まるちゃんの情報セキュリティ気まぐれ日記: February 2023

March 2023
Sun	Mon	Tue	Wed	Thu	Fri	Sat
			1	2	3	4
5	6	7	8	9	10	11
12	13	14	15	16	17	18
19	20	21	22	23	24	25
26	27	28	29	30	31

February 2023

2023.02.28

欧州 EDPB ガイドライン03/2022 ソーシャルメディア・プラットフォームのインターフェースにおける欺瞞的なデザインパターン：その認識と回避方法について

こんにちは、丸山満彦です。

EDPBが、ソーシャルメディア等で利用されている可能性がある、ユーザーインターフェースにおける欺瞞的なデザインパターンを整理し、その回避方法についての説明をプライバシー保護の観点からしているガイドが改定され、公表されています。

ソーシャルメディアに関係ないし、プライバシー保護以外の文脈でも利用できそうで、興味深いです。。。

欺瞞的なデザインについては次の６つに類型化していますね。。。

欺瞞的デザイン		例示
oberloading	過負荷	Continuous prompting	連続指示
		Privacy Maze	プライバシー迷宮
		Too Many Options	多すぎる選択肢
Skipping	スキップ	Deceptive Snugness	偽りの快適性
Skipping	スキップ	Look over there	あっちを見て
Stirring	動揺	Emotional Steering	感情的誘導
Stirring	動揺	Hidden in plain sight	見えざるもの
Obstructing	妨害	Dead end	行き止まり
		Longer than necessary	長すぎ
		Misleading action	誤解を招く動作
Fickle	気まぐれ	Lacking hierarchy	階層性の欠如
		Decontextualising	非文脈化
		Inconsistent Interface	一貫性のないインターフェイス
		Language Discontinuity	言語の不連続性
Left in the dark	暗闇に取り残す	Conflicting information	矛盾する情報
Left in the dark	暗闇に取り残す	Ambiguous wording or information	曖昧な表現・情報

ガイドの方...

● EDPB

・2023.02.24 EDPB publishes three guidelines following public consultation

EDPB publishes three guidelines following public consultation	EDPB、パブリックコンサルテーションの結果、3つのガイドラインを発表
Following public consultation, the EDPB has adopted three sets of guidelines in their final version:	EDPBは、パブリック・コンサルテーションを経て、3つのガイドラインを最終版として採択した。
Guidelines on the Interplay between the application of Art. 3 and the provisions on international transfers as per Chapter V GDPR: The Guidelines clarify the interplay between the territorial scope of the GDPR (Art. 3) and the provisions on international transfers in Chapter V. They aim to assist controllers and processors when identifying whether a processing operation constitutes an international transfer, and to provide a common understanding of the concept of international transfers. Following public consultation, the guidelines were updated and further clarifications were added. Most notably, a clarification was added regarding the responsibilities of the controller when the data exporter is a processor. In addition, further examples were added to clarify aspects of direct collection, as well as the meaning of “the data importer is in a third country”. Moreover, an annex was added with further illustrations of the examples included in the guidelines to facilitate understanding.	第3条の適用とGDPR第5章の国際的な移転に関する規定の相互作用に関するガイドライン。3とGDPR第5章の国際移転に関する規定との相互作用に関するガイドライン」である。本ガイドラインは、GDPRの適用範囲（第3条）と第5章の国際移転に関する規定の相互関係を明確にするもので、管理者と処理者が処理業務が国際移転に該当するかどうかを特定する際に支援し、国際移転の概念に関する共通理解を提供することを目的としている。パブリックコンサルテーションの後、ガイドラインは更新され、さらなる明確化が加えられた。最も注目すべきは、データ越境送信者が処理者である場合の管理者の責任に関する明確化が追加されたことである。さらに、直接収集の側面や、「データの越境受信者が第三国にいる」ことの意味を明確にするために、さらなる例が追加された。さらに、ガイドラインに含まれる例をさらに図解した附属書を追加し、理解を容易にした。
Guidelines on certification as a tool for transfers: The main purpose of these guidelines is to provide further clarification on the practical use of this transfer tool. The guidelines are composed of four parts, each focusing on specific aspects regarding certification as a tool for transfers. The guidelines complement guidelines 1/2018 on certification, which provide more general guidance on certification. Following public consultation, the Guidelines were updated to reflect comments received.	移転のためのツールとしての認証に関するガイドライン。本ガイドラインの主な目的は、この移転ツールの実用的な使用方法をさらに明確にすることである。本ガイドラインは4つのパートで構成され、それぞれが譲渡のためのツールとしての認証に関する特定の側面に焦点を当てている。本ガイドラインは、認証に関するより一般的なガイダンスを提供する、認証に関するガイドライン1/2018を補完するものである。パブリックコンサルテーションの後、寄せられたコメントを反映して、ガイドラインは更新された。
Guidelines on deceptive design patterns in social media platform interfaces: The guidelines offer practical recommendations to designers and users of social media platforms on how to assess and avoid deceptive design patterns in social media interfaces that infringe on GDPR requirements. The guidelines give concrete examples of deceptive design pattern types, present best practices for different use cases and contain specific recommendations for designers of user interfaces that facilitate the effective implementation of the GDPR. Following public consultation, the final version integrates updated wording and further clarifications in order to address comments and feedback received. In particular, the title of the Guidelines has been modified and the term “dark pattern” has been replaced by the term “deceptive design patterns”. In addition, some clarifications were added, for example on how to integrate the present Guidelines in the design thinking process and a second Annex was added, providing a quick overview of all the best practices.	ソーシャルメディア・プラットフォームのインターフェースにおける欺瞞的なデザイン・パターンに関するガイドライン。本ガイドラインは、ソーシャルメディアプラットフォームの設計者や利用者に対し、GDPRの要件を侵害するソーシャルメディアインターフェースの欺瞞的なデザインパターンをどのように評価し回避するかについて、実践的な推奨を行うものである。ガイドラインは、欺瞞的デザインパターンのタイプの具体例を示し、異なるユースケースに対するベストプラクティスを提示し、GDPRの効果的な実施を促進するユーザーインターフェースの設計者に対する特定の推奨事項を含んでいる。パブリックコンサルテーションを経て、最終版では、寄せられたコメントやフィードバックに対応するため、文言の更新とさらなる明確化が行われている。特に、ガイドラインのタイトルが変更され、「ダークパターン」という用語が「ディセプティブデザインパターン」という用語に置き換えられている。さらに、デザイン思考プロセスにおける本ガイドラインの統合方法など、いくつかの説明が追加され、すべてのベストプラクティスの概要を提供する第二の附属書が追加された。

・2023.02.24 Guidelines 03/2022 on deceptive design patterns in social media platform interfaces: how to recognise and avoid them

・[PDF]

・「DOCX] 仮訳

エグゼクティブサマリー...

EXECUTIVE SUMMARY	エグゼクティブサマリー
These Guidelines offer practical recommendations to social media providers as controllers of social media, designers and users of social media platforms on how to assess and avoid so-called “deceptive design patterns” in social media interfaces that infringe on GDPR requirements. To this end, the EDPB recommends that controllers make use of interdisciplinary teams, consisting, among others, of designers, data protection officers and decision-makers. It is important to note that the list of deceptive design patterns and best practices, as well as the use cases, are not exhaustive. Social media providers remain responsible and accountable for ensuring the GDPR compliance of their platforms.	本ガイドラインは、ソーシャルメディアの管理者であるソーシャルメディアプロバイダ、ソーシャルメディアプラットフォームの設計者及び利用者に対し、GDPRの要件を侵害するソーシャルメディアインターフェースにおけるいわゆる「欺瞞的デザインパターン」を評価し回避する方法について実践的な勧告を行うものである。この目的のために、EDPBは、管理者が、特に設計者、データ保護責任者、意思決定者からなる学際的なチームを活用することを推奨している。欺瞞的なデザインパターンやベストプラクティスのリスト、および使用例は、すべてを網羅したものではないことに留意することが重要である。ソーシャルメディア・プロバイダーは、自社のプラットフォームのGDPR遵守を確保する責任と義務を負っている。
Deceptive design patterns in social media platform interfaces	ソーシャルメディアプラットフォームのインターフェースにおける欺瞞的なデザインパターン
In the context of these Guidelines, “deceptive design patterns” are considered as interfaces and user journeys implemented on social media platforms that attempt to influence users into making unintended, unwilling and potentially harmful decisions, often toward a decision that is against the users’ best interests and in favour of the social media platforms interests, regarding the processing of their personal data. Deceptive design patterns aim to influence users’ behaviour and can hinder their ability to effectively protect their personal data and make conscious choices. Data protection authorities are responsible for sanctioning the use of deceptive design patterns if these breach GDPR requirements. The deceptive design patterns addressed within these Guidelines can be divided into the following categories:	本ガイドラインの文脈では、「欺瞞的なデザインパターン」とは、ソーシャルメディアプラットフォームに実装されたインターフェースやユーザージャーニーで、ユーザの個人データの処理に関して、意図せず、不本意で有害となりうる決定、しばしばユーザの最善の利益に反する決定やソーシャルメディアプラットフォームの利益を優先する決定に影響を与えようとするものと見なされる。欺瞞的なデザインパターンは、ユーザーの行動に影響を与えることを目的としており、ユーザーが効果的に個人データを保護し、意識的に選択する能力を阻害する可能性がある。データ保護当局は、欺瞞的なデザインパターンの使用がGDPRの要件に違反する場合、その使用を制裁する責任を負う。本ガイドラインで扱う欺瞞的なデザインパターンは、以下のカテゴリーに分類される。
§ Overloading means users are confronted with an avalanche/large quantity of requests, information, options or possibilities in order to prompt them to share more data or unintentionally allow personal data processing against the expectations of the data subject. The following three deceptive design pattern types fall into this category: Continuous prompting, Privacy Maze and Too Many Options	§ 過負荷とは、ユーザーが雪崩のように大量の要求、情報、オプション、可能性に直面し、より多くのデータを共有するよう促されたり、意図せずデータ主体の期待に反する個人データ処理を許してしまうことを意味する。次の3つの欺瞞的なデザインパターンは、このカテゴリに分類される。「連続指示」、「プライバシー迷宮」、「多すぎる選択肢」
§ Skipping means designing the interface or user journey in a way that users forget or do not think about all or some of the data protection aspects.	§ スキップとは、ユーザーがデータ保護の側面のすべてまたは一部を忘れたり、考えないように、インターフェースやユーザージャーニーを設計することを意味する。
The following two deceptive design pattern types fall into this category: Deceptive Snugness and Look over there	以下の2つの欺瞞的なデザインパターンがこれに該当する。「偽りの快適性」、「あっちを見て」
§ Stirring affects the choice users would make by appealing to their emotions or using visual nudges.	§ 動揺とは感情に訴えたり、視覚的な刺激を与えたりすることで、ユーザーの選択に影響を与える。
The following two deceptive design pattern types fall into this category: Emotional Steering and Hidden in plain sight	次の2つの欺瞞的なデザインパターンがこれに該当する。「感情的誘導」、「見えざるもの」
§ Obstructing means hindering or blocking users in their process of becoming informed or managing their data by making the action hard or impossible to achieve.	§ 妨害とは、ユーザーが情報を得たりデータを管理したりする過程で、その行為を困難または不可能にすることにより、妨げたり阻止したりすることを意味する。
The following three deceptive design pattern types fall into this category: Dead end, Longer than necessary and Misleading action	以下の3つの欺瞞的なデザインパターンがこれに該当する。「行き止まり」、「長すぎ」、「誤解を招く動作」
§ Fickle means the design of the interface is inconsistent and not clear, making it hard for the user to navigate the different data protection control tools and to understand the purpose of the processing.	§ 気まぐれとは、インターフェースのデザインに一貫性がなく、明確でないため、ユーザーがさまざまなデータ保護管理ツールを操作し、処理の目的を理解することが困難であることを意味する。
The following four deceptive design pattern types fall into this category: Lacking hierarchy, Decontextualising, Inconsistent Interface and Language Discontinuity	以下の4つの欺瞞的なデザインパターンがこれに該当する。「階層性の欠如」、「非文脈化」、「一貫性のないインターフェース」、「言語の不連続性」
§ Left in the dark means an interface is designed in a way to hide information or data protection control tools or to leave users unsure of how their data is processed and what kind of control they might have over it regarding the exercise of their rights.	§ 暗闇に取り残すとは、情報やデータ保護管理ツールを隠したり、自分のデータがどのように処理され、権利の行使に関してどのような管理が可能なのかユーザーに分からないままにしておくような形でインターフェースが設計されていることを意味する。
The following two deceptive design pattern types fall into this category: Conflicting information and Ambiguous wording or information	以下の2つの欺瞞的なデザインパターンがこれに該当する。「矛盾する情報」、「曖昧な表現・情報」
Relevant GDPR provisions for deceptive design pattern assessments	欺瞞的デザインパターン評価に関するGDPRの関連規定
Regarding the data protection compliance of user interfaces of online applications within the social media sector, the data protection principles applicable are set out within Article 5 GDPR. The principle of fair processing laid down in Article 5 (1) (a) GDPR serves as a starting point to assess whether a design pattern actually constitutes a “deceptive design pattern”. Further principles playing a role in this assessment are those of transparency, data minimisation and accountability under Article 5 (1) (a), (c) and (2) GDPR, as well as, in some cases, purpose limitation under Article 5 (1) (b) GDPR. In other cases, the legal assessment is also based on conditions of consent under Articles 4 (11) and 7 GDPR or other specific obligations, such as Article 12 GDPR. Evidently, in the context of data subject rights, the third chapter of the GDPR also needs to be taken into account. Finally, the requirements of data protection by design and default under Article 25 GDPR play a vital role, as applying them before launching an interface design would help social media providers avoid deceptive design patterns in the first place.	ソーシャルメディア分野におけるオンラインアプリケーションのユーザーインターフェースのデータ保護コンプライアンスに関して、適用されるデータ保護原則は、GDPR第5条に規定されている。GDPR第5条1項（a）に規定されている公正処理の原則は、デザインパターンが実際に「欺瞞的デザインパターン」を構成しているかどうかを評価する出発点として機能する。この評価でさらに役割を果たす原則は、GDPR第5条（1）（a）、（c）、（2）に基づく透明性、データ最小化、説明責任、また、場合によってはGDPR第5条（1）（b）に基づく目的制限の原則である。また、他のケースでは、GDPR第4条（11）および第7条に基づく同意の条件や、GDPR第12条などの特定の義務に基づいて法的評価が行われる。明らかに、データ主体の権利の文脈では、GDPRの第3章も考慮する必要がある。最後に、GDPR第25条に基づくデザインおよびデフォルトによるデータ保護の要件は、インターフェースデザインを開始する前に適用することで、ソーシャルメディアプロバイダが欺瞞的なデザインパターンをそもそも回避するのに役立つため、重要な役割を果たすと言える。
Examples of deceptive design patterns in use cases of the life cycle of a social media account	ソーシャルメディアアカウントのライフサイクルのユースケースにおける欺瞞的デザインパターンの例
The GDPR’s provisions apply to the entire course of personal data processing as part of the operation of social media platforms, i.e. to the entire life cycle of a user account. The EDPB gives concrete examples of deceptive design pattern types for the following different use cases within this life cycle: the sign-up, i.e. registration process; the information use cases concerning the privacy notice, joint controllership and data breach communications; consent and data protection management; exercise of data subject rights during social media use; and, finally, closing a social media account. Connections to GDPR provisions are explained in two ways: firstly, each use case explains in more detail which of the above-mentioned GDPR provisions are particularly relevant to it. Secondly, the paragraphs surrounding the deceptive design pattern examples explain how these infringe on the GDPR.	GDPRの規定は、ソーシャルメディアプラットフォームの運用の一環として、個人データ処理の全過程、すなわちユーザーアカウントのライフサイクル全体に適用される。EDPBは、このライフサイクルの中で、サインアップ（登録プロセス）、プライバシー通知、共同管理、データ侵害コミュニケーションに関する情報ユースケース、同意とデータ保護管理、ソーシャルメディア使用中のデータ主体の権利行使、そして最後にソーシャルメディアアカウントの閉鎖という異なる使用ケースについて、欺瞞的デザインパターンタイプの具体例を示している。まず、各ユースケースで、上記のGDPR条項のうち、どの条項が特に関連しているかを詳しく説明している。2つ目は、欺瞞的なデザインパターンの例を囲む段落で、これらがどのようにGDPRに抵触するのかを説明している。
Best practice recommendations	ベストプラクティスの推奨
In addition to the examples of deceptive design patterns, the Guidelines also present best practices at the end of each use case, as well as in Annex II to these Guidelines. These contain specific recommendations for designing user interfaces that facilitate the effective implementation of the GDPR.	また、本ガイドラインでは、欺瞞的なデザインパターンの例に加え、各ユースケースの末尾や本ガイドラインの附属書IIでベストプラクティスを提示している。これらには、GDPRの効果的な実施を促進するためのユーザーインターフェースの設計に関する具体的な推奨事項が含まれている。
Checklist of deceptive design pattern categories	欺瞞的なデザインパターンのカテゴリのチェックリスト
A checklist of deceptive design pattern categories can be found in Annex I to these Guidelines. It provides an overview of the abovementioned categories and the deceptive design pattern types, along with a list of the examples for each pattern that are mentioned in the use cases. Some readers may find it useful to use the checklist as a starting point to discover these Guidelines.	本ガイドラインの附属書 I には、欺瞞的デザインパターンのカテゴリーに関するチェックリストが掲載されている。これは、上記のカテゴリと欺瞞的デザインパターンのタイプの概要と、ユースケースで言及されている各パターンの例のリストを提供するものである。読者の中には、このチェックリストをきっかけに本ガイドラインを発見される方もいるかもしれない。

目次...

Exective Summary	エグゼクティブサマリー
1 Scope	1 範囲
2 Principles Applicable – What to keep in mind?	2 適用される原則 - 何を心がけるべきか？
2.1 Accountability	2.1 説明責任
2.2 Transparency	2.2 透明性
2.3 Data protection by design and default	2.3 デザインとデフォルトによるデータ保護
3 The life cycle of a social media account: putting the principles into practice	3 ソーシャルメディアアカウントのライフサイクル原則を実践する
3.1 Opening a social media account	3.1 ソーシャルメディアのアカウント開設
Use case 1: Registering an account	ユースケース1：アカウント登録
3.2 Staying informed on social media	3.2 ソーシャルメディアで情報を発信する
Use case 2a: A layered privacy notice	ユースケース2a：重層的なプライバシー通知
Use case 2b: Providing information about joint controllership to the data subject, Article 26 (2) GDPR	ユースケース2b：データ対象者への共同支配に関する情報の提供、GDPR第26条（2）項
Use case 2c: Communication of a personal data breach to the data subject	ユースケース2c：データ主体への個人情報漏洩の連絡
3.3 Staying protected on social media	3.3 ソーシャルメディアで保護された状態を保つ
Use case 3a: Managing one’s consent while using a social media platform	ユースケース3a：ソーシャルメディア利用時の自分の同意の管理
Use case 3b: Managing one’s data protection settings	ユースケース3b：自分のデータ保護設定の管理
3.4 Staying right on social media: Data subject rights	3.4 ソーシャルメディアで正しくあること：データ主体の権利
Use case 4: How to provide proper functions for the exercise of data subject rights	ユースケース4：データ主体の権利行使のための適切な機能の提供方法
3.5 So long and farewell: leaving a social media account	3.5 終了：ソーシャルメディアアカウントの離脱
Use case 5: pausing the account/erasure of all personal data	ユースケース5：アカウントの一時停止／すべての個人データの消去
4 Annex I: List of deceptive design pattern categories and types	4 附属書 I:欺瞞的デザインパターンのカテゴリーとタイプのリスト
4.1 Overloading	4.1 過負荷
4.1.1 Continuous prompting	4.1.1 連続指示
4.1.2 Privacy Maze	4.1.2 プライバシー迷宮
4.1.3 Too many options	4.1.3 多すぎる選択肢
4.2 Skipping	4.2 スキップ
4.2.1 Deceptive snugness	4.2.1 偽りの快適性
4.2.2 Look over there	4.2.2 あっちを見て
4.3 Stirring	4.3 動揺
4.3.1 Emotional Steering	4.3.1 感情的誘導
4.3.2 Hidden in plain sight	4.3.2 見えざるもの
4.4 Obstructing	4.4 妨害
4.4.1 Dead end	4.4.1 行き止まり
4.4.2 Longer than necessary	4.4.2 長すぎ
4.4.3 Misleading action	4.4.3 誤解を招く動作
4.5 Fickle	4.5 気まぐれ
4.5.1 Lacking hierarchy	4.5.1 階層性の欠如
4.5.2 Decontextualising	4.5.2 非文脈化
4.5.3 Inconsistent interface	4.5.3 一貫性のないインターフェース
4.5.4 Language discontinuity	4.5.4 言語の不連続性
4.6 Left in the dark	4.6 暗闇に取り残す
4.6.1 Conflicting information	4.6.1 矛盾する情報
4.6.2 Ambiguous wording or information	4.6.2曖昧な表現・情報
5 Annex II: Best practices	5 附属書 II：ベストプラクティス

附属書I より...

4.1 Overloading	4.1 過負荷
Burying users under mass of requests, information, options or possibilities in order to deter them from going further and make them keep or accept certain data practice.	ユーザーを大量の要求、情報、オプション、可能性の下に置き、それ以上進むことを躊躇させ、特定のデータ処理を維持または受け入れさせること。
4.1.1 Continuous prompting[1]	4.1.1 連続指示 [1]
Pushing users to provide more personal data than necessary for the purpose of processing or to agree with another use of their data by repeatedly asking users to provide data or to consent to a new purpose of processing. Such repetitive prompts can happen through one or several devices. Users are likely to end up giving in, wearied from having to refuse the request each time they use the platform which disrupts them in their use.	データの提供や新たな処理目的への同意をユーザーに繰り返し求めることで、処理目的に必要以上の個人データを提供するよう、またはデータの別の用途に同意するよう、ユーザーに迫ること。このような反復的なプロンプトは、1つまたは複数のデバイスを通じて行われることがある。ユーザーは、利用を中断させるプラットフォームを利用するたびに要求を拒否しなければならないことに疲れ、結局は屈してしまう可能性が高い。
[1] This pattern is closely related to a type of pattern called “Nagging’ found in the academic literature.	[1] このパターンは、学術的な文献に見られる「Nagging」と呼ばれるタイプのパターンと密接な関係がある。
4.1.2 Privacy Maze	4.1.2 プライバシー迷宮
When users wish to obtain certain information or use a specific control or exercise a data subject right, it is particularly difficult for them to find it as they have to navigate through too many pages in order to obtain the relevant information or control, without having a comprehensive and exhaustive overview available. Users are likely to give up or miss the relevant information or control.	ユーザーが特定の情報を得たり、特定の機能を利用したり、データ主体の権利を行使したりすることを希望する場合、包括的かつ網羅的な概要が利用可能でなければ、関連する情報や機能を得るために多くのページを移動しなければならず、ユーザーがそれを見つけることは特に困難である。ユーザーは、関連する情報または管理をあきらめるか、見逃してしまう可能性が高い。
4.1.3 Too many options	4.1.3 多すぎる選択肢
Providing users with (too) many options to choose from. The amount of choices leaves users unable to make any choice or make them overlook some settings, especially if information is not available. It can lead them to finally give up or miss the settings of their data protection preferences or rights.	ユーザーに（あまりにも）多くの選択肢を提供すること。選択肢の多さによって、ユーザーは何も選択できなくなったり、特に情報がない場合は、いくつかの設定を見落としたりしてしまう。最終的にあきらめたり、データ保護の設定や権利を見落としたりすることになりかねない。
4.2 Skipping	4.2 スキップ
Designing the interface or user journey in such a way that users forget or do not think about all or some of the data protection aspects.	ユーザーがデータ保護の側面のすべてまたは一部を忘れたり、考えなかったりするようなインターフェースやユーザージャーニーの設計をすること。
4.2.1 Deceptive snugness	4.2.1 偽りの快適性
By default, the most data invasive features and options are enabled. Relying on the default effect which nudges individuals to keep a pre-selected option, users are unlikely to change this even if given the possibility.	デフォルトでは、最もデータ侵襲性の高い機能とオプションが有効になっている。あらかじめ選択されたオプションを維持するように促すデフォルトの効果に依存し、ユーザーは可能性を与えられてもこれを変更することはまずないだろう。
4.2.2 Look over there	4.2.2 あっちを見て
A data protection related action or information is put in competition with another element which can either be related to data protection or not. When users choose this distracting option, they are likely to forget about the other, even if it was their primary intent.	データ保護に関連する行動や情報は、データ保護に関連するかしないかの別の要素と競合するように置かれます。ユーザーがこの邪魔な選択肢を選ぶと、たとえそれが本来の目的であったとしても、もう一方のことを忘れてしまう可能性がある。
4.3 Stirring	4.3 動揺
Affecting the choice users would make by appealing to their emotions or using visual nudges.	感情に訴えたり、視覚的な刺激を与えたりすることで、ユーザーの選択に影響を与える。
4.3.1 Emotional Steering[1]	4.3.1 感情的誘導 [1]
Using wording or visual elements (such as style, colours, pictures or others) in a way that confers the information to users in either a highly positive outlook, making users feel good, safe or rewarded, or in a highly negative one, making users feel scared, guilty or punished. Influencing the emotional state of users in such a way is likely to lead them to make an action that works against their data protection interests.	ユーザーに、良い、安全、または報われたと感じさせる非常に肯定的な見通し、または怖い、罪悪感、または罰されたと感じさせる非常に否定的な見通しのいずれかで情報を与える方法で、文言または視覚的要素（スタイル、色、写真など）を使用すること。このような方法でユーザーの感情状態に影響を与えることは、データ保護の利益に反する行動を取らせる可能性が高い。
^[1] This pattern is closely related to a type of pattern called “Toying with Emotions” found, inter alia, in reports of intergovernmental organisations such as European Commission, Directorate-General for Justice and Consumers, Lupiáñez-Villanueva, F., Boluda, A., Bogliacino, F., et al., Behavioural study on unfair commercial practices in the digital environment : dark patterns and manipulative personalisation : final report, Publications Office of the European Union, 2022, [web].	^[1] このパターンは、特に欧州委員会司法・消費者総局、Lupiáñez-Villanueva, F., Boluda, A., Bogliacino, F., et al.などの政府間組織の報告書に見られる「Toying with Emotions」と呼ばれるタイプのパターンに密接に関連している。Behavioural study on unfair commercial practices in the digital environment : dark patterns and manipulative personalisation : final report, Publications Office of the European Union, 2022, などの調査報告書もある。
4.3.2 Hidden in plain sight	4.3.2 見えざるもの
Use a visual style or technique for information or data protection controls that nudges users toward less restrictive and thus more invasive options.	情報保護やデータ保護の管理には、制限の少ない、つまりより侵襲的な選択肢へとユーザーを誘導するような視覚的スタイルやテクニックを使用する。
4.4 Obstructing[1]	4.4 妨害 [1]
Hindering or blocking users in their process of obtaining information or managing their data by making the action hard or impossible to achieve.	ユーザーが情報を入手したりデータを管理したりする過程で、その行為を困難または不可能にすることにより、妨げたり、遮断したりすること。
^[1] This category is closely related to the strategy called “Obstruction” defined and described in Gray Colin M., Kou Yubo, Battles Bryan, Hoggatt Joseph, and Toombs Austin L. 2018. The Dark (Patterns) Side of UX Design. In Proceedings of the 2018 CHI Conference on Human Factors in Computing Systems (Montreal QC, Canada) (CHI ’18). ACM, New York, NY, USA, Article 534, 14 pages. [web].	^[1] このカテゴリーは、Gray Colin M., Kou Yubo, Battles Bryan, Hoggatt Joseph, and Toombs Austin L. 2018で定義・説明されている「Obstruction」という戦略に深く関連している。The Dark (Patterns) Side of UX Design（UXデザインのダーク（パターン）サイド）。Proceedings of the 2018 CHI Conference on Human Factors in Computing Systems (Montreal QC, Canada) (CHI '18) に収録。ACM, New York, NY, USA, Article 534, 14 pages.
4.4.1 Dead end	4.4.1 行き止まり
While users are looking for information or a control, they end up not finding it as a redirection link is either not working or not available at all. Users are left unable to achieve that task.	ユーザーが情報や操作方法を探しているときに、リダイレクトリンクが機能していなかったり、まったく利用できなかったりして、結局見つからなかったりする。ユーザーはそのタスクを達成できないままになってしまうのである。
4.4.2 Longer than necessary	4.4.2 長すぎ
When users try to activate a control related to data protection, the user journey is made in a way that requires more steps from users, than the number of steps necessary for the activation of data invasive options. This is likely to discourage them from activating such control.	ユーザーがデータ保護に関連するコントロールを有効にしようとすると、データ侵襲オプションの有効化に必要なステップ数よりも多くのステップをユーザーに要求する方法で、ユーザー・ジャーニーが作られている。これでは、そのようなコントロールを有効にすることを躊躇してしまう可能性がある。
4.4.3 Misleading action	4.4.3 誤解を招く動作
A discrepancy between information and actions available to users nudges them to do something they do not intend to. The difference between what users expect and what they get is likely to discourage them from going further.	ユーザが得られる情報と行動の不一致は、ユーザが意図しない行動を取るように仕向ける。ユーザーが期待するものと得られるものとの差は、それ以上進むことを躊躇させる可能性が高い。
4.5 Fickle	4.5 気まぐれ
The design of the interface is unstable and inconsistent, making it hard for users to figure out the nature of the processing, to properly make a choice concerning their data, and to find where the different controls are.	インターフェースのデザインは不安定で一貫性がなく、ユーザーが処理の内容を把握し、自分のデータについて適切に選択し、さまざまなコントロールがどこにあるのかを見つけるのは困難である。
4.5.1 Lacking hierarchy	4.5.1 階層性の欠如
Information related to data protection lacks hierarchy, making information appear several times and being presented in several ways. Users are likely to be confused by this redundancy and to be left unable to fully understand how their data are processed and how to exercise control over them.	データ保護に関連する情報は階層性を欠き、情報が何度も登場し、複数の方法で提示される。このような冗長性によってユーザーは混乱し、自分のデータがどのように処理され、どのようにコントロールできるのかを十分に理解できないまま放置される可能性がある。
4.5.2 Decontextualising	4.5.2 非文脈化
A data protection information or control is located on a page that is out of context. Users are unlikely to find the information or control as it would not be intuitive to look for it on this specific page.	データ保護情報またはコントロールが、文脈から外れたページに配置されている。ユーザーは、この特定のページで直感的に探すことができないため、その情報やコントロールを見つけることができない可能性がある。
4.5.3 Inconsistent interface	4.5.3 一貫性のないインターフェース
An interface is not consistent across different contexts (e.g., a data protection related menu does not display the same items on mobile and on desktop) or with users’ expectations (e.g., an option whose location has been switched with that of another option). These differences can lead users not to find the desired control or information or to interact with an element of the interface out of habits even though this interaction leads to make a data protection choice users do not want.	インターフェースは、異なるコンテキストで一貫性がなく（例：データ保護関連のメニューがモバイルとデスクトップで同じ項目を表示しない）、ユーザーの期待に沿わない（例：オプションの位置が他のオプションと入れ替わっている）ことがある。このような違いにより、ユーザーは目的の操作や情報を見つけられなかったり、ユーザーが望まないデータ保護の選択をすることになるにもかかわらず、習慣的にインターフェースの要素とやりとりしてしまったりすることがある。
4.5.4 Language discontinuity	4.5.4 言語の不連続性
Information related to data protection is not provided in the official language(s) of the country where users live, whereas the service is. If users do not master the language in which data protection information is given, they will not be able to easily read it and therefore likely to not be aware of how data are processed.	データ保護に関する情報は、ユーザーが居住する国の公用語では提供されないが、サービスでは提供される。データ保護に関する情報が提供される言語を習得していなければ、ユーザーはそれを容易に読むことができず、したがってデータがどのように処理されているかを認識できない可能性が高い。
4.6 Left in the dark	4.6 暗闇に取り残す
The interface is designed in a way to hide information or controls related to data protection or to leave users unsure of how data is processed and what kind of controls they might have over it.	データ保護に関連する情報やコントロールを隠したり、データがどのように処理され、どのようなコントロールが可能なのかユーザーに分からないようにするために、インターフェースが設計されている。
4.6.1 Conflicting information	4.6.1 矛盾する情報
Giving pieces of information to users that conflict with each other in some way. Users are likely to be left unsure of what they should do and about the consequences of their actions, therefore likely not to take any and to just keep the default settings.	ユーザーに対して、互いに矛盾するような情報を与えること。ユーザーは、自分が何をすべきか、自分の行動がどのような結果をもたらすのかがわからず、何もせず、デフォルトの設定のままにしておく可能性が高い。
4.6.2 Ambiguous wording or information	4.6.2曖昧な表現・情報
Using ambiguous and vague terms when giving information to users. They are likely to be left unsure of how data will be processed or how to exercise control over their personal data.	ユーザーに情報を提供する際に、曖昧で漠然とした用語を使用すること。データがどのように処理されるのか、または個人データに対してどのようにコントロールを行使するのかが不明なまま放置される可能性が高い。

2023.02.28 12:44 in 個人情報保護 / プライバシー, in 法律 / 犯罪, in クラウド | Permalink | Comments (0)
Tweet

欧州 EDPB 個人データの越境に関するガイド２つ...

こんにちは、丸山満彦です。

EDPBが、個人データの越境に関するガイドを２つと、ソーシャルメディアのユーザーインターフェース等の設計上の留意点？についてのガイドを公表していますが、今回は個人データの越境に関するガイドの方。。。

(27日には、EDPB 認証のための国家基準および欧州データ保護シールに関するEDPB意見の採択手続きに関する文書も公表しています...多分後ほど...)

また、中国も個人データの越境に関する標準約款に関する発表をしていますが、こちらも後ほど...

● EDPB

・2023.02.24 EDPB publishes three guidelines following public consultation

EDPB publishes three guidelines following public consultation	EDPB、パブリックコンサルテーションの結果、3つのガイドラインを発表
Following public consultation, the EDPB has adopted three sets of guidelines in their final version:	EDPBは、パブリック・コンサルテーションを経て、3つのガイドラインを最終版として採択した。
Guidelines on the Interplay between the application of Art. 3 and the provisions on international transfers as per Chapter V GDPR: The Guidelines clarify the interplay between the territorial scope of the GDPR (Art. 3) and the provisions on international transfers in Chapter V. They aim to assist controllers and processors when identifying whether a processing operation constitutes an international transfer, and to provide a common understanding of the concept of international transfers. Following public consultation, the guidelines were updated and further clarifications were added. Most notably, a clarification was added regarding the responsibilities of the controller when the data exporter is a processor. In addition, further examples were added to clarify aspects of direct collection, as well as the meaning of “the data importer is in a third country”. Moreover, an annex was added with further illustrations of the examples included in the guidelines to facilitate understanding.	第3条の適用とGDPR第5章の国際的な移転に関する規定の相互作用に関するガイドライン。3とGDPR第5章の国際移転に関する規定との相互作用に関するガイドライン」である。本ガイドラインは、GDPRの適用範囲（第3条）と第5章の国際移転に関する規定の相互関係を明確にするもので、管理者と処理者が処理業務が国際移転に該当するかどうかを特定する際に支援し、国際移転の概念に関する共通理解を提供することを目的としている。パブリックコンサルテーションの後、ガイドラインは更新され、さらなる明確化が加えられた。最も注目すべきは、データ越境送信者が処理者である場合の管理者の責任に関する明確化が追加されたことである。さらに、直接収集の側面や、「データの越境受信者が第三国にいる」ことの意味を明確にするために、さらなる例が追加された。さらに、ガイドラインに含まれる例をさらに図解した附属書を追加し、理解を容易にした。
Guidelines on certification as a tool for transfers: The main purpose of these guidelines is to provide further clarification on the practical use of this transfer tool. The guidelines are composed of four parts, each focusing on specific aspects regarding certification as a tool for transfers. The guidelines complement guidelines 1/2018 on certification, which provide more general guidance on certification. Following public consultation, the Guidelines were updated to reflect comments received.	移転のためのツールとしての認証に関するガイドライン。本ガイドラインの主な目的は、この移転ツールの実用的な使用方法をさらに明確にすることである。本ガイドラインは4つのパートで構成され、それぞれが譲渡のためのツールとしての認証に関する特定の側面に焦点を当てている。本ガイドラインは、認証に関するより一般的なガイダンスを提供する、認証に関するガイドライン1/2018を補完するものである。パブリックコンサルテーションの後、寄せられたコメントを反映して、ガイドラインは更新された。
Guidelines on deceptive design patterns in social media platform interfaces: The guidelines offer practical recommendations to designers and users of social media platforms on how to assess and avoid deceptive design patterns in social media interfaces that infringe on GDPR requirements. The guidelines give concrete examples of deceptive design pattern types, present best practices for different use cases and contain specific recommendations for designers of user interfaces that facilitate the effective implementation of the GDPR. Following public consultation, the final version integrates updated wording and further clarifications in order to address comments and feedback received. In particular, the title of the Guidelines has been modified and the term “dark pattern” has been replaced by the term “deceptive design patterns”. In addition, some clarifications were added, for example on how to integrate the present Guidelines in the design thinking process and a second Annex was added, providing a quick overview of all the best practices.	ソーシャルメディア・プラットフォームのインターフェースにおける欺瞞的なデザイン・パターンに関するガイドライン。本ガイドラインは、ソーシャルメディアプラットフォームの設計者や利用者に対し、GDPRの要件を侵害するソーシャルメディアインターフェースの欺瞞的なデザインパターンをどのように評価し回避するかについて、実践的な推奨を行うものである。ガイドラインは、欺瞞的デザインパターンのタイプの具体例を示し、異なるユースケースに対するベストプラクティスを提示し、GDPRの効果的な実施を促進するユーザーインターフェースの設計者に対する特定の推奨事項を含んでいる。パブリックコンサルテーションを経て、最終版では、寄せられたコメントやフィードバックに対応するため、文言の更新とさらなる明確化が行われている。特に、ガイドラインのタイトルが変更され、「ダークパターン」という用語が「ディセプティブデザインパターン」という用語に置き換えられている。さらに、デザイン思考プロセスにおける本ガイドラインの統合方法など、いくつかの説明が追加され、すべてのベストプラクティスの概要を提供する第二の附属書が追加された。

・2023.02.24 Guidelines 05/2021 on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR

・[PDF]

・[DOCX] 仮訳

エグゼクティブサマリー...

EXECUTIVE SUMMARY	エグゼクティブサマリー
The GDPR does not provide for a legal definition of the notion “transfer of personal data to a third country or to an international organisation”. Therefore, the EDPB provides these guidelines to clarify the scenarios to which it considers that the requirements of Chapter V should be applied and, to that end, it has identified three cumulative criteria to qualify a processing operation as a transfer:	GDPRは、「個人データの第三国または国際機関への移転」という概念の法的な定義を定めていない。そこで、EDPBは、第5章の要件が適用されるべきと考えるシナリオを明確にするために本ガイドラインを提供し、そのために、処理操作を移転と認定するための3つの累積的基準を特定した。
1) A controller or a processor (“exporter”) is subject to the GDPR for the given processing.	1) 管理者または処理者（「越境送信者」）は、所定の処理についてGDPRの適用を受ける。
2) The exporter discloses by transmission or otherwise makes personal data, subject to this processing, available to another controller, joint controller or processor (“importer”).	2) 越境送信者は、この処理の対象となる個人データを、他の管理者、共同管理者または処理者（「越境受信者」）に伝送することにより開示し、またはその他の方法で利用可能にする。
3) The importer is in a third country, irrespective of whether or not this importer is subject to the GDPR for the given processing in accordance with Article 3, or is an international organisation.	3) 越境受信者が第三国にいる場合。この越境受信者が第3条に従って所定の処理についてGDPRの適用を受けるかどうか、または国際組織であるかどうかは関係ない。
If the three criteria as identified by the EDPB are met, there is a transfer and Chapter V of the GDPR is applicable. This means that the transfer can only take place under certain conditions, such as in the context of an adequacy decision from the European Commission (Article 45) or by providing appropriate safeguards (Article 46). The provisions of Chapter V aim at ensuring the continued protection of personal data after they have been transferred to a third country or to an international organisation.	EDPBによって特定された3つの基準を満たす場合、移転が行われ、GDPRの第5章が適用される。つまり、欧州委員会の妥当性決定（第45条）や適切な保護措置の提供（第46条）など、一定の条件下でのみ移転が可能になる。第5章の規定は、第三国または国際機関に移転された後の個人データの継続的な保護を確保することを目的としている。
Conversely, if the three criteria are not met, there is no transfer and Chapter V of the GDPR does not apply. In this context, it is however important to recall that the controller must nevertheless comply with the other provisions of the GDPR and remains fully accountable for its processing activities, regardless of where they take place. Indeed, although a certain data transmission may not qualify as a transfer according to Chapter V, such processing can still be associated with increased risks since it takes place outside the EU, for example due to conflicting national laws or disproportionate government access in the third country. These risks need to be considered when taking measures under, inter alia, Article 5 (“Principles relating to processing of personal data”), Article 24 (“Responsibility of the controller”) and Article 32 (“Security of processing”) – in order for such processing operation to be lawful under the GDPR.	逆に、3つの基準が満たされない場合は、移転は行われず、GDPRの第5章は適用されない。しかし、この文脈では、管理者はGDPRの他の条項を遵守しなければならず、処理活動がどこで行われるかにかかわらず、その処理活動に対する全責任を負い続けることを想起することが重要である。実際、特定のデータ転送が第５章に基づく移転として適格でないとしても、そのような処理は、例えば、矛盾する国内法や第三国における不当な政府アクセスなどにより、EU域外で行われるため、リスクが増大する可能性がある。こうしたリスクは、特に第5条（「個人データの処理に関する原則」）、第24条（「管理者の責任」）および第32条（「処理の安全性」）に基づく措置を講じる際に考慮する必要があり、こうした処理作業がGDPRの下で合法であるようにするためである。
These guidelines include various examples of data flows to third countries, which are also illustrated in an Annex in order to provide further practical guidance.	このガイドラインには、第三国へのデータフローに関する様々な事例が含まれており、さらに実践的なガイダンスを提供するために、附属書として図解も行っている。

目次...

Executive summary	エグゼクティブサマリー
1 Introduction	1 はじめに
2 Criteria to qualify a processing operation as a transfer of personal data to a third country or to an international organisation	2 第三国または国際機関への個人データの移転として処理操作を認定するための基準
2.1 A controller or a processor (“exporter”) is subject to the GDPR for the given processing	2.1 管理者または処理者（「越境送信者」）は、所定の処理についてGDPRの適用を受ける。
2.2 The exporter discloses by transmission or otherwise makes personal data, subject to this processing, available to another controller, joint controller or processor (“importer”)	2.2 越境送信者が、この処理の対象となる個人データを、他の管理者、共同管理者または処理者（「越境受信者」）に伝送またはその他の方法で開示する場合。
2.3 The importer is in a third country, irrespective of whether or not this importer is subject to the GDPR for the given processing in accordance with Article 3, or is an international organisation	2.3 越境受信者が第三国にいる場合。この越境受信者が第3条に従って所定の処理についてGDPRの適用を受けるかどうか、または国際組織であるかどうかは関係ない。
3 Consequences in case a transfer of personal data takes place	3 個人情報の移転が行われた場合の影響
4 Safeguards to be provided if personal data are processed outside the EEA but no transfer takes place	4 個人データがEEA域外で処理され、移転が行われない場合に提供されるべき保護措置
Annex: Illustrations of Examples 1–12	附属書：例題1～12の図解

・2023.02.24 Guidelines 07/2022 on certification as a tool for transfers

・[PDF]

・[DOCX] 仮訳

エグゼクティブサマリー...

EXECUTIVE SUMMARY	エグゼクティブサマリー
The GDPR requires in its Article 46 that data exporters shall put in place appropriate safeguards for transfers of personal data to third countries or international organisations. To that end, the GDPR diversifies the appropriate safeguards that may be used by data exporters under Article 46 for framing transfers to third countries by introducing, amongst others, certification as a new transfer mechanism (Articles 42 (2) and 46 (2) (f) GDPR).	GDPRは、その第46条において、データ越境送信者が第三国または国際機関への個人データの移転について適切な保護措置を講じることを求めている。そのため、GDPRは、新たな移転メカニズムとして認証を導入するなどして、データ越境送信者が第三国への移転の際に第46条に基づいて行うことができる適切な保護措置を多様化している（GDPR42条（2）、46条（2）（f））。
These guidelines provide guidance as to the application of Article 46 (2) (f) of the GDPR on transfers of personal data to third countries or to international organisations on the basis of certification. The document is structured in four sections with an Annex.	このガイドラインは、認証に基づく第三国または国際機関への個人データの移転に関するGDPR第46条（2）項（f）の適用に関するガイダンスを提供するものである。本書は、4つのセクションと附属書で構成されている。
Part one of this document ("GENERAL") clarifies that the guidelines supplement the already existing general Guidelines 1/2018 on certification and addresses specific requirements from Chapter V of the GDPR when certification is used as a transfer tool. According to Article 44 of the GDPR, any transfer of personal data to third countries or international organisations, must meet the conditions of the other provisions of the GDPR in addition to complying with Chapter V of the GDPR. Therefore, as a first step, compliance with the general provisions of the GDPR must be ensured and, as a second step, the provisions of Chapter V of the GDPR must be complied with. The actors who are involved and their core roles in this context are described, with a special focus on the role of the data importer who will be granted a certification and of the data exporter who will use it as a tool to frame its transfers (considering that the responsibility for data processing compliance remains with the data exporter). In this context the certification can also include measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data. Part one of the guidelines also contains information on the process for obtaining a certification to be used as tool for transfers.	本書の第1部（「一般」）では、本ガイドラインが認証に関する既に存在する一般的なガイドライン1/2018を補足し、認証が移転ツールとして使用される場合のGDPR第5章からの特定の要件に対処することを明確にしている。GDPR第44条によると、個人データを第三国または国際機関に移転する場合、GDPR第5章を遵守することに加え、GDPRの他の規定の条件も満たさなければならない。したがって、第一段階として、GDPRの一般条項の遵守を確保し、第二段階として、GDPRの第5章の規定を遵守する必要があるのである。この文脈で関係するアクターとその中心的な役割について説明する。特に、認証を受けるデータ越境受信者と、データ移転の枠組みを作るツールとして認証を利用するデータ越境送信者の役割に焦点を当てる（データ処理遵守の責任はデータ越境送信者にあることを考慮する）。この文脈では、認証には、個人データの保護に関するEUの水準への準拠を確保するための移転ツールを補完する措置も含めることができる。ガイドラインのパート1には、移転のためのツールとして使用する認証の取得プロセスに関する情報も含まれている。
The second part of these guidelines (“IMPLEMENTING GUIDANCE ON THE ACCREDITATION REQUIREMENTS”) recalls that the requirements for accreditation of a certification body are to be found in ISO 17065 and by interpreting the Guidelines 4/2018 on the accreditation of certification bodies under Article 43 of the GDPR and its Annex against the background of Chapter V. However, in the context of a transfer, these guidelines further explain some of the accreditation requirements applicable to the certification body.	本ガイドラインの第2部（「認定要件に関するガイドラインの実施」）では、認証機関の認定要件がISO 17065にあることを想起し、第5章を背景にGDPR第43条及びその附属書に基づく認証機関の認定に関するガイドライン4/2018の解釈により、認証機関に適用される認定要件の一部をさらに解説している。
The third part of these guidelines ("SPECIFIC CERTIFICATION CRITERIA") provides for guidance on the certification criteria already listed in Guidelines 1/2018 and establishes additional specific criteria that should be included in a certification mechanism to be used as a tool for transfers to third countries. These criteria cover the assessment of the third country legislation, the general obligations of exporters and importers, rules on onward transfers, redress and enforcement, process and actions for situations in which national legislation and practices prevents compliance with commitments taken as part of certification and requests for data access by third country authorities.	本ガイドラインの第3部（「SPECIFIC CERTIFICATION CRITERIA」）は、ガイドライン1/2018に既に記載されている認証基準に関する指針を提供し、第三国への移転のツールとして使用する認証メカニズムに含まれるべき追加の特定の基準を確立するものである。これらの基準は、第三国の法律の評価、越境送信者および越境受信者の一般的な義務、前方移転に関する規則、救済および執行、国内の法律および慣行が認証の一部としてとられたコミットメントの遵守を妨げる状況に対するプロセスおよび措置、第三国当局によるデータアクセス要求などを対象としている。
Part four of these guidelines (“BINDING AND ENFORCEABLE COMMITMENTS TO BE IMPLEMENTED“) provides elements that should be addressed in the binding and enforceable commitments that controllers or processors not subject to the GDPR should take for the purpose of providing appropriate safeguards to data transferred to third countries. These commitments, which may be set out in different instruments including contracts, shall in particular include a warranty that the importer has no reason to believe that the laws and practices in the third country applicable to the processing at stake, including any requirements to disclose personal data or measures authorising access by public authorities, prevent it from fulfilling its commitments under the certification.	本ガイドラインの第4章（「実施すべき拘束力及び強制力のあるコミットメント」）では、第三国に移転するデータに適切なセーフガードを提供する目的で、GDPRの適用を受けない管理者または処理者が取るべき拘束力及び強制力のあるコミットメントにおいて対処すべき要素を提示している。これらの約束は、契約を含むさまざまな文書で定めることができるが、特に、個人データの開示要件または公的機関によるアクセスを許可する措置を含め、問題となっている処理に適用される第三国の法律および慣行が、越境受信者が認証に基づく約束の履行を妨げると考える理由がないことを保証することが含まれる。
The ANNEX of these guidelines contains some examples of supplementary measures in line with those listed in Annex II Recommendations 01/2020 (Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data) in the context of the use of a certification as a tool for transfers. Examples are constructed with a view to raise attention to critical situations.	本ガイドラインの附属書には、附属書 II 勧告 01/2020（個人情報の保護に関する EU レベルの遵守を確保するために移転ツールを補完する措置に関する勧告 01/2020）に記載されたものに沿って、移転のためのツールとして認証を使用する場合の補完措置の例をいくつか挙げている。事例は、危機的状況への注意を喚起する観点から構成されている。

目次...

EXECUTIVE SUMMARY	エグゼクティブサマリー
1 GENERAL	1 一般
1.1 Purpose and scope	1.1 目的と範囲
1.2 General rules applicable to international transfers	1.2 国際送金に適用される一般的な規則
1.3 Who are the actors involved and what is their role for certification as a tool for transfers?	1.3 移転のためのツールとしての認証に関わるアクターは誰か、またその役割は？
1.4 What are the scope and the object of certification as a tool for transfers?	1.4 移転のためのツールとしての認証の範囲と対象は何であるか？
1.5 What should be the role of the exporter in the use of certification as tool for transfers?	1.5 移転のためのツールとしての認証の利用における越境送信者の役割はどうあるべきか？
1.6 What is the process for certification as a tool for transfers?	1.6 乗り換えのためのツールとしての認証はどのようなプロセスで行われるのであるか？
2 IMPLEMENTING GUIDANCE ON THE ACCREDITATION REQUIREMENTS	2 認定要件に関するガイダンスの実施
3 SPECIFIC CERTIFICATION CRITERIA	3 特定認証基準
3.1 IMPLEMENTING GUIDANCE ON THE CERTIFICATION CRITERIA	3.1 認証基準に関するガイダンスの実施
3.2 ADDITIONAL SPECIFIC CERTIFICATION CRITERIA	3.2 追加の特定認証基準
1. Assessment of the third country legislation	1. 第三国の法規制の評価
2. General obligations of exporters and importers	2. 輸出入者の一般的な義務
3. Rules on onward transfers	3. 乗り換えに関するルール
4. Redress and Enforcement	4. 救済と執行
5. Process and actions for situations in which national legislation prevents compliance with commitments taken as part of certification	5. 国内法令により、認証の一部として行われる約束の遵守が妨げられる場合のプロセスおよび対応策
6. Dealing with requests for data access by third country authorities	6. 第三国当局からのデータアクセス要求への対応
7. Additional safeguards concerning the exporter	7. 越境送信者に関する追加セーフガード
4 BINDING AND ENFORCEABLE COMMITMENTS TO BE IMPLEMENTED	4 実行すべき拘束力のあるコミットメント
ANNEX	附属書
A. EXAMPLES OF SUPPLEMENTARY MEASURES TO BE IMPLEMENTED BY THE IMPORTER IN CASE THE TRANSIT IS INCLUDED IN THE SCOPE OF CERTIFICATION	A.移送が認証範囲に含まれる場合に、越境受信者が実施すべき補完措置の例
B. EXAMPLES OF SUPPLEMENTARY MEASURES IN CASE THE TRANSIT IS NOT COVERED BY THE CERTIFICATION AND THE EXPORTER HAS TO ENSURE THEM	B.移送が認証の対象外で、越境送信者がそれを確保しなければならない場合の補足措置の例

2023.02.28 05:11 in 個人情報保護 / プライバシー, in 監査 / 認証 | Permalink | Comments (0)
Tweet

2023.02.27

内閣官房経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議

こんにちは、丸山満彦です。

高市早苗経済安全保障担当大臣の下に「経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議」が設置され、第一回の会合が開催されましたね。。。「主要国の情報保全の在り方や産業界等のニーズを踏まえ、セキュリティ・クリアランス制度等について検討を行う」ことが目的ということのようですね。。。

経済安全保障に限定するんですかね。。。

(資料３ P3-4）

議論する内容...

 経済安全保障の観点から、セキュリティ・クリアランス制度をもって保護すべき重要な情報・モノとしては、どのようなものが考えられるか。

 日本企業が外国でセキュリティ・クリアランスの保有を求められるケースとして、どのような場面が想定されるか。また、どのような情報にアクセスしようとする際に求められると想定されるか。

 日本企業による国際的なビジネスを推進していくためには、どのような制度が望ましいと考えられるか。

 上記のほか、現行制度や企業等における実務との関係で制度設計に当たって留意すべき事項・論点はどのようなものがあるか。

(資料３ P7）

経済安全保障推進会議における総理発言（令和5年２月14日）

セキュリティ・クリアランスを含む我が国の情報保全の強化は、同盟国や同志国等との円滑な協力のために重要であるほか、さらに、こうした制度を整備することは、産業界の国際的なビジネスの機会の確保・拡充にもつながることが期待できます。

このため、昨年決定した新たな国家安全保障戦略でも示したとおり、主要国の情報保全の在り方や産業界等のニーズも踏まえ、経済安全保障分野におけるセキュリティ・クリアランス制度の法整備等に向けた検討を進める必要があります。

高市経済安全保障担当大臣におかれては、経済安全保障分野におけるセキュリティ・クリアランス制度のニーズや論点等を専門的な見地から検討する有識者会議を立ち上げ、今後１年程度をめどに、可能な限り速やかに検討作業を進めてください。

この検討に付随する関係省庁との調整等についても、高市大臣にお願いいたします。

関係大臣におかれては、高市大臣と緊密に連携しながら、我が国の情報保全の強化に向け、政府一丸となって取り組むようにしてください。

（資料３ P６）

● 内閣官房 - 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議

・・[PDF] 根拠・構成員

・2023.02.22 第1回

・・[PDF] 議事次第

・・[PDF] 資料１経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議の開催について

・・[PDF] 資料２経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議運営要領

・・[PDF] 資料３経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議

・・議事要旨

参考

U.S.の場合...

国家安全保障上の機密情報へのアクセスを許可するためにセキュリティクリアランス制度がありますね。。。

● U.S. Statement of State - Bureau of Diplomatic Security

制度概要

・Security Clearances

ポリシー

・Security Executive Agent: Policy

大統領令

・1995.08.02 Executive Order 12968 [wikipedia] [wikisource]

2023.02.27 00:00 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 法律 / 犯罪, in 危機管理 / 事業継続 | Permalink | Comments (0)
Tweet

2023.02.26

NHK 映像の世紀バタフライエフェクトロックが壊した冷戦の壁SP

こんにちは、丸山満彦です。

これ面白かったです。（David Bowieが好きだからだけではなく...David BowieのCDはほぼ全て持っていました。。。場所がなく捨てましたが。。。今はオンラインで聴けますからね...）

作品自体は過去の「映像の世紀」を再編集しているのでしょうが、、、時間がある方は是非...（NHK＋で見られるのは、2023.03.04 16:17まで）

● NHK

・2023.02.25 バタフライエフェクトロックが壊した冷戦の壁SP

いつも時代は若者が作っていかないといけないのではないかなぁ...と思いました。。。年配者が過去の経験に基づいて若者を押さえつけてリードをしている国や組織というのは、やがて衰退していくのでしょうね。。。

若者がリードをする、年配者が少しアドバイスをする、くらいがちょうど良いのかもしれません、、、勢いよく前に進む、多少のミスはある。でも、何もできなくなり、前にも進んでいないよりも良い。。。

2023.02.26 00:46 in 案内（講演 / 書籍等） | Permalink | Comments (0)
Tweet

NIST 「NISTIR 8011 Vol.1. セキュリティコントロールアセスメントの自動化支援：第1巻：概要」についての意見募集

こんにちは、丸山満彦です。

NISTが、すでに公表され、利用されている「NISTIR 8011 Vol.1. セキュリティコントロールアセスメントの自動化支援。第1巻：概要」について、使い勝手や、内容についての改善が必要ないか、意見募集をしていますね。。。

NISTIR 8011シリーズは、コントロールの評価という意味では興味深い文書ですので、この第1巻の概要については目を通していても良いかもですね。。。

特にNIST SP800-171とかに興味がある人とか...

● NIST - ITL

・2023.02.22 Call for Feedback: NIST IR 8011 Series Adoption

Call for Feedback: NIST IR 8011 Series Adoption	フィードバックの募集 NIST IR 8011 シリーズ
NIST Interagency Report (IR) 8011, Automation Support for Security Control Assessments, provides guidance on automating the assessment of controls that can be tested. This series of technical publications, based on NIST Special Publication (SP) 800-53 controls and SP 800-53A control assessment procedures, is organized into multiple volumes, each dedicated to addressing a specific security capability (security capabilities are groups of controls that support a common purpose). Previously published volumes, which were based on SP 800-53, Revision 4, are being revised. New volumes covering additional security capabilities are being developed.	「NIST 内部報告 (IR) 8011 セキュリティコントロールアセスメントの自動化支援」は、テスト可能なコントロールの評価を自動化するためのガイダンスを提供する。この一連の技術文書は、NIST 特別発行物 (SP) 800-53のコントロールとSP 800-53Aのコントロール評価手順に基づき、複数の巻で構成され、それぞれが特定のセキュリティ能力（セキュリティ能力は、共通の目的を支援するコントロールのグループ）を扱うことに特化している。SP 800-53改訂4版に基づいて発行された既刊の巻は改訂されている。また、追加のセキュリティ能力をカバーする新版が開発されている。
The NIST Risk Management Framework (RMF) team seeks feedback from individuals and organizations who have used our guidance for supporting automated security control assessments. We would like to better understand the use of the IR 8011 series by adopters, success stories, what adopters liked/disliked about the methodology and about the series overall, the challenges (if any) adopters faced during implementation, and how we can improve the entire series – from the proposed methodology to ways to facilitate its adoption.	NISTリスクマネジメントフレームワーク（RMF）チームは、自動化されたセキュリティ対策の評価を支援するためにNISTのガイダンスを使用したことのある個人および組織からのフィードバックを求めている。 IR 8011シリーズの採用者による使用状況、成功事例、採用者が手法やシリーズ全体について好きなこと／嫌いなこと、導入時に直面した課題（もしあれば）、提案した手法から採用を促進する方法まで、シリーズ全体を改善できる方法をよりよく理解したいと思っている。
...	...
We are looking specifically for information such as:	具体的には、以下のような情報を求めている。
・Adoption Status (e.g., used guidance in the past; currently use; planning to use).	・採用状況（例：過去にガイダンスを使用した、現在使用中、使用予定）。
・How the IR 8011 Series is Being Used – and by Whom (e.g., applied guidance in-house [i.e., for internal operations] or developed a solution that can be used by other organizations [e.g., adoption by a service/solution provider]).	・IR8011シリーズがどのように利用されているか、また、誰によって利用されているか（例：ガイダンスを社内で適用した（例：社内業務用）、他の組織が利用できるソリューションを開発した（例：サービス/ソリューションプロバイダによる採用））。
・Implementation Success (e.g., strengths and benefits of the IR 8011 series; what worked well to support implementation; ROI from the adoption of IR 8011).	・導入の成功事例（例：IR8011シリーズの長所と利点、導入を支援するためにうまくいったこと、IR8011の採用によるROIなど）。
・Implementation Challenges and Opportunities (e.g., issues/concerns – and what can be considered for addressing them – and areas that can be improved).	・導入の課題と機会（例：問題/懸念事項、その対処のために考慮できること、改善可能な分野）。
・Level of Interest (if a NIST IR 8011 Interest Group is established, would you be interested in joining it to share ideas and information with other 8011 adopters or interested parties?)	・興味の度合い(NIST IR 8011 Interest Groupが設立された場合、他の8011採用者や関係者とアイデアや情報を共有するために参加することに興味があるか？)
Feedback received will not be published or shared. There is no due date to respond (feedback can be provided at any time); however, the sooner the feedback is received, the sooner it may be considered, and possibly reflected on revisions and new development.	受け取ったフィードバックは公開、共有されない。回答期限はない（フィードバックはいつでも提供できる）。しかし、フィードバックを早く受け取れば受け取るほど、早く検討され、改訂や新規開発に反映される可能性がある。

・2023.02.22 NISTIR 8011 Vol. 1 Automation Support for Security Control Assessments: Volume 1: Overview

NISTIR 8011 Vol. 1. Automation Support for Security Control Assessments: Volume 1: Overview	NISTIR 8011 Vol.1. セキュリティコントロールアセスメントの自動化支援。第1巻：概要
Abstract	概要
This volume introduces concepts to support automated assessment of most of the security controls in NIST Special Publication (SP) 800-53. Referencing SP 800-53A, the controls are divided into more granular parts (determination statements) to be assessed. The parts of the control assessed by each determination statement are called control items. The control items are then grouped into the appropriate security capabilities. As suggested by SP 800-53 Revision 4, security capabilities are groups of controls that support a common purpose. For effective automated assessment, testable defect checks are defined that bridge the determination statements to the broader security capabilities to be achieved and to the SP 800-53 security control items themselves. The defect checks correspond to security sub-capabilities—called sub-capabilities because each is part of a larger capability. Capabilities and sub-capabilities are both designed with the purpose of addressing a series of attack steps. Automated assessments (in the form of defect checks) are performed using the test assessment method defined in SP 800-53A by comparing a desired and actual state (or behavior).	この巻では、NIST Special Publication (SP) 800-53のほとんどのセキュリティコントロールの自動アセスメントを支援するための概念を紹介している。SP 800-53Aを参照し、コントロールはより細かい部分（判断文）に分割され、評価される。各決定文で評価されるコントロールの部分は、コントロールアイテムと呼ばれる。そして、管理項目は、適切なセキュリティ能力にグループ化される。SP 800-53 改訂4版で提案されているように、セキュリティ能力は、共通の目的を支援する統制のグループである。効果的な自動アセスメントのために、テスト可能な欠陥チェックを定義し、決定ステートメントと達成すべき広範なセキュリティ能力およびSP 800-53セキュリティ管理項目そのものとの橋渡しをする。欠陥チェックは、セキュリティの下位能力に対応する。下位能力とは、それぞれがより大きな能力の一部であることを意味する。能力とサブ能力は、いずれも一連の攻撃手順に対処する目的で設計されている。自動化された評価（欠陥チェックの形式）は、SP800-53Aで定義されたテスト評価方法を用いて、望ましい状態と実際の状態（または動作）を比較することで実施される。

・[PDF] NISTIR 8011 Vol. 1 (DOI)

エグゼクティブサマリー...

Executive Summary	エグゼクティブサマリー
Evolving threats create a challenge for organizations that design, implement, and operate complex systems containing many moving parts. The ability to assess all implemented information security controls as frequently as needed using manual procedural methods is impractical and unrealistic for most organizations due to the sheer size, complexity, and scope of their information technology footprint. Additionally, the rapid deployment of new technologies such as mobile, cloud, and social media brings with it new risks that make ongoing manual procedural assessments of all controls impossible for the vast majority of organizations. Today there is broad agreement in the information security community that once a system is in production, automation of security control assessments[1] is needed to support and facilitate near real-time information security continuous monitoring (ISCM).	進化する脅威は、多くの可動部品を含む複雑なシステムを設計、実装、運用する組織にとっての課題となっている。実装されているすべての情報セキュリティ対策を、手作業による手順で必要な頻度で評価することは、情報技術の規模、複雑さ、範囲が非常に大きいため、ほとんどの組織にとって非現実的であり、非現実的なことなのである。さらに、モバイル、クラウド、ソーシャルメディアなどの新技術の急速な普及は、新たなリスクをもたらし、大多数の組織にとって、すべての対策を手作業で継続的に評価することを不可能にする。今日、情報セキュリティコミュニティでは、システムが本稼働したら、ほぼリアルタイムの情報セキュリティ継続的監視（ISCM）を支援し促進するために、セキュリティ制御評価の自動化[1]が必要であるという点で広く合意されている。
In September 2011, as part of Office of Management and Budget (OMB) memorandum M-11-	2011 年 9 月、米行政管理予算局（OMB）の覚書 M-11-33[2] の一部として、OMB はセキュリティ制御評価の自動化を承認した。
33,[2] OMB approved the transition from a static every-three-year security authorization process to an ongoing authorization process via ISCM. Also in September 2011, NIST published SP 800137, Information Security Continuous Monitoring for Federal Information Systems and Organizations, which provided management-level guidance on developing an ISCM strategy and implementing an ISCM program. However, many federal organizations were finding the technical implementation to be challenging.	33の一部として、OMBは、3年ごとの静的なセキュリティ認可プロセスから、ISCMによる継続的な認可プロセスへの移行を承認した。また、2011年9月には、NISTがSP 800-137「連邦政府の情報システムおよび組織における情報セキュリティの継続的モニタリング」を発表し、ISCM戦略の策定とISCMプログラムの導入に関するマネジメントレベルのガイダンスを提供した。しかし、多くの連邦政府機関は、技術的な導入に困難を感じていた。
Recognizing this challenge, the United States Congress funded the Continuous Diagnostics and Mitigation (CDM) program in 2012 at the Department of Homeland Security (DHS). The DHS CDM program is designed to facilitate automated security control assessment and continuous monitoring that is consistent with NIST guidance by providing a robust, comprehensive set of monitoring tools, an ISCM dashboard, and implementation assistance.	この課題を認識し、米国議会は2012年に国土安全保障省（DHS）の継続的診断・軽減（CDM）プログラムに資金を提供した。DHSのCDMプログラムは、堅牢で包括的な監視ツール、ISCMダッシュボード、および実装支援を提供することにより、NISTの指針に合致した自動セキュリティ制御評価と継続的監視を促進するように設計されている。
In November 2013 OMB issued Memorandum M-14-03,[3] which provided instructions and deadlines to federal organizations for development of an ISCM strategy and program. M-14-03 stated that each organization may follow one of three approaches for ISCM: 1) develop its own ISCM program; 2) leverage the CDM program from DHS; or 3) establish a hybrid program between its own ISCM program and the DHS CDM program.	2013年11月にOMBが発行したM-14-03[3]は、ISCM戦略およびプログラムの開発について、連邦政府組織への指示と期限を定めたものである。M-14-03では、各組織はISCMについて、次の3つのアプローチのいずれかに従うことができると述べている：1）独自のISCMプログラムを開発する、2）DHSのCDMプログラムを活用する、3）独自のISCMプログラムとDHS CDMプログラムとのハイブリッドプログラムを確立する。
This NIST Interagency Report (NISTIR) supports all three of the ISCM approaches in M-14-03 and represents a joint effort between NIST and DHS to provide an operational approach for automating assessments of the selected and implemented security controls from SP 800-53 that is also consistent with the guidance in SP 800-53A.	このNIST 内部報告（NISTIR）は、M-14-03の3つのISCMアプローチすべてを支援し、SP 800-53の選択および実装されたセキュリティコントロールの評価を自動化するための運用アプローチを提供するNISTとDHSの共同作業であり、SP 800-53Aの指針とも整合している。
Organizations implementing ISCM and automating security control assessments using the methods described herein are encouraged to share the results with both NIST and DHS so that lessons learned can be shared broadly. If needed, this document will be revised and/or supplemented to document such best practices.	ISCMを実施し、ここに記載された方法を使用してセキュリティ対策の評価を自動化する組織は、その結果をNISTおよびDHSの両者と共有し、得られた教訓を広く共有できるようにすることが奨励される。必要に応じて、この文書はそのようなベストプラクティスを文書化するために改訂および／または補足される予定である。
[1] See glossary for definition of ongoing assessment.	[1] 継続的評価の定義については、用語集を参照のこと。
[2] OMB Memos M-11-33 and M-14-03 are no longer available and are referenced here for historical purposes. OMB Circular A-130 provides federal-wide information security policy.	[2] OMB Memos M-11-33 および M-14-03 は既に公開されていないため、ここでは歴史的な目的で参照されている。OMB Circular A-130は、連邦政府全体の情報セキュリティ政策を規定している。
[3] See Footnote 2.	[3] 脚注2を参照。

目次...

Executive Summary	エグゼクティブサマリー
1. Introduction	1. 序文
1.1 Purpose and Scope	1.1 目的と範囲
1.2 Target Audience	1.2 対象読者
1.3 Organization of Volume 1	1.3 第1巻の構成
2. Overview of an Automated Security Control Assessment Process	2. 自動化されたセキュリティコントロール評価プロセスの概要
2.1 Prerequisites to Automated Security Control Assessment	2.1 セキュリティコントロール評価の自動化の前提条件
2.2 Automating the Test Assessment Method	2.2 テスト評価手法の自動化
2.2.1 Terms for Referring to Assessment Objects	2.2.1 評価対象を参照するための用語
2.3 Factors for Determining When to Trust Automated Ongoing Assessments	2.3 自動化された継続的な評価を信頼するタイミングを決定するための要因
2.4 An Automated Security Control Assessment Program: ISCM	2.4 自動化されたセキュリティコントロールの評価プログラム：ISCM
2.5 Preparing for Automated Security Control Assessments	2.5 自動化されたセキュリティコントロールの評価のための準備
3. Focusing Security Control Assessments on Security Results	3. セキュリティコントロールの評価をセキュリティ結果に集中させる
3.1 Applying Security Capabilities to Automated Assessments	3.1 自動アセスメントへのセキュリティ能力の適用
3.1.1 Supports Strong Systems Engineering of Security Capabilities	3.1.1 セキュリティ能力の強力なシステムエンジニアリングの支援
3.1.2 Supports Guidance for Control Selection	3.1.2 コントロールの選択に関するガイダンスの支援
3.1.3 Simplifies Understanding of the Overall Protection Process	3.1.3 保護プロセス全体の理解の簡素化
3.1.4 Enables Assessment of Security Results at a Higher Level than Individual Controls	3.1.4 個別のコントロールよりも上位のレベルでセキュリティ結果の評価を可能にする
3.1.5 Improves Risk Management by Measuring Security Results More Closely Aligned with Desired Business Results	3.1.5 望ましいビジネス上の成果により近いセキュリティ成果を測定することによるリスクマネジメントの改善
3.2 Attack Steps	3.2 攻撃のステップ
3.2.1 Adversarial Attack Step Model	3.2.1 敵対的攻撃ステップモデル
3.3 Security Capabilities	3.3 セキュリティ能力
3.3.1 SP 800-53 Control Families and Security Capabilities	3.3.1 SP 800-53 コントロールファミリーとセキュリティ能力
3.3.2 SP 800-137 Security Automation Domains and Security Capabilities	3.3.2 SP 800-137 セキュリティオートメーションドメインとセキュリティ能力
3.3.3 Using Security Capabilities in Security Control Assessment	3.3.3 セキュリティコントロールの評価におけるセキュリティ能力の使用
3.3.4 Security Capabilities and ISCM	3.3.4 セキュリティ能力とISCM
3.3.5 Example Security Capabilities Listed and Defined	3.3.5 セキュリティ能力のリストアップと定義の例
3.3.6 Tracing Requirements: Mapping Capability to Attack Steps	3.3.6 要件のトレース：能力から攻撃ステップへのマッピング
3.3.7 Organization-Defined Security Capabilities	3.3.7 組織で定義されたセキュリティ能力
3.4 Sub-Capabilities	3.4 サブ能力
3.4.1 Examples of Sub-Capabilities (from HWAM)	3.4.1 サブ能力の例（HWAMより）
3.4.2 Tracing Sub-Capabilities to Attack Steps	3.4.2 攻撃ステップへのサブ能力のトレース
3.5 Security Control Items	3.5 セキュリティ管理項目
3.5.1 Tracing Security Control Items to Attack Steps	3.5.1 セキュリティ管理項目から攻撃ステップへのトレース
3.5.2 Tracing Security Control Items to Capabilities	3.5.2 セキュリティ制御項目から能力へのトレース
3.5.3 Tracing Security Control Items to Sub-Capabilities	3.5.3 セキュリティ管理項目からサブキャパシティへの追跡
3.6 Synergies Across Each Abstraction Level	3.6 各抽象レベル間の相乗効果
3.6.1 Multiple Capabilities Support Addressing Each Attack Step	3.6.1 各攻撃ステップに対応するための複数の能力
3.6.2 Many Controls Support Multiple Capabilities	3.6.2 多くの制御が複数の能力を支援する
4. Using Actual State and Desired State Specification to Detect Defects	4. 実際の状態と望ましい状態の仕様による欠陥の検出
4.1 Actual State and Desired State Specification	4.1 実状と希望する状態仕様
4.2 Collectors and the Collection System	4.2 収集装置と収集システム
4.2.1 Actual State Collectors	4.2.1 実状収集装置
4.2.2 Collection of Desired State Specifications	4.2.2 望ましい状態の仕様の収集
4.2.3 The Collection System	4.2.3 収集システム
4.3 Authorization Boundary and Assessment Boundary	4.3 認可境界とアセスメント境界
4.3.1 System Authorization Boundary	4.3.1 システム認可境界
4.3.2 ISCM Assessment Boundary	4.3.2 ISCMアセスメント境界
4.3.3 Tracing System Risk to its Sources	4.3.3 システムリスクの発生源へのトレース
4.4 The Desired State Specification	4.4 望ましい状態の仕様
4.4.1 Types of Desired State Specifications	4.4.1 望ましい状態の仕様の種類
4.4.2 Desired State Specification Reflects Policy	4.4.2 ポリシーを反映した望ましい状態の仕様
4.4.3 Desired State Specification Demonstrates the Existence of Policy	4.4.3 望ましい状態仕様はポリシーの存在を証明する
4.5 Using Automation to Compare Actual State and Desired State Specification	4.5 実状と望ましい状態を比較するためのオートメーションの利用
5. Defect Checks	5. 欠陥チェック
5.1 Defect Checks and Determination Statements	5.1 欠陥チェックと判定ステートメント
5.2 Interpreting Defect Checks as Tests of Control Items	5.2 欠陥検査はコントロール項目のテストと解釈する
5.3 Interpreting Defect Checks as Tests of Sub-Capabilities and Control Items	5.3 サブ能力およびコントロール項目のテストとしての欠陥チェックの解釈
5.4 Defect Check Documentation	5.4 欠陥チェックの文書化
5.5 Data Quality Measures	5.5 データ品質対策
5.6 Assessment Criteria Device Groupings to Consider	5.6 評価基準デバイスのグループ化を考慮する
5.7 Why Not Call Defects Vulnerabilities or Weaknesses?	5.7 欠陥を脆弱性または弱点と呼ばない理由は？
5.8 Security Controls Selected/Not Selected and Defect Checks	5.8 セキュリティコントロールの選択/非選択と欠陥チェック
5.9 Foundational and Local Defect Checks	5.9 基礎的な欠陥と局所的な欠陥チェック
5.10 Documenting Tailoring Decisions	5.10 テーラリングの決定の文書化
6. Assessment Plan Documentation	6. 評価計画書の文書化
6.1 Introduction to Security Assessment Plan Narratives	6.1 セキュリティアセスメント計画書の序文
6.2 Assessment Scope	6.2 評価の範囲
6.3 Determination Statements within the Narratives	6.3 ナラティブ内の決定ステートメント
6.4 Roles and Assessment Methods in the Narratives	6.4 ナラティブにおける役割と評価方法
6.5 Defect Check Rationale Table	6.5 欠陥チェックの根拠表
6.6 Tailoring of Security Assessment Plan Narratives	6.6 セキュリティアセスメント計画ナラティブのテーラリング
6.7 Control Allocation Tables	6.7 コントロールの割り当て表
6.8 Documenting Selected Controls and Tailoring Decisions	6.8 選択されたコントロールとテーラリングの決定事項の文書化
7. Root Cause Analysis	7. 根本原因の分析
7.1 Knowing Who Is Responsible	7.1 責任者の把握
7.2 Root Cause Analysis	7.2 根本原因分析
7.2.1 Root Cause Analysis How-to: Controls	7.2.1 根本原因分析ハウツー：コントロール
7.2.2 Root Cause Analysis How-to: Defect Types	7.2.2 根本原因分析ハウツー：欠陥の種類
8. Roles and Responsibilities	8. 役割と責任
8.1 SP 800-37-Defined Management Responsibilities	8.1 SP 800-37-定義された管理責任
8.2 ISCM Operational Responsibilities	8.2 ISCMの運用責任
9. Relationship of Automated Security Control Assessment to the NIST Risk Management Framework	9. 自動化されたセキュリティ対策評価と NIST リスクマネジメントフレームワークの関係
9.1 Linking ISCM to Specific RMF Assessment Tasks	9.1 ISCM と特定の RMF 評価タスクとの関連付け
Appendix A. References	附属書A. 参考文献
Appendix B. Glossary	附属書B. 用語集
Appendix C. Acronyms and Abbreviations	附属書C. 頭字語・略語

Figure 1: Overview of an Automated Security Control Assessment Process

Figure 3: ISCM Security Capabilities Used in this NISTIR

Figure 5: ISCM Collection System

参考文献

Appendix A. References

POLICIES, DIRECTIVES, INSTRUCTIONS, REGULATIONS, AND MEMORANDA

Office of Management and Budget Circular A-130, July, 2016.

https://obamawhitehouse.archives.gov/sites/default/files/omb/assets/OMB/circulars/a1 30/a130revised.pdf

STANDARDS

NIST National Institute of Standards and Technology Federal Information Processing Standards Publication (FIPS) 199, Standards for Security Categorization of Federal Information and Information Systems, February 2004.

https://doi.org/10.6028/NIST.FIPS.199

GUIDELINES AND INTERAGENCY REPORTS

National Institute of Standards and Technology Special Publication (SP) 800-30 Revision 1, Guide for Conducting Risk Assessments, September 2012.

https://doi.org/10.6028/NIST.SP.800-30r1

National Institute of Standards and Technology Special Publication (SP) 800-37　Revision 1, Guide for Applying the Risk Management Framework to Federal Information Systems: A Security Life Cycle Approach, February 2010 (updated June 5, 2014).

https://doi.org/10.6028/NIST.SP.800-37r1

National Institute of Standards and Technology Special Publication (SP) 800-39, Managing Information Security Risk: Organization, Mission, and Information System View, March 2011.

https://doi.org/10.6028/NIST.SP.800-39
National Institute of Standards and Technology Special Publication (SP) 800-53 Revision 4, Security and Privacy Controls for Federal Information Systems and Organizations, April 2013 (updated January 22, 2015).

https://doi.org/10.6028/NIST.SP.800-53r4

National Institute of Standards and Technology Special Publication (SP) 800-53A Revision 4, Assessing Security and Privacy Controls in Federal Information Systems and Organizations: Building Effective Assessment Plans, December 2014 (updated December 18, 2014).

https://doi.org/10.6028/NIST.SP.800-53Ar4
National Institute of Standards and Technology Special Publication (SP) 800-115, Technical Guide to Information Security Testing and Assessment, September 2008.

https://doi.org/10.6028/NIST.SP.800-115
National Institute of Standards and Technology Special Publication (SP) 800-137, Information Security Continuous Monitoring (ISCM) for Federal Information Systems and Organizations, September 2011.

https://doi.org/10.6028/NIST.SP.800-137
National Institute of Standards and Technology Special Publication (SP) 800-160, Systems Security Engineering: Considerations for a Multidisciplinary Approach in the Engineering of Trustworthy Secure Systems, September 2016.

https://doi.org/10.6028/NIST.SP.800-160

National Institute of Standards and Technology Interagency Report (NISTIR) 7298 Revision 2, Glossary of Key Information Security Terms, May 2013.

https://doi.org/10.6028/NIST.IR.7298r2

National Institute of Standards and Technology Interagency Report (NISTIR) 7756 (DRAFT), CAESARS Framework Extension: An Enterprise Continuous Monitoring Technical Reference Architecture, January 2012.

http://csrc.nist.gov/publications/PubsNISTIRs.html#NIST-IR-7756

参考...

Automation Support for Security Control Assessments:

・NISTIR 8011 Vol. 1 Overview

・NISTIR 8011 Vol. 2 Hardware Asset Management

・NISTIR 8011 Vol. 3 Software Asset Management

・NISTIR 8011 Vol. 4 Software Vulnerability Management

Related NIST Publications:

SP 800-53A Rev. 4

SP 800-53 Rev. 4

2023.02.26 00:00 in 情報セキュリティ / サイバーセキュリティ, in 監査 / 認証, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in クラウド | Permalink | Comments (0)
Tweet

2023.02.25

NISC インターネットの安全・安心ハンドブックVer 5.00 (2023.01.31)

こんにちは、丸山満彦です。

NISCが「インターネットの安全・安心ハンドブック」を改訂し、発表していました。。。改訂のメンバーには、主査として猪俣先生のほか、データの宮本さんなどが入っていますね。。。

表紙入れて208ページの大部です。振り返ってみると、このブログではあまり取り上げていなかったですね。。。なぜだろう...

一般国民を意識したこの手の啓発資料は、各省庁で出すのではなく、テーマ毎に省庁横断で整理したほうがわかりやすいかもしれませんね。。。英国政府のように（ただ、英国政府も全体感がわかりにくいという問題はありますが。。。）

あと、PDFでの発行というのは従にして、基本はHTMLで公表するというのが良いと思います。（これも英国政府を参考にしてみてくださいませ。。。）

● NISC

・インターネットの安全・安心ハンドブック

・2023.01.31 [PDF] インターネットの安全・安心ハンドブックVer 5.00

目次的...部分版（各章別）

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.10.18 内閣官房 NISC ランサムウェア特設ページ

・2020.04.21 IPA テレワークを行う際のセキュリティ上の注意事項

2023.02.25 13:58 in 情報セキュリティ / サイバーセキュリティ, in リンク, in 個人情報保護 / プライバシー, in ウイルス, in 法律 / 犯罪, in 危機管理 / 事業継続 | Permalink | Comments (0)
Tweet

2023.02.24

NIST NISTIR 8320D（ドラフト）ハードウェア対応セキュリティ：ハードウェアベース・コンフィデンシャル・コンピューティング

こんにちは、丸山満彦です。

NISTがハードウェア対応セキュリティに関する内部報告 (IR) のドラフトを公表し、意見募集をしていますね。。。 DX時代...とかで、ネットワークに接続する機器等が増えるとマシンIDが増えていきますので、その管理が重要となってきますね。。。

● NIST - ITL

・2023.02.23 Hardware Enabled Security: Draft NIST IR 8320D Available for Comment

Hardware Enabled Security: Draft NIST IR 8320D Available for Comment	ハードウェアで実現するセキュリティ。NIST IR 8320D ドラフト版コメント受付中
The National Cybersecurity Center of Excellence (NCCoE) has released a draft report, NIST Interagency Report (NISTIR) 8320D, Hardware Enabled Security: Hardware-Based Confidential Computing, for public comment. NISTIR 8320D is the latest in a series of reports on hardware-enabled security techniques and technologies.	国家サイバーセキュリティ・センター・オブ・エクセレンス (NCCoE) は、ドラフト報告書「NIST内部報告 (NISTIR) 8320D ハードウェア対応セキュリティ：ハードウェアベース・コンフィデンシャル・コンピューティング」を公開し、パブリックコメントを募集している。NISTIR 8320Dは、ハードウェアを利用したセキュリティ技術に関する一連の報告書の最新版である。
Organizations employ a growing volume of machine identities, often numbering in the thousands or millions per organization. Machine identities, such as secret cryptographic keys, can be used to identify which policies need to be enforced for each machine. Centralized management of machine identities helps streamline policy implementation across devices, workloads, and environments. However, the lack of protection for sensitive data in use (e.g., machine identities in memory) puts it at risk.	組織で使用されるマシンIDの数は増え続けており、1組織あたり数千から数百万に及ぶこともある。暗号鍵などのマシンIDは、各マシンに適用する必要のあるポリシーを特定するために使用することができる。マシンIDを一元管理することで、デバイス、ワークロード、環境全体におけるポリシーの実施を効率化することができる。しかし、使用中の機密データ（メモリ内のマシンIDなど）は保護されていないため、危険にさらされている。
This report presents an effective approach for overcoming security challenges associated with creating, managing, and protecting machine identities throughout their lifecycle. It describes a proof-of-concept implementation, a prototype, that addresses those challenges by using hardware-based confidential computing. The report is intended to be a blueprint or template that the general security community can use to validate and utilize the described implementation.	この報告書では、マシンIDの作成、管理、保護に関連するセキュリティ上の課題を、そのライフサイクル全体を通じて克服するための効果的なアプローチを紹介する。また、ハードウェアベースの機密コンピューティングを使用してこれらの課題に対処する概念実証の実装（プロトタイプ）を説明している。この報告書は、一般的なセキュリティコミュニティが、説明されている実装を検証し、利用するための青写真またはテンプレートとなることを意図している。

・2023.02.23 NISTIR 8320D (Draft) Hardware-Enabled Security: Hardware-Based Confidential Computing

NISTIR 8320D (Draft) Hardware-Enabled Security: Hardware-Based Confidential Computing	NISTIR 8320D（ドラフト）ハードウェア対応セキュリティ：ハードウェアベース・コンフィデンシャル・コンピューティング
Announcement	発表
NISTIR 8320D is the latest in a series of reports on hardware-enabled security techniques and technologies.	NISTIR 8320Dは、ハードウェア対応のセキュリティ技術およびテクノロジーに関する一連の報告書の最新版である。
Organizations employ a growing volume of machine identities, often numbering in the thousands or millions per organization. Machine identities, such as secret cryptographic keys, can be used to identify which policies need to be enforced for each machine. Centralized management of machine identities helps streamline policy implementation across devices, workloads, and environments. However, the lack of protection for sensitive data in use (e.g., machine identities in memory) puts it at risk.	組織で使用されるマシンIDの数は増え続けており、1つの組織で数千から数百万に及ぶこともある。マシンIDは、秘密の暗号鍵など、各マシンに適用する必要のあるポリシーを特定するために使用されることがある。マシンIDを一元管理することで、デバイス、ワークロード、環境全体におけるポリシーの実施を効率化することができる。しかし、使用中の機密データ（メモリ内のマシンIDなど）は保護されていないため、危険にさらされている。
This report presents an effective approach for overcoming security challenges associated with creating, managing, and protecting machine identities throughout their lifecycle. It describes a proof-of-concept implementation, a prototype, that addresses those challenges by using hardware-based confidential computing. The report is intended to be a blueprint or template that the general security community can use to validate and utilize the described implementation.	この報告書では、マシンIDの作成、管理、保護に関連するセキュリティ上の課題を、そのライフサイクル全体を通じて克服するための効果的なアプローチを紹介する。また、ハードウェアベースの機密コンピューティングを使用してこれらの課題に対処する概念実証の実装（プロトタイプ）を説明している。この報告書は、一般のセキュリティコミュニティが、この実装を検証し利用するための青写真またはテンプレートとなることを意図している。
Abstract	概要
Organizations employ a growing volume of machine identities, often numbering in the thousands or millions per organization. Machine identities, such as secret cryptographic keys, can be used to identify which policies need to be enforced for each machine. Centralized management of machine identities helps streamline policy implementation across devices, workloads, and environments. However, the lack of protection for sensitive data in use (e.g., machine identities in memory) puts it at risk. This report presents an effective approach for overcoming security challenges associated with creating, managing, and protecting machine identities throughout their lifecycle. It describes a proof-of-concept implementation, a prototype, that addresses those challenges by using hardware-based confidential computing. The report is intended to be a blueprint or template that the general security community can use to validate and utilize the described implementation.	組織で使用されるマシンIDの数は増え続けており、1組織あたり数千から数百万にのぼることもある。暗号鍵のようなマシンIDは、各マシンに適用されるべきポリシーを特定するために使用される。マシンIDを一元管理することで、デバイス、ワークロード、環境全体におけるポリシーの実施を効率化することができる。しかし、使用中の機密データ（メモリ内のマシンIDなど）は保護されていないため、危険にさらされている。この報告書では、マシンIDの作成、管理、保護に関連するセキュリティ上の課題を、そのライフサイクルを通じて克服するための効果的なアプローチを紹介する。また、ハードウェアベースの機密コンピューティングを使用してこれらの課題に対処する概念実証の実装（プロトタイプ）を説明している。この報告書は、一般的なセキュリティコミュニティが、説明されている実装を検証し、利用するための青写真またはテンプレートとなることを意図している。

・[PDF] NISTIR 8320D (Draft)

目次...

1. Introduction	1. 序文
1.1. Purpose and Scope	1.1. 目的及び範囲
1.2. Terminology	1.2. 用語の説明
1.3. Document Structure	1.3. 文書の構成
2. Challenges with Creating, Managing, and Protecting Machine Identities	2. マシンアイデンティティの作成、管理、保護に関する問題点
3. Stage 0: Enterprise Machine Identity Management	3. ステージ0：エンタープライズ・マシンアイデンティティ管理
4. Stage 1: Secret Key In-Use Protection with Hardware-Based ConfidentialComputing	4. ステージ1：ハードウェアベースのコンフィデンシャル・コンピューティングによる秘密鍵のインユース・プロテクション
5. Stage 2: Machine Identity Management and End-to-End Protection	5. ステージ 2: マシンアイデンティティ管理とエンド・ツー・エンド保護
References	参考文献
Appendix A. Hardware Architecture	附属書A. ハードウェア・アーキテクチャ
Appendix B. AMI TruE Machine Identity Management Implementation	附属書B. AMI TruEマシンアイデンティティ・マネジメントの実装
B.1. Hardware and Software Requirements	B.1. ハードウェアおよびソフトウェアの要件
B.2. AMI TruE Deployment	B.2. AMI TruEのデプロイメント
B.3. Platform Security Services Configuration	B.3. プラットフォーム・セキュリティ・サービスの構成
B.4. Uninstallation	B.4. アンインストール
Appendix C. Intel In-Use Secret Key Protection Implementation	附属書C. インテル® In-Use Secret Key Protection の実装
Appendix D. Machine Identity Runtime Protection and Confidential Computing Integration	附属書D. マシンアイデンティティ・ランタイム・プロテクションとコンフィデンシャル・コンピューティングの統合
D.1. Solution Overview	D.1. ソリューションの概要
D.2. Solution Architecture	D.2. ソリューションのアーキテクチャ
D.3. Installation and Configuration	D.3. インストールと構成
Appendix E. Acronyms and Other Abbreviations	附属書E. 頭字語およびその他の略語

「2. Challenges with Creating, Managing, and Protecting Machine Identities」から...

The ultimate goal is to be able to use “trust” as a boundary for hardware-based confidential computing to protect in-use machine identities. This goal is dependent on smaller prerequisite goals described as stages, which can be thought of as requirements that the solution must meet.	最終的な目標は、ハードウェアベースのコンフィデンシャル・コンピューティングの境界として「信頼」を使用し、使用中のマシンIDを保護できるようにすることである。このゴールは、ステージとして記述されたより小さな前提条件のゴールに依存しており、これはソリューションが満たすべき要件と考えることができる。
• Stage 0: Enterprise Machine Identity Management. Security and automation for all machine identities in the organization should be a priority. A proper, enterprise-wide machine identity management strategy enables security teams to keep up with the rapid growth of machine identities, while also allowing the organization to keep scaling securely. The key components of a typical enterprise-grade machine identity management solution are described in Sec. 3.	・ステージ 0：エンタープライズ・マシンアイデンティティ管理。組織内のすべてのマシンIDのセキュリティと自動化は、優先事項であるべきである。適切なエンタープライズ規模のマシンID管理戦略は、セキュリティチームがマシンIDの急速な増加に対応し、同時に組織が安全に拡張し続けることを可能にする。一般的なエンタープライズグレードのマシンID管理ソリューションの主要コンポーネントは、セクション3に記載されている。
• Stage 1: Secret Key In-Use Protection with Hardware-Based Confidential Computing. The confidential computing paradigm can be used to protect secret keys inuse in dynamic environments. Section 4 describes the primary components of a hardware-based confidential computing environment and illustrates a reference architecture demonstrating how its components interact.	・ステージ1：ハードウェアベースのコンフィデンシャル・コンピューティングによる秘密鍵のインユースプロテクション。機密コンピューティングのパラダイムは、動的環境における使用中の秘密鍵の保護に使用できる。セクション4では、ハードウェアベースの機密コンピューティング環境の主要コンポーネントについて説明し、そのコンポーネントがどのように相互作用するかを示す参照アーキテクチャを図解している。
• Stage 2: Machine Identity Management and End-to-End Protection. Stage 0 discusses how a machine identity can be managed and Stage 1 describes how sensitive information is protected in use in conjunction with hardware-based confidential computing. Stage 2 is about the integration of the two so that machine identity management enables the prerequisites for confidential computing to be leveraged when the secret key is used at runtime. Section 5 describes how these components can be composed together to provide end-to-end protection for machine identities.	・ステージ2：マシンIDの管理とエンドツーエンドの保護。ステージ0では、マシンIDの管理方法について説明し、ステージ1では、ハードウェアベースの機密コンピューティングと連携して使用する際に機密情報を保護する方法について説明する。ステージ2は、マシンID管理によって、秘密鍵がランタイムに使用される際に機密コンピューティングの前提条件を活用できるように、この2つを統合することを目的としている。セクション5では、これらのコンポーネントを組み合わせて、マシンIDのエンドツーエンドの保護を実現する方法について説明する。
Utilizing hardware-enabled security features, the prototype in this document strives to provide the following capabilities:	ハードウェアで実現されるセキュリティ機能を活用し、この報告書のプロトタイプは以下の機能を提供するよう努める。
• Centralized control and visibility of all machine identities	・すべてのマシンIDの一元的な制御と可視性
• Machine identities as secure as possible in all major states: at rest, in transit, and in use in random access memory (RAM)	・マシン ID は、静止状態、転送中、ランダムアクセスメモリー（RAM）上で使用中のすべての主要な状態において、可能な限り安全であること。
• Strong access control for different types of machine identities in the software development lifecycle and DevOps pipeline	・ソフトウェア開発ライフサイクルおよびDevOpsパイプラインにおける、さまざまなタイプのマシンIDに対する強力なアクセス制御
• Machine identity deployment and use in DevOps processes, striving to be as secure as possible	・DevOpsプロセスにおけるマシンIDの展開と使用は、可能な限り安全であるように努力する。

関係文書

ハードウェア対応セキュリティ：

・NISTIR 8320 クラウドおよびエッジ・コンピューティングのユースケースにおけるプラットフォーム・セキュリティへの階層型アプローチの実現

・NISTIR 8320A コンテナ・プラットフォーム・セキュリティ・プロトタイプ

・NISTIR 8320B 信頼できるコンテナプラットフォームにおけるポリシーベースのガバナンス

・NISTIR 8320C (Draft) マシン・アイデンティティの管理と保護

・NISTIR 8320D (Draft) ハードウェアベース・コンフィデンシャル・コンピューティング

まるちゃんの情報セキュリティ気まぐれ日記

・2022.05.07 NISTIR 8320 ハードウェア対応セキュリティ：クラウドおよびエッジ・コンピューティングのユースケースにおけるプラットフォーム・セキュリティへの階層型アプローチの実現

・2022.04.21 NIST SP 1800-19 トラステッドクラウド：VMwareハイブリッド・クラウドのIaaS環境のためのセキュリティ実践ガイド

・2022.04.21 NISTIR 8320C (ドラフト) ハードウェア対応セキュリティ：マシン・アイデンティティの管理と保護

・2022.04.21 NISTIR 8320B ハードウェア対応セキュリティ：信頼できるコンテナプラットフォームにおけるポリシーベースのガバナンス

・2021.10.29 NISTIR 8320 (Draft) ハードウェア対応セキュリティ：クラウドおよびエッジ・コンピューティングのユースケースにおけるプラットフォーム・セキュリティへの階層型アプローチの実現（第二次ドラフト）

・2021.10.29 NISTIR 8320B （ドラフト）ハードウェア対応のセキュリティ：信頼できるコンテナプラットフォームにおけるポリシーベースのガバナンス

・2021.10.29 NIST SP 1800-19 (ドラフト) トラステッドクラウド：VMwareハイブリッド・クラウドのIaaS環境のためのセキュリティ実践ガイド

・2021.06.19 NISTIR 8320A ハードウェア対応セキュリティ：コンテナ・プラットフォーム・セキュリティ・プロトタイプ

・2021.05.28 NISTIR 8320 (Draft) ハードウェア対応セキュリティ：クラウドおよびエッジ・コンピューティングのユースケースにおけるプラットフォーム・セキュリティへの階層型アプローチの実現

・2020.12.13 NISTIR 8320A　マルチテナントクラウド環境におけるコンテナを保護するためのハードウェア対応のセキュリティ技術とその技術に基づくアプローチに関する文書の意見募集

2023.02.24 22:52 in 情報セキュリティ / サイバーセキュリティ, in パブコメ, in IoT | Permalink | Comments (0)
Tweet

米国 2023年国土安全保障シンポジウム・エキスポにおけるレイFBI長官の発言

こんにちは、丸山満彦です。

2023.02.16にバージニア州のクリストファー・ニューポート大学で開催された「国土安全保障シンポジウム・エキスポ」でクリストファー・レイFBI長官が講演をしていますが、サイバー関連のテーマで話をしていますね。。。

● FBI

・2023.02.16 Director Wray's Remarks at the 2023 Homeland Security Symposium and Expo

Director Wray's Remarks at the 2023 Homeland Security Symposium and Expo	2023年国土安全保障シンポジウム・エキスポにおけるレイ長官の発言について
Introduction	序文
Thank you.	ありがとうございます。
If you take a look at the topics for the conference today, each panel discusses something the FBI is heavily involved in right now—cyber intrusions and ransomware attacks, risks posed by unmanned systems, domestic and international terrorism, and vulnerable supply chains that run through China and everywhere else. So, I appreciate the opportunity to kick off these discussions and share a little bit about how the FBI is working with critical partners like many of you in this room to combat these threats.	今日の会議のトピックをご覧いただくと、サイバー侵入やランサムウェア攻撃、無人システムがもたらすリスク、国内および国際テロ、中国やその他の地域を経由する脆弱なサプライチェーンなど、各パネルでFBIが現在深く関わっている事柄が取り上げられています。そこで、このような議論を始める機会をいただき、ここにお集まりの多くの皆様のような重要なパートナーとともに、FBI がどのようにこれらの脅威と闘っているかについて、少しお話しさせていただきます。
Cyberattacks and ransomware. Unmanned systems. Domestic and international terrorism. Supply chain vulnerabilities.	サイバー攻撃とランサムウェア。無人システム。国内および国際的なテロリズムサプライチェーンの脆弱性。
It’s hard not to get overwhelmed by the enormity of those topics and these threats. And, frankly, that’s a lot for one day.	これらのテーマと脅威の大きさに圧倒されるのは無理もありません。正直なところ、1日では足りないくらいです。
And, of course, I should add, those are just some of the threats we’re focused on at the FBI, where we’re also tackling the trafficking and exploitation of children, alarming levels of violent crime and hate crimes, the epidemic of deadly narcotics, and malign foreign influence aimed at undermining our government, just to name a few others.	もちろん、これらは私たちがFBIで重点的に取り組んでいる脅威の一部に過ぎません。他にも、子どもの人身売買や搾取、憂慮すべきレベルの暴力犯罪や憎悪犯罪、劇薬の蔓延、政府の弱体化を狙った外国の悪意ある影響など、いくつかの例を挙げればきりがありません。
As I like to say: A lot of people seem to have ideas about things they think the FBI should be doing more of, but I haven’t heard any responsible suggestions for things we could be doing less of.	私はこう言いたいのです。多くの人が、FBIはもっとやるべきことがある、と考えているようですが、私は、FBIはもっとやるべきことがあるのではないか、という責任ある提案を聞いたことがありません。
So, in order for the FBI to be at the forefront and stay ahead of all these threats, we rely on the partnerships we’ve developed with folks in the private sector—including many of you represented here today—and across all levels of government, both here at home and abroad.	FBIがこうした脅威の最前線に立ち、先手を打つためには、今日ここにお集まりの多くの方々を含む民間部門の人々、そして国内外のあらゆるレベルの政府機関との協力関係が欠かせません。
And the importance of those partnerships is really the core of the message I hope you’ll take away from my time with you here today.	このようなパートナーシップの重要性こそが、本日私が皆さんにお伝えしたいメッセージの核心です。
Cyber Threats	サイバーの脅威
So, what are we dealing with?	では、私たちは何に対処しているのでしょうか。
In cyberspace, the threats only seem to evolve, and the stakes have never been higher.	サイバースペースでは、脅威は進化する一方であり、そのリスクはかつてないほど高まっています。
One bad actor targeting a single supply chain can cause cascading effects across multiple sectors and communities.	1つのサプライチェーンを狙った悪質な行為によって、複数のセクターやコミュニティに連鎖的な影響が及ぶ可能性があります。
One unpatched vulnerability can mean the difference between business as usual and a scramble to get scores of systems back online.	パッチを適用していない脆弱性が1つでもあれば、通常通りのビジネスができるか、多数のシステムをオンラインに戻すために奔走しなければならないかの分かれ目になります。
And over the past few years, we’ve increasingly seen cybercriminals using ransomware against U.S. critical infrastructure sectors. In 2021, we saw ransomware incidents against 14 of the 16 U.S. critical infrastructure sectors.	また、ここ数年、サイバー犯罪者が米国の重要インフラ部門に対してランサムウェアを使用する事例が増加しています。2021年には、米国の重要インフラ16分野のうち14分野に対してランサムウェアのインシデントが発生しました。
In a perverse way, that makes sense, right?	裏を返せば、これは理にかなっていると言えますよね。
If you want someone to quickly pay a ransom, you threaten the very basic things they rely on for their day-to-day lives—something like an oil pipeline, an elementary school, or an electrical grid. Malicious actors assume—and, perhaps, rightly so—that if they attack these things we depend on every day, they can inflict more pain, and people will pay more quickly.	身代金をすぐに支払わせたいのであれば、石油パイプライン、小学校、電力網など、日常生活で頼りにしている基礎的なものを脅かすのです。悪意のある行為者は、私たちが日々依存しているこれらのものを攻撃すれば、より多くの苦痛を与えることができ、人々はより早く代金を支払うだろうと考えています。
And these actors have demonstrated there’s really no bar too low. They have no problem, for instance, threatening to shut down a children’s hospital to make a quick buck.	そして、悪意ある行為者たちは、ハードルが低すぎるということがないことを実証しています。たとえば、手っ取り早く金を稼ぐために子どもの病院を閉鎖すると脅しても、何の問題もないのです。
Let me be clear: That’s not a hypothetical example.	これは仮定の話ではないので、誤解のないようにお願いします。
And while you would expect that cybercriminals are focused on operations for their own financial gain, really, any malicious cyber actor could also be trying to steal information or conduct influence operations, or laying the groundwork to disrupt our critical infrastructure. And those threats are not only proliferating, but becoming more complex.	サイバー犯罪者は金銭的な利益を得るための作戦に集中していると思われますが、実際には、悪意のあるサイバー行為者は、情報を盗んだり、影響力を行使したり、重要なインフラを破壊するための土台を築いたりすることも可能なのです。このような脅威は、急増するだけでなく、より複雑化しています。
There is no bright line where cybercriminal activity ends and hostile government activity begins, which both compounds and complicates the threat landscape.	サイバー犯罪者の活動がどこで終わり、政府の敵対的な活動がどこで始まるかという明確な線はなく、それが脅威の状況を複雑にしているのです。
We’re seeing blended threats where—for instance—the Iranian government has sponsored cybercriminals to perpetuate attacks to gather intelligence or gain access.	例えば、イラン政府がサイバー犯罪者のスポンサーとなり、情報収集やアクセス権を得るために攻撃を継続させているような脅威が混在しています。
In other instances, hostile governments have attempted to make their cyberattacks look like criminal activity, which caused whole operations to go sideways.	また、敵対する政府がサイバー攻撃を犯罪行為に見せかけようとし、その結果、作戦全体がうまくいかなくなるケースもあります。
That’s what we saw in 2017, when the Russian military used the NotPetya malware to hit Ukrainian critical infrastructure. The attack was supposed to look like a criminal heist, but was actually designed to destroy any systems it infected. They targeted Ukraine, but ended up also hitting systems throughout Europe, plus the U.S. and Australia, and even some systems within their own borders. They shut down a big chunk of global logistics, and, ultimately, their recklessness ended up causing more than $10 billion in damages—maybe the most damaging cyberattack in history.	2017年にロシア軍がマルウェア「NotPetya」を使ってウクライナの重要インフラを攻撃したのがそうでした。この攻撃は、犯罪的な強盗のように見えるはずでしたが、実際には、感染したシステムを破壊するように設計されていました。ウクライナをターゲットにした攻撃でしたが、最終的にはヨーロッパ全域、さらに米国とオーストラリアのシステム、そして自国内のシステムにも被害が及びました。世界の物流の大部分を停止させ、最終的に100億ドル以上の損害を与えました。これは、おそらく史上最も大きなサイバー攻撃です。
Add to that, cyber adversaries have also obtained an increasing capacity for stealth in recent years, facilitating more comprehensive access to U.S. networks. They’ve demonstrated the ability to maintain persistent access across various networks and environments by using seemingly legitimate credentials, accessing administrator accounts, and laterally traversing networks. They will park on a system quietly and then just wait for the right opportunity.	さらに、近年、サイバー敵対者はステルス能力を高め、米国のネットワークへのアクセスをより包括的なものにしました。彼らは、一見正当な認証情報を使用し、管理者アカウントにアクセスし、ネットワークを横断することで、様々なネットワークや環境に持続的にアクセスする能力を実証しています。彼らは、ひっそりとシステムに潜伏し、適切な機会を待つだけなのです。
So, to sum up the cyber threat picture: There’s a persistent, multi-vector, blended threat that’s constantly evolving and a continual challenge to assess, so we’re battling back against a constant barrage of attacks.	つまり、サイバー脅威の全体像をまとめると、次のようになります。このような脅威は常に進化しており、その評価も難しいため、私たちは常に攻撃の嵐に対抗しています。
China	中国
In this cyber threat landscape, China is the most dangerous actor to industry.	このようなサイバー脅威の状況において、産業界にとって最も危険な存在なのが中国です。
The Chinese government sees cyber as the pathway to cheat and steal on a massive scale, and more broadly, there’s simply no country that presents a broader or more severe threat to our ideas, innovation, and economic security than the Chinese government because they’ve shown themselves willing to lie, cheat, and steal to dominate major technology and economic sectors, crushing and putting companies from other nations out of business.	中国政府は、サイバーは大規模な不正行為や窃盗を行うための手段だと考えています。もっと広く言えば、中国政府ほど、私たちのアイデア、イノベーション、経済の安全保障に対して広範かつ深刻な脅威を与えている国はありません。なぜなら、彼らは主要技術や経済分野を支配し、他の国の企業を潰して廃業させるために嘘や不正行為、窃盗も辞さないことを示しているのです。
The Chinese government’s hacking program is bigger than that of every other major nation combined, and Chinese government hackers have stolen more of our personal and corporate data than all other countries—big and small—combined.	中国政府のハッキングプログラムは、他のすべての主要国のハッキングプログラムを合わせたよりも大規模であり、中国政府のハッカーは、大小の国を合わせたよりも多くの個人および企業データを盗んでいます。
But the threat from the PRC [People's Republic of China] government is particularly dangerous because they use that massive cyber effort in concert with every other tool in their government’s toolbox. What makes the Chinese government’s strategy so insidious is the way it exploits multiple avenues at once, and often in seemingly innocuous ways.	しかし、PRC（中華人民共和国）政府の脅威は特に危険です。なぜなら、彼らは大規模なサイバー活動を、政府の道具箱にある他のあらゆるツールと協調して使っているからです。中国政府の戦略が非常に陰湿なのは、複数の手段を同時に、しかも多くの場合、一見無害に見える方法で利用するからです。
They identify key technologies to target. Their “Made in China 2025” plan, for example, lists ten broad areas—spanning industries like robotics, green energy production and vehicles, aerospace, and biopharma.	中国政府は、ターゲットとなる重要な技術を特定します。例えば、「Made in China 2025」計画では、ロボット工学、グリーンエネルギー生産と自動車、航空宇宙、バイオ医薬品など、10の大分野を挙げています。
Then, they throw every tool in their arsenal at stealing the technology in those areas. And they are fine with causing indiscriminate damage to get to what they want, like in the Microsoft Exchange hack—the Hafnium attack—from 2021, which compromised the networks of more than 10,000 companies in just a single campaign.	そして、その分野の技術を盗むために、あらゆる手段を講じるのです。例えば、2021年に起きたMicrosoft Exchangeのハッキング（Hafnium攻撃）では、たった1回のキャンペーンで1万社以上のネットワークが危険にさらされましたが、彼らは欲しいものを手に入れるために無差別に損害を与えることも平気で行います。
At the same time, the Chinese government uses intelligence officers to target the same information.	同時に、中国政府は諜報部員を使って、同じ情報を狙っています。
And to knock down a few misconceptions about what it’s like to be targeted by Chinese intelligence, first of all, most Chinese spies aren’t just targeting people with government secrets. They’re after people with accesses to innovation, trade secrets, and intellectual property they feel would give them an advantage—economically or militarily.	そして、中国の情報機関に狙われるとはどういうことなのか、いくつかの誤解を打ち砕くために、まず第一に、ほとんどの中国のスパイは、政府の秘密を持つ人だけを狙っているわけではありません。経済的、軍事的に有利になると思われる技術革新、企業秘密、知的財産へのアクセス権を持つ人物を狙っているのです。
Second, many U.S. citizens who are compromised don’t realize they are working for the Chinese government. Chinese intelligence officers often use co-opted staff from Chinese universities or national businesses—effectively contract intelligence officers—to contact targets and develop what seems like a “collaborative” relationship, and the Chinese intelligence officer actually running the operation might never personally be in contact with the target.	第二に、情報漏洩した米国人の多くは、自分たちが中国政府のために働いていることに気づいていない。中国の諜報員はしばしば、中国の大学や国営企業の共同スタッフ（事実上の諜報員契約）を使ってターゲットと接触し、「協力」関係のようなものを構築しているのですが、実際に作戦を実行している中国の諜報員はターゲットと個人的に接触することはないかもしれません。
Third, and finally: With Chinese intelligence, the spy may not ever ask for information, but may, instead, just be looking for access to people and to networks, and that access may, in turn, be just enough to create a vulnerability for a cyber intrusion. So, their intelligence and cyber efforts are working hand-in-hand.	第三に、最後に。中国の諜報機関では、スパイは情報を求めず、単に人やネットワークへのアクセスを求め、そのアクセスがサイバー侵入のための脆弱性を作り出すのに十分な場合もあります。つまり、彼らの諜報活動とサイバー活動は密接に関係しているのです。
They also use elaborate shell games to disguise their efforts—both from our companies, and from our government investment screening program CFIUS, the Committee on Foreign Investment in the United States.	また、彼らは手の込んだ偽装工作を行い、私たちの企業からも、政府の投資審査プログラムであるCFIUS（Committee on Foreign Investment in the United States）からも、その努力を隠蔽しています。
And for non-Chinese companies operating in China, the Chinese government takes advantage of its laws and regulations to enable its stealing.	また、中国で活動する非中国企業に対しては、中国政府はその法律や規制を利用して窃盗を可能にします。
For example, in 2022, we learned that a number of U.S. companies operating in China had malware delivered into their networks through tax software the Chinese government required them to use. To put it plainly: By complying with Chinese laws, these companies unwittingly installed backdoors for Chinese state hackers. The overall result of PRC efforts like these is deep, job-destroying damage across a wide range of industries—and it’s damage that hits across the country, too, which is why we’re running 2,000 or so PRC-related counterintelligence investigations, out of every one of our 56 field offices.	例えば、2022年、中国で活動する多くの米国企業が、中国政府が使用を義務付けた税務ソフトウェアを通じて、マルウェアをネットワークに配信されていたことが分かりました。分かりやすく言えば中国の法律に従うことで、これらの企業は知らず知らずのうちに、中国国家のハッカーのためのバックドアを設置していたのです。このようなPRCの取り組みの結果、幅広い産業分野で雇用を奪う深刻な被害が発生しており、その被害は国内にも及んでいます。そのため、私たちは56の支局すべてから、PRC関連の防諜調査を約2,000件実施しています。
Disrupting the Threat	脅威を断ち切る
In the cyber and espionage realm, just as in our other programs, our goal is disruption: getting ahead of and thwarting cyberattacks as early as possible, seizing infrastructure, and denying hackers the benefit of their crimes.	サイバーとスパイの分野でも、他のプログラムと同様、私たちの目標は破壊です。サイバー攻撃をできるだけ早く先回りして阻止し、インフラを押収し、ハッカーが犯罪の利益を得るのを阻止することです。
Just a few weeks ago, we announced the success we’ve had with the year-and-a-half-long disruption campaign against the Hive ransomware group, dismantling their infrastructure and taking it offline.	つい数週間前、私たちはランサムウェアグループ「Hive」に対する1年半に及ぶ破壊活動で、彼らのインフラを解体し、オフラインにすることに成功したことを発表したばかりです。
Since 2021, they’ve been one of the larger and more active ransomware groups we know of, targeting businesses and other victims in over 80 countries, and demanding hundreds of millions of dollars in ransom.	2021年以降、彼らは私たちが知る限り、より大規模で活発なランサムウェアグループの1つで、80カ国以上の企業やその他の被害者を標的にし、数億ドルの身代金を要求しています。
Last July, the FBI gained clandestine, persistent access to Hive’s control panel—essentially, hacking the hackers.	昨年7月、FBIはHiveのコントロールパネルに秘密裏に持続的にアクセスし、ハッカーをハッキングすることに成功しました。
From last July to this January, we repeatedly exploited that access to get Hive’s decryption keys and identify victims, and we offered those keys to more than 1,300 victims around the world so they could decrypt their infected networks—preventing at least $130 million in ransom payments—all without Hive catching on.	昨年7月から今年1月にかけて、このアクセス権を悪用してHiveの復号化キーを入手し、被害者を特定しました。そして、世界中の1300人以上の被害者にこのキーを提供し、感染したネットワークを復号化することで、少なくとも1億3000万ドルの身代金の支払いを防ぎましたが、すべてHiveに気づかれずにすんだのです。
The victims targeted by the Hive group reinforced what we know—that ransomware groups don’t discriminate. They went after big and small businesses.	Hiveが標的とした被害者たちは、ランサムウェアグループが差別をしないことを改めて認識させられました。彼らは大企業も中小企業もターゲットにしています。
We rushed an FBI case agent and computer scientist to one specialty medical clinic that was so small, the doctor there also managed the clinic’s IT security. We helped larger companies, and we also shared keys with victims overseas through our foreign-based legal attaché offices—like when we gave a foreign hospital a decryptor, which they used to get their systems back up before ransom negotiations even began, possibly saving lives.	私たちはFBIの捜査官とコンピュータサイエンティストを、ある専門医院に急行させました。その医院は非常に小規模で、医師が医院のITセキュリティも管理していました。例えば、海外の病院に暗号解読機を提供したところ、身代金交渉が始まる前にシステムを復旧させ、人命を救うことができたのです。
As we consider how best to focus our efforts at disrupting the hackers, we’re not only providing intelligence to current victims to help them quickly recover from an attack, but also on preventing attacks before they happen.	ハッカーを阻止するためにどのような取り組みを行うのが最善かを検討する中で、私たちは攻撃から迅速に回復するための情報を現在の被害者に提供するだけでなく、攻撃を未然に防ぐための取り組みも行っています。
So, for example, while on Hive’s systems, when we saw the initial stages of one attack against a university, we notified the school and gave their IT staff the technical information they needed to kick Hive off of their network before ransomware was deployed.	例えば、ハイブのシステムで、ある大学に対する攻撃の初期段階を確認したとき、学校に通知し、ITスタッフに必要な技術情報を提供し、ランサムウェアが展開される前にハイブをネットワークから追い出しました。
But our ability to help often hinges on victims—both private and public—reaching out to us when they are attacked.	しかし、私たちの支援は、民間企業や公的機関の被害者が攻撃を受けた際に、私たちに連絡をくれるかどうかにかかっていることが多いのです。
Unfortunately, during these past seven months, we found that only about 20% of Hive’s victims reported to law enforcement they had been attacked, which means we wouldn’t have been able to help 80% of their victims if we hadn’t managed to get into Hive’s infrastructure, seeing what was happening from the bad guys’ side. So, while an important success, the Hive disruption was somewhat unusual.	残念ながら、この7ヵ月間、Hiveの被害者のうち、警察当局に攻撃を受けたと報告したのはわずか20%でした。つまり、Hiveのインフラに侵入し、悪者側から何が起こっているかを確認できなければ、80%の被害者を助けることはできなかったのです。つまり、重要な成功ではありましたが、Hiveの妨害はやや異例だったのです。
We can’t count on that level of visibility into adversaries’ systems, so we’re counting on our relationships with the private sector to let us know about a problem in time to fix or mitigate it.	私たちは、敵のシステムをそこまで見通すことはできないので、問題を修正・緩和するのに間に合うように問題を知らせてくれる民間企業との関係を頼りにしています。
As part of those relationships, we share threat intelligence to help companies fortify their defenses, and we rely on organizations in the private and public sector to let us know when they’ve been attacked, because once we learn about an attack, we work with our partners to broadly share what we can with public and private industry partners and international security agencies to improve overall network defense and prevent attacks.	このような関係の一環として、私たちは企業の防御を強化するために脅威情報を共有しています。また、攻撃を受けた際には、民間および公共部門の組織から私たちに知らせてもらうようにしています。攻撃について知った後は、ネットワーク防御全体の改善と攻撃防止のために、パートナーと協力して、公共および民間業界のパートナーや国際セキュリティ機関とできることを幅広く共有しています。
Dissemination of attack information helps overcome typical silos that thwart recovery efforts, and in many instances, public and private sector partners provide us information in return that we can take back and use to help you with your recovery efforts.	攻撃情報の発信は、復旧作業を妨げる典型的なサイロを克服するのに役立ち、多くの場合、官民のパートナーは、私たちが持ち帰って復旧作業に役立てることができる情報を見返りに提供してくれます。
For example, in 2021, the Port of Houston was attacked by cybercriminals. Because the Port reached out to us quickly, we were able to get technically trained agents out to the scene. There, they discovered a brand-new, zero-day exploit used to commit the attack—that is, a vulnerability and means of exploiting it that no one knew about yet. We immediately deployed our investigative tools to search for other victims where the same exploit was being deployed, and by the time the software provider developed a patch, we’d already enlisted our partners at CISA [the Cybersecurity and Infrastructure Security Agency] to work with us to help victims already being targeted, for whom that fix would otherwise have been too late. And, of course, the Port—and Houston—benefited greatly, too.	例えば、2021年、ヒューストン港がサイバー犯罪者の攻撃を受けました。このとき、ヒューストン港はすぐに私たちに連絡し、技術的な訓練を受けたエージェントを現場に派遣することができました。そこで、攻撃に使われた全く新しいゼロデイ脆弱性、つまり、まだ誰も知らない脆弱性とその悪用方法を発見したのです。そして、ソフトウェア・プロバイダーがパッチを開発する頃には、すでにCISA（サイバーセキュリティ・インフラストラクチャ・セキュリティ局）のパートナーに協力を要請し、すでに標的とされていた被害者のために、手遅れになる前にパッチを提供するよう働きかけていました。そしてもちろん、港やヒューストンも大きな恩恵を受けました。
The FBI is determined to use all of our tools and resources to help victims, whether we’re talking about single individuals or whether they number in the thousands.	FBIは、被害者が一人であろうと数千人であろうと、あらゆる手段や資源を駆使して被害者を救済することを決意しています。
When the FBI determined the Chinese had executed the Hafnium attack to install backdoors into at least 10,000 U.S. and international partner networks and computers, we worked with a private sector partner to conduct the arduous task of identifying those victims using only IP addresses, including developing a custom tool for the task. We then employed advanced analytics to geolocate victims to specific field offices and legal attaché offices, and triaged over 1,700 victim notifications. And when some system owners weren’t able to remove the Chinese government’s backdoors themselves, we executed a first-of-its-kind, surgical, court-authorized operation, copying and removing the harmful code from hundreds of vulnerable computers—slamming those backdoors shut.	FBI は、中国が少なくとも 1 万台の米国および海外のパートナーのネットワークとコンピュータにバックドアをインストールするために Hafnium 攻撃を実行したと判断したとき、民間部門のパートナーと協力して、IP アドレスのみを使用してこれらの被害者を特定する困難な作業を行いました。そして、高度な分析を用いて被害者を特定の現地事務所や法務局に地理的に特定し、1,700件を超える被害者通知のトリアージにあたりました。さらに、中国政府のバックドアを自分で削除できないシステム所有者がいたため、裁判所が承認した初の外科手術を実施し、数百台の脆弱なコンピュータから有害なコードをコピーして削除し、バックドアを閉鎖しました。
That example illustrates how today’s FBI views success: disruption of our adversaries by leveraging our capabilities, tools, and resources to get ahead of and thwart cyber attacks as early as possible.	この例は、今日の FBI が成功をどのように捉えているかを示しています。つまり、私たちの能力、ツール、リソースを活用してサイバー攻撃に先手を打ち、できるだけ早く阻止することにより、敵対者を混乱させるということです。
As these examples demonstrate, a lot of good can come from mutual trust and working together—from strong partnership. And strong public and private sector partners not only help us at the FBI get ahead of the threat and aid in recovery, but they also help us leverage our traditional law enforcement authorities to further our disruption goals—not just arresting and extraditing more hackers, but dismantling their infrastructure and seizing their funds. Through seizures, we can also help a company recover funds that would otherwise be lost.	これらの例が示すように、相互の信頼と協力、つまり強力なパートナーシップから、多くの良いことが生まれます。官民の強力なパートナーは、私たち FBI が脅威を先取りして復旧を支援するだけでなく、従来の法執行機関の権限を活用して、より多くのハッカーを逮捕して送還するだけでなく、彼らのインフラを解体して資金を押収するなど、破壊工作の目標を達成するのにも役立っています。ハッカーの逮捕や引き渡しだけでなく、インフラを破壊し、資金を押収することができます。押収によって、企業が失われるはずの資金を回収することもできます。
For instance, from January through November 2022, our Internet Crime Complaint Center’s Recovery Asset Team used the Financial Fraud Kill Chain over two thousand times, successfully freezing more than $328 million—a 74% success rate—that could then be returned to individuals and businesses who had been defrauded.	例えば、2022年1月から11月にかけて、インターネット犯罪相談センターのリカバリー・アセット・チームは、金融詐欺のキル・チェーンを2000回以上使用し、3億2800万ドル以上の凍結に成功しました（成功率74％）。
Greed is a primary motivator of the cyber threat, and by hitting cyber actors where it hurts—their wallets—we can disincentivize more attacks before they occur.	サイバー脅威の主な動機は貪欲さですが、サイバー犯罪者の財布という痛いところを突くことで、攻撃が起こる前にその意欲をそぐことができるのです。
A few weeks ago, we announced the arrest of a Russian national who administered the Bitzlato Limited cryptocurrency exchange, which laundered over $15 million in ransomware proceeds and over $700 million in darknet illicit transactions. At the same time, we worked with our international law enforcement partners to seize Bitzlato’s servers and execute additional arrests. Cryptocurrency exchanges like Bitzlato are a vital part of the infrastructure cybercriminals use to launder the funds extorted from their victims. In thinking about how we, at the FBI, can have the most durable disruptive impact, our goal is not only to take away the motivation for ransomware attacks, but also to deprive ransomware groups of the resources they need to successfully conduct these attacks.	数週間前、私たちはBitzlato Limitedという暗号通貨取引所を管理していたロシア人を逮捕したと発表しました。この取引所では、1500万ドル以上のランサムウェアの収益と7億ドル以上のダークネット不正取引が洗浄されていました。同時に、当社は国際的な法執行機関のパートナーと協力して、Bitzlatoのサーバーを押収し、追加の逮捕を実行しました。Bitzlatoのような暗号通貨取引所は、サイバー犯罪者が被害者から強奪した資金を洗浄するために使用するインフラの重要な部分です。私たちFBIが最も持続的な破壊的インパクトを与える方法を考える上で、私たちの目標は、ランサムウェア攻撃の動機を奪うだけでなく、ランサムウェアグループがこれらの攻撃を成功させるために必要なリソースを奪うことでもあります。
Conclusion and Partnerships	まとめとパートナーシップ
Bottom line: We believe in using every tool we’ve got to protect American innovation and critical infrastructure, but, as I said before, that’s not something the FBI can do alone.	結論です。私たちは、アメリカのイノベーションと重要なインフラを守るために、あらゆる手段を講じることを信条としています。
That’s a big reason conferences like this—focused on building a dialogue between the public and private sector on current and emerging threats—are so important to the Bureau. They build the partnerships necessary for us to understand and stay ahead of the threat.	このような会議が FBI にとって非常に重要なのは、現在および将来の脅威について官民の対話を促進することに重点を置いているためです。このような会議は、私たちが脅威を理解し、その先を行くために必要なパートナーシップを構築するものです。
So, again, thank you for inviting me to kickstart the discussions today. Now, let’s turn this into a conversation.	本日のディスカッションを始めるにあたり、お招きいただきありがとうございました。では、この議論を会話に発展させていきましょう。

2023.02.24 12:26 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 脆弱性, in ウイルス, in 監査 / 認証, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in 暗号 / 電子署名 / ブロックチェーン | Permalink | Comments (0)
Tweet

英国科学技術省上場企業等のアニュアルレポートにおけるサイバーセキュリティの開示に関する研究を開始...

こんにちは、丸山満彦です。

英国の科学技術省が、上場企業等のアニュアルレポートにおけるサイバーセキュリティの開示がどのような状況になっているかについて調査を始めるようです。。。

● U.K. Gov - Department for Science, Innovation and Technology

・2023.02.23 Research on cyber security disclosures in company annual reports

Research on cyber security disclosures in company annual reports	企業のアニュアルレポートにおけるサイバーセキュリティの開示に関する調査研究
The government is carrying out research to explore the prevalence and quality of cyber security disclosures made by large companies in their annual reports.	政府は、大企業がアニュアルレポートで行うサイバーセキュリティ開示の普及率と質を調査するための研究を実施している。
Documents	資料
	企業のアニュアルレポートにおけるサイバーセキュリティの開示に関する研究
Details	詳細
The Department for Science, Innovation and Technology (DSIT) has commissioned Azets to carry out research into the prevalence and quality of cyber disclosures. The fieldwork will take place over telephone and online from February 2023 to March 2023. During this period some organisations will be contacted by Azets from their Edinburgh office (an 0131 number) or Glasgow office (an 0141 number) inviting them to take part. You may also receive an email to let you know Azets called and inviting you to reply. You may be offered the option of completing the interview online, and if so, you will receive the survey link via email from Azets:	科学技術省（DSIT）は、サイバー情報開示の普及と質に関する調査をAzets社に委託している。フィールドワークは、2023年2月から2023年3月にかけて、電話およびオンラインで行われる予定である。この期間中、一部の組織にはAzets社のエジンバラオフィス（0131番）またはグラスゴーオフィス（0141番）から参加の案内が連絡される。また、Azets社から連絡があったことを知らせるEメールや、返信を促すEメールが届くかもしれない。オンラインでインタビューに参加することも可能である。その場合は、Azets社からEメールでアンケートのリンクが届く。
Taking part is completely confidential and voluntary for all individuals and organisations. The interview is not technical and participants do not need any specific IT knowledge.	インタビューへの参加は、個人・団体を問わず、完全に秘密厳守で、任意である。インタビューは技術的なものではなく、参加者に特別なIT知識は必要ない。
Context	背景
This research will support DSIT’s aim to better understand the effectiveness of current cyber disclosures by large organisations. The results of the research will inform government policy on cyber resilience. This work is part of the government’s £2.6 billion National Cyber Strategy to protect and promote the UK digital economy.	この調査は、大規模な組織による現行のサイバー情報開示の有効性をより良く理解するというDSITの目的を支援するものである。この研究の結果は、サイバーレジリエンスに関する政府の政策に反映される。この研究は、英国のデジタル経済を保護・促進するための政府の26億ポンドの国家サイバー戦略の一部である。
For more information on the policy context, please see the document above.	政策的背景の詳細については、上記の文書を参照すること。
Who will take part?	誰が参加するのか？
A sample of UK listed and private companies with 750 employees or more and £750m turnover or more. This may include companies traded on the Alternative Investment Market but not Limited Liability Partnerships, nor Public Bodies.	従業員750人以上、売上高7億5000万ポンド以上の英国の上場企業および非上場企業のサンプル。代替投資市場で取引されている企業も含まれるが、有限責任事業組合や公共団体は含まれない。

・2023.02.23 Research on cyber security disclosures in company annual reports

Research on cyber security disclosures in company annual reports	企業のアニュアルレポートにおけるサイバーセキュリティの開示に関する研究
1. Summary	1. 概要
The Department for Science, Innovation and Technology (DSIT) has commissioned Azets to carry out research into the prevalence and quality of cyber disclosures. The fieldwork will take place over telephone and online from February 2023 to March 2023. During this period some organisations will be contacted by Azets from their Edinburgh office (an 0131 number) or Glasgow office (an 0141 number) inviting them to take part. You may also receive an email to let you know Azets called and inviting you to reply. You may be offered the option of completing the interview online, and if so, you will receive the survey link via email from Azets	科学技術省（DSIT）は、サイバー開示の普及と質に関する調査をアゼツに委託した。フィールドワークは、2023年2月から2023年3月にかけて、電話およびオンラインで行われる。この期間中、一部の組織にはAzets社のエジンバラオフィス（0131番）またはグラスゴーオフィス（0141番）から参加の案内が連絡される。また、アゼツ社から連絡があったことを知らせるEメールや、返信を促すEメールが届くかもしれない。オンラインでインタビューに参加することも可能である。その場合は、Azets社からEメールでアンケートのリンクが届く。
Taking part is completely confidential and voluntary for all individuals and organisations. The interview is not technical and participants do not need any specific IT knowledge.	インタビューへの参加は、個人・団体を問わず、完全に秘密厳守で、任意である。インタビューは技術的なものではなく、参加者は特別なIT知識を必要としない。
For more information, please see the document above.	詳しくは、上記の文書を参照のこと。
2. Context	2. コンテクスト
One of the barriers to companies enhancing their cyber resilience is the lack of accountability and transparency to key stakeholders. One way in which we plan to address this issue is through the introduction of the Resilience Statement. This policy was proposed as part of the Department for Business and Trade’s wider reform of audit and corporate reporting and formed part of their public consultation on audit and corporate governance (p.48). The Resilience Statement will be a statement that forms part of a company’s annual report and will set out how a company is managing risk and building or maintaining business resilience over the short, medium and long-term. It will apply to all UK listed and private companies with 750 employees or more and £750m turnover or more. This includes companies traded on the Alternative Investment Market but not Limited Liability Partnerships, nor Public Bodies.	企業がサイバーレジリエンスを強化する際の障壁のひとつに、主要なステークホルダーに対する説明責任と透明性の欠如がある。この問題に対処するための一つの方法として、レジリエンス・ステートメントの導入が計画されている。この政策は、商務省の監査と企業報告に関する広範な改革の一環として提案され、監査とコーポレートガバナンスに関する公開協議の一部を構成している（p.48）。レジリエンス・ステートメントは、企業の年次報告書の一部を構成するもので、企業が短期、中期、長期にわたってどのようにリスクをマネジメントし、事業の回復力を構築・維持しているかを示すものである。従業員750人以上、売上高7億5000万ポンド以上の英国のすべての上場・非上場企業に適用される。代替投資市場で取引されている企業も含まれますが、有限責任事業組合や公共団体は含まれない。
This research will support DSIT’ aim to better understand the effectiveness of current cyber disclosures by large organisations. The results of the research may be used to inform the supporting guidance for the cyber related aspect of the Resilience Statement, as well as informing wider government policy on cyber resilience. This will support the government’s work with industry and charities to make the UK the safest place to live and work online.	この調査は、大企業による現行のサイバー情報開示の有効性をより良く理解するというDSITの目標を支援するものである。この調査の結果は、レジリエンス・ステートメントのサイバー関連の側面に関する支援ガイダンスに活用されるだけでなく、サイバーレジリエンスに関する政府の幅広い政策に情報を提供することもできる。これは、英国をオンラインで生活し働くのに最も安全な場所にするために、政府が産業界や慈善団体と協力して行っている活動を支援するものである。
3. Who will take part?	3. 参加対象者
A sample of UK listed and private companies with 750 employees or more and £750m turnover or more. This may include companies traded on the Alternative Investment Market but not Limited Liability Partnerships, nor Public Bodies.	従業員750人以上、売上高7億5000万ポンド以上の英国の上場企業および非上場企業。代替投資市場で取引されている企業も含まれますが、有限責任事業組合や公共団体は含まれない。

3.1 Resilience Statement	3.1 レジリエンス・ステートメント
What the White Paper proposed	白書が提案したこと
3.1.1 The White Paper proposed that companies within scope of the new Public Interest Entity definition should produce an annual Resilience Statement, which sets out their approach to managing risk and developing resilience over the short, medium and long term. The proposal responded to a recommendation in the Brydon Review and to concerns expressed in both that Review and the FRC Review that existing risk and viability reporting by many companies – including the viability statement produced under the UK Corporate Governance Code – lacked sufficient detail and specificity, and was not long-term enough in outlook.	3.1.1 白書は、新しい公益事業体の定義の範囲内にある企業は、短期、中期、長期のリスクマネジメントとレジリエンス開発へのアプローチを示すレジリエンス・ステートメントを毎年作成することを提案している。この提案は、Brydon レビューでの提言と、同レビューおよび FRC レビューで表明された、多くの企業による既存のリスクと実行可能性の報告（英国コーポレートガバナンス・コードの下で作成された実行可能性報告書を含む）が十分な詳細さと具体性を欠き、長期的な展望に欠けるという懸念に対応するものであった。
3.1.2 The White Paper proposal consisted primarily of the following:	3.1.2 白書の提案は、主に次のような内容であった。
• The Resilience Statement should incorporate and build on the existing going concern and viability statements;	・レジリエンス・ステートメントは,既存のゴーイングコンサーンやバイアビリティ・ステートメントを組み込んで構築されるべきである。
• The short-term section of the Resilience Statement should include material uncertainties to a company being a going concern even if these were rendered immaterial following mitigating action or the use of significant judgement;	・レジリエンス・ステートメントの短期セクションには、継続企業の重要な不確実性が,緩和措置や重要な判断の使用により重要でなくなった場合であっても含めるべきである。
• The short- and/or medium-term sections should at a minimum provide disclosures on how a company is addressing certain risks or resilience issues, including threats to business continuity, supply chain resilience and cyber security; and	・短期及び/又は中期セクションは,少なくとも,事業継続,サプライチェーンの強靭性,サイバーセキュリティに対する脅威など,特定のリスクやレジリエンスの問題に企業がどのように対処しているかについての開示を提供すること。
• The medium-term section should include two reverse stress testing scenarios and should cover a five-year forward look.	- 中期的なセクションは、2つの逆ストレステストのシナリオを含み、5年間のフォワードルックをカバーする必要がある。
Issues arising from consultation	コンサルテーションから生じた問題
3.1.3 There was broad support for the Resilience Statement in principle, including from a large majority of civil society and investor respondents, and from most business respondents. Many respondents said there was a need for a clearer understanding of the risks that companies face over the short, medium and long term which might threaten the resilience of the business, and a corresponding interest in understanding the mitigating actions being taken by management in response. It was generally accepted that existing disclosures under the viability statement often lacked specificity and sufficient detail to provide confidence that a company had robust plans in place to prepare for business shocks while also delivering sustainable value.	3.1.3 市民社会と投資家の回答者の大多数、および企業の回答者の大多数から、原則的にレジリエンス・ステートメントに対する幅広い支持が得られた。多くの回答者は、事業のレジリエンスを脅かす可能性のある、企業が短期、中期、長期にわたって直面するリスクをより明確に理解する必要があり、それに応じて経営陣が取っている緩和策を理解することに関心があると述べている。存続可能性報告書の下での既存の開示は、しばしば、企業が持続可能な価値を提供しつつ、ビジネスショックに備える強固な計画を有していることを確信させるに足る具体性と十分な詳細性を欠いていることが、一般に受け入れられていた。
3.1.4 With supportive comments came a number of suggestions – including from investors, civil society groups, a trade union body, audit firms and a number of business respondents – for how the Resilience Statement could be made more effective than the viability statement, including by:	3.1.4 投資家、市民社会団体、労働組合、監査法人、企業の回答者など、支持するコメントとともに、レジリエンス・ステートメントをバイアビリティ・ステートメントよりも効果的にする方法として、以下のような提案がなされた。
• providing an over-arching management narrative on resilience planning, covering both operational and financial resilience and links to the business strategy;	・レジリエンス計画に関する包括的な経営説明を提供し,事業と財務の両方のレジリエンスを網羅し,事業戦略との関連性を持たせる。
• incorporating existing disclosures on principal risks and uncertainties made within the Strategic Report;	・戦略報告書内の主要なリスクと不確実性に関する既存の情報開示を取り入れる。
• highlighting critical accounting judgements and estimates made in the company’s financial statements;	・会社の財務諸表で行われる重要な会計上の判断と見積りを強調する。
• requiring management to set out the mitigating actions they had put in place to address individual risks, and to explain how they saw particular risks crystallising over time;	・経営陣に対し,個々のリスクに対処するために実施した緩和策を提示し,特定のリスクが時間とともにどのように顕在化すると見ているかを説明するよう求める。
• focusing less on whether a company would remain viable and meet its liabilities over a given time – which some commented had led to unhelpful and minimalist binary reporting in the viability statement – and more on the company’s actions to help ensure it remained viable, on which investors and other interested stakeholders could then form a view; and/or	・企業が存続し,一定期間負債を返済し続けるかどうかに焦点を当てるのではなく(そのために,存続可能性報告書において,役に立たない,最小限のバイナリーレポートになっているとのコメントがあった),企業が存続し続けるための行動をより重視し,投資家や他の利害関係者は,それについて意見を形成すること。
• including wider disclosures on sustainability, and matters arising from business operations that might be material to society and the environment, which took account of existing international and European Union proposals on sustainability reporting, highlighting any risks to a company’s resilience arising from major contract dependencies and complex business structures (including extensive use of subcontracting and out-sourcing).	- 持続可能性に関するより広範な開示、および事業運営から生じる社会と環境にとって重要な事項の開示。これは、持続可能性報告に関する既存の国際的な提案や欧州連合の提案を考慮し、大規模な契約依存や複雑な事業構造（下請けやアウトソーシングの大規模利用など）から生じる企業の回復力に対するあらゆるリスクを強調するものである。
3.1.5 While a large majority of business respondents, including business groups and individual companies, supported the introduction of a Resilience Statement, this support in many cases came with the following two qualifications. First, there was concern over the White Paper proposal that every Resilience Statement should address a minimum set of risks or resilience issues, such as a business continuity shock or major supply chain dependency. Both businesses and many investors argued that this could produce a tick-box approach to resilience reporting, while undermining the responsibility of the board of directors to determine what risk and resilience matters were specifically material for their company in any given year. Second, many companies were concerned about the proposal to mandate a minimum five-year forward look for the medium-term section of the Resilience Statement (the length of the longterm section being left to the discretion of each company). It was argued that this did not take account of the varying business cycles of different companies and sectors, and many businesses said it would not align with their typical three-year business planning process.	3.1.5 企業グループや個々の企業を含む回答者の大多数は、レジリエンス表明の導入を支持していたが、多くの場合、この支持には、次の二つの制約があった。第一に、すべてのレジリエンス・ステートメントが、事業継続のためのショックや主要なサプライチェーンへの依存など、最低限のリスクやレジリエンスの問題を扱うべきだという白書の提案に懸念がありました。企業も多くの投資家も、この提案はレジリエンス報告に対して画一的なアプローチになりかねず、また、どの年度のどのリスクやレジリエンス事項が自社にとって特に重要かを決定する取締役会の責任も損なわれる、と主張しました。第二に、レジリエンス・ステートメントの中期セクションについて、最低5年間のフォワードルックを義務付ける（長期セクションの長さは各社の裁量に委ねる）という提案に、多くの企業が懸念を抱いていました。これは、企業やセクターによって異なるビジネスサイクルを考慮に入れていないと主張し、多くの企業は、これが通常の3年間の事業計画プロセスとは一致しないと述べている。
3.1.6 Around a quarter of business respondents raised concerns, or otherwise asked for more clarification, on the proposal that companies should carry out two reverse stress tests each year and report on this within the Resilience Statement. Some commented that this risked providing commercially sensitive information and/or could create a false expectation that a company was genuinely at risk of failure. Others asked why two reverse stress tests were needed and suggested that just one test was needed which focused on the key variable in a company’s business model and planning which, if not managed correctly, could threaten its survival. A small number of respondents highlighted existing reverse stress testing requirements covering banks and other financial institutions and asked how the new obligation in the Resilience Statement would interact with those for companies subject to both measures.	3.1.6 企業の回答者の約四分の一は、企業が毎年二回の逆ストレステストを実施し、レジリエンス・ステートメントの中でこれを報告すべきという提案に懸念を示し、あるいはさらに明確にするよう求めました。一部の回答者は、これは商業的に敏感な情報を提供するリスクがある、および/または、企業が本当に破綻のリスクにさらされているという誤った期待を抱かせる可能性があるとコメントしています。また、なぜ2つの逆ストレステストが必要なのかという質問もあり、企業のビジネスモデルと計画のうち、正しく管理されなければ企業の存続を脅かす可能性のある重要な変数に焦点を当てた1つのテストだけが必要であると提案した。少数の回答者は、銀行や他の金融機関を対象とした既存の逆ストレステストの要件を強調し、レジリエンス・ステートメントにおける新しい義務が、両方の措置の対象となる企業のそれらとどのように相互作用するかを質問している。
3.1.7 A further concern, raised by a small number of business respondents, was over the proposal to expand the going concern statement to include material uncertainties that existed prior to the exercise of significant judgement or the taking of mitigating action by management. It was argued that this could potentially lead to disclosure of a long list of material uncertainties that routine management action rendered immaterial every year and so create an unjustified impression that a company was struggling to remain a going concern.	3.1.7 さらに、少数の企業回答者が提起した懸念は、継続企業の前提を拡大し、経営陣による重要な判断の行使や緩和措置の実施以前に存在した重要な不確実性を含めるという提案であった。これは、経営者の日常的な行動によって重要でなくなった重要な不確実性のリストを毎年開示することになり、企業が継続企業の地位を維持するのに苦労しているという不当な印象を与える可能性があるというものであった。
3.1.8 The White Paper also invited views on whether new mandatory reporting under the framework of the Taskforce on Climate-related Financial Disclosures (TCFD) should be included within the Resilience Statement in whole or part. A large majority of respondents were opposed to this, with most arguing that since TCFD reporting will be both substantial and focused on a particular issue, it should be reported separately. Nonetheless, a number of respondents noted the parallel short, medium and long-term structures of the Resilience Statement and the TCFD framework and said it would be helpful for companies to cross-refer to relevant TCFD disclosures within their Resilience Statement.	3.1.8 白書は、気候関連財務開示タスクフォース（TCFD）の枠組みに基づく新たな義務的報告の全部または一部をレジリエンス表明に含めるべきかどうかについても意見を求めている。回答者の大多数はこれに反対しており、TCFDの報告は実質的であり、特定の問題に焦点を当てたものとなるため、個別に報告されるべきであると主張している。しかし、多くの回答者がレジリエンス・ステートメントとTCFDの枠組みが短期、中期、長期と並行して構成されていることを指摘し、企業がレジリエンス・ステートメントの中で関連するTCFDの開示を相互参照することは有用であると述べている。
3.1.9 Finally, a small number of business respondents said the Government should review whether the implementing legislation for the Resilience Statement should include a ‘safe harbour’ protection for directors given the greater and potentially longer-term information it would provide concerning the future of businesses. The reasoning here was that directors should be able to set out their views on the resilience of their business on the basis of what could be reasonably known and planned for at the time, and not be constrained by liability concerns which might arise if future events called into question those previous judgements and actions.	3.1.9 最後に、少数の企業回答者は、レジリエンス・ステートメントが企業の将来に関してより大きく、より長期的な情報を提供する可能性があることから、レジリエンス・ステートメントの実施法に取締役に対する「セーフハーバー」保護を含めるべきかどうかを政府が検討すべきであると述べている。その理由は、取締役は、その時点で合理的に知ることができ、計画することができたことに基づいて、事業のレジリエンスに関する見解を示すことができるべきであり、将来の出来事がそれらの以前の判断や行動を疑問視する場合に生じるかもしれない責任懸念に拘束されるべきではないというものであった。
Government response	政府の対応
3.1.10 The Government welcomes the general support for the Resilience Statement proposal and the constructive feedback offered by many respondents on how it can be most effectively implemented. The Government intends to continue with this proposal, subject to the changes set out below. The Government confirms that the Resilience Statement will apply to companies which are Public Interest Entities in line with the size thresholds set out in Chapter 1 of this document (see paragraph 1.6.48); that is, public and private companies with 750 employees or more and an annual turnover of at least £750m.	3.1.10 政府は、レジリエンス・ステートメントの提案に対する全般的な支持と、それを最も効果的に実施する方法について多くの回答者から提供された建設的なフィードバックを歓迎する。政府は、以下に示す変更点を前提に、この提案を継続する意向である。政府は、レジリエンス・ステートメントが、本書第1章（1.6.48項参照）に示された規模の閾値に沿って、公益事業体、すなわち、従業員750人以上、年間売上高7億5000万ポンド以上の公共及び民間企業に適用されることを確認する。
Identification of material resilience matters	レジリエンスに関する重要事項の特定
3.1.11 The Government accepts that mandating a common set of risks to be addressed in every statement would cut across the directors’ responsibility to identify, manage and report on those risk and resilience issues that are most material to their business. Instead, the Government intends to legislate for companies to report on matters that they consider a material challenge to resilience over the short and medium term, together with an explanation of how they have arrived at this judgement of materiality. In doing so, companies will be required to have regard to the following[1]:	3.1.11 政府は、すべての報告書で扱うべき共通のリスク群を義務付けることは、自社の事業にとって最も重要なリスクとレジリエンスの問題を特定、管理、報告するという取締役の責任を回避することになると受け止めている。その代わりに、政府は、企業が短期・中期的にレジリエンスにとって重要な課題と考える事項について、その重要性の判断に至った経緯の説明とともに報告することを法律化する予定である。その際、企業は以下の点に留意することが求められる[1]。
• any materially significant financial liabilities or expected refinancing needs occurring during the assessment period of the short and medium term sections of the Resilience Statement;	・レジリエンス・ステートメントの短期・中期セクションの評価期間中に発生する,重大な金融負債や借り換えの必要性の予想。
• the company’s operational and financial preparedness for a significant and prolonged disruption to its normal business trading;	・通常の事業取引に重大かつ長期的な支障が生じた場合の会社の業務及び財務上の備え。
• significant accounting judgements or estimates contained in the company’s latest financial statements that are material to the future solvency of the company;	・会社の最新の財務諸表に含まれる,会社の将来の支払能力にとって重要な会計上の判断や見積り。
• the company’s ability to manage digital security risks, including cyber security threats and the risk of significant breaches of its data protection obligations;	・サイバーセキュリティの脅威およびデータ保護義務の重大な違反のリスクを含む,デジタルセキュリティリスクの管理能力。
• the sustainability of the company’s dividend policy;	・会社の配当政策の持続可能性
• any significant areas of business dependency with regard to the company’s suppliers, customers, products, contracts, services or markets which may constitute a material risk; and	・会社のサプライヤー,顧客,製品,契約,サービス,市場に関して,重大なリスクを構成する可能性のある事業依存の重要な分野。
• the impact on the company’s business model of climate change, to the extent that this is not already addressed by the company in other statutory reporting.	- 気候変動が会社のビジネスモデルに与える影響（他の法定報告で取り上げられていない範囲で）
3.1.12 Supporting guidance by the regulator will set out more detail of how the potential materiality of these matters should be considered as well as on the Resilience Statement as a whole.	3.1.12 規制当局による補助ガイダンスには、レジリエンス・ステートメント全体に加え、これらの事項の潜在的重要性を考慮する方法について、より詳細が規定される予定である。
3.1.13 On the suggestion by some respondents that the Resilience Statement should be a vehicle for sustainability reporting, in October the Government published “Greening Finance: A Roadmap to Sustainable Investing”[2], a roadmap which sets out plans for a new Sustainability Disclosures Requirement (SDR) regime for UK corporates, financial services firms, asset owners and financial products. It recognises the crucial role of industry, investors and stewardship in delivering a sustainable future. The new SDR regime will require disclosures relevant to enterprise value creation against International Sustainability Standards and disclosures relevant to a company’s impact on the environment using the UK’s Green Taxonomy. In preparing the implementing legislation for the Resilience Statement, and its supporting guidance, the Government and the regulator will consider how the Resilience Statement can effectively reference, make links to and provide a coherent reporting framework with wider sustainability disclosures.	3.1.13 一部の回答者によるレジリエンス・ステートメントを持続可能性報告の手段とすべきとの指摘に対し、政府は、10 月に「Greening Finance: これは、英国の企業、金融サービス企業、資産家、金融商品に対する新しい持続可能性開示要件（SDR）体制の計画を定めたロードマップである。これは、持続可能な未来を実現するために、産業界、投資家、スチュワードシップが果たす重要な役割を認識するものである。新しい SDR 体制では、国際的な持続可能性基準に照らした企業価値の創造に関連する開示と、英国の Green Taxonomy を用いた企業の環境への影響に関連する開示が要求されます。レジリエンス・ステートメントの施行法およびそれを支えるガイダンスを作成するにあたり、政府と規制当局は、レジリエンス・ステートメントが、より広範な持続可能性の開示といかに効果的に参照、連携し、一貫した報告枠組みを提供できるかを検討する予定である。
Assessment period	評価期間
3.1.14 The Government continues to believe that companies should be able to demonstrate to shareholders (where relevant) and other interested stakeholders that they are working to help ensure the resilience of the company’s business model, its financial base and its operations over the short, medium and long term. Nonetheless, the Government accepts that having a one-size-fits-all minimum assessment period would be inflexible, given the variation in business cycles and business planning processes across different companies and sectors. The Government therefore intends to replace the five-year mandatory assessment period previously proposed for the combined short- and medium-term sections of the Resilience Statement with an obligation on companies to choose and explain the length of the assessment period for the medium-term section. Companies will be required to include a description of how resilience planning over the chosen period aligns with the company’s strategy and business investment cycle[3]. If the assessment period is the same as the one chosen in the previous year, the company will need to explain why it continues to be justified.	3.1.14 政府は、企業が、株主（関連する場合）やその他の利害関係者に対して、短期、中期、長期にわたって企業のビジネスモデル、財務基盤、事業の回復力を確保するために努力していることを示すことができるべきであると引き続き考えている。しかしながら、政府は、企業やセクターによって事業サイクルや事業計画プロセスが異なることを考慮すると、一律の最低評価期間を設定することは柔軟性に欠けることを認めている。そこで政府は、レジリエンス・ステートメントの短期と中期を合わせたセクションについてこれまで提案されていた5年間の評価期間の義務付けに代えて、中期セクションの評価期間の長さを選択し説明することを企業に義務付ける予定である。企業は、選択した期間におけるレジリエンス計画が、企業の戦略や事業投資サイクルとどのように整合しているかについての説明を含めることが要求される[3]。評価期間が前年度に選択したものと同じである場合、企業は、それが引き続き正当化される理由を説明する必要がある。
High-level narrative	ハイレベルな説明
3.1.15 The Government accepts that the statement should contain a high-level explanation of the company’s approach to maintaining or enhancing its operational and financial resilience over the short and medium term. This explanation should clearly set out how the company’s assumptions on resilience planning and risk management are influenced by and relate to its strategy on the one hand, and also the main trends and factors that are likely to affect the future development, performance and position of the company’s business[4]. This reporting should precede the company’s specific reporting on individual risk and resilience issues. Again, the supporting guidance by the regulator will provide more detailed advice on good practice.	3.1.15 政府は、声明に、短期および中期にわたって業務および財務のレジリエンスを維持または強化するための会社のアプローチに関するハイレベルな説明を含めるべきであると受け止めている。この説明では、レジリエンス計画とリスクマネジメントに関する会社の前提が、一方でどのように会社の戦略に影響され、関連しているか、また、会社の事業の将来の発展、業績、地位に影響を与えそうな主なトレンドと要因を明確に打ち出すべきである[4]。この報告は、個々のリスクとレジリエンスの問題に関する会社の具体的な報告に先行するものであるべきです。ここでも、規制当局による支援ガイダンスが、グッドプラクティスに関するより詳細なアドバイスを提供することになります。
Disclosure of principal risks and uncertainties	主要なリスクと不確実性の開示
3.1.16 The Government recognises that, in the interest of integrated and holistic reporting on risk and resilience, the existing Strategic Report requirement on companies to describe the principal risks and uncertainties facing them should be incorporated within the Resilience Statement. The Government intends that companies within scope be given the flexibility to report these risks within the short- and/or medium-term sections of the Resilience Statement, noting that different kinds of risk or uncertainty may crystallise or resolve over different time periods.	3.1.16 政府は、リスクとレジリエンスに関する統合的かつ総合的な報告という観点から、企業が直面する主要なリスクと不確実性を記述するよう求めている現行の戦略報告書を、レジリエンス表明に組み入れるべきであると認識している。政府は、さまざまな種類のリスクや不確実性が、異なる期間にわたって結晶化したり、解決されたりする可能性があることに留意し、対象範囲内の企業には、これらのリスクをレジリエンス表明の短期・中期セクションで報告する柔軟性が与えられることを意図している。
3.1.17 Given that companies’ existing description of their principal risks and uncertainties may well overlap with the new requirement to identify and report on material risk and resilience issues facing the company over the short to medium term, the Government intends that the implementing legislation will give companies flexibility to meet the existing requirement through their assessment of risk and resilience issues over the short to medium term. The implementing legislation will also require companies to report, for each risk or resilience issue identified over the short to medium term:	3.1.17 企業の主要なリスクと不確実性に関する既存の説明は、短中期的に企業が直面する重要なリスクとレジリエンスの問題を特定し報告するという新しい要件と重複する可能性が高いことから、政府は、実施法が企業に、短中期的なリスクとレジリエンスの問題の評価を通じて既存の要件を満たす柔軟性を付与することを意図している。また、実施法では、企業は、短中期的に特定されたリスクやレジリエンスの課題ごとに、以下の事項を報告することが求められる。
• the likelihood of the risk and its impact on the company’s operations or financial health if it were to materialise;	・リスクが顕在化する可能性と,顕在化した場合の会社の業務または財務の健全性に対する影響。
• the time period over which the risk is expected to remain, and potentially crystallise, if known;	- リスクが残存し、潜在的に結晶化すると予想される期間（もし分かっていれば）。
• what mitigating action, if any, the company has put or plans to put in place to manage the risk; and	- リスクをマネジメントするために会社が実施した、または実施する予定の緩和措置（もしあれば）。
• any significant changes to any of the above since the previous year’s Resilience Statement.	・前年のレジリエンス・ステートメント以降に上記のいずれかに生じた重大な変更。
Reverse stress testing	リバース・ストレステスト
3.1.18 The Government recognises that reverse stress testing may require significant time and internal management resource. However, this investment can provide management with valuable tools and insight with which to re-appraise a company’s capacity to cope with severe but plausible scenarios which, if not planned for properly, could cause the business to fail or otherwise lose the confidence of its customers and finance providers. The Government believes it is appropriate that large public interest entities should be able to demonstrate that they have undergone such a critical evaluation of their business’s key potential vulnerabilities. The Government also notes that a number of large businesses outside the financial services sector are already voluntarily making use of reverse stress testing to understand their resilience[5] and improve their risk management.	3.1.18 政府は、リバース・ストレステストにはかなりの時間と内部の管理リソースが必要であることを認識している。しかし、この投資は、もし適切な計画がなければ、事業の失敗や顧客や金融機関の信頼を失う原因となり得る、厳しいが、もっともらしいシナリオに対処する企業の能力を再評価するための貴重なツールや洞察を経営陣に提供することが可能です。政府は、大規模な公益事業体が、事業の主要な潜在的脆弱性についてこのような重要な評価を受けていることを実証できるようにすることが適切であると考えている。また、政府は、金融サービス部門以外の多くの大企業が、自社のレジリエンスを理解し[5]、リスクマネジメントを改善するために、すでに自主的にリバース・ストレステストを活用していることに留意している。
3.1.19 The Government therefore intends to continue with its proposal that companies within scope of the Resilience Statement should perform reverse stress testing. However, in light of the consultation feedback, companies will be required to perform at least one reverse stress test rather than a minimum of two. The Government also recognises the need for consistency between this new requirement and existing reverse stress testing obligations covering banks and insurance companies[6], while not replicating in full obligations that are designed to test solvency and capital adequacy in the financial system. It therefore intends that the Resilience Statement will require a company to:	3.1.19 従って、政府は、レジリエンス・ステートメントの適用範囲内の企業は逆ストレステストを実施すべきであるという提案を継続するつもりである。しかし、コンサルテーションフィードバックを考慮し、会社は最低2回のリバースストレステストではなく、最低1回のリバースストレステストを実施することが要求されることになります。政府は、この新しい要件と銀行や保険会社[6]を対象とする既存の逆ストレステストの義務との間の整合性の必要性も認識していますが、金融システムの支払能力や資本の妥当性をテストするために設けられた義務を完全に複製することはありません。そのため、レジリエンス・ステートメントは、企業に対して以下を要求することを意図しています。
• identify annually a combination of adverse circumstances which would cause its business plan to become unviable;	・事業計画が実行不可能となるような不利な状況の組み合わせを毎年特定すること。
• assess the likelihood of such a combination of circumstances occurring; and	・そのような状況の組み合わせが発生する可能性を評価する。
• summarise within the Resilience Statement the results of this assessment and any mitigating action put in place by management as a result. The summary would not be required to include any information which, in the opinion of the directors, would be seriously prejudicial to the commercial interests of the company.	・この評価結果と,その結果経営陣が講じた緩和策をレジリエンス・ステートメントに要約すること。この要約には,会社の商業的利益を著しく損なうと取締役が判断した情報を含める必要はない。
3.1.20 The process should be documented and carried out according to the nature, size and complexity of the business. The supporting documentation will not be required to be published but should be available to the regulator to review on request. The Government will address in its design of the implementing legislation how banks and other financial service companies which already carry out mandatory reverse stress testing may rely on this existing activity to comply with the Resilience Statement requirement.	3.1.20 プロセスは、事業の性質、規模、複雑性に応じて文書化され、実施されなければならない。裏付けとなる文書は公表する必要はないが、規制当局が要求に応じて閲覧できるようにする必要がある。政府は、実施法の設計において、すでに強制的な逆ストレステストを実施している銀行やその他の金融サービス会社が、レジリエンス・ステートメントの要件に準拠するためにこの既存の活動に依存する方法について対処する予定である。
Material uncertainties	重要な不確実性
3.1.21 The Government acknowledges the concern that requiring companies to disclose all material uncertainties to a company being a going concern prior to mitigating action or the use of significant judgement could potentially produce a long list of risks that are routinely rendered immaterial by business-as-usual action. At the same time, consultation responses from investors and other stakeholders show there is significant interest in understanding critical judgements or actions taken by management to conclude that an identified material uncertainty is no longer material.	3.1.21 政府は、緩和措置や重要な判断を行う前に、企業が継続企業であるための重要な不確実性をすべて開示することを義務付けると、通常通りの行動で重要性が低下するリスクの長いリストを作成する可能性があるという懸念を認識している。同時に、投資家や他の利害関係者からのコンサルテーションの回答は、識別された重要な不確実性がもはや重要でないと結論づけるために経営者が行った重要な判断や行動を理解することに、大きな関心があることを示している。
3.1.22 This information need is arguably already met to an extent by international accounting standards. International Accounting Standard 1 requires companies to disclose the management judgements that have had the most significant effect on the financial statements and also requires disclosure of major sources of estimation uncertainty. Additionally, since 2014, US GAAP has required that management’s initial going concern evaluation should not take account of mitigating actions that are ongoing.	3.1.22 この情報ニーズは、間違いなく、国際会計基準によって既にある程度満たされている。国際会計基準1号は、財務諸表に最も重要な影響を与えた経営判断の開示を企業に求め、また、見積りの不確実性の主要な原因の開示も求めている。さらに、2014 年以降、米国会計基準では、経営者による最初の継続企業の評価は、進行中の緩和措置を考慮すべきではないとされている。
3.1.23 Balancing the need for proportionality with legitimate and wider investor interest in the going concern assessment process, the Government intends that companies within scope of the Resilience Statement should identify any material uncertainties to going concern, that existed prior to the taking of mitigating action or the use of significant judgement, which the directors consider are necessary for shareholders and other users of the statement to understand the current position and prospects of the business.	3.1.23 政府は、継続企業の評価プロセスにおける正当かつ幅広い投資家の関心と比例する必要性とのバランスを取りながら、レジリエンス・ステートメントの範囲内の会社は、緩和措置の実施や重要な判断の使用以前に存在した、株主やその他の計算書の利用者が事業の現状と展望を理解するために必要だと取締役が考える継続企業の重要な不確実性を特定すべきと意図している。
Viability statement and Going Concern statement	実行可能性報告書と継続企業の報告書
3.1.24 The Government confirms that, for companies within scope of the Resilience Statement, the existing viability statement provision in the UK Corporate Governance Code (Provision 31) extending to premium listed companies will be incorporated and adapted within the statutory requirements for the Resilience Statement. As part of this, and taking account of consultation feedback on the viability statement’s provisions on prospects and liabilities, the Government and the FRC will consider how the existing objectives of the viability statement can be adapted within the Resilience Statement, while meeting the aims set out in the White Paper and this response to deliver more meaningful and extensive reporting on risk and resilience.	3.1.24 政府は、レジリエンス・ステートメントの適用範囲内の企業について、プレミアム上場企業に適用される英国コーポレートガバナンス・コード（条項31）の既存のバイアビリティステートメントの条項が、レジリエンス・ステートメントの法定要件に組み込まれ、適合されることを確認した。この一環として、また、見通しと負債に関する実行可能性報告書の規定に関するコンサルテーションのフィードバックを考慮し、政府とFRCは、リスクと回復力に関するより有意義で広範な報告を実現するという白書とこの回答で示された目的を達成しつつ、実行可能性報告書の既存の目的を回復力報告書にどう適合させられるかを検討する。
3.1.25 The Government and the FRC intend that the existing viability statement provision in the Code (Provision 31) will no longer apply after the Resilience Statement enters into force. Its removal will be subject to consultation by the FRC at the same time it consults on other proposed changes to the Code in response to the Government's final policy position set out in this response. Existing FRC guidance^[7]37 under the Code on risk and viability will continue in force, since it is relevant to other Code Principles and Provisions relating to resilience and risk management^[8]38 which will continue to apply to all companies that follow the Code.	3.1.25 政府とFRCは、レジリエンス・ステートメントの発効後、現行の実行可能性報告書の規定（条項31）を適用しないことを意図している。本回答で提示した政府の最終的な方針を受けて、FRCは規範の他の変更案について協議すると同時に、その削除について協議する予定である。リスクと実行可能性に関する既存のFRCガイダンス[7]37 は、レジリエンスとリスクマネジメントに関する他のコード原則と規定[8]38 に関連しており、コードに従う全ての企業に適用され続けるため、今後も効力を維持します。
3.1.26 The FRC also intends to consult on removing Provision 30 from the Code, covering the Going Concern statement, on the basis that this will also be included and built on within the Resilience Statement, and also since all companies subject to the Code will continue to provide a Going Concern statement as required by accounting standards and company law, irrespective of whether they are subject to the new Resilience Statement requirement. Again, the FRC will retain its existing Code guidance on going concern, since it will remain of relevance to all companies which follow the Code.	3.1.26 また、FRCは、レジリエンス・ステートメントに含まれ、その基礎となる継続企業の前提条件（Going Concern Statement）を規定する第30条の削除について協議する意向である。また、FRCは、継続企業の前提に関する既存のコードガイダンスを維持します。なぜなら、このガイダンスは、コードに準拠する全ての企業にとって引き続き適切なものだからである。
Safe harbour	セーフハーバー
3.1.27 The Government confirms that the Resilience Statement will form part of the Strategic Report. Information provided by directors in the Statement will therefore be covered by the existing ‘safe harbour’ provision in Section 463 of the Companies Act 2006. That means that directors would be liable to the company for untrue or misleading information in the Resilience Statement only if they knew the information was untrue or misleading (or were reckless as to whether it was so) or if they dishonestly concealed a material fact.	3.1.27 政府は、レジリエンス・ステートメントが戦略的報告書の一部を構成することを確認した。そのため、取締役が声明で提供する情報は、2006年会社法第463条にある既存の「セーフハーバー」条項の対象となる。つまり、取締役がレジリエンス・ステートメントにおける虚偽または誤解を招く情報に対して会社に対して責任を負うのは、その情報が虚偽または誤解を招くと知っていた場合（あるいはそのような情報かどうか無謀だった場合）、あるいは重要事実を不誠実に隠蔽した場合に限られる、ということである。
[1] This list of matters to which companies will be required to have regard does not necessarily reflect the precise wording that will be set out in the implementing legislation in due course.	[1] 企業が考慮する必要のある事項のリストは、今後施行される法律で規定される正確な文言を必ずしも反映しているわけではありません。
^[2] https://www.gov.uk/government/publications/greening-finance-a-roadmap-to-sustainable-investing
[3] Existing FRC guidance on the viability statement asks companies to take account of its investment and planning periods in choosing their assessment period, but does not require them to explain how the assessment period aligns with both the investment cycle and company strategy.	[3] 生存能力報告書に関する既存のFRCガイダンスは、評価期間を選択する際に投資期間と計画期間を考慮するよう企業に求めていますが、評価期間が投資サイクルと企業戦略の両方とどのように整合するかを説明するよう求めてはいません。
(https://www.frc.org.uk/getattachment/d672c107-b1fb-4051-84b0-f5b83a1b93f6/Guidance-on-Risk-ManagementInternal-Control-and-Related-Reporting.pdf)
[4] Section 414C of the Companies Act already requires quoted companies’ strategic reports to include a description of their strategy and of the main trends and factors likely to affect the future development, performance and position of the company’s business.	[4] 会社法414条C項では、既に上場会社の戦略報告書に、戦略、及び会社の事業の将来の発展、業績、地位に影響を及ぼす可能性のある主な傾向や要因についての説明を含めるよう求めている。
[5] The FRC’s Thematic Review of the Going Concern and Viability Statements published in September 2021 found that 5 of the 27 non-financial service companies it sampled which had prepared a viability statement had also carried out a reverse stress test.	[5] 2021年9月に公表されたFRCの継続企業報告書及び実行可能性報告書のテーマ別レビューでは、サンプリングした非金融サービス企業27社のうち、実行可能性報告書を作成していた5社が逆ストレステストも行っていたことが判明しています。
^[6] For example, see the existing FCA rules on reverse stress testing under the Senior Management, Systems and Controls Framework [web]	[6] 例えば、シニアマネジメント、システム及びコントロールの枠組みの下でのリバースストレステストに関する既存のFCA規則を参照
^[7] https://www.frc.org.uk/getattachment/d672c107-b1fb-4051-84b0-f5b83a1b93f6/Guidance-on-RiskManagement-Internal-Control-and-Related-Reporting.pdf
37 In particular:	37 特に
Principles N + O – The board should present a fair, balanced and understandable assessment of the company’s position and prospects. The board should establish procedures to manage risk, oversee the internal control framework, and determine the nature and extent of the principal risks the company is willing to take in order to achieve its long-term strategic objectives.	原則N＋O - 取締役会は、会社の立場と見通しについて、公正でバランスのとれた理解しやすい評価を示すべきである。取締役会は、リスクを管理する手続きを確立し、内部統制の枠組みを監督し、長期的な戦略目標を達成するために会社が取ることをいとわない主要なリスクの性質と範囲を決定すべきである。
Provision 1 – The board should describe in the annual report how opportunities and risks to the future success of the business have been considered and addressed, the sustainability of the company’s business model and how its governance contributes to the delivery of its strategy	規定1 - 取締役会は、事業の将来の成功に対する機会とリスクがどのように考慮され、対処されたか、会社のビジネスモデルの持続可能性、および会社のガバナンスが戦略の実現にどのように寄与しているかを年次報告書に記述するものとする。
Provision 28 - The board should carry out a robust assessment of the company’s emerging and principal risks.9 The board should confirm in the annual report that it has completed this assessment, including a description of its principal risks, what procedures are in place to identify emerging risks, and an explanation of how these are being managed or mitigated.	規定 28 - 取締役会は、会社の新興リスクと主要リスクについて確固たる評価を行うべきである9 。取締役会は、主要リスクの説明、新興リスクを特定するためにどのような手続きが行われているか、およびそれらがどのようにマネジメントまたは緩和されているかの説明を含め、この評価が完了していることを年次報告書で確認しなければならない。

2023.02.24 01:49 in 監査 / 認証, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続 | Permalink | Comments (0)
Tweet

2023.02.23

厚生労働省意見募集医療情報システムの安全管理に関するガイドライン第6.0版」の骨子（案） (2023.02.16)

こんにちは、丸山満彦です。

厚生労働省が「医療情報システムの安全管理に関するガイドライン第6.0版」の骨子（案）」について意見募集をしていますね。。。

このガイドラインは、「健康・医療・介護情報利活用検討会
」の「医療等情報利活用ワーキンググループ」で議論されてきていますので、合わせて関係しそうな資料も・・・

まずは、e-Govのパブコメ...

● e-Gov

・2023.02.16 「医療情報システムの安全管理に関するガイドライン第6.0版」の骨子（案）に関する御意見の募集について

・[PDF] 「医療情報システムの安全管理に関するガイドライン第6.0版」の骨子（案） [downloaded]

２．第 6.0 版の骨子（案）

○ ガイドライン第 5.2 版の本編と別冊について、内容面の必要な見直しを行った上で、対象とする読者類型ごとに分冊化を行い、①各編に共通する前提内容を整理した概説編（Overview）、②医療機関等において組織の経営方針を策定し意思決定を担う経営層を対象とした経営管理編（Governance）、③医療情報システムの安全管理（企画管理、システム運営）の実務を担う担当者を対象とした企画管理編（Management）、④医療情報システムの実装・運用の実務を担う担当者を対象としたシステム運用編（Control）の４編構成とする。

○ ４編については、それぞれ以下の内容を記載するものとする。

① 概説編（Overview）
各編を理解する上で前提となる考え方や各編の概要等を示すものとする。主な内容は以下のとおり。
・ガイドラインの目的
・ガイドラインの対象
（医療機関等の範囲、医療情報・文書の範囲、医療情報システムの範囲）
・ガイドラインの構成、読み方
・ガイドラインの各編を読むに当たって前提となる考え方
（医療情報システムの安全管理の目的、安全管理に必要な要素、関連する法令等）
等

② 経営管理編（Governance）
主に以下の内容について、経営層として遵守・判断すべき事項、企画管理やシステム運営の担当部署及び担当者に対して指示、管理すべき事項とその考え方を示すものとする。
・医療情報システムの安全管理に関する責任・責務
・リスク評価を踏まえた管理
（情報セキュリティマネジメントシステム（ISMS）の実践等）
・医療情報システムの安全管理全般
（経営層による内部統制、情報セキュリティ対策の設計及び管理、事業継続計画（BCP）の整備を含む情報セキュリティインシデントへの対策等）
・医療情報システム・サービス事業者との協働
（当該事業者の選定、管理、当該事業者との責任分界等）
等

③ 企画管理編（Management）
主に以下の内容について、医療機関等において組織体制や情報セキュリティ対策に係る規程の整備等の統制等の安全管理の実務を担う担当者として遵守すべき事項、医療情報システムの実装・運用に関してシステム運用担当者に対する指示・管理を行うに当たって遵守すべき事項とその考え方を示すものとする。
・医療情報システムの安全管理全般
（関連する法制度、安全管理方針の策定、責任分界、管理・監査体制、必要な規程・文書類の整備、職員及び委託先の医療情報システム・サービス事業者の人的管理等）
・リスクアセスメント（リスク分析・評価）とリスクマネジメント（リスク管理）
・情報管理（情報の持ち出し、破棄等）
・医療情報システムに用いる情報機器等の管理
・非常時（災害、サイバー攻撃、システム障害）の対応と非常時に備えた通常時からの対策
・サイバーセキュリティ対策
（通常時、サイバー攻撃に起因する非常時及び復旧対応時における対応を整理した計画の整備等）
・医療情報システムの利用者に関する認証等及び権限管理
・法令で定められた記名・押印のための電子署名
等

④ システム運用編（Control）
主に以下の内容について、医療機関等の経営層や企画管理者の指示に基づき、医療情報システムを構成する情報機器、ソフトウェア、インフラ等の各種資源の設計、実装、運用等の実務を担う担当者として適切に対応すべき事項とその考え方を示すものとする。
・医療情報システムの安全管理における技術的対策
（端末等の情報機器、ソフトウェア、ネットワークに対する安全管理措置等）
・システム設計・運用に必要な規程類と文書体系
・技術的な対応における責任分界
・リスクアセスメントを踏まえた安全管理対策
・非常時（災害、サイバー攻撃、システム障害）の対応と非常時に備えた通常時からの対策
・サイバーセキュリティ対策
（情報機器等の脆弱性対策、バックアップの実施・管理等）
・医療情報システムの利用者や連携するアプリケーションの認証等及び権限管理
・電子署名に関する技術的対応
等

○ 各医療機関等が、それぞれの特性に応じたかたちでガイドラインを遵守し、必要な安全管理を確保できるよう、医療機関等の組織体制（専任のシステム運用担当者の有無）や稼働している医療情報システムの構成（オンプレミス型／クラウドサービス型）、採用しているサービス形態（医療情報システム・サービス事業者による提供サービスの範囲）等に応じたガイドラインの参照パターンを例示するとともに、当該パターンに応じた参照項目を示すこととする。

○ ４編に加え、Ｑ＆Ａや用語集、小規模医療機関（病院、診療所、薬局等）向けの特集、サイバーセキュリティ対策に関する特集等により、４編の内容面の補足を行うものとする。

この骨子に至る議論に一端...

● 健康・医療・介護情報利活用検討会医療等情報利活用ワーキンググループ

・2023.02.13 第14回

「医療情報システムの安全管理に関するガイドライン」について

・資料

・2022.12.15 第13回

（１）救急医療時における「全国で医療情報を確認できる仕組み (ACTION１) 」について
（２）「医療情報システムの安全管理に関するガイドライン」について
（３）医療機関におけるサイバーセキュリティ対策について（報告）
（４）インシデント発生時初動対応支援事例及び課題報告（一般社団法人ソフトウェア協会講演）
（５）その他

・議事録

森田座長はもちろんですが、高倉先生、山本先生、喜多先生、萩原さん等、知った方が活躍されていますね。。。

・資料

[PDF] 【資料２－２】医療情報システムの安全管理に関するガイドライン第6.0版概要

● まるちゃんの情報セキュリティ気まぐれ日記

・2022.04.04 厚生労働省医療情報システムの安全管理に関するガイドライン第5.2版（令和4年3月）

・2021.02.02 厚生労働省医療情報システムの安全管理に関するガイドライン第5.1版（令和3年1月）

・2020.10.05 厚生労働省医療情報システムの安全管理に関するガイドライン第5.1版（案）に関する御意見の募集について

・2020.08.23 総務省　経済産業省　「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」（案）に対する意見募集の結果及び当該ガイドラインの公表

・2020.03.27 厚労省医療情報システムの安全管理に関するガイドライン改定素案（第 5.1 版）

・2020.03.10 厚労省の「医療情報システムの安全管理に関するガイドライン」の改訂作業が始まりましたね。。。

・2020.03.06 「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」（案）に対する意見の募集

10年以上遡ると...

・2009.12.26 厚生労働省パブコメ「医療情報システムの安全管理に関するガイドライン　第4.1版（案）」

・2009.11.22 パブコメ厚生労働省「診療録等の保存を行う場所について」の一部改正

・2009.07.17 総務省確定「ASP・SaaS事業者が医療情報を取り扱う際の安全管理に関するガイドライン」

・2009.05.23 総務省パブコメ「ASP・SaaS事業者が医療情報を取り扱う際の安全管理に関するガイドライン（案）」

・2009.04.09 厚生労働省確定医療情報システムの安全管理に関するガイドライン　第４版

・2008.03.08 厚生労働省パブコメ「医療情報システムの安全管理に関するガイドライン第３版（案）」＆経済産業省パブコメ「医療情報を受託管理する情報処理事業者向けガイドライン案」

・2007.04.14 厚生労働省確定「医療情報システムの安全管理に関するガイドライン　第２版」

・2005.04.09 医療情報システムの安全管理に関するガイドライン

・2005.03.05 医療情報システム　パブコメ

2023.02.23 01:58 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in クラウド, in パブコメ | Permalink | Comments (0)
Tweet

2023.02.22

ENISA 相互運用可能なEUのリスク管理フレームワーク・ツールボックス

こんにちは、丸山満彦です。

ENISAは相互運用可能なEUのリスク管理フレームワークについての文書を発行しておりますが、その文書を補完？する位置付けとしてソリューションを紹介するツールボックスを公表しましたね。。。

サイバーセキュリティ対策はリスクマネジメントの一部ですから、当たり前なのですが、組織内にリスクマネジメントの仕組みがあればそれと整合するように設計、運用するのが良いわけです。。。組織が参考しているリスクマネジメントのフレームワークを理解し、このような文書を利用して整合性をとることが容易になるかもですね。。。

● ENISA

・2023.02.21 Interoperable EU Risk Management Toolbox

Interoperable EU Risk Management Toolbox

相互運用可能なEUリスクマネジメント・ツールボックス

This document presents the EU RM toolbox, a solution proposed by ENISA to address interoperability concerns related to the use of information security RM methods. The toolbox aims to facilitate the smooth integration of various RM methods in an organisation’s environment or across organisations and bridge the gaps associated with the methods’ disparate respective approaches. With the help of the toolbox, shareholders will be able to have a common understanding of risks and report interoperable risk assessment results to the community and competent authorities.

本書は、情報セキュリティのリスクマネジメント手法の使用に関連する相互運用性の懸念に対処するためにENISAが提案したソリューションであるEU RMツールボックスを提示するものである。このツールボックスは、組織の環境内または組織間の様々なリスク管理手法の円滑な統合を促進し、手法ごとの異種アプローチに関連するギャップを埋めることを目的としている。本ツールボックスを利用することで、株主はリスクを共通に理解し、相互運用可能なリスク評価結果をコミュニティや所轄官庁に報告することができるようになる。

・[PDF]

エグゼクティブサマリー...

Executive summary	エグゼクティブサマリー
The benefits of the European digital economy and society can only be fully attained under the premise of cybersecurity. All layers of society can be affected and the EU needs to be ready to respond to massive (large-scale and cross-border) cyberattacks and cyber crises. Cross-border interdependencies have highlighted the need for effective cooperation between EU Member States and EU institutions for a faster response and proper coordination of efforts at all levels (strategic, operational, technical and communications). Under this perspective, it is important not only to define interoperable terms in EU risk management (RM) and regulatory frameworks, but also to develop common/comparative risk scales, which will allow for the interpretation of the risk analysis outputs that result from different RM methods, so that the risk levels are comparable.	欧州のデジタル経済・社会がもたらす恩恵は、サイバーセキュリティを前提として初めて完全に達成される。社会のあらゆる層が影響を受ける可能性があり、EUは大規模な（大規模で国境を越えた）サイバー攻撃やサイバー危機に対応する準備が必要である。国境を越えた相互依存関係は、より迅速な対応とあらゆるレベル（戦略、運用、技術、コミュニケーション）における努力の適切な調整のために、EU加盟国とEU機関の間の効果的な協力の必要性を浮き彫りにしている。このような観点から、EUのリスクマネジメント（RM）および規制の枠組みにおいて相互運用可能な用語を定義するだけでなく、異なるRM手法から得られるリスク分析結果の解釈を可能にする共通／比較可能なリスク尺度を開発し、リスクレベルを比較可能にすることが重要である。
This document presents the EU RM toolbox, a solution proposed by ENISA to address interoperability concerns related to the use of information security RM methods. The toolbox aims to facilitate the smooth integration of various RM methods in an organisation’s environment or across organisations and bridge the gaps associated with the methods’ disparate respective approaches. With the help of the toolbox, shareholders will be able to have a common understanding of risks and report interoperable risk assessment results to the community and competent authorities.	本書は、情報セキュリティのRM手法の使用に関連する相互運用性の懸念に対処するためにENISAが提案したソリューションであるEU RMツールボックスを提示するものである。ツールボックスは、組織環境内または組織間での様々なRM手法の円滑な統合を促進し、手法ごとの異質なアプローチに関連するギャップを埋めることを目的としている。ツールボックスの支援により、株主はリスクについて共通の理解を持ち、相互運用可能なリスク評価結果をコミュニティや所轄官庁に報告することができるようになる。

序文...

1. Introduction	1. 序文
1.1. Purpose and scope	1.1. 目的及び範囲
This report is part of ENISA’s project ‘Building interoperable EU risk management frameworks vol. 02’, which extends and builds on prior work carried out in 2021 and produced the following reports:	本報告書は、ENISAのプロジェクト「相互運用可能なEUリスクマネジメントの枠組み構築 vol.02」の一部であり、2021年に実施された先行作業を拡張・構築して、以下の報告書を作成したものである。
1. 相互運用が可能なリスクマネジメントフレームワークの大要	1. 相互運用可能な EU リスクマネジメントフレームワーク
2. Compendium of Risk Management Frameworks with Potential Interoperability	2. 相互運用が可能なリスクマネジメントフレームワークの大要
The interoperable EU RM toolbox (also referred to in this document as the ‘toolbox’) aims to provide a reference framework that supports the interpretation, comparison and aggregation of the results produced by different risk assessment methods. The EU RM toolbox will allow different stakeholders to work on common threats and risk scenarios and compare their risk levels, even if they are assessed through different or proprietary tools and methods. Such comparative results on the security posture of the organisations will allow different organisations, along with policymakers and regulators, to develop an integrated view on the cybersecurity posture of organisations against specific and/or emerging threats in specific sectors, and across different sectors and countries.	相互運用可能なEUリスクマネジメントツールボックス（本書では「ツールボックス」と呼ぶ）は、異なるリスク評価手法によって得られた結果の解釈、比較、集計を支援する参照フレームワークを提供することを目的としている。EUのRMツールボックスは、異なる利害関係者が共通の脅威とリスクシナリオに取り組み、異なるまたは独自のツールや手法で評価されたとしても、そのリスクレベルを比較することを可能にするものである。組織のセキュリティ態勢に関するこのような比較結果は、政策立案者や規制当局とともに、異なる組織が、特定の部門、異なる部門や国にわたる特定の脅威や新たな脅威に対する組織のサイバーセキュリティ態勢について、統合的な見解を展開することを可能にする。
To this end, the EU RM toolbox will provide directions and facilitate the comparison and interpretation of the cybersecurity readiness of different information systems infrastructures against a specific threat scenario or a set of threat scenarios (e.g. physical threats).	この目的のために、EU RM ツールボックスは、特定の脅威シナリオまたは一連の脅威シナリオ（例：物理的脅威）に対する異なる情報システム基盤のサイバーセキュリティ準備の方向性を提供し、比較と解釈を促進するものである。
The objective of this document is to define a scheme and the required set of components (common terminology, assets classification, threat taxonomy and impact/risk scales) that will allow for the interpretation of the risk analysis outputs that result from different RM frameworks.	この文書の目的は、異なる RM フレームワークから得られるリスク分析結果の解釈を可能にするスキームと必要な構成要素（共通用語、資産分類、脅威分類法、影響・リスク尺度）を定義することである。
1.2. Report structure	1.2. 報告書の構成
This report includes four sections: Section 1 (Introduction) defines the toolbox’s purpose and scope; Section 2 (Interoperable EU RM toolbox) presents the concept, the scheme and the components of the toolbox; Section 3 (Method of use) outlines the way in which the EU RM toolbox will be used by stakeholders; and Section 4 (Toolbox evolvement) proposes ways in which the toolbox can be further enriched with additional information to achieve its long-term objectives. Section 5 (Conclusions) summarises our conclusions.	本報告書は 4 つのセクションから構成されている。セクション1（序文）はツールボックスの目的と範囲を定義し、セクション2（相互運用可能なEU RMツールボックス）はコンセプト、スキーム、ツールボックスの構成要素を示し、セクション3（使用方法）はEU RMツールボックスの関係者による使用方法の概要を示し、セクション4（ツールボックス進化）はツールボックスがその長期目的を達するために追加情報でさらに充実できる方法を提案している。セクション5（結論）は、我々の結論を要約したものである。
This report also includes the following annexes:	本報告書には、以下の附属書も含まれている。
• Annex I – Terminology	・附属書 I - 用語集
• Annex II – Assets	・附属書II - 附属書II - 資産
• Annex III – Threats	・附属書III - 脅威
• Annex IV – Impact levels	・附属書IV - 影響度
• Annex V – Risk levels	・附属書V - リスクレベル
• Annex VI – Risk calculation interoperability samples	・附属書VI - リスク算出の相互運用性サンプル
• Annex VII – Toolbox libraries	・附属書VII - ツールボックスライブラリ
• Annex VIII – Use case example.	・附属書VIII - ユースケース例

Figure 1: The role of the EU RM toolbox and its positioning in the RM process

Figure 2: EU RM toolbox evolvement

目次...

1. INTRODUCTION	1. 序文
1.1. Purpose and scope	1.1. 目的及び範囲
1.2. Report structure	1.2. 報告書の構成
1.3. Definitions of abbreviations	1.3. 略語の定義
2. INTEROPERABLE EU RM TOOLBOX	2. 相互運用可能な EU RM ツールボックス
2.1. Method of work	2.1. 作業方法
2.2. EU RM toolbox description	2.2. EU RM ツールボックスの説明
2.3. Toolbox components	2.3. ツールボックスの構成要素
2.3.1.Knowledge base	2.3.1.ナレッジベース
2.3.2. Functional components	2.3.2. 機能コンポーネント
3. METHOD OF USE	3. 使用方法
3.1. Basic concepts and terms	3.1. 基本的な考え方と用語
3.2. Risk evaluation against a specific threat	3.2. 特定の脅威に対するリスク評価
3.3. Use case development process	3.3. ユースケース開発プロセス
4. TOOLBOX EVOLVEMENT	4. ツールボックスの進化
5. CONCLUSIONS	5. 結論
A Annex I – Toolbox terminology	A 附属書 I - ツールボックスの用語集
B Annex II – Toolbox asset classification	B 附属書II - ツールボックスの資産分類
C Annex III – Toolbox threat taxonomy	C 附属書III - ツールボックスの脅威分類法
D Annex IV – Toolbox impact scale	D 附属書IV - ツールボックスの影響尺度
E Annex V – Toolbox risk scale	E 附属書V - ツールボックスのリスク尺度
F ANNEX VI – Risk calculation interoperability samples	F 附属書VI - リスク計算の相互運用性サンプル
G Annex VII – Toolbox libraries	G 附属書VII - ツールボックスライブラリ
H Annex VIII – Use case example	H 附属書VIII - ユースケース例
Scenario description	シナリオの説明
Indicative assets in scope	対象範囲に含まれる主な資産
Attack path	攻撃経路
Attack scenarios	攻撃シナリオ
Deliverables	成果物
6. BIBLIOGRAPHY / REFERENCES	6. 書誌・参考文献

ツール...

[XLSX] EU RM Toolbox Library 01 - Terms Mappings
[XLSX] EU RM Toolbox Library 02 - Assets Mappings
[XLSX] EU RM Toolbox Library 03 - Threats Mappings
[XLSX] EU RM Toolbox Library 04 - Risk-Impact Levels Mappings

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.01.25 ENISA 相互運用可能なEUのリスク管理フレームワーク 2022年更新版 (2023.01.16)

・2022.01.18 ENISA 相互運用可能なEUのリスク管理フレームワーク

2023.02.22 08:59 in 情報セキュリティ / サイバーセキュリティ, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続 | Permalink | Comments (0)
Tweet

ENISA 単一計画文書2023-2025

こんにちは、丸山満彦です。

ENISAが2023−2025年の活動計画を公表しています。。。まだ詳細は読んでいませんが、日本の同様の組織でも参考になるかもしれません。。。

インフレ等もあって予算が厳しいのはどこも同じかもしれませんね。。。

● ENISA

・2023.02.20 ENISA Single Programming Document 2023-2025

Juhan Lepassaar Executive Directorの序文...

Foreword	まえがき
The strong cyber dimension of the Russian war of aggression against Ukraine and its reflections in the cybersecurity threat landscape have once again emphasised the role of cybersecurity as a cornerstone of a digital and connected Europe. Despite the spill-overs and direct attacks, by-and-large the EU has been able to deal with the cyber threats posed by the Russian aggression through the resilience of its Member States and across Europe, as well as forging support and cooperation with Ukraine and other allies and partners.	ロシアのウクライナに対する侵略戦争のサイバー的側面と、サイバーセキュリティの脅威の状況におけるその反映は、デジタルでつながったヨーロッパの基礎としてのサイバーセキュリティの役割を再び強調することとなった。波及効果や直接的な攻撃にもかかわらず、EUは、加盟国や欧州全体のレジリエンスを高め、ウクライナをはじめとする同盟国やパートナーとの支援や協力関係を築くことによって、おおむねロシアの侵略によってもたらされたサイバー脅威に対処することができたと言える。
Within this context, ENISA’s challenge is both to keep pace and set the pace in supporting the Union in achieving a high common level of cybersecurity across Europe. This Single Programming Document (SPD) for the years 2023-2025 represents another step in bringing this about.	このような状況の中で、ENISAの課題は、欧州全体で高い共通レベルのサイバーセキュリティを達成するために、欧州連合を支援するペースを維持し、かつペースを設定することである。2023年から2025年までのこの単一計画文書（SPD）は、これを実現するための新たなステップを意味する。
Firstly, it puts emphasis on strengthening the resilience of Member States and EU institutions, bodies and agencies. In 2023, approximately half of ENISA’s operational resources, both budget and human resources, will be dedicated to enhancing operational cooperation and building capacity. Together with the one-off support of up to 15 million EUR, which the European Commission allocated to ENISA in Autumn 2022, the Agency will be able to massively scale up and expand its ex-ante and ex-post services to Member States in 2023.	まず、加盟国およびEUの機関、団体、機関のレジリエンスを強化することに重点を置いている。2023年には、ENISAの運営資源（予算と人的資源の両方）の約半分が、業務協力の強化と能力構築に充てられる。2022年秋に欧州委員会がENISAに割り当てた最大1,500万ユーロの単発支援と合わせると、2023年には加盟国に対する事前・事後のサービスを大規模に拡大・拡張することができるだろう。
Secondly, building on the outcomes of strategic discussions within its Management Board throughout 2022, the Agency has developed service packages in key areas of its mandate. They integrate ENISA’s various outputs across different activities, help the agency to prioritise its actions, build and make use of internal synergies, and ensure that adequate resources are reserved across the Agency in a transparent manner.	第二に、2022年を通じて経営委員会で行われた戦略的議論の成果を踏まえて、同庁はその任務の主要分野におけるサービス・パッケージを開発した。これらは、ENISAのさまざまな活動を統合し、活動の優先順位付け、内部シナジーの構築と活用を支援し、透明性のある方法でENISA全体に十分なリソースが確保されるようにするものである。
Thirdly, through this work-programme ENISA will endeavour to help Member States to prepare for the transposition of the reviewed NIS Directive, as well as to prepare the ground for the roll-out and implementation of the EU cybersecurity certification schemes.	第三に、ENISAは、この作業計画を通じて、加盟国が見直されたNIS指令の移行の準備をするのを支援し、EUサイバーセキュリティ認証制度の展開と実施のための基盤を整えることに努める。
Finally, recognising the growing need to bring together the EU's activities and resources across the cybersecurity communities, this SPD establishes a new activity in the area of research and innovation to structure the Agency’s cooperation and collaboration with the European Cybersecurity Competence Centre (ECCC) and its emerging networks.	最後に、サイバーセキュリティのコミュニティ全体にわたってEUの活動と資源をまとめる必要性が高まっていることを認識し、このSPDは、欧州サイバーセキュリティ能力センター（ECCC）とその新興ネットワークとの協力・連携を構築するために、研究・イノベーションの分野で新たな活動を確立している。
All those areas also accentuate the resource constraints under which the Agency now operates. The foreseen budget increase for the 2023 work programme has been fully absorbed by the increase in staff expenditure and inflation. Due to a shortfall of over 3 million EUR, the Agency has had to reduce the scope of some of its operational activities, limiting the number of exercises and training it rolls-out or postponing its actions in countering ransomware.	また、これらの分野はすべて、同庁が現在運用している資源の制約を際立たせている。2023年作業計画のために予期された予算増額は、職員の支出増とインフレによって完全に吸収された。300万ユーロ以上の予算不足のため、同庁は一部の活動範囲を縮小せざるを得ず、演習や訓練の実施回数を制限したり、ランサムウェア対策の活動を延期したりしている。
Such reductions mean drawbacks in certain areas and might become a real obstacle if new tasks should be added to the Agency without a parallel increase in its resources. Thus, though ENISA welcomes the pioneering set of cybersecurity initiatives being put forward in 2022 and relishes the different and varied roles they imply for the Agency, it needs to have the right level of human and financial resourcing to match those aims and ambitions.	このような削減は、特定の分野での後退を意味し、ENISAの資源が並行して増加することなく新たな任務が追加される場合には、真の障害になる可能性がある。したがって、ENISAは、2022年に打ち出される一連の先駆的なサイバーセキュリティ・イニシアチブを歓迎し、それらが同機関に意味するさまざまな多様な役割を喜んでいるが、これらの目的と野心に見合う適切なレベルの人材と資金を確保する必要がある。
The EU has been mastering cybersecurity initiatives and structures not least through a unique general consensus across parties and across Member States as its prime driving force. This consensus should now also include the resourcing of the Agency. This would give the Union the ability it needs to steer cybersecurity developments in the years to come.	EUはサイバーセキュリティの取り組みと構造を獲得してきたが、その主要な推進力として、政党や加盟国を超えた独自の一般的なコンセンサスを得てきた。このコンセンサスには、現在、サイバーセキュリティ機関の資金調達も含まれるはずである。そうすれば、今後数年間、サイバーセキュリティの発展に舵を切るために必要な能力を連合に与えることができるだろう。

ミッション、戦略...

MISSION STATEMENT	ミッションステートメント
The mission of the European Union Agency for Cybersecurity (ENISA) is to achieve a high common level of cybersecurity across the Union in cooperation with the wider community. It does this through acting as a centre of expertise on cybersecurity, collecting and providing independent, high quality technical advice and assistance to Member States and EU bodies on cybersecurity. It contributes to developing and implementing the Union’s cybersecurity policies. Our aim is to strengthen trust in the connected economy, boost resilience and trust of the Union’s infrastructure and services and keep our society and citizens digitally secure. We aspire to be an agile, environmentally and socially responsible organisation focused on people.	欧州連合サイバーセキュリティ機関（ENISA）の使命は、より広いコミュニティと協力しながら、欧州連合全体で高い共通レベルのサイバーセキュリティを実現することである。これは、サイバーセキュリティに関する専門知識の中心地として活動し、サイバーセキュリティに関する独立した質の高い技術的助言と支援を加盟国およびEU諸機関に収集・提供することによって実現される。また、EUのサイバーセキュリティ政策の立案と実施に貢献している。私たちの目標は、接続された経済に対する信頼を強化し、EUのインフラとサービスのレジリエンスと信頼性を高め、社会と市民のデジタルセキュリティを維持することである。私たちは、俊敏で環境と社会に配慮した、人に焦点を当てた組織であることを目指す。
STRATEGY	戦略
CYBERSECURITY POLICY	サイバーセキュリティ方針
Cybersecurity is the cornerstone of digital transformation and the need for it permeates all sectors, therefore it needs to be considered across a broad range of policy fields and initiatives. Cybersecurity must not be restricted to a specialist community of technical cybersecurity experts. Cybersecurity must therefore be embedded across all domains of EU policies. Avoiding fragmentation and the need for a coherent approach while taking into account the specificities of each sector is essential.	サイバーセキュリティは、デジタル変革の基礎であり、その必要性はすべてのセクターに浸透しているため、幅広い政策分野とイニシアチブで検討する必要がある。サイバーセキュリティは、サイバーセキュリティの技術的な専門家集団に限定されるものであってはならない。したがって、サイバーセキュリティは、EUの政策のすべての領域にわたって組み込まれなければならない。断片化を避け、各分野の特殊性を考慮しつつ、首尾一貫したアプローチをとることが必要である。
OPERATIONAL COOPERATION	運用協力
The benefits of the European digital economy and society can only be fully attained under the premise of cybersecurity. Cyber-attacks know no borders. All layers of society can be impacted and the Union needs to be ready to respond to massive (large-scale and cross-border) cyber-attacks and cyber crisis. Cross-border interdependencies have highlighted the need for effective cooperation between Member States and the EU institutions for faster response and proper coordination of efforts at all levels (strategic, operational, technical and communications).	欧州のデジタル経済と社会がもたらす恩恵は、サイバーセキュリティを前提にして初めて十分に達成される。サイバー攻撃には国境がない。社会のあらゆる層が影響を受ける可能性があり、EUは大規模な（大規模かつ国境を越えた）サイバー攻撃やサイバー危機に対応する準備が必要である。国境を越えた相互依存関係により、加盟国とEU機関が効果的に協力し、迅速な対応とあらゆるレベル（戦略、運用、技術、コミュニケーション）における努力の適切な調整を行う必要性が浮き彫りになっている。
CAPACITY BUILDING	能力開発
The frequency and sophistication of cyberattacks is rising speedily, while at the same time the use of ICT infrastructures and technologies by individuals, organisations, and industries is increasing rapidly. The needs for cybersecurity knowledge and competences exceeds the supply. The EU has to invest in building competences and talents in cybersecurity at all levels, from the non-expert to the highly skilled professional. The investments should focus not only on increasing the cybersecurity skillset in the Member States but also on making sure that the different operational communities possess the appropriate capacity to deal with the cyber threat landscape.	サイバー攻撃の頻度と精巧さは急速に高まっており、同時に、個人、組織、産業によるICTインフラと技術の利用も急増している。サイバーセキュリティの知識と能力に対するニーズは、供給を上回っている。EUは、非専門家から高度に熟練した専門家まで、あらゆるレベルのサイバーセキュリティに関する能力と才能の育成に投資しなければならない。この投資は、加盟国におけるサイバーセキュリティのスキルセットを向上させるだけでなく、さまざまな運用コミュニティがサイバー脅威の状況に対処するための適切な能力を有することを確認することにも焦点を当てる必要がある。
TRUSTED SOLUTION	信頼できるソリューション
Digital products and services bring benefits as well as risks, and these risks must be identified and mitigated. In the process of evaluating security of digital solutions and ensuring their trustworthiness, it is essential to adopt a common approach, with the goal to strike a balance between societal, market, economic and cybersecurity needs. A neutral entity acting in a transparent manner will increase customer trust on digital solutions and the wider digital environment.	デジタル製品やサービスはメリットだけでなくリスクももたらすが、これらのリスクを特定し、軽減する必要がある。デジタルソリューションのセキュリティを評価し、その信頼性を確保するプロセスでは、社会、市場、経済、サイバーセキュリティのニーズのバランスを取ることを目標に、共通のアプローチを採用することが不可欠である。透明性の高い方法で行動する中立的な組織は、デジタルソリューションとより広範なデジタル環境に対する顧客の信頼を高めることになる。
FORESIGHT	見通し
Numerous new technologies, still in their infancy or close to mainstream adoption, would benefit from the use of foresight methods. Through a structured process enabling dialogue among stakeholders, decision- and policy-makers would be able to define early mitigation strategies that improve the EU resilience to cybersecurity threats and find solutions to address emerging challenges.	まだ初期段階にある、あるいは主流になりつつある数多くの新技術は、先見性のある手法を用いることで利益を得ることができるだろう。利害関係者間の対話を可能にする構造化されたプロセスを通じて、意思決定者や政策立案者は、サイバーセキュリティの脅威に対するEUの耐性を向上させる早期緩和戦略を定義し、新たな課題に対処するための解決策を見つけることができるようになるであろう。
KNOWLEDGE	知識
The energy that fuels the mill of cybersecurity is information and knowledge. For cybersecurity professionals to be efficient at tackling our objectives, to work in a constantly moving environment – in terms of digital developments as well as with regard to actors – to face the challenges of our time, a continuous process of collecting, organising, summarising, analysing, communicating, and maintaining cybersecurity information and knowledge is clearly needed. All phases are essential to ensure that information and knowledge is shared and expanded within the EU cybersecurity ecosystem	サイバーセキュリティを推進するエネルギーは、情報と知識である。サイバーセキュリティの専門家が効率的に目標に取り組み、デジタル開発だけでなくアクターに関しても絶えず変化する環境で働き、現代の課題に立ち向かうためには、サイバーセキュリティの情報と知識を収集、整理、要約、分析、伝達、維持する継続的プロセスが明らかに必要である。EUのサイバーセキュリティのエコシステムの中で情報と知識が共有され、拡大されることを確実にするためには、すべての段階が不可欠である。

目次...

List of acronyms	頭字語一覧
Foreword	まえがき
Mission statement	ミッションステートメント
Strategy	戦略
FORESIGHT	フォーサイト
KNOWLEDGE	ナレッジ
SECTION I GENERAL CONTEXT	セクション I 一般的な背景
LEGISLATIVE MEASURES DESIGNED TO STRENGTHEN THE RESPONSE TO THE THREAT LANDSCAPE	脅威への対応を強化するための立法措置
FURTHER DEVELOPMENTS	さらなる進展
SECTION II. MULTI-ANNUAL PROGRAMMING 2023–2025	セクション II. 2023-2025年の複数年計画
2.1. MULTI-ANNUAL WORK PROGRAMME	2.1. 多年次作業計画
2.2. HUMAN AND FINANCIAL RESOURCES – OUTLOOK FOR YEARS 2023–2025	2.2. 人的・財政的資源 - 2023-2025年の展望
2.2.1. Overview of the past and current situation	2.2.1. 過去と現在の状況の概要
2.2.2. Outlook for the years 2023–2025	2.2.2. 2023年から2025年までの展望
2.3. RESOURCE PROGRAMMING FOR THE YEARS 2023–2025	2.3. 2023-2025年の資源計画
2.3.1. Financial Resources	2.3.1. 財源
2.3.2. Human Resources	2.3.2. 人的資源
2.4. STRATEGY FOR ACHIEVING GAINS IN EFFICIENCY	2.4. 効率向上を実現するための戦略
SECTION III. WORK PROGRAMME 2023	セクション III. ワークプログラム 2023
3.1. OPERATIONAL ACTIVITIES	3.1. 事業活動
3.2. CORPORATE ACTIVITIES	3.2. 企業活動
ANNEX 1. ORGANISATION CHART AS OF 1 JANUARY 2022	附属書1. 2022年1月1日時点の組織図
ANNEX 2. RESOURCE ALLOCATION PER ACTIVITY 2023–2025	附属書2. 2023-2025年における各活動の資源配分
ANNEX 3. FINANCIAL RESOURCES 2023–2025	附属書3. 財務リソース 2023-2025年
ANNEX 4. HUMAN RESOURCES – QUANTITATIVE	附属書4. 人的資源 - 量的
ANNEX 5. HUMAN RESOURCES – QUALITATIVE	附属書5. 人的資源 - 質的
A. RECRUITMENT POLICY	A. 採用方針
B. APPRAISAL AND RECLASSIFICATION / PROMOTIONS	B. 評価および再分類・昇格
C. GENDER REPRESENTATION	C. ジェンダー代表性
D. GEOGRAPHICAL BALANCE	D. 地理的バランス
E. SCHOOLING	E. 学校教育
ANNEX 6. ENVIRONMENT MANAGEMENT	附属書6. 環境管理
ANNEX 7. BUILDING POLICY	附属書7. 構築方針
ANNEX 8. PRIVILEGES AND IMMUNITIES	附属書8. 特権と免責
ANNEX 9. EVALUATIONS	附属書9. 評価
ANNEX 10. STRATEGY FOR ORGANISATIONAL MANAGEMENT AND INTERNAL CONTROL SYSTEMS	附属書10. 組織運営と内部統制システムに関する戦略
ANNEX 11. PLAN FOR GRANT, CONTRIBUTION OR SERVICE-LEVEL AGREEMENTS	附属書11. 補助金、寄付金、サービスレベル協定のための計画
ANNEX 12. STRATEGY FOR COOPERATION WITH THIRD COUNTRIES AND/OR INTERNATIONAL ORGANISATIONS	附属書12. 第三国および／または国際組織との協力に関する戦略
ANNEX 13. ANNUAL COOPERATION PLAN 2023	附属書13. 年次協力計画 2023

2023.02.22 06:05 in 情報セキュリティ / サイバーセキュリティ | Permalink | Comments (0)
Tweet

2023.02.21

米国ウクライナバイデン大統領とゼレンスキー大統領による共同声明

こんにちは、丸山満彦です。

中国と気球の話をしながらも、戦時で米軍も駐留していないキーウに大統領が訪問するなど、米国のこういうい能力は高いですね。。。

● U.S. White House

・2023.02.20 Remarks by President Biden and President Zelenskyy of Ukraine in Joint Statement

Remarks by President Biden and President Zelenskyy of Ukraine in Joint Statement	バイデン大統領とウクライナのゼレンスキー大統領による共同声明での発言
Mariinsky Palace	マリインスキー宮殿
Kyiv, Ukraine	キーウ、ウクライナ
10:49 A.M. EET	東ヨーロッパ時間 10:49
PRESIDENT ZELENSKYY: (As interpreted.) Mr. President, fellow ladies and gentlemen, journalists and everyone in this room, the team of President Biden: I’m very happy to welcome you in Ukraine. It is a great honor for me and for all of us.	ゼレンスキー大統領：（通訳）大統領、ご列席の皆様、ジャーナリストの皆様、そしてこの部屋にいらっしゃる皆様、バイデン大統領チーム：ウクライナで皆様をお迎えできることを大変うれしく思います。私にとっても、私たち全員にとっても、大変光栄なことです。
We have just had negotiations with the President of the United States in the vis-à-vis format, and then we had a wide discussion with the involvement of our teams. These conversations brings us closer to the victory.	先ほど米国大統領と膝詰めで会話をし、その後、我々のチームを巻き込んで幅広い議論を行いました。このような会話によって、私たちは勝利に近づいているのです。
And we hope that this year, the 2023, will become a year of victory. This unprovoked and criminal Russia’s war against Ukraine and against the whole world and democratic world has to end with liberating the whole of Ukraine’s territory from Russia’s occupation and the solid guarantees of the long-term security for our country as well as Europe and the whole world.	そして、今年、2023年が勝利の年となることを望んでいます。ウクライナに対する、そして全世界と民主主義世界に対する、このいわれのない犯罪的なロシアの戦争は、ロシアの占領からウクライナの全領土を解放し、私たちの国だけでなくヨーロッパと全世界の長期にわたる安全をしっかりと保証することで終わらなければならない。
Right now, in Ukraine, the destiny of the international order based on international order is decided. And we, together with President Biden and our allies and partners, have to continue doing everything possible so that the democratic world would win in this historic fight.	今まさに、ウクライナにおいて、国際秩序に基づく国際秩序の運命が決定づけられているのです。そして、我々は、バイデン大統領や同盟国、パートナーとともに、この歴史的な戦いで民主主義世界が勝利するよう、可能な限りのことをし続けなければなりません。
Ukrainian remember the focus, the attention, the attitude of President Biden and United States to every single Ukrainian. To Ukraine, we remain constantly in communication with the President of United States over the course of this large-scale war. And this is the first visit over 15 years. And this is really the most important visit of the whole history of Ukraine-U.S. relationship.	ウクライナ人は、バイデン大統領と米国の、ウクライナ人一人ひとりに対する焦点、注意、態度を覚えています。ウクライナにとって、我々はこの大規模な戦争の間、米国大統領と常に連絡を取り続けています。そして、今回は15年越しの初訪問です。そして、これはウクライナとアメリカの関係の歴史の中で、本当に最も重要な訪問です。
This is the visit in this most difficult period for Ukraine when Ukraine is fighting for our own liberty, for the liberties of the world. And this underlines the results that we have already achieved and what sort of historic achievements we might gain altogether with the whole world, with the United States, with Europe. And today our negotiations were very fruitful. We’ve — they were very important and crucial.	ウクライナにとって最も困難な時期であり、ウクライナが我々自身の自由と世界の自由のために戦っているときに、この訪問が実現したのである。そしてこの訪問は、我々がすでに達成した成果、そして全世界、米国、欧州と一体となって得られるであろう歴史的な成果を強調するものである。そして今日、我々の交渉は非常に実り多いものでした。非常に重要かつ決定的なものでした。
And as has become traditional in relationship between our countries, I would like to extend words of gratitude personally to Mr. President Biden and to his team, to the Congress, to all the U.S. people. And I thank you for this level of Ukraine-U.S. cooperation.	そして、両国の関係において恒例となっているように、バイデン大統領とそのチーム、議会、そしてすべての米国国民に対して、個人的に感謝の言葉を述べたいと思います。そして、このようなレベルのウクライナと米国の協力に感謝します。
And this week, we’ll be marking a one year of our fight against Russia’s aggression, so it’s very symbolic that we solidify our resilience through two meetings with the President of Ukraine — my visit in December and the visit of Mr. President of the United States to Kyiv today.	そして今週、私たちはロシアの侵略に対する戦いから1年を迎えます。12月の私の訪問と本日の米国大統領のキーウ訪問という2回のウクライナ大統領との会談を通じて、私たちのレジリエンスを強固にしたことは非常に象徴的なことです。
The results of this visit will surely be seen and will surely have a reflection on the battlefield and in liberating our territories.	この訪問の成果は、必ずや戦場や領土の解放に反映されることでしょう。
The decision of the United States on Abrams tanks for Ukraine has already presented a foundation for establishing a tank coalition. And it’s of historic importance in many other aspects, more specifically in air defense, in Patriots for the defense of our cities. Now, this is a very fundamental and crucial reinforcement of our capacities.	ウクライナ向けエイブラムス戦車に関する米国の決定は、すでに戦車連合を確立するための基盤を提示しています。また、他の多くの側面、特に防空、都市の防衛のためのパトリオットにおいても、歴史的な重要性を持っています。これは非常に基本的で重要な能力の強化です。
We’ve also talked about long-range weapons and the weapons that may still be supplied to Ukraine, even though it wasn’t supplied before.	また、長距離兵器や、以前は供給されていなかったが、現在もウクライナに供給されている可能性のある兵器についても話をしました。
I know, Mr. President, that there will be a very significant package of security support to Ukraine. And currently, it will serve as a clear signal that Russia’s attempts of relaunch will have no chance and that we will together defend our cities and citizens from Russia’s (inaudible), will have more impetus towards our victory.	大統領、私は、ウクライナに対する非常に重要な安全保障支援のパッケージがあることを知っています。そして現在、それはロシアの再攻撃の試みにチャンスがないことを示す明確なシグナルとなり、私たちは共にロシアの（聞き取れない）攻撃から都市と市民を守り、勝利に向けてさらに弾みをつけることになるでしょう。
And today we have yet again underlined that we have our common vision with regards to the perspectives of this war. We have coordinated the follow-on pressure on the terrorist state. We are working hard on the reinforcement of sanctions, both bilaterally and in the form of G7, which is very important.	そして今日、我々は、この戦争の展望に関して、共通のビジョンを持っていることを改めて強調しました。我々は、テロ国家に対する後続の圧力を調整しました。我々は、二国間およびG7という形で、制裁の強化に懸命に取り組んでおり、これは非常に重要です。
We have common vision on the contents of many aspects of our Peace Formula, because its security elements, as well as the tasks to restore the U.N. Charter to its full capacity and to defend the international rule-based order — that’s a common, joint task for all the countries that are interested in the international security.	なぜなら、その安全保障の要素はもちろん、国連憲章を完全に回復させ、国際的なルールに基づく秩序を守るための課題も、国際安全保障に関心を持つすべての国にとって共通の、共同の課題であるからです。
The rebuilding and the recovery of justice is also very important for all those who was affected by the Russian terror, by the Russian war. And the aggressor has to take responsibility for the aggression and to reimburse all the damages.	また、ロシアのテロや戦争によって被害を受けたすべての人々にとって、再建と正義の回復が非常に重要です。そして、侵略者は侵略の責任を負い、すべての損害を賠償しなければなりません。
I thank to the President of United States for supporting our work on restoring the justice more specifically in the work of all of our institutions in that area. And we believe there’s no alternatives to the establishment of the special tribunal. This is the position of the Uni- — of Ukraine, and we shall support this position.	私は、正義を回復するための私たちの活動を支援してくださった米国大統領に感謝します。私たちは、特別法廷の設置に代わるものはないと考えています。これはウクライナの立場であり、私たちはこの立場を支持します。
And I would really like the United States to be engaged in the implementation of our Peace Formula, because its implementation would mean a reinforcement of global stability and the predictability of international relations. And we have some achievements in this area.	なぜなら、その実現は、世界の安定と国際関係の予測可能性を強化することになるので、私は、米国が我々の平和フォーミュラの実施に関与することを強く望んでいます。この分野では、すでにいくつかの成果を上げています。
Already this week, in New York, together with the United States of America and over 60 other countries will be submitting for the consideration of the U.N. General Assembly — of the draft resolution on supporting peace in Ukraine. And on the eve of the 24th of February, we believe that the approval of this resolution would be very significant evidence to the fact that the terrorist state would never break a civilized country.	すでに今週、ニューヨークにおいて、米国をはじめとする60カ国以上が、ウクライナの平和支援に関する決議案を国連総会の審議に付す予定です。 2月24日の前夜、この決議案が承認されれば、テロ国家が文明国を破滅させることはないという事実を示す非常に重要な証拠になると、私たちは信じています。
And I think we are also opening a special tablet dedicated to President Biden. The first call the night of the 24th of February took place with the United States, and since that time, we had conversations and with very significant attention to our fight, to the protection of Ukraine’s democracy.	そして、バイデン大統領に捧げる特別なタブレットもオープンしていると思います。 2月24日の夜、米国と最初の通話が行われました。それ以来、私たちは会話を交わし、私たちの戦い、ウクライナの民主主義の保護に非常に大きな関心を寄せています。
Besides, there’s the personal contribution in President Biden in solidified the liberty and democracy in the world. This will be remembered eternally. And Ukraine is grateful to you, Mr. President, to all the U.S. citizens, to all those who cherish freedom just as we cherish them.	さらに、バイデン大統領は、世界の自由と民主主義を確固たるものにするために個人的に貢献しました。これは永遠に記憶されることでしょう。そして、ウクライナは、大統領、すべての米国市民、私たちと同じように自由を大切にするすべての人々に感謝しています。
Glory to our warriors. Glory to our allies. And glory to Ukraine.	我々の戦士に栄光あれ。同盟国に栄光を。そしてウクライナに栄光あれ。
PRESIDENT BIDEN: Well, thank you very much, Mr. President. You know, it was — it was one year ago this week that we spoke on the telephone, Mr. President. It was very late at night in Washington, very early in the morning here in Kyiv. Russian planes were in the air, and tanks were rolling across your border. You told me that you could hear the explosions in the background. I’ll never forget that. And the world was about to change.	大統領、どうもありがとうございました。私たちが電話で話したのは、1年前のことでした。ワシントンの夜遅く、ここキーウの朝早い時間でした。ロシアの飛行機が空中を飛び交い、戦車が国境を越えて侵攻していました。あなたは私に言った私の後ろで爆発が聞こえるといました。それは忘れられないことです。そして、世界は変わろうとしていました。
I remember it vividly, because I asked you — I asked you next — I asked you, “What is there, Mr. President? What can I do for you? How can I be of help?”	私はそれを鮮明に覚えています。私はあなたにまず最初に尋ねました--「何かありますか、大統領？私に何かできることはありますか？どうしたらお役に立てるでしょうか？」と。
And I don’t know that you remember what you said to me, but you said, and I quote, “Gather the leaders of the world. Ask them to support Ukraine.” “Gather the leaders of the world, and ask them to support Ukraine.”	そして、あなたが私に何と言ったか覚えているかどうかわかりませんが、あなたは、引用しますと、「世界の指導者たちを集めてください。ウクライナを支援してくれるよう頼んでください。」「世界中の指導者を集めて、ウクライナを支援するようお願いします。」
And you said that you didn’t know when we’d be able to speak again. That dark night, one year ago, the world was literally, at the time, bracing for the fall of Kyiv — it seems like a lot longer ago than a year, but think back to that year — perhaps even the end of Ukraine.	そして、いつまた話せるかわからないとおっしゃっていましたね。 1年前のあの暗い夜、当時世界は文字通り、キーウの陥落に備えていました--1年というよりずっと前のことのように思えますが、その年を思い返してみてほしい--おそらくウクライナの終わりでさえも。
You know, one year later, Kyiv stands and Ukraine stands. Democracy stands.	1年後、キーウは立ち、ウクライナは立ちました。民主主義が立っています。
The Americans stand with you, and the world stands with you.	アメリカはあなたたちとともに立ち、世界はあなたたちとともに立っているのです。
Kyiv has captured a part of my heart, I must say. And I’ve come here six times as Vice President, once as President. And in 2009, as Vice President, when I first came here. Then back in 2014, I came three times in the aftermath of the Revolution of Dignity. And I again came in 2015 to address the Rada about the work of building a strong democracy. And I came in 2017, just before I left office as Vice President.	キーウは私の心の一部を捉えたと言わざるを得ません。私はこれまで副大統領として6回、大統領として1回、この地を訪れました。 2009年に副大統領として、初めてここに来たときです。そして2014年、「尊厳の革命」の余波で3回来ました。そして、2015年に再びやってきて、強い民主主義を構築するための作業についてラダで演説しました。そして2017年、私が副大統領を辞める直前にも来ました。
I knew I’d be back, but I wanted to be sure. Even though we’d — the election were over, Barack and I were out of office, I decided to make one more trip, before the next President was sworn in, to Kyiv.	また来るだろうとは思っていましたが、確かめたかったのです。選挙が終わり、バラクと私は退任しましたが、次の大統領が就任する前に、もう1度キーウを訪れることにしたのです。
So, President Zelenskyy, you deeply honor me here in Kyiv with you today to meet with your military, your intelligence folks, your diplomatic teams, community leaders who have stepped up and — to help their country in their hour of need.	ゼレンスキー大統領、今日、キーウで軍や情報機関、外交チーム、地域のリーダーたちと会い、国を助けるために必要な時に立ち上がってくれたことを、私は深く光栄に思います。
It’s astounding who stood up. Everybody. Everybody — women, young children — trying to do something. Just trying to do something. Pulling people out of apartments that are being shelled and — literally what I think is a war crimes.	誰が立ち上がったのか、驚くべきことです。みんなです。女性も、幼い子供も、みんな何かをしようとしているのです。ただ、何かをしようとしているのです。砲撃されたアパートから人々を引きずり出したり、文字通り戦争犯罪だと思うようなこともしています。
It’s astounding. And the whole world — the whole world sees it and looks at it.	驚くべきことです。そして全世界が、全世界がそれを見ています。
This is the largest land war in Europe in three quarters of a century, and you’re succeeding against all and every expectation, except your own. We have every confidence that you’re going to continue to prevail.	これはヨーロッパにおける過去4分の3世紀で最大の陸上戦争であり、あなた方は自分たち以外のすべての、そしてあらゆる予想に反して成功しているのです。我々は、あなた方が今後も勝利を収め続けることを確信しています。
You know, from the moment I first received the intelligence report in the fall, about a year ago, we were focused on determining: How do we rally the rest of the world? How do I help you with the promise you asked me to make to rally the world?	1年前の秋に初めて情報報告を受けたときから、私たちは決断することに集中していましたね。どうすれば世界中の人々を説得できるのか。世界を結集するために私に依頼した約束を、私はどのように手助けすればよいのでしょうか。
Well, how do you succeed? How do you ever get a world to respond to a prosperous economy, a confident democracy, a secure and independent state?	さて、どうすれば成功するのでしょうか。繁栄する経済、自信に満ちた民主主義、安全で独立した国家に、世界が反応するようにするにはどうしたらいいのでしょうか。
When united, Americans of all political backgrounds decided that they would step up. The American people know it matters. Unchecked aggression is a threat to all of us.	団結したとき、すべての政治的背景を持つアメリカ人は、ステップアップすることを決定しました。米国民はそれが重要であることを知っています。歯止めのない侵略は、我々全員にとっての脅威なのです。
We built a coalition of nations, from the Atlantic to the Pacific: NATO to the Atla- — in the Atlantic; Japan in the Pacific. I mean, across the — across the world, the number of nations stood up — over 50 — to help Ukraine defend itself with unprecedented military, economic, and humanitarian support.	我々は、大西洋から太平洋まで、国家連合を構築しました。大西洋ではNATOが、太平洋では日本が。つまり、世界中で、50を超える国々が立ち上がり、前例のない軍事、経済、人道的支援によってウクライナの自衛を支援したのです。
We united the leading economies of the world to impose unprecedented cost that are squeezing Russia’s economic lifelines.	我々は、世界の主要な経済諸国を結束させ、ロシアの経済的生命線を圧迫する前例のないコストを課しました。
Together, we’ve committed nearly 700 tanks and thousands of armored vehicles, 1,000 artillery systems, more than 2 million rounds of artillery ammunition, more than 50 advanced launch rocket systems, anti-ship and air defense systems, all defend U- — to defend Ukraine. And that doesn’t count the other half a billion dollars we’re going to be — we’re announcing with you today and tomorrow that’s going to be coming your way. And that’s just the United States, in this piece.	我々は、700台近い戦車と数千台の装甲車、1000台の砲兵システム、200万発以上の砲弾、50以上の最新ロケットシステム、対艦・防空システム、すべてをウクライナの防衛のために投入した。このほかにも、今日と明日、5億ドルの資金を提供すると発表します。これは、アメリカだけの話です。
And just today, that announcement includes artillery ammunition for HIMARS and howitzers, more Javelins, anti-armor systems, air surveillance radars that’ll protect Ukrainian people from aerial bombardments.	今日発表したのは、HIMARSや榴弾砲のための砲弾、ジャベリンの増設、対人兵器システム、空爆からウクライナの人々を守るための航空監視レーダーなどです。
Later this week, we will announce additional sanctions against elites and companies that are trying to evade sanctions and backfill Russia’s war machine.	今週末には、制裁を逃れ、ロシアの戦争マシンを補強しようとするエリートや企業に対する追加制裁を発表する予定です。
And thanks to a bipartisan support in Congress, this week we’re delivering billions in direct budgetary support — billions in direct budgetary support — which the government can put to use immediately and help provide for basic services of citizens.	また、議会での超党派の支援のおかげで、今週、我々は数十億ドルの直接予算支援を行います。数十億ドルの直接予算支援は、政府が直ちに使用することができ、市民の基本サービスを提供するのに役立つものです。
The cost that Ukraine has had to bear has been extraordinarily high, and the sacrifices have been far too great. They’ve been met, but they’ve been far too great.	ウクライナが負わなければならないコストは非常に高く、犠牲はあまりにも大きい。満たされているが、その犠牲はあまりに大きすぎた。
We mourn alongside the families of those who have been lost to the brutal and unjust war. We know that there’ll be very difficult days and weeks and years ahead.	残忍で不当な戦争で失われた方々のご遺族とともに、私たちは追悼の意を表します。この先、非常に困難な日々、数週間、数年が待っていることを私たちは知っています。
But Russia’s aim was to wipe Ukraine off the map. Putin’s war of conquest is failing. Russia’s military has lost half its territory it once occupied. Young, talented Russians are fleeing by the tens of thousands, not wanting to come back to Russia. Not fl- — not just fleeing from the military, fleeing from Russia itself, because they see no future in their country. Russia’s economy is now a backwater, isolated and struggling.	しかし、ロシアの目的は、ウクライナを地図上から消し去ることでした。プーチンの征服戦争は失敗しています。ロシア軍はかつて占有していた戦力の半分を失ってしまいました。若くて優秀なロシア人は、ロシアに戻ることを望まず、何万人も逃げ出している。軍からだけでなく、ロシアそのものから逃げているのです。ロシア経済は今や僻地と化し、孤立し、苦境に立たされています。
Putin thought Ukraine was weak and the West was divided. As you know, Mr. President, I said to you at the beginning, he’s counting on us not sticking together. He was counting on the inability to keep NATO united. He was counting on us not to be able to bring in others on the side of Ukraine.	プーチンは、ウクライナは弱く、西側は分裂していると考えていました。ご存知のように、大統領、私は冒頭で、彼は我々が団結しないことを当てにしている、と申し上げました。彼は、NATOの結束を維持できないことを当てにしていました。彼は、我々がウクライナ側に他国を引き込めないことを計算に入れていました。
He thought he could outlast us. I don’t think he’s thinking that right now. God knows what he’s thinking, but I don’t think he’s thinking that. But he’s just been plain wrong. Plain wrong.	彼は我々より長生きできると考えていました。今はそんなことは考えていないでしょう。彼が何を考えているかは神のみぞ知るですが、そんなことはもう考えていないと思います。だが、彼は明らかに間違っていました。明白な間違いです。
And one year later, the evidence is right here in this room. We stand here together.	そして1年後、その証拠はここにあります。私たちは共にここに立っています。
Mr. President, I’m delighted to be able to repay your visit to our country.	大統領、あなたの訪米に報いることができ、嬉しく思います。
In Washington, not long ago, you told us, you told the Congress, quote, “We have no fear, nor should anyone in the world have it.” End of quote.	少し前にワシントンで、あなたは私たちに、議会でこう言いました。「私たちには恐れがない、世界の誰にも恐れがあってはならない。」引用終わり
You and all Ukrainians, Mr. President, remind the world every single day what the meaning of the word “courage” is — from all sectors of your economy, all walks of life. It’s astounding. Astounding.	あなたやすべてのウクライナ人は、「勇気」という言葉の意味を、毎日、世界中に思い出させてくれます。驚くべきことです。驚くべきことです。
You remind us that freedom is priceless; it’s worth fighting for for as long as it takes. And that’s how long we’re going to be with you, Mr. President: for as long as it takes.	あなたは、自由はかけがえのないものであり、そのために必要な限り戦う価値があることを私たちに気づかせてくれます。そして、それが私たちがあなたと一緒にいる期間です、大統領：それが必要である限り。
PRESIDENT ZELENSKYY: We’ll do it.	ゼレンスキー大統領：そうしましょう。
PRESIDENT BIDEN: Thank you. (Applause.)	ありがとうございました。 (拍手)
11:07 A.M. EET	東部ヨーロッパ時間 11:07

・2023.02.23 On-the-Record Press Call by Senior Administration Officials on President Biden’s Trip to Ukraine

On-the-Record Press Call by Senior Administration Officials on President Biden’s Trip to Ukraine	バイデン大統領のウクライナ訪問に関する政府高官によるオン・ザ・レコード・プレスコール。
Via Teleconference	電話会議
7:42 A.M. EST	東部標準時間 07:42
MS. WATSON: Good morning, everyone. Thanks for joining our call on short notice. This is Adrienne Watson with the NSC.	MS. ワトソン：皆さん、おはようございます。急な呼び出しにお付き合いいただき、ありがとうございます。こちらはNSCのアドリアン・ワトソンです。
To kick things off, we just want to go over the ground rules really quickly. This call is on the record. The contents of the call are embargoed until the call ends. To ask a question, just raise your hand.	まず始めに、基本的なルールを簡単に説明します。この通話は記録されます。通話内容は、通話が終了するまで非公開です。質問は、手を挙げてください。
Our speakers today are White House Communications Director Kate Bedingfield, National Security Advisor Jake Sullivan, and Principal Deputy National Security Advisor Jon Finer.	今日の発言者はホワイトハウス広報部長ケイト・ベディングフィールド国家安全保障顧問ジェイク・サリバンそして主席副国家安全保障顧問ジョン・ファイナーです。
With that, that I’ll turn it over to Kate.	それではケイトさんに交代します。
MS. BEDINGFIELD: Great. Thanks, Adrienne. Hi, everyone. Thanks for jumping on, on short notice. So I just wanted to do a little table set at the top here, and then I’ll turn it over to Jake and Jon for some additional points.	MS. ベディングフィールド: はい。ありがとう、アドリアン。皆さん、こんにちは。急なお願いにもかかわらず、ご参加いただきありがとうございます。ここで少しテーブルを囲んでから、ジェイクとジョンに引き継ぎ、さらにいくつかの点についてお話したいと思います。
But, you know, so this trip today was a bold and strong move on President Biden’s part in the face of extreme difficulty, the extreme difficulty of making this trip as President of the United States. It was logistically complicated and difficult, and it sends an incredibly powerful message that President Biden has faith in the Ukrainian people and is unwavering in his commitment to stand by them.	しかし、今日の訪問は、バイデン大統領が極度の困難に直面しながらも、大胆で力強い行動をとった結果です。バイデン大統領はウクライナの人々を信頼し、彼らの側に立つという揺るぎない決意を持っているという、信じられないほど力強いメッセージを送っているのです。
You know, a visit from a U.S. President to an active warzone like this is historic and unprecedented and, as I say, required a great deal of careful planning.	このような活発な紛争地帯への米国大統領の訪問は、歴史的かつ前例のないことであり、私が言うように、非常に慎重な計画が必要であったことはご存じのとおりです。
Unlike previous visits from Presidents to warzones, like Iraq and Afghanistan, the U.S. obviously does not have a military presence on the ground in Ukraine, which made a visit from a sitting President all the more challenging.	イラクやアフガニスタンなど、これまでの大統領の戦地訪問とは異なり、米国はウクライナに軍隊を駐留させていないため、現職の大統領の訪問はより困難なものでした。
But this was a risk that Joe Biden wanted to take. It’s important to him to show up, even when it’s hard, and he directed his team to make it happen, no matter how challenging the logistics. He wanted to stand shoulder-to-shoulder with President Zelenskyy and remind the world, as we approach the one-year anniversary of the invasion, that Kyiv still stands and the United States will not be deterred from standing with Ukraine. And he wanted to demonstrate the strength of his commitment to his strategy of holding the West together in a united front against Putin.	しかし、これはジョー・バイデンにとってリスクを負うべきことでした。しかし、これはジョー・バイデン氏が望んだリスクであり、たとえ困難な状況であっても、それを実現することが彼にとって重要であり、彼はチームに指示を出しました。彼は、ゼレンスキー大統領と肩を並べ、侵攻から1年を迎えるにあたって、キーウがまだ立ち上がっていること、米国がウクライナとともに立ち止まることはないことを世界に想起させたかったのです。そして、プーチンに対して西側諸国を結束させるという戦略へのコミットメントの強さを示したかったのです。
So it was bold, it was risky, and it should leave no doubt in anyone’s mind that Joe Biden is a leader who takes commitment seriously, and the U.S. is committed to continuing to support Ukraine for as long as it takes.	つまり、大胆であり、危険でもあり、ジョー・バイデンはコミットメントを真剣に考えるリーダーであり、米国は必要な限りウクライナを支援し続けることを約束する、ということを誰の心にも残さないはずはありません。
So with that, I’m going to turn it over to Jake Sullivan for some additional thoughts.	それでは、ジェイク・サリバンさんに代わって、追加の意見を伺います。
MR. SULLIVAN: Thanks, Kate. And hi, everybody. And I hope I’m able to stay on the call for as long as I can, given access to cell service.	MR. サリバン：ありがとう、ケイト。そして、みなさん、こんにちは。携帯電話が使えるなら、できるだけ長く通話を続けられるといいんですが。
Let me just start by reiterating something Kate said, which is that this was a historic visit, unprecedented in modern times, to have the President of the United States visit the capital of a country at war where the United States military does not control the critical infrastructure.	ケイトが言ったことを繰り返しますこれは歴史的な訪問でした近代では前例がありません米軍が重要なインフラを管理していない戦争中の国の首都を米国の大統領が訪問したのです
And that required a security, operational, and logistical effort from professionals across the U.S. government to take what was an inherently risky undertaking and make it a manageable level of risk.	そのため、米国政府全体の専門家がセキュリティ、運用、ロジスティクスの面で努力し、本来はリスクの高い事業を管理可能なレベルにまで高める必要がありました。
But, of course, there was still risk and is still risk in an endeavor like this. And President Biden felt that it was important to make this trip because of the critical juncture that we find ourselves at as we approach the one-year anniversary of Russia’s full-scale invasion of Ukraine.	しかし、もちろん、このような取り組みにはリスクがあり、今もなおリスクがあります。バイデン大統領は、ロシアによるウクライナ侵攻から1年という重大な局面を迎えるにあたり、この訪問が重要であると考えました。
And what he wanted to do in Kyiv was to send a clear, unmistakable message of enduring American support for Ukraine; a clear, unmistakable message of the unity of the West and (inaudible) international community in standing behind Ukraine and standing up to Russian aggression; and also to be able to stand there next to President Zelenskyy in a free Kyiv to not just tell but to show the world, through a powerful demonstration, that Ukraine is successfully resisting Russian aggression and Russia is suffering strategic failure in Ukraine.	そして、彼がキーウでやりたかったことは、ウクライナに対するアメリカの永続的な支援の明確な、紛れもないメッセージを送ることでした。西側諸国と国際社会が一致団結してウクライナを支援し、ロシアの侵略に立ち向かうという明確なメッセージです。そして、自由なキーウでゼレンスキー大統領の隣に立ち、強力なデモンストレーションを通じて、ウクライナがロシアの侵略にうまく抵抗していること、ロシアがウクライナで戦略的失敗を被っていることを伝えるだけでなく、世界に示すことができるのです。
And as I said, though, the impending one-year anniversary of Russia’s invasion really presented a crucial moment to do this. One year ago this week, as the President said in his remarks in Kyiv, he spoke with President Zelenskyy as Russian forces were moving across the border, and President Zelenskyy said to him, “I’m not sure when we’re going to be able to speak again.”	そして、先ほども申し上げたように、ロシアの侵攻から1年が間近に迫っていることは、このことを行う上で本当に重要なタイミングとなったのです。 1年前の今週、大統領がキーウでの演説で述べたように、ロシア軍が国境を越えて移動しているときに、大統領はゼレンスキー大統領と話し、ゼレンスキー大統領は彼にこう言いました。「いつまた話ができるのかわからない」と。
So, one year later, the two men were face-to-face standing together in Kyiv, in a free and independent city, in a free and independent country. And President Biden made clear in his remarks that there will be difficult times ahead, that a portion of Ukraine is under Russian occupation, that Russia continues to brutalize civilian populations across the country.	つまり、1年後、2人はキーウで、自由で独立した都市で、自由で独立した国で、共に面と向かって立っていたのです。バイデン大統領は、ウクライナの一部がロシアの占領下にあり、ロシアが国中の市民を残虐に扱い続けていることから、この先困難な時期が続くだろうと発言したのです。
And so this was not a celebration but an affirmation of commitment of the resilience of the Ukrainian people, of the courage and bravery they’ve shown, and also an affirmation of the fact that the United States and our allies and partners have mobilized unprecedented levels of military, economic, and humanitarian support to provide the Ukrainian people with the tools that they’ve needed to defend their country, their sovereignty, their territorial integrity, and their independence.	これは祝賀会ではなく、ウクライナの人々の抵抗、彼らが示した勇気と勇敢さ、そして米国と同盟国、パートナーが前例のない水準の軍事、経済、人道支援を動員し、ウクライナの人々が自国とその主権、領土の一体性、独立を守るために必要な手段を提供したという事実を確認するためのものです。
In Kyiv, President Biden had the opportunity to meet the President and the First Lady, and then to sit in an extended session with President Zelenskyy to talk about all aspects of the ongoing war. They spent time talking about the coming months, in terms of the battlefield, and what Ukraine will need in terms of capabilities to be able to succeed on the battlefield.	バイデン大統領はキーウで、大統領とファーストレディに会う機会を得た後、ゼレンスキー大統領と長時間にわたって、進行中の戦争のあらゆる側面について話をすることができました。今後数カ月間の戦場について、また戦場で成功するためにウクライナが必要とする能力について、時間をかけて語り合いました。
They talked about Ukraine’s needs in terms of energy, infrastructure, economic support, humanitarian needs. And they also talked about the political side of this, including the upcoming U.N. General Assembly session on Ukraine, as well as Ukraine’s Peace Formula and Ukraine’s efforts to rally international support for a just and sustainable and durable peace built on the principles of the U.N. Charter, chief among them sovereignty and territorial integrity.	エネルギー、インフラ、経済支援、人道的ニーズなど、ウクライナのニーズについて話しました。また、国連総会でのウクライナに関するセッションや、国連憲章の原則（特に主権と領土の一体性）に基づく公正で持続可能な平和への国際的支持を集めるためのウクライナの平和フォーミュラなど、政治面についても話がありました。
President Biden also had the chance to get briefed by a number of members of President Zelenskyy’s team and, you know, to have a detailed discussion of the types of steps that are going to be required in the weeks and months ahead from the United States and from our international partners in the G7 and NATO and elsewhere to ensure Ukraine has what it needs to sustain the level of effort going forward that we have seen over the course of the past year, and then some.	バイデン大統領はまた、ゼレンスキー大統領のチームの多くのメンバーから説明を受ける機会を得ました。そして、米国やG7、NATOなどの国際パートナーから、ウクライナが過去1年間に見られたようなレベルの努力を今後も維持するために必要なものを確保し、今後数週間から数か月間に求められるであろう措置の種類について詳細に議論することができました。
And President Biden also had the opportunity to pay his respects to the fallen, to those who have given their lives and paid the ultimate sacrifice in service of defending Ukraine. He also had the chance to stand, as I said, next to President Zelenskyy and send a clear message that the United States will be with Ukraine for as long as it takes and the United States will continue to hold the international community and, in particular, this large and diverse coalition of countries together that has been supporting Ukraine for these past many months.	バイデン大統領はまた、ウクライナを守るために命を捧げ、究極の犠牲を払った戦没者に敬意を払う機会もあった。また、ゼレンスキー大統領の隣に立ち、米国は必要な限りウクライナとともにあり、国際社会、特にこの何カ月もウクライナを支援してきた大規模で多様な国々の連合を、引き続き束ねていくという明確なメッセージを送る機会もあった。
Finally, President Biden really reinforced a point that he will make again when he speaks in Warsaw tomorrow, which is that President Putin thought that Ukraine would cower and that the West would be divided, indeed that the West would be weak. And he got the opposite of that across the board.	最後に、バイデン大統領は、明日ワルシャワで演説する際に再び述べることになるであろう、「プーチン大統領は、ウクライナは屈し、西側は分裂し、実際西側は弱くなると考えていた」という点を本当に補強しました。しかし、プーチン大統領は、ウクライナが萎縮し、西側が分裂し、西側が弱体化すると考えていたのです。
And this visit today was really an effort, again, as I said before, to show and not just tell that we will continue to stand up and stand strong and that we will do so, as I said, for as long as it takes.	そして今日の訪問は、先ほども申し上げたように、私たちはこれからも立ち上がり、強く立ち続けるということを、伝えるだけでなく示すための努力であり、私が申し上げたように、必要なだけそうするつもりです。
So with that, let me — let me turn it over to Jon, and we’d be happy to take your questions.	それでは、ジョンに代わって、質問をお受けしたいと思います。
MR. FINER: Thanks, Jake. Jake and Kate really said it all, but I’ll just make a few quick additional points.	質問をどうぞ。FINER: ありがとう、Jake。ジェイクとケイトが本当にすべてを語ってくれたのですが、私も少し補足させてください。
They each talked about some of the unusual and maybe unprecedented aspects of this visit, but I’ll mention a couple of others, which is — which are: In addition to, obviously, lack of military footprint in Ukraine, the United States also has a very light embassy footprint compared to the massive operations in Afghanistan and Iraq during wartime visits by Presidents to those places.	この訪問の珍しい、あるいは前例のない側面についてそれぞれ話してくれましたが、他にもいくつか挙げておきます。ウクライナでの軍の足跡がないことに加え、米国は、大統領が戦時中にアフガニスタンやイラクを訪問した際の大規模な作戦に比べ、大使館の足跡も非常に少ないのです。
And the traveling party accompanying the President was extremely small, as well, consisting basically of a handful of his closest aides, small medical team, photographer, and the security package.	大統領に随行する旅行団も、ごく少数の側近、小規模の医療チーム、写真家、そして警備一式という極めて小規模なものです。
So this entire operation, which was meticulously planned — and I’ll say a bit more about that in a second — was done just at much smaller scale than previous such visits by Presidents to these places, just given the constraints of operating in Kyiv and in the rest of Ukraine during conflict.	この作戦は綿密に計画されたもので、それについては後ほど詳しく述べますが、紛争中のキーウやその他のウクライナでの活動という制約のもと、これまでの大統領の訪問よりもはるかに小規模なものです。
In terms of the planning, again, this visit was meticulously planned over a period of months, involving several offices in the White House — of course, the Chief of Staff’s office, the NSC, and White House Military Office — as well as a small number of colleagues from the Pentagon, the Secret Service, and of course, the intelligence community, which offered threat assessments on the visit.	この訪問は、ホワイトハウスのいくつかの部署（首席補佐官室、国家安全保障会議、ホワイトハウス軍事室）、国防総省、シークレットサービス、そしてもちろん情報機関からも少数の関係者が参加し、数ヶ月にわたって綿密に計画され、この訪問に関する脅威の評価が行われました。
Only a handful of people in each of these buildings was involved in the planning for operational security. The President was fully briefed on each stage of the plan and any potential contingencies, and then made the final “go” or “no go” decision after a huddle in the Oval Office and by phone with some key members of his national security cabinet on Friday.	これらの建物で作戦警備の計画に携わったのは、それぞれほんの一握りの人間だけです。大統領は、計画の各段階と起こりうる事態について十分な説明を受けた後、金曜日に大統領執務室と国家安全保障会議の主要メンバーとの電話会議を経て、最終的に「行く」「行かない」の判断を下しました。
Obviously, this was all worked very closely between the White House and the highest levels of the Ukrainian government, who have become quite adept at hosting high-level visitors, although not one quite like this, and with our embassy in Kyiv, which, again, is small but highly capable, playing a key role as an intermediary.	もちろん、これはホワイトハウスとウクライナ政府の最高レベルとの間で非常に緊密に行われました。ウクライナ政府は、今回のようなケースはなかったものの、ハイレベルの訪問者を受け入れることに非常に習熟しており、キーウの米国大使館は、小規模ながら非常に有能で、仲介役として重要な役割を担っています。
And with that, I’ll turn it back to Adrienne.	それでは、アドリアンに話を戻します。
MS. WATSON: Thanks, Jon. We have a couple of minutes for questions. First question, Nancy Cordes with CBS. Your line should be unmuted.	MS. ジョン、ありがとうございました。 2分ほど質問をお受けします。最初の質問は CBSのナンシー・コードですミュートを解除してください
Q Sorry, I had to unmute manually. Okay, so my question is — thank you so much for doing this. I’m wondering if you gave the Russians any kind of heads up that the President was going to be in Kyiv. And if not, what was your level of concern about the fact that they would try to act in some way while you were there, either with aggression in Kyiv or elsewhere in the country? Were you operating under the assumption, if you didn’t give them a heads up, that they knew that you were there?	Q すみません、手動でミュートを解除しなければなりませんでした。では、質問なのですが......このような場を設けていただき、ありがとうございます。大統領がキーウに来るということをロシア側に予告していたのでしょうか？もしそうでなければ、あなたが滞在している間に、彼らがキーウや国内の他の場所で何らかの行動を起こそうとすることについて、どの程度の懸念を持っていましたか？もし、あなたが予告しなければ、彼らはあなたがそこにいることを知っているという前提で行動していたのですか？
MR. SULLIVAN: Nancy, it’s Jake. We did notify the Russians that President Biden would be traveling to Kyiv. We did so some hours before his departure for de-confliction purposes.	MR. サリバン：ナンシー、ジェイクです。バイデン大統領がキーウに行くことをロシアに通知しました。我々はそうした彼の出発の数時間前に非紛合目的のために。
And because of the sensitive nature of those communications, I won’t get into how they responded or what the precise nature of our message was, but I can confirm that we provided that notification.	そして、その通信の機密性のため、私は彼らがどのように反応したか、または私たちのメッセージの正確な性質に入ることはありませんしかし、私は我々がその通知を提供したことを確認することができます。
MS. WATSON: Thanks, Nancy. Next question to Aamer with the AP. Aamer, your line is unmuted.	ありがとうございます。ありがとう、ナンシー。次の質問はAP通信のエイマーですエイマー、貴方は話せます。
Q Thank you. On the logistical aspect, could you confirm if — how — offer a little bit more detail on how the President and the package got there? Was there trains or helicopters? Or what was used to get there?	Q ありがとうございます。ロジスティクスの面で、大統領と荷物がどうやってそこに着いたのか、もう少し詳しく教えてください。列車やヘリコプターがあったのでしょうか？あるいは何を使ってそこに行ったのでしょうか？
And then, secondly, substantively on Ukraine’s future needs, were ATACMS and F-16s or fighter jets discussed? And was there any resolution on Zelenskyy’s desire to get those? Thank you.	次に、ウクライナの将来のニーズについてですが、ATACMSやF-16、あるいは戦闘機について議論されたのでしょうか？そして、それらを手に入れたいというゼレンスキー氏の希望について、何らかの解決策があったのでしょうか？ありがとうございました。
MS. BEDINGFIELD: So, on the logistics, just quickly, I’ll say I anticipate that we’ll have more detail and that the print pooler, who was traveling with the President, will have more detail in the coming days.	MS. ベディングフィールド：では、ロジスティックスについてですが、手短に言うと、もっと詳細が分かると思いますし、大統領と一緒に旅行していたプリントプーラーが数日中にもっと詳細を教えてくれるでしょう。
But given that we’re allowing the trip to play out and finish out, we are holding back on some of those trans- — modes of — mode of transportation details and other specific logistical details until the trip is fully complete.	しかし、私たちはこの旅行を最後までやり遂げようとしているので、旅行が完全に終了するまで、移動手段やその他の具体的な物流の詳細については控えさせていただいています。
So I would anticipate that we will have more color for you on that in the coming days, when it’s safe to do so, Aamer.	ですから、今後数日のうちに、安全が確認されれば、もっと詳しい情報をお伝えできると思います。
MR. SULLIVAN: Aamer, it’s Jake. The two presidents had a detailed discussion of the battlefield situation, of Ukraine’s objectives, of the military support and assistance we’ve already provided, and of capabilities going forward.	Mr. サリバン: エイムール、ジェイクだ。両大統領は戦況、ウクライナの目的、我々が既に提供した軍事支援と援助、そして今後の能力について詳細に議論しました。
I’m not going to get into the specifics of those because we’re not announcing new capabilities today. But what I will say is that there was a good discussion on the subject. I think the two presidents both laid out their perspectives on a number of different capabilities that have been thrown around in the press, both recently and over the course of several months. And I will leave it at that.	今日は新しい能力を発表するわけではないので、その具体的な内容には立ち入るつもりはありません。しかし、このテーマについて良い議論がなされたと申し上げたいのです。両大統領は、最近、あるいは数カ月にわたってマスコミで取り沙汰されてきたさまざまな能力について、それぞれの見解を述べられたと思います。それでは、この辺で失礼します。
MS. WATSON: And then one more question to Jeremy Diamond with CNN. Jeremy, you should be unmuted.	MS. CNNのジェレミー・ダイアモンドにもう1つ質問します。ジェレミー、あなたは話せると思います。
Q Hey, thanks so much for doing this. I’m wondering if you can tell us a little bit more about the deliberations about getting the President to Kyiv. Was Secret Service and the Pentagon — were they all on board with the plan for the President to go to Kyiv? Or did the President have to overrule security officials in any way? Was there a consideration of going to somewhere closer to the border, like Lviv, for example? If you could get into that.	Q どうもありがとうございます。大統領をキーウに送るための審議についてもう少し話していただけませんでしょうか。シークレットサービスと国防総省は、大統領がキーウに行くという計画に賛成だったのでしょうか？それとも、大統領が何らかの形で警備当局を覆す必要があったのでしょうか。例えばリヴィウのような国境に近い場所に行くという検討はあったのでしょうか？そのあたりをお聞かせください。
And then, Jake, I’m just wondering if you can paint a picture for us a little bit about what it was like being on the plane with the President for this very secretive trip and also what type of plane was used to get the President out of Washington.	それから、ジェイク、この極秘の旅で大統領と一緒に飛行機に乗っていたのはどんな感じだったか、また、ワシントンを発つのにどんな飛行機が使われたのか、少し描いていただけませんか？
MR. SULLIVAN: I’ll take the second one first. So as Kate said, we’ll hold off on going into real detail on the various elements of the trip and modalities and modes of transport and the like until, basically, we get the green light from the security folks to be able to share all of that. We will share it, but we just want to make sure that we do so once, you know, we feel that it’s operationally safe to do so.	Mr. サリバン：まずは2つ目から。ケイトが言ったように、私たちは旅行の様々な要素や方法、輸送手段などについての詳細を述べることは控えておきます。共有するつもりですが、ただ、運用上安全だと判断された時点で共有することを確認したいだけです。
I can say that, coming over, the President was very focused on making sure that he made the most of his time on the ground, which he knew was going to be limited. So he was quite focused on how he was going to approach his conversation with President Zelenskyy and, in part, how the two of them were really going to look out over the course of 2023 and try to come to a common understanding of what the objectives are, where Ukraine is trying to get and how the United States can most effectively support them alongside our allies and partners in getting to where it wants to get.	大統領は、限られた時間の中で、現地での滞在を最大限に活用することに集中していました。そのため、ゼレンスキー大統領との対話にどう臨むか、また、2人が2023年の間に何を目指すのか、ウクライナは何を目指しているのか、そのために米国は同盟国やパートナーとともにどうすれば最も効果的に彼らを支援できるのかについて、共通の理解を得ようとかなり注力していました。
He was excited about making the trip. I think he felt it was really important to stand up next to President Zelenskyy and speak the way that he did today and convey the messages that you heard from him and that, you know, I’ve just put in some context.	彼はこの訪問を楽しみにしていた。ゼレンスキー大統領の隣に立って、今日のような話をし、皆さんが聞いたようなメッセージを伝えることは、本当に重要なことだと感じていたようです。
So, frankly, the trip from Washington was a trip filled with real anticipation, that this was an important moment and that the President was rising to the moment and felt he had an important mission to undertake, and he was eager to do it.	率直に言って、ワシントンからの旅は、これは重要な瞬間であり、大統領はこの瞬間に立ち上がり、引き受けるべき重要な使命があると感じ、それを実行に移したいと思っている、本当の期待に満ちた旅でした。
But he wanted to do it, characteristically, by delving into the details, by knowing the specifics of — by being sure that he was going to make the most of every moment.	しかし、彼はそれを、特徴的に、細部を掘り下げることによって、具体的な内容を知ることによって、つまり、すべての瞬間を最大限に活用することを確信することによって、やり遂げようとしたのです。
And, you know, what I will say is that, on the question of deliberations, the President proceeded with the confidence that his security team was able to bring risk to a manageable level, and that was what ultimately led him to make the call to go.	そして、私が言いたいのは、熟慮の問題に関して、大統領は、彼のセキュリティ・チームがリスクを管理可能なレベルまで下げることができるという確信を持って行動し、それが最終的に大統領を出発させるという決断につながったということです。
And I am not going to get into the specifics of who said what to him in the Oval, particularly on things as sensitive as his security. I will just say that he got a full presentation of a very good and very effective operational security plan. He heard that presentation. He was satisfied that the risk was manageable. And he ultimately made the determination (inaudible).	大統領執務室で誰が何を言ったか、特に大統領の安全保障のような微妙な事柄について、具体的に触れるつもりはない。ただ、彼は非常に優れた、非常に効果的な作戦上のセキュリティプランの完全なプレゼンテーションを受けたと言うだけです。彼はそのプレゼンテーションを聞いた。そして、そのリスクがマネジメント可能であることに納得したのです。そして、最終的に彼が決断したのです（聞き取れず）。
MS. WATSON: All right. Thank you so much to everybody for joining the call this morning. I know that there are more questions. You have our contact info for follow-up. And then we will get in touch as soon as possible with more information as well. The embargo on the call is lifted now. Thank you very much.	MS ワトソン：はい、それでは。今朝の電話会議に参加してくれた皆さん、本当にありがとうございました。まだまだご質問はあると思います。フォローアップのために私たちの連絡先をお知らせします。そして、私たちもできるだけ早く、より詳細な情報をご連絡いたします。これで通話禁止は解除されました。ありがとうございました。
8:01 A.M. EST	東部標準時間 08:01

・2023.02.20 Statement from President Joe Biden on Travel to Kyiv, Ukraine

Statement from President Joe Biden on Travel to Kyiv, Ukraine	ウクライナのキーウへの渡航に関するジョー・バイデン大統領の声明
As the world prepares to mark the one-year anniversary of Russia’s brutal invasion of Ukraine, I am in Kyiv today to meet with President Zelenskyy and reaffirm our unwavering and unflagging commitment to Ukraine’s democracy, sovereignty, and territorial integrity.	世界がロシアの残忍なウクライナ侵攻から1周年を迎えるなか、私は今日、ゼレンスキー大統領と会談し、ウクライナの民主主義、主権、領土の一体性に対する我々の揺るぎない、揺るがない約束を再確認するためにキーウにいる。
When Putin launched his invasion nearly one year ago, he thought Ukraine was weak and the West was divided. He thought he could outlast us. But he was dead wrong.	プーチンが約1年前に侵攻を開始したとき、彼はウクライナが弱く、西側諸国が分裂している、そして我々より長持ちすると考えた。しかし、彼は大きな間違いをしていた。
Today, in Kyiv, I am meeting with President Zelenskyy and his team for an extended discussion on our support for Ukraine. I will announce another delivery of critical equipment, including artillery ammunition, anti-armor systems, and air surveillance radars to help protect the Ukrainian people from aerial bombardments. And I will share that later this week, we will announce additional sanctions against elites and companies that are trying to evade or backfill Russia’s war machine. Over the last year, the United States has built a coalition of nations from the Atlantic to the Pacific to help defend Ukraine with unprecedented military, economic, and humanitarian support – and that support will endure.	今日、私はキーウでゼレンスキー大統領と彼のチームに会い、ウクライナに対する我々の支援について詳しく話し合う予定だ。私は、空爆からウクライナの人々を守るために、大砲弾薬、対人戦闘システム、航空監視レーダーなど、重要な装備の新たな提供を発表する予定だ。そして、今週末には、ロシアの戦争マシンを回避したり、裏工作をしたりしようとするエリートや企業に対する追加制裁を発表することもお伝えする予定である。昨年、米国は大西洋から太平洋にまたがる国々の連合体を構築し、前例のない軍事、経済、人道的支援によってウクライナの防衛を支援してきたが、この支援は今後も継続される。
I also look forward to traveling on to Poland to meet President Duda and the leaders of our Eastern Flank Allies, as well as deliver remarks on how the United States will continue to rally the world to support the people of Ukraine and the core values of human rights and dignity in the UN Charter that unite us worldwide.	さらに私は、ポーランドに移動してドゥダ大統領や東側同盟国の首脳に会い、米国が引き続き世界を結集してウクライナの人々を支援し、国連憲章の人権と尊厳という、世界をひとつにまとめる中核的価値を支える方法について発言することを楽しみにしている。

Us-ukraine

2023.02.21 09:37 in 危機管理 / 事業継続 | Permalink | Comments (0)
Tweet

中国米国の覇権、覇道、いじめとその危険性

こんにちは、丸山満彦です。

バイデン大統領がキーウ入りをしたことが話題となっていますが、こちらも...

米国からの要請により、2023.02.18に王毅・中国共産党中央委員会政治局委員兼中央委員会外事弁公室主任が、ミュンヘン安全保障会議に出席している米国のブリンケン国務長官と非公式に接触したようです。これはNHKのニュースにもなっていますね。。。

その後、2023.02.20に中国が、米国についての意見を述べていますね。。。

仮訳ですので、原文で確認しつつお願いします。。。

● 中华人民共和国外交部

・2023.02.20 16:13 美国的霸权霸道霸凌及其危害

美国的霸权霸道霸凌及其危害	米国の覇権、覇道、いじめとその危険性
2023年2月	2023年2月
目　录	目次
序　言	序言
一、肆意妄为的政治霸权	1. 抑制のない政治覇権
二、穷兵黩武的军事霸权	2. 軍国主義的な軍事覇権
三、巧取豪夺的经济霸权	3. 策略と略奪の経済覇権
四、垄断打压的科技霸权	4. 独占と抑圧の科学技術覇権
五、蛊惑人心的文化霸权	5. 脅迫的な文化覇権
结束语	結語
序　言	序言
美国在经历两次世界大战和冷战成为全球头号强国后，更加肆无忌惮，粗暴干涉别国内政，谋求霸权、维护霸权、滥用霸权，大搞颠覆渗透，动辄发动战争，贻害国际社会。	二度の世界大戦と冷戦を経て世界最強の国となった米国は、さらに無謀さを増し、他国の内政に暴力的に干渉し、覇権を求め、覇権を維持し、覇権を乱用し、破壊的な浸透を行い、ことあるごとに戦争を行い、国際社会に害悪を与えてきた。
美国惯于打着民主、自由、人权的幌子，发动颜色革命，挑唆地区争端，甚至直接发动战争。美国固守冷战思维，大搞集团政治，挑动对立对抗。美国泛化国家安全，滥用出口管制，强推单边制裁。美国对国际法和国际规则合则用，不合则弃、则废，打着“基于规则的国际秩序”旗号，谋着维护自身“家法帮规”的私利。	民主主義、自由、人権を口実に、米国はカラー革命を起こし、地域紛争を扇動し、直接戦争を仕掛けることさえあるのだ。米国は冷戦の精神にしがみつき、ブロック政治を行い、対立を引き起こす。国家安全保障を一般化し、輸出規制を乱用し、一方的な制裁を加える。ルールに基づく国際秩序」の旗印のもと、米国は自国の「家の法や決まり」の維持という利己的な利益を求めている。
本报告重在通过列举事实，揭露美国滥用政治军事、经济金融、科技文化霸权的种种恶行劣迹，让国际社会进一步看清美方做法对世界和平稳定和各国民生福祉带来的严重危害。	本報告書は、政治・軍事、経済・金融、科学技術、文化の面で覇権を乱用する米国のあらゆる悪徳・悪行を、事実を挙げて暴露し、国際社会が米国の実践が世界の平和と安定、そしてすべての国の幸福にもたらした深刻な害悪をさらに認識できるようにすることを目的としている。
一、肆意妄为的政治霸权	1. 抑制のない政治覇権
美国长期打着所谓民主和人权旗号，企图按照美国的价值观和政治制度塑造其他国家和世界秩序。	いわゆる民主主義と人権の旗印のもと、米国は長い間、他国と世界秩序を自らの価値観と政治体制に従って形成しようと試みてきた。
◆美国干涉他国内政的例子比比皆是，借“ 推广民主”之名在拉美推行“新门罗主义”，在欧亚煽动“颜色革命”，在西亚北非策动“阿拉伯之春”，给多国带来混乱和灾难。	◆ラテンアメリカでは「民主化促進」の名の下に「新モンロー・ドクトリン」を、ユーラシアでは「カラー革命」を扇動し、西アジア・北アフリカでは「アラブの春」を扇動するなど、米国の他国への内政干渉の例は枚挙に暇がない。「アラブの春」は多くの国に混乱と災いをもたらした。
1823年，美国发表“门罗宣言”，讲的是“美洲是美洲人的美洲”，想的却是“美洲是美国人的美洲”，此后历届政府对拉美和加勒比地区的政策都是政治干涉、军事介入和政权颠覆。无论是敌视封锁古巴61年，还是颠覆智利阿连德政府，都是“顺我者昌，逆我者亡”。	1823年、アメリカはモンロー宣言を発し、「アメリカはアメリカ大陸のためのアメリカ」と言いながら、「アメリカはアメリカ人のためのアメリカ」と考えていた。その後の政権のラテンアメリカとカリブ海諸国に対する政策は、政治的干渉、軍事介入、政権転覆の一途をたどってきた。 61年にわたるキューバへの敵対的封鎖も、チリのアジェンデ政権破壊も、「われわれに従う者は栄え、われわれに背く者は死ぬ」という政策であった。
2003年起，接连发生格鲁吉亚“玫瑰革命”、乌克兰“橙色革命”和吉尔吉斯斯坦“郁金香革命”。美国国务院公开承认在这些“政权更迭”中发挥了“中心作用”。美国还干预菲律宾内政，1986年和2001年以“人民力量”为名将前总统老马科斯和埃斯特拉达赶下台。	2003年以降、グルジアの「バラ革命」、ウクライナの「オレンジ革命」、キルギスの「チューリップ革命」などが相次いで起こった。米国務省は、これらの「政権交代」において「中心的な役割」を果たしたことを公に認めている。米国はフィリピンにも内政干渉を行い、1986年と2001年に「ピープルパワー」の名の下にマルコス・シニア元大統領とエストラダ元大統領を追放している。
美国前国务卿蓬佩奥2023年1月出版新书《寸步不让》，披露美国曾计划对委内瑞拉实施干预，拟迫使马杜罗政府同反对派达成协议，剥夺委内瑞拉通过出口石油和黄金获取外汇的能力，施加经济高压，影响2018年总统选举。	2023年1月、マイク・ポンペオ前米国務長官は新著「Never Give an Inch」を出版し、米国がベネズエラへの介入を計画し、マドゥロ政権に野党との合意を迫り、ベネズエラから石油や金の輸出による外貨獲得能力を奪い、経済圧力をかけて2018年の大統領選挙に影響を及ぼすことを明らかにした。
◆美国对国际规则采取双重标准，以私利为先，毁约退群，将国内法凌驾于国际法之上。2017年4月，特朗普政府以联合国人口基金“支持和参与强迫堕胎或非自愿绝育手术”为由，宣布对该组织“断供”。美国曾于1984年、2017年两次退出联合国教科文组织。2017年，宣布退出气候变化《巴黎协定》。2018年，以对以色列“存在偏见”和“无法有效保护人权”为由，宣布退出联合国人权理事会。2019年，为不受束缚地发展先进武器，宣布退出《中导条约》。2020年，宣布退出《开放天空条约》。	◆米国は国際ルールに対して二重基準を採用し、自己利益を最優先して条約を破り、団体から脱退し、国際法よりも国内法を優先している。2017年4月、トランプ政権は、国連人口基金が「強制的な中絶や強制的な不妊手術を支援・参加している」ことを理由に、同基金への資金提供を打ち切ると発表した。米国は1984年と2017年の2回、ユネスコから脱退し、2017年には気候変動に関するパリ協定からの脱退を発表している。2018年、イスラエルへの「偏見」と「効果的な人権保護ができない」ことを理由に、国連人権理事会からの脱退を発表した。2019年、自制のない先端兵器開発のためINF条約から脱退。2020年、オープンスカイ条約からの脱退を表明した。
美国还反对《禁止生物武器公约》核查议定书谈判，妨碍国际社会对各国生物武器活动进行核查，成为生物军控进程的“绊脚石”。作为世界上唯一拥有化学武器库存的国家，美国多次推迟化学武器销毁时间，消极履行义务，成为建立“无化武世界”的最大障碍。	また、米国は生物兵器禁止条約の検証議定書の交渉に反対し、各国の生物兵器活動の国際的検証を妨げ、生物兵器管理プロセスの「足かせ」となっている。米国は、世界で唯一の化学兵器保有国として、化学兵器の廃棄を繰り返し先送りし、その義務を果たさず、「化学兵器のない世界」の確立を阻む最大の障害になっている。
◆美国借助盟友体系拉帮结派。在亚太地区强推“印太战略”，纠集“五眼联盟”“四边机制”“美英澳三边安全伙伴关系”，大搞封闭排他的小圈子，强迫地区国家选边站队，实质是制造地区分裂、煽动对抗、破坏和平。	◆米国は、同盟制度を利用して派閥を形成している。アジア太平洋地域において、米国は「インド太平洋戦略」を推進し、「ファイブ・アイズ同盟」、「四極メカニズム」、「米英豪三国安全保障パートナーシップ」などを集結させている。要するに、地域の分断を作り、対立を煽り、平和を損なっている。
◆美国肆意评判他国民主，公然炮制“民主对抗威权”虚假叙事，挑动隔阂分裂，煽动对立对抗。2021年12月，美国举办首届“领导人民主峰会”，践踏民主精神，制造世界分裂，遭到许多国家批评和反对。2023年3月，美国还将再次举办“领导人民主峰会”，将继续不受欢迎、不得人心。	◆2021年12月、米国は第1回「民主主義に関する首脳会議」を開催し、民主主義の精神を踏みにじり、世界に分断を作り出しました。 2023年3月、米国は再び「民主主義に関する首脳会議」を開催するが、これも不評を買い続けるだろう。
二、穷兵黩武的军事霸权	2. 軍国主義的な軍事覇権
美国的历史，充斥着暴力和扩张。1776年独立以来美国动用武力不断扩张，屠杀印第安人，入侵加拿大，发动美墨战争，策动美西战争，吞并夏威夷。第二次世界大战后，挑起或发动朝鲜战争、越南战争、海湾战争、科索沃战争、阿富汗战争、伊拉克战争、利比亚战争、叙利亚战争，用军事霸权为扩张开路。近年年均军事预算7000多亿美元，占世界军费总支出的40%，超过第2名到第16名国家的总和。美国目前在海外有约800个军事基地，在159个国家驻扎了17.3万人的军队。	米国の歴史は、暴力と膨張の歴史である。1776年の独立以来、アメリカは武力で拡張し、インディアンを虐殺し、カナダに侵攻し、米墨戦争を起こし、米西戦争を扇動し、ハワイを併合してきた。第二次世界大戦後は、朝鮮戦争、ベトナム戦争、湾岸戦争、コソボ戦争、アフガニスタン戦争、イラク戦争、リビア戦争、シリア戦争などを起こし、軍事覇権で拡張の道を切り開いてきた。近年の年間平均軍事予算は7000億ドルを超え、世界の軍事費総額の40％を占め、2位から16位までの国の合計よりも多い。現在、米国は海外に約800の軍事基地を持ち、159カ国に17万3千人の軍隊を駐留させている。
《美国侵略：我们是如何入侵或军事干预地球上几乎每一个国家的》一书指出，在联合国承认的190多个国家中，只有3个国家没与美国打过仗或受其军事干预。这3个国家能够“幸免于难”，是因为美国没有在地图上发现它们。	『アメリカの侵略：いかにして地球上のほとんどすべての国に侵略または軍事介入したか』という本によると、国連が承認した190以上の国のうち、アメリカが戦わなかった、または軍事介入しなかった国は3つしかない。この3カ国は、米国が地図上で見つけられなかったため、「免れた」のである。
◆正如美国前总统卡特所言，美国无疑是世界上最好战的国家。塔夫茨大学研究报告《军事干预项目：1776年至2019年美国军事干预的新数据集》显示，1776年至2019年，美国在全球进行了近400次军事干预，34%针对拉丁美洲和加勒比地区，23%针对东亚和太平洋地区，14%针对中东和北非地区，13%针对欧洲地区。当前，美国对中东和北非以及撒哈拉以南非洲地区的军事干预呈现上升趋势。	◆ジミー・カーター元米国大統領が言ったように、米国は間違いなく世界で最も戦争好きな国である。タフツ大学の研究「軍事介入プロジェクト：1776年から2019年までの米国の軍事介入に関する新しいデータセット」によると、1776年から2019年の間に、米国は世界中で約400件の軍事介入を行い、その34％がラテンアメリカとカリブ海諸国に対して、23％が東アジアと太平洋に対して、14％が中東と北アフリカに対して、13％がヨーロッパに対して行われたという。現在、米国の軍事介入は中東・北アフリカとサハラ以南のアフリカで増加傾向にある。
《南华早报》专栏作家亚历克斯·洛指出，美国从建国到现在很少区分外交和战争，上个世纪推翻了很多发展中国家的民选政府，马上替之以亲美的傀儡政权。今天，从乌克兰、伊拉克、阿富汗、利比亚、叙利亚到巴基斯坦、也门，美国一如既往本性难移，开展代理人、低强度和无人机战争。	South China Morning Post紙のコラムニスト、アレックス・ローは、米国は建国以来、外交と戦争の区別をほとんどつけず、前世紀には多くの発展途上国で民主的に選ばれた政府を転覆させ、直ちに親米派の傀儡政権に取って代わったと指摘する。今日、ウクライナ、イラク、アフガニスタン、リビア、シリアからパキスタン、イエメンまで、米国は相変わらず独創的で、代理戦争、低強度戦争、ドローン戦争を繰り広げている。
◆美国军事霸权酿成人道惨剧。2001年以来，美国以反恐之名发动的战争和军事行动已造成超过90万人死亡，其中约有33.5万是平民，数百万人受伤，数千万人流离失所。2003年伊拉克战争导致约20万至25万平民死亡，被美军直接致死的超过16000人，造成100多万人无家可归。	◆2001年以来、テロ対策の名の下に行われた米国の戦争と軍事作戦によって、90万人以上が死亡し、そのうち約33万5千人が民間人である。2003年のイラク戦争では、約20万人から25万人の民間人が死亡し、1万6千人以上が米軍によって直接殺され、百数十万人がホームレスとなった。
美国在全球制造了3700万难民。2012年以来，仅叙利亚难民数量就增加10倍。2016年至2019年，叙利亚有记载死于战乱的平民达33584人，其中美国领导的联军轰炸致死3833人，半数是妇女和儿童。美国公共电视网2018年11月9日报道，仅美军对拉卡市发动的空袭就导致1600名平民死亡。	米国は世界で3700万人の難民を生み出した。シリア難民の数だけでも2012年から10倍に増えた。2016年から2019年にかけて、シリアでは戦争の結果33,584人の民間人が死亡し、そのうち3,833人が米国主導の連合軍の爆撃によって死亡し、その半数が女性と子どもであることがわかった。 PBSは2018年11月9日、米国のラッカ市への空爆だけで、1,600人の民間人が死亡したと報じた。
长达20年的阿富汗战争让阿富汗满目疮痍。共4.7万名阿富汗平民以及6.6万至6.9万名与“9·11”事件无关的阿富汗军人和警察在美军行动中丧生，1000多万人流离失所。阿富汗战争毁坏了当地经济发展基础，让阿富汗人民一贫如洗。2021年“喀布尔大溃败”后，美国宣布冻结阿富汗央行约95亿美元资产，被认为是“赤裸裸的掠夺”。	アフガニスタンでは20年にわたる戦争で国が荒廃している。米国の作戦により、計4万7000人のアフガン民間人と、9・11に関連しないアフガン兵士・警察6万6000～6万9000人が死亡し、1000万人以上が避難民となった。 2021年の「カブール騒動」後、米国はアフガニスタン中央銀行の資産約95億ドルを凍結したと発表し、「裸の略奪」とされた。
2022年9月，土耳其内政部长索伊卢在出席集会时表示，美在叙利亚开展代理人战争，把阿富汗变成鸦片种植田和海洛因加工厂，让巴基斯坦陷入动荡、利比亚内乱不断。无论哪个国家有地下资源，美国都会竭尽所能去掠夺和奴役那里的人们。	2022年9月、トルコのソユ内相は集会で、米国はシリアで代理戦争を行い、アフガニスタンをアヘン農園とヘロイン工場に変え、パキスタンを混乱に陥れ、リビアを内乱に陥れていると発言している。地下資源がある国ならどこでも、アメリカはその国の人々を略奪し、奴隷にするためにあらゆることをする。
美军还曾采用骇人听闻手段参与战争，在朝鲜战争、越南战争、海湾战争、科索沃战争、阿富汗战争、伊拉克战争中，大量使用生化武器和集束炸弹、油气炸弹、石墨炸弹、贫铀炸弹，造成大量民用设施损毁、无数无辜平民伤亡、持久生态环境污染。	米軍はまた、朝鮮戦争、ベトナム戦争、湾岸戦争、コソボ戦争、アフガニスタン戦争、イラク戦争で、化学・生物兵器やクラスター爆弾、石油・ガス爆弾、黒鉛爆弾、劣化ウラン弾を使用し、民間施設の大規模破壊、無数の罪なき民間人の犠牲、持続する生態系汚染を引き起こし、ひどい方法で戦争を行なっている。
三、巧取豪夺的经济霸权	3. 策略と略奪の経済覇権
第二次世界大战后，美国主导建立布雷顿森林体系、国际货币基金组织和世界银行，与马歇尔计划共同确立起以美元为核心的国际货币体系。美国还利用加权投票制、重大事项85%以上多数通过等国际组织规则安排以及一系列国内贸易法规，建立起国际经济金融领域的制度性霸权。借助美元的主要国际储备货币地位向全世界收取“铸币税”，利用对国际组织的控制，胁迫他国服务美国政治经济战略。	第二次世界大戦後、米国はブレトンウッズ体制、国際通貨基金、世界銀行の設立を主導し、マーシャルプランとともに、米ドルを中核とする国際通貨制度を確立した。また、米国は、加重投票制度の利用、重要事項の85％過半数などの国際機関の規則・規制の採用、一連の国内貿易規制などを通じて、国際経済・金融分野における制度的ヘゲモニーを確立してきた。米国は、米ドルを主要な国際基軸通貨として、全世界から「造幣局税」を徴収し、国際組織に対する支配力を利用して、米国の政治・経済戦略に奉仕するように他国を強制している。
◆美国利用“铸币税”攫取全世界财富。凭借一张成本仅约17美分的百元美钞，让其他国家实实在在地向美国提供价值相当于100美元的商品和服务。法国前总统戴高乐半个多世纪前就曾指出，“美国享受着美元所创造的超级特权和不流眼泪的赤字，她用一钱不值的废纸去掠夺其他民族的资源和工厂”。	◆米国は「造幣局税」を使って、世界の富を収奪している。 100ドル札が約17セントであるため、他国は米国に実質100ドル相当の財やサービスを提供することができるのである。フランスのシャルル・ドゴール元大統領は、半世紀以上前に「米国はドルという超特権を享受し、価値のない紙切れで他国の資源や工場を略奪しても涙を流さない赤字国である」と指摘している。
◆美元霸权是世界经济不稳定性和不确定性的主要根源。新冠疫情背景下，美国滥用全球金融霸权，向全球市场注入数万亿美元，而买单的却是其他国家特别是新兴经济体。2022年，美联储结束超宽松货币政策，转向激进加息政策，导致国际金融市场动荡，欧元等多种货币大幅贬值，创下20年来新低，许多发展中国家因此遭遇严重通货膨胀、本币贬值和资本外流。尼克松政府财政部长康纳利曾得意洋洋但又一针见血地指出，“美元是我们的货币，却是你们的麻烦”。	◆米ドルの覇権は世界経済の不安定と不安の元凶である。 Covid-19の流行を背景に、米国は世界金融の覇権を乱用し、世界市場に何兆ドルも注入したが、そのツケは他の国、特に新興国が払った。2022年、米連邦準備制度理事会（FRB）は超緩和的な金融政策を終了し、積極的な利上げ政策に転換し、国際金融市場の混乱、ユーロなど多くの通貨が20年ぶりの安値に急落、結果として多くの途上国で激しいインフレ、現地通貨安、資本流出が発生した。ニクソン政権の財務長官であったコネリー氏は、かつて嬉々として、しかし要領よく「ドルは我々の通貨であるが、それはあなた方の問題である」と述べたことがある。
◆美国操纵国际经济金融组织，在援助他国时施加附带条款。要求受援国推行金融自由化、加大金融市场开放，使受援国经济政策符合美国战略，为美国资本渗透和投机减少阻碍。《国际政治经济学评论》统计，1985年至2014年，国际货币基金组织向131个成员国实施了1550个债务援助项目，附带了55465项附加政治条款。	◆米国は国際的な経済・金融組織を操り、他国への援助にサイド・クロージングを課していた。それは、被援助国に金融自由化の推進と金融市場の開放を拡大し、被援助国の経済政策が米国の戦略に沿うようにし、米国資本の侵入と投機の障害を減らすことを要求するものである。 International Review of Political Economy』によると、1985年から2014年まで、国際通貨基金は131の加盟国に対して1550件の債務支援プロジェクトを実施し、5万5465件の追加政治条件が付けられた。
◆美国擅用经济胁迫手段打压对手。20世纪80年代，美国为消除日本经济威胁,控制并利用日本为美国对抗苏联和称霸世界战略目标服务,再次施展霸权主义金融外交,与日本签订“广场协议”，逼迫日元升值,开放金融市场,改革金融体制。“广场协议”沉重打击了日本经济的元气，日本此后进入“失去的三十年”。	◆1980年代、米国は日本に対する経済的脅威を排除し、ソ連との対決と世界支配という米国の戦略目標のために日本を支配し利用するために、再び覇権的金融外交を行い、日本と「プラザ合意」を結び、円高を強制し金融市場を開放し金融システムを改革していった。金融システムの「プラザ合意」は日本経済の活力に大きな打撃を与え、その後、日本は「失われた30年」に突入した。
◆美国经济金融霸权沦为地缘政治武器。美国大搞单边制裁和“长臂管辖”，制订了《国际紧急状态经济权力法》《全球马格尼茨基人权问责法》《以制裁反击美国敌人法》等国内法并推出一系列行政令，对特定国家、组织或个人实施制裁。据统计，从2000年到2021年美国对外制裁增加933%。仅特朗普政府就实施3900多项制裁，相当于平均每天挥舞3次“制裁大棒”。截至目前，美国已对古巴、中国、俄罗斯、朝鲜、伊朗、委内瑞拉等世界上近40个国家实施过经济制裁，全球近一半人口受到影响。“美利坚合众国”已然成为“制裁合众国”。“长臂管辖”完全沦为美国借国家公权力打压商业竞争对手和干涉正常国际商业交易的工具，彻底背离美国长期标榜的自由主义市场经济理念。	◆米国の経済・金融覇権は、地政学的な武器に成り下がった。米国は、国際緊急経済力法、グローバル・マグニツキー人権説明責任法、制裁によるアメリカの敵への対抗法などの国内法を制定し、特定の国、組織、個人に制裁を加える大統領令を次々と導入し、一方的な制裁と「ロングアーム司法」を展開してきた。統計によると、米国の対外制裁は2000年から2021年にかけて933％増加した。トランプ政権だけでも3,900件以上の制裁を課しており、これは1日に平均3回「制裁棒」を振っていることに相当する。これまでにアメリカは、キューバ、中国、ロシア、北朝鮮、イラン、ベネズエラなど世界40カ国近くに対して経済制裁を行い、世界人口の約半分に影響を及ぼしている。「アメリカ合衆国」は「制裁のアメリカ合衆国」になってしまったのある。「ロングアーム司法権」は、米国が国家の公権力によってビジネス上の競争相手を抑圧し、正常な国際商取引を妨害するための道具に成り下がり、米国が長年培ってきた自由主義市場経済の概念から完全に逸脱してしまった。
四、垄断打压的科技霸权	4. 独占と抑圧の科学技術覇権
美国在高科技领域大搞垄断打压、技术封锁，遏阻其他国家科技和经济发展。	米国は、ハイテク分野において、他国の科学技術や経済の発展を抑制する独占的な弾圧と技術封鎖を行っている。
◆美国借知识产权保护之名搞知识产权垄断。利用各国特别是发展中国家在知识产权上的弱势地位和在相关领域制度上的空缺实施垄断，攫取高额垄断利润。1994年，美国推动《与贸易有关的知识产权协定》，强推知识产权保护的美国化进程和标准，企图固化科技垄断优势。	◆米国は、知的財産権保護を口実に、知的財産権を独占している。 1994年、米国は知的財産権の貿易関連の側面に関する協定（TRIPS）を推進し、知的財産保護のアメリカ化の過程と基準を強要し、科学技術における独占的優位を固めようとしている。
20世纪80年代，美国为打击日本半导体产业发展，采取包括启动“301”调查、通过多边协议为双边谈判制造筹码、威胁将日本列为不公平贸易国、加征报复性关税等手段，逼迫日本签订《美日半导体协定》，导致日本半导体企业几乎完全退出全球竞争，市场份额由50%跌至10%。同时，在美国政府扶持下，大量美国半导体企业趁机抢占市场。	1980年代、米国は日本の半導体産業の発展に対抗するため、301条調査を開始し、多国間協定による二国間交渉のテコ入れを行い、日本を不公正貿易国に分類すると脅し、報復関税をかけて日米半導体協定を締結させるなどの措置をとり、日本の半導体企業はグローバル競争からほぼ完全に撤退することになった。日本製半導体のシェアは50％から10％に低下し、世界的な競争から完全に撤退した。同時に、米国政府の支援を受け、多くの米国半導体企業がこの機会を捉えて市場を奪取した。
◆美国将科技问题政治化、武器化、意识形态化。美国泛化国家安全概念，动用国家力量打压和制裁中国华为公司，限制华为产品进入美国市场，断供芯片和操作系统，在全世界胁迫其他国家禁止华为参与当地5G网络建设，还策动加拿大无理拘押华为首席财务官孟晚舟近3年。	◆米国は、科学技術の問題を政治化し、武器化し、イデオロギー化した。米国は国家安全保障の概念を一般化し、国家権力を使って中国のファーウェイを弾圧・制裁し、ファーウェイ製品の米国市場参入を制限し、チップとOSの供給を絶ち、世界各国にファーウェイの現地5Gネットワーク構築への参加を禁止するよう強要し、カナダに扇動されてファーウェイの孟晩舟首席財務官を理由なく3年近く拘束してきた。
美国还炮制各种借口，围追打压具有国际竞争力的中国高科技企业，已将1000多家中国企业列入各种制裁清单。美国还对生物技术、人工智能等高端技术实施管控，强化出口管制，严格投资审查，打压包括TikTok、微信等中国社交媒体应用程序，游说荷兰和日本限制对中国芯片和相关设备与技术出口。	また、米国は様々な口実を作って国際競争力のある中国のハイテク企業を一網打尽にし、1000社以上の中国企業を様々な制裁リストに載せてきた。さらに米国は、バイオテクノロジーや人工知能などのハイエンド技術に対する規制、輸出規制や投資審査の強化、TikTokやWeChatなど中国のソーシャルメディアアプリの取り締まり、オランダや日本に対してチップや関連機器・技術の中国への輸出を制限するよう働きかけてきた。
美国还在对华科技人才政策方面采取双重标准。2018年6月以来，针对部分高科技专业的中国留学生缩短了签证有效期限，屡屡无端禁止和滋扰中国学者赴美学术交流以及学生赴美留学，对在美华人学者开展大规模调查，排挤、打压华人科研群体。	米国は中国の科学技術人材に対する政策でも二重基準を採用しており、2018年6月以降、一部のハイテク専攻の中国人留学生のビザの有効期間を短縮し、中国人学者の学術交流のための渡米や学生の米国留学を明白な理由なく繰り返し禁止し迷惑をかけ、米国内の中国人学者に対する大規模な調査を開始し、中国の科学研究界を横取りして弾圧している。
◆美国借民主之名维护科技霸权。打造“芯片联盟”“清洁网络”等科技“小圈子”，给高科技打上民主、人权的标签，将技术问题政治化、意识形态化，为对他国实施技术封锁寻找借口。2019年5月，美国拉拢32个国家在捷克召开“布拉格5G安全大会”，发布“布拉格提案”，企图排除中国5G技术产品。2020年4月，时任美国国务卿蓬佩奥宣布“5G清洁路径”，计划在5G领域构建以“民主”为意识形态纽带、以“网络安全”为目标的技术联盟。美国上述举措的实质，就是通过技术联盟维护科技霸权。	◆米国は科学技術に対する覇権を維持するために、民主主義を口実にしている。米国は科学技術において「チップアライアンス」「クリーンネットワーク」などの「小輪」を作り、ハイテクに民主主義や人権などのレッテルを貼り、技術問題を政治化・イデオロギー化し、他国への技術封鎖を押し付ける口実にしてきた。 2019年5月、米国は32カ国を集めてチェコで「プラハ5G安全保障会議」を開催し、「プラハ提案」を発表して中国の5G技術製品を排除しようとした。 2020年4月には、ポンペオ国務長官（当時）が「5Gクリーンパス」を発表し、「民主主義」を理念的な結びつきとし、「サイバーセキュリティ」を目標とする5G分野の技術同盟を構築する計画を発表した。上記のような米国の構想の本質は、技術同盟による技術覇権の維持にある。
◆美国滥用科技霸权大搞网络攻击和监听窃密。美国是全球窃密大户，作为“黑客帝国”早已恶名远扬。美国网络攻击和监听监视无孔不入，窃密手段五花八门,包括利用模拟手机基站信号接入手机盗取数据,操控手机应用程序，侵入云服务器,通过海底光缆进行窃密等。	◆米国は科学技術における覇権を悪用して、サイバー攻撃や盗聴を行っている。米国は機密窃取の世界的リーダーであり、長い間「ハッカー帝国」として悪名を馳せてきた。米国のネットワーク攻撃と盗聴監視は浸透しており、携帯電話の基地局信号を模擬して携帯電話にアクセスしデータを盗む、携帯電話のアプリケーションを操作する、クラウドサーバーに侵入する、海底光ケーブルを通して秘密を盗むなど、様々な手段がある。
美国实施“无差别”监视监听。从竞争对手到盟友,甚至包括德国前总理默克尔、法国多任总统等盟国领导人,无不在监听范围之内。“棱镜门”“脏盒”“怒角计划”“电幕行动”等美国网络监控和攻击事件，印证了美国的盟友伙伴都在美国的严密监控之列。美国窃听盟友伙伴的行径早已引起国际社会公愤。曾曝光美国监听项目的“维基解密”网站创始人阿桑奇说，不要期待这个“监听超级大国”会做出有尊严和让人尊重的行为。规则只有一个,那就是没有规则。	米国は「無差別」な監視・盗聴を行っている。競争相手から、メルケル元ドイツ首相、フランス大統領など同盟国の指導者まで、全員が監視下に置かれている。 "プリズムゲート"、"ダーティボックス"、"プロジェクト・フューリーホーン"、"エレクトリック・カーテン作戦 "など、米国のサイバー監視・攻撃。米国の同盟パートナーは、米国による厳重な監視下に置かれている。米国が同盟国やパートナーを盗聴していることは、長い間、国際的な憤りの種となってきた。米国の盗聴プログラムを暴露したWikiLeaksの創設者であるアサンジ氏は、「盗聴大国」が尊厳と敬意をもってふるまうことを期待されてはならないと述べた。ルールはただ一つ、「ルールはない」ということだ。
五、蛊惑人心的文化霸权	5. 脅迫的な文化覇権
美国文化的全球扩张是其对外战略的重要组成部分。美国惯用文化来加强和维护其在世界上的霸权地位。	アメリカ文化の世界的な拡大は、その対外戦略の重要な部分である。アメリカは、世界における覇権的地位を強化し維持するために、習慣的に文化を利用している。
◆美国在电影等商品中植入美国价值观。通过影视产品、图书、各种媒体以及资助非营利性文化机构，“嵌入配售”美国价值观和生活方式，打造出以美式文化为主导的文化和舆论空间，推行文化霸权。美国学者约翰·耶马在其《世界的美国化》一文中指出，关于文化扩张，美国真正的武器是好莱坞的电影业、麦迪逊大街的形象设计厂和马特尔公司、可口可乐公司的生产线。	◆米国は、映画やその他の商品において、米国の価値観を植え付ける。映画やテレビの商品、書籍、さまざまなメディア、非営利の文化機関への資金提供を通じて、アメリカの価値観やライフスタイルが「埋め込まれ、流通」し、アメリカ文化が支配する文化・世論空間を作り、文化的覇権を促進させる。アメリカの学者ジョン・イエマは、論文「The Americanisation of the World」の中で、アメリカ文化拡大の真の武器は、ハリウッド映画産業、マディソン街のイメージデザインスタジオ、マーテルとコカコーラの生産ラインであると指摘している。
美国推行文化霸权的形式多种多样，占据世界70%以上份额的美国电影是主渠道之一。美国电影善于利用多元文化背景，创造对各族裔吸引力。随着好莱坞电影在全世界不断发行，美国将价值观裹挟其中，大加渲染。	アメリカは様々な形で文化的覇権を追求するが、世界の70％以上のシェアを占めるアメリカ映画はその主要なチャンネルの一つである。アメリカ映画は、多文化的な背景を巧みに利用し、あらゆる民族にアピールすることに長けている。ハリウッド映画が世界中に配給され続けると、アメリカはその価値観を映画に巻き付け、大々的に宣伝する。
◆美国文化霸权从“直接介入”走向“媒介渗透”和“世界喇叭”，在干涉他国内政时，更加依靠美国主导的西方媒体，煽动全球舆论。	◆米国の文化覇権は「直接介入」から「メディア浸透」「世界捏造」に移行し、他国の内政に干渉する際、米国が支配する西側メディアをより頼りにして世界世論を扇動している。米国政府は、すべてのソーシャルメディア企業を厳しく検閲している。
美国政府严格审查所有社交媒体公司，要求执行政府指示。福克斯商业频道报道，2022年12月27日，推特公司首席执行官马斯克表示，所有社交媒体平台都与美国政府合作，对内容进行审查。美国的舆论导向受到政府干预，限制所有不利言论。谷歌经常让链接页面消失。	米国政府はすべてのソーシャルメディア企業を精査し、政府の指示を実行するよう要求している。 Fox Business Channelは2022年12月27日、TwitterのCEOであるMusk氏が、すべてのソーシャルメディアプラットフォームは米国政府と連携してコンテンツを検閲していると述べたと報じた。米国の世論は、あらゆる好ましくない言論を制限するために、政府の介入によって導かれている。グーグルはしばしばリンクページを消滅させる。
美国国防部操控社交媒体。2022年12月，美国独立调查网站“The Intercept”披露，2017年7月美军中央司令部官员纳撒尼尔·卡勒给推特公共政策团队发了一个表格，包含52个阿拉伯语账号，要求优先服务其中6个，其中一个专门用来宣传美国无人机对也门的军事袭击，例如袭击是精确的，杀死的是恐怖分子而不是平民。按照卡勒要求，推特将这批阿拉伯语账号放入“白名单”，用来放大某些信息。	2022年12月、米国の独立系調査サイト「The Intercept」は、2017年7月、米中央軍幹部のナサニエル・カーラーが、52のアラビア語アカウントを含むフォームをツイッターの公共政策チームに送り、そのうち6つについて優先的にサービスを提供するよう要求していたことを明らかにした。そのうちの1つは、イエメンでの米国のドローン軍事攻撃が正確で、民間人ではなくテロリストを殺害したなどと宣伝することに特化したものだった。 Kaler氏の要求通り、Twitterはアラビア語のアカウントを「ホワイトリスト」に登録し、特定のメッセージを増幅させるようにした。
◆美国奉行双重新闻自由标准，粗暴打压他国媒体。通过种种手段让别国媒体“消音”。今日俄罗斯电视台、卫星通讯社等俄主流媒体纷纷被美欧禁止落地；俄罗斯官方账号被推特、脸书、优兔等平台公开限流；俄罗斯频道和应用程序被奈飞、苹果、谷歌应用商店等直接下架；涉俄内容遭到史无前例的严格审查。	◆米国は報道の自由について二重の基準を持ち、他国のメディアを暴力的に弾圧している。様々な手段で他国のメディアを黙らせてきた。ロシア・トゥデイTVや衛星通信社などロシアの主流メディアは欧米で放送禁止となり、Twitter、Facebook、YouTuberなどではロシアの公式アカウントが公然と制限され、Nifty、Apple、Google App Storeではロシアのチャンネルやアプリケーションが直接ダウンし、ロシア関連のコンテンツはかつてないほど厳しい検閲の対象となってきた。
◆美国滥用文化霸权对社会主义国家“和平演变”。建立起专门针对社会主义国家的新闻媒体和文化传媒机构。而美国扶植的负责意识形态渗透的电台、电视网由政府提供巨额经费，用数十种语言文字，昼夜不停地对社会主义国家煽动宣传。	◆米国は文化的覇権を乱用し、社会主義国を「平和的に進化」させてきた。米国は、社会主義国を特に標的としたニュースメディアや文化メディア機関を設立している。米国が育てたイデオロギー浸透を担うラジオとテレビのネットワークは、政府から多額の資金を受け、数十の言語と文字で社会主義国に対するプロパガンダを扇動するために24時間体制で活動している。
美国将虚假信息作为攻击他国的工具，已形成“黑金、黑论、黑嘴”舆论产业链条。为一些团体和个人源源不断提供“黑金”，支持其炮制“黑论”，以此影响国际舆论。	米国は偽情報を他国を攻撃する道具として利用し、世論産業において「黒い金、黒い議論、黒い口」の連鎖を形成している。団体や個人に安定的に「黒い金」を提供し、「黒い理論」を支持させ、それによって国際世論に影響を及ぼしているのである。
结束语	結語
得道多助，失道寡助。恃强凌弱、巧取豪夺、零和博弈等霸权霸道霸凌行径危害深重，和平、发展、合作、共赢的历史潮流不可阻挡。美国以强权挑战真理，以私利践踏正义。这些单边主义、唯我独尊、倒行逆施的霸权做法正在引发国际社会越来越强烈的批评和反对。	たくさん助けてもらったら、たくさん損をする。いじめ、策略、ゼロサムゲームなどの覇権主義やいじめは深く有害であり、平和、発展、協力、ウィンウィンの歴史的趨勢は止めようがない。米国は、力で真実に挑戦し、私利私欲で正義を踏みにじる。こうした一国主義、独裁主義、逆進性の覇権主義は、国際社会からますます強い批判と反対を招いている。
国与国之间要相互尊重、平等相待。大国应该有大国的样子，更要带头走出一条对话而不对抗、结伴而不结盟的国际交往新路。中国一贯反对一切形式的霸权主义和强权政治，反对干涉别国内政。美国应该反躬自省，深刻检视自己的所作所为，放弃傲慢与偏见，摒弃霸权霸道霸凌。	各国は互いに尊重し合い、対等に付き合うべきである。大国は大国らしく振る舞い、対立ではなく対話、同盟ではなく提携を通じた新しい国際交流の道を率先して切り開くべきだ。中国は、あらゆる形態の覇権主義やパワーポリティクス、他国の内政への干渉に常に反対してきた。米国は自らを反省し、自らの行いを深く見つめ、傲慢と偏見を捨て、覇権主義といじめを放棄すべきだ。

・2023.02.19 17:11 外交部发言人介绍中美接触情况

外交部发言人介绍中美接触情况	外交部報道官、米中接触について
应美方请求，中共中央政治局委员、中央外事工作委员会办公室主任王毅出席慕尼黑安全会议期间，同美国国务卿布林肯非正式接触。	米国側の要請により、王毅・中国共産党中央委員会政治局委員兼中央委員会外事弁公室主任は、ミュンヘン安全保障会議の傍ら、米国のブリンケン国務長官と非公式に接触した。
王毅清晰表明了中方在所谓飞艇事件上的严正立场，指出美方所作所为是典型的滥用武力，明显违反国际惯例和民用航空公约，中方强烈不满，严正抗议。美国才是全球最大监控侦察国家，高空气球多次非法飞越中国上空，没有资格对中国污蔑抹黑。美方要做的是拿出诚意，正视并解决滥用武力给中美关系造成的损害。如果美方执意借题发挥、炒作升级、扩大事态，中方必将奉陪到底，一切后果将由美方承担。	王毅はいわゆる飛行船事件について、中国の厳正な立場を明確に表明し、米国側が行ったことは典型的な武力乱用であり、国際慣行と民間航空条約に明確に違反していると指摘し、中国は強く不満を持ち、厳粛に抗議した。米国は世界最大の監視偵察国であり、高高度気球は何度も中国上空を違法に飛行しており、中国を中傷し、貶める資格はない。米側がすべきことは、誠意を示し、武力乱用による中米関係の毀損を直視し、対処することである。もし米側がこの問題を口実に事態をエスカレートさせ、拡大させようとするならば、中国は必ず最後まで付き合い、すべての結果は米側が負担することになる」と述べた。
王毅强调，在乌克兰问题上，中国坚持原则、劝和促谈，一直发挥着建设性作用。中俄全面战略协作伙伴关系建立在不结盟、不对抗、不针对第三方的基础上，是两个独立国家主权范围之内的事情。我们从不接受美国对中俄关系指手画脚甚至胁迫施压。美国作为一个大国，理应推动危机政治解决，而不是拱火浇油，趁机牟利。	王毅氏は、ウクライナ問題において、中国は原則を堅持し、平和を説得し、協議を推進することで建設的な役割を担ってきたと強調した。中露の包括的戦略協力パートナーシップは、非同盟、非対立、第三者を標的にしないことに基づいており、二つの独立した国の主権内の問題である。われわれは、米国が中ロ関係に対して独裁し、あるいは圧力を強要することを決して受け入れてはいない。米国は大国として、火に油を注いで利益を得るのではなく、危機の政治的解決を推進することになっている。
王毅指出，要维护台海稳定，就必须坚定反对“台独”，真正坚持一中原则。美方在台湾问题上要尊重历史事实，信守政治承诺，将不支持“台独”的表态落到实处。	王毅は、台湾海峡の安定を維持するためには、「台湾独立」に断固反対し、真に「一つの中国」の原則を堅持する必要があると指摘した。米国は台湾問題の歴史的事実を尊重し、政治的約束を守り、「台湾独立」を支持しないという声明を実行に移すべきである。

米国側の発表

● U.S. Department of State

・2023.02.18 Secretary Blinken’s Meeting with People’s Republic of China (PRC) Director of the CCP Central Foreign Affairs Office Wang Yi

Secretary Blinken’s Meeting with People’s Republic of China (PRC) Director of the CCP Central Foreign Affairs Office Wang Yi	ブリンケン長官と中華人民共和国中央外交部王毅部長との会談について
The following is attributable to Spokesperson Ned Price:	以下は、ネッド・プライス報道官の発言によるものである。
Secretary of State Antony J. Blinken and PRC State Councilor and Director of the CCP Central Foreign Affairs Office Wang Yi met on the margins of the Munich Security Conference on February 18, 2023.	アントニー・J・ブリンケン国務長官と中国国務委員兼中国共産党中央外交部長の王毅氏は2023年2月18日、ミュンヘン安全保障会議の縁側で会談した。
The Secretary directly spoke to the unacceptable violation of U.S. sovereignty and international law by the PRC high-altitude surveillance balloon in U.S. territorial airspace, underscoring that this irresponsible act must never again occur. The Secretary made clear the United States will not stand for any violation of our sovereignty, and that the PRC’s high altitude surveillance balloon program — which has intruded into the air space of over 40 countries across 5 continents —has been exposed to the world.	長官は、PRCの高高度監視気球が米国領空で米国の主権と国際法を侵害したことは容認できないと直接語り、この無責任な行為は二度と起こしてはならないと強調した。長官は、米国はいかなる主権侵害も容認しないこと、そして、5大陸40カ国以上の空域に侵入した中国の高高度監視気球計画が世界に暴露されたことを明らかにした。
On Russia’s brutal war against Ukraine, the Secretary warned about the implications and consequences if China provides material support to Russia or assistance with systemic sanctions evasion. The Secretary condemned today’s ICBM test by the DPRK as the latest destabilizing act carried out by Pyongyang, and emphasized the need for responsible powers to respond to such significant international challenges. The Secretary reaffirmed there had been no change to the longstanding U.S. one China policy, and he underscored the importance of maintaining peace and stability across the Taiwan Strait.	ロシアのウクライナに対する残虐な戦争について、長官は、中国がロシアに物質的支援を提供したり、制度的な制裁回避を支援したりすれば、その意味と結果について警告を発した。長官は、北朝鮮による本日のICBM実験は、平壌による最新の不安定化行為であると非難し、責任ある大国がこのような重大な国際的課題に対応する必要性を強調した。長官は、長年にわたる米国の「一つの中国」政策に変更がないことを再確認し、台湾海峡の平和と安定を維持することの重要性を強調した。
The Secretary reiterated President Biden’s statements that the United States will compete and will unapologetically stand up for our values and interests, but that we do not want conflict with the PRC and are not looking for a new Cold War. The Secretary underscored the importance of maintaining diplomatic dialogue and open lines of communication at all times.	長官は、米国は競争し、我々の価値と利益のために堂々と立ち上がるが、中国との衝突は望んでおらず、新たな冷戦を望んでいるわけでもないというバイデン大統領の発言を繰り返した。長官は、外交的対話と開かれたコミュニケーションラインを常に維持することの重要性を強調した。

Uschina

● NHK

・2023.02.19 07:02 アメリカ・ブリンケン国務長官と中国・王毅政治局委員が会談

アメリカのブリンケン国務長官は18日夜、中国で外交を統括する王毅政治局委員と訪問先のドイツで会談し、中国の気球がアメリカ本土の上空を飛行したことについて「このような無責任な行為は2度と起こしてはならない」と改めて非難する一方、両国が対話を維持する重要性を強調しました。

...

アメリカ側の発表によりますと、会談でブリンケン長官は中国の気球はアメリカ本土の上空を飛行し、アメリカの主権を侵害したという認識を伝えた上で「このような無責任な行為は2度と起こしてはならない」と改めて非難しました。

一方でブリンケン長官は「アメリカはわれわれの価値観や利益のためには断固として立ち上がるが、中国との衝突は望んでおらず、新たな冷戦も目指していない」と述べ、両国が対話を維持する重要性を強調しました。

中国の気球をめぐって米中両国が激しい応酬を続ける中、両国の外交を担当する高官が対面で会談したのはこれが初めてです。

アメリカとしては中国側に断固とした姿勢を示す一方、両国の意図しない衝突を避けるためにも中国との対話を重ねたい考えです。

参考...

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.02.12 米国 FBI 中国の高高度気球の回収

・2023.02.11 米国中国の偵察気球が米国上空を通過（２つ目の撃墜の件も追加...）

・2023.02.09 米国一般教書演説 2023

2023.02.21 06:09 in 危機管理 / 事業継続 | Permalink | Comments (0)
Tweet

英国 NCSC サプライチェーン・マッピングのガイダンスを公表しています。。。(2023.02.16)

こんにちは、丸山満彦です。

英国のNational Cyber Security Cnetreが、サプライチェーン・マッピングのガイダンスを公表しています。。。

サプライチェーン・マッピングというのは、

「企業のサプライチェーンに関わるサプライヤーから集めた情報を記録、保存、活用するプロセス」

で、その目的は、

「サプライヤーのネットワークの最新状況を理解し、サイバーリスクをより効果的に管理し、デューディリジェンスを実施すること」

となっている。

SBOMというのも、ソフトウェア開発に関わるサプライチェーンのサプライチェーン・マッピングの一部と言えるんですかね。。。

SCMというのは、重要な概念かもしれませんね。。。

● U.K. National Cyber Security Centre

ブログ...

・2023.02.16 New ‘supply chain mapping’ guidance

New ‘supply chain mapping’ guidance	新しい「サプライチェーン・マッピング」ガイダンス
he latest addition to the NCSC’s suite of supply chain guidance is now available.	NCSCの一連のサプライチェーンガイダンスに最新のものが追加された。
Supply chain mapping is the process of recording, storing and using information gathered from suppliers who are involved in a company’s supply chain. Building on our existing supply chain guidance, we’re pleased to announce new guidance that focusses explicitly on this process, aimed at at procurement specialists, risk managers and cyber security professionals.	サプライチェーンマッピングとは、企業のサプライチェーンに関わるサプライヤーから収集した情報を記録、保存、利用するプロセスである。既存のサプライチェーンガイダンスに基づき、調達専門家、リスクマネジメント専門家、サイバーセキュリティ専門家を対象に、このプロセスに明確に焦点を当てた新しいガイダンスを発表することを嬉しく思っている。
Supply chain mapping follo.ws the principles of all good risk management; organisations need to understand the risks inherent in their supply chain, and then introduce security measures that are in proportion to the likelihood (and impact) of those risks materialising. The goal is to have an up-to-date understanding of your network of suppliers, so that cyber risks can be managed more effectively, and due diligence carried out.	サプライチェーンのマッピングは、優れたリスクマネジメントの原則に従う。組織は、サプライチェーンに内在するリスクを理解し、そのリスクが顕在化する可能性（および影響）に比例したセキュリティ対策を導入する必要がある。目標は、サプライヤーのネットワークについて最新の情報を把握し、サイバーリスクをより効果的にマネジメントし、デューディリジェンスを実施することである。
More specifically, the new guidance explains:	具体的には、新しいガイダンスでは次のように説明されている。
・What supply chain mapping is, why it’s important and how it can benefit your organisation	・サプライチェーンマッピングとは何か、なぜ重要か、どのような利点があるか。
・What information it will typically contain	・サプライチェーンマッピングには通常どのような情報が含まれるか
・The role of sub-contractors that your suppliers may use	・サプライヤーが使用する可能性のある下請け業者の役割
・What this means when agreeing contracts	・契約に合意する際の意味
As the the guidance points out, your exact approach will depend upon your organisation's procurement and risk management processes, and the tooling that you have available to you. However, if you’re not sure where you start, we encourage you to read both the supply chain mapping document and also guidance on How to assess and gain confidence in your supply chain cyber security.	ガイダンスが指摘するように、正確なアプローチは、組織の調達とリスクマネジメントのプロセス、および利用可能なツールに依存することになる。しかし、何から始めればよいのかわからない場合は、サプライチェーンマッピングと、「サプライチェーンのサイバーセキュリティを評価し、信頼を得る方法」のガイダンスの両方を読むことをお勧めします。
We’re always looking to improve our guidance, so if you have any feedback please get in touch using our enquiries page.	私たちは、常にガイダンスを改善するために努力している。

ガイダンス...

・2023.02.16 Mapping your supply chain

Mapping your supply chain	サプライチェーンのマッピング
How organisations can map their supply chain dependencies, so that risks in the supply chain can be better understood and managed.	サプライチェーンにおけるリスクをより良く理解し、マネジメントするために、組織はどのようにサプライチェーンの依存関係をマッピングすることができるのか。
IN THIS GUIDANCE	このガイダンスでは
1.Introduction	1.序文
2.What is supply chain mapping?	2.サプライチェーンマッピングとは？
3.What information should SCM contain?	3.SCMに含めるべき情報とは？
4.Subcontractors in the supply chain	4.サプライチェーンにおける下請け業者
5.Getting started	5.はじめよう
Introduction	序文
This guidance is aimed at medium to large organisations who need to gain confidence or assurance that mitigations are in place for vulnerabilities associated with working with suppliers.	このガイダンスは、サプライヤとの協働に関連する脆弱性に対して、緩和策が実施されていることを確信または保証する必要がある中規模から大規模の組織を対象としている。
Please read in conjunction with the NCSC’s guidance on How to assess and gain confidence in your supply chain cyber security.	NCSCのガイダンス「サプライチェーンのサイバーセキュリティを評価し、信頼を得る方法」とあわせて読むこと。
What is supply chain mapping?	サプライチェーンマッピングとは何か？
Supply chain mapping (SCM) is the process of recording, storing and using information gathered from suppliers who are involved in a company’s supply chain. The goal is to have an up-to-date understanding of your network of suppliers, so that cyber risks can be managed more effectively, and due diligence carried out.	サプライチェーンマッピング（SCM）とは、企業のサプライチェーンに関わるサプライヤーから集めた情報を記録、保存、活用するプロセスである。その目的は、サプライヤーのネットワークの最新状況を理解し、サイバーリスクをより効果的に管理し、デューディリジェンスを実施することである。
Many organisations rely upon suppliers to deliver products, systems, and services. Supply chains are often large and complex, and effectively securing the supply chain can be hard because vulnerabilities can be inherent, introduced or exploited at any point within it. This makes it difficult to know if you have enough protection across the entire supply chain.	多くの組織は、製品、システム、サービスを提供するために、サプライヤーに依存している。サプライチェーンは大規模かつ複雑であることが多く、サプライチェーン内のどの時点でも脆弱性が内在、導入、悪用される可能性があるため、サプライチェーンを効果的に保護することは困難である。このため、サプライチェーン全体にわたって十分な保護がなされているかどうかを知ることは困難である。
Note: SCM follows the principles of all good risk management; organisations need to understand the risks inherent in their supply chain, and then introduce security measures that are in proportion to the likelihood (and impact) of those risks materialising.	組織は、サプライチェーンに内在するリスクを理解し、そのリスクが顕在化する可能性（および影響）に見合ったセキュリティ対策を導入する必要がある。
Benefits of SCM	SCMのメリット
Understanding who your suppliers are, what they provide and how they provide will help you manage the cyber security risks that can arise. Mapping your supply chain allows you to make more informed business decisions based upon risk, specifically:	サプライヤが誰で、何を、どのように供給しているかを理解することは、発生しうるサイバーセキュリティのリスクをマネジメントするのに役立つ。サプライチェーンをマッピングすることで、リスクに基づいて、より多くの情報に基づいたビジネス上の意思決定を行うことができる。
・better insight into the cyber security considerations that could be more easily enforced via contracts	・契約によってより容易に実施できるサイバーセキュリティの考慮事項に対するより良い洞察力
・more prepared to respond to supply chain related cyber incidents	・サプライチェーンに関連するサイバーインシデントに対応する準備ができる。
・the ability to establish repeatable methods so you have confidence in suppliers' security practices, and can build long term partnerships	・再現可能な方法を確立することで、サプライヤのセキュリティ対策に自信を持ち、長期的なパートナーシップを構築できる。
・easier compliance with legal, regulatory and or contractual responsibilities	・法律、規制、または契約上の責任への準拠が容易になる
・regularly assessing the supply chain will reduce the likelihood of a cyber attack or breach	・サプライチェーンを定期的に評価することで、サイバー攻撃や侵害の可能性を低減することができる。
It is not possible to completely eradicate supply chain attacks. Should a risk materialise, being able to rapidly respond will limit the scope of damage to your organisation.	サプライチェーンへの攻撃を完全に根絶することは不可能である。万が一、リスクが顕在化した場合、迅速に対応することで、組織への被害範囲を限定することができる。
What information should SCM contain?	SCMに含めるべき情報とは？
Gathering information about your suppliers in a consistent manner and storing it in a centralised repository that’s access controlled will ensure it’s easier to analyse and maintain. This ultimately will allow you to better manage the risks, as you’ll have a comprehensive view of the supply chain that is always up to date.	サプライヤーに関する情報を一貫した方法で収集し、アクセス制御された一元的なリポジトリに保存することで、分析と維持が容易になる。これにより、サプライチェーンを包括的に把握し、常に最新の情報を得ることができるため、最終的にはリスクをより適切にマネジメントすることが可能になる。
Typical information that may be of use includes:	代表的な情報としては、以下のようなものがある。
・a full inventory of suppliers and their subcontractors, showing how they are connected to each other	・サプライヤーとその下請け業者の完全なインベントリ、およびそれらが互いにどのように接続されているかを示す。
・what product or service is being provided, by whom, and the importance of that asset to your organisation	・どのような製品やサービスが、誰によって提供されているか、また、組織にとってのその資産の重要性
・the information flows between your organisation and a supplier (including an understanding of the value of that information)	・組織とサプライヤーの間の情報の流れ（その情報の価値についての理解も含む）
・assurance contacts within the supplying organisation	・供給元組織内の保証連絡先
・information relating to the completeness of the last assessment, details of when the next assurance assessment is due, and any outstanding activities	・前回の評価完了に関する情報、次回の保証評価予定日の詳細、未解決の活動内容
・proof of any certifications required, such as Cyber Essentials, ISO certification, product certification	・サイバーエッセンシャル、ISO認証、製品認証など、必要な認証の証明書
Acquiring this information, especially for large organisations with complex supply chains, can be a massive undertaking. The NCSC guidance on How to assess your supply chain cyber security will assist with this task, and can also ensure that supply chain dependencies from new suppliers is captured.	このような情報を取得することは、特に複雑なサプライチェーンを持つ大規模な組織にとっては、大変な作業となる可能性がある。NCSCのガイダンス「How to assess your supply chain cyber security」は、この作業を支援し、新規サプライヤーからのサプライチェーンの依存性を確実に把握することができる。
Note: This information is an attractive target to attackers, so all SCM assets should be held in a secure repository with strong Security Architecture underpinning its design.	注：この情報は攻撃者にとって魅力的なターゲットであるため、すべてのSCM資産は、強力なセキュリティアーキテクチャの設計に裏打ちされた安全なリポジトリに保管する必要がある。
Tools to map suppliers	サプライヤーをマッピングするツール
Information about existing suppliers may already exist in your procurements systems. If there are multiple entry points for suppliers, relevant information will need to be aggregated. Depending on the size of your organisation, it might be beneficial to consider commercial tools which can:	既存のサプライヤーに関する情報は、すでに調達システムの中に存在しているかもしれない。サプライヤーのエントリーポイントが複数ある場合、関連情報を集約する必要がある。組織の規模にもよるが、以下のような商用ツールを検討することが有益であろう。
・reconcile existing supply chain information	・既存のサプライチェーン情報の照合
・help to keep information about supplier assurance up-to-date	・サプライヤーの保証に関する情報を最新に保つ。
・monitor supply chains beyond the initial tier, and identify concentration risk with contractors and sub-contractors	・初期段階以降のサプライチェーンを監視し、請負業者や下請け業者への集中リスクを特定する。
・make it easier to connect with, interact and visualise your supply chain	・サプライチェーンとの連携、相互作用、可視化を容易にする。
Subcontractors in the supply chain	サプライチェーンにおける下請け業者
A vulnerability that exists anywhere within the supply chain, whether in your direct suppliers, or the suppliers that they sub-contract out to, could impact your organisation. For large organisations decisions around the practicality and usefulness of understanding beyond the primary tier should be evaluated, and only the information on direct contractors should initially be captured.	サプライチェーン内のどこかに存在する脆弱性は、直接のサプライヤーであろうと、その下請け先であろうと、組織に影響を与える可能性がある。大規模な組織では、一次サプライヤーを超えて情報を把握することの実用性と有用性を評価し、最初は直接の請負業者に関する情報のみを取得する必要がある。
How far down the supply chain do you need to go? What exactly has been subcontracted, and what is its criticality (taking into consideration the organisation’s risk criteria) ? These questions require some upfront consideration of the need to obtain information vs the cost of acquiring it. You should:	サプライチェーンのどこまでを把握する必要があるか？具体的に何が下請けされているのか、その重要度(組織のリスク基準を考慮)は? これらの質問に対しては、情報取得の必要性と取得コストについて、前もって検討する必要がある。次のことを行う必要がある。
・determine the criticality of the technology, systems and services you use	・使用する技術、システム、サービスの重要性を判断する。
・consider how much effort you are prepared to put into establishing the whole supply chain	・サプライチェーン全体を確立するためにどれだけの労力を費やす用意があるか検討する
・build into the contract terms with your primary suppliers to provide visibility cascading down their supply chains	・一次サプライヤとの契約条件に、サプライヤのサプライチェーンに連鎖して可視性を提供することを盛り込む。
・reassure suppliers how this information is to be used and who will have access to it, as suppliers may be cautious about sharing commercially sensitive information	・サプライヤーは商業的な機密情報の共有に慎重である可能性があるため、この情報の使用方法とアクセス権者をサプライヤーに再確認する。
・use this shared information to understand key shared suppliers that your immediate tier one suppliers are using, highlighting a concentration risk	・この共有情報を利用して、直近のTier1サプライヤーが利用している主要な共有サプライヤーを把握し、集中リスクを浮き彫りにする。
・ensure you consider data supply chains as well (that is, your products may use data from third parties, or even rely upon data from others)	・データのサプライチェーンも考慮する（つまり、貴社の製品が第三者のデータを使用したり、他者のデータに依存したりする可能性がある）。
Contract terms for suppliers and subcontractors	サプライヤーと下請け業者に対する契約条件
The following terms should be considered for contracts with suppliers and subcontractors:	サプライヤーや下請け業者との契約には、次のような条件を考慮する必要がある。
・incident management response and notification time frames for responding to a breach (along with provision of support to the organisation to find the root cause)	・侵害に対応するためのインシデント管理対応と通知の時間枠（根本原因を見つけるための組織へのサポートの提供とともに）。
・ability to audit suppliers/subcontractors (and expected frequency of audits)	・サプライヤーや下請け業者を監査する能力（及び想定される監査の頻度）
・data management (only necessary data may be transferred out of the organisational network)	・データ管理（必要なデータのみを組織のネットワークから転送することができる。）
・data integrity (is data protected via authentication and encryption, will data be segregated if held on a supplier platform?)	・データの完全性（データは本人認証と暗号化で保護されているか、供給業者のプラットフォームで保持する場合、データは分離されているか）。
・management controls for suppliers' access to physical sites, information systems and intellectual property (including the process for ensuring this is kept up to date)	・サプライヤーによる物理的なサイト、情報システム、知的財産へのアクセスに関する管理統制（これが最新に保たれていることを保証するプロセスを含む）。
・any requirements that your direct suppliers should be demanding from their supply chain (as described above)	・直接のサプライヤーがサプライチェーンに求めるべき要件（上記のとおり）
Getting started	はじめよう
Your approach will depend upon your organisation's procurement and risk management processes, and the tooling that you have available to you. The following is a top-level set of priorities for organisations approaching SCM for the first time.	あなたのアプローチは、あなたの組織の調達とリスクマネジメントのプロセス、および利用可能なツールに依存することになる。以下は、初めてSCMに取り組む組織のための、トップレベルの優先事項である。
1. Use existing stores, such as procurement systems, to build a list of known suppliers. Prioritise suppliers, systems, products and services that are critical to your organisation.	1. 調達システムなどの既存ストアを利用して、既知のサプライヤのリストを作成する。組織にとって重要なサプライヤー、システム、製品、サービスの優先順位を決める。
2. Decide what information would be useful to capture about your supply chain.	2. サプライチェーンについて、どのような情報を収集するのが有益かを決定する。
3. Understand how you will store the information securely and manage access to it.	3. 情報をどのように安全に保管し、アクセスを管理するかを理解する。
4. Establish whether you want to collect information about your suppliers' subcontractors, how far down the chain is useful to go.	4. サプライヤーの下請け業者に関する情報を収集するかどうか、サプライチェーンのどこまで調べるのが有益かを決定する。
・Consider using additional services which evaluate your suppliers and provide supplementary information about their cyber risk profile.	・サプライヤーを評価し、そのサイバーリスクプロファイルに関する補足情報を提供する追加サービスの利用を検討する。
・For new suppliers, state upfront within your procurement process what you expect your suppliers to provide.	・新規のサプライヤーに対しては、調達プロセスにおいて、サプライヤーが何を提供することを期待しているかを前もって表明しておく。
・For existing suppliers, inform them what information you want to capture about them and why, and retrofit information collected from existing suppliers into a centralised repository.	・既存のサプライヤーに対しては、どのような情報を取得したいのか、またその理由を通知し、既存のサプライヤーから収集した情報を一元管理されたレポジトリに導入する。
5. Update standard contract clauses to ensure the information required is provided as standard when initiating working with a supplier.	5. 標準的な契約条項を更新し、サプライヤーとの作業を開始する際に、必要な情報が標準的に提供されるようにする。
6. Define who is best placed in your organisation to use this information; this might include procurement, business owners, cyber security and operational security teams. Make them aware of the information store and provide access.	6. 組織内でこの情報を使用するのに最適な人物を定義する。これには、調達、ビジネスオーナー、サイバーセキュリティ、運用セキュリティの各チームが含まれる場合がある。このような人たちに、情報保管庫の存在を知らせ、アクセスできるようにする。
7. Consider creating a playbook to deal with situations where an incident occurs and you may need to co-ordinate effort across both the extended supply chain, and third parties such as law enforcement, regulators and even customers. A useful Supply Chain scenario can be found in the NCSC Exercise in a box service.	7. インシデントが発生し、サプライチェーン全体と、法執行機関、規制当局、さらには顧客などの第三者との間で協調して作業を行う必要がある場合に対処するためのプレイブックを作成することを検討する。サプライチェーンのシナリオは、NCSCのExercise in a boxサービスで見ることができる。
8. Finally, document the steps that will need to change within your procurement process as a result of supply chain mapping. For example, you may need to consider excluding suppliers who cannot satisfactorily demonstrate that they meet your minimum cyber security needs.	8. 最後に、サプライチェーン・マッピングの結果、調達プロセスで変更する必要があるステップを文書化します。例えば、最低限のサイバーセキュリティのニーズを満たしていることを十分に証明できないサプライヤーを排除することを検討する必要があるかもしれない。

参考（サプライチェーンに関するトピックスが全て表示されます。。。）

・Supply chain

ここでも紹介されている、「How to assess and gain confidence in your supply chain cyber security
（サプライチェーンのサイバーセキュリティを評価し、信頼を得る方法）」について...

● まるちゃんの情報セキュリティ気まぐれ日記

・2022.10.18 英国 NCSC ガイダンスサプライチェーンのサイバーセキュリティを評価し、信頼を得る方法 (2022.10.12)

2023.02.21 00:00 in 情報セキュリティ / サイバーセキュリティ, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続 | Permalink | Comments (0)
Tweet

2023.02.20

経済産業省クレジットカード決済システムのセキュリティ対策強化検討会報告書 (2023.02.02)

こんにちは、丸山満彦です。

クレジットカード決済システムのセキュリティ対策強化検討会報告書が公表されていました。。。紹介したつもりが、忘れていました...(^^;;

3週間程前の話になります。。。

● 経済産業省

・2023.02.02 「クレジットカード決済システムのセキュリティ対策強化検討会」の報告書を取りまとめました

内容ですが...

（１）クレジットカード番号等を安全に管理する（漏えい防止）、

（２）クレジットカード番号等を不正に利用させない（不正利用防止）、

（３）クレジットの安全・安心な利用に関する周知・犯罪の抑止

の3本柱に沿って、本検討会での議論を踏まえ、クレジットカード決済システムのセキュリティ対策強化に向けた具体的な取組と今後の課題について取りまとめたものです。

と言うことです。。。

報告書

・2023.02.02 [PDF] クレジットカード決済システムの更なるセキュリティ対策強化に向けた主な取組のポイント

こちらが報告書本体

・2023.02.02 [PDF] クレジットカード決済システムのセキュリティ対策強化検討会報告書

目次...

はじめに

第１章クレジットカード決済システムをめぐる環境
１．クレジットカード決済システムをとりまく環境
（イ）クレジットカード決済システムをとりまく環境
（ロ）非対面取引におけるクレジットカード決済の取引の仕組み
２．クレジットカード決済のセキュリティ対策の経緯
３．クレジットカードの不正利用の現況

第２章基本的考え

第３章３つの方向性について

第１節の１．クレジットカード番号等の適切管理の強化
１．加盟店での漏えい対策の強化
（イ）EC 加盟店側での対応
（ロ）アクワイアラー側の対応
２．決済代行業者等関連事業者における漏えい対策の強化
（イ）PSP
（ロ）EC 決済システム提供者
３．クレジットカード番号等取扱業者（共通）での漏えい対策の強化
４．業界全体での体制強化

第１節の２．インシデント対応・漏えい防止に係る利用者保護
１．漏えい時の利用者への連絡・公表の早期化
２．利用者保護を図るための国の監督の整備

第２節．クレジットカード番号等の不正利用防止
１．非対面取引での利用者本人の適切な確認
２．不正利用情報の共有化と活用

第３節．クレジットの安全・安心な利用に関する周知・犯罪の抑止
１．フィッシング対策
２．警察等との連携による犯罪抑止
３．利用者への周知

おわりに

構成員名簿
検討経過

参考...

・クレジットカード決済システムのセキュリティ対策強化検討会

・・2023.01.20 報告書

・・2023.01.20 第6回

・・2022.12.23 第5回

・・2022.11.15 第4回

・・2022.10.11 第3回

・・2022.09.13 第2回

・・2022.08.04 第1回

・2023.02.01 クレジットカード会社等に対するフィッシング対策の強化を要請しました

デジタル庁新型コロナウイルス接触確認アプリ（COCOA）の取組に関する総括報告書

こんにちは、丸山満彦です。

デジタル庁が、「新型コロナウイルス接触確認アプリ（COCOA）の取組に関する総括報告書」と、「参考資料集」（新型コロナウイルス感染症対策テックチーム、接触確認アプリに関する有識者検討会合資料、不具合に関する厚生労働省検証報告書、会計検査院処置要求、GitHub での議論の結果）を公表していますね。。。

デジタル庁では、厚生労働省と連携し、アプリの成果・結果や課題を整理し、次のパンデミック時にデジタル技術を有効に活用するため、関係者へのヒアリングや利用者アンケートを踏まえてCOCOAの取組の総括を行い以下の報告書をまとめました。

この後、海外の類似アプリについての調査報告書も公表するとのことです。。。

この総括報告書はとても参考になると思います。もちろんシステム開発者側の人にとってもですが、むしろシステム開発を発注する立場の人、そうなるであろう人が目を通しておくことが重要だなぁと思いました。

開発した成果物の成否を気にする方も多いと思いますが、成果物はまさに結果であり、その結果が失敗というのは、おそらくその過程がうまく行っていなかったということであり、全体としてみれば、プロジェクトが失敗ということになるわけですよね。。。

となると、その原因はプロジェクトの責任者であり、その責任を考える上では、プロジェクトの責任者が自問するところから始まるのだろうと思います。。。もし、プロジェクトの責任者が、誰なのかあいまいであったり、プロジェクトのミッション、目的自体が曖昧であった場合は、そのプロジェクトを起案、発注した人が考えるべき問題なのかもしれません。。。

ーーーーー

ちなみに話題となっているJAXAの次世代主力ロケット「H3」の試験1号機が、発射直前に突然打ち上げが中止になった状況について、中止なのか失敗なのか、という話ですが、そういう意味では、安全に打ち上げるという目的、ミッション全体からみるとまだ、失敗しているわけではなく、プロセスを中止し、延期しているわけです。が、その日に打ち上げるというプロセスだけを取り上げると、その日のプロセスの目的は達成されなかったので、失敗といっても良いかも知れません。読者に対して、どのようなメッセージを伝えたいかということだろうと思います。主要な新聞は中止としています。

・IT media 2023.02.17 打ち上げ中止「H3」会見で共同記者の質問に批判相次ぐ　ロケットを救った「フェールセーフ」とは

ーーーーー

● デジタル庁

・2023.02.16

・[PDF] 報告書本文

１．はじめに

２．経緯
（１）2020 年（令和２年）５月８日の実装の決定まで
（２）2020 年（令和２年）６月 19 日のリリースまで
（３）リリースに至るまでの経緯のまとめ
（４）2021 年（令和３年）２月 18 日の不具合の修正まで
（５）不具合の修正以降
ア）IT 室（デジタル庁）の関与
イ）厚生労働省の不具合検証報告書を踏まえた対応
ウ）内製化の取組
エ）オープンソースコミュニティとの連携
オ）機能停止
カ）政府の基本的対処方針における COCOA の位置づけ

３．実績
（１）ダウンロード件数と陽性登録件数
（２）COCOA の開発運用費用
（３）最終アップデート版での提供データ

４．評価
（１）関係者へのヒアリングから
（２）利用者アンケートから

５．まとめ
（１）感染症対応に新たなデジタル技術の活用を検討する際に留意すべき事項
ア）関係者間での必要な機能として目指すべきこと、その具体の仕様の合意
イ）感染症対策上の位置づけ
ウ）PDCA サイクルを意識した設計
（２）平時から準備をしておくべき事項
ア）方針変更や要望への速やかな対応が可能な開発・運用体制
イ）有事を見据えた感染症対策における平時からのデジタルツールの活用
ウ）有事にデジタルツールを開発・運用しうるケイパビリティの確保

・[PDF] 参考資料集

【新型コロナウイルス感染症対策テックチーム、接触確認アプリに関する有識者検討会合】
○テックチーム開催実績
・第１回テックチーム資料、議事概要
・第２回テックチーム資料、議事概要
・第３回テックチーム資料、議事概要
・第４回テックチーム資料、議事概要
○有識者会合開催実績
・第１回有識者会合資料、議事概要
・第２回有識者会合資料、議事概要
・第３回有識者会合資料、議事概要
○接触確認アプリ及び関連システム仕様書
○COCOA の開発運用費用について
○プライバシー及びセキュリティ上の評価及びシステム運用留意事項

【不具合に関する厚生労働省検証報告書、会計検査院処置要求】
○接触確認アプリ「COCOA」の不具合の発生経緯の調査と再発防止の検討について（2021/4/16COCOA 不具合調査再発防止策検討チーム）
○厚生労働大臣に対する改善処置要求（2021/10/27 会計検査院）
○COCOA の総括（オープンソースコミュニティとして）

2023.02.20 00:00 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 危機管理 / 事業継続, in (temp)COVID-19 | Permalink | Comments (0)
Tweet

2023.02.19

経済産業省「ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン第２版（案）」及び「付属書　ビルシステムにおけるサイバー・フィジカル・セキュリティ対策インシデントレスポンス・ガイドライン（案）」に対する意見募集

こんにちは、丸山満彦です。

経済産業省が、「ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン第２版（案）」及び「付属書　ビルシステムにおけるサイバー・フィジカル・セキュリティ対策インシデントレスポンス・ガイドライン（案）」の意見募集をしていますね。。。

次のようなことのようです...

ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン第 2 版の策定にあたって

ビルのサイバーセキュリティについては、2019 年 6 月 17 日に「ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン（以下、共通編）第 1 版」が公開、ビルシステムに対する全般的なサイバーセキュリティ対策のガイドを示すものとして活用され、ビルのサイバーセキュリティ対策も徐々に進んできている。さらに、2022 年 10 月 24 日には「ビルシステムにおけるサイバー・フィジカル・セキリティ対策ガイドライン（個別編：空調システム）第 1 版」が公開され、ビルに係る個別のサブシステムとして空調システムを対象としたサイバーセキュリティ対策向上のために活用されるに至っている。

上記の共通編第 1 版は、ビルに導入される様々なシステムに対するサイバーセキュリティ対策のうち、主に事前に検討し、準備しておくべき対策について示したものである。しかし、導入済みのシステムの制約やコストの問題など、さまざまな問題から十分に対策ができていないといった問題、想定を超える高度なサイバー攻撃の可能性、さらにスマートビル化の進展により、ビルシステムが被害を受ける可能性がより高まっている。

このような状況に対して、ビルシステムへのサイバー攻撃（インシデント）の発生時に、その損害を最小限に抑え、復旧にかかる時間とコストを削減するための取組（インシデントレスポンス）が重要となる。このため、ビルシステムに対するサイバーセキュリティ対策強化の一環として、インシデントレスポンスについて検討を行い、取りまとめを行った。

この検討の成果を新たに追加する形で、本ガイドラインの改定を行い、新たに第２版として公開することとした。また、インシデントレスポンスに係る詳細の対応を「付属書ビルシステムにおけるサイバー・フィジカル・セキュリティ対策インシデントレスポンス・ガイドライン（案）（以下、付属書）」としてまとめることとした。

今後、本ガイドライン及びその付属書が活用されることで、ビルシステムにおける事前対策からインシデント発生時の対応まで、一貫した対策が進むことを望まれる。

● e-Gov

・2023.02.15 「ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン第２版（案）」及び「付属書　ビルシステムにおけるサイバー・フィジカル・セキュリティ対策インシデントレスポンス・ガイドライン（案）」に対する意見募集について

・[PDF] ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン第２版（案）

目次...

1. はじめに
1.1. ガイドラインを策定する目的
1.1.1. ガイドラインの目的
1.1.2. サイバー・フィジカル・セキュリティ対策フレームワークとの関係
1.2. ガイドラインの適用範囲と位置づけ
1.2.1. ガイドラインの対象者
1.2.2. 対象とするビル
1.2.3. 対象とするビルシステム（ビルシステムの定義）
1.2.4. ガイドラインの位置づけ
1.3. 本ガイドラインの構成

2. ビルシステムを巡る状況の変化
2.1. ビルシステムを含む制御システム全般の特徴と脅威の増大
2.2. ビルシステムにおける攻撃事例
2.2.1. MIT（Massachusetts Institute of Technology、マサチューセッツ工科大学）の学内ビルの照明ハッキング
2.2.2. ターナー・ギルフォード・ナイト収容所の警備システムハッキング
2.2.3. ラッペーンランタでの DDos 攻撃による暖房停止
2.2.4. ホテルでの宿泊客の閉じ込め・閉め出し
2.2.5. インターネットカメラへの大量ハッキング
2.2.6. テストによるハッキング事例
2.2.7. ドイツにおける BAS 機器のロック事例
2.3. ビルシステムにおけるサイバー攻撃の影響

3. ビルシステムにおけるサイバーセキュリティ対策の考え方
3.1. 一般的なサイバーセキュリティ対策のスキーム
3.2. ビルシステムの構成の整理
3.3. ビルシステムの特徴
3.3.1. 超長期の運用
3.3.2. 複数のフェーズに分かれた長いライフサイクルを持つこと
3.3.3. マルチステークホルダであること
3.3.4. 多種多様なビルの存在
3.4. ビルシステムにおけるサイバーセキュリティ対策の整理方針
3.4.1. 場所から紐解くリスクの整理とライフサイクルを考慮した対策
3.4.2. インシデント発生時の対応
3.5. ガイドラインの想定する使い方例
3.5.1. 例１：新築の大規模オーナービルにおける使い方
3.5.2. 例２：既存の中規模テナントビルをクラウド移行する際の使い方
3.5.3. 例３：既存ビルへのリスクアセスメントと対策立案での使い方
3.5.4. 例４：機器等の障害対応の延長線上でインシデント対応する使い方

4. ビルシステムにおけるリスクと対応ポリシー
4.1. 全体管理
4.2. 機器ごとの管理策

5. ライフサイクルを考慮したセキュリティ対応策

6. インシデント発生時の対応策
6.1. インシデントレスポンスの概要

付録 A 用語集
付録 B JDCC の建物設備システムリファレンスガイドとの関係
付録 C 建物設備システムリファレンスガイドインシデント対応・セキュリティソリューション編との関係
付録 D サイバー・フィジカル・セキュリティ対策フレームワークの考え方と、サイバー・フィジカル・セキュリティ対策フレームワークの考え方を踏まえたビルシステムにおけるユースケース
付録 E 参考文献

・[PDF] 付属書（案）

目次...

1. はじめに
1.1. 付属書の目的
1.1.1. 本付属書の目的
1.1.2. ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドラインとの関係
1.2. ガイドラインの適用範囲と位置づけ
1.2.1. 想定する読者
1.2.2. 対象とするビル
1.2.3. 対象とするビルシステム
1.2.3.1. ビルシステムの定義
1.2.3.2. ビルシステムの構成
1.3. 本ガイドラインの構成

2. サイバーインシデントへの対応
2.1. サイバーインシデントへの対応の流れ
2.1.1. 準備段階
2.1.2. 識別段階
2.1.3. 封じ込め段階
2.1.4. クリーンアップと回復段階
2.1.5. フォローアップ段階

3. ビルシステムに係るセキュリティ関連サービス
3.1. ネットワーク設計サービス
3.2. 既存システムのセキュリティ診断サービス
3.3. 運用・監視サービス
3.4. 教育・研修サービス
3.5. 各種コンサルティングサービス

付録 A 用語集
付録 B 参考文献

● 経済産業省 - 産業サイバーセキュリティ研究会

・ワーキンググループ1（制度・技術・標準化） - ワーキンググループ1（ビルサブワーキンググループ）

● まるちゃんの情報セキュリティ気まぐれ日記

・2022.11.21 経済産業省「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン Ver 1.0」

・2022.10.31 経済産業省ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン（個別編：空調システム）第1版 (2022.10.24)

・2022.05.01 経済産業省「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン（案）」に対する意見募集

・2022.02.27 経済産業省意見募集「民間宇宙システムにおけるサイバーセキュリティ対策ガイドラインβ版」

2023.02.19 23:35 in 情報セキュリティ / サイバーセキュリティ, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in パブコメ, in IoT | Permalink | Comments (0)
Tweet

英国情報コミッショナー事務局 (ICO) がゲーム開発者向けに、子どもの保護に関する業界向けのガイダンスを発行

こんにちは、丸山満彦です。

英国の情報コミッショナー事務局 (Information Commissioner's Office: ICO) がゲーム開発者向けに、子どもの保護に関する業界向けのガイダンスを発行していますね。。。

日本のゲーム会社でも英国でサービスを提供する場合は、目を通しておいた方が良いかもですね。。。

● U.K. ICO

・2023.02.16 New guidance to industry issued for game developers on protecting children

New guidance to industry issued for game developers on protecting children	ゲーム開発者向けに、子どもの保護に関する業界向け新ガイダンスを発行
・The Information Commissioner’s Office sets the standard for ensuring games conform with data protection law.	・情報コミッショナー事務局が、ゲームがデータ保護法に適合していることを確認するための基準を設定。
・93% of UK children play video games.	・英国の子どもの93％がビデオゲームをプレイしている。
・Games providers should identify if their players are under 18, and the games themselves must not be detrimental to children’s well-being.	・ゲーム提供者は、プレイヤーが18歳未満であるかどうかを確認し、ゲーム自体が子どもの幸福を損なわないようにしなければならない。
The Information Commissioner’s Office (ICO) has today issued a series of recommendations to game developers to help ensure they protect children when playing their games and comply with data protection laws. The recommendations are based on our experiences and findings during a series of voluntary audits of game developers, studios and publishers within the gaming industry.	情報コミッショナー事務局（ICO）は本日、ゲーム開発者がゲームをプレイする際に子どもを保護し、データ保護法を遵守するための一連の勧告を発表した。この勧告は、ゲーム業界のゲーム開発会社、スタジオ、パブリッシャーに対する一連の自主的な監査で得られた経験や知見に基づくものである。
These recommendations will ensure that games conform with the Children’s code and should assist design and gaming communities embed data protection considerations when designing gameplay.	これらの推奨事項は、ゲームがチルドレンズ・コードに準拠することを保証し、デザインおよびゲームコミュニティがゲームプレイを設計する際にデータ保護を考慮するよう支援するものである。
The Children’s code is a code of practice for online services likely to be accessed by children, and explains how the UK’s General Data Protection Regulation (UK GDPR) applies to children using digital services.	チルドレンズ・コードは、子どもがアクセスする可能性の高いオンラインサービスに関する実践規範で、デジタルサービスを利用する子どもに対して英国の一般データ保護規則（UK GDPR）がどのように適用されるかを説明している。
The information issued today includes recommendations for games designers and providers to ;	本日発表された情報には、ゲームデザイナーやプロバイダーに対する以下のような推奨事項が含まれている。
・identify if players are under the age of 18 with a reasonable degree of certainty, and discourage false declarations of age;	・プレイヤーが18歳未満であるかどうかを合理的な程度で確認し、虚偽の年齢申告をしないようにすること。
・ensure that games are not detrimental to children’s health and well-being, by including checkpoints and age-appropriate prompts to encourage players to take breaks from extended play or help them to disengage from extended sessions without feeling pressurised to continue playing or becoming fearful of missing out;	・ゲームが子どもの健康と幸福を損なわないよう、チェックポイントや年齢に応じた声掛けを設け、プレイヤーに長時間のプレイを中断するよう促したり、プレイを続けるようプレッシャーを感じたり物足りなくなったりせずに長時間のセッションから抜け出せるよう支援すること。
・turn off behavioural profiling for marketing by default. If a child chooses to opt into receiving ads, you should implement measures to control or monitor product placement, advertising, or sponsorship arrangements including within community servers, where children can access community servers from within the game	・マーケティングのための行動プロファイリングをデフォルトでオフにする。子供が広告を受け取ることを選択した場合、子供がゲーム内からコミュニティサーバーにアクセスできる場合、コミュニティサーバー内も含めて、プロダクトプレイスメント、広告、またはスポンサーシップの取り決めを制御または監視する手段を導入する必要がある。
・discourage the use of “nudge techniques” to encourage children to make poor privacy decisions, including reviewing the marketing of social media competitions and partnerships to children and the encouraging of children to create social media accounts for fear of missing out on rewards.	・子どもたちに不適切なプライバシーに関する決定を促す「ナッジ技術」の使用を阻止すること。これには、ソーシャルメディア上のコンテストやパートナーシップの子どもたちへのマーケティングや、報酬を逃すことを恐れて子どもたちにソーシャルメディア上のアカウントを作成するよう促すことの見直しが含まれる。
Leanne Doherty, Group Manager at the Information Commissioner’s Office, says:	情報コミッショナー事務局のグループ・マネージャーであるLeanne Dohertyは、次のように述べている。
“Gaming plays a central part in so many young people’s lives, and the community and interaction around games can be a child’s first steps into the digital world. We want those first experiences to be positive ones, and the recommendations we’ve published today are there to support game developers.	「ゲームは多くの若者の生活の中心を占めており、ゲームにまつわるコミュニティや交流は、子どもにとってデジタル世界への最初の一歩となり得る。今日発表した勧告は、ゲーム開発者を支援するためのものである。
“The Children’s Code makes clear that children are not like adults online, and their data needs greater protections.	チルドレンズ・コードは、子どもはオンラインでは大人とは違うので、彼らのデータはより保護される必要があることを明確にしている。
We want children to be online, learning, playing and experiencing the world, but with the right protections in place to do so.”	私たちは、子どもたちがオンラインで、学習し、遊び、世界を体験することを望んでいるが、そのためには、適切な保護が必要である。」
93% of children in the U.K play video games, with younger children playing an average of two to three hours per day whereas older children are on average playing three or more hours.	英国では、93％の子どもがビデオゲームをプレイしており、年少の子どもは1日平均2～3時間プレイするのに対し、年長の子どもは平均3時間以上プレイしているとのことである。
The full series of recommendations can be read here:	一連の提言の全文はこちらで参照可能。
Top tips for games designers – how to comply with the Children’s code	ゲームデザイナーのためのトップヒント - チルドレンコードを遵守する方法

具体的な内容はこちらになります。。。

・Top tips for games designers – how to comply with the Children’s code

Top tips for games designers – how to comply with the Children’s code	ゲームデザイナーのためのトップヒント - チルドレンズ・コードを遵守する方法
The Children’s code is a code of practice that sets out how online services, likely to be accessed by children, should protect them in the digital world.	チルドレンズ・コードは、子どもがアクセスする可能性のあるオンラインサービスが、デジタル世界でどのように子どもを保護すべきかを定めた実践規範である。
We’ve audited game design companies to better understand how the Children’s code applies in the games sector and importantly, what steps games companies can take to make sure they apply with the code. We’ve set out our top tips to ensure your players have a good game.	私たちは、ゲームデザイン会社を監査し、ゲーム分野でチルドレンズ・コードがどのように適用されるか、また重要なことに、ゲーム会社がコードを確実に適用するためにどのような手順を踏めばよいかをよりよく理解することができた。そして、ゲーム会社が規範を確実に適用するために、どのような手順を踏めばよいかをまとめた。
Sussing out the danger – running risk assessments	危険を察知する - リスクアセスメントの実行
Having a defined process to help you identify and minimise the data protection risks within your games will help protect the rights and freedoms of children.	ゲーム内のデータ保護リスクを特定し、最小限に抑えるための明確なプロセスを持つことは、子供の権利と自由を守ることにつながる。
You should:	以下を行うこと。
・Consult with external stakeholders, including children, as part of any risk assessment. To do this, you could gather feedback from existing players, carry out a public consultation, conduct user testing or contact relevant children's rights groups for their views. You could consider completing a Children’s Rights Impact Assessment as part of this process.	・リスク評価の一環として、児童を含む外部の利害関係者と協議する。これを行うには、既存のプレイヤーからのフィードバックの収集、パブリックコンサルテーションの実施、ユーザーテストの実施、関連する児童の権利団体への意見照会などが考えられる。このプロセスの一環として、子どもの権利に関する影響評価を完了することを検討してもよいだろう。
・Assess and document the game’s appeal to children during the game design stage, and with legacy products, to help you decide the most appropriate age assurance measure to put in place. You should also consider if you need to tailor any in-game content or data processing needs for children. Just because the game isn’t aimed at children, doesn’t mean they won’t want to play it.	・ゲームデザイン段階、およびレガシー製品において、子供に対するゲームのアピール度を評価し、文書化することで、最も適切な年齢保証の手段を決定するのに役立てる。また、ゲーム内のコンテンツやデータ処理の必要性を子供向けに調整する必要があるかどうかを検討する必要がある。ゲーム内容が子供向けでないからといって、子供が遊びたがらないとは限らない。
・Regularly review assessments after a game goes live. If you discover unexpected age groups are playing the game, you should make any necessary adjustments.	・ゲーム公開後は、定期的に評価を見直す。予想外の年齢層がゲームをプレイしていることが分かったら、必要な調整を行う必要がある。
・Ensure you risk assess any randomised rewards, such as loot boxes, against the Children’s code and the UK Government’s response to their consultation on loot boxes and gambling.	・戦利品ボックスのようなランダムな報酬は、チルドレンズ・コードおよび戦利品ボックスとギャンブルに関するコンサルテーションに対する英国政府の回答に照らしてリスク評価することを徹底すること。
Further reading	参考情報
・We have a sample data protection impact assessment (DPIA) developed in partnership with Fundamentally Games for games companies to use.	・ゲーム会社が使用できるように、Fundamentally Gamesと共同で開発したデータ保護影響評価（DPIA）のサンプルを用意している。
・We have also developed a self assessment risk tool.	・また、自己評価リスクツールも開発した。
Buff your age assurance – know your players’ ages	年齢保証を洗練させる - プレイヤーの年齢を把握する
The age range of your players and the different needs of children at different ages and stages of development should be at the heart of how you design your games and apply the code.	プレイヤーの年齢層と、年齢や発達段階によって異なる子供のニーズは、ゲームを設計しコードを適用する方法の中心になるべきである。
You should:	以下を行うこと。
・Assess and document how you will identify if UK players are under 18 and work out their actual ages with an appropriate level of certainty.	・英国のプレーヤーが18歳未満であるかどうかを識別し、適切なレベルの確実性をもって実際の年齢を算出する方法を評価し、文書化する。
・Investigate potential age assurance solutions to provide greater levels of certainty, linking back to risk assessments done at the design stage. You should implement your identified age assurance solution across all games, stores or platforms as quickly as possible.	・設計段階で行われたリスク評価と関連づけながら、より高いレベルの確実性を提供するために、年齢保証のための潜在的な解決策を調査する。特定した年齢保証ソリューションを、できるだけ早くすべてのゲーム、店舗、またはプラットフォームで実施する必要がある。
・Implement measures to discourage or prevent players from giving false declarations of age. You could introduce a cooldown mechanism that prevents players from returning to a previous page to provide a different date of birth within a fixed time-period. Alternatively, you could explore access to a data-free core element of your game until parental consent is confirmed or age assurance measures are put in place.	・プレイヤーが年齢を偽って申告することを阻止する手段を導入する。一定期間内に前のページに戻って別の生年月日を入力できないようにするクールダウンメカニズムを導入することができる。あるいは、保護者の同意が確認されるか、年齢保証の措置が講じられるまで、データのないゲームのコア要素にアクセスすることを検討することもできる。
Further reading	参考情報
・The Commissioner’s Opinion on Age Assurance for the Children’s Code looks at how age assurance can form part of an appropriate and proportionate approach to reducing or eliminating risks to children online and conforming to the code.	・児童規約の年齢保証に関するコミッショナーの意見は、オンライン上の子供へのリスクを低減または排除し、規約に適合させるために、年齢保証がどのように適切かつ比例するアプローチの一部を形成することができるかを考察している。
・Children have different needs at each stage of the development and we have produced guidance about age and developmental stages and compliance with the Code	・子どもたちは発達段階ごとに異なるニーズを持っており、年齢や発達段階と規範の遵守に関するガイダンスを作成した。
Open-world gameplay – being transparent	オープンワールドのゲームプレイ - 透明であること
Bad privacy information design obscures risks, unravels good player experiences, and sows mistrust between children, parents and games providers.	不適切なプライバシー情報のデザインは、リスクを曖昧にし、良いプレイヤー体験を崩し、子ども、親、ゲームプロバイダーの間に不信感を植え付ける。
You could:	以下の方法がある。
・Run user research to trial child friendly privacy information with different age groups.	・ユーザー調査を実施し、さまざまな年齢層で子どもにやさしいプライバシー情報を試行する。
・Display transparency information based on ability rather than age. For example, transparency information at beginner, intermediate, and expert levels.	・年齢ではなく、能力に基づいて透明性情報を表示する。例えば、初級、中級、上級の各レベルで透明性のある情報を表示する。
・Design different ways to communicate privacy information which may be more effective for children of different ages. For example, you could use age-appropriate videos and graphics in 'bite sized' chunks, using mission-style storylines or deploying in-game pop-ups or messages.	・異なる年齢の子どもたちにより効果的なプライバシー情報の伝達方法を設計する。例えば、年齢に応じたビデオやグラフィックを「一口サイズ」の塊として使用したり、ミッション形式のストーリーを使用したり、ゲーム内のポップアップやメッセージを展開したりすることができる。
Further reading	参考情報
・You should also use our guidance on designing data transparency for children.	・子供のためのデータの透明性を設計するためのガイダンスも参照すること。
Preventing a critical hit – preventing the detrimental use of children’s data	致命的なヒットの防止 - 子供のデータの有害な使用の防止
It is important to only process children’s personal data in ways that is not detrimental to their health or wellbeing.	子供の健康や福祉に有害でない方法で、子供の個人データを処理することが重要である。
You should:	以下を行うこと。
・Ensure that all optional uses of personal data are off by default and only activated after valid consent is obtained from the player (or for children under 13-years-old, their parent or guardian). Optional uses of personal data include tailored product recommendations or offers designed to promote or market other services.	・個人データの任意の使用は、デフォルトではすべてオフになっており、プレイヤー（または13歳未満の子供については、その親または保護者）から有効な同意を得た後でのみ有効になるようにする。個人データの任意使用には、カスタマイズされた製品の推奨や、他のサービスの宣伝やマーケティングを目的としたオファーが含まる。
・Introduce checkpoints, automatic periodic saving of progress, or natural breaks in play between game matches into game design. Include age-appropriate prompts to encourage players to take breaks from extended play or help them to disengage from extended sessions without feeling pressurised to continue playing or becoming fearful of missing out.	・ゲームデザインに、チェックポイント、進捗状況の定期的な自動保存、またはゲーム対戦の間の自然な休憩を導入する。長時間のプレイを中断するよう促す、またはプレイを続けるようプレッシャーを感じたり、物足りなさを感じたりすることなく長時間のセッションから離れることができるよう、年齢に応じたプロンプトを表示する。
・Implement measures to control or monitor product placement, advertising, or sponsorship arrangements within community servers, where children can access community servers from within the game.	・子供がゲーム内からコミュニティサーバーにアクセスできる場合、コミュニティサーバー内のプロダクト・プレースメント、広告、スポンサーシップの取り決めを管理または監視するための手段を導入する。
Further reading	参考情報
・We have published broader guidance to explain how online services can spot any detrimental use of children’s data and provide advice on what to do.	・オンラインサービスが、子どものデータの有害な利用をどのように発見し、何をすべきかをアドバイスするための、より広範なガイダンスを発行している。
・The Children’s code additional resources page has guidance to help you assess the best interests of children.	・児童規約の追加資料のページには、児童の最善の利益を評価するのに役立つガイダンスがある。
Stealth mode – setting high privacy settings and parental controls	ステルスモード - 高いプライバシー設定とペアレンタルコントロールの設定
Designing your games to promote meaningful parent or guardian-child interactions, while setting a high level of privacy by default and providing a range of appropriate parental controls is key.	親または保護者と子供の有意義な交流を促進するようにゲームを設計する一方で、デフォルトで高いレベルのプライバシーを設定し、適切なペアレンタルコントロールの範囲を提供することが重要である。
You could:	以下の方法がある。
・Provide parents with ‘real time alerts’ about their child’s activity, where it is in the child’s best interests. This might include notifications if their child tries to change a privacy setting, access ‘riskier’ in-game features or is exposed to inappropriate content. If parents opt-in to receive real-time alerts, you should give children age-appropriate information about this.	・子どもの最善の利益のために、子どもの行動に関する「リアルタイムのアラート」を保護者に提供する。これには、子どもがプライバシー設定を変更しようとしたり、「より危険な」ゲーム内機能にアクセスしたり、不適切なコンテンツに触れたりした場合の通知などが含まれる可能性がある。保護者がリアルタイムの警告を受け取ることを選択した場合、これに関する年齢相応の情報を子供に提供する必要がある。
・Ensure you give players age-appropriate explanations and prompts at the point they try to change any privacy settings. The prompts should be specific to each individual privacy setting and inform players of the risks and impact of lowering that specific setting before any change. Consider theming or gamifying these prompts to fit the game being played to heighten engagement by child users.	・プレイヤーがプライバシー設定を変更しようとする際には、年齢に応じた説明とプロンプトを与えるようにしてください。プロンプトは、個々のプライバシー設定に固有のもので、変更前に、その設定を下げることのリスクと影響について知らせる必要がある。これらのプロンプトを、プレイしているゲームに合わせてテーマ化またはゲーム化することで、子どもの利用者の関心を高めることを検討する。
・Assess if it is possible to introduce variable settings that allow children to control what personal data is visible to other players. For example, you could allow players to hide their account name, so that other players cannot search for them.	・他のプレイヤーから見える個人情報を子供がコントロールできるような可変的な設定を導入することが可能かどうかを評価する。例えば、アカウント名を隠して、他のプレイヤーから検索されないようにすることができる。
・Have voice chat functionality off by default for children, allow players to turn on a ‘do not disturb’ setting permanently as well as in the current session and change the default ‘receiving friend requests’ setting to ‘no-one.’ Introduce a setting to allow only other children to communicate as an option, and consider options for age assurance for the chat function to identify adults trying to pose as children.	・ボイスチャットをデフォルトでオフにし、「邪魔しない」設定を現在のセッションだけでなく常時オンにできるようにし、「フレンドリクエストを受け取る」設定をデフォルトで「誰も受け取らない」に変更する。オプションとして、他の子供たちだけに通信を許可する設定を導入し、子供を装う大人を識別するために、チャット機能の年齢保証のオプションを検討する。
Further reading	参考情報
・We have produced design guidance, which includes gaming worked examples of the data privacy moments and age-appropriate mindsets.	・私たちは、データ・プライバシーの瞬間や年齢に応じた考え方について、ゲームでの実践例を含むデザイン・ガイダンスを作成した。
Scouting – profiling responsibly	スカウティング - 責任あるプロファイリング
You must offer children control over both whether you use their personal data and how you use it. This is especially important where profiling is not essential to play the game.	個人情報を使用するかどうか、またどのように使用するかについて、子どもたちがコントロールできるようにする必要がある。これは、プロファイリングがゲームのプレイに不可欠でない場合に特に重要である。
You should:	以下を行うこと。
・Check that any third-party advertising provider is displaying age-appropriate content to children in-game.	・第三者の広告プロバイダーが、ゲーム内で児童に年齢に応じたコンテンツを表示していることを確認する。
・Provide age-appropriate information in-game at the point that profiling takes place. You should encourage children to seek a trusted adult and to only activate profiling if they understand how profiling uses their personal data.	・プロファイリングが行われる時点で、年齢相応の情報をゲーム内で提供する。プロファイリングがどのように個人データを使用するかを理解した場合にのみ、信頼できる大人を探し、プロファイリングを有効にするよう子供に奨励する必要がある。
・Separate the opt-in consent for marketing from the acceptance of Terms of Service and the Privacy Policy when players create a new account. There is a risk that players may think that marketing is part of the contract and that they must accept it to continue, which could infringe the transparency principle.	・プレイヤーが新しいアカウントを作成する際に、マーケティングに対するオプトインの同意と、利用規約およびプライバシーポリシーの承諾を分離する。プレイヤーがマーケティングは契約の一部であり、それを受け入れなければ継続できないと考える可能性があり、透明性の原則を侵害するおそれがある。
・Make sure profiling for marketing purposes is off by default for children, or consider restricting marketing to contextual advertising that doesn't process children's data.	・マーケティング目的のプロファイリングは、子供の場合、デフォルトでオフにするか、子供のデータを処理しない文脈的広告に限定することを検討すること。
Further reading	参考情報
The Children’s code sets out what is meant by profiling and why it is important in the context of children’s data.	児童規約では、プロファイリングの意味と、児童データとの関連でそれが重要である理由を説明している。
Pushing FOMO – implementing positive nudge techniques	見逃しの恐怖 (fear of missing out: FOMO) の押し売り - ポジティブ（適切）なナッジテクニック（誘導技術）の実装
It is crucial that games do not use nudge techniques to lead children to make poor privacy decisions.	ゲームでは、ナッジ技術を使用して、子供がプライバシーに関して不適切な決定をするよう誘導しないことが重要である。
You should:	以下を行うこと。
・Assess and document the risks of introducing time-limited or one time only offers on items targeted at children.	・子供をターゲットにしたアイテムに時間限定または1回限りのオファーを導入するリスクを評価し、文書化する。
・Implement positive nudge techniques to promote the best interests of children. For example, you could encourage children towards high privacy options, sensible purchasing of in-game items, use of parental controls, and pro-wellbeing behaviours such as taking breaks.	・子供の最善の利益を促進するために、適切な誘導技術を導入する。例えば、高いプライバシー・オプション、ゲーム内アイテムの賢明な購入、ペアレンタル・コントロールの使用、休憩を取るなどの健康増進行動を子供に奨励することができる。
・Review how you communicate social media competitions and partnerships to children and be mindful of encouraging children to create social media accounts for fear of missing out on rewards when running competitions and other activities on social media platforms that have a minimum age restriction.	・ソーシャルメディア上のコンテストやパートナーシップを子どもに伝える方法を見直し、最低年齢制限のあるソーシャルメディアプラットフォームでコンテストやその他の活動を行う場合、報酬を逃すことを恐れて子どもにソーシャルメディアのアカウントを作成するよう促すことに留意する。
・Monitor player behaviour and click-throughs to identify any unintentional nudge points. For example, where players are nudged towards reducing privacy settings despite not having specifically intended this.	・プレイヤーの行動とクリックスルーを監視して、意図しないナッジポイントを特定する。たとえば、特に意図していないにもかかわらず、プライバシー設定を下げる方向に誘導される場合などである。
・You should use neutral purchase button design and support workflows to allow a decision not to proceed with a purchase. You could allow refund of a purchase in a reasonable time frame.	・中立的な購入ボタンのデザインとワークフローを使用して、購入を続けないことを決定できるようにする必要がある。購入した商品の払い戻しを合理的な時間枠で行えるようにする。
Interested in the next level?	次のレベルに興味があるか？
If you’re interested in working with us, you can volunteer for an audit. You’ll benefit from the data protection knowledge and experience of our audit team, at no expense to your company. It’s an opportunity to discuss relevant data protection issues with the members of the ICO team and get an independent assessment of your conformance with the Code.	私たちと一緒に仕事をすることに興味があれば、ボランティアで監査に参加することができる。貴社に負担をかけることなく、当局の監査チームのデータ保護に関する知識と経験を活用することができる。監査は、データ保護に関する問題をICOチームのメンバーと議論し、規範への適合性について独立した評価を受ける機会である。
But don’t just take our word for it, here’s some feedback from the games companies we’ve worked with so far:	しかし、私たちの言葉を鵜呑みにするのではなく、これまでに私たちが仕事をしたゲーム会社からのフィードバックをいくつか紹介する。
“The overall experience was smooth, open and collaborative – which was a positive surprise and quite novel approach to interact with the regulator. It was greatly appreciated.”	「これはポジティブな驚きであり、規制当局と対話するための非常に斬新なアプローチだった。非常に感謝している。
“We found the overall audit process very constructive. It was helpful to have the different questions linked to each principle of the code. We appreciated having in advance the "proposed engagement work plan. We also appreciated your interest in other subjects we had to present.”	監査プロセス全体が非常に建設的であると感じた。規範の各原則に関連するさまざまな質問が用意されていたのは助かった。また、「業務計画案」を事前に入手できたこともありがたかった。また、私たちが発表しなければならない他のテーマにも関心を持っていただき、感謝している。
“Based on the feedback and recommendations, we are reviewing existing features and building a plan to remediate risk and further document processes to put in place to do so.”	フィードバックと勧告に基づいて、既存の機能を見直し、リスクを是正するための計画を構築し、さらにそのために設置するプロセスを文書化している。」

こちらが、今回のガイダンスのベースにありますね。。。

年齢に応じたデザイン：オンラインサービスのための実践規範の規範。。。

・Age appropriate design: a code of practice for online services - Code standards

The standards are:	基準
Best interests of the child: The best interests of the child should be a primary consideration when you design and develop online services likely to be accessed by a child.	児童の最善の利益：子どもがアクセスする可能性のあるオンラインサービスを設計・開発する際には、子どもの最善の利益を第一に考慮しなければならない。
Data protection impact assessments: Undertake a DPIA to assess and mitigate risks to the rights and freedoms of children who are likely to access your service, which arise from your data processing. Take into account differing ages, capacities and development needs and ensure that your DPIA builds in compliance with this code.	データ保護影響評価：データ処理から生じる、サービスにアクセスする可能性のある児童の権利と自由に対するリスクを評価し、軽減するために DPIA を実施する。年齢、能力、発達のニーズの違いを考慮し、DPIAがこの規範に準拠して構築されていることを確認する。
Age appropriate application: Take a risk-based approach to recognising the age of individual users and ensure you effectively apply the standards in this code to child users. Either establish age with a level of certainty that is appropriate to the risks to the rights and freedoms of children that arise from your data processing, or apply the standards in this code to all your users instead.	年齢に応じた適用：個々の利用者の年齢を認識し、この規範の基準を子供の利用者に効果的に適用するために、リスクベースのアプローチを取る。データ処理から生じる子どもの権利と自由に対するリスクに見合った確実なレベルで年齢を設定するか、または代わりにこの規範の基準をすべてのユーザーに適用する。
Transparency: The privacy information you provide to users, and other published terms, policies and community standards, must be concise, prominent and in clear language suited to the age of the child. Provide additional specific ‘bite-sized’ explanations about how you use personal data at the point that use is activated.	透明性：ユーザーに提供するプライバシー情報、およびその他の公開された条件、方針、コミュニティ標準は、簡潔で目立つものでなければならず、子どもの年齢に適した明確な言語で書かれていなければなりません。また、個人情報の利用が開始された時点で、その利用方法について具体的な「一口サイズ」の説明を追加で提供する。
Detrimental use of data: Do not use children’s personal data in ways that have been shown to be detrimental to their wellbeing, or that go against industry codes of practice, other regulatory provisions or Government advice.	有害なデータの使用：子供の幸福に有害であることが示されている方法、または業界規範、その他の規制条項、政府の助言に反する方法で、子供の個人データを使用してはならない。
Policies and community standards: Uphold your own published terms, policies and community standards (including but not limited to privacy policies, age restriction, behaviour rules and content policies).	ポリシーとコミュニティ基準：公開されている規約、ポリシー、コミュニティ基準（プライバシーポリシー、年齢制限、行動規則、コンテンツポリシーを含むがこれに限定されない）を遵守すること。
Default settings: Settings must be ‘high privacy’ by default (unless you can demonstrate a compelling reason for a different default setting, taking account of the best interests of the child).	デフォルト設定：デフォルトで「高プライバシー」でなければならない（ただし、児童の最善の利益を考慮し、別のデフォルト設定にするやむを得ない理由を証明できる場合を除く）。
Data minimisation: Collect and retain only the minimum amount of personal data you need to provide the elements of your service in which a child is actively and knowingly engaged. Give children separate choices over which elements they wish to activate.	データの最小化：児童が積極的かつ意図的に関与するサービスの要素を提供するために必要な最小限の個人データのみを収集し、保持する。どの要素を有効にするかについて、子どもに個別の選択肢を与える。
Data sharing: Do not disclose children’s data unless you can demonstrate a compelling reason to do so, taking account of the best interests of the child.	データの共有：子どもの最善の利益を考慮し、やむを得ない理由がある場合を除き、子どものデータを開示しない。
Geolocation: Switch geolocation options off by default (unless you can demonstrate a compelling reason for geolocation to be switched on by default, taking account of the best interests of the child). Provide an obvious sign for children when location tracking is active. Options which make a child’s location visible to others must default back to ‘off’ at the end of each session.	ジオロケーション：ジオロケーションのオプションをデフォルトでオフにする（ただし、子どもの最善の利益を考慮し、ジオロケーションをデフォルトでオンにするやむを得ない理由を実証できる場合はこの限りではない）。位置情報の追跡が有効であることを、児童に分かりやすく示す。子供の位置情報を他者に公開するオプションは、各セッションの終了時にデフォルトで「オフ」に戻すこと。
Parental controls: If you provide parental controls, give the child age appropriate information about this. If your online service allows a parent or carer to monitor their child’s online activity or track their location, provide an obvious sign to the child when they are being monitored.	ペアレンタルコントロール：ペアレンタル・コントロール（保護者による制限）を提供している場合は、そのことについて、子どもの年齢に応じた情報を提供する。オンラインサービスにおいて、親や介護者が子どものオンライン活動を監視したり、位置情報を追跡したりできるようにする場合は、監視されていることを子どもにわかりやすく示す。
Profiling: Switch options which use profiling ‘off’ by default (unless you can demonstrate a compelling reason for profiling to be on by default, taking account of the best interests of the child). Only allow profiling if you have appropriate measures in place to protect the child from any harmful effects (in particular, being fed content that is detrimental to their health or wellbeing).	プロファイリング：プロファイリングを使用するオプションは、デフォルトでオフにする（ただし、子どもの最善の利益を考慮し、プロファイリングをデフォルトでオンにするやむを得ない理由があることを証明できる場合はこの限りではない）。プロファイリングを許可するのは、有害な影響（特に、健康や福祉に有害なコンテンツの配信）から子どもを保護するための適切な手段がある場合のみとする。
Nudge techniques: Do not use nudge techniques to lead or encourage children to provide unnecessary personal data or weaken or turn off their privacy protections.	ナッジテクニック（誘導技術）：不必要な個人情報を提供したり、プライバシー保護を弱めたりオフにしたりするよう、ナッジテクニックを使って子どもを誘導したり奨励したりしないこと。
Connected toys and devices: If you provide a connected toy or device ensure you include effective tools to enable conformance to this code.	コネクテッド玩具およびデバイス：コネクテッド玩具やデバイスを提供する場合、このコードに準拠できるような効果的なツールを含むことを確認する。
Online tools: Provide prominent and accessible tools to help children exercise their data protection rights and report concerns.	オンラインツール：子どもがデータ保護の権利を行使し、懸念を報告できるよう、わかりやすくアクセスしやすいツールを提供する。

附属書B：年齢と発達段階も参考になりますよね。。。

・Age appropriate design: a code of practice for online services - Annex B: Age and developmental stages

0-5: Pre-literate & early literacy	0-5歳：プレリテラシー＆アーリーリテラシー
There is relatively little evidence on the understanding of the digital environment of children in this age range, particularly for 0-3 years old. However anecdotal evidence suggests that significant numbers of children are online from the earliest of ages and that any understanding and awareness of online risks that have children within this age range is very limited.	この年齢層、特に0～3歳の子どもたちのデジタル環境に対する理解については、比較的少ないエビデンスしかない。しかし、多くの子どもたちが早い時期からインターネットを利用しており、この年齢層の子どもたちのオンラインリスクに対する理解や認識は非常に限定的であることが、事例として示されている。
At age 3-5 children start to develop the ability to ‘put themselves in others shoes’, but are easily fooled by appearances. They are developing friendships, although peer pressure is relatively low and parental or family guidance or influence is key. They are learning to follow clear and simple rules but are unlikely to have the cognitive ability to understand or follow more nuanced rules or instructions, or to make anything but the simplest of decisions. They have limited capacity for self-control or ability to manage their own time online. They are pre-dominantly engaged in adult-guided activities, playing within ‘walled’ environments, or watching video streams.	3～5歳の子どもたちは、「相手の立場に立って考える」能力を身につけ始めるが、外見に惑わされやすい。友人関係も構築されつつあるが、同調圧力は比較的低く、親や家族の指導や影響が重要である。明確で単純なルールに従うことを学んでいるが、より微妙なルールや指示を理解したり従ったり、あるいは最も単純な判断以外を下したりする認知能力を持つことはないだろう。自制心やオンライン上で自分の時間を管理する能力が限られている。この年齢層の子どもたちは、主に、大人主導の活動、「壁に囲まれた」環境での遊び、ビデオストリームの視聴に従事している。
Children in this age range are less likely than older children to have their own device, although significant numbers do, and often play on their parents’ devices which may or may not be set up with child specific profiles. They may use connected toys (such as talking teddies or dolls) and may also mimic parents’ use of voice activated devices such as ’home hubs’.	この年齢層の子どもたちは、年長の子どもたちよりも自分のデバイスを持つことが少なく、親のデバイスで遊ぶことが多い。また、接続された玩具（話すぬいぐるみや人形など）を使ったり、「ホームハブ」のような音声起動デバイスを親が使うのを真似たりすることもある。
Children within this age range are pre-literate or in the earliest stages of literacy, so text based information is of very limited use in communicating with them.	この年齢層の子どもたちは、識字能力がない、または初期段階にあるため、テキストベースの情報は彼らとのコミュニケーションに非常に限定的である。
UK children in this age range cannot provide their own consent to the processing of their personal data in the context of an online service offered directly to a child (by virtue of Article 8(1) of the GDPR and s9 of the DPA 2018). So if you wish to rely on consent as your lawful basis for processing their personal data you need parental consent.	この年齢範囲の英国の子どもは、子どもに直接提供されるオンラインサービスの文脈で、個人データの処理に自ら同意することはできない（GDPRの第8条1項とDPA2018の第9条により）。そのため、彼らの個人データを処理するための合法的根拠として同意に依拠したい場合、親の同意が必要である。
6-9: Core primary school years	6-9歳: 小学校の中心的な年代
Children in this age range are more likely than younger children to have their own device (such as a tablet), although use of parents’ devices is still common. They are increasingly using devices independently, with or without the benefit of child specific profiles. Connected toys arepopular and they may engage enthusiastically with voice activated devices such as home hubs.	この年齢層の子どもたちは、親のデバイスを使用することはまだ一般的であるが、若い子どもたちよりも自分のデバイス（タブレットなど）を持っている可能性が高い。この年齢層の子どもたちは、子ども専用のプロファイルの有無にかかわらず、デバイスを単独で使用するようになってきている。コネクテッド玩具が人気で、ホームハブのような音声起動デバイスに熱中することもある。
Children in this age range often prefer online gaming and creative based activities, and video streaming services remain popular. Children may be experimenting with social media use, either through social aspects of online games, through their parents’ social media accounts or by setting up their own social media accounts. They may relate to and be influenced by online vloggers, particularly those within a similar age range.	この年齢層の子どもたちは、オンラインゲームやクリエイティブな活動を好むことが多く、ビデオストリーミングサービスも依然として人気がある。オンラインゲームのソーシャルな側面や、親のソーシャルメディアアカウントを通じて、あるいは自分でソーシャルメディアアカウントを開設して、ソーシャルメディアの利用を試みているかもしれない。特に同じような年齢層のオンライン・ブロガーに共感し、影響を受けるかもしれない。
They are likely to be absorbing messages from school about online safety and the digital environment, and be developing a basic understanding of privacy concepts and some of the more obvious online risks. They are unlikely however to have a clear understanding of the many ways in which their personal data may be used or of any less direct or obvious risks that their online behaviour may expose them to.	ネットの安全やデジタル環境に関する学校からのメッセージを吸収し、プライバシーの概念やより明白なネット上のリスクについての基本的な理解を深めている可能性がある。しかし、自分の個人情報がどのように利用されるのか、また、自分のネット上での行動がどのようなリスクにさらされるのか、それほど直接的でなくとも明白なリスクについて、明確に理解しているとは思えない。
The need to fit in with their peer group becomes more important so they may be more susceptible to peer pressure. However home and family still tends to be the strongest influencer. They still tend to comply with clear messages or rules from home and school, but if risks aren’t explained clearly then they may fill the gap with their own explanations or come up with protective strategies that aren’t as effective as they think they are.	仲間に溶け込むことがより重要になり、仲間からのプレッシャーに弱くなる可能性がある。しかし、家庭や家族が最も強い影響力を持つことに変わりはない。家庭や学校からの明確なメッセージやルールには従いるが、リスクについて明確に説明されないと、そのギャップを自分なりの説明で埋めたり、自分が思っているほど効果的ではない保護策を思いついたりすることがある。
Literacy levels can vary considerably and ability or willingness to engage with written materials cannot be assumed.	識字レベルにはかなりのばらつきがあり、文字資料に関わる能力や意欲を想定することはできない。
UK children in this age range cannot provide their own consent to the processing of their personal data in the context of an online service offered directly to a child (by virtue of Article 8(1) of the GDPR and s9 of the DPA 2018). So if you wish to rely on consent as your lawful basis for processing their personal data you need parental consent.	この年齢層の英国の子どもは、子どもに直接提供されるオンラインサービスの文脈で、個人データの処理に自ら同意することはできない（GDPR第8条1項およびDPA2018のs9により）。そのため、彼らの個人データを処理するための合法的根拠として同意に依拠したい場合は、親の同意が必要である。
10-12: Transition years	10-12歳：移行期
This is a key age range in which children’s online activity is likely to change significantly. The transition, or anticipated transition, from primary school to high school means that children are much more likely to have their own personal device (pre-dominantly smartphones).	この年代は、子どものオンライン活動が大きく変化する可能性が高い重要な年代である。小学校から中学校への移行、または移行が予想されるため、子どもたちは自分専用のデバイス（主にスマートフォン）を持つ可能性が非常に高くなる。
There is also likely to be a shift towards use of the online environment to explore and develop self-identity and relationships, expand and stay in contact with their peer group, and ‘fit in’ socially. This may lead to an increased use of social networking functions or services by children within this age range, an increased susceptibility to peer pressure, branding and online ‘influencers’, and an increase in risk taking behaviours. Self-esteem may fall as children compare themselves to others and strive to present an acceptable version of themselves online and the ‘fear of missing out’ may become a concern.	また、自己認識や人間関係の構築、仲間との交流の拡大や維持、社会的な「仲間入り」のために、オンライン環境を利用する傾向が強まるだろう。このため、この年代の子どもたちは、ソーシャルネットワーキング機能やサービスの利用が増え、同調圧力やブランド、オンライン上の「インフルエンサー」の影響を受けやすくなり、リスクを取る行動が増える可能性がある。子どもたちは他人と自分を比較し、オンライン上で受け入れられる自分を見せようと努力するため、自尊心が低下し、「欠落への恐れ」が懸念されるようになるかもしれない。
Online gaming and video and music streaming services are also popular. Children may feel pressurised into playing online games when their friends are playing, again for fear of missing out.	オンラインゲーム、ビデオや音楽のストリーミングサービスも人気がある。子どもたちは、友達が遊んでいるときにオンラインゲームをするようにプレッシャーを感じるかもしれない。
Attitudes towards parental rules, authority and involvement in their online activity may vary considerably, with some children relatively accepting of this and others seeking higher levels of autonomy. However parents and family still tend to be the main source of influence for children in this age range.	親のルール、権限、オンライン活動への関与に対する考え方は、比較的受け入れやすい子もいれば、より高いレベルの自律性を求める子もいて、かなり異なる。しかし、この年齢層の子どもにとって、親や家族は依然として主な影響力の源泉であることに変わりはない。
Children in this age range are moving towards more adult ways of thinking but may have limited capacity to think beyond immediate consequences, be particularly susceptible to reward based systems, and tend towards impulsive behaviours. Parental or other support therefore still tends to be needed, if not always desired. It may however need to be offered or encouraged in a less directive way than for younger children.	この年齢層の子どもは、より大人らしい考え方をするようになるが、目先の結果を超えて考える力が弱く、特に報酬に基づくシステムの影響を受けやすく、衝動的な行動に走る傾向がある。そのため、常に必要とされているわけではないが、親やその他のサポートが必要とされる傾向がある。しかし、年少の子どもたちよりも、より直接的でない方法で支援を提供したり、奨励したりすることが必要かもしれない。
Children in this age range are developing a better understanding of how the online environment operates, but are still unlikely to be aware of less obvious uses of their personal data.	この年代の子どもたちは、オンライン環境がどのように運営されているかについての理解を深めているが、個人データがあまり明白に利用されていることにはまだ気づいていないようである。
Although children in this age range are likely to have more developed literacy skills they may still prefer media such as video content instead.	この年齢層の子どもたちは、リテラシーが発達している可能性が高いが、代わりにビデオコンテンツなどのメディアを好むかもしれない。
12 is the age at which, under s208 of the DPA 2018, children in Scotland are presumed (unless the contrary is shown) to be of sufficient age and maturity to have a general understanding of what it means to exercise their data protection rights. There is no such provision for children in the rest of the UK, although this may be considered a useful reference point.	12歳は、DPA2018のs208に基づき、スコットランドの子どもたちが、データ保護の権利を行使することの意味を一般的に理解するのに十分な年齢と成熟度を有すると推定される年齢である（反対のことが示されない限り）。英国の他の地域の子どもについては、このような規定はないが、これは有用な参考点と考えられる。
UK children in this age range cannot provide their own consent to the processing of their personal data in the context of an online service offered directly to a child (by virtue of Article 8(1) of the GDPR and s9 of the DPA 2018). So if you wish to rely on consent as your lawful basis for processing their personal data you need parental consent.	この年齢層の英国の子どもは、子どもに直接提供されるオンラインサービスの文脈で、個人データの処理に自ら同意することはできない（GDPR第8条1項およびDPA2018のs9により）。そのため、彼らの個人データを処理するための合法的根拠として同意に依拠したい場合は、親の同意が必要である。
13-15: Early teens	13-15歳: 10代前半
In this age range the need for identification with their own peer group, and exploration of identity and relationships increases further and children are likely to seek greater levels of independence and autonomy. They may reject or distance themselves from the values of their parents or seek to actively flaunt parental or online rules. The use of new services that parents aren’t aware of or don’t use is popular as is the use of language that parents may not easily understand. However, despite this, family remains a key influence on children within this age range.	この年齢層では、自分の仲間グループとの同一性、アイデンティティと人間関係の探求の必要性がさらに高まり、子どもたちはより高いレベルの自立と自律を求めるようになる。親の価値観を否定したり、距離を置いたり、親やネット上のルールを積極的に無視しようとすることもある。親が知らない、あるいは使っていない新しいサービスを利用したり、親が理解しにくい言葉を使ったりすることも増える。しかし、それでもなお、この年齢層の子どもたちにとって、家族が重要な影響力を持つことに変わりはない。
The use of social media functions and applications is widespread although gaming and video and music streaming services are also popular. Again children may seek to emulate online ‘influencers’ or vloggers at this stage in their development.	ゲームや動画・音楽のストリーミングサービスも人気であるが、ソーシャルメディアの機能やアプリケーションの利用も広まっている。この時期もまた、ネット上の「インフルエンサー」やブロガーの真似をすることがある。
Children of this age may still look to parents to assist if they encounter problems online, but some may be reluctant to do so due to concerns about their parents’ reaction to their online activity.	この年齢の子どもは、ネット上で問題が発生した場合、親に助けを求めることもあるが、ネット上での活動に対する親の反応を懸念して、それを嫌がることもある。
Developmentally they may tend toward idealised or polarised thinking and be susceptible to negative comparison of themselves with others. They may overestimate their own ability to cope with risks and challenges arising from online behaviour and relationships and may benefit from signposting towards sources of support, including but not limited to parental support.	発達上、理想的な考え方や両極端な考え方をする傾向があり、自分と他人を否定的に比較しがちである。ネット上での行動や人間関係から生じるリスクや課題に対処する自分の能力を過大評価している可能性があり、保護者のサポートを含むがこれに限定されない支援源への道案内が有益であろう。
Literacy skills are likely to be more developed but they may still benefit from a choice of media.	読み書きの能力は発達していると思われるが、それでもメディアを選択することは有益であろう。
13 is the age at which children in the UK are able to provide their own consent to processing, if you relying on consent as your lawful basis for processing in the context of offering an online service directly to a child (by virtue of Article 8(1) of the GDPR and s9 of the DPA 2018).	13歳は、オンラインサービスを子どもに直接提供するという文脈で、処理の合法的根拠として同意に頼る場合、英国の子どもが処理に対して自ら同意を提供できる年齢である（GDPR第8条（1）およびDPA2018第9条による）。
16-17: Approaching adulthood	16-17歳: 成人に近づく
By this age many children have developed reasonably robust online skills, coping strategies and resilience. However they are still developing cognitively and emotionally and should not be expected to have the same resilience, experience or appreciation of the long term consequences of their online actions as adults may have.	この年齢までに、多くの子どもたちは、それなりに強固なオンラインスキル、対処戦略、回復力を身につけている。しかし、彼らはまだ認知的、感情的に成長しており、大人が持つような回復力、経験、オンライン行動の長期的な結果に対する理解を持つことを期待すべきではない。
Technical knowledge and capabilities may be better developed than their emotional literacy or their ability to handle complex personal relationships. Their capacity to engage in long term thinking is still developing and they may still tend towards risk taking or impulsive behaviours and be susceptible to reward based systems.	技術的な知識や能力は、感情的なリテラシーや複雑な人間関係を処理する能力よりも発達しているかもしれない。長期的な思考をする能力はまだ発達途上であり、リスクをとったり衝動的な行動をとったりする傾向があり、報酬ベースのシステムに影響されやすいかもしれない。
Parental support is more likely to be viewed as one option that they may or may not wish to use, rather than as the preferred or only option, and they expect a reasonable level of autonomy. Signposting to other sources of support in addition to parental support is important.	保護者の支援は、望ましい、あるいは唯一の選択肢というよりも、利用したい、あるいは利用したくないという選択肢の1つとみなされる可能性が高く、合理的なレベルの自律性を期待されます。親による支援に加え、他の支援源への道しるべを示すことが重要である。
By virtue of Article 8(1) of the GDPR and s9 of the DPA 2018, if you are relying on consent as your lawful basis for processing in the context of offering an online service directly to a child, UK children in this age range can provide their own consent to the processing of their personal data.	GDPRの第8条1項とDPA2018の第9条により、オンラインサービスを子どもに直接提供するという文脈で、処理の合法的根拠として同意に頼る場合、この年齢範囲の英国の子どもは、個人データの処理に自ら同意を提供することができる。

こちらもデザインという観点で参考になりますね。。。

・The Children’s code design guidance

・[PDF]

・[YouTube]

2023.02.19 02:30 in 個人情報保護 / プライバシー, in 内部統制 / リスクマネジメント | Permalink | Comments (0)
Tweet

2023.02.18

日本公認会計士協会監査実施状況調査（2021年度）

こんにちは、丸山満彦です。

日本公認会計士協会は、毎年、金商法の監査実施状況について取りまとめていますが、2021年4月1日から2022年3月31日期の金商法監査の概要が公表されていますね。。。

2008年からの「平均監査報酬額」（単価が上がり、会社が成長すると増えるでしょう。。。）と「時間あたり平均単価」（会計士の給与が増えれば増えるでしょう。。。）の推移を長期的に見てみると、改めて、日本って成長していないなぁ。。。と感じますね。。。責任の一端はあるわけなので、なんとも複雑な感じですが、、、

● 日本公認会計士協会

・2023.02.17 監査実施状況調査（2021年度）

・[PDF] 監査実施状況調査(2021年度)

・[PDF] 監査実施状況調査(2021年度)参考資料

データ...

年度	会社数	総監査報酬額(千円)	前年比	総監査時間	前年比	平均監査報酬額(千円)	前年比	平均監査時間	前年比	時間当たり平均単価(円)	前年比
2008	17,084	253,912,588	133.72%	20,848,899	137.42%	14,863	132.70%	1,220.4	136.37%	12,179	97.31%
2009	17,098	257,093,592	101.25%	19,582,284	93.92%	15,036	101.17%	1,145.3	93.85%	13,129	107.80%
2010	16,941	248,014,437	96.47%	19,445,732	99.30%	14,640	97.36%	1,148.0	100.23%	12,754	97.15%
2011	17,103	241,078,726	97.20%	20,073,674	103.23%	14,096	96.28%	1,173.7	102.24%	12,010	94.16%
2012	16,826	233,338,867	96.79%	19,028,972	94.80%	13,868	98.38%	1,131.0	96.36%	12,262	102.10%
2013	16,919	233,230,193	99.95%	19,255,150	101.19%	13,785	99.40%	1,138.1	100.62%	12,113	98.78%
2014	17,022	235,069,271	100.79%	19,732,969	102.48%	13,810	100.18%	1,159.2	101.86%	11,913	98.35%
2015	17,246	242,126,350	103.00%	20,651,029	104.65%	14,040	101.66%	1,197.4	103.29%	11,725	98.42%
2016	17,392	250,649,070	103.52%	21,664,405	104.91%	14,412	102.65%	1,245.7	104.03%	11,570	98.68%
2017	17,891	260,105,738	103.77%	21,874,539	100.97%	14,538	100.88%	1,222.7	98.15%	11,891	102.78%
2018	18,433	273,266,629	105.06%	22,637,873	103.49%	14,825	101.97%	1,228.1	100.45%	12,071	101.52%
2019	19,909	296,766,088	108.60%	24,646,497	108.87%	14,906	100.55%	1,238.0	100.80%	12,041	99.75%
2020	20,399	307,876,034	103.74%	25,577,804	103.78%	15,093	101.25%	1,253.9	101.29%	12,037	99.97%
2021	20,765	317,584,178	103.15%	26,057,952	101.88%	15,294	101.34%	1,254.9	100.08%	12,188	101.25%

● まるちゃんの情報セキュリティ気まぐれ日記

少し古いですが...(^^;;

・2009.01.30 昨年度の監査総時間は約1520万時間、総監査費用は約1900億円、平均時間単価は約12,500円 (3)詳細データ

・2009.01.30 昨年度の監査総時間は約1520万時間、総監査費用は約1900億円、平均時間単価は約12,500円 (2)対前年比

・2009.01.30 昨年度の監査総時間は約1520万時間、総監査費用は約1900億円、平均時間単価は約12,500円

・2008.04.07 昨年度の総監査時間は1465万時間、総監査費用は1760億円、平均時間単価は12,000円（詳細データ）

・2008.04.07 昨年度の総監査時間は1465万時間、総監査費用は1760億円、平均時間単価は12,000円

・2005.10.01 監査報酬　監査実施状況及び個別企業の監査報酬

2023.02.18 05:05 in 監査 / 認証 | Permalink | Comments (0)
Tweet

2023.02.17

情報通信研究機構 (NICT) NICTER観測レポート2022の公開

こんにちは、丸山満彦です。

情報通信研究機構 (NICT) が、NICTER観測レポート2022を公開していますね。。。

● 情報通信研究機構 (NICT)

・2023.02.14 NICTER観測レポート2022の公開

報告書

・[PDF]

今年のポイントは次のようです。。。

ダークネット観測統計（2 章）：ダークネット観測における 1 IP アドレスあたりの年間総観測パケット数は 2021 年からわずかに増加し 183 万パケットでした．また，最も多く観測された 23/TCP 宛のパケットの占める割合が前年の 11% から 23% へと増加しました．
IoT ボットの感染活動と感染機器（3 章）：昨年に続き，Mirai 亜種等の IoT ボットの活溌な活動が観測されました．日本国内では 5月以降感染ホストの増加傾向が見られ，ピーク時には約 5000 ホストまで増加しました．また，韓国製の DVR/NVR 機器が未公開の脆弱性を悪用され，IoT ボットに感染している実態が確認されました．
DRDoS 攻撃の観測状況（4 章）： DDoS 攻撃*4の一種である DRDoS 攻撃の観測結果からは，絨毯爆撃型の DRDoS 攻撃の継続，攻撃時間の長時間化，攻撃に悪用されるサービスの種類の増加が確認されました．

IoT ボットの感染活動と感染機器で、送信パケット数が多いホストに関して、Miraiの特徴の有無に着目してグループ分けをして分析をした結果。。。

表2 :送信バケット数の多いホストの特徴 (小数点以下は四捨五入しました・・・)

	グループA (Miraiの特徴あり)	グループB (Miraiの特徴なし)
ホストの特徴	IoTポットに感染した機器 (DVR 13.1 %, ホームルータ11.0% )	サーバ系
ユニークIP数	383	108
平均バケット数/日	646,709	3,320,858
平均宛先ポート数/日	2.13	4.91
送信元国別割合	米国 (28%), 韓国 (19%), 中国 (16%)	米国 (52%), オランダ (9%), スイス (6%)
AS番号別割合	AS4766 (13% ), AS53667 (7%), AS211252 (4%)	AS211252 (33%), AS53667 (19%), AS51852 (6%)
継続日数	30日以上 (13%), 10~30日 (23%), 4~9日 (24%), 3日以下 (40%)	30日以上 (10%), 10~30日 (39%), 4 ~ 9日 (33%), 3日以下 (18%)
30日以上継続国	韓国 (35% ), 中国 (20%), 台湾 (16%)	米国 (73%), ドイツ (9%), オランダ (9%)
30日以上継続AS	AS4766 (18%), AS38365 (10%), AS17858 (10%)	AS53667 (64%), AS206264 (18%), AS47890 (9% )

2023.02.17 14:11 in 情報セキュリティ / サイバーセキュリティ, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in IoT | Permalink | Comments (0)
Tweet

欧州 ENISA 協調的な脆弱性情報開示：EU共通のアプローチ

こんにちは、丸山満彦です。

2023年1月16日に採択された「EU全域で共通レベルの高いサイバーセキュリティのための措置に関する新指令（NIS2）」により、加盟国は2024年10月17日までに協調的脆弱性開示政策を採択・公表する必要があります。。。さらに、現在審議中のサイバーレジリエンス法（CRA）案において脆弱性の取り扱い要件が含まれていますね。。。

と言うことで、ENISAは協調的な脆弱性情報開示についてのガイドを公表しています。。。

日本はそう言う意味では早く（2004.07.08）から、脆弱性情報を開示するためのプロセスである「情報セキュリティ早期警戒パートナーシップ」を運営しているわけで先進的な取り組みをしていましたね。。。今回のEUでの取り組みにも、この実績は参考にされたようです。。。

● ENISA

・2023.02.16 Coordinated Vulnerability Disclosure: Towards a Common EU Approach

Coordinated Vulnerability Disclosure: Towards a Common EU Approach	協調的な脆弱性情報開示：EU共通のアプローチに向けて
The new report of the European Union Agency for Cybersecurity (ENISA) explores how to develop harmonised national vulnerability programmes and initiatives in the EU.	欧州連合サイバーセキュリティ機関（ENISA）の新しい報告書は、EUにおいて調和された各国の脆弱性プログラムおよびイニシアチブを開発する方法を探っている。
With the new Directive on measures for a high common level of cybersecurity across the Union (NIS2) adopted on 16 January 2023, Member States will need to have a coordinated vulnerability disclosure policy adopted and published by 17 October 2024. In addition, other ongoing legislative developments will also address vulnerability disclosure, with vulnerability handling requirements already foreseen in the proposed Cyber Resilience Act (CRA).	2023年1月16日に採択された「EU全域で共通レベルの高いサイバーセキュリティのための措置に関する新指令（NIS2）」により、加盟国は2024年10月17日までに協調的脆弱性開示政策を採択・公表する必要がある。さらに、現在進行中の他の法整備も脆弱性開示に対応するものであり、提案されているサイバー・レジリエンス法（CRA）において脆弱性の取り扱い要件がすでに予見されている。
The new report published today looks into the expectations of both industry and the Member States in relation to the NIS2’s objective. It also analyses the related legal, collaborative, technical challenges arising from such initiatives.	本日発表された新しい報告書では、NIS2の目的に関連して、産業界と加盟国の両方がどのような期待を抱いているかを調べている。また、このような取り組みから生じる、関連する法的、協調的、技術的な課題についても分析している。
Apart from insights on industry expectations, the findings feed into the guidelines ENISA and the NIS Cooperation Group intend to prepare to help EU Member States establish their national Coordinated Vulnerability Disclosure (CVD) policies. These guidelines would be focused on vulnerability management, dedicated processes and related responsibilities.	産業界の期待に関する洞察とは別に、この調査結果は、ENISAとNIS協力グループが、EU加盟国が国別の協調的脆弱性開示（CVD）政策を確立するのを支援するために作成しようとしているガイドラインに反映される。このガイドラインは、脆弱性管理、専用プロセス、および関連する責任に焦点を当てたものとなるだろう。
With this research, ENISA seeks to find out how a harmonised approach across the EU can be achieved. The different options envisaged to do so will be discussed within the task force driving the project and consisting of ENISA together with the NIS cooperation group.	この研究により、ENISAは、EU全域で調和されたアプローチをどのように実現できるかを見出そうとしている。そのために想定されるさまざまな選択肢は、ENISAとNISの協力グループからなる、このプロジェクトを推進するタスクフォースで議論される予定である。
Peeking into the report:	報告書を覗く：
Examples of what industry expects:	産業界が期待例：
a national or European CVD policy may encourage organisations to set vulnerability management and security practices as a priority;	国または欧州のCVD政策は、組織が脆弱性管理とセキュリティの実践を優先するよう促すかもしれない。
policy makers should consider the existing initiatives and standards around CVD;	政策立案者は、CVDに関する既存の取り組みや標準を考慮する必要がある。
global cooperation across different legislations as well as cooperation between industry players and the public sector needs to be strengthened to avoid silos.	異なる法律間のグローバルな協力、および業界関係者と公共部門の協力関係を強化し、サイロ化を回避する必要がある。
Challenges for Security Researchers	セキュリティ研究者の課題
The report also highlights the incentives and obstacles addressed to security researchers to legally report vulnerabilities. Reputational interests are a key driver for researchers whose public proof of vulnerability discovery and disclosure adds to their professional credibility and thus ensures the legitimacy and reliability of their work. On the other hand, a vague or absent CVD framework may lead to legal uncertainty, and this hinder or even prevent the reporting of vulnerabilities.	この報告書では、セキュリティ研究者が脆弱性を合法的に報告するための誘因や障害も取り上げている。研究者にとって、脆弱性の発見と公開を公に証明することは、専門家としての信頼性を高め、その研究の正当性と信頼性を保証する重要な推進力となっている。一方、CVDの枠組みが曖昧であったり、存在しなかったりすると、法的な不確実性が生じ、脆弱性の報告が妨げられたり、阻止されたりする可能性がある。
Background	背景
The report builds upon previous work performed by ENISA in the field of vulnerabilities. ENISA issued a report on good practices on vulnerability disclosure in the EU in April 2022. In addition, the limitations and opportunities of the vulnerability ecosystem were analysed in the ENISA 2019 State of Vulnerabilities report.	本報告書は、脆弱性の分野でENISAが実施した過去の作業を基に作成されている。ENISAは、2022年4月にEUにおける脆弱性開示に関するグッドプラクティスに関する報告書を発行した。さらに、脆弱性エコシステムの限界と機会については、ENISA 2019 State of Vulnerabilitiesレポートで分析した。
Further information	さらに詳しい情報
Developing National Vulnerability Programmes and Initiatives – ENISA report 2023	国家脆弱性プログラムおよびイニシアチブの開発 - ENISAレポート2023
Vulnerability Disclosure in the EU – An overview of National Vulnerability Disclosure Policies in the EU – ENISA report 2022	EUにおける脆弱性開示 - EUにおける各国の脆弱性開示政策の概要 - ENISAレポート2022年版
State of Vulnerabilities 2018/2019 - Analysis of Events in the life of Vulnerabilities	脆弱性の状態 2018/2019 - 脆弱性の生涯における事象の分析
Economics of Vulnerability Disclosure	脆弱性開示の経済学
Good Practice Guide on Vulnerability Disclosure. From challenges to recommendations	脆弱性開示に関するグッドプラクティスガイド。課題から提言へ
Directive on measures for a high common level of cybersecurity across the Union (NIS2)	欧州連合全体におけるサイバーセキュリティの高い共通レベルのための措置に関する指令（NIS2)
Cyber Resilience Act (CRA)	サイバーレジリエンス法(CRA)

・2023.02.16 Developing National Vulnerabilities Programmes

Developing National Vulnerabilities Programmes

国家脆弱性プログラムの開発

Based on the experiences and perspectives gathered from industry players and national governments, as well as on the documentation developed by multiple actors involved with national vulnerability initiatives and programmes, the EU Coordinated Vulnerability Disclosure (CVD) ecosystem remains fragmented. Although interesting approaches and initiatives are taking place in some EU Member States, yet further steps can be done towards an integrated EU vision and action.

業界関係者や各国政府から集められた経験や見解、また各国の脆弱性イニシアティブやプログラムに関わる複数の関係者によって作成された文書によると、EUの協調的脆弱性開示（CVD）エコシステムは依然として断片的なままであることがわかります。いくつかのEU加盟国では、興味深いアプローチや取り組みが行われているが、EUの統合的なビジョンと行動に向けて、さらなるステップを踏むことが可能である。

・[PDF]

・[DOCX] 仮訳

目次...

1 INTRODUCTION	1 序論
1.1 CONTEXT AND OBJECTIVES	1.1 背景と目的
1.2 TARGET AUDIENCE	1.2 対象読者
1.3 REPORT STRUCTURE	1.3 報告書の構成
1.4 METHODOLOGICAL APPROACH	1.4 方法論的アプローチ
2 NATIONAL CVD POLICY IMPLEMENTATION – THE INDUSTRY PERSPECTIVE	2 国家のCVD政策の実施 - 産業界の視点
2.1 CONTEXT	2.1 前提条件
2.2 ASSESSMENT OF NATIONAL POLICIES	2.2 国家政策の評価
2.3 GOOD PRACTICES WHEN DEVELOPING AND IMPLEMENTING A NATIONAL COORDINATED VULNERABILITY DISCLOSURE POLICY	2.3 国家的な協調による脆弱性開示政策を策定し、実施する際のグッドプラクティス
2.4 CHALLENGES FACED WHEN DEVELOPING AND IMPLEMENTING A NATIONAL COORDINATED VULNERABILITY DISCLOSURE POLICY	2.4 国家レベルで調整された脆弱性開示政策を策定し、実施する際に直面する課題
3 ADDRESSING LEGAL CHALLENGES FOR SECURITY RESEARCHERS	3 セキュリティ研究者のための法的課題への対応
3.1 CONTEXT	3.1 文脈
3.2 INCENTIVES FOR SECURITY RESEARCHERS TO LEGALLY REPORT VULNERABILITIES	3.2 セキュリティ研究者が合法的に脆弱性を報告するための誘因
3.3 DISINCENTIVES PREVENTING LEGAL REPORTING OF VULNERABILITIES	3.3 脆弱性の合法的な報告を妨げている阻害要因
3.4 INITIATIVES ADDRESSING THE LACK OF LEGAL PROTECTIONS	3.4 法的保護の欠如に対処するための取り組み
4 ADDRESSING COLLABORATIVE CHALLENGES: THE USE OF OPEN-SOURCE SOFTWARE AND BUG-BOUNTY PROGRAMS	4 共同の課題への取り組み。オープンソースソフトウェアとバグバウンティプログラムの利用
4.1 OPEN-SOURCE SOFTWARE – OSS	4.1 オープンソースソフトウェア - OSS
4.1.1 Context	4.1.1 コンテクスト
4.1.2 Vulnerabilities’ impact, management and treatment within OSS	4.1.2 OSS における脆弱性の影響、管理、処置
4.1.3 Usage of ‘software bill of materials’ within the context of OSS	4.1.3 OSS の文脈における「ソフトウェア部品表」の使用法
4.1.4 Governance under the perspective of OSS	4.1.4 OSS の観点からのガバナンス
4.1.5 Instances of OSS vulnerabilities within public and private organisations	4.1.5 公共・民間組織における OSS 脆弱性の事例
4.2 CONSIDERATIONS ON OUTSOURCING SECURITY VIA BUG BOUNTY PROGRAMMES	4.2 バグバウンティプログラムによるセキュリティのアウトソーシングに関する考察
4.2.1 Context	4.2.1 コンテクスト
4.2.2 Structure of bug bounty programmes	4.2.2 バグバウンティプログラムの構造
4.2.3 Security-by-design	4.2.3 デザインによるセキュリティ
4.2.4 Bug bounty programmes in public administrations	4.2.4 行政機関におけるバグバウンティプログラム
4.2.5 Bug bounty programmes challenges	4.2.5 バグバウンティプログラムの課題
4.2.6 Evolution of bug bounty programmes	4.2.6 バグ報奨金制度の進化
5 ADDRESSING TECHNICAL CHALLENGES: AUTOMATION INITIATIVES SUPPORTING PRIORITISATION AND TREATMENT OF VULNERABILITIES	5 技術的課題への対応脆弱性の優先順位付けと対処を支援する自動化の取り組み
5.1 CONTEXT	5.1 背景
5.2 AUTOMATED PROCESSES WITHIN VULNERABILITY MANAGEMENT	5.2 脆弱性管理におけるプロセスの自動化
5.3 COORDINATED VULNERABILITY DISCLOSURE TOOLS FOSTERING THE USAGE OF AUTOMATED WORKFLOWS WITHIN VULNERABILITY PRIORITISATION AND TREATMENT	5.3 脆弱性の優先順位付けと治療における自動化ワークフローの使用を促進する協調的な脆弱性開示ツール
6 CONCLUSIONS	6 結論
7 REFERENCES	7 参考文献

・エグゼクティブサマリー

EXECUTIVE SUMMARY	エグゼクティブサマリー
Based on the experiences and perspectives gathered from industry players and national governments, as well as on the documentation developed by multiple actors involved with national vulnerability initiatives and programmes, the EU Coordinated Vulnerability Disclosure (CVD) ecosystem remains fragmented. Although interesting approaches and initiatives are taking place in some EU Member States, yet further steps can be done towards an integrated EU vision and action.	業界関係者や各国政府から集めた経験や見解、また、各国の脆弱性イニシアティブやプログラムに関わる複数の関係者が作成した文書によると、EUの協調的脆弱性開示（CVD）エコシステムは、依然として断片的なままであることがわかります。いくつかのEU加盟国では、興味深いアプローチや取り組みが行われているが、EUの統合的なビジョンと行動に向けて、さらなるステップを踏むことが可能である。
This report shows that, despite recent efforts by national governments in developing CVD policies, some industry players have taken the lead and developed vulnerability policies and programmes at organisation level. Nevertheless, among the top industry expectations is that the development of a national or European level CVD policy could help organisations and public administrations to set vulnerability management as a priority and further encourage security practices. In addition, the alignment of such policies with existing international standards, can greatly help in promoting harmonization.	本報告書では、CVD政策の策定における各国政府の最近の努力にもかかわらず、一部の業界プレーヤーが率先して脆弱性政策や組織レベルのプログラムを策定していることが示されている。とはいえ、業界が最も期待しているのは、国または欧州レベルのCVD政策を策定することで、組織や行政が脆弱性管理を優先課題に設定し、セキュリティ対策をさらに奨励できるようになることである。さらに、このようなポリシーを既存の国際標準と整合させることは、ハーモナイゼーションの推進に大いに役立ちます。
As far as vulnerability initiatives are concerned, Bug Bounties Programmes (BBP) is an area that grew remarkably over the past few years. BBPs have considerably adapted their business models in offering different type of services, hence different coverages of IT systems and levels of involvement in vulnerability management processes. Today, BBPs platform providers are now cooperating with key public institutions to run customised programmes adapted to their needs and IT infrastructures. Further expansion is expected as long as the community can continue relying on BBPs (i.e., confidentiality of internal information and data protection) and ensuring trust between the stakeholders involved.	脆弱性対策に関する限り、バグバウンティプログラム（BBP）は、過去数年間に著しく成長した分野である。BBPは、さまざまなタイプのサービスを提供することで、そのビジネスモデルを大幅に適応させ、その結果、ITシステムの対象範囲や脆弱性管理プロセスへの関与の度合いも異なっている。現在、BBPのプラットフォームプロバイダーは、主要な公共機関と協力し、そのニーズとITインフラに適合したカスタマイズされたプログラムを運営している。コミュニティがBBPへの信頼（内部情報の機密性、データ保護）を継続でき、関係者間の信頼が確保できる限り、さらなる拡大が期待される。
In terms of human capital, researchers play a fundamental role in the disclosure of vulnerabilities. Accordingly, it is interesting to understand motivations, incentives and challenges influencing researchers’ contribution. From their perspective, reputation remains as a one of the key incentives to legally report vulnerabilities, as it leads to fame and recognition. However, legal protection is also highly considered, especially because the absence, uncertainty or non-clarity of legal conditions can push to illegal channels.	人的資本の面では、研究者が脆弱性公開の根幹を担っている。したがって、研究者の貢献に影響を与える動機、インセンティブ、課題を理解することは興味深い。研究者の観点からは、名声や認知につながるため、評判は脆弱性を合法的に報告する重要なインセンティブの一つであることに変わりはありません。しかし、特に法的条件の不在、不確実性、非明確性が違法な手段を後押しする可能性があるため、法的保護も非常に重要視されている。
Collaborative challenges arise in the use of tools to improve vulnerability disclosure processes. For example, when looking into vulnerabilities related to open-source software (OSS) and considering how intertwined commercial and OSS are today, a need to further improve coordination between OSS developers and private vendors was identified. Aspects such as OSS vulnerability handling, responsibility and accountability are not yet clearly defined and among actors involved across the IT product supply chains, which may hinder coordination efforts.	脆弱性の開示プロセスを改善するためのツールの使用において、共同的な課題が発生します。例えば、オープンソースソフトウェア（OSS）に関する脆弱性を調査し、今日、商用とOSSがいかに絡み合っているかを考慮すると、OSS開発者と民間ベンダーとの間の連携をさらに改善する必要性があることが明らかになりました。OSSの脆弱性対応、責任、アカウンタビリティなどの側面は、IT製品のサプライチェーンを超えて関係者間でまだ明確に定義されておらず、調整の努力を阻害する可能性がある。
Challenges related to technical and technological issues also constitute a key area of discussion and analysis. A forward-looking perspective on the use of automation as an enabler to efficiently manage vulnerability identification, sourcing and classification is also provided by this report. It is observed that, as vulnerability analysis and treatment still require human expertise, the risk of deskilling experts due to automated processes may be minimised.	また、技術的・技能的な課題も重要な議論・分析対象である。本報告書では、脆弱性の特定、調達、分類を効率的に管理するための実現手段としての自動化の利用について、将来を見据えた視点も提供されている。脆弱性の分析と治療には依然として人間の専門知識が必要であるため、自動化されたプロセスによって専門家が不足するリスクは最小化される可能性があることが確認されている。
Finally, alignment across different legislation as well as cooperation between industry players and governments are needed to avoid silos. Harmonisation of CVD practices, coordination and international cooperation among players are essential priorities both from a legal and technical perspectives. In this regard, ENISA will continue offering advice, publishing guidelines, promoting information sharing, raising awareness, and coordinating CVD-related activities at national and EU level.	最後に、縦割り行政を避けるためには、異なる法律間の調整と、業界関係者と政府間の協力が必要である。CVD実務の調和、関係者間の調整と国際協力は、法律と技術の両面から不可欠な優先事項である。この点に関して、ENISAは引き続き助言を提供し、ガイドラインを発行し、情報共有を促進し、意識を高め、国およびEUレベルでのCVD関連活動の調整を図っていく予定である。

2023.02.17 04:33 in 情報セキュリティ / サイバーセキュリティ, in 脆弱性, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in IoT | Permalink | Comments (0)
Tweet

欧州 ENISAとCERT-EUが共同で「脅威アクターによる持続的な活動」を公表

こんにちは、丸山満彦です。

ENISAとCERT-EUが共同で、「Sustained Activity by Threat Actors（脅威アクターによる持続的な活動）」を公表していますね。。。

予防、検知、対応合わせて30くらいの推奨事項が記載されています。。。

また、脅威アクターとしては、APT27、APT31、Ke3chang、GALLIUM、Mustang Pandaが取り上げられていますね。。。

● ENISA

・2023.02.15 Sustained Activity by Threat Actors

Sustained Activity by Threat Actors	脅威アクターによる持続的な活動
The European Union Agency for Cybersecurity (ENISA) and the CERT of the EU institutions, bodies and agencies (CERT-EU) jointly published a report to alert on sustained activity by particular threat actors. The malicious cyber activities of the presented threat actors pose a significant and ongoing threat to the European Union.	欧州連合サイバーセキュリティ機関（ENISA）とEU機関・団体・機関のCERT（CERT-EU）は共同で、特定の脅威アクターによる持続的な活動について警告する報告書を発表した。今回紹介された脅威アクターの悪質なサイバー活動は、欧州連合（EU）に対して重大かつ継続的な脅威を与えている。
Recent operations pursued by these actors focused mainly on information theft, primarily via establishing persistent footholds within the network infrastructure of organisations of strategic relevance.	これらの脅威アクターが最近行った活動は、主に戦略的関連性を持つ組織のネットワークインフラ内に持続的な足場を築くことによる情報の窃取に重点を置いている。
Decision makers and cybersecurity officers are the primary audiences of this joint publication.	意思決定者とサイバーセキュリティ担当者が、この共同出版物の主な読者である。
ENISA and CERT-EU strongly encourage all public and private sector organisations in the EU to apply the recommendations listed in the current joint publication “Sustained Activity by specific Threat Actors.”	ENISAとCERT-EUは、EUのすべての公共および民間組織が、今回の共同出版物 "脅威アクターによる持続的な活動" に記載されている推奨事項を適用することを強く薦める。
By applying these recommendations in a consistent and systematic manner, ENISA and CERT-EU remain confident that organisations will reduce the risk of being compromised by the mentioned Advanced Persistent Threats, APTs, as well as substantially improve their cybersecurity posture and enhance the overall resilience against cyberattacks.	ENISAとCERT-EUは、これらの推奨事項を一貫した体系的な方法で適用することにより、組織が前述の高度持続的脅威（APT）に感染するリスクを低減し、サイバーセキュリティ体制を大幅に改善し、サイバー攻撃に対する全体的な耐性を強化することができると確信している。
Background	背景
In 2021, the EU Agency for Cybersecurity and CERT-EU signed an agreement on a structured cooperation to work together on capacity building, operational cooperation and knowledge and information sharing. The provision for a structured cooperation was included in the Cybersecurity Act of 2019. ENISA and CERT-EU meet regularly to agree on joint activities to implement the Annual Cooperation Plans.	2021年、EUサイバーセキュリティ機関とCERT-EUは、能力構築、運用協力、知識・情報共有について協力するための構造的協力に関する協定に調印した。構造的協力の規定は、2019年のサイバーセキュリティ法に盛り込まれた。ENISAとCERT-EUは定期的に会合を開き、年次協力計画を実施するための共同活動について合意している。

・2023.02.15 Sustained Activity by Threat Actors- Joint Publication

Sustained Activity by Threat Actors- Joint Publication

脅威アクターによる持続的な活動-共同出版物

ENISA, the EU Agency for Cybersecurity, and CERT-EU, the Computer Emergency Response Team of all the EU institutions, bodies and agencies (EUIBAs), have issued a joint publication to alert on sustained activity by particular threat actors. Malicious cyber activities of the presented threat actors pose a significant and ongoing threat to the European Union. ENISA and CERT-EU strongly encourage all public and private sector organisations in the EU to apply the recommendations listed.

EUのサイバーセキュリティ機関であるENISAと、EUのすべての機関・団体・機関（EUIBAs）のコンピュータ緊急対応チームであるCERT-EUは、特定の脅威アクターによる持続的な活動について注意を促すための共同出版物を発表した。提示された脅威アクターの悪質なサイバー活動は、EUに重大かつ継続的な脅威を与えている。ENISAとCERT-EUは、EUのすべての公共および民間組織に対し、記載されている推奨事項を適用することを強く薦める。

・[PDF]

JP-23-01 - Sustained activity by specific threat actors	JP-23-01 ・特定の脅威アクターによる持続的な活動
Summary	概要
The EU Cybersecurity Agency (ENISA) and the CERT for the EU institutions, bodies and agencies (CERT-EU) would like to draw the attention of their respective audiences on particular Advanced Persistent Threats (APTs), known as APT27, APT30, APT31, Ke3chang, GALLIUM and Mustang Panda. These threat actors have been recently conducting malicious cyber activities against business and governments in the Union.	EUサイバーセキュリティ機関（ENISA）およびEU機関・団体・機関のためのCERT（CERT-EU）は、APT27、APT30、APT31、Ke3chang、GALLIUM、Mustang Pandaとして知られる特定の高度持続的脅威（APT）にそれぞれの視聴者の注意を喚起したいと思いる。これらの脅威アクターは、最近、EU内の企業や政府に対して悪意のあるサイバー活動を行っている。
On 19 July 2021, the EU has urged Chinese authorities to take actions against malicious cyber activities undertaken from their territory, and linked to APT31 [1]. These malicious cyber activities, which had significant effects, targeted government institutions and political organisations in the EU and Member States, as well as key European industries.	2021年7月19日、EUは中国当局に対し、自国の領土から行われたAPT31に関連する悪質なサイバー活動に対して行動を起こすよう要請した[1]。大きな影響を及ぼしたこれらの悪質なサイバー活動は、EUおよび加盟国の政府機関や政治組織、欧州の主要産業を標的としていた。
On 18 July 2022, Belgium has also urged Chinese authorities to take action against malicious cyber activities undertaken by Chinese actors. These activities can be linked to the hacker groups known as APT 27, APT 30, APT 31, and GALLIUM [2]. Moreover, commercial firms indicated that Ke3chang and Mustang Panda are likely operating from the territory of China [3][4][5].	2022年7月18日、ベルギーも中国当局に対し、中国のアクターによって行われた悪意のあるサイバー活動に対して対策を講じるよう求めている。これらの活動は、APT 27、APT 30、APT 31、GALLIUMとして知られるハッカー集団に関連する可能性がある[2]。さらに、Ke3changとMustang Pandaは、中国の領土から活動している可能性が高いと、商業企業が指摘している[3][4][5]。
These threat actors present important and ongoing threats to the European Union. Recent operations pursued by these actors focused mainly on information theft, primarily via establishing persistent footholds within the network infrastructure of organisations of strategic relevance.	これらの脅威のアクターは、欧州連合に対して重要かつ継続的な脅威を示している。これらの脅威アクターが最近行った作戦は、主に戦略的関連性を持つ組織のネットワーク・インフラ内に持続的な足場を築くことによる情報の窃取に焦点を当てたものであった。
ENISA and CERT-EU call for all public and private sector organisations in the EU to apply the recommendations included in this document in a consistent and systematic manner. These recommendations aim to reduce the risk of being compromised by the mentioned APTs, as well as substantially improve the cybersecurity posture and enhance the overall resilience of these organisations against cyberattacks.	ENISAとCERT-EUは、EUのすべての公共および民間組織に対し、本書に含まれる勧告を一貫して体系的に適用することを要請する。これらの推奨事項は、言及されたAPTによって侵害されるリスクを低減するとともに、サイバーセキュリティの姿勢を大幅に改善し、サイバー攻撃に対するこれらの組織の全体的な回復力を強化することを目的としている。
Recommendations	推奨事項
All public and private sector organisations in the EU are strongly advised to follow common cyber hygiene recommendations. Our previously published best practices [24] and the corresponding security guidance [35] provide a solid basis for mitigating cyberattacks.	EUのすべての公共および民間組織は、一般的なサイバー衛生に関する推奨事項に従うことを強くお勧めする。我々が以前発表したベストプラクティス[24]とそれに対応するセキュリティガイダンス[35]は、サイバー攻撃を軽減するための確固たる基礎を提供するものである。
Following the analysis of the available information on the aforementioned threat actors (see below) and of some of their major tactics, techniques, and procedures, ENISA and CERT-EU draw a number of complementary recommendations to foster the defensive capabilities of the intended audience. Each organisation which wants to apply these recommendations is fully responsible for the implementation, according to its business needs and priorities.	前述の脅威主体に関する利用可能な情報（下記参照）と、その主要な戦術、技術、手順の分析に続いて、ENISAとCERT-EUは、意図する対象者の防御能力を育成するための補完的な勧告を多数作成している。これらの勧告を適用しようとする各組織は、そのビジネスニーズと優先順位に従って、実施に全責任を負う。
For best practices issued by the relevant CSIRTs of the EU Member States, please refer to their websites [31].	EU 加盟国の関連 CSIRT が発行するベストプラクティスについては、それぞれのウェブサイト [31]を参照すること。
Additionally, CERT-EU and ENISA emphasise the importance of participating in information sharing communities and reviewing your national/governmental CSIRT’s security guidance [25] and public resources detailing tactics, techniques and procedures associated with the threat actors [26].	さらに、CERT-EU と ENISA は、情報共有コミュニティに参加し、国家/政府 CSIRT のセキュリティガイダンス [25]、脅威要因に関連する戦術、技術、手順を詳述した公開リソース [26] をレビューすることの重要性を強調する。
Prevention	予防
To reduce your cyber risks through good cyber hygiene:	適切なサイバー衛生管理によってサイバーリスクを低減すること。
• Follow the security best practices proposed by vendors to harden their products and manage highprivileged accounts and key assets.	・ベンダーが提唱するセキュリティのベストプラクティスに従って、製品の堅牢化を図り、高権限アカウントや重要な資産を管理する。
• Strive to maintain current asset inventories. The inventories shall include both, physical (i.e. on-prem servers, endpoints, etc.) and virtual assets (i.e. instances in the Cloud, virtual machines, etc.) and installed software. This allows the timely identification of systems impacted by vulnerabilities. A patch prioritisation strategy defined in a policy should particularly cover critical assets like hardware and software directly exposed to the Internet.	・最新の資産棚卸表を維持するよう努める。資産棚卸表には、物理資産(オンプレミスサーバー、エンドポイントなど)、仮想資産(クラウド上のインスタンス、仮想マシンなど)、インストールされたソフトウェアの両方を含めること。これにより、脆弱性の影響を受けるシステムを適時に特定することができる。ポリシーで定義されたパッチの優先順位付け戦略は、特にインターネットに直接さらされるハードウェアやソフトウェアなどの重要な資産を対象とする必要がある。
• Block or severely limit egress Internet access for servers or other devices that are seldom rebooted. As they are coveted by threat actors for establishing backdoors, these systems are often used to create persistent beacons to Command and Control (C2) infrastructure.	・めったにリブートされないサーバやその他のデバイスのインターネットアクセスをブロックする、または厳しく制限する。このようなシステムは、脅威アクターがバックドアを設置するために欲しがっているため、コマンド＆コントロール（C2）インフラへの持続的なビーコンを作成するためによく使用される。
• Follow best practices for identity and access management. A robust password policy shall be enforced for all accounts and multi-factor authentication must be used where applicable. Tightly manage and monitor the lifecycle of all accounts. Promote the use of password managers throughout the organisation.	・アイデンティティとアクセス管理のベストプラクティスに従うこと。すべてのアカウントに強固なパスワードポリシーを適用し、該当する場合は多要素認証を使用する。すべてのアカウントのライフサイクルを厳重に管理・監視する。組織全体でパスワード管理ソフトの利用を推進する。
• Adopt a backup strategy and use the 3-2-1 rule approach which states that organisations should keep three complete copies of their data, two of which are locally stored on different types of media, and at least one copy is stored off-site [34].	・バックアップ戦略を採用し、組織はデータの完全なコピーを3つ保持すべきであり、そのうち2つは異なるタイプのメディアにローカルに保存し、少なくとも1つはオフサイトに保存するという3-2-1ルールのアプローチを使用する [34]。
• Ensure tight and proper access controls for end users and, most crucially, external third-party contractors with access to internal networks and systems (i.e. managed service and cloud service provider access). Consider requesting proofs for the security claims made by providers of these services.	・エンドユーザー、そして最も重要なのは、社内のネットワークやシステムにアクセスする外部の第三者契約者（マネージドサービスやクラウドサービスプロバイダーのアクセスなど）に対して、厳重かつ適切なアクセス制御を行うこと。これらのサービスのプロバイダーが主張するセキュリティについて、証明書を要求することを検討する。
• Segment the network to isolate critical systems, functions, or resources – specifically implement isolation in regards of interconnections with Internet and third parties.	・重要なシステム、機能、リソースを分離するためにネットワークをセグメント化する。特に、インターネットや第三者との相互接続に関して分離を実施する。
• Secure your cloud environments before moving critical assets there. Use the strong security controls that are available on cloud platforms and properly segment cloud system management from onpremise system management to ensure that threat actors cannot easily jump from one environment to the other.	・重要な資産をクラウド環境に移行する前に、クラウド環境のセキュリティを確保する。クラウドプラットフォームで利用可能な強力なセキュリティコントロールを使用し、クラウドシステム管理とオンプレミスシステム管理を適切に区分し、脅威アクターが一方の環境から他方の環境へ容易に移動できないようにする。
• Implement a resilient email policy that includes adequate mechanisms for filtering and scrutinising malicious content. A secure email gateway can further enhance the protection of the recipients.	・悪意のあるコンテンツをフィルタリングし、精査するための適切なメカニズムを含む、弾力性のある電子メールポリシーを導入する。安全な電子メールゲートウェイを使用することで、受信者の保護をさらに強化することができる。
• Consider preventing attacks based on the so-called Pass-the-Ticket technique on Active Directory environments [27].	・Active Directory 環境におけるいわゆる Pass-the-Ticket テクニックに基づく攻撃を防止することを検討する [27]。
• Invest in cybersecurity education. This includes encouraging your cybersecurity professionals to enrol in specialised professional training courses in their domain and performing concise awareness campaigns for end users.	・サイバーセキュリティ教育に投資する。これには、サイバーセキュリティの専門家が各自のドメインで専門的なトレーニングコースを受講することを奨励することや、エンドユーザーに対して簡潔な意識向上キャンペーンを実施することが含まれます。
Detection	検知
Detection refers to actions that will help expose malicious cyber activities in your network:	検出とは、ネットワークにおける悪意のあるサイバー活動を明らかにするための行動を指す。
• Implement robust log collection and regularly review alerts triggered by security components. You may refer to ENISA’s guidance on proactive detection (pp. 12 - 18) which comprehensively covers sources of telemetry [36]. It is specifically advisable to collect event logs linked to unauthenticated creation, modification, use, and permission changes associated with privileged accounts, and to review network connections from IP ranges associated with non-corporate VPN Tor, and similar services.	・堅牢なログ収集を実施し、セキュリティ・コンポーネントによって引き起こされるアラートを定期的に確認する。ENISA のプロアクティブな検知に関するガイダンス（12～18 ページ）には、テレメトリのソースが包括的に記載されている [36]。特に、特権アカウントに関連する認証されていない作成、変更、使用、および権限の変更に関連するイベントログを収集し、企業以外の VPN Tor や同様のサービスに関連する IP 範囲からのネットワーク接続を確認することが推奨される。
• Monitor the activities of devices in your network with appropriate tools like Endpoint Detection and Response (EDR) and User and Entity Behaviour Analytics (UEBA), since a substantial part of network traffic is encrypted nowadays. This applies to both servers and endpoints. It is crucial to ensure that your EDR is set to alert mode if monitoring or reporting is disabled, or if communication is lost with a host agent for more than a reasonable amount of time.	・ネットワークトラフィックのかなりの部分が暗号化されているため、EDR（Endpoint Detection and Response）やUEBA（User and Entity Behaviour Analytics）などの適切なツールを使用してネットワーク内のデバイスの活動を監視する。これは、サーバーとエンドポイントの両方に当てはまります。監視やレポートが無効化された場合、またはホストエージェントとの通信が一定時間以上途絶えた場合、EDRがアラートモードに設定されていることを確認することが極めて重要である。
• Use carefully curated cyber threat intelligence to proactively search your logs for possible signs of compromise.	・慎重に管理されたサイバー脅威インテリジェンスを使用して、侵害の可能性がある兆候をログから積極的に検索する。
• Detect traces of compromise in your network through well-conceived, regular threat hunting based, for example, on the MITRE ATT&CK® framework [26].	・MITRE ATT&CK® フレームワーク [26] などに基づき、よく練られた定期的な脅威ハンティングを行い、ネットワーク内の侵害の痕跡を検出する。
• Use intrusion detection signatures and NetFlow to spot suspicious traffic at network boundaries and detect conditions that may indicate software exploitation or data exfiltration.	・侵入検知シグネチャと NetFlow を使用して、ネットワーク境界における疑わしいトラフィックを発見し、ソフトウェア搾取やデータ流出を示す可能性がある状況を検出する。
• Prevent and detection PowerShell based attacks [28], in order to stop attackers from gaining full control of a Windows-based infrastructure or business-related operator accounts.	・攻撃者が Windows ベースのインフラストラクチャやビジネス関連のオペレーターアカウントを完全に制御することを阻止するために、PowerShell ベースの攻撃 [28] を防止および検出する。
• Invest in detecting lateral movements which exploit NTLM and Kerberos protocols in a Windows environment [29].	・Windows 環境における NTLM と Kerberos プロトコルを悪用した横方向の動きを検知するための投資を行う [29]。
• Train your users to immediately report any suspicious activity to your local cybersecurity team.	・不審な動きがあれば、すぐに現地のサイバーセキュリティチームに報告するよう、ユーザーを教育する。
Response	対応
Incident response is composed of several phases: Preparation, Identification, Containment, Clean-up, Recovery, and Lessons learned. To successfully respond to an incident, ENISA and CERT-EU strongly advise to:	インシデント対応は、いくつかのフェーズで構成される。インシデント対応は、準備、特定、封じ込め、後始末、復旧、そして教訓の段階から構成される。ENISAとCERT-EUは、インシデントへの対応を成功させるために、次のことを強く推奨する。
• Create and maintain an incident response plan. Ensure you have documented the procedures to reach out and swiftly communicate with your national or governmental CSIRT [31], and to provide access to forensics evidence when asked by relevant parties. The security white paper "Data Acquisition Guidelines for Investigation Purposes" contains related technical guidelines [30]. At the minimum, you should have an up-to-date list of key contacts for your strategic suppliers and service providers. Prepare and verify these procedures are tested and known to all the local incident handlers.	・インシデント対応計画を作成し、維持すること。国または政府の CSIRT [31]と連絡を取り、迅速に連絡し、関係者から要請があればフォレンジック証拠へのアクセスを提供する手順を文書化しておくことを確認する。セキュリティ白書「調査目的のデータ取得ガイドライン」は、関連する技術的なガイドラインを含んでいる [30]。最低限、戦略的サプライヤーとサービスプロバイダーの重要な連絡先の最新リストを持っている必要がある。これらの手順がテストされ、現地のインシデント対応担当者全員に周知されていることを準備し、確認する。
• Be able to assess the incident severity, for example based on its scale and impact. Handling of more advanced attacks may require engaging external security service providers who may offer professional advice and personnel. A suitable service provider should have solid experience in APT handling, and expertise in memory, storage and network forensics, as well as log data collection and analysis. Operating system experts – and Active Directory log analysis experts in particular – can be of great help too.	・インシデントの規模や影響度などに基づいて、インシデントの重大性を評価できるようにしておく。より高度な攻撃への対処には、専門的な助言と人材を提供する外部のセキュリティサービスプロバイダーとの連携が必要になる場合がある。適切なサービス・プロバイダーは、APTへの対応に関する確かな経験を持ち、メモリ、ストレージ、ネットワークのフォレンジック、ログ・データの収集と分析に関する専門知識を備えている必要がある。また、OSの専門家、特にActive Directoryのログ解析の専門家も大きな助けになります。
• Avoid common mistakes in incident handling such as:	・次のようなインシデント対応における一般的な誤りを避ける：
o ignoring a security event without assessing what triggered it and the potential impact;	・・セキュリティイベントが発生した原因や潜在的な影響を評価せずに無視する
o pre-emptively blocking or probing infrastructure used by threat actors (pinging, making DNS queries, browsing, etc.);	・・脅威アクターが使用するインフラ（Ping、DNS クエリー、ブラウジングなど）を先回りしてブロックまたはプロービングする。
o mitigating the affected systems before responders can collect and/or recover evidence;	・・対応担当者が証拠を収集・回復する前に、影響を受けたシステムの機能を停止させる。
o ignoring telemetry sources, such as network, system and access logs;	・・ネットワーク、システム、アクセスログなどの遠隔測定ソースを無視する。
o fixing the symptoms, ignoring the root causes and doing partial containment and recovery;	・・根本的な原因を無視して症状を修正し、部分的な封じ込めと復旧を行う。
o forgoing keeping a detailed record of actions taken and the event timeline.	・・実施した措置やイベントのタイムラインなどの詳細な記録を取らないこと。
• Incident response requires communication among several internal stakeholders and it is strongly recommended to have clear, concise communication guidelines prepared and tested in advance.	・インシデント対応には、社内の複数の関係者間でのコミュニケーションが必要であり、事前に明確で簡潔なコミュニケーションガイドラインを作成し、テストすることが強く推奨される。
If personal data is in the scope of the incident, seek the advice of your Data Protection Officer and/or your legal team.	個人情報がインシデントの範囲に含まれる場合は、データ保護責任者及び／又は法務チームの助言を求める。

[1] https://www.consilium.europa.eu/en/press/press -releases/2021/07/19/declaration -by -the -high -representative -on behalf -of -the -eu -urging -china -to -take -action -against -malicious -cyber -activities -undertaken -from -its -territory/

[2] https://diplomatie.belgium.be/en/news/declaration -minister -foreign -affairs -malicious -cyber -activities

[3] https://blog.talosintelligence.com/mustang -panda -targets -europe/

[4] https://www.proofpoint.com/us/blog/threat -insight/good -bad -and -web -bug -ta416 -increases -operational -tempo against -european

[5] https://www.secureworks.com/blog/bronze -president -targets -russian -speakers -with -updated -plugx

[24] https://www.enisa.europa.eu/publications/boosting-your-organisations-cyber-resilience

[25] https://github.com/enisaeu/CNW#security-best-practices

[26] https://attack.mitre.org/groups/

[27] https://cert.europa.eu/static/WhitePapers/UPDATED%20-%20CERT-EU_Security_Whitepaper_2014-007_Kerberos_Golden_Ticket_Protection_v1_4.pdf

[28] https://cert.europa.eu/static/WhitePapers/CERT-EU-SWP2019-001.pdf

[29] https://cert.europa.eu/static/WhitePapers/CERT-EU_SWP_17-002_Lateral_Movements.pdf

[30] https://cert.europa.eu/static/WhitePapers/CERT-EU-SWP2012-004.pdf

[31] https://csirtsnetwork.eu/

[34] https://www.enisa.europa.eu/securesme/cyber-tips/strengthen-technical-measures/secure-backups

[35] https://www.cert.europa.eu/static/WhitePapers/TLP-WHITE-CERT-EU_Security_Guidance-22-001_v1_0.pdf

● CERT-EU

・2023.02.15 Sustained activity by specific threat actors

・[PDF] Sustained activity by specific threat actors—Joint Publication JP-23-01

2023.02.17 03:27 in 情報セキュリティ / サイバーセキュリティ | Permalink | Comments (0)
Tweet

NEDO SIP第2期サイバー・フィジカル・セキュリティ対策検討ガイドブック〜セキュリティ製品導入のための手引き〜

こんにちは、丸山満彦です。

NEDOの戦略的イノベーション創造プログラム（SIP）第2期／IoT社会に対応したサイバー・フィジカル・セキュリティWGがの「SIP第2期サイバー・フィジカル・セキュリティ対策検討ガイドブック〜セキュリティ製品導入のための手引き〜」の報告書とVideoが公開されていますね。。。

読み物として読みやすいですね。。。

● NEDO

・2023.02.09 [PDF] 【エグゼクティブサマリー】サイバー・フィジカル・セキュリティ対策検討ガイドブック

・2023.02.09 [PDF] サイバー・フィジカル・セキュリティ対策検討ガイドブック

目次...

はじめに
1）目的
2）本ガイドブックの対象読者
3）本ガイドブックの全体構成

第１章　IoT や OT システムの危険性
1.1. 近年のサイバー攻撃の傾向
1.2. 攻撃における被害の拡大

第２章　IoT や OT に関するサイバー・セキュリティ対策の現状
2.1. サイバー・フィジカル・システムの急速な普及
2.2. サイバー・フィジカル・システムの急速な普及に伴う課題
2.3. サイバー・フィジカル・セキュリティ対策に関する規格・ガイドライン
2.4. サイバー・フィジカル・セキュリティ対策フレームワーク

第３章　SIP 技術を用いたサイバー・フィジカル・セキュリティの対策例
3.1. 悪意ある人物による機器に対する直接攻撃への対策
3.2. サプライチェーンフェーズでの悪意のあるソフトウェア混入への対策
3.3. リモートメンテナンスの脆弱性への対策
3.4. 自社で脆弱性を検討できないことによる放置リスクへの対策
3.5. 不適正な組織・事業者の接続への対策
3.6. サプライチェーン上で流通するデータ改ざんへの対策

第４章　対策の企画・導入の進め方
4.1. リスクアセスメント
4.2. リスク対応

第５章　まとめ

付録：ソリューションの技術説明
ソリューション①：既存機器のインターフェース部に外付け可能な通信暗号化コネクタシステム（SCU）
ソリューション②：IoT 機器向けの改ざん検知ソフトウェア（サービス）（NTT）
ソリューション③ : IoT や OT システムにおけるセキュリティ異常対処支援サービス（NTT）
ソリューション④：信頼できる取引ネットワーク構築サービス（富士通）
ソリューション⑤：サプライチェーン・トラスト・ソリューション（日立製作所）

エグゼクティブサマリーから...

ちなみに、この戦略的イノベーション創造プログラム（SIP）第2期／IoT社会に対応したサイバー・フィジカル・セキュリティは、情報セキュリティ大学院大学の後藤先生がリーダーですね。。。

事業期間は2018年度～20222年度の5年、5年間のプロジェクト総額が、約108億円となります。。。成果を公表していますね。。。

● NEDO

プロジェクト紹介

・戦略的イノベーション創造プログラム（SIP）第2期／IoT社会に対応したサイバー・フィジカル・セキュリティ

■ 研究開発テーマ

（A）「信頼の創出・証明」技術の研究開発

個々のIoT機器やサービスのセキュリティを強化し、多様なIoTシステム／サービスやサプライチェーン全体のセキュリティ確保を実現する上で必要な信頼創出・証明技術を研究開発します。

（B）「信頼チェーンの構築・流通」技術の研究開発

多様な社会インフラやサービス、幅広いサプライチェーンのセキュリティを確保するため、IoTシステム／サービスや調達・構築に関わるサプライチェーンにおいて「信頼チェーン」を構築し、必要な情報をセキュアに流通させる技術を研究開発します。

（C）「信頼チェーンの検証・維持」技術の研究開発

IoTシステム／サービス及びサプライチェーンにおいて、「信頼チェーン」が安全に運用されていることを検証し、維持することを可能とする技術を研究開発します。

お知らせから、成果物までまとまっている。。。と言うか、全部、モリモリのポータル。。。

・ポータル

過去の成果物 ●製作者　×委託先

タイトル	報告書管理番号	日本電気株式会社	国立研究開発法人産業技術総合研究所	一般社団法人重要生活機器連携セキュリティ協議会	株式会社サイバー創研	日本シノプシス合同会社	株式会社情報通信総合研究所
2022年度海外動向調査及び分析	20220000001068		●
2022年度 OSSの管理手法及びCSIRT・PSIRT連携等に関する調査	20220000001048		●
2021年度～2022年度 OSSの技術検証のあり方等に関する調査	20220000000436		●	X
2021年度海外動向調査	20220000000293		●		X
2021年度調広報戦略に関する調査	20220000000176
2020年度サプライチェーンにおけるOSSの活用状況調査	20210000000487		●			X
2020年度 OSSの技術検証、CSIRT・PSIRT連携等に関する調査	20210000000463		●			X
2020年度社会実装に向けた課題・要望に関する調査	20210000000369
2020年度海外動向調査	20210000000320		●		X
2020年度実証と成果普及の戦略調査	20210000000288
2019年度標準化動向調査	20200000000206		●				X
2019年度実証実験計画に向けた動向調査	20200000000205		●		X
2019年度広報戦略調査	20200000000006
平成30年度動向調査報告書	20190000000711	X	●

	実績・予算（百万円）	特許数	論文数
2018年度	2,500	0	0
2019年度	2,200	3	5
2020年度	2,255	7	11
2021年度	1,980	5	13
2022年度	1,822
合計	10,757	15	29

参考情報

・2018.10.22 決定「戦略的イノベーション創造プログラム（SIP）第2期／IoT社会に対応したサイバー・フィジカル・セキュリティ」に係る実施体制の決定について

プロジェクト開始段階でのテーマと委託先案...

No.	テーマ名	日本電信電話株式会社	日本電気株式会社	株式会社日立製作所	株式会社KDDI総合研究所	富士通株式会社	三菱電機株式会社株式会社	電子商取引安全技術研究組合	国立研究開発法人産業技術総合研究所
1	(A1) IoTサプライチェーンの信頼の創出技術基盤の研究開発							X	X
2	(A2) IoT機器等向け真贋判定による信頼の証明技術の研究開発	X	X
3	(A3) プロシージャ適格性保証による信頼の証明技術の研究開発		X	X	X
4	(B1) 分野毎の特性を踏まえた信頼チェーンの構築技術の研究開発		X	X	X
5	(B2) 信頼チェーンに関わる情報の安全な流通技術研究開発					X

サイト内検索

Recent Posts

Recent Comments

Recent Trackbacks

連載 (ITmedia)

ウェブページ

February 2023

2023.02.28

2023.02.27

2023.02.26

2023.02.25

2023.02.24

2023.02.23

2023.02.22

2023.02.21

2023.02.20

2023.02.19

2023.02.18

2023.02.17

■ 研究開発テーマ

（A）「信頼の創出・証明」技術の研究開発

（B）「信頼チェーンの構築・流通」技術の研究開発

（C）「信頼チェーンの検証・維持」技術の研究開発