撒尼尔·卡勒给推特公共政策团队发了一个表格,包含52个阿拉伯语账号,要求优先服务其中6个,其中一个专门用来宣传美国无人机对也门的军事袭击,例如袭击是精确的,杀死的是恐怖分子而不是平民。按照卡勒要求,推特将这批阿拉伯语账号放入“白名单”,用来放大某些信息。 2022年12月、米国の独立系調査サイト「The Intercept」は、2017年7月、米中央軍幹部のナサニエル・カーラーが、52のアラビア語アカウントを含むフォームをツイッターの公共政策チームに送り、そのうち6つについて優先的にサービスを提供するよう要求していたことを明らかにした。 そのうちの1つは、イエメンでの米国のドローン軍事攻撃が正確で、民間人ではなくテロリストを殺害したなどと宣伝することに特化したものだった。 Kaler氏の要求通り、Twitterはアラビア語のアカウントを「ホワイトリスト」に登録し、特定のメッセージを増幅させるようにした。
◆美国奉行双重新闻自由标准,粗暴打压他国媒体。通过种种手段让别国媒体“消音”。今日俄罗斯电视台、卫星通讯社等俄主流媒体纷纷被美欧禁止落地;俄罗斯官方账号被推特、脸书、优兔等平台公开限流;俄罗斯频道和应用程序被奈飞、苹果、谷歌应用商店等直接下架;涉俄内容遭到史无前例的严格审查。 ◆米国は報道の自由について二重の基準を持ち、他国のメディアを暴力的に弾圧している。 様々な手段で他国のメディアを黙らせてきた。 ロシア・トゥデイTVや衛星通信社などロシアの主流メディアは欧米で放送禁止となり、Twitter、Facebook、YouTuberなどではロシアの公式アカウントが公然と制限され、Nifty、Apple、Google App Storeではロシアのチャンネルやアプリケーションが直接ダウンし、ロシア関連のコンテンツはかつてないほど厳しい検閲の対象となってきた。
◆美国滥用文化霸权对社会主义国家“和平演变”。建立起专门针对社会主义国家的新闻媒体和文化传媒机构。而美国扶植的负责意识形态渗透的电台、电视网由政府提供巨额经费,用数十种语言文字,昼夜不停地对社会主义国家煽动宣传。 ◆米国は文化的覇権を乱用し、社会主義国を「平和的に進化」させてきた。 米国は、社会主義国を特に標的としたニュースメディアや文化メディア機関を設立している。 米国が育てたイデオロギー浸透を担うラジオとテレビのネットワークは、政府から多額の資金を受け、数十の言語と文字で社会主義国に対するプロパガンダを扇動するために24時間体制で活動している。
美国将虚假信息作为攻击他国的工具,已形成“黑金、黑论、黑嘴”舆论产业链条。为一些团体和个人源源不断提供“黑金”,支持其炮制“黑论”,以此影响国际舆论。 米国は偽情報を他国を攻撃する道具として利用し、世論産業において「黒い金、黒い議論、黒い口」の連鎖を形成している。 団体や個人に安定的に「黒い金」を提供し、「黒い理論」を支持させ、それによって国際世論に影響を及ぼしているのである。
结束语 結語
得道多助,失道寡助。恃强凌弱、巧取豪夺、零和博弈等霸权霸道霸凌行径危害深重,和平、发展、合作、共赢的历史潮流不可阻挡。美国以强权挑战真理,以私利践踏正义。这些单边主义、唯我独尊、倒行逆施的霸权做法正在引发国际社会越来越强烈的批评和反对。 たくさん助けてもらったら、たくさん損をする。 いじめ、策略、ゼロサムゲームなどの覇権主義やいじめは深く有害であり、平和、発展、協力、ウィンウィンの歴史的趨勢は止めようがない。 米国は、力で真実に挑戦し、私利私欲で正義を踏みにじる。 こうした一国主義、独裁主義、逆進性の覇権主義は、国際社会からますます強い批判と反対を招いている。
国与国之间要相互尊重、平等相待。大国应该有大国的样子,更要带头走出一条对话而不对抗、结伴而不结盟的国际交往新路。中国一贯反对一切形式的霸权主义和强权政治,反对干涉别国内政。美国应该反躬自省,深刻检视自己的所作所为,放弃傲慢与偏见,摒弃霸权霸道霸凌。 各国は互いに尊重し合い、対等に付き合うべきである。 大国は大国らしく振る舞い、対立ではなく対話、同盟ではなく提携を通じた新しい国際交流の道を率先して切り開くべきだ。 中国は、あらゆる形態の覇権主義やパワーポリティクス、他国の内政への干渉に常に反対してきた。 米国は自らを反省し、自らの行いを深く見つめ、傲慢と偏見を捨て、覇権主義といじめを放棄すべきだ。



2023.02.19 17:11 外交部发言人介绍中美接触情况

外交部发言人介绍中美接触情况 外交部報道官、米中接触について
应美方请求,中共中央政治局委员、中央外事工作委员会办公室主任王毅出席慕尼黑安全会议期间,同美国国务卿布林肯非正式接触。 米国側の要請により、王毅・中国共産党中央委員会政治局委員兼中央委員会外事弁公室主任は、ミュンヘン安全保障会議の傍ら、米国のブリンケン国務長官と非公式に接触した。
王毅清晰表明了中方在所谓飞艇事件上的严正立场,指出美方所作所为是典型的滥用武力,明显违反国际惯例和民用航空公约,中方强烈不满,严正抗议。美国才是全球最大监控侦察国家,高空气球多次非法飞越中国上空,没有资格对中国污蔑抹黑。美方要做的是拿出诚意,正视并解决滥用武力给中美关系造成的损害。如果美方执意借题发挥、炒作升级、扩大事态,中方必将奉陪到底,一切后果将由美方承担。 王毅はいわゆる飛行船事件について、中国の厳正な立場を明確に表明し、米国側が行ったことは典型的な武力乱用であり、国際慣行と民間航空条約に明確に違反していると指摘し、中国は強く不満を持ち、厳粛に抗議した。 米国は世界最大の監視偵察国であり、高高度気球は何度も中国上空を違法に飛行しており、中国を中傷し、貶める資格はない。 米側がすべきことは、誠意を示し、武力乱用による中米関係の毀損を直視し、対処することである。 もし米側がこの問題を口実に事態をエスカレートさせ、拡大させようとするならば、中国は必ず最後まで付き合い、すべての結果は米側が負担することになる」と述べた。
王毅强调,在乌克兰问题上,中国坚持原则、劝和促谈,一直发挥着建设性作用。中俄全面战略协作伙伴关系建立在不结盟、不对抗、不针对第三方的基础上,是两个独立国家主权范围之内的事情。我们从不接受美国对中俄关系指手画脚甚至胁迫施压。美国作为一个大国,理应推动危机政治解决,而不是拱火浇油,趁机牟利。 王毅氏は、ウクライナ問題において、中国は原則を堅持し、平和を説得し、協議を推進することで建設的な役割を担ってきたと強調した。 中露の包括的戦略協力パートナーシップは、非同盟、非対立、第三者を標的にしないことに基づいており、二つの独立した国の主権内の問題である。 われわれは、米国が中ロ関係に対して独裁し、あるいは圧力を強要することを決して受け入れてはいない。 米国は大国として、火に油を注いで利益を得るのではなく、危機の政治的解決を推進することになっている。
王毅指出,要维护台海稳定,就必须坚定反对“台独”,真正坚持一中原则。美方在台湾问题上要尊重历史事实,信守政治承诺,将不支持“台独”的表态落到实处。 王毅は、台湾海峡の安定を維持するためには、「台湾独立」に断固反対し、真に「一つの中国」の原則を堅持する必要があると指摘した。 米国は台湾問題の歴史的事実を尊重し、政治的約束を守り、「台湾独立」を支持しないという声明を実行に移すべきである。

 

 


 

米国側の発表

U.S. Department of State

・2023.02.18 Secretary Blinken’s Meeting with People’s Republic of China (PRC) Director of the CCP Central Foreign Affairs Office Wang Yi

Secretary Blinken’s Meeting with People’s Republic of China (PRC) Director of the CCP Central Foreign Affairs Office Wang Yi ブリンケン長官と中華人民共和国中央外交部王毅部長との会談について
The following is attributable to Spokesperson Ned Price: 以下は、ネッド・プライス報道官の発言によるものである。
Secretary of State Antony J. Blinken and PRC State Councilor and Director of the CCP Central Foreign Affairs Office Wang Yi met on the margins of the Munich Security Conference on February 18, 2023. アントニー・J・ブリンケン国務長官と中国国務委員兼中国共産党中央外交部長の王毅氏は2023年2月18日、ミュンヘン安全保障会議の縁側で会談した。
The Secretary directly spoke to the unacceptable violation of U.S. sovereignty and international law by the PRC high-altitude surveillance balloon in U.S. territorial airspace, underscoring that this irresponsible act must never again occur. The Secretary made clear the United States will not stand for any violation of our sovereignty, and that the PRC’s high altitude surveillance balloon program — which has intruded into the air space of over 40 countries across 5 continents —has been exposed to the world. 長官は、PRCの高高度監視気球が米国領空で米国の主権と国際法を侵害したことは容認できないと直接語り、この無責任な行為は二度と起こしてはならないと強調した。長官は、米国はいかなる主権侵害も容認しないこと、そして、5大陸40カ国以上の空域に侵入した中国の高高度監視気球計画が世界に暴露されたことを明らかにした。
On Russia’s brutal war against Ukraine, the Secretary warned about the implications and consequences if China provides material support to Russia or assistance with systemic sanctions evasion. The Secretary condemned today’s ICBM test by the DPRK as the latest destabilizing act carried out by Pyongyang, and emphasized the need for responsible powers to respond to such significant international challenges. The Secretary reaffirmed there had been no change to the longstanding U.S. one China policy, and he underscored the importance of maintaining peace and stability across the Taiwan Strait. ロシアのウクライナに対する残虐な戦争について、長官は、中国がロシアに物質的支援を提供したり、制度的な制裁回避を支援したりすれば、その意味と結果について警告を発した。長官は、北朝鮮による本日のICBM実験は、平壌による最新の不安定化行為であると非難し、責任ある大国がこのような重大な国際的課題に対応する必要性を強調した。 長官は、長年にわたる米国の「一つの中国」政策に変更がないことを再確認し、台湾海峡の平和と安定を維持することの重要性を強調した。
The Secretary reiterated President Biden’s statements that the United States will compete and will unapologetically stand up for our values and interests, but that we do not want conflict with the PRC and are not looking for a new Cold War.  The Secretary underscored the importance of maintaining diplomatic dialogue and open lines of communication at all times. 長官は、米国は競争し、我々の価値と利益のために堂々と立ち上がるが、中国との衝突は望んでおらず、新たな冷戦を望んでいるわけでもないというバイデン大統領の発言を繰り返した。  長官は、外交的対話と開かれたコミュニケーションラインを常に維持することの重要性を強調した。

 

 

Uschina

 


 

NHK

・2023.02.19 07:02 アメリカ・ブリンケン国務長官と中国・王毅政治局委員が会談


アメリカのブリンケン国務長官は18日夜、中国で外交を統括する王毅政治局委員と訪問先のドイツで会談し、中国の気球がアメリカ本土の上空を飛行したことについて「このような無責任な行為は2度と起こしてはならない」と改めて非難する一方、両国が対話を維持する重要性を強調しました。

...

アメリカ側の発表によりますと、会談でブリンケン長官は中国の気球はアメリカ本土の上空を飛行し、アメリカの主権を侵害したという認識を伝えた上で「このような無責任な行為は2度と起こしてはならない」と改めて非難しました。

一方でブリンケン長官は「アメリカはわれわれの価値観や利益のためには断固として立ち上がるが、中国との衝突は望んでおらず、新たな冷戦も目指していない」と述べ、両国が対話を維持する重要性を強調しました。

中国の気球をめぐって米中両国が激しい応酬を続ける中、両国の外交を担当する高官が対面で会談したのはこれが初めてです。

アメリカとしては中国側に断固とした姿勢を示す一方、両国の意図しない衝突を避けるためにも中国との対話を重ねたい考えです。


 

 

参考...

まるちゃんの情報セキュリティ気まぐれ日記

・2023.02.12 米国 FBI 中国の高高度気球の回収

・2023.02.11 米国 中国の偵察気球が米国上空を通過 (2つ目の撃墜の件も追加...)

・2023.02.09 米国 一般教書演説 2023

 

| | Comments (0)

英国 NCSC サプライチェーン・マッピングのガイダンスを公表しています。。。(2023.02.16)

こんにちは、丸山満彦です。

英国のNational Cyber Security Cnetreが、サプライチェーン・マッピングのガイダンスを公表しています。。。

サプライチェーン・マッピングというのは、

企業のサプライチェーンに関わるサプライヤーから集めた情報を記録、保存、活用するプロセス

で、その目的は、

サプライヤーのネットワークの最新状況を理解し、サイバーリスクをより効果的に管理し、デューディリジェンスを実施すること

となっている。

SBOMというのも、ソフトウェア開発に関わるサプライチェーンのサプライチェーン・マッピングの一部と言えるんですかね。。。

SCMというのは、重要な概念かもしれませんね。。。

 

U.K. National Cyber Security Centre

ブログ...

・2023.02.16 New ‘supply chain mapping’ guidance

New ‘supply chain mapping’ guidance 新しい「サプライチェーン・マッピング」ガイダンス
he latest addition to the NCSC’s suite of supply chain guidance is now available. NCSCの一連のサプライチェーンガイダンスに最新のものが追加された。
Supply chain mapping is the process of recording, storing and using information gathered from suppliers who are involved in a company’s supply chain. Building on our existing supply chain guidance, we’re pleased to announce new guidance that focusses explicitly on this process, aimed at at procurement specialists, risk managers and cyber security professionals. サプライチェーンマッピングとは、企業のサプライチェーンに関わるサプライヤーから収集した情報を記録、保存、利用するプロセスである。既存のサプライチェーンガイダンスに基づき、調達専門家、リスクマネジメント専門家、サイバーセキュリティ専門家を対象に、このプロセスに明確に焦点を当てた新しいガイダンスを発表することを嬉しく思っている。
Supply chain mapping follo.ws the principles of all good risk management; organisations need to understand the risks inherent in their supply chain, and then introduce security measures that are in proportion to the likelihood (and impact) of those risks materialising. The goal is to have an up-to-date understanding of your network of suppliers, so that cyber risks can be managed more effectively, and due diligence carried out. サプライチェーンのマッピングは、優れたリスクマネジメントの原則に従う。組織は、サプライチェーンに内在するリスクを理解し、そのリスクが顕在化する可能性(および影響)に比例したセキュリティ対策を導入する必要がある。目標は、サプライヤーのネットワークについて最新の情報を把握し、サイバーリスクをより効果的にマネジメントし、デューディリジェンスを実施することである。
More specifically, the new guidance explains: 具体的には、新しいガイダンスでは次のように説明されている。
・What supply chain mapping is, why it’s important and how it can benefit your organisation ・サプライチェーンマッピングとは何か、なぜ重要か、どのような利点があるか。
・What information it will typically contain ・サプライチェーンマッピングには通常どのような情報が含まれるか
・The role of sub-contractors that your suppliers may use ・サプライヤーが使用する可能性のある下請け業者の役割
・What this means when agreeing contracts ・契約に合意する際の意味
As the the guidance points out, your exact approach will depend upon your organisation's procurement and risk management processes, and the tooling that you have available to you. However, if you’re not sure where you start, we encourage you to read both the supply chain mapping document and also guidance on How to assess and gain confidence in your supply chain cyber security. ガイダンスが指摘するように、正確なアプローチは、組織の調達とリスクマネジメントのプロセス、および利用可能なツールに依存することになる。しかし、何から始めればよいのかわからない場合は、サプライチェーンマッピングと、「サプライチェーンのサイバーセキュリティを評価し、信頼を得る方法」のガイダンスの両方を読むことをお勧めします。
We’re always looking to improve our guidance, so if you have any feedback please get in touch using our enquiries page. 私たちは、常にガイダンスを改善するために努力している。

 

 

ガイダンス...

・2023.02.16 Mapping your supply chain

Mapping your supply chain サプライチェーンのマッピング
How organisations can map their supply chain dependencies, so that risks in the supply chain can be better understood and managed. サプライチェーンにおけるリスクをより良く理解し、マネジメントするために、組織はどのようにサプライチェーンの依存関係をマッピングすることができるのか。
IN THIS GUIDANCE このガイダンスでは
1.Introduction 1.序文
2.What is supply chain mapping? 2.サプライチェーンマッピングとは?
3.What information should SCM contain? 3.SCMに含めるべき情報とは?
4.Subcontractors in the supply chain 4.サプライチェーンにおける下請け業者
5.Getting started 5.はじめよう
Introduction 序文
This guidance is aimed at medium to large organisations who need to gain confidence or assurance that mitigations are in place for vulnerabilities associated with working with suppliers. このガイダンスは、サプライヤとの協働に関連する脆弱性に対して、緩和策が実施されていることを確信または保証する必要がある中規模から大規模の組織を対象としている。
Please read in conjunction with the NCSC’s guidance on How to assess and gain confidence in your supply chain cyber security. NCSCのガイダンス「サプライチェーンのサイバーセキュリティを評価し、信頼を得る方法」とあわせて読むこと。
What is supply chain mapping? サプライチェーンマッピングとは何か?
Supply chain mapping (SCM) is the process of recording, storing and using information gathered from suppliers who are involved in a company’s supply chain. The goal is to have an up-to-date understanding of your network of suppliers, so that cyber risks can be managed more effectively, and due diligence carried out. サプライチェーンマッピング(SCM)とは、企業のサプライチェーンに関わるサプライヤーから集めた情報を記録、保存、活用するプロセスである。その目的は、サプライヤーのネットワークの最新状況を理解し、サイバーリスクをより効果的に管理し、デューディリジェンスを実施することである。
Many organisations rely upon suppliers to deliver products, systems, and services. Supply chains are often large and complex, and effectively securing the supply chain can be hard because vulnerabilities can be inherent, introduced or exploited at any point within it. This makes it difficult to know if you have enough protection across the entire supply chain. 多くの組織は、製品、システム、サービスを提供するために、サプライヤーに依存している。サプライチェーンは大規模かつ複雑であることが多く、サプライチェーン内のどの時点でも脆弱性が内在、導入、悪用される可能性があるため、サプライチェーンを効果的に保護することは困難である。このため、サプライチェーン全体にわたって十分な保護がなされているかどうかを知ることは困難である。
Note: SCM follows the principles of all good risk management; organisations need to understand the risks inherent in their supply chain, and then introduce security measures that are in proportion to the likelihood (and impact) of those risks materialising. 組織は、サプライチェーンに内在するリスクを理解し、そのリスクが顕在化する可能性(および影響)に見合ったセキュリティ対策を導入する必要がある。
Benefits of SCM SCMのメリット
Understanding who your suppliers are, what they provide and how they provide will help you manage the cyber security risks that can arise. Mapping your supply chain allows you to make more informed business decisions based upon risk, specifically: サプライヤが誰で、何を、どのように供給しているかを理解することは、発生しうるサイバーセキュリティのリスクをマネジメントするのに役立つ。サプライチェーンをマッピングすることで、リスクに基づいて、より多くの情報に基づいたビジネス上の意思決定を行うことができる。
・better insight into the cyber security considerations that could be more easily enforced via contracts ・契約によってより容易に実施できるサイバーセキュリティの考慮事項に対するより良い洞察力
・more prepared to respond to supply chain related cyber incidents ・サプライチェーンに関連するサイバーインシデントに対応する準備ができる。
・the ability to establish repeatable methods so you have confidence in suppliers' security practices, and can build long term partnerships ・再現可能な方法を確立することで、サプライヤのセキュリティ対策に自信を持ち、長期的なパートナーシップを構築できる。
・easier compliance with legal, regulatory and or contractual responsibilities ・法律、規制、または契約上の責任への準拠が 容易になる
・regularly assessing the supply chain will reduce the likelihood of a cyber attack or breach ・サプライチェーンを定期的に評価することで、サイバー攻撃や侵害の可能性を低減することができる。
It is not possible to completely eradicate supply chain attacks. Should a risk materialise, being able to rapidly respond will limit the scope of damage to your organisation. サプライチェーンへの攻撃を完全に根絶することは不可能である。万が一、リスクが顕在化した場合、迅速に対応することで、組織への被害範囲を限定することができる。
What information should SCM contain? SCMに含めるべき情報とは?
Gathering information about your suppliers in a consistent manner and storing it in a centralised repository that’s access controlled will ensure it’s easier to analyse and maintain. This ultimately will allow you to better manage the risks, as you’ll have a comprehensive view of the supply chain that is always up to date. サプライヤーに関する情報を一貫した方法で収集し、アクセス制御された一元的なリポジトリに保存することで、分析と維持が容易になる。これにより、サプライチェーンを包括的に把握し、常に最新の情報を得ることができるため、最終的にはリスクをより適切にマネジメントすることが可能になる。
Typical information that may be of use includes: 代表的な情報としては、以下のようなものがある。
・a full inventory of suppliers and their subcontractors, showing how they are connected to each other ・サプライヤーとその下請け業者の完全なインベントリ、およびそれらが互いにどのように接続されているかを示す。
・what product or service is being provided, by whom, and the importance of that asset to your organisation ・どのような製品やサービスが、誰によって提供されているか、また、組織にとってのその資産の重要性
・the information flows between your organisation and a supplier (including an understanding of the value of that information) ・組織とサプライヤーの間の情報の流れ(その情報の価値についての理解も含む)
・assurance contacts within the supplying organisation ・供給元組織内の保証連絡先
・information relating to the completeness of the last assessment, details of when the next assurance assessment is due, and any outstanding activities ・前回の評価完了に関する情報、次回の保証評価予定日の詳細、未解決の活動内容
・proof of any certifications required, such as Cyber Essentials, ISO certification, product certification ・サイバーエッセンシャル、ISO認証、製品認証など、必要な認証の証明書
Acquiring this information, especially for large organisations with complex supply chains, can be a massive undertaking. The NCSC guidance on How to assess your supply chain cyber security will assist with this task, and can also ensure that supply chain dependencies from new suppliers is captured. このような情報を取得することは、特に複雑なサプライチェーンを持つ大規模な組織にとっては、大変な作業となる可能性がある。NCSCのガイダンス「How to assess your supply chain cyber security」は、この作業を支援し、新規サプライヤーからのサプライチェーンの依存性を確実に把握することができる。
Note: This information is an attractive target to attackers, so all SCM assets should be held in a secure repository with strong Security Architecture underpinning its design. 注:この情報は攻撃者にとって魅力的なターゲットであるため、すべてのSCM資産は、強力なセキュリティアーキテクチャの設計に裏打ちされた安全なリポジトリに保管する必要がある。
Tools to map suppliers サプライヤーをマッピングするツール
Information about existing suppliers may already exist in your procurements systems. If there are multiple entry points for suppliers, relevant information will need to be aggregated. Depending on the size of your organisation, it might be beneficial to consider commercial tools which can: 既存のサプライヤーに関する情報は、すでに調達システムの中に存在しているかもしれない。サプライヤーのエントリーポイントが複数ある場合、関連情報を集約する必要がある。組織の規模にもよるが、以下のような商用ツールを検討することが有益であろう。
・reconcile existing supply chain information ・既存のサプライチェーン情報の照合
・help to keep information about supplier assurance up-to-date ・サプライヤーの保証に関する情報を最新に保つ。
・monitor supply chains beyond the initial tier, and identify concentration risk with contractors and sub-contractors ・初期段階以降のサプライチェーンを監視し、請負業者や下請け業者への集中リスクを特定する。
・make it easier to connect with, interact and visualise your supply chain ・サプライチェーンとの連携、相互作用、可視化を容易にする。
Subcontractors in the supply chain サプライチェーンにおける下請け業者
A vulnerability that exists anywhere within the supply chain, whether in your direct suppliers, or the suppliers that they sub-contract out to, could impact your organisation. For large organisations decisions around the practicality and usefulness of understanding beyond the primary tier should be evaluated, and only the information on direct contractors should initially be captured. サプライチェーン内のどこかに存在する脆弱性は、直接のサプライヤーであろうと、その下請け先であろうと、組織に影響を与える可能性がある。大規模な組織では、一次サプライヤーを超えて情報を把握することの実用性と有用性を評価し、最初は直接の請負業者に関する情報のみを取得する必要がある。
How far down the supply chain do you need to go? What exactly has been subcontracted, and what is its criticality (taking into consideration the organisation’s risk criteria) ? These questions require some upfront consideration of the need to obtain information vs the cost of acquiring it. You should: サプライチェーンのどこまでを把握する必要があるか?具体的に何が下請けされているのか、その重要度(組織のリスク基準を考慮)は? これらの質問に対しては、情報取得の必要性と取得コストについて、前もって検討する必要がある。次のことを行う必要がある。
・determine the criticality of the technology, systems and services you use ・使用する技術、システム、サービスの重要性を判断する。
・consider how much effort you are prepared to put into establishing the whole supply chain ・サプライチェーン全体を確立するためにどれだけの労力を費やす用意があるか検討する
・build into the contract terms with your primary suppliers to provide visibility cascading down their supply chains ・一次サプライヤとの契約条件に、サプライヤのサプライチェーンに連鎖して可視性を提供することを盛り込む。
・reassure suppliers how this information is to be used and who will have access to it, as suppliers may be cautious about sharing commercially sensitive information ・サプライヤーは商業的な機密情報の共有に慎重である可能性があるため、この情報の使用方法とアクセス権者をサプライヤーに再確認する。
・use this shared information to understand key shared suppliers that your immediate tier one suppliers are using, highlighting a concentration risk ・この共有情報を利用して、直近のTier1サプライヤーが利用している主要な共有サプライヤーを把握し、集中リスクを浮き彫りにする。
・ensure you consider data supply chains as well (that is, your products may use data from third parties, or even rely upon data from others) ・データのサプライチェーンも考慮する(つまり、貴社の製品が第三者のデータを使用したり、他者のデータに依存したりする可能性がある)。
Contract terms for suppliers and subcontractors サプライヤーと下請け業者に対する契約条件
The following terms should be considered for contracts with suppliers and subcontractors: サプライヤーや下請け業者との契約には、次のような条件を考慮する必要がある。
・incident management response and notification time frames for responding to a breach (along with provision of support to the organisation to find the root cause) ・侵害に対応するためのインシデント管理対応と通知の時間枠(根本原因を見つけるための組織へのサポートの提供とともに)。
・ability to audit suppliers/subcontractors (and expected frequency of audits) ・サプライヤーや下請け業者を監査する能力(及び想定される監査の頻度)
・data management (only necessary data may be transferred out of the organisational network) ・データ管理(必要なデータのみを組織のネットワークから転送することができる。)
・data integrity (is data protected via authentication and encryption, will data be segregated if held on a supplier platform?) ・データの完全性(データは本人認証と暗号化で保護されているか、供給業者のプラットフォームで保持する場合、データは分離されているか)。
・management controls for suppliers' access to physical sites, information systems and intellectual property (including the process for ensuring this is kept up to date) ・サプライヤーによる物理的なサイト、情報システム、知的財産へのアクセスに関する管理統制(これが最新に保たれていることを保証するプロセスを含む)。
・any requirements that your direct suppliers should be demanding from their supply chain (as described above) ・直接のサプライヤーがサプライチェーンに求めるべき要件(上記のとおり)
Getting started はじめよう
Your approach will depend upon your organisation's procurement and risk management processes, and the tooling that you have available to you. The following is a top-level set of priorities for organisations approaching SCM for the first time. あなたのアプローチは、あなたの組織の調達とリスクマネジメントのプロセス、および利用可能なツールに依存することになる。以下は、初めてSCMに取り組む組織のための、トップレベルの優先事項である。
1. Use existing stores, such as procurement systems, to build a list of known suppliers. Prioritise suppliers, systems, products and services that are critical to your organisation. 1. 調達システムなどの既存ストアを利用して、既知のサプライヤのリストを作成する。組織にとって重要なサプライヤー、システム、製品、サービスの優先順位を決める。
2. Decide what information would be useful to capture about your supply chain. 2. サプライチェーンについて、どのような情報を収集するのが有益かを決定する。
3. Understand how you will store the information securely and manage access to it. 3. 情報をどのように安全に保管し、アクセスを管理するかを理解する。
4. Establish whether you want to collect information about your suppliers' subcontractors, how far down the chain is useful to go. 4. サプライヤーの下請け業者に関する情報を収集するかどうか、サプライチェーンのどこまで調べるのが有益かを決定する。
・Consider using additional services which evaluate your suppliers and provide supplementary information about their cyber risk profile. ・サプライヤーを評価し、そのサイバーリスクプロファイルに関する補足情報を提供する追加サービスの利用を検討する。
・For new suppliers, state upfront within your procurement process what you expect your suppliers to provide. ・新規のサプライヤーに対しては、調達プロセスにおいて、サプライヤーが何を提供することを期待し ているかを前もって表明しておく。
・For existing suppliers, inform them what information you want to capture about them and why, and retrofit information collected from existing suppliers into a centralised repository. ・既存のサプライヤーに対しては、どのような情報を取得したいのか、またその理由を通知し、既存のサプライヤーから収集した情報を一元管理されたレポジトリに導入する。
5. Update standard contract clauses to ensure the information required is provided as standard when initiating working with a supplier. 5. 標準的な契約条項を更新し、サプライヤーとの作業を開始する際に、必要な情報が標準的に提供されるようにする。
6. Define who is best placed in your organisation to use this information; this might include procurement, business owners, cyber security and operational security teams. Make them aware of the information store and provide access. 6. 組織内でこの情報を使用するのに最適な人物を定義する。これには、調達、ビジネスオーナー、サイバーセキュリティ、運用セキュリティの各チームが含まれる場合がある。このような人たちに、情報保管庫の存在を知らせ、アクセスできるようにする。
7. Consider creating a playbook to deal with situations where an incident occurs and you may need to co-ordinate effort across both the extended supply chain, and third parties such as law enforcement, regulators and even customers. A useful Supply Chain scenario can be found in the NCSC Exercise in a box service. 7. インシデントが発生し、サプライチェーン全体と、法執行機関、規制当局、さらには顧客などの第三者との間で協調して作業を行う必要がある場合に対処するためのプレイブックを作成することを検討する。サプライチェーンのシナリオは、NCSCのExercise in a boxサービスで見ることができる。
8. Finally, document the steps that will need to change within your procurement process as a result of supply chain mapping. For example, you may need to consider excluding suppliers who cannot satisfactorily demonstrate that they meet your minimum cyber security needs. 8. 最後に、サプライチェーン・マッピングの結果、調達プロセスで変更する必要があるステップを文書化します。例えば、最低限のサイバーセキュリティのニーズを満たしていることを十分に証明できないサプライヤーを排除することを検討する必要があるかもしれない。

 

参考(サプライチェーンに関するトピックスが全て表示されます。。。)

Supply chain

 

 


Fig_20230220165501 

 


 

ここでも紹介されている、「How to assess and gain confidence in your supply chain cyber security
(サプライチェーンのサイバーセキュリティを評価し、信頼を得る方法)」について...

 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.10.18 英国 NCSC ガイダンス サプライチェーンのサイバーセキュリティを評価し、信頼を得る方法 (2022.10.12)

 

 

| | Comments (0)

2023.02.20

経済産業省 クレジットカード決済システムのセキュリティ対策強化検討会報告書 (2023.02.02)

こんにちは、丸山満彦です。

クレジットカード決済システムのセキュリティ対策強化検討会報告書が公表されていました。。。紹介したつもりが、忘れていました...(^^;;

3週間程前の話になります。。。

 

経済産業省

・2023.02.02 「クレジットカード決済システムのセキュリティ対策強化検討会」の報告書を取りまとめました

内容ですが...


(1)クレジットカード番号等を安全に管理する(漏えい防止)、

(2)クレジットカード番号等を不正に利用させない(不正利用防止)、

(3)クレジットの安全・安心な利用に関する周知・犯罪の抑止

の3本柱に沿って、本検討会での議論を踏まえ、クレジットカード決済システムのセキュリティ対策強化に向けた具体的な取組と今後の課題について取りまとめたものです。


と言うことです。。。

報告書

・2023.02.02 [PDF] クレジットカード決済システムの更なるセキュリティ対策強化に向けた主な取組のポイント

20230220-112820

 

こちらが報告書本体

・2023.02.02 [PDF] クレジットカード決済システムのセキュリティ対策強化検討会 報告書

20230220-111150

 

目次...

はじめに

第1章 クレジットカード決済システムをめぐる環境
1.クレジットカード決済システムをとりまく環境
(イ)クレジットカード決済システムをとりまく環境
(ロ)非対面取引におけるクレジットカード決済の取引の仕組み

2.クレジットカード決済のセキュリティ対策の経緯
3.クレジットカードの不正利用の現況

第2章 基本的考え

第3章 3つの方向性について

第1節の1.クレジットカード番号等の適切管理の強化
1.加盟店での漏えい対策の強化
(イ)EC 加盟店側での対応
(ロ)アクワイアラー側の対応

2.決済代行業者等関連事業者における漏えい対策の強化
(イ)PSP
(ロ)EC 決済システム提供者

3.クレジットカード番号等取扱業者(共通)での漏えい対策の強化
4.業界全体での体制強化

第1節の2.インシデント対応・漏えい防止に係る利用者保護
1.漏えい時の利用者への連絡・公表の早期化
2.利用者保護を図るための国の監督の整備

第2節.クレジットカード番号等の不正利用防止
1.非対面取引での利用者本人の適切な確認
2.不正利用情報の共有化と活用

第3節.クレジットの安全・安心な利用に関する周知・犯罪の抑止
1.フィッシング対策
2.警察等との連携による犯罪抑止
3.利用者への周知

おわりに

構成員名簿
検討経過



 

参考...

・クレジットカード決済システムのセキュリティ対策強化検討会

・・2023.01.20 報告書

 


・・2023.01.20 第6回

・・2022.12.23 第5回

・・2022.11.15 第4回

・・2022.10.11 第3回

・・2022.09.13 第2回

・・2022.08.04 第1回

 


 

・2023.02.01 クレジットカード会社等に対するフィッシング対策の強化を要請しました

 

関連リンク

迷惑メール対策推進協議会「送信ドメイン認証技術導入マニュアル第3版

フィッシング対策協議会「フィッシング対策ガイドライン2022 年度版

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.06.02 フィッシング対策協議会 フィッシング対策ガイドライン(2022年度版)

・2022.05.09 フィッシング対策協議会をかたるフィッシング

少し遡りますが...

・2010.03.18 フィッシング対策協議会 「フィッシング フィル」と「フクロウ先生のフィッシング警告ページ」

・2007.07.06 フィッシング対策協議会 「フィッシングに関するユーザ意識調査報告書」、 「フィッシング対策における技術・制度調査報告書 2007」

・2005.04.29 経済産業省 「フィッシング対策協議会」設立

・2005.02.05 経済産業省 フィッシング対策協議会

 

 




| | Comments (0)

デジタル庁 新型コロナウイルス接触確認アプリ(COCOA)の取組に関する総括報告書

こんにちは、丸山満彦です。

デジタル庁が、「新型コロナウイルス接触確認アプリ(COCOA)の取組に関する総括報告書」と、「参考資料集」(新型コロナウイルス感染症対策テックチーム、接触確認アプリに関する有識者検討会合資料、不具合に関する厚生労働省検証報告書、会計検査院処置要求、GitHub での議論の結果)を公表していますね。。。


デジタル庁では、厚生労働省と連携し、アプリの成果・結果や課題を整理し、次のパンデミック時にデジタル技術を有効に活用するため、関係者へのヒアリングや利用者アンケートを踏まえてCOCOAの取組の総括を行い以下の報告書をまとめました。


この後、海外の類似アプリについての調査報告書も公表するとのことです。。。

この総括報告書はとても参考になると思います。もちろんシステム開発者側の人にとってもですが、むしろシステム開発を発注する立場の人、そうなるであろう人が目を通しておくことが重要だなぁと思いました。

開発した成果物の成否を気にする方も多いと思いますが、成果物はまさに結果であり、その結果が失敗というのは、おそらくその過程がうまく行っていなかったということであり、全体としてみれば、プロジェクトが失敗ということになるわけですよね。。。

となると、その原因はプロジェクトの責任者であり、その責任を考える上では、プロジェクトの責任者が自問するところから始まるのだろうと思います。。。もし、プロジェクトの責任者が、誰なのかあいまいであったり、プロジェクトのミッション、目的自体が曖昧であった場合は、そのプロジェクトを起案、発注した人が考えるべき問題なのかもしれません。。。

ーーーーー

ちなみに話題となっているJAXAの次世代主力ロケット「H3」の試験1号機が、発射直前に突然打ち上げが中止になった状況について、中止なのか失敗なのか、という話ですが、そういう意味では、安全に打ち上げるという目的、ミッション全体からみるとまだ、失敗しているわけではなく、プロセスを中止し、延期しているわけです。が、その日に打ち上げるというプロセスだけを取り上げると、その日のプロセスの目的は達成されなかったので、失敗といっても良いかも知れません。読者に対して、どのようなメッセージを伝えたいかということだろうと思います。主要な新聞は中止としています。

・IT media 2023.02.17 打ち上げ中止「H3」会見で共同記者の質問に批判相次ぐ ロケットを救った「フェールセーフ」とは

 ーーーーー

 

● デジタル庁

・2023.02.16 

・[PDF] 報告書本文

20230219-90254

1.はじめに

2.経緯
(1)2020 年(令和2年)5月8日の実装の決定まで
(2)2020 年(令和2年)6月 19 日のリリースまで
(3)リリースに至るまでの経緯のまとめ
(4)2021 年(令和3年)2月 18 日の不具合の修正まで
(5)不具合の修正以降
 ア)IT 室(デジタル庁)の関与
 イ)厚生労働省の不具合検証報告書を踏まえた対応
 ウ)内製化の取組
 エ)オープンソースコミュニティとの連携
 オ)機能停止
 カ)政府の基本的対処方針における COCOA の位置づけ

3.実績
(1)ダウンロード件数と陽性登録件数
(2)COCOA の開発運用費用
(3)最終アップデート版での提供データ

4.評価
(1)関係者へのヒアリングから
(2)利用者アンケートから

5.まとめ
(1)感染症対応に新たなデジタル技術の活用を検討する際に留意すべき事項
 ア)関係者間での必要な機能として目指すべきこと、その具体の仕様の合意
 イ)感染症対策上の位置づけ
 ウ)PDCA サイクルを意識した設計

(2)平時から準備をしておくべき事項
 ア)方針変更や要望への速やかな対応が可能な開発・運用体制
 イ)有事を見据えた感染症対策における平時からのデジタルツールの活用
 ウ)有事にデジタルツールを開発・運用しうるケイパビリティの確保

 

・[PDF] 参考資料集

20230219-91356

【新型コロナウイルス感染症対策テックチーム、接触確認アプリに関する有識者検討会合】
○テックチーム開催実績
 ・第1回テックチーム資料、議事概要
 ・第2回テックチーム資料、議事概要
 ・第3回テックチーム資料、議事概要
 ・第4回テックチーム資料、議事概要

○有識者会合開催実績
 ・第1回有識者会合資料、議事概要
 ・第2回有識者会合資料、議事概要
 ・第3回有識者会合資料、議事概要

○接触確認アプリ及び関連システム仕様書
COCOA の開発運用費用について
○プライバシー及びセキュリティ上の評価及びシステム運用留意事項

【不具合に関する厚生労働省検証報告書、会計検査院処置要求】
○接触確認アプリ「COCOA」の不具合の発生経緯の調査と再発防止の検討について(2021/4/16COCOA 不具合調査再発防止策検討チーム)
○厚生労働大臣に対する改善処置要求(2021/10/27 会計検査院)
COCOA の総括(オープンソースコミュニティとして)

 

 

| | Comments (0)

2023.02.19

経済産業省 「ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン第2版(案)」及び「付属書 ビルシステムにおけるサイバー・フィジカル・セキュリティ対策インシデントレスポンス・ガイドライン(案)」に対する意見募集

こんにちは、丸山満彦です。

経済産業省が、「ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン第2版(案)」及び「付属書 ビルシステムにおけるサイバー・フィジカル・セキュリティ対策インシデントレスポンス・ガイドライン(案)」の意見募集をしていますね。。。

次のようなことのようです...


ビルシステムにおけるサイバー・フィジカル・セキュリティ対策 ガイドライン第 2 版の策定にあたって

  • ビルのサイバーセキュリティについては、2019 6 17 日に「ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン(以下、共通編)第 1 版」 が公開、ビルシステムに対する全般的なサイバーセキュリティ対策のガイドを示すものとして活用され、ビルのサイバーセキュリティ対策も徐々に進んできている。さらに、2022 10 24 日には「ビルシステムにおけるサイバー・フィジカル・セキリティ対策ガイドライン(個別編:空調システム)第 1 版」が公開され、ビルに係る 個別のサブシステムとして空調システムを対象としたサイバーセキュリティ対策向上のために活用されるに至っている。

  • 上記の共通編第 1 版は、ビルに導入される様々なシステムに対するサイバーセキュリティ対策のうち、主に事前に検討し、準備しておくべき対策について示したものであ る。しかし、導入済みのシステムの制約やコストの問題など、さまざまな問題から十分に対策ができていないといった問題、想定を超える高度なサイバー攻撃の可能性、 さらにスマートビル化の進展により、ビルシステムが被害を受ける可能性がより高まっている。

  • このような状況に対して、ビルシステムへのサイバー攻撃(インシデント)の発生時に、その損害を最小限に抑え、復旧にかかる時間とコストを削減するための取組(イ ンシデントレスポンス)が重要となる。このため、ビルシステムに対するサイバーセキュリティ対策強化の一環として、インシデントレスポンスについて検討を行い、取 りまとめを行った。

  • この検討の成果を新たに追加する形で、本ガイドラインの改定を行い、新たに第2版 として公開することとした。また、インシデントレスポンスに係る詳細の対応を「付 属書 ビルシステムにおけるサイバー・フィジカル・セキュリティ対策 インシデントレスポンス・ガイドライン(案)(以下、付属書)」としてまとめることとした。

  • 今後、本ガイドライン及びその付属書が活用されることで、ビルシステムにおける事 前対策からインシデント発生時の対応まで、一貫した対策が進むことを望まれる。

 

● e-Gov

・2023.02.15 「ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン第2版(案)」及び「付属書 ビルシステムにおけるサイバー・フィジカル・セキュリティ対策インシデントレスポンス・ガイドライン(案)」に対する意見募集について

 

・[PDF] ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン第2版(案) 

20230220-52240

目次...

1. はじめに
1.1.
ガイドラインを策定する目的
 1.1.1.
ガイドラインの目的
 1.1.2. サイバー・フィジカル・セキュリティ対策フレームワークとの関係

1.2.
ガイドラインの適用範囲と位置づけ
 1.2.1.
ガイドラインの対象者
 1.2.2. 対象とするビル
 1.2.3. 対象とするビルシステム(ビルシステムの定義)
 1.2.4. ガイドラインの位置づけ

1.3.
本ガイドラインの構成

2. ビルシステムを巡る状況の変化
2.1.
ビルシステムを含む制御システム全般の特徴と脅威の増大
2.2.
ビルシステムにおける攻撃事例
 2.2.1. MIT
(Massachusetts Institute of Technology、マサチューセッツ工科大学)の学内ビルの照明ハッキング
 2.2.2. ターナー・ギルフォード・ナイト収容所の警備システムハッキング
 2.2.3. ラッペーンランタでの DDos 攻撃による暖房停止
 2.2.4. ホテルでの宿泊客の閉じ込め・閉め出し
 2.2.5. インターネットカメラへの大量ハッキング
 2.2.6. テストによるハッキング事例
 2.2.7. ドイツにおける BAS 機器のロック事例

2.3.
ビルシステムにおけるサイバー攻撃の影響

3. ビルシステムにおけるサイバーセキュリティ対策の考え方
3.1.
一般的なサイバーセキュリティ対策のスキーム
3.2.
ビルシステムの構成の整理
3.3.
ビルシステムの特徴
 3.3.1.
超長期の運用
 3.3.2. 複数のフェーズに分かれた長いライフサイクルを持つこと
 3.3.3. マルチステークホルダであること
 3.3.4. 多種多様なビルの存在

3.4.
ビルシステムにおけるサイバーセキュリティ対策の整理方針
 3.4.1.
場所から紐解くリスクの整理とライフサイクルを考慮した対策
 3.4.2. インシデント発生時の対応

3.5.
ガイドラインの想定する使い方例
 3.5.1.
例1: 新築の大規模オーナービルにおける使い方
 3.5.2. 例2: 既存の中規模テナントビルをクラウド移行する際の使い方
 3.5.3. 例3: 既存ビルへのリスクアセスメントと対策立案での使い方
 3.5.4. 例4: 機器等の障害対応の延長線上でインシデント対応する使い方

4. ビルシステムにおけるリスクと対応ポリシー
4.1.
全体管理
4.2.
機器ごとの管理策

5. ライフサイクルを考慮したセキュリティ対応策

6. インシデント発生時の対応策
6.1.
インシデントレスポンスの概要

付録 A 用語集
付録 B JDCC の建物設備システムリファレンスガイドとの関係
付録 C 建物設備システム リファレンスガイド インシデント対応・セキュリティソリューション編との関係
付録 D サイバー・フィジカル・セキュリティ対策フレームワークの考え方と、サイバー・フィジカル・セキュリティ対策フレームワークの考え方を踏まえたビルシステムにおけるユースケース
付録 E 参考文献

・[PDF] 付属書(案)

20230220-52352

目次...

1. はじめに
1.1.
付属書の目的
 1.1.1.
本付属書の目的
 1.1.2. ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドラインとの関係

1.2.
ガイドラインの適用範囲と位置づけ
 1.2.1.
想定する読者
 1.2.2. 対象とするビル
 1.2.3. 対象とするビルシステム
  1.2.3.1. ビルシステムの定義
  1.2.3.2. ビルシステムの構成

1.3.
本ガイドラインの構成

2. サイバーインシデントへの対応
2.1.
サイバーインシデントへの対応の流れ
 2.1.1.
準備段階
 2.1.2. 識別段階
 2.1.3. 封じ込め段階
 2.1.4. クリーンアップと回復段階
 2.1.5. フォローアップ段階

3. ビルシステムに係るセキュリティ関連サービス
3.1.
ネットワーク設計サービス
3.2.
既存システムのセキュリティ診断サービス
3.3.
運用・監視サービス
3.4.
教育・研修サービス
3.5.
各種コンサルティングサービス

付録 A 用語集
付録 B 参考文献


 

● 経済産業省 - 産業サイバーセキュリティ研究会

ワーキンググループ1(制度・技術・標準化) - ワーキンググループ1(ビルサブワーキンググループ)

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.11.21 経済産業省 「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン Ver 1.0」

・2022.10.31 経済産業省 ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン(個別編:空調システム)第1版 (2022.10.24)

・2022.05.01 経済産業省 「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン(案)」に対する意見募集

・2022.02.27 経済産業省 意見募集 「民間宇宙システムにおけるサイバーセキュリティ対策ガイドラインβ版」

 

| | Comments (0)

英国 情報コミッショナー事務局 (ICO) がゲーム開発者向けに、子どもの保護に関する業界向けのガイダンスを発行

こんにちは、丸山満彦です。

英国の情報コミッショナー事務局 (Information Commissioner's Office: ICO) がゲーム開発者向けに、子どもの保護に関する業界向けのガイダンスを発行していますね。。。

日本のゲーム会社でも英国でサービスを提供する場合は、目を通しておいた方が良いかもですね。。。

 

U.K. ICO

・2023.02.16 New guidance to industry issued for game developers on protecting children

New guidance to industry issued for game developers on protecting children ゲーム開発者向けに、子どもの保護に関する業界向け新ガイダンスを発行
・The Information Commissioner’s Office sets the standard for ensuring games conform with data protection law. ・情報コミッショナー事務局が、ゲームがデータ保護法に適合していることを確認するための基準を設定。
・93% of UK children play video games. ・英国の子どもの93%がビデオゲームをプレイしている。
・Games providers should identify if their players are under 18, and the games themselves must not be detrimental to children’s well-being. ・ゲーム提供者は、プレイヤーが18歳未満であるかどうかを確認し、ゲーム自体が子どもの幸福を損なわないようにしなければならない。
The Information Commissioner’s Office (ICO) has today issued a series of recommendations to game developers to help ensure they protect children when playing their games and comply with data protection laws. The recommendations are based on our experiences and findings during a series of voluntary audits of game developers, studios and publishers within the gaming industry. 情報コミッショナー事務局(ICO)は本日、ゲーム開発者がゲームをプレイする際に子どもを保護し、データ保護法を遵守するための一連の勧告を発表した。この勧告は、ゲーム業界のゲーム開発会社、スタジオ、パブリッシャーに対する一連の自主的な監査で得られた経験や知見に基づくものである。
These recommendations  will ensure that games conform with the Children’s code and should assist design and gaming communities embed data protection considerations when designing gameplay. これらの推奨事項は、ゲームがチルドレンズ・コードに準拠することを保証し、デザインおよびゲームコミュニティがゲームプレイを設計する際にデータ保護を考慮するよう支援するものである。
The Children’s code is a code of practice for online services likely to be accessed by children, and explains how the UK’s General Data Protection Regulation (UK GDPR) applies to children using digital services. チルドレンズ・コードは、子どもがアクセスする可能性の高いオンラインサービスに関する実践規範で、デジタルサービスを利用する子どもに対して英国の一般データ保護規則(UK GDPR)がどのように適用されるかを説明している。
The information issued today includes recommendations for games designers and providers to ; 本日発表された情報には、ゲームデザイナーやプロバイダーに対する以下のような推奨事項が含まれている。
・identify if players are under the age of 18 with a reasonable degree of certainty, and discourage false declarations of age; ・プレイヤーが18歳未満であるかどうかを合理的な程度で確認し、虚偽の年齢申告をしないようにすること。
・ensure that games are not detrimental to children’s health and well-being, by including checkpoints and age-appropriate prompts to encourage players to take breaks from extended play or help them to disengage from extended sessions without feeling pressurised to continue playing or becoming fearful of missing out; ・ゲームが子どもの健康と幸福を損なわないよう、チェックポイントや年齢に応じた声掛けを設け、プレイヤーに長時間のプレイを中断するよう促したり、プレイを続けるようプレッシャーを感じたり物足りなくなったりせずに長時間のセッションから抜け出せるよう支援すること。
・turn off behavioural profiling for marketing by default. If a child chooses to opt into receiving ads, you should implement measures to control or monitor product placement, advertising, or sponsorship arrangements including within community servers, where children can access community servers from within the game ・マーケティングのための行動プロファイリングをデフォルトでオフにする。子供が広告を受け取ることを選択した場合、子供がゲーム内からコミュニティサーバーにアクセスできる場合、コミュニティサーバー内も含めて、プロダクトプレイスメント、広告、またはスポンサーシップの取り決めを制御または監視する手段を導入する必要がある。
・discourage the use of “nudge techniques” to encourage children to make poor privacy decisions, including reviewing the marketing of social media competitions and partnerships to children and the encouraging of children to create social media accounts for fear of missing out on rewards. ・子どもたちに不適切なプライバシーに関する決定を促す「ナッジ技術」の使用を阻止すること。これには、ソーシャルメディア上のコンテストやパートナーシップの子どもたちへのマーケティングや、報酬を逃すことを恐れて子どもたちにソーシャルメディア上のアカウントを作成するよう促すことの見直しが含まれる。
Leanne Doherty, Group Manager at the Information Commissioner’s Office, says: 情報コミッショナー事務局のグループ・マネージャーであるLeanne Dohertyは、次のように述べている。
“Gaming plays a central part in so many young people’s lives, and the community and interaction around games can be a child’s first steps into the digital world. We want those first experiences to be positive ones, and the recommendations we’ve published today are there to support game developers. 「ゲームは多くの若者の生活の中心を占めており、ゲームにまつわるコミュニティや交流は、子どもにとってデジタル世界への最初の一歩となり得る。今日発表した勧告は、ゲーム開発者を支援するためのものである。
“The Children’s Code makes clear that children are not like adults online, and their data needs greater protections. チルドレンズ・コードは、子どもはオンラインでは大人とは違うので、彼らのデータはより保護される必要があることを明確にしている。
We want children to be online, learning, playing and experiencing the world, but with the right protections in place to do so.” 私たちは、子どもたちがオンラインで、学習し、遊び、世界を体験することを望んでいるが、そのためには、適切な保護が必要である。」
93% of children in the U.K play video games, with younger children playing an average of two to three hours per day whereas older children are on average playing three or more hours. 英国では、93%の子どもがビデオゲームをプレイしており、年少の子どもは1日平均2~3時間プレイするのに対し、年長の子どもは平均3時間以上プレイしているとのことである。
The full series of recommendations can be read here: 一連の提言の全文はこちらで参照可能。
Top tips for games designers – how to comply with the Children’s code ゲームデザイナーのためのトップヒント - チルドレンコードを遵守する方法

 

具体的な内容はこちらになります。。。

Top tips for games designers – how to comply with the Children’s code

 

 

Top tips for games designers – how to comply with the Children’s code ゲームデザイナーのためのトップヒント - チルドレンズ・コードを遵守する方法
The Children’s code is a code of practice that sets out how online services, likely to be accessed by children, should protect them in the digital world. チルドレンズ・コードは、子どもがアクセスする可能性のあるオンラインサービスが、デジタル世界でどのように子どもを保護すべきかを定めた実践規範である。
We’ve audited game design companies to better understand how the Children’s code applies in the games sector and importantly, what steps games companies can take to make sure they apply with the code. We’ve set out our top tips to ensure your players have a good game. 私たちは、ゲームデザイン会社を監査し、ゲーム分野でチルドレンズ・コードがどのように適用されるか、また重要なことに、ゲーム会社がコードを確実に適用するためにどのような手順を踏めばよいかをよりよく理解することができた。そして、ゲーム会社が規範を確実に適用するために、どのような手順を踏めばよいかをまとめた。
Sussing out the danger – running risk assessments 危険を察知する - リスクアセスメントの実行
Having a defined process to help you identify and minimise the data protection risks within your games will help protect the rights and freedoms of children. ゲーム内のデータ保護リスクを特定し、最小限に抑えるための明確なプロセスを持つことは、子供の権利と自由を守ることにつながる。
You should: 以下を行うこと。
Consult with external stakeholders, including children, as part of any risk assessment. To do this, you could gather feedback from existing players, carry out a public consultation, conduct user testing or contact relevant children's rights groups for their views. You could consider completing a Children’s Rights Impact Assessment as part of this process. ・リスク評価の一環として、児童を含む外部の利害関係者と協議する。これを行うには、既存のプレイヤーからのフィードバックの収集、パブリックコンサルテーションの実施、ユーザーテストの実施、関連する児童の権利団体への意見照会などが考えられる。このプロセスの一環として、子どもの権利に関する影響評価を完了することを検討してもよいだろう。
・Assess and document the game’s appeal to children during the game design stage, and with legacy products, to help you decide the most appropriate age assurance measure to put in place. You should also consider if you need to tailor any in-game content or data processing needs for children. Just because the game isn’t aimed at children, doesn’t mean they won’t want to play it. ・ゲームデザイン段階、およびレガシー製品において、子供に対するゲームのアピール度を評価し、文書化することで、最も適切な年齢保証の手段を決定するのに役立てる。また、ゲーム内のコンテンツやデータ処理の必要性を子供向けに調整する必要があるかどうかを検討する必要がある。ゲーム内容が子供向けでないからといって、子供が遊びたがらないとは限らない。
・Regularly review assessments after a game goes live. If you discover unexpected age groups are playing the game, you should make any necessary adjustments. ・ゲーム公開後は、定期的に評価を見直す。予想外の年齢層がゲームをプレイしていることが分かったら、必要な調整を行う必要がある。
・Ensure you risk assess any randomised rewards, such as loot boxes, against the Children’s code and the UK Government’s response to their consultation on loot boxes and gambling. ・戦利品ボックスのようなランダムな報酬は、チルドレンズ・コードおよび戦利品ボックスとギャンブルに関するコンサルテーションに対する英国政府の回答に照らしてリスク評価することを徹底すること。
Further reading 参考情報
・We have a sample data protection impact assessment (DPIA) developed in partnership with Fundamentally Games for games companies to use.  ・ゲーム会社が使用できるように、Fundamentally Gamesと共同で開発したデータ保護影響評価(DPIA)のサンプルを用意している。 
・We have also developed a self assessment risk tool. ・また、自己評価リスクツールも開発した。
Buff your age assurance – know your players’ ages 年齢保証を洗練させる - プレイヤーの年齢を把握する
The age range of your players and the different needs of children at different ages and stages of development should be at the heart of how you design your games and apply the code. プレイヤーの年齢層と、年齢や発達段階によって異なる子供のニーズは、ゲームを設計しコードを適用する方法の中心になるべきである。
You should: 以下を行うこと。
・Assess and document how you will identify if UK players are under 18 and work out their actual ages with an appropriate level of certainty. ・英国のプレーヤーが18歳未満であるかどうかを識別し、適切なレベルの確実性をもって実際の年齢を算出する方法を評価し、文書化する。
・Investigate potential age assurance solutions to provide greater levels of certainty, linking back to risk assessments done at the design stage. You should implement your identified age assurance solution across all games, stores or platforms as quickly as possible. ・設計段階で行われたリスク評価と関連づけながら、より高いレベルの確実性を提供するために、年齢保証のための潜在的な解決策を調査する。特定した年齢保証ソリューションを、できるだけ早くすべてのゲーム、店舗、またはプラットフォームで実施する必要がある。
・Implement measures to discourage or prevent players from giving false declarations of age. You could introduce a cooldown mechanism that prevents players from returning to a previous page to provide a different date of birth within a fixed time-period. Alternatively, you could explore access to a data-free core element of your game until parental consent is confirmed or age assurance measures are put in place. ・プレイヤーが年齢を偽って申告することを阻止する手段を導入する。一定期間内に前のページに戻って別の生年月日を入力できないようにするクールダウンメカニズムを導入することができる。あるいは、保護者の同意が確認されるか、年齢保証の措置が講じられるまで、データのないゲームのコア要素にアクセスすることを検討することもできる。
Further reading 参考情報
・The Commissioner’s Opinion on Age Assurance for the Children’s Code looks at how age assurance can form part of an appropriate and proportionate approach to reducing or eliminating risks to children online and conforming to the code. ・児童規約の年齢保証に関するコミッショナーの意見は、オンライン上の子供へのリスクを低減または排除し、規約に適合させるために、年齢保証がどのように適切かつ比例するアプローチの一部を形成することができるかを考察している。
・Children have different needs at each stage of the development and we have produced guidance about age and developmental stages and compliance with the Code ・子どもたちは発達段階ごとに異なるニーズを持っており、年齢や発達段階と規範の遵守に関するガイダンスを作成した。
Open-world gameplay – being transparent オープンワールドのゲームプレイ - 透明であること
Bad privacy information design obscures risks, unravels good player experiences, and sows mistrust between children, parents and games providers. 不適切なプライバシー情報のデザインは、リスクを曖昧にし、良いプレイヤー体験を崩し、子ども、親、ゲームプロバイダーの間に不信感を植え付ける。
You could: 以下の方法がある。
・Run user research to trial child friendly privacy information with different age groups. ・ユーザー調査を実施し、さまざまな年齢層で子どもにやさしいプライバシー情報を試行する。
・Display transparency information based on ability rather than age. For example, transparency information at beginner, intermediate, and expert levels. ・年齢ではなく、能力に基づいて透明性情報を表示する。例えば、初級、中級、上級の各レベルで透明性のある情報を表示する。
・Design different ways to communicate privacy information which may be more effective for children of different ages. For example, you could use age-appropriate videos and graphics in 'bite sized' chunks, using mission-style storylines or deploying in-game pop-ups or messages. ・異なる年齢の子どもたちにより効果的なプライバシー情報の伝達方法を設計する。例えば、年齢に応じたビデオやグラフィックを「一口サイズ」の塊として使用したり、ミッション形式のストーリーを使用したり、ゲーム内のポップアップやメッセージを展開したりすることができる。
Further reading 参考情報
・You should also use our guidance on designing data transparency for children. ・子供のためのデータの透明性を設計するためのガイダンスも参照すること。
Preventing a critical hit – preventing the detrimental use of children’s data 致命的なヒットの防止 - 子供のデータの有害な使用の防止
It is important to only process children’s personal data in ways that is not detrimental to their health or wellbeing. 子供の健康や福祉に有害でない方法で、子供の個人データを処理することが重要である。
You should: 以下を行うこと。
・Ensure that all optional uses of personal data are off by default and only activated after valid consent is obtained from the player (or for children under 13-years-old, their parent or guardian). Optional uses of personal data include tailored product recommendations or offers designed to promote or market other services. ・個人データの任意の使用は、デフォルトではすべてオフになっており、プレイヤー(または13歳未満の子供については、その親または保護者)から有効な同意を得た後でのみ有効になるようにする。個人データの任意使用には、カスタマイズされた製品の推奨や、他のサービスの宣伝やマーケティングを目的としたオファーが含まる。
・Introduce checkpoints, automatic periodic saving of progress, or natural breaks in play between game matches into game design. Include age-appropriate prompts to encourage players to take breaks from extended play or help them to disengage from extended sessions without feeling pressurised to continue playing or becoming fearful of missing out. ・ゲームデザインに、チェックポイント、進捗状況の定期的な自動保存、またはゲーム対戦の間の自然な休憩を導入する。長時間のプレイを中断するよう促す、またはプレイを続けるようプレッシャーを感じたり、物足りなさを感じたりすることなく長時間のセッションから離れることができるよう、年齢に応じたプロンプトを表示する。
・Implement measures to control or monitor product placement, advertising, or sponsorship arrangements within community servers, where children can access community servers from within the game. ・子供がゲーム内からコミュニティサーバーにアクセスできる場合、コミュニティサーバー内のプロダクト・プレースメント、広告、スポンサーシップの取り決めを管理または監視するための手段を導入する。
Further reading 参考情報
・We have published broader guidance to explain how online services can spot any detrimental use of children’s data and provide advice on what to do. ・オンラインサービスが、子どものデータの有害な利用をどのように発見し、何をすべきかをアドバイスするための、より広範なガイダンスを発行している。
・The Children’s code additional resources page has guidance to help you assess the best interests of children. ・児童規約の追加資料のページには、児童の最善の利益を評価するのに役立つガイダンスがある。
Stealth mode – setting high privacy settings and parental controls ステルスモード - 高いプライバシー設定とペアレンタルコントロールの設定
Designing your games to promote meaningful parent or guardian-child interactions, while setting a high level of privacy by default and providing a range of appropriate parental controls is key. 親または保護者と子供の有意義な交流を促進するようにゲームを設計する一方で、デフォルトで高いレベルのプライバシーを設定し、適切なペアレンタルコントロールの範囲を提供することが重要である。
You could: 以下の方法がある。
・Provide parents with ‘real time alerts’ about their child’s activity, where it is in the child’s best interests. This might include notifications if their child tries to change a privacy setting, access ‘riskier’ in-game features or is exposed to inappropriate content. If parents opt-in to receive real-time alerts, you should give children age-appropriate information about this. ・子どもの最善の利益のために、子どもの行動に関する「リアルタイムのアラート」を保護者に提供する。これには、子どもがプライバシー設定を変更しようとしたり、「より危険な」ゲーム内機能にアクセスしたり、不適切なコンテンツに触れたりした場合の通知などが含まれる可能性がある。保護者がリアルタイムの警告を受け取ることを選択した場合、これに関する年齢相応の情報を子供に提供する必要がある。
・Ensure you give players age-appropriate explanations and prompts at the point they try to change any privacy settings. The prompts should be specific to each individual privacy setting and inform players of the risks and impact of lowering that specific setting before any change. Consider theming or gamifying these prompts to fit the game being played to heighten engagement by child users. ・プレイヤーがプライバシー設定を変更しようとする際には、年齢に応じた説明とプロンプトを与えるようにしてください。プロンプトは、個々のプライバシー設定に固有のもので、変更前に、その設定を下げることのリスクと影響について知らせる必要がある。これらのプロンプトを、プレイしているゲームに合わせてテーマ化またはゲーム化することで、子どもの利用者の関心を高めることを検討する。
・Assess if it is possible to introduce variable settings that allow children to control what personal data is visible to other players. For example, you could allow players to hide their account name, so that other players cannot search for them. ・他のプレイヤーから見える個人情報を子供がコントロールできるような可変的な設定を導入することが可能かどうかを評価する。例えば、アカウント名を隠して、他のプレイヤーから検索されないようにすることができる。
・Have voice chat functionality off by default for children, allow players to turn on a ‘do not disturb’ setting permanently as well as in the current session and change the default ‘receiving friend requests’ setting to ‘no-one.’ Introduce a setting to allow only other children to communicate as an option, and consider options for age assurance for the chat function to identify adults trying to pose as children. ・ボイスチャットをデフォルトでオフにし、「邪魔しない」設定を現在のセッションだけでなく常時オンにできるようにし、「フレンドリクエストを受け取る」設定をデフォルトで「誰も受け取らない」に変更する。オプションとして、他の子供たちだけに通信を許可する設定を導入し、子供を装う大人を識別するために、チャット機能の年齢保証のオプションを検討する。
Further reading 参考情報
・We have produced design guidance, which includes gaming worked examples of the data privacy moments and age-appropriate mindsets. ・私たちは、データ・プライバシーの瞬間や年齢に応じた考え方について、ゲームでの実践例を含むデザイン・ガイダンスを作成した。
Scouting – profiling responsibly スカウティング - 責任あるプロファイリング
You must offer children control over both whether you use their personal data and how you use it. This is especially important where profiling is not essential to play the game. 個人情報を使用するかどうか、またどのように使用するかについて、子どもたちがコントロールできるようにする必要がある。これは、プロファイリングがゲームのプレイに不可欠でない場合に特に重要である。
You should: 以下を行うこと。
・Check that any third-party advertising provider is displaying age-appropriate content to children in-game. ・第三者の広告プロバイダーが、ゲーム内で児童に年齢に応じたコンテンツを表示していることを確認する。
・Provide age-appropriate information in-game at the point that profiling takes place. You should encourage children to seek a trusted adult and to only activate profiling if they understand how profiling uses their personal data. ・プロファイリングが行われる時点で、年齢相応の情報をゲーム内で提供する。プロファイリングがどのように個人データを使用するかを理解した場合にのみ、信頼できる大人を探し、プロファイリングを有効にするよう子供に奨励する必要がある。
・Separate the opt-in consent for marketing from the acceptance of Terms of Service and the Privacy Policy when players create a new account. There is a risk that players may think that marketing is part of the contract and that they must accept it to continue, which could infringe the transparency principle. ・プレイヤーが新しいアカウントを作成する際に、マーケティングに対するオプトインの同意と、利用規約およびプライバシーポリシーの承諾を分離する。プレイヤーがマーケティングは契約の一部であり、それを受け入れなければ継続できないと考える可能性があり、透明性の原則を侵害するおそれがある。
・Make sure profiling for marketing purposes is off by default for children, or consider restricting marketing to contextual advertising that doesn't process children's data. ・マーケティング目的のプロファイリングは、子供の場合、デフォルトでオフにするか、子供のデータを処理しない文脈的広告に限定することを検討すること。
Further reading 参考情報
The Children’s code sets out what is meant by profiling and why it is important in the context of children’s data. 児童規約では、プロファイリングの意味と、児童データとの関連でそれが重要である理由を説明している。
Pushing FOMO – implementing positive nudge techniques 見逃しの恐怖 (fear of missing out: FOMO) の押し売り - ポジティブ(適切)なナッジテクニック(誘導技術)の実装
It is crucial that games do not use nudge techniques to lead children to make poor privacy decisions. ゲームでは、ナッジ技術を使用して、子供がプライバシーに関して不適切な決定をするよう誘導しないことが重要である。
You should: 以下を行うこと。
・Assess and document the risks of introducing time-limited or one time only offers on items targeted at children. ・子供をターゲットにしたアイテムに時間限定または1回限りのオファーを導入するリスクを評価し、文書化する。
・Implement positive nudge techniques to promote the best interests of children. For example, you could encourage children towards high privacy options, sensible purchasing of in-game items, use of parental controls, and pro-wellbeing behaviours such as taking breaks. ・子供の最善の利益を促進するために、適切な誘導技術を導入する。例えば、高いプライバシー・オプション、ゲーム内アイテムの賢明な購入、ペアレンタル・コントロールの使用、休憩を取るなどの健康増進行動を子供に奨励することができる。
・Review how you communicate social media competitions and partnerships to children and be mindful of encouraging children to create social media accounts for fear of missing out on rewards when running competitions and other activities on social media platforms that have a minimum age restriction. ・ソーシャルメディア上のコンテストやパートナーシップを子どもに伝える方法を見直し、最低年齢制限のあるソーシャルメディアプラットフォームでコンテストやその他の活動を行う場合、報酬を逃すことを恐れて子どもにソーシャルメディアのアカウントを作成するよう促すことに留意する。
・Monitor player behaviour and click-throughs to identify any unintentional nudge points. For example, where players are nudged towards reducing privacy settings despite not having specifically intended this. ・プレイヤーの行動とクリックスルーを監視して、意図しないナッジポイントを特定する。たとえば、特に意図していないにもかかわらず、プライバシー設定を下げる方向に誘導される場合などである。
・You should use neutral purchase button design and support workflows to allow a decision not to proceed with a purchase. You could allow refund of a purchase in a reasonable time frame. ・中立的な購入ボタンのデザインとワークフローを使用して、購入を続けないことを決定できるようにする必要がある。購入した商品の払い戻しを合理的な時間枠で行えるようにする。
Interested in the next level? 次のレベルに興味があるか?
If you’re interested in working with us, you can volunteer for an audit. You’ll benefit from the data protection knowledge and experience of our audit team, at no expense to your company. It’s an opportunity to discuss relevant data protection issues with the members of the ICO team and get an independent assessment of your conformance with the Code. 私たちと一緒に仕事をすることに興味があれば、ボランティアで監査に参加することができる。貴社に負担をかけることなく、当局の監査チームのデータ保護に関する知識と経験を活用することができる。監査は、データ保護に関する問題をICOチームのメンバーと議論し、規範への適合性について独立した評価を受ける機会である。
But don’t just take our word for it, here’s some feedback from the games companies we’ve worked with so far: しかし、私たちの言葉を鵜呑みにするのではなく、これまでに私たちが仕事をしたゲーム会社からのフィードバックをいくつか紹介する。
“The overall experience was smooth, open and collaborative – which was a positive surprise and quite novel approach to interact with the regulator. It was greatly appreciated.” 「これはポジティブな驚きであり、規制当局と対話するための非常に斬新なアプローチだった。非常に感謝している。
“We found the overall audit process very constructive. It was helpful to have the different questions linked to each principle of the code. We appreciated having in advance the "proposed engagement work plan. We also appreciated your interest in other subjects we had to present.” 監査プロセス全体が非常に建設的であると感じた。規範の各原則に関連するさまざまな質問が用意されていたのは助かった。また、「業務計画案」を事前に入手できたこともありがたかった。また、私たちが発表しなければならない他のテーマにも関心を持っていただき、感謝している。
“Based on the feedback and recommendations, we are reviewing existing features and building a plan to remediate risk and further document processes to put in place to do so.” フィードバックと勧告に基づいて、既存の機能を見直し、リスクを是正するための計画を構築し、さらにそのために設置するプロセスを文書化している。」

 

 

こちらが、今回のガイダンスのベースにありますね。。。

年齢に応じたデザイン:オンラインサービスのための実践規範の規範。。。

Age appropriate design: a code of practice for online services - Code standards

The standards are: 基準
Best interests of the child: The best interests of the child should be a primary consideration when you design and develop online services likely to be accessed by a child. 児童の最善の利益:子どもがアクセスする可能性のあるオンラインサービスを設計・開発する際には、子どもの最善の利益を第一に考慮しなければならない。
Data protection impact assessments: Undertake a DPIA to assess and mitigate risks to the rights and freedoms of children who are likely to access your service, which arise from your data processing. Take into account differing ages, capacities and development needs and ensure that your DPIA builds in compliance with this code. データ保護影響評価:データ処理から生じる、サービスにアクセスする可能性のある児童の権利と自由に対するリスクを評価し、軽減するために DPIA を実施する。年齢、能力、発達のニーズの違いを考慮し、DPIAがこの規範に準拠して構築されていることを確認する。
Age appropriate application: Take a risk-based approach to recognising the age of individual users and ensure you effectively apply the standards in this code to child users. Either establish age with a level of certainty that is appropriate to the risks to the rights and freedoms of children that arise from your data processing, or apply the standards in this code to all your users instead. 年齢に応じた適用:個々の利用者の年齢を認識し、この規範の基準を子供の利用者に効果的に適用するために、リスクベースのアプローチを取る。データ処理から生じる子どもの権利と自由に対するリスクに見合った確実なレベルで年齢を設定するか、または代わりにこの規範の基準をすべてのユーザーに適用する。
Transparency: The privacy information you provide to users, and other published terms, policies and community standards, must be concise, prominent and in clear language suited to the age of the child. Provide additional specific ‘bite-sized’ explanations about how you use personal data at the point that use is activated. 透明性:ユーザーに提供するプライバシー情報、およびその他の公開された条件、方針、コミュニティ標準は、簡潔で目立つものでなければならず、子どもの年齢に適した明確な言語で書かれていなければなりません。また、個人情報の利用が開始された時点で、その利用方法について具体的な「一口サイズ」の説明を追加で提供する。
Detrimental use of data: Do not use children’s personal data in ways that have been shown to be detrimental to their wellbeing, or that go against industry codes of practice, other regulatory provisions or Government advice. 有害なデータの使用:子供の幸福に有害であることが示されている方法、または業界規範、その他の規制条項、政府の助言に反する方法で、子供の個人データを使用してはならない。
Policies and community standards: Uphold your own published terms, policies and community standards (including but not limited to privacy policies, age restriction, behaviour rules and content policies). ポリシーとコミュニティ基準:公開されている規約、ポリシー、コミュニティ基準(プライバシーポリシー、年齢制限、行動規則、コンテンツポリシーを含むがこれに限定されない)を遵守すること。
Default settings: Settings must be ‘high privacy’ by default (unless you can demonstrate a compelling reason for a different default setting, taking account of the best interests of the child). デフォルト設定:デフォルトで「高プライバシー」でなければならない(ただし、児童の最善の利益を考慮し、別のデフォルト設定にするやむを得ない理由を証明できる場合を除く)。
Data minimisation: Collect and retain only the minimum amount of personal data you need to provide the elements of your service in which a child is actively and knowingly engaged. Give children separate choices over which elements they wish to activate. データの最小化:児童が積極的かつ意図的に関与するサービスの要素を提供するために必要な最小限の個人データのみを収集し、保持する。どの要素を有効にするかについて、子どもに個別の選択肢を与える。
Data sharing: Do not disclose children’s data unless you can demonstrate a compelling reason to do so, taking account of the best interests of the child. データの共有:子どもの最善の利益を考慮し、やむを得ない理由がある場合を除き、子どものデータを開示しない。
Geolocation: Switch geolocation options off by default (unless you can demonstrate a compelling reason for geolocation to be switched on by default, taking account of the best interests of the child). Provide an obvious sign for children when location tracking is active. Options which make a child’s location visible to others must default back to ‘off’ at the end of each session. ジオロケーション:ジオロケーションのオプションをデフォルトでオフにする(ただし、子どもの最善の利益を考慮し、ジオロケーションをデフォルトでオンにするやむを得ない理由を実証できる場合はこの限りではない)。位置情報の追跡が有効であることを、児童に分かりやすく示す。子供の位置情報を他者に公開するオプションは、各セッションの終了時にデフォルトで「オフ」に戻すこと。
Parental controls: If you provide parental controls, give the child age appropriate information about this. If your online service allows a parent or carer to monitor their child’s online activity or track their location, provide an obvious sign to the child when they are being monitored. ペアレンタルコントロール: ペアレンタル・コントロール(保護者による制限)を提供している場合は、そのことについて、子どもの年齢に応じた情報を提供する。オンラインサービスにおいて、親や介護者が子どものオンライン活動を監視したり、位置情報を追跡したりできるようにする場合は、監視されていることを子どもにわかりやすく示す。
Profiling: Switch options which use profiling ‘off’ by default (unless you can demonstrate a compelling reason for profiling to be on by default, taking account of the best interests of the child). Only allow profiling if you have appropriate measures in place to protect the child from any harmful effects (in particular, being fed content that is detrimental to their health or wellbeing). プロファイリング:プロファイリングを使用するオプションは、デフォルトでオフにする(ただし、子どもの最善の利益を考慮し、プロファイリングをデフォルトでオンにするやむを得ない理由があることを証明できる場合はこの限りではない)。プロファイリングを許可するのは、有害な影響(特に、健康や福祉に有害なコンテンツの配信)から子どもを保護するための適切な手段がある場合のみとする。
Nudge techniques: Do not use nudge techniques to lead or encourage children to provide unnecessary personal data or weaken or turn off their privacy protections. ナッジテクニック(誘導技術): 不必要な個人情報を提供したり、プライバシー保護を弱めたりオフにしたりするよう、ナッジテクニックを使って子どもを誘導したり奨励したりしないこと。
Connected toys and devices: If you provide a connected toy or device ensure you include effective tools to enable conformance to this code. コネクテッド玩具およびデバイス:コネクテッド玩具やデバイスを提供する場合、このコードに準拠できるような効果的なツールを含むことを確認する。
Online tools: Provide prominent and accessible tools to help children exercise their data protection rights and report concerns. オンラインツール:子どもがデータ保護の権利を行使し、懸念を報告できるよう、わかりやすくアクセスしやすいツールを提供する。

 

附属書B:年齢と発達段階も参考になりますよね。。。

Age appropriate design: a code of practice for online services - Annex B: Age and developmental stages

0-5: Pre-literate & early literacy 0-5歳:プレリテラシー&アーリーリテラシー
There is relatively little evidence on the understanding of the digital environment of children in this age range, particularly for 0-3 years old. However anecdotal evidence suggests that significant numbers of children are online from the earliest of ages and that any understanding and awareness of online risks that have children within this age range is very limited. この年齢層、特に0~3歳の子どもたちのデジタル環境に対する理解については、比較的少ないエビデンスしかない。しかし、多くの子どもたちが早い時期からインターネットを利用しており、この年齢層の子どもたちのオンラインリスクに対する理解や認識は非常に限定的であることが、事例として示されている。
At age 3-5 children start to develop the ability to ‘put themselves in others shoes’, but are easily fooled by appearances. They are developing friendships, although peer pressure is relatively low and parental or family guidance or influence is key. They are learning to follow clear and simple rules but are unlikely to have the cognitive ability to understand or follow more nuanced rules or instructions, or to make anything but the simplest of decisions. They have limited capacity for self-control or ability to manage their own time online. They are pre-dominantly engaged in adult-guided activities, playing within ‘walled’ environments, or watching video streams. 3~5歳の子どもたちは、「相手の立場に立って考える」能力を身につけ始めるが、外見に惑わされやすい。友人関係も構築されつつあるが、同調圧力は比較的低く、親や家族の指導や影響が重要である。明確で単純なルールに従うことを学んでいるが、より微妙なルールや指示を理解したり従ったり、あるいは最も単純な判断以外を下したりする認知能力を持つことはないだろう。自制心やオンライン上で自分の時間を管理する能力が限られている。この年齢層の子どもたちは、主に、大人主導の活動、「壁に囲まれた」環境での遊び、ビデオストリームの視聴に従事している。
Children in this age range are less likely than older children to have their own device, although significant numbers do, and often play on their parents’ devices which may or may not be set up with child specific profiles. They may use connected toys (such as talking teddies or dolls) and may also mimic parents’ use of voice activated devices such as ’home hubs’. この年齢層の子どもたちは、年長の子どもたちよりも自分のデバイスを持つことが少なく、親のデバイスで遊ぶことが多い。また、接続された玩具(話すぬいぐるみや人形など)を使ったり、「ホームハブ」のような音声起動デバイスを親が使うのを真似たりすることもある。
Children within this age range are pre-literate or in the earliest stages of literacy, so text based information is of very limited use in communicating with them. この年齢層の子どもたちは、識字能力がない、または初期段階にあるため、テキストベースの情報は彼らとのコミュニケーションに非常に限定的である。
UK children in this age range cannot provide their own consent to the processing of their personal data in the context of an online service offered directly to a child (by virtue of Article 8(1) of the GDPR and s9 of the DPA 2018). So if you wish to rely on consent as your lawful basis for processing their personal data you need parental consent. この年齢範囲の英国の子どもは、子どもに直接提供されるオンラインサービスの文脈で、個人データの処理に自ら同意することはできない(GDPRの第8条1項とDPA2018の第9条により)。そのため、彼らの個人データを処理するための合法的根拠として同意に依拠したい場合、親の同意が必要である。
6-9: Core primary school years  6-9歳: 小学校の中心的な年代 
Children in this age range are more likely than younger children to have their own device (such as a tablet), although use of parents’ devices is still common. They are increasingly using devices independently, with or without the benefit of child specific profiles. Connected toys arepopular and they may engage enthusiastically with voice activated devices such as home hubs. この年齢層の子どもたちは、親のデバイスを使用することはまだ一般的であるが、若い子どもたちよりも自分のデバイス(タブレットなど)を持っている可能性が高い。この年齢層の子どもたちは、子ども専用のプロファイルの有無にかかわらず、デバイスを単独で使用するようになってきている。コネクテッド玩具が人気で、ホームハブのような音声起動デバイスに熱中することもある。
Children in this age range often prefer online gaming and creative based activities, and video streaming services remain popular. Children may be experimenting with social media use, either through social aspects of online games, through their parents’ social media accounts or by setting up their own social media accounts. They may relate to and be influenced by online vloggers, particularly those within a similar age range. この年齢層の子どもたちは、オンラインゲームやクリエイティブな活動を好むことが多く、ビデオストリーミングサービスも依然として人気がある。オンラインゲームのソーシャルな側面や、親のソーシャルメディアアカウントを通じて、あるいは自分でソーシャルメディアアカウントを開設して、ソーシャルメディアの利用を試みているかもしれない。特に同じような年齢層のオンライン・ブロガーに共感し、影響を受けるかもしれない。
They are likely to be absorbing messages from school about online safety and the digital environment, and be developing a basic understanding of privacy concepts and some of the more obvious online risks. They are unlikely however to have a clear understanding of the many ways in which their personal data may be used or of any less direct or obvious risks that their online behaviour may expose them to. ネットの安全やデジタル環境に関する学校からのメッセージを吸収し、プライバシーの概念やより明白なネット上のリスクについての基本的な理解を深めている可能性がある。しかし、自分の個人情報がどのように利用されるのか、また、自分のネット上での行動がどのようなリスクにさらされるのか、それほど直接的でなくとも明白なリスクについて、明確に理解しているとは思えない。
The need to fit in with their peer group becomes more important so they may be more susceptible to peer pressure. However home and family still tends to be the strongest influencer. They still tend to comply with clear messages or rules from home and school, but if risks aren’t explained clearly then they may fill the gap with their own explanations or come up with protective strategies that aren’t as effective as they think they are. 仲間に溶け込むことがより重要になり、仲間からのプレッシャーに弱くなる可能性がある。しかし、家庭や家族が最も強い影響力を持つことに変わりはない。家庭や学校からの明確なメッセージやルールには従いるが、リスクについて明確に説明されないと、そのギャップを自分なりの説明で埋めたり、自分が思っているほど効果的ではない保護策を思いついたりすることがある。
Literacy levels can vary considerably and ability or willingness to engage with written materials cannot be assumed. 識字レベルにはかなりのばらつきがあり、文字資料に関わる能力や意欲を想定することはできない。
UK children in this age range cannot provide their own consent to the processing of their personal data in the context of an online service offered directly to a child (by virtue of Article 8(1) of the GDPR and s9 of the DPA 2018). So if you wish to rely on consent as your lawful basis for processing their personal data you need parental consent. この年齢層の英国の子どもは、子どもに直接提供されるオンラインサービスの文脈で、個人データの処理に自ら同意することはできない(GDPR第8条1項およびDPA2018のs9により)。そのため、彼らの個人データを処理するための合法的根拠として同意に依拠したい場合は、親の同意が必要である。
10-12:  Transition years 10-12歳:移行期
This is a key age range in which children’s online activity is likely to change significantly. The transition, or anticipated transition, from primary school to high school means that children are much more likely to have their own personal device (pre-dominantly smartphones). この年代は、子どものオンライン活動が大きく変化する可能性が高い重要な年代である。小学校から中学校への移行、または移行が予想されるため、子どもたちは自分専用のデバイス(主にスマートフォン)を持つ可能性が非常に高くなる。
There is also likely to be a shift towards use of the online environment to explore and develop self-identity and relationships, expand and stay in contact with their peer group, and ‘fit in’ socially. This may lead to an increased use of social networking functions or services by children within this age range, an increased susceptibility to peer pressure, branding and online ‘influencers’, and an increase in risk taking behaviours. Self-esteem may fall as children compare themselves to others and strive to present an acceptable version of themselves online and the ‘fear of missing out’ may become a concern. また、自己認識や人間関係の構築、仲間との交流の拡大や維持、社会的な「仲間入り」のために、オンライン環境を利用する傾向が強まるだろう。このため、この年代の子どもたちは、ソーシャルネットワーキング機能やサービスの利用が増え、同調圧力やブランド、オンライン上の「インフルエンサー」の影響を受けやすくなり、リスクを取る行動が増える可能性がある。子どもたちは他人と自分を比較し、オンライン上で受け入れられる自分を見せようと努力するため、自尊心が低下し、「欠落への恐れ」が懸念されるようになるかもしれない。
Online gaming and video and music streaming services are also popular. Children may feel pressurised into playing online games when their friends are playing, again for fear of missing out. オンラインゲーム、ビデオや音楽のストリーミングサービスも人気がある。子どもたちは、友達が遊んでいるときにオンラインゲームをするようにプレッシャーを感じるかもしれない。
Attitudes towards parental rules, authority and involvement in their online activity may vary considerably, with some children relatively accepting of this and others seeking higher levels of autonomy. However parents and family still tend to be the main source of influence for children in this age range. 親のルール、権限、オンライン活動への関与に対する考え方は、比較的受け入れやすい子もいれば、より高いレベルの自律性を求める子もいて、かなり異なる。しかし、この年齢層の子どもにとって、親や家族は依然として主な影響力の源泉であることに変わりはない。
Children in this age range are moving towards more adult ways of thinking but may have limited capacity to think beyond immediate consequences, be particularly susceptible to reward based systems, and tend towards impulsive behaviours. Parental or other support therefore still tends to be needed, if not always desired. It may however need to be offered or encouraged in a less directive way than for younger children. この年齢層の子どもは、より大人らしい考え方をするようになるが、目先の結果を超えて考える力が弱く、特に報酬に基づくシステムの影響を受けやすく、衝動的な行動に走る傾向がある。そのため、常に必要とされているわけではないが、親やその他のサポートが必要とされる傾向がある。しかし、年少の子どもたちよりも、より直接的でない方法で支援を提供したり、奨励したりすることが必要かもしれない。
Children in this age range are developing a better understanding of how the online environment operates, but are still unlikely to be aware of less obvious uses of their personal data. この年代の子どもたちは、オンライン環境がどのように運営されているかについての理解を深めているが、個人データがあまり明白に利用されていることにはまだ気づいていないようである。
Although children in this age range are likely to have more developed literacy skills they may still prefer media such as video content instead. この年齢層の子どもたちは、リテラシーが発達している可能性が高いが、代わりにビデオコンテンツなどのメディアを好むかもしれない。
12 is the age at which, under s208 of the DPA 2018, children in Scotland are presumed (unless the contrary is shown) to be of sufficient age and maturity to have a general understanding of what it means to exercise their data protection rights. There is no such provision for children in the rest of the UK, although this may be considered a useful reference point. 12歳は、DPA2018のs208に基づき、スコットランドの子どもたちが、データ保護の権利を行使することの意味を一般的に理解するのに十分な年齢と成熟度を有すると推定される年齢である(反対のことが示されない限り)。英国の他の地域の子どもについては、このような規定はないが、これは有用な参考点と考えられる。
UK children in this age range cannot provide their own consent to the processing of their personal data in the context of an online service offered directly to a child (by virtue of Article 8(1) of the GDPR and s9 of the DPA 2018). So if you wish to rely on consent as your lawful basis for processing their personal data you need parental consent. この年齢層の英国の子どもは、子どもに直接提供されるオンラインサービスの文脈で、個人データの処理に自ら同意することはできない(GDPR第8条1項およびDPA2018のs9により)。そのため、彼らの個人データを処理するための合法的根拠として同意に依拠したい場合は、親の同意が必要である。
13-15: Early teens  13-15歳: 10代前半 
In this age range the need for identification with their own peer group, and exploration of identity and relationships increases further and children are likely to seek greater levels of independence and autonomy. They may reject or distance themselves from the values of their parents or seek to actively flaunt parental or online rules. The use of new services that parents aren’t aware of or don’t use is popular as is the use of language that parents may not easily understand. However, despite this, family remains a key influence on children within this age range. この年齢層では、自分の仲間グループとの同一性、アイデンティティと人間関係の探求の必要性がさらに高まり、子どもたちはより高いレベルの自立と自律を求めるようになる。親の価値観を否定したり、距離を置いたり、親やネット上のルールを積極的に無視しようとすることもある。親が知らない、あるいは使っていない新しいサービスを利用したり、親が理解しにくい言葉を使ったりすることも増える。しかし、それでもなお、この年齢層の子どもたちにとって、家族が重要な影響力を持つことに変わりはない。
The use of social media functions and applications is widespread although gaming and video and music streaming services are also popular. Again children may seek to emulate online ‘influencers’ or vloggers at this stage in their development. ゲームや動画・音楽のストリーミングサービスも人気であるが、ソーシャルメディアの機能やアプリケーションの利用も広まっている。この時期もまた、ネット上の「インフルエンサー」やブロガーの真似をすることがある。
Children of this age may still look to parents to assist if they encounter problems online, but some may be reluctant to do so due to concerns about their parents’ reaction to their online activity. この年齢の子どもは、ネット上で問題が発生した場合、親に助けを求めることもあるが、ネット上での活動に対する親の反応を懸念して、それを嫌がることもある。
Developmentally they may tend toward idealised or polarised thinking and be susceptible to negative comparison of themselves with others. They may overestimate their own ability to cope with risks and challenges arising from online behaviour and relationships and may benefit from signposting towards sources of support, including but not limited to parental support. 発達上、理想的な考え方や両極端な考え方をする傾向があり、自分と他人を否定的に比較しがちである。ネット上での行動や人間関係から生じるリスクや課題に対処する自分の能力を過大評価している可能性があり、保護者のサポートを含むがこれに限定されない支援源への道案内が有益であろう。
Literacy skills are likely to be more developed but they may still benefit from a choice of media. 読み書きの能力は発達していると思われるが、それでもメディアを選択することは有益であろう。
13 is the age at which children in the UK are able to provide their own consent to processing, if you relying on consent as your lawful basis for processing in the context of offering an online service directly to a child (by virtue of Article 8(1) of the GDPR and s9 of the DPA 2018). 13歳は、オンラインサービスを子どもに直接提供するという文脈で、処理の合法的根拠として同意に頼る場合、英国の子どもが処理に対して自ら同意を提供できる年齢である(GDPR第8条(1)およびDPA2018第9条による)。
16-17: Approaching adulthood 16-17歳: 成人に近づく
By this age many children have developed reasonably robust online skills, coping strategies and resilience. However they are still developing cognitively and emotionally and should not be expected to have the same resilience, experience or appreciation of the long term consequences of their online actions as adults may have. この年齢までに、多くの子どもたちは、それなりに強固なオンラインスキル、対処戦略、回復力を身につけている。 しかし、彼らはまだ認知的、感情的に成長しており、大人が持つような回復力、経験、オンライン行動の長期的な結果に対する理解を持つことを期待すべきではない。
Technical knowledge and capabilities may be better developed than their emotional literacy or their ability to handle complex personal relationships. Their capacity to engage in long term thinking is still developing and they may still tend towards risk taking or impulsive behaviours and be susceptible to reward based systems. 技術的な知識や能力は、感情的なリテラシーや複雑な人間関係を処理する能力よりも発達しているかもしれない。長期的な思考をする能力はまだ発達途上であり、リスクをとったり衝動的な行動をとったりする傾向があり、報酬ベースのシステムに影響されやすいかもしれない。
Parental support is more likely to be viewed as one option that they may or may not wish to use, rather than as the preferred or only option, and they expect a reasonable level of autonomy. Signposting to other sources of support in addition to parental support is important. 保護者の支援は、望ましい、あるいは唯一の選択肢というよりも、利用したい、あるいは利用したくないという選択肢の1つとみなされる可能性が高く、合理的なレベルの自律性を期待されます。親による支援に加え、他の支援源への道しるべを示すことが重要である。
By virtue of Article 8(1) of the GDPR and s9 of the DPA 2018, if you are relying on consent as your lawful basis for processing in the context of offering an online service directly to a child, UK children in this age range can provide their own consent to the processing of their personal data. GDPRの第8条1項とDPA2018の第9条により、オンラインサービスを子どもに直接提供するという文脈で、処理の合法的根拠として同意に頼る場合、この年齢範囲の英国の子どもは、個人データの処理に自ら同意を提供することができる。

 

 

こちらもデザインという観点で参考になりますね。。。

The Children’s code design guidance

・[PDF]

20230219-33453

・[YouTube]

20230219-34141

 

| | Comments (0)

2023.02.18

日本公認会計士協会 監査実施状況調査(2021年度)

こんにちは、丸山満彦です。

日本公認会計士協会は、毎年、金商法の監査実施状況について取りまとめていますが、2021年4月1日から2022年3月31日期の金商法監査の概要が公表されていますね。。。

2008年からの「平均監査報酬額」(単価が上がり、会社が成長すると増えるでしょう。。。)と「時間あたり平均単価」(会計士の給与が増えれば増えるでしょう。。。)の推移を長期的に見てみると、改めて、日本って成長していないなぁ。。。と感じますね。。。責任の一端はあるわけなので、なんとも複雑な感じですが、、、

 

1_20230218044301

 

日本公認会計士協会

・2023.02.17 監査実施状況調査(2021年度)

・[PDF] 監査実施状況調査(2021年度)

20230218-44834

 

・[PDF] 監査実施状況調査(2021年度)参考資料

20230218-44923

 

データ...

年度 会社数 総監査報酬額(千円) 前年比 総監査時間 前年比 平均監査報酬額(千円) 前年比 平均監査時間 前年比 時間当たり平均単価(円) 前年比
2008 17,084 253,912,588 133.72% 20,848,899 137.42% 14,863 132.70% 1,220.4 136.37% 12,179 97.31%
2009 17,098 257,093,592 101.25% 19,582,284 93.92% 15,036 101.17% 1,145.3 93.85% 13,129 107.80%
2010 16,941 248,014,437 96.47% 19,445,732 99.30% 14,640 97.36% 1,148.0 100.23% 12,754 97.15%
2011 17,103 241,078,726 97.20% 20,073,674 103.23% 14,096 96.28% 1,173.7 102.24% 12,010 94.16%
2012 16,826 233,338,867 96.79% 19,028,972 94.80% 13,868 98.38% 1,131.0 96.36% 12,262 102.10%
2013 16,919 233,230,193 99.95% 19,255,150 101.19% 13,785 99.40% 1,138.1 100.62% 12,113 98.78%
2014 17,022 235,069,271 100.79% 19,732,969 102.48% 13,810 100.18% 1,159.2 101.86% 11,913 98.35%
2015 17,246 242,126,350 103.00% 20,651,029 104.65% 14,040 101.66% 1,197.4 103.29% 11,725 98.42%
2016 17,392 250,649,070 103.52% 21,664,405 104.91% 14,412 102.65% 1,245.7 104.03% 11,570 98.68%
2017 17,891 260,105,738 103.77% 21,874,539 100.97% 14,538 100.88% 1,222.7 98.15% 11,891 102.78%
2018 18,433 273,266,629 105.06% 22,637,873 103.49% 14,825 101.97% 1,228.1 100.45% 12,071 101.52%
2019 19,909 296,766,088 108.60% 24,646,497 108.87% 14,906 100.55% 1,238.0 100.80% 12,041 99.75%
2020 20,399 307,876,034 103.74% 25,577,804 103.78% 15,093 101.25% 1,253.9 101.29% 12,037 99.97%
2021 20,765 317,584,178 103.15% 26,057,952 101.88% 15,294 101.34% 1,254.9 100.08% 12,188 101.25%

 

 

まるちゃんの情報セキュリティ気まぐれ日記

少し古いですが...(^^;;

・2009.01.30 昨年度の監査総時間は約1520万時間、総監査費用は約1900億円、平均時間単価は約12,500円 (3)詳細データ

・2009.01.30 昨年度の監査総時間は約1520万時間、総監査費用は約1900億円、平均時間単価は約12,500円 (2)対前年比

・2009.01.30 昨年度の監査総時間は約1520万時間、総監査費用は約1900億円、平均時間単価は約12,500円

 

・2008.04.07 昨年度の総監査時間は1465万時間、総監査費用は1760億円、平均時間単価は12,000円(詳細データ)

・2008.04.07 昨年度の総監査時間は1465万時間、総監査費用は1760億円、平均時間単価は12,000円


・2005.10.01 監査報酬 監査実施状況及び個別企業の監査報酬

 

| | Comments (0)

米国 国務省 人工知能と自律システムの責任ある軍事利用に関する政治宣言

こんにちは、丸山満彦です。

米国国務省が「人工知能と自律システムの責任ある軍事利用に関する政治宣言」を公表していますね。。。

軍事目的とは言えども、基本的にはAIが一般的に求められる倫理と同じです。。。

 

● Department of States - Artificial Intelligence (AI)

・ 2023.02.16 Political Declaration on Responsible Military Use of Artificial Intelligence and Autonomy

 

Political Declaration on Responsible Military Use of Artificial Intelligence and Autonomy 人工知能と自律システムの責任ある軍事利用に関する政治宣言
An increasing number of States are developing military AI capabilities, which may include using AI to enable autonomous systems.1 Military use of AI can and should be ethical, responsible, and enhance international security.  Use of AI in armed conflict must be in accord with applicable international humanitarian law, including its fundamental principles.  Military use of AI capabilities needs to be accountable, including through such use during military operations within a responsible human chain of command and control.  A principled approach to the military use of AI should include careful consideration of risks and benefits, and it should also minimize unintended bias and accidents. States should take appropriate measures to ensure the responsible development, deployment, and use of their military AI capabilities, including those enabling autonomous systems.  These measures should be applied across the life cycle of military AI capabilities. AIの軍事利用は、倫理的で責任あるものであり、国際安全保障を強化するものでありうるし、またそうあるべきである。  武力紛争におけるAIの使用は、その基本原則を含め、適用される国際人道法に合致したものでなければならない。  AIの軍事利用は、責任ある人間の指揮命令系統の下での軍事作戦中の利用を含め、説明責任を果たす必要がある。  AIの軍事利用に対する原則的なアプローチは、リスクと便益の慎重な考慮を含むべきであり、また、意図しないバイアスや事故を最小限に抑えるべきである。国家は、自律システムを可能にするものも含め、軍事AI能力の責任ある開発、配備、使用を確保するために適切な措置を講じるべきである。  これらの措置は、軍事AI能力のライフサイクル全体にわたって適用されるべきである。
The following statements reflect best practices that the endorsing States believe should be implemented in the development, deployment, and use of military AI capabilities, including those enabling autonomous systems: 以下の記述は、自律システムを可能にするものを含め、軍事AI能力の開発、配備、使用において実施されるべきと支持国が考えるベスト・プラクティスを反映したものである:
A. States should take effective steps, such as legal reviews, to ensure that their military AI capabilities will only be used consistent with their respective obligations under international law, in particular international humanitarian law. A. 各国は、軍事AI能力が国際法、特に国際人道法の下でのそれぞれの義務に合致した場合にのみ使用されることを確保するため、法的審査などの効果的な措置を講じるべきである。
B. States should maintain human control and involvement for all actions critical to informing and executing sovereign decisions concerning nuclear weapons employment. B. 国家は、核兵器使用に関する主権者の決定に情報を与え、実行するために重要なすべての行動について、人間の管理と関与を維持すべきである。
C. States should ensure that senior officials oversee the development and deployment of all military AI capabilities with high-consequence applications, including, but not limited to, weapon systems. C. 国家は、高官が、兵器システムを含むがこれに限定されない、重大な影響力を持つすべての軍事AI能力の開発と配備を監督することを確保すべきである。
D. States should adopt, publish, and implement principles for the responsible design, development, deployment, and use of AI capabilities by their military organizations. D. 各国は、自国の軍事組織が責任を持ってAI能力を設計、開発、配備、使用するための原則を採択、公表、実施すべきである。
E. States should ensure that relevant personnel exercise appropriate care, including appropriate levels of human judgment, in the development, deployment, and use of military AI capabilities, including weapon systems incorporating such capabilities. E. 国家は、軍事AI能力(そのような能力を組み込んだ兵器システムを含む)の開発、配備、使用において、関係要員が適切なレベルの人間的判断を含む適切な注意を払うことを確保すべきである。
F. States should ensure that deliberate steps are taken to minimize unintended bias in military AI capabilities. F. 国家は、軍事AI能力における意図しないバイアスを最小化するための意図的な措置がとられることを確保すべきである。
G. States should ensure that military AI capabilities are developed with auditable methodologies, data sources, design procedures, and documentation. G. 国家は、軍事AI能力が、監査可能な方法論、データ・ソース、設計手順、および文書化とともに開発されることを確保すべきである。
H. States should ensure that personnel who use or approve the use of military AI capabilities are trained so they sufficiently understand the capabilities and limitations of those capabilities and can make context-informed judgments on their use. H. 国家は、軍事用AI能力を使用またはその使用を承認する要員が、それらの能力の能力と限界を十分に理解し、その使用について状況に即した判断ができるように訓練されていることを確保すべきである。
I. States should ensure that military AI capabilities have explicit, well-defined uses and that they are designed and engineered to fulfill those intended functions. I. 国家は、軍事 AI 能力が明確かつ十分に定義された用途を有し、それらの意図された機能を果たすように設計および設計されていることを確保すべきである。
J. States should ensure that the safety, security, and effectiveness of military AI capabilities are subject to appropriate and rigorous testing and assurance within their well-defined uses and across their entire life-cycles.  Self-learning or continuously updating military AI capabilities should also be subject to a monitoring process to ensure that critical safety features have not been degraded. J. 国家は、軍事用AI能力の安全性、安全保障、有効性が、その明確に定義された用途の範囲内で、そのライフサイクル全体にわたって、適切かつ厳格なテストと保証の対象となることを確保すべきである。  自己学習または継続的に更新される軍事用AI能力も、重要な安全機能が低下していないことを確認するための監視プロセスの対象とすべきである。
K. States should design and engineer military AI capabilities so that they possess the ability to detect and avoid unintended consequences and the ability to disengage or deactivate deployed systems that demonstrate unintended behavior.  States should also implement other appropriate safeguards to mitigate risks of serious failures.  These safeguards may be drawn from those designed for all military systems as well as those for AI capabilities not intended for military use. K. 国家は、軍用 AI 能力が、意図しない結果を検知して回避する能力、および意図しない動作を示す配備されたシステムを解除または非活性化する能力を有するように、設計およびエンジニアリングを行うべきである。  国家はまた、重大な故障のリスクを軽減するために、その他の適切なセーフガードを導入すべきである。  これらのセーフガードは、すべての軍事システム用に設計されたものだけでなく、軍事利用を目的としない AI 能力用に設計されたものからも採用することができる。
L. States should pursue continued discussions on how military AI capabilities are developed, deployed, and used in a responsible manner, to promote the effective implementation of these practices, and the establishment of other practices which the endorsing States find appropriate. These discussions should include consideration of how to implement these practices in the context of their exports of military AI capabilities. L. 各国は、軍事用AI能力がどのように責任ある方法で開発、配備、使用されるかについて継続的な協議を行い、これらの慣行の効果的な実施を促進するとともに、承認国が適切と認めるその他の慣行の確立を追求すべきである。これらの協議には、軍事用AI能力の輸出に関連して、これらの慣行をどのように実施するかの検討も含まれるべきである。
The endorsing States will: 承認国は以下を行う:
・implement these practices when developing, deploying, or using military AI capabilities, including those enabling autonomous systems; ・自律システムを可能にするものを含め、軍事AI能力を開発、配備、使用する際に、これらの慣行を実施する;
・publicly describe their commitment to these practices; ・これらの慣行へのコミットメントを公表する;
・support other appropriate efforts to ensure that such capabilities are used responsibly and lawfully; and ・このような能力が責任を持って合法的に使用されることを確保するための適切な取り組みを支援する。
・further engage the rest of the international community to promote these practices, including in other fora on related subjects, and without prejudice to ongoing discussions on related subjects in other fora. ・他の場における関連テーマの継続的な議論に影響を与えることなく、他の関連テーマの場も含め、これらの実践を促進するために、他の国際社会をさらに関与させること。
[1] The concepts of artificial intelligence and autonomy are subject to a range of interpretations.  For the purposes of this Declaration, artificial intelligence may be understood to refer to the ability of machines to perform tasks that would otherwise require human intelligence — for example, recognizing patterns, learning from experience, drawing conclusions, making predictions, or taking action — whether digitally or as the smart software behind autonomous physical systems.  Similarly, autonomy may be understood to involve a system operating without further human intervention after activation. [back to 1] [1] 人工知能と自律性の概念は、さまざまな解釈の対象となる。  本宣言の目的上、人工知能とは、そうでなければ人間の知性を必要とするタスク、例えば、パターンの認識、経験からの学習、結論の導出、予測、行動などを、デジタルであれ、自律的物理システムの背後にあるスマートソフトウェアであれ、実行する機械の能力を指すと理解することができる。  同様に、自律性とは、起動後に人間が介入することなく動作するシステムのことである。 [1]に戻る

 

1_20230816074701

 

 

| | Comments (0)

2023.02.17

情報通信研究機構 (NICT) NICTER観測レポート2022の公開

こんにちは、丸山満彦です。

情報通信研究機構 (NICT) が、NICTER観測レポート2022を公開していますね。。。

 

情報通信研究機構 (NICT) 

・2023.02.14 NICTER観測レポート2022の公開

報告書

・[PDF]

20230217-131014

 

今年のポイントは次のようです。。。 


  • ダークネット観測統計2 章):ダークネット観測における 1 IP アドレスあたりの年間総観測パケット数 は 2021 年からわずかに増加し 183 万パケットでし た.また,最も多く観測された 23/TCP 宛のパケッ トの占める割合が前年の 11% から 23% へと増加し ました.
  • IoT ボットの感染活動と感染機器3 章):昨年に続き,Mirai 亜種等の IoT ボットの活溌な活動が観測されました.日本国内では 5月以降感染ホストの増 加傾向が見られ,ピーク時には約 5000 ホストまで増加しました.また,韓国製の DVR/NVR 機器が未公開の脆弱性を悪用され,IoT ボットに感染している 実態が確認されました.
  • DRDoS 攻撃の観測状況4 章): DDoS 攻撃*4の一 種である DRDoS 攻撃の観測結果からは,絨毯爆撃 型の DRDoS 攻撃の継続,攻撃時間の長時間化,攻撃に悪用されるサービスの種類の増加が確認されました.

 

IoT ボットの感染活動と感染機器で、送信パケット数が多いホストに関して、Miraiの特徴の有無に着目してグループ分けをして分析をした結果。。。

表2 :送信バケット数の多いホストの特徴 (小数点以下は四捨五入しました・・・)

  グループA
(Miraiの特徴あり)
グループB
(Miraiの特徴なし)
ホストの特徴 IoTポットに感染した機器
(DVR 13.1 %, ホームルータ11.0% )
サーバ系
ユニークIP数 383 108
平均バケット数/日 646,709 3,320,858
平均宛先ポート数/日 2.13 4.91
送信元国別割合 米国 (28%),
韓国 (19%),
中国 (16%)
米国 (52%),
オランダ (9%),
スイス (6%)
AS番号別割合 AS4766 (13% ),
AS53667 (7%),
AS211252 (4%)
AS211252 (33%),
AS53667 (19%),
AS51852 (6%)
継続日数 30日以上 (13%),
10~30日 (23%),
4~9日 (24%),
3日以下 (40%)
30日以上 (10%),
10~30日 (39%),
4 ~ 9日 (33%),
3日以下 (18%)
30日以上継続国 韓国 (35% ),
中国 (20%),
台湾 (16%)
米国 (73%),
ドイツ (9%),
オランダ (9%)
30日以上継続AS AS4766 (18%),
AS38365 (10%),
AS17858 (10%)
AS53667 (64%),
AS206264 (18%),
AS47890 (9% )

 

 

| | Comments (0)

欧州 ENISA 協調的な脆弱性情報開示:EU共通のアプローチ

こんにちは、丸山満彦です。

2023年1月16日に採択された「EU全域で共通レベルの高いサイバーセキュリティのための措置に関する新指令(NIS2)」により、加盟国は2024年10月17日までに協調的脆弱性開示政策を採択・公表する必要があります。。。さらに、現在審議中のサイバーレジリエンス法(CRA)案において脆弱性の取り扱い要件が含まれていますね。。。

と言うことで、ENISAは協調的な脆弱性情報開示についてのガイドを公表しています。。。

日本はそう言う意味では早く(2004.07.08)から、脆弱性情報を開示するためのプロセスである「情報セキュリティ早期警戒パートナーシップ」を運営しているわけで先進的な取り組みをしていましたね。。。今回のEUでの取り組みにも、この実績は参考にされたようです。。。

 

ENISA

・2023.02.16 Coordinated Vulnerability Disclosure: Towards a Common EU Approach

Coordinated Vulnerability Disclosure: Towards a Common EU Approach 協調的な脆弱性情報開示:EU共通のアプローチに向けて
The new report of the European Union Agency for Cybersecurity (ENISA) explores how to develop harmonised national vulnerability programmes and initiatives in the EU. 欧州連合サイバーセキュリティ機関(ENISA)の新しい報告書は、EUにおいて調和された各国の脆弱性プログラムおよびイニシアチブを開発する方法を探っている。
With the new Directive on measures for a high common level of cybersecurity across the Union (NIS2) adopted on 16 January 2023, Member States will need to have a coordinated vulnerability disclosure policy adopted and published by 17 October 2024. In addition, other ongoing legislative developments will also address vulnerability disclosure, with vulnerability handling requirements already foreseen in the proposed Cyber Resilience Act (CRA). 2023年1月16日に採択された「EU全域で共通レベルの高いサイバーセキュリティのための措置に関する新指令(NIS2)」により、加盟国は2024年10月17日までに協調的脆弱性開示政策を採択・公表する必要がある。さらに、現在進行中の他の法整備も脆弱性開示に対応するものであり、提案されているサイバー・レジリエンス法(CRA)において脆弱性の取り扱い要件がすでに予見されている。
The new report published today looks into the expectations of both industry and the Member States in relation to the NIS2’s objective. It also analyses the related legal, collaborative, technical challenges arising from such initiatives. 本日発表された新しい報告書では、NIS2の目的に関連して、産業界と加盟国の両方がどのような期待を抱いているかを調べている。また、このような取り組みから生じる、関連する法的、協調的、技術的な課題についても分析している。
Apart from insights on industry expectations, the findings feed into the guidelines ENISA and the NIS Cooperation Group intend to prepare to help EU Member States establish their national Coordinated Vulnerability Disclosure (CVD) policies. These guidelines would be focused on vulnerability management, dedicated processes and related responsibilities. 産業界の期待に関する洞察とは別に、この調査結果は、ENISAとNIS協力グループが、EU加盟国が国別の協調的脆弱性開示(CVD)政策を確立するのを支援するために作成しようとしているガイドラインに反映される。このガイドラインは、脆弱性管理、専用プロセス、および関連する責任に焦点を当てたものとなるだろう。
With this research, ENISA seeks to find out how a harmonised approach across the EU can be achieved. The different options envisaged to do so will be discussed within the task force driving the project and consisting of ENISA together with the NIS cooperation group. この研究により、ENISAは、EU全域で調和されたアプローチをどのように実現できるかを見出そうとしている。そのために想定されるさまざまな選択肢は、ENISAとNISの協力グループからなる、このプロジェクトを推進するタスクフォースで議論される予定である。
Peeking into the report: 報告書を覗く:
Examples of what industry expects: 産業界が期待例:
a national or European CVD policy may encourage organisations to set vulnerability management and security practices as a priority; 国または欧州のCVD政策は、組織が脆弱性管理とセキュリティの実践を優先するよう促すかもしれない。
policy makers should consider the existing initiatives and standards around CVD; 政策立案者は、CVDに関する既存の取り組みや標準を考慮する必要がある。
global cooperation across different legislations as well as cooperation between industry players and the public sector needs to be strengthened to avoid silos. 異なる法律間のグローバルな協力、および業界関係者と公共部門の協力関係を強化し、サイロ化を回避する必要がある。
Challenges for Security Researchers セキュリティ研究者の課題
The report also highlights the incentives and obstacles addressed to security researchers to legally report vulnerabilities. Reputational interests are a key driver for researchers whose public proof of vulnerability discovery and disclosure adds to their professional credibility and thus ensures the legitimacy and reliability of their work. On the other hand, a vague or absent CVD framework may lead to legal uncertainty, and this hinder or even prevent the reporting of vulnerabilities. この報告書では、セキュリティ研究者が脆弱性を合法的に報告するための誘因や障害も取り上げている。研究者にとって、脆弱性の発見と公開を公に証明することは、専門家としての信頼性を高め、その研究の正当性と信頼性を保証する重要な推進力となっている。一方、CVDの枠組みが曖昧であったり、存在しなかったりすると、法的な不確実性が生じ、脆弱性の報告が妨げられたり、阻止されたりする可能性がある。
Background 背景
The report builds upon previous work performed by ENISA in the field of vulnerabilities. ENISA issued a report on good practices on vulnerability disclosure in the EU in April 2022. In addition, the limitations and opportunities of the vulnerability ecosystem were analysed in the ENISA 2019 State of Vulnerabilities report.   本報告書は、脆弱性の分野でENISAが実施した過去の作業を基に作成されている。ENISAは、2022年4月にEUにおける脆弱性開示に関するグッドプラクティスに関する報告書を発行した。さらに、脆弱性エコシステムの限界と機会については、ENISA 2019 State of Vulnerabilitiesレポートで分析した。  
Further information さらに詳しい情報
Developing National Vulnerability Programmes and Initiatives – ENISA report 2023 国家脆弱性プログラムおよびイニシアチブの開発 - ENISAレポート2023
Vulnerability Disclosure in the EU – An overview of National Vulnerability Disclosure Policies in the EU – ENISA report 2022 EUにおける脆弱性開示 - EUにおける各国の脆弱性開示政策の概要 - ENISAレポート2022年版
State of Vulnerabilities 2018/2019 - Analysis of Events in the life of Vulnerabilities 脆弱性の状態 2018/2019 - 脆弱性の生涯における事象の分析
Economics of Vulnerability Disclosure 脆弱性開示の経済学
Good Practice Guide on Vulnerability Disclosure. From challenges to recommendations 脆弱性開示に関するグッドプラクティスガイド。課題から提言へ
Directive on measures for a high common level of cybersecurity across the Union (NIS2) 欧州連合全体におけるサイバーセキュリティの高い共通レベルのための措置に関する指令(NIS2)
Cyber Resilience Act (CRA) サイバーレジリエンス法(CRA)

 

・2023.02.16 Developing National Vulnerabilities Programmes

Developing National Vulnerabilities Programmes 国家脆弱性プログラムの開発
Based on the experiences and perspectives gathered from industry players and national governments, as well as on the documentation developed by multiple actors involved with national vulnerability initiatives and programmes, the EU Coordinated Vulnerability Disclosure (CVD) ecosystem remains fragmented. Although interesting approaches and initiatives are taking place in some EU Member States, yet further steps can be done towards an integrated EU vision and action. 業界関係者や各国政府から集められた経験や見解、また各国の脆弱性イニシアティブやプログラムに関わる複数の関係者によって作成された文書によると、EUの協調的脆弱性開示(CVD)エコシステムは依然として断片的なままであることがわかります。いくつかのEU加盟国では、興味深いアプローチや取り組みが行われているが、EUの統合的なビジョンと行動に向けて、さらなるステップを踏むことが可能である。

 

・[PDF]

20230217-42614

・[DOCX] 仮訳

 

 

目次...

1 INTRODUCTION  1 序論 
1.1 CONTEXT AND OBJECTIVES  1.1 背景と目的 
1.2 TARGET AUDIENCE  1.2 対象読者 
1.3 REPORT STRUCTURE  1.3 報告書の構成 
1.4 METHODOLOGICAL APPROACH  1.4 方法論的アプローチ 
2 NATIONAL CVD POLICY IMPLEMENTATION – THE INDUSTRY  PERSPECTIVE  2 国家のCVD政策の実施 - 産業界の視点 
2.1 CONTEXT  2.1 前提条件 
2.2 ASSESSMENT OF NATIONAL POLICIES  2.2 国家政策の評価 
2.3 GOOD PRACTICES WHEN DEVELOPING AND IMPLEMENTING A NATIONAL COORDINATED  VULNERABILITY DISCLOSURE POLICY  2.3 国家的な協調による脆弱性開示政策を策定し、実施する際のグッドプラクティス 
2.4 CHALLENGES FACED WHEN DEVELOPING AND IMPLEMENTING A NATIONAL COORDINATED  VULNERABILITY DISCLOSURE POLICY  2.4 国家レベルで調整された脆弱性開示政策を策定し、実施する際に直面する課題 
3 ADDRESSING LEGAL CHALLENGES FOR SECURITY  RESEARCHERS  3 セキュリティ研究者のための法的課題への対応 
3.1 CONTEXT  3.1 文脈 
3.2 INCENTIVES FOR SECURITY RESEARCHERS TO LEGALLY REPORT VULNERABILITIES  3.2 セキュリティ研究者が合法的に脆弱性を報告するための誘因 
3.3 DISINCENTIVES PREVENTING LEGAL REPORTING OF VULNERABILITIES  3.3 脆弱性の合法的な報告を妨げている阻害要因 
3.4 INITIATIVES ADDRESSING THE LACK OF LEGAL PROTECTIONS  3.4 法的保護の欠如に対処するための取り組み 
4 ADDRESSING COLLABORATIVE CHALLENGES: THE USE OF  OPEN-SOURCE SOFTWARE AND BUG-BOUNTY PROGRAMS  4 共同の課題への取り組み。オープンソースソフトウェアとバグバウンティプログラムの利用 
4.1 OPEN-SOURCE SOFTWARE – OSS  4.1 オープンソースソフトウェア - OSS 
4.1.1 Context  4.1.1 コンテクスト 
4.1.2 Vulnerabilities’ impact, management and treatment within OSS  4.1.2 OSS における脆弱性の影響、管理、処置 
4.1.3 Usage of ‘software bill of materials’ within the context of OSS  4.1.3 OSS の文脈における「ソフトウェア部品表」の使用法 
4.1.4 Governance under the perspective of OSS  4.1.4 OSS の観点からのガバナンス 
4.1.5 Instances of OSS vulnerabilities within public and private organisations  4.1.5 公共・民間組織における OSS 脆弱性の事例 
4.2 CONSIDERATIONS ON OUTSOURCING SECURITY VIA BUG BOUNTY PROGRAMMES  4.2 バグバウンティプログラムによるセキュリティのアウトソーシングに関する考察 
4.2.1 Context  4.2.1 コンテクスト 
4.2.2 Structure of bug bounty programmes  4.2.2 バグバウンティプログラムの構造 
4.2.3 Security-by-design  4.2.3 デザインによるセキュリティ 
4.2.4 Bug bounty programmes in public administrations  4.2.4 行政機関におけるバグバウンティプログラム 
4.2.5 Bug bounty programmes challenges  4.2.5 バグバウンティプログラムの課題 
4.2.6 Evolution of bug bounty programmes  4.2.6 バグ報奨金制度の進化 
5 ADDRESSING TECHNICAL CHALLENGES: AUTOMATION INITIATIVES SUPPORTING PRIORITISATION AND TREATMENT OF VULNERABILITIES  5 技術的課題への対応 脆弱性の優先順位付けと対処を支援する自動化の取り組み 
5.1 CONTEXT  5.1 背景 
5.2 AUTOMATED PROCESSES WITHIN VULNERABILITY MANAGEMENT  5.2 脆弱性管理におけるプロセスの自動化 
5.3 COORDINATED VULNERABILITY DISCLOSURE TOOLS FOSTERING THE USAGE OF  AUTOMATED WORKFLOWS WITHIN VULNERABILITY PRIORITISATION AND TREATMENT  5.3 脆弱性の優先順位付けと治療における自動化ワークフローの使用を促進する協調的な脆弱性開示ツール 
6 CONCLUSIONS  6 結論 
7 REFERENCES  7 参考文献 

 

・エグゼクティブサマリー

EXECUTIVE SUMMARY  エグゼクティブサマリー 
Based on the experiences and perspectives gathered from industry players and national governments, as well as on the documentation developed by multiple actors involved with national vulnerability initiatives and programmes, the EU Coordinated Vulnerability Disclosure (CVD) ecosystem remains fragmented. Although interesting approaches and initiatives are taking place in some EU Member States, yet further steps can be done towards an integrated EU vision and action.     業界関係者や各国政府から集めた経験や見解、また、各国の脆弱性イニシアティブやプログラムに関わる複数の関係者が作成した文書によると、EUの協調的脆弱性開示(CVD)エコシステムは、依然として断片的なままであることがわかります。いくつかのEU加盟国では、興味深いアプローチや取り組みが行われているが、EUの統合的なビジョンと行動に向けて、さらなるステップを踏むことが可能である。   
This report shows that, despite recent efforts by national governments in developing CVD policies, some industry players have taken the lead and developed vulnerability policies and programmes at organisation level. Nevertheless, among the top industry expectations is that the development of a national or European level CVD policy could help organisations and public administrations to set vulnerability management as a priority and further encourage security practices. In addition, the alignment of such policies with existing international standards, can greatly help in promoting harmonization.    本報告書では、CVD政策の策定における各国政府の最近の努力にもかかわらず、一部の業界プレーヤーが率先して脆弱性政策や組織レベルのプログラムを策定していることが示されている。とはいえ、業界が最も期待しているのは、国または欧州レベルのCVD政策を策定することで、組織や行政が脆弱性管理を優先課題に設定し、セキュリティ対策をさらに奨励できるようになることである。さらに、このようなポリシーを既存の国際標準と整合させることは、ハーモナイゼーションの推進に大いに役立ちます。  
As far as vulnerability initiatives are concerned, Bug Bounties Programmes (BBP) is an area that grew remarkably over the past few years. BBPs have considerably adapted their business models in offering different type of services, hence different coverages of IT systems and levels of involvement in vulnerability management processes. Today, BBPs platform providers are now cooperating with key public institutions to run customised programmes adapted to their needs and IT infrastructures. Further expansion is expected as long as the community can continue relying on BBPs (i.e., confidentiality of internal information and data protection) and ensuring trust between the stakeholders involved.   脆弱性対策に関する限り、バグバウンティプログラム(BBP)は、過去数年間に著しく成長した分野である。BBPは、さまざまなタイプのサービスを提供することで、そのビジネスモデルを大幅に適応させ、その結果、ITシステムの対象範囲や脆弱性管理プロセスへの関与の度合いも異なっている。現在、BBPのプラットフォームプロバイダーは、主要な公共機関と協力し、そのニーズとITインフラに適合したカスタマイズされたプログラムを運営している。コミュニティがBBPへの信頼(内部情報の機密性、データ保護)を継続でき、関係者間の信頼が確保できる限り、さらなる拡大が期待される。 
In terms of human capital, researchers play a fundamental role in the disclosure of vulnerabilities. Accordingly, it is interesting to understand motivations, incentives and challenges influencing researchers’ contribution. From their perspective, reputation remains as a one of the key incentives to legally report vulnerabilities, as it leads to fame and recognition. However, legal protection is also highly considered, especially because the absence, uncertainty or non-clarity of legal conditions can push to illegal channels.   人的資本の面では、研究者が脆弱性公開の根幹を担っている。したがって、研究者の貢献に影響を与える動機、インセンティブ、課題を理解することは興味深い。研究者の観点からは、名声や認知につながるため、評判は脆弱性を合法的に報告する重要なインセンティブの一つであることに変わりはありません。しかし、特に法的条件の不在、不確実性、非明確性が違法な手段を後押しする可能性があるため、法的保護も非常に重要視されている。 
Collaborative challenges arise in the use of tools to improve vulnerability disclosure processes. For example, when looking into vulnerabilities related to open-source software (OSS) and considering how intertwined commercial and OSS are today, a need to further improve coordination between OSS developers and private vendors was identified. Aspects such as OSS vulnerability handling, responsibility and accountability are not yet clearly defined and among actors involved across the IT product supply chains, which may hinder coordination efforts.    脆弱性の開示プロセスを改善するためのツールの使用において、共同的な課題が発生します。例えば、オープンソースソフトウェア(OSS)に関する脆弱性を調査し、今日、商用とOSSがいかに絡み合っているかを考慮すると、OSS開発者と民間ベンダーとの間の連携をさらに改善する必要性があることが明らかになりました。OSSの脆弱性対応、責任、アカウンタビリティなどの側面は、IT製品のサプライチェーンを超えて関係者間でまだ明確に定義されておらず、調整の努力を阻害する可能性がある。  
Challenges related to technical and technological issues also constitute a key area of discussion and analysis. A forward-looking perspective on the use of automation as an enabler to efficiently manage vulnerability identification, sourcing and classification is also provided by this report. It is observed that, as vulnerability analysis and treatment still require human expertise, the risk of deskilling experts due to automated processes may be minimised.   また、技術的・技能的な課題も重要な議論・分析対象である。本報告書では、脆弱性の特定、調達、分類を効率的に管理するための実現手段としての自動化の利用について、将来を見据えた視点も提供されている。脆弱性の分析と治療には依然として人間の専門知識が必要であるため、自動化されたプロセスによって専門家が不足するリスクは最小化される可能性があることが確認されている。 
Finally, alignment across different legislation as well as cooperation between industry players and governments are needed to avoid silos. Harmonisation of CVD practices, coordination and international cooperation among players are essential priorities both from a legal and technical perspectives. In this regard, ENISA will continue offering advice, publishing guidelines, promoting information sharing, raising awareness, and coordinating CVD-related activities at national and EU level. 最後に、縦割り行政を避けるためには、異なる法律間の調整と、業界関係者と政府間の協力が必要である。CVD実務の調和、関係者間の調整と国際協力は、法律と技術の両面から不可欠な優先事項である。この点に関して、ENISAは引き続き助言を提供し、ガイドラインを発行し、情報共有を促進し、意識を高め、国およびEUレベルでのCVD関連活動の調整を図っていく予定である。

 

 

 

| | Comments (0)

欧州 ENISAとCERT-EUが共同で「脅威アクターによる持続的な活動」を公表

こんにちは、丸山満彦です。

ENISAとCERT-EUが共同で、「Sustained Activity by Threat Actors(脅威アクターによる持続的な活動)」を公表していますね。。。

予防、検知、対応合わせて30くらいの推奨事項が記載されています。。。

また、脅威アクターとしては、APT27、APT31、Ke3chang、GALLIUM、Mustang Pandaが取り上げられていますね。。。

 

ENISA

・2023.02.15 Sustained Activity by Threat Actors

Sustained Activity by Threat Actors 脅威アクターによる持続的な活動
The European Union Agency for Cybersecurity (ENISA) and the CERT of the EU institutions, bodies and agencies (CERT-EU) jointly published a report to alert on sustained activity by particular threat actors. The malicious cyber activities of the presented threat actors pose a significant and ongoing threat to the European Union. 欧州連合サイバーセキュリティ機関(ENISA)とEU機関・団体・機関のCERT(CERT-EU)は共同で、特定の脅威アクターによる持続的な活動について警告する報告書を発表した。今回紹介された脅威アクターの悪質なサイバー活動は、欧州連合(EU)に対して重大かつ継続的な脅威を与えている。
Recent operations pursued by these actors focused mainly on information theft, primarily via establishing persistent footholds within the network infrastructure of organisations of strategic relevance. これらの脅威アクターが最近行った活動は、主に戦略的関連性を持つ組織のネットワークインフラ内に持続的な足場を築くことによる情報の窃取に重点を置いている。
Decision makers and cybersecurity officers are the primary audiences of this joint publication. 意思決定者とサイバーセキュリティ担当者が、この共同出版物の主な読者である。
ENISA and CERT-EU strongly encourage all public and private sector organisations in the EU to apply the recommendations listed in the current joint publication “Sustained Activity by specific Threat Actors.” ENISAとCERT-EUは、EUのすべての公共および民間組織が、今回の共同出版物 "脅威アクターによる持続的な活動" に記載されている推奨事項を適用することを強く薦める。
By applying these recommendations in a consistent and systematic manner, ENISA and CERT-EU remain confident that organisations will reduce the risk of being compromised by the mentioned Advanced Persistent Threats, APTs, as well as substantially improve their cybersecurity posture and enhance the overall resilience against cyberattacks. ENISAとCERT-EUは、これらの推奨事項を一貫した体系的な方法で適用することにより、組織が前述の高度持続的脅威(APT)に感染するリスクを低減し、サイバーセキュリティ体制を大幅に改善し、サイバー攻撃に対する全体的な耐性を強化することができると確信している。
Background 背景
In 2021, the EU Agency for Cybersecurity and CERT-EU signed an agreement on a structured cooperation to work together on capacity building, operational cooperation and knowledge and information sharing. The provision for a structured cooperation was included in the Cybersecurity Act of 2019. ENISA and CERT-EU meet regularly to agree on joint activities to implement the Annual Cooperation Plans. 2021年、EUサイバーセキュリティ機関とCERT-EUは、能力構築、運用協力、知識・情報共有について協力するための構造的協力に関する協定に調印した。構造的協力の規定は、2019年のサイバーセキュリティ法に盛り込まれた。ENISAとCERT-EUは定期的に会合を開き、年次協力計画を実施するための共同活動について合意している。

 

・2023.02.15 Sustained Activity by Threat Actors- Joint Publication

Sustained Activity by Threat Actors- Joint Publication 脅威アクターによる持続的な活動-共同出版物
ENISA, the EU Agency for Cybersecurity, and CERT-EU, the Computer Emergency Response Team of all the EU institutions, bodies and agencies (EUIBAs), have issued a joint publication to alert on sustained activity by particular threat actors. Malicious cyber activities of the presented threat actors pose a significant and ongoing threat to the European Union. ENISA and CERT-EU strongly encourage all public and private sector organisations in the EU to apply the recommendations listed. EUのサイバーセキュリティ機関であるENISAと、EUのすべての機関・団体・機関(EUIBAs)のコンピュータ緊急対応チームであるCERT-EUは、特定の脅威アクターによる持続的な活動について注意を促すための共同出版物を発表した。提示された脅威アクターの悪質なサイバー活動は、EUに重大かつ継続的な脅威を与えている。ENISAとCERT-EUは、EUのすべての公共および民間組織に対し、記載されている推奨事項を適用することを強く薦める。

 

・[PDF]

20230217-31258

 

JP-23-01 - Sustained activity by specific threat actors  JP-23-01 ・特定の脅威アクターによる持続的な活動 
Summary  概要 
The EU Cybersecurity Agency (ENISA) and the CERT for the EU institutions, bodies and agencies (CERT-EU) would like to draw the attention of their respective audiences on particular Advanced Persistent Threats (APTs), known as APT27, APT30, APT31, Ke3chang, GALLIUM and Mustang Panda. These threat actors have been recently conducting malicious cyber activities against business and governments in the Union.   EUサイバーセキュリティ機関(ENISA)およびEU機関・団体・機関のためのCERT(CERT-EU)は、APT27、APT30、APT31、Ke3chang、GALLIUM、Mustang Pandaとして知られる特定の高度持続的脅威(APT)にそれぞれの視聴者の注意を喚起したいと思いる。これらの脅威アクターは、最近、EU内の企業や政府に対して悪意のあるサイバー活動を行っている。 
On 19 July 2021, the EU has urged Chinese authorities to take actions against malicious cyber activities undertaken from their territory, and linked to APT31 [1]. These malicious cyber activities, which had significant effects, targeted government institutions and political organisations in the EU and Member States, as well as key European industries.   2021年7月19日、EUは中国当局に対し、自国の領土から行われたAPT31に関連する悪質なサイバー活動に対して行動を起こすよう要請した[1]。大きな影響を及ぼしたこれらの悪質なサイバー活動は、EUおよび加盟国の政府機関や政治組織、欧州の主要産業を標的としていた。
On 18 July 2022, Belgium has also urged Chinese authorities to take action against malicious cyber activities undertaken by Chinese actors. These activities can be linked to the hacker groups known as APT 27, APT 30, APT 31, and GALLIUM [2]. Moreover, commercial firms indicated that Ke3chang and Mustang Panda are likely operating from the territory of China [3][4][5].  2022年7月18日、ベルギーも中国当局に対し、中国のアクターによって行われた悪意のあるサイバー活動に対して対策を講じるよう求めている。これらの活動は、APT 27、APT 30、APT 31、GALLIUMとして知られるハッカー集団に関連する可能性がある[2]。さらに、Ke3changとMustang Pandaは、中国の領土から活動している可能性が高いと、商業企業が指摘している[3][4][5]。
These threat actors present important and ongoing threats to the European Union. Recent operations pursued by these actors focused mainly on information theft, primarily via establishing persistent footholds within the network infrastructure of organisations of strategic relevance.  これらの脅威のアクターは、欧州連合に対して重要かつ継続的な脅威を示している。これらの脅威アクターが最近行った作戦は、主に戦略的関連性を持つ組織のネットワーク・インフラ内に持続的な足場を築くことによる情報の窃取に焦点を当てたものであった。
ENISA and CERT-EU call for all public and private sector organisations in the EU to apply the recommendations included in this document in a consistent and systematic manner. These recommendations aim to reduce the risk of being compromised by the mentioned APTs, as well as substantially improve the cybersecurity posture and enhance the overall resilience of these organisations against cyberattacks.   ENISAとCERT-EUは、EUのすべての公共および民間組織に対し、本書に含まれる勧告を一貫して体系的に適用することを要請する。これらの推奨事項は、言及されたAPTによって侵害されるリスクを低減するとともに、サイバーセキュリティの姿勢を大幅に改善し、サイバー攻撃に対するこれらの組織の全体的な回復力を強化することを目的としている。 
Recommendations  推奨事項 
All public and private sector organisations in the EU are strongly advised to follow common cyber hygiene recommendations. Our previously published best practices [24] and the corresponding security guidance [35] provide a solid basis for mitigating cyberattacks.  EUのすべての公共および民間組織は、一般的なサイバー衛生に関する推奨事項に従うことを強くお勧めする。我々が以前発表したベストプラクティス[24]とそれに対応するセキュリティガイダンス[35]は、サイバー攻撃を軽減するための確固たる基礎を提供するものである。
Following the analysis of the available information on the aforementioned threat actors (see below) and of some of their major tactics, techniques, and procedures, ENISA and CERT-EU draw a number of complementary recommendations to foster the defensive capabilities of the intended audience. Each organisation which wants to apply these recommendations is fully responsible for the implementation, according to its business needs and priorities.  前述の脅威主体に関する利用可能な情報(下記参照)と、その主要な戦術、技術、手順の分析に続いて、ENISAとCERT-EUは、意図する対象者の防御能力を育成するための補完的な勧告を多数作成している。これらの勧告を適用しようとする各組織は、そのビジネスニーズと優先順位に従って、実施に全責任を負う。
For best practices issued by the relevant CSIRTs of the EU Member States, please refer to their websites [31].  EU 加盟国の関連 CSIRT が発行するベストプラクティスについては、それぞれのウェブサイト [31]を参照すること。
Additionally, CERT-EU and ENISA emphasise the importance of participating in information sharing communities and reviewing your national/governmental CSIRT’s security guidance [25] and public resources detailing tactics, techniques and procedures associated with the threat actors [26].  さらに、CERT-EU と ENISA は、情報共有コミュニティに参加し、国家/政府 CSIRT のセキュリティガイダンス [25]、脅威要因に関連する戦術、技術、手順を詳述した公開リソース [26] をレビューすることの重要性を強調する。
Prevention  予防
To reduce your cyber risks through good cyber hygiene:  適切なサイバー衛生管理によってサイバーリスクを低減すること。
•       Follow the security best practices proposed by vendors to harden their products and manage highprivileged accounts and key assets.  ・ベンダーが提唱するセキュリティのベストプラクティスに従って、製品の堅牢化を図り、高権限アカウントや重要な資産を管理する。
•       Strive to maintain current asset inventories. The inventories shall include both, physical (i.e. on-prem servers, endpoints, etc.) and virtual assets (i.e. instances in the Cloud, virtual machines, etc.) and installed software. This allows the timely identification of systems impacted by vulnerabilities. A patch prioritisation strategy defined in a policy should particularly cover critical assets like hardware and software directly exposed to the Internet.  ・最新の資産棚卸表を維持するよう努める。資産棚卸表には、物理資産(オンプレミスサーバー、エンドポイントなど)、仮想資産(クラウド上のインスタンス、仮想マシンなど)、インストールされたソフトウェアの両方を含めること。これにより、脆弱性の影響を受けるシステムを適時に特定することができる。ポリシーで定義されたパッチの優先順位付け戦略は、特にインターネットに直接さらされるハードウェアやソフトウェアなどの重要な資産を対象とする必要がある。
•       Block or severely limit egress Internet access for servers or other devices that are seldom rebooted. As they are coveted by threat actors for establishing backdoors, these systems are often used to create persistent beacons to Command and Control (C2) infrastructure.  ・めったにリブートされないサーバやその他のデバイスのインターネットアクセスをブロックする、または厳しく制限する。このようなシステムは、脅威アクターがバックドアを設置するために欲しがっているため、コマンド&コントロール(C2)インフラへの持続的なビーコンを作成するためによく使用される。
•       Follow best practices for identity and access management. A robust password policy shall be enforced for all accounts and multi-factor authentication must be used where applicable. Tightly manage and monitor the lifecycle of all accounts. Promote the use of password managers throughout the organisation.  ・アイデンティティとアクセス管理のベストプラクティスに従うこと。すべてのアカウントに強固なパスワードポリシーを適用し、該当する場合は多要素認証を使用する。すべてのアカウントのライフサイクルを厳重に管理・監視する。組織全体でパスワード管理ソフトの利用を推進する。
•       Adopt a backup strategy and use the 3-2-1 rule approach which states that organisations should keep three complete copies of their data, two of which are locally stored on different types of media, and at least one copy is stored off-site [34].  ・バックアップ戦略を採用し、組織はデータの完全なコピーを3つ保持すべきであり、そのうち2つは異なるタイプのメディアにローカルに保存し、少なくとも1つはオフサイトに保存するという3-2-1ルールのアプローチを使用する [34]。
•       Ensure tight and proper access controls for end users and, most crucially, external third-party contractors with access to internal networks and systems (i.e. managed service and cloud service provider access). Consider requesting proofs for the security claims made by providers of these services.  ・エンドユーザー、そして最も重要なのは、社内のネットワークやシステムにアクセスする外部の第三者契約者(マネージドサービスやクラウドサービスプロバイダーのアクセスなど)に対して、厳重かつ適切なアクセス制御を行うこと。これらのサービスのプロバイダーが主張するセキュリティについて、証明書を要求することを検討する。
•       Segment the network to isolate critical systems, functions, or resources – specifically implement isolation in regards of interconnections with Internet and third parties.  ・重要なシステム、機能、リソースを分離するためにネットワークをセグメント化する。特に、インターネットや第三者との相互接続に関して分離を実施する。
•       Secure your cloud environments before moving critical assets there. Use the strong security controls that are available on cloud platforms and properly segment cloud system management from onpremise system management to ensure that threat actors cannot easily jump from one environment to the other.  ・重要な資産をクラウド環境に移行する前に、クラウド環境のセキュリティを確保する。クラウドプラットフォームで利用可能な強力なセキュリティコントロールを使用し、クラウドシステム管理とオンプレミスシステム管理を適切に区分し、脅威アクターが一方の環境から他方の環境へ容易に移動できないようにする。
•       Implement a resilient email policy that includes adequate mechanisms for filtering and scrutinising malicious content. A secure email gateway can further enhance the protection of the recipients.  ・悪意のあるコンテンツをフィルタリングし、精査するための適切なメカニズムを含む、弾力性のある電子メールポリシーを導入する。安全な電子メールゲートウェイを使用することで、受信者の保護をさらに強化することができる。
•       Consider preventing attacks based on the so-called Pass-the-Ticket technique on Active Directory environments [27].  ・Active Directory 環境におけるいわゆる Pass-the-Ticket テクニックに基づく攻撃を防止することを検討する [27]。
•       Invest in cybersecurity education. This includes encouraging your cybersecurity professionals to enrol in specialised professional training courses in their domain and performing concise awareness campaigns for end users.  ・サイバーセキュリティ教育に投資する。これには、サイバーセキュリティの専門家が各自のドメインで専門的なトレーニングコースを受講することを奨励することや、エンドユーザーに対して簡潔な意識向上キャンペーンを実施することが含まれます。
Detection  検知 
Detection refers to actions that will help expose malicious cyber activities in your network:  検出とは、ネットワークにおける悪意のあるサイバー活動を明らかにするための行動を指す。
•       Implement robust log collection and regularly review alerts triggered by security components. You may refer to ENISA’s guidance on proactive detection (pp. 12 - 18) which comprehensively covers sources of telemetry [36]. It is specifically advisable to collect event logs linked to unauthenticated creation, modification, use, and permission changes associated with privileged accounts, and to review network connections from IP ranges associated with non-corporate VPN Tor, and similar services.  ・堅牢なログ収集を実施し、セキュリティ・コンポーネントによって引き起こされるアラートを定期的に確認する。ENISA のプロアクティブな検知に関するガイダンス(12~18 ページ)には、テレメトリのソースが包括的に記載されている [36]。特に、特権アカウントに関連する認証されていない作成、変更、使用、および権限の変更に関連するイベントログを収集し、企業以外の VPN Tor や同様のサービスに関連する IP 範囲からのネットワーク接続を確認することが推奨される。
•       Monitor the activities of devices in your network with appropriate tools like Endpoint Detection and Response (EDR) and User and Entity Behaviour Analytics (UEBA), since a substantial part of network traffic is encrypted nowadays. This applies to both servers and endpoints. It is crucial to ensure that your EDR is set to alert mode if monitoring or reporting is disabled, or if communication is lost with a host agent for more than a reasonable amount of time.  ・ネットワークトラフィックのかなりの部分が暗号化されているため、EDR(Endpoint Detection and Response)やUEBA(User and Entity Behaviour Analytics)などの適切なツールを使用してネットワーク内のデバイスの活動を監視する。これは、サーバーとエンドポイントの両方に当てはまります。監視やレポートが無効化された場合、またはホストエージェントとの通信が一定時間以上途絶えた場合、EDRがアラートモードに設定されていることを確認することが極めて重要である。
•       Use carefully curated cyber threat intelligence to proactively search your logs for possible signs of compromise.  ・慎重に管理されたサイバー脅威インテリジェンスを使用して、侵害の可能性がある兆候をログから積極的に検索する。
•       Detect traces of compromise in your network through well-conceived, regular threat hunting based, for example, on the MITRE ATT&CK® framework [26].  ・MITRE ATT&CK® フレームワーク [26] などに基づき、よく練られた定期的な脅威ハンティングを行い、ネットワーク内の侵害の痕跡を検出する。
•       Use intrusion detection signatures and NetFlow to spot suspicious traffic at network boundaries and detect conditions that may indicate software exploitation or data exfiltration.  ・侵入検知シグネチャと NetFlow を使用して、ネットワーク境界における疑わしいトラフィッ クを発見し、ソフトウェア搾取やデータ流出を示す可能性がある状況を検出する。
•       Prevent and detection PowerShell based attacks [28], in order to stop attackers from gaining full control of a Windows-based infrastructure or business-related operator accounts.  ・攻撃者が Windows ベースのインフラストラクチャやビジネス関連のオペレーターアカウントを完全に制御することを阻止するために、PowerShell ベースの攻撃 [28] を防止および検出する。
•       Invest in detecting lateral movements which exploit NTLM and Kerberos protocols in a Windows environment [29].  ・Windows 環境における NTLM と Kerberos プロトコルを悪用した横方向の動きを検知するための投資を行う [29]。
•       Train your users to immediately report any suspicious activity to your local cybersecurity team.  ・不審な動きがあれば、すぐに現地のサイバーセキュリティチームに報告するよう、ユーザーを教育する。
Response  対応 
Incident response is composed of several phases: Preparation, Identification, Containment, Clean-up, Recovery, and Lessons learned. To successfully respond to an incident, ENISA and CERT-EU strongly advise to:  インシデント対応は、いくつかのフェーズで構成される。インシデント対応は、準備、特定、封じ込め、後始末、復旧、そして教訓の段階から構成される。ENISAとCERT-EUは、インシデントへの対応を成功させるために、次のことを強く推奨する。
•       Create and maintain an incident response plan. Ensure you have documented the procedures to reach out and swiftly communicate with your national or governmental CSIRT [31], and to provide access to forensics evidence when asked by relevant parties. The security white paper "Data Acquisition Guidelines for Investigation Purposes" contains related technical guidelines [30]. At the minimum, you should have an up-to-date list of key contacts for your strategic suppliers and service providers. Prepare and verify these procedures are tested and known to all the local incident handlers.  ・インシデント対応計画を作成し、維持すること。国または政府の CSIRT [31]と連絡を取り、迅速に連絡し、関係者から要請があればフォレンジック証拠へのアクセスを提供する手順を文書化しておくことを確認する。セキュリティ白書「調査目的のデータ取得ガイドライン」は、関連する技術的なガイドラインを含んでいる [30]。最低限、戦略的サプライヤーとサービスプロバイダーの重要な連絡先の最新リストを持っている必要がある。これらの手順がテストされ、現地のインシデント対応担当者全員に周知されていることを準備し、確認する。
•       Be able to assess the incident severity, for example based on its scale and impact. Handling of more advanced attacks may require engaging external security service providers who may offer professional advice and personnel. A suitable service provider should have solid experience in APT handling, and expertise in memory, storage and network forensics, as well as log data collection and analysis. Operating system experts – and Active Directory log analysis experts in particular – can be of great help too.  ・インシデントの規模や影響度などに基づいて、インシデントの重大性を評価できるようにしておく。より高度な攻撃への対処には、専門的な助言と人材を提供する外部のセキュリティサービスプロバイダーとの連携が必要になる場合がある。適切なサービス・プロバイダーは、APTへの対応に関する確かな経験を持ち、メモリ、ストレージ、ネットワークのフォレンジック、ログ・データの収集と分析に関する専門知識を備えている必要がある。また、OSの専門家、特にActive Directoryのログ解析の専門家も大きな助けになります。
•       Avoid common mistakes in incident handling such as: ・次のようなインシデント対応における一般的な誤りを避ける:
o ignoring a security event without assessing what triggered it and the potential impact;  ・・セキュリティイベントが発生した原因や潜在的な影響を評価せずに無視する 
o pre-emptively blocking or probing infrastructure used by threat actors (pinging, making DNS queries, browsing, etc.);  ・・脅威アクターが使用するインフラ(Ping、DNS クエリー、ブラウジングなど)を先回りしてブロックまたはプロービングする。
o mitigating the affected systems before responders can collect and/or recover evidence;  ・・対応担当者が証拠を収集・回復する前に、影響を受けたシステムの機能を停止させる。
o ignoring telemetry sources, such as network, system and access logs;  ・・ネットワーク、システム、アクセスログなどの遠隔測定ソースを無視する。
o fixing the symptoms, ignoring the root causes and doing partial containment and recovery;  ・・根本的な原因を無視して症状を修正し、部分的な封じ込めと復旧を行う。
o forgoing keeping a detailed record of actions taken and the event timeline.  ・・実施した措置やイベントのタイムラインなどの詳細な記録を取らないこと。
•       Incident response requires communication among several internal stakeholders and it is strongly recommended to have clear, concise communication guidelines prepared and tested in advance.  ・インシデント対応には、社内の複数の関係者間でのコミュニケーションが必要であり、事前に明確で簡潔なコミュニケーションガイドラインを作成し、テストすることが強く推奨される。
If personal data is in the scope of the incident, seek the advice of your Data Protection Officer and/or your legal team.  個人情報がインシデントの範囲に含まれる場合は、データ保護責任者及び/又は法務チームの助言を求める。

[1] https://www.consilium.europa.eu/en/press/press-releases/2021/07/19/declaration-by-the-high-representative-onbehalf-of-the-eu-urging-china-to-take-action-against-malicious-cyber-activities-undertaken-from-its-territory/

[2] https://diplomatie.belgium.be/en/news/declaration-minister-foreign-affairs-malicious-cyber-activities

[3] https://blog.talosintelligence.com/mustang-panda-targets-europe/

[4] https://www.proofpoint.com/us/blog/threat-insight/good-bad-and-web-bug-ta416-increases-operational-tempoagainst-european

[5] https://www.secureworks.com/blog/bronze-president-targets-russian-speakers-with-updated-plugx

 

[24] https://www.enisa.europa.eu/publications/boosting-your-organisations-cyber-resilience

[25] https://github.com/enisaeu/CNW#security-best-practices

[26] https://attack.mitre.org/groups/

[27] https://cert.europa.eu/static/WhitePapers/UPDATED%20-%20CERT-EU_Security_Whitepaper_2014-007_Kerberos_Golden_Ticket_Protection_v1_4.pdf

[28] https://cert.europa.eu/static/WhitePapers/CERT-EU-SWP2019-001.pdf

[29] https://cert.europa.eu/static/WhitePapers/CERT-EU_SWP_17-002_Lateral_Movements.pdf

[30] https://cert.europa.eu/static/WhitePapers/CERT-EU-SWP2012-004.pdf

[31] https://csirtsnetwork.eu/

 

[34] https://www.enisa.europa.eu/securesme/cyber-tips/strengthen-technical-measures/secure-backups

[35] https://www.cert.europa.eu/static/WhitePapers/TLP-WHITE-CERT-EU_Security_Guidance-22-001_v1_0.pdf

 

 

CERT-EU

・2023.02.15 Sustained activity by specific threat actors

・[PDF] Sustained activity by specific threat actors—Joint Publication JP-23-01

 

 

 

| | Comments (0)

NEDO SIP第2期サイバー・フィジカル・セキュリティ対策検討ガイドブック 〜セキュリティ製品導入のための手引き〜

こんにちは、丸山満彦です。

NEDOの戦略的イノベーション創造プログラム(SIP)第2期/IoT社会に対応したサイバー・フィジカル・セキュリティWGがの「SIP第2期サイバー・フィジカル・セキュリティ対策検討ガイドブック 〜セキュリティ製品導入のための手引き〜」の報告書とVideoが公開されていますね。。。

読み物として読みやすいですね。。。

 

NEDO

・2023.02.09 [PDF] 【エグゼクティブサマリー】サイバー・フィジカル・セキュリティ対策検討ガイドブック

20230217-13430

 

 

・2023.02.09 [PDF] サイバー・フィジカル・セキュリティ対策検討ガイドブック

20230217-13947

目次...

はじめに
1
)目的
2
)本ガイドブックの対象読者
3
)本ガイドブックの全体構成

第1章 IoT や OT システムの危険性
1.1.
近年のサイバー攻撃の傾向
1.2.
攻撃における被害の拡大

第2章 IoT や OT に関するサイバー・セキュリティ対策の現状
2.1.
サイバー・フィジカル・システムの急速な普及
2.2.
サイバー・フィジカル・システムの急速な普及に伴う課題
2.3.
サイバー・フィジカル・セキュリティ対策に関する規格・ガイドライン
2.4.
サイバー・フィジカル・セキュリティ対策フレームワーク

第3章 SIP 技術を用いたサイバー・フィジカル・セキュリティの対策例
3.1.
悪意ある人物による機器に対する直接攻撃への対策
3.2.
サプライチェーンフェーズでの悪意のあるソフトウェア混入への対策
3.3.
リモートメンテナンスの脆弱性への対策
3.4.
自社で脆弱性を検討できないことによる放置リスクへの対策
3.5.
不適正な組織・事業者の接続への対策
3.6.
サプライチェーン上で流通するデータ改ざんへの対策

第4章 対策の企画・導入の進め方
4.1.
リスクアセスメント
4.2.
リスク対応

第5章 まとめ

付録:ソリューションの技術説明
ソリューション①:既存機器のインターフェース部に外付け可能な通信暗号化コネクタシステム(SCU)
ソリューション②:IoT 機器向けの改ざん検知ソフトウェア(サービス)(NTT)
ソリューション③ : IoT OT システムにおける セキュリティ異常対処支援サービス(NTT)
ソリューション④:信頼できる取引ネットワーク構築サービス(富士通)
ソリューション⑤:サプライチェーン・トラスト・ソリューション(日立製作所)


 

エグゼクティブサマリーから...

Fig01_20230217015801

 

 

ちなみに、この戦略的イノベーション創造プログラム(SIP)第2期/IoT社会に対応したサイバー・フィジカル・セキュリティは、情報セキュリティ大学院大学の後藤先生がリーダーですね。。。

事業期間は2018年度~20222年度の5年、5年間のプロジェクト総額が、約108億円となります。。。成果を公表していますね。。。

NEDO

プロジェクト紹介

戦略的イノベーション創造プログラム(SIP)第2期/IoT社会に対応したサイバー・フィジカル・セキュリティ

 


■ 研究開発テーマ

(A)「信頼の創出・証明」技術の研究開発

個々のIoT機器やサービスのセキュリティを強化し、多様なIoTシステム/サービスやサプライチェーン全体のセキュリティ確保を実現する上で必要な信頼創出・証明技術を研究開発します。

(B)「信頼チェーンの構築・流通」技術の研究開発

多様な社会インフラやサービス、幅広いサプライチェーンのセキュリティを確保するため、IoTシステム/サービスや調達・構築に関わるサプライチェーンにおいて「信頼チェーン」を構築し、必要な情報をセキュアに流通させる技術を研究開発します。

(C)「信頼チェーンの検証・維持」技術の研究開発

IoTシステム/サービス及びサプライチェーンにおいて、「信頼チェーン」が安全に運用されていることを検証し、維持することを可能とする技術を研究開発します。


 

お知らせから、成果物までまとまっている。。。と言うか、全部、モリモリのポータル。。。

ポータル

 

過去の成果物  ●製作者 ×委託先

タイトル 報告書管理番号 日本電気株式会社 国立研究開発法人産業技術総合研究所 一般社団法人重要生活機器連携セキュリティ協議会 株式会社サイバー創研 日本シノプシス合同会社 株式会社情報通信総合研究所
2022年度 海外動向調査及び分析 20220000001068          
2022年度 OSSの管理手法及びCSIRT・PSIRT連携等に関する調査 20220000001048          
2021年度~2022年度 OSSの技術検証のあり方等に関する調査 20220000000436   X      
2021年度 海外動向調査 20220000000293     X    
2021年度調 広報戦略に関する調査 20220000000176            
2020年度 サプライチェーンにおけるOSSの活用状況調査 20210000000487       X  
2020年度 OSSの技術検証、CSIRT・PSIRT連携等に関する調査 20210000000463       X  
2020年度 社会実装に向けた課題・要望に関する調査 20210000000369            
2020年度 海外動向調査 20210000000320     X    
2020年度 実証と成果普及の戦略調査 20210000000288            
2019年度 標準化動向調査 20200000000206         X
2019年度 実証実験計画に向けた動向調査 20200000000205     X    
2019年度 広報戦略調査 20200000000006            
平成30年度 動向調査報告書 20190000000711 X        

 

  実績・予算
(百万円)
特許数 論文数
2018年度 2,500 0 0
2019年度 2,200 3 5
2020年度 2,255 7 11
2021年度 1,980 5 13
2022年度 1,822    
合計 10,757 15 29

 

 

参考情報

・2018.10.22 決定「戦略的イノベーション創造プログラム(SIP)第2期/IoT社会に対応したサイバー・フィジカル・セキュリティ」に係る実施体制の決定について

プロジェクト開始段階でのテーマと委託先案...

No. テーマ名 日本電信電話株式会社 日本電気株式会社 株式会社日立製作所 株式会社KDDI総合研究所 富士通株式会社 三菱電機株式会社株式会社 電子商取引安全技術研究組合 国立研究開発法人産業技術総合研究所
1 (A1) IoTサプライチェーンの信頼の創出技術基盤の研究開発             X X
2 (A2) IoT機器等向け真贋判定による信頼の証明技術の研究開発 X X            
3 (A3) プロシージャ適格性保証による信頼の証明技術の研究開発   X X X        
4 (B1) 分野毎の特性を踏まえた信頼チェーンの構築技術の研究開発   X X X        
5 (B2) 信頼チェーンに関わる情報の安全な流通技術研究開発         X      
6 (C1) 信頼チェーンの検証技術の研究開発   X X X        
7 (C2) 信頼チェーンの維持技術の研究開発 X X X     X    
8 (D)『サイバー・フィジカル・セキュリティ対策基盤』に関わる動向調査   X            

 

様々な情報がありますね。。。

 

| | Comments (0)

2023.02.16

JNSA ISOG-J セキュリティ対応組織の教科書第3.0版

こんにちは、丸山満彦です。

日本ネットワークセキュリティ協会 (JNSA) と日本セキュリティオペレーション事業者協議会 (ISOG-J) が「セキュリティ対応組織の教科書第3.0版」を公開しましていますね。。。

2021年10月に公開されたITU-T勧告X.1060、X.1060の日本語版の標準となるTTC標準JT-X1060に合わせた形での全面的な改版と言うことのようです。。。

ISOG-J

・2023.02.13 セキュリティ対応組織の教科書 第3.0版 (2023年2月)

・[PDF]

20230216-22223

 

目次...

1. はじめに

2. セキュリティ対応組織の存在意義
2.1.
「セキュリティ対応組織」とは
2.2.
セキュリティ対応組織の存在意義
2.3.
本書でのセキュリティ対応組織の位置付け
2.4.
実際の例
 2.4.1.
日本におけるセキュリティ対応組織の例

3. セキュリティ対応組織のサイクル
3.1.
サイクルの全体像
3.2.
セキュリティ対応組織の構築
 3.2.1.
構築プロセスの全体像
 3.2.2. サービスカタログの作成
 3.2.3. サービスプロファイルの作成
 3.2.4. サービスポートフォリオの作成

3.3.
セキュリティ対応組織のマネジメント
 3.3.1.
マネジメントプロセスの全体像
 3.3.2. マネジメントプロセスのフェーズとサイクル

3.4.
セキュリティ対応組織の評価
 3.4.1.
評価プロセスの全体像
 3.4.2. ギャップ分析と見直し

4. セキュリティ対応組織のカテゴリー
4.1.
カテゴリーの全体像
4.2.
カテゴリーとセキュリティ対応の実行サイクル

5. セキュリティ対応組織のサービス
5.1.
サービスの全体像
5.2.
サービスの推奨レベル
 5.2.1.
推奨レベルの考え方

6. セキュリティ対応組織の役割分担と体制
6.1.
これまでの日本における SOCCSIRT とサービスの関係
6.2.
セキュリティ対応における役割分担の考え方
6.3.
セキュリティ対応の組織パターン
6.4.
セキュリティ対応における役割分担
6.5.
セキュリティ対応組織の体制
 6.1.1.
フラットな組織の例
 6.1.2. X.1060/JT-X1060 で割り当てる基本パターン例

6.6.
セキュリティ対応組織の要員数

7. カテゴリーおよびサービスの関連
7.1.
インシデント対応フロー
 7.1.1.
「ランサムウェアによる被害」の例
 7.1.2. 「ウェブサービスからの個人情報の窃取」の例
 7.1.3. 「サプライチェーンでインシデント発生」の例

7.2.
平常時の対応につて
 7.2.1.
脆弱性対応(パッチ適用など)
 7.2.2. 事象分析
 7.2.3. 普及啓発
 7.2.4. 注意喚起
 7.2.5. その他インシデント関連業務(予行演習)

8. セキュリティ対応組織のアセスメント
8.1.
アセスメントの目的
8.2.
アセスメントの流れ
8.3.
各サービスの実行レベル

9. おわりに

参考文献

付録 カテゴリーとサービスリストの詳細
カテゴリー
 A. CDC
の戦略マネジメント
 B. 即時分析
 C. 深掘分析
 D. インシデント対応
 E. 診断と評価
 F. 脅威情報の収集および分析と評価
 G. CDC プラットフォームの開発・保守
 H. 内部不正対応支援
 I. 外部組織との積極的連携

サービスリスト
 A. CDC
の戦略マネジメント
 B. 即時分析
 C. 深掘分析
 D. インシデント対応
 E. 診断と評価
 F. 脅威情報の収集および分析と評価
 G. CDC プラットフォームの開発・保守
 H. 内部不正対応支援
 I. 外部組織との積極的連携



 

 

経済産業省の「サイバーセキュリティ経営ガイドライン Ver2.0 が付録 F サイバーセキュリティ体制構築・人材確保の手引き 第2版」(経済産業省)なども含めて引用されていますね。。。

経営ガイドラインの影響は大きくなってきているので、多くの人の叡智を集めて良いものとなるようにと思っています。。。

 

| | Comments (0)

SECが2023年度の審査強化項目を公表していますね。。。 引き続きサイバーセキュリティも含まれています。。。(2023.02.07)

こんにちは、丸山満彦です。

SECの審査項目は民主党の重点政策項目に連動しますから、気候変動リスク関連やESG等は引き続きですね。。。COVID-19時代になってサイバー攻撃、例えばランサムウェアが増えていることもあり、引き続きサイバーセキュリティ・情報セキュリティ関係は含まれていますね。。。そして、バイデン政権が力を入れることにした暗号資産も重点項目になっていますね。。。

重点項目は

2023  
New Investment Adviser and Investment Company Rules 新投資顧問・投資会社規則
RIAs to Private Funds プライベート・ファンド向けRIA(登録投資顧問)
Retail Investors and Working Families 個人投資家とワーキングファミリー
Environmental, Social, and Governance (ESG) 環境・社会・ガバナンス(ESG)
Information Security and Operational Resiliency 情報セキュリティと業務回復力
Emerging Technologies and Crypto-Assets 先端技術と暗号資産
2022  
A. Private Funds A. プライベート・ファンド
B. Environmental, Social, and Governance (ESG) Investing B. 環境・社会・ガバナンス (ESG) 投資
C. Standards of Conduct: Regulation Best Interest, Fiduciary Duty, and Form CRS C. 行動基準:ベスト・インタレスト規制、受託者責任、フォームCRS
D. Information Security and Operational Resiliency D. 情報セキュリティと業務回復力
E. Emerging Technologies and Crypto-Assets E. 先端技術と暗号資産
2021  
Retail Investors, Including Seniors and Those Saving for Retirement, Through Reg. BI and Fiduciary Duty Compliance 高齢者や老後のために貯蓄をしている個人を含む個人投資家
Information Security and Operational Resiliency 情報セキュリティと業務回復力
Financial Technology (Fintech) and Innovation, Including Digital Assets デジタル資産を含む金融テクノロジー(FINTECH)とイノベーション
Anti-Money Laundering Programs マネーロンダリング対策
The London Inter-Bank Offered Rate (LIBOR) Transition ロンドン銀行間取引金利(LIBOR)の移行
Focus Areas Relating to Investment Advisers and Investment Companies RIASと投資会社に関連するその他の重点分野

と言う感じのようですね。。。

 

SEC

・2023.02.07 (press) SEC Division of Examinations Announces 2023 Priorities

「ESG」、「情報セキュリティと業務回復力」、「先端技術と暗号資産」の部分。。。

Environmental, Social, and Governance (ESG) – The Division will continue its focus on ESG-related advisory services and fund offerings, including whether funds are operating in the manner set forth in their disclosures. In addition, the Division will assess whether ESG products are appropriately labeled and whether recommendations of such products for retail investors are made in the investors’ best interests. 環境・社会・ガバナンス(ESG):当部門はESG関連のアドバイザリーサービスとファンドの提供に引き続き注力し、ファンドが開示に定められた方法で運営されているかどうかも含めて調査する。さらに、ESG商品が適切に表示されているか、個人投資家にそのような商品を推奨することが投資家の最善の利益となるかを評価する。
Information Security and Operational Resiliency – The Division will review broker-dealers’, RIAs’, and other registrants’ practices to prevent interruptions to mission-critical services and to protect investor information, records, and assets. Reviews of broker-dealers and RIAs will include a focus on the cybersecurity issues associated with the use of third-party vendors, including registrant visibility into the security and integrity of third-party products and services and whether there has been an unauthorized use of third-party providers. 情報セキュリティと業務回復力 : 当局は、ブローカー・ディーラー、RIA、およびその他の登録者の、基幹業務の中断を防ぎ、投資家の情報、記録、および資産を保護するための実務を審査する。ブローカーディーラーとRIAの審査では、第三者製品やサービスのセキュリティと整合性に対する登録者の可視性、第三者プロバイダの不正使用の有無など、第三者ベンダーの使用に関連するサイバーセキュリティの問題に焦点が当てられる。
Emerging Technologies and Crypto-Assets – The Division will conduct examinations of broker-dealers and RIAs that are using emerging financial technologies or employing new practices, including technological and on-line solutions to meet the demands of compliance and marketing and to service investor accounts. Examinations of registrants will focus on the offer, sale, recommendation of, or advice regarding trading in crypto or crypto-related assets and include whether the firm (1) met and followed their respective standards of care when making recommendations, referrals, or providing investment advice; and (2) routinely reviewed, updated, and enhanced their compliance, disclosure, and risk management practices. 先端技術と暗号資産:当部門は、コンプライアンスとマーケティングの要求を満たし、投資家口座にサービスを提供するための技術的およびオンラインソリューションを含む、新興金融技術の使用または新しい手法を採用しているブローカーディーラーおよびRIAの調査を実施する。登録者に対する審査は、暗号または暗号関連資産の提供、販売、推奨、または取引に関する助言に焦点を当て、会社が(1)推奨、紹介、または投資助言を行う際にそれぞれの注意基準を満たし、それに従っているか、(2)日常的にコンプライアンス、開示、リスクマネジメントを見直し、更新、強化したかどうかを含むものとする。

 

・[PDF] 2023 EXAMINATION PRIORITIES - Division of Examinations

20230216-10646

MESSAGE FROM THE LEADERSHIP TEAM リーダーシップチームからのメッセージ
DIVISION OF EXAMINATIONS – 2023 EXAMINATION PRIORITIES 審査部門 - 2023年審査の優先順位
I. Notable New and Significant Focus Areas I. 注目すべき新規・重要な重点分野
A. Compliance with Recently Adopted Rules Under the Investment Advisers A. 最近採用された投資顧問法及び投資会社法の規則への対応
Act of 1940 and Investment Company Act of 1940 1940年投資顧問法及び1940年投資会社法の下で最近採択された規則の遵守
B. Registered Investment Advisers to Private Funds B. プライベートファンドへの登録投資アドバイザー
C. Standards of Conduct: Regulation Best Interest, Fiduciary Duty, and Form CRS C. 行動基準 ベスト・インタレスト規制、受託者責任、及びフォーム CRS
1. Regulation Best Interest and Fiduciary Duty 1. ベストインタレスト規制とフィデューシャリー・デューティー
2. Form CRS 2. フォームCRS
D. Environmental, Social, and Governance Investing D. 環境・社会・ガバナンス投資
II. Information Security and Operational Resiliency II. 情報セキュリティと業務回復力
III. Crypto Assets and Emerging Financial Technology III. 暗号資産と新たな金融技術
IV. Investment Advisers and Investment Companies IV. 投資顧問会社及び投資会社
A. Focus Areas for Examinations of Registered Investment Advisers A. 登録投資顧問の審査における重点分野
B. Focus Areas for Registered Investment Companies, Including Mutual Funds and ETFs B. 登録投資会社(ミューチュアル・ファンド及びETFを含む)の重点分野
V. Broker-Dealer and Exchange Examination Program V. ブローカー・ディーラー及び証券取引所審査プログラム
A. Broker-Dealers A. ブローカー・ディーラー
B. National Securities Exchanges B. 国内証券取引所
C. Security-Based Swap Dealers C. セキュリティベースドスワップディーラー
D. Municipal Advisors D. 地方自治体アドバイザー
E. Transfer Agents E. 名義書換代理人
VI. Clearance and Settlement VI. 清算と決済
VII. Regulation Systems Compliance and Integrity VII. 規制システムのコンプライアンスと完全性
VIII. Financial Industry Regulatory Authority (FINRA) and Municipal Securities Rulemaking Board (MSRB) VIII. 金融業界規制機構(FINRA)および地方証券規則制定委員会(MSRB)について
IX. Anti-Money Laundering IX. マネーロンダリング防止
X. The London Interbank Offered Rate Transition X. ロンドン銀行間取引金利の変遷
XI. Conclusion XI. おわりに




2022年度 プレス [PDF]
2021年度 プレス [PDF]
2020年度 プレス [PDF]
2019年度 プレス [PDF]
2018年度 プレス [PDF]
2017年度 プレス [PDF]

 


まるちゃんの情報セキュリティ気まぐれ日記

・2022.04.05 SECが2022年度の審査強化項目を公表していますね。。。 引き続きサイバーセキュリティも含まれています。。。(2022.03.31)

・2021.03.12 SECが2021年度の審査強化項目を公表していますね。。。 引き続きサイバーセキュリティも含まれています。。。at 2021.03.03


 

この部分については、

II. Information Security and Operational Resiliency II. 情報セキュリティと業務回復力
III. Crypto Assets and Emerging Financial Technology III. 暗号資産と新たな金融技術

こちらに。。。↓

Continue reading "SECが2023年度の審査強化項目を公表していますね。。。 引き続きサイバーセキュリティも含まれています。。。(2023.02.07)"

| | Comments (0)

2023.02.15

デジタル庁のウェブページで公開されている海外での河野太郎デジタル大臣のDFFTに関するプレゼン、ディスカッションが興味深い

こんにちは、丸山満彦です。

デジタル庁のウェブページに河野太郎デジタル大臣が、1月ワシントンのCenter for Strategic and International Studies: CSISWorld Economic Forum: WEFで議論していますが、興味深いです。。。

ぜひぜひ。。。特に、CSIS。WEFは、他の講演者の方が結構話をしているので、河野さんの発言の部分は短いです。。。

 

デジタル庁

・2022.02.14 Global Site(International Strategy):World Economic Forum “Data Collaboration: Lessons from the Field”

 

Fig01_20230215141301

 

CSISでのプレゼン、ディスカッション

● CSIS

・[YouTube] Leading Japan's Digital Transformation: A Discussion with Kono Taro



WEFでのディスカッション

● WEF

・[YouTube] Data Collaboration: Lessons from the Field | World Economic Forum (weforum.org)

31分くらいからの河野さんの話も日本でも話されていることですが、興味深いです。。。




 

| | Comments (0)

欧州議会 サイバーセキュリティ:主な脅威と新たな脅威 (2023.01.27)

こんにちは、丸山満彦です。

欧州議会が、「サイバーセキュリティ:主な脅威と新たな脅威」と題して、8つの脅威について簡単な説明を加えて、注意喚起をしていますね。。。

主な脅威と新たな脅威として選ばれた8つの脅威は、

1. Ransomware: hackers seize control of someone’s data and demand a ransom to restore access 1. ランサムウェア:ハッカーが誰かのデータを掌握し、アクセスを回復するために身代金を要求する。
2. Malware: software that harms a system 2. マルウェア:システムに害を与えるソフトウェア
3. Social engineering threats: exploiting human error to gain access to information or services 3. ソーシャルエンジニアリングの脅威:ヒューマンエラーを悪用して情報やサービスにアクセスする。
4. Threats against data: targeting sources of data to get unauthorised access and disclosure 4. データに対する脅威:不正アクセスや情報公開を目的としたデータソースの標的化
5. Threats against availability - Denial of Service: attacks preventing users from accessing data or services 5. 可用性に対する脅威 - サービス妨害:ユーザーがデータやサービスにアクセスするのを妨害する攻撃
6. Threats against availability: threats to the availability of the internet 6. 可用性に対する脅威:インターネットの可用性に対する脅威。
7. Disinformation/misinformation: the spread of misleading information 7. 偽情報・誤報:誤解を招く情報の流布
8. Supply-chain attacks: targeting the relationship between organisations and suppliers 8. サプライチェーン攻撃:組織とサプライヤーの関係を標的にした攻撃

ランサムウェアはどこの国でも上位に来ますね。。。

そして注目は、ソーシャルメディア、偽情報、サプライチェーンですかね。。。

 

で、報告があったインシデントが多かった組織順にいうと、、、

1. Public administration/government(24% of incidents reported) 1. 行政/政府(報告されたインシデントの24%)
2. Digital service providers (13%) 2. デジタルサービスプロバイダー (13%)
3. General public (12%) 3. 一般市民(12%)
4. Services (12%) 4. サービス(12%)
5. Finance/banking (9%) 5. 金融/銀行(9%)
6. Health (7%) 6. 健康 (7%)

と言うことで、政府が一番ですが、一般市民も3位に入っていますね。。。

 

European Parliament

・2023.01.27 Cybersecurity: main and emerging threats

Cybersecurity: main and emerging threats サイバーセキュリティ:主な脅威と新たな脅威
Find out about the top cyber threats in 2022, the most affected sectors and the impact of the war in Ukraine. 2022年のサイバー脅威のトップ、最も影響を受けるセクター、ウクライナ戦争の影響について確認すること。
The digital transformation has inevitably led to new cybersecurity threats. During the coronavirus pandemic, companies had to adapt to remote working and this created more possibilities for cybercriminals. The war in Ukraine has also affected cybersecurity. デジタルトランスフォーメーションは、必然的に新たなサイバーセキュリティの脅威を引き起こした。コロナウイルスが大流行した際、企業はリモートワークに適応しなければならず、その結果、サイバー犯罪者の可能性が高まりれた。ウクライナ戦争もサイバーセキュリティに影響を及ぼしている。
In response to the evolution of cybersecurity threats, Parliament adopted a new EU directive introducing harmonised measures across the EU, including on the protection of essential sectors. サイバーセキュリティの脅威の進化に対応するため、議会は、必須部門の保護を含め、EU全体で調和された措置を導入する新しいEU指令を採択した。
Read more on new EU measures to fight cybercrime サイバー犯罪に対抗するためのEUの新たな対策について続きを読む
Top 8 cybersecurity threats in 2022 and beyond 2022年以降のサイバーセキュリティの脅威トップ8
According to the Threat Landscape 2022 report by the European Union Agency for Cybersecurity (Enisa), there are eight prime threat groups: 欧州連合サイバーセキュリティ機関(Enisa)による「Threat Landscape 2022」レポートによると、8つの主要な脅威グループが存在する。
1. Ransomware: hackers seize control of someone’s data and demand a ransom to restore access 1. ランサムウェア:ハッカーが誰かのデータを掌握し、アクセスを回復するために身代金を要求する。
In 2022, ransomware attacks continued to be one of the main cyberthreats. They are also getting more complex. According to a survey quoted by Enisa that was conducted at the end of 2021 and in 2022, over half of respondents or their employees had been approached in ransomware attacks. 2022年、ランサムウェア攻撃は引き続き主要なサイバー脅威の1つであった。また、それらはより複雑化している。エニサが引用した2021年末と2022年に実施された調査によると、回答者の半数以上またはその従業員がランサムウェア攻撃に接近されたことがあるという。
Data quoted by the EU Agency for Cybersecurity shows that the highest ransomware demand grew from €13 million in 2019 to €62 million in 2021 and the average ransom paid doubled from €71,000 in 2019 to €150,000 in 2020. It is estimated that in 2021 global ransomware reached €18 billion worth of damages – 57 times more than in 2015. EUサイバーセキュリティ庁が引用したデータによると、ランサムウェアの最高要求額は2019年の1,300万ユーロから2021年には6,200万ユーロに拡大し、支払われた身代金の平均額は2019年の71,000ユーロから2020年には150,000ユーロに倍増している。2021年の世界のランサムウェアの被害額は180億ユーロ相当に達し、2015年の57倍になると推定されている。
2. Malware: software that harms a system 2. マルウェア:システムに害を与えるソフトウェア
Malware includes viruses, worms, Trojan horses and spyware. After a global decrease in malware linked to the Covid-19 pandemic in 2020 and early 2021, its use increased heavily by the end of 2021, as people started returning to the office. マルウェアには、ウイルス、ワーム、トロイの木馬、スパイウェアなどが含まれます。2020年から2021年初頭にかけて、Covid-19の大流行に連動してマルウェアが世界的に減少した後、2021年末には人々がオフィスに戻り始めると、その利用が大きく増加した。
The rise of malware is also attributed to crypto-jacking (the secret use of a victim’s computer to create cryptocurrency illegally) and Internet-of-Things malware (malware targeting devices connected to the internet such as routers or cameras). マルウェアの増加は、クリプトジャッキング(被害者のコンピュータを秘密裏に使用して暗号通貨を不正に作成すること)やIoTマルウェア(ルーターやカメラなどインターネットに接続されている機器を狙うマルウェア)にも起因している。
According to Enisa, there were more Internet-of-Things attacks in the first six months of 2022 than in the previous four years. ENISAによると、2022年の最初の6カ月間は、過去4年間よりもIoT攻撃が多かったという。
3. Social engineering threats: exploiting human error to gain access to information or services 3. ソーシャルエンジニアリングの脅威:ヒューマンエラーを悪用して情報やサービスにアクセスする。
Tricking victims into opening malicious documents, files or emails, visiting websites and thus granting unauthorised access to systems or services. The most common attack of this sort is phishing (through email) or smishing (through text messages). 被害者をだまして、悪意のある文書、ファイル、電子メールを開かせたり、ウェブサイトを訪問させたりして、システムやサービスへの不正なアクセスを許可させる。この種の攻撃で最も一般的なのは、フィッシング(電子メールを使ったもの)またはスミッシング(テキストメッセージを使ったもの)である。
Almost 60% of the breaches in Europe, the Middle East and Africa include a social engineering component, according to research quoted by Enisa. ENISAが引用した調査によると、ヨーロッパ、中東、アフリカにおける情報漏えいの約60%にソーシャル・エンジニアリングの要素が含まれているとのことである。
The top organisations impersonated by phishers were from the financial and technology sectors. Criminals are also increasingly targeting crypto exchanges and cryptocurrency owners. フィッシャーになりすまされた組織のトップは、金融とテクノロジー部門であった。また、暗号取引所や暗号通貨の所有者を狙う犯罪者も増えている。
4. Threats against data: targeting sources of data to get unauthorised access and disclosure 4. データに対する脅威:不正アクセスや情報公開を目的としたデータソースの標的化
We live in a data-driven economy, producing huge amounts of data that are extremely important for, among others, enterprises and Artificial Intelligence, which makes it a major target for cybercriminals. Threats against data can be mainly classified as data breaches (intentional attacks by a cybercriminal) and data leaks (unintentional releases of data). 我々はデータ駆動型経済の中で生活しており、特にエンタープライズや人工知能にとって極めて重要な膨大な量のデータを生み出しているため、サイバー犯罪者の大きなターゲットになっている。データに対する脅威は、主にデータ侵害(サイバー犯罪者による意図的な攻撃)とデータ漏えい(意図しないデータの流出)に分類される。
Money remains the most common motivation of such attacks. Only in 10% of cases is espionage the motive. このような攻撃の動機として最も一般的なのは、依然として金銭である。諜報活動が動機となっているケースは10%に過ぎない。
5. Threats against availability - Denial of Service: attacks preventing users from accessing data or services 5. 可用性に対する脅威 - サービス妨害:ユーザーがデータやサービスにアクセスするのを妨害する攻撃
These are some of the most critical threats to IT systems. They are increasing in scope and complexity. One common form of attack is to overload the network infrastructure and make a system unavailable. これらは、ITシステムにとって最も重要な脅威の一つである。これらの脅威は、その範囲と複雑さを増している。一般的な攻撃は、ネットワークインフラに負荷をかけ、システムを利用不能にするものである。
Denial of Service attacks are increasingly hitting mobile networks and connected devices. They are used a lot in Russia-Ukraine cyberwarfare. Covid-19 related websites, such as those for vaccination have also been targeted. サービス拒否攻撃は、モバイルネットワークや接続されたデバイスを攻撃することが多くなっている。ロシアとウクライナのサイバー戦でも多く利用されている。予防接種などのCovid-19関連のWebサイトも狙われている。
6. Threats against availability: threats to the availability of the internet 6. 可用性に対する脅威:インターネットの可用性に対する脅威。
These include physical take-over and destruction of internet infrastructure, as seen in occupied Ukrainian territories since the invasion, as well as the active censoring of news or social media websites. 侵攻後のウクライナ占領地で見られたようなインターネットインフラの物理的な乗っ取りや破壊、ニュースやソーシャルメディアサイトの積極的な検閲などが挙げられる。
7. Disinformation/misinformation: the spread of misleading information 7. 偽情報・誤報:誤解を招く情報の流布
The increasing use of social media platforms and online media has led to a rise in campaigns spreading disinformation (purposefully falsified information) and misinformation (sharing wrong data). The aim is to cause fear and uncertainty. ソーシャルメディアプラットフォームやオンラインメディアの利用が増えたことで、偽情報(意図的に改ざんした情報)や誤情報(誤ったデータの共有)を拡散するキャンペーンが増加している。その目的は、恐怖や不安を引き起こすことである。
Russia has used this technology to target perceptions of the war. ロシアはこの技術を使って、戦争に対する認識を標的にしている。
Deepfake technology means it is now possible to generate fake audio, video or images that are almost indistinguishable from real ones. Bots pretending to be real people can disrupt online communities by flooding them with fake comments. ディープフェイク技術とは、本物とほとんど見分けがつかない偽の音声、映像、画像を生成することが可能になったということである。実在の人物になりすれたボットは、偽のコメントでオンライン・コミュニティを混乱させることができます。
Read more about the sanctions against disinformation the Parliament is calling for 国会が求めている偽情報に対する制裁措置についてもっと読む
8. Supply-chain attacks: targeting the relationship between organisations and suppliers 8. サプライチェーン攻撃:組織とサプライヤーの関係を標的にした攻撃
This is a combination of two attacks - on the supplier and on the customer. Organisations are becoming more vulnerable to such attacks, because of increasingly complex systems and a multitude of suppliers, which are harder to oversee. これは、サプライヤーに対する攻撃と顧客に対する攻撃の2つを組み合わせたものである。システムはますます複雑化し、サプライヤーも多数存在するため、監視することが難しくなっており、組織はこのような攻撃に対してより脆弱になってきている。
Top sectors affected by cybersecurity threats サイバーセキュリティの脅威の影響を受けるトップセクター
Cybersecurity threats in the European Union are affecting vital sectors. According to Enisa, the top six sectors affected between June 2021 and June 2022 were: 欧州連合(EU)におけるサイバーセキュリティの脅威は、重要なセクターに影響を及ぼしている。エニサによると、2021年6月から2022年6月の間に影響を受けた上位6セクターは以下の通りである。
1. Public administration/government (24% of incidents reported) 1. 行政/政府(報告されたインシデントの24%)
2. Digital service providers (13%) 2. デジタルサービスプロバイダー(13%)
3. General public (12%) 3. 一般市民(12%)
4. Services (12%) 4. サービス(12%)
5. Finance/banking (9%) 5. 金融/銀行(9%)
6. Health (7%) 6. 健康 (7%)
Read more on the costs of cyberattacks サイバー攻撃のコストについての詳細はこちら
The impact of the war in Ukraine on cyberthreats ウクライナ戦争がサイバー脅威に与える影響
Russia’s war on Ukraine has influenced the cyber sphere in many ways. Cyber operations are used alongside traditional military action. According to Enisa, actors sponsored by the Russian state have carried out cyber operations against entities and organisations in Ukraine and in countries that support it. ロシアのウクライナ戦争は、様々な形でサイバー領域に影響を与えている。サイバー作戦は、従来の軍事行動と並行して利用されている。Enisaによると、ロシア国家がスポンサーとなっている行為者は、ウクライナやそれを支援する国の団体や組織に対してサイバー作戦を実施している。
Hacktivist (hacking for politically or socially motivated purposes) activity has also increased, with many conducting attacks to support their chosen side of the conflict. ハクティビスト(政治的・社会的動機によるハッキング)の活動も活発化しており、多くは紛争で選んだ側を支援するために攻撃を行った。
Disinformation was a tool in cyberwarfare before the invasion started and both sides are using it. Russian disinformation has focused on finding justifications for the invasion, while Ukraine has used disinformation to motivate troops. Deepfakes with Russian and Ukrainian leaders expressing views supporting the other side of the conflict were also used. 偽情報は侵攻が始まる前からサイバー戦のツールであり、双方がそれを利用している。ロシアの偽情報は侵攻を正当化することに重点を置いており、一方ウクライナは部隊のモチベーションを高めるために偽情報を使用している。ロシアとウクライナの指導者が紛争の反対側を支持する意見を表明しているディープフェイクも使われれた。
Cybercriminals tried to extort money from people wanting to support Ukraine via fake charities サイバー犯罪者は、偽のチャリティ団体を通じてウクライナを支援しようとする人々から金銭を強要しようとした。
Cybercrime and cybersecurity サイバー犯罪とサイバーセキュリティ
Enisa: Cybersecurity Threats Fast-Forward 2030  ENISA:サイバーセキュリティの脅威早わかり2030年版 
Europol: cybercrime  欧州警察機構(Europol):サイバー犯罪 

 

 

European-parliament


 

関連するEuropean Parliamentのサイト (最終更新日)

サイバー攻撃、犯罪...

・2022.11.23 Cybersecurity: why reducing the cost of cyberattacks matters

・2022.01.30 Fighting cybercrime: new EU cybersecurity laws explained

DX...

・2022.05.04 Digital transformation: importance, benefits and EU policy

Deepfakes

・2022.03.03 Parliament committee recommends EU sanctions to counter disinformation

・2021.07.30 Tackling deepfakes in European policy

 

関連するENISAのサイト

・2022.11.03 ENISA Threat Landscape 2022


関連するInterpolのサイト

Cryptojacking

 

 

 

 

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

 

脅威について...

・2022.02.12 JNSA 20+3周年記念講演資料公開 「コンピューターセキュリティ、情報システムセキュリティ、ITセキュリティ、ネットワークセキュリティ情報セキュリティ、サイバーセキュリティ、そして…」

 

・2023.01.26 IPA 「情報セキュリティ10大脅威 2023」を公開

・2022.12.24 JNSA 2022セキュリティ十大ニュース

・2022.11.09 オーストラリア ACSC 年次サイバー脅威報告書(2021年7月から2022年6月)

・2022.11.08 ENISA 脅威状況 2022:不安定な地政学がサイバーセキュリティ脅威状況の傾向を揺るがす

・2022.11.01 カナダ サイバーセキュリティセンター 国家サイバー脅威評価 2023-2024

・2022.08.31 シンガポール サイバーセキュリティ庁 2021年シンガポールのサイバーセキュリティ状況

・2022.08.01 ENISA ランサムウェアについての脅威状況

 

FIMI、偽情報関係...

・2022.12.14 ENISA 外国人による情報操作と干渉(FIMI)とサイバーセキュリティ - 脅威状況

 

 

 



| | Comments (0)

欧州 データ法案 欧州議会議員は産業データへの公正なアクセスと利用のための新ルールを支持

こんにちは、丸山満彦です。

欧州議会が、データ法を採択したようですね、2023.03.13-16に開催される本議会で採決されるようですね。。。おそらく可決されると思うので、まもなくデータ法も意識していく必要が出てきたのでしょうかね。。。

 

European Parliament

・2023.02.09 Data Act: MEPs back new rules for fair access and use of industrial data

Data Act: MEPs back new rules for fair access and use of industrial data データ法 欧州議会議員は産業データへの公正なアクセスと利用のための新ルールを支持
・Innovation increasingly relies on data ・イノベーションはますますデータに依存するようになる
・Legislation clarifies who can access data and on what terms ・法律により、誰がどのような条件でデータにアクセスできるかが明確になる
・It will empower a wider range of private and public entities to share data ・データ法は、より広範な民間および公的事業体がデータを共有できるようにする
・MEPs want to preserve incentives for businesses to invest in data generation ・欧州議会議員は、事業者がデータ生成に投資するインセンティブを維持したいと考えている
The “Data Act” aims to boost innovation by removing barriers obstructing consumers and businesses’ access to data. 「データ法」は、消費者や事業者のデータへのアクセスを妨げる障壁を取り除くことにより、イノベーションを促進することを目的としている。
The draft legislation, adopted on Thursday in the Industry, Research and Energy Committee, would contribute to the development of new services, in particular in the sector of artificial intelligence where huge amounts of data are needed for algorithm training. It can also lead to better prices for after-sales services and repairs of connected devices. 木曜日に産業・研究・エネルギー委員会で採択されたこの法案では、特にアルゴリズムの学習に膨大なデータを必要とする人工知能の分野において、新しいサービスの開発に貢献することが期待される。また、コネクテッドデバイスのアフターサービスや修理の価格改善にもつながる。
MEPs adopted measures to allow users to gain access to the data they generate, as 80% of industrial data are never used, according to the European Commission. They also want to ensure contractual agreements are at the centre of business-to-business relations. 欧州委員会によると、産業データの80%は利用されることがないため、欧州議会は、ユーザーが生成したデータにアクセスできるようにするための措置を採択した。また、欧州議会議員は、事業者間関係の中心に契約上の取り決めがあるようにしたいと考えている。
Companies could decide what data can be shared, and the manufacturer choose not to make certain data available “by design”. When companies draft their data-sharing contracts, the law will rebalance the negotiation power in favour of SMEs, by shielding them from unfair contractual terms imposed by companies that are in a significantly stronger bargaining position. 企業はどのようなデータを共有できるかを決め、メーカーは「意図的に」特定のデータを利用できないようにすることを選択することができる。企業がデータ共有契約を作成する際、この法律は、著しく強い交渉力を持つ企業が課す不当な契約条件から中小企業を保護し、交渉力を中小企業に有利になるようにバランスを調整する。
The text also defines how public sector bodies can access and use data held by the private sector that are necessary in exceptional circumstances or emergencies, such as floods and wildfires. また、洪水や山火事などの例外的な状況や緊急事態において、公共部門が民間部門の保有するデータにアクセスし、利用する方法を定義している。
MEPs strengthened provisions to protect trade secrets and avoid a situation where increased access to data is used by competitors to retro-engineer services or devices. They also set stricter conditions on business-to-government data requests. 欧州議会議員は、企業秘密を保護する条項を強化し、データへのアクセスの増加が、競合他社によるサービスや機器の改造に利用される事態を回避するようにした。また、事業体対政府のデータ要求に関する条件をより厳しく設定した。
Finally, the proposed act would facilitate switching between providers of cloud services, and other data processing services, and introduce safeguards against unlawful international data transfer by cloud service providers. 最後に、提案された法律では、クラウドサービスやその他のデータ処理サービスのプロバイダー間の切り替えを容易にし、クラウドサービスプロバイダーによる違法な国際データ転送に対する保護措置を導入する。
Quote 引用
“The Data Act will be an absolute game changer providing access to an almost infinite amount of high-quality industrial data. Competitiveness and innovation are part of its DNA”, said lead MEP Pilar del Castillo Vera (EPP, ES). データ法を主導する欧州議会議員Pilar del Castillo Vera(EPP、ES)氏は次のように述べている。「データ法は、ほぼ無限にある高品質の産業データへのアクセスを提供する、絶対的なゲームチェンジャーとなる。競争力とイノベーションは、この法律のDNAの一部である」。
Next steps 次のステップ
The report was adopted by MEPs with 59 votes to 0, with 11 abstentions. It will put to a vote by the full House during the 13-16 March plenary session. 本報告書は、59票対0票、棄権11票で欧州議会で採択された。この報告書は、3月13日から16日にかけて開催される本会議で採決される予定である。
Background 背景
The volume of data generated by humans and machines is increasing exponentially and becoming a critical factor for innovation by businesses (e.g. algorithm training) and by public authorities (e.g. shaping of smart cities). 人間や機械が生成するデータ量は指数関数的に増加しており、事業者によるイノベーション(アルゴリズム教育など)や公的機関によるイノベーション(スマートシティの形成など)にとって重要な要素になっている。
The proposed act establishes common rules governing the sharing of data generated by the use of connected products or related services (e.g. the internet of things, industrial machines) to ensure fairness in data sharing contracts. 本法案は、コネクテッドプロダクトや関連サービス(例:モノのインターネット、産業機械)の使用によって生成されるデータの共有について、データ共有契約の公平性を確保するための共通ルールを定めるものである。
This kind of data is said to have become the new oil and is critical for innovations by business (e.g. algorithm training) and by public authorities (e.g. for shaping smart cities). このようなデータは、新しい石油になったと言われており、ビジネス(アルゴリズム教育など)や公共機関(スマートシティの形成など)によるイノベーションに不可欠である。

 

情報はこのページにまとまっています...

 

European Parliament - Legislative Observatory

2022/0047(COD)  Data Act  

 

欧州委員会から欧州議会に提出されたデータ保護法案

・2022.02.23 [PDF] COM(2022) 68 final 2022/0047 (COD) Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on harmonised rules on fair access to and use of data (Data Act)

20230214-135523

・[DOCX] 仮訳

 

 

修正案等

・2022.09.14 [PDF] 2022/0047(COD) ***I DRAFT REPORT

200項目あります...

それに関する議論等

・2022.11.09 委員会で審議された修正案 PE738.509  
・2022.11.09 委員会で審議された修正案 PE738.511  
・2022.11.09 委員会で審議された修正案 PE738.548  
・2022.11.09 委員会で審議された修正案 PE738.549  
・2023.01.25 委員会意見 PE736.701  
・2023.01.26 委員会意見 PE736.696  
・2023.02.02 委員会意見 PE737.389 

 

 

| | Comments (0)

2023.02.14

米国 国防総省 国防総省のサイバーセキュリティに関する報告および証言の概要(2020年7月1日〜2022年6月30日) (2023.02.01)

こんにちは、丸山満彦です。

米国国防総省の内部監察官室が、2020年7月から2022年6月までの2会計期間内の監査によるサイバーセキュリティ関連の指摘事項の概要をまとめた報告書を公表していますね。。。一部機密指定が残っていて黒塗りになっています。

 

Department of Defense Office of Inspector General

・2023.02.01 Summary of Reports and Testimonies Regarding DoD Cybersecurity from July 1, 2020, Through June 30, 2022 (DODIG-2023-047)

 

Summary of Reports and Testimonies Regarding DoD Cybersecurity from July 1, 2020, Through June 30, 2022 (DODIG-2023-047) 2020年7月1日から2022年6月30日までの国防総省のサイバーセキュリティに関する報告書および証言の概要(DODIG-2023-047)
Objective: 目的
The objective of this summary report was to: (1) summarize unclassified and classified reports and testimonies regarding DoD cybersecurity that the DoD Office of Inspector General (OIG), the Government Accountability Office (GAO), and other DoD oversight organizations issued between July 1, 2020, and June 30, 2022, concerning DoD cybersecurity; (2) identify cybersecurity trends; and (3) provide a status of open DoD cybersecurity-related recommendations. 本要約報告書の目的は、(1)国防総省監察総監室(OIG)、政府説明責任局(GAO)、およびその他の国防総省監督機関が2020年7月1日から2022年6月30日の間に発行した国防総省のサイバーセキュリティに関する非分類および分類された報告および証言の要約、(2)サイバーセキュリティ傾向の特定、(3)国防総省サイバーセキュリティ関連の未提案の状況であった。
We issue this summary report biennially to identify DoD cybersecurity trends based on the National Institute of Standards and Technology (NIST), “Framework for Improving Critical Infrastructure Cybersecurity,” April 16, 2018 (NIST Cybersecurity Framework) for DoD management to review and consider implementing changes, as appropriate. 我々は、国防総省の管理者がレビューし、必要に応じて変更を実施することを検討するために、国立標準技術研究所(NIST)、「重要インフラサイバーセキュリティの改善のための枠組み」、2018年4月16日(NISTサイバーセキュリティ枠組み)に基づく国防総省サイバーセキュリティ傾向を特定するために、この要約報告書を隔年発行している。
Background: 背景
Federal agencies are required to use the NIST Cybersecurity Framework to manage their cybersecurity risk. The NIST Cybersecurity Framework consists of five functions—Identify, Protect, Detect, Respond, and Recover— representing high‑level cybersecurity activities that provide a strategic view of the risk management cycle for identifying, assessing, and responding to risk. In addition, the five functions include 23 associated categories, such as “Asset Management” or “Detection Process,” that provide desired cybersecurity outcomes. 連邦政府機関は、サイバーセキュリティのリスクを管理するために、NISTサイバーセキュリティフレームワークを使用することが求められている。NISTサイバーセキュリティフレームワークは、識別、防御、検知、対応、回復の5つの機能で構成されており、リスクの識別、アセスメント、対応のためのリスク管理サイクルの戦略的な視点を提供するハイレベルなサイバーセキュリティ活動を表している。さらに、この5つの機能には、「資産管理」や「検知プロセス」など、サイバーセキュリティの望ましい成果をもたらす23の関連カテゴリーが含まれている。
Each of the 23 categories has up to 12 subcategories that further divide the categories into specific outcomes of technical and management activities, such as “data‑at‑rest is protected” or “notifications from detection systems are investigated.” 23のカテゴリーにはそれぞれ最大12のサブカテゴリーがあり、カテゴリーをさらに「静止データの保護」や「検知システムからの通知の調査」など、技術・管理活動の具体的な成果に分割している。
The DoD also uses the Risk Management Framework, which provides an integrated enterprise‑wide decision structure and is consistent with the principles established in the NIST Cybersecurity Framework, for managing cybersecurity risk and authorizing and connecting information systems. また、DoDは、サイバーセキュリティのリスク管理や情報システムの認可・接続のために、企業全体の統合的な意思決定構造を提供し、NISTサイバーセキュリティフレームワークで定められた原則と一致するリスク管理フレームワークを使用している。
Summary: 概要
This year’s report summarizes the results of the 133 reports related to DoD cybersecurity—124 unclassified and 9 classified— and 7 congressional testimonies from the DoD OIG, GAO, and other DoD oversight organizations that were released from July 1, 2020, through June 30, 2022. 本年度の報告書は、2020年7月1日から2022年6月30日までに発表されたDoDのサイバーセキュリティに関する133の報告書(非分類124、分類9)およびDoD OIG、GAO、その他のDoD監督組織による7つの議会証言の結果を要約したものである。
Over the past 6 years, the DoD OIG, GAO, and the other DoD oversight organizations have steadily increased cybersecurity‑related oversight. However, a large and growing percentage of these reports focused primarily on issues related to two of the five NIST Cybersecurity Framework functions—Identify and Protect. There was less oversight provided by the DoD OIG, GAO, and the other DoD oversight organizations of the three remaining NIST Cybersecurity Framework functions—Detect, Respond, and Recover. 過去6年間、DoD OIG、GAO、およびその他のDoD監視組織は、サイバーセキュリティ関連の監視を着実に強化してきた。しかし、これらの報告書の大部分は、NISTサイバーセキュリティフレームワークの5つの機能のうち、識別と防御の2つの機能に関連する問題に主に焦点を当てており、その割合は増加している。NIST Cybersecurity Frameworkの残りの3つの機能である検知、対応、回復については、DoD OIG、GAO、およびその他のDoD監視組織による監視はあまり行われていない。
The DoD cybersecurity reports issued from July 2020 through June 2022 identified significant challenges in the DoD’s management of cybersecurity risks to its systems and networks.  The reports discussed DoD risks r elated to 20 of the 23 NIST Cybersecurity Framework categories. The majority of the weaknesses identified in the 133 reports we reviewed related to the categories of Governance (Identify function), Asset Management (Identify function), Identity Management, Authentication and Access Control (Protect function), and Information Protection Processes and Procedures (Protect function). 2020年7月から2022年6月までに発行された国防総省のサイバーセキュリティ報告書は、国防総省のシステムとネットワークに対するサイバーセキュリティリスクの管理における重要な課題を特定した。  報告書は、NISTサイバーセキュリティフレームワークの23のカテゴリーのうち20に関連する国防総省のリスクについて論じている。我々がレビューした133の報告書で特定された弱点の大部分は、ガバナンス(特定機能)、資産管理(特定機能)、アイデンティティ管理、認証およびアクセス制御(保護機能)、情報保護プロセスおよび手順(保護機能)のカテゴリーに関連するものであった。
These risks existed because DoD officials did not establish and implement minimum standards and necessary controls in accordance with DoD guidance. これらのリスクは、国防総省の職員が国防総省の指針に従って最低限の基準や必要な統制を確立し、実施しなかったために存在したものである。
We determined that the DoD Components implemented corrective actions necessary to close 417 of the 895 cybersecurity‑related recommendations included in this summary report and prior summary reports. As of June 30, 2022, the DoD had 478 open cybersecurity‑related recommendations, dating as far back as 2012. 我々は、国防総省構成機関が、本要約報告書および過去の要約報告書に含まれる895のサイバーセキュリティ関連の勧告のうち417を解決するために必要な是正措置を実施したと判断している。2022年6月30日現在、国防総省には、2012年までさかのぼる478件の未解決のサイバーセキュリティ関連の勧告があった。
In addition to the 133 reports and 7 testimonies released since July 1, 2020, we also reviewed the notices of finding and recommendation (NFRs) issued to the DoD as part of the agency financial statement audits and attestations of 26 DoD reporting entities. The NFRs communicate to management identified weaknesses and inefficiencies in financial processes, their impact, the reason they exist, and recommendations on how to correct the weaknesses and inefficiencies. A s o f July 15, 2022, the DoD h ad 1,304 open information technology NFRs resulting from FY 2021 financial statement audits. We selected a nonstatistical sample of 44 NFRs and determined that they primarily identified weaknesses in the Protect and Identify functions of the NIST Cybersecurity Framework spanning 11 of the 23 NIST Cybersecurity Framework categories. 2020年7月1日以降に発表された133の報告書と7つの証言に加え、26のDoD報告団体の機関財務諸表監査と認証の一部としてDoDに発行された発見勧告(NFR)も検討した。NFRは、財務プロセスにおける識別された弱点や非効率性、その影響、存在理由、弱点や非効率性を修正する方法に関する勧告を経営陣に伝えるものである。2022年7月15日現在、DoDには、2021年度の財務諸表監査の結果、1,304件の未解決の情報技術NFRがある。我々は、44件のNFRの非統計サンプルを選択し、それらが主にNISTサイバーセキュリティフレームワークの23のカテゴリーのうち11にまたがる保護と識別の機能の弱点を特定すると判断した。
Although we are not making new recommendations to DoD management in this summary report, it is vital to the DoD’s overall cybersecurity posture that management implement timely and comprehensive corrective actions such as configuring security settings in accordance with security requirements and developing policies and procedures that promote implementing consistent security controls that address the open cybersecurity‑related recommendations. この総括報告書では国防総省の管理者に新たな勧告は行っていないが、管理者がセキュリティ要件に従ってセキュリティ設定を行い、サイバーセキュリティ関連の公開勧告に対応した一貫したセキュリティ管理の実施を促す方針と手続きを策定するなど、タイムリーで包括的な是正措置を実施することは国防総省のサイバーセキュリティ体制全体にとって極めて重要である。
These risks existed because DoD officials did not establish and implement minimum standards and necessary controls in accordance with DoD guidance. これらのリスクは、国防総省の職員が国防総省の指針に従って最低限の基準や必要な統制を確立し、実施しなかったために存在したものである。
We determined that the DoD Components implemented corrective actions necessary to close 417 of the 895 cybersecurity‑related recommendations included in this summary report and prior summary reports. As of June 30, 2022, the DoD had 478 open cybersecurity‑related recommendations, dating as far back as 2012. 我々は、国防総省構成機関が、本要約報告書および以前の要約報告書に含まれる895のサイバーセキュリティ関連勧告のうち417を閉じるために必要な是正措置を実施したと判断した。2022年6月30日現在、国防総省には、2012年までさかのぼる478件の未解決のサイバーセキュリティ関連の勧告があった。
In addition to the 133 reports and 7 testimonies released since July 1, 2020, we also reviewed the notices of finding and recommendation (NFRs) issued to the DoD as part of the agency financial statement audits and attestations of 26 DoD reporting entities. The NFRs communicate to management identified weaknesses and inefficiencies in financial processes, their impact, the reason they exist, and recommendations on how to correct the weaknesses and inefficiencies. A s o f July 15, 2022, the DoD h ad 1,304 open information technology NFRs resulting from FY 2021 financial statement audits. We selected a nonstatistical sample of 44 NFRs and determined that they primarily identified weaknesses in the Protect and Identify functions of the NIST Cybersecurity Framework spanning 11 of the 23 NIST Cybersecurity Framework categories. 2020年7月1日以降に発表された133の報告書と7つの証言に加え、26のDoD報告団体の機関財務諸表監査と認証の一部としてDoDに発行された発見勧告(NFR)も検討した。NFRは、財務プロセスにおける識別された弱点や非効率性、その影響、存在理由、弱点や非効率性を修正する方法に関する勧告を経営陣に伝えるものである。2022年7月15日現在、DoDには、2021年度の財務諸表監査の結果、1,304件の未解決の情報技術NFRがある。我々は、44件のNFRの非統計サンプルを選択し、それらが主にNISTサイバーセキュリティフレームワークの23のカテゴリーのうち11にまたがる保護と識別の機能の弱点を特定すると判断した。
Although we are not making new recommendations to DoD management in this summary report, it is vital to the DoD’s overall cybersecurity posture that management implement timely and comprehensive corrective actions such as configuring security settings in accordance with security requirements and developing policies and procedures that promote implementing consistent security controls that address the open cybersecurity‑related recommendations. この総括報告書では、国防総省の管理者に対して新たな勧告は行っていないが、管理者がセキュリティ要件に従ってセキュリティ設定を行い、サイバーセキュリティ関連の公開勧告に対応した一貫したセキュリティ管理の実施を促進する方針と手続きを策定するなど、タイムリーで包括的な是正措置を実施することが国防総省のサイバーセキュリティ体制全体にとって極めて重要である。

 

・[PDF]

20230214-25646_20230214031801

 

目次...

(U) Introduction (U) はじめに
(U) Objective (U)目的
(U) Background (U)背景
(U) Summary (U)概要
(U) Cybersecurity Risks Remain a Significant Challenge for the DoD (U)サイバーセキュリティリスクは国防総省にとって重大な課題として残っている。
(U) Increased DoD Cybersecurity Oversight  (U) 国防総省のサイバーセキュリティ監視の強化 
(U) The DoD Took Actions to Improve DoD Cybersecurity (U) 国防総省は国防総省のサイバーセキュリティを改善するために行動を起こした。
(U) Challenges Remain in Managing DoD Cybersecurity Risks (U) 国防総省のサイバーセキュリティリスクの管理には課題が残っている
(U) Risks by NIST Cybersecurity Framework Function (U) NISTサイバーセキュリティフレームワーク機能別のリスク
(U) Open Cybersecurity-Related Recommendations (U) サイバーセキュリティ関連の未解決の勧告
(U) Opportunity Exists to Improve Cybersecurity Oversight  52 (U)サイバーセキュリティの監視を改善する機会は存在する 52
(U) Appendixes (U) 附属書
(U) Appendix A. Scope and Methodology (U)附属書A.スコープとメソドロジー
(U) Use of Computer-Processed Data (U)コンピュータ処理されたデータの使用
(U) Prior Coverage (U)過去の報道
(U) Appendix B.  Unclassified and Classified Reports and Testimonies Regarding DoD Cybersecurity (U) 附属書B.  国防総省のサイバーセキュリティに関する未公表および機密の報告書と証言書
(U) Appendix C.  Reports Identifying Risks by NIST Cybersecurity Framework Category (U) 附属書C.  NISTサイバーセキュリティフレームワークのカテゴリー別にリスクを識別した報告書。
(U) Appendix D.  Open Recommendations by NIST Cybersecurity Framework Category (U) 附属書D.  NISTサイバーセキュリティフレームワークカテゴリー別の公開勧告
(U) Acronyms and Abbreviations (U)頭字語および省略形

 

 

GAO、DoD OIG、陸軍監査室、海軍監査室、空軍監査室、その他の監査機関による監査の報告事項を説明しています。サイバーセキュリティフレームワークのカテゴリーごとの集計も載せているのですが、識別、防御に偏っているように感じるのは私だけでしょうか...

Fig03

 

 

参考まで。。。

 

 

| | Comments (0)

2023.02.13

米国・韓国「重要インフラへのランサムウェア攻撃は北朝鮮のスパイ活動の資金源になる」から身代金は払うなよ...

こんにちは、丸山満彦です。

米国の国家安全保障局(NSA)、連邦捜査局(FBI)、サイバーセキュリティ・インフラセキュリティ局(CISA)、保健福祉省(HHS)、韓国の国家情報院(NIS)、国防安全保障局(DSA)が共同で、「重要インフラへのランサムウェア攻撃は北朝鮮のスパイ活動の資金源になる」というサイバーセキュリティの助言(CSA)を発出していますね。。。要は、身代金払うなよ...ということだと思います。。。


CISA

・2023.02.09 #StopRansomware - Ransomware Attacks on Critical Infrastructure Fund DPRK Espionage Activities

#StopRansomware - Ransomware Attacks on Critical Infrastructure Fund DPRK Espionage Activities #StopRansomware - 重要インフラへのランサムウェア攻撃はDPRKのスパイ活動の資金源になる
CISA, the National Security Agency (NSA), the Federal Bureau of Investigation (FBI), the Department of Health and Human Services (HHS), and Republic of Korea’s Defense Security Agency and National Intelligence Service have released a joint Cybersecurity Advisory (CSA), Ransomware Attacks on Critical Infrastructure Fund DPRK Espionage Activities, to provide information on ransomware activity used by North Korean state-sponsored cyber to target various critical infrastructure sectors, especially Healthcare and Public Health (HPH) Sector organizations. CISA、国家安全保障局(NSA)、連邦捜査局(FBI)、保健福祉省(HHS)、韓国の国防安全保障局および国家情報院は、北朝鮮の国家支援によるサイバーがさまざまな重要インフラ部門、特に医療・公衆衛生(HPH)部門の組織を標的にしているランサムウェア活動に関する情報を提供する共同サイバーセキュリティ勧告(CSA)、重要インフラに対するランサムウェア攻撃が北朝鮮のスパイ活動の資金源となる、を発表した。
The authoring agencies urge network defenders to examine their current cybersecurity posture and apply the recommended mitigations in this joint CSA, which include: 作成機関は、ネットワーク防御者が現在のサイバーセキュリティの姿勢を調査し、この共同CSAの推奨する緩和策を適用することを強く求める。
・Train users to recognize and report phishing attempts. ・フィッシングの試みを認識し、報告するようユーザーを教育する。
・Enable and enforce phishing-resistant multifactor authentication.  ・フィッシングに強い多要素認証を導入する。 
・Install and regularly update antivirus and antimalware software on all hosts.  ・すべてのホストにアンチウイルスおよびアンチマルウェアソフトウェアをインストールし、定期的に更新する。 
See Ransomware Attacks on Critical Infrastructure Fund DPRK Espionage Activities for ransomware actor’s tactics, techniques, and procedures, indicators of compromise, and recommended mitigations. Additionally, review StopRansomware.gov for more guidance on ransomware protection, detection, and response. ランサムウェアの行為者の戦術、技術、手順、侵害の指標、推奨される緩和策については、「重要インフラ資金北朝鮮スパイ活動に対するランサムウェア攻撃」を参照すること。また、StopRansomware.govでは、ランサムウェアの保護、検出、対応に関するガイダンスが掲載されている。
For more information on state-sponsored North Korean malicious cyber activity, see CISA’s North Korea Cyber Threat Overview and Advisories webpage. 国家が支援する北朝鮮の悪質なサイバー活動の詳細については、CISAの「北朝鮮サイバー脅威の概要と勧告」ウェブページを参照すること。

 

・2023.02.09 Alert (AA23-040A) #StopRansomware: Ransomware Attacks on Critical Infrastructure Fund DPRK Malicious Cyber Activities

Alert (AA23-040A) #StopRansomware: Ransomware Attacks on Critical Infrastructure Fund DPRK Malicious Cyber Activities アラート(AA23-040A) #StopRansomware: 重要インフラへのランサムウェア攻撃は北朝鮮の悪意あるサイバー活動を資金源としている
Summary 概要
Note: This Cybersecurity Advisory (CSA) is part of an ongoing #StopRansomware effort to publish advisories for network defenders that detail various ransomware variants and various ransomware threat actors. These #StopRansomware advisories detail historically and recently observed tactics, techniques, and procedures (TTPs) and indicators of compromise (IOCs) to help organizations protect against ransomware. Visit stopransomware.gov to see all #StopRansomware advisories and to learn about other ransomware threats and no-cost resources. 注:このサイバーセキュリティアドバイザリ(CSA)は、ネットワーク防御者向けに、さまざまなランサムウェアの亜種とさまざまなランサムウェアの脅威要因について詳述したアドバイザリを公開する、#StopRansomware の継続的な取り組みの一部である。これらの #StopRansomware アドバイザリでは、ランサムウェアから組織を保護するために、歴史的および最近観測された戦術、技術、手順 (TTPs) と侵害の指標 (IOCs) について詳しく説明している。stopransomware.gov であるべての #StopRansomware アドバイザリーを参照し、その他のランサムウェアの脅威や無償のリソースについて学ぶこと。
The United States National Security Agency (NSA), the U.S. Federal Bureau of Investigation (FBI), the U.S. Cybersecurity and Infrastructure Security Agency (CISA), the U.S. Department of Health and Human Services (HHS), the Republic of Korea (ROK) National Intelligence Service (NIS), and the ROK Defense Security Agency (DSA) (hereafter referred to as the “authoring agencies”) are issuing this joint Cybersecurity Advisory (CSA) to highlight ongoing ransomware activity against Healthcare and Public Health Sector organizations and other critical infrastructure sector entities. 米国国家安全保障局(NSA)、米国連邦捜査局(FBI)、米国サイバーセキュリティ・インフラセキュリティ局(CISA)、米国保健福祉省(HHS)、韓国国家情報院(NIS)、韓国国防安全保障局(DSA)(以下、「作成機関」という)は、医療・公衆衛生分野の組織やその他の重要インフラ部門に対するランサムウェアの進行状況を明らかにするため、この共同サイバーセキュリティアドバイザリー(CSA)を発出する。
This CSA provides an overview of Democratic People’s Republic of Korea (DPRK) state-sponsored ransomware and updates the July 6, 2022, joint CSA North Korean State-Sponsored Cyber Actors Use Maui Ransomware to Target the Healthcare and Public Health Sector. This advisory highlights TTPs and IOCs DPRK cyber actors used to gain access to and conduct ransomware attacks against Healthcare and Public Health (HPH) Sector organizations and other critical infrastructure sector entities, as well as DPRK cyber actors’ use of cryptocurrency to demand ransoms. 本CSAは、朝鮮民主主義人民共和国(DPRK)国家支援型ランサムウェアの概要を説明し、2022年7月6日の共同CSA「北朝鮮国家支援型サイバーアクターがマウイランサムウェアを使用してヘルスケアおよび公衆衛生セクターを標的に」を更新している。この勧告では、北朝鮮のサイバー行為者が医療・公衆衛生(HPH)セクターの組織やその他の重要インフラストラクチャ・セクターの事業体にアクセスしランサムウェア攻撃を行うために使用した TTP と IOC、および北朝鮮のサイバー行為者が身代金を要求するために暗号通貨を使用したことを明らかにする。
The authoring agencies assess that an unspecified amount of revenue from these cryptocurrency operations supports DPRK national-level priorities and objectives, including cyber operations targeting the United States and South Korea governments—specific targets include Department of Defense Information Networks and Defense Industrial Base member networks. The IOCs in this product should be useful to sectors previously targeted by DPRK cyber operations (e.g., U.S. government, Department of Defense, and Defense Industrial Base). The authoring agencies highly discourage paying ransoms as doing so does not guarantee files and records will be recovered and may pose sanctions risks. 作成機関は、これらの暗号通貨操作による不特定多数の収益が、米国および韓国政府を標的としたサイバー操作など、北朝鮮の国家レベルの優先事項および目的を支えていると評価している。具体的な標的には、国防総省の情報ネットワークおよび国防産業基盤のメンバーネットワークが含まれている。本製品に含まれる IOC は、過去に北朝鮮のサイバー作戦の標的となったセクター(米国政府、国防総省、国防産業基地など)にとって有用であるはずである。身代金の支払いは、ファイルや記録の復元を保証するものではなく、制裁リスクをもたらす可能性があるため、作成機関は強く推奨しない。
For additional information on state-sponsored DPRK malicious cyber activity, see CISA’s North Korea Cyber Threat Overview and Advisories webpage. 国家が支援する北朝鮮の悪質なサイバー活動に関する追加情報については、CISAの「北朝鮮サイバー脅威の概要と勧告」ウェブページを参照すること。

 

・[PDF]

20230212-214555

 

韓国側も...

 

National Intelligence Services: NIS

・2023.02.10  [PDF] 국정원, 북한의 세계 각국 중요 인프라 대상 랜섬웨어 공격 관련 ‘韓美 합동 사이버 보안 권고문’ 발표

20230213-11449

 

・2023.02.10 국정원, '韓美 합동 사이버 보안 권고문' 발표

・[PDF]

20230213-00041

 

 

 

| | Comments (0)

NIST SP 800-201 (ドラフト) NIST クラウドコンピューティング・フォレンジック参照アーキテクチャー

こんにちは、丸山満彦です。

 

NICT - ITL

・2023.02.08 SP 800-201 (Draft) NIST Cloud Computing Forensic Reference Architectu

SP 800-201 (Draft) NIST Cloud Computing Forensic Reference Architectu SP 800-201 (ドラフト) NIST クラウドコンピューティング・フォレンジック参照アーキテクチャー
Announcement 発表
This document addresses the need to support a cloud system’s forensic readiness, which is the ability to quickly and effectively collect digital evidence with minimal investigation costs. 本文書は、クラウドシステムのフォレンジック対応(最小限の調査コストで迅速かつ効果的にデジタル証拠を収集する能力)を支援する必要性に対処するものである。
The document presents a reference architecture to help users understand the forensic challenges that might exist for an organization’s cloud system based on its architectural capabilities, as well as the mitigation strategies that might be required. The reference architecture is both a methodology and an initial implementation that can be used by cloud system architects, cloud engineers, forensic practitioners, and cloud consumers to analyze and review their cloud computing architectures for forensic readiness. 本文書は、ユーザーが組織のクラウドシステムに存在するであろうフォレンジックの課題を、そのアーキテクチャの状況に基づいて理解し、必要とされるであろう緩和策を理解するのに役立つ参照アーキテクチャを提示する。この参照アーキテクチャは、クラウドシステムアーキテクト、クラウドエンジニア、フォレンジック専門家、およびクラウド利用者が、クラウドコンピューティングアーキテクチャのフォレンジック対応状況を分析、レビューするために使用できる手法と初期実装の両方を含む。
Abstract 概要
This document summarizes research performed by the members of the NIST Cloud Computing Forensic Science Working Group and presents the NIST Cloud Computing Forensic Reference Architecture (CC FRA, also referred to as FRA for the sake of brevity), whose goal is to provide support for a cloud system’s forensic readiness. The CC FRA is meant to help users understand which cloud forensic challenges might exist for an organization’s cloud system. It identifies challenges that require at least partial mitigation strategies and how a forensic investigator would apply that to a particular forensic investigation. The CC FRA presented here is both a methodology and an initial implementation. Users are encouraged to customize this initial implementation for their specific situations and needs. 本文書は、NIST クラウドコンピューティング・フォレンジック科学作業グループ のメンバーが行った研究を要約し、NIST クラウドコンピューティング・フォレンジック参照アーキテクチャ(CC FRA、簡潔に FRA とも呼ばれる)を提示するもので、その目的は、クラウドシステムのフォレンジック準備に対する支援を提供することである。CC FRAの目的は、ユーザーが組織のクラウドシステムに存在する可能性のあるクラウドフォレンジックの課題を理解するのに役立つことである。また、少なくとも部分的な緩和策を必要とする課題を特定し、フォレンジック調査官が特定のフォレンジック調査にそれをどのように適用するかを示している。ここで紹介するCC FRAは、方法論であり、初期実装である。ユーザーは、特定の状況やニーズに合わせて、この初期実装をカスタマイズすることが推奨される。

 

・[PDF]  SP 800-201 (Draft)

20230211-233546

 

目次...

Executive Summary エグゼクティブ・サマリー
1. Introduction 1. 序文
1.1. The Need for a Cloud-specific Forensic Reference Architecture 1.1. クラウドに特化したフォレンジック参照アーキテクチャーの必要性
1.2. The Approach 1.2. アプローチ
2. Overview of NIST Cloud Forensic Challenges 2. NISTのクラウドフォレンジックの課題の概要 3.
3. Overview of CSA’s Enterprise Architecture 3. CSAのエンタープライズ・アーキテクチャの概要 4.
4. The Forensic Reference Architecture Methodology 4. フォレンジック参照アーキテクチャの方法論
5. The Forensic Reference Architecture Data 5. フォレンジック参照アーキテクチャーのデータ
6. Conclusion 6. 結論
References 参考文献
Appendix A. Acronyms 附属書A. 頭字語
Appendix B. Glossary 附属書B. 用語集
Appendix C. CSA’s Enterprise Architecture 附属書C. CSAのエンタープライズ・アーキテクチャ
Appendix D. NIST’s Forensic Reference Architecture Data Set 附属書D. NISTのフォレンジック参照アーキテクチャデータセット

 

エグゼクティブサマリー

Executive Summary  エグゼクティブサマリー 
The rapid adoption of cloud computing technology has led to the need to apply digital forensics to this domain. New methodologies are required for the identification, acquisition, preservation, examination, and interpretation of digital evidence in multi-tenant cloud environments that offer rapid provisioning, global elasticity, and broad network accessibility. This is necessary to provide capabilities for incident response, secure internal enterprise operations, and support for the U.S. criminal justice and civil litigation systems.   クラウドコンピューティング技術の急速な普及により、デジタルフォレンジックをこの領域に適用する必要性が生じている。迅速なプロビジョニング、グローバルな弾力性、幅広いネットワークアクセスを提供するマルチテナントクラウド環境におけるデジタル証拠の特定、取得、保存、調査、解釈には、新しい方法論が必要である。これは、インシデントレスポンス、安全な社内エンタープライズオペレーション、米国刑事司法および民事訴訟システムの支援のための機能を提供するために必要である。 
This document presents the NIST Cloud Computing Forensic Reference Architecture (CC FRA, also referred to as FRA for the sake of brevity), whose goal is to provide support for a cloud system’s forensic readiness. The CC FRA is meant to help users understand the cloud forensic challenges that might exist for an organization’s cloud system. It identifies forensic challenges that require mitigation strategies and how a forensic investigator would apply that to a particular forensic investigation.   本文書は、NIST クラウドコンピューティング・フォレンジック参照アーキテクチャ(CC FRA、簡潔にFRAとも呼ばれる)を提示する。その目的は、クラウドシステムのフォレンジック準備の支援を提供することである。CC FRAは、ユーザーが組織のクラウドシステムに存在する可能性のあるクラウドフォレンジックの課題を理解するのに役立つことを目的としている。また、緩和策を必要とするフォレンジック課題を特定し、フォレンジック調査官が特定のフォレンジック調査にそれをどのように適用するかを示している。 
The CC FRA provides a useful starting point for all cloud forensic stakeholders to analyze the impacts of cloud forensic challenges previously reported by NIST. It does so by considering each cloud forensic challenge in the context of each functional capability presented in the Cloud Security Alliance’s Enterprise Architecture.  CC FRAは、すべてのクラウド・フォレンジック関係者が、NISTが以前に報告したクラウド・フォレンジックの課題の影響を分析するための有用な出発点を提供する。これは、クラウドセキュリティアライアンスのエンタープライズアーキテクチャに示された各機能能力のコンテキストで、各クラウドフォレンジック課題を考慮することによって行われる。
While the CC FRA can be used by any cloud computing practitioner, it is specifically designed to allow cloud system architects, cloud engineers, forensic practitioners, and cloud consumers to ask specific questions related to their cloud computing architectures. The CC FRA is both a methodology and an initial implementation, and users are encouraged to customize this initial implementation for their specific situations and needs.  CC FRAは、クラウドコンピューティングの実務者であれば誰でも利用できるが、特にクラウドシステムアーキテクト、クラウドエンジニア、フォレンジック専門家、クラウド利用者が、それぞれのクラウドコンピューティングアーキテクチャに関連する特定の質問をできるように設計されている。CC FRAは、方法論と初期実装の両方であり、ユーザーはこの初期実装を特定の状況やニーズに応じてカスタマイズすることが推奨される。

 

序文...

1. Introduction  1. 序文 
The NIST Cloud Computing Forensic Science Working Group (NCC FSWG) previously published NIST IR 8006, NIST Cloud Computing Forensic Science Challenges [1], which was the result of collaboration between volunteers from the private and public sector. That document highlighted digital forensic challenges triggered by the specific characteristics and business model of public cloud computing services.  NIST クラウドコンピューティング・フォレンジック科学作業グループ (NCC FSWG)は、民間と公共部門のボランティアによる協力の結果、NIST IR 8006, NIST クラウドコンピューティング・フォレンジック科学の挑戦 [1]を発表してる。その文書では、パブリッククラウドコンピューティングサービス特有の特性やビジネスモデルによって引き起こされるデジタルフォレンジックの課題が強調されている。
The approach to examining digital forensics in the cloud was to first understand cloud computing technology and to identify and elucidate its essential and unique characteristics, which play a significant part in three aspects of operation: normal operations, adverse operations when cloud computing resources are under attack, and operations during criminal exploitation.  クラウドにおけるデジタルフォレンジックを検討するアプローチとして、まずクラウドコンピューティング技術を理解し、通常運用、クラウドコンピューティング・リソースが攻撃を受けているときの不利な運用、犯罪利用時の運用という3つの側面で重要な役割を果たす、その本質的かつ独特な特性を特定し、解明することが挙げられる。
The second phase of this approach was a close examination of the challenges that were identified in the previous NIST report. This examination involved analyzing the Cloud Security Alliance’s (CSA’s) Enterprise Architecture (EA) [2], its various functional capabilities and processes, and the potential impact of each challenge on performing a forensic investigation if a specific functional capability or process were involved in an attack and breach or were used during criminal exploitation. The analysis presumed fictive use case scenarios that would exploit potential weaknesses, vulnerabilities, exposures, or cloud technology for criminal activities. Such elements are of fundamental concern in forensic analysis as they present points that adversaries may seek to exploit or characteristics that can be used by criminals. In either case, there will be evidence of the attack or criminal exploitation for future forensic analysis. The EA is composed of a large number of specific functional capabilities that enable detailed consideration of the effects of each forensic challenge on each of the capabilities.   このアプローチの第二段階は、前回のNIST報告書で明らかにされた課題の精査である。この検証では、クラウドセキュリティアライアンス(CSA)のエンタープライズアーキテクチャ(EA)[2]、そのさまざまな機能能力とプロセス、および特定の機能能力やプロセスが攻撃や侵入に関与した場合、または犯罪搾取の際に使用された場合のフォレンジック調査の実行における各課題の潜在的影響力を分析した。この分析では、潜在的な弱点、脆弱性、エクスポージャー、クラウド技術を犯罪行為に悪用する架空のユースケースシナリオを想定している。このような要素は、敵対者が悪用しようとするポイントや犯罪者が利用できる特徴を示すため、フォレンジック分析における基本的な関心事となる。いずれの場合も、将来のフォレンジック分析のために、攻撃や犯罪に利用された証拠が残る。EAは多数の特定の機能的な能力で構成されており、各能力に対する各フォレンジックの課題の影響を詳細に検討することが可能である。 
The third phase of this work has been to examine the nature of each challenge (i.e., whether the challenge is technological or non-technological) to determine its role and impact on the forensic examination process. As each challenge was analyzed, the applicability of techniques or technologies became clearer in terms of how they function and ultimately contribute to the forensic processes of identification, acquisition, preservation, examination, and interpretation of evidence.   この作業の第三段階として、各課題の性質(すなわち、課題が技術的なものか非技術的なものか)を検討し、フォレンジック調査のプロセスにおけるその役割と影響を決定した。それぞれの課題を分析するにつれ、技術や技能がどのように機能し、最終的に証拠の特定、取得、保存、検査、解釈という法医学的プロセスに貢献するかという観点から、その適用可能性が明らかになった。 
This work brings value by clarifying how forensics in the cloud can achieve the same acceptance as forensics in traditional computing models. This document, the associated research, and NIST IR 8006 [1] proactively address the White House Executive Order of May 12, 2021, entitled Executive Order on Improving the Nation’s Cybersecurity [3], which points out the importance of having forensic-ready information systems, including cloud systems, to improve the Nation’s cybersecurity.  この作業は、クラウドにおけるフォレンジックが、従来のコンピューティングモデルにおけるフォレンジックと同じように受け入れられるにはどうすればよいかを明らかにすることによって価値をもたらすものである。本書、関連研究、およびNIST IR 8006 [1]は、国家のサイバーセキュリティを向上させるために、クラウドシステムを含むフォレンジック対応の情報システムの重要性を指摘する2021年5月12日のホワイトハウス大統領令、「国家のサイバーセキュリティ向上に関する大統領令」 [3]に主体的に対処するものである。
1.1. The Need for a Cloud-specific Forensic Reference Architecture  1.1. クラウド専用フォレンジック参照アーキテクチャーの必要性 
Digital forensics is the application of science and technology to the discovery and examination of digital artifacts within information systems and networks to establish facts and evidence concerning events and conditions that occur within them. Digital forensics is traditionally used for judicial proceedings and regulatory issues but may also be used for other purposes as described below.   デジタルフォレンジックとは、情報システムやネットワーク内のデジタルアーチファクトを発見・調査し、その中で発生した事象や状況に関する事実や証拠を確定するために、科学技術を応用したものである。デジタルフォレンジックは、伝統的に司法手続きや規制問題のために使用されているが、以下に述べるように他の目的にも使用されることがある。 
Digital forensics continues to evolve in step with computer and information science. As these technologies, their implementations, and their operations have changed, digital forensics has adapted. The number of scenarios that may require the application of digital forensic techniques have increased along with the complexity of the underlying architectures .  デジタルフォレンジックは、コンピュータと情報科学と歩調を合わせて進化し続けている。これらの技術、その実装、および運用が変化するにつれて、デジタルフォレンジックも適応してきた。デジタルフォレンジック技術の適用を必要とするシナリオの数は、基盤となるアーキテクチャの複雑さとともに増加している。
One common scenario involves the detailed investigation of criminal activities. As computers become widely available and develop greater capabilities, criminal elements worldwide have adopted them as tools to manage their endeavors. These include both “traditional” forms of crime (e.g., violent crime, property crime, drug trafficking, human trafficking, white-collar crime) and crimes that occur in cyberspace (e.g., ransomware attacks, data breaches, identity theft, cyber-terrorism, distributed denial of service, illicit cryptocurrency mining, child pornography, and attacks against governments, key corporations, or power grids). Forensic procedures involve locating and analyzing digital traces that can help solve the crime and/or allow for incident response.  よくあるシナリオの1つは、犯罪行為の詳細な調査である。コンピュータが広く利用されるようになり、その機能が向上するにつれて、世界中の犯罪者が自分たちの活動を管理するためのツールとしてコンピュータを採用するようになった。これには、「伝統的な」犯罪形態(暴力犯罪、財産犯罪、麻薬取引、人身売買、ホワイトカラー犯罪など)とサイバースペースで発生する犯罪(ランサムウェア攻撃、データ漏洩、個人情報の盗難、サイバーテロ、分散サービス妨害、不正暗号通貨マイニング、児童ポルノ、政府・主要企業・電力網に対する攻撃など)の双方が含まれる。フォレンジック手順では、犯罪の解決やインシデント対応に役立つデジタル痕跡を探し出し、分析する。
Forensic procedures are also used to investigate civil actions, such as divorce proceedings, asset discovery, insurance claims, lawsuits, and similar cases that often require forensic methods to determine the presence, absence, and movement of data and funds.  また、フォレンジック手法は、民事訴訟の調査、例えば離婚訴訟、資産開示、保険金請求、訴訟など、にも使用され、データや資金の存在、不存在、移動を特定するために必要となる場合も多い。
An example of how forensic techniques are used involves the collection of a laptop computer while apprehending a presumed perpetrator of an illegal act. The suspected act could involve – for instance –financial exploitation of stolen identities, hacking into a hospital’s records management system to implant ransomware, electronic entry of a corporate system in attempted commercial espionage, or penetrating a government or military computer. Similarly, civil actions can require forensic examination, such as discovering financial assets for a divorce proceeding.   フォレンジック技術の使用例としては、違法行為の加害者と思われる人物を逮捕する際に、ノートパソコンを回収することが挙げられる。このような行為には、例えば、盗まれたIDを利用した金銭的搾取、病院の記録管理システムへのハッキングによるランサムウェアの埋め込み、商業スパイの試みによる企業システムへの電子侵入、政府または軍のコンピュータへの侵入などが含まれる可能性がある。同様に、民事訴訟でも、離婚訴訟のための金融資産の発見など、フォレンジック調査が必要となる場合がある。 
In each of these cases, forensics plays an essential role in determining facts; assisting in the analysis, validation, and authentication of data; and enabling documentation of findings to present to a court and attorneys.  このような場合、フォレンジックは、事実の特定、データの分析、検証、認証、裁判所や弁護士に提出する調査結果の文書化において、重要な役割を担っている。
The application of forensic methods may also be required for normal business operations. For example, forensic methods may be employed to recover data that, at first, appears to be lost or destroyed on computer drives. During incident response, additional goals of using forensic methods may include mitigating future cyberattacks, preventing system failure, or minimizing data loss.   また、通常の業務においても、フォレンジック手法の適用が必要となる場合がある。例えば、フォレンジック手法は、一見、コンピュータドライブ上で失われたり破壊されたりしたように見えるデータを復元するために採用されることがある。インシデントレスポンスにおいて、フォレンジック手法の使用は、将来のサイバー攻撃の軽減、システム障害の防止、またはデータ損失の最小化などの追加的な目標を含むことができる。 
In the commercial context, the use of forensics in incident response can help determine the root cause of an outage event, such as a component failure, corrupted software, or intentional sabotage. Other scenarios may involve close examination of system configurations, potentially questionable employee data storage and activities, and operational aspects related to compliance matters. In any of these cases, forensic methods may supply insights that are not available through any other means.   商業的な文脈では、インシデントレスポンスにおけるフォレンジックの使用は、コンポーネントの故障、破損したソフトウェア、または意図的な妨害行為などの障害事象の根本原因の特定に役立つ。また、システム構成、従業員のデータ保存や活動に問題がある可能性、コンプライアンス問題に関連する運用面などを綿密に調査するシナリオも考えられる。いずれの場合も、フォレンジックの手法は、他の手段では得られない知見をもたらす可能性がある。 
For decades, information processing systems have enabled the storage, processing, and transmission of information for public and private organizations and individuals. The maintenance, operations, and protection of these information systems have become paramount concerns since a disruption of sufficient magnitude or specific type could threaten business activities. In addition, the use of these systems in support of criminal activities has been of major concern.   数十年にわたり、情報処理システムは、公共および民間の組織や個人による情報の保存、処理、送信を可能にしてきた。十分な規模や特定の種類の障害が発生すると事業活動が脅かされるため、これらの情報システムの維持、運用、保護は最重要事項となっている。さらに、これらの情報システムが犯罪行為に利用されることも懸念されている。 
Industry and government have an array of authoritative sources that guide the design, engineering, and operations of information systems. Each of the frameworks listed below can provide core support for the design, implementation, assessment, monitoring, and operations of information systems:  産業界と政府は、情報システムの設計、エンジニアリング、および運用の指針となる権威ある情報源を数多く持っている。以下に挙げるフレームワークは、情報システムの設計、実装、評価、監視、運用を支援する中核となるものである。
•       NIST Risk Management Framework (RMF) [4] – A focused guide to information system risk management  - NIST リスクマネジメントフレームワーク(RMF)[4] - 情報システムのリスクマネジメントに焦点をあてたガイド。
•       ISO 27000 Series [5] – A series of standards dealing with a wide range of information security topics, such as:  - ISO 27000シリーズ[5] - 情報セキュリティに関する幅広いテーマを扱う一連の規格。
o   ISO/IEC 27001 [6] – Information Security Management o ISO/IEC 27002 [7] – Information Security Controls  o ISO/IEC 27001 [6] - 情報セキュリティ管理 o ISO/IEC 27002 [7] - 情報セキュリティ管理 
o  ISO/IEC 27018 [8] – Security of Personally Identifiable Information (PII) in the Cloud  o ISO/IEC 27018 [8] - クラウドにおける個人特定可能情報(PII)のセキュリティ 
o  ISO/IEC 27035 [9] – Incident Response  o ISO/IEC 27035 [9] - インシデントレスポンス 
o   ISO/IEC 27037 [10] – Digital Evidence Collection and Preservation  o ISO/IEC 27037 [10] - デジタル証拠の収集と保存 
•       IT Infrastructure Library (ITIL) [11] – A service-oriented architecture (SOA)  - ITIL (IT Infrastructure Library) [11] - サービス指向アーキテクチャ(SOA) 
•       Sherwood Applied Business Security Architecture (SABSA) [12]  - シャーウッド応用ビジネスセキュリティアーキテクチャ(SABSA)[12]。
•       The Open Group Architecture Framework (TOGAF) [13] – A general security framework  - The Open Group Architecture Framework (TOGAF) [13] - 一般的なセキュリティフレームワーク 
•       Cloud Security Alliance STAR program [14]  – A progressive security certification  - クラウドセキュリティアライアンス STAR プログラム [14] - 進歩的なセキュリティ認証 
The focus of each of these frameworks varies but generally facilitates architecting, implementing, and operating secure and resilient information systems. The RMF is focused on security from a risk identification and management perspective. As varied as the ISO 27000 series [5] is, it contains standards that address digital evidence and incident response. Interestingly, however, there is not a readily apparent, in-depth exploration of cloud-system forensics.    これらのフレームワークの焦点はそれぞれ異なるが、一般に、安全でレジリエンスに優れた情報システムの設計、実装、運用を容易にする。RMFは、リスクの特定とマネジメントの観点からのセキュリティに焦点を合わせている。ISO 27000シリーズ[5]と同様に多様で、デジタル証拠とインシデント対応に対処する規格が含まれている。しかし、興味深いことに、クラウドシステムのフォレンジックについては、容易に理解でき、深く掘り下げたものはない。  
The endeavor presented here deals with the matter of forensics performed within a cloud computing environment. The advent of cloud computing has simplified business operations and introduced a level of business agility not previously experienced with traditional or on-premises computing. However, cloud computing has also introduced a range of security and forensics challenges. Enhanced capabilities enjoyed by legitimate businesses and friendly governments are often equally available to opposing nation-states, terrorist groups, and international criminal elements and assets. As a result, targets that were once unassailable by nefarious actors may now be vulnerable to attack or exploitation.   ここで紹介する試みは、クラウドコンピューティング環境内で実行されるフォレンジックに関する事項を扱うものである。クラウドコンピューティングの登場により、従来のオンプレミス・コンピューティングでは経験できなかったビジネスの簡素化と俊敏性がもたらされた。しかし、クラウドコンピューティングは、セキュリティとフォレンジックに関する様々な課題ももたらしている。合法的な企業や友好的な政府が享受している強化された機能は、しばしば敵対する国家、テログループ、国際的な犯罪要素や資産も同様に利用できるようになっている。その結果、かつては悪意のある行為者に手出しができなかった対象が、今では攻撃や搾取に対して脆弱になっている可能性がある。 
To a great extent, cloud computing runs on virtualization – that is, the creation of processing resources that have hardware as their basis but run as multiplexed programs and are thus functionally multiplied through it. Cloud forensics involves performing analysis on “virtual machines” using techniques that rely on having “real machines” on which to work. In addition, there is the issue of the information obtained. If the “machine” is essentially “unreal,” what does that say about any evidence derived from it? This evidence is therefore different from traditional digital evidence.   クラウドコンピューティングは、仮想化、つまり、ハードウェアをベースとしながらも、多重化されたプログラムとして動作する処理資源を作り、それによって機能的に多重化させることで成り立っている部分が大きい。クラウドフォレンジックでは、「実機」を前提とした手法で「仮想マシン」を分析することになる。さらに、得られる情報の問題もある。もし「マシン」が本質的に「非現実」であるなら、そこから得られる証拠はどうなるのだろうか。そのため、この証拠は、従来のデジタル証拠とは異なる。 
Cloud computing has become increasingly pervasive as more entities discover its advantages.  クラウドコンピューティングは、その利点を発見する事業者が増えるにつれて、ますます普及している。
These entities include legitimate businesses, governments, and individuals who use SaaS cloud platforms, as well as criminal and terrorist organizations and opposing nation-states. For legitimate consumers, cloud computing provides capabilities such as:  これらの主体には、SaaS クラウド・プラットフォームを利用する合法的な企業、政府、個人だけでなく、犯罪組織やテロ組織、敵対する国家も含まれる。正規の消費者にとって、クラウド・コンピューティングは次のような機能を提供する。
•       More rapid business continuity and disaster recovery  ・より迅速な事業継続と災害復旧
•       More effective incident response  ・より効果的なインシデントレスポンス
•       Improved information access, management, and archiving  ・情報へのアクセス,管理,アーカイブの改善
•       Easier and more immediate collaboration between widely separated individuals and groups  ・遠く離れた個人やグループ間での,より簡単で迅速な共同作業
This research has adapted solutions that originated in the on-premises data center to the significant differences presented by the cloud.    この研究では,オンプレミスのデータセンターで生まれ たソリューションを,クラウドがもたらす大きな違いに適合させた。  
As important as they are for addressing significant events related to business operations (as described above), forensic methods have at least equal importance when contributing to matters of compliance, legality, and criminal exploitation. Careful treatment has been given to these questions during this research to ensure that the findings do not merely consider technical aspects but also address the broader aspects of their material application. Unquestionably, close examination of these adverse events is required to understand their incipience and progression and – in particular – to ensure that remediation, event reconstruction, and attribution are effectively and credibly realized.  フォレンジック手法は、事業運営に関連する重要な事象に対処する上で重要であるのと同様に(上述)、コンプライアンス、合法性、犯罪利用といった問題に貢献する上でも、少なくとも同等の重要性を持っている。本研究では、調査結果が単に技術的な側面を考慮するだけでなく、その重要な応用のより広い側面を扱うことを確実にするために、これらの質問に対して慎重な取り扱いがなされた。有害事象の発生と進行を理解し、特に是正、事象の再現、帰属を効果的かつ信頼できる形で実現するためには、これらの有害事象を詳細に調査することが必要であることは疑う余地がない。
Thus, it has been the specific focus and goal of this effort to research these issues, examine and clarify the forensic challenges, and ultimately formulate and validate the capabilities required to apply accepted forensic techniques and technologies to this unique computing environment. The result is the Cloud Computing Forensic Reference Architecture.  したがって、これらの問題を研究し、フォレンジックの課題を検討し、明確にし、最終的にこのユニークなコンピューティング環境に一般的なフォレンジック技術やテクノロジーを適用するために必要な能力を策定し、検証することが、この取り組みの焦点であり目標であった。その結果が、クラウドコンピューティング・フォレンジック参照アーキテクチャーである。
In as much as a security reference architecture is required to incorporate standards and requirements that will inform system actualization and operation with respect to security, applying the forensic reference architecture will likewise inform that system actualization and operation with the capability to more effectively examine, understand, reconstruct, and remediate the variety of system events and disruptions being experienced.   セキュリティ基準アーキテクチャが、セキュリティに関してシステムの実現と運用に情報を提供するための標準と要件を組み込むために必要とされるのと同様に、フォレンジック基準アーキテクチャを適用することによって、システムの実現と運用に、経験するさまざまなシステムイベントと混乱をより効果的に調査、理解、再構築、是正する能力を提供することができるようになる。 
The goal of the CC FRA is to provide support for a cloud system’s forensic readiness. It is meant to help the user understand the cloud forensic challenges that might exist for an organization’s cloud system. It identifies which forensic challenges require mitigation strategies and how a forensic investigator would apply that to a particular forensic investigation. The CC FRA presented here will likely evolve over time with more use and research.   CC FRAの目標は、クラウドシステムのフォレンジック準備の支援を提供することである。これは、組織のクラウドシステムに存在する可能性のあるクラウドフォレンジックの課題をユーザーが理解するのを助けることを目的としている。どのようなフォレンジックの課題が緩和策を必要とするのか、そしてフォレンジック調査者がどのように特定のフォレンジック調査に適用するのかを特定する。ここで紹介するCC FRAは、使用や研究が進むにつれて進化していくと思われる。 
1.2. The Approach  1.2. アプローチ 
The CC FRA builds on several foundational layers. We begin with the understanding that this reference architecture addresses forensics in the context of a cloud computing environment. Building upon the fundamental relationship between security, incident response, and forensics, the CC FRA is designed as an overlay to NIST SP 500-299/SP 800-200, NIST Cloud Computing Security Reference Architecture (Draft) [15]. This document discusses the Security Reference Architecture (SRA) and leverages the CSA’s Enterprise Architecture (EA). Section 3 provides descriptions of the CSA’s EA and its use in the SRA, while Section 4 elaborates on the overlay approach employed for the CC FRA.    CC FRA は、いくつかの基礎的なレイヤーの上に構築されている。まず、この参照アーキテクチャは、クラウド・コンピューティング環境のコンテキストでフォレンジックに取り組むということを理解することから始める。セキュリティ、インシデントレスポンス、フォレンジックの間の基本的な関係に基づいて、CC FRA は NIST SP 500-299/SP 800-200、NIST クラウドコンピューティングセキュリティ参照アーキテクチャ (ドラフト) [15] のオーバーレイとして設計されている。本書では、セキュリティ参照アーキテクチャ(SRA)について説明し、CSAのエンタープライズアーキテクチャ(EA)を活用する。セクション 3 では、CSA の EA と SRA におけるその使用について説明し、セクション 4 では、CC FRA に採用したオー バーレイアプローチについて詳しく説明する。  
Figure 1 depicts the overlaying approach in which cloud functional capabilities comprising the EA are analyzed using the NIST cloud computing forensic challenges to identify the functional capabilities’ potential for supporting a cloud system’s forensic readiness.   図1は、EAを構成するクラウドの機能的能力をNISTクラウドコンピューティング・フォレンジック課題を用いて分析し、クラウドシステムのフォレンジック対応力を支援する機能的能力の可能性を特定するオーバーレイアプローチを示している。 
Fig01_20230212075401
Fig. 1. Forensic Reference Architecture Overlaying Approach  図1. フォレンジック参照アーキテクチャーの重ね合わせ手法 
The bottom layer in  Figure 1 graphically represents the NIST cloud security reference architecture (SRA). The middle layer represents the NIST cloud forensic challenges. The top layer represents the NIST forensic reference architecture (FRA) described in the current document as an overlay (subset) of the graphical representation of the CSA EA – more precisely, the CSA TCI v1.1, which is the initial version of the CSA’s EA (see Appendix C).  図1の最下層は、NISTクラウドセキュリティ参照アーキテクチャ(SRA)を図式化したものである。中央の層は、NISTのクラウド・フォレンジックの課題を表している。一番上の層は、CSAのEA、より正確にはCSAのEAの初期バージョンであるCSA TCI v1.1のグラフィック表現のオーバーレイ(サブセット)として、本書で説明するNISTフォレンジック参照アーキテクチャ(FRA)を表している(附属書Cを参照)。
In Figure 1, the FRA layer leverages the two layers graphically represented beneath it by analyzing each capability of the SRA (these capabilities being derived from the CSA EA) in the context of the challenges documented in NIST IR 8006 [1]. For each challenge, the analysis determines whether the challenge affects the capability if implemented in a cloud environment as part of a cloud service or solution. If the challenge affects the capability, then the functional capability is considered to have forensic importance, and it is imported to or considered being a capability of the FRA.   図1 では、FRA 層は、SRA の各能力(これらの能力は CSA EA に由来する)を NIST IR 8006 [1] に記された課題の文脈で分析することにより、その下に図式的に表される 2 つの層を活用する。各課題について、分析は、クラウドサービスまたはソリューションの一部としてクラウド環境に実装された場合、その課題が能力に影響を及ぼすかどうかを判断する。課題が能力に影響を与える場合、その機能的能力はフォレンジック的に重要であるとみなされ、FRAの能力にインポートされるか、または能力であるとみなされる。 

 

結論

6. Conclusion  6. 結論 
This document presents the NIST Cloud Computing Forensic Reference Architecture (CC FRA) comprised of:  本書は、以下の内容からなる NIST クラウドコンピューティング・フォレンジック参照アーキテクチャー(CC FRA)を提示するものである。
a)     A methodology for analyzing the functional capabilities of an existing architecture – preferably a security architecture like the Cloud Security Alliance’s (CSA’s) Enterprise Architecture (EA) [2] – through a set of cloud forensic challenges, such as the set identified in NIST IR 8006 [1]  a) NIST IR 8006 [1]で特定された一連のクラウドフォレンジック課題を通じて、既存のアーキテクチャ(できれば、Cloud Security Alliance (CSA) のエンタープライズアーキテクチャ (EA) [2] のようなセキュリティアーキテクチャ)の機能能力を分析するための方法論。
b)    A data set that aggregates the results of the above methodology applied to the CSA’s EA [2] and the NIST IR 8006 [1] set of cloud forensic challenges  b) CSA の EA [2] と NIST IR 8006 [1] のクラウド・フォレンジック課題セットに適用した上記手法の結果を集約したデータセット。
The goal of the FRA is to enable the analysis of cloud systems to determine the extent to which a system proactively supports digital forensics. More precisely, the FRA is meant to help users understand how the previously identified cloud forensic challenges might impact an organization’s cloud-based system. When developing a new system or analyzing an existing one, the FRA helps identify those cloud forensic challenges that could affect the system’s capabilities and, therefore, require at least partial mitigation strategies to support a complete forensic investigation. The FRA also identifies how a forensic investigator would apply the mitigation strategies to a particular investigation. While the FRA can be used by any cloud computing practitioner, it is specifically designed to enable cloud system architects, cloud engineers, forensic practitioners, and even cloud consumers to analyze and review their cloud computing architectures for forensic readiness.   FRAの目的は、クラウドシステムを分析し、システムがデジタルフォレンジックをどの程度まで積極的に支援しているかを判断できるようにすることである。より正確には、FRAは、先に特定されたクラウド・フォレンジックの課題が、組織のクラウドベースのシステムにどのような影響を与えうるかをユーザーが理解するのを助けることを意図している。新しいシステムを開発する場合、または既存のシステムを分析する場合、FRAは、システムの機能に影響を与える可能性があり、したがって、完全なフォレンジック調査を支援するために少なくとも部分的な緩和戦略を必要とするクラウドフォレンジックの課題を特定するのに役立つ。また、FRAは、フォレンジック調査員が特定の調査に緩和策を適用する方法を特定する。FRAは、クラウドコンピューティングの専門家なら誰でも使用できるが、特に、クラウドシステムアーキテクト、クラウドエンジニア、フォレンジック専門家、さらにはクラウド利用者が、フォレンジック準備のためにクラウドコンピューティングアーキテクチャを分析およびレビューできるよう設計されている。 
The FRA data provided in this document offers an initial implementation of the FRA methodology and a useful starting point for all cloud forensic stakeholders to analyze how the NIST cloud forensic challenges presented in NIST IR 8006 [1] affect each functional capability present in the CSA’s EA [2].   本文書で提供されるFRAデータは、FRA手法の初期実装と、NIST IR 8006 [1]で示されたNISTクラウドフォレンジックの課題がCSAのEA [2]にある各機能能力にどのように影響するかを分析する、すべてのクラウド・フォレンジックの関係者にとって有用な出発点を提供するものである。 
All users are encouraged to customize this initial implementation (shown in Appendix D) for their specific situations and needs. For example, if the existing functional capabilities are not appropriate for the user’s situation, some or all can be removed, and new ones can be added. Similarly, new forensic challenges appropriate for the user’s situation can be added, and challenges that have been adequately mitigated can be removed. The FRA methodology promotes analysis of how cloud forensic challenges affect particular functional capabilities and helps determine whether mitigations are necessary to ensure forensic readiness related to the respective capability. This means that users can replace all cloud forensics challenges or functional capabilities used in the current FRA data set with their own.  すべてのユーザは、この初期実装(附属書D に示す)を特定の状況やニーズに応じてカスタマイズすることが推奨される。例えば、既存の機能的能力がユーザーの状況に適していない場合、一部または全部を削除し、新しいものを追加することができる。同様に、ユーザーの状況に適した新たなフォレンジック課題を追加し、十分に緩和された課題を削除することができる。FRA手法は、クラウドのフォレンジック課題が特定の機能能力にどのように影響するかの分析を促進し、それぞれの能力に関するフォレンジック対応力を確保するために緩和が必要かどうかを判断するのに役立つ。これは、ユーザーが現在のFRAデータセットで使用されているすべてのクラウドフォレンジックの課題または機能的能力を独自のものに置き換えることができることを意味する。
The FRA presented here will likely evolve over time, and methods for quantifying impact will be developed to enhance FRA usability.  ここで紹介したFRAは、時間の経過とともに進化し、FRAの使い勝手を向上させるために影響を定量化する方法が開発されると思われる。

 

 

[1] Herman M, Iorga M, Salim AS, Jackson R, Hurst M, Leo R, Lee R, Landreville N, Mishra AK, Wang Y, Sardinas R (2020). NIST Cloud Computing Forensic Science Challenges. (National Institute of Standards and Technology, Gaithersburg, MD), NIST Interagency or Internal Report (IR) 8006. https://doi.org/10.6028/NIST.IR.8006

[2] Cloud Security Alliance Enterprise Architecture. Available at https://ea.cloudsecurityalliance.org/

[3] The White House, Executive Order on Improving the Nation’s Cybersecurity, May 12, 2021. Available at https://www.whitehouse.gov/briefing-room/presidentialactions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity/

[4] Joint Task Force (2018). Risk Management Framework for Information Systems and Organizations: A System Life Cycle Approach for Security and Privacy. (National Institute of Standards and Technology, Gaithersburg, MD), NIST Special Publication (SP) 800-37, Rev. 2. https://doi.org/10.6028/NIST.SP.800-37r2

[5] International Organization for Standardization, ISO 2700 Standards. Available at https://www.27000.org/index.htm

[6] ISO/IEC 27001, Information Technology — Security Techniques — Information Security Management Systems — Requirements, 2013. Available at https://www.iso.org/standard/54534.html

[7] ISO/IEC 27002, Information Security, Cybersecurity and Privacy Protection — Information Security Controls, 2022. Available at https://www.iso.org/standard/75652.html

[8] ISO/IEC 27018, Information Technology — Security Techniques — Code of Practice for Protection of Personally Identifiable Information (PII) in Public Clouds Acting as PII Processors, 2019. Available at https://www.iso.org/standard/76559.html

[9] ISO/IEC 27035-2, Information Technology — Security Techniques — Information Security Incident Management — Part 2: Guidelines to Plan and Prepare for Incident Response, 2016. Available at https://www.iso.org/standard/62071.html

[10] ISO/IEC 27037, Information Technology — Security Techniques — Guidelines for Identification, Collection, Acquisition and Preservation of Digital Evidence, 2012. Available at https://www.iso.org/standard/44381.html

[11] IT Infrastructure Library (ITIL). Available at https://www.ibm.com/cloud/learn/itinfrastructure-library

[12] The SABSA Institute, SABSA Enterprise Security Architecture. Available at https://sabsa.org/

[13] The Open Group, The TOGAF Standard, Version 9.2. Available at https://www.opengroup.org/togaf

[14] Cloud Security Alliance – Security, Trust, Assurance and Risk (STAR). Available at https://cloudsecurityalliance.org/star

[15] NIST Cloud Computing Security Reference Architecture (Draft). (National Institute of Standards and Technology, Gaithersburg, MD).  NIST Special Publication (SP) 500299/800-200. Available at https://github.com/usnistgov/CloudSecurityArchitectureToolCSAT-v0.1/blob/master/Documents/NIST%20SP%20800-200SRA_DRAFT_20180414.pdf

 


 

まるちゃんの情報セキュリティ気まぐれ日記

 

NISTIR 8006

・2020.08.26 NIST クラウドコンピューティング環境でのフォレンジックの課題についての整理

 

CSAのインシデント対応

・2021.06.07 Cloud Security Alliance がクラウド利用時のインシデント対応のためのガイドの日本語訳を公表していますね。。。

・2021.05.05 Cloud Security Alliance がクラウド利用時のインシデント対応のためのガイドを公表していますね。。。

・2020.04.23 Cloud Security Alliance がクラウド上でのインシデント対応のフレームワーク(クイックガイド)を公表していますね。。。

 

STAR

・2021.09.17 Cloud Security Alliance STAR認証:継続的監査の導入

・2021.05.30 Cloud Security Alliance CSA STAR Attestation v2 を提供する米国公認会計士へのガイドライン

 

その他

・2021.01.10 CISA アラート Microsoftクラウド環境下での侵害後の脅威アクティビティの検出

 

 

| | Comments (0)

2023.02.12

米国 FBI 中国の高高度気球の回収

こんにちは、丸山満彦です。

2月4日に撃墜した気球について、FBIのウェブページの記載...

日本上空に同じ気球が飛んできた場合、日本はどう対応するんでしょうかね。。。

 

FBI

・2023.02.09 Chinese High-Altitude Balloon Recovery 

Chinese High-Altitude Balloon Recovery 中国の高高度気球の回収
Behind the Bureau’s role as the lead governing agency for the forensic examination of the Chinese high-altitude balloon 中国高高度気球の科学捜査の主管庁としての同局の役割の裏側
In a news briefing on Thursday, senior FBI officials detailed the Bureau’s role as the lead governing agency for the forensic examination of the Chinese high-altitude balloon identified and shot down February 5 by the U.S. military off the coast of South Carolina. 2月5日に米軍がサウスカロライナ州沖で発見・撃墜した中国製高高度気球の科学捜査の主管庁としてのFBIの役割について、FBI高官が1日の記者会見で詳しく説明しました。
The Operational Technology Division and the Laboratory Division are working closely with subject matter experts from the Department of Defense—including the Naval Criminal Investigative Service—and other government agencies. Additionally, personnel from the FBI’s Washington, Columbia, Charlotte, and Norfolk field offices have deployed personnel, including ERT- and USERT-trained agents, to assist with the logistics of the recovery and analysis of the debris.  運用技術部門と研究所部門は、海軍犯罪捜査局を含む国防総省やその他の政府機関の主題専門家と緊密に連携しています。さらに、FBIのワシントン、コロンビア、シャーロット、ノーフォークの各支局から、ERTとUSERTの訓練を受けた捜査官を含む人員を派遣し、瓦礫の回収と分析の後方支援を行っています。 
“We were on-scene late Sunday, on February 5, and the first evidence that was received was transported to Quantico and received late Monday.” 我々は2月5日の日曜日遅くに現場に入り、最初に受け取った証拠をクアンティコに輸送し、月曜日遅くに受け取りました。
Eric Pokorak, assistant director, Laboratory Division ラボラトリー部門アシスタントディレクター エリック ポコラック氏
01-cb_020923_06
FBI special agents assigned to the Evidence Response Team process material recovered from the high-altitude balloon recovered off the coast of South Carolina. サウスカロライナ州沖で回収された高高度気球から回収された物質を処理する証拠品対応チームのFBI特別捜査官。
Michael Paul, assistant director of the Operational and Technology Division (OTD), and Eric Pokorak, assistant director of the Laboratory Division, said it is too early in the investigation to determine the intent and capabilities of the balloon. 運用技術部(OTD)のマイケル・ポール部長補佐と研究所部のエリック・ポコラック部長補佐は、気球の意図や能力を判断するには捜査の初期段階であると述べています。
Pokorak said much of the evidence remains underwater and that the FBI is coordinating further searches with the U.S. Navy and Coast Guard. Dive teams from the FBI and U.S. Navy are working together. ポコラック氏によると、証拠の多くは水中に残っており、FBIは米海軍および沿岸警備隊とさらなる捜索を調整しているとのことです。FBIと米海軍の潜水チームが協力しています。
“We were on-scene late Sunday, on February 5, and the first evidence that was received was transported to Quantico and received late Monday, February 6,” he explained. Pokorak described the search area as a “large-scale scene” and said weather concerns in the next few days “may impact” evidence collection and the transportation of recovered items. ポコラック氏は、次のように述べました。「私たちは2月5日の日曜日遅くに現場に入り、最初に受け取った証拠をクアンティコに運び、2月6日の月曜日遅くに受け取りました。捜索地域を「大規模な現場」と表現し、今後数日間の天候の懸念が証拠収集や回収品の輸送に「影響を与える可能性があります。」
02-cb_020923_02
03-cb_020923_07
FBI technical and forensic experts from the FBI's Science and Technology Branch positioned for incoming evidence. FBIの科学技術部門の技術・フォレンジック専門家が、搬入される証拠品の位置付けを行います。
Once the evidence is received at the FBI Laboratory in Quantico, Virginia, a team of experts engages in a decontamination process, Pokorak continued. “In simple terms, that is removing the salt water from the evidence itself. Rinsing and washing it so that it can be further processed.” そして、ポコラック氏は次のように続けました。「バージニア州クアンティコにあるFBI研究所で証拠品を受け取ると、専門家チームが除染作業に取り掛かります。簡単に言うと、証拠品から塩分を取り除くことです。さらに処理できるように、すすぎと洗浄を行います。」
The evidence recovered so far has been limited to surface findings, including the balloon (or canopy itself) some wiring, a tiny amount of electronics—but only a small portion of the payload. これまでのところ、回収された証拠は、気球(またはキャノピー自体)、いくつかの配線、ごく少量の電子機器など、表面上の発見物に限られていますが、搭載物のごく一部しかありません。
“We have not seen the payload where we expect to see the lion’s share of the electronics,” said Paul. “OTD deployed specialists to assist with screening and to specifically assess electronic components that might be recovered during the operation.” ポール氏は、次のように言いました。「電子機器の大部分を見ることができるはずの搭載物をまだ見ていないのです。OTDは、スクリーニングを支援し、作戦中に回収される可能性のある電子部品を特別に評価するために、専門家を配備しました」。
04-cb_020923_01
05-cb_020923_03
01-cb_020923_06
Top: FBI subject matter experts prepare to board the USS Carter Hull to conduct search and recovery operations in collaboration with the U.S. Navy. 上:米海軍と協力して捜索・回収活動を行うため、USSカーター・ハルに乗り込む準備をするFBIの主題専門家たち。
He said this investigation marks the first time the FBI Laboratory and OTD have responded to a “hot air balloon of this nature” and the processing of the corresponding scene. Paul said no “energetic or offensive material” has been detected but emphasized much of the evidence has yet to be recovered. 今回の捜査は、FBI研究所とOTDが「このような性質の熱気球」に対応する初めてのケースであり、対応する現場の処理であると述べました。ポール氏は、「エネルギーや攻撃的な物質」は検出されなかったが、証拠の多くがまだ回収されていないことを強調しました。
Asked about the manufacturer of the balloon or whether its design was based on stolen intelligence, Paul said the FBI is not in position “at this point to have that information.” He said both the FBI Laboratory and OTD are working to determine the source of the balloon components. Additionally, the FBI has no information or physical evidence at this time that contradicts previous statements made by other government agencies.  気球の製造元や、その設計が盗まれた情報に基づいているかどうかについて尋ねられたポール氏は、FBIは「現時点ではその情報を入手できる立場にない」と答えました。同氏は、FBI研究所とOTDの両方が、気球の部品の出所を特定するために作業中であると述べました。 さらに、FBIは現時点では、他の政府機関による以前の声明と矛盾する情報や物的証拠を持ち合わせていません。 
The Laboratory Division leads the collection, transportation, and subsequent forensic examinations of evidentiary material. It is staffed with subject matter experts, including highly trained evidence response dive teams and hazardous evidence response teams, which contribute to the mission of collecting, analyzing, and sharing timely scientific and technical information within the FBI and with other government and law enforcement agencies. 研究所は、証拠となる物質の収集、輸送、およびその後のフォレンジック検査を主導しています。高度な訓練を受けた証拠品対応潜水チームや危険な証拠品対応チームを含む主題専門家が配置されており、タイムリーな科学技術情報を収集、分析し、FBI 内および他の政府機関や法執行機関と共有するという使命に貢献しています。
The OTD is the FBI’s provenance for applied technology enabling and enhancing investigations. OTD personnel have been deployed to assist with recovery efforts and initial assessments of technological evidence. OTDは、捜査を可能にし、強化する応用技術に関するFBIの出先機関です。OTDの職員は、復旧作業と技術的証拠の初期評価を支援するために配備されています。

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.02.11 米国 中国の偵察気球が米国上空を通過 (2つ目の撃墜の件も追加...)

 

 

| | Comments (0)

NIST 標準軽量暗号はAsconファミリーから... (2023.02.07)

こんにちは、丸山満彦です。

IoTなどでの利用が考えられる軽量暗号ですが、NISTがAsconファミリーを標準軽量暗号に選定したようですね。。。

 

NIST

・2023.02.07 Lightweight Cryptography Standardization Process: NIST Selects Ascon

Lightweight Cryptography Standardization Process: NIST Selects Ascon 軽量暗号の標準化プロセス:NIST が Ascon を選定
The NIST Lightweight Cryptography Team has reviewed the finalists based on their submission packages, status updates, third-party security analysis papers, and implementation and benchmarking results, as well as the feedback received during workshops and through the lwc-forum. The decision was challenging since most of the finalists exhibited performance advantages over NIST standards on various target platforms without introducing security concerns. NIST Lightweight Cryptography Teamは、提出されたパッケージ、ステータスアップデート、第三者によるセキュリティ分析論文、実装およびベンチマーク結果、さらにワークショップやlwc-forumを通じて寄せられたフィードバックに基づいて、最終候補を検討しました。最終候補のほとんどは、さまざまなターゲットプラットフォームにおいて、セキュリティ上の懸念をもたらすことなく、NIST標準を上回る性能を示したため、その決定は困難なものとなりました。
The team has decided to standardize the Ascon family for lightweight cryptography applications as it meets the needs of most use cases where lightweight cryptography is required. Congratulations to the Ascon team! NIST thanks all of the finalist teams and the community members who provided feedback that contributed to the selection.  チームは、軽量暗号が必要とされるほとんどのユースケースのニーズを満たすことから、軽量暗号アプリケーション用にAsconファミリを標準化することを決定しました。Asconチームの皆さん、おめでとうございます。NISTは、最終選考に残ったすべてのチームと、選考に貢献したフィードバックを提供したコミュニティのメンバーに感謝します。 
NIST’s next steps will be to: NISTの次のステップは、以下の通りです。
・Publish NIST IR 8454, which describes the details of the selection and the evaluation process ・選考の詳細と評価プロセスを説明した NIST IR 8454 を発行する。
・Work with the Ascon designers to draft the new lightweight cryptography standard for public comments ・Asconの設計者と協力して、新しい軽量暗号規格のドラフトを作成し、パブリックコメントを募集する。
・Host a virtual public workshop to further explain the selection process and to discuss various aspects of standardization (e.g., additional variants, functionalities, and parameter selections) as well as possible extensions to the scope of the lightweight cryptography project. The tentative dates for the workshop are June 21-22, 2023. More information will be provided in the upcoming weeks. ・仮想パブリックワークショップを開催し、選定プロセスの説明と標準化の様々な側面(追加バリエーション、機能、パラメータ選択など)、および軽量暗号プロジェクトのスコープ拡張の可能性について議論する。ワークショップの暫定的な日程は、2023年6月21日から22日です。詳細な情報は、今後数週間のうちに提供されます。

 

関連

Lightweight Cryptography

 

Ascon

Ascon - Lightweight Authenticated Encryption & Hashing

20230212-135609

IPAの軽量暗号に関する資料

IPA

・2022.04.13 [PDF] 「CRYPTREC 暗号技術ガイドライン(軽量暗号)」 掲載の暗号方式に関する安全性評価の動向調査

20230212-135724

 

・2017.03 [PDF] CRYPTREC 暗号技術ガイドライン (軽量暗号)

20230212-135656

| | Comments (0)

JNSA 20+3周年記念講演資料公開 「コンピューターセキュリティ、情報システムセキュリティ、ITセキュリティ、ネットワークセキュリティ情報セキュリティ、サイバーセキュリティ、そして…」

こんにちは、丸山満彦です。

2023.02.02に開催されました「JNSA設立20+3周年記念イベント講演会」で講演をさせていただきましたが、その時の資料がJNSAからPDFで公開されております。。。

JNSA設立から23年ということで概ね四半世紀経ったわけですが、これからの世代のかたに、その当時のことを少し紹介しながら、これからのJNSAの運営のヒントに少しでもなればということで、お話をさせていただきました。

ネットワークセキュリティですが、ゼロトラストとか言われている時代ですからね、、、本当にJNSAで良いのか?という話もあるとは思うんですよね。。。それで表題を、「コンピューターセキュリティ、情報システムセキュリティ、ITセキュリティ、ネットワークセキュリティ情報セキュリティ、サイバーセキュリティ、そして…」といたしました。

JNSAの前の時代は、コンピュータセキュリティ、データセキュリティと言われていた時代でしたからね。。。それが、インターネットの時代になったので、ネットワークセキュリティ、、、でも、これからはどういう時代?ということです。。。

 

おっちゃん、おばちゃんたちが通ってきた道を少し振り返ってもらい、これからの世代の皆さんが進む道を少し考えてもらえたらいいね、という感じです(^^)

 

JNSA

・2023.02.02 JNSA設立20+3周年記念イベント講演会

・[PDF] 丸山 満彦 氏(PwCコンサルティング合同会社パートナー/情報セキュリティ大学院大学客員教授)講演資料
「コンピューターセキュリティ、情報システムセキュリティ、ITセキュリティ、ネットワークセキュリティ、情報セキュリティ、サイバーセキュリティ、そして・・・」
(2023年2月2日)(PDF:2.3MB)

 

20230211-225554

 

 

 


 

個人的には、2020年8月に第24回 サイバー犯罪に関する白浜シンポジウムで発表した、『スマートサイバー AI活用時代のサイバーリスク管理』の資料も参考になると思いますので、是非是非...

 

まるちゃんの情報セキュリティ気まぐれ日記

・2020.10.25『スマートサイバー AI活用時代のサイバーリスク管理』第24回 サイバー犯罪に関する白浜シンポジウムの発表資料

・[PDF] スマートサイバー AI活用時代のサイバーリスク管理(配布用)

Title

 

 

 

| | Comments (0)

2023.02.11

米国 英国 ロシアを拠点とするサイバー犯罪組織「Trickbot」のメンバーに制裁を科す

こんにちは、丸山満彦です。

米国と英国が協力して、ロシアの7名のランサムウェア犯罪者として指定したようですね。。。捜査当局の国際連携は重要ですね。。。

01_20230211004601

U.S. Department of State

・2023.02.09 Taking Joint Action Against Cybercriminals

Taking Joint Action Against Cybercriminals サイバー犯罪者に対して共同行動を起こす
The United States and the United Kingdom are taking coordinated action today targeting cybercriminals who launched assaults against our critical infrastructure.  We will continue to work with the United Kingdom and with other international partners to expose and disrupt cybercrime emanating from Russia. 米国と英国は本日、重要インフラに対する攻撃を開始したサイバー犯罪者を標的とした協調行動をとった。  我々は、ロシアから行われたサイバー犯罪を摘発し、混乱させるために、英国や他の国際的なパートナーとの協力を続けていくつもりである。
The United States is designating seven individuals who are part of the Russia-based cybercrime gang Trickbot.  We are taking this action pursuant to Executive Order (E.O.) 13694, as amended by E.O. 13757, for the individuals’ involvement in a cyber-enabled activity that poses a significant threat to the national security, foreign policy, or economic health or financial stability of the United States. 米国は、ロシアを拠点とするサイバー犯罪組織「Trickbot」の一員である7人の個人を指定する。  我々は、大統領令(E.O.)13694(E.O.13757により改正)に基づき、米国の国家安全保障、外交政策、経済的健全性や財政的安定性に対する重大な脅威となるサイバー対応行為にこれらの個人が関わっているとして、この行動を起こしている。
Russia is a safe haven for cybercriminals, where groups such as Trickbot freely perpetrate malicious cyber activities against the United States, the United Kingdom, and our allies and partners.  These activities have targeted critical infrastructure, including hospitals and medical facilities. ロシアはサイバー犯罪者の安住の地で、Trickbotのようなグループが米国、英国、そして我々の同盟国やパートナーに対して悪質なサイバー活動を自由に行っている。  これらの活動は、病院や医療施設などの重要なインフラを標的にしている。
The United States and the United Kingdom are leaders in the global fight against cybercrime and are committed to using all available authorities to defend against cyber threats.  Today’s action, the first under the UK’s new cyber sanctions authority, demonstrates our continued commitment to collaborating with partners and allies to address Russia-based cybercrime, and to countering ransomware attacks and their perpetrators.  As Russia’s illegal war against Ukraine continues, cooperation with our allies and partners is more critical than ever to protect our national security. 米国と英国は、サイバー犯罪との世界的な闘いにおけるリーダーであり、サイバー脅威から身を守るために利用可能なあらゆる権限を行使することを約束する。  本日の措置は、英国の新たなサイバー制裁権限に基づく最初の措置であり、パートナーや同盟国と協力してロシアを拠点とするサイバー犯罪に対処し、ランサムウェア攻撃とその実行犯に対抗するという我々の継続的なコミットメントを示すものである。  ロシアのウクライナに対する違法な戦争が続く中、同盟国やパートナーとの協力は、我々の国家安全を守るためにこれまで以上に重要である。
For more information about these designations, please see the Department of the Treasury’s press release. これらの指定の詳細については、財務省のプレスリリースを参照すること。

 

・2023.02.09 United States and United Kingdom Sanction Members of Russia-Based Trickbot Cybercrime Gang

United States and United Kingdom Sanction Members of Russia-Based Trickbot Cybercrime Gang 米国と英国がロシアを拠点とするサイバー犯罪組織「Trickbot」のメンバーに制裁を科す
The United States and United Kingdom issue historic joint cyber sanctions 米国と英国が歴史的な共同サイバー制裁を発動
WASHINGTON — Today, the United States, in coordination with the United Kingdom, is designating seven individuals who are part of the Russia-based cybercrime gang Trickbot. This action represents the very first sanctions of their kind for the U.K., and result from a collaborative partnership between the U.S. Department of the Treasury’s Office of Foreign Assets Control and the U.K.’s Foreign, Commonwealth, and Development Office; National Crime Agency; and His Majesty’s Treasury to disrupt Russian cybercrime and ransomware. ワシントン - 本日、米国は英国との協力の下、ロシアを拠点とするサイバー犯罪組織「Trickbot」の一員である7人の個人を指定した。今回の措置は、米国財務省外国資産管理局と英国の外務英連邦開発局、国家犯罪対策庁、英国財務省が、ロシアのサイバー犯罪とランサムウェアを阻止するために協力した結果、英国にとって初めての制裁となる。
“Cyber criminals, particularly those based in Russia, seek to attack critical infrastructure, target U.S. businesses, and exploit the international financial system,” said Under Secretary Brian E. Nelson.  “The United States is taking action today in partnership with the United Kingdom because international cooperation is key to addressing Russian cybercrime.” ブライアン・E・ネルソン次官は、次のように述べている。「サイバー犯罪者、特にロシアに拠点を置く犯罪者は、重要インフラを攻撃し、米国企業を標的にし、国際金融システムを悪用しようとしている。 ロシアのサイバー犯罪に対処するためには国際協力が重要であるため、米国は英国との協力のもと、本日行動を起こした。」
Russia is a haven for cybercriminals, where groups such as Trickbot freely perpetrate malicious cyber activities against the U.S., the U.K., and allies and partners. These malicious cyber activities have targeted critical infrastructure, including hospitals and medical facilities during a global pandemic, in both the U.S. and the U.K. Last month, Treasury’s Financial Crimes Enforcement Network (FinCEN) identified a Russia-based virtual currency exchange, Bitzlato Limited, as a “primary money laundering concern” in connection with Russian illicit finance.  The United States and the United Kingdom are leaders in the global fight against cybercrime and are committed to using all available authorities and tools to defend against cyber threats. ロシアはサイバー犯罪者の天国であり、Trickbotのようなグループが米国、英国、および同盟国やパートナーに対して悪意のあるサイバー活動を自由に行っている。これらの悪質なサイバー活動は、世界的なパンデミック時に、米国と英国の病院や医療施設などの重要なインフラを標的にしている。先月、財務省の金融犯罪取締ネットワーク(FinCEN)は、ロシアに拠点を置く仮想通貨取引所であるBitzlato Limitedを、ロシアの不正金融に関連する「主たるマネーロンダリングの懸念」として特定した。 米国と英国は、サイバー犯罪に対する世界的な闘いのリーダーであり、利用可能なすべての権限とツールを用いて、サイバー脅威から防衛することを約束する。
This action follows other recent sanctions actions taken jointly by the U.S. and the U.K. including in the Russia and Burma programs, as well as last year’s multilateral action against the Kinahan Crime Group. It also reflects the finding from the 2021 Sanctions Review that sanctions are most effective when coordinated with international partners and highlights the deepened partnership between OFAC and the UK’s Office of Financial Sanctions Implementation. 今回の措置は、ロシアやビルマプログラム、昨年のキナハン犯罪グループに対する多国間措置など、米国と英国が最近共同で実施した制裁措置に続くものである。また、制裁は国際的なパートナーとの協調が最も効果的であるという2021年制裁見直しの所見を反映し、OFACと英国の金融制裁実施局とのパートナーシップの深化を強調するものである。
TRICKBOT: A NOTORIOUS CYBER GANG IN RUSSIA Trickbot:ロシアにおける悪名高いサイバーギャング
Trickbot, first identified in 2016 by security researchers, was a trojan virus that evolved from the Dyre trojan. Dyre was an online banking trojan operated by individuals based in Moscow, Russia, that began targeting non-Russian businesses and entities in mid-2014.  Dyre and Trickbot were developed and operated by a group of cybercriminals to steal financial data. The Trickbot trojan viruses infected millions of victim computers worldwide, including those of U.S. businesses, and individual victims. It has since evolved into a highly modular malware suite that provides the Trickbot Group with the ability to conduct a variety of illegal cyber activities, including ransomware attacks. During the height of the COVID-19 pandemic in 2020, Trickbot targeted hospitals and healthcare centers, launching a wave of ransomware attacks against hospitals across the United States. In one of these attacks, the Trickbot Group deployed ransomware against three Minnesota medical facilities, disrupting their computer networks and telephones, and causing a diversion of ambulances. Members of the Trickbot Group publicly gloated over the ease of targeting the medical facilities and the speed with which the ransoms were paid to the group. 2016年にセキュリティ研究者によって初めて確認されたTrickbotは、Dyreトロイの木馬から進化したトロイの木馬ウイルスであった。Dyreは、ロシアのモスクワに拠点を置く個人によって運営されていたオンラインバンキングのトロイの木馬で、2014年半ばからロシア以外の企業や団体を標的にするようになった。  DyreとTrickbotは、金融データを盗むためにサイバー犯罪者グループによって開発・運用されていた。トロイの木馬ウイルス「Trickbot」は、米国企業のコンピュータを含む世界中の数百万台の被害者コンピュータ、および個人の被害者に感染した。その後、高度にモジュール化されたマルウェア群に進化し、ランサムウェア攻撃など、さまざまな違法なサイバー活動を行う能力をTrickbotグループに提供している。2020年のCOVID-19パンデミックの最中、Trickbotは病院やヘルスケアセンターを標的にし、米国中の病院に対してランサムウェア攻撃を相次いで仕掛けた。このうち、ミネソタ州の3つの医療施設に対して、Trickbot グループがランサムウェアを展開し、コンピュータネットワークと電話を麻痺させ、救急車を迂回させるという攻撃を行った。Trickbotグループのメンバーは、医療施設を容易に攻撃できたこと、そして身代金の支払いが迅速であったことを公の場で賞賛している。
Current members of the Trickbot Group are associated with Russian Intelligence Services. The Trickbot Group’s preparations in 2020 aligned them to Russian state objectives and targeting previously conducted by Russian Intelligence Services. This included targeting the U.S. government and U.S. companies. Trickbotグループの現在のメンバーは、ロシア諜報機関と関係がある。2020年におけるTrickbotグループの準備は、ロシアの国家目標や、ロシア諜報機関が以前に行った標的設定と一致していた。これには、米国政府および米国企業を標的としたものも含まれていた。
Vitaly Kovalev was a senior figure within the Trickbot Group. Vitaly Kovalev is also known as the online monikers “Bentley” and “Ben”. Today, an indictment was unsealed in the U.S. District Court for the District of New Jersey charging Kovalev with conspiracy to commit bank fraud and eight counts of bank fraud in connection with a series of intrusions into victim bank accounts held at various U.S.-based financial institutions that occurred in 2009 and 2010, predating his involvement in Dyre or the Trickbot Group. Vitaly Kovalevは、Trickbotグループの幹部であった。Vitaly Kovalevは、オンラインでは「Bentley」および「Ben」というニックネームでも知られている。本日、ニュージャージー州連邦地方裁判所で、Dyre や Trickbot グループ に関与する以前の 2009 年と 2010 年に発生した、米国に拠点を置く様々な金融機関の被害者銀行口座への一連の侵入に関して、Kovalev を銀行詐欺を行うための陰謀および 8 件の銀行詐欺で告発する起訴状が発行された。
Maksim Mikhailov has been involved in development activity for the Trickbot Group. Maksim Mikhailov is also known as the online moniker “Baget”. Maksim Mikhailov は、Trickbot グループ の開発活動に関与してきた。Maksim Mikhailovは、オンラインでは「Baget」というニックネームでも知られている。
Valentin Karyagin has been involved in the development of ransomware and other malware projects. Valentin Karyagin is also known as the online moniker “Globus”. Valentin Karyaginは、ランサムウェアやその他のマルウェアのプロジェクト開発に携わってきた。Valentin Karyaginは、オンライン・モノコック「Globus」としても知られている。
Mikhail Iskritskiy has worked on money-laundering and fraud projects for the Trickbot Group. Mikhail Iskritskiy is also known as the online moniker “Tropa”. Mikhail Iskritskiy 氏は、Trickbot グループ のマネーロンダリングおよび詐欺プロジェクトに携わってきた。Mikhail Iskritskiyは、オンラインでは「Tropa」というニックネームでも知られている。
Dmitry Pleshevskiy worked on injecting malicious code into websites to steal victims’ credentials. Dmitry Pleshevskiy is also known as the online moniker “Iseldor”. Dmitry Pleshevskiyは、ウェブサイトに悪質なコードを注入し、被害者の認証情報を盗むことに取り組んでいた。Dmitry Pleshevskiyは、「Iseldor」というオンライン・モノマネでも知られている。
Ivan Vakhromeyev has worked for the Trickbot Group as a manager. Ivan Vakhromeyev is also known as the online moniker “Mushroom”. Ivan Vakhromeyev は、Trickbot グループ でマネージャーとして働いていたことがある。Ivan Vakhromeyevは、オンラインでは「Mushroom」というニックネームでも知られている。
Valery Sedletski has worked as an administrator for the Trickbot Group, including managing servers. Valery Sedletski is also known as the online moniker “Strix”. Valery Sedletskiは、Trickbot グループの管理者として働いており、サーバーの管理も行っている。ヴァレリー・セドレツキーは、オンライン上の「Strix」というニックネームでも知られている。
OFAC is designating each of these individuals pursuant to Executive Order (E.O.) 13694, as amended by E.O. 13757, for having materially assisted, sponsored, or provided material, or technological support for, or goods or services to or in support of, an activity described in subsection (a)(ii) of section 1 of E.O. 13694, as amended. OFACは、E.O. 13757によって改正された大統領令(E.O.)13694に従って、E.O. 13694の改正後の第1節の(a)(ii)項に記載されている活動を実質的に支援、後援、または材料、技術支援、あるいは物品またはサービスを提供したとしてこれらの各人を指定するものである。
SANCTIONS IMPLICATIONS 制裁措置への影響
As a result of today’s action, all property and interests in property of the individuals that are in the United States or in the possession or control of U.S. persons must be blocked and reported to OFAC. OFAC’s regulations generally prohibit all dealings by U.S. persons or within the United States (including transactions transiting the United States) that involve any property or interests in property of blocked or designated persons. 本日の措置の結果、米国内にある、あるいは米国人の所有または管理下にある当該個人の財産および財産の権利はすべて封鎖し、OFACに報告する必要がある。OFACの規制は、一般に、ブロックされた又は指定された人物の財産又はその持分に関わる、米国人による又は米国内の全ての取引(米国を通過する取引を含む)を禁止する。
In addition, persons that engage in certain transactions with the individuals designated today may themselves be exposed to designation. Furthermore, any foreign financial institution that knowingly facilitates a significant transaction or provides significant financial services for any of the individuals or entities designated today could be subject to U.S. correspondent or payable-through account sanctions. また、本日指定された人物と特定の取引を行う者は、自らも指定の対象となる可能性がある。さらに、本日指定された個人または団体のいずれに対しても、故意に重要な取引を促進したり、重要な金融サービスを提供したりする外国金融機関は、米国のコルレス口座またはペイスルー口座制裁の対象となる可能性がある。
The power and integrity of OFAC sanctions derive not only from its ability to designate and add persons to the Specially Designated Nationals and Blocked Persons (SDN) List but also from its willingness to remove persons from the SDN List consistent with the law. The ultimate goal of sanctions is not to punish but to bring about a positive change in behavior. For information concerning the process for seeking removal from an OFAC list, including the SDN List, please refer to OFAC’s Frequently Asked Question 897. For detailed information on the process to submit a request for removal from an OFAC sanctions list, please refer to OFAC’s website. OFAC の制裁の威力と完全性は、特別指定国民及び阻止者(SDN)リストの指定・追加能力だけでなく、法に基づき SDN リストから人物を削除する意思からも導き出されるものである。制裁の最終的な目標は、罰することではなく、行動に前向きな変化をもたらすことである。SDNリストを含むOFACリストからの削除を求めるプロセスに関する情報については、OFACのFrequently Asked Question 897を参照してください。OFAC制裁リストからの削除要請を提出するためのプロセスの詳細については、OFACのウェブサイトを参照すること。
See OFAC’s Updated Advisory on Potential Sanctions Risk for Facilitating Ransomware Payments  for information on the actions that OFAC would consider to be mitigating factors in any related enforcement action involving ransomware payments with a potential sanctions risk. For information on complying with sanctions applicable to virtual currency, see OFAC’s Sanctions Compliance Guidance for the Virtual Currency Industry . See also the UK’s Office of Financial Sanctions Implementation’s recently issued Guidance on Financial Sanctions and Ransomware. 制裁リスクのあるランサムウェアの支払いに関わる関連執行措置においてOFACが緩和要因と見なす行為に関する情報については、ランサムウェアの支払いを促進するための潜在的制裁リスクに関するOFACの最新アドバイザリーを参照すること。仮想通貨に適用される制裁を遵守するための情報については、OFACのSanctions Compliance Guidance for the Virtual Currency Industry(仮想通貨業界向け制裁遵守ガイダンス) を参照すること。また、英国の金融制裁実施局が最近発行した「金融制裁とランサムウェアに関するガイダンス」も参照すること。
For more information on the individuals designated today, click here. 本日指定された個人に関する詳細については、こちらを参照すること。
For more information on the United Kingdom’s action, click here. 英国の措置の詳細については、こちらを参照すること。

 


 

Gov U.K.

・2023.02.09 UK cracks down on ransomware actors

UK cracks down on ransomware actors 英国はランサムウェアの行為者を取り締まる
The UK has sanctioned 7 Russian cyber criminals through coordinated actions with the US government. 英国は、米国政府との協調行動により、ロシアのサイバー犯罪者7名に制裁を加えた。
・seven Russian nationals have assets frozen and travel bans imposed ・7人のロシア人の資産が凍結され、渡航禁止措置がとられた
・ransomware is a tier 1 national security threat, with attacks against businesses and public sector organisations increasingly common. Recent victims include UK schools, local authorities and firms – whilst internationally the Irish Health Service Executive, Costa Rican government and American healthcare providers were targeted ・ランサムウェアは、国家安全保障上の脅威(Tier1)であり、企業や公共機関に対する攻撃がますます一般化している。最近の被害者には、英国の学校、地方自治体、企業などが含まれ、国際的には、アイルランド保健サービス庁、コスタリカ政府、米国のヘルスケアプロバイダーが標的にされた。
・new campaign of concerted action is being coordinated with the US, after 149 British victims of ransomware known as Conti and Ryuk were identified by the National Crime Agency (NCA) ・英国犯罪捜査局(NCA)により、ContiおよびRyukと呼ばれるランサムウェアの被害者149人が確認された後、米国と協調して新たなキャンペーンを展開中である。
Seven Russian cyber criminals have today (Thursday 9 February) been sanctioned by the UK and US in the first wave of new coordinated action against international cyber crime. These individuals have been associated with the development or deployment of a range of ransomware strains which have targeted the UK and US. 2月9日(木)、国際的なサイバー犯罪に対する新たな協調行動の第一弾として、ロシアのサイバー犯罪者7人が英国と米国から制裁を受けました。これらの犯罪者は、英国および米国を標的としたさまざまなランサムウェアの開発または展開に関与している。
Foreign Secretary James Cleverly said: ジェームズ・クレバリー外務大臣は次のように述べている。
「By sanctioning these cyber criminals, we are sending a clear signal to them and others involved in ransomware that they will be held to account. 「これらのサイバー犯罪者に制裁を加えることで、彼らやランサムウェアに関わる他の人々に、責任を取らせるという明確なシグナルを送ることができる。
These cynical cyber attacks cause real damage to people’s lives and livelihoods. We will always put our national security first by protecting the UK and our allies from serious organised crime – whatever its form and wherever it originates.」 このような冷笑的なサイバー攻撃は、人々の生活や生命に大きな損害を与える。私たちは常に国家の安全を第一に考え、その形態や発生源がどこであれ、深刻な組織犯罪から英国や同盟国を守っていく。」
Ransomware criminals specifically target the systems of organisations they judge will pay them the most money and time their attacks to cause maximum damage, including targeting hospitals in the middle of the pandemic. ランサムウェアによる犯罪者は、最も高い金額を支払うと判断した組織のシステムを特に標的とし、パンデミックの最中に病院を標的にするなど、最大の被害を引き起こすために時間を計って攻撃を行う。
Ransomware groups known as Conti, Wizard Spider, UNC1878, Gold Blackburn, Trickman and Trickbot have been responsible for the development and deployment of: Trickbot, Anchor, BazarLoader, BazarBackdoor as well as the ransomware strains Conti and Diavol. They are also involved in the deployment of Ryuk ransomware. Conti、Wizard Spider、UNC1878、Gold Blackburn、Trickman、Trickbotとして知られるランサムウェアグループは、その開発と配備を担ってきた。Trickbot、Anchor、BazarLoader、BazarBackdoor、およびランサムウェアのContiとDiavolの開発・配備に関与している。また、Ryuk ランサムウェアの配備にも関与している。
The ransomware strains known as Conti and Ryuk affected 149 UK individuals and businesses. The ransomware was responsible for extricating at least an estimated £27 million. There were 104 UK victims of the Conti strain who paid approximately £10 million and 45 victims of the Ryuk strain who paid approximately £17 million. ContiとRyukとして知られるランサムウェア株は、149人の英国の個人と企業に影響を与えました。このランサムウェアは、少なくとも推定2700万ポンドを引き出す役割を担いた。Contiの被害者は英国で104名、約1000万ポンドを支払い、Ryukの被害者は45名、約1,700万ポンドを支払った。
Conti was behind attacks that targeted hospitals, schools, businesses and local authorities, including the Scottish Environment Protection Agency.  The group behind Conti extorted $180 million in ransomware in 2021 alone, according to research from Chainalysis. Contiは、病院、学校、企業、スコットランド環境保護局を含む地方自治体を標的とした攻撃の背後にありました。  Chainalysis社の調査によると、Contiの背後にいるグループは、2021年だけでランサムウェアで1億8000万ドルを強奪している。
Conti was one of the first cyber crime groups to back Russia’s war in Ukraine, voicing their support for the Kremlin within 24 hours of the invasion. Contiは、ロシアのウクライナ戦争を支持した最初のサイバー犯罪グループの1つで、侵攻から24時間以内にクレムリンへの支持を表明している。
Although the ransomware group responsible for Conti disbanded in May 2022, reporting suggests members of the group continue to be involved in some of the most notorious new ransomware strains that dominate and threaten UK security. Contiを担当するランサムウェアグループは2022年5月に解散したが、報告によると、同グループのメンバーは、英国のセキュリティを支配し脅かす最も悪名高い新種のランサムウェアのいくつかに関与し続けていることが示唆されている。
Security Minister Tom Tugendhat said: セキュリティ大臣のTom Tugendhatは次のように述べている。
”We’re targeting cyber criminals who have been involved in some of the most prolific and damaging forms of ransomware. Ransomware criminals have hit hospitals and schools, hurt many and disrupted lives, at great expense to the taxpayer. 「私たちは、最も多発し、被害が大きい形態のランサムウェアに関与しているサイバー犯罪者を標的にしている。ランサムウェアの犯罪者は、病院や学校を襲い、多くの人々を傷つけ、生活を混乱させ、納税者に多大な犠牲を強いてきた。
Cyber crime knows no boundaries and threatens our national security. These sanctions identify and expose those responsible.” サイバー犯罪に国境はなく、私たちの国家安全保障を脅かしている。この制裁は、責任者を特定し、暴露するものである。」
A wide range of organisations have been targeted by ransomware criminals, including at least 10 schools and universities in the UK, as well as hospitals, a forensic laboratory and local authorities. The Government of Costa Rica was also targeted last year. 英国では、少なくとも10校の学校や大学、病院、科学捜査研究所、地方自治体など、さまざまな組織がランサムウェア犯の標的になっている。昨年は、コスタリカ政府も標的にされた。
Ireland’s Health Service Executive were targeted by ransomware actors during the COVID pandemic, leading to disruption to blood tests, x-rays, CT scans, radiotherapy and chemotherapy appointments over 10 days. アイルランドでは、COVIDの流行時に医療サービス機関がランサムウェアの標的となり、10日間にわたって血液検査、X線検査、CTスキャン、放射線治療、化学療法の予約に支障をきたした。
Another recent ransomware attack included Harrogate-based transportation and cold storage firm Reed Boardall whose IT systems were under attack for nearly a week in 2021. また、最近のランサムウェア攻撃では、ハロゲートに拠点を置く輸送・冷蔵倉庫会社リード・ボーダルが2021年に1週間近くITシステムの攻撃を受けている。
These sanctions follow a complex, large-scale and ongoing investigation led by the NCA, which will continue to pursue all investigative lines of enquiry to disrupt the ransomware threat to the UK in collaboration with partners. 今回の制裁は、NCAが主導する複雑かつ大規模で継続的な捜査を受けたもので、今後もパートナーと協力しながら、英国におけるランサムウェアの脅威を打破するため、あらゆる捜査方針を追求していく予定である。
National Crime Agency Director-General Graeme Biggar said: 国家犯罪対策庁のグレーム・ビガー長官は、次のように述べている。
”This is a hugely significant moment for the UK and our collaborative efforts with the US to disrupt international cyber criminals. 「今回の制裁は、英国、そして国際的なサイバー犯罪者を撲滅するための米国との協力体制にとって、非常に重要な時である。
The sanctions are the first of their kind for the UK and signal the continuing campaign targeting those responsible for some of the most sophisticated and damaging ransomware that has impacted the UK and our allies. They show that these criminals and those that support them are not immune to UK action, and this is just one tool we will use to crack down on this threat and protect the public. 今回の制裁措置は、英国にとって初めてのものであり、英国や同盟国に影響を与えた最も巧妙で有害なランサムウェアの犯人を標的としたキャンペーンを継続することを示すものである。このような犯罪者やそれを支援する者たちが、英国の行動に対して免疫がないことを示すものであり、これはこの脅威を取り締まり、国民を保護するための一つの手段に過ぎない。
This is an excellent example of the dedication and expertise of the NCA team who have worked closely with partners on this complex investigation. We will continue to deploy our unique capabilities to expose cyber criminals and work alongside our international partners to hold those responsible to account, wherever they are in the world.” これは、この複雑な捜査でパートナーと緊密に協力したNCAチームの献身と専門知識を示す素晴らしい例である。私たちは、サイバー犯罪者を摘発するために独自の能力を展開し続け、国際的なパートナーとともに、世界のどこにいても責任者の責任を追及していく。」
UK and US authorities will continue to expose these cyber criminals and crack down on their activities. This announcement of sanctions against 7 individuals marks the start of a campaign of coordinated action against ransomware actors being led by the UK and US. 英国と米国の当局は、今後もサイバー犯罪者を摘発し、その活動を取り締まる。今回の7名に対する制裁措置の発表は、英米が主導するランサムウェアの犯人に対する協調行動の始まりとなるものである。
The National Cyber Security Centre (NCSC), a part of GCHQ, has assessed that: GCHQの一部であるナショナル・サイバー・セキュリティ・センター(NCSC)は、次のように評価している。
・it is almost certain that the Conti group were primarily financially motivated and chose their targets based on the perceived value they could extort from them ・Contiグループは、主に金銭的な動機からターゲットを選び、そこから得られる価値に基づいて行動していることがほぼ確実である。
・key group members highly likely maintain links to the Russian Intelligence Services from whom they have likely received tasking. The targeting of certain organisations, such as the International Olympic Committee, by the group almost certainly aligns with Russian state objectives ・グループの主要メンバーは、ロシア諜報機関とつながりを持ち、彼らから任務を受けた可能性が高い。国際オリンピック委員会のような特定の組織をターゲットにしたことは、ほぼ間違いなくロシアの国家目標に合致している。
・it is highly likely that the group evolved from previous cyber organised crime groups and likely have extensive links to other cyber criminals, notably EvilCorp and those responsible for Ryuk ransomware ・このグループは、以前のサイバー組織犯罪グループから発展した可能性が高く、他のサイバー犯罪者、特にEvilCorpやRyukランサムウェアの責任者と幅広いつながりを持っている可能性が高い。
NCSC Chief Executive Officer Lindy Cameron said: NCSCの最高経営責任者であるLindy Cameronは次のように述べている。
"Ransomware is the most acute cyber threat facing the UK, and attacks by criminal groups show just how devastating its impact can be. 「ランサムウェアは、英国が直面している最も深刻なサイバー脅威であり、犯罪グループによる攻撃は、その影響がいかに壊滅的なものであるかを示している。
The NCSC is working with partners to bear down on ransomware attacks and those responsible, helping to prevent incidents and improve our collective resilience. NCSCは、パートナーと協力して、ランサムウェアの攻撃とその実行者を取り締まり、事件の防止と私たちの集団的なレジリエンスの向上に貢献している。
It is vital organisations take immediate steps to limit their risk by following the NCSC’s advice on how to put robust defences in place to protect their networks." 企業は、自社のネットワークを保護するために強固な防御策を講じる方法について、NCSCのアドバイスに従って、リスクを抑えるための措置を直ちに講じることが重要である。」
Victims of ransomware attacks should use the UK government’s Cyber Incident Signposting Site as soon as possible after an attack. ランサムウェアの被害者は、攻撃後できるだけ早く英国政府のサイバー・インシデント・シグナリングサイトを利用する必要がある。
Today, the UK’s Office of Financial Sanctions Implementation (OFSI) are also publishing new public guidance which sets out the implications of these new sanctions in ransomware cases. 本日、英国金融制裁実施局(OFSI)は、ランサムウェアのケースにおけるこれらの新しい制裁措置の意味を示す新しい公開ガイダンスも発表している。
The individuals designated today are: 本日指定された個人は以下の通りである。
・Vitaliy Kovalev ・Vitaliy Kovalev
・Valery Sedletski ・Valery Sedletski
・Valentin Karyagin ・Valentin Karyagin
・Maksim Mikhailov ・Maksim Mikhailov
・Dmitry Pleshevskiy ・Dmitry Pleshevskiy
・Mikhail Iskritskiy ・Mikhail Iskritskiy
・Ivan Vakhromeyev ・Ivan Vakhromeyev
Making funds available to the individuals such as paying ransomware, including in crypto assets, is prohibited under these sanctions. Organisations should have or should put in place robust cyber security and incident management systems in place to prevent and manage serious cyber incidents. 暗号資産を含むランサムウェアの支払いなど、個人に対して資金を提供することは、これらの制裁で禁止されている。組織は、深刻なサイバーインシデントを防止・管理するために、堅牢なサイバーセキュリティおよびインシデント管理システムを導入しているか、導入する必要がある。
Read further guidance on UK sanctions relating to cyber activity and view the full UK Sanctions List. サイバー活動に関連する英国の制裁に関するさらなるガイダンスを読み、英国の制裁リストの全容を確認する。

 

 

 

| | Comments (0)

米国 中国の偵察気球が米国上空を通過 (2つ目の撃墜の件も追加...)

こんにちは、丸山満彦です。

米本土を中国の気球が通過しましたが、2月4日にF22が大西洋上で撃墜しましたね。。。そして、もうひとつの気球が2月10日にアラスカ上空で撃墜されたようです。。。中国は気象観測用の気球がコースを外れた事故といい、米国は偵察衛星だろうと考えているようですね。。。気球の回収もできたようですので、どこまで究明できるでしょうかね。。。

 

国防総省の報道官のプレス対応...

U.S. Department of Defense

01_20230210211701

・2023.02.08 Pentagon Press Secretary Air Force Brig. Gen. Pat Ryder Holds an On-Camera Press Briefing

トランプ政権時代に3回、バイデン政権になってから2回目の気球の通過ということのようです。気球の回収に成功しているようですから、どのようなことをしようとしていたか、ある程度わかるかもしれませんね。。。

 


 

中国の外交部報道官のプレス対応

外交部

02_20230210211801

・2023.02.08 外交部发言人毛宁主持例行记者会

中国は気象観測用の民間の気球なので、それを戦闘機が撃ち落としたことについて、米国に抗議をしています。。。

 


 

当事者以外の報道ですが、まずは

ロシア

SPTUNIC

Sputnik_logosvg

・2023.02.06 【視点】中国の偵察気球が米国上空を通過

どこを通ったかも...という地図を載せていますね。。。

14835949_0_0_2896_2048_1440x900_80_0_1_6

 

・軍事用気球

・中国の気球による盗聴盗視に注意せよ

・優柔不断な米空軍司令部

 

ロシアのテレビ局

Россия-1

・2023.02.06 История с аэростатом: зачем Штаты раздули шоу 気球の話:なぜ合衆国はショーを吹き飛ばしたのか

・2023.02.05 Илон Маск пошутил о сбитом китайском аэростате イーロン・マスクが中国の気球の落下について冗談を言う

・2023.02.04 Пентагон: еще один китайский аэростат находится над Латинской Америкой ペンタゴン:ラテンアメリカ上空に中国の飛行船がもう1機

 

RT

・2023.02.10 Biden defends response to Chinese balloon

・2023.02.09 Details of Chinese ‘spy balloon’ emerge – WSJ

・2023.02.07 China wants its balloon back

・2023.02.07 Moscow slams US ‘hysteria’ over Chinese balloon

・2023.02.07 The ‘Chinese spy balloon’ elevates US paranoia to lofty new heights

・2023.02.06 Chinese ‘spy balloon’ potentially rigged to explode – Pentagon

・2023.02.06 China calls balloon incident a setback for ties with US

・2023.02.05 Multiple ‘Chinese spy balloons’ entered US before recent incident – media

・2023.02.05 China reacts to US downing of ‘civilian airship’

・2023.02.04 Biden explains balloon takedown delay

・2023.02.04 US shoots down Chinese ‘spy balloon’

 

そして、日本のNHK...

・2023.02.09 気球撃墜 中国 “米のやり方 対話進める雰囲気つくってない”

・2023.02.09 アメリカ国防総省「中国が気球使い世界各地で大規模偵察活動」

・2023.02.08 中国気球撃墜 米国防総省が写真公開 残骸を回収する様子撮影

・2023.02.06 【気球撃墜】国際法上の気球の扱いは 過去の領空めぐる緊張は

 


 

2023.02.12 更新

カナダ上空でF22が撃墜したようですが、カナダと連携をしていたよという話...

 

White House

・2023.02.11 Readout of President Biden’s Call with Prime Minister Trudeau of Canada

 

2023.02.11 7時ごろ更新...

2つ目の気球に関して...

 

DOD

・2023.02.10 Air Force Shoots Down 'High-Altitude Object' off Alaskan Coast

・2023.02.10 Pentagon Press Secretary Air Force Brig. Gen. Pat Ryder Holds an On-Camera Press Briefing

 

米国のテレビ局

ABC

・2023.02.10 US shoots down 'high-altitude object' over Alaska, White House says

 

CNN

・2023.02.10 US shoots down "high-altitude object" over Alaska

 

英国のテレビ局

BBC

・2023.02.10 High-altitude object shot down over Alaska, US says

 

ロシアのテレビ局

Россия-1

・2023.02.10 Пентагон сбил над Аляской еще один белый шар 米国防総省、アラスカ上空で再び白い気球を撃墜

RT

・2023.02.10 US shoots down ‘high-altitude object’ 

 

日本のテレビ局

NHK

・2023.02.11 “アラスカ上空で「何らかの物体」を戦闘機で撃墜” 米発表

 (1つ目のものとは違う形のようです。。。)

 

 

| | Comments (0)

2023.02.10

公正取引委員会 モバイルOS等に関する実態調査報告書

こんにちは、丸山満彦です。

公正取引委員会が、「モバイルOS等に関する実態調査報告書」を公表していますね。。。

丁寧に分析をしていますね。。。

競争市場、プライバシー保護、安全保障、、、という多元方程式によっって社会の資源配分の最適解を求めるということでしょうかね。。。難しい問題だと思います。

・今更GoogleやAppleに対抗するOS等を作る企業が(民主主義国)で現れるだろうか?

・パソコンのようにどこからでも実行プログラムをダウンロードできる環境にして、プライバシー保護、安全保護を維持できるだろうか?

・国際的な影響力が低下し続けている日本が国際協力を必要としてもどれほど影響力を与えられるだろうか?

そういう中で最適解がどこにあるのかを探り続ける必要があるだろうし、時間とともに環境も変わるので、最適解も変わり続けるだろうし。。。

 

● 公正取引員会

・2023.02.09 モバイルOS等に関する実態調査報告書について


第3 今後の取組

1 モバイルOS提供事業者又はアプリストア運営事業者に関し、独占禁止法上問題となる具体的な案件に接した場合には、引き続き厳正・的確に対処する。

2 モバイル・エコシステムにおける競争環境の整備のための対応に関し、それらの実現に向け、報告書の内容について周知を行うとともに、引き続き、内閣に設置されたデジタル市場競争本部や関係省庁等との連携・協力に積極的に取り組み、競争環境を整備する。

3 スマートフォン以外の商品・サービスを中心とした新たなエコシステムに関する動向についても注視し、必要に応じて実態調査を行い、消費者利益を勘案しつつ独占禁止法・競争政策上の問題を明らかにする。

4 様々なレベルで各国・地域の競争当局等との意見交換を行い、また、ICN(国際競争ネットワーク)、OECD(経済協力開発機構)等の場も活用しながら、海外関係当局と継続的に連携し、競争環境を整備する。


 

報告書のポイント

20230210-85337 20230210-85408 

 

 

 

 


 

興味深いのは次の図ですね。。。

図6-10 消費者がスマートフォンを選ぶ際に重視する点(複数回答可)

Fig610

iPhoneを選ぶ人は「OSの魅力(セキュリティ含む)」、Androidを選ぶ人は「端末の値段」を重視しているという点ですかね。。。

 

 


まるちゃんの情報セキュリティ気まぐれ日記

 

日本

・2022.08.07 デジタル市場競争会議 ワーキンググループ 第38回 「モバイル・エコシステムに関する競争評価 中間報告」及び「新たな顧客接点(ボイスアシスタント及びウェアラブル)に関する競争評価 中間報告」に関する意見募集に寄せられた御意見等

・2022.07.09 総務省 プラットフォームサービスに関する研究会 第二次とりまとめ(案)についての意見募集 (2022.07.04)

・2022.05.26 意見募集 「モバイル・エコシステムに関する競争評価 中間報告」及び「新たな顧客接点(ボイスアシスタント及びウェアラブル)に関する競争評価 中間報告」に対する意見募集について (2022.04.26)

 

EU

・2022.07.20 欧州理事会 欧州連合理事会 デジタル市場法 (DMA) 案を採択

・2022.07.11 欧州議会 デジタルサービス法 (DSA) デジタル市場法 (DMA) が可決 (2022.07.05)

・2022.03.26 欧州理事会 欧州連合理事会 デジタル市場法(DMA)が理事会・欧州議会で合意されたようですね。。。

・2021.03.03 欧州委員会 オンラインプラットフォーム経済に関する最終報告書を発表

・2020.12.16 欧州委員会 デジタルプラットフォーマを規制するためのデジタルサービス法とデジタル市場法の最終提案を公表

 

英国

・2022.06.12 英国 競争市場局 モバイルエコシステムに関する市場調査 最終報告と今後

 

中国

・2021.02.09 中国 国務院独占禁止委員会がプラットフォーム経済に関する独占禁止ガイドラインを発表していますね。。。

 

 

その他。。。

・2022.06.28 欧州議会 Think Tank メタバース:機会、リスク、政策への影響

・2021.10.18 JETRO EUデジタル政策の最新概要(2021年10月)

・2021.09.02 欧州議会 Think Tank デジタルサービスにおけるターゲット広告や行動に基く広告の規制:利用者のインフォームド・コンセントをいかに確保するか

 

 

| | Comments (0)

欧州連合 欧州対外行動庁 外国人による情報操作と干渉の脅威に関する報告書

こんにちは、丸山満彦です。

欧州連合の欧州対外行動庁が、外国人による情報操作と干渉 (foreign information manipulation and interference: FIMI) の脅威に関する報告書を公表していますね。。。

偽情報というか、情報操作や干渉というのが問題ですよね。。。国民を分断したりすることもできるので、ミサイルが体に作用するハードな武器とすれば、偽情報などは心に作用するソフト武器と言えるかもしれませんね。。。

会議が開催されています。。。この分野の分析やディスカッションは重要ですね。。。

 

European External Action Service

・2023.02.08 Disinformation – EU responses to the threat of foreign information manipulation

Disinformation – EU responses to the threat of foreign information manipulation 偽情報 - 外国による情報操作の脅威に対するEUの対応
Today the European External Action Service (EEAS) under the patronage of High Representative/Vice-President Josep Borrell brought together top political representatives and  experts from around the globe to discuss the threats of foreign information manipulation and interference (FIMI). The conference “Beyond disinformation: EU responses to the threat of foreign information manipulation took place in Brussels. 本日、欧州対外行動庁(EEAS)は、ジョゼップ・ボレル上級代表/副委員長の後援の下、世界各国の政治家および専門家を集め、外国による情報操作と干渉(FIMI)の脅威について議論した。会議「偽情報を超えて。EUは外国による情報操作の脅威に対してどのように対応するか」という会議がブリュッセルで開催された。
“Russia is using information manipulation and interference as a crucial instrument of its war against Ukraine with an unprecedented intensity and use of instruments. We have to work along three axes: to anticipate and deter FIMI activities, to take action in support of Ukraine, and finally – to be ambitious in building resilience to authoritarian regimes” – said HRVP Borrell in his keynote speech. 「ロシアは、ウクライナに対する戦争の重要な手段として、情報操作と干渉を、前例のない強度と手段の使用で行っている。我々は3つの軸で動く必要がある。すなわち、FIMI活動を予測し抑止すること、ウクライナを支援するための行動を起こすこと、そして最後に、権威主義的な体制に対する回復力を高めることに意欲的になることだ」-ボレル副社長は基調講演でこのように述べた。
During the conference, HRVP Borrell presented its first ever threat report analysing foreign information manipulation and interference trends. The report uses best case practice methodology and outlines a wide variety of tactics of information manipulation and interference applied by Russia and China in the last months of 2022. 会議期間中、HRVPボレルは、外国による情報操作と干渉の傾向を分析した初の脅威レポートを発表した。この報告書は、ベストケースプラクティスの手法を用い、2022年の最後の数カ月間にロシアと中国が適用した情報操作と干渉のさまざまな戦術を概説している。
Another key outcome of today’s conference was the consensus by leading experts from EU institutions, Member States, international partners like NATO and the United Nations, civil society organisations, academia, and journalists across the world that the only way forward to combat this threat is to keep working together, engaging all levels of our societies and partners around the globe. In this context, the EU is launching a new initiative to bring information exchange to the next level with a FIMI Information Sharing and Analysis Centre (ISAC). 本日の会議のもう一つの重要な成果は、EU機関、加盟国、NATOや国連などの国際パートナー、市民社会組織、学術界、ジャーナリストなど世界各地の第一線の専門家が、この脅威と戦う唯一の方法は、我々の社会のあらゆるレベルや世界中のパートナーを巻き込んで協力し続けることである、という点で一致したことである。この文脈で、EUは、FIMI情報共有・分析センター(ISAC)により、情報交換を次のレベルに引き上げるための新たな構想を打ち出している。
The conference included a number of panel discussions, with strong emphasis on a wide variety of responses to the threat – from communication to disruptive measures. 会議では、コミュニケーションから破壊的措置まで、脅威に対する多様な対応に強く重点を置いて、多くのパネルディスカッションが行われた。

 

会議の様子...

・2023.02.06 Beyond disinformation – EU responses to the threat of foreign information manipulation

・[YouTube]

 

報告書...

・2023.02.07 1st EEAS Report on Foreign Information Manipulation and Interference Threats

1st EEAS Report on Foreign Information Manipulation and Interference Threats 外国人による情報操作と干渉の脅威に関する第1回EEAS報告書
This first edition of the EEAS report on Foreign Information Manipulation and Interference (FIMI) threats is informed by the work of the European External Action Service’s (EEAS) Stratcom division in 2022. Based on a first sample of specific FIMI cases, it outlines how building on shared taxonomies and standards can fuel our collective understanding of the threat and help inform appropriate countermeasures in the short to the long term. 外国による情報操作と干渉(FIMI)の脅威に関するEEASレポートのこの第1版は、2022年の欧州対外行動庁(EEAS)のストラットコム部門の作業から得られたものである。具体的なFIMI事例の最初のサンプルに基づき、共有の分類法と基準を構築することが、いかに脅威に対する我々の集団的理解を促進し、短期から長期にわたって適切な対策を知らせるのに役立つかを概説している。

 

・[PDF]

20230209-230336

 

目次...

Glossary 用語解説
Executive Summary エグゼクティブサマリー
1 Introduction 1 序文
Encouraging a Community-Wide Conversation on Best Practices ベストプラクティスに関するコミュニティ全体の対話の促進
Scope, Limitations, and Caveats 範囲、限界、および注意事項
2 Focus on Key FIMI Actors 2 主要なFIMIアクターへのフォーカス
3 Pilot Analysis on EEAS Priority Actors and Issues in 2022 3 2022年におけるEEASの優先アクターと課題に関するパイロット版分析
(Threat) Actors (脅威)アクター
Presumed Objectives 想定される目的
Behaviour 行動
Tactics, Techniques, and Procedures (TTPs) 戦術・技術・手順(TTPs)
Content 内容
Timeline of Events イベントのタイムライン
Narratives 物語
Degree 程度
Composition of the Threat Actor Media Ecosystem 脅威アクターのメディア・エコシステムの構成
Threat Actors’ Infosphere 脅威要因のインフォスフィア
Tools: Distribution of Content ツール コンテンツの流通
Languages 言語
Targets ターゲット
Effect 効果
Course of Action 行動指針
4 A Behaviour-Centred Problem Definition: Introducing the Notion of Foreign Information Manipulation and Interference (FIMI) 4 行動を中心とした問題定義。外国人による情報操作と妨害(FIMI)の概念の導入
The “Kill Chain” Perspective on FIMI: Expanding the countermeasures toolbox FIMIに対する「キルチェーン」の視点:対策のツールボックスを拡張する
Threat Analysis vs Disruptive Responses 脅威の分析と破壊的対応
5 An Analytical Framework for FIMI Threat Analysis 5 FIMI脅威分析のための分析フレームワーク
Analysis Cycle: Establishing a Strategic and Self-Reinforcing Workflow 分析サイクル 戦略的かつ自己強化的なワークフローの確立
DISARM Framework: A Community-Driven Taxonomy of TTPs DISARM フレームワーク。コミュニティ主導のTTPの分類法
Towards a standardised Data Format for Threat Information Sharing 脅威情報共有のための標準的なデータフォーマットに向けて
Conclusion まとめ
Recommendations 推奨事項
References 参考文献

 

エグゼクティブサマリー...

EXECUTIVE SUMMARY  エグゼクティブ・サマリー 
This first edition of the report on Foreign Information Manipulation and Interference threats is informed by the work of the European External Action Service’s (EEAS) Stratcom division8 in 2022. It is the first of its kind and can be seen as a pilot project. It applies a novel framework developed by the EEAS, based on best case practices of the FIMI defender community, to a first sample of 100 FIMI incidents detected and analysed between October and December 2022. It therefore does not intend to give a comprehensive overview of FIMI in general or of a specific actor, but highlight how the existing analysis can be enhanced through this approach. In this report the EEAS uses best case practice methodology to allow for informed judgements of ongoing FIMI activities, actors and threat levels. It is therefore a useful tool to support informed and analysis based policy choices. The main findings of this report, based on the samples used, are:  海外情報操作・妨害の脅威に関する本レポートの初版は、2022年の欧州対外行動庁(EEAS)のストラットコム部門8による作業から得られたものである。この種のものとしては初めてであり、パイロットプロジェクトと見なすことができる。これは、2022年10月から12月の間に検知され分析された100件のFIMIインシデントの最初のサンプルに、FIMI擁護者コミュニティのベストケースプラクティスに基づいてEEASが開発した新しいフレームワークを適用するものである。したがって、本報告書は、FIMI全般あるいは特定のアクターの包括的な概観を与えることを意図しておらず、既存の分析がこのアプローチを通じてどのように強化され得るかを強調するものである。本報告書においてEEASは、現在進行中のFIMI活動、行為者及び脅威レベルについて情報に基づいた判断を可能にするために、ベストケースプラクティスの方法論を用いている。したがって、これは情報に基づいた、分析に基づく政策選択を支援するための有用なツールである。使用したサンプルに基づく本報告書の主な所見は以下の通りである。
■ Russia’s full-scale invasion of Ukraine dominates observed FIMI activity. Ukraine and its representatives have been the direct target of 33 incidents. In 60 out of 100 incidents, supporting the invasion was the main motivation behind the attack. ・ロシアのウクライナへの本格的な侵攻が、観測された FIMI 活動の大部分を占めている。ウクライナとその代表者は、33 件のインシデントの直接の標的となっている。100 件中 60 件で、侵攻を支持することが攻撃の主な動機となっている。
 ■ Diplomatic channels are an integral part of FIMI incidents. Russia’s diplomatic channels regularly serve as enablers of FIMI operations. They are deployed across wide range of topics. China also uses diplomatic channels, mostly targeting the US.  ・外交チャンネルは FIMI 事件に不可欠な要素である。ロシアの外交チャンネルは、定期的にFIMI活動を支援する役割を担っている。外交チャンネルは広範なテーマにわたって展開されている。中国も外交チャンネルを利用しているが、その多くは米国をターゲットとしている。
■ Impersonation techniques become more sophisticated. Impersonations of international and trusted organisations and individuals are used by Russian actors particularly to target Ukraine. Print and TV media are most often impersonated, with magazines seeing their entire style copied.  ・なりすまし技術はさらに高度化している。国際的で信頼できる組織や個人へのなりすましは、特にウクライナを標的にしたロシアの工作員によって利用されている。印刷メディアとテレビメディアは最も頻繁になりすまされ、雑誌ではそのスタイル全体がコピーされる。
■ FIMI actor collusion exists but is limited. Official Russian actors were involved in 88 analysed FIMI incidents. Chinese actors were involved in 17. In at least 5 cases, both actors engaged jointly.  ・FIMI の関係者の共謀は存在するが、限定的である。分析した 88 件の FIMI 事件にロシアの公的関係者が関与している。中国の行為者は 17 件に関与している。少なくとも5件では、両者が共同で関与している。
■ FIMI is multilingual. Incidents do not occur in just one language; content is translated and amplified in multiple languages. Incidents featured at least 30 languages, 16 of which are EU-languages. Russia used a larger variety of languages than Chinese actors but 44% of Russian content targeted a Russian-speaking populations, while 36% targeted English-speaking populations.  ・FIMI は多言語である。事件は一つの言語だけで起こるのではなく、コンテンツは複数の言語に翻訳され、増幅される。事件には少なくとも 30 の言語が登場し、そのうち 16 は EU 言語である。ロシアは中国の俳優よりも多くの種類の言語を使用しているが、ロシアのコンテンツの44%はロシア語圏の人々をターゲットにしており、36%は英語圏の人々をターゲットにしている。
■ FIMI is mostly intended to distract and distort. Russia (42%) and China (56%) mostly intend to direct attention to a different actor or narrative or to shift blame (“distract”). Russia attempts to change the framing and narrative (“distort”) relatively more often (35%) than China (18%).  ・FIMIは、そのほとんどが注意をそらし、歪曲させることを目的としている。ロシア(42%)と中国(56%)は、主に別の行為者や物語に注意を向けさせたり、責任を転嫁したりすることを意図している(「注意をそらす」)。ロシアは、中国(18%)よりも比較的頻繁に(35%)フレーミングや物語を変えようとしている(「歪曲」)。
■ FIMI remains mostly image and video based. The cheap and easy production and distribution of image and video material online makes these formats still the most commonly used. The report contributes to the implementation of the Strategic Compass’ call for a FIMI Data Space.  ・FIMIは、依然として画像や動画をベースとしたものが多い。画像・映像素材の安価で容易なオンライン制作・配信により、これらのフォーマットが依然として最もよく利用されている。本報告書は、戦略的コンパスによる FIMI データスペースの呼びかけの実施に寄与するものである。
The EEAS aims to provide the FIMI defender community with a proof-of-concept for a common framework that enables mutual sharing of complex insights in a timely fashion and at scale. This is done to create a common understanding and formulate a collective, systematic response to FIMI. EEASは、FIMI擁護者コミュニティに、複雑な洞察をタイムリーにかつ大規模に相互共有することを可能にする共通フレームワークの概念実証を提供することを目的としている。これは、共通の理解を生み出し、FIMIに対する集団的かつ体系的な対応を策定するために行われる。

 

結論と推奨事項...

CONCLUSION 結論
The experience gathered by the EEAS in analysis and sharing information on FIMI since 2015 fed into this first report on Foreign Information Manipulation and Interference (FIMI). During this time, the defender community has achieved considerable progress and has continued to grow. With this evolution, that is encouraging in light of the ever evolving threat, comes the question of how all of this knowledge and insight can be brought together in an efficient and sustainable manner, complementing the existing practice of sharing reports on specific aspects of the threat. The EEAS in this report is proposing an approach which can enable the FIMI defender community to build on good case practices developed inand outside the community to collectively achieve a more comprehensive situational awareness and inform appropriate countermeasures to the FIMI threat. 2015年以降、EEASがFIMIの分析と情報共有で集めた経験は、外国人による情報操作と干渉(FIMI)に関するこの最初の報告書に反映された。この間、擁護者コミュニティはかなりの進展を達成し、成長を続けてきた。進化し続ける脅威に照らして心強いこの進化に伴い、脅威の特定の側面に関する報告書を共有するという既存の慣行を補完し、この知識と洞察のすべてを効率的かつ持続可能な方法でどのようにまとめることができるのかという疑問が生じる。EEASは本報告書において、FIMI防御コミュニティが、コミュニティ内外で開発された優れた事例を基に、より包括的な状況認識とFIMIの脅威に対する適切な対策を共同で実現できるようなアプローチを提案している。
The report described and applied a methodology to reliably identify, analyse and share information on FIMI incidents It outlined, based on a sample of 100 FIMI incidents, how building on shared taxonomies and standards can enable FIMI defenders to derive larger trends and patterns from their individual and collective findings to help inform appropriate countermeasures in the short to the long term. 本報告書は、FIMI事件に関する情報を確実に特定、分析、共有するための方法論を説明し、適用した。100件のFIMI事件のサンプルに基づいて、共通の分類法と基準を構築することにより、FIMI擁護者が、短期から長期の適切な対策への情報提供を支援すべく、個別及び集団の発見からいかに大きなトレンドとパターンを導き出すことができるかを概説した。
In line with the EEAS’ priority to work in a whole-of-society approach on tackling FIMI, the report strongly advocates for a collaborative and community driven approach that enables each member of the FIMI defender community to contribute with their unique skills, insights and perspectives.  FIMIへの取り組みについて社会全体のアプローチで取り組むというEEASの優先事項に沿って、本報告書は、FIMI擁護者コミュニティの各メンバーが、そのユニークなスキル、洞察力、観点で貢献できるような、共同およびコミュニティ主導のアプローチを強く提唱するものである。
Community-driven, shared taxonomies and standards like DISARM for FIMI TTPs or STIX for threat information storage and exchange are available and will facilitate deeper analysis, discussion as well as collective learning and action. Building on established open standards enables the usage and best case practice development and exchange of open source tools like MISP or OpenCTI and will pave the way for further innovation in the field. This also ensures an approach that is independent of the size or financial situation of an organisation, which makes a broad adoption also by think tanks, fact-checking organisations or NGOs possible. FIMI TTPs のための DISARM や脅威情報の保存と交換のための STIX のようなコミュニティ主導の共有分類法と標準が利用でき、より深い分析、議論、そして集合的な学習と行動が促進されるであろう。確立されたオープンスタンダードの上に構築することで、MISP や OpenCTI のようなオープンソースツールの利用やベストケースの開発・交換が可能になり、この分野におけるさらなる革新への道が開かれる。また、組織の規模や財務状況に依存しないアプローチであるため、シンクタンク、事実確認機関、NGOなどにも広く採用されることが可能である。
Obviously, the EU deploys also other important instruments and tools to address FIMI. Among those are the use of restrictive measures, including those imposed against Russia in response to the unprovoked and unjustified invasion of Ukraine on 24 February 2022. The analysis of FIMI actors carried out by the EEAS has informed many measures taken so far. もちろん、EUは、FIMIに対処するために、他の重要な手段や手段も展開している。その中には、2022年2月24日のいわれのない不当なウクライナ侵攻に対応してロシアに課されたものを含む制限的措置の使用も含まれる。EEASが実施したFIMIアクターの分析は、これまでにとられた多くの措置に情報を与えている。
Many possible avenues for further research have been identified in this report. For continuous and in-depth coverage, follow euvsdisinfoeu 本報告書では、さらなる研究のための多くの可能な道が特定されている。継続的で詳細な取材については、euvsdisinfoeuをフォローすること。
   
RECOMMENDATIONS 推奨事項
1.   A common analytical framework to facilitate multistakeholder cooperation requires consensus for wide adoption.  1.   マルチステークホルダー協力を促進するための共通の分析フレームワークは、広く採用するためのコンセンサスが必要である。
a.   Build on and enrich existing good-case practices, experiences and standards like STIX and DISARM where possible Avoid the creation of parallel frameworks which would hinder interoperability.  a. 可能であれば、STIX や DISARM のような既存のグッドケース、経験、標準を基にし、充実させる。 相互運用性を妨げるような並列のフレームワークの作成は避ける。
b.   Favour widest possible adoption by endorsing and supporting open-source tools and standards that are community driven and informed by active usage of FIMI analysts. b. コミュニティ主導で、FIMI アナリストの積極的な利用によってもたらされるオープンソースツール 及び標準を支持し、支援することによって、可能な限り広く採用されることを支持する。
c.   Prioritise interoperability of frameworks and standards to foster experimentation and innovation. c. 実験と革新を促進するために,フレームワークと標準の相互運用性を優先させる。
2.   We suggest that the FIMI community convenes to agree upon a shared FIMI extension of STIX in the near future  2. 私たちは、近い将来、FIMIコミュニティがSTIXの共有FIMI拡張に合意するために招集される ことを提案します。
a. In this regard, the creation of an Information Sharing and Analysis Center (ISAC) on FIMI can focus such discussions a. この点で、FIMIに関する情報共有・分析センター(ISAC)の設立は、このような議論に焦点を当てることができる。
b. Continuous interoperability of FIMI standards with other communities, like cybersecurity, should be ensured to realise the full potential of information sharing across sectors where appropriate b. 適切な場合には、セクターを超えた情報共有の可能性を完全に実現するために、サイバーセ キュリティのような他のコミュニティとのFIMI標準の継続的な相互運用性を確保する必要がある。
3.   Members of the FIMI defender community with the relevant means should engage in supporting communitydriven initiatives that  3. 関連する手段を有する FIMI 擁護者コミュニティのメンバーは,次のようなコミュニティ主導のイニ シアティブの支援に取り組むことが望ましい。

 

| | Comments (0)

米国 GAO サイバーセキュリティ高リスクシリーズ

こんにちは、丸山満彦です。

GAOがサイバーセキュリティ高リスクシリーズ(4回)を公表していますね。。。

  1. 包括的なサイバーセキュリティ戦略の確立と効果的な監視の実施における課題
    • 包括的なサイバーセキュリティ戦略を確立する
    • グローバル・サプライ・チェーンのリスクを軽減する
    • 連邦政府のサイバーセキュリティ従事者不足に対処する
    • 新興技術の安全性を確保する

  2. 連邦政府のシステムと情報の安全確保における課題
    • ・政府全体のサイバーセキュリティ・イニシアチブの実施を改善する
    • ・連邦政府機関の情報セキュリティ・プログラムの弱点に対処する
    • ・連邦政府のシステムと情報をより良く保護するために、サイバーインシデントへの連邦政府の対応を強化する

  3. 重要なサイバーインフラを守るための課題

 

Fig00

 

GAO

・2023.01.19 Cybersecurity High-Risk Series:Challenges in Establishing a Comprehensive Cybersecurity Strategy and Performing Effective Oversight

Cybersecurity High-Risk Series:Challenges in Establishing a Comprehensive Cybersecurity Strategy and Performing Effective Oversight サイバーセキュリティ・ハイリスクシリーズ:包括的なサイバーセキュリティ戦略の確立と効果的な監視の実施における課題
Fast Facts 概要
Federal IT systems and our nation's critical infrastructure are at risk of attack from malicious actors, including those acting on behalf of other nations. Such attacks could result in serious harm to human safety, national security, the environment, and the economy. 連邦政府のITシステムと我が国の重要なインフラは、他国のために行動する者も含め、悪意のある行為者から攻撃を受けるリスクにさらされている。このような攻撃は、人間の安全、国家安全保障、環境、経済に深刻な損害を与える可能性がある。
The federal government should: 連邦政府は以下を行うべきである。
・establish a comprehensive cybersecurity strategy ・包括的なサイバーセキュリティ戦略を確立する。
・mitigate global supply chain risks ・グローバル・サプライ・チェーンのリスクを軽減する
・address the federal cybersecurity worker shortage ・連邦政府のサイバーセキュリティ従事者不足に対処する
・ensure the security of emerging technologies ・新興技術の安全性を確保する
We’ve made 335 public recommendations in this area since 2010. Nearly 60% of those recommendations had not been implemented as of December 2022. 我々は2010年以来、この分野で335件の公開提言を行った。2022年12月現在、そのうちの60%近くが未実施となっている。
Highlights ハイライト
Overview 概要
We have made about 335 recommendations in public reports since 2010 with respect to establishing a comprehensive cybersecurity strategy and performing oversight. Until these are fully implemented, federal agencies will be more limited in their ability to protect private and sensitive data entrusted to them. For more information on this report, visit [web]. 我々は2010年以降、包括的なサイバーセキュリティ戦略の確立と監視の実施に関して、約335件の勧告を公的な報告書で行ってきた。これらが完全に実施されるまでは、連邦政府機関が預かった個人情報や機密データを保護する能力はより制限されることになる。本報告書の詳細については、[web]
Develop and Execute a More Comprehensive Federal Strategy for National Cybersecurity and Global Cyberspace 国家サイバーセキュリティとグローバルサイバースペースに関するより包括的な連邦戦略の策定と実行
The White House’s September 2018 National Cyber Strategy and the National Security Council’s accompanying June 2019 Implementation Plan detail the executive branch’s approach to managing the nation’s cybersecurity. In September 2020, we reported that the strategy and implementation plan addressed some, but not all, of the desirable characteristics of national strategies. In June 2021, the Senate confirmed the first National Cyber Director to head the Office of the National Cyber Director and serve as the principal advisor to the President on cybersecurity policy and strategy. ホワイトハウスの2018年9月の国家サイバー戦略と、それに付随する国家安全保障会議の2019年6月の実施計画は、国家のサイバーセキュリティを管理するための行政府のアプローチを詳述している。 2020年9月、我々は、この戦略と実施計画が国家戦略の望ましい特性の全てではないが、いくつかに取り組んでいると報告した。2021年6月、上院は、国家サイバー長官室を率い、サイバーセキュリティ政策と戦略に関する大統領の主要な顧問を務める初の国家サイバー長官を承認した。
Extent to Which National Cyber Strategy and Implementation Plan Addressed the Desirable Characteristics of a National Strategy 国家サイバー戦略および実施計画が国家戦略の望ましい特性に対応した度合い
Fig11
We recommended that the National Security Council work with relevant federal entities to update cybersecurity strategy documents to include goals, performance measures, and resource information, among other things. As of August 2022, according to the Office of the National Cyber Director, the development of a national cybersecurity strategy by the administration is underway. 我々は、国家安全保障会議が関連する連邦機関と協力して、サイバーセキュリティ戦略文書を更新し、目標、成果指標、リソース情報などを含めることを提言した。2022年8月現在、国家サイバー長官室によると、政権による国家サイバーセキュリティ戦略の策定が進行中である。
Mitigate Global Supply Chain Risks グローバルサプライチェーンリスクの軽減
Federal agencies face numerous information and communications technology (ICT) supply chain risks, which could lead to disrupted mission operations, theft of intellectual property, and harm to individuals. In December 2020, our review of 23 civilian agencies found that none had fully implemented all of the seven foundational practices for supply chain risk management and that 14 had not implemented any of the practices. 連邦政府機関は数多くの情報通信技術(ICT)サプライチェーンリスクに直面しており、ミッション業務の中断、知的財産の盗難、個人への被害などにつながる可能性がある。 2020年12月、23の文民機関を調査した結果、サプライチェーンリスクマネジメントのための7つの基礎的な実践をすべて完全に実施している機関はなく、14の機関はどの実践も実施していないことが判明した。
Extent to Which the 23 Civilian Agencies Implemented Information and Communications Technology (ICT) Supply Chain Risk Management (SCRM) Practices 23の民間機関が情報通信技術(ICT)サプライチェーンリスクマネジメント(SCRM)実践を実施した程度
Fig12
➢We recommended that the 23 agencies fully implement foundational practices in their organization-wide approaches to ICT supply chain risk management. ➢ 23の省庁が、ICTサプライチェーンのリスクマネジメントに対する組織全体のアプローチにおいて、基礎的なプラクティスを完全に実施するよう勧告した。
Develop a Government-wide Reform Plan that Addresses the Cybersecurity Workforce Shortage サイバーセキュリティ人材不足に対応した政府全体の改革計画の策定
In April 2020, we examined the extent to which reform plans from the Office of Management and Budget (OMB) and lead agencies addressed key practices for effectively implementing government-wide reforms such as those addressing the cybersecurity workforce shortage. We found that OMB and the Department of Homeland Security (DHS) partially addressed most key practices, including training employees to fill vacant cybersecurity positions and streamlining hiring processes. However, neither agency had established a dedicated implementation team or a government-wide implementation plan, among other practices. 2020年4月、我々は、行政管理予算局(OMB)と主導機関の改革計画が、サイバーセキュリティ人材不足に対処するような政府全体の改革を効果的に実施するための主要なプラクティスにどの程度対応しているかを調査した。その結果、OMB と国土安全保障省 (DHS) は、サイバーセキュリティの空きポジションを埋めるための従業員トレーニングや雇用プロセスの合理化など、ほとんどの重要な実践に部分的に取り組んでいることがわかりました。しかし、どちらの機関も、専任の実施チームや政府全体の実施計画などを確立していなかった。
Extent to Which the Government-wide Plan to Solve the Cybersecurity Workforce Shortage Addressed Key Reform Practices サイバーセキュリティ人材不足を解決するための政府全体の計画が、主要な改革実施策にどの程度対応しているか
Fig13_20230211210301
➢We made several recommendations aimed at addressing continuing cybersecurity workforce challenges, including developing a government-wide workforce plan and related supporting practices. Government-wide leadership responsibility for cyber workforce issues transitioned in 2022 from OMB and DHS to the Office of the National Cyber Director. The office has committed to developing a national strategy that addresses key issues. ・我々は、サイバーセキュリティ人材不足という継続的な課題に対処することを目的として、政府全体の人材育成計画や関連する支援策を含む、いくつかの提言を行った。サイバー人材問題に対する政府全体の指導的責任は、2022年にOMBとDHSから国家サイバー長官室に移行した。同室は、重要な問題に対処する国家戦略を策定することを約束した。
Ensure the Security of the Emerging Technologies 新興技術のセキュリティ確保
Secure Internet-connected Devices インターネットに接続されたデバイスの安全確保
The nation’s critical infrastructure sectors rely on electronic systems, including Internet of Things (IoT) and operational technology (OT) devices and systems. In December 2022, we reported that the Departments of Energy, Health and Human Services, Homeland Security, and Transportation had cybersecurity initiatives underway intended to help protect three sectors. However, none of these agencies developed metrics to assess their efforts to mitigate sector risks or conducted IoT and OT cybersecurity risk assessments. 国の重要インフラ部門は、モノのインターネット(IoT)や運用技術(OT)の機器やシステムなどの電子システムに依存している。 2022年12月、我々は、エネルギー省、保健福祉省、国土安全保障省、運輸省が、3つのセクターの保護を助けることを目的としたサイバーセキュリティ・イニシアティブを進めていると報告した。しかし、これらの機関はいずれも、セクターのリスクを軽減する取り組みを評価するための指標を策定しておらず、IoTおよびOTのサイバーセキュリティリスク評価も実施していなかった。
Overview of Connected IT, Internet of Things (IoT), and Operational Technology コネクテッドIT、IoT(Internet of Things)、運用技術の概要
Fig14_20230211210401
➢We made eight recommendations to the Departments of Energy, Health and Human Services, Homeland Security, and Transportation to establish and use metrics to assess the effectiveness of sector IoT and OT cybersecurity efforts and evaluate sector IoT and OT cybersecurity risks. ➢ エネルギー省、保健福祉省、国土安全保障省、運輸省に対し、セクターのIoTおよびOTサイバーセキュリティの取り組みの有効性を評価し、セクターのIoTおよびOTサイバーセキュリティのリスクを評価するための指標を確立し使用するよう8つの勧告を行った。
Quantum Computing Major Cybersecurity Risks 量子コンピューティングの主なサイバーセキュリティリスク
Quantum technologies collect, generate, and process information in ways existing technologies cannot. We reported in September 2022 that quantum technologies could dramatically increase capabilities, including high-value applications in security and cryptography. However, such technology could create major cybersecurity risks such as a full-scale quantum computer to breaking standard encryption technologies. Consequently, the federal government’s cybersecurity infrastructure will need to evolve to address such threats. 量子テクノロジーは、既存の技術では不可能な方法で情報を収集、生成、処理する。 我々は2022年9月に、量子技術はセキュリティと暗号における高価値のアプリケーションを含む能力を劇的に向上させることができると報告した。しかし、そのような技術は、標準的な暗号化技術を破るために、フルスケールの量子コンピュータなどの主要なサイバーセキュリティリスクを作成する可能性がある。その結果、連邦政府のサイバーセキュリティインフラは、そのような脅威に対処するために進化する必要がある。

 

・[PDF]

20230211-205301

 


 

・2023.01.31 Cybersecurity High-Risk Series:Challenges in Securing Federal Systems and Information

Cybersecurity High-Risk Series:Challenges in Securing Federal Systems and Information サイバーセキュリティの高リスクシリーズ:連邦政府のシステムと情報の安全確保における課題
Fast Facts 概要
Federal systems are vulnerable to cyberattacks. Our High Risk report identified 10 critical actions for addressing federal cybersecurity challenges. 連邦政府のシステムは、サイバー攻撃に対して脆弱です。当社の「ハイリスク」レポートでは、連邦政府のサイバーセキュリティの課題に対処するための10の重要なアクションを特定した。
In this report, the second in a series of four, we cover the 3 actions related to Securing Federal Systems and Information: 4回シリーズの2回目となる本レポートでは、「連邦政府と情報の保護」に関連する3つのアクションを取り上げる。
・Improve implementation of government-wide cybersecurity initiatives ・政府全体のサイバーセキュリティ・イニシアチブの実施を改善する。
・Address weaknesses in federal agency information security programs ・連邦政府機関の情報セキュリティ・プログラムの弱点に対処する
・Enhance the federal response to cyber incidents to better protect federal systems and information ・連邦政府のシステムと情報をより良く保護するために、サイバーインシデントへの連邦政府の対応を強化する。
We've made 712 public recommendations in this area since 2010. Nearly 21% of those recommendations hadn't been implemented as of December 2022. 2010年以降、この分野で712件の公開提言を行った。2022年12月現在、これらの勧告の約21%が実施されていない。
Highlights ハイライト
Overview 概要
We have made about 712 recommendations in public reports since 2010 with respect to securing federal systems and information. Until these are fully implemented, federal agencies will be more limited in their ability to protect private and sensitive data entrusted to them. For more information on this report, visit [web]. 我々は2010年以降、連邦政府のシステムと情報の保護に関して約712の勧告を公開レポートで行ってきた。これらが完全に実施されるまで、連邦政府機関は預けられた個人情報や機密データを保護する能力がより制限されることになる。本報告書の詳細については、web]
Improve Implementation of Government-Wide Cybersecurity Initiatives 政府全体のサイバーセキュリティ・イニシアチブの実施改善
Federal law assigned five key cybersecurity responsibilities to the Cybersecurity and Infrastructure Security Agency (CISA), including securing federal information and systems, and coordinating federal efforts to secure and protect against critical infrastructure risk. To implement these responsibilities, CISA undertook an organizational transformation initiative aimed at unifying the agency, improving mission effectiveness, and enhancing the workplace experience. In March 2021, we reported that CISA had only completed 37 of 94 planned implementation tasks. Critical transformation tasks such as finalizing the mission-essential functions of CISA’s divisions and defining incident management roles and responsibilities across the agency had not yet been completed.  連邦法では、サイバーセキュリティおよびインフラセキュリティ局(CISA)に、連邦政府の情報およびシステムの保護、重要インフラのリスクに対する連邦政府の取り組みの調整など、5つの重要なサイバーセキュリティの責任を割り当てている。これらの責務を遂行するため、CISAは、庁内の統一、ミッションの有効性の向上、職場体験の向上を目的とした組織改革に取り組みました。 2021年3月、我々は、CISAが94の計画された実施タスクのうち37しか完了していないことを報告した。CISAの各部門のミッションに不可欠な機能の最終決定や、機関全体のインシデント管理の役割と責任の定義など、重要な変革タスクはまだ完了していなかった。 
Five Key Responsibilities Assigned to the Cybersecurity and Infrastructure Security Agency サイバーセキュリティとインフラセキュリティ庁に割り当てられた5つの重要な責任
Fig21
➢ We recommended that CISA establish expected completion dates, plans for developing performance measures, and an overall deadline for the completion of the transformation initiative, as well as develop a strategy for comprehensive workforce planning. ➢ CISAに対し、完了予定日、業績評価指標の策定計画、変革イニシアティブの全体的な完了期限を定めるとともに、包括的な人材計画のための戦略を策定するよう勧告した。
Address Weaknesses in Federal Agency Information Security Programs 連邦政府機関の情報セキュリティ・プログラムの弱点に対処する。
To protect federal information and systems, the Federal Information Security Modernization Act of 2014 (FISMA) requires federal agencies to develop, document, and implement information security programs. Congress included a provision in FISMA for GAO to periodically report on agencies’ implementation of the act. In March 2022, we reported on the information security programs of 23 federal civilian agencies, including annually required program reviews to be conducted by agency inspectors general (IG). Among other things, we noted that IGs determined that 16 (or 70 percent) of the 23 agencies had ineffective programs for fiscal year 2020. 連邦政府の情報およびシステムを保護するため、2014年連邦情報セキュリティ近代化法(FISMA)は、連邦政府機関に対して情報セキュリティプログラムの策定、文書化、および実施を義務付けている。議会はFISMAに、GAOが定期的に各機関の同法の実施状況を報告する規定を盛り込んだ。 2022年3月、我々は連邦政府文民機関23機関の情報セキュリティ・プログラムについて報告したが、これには機関監察官(IG)が実施するよう毎年義務付けられているプログラム・レビューが含まれていた。とりわけ、IGが、23機関のうち16機関(70%)が2020会計年度のプログラムに効果がないと判断したことを指摘した。
Number of the 23 Civilian Agencies with Effective and Not Effective Agency-Wide Information Security Programs, as Reported by Inspectors General for Fiscal Years 2017-2020 2017~2020会計年度に監察官から報告された、庁内情報セキュリティ・プログラムが有効な23の民間機関の数と有効でない機関の数
Fig22
We found that OMB’s guidance to IGs on conducting agency evaluations was not always clear, leading to inconsistent application and reporting by IGs. Further, we reported that the binary effective/not effective scale resulted in imprecise ratings that did not clearly distinguish among the differing levels of agencies’ performance. By clarifying its guidance and enhancing its rating scale, OMB could help ensure more a more consistent approach and nuanced picture of agencies’ cybersecurity programs. 我々は、機関評価の実施に関するIGに対するOMBのガイダンスが必ずしも明確ではなく、IGによる一貫性のない適用と報告につながったことを発見した。さらに、効果的/効果的でないの2段階の尺度は、機関のパフォーマンスの異なるレベルを明確に区別しない不正確な評価をもたらすと報告した。OMB は、指針を明確化し、評価尺度を強化することで、各機関のサイバーセキュリティプログラムについて、より一貫したアプローチと微妙な全体像を確保するのに役立つと考えられる。
➢ We recommended that OMB, in consultation with others, clarify its guidance to IGs and create a more precise overall rating scale. ➢ 我々は、OMB が他者と協議の上、IG に対するガイダンスを明確化し、より正確な総合評価尺度を作成することを提言した。
Enhance the Federal Response to Cyber Incidents サイバーインシデントへの連邦政府の対応を強化する
DOD and our nation's defense industrial base (DIB) are dependent on information systems to carry out their operations. These systems continue to be the target of cyberattacks, as demonstrated by over 12,000 cyber incidents DOD has experienced since 2015. DOD と我が国の防衛産業基盤 (DIB) は、その業務を遂行するために情報システムに依存している。DODが2015年以降に経験した12,000件以上のサイバーインシデントが示すように、これらのシステムは引き続きサイバー攻撃の標的になっている。
Cyber Incidents Reported by Department of Defense's Cybersecurity Service Providers from Calendar Years 2015 through 2021 国防総省のサイバーセキュリティサービスプロバイダーが2015年から2021年の暦年で報告したサイバーインシデント
Fig23
In November 2022, we reported DOD has taken steps to combat these attacks and the number of cyber incidents had declined in recent years. However, we found that the department (1) had not fully implemented its processes for managing cyber incidents, (2) did not have complete data on cyber incidents that staff report, and (3) did not document whether it notifies individuals whose personal data is compromised in a cyber incident. 2022年11月、我々はDODがこれらの攻撃に対抗するための手段を講じ、サイバーインシデントの数は近年減少していると報告した。しかし、我々は、同省が(1)サイバーインシデントを管理するためのプロセスを完全に実施していないこと、(2)職員が報告するサイバーインシデントのデータを完全に把握していないこと、(3)サイバーインシデントで個人データが漏洩した個人に通知しているかどうかを文書化していないことを明らかにした。
In addition, according to officials, DOD has not yet decided whether DIB cyber incidents detected by cybersecurity service providers should be shared with all relevant stakeholders. Until DOD examines whether this information should be shared with all relevant parties, opportunities could be lost to identify system threats and improve system weaknesses. さらに、職員によると、DOD はサイバーセキュリティ・サービス・プロバイダーが検出した DIB サイバー事件をすべての関係者と共有すべきかどうかをまだ決定していないとのことです。DOD がこの情報をすべての関係者と共有すべきかどうかを検討するまでは、システムの脅威を特定し、システムの弱点を改善する機会が失われる可能性がある。
➢ We recommended the Department of Defense improve the sharing of DIB-related cyber incident information and document when affected individuals are notified of a PII breach of their data. ➢ 我々は、国防総省が DIB 関連のサイバーインシデント情報の共有を改善し、影響を受ける個人が自分のデータの PII 侵害について通知されるタイミングを文書化することを推奨した。

 

・[PDF]

20230211-205312

 


 

・2023.02.07 Cybersecurity High-Risk Series:Challenges in Protecting Cyber Critical Infrastructure

Cybersecurity High-Risk Series:Challenges in Protecting Cyber Critical Infrastructure サイバーセキュリティの高リスクシリーズ:重要なサイバーインフラを守るための課題
Fast Facts 概要
Federal systems are vulnerable to cyberattacks. Our High Risk report identified 10 critical actions for addressing federal cybersecurity challenges. 連邦政府のシステムはサイバー攻撃に対して脆弱です。当社の「ハイリスク」レポートでは、連邦政府のサイバーセキュリティの課題に対処するための10の重要なアクションを特定した。
In this report, the third in a series of four, we cover the action related to protecting cyber critical infrastructure—specifically, strengthening the federal role in cybersecurity for critical infrastructure. For example, the Department of Energy needs to address cybersecurity risks to the U.S. power grid. 4回シリーズの3回目となる本レポートでは、重要インフラの保護に関連するアクション、特に重要インフラのサイバーセキュリティにおける連邦政府の役割の強化について取り上げる。例えば、エネルギー省は米国の送電網に対するサイバーセキュリティのリスクに対処する必要がある。
We've made 106 public recommendations in this area since 2010. Nearly 57% of those recommendations had not been implemented as of December 2022. 我々は2010年以来、この分野で106件の公開提言を行った。2022年12月現在、これらの勧告の57%近くが実施されていない。
Highlights ハイライト
Overview 概要
We have made 106 recommendations in public reports since 2010 with respect to protecting cyber critical infrastructure. Until these are fully implemented, federal agencies will be more limited in their ability to protect private and sensitive data entrusted to them. For more information on this report, visit [web]. 我々は、2010年以降、サイバー重要インフラの保護に関して106件の勧告を公開レポートで行ってきた。これらが完全に実施されるまで、連邦政府機関は預かった個人情報や機密データを保護する能力がより制限されることになる。本報告書の詳細については、[web]。
Strengthen the Federal Role in Protecting Cyber Critical Infrastructure サイバー重要インフラ保護における連邦政府の役割の強化
The U.S. grid’s distribution systems—which carry electricity from transmission systems to consumers and are regulated primarily by states—are increasingly at risk from cyberattacks. Distribution systems are growing more vulnerable, in part because of industrial control systems’ increasing connectivity. As a result, threat actors can use multiple techniques to access those systems and potentially disrupt operations. 米国送電網の配電システム(送電システムから消費者に電気を運び、主に州によって規制されている)は、ますますサイバー攻撃の危険にさらされている。配電システムは、産業用制御システムの接続性が高まっていることもあり、より脆弱性が高まっている。その結果、脅威者は複数の手法を駆使して配電システムにアクセスし、業務を妨害する可能性がある。
Examples of Techniques for Gaining Initial Access to Industrial Control Systems 産業用制御システムへ初期アクセスするための手法の例
Fig31
We reported in March 2021 that DOE, as the lead federal agency for the energy sector, developed plans to help combat these threats and implement the national cybersecurity strategy for the grid. However, DOE’s plans do not address distribution systems’ vulnerabilities related to supply chains. By not having plans that address the improvement to grid distribution systems’ cybersecurity, DOE’s plans will likely be of limited use in prioritizing federal support to states and industry. 我々は2021年3月に、DOEがエネルギー部門の主導的な連邦機関として、これらの脅威に対抗し、グリッドのための国家サイバーセキュリティ戦略を実施するのに役立つ計画を策定したことを報告した。しかし、DOEの計画は、サプライチェーンに関連する配電システムの脆弱性に対処していない。系統配電システムのサイバーセキュリティの改善に取り組む計画を持たないことで、DOE の計画は、州や産業界に対する連邦政府の支援の優先順位付けにおいて、おそらく限られた用途にしかならないだろう。
➢ We recommended that, in developing plans to implement the national cybersecurity strategy for the grid, DOE coordinate with DHS, states, and industry to more fully address risks to the grid’s distribution systems from cyberattacks. ➢ 我々は、送電網の国家サイバーセキュリティ戦略を実施する計画を策定する際に、DOE が DHS、州、産業界と連携し、送電網の配電システムに対するサイバー攻撃によるリスクにより十分に対処することを提言した。
The communications sector is an integral component of the U.S. economy and faces serious physical, cyber-related, and human threats that could affect the operations of local, regional, and national level networks, according to CISA and sector stakeholders. In addition to managing federal coordination during incidents impacting the communications sector, CISA shares information with sector stakeholders to enhance their cybersecurity and improve interoperability, situational awareness, and preparedness for responding to and managing incidents. CISA と通信分野の利害関係者によれば、通信分野は米国経済にとって不可欠な要素であり、地方、地域、国レベルのネットワークの運用に影響を与えうる物理的、サイバー関連、および人的な深刻な脅威に直面している。CISAは、通信セクターに影響を及ぼすインシデント発生時の連邦政府の調整を管理するほか、セクターの関係者と情報を共有し、サイバーセキュリティの強化、相互運用性の向上、状況認識、インシデントへの対応と管理に対する備えの向上に努めている。
Examples of Potential Security Threats to the Communications Sector 通信セクターに対する潜在的なセキュリティ脅威の例
Fig32
In November 2021, we reported that CISA had not assessed the effectiveness of its programs and services supporting the security and resilience of the communications sector. By completing such an assessment, CISA would be better positioned to determine which programs and services are most useful or relevant in supporting the sector’s security and resilience. We also reported that CISA had not updated its 2015 Communications Sector-Specific Plan. Developing and issuing a revised plan would help CISA to address emerging threats and risks to the communications sector. 2021年11月、我々は、CISAが通信セクターのセキュリティとレジリエンスを支援するプログラムとサービスの有効性を評価していないことを報告した。このような評価を完了することで、CISAは、どのプログラムとサービスが通信セクターのセキュリティとレジリエンスを支援する上で最も有用または関連性があるかを判断することができるようになる。我々はまた、CISAが2015年の通信セクター特定計画を更新していないことを報告した。改訂された計画を策定し発行することは、CISAが通信セクターに対する新たな脅威とリスクに対処するのに役立つだろう。
➢ We recommended that CISA assess the effectiveness of its programs and services to support the communications sector and, in coordination with public and private communications sector stakeholders, produce a revised Communications Sector-Specific Plan. ➢ 我々は、CISAが通信セクターを支援するプログラムやサービスの有効性を評価し、官民の通信セクター関係者と連携して、改訂版の通信セクター別計画を作成するよう勧告した。
Ransomware is a form of malicious software that threat actors use in a multistage attack to encrypt files on a device and render data and systems unusable. These threat actors then demand ransom payments in exchange for restoring access to the locked data and systems. ランサムウェアは、脅威者が多段階の攻撃でデバイス上のファイルを暗号化し、データとシステムを使用不能にする悪質なソフトウェアの一形態です。そして、ロックされたデータやシステムへのアクセスを回復するのと引き換えに、身代金の支払いを要求する。
Four Stages of a Common Ransomware Attack 一般的なランサムウェアの4つの攻撃段階
Fig33
In September 2022, we reported that CISA, FBI, and Secret Service provide assistance in preventing and responding to ransomware attacks on tribal, state, local, and territorial government organizations. However, the agencies could improve their efforts by fully addressing six of seven key practices for interagency collaboration in their ransomware assistance to state, local, tribal, and territorial governments. For instance, existing interagency collaboration on ransomware assistance to tribal, state, local, and territorial governments was informal and lacked detailed procedures. 2022年9月、我々は、CISA、FBI、シークレットサービスが、部族、州、地方、および領土の政府組織に対するランサムウェア攻撃の防止と対応において支援を提供していることを報告した。しかし、州、地方、部族、および準州の政府に対するランサムウェア支援において、各省庁間の協力に関する7つの重要な実践のうち6つに完全に取り組むことで、各省庁の取り組みを改善することができる。例えば、部族、州、地方、地域政府へのランサムウェア支援に関する既存の省庁間協力は非公式であり、詳細な手順が欠如していた。
➢ We recommended that DHS and the Department of Justice address identified challenges and incorporate key collaboration practices in delivering services to state, local, tribal, and territorial governments. 我々はDHSと司法省に対し、州政府、地方政府、部族政府、準州政府へのサービス提供において、特定された課題に取り組み、主要な協力体制を取り入れるよう勧告した。

 

・[PDF]

20230211-205321

 

 

 

| | Comments (0)

米国 CISA FBI 「ESXiArgs」の復旧ガイダンスを公開

こんにちは、丸山満彦です。

パッチが適用されていないVMware ESXiソフトウェアの既知の脆弱性等を悪用して、ESXiサーバにアクセスし、ESXiArgsランサムウェアを展開している可能性があり、ESXiサーバーの設定ファイルが暗号化されると仮想マシンが使用不能になるかもしれないですよね。。。被害は米国・カナダ・ドイツ・フランスが中心のようですね。。。米国、ドイツ、フランスで警告が出ています。。。日本もJPCERT/CCから警告が出ています。。。

 

Fig01_20230209181601

 

 

CISA

Fig01_20230209182101

・2023.02.08 CISA and FBI Release ESXiArgs Ransomware Recovery Guidance

CISA and FBI Release ESXiArgs Ransomware Recovery Guidance CISA と FBI が ESXiArgs ランサムウェアの復旧ガイダンスを公開
Today, CISA and the Federal Bureau of Investigation (FBI) released a joint Cybersecurity Advisory, ESXiArgs Ransomware Virtual Machine Recovery Guidance. This advisory describes the ongoing ransomware campaign known as “ESXiArgs.” Malicious cyber actors may be exploiting known vulnerabilities in unpatched and out-of-service or out-of-date versions of VMware ESXi software to gain access to ESXi servers and deploy ESXiArgs ransomware. The ransomware encrypts configuration files on ESXi servers, potentially rendering virtual machines unusable. 本日、CISAとFBIは、サイバーセキュリティアドバイザリ「ESXiArgs Ransomware Virtual Machine Recovery Guidance」を共同で発表した。この勧告は、"ESXiArgs "として知られる進行中のランサムウェア・キャンペーンについて説明している。悪意のあるサイバーアクターは、パッチが適用されていないVMware ESXiソフトウェアの既知の脆弱性やサービス停止または古いバージョンの脆弱性を悪用して、ESXiサーバにアクセスし、ESXiArgsランサムウェアを展開している可能性がある。このランサムウェアは、ESXiサーバーの設定ファイルを暗号化し、仮想マシンを使用不能にする可能性がある。
As detailed in the advisory, CISA has created and released an ESXiArgs recovery script at [web]. CISA and FBI encourage organizations that have fallen victim to ESXiArgs ransomware to consider using the script to attempt to recover their files. 勧告に詳述されているように、CISAはESXiArgs回復スクリプトを作成し、[web] で公開している。CISA と FBI は、ESXiArgs ランサムウェアの被害に遭った組織に対し、このスクリプトを使用してファイルの復元を試みることを検討するよう推奨している。
Additionally, CISA and FBI encourage all organizations to review the advisory and incorporate the recommendations for protecting against ESXiArgs ransomware. また、CISA と FBI は、すべての組織がこの勧告を確認し、ESXiArgs ランサムウェアから保護するための推奨事項を取り入れることを推奨している。

 

・2023.02.07 CISA Releases ESXiArgs Ransomware Recovery Script

CISA Releases ESXiArgs Ransomware Recovery Script CISA、ESXiArgsランサムウェアの回復スクリプトをリリース
CISA has released a recovery script for organizations that have fallen victim to ESXiArgs ransomware. The ESXiArgs ransomware encrypts configuration files on vulnerable ESXi servers, potentially rendering virtual machines (VMs) unusable. CISAは、ESXiArgsランサムウェアの被害に遭った組織向けに、回復スクリプトを公開した。ESXiArgsランサムウェアは、脆弱なESXiサーバー上の設定ファイルを暗号化し、仮想マシン(VM)を使用不能にする可能性がある。
CISA recommends organizations impacted by ESXiArgs evaluate the script and guidance provided in the accompanying README file to determine if it is fit for attempting to recover access to files in their environment. CISAは、ESXiArgsの影響を受けた組織が、添付のREADMEファイルに記載されているスクリプトとガイダンスを評価し、環境内のファイルへのアクセス回復を試みるのに適しているかどうかを判断することを推奨する。

 

・・[github] 回復スクリプト

 

・2023.02.08 Alert (AA23-039A) ESXiArgs Ransomware Virtual Machine Recovery Guidance

Alert (AA23-039A) ESXiArgs Ransomware Virtual Machine Recovery Guidance アラート (AA23-039A) ESXiArgs ランサムウェア仮想マシンの回復ガイダンス
Summary 概要
The Cybersecurity and Infrastructure Security Agency (CISA) and the Federal Bureau of Investigation (FBI) are releasing this joint Cybersecurity Advisory (CSA) in response to the ongoing ransomware campaign, known as “ESXiArgs.” Malicious actors may be exploiting known vulnerabilities in VMware ESXi servers that are likely running unpatched and out-of-service or out-of-date versions of VMware ESXi software to gain access and deploy ransomware. The ESXiArgs ransomware encrypts configuration files on ESXi servers, potentially rendering virtual machines (VMs) unusable.  サイバーセキュリティ・重要インフラ庁 (CISA) と 連邦捜査局 (FBI) は、「ESXiArgs」として知られるランサムウェアのキャンペーンが進行していることを受け、この共同サイバーセキュリティアドバイザリ (CSA) を発表する。悪意のある行為者は、パッチが適用されておらず、サービス停止中または古いバージョンのVMware ESXiソフトウェアを実行していると思われるVMware ESXiサーバの既知の脆弱性を悪用して、アクセスを試み、ランサムウェアを展開している可能性がある。ESXiArgsランサムウェアは、ESXiサーバー上の設定ファイルを暗号化し、仮想マシン(VM)を使用不能にする可能性がある。 
CISA has released an ESXiArgs recovery script at [github]. Organizations that have fallen victim to ESXiArgs ransomware can use this script to attempt to recover their files. This CSA provides guidance on how to use the script. ESXiArgs actors have compromised over 3,800 servers globally. CISA and FBI encourage all organizations managing VMware ESXi servers to:  CISAは、ESXiArgsの復旧スクリプトを[github]で公開している。ESXiArgs ランサムウェアの被害に遭った組織は、このスクリプトを使用してファイルの復元を試みることができる。ESXiArgs の感染者は、全世界で 3,800 台を超えるサーバに侵入している。CISA と FBI は、VMware ESXi サーバを管理するすべての組織に対して、次のことを推奨する。
ESXiArgs actors have compromised over 3,800 servers globally. CISA and FBI encourage all organizations managing VMware ESXi servers to:  ESXiArgs の感染者は、全世界で 3,800 台を超えるサーバに侵入している。CISAとFBIは、VMware ESXiサーバを管理するすべての組織に対して、次のことを推奨する。 
・Update servers to the latest version of VMware ESXi software,  ・サーバーを最新バージョンのVMware ESXiソフトウェアにアップデートする。 
・Harden ESXi hypervisors by disabling the Service Location Protocol (SLP) service, and  ・ESXiハイパーバイザーのSLP(Service Location Protocol)サービスを無効にし、ESXiハイパーバイザーを強化する。 
・Ensure the ESXi hypervisor is not exposed to the public internet.  ・ESXiハイパーバイザーが公衆インターネットに公開されていないことを確認する。 
If malicious actors have compromised your organization with ESXiArgs ransomware, CISA and FBI recommend following the script and guidance provided in this CSA to attempt to recover access to your files.   CISA と FBI は、悪意ある者が ESXiArgs ランサムウェアを使用して組織に侵入した場合、本 CSA で提供するスクリプトとガイダンスに従って、ファイルへのアクセスを回復するよう試みることを推奨する。 

 

・[PDF

20230209-174025

 


 

ドイツでは...

 

Bundesamt für Sicherheit in der Informationstechnik

Fig01_20230209182201

・2023.02.06 Weltweiter Ransomware-Angriff

Weltweiter Ransomware-Angriff 世界的なランサムウェアの攻撃
Laut Medienberichten tausende ESXi-Server verschlüsselt 数千台のESXiサーバーが暗号化されたとメディアが報じる
Bei einem weltweit breit gestreuten Ransomware-Angriff wurden laut Medienberichten tausende ESXi-Server, die u. a. zur Virtualisierung von IT-Fachverfahren genutzt werden, verschlüsselt. Der regionale Schwerpunkt der Angriffe lag dabei auf Frankreich, den USA, Deutschland und Kanada, auch weitere Länder sind betroffen. 報道によると、ITプロセスの仮想化などに使用されている数千台のESXiサーバーが、世界中に広く分散したランサムウェア攻撃により暗号化された。地域的にはフランス、米国、ドイツ、カナダに集中しており、その他の国でも被害を受けている。
Nach derzeitigem Kenntnisstand wird davon ausgegangen, dass dabei die bereits im Februar 2021 gepatchte Schwachstelle CVE-2021-21974 als Angriffsvektor ausgenutzt wird. Das BSI hatte zu dieser Zeit vor der Ausnutzung von Schwachstellen im entsprechenden Produkt gewarnt. Zum aktuellen IT-Sicherheitsvorfall hat das BSI nun eine Cyber-Sicherheitwarnung mit entsprechenden Schutzmaßnahmen veröffentlicht. 現在の知見では、2021年2月に既にパッチが適用されている脆弱性「CVE-2021-21974」が攻撃ベクトルとして悪用されていると推測される。その際、BSIは該当製品の脆弱性を悪用しないよう警告を発していた。今回のITセキュリティ事件については、BSIがサイバーセキュリティ警告を発表し、それに対応する保護対策を発表している。
Nach bisherigen Erkenntnissen scheint es in Deutschland eine mittlere dreistellige Zahl an betroffenen Systemen zu geben. Konkretere Aussagen zur Betroffenheit und zum Ausmaß möglicher Schäden sind derzeit noch nicht möglich. これまでの調査結果によると、ドイツでは3桁の中程度の数のシステムが影響を受けているようである。被災状況や被害の可能性について、より具体的な説明はまだできていない。
Das BSI analysiert diesen IT-Sicherheitsvorfall intensiv und steht im engen Austausch mit seinen internationalen Partnern. Das BSI wird über aktuelle Erkenntnisse informieren. BSIは、このITセキュリティ事件を集中的に分析し、国際的なパートナーと緊密に連絡を取り合っている。BSIは、現在の知見に関する情報を提供する。
* ESX und ESXi sind Bezeichnungen von Hypervisoren von VMware zur Virtualisierung von Servern, Rechenzentren und Rechnersystemen. ESX steht hierbei für "Elastic Sky X", ESXi bedeutet "Elastic Sky X integrated". * ESXとESXiは、サーバー、データセンター、コンピューターシステムを仮想化するためのVMware社のハイパーバイザーの名称である。ESXは「Elastic Sky X」の略で、ESXiは「Elastic Sky X integrated」の意味である。

 

 


 

フランス... (最初はここから始まったようですね。。。)

 

CERT-FR

Fig01_20230209182401

 

・2023.02.03 Objet: [MàJ] Campagne d’exploitation d’une vulnérabilité affectant VMware ESXi

Objet: [MàJ] Campagne d’exploitation d’une vulnérabilité affectant VMware ESXi 件名: 【更新】VMware ESXiに影響する脆弱性を悪用するキャンペーンについての通知
RISQUE(S) リスク
Exécution de code arbitraire à distance リモートでの任意のコード実行
RÉSUMÉ 概要
[Mise à jour du 05 février 2023] Mise à jour du résumé et de la section 'Solution'. [2023年02月05日更新】概要・解決編を更新した。
Le 03 février 2023, le CERT-FR a pris connaissance de campagnes d'attaque ciblant les hyperviseurs VMware ESXi dans le but d'y déployer un rançongiciel. 2023年2月3日、CERT-ENは、ランサムウェアを展開するためにVMware ESXiハイパーバイザーを標的とした攻撃キャンペーンについて認識した。
Dans l'état actuel des investigations, ces campagnes d'attaque semblent avoir tiré parti de l'exposition d'hyperviseurs ESXi qui n'auraient pas été mis à jour des correctifs de sécurité suffisamment rapidement. En particulier, le service SLP semble avoir été visé, service pour lequel plusieurs vulnérabilités avaient fait l'objet de correctifs successifs (notamment les vulnérabilités CVE-2020-3992 et CVE-2021-21974, cf. section Documentation). Ces vulnérabilités permettent à un attaquant de réaliser une exploitation de code arbitraire à distance. Des codes d'exploitation sont disponibles en source ouverte depuis au moins mai 2021. 現在の調査状況によると、これらの攻撃キャンペーンは、セキュリティパッチが迅速に更新されていないESXiハイパーバイザーの露出を利用したものと思われる。特に、SLP サービスは、複数の脆弱性(特に CVE-2020-3992 と CVE-2021-21974 脆弱性、ドキュメントのセクションを参照)が順次修正されているサービスであり、このサービスが狙われたと思われる。これらの脆弱性により、攻撃者はリモートで任意のコードの搾取を行うことができる。エクスプロイトコードは、少なくとも2021年5月以降、オープンソースで公開されている。
Les systèmes actuellement visés seraient des hyperviseurs ESXi en version 6.x et antérieures à 6.7. 現在、対象となるシステムは、バージョン 6.x および 6.7 より前の ESXi ハイパーバイザーである。
Cependant, le CERT-FR rappelle que les vulnérabilités affectant SLP concernent les systèmes suivants : しかし、CERT-FRは、SLPに影響を与える脆弱性は、以下のシステムに関係するものである。
ESXi versions 7.x antérieures à ESXi70U1c-17325551 ESXiバージョン7.x(ESXi70U1c-17325551以前)
ESXi versions 6.7.x antérieures à ESXi670-202102401-SG ESXiバージョン6.7.x(ESXi670-202102401-SG以前)
ESXi versions 6.5.x antérieures à ESXi650-202102101-SG ESXiバージョン6.5.x(ESXi650-202102101-SG以前)
SOLUTION 解決方法
[Mise à jour du 05 février 2023] [2023年02月05日更新)。
Le CERT-FR a la confirmation qu'il est possible de récupérer les disques des machines virtuelles lorsque les fichiers de configuration (.vmdk) sont chiffrés et renommés avec une extension .args. En effet, dans ce cas, le fichier contenant le disque virtuel (fichier -flat.vmdk) n'est pas chiffré. Plusieurs procédures testées avec succès sont documentées [1]. CERT-ENでは、仮想マシンの設定ファイル(.vmdk)を暗号化し、拡張子を.argsに変更した場合、ディスクの復旧が可能であることを確認している。 確かにこの場合、仮想ディスクを含むファイル(ファイル -flat.vmdk)は暗号化されていない。テストに成功したいくつかの手順が文書化されている[1]。
Le CERT-FR recommande fortement de : CERT-FRは、以下のことを強く推奨する。
isoler le serveur affecté ; 影響を受けるサーバーを隔離する。
dans la mesure du possible, effectuer une analyse des systèmes afin de détecter tout signe de compromission [2], l'application seule des correctifs n'est pas suffisante, un attaquant a probablement déjà déposé un code malveillant ; 可能であれば、システムスキャンを実行し、侵害の兆候を検出する [2]。パッチだけでは不十分で、攻撃者はすでに悪意のあるコードを書き込んでいる可能性がある。
privilégier une réinstallation de l'hyperviseur dans une version supportée par l'éditeur (ESXi 7.x ou ESXi 8.x) ; ハイパーバイザーをベンダーがサポートするバージョン(ESXi 7.xまたはESXi 8.x)で再インストールする。
appliquer l'ensemble des correctifs de sécurité et de suivre les futurs avis de sécurité de l'éditeur ; すべてのセキュリティパッチを適用し、ベンダーの今後のセキュリティ勧告に従う。
désactiver les services inutiles sur l'hyperviseur (tel que le service SLP [3]) ; ハイパーバイザー上の不要なサービス(SLPサービス[3]など)を無効化する。
bloquer l'accès aux différents services d'administration, soit par un pare-feu dédié, soit par le pare-feu intégré à l'hyperviseur et mettre en œuvre un réseau local d'administration ainsi qu'une capacité d'administration distante si elle est requise (via réseau privé virtuel, VPN, ou, à défaut, par un filtrage des adresses IP de confiance). 専用のファイアウォールまたはハイパーバイザーのビルトインファイアウォールを介して、さまざまな管理サービスへのアクセスをブロックし、ローカル管理ネットワークと、必要に応じてリモート管理機能(VPN経由、またはそれができない場合は信頼できるIPアドレスフィルタリング)を実装する。
La mise à jour d'un produit ou d'un logiciel est une opération délicate qui doit être menée avec prudence. Il est notamment recommandé d'effectuer des tests autant que possible. Des dispositions doivent également être prises pour garantir la continuité de service en cas de difficultés lors de l'application des mises à jour comme des correctifs ou des changements de version. 製品やソフトウェアのアップデートは繊細な作業であるため、慎重に行う必要がある。特に、テストは可能な限り実施することを推奨する。また、パッチやバージョンアップなどの更新の適用が困難な場合にも、サービスの継続を確保できるように手配しておく必要がある。

 

 


 

日本でも...

JPCERT/CC

Fig01_20230209182501

 

・2023.02.07 VMware ESXiを標的としたランサムウェア攻撃について

 

 

 

| | Comments (0)

2023.02.09

米国 一般教書演説 2023

こんにちは、丸山満彦です。

バイデン大統領の一般教書演説が72分間にわたって共和党が多数を占める下院の議場で行われましたね。。。(サイバーの問題は取り上げていないです。。。)

 

「アメリカを一言で言うと「Possibilities」」から始まって、共和党と民主党が力を合わせて、強いアメリカを作ろう、、、中産階級を再建しよう、、、それをやってきた、、、なので、ほらっ、失業率はこの50年ぶりの低水準の3.4%、国内インフレだって下がってきています、製造業を取り戻そう、そのためにChips法だって、力を合わせて可決できたじゃないか、、、そして次はインフラ整備法案だ。橋をかけよう、高速インターネット網を全土に、、、そしてインフレ抑制法。医療費を下げて安心に眠れるようにします、、、そして、それは気候変動危機にも対応している、、、電気自動車や省エネ電化製品の購入に税額控除をする、、、一方、多額の利益を上げているのに税金を払っていなかった大企業には最低でも15%の税率をかす。。。社会保障と医療保障を削減することは許さない、、、そして、ジャンク料金防止法案。正規値段に次々と追加料金を載せてくるのは禁止(^^)、、、そして、労働者の権利を守るためのPRO法(団結権保障法)案。3歳、4歳児の教育の機会を増やそう。公立学校の先生の給与をあげよう (Let’s give public school teachers a raise.) 。COVID-19を終わらせよう! 監察官 (Inspector General)もちゃんと機能させよう! そして社会の安全。これも改善しないといけない。地域社会から信頼される警察官を取り戻す、、、銃乱射事件も減らさないといけない、一層の努力が求められている、、、中絶禁止法案を可決したら拒否権を行使するぞ!、、、

プーチンの侵攻は、時代の試練。アメリカへの試練。世界に対する試練 (Putin’s invasion has been a test for the ages. A test for America. A test for the world.) 。ウクライナには寄り添うよ!、私たちは民主主義を守るために立ち上がるだろうか? (Would we stand for the defense of democracy?) 、、、中国が勢力を伸ばし、アメリカが世界の中で没落していくという話はもうない。私は習主席とは対立ではなく、競争を求めることを明確した (I’ve made clear with President Xi that we seek competition, not conflict.) 、、、同盟国に投資し、同盟国と協力して先進技術を守る、、、軍の近代化、、、

超党派は無理ではない、、、オピオイド中毒に効果的な治療薬を処方しやすくするための法律、銃器安全法、ARPA-Hを立ち上げ、癌との闘いにおけるブレークスルーを推進、退役軍人のためのPACT法、薬物取締の強化、子どもたちのメンタルヘルスへの考慮の強化、ビッグ・テックによる子供やティーンエイジャーの個人情報のオンライン収集を止め、子供向けのターゲット広告を禁止し、これらの企業が私たち全員について収集する個人情報に厳しい制限を課すための超党派法案を可決する時が来た!退役軍人とその配偶者が市民生活に戻るための職業訓練と職業紹介、、、

民主主義があれば、すべてが可能になる。それがなければ、何もできない。

と、適当にサマっていますので、ぜひ、こちらの[YouTube]を、、、

あ、原稿、もしくは当日の発言録も、、、


 

White House

・2023.02.07 STATE OF THE UNION ADDRESS

YouTube...

・2023.02.07 President Biden's State of the Union Address

当日の発言録

・2023.02.07 Remarks by President Biden in State of the Union Address

原稿

・2023.02.07 Remarks of President Joe Biden – State of the Union Address as Prepared for Delivery

記者会見

・2023.02.07 On-the-Record Press Call on President Biden’s Unity Agenda Ahead of the State of the Union

 

これを事前に読んだ方が良いかも...

ファクトシート

Fig1_20210802074601

 


 

一方、下院の国土安全保障委員会

Fig01_20230209042101

 

Committee on Homeland Security

・2023.02.07 MISSING from the State of the Union: The REAL State of our Homeland Security

国土安全保障の本当の姿...

・メキシコとの国境の警備をちゃんとせいよ(トランプ大統領の時のように)、、、

・中国の気球についても弱腰だ!

・サイバー攻撃への対処はできていないだろ!

みたいな感じですかね。。。

20230209-42409

 

委員長の反応

・2023.02.07 Chairman Green Responds to President Biden’s State of the Union Address

サイバーの問題を取り上げなかったな、、、上手くできていないもんな、、、みたいな感じ???

・2023.02.07 Chairman Green: If Biden Was Serious About Stopping Illicit Drugs He’d Secure The Border

麻薬を取り締まるって言うなら、メキシコとの国境はあのままではあかんやろ、、、みたいな、、、

 

国民が選ぶ大統領と国民が選ぶ議員なので、対立するとスピード感をおちることもあるけど、ある意味良い牽制にもなっているなぁ、、、と、、、

 


 

国防総省の取り上げた部分は、こちら...

Fig01_20230209044701

Department of Defense

・2023.02.08 Biden Tells Congress 'It's Never a Good Bet to Bet Against America'

 

大統領は、米国経済の発展を強調する一方で、ロシアのウクライナ戦争や、世界を自らの意のままにしようとする中国の動きなどの課題にも触れた...

大統領は、安定を守り、侵略を抑止するために米軍を近代化することを語った...

退役軍人とその配偶者が市民生活に戻る際の職業訓練や職業紹介...

退役軍人の自殺という惨劇に立ち向かうためのプログラムへの資金提供...

 

 


 

中国は、、、

外交部

・2023.02.08 2023年2月8日外交部发言人毛宁主持例行记者会

該当箇所...

韩国广播公司记者:美国总统拜登在今天的国情咨文演讲中表示,美国寻求对中国竞争而不是冲突,会为了美国的利益与中国合作,但如果中国威胁到美国的主权,美国会为了守护国家而行动。中方对此有何评论? KBC特派員:ジョー・バイデン米大統領は、本日の一般教書演説で、米国は中国と対立ではなく競争を求め、米国の利益のために中国と協力するが、中国が米国の主権を脅かすなら、米国は国を守るために行動すると述べました。 これに対して、中国はどのようなコメントを出しているのでしょうか。
毛宁:中方一向认为,中美关系不是你输我赢、你兴我衰的零和博弈,中美各自取得成功对彼此是机遇而不是挑战。宽广的地球完全容得下中美各自发展、共同繁荣。 毛寧:中国は、中米関係は、あなたが負ければ私が勝つ、あなたが上がれば私が下がるというゼロサムゲームではなく、中米それぞれの成功は、お互いにとって挑戦ではなく、チャンスであると常に考えています。 広い地球は、中米両国の発展と共同繁栄を受け入れることができます。
中方不回避也不惧怕竞争,但反对以竞争来定义整个中美关系。打着竞争旗号,对一国进行污蔑抹黑,限制别国正当发展权利,甚至不惜损害全球产业链供应链,这不是一个负责任国家的所为。 中国は競争を避けたり恐れたりはしないが、米中関係全体を競争という観点から定義することには反対です。 競争の名の下に他国を中傷し、他国の正当な開発権を制限し、さらにはグローバルな産業チェーンのサプライチェーンに損害を与えることは、責任ある国の行動とは言えません。
一个健康稳定的中美关系符合两国人民根本利益,也是国际社会的普遍期待。我们将按照习近平主席提出的相互尊重、和平共处、合作共赢三原则来处理中美关系,同时也将坚定捍卫中国的主权安全发展利益。美方应该树立客观理性的对华认知,奉行积极务实的对华政策,与中方一道,推动中美关系重回健康稳定发展的轨道。 健全で安定した中米関係は、両国民の基本的な利益であり、国際社会の普遍的な期待です。 我々は、習近平国家主席が提唱する相互尊重、平和共存、ウィンウィンの3原則に則って米中関係に取り組むとともに、中国の主権、安全、発展の利益をしっかりと守っていくつもりです。 米国側は中国に対する客観的かつ合理的な認識を確立し、積極的かつ実際的な対中政策を追求し、中国側と協力して中米関係の健全かつ安定した発展への復帰を促進すべきです。

 

 

 


 

日本では、、、

NHK

・2023.02.08 バイデン大統領 一般教書演説 実績強調と中国めぐり結束訴える

 

原稿に基づく全文の翻訳

日本経済新聞

・2023.02.08 バイデン氏「米国の民主主義は不屈」 一般教書演説全文

 

| | Comments (0)

2023.02.08

中国 データセキュリティ産業の発展促進に関する16部署の指導意見 (2023.01.14)

こんにちは、丸山満彦です。

中国の国家サイバースペース管理局などの16部署が、データセキュリティ産業の発展促進に関する16部署の指導意見を公表していました。。。

 

● 中央网安全和信息化委公室 (Cyberspace Administration of China: CAC)

・2023.01.14 十六部门关于促进数据安全产业发展的指导意见

 

十六部门关于促进数据安全产业发展的指导意见 データセキュリティ産業の発展促進に関する16部署の指導意見
工业和信息化部等十六部门关于促进数据安全产业发展的指导意见 データセキュリティ産業の発展促進に関する工業・情報化部など16部門の指導意見
各省、自治区、直辖市及计划单列市、新疆生产建设兵团工业和信息化主管部门、网信办、发展改革委、教育厅(委、局)、科技厅(委、局)、公安厅(局)、国家安全厅(局)、财政厅(局)、人力资源社会保障厅(局)、国资委、税务局、市场监督管理局(委、厅)、知识产权局,各省、自治区、直辖市通信管理局,中国人民银行各分行、营业管理部、各省会(首府)城市中心支行,各银保监局,各证监局,有关企业: 全省、自治区、中央政府直轄市、中央計画市、新疆生産建設兵団、産業情報化主管部門、インターネット情報局、発展改革委員会、教育部(委、局)、科学技術部(委、局)、公安部(局)、国家安全局(局)、財政部(局)、人事・社会保障部(局)、国有資産監督管理委、税務局、市場監督管理(委、局)、知的財産局、全省。 中央政府直轄の自治区・市、中国人民銀行の支店・業務管理部門、省都(首都)の中央支社、銀行・保険監督局、証券監督局、関連企業など。
数据安全产业是为保障数据持续处于有效保护、合法利用、有序流动状态提供技术、产品和服务的新兴业态。为贯彻落实《中华人民共和国数据安全法》,推动数据安全产业高质量发展,提高各行业各领域数据安全保障能力,加速数据要素市场培育和价值释放,夯实数字中国建设和数字经济发展基础,制定本意见。 データセキュリティ業界は、データを効果的に保護し、合法的に活用し、秩序ある流れで継続させるための技術、製品、サービスを提供する新興産業である。 中華人民共和国データセキュリティ法を実施し、データセキュリティ産業の高品質な発展を促進し、各業界・分野のデータセキュリティ保護能力を高め、データ要素市場の育成と価値解放を加速し、デジタル中国の建設とデジタル経済の発展の基礎を固めるため、本意見書を策定した。
一、总体要求 I. 一般要件
(一)指导思想。以习近平新时代中国特色社会主义思想为指导,全面贯彻落实党的二十大精神,立足新发展阶段,完整、准确、全面贯彻新发展理念,构建新发展格局,坚定不移贯彻总体国家安全观,统筹发展和安全,把握数字化发展机遇,以全面提升数据安全产业供给能力为主线,以创新为动力、需求为导向、人才为根本,加强核心技术攻关,加快补齐短板,促进各领域深度应用,发展数据安全服务,构建繁荣产业生态,推动数据安全产业高质量发展,全面加强数据安全产业体系和能力,夯实数据安全治理基础,促进以数据为关键要素的数字经济健康快速发展。 (1) 指導理念:習近平の新時代の中国の特色ある社会主義思想に導かれ、第20回党大会の精神を十分に実行し、新しい発展段階に基づき、新しい発展理念を十分に、正確に、全面的に実行し、新しい発展型を構築し、国家安全の全体理念を揺るぎなく実行し、発展と安全を調整し、デジタル発展のチャンスを捉え、データセキュリティ産業の供給能力を全面的に高めることを主軸として、革新を推進力とし、需要をガイドとして捉える、コア技術の研究開発を強化し、不足部分を加速し、各分野の深化応用を推進し、データセキュリティサービスを発展させ、豊かな産業生態を構築し、データセキュリティ産業の高品質発展を推進し、データセキュリティ産業の体制と能力を全面的に強化し、データセキュリティガバナンスの基礎を固め、データをキーとしたデジタル経済の健全かつ迅速な発展を推進する。
(二)基本原则。坚持创新驱动,强化企业创新主体地位,优化创新资源要素配置,激发各类市场主体创新活力。坚持以人为本,维护人民数据安全合法权益,依靠人民智慧发展产业,发展成果更多更公平惠及人民。坚持需求牵引,以有效需求引领产业供给,以深度应用促进迭代升级。坚持开放协同,注重更大范围、更宽领域、更深层次的开放合作,协同推进全产业链深度融合、共创共享。 (2) 基本原則:イノベーション主導を堅持し、企業イノベーションの主役の座を強化し、イノベーション資源と要素の配分を最適化し、各市場関係者のイノベーション活力を活性化すること。 人民本位を堅持し、人民のデータセキュリティの合法的権益を保護し、人民の知恵を頼りに産業を発展させ、発展の成果から人民をより一層公平に利する。 需要主導型、効果的な需要で業界の供給をリードし、綿密なアプリケーションで反復的なアップグレードを促進するために付着する。 オープンなコラボレーションを堅持し、より広い範囲、より広い領域、より深いオープンな協力に焦点を当て、産業チェーン全体の深い統合、共創、共有を促進するために協力する。
(三)发展目标。到2025年,数据安全产业基础能力和综合实力明显增强。产业生态和创新体系初步建立,标准供给结构和覆盖范围显著优化,产品和服务供给能力大幅提升,重点行业领域应用水平持续深化,人才培养体系基本形成。 (3) 開発目標:2025年までに、データセキュリティ業界の基礎的な能力と総合力を大幅に強化する。産業生態とイノベーションシステムの初期確立、標準供給構造とカバー率を大幅に最適化し、製品とサービスの供給能力を大幅に強化し、主要産業分野の応用レベルを引き続き深化させ、人材育成システムを基本的に形成する。
——产业规模迅速扩大。数据安全产业规模超过1500亿元,年复合增长率超过30%。 ・産業規模の急速な拡大。 データセキュリティ産業の規模は1、500億元を超え、年平均成長率は30%を超える。
——核心技术创新突破。建成5个省部级及以上数据安全重点实验室,攻关一批数据安全重点技术和产品。 ・コア技術革新のブレークスルー。 部省級以上の5つの重要なデータセキュリティ実験室を建設し、多くの重要なデータセキュリティ技術や製品に取り組む。
——应用推广成效显著。打造8个以上重点行业领域典型应用示范场景,推广一批优秀解决方案和试点示范案例。 ・大幅なアプリケーションの推進。 主要産業における8つ以上の典型的なアプリケーション実証シナリオを作成し、多くの優れたソリューションとパイロット実証事例を推進する。
——产业生态完备有序。建成3-5个国家数据安全产业园、10个创新应用先进示范区,培育若干具有国际竞争力的龙头骨干企业、单项冠军企业和专精特新“小巨人”企业。 ・産業エコシステムは完全で整然としている。 国家データセキュリティ産業区を3-5ヶ所、イノベーションと応用の先進的実証区を10ヶ所建設し、国際競争力のある基幹企業、単一チャンピオン企業、専門的で新しい「小さな巨人」企業を多数育成する。
到2035年,数据安全产业进入繁荣成熟期。产业政策体系进一步健全,数据安全关键核心技术、重点产品发展水平和专业服务能力跻身世界先进行列,各领域数据安全应用意识和应用能力显著提高,涌现出一批具有国际竞争力的领军企业,产业人才规模与质量实现双提升,对数字中国建设和数字经济发展的支撑作用大幅提升。 2035年には、データセキュリティ産業は繁栄と成熟のステージに入る。 産業政策体系をさらに改善し、データセキュリティの主要コア技術、主要製品、専門サービス能力の発展水準を世界先進水準にし、データセキュリティの各分野における認識と応用能力を大幅に向上させ、国際競争力のある有力企業を多数出現させ、産業人材の規模と質を二倍に高め、デジタル中国の建設とデジタル経済の発展に対する支援の役割を大幅に強化させる。
二、提升产业创新能力 II.産業イノベーション力の強化
(四)加强核心技术攻关。推进新型计算模式和网络架构下数据安全基础理论和技术研究,支持后量子密码算法、密态计算等技术在数据安全产业的发展应用。优化升级数据识别、分类分级、数据脱敏、数据权限管理等共性基础技术,加强隐私计算、数据流转分析等关键技术攻关。研究大数据场景下轻量级安全传输存储、隐私合规检测、数据滥用分析等技术。建设和认定一批省部级及以上数据安全重点实验室,鼓励产学研用多方主体共建高水平研发机构、产业协同创新中心,开展技术攻关,推动成果转化。 (4) コア技術研究開発の強化:新しいコンピューティングモデルやネットワークアーキテクチャの下でのデータセキュリティの基礎理論・技術の研究を推進し、ポスト量子暗号アルゴリズムや高密度状態コンピューティングなど、データセキュリティ産業における技術の開発・応用を支援する。データの識別、分類、等級付け、データクレンジング、データ権限管理などの共通基本技術を最適化し、改善し、プライバシーコンピューティング、データフロー分析などのキーテクノロジーを強化する。ビッグデータ・シナリオにおける軽量セキュアな伝送・保存、プライバシー・コンプライアンス検出、データ誤用解析などの技術に関する研究。部省レベル以上のデータセキュリティ重点実験室を多数建設・特定し、産学・研究・利用の複数の主体が共同でハイレベルの研究開発機関や産業共同イノベーションセンターを建設し、技術研究を行い、成果の転換を促進することを奨励する。
(五)构建数据安全产品体系。加快发展数据资源管理、资源保护产品,重点提升智能化水平,加强数据质量评估、隐私计算等产品研发。发展面向重点行业领域特色需求的精细化、专业型数据安全产品,开发适合中小企业的解决方案和工具包,支持发展定制化、轻便化的个人数据安全防护产品。提升基础软硬件数据安全水平,推动数据安全产品与基础软硬件的适配发展,增强数据安全内生能力。 (5) データセキュリティ製品体制の構築:データリソース管理およびリソース保護製品の開発を加速し、インテリジェンスレベルの向上に注力し、データ品質評価およびプライバシーコンピューティングなどの製品の研究開発を強化する。 主要産業分野の特別なニーズに対応した洗練された専門的なデータセキュリティ製品の開発、中小企業に適したソリューションとツールキットの開発、カスタマイズされた軽量な個人データセキュリティ保護製品の開発支援を行う。 基本的なハードウェアとソフトウェアのデータセキュリティのレベルを向上させ、データセキュリティ製品の開発と基本的なハードウェアとソフトウェアの適応を促進し、データセキュリティの内発的な能力を強化する。
(六)布局新兴领域融合创新。加快数据安全技术与人工智能、大数据、区块链等新兴技术的交叉融合创新,赋能提升数据安全态势感知、风险研判等能力水平。加强第五代和第六代移动通信、工业互联网、物联网、车联网等领域的数据安全需求分析,推动专用数据安全技术产品创新研发、融合应用。支持数据安全产品云化改造,提升集约化、弹性化服务能力。 (6) 新規領域における統合とイノベーションの基礎固め:データセキュリティ技術と人工知能、ビッグデータ、ブロックチェーンなどの新技術の相互活用とイノベーションを加速し、データセキュリティの状況認識、リスク調査、判断などの能力を強化する。 5G、6G移動通信、産業インターネット、モノのインターネット、自動車のインターネットなどの分野におけるデータセキュリティのニーズの分析を強化し、データセキュリティ専用技術製品の革新的研究開発とその統合・応用を推進する。 データセキュリティ製品のクラウド化を支援し、集中的かつ柔軟なサービスの能力を強化する。
三、壮大数据安全服务 III. 成長するデータ・セキュリティ・サービス
(七)推进规划咨询与建设运维服务。面向数据安全合规需求,发展合规风险把控、数据资产管理、安全体系设计等方面的规划咨询服务。围绕数据安全保护能力建设与运行需求,积极发展系统集成、监测预警、应急响应、安全审计等建设运维服务。面向数据有序开发利用的安全需求,发展数据权益保护、违约鉴定等中介服务。 (7) 企画コンサルティング、建設運用・保守サービスの推進: データセキュリティのコンプライアンスニーズに対して、コンプライアンスリスクコントロール、データ資産管理、セキュリティシステム設計などの企画・コンサルティングを展開する。 データセキュリティ保護能力の構築と運用のニーズを中心に、システム統合、監視と早期警戒、緊急対応、セキュリティ監査などの構築と運用・保守サービスを積極的に展開する。 データの秩序ある発展と活用のためのセキュリティニーズに対応し、データの権利保護や侵害の特定などの仲介サービスを開発する。
(八)积极发展检测、评估、认证服务。建立数据安全检测评估体系,加强与网络安全等级保护评测等相关体系衔接,培育第三方检测、评估等服务机构,支持开展检测、评估人员的培训。支持开展数据安全技术、产品、服务和管理体系认证。鼓励检测、评估、认证机构跨行业跨领域发展,推动跨行业标准互通和结果互认。推动检测、评估等服务与数据安全相关标准体系的动态衔接。 (8) 試験、評価、認証サービスの積極的な展開:データセキュリティのテストと評価システムを構築し、ネットワークセキュリティのレベル保護評価およびその他の関連システムとの連携を強化し、第三者のテスト、評価およびその他のサービス機関を育成し、テストと評価の人材の育成をサポートする。 データセキュリティ技術、製品、サービス、マネジメントシステム認証の開発を支援する。 業界や分野を超えた試験・評価・認証機関の発展を奨励し、業界を超えた規格の相互運用と結果の相互承認を促進する。 試験、評価、その他のサービスとデータセキュリティ関連の標準システムとのダイナミックな融合を促進する。
四、推进标准体系建设 IV. 標準システム構築の推進
(九)加强数据安全产业重点标准供给。充分发挥标准对产业发展的支撑引领作用,促进产业技术、产品、服务和应用标准化。鼓励科研院所、企事业单位、普通高等院校及职业院校等各类主体积极参与数据安全产业评价、数据安全产品技术要求、数据安全产品评测、数据安全服务等标准制定。高质高效推进贯标工作,加大标准应用推广力度。积极参与数据安全国际标准组织活动,推动国内国际协同发展。 (9) データセキュリティ業界向けの主要規格の供給強化:産業発展に対する標準の支援と先導的な役割を十分に発揮し、産業技術、製品、サービス、アプリケーションの標準化を推進する。 科学研究機関、企業、機関、一般高等教育機関、専門大学、その他の種類の主体が、データセキュリティ産業評価、データセキュリティ製品技術要件、データセキュリティ製品評価、データセキュリティサービスに関する標準の策定に積極的に参加するよう奨励する。 高品質で効率的な標準化作業を推進し、標準の適用と普及を拡大する。 国際的なデータセキュリティ標準化団体の活動に積極的に参加し、国内外のシナジーを促進する。
五、推广技术产品应用 V. 技術製品の応用促進
(十)提升关键环节、重点领域应用水平。深度分析工业、电信、交通、金融、卫生健康、知识产权等领域数据安全需求,梳理典型应用场景,分类制定数据安全技术产品应用指南,促进数据处理各环节深度应用。推动先进适用数据安全技术产品在电子商务、远程医疗、在线教育、线上办公、直播新媒体等新型应用场景,以及国家数据中心集群、国家算力枢纽节点等重大数据基础设施中的应用。推进安全多方计算、联邦学习、全同态加密等数据开发利用支撑技术的部署应用。 (10) 主要セグメント、重要領域の応用レベルの向上:産業、通信、交通、金融、健康、知的財産などの分野におけるデータセキュリティニーズを深く分析し、典型的な適用シナリオを整理し、データセキュリティ技術製品の適用ガイドラインを分類・策定し、データ処理の様々な側面からの徹底的な適用を推進する。 電子商取引、遠隔医療、オンライン教育、オンラインオフィス、ライブニューメディアなどの新しいアプリケーションシナリオや、国家データセンタークラスタ、国家計算力ハブノードなどの主要データインフラにおいて、高度で応用性の高いデータセキュリティ技術製品の適用を推進する。 安全なマルチパーティコンピューティング、連携学習、完全同型暗号化などのデータ活用支援技術の展開と適用を推進する。
(十一)加强应用试点和示范推广。组织开展数据安全新技术、新产品应用试点,推进技术产品迭代升级,验证适用性和推广价值。遴选一批技术先进、特点突出、应用成效显著的数据安全典型案例和创新主体,加强示范引领。开展重点区域和行业数据安全应用示范,打造数据安全创新应用先进示范区,集中示范应用并推广数据安全技术产品和解决方案。 (11) パイロット・デモンストレーション推進の適用強化:新しいデータセキュリティ技術・製品の試験運用を行い、技術製品の反復的な高度化を推進し、適用可能性と普及価値を検証する。 先進的な技術、優れた機能、重要な応用成果を持つデータセキュリティの典型的な事例と革新的なテーマを数多く選び、実証と指導を強化する。 主要な地域と産業においてデータセキュリティの応用実証を行い、データセキュリティの革新と応用のための先進的な実証地域を作り、応用の実証とデータセキュリティ技術の製品とソリューションの普及に力を入れる。
六、构建繁荣产业生态 VI. 豊かな産業エコロジーの構築
(十二)推动产业集聚发展。立足数据安全政策基础、产业基础、发展基础等因素,布局建设国家数据安全产业园,推动企业、技术、资本、人才等加快向园区集中,逐步建立多点布局、以点带面、辐射全国的发展格局。鼓励地方结合产业基础和优势,围绕关键技术产品和重点领域应用,打造龙头企业引领、具有综合竞争力的高端化、特色化数据安全产业集群。 (12) 産業クラスター化の推進:データセキュリティ政策基盤、産業基盤、開発基盤などの要因に基づいて、レイアウトと国家データセキュリティ産業園の建設、企業、技術、資本、人材などを促進し、公園の濃度を加速し、徐々に多点レイアウト、ポイントに、放射線全国開発パターンを確立することができます。 地方が産業基盤と利点を組み合わせ、主要な技術製品と応用の主要分野を中心に、ハイエンドで特徴的なデータセキュリティ産業クラスターの包括的な競争力を持つ、リードする企業を作成するよう奨励する。
(十三)打造融通发展企业体系。实施数据安全优质企业培育工程,建立多层次、分阶段、递进式企业培育体系,发展一批具有生态引领力的龙头骨干企业,培育一批掌握核心技术、具有特色优势的数据安全专精特新中小企业、专精特新“小巨人”企业,培育一批技术、产品全球领先的单项冠军企业。发挥龙头骨干企业引领支撑作用,带动中小微企业补齐短板、壮大规模、创新模式,形成创新链、产业链优势互补,资金链、人才链资源共享的合作共赢关系。 (13) 統合開発事業システムの構築:データセキュリティ品質企業育成プロジェクトを実施し、多段階、段階的、進歩的な企業育成体系を確立し、生態指導力のある有力基幹企業を数多く育成し、コア技術を習得し、特色ある優位性を持つデータセキュリティ専門・新中小企業、専門・新「小巨人」企業を数多く育成し、技術・製品でリードするシングルチャンピオン企業を数多く育成する。 また、技術や製品で世界をリードするシングルチャンピオン企業を数多く育成していく。 基幹企業の先導と支援の役割を果たし、中小企業の欠点を補い、規模の拡大とモデルの革新を推進し、イノベーションチェーンと産業チェーンの長所を補完し、資本チェーンと人材チェーンの資源を共有するウィンウィンの協力関係を形成する。
(十四)强化基础设施建设。充分利用已有资源,建立健全数据安全风险库、行业分类分级规则库等资源库,支撑数据安全产品研发、技术手段建设,为数据安全场景应用测试等提供环境。建设数据安全产业公共服务平台,提供创新支持、供需对接、产融合作、能力评价、职业培训等服务,实现产业信息集中共享、供需两侧精准对接、公共服务敏捷响应。 (14) インフラ整備の強化:既存の資源を十分に活用し、データセキュリティリスクデータベース、業界分類・等級規則データベースなどを構築・改善し、データセキュリティ製品の研究開発、技術手段の構築を支援し、データセキュリティのシナリオ応用テストなどのための環境を提供する。 データセキュリティ産業のための公共サービスプラットフォームを構築し、イノベーション支援、需給マッチング、産業統合協力、能力評価、職業訓練などのサービスを提供し、産業情報の集中共有、両側の需給の的確なマッチング、公共サービスの機動的な対応を実現する。
七、强化人才供给保障 VII.人材供給の安全性強化
(十五)加强人才队伍建设。推动普通高等院校和职业院校加强数据安全相关学科专业建设,强化课程体系、师资队伍和实习实训等。制定颁布数据安全工程技术人员国家职业标准、实施数字技术工程师培育项目,培养壮大高水平数据安全工程师队伍,鼓励科研机构、普通高等院校、职业院校、优质企业和培训机构深化产教融合、协同育人,通过联合培养、共建实验室、创建实习实训基地、线上线下结合等方式,培养实用型、复合型数据安全专业技术技能人才和优秀管理人才。推进通过职业资格评价、职业技能等级认定、专项职业能力考核等,建立健全数据安全人才选拔、培养和激励机制,遴选推广一批产业发展急需、行业特色鲜明的数据安全优质培训项目。充分利用现有人才引进政策,引进海外优质人才与创新团队。 (15) 人材チームの構築の強化:通常の高等教育機関や専門学校において、データセキュリティ関連の学科や専攻の構築を強化し、カリキュラム体系や教員、実習を強化することを推進する。 データセキュリティ技術者・技能者の国家職業基準を制定・公布し、デジタル技術者育成プロジェクトを実施し、ハイレベルのデータセキュリティ技術者を育成・強化し、科学研究機関、一般高等教育機関、専門大学、優良企業、訓練機関が産業と教育の融合を深め、共同で教育を行うことを奨励し、共同訓練、研究室の共同建設、インターンシップ・訓練拠点の創設、オンライン・オフライン訓練の結合などを通じて実用・複合のデータセキュリティ専門技術技能人材を育成することである。 また、実践的で複雑なデータセキュリティの技術力と優れたマネジメント人材の育成を推進する。 職業資格評価、職業技能水準認定、特殊職業能力評価などを通じて、データセキュリティ人材の選抜、育成、奨励の健全なメカニズムの構築を推進し、産業発展に緊急に必要で、業界の特色あるデータセキュリティ品質育成プログラムを数多く選定し、推進する。 既存の人材紹介政策をフルに活用し、海外の優秀な人材やイノベーションチームを導入する。
八、深化国际交流合作 VIII. 国際交流・協力の深化
(十六)推进国际产业交流合作。充分利用双多边机制,加强数据安全产业政策交流合作。加强与“一带一路”沿线国家数据安全产业合作,促进标准衔接和认证结果互认,推动产品、服务、技术、品牌“走出去”。鼓励国内外数据安全企业在技术创新、产品研发、应用推广等方面深化交流合作。探索打造数据安全产业国际创新合作基地。支持举办高层次数据安全国际论坛和展会。鼓励我国数据安全领域学者、企业家积极参与相关国际组织工作。 (16) 国際的な産業交流・協力の推進:データセキュリティ産業政策に関する交流と協力を強化するために、二国間および多国間のメカニズムを十分に活用する。「一帯一路」沿線国のデータセキュリティ産業との協力を強化し、基準の収斂と認証結果の相互承認を推進し、製品、サービス、技術、ブランドの「外出し」を促進する。 国内外のデータセキュリティ企業が、技術革新、製品開発、アプリケーションの推進において交流と協力を深めることを奨励する。 データセキュリティ業界のための国際的な技術革新と協力の拠点づくりを模索する。 データセキュリティに関するハイレベルな国際フォーラムや展示会の開催を支援する。 データセキュリティ分野の中国の学者や企業家が、関連する国際機関の活動に積極的に参加するよう奨励する。
九、保障措施 IX. 保証措置
(十七)加强组织领导。充分发挥国家数据安全工作协调机制作用,将发展数据安全产业作为提高数据安全保障能力的基础性任务,央地协同打造数据安全产业链创新链。各部门要加强统筹协调,形成发展合力,确保任务落实。各地有关部门要强化资源要素配置,推动产业发展重大政策、重点工程落地。 (17) 組織のリーダーシップの強化:国家データセキュリティ業務調整機構の役割を十分に発揮し、データセキュリティ産業の発展を基本的な任務として、データセキュリティ保証能力を向上させ、中央政府と地方当局が連携してデータセキュリティ産業チェーン革新チェーンを構築する。 各部門が連携を強化し、開発シナジーを形成して、確実にタスクを実行すること。 各地の関連部門は資源と要素の配分を強化し、業界の主要政策と重点プロジェクトの現場での展開を促進する必要がある。
(十八)加大政策支持。研究利用财政、金融、土地等政策工具支持数据安全技术攻关、创新应用、标准研制和园区建设。支持符合条件的数据安全企业享受软件和集成电路企业、高新技术企业等优惠政策。引导各类金融机构和社会资本投向数据安全领域,支持数据安全保险服务发展。支持数据安全企业参与“科技产业金融一体化”专项,通过国家产融合作平台获得便捷高效的金融服务。 (18) 政策的支援の強化:データセキュリティ技術の研究、革新と応用、標準化、パーク建設を支援するための金融、財政、土地、その他の政策ツールの活用を研究する。 ソフトウェア、集積回路企業、ハイテク企業など、対象となるデータセキュリティ企業が優遇政策を受けられるよう支援する。 各種金融機関や社会資本がデータセキュリティ分野に投資するよう誘導し、データセキュリティ保険サービスの発展を支援する。 データセキュリティ企業が「科学技術産業と金融の融合」特別プロジェクトに参加し、国家産業融合協力プラットフォームを通じて、便利で効率的な金融サービスを得られるよう支援する。
(十九)优化发展环境。加快数据安全制度体系建设,细化明确政策要求。加强知识产权运用和保护,建立健全行业自律及监督机制,建立以技术实力、服务能力为导向的良性市场竞争环境。科学高效开展数据安全产业统计,健全产业风险监测机制,及时研判发展态势,处置突出风险,回应社会关切。加强教育引导,提升各类群体数据安全保护意识。 (19) 開発環境の最適化:データセキュリティシステムの構築を加速し、ポリシー要件を精緻化・明確化する。 知的財産権の使用と保護を強化し、健全な業界の自主規制と監督機構を確立し、技術力とサービス力を重視した良質の市場競争環境を確立すること。 データセキュリティ業界の統計を科学的かつ効率的に実施し、業界のリスク監視メカニズムを改善し、発展状況を迅速に調査・判断し、未解決のリスクに対処し、社会的関心事に対応する。 データセキュリティ保護に対する意識を高めるため、さまざまな団体への教育・指導を強化する。
工业和信息化部 工業・情報技術省
国家互联网信息办公室 国家サイバースペース管理局
国家发展和改革委员会 国家発展改革委員会
教育部 文部省
科学技术部 科学技術省
公安部 公安省
国家安全部 国家安全保障省
财政部 財務省
人力资源社会保障部 人事・社会保障省
中国人民银行 中国人民銀行
国务院国有资产监督管理委员会 国務院国有資産監督管理委員会
国家税务总局 国家税務総局
国家市场监督管理总局 国家市場監督管理局
中国银行保险监督管理委员会 中国銀行保険監督管理委員会
中国证券监督管理委员会 中国証券監督管理委員会
国家知识产权局 国家知的財産権局
2023年1月3日 2023年1月3日

 

1_20210612030101

| | Comments (0)

NIST SP 800-223 (ドラフト) 高性能コンピューティング(HPC)セキュリティ:アーキテクチャ、脅威の分析、およびセキュリティ状態

こんにちは、丸山満彦です。

NISTから、SP 800-223 高性能コンピューティング(HPC)セキュリティ:アーキテクチャ、脅威の分析、およびセキュリティ状態のドラフトが公表され、意見募集が行われていますね。。。

日本では、まだこう言うものを考えたことがなかったかもしれない。。。

 

Fig01_20230207173201

HPC System Reference Model

 


NIST - ITL

・2023.02.06 SP 800-223 (Draft) High-Performance Computing (HPC) Security: Architecture, Threat Analysis, and Security Posture

SP 800-223 (Draft) High-Performance Computing (HPC) Security: Architecture, Threat Analysis, and Security Posture SP 800-223 (ドラフト) 高性能コンピューティング(HPC)セキュリティ:アーキテクチャ、脅威の分析、およびセキュリティ状態
Announcement 発表
Executive Order 13702 established the National Strategic Computing Initiative (NSCI) to maximize the benefits of high-performance computing (HPC) for economic competitiveness and scientific discovery. Securing HPC systems is challenging due to their size; performance requirements; diverse and complex hardware, software, and applications; varying security requirements; the nature of shared resources; and the continuing evolution of HPC systems. 大統領令13702号は、経済競争力と科学的発見のために高性能コンピューティング(HPC)の利点を最大化するために、国家戦略的コンピューティング・イニシアチブ(NSCI)を設立した。HPC システムのセキュリティは、その規模、性能要件、多様で複雑なハードウェア、ソフトウェア、アプリケーション、さまざまなセキュリティ要件、共有リソースの性質、および HPC システムの継続的な進化のために、困難なものとなっている。
Draft SP 800-223 provides guidance on standardizing and facilitating the sharing of HPC security postures by introducing a zone-based HPC system reference model that captures common features of HPC systems and serves as a foundation for a system lexicon. The draft also discusses HPC system threat analysis, security postures, challenges, and recommendations.  SP 800-223 草案では、HPC システムの共通の特徴を捉え、システム辞書の基礎となるゾーンベースの HPC システム参照モデルを導入することにより、HPC セキュリティ態勢の標準化と共有を促進するためのガイダンスを提供している。また、ドラフトでは、HPCシステムの脅威分析、セキュリティ対策、課題、および推奨事項について議論している。
The public comment period for this initial public draft is open through April 7, 2022.  Additional information can be found at the NIST HPC Security Working Group website. A 3rd High-Performance Computing Workshop will be held March 15-16, 2023; see the event page for more details and a registration link. この最初のパブリックドラフトに対するパブリックコメント期間は、2022年4月7日までとなっている。  その他の情報は、NIST HPC Security Working Group のウェブサイトをご覧ください。第3回高性能コンピューティング・ワークショップは、2023年3月15日~16日に開催される。
Abstract 概要
Security is an essential component of high-performance computing (HPC). HPC systems often differ based on the evolution of their system designs, the applications they run, and the missions they support. An HPC system may also have its own unique security requirements, follow different security guidance, and require tailored security solutions. Their complexity and uniqueness impede the sharing of security solutions and knowledge. This NIST Special Publication aims to standardize and facilitate the information and knowledge-sharing of HPC security using an HPC system reference model and key components as the basics of an HPC system lexicon. This publication also analyzes HPC threats, considers current HPC security postures and challenges, and makes best-practice recommendations. 高性能コンピューティング (HPC) において、セキュリティは重要な要素である。HPC システムは、そのシステム設計の進化、実行するアプリケーション、およびサポートするミッションに基づいて、しばしば異なる。また、HPCシステムには独自のセキュリティ要件があり、異なるセキュリティガイダンスに従っており、独自のセキュリティソリューションが必要な場合がある。その複雑さと独自性が、セキュリティソリューションや知識の共有を妨げている。本NIST 特別発行物は、HPCシステム辞書の基本として、HPCシステムリファレンスモデルと主要コンポーネントを使用して、HPCセキュリティの情報と知識の共有を標準化および促進することを目的としている。また、本書では、HPCの脅威を分析し、現在のHPCセキュリティの姿勢と課題を考察し、ベストプラクティスの推奨事項を示している。

 

・[PDF] SP 800-223 (Draft)

20230207-172941

 

目次...

1. Introduction 1. 序文
2. HPC System Reference Model and Main Components 2. HPC システムリファレンスモデルと主要コンポーネント
2.1. Main Components 2.1. 主な構成要素
2.1.1. Components of the High-Performance Computing Zone 2.1.1. 高性能コンピューティングゾーンの構成要素
2.1.2. Components of the Data Storage Zone 2.1.2. データストレージゾーンの構成要素
2.1.3. Components of the Access Zone 2.1.3. アクセスゾーンの構成要素
2.1.4. Components of the Management Zone 2.1.4. 管理ゾーンの構成要素
2.1.5. HPC Software 2.1.5. HPCソフトウェア
2.1.6. Container Usage in HPC 2.1.6. HPCにおけるコンテナ利用
2.2. HPC Architecture Variants 2.2. HPCアーキテクチャのバリエーション
2.2.1. Diskless Booting HPC 2.2.1. ディスクレス起動のHPC
2.2.2. Virtual and Hybrid HPC Environments 2.2.2. 仮想・ハイブリッドHPC環境
3. HPC Threat Analysis 3. HPC脅威の分析
3.1. Key HPC Security Characteristics and Use Requirements 3.1. HPCセキュリティの主要な特徴と使用要件
3.2. Threats to HPC Function Zones 3.2. HPC機能ゾーンへの脅威
3.2.1. Access Zone Threats 3.2.1. アクセスゾーンの脅威
3.2.2. Management Zone Threats 3.2.2. 管理ゾーンの脅威
3.2.3. High-Performance Computing Zone Threats 3.2.3. 高性能コンピューティングゾーンの脅威
3.2.4. Data Storage Zone Threats 3.2.4. データストレージゾーンの脅威
3.3. Other Threats 3.3. その他の脅威
4. HPC Security Posture, Challenges, and Recommendations 4. HPCセキュリティの態勢、課題、提言
4.1. HPC Access Control via Multiple Physical Networks 4.1. 複数の物理ネットワークによる HPC アクセス制御
4.2. Compute Node Sanitization 4.2. コンピュート・ノードのサニタイゼーション
4.3. Data Integrity Protection 4.3. データ完全性保護
4.4. Securing Containers 4.4. コンテナの保護
4.5. Achieving Security While Maintaining HPC Performance 4.5. HPCの性能を維持した上でのセキュリティの実現
4.6. Challenges to HPC Security Tools 4.6. HPCセキュリティツールの課題
5. Conclusions   5. 結論  
References 参考文献

 

 

 

| | Comments (0)

2023.02.07

米国 国家情報長官室 2026年までのCOVID-19パンデミックの経済的および国家安全保障上の影響 (2022.04作成)

こんにちは、丸山満彦です。

米国の国家情報長官室が、2022年4月に作成した「2026年までのCOVID-19パンデミックの経済的および国家安全保障上の影響」という報告書を公表していますね。。。

● Office of the Director of National Intelligence

・2023.02.03 Economic and National Security Implications of the COVID-19 Pandemic Through 2026

Economic and National Security Implications of the COVID-19 Pandemic Through 2026 2026年までのCOVID-19パンデミックの経済的および国家安全保障上の影響
As part of our ongoing transparency efforts to enhance public understanding of the Intelligence Community’s (IC) work and to provide insights on national security issues, ODNI today is releasing this declassified IC product dated April 2022. 情報機関(IC)の活動に対する国民の理解を深め、国家安全保障上の問題についての洞察を提供するための継続的な透明性の取り組みの一環として、ODNIは本日、2022年4月付けのこの機密解除済みICプロダクトを公開することにした。

 

・[PDF]

20230207-61816

インテリジェンス報告書をどのように書いたら良いのかという点からも参考になるかもですね。。。

 

 

 

| | Comments (0)

トルコ・シリア地震

こんにちは、丸山満彦です。

トルコ南部で2023.02.06 04:17(日本時間 2023.02.06 10:17)に、マグニチュード7.8の地震があり、その後再び近くでマグニチュード7.5の地震もあったようです。トルコ・シリア合わせて亡くなった方が3000人に近づいていると言う報道もあります。。。

EU、米国、ロシア他、日本からもトルコへの救援の支援が行われていますね。。。ロシアはシリアにも救援を行うようです。。。

人道的な問題ですので、政治的な対立を超えて、多くの方の命が守られると良いと思います。。。

Fig02

 

 

政府

● (TR) Türkiye Cumhuriyeti Cumhurbaşkanlığı
・2023.02.06 “Devletimiz, deprem anından itibaren tüm kurumlarıyla harekete geçmiştir”

● (SY) シリアの政府ホームページはどこだろう???

● (US) The White House
・2023.02.06 Statement from President Joe Biden on the Earthquakes Impacting Turkiye and Syria

● (EU) European Commission
・2023.02.06 Türkiye and Syria:  Statement on the earthquake by High Representative Borrell and Commissioner for Crisis Management Janez Lenarčič

● (CH) 外交部
・2023.02.06 习近平就土耳其、叙利亚发生强烈地震分别向土耳其总统埃尔多安、叙利亚总统巴沙尔致慰问电

● (RU) Президент России
・2023.02.06 Телефонный разговор с Президентом Турции Реджепом Тайипом Эрдоганом
・2023.02.06 Телефонный разговор с Президентом Сирии Башаром Асадом

● (JP) 外務省
・2023.02.06 トルコ共和国における地震被害に対する国際緊急援助隊・救助チームの派遣

 

Fig01

テレビ系

● (UK) BBC
・2023.02.06 
At least 2,700 people now reported dead (随時更新)

● (US) ABC News
2023.02.06 Turkey earthquake live updates: Thousands killed in devastating quake (随時更新)

● (US) CNN
・2023.02.06 Powerful quake kills thousands in Turkey and Syria (随時更新)

● (CN) CCTV
・2023.02.06 习近平就土耳其、叙利亚发生强烈地震分别向土耳其总统埃尔多安、叙利亚总统巴沙尔致慰问电

● (RU) Россия-1
・ 2023.02.06 Число погибших в Сирии и Турции приближается к трем тысячам

● (RU) RT
・2023.02.06 
The most devastating earthquakes of this century

● (JP) NHK - world
・2023.02.06 
More than 2,300 confirmed dead after earthquakes hit Turkey

(他)

BBC Japan
・2023.02.06 トルコ南東部で大きな地震、トルコとシリアで計2300人以上死亡

産経新聞
・2023.02.07 00.21 
トルコ地震2300人以上死亡 シリアでも犠牲、M7・8 建物倒壊、被害拡大恐れ 日本が緊急援助隊派遣

 

 

 

| | Comments (0)

2023.02.06

Cloud Security Alliance: 遠隔手術机上演習ガイドブック (2023.01.30)

こんにちは、丸山満彦です。

クラウドセキュリティ・アライアンスが「遠隔手術机上演習ガイドブック」を公表していますね。。。

(2023.02.07 当初、Desktopを卓上と訳していたのですが、一般に広く使われている机上に直しました。。。)

 

Cloud Security Alliance: CSA

・2023.01.30 Telesurgery Tabletop Guide Book

Telesurgery Tabletop Guide Book 遠隔手術机上ガイドブック
The purpose of this guidebook is to assist healthcare providers in planning and facilitating a discussion and evaluation of the procedural response actions to a security incident in which a Robotic Assisted Surgery (RAS) is targeted. This guidebook should accompany the CERT Attack Flows here in GitHub. Healthcare professionals should utilize this resource as a planning guide and checklist for each stage of exercise development.  このガイドブックの目的は、医療従事者がロボット支援手術(RAS)が標的とされたセキュリティインシデントに対する手続き上の対応措置について計画し、議論と評価を促進することを支援することである。このガイドブックは、GitHubにあるCERT攻撃フローに付随するものである。医療関係者は、演習開発の各段階における計画ガイドおよびチェックリストとして、このリソースを活用する必要があります。 

 

・[PDF] アカウント登録するとダウンロードできます

20230206-20626

 

目次...

Acknowledgments 謝辞
Introduction 序文
RAS System Architecture RASシステムアーキテクチャ
 Surgeon Console  外科医コンソール
 Robotic Platform  ロボットプラットフォーム
 Cloud Services  クラウドサービス
 Electronic Health Record  電子カルテ
Purpose 目的
Audience 利用者層
Overview 概要
Exercise Planning Team 演習企画チーム
Concept and Objectives Meeting コンセプト・目標会議
Initial Planning Meeting 初回企画会議
Exercise Formats for Consideration 検討すべき演習形式
Design the Exercise 演習の設計
Input Categories  入力カテゴリー
 Scenarios  シナリオ
  Developing Scenarios   シナリオの作成
  Example Scenarios   シナリオの例
 Injects  インジェクト
 Constraints  制約条件
 Knowledge checks  ナレッジチェック
Exercise Flow 演習の流れ
Example Scenario シナリオ例
Acronyms 頭字語
References 参考文献

 

 

シナリオ...

ID Scenario シナリオ 関連攻撃フロー
1 A surgeon is performing a minimally invasive procedure using RAS from his office in California. The robotic platform, patient, and support staff are located in Fort Myers, Florida. As the surgeon is working, he loses the connection between the console and the robotic arm. After some troubleshooting and a few phone calls, the IT staff inform the surgeon that the Operating Room, where the surgery was being performed, is no longer remotely accessible due to a denial of service attack. ある外科医がカリフォルニアのオフィスから RAS を使用して低侵襲手術を行っている。ロボットプラットフォーム、患者、およびサポートスタッフは、フロリダ州フォートマイヤーズに位置している。外科医が作業しているとき、彼はコンソールとロボットアームの間の接続を失いる。トラブルシューティングと数回の電話の後、ITスタッフは外科医に、手術が行われていた手術室はサービス拒否攻撃のため、もはやリモートアクセスできないことを通知する。 AF-13 Denial of service attack against local wifi router
2 A surgeon is performing a procedure using a robotic-assisted surgery system while she is located onsite with the patient. The surgical assistant notices anomalies in the patient’s bio-health data. The surgical assistant notices that the sensor readings are potentially inaccurate. ある外科医がロボット支援手術システムを使って手術を行っているとき、患者さんのそばにいることになった。手術助手が患者の生体データの異常に気づいた。外科助手がセンサーの測定値が不正確な可能性があることに気づいた。 AF-10 Tamper with bio-sensor data in transit from remote site to cloud
3 A technician prepares the RAS for a surgical operation. The device is unresponsive. Through investigation, it is identified that the device recently underwent an unplanned update. It is believed the update was initiated by an unauthorized actor and included corrupt firmware, potentially including malware. 技術者は、外科手術のための RAS を準備します。デバイスが応答しない。調査により、装置が最近予定外の更新を受けたことが判明した。このアップデートは、不正な者によって開始され、マルウェアを含む可能性のある破損したファームウェアを含んでいたと考えられる。 AF-3 Load corrupt firmware into robotic system (unauthorized load of firmware to device)
4 A surgeon is performing a RAS-supported operation. The surgeon notices that the robotic arms are no longer responding to input commands. A technician identifies that the robotic platform has changed state during the operation (to update mode, service mode, demo mode, etc.) to allow for uploading new firmware. Through investigation, it is identified that the SaaSbased vendor management interface has been compromised, and authenticated vendor management commands are being transmitted. ある外科医がRASを使用した手術を行っている。外科医は、ロボットアームが入力コマンドに反応しなくなったことに気づく。技術者が、新しいファームウェアをアップロードするために、ロボットプラットフォームの状態が手術中に変更されたことを確認する(アップデートモード、サービスモード、デモモードなど)。調査を通じて、SaaS ベースのベンダー管理インタフェースが侵害され、認証されたベンダー管理コマンド が送信されていることが確認された。 AF-12 Change state of robotic system during operation (e.g., change state to diagnostics mode)
5 A technician is preparing the RAS for a surgical operation. During the preparation, the device suddenly fails. The indication is that the device has been infected with ransomware. The surgical operation cannot be performed until the ransomware is remediated. ある技術者が外科手術のためにRASを準備している。準備中、デバイスが突然故障した。その表示は、デバイスがランサムウェアに感染していることを示しています。ランサムウェアが修復されるまで、外科手術は行えない。 AF-7 Infect robotic system with ransomware
6 A technician performs routine maintenance on the roboticassisted surgery system. She begins to update the firmware on the device. Immediately upon completion of the firmware update, the device becomes unresponsive (e.g., the RAS no longer responds to commands) and no longer works. The technician believes that the firmware update was corrupted. ロボット支援手術システムの定期メンテナンスを行う技術者。装置のファームウェアの更新を開始する。ファームウェアの更新が完了するとすぐに、デバイスが応答しなくなり(例:RASがコマンドに応答しなくなった)、動作しなくなった。技術者は、ファームウェアの更新が破損していると考えている。 AF-1 Load corrupt firmware into robotic system (firmware corrupted at legitimate staging site

 

参考

20230206-24827

| | Comments (0)

NISC 重要インフラ関係規定集の更新

こんにちは、丸山満彦です。

NISCが重要インフラ関係規定集を更新していますね。。。

前回からどこが変わったかわかりませんが...

 

NISC

・2023.01.31 [PDF] 重要インフラ関係規定集

20230205-200820

 

目次...

1 重要インフラ施策等関係
重要インフラのサイバーセキュリティにかかる行動計画
重要インフラのサイバーセキュリティにかかる行動計画(概要)
重要インフラのサイバーセキュリティにかかる行動計画(概要 英語版)
重要インフラにおける情報セキュリティ確保に係る安全基準等策定指針(第5版)
重要インフラにおける機能保証の考え方に基づくリスクアセスメント手引書(第1版)
「重要インフラのサイバーセキュリティに係る行動計画」に基づく情報共有の手引書

2 戦略
サイバーセキュリティ戦略
サイバーセキュリティ戦略の構成
サイバーセキュリティ戦略の構成(英語版)

3 根拠法令等
サイバーセキュリティ基本法
サイバーセキュリティ基本法施行令
重要インフラ専門調査会の設置について
サイバーセキュリティ戦略本部資料提供等規則
サイバーセキュリティ協議会規約
24
条タスクフォース規制
内閣法
内閣官房組織令

 

| | Comments (0)

2023.02.05

ソフトウェアサプライチェーンリスクの軽減策について...

こんにちは、丸山満彦です。

ソフトウェアサプライチェーンに関連するサイバーインシデントは2021年ごろに、SolarWinds社、Codecov、Kaseya社、Log4j など続いたわけですが、リスク管理的にいうと、発生可能性が低い(全ソフトの中で、問題となるソフトが含まれている可能性が低いと言う意味で)が、発生した場合の影響が非常に大きくなる場合があり、かつ現在の状況で言うと、対策コストがかかりそうと言うことで、悩ましい問題となっていますね。。。また、自然災害と異なり、潜伏していて被害に気づかない状況が長期間続く場合もあると言うことですね。。。そして、この問題が、国家安全保障を含む、国民の生活、生命、経済に大きく影響する場合もあると言うことですね。。。で、DXが進むとさらに、国民への影響が大きくなっていく...

米国では、事件を受けて大統領令 (EO) 14028を出して、ソフトウェア成分表・部品表 (SBOM) と言う解決策を推進しつつあり、日本もSBOMの導入に向けての検討をしているわけですが、なかなかに難しい問題があると言うのは聞いています。。。

かといって、重大な脆弱性が発見されるごとに、すべてのソフトウェアをスキャンすると言うわけにもいかないようにも思いますしね。。。

なんか、重要な脆弱性を見落とさない、かつ、対策が容易な方法があれば良いのですけどね。。。

永遠の2000年問題的な感じがします。。。

 

最近RANDに掲載されていた(元は、The Hillに掲載)、Sasha Romanoskyさんの記事が簡単にまとまっていてわかりやすかったですかね。。。

 

RAND

・2023.01.26 Software Supply Chain Risk Is Growing, but Mitigation Solutions Exist COMMENTARY (The Hill)

 

どんなことが書いているかというと...

社会全体としてソフトウェアの脆弱性管理が難しい理由

  1. オープンソースのパッケージやライブラリの数が非常に多い (GitHubには2億以上のソフトウェアがポストされている。JavascriptとPythonは2019年当時でも合わせて100万以上のパッケージをサポートしている)

  2. 組織はどのようなソフトが使われているかほとんど知らない

  3. リスク分析のツールがない(大統領令の影響もあってSBOMが普及しつつあるが、どの階層まで詳細に記載すべきか。コストがかかりそうな割に、どれほど有益なのか見極めがついていない)

と言うことを挙げているように感じました。。。

で、リスク軽減を支援する手法の一つとして、

  • Libraries.iodeps.devの活動を紹介しています。。。ソフトウェア開発者であれば知っていると思いますが。。。

20230205-64721

 

deps.dev

20230205-65633

 

また、

SBOM の作成と使用が進めば、ユーザは自分でアプリケーション間でSBOM を比較し、

  • 最も危険なコンポーネントを特定することに熟達するかもしれない。。。

で、それをサポートしそうな活動として、FIRSTの活動を紹介しています。

 

FIRST

Common Vulnerability Scoring System SIG

Exploit Prediction Scoring System (EPSS)

二人いる共同チェアの一人がこの記事の著者のSasha Romanoskyさん...

・・What is EPSS?

2021年5月16日のデータを基にした、EPSSとCVSSのスコアの相関関係から対策の優先順位を考える上では有益?

Fig1_20230205071001

 

実際のエクスプロイトデータの検証...

ある脆弱性のサンプルについて、実際に観測されたエクスプロイトを示したもの

・各行は個別の脆弱性(CVE)

・青線は観測されたエクスプロイト(エクスプロイトが成功したかどうかは確認していない )

・赤点は、CVEが公開された時刻

Fig2_20230205071201

効率的、効果的な対策を考えないとですね。。。

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

 

大統領令

2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令

 

ソフトウェア資産の管理...

・2022.10.06 米国 CISA 拘束的運用指令23-01 - 連邦ネットワークにおける資産の可視化と脆弱性検出の改善

 

一部SBOMについて言及した報告(サイバーセキュリティ法制度の国際動向等に関する調査 報告書 )があります...

・2022.07.16 経済産業省 令和3年度委託調査報告書(サイバーセキュリティ関係) 2022.07.14現在

 

 

脆弱性の評価

・2022.11.17 CISA ステークホルダー別脆弱性分類 (SSVC) ガイド

・2022.06.11 NIST NISTIR 8409 (ドラフト) 共通脆弱性評点システムの基礎評点の計算式の測定

・2021.04.30 カーネギー大学 ソフトウェア工学研究所が「Stakeholder-Specific Vulnerability Categorization:SSVC 2.0」を発表していますね。。。

昔に遡り。。。

・2010.10.25 IPA 共通脆弱性評価システムCVSS概説

・2007.04.26 JVN は、名称をJP Vendor Status Notes (JVN) から、Japan Vulnerability Notes (JVN) と変更しました

 

 

 

サプライチェーン関係 (SP800-161, DevSecOpsなど)

・2022.11.12 NIST ホワイトペーパー【プロジェクト概要】ソフトウェアサプライチェーンとDevOpsのセキュリティ実践:リスクベースアプローチによるDevSecOpsの実践

・2022.07.26 NIST White Paper (Draft) [プロジェクト概要] ソフトウェアサプライチェーンとDevOpsセキュリティの実践:リスクベースアプローチによるDevSecOpsの実践

・2022.05.08 NIST SP 800-161 Rev. 1 システムと組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントの実践

・2022.02.06 NIST ホワイトペーパー: 大統領令14028条第4e項に基づくソフトウェア・サプライチェーン・セキュリティ・ガイダンス

・2021.12.13 Apache Log4j 2 の脆弱性 (CVE-2021-44228)+ ソフトウェアの管理 + 脆弱性情報の管理

・2021.10.30 NIST SP 800-161 Rev. 1 (Draft) システムと組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントの実践(第2次ドラフト)

・2021.06.27 NIST ソフトウェアサプライチェーンにおける「クリティカル・ソフトウェア」の定義:大統領令14028に応えて...

・2021.06.02 米国 国家のサイバーセキュリティ向上に関する大統領令 (EO 14028) に基づくソフトウェアサプライチェーン管理に関係して。。。

・2021.05.01 NIST SP 800-161 Rev. 1 (ドラフト) システムと組織のためのサイバー・サプライチェーン・リスク管理の実践

・2020.03.01 NISTに基づくSupply Chain Risk Managementについてのちょっとしたまとめ

・2020.02.05 NISTがサプライチェーンセキュリティの実践資料のドラフトを公開していますね。。。

 

SP800-218 セキュアソフトウェア開発関係

・2022.02.06 NIST SP 800-218 セキュアソフトウェア開発フレームワーク (SSDF) Version 1.1: ソフトウェアの脆弱性のリスクを軽減するための推奨事項

・2021.10.02 NIST SP 800-218 (ドラフト)セキュアソフトウェア開発フレームワーク (SSDF) Version 1.1: ソフトウェアの脆弱性のリスクを軽減するための推奨事項

 

 

| | Comments (0)

欧州委員会 デジタルサービス法におけるユーザー数の公表義務に関するガイダンス

こんにちは、丸山満彦です。

欧州では、2022.11.16にデジタルサービス法 (Single Market For Digital Services and Amending Directive 2000/31/EC) が施行されていますね。。。超大型オンラインプラットフォーム(VLOPs)、超大型オンライン検索エンジン(VLOSEs)に該当するかどうかの基準として連合内のサービスの月間平均有効な利用者数が使われるわけですが、この有効な利用者数をどのように図るかが問題になりますよね。。。そこで、それをサポートするガイダンスが公表されています。。。 

13問のQ&A形式になっています。。。

 

European Commission

・2023.02.01 Digital Services Act: Commission provides guidance for online platforms and search engines on publication of user numbers in the EU

 

Digital Services Act: Commission provides guidance for online platforms and search engines on publication of user numbers in the EU デジタルサービス法 欧州委員会、オンラインプラットフォームと検索エンジンに対し、EUにおけるユーザー数の公表に関するガイダンスを提供
The Commission has published this week non-binding guidance to help online platforms and search engines within the scope of the Digital Services Act (DSA) to comply with their requirement to report user numbers in the EU, at the latest by 17 February 2023, and at least once every six months afterwards. 欧州委員会は、デジタルサービス法(DSA)の適用範囲内にあるオンラインプラットフォームおよび検索エンジンが、遅くとも2023年2月17日までに、その後は少なくとも半年に1回、EU域内のユーザー数を報告するという義務に対応するための拘束力のない指針を今週発表した。
The Commission is issuing this guidance to assist online platforms and online search engines with practical questions on the provisions of the DSA concerning the requirement to publish the user numbers. If the published user numbers show that they reach more than 10% of the EU's population (45 million users), the Commission may designate them as very large online platforms (VLOPs) or very large online search engines (VLOSEs). This means that they would respectively be subject to additional obligations, such as making a risk assessment and taking corresponding risk mitigation measures, highlighted here. 欧州委員会は、オンラインプラットフォームおよびオンライン検索エンジンの、ユーザー数の公表義務に関するDSAの規定に関する実務的な質問について支援するために、本ガイダンスを発行する。公表されたユーザー数がEU人口の10%(4,500万人)以上に達していることが判明した場合、欧州委員会は、これらの企業を超大型オンラインプラットフォーム(VLOPs)または超大型オンライン検索エンジン(VLOSEs)として指定する可能性がある。この場合、これらの企業はそれぞれ、リスク評価を行い、それに応じたリスク軽減策を講じるなどの追加的な義務を負うことになる(こちらを参照)。
The DSA, which entered into force on 16 November 2022, is the EU's landmark set of rules which aim to foster a safer and more accountable online environment which applies to all digital services that connect consumers to goods, services, or content. It creates comprehensive new obligations for online platforms to reduce harms and counter risks online, introduces strong protections for users' rights online, and places digital platforms under a unique new transparency and accountability framework.  2022年11月16日に発効したDSAは、消費者と商品、サービス、コンテンツをつなぐすべてのデジタルサービスに適用される、より安全で説明責任のあるオンライン環境の醸成を目的としたEUの画期的な規則である。同規則は、オンライン上の危害を軽減し、リスクに対抗するためのオンラインプラットフォームに対する包括的な新しい義務を定め、オンライン上のユーザーの権利に対する強力な保護を導入し、デジタルプラットフォームを独自の新しい透明性と説明責任の枠組みの下に置いている。 
More information 詳細情報
Guidance on the requirement to publish user numbers ・ユーザー数の公表義務に関するガイダンス
Digital Services Act package ・デジタルサービス法パッケージ

 

・2023.02.01 DSA: Guidance on the requirement to publish user numbers

DSA: Guidance on the requirement to publish user numbers DSA: ユーザー数の公表義務に関するガイダンス
Practical questions have been raised on the provisions of the DSA concerning the obligation to publish information on the number of users. This guidance aims to answers those questions. ユーザー数の公表義務に関するDSAの規定に関して、実務上の質問が寄せられている。このガイダンスは、これらの質問に答えることを目的としている。
Since the adoption and entry into force of the DSA, a number of providers of intermediary services have contacted the Commission services in preparation for the entry into application of the DSA. DSAの採択と発効以来、仲介サービスのプロバイダーから、DSAの適用に備えて欧州委員会のサービスに問い合わせがあった。
In this context, given the novel nature of the obligations laid down by the DSA, practical questions have been raised on the provisions of the DSA concerning the obligation to publish information on the average monthly active recipients of the service in the Union, which is also relevant for the designation of VLOPs and VLOSEs. This concerns in particular Article 24(2) and recital 77 DSA, as well as Article 3(m), (p) and (q) DSA and Article 33 DSA. その中で、DSAが規定する義務の新規性に鑑み、VLOPおよびVLOSEの指定にも関連する、EUにおけるサービスの平均月間有効な利用者に関する情報を公表する義務に関するDSAの規定に関して、実務上の質問が寄せられている。これは特に、DSA第24条第2項および説明77条、DSA第3条(m)、(p)、(q)、DSA第33条に関するものである。
Against this background, this document provides answers to a number of questions that the Commission services have received from providers of intermediary services in light of the deadline of 17 February 2023, laid down in Article 24(2) DSA, for the first publication of information on the number of average monthly active recipients of the service. このような背景から、本文書は、仲介サービスの平均月間利用者数に関する情報の最初の公表期限である2023年2月17日(DSA24条2項)を前に、仲介サービスのプロバイダーから寄せられた多くの質問に対する回答を提供するものである。
The guidance provided in this document is compiled on the basis of the information available to the Commission services on the date of its publication. この文書で提供されるガイダンスは、この文書の発行日に委員会サービスが利用可能な情報に基づいて編集されている。
This guidance may be subject to review based on practical experience acquired in the months to come. このガイダンスは、今後数ヶ月の間に得られる実務経験に基づいて見直される可能性がある。
The guidance is currently available in English, German and French. It will be made available in all EU official languages shortly. このガイダンスは、現在、英語、ドイツ語、フランス語で提供されている。近日中にEUの全公式言語で提供される予定である。
Downloads ダウンロード
Questions and Answers on identification and counting of active recipients of the service under the Digital Services Act ・デジタルサービス法に基づくサービスの有効な利用者の識別と集計に関するQ&A

 

・[PDF

20230204-202532

 

Questions and Answers on identification and counting of active recipients of the service under the Digital Services Act  デジタルサービス法に基づくサービスの有効な利用者の識別と集計とに関するQ&A 
Regulation (EU) 2022/2065 of the European Parliament and of the Council of 19 October 2022 on a Single Market for Digital Services and amending Directive 2000/31/EC (the “DSA”) requires providers of online platforms and of online search engines to publish for each online platform or online search engine they operate, by 17 February 2023 and at least once every six months thereafter, information on the average monthly active recipients of their service in the Union, calculated as an average over the period of the past six months, in a publicly available section of their online interface. The DSA further establishes a threshold of 45 million average monthly active recipients of the service in the Union as the criterion to designate the services of such providers as very large online platforms (“VLOPs”) and as very large online search engines (“VLOSEs”).   デジタルサービスの単一市場に関する2022年10月19日の欧州議会及び理事会の規則(EU)2022/2065及び指令2000/31/ECの改正(「DSA」)は、オンラインプラットフォーム及びオンライン検索エンジンのプロバイダに対して、運営するオンラインプラットフォーム又はオンライン検索エンジンごとに、2023年2月17日まで及びその後少なくとも半年に1回、過去6ヶ月間の平均として計算したEU内の自社サービスの月間平均有効な利用者に関する情報を自社のオンラインインタフェースで一般に公開するよう要求している。DSAはさらに、当該プロバイダーのサービスを超大型オンラインプラットフォーム(VLOPs)および超大型オンライン検索エンジン(VLOSEs)に指定する基準として、連合内のサービスの月間平均有効な利用者数4,500万人を定めている。 
Since the adoption and entry into force of the DSA, a number of providers of intermediary services have contacted the Commission services in preparation for the entry into application of the DSA. In this context, given the novel nature of the obligations laid down by the DSA, practical questions have been raised on the provisions of the DSA concerning the obligation to publish information on the average monthly active recipients of the service in the Union, which is also relevant for the designation of VLOPs and VLOSEs. This concerns in particular Article 24(2) and recital 77 DSA, as well as Article 3(m), (p) and (q) DSA and Article 33 DSA.   DSAの採択・発効後、仲介サービスのプロバイダーの多くが、DSAの適用に向けて欧州委員会のサービスに問い合わせを行っている。その中で、DSAが定める義務の新規性に鑑み、VLOPおよびVLOSEの指定にも関連する、EUにおけるサービスの平均月間有効な利用者に関する情報を公表する義務に関するDSAの規定に関して、実務上の疑問が提起されている。これは特に、DSA第24条第2項および説明77、DSA第3条(m)、(p)、(q)、DSA第33条に関するものである。 
Against this background, this document provides answers to a number of questions that the Commission services have received from providers of intermediary services in light of the deadline of 17 February 2023, laid down in Article 24(2) DSA, for the first publication of information on the number of average monthly active recipients of the service. The guidance provided in this document is compiled on the basis of the information available to the Commission services on the date of its publication. This guidance may be subject to review based on practical experience acquired in the months to come.   このような背景から、本文書は、仲介サービスの平均月間利用者数に関する情報の最初の公表期限である2023年2月17日(DSA24条2項)を前に、仲介サービスのプロバイダーから寄せられた多くの質問に対する回答を提供するものである。この文書で提供されるガイダンスは、この文書の発行日に委員会サービスが利用可能な情報に基づいて編集されている。このガイダンスは、今後数ヶ月の間に得られる実務経験に基づいて見直される可能性がある。 
This document expresses the views of the Commission services and does not commit the European Commission. It does not contain any authoritative interpretation of the DSA and is without prejudice to any decision or position of the Commission, or of any delegated acts which the Commission may adopt in the future pursuant to Article 33(3) DSA[1]. Only the Court of Justice of the European Union is competent to authoritatively interpret Union law.   この文書は、欧州委員会サービスの見解を示したものであり、欧州委員会を拘束するものではない。また、DSAの権威ある解釈を含むものではなく、欧州委員会のいかなる決定や見解、あるいは欧州委員会がDSA第33条3項[1]に基づいて将来採択する可能性のある委任行為を害するものではない。欧州連合法を権威的に解釈する権限を有するのは、欧州連合司法裁判所のみです。 
1. What is the scope of the obligation under the DSA concerning the identification and counting of average monthly active recipients of the service?  1. 平均月額のサービスの有効な利用者の識別と集計に関するDSAに基づく義務の範囲は何か?
— Pursuant to Article 24(2) DSA, providers of online platforms and of online search engines are obliged to publish for each online platform or online search engine they operate, by 17 February 2023 and at least once every six months thereafter, information on the average monthly active recipients of their service in the Union in a publicly available section of their online interface.   ・DSA第24条2項に従い、オンラインプラットフォーム及びオンライン検索エンジンのプロバイダーは、運営する各オンラインプラットフォーム又はオンライン検索エンジンについて、2023年2月17日までに、またその後は少なくとも6ヶ月に一度、EUにおける当該サービスの月間平均有効な利用者に関する情報をそのオンラインインターフェースの一般に公開されるセクションで公開する義務を負う。 
— Pursuant to that same provision, such average monthly active recipients of the service in the Union must be calculated as an average over the period of the past six months and in accordance with the delegated acts referred to in Article 33(3) DSA, where those delegated acts have been adopted.   ・同規定に基づき、欧州連合における当該サービスの月間平均利用者は、過去6ヶ月間の平均値として、DSA第33条3項に言及する委任法が採択されている場合にはその委任法に従って算出されなければならない。
— In the absence of such a delegated act, the relevant provisions of the DSA and its recitals will have to be taken into account for the purpose of complying with the obligation laid down in Article 24(2) DSA.  ・そのような委任行為がない場合、DSA第24条第2項に定める義務を遵守する目的で、DSAの関連規定及びその説明文を考慮しなければならない。
— Article 3(p) and (q) DSA contain clear and detailed definitions of “active recipient of an online platform”[2] and “active recipient of an online search engine”[3], respectively. Furthermore, recital 77 clarifies the main elements of both definitions.   ・DSA第3条(p)及び(q)には、それぞれ「オンラインプラットフォームの有効な利用者」[2]及び「オンライン検索エンジンの有効な利用者」[3]に関する明確かつ詳細な定義が記載されている。さらに、説明77は、両定義の主要な要素を明確にしている。 
2.         What does “publish […] information on the average monthly active recipients of the service in the Union” in Article 24(2) DSA mean? Do providers of online platforms or of search engines have the obligation to publish the actual number of active recipients of their service on their online interface?   2. DSA 第 24 条 2 項の「連合における当該サービスの平均的な月間利用者に関する情報を公表する」とは何を意味するのか。オンラインプラットフォームや検索エンジンのプロバイダーは、そのサービスの実際の利用者数をオンラインインターフェースで公表する義務があるか? 
— Pursuant to Article 24(2) DSA providers of online platforms and of online search engines have to publish information on the average monthly active recipients using their services, as calculated in accordance with the relevant provisions of the DSA and in light of guidance provided in recital 77. Those providers must make that information publicly available, by publishing it on their online interfaces.   ・DSA第24条2項に従い、オンラインプラットフォーム及びオンライン検索エンジンのプロバイダーは、DSAの関連条項に従い、かつ、説明77に示されたガイダンスに照らして算出した、そのサービスを利用する月間平均利用者数についての情報を公表しなければならない。これらのプロバイダーは、その情報をオンライン・インターフェースで公開することにより、一般に利用可能としなければならない。
3.         Does the DSA require providers of online platform and of online search engine service(s) to notify the published numbers to the Commission?  3. DSAは、オンラインプラットフォームやオンライン検索エンジンサービスのプロバイダーに対し、公表された数字を欧州委員会に通知することを要求しているか?
— The DSA does not require providers of online platform and of online search engine service(s) to notify the information on the average monthly active recipients of their online platform(s) or online search engine(s) in the Union to the Commission or to the competent Digital Service Coordinator, or any other competent national authority, unless they are specifically requested to do so pursuant to Article 24(3) DSA.  ・DSAは、オンラインプラットフォームやオンライン検索エンジンのプロバイダーに対し、DSA24条3項に従って特別に要求されない限り、欧州委員会や管轄のデジタルサービスコーディネーター、その他管轄の国家機関に対し、EU域内のオンラインプラットフォームやオンライン検索エンジンの月間平均利用者数に関する情報を通知することを義務付けてはいない。
— In the interest of transparency and in order to facilitate the monitoring of compliance with the DSA during the initial period of its application, all such providers are encouraged to communicate that information to the Commission by using the dedicated functional mailbox: CNECT-DSA-Registry@ec.europa.eu [and to the competent Digital Services Coordinator of the Member State of their establishment once designated by the Member State concerned] spontaneously, as well as the methodology that they used for the purposes of determining the average monthly active recipients of their online platform(s) or their online search engine(s) in the Union, at the same time that they publish that information on their online interfaces. This is without prejudice to Article 24(3) DSA, which empowers the Commission and the competent Digital Services Coordinator to request that information from those providers.  ・透明性の観点から、また、DSAの適用初期における遵守状況の監視を容易にするため、当該プロバイダーはすべて、専用の機能的メールボックスを使用して欧州委員会に情報を伝達することが推奨される。CNECT-DSA-Registry@ec.europa.eu [また、当該加盟国が指定した場合には、設立した加盟国の管轄のデジタルサービスコーディネーター]に、自発的に、当該オンラインプラットフォームまたはオンライン検索エンジンのEU域内の月間平均有効な利用者を決定するために使用した方法とともに、当該情報をオンラインインターフェース上で公表すると同時に、伝達することが推奨される。これは、欧州委員会と管轄のデジタルサービスコーディネーターがプロバイダーに対してその情報を要求する権限を与えているDSA第24条3項を損なうものではない。
— Such spontaneous communication will facilitate and accelerate the process of designating online platforms and online search engines as VLOPs and VLOSEs pursuant to Article 33(4) DSA, thus increasing legal certainty.   ・このような自発的なコミュニケーションは、DSA第33条4項に従ってオンラインプラットフォームやオンライン検索エンジンをVLOPやVLOSEに指定するプロセスを容易にし加速させ、法的確実性を高めることになる。
— Pursuant to Article 33(4) DSA, the Commission, for the purpose of designating an online platform or an online search engine as a VLOP or a VLSOE, may use other available data on the number of average monthly active recipients as a source of information, in addition to the information published by the provider pursuant to Article 24(2) DSA or information requested pursuant to Article 24(3) DSA, provided that the provider’s right to be heard is respected.  ・DSA第33条4項に従い、欧州委員会は、オンラインプラットフォームまたはオンライン検索エンジンをVLOPまたはVLSOEに指定する目的で、DSA第24条2項に従って提供者が公表した情報またはDSA第24条3項に従って要請した情報に加えて、情報源として月間平均有効な利用者数に関する他の入手可能なデータを使用することができるが、提供者の聴取の権利が尊重されることが条件である。
4.         Where does a provider of online platform or of online search engine need to publish information on average monthly active recipients of its service in the Union?  4. オンラインプラットフォームやオンライン検索エンジンのプロバイダーは、連合内のサービスの月間平均有効な利用者に関する情報をどこで公表する必要があるか?
— Pursuant to Article 24(2) DSA, providers need to publish such information on a publicly accessible section of the online interface of their online platform or their online search engine.  ・DSA第24条2項に従い、プロバイダーは、オンラインプラットフォームまたはオンライン検索エンジンのオンラインインターフェースの一般にアクセス可能なセクションに、当該情報を公表する必要がある。
— To facilitate the automated identification of published information and any updates to that information, the provider would need to ensure that that information is  easily available and accessible on their online interfaces.  ・公表された情報及びその情報の更新の自動識別を容易にするために、プロバイダーは、その情報がオンライン・インターフェース上で容易に利用可能であり、アクセス可能であることを保証する必要があるだろう。
5.         When does a recipient of an online platform service need to be considered as an “active recipient” of that service?  5. オンラインプラットフォームサービスの利用者は、いつからそのサービスの「有効な利用者」として考慮する必要があるか?
— Recital 77 DSA explains that the information that a provider of an online platform publishes on its online interface should reflect all recipients that have actually engaged with the service at least once in the previous six month period.   ・DSAの説明では、オンラインプラットフォームの提供者がオンラインインタフェースで公開する情報は、過去6ヶ月間に少なくとも1回、実際にサービスに関与したすべての利用者を反映する必要があるとされている。
— Such an engagement could be established when the recipient of the service is exposed to content disseminated on the online interface of the online platform or provides content for display on the platform. In other words, in relation to multi-sided online platforms, the recipients on each side of the online platform, including consumers, business users and traders, are potentially relevant for the purposes of counting the number of average monthly active recipients of the service.  ・このような関与は、サービスの利用者がオンラインプラットフォームのオンラインインタフェースで流布されるコンテンツに接したとき、またはプラットフォームでの表示のためにコンテンツを提供したときに成立し得る。すなわち、マルチサイドオンラインプラットフォームとの関係では、消費者、ビジネスユーザー、取引業者など、オンラインプラットフォームの各サイドの利用者が、サービスの月間平均有効な利用者数を集計する目的に関連する可能性がある。
— This means that all recipients engaging with the service -, for instance, by viewing or listening to  content disseminated on the online platform - or by providing such content, for instance, in view of selling or advertising a product or service – will have to be counted as active recipients of the service for the purpose of the DSA.  ・つまり、例えば、オンラインプラットフォーム上で広まったコンテンツを見たり聞いたりすることによって、あるいは、例えば、製品やサービスの販売や広告の観点からそのようなコンテンツを提供することによって、サービスに関わるすべての利用者は、DSAの目的のためにサービスの有効な利用者として集計されなければならないことになるのです。
— The concept of active recipient of the service does not necessarily coincide with that of a registered user of a service or a user that has carried out a transaction on the online platform.  ・サービスの有効な利用者の概念は、必ずしもサービスの登録ユーザーやオンラインプラットフォーム上で取引を行ったユーザーの概念と一致するものではない。
— For instance, a user viewing listings displayed on an online platform allowing consumers to conclude distance contracts with traders has to be counted as an active recipient of the service, even where that user does not ultimately purchase a product or service on that online platform.   ・例えば、消費者が取引業者と遠隔契約を締結できるオンラインプラットフォームに表示されるリストを閲覧するユーザーは、そのオンラインプラットフォームで最終的に製品やサービスを購入しない場合でも、サービスの有効な利用者として集計されなければならない。
6.         When does a recipient of an online search engine service need to be considered an “active recipient” of that service?  6. オンライン検索エンジンサービスの利用者は、どのような場合に当該サービスの「有効な利用者」とみなされる必要があるか?
— In light of the definition provided by Article 3(q) DSA, providers of online search engines are only obliged to include in their calculations of average monthly active recipients of their service those recipients that actively submit a query and are exposed to the content indexed and presented on the provider’s online interface.  ・DSA 第 3 条(q)の定義に照らせば、オンライン検索エンジンのプロバイダーは、積極的にクエリーを送信し、プロバイダーのオンラインインターフェースにインデックスされ提示されるコンテンツに接触する利用者のみを、そのサービスの月間平均有効な利用者の計算に含める義務がある。
7.         Do providers of online platforms that allow consumers to conclude distance contracts with traders need to count only consumers as active recipients or also traders offering their products or services on those platforms?   7. 消費者が取引者と遠隔契約を締結できるオンラインプラットフォームのプロバイダーは、有効な利用者として消費者のみを集計する必要があるか、または、そのプラットフォームで製品やサービスを提供する取引者も集計する必要があるか? 
— Article 3(b) DSA defines a recipient of the service as any natural or legal person who uses an intermediary service, in particular for the purposes of seeking information or making it accessible. That definition includes both consumers that use online platforms allowing consumers to conclude distance contracts with traders to search for and purchase goods, as well as traders that offer products or services on those online platforms.  ・DSA第3条(b)は、サービスの利用者を、特に情報を求めたり、アクセス可能にしたりする目的で仲介サービスを利用する自然人または法人と定義している。この定義には、消費者が商品を検索して購入するために取引者と遠隔契約を締結することを可能にするオンラインプラットフォームを利用する消費者と、それらのオンラインプラットフォーム上で商品やサービスを提供する取引者の両方が含まれる。
— Traders will be considered to engage with those services, for instance, where they request the provider to store their listings or offers on the provider’s online interface.  ・取引者は、例えば、プロバイダのオンラインインタフェースに自分のリストやオファーを保存するようプロバイダに依頼する場合、これらのサービスに関与していると考えられる。
— Consequently, providers of online platforms allowing consumers to conclude distance contracts with traders will have to count all recipients interacting with their services, including both consumers and traders, when calculating the average monthly active recipients of their service.  ・従って、消費者が取引者と遠隔契約を結ぶことができるオンラインプラットフォームのプロバイダーは、サービスの月間平均有効な利用者を計算する際に、消費者と取引者の両方を含む、そのサービスと相互作用するすべての利用者を集計しなければならないことになる。
8.         Do providers of online platforms also need to count third party advertisers using those platforms to advertise products or services?   8. オンラインプラットフォームのプロバイダーは、製品またはサービスの広告のためにそのプラットフォームを使用する第三者の広告主も集計する必要があるか? 
— Providers of online platforms will also need to count recipients that interact with their services by requesting the provider to store and present their advertisement on their online platform to other recipients of their services.  ・オンラインプラットフォームのプロバイダーは、プロバイダーがオンラインプラットフォーム上に広告を保存し、サービスの他の利用者に提示することを要求することによって、彼らのサービスと相互作用する利用者も集計する必要がある。
9.         Do only recipients of the service that have purchased a product or a service through an online marketplace need to be counted as “active recipients” of the service?  9. オンラインマーケットプレイスを通じて製品やサービスを購入したサービスの利用者のみを、サービスの「有効な利用者」として集計する必要があるか?
— No. Recipients of the service can engage with the service at any moment, when they interact and are exposed to the information contained in an online interface of an online platform, including illegal content, even if they do not end up buying the product or contracting the service.   ・いいえ。サービスの利用者は、製品の購入やサービスの契約に至らなくても、違法コンテンツを含むオンライン・プラットフォームのオンライン・インターフェースに含まれる情報と対話し、それに接したとき、いつでもサービスに関与することができる。
— Recipients can be exposed to such information already when searching for a product, clicking on search results or merely scrolling over search results irrespective of whether they do so by being logged-in or not, and not only at the moment when they purchase a product or service.  ・利用者は、ログインしているか否かにかかわらず、製品を検索するとき、検索結果をクリックするとき、検索結果をスクロールするときに、すでにそのような情報にさらされる可能性があり、製品またはサービスを購入するときだけではない。
— As explained in recital 77 of the DSA, engagement is not limited to interacting with information by clicking on, commenting, linking, sharing, purchasing or carrying out transactions on an online platform. All recipients exposed to the information on the online interface of an online platform have to be counted as active recipients. This means that not only buyers or registered users are to be counted as active recipients.   ・DSAの説明77にあるように、エンゲージメントは、オンラインプラットフォーム上でクリック、コメント、リンク、共有、購入、取引の実行などによる情報とのやりとりに限定されるものではない。オンラインプラットフォームのオンラインインターフェース上で情報に接するすべての利用者は、有効な利用者として集計されなければならない。つまり、購入者や登録ユーザーのみが有効な利用者として集計されるわけではない。
10.      Do only registered recipients of the service need to be counted as “active recipients” of the service?  10. 登録されたサービスの利用者のみを「有効な利用者」として集計する必要があるか?
— Recital 77 clarifies that the concept of active recipient of the service does not necessarily coincide with that of a registered user of a service. Depending on the design of the relevant online platform’s or online search engine’s interface, where recipients can have access to content without being registered or logged-in, they can be exposed to information disseminated on its online interface irrespective of whether they do so in a logged-in environment or not.   ・説明77では、サービスの有効な利用者の概念は、必ずしもサービスの登録ユーザーの概念と一致しないことを明確にしている。関連するオンラインプラットフォームやオンライン検索エンジンのインターフェイスの設計によっては、利用者が登録やログインをしなくてもコンテンツにアクセスできる場合、ログインしているかどうかにかかわらず、そのオンラインインターフェイス上で流布される情報に触れることができる。 
11.      Do users that click on a link by mistake or that make superfluous visits to the online platform or to the online search engine need to be counted as “active recipients” of the service?  11. 誤ってリンクをクリックしたり、オンラインプラットフォームやオンライン検索エンジンに余分 にアクセスしたりするユーザーは、サービスの「有効な利用者」として集計する必要があるか。
— Recital 77 of the DSA clarifies that the concept of active recipient of the service should not include incidental use of the service by recipients of the services of other providers of intermediary services that indirectly make content hosted by the provider of relevant online platform available through linking or indexing by a provider of online search engine.  ・DSAの説明77は、サービスの有効な利用者の概念に、オンライン検索エンジンのプロバイダーによるリンクやインデックス作成を通じて、関連するオンラインプラットフォームのプロバイダーがホストするコンテンツを間接的に利用可能にする仲介サービスの他のプロバイダーのサービスの利用者によるサービスの付随的利用を含めるべきではないと明示している。
12.      Are providers of online platforms and of online search engines obliged to avoid double counting or counting inauthentic users (e.g. bots)?  12. オンラインプラットフォーム及びオンライン検索エンジンのプロバイダーは、二重集計や真正でないユーザー(ボットなど)の集計を避ける義務があるか?
— Recital 77 DSA explains that providers of online platforms and of online search engines should avoid double-counting where possible. Such providers are only obliged to count a recipient of their service once that uses different online interfaces, such as websites or software applications, or different devices to access that service, including where that user accesses the service through different uniform resource locators (URLs) or domain names.   ・DSAの説明では、オンラインプラットフォームとオンライン検索エンジンのプロバイダーは、可能な限りダブル集計を避けるべきとされている。プロバイダーは、ウェブサイトやソフトウェアアプリケーションなどの異なるオンラインインターフェースや異なるデバイスを使用してサービスにアクセスする場合、そのサービスの利用者を一度だけ集計する義務がある。
— The obligation to count active recipients of the service does not require nor permit providers to profile and track users in order to avoid “double counting”. The DSA may not be understood as providing a ground to process personal data or track users.  ・サービスの有効な利用者を集計する義務は、プロバイダが「二重集計」を避けるためにユーザーをプロファイリングし追跡することを要求も許可もしない。DSAは、個人データの処理やユーザーを追跡する根拠を提供するものと理解することはできない。
— Providers that have the technical means to identify inauthentic users, such as bots or scrapers, may discount such users when calculating the average monthly active recipients of its service.  ・ボットやスクレイパーなど、真正ではないユーザーを識別する技術的手段を有するプロバイダーは、そのサービスの月間平均有効な利用者を計算する際に、そのようなユーザーを割り引くことができる。
13.      Should providers of hybrid online platforms allowing consumers to conclude distance contracts with traders, i.e. those providers that offer their own products or services alongside third-party products and services, be required to count all visitors to their platforms as “recipients of the service”?   13. 消費者が取引業者と遠隔契約を結ぶことを可能にするハイブリッドオンラインプラットフォームのプロバイダー、すなわち、第三者の製品やサービスとともに自社の製品やサービスを提供するプロバイダーは、自社のプラットフォームへのすべての訪問者を「サービスの利用者」として数えることを要求されるべきか? 
— Recital 77 DSA explains that the information on active recipients of the service must reflect the number of all recipients actually engaging with the service by being exposed to content disseminated on the online interface of the online platform, such as by viewing or listening to that content or by providing content, regardless of the origin of that content.   ・DSAの説明77では、サービスの有効な利用者に関する情報は、コンテンツの出所にかかわらず、コンテンツの閲覧や聴取、コンテンツの提供など、オンラインプラットフォームのオンラインインターフェース上で広められたコンテンツに触れることによって、実際にサービスに関与した全利用者の数を反映しなければならないとされている。
— Consequently, even where that online interface contains content unrelated to the intermediary service, such as the provider’s own content, all recipients of the service must be counted. If those two categories of content are presented on the same online interface, any recipient that accesses that interface for the purpose of engaging with the provider’s own content will necessarily be exposed to third-party content by merely visiting the online interface.    ・したがって、そのオンライン・インターフェースに、プロバイダ自身のコンテンツなど、仲介サービスとは無関係のコンテンツが含まれている場合でも、サービスの利用者はすべて集計されなければならない。このように、2つのカテゴリーのコンテンツが同一のオンライン・インター フェース上に提示されている場合、プロバイダ自身のコンテンツに関与する目的で そのインターフェースにアクセスした利用者は、単にそのオンライン・インターフェース にアクセスするだけで、必然的に第三者のコンテンツに接触することになる。  
   
[1] The adoption of such a delegated act requires the consultation of the European Board of Digital Services. The Digital Services Coordinators that will constitute the Board must be designated by 17 February 2024 at the latest.  [1] このような委任法の採択には、欧州デジタルサービス委員会の協議が必要である。理事会を構成するデジタルサービス・コーディネーターは、遅くとも2024年2月17日までに指定されなければならない。
[2] According to Article 3(p) DSA ‘active recipient of an online platform’ means a recipient of the service that has engaged with an online platform by either requesting the online platform to host information or being exposed to information hosted by the online platform and disseminated through its online interface.  [2] DSA第3条(p)によれば、「オンラインプラットフォームの有効な利用者」とは、オンラインプラットフォームに情報のホストを依頼するか、オンラインプラットフォームがホストしそのオンラインインターフェースを通じて広められた情報に接することによって、オンラインプラットフォームに関与したサービスの利用者を意味する。
[3] According to Article 3(q) DSA ‘active recipient of an online search engine’ means a recipient of the service that has submitted a query to an online search engine and been exposed to information indexed and presented on its online interface.  [3] DSA第3条(q)によれば、「オンライン検索エンジンの有効な利用者」とは、オンライン検索エンジンにクエリーを送信し、そのオンラインインターフェースにインデックスされ提示された情報に接触したサービスの利用者を意味する。

 

キーワードである、”active recipient” を「有効な利用者」として仮訳しています。。。意味についてはDSA第3条の(p), (q)に定義している通りなので、イメージを変換しながら読んでいただけると助かります...

 

 

 


 

 

デジタルサービス法

Regulation (EU) 2022/2065 of the European Parliament and of the Council of 19 October 2022 on a Single Market For Digital Services and amending Directive 2000/31/EC (Digital Services Act) (Text with EEA relevance)

 

77. In order to determine the reach of a given online platform or online search engine, it is necessary to establish the average number of active recipients of each service individually. Accordingly, the number of average monthly active recipients of an online platform should reflect all the recipients actually engaging with the service at least once in a given period of time, by being exposed to information disseminated on the online interface of the online platform, such as viewing it or listening to it, or by providing information, such as traders on an online platforms allowing consumers to conclude distance contracts with traders.

For the purposes of this Regulation, engagement is not limited to interacting with information by clicking on, commenting, linking, sharing, purchasing or carrying out transactions on an online platform. Consequently, the concept of active recipient of the service does not necessarily coincide with that of a registered user of a service. As regards online search engines, the concept of active recipients of the service should cover those who view information on their online interface, but not, for example, the owners of the websites indexed by an online search engine, as they do not actively engage with the service. The number of active recipients of a service should include all unique recipients of the service that engage with the specific service. To this effect, a recipient of the service that uses different online interfaces, such as websites or applications, including where the services are accessed through different uniform resource locators (URLs) or domain names, should, where possible, be counted only once. However, the concept of active recipient of the service should not include incidental use of the service by recipients of other providers of intermediary services that indirectly make available information hosted by the provider of online platforms through linking or indexing by a provider of online search engine. Further, this Regulation does not require providers of online platforms or of online search engines to perform specific tracking of individuals online. Where such providers are able to discount automated users such as bots or scrapers without further processing of personal data and tracking, they may do so. The determination of the number of active recipients of the service can be impacted by market and technical developments and therefore the Commission should be empowered to supplement the provisions of this Regulation by adopting delegated acts laying down the methodology to determine the active recipients of an online platform or of an online search engine, where necessary, reflecting the nature of the service and the way recipients of the service interact with it.
77. 所定のオンラインプラットフォーム又はオンライン検索エンジンのリーチを決定するためには、各サービスの平均的な有効な利用者数を個別に設定する必要がある。したがって、オンラインプラットフォームの月間平均の有効な利用者数は、オンラインプラットフォームのオンラインインターフェースで発信された情報を見たり聞いたりすることによって、または消費者が取引業者と遠隔契約を締結できるオンラインプラットフォームの取引業者のように情報を提供することによって、所定の期間に少なくとも一度は実際にサービスに関与したすべての利用者を反映する必要がある。

本規則の目的では、関与は、オンラインプラットフォーム上でクリック、コメント、リンク、共有、購入または取引の実行による情報との相互作用に限定されない。従って、サービスの有効な利用者の概念は、サービスの登録ユーザーの概念と必ずしも一致しない。オンライン検索エンジンの場合、サービスの有効な利用者の概念は、そのオンライン・インターフェース上で情報を閲覧する者を対象とすべきであるが、例えば、オンライン検索エンジンがインデックス化するウェブサイトの所有者は、サービスに能動的に関与しないため、対象外とすることができる。サービスの有効な利用者数には、特定のサービスに関与しているユニークなサービスの利用者すべてを含めるべきである。このため、ウェブサイトやアプリケーションなど、異なるオンラインインターフェイスを使用するサービスの取得者は、サービスが異なるURLやドメイン名でアクセスされる場合も含め、可能であれば1回のみカウントされるべきである。ただし、サービスの有効な利用者の概念には、オンライン検索エンジンのプロバイダによるリンクやインデックス作成を通じて、オンラインプラットフォームのプロバイダがホストする情報を間接的に利用可能にする仲介サービスの他のプロバイダの利用者によるサービスの付随的な利用は含まれるべきではない。さらに、本規則は、オンラインプラットフォームのプロバイダまたはオンライン検索エンジンのプロバイダがオンラインで個人の特定の追跡を行うことを要求するものではない。当該プロバイダが、個人データのさらなる処理や追跡を行わずに、ボットやスクレイパーなどの自動化されたユーザーを割り出すことができる場合は、そうすることができる。サービスの有効な取得者の数の決定は、市場および技術の発展により影響を受ける可能性があるため、欧州委員会は、必要に応じて、サービスの性質およびサービスの取得者がサービスと相互作用する方法を反映し、オンラインプラットフォームまたはオンライン検索エンジンの有効な取得者を決定する方法を定めた委任法を採択し、本規則の規定を補足する権限を有するべきである。
   
Article 3 Definitions 第3条 定義
(m) ‘online interface’ means any software, including a website or a part thereof, and applications, including mobile applications; (m)「オンライン・インターフェース」とは、ウェブサイト又はその一部を含むソフトウェア及びモバイル・アプリケーションを含むアプリケーションをいう。
(p) ‘active recipient of an online platform’ means a recipient of the service that has engaged with an online platform by either requesting the online platform to host information or being exposed to information hosted by the online platform and disseminated through its online interface; (p)「オンラインプラットフォームの有効な利用者」とは、情報をホストするようにオンラインプラットフォームに要求するか、オンラインプラットフォームによってホストされ、そのオンラインインターフェースを通じて広められた情報にさらされることによって、オンラインプラットフォームと関わったサービスの利用者をいう。
(q)  ‘active recipient of an online search engine’ means a recipient of the service that has submitted a query to an online search engine and been exposed to information indexed and presented on its online interface; (q) 「オンライン検索エンジンの有効な利用者」とは、オンライン検索エンジンにクエリを送信し、そのオンライン・インターフェースにインデックスされ提示された情報に接したサービスの取得者をいう。
   
Article 24 Transparency reporting obligations for providers of online platforms 第24条 オンラインプラットフォームのプロバイダーに対する透明性報告義務
2.   By 17 February 2023 and at least once every six months thereafter, providers shall publish for each online platform or online search engine, in a publicly available section of their online interface, information on the average monthly active recipients of the service in the Union, calculated as an average over the period of the past six months and in accordance with the methodology laid down in the delegated acts referred to in Article 33(3), where those delegated acts have been adopted. 2.   プロバイダは、2023年2月17日までに、及びその後少なくとも6か月に1回、オンラインプラットフォーム又はオンライン検索エンジンごとに、そのオンラインインターフェースの一般に利用可能なセクションにおいて、過去6か月間の平均として、第33条(3)にいう委任法が採択されている場合には当該委任法に定める方法に従って算出した、連合内の当該サービスの月間平均の有効な利用者に関する情報を公表するものとする。
   
Article 33 Very large online platforms and very large online search engines 第33条 超大型オンラインプラットフォーム及び超大型オンラインサーチエンジン
3.   The Commission may adopt delegated acts in accordance with Article 87, after consulting the Board, to supplement the provisions of this Regulation by laying down the methodology for calculating the number of average monthly active recipients of the service in the Union, for the purposes of paragraph 1 of this Article and Article 24(2), ensuring that the methodology takes account of market and technological developments. 3.   欧州委員会は、第87条に従い、理事会に諮問した上で、本条第1項及び第24条第2項の目的のために、欧州連合におけるサービスの平均月間有効取得者数の算出方法を定め、その方法が市場及び技術の発展を考慮することを確保しつつ、本規則の規定を補完する委任行為を採択することができる。

 

 



まるちゃんの情報セキュリティ気まぐれ日記

・2022.07.11 欧州議会 デジタルサービス法 (DSA) デジタル市場法 (DMA) が可決 (2022.07.05)

 

 

| | Comments (0)

2023.02.04

米国 MITRE サイバー・レジリエンス・エンジニアリング・フレームワーク・ナビゲーター

こんにちは、丸山満彦です。

MITREが、「サイバー・レジリエンス・エンジニアリング・フレームワーク・ナビゲーター」を公表し、誰でも使えるようにしてくれていますね。。。

サプライチェーンセキュリティにも気を使わないといけない昨今、これは便利かもですね。。。

 

MITRE

・2023.02.02 MITRE Launches Cyber Resiliency Engineering Framework Navigator

 

MITRE Launches Cyber Resiliency Engineering Framework Navigator MITRE、「サイバー・レジリエンス・エンジニアリング・フレームワーク・ナビゲーター」の提供を開始
Visualization tool helps organizations better structure their cyber resiliency strategies 可視化ツールにより、企業のサイバーレジリエンス戦略の構築を支援
McLean, Va. & Bedford, Mass., February 2, 2023—MITRE released the Cyber Resiliency Engineering Framework (CREF) NavigatorTM—a free, visualization tool that allows organizations to customize their cyber resiliency goals, objectives, and techniques, as aligned with NIST SP 800-160, Volume 2 (Rev. 1), National Institute of Standards and Technology’s (NIST) publication on developing cyber-resilient systems. 米国バージニア州マクリーンおよびマサチューセッツ州ベッドフォード発、2023年2月2日 - MITREは、米国標準技術局(NIST)が発行したサイバーレジリエンスシステムの開発に関する文書「NIST SP 800-160, Volume 2 (Rev. 1)」に沿ってサイバーレジリエンスの目標、目的、手法をカスタマイズするための無償可視化ツール「サイバー・レジリエンス・エンジニアリング・フレームワーク・ナビゲーターCREF」を発表した。
“Resiliency is the ultimate goal of cybersecurity,” said Wen Masters, vice president, cyber technologies, MITRE. “Information and communications systems and those who depend on them must be resilient in the face of persistent, stealthy, and sophisticated cyber-attacks. While resilience is sometimes described as an emergent property, resilience in the face of cyber threats must be engineered.” MITREのサイバーテクノロジー担当バイスプレジデントであるウェン・マスターズは、次のように述べている。「レジリエンスはサイバーセキュリティの究極の目標である。情報通信システムとそれに依存する人々は、持続的であるステルス性のある巧妙なサイバー攻撃に直面しても、レジリエンス(回復力)を持っていなければならない。レジリエンスは創発的な性質であると表現されることもあるが、サイバー脅威に直面したときのレジリエンスは、設計されていなければならない」。
As with many of MITRE’s resources for cyber defenders that are developed in the public interest, the CREF Navigator is freely available to the greater cyber community. 公共の利益のために開発された多くの他のMITREのサイバー防衛者向けリソースと同様に、CREF Navigatorはより広いサイバーコミュニティで自由に利用することができる。
“We’ve taken the original cyber resiliency framework we created with NIST and now made it searchable and visualized,” said Shane Steiger, principal cybersecurity engineer, MITRE. “This relational database enables engineers to make educated and informed choices while designing resilient cyber solutions.” MITREのプリンシパル・サイバーセキュリティ・エンジニアであるShane Steigerは、次のように述べています。「NISTと共同で作成したオリジナルのサイバーレジリエンスフレームワークを、検索および可視化できるようにした。このリレーショナルデータベースにより、エンジニアは十分な情報を得た上で、回復力のあるサイバーソリューションの設計を行うことができるようになる。」
The principles of the CREF framework follow four guiding pillars: CREFフレームワークの原則は、4つの指針となる柱に従っている。
・Anticipate: maintain a state of informed preparedness in order to forestall compromises of mission/business functions from adversary attacks, ・予測する:敵の攻撃によってミッションやビジネス機能が損なわれるのを防ぐために、十分な情報に基づいて準備態勢を維持する。
・Withstand: continue essential mission/business functions despite successful execution of an attack by an adversary, ・耐える:敵の攻撃が成功しても、重要な任務・事業機能を継続する。
・Recover: restore mission/business functions to the maximum extent possible after successful execution of an attack by an adversary, and ・回復する:敵による攻撃が成功した後、ミッション/ビジネス機能を可能な限り回復させる。
・Adapt: change mission/business functions and/or the supporting cyber capabilities so as to minimize adverse impacts from actual or predicted adversary attacks. ・適応する:実際の、あるいは予測される敵の攻撃による悪影響を最小化するために、ミッション/ビジネス機能および/または支援するサイバー能力を変更する。
“During the last year of development, we integrated the CREF Navigator with MITRE ATT&CK® techniques and mitigations found in ATT&CK and NIST SP 800-160 Volume 2 (Rev. 1) appendices. We also are using the Navigator to encourage engineers to characterize their cyber resiliency capabilities,” added Steiger. “We plan to keep evolving the Navigator as the discipline of cyber resiliency engineering matures.” Steigerは次のように補足した。「開発の最後の年に、私たちはCREF Navigatorを、ATT&CKとNIST SP 800-160 Volume 2 (Rev. 1)の附属書にあるMITRE ATT&CK®テクニックと緩和策に統合した。また、Navigatorを使用して、エンジニアに自社のサイバーレジリエンス能力を評価するよう促している。サイバーレジリエンス工学の分野が成熟するにつれ、Navigatorも進化し続ける予定である。」
Future enhancements to the CREF Navigator are planned to provide additional automated support for organizations interested in building stronger defenses for their critical infrastructure. See the CREF Navigator in action at [web]. CREF Navigatorは今後、重要インフラの防御強化に関心を持つ組織に対して、さらなる自動化サポートを提供する予定である。CREF Navigatorについては、[web]
を参照すること。

 

でこちらが、そのデータベースへの入り口...

Cyber Resiliency Engineering Framework (CREF) NavigatorTM

20230204-74241

 

 

仮訳のために、二次元にしました。。。

# 階層 English 仮訳
1 0 Navigator ナビゲーター
2 1 Goals 目標
3 2 Anticipate 予測する
4 2 Withstand 耐える
5 2 Recover 回復する
6 2 Adapt 適応する
7 1 Objectives 目的
8 2 Prevent or Avoid 予防する・回避する
9 2 Prepare 準備する
10 2 Continue 継続する
11 2 Constrain 抑制する
12 2 Reconstitute 再構成する
13 2 Understand 理解する
14 2 Transform 変換する
15 2 Re-Architect 再構築する
16 1 Techniques 技術
17 2 Adaptive Response 適応的対応
18 3 Dynamic Reconfiguration 動的再構成
19 3 Dynamic Resource Allocation 動的なリソース割り当て
20 3 Adaptive Management 適応的管理
21 2 Realignment 再調整
22 3 Purposing 目的
23 3 Restriction 制限
24 3 Specialization 特殊化
25 2 Redundancy 冗長化
26 3 Protected Backup and Restore 保護されたバックアップとリストア
27 3 Surplus Capacity 余剰容量
28 3 Replication レプリケーション
29 2 Segmentation セグメンテーション
30 3 Predefined Segmentation 事前定義されたセグメンテーション
31 3 Dynamic Segmentation and Isolation 動的なセグメンテーションと分離
32 2 Substantiated Integrity 裏付けのある完全性
33 3 Integrity Checks 完全性チェック
34 3 Provenance Tracking 出処追跡
35 3 Behavior Validation 動作の検証
36 2 Unpredictability 予測不可能性
37 3 Temporal Unpredictability 時間的な予測不可能性
38 3 Contextual Unpredictability 文脈的予測不能性
39 2 Analytic Monitoring 分析的監視
40 3 Monitoring and Damage Assessment モニタリングとダメージ評価
41 3 Sensor Fusion and Analysis センサーフュージョンと分析
42 3 Forensic and Behavioral Analysis フォレンジック・行動分析
43 2 Coordinated Protection 協調的防御
44 3 Self-Challenge 自己挑戦
45 3 Calibrated Defense-in-Depth 調整された深層部での防衛
46 3 Consistency Analysis 整合性分析
47 3 Orchestration オーケストレーション
48 2 Deception 欺瞞
49 3 Obfuscation 難読化
50 3 Disinformation 偽情報
51 3 Misdirection ミスディレクション
52 3 Tainting 汚染
53 2 Diversity 多様化
54 3 Architectural Diversity アーキテクチャの多様化
55 3 Design Diversity デザインの多様化
56 3 Synthetic Diversity 合成の多様化
57 3 Information Diversity 情報の多様化
58 3 Path Diversity 経路の多様化
59 3 Supply Chain Diversity サプライチェーンの多様化
60 2 Dynamic Positioning 動的配置
61 3 Functional Relocation of Sensors センサーの機能再配置
62 3 Functional Relocation of Cyber Resources サイバーリソースの機能再配置
63 3 Asset Mobility アセットモビリティ
64 3 Fragmentation フラグメンテーション
65 3 Distributed Functionality 分散機能
66 2 Contextual Awareness 状況認識
67 3 Dynamic Resource Awareness 動的なリソース認識
68 3 Dynamic Threat Awareness 動的な脅威の認識
69 3 Mission Dependency and Status Visualization ミッション依存とステータスの可視化
70 2 Non-Persistence 一時的
71 3 Non-Persistent Information 一時的な情報
72 3 Non-Persistent Services 一時的なサービス
73 3 Non-Persistent Connectivity 一時的な接続性
74 2 Privilege Restriction 特権の制限
75 3 Trust-Based Privilege Management 信頼に基づく特権管理
76 3 Attribute-Based Usage Restriction 属性に基づく利用制限
77 3 Dynamic Privileges 動的な特権

 

 


● まるちゃんの情報セキュリティ気まぐれ日記

・2022.12.10 NIST SP 800-160 Vol. 2 Rev. 1 サイバーレジリエントなシステムの開発:システムセキュリティ・エンジニアリング・アプローチ

・2022.11.20 NIST SP 800-160 Vol.1 Rev.1 信頼性の高い安全なシステムのエンジニアリング (2022.11.16)

・2022.06.10 NIST SP 800-160 Vol.1 Rev.1(ドラフト)信頼性の高いセキュアなシステムのエンジニアリング

・2022.01.21 NIST SP 800-160 Vol.1 Rev.1 (ドラフト) 信頼性の高いセキュアなシステムの構築 at 2022.01.11

・2021.08.07 SP 800-160 Vol. 2 Rev. 1 (Draft) サイバーレジリエントなシステムの開発:システムセキュリティ・エンジニアリング・アプローチ

・2020.04.27 NIST White Paper - Mitigating the Risk of Software Vulnerabilities by Adopting a Secure Software Development Framework (SSDF)

 

 

| | Comments (0)

NIST SP 800-186 離散対数ベースの暗号に関する推奨事項:楕円曲線ドメインパラメータ

こんにちは、丸山満彦です。

NISTが、SP 800-186 離散対数ベースの暗号に関する推奨事項:楕円曲線ドメインパラメータを公表していますね。。。前の記事「NIST FIPS 186-5デジタル署名標準(DSS)」とセットです...

 

NIST - ITL

・2023.02.03 NIST Revises the Digital Signature Standard (DSS) and Publishes a Guideline for Elliptic Curve Domain Parameters

NIST Revises the Digital Signature Standard (DSS) and Publishes a Guideline for Elliptic Curve Domain Parameters NIST、デジタル署名規格(DSS)を改訂し、楕円曲線ドメイン・パラメータのガイドラインを公開
Today, NIST is publishing Federal Information Processing Standard (FIPS) 186-5, Digital Signature Standard (DSS), along with NIST Special Publication (SP) 800-186, Recommendations for Discrete Logarithm-based Cryptography: Elliptic Curve Domain Parameters 本日、NISTは連邦情報処理規格(FIPS)186-5「デジタル署名標準(DSS)」と、NIST Special Publication(SP)800-186「NIST SP 800-186 離散対数ベースの暗号に関する推奨事項:楕円曲線ドメインパラメータ」を公開する。 
FIPS 186-5 specifies three techniques for the generation and verification of digital signatures that can be used for the protection of data: FIPS 186-5は、データ保護に使用できるデジタル署名の生成と検証のための3つの技術を規定している。
・Rivest-Shamir-Adleman (RSA) Algorithm ・RSA (Rivest-Shamir-Adleman) アルゴリズム
・Elliptic Curve Digital Signature Algorithm (ECDSA) ・楕円曲線デジタル署名アルゴリズム(ECDSA)
・Edwards Curve Digital Signature Algorithm (EdDSA) ・エドワード曲線デジタル署名アルゴリズム(EdDSA)
The Digital Signature Algorithm (DSA), which was specified in prior versions of FIPS 186, is retained only for the purposes of verifying existing signatures.  デジタル署名アルゴリズム(DSA)は、FIPS186の以前のバージョンで規定されていたが、既存の署名を検証する目的でのみ保持されている。 
The companion document, NIST SP 800-186, specifies the set of recommended elliptic curves. In addition to the previously recommended Weierstrass curves, there are two newly specified Edwards curves included for use with the EdDSA algorithm. Edwards curves provide increased performance, side-channel resistance, and simpler implementation when compared to traditional curves. While NIST SP 800-186 includes the specifications for elliptic curves over binary fields, these curves are now deprecated, and the use of other (prime) curves is strongly recommended. 関連文書である NIST SP 800-186 では、推奨される楕円曲線のセットが規定されている。 従来推奨されていたWeierstrass曲線に加えて、EdDSAアルゴリズムで使用するために新たに指定されたEdwards曲線が2つ含まれている。 Edwards曲線は、従来の曲線と比較して、性能の向上、サイドチャネル耐性、および実装の簡素化を実現している。 NIST SP 800-186には、2進数上の楕円曲線に関する仕様が含まれているが、これらの曲線は現在非推奨であり、他の素数曲線を使用することが強く推奨されている。
The algorithms in these standards are not expected to provide resistance to attacks from a large-scale quantum computer. Digital signature algorithms that will provide security from quantum computers will be specified in future NIST publications. For more information, see the Post-Quantum Cryptography Standardization project. これらの標準に含まれるアルゴリズムは、大規模な量子コンピュータからの攻撃に対する耐性を提供することは期待できない。 量子コンピュータからの安全性を確保する電子署名アルゴリズムは、今後NISTの出版物で規定される予定である。詳細については、ポスト量子暗号標準化プロジェクトを参照のこと。

 

 

・2023.02.02 SP 800-186 Recommendations for Discrete Logarithm-based Cryptography: Elliptic Curve Domain Parameters

SP 800-186 Recommendations for Discrete Logarithm-based Cryptography: Elliptic Curve Domain Parameters SP 800-186 離散対数ベースの暗号に関する推奨事項:楕円曲線ドメインパラメータ
Abstract 概要
This Recommendation specifies the set of elliptic curves recommended for U.S. Government use. In addition to the previously recommended Weierstrass curves defined over prime fields and binary fields, this Recommendation includes two newly specified Edwards curves, which provide increased performance, side-channel resistance, and simpler implementation when compared to traditional curves. This Recommendation also specifies alternative representations for these new curves to allow more implementation flexibility. The new curves are interoperable with those specified by the Crypto Forum Research Group (CFRG) of the Internet Engineering Task Force (IETF). この推奨事項は、米国政府の使用に推奨される楕円曲線一式を規定するものである。素数体および2体に対して定義された従来から推奨されているWeierstrass 曲線に加え、この推奨事項では新たに2つのEdwards 曲線を指定し、従来の曲線と比較して性能、サイドチャネル耐性、および実装の簡素化を実現し ている。また、この推奨事項では、より柔軟な実装を可能にするために、これらの新しい曲線の代替表現も規定する。この新しい曲線は、インターネット技術タスクフォース(IETF)の暗号フォーラム研究グループ (CFRG)が規定する曲線と相互運用が可能である。

 

・[PDF]

20230204-11054

 

エグゼクティブサマリー

 

Executive Summary  エグゼクティブサマリー 
This Recommendation specifies the set of elliptic curves recommended for U.S. Government use. It includes:   この推奨事項は、米国政府の使用に推奨される楕円曲線一式を規定するものである。これには以下が含まれる。 
− Specification of elliptic curves previously specified in Federal Information Processing Standard (FIPS) 186-4, Digital Signature Schemes [FIPS_186-4]. This includes both elliptic curves defined over a prime field and curves defined over a binary field. Although the specifications for elliptic curves over binary fields are included, these curves are now deprecated. It is strongly recommended to use the other prime curves.  ・連邦情報処理標準(FIPS) 186-4「デジタル署名方式」[FIPS_186-4]に規定されていた楕円曲線 の仕様。これには、素数体上で定義された楕円曲線と2進数体上で定義された楕円曲線の両方が含まれる。2つ以上の楕円曲線も含まれているが、これらの楕円曲線は現在では非推奨である。他の素数曲線の利用を強く推奨する。
− Specification of new Montgomery and Edwards curves, which are detailed in Elliptic Curves for Security [RFC_7748].   ・セキュリティのためのEllipti曲線 [RFC_7748]に詳述されている,新しいMontgomery曲線とEdwards曲線の仕様。
− A reference for the Brainpool curves specified in [RFC_5639]. These curves are allowed to be used for interoperability reasons (i.e., to accommodate inclusion in FIPS-validated products).    ・[RFC_5639]で指定されたBrainpool曲線のリファレンス。これらの曲線は、相互運用性の理由(すなわち、FIPS Validated製品に含めるため)で使用することが許されている。  
− A reference for the curve secp256k1 specified in [SEC_2]. This curve is allowed to be used for blockchain-related applications.  ・[SEC_2]で指定された曲線secp256k1に対する参照。この曲線は、ブロックチェーン関連のアプリケーションに使用することが許可されている。
− Elliptic curves in FIPS 186-4 that do not meet the current bit security requirements put forward in NIST Special Publication (SP) 800-57, Part 1, Recommendation for Key Management: Part 1 – General [SP_800-57], are now legacy-use. They may be used to process already protected information (e.g., decrypt or verify) but not to apply protection to information (e.g., encrypt or sign). Also see NIST SP 800-131A, Transitions:  ・FIPS 186-4の楕円曲線で、NIST 特別出版物 (SP) 800-57, Part 1, 鍵管理のための推奨事項で提示された現在のビットセキュリティ要件を満たさないもの。Part 1 - General [SP_800-57]で提示された現在のビットセキュリティ要件を満たさないFIPS 186-4は、現在、レガシー使用となる。これらは、既に保護されている情報の処理(例:復号化、検証)には使用できるが、情報への保護適用(例:暗号化、署名)には使用できない。また、NIST SP 800-131A「移行」を参照。
Recommendation for Transitioning the Use of Cryptographic Algorithms and Key Lengths [SP_800-131A].  暗号アルゴリズムと鍵長の使用移行に関する推奨事項[SP_800-131A]も参照のこと。
This Recommendation provides details regarding the group operations for each of the specified elliptic curves and the relationship between the various curve models, allowing for flexibility regarding the use of curves most suitable in particular applications. It also gives cryptographic criteria for the selection of suitable elliptic curves and provides more details on finite field arithmetic and data representation than were available in FIPS 186-4. この推奨事項では、特定のアプリケーションに最適な曲線を柔軟に使用できるように、指定された楕円曲線 のグループ操作に関する詳細と、さまざまな曲線モデル間の関係を示している。また、適切な楕円曲線を選択するための暗号学的な基準を示し、FIPS 186-4 で利用可能であったものより、有限体演算およびデータ表現に関する詳細を提供する。

 

目次...

Executive Summary エグゼクティブサマリー
1 Introduction 1 序文
2 Overview of Elliptic Curves 2 楕円曲線の概要
2.1. Non-binary Curves 2.1. 非二値曲線
2.1.1. Curves in Short-Weierstrass Form 2.1.1. Short-Weierstrass形式の曲線
2.1.2. Montgomery Curves 2.1.2. モンゴメリー曲線
2.1.3. Twisted Edwards Curves 2.1.3. ねじれたエドワーズ曲線
2.2. Binary Curves 2.2. 二次曲線
2.2.1. Curves in Short-Weierstrass Form 2.2.1. Short-Weierstrass 形式の曲線
3 Recommended Curves for U.S. Federal Government Use 3 米国連邦政府が使用する推奨曲線
3.1 Choices of Key Lengths, Underlying Fields, Curves, and Base Points 3.1 鍵長、基礎となるフィールド、曲線、および基点の選択
3.1.1. Choice of Key Lengths 3.1.1. 鍵の長さの選択
3.1.2. Choice of Underlying Fields 3.1.2. 基礎となるフィールドの選択
3.1.3. Choice of Basis for Binary Fields 3.1.3. バイナリフィールドの基礎の選択
3.1.4. Choice of Curves 3.1.4. 曲線の選択
3.2. Curves Over Prime Fields 3.2. 素数体上の曲線
3.2.1. Weierstrass Curves 3.2.1. ワイエルストラス曲線
3.2.2. Montgomery Curves 3.2.2. モンゴメリー曲線
3.2.3. Twisted Edwards Curves 3.2.3. ツイスト・エドワーズ曲線
3.3. Curves Over Binary Fields (Deprecated) 3.3. バイナリフィールド上の曲線 (非推奨)
3.3.1. Koblitz Curves 3.3.1. Koblitz曲線
3.3.2. Pseudorandom Curves 3.3.2. 擬似ランダム曲線
References 参考文献
Appendix A. Details of Elliptic Curve Group Operations 附属書A.楕円曲線群演算の詳細
A.1. Non-binary Curves A.1. 非二値曲線
A.1.1. Group Law for Weierstrass Curves A.1.1. Weierstrass曲線の群法
A.1.2. Group Law for Montgomery Curves A.1.2. モンゴメリ曲線の群法則
A.1.3. Group Law for Twisted Edwards Curves A.1.3. Twisted Edwards曲線に対する群法則
A.2. Binary Curves A.2. 二次曲線
A.2.1. Group Law for Weierstrass Curves A.2.1. Weierstrass曲線の群法
Appendix B. Relationships Between Curve Models 附属書B. 曲線モデル間の関係
B.1. Mapping Between Twisted Edwards Curves and Montgomery Curves B.1. Twisted Edwards曲線とMontgomery曲線の対応付け
B.2. Mapping Between Montgomery Curves and Weierstrass Curves B.2. モンゴメリ曲線とWeierstrass曲線の対応付け
B.3. Mapping Between Twisted Edwards Curves and Weierstrass Curves B.3. Twisted Edwards曲線とWeierstrass曲線の対応付け
B.4. 4-Isogenous Mapping B.4. 4-アイソジニアス・マッピング
Appendix C. Generation Details for Recommended Elliptic Curves 附属書C. 推奨楕円曲線の生成詳細
C.1. General Cryptographic Criteria C.1. 一般的な暗号化基準
C.1.1. Implementation Security Criteria C.1.1. 実装セキュリティ基準
C.2. Curve Generation Details C.2. 曲線生成の詳細
C.2.1. Weierstrass Curves Over Prime Fields C.2.1. 素数体上のWeierstrass曲線
C.2.2. Montgomery Curves C.2.2. モンゴメリー曲線
C.2.3. Twisted Edwards Curves C.2.3. ねじれたエドワーズ曲線
C.2.4. Weierstrass Curves over Binary Fields C.2.4. バイナリフィールド上のWeierstrass曲線
C.3. Generation and Verification of Pseudorandom Curves C.3. 擬似ランダム曲線の生成と検証
C.3.1. Generation of Pseudorandom Curves (Prime Case) C.3.1. 擬似ランダム曲線の生成(素数の場合)
C.3.2. Verification of Curve Generation (Prime Case) C.3.2. 曲線生成の検証 (素数の場合)
C.3.3. Generation of Pseudorandom Curves (Binary Case) C.3.3. 擬似乱数曲線の生成(バイナリケース)
C.3.4. Verification of Curve Generation (Binary Case) C.3.4. 曲線生成の検証(バイナリの場合)
Appendix D. Elliptic Curve Routines 附属書D. 楕円曲線ルーチン
D.1. Public Key Validation D.1. 公開鍵の検証
D.1.1. Non-binary Curves in Short-Weierstrass Form D.1.1. Short-Weierstrass形式の非二値曲線
D.1.2. Montgomery Curves D.1.2. モンゴメリ曲線
D.1.3. Twisted Edwards Curves D.1.3. ねじれたエドワーズ曲線
D.1.4. Binary Curves in Short-Weierstrass Form D.1.4. Short-Weierstrass形式の2次曲線
D.2. Point Compression D.2. 点の圧縮
D.2.1. Prime Curves in Short-Weierstrass Form D.2.1. Short-Weierstrass形式の素数曲線
D.2.2. Binary Curves in Short-Weierstrass Form D.2.2. Short-Weierstrass形式の二次曲線
Appendix E. Auxiliary Functions 附属書E. 補助関数
E.1. Computing Square Roots in Binary Fields E.1. 二項演算子における平方根の計算
E.2. Solving the Equation x2 + x = w in Binary Fields E.2. 二項演算子で方程式x2 + x = wの解法
E.3. Computing Square Roots in Non-Binary Fields GF(q) E.3. 非二項体GF(q)の平方根の計算
E.4. Computing Inverses in GF(q) E.4. GF(q)における逆数の計算
Appendix F. Data Conversion 附属書F. データ変換
F.1. Conversion of a Field Element to an Integer F.1. フィールド要素から整数への変換
F.2. Conversion of an Integer to a Field Element F.2. 整数からフィールド要素への変換
F.3. Conversion of an Integer to a Bit String F.3. 整数からビット列への変換
F.4. Conversion of a Bit String to an Integer F.4. ビット列から整数への変換
Appendix G. Implementation Aspects 附属書G. 実装面
G.1. Implementation of Modular Arithmetic G.1. モジュラー型算術演算の実装
G.1.1. Curve P-224 G.1.1. 曲線P-224
G.1.2. Curve P-256 G.1.2. 曲線P-256
G.1.3. Curve P-384 G.1.3. 曲線P-384
G.1.4. Curve P-521 G.1.4. 曲線P-521
G.1.5. Curve25519 G.1.5. 曲線25519
G.1.6. Curve448 G.1.6. 曲線448
G.2. Scalar Multiplication for Koblitz Curves G.2. Koblitz曲線のスカラー倍算
G.3. Polynomial and Normal Bases for Binary Fields G.3. バイナリフィールドの多項式基底と正規基底
G.3.1. Normal Bases G.3.1. 正規基底
G.3.2. Polynomial Basis to Normal Basis Conversion G.3.2. 多項式基底と正規基底の変換
G.3.3. Normal Basis to Polynomial Basis Conversion G.3.3. 正規基底から多項式基底への変換
Appendix H. Other Allowed Elliptic Curves 附属書H. その他の許容される楕円曲線
H.1. Brainpool Curves H.1. ブレインプール曲線
H.2. The Curve secp256k1 H.2. 曲線secp256k1
Appendix I. List of Symbols, Abbreviations, and Acronyms 附属書I. 記号・略語・頭字語の一覧表
Appendix J. Glossary 附属書J. 用語集

 

 

| | Comments (0)

NIST FIPS 186-5 デジタル署名標準(DSS)

こんにちは、丸山満彦です。

NISTのデジタル署名標準が改訂され第5版になっていますね。。。次の記事「NIST SP 800-186 離散対数ベースの暗号に関する推奨事項:楕円曲線ドメインパラメータ」とセットです...

 

NIST - ITL

・2023.02.03 NIST Revises the Digital Signature Standard (DSS) and Publishes a Guideline for Elliptic Curve Domain Parameters

NIST Revises the Digital Signature Standard (DSS) and Publishes a Guideline for Elliptic Curve Domain Parameters NIST、デジタル署名規格(DSS)を改訂し、楕円曲線ドメイン・パラメータのガイドラインを公開
Today, NIST is publishing Federal Information Processing Standard (FIPS) 186-5, Digital Signature Standard (DSS), along with NIST Special Publication (SP) 800-186, Recommendations for Discrete Logarithm-based Cryptography: Elliptic Curve Domain Parameters 本日、NISTは連邦情報処理規格(FIPS)186-5「デジタル署名標準(DSS)」と、NIST Special Publication(SP)800-186「NIST SP 800-186 離散対数ベースの暗号に関する推奨事項:楕円曲線ドメインパラメータ」を公開する。 
FIPS 186-5 specifies three techniques for the generation and verification of digital signatures that can be used for the protection of data: FIPS 186-5は、データ保護に使用できるデジタル署名の生成と検証のための3つの技術を規定している。
・Rivest-Shamir-Adleman (RSA) Algorithm ・RSA (Rivest-Shamir-Adleman) アルゴリズム
・Elliptic Curve Digital Signature Algorithm (ECDSA) ・楕円曲線デジタル署名アルゴリズム(ECDSA)
・Edwards Curve Digital Signature Algorithm (EdDSA) ・エドワード曲線デジタル署名アルゴリズム(EdDSA)
The Digital Signature Algorithm (DSA), which was specified in prior versions of FIPS 186, is retained only for the purposes of verifying existing signatures.  デジタル署名アルゴリズム(DSA)は、FIPS186の以前のバージョンで規定されていたが、既存の署名を検証する目的でのみ保持されている。 
The companion document, NIST SP 800-186, specifies the set of recommended elliptic curves. In addition to the previously recommended Weierstrass curves, there are two newly specified Edwards curves included for use with the EdDSA algorithm. Edwards curves provide increased performance, side-channel resistance, and simpler implementation when compared to traditional curves. While NIST SP 800-186 includes the specifications for elliptic curves over binary fields, these curves are now deprecated, and the use of other (prime) curves is strongly recommended. 関連文書である NIST SP 800-186 では、推奨される楕円曲線のセットが規定されている。 従来推奨されていたWeierstrass曲線に加えて、EdDSAアルゴリズムで使用するために新たに指定されたEdwards曲線が2つ含まれている。 Edwards曲線は、従来の曲線と比較して、性能の向上、サイドチャネル耐性、および実装の簡素化を実現している。 NIST SP 800-186には、2進数上の楕円曲線に関する仕様が含まれているが、これらの曲線は現在非推奨であり、他の素数曲線を使用することが強く推奨されている。
The algorithms in these standards are not expected to provide resistance to attacks from a large-scale quantum computer. Digital signature algorithms that will provide security from quantum computers will be specified in future NIST publications. For more information, see the Post-Quantum Cryptography Standardization project. これらの標準に含まれるアルゴリズムは、大規模な量子コンピュータからの攻撃に対する耐性を提供することは期待できない。 量子コンピュータからの安全性を確保する電子署名アルゴリズムは、今後NISTの出版物で規定される予定である。詳細については、ポスト量子暗号標準化プロジェクトを参照のこと。

 

 

・2023.02.02 FIPS 186-5 Digital Signature Standard (DSS)

FIPS 186-5 Digital Signature Standard (DSS) FIPS 186-5デジタル署名標準(DSS)
Abstract 概要
This standard specifies a suite of algorithms that can be used to generate a digital signature. Digital signatures are used to detect unauthorized modifications to data and to authenticate the identity of the signatory. In addition, the recipient of signed data can use a digital signature as evidence in demonstrating to a third party that the signature was, in fact, generated by the claimed signatory. This is known as non-repudiation since the signatory cannot easily repudiate the signature at a later time. この標準は、電子署名を生成するために使用できる一連のアルゴリズムを規定する。デジタル署名は、データへの不正な変更を検出し、署名者の本人認証を行うために使用される。また、署名されたデータの取得者は、その署名が実際に署名者によって生成されたことを第三者に証明するための証拠として、デジタル署名を使用することができる。これは、署名者が後で簡単に署名を否認することができないため、否認防止と呼ばれている。

 

・[PDF]

20230204-01959

 

DIGITAL SIGNATURE STANDARD (DSS)  デジタル署名標準(DSS) 
Federal Information Processing Standards Publications (FIPS) are developed by the National Institute of Standards and Technology (NIST) under 15 U.S.C. 278g-3, and issued by the Secretary of Commerce under 40 U.S.C. 11331.  連邦情報処理標準出版物(FIPS)は、15 U.S.C. 278g-3に基づいて国立標準技術研究所(NIST)が開発し、40 U.S.C. 11331に基づいて商務長官が発行しているものである。
1.     Name of Standard: Digital Signature Standard (DSS) (FIPS 186-5).  1. 標準の名称:デジタル署名標準(DSS)(FIPS 186-5)。
2.     Category of Standard: Computer Security. Subcategory. Cryptography.  2. 標準のカテゴリ:コンピュータセキュリティ サブカテゴリ。暗号技術。
3.     Explanation: This standard specifies algorithms for applications requiring a digital signature rather than a written signature. A digital signature is represented in a computer as a string of bits and computed using a set of rules and parameters that allow the identity of the signatory and the integrity of the data to be verified. Digital signatures may be generated on both stored and transmitted data.  3. 説明:本標準は、書面による署名ではなく、デジタル署名を必要とするアプリケーションのためのアルゴリズ ムを規定する。デジタル署名は、コンピュータ内でビット列として表現され、署名者の身元とデータの完全性を検証できる一連の規則とパラメータを使用して計算される。デジタル署名は、保存データと送信データの両方に対して生成することができる。
Signature generation uses a private key to generate a digital signature; signature verification uses a public key that corresponds to but is not the same as the private key. Each signatory possesses a private and public key pair. Public keys may be known by the public; private keys must be kept secret. Anyone can verify the signature by employing the signatory’s public key. Only the user that possesses the private key can perform signature generation.  署名の生成には秘密鍵を使用し、署名の検証には秘密鍵に対応する公開鍵を使用するが、秘密鍵とは同一ではない。各署名者は、秘密鍵と公開鍵のペアを所有する。公開鍵は一般に知られてもよいが、秘密鍵は秘密にしなければならない。誰でも署名者の公開鍵を用いて署名を検証することができる。署名の生成は、秘密鍵を所有するユーザのみが行うことができる。
A hash function is often used in the signature generation process to obtain a condensed version of the data to be signed; the condensed version of the data is often called a message digest. The message digest is input to the digital signature algorithm to generate the digital signature. The hash functions to be used are specified in FIPS 180, Secure Hash Standard (SHS), and FIPS 202, SHA3: Permutation-Based Hash and Extendable-Output Functions. FIPS-approved digital signature algorithms shall be used with appropriate approved functions (e.g., hash functions such as those specified in FIPS 180 or FIPS 202).  署名生成の過程では、署名するデータの縮約版を得るためにハッシュ関数がよく使われる。データの縮約版は、しばしばメッセージダイジェストと呼ばれる。メッセージダイジェストは、電子署名を生成するための電子署名アルゴリズムに入力される。使用されるハッシュ関数は、FIPS 180「セキュア・ハッシュ・スタンダード(SHS)」および FIPS 202「SHA3:並べ換えベースのハッシュおよび拡張可能出力関数」に規定されている。FIPS承認デジタル署名アルゴリズムは、適切な承認関数(例えば、FIPS 180またはFIPS 202に規定されるようなハッシュ関数)とともに使用されるものとする。
The digital signature is provided to the intended verifier along with the signed data. The verifying entity verifies the signature by using the claimed signatory’s public key and the same hash function that was used to generate the signature. Similar procedures may be used to generate and verify signatures for both stored and transmitted data.  デジタル署名は、署名されたデータとともに、意図された検証者に提供される。検証者は、署名者の公開鍵および署名の生成に使用されたものと同じハッシュ関数を使用して署名を検証する。同様の手順で、保存データおよび送信データの両方について署名を生成し、検証することができる。
This standard supersedes FIPS 186-4. In the future, additional digital signature schemes may be specified and approved in FIPS publications or in NIST Special Publications.  本標準はFIPS186-4に取って代わるものである。将来、追加の電子署名方式がFIPS出版物またはNIST特別出版物で規定され承認されるかもしれない。
4.     Approving Authority: Secretary of Commerce.  4. 承認者:商務長官 
5.     Maintenance Agency: Department of Commerce, National Institute of Standards and Technology, Information Technology Laboratory, Computer Security Division.  5. 保守機関:商務省、国立標準技術研究所、情報技術研究所、コンピュータセキュリティセクター。
6.     Applicability: This standard is applicable to all federal departments and agencies for the protection of sensitive unclassified information that is not subject to section 2315 of Title 10, United States Code, or section 3502 (2) of Title 44, United States Code. This standard shall be used in designing and implementing public key-based signature systems that federal departments and agencies operate or that are operated for them under contract. The adoption and use of this standard are available to private and commercial organizations.  6. 適用範囲:本標準は、米国コード第 10 編第 2315 条または米国コード第 44 編第 3502 条(2)に該当しない非分類 の機密情報を保護するために、すべての連邦省庁に適用されるものである。本標準は、連邦省庁が運用する、または契約に基づいて運用される公開鍵ベースの署名システムの設計および実装に使用されるものとする。本標準の採用および使用は、民間および商業組織にも可能である。
7.     Applications: A digital signature algorithm allows an entity to authenticate the integrity of signed data and the identity of the signatory. The recipient of a signed message can use a digital signature as evidence in demonstrating to a third party that the signature was, in fact, generated by the claimed signatory. This is known as non-repudiation since the signatory cannot easily repudiate the signature at a later time. A digital signature algorithm is intended for use in electronic mail, electronic funds transfer, electronic data interchange, software distribution, data storage, and other applications that require data integrity assurance and data origin authentication.   7. アプリケーション:デジタル署名アルゴリズムにより、エンティティは、署名されたデータの完全性と署名者の身元を認証することができる。署名されたメッセージの取得者は、署名が実際に主張された署名者によって生成されたことを第三者に証明するための証拠として、デジタル署名を使用することができる。これは、署名者が後で簡単に署名を否認することができないため、否認防止として知られている。電子署名アルゴリズムは、電子メール、電子送金、電子データ交換、ソフトウェア配布、データ保存など、データの完全性保証や本人認証が必要なアプリケーションでの利用を想定している。 
8.     Implementations: A digital signature algorithm may be implemented in software, firmware, hardware, or any combination thereof. NIST has developed a validation program to test implementations for conformance to the algorithms in this standard. Information about the validation program is available at [web]. Examples for each digital signature algorithm are available at [web] 8. 実装:デジタル署名アルゴリズムは、ソフトウェア、ファームウェア、ハードウェア、またはそれらの任意の組み合わせで実装することができる。NISTは、本標準のアルゴリズムに準拠した実装をテストするために、検証プログラムを開発した。検証プログラムに関する情報は、[web] で入手可能である。各デジタル署名アルゴリズムの例は、 [web] で入手可能である。
Agencies are advised that digital signature key pairs shall not be used for other purposes.  各機関は、電子署名の鍵ペアを他の目的に使用してはならないことを推奨事項される。
9.     Other Approved Security Functions: Digital signature implementations that comply with this standard shall employ cryptographic algorithms, cryptographic key generation algorithms, and key establishment techniques that have been approved for protecting Federal Governmentsensitive information. Approved cryptographic algorithms and techniques include those that are either:  9. その他の承認されたセキュリティ機能:本標準に準拠するデジタル署名の実装は、連邦政府の機密情報を保護するために承認された暗号アル ゴリズム、暗号鍵生成アルゴリズム、および鍵確立技術を使用するものとする。承認された暗号アルゴリズムおよび技術には、以下のいずれかが含まれる。
a.     Specified in a Federal Information Processing Standards Publication (FIPS),  a. 連邦情報処理標準出版物(FIPS)に明記されているもの。
b.     Adopted in a FIPS or NIST recommendation, or  b. FIPS または NIST の推奨事項に採用されているもの、または 
c.     Specified in the list of approved security functions for FIPS 140-3.  c. FIPS 140-3 の承認されたセキュリティ機能のリストに明記されていること。
10.  Export Control: Certain cryptographic devices and technical data regarding them are subject to federal export controls. Exports of cryptographic modules implementing this standard and technical data regarding them must comply with these federal regulations and be licensed by the Bureau of Industry and Security of the U.S. Department of Commerce. Information about export regulations is available at: [web] .   10. 輸出管理:特定の暗号装置およびそれに関する技術データは、連邦輸出規制の対象となる。本標準を実装した暗号モジュールおよびその技術データの輸出は、これらの連邦規制を遵守し、米 国商務省産業安全保障局からライセンスを取得する必要がある。輸出規制に関する情報は,[web] で入手可能である。 
11.  Patents: The algorithms in this standard may be covered by U.S. or foreign patents.  11. 特許:本標準標準のアルゴリズムは,米国または外国の特許で保護されている場合がある。
12.  Implementation Schedule: This standard becomes effective immediately upon final publication. To facilitate a transition to FIPS 186-5, FIPS 186-4 remains in effect for a period of one year following the publication of this standard, after which FIPS 186-4 will be withdrawn. During this period, agencies may elect to use cryptographic modules and practices that conform to this standard, or may elect to continue to use FIPS 186-4.  The implementation schedule for cryptographic modules undergoing validation through the Cryptographic Module Validation Program will be posted on NIST’s webpage at [web] under Notices.    12. 実施予定:本標準は、最終発行後直ちに発効する。FIPS 186-5 への移行を促進するため、FIPS 186-4 は本標準の発行後 1 年間有効であり、その後 FIPS 186-4 は廃止される予定である。この期間中、機関は本標準に準拠した暗号モジュールおよびプラクティスを使用することを選択することも、FIPS 186-4を引き続き使用することを選択することも可能である。 暗号モジュール検証プログラムを通じて検証中の暗号モジュールの実装スケジュールは、NIST の Web ページ [web] の「Notices」に掲載される予定である。  
13.  Specifications: Federal Information Processing Standard (FIPS) 186-5 Digital Signature Standard (affixed).  13. 仕様:連邦情報処理標準(FIPS) 186-5 デジタル署名標準(貼付)。
14.  Qualifications: The security of a digital signature system is dependent on maintaining the secrecy of the signatory’s private keys. Signatories shall, therefore, guard against the disclosure of their private keys. While it is the intent of this standard to specify general security requirements for generating digital signatures, conformance to this standard does not ensure that a particular implementation is secure. It is the responsibility of an implementer to ensure that any module that implements a digital signature capability is designed and built in a secure manner.  14. 資格:電子署名システムのセキュリティは、署名者の秘密鍵の機密性を維持することに依存する。したがって、署名者は自身の秘密鍵の漏洩を防がなければならない。本標準は、電子署名の生成に関する一般的なセキュリティ要件を規定することを意図しているが、 本標準に準拠することは、特定の実装が安全であることを保証するものではない。電子署名機能を実装するモジュールが安全な方法で設計、構築されていることを確認するのは、実装者の責任である。
Similarly, the use of a product containing an implementation that conforms to this standard does not guarantee the security of the overall system in which the product is used. The responsible authority in each agency or department shall ensure that an overall implementation provides an acceptable level of security.    同様に、本標準に準拠した実装を含む製品の使用は、その製品が使用されるシステム全体の安全性を保証するものではない。各機関または部署の責任者は、全体的な実装が許容可能なレベルのセキュリティを提供することを保証しなければならない。  
Since a standard of this nature must be flexible enough to adapt to advancements and innovations in science and technology, this standard will be reviewed every five years in order to assess its adequacy.  この種の標準は、科学技術の進歩や革新に対応できる柔軟性が必要であるため、本標準はその妥当性を評価するために 5 年ごとに見直される予定である。
15.  Waiver Procedure: The Federal Information Security Management Act (FISMA) does not allow for waivers to Federal Information Processing Standards (FIPS) that are made mandatory by the Secretary of Commerce.  15. 適用除外の手続き:連邦情報セキュリティ管理法(FISMA)は、商務長官によって強制される連邦情報処理標準(FIPS)に対する免除を認めていない。
16.  Where to Obtain Copies of the Standard: This publication is available by accessing [web] . Other computer security publications are available at the same website.  16. 標準のコピー入手先:この出版物は、[web] にアクセスすることで入手できる。その他のコンピュータセキュリティに関する出版物も同ウェブサイトで入手可能である。
17.  How to Cite this Publication: NIST has assigned NIST FIPS 186-5 as the publication identifier for this FIPS, per the NIST Technical Series Publication Identifier Syntax. NIST recommends that it be cited as follows:   17. この出版物を引用する方法:NISTは、NIST Technical Series Publication Identifier Syntaxに従い、本FIPSの出版物識別子としてNIST FIPS 186-5を割り当てている。NIST は、以下のように引用することを推奨している。 
National Institute of Standards and Technology (2023) Digital Signature Standard (DSS). (Department of Commerce, Washington, D.C.), Federal Information Processing Standards Publication (FIPS) NIST FIPS 186-5. [web]   米国国立標準技術研究所(2023)デジタル署名標準(DSS). (Department of Commerce, Washington, D.C.), Federal Information Processing Standards Publication (FIPS) NIST FIPS 186-5。[web] 。 
18.  Inquiries and comments: Inquiries and comments about this FIPS may be submitted to [mail] 18. 問い合わせ、意見:本FIPSに関するお問い合わせやご意見は、[mail]

 

目次...

1. INTRODUCTION 1. 序文
2. GLOSSARY OF TERMS, ACRONYMS, AND MATHEMATICAL SYMBOLS 2. 用語、頭字語、数学記号の用語集
2.1 TERMS AND DEFINITIONS 2.1 用語と定義
2.2 ACRONYMS 2.2 頭字語
2.3 MATHEMATICAL SYMBOLS 2.3 数学的シンボル
3. GENERAL DISCUSSION 3. 総論
3.1 INITIAL SETUP 3.1 初期設定
3.2 DIGITAL SIGNATURE GENERATION 3.2 デジタル署名の生成
3.3 DIGITAL SIGNATURE VERIFICATION AND VALIDATION 3.3 デジタル署名の検証と妥当性確認
4 THE DIGITAL SIGNATURE ALGORITHM (DSA) 4 デジタル署名アルゴリズム(DSA)
5. THE RSA DIGITAL SIGNATURE ALGORITHM 5. RSA 電子署名アルゴリズム
5.1 RSA KEY PAIR GENERATION 5.1 RSA 鍵ペアの生成
5.2 RSA KEY PAIR MANAGEMENT 5.2 RSA 鍵ペアの管理
5.3 ASSURANCES 5.3 保証
5.4  PKCS #1 5.4 PKCS #1
5.4.1  Mask Generation Functions in RSASSA-PSS 5.4.1 RSASSA-PSSにおけるマスク生成機能
6. THE ELLIPTIC CURVE DIGITAL SIGNATURE ALGORITHM (ECDSA) 6. 楕円曲線デジタル署名アルゴリズム(ECDSA)
6.1 ECDSA DOMAIN PARAMETERS 6.1 ECDSAドメインパラメータ
6.1.1 Domain Parameter Generation 6.1.1 ドメインパラメータの生成
6.1.2  Domain Parameter Management 6.1.2 ドメインパラメータ管理
6.2 PRIVATE/PUBLIC KEYS 6.2 秘密鍵/公開鍵
6.2.1 Key Pair Generation 6.2.1 鍵ペアの生成
6.2.2  Key Pair Management 6.2.2 鍵ペアの管理
6.3 ECDSA PER-MESSAGE SECRET NUMBER GENERATION 6.3 ECDSAメッセージ毎の秘密番号の生成
6.3.1 Generation of Per-Message Secret Number for ECDSA 6.3.1 ECDSA のメッセージ毎の秘密番号の生成
6.3.2  Generation of the Per-Message Secret Number for Deterministic ECDSA 6.3.2 決定論的ECDSAのメッセージ単位の秘密番号の生成
6.4 ECDSA DIGITAL SIGNATURE GENERATION AND VERIFICATION 6.4 ECDSA電子署名の生成と検証
6.4.1 ECDSA Signature Generation Algorithm 6.4.1 ECDSA署名生成アルゴリズム
6.4.2 ECDSA Signature Verification Algorithm 6.4.2 ECDSA署名の検証アルゴリズム
6.5 ASSURANCES 6.5 保証
7. THE EDWARDS-CURVE DIGITAL SIGNATURE ALGORITHM (EDDSA) 7. エドワーズ曲線電子署名アルゴリズム(EDDSA)
7.1 EDDSA PARAMETERS 7.1 EDDSAのパラメータ
7.2 ENCODING 7.2 暗号化
7.3 DECODING 7.3 復号
7.4 EDDSA KEY PAIR GENERATION 7.4 EDDSA鍵ペアの生成
7.5 KEY PAIR MANAGEMENT 7.5 鍵ペアの管理
7.6 EDDSA SIGNATURE GENERATION 7.6 EDDSA署名生成
7.7 EDDSA SIGNATURE VERIFICATION 7.7 EDDSA署名検証
7.8 THE PREHASH EDWARDS-CURVE DIGITAL SIGNATURE ALGORITHM (HASHEDDSA) 7.8 プリハッシュエドワード曲線電子署名アルゴリズム(HASHEDDSA)
7.8.1 HashEdDSA Signature Generation 7.8.1 HashEdDSA署名の生成
7.8.2 HashEdDSA Signature Verification 7.8.2 HashEdDSA署名の検証
7.8.3   Differences between EdDSA and HashEdDSA 7.8.3 EdDSAとHashEdDSAの相違点
APPENDIX A: KEY PAIR GENERATION 附属書A:鍵ペアの生成
A.1  IFC KEY PAIR GENERATION A.1 IFC鍵ペアの生成
A.1.1 Criteria for IFC Key Pairs A.1.1 IFC鍵ペアの基準
A.1.2 Generation of Random Primes that are Provably Prime A.1.2 証明可能素数を持つランダム素数の生成
A.1.3 Generation of Random Primes that are Probably Prime A.1.3 確率的素数であるランダム素数の生成
A.1.4 Generation of Provable Primes with Conditions Based on Auxiliary Provable Primes A.1.4 補助証明可能素数に基づく条件付き証明可能素数の生成
A.1.5 Generation of Probable Primes with Conditions Based on Auxiliary Provable Primes A.1.5 補助証明可能素数に基づく条件付き確率的素数の生成
A.1.6 Generation of Probable Primes with Conditions Based on Auxiliary Probable Primes A.1.6 補助確率素数に基づく条件付き確率的素数の生成
A.2  ECC KEY PAIR GENERATION A.2 ECC鍵ペアの生成
A.2.1 ECDSA Key Pair Generation using Extra Random Bits A.2.1 追加ランダムビットを用いたECDSA鍵ペアの生成
A.2.2 ECDSA Key Pair Generation by Rejection Sampling A.2.2 Rejection SamplingによるECDSA鍵ペアの生成
A.2.3 EdDSA Key Pair Generation A.2.3 EdDSA鍵ペアの生成
A.3  ECDSA PER-MESSAGE SECRET NUMBER GENERATION A.3 ECDSAのメッセージ単位の秘密番号の生成
A.3.1 Per-Message Secret Number Generation Using Extra Random Bits A.3.1 余分なランダムビットを用いたメッセージ単位の秘密番号の生成
A.3.2 Per-Message Secret Number Generation of Private Keys by Rejection Sampling A.3.2 拒絶サンプリングによる秘密鍵のメッセージ毎秘密番号生成法
A.3.3 Per-Message Secret Number Generation for Deterministic ECDSA A.3.3 決定論的ECDSAのメッセージ単位の秘密番号生成法
A.4  RANDOM VALUES MOD N A.4 ランダム値 mod n
A.4.1 Conversion of a Bit String to an Integer mod n via Modular Reduction A.4.1 Modular Reductionによるビット列の整数への変換 mod n
A.4.2 Conversion of a Bit String to an Integer mod n via the Discard Method A.4.2 捨象法によるビット列から整数 mod n への変換
APPENDIX B: GENERATION OF OTHER QUANTITIES 附属書B: その他の量の生成
B.1 COMPUTATION OF THE INVERSE VALUE B.1 逆数値の計算
B.2 CONVERSION BETWEEN BIT STRINGS, INTEGERS, AND OCTET STRINGS B.2 ビット文字列、整数、オクテット文字列間の変換
B.2.1 Conversion of a Bit String to an Integer B.2.1 ビット文字列から整数への変換
B.2.2 Conversion of an Integer to a Bit String B.2.2 整数からビット列への変換
B.2.3 Conversion of an Integer to an Octet String B.2.3 整数からオクテット文字列への変換
B.2.4 Conversion of a Bit String to an Octet String B.2.4 ビット文字列からオクテット文字列への変換
B.3  PROBABILISTIC PRIMALITY TESTS B.3 確率的プライマリティ検定
B.3.1 Miller-Rabin Probabilistic Primality Test B.3.1 ミラー・ラビン確率的一次性検定
B.3.2 Enhanced Miller-Rabin Probabilistic Primality Test B.3.2 拡張ミラー・ラビン確率的一次性検定
B.3.3 (General) Lucas Probabilistic Primality Test B.3.3 (一般) ルーカス確率的一次性検定
B.4 CHECKING FOR A PERFECT SQUARE B.4 完全正方形の確認
B.5 JACOBI SYMBOL ALGORITHM B.5 ヤコビ記号アルゴリズム
B.6 SHAWE-TAYLOR RANDOM_PRIME ROUTINE B.6 Shawe-Taylorのrandom_primeルーチン
B.7 TRIAL DIVISION B.7 試行分割
B.8 SIEVE PROCEDURE b.8 ふるい分け手順
B.9 COMPUTE A PROBABLE PRIME FACTOR BASED ON AUXILIARY PRIMES B.9 補助素数に基づく確率的素因数の計算
B.10 CONSTRUCT A PROVABLE PRIME (POSSIBLY WITH CONDITIONS) BASED ON CONTEMPORANEOUSLY CONSTRUCTED AUXILIARY PROVABLE PRIMES B.10 同時期に作られた証明可能な補助素数に基づいて証明可能な素数を作る (場合によっては条件付き)
APPENDIX C: CALCULATING THE REQUIRED NUMBER OF ROUNDS OF TESTING USING THE MILLER-RABIN PROBABILISTIC PRIMALITY TEST 附属書C:Miller-Rabin確率的素質判定を用いたテストの必要ラウンド数の計算
C.1 THE REQUIRED NUMBER OF ROUNDS OF THE MILLER-RABIN PRIMALITY TESTS C.1 ミラー・ラビン原始性検定の必要ラウンド数
C.2 GENERATING PRIMES FOR RSA SIGNATURES C.2 RSA署名のための素数の生成
APPENDIX D: REFERENCES 附属書D: 参考文献
APPENDIX E: REVISIONS (INFORMATIVE) 附属書E:改訂版(情報提供)

 

 

 

| | Comments (0)

NIST NISTIR 8323 Rev. 1 基礎的なPNTプロファイル:測位・航法・計時(PNT)サービスの責任ある使用のためのサイバーセキュリティ・フレームワークの適用 (2023.01.31)

こんにちは、丸山満彦です。

NISTが、「NISTIR 8323 Rev. 1 基礎的なPNTプロファイル:測位・航法・計時(PNT)サービスの責任ある使用のためのサイバーセキュリティ・フレームワークの適用」を公表していましたね。。。昨年6月末にパブコメに出されてたものがまとまったという感じですかね。。。

これは、大統領令 13905 「測位・航法・計時サービスの責任ある使用による国家レジリエンスの強化により、5年以内の見直しが求められているわけですが、その見直しという感じですかね。。。

NIST - ITL

ニュース

・2023.01.31 NIST Revises the Foundational PNT Profile for Positioning, Navigation, and Timing (PNT) Services: NIST IR 8323r1

NIST Revises the Foundational PNT Profile for Positioning, Navigation, and Timing (PNT) Services: NIST IR 8323r1 NISTは測位・航法・計時(PNT)サービスのための基礎的なPNTプロファイルを改訂。NIST IR 8323r1
Today, NIST is publishing NIST IR 8323r1, Foundational PNT Profile: Applying the Cybersecurity Framework for the Responsible Use of Positioning, Navigation, and Timing (PNT) Services. This revises the original Foundational PNT Profile that was released in February 2021. 本日、NISTは、NIST IR 8323r1「基礎的なPNTプロファイル」を発行します。測位・航法・計時(PNT)サービスの責任ある使用のためのサイバーセキュリティ・フレームワークの適用」を発行した。これは、2021年2月にリリースされたオリジナルの基礎的なPNTプロファイルを改訂するものである。
This project is part of NIST’s response to the February 12, 2020, Executive Order (EO) 13905, Strengthening National Resilience Through Responsible Use of Positioning, Navigation, and Timing Services. The EO notes that “the widespread adoption of PNT services means disruption or manipulation of these services could adversely affect U.S. national and economic security. To strengthen national resilience, the Federal Government must foster the responsible use of PNT services by critical infrastructure owners and operators.” The Order also calls for updates to the profile every two years or on an as-needed basis. このプロジェクトは、2020年2月12日の大統領令(EO)13905「測位・航法・計時サービスの責任ある使用による国家レジリエンスの強化」へのNISTの対応の一部である。 EOは、PNTサービスが広く採用されていることは、これらのサービスの中断や操作が米国の国家および経済の安全保障に悪影響を及ぼす可能性があることを意味する」と指摘している。国家のレジリエンスを強化するために、連邦政府は、重要なインフラの所有者とオペレータによるPNTサービスの責任ある使用を促進しなければならない。また、この命令は、2年ごとまたは必要に応じてプロファイルを更新することを求めている。
Based on NIST’s interaction with public and private sector stakeholders and their efforts to create “sector-specific” profiles, it was decided to create Revision 1. NISTは、公共および民間セクターの利害関係者との交流と、「セクター別」プロファイルを作成するための努力に基づき、改訂第1版を作成することを決定した。
No substantive changes were made to the original Foundational PNT Profile; NIST only sought comments on the changes made in this revision. Among the most noteworthy are: オリジナルのFoundational PNT Profileに実質的な変更はなく、NISTはこの改訂版での変更点についてのみコメントを求めている。中でも注目すべきは
・The addition of five new Cybersecurity Framework (CSF) subcategories ・サイバーセキュリティフレームワーク(CSF)のサブカテゴリを新たに5つ追加したこと
・The addition of two appendices; Appendix D; Applying the PNT Profile to Cybersecurity Risk Management, and Appendix E; Organization Specific PNT Profiles. ・附属書D「サイバーセキュリティリスクマネジメントへのPNTプロファイルの適用」と附属書E「組織固有のPNTプロファイル」を追加したこと。
See the publication details for a copy of the profile and link to the comments received. All revision 1 changes are captured in Table 26: “Change Log” for easy reference to reviewers. プロファイルのコピーと寄せられたコメントへのリンクは、出版物の詳細を参照のこと。改訂1のすべての変更点は、表26にまとめられている。「変更履歴」は、査読者が容易に参照できるようにするためである。
RELATED TOPICS 関連するトピック
Security and Privacy: general security & privacy, risk management セキュリティとプライバシー: 一般的なセキュリティとプライバシー、リスクマネジメント
Applications: cybersecurity framework, positioning navigation & timing アプリケーション:サイバーセキュリティフレームワーク、測位・航法・計時
Laws and Regulations: Executive Order 13905 法律と規制 大統領令13905
RELATED PAGES 関連ページ
News Item: NIST IR 8323r1 ipd Available for Comment ニュースアイテム:NIST IR 8323r1 ipd コメント募集中

 

 

 ・2023.01.31 NISTIR 8323 Rev. 1 Foundational PNT Profile: Applying the Cybersecurity Framework for the Responsible Use of Positioning, Navigation, and Timing (PNT) Services

NISTIR 8323 Rev. 1 Foundational PNT Profile: Applying the Cybersecurity Framework for the Responsible Use of Positioning, Navigation, and Timing (PNT) Services NISTIR 8323 Rev. 1 基礎的なPNTプロファイル:測位・航法・計時(PNT)サービスの責任ある使用のためのサイバーセキュリティ・フレームワークの適用
Abstract 概要
The national and economic security of the United States (U.S.) is dependent upon the reliable functioning of the nation’s critical infrastructure. Positioning, Navigation, and Timing (PNT) services are widely deployed throughout this infrastructure. In a government-wide effort to mitigate the potential impacts of a PNT disruption or manipulation, Executive Order (EO) 13905, Strengthening National Resilience Through Responsible Use of Positioning, Navigation and Timing Services, was issued on February 12, 2020. The National Institute of Standards and Technology (NIST), as part of the Department of Commerce (DoC), produced this voluntary PNT Profile in response to Sec.4 Implementation (a), as detailed in the EO. The PNT Profile was created by using the NIST Cybersecurity Framework and can be used as part of a risk management program to help organizations manage risks to systems, networks, and assets that use PNT services. The PNT Profile is intended to be broadly applicable and can serve as a foundation for the development of sector-specific guidance. This PNT Profile provides a flexible framework for users of PNT to manage risks when forming and using PNT signals and data, which are susceptible to disruptions and manipulations that can be natural, manufactured, intentional, or unintentional. 米国(U.S.)の国家および経済の安全保障は、国家の重要なインフラストラクチャが確実に機能することに依存している。測位・航法・計時(PNT)サービスは、このインフラ全体に広く展開されている。PNTの中断や操作による潜在的な影響を軽減するための政府全体の取り組みとして、2020年2月12日に大統領令(EO)13905「測位・航法・計時サービスの責任ある使用による国家レジリエンスの強化」が発令された。商務省(DoC)の一部である国立標準技術研究所(NIST)は、EOに詳述されている Sec.4 Implementation (a) に対応して、この任意のPNTプロファイルを作成した。PNTプロファイルは、NISTサイバーセキュリティフレームワークを使用して作成され、組織がPNTサービスを使用するシステム、ネットワーク、および資産に対するリスクを管理するためのリスクマネジメントプログラムの一部として使用することができる。PNTプロファイルは、広く適用されることを意図しており、セクター固有のガイダンスを開発するための基礎として機能することができる。このPNTプロファイルは、PNTの利用者が、自然、製造、意図的、または意図的でない混乱や操作の影響を受けやすいPNT信号とデータを形成し、使用する際のリスクを管理するための柔軟な枠組みを提供する。

 

報告書

・[PDF

20230203-225103

 

エグゼクティブサマリー

 

Executive Summary  エグゼクティブサマリー 
Executive Order 13905, Strengthening National Resilience Through Responsible Use of Positioning, Navigation, and Timing (PNT) Services, was issued on February 12, 2020 [EO13905]. It seeks to protect the national and economic security of the United States from the disruption or manipulation of systems that form or use PNT data and information vital to the functioning of U.S. critical infrastructure and technology-based industries. The Executive Order (EO) directs the Department of Commerce to develop a PNT Profile that will address the four components of responsible use of PNT, as stated in the EO:  大統領令13905「測位・航法・計時(PNT)サービスの責任ある利用による国家レジリエンスの強化」は、2020年2月12日に発令された[EO13905]。これは、米国の重要インフラや技術系産業の機能に不可欠なPNTデータおよび情報を形成または使用するシステムの混乱や操作から、米国の国家および経済の安全を保護することを目的としている。この大統領令(EO)は、商務省に、EOに記載されているPNTの責任ある使用の4つの要素に対応するPNTプロファイルを開発するよう指示している。
1.     Identify systems that use or form PNT data.  1.     PNTデータを使用または形成するシステムを特定する。
2.     Identify PNT data sources.  2.     PNTデータソースを特定する。
3.     Detect disruption and manipulation of the systems that form or use PNT services and data.  3.     PNT サービスとデータを形成または使用するシステムの混乱と操作を検出する。
4.     Manage risk regarding responsible use of these systems.  4.     これらのシステムの責任ある使用に関するリスクをマネジメントする。
The PNT Profile provides a flexible framework for users of PNT services to manage risks when forming or using PNT signals or data, which are susceptible to disruptions and manipulations that can be natural, manufactured, intentional, or unintentional. It was created by applying the NIST Cybersecurity Framework (CSF) [NIST-CSF] and can be applied to all organizations that use PNT services, irrespective of the level of familiarity or knowledge that they have with the NIST CSF. Organizations that have fully or partially adopted, or who have not adopted the NIST CSF can benefit.  PNTプロファイルは、PNTサービスの利用者がPNT信号やデータを形成または使用する際のリスクを管理するための柔軟な枠組みを提供するもので、自然、製造、意図的、または非意図的な混乱や操作の影響を受けやすい。これは、NISTサイバーセキュリティ・フレームワーク(CSF)[NIST-CSF]を適用して作成され、NIST CSFへの親しみや知識のレベルに関係なく、PNTサービスを使用するすべての組織に適用することができる。NIST CSFを全面的または部分的に採用している組織、あるいは採用していない組織も恩恵を受けることができる。
The PNT Profile is voluntary and does not: constitute regulations, define mandatory practices, provide a checklist for compliance, or carry statutory authority. It is intended to be a foundational set of guidelines. Sector-specific agencies (SSAs) and entities may wish to augment or further develop their own PNT cybersecurity efforts via full or partial implementation of the recommended practices in this document. Any implementation of its recommendations will not necessarily protect organizations from all PNT disruption or manipulation. Each organization is encouraged to make their risk management decisions in the context of their own cyber ecosystem, architecture, and components. The PNT Profile’s strategic focus is to supplement preexisting resilience measures and elevate the postures of less mature initiatives.  PNTプロファイルは任意であり、規制を構成するものでも、必須の業務を定義するものでも、準拠のためのチェックリストを提供するものでも、法的権限を有するものでもない。これは、基礎となる一連のガイドラインとなることを意図している。セクター別機関(SSA)および事業体は、本文書の推奨事項の全部または一部を実施することにより、自らのPNTサイバーセキュリティの取り組みを補強し、またはさらに発展させることを希望することができる。この推奨事項を実施しても、必ずしもすべてのPNTの破壊や操作から組織を保護することはできない。各組織は、自らのサイバーエコシステム、アーキテクチャ、構成要素との関連において、リスクマネジメントの決定を行うことが推奨される。PNTプロファイルの戦略的な焦点は、既存のレジリエンス対策を補完し、成熟度の低い取り組みの姿勢を向上させることにある。

 

目次...

Executive Summary エグゼクティブサマリー
1. Introduction 1. 序文
1.1. Purpose and Objectives 1.1. 目的及び目標
1.2. Scope 1.2. 対象範囲
1.3. Audience 1.3. 対象者
2. Intended Use 2. 使用目的
3. Overview 3. 概要
3.1. Risk Management Overview 3.1. リスクマネジメントの概要
3.2. Cybersecurity Framework Overview 3.2. サイバーセキュリティフレームワークの概要
4 The PNT Profile 4 PNTプロファイル
4.1. Identify Function 4.1. 識別機能
 4.1.1. Asset Management Category  4.1.1. 資産管理カテゴリ
 4.1.2. Business Environment Category  4.1.2. 事業環境カテゴリー
 4.1.3. Governance Category  4.1.3. ガバナンス・カテゴリー
 4.1.4. Risk Assessment Category  4.1.4. リスクアセスメント・カテゴリー
 4.1.5. Risk Management Strategy  4.1.5. リスクマネジメント戦略
 4.1.6. Supply Chain Risk Management Category  4.1.6. サプライチェーンリスクマネジメント・カテゴリー
4.2. Protect Function 4.2. 防御機能
 4.2.1. Access Control Category  4.2.1. アクセス制御カテゴリ
 4.2.2. Awareness and Training Category  4.2.2. 意識向上及びトレーニング・カテゴリー
 4.2.3. Data Security Category  4.2.3. データセキュリティ・カテゴリー
 4.2.4. Information Protection Processes and Procedures Category  4.2.4. 情報を保護するためのプロセス及び手順カテゴリー
 4.2.5. Maintenance Category  4.2.5. 保守カテゴリ
 4.2.6. Protective Technology Category  4.2.6. 保護技術カテゴリー
4.3. Detect Function 4.3. 検知機能
 4.3.1. Anomalies and Events Category  4.3.1. 異常とイベント・カテゴリー
 4.3.2. Security Continuous Monitoring Category  4.3.2. セキュリティの継続的なモニタリング・カテゴリ
 4.3.3. Detection Processes Category  4.3.3. 検知プロセス・カテゴリー
4.4. Respond Function 4.4. 対応機能
 4.4.1. Response Planning Category  4.4.1. 対応計画カテゴリー
 4.4.2. Communications Category  4.4.2. コミュニケーション・カテゴリー
 4.4.3. Analysis Category  4.4.3. 分析カテゴリー
 4.4.4. Mitigation Category  4.4.4. 低減カテゴリー
 4.4.5. Improvements Category  4.4.5. 改善カテゴリー
3.4. Recover Function 3.4. 復旧機能
 4.5.1. Recovery Planning Category  4.5.1. 復旧計画カテゴリー
 4.5.2. Improvements Category  4.5.2. 改善カテゴリー
 4.5.3. Communications Category  4.5.3. コミュニケーション・カテゴリー
References 参考文献
Appendix A. Selected Bibliography 附属書A. 主な参考文献
Appendix B. List of Symbols, Abbreviations, and Acronyms 附属書B. 記号・略語・頭字語の一覧表
Appendix C. Glossary 附属書C. 用語集
Appendix D. Applying the PNT Profile to Cybersecurity Risk Management 附属書D. PNTプロファイルのサイバーセキュリティリスクマネジメントへの適用
Appendix E. Organization-Specific PNT Profiles 附属書E.組織別PNTプロファイル
Appendix F. Change Log 附属書F. 変更履歴

 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.07.06 NISTIR 8323 Rev. 1 (ドラフト) 基礎的な PNT プロファイル:測位・航法・計時(PNT)サービスの責任ある使用のためのサイバーセキュリティフレームワークの適用 (2022.06.29)

 

・2021.02.13 NIST NISTIR 8323 基本的なPNTプロファイル:測位・航法・計時(PNT)サービスの責任ある使用のためのサイバーセキュリティフレームワークの適用

・2020.10.23 NISTが測位・航法・計時(PNT)に関連するサービスに関連したセキュリティプロファイルに関する文書(NISTIR 8323)のパブコメを募集していますね。

 

 

| | Comments (0)

2023.02.03

米国 インド 重要な新技術に関するイニシアティブの設立についての発表 (2023.01.31)

こんにちは、丸山満彦です。

米国のホワイトハウスが、重要な新技術に関するイニシアチブ(initiative on Critical and Emerging Technology; iCET)の設立についての発表をしていましたね。

今年中にも、インドの人口は中国の人口を抜きそうですね。。。一人当たりのGDPがまだまだ高くはないので、経済大国になるポテンシャルはあるかもですね。。。

インド市場を考えている米国ですよね。。。うまくいきますかね。。。

White House

・2023.01.23 FACT SHEET: United States and India Elevate Strategic Partnership with the initiative on Critical and Emerging Technology (iCET)

 

FACT SHEET: United States and India Elevate Strategic Partnership with the initiative on Critical and Emerging Technology (iCET) ファクトシート: 米国とインド、重要な新技術に関するイニシアチブ(iCET)で戦略的パートナーシップを強化
President Biden and Prime Minister Modi announced the U.S.-India initiative on Critical and Emerging Technology (iCET) in May 2022 to elevate and expand our strategic technology partnership and defense industrial cooperation between the governments, businesses, and academic institutions of our two countries.  バイデン大統領とモディ首相は2022年5月、両国の政府、企業、学術機関の間で戦略的技術パートナーシップと防衛産業協力を強化・拡大するため、「重要な新技術に関する米印イニシアチブ(iCET)」を発表した。 
The United States and India affirm that the ways in which technology is designed, developed, governed, and used should be shaped by our shared democratic values and respect for universal human rights.  We are committed to fostering an open, accessible, and secure technology ecosystem, based on mutual trust and confidence, that will reinforce our democratic values and democratic institutions.  米国とインドは、技術が設計、開発、統治、使用される方法は、我々が共有する民主的価値と普遍的人権の尊重によって形作られるべきであることを確認する。  我々は、相互の信頼と信用に基づき、民主的価値と民主的制度を強化する、オープンでアクセス可能かつ安全なテクノロジー・エコシステムを育成することにコミットしている。 
Today, the two National Security Advisors led the inaugural meeting of the iCET in Washington, DC.  They were joined on the U.S. side by the Administrator of the National Aeronautics and Space Administration, the Director of the National Science Foundation, the Executive Secretary of the National Space Council, and senior officials from the Department of State, Department of Commerce, the Department of Defense, and the National Security Council.  On the Indian side, the Ambassador of India to the United States, the Principal Scientific Advisor to the Government of India, the Chairman of the Indian Space Research Organization, the Secretary of the Department of Telecommunications, the Scientific Advisor to the Defense Minister, the Director General of the Defence Research and Development Organization, and senior officials from the Ministry of Electronics and Information Technology and the National Security Council Secretariat participated.  The two sides discussed opportunities for greater cooperation in critical and emerging technologies, co-development and coproduction, and ways to deepen connectivity across our innovation ecosystems.  They noted the value of establishing “innovation bridges” in key sectors, including through expos, hackathons, and pitch sessions.  They also identified the fields of biotechnology, advanced materials, and rare earth processing technology as areas for future cooperation.  本日、ワシントンDCで開催されたiCETの初会合では、2人の国家安全保障アドバイザーが議長を務めた。  米国側からは、米国航空宇宙局長官、米国科学財団理事、国家宇宙会議事務局長、国務省、商務省、国防総省、国家安全保障会議の高官が参加した。  インド側からは、駐米インド大使、インド政府主席科学顧問、インド宇宙研究機関会長、電気通信省長官、国防大臣科学顧問、国防研究開発機関長官、電子情報技術省、国家安全保障会議事務局の高官が参加した。  双方は、重要技術や新興技術における協力拡大の機会、共同開発・共同生産、イノベーション・エコシステム全体の接続性を深める方法について議論した。  両者は、博覧会、ハッカソン、ピッチセッションなどを通じて、主要分野で「イノベーションの架け橋」を確立することの価値を指摘した。  また、バイオテクノロジー、先端材料、レアアース加工技術などの分野を今後の協力分野と位置づけた。 
The United States and India underlined their commitment to working to resolve issues related to regulatory barriers and business and talent mobility in both countries through a standing mechanism under iCET.  This followed the January 30 roundtable hosted by the U.S.-India Business Council with U.S. Secretary of Commerce Gina Raimondo, U.S. National Security Advisor Jake Sullivan, and Indian National Security Advisor Ajit Doval, and other senior U.S. and Indian officials and brought together more than 40 CEOs, university presidents, and thought leaders from both countries to accelerate opportunities for increased technology cooperation.  米国とインドは、iCETの下での常設メカニズムを通じて、両国の規制障壁やビジネスおよび人材移動に関する問題の解決に取り組むことを強調した。  これは、1月30日に米印ビジネス協議会が主催した、ジーナ・ライモンド米商務長官、ジェイク・サリバン米国家安全保障顧問、アジット・ドバルインド国家安全保障顧問ら米印高官によるラウンドテーブルに続くもので、両国のCEO、大学学長、思想家40人以上が集まり、技術協力拡大の機会を加速させるために話し合ったものである。 
To expand and deepen our technology partnership, the United States and India are launching new bilateral initiatives and welcoming new cooperation between our governments, industry and academia in the following domains: 技術パートナーシップを拡大・深化させるため、米国とインドは新たな二国間イニシアティブを立ち上げ、以下の領域における両国政府、産業界、学界の新たな協力を歓迎している。
Strengthening our Innovation Ecosystems  イノベーション・エコシステムの強化 
・Signing a new Implementation Arrangement for a Research Agency Partnership between the National Science Foundation and Indian science agencies to expand international collaboration in a range of areas — including artificial intelligence, quantum technologies, and advanced wireless — to build a robust innovation ecosystem between our countries.  ・人工知能、量子技術、高度無線など、さまざまな分野での国際協力を拡大し、両国の間に強固なイノベーション・エコシステムを構築するため、全米科学財団とインドの科学機関との間で、研究機関パートナーシップに関する新しい実施取決めに署名する。 
・Establishing a joint Indo-U.S. Quantum Coordination Mechanism with participation from industry, academia, and government to facilitate research and industry collaboration. ・産学官の参加による印米共同の量子調整機構を設立し、研究・産業界の協力を促進する。
・Drawing from global efforts to develop common standards and benchmarks for trustworthy AI through coordinating on the development of consensus, multi-stakeholder standards, ensuring that these standards and benchmarks are aligned with democratic values. ・信頼できるAIのための共通の基準とベンチマークの開発に関する世界的な取り組みから、コンセンサスを得たマルチステークホルダー基準の開発に関する調整を行い、これらの基準とベンチマークが民主的価値と整合していることを確認する。
・Promoting collaboration on High Performance Computing (HPC), including by working with Congress to lower barriers to U.S. exports to India of HPC technology and source code. ・HPC技術やソースコードのインドへの輸出に対する米国の障壁を下げるために議会と協力するなど、ハイパフォーマンス・コンピューティング(HPC)に関する協力を推進する。
Defense Innovation and Technology Cooperation 防衛革新・技術協力
・Developing a new bilateral Defense Industrial Cooperation Roadmap to accelerate technological cooperation between both countries for the joint development and production, with an initial focus on exploring projects related to jet engines, munition related technologies, and other systems. ・ジェットエンジン、軍需関連技術、その他のシステムに関するプロジェクトの検討に初期段階から焦点を当て、共同開発・生産のための両国間の技術協力を加速させるための新しい二国間防衛産業協力ロードマップを作成する。
・Noting the United States has received an application from General Electric to jointly produce jet engines that could power jet aircraft operated and produced indigenously by India.  The United States commits to an expeditious review of this application.  ・米国がゼネラル・エレクトリック社から、インドが運航・生産するジェット機の動力源となり得るジェットエンジンの共同生産の申請を受けたことに留意する。  米国はこの申請書の迅速な審査にコミットする。 
・Enhancing long-term research and development cooperation, with a focus on identifying maritime security and intelligence surveillance reconnaissance (ISR) operational use cases. ・海洋安全保障と情報監視偵察(ISR)の運用ユースケースの特定に焦点を当てた、長期的な研究開発協力の強化。
・Launching a new “Innovation Bridge” that will connect U.S. and Indian defense startups. ・米国とインドの防衛関連の新興企業を結ぶ新しい「イノベーション・ブリッジ」を立ち上げる。
Resilient Semiconductor Supply Chains レジリエンスに優れた半導体サプライチェーン
・Enhancing bilateral collaboration on resilient semiconductor supply chains; supporting the development of a semiconductor design, manufacturing, and fabrication ecosystem in India; and leveraging complementary strengths, both countries intend to promote the development of a skilled workforce that will support global semiconductor supply chains and encourage the development of joint ventures and technology partnerships on mature technology nodes and packaging in India.      ・レジリエンス半導体サプライチェーンに関する二国間協力の強化、インドにおける半導体設計・製造・加工エコシステムの開発の支援、相互補完的な強みの活用、両国は世界の半導体サプライチェーンを支える熟練労働力の開発を促進し、インドにおける成熟技術ノードとパッケージに関するジョイントベンチャーと技術パートナーシップの開発を促進する意向である。     
・・Welcoming a task force organized by the U.S. Semiconductor Industry Association (SIA) in partnership with the India Electronics Semiconductor Association (IESA) with participation from the Government of India Semiconductor Mission to develop a “readiness assessment” to identify near-term industry opportunities and facilitate longer-term strategic development of complementary semiconductor ecosystems. ・・米国半導体産業協会(SIA)がインド電子半導体協会(IESA)と共同で、インド政府半導体ミッションの参加を得て組織したタスクフォースを歓迎し、近い将来の産業機会を特定し、補完的な半導体エコシステムの長期的戦略開発を促進する「準備状況評価」を策定すること。
・・This task force will make recommendations to the Department of Commerce and the India Semiconductor Mission on opportunities and challenges to overcome in order to further strengthen India’s role within the global semiconductor value chain, and will also provide input to the U.S.-India Commercial Dialogue.  The task force will also identify and facilitate workforce development, R&D including with respect to advanced packaging, and exchange opportunities to benefit both countries. ・・このタスクフォースは、世界の半導体バリューチェーンにおけるインドの役割をさらに強化するために克服すべき機会と課題について、商務省およびインド半導体ミッションに提言を行うとともに、米印コマーシャル・ダイアログにインプットを提供する予定である。  タスクフォースはまた、人材育成、先端パッケージングを含む研究開発、両国に利益をもたらす交流の機会を特定し、促進する予定である。
Space 宇宙
・Strengthening cooperation on human spaceflight, including establishing exchanges that will include advanced training for an Indian Space Research Organization (ISRO)/Department of Space astronaut at NASA Johnson Space Center.  ・NASAジョンソン宇宙センターでのインド宇宙研究機関(ISRO)/宇宙局の宇宙飛行士の上級訓練を含む交流の確立を含む、有人宇宙飛行に関する協力の強化。 
・Identifying innovative approaches for the commercial sectors of the two countries to collaborate, especially with respect to activities related to NASA’s Commercial Lunar Payload Services (CLPS) project. Within the next year, NASA, with ISRO, will convene U.S. CLPS companies and Indian aerospace companies to advance this initiative. ・特にNASAの商業月ペイロードサービス(CLPS)プロジェクトに関連する活動に関して、両国の商業部門が協力するための革新的なアプローチを特定すること。来年中に、NASAはISROとともに、米国のCLPS企業とインドの航空宇宙企業を招集し、このイニシアチブを推進する予定。
・Initiating new STEM talent exchanges by expanding the Professional Engineer and Scientist Exchange Program (PESEP) to include space science, Earth science, and human spaceflight and extending a standing invitation to ISRO to participate in NASA’s biannual International Program Management Course ・専門技術者・科学者交流プログラム(PESEP)を宇宙科学、地球科学、有人宇宙飛行に拡大し、ISROにNASAの年2回の国際プログラム管理コースへの参加を常時要請することにより、新しいSTEM人材交流に着手する。
・Strengthening the bilateral commercial space partnership, including through a new U.S. Department of Commerce and Indian Department of Space-led initiative under the U.S.-India Civil Space Joint Working Group.  This initiative will foster U.S.-India commercial space engagement and enable growth and partnerships between U.S. and Indian commercial space sectors. ・米印民間宇宙共同作業部会の下での米商務省およびインド宇宙省主導の新しいイニシアティブを含む、二国間の商業宇宙パートナーシップを強化する。  このイニシアティブは、米国とインドの商業宇宙への関与を促進し、米国とインドの商業宇宙分野の成長とパートナーシップを可能にするものである。
・Welcoming the visit this week by the ISRO Chairman to the United States, as well as a visit to India by the NASA Administrator later in 2023.  ・今週行われるISRO会長の訪米と、2023年後半に行われるNASA長官のインド訪問を歓迎する。 
・Expanding the agenda of the U.S.-India Civil Space Joint Working Group to include planetary defense. ・米印民間宇宙共同作業部会の議題が惑星防衛を含むように拡大すること。
Science, Technology, Engineering and Math Talent: 科学、技術、工学、数学の人材。
・Noting a new joint task force of the Association of American Universities and leading Indian educational institutions, including Indian Institutes of Technology, which will make recommendations for research and university partnerships. ・米国大学協会とインド工科大学を含むインドの主要教育機関による新しい共同タスクフォースに注目し、研究と大学のパートナーシップについて提言を行う。
Next Generation Telecommunications: 次世代テレコミュニケーション
・Launching a public-private dialogue on telecommunications and regulations. ・電気通信と規制に関する官民の対話を開始する。
・Advancing cooperation on research and development in 5G and 6G, facilitating deployment and adoption of Open RAN in India, and fostering global economies of scale within the sector. ・5Gと6Gの研究開発に関する協力を進め、インドにおけるOpen RANの展開と採用を促進し、同分野におけるグローバルな規模の経済を促進する。
The United States and India look forward to the next iCET meeting in New Delhi later in 2023. The National Security Councils of both countries will coordinate with their respective ministries, departments and agencies to work with their counterparts to advance cooperation, and to engage with stakeholders to deliver on ambitious objectives ahead of the next meeting. 米国とインドは、2023年後半にニューデリーで開催される次回のiCET会議を楽しみにしている。両国の国家安全保障会議は、それぞれの省庁の担当者と連携して協力を進め、次回の会合に向け、野心的な目標を実現するために関係者と協力していく予定である。

 

2021年の一人当たり名目GDP

順位 国・地域 USドル
7位   アメリカ 69,227.11
27位   日本 39,301.07
62位   中国 12,561.69
65位   ロシア 12,218.70
145位   インド 2,279.51

 

一人当たり名目GDPの推移

Fig1_20230203060601

一人当たり名目GDPの推移:対数

Fig2_20230203060701

 

昨日の「JNSA設立20+3周年記念イベント講演会」の講演で少し話しましたが、日本大丈夫か???という感じですよね。。。

 

データソースは、https://ecodb.net/ranking/imf_ngdpdpc.html

 

 

エクセルも...

[EXLX] 一人当たり名目GDP

 

 

 

| | Comments (0)

2023.02.02

ドイツ BSIがIT基本保護大要 (IT-Grundschutz-Kompendium) 2023年版を発行

こんにちは、丸山満彦です。

ドイツの連邦ITセキュリティ局 (Bundesamt für Sicherheit in der Informationstechnik: BSI) がIT基本保護大要2023を発行していますね。。。ちなみに2023年版はPDF版で858ページです(^^)

昔は、英語名ではIT Baseline Protection Manualといわれていたもので、2017年からはIT-Grundschutz-Kompendiumとなっています。。。毎年発行されています。。。

2022年版からの主な変更点は、以下の項目の追加のようです。。。

CON.11.1 Geheimschutz (VS-NfD) CON.11.1 秘密保持 (VS-NfD)
OPS.1.1.1 Allgemeiner IT-Betrieb OPS.1.1.1 IT業務全般
OPS.2.3 Nutzung von Outsourcing OPS.2.3 アウトソーシングの活用
OPS.3.2 Anbieten von Outsourcing OPS.3.2 アウトソーシングの提供
APP.5.4 Unified Communications und Collaboration (UCC) APP.5.4 ユニファイドコミュニケーション&コラボレーション(UCC)
SYS.1.2.3 Windows Server SYS.1.2.3 Windows Server
SYS.1.9 Terminalserver SYS.1.9 ターミナルサーバー
SYS.2.5 Client-Virtualisierung SYS.2.5 クライアント仮想化
SYS.2.6 Virtual Desktop Infrastructure SYS.2.6 仮想デスクトップインフラストラクチャー
NET.3.4 Network Access Control NET.3.4 ネットワークアクセス制御

公共部門の利用者にとって特に興味深いのは、新しいモジュールCON.11.1 セキュリティ保護 秘密保持 (VS-NfD)ということらしいです。

モジュール OPS.2.3 アウトソーシングの活用 および OPS.3.2 アウトソーシングの提供は、モジュール OPS.2.1 お客様のためのアウトソーシングおよび OPS.3.1 サービスプロバイダーのためのアウトソーシングに代わるものだそうです。

 

Bundesamt für Sicherheit in der Informationstechnik: BSI

・2023.02.01 IT-Grundschutz-Kompendium Edition 2023 erschienen

IT-Grundschutz-Kompendium – Werkzeug für Informationssicherheit

・[PDF

20230202-123423

目次

Vorwort 序文
Dankesworte 謝辞
Inhaltsverzeichnis 目次
Neues im IT-Grundschutz-Kompendium IT-Grundschutz Compendiumの新着情報
IT-Grundschutz – Basis für Informationssicherheit IT-Grundschutz - 情報セキュリティの基本
Schichtenmodell und Modellierung レイヤーモデルとモデリング
Rollen 役割
Glossar 用語集
Elementare Gefährdungen 基本的な危険
• G 0.1 Feuer ・G0.1 火災
• G 0.2 Ungünstige klimatische Bedingungen ・G0.2 悪天候
• G 0.3 Wasser ・G0.3 水
• G 0.4 Verschmutzung, Staub, Korrosion ・G0.4 汚染, 粉塵, 腐食
• G 0.5 Naturkatastrophen ・G0.5 自然災害
• G 0.6 Katastrophen im Umfeld ・G0.6 環境に関する災害
• G 0.7 Großereignisse im Umfeld ・G0.7 環境に関する主な出来事
• G 0.8 Ausfall oder Störung der Stromversorgung ・G0.8 電源の故障・中断
• G 0.9 Ausfall oder Störung von Kommunikationsnetzen ・G0.9 通信網の障害・中断
• G 0.10 Ausfall oder Störung von Versorgungsnetzen ・G0.10 供給網の障害・中断
• G 0.11 Ausfall oder Störung von Dienstleistern ・G0.11 サービスプロバイダの障害・中断
• G 0.12 Elektromagnetische Störstrahlung ・G0.12 電磁妨害
• G 0.13 Abfangen kompromittierender Strahlung ・G0.13 危険な放射線の傍受
• G 0.14 Ausspähen von Informationen (Spionage) ・G0.14 情報のスパイ行為(諜報活動)
• G 0.15 Abhören ・G0.15 盗聴
• G 0.16 Diebstahl von Geräten, Datenträgern oder Dokumenten ・G0.16 機器, データキャリア, 文書の盗難
• G 0.17 Verlust von Geräten, Datenträgern oder Dokumenten ・G0.17 機器, データキャリア, 文書の紛失
• G 0.18 Fehlplanung oder fehlende Anpassung ・G0.18 誤計画・調整不足
• G 0.19 Offenlegung schützenswerter Informationen ・G0.19 機微情報の開示
• G 0.20 Informationen oder Produkte aus unzuverlässiger Quelle ・G0.20 信頼性の低い情報源からの情報または製品
• G 0.21 Manipulation von Hard- oder Software ・G0.21 ハードウェアまたはソフトウェアの操作
• G 0.22 Manipulation von Informationen ・G0.22 情報の操作
• G 0.23 Unbefugtes Eindringen in IT-Systeme ・G0.23 ITシステムへの不正侵入
• G 0.24 Zerstörung von Geräten oder Datenträgern ・G0.24 機器及びキャリアの破壊
• G 0.25 Ausfall von Geräten oder Systemen ・G0.25 機器・システムの不具合
• G 0.26 Fehlfunktion von Geräten oder Systemen ・G0.26 機器・システムの誤動作
• G 0.27 Ressourcenmangel ・G0.27 リソース不足
• G 0.28 Software-Schwachstellen oder -Fehler ・G0.28 ソフトウェアの脆弱性またはエラー
• G 0.29 Verstoß gegen Gesetze oder Regelungen ・G0.29 法律・規制違反
• G 0.30 Unberechtigte Nutzung oder Administration von Geräten und Systemen ・G0.30 機器・システムの不正使用・不正管理
• G 0.31 Fehlerhafte Nutzung oder Administration von Geräten und Systemen ・G0.31 機器・システムの誤使用・誤操作
• G 0.32 Missbrauch von Berechtigungen ・G0.32 不正使用された権限
• G 0.33 Personalausfall ・G0.33 スタッフの欠勤
• G 0.34 Anschlag ・G0.34 アサルト
• G 0.35 Nötigung, Erpressung oder Korruption ・G0.35 強要・強要・汚職
• G 0.36 Identitätsdiebstahl ・G0.36 個人情報漏洩
• G 0.37 Abstreiten von Handlungen ・G0.37 アクションの拒否
• G 0.38 Missbrauch personenbezogener Daten ・G0.38 個人情報の不正利用
• G 0.39 Schadprogramme ・G0.39 マルウェア
• G 0.40 Verhinderung von Diensten (Denial of Service) ・G0.40 サービス妨害(DoS サービス不能)防止
• G 0.41 Sabotage ・G0.41 サボタージュ
• G 0.42 Social Engineering ・G0.42 ソーシャルエンジニアリング
• G 0.43 Einspielen von Nachrichten ・G0.43 メッセージの取り込み
• G 0.44 Unbefugtes Eindringen in Räumlichkeiten ・G0.44 施設への不正侵入
• G 0.45 Datenverlust ・G0.45 データ消失
• G 0.46 Integritätsverlust schützenswerter Informationen ・G0.46 保護すべき情報の完全性の喪失
• G 0.47 Schädliche Seiteneffekte IT-gestützter Angriffe ・G0.47 ITを利用した攻撃による有害な副作用
Prozess-Bausteine プロセス構成要素
ISMS: Sicherheitsmanagement ISMS:セキュリティマネジメント
• ISMS.1 Sicherheitsmanagement ・ISMS.1 セキュリティマネジメント
ORP: Organisation und Personal ORP:組織・人事
• ORP.1 Organisation ・ORP.1 組織
• ORP.2 Personal ・ORP.2 人員
• ORP.3 Sensibilisierung und Schulung zur Informationssicherheit ・ORP.3 情報セキュリティの意識向上と教育
• ORP.4 Identitäts- und Berechtigungsmanagement ・ORP.4 身元および権限の管理
• ORP.5 Compliance Management (Anforderungsmanagement) ・ORP.5 コンプライアンス管理(要求事項の管理)
CON: Konzepte und Vorgehensweisen CON:コンセプトと手順
• CON.1 Kryptokonzept ・CON.1 暗号の概念
• CON.2 Datenschutz ・CON.2 データ保護
• CON.3 Datensicherungskonzept ・CON.3 データバックアップの考え方
• CON.6 LöschenundVernichten ・CON.6 消去および破壊
• CON.7 Informationssicherheit auf Auslandsreisen ・CON.7 海外出張時の情報セキュリティ
• CON.8 Software-Entwicklung ・CON.8 ソフトウェア開発
• CON.9 Informationsaustausch ・CON.9 情報交換
• CON.10 EntwicklungvonWebanwendungen ・CON.10 Webアプリケーション開発
• CON.11.1 GeheimschutzVS-NURFÜRDENDIENSTGEBRAUCH (VS-NfD) ・CON.11.1 サービス利用のみを目的とした情報セキュリティの秘密保持(VS-NfD)
OPS: Betrieb OPS:オペレーション
OPS.1 Eigener Betrieb OPS.1 自社運用
OPS.1.1 Kern-IT-Betrieb OPS.1.1 ITコア業務
• OPS.1.1.1 AllgemeinerIT-Betrieb ・OPS.1.1.1 IT運用全般
• OPS.1.1.2 OrdnungsgemäßeIT-Administration ・OPS.1.1.2 ProperITの管理
• OPS.1.1.3 Patch-undÄnderungsmanagement ・OPS.1.1.3 パッチと変更の管理
• OPS.1.1.4 SchutzvorSchadprogrammen ・OPS.1.1.4 マルウェアからの保護
• OPS.1.1.5 Protokollierung ・OPS.1.1.5 ロギング
• OPS.1.1.6 Software-Testsund-Freigaben ・OPS.1.1.6 ソフトウェアのテストと承認
• OPS.1.1.7 Systemmanagement ・OPS.1.1.7 システム管理
OPS.1.2 Weiterführende Aufgaben OPS.1.2 アドバンスト・タスク
• OPS.1.2.2 Archivierung ・OPS.1.2.2 アーカイビング
• OPS.1.2.4 Telearbeit ・OPS.1.2.4 テレワーク
• OPS.1.2.5 Fernwartung ・OPS.1.2.5 リモートメンテナンス
• OPS.1.2.6 NTP-Zeitsynchronisation ・OPS.1.2.6 NTP時刻同期
OPS.2 Betrieb von Dritten OPS.2 サードパーティ製オペレーション
• OPS.2.2 Cloud-Nutzung ・OPS.2.2 クラウド利用
• OPS.2.3 Nutzungvon Outsourcing  ・OPS.2.3 アウトソーシングの利用
OPS.3 Betrieb für Dritte  OPS.3 第三者による運営
• OPS.3.2 Anbietenvon Outsourcing ・OPS.3.2 アウトソーシングの提供
DER: Detektion und Reaktion DER:検出と応答
• DER.1 DetektionvonsicherheitsrelevantenEreignissen ・DER.1 セキュリティインシデントの検出
DER.2 Security Incident Management DER.2 セキュリティインシデント管理
• DER.2.1 Behandlung von Sicherheitsvorfällen ・DER.2.1 セキュリティインシデントへの対応
• DER.2.2 Vorsorge für die IT-Forensik ・DER.2.2 ITフォレンジックの準備
• DER.2.3 BereinigungweitreichenderSicherheitsvorfälle  ・DER.2.3 広範囲に及ぶセキュリティインシデントの対応
DER.3 Sicherheitsprüfungen DER.3 セキュリティ監査
• DER.3.1 Audits und Revisionen ・DER.3.1 監査・レビュー
• DER.3.2 Revisionen auf Basis des Leitfadens IS-Revision ・DER.3.2 IS監査ガイドラインに基づく監査
• DER.4 Notfallmanagement ・DER.4 危機管理
System-Bausteine システム構成
APP: Anwendungen APP:アプリケーション
APP.1 Client-Anwendungen APP.1 クライアントアプリケーション
• APP.1.1 Office-Produkte ・APP.1.1 オフィス製品
• APP.1.2 Webbrowser ・APP.1.2 ウェブブラウザ
• APP.1.4 Mobile Anwendungen (Apps) ・APP.1.4 モバイルアプリケーション (アプリ)
APP.2 Verzeichnisdienst APP.2 ディレクトリサービス
• APP.2.1 Allgemeiner Verzeichnisdienst ・APP.2.1 一般的なディレクトリサービス
• APP.2.2 ActiveDirectory Domain Services ・APP.2.2 アクティブディレクトリーサービス
• APP.2.3 OpenLDAP ・APP.2.3 OpenLDAP
APP.3 Netzbasierte Dienste APP.3 ネットワーク系サービス
• APP.3.1 Webanwendungen und Webservices ・APP.3.1 WebアプリケーションとWebサービス
• APP.3.2 Webserver ・APP.3.2 ウェブサーバー
• APP.3.3 Fileserver ・APP.3.3 ファイルサーバー
• APP.3.4 Samba ・APP.3.4 Samba
• APP.3.6 DNS-Server ・APP.3.6 DNSサーバ
APP.4 Business-Anwendungen APP.4 ビジネスアプリケーション
• APP.4.2 SAP-ERP-System ・APP.4.2 SAP ERPシステム
• APP.4.3 Relationale Datenbanken ・APP.4.3 リレーショナルデータベース
• APP.4.4 Kubernetes ・APP.4.4 Kubernetes
• APP.4.6 SAP ABAP-Programmierung ・APP.4.6 SAPABAPプログラミング
APP.5 E-Mail/Groupware/Kommunikation APP.5 電子メール/グループウェア/コミュニケーション
• APP.5.2 Microsoft Exchange und Outlook ・APP.5.2 MicrosoftExchangeとOutlook
• APP.5.3 Allgemeiner E-Mail-Client und -Server ・APP.5.3 一般的な電子メールクライアントとサーバー
• APP.5.4 Unified Communications und Collaboration (UCC) ・APP.5.4 ユニファイドコミュニケーションとコラボレーション(UCC)
• APP.6 Allgemeine Software ・APP.6 ソフトウエア全般
• APP.7 EntwicklungvonIndividualsoftware ・APP.7 個別ソフトウエアの開発
SYS: IT-Systeme  SYS:ITシステム 
SYS.1 Server SYS.1 サーバー
• SYS.1.1 Allgemeiner Server ・SYS.1.1 GeneralServer
• SYS.1.2 Windows Server ・SYS.1.2 WindowsServer
◦ SYS.1.2.2 Windows Server 2012 ・・SYS.1.2.2 Windows Server 2012
◦ SYS.1.2.3 Windows Server ・・SYS.1.2.3 Windows Server
• SYS.1.3 Serverunter Linux und Unix ・SYS.1.3 Linux・Unixのサーバー
• SYS.1.5 Virtualisierung ・SYS.1.5 仮想化
• SYS.1.6 Containerisierung ・SYS.1.6 コンテナ化
• SYS.1.7 IBM Z ・SYS.1.7 IBM Z
• SYS.1.8 Speicherlösungen ・SYS.1.8 ストレージソリューション
• SYS.1.9 Terminalserver ・SYS.1.9 ターミナルサーバー
SYS.2 Desktop-Systeme SYS.2 デスクトップシステム
• SYS.2.1 AllgemeinerClient ・SYS.2.1 GeneralClient
• SYS.2.2 Windows-Clients ・SYS.2.2 Windowsクライアント
◦ SYS.2.2.3 Clients unter Windows SYS.2.2.3 Windows版クライアント
• SYS.2.3 Clients unter Linux und Unix ・SYS.2.3 LinuxおよびUnix上のクライアント
• SYS.2.4 ClientsuntermacOS ・SYS.2.4クライアント(macOS版)
• SYS.2.5 Client-Virtualisierung ・SYS.2.5 クライアント仮想化
• SYS.2.6 VirtualDesktopInfrastructure SYS.3 Mobile Devices ・SYS.2.6 VirtualDesktopInfrastructure SYS.3 Mobile Devices
• SYS.3.1 Laptops ・SYS.3.1 ノートパソコン
• SYS.3.2 Tablet und Smartphone ・SYS.3.2 タブレットとスマートフォン
◦ SYS.3.2.1 Allgemeine Smartphones und Tablets ・・SYS.3.2.1 一般的なスマートフォンとタブレット
◦ SYS.3.2.2 Mobile Device Management (MDM) ・・SYS.3.2.2 モバイルデバイスマネジメント(MDM)
◦ SYS.3.2.3 iOS (for Enterprise) ・・SYS.3.2.3 iOS(エンタープライズ向け)
◦ SYS.3.2.4 Android ・・SYS.3.2.4 Android
• SYS.3.3 Mobiltelefon ・SYS.3.3 携帯電話
SYS.4 Sonstige Systeme SYS.4 その他のシステム
• SYS.4.1 Drucker, Kopierer und Multifunktionsgeräte ・SYS.4.1 プリンタ,複写機,複合機
• SYS.4.3 Eingebettete Systeme ・SYS.4.3 組込みシステム
• SYS.4.4 Allgemeines IoT-Gerät ・SYS.4.4 一般的なIoTデバイス
• SYS.4.5 Wechseldatenträger ・SYS.4.5 リムーバブル・ストレージ・デバイス
IND: Industrielle IT IND:産業用IT
IND.1 Prozessleit- und Automatisierungstechnik IND.1 プロセスコントロールとオートメーション技術
IND.2 ICS-Komponenten IND.2 ICSコンポーネント
• IND.2.1 Allgemeine ICS-Komponente ・IND.2.1 一般的なICSコンポーネント
• IND.2.2 Speicherprogrammierbare Steuerung (SPS) ・IND.2.2 プログラマブル・ロジック・コントローラ(PLC)
• IND.2.3 Sensoren und Aktoren ・IND.2.3 センサーとアクチュエーター
• IND.2.4 Maschine ・IND.2.4 マシン
• IND.2.7 Safety Instrumented Systems ・IND.2.7 安全計装システム
IND.3 Produktionsnetze IND.3 生産ネットワーク
• IND.3.2 Fernwartung im industriellen Umfeld ・IND.3.2 産業環境におけるリモートメンテナンス
NET: Netze und Kommunikation NET:ネットワークとコミュニケーション
NET.1 Netze NET.1 ネットワーク
• NET.1.1 Netzarchitektur und -design ・NET.1.1 ネットワークアーキテクチャとデザイン
• NET.1.2 Netzmanagement ・NET.1.2 ネットワーク管理
NET.2 Funknetze NET.2 ワイヤレスネットワーク
• NET.2.1 WLAN-Betrieb ・NET.2.1.WLAN操作
• NET.2.2 WLAN-Nutzung ・NET.2.2.WLANの使い方
NET.3 Netzkomponenten NET.3 ネットワークコンポーネント
• NET.3.1 Router und Switches ・NET.3.1 ルーターとスイッチ
• NET.3.2 Firewall ・NET.3.2 ファイアウォール
• NET.3.3 VPN ・NET.3.3 VPN
• NET.3.4 Network Access Control ・NET.3.4 ネットワークアクセスコントロール
NET.4: Telekommunikation NET.4: 通信
• NET.4.1 TK-Anlagen ・NET.4.1 PBXシステム
• NET.4.2 VoIP ・NET.4.2 VoIP
• NET.4.3 Faxgeräte und Faxserver ・NET.4.3 ファクス機とファクスサーバー
INF: Infrastruktur INF:インフラ
INF.1 Allgemeines Gebäude INF.1 一般的な建物
INF.2 Rechenzentrum sowie Serverraum INF.2 コンピューターセンターとサーバールーム
INF.5 Raum sowie Schrank für technische Infrastruktur INF.5 技術インフラのための部屋とキャビネット
INF.6 Datenträgerarchiv INF.6 データメディアアーカイブ
INF.7 Büroarbeitsplatz INF.7 オフィスの仕事場
INF.8 Häuslicher Arbeitsplatz INF.8 ホームワークプレイス
INF.9 Mobiler Arbeitsplatz INF.9 モバイルワークプレイス
INF.10 Besprechungs-, Veranstaltungs- und Schulungsräume INF.10 会議,イベント,トレーニングルーム
INF.11 Allgemeines Fahrzeug INF.11 一般車両
INF.12 Verkabelung INF.12 ケーブル配線
INF.13 Technisches Gebäudemanagement INF.13 技術的なビル管理
INF.14 Gebäudeautomation INF.14 ビルディングオートメーション

 

 

分割版

IT-Grundschutz-Bausteine

・[ZIP] PDF in ZIP

・[ZIP] DOCX in ZIP

クロスリファレンス

・[EXLX] Kreuzreferenztabellen zum IT-Grundschutz-Kompendium

XML版

・[XML] XML-Version des IT-Grundschutz-Kompendiums

変更履歴

・Änderungsdokumente (Edition 2023)

・[PDF

20230202-124516

 


 

まるちゃんの情報セキュリティ気まぐれ日記

2022.02.09 ドイツ BSIがIT基本保護大要 (IT-Grundschutz-Kompendium) 2022年版を発行

| | Comments (0)

ドイツ スペースネットAG社のサービスにITセキュリティラベルを渡す

こんにちは、丸山満彦です。

ITセキュリティ法2.0の施行により、ITセキュリティラベル制度を電子メールサービスと、IoT機器、消費者向けスマート製品(スマートカメラ、スマートスピーカー、スマート掃除機・園芸用ロボット、スマートトイ、スマートテレビ)について始めていますが、スペースネットAG社 (SpaceNet AG) の電子メールサービスにそのラベルを渡したとドイツのBSIが公表していますね。。。。

 

Sik01013

 

電子メールサービスでは2社目と思ったのですが、リストにはこの会社1社しかないですね。。。

 

● Bundesamt für Sicherheit in der Informationstechnik: BSI

発表

・2023.01.13 Drei neue IT-Sicherheitskennzeichen an SpaceNet AG übergeben

Drei neue IT-Sicherheitskennzeichen an SpaceNet AG übergeben スペースネットAGに新たに3つのITセキュリティラベルを渡す
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 26. Januar 2023 drei IT-Sicherheitskennzeichen in der Produktkategorie E-Mail-Dienste an die SpaceNet AG übergeben. Mit Zamadama Mail, Zamadama Mail Plus und Zamadama Professional tragen drei weitere E-Mail-Dienste ein IT-Sicherheitskennzeichen. Diese sind für zwei Jahre gültig. Die SpaceNet AG gehört damit zu den Unternehmen, die ihr Versprechen in die Sicherheit ihrer IT-Produkte für Verbraucherinnen und Verbraucher transparent machen. 2023年1月26日、連邦情報セキュリティ局(BSI)は、メールサービスの製品カテゴリーにおける3つのITセキュリティラベルをスペースネットAGに引き渡しました。「Zamadama Mail」「Zamadama Mail Plus」「Zamadama Professional」の3つに、ITセキュリティラベルが付与されました。有効期限は2年間です。スペースネットAGは、このようにIT製品のセキュリティに対する約束を消費者に明らかにしている企業の一つです。
Mit der Herstellererklärung verpflichtet sich die SpaceNet AG unter anderem: 製造者宣言により、スペースネットAGは、特に以下のことを約束します。
・die zugrundeliegenden Anforderungen aus der BSI TR-03108 („Sicherer E-Mail-Transport“) einzuhalten, ・BSI TR-03108 (Secure e-mail transport)の基本要件に準拠しています。
・Schwachstellen und Sicherheitslücken an das BSI zu melden, ・脆弱性やセキュリティギャップをBSIに報告します。
・und bekannt gewordene Schwachstellen und Sicherheitslücken zu beheben. ・また、判明した脆弱性やセキュリティギャップを是正すします。
Das IT-Sicherheitskennzeichen des jeweiligen E-Mail-Dienstes wird durch den Hersteller auf dessen Webseite eingebunden. Über eine Verlinkung oder den QR-Code gelangen Verbraucherinnen und Verbraucher auf die individuelle Produktinformationsseite des BSI. Diese enthält eine dynamische Sicherheitsinformation, die Herstellererklärung und ausführliche Informationen zu den Anforderungen des zugrundeliegenden Standards. Die drei neuen Kennzeichen der SpaceNet AG sind auf der BSI-Website in der Kennzeichensuche veröffentlicht. Ebenso eine Übersicht aller erteilten IT-Sicherheitskennzeichen. 各メールサービスのITセキュリティラベルは、メーカーがホームページで統一しています。リンクまたはQRコードから、BSIの個々の製品情報ページにアクセスできます。これには、ダイナミックセキュリティ情報、製造者の宣言、基本規格の要求事項に関する詳細な情報が含まれています。スペースネットAGの新しい3つのマークは、BSIのウェブサイトのマーク検索で公開されています。同様に、発行されたすべてのITセキュリティラベルの概要を説明します。

 

セキュリティラベル検索

Verzeichnis der erteilten IT-Sicherheitskennzeichen

 

電子メールのセキュリティラベル制度説明

Standards und Zertifizierung - Technische Richtlinien - BSI TR-03108 Sicherer E-Mail-Transport

 

 

参考までですが、それぞれのカテゴリーごとのITセキュリティ要件です。。。

製品カテゴリー ITセキュリティ要件 申請書類
ブロードバンドルータ BSI TR-03148 ブロードバンドルータ用
メールサービス BSI TR-03108 メールサービス用
スマートテレビ ETSI EN 303 645 消費者向け製品用
スマートスピーカー ETSI EN 303 645 消費者向け製品用
スマートカメラ ETSI EN 303 645 消費者向け製品用
スマートトイ ETSI EN 303 645 消費者向け製品用
スマート掃除機・園芸用ロボット ETSI EN 303 645 消費者向け製品用

 

 

 


 

 ● まるちゃんの情報セキュリティ気まぐれ日記

BSIのITセキュリティラベル

・2022.12.15 ドイツ フランス IT製品のセキュリティ認証に関する共同文書を発行 (固定時間制認証制度)

・2022.10.31 ドイツ シンガポール 消費者向けIoT製品のサイバーセキュリティ・ラベルの相互承認 (2022.10.20)

・2022.05.09 ドイツ ITセキュリティラベル for 消費者向けスマート製品

・2022.02.03 ドイツ BSI Mail.deの電子メールサービスにITセキュリティラベルを付与

・2021.07.18 独国 BSIがITセキュリティラベルについてのウェブページを公開していますね。。。

 

米国のサイバーセキュリティラベル

・2022.09.24 NIST NISTIR 8425 消費者向けIoT製品のIoTコアベースラインのプロファイル、NISTIR 8431 「NIST基礎の上に築く:IoTセキュリティの次のステップ」ワークショップ概要報告書

・2022.06.19 NISTIR 8425 (ドラフト) 消費者向けIoT製品のIoTコアベースラインのプロファイル

・2022.05.19 NIST IoTセキュリティ関連の文書についてNISTのブログで簡単に説明されていますね。。。

・2022.02.07 NIST ホワイトペーパー :消費者向けソフトウェアのサイバーセキュリティラベルの推奨規準

・2022.02.06 NIST ホワイトペーパー :消費者向けIoT製品のサイバーセキュリティラベルの推奨規準

・2021.11.04 NIST 消費者向けソフトウェアのサイバーセキュリティに関するラベリングについての意見募集

| | Comments (0)

米国 MITRE ドローンの利点、安全性、社会的受容性を評価するための包括的なアプローチ

こんにちは、丸山満彦です。

いわゆるドローンは、登場からかなり経つような気がします。エンターテイメント分野(東京オリンピックなどで使われたようなもの)、競技用だけでなく、橋梁などの高所の点検等に利用されるなど、実用化も少しずつ進んでいますね。。。さらに、今一歩の利用促進のためには技術的な進歩ももちろん必要なのですが、いかに社会に受け入れられるかという視点も重要となりますよね。。。

ということで、その辺りをMITREが考えているようです。。。といっても詳細ではないですが。。。

 

MITRE

・2023.01.31 A HOLISTIC APPROACH FOR ASSESSING DRONE BENEFITS, SAFETY, AND SOCIETAL ACCEPTANCE

A HOLISTIC APPROACH FOR ASSESSING DRONE BENEFITS, SAFETY, AND SOCIETAL ACCEPTANCE ドローンの利点、安全性、社会的受容性を評価するための包括的なアプローチ
How can the positive benefits of drones be recognized, quantified, and viewed in a holistic manner to inform safety decisions that would enable increased and purposeful use of drones with societal benefits? ドローンのポジティブなベネフィットを認識し、定量化し、総合的に判断することで、社会的ベネフィットを伴うドローンの利用を目的に応じて拡大できるような安全性の意思決定を行うにはどうしたらよいか?
A multi-disciplinary team from MITRE set out with the goal of creating a holistic assessment process that measures and evaluates societal benefits of using a drone in addition to considering aviation operational risk—a methodology that considers societal perception and acceptance of drone use for a specific purpose in a holistic manner. This collaborative effort resulted in a framework that can be used to inform FAA decision-making based on assessing air and ground safety, societal benefits, and societal acceptance for a specific drone operation. MITREの学際的なチームは、航空運用リスクに加えて、ドローン使用の社会的便益を測定・評価する総合的な評価プロセス、すなわち特定の目的でのドローン使用に対する社会の認識と受容を総合的に考慮する方法論を構築することを目標に掲げ、研究を開始した。この共同作業の結果、特定のドローン運用に関する空と地上の安全性、社会的便益、社会的受容性を評価し、FAAの意思決定に活用できるフレームワークが誕生した。

 

・[PDF]

20230202-03457

 

A HOLISTIC APPROACH FOR ASSESSING DRONE BENEFITS, SAFETY, AND SOCIETAL ACCEPTANCE ドローンの利点、安全性、社会的受容性を評価するための包括的なアプローチ
Rains batter a region of the Midwest, saturating the ground and eventually threatening portions of the local flood control infrastructure. A buzzing can be faintly heard, slowly growing louder, entering an inaccessible flooded area. A drone launched by structural engineers comes into view, circling over a levee, assessing its condition. Nearby, another drone inspects a diversion dam to analyze how well it is holding. When risks are spotted, downstream cities and towns are warned to evacuate. The exodus begins, but before all are safe, more rains cause the structures to fail. First responders deploy multiple drones and discover new failures in real-time and locate those in peril. Flying day and night, the drones’ visual and infrared video cameras allow operators to spot people in need of assistance. First responders are able to rapidly react, enable swift coordination, and save lives. 中西部のある地域を襲う雨は、地面を覆い尽くし、ついには地元の洪水防止インフラの一部を脅かすようになりました。ブーンという音がかすかに聞こえ、徐々に大きくなり、立ち入ることのできない浸水域に入り込んでいく。堤防の上空を旋回し、その状態を評価する構造エンジニアによって打ち上げられたドローンが視界に入ってくる。その近くでは、別のドローンが分水ダムを点検し、ダムの状態を解析している。危険と判断されると、下流の市や町に避難勧告が出される。避難が始まったが、全員が無事である前に、さらに雨が降り、構造物が破壊される。ドローンを複数台投入し、リアルタイムで新たな破損を発見し、危険な状態にある人を特定する。昼夜を問わず飛行するドローンの視覚および赤外線ビデオカメラにより、オペレーターは支援を必要とする人々を発見することができる。第一応答者は、迅速に反応し、迅速な連携を可能にし、命を救うことができる。
WHILE EXPANDING THE PROCESS TO ENABLE AND UNLOCK BROADER DRONE POTENTIAL IN A SAFE MANNER, THE FAA CAN BENEFIT FROM A PROCESS THAT MEASURES AND EVALUATES SOCIETAL BENEFIT OF USING A DRONE IN ADDITION TO CONSIDERING AVIATION OPERATIONAL RISK. A METHODOLOGY THAT CONSIDERS SOCIETAL PERCEPTION AND ACCEPTANCE OF DRONE USE FOR A SPECIFIC PURPOSE IN A HOLISTIC MANNER. 安全な方法でドローンの可能性を広げるプロセスを拡大する一方で、FAAは、航空運用上のリスクに加えて、ドローン使用による社会的利益を測定・評価するプロセスから利益を得ることができる。特定の目的でのドローン使用に対する社会的認識と受容を総合的に考慮する方法論。
Introduction  序文 
You’ve seen the videos, watched the news reports, heard the stories – drones performing a variety of functions to help people, improve safety, or add convenience to our lives. A growing list of governmental and commercial drone users and stakeholders have acknowledged the positive aspects of using a drone to replace traditional methods of accomplishing a range of tasks. How can those benefits be recognized, quantified, and viewed in a holistic manner to inform safety decisions that would enable increased and purposeful use of drones with societal benefits?  ドローンが人々を助け、安全を向上させ、あるいは私たちの生活に便利さを加えるために様々な機能を果たしていることを、皆さんはビデオで見たり、ニュース報道を見たり、話を聞いたりしてきたことだろう。政府機関や民間のドローンユーザーや関係者は、ドローンを使って従来の方法に代わって様々なタスクを達成することのプラス面を認めつつある。社会的利益を伴うドローンの利用を増加させ、目的を持って利用できるようにするための安全性の判断材料として、それらのメリットをどのように認識し、定量化し、総合的に見ることができるだろうか。
Promoting and ensuring aviation safety is a primary function of the National Airspace System (NAS) regulator, the Federal Aviation Administration (FAA). The FAA’s role of providing aviation safety oversight has traditionally focused on crewed and passengercarrying aircraft. As technology and innovation evolve, new entrants to the NAS, like drones and commercial space operations, require broader, expanded safety oversight and evaluation. More informative and actionable tools are required to evaluate risk versus benefit. 航空安全の推進と確保は、国家空域システム(NAS)の監督官庁である連邦航空局(FAA)の主要機能である。航空安全の監督を行うFAAの役割は、伝統的に有人航空機と旅客機が中心でした。しかし、技術革新の進展に伴い、ドローンや商業宇宙飛行のようなNASへの新規参入は、より広範な安全監視と評価を必要とします。リスク対便益を評価するために、より有益で実用的なツールが必要とされている。
Safety assessments are conducted by the FAA prior to approving or denying drone operators’ requests to fly in the NAS. These assessments focus on the ability of the drone system to operate safely. Specifically, they consider the operation’s ability to not disrupt the operations of other aircraft, to comply with required rules and directives, and to remain within established performance limitations.  FAAは、ドローン運用者のNASでの飛行要請を承認または拒否する前に、安全性評価を実施する。これらの評価は、ドローンシステムが安全に運用できるかどうかに焦点を当てている。具体的には、他の航空機の運航を妨げないこと、要求される規則や指令に従うこと、確立された性能制限の範囲内で運用することができるかどうかを検討する。
There is no current means included in FAA NAS risk assessment calculations to consider the potential risks and benefits of a proposed drone operation within the context of the operator’s mission safety envelope, to include quantification of comparable risks and benefits inherent in the traditional method of accomplishing the same task. When potential benefits, level of societal acceptance, and safety assurance aspects are evaluated together in a holistic manner, a clearer picture of the overall impact of the drone operation can be assessed. For example, if a drone operator desires to fly beyond the visual line of sight (BVLOS) of the remote pilot or requests to overfly a dense residential neighborhood in order to accomplish a task, the safety risks of doing so can be weighed against the benefit gained. Where benefits (most importantly, safety benefits) of drone use outweigh air and ground risk of operating the drone, societal net gain may be realized. Simply stated, where benefits are greater than the risks, enabling drones serves a broader-than-aviation societal benefit.  FAA NASのリスクアセスメント計算には、オペレーターのミッションの安全範囲内で、提案されたドローン運用の潜在的リスクと利益を検討するための手段が現在含まれておらず、同じタスクを達成する従来の方法に固有の同等のリスクと利益の定量化も含まれる。潜在的なメリット、社会的受容のレベル、安全保証の側面が総合的に評価されると、ドローン運用の全体的な影響をより明確に評価することができる。例えば、ドローンオペレーターがリモートパイロットの目視外飛行(BVLOS)を希望する場合や、タスクを達成するために住宅密集地を上空飛行することを要求する場合、そうすることによる安全リスクを、得られるメリットと比較検討することができる。ドローン使用の便益(最も重要なのは安全上の便益)が、ドローン操作の空と地上でのリスクを上回る場合、社会的な純益が実現される可能性がある。簡単に言えば、ベネフィットがリスクより大きい場合、ドローンを可能にすることは、航空よりも幅広い社会的ベネフィットを提供することになるのである。
How does society, particularly those people directly affected by a drone operation, perceive use of a drone? Do they feel the operation is safe? Do they feel threatened? Does the drone operation improve their lives? Does the operation increase convenience or safety, or provide some other perceived benefit? If society accepts a single drone accomplishing a task, how about many drones simultaneously? Are there perceived privacy issues as the number of drones increases?  社会、特にドローン運用の影響を直接受ける人々は、ドローンの利用をどのように受け止めているのだろうか。安全だと感じているのだろうか?脅威を感じているのだろうか?ドローン運用は彼らの生活を向上させるか?利便性や安全性を向上させるのか、あるいはその他のメリットを感じるのか?1機のドローンがタスクを達成することを社会が受け入れるとしたら、多数のドローンを同時に運用することはどうだろうか?ドローンの数が増えるにつれて、プライバシーの問題が認識されるのだろうか?
The answer to many of these questions is “it depends.” In some cases, society is completely accepting, even enthusiastic, about the operations. In other cases, there is increased concern or maybe opposition. Societal acceptance depends on many factors, including the affected population’s familiarity with drones, a drone operator’s efforts to inform the involved population, the nature of the drone operation, and the impact – perceived or real – that the operation has on the community. Perception can also change over time and can be affected by information campaigns or events. これらの質問の多くは、"場合による "というのが答えである。あるケースでは、社会は完全にその運用を受け入れ、熱狂的でさえある。また、懸念が強まったり、反対するケースもある。社会の受け入れは、影響を受ける人々のドローンに対する慣れ、ドローン運用者の関係者への情報提供の努力、ドローン運用の性質、運用が地域社会に与える影響(認識されているか、実際にあるか)を含む多くの要因によって決まる。また、認知は時間の経過とともに変化し、情報キャンペーンやイベントによって影響を受けることもある。
“ operations have the potential to reduce the risk of serious injury or fatality from other causes, such as climbing towers for inspection or driving vehicles for delivery. It is in the public interest to enable such operations if the risks from the UA are lower than the risks of the activity they replace, regardless of how they would contribute to the aviationinduced ground risk. FAA Draft White Paper “Safety Performance Objectives: Acceptable Level of Risk for ” Unmanned Aircraft Operations” Drone Advisory Committee (DAC) Public eBook October 27, 2021 「ドローンの運用は、点検のために塔に登ったり、配送のために車両を運転するなど、他の原因による重傷や死亡のリスクを低減する可能性がある。もしUAによるリスクが代替する活動のリスクより低ければ、それが航空による地上リスクにどのように寄与するかにかかわらず、そのような活動を可能にすることは公共の利益になる。FAAドラフトホワイトペーパー "Safety Performance Objectives: Acceptable Level of Risk for " Unmanned Aircraft Operations" Drone Advisory Committee (DAC) Public eBook October 27, 2021
Applying Safety Assessment to Drone Operations Requests  ドローン運用の依頼に安全性評価を適用する 
Today, most commercial drone operations fall under a federal regulation: Code of Federal Regulation (CFR) Part 107 – Small Unmanned Aircraft Systems. This regulation allows the use of small drones (less than 55 pounds) provided they meet certain restrictions, such as staying within a distance where the remote pilot can visually observe the drone, flying in good weather, operating at or below 400 feet above the ground, and operating one drone at a time, among other restrictions. Sometimes companies, first responders and governmental organizations find uses for drones that require operations outside those allowed by current regulations. In these cases, operators will request a waiver or exemption from the FAA to allow them to operate when not in compliance with portions of the regulations.  現在、ほとんどの商業用ドローン運用は、連邦規制の下にある。連邦規則(CFR)第107条-小型無人航空機システム。この規制では、遠隔操縦者がドローンを目視で確認できる距離にいること、天候の良い日に飛行すること、地上400フィート以下で飛行すること、一度に1台のドローンを操作することなど、一定の制限を満たせば小型ドローン(55ポンド未満)の使用を認めている。企業、第一応答者、政府組織が、現行の規制で認められている以外の操作を必要とするドローンの用途を見出すこともある。このような場合、操縦者は、規制の一部を遵守していないときに操縦を許可するために、FAAに免除または免除を要求する。
Waiver requests are analyzed, according to the FAA’s regulatory role and their drone policies, based on the safety risk they pose to other aircraft sharing the airspace, as well as to people and property on the ground. The FAA’s safety assessment process involves identifying known hazards related to the proposed operation, assessing the likelihood and severity of those hazards, and developing proposed mitigations to reduce the likelihood of occurrence of those hazards to an acceptable level. Sometimes the proposed operation imposes significant enough safety risk to be denied. Most times, mitigations are applied to the operation that allow it to be conducted in a safe manner.  免除申請は、FAAの規制の役割とドローン政策に従って、空域を共有する他の航空機や地上の人々や財産に与える安全上のリスクに基づいて分析される。FAA の安全性評価プロセスでは、提案された操作に関連する既知の危険性を特定し、それらの危険性の可能性と重大性を評価し、それらの危険性の発生の可能性を許容レベルまで低減するための緩和策を提案する。時には、提案された運転が拒否されるほど重大な安全リスクをもたらすこともある。ほとんどの場合、安全な方法で実施できるような緩和策が適用される。
Many drone tasks that offer societal benefits are most effectively performed with specific waivers or exemptions from regulations. When requests for a waiver/exemption are made, the FAA applies its safety assessment process to evaluate the request. Current processes do not include assessments of benefits to society or societal acceptance. 社会的な利益をもたらす多くのドローン業務は、特定の規制の適用除外や免除を受けることで最も効果的に実施することができる。免除の申請がなされると、FAAは安全性評価プロセスを適用してその申請を評価する。現在のプロセスには、社会的な利益や社会的な受容性の評価は含まれていない。
Creating a Holistic Process – From Methodology to Practical Framework  全体論的なプロセスの構築 - 方法論から実用的なフレームワークまで 
A multi-disciplinary team from MITRE set out with the goal of creating a holistic assessment process. The MITRE team included members from our Enterprise Program and Risk Management Department, who work with federal government sponsors (e.g., Department of Defense, Department of Homeland Security, Intelligence Community agencies) to develop, integrate, and use risk assessment processes applicable to their operations. The team also included members from MITRE departments focused on optimization and hazard identification, who are experienced in drone integration efforts and safety assessment processes both within the FAA and internationally. Completing our team was a human-centered engineer from MITRE Labs’ Transportation HumanCentered Experimentation department, who is familiar with the human components and social considerations of drone systems and operations. MITREの学際的なチームは、全体論的な評価プロセスを構築することを目標に掲げ、活動を開始した。MITREのチームには、連邦政府のスポンサー(国防総省、国土安全保障省、情報コミュニティ機関など)と協力して、彼らの業務に適用できるリスク評価プロセスを開発、統合、利用するためのエンタープライズプログラムおよびリスクマネジメント部のメンバーも含まれている。このチームには、最適化とハザードの特定を専門とするMITREの部署からもメンバーが参加し、FAA内外のドローン統合作業と安全性評価プロセスの経験を積んでいる。さらに、MITRE LabsのTransportation HumanCentered Experimentation部門から、ドローンシステムと運用における人間の構成要素と社会的考察に詳しい人間中心エンジニアがチームを構成した。
 Collaborative and technical engagement resulted in a framework that can be used to inform FAA decision-making based on assessing air and ground safety, societal benefits, and societal acceptance for a specific drone operation. The framework allows for a more rigorous and quantitative review of the many factors that come into play for a drone operation and allows those factors to be weighted by importance.   共同作業と技術的な取り組みにより、特定のドローン運用について、空と地上の安全性、社会的便益、社会的受容性を評価し、FAAの意思決定に活用できるフレームワークが誕生した。このフレームワークにより、ドローンの運用に関わる多くの要因をより厳密かつ定量的に検討し、それらの要因を重要度によって重み付けすることが可能になった。
Safety assessment is a critical aspect of the framework, and in some cases safety concerns may be weighed with other factors, such as the benefits the drone operation provides. The safety assessment process introduced in this framework evolved from the FAA’s current process. It’s an expanded, more comprehensive safety examination. MITRE incorporated recommendations that have emanated from multiple uncrewed aircraft system (UAS) advisory and stakeholder groups to improve safety assessment through a holistic, data-driven, and quantifiable process. The assessment focuses on characteristics that influence air and ground risk and presents a structured, transparent process that coalesces around a path to defining and including additional safety-related variables within an aviation acceptable level of risk identification.  安全性評価はフレームワークの重要な側面であり、場合によっては、安全性の懸念は、ドローン運用がもたらす利益など、他の要素と比較検討されることもある。このフレームワークで導入された安全性評価プロセスは、FAAの現在のプロセスから発展したものである。より拡張され、より包括的な安全性審査である。MITREは、複数の無人航空機システム(UAS)諮問委員会や関係者グループから発せられた提言を取り入れ、全体的かつデータ主導で定量化可能なプロセスを通じて安全性評価を改善した。この評価では、空と地上のリスクに影響を与える特性に焦点を当て、航空許容レベルのリスク識別の中で追加の安全関連変数を定義して含めるためのパスを中心にまとまった、構造化された透明性の高いプロセスを示している。
The framework uses standardized required information that waiver applicants would normally provide, a method of quantifying the information received, and computational functions to process information to inform the existing FAA decisionmaking and approval process. The framework is not designed to remove human assessment or approval process of the proposed drone operation, but rather to better inform the FAA analyst and allow the decision-making process to be more streamlined and inclusive. このフレームワークは、免除申請者が通常提供する標準化された必要情報、受け取った情報を定量化する方法、そして既存のFAAの意思決定と承認プロセスに情報を提供するための情報処理のための計算機能を使用している。このフレームワークは、提案されたドローン運用に関する人間の評価や承認プロセスを排除するものではなく、むしろFAAのアナリストに情報をより良く伝え、意思決定プロセスをより合理的かつ包括的にすることを可能にするものである。
A Holistic Benefit/Risk Framework  包括的なベネフィット/リスクフレームワーク 
Description and Key Components of the Framework. The preliminary framework is comprised of three main components – or modules – that house sub-components that perform quantitative, computational functions that enable a holistic assessment and decision capability: approve or deny. The three modules correspond to inclusive consideration of potential benefits of using a drone for a specific operation, societal perception and acceptance (local affected population), and safety assessment (air and ground risk). The framework is data-driven, using data that is supplied to the FAA by the waiver applicant (as required today) to reduce subjectivity. Subjectivity from the regulator is not entirely removed from the decision process, but it is bounded by ranges established by the FAA and those ranges are known to drone operators. The framework employs scaling, averaging, weighting, and scoring.  フレームワークの説明と主要な構成要素。予備的なフレームワークは、3つの主要コンポーネント(モジュール)で構成され、その中には、全体的な評価と承認または拒否の意思決定能力を可能にする定量的な計算機能を実行するサブコンポーネントが含まれている。3つのモジュールは、特定のオペレーションにドローンを使用する潜在的な利益、社会の認識と受容(影響を受ける地元の人々)、安全性評価(空と地上のリスク)を包括的に考慮することに対応している。このフレームワークはデータ駆動型であり、主観を減らすために、(現在要求されているように)ウェーバー申請者からFAAに提供されるデータを使用する。規制当局の主観は意思決定プロセスから完全に排除されるわけではないが、FAAが設定した範囲によって制限され、その範囲はドローン運用者が知っている。このフレームワークは、スケーリング、平均化、重み付け、スコアリングを採用している。
Use of a Decision Matrix and Acceptable Level of Risk. Our methodology uses a decision matrix that factors the three module outputs (benefits, acceptance, and safety) and aligns these with an acceptable level of aviation risk. Acceptable risk is a value that’s understood and recognized internally by FAA and is known to the drone industry. Use of acceptable level of risk in regulator decision-making potentially streamlines waiver and exemption decisions, decreases decision-making subjectivity, and provides transparency to the drone community. A decision matrix allows a holistic assessment and is constructed with the basic paradigm that in cases of high societal benefit and acceptance, greater risk may be accepted.  意思決定マトリックスと許容リスクレベルの使用。我々の方法論は、3つのモジュールの出力(利点、受容性、安全性)を考慮し、これらを航空リスクの許容レベルと整合させる決定マトリックスを使用している。許容できるリスクとは、FAAの内部で理解され認識されている値であり、ドローン業界にも知られているものである。規制当局の意思決定に許容可能なリスクレベルを使用することで、免責や適用除外の決定を合理化し、意思決定の主観を減らし、ドローンコミュニティに透明性を提供できる可能性がある。意思決定マトリックスは、全体的な評価を可能にし、社会的な利益と受容性が高い場合には、より大きなリスクを受け入れることができるという基本的なパラダイムで構築されている。
How the Framework Is Used. The framework is intended for regulator assessment of drone applications for waiver and/or exemption. The computational functions and calculations are designed to be contained in a web-based platform, inclusive of algorithms. This construct allows waiver applicant entry of required data, application tracking, and structured regulator assessment of an application. フレームワークの使用方法 このフレームワークは、規制当局によるドローンの免除申請および/または免除申請を評価するためのものである。計算機能および計算は、アルゴリズムを含むウェブベースのプラットフォームに含まれるように設計されている。この構成により、免除申請者が必要なデータを入力し、申請を追跡し、規制当局が構造的に申請を評価することができる。
Applicability Beyond Drones  ドローン以外の適用性 
While the focus of this work is on the applicability of a holistic risk assessment framework for drone use, the concepts could be expanded to incorporate other new entrants requesting access to the NAS. Areas where a more diverse assessment may be required include the concepts of Urban Air Mobility, Advanced Air Mobility, supersonic transport and the launch and reentry operations of commercial space vehicles. These types of operations also have non-aviation benefits and varying levels of societal acceptance that are not formally considered in the current aviation risk decision process.  この研究の焦点は、ドローン使用に対する総合的なリスク評価フレームワークの適用性であるが、このコンセプトは、NASへのアクセスを要求する他の新規参入者を取り込むために拡張することが可能である。より多様な評価が必要と思われる分野には、アーバンエアモビリティ、アドバンストエアモビリティ、超音速輸送、商業宇宙船の打ち上げ・再突入運用のコンセプトが含まれる。このようなタイプの運航には、航空以外の便益もあり、社会的受容のレベルも様々で、現在の航空リスク決定プロセスでは正式に考慮されていない。
In addition, there are likely applications for modified versions of the framework in other modes of transportation, such as road, rail, and maritime; however, these applications would require further research. さらに、このフレームワークの修正版は、道路、鉄道、海運など他の交通手段にも適用できると思われるが、これらの適用にはさらなる研究が必要である。
Conclusion  結論 
Drones can often offer advantages over traditional methods of accomplishing a task. While their use is not wholly void of risk, their benefits can outweigh the risks under certain conditions. An assessment framework to examine benefits, risks, and societal acceptance is necessary to fully assess the advantages drones offer. MITRE’s exploration of a benefit and risk framework supporting drone operations revealed it is possible to consistently and holistically assess, compare, and measure the benefit/risk relationship, thus enabling better informed decision-making. ドローンは、タスクを達成するための従来の方法よりも多くの利点を提供することができる。その使用にはリスクが全くないわけではないが、一定の条件下ではそのメリットがリスクを上回ることがある。ドローンが提供する利点を十分に評価するためには、利点、リスク、社会的受容性を検討する評価フレームワークが必要である。MITREは、ドローン運用をサポートするベネフィットとリスクのフレームワークを検討した結果、ベネフィットとリスクの関係を一貫して総合的に評価、比較、測定することが可能であり、その結果、より良い情報に基づく意思決定が可能になることを明らかにした。
“ assessment methodologies is needed to integrate UAS into the National Airspace System in a timely yet safe manner. A principal driver of this conclusion is the wide variety and number of UAS operations in tandem with societal safety-related benefits that those operations can provide the public. National Academy of Sciences, 2018 UASをタイムリーかつ安全な方法で国家空域システムに統合するためには、「評価方法論」が必要である。この結論の主要な推進力は、それらの操作が公衆に提供することができる社会的安全関連の利点と同時に、UAS操作の多様性と数である。米国科学アカデミー、2018年

 

Mitre_20230202004301

 

| | Comments (0)

2023.02.01

日本公認会計士協会 国際監査基準500(改訂)「監査証拠」公開草案の翻訳の公表 (2023.01.26)

 こんにちは、丸山満彦です。

日本公認会計士協会が、国際監査基準500(改訂)「監査証拠」公開草案の翻訳を公表していますね。。。

監査の肝の監査意見形成において、監査証拠というのは重要な概念ですので、これを気にちょっと復習をしておきたいと思いました。。。

コンピュータ処理の発展により、入手可能な監査証拠の量が増える一方、どこまで監査証拠を入手すれば、十分な監査証拠と言えるのか?とか、情報の改ざんが簡単かつ不正を見つけにくくなる中で、どのような監査証拠を入手すれば、適切な監査証拠と言えるのか?とか、考えれば夜も眠れなくなります(^^)...

 

日本公認会計士協会

・2023.01.26 国際監査基準500(改訂)「監査証拠」公開草案の翻訳の公表について

 

・[PDF] 公開草案「国際監査基準500(改訂)「監査証拠」及び他の国際監査基準の適合修正案」

20230201-174750

 

原文はこちら。。。

 

IAASB

・2022.10.24 PROPOSED INTERNATIONAL STANDARD ON AUDITING 500 (REVISED), AUDIT EVIDENCE, AND PROPOSED CONFORMING AND CONSEQUENTIAL AMENDMENTS TO OTHER ISAS

20230201-175128

 

 

 

| | Comments (0)

ISO 31700-1:2023 消費者保護-消費財及びサービスのためのプライバシー・バイ・デザイン-第1部:高レベルの要求事項 ISO/TR 31700-2:2023 第 2 部:ユースケース

こんにちは、丸山満彦です。

ISOから、

  • ISO 31700-1:2023 消費者保護-消費財及びサービスのためのプライバシー・バイ・デザイン-第1部:高レベルの要求事項

  • ISO/TR 31700-2:2023 消費者保護 - 消費財及びサービスのためのプライバシー・バイ・デザイン - 第 2 部:ユースケース

が公表されていますね。。。

 

ISO

・2023.01 ISO 31700-1:2023 Consumer protection — Privacy by design for consumer goods and services — Part 1: High-level requirements

ISO 31700-1:2023 Consumer protection — Privacy by design for consumer goods and services — Part 1: High-level requirements ISO 31700-1:2023 消費者保護-消費財及びサービスのためのプライバシー・バイ・デザイン-第1部:高レベルの要求事項
Abstract 概要
This document establishes high-level requirements for privacy by design to protect privacy throughout the lifecycle of a consumer product, including data processed by the consumer. 本文書は、消費者が処理するデータを含む消費者製品のライフサイクル全体を通してプライバシーを保護するためのプライバシーバイデザインの高水準の要件を確立する。
This document does not contain specific requirements for the privacy assurances and commitments that organizations can offer consumers nor does it specify particular methodologies that an organization can adopt to design and-implement privacy controls, nor the technology that can be used to operate such controls. 本文書は、組織が消費者に提供できるプライバシーの保証と約束に関する具体的な要件を含んでおらず、プライバシー管理策の設計と実装のために組織が採用できる特定の方法論、及びそのような管理の運用に使用できる技術も規定していない。

 

プレビュー...

Preview

目次

Foreword≈ まえがき
Introduction 序文
1 Scope 1 適用範囲
2 Normative references 2 参照規格
3 Terms and definitions 3 用語及び定義
4 General 4 一般事項
4.1 Overview 4.1 概要
4.2 Designing capabilities to enable consumers to enforce their privacy rights 4.2 消費者がプライバシー権を行使できるようにするための能力設計
4.3 Developing capability to determine consumer privacy preferences 4.3 消費者のプライバシーに関する嗜好を決定するための能力開発
4.4 Designing human computer interface (HCI) for privacy 4.4 プライバシーのためのヒューマンコンピュータインターフェース(HCI)の設計
4.5 Assigning relevant roles and authorities 4.5 関連する役割と権限の割り当て
4.6 Establishing multi-functional responsibilities 4.6 多機能の責任の確立
4.7 Developing privacy knowledge, skill and ability 4.7 プライバシーの知識、技能及び能力の開発
4.8 Ensuring knowledge of privacy controls 4.8 プライバシー管理策に関する知識の確保
4.9 Documentation and information management 4.9 文書化及び情報管理
5 Consumer communication requirements 5 消費者とのコミュニケーションに関する要求事項
5.1 Overview 5.1 概要
5.2 Provision of privacy information 5.2 個人情報保護情報の提供
5.3 Accountability for providing privacy information 5.3 プライバシー情報の提供に関する説明責任
5.4 Responding to consumer inquiries and complaints 5.4 消費者からの問合せ及び苦情への対応
5.5 Communicating to diverse consumer population 5.5 多様な消費者層へのコミュニケーション
5.6 Prepare data breach communications 5.6 データ侵害に関するコミュニケーションの準備
6 Risk management requirements 6 リスクマネジメントの要求事項
6.1 Overview 6.1 概要
6.2 Conducting a privacy risk assessment 6.2 プライバシーリスク評価の実施
6.3 Assessing privacy capabilities of third parties 6.3 第三者のプライバシー能力の評価
6.4 Establishing and documenting requirements for privacy controls 6.4 プライバシー管理策に関する要求事項の設定と文書化
6.5 Monitoring and updating risk assessment 6.5 リスクアセスメントの監視及び更新
6.6 Including privacy risks in cybersecurity resilience design 6.6 サイバーセキュリティのレジリエンス設計へのプライバシーリスクの組み込み
7 Developing, deploying and operating designed privacy controls 7 設計されたプライバシー管理策の開発、配備、および運用
7.1 Overview 7.1 概要
7.2 Integrating the design and operation of privacy controls into the product development and management lifecycles 7.2 プライバシー管理策の設計と運用を製品開発及び管理のライフサイクルに組み込むこと
7.3 Designing privacy controls 7.3 プライバシー管理策の設計
7.4 Implementing privacy controls 7.4 プライバシー管理策の実施
7.5 Designing privacy control testing 7.5 プライバシー管理策のテストの設計
7.6 Managing the transition of privacy controls 7.6 プライバシー管理策の移行を管理する
7.7 Managing the operation of privacy controls 7.7 プライバシー管理策の運用管理
7.8 Preparing for and managing a privacy breach 7.8 プライバシー侵害の準備と管理
7.9 Operating privacy controls for the processes and products upon which the product in scope depends throughout the PII lifecycle 7.9 PIIのライフサイクルを通じた対象製品が依存するプロセス及び製品に関するプライバシー管理策の運用
8 End of PII lifecycle requirements 8 PIIのライフサイクルの終了に関する要求事項
8.1 Overview 8.1 概要
8.2 Designing privacy controls for retirement and end of use 8.2 廃止及び使用終了のためのプライバシー管理策の設計
Bibliography 参考文献

 

序文...

Introduction 序文
Consumers’ trust and how well individual privacy needs are met are defining concerns for the digital economy. This includes how consumers' personally identifiable information (PII) and other data are processed (collected, used, accessed, stored, and deleted) — or intentionally not collected or processed — by the organization and by the digital goods and services within that digital economy. If PII has been compromised because of lax, outdated, or non-existent privacy practices, the consequences for the individual can be severe. In addition, consumers' trust of the digital product can be damaged with potentially legal or reputational impacts to the organization providing that consumer product. 消費者の信頼と個人のプライバシーニーズがどの程度満たされているかは、デジタル経済における決定的な関心事である。これには、消費者の個人識別情報(PII)やその他のデータが、組織やそのデジタル経済内のデジタル製品やサービスによってどのように処理(収集、使用、アクセス、保存、削除)されるか、または意図的に収集や処理が行われないか、が含まれる。もし、緩い、時代遅れ、または存在しないプライバシー慣行のためにPIIが漏洩した場合、個人に深刻な結果をもたらす可能性がある。さらに、デジタル製品に対する消費者の信頼が損なわれ、その消費者向け製品を提供する組織に法的または評判上の影響を与える可能性がある。
“Privacy by Design” was originally used by the Information and Privacy Commissioner of Ontario, Canada. with the goal that the individual need not bear the burden of striving for protection when using a consumer product. 「プライバシー・バイ・デザイン」は、もともとカナダ・オンタリオ州の情報・プライバシーコミッショナーによって使用されており、消費者製品の使用時に個人が保護のために努力する負担を負う必要がないことを目標としている。
Privacy by design refers to several methodologies for product, process, system, software and service development, e.g. References [1], [2], [3], [4], [5] and [6]. These methodologies take into account the privacy of a consumer throughout the design and development of a product, considering the entire product lifecycle - from before it is placed on the market, through purchase and use by consumers, to the expected time when all instances of that product finally stop being used. It means that a product has default consumer-oriented privacy controls and settings that provide appropriate levels of privacy, without placing undue burden on the consumer. プライバシー・バイ・デザインは、製品、プロセス、システム、ソフトウェア及びサービス開発のためのいくつかの方法論を参照するものである。これらの方法論は、製品の設計及び開発を通じて消費者のプライバシーを考慮し、製品が市場に出回る前か ら、消費者による購入及び使用、そしてその製品のすべてのインスタンスが最終的に使用されなくなると予想される 時期までの製品ライフサイクル全体を考慮するものである。これは、消費者に過度の負担をかけることなく、適切なレベルのプライバシーを提供する消費者志向のプライバシー管理策および設定が製品に既定されていることを意味する。
NOTE This document provides references in the bibliography to other existing standards and resources, that provide more detailed requirements and guidance on privacy (e.g. identification of PII, PII access and privacy controls, consumer consent, notification of privacy breach, secure disposal of PII, interactions with third party processors) for common functions within the organization (e.g. Corporate Governance; Data and Privacy Governance; IT Operations and IT Services Management; Security and Security Management; Data Management and Database Administration; Marketing, Product Management; Web and mobile application development, systems development; Systems administration, network administration). 注:本文書は、組織内の一般的な機能(例えば、コーポレートガバナンス、データ及びプライバシーガバナンス、IT運用及びITサービス管理、セキュリティ及びセキュリティ管理、データ管理及びデータベース管理、マーケティング、製品管理、ウェブ及びモバイルアプリケーション開発、システム開発、システム管理、ネットワーク管理)に対するプライバシー(例えば、PIIの識別、PIIアクセス及びプライバシー管理策、消費者同意、プライバシー侵害の通知、PIIの安全な処分、第三者の処理者との相互関係)についてより詳しい要件及び手引きを示す他の既存の規格及びリソースを参考文献で示すものである。
In this document, the benefits of privacy by design can be viewed through three guiding principles as outlined below. 本書では、プライバシー・バイ・デザインの利点を、以下に示す3つの指針によって捉えることができる。
Empowerment and transparency 権限委譲と透明性
There is growing demand for accurate privacy assertions, systematic methods of privacy due diligence, and greater transparency and accountability in the design and operation of consumer products that process PII. The goal is to promote wider adoption of privacy-aware design, earn consumer trust and satisfy consumer needs for robust privacy and data protection. In addition, the intent is to create and promote innovative solutions that protect and manage consumers' privacy: a) by analysing and implementing privacy controls based on the consumer’s perspective, context, and needs, and b) by succinctly documenting and communicating directly to consumers how privacy considerations were approached. PIIを処理する消費者製品の設計と運用において、正確なプライバシー主張、プライバシー・デュー・ディリジェンスの体系的な方法、より高い透明性と説明責任に対する需要が高まっている。その目的は、プライバシーを考慮した設計を広く普及させ、消費者の信頼を獲得し、強固なプライバシーとデータ保護に対する消費者のニーズを満たすことにある。さらに、a) 消費者の視点、状況、ニーズに基づいたプライバシー管理策の分析と実施、b) プライバシーへの配慮がどのようになされたかを簡潔に文書化し、消費者に直接伝えることにより、消費者のプライバシーを保護・管理する革新的なソリューションを創造し推進することを意図している。
Institutionalization and responsibility 制度化と責任
In today’s digital world of shared platforms, interconnected devices, cloud applications and personalization, it is increasingly important to delineate and distinguish the responsibilities and perspectives of the consumer of the products that process PII from those of product design, business and other stakeholders in the ecosystems in which the product operates. 共有プラットフォーム、相互接続されたデバイス、クラウドアプリケーション、パーソナライゼーションが進む今日のデジタル世界では、PIIを処理する製品の消費者の責任と視点を、製品設計、ビジネス、製品が運用されるエコシステムのその他のステークホルダーと明確に区別することがますます重要となってきている。
Privacy by design focuses on the consumer perspective when institutionalizing robust privacy norms throughout the ecosystem including privacy protection and data handling practices. With privacy by design, the consumer’s behavioural engagement with the product(s) and their privacy needs are considered early and throughout the product lifecycle process. This way, decisions concerning consumer privacy needs will be more consistent and systematic and become a functional requirement alongside the interests of product design, business and other stakeholders. プライバシー・バイ・デザインは、プライバシー保護とデータ取扱いの慣行を含むエコシステム全体にわたって強固なプライバシー規範を制度化する際に、消費者の視点に焦点を当てる。プライバシー・バイ・デザインでは、消費者の製品への行動的関与とプライバシーニーズが、製品のライフサイクルプロセスの早期かつ全体にわたって考慮されます。このようにして、消費者のプライバシーニーズに関する決定は、より一貫して体系化され、製品設計、ビジネス、その他の利害関係者の利益と並んで機能要件となる。
Privacy by design also focuses on accountability, responsibility, and leadership. These aspects are essential to successfully operationalizing and institutionalizing the privacy by design process. A demonstrated leadership commitment to privacy by design is essential to operationalize and institutionalize privacy in the product design process of an organization. プライバシー・バイ・デザインは、説明責任、責任、リーダーシップにも重点を置いている。これらの側面は、プライバシー・バイ・デザイン・プロセスをうまく運用し、制度化するために不可欠です。組織の製品設計プロセスにおいてプライバシーを運用し、制度化するためには、プライバシー・バイ・デザインに対するリーダーシップのコミットメントを実証することが必要不可欠です。
Ecosystem and lifecycle エコシステムとライフサイクル
A privacy by design approach can be applied to the broader information ecosystems in which both technologies and organizations operate and function. Privacy and consumer protection benefit from taking a holistic, integrative approach that considers as many contextual factors as possible (e.g. the type of consumer, their goal and intent in using a product, and the data the product will process for that consumer) – even (or especially) when these factors lie outside the direct control of any particular actor, organization, or component in the system. [see 5.5.3 a)]. プライバシー・バイ・デザインのアプローチは、テクノロジーと組織の両方が運用され機能する、より広い情報の生態系に適用することができます。プライバシーと消費者保護は、できるだけ多くの文脈的要因(例えば、消費者のタイプ、製品を使用する目的及び意図、製品がその消費者のために処理するデータ)を考慮する全体的、統合的なアプローチをとることによって恩恵を受ける。[5.5.3 a)を参照]。
Privacy by design applies to all products that use PII, whether physical goods, or intangible services such as software as a service, or a mixture of both. It is intended to be scalable to the needs of all types of organizations in different countries and different sectors, regardless of organization size or maturity. プライバシー・バイ・デザインは、物理的な商品であれ、サービスとしてのソフトウェアのような無形のサービスであれ、あるいはその両方の混合物であれ、PIIを使用するすべての製品に適用されます。これは、組織の規模や成熟度に関係なく、様々な国や様々な分野のあらゆるタイプの組織のニーズに対応できるよう、拡張性を持たせることを意図している。
It is possible that additional privacy issues and a need for related controls are identified at any point in the product lifecycle, including during development or after use by consumers. Privacy by design methodologies support iterative approaches to product development, with supplementary privacy enhancements designed and deployed long after the initial design phase. 開発中や消費者による使用後など、製品ライフサイクルのどの時点でも、追加のプライバシー問題や関連する管理の必要性が特定される可能性がある。プライバシー・バイ・デザインの方法論は、製品開発における反復的なアプローチをサポートし、最初の設計段階のずっと後にプライバシーに関する補足的な強化が設計され、展開される。
Audience for this document 本文書の読者
The primary audiences for this document are those staff of organizations and third parties, who are responsible for the concept, design, manufacturing, management, testing, operation, service, maintenance and disposal of consumer goods and services. 本文書の主な読者は、消費財及びサービスのコンセプト、設計、製造、管理、試験、運用、サービス、保守及び廃棄に責任を有する組織及び第三者のスタッフである。

 

 

 


 

TRのほう...

・2023.01 ISO/TR 31700-2:2023 Consumer protection — Privacy by design for consumer goods and services — Part 2: Use cases

ISO/TR 31700-2:2023 Consumer protection — Privacy by design for consumer goods and services — Part 2: Use cases ISO/TR 31700-2:2023 消費者保護 - 消費財及びサービスのためのプライバシー・バイ・デザイン - 第 2 部:ユースケース
Abstract 概要
This document provides illustrative use cases, with associated analysis, chosen to assist in understanding the requirements of 31700-1. 本書は、31700-1 の要求事項の理解を助けるために選んだ、例示的なユースケースとそれに関連する分析を提供するものである。
The intended audience includes engineers and practitioners who are involved in the development, implementation or operation of digitally enabled consumer goods and services. 対象読者は、デジタル化された消費財及びサービスの開発、実装又は運用に携わる技術者及び実務者である。

 

プレビュー...

Preview

 

目次...

Foreword まえがき
Introduction 序文
1 Scope 1 適用範囲
2 Normative references 2 参照規格
3 Terms and definitions 3 用語と定義
4 Abbreviated terms 4 省略語
5 Overview of ISO 31700-1 requirements and related concepts 5 ISO 31700-1要求事項及び関連概念の概要
5.1 ISO 31700-1 Requirements 5.1 ISO 31700-1要求事項
5.2 Related concepts 5.2 関連する概念
5.3 Viewpoints in the use cases 5.3 ユースケースにおける視点
5.3.1 General 5.3.1 一般
5.3.2 Consumer product viewpoint 5.3.2 消費者製品の視点
5.3.3 Engineering framework viewpoint 5.3.3 エンジニアリングフレームワークの視点
5.3.4 Ecosystem viewpoint 5.3.4 エコシステムの視点
6 Use case analysis 6 ユースケース分析
6.1 General 6.1 一般論
6.2 Use case template 6.2 ユースケーステンプレート
7 Use cases 7 ユースケース
7.1 General 7.1 一般的事項
7.2 On-line retailing 7.2 オンライン販売
7.2.1 On-line retailing use case main description 7.2.1 オンライン販売のユースケースの主な説明
7.2.2 On-line retailing consumer communication 7.2.2 オンライン小売業における消費者コミュニケーション
7.2.3 On-line retailing summary 7.2.3 オンラインショップの概要
7.2.4 On-line retailing general requirements 7.2.4 オンラインショップの一般要件
7.2.5 On-line retailing risk management 7.2.5 オンライン小売業におけるリスクマネジメント
7.2.6 On-line retailing development, deployment and operation 7.2.6 オンライン小売業の開発、展開、運用
7.2.7 On-line retailing end of PII lifecycle 7.2.7 オンラインリテイリングにおけるPIIライフサイクルの終了
7.3 Fitness company 7.3 フィットネス企業
7.3.1 Fitness company use case main description 7.3.1 フィットネス企業のユースケースの主な説明
7.3.2 Fitness company risk management of health application 7.3.2 フィットネス企業の健康アプリケーションのリスクマネジメント
7.3.3 Fitness company consumer communication 7.3.3 フィットネス企業の消費者コミュニケーション
7.4 Smart locks for homes front doors 7.4 家庭玄関ドア用スマートロック
7.4.1 Smart locks product line main description 7.4.1 スマートロックの製品群の主な説明
7.4.2 Smart locks basic configuration 7.4.2 スマートロックの基本構成
7.4.3 Smart locks colocation configuration 7.4.3 スマートロックのコロケーション構成
7.4.4 Smart locks family configuration 7.4.4 スマートロックのファミリー構成
7.4.5 Smart locks risk management 7.4.5 スマートロックのリスクマネジメント
7.4.6 Smart locks consumer communication 7.4.6 スマートロックの消費者通信
7.4.7 Smart locks development, deployment and operation 7.4.7 スマートロックの開発、展開、運用
Bibliography 参考文献

 

序文...

Introduction 序文
ISO 31700-1[1] provides high-level requirements and recommendations for organizations using privacy by design in the development, maintenance and operation of consumer goods and services. These are grounded in a consumer-focused approach, in which consumer privacy rights and preferences are placed at the heart of product development and operation. ISO 31700-1[1]は、消費者向け製品及びサービスの開発、維持及び運用においてプライバシーバイデザインを用いる組織のための高レベルの要件及び勧告を規定している。これらは、消費者のプライバシーの権利及び嗜好を製品開発及び運用の中心に置くという、消費者に焦点を当てたアプローチに基づいている。
Use case help to identify, clarify and organize system requirements related to a set of goals, by illustrating a series of possible sequences of interactions between stakeholder(s) and system(s) in a particular ecosystem. ユースケースは、特定のエコシステムにおける利害関係者とシステムとの間の一連の可能な相互作用 を示すことにより、一連の目標に関連するシステム要件の特定、明確化及び整理を助けるものである。
The use cases in this document use a template that is based on IEC 62559-2 [2] while enabling a focus on privacy by design challenges and on the ISO 31700-1 requirements. 本文書のユースケースは、IEC 62559-2 [2]に基づき、設計上の課題及びISO 31700-1の要求事項に焦点を当てることを可能にするテンプレートを使用している。
Although there are a wide range of use cases, this document provides three sample use cases to help further understand the implementation of ISO 31700-1: on-line retailing, a fitness company and smart locks. ユースケースは多岐にわたるが、本書では、ISO 31700-1 の実装をより理解するために、オンライン小売業、フィットネス企業、スマートロックの 3 つのユースケースを例示している。

 

 

Iso_20230201164101

 

 

Continue reading "ISO 31700-1:2023 消費者保護-消費財及びサービスのためのプライバシー・バイ・デザイン-第1部:高レベルの要求事項 ISO/TR 31700-2:2023 第 2 部:ユースケース"

| | Comments (0)

NISC サイバーセキュリティ月間始まりました

こんにちは、丸山満彦です。

以前は2月2日が情報セキュリティの日だったのですが、今は2月1日から3月なかば(今年は18日)までをサイバーセキュリティ月間としていますね。。。

NISC

2023年サイバーセキュリティ月間

今年は、QUADで連携してすると言うことのようです。。。

本年は日米豪印の4か国(QUAD)で連携をしつつ、サイバーセキュリティに関する様々な取組を集中的に行っていきます。

そして、トップメッセージとして、

内閣官房⻑官より、2023年サイバーセキュリティ⽉間の開始にあたっての動画メッセージです。

サイバーセキュリティ9か条のビデオ...

サイバーセキュリティ対策9か条の動画を見る

[YouTube] 1.OSやソフトウェアは常に最新の状態にしておこう

[YouTube] 2.パスワードは長く複雑にして、他と使い回さないようにしよう

[YouTube] 3.多要素認証を利用しよう

[YouTube] 4.偽メールや偽サイトに騙されないように用心しよう

[YouTube] 5.メールの添付ファイルや本文中のリンクに注意しよう

[YouTube] 6.スマホやPCの画面ロックを利用しよう

[YouTube] 7.大切な情報は失う前にバックアップ(複製)しよう

[YouTube] 8.外出先では紛失・盗難・覗き見に注意しよう

[YouTube] 9.困った時はひとりで悩まず、まず相談しよう

パンフレット...

・[PDF] サイバーセキュリティ9ヶ条

20230209-53837

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

確か、この辺りが最初の話...

・2006.10.28 毎年2月2日は情報セキュリティの日

で、翌年に

・2007.01.26 みんなで「情報セキュリティ」強化宣言!

そして、3年後の2010年に月間になり...

・2010.01.30 今年から2月は「情報セキュリティ月間」

 

ただし、米国とEU、オーストラリアは10月がサイバーセキュリティ意識月間、サイバーセキュリティ月間...

・2021.10.05 米国・EU 10月はサイバーセキュリティ(意識向上)月間

なぜ、欧米に合わせなかった?という意見もあるかもしれませんが、日本の方が早くから始めていますからね。。。

 

Australian Cybeer Security Centre

Cybeer Security Awareness Month 2022

 

ENISA

European Cybersecurity Month

 

CISA

CYBERSECURITY AWARENESS MONTH

 

 

| | Comments (0)

1月28日は「データ保護の日」でした... 2023

こんにちは、丸山満彦です。

データ保護の分野で初めて法的拘束力を持つ国際法である欧州評議会の「個人情報の保護に関する条約(条約第108号)」が1981年1月28日に制定されたことから1月28日を「データ保護の日」にしたようで、今年がその17回目の記念日だったようです。。。

320pxcouncil_of_europe_logo_2013_revised

Council of Europe (欧州評議会)

・2023.01.28 Data Protection Day  - 28 January 2023: 17th Data Protection Day 

 

Data Protection Day  - 28 January 2023: 17th Data Protection Day  データ保護デー - 2023年1月28日:第17回データ保護デー 
In 2006, the Committee of Ministers of the Council of Europe decided to launch a Data Protection Day, to be celebrated each year on 28 January. Data Protection Day is now celebrated globally and is called the "Privacy Day" outside Europe. 2006年、欧州評議会の閣僚委員会は、毎年1月28日を「データ保護の日」とすることを決定した。現在、データ保護デーは世界的に祝われており、ヨーロッパ以外では「プライバシーデー」と呼ばれている。
On 28 January 2023, the 17th edition of Data Protection Day will be celebrated globally. It aims at raising awareness on the right to data protection. The Council of Europe, initiator of this important celebration, continues to play a leading role by encouraging and showcasing initiatives held on this occasion. 2023年1月28日には、第17回目の「データ保護の日」が世界的に祝われる予定である。データ保護の権利に関する認識を高めることを目的としている。この重要な記念行事を始めた欧州評議会は、この日に行われるイニシアチブを奨励し、紹介することで、引き続き主導的な役割を担っている。
Celebrated yearly at the same date, Data Protection Day marks the anniversary of the opening for signature of Convention 108, the global data protection Convention. For over 40 years, Convention 108 has influenced and shaped the protection of privacy and of data protection in Europe and beyond. Its modernised version (known as Convention 108+) will continue to do so. 毎年同じ日に開催されるデータ保護デーは、世界的なデータ保護条約である108号条約の署名が開始された記念すべき日である。 40年以上にわたって、108号条約はヨーロッパをはじめとする世界のプライバシー保護とデータ保護に影響を与え、それを形成してきた。その近代化版(Convention 108+として知られる)は、今後もそうあり続けるだろう。
The main goal of this day is to educate the public on data protection challenges, and inform the individuals about their rights and how to exercise them. In this perspective, the Stefano Rodotà Award, established by the Committee of Convention 108, will honour innovative and original academic research projects in the field of data protection. The winners will be announced on the occasion of this special date. この日の主な目的は、データ保護の課題について一般の人々を啓発し、個人の権利とその行使方法について知らせることである。この観点から、108号条約委員会が設立したStefano Rodotà賞は、データ保護の分野における革新的で独創的な学術研究プロジェクトを表彰するものである。受賞者はこの特別な日に発表される予定である。

 

Stefano Rodotà賞

・2023.01.28 2023 Rodotà Award

英国のアラン・チューリング研究所のポスドクである、Janis Wongさんの「コモンズ "によるデータ保護ソリューションの共創」ですね。。。

・[PDF]  "Co-creating data protection solutions through a Commons")

 


 

EDPBも...

 

EDPB

・2023.01.27 Data Protection Day 2023

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

去年の記事...

・2022.01.31 1月28日は「データ保護の日」でした...



関連記事

・2023.01.31 欧州 ENISA パーソナルデータ共有を上手くやりこなす

 

 

 

 

 

| | Comments (0)

« January 2023 | Main | March 2023 »