« February 2023 | Main | April 2023 »

March 2023

2023.03.31

日本国際問題研究所 台湾海峡有事シミュレーション:概要と評価

こんにちは、丸山満彦です。

米国の戦略国際問題研究所が今年の1月に同様のシミュレーションを公表していますが、、、

日本国際問題研究所が、台湾海峡有事シミュレーション:概要と評価を公表していますね。。。簡潔で読みやすいです。。。


3. 検討課題

以上のシミュレーションの評価から、次のような検討課題が指摘できる。

・日本および台湾の士気を下げるために行われる情報戦・サイバー攻撃への対処

・中国による核の恫喝および非戦略核使用への有効な対処の検討

・日米の統合防空ミサイル防衛の緊密な連携

・打撃力のターゲティング調整を行うために日米の指揮統制面での緊密な連携を促進(日本の反撃能力を台湾侵攻に向かう中国軍に対して使用することの是非)

・潜水艦戦力の有効活用(海上自衛隊の潜水艦による台湾海峡の渡航作戦を行う中国海軍に対する攻撃の是非)

・フィリピン、豪州、英米との協力深化


 

⚫︎ 公益財団法人 日本国際問題研究所

 

・2023.03.30 台湾海峡有事シミュレーション:概要と評価

 

Logo_01_pc

 


 

⚫︎ まるちゃんの情報セキュリティ気まぐれ日記

・2023.03.26 米国 戦略国際問題研究所 次の戦争の最初の戦い:中国の台湾侵攻をウォーゲームで再現する (2023.01.09)

 

| | Comments (0)

防衛省防衛研究所 パブリックアトリビューションの「拡散」と「多様化」――政策当局間の「多様化」の国際比較研究――

こんにちは、丸山満彦です。

防衛省防衛研究所の刊行物である「安全保障戦略研究」の「」第3巻第2号に「パブリックアトリビューションの「拡散」と「多様化」――政策当局間の「多様化」の国際比較研究――」という論文が掲載されています。

アトリビューションに対する考え方、手続き等についての欧米の違いについてのものです。興味深いです。

 


<要旨>

本稿では、2010 年代後半のサイバー攻撃のアトリビューションに関する学術研究の新たな発展を検討し、その研究関心であるパブリックアトリビューションの「拡散」と「多様化」という現象のうち、政策当局間での「多様化」の要因とモデルの把握を試みた。本稿が比較対象とした米国司法省の刑事手続と欧州連合の制裁手続に付随したパブリックアトリビューションは、いずれも本来的には国家ではなく自然人・法人を対象とし、対象の権利保護のために制度が要求する手続的な制約も類似する。しかし、両者は「司法手続の政策化」と「政治対立の司法化」と表現しうる異なる要請に導かれ、近年の運用の様式や実績を異にしてきた。この結果は、政策当局間でのパブリックアトリビューションの「多様化」が、その(ⅰ)目的とオーディエンスの変化と、分析に要する機微な情報の収集・共有・公表の制約などの(ⅱ)施策の自由度を縛る政策過程の構造の双方の要因によって規定されうることを示した。


この論文をかかれている瀬戸崇志さんは、アトリビューションに関するいくつかの論考等をかかれていますね。。。

⚫︎ 防衛省 - 防衛研究所

・2023.03.24 安全保障戦略研究 第3巻 第2号

・[PDF] パブリックアトリビューションの「拡散」と「多様化」――政策当局間の「多様化」の国際比較研究――

20230331-150014

 

参考...

⚫︎ NIDSコメンタリー

「ロシアのウクライナ侵攻と米英両国のインテリジェンス公表政策―情報機関の'ジレンマ'と2014年以降の安全保障協力の'系譜'」 第224号 (2022年5月)

「国家のサイバー攻撃とパブリック・アトリビューション―ファイブ・諸国のアトリビューション連合   第179号 (2021年7月)

 

 

| | Comments (0)

ENISA 「クラウド・サイバーセキュリティ市場分析 2023」と「サイバーセキュリティ市場分析手法の更新」

こんにちは、丸山満彦です。

ENISAがクラウドセキュリティについての市場分析報告書とサイバーセキュリティ市場分析手法の更新版を公表していますね。。。

 

⚫︎ ENISA

プレス...

・2023.03.27 Every Cloud Cybersecurity Market has a Silver Lining

Every Cloud Cybersecurity Market has a Silver Lining クラウド・サイバーセキュリティの市場には、必ず銀の裏地がある
The European Union Agency for Cybersecurity (ENISA) publishes a cybersecurity market analysis of the cloud and an updated version of the cybersecurity market analysis framework. 欧州連合サイバーセキュリティ機関(ENISA)は、クラウドのサイバーセキュリティ市場分析およびサイバーセキュリティ市場分析フレームワークの更新版を発表する。
ENISA focused its market analysis on the cloud cybersecurity market following the strong demand from internal and external stakeholders and in light of the importance of cybersecurity in this market segment in the Digital Single Market. ENISAは、内外の関係者からの強い要望を受け、またデジタル単一市場におけるこの市場セグメントにおけるサイバーセキュリティの重要性に鑑み、クラウド・サイバーセキュリティ市場に焦点を当てて市場分析を実施した。
ENISA seeks to provide market information and facilitate market developments to help “improve the conditions for the functioning of the internal market” and “foster a robust European cybersecurity industry and market” as foreseen in the ENISA’s Single Programming Document 2023-2025. ENISAは、ENISAの単一計画文書2023-2025で予見されている「域内市場の機能に関する条件の改善」と「強固な欧州サイバーセキュリティ産業および市場の育成」を支援するために、市場情報の提供と市場開発の促進を目指している。
The cybersecurity market analysis served as a testbed of the ENISA Cybersecurity Market Analysis Framework (ECSMAF) to further improve on the original version. The ECSMAF built additional synergies across lateral ENISA cybersecurity areas of interest including the ENISA’s EU cybersecurity index under development, operational cooperation and research. サイバーセキュリティ市場分析は、ENISAサイバーセキュリティ市場分析フレームワーク(ECSMAF)のテストベッドとして機能し、オリジナル版をさらに改善した。ECSMAFは、開発中のENISAのEUサイバーセキュリティ指標、運用協力、研究など、ENISAのサイバーセキュリティの関心分野を横断してさらなるシナジーを構築した。
Why a cloud cybersecurity market analysis? なぜクラウド・サイバーセキュリティの市場分析なのか?
Market analysis is key to understanding trends and assessing potential issues at stake in terms of demand and supply. 市場分析は、トレンドを理解し、需要と供給の面で問題となっている潜在的な問題を評価するための鍵となる。
This analysis provides an insight into the needs and requirements of consumers in terms of cloud cybersecurity products, services and processes. Moreover, it can provide additional highlights regarding the role of other important market players, such as regulators and research & development. この分析により、クラウド・サイバーセキュリティの製品、サービス、プロセスに関する消費者のニーズと要件についての洞察が得られます。さらに、規制当局や研究開発など、他の重要な市場プレイヤーの役割に関する追加的なハイライトを提供することができます。
Key findings? 主な調査結果
Observations made include the following: 以下のようなことがわかった:
・The provision of services concerning cloud cybersecurity is a challenge to assess because many demand-side stakeholders are using security services from the same companies that also provide cloud services, as a kind of ‘bundled offering’. This makes it difficult to distinguish the components specifically related to cybersecurity; ・クラウド・サイバーセキュリティに関するサービスの提供は、多くの需要側の関係者が、一種の「バンドル提供」として、クラウドサービスも提供している同じ会社のセキュリティサービスを利用しているため、評価するのが難しい。このため、サイバーセキュリティに特化したコンポーネントを区別することは困難である;
・Inconsistencies emerged in the perception between supply and demand. Scoring high as a threat with supply-side respondents, misconfigurations stand as potential gaps, the largest one being between perceived and managed threats. On the demand side, this gap is not as big for this specific threat, but becomes significant when it comes to insecure application programming interfaces (APIs);  ・供給と需要の間で認識に矛盾が生じた。供給側の回答者が脅威として高く評価したのは、潜在的なギャップとして設定ミスがあることで、最大のものは、認識されている脅威と管理されている脅威の間にある。需要側では、このギャップはこの特定の脅威についてはそれほど大きくはないが、安全でないアプリケーション・プログラミング・インターフェース(API)に関しては大きくなっている; 
・Driven by an applications appetite, secure mobile cloud computing, fog computing, edge computing and secure cloud architectures account for around 40% of the survey respondents and they emerge as the most relevant research topics in the interest of the supply and demand stakeholders alike; ・アプリケーションへの意欲に後押しされ、安全なモバイルクラウドコンピューティング、フォグコンピューティング、エッジコンピューティング、安全なクラウドアーキテクチャが調査回答者の約40%を占め、需要と供給の関係者が同様に関心を持つ最も関連性の高い研究テーマとして浮上している;
・Scarcity of skills emerges as the most relevant barrier for the adoption of cloud cybersecurity. ・クラウド・サイバーセキュリティの導入に最も関連する障壁として、スキルの不足が浮かび上がっている。
The Digital Single Market holds the promise of growth as it continues offering a silver lining to cloud cybersecurity regardless of the background and the business model of the providers that seek to endeavour in it. デジタル単一市場は、クラウド・サイバーセキュリティに取り組むプロバイダーのバックグラウンドやビジネスモデルに関係なく、クラウド・サイバーセキュリティに明るい兆しを与え続け、成長を約束するものである。
What’s new in the revamped cybersecurity market analysis framework? 刷新されたサイバーセキュリティ市場分析フレームワークの新機能は?
The ENISA Cybersecurity Market Analysis Framework (ECSMAF) guides the development of the analysis of a vertical cybersecurity market segment that comes under scrutiny. ENISA Cybersecurity Market Analysis Framework(ECSMAF)は、精査の対象となるサイバーセキュリティの垂直市場セグメントの分析開発をガイドするものである。
Along the lines of the empirical analysis instigated by the Cloud Cybersecurity Market Analysis, the original ECSMAF has been enhanced (ECSMAF V2.0). In the updated version, the steps to take to perform a cybersecurity market analysis were simplified and further explained to improve clarity and usability. For eager seekers of further guidance, clarifications by way of annexes were added to this purpose. クラウド・サイバーセキュリティ市場分析で始まった実証分析の流れに沿って、オリジナルのECSMAFが強化されました(ECSMAF V2.0)。今回のバージョンアップでは、サイバーセキュリティ市場分析の手順を簡略化し、より分かりやすく、より使いやすく説明した。さらなるガイダンスを熱心に求める人のために、附属書による説明も追加されました。
ENISA received valuable support from the stakeholders involved, including the respondents to the survey, and the contribution of the ENISA Ad Hoc Working Group on Cybersecurity Market Analysis. ENISAは、アンケート回答者を含む関係者の貴重な支援と、ENISA Ad Hoc Working Group on Cybersecurity Market Analysisの貢献を受けている。
Further information さらに詳しい情報
Cloud Cybersecurity Market Analysis – ENISA report 2023 クラウド・サイバーセキュリティの市場分析 - ENISAレポート 2023
Updated ENISA Cybersecurity Market Analysis Framework – ENISA report 2023 ENISAサイバーセキュリティ市場分析フレームワークを更新 - ENISAレポート2023年版
EU Cybersecurity Market Analysis – IoT in Distribution Grids – ENISA report 2022 EUサイバーセキュリティ市場分析 - 配電網におけるIoT - ENISAレポート2022年版

 

レポート

・2023.03.27 Cloud Cybersecurity Market Analysis

Cloud Cybersecurity Market Analysis クラウド・サイバーセキュリティの市場分析
The present European Union Agency for Cybersecurity (ENISA) report is an analysis of the cloud cybersecurity market, planned for in ENISA’s Work Programme 2022 ( ) under activity O.7.1., ‘Market analysis on the main trends in the cybersecurity market on both the demand side and the supply side’. The selection of this segment for this year’s cybersecurity market analysis is the result of a poll carried out with the involvement of multiple stakeholders, both outside and within ENISA. The criteria used for the prioritisation of the collected proposals were the size of the relevant market, the importance and criticality of the market for businesses of all sizes, relevance of the sector to EU policy, relevance to research and relevance to regulatory activities. 今回の欧州連合サイバーセキュリティ機関(ENISA)のレポートは、ENISAのワークプログラム2022( )で計画されている活動O.7.1「サイバーセキュリティ市場の需要側と供給側の両方における主要動向に関する市場分析」で、クラウドサイバーセキュリティ市場の分析を行うものである。今年のサイバーセキュリティ市場分析のためにこのセグメントを選択したのは、ENISAの内外を問わず、複数の関係者が参加して実施した投票の結果である。集まった提案の優先順位付けに用いられた基準は、関連市場の規模、あらゆる規模の企業にとっての市場の重要性・重要性、EU政策との関連性、研究との関連性、規制活動との関連性である。

 

・[PDF]

20230331-54911

 

エグゼクティブサマリー...

EXECUTIVE SUMMARY  エグゼクティブサマリー 
The present European Union Agency for Cybersecurity (ENISA) report is an analysis of the cloud cybersecurity market, planned for in ENISA’s Work Programme 2022 [2] under activity O.7.1., ‘Market analysis on the main trends in the cybersecurity market on both the demand side and the supply side’. The selection of this segment for this year’s cybersecurity market analysis is the result of a poll carried out with the involvement of multiple stakeholders, both outside and within ENISA. The criteria used for the prioritisation of the collected proposals were the size of the relevant market, the importance and criticality of the market for businesses of all sizes, relevance of the sector to EU policy, relevance to research and relevance to regulatory activities.  今回の欧州連合サイバーセキュリティ機関(ENISA)のレポートは、ENISAのワークプログラム2022([1])の活動項目O.7.1「需要側と供給側の両方におけるサイバーセキュリティ市場の主要動向に関する市場分析」で計画されている、クラウドサイバーセキュリティ市場に関する分析である。今年のサイバーセキュリティ市場分析のためにこのセグメントを選択したのは、ENISAの外部と内部の両方の複数の利害関係者が関与して実施した投票の結果である。集まった提案の優先順位付けに用いられた基準は、関連市場の規模、あらゆる規模の企業にとっての市場の重要性・重要性、EU政策との関連性、研究との関連性、規制活動との関連性である。
For this analysis, ENISA has performed primary research, that is, a survey involving the main stakeholder types of the cloud computing ecosystem by means of dedicated questionnaires. The quantitative information from the survey has been validated via qualitative information obtained through open-source information, as well as by means of quality assurance by various external experts, including the members of the ENISA Ad Hoc Working Group on Cybersecurity Market Analysis.  この分析のために、ENISAは一次調査、つまり専用のアンケートによってクラウドコンピューティングのエコシステムの主要なステークホルダーを対象とした調査を実施しました。調査から得られた定量的情報は、オープンソース情報から得られた定性的情報、およびENISA Ad Hoc Working Group on Cybersecurity Market Analysisのメンバーを含む様々な外部専門家による品質保証によって検証されている。
By collecting information from various stakeholder types of the cloud ecosystem, we were in the position to assess stakeholder-specific perspectives on cloud cybersecurity. Differences among stakeholder perspectives are key to understand differences in viewpoints, requirements, capability levels, perceptions about threats and challenges, compliance, etc. These variating views are – in many cases – indicative of potential market trends, market barriers, market and research gaps, skill shortages, the existence of market niches, etc. The conclusions of this report capture many of these topics, in particular the following ones.  クラウドエコシステムの様々なステークホルダーから情報を収集することで、クラウドサイバーセキュリティに対するステークホルダー固有の視点を評価する立場にありました。ステークホルダーの視点の違いは、視点、要件、能力レベル、脅威や課題に関する認識、コンプライアンスなどの違いを理解する上で重要である。こうした見解の違いは、多くの場合、潜在的な市場動向、市場の障壁、市場や研究のギャップ、スキル不足、市場のニッチの存在などを示している。本報告書の結論は、これらのトピックの多くを捉えており、特に以下のトピックが重要である。
• Market characteristics and market trends. A variety of cybersecurity market characteristics and market trends are presented, including manageability of offered cybersecurity functions, technical integration options for various cybersecurity functions, the role of data privacy, consolidation of on-premises and off-premises security (see Section 8.1).  - 市場の特徴と市場動向 提供されるサイバーセキュリティ機能の管理性、様々なサイバーセキュリティ機能の技術的統合オプション、データプライバシーの役割、オンプレミスとオフプレミスのセキュリティの統合など、様々なサイバーセキュリティ市場の特性と市場動向が示されている(セクション8.1参照)。
• Market barriers. Factors leading to difficulties in the market adoption of cloud computing services have been identified, in particular variating perceptions about the level of threat management by various cybersecurity functions, lack of cybersecurity skills in most of the stakeholders of the cloud ecosystem, the reduced level of adoption of cybersecurityrelated certifications, low availability of standards and intellectual property rights (IPRs), as well as distortions in the flow of vulnerability and incident information among the cloud stakeholders (see Section 8.3).  - 市場の障壁。クラウドコンピューティングサービスの市場導入を困難にしている要因として、特に、様々なサイバーセキュリティ機能による脅威管理のレベルに関する認識の相違、クラウドエコシステムの関係者の多くにおけるサイバーセキュリティスキルの不足、サイバーセキュリティ関連認証の採用レベルの低下、標準規格や知的財産権(IPRs)の利用しにくさ、クラウド関係者の間での脆弱性や事故情報の流れにおける歪み、が指摘されている(セクション 8.3 参照)。
• Market gaps. Various gaps in the cloud cybersecurity market emerge through mismatches in deployment of cybersecurity functions between the demand side and supply side. The market gaps are rooted in concerns about the management of various threats and unclear distributions responsibilities about the implementation and maintenance of cloud cybersecurity functions (see Section 8.2).  - 市場のギャップ クラウド・サイバーセキュリティ市場における様々なギャップは、需要側と供給側の間のサイバーセキュリティ機能の展開のミスマッチによって生じている。この市場ギャップは、様々な脅威の管理に関する懸念や、クラウドサイバーセキュリティ機能の実装と維持に関する分配責任の不明瞭さに根ざしている(8.2項参照)。
• Research and innovation. Some clear indications about the importance of zero-trust architectures, the use of privacy enhancing technologies and the impact of cloud technology in artificial intelligence, 5G and quantum computing make these topics excellent candidates for research and deployment actions (see Section 8.4).  - 研究・イノベーション。ゼロトラストアーキテクチャの重要性、プライバシー強化技術の利用、人工知能、5G、量子コンピューティングにおけるクラウド技術の影響など、いくつかの明確な示唆があり、これらのテーマは研究・展開活動の優れた候補となる(セクション8.4参照)。
• Future market projections. A number of reflections regarding the future paths for the development of the supply of cloud cybersecurity services have been formulated. These are mainly attempts to properly orchestrate cybersecurity services, where different approaches will be implemented, depending on the nature of cloud suppliers (for example hyperscalers and cloud enablers) (see Section 8.5).  - 将来の市場予測。クラウド・サイバーセキュリティ・サービスの供給の発展のための将来の道筋に関する多くの考察が策定されている。これらは主にサイバーセキュリティサービスを適切にオーケストレーションするための試みであり、クラウド供給者の性質(例えばハイパースケーラーやクラウドイネイブラー)に応じて異なるアプローチが実施されるであろう(セクション8.5を参照)。
Besides the analyses and conclusions presented in this document, there is some additional material in this work that may be interesting for a number of stakeholders. This includes collected raw data, developed questionnaires, details of the various stakeholder perceptions, scoping information, as well as the tools and processes used. ENISA is open to share any kind of information resulting from this cybersecurity market analysis with interested stakeholders.  本書で提示した分析と結論の他に、多くのステークホルダーにとって興味深い追加資料がある。これには、収集した生データ、開発したアンケート、様々なステークホルダーの認識の詳細、スコープ情報、さらには使用したツールやプロセスなどが含まれる。ENISAは、このサイバーセキュリティ市場分析から得られたあらゆる種類の情報を、関心のある利害関係者と共有することに前向きである。

[2]  https://www.enisa.europa.eu/publications/corporate-documents/enisa-single-programming-document2022-2024, accessed November 2022. 

 

目次...

1. INTRODUCTION 1. 序文
1.1. SCOPING OF THE CLOUD CYBERSECURITY ANALYSIS 1.1. クラウドサイバーセキュリティ分析のスコーピング
1.2. INFORMATION ON PERFORMED DATA COLLECTION 1.2. 実施されたデータ収集に関する情報
1.3. STRUCTURE OF THIS REPORT 1.3. 本報告書の構成
2. CHARACTERISTICS OF THE CLOUD CYBERSECURITY ECOSYSTEM 2. クラウド・サイバーセキュリティ・エコシステムの特徴
2.1. CLOUD ECOSYSTEM 2.1. クラウドエコシステム
2.1.1. Cloud Computing Stakeholder Types 2.1.1. クラウドコンピューティングのステークホルダーの種類
2.2. CLOUD MODELS AND ATTRIBUTES 2.2. クラウドモデルと属性
2.2.1. Service Models 2.2.1. サービスモデル
2.2.2. Deployment Models 2.2.2. デプロイメント・モデル
2.2.3. Cloud Essential Attributes 2.2.3. クラウド必須属性
2.3. CYBERSECURITY PRODUCTS AND SERVICES RELATED TO CLOUD COMPUTING 2.3. クラウドコンピューティングに関連するサイバーセキュリティ製品・サービス
2.4. CLOUD COMPUTING CYBERSECURITY CHALLENGES 2.4. クラウドコンピューティング・サイバーセキュリティの課題
2.5. THREAT EXPOSURE OF CLOUD COMPUTING 2.5. クラウドコンピューティングの脅威エクスポージャー
3. DEMOGRAPHICS OF INVOLVED STAKEHOLDER TYPES 3. 関係するステークホルダーのデモグラフィック
3.1. DEMAND SIDE: THE PROFILE OF CLOUD USERS 3.1. 需要側: クラウドユーザーのプロファイル
3.2. SUPPLY SIDE: THE PROFILE OF CLOUD PROVIDERS 3.2. 供給側: クラウドプロバイダーのプロファイル
3.3. REGULATORY BODIES 3.3. 規制機関
3.4. RESEARCH AND DEVELOPMENT ORGANISATIONS 3.4. 研究開発組織
3.5. INTERESTING OBSERVATIONS: CLOUD DEMOGRAPHICS 3.5. 興味深い見解である: クラウドデモグラフィックス
4. CLOUD USAGE PATTERNS AND REQUIREMENTS 4. クラウド利用形態と要件
4.1. CLOUD USAGE PATTERNS 4.1. クラウド利用形態
4.2. CLOUD CYBERSECURITY REQUIREMENTS 4.2. クラウドサイバーセキュリティ要件
4.3. INTERESTING OBSERVATIONS: CLOUD USAGE PATTERNS AND REQUIREMENTS 4.3. 興味深い観察 クラウドの使用パターンと要件
5. THREATS, CHALLENGES AND CAPABILITIES 5. 脅威、課題、能力
5.1. CLOUD CYBERSECURITY: THREATS, CHALLENGES AND CAPABILITIES 5.1. クラウドサイバーセキュリティ:脅威、課題、能力
5.1.1. Cloud Cybersecurity Threats: Multiplicity of Perception within All Stakeholder Types 5.1.1. クラウドサイバーセキュリティの脅威: すべてのステークホルダー・タイプにおける多様な認識
5.1.2. Cybersecurity Challenges and Level of Implementations 5.1.2. サイバーセキュリティの課題と実装のレベル
5.2. INCIDENTS AND VULNERABILITIES 5.2. インシデントと脆弱性
5.3. INTERESTING OBSERVATIONS: THREATS, CHALLENGES AND CAPABILITIES 5.3. 興味深い観察 脅威、課題、能力
6. ROLE OF REGULATION AND CERTIFICATION 6. 規制と認証の役割
6.1. TYPES OF REGULATORY ACTIVITIES IN CLOUD CYBERSECURITY 6.1. クラウドサイバーセキュリティにおける規制活動の種類
6.2. THE ROLE OF CERTIFICATION IN CLOUD CYBERSECURITY 6.2. クラウドサイバーセキュリティにおける認証の役割
6.3. INTERESTING OBSERVATIONS: ROLE OF REGULATION AND CERTIFICATION 6.3. 興味深い観察 規制と認証の役割
7. CLOUD CYBERSECURITY MARKET TRENDS 7. クラウドサイバーセキュリティ市場動向
7.1. CLOUD CYBERSECURITY MARKET EVOLUTION 7.1. クラウドサイバーセキュリティ市場進化
7.2. CLOUD CYBERSECURITY DRIVERS AND BARRIERS 7.2. クラウドサイバーセキュリティの推進要因と障壁
7.3. CLOUD CYBERSECURITY INNOVATION AREAS 7.3. クラウド・サイバーセキュリティ・イノベーション領域
7.4. INTERESTING OBSERVATIONS: CLOUD CYBERSECURITY MARKET TRENDS 7.4. 興味深い見解である: クラウド・サイバーセキュリティの市場動向
8. CONCLUDING REMARKS 8. 結語
8.1. CONCLUSIONS ON MARKET CHARACTERISTICS AND TRENDS 8.1. 市場特性およびトレンドに関する結論
8.2. CONCLUSIONS EMERGING FROM VARIATING PERCEPTIONS AND POTENTIAL GAPS 8.2. さまざまな認識と潜在的なギャップから生まれる結論
8.3. CONCLUSIONS ON MARKET BARRIERS 8.3. 市場バリアに関する結論
8.4. CONCLUSIONS ON RESEARCH AND INNOVATION TOPICS 8.4. 研究・イノベーションのテーマに関する結論
8.5. FURTHER CONSIDERATIONS AND PROJECTIONS 8.5. さらなる考察と予測
9. ΑNNEX A: CLOUD CYBERSECURITY MARKET ANALYSIS QUESTIONNAIRE 9. 附属書A:クラウド・サイバーセキュリティ市場分析アンケート
10.ANNEX B: SCOPING CRITERIA OF THE CLOUD CYBERSECURITY MARKET ANALYSIS 10.附属書B:クラウド・サイバーセキュリティ市場分析のスコープ基準

 

分析手法の更新...

・2023.03.27 ENISA Cybersecurity Market Analysis Framework (ECSMAF) -V2.0

・[PDF]

20230331-62712

 

 

 

 


 

⚫︎ まるちゃんの情報セキュリティ気まぐれ日記

・2022.12.03 ENISA サイバーセキュリティ市場分析をするためのディスカッション

・2022.04.11 ENISA サイバーセキュリティビジネスの意思決定を支援するサイバーセキュリティ市場分析のフレームワーク

 

 

| | Comments (0)

2023.03.30

大阪急性期・総合医療センター 情報セキュリティインシデント調査委員会報告書

こんにちは、丸山満彦です。

2022.10.04にランサムウェア攻撃で被害にあった、大阪急性期・総合医療センター が、情報セキュリティインシデント調査委員会報告書を公表していますね。。。

医療業務の事業継続についても、評価が高かったのですが、報告書もよくできているように思います。委員長は、猪俣先生です。。。お疲れ様でしたです。。。委員には、LACの西本さん(2000年に京都の会社で生じたインシデント対応をお願いした時からの付き合いです。。。)や医療関係経営者、医療システムの有識者、法律家等と、委員も本物ならば、業務、法律、システムとそれらをつなげられる方とバランスも良く、良い報告書ができるでしょう。。。という感じですね。。。

 

⚫︎ 地方独立行政法人大阪府立病院機構 大阪急性期・総合医療センター

・2023.03.28 情報セキュリティインシデント調査委員会報告書について

報告書...

・[PDF] 情報セキュリティインシデント調査委員会報告書 [downloaded]

20230330-75800 

 

・[PDF] 情報セキュリティインシデント調査委員会報告書概要版 [downloaded]

20230330-81332 

 

 

 

| | Comments (0)

NATO CCDCOE 軍事用5Gネットワークと関連する軍事アプリケーションに対する中国のアプローチ

こんにちは、丸山満彦です。

NATO CCDCOEが、軍事用5Gネットワークと関連する軍事アプリケーションに対する中国のアプローチについての分析をしていますね。。。軍事分野でのDXというのは、軍事力に大きな影響があると思います。戦闘機単独の性能よりも、マルチドメインで戦況に応じて臨機応変に対応できる能力というのが、より重要となってくるのでしょうね。。。いわゆるデュアルユースですから、民間での活用が広がれば広がるほど、軍事分野での活用も広がっていくということになると思います。

 

NATO CCDCOE

・2023.03 China’s Approach to Military 5G Networks and Related Military Applications

China’s Approach to Military 5G Networks and Related Military Applications 軍事用5Gネットワークと関連する軍事アプリケーションに対する中国のアプローチ
This article summarizes thinking, plans, and activities of the People’s Republic of China in leveraging 5G networks for military purposes, and developing associated military applications. The paper analyses Chinese original sources, including government strategy documents, articles and essays by government officials and scholars, and commercial documents like due diligence and market analysis reports. The paper argues that China intends to capture the strategic value of 5G for the military, including through conceptual research on the role of 5G in future warfighting. Chinese research institutions and private companies have filed patents and developed dual-use applications for 5G networks, which could be used for military and national security purposes. The paper recommends to continue monitoring China’s plans and activities in these areas. 本稿は、中華人民共和国が5Gネットワークを軍事目的に活用し、関連する軍事アプリケーションを開発する際の考え方、計画、活動などをまとめたものである。本稿では、政府の戦略文書、政府関係者や学者による論文やエッセイ、デューデリジェンスや市場分析報告などの商業文書など、中国の原典を分析した。本稿は、中国が、将来の戦争遂行における5Gの役割に関する概念的な研究を通じて、軍事における5Gの戦略的価値を獲得することを意図していることを論じている。中国の研究機関や民間企業は、5Gネットワークの特許を申請し、軍事や国家安全保障の目的で使用できるデュアルユースアプリケーションを開発しています。本稿では、これらの分野における中国の計画や活動を引き続き監視することを推奨している。

 

・[PDF]

20230330-74905

 ・[DOCX] 仮訳

 

 

 

 

 

| | Comments (0)

欧州 ユーロポール ChatGPTの犯罪利用-大規模言語モデルに関する注意事項

こんにちは、丸山満彦です。

欧州警察機構 (Europol) がChatGPTなどの大規模言語モデルの犯罪利用に関して議論をし、報告書を公表していますね。。。はやい。。。

最近、クライアントと話をしていると、ChatGPTなどの大規模言語モデルの利用について話になります。大体の場合、

  1. 社会がどう変わるのかという話
  2. 普及に伴う悪影響についての話

に大別されますが、Europolの報告書は後者に関する話となりますね。。。

ちなみに、ChatGPTなどの大規模言語モデルの普及により、職がなくなるとか、社会のあり方が変わるという話がありますが、幹の話をすると、人間が新しい技術(道具)の普及の速度に合わせて「いかに道具」をうまく使いこなすのか?という話だと思います。

自動車が普及した時に衰退した産業、新たにできた産業や拡大した産業がありましたよね。。。電卓が普及した時に、算盤産業は影響を受け、算盤が得意な人の競争優位が薄れましたよね。。。パソコンが普及して、タイプライター産業、ワープロ産業が衰退し、でも社会が大きくかわりましたよね。。。インターネット普及で、、、スマホが普及して使えない人が、、、といろいろありますが、それぞれの技術を普及により社会が変わっていくが、社会における人間の役割は一定あるということだと思います。

今回は影響範囲が広そうですし、変化のスピードも早そうです。そこが大きなポイントかもしれません。。。人間が普及の速度に合わせていかにうまくChatGPTなどの大規模言語モデルを利用するか?ということだと思います。

そういう意味で(特に後者の意味で)、Europolの報告書は参考になることがあると思います。

 

⚫︎ Europol

・2023.03.27 The criminal use of ChatGPT – a cautionary tale about large language models

The criminal use of ChatGPT – a cautionary tale about large language models ChatGPTの犯罪利用-大規模言語モデルに関する注意事項
In response to the growing public attention given to ChatGPT, the Europol Innovation Lab organised a number of workshops with subject matter experts from across Europol to explore how criminals can abuse large language models (LLMs) such as ChatGPT, as well as how it may assist investigators in their daily work.  ChatGPTに対する社会的関心の高まりを受け、欧州警察機構イノベーション・ラボは、ChatGPTのような大規模言語モデル(LLM)を犯罪者がいかに悪用するか、また、捜査官の日常業務にいかに役立つかを探るため、欧州警察機構の専門家を集めて多数のワークショップが開催された。 
Their insights are compiled in Europol’s first Tech Watch Flash report published today. Entitled ‘ChatGPT - the impact of Large Language Models on Law Enforcement’, this document provides an overview on the potential misuse of ChatGPT, and offers an outlook on what may still be to come.  これらの知見は、本日発表されたユーロポールのテックウォッチ・フラッシュ・レポートにまとめられている。ChatGPT - the impact of Large Language Models on Law Enforcement」と題された本書は、ChatGPTが悪用される可能性について概観し、今後何が起こるかについての見通しを示している。 
The aim of this report is to raise awareness about the potential misuse of LLMs, to open a dialogue with Artificial Intelligence (AI) companies to help them build in better safeguards, and to promote the development of safe and trustworthy AI systems.  本報告書の目的は、LLMの悪用の可能性について認識を高め、人工知能(AI)企業がより良い安全策を構築できるよう対話を開始し、安全で信頼できるAIシステムの開発を促進することにある。 
A longer and more in-depth version of this report was produced for law enforcement only.  本レポートは、法執行機関向けにのみ、より長く、より詳細なバージョンが作成されている。 
What are large language models?  大規模言語モデルとは何か? 
A large language model is a type of AI system that can process, manipulate, and generate text.  大規模言語モデルは、テキストを処理、操作、生成することができるAIシステムの一種である。 
Training an LLM involves feeding it large amounts of data, such as books, articles and websites, so that it can learn the patterns and connections between words to generate new content.  LLMのトレーニングには、書籍、記事、ウェブサイトなどの大量のデータを与え、単語間のパターンやつながりを学習させ、新しいコンテンツを生成させることが含まれる。 
ChatGPT is an LLM that was developed by OpenAI and released to the wider public as part of a research preview in November 2022. ChatGPTは、OpenAIが開発したLLMで、2022年11月に研究プレビューの一環として広く一般に公開された。
The current publicly accessible model underlying ChatGPT is capable of processing and generating human-like text in response to user prompts. Specifically, the model can answer questions on a variety of topics, translate text, engage in conversational exchanges (‘chatting’), generate new content, and produce functional code.  現在公開されているChatGPTの基礎となるモデルは、ユーザーのプロンプトに応じて人間のようなテキストを処理・生成することが可能である。具体的には、さまざまなトピックに関する質問への回答、テキストの翻訳、会話のやり取り(「チャット」)、新しいコンテンツの生成、機能コードの生成などが可能である。 
The dark side of Large Language Models 大規模言語モデルのダークサイド
As the capabilities of LLMs such as ChatGPT are actively being improved, the potential exploitation of these types of AI systems by criminals provide a grim outlook. ChatGPTのようなLLMの能力が向上するにつれ、この種のAIシステムが犯罪者に悪用される可能性があり、厳しい見通しを示している。
The following three crime areas are amongst the many areas of concern identified by Europol’s experts:  Europolの専門家が指摘する多くの懸念事項の中には、次の3つの犯罪分野が含まれている: 
Fraud and social engineering: ChatGPT’s ability to draft highly realistic text makes it a useful tool for phishing purposes. The ability of LLMs to re-produce language patterns can be used to impersonate the style of speech of specific individuals or groups. This capability can be abused at scale to mislead potential victims into placing their trust in the hands of criminal actors. 詐欺とソーシャルエンジニアリング:ChatGPTは、非常にリアルなテキストを起草できるため、フィッシング目的のツールとしても有効である。LLMが言語パターンを再現する能力は、特定の個人または集団の発話スタイルになりすますために利用できる。この機能を大規模に悪用することで、潜在的な被害者を欺き、犯罪者の手に信頼を委ねることができる。
Disinformation: ChatGPT excels at producing authentic sounding text at speed and scale. This makes the model ideal for propaganda and disinformation purposes, as it allows users to generate and spread messages reflecting a specific narrative with relatively little effort. 偽情報: ChatGPTは、本物そっくりのテキストを高速かつ大規模に作成することに優れている。そのため、特定のシナリオを反映したメッセージを比較的少ない労力で作成・拡散することができ、プロパガンダや偽情報の作成に最適なモデルである。
Cybercrime: In addition to generating human-like language, ChatGPT is capable of producing code in a number of different programming languages. For a potential criminal with little technical knowledge, this is an invaluable resource to produce malicious code.  サイバー犯罪:ChatGPTは、人間のような言語を生成するだけでなく、多くの異なるプログラミング言語のコードを生成することができる。技術的な知識のない潜在的な犯罪者にとって、これは悪意のあるコードを作成するための貴重なリソースとなる。 
As technology progresses, and new models become available, it will become increasingly important for law enforcement to stay at the forefront of these developments to anticipate and prevent abuse.  技術が進歩し、新しいモデルが利用可能になるにつれ、法執行機関はこれらの開発の最前線に立ち、悪用を予測・防止することがますます重要になるだろう。 
Read Europol’s recommendations and the full findings of the report here. ユーロポールの提言と報告書の全内容はこちらから参照のこと。
*** ***
Important notice: The LLM selected to be examined in the workshops was ChatGPT. ChatGPT was chosen because it is the highest-profile and most commonly used LLM currently available to the public. The purpose of the exercise was to observe the behaviour of an LLM when confronted with criminal and law enforcement use cases. This will help law enforcement understand what challenges derivative and generative AI models could pose. 重要事項: ワークショップで検討されるLLMはChatGPTに決定した。ChatGPTが選ばれたのは、現在公開されているLLMの中で最も知名度が高く、最も一般的に使用されているからである。この演習の目的は、犯罪や法執行機関のユースケースに直面したときのLLMの挙動を観察することでした。これにより、法執行機関は、派生的・生成的なAIモデルがどのような課題をもたらすかを理解することができる。
*** ***
About the Europol Innovation Lab  ユーロポール・イノベーション・ラボについて 
The Europol Innovation Lab helps the European law enforcement community to make the most of emerging technologies by finding synergies and developing innovative solutions to improve the ways in which they investigate, track and disrupt terrorist and criminal organisations. The Lab leads several research projects and coordinates the development of investigative tools with national law enforcement authorities.  ユーロポール・イノベーション・ラボは、欧州の法執行機関が、テロ組織や犯罪組織の捜査、追跡、破壊の方法を改善するために、相乗効果を見出し、革新的なソリューションを開発することで、新興技術を最大限に活用できるよう支援している。ラボは、いくつかの研究プロジェクトを主導し、各国の法執行当局と捜査ツールの開発を調整している。 
Read more about the Lab’s work. ラボの活動についてはこちらを参照のこと。

 

・2023.03.27 ChatGPT - the impact of Large Language Models on Law Enforcement

ChatGPT - the impact of Large Language Models on Law Enforcement ChatGPT-大規模言語モデルが法執行に及ぼす影響
Large Language Models (LLMs) such as ChatGPT are undergoing rapid advances and have now entered the mainstream. This marks a significant step forward for machine learning, as it shows its ability to handle both mundane tasks and complex creative tasks. The developments with LLMs hold potential implications for all industries, including criminal ones. So what does this mean for law enforcement? ChatGPTのような大規模言語モデル(LLM)は、急速な進歩を遂げ、今や主流になりつつある。これは、機械学習が、ありふれたタスクと複雑な創造的タスクの両方に対応できることを示すものであり、機械学習の重要な前進を意味する。LLMを用いた開発は、犯罪を含むすべての産業に潜在的な影響を与えます。では、法執行機関にとってどのような意味があるのだろうか。
In response to the growing public attention given to ChatGPT, the Europol Innovation Lab organised a number of workshops with subject matter experts from across the organisation to explore how criminals can abuse LLMs, as well as how it may assist investigators in their daily work. This Tech Watch Flash report analyses the findings of these sessio・s and includes key information for law enforcement as they continue to scan for new and emerging technologies that affect their work. ChatGPTに対する社会的関心の高まりを受け、Europol Innovation Labは、犯罪者がLLMをどのように悪用するか、また、捜査官の日常業務にどのように役立つかを探るため、組織内の主題専門家を集めて多くのワークショップを開催した。この Tech Watch Flash レポートでは、これらのセッションで得られた知見を分析し、法執行機関が自分たちの業務に影響を与える新しい技術や新興の技術をスキャンし続ける際の重要な情報を掲載している。
In Tech Watch Flash reports, Europol’s Innovation Lab, often working side-by-side with other law enforcement agencies and operational partners, presents analyses of new technologies that could affect the work of law enforcement.  Tech Watch Flashレポートでは、欧州警察機構(Europol)のイノベーション・ラボが、他の法執行機関やオペレーション・パートナーと共同で、法執行機関の業務に影響を与える可能性のある新技術の分析結果を紹介している。 

 

・[PDF] ChatGPT - the impact of Large Language Models on Law Enforcement

20230330-42136

 

目次...

INTRODUCTION 序文
BACKGROUND: LARGE LANGUAGE MODELS AND CHATGPT 背景:大規模言語モデルとChatGPT
SAFEGUARDS, PROMPT ENGINEERING, JAILBREAKS セーフガード、プロンプトエンジニアリング、ジェイルブレイク
CRIMINAL USE CASES 犯罪ユースケース
 Fraud, impersonation, and social engineering  不正行為、なりすまし、ソーシャルエンジニアリング
 Cybercrime  サイバー犯罪 
IMPACT AND OUTLOOK 影響と見通し
RECOMMENDATIONS 提言
CONCLUSION 結論

 

仮訳..

INTRODUCTION  序文 
The release and widespread use of ChatGPT – a large language model (LLM) developed by OpenAI – has created significant public attention, chiefly due to its ability to quickly provide ready-to-use answers that can be applied to a vast amount of different contexts.  OpenAIが開発した大規模言語モデル(LLM)であるChatGPTの公開と普及は、膨大な数の異なる文脈に適用可能な、すぐに使える回答を素早く提供する能力によって、大きな社会的関心を呼んでいる。
These models hold masses of potential. Machine learning, once expected to handle only mundane tasks, has proven itself capable of complex creative work. LLMs are being refined and new versions rolled out regularly, with technological improvements coming thick and fast. While this offers great opportunities to legitimate businesses and members of the public it also can be a risk for them and for the respect of fundamental rights, as criminals and bad actors may wish to exploit LLMs for their own nefarious purposes.  このようなモデルには、大きな可能性が秘められている。機械学習は、かつてはありふれた作業しかできないと思われていたが、複雑な創造的作業にも対応できることが証明された。LLMは、定期的に改良され、新しいバージョンが展開され、技術的な改善がどんどん進んでいる。このことは、合法的な企業や一般市民にとって大きなチャンスである一方、犯罪者や悪質な行為者がLLMを悪用しようとする可能性があり、彼らや基本的権利の尊重にとってリスクとなる可能性がある。
In response to the growing public attention given to ChatGPT, the Europol Innovation Lab organised a number of workshops with subject matter experts from across the organisation to explore how criminals can abuse LLMs such as ChatGPT, as well as how it may assist investigators in their daily work. The experts who participated in the workshops represented the full spectrum of Europol’s expertise, including operational analysis, serious and organised crime, cybercrime, counterterrorism, as well as information technology.  ChatGPTに対する社会的関心の高まりを受け、ユーロポール・イノベーション・ラボは、犯罪者がChatGPTのようなLLMをどのように悪用するか、また、捜査官の日常業務にどのように役立つかを探るため、組織内の専門家による多数のワークショップを開催した。ワークショップに参加した専門家は、オペレーション分析、重大組織犯罪、サイバー犯罪、テロ対策、情報技術など、欧州警察機構(Europol)の全専門分野を網羅している。
Thanks to the wealth of expertise and specialisations represented in the workshops, these hands-on sessions stimulated discussions on the positive and negative potential of ChatGPT, and collected a wide range of practical use cases. While these use cases do not reflect an exhaustive overview of all potential applications, they provide a glimpse of what is possible.  ワークショップに参加した専門家の豊富な専門知識により、これらの実践的なセッションは、ChatGPTのプラスとマイナスの可能性についての議論を刺激し、幅広い実用的なユースケースを収集した。これらのユースケースは、すべての潜在的なアプリケーションを網羅するものではないが、何が可能かを垣間見ることができるものである。
The objective of this report is to examine the outcomes of the dedicated expert workshops and to raise awareness of the impact LLMs can have on the work of the law enforcement community. As this type of technology is undergoing rapid progress, this document further provides a brief outlook of what may still be to come, and highlights a number of recommendations on what can be done now to better prepare for it.  本報告書の目的は、専用の専門家ワークショップの成果を検証し、LLMが法執行機関の業務に与える影響について認識を高めることにある。この種の技術は急速に進歩しているため、本書ではさらに、今後何が起こるかを簡単に展望し、それに備えるために今何ができるかについて、多くの推奨事項を強調している。
Important notice: The LLM selected to be examined in the workshops was ChatGPT. ChatGPT was chosen because it is the highest-profile and most commonly used LLM currently available to the public. The purpose of the exercise was to observe the behaviour of an LLM when confronted with criminal and law enforcement use cases. This will help law enforcement understand what challenges derivative and generative AI models could pose.  重要なお知らせである: 今回のワークショップで検討されたLLMはChatGPTである。ChatGPTが選ばれた理由は、現在公開されているLLMの中で最も知名度が高く、最も一般的に使用されているからである。この演習の目的は、犯罪や法執行機関のユースケースに直面したときのLLMの挙動を観察することでした。これにより、法執行機関は、派生的・生成的なAIモデルがどのような課題をもたらすかを理解することができる。
A longer and more in-depth version of this report was produced for law enforcement consumption only.   本レポートは、法執行機関向けに、より長く、より深いバージョンで作成されている。 
BACKGROUND: LARGE LANGUAGE MODELS AND CHATGPT  背景:大規模言語モデルとChatGPT
 Artificial Intelligence   人工知能
Artificial Intelligence (AI) is a broad field of computer science that involves creating intelligent  machines that can perform tasks that typically require human-level intelligence, such as understanding natural language, recognizing images, and making decisions. Al encompasses various subfields, including machine learning, natural language processing, computer vision, robotics, and expert systems.  人工知能(AI)は、コンピュータサイエンスの広い分野で、自然言語の理解、画像の認識、意思決定など、通常人間レベルの知能を必要とするタスクを実行できる知的マシンを作ることを目的としている。機械学習、自然言語処理、コンピュータビジョン、ロボット工学、エキスパートシステムなど、さまざまな分野がある。
Neural Networks   ニューラルネット  
Neural Networks, also known as Artificial Neural Networks (ANN), are computing systems inspired by the structure and function of the human brain. They consist of interconnected nodes or neurons that are designed to recognize patterns and make decisions based on input data.  ニューラルネットワークは、人工ニューラルネットワーク(ANN)とも呼ばれ、人間の脳の構造と機能にヒントを得たコンピューティングシステムである。ニューラルネットワークは、相互に接続されたノードまたはニューロンで構成され、入力データに基づいてパターンを認識し、意思決定を行うよう設計されている。
Deep learning  深層学習
Deep Learning is a subfield of machine learning that involves training artificial neural networks, which are computing systems inspired by the structure and function of the human brain, to recognize patterns and make decisions based on large amounts of data. Deep Learning has been particularly successful in fields such as image recognition, natural language processing, and speech recognition.  深層学習は、機械学習の一分野であり、人間の脳の構造と機能にヒントを得たコンピューティングシステムである人工ニューラルネットワークを訓練し、大量のデータに基づいてパターンを認識し意思決定を行うものである。ディープラーニングは、画像認識、自然言語処理、音声認識などの分野で特に成功を収めている。
Supervised/unsupervised learning  教師あり/教師なし学習 
Supervised Learning is a type of machine learning that involves training a model using labeled data, where the desired output is already known. The model learns to make predictions or decisions by finding patterns in the data and mapping input variables to output variables.  教師あり学習は、機械学習の一種で、目的の出力がすでに分かっているラベル付きデータを使ってモデルを学習させるものである。モデルは、データのパターンを見つけ、入力変数を出力変数に対応付けることによって、予測や決定を行うことを学習する。
Unsupervised Learning is a type of machine learning that involves training a model using unlabeled data, where the desired output is unknown. The model learns to identify patterns and relationships in the data without being given specific instructions, and is often used for tasks such as clustering, anomaly detection, and dimensionality reduction.  教師なし学習は、機械学習の一種で、ラベルのないデータを使ってモデルを学習するものである。このモデルは、特定の指示を受けることなく、データのパターンと関係を識別することを学習し、クラスタリング、異常検出、次元削減などのタスクによく使用される。
Definitions provided by ChatGPT.  ChatGPTが提供する定義
ChatGPT is a large language model (LLM) that was developed by OpenAI and released to the wider public as part of a research preview in November 2022. Natural language processing and LLMs are subfields of artificial intelligence (AI) systems that are built on deep learning techniques and the training of neural networks on significant amounts of data. This allows LLMs to understand and generate natural language text.   ChatGPTは、OpenAIが開発し、2022年11月にリサーチプレビューの一環として広く一般に公開された大規模言語モデル(LLM)である。自然言語処理とLLMは、人工知能(AI)システムのサブフィールドであり、深層学習技術や、大量のデータに対するニューラルネットワークのトレーニングに基づいて構築されている。これにより、LLMは自然言語のテキストを理解し生成することができる。 
Over recent years, the field has seen significant breakthroughs due in part to the rapid progress made in the development of supercomputers and deep learning algorithms. At the same time, an unprecedented amount of available data has allowed researchers to train their models on the vast input of information needed.   近年、スーパーコンピューターや深層学習アルゴリズムの開発が急速に進んだこともあり、この分野は大きなブレークスルーを見せている。同時に、かつてないほど大量の利用可能なデータにより、研究者は必要とされる膨大な情報の入力に対してモデルを訓練することができるようになった。 
The LLM ChatGPT is based on the Generative Pre-trained Transformer (GPT) architecture. It was trained using a neural network designed for natural language processing on a dataset of over 45 terabytes of text from the internet (books, articles, websites, other text-based content), which in total included billions of words of text.  LLM ChatGPTは、Generative Pre-trained Transformer(GPT)アーキテクチャをベースにしている。インターネット上のテキスト(書籍、記事、ウェブサイト、その他のテキストベースのコンテンツ)から45テラバイトを超えるデータセットを対象に、自然言語処理用に設計されたニューラルネットワークを用いて訓練され、合計で数十億語のテキストを含んでいる。
The training of ChatGPT was carried out in two phases: the first involved unsupervised training, which included training ChatGPT to predict missing words in a given text to learn the structure and patterns of human language. Once pre-trained, the second phase saw ChatGPT fine-tuned through Reinforcement Learning from Human Feedback (RLHF), a supervised learning approach during which human input helped the model learn to adjust its parameters in order to better perform its tasks.   ChatGPTのトレーニングは2つのフェーズで行われた。1つ目は教師なしトレーニングで、与えられたテキストに欠けている単語を予測し、人間の言語の構造とパターンを学ぶためにChatGPTをトレーニングすることを含んでいる。第2段階では、人間のフィードバックによる強化学習(RLHF)により、ChatGPTの微調整を行いた。これは教師あり学習で、人間の入力により、モデルがより良いタスクを実行するためにパラメータを調整することを学習する。 
The current publicly accessible model underlying ChatGPT, GPT-3.5, is capable of processing and generating human-like text in response to user prompts. Specifically, the model can answer questions on a variety of topics, translate text, engage in conversational exchanges (‘chatting’), and summarise text to provide key points. It is further capable of performing sentiment analysis, generating text based on a given prompt (i.e. writing a story or poem), as well as explaining, producing, and improving code in some of the most common programming languages (Python, Java, C++, JavaScript, PHP, Ruby, HTML, CSS, SQL). In its essence, then, ChatGPT is very good at understanding human input, taking into account its context, and producing answers that are highly usable.   現在公開されているChatGPTの基盤モデルであるGPT-3.5は、ユーザーのプロンプトに応答して人間のようなテキストを処理・生成することが可能である。具体的には、様々なトピックに関する質問への回答、テキストの翻訳、会話のやり取り(チャット)、重要なポイントを示すテキストの要約などを行うことができる。さらに、感情分析、プロンプトに基づくテキスト生成(物語や詩の作成)、一般的なプログラミング言語(Python、Java、C++、JavaScript、PHP、Ruby、HTML、CSS、SQL)によるコードの説明、作成、改良が可能である。つまり、ChatGPTは、人間の入力を理解し、その文脈を考慮した上で、ユーザビリティの高い答えを出すことに長けているのである。 
In March 2023, OpenAI released for subscribers of ChatGPT Plus its latest model, GPT4. According to OpenAI, GPT-4 is capable of solving more advanced problems more accurately[1] . In addition, GPT-4 offers advanced API integration and can process, classify, and analyse images as input. Moreover, GPT-4 is claimed to be less likely to respond to requests for ‘disallowed content’ and more likely to produce factual responses than GPT-3.5 . Newer versions with greater functionalities and capabilities are expected to be released as the development and improvement of LLMs continues.  2023年3月、OpenAIはChatGPT Plusの加入者向けに、その最新モデルであるGPT4をリリースした。OpenAIによると、GPT-4は、より高度な問題をより正確に解くことができる[1]ようになったとのことである。また、GPT-4は高度なAPI連携を実現し、入力された画像を処理、分類、分析することができる。さらに、GPT-4はGPT-3.5と比較して、「許可されないコンテンツ」のリクエストに反応する可能性が低く、事実に基づいたレスポンスを生成する可能性が高いとされている。今後もLLMの開発・改良が進み、より高機能・高性能な新バージョンのリリースが期待される。
Limitations  制限事項 
Still, the model has a number of important limitations that need to be kept in mind. The most obvious one relates to the data on which it has been trained: while updates are made on a constant basis, the vast majority of ChatGPT’s training data dates back to September 2021. The answers generated on the basis of this data do not include references to understand where certain information was taken from, and may be biased. Additionally, ChatGPT excels at providing answers that sound very plausible, but that are often inaccurate or wrong[3][ 4]. This is because ChatGPT does not fundamentally understand the meaning behind human language, but rather its patterns and structure on the basis of the vast amount of text with which it has been trained. This means answers are often basic, as the model struggles with producing advanced analysis of a given input[5] . Another key issue relates to the input itself, as often, the precise phrasing of the prompt is very important in getting the right answer out of ChatGPT. Small tweaks can quickly reveal different answers, or lead the model into believing it does not know the answer at all. This is also the case with ambiguous prompts, whereby ChatGPT typically assumes to understand what the user wants to know, instead of asking for further clarifications.  しかし、このモデルには、留意すべき重要な限界がいくつかある。最も明白なのは、学習させたデータに関するものである。更新は恒常的に行われているが、ChatGPTの学習データの大部分は2021年9月に遡ります。このデータに基づいて生成された回答は、特定の情報がどこから取得されたかを理解するための参照を含んでおらず、バイアスがかかっている可能性がある。さらに、ChatGPTは、非常にもっともらしく聞こえるが、不正確または間違っていることが多い回答を提供することを得意としている[3 ][4]。これは、ChatGPTが人間の言葉の意味を根本的に理解しているわけではなく、訓練された膨大な量のテキストに基づいて、そのパターンや構造を理解しているためである。つまり、与えられた入力に対して高度な分析を行うことに苦労しているため、回答は基本的なものになることが多いのである[5]。ChatGPTから正しい答えを引き出すには、プロンプトの正確な言い回しが非常に重要である。ちょっとした工夫で、すぐに違う答えを導き出したり、答えがわからないと思わせてしまったりすることがある。これは曖昧なプロンプトの場合も同様で、ChatGPTは通常、さらなる説明を求める代わりに、ユーザーが知りたいことを理解していると仮定する。
Finally, the biggest limitation of ChatGPT is self-imposed. As part of the model’s content moderation policy, ChatGPT does not answer questions that have been classified as harmful or biased. These safety mechanisms are constantly updated, but can still be circumvented in some cases with the correct prompt engineering. The following chapters describe in more detail how this is possible and what implications arise as a result.   最後に、ChatGPTの最大の限界は、自ら招いたものである。このモデルのコンテンツモデレーションポリシーの一環として、ChatGPTは有害またはバイアスと分類された質問には答えない。これらの安全機構は常に更新されているが、それでも正しいプロンプトエンジニアリングで回避できる場合もある。次の章では、どのようにしてこれが可能なのか、またその結果どのような影響が生じるのかについて、より詳細に説明する。 
SAFEGUARDS, PROMPT ENGINEERING, JAILBREAKS  セーフガード、プロンプトエンジニアリング、ジェイルブレイク 
Given the significant wealth of information to which ChatGPT has access, and the relative ease with which it can produce a wide variety of answers in response to a user prompt, OpenAI has included a number of safety features with a view to preventing malicious use of the model by its users. The Moderation endpoint assesses a given text input on the potential of its content being sexual, hateful, violent, or promoting selfharm, and restricts ChatGPT’s capability to respond to these types of prompts[6][7].  ChatGPTがアクセスできる情報は非常に豊富であり、ユーザーのプロンプトに対して様々な回答を比較的容易に生成できることから、OpenAIはユーザーによる悪意のある利用を防止するために、多くの安全機能を搭載している。モデレーションエンドポイントは、入力されたテキストが性的、憎悪的、暴力的、または自傷行為を助長する内容である可能性を評価し、ChatGPTがこれらのタイプのプロンプトに応答する機能を制限する[6][7]。
1_20230330045501
Many of these safeguards, however, can be circumvented fairly easily through prompt engineering. Prompt engineering is a relatively new concept in the field of natural language processing; it is the practice of users refining the precise way a question is asked in order to influence the output that is generated by an AI system. While prompt engineering is a useful and necessary component of maximising the use of AI tools, it can be abused in order to bypass content moderation limitations to produce potentially harmful content. While the capacity for prompt engineering creates versatility and added value for the quality of an LLM, this needs to be balanced with ethical and legal obligations to prevent their use for harm.  しかし、これらのセーフガードの多くは、プロンプトエンジニアリングによってかなり簡単に回避することができる。プロンプトエンジニアリングは、自然言語処理の分野では比較的新しい概念で、AIシステムが生成する出力に影響を与えるために、ユーザーが質問の正確な方法を改良することを指する。プロンプトエンジニアリングは、AIツールを最大限に活用するために有用かつ必要な要素であるが、コンテンツモデレーションの制限を回避するために悪用され、潜在的に有害なコンテンツが生成される可能性がある。プロンプト・エンジニアリングの能力は、LLMの品質に汎用性と付加価値をもたらするが、有害な用途での使用を防ぐための倫理的・法的義務とのバランスを取る必要がある。
LLMs are still at a relatively early stage of development, and as improvements are made, some of these loopholes are closed[8] . Given the complexity of these models, however, there is no shortage of new workarounds being discovered by researchers and threat actors. In the case of ChatGPT, some of the most common workarounds include the following:  LLMはまだ比較的初期の開発段階であり、改良が進めば、こうした抜け穴のいくつかが塞がれる[8]。しかし、これらのモデルの複雑さを考えると、研究者や脅威行為者によって発見される新しい回避策に事欠きません。ChatGPTの場合、最も一般的な回避策には以下のようなものがある: 
► Prompt creation (providing an answer and asking ChatGPT to provide the corresponding prompt);  ►プロンプトの作成(答えを提供し、対応するプロンプトを提供するようChatGPTに依頼する); 
► Asking ChatGPT to give the answer as a piece of code or pretending to be a fictional character talking about the subject;  ►ChatGPTにコードの一部として答えを与えるよう依頼したり、架空のキャラクターがそのテーマについて話しているふりをする; 
► Replacing trigger words and changing the context later;  ►トリガーワードを置き換えて、後で文脈を変更する; 
► Style/opinion transfers (prompting an objective response and subsequently changing the style/perspective it was written in);  ►スタイル/オピニオントランスファー(客観的な回答を促し、その後に書かれたスタイル/パースペクティブを変更すること); 
► Creating fictitious examples that are easily transferrable to real events (i.e. by avoiding names, nationalities, etc.).  ►現実の出来事に容易に移行できるような架空の例を作る(名前や国籍などを避けるなど)。
Some of the most advanced and powerful workarounds are sets of specific instructions aimed at jailbreaking the model. One of these is the so-called ‘DAN’ (‘Do Anything Now’) jailbreak, which is a prompt specifically designed to bypass OpenAI’s safeguards and lead ChatGPT to respond to any input, regardless of its potentially harmful nature. While OpenAI quickly closed this particular loophole, new and ever more complex versions of DAN have emerged subsequently, all designed to provide jailbreak prompts that can navigate through the safety mechanisms built into the model[9] . As of the time of writing of this report, no functional DAN was available.   最も高度で強力な回避策は、モデルを脱獄させることを目的とした特定の命令セットである。これは、OpenAIのセーフガードを回避するために特別に設計されたプロンプトで、ChatGPTは、潜在的に有害な性質に関係なく、あらゆる入力に反応するようになる。OpenAIはこの特別な抜け穴をすぐに閉鎖したが、その後、DANの新しい、より複雑なバージョンが出現し、すべてモデルに組み込まれた安全機構を通過できる脱獄プロンプトを提供するように設計されている[9]。本レポートの執筆時点では、機能的なDANは存在しない。 
CRIMINAL USE CASES  犯罪の使用例 
The release of GPT-4 was meant not only to improve the functionality of ChatGPT, but also to make the model less likely to produce potentially harmful output. Europol workshops involving subject matter experts from across Europol’s array of expertise identified a diverse range of criminal use cases in GPT-3.5. A subsequent check of GPT4, however, showed that all of them still worked. In some cases, the potentially harmful responses from GPT-4 were even more advanced.  GPT-4のリリースは、ChatGPTの機能を向上させるだけでなく、潜在的に有害な出力を生成する可能性を低くすることを意図している。ユーロポールの専門家が参加するワークショップでは、GPT-3.5で多様な犯罪ユースケースが確認された。しかし、その後GPT4で確認したところ、すべてのケースで動作することがわかりました。場合によっては、GPT-4の有害な可能性のある対応がさらに進んでいることもあった。
ChatGPT excels at providing the user with ready-to-use information in response to a wide range of prompts. If a potential criminal knows nothing about a particular crime area, ChatGPT can speed up the research process significantly by offering key information that can then be further explored in subsequent steps. As such, ChatGPT can be used to learn about a vast number of potential crime areas with no prior knowledge, ranging from how to break into a home, to terrorism, cybercrime and child sexual abuse. The identified use cases that emerged from the workshops Europol carried out with its experts are by no means exhaustive. Rather, the aim is to give an idea of just how diverse and potentially dangerous LLMs such as ChatGPT can be in the hands of malicious actors.  ChatGPTは、様々なプロンプトに対して、すぐに使える情報をユーザーに提供することに長けている。犯罪に巻き込まれる可能性のある人が、ある犯罪地域について何も知らない場合、ChatGPTは重要な情報を提供し、その後のステップでさらに調べることができるため、調査プロセスを大幅にスピードアップすることができる。このように、ChatGPTは、家庭への侵入方法からテロ、サイバー犯罪、児童性的虐待に至るまで、膨大な数の潜在的犯罪領域について、予備知識なしで学ぶために使用することができる。ユーロポールが専門家と行ったワークショップから生まれたユースケースは、決して網羅的なものではない。むしろ、ChatGPTのようなLLMが悪意ある行為者の手にかかると、どれほど多様で潜在的に危険なものになり得るかを示すことが目的である。
While all of the information ChatGPT provides is freely available on the internet, the possibility to use the model to provide specific steps by asking contextual questions means it is significantly easier for malicious actors to better understand and subsequently carry out various types of crime.  ChatGPTが提供する情報はすべてインターネット上で自由に入手できるが、文脈に沿った質問をすることで具体的な手順を示すことができるため、悪意のある行為者が様々な犯罪をより理解し、実行することが非常に容易になっている。
Fraud, impersonation, and social engineering  詐欺、なりすまし、ソーシャルエンジニアリング 
ChatGPT’s ability to draft highly authentic texts on the basis of a user prompt makes it an extremely useful tool for phishing purposes. Where many basic phishing scams were previously more easily detectable due to obvious grammatical and spelling mistakes, it is now possible to impersonate an organisation or individual in a highly realistic manner even with only a basic grasp of the English language.  ChatGPTは、ユーザーからのプロンプトをもとに本人認証の高い文章を作成することができるため、フィッシング詐欺に非常に有効なツールとなっている。以前は、文法やスペルミスが目立つため、基本的なフィッシング詐欺の多くは簡単に見破ることができましたが、今では英語の基本的な知識しかなくても、非常にリアルな方法で組織や個人になりすますことが可能である。
Critically, the context of the phishing email can be adapted easily depending on the needs of the threat actor, ranging from fraudulent investment opportunities to business e-mail compromise and CEO fraud[10] . ChatGPT may therefore offer criminals new opportunities, especially for crimes involving social engineering, given its abilities to respond to messages in context and adopt a specific writing style. Additionally, various types of online fraud can be given added legitimacy by using ChatGPT to generate fake social media engagement, for instance to promote a fraudulent investment offer.  また、フィッシングメールの文脈は、詐欺的な投資機会からビジネスメールの漏洩やCEO詐欺まで、脅威者のニーズに応じて容易に変更することができる[10]。そのため、ChatGPTは、文脈に応じたメッセージへの対応や特定の文体を採用する能力を備えており、特にソーシャルエンジニアリングを伴う犯罪において、犯罪者に新たな機会を提供する可能性がある。また、ChatGPTを利用して偽のソーシャルメディアエンゲージメントを生成することで、さまざまなタイプのオンライン詐欺に正当性を持たせることができる(例えば、詐欺的な投資案件を宣伝するためなど)。
To date, these types of deceptive communications have been something criminals would have to produce on their own. In the case of mass-produced campaigns, targets of these types of crime would often be able to identify the inauthentic nature of a message due to obvious spelling or grammar mistakes or its vague or inaccurate content. With the help of LLMs, these types of phishing and online fraud can be created faster, much more authentically, and at significantly increased scale.  これまで、このような欺瞞的なコミュニケーションは、犯罪者が自ら作り出す必要があった。大量生産されたキャンペーンの場合、スペルミスや文法ミス、曖昧で不正確な内容から、この種の犯罪のターゲットがメッセージの真偽を見極めることができることが多い。LLMを使えば、このようなフィッシングやオンライン詐欺を、より早く、より本物に近い形で、しかも大幅に規模を拡大して作成することができる。
The ability of LLMs to detect and re-produce language patterns does not only facilitate phishing and online fraud, but can also generally be used to impersonate the style of speech of specific individuals or groups. This capability can be abused at scale to mislead potential victims into placing their trust in the hands of criminal actors.  LLMの言語パターンの検出と再作成能力は、フィッシングやオンライン詐欺を容易にするだけでなく、一般的に特定の個人やグループのスピーチスタイルを模倣するために使用することができる。この機能は、潜在的な被害者を欺き、犯罪者の手に信頼を委ねるために、大規模に悪用される可能性がある。
In addition to the criminal activities outlined above, the capabilities of ChatGPT lend themselves to a number of potential abuse cases in the area of terrorism, propaganda, and disinformation. As such, the model can be used to generally gather more information that may facilitate terrorist activities, such as for instance, terrorism financing or anonymous file sharing.  上記の犯罪行為に加え、ChatGPTの機能は、テロリズム、プロパガンダ、偽情報の分野でも多くの潜在的な悪用ケースに適している。例えば、テロ資金調達や匿名のファイル共有など、テロ活動を促進する可能性のある情報をより多く収集するために使用することが可能である。
ChatGPT excels at producing authentic sounding text at speed and scale. This makes the model ideal for propaganda and disinformation purposes, as it allows users to generate and spread messages reflecting a specific narrative with relatively little effort. For instance, ChatGPT can be used to generate online propaganda on behalf of other actors to promote or defend certain views that have been debunked as disinformation or fake news[11] .  ChatGPTは、スピードとスケールで本人認証のあるテキストを作成することに優れている。そのため、特定のシナリオを反映したメッセージを比較的少ない労力で生成・拡散することができ、プロパガンダや偽情報の作成に最適なモデルである。例えば、ChatGPTは、偽情報やフェイクニュースとして否定された特定の見解を促進または擁護するために、他のアクターに代わってオンラインプロパガンダを生成するために使用することができる[11]。
These examples provide merely a glimpse of what is possible. While ChatGPT refuses to provide answers to prompts it considers obviously malicious, it is possible – similar to the other use cases detailed in this report – to circumvent these restrictions. Not only would this type of application facilitate the perpetration of disinformation, hate speech and terrorist content online - it would also allow users to give it misplaced credibility, having been generated by a machine and, thus, possibly appearing more objective to some than if it was produced by a human[12] .  これらの例は、何が可能かを垣間見ることができるに過ぎません。ChatGPTは、明らかに悪意があると思われるプロンプトへの回答を拒否しているが、本レポートで詳述した他のユースケースと同様に、これらの制限を回避することは可能である。このようなアプリケーションは、偽情報、ヘイトスピーチ、テロリストのコンテンツをネット上で拡散させるだけでなく、機械によって生成されたため、人間が生成した場合よりも客観的に見える可能性があるとして、ユーザーに誤った信頼性を与えることも可能になる[12]。
Cybercrime  サイバー犯罪 
In addition to generating human-like language, ChatGPT is capable of producing code in a number of different programming languages. As with the other use cases, it is possible to generate a range of practical outputs in a matter of minutes by entering the right prompts. One of the crime areas for which this could have a significant impact is cybercrime. With the current version of ChatGPT it is already possible to create basic tools for a variety of malicious purposes. Despite the tools being only basic (i.e. to produce phishing pages or malicious VBA scripts), this provides a start for cybercrime as it enables someone without technical knowledge to exploit an attack vector on a victim’s system.  ChatGPTは、人間のような言語を生成するだけでなく、多くの異なるプログラミング言語のコードを生成することが可能である。他の使用例と同様に、適切なプロンプトを入力することで、数分のうちにさまざまな実用的なアウトプットを生成することが可能である。これが大きな影響を与える可能性のある犯罪分野のひとつに、サイバー犯罪がある。ChatGPTの現バージョンでは、さまざまな悪意のある目的のための基本的なツールを作成することがすでに可能である。このツールは基本的なもの(フィッシングページや悪意のあるVBAスクリプトの作成など)であるにもかかわらず、専門知識を持たない人が被害者のシステム上で攻撃ベクトルを悪用できるため、サイバー犯罪のきっかけになる。
This type of automated code generation is particularly useful for those criminal actors with little to no knowledge of coding and development. Critically, the safeguards preventing ChatGPT from providing potentially malicious code only work if the model understands what it is doing. If prompts are broken down into individual steps, it is trivial to bypass these safety measures.  このような自動コード生成は、コーディングや開発に関する知識がほとんどない犯罪者にとっては特に有効である。重要なことは、ChatGPTが悪意のあるコードを提供することを防ぐセーフガードは、モデルが何をしているかを理解している場合にのみ機能するということである。プロンプトが個々のステップに分割されている場合、これらの安全対策をバイパスすることは些細なことである。
While the tools produced by ChatGPT are still quite simple, the active exploitation of it by threat actors provides a grim outlook in view of inevitable improvements of such tools in the coming years. In fact, ChatGPT’s ability to transform natural language prompts into working code was quickly exploited by malicious actors to create malware. Shortly after the public release of ChatGPT, a Check Point Research blog post of December 2022 demonstrated how ChatGPT can be used to create a full infection flow, from spear-phishing to running a reverse shell that accepts commands in English[13] .  ChatGPTが作成したツールはまだ非常にシンプルであるが、脅威行為者によって積極的に利用されていることから、今後数年間でこのようなツールの改善が避けられないことを考えると、厳しい見通しを立てることができる。実際、ChatGPTの自然言語プロンプトを動作するコードに変換する機能は、悪意のあるアクターによってマルウェアを作成するためにすぐに悪用された。ChatGPTの一般公開後まもなく、2022年12月のCheck Point Researchのブログ記事で、スピアフィッシングから英語でのコマンドを受け付けるリバースシェルの実行まで、ChatGPTを使用して完全な感染フローを作成できることが示された[13]。
The capabilities of generative models such as ChatGPT to assist with the development of code is expected to further improve over time. GPT-4, the latest release, has already made improvements over its previous versions and can, as a result, provide even more effective assistance for cybercriminal purposes. The newer model is better at understanding the context of the code, as well as at correcting error messages and fixing programming mistakes. For a potential criminal with little technical knowledge, this is an invaluable resource. At the same time, a more advanced user can exploit these improved capabilities to further refine or even automate sophisticated cybercriminal modi operandi.  ChatGPTのような生成モデルがコードの開発を支援する機能は、時間の経過とともにさらに向上することが予想される。最新版のGPT-4は、すでに以前のバージョンよりも改良されており、その結果、サイバー犯罪の目的に対してより効果的な支援を提供することができるようになった。新型は、コードの文脈を理解し、エラーメッセージを修正し、プログラミングミスを修正することに優れている。技術的な知識の乏しい潜在的な犯罪者にとって、これは貴重なリソースとなる。同時に、より高度なユーザーは、これらの向上した機能を利用して、高度なサイバー犯罪の手口をさらに洗練させたり、自動化したりすることも可能である。
IMPACT AND OUTLOOK  影響と展望 
The use cases outlined in this report provide merely a glimpse of what LLMs such as ChatGPT are capable of today, and hint at what may still be to come in the near future. While some of these examples are basic, they provide starting points that, with the underlying technology expected to improve, can become much more advanced and as a result dangerous. Other use cases, such as the production of phishing emails, humanlike communication and disinformation, are already worryingly sophisticated. These, too, are expected to become even more authentic, complex, and difficult to discern from human-produced output. Efforts aimed at detecting text generated by AI-models are ongoing and may be of significant use in this area in the future. At the time of writing of this report, however, the accuracy of known detection tools was still very low[14] .  本レポートで紹介した使用例は、ChatGPTのようなLLMが今日できることのほんの一端に過ぎず、近い将来に何が起こるかを示唆するものである。これらの事例のいくつかは基本的なものであるが、基礎技術の向上により、より高度で危険なものになる可能性のある出発点を示している。フィッシングメールの作成、人間そっくりのコミュニケーション、偽情報など、他の使用例はすでに心配になるくらい洗練されている。これらもまた、より本物らしく、より複雑で、人間が作成したものと見分けがつきにくいものになると予想される。AIモデルによって生成されたテキストを検出することを目的とした取り組みが進行中であり、将来的にこの分野で重要な役割を果たすかもしれない。しかし、この報告書の執筆時点では、既知の検出ツールの精度はまだ非常に低い[14]。
One of the greatest impacts of this type of technology revolves around the concept of ‘explorative communication’, that is to say the possibility to quickly gather key information on an almost limitless array of subjects by asking simple questions. Being able to dive deeper into topics without having to manually search and summarise the vast amount of information found on classical search engines can speed up the learning process significantly, enabling a much quicker gateway into a new field than was the case previously.  この種の技術がもたらす最も大きな影響のひとつは、「探索的コミュニケーション」、つまり、簡単な質問をすることによって、ほとんど無限のテーマについて重要な情報を素早く収集することができる、という概念にある。従来の検索エンジンから得られる膨大な情報を手作業で検索し、要約することなく、トピックを深く掘り下げることができれば、学習プロセスを大幅にスピードアップし、新しい分野への入門を従来よりもはるかに早めることができる。
The impact these types of models might have on the work of law enforcement can already be anticipated. Criminals are typically quick to exploit new technologies and were fast seen coming up with concrete criminal exploitations, providing first practical examples mere weeks after the public release of ChatGPT.  このようなモデルが法執行機関の業務に与える影響は、すでに予想されている。犯罪者は通常、新しい技術を利用するのが早く、ChatGPTの一般公開からわずか数週間で最初の実用例を提供し、具体的な犯罪利用を思いつくのが早く見られました。
As the workshops demonstrated, safeguards put in place to prevent the malicious use of ChatGPT can easily be circumvented through prompt engineering. As the limiting rules put in place by creators of these types of models are put in place by humans, they require input from subject matter experts to ensure that they are effective. Organisations tasked with preventing and combatting crimes such as those that may result from the abuse of LLMs should be able to help improve these safeguards. This includes not only law enforcement, but also NGOs working in areas such as protecting the safety of children online.  ワークショップで示されたように、ChatGPTの悪意ある利用を防ぐために設けられたセーフガードは、迅速なエンジニアリングによって容易に回避される可能性がある。この種のモデルの作成者が設定した制限ルールは、人間が設定したものであるため、その効果を保証するためには、専門家の意見が必要である。LLMの悪用に起因するような犯罪の予防と対策に取り組む組織は、こうした保護措置の改善に貢献することができるはずである。これには、法執行機関だけでなく、オンライン上の子どもの安全保護などの分野で活動するNGOも含まれる。
In response to some of the public pressure to ensure that generative AI models are safe, Partnership on AI (PAI), a research non-profit organisation, established a set of guidelines on how to produce and share AI-generated content responsibly[15] . These guidelines were signed up to by a group of ten companies, including OpenAI, pledging to adhere to a number of best practices. These include informing users that they are interacting with AI-generated content (i.e. through watermarks, disclaimers, or traceable elements). To what extent this will prevent practical abuse such as outlined in this report is unclear. In addition, questions remain as to how the accuracy of content produced by generative AI models can effectively be ensured, and how users can understand where information comes from in order to verify it.  AI生成モデルの安全性を確保しようという世論の圧力に応え、研究非営利団体であるPartnership on AI(PAI)は、AI生成コンテンツを責任を持って制作・共有する方法に関する一連のガイドラインを制定した[15]。このガイドラインは、OpenAIを含む10社のグループによって署名され、多くのベストプラクティスを遵守することを誓約している。その中には、AIが生成したコンテンツに触れていることをユーザーに知らせる(透かし、免責事項、追跡可能な要素など)ことも含まれている。これによって、本レポートで説明したような現実的な悪用がどの程度防げるかは不明である。また、AIが生成するコンテンツの正確性をどのように担保するのか、ユーザーが情報の出所を理解し、検証することができるのか、疑問が残ります。
At the same time, the European Union is finalising legislative efforts aimed at regulating AI systems under the upcoming AI Act. While there have been some suggestions that general purpose AI systems such as ChatGPT should be included as high risk systems, and as a result meet higher regulatory requirements, uncertainty remains as to how this could practically be implemented.  一方、欧州連合(EU)では、AIシステムの規制を目的とした「AI法」の制定に向けた法整備が進められている。ChatGPTのような汎用AIシステムもハイリスクシステムに含まれ、その結果、より高い規制要件を満たすべきだという意見もあるが、これが実際にどのように実施されるかは不透明なままである。
The already-seen impact for law enforcement, and the inevitability that the technology will improve, raises the questions of what the future looks like for LLMs. Relatively soon after ChatGPT grew into an internet sensation, Microsoft announced an investment of USD 10 billion into ChatGPT in January 2023. Very quickly after, the company presented first efforts at integrating LLM services into the company’s various applications, notably as a new version of the search engine Bing[16] . At the same time, other competitors such as Google have announced the release of their own conversational AI[17] , called BARD, with others likely to follow. This raises the questions of how much more powerful these types of models may become with the backing of major tech companies, as well as how the private sector aims to address the abuse scenarios outlined in this report.   法執行機関への影響はすでに確認されており、技術の向上は避けられないことから、LLMの将来はどうなるのかという疑問が投げかけられている。ChatGPTがインターネット上で話題になった比較的すぐ後、マイクロソフトは2023年1月にChatGPTに100億米ドルを投資することを発表した。その後すぐに、同社はLLMサービスを同社の様々なアプリケーションに統合する最初の取り組みを発表し、特に検索エンジンのBingの新バージョンとして発表した[16]。同時に、Googleなどの競合他社は、BARDと呼ばれる独自の会話型AIのリリースを発表しており[17]、他の競合他社も追随する可能性がある。このことは、大手ハイテク企業の支援によって、この種のモデルがどれほど強力になるのか、また、民間企業が本レポートで説明した悪用シナリオにどのように対処することを目指しているのかという疑問を提起している。 
Going forward, the universal availability of large language models may pose other challenges as well: the integration of other AI services (such as for the generation of synthetic media) could open up an entirely new dimension of potential applications. One of these include multimodal AI systems, which combine conversational chat bots with systems that can produce synthetic media, such as highly convincing deepfakes, or include sensory abilities, such as seeing and hearing[18] . Other potential issues include the emergence of ‘dark LLMs’, which may be hosted on the dark web to provide a chat bot without any safeguards, as well as LLMs that are trained on particular – perhaps particularly harmful – data. Finally, there are uncertainties regarding how LLM services may process user data in the future – will conversations be stored and potentially expose sensitive personal information to unauthorised third parties? And if users are generating harmful content, should this be reported to law enforcement authorities?  今後、大規模な言語モデルの普遍的な利用が可能になると、他の課題も発生する可能性がある。他のAIサービス(合成メディアの生成など)との統合により、まったく新しい次元の潜在的なアプリケーションを開拓することができる。例えば、会話型のチャットボットと、説得力のあるディープフェイクなどの合成メディアを生成するシステムや、視覚や聴覚などの感覚的な能力を持つシステムを組み合わせたマルチモーダルAIシステムなどがその一つである[18]。その他の潜在的な問題としては、ダークウェブ上でホストされ、安全対策なしにチャットボットを提供する「ダークLLM」の出現や、特定の(おそらく特に有害な)データに基づいて訓練されたLLMがある。最後に、LLMサービスが将来的にどのようにユーザーデータを処理するかについては、不確実性がある - 会話が保存され、権限のない第三者に機密性の高い個人情報を公開する可能性があるのか?また、ユーザーが有害なコンテンツを生成している場合、これを法執行機関に報告する必要があるのだろうか。
RECOMMENDATIONS  提言
As the impact of LLMs such as ChatGPT is expected to grow in the near future, it is crucial that the law enforcement community prepares for how its positive and negative applications may affect their daily business. While the workshops with Europol’s diverse set of experts focused on identifying potentially malicious use cases of ChatGPT that are already possible today, the purpose was also to extract some of these key findings and identify a number of recommendations on how law enforcement can ensure better preparedness for what may still be to come.  ChatGPTのようなLLMの影響は近い将来大きくなると予想されるため、法執行機関は、その正負の適用が日常業務にどのような影響を与えるかについて準備することが極めて重要である。ユーロポールの多様な専門家とのワークショップでは、現在すでに可能なChatGPTの悪意のある使用例を特定することに焦点を当てましたが、その目的は、これらの重要な発見をいくつか抽出し、法執行機関がまだ来るかもしれないものに対してより良い準備を確保する方法に関するいくつかの推奨事項を特定することでもあった。
► Given the potential harm that can result from malicious use of LLMs, it is of utmost importance that awareness is raised on this matter, to ensure that any potential loopholes are discovered and closed as quickly as possible.  ►LLMの悪意ある使用から生じる潜在的な被害を考えると、この問題に対する認識を高め、潜在的な抜け穴を発見し、できるだけ早く閉鎖することが最も重要である。
► LLMs have a real impact that can be seen already. Law enforcement agencies need to understand this impact on all potentially affected crime areas to be better able to predict, prevent, and investigate different types of criminal abuse.  ►LLMは、すでに目に見える形で実際の影響を及ぼしている。法執行機関は、潜在的に影響を受けるすべての犯罪領域におけるこの影響を理解し、さまざまなタイプの犯罪的虐待を予測、防止、調査する能力を高める必要がある。
► Law enforcement officers need to start developing the skills necessary to make the most of models such as ChatGPT. This means understanding how these types of systems can be leveraged to build up knowledge, expand existing expertise and understand how to extract the required results. This will imply that officers need to be able to assess the content produced by generative AI models in terms of accuracy and potential biases.  ►法執行機関は、ChatGPTのようなモデルを最大限に活用するために必要なスキルの開発に着手する必要がある。これは、この種のシステムをどのように活用して知識を蓄積し、既存の専門知識を拡張し、必要な結果を引き出す方法を理解することを意味する。つまり、役員は、生成AIモデルによって生成されたコンテンツを、正確さと潜在的なバイアスの観点から評価できるようになる必要があるということである。
► As the technology sector makes significant investments into this area, it is critical to engage with relevant stakeholders to ensure that relevant safety mechanisms remain a key consideration that are constantly being improved.   ►テクノロジー部門がこの分野に多大な投資を行う中、関連する安全機構が常に改善される重要な検討事項であり続けることを保証するために、関連する利害関係者と関わることが重要である。 
► Law enforcement agencies may want to explore possibilities of customised LLMs trained on their own, specialised data, to leverage this type of technology for more tailored and specific use, provided Fundamental Rights are taken into consideration. This type of usage will require the appropriate processes and safeguards to ensure that sensitive information remains confidential, as well as that any potential biases are thoroughly investigated and addressed prior to being put into use.   ►法執行機関は、基本的人権を考慮した上で、この種の技術をよりカスタマイズされた特定の用途に活用するために、独自の特殊なデータに基づいて訓練されたカスタマイズLLMの可能性を模索することを望むかもしれない。このような利用には、機密情報の機密性を確保し、潜在的なバイアスを徹底的に調査して対処するための適切なプロセスと保護措置が必要である。 
CONCLUSION  結論 
This report aims to provide an overview of the key results from a series of expert workshops on potential misuse of ChatGPT held with subject matter experts at Europol. The use cases detailed provide a first idea of the vast potential LLMs already have, and give a glimpse of what may still be to come in the future. ChatGPT is already able to facilitate a significant number of criminal activities, ranging from helping criminals to stay anonymous to specific crimes including terrorism and child sexual exploitation.   本報告書は、欧州警察機構(Europol)の専門家によるChatGPTの悪用可能性に関する一連のワークショップで得られた主要な結果の概要を提供することを目的としている。ユースケースは、LLMが持つ膨大な可能性を示すとともに、将来的に何が起こりうるかを垣間見ることができるものである。ChatGPTはすでに、犯罪者の匿名性の確保から、テロや児童の性的搾取を含む特定の犯罪に至るまで、相当数の犯罪行為を促進することができる。 
While some of the output is still quite basic, upcoming iterations of this and other models are only going to improve on what is already possible. The next iterations of LLMs will have access to more data, be able to understand and solve more sophisticated problems, and potentially integrate with a vast range of other applications. At the same time, it will be crucial to monitor potential other branches of this development, as dark LLMs trained to facilitate harmful output may become a key criminal business model of the future. This poses a new challenge for law enforcement, whereby it will become easier than ever for malicious actors to perpetrate criminal activities with no necessary prior knowledge.   一部の出力はまだ非常に基本的なものであるが、このモデルや他のモデルの今後の反復は、すでに可能なことをさらに改善することになるだろう。LLMの次の世代は、より多くのデータにアクセスし、より高度な問題を理解し解決できるようになり、他の膨大なアプリケーションと統合できる可能性がある。同時に、有害な出力を促進するように訓練された闇のLLMが、将来の重要な犯罪ビジネスモデルになる可能性があるため、この開発の別の可能性を監視することが極めて重要になる。このことは法執行機関にとって新たな課題であり、悪意のある行為者が必要な予備知識を持たずに犯罪行為を行うことがこれまで以上に容易になることを意味する。 
As technology progresses, and new models become available, it will become increasingly important for law enforcement to stay at the forefront of these developments to anticipate and prevent abuse, as well as to ensure potential benefits can be taken advantage of. This report is a first exploration of this emerging field. Given the rapid pace of this technology, it remains critical that subject matter experts take this research further and dive deeper if they are to grasp its full potential.  技術が進歩し、新しいモデルが利用可能になるにつれ、法執行機関は、悪用を予測・防止し、潜在的な利益を確実に利用できるよう、こうした開発の最前線に立ち続けることがますます重要になるだろう。本報告書は、この新しい分野を初めて調査したものである。この技術が急速に発展していく中で、その可能性を最大限に引き出すためには、専門家がこの研究をさらに進め、深く掘り下げていくことが重要である。

 

[1] OpenAI 2023, GPT-4, accessible at https://openai.com/product/gpt-4
[2] Open AI 2023, GPT-4 System Card, accessible at https://cdn.openai.com/papers/gpt-4-system-card.pdf
[3] Engineering.com 2023, ChatGPT Has All the Answers – But Not Always the Right Ones, accessible at https://www.engineering.com/story/chatgpt-has-all-the-answers-but-not-always-the-right-ones.
[4] Vice 2022, Stack Overflow Bans ChatGPT For Constantly Giving Wrong Answers, accessible at https://www.vice.com/en/article/wxnaem/stack-overflow-bans-chatgpt-for-constantly-giving-wrong-answers.
[5] NBC News 2023, ChatGPT passes MBA exam given by a Wharton professor, accessible at https://www.nbcnews.com/tech/tech-news/chatgpt-passes-mba-exam-wharton-professor-rcna67036
[6] OpenAI 2023, New and improved content moderation tooling, accessible at https://openai.com/blog/new-andimproved-content-moderation-tooling/
[7] OpenAI 2023, New and improved content moderation tooling, accessible at https://openai.com/blog/new-andimproved-content-moderation-tooling/
[8] OpenAI 2023, ChatGPT – Release Notes, accessible at https://help.openai.com/en/articles/6825453-chatgpt-releasenotes
[9] The Washington Post 2023, The clever trick that turns ChatGPT into its evil twin, accessible at https://www.washingtonpost.com/technology/2023/02/14/chatgpt-dan-jailbreak/
[10] WithSecure 2023, Creatively malicious prompt engineering, accessible at https://labs.withsecure.com/publications/creatively-malicious-prompt-engineering
[11] NewsGuard 2023, Misinformation Monitor: January 2023, accessible at https://www.newsguardtech.com/misinformation-monitor/jan-2023/
[12] Fortune 2023, It turns out that ChatGPT is really good at creating online propaganda: ‘I think what’s clear is that in the wrong hands there’s going to be a lot of trouble’, accessible at https://fortune.com/2023/01/24/chatgpt-open-aionline-propaganda/. 
[13] Check Point 2023, OPWNAI: AI that can save the day or hack it away, accessible at https://research.checkpoint.com/2022/opwnai-ai-that-can-save-the-day-or-hack-it-away/
[14] The Conversation 2023, We pitted ChatGPT against tools for detecting AI-written text, and the results are troubling, accessible at https://theconversation.com/we-pitted-chatgpt-against-tools-for-detecting-ai-written-text-and-theresults-are-troubling-199774
[15] Partnership on AI 2023, The Need for Guidance, accessible at https://syntheticmedia.partnershiponai.org/?mc_cid=6b0878acc5&mc_eid=c592823eb7#the_need_for_guidance
[16] Microsoft 2023, Introducing the new Bing, accessible at https://www.bing.com/new
[17] Google 2023, An important step on our AI journey, accessible at https://blog.google/technology/ai/bard-google-aisearch-updates/https://blog.google/technology/ai/bard-google-aisearch-updates/
[18] MIT Technology Review 2021, AI armed with multiple senses could gain more flexible intelligence, accessible at https://www.technologyreview.com/2021/02/24/1018085/multimodal-ai-vision-language/

 


 

⚫︎ まるちゃんの情報セキュリティ気まぐれ日記

まるちゃんの情報セキュリティ気まぐれ日記

米国...

・2023.03.14 米国商工会議所 人工知能報告書

・2023.03.11 NIST ホワイトペーパー NIST AI 100-2e2023(ドラフト)敵対的機械学習:攻撃と防御の分類と用語集

・2023.03.08 米国 情報技術産業協会 (ITI) AIに関する新たな政策提言を発表 (2023.03.02)

・2023.01.27 NIST AIリスクフレームワーク

・2022.12.05 日本内部監査協会 COSO「人工知能の可能性を最大限に実現する」 (2022.11.21)

・2022.11.11 NIST ホワイトペーパー 【プロジェクト概要】コンテキストにおけるAI/MLバイアスの緩和

・2022.10.07 米国 科学技術政策局 AI権利章典の青写真

・2022.09.20 米国 ITI AIシステムの透明性を実現するためのグローバルな政策原則 (2022.09.15)

・2022.08.24 NIST 意見募集 AIリスクマネジメントフレームワーク(第2ドラフト)とそのプレイブック

・2022.08.19 NIST ホワイトペーパー(ドラフト) コンテキストにおけるAI/MLバイアスの緩和

・2022.07.31 スタンフォード大学 AI監査のアイデア募集 賞金総額は約1000万円 (^^) (2022.07.11)

・2022.07.21 米国 国土安全保障省検査局 米国税関・国境警備局は空港での国際線旅行者の識別のために顔認識のポリシーを遵守している (2022.07.07)

・2022.06.02 米国 GAO 消費者保護:議会は消費者ランク付けに使用されるスコアに関する保護の強化を検討すべき (2022.05.26)

・2022.06.01 米国 消費者金融保護局 AIを使った与信結果についても消費者にその理由を説明しなければならない

・2022.05.17 AIサプライチェーンリスク (米国下院 科学・宇宙・技術委員会での証言から)(2022.05.11)

・2022.04.30 米国 GAO ブログ 人工知能は国家安全保障をどう変えるか (2022.04.19)

・2022.04.20 米国 商務省 国家AI諮問委員会に27名を任命

・2022.03.22 NIST 意見募集 AIリスクマネジメントフレームワーク(初期ドラフト)

・2022.03.21 NIST SP1270 人工知能におけるバイアスの識別と管理の標準化に向けて

・2022.03.20 米国 ピュー研究所 AIと人間強化についての調査

・2022.02.08 米国 下院 アルゴリズム説明責任法案 2022

・2021.12.23 CSET AIと偽情報キャンペーンの未来 パート1:RICHDATAフレームワーク

・2021.12.23 米国 購買担当職員に対するAIトレーニング法が上院を通過

・2021.07.23 U.S. GAO 人工知能のための新しい枠組み at 2021.06.30

・2021.06.25 NIST SP1270 Draft 人工知能におけるバイアスの識別と管理

・2021.06.24 MITRE ATLASでAIの脅威から守る

・2021.05.10 米国連邦政府 人工知能イニシアティブ

・2021.04.21 U.S. FTC(連邦取引委員会) のブログ 会社でAIを活用する場合は真実、公正、公平を目指そう、という記事がありますね。。。

・2021.03.31 米国 CSET AI安全性の主要概念:概要

・2020.11.30 米国 OMBが「人工知能アプリケーション規制のためのガイダンス」を発行

・2020.09.12 2024年までに戦闘機でAIパイロットをテストすることを含め、米国はAIの軍事利用で世界をリードする by エスパー国防長官

・2020.08.21 NISTはAIに自己説明を求める?(説明可能な人工知能の4原則)

・2020.06.15 カーネギーメロン大学 ソフトウェア研究所 AIエンジニアリングのリスク管理の視点

・2020.05.04 米国国防省と人工知能(戦略と倫理)

 

日本

2022.08.31 産総研 「機械学習品質マネジメントガイドライン 第3版」「機械学習品質評価・向上技術に関する報告書第2版」(2022.08.02)

2022.08.09 経済安全保障関係 「経済安全保障重要技術育成プログラムにかかる研究開発ビジョン検討WG の検討結果について(報告)」のサイバーセキュリティ関係...

2022.07.26 総務省 AIネットワーク社会推進会議 「報告書2022」

2022.05.02 内閣府 AI戦略2022 (2022.04.22)

・2022.04.03 日本クラウド産業協会(ASPIC) AI クラウドサービスの情報開示認定制度

・2022.02.17 総務省 「AIを用いたクラウドサービスに関するガイドブック」の公表+AIを用いたクラウドサービスの安全・信頼性に係る情報開示指針(ASP・SaaS編)

・2022.01.29 経済産業省 AI原則実践のためのガバナンス・ガイドライン ver. 1.1

2021.08.07 総務省 AIネットワーク社会推進会議 「報告書2021」の公表

2021.02.16 IPA 2018年10月に発刊されたAI白書2019のPDF版を公開

・2020.03.31 AI 倫理指針の動向とパーソナル AI エージェント by 中川裕志先生   AI 原則は機能するか?―非拘束的原則から普遍的原則への道筋 by 新保史生先生

 

中国...

・2022.12.23 中国 インターネット情報サービス深層合成管理規定についての専門家のコメント... (2022.12.12)

・2022.12.17 中国 インターネット情報サービス深層合成管理規定 (深層合成で作ったものにはマークを...)(2022.11.25)

・2022.08.15 中国 国家サイバースペース管理局 インターネット情報サービスのアルゴリズム申請に関する情報公開の公告

・2022.04.25 中国 人工知能白書 2022 (2022.04.12)

・2022.01.30 中国 国家サイバースペース管理局 意見募集 インターネット情報サービスの深層合成の管理に関する規定(意見募集稿)

・2022.01.05 中国 インターネット情報サービスのアルゴリズム推奨管理規則

・2021.08.28 中国 意見募集 国家サイバースペース管理局 「インターネット情報サービスのアルゴリズムによる推奨に関する管理規定」

・2020.11.10 中国 TC260 パブコメ AI倫理に関するガイドライン案

 

 

英国...

・2022.12.10 英国 データ倫理・イノベーションセンター「業界温度チェック:AI保証の障壁と実現要因」

・2022.11.06 英国 データ倫理・イノベーションセンター データおよびAIに対する国民の意識:トラッカー調査(第2回)

・2022.10.19 イングランド銀行 「第2回調査 英国の金融業界における機械学習」とディスカッションペーパー「人工知能と機械学習」についての意見募集 (2022.10.11)

・2022.10.28 英国 ICO 未熟なバイオメトリクス技術は人を差別する可能性がある「バイオメトリクス洞察レポート」「バイオメトリクス予見レポート」

・2022.05.30 英国 情報コミッショナー 顔認識データベース会社Clearview AI Incに750万ポンド以上の罰金を科し、英国人のデータの削除を命じた

・2021.12.19 英国 AIバロメータ21 公表

・2021.12.09 英国 AI保証に向けたロードマップを公表(AI認証制度?)

・2021.04.21 英国政府 データ倫理とイノベーションセンターのブログ AIの保証についての3つの記事

・2021.09.24 英国 国家AI戦略

・2020.12.20 UK ICO 雇用決定にアルゴリズムを使用する際に考慮すべき6つのこと

 

欧州他...

・2023.03.30 欧州 ユーロポール ChatGPTの犯罪利用-大規模言語モデルに関する注意事項

・2023.03.23 OECD AIにおけるアカウンタビリティの高度化 (2023.02.23)

・2023.03.23 OECD 人工知能のための国家的な計算能力構築のための青写真 (2023.02.28)

・2023.01.08 ノルウェー 個人データ保護局 AI利用における透明性についての報告書 (2022.12.21)

・2022.12.21 世界経済フォーラム (WEF) 製造業における人工知能から価値を解き放つ (2022.12.12)

・2022.12.08 EU理事会 AI法に関する見解を採択

・2022.09.30 欧州委員会 AI責任指令案

・2022.09.23 ⽇欧産業協⼒センター 欧州デジタル政策 (Vol.1-3)

・2022.06.18 英国 Ada Lovelace 協会: EUのAI法について説明 (2022.04.11)

・2022.05.23 ハンガリー AIを利用したコールセンターでの顧客対応がGDPR違反と判定された事例(ハンガリー銀行)

・2022.05.12 世界経済フォーラム (WEF) 「AI Procurment in a Box」を使ってみる:実装からのインサイト

・2022.05.05 フランス CNIL AIについてのリンク集 (2022.04.05)

・2022.04.20 AIガバナンスの標準? ISO/IEC 38507:2022 Information technology — Governance of IT — Governance implications of the use of artificial intelligence by organizations

・2022.02.24 OECD AIシステム分類のためのOECDフレームワーク

・2021.12.15 ENISA 機械学習アルゴリズムの保護

・2021.12.05 欧州理事会 AI法改正案を欧州議会に提出

・2021.10.24 豪州 ビクトリア州  人工知能とプライバシーに関する報告書(2つ)

・2021.09.09 紹介 AIインシデントデータベース

・2021.06.30 WHO 保健のための人工知能の倫理とガバナンス

・2021.06.28 EU 外交政策ツールとしての人工知能ガバナンス

・2021.06.22 欧州保険職業年金局 (EIOPA) 欧州保険セクターにおける倫理的で信頼できるAIガバナンス原則に関するレポートを公表

・2021.05.07 ドイツ連邦情報セキュリティ局 (BSI) が「監査可能なAIシステムを目指して - 現状と今後の展望」を公表しています

・2020.12.18 ENISA AI サイバーセキュリティのチャレンジ - AI脅威状況報告を公表していますね。

・2020.10.25 『スマートサイバー AI活用時代のサイバーリスク管理』第24回 サイバー犯罪に関する白浜シンポジウムの発表資料

・2020.05.01 (人工知能 AI)ブラックボックスの検証:アルゴリズムシステムを評価するためのツール - アルゴリズムの監査・影響評価のための共通言語の特定

・2020.03.28 EU Ethics Guidelines for Trustworthy AI(信頼できるAIのためのEU倫理ガイドライン)

・2020.02.27「AI倫理に関する現状」芳田千尋氏

 

 

| | Comments (0)

米国 CISA サイバーセキュリティ・パフォーマンス目標 (CPGs) の更新版を発表 (2023.03.21)

こんにちは、丸山満彦です。

CISAが、サイバーセキュリティ・パフォーマンス目標 (CPGs) の更新版を発表していますね。。。CSFベースに並び替えたもののようです。私も知らなかったのですが、使えそうな気もするので今からちょっと見てみます(^^;;

パフォーマンス目標をステークホルダーとコミュニケーションをとりながら設定し、測定していこうというのであれば、すごく論理的で美しい(けど、実行は大変かも...)ですね。。。

 

Model Component モデル・コンポーネント Component Description コンポーネントの説明
Outcome 成果 The ultimate security outcome that each CPG strives to enable. 各 CPG が実現しようとする究極のセキュリティ成果。
TTP/Risk Addressed TTP/リスクへの対応 Either (a) the primary set of MITRE ATT&CK TTPs or (b) the set of organizational risks that would be rendered less likely or impactful if the goal is implemented. (a) MITRE ATT&CK TTP の主要なセット、又は (b) 目標が実施された場合に可能性又は影響が少なくなる組織リスクのセットのいずれか。
Security Practice セキュリティの実践 The mitigation(s) that organizations should implement to achieve the outcome and reduce the impact of the TTP or risk. 結果を達成し、TTP またはリスクの影響を軽減するために、組織が実施すべき緩和策(複数可)。
Scope 適用範囲 The set or subset of assets to which organizations should apply the security practice. 組織がセキュリティ対策を適用すべき資産の集合またはサブセット。
Recommended Action 推奨される行動 Example approaches to help organizations progress toward achievement of the performance goal, based on input from CISA's collaborative stakeholder process. These actions will be updated regularly as new threats and defenses are identified. CISAのステークホルダーとの共同作業プロセスからの情報に基づいて、組織がパフォーマンス目標の達成に向けて前進するのを支援するアプローチの例。これらのアクションは、新たな脅威と防御策が特定された場合に、定期的に更新される予定である。
MST CSF Reference MST CSFの参照 The CSF subcategory that most closely relates to the security practice. セキュリティ対策に最も密接に関連する CSF のサブカテゴリ。

 

⚫︎Cybersecurity & Infrastractre Security Agency: CISA

・2023.03.21 CISA Releases Updated Cybersecurity Performance Goals

CISA Releases Updated Cybersecurity Performance Goals CISA、サイバーセキュリティ成果目標の更新版を発表
Today, we published stakeholder-based updates to the Cybersecurity Performance Goals (CPGs). Originally released last October, the CPGs are voluntary practices that businesses and critical infrastructure owners can take to protect themselves against cyber threats. The CPGs have been reorganized, reordered and renumbered to align closely with NIST CSF functions (Identify, Protect, Detect, Respond, and Recover) to help organizations more easily use the CPGs to prioritize investments as part of a broader cybersecurity program built around the CSF.  本日、当庁は、サイバーセキュリティ・パフォーマンス・ゴール(CPGs)のステークホルダー・ベースの更新を発表した。昨年10月に発表されたCPGは、企業や重要インフラの所有者がサイバー脅威から身を守るために取ることができる自主的な取り組みである。CPGは、NIST CSFの機能(特定、保護、検知、対応、回復)と密接に連携するよう、再編成、並び替え、番号付けが行われ、組織がより簡単にCPGを利用して、CSFを中心とした幅広いサイバーセキュリティプログラムの一部として投資の優先順位を決定できるようになった。 
CISA urges stakeholders to review and learn more by visiting Cross-Sector Cybersecurity Performance Goals. CISAは、関係者が分野横断サイバーセキュリティ成果目標を参照し、詳細を確認するよう促している。

 

Cross-Sector Cybersecurity Performance Goals

Cross-Sector Cybersecurity Performance Goals 分野横断サイバーセキュリティ・パフォーマンス・ゴール
Overview 概要
In July 2021, President Biden signed a National Security Memorandum on Improving Cybersecurity for Critical Infrastructure Control Systems.  2021年7月、バイデン大統領は、重要インフラ制御システムのサイバーセキュリティの改善に関する国家安全保障覚書に署名した。 
This memorandum required CISA, in coordination with the National Institute of Standards and Technology (NIST) and the interagency community, to develop baseline cybersecurity performance goals that are consistent across all critical infrastructure sectors. These voluntary cross-sector Cybersecurity Performance Goals (CPGs) are intended to help establish a common set of fundamental cybersecurity practices for critical infrastructure, and especially help small- and medium-sized organizations kickstart their cybersecurity efforts.    この覚書は、CISAが米国国立標準技術研究所(NIST)および省庁間コミュニティと連携して、すべての重要インフラ部門に一貫したサイバーセキュリティの基本性能目標を策定することを要求した。このセクター横断的なサイバーセキュリティ性能目標(CPG)は、重要インフラの基本的なサイバーセキュリティ対策の共通セットを確立することを目的としており、特に中小規模の組織がサイバーセキュリティへの取り組みを開始する際に役立つ。   
The CPGs are a prioritized subset of information technology (IT) and operational technology (OT) cybersecurity practices that critical infrastructure owners and operators can implement to meaningfully reduce the likelihood and impact of known risks and adversary techniques. The goals were informed by existing cybersecurity frameworks and guidance, as well as the real-world threats and adversary tactics, techniques, and procedures (TTPs) observed by CISA and its government and industry partners. By implementing these goals, owners and operators will not only reduce risks to critical infrastructure operations, but also to the American people.   CPGは、情報技術(IT)および運用技術(OT)サイバーセキュリティの優先的なサブセットで、重要インフラの所有者および運営者が、既知のリスクや敵の手法の可能性と影響を有意に低減するために実施できるものである。この目標は、既存のサイバーセキュリティの枠組みやガイダンス、およびCISAとその政府・産業界のパートナーが観察した現実世界の脅威や敵の戦術、技術、手順(TTPs)から得たものである。これらの目標を実施することで、所有者と運用者は重要インフラの運用だけでなく、米国民に対するリスクも軽減することができる。  
The first version of the CPGs was published in October 2022. Since that time, CISA received feedback from multiple sectors across the stakeholder community, requesting that the goals be represented in a manner that was more easily traceable to the NIST Cybersecurity Framework (CSF). To that end, CISA has reorganized the goals according to the related NIST CSF functions (Identify, Protect, Detect, Respond, and Recover). It is important to note that several goals map to multiple functions, and – as previously stated – implementation of a given CPG does not necessarily constitute complete fulfillment of the referenced NIST CSF subcategory. A more comprehensive summary of the changes between the previous and current versions of the CPGs is available in the document itself. CPGの最初のバージョンは、2022年10月に公表されました。それ以来、CISAはステークホルダー・コミュニティの複数のセクターからフィードバックを受け、NISTサイバーセキュリティフレームワーク(CSF)とより容易に追跡可能な方法で目標を表現することを要求した。そのため、CISAは、NIST CSFの関連機能(特定、保護、検知、対応、回復)に従って目標を再編成した。いくつかの目標は複数の機能に対応しており、前述のとおり、あるCPGを実施しても、参照するNIST CSFのサブカテゴリーを完全に満たすとは限らないことに留意することが重要である。CPG の前バージョンと現バージョンの間の変更点のより包括的な要約は、文書自体に記載されている。
The CPGs are intended to be: CPG は、以下のことを意図している:
・A baseline set of cybersecurity practices broadly applicable across critical infrastructure with known risk-reduction value.    ・重要インフラに広く適用され、リスク低減の価値が知られているサイバーセキュリティ対策の基本セット。   
・A benchmark for critical infrastructure operators to measure and improve their cybersecurity maturity.    ・重要インフラ事業者がサイバーセキュリティの成熟度を測定し、改善するためのベンチマークとなる。   
・A combination of recommended practices for IT and OT owners, including a prioritized set of security practices.    ・IT および OT の所有者に推奨されるプラクティスを組み合わせたもので、優先順位の高いセキュリティプラクティスを含む。   
・Unique from other control frameworks as they consider not only the practices that address risk to individual entities, but also the aggregate risk to the nation.     ・個々の事業体のリスクに対応するプラクティスだけでなく、国家の総体的なリスクも考慮しているため、他の管理フレームワークとは一線を画している。    
The CPGs are: CPGは以下の通りである:
・Voluntary: The National Security Memorandum does not create new authorities that compel owners and operators to adopt the CPGs or provide any reporting regarding or related to the CPGs to any government agency.    ・自主的なものである: 国家安全保障に関する覚書は、所有者や運営者にCPGの採用を強制したり、CPGに関する報告を政府機関に提供したりするような新たな権限を設けるものではありません。   
・Not Comprehensive. They do not identify all the cybersecurity practices needed to protect national and economic security and public health and safety. They capture a core set of cybersecurity practices with known risk-reduction value broadly applicable across sectors.      ・包括的でない。CPGは、国家および経済の安全保障と公衆の健康と安全を守るために必要なすべてのサイバーセキュリティの実践を特定するものではありません。CPGは、セクターを問わず広く適用できる、リスク低減効果が知られているサイバーセキュリティ対策の中核をなすものである。     
As directed by President Biden’s NSM, the CPGs are intended to supplement the  National Institute of Standards and Technology's (NIST) Cybersecurity Framework (CSF). バイデン大統領のNSMの指示により、CPGは米国国立標準技術研究所(NIST)のサイバーセキュリティフレームワーク(CSF)を補完することを目的としている。
for organizations seeking assistance in prioritizing investment toward a limited number of high-impact security outcomes, whether due to gaps in expertise, resources, or capabilities or to enable focused improvements across suppliers, vendors, business partners, or customers.       CPGは、専門知識、リソース、能力の不足のため、あるいはサプライヤー、ベンダー、ビジネスパートナー、顧客の間で集中的な改善を行うために、影響力の大きい限られた数のセキュリティ成果に向けて投資の優先順位を決める支援を求める組織向けのものである。      
In an effort to accelerate adoption of essential actions to improve cybersecurity across the nation’s critical infrastructure providers, the CPGs recommend an abridged subset of actions to help organizations prioritize their security investments.   CPGは、国内の重要インフラ事業者におけるサイバーセキュリティの向上に不可欠なアクションの採用を促進するため、組織がセキュリティ投資の優先順位を決めるのに役立つアクションの一部を簡略化して推奨している。  
    Full background on the CPGs, their formation, the model, relation to existing standards, and how they should be used is fully outlined in the document.      CPGの背景、形成、モデル、既存の標準との関係、およびCPGの使用方法については、この文書で完全に説明されている。 

 

・[PDF] CPG Report

20230329-175409

 

 

・[PDF] CISA CPG Checklist

20230329-182025

 

・[XLSX] Complete CPGs Matrix/Spreadsheet

 

 

 

| | Comments (0)

2023.03.29

米国 司法省 世界最大級のハッカーフォーラムの創設者を逮捕し、フォーラムの運営を破壊 (2023.03.24)

こんにちは、丸山満彦です。

司法省がBreachForumsの創設者を逮捕し、フォーラムを破壊したと報告しているんですよね。。。

日本でも、サンリオの人気キャラクターのポムポムプリンを名乗る...ってニュースになってますよね。。。

 

⚫︎ Department of Justice: DOJ

・2023.03.24 Justice Department Announces Arrest of the Founder of One of the World’s Largest Hacker Forums and Disruption of Forum’s Operation

Justice Department Announces Arrest of the Founder of One of the World’s Largest Hacker Forums and Disruption of Forum’s Operation 司法省、世界最大級のハッカーフォーラムの創設者を逮捕し、フォーラムの運営を破壊したことを発表
FBI Disrupts BreachForums Marketplace for Hacked and Stolen Data FBI、ハッキングされ盗まれたデータのマーケットプレイス「BreachForums」を破壊する
The founder of BreachForums made his initial appearance today in the Eastern District of Virginia on a criminal charge related to his alleged creation and administration of a major hacking forum and marketplace for cybercriminals that claimed to have more than 340,000 members as of last week. In parallel with his arrest on March 15, the FBI and Department of Health and Human Services Office of Inspector General (HHS-OIG) have conducted a disruption operation that caused BreachForums to go offline. BreachForumsの創設者は、先週時点で34万人以上の会員を有するとされる大規模なハッキングフォーラムおよびサイバー犯罪者のためのマーケットプレイスの創設・運営に関連する刑事告発について、本日バージニア州東部地区で最初の出廷を行いた。3月15日の逮捕と並行して、FBIと米保健福祉省監察官室(HHS-OIG)は、BreachForumsをオフラインにする破壊工作を実施した。
According to court documents unsealed today, Conor Brian Fitzpatrick, 20, of Peekskill, New York, allegedly operated BreachForums as a marketplace for cybercriminals to buy, sell, and trade hacked or stolen data and other contraband since March 2022. Among the stolen items commonly sold on the platform were bank account information, social security numbers, other personally identifying information (PII), means of identification, hacking tools, breached databases, services for gaining unauthorized access to victim systems, and account login information for compromised online accounts with service providers and merchants.  本日公開された法廷文書によると、ニューヨーク州ピークスキル在住のコナー・ブライアン・フィッツパトリック(20)は、2022年3月以降、サイバー犯罪者がハッキングまたは盗まれたデータおよびその他の禁制品を売買するマーケットプレイスとしてBreachForumsを運営していたとされている。同プラットフォームで一般的に販売されている盗品の中には、銀行口座情報、社会保障番号、その他の個人識別情報(PII)、識別手段、ハッキングツール、侵害されたデータベース、被害者システムへの不正アクセスを得るためのサービス、サービスプロバイダーや商人の侵害されたオンラインアカウントのアカウントログイン情報などが含まれていた。 
“Today, we continue our work to dismantle key players in the cybercrime ecosystem,” said Deputy Attorney General Lisa O. Monaco. “Like its predecessor RaidForums, which we took down almost a year ago, BreachForums bridged the gap between hackers hawking pilfered data and buys eager to exploit it. All those operating in dark net markets should take note: Working with our law enforcement partners, we will take down illicit forums and bring administrators to justice in U.S. courtrooms.” リサ・O・モナコ副司法長官は、次のように述べている。「今日も、サイバー犯罪のエコシステムにおける主要なプレイヤーを解体するための活動を続けている。ほぼ1年前に削除した前身のRaidForumsと同様に、BreachForumsは、盗んだデータを売り込むハッカーと、それを利用しようとする買い手の間のギャップを埋めていた。ダークネット市場で活動するすべての人は注意すること。我々は法執行機関のパートナーと協力し、違法なフォーラムを取り下げ、米国の法廷で管理者を裁く。」
“People expect that their online data will be protected, and the Department of Justice is committed to doing just that,” said Assistant Attorney General Kenneth A. Polite, Jr. of the Criminal Division. “We must and will remain vigilant to the threat posed by those who attempt to undermine our digital security. We will continue to disrupt the forums that facilitate the theft and distribution of personal information and prosecute those responsible.” 刑事部のKenneth A. Polite, Jr.検事補は、つぎのように次のように述べている。「人々はオンラインデータが保護されることを期待しており、司法省はそれを実現するために尽力している。我々は、デジタル・セキュリティーを弱体化させようとする者たちがもたらす脅威に警戒し続けなければならないし、これからも警戒し続けるだろう。我々は、個人情報の窃盗と配布を促進するフォーラムを破壊し、責任者を起訴し続ける。」
Fitzpatrick’s alleged victims have included millions of U.S. citizens and hundreds of U.S. and foreign companies, organizations, and government agencies. Some of the stolen datasets contained the sensitive information of customers at telecommunication, social media, investment, health care services, and internet service providers. For instance, on Jan. 4, a BreachForums user posted the names and contact information for approximately 200 million users of a major U.S.-based social networking site. Further, on Dec. 18, 2022, another BreachForums user posted details of approximately 87,760 members of InfraGard, a partnership between the FBI and private sector companies focused on the protection of critical infrastructure. フィッツパトリックの被害者とされる人々には、数百万人の米国市民と数百の米国および外国の企業、組織、政府機関が含まれている。盗まれたデータセットの中には、通信、ソーシャルメディア、投資、医療サービス、インターネットサービスプロバイダーにおける顧客の機密情報が含まれていたものもある。例えば、1月4日、BreachForumsのユーザーが、米国を拠点とする大手SNSのユーザー約2億人分の氏名と連絡先を投稿した。さらに、2022年12月18日には、別のBreachForumsのユーザーが、重要インフラの保護に焦点を当てたFBIと民間企業のパートナーシップであるInfraGardの約8万7760人の会員の詳細を投稿している。
“Cybercrime victimizes and steals financial and personal information from millions of innocent people,” said U.S. Attorney Jessica D. Aber for the Eastern District of Virginia. “This arrest sends a direct message to cybercriminals: your exploitative and illegal conduct will be discovered, and you will be brought to justice.” バージニア州東部地区連邦検事ジェシカ・D・アバーは、次のようにのべている。「サイバー犯罪は、何百万人もの無実の人々から金銭や個人情報を盗み出し、被害を与えている。今回の逮捕は、サイバー犯罪者に直接的なメッセージを送るもので、あなたたちの搾取的で違法な行為は必ず発見され、裁かれる。」
“The FBI will continue to devote all available resources to deter, disrupt, and diminish criminal enterprise activity,” said FBI Deputy Director Paul Abbate. “We will work alongside our federal and international partners to impose costs on malicious cyber actors around the world and continue to bring justice to those who victimize the American public.” FBIの副長官であるPaul Abbateは、次のようにのべている。「FBIは、犯罪エンタープライズ活動を抑止、破壊し、減少させるために、利用可能なすべてのリソースを引き続き投入していく。我々は、連邦政府および国際的なパートナーとともに、世界中の悪意のあるサイバー行為者にコストを課し、米国民を犠牲にする者に正義をもたらし続ける。」
“Following the seizure of RaidForums last year, cybercriminals turned to BreachForums to buy and sell stolen data, including breached databases, hacking tools, and the personal and financial information of millions of U.S. citizens and businesses,” said Assistant Director in Charge David Sundberg of the FBI Washington Field Office. “The FBI and our partners will not let cybercriminals and those who enable them profit from the theft of sensitive data while hiding behind keyboards. This arrest and disruption of yet another criminal marketplace demonstrates the potency of our joint work to dismantle the digital structures that facilitate cybercrime.” FBIワシントン支局の担当アシスタントディレクターDavid Sundberg氏は次のように述べている。「昨年のRaidForumsの押収に続き、サイバー犯罪者はBreachForumsに目をつけ、侵害されたデータベース、ハッキングツール、数百万人の米国市民や企業の個人・金融情報などの盗難データを売買している。FBIとそのパートナーは、キーボードの後ろに隠れながら機密データを盗んで利益を得るサイバー犯罪者とそれを可能にする人たちを許さないでしょう。今回の逮捕と新たな犯罪市場の破壊は、サイバー犯罪を助長するデジタル構造を解体するための我々の共同作業の威力を示すものである。
As part of the scheme, Fitzpatrick allegedly supported the activities of cybercriminals by creating and operating a “Leaks Market” subsection that was dedicated to buying and selling hacked or stolen data, tools for committing cybercrime, and other illicit material. To facilitate transactions on the forum, Fitzpatrick allegedly offered to act as a trusted middleman, or escrow service, between individuals on the website who sought to conduct these types of illicit transactions. In addition, Fitzpatrick allegedly managed an “Official” databases section through which BreachForums directly sold access to verified hacked databases through a “credits” system administered by the platform. As of Jan. 11, the Official database section purported to contain 888 datasets, consisting of over 14 billion individual records. These databases belong to a wide variety of both U.S. and foreign companies, organizations, and government agencies. Fitzpatrick allegedly profited from the scheme by charging for forum credits and membership fees. この計画の一環として、フィッツパトリックは、ハッキングされたデータや盗まれたデータ、サイバー犯罪を行うためのツール、その他の不正な物質の売買に特化した「リークス・マーケット」サブセクションを作成・運営し、サイバー犯罪者の活動を支援したとされている。フォーラムでの取引を促進するため、Fitzpatrickは、この種の不正取引を行おうとするウェブサイト上の個人の間で、信頼できる仲介者、すなわちエスクロー・サービスとして行動することを申し出たとされる。さらに、Fitzpatrickは、「公式」データベースセクションを管理し、BreachForumsがプラットフォームが管理する「クレジット」システムを通じて、検証済みのハッキングデータベースへのアクセスを直接販売していたとされる。1月11日現在、「公式」データベースセクションには、140億件以上の個人レコードからなる888のデータセットが含まれているとされている。これらのデータベースは、米国および外国のさまざまな企業、組織、政府機関に属している。Fitzpatrickは、フォーラムクレジットと会費を請求することで、このスキームから利益を得たとされている。
“This case sends a clear message that illicitly stealing, selling, and trading the personal information of innocent members of the public will not be tolerated, and that malicious cyber actors will be held accountable,” said Special Agent in Charge Stephen Niemczak of the HHS-OIG. “HHS-OIG and our law enforcement partners remain dedicated to protecting the American public and the integrity of government networks and data from these egregious cyberattacks.” HHS-OIGの特別捜査官Stephen Niemczakは次のように述べている。「この事件は、無実の一般市民の個人情報を不正に盗み、販売、取引することは許されず、悪意のあるサイバー行為者は責任を問われるという明確なメッセージを送るものである。HHS-OIGと我々の法執行機関のパートナーは、これらのひどいサイバー攻撃から米国民と政府のネットワークとデータの整合性を保護することに引き続き専念する。」
The BreachForums website has supported additional sections in which users discuss tools and techniques for hacking and exploiting hacked or stolen information, including in the “Cracking,” “Leaks,” and “Tutorials” sections. The BreachForums website also includes a “Staff” section that appears to be operated by the BreachForums administrators and moderators. BreachForumsウェブサイトは、「クラッキング」、「リーク」、「チュートリアル」セクションなど、ハッキングされた情報や盗まれた情報を利用するためのツールやテクニックについてユーザーが議論するセクションを追加サポートした。また、BreachForumsのウェブサイトには、BreachForumsの管理者やモデレーターが運営していると思われる「スタッフ」セクションがある。
Fitzpatrick is charged with conspiracy to commit access device fraud. If convicted, he faces a maximum penalty of five years in prison. Fitzpatrickは、アクセス機器詐欺の共謀で起訴されている。有罪となった場合、最高刑は懲役5年である。
Fitzpatrick’s arrest and the disruption of BreachForums comes nearly a year after the Department of Justice announced the seizure of a predecessor hacking marketplace, Raidforums, and unsealed criminal charges against RaidForums’ founder and chief administrator, who is the subject of extradition proceedings in the United Kingdom. The Justice Department’s Office of International Affairs is handling the extradition. フィッツパトリックの逮捕とBreachForumsの機能停止は、司法省が前身のハッキング市場であるRaidforumsの押収を発表し、RaidForumsの創設者と主任管理者(英国で引渡し手続きの対象になっている)の刑事告発を公開してからほぼ1年後の出来事である。 同人は英国で身柄引き渡し手続き中で、司法省の国際問題局が引き渡しに対応している。
The law enforcement actions against Fitzpatrick and BreachForums are the result of an ongoing criminal investigation by the FBI Washington Field Office, FBI San Francisco Division, and HHS-OIG, with assistance provided by the U.S. Secret Service, Homeland Security Investigations New York Field Office, New York Police Department, U.S. Postal Inspection Service, and Peekskill Police Department. The U.S. Attorneys’ Office for the Northern District of California, the District of Maryland, and the Southern District of New York have also provided assistance in this matter. FitzpatrickとBreachForumsに対する法執行措置は、FBIワシントン支局、FBIサンフランシスコ支局、HHS-OIGによる進行中の犯罪捜査の結果であり、米国シークレットサービス、Homeland Security Investigations New York Field Office、ニューヨーク警察、米国郵便検査局、Peekskill Police Departmentによる支援が提供されます。また、カリフォルニア州北部地区、メリーランド州地区、ニューヨーク州南部地区の米国弁護士事務所も、この件に関して支援を提供している。
The Criminal Division’s Computer Crime and Intellectual Property Section (CCIPS) and Assistant U.S. Attorney Carina A. Cuellar for the Eastern District of Virginia are prosecuting the case. 刑事部コンピュータ犯罪・知的財産課(CCIPS)とバージニア州東部地区担当のカリーナ・A・クエラ連邦検事補がこの事件を起訴している。
A criminal complaint is merely an allegation. All defendants are presumed innocent until proven guilty beyond a reasonable doubt in a court of law. 刑事告訴は、単なる申し立てに過ぎません。すべての被告人は、法廷で合理的な疑いを超えて有罪が証明されるまでは、無罪と推定される。

 

Fig1_20220411162001

 


 

⚫︎ まるちゃんの情報セキュリティ気まぐれ日記

・2023.03.29 米国 司法省 世界最大級のハッカーフォーラムの創設者を逮捕し、フォーラムの運営を破壊 (2023.03.24)

・2023.03.29 米国 司法省 30億ドル以上の違法取引を処理したダークネット暗号通貨ミキサーのテイクダウンに成功 (2023.03.15)

・2023.01.31 米国 司法省 ランサムウェアの亜種「Hive」を駆除 (2023.01.26)・・

・2022.06.21 米国 司法省 国際的なサイバー作戦によるロシアのボットネットの破壊

・2022.04.11 米国 司法省 ロシア連邦軍参謀本部情報総局(GRU)が管理するボットネットを裁判所の認可に基づき破壊(2022.04.06)

・2022.03.30 米国 司法省 重要インフラを標的とした2つのハッキングキャンペーンでロシア政府職員4人を起訴 (2022.03.24)

・2022.03.18 米国 FBIが新たに仮想資産課 (VAU) を設立...

・2022.03.03 米国 司法省 タスクフォース KleptoCapture (ロシアの資金源を断つ?)

・2021.11.09 米国 司法省 Kaseya社等をランサムウェア攻撃したウクライナ人を逮捕・起訴した

・2021.11.04 米国 FBI-ICS3 ランサムウェアの実行者は合併等の金融イベント等を狙って攻撃してきているとアラートを出していますね。。。

・2021.10.20 米国 司法省 国家暗号通貨執行チームの設立を発表 at 2021.10.06

・2021.06.08 米国 司法省 コロニアル・パイプライン社が支払った暗号通貨の大半(約230 万ドル)を押収

・2021.02.19 U.S. DOJ 北朝鮮軍のハッカー3人を複数のサイバー犯罪の容疑で起訴

 

| | Comments (0)

米国 司法省 30億ドル以上の違法取引を処理したダークネット暗号通貨ミキサーのテイクダウンに成功 (2023.03.15)

こんにちは、丸山満彦です。

米国の司法省が、30億ドル以上の違法取引を処理したダークネット暗号通貨ミキサー (ChipMixer) のテイクダウンに成功と公表していました。

犯罪でえた暗号資産等を使用できないようにすることが重要ですからね。。。暗号資産でいろいろな買い物ができないということが、今は犯罪抑止になっているのかもしれないですね。。。

 

⚫︎ Department of Justice: DOJ

・2023.03.15 Justice Department Investigation Leads to Takedown of Darknet Cryptocurrency Mixer that Processed Over $3 Billion of Unlawful Transactions

Justice Department Investigation Leads to Takedown of Darknet Cryptocurrency Mixer that Processed Over $3 Billion of Unlawful Transactions 司法省の調査により、30億ドル以上の違法取引を処理したダークネット暗号通貨ミキサーのテイクダウンに成功
Vietnamese Operator of ChipMixer Charged with Laundering Money for Ransomware Perpetrators, Darknet Markets, Fraudsters, and State-Sponsored ChipMixerのベトナム人オペレーター、ランサムウェア加害者、ダークネット市場、詐欺師、国家支援のための資金洗浄で起訴される
The Justice Department announced today a coordinated international takedown of ChipMixer, a darknet cryptocurrency “mixing” service responsible for laundering more than $3 billion worth of cryptocurrency, between 2017 and the present, in furtherance of, among other activities, ransomware, darknet market, fraud, cryptocurrency heists and other hacking schemes. The operation involved U.S. federal law enforcement’s court-authorized seizure of two domains that directed users to the ChipMixer service and one Github account, as well as the German Federal Criminal Police’s (the Bundeskriminalamt) seizure of the ChipMixer back-end servers and more than $46 million in cryptocurrency. 司法省は本日、ランサムウェア、ダークネット市場、詐欺、暗号通貨強盗、その他のハッキングスキームなどの活動を推進するため、2017年から現在までの間に、30億ドル相当以上の暗号通貨を洗浄した責任を負うダークネット暗号通貨「混合」サービス、ChipMixerの国際協調摘発を発表した。この作戦には、米国連邦法執行機関がChipMixerサービスにユーザーを誘導する2つのドメインと1つのGithubアカウントを裁判所から認可を受けて押収し、さらにドイツ連邦刑事警察(Bundeskriminalamt)がChipMixerバックエンドサーバーと4600万ドル以上の暗号通貨を押収した。
Coinciding with the ChipMixer takedown efforts, Minh Quốc Nguyễn, 49, of Hanoi, Vietnam, was charged today in Philadelphia with money laundering, operating an unlicensed money transmitting business and identity theft, connected to the operation of ChipMixer. ChipMixerの摘発と同時に、ベトナム・ハノイのMinh Quốc Nguyễn(49歳)は、ChipMixerの運営に関連したマネーロンダリング、無許可送金業の運営、個人情報窃盗の容疑で、本日フィラデルフィアで起訴された。
“This morning, working with partners at home and abroad, the Department of Justice disabled a prolific cryptocurrency mixer, which has fueled ransomware attacks, state-sponsored crypto-heists and darknet purchases across the globe,” said Deputy Attorney General Lisa Monaco. “Today’s coordinated operation reinforces our consistent message: we will use all of our authorities to protect victims and take the fight to our adversaries. Cybercrime seeks to exploit boundaries, but the Department of Justice’s network of alliances transcends borders and enables disruption of the criminal activity that jeopardizes our global cybersecurity.” 今朝、国内外のパートナーと協力して、司法省は、世界中でランサムウェア攻撃、国家主催のクリプトヘイスト、ダークネット購入の燃料となった、多量の暗号通貨ミキサーを無効にした。 副司法長官のリサ・モナコは言いました。 「今日の協調作戦は、私たちの一貫したメッセージである、被害者を保護し、敵対者に戦いを挑むために、あらゆる権限を行使することを強化するものである。サイバー犯罪は境界を利用しようとするが、司法省の同盟ネットワークは国境を越え、世界のサイバーセキュリティを危険にさらす犯罪行為を阻止することができる。
“Today's announcement demonstrates the FBI's commitment to dismantling technical infrastructure that enables cyber criminals and nation-state actors to illegally launder cryptocurrency funds,” said FBI Deputy Director Paul Abbate. “We will not allow cyber criminals to hide behind keyboards nor evade the consequences of their illegal actions. Countering cybercrime requires the ultimate level of collaboration between and among all law enforcement partners. The FBI will continue to elevate those partnerships and leverage all available tools to identify, apprehend and hold accountable these bad actors and put an end to their illicit activity.” 本日の発表は、サイバー犯罪者や国家主体が暗号通貨の資金を違法に洗浄することを可能にする技術インフラを解体するというFBIのコミットメントを示すものである。とFBI副長官ポール・アベイトは述べている。「我々は、サイバー犯罪者がキーボードの後ろに隠れることも、違法行為の結果を回避することも許さない。サイバー犯罪に対抗するには、すべての法執行機関のパートナーとの間で、究極のレベルの協力が必要である。FBIは、このようなパートナーシップをさらに強化し、利用可能なあらゆるツールを活用して、悪質な行為者を特定、逮捕、責任追及し、その違法行為に終止符を打つ。"
According to court documents, ChipMixer – one of the most widely used mixers to launder criminally-derived funds – allowed customers to deposit bitcoin, which ChipMixer then mixed with other ChipMixer users’ bitcoin, commingling the funds in a way that made it difficult for law enforcement or regulators to trace the transactions. As detailed in the complaint, ChipMixer offered numerous features to enhance its criminal customers’ anonymity. ChipMixer had a clearnet web domain but operated primarily as a Tor hidden service, concealing the operating location of its servers to prevent seizure by law enforcement. ChipMixer serviced many customers in the United States, but did not register with the U.S. Department of the Treasury’s Financial Crimes Enforcement Network (FinCEN) and did not collect identifying information about its customers.  法廷文書によると、ChipMixerは、犯罪に由来する資金を洗浄するために最も広く使われているミキサーの1つで、顧客がビットコインを入金し、ChipMixerが他のChipMixerユーザーのビットコインと混合し、警察や規制当局が取引を追跡することが困難な方法で資金を混同させることができる。訴状に詳述されているように、ChipMixerは、犯罪者の顧客の匿名性を高めるために、数多くの機能を提供していた。ChipMixerは、クリアネットのウェブドメインを持っていましたが、主にTorの隠しサービスとして運営され、法執行機関による押収を防ぐためにサーバーの運営場所を隠していた。ChipMixerは、米国内で多くの顧客にサービスを提供していたが、米国財務省の金融犯罪取締ネットワーク(FinCEN)に登録せず、顧客に関する識別情報を収集していなかった。 
As alleged in the complaint, ChipMixer attracted a significant criminal clientele and became indispensable in obfuscating and laundering funds from multiple criminal schemes. Between August 2017 and March 2023, ChipMixer processed: 訴状で主張されているように、ChipMixerは重要な犯罪者の顧客を集め、複数の犯罪スキームからの資金を難読化しロンダリングする上で不可欠な存在となった。2017年8月から2023年3月にかけて、ChipMixerは処理を行った:
・$17 million in bitcoin for criminals connected to approximately 37 ransomware strains, including Sodinokibi, Mamba and Suncrypt; ・Sodinokibi、Mamba、Suncryptを含む約37種類のランサムウェア系統に関連する犯罪者のために、1700万ドルのビットコインを処理した;
・Over $700 million in bitcoin associated with wallets designated as stolen funds, including those related to heists by North Korean cyber actors from Axie Infinity’s Ronin Bridge and Harmony’s Horizon Bridge in 2022 and 2020, respectively; ・2022年にAxie InfinityのRonin Bridgeから、2020年にHarmonyのHorizon Bridgeから、それぞれ北朝鮮のサイバーアクターによる強盗に関連するものなど、盗難資金として指定されたウォレットに関連する7億ドルを超えるビットコイン;
・More than $200 million in bitcoin associated either directly or through intermediaries with darknet markets, including more than $60 million in bitcoin processed on behalf of customers of Hydra Market, the largest and longest running darknet market in the world until its April 2022 shutdown by U.S. and German law enforcement; ・2022年4月に米国とドイツの法執行機関により閉鎖されるまで、世界最大かつ最も長く運営されていたダークネット市場であるHydra Marketの顧客のために処理された6000万ドル以上のビットコインを含む、ダークネット市場と直接または仲介業者を通じて関連付けられた2億ドル以上のビットコインが含まれる;
・More than $35 million in bitcoin associated either directly or through intermediaries with “fraud shops,” which are used by criminals to buy and sell stolen credit cards, hacked account credentials and data stolen through network intrusions; and ・犯罪者が盗んだクレジットカード、ハッキングされた口座情報、ネットワーク侵入によって盗まれたデータを売買するために使用される「詐欺ショップ」に直接または仲介者を通じて関連付けられた3500万ドル以上のビットコイン、および
・Bitcoin used by the Russian General Staff Main Intelligence Directorate (GRU), 85th Main Special Service Center, military unit 26165 (aka APT 28) to purchase infrastructure for the Drovorub malware, which was first disclosed in a joint cybersecurity advisory released by the FBI and National Security Agency in August 2020. ・2020年8月にFBIと国家安全保障局が発表した合同サイバーセキュリティ勧告で初めて公開されたDrovorubマルウェアのインフラを購入するために、ロシア参謀本部主要情報局(GRU)、第85主要特殊サービスセンター、軍事ユニット26165(別名APT 28)が使用したビットコイン。
Beginning in and around August 2017, as alleged in the complaint, Nguyễn created and operated the online infrastructure used by ChipMixer and promoted ChipMixer’s services online. Nguyễn registered domain names, procured hosting services and paid for the services used to run ChipMixer through the use of identity theft, pseudonyms, and anonymous email providers. In online posts, Nguyễn publicly derided efforts to curtail money laundering, posting in reference to anti-money laundering (AML) and know-your-customer (KYC) legal requirements that “AML/KYC is a sellout to the banks and governments,” advising customers “please do not use AML/KYC exchanges” and instructing them how to use ChipMixer to evade reporting requirements.  訴状で主張されているように、2017年8月頃から、NguyễnはChipMixerが使用するオンラインインフラを作成・運営し、ChipMixerのサービスをオンラインで宣伝した。Nguyễnは、ドメイン名を登録し、ホスティングサービスを調達し、なりすまし、偽名、匿名の電子メールプロバイダを使用してChipMixerを運営するために使用するサービスの支払いを行った。Nguyễnは、オンライン上の投稿で、マネーロンダリングを抑制する取り組みを公に嘲笑し、マネーロンダリング防止(AML)および顧客情報(KYC)の法的要件について、「AML/KYCは銀行や政府に売り渡すものだ」と投稿、顧客に「AML/KYC取引所を使用しないでください」と助言し、報告要件を回避するChipMixerを使う方法を指示している。 
“ChipMixer facilitated the laundering of cryptocurrency, specifically Bitcoin, on a vast international scale, abetting nefarious actors and criminals of all kinds in evading detection,” said U.S. Attorney Jacqueline C. Romero for the Eastern District of Pennsylvania. “Platforms like ChipMixer, which are designed to conceal the sources and destinations of staggering amounts of criminal proceeds, undermine the public’s confidence in cryptocurrencies and blockchain technology. We thank all our partners at home and abroad for their hard work in this case. Together, we cannot and will not allow criminals’ exploitation of technology to threaten our national and economic security.” ペンシルベニア州東部地区連邦検事ジャクリーン・C・ロメロは、「ChipMixerは、膨大な国際規模で暗号通貨、特にビットコインの資金洗浄を促進し、あらゆる種類の悪意ある行為者や犯罪者が検出を回避するのを教唆した」と語った。"ChipMixerのようなプラットフォームは、途方もない額の犯罪収益の出所と行き先を隠すように設計されており、暗号通貨とブロックチェーン技術に対する国民の信頼を損なっている。今回の事件で尽力してくれた国内外のすべてのパートナーに感謝する。共に、犯罪者による技術の悪用が私たちの国家と経済の安全を脅かすことを許すことはできませんし、許しません。"
“Criminals have long sought to launder the proceeds of their illegal activity through various means,” said Special Agent in Charge Jacqueline Maguire of the FBI Philadelphia Field Office. “Technology has changed the game, though, with a site like ChipMixer and facilitator like Nguyen enabling bad actors to do so on a grand scale with ease. In response, the FBI continues to evolve in the ways we ‘follow the money’ of illegal enterprise, employing all the tools and techniques at our disposal and drawing on our strong partnerships at home and around the globe. As a result, there’s now one less option for criminals worldwide to launder their dirty money.” 犯罪者は長い間、様々な手段で違法行為の収益を洗浄しようとしてきました。とFBIフィラデルフィア支局の特別捜査官Jacqueline Maguireは述べている。「しかし、ChipMixerのようなサイトやNguyenのような進行役がいれば、悪質業者は簡単に大規模な資金洗浄を行うことができるようになり、テクノロジーはゲームを変えた。これに対し、FBIは、あらゆるツールやテクニックを駆使し、国内外での強力なパートナーシップを活用しながら、違法エンタープライズの「資金を追う」方法を進化させ続けている。その結果、世界中の犯罪者が汚れた資金を洗浄するための選択肢が1つ減った」。
“Together, with our international partners at HSI The Hague, we are firmly committed to identifying and investigating cyber criminals who pose a serious threat to our economic security by laundering billions of dollars’ worth of cryptocurrency under the misguided anonymity of the darknet,” said Special Agent in Charge Scott Brown of Homeland Securities Investigations (HSI) Arizona. “HSI Arizona could not be more proud to work alongside every agent involved in this complex international case. We thank all our domestic and international partners for their support.” HSIハーグの国際的なパートナーとともに、ダークネットの見当違いの匿名性の下で数十億ドル相当の暗号通貨を洗浄することによって、我々の経済安全保障に深刻な脅威をもたらすサイバー犯罪者の特定と捜査にしっかりと取り組んでいる と、国土安全保障省捜査部(HSI)アリゾナ担当特別捜査官のスコットブラウンは言いました。「HSIアリゾナは、この複雑な国際的事件に関与したすべての捜査官とともに働けることを、これ以上ないほど誇りに思いる。国内外のすべてのパートナーの支援に感謝する。"
Nguyễn is charged with operating an unlicensed money transmitting business, money laundering and identity theft. If convicted, he faces a maximum penalty of 40 years in prison. Nguyễnは、無許可の送金ビジネスの運営、マネーロンダリング、ID窃盗の罪で起訴されている。有罪判決を受けた場合、最高刑は懲役40年となる。
The FBI, HSI Phoenix and HSI The Hague investigated the case. FBI、HSIフェニックス、HSIハーグがこの事件を調査した。
The U.S. Attorney’s Office for the Eastern District of Pennsylvania is prosecuting the case.  ペンシルベニア州東部地区連邦検事事務所が本件を起訴している。 
German law enforcement authorities took separate actions today under its authorities. The FBI’s Legal Attaché in Germany, the HSI office in The Hague, the HSI Cyber Crimes Center, the Justice Department’s Office of International Affairs and National Cryptocurrency Enforcement Team, EUROPOL, the Polish Cyber Police (Centralnego Biura Zwalczania Cyberprzestępczości) and Zurich State Police (Kantonspolizei Zürich) provided assistance in this case. ドイツの法執行機関は本日、その当局のもとで別々の行動をとった。本事件では、FBIの在独リーガルアタッシェ、ハーグのHSIオフィス、HSI Cyber Crimes Center、司法省国際局・国家暗号通貨執行チーム、EUROPOL、ポーランドサイバー警察(Centralnego Biura Zwalczania Cyberprzestępczości)、チューリヒ州警察(Kantonspolizei Zürich)より支援を受けた。
To report information about ChipMixer and its operators visit rfj.tips/Duhsup. ChipMixerとそのオペレータに関する情報を報告するには、rfj.tips/Duhsupを参照のこと。

 

 

Fig1_20220411162001


1_20230330000201

ユーロポールもプレスしていました。。。

⚫︎ Europol

・2023.03.15 One of the darkweb’s largest cryptocurrency laundromats washed out

One of the darkweb’s largest cryptocurrency laundromats washed out ダークウェブ最大の暗号通貨コインランドリーの1つが洗い流された
Europol supports Germany and the US in taking down the infrastructure of ChipMixer: as much as EUR 40 million seized 欧州刑事警察機構(Europol)、独米のChipMixerのインフラ破壊を支援:4千万ユーロの押収も
German and US authorities, supported by Europol, have targeted ChipMixer, a cryptocurrency mixer well-known in the cybercriminal underworld. The investigation was also supported by Belgium, Poland and Switzerland. On 15 March, national authorities took down the infrastructure of the platform for its alleged involvement in money laundering activities and seized four servers, about 1909.4 Bitcoins in 55 transactions (approx. EUR 44.2 million) and 7 TB of data.  ドイツと米国の当局は、ユーロポールの支援を受けて、サイバー犯罪の裏社会でよく知られている暗号通貨ミキサーであるChipMixerを標的とした。この捜査は、ベルギー、ポーランド、スイスからも支援を受けている。3月15日、各国当局はマネーロンダリング活動への関与が疑われる同プラットフォームのインフラをダウンさせ、4台のサーバー、55件の取引で約1909.4ビットコイン(約4420万ユーロ)、7TBのデータを押収した。 

ChipMixer, an unlicensed cryptocurrency mixer set up in mid-2017, was specialised in mixing or cutting trails related to virtual currency assets. The ChipMixer software blocked the blockchain trail of the funds, making it attractive for cybercriminals looking to launder illegal proceeds from criminal activities such as drug trafficking, weapons trafficking, ransomware attacks, and payment card fraud. Deposited funds would be turned into “chips” (small tokens with equivalent value), which were then mixed together - thereby anonymising all trails to where the initial funds originated. 

ChipMixerは、2017年半ばに設立された無許可の暗号通貨ミキサーで、仮想通貨資産に関連する痕跡の混合や切断に特化したものであった。ChipMixerソフトウェアは、資金のブロックチェーン・トレイルをブロックし、麻薬取引、武器取引、ランサムウェア攻撃、ペイメントカード詐欺などの犯罪行為による違法収益の洗浄を目指すサイバー犯罪者にとって魅力的なものであった。入金された資金は「チップ」(同等の価値を持つ小さなトークン)に変換され、それらが混合されることで、最初の資金がどこから来たのかの痕跡がすべて匿名化される。 
A service available both on the clear and on the darkweb, ChipMixer offered full anonymity to their clients. This type of service is often used before criminals’ laundered crypto assets are redirected to cryptocurrency exchanges, some of which are also in the service of organised crime. At the end of the process, the ‘cleaned’ crypto can easily be exchanged into other cryptocurrencies or directly into FIAT currency though ATM or bank accounts. ChipMixerはクリアウェブでもダークウェブでも利用可能なサービスで、顧客に完全な匿名性を提供した。この種のサービスは、犯罪者が洗浄した暗号資産を暗号通貨取引所に移す前に利用されることが多く、中には組織犯罪に加担している取引所もある。プロセスの最後に、「洗浄」された暗号は、他の暗号通貨に簡単に交換したり、ATMや銀行口座から直接FIAT通貨に交換することができる。 
EUR 2.73 billion in crypto assets laundered with “chips” チップ」を使って洗浄された27億3,000万ユーロの暗号資産
The investigation into the criminal service suggests that the platform may have facilitated the laundering of 152 000 Bitcoins (worth roughly EUR 2.73 billion in current estimations) in crypto assets. A large share of this is connected to darkweb markets, ransomware groups, illicit goods trafficking, procurement of child sexual exploitation material, and stolen crypto assets. Information obtained after the takedown of the Hydra Market darkweb platform uncovered transactions in the equivalent of millions of euros.  刑事サービスの調査によると、このプラットフォームが152 000ビットコイン(現在の推定でおよそ27億3000万ユーロ相当)の暗号資産の資金洗浄を促進した可能性がある。その大部分は、ダークウェブ市場、ランサムウェアグループ、不正商品売買、児童性的搾取材料の調達、盗難暗号資産に関連している。ダークウェブプラットフォーム「Hydra Market」の撤去後に得られた情報では、数百万ユーロに相当する取引が発覚している。 
Ransomware actors such as Zeppelin, SunCrypt, Mamba, Dharma or Lockbit have also used this service to launder ransom payments they have received. Authorities are also investigating the possibility that some of the crypto assets stolen after the bankruptcy of a large crypto exchange in 2022 were laundered via ChipMixer.  Zeppelin、SunCrypt、Mamba、DharmaまたはLockbitなどのランサムウェアのアクターも、受け取った身代金の支払いを洗浄するためにこのサービスを利用した。また当局は、2022年の大規模暗号取引所の倒産後に盗まれた暗号資産の一部が、ChipMixerを介して洗浄された可能性を調査している。 
Europol facilitated the information exchange between national authorities and supported the coordination of the operation. Europol also provided analytical support linking available data to various criminal cases within and outside the EU, and supported the investigation through operational analysis, crypto tracing, and forensic analysis. The Joint Cybercrime Action Taskforce (J-CAT) at Europol also supported the operation. This standing operational team consists of cybercrime liaison officers from different countries who work on high-profile cybercrime investigations. ユーロポールは、各国当局間の情報交換を促進し、この作戦の調整をサポートした。また、ユーロポールは、利用可能なデータをEU内外の様々な刑事事件に関連付ける分析支援を行い、作戦分析、暗号追跡、フォレンジック分析を通じて捜査をサポートした。ユーロポールのJoint Cybercrime Action Taskforce (J-CAT)もこの作戦をサポートした。この常設作戦チームは、注目を集めるサイバー犯罪の捜査に携わる各国のサイバー犯罪連絡官で構成されている。
National authorities involved: 関係する各国当局
Belgium: Federal police (Police Fédérale/Federale Politie) ベルギー 連邦警察
Germany: Federal Criminal Police Office (Bundeskriminalamt) and General Prosecutors Office Frankfurt-Main (Generalstaatsanwaltschaft Frankfurt/Main, Zentralstelle zur Bekämpfung der Internetkriminalität) ドイツ 連邦刑事警察庁およびフランクフルト・マイン検察庁
Poland: Central Cybercrime Bureau (Centralne Biuro Zwalczania Cyberprzestępczości) ポーランド 中央サイバー犯罪局
Switzerland: Cantonal Police of Zurich (Kantonspolizei Zürich) スイス チューリッヒ州警察
USA – Federal Bureau of Investigation, Homeland Security Investigation, Department of Justice 米国 - 連邦捜査局、国土安全保障省捜査局、司法省

 

 


 

⚫︎ まるちゃんの情報セキュリティ気まぐれ日記

・2023.03.29 米国 司法省 世界最大級のハッカーフォーラムの創設者を逮捕し、フォーラムの運営を破壊 (2023.03.24)

・2023.03.29 米国 司法省 30億ドル以上の違法取引を処理したダークネット暗号通貨ミキサーのテイクダウンに成功 (2023.03.15)

・2023.01.31 米国 司法省 ランサムウェアの亜種「Hive」を駆除 (2023.01.26)・・

・2022.06.21 米国 司法省 国際的なサイバー作戦によるロシアのボットネットの破壊

・2022.04.11 米国 司法省 ロシア連邦軍参謀本部情報総局(GRU)が管理するボットネットを裁判所の認可に基づき破壊(2022.04.06)

・2022.03.30 米国 司法省 重要インフラを標的とした2つのハッキングキャンペーンでロシア政府職員4人を起訴 (2022.03.24)

・2022.03.18 米国 FBIが新たに仮想資産課 (VAU) を設立...

・2022.03.03 米国 司法省 タスクフォース KleptoCapture (ロシアの資金源を断つ?)

・2021.11.09 米国 司法省 Kaseya社等をランサムウェア攻撃したウクライナ人を逮捕・起訴した

・2021.11.04 米国 FBI-ICS3 ランサムウェアの実行者は合併等の金融イベント等を狙って攻撃してきているとアラートを出していますね。。。

・2021.10.20 米国 司法省 国家暗号通貨執行チームの設立を発表 at 2021.10.06

・2021.06.08 米国 司法省 コロニアル・パイプライン社が支払った暗号通貨の大半(約230 万ドル)を押収

・2021.02.19 U.S. DOJ 北朝鮮軍のハッカー3人を複数のサイバー犯罪の容疑で起訴

| | Comments (0)

中国 ロシア 習近平国家主席とプーチン大統領の会談 (2023.03.22)

こんにちは、丸山満彦です。

おそいです、、、はい、、、わかっております。。。。2つの声明も読んでおかないとですね。。。

「新時代における協力のための包括的戦略的パートナーシップの深化に関する中華人民共和国とロシア連邦の共同声明」と、「2030年までの露中経済協力の重要な方向性の発展計画に関する中華人民共和国およびロシア連邦の首脳の共同声明」

「新時代における協力のための包括的戦略的パートナーシップの深化に関する中華人民共和国とロシア連邦の共同声明」は、幅広い分野にわたって記載があります。。。内容は中国の従来の主張にちかいので、原案は中国側で準備して、議論を重ねてきたのかもしれませんね。。。

 

「2030年までの露中経済協力の重要な方向性の発展計画に関する中華人民共和国およびロシア連邦の首脳の共同声明」は、次の8分野に言及していますね。。。

  1. 貿易
  2. 物流システム
  3. 金融
  4. エネルギー
  5. 科学製品、資源
  6. 技術
  7. 産業
  8. 農業

1_20230329114001

 

⚫︎ 中国政府

・2023.03.22 习近平结束对俄罗斯联邦国事访问启程回国

习近平结束对俄罗斯联邦国事访问启程回国 習近平、ロシア連邦への国賓訪問を終え、帰国の途につく
2023/3/22 14:09 2023/3/22 14:09
新华社莫斯科3月22日电(记者丁得启黎藜)当地时间3月22日上午,国家主席习近平在结束对俄罗斯联邦国事访问后启程回国。 モスクワ3月22日(新華社)】習近平国家主席は現地時間22日午前、ロシア連邦への国賓訪問を終えて帰国の途に就いた。
中共中央政治局常委、中央办公厅主任蔡奇,中共中央政治局委员、中央外事工作委员会办公室主任王毅,国务委员兼外交部部长秦刚等陪同人员同机返回。 蔡奇・中国共産党中央委員会政治局常務委員兼中央委員会総室長、王毅・中国共産党中央委員会政治局委員兼中央外事工作委員会事務局長、秦剛・国務委員兼外事部長ら同行者は同便で帰国した。
离开莫斯科时,俄罗斯副总理切尔内申科等政府高级官员到机场送行并举行隆重送行仪式。 モスクワを出発する際には、ロシアのチェルネシェンコ副首相をはじめとする政府高官が空港に出向き、盛大な見送りセレモニーが行われた。

 

・2023.03.22 中华人民共和国和俄罗斯联邦关于深化新时代全面战略协作伙伴关系的联合声明

中华人民共和国和俄罗斯联邦关于深化新时代全面战略协作伙伴关系的联合声明 新時代における協力のための包括的戦略的パートナーシップの深化に関する中華人民共和国とロシア連邦の共同声明
2023/3/22 7:24 2023/3/22 7:24
新华社莫斯科3月21日电 モスクワ 3月21日(新華社)
中华人民共和国和俄罗斯联邦关于深化新时代全面战略协作伙伴关系的联合声明 新時代における協力のための包括的戦略的パートナーシップの深化に関する中華人民共和国とロシア連邦の共同声明
应俄罗斯联邦总统普京邀请,中华人民共和国主席习近平于2023年3月20日至22日对俄罗斯联邦进行国事访问。两国元首在莫斯科举行会谈。习近平主席还同俄罗斯联邦政府总理米舒斯京举行会见。 ロシア連邦のプーチン大統領の招きで、中華人民共和国の習近平主席が2023年3月20日から22日までロシア連邦を国賓訪問した。 両国の首脳はモスクワで会談を行った。 また、習近平主席は、ロシア連邦政府のミシュスキン首相と会談を行った。
中华人民共和国和俄罗斯联邦(以下称“双方”),声明如下: 中華人民共和国及びロシア連邦(以下、「両当事者」という)は、以下のとおり宣言する:
I
在双方不懈努力下,中俄新时代全面战略协作伙伴关系达到历史最高水平并持续向前发展。双方重申遵循2001年7月16日签署的《中华人民共和国和俄罗斯联邦睦邻友好合作条约》、2021年6月28日发表的《中华人民共和国和俄罗斯联邦关于〈中俄睦邻友好合作条约〉签署20周年的联合声明》和2022年2月4日发表的《中华人民共和国和俄罗斯联邦关于新时代国际关系和全球可持续发展的联合声明》确定的原则和精神发展双边关系。 双方の絶え間ない努力により、新時代における中国とロシア連邦の協力の包括的戦略パートナーシップは、歴史上最高のレベルに達し、発展を続けている。 両当事者は、2001年7月16日に署名された中華人民共和国とロシア連邦の善隣関係、友好及び協力に関する条約、2021年6月28日に発行された中華人民共和国とロシア連邦の善隣関係、友好及び協力に関する条約署名20周年に関する共同宣言、2022年2月4日発行の新しい時代の国際関係及び持続的発展に関する共同宣言に対する約束を再確認している。 2022年2月4日の「新時代の国際関係と持続可能なグローバル開発に関する中華人民共和国とロシア連邦の共同宣言」は、二国間関係発展の原則と精神を定めている。
双方指出,中俄关系不是类似冷战时期的军事政治同盟,而是超越该种国家关系模式,具有不结盟、不对抗、不针对第三国的性质。中俄关系成熟、稳定、自主、坚韧,经受住了新冠疫情和国际风云变幻的考验,不受外部影响,展示出生机活力。两国人民世代友好具有坚实根基,两国全方位合作具有广阔前景。俄罗斯需要繁荣稳定的中国,中国需要强大成功的俄罗斯。 双方は、中露関係は冷戦期と同様の軍事・政治同盟ではなく、そのような国家関係のモデルを超え、非同盟、非対立、第三国を対象としない性質であることに留意した上で、「中国とロシアの関係は、冷戦期のような軍事・政治同盟ではなく、国家関係のモデルを超え、第三国を対象とした非同盟、非対立な性質である。 ロシアと中国の関係は、成熟し、安定し、自律的で弾力性があり、新しい流行と国際情勢の変化の試練に耐え、外部の影響を受けず、活力とダイナミズムを発揮している。 世代を超えた両国民の友好は堅固な基盤を持ち、両国の全面的な協力は幅広い展望を持っている。 ロシアは繁栄し安定した中国を必要とし、中国は強く成功したロシアを必要としている。
中俄视彼此为优先合作伙伴,始终相互尊重,平等相待,成为当今大国关系的典范。在元首外交引领下,双方保持各层级密切交往,就彼此关心的重大问题深入沟通,增进互信,确保双边关系始终高水平运行,并愿进一步深化两国关系和发展各领域对话机制。 中国とロシアはお互いを優先的なパートナーとみなし、常にお互いを尊重し、対等に接しており、今日の大国間の関係のモデルとなっている。 国家外交のトップのリーダーシップの下、双方はあらゆるレベルで緊密な連絡を保ち、相互の関心事である主要な問題について深くコミュニケーションをとり、相互信頼を高め、二国間関係が常に高いレベルで運営されていることを確認し、両国の関係をさらに深め、様々な分野における対話メカニズムを発展させていくことを望んでいる。
双方指出,当前世界变局加速演进,国际格局深刻调整,和平、发展、合作、共赢是不可阻挡的历史潮流,多极化国际格局加速形成,新兴市场和发展中国家地位普遍增强,具有全球影响力、决心捍卫本国正当权益的地区大国不断增多。同时,霸权主义、单边主义、保护主义依然横行,用“基于规则的秩序”取代公认的国际法原则和准则的行径不可接受。 双方は、世界は現在、国際情勢の加速的な変化と深い調整の中にあり、平和、発展、協力、ウィンウィンの解決は止められない歴史の流れであること、多極化する国際情勢の形成が加速していること、新興市場と途上国の地位が総じて強化されていること、世界的影響力と自らの正当な権利と利益を守る決意を持つ地域大国の数が増えていることに言及した。 その一方で、覇権主義、一国主義、保護主義が依然として横行しており、国際法の普遍的に認められた原則や規範を「ルールベースの秩序」に置き換えることは容認できない。
应秉持普遍、开放、包容、非歧视和兼顾各方利益的原则,实现世界多极化和各国可持续发展。中俄呼吁各国弘扬和平、发展、公平、正义、民主、自由的全人类共同价值,对话而不对抗,包容而不排他,和睦相处,合作共赢,促进世界的和平与发展。 多極化する世界とすべての国の持続可能な発展を実現するために、普遍性、開放性、包摂性、無差別、利益均衡の原則は堅持されるべきである。 中国とロシアは、世界の平和と発展を促進するために、平和、発展、全人類の公正、正義、民主、自由、対立なき対話、排除なき寛容、調和、ウィンウィンの協力という共通の価値観を推進することをすべての国に呼びかける。
在这一形势下,双方保持密切外交协调,开展紧密多边协作,坚决捍卫公平正义,推动构建新型国际关系。 このような状況の下、双方は緊密な外交協調を維持し、緊密な多国間協力を行い、公正と正義を断固として守り、新型の国際関係の構築を推進する。
双方强调,巩固和深化中俄新时代全面战略协作伙伴关系是双方基于各自国情作出的战略选择,符合两国和两国人民根本利益,符合时代发展潮流,不受外部影响。双方将: 双方は、新時代における中露の包括的戦略的協力関係の強化・深化は、双方がそれぞれの国情に基づいて行う戦略的選択であり、両国と人民の根本的利益に適い、時代の発展の流れに沿い、外部の影響から自由であると強調した。 双方は次のことを行う:
——以两国元首共识为引领,确保双边关系始终沿着正确方向前行。 ・二国間関係が常に正しい方向に進むよう,両首脳の総意により主導する。
——在维护各自核心利益,首先是主权、领土完整、安全、发展问题上互予坚定支持。 ・ 主権,領土保全,安全保障,発展の問題など,互いの核心的利益を守るためにしっかりと支援する。
——秉持互利原则,在现代化建设过程中持续深化和拓展务实合作,实现共同发展和繁荣,更好造福中俄两国人民。 ・相互利益の原則を堅持し,近代化と建設の過程における実務的な協力を引き続き深化・拡大し,中露両国民の向上のために共通の発展と繁栄を実現する。
——促进两国人民相知相亲,不断夯实两国世代友好的社会民意基础。 ・両国民の相互理解を促進し、両国の友好の社会的・民衆的基盤を引き続き強化する。
——推进世界多极化、经济全球化、国际关系民主化,推动全球治理朝着更加公正合理的方向发展。 ・世界の多極化,経済のグローバル化、国際関係の民主化を推進し、グローバル・ガバナンスをより公正で合理的な方向へ押し進める。
II
双方指出,各国自身历史、文化、国情不同,都有自主选择发展道路的权利。不存在高人一等的“民主”,双方反对把本国价值观强加于人,反对以意识形态划线,反对所谓“民主对抗威权”的虚伪叙事,反对将民主、自由作为向别国施压的借口和政治工具。俄方高度重视中方提出的全球文明倡议。 双方は、各国が独自の歴史、文化、国情を持ち、独自の発展の道を選択する権利を持っていることを指摘した。 双方は、国家的価値の他国への押しつけ、イデオロギー的な線引き、「権威主義に対抗する民主主義」という誤った物語、民主主義と自由を他国に圧力をかける口実や政治的道具として利用することに反対する。 ロシア側は、中国の地球文明に関するイニシアティブを非常に重視している。
双方指出,实现人人享有人权,是人类社会的共同追求。各国都有权利自主选择人权发展道路,不同文明、不同国家应该相互尊重、相互包容、相互交流、相互借鉴。双方将坚定不移推进本国人权事业和世界人权事业。 双方は、すべての人の人権の実現が人類社会の共通の追求であることに留意した。 すべての国は人権発展の道を自ら選択する権利を有し、異なる文明と国は互いに尊重し、寛容し、交流し、学ぶべきである。 双方は自国と世界における人権の大義を揺るぎなく推進する。
俄方支持中方实现中国式现代化。中方支持俄方实现2030年前国家发展目标。 ロシア側は、中国側の中国式近代化の達成を支持する。 中国側は、2030年までの国家発展目標の達成において、ロシア側を支持する。
双方反对外部势力干涉内政。 双方は、外部勢力による内政干渉に反対する。
俄方重申恪守一个中国原则,承认台湾是中国领土不可分割的一部分,反对任何形式的“台独”,坚定支持中方维护本国主权和领土完整的举措。 ロシア側は、一帯一路の原則の堅持を再確認し、台湾を中国の領土の不可分の一部と認め、いかなる形態の「台湾独立」にも反対し、中国の主権と領土の一体性を守る取り組みを断固支持する。
双方同意加强涉外法治和立法经验交流,为中俄关系发展和两国对外合作提供法律保障。 双方は、外国関連の法治と立法に関する経験の交換を強化し、ロシアと中国の関係および両国の対外協力の発展のために法的保証を提供することに合意した。
双方将继续开展中央及其下属机构之间,以及战略安全磋商和执法安全合作机制框架下高级别代表之间的互信对话。双方将促进两国政党交往。 双方は、戦略的安全保障協議および法執行安全保障協力メカニズムの枠組みの下で、中央政府とその下部組織、およびハイレベル代表者間の相互信頼の対話を継続する。 双方は、両国の政党間の連絡を促進する。
双方同意协商举行公安、内务部部长年度会晤,加强在防范“颜色革命”,打击包括“东伊运”在内的“三股势力”、跨国有组织犯罪、经济犯罪、毒品犯罪等执法领域合作。 双方は、「カラー革命」の防止、「東イラク運動」を含む「3つの勢力」、国際組織犯罪、経済犯罪、麻薬関連犯罪の撲滅における協力を強化するため、公安・内務大臣会合を毎年開催することに合意した。 双方は、定期的な海上・空中での共同協力を実施する。
双方将定期组织海上、空中联合巡航和联演联训,加强包括现有双边机制下两军各项交流合作,进一步深化军事互信。 双方は、定期的な海上・航空共同パトロールや共同演習・訓練を組織し、既存の二国間メカニズムの下を含め、両軍の交流・協力を強化し、相互の軍事的信頼をさらに深めていく。
双方高度重视维护两国海外人员和机构安全及权益,将进一步推动双多边机制建设和对口交流,不断拓展海外公民、项目、机构安全保护合作方式和领域。 双方は、両国の在外国民及び在外機関の安全と権利の保護を重視し、二国間及び多国間メカニズムの構築とカウンターパートの交流をさらに推進し、在外国民、プロジェクト及び機関の安全と保護における協力の方法と分野を継続的に拡大する。
III
双方将加强协调,精准施策,从战略高度出发,切实提升两国各领域务实合作水平,以夯实两国关系物质基础,造福两国人民。 双方は、両国民の利益のために両国関係の物質的基礎を強化するため、調整を強化し、的確な措置を実施し、戦略的観点から、様々な分野における両国の実務協力のレベルを効果的に高める。
双方将巩固双边贸易增长势头,持续优化贸易结构,实施好《中俄货物贸易和服务贸易高质量发展的路线图》,支持电子商务发展,培育经贸新增长点,拓展经贸合作广度,提升合作效率,将外部风险降到最低,确保产业链供应链的稳固和安全。双方将深化地方合作,拓宽合作地域和领域,推动双方中小企业扩大交流合作。 双方は、二国間貿易の成長の勢いを固め、貿易構造の最適化を継続し、「中露物品・サービス貿易の質の向上のためのロードマップ」を実施し、電子商取引の発展を支援し、貿易・経済の新たな成長点を開拓し、経済・貿易協力の幅を広げ、協力効率を高め、外部リスクを最小限に抑え、産業チェーンのサプライチェーンの安定と安全確保を図る。 双方は地方協力を深め、協力の地理的領域と分野を広げ、双方の中小企業の交流・協力の拡大を推進する。
双方将稳步推进多领域投资合作,优化营商环境,完善法规保障,创新合作方式,深化数字经济、绿色可持续发展合作。双方将继续推动新版《中俄投资合作规划纲要》编制工作。 双方は、マルチセクター投資協力を着実に推進し、ビジネス環境を最適化し、規制とセーフガードを改善し、協力の方法を革新し、デジタル経済とグリーンで持続可能な発展における協力を深化させる。 双方は、「中露投資協力計画の概要」の新版の作成を引き続き推進する。
双方欢迎中国商务部和俄罗斯经济发展部于2022年12月5日发表的《关于启动2006年11月9日签署的〈中华人民共和国政府与俄罗斯联邦政府关于促进和相互保护投资协定〉升级谈判的联合声明》,将就此持续进行谈判,提升投资保护水平,促进投资便利化,为投资者及其投资营造更加稳定、公平、透明、可预期的营商环境。 双方は、2006年11月9日に署名された「投資の促進及び相互保護に関する中華人民共和国政府とロシア連邦政府との間の協定」のアップグレードに関する交渉の開始に関する中国商務部及びロシア連邦経済発展部の共同宣言(2022年12月5日発行)を歓迎し、この件について引き続き交渉を行い、投資保護の水準をアップグレードし、投資の円滑化を促進し、投資家とその投資にとってより安定的、公正かつ透明で透明な投資環境の構築に取り組む。 投資家とその投資にとって、より安定した、公正で透明性の高い、予測可能なビジネス環境を実現する。
双方将继续加强在金融领域的互利合作,包括保障两国经济主体间结算畅通,支持在双边贸易、投资、信贷等经贸活动中扩大本币使用。 双方は、両国の経済主体間の円滑な決済を確保し、二国間の貿易、投資、信用その他の経済・貿易活動における現地通貨の使用拡大を支援することを含め、金融分野における互恵的な協力を引き続き強化する。
双方将打造更加紧密的能源合作伙伴关系,支持双方企业推进油气、煤炭、电力、核能等能源合作项目,推动落实有助于减少温室气体排放的倡议,包括使用低排放能源和可再生能源。双方将共同维护包括关键跨境基础设施在内的国际能源安全,维护能源产品产业链供应链稳定,促进公平的能源转型和基于技术中立原则的低碳发展,共同为全球能源市场长期健康稳定发展作出贡献。 双方は、より緊密なエネルギーパートナーシップを構築し、石油・ガス、石炭、電力、原子力におけるエネルギー協力プロジェクトの推進において双方の企業を支援し、低排出エネルギーや再生可能エネルギーの利用を含む温室効果ガス排出量の削減に資するイニシアティブを推進する。 双方は、国境を越えた重要なインフラを含む国際的なエネルギー安全保障の維持、エネルギー製品のサプライチェーンの安定性の確保、技術中立の原則に基づく公平なエネルギー転換と低炭素化の推進に協力し、世界のエネルギー市場の長期的で健全かつ安定した発展に共同で寄与していく。
双方将继续在民用航空制造、汽车制造、船舶制造、冶金和其他共同感兴趣领域开展务实合作。 双方は、民間航空製造、自動車製造、造船、冶金及びその他の相互利益の分野における実務的な協力を引き続き発展させる。
双方将加强交通运输领域合作,完善跨境基础设施,提高口岸通行能力,保障口岸稳定运行。双方将继续支持中欧过境俄罗斯开展铁路和海上货物运输,提升运输效率。 双方は、輸送分野における協力を強化し、国境を越えたインフラを改善し、港湾の能力を高め、その安定的な運営を確保する。 双方は、ロシアを挟んで中国と欧州を結ぶ鉄道と海上貨物輸送を引き続き支援し、輸送効率を向上させる。
双方将在航天领域共同感兴趣的方向深化互利合作,包括落实《中华人民共和国国家航天局与俄罗斯联邦国家航天集团公司2023-2027年航天合作大纲》。 双方は、2023年から2027年までの中華人民共和国国家宇宙局及びロシア連邦国家宇宙公社間の宇宙協力の概要の実施を含む、宇宙分野における共通の関心分野における互恵的協力を深化させる。
双方将积极创造便利,提升互输农产品和粮食的多样性和供应量。 双方は、相互の農業・食料供給の多様性と可用性を高めるための施設を積極的に創設する。
双方支持2023年在俄罗斯叶卡捷琳堡举办第七届中俄博览会。 双方は、2023年にロシアのエカテリンブルクで第7回中露博覧会を開催することを支持する。
中方支持在欧亚经济联盟框架内推动一体化进程,俄方支持建设“一带一路”。双方共同努力,积极推动“一带一路”与欧亚经济联盟建设对接合作,加强亚欧地区互联互通。双方将继续落实2018年5月17日签署的《中华人民共和国与欧亚经济联盟经贸合作协定》。 中国側はユーラシア経済連合の枠組みでの統合プロセスを支持し、ロシア側は「一帯一路」の建設を支持する。 双方は協力して、「一帯一路」とユーラシア経済連合建設の鳩首協力を積極的に推進し、アジアと欧州の連結性を強化する。 双方は、2018年5月17日に署名した「中華人民共和国とユーラシア経済連合との間の経済・貿易協力に関する協定」を引き続き実施する。
双方愿继续推动共建“一带一路”和“大欧亚伙伴关系”建设并行不悖、协调发展,推动双多边一体化进程,造福亚欧大陆各国人民。 双方は、アジアと欧州の人々の利益のために、「一帯一路」と「大ユーラシアパートナーシップ」の並行的かつ協調的な発展、ならびに二国間および多国間の統合プロセスを引き続き推進することを希望する。
双方高度重视落实2015年《中华人民共和国、俄罗斯联邦、蒙古国发展三方合作中期路线图》和2016年《建设中蒙俄经济走廊规划纲要》,以进一步深化三方一揽子合作,将积极推动这一具有发展前景的机制同上海合作组织、欧亚经济联盟等区域组织和机制进一步对接。双方将共同努力,推动新建中蒙俄天然气管道项目研究及磋商相关工作。 双方は、三国協力パッケージをさらに深めるために、「中華人民共和国、ロシア連邦、モンゴルの三国協力のための2015年中期ロードマップ」と「中国・モンゴル・ロシア経済回廊建設計画の2016年概要」の実施を非常に重視し、この有望なメカニズムと上海協力機構やユーラシア経済連合などの地域組織・機構とのさらなる鳩首化を積極的に推進します。 双方は、中国・モンゴル・ロシアの新しいガスパイプラインプロジェクトに関する研究・協議を共同で推進する。
双方同意加强反洗钱领域交流合作,包括多边框架下协作。 双方は、多国間枠組みの下での協力を含め、アンチ・マネー・ロンダリングの分野における交流と協力を強化することに合意した。
IV
双方反对国际人文合作政治化,反对以国籍、语言、宗教、政治或其他信仰、民族或社会出身为由歧视文化、教育、科学、体育界人士。 双方は、人文科学の国際協力の政治化、および国籍、言語、宗教、政治的またはその他の信条、民族的または社会的出身を理由とする文化、教育、科学およびスポーツ界の人々に対する差別に反対する。
双方将努力恢复和扩大两国线下人文交流合作,不断巩固两国人民友谊和双边关系社会基础。 双方は、オフラインでの両国の人文交流・協力の回復と拡大に努め、両国民の友好と二国間関係の社会的基盤を引き続き強化する。
双方将深化教育合作,推进双向留学提质增效,鼓励高校合作,支持中俄同类大学联盟和中学联盟建设,推动合作办学和职业教育交流,深化语言教学合作,增进两国学生交流,开展数字化教育合作。 双方は教育における協力を深め、双方向の留学を推進し、質と効率を高め、大学間の協力を奨励し、中国とロシアの類似の大学組合と中等学校組合の建設を支援し、協力型学校教育と職業教育交流を推進し、語学教育における協力を深め、両国の学生交流を強化し、デジタル教育における協力を展開する。
双方将深化科技创新领域互利合作,扩大行业人才交流,发挥基础研究、应用研究、科技成果产业化等方面合作潜力,聚焦科技前沿领域及全球发展共性问题联合攻关,包括应对及适应气候变化问题。在人工智能、物联网、5G、数字经济、低碳经济等技术与产业领域探索合作新模式。 双方は、科学技術イノベーションの分野における互恵的な協力を深め、産業界の人材交流を拡大し、基礎研究、応用研究、科学技術成果の産業化における協力の可能性を引き出し、科学技術のフロンティア分野や気候変動への対応・適応を含む世界発展の共通課題における共同研究に焦点を当てる。 人工知能、IoT、5G、デジタル経済、低炭素経済、その他の技術・産業の分野で、新たな協力の様式を模索する。
双方将加强两国博物馆、图书馆、美术馆、剧院等文化、文学、艺术机构交流交往。双方将拓展旅游合作和往来,鼓励构建舒适旅游环境。 双方は、両国の博物館、図書館、美術館、劇場などの文化・文学・芸術機関の交流・往来を強化する。 双方は、観光協力・交流を拡大し、快適な観光環境を奨励する。
双方将深化医疗卫生领域合作,扩大科研和高等医学教育领域交往,加强药品和医疗器械监管领域交流合作,在灾害医学、传染病、肿瘤学、核医学、妇幼保健、眼科、精神病学等领域开展合作,在世界卫生组织、金砖国家、上海合作组织、二十国集团、亚太经合组织等多边平台加强相关合作。 双方は、医療・健康分野における協力を深め、科学研究と高等医学教育における交流を拡大し、医薬品・医療機器規制分野における交流と協力を強化し、災害医療、感染症、腫瘍学、核医学、母子保健、眼科、精神医学の分野における協力を展開し、世界保健機関、BRICS、上海協力機構、G20、APECといった多国間プラットフォームにおける関連協力を強化する。
双方将继续开展卫生防疫合作,应对疫情威胁。双方将共同反对借在国际组织框架内形成具有法律约束力的机制,谋求限制各国在传染病防治及预警和应对生物威胁方面主权权利的企图。 双方は、疫病の脅威に対処するため、保健および疫病予防において引き続き協力する。 双方は、国際機関の枠組みにおける法的拘束力のあるメカニズムの形成を通じて、感染症と闘い、生物学的脅威に早期警告を与え、対応するための各国の主権的権利を制限する試みに共同で反対していく。
双方高度评价2022-2023年中俄体育交流年取得的积极成果,将继续加强各领域体育合作,促进两国体育运动事业共同发展。中方支持俄方2024年在俄罗斯喀山举办国际电子竞技赛事“未来运动会”。双方反对体育政治化,希望发挥体育独特作用,促进团结与和平。 双方は、2022-2023年のロシア・中国スポーツ交流年の良好な成果を高く評価し、引き続き各分野のスポーツ協力を強化し、両国のスポーツの共同発展を促進する。 中国は、ロシア側が2024年にロシアのカザンでeスポーツの国際大会「Games of the Future」を開催することを支持する。 双方は、スポーツの政治化に反対し、スポーツが統一と平和を促進する上で独自の役割を果たすことを希望する。
双方欢迎国际奥委会和亚奥理事会有关倡议和决定,共同捍卫奥林匹克价值观,愿为符合条件的各国运动员搭建良好参赛平台。 双方は、国際オリンピック委員会とアジアオリンピック評議会の関連するイニシアティブと決定を歓迎し、オリンピックの価値を守るために協力し、すべての国の資格のあるアスリートが参加できる良いプラットフォームを構築することに意欲的である。
双方将继续加强在海洋科学研究、海洋生态保护、海洋防灾减灾、海洋装备研发等领域合作,持续深化在极地科学研究、环境保护和组织科考等方面务实合作,为全球海洋治理贡献更多公共产品。 双方は、海洋科学研究、海洋生態保護、海洋災害の防止・軽減、海洋機器の研究開発における協力を引き続き強化し、極地科学研究、環境保護、科学研究の組織における実務協力を引き続き深め、グローバル海洋ガバナンスにさらなる公共財を貢献する。
双方愿携手提升应急管理合作水平,在航空救援技术、应急监测预警、人才培养等领域开展合作,组织包括边境地区在内的应急救援联演联训,加强海上搜救信息共享与合作。 双方は、緊急事態管理における協力のレベルを高めるために協力し、航空救助技術、緊急監視・早期警報、人材育成などの分野における協力を実施し、国境地帯を含む緊急救助における共同演習・訓練を組織し、海上捜索・救助における情報共有と協力を強化することを希望する。
双方愿加强广播电视网络视听领域政策沟通合作,促进联合制作、节目互播、技术研发应用等合作,推动产业共同发展。 双方は、ラジオ、テレビ、インターネット視聴覚分野における政策交流と協力を強化し、共同制作、番組の相互放送、技術研究と応用における協力を促進し、産業の共同発展を促進することに意欲的である。
双方同意加强媒体、智库、出版、社科、档案、文艺等领域交流合作。 双方は、メディア、シンクタンク、出版、社会科学、公文書館、文学、芸術の分野における交流と協力を強化することで合意した。
双方将在加强青年思想道德教育方面开展合作,为两国青少年自我成才、创业、创新、创意和其他成长型活动提供机遇,加强两国青年直接交往,拓展联合青年项目。 双方は、青少年の思想・道徳教育の強化、両国の青少年に自己実現、起業、革新、創造などの成長志向の活動の機会を提供し、両国の青少年の直接交流を強化し、青少年の共同プロジェクトを拡大することに協力する。
双方将继续开展志愿服务、创业、产业创新和创意、少儿团体等领域的双边活动,在联合国、金砖国家、上海合作组织、亚洲相互协作与信任措施会议和二十国集团框架内多边青年平台上相互协调,进一步深化协作。 双方は、ボランティア活動、起業家精神、産業革新と創造性、子供会の分野における二国間活動を継続し、国連、BRICS、上海協力機構、アジアにおける交流と信頼醸成措置に関する会議(CICA)、20カ国グループ(G20)の枠組みの中で、多国間青年プラットフォームについて互いに調整しさらに連携を深めていく。
V
双方重申致力于坚定维护以联合国为核心的国际体系、以国际法为基础的国际秩序、以联合国宪章宗旨和原则为基础的国际关系基本准则,反对一切形式的霸权主义、单边主义、强权政治,反对冷战思维,反对阵营对抗,反对搞针对特定国家的小圈子。 両当事者は、国連を中核とする国際システム、国際法に基づく国際秩序、国連憲章の目的及び原則に基づく国際関係の基本規範を堅持し、あらゆる形態の覇権主義、一国主義、権力政治、冷戦精神、陣営間の対立及び特定の国を標的とする小さな円の創設に反対するという約束を再確認した。
俄方指出,中方关于构建人类命运共同体的理念对加强国际社会团结、合力应对共同挑战具有积极意义。中方积极评价俄方为推动构建公正的多极化国际关系所作建设性不懈努力。 ロシア側は、人類運命共同体の構築という中国の考え方は、国際社会の結束を強め、共通の課題に取り組む努力を結集する上で、積極的な意義を持つものだと指摘した。 中国側は、公正で多極的な国際関係の構築を促進するためのロシア側の建設的で絶え間ない努力を肯定的に評価する。
双方支持建设开放型世界经济,维护以世界贸易组织为核心的多边贸易体制,促进贸易和投资自由化、便利化,呼吁打造开放、公平、公正、非歧视的发展环境,反对单边主义和保护主义行为,反对“筑墙设垒”、“脱钩断链”,反对单边制裁和极限施压。 双方は、開かれた世界経済の構築を支持し、世界貿易機関を中核とする多国間貿易システムを堅持し、貿易・投資の自由化と円滑化を推進し、開放的、公正、公平、無差別な発展環境を求め、一国主義と保護主義に反対し、「壁と障壁を築く」ことに反対し また、一国主義や保護主義、「壁や障壁の構築」、「デカップリングや鎖の切断」、一国制裁や極端な圧力に反対している。
俄方高度评价全球发展倡议,将继续参与“全球发展倡议之友小组”工作。双方将继续推动国际社会聚焦发展问题,增加发展投入,共同推动联合国可持续发展目标峰会取得积极成果,加快落实联合国2030年可持续发展议程。 ロシア側は、世界開発イニシアティブを高く評価しており、世界開発イニシアティブの友好国グループの活動に引き続き参加する予定である。 双方は、国際社会が開発問題に焦点を当てることを引き続き促進し、開発への投資を増やし、持続可能な開発目標に関する国連サミットの肯定的な結果を共同で促進し、国連持続可能な開発のための2030アジェンダの実施を加速させるであろう。
双方对国际安全面临的严峻挑战深表关切,认为各国人民命运与共,任何国家都不应以他国安全为代价实现自身安全。双方呼吁国际社会本着共商共建原则积极参与全球安全治理,切实巩固全球战略稳定和维护共同、综合、合作、可持续的安全,用好军控、裁军和防扩散等国际机制。为此,双方重申有必要综合施策,与时俱进完善国际安全架构,赋予其更强韧性。该架构的核心支柱之一应是商定并恪守在当前历史阶段和平共处的原则和规定,将国与国之间发生冲突的可能性降至最低。联合国安理会常任理事国对维护世界和平稳定负有特殊责任,更应最大限度避免冲突。 双方は、国際安全保障に対する深刻な課題に対する深い懸念を表明し、すべての国民の運命は共有されており、いかなる国も他者の安全を犠牲にして自国の安全を達成すべきではないと信じた。 双方は、国際社会に対し、コンセンサスとパートナーシップの原則に基づき、グローバルな安全保障ガバナンスに積極的に参加し、世界の戦略的安定を効果的に強化し、共通、包括的、協力的かつ持続可能な安全を維持し、軍備管理、軍縮及び不拡散に関する国際メカニズムを十分に活用するよう呼びかけた。 このため、双方は、国際的な安全保障構造を時代に即して改善し、より強靭なものとするための包括的なアプローチの必要性を改めて表明した。 このアーキテクチャの中核的な柱の1つは、国家間の紛争の可能性を最小化するために、歴史的な段階における平和的共存の原則と条項に合意し、それを遵守することであるべきである。 国連安全保障理事会の常任理事国は、世界の平和と安定を維持する特別な責任を負っており、可能な限り紛争を回避することがより重要な理由である。
双方谴责一切形式的恐怖主义,致力于推动国际社会建立以联合国为核心的全球反恐统一战线,反对将打击恐怖主义和极端主义问题政治化、采取“双重标准”,谴责打着打击国际恐怖主义和极端主义旗号以及利用恐怖和极端组织干涉别国内政、实现地缘政治目的的行径。应对“北溪”管线爆炸事件进行客观、公正、专业的调查。 双方は、あらゆる形態のテロリズムを非難し、国際社会による、国連を中核とする統一された世界的なテロ対策戦線の確立の促進に尽力し、テロリズム及び過激主義との闘いの問題の政治化及び「ダブルスタンダード」の採択に反対する。 我々は、国際的なテロと過激主義との闘いを口実に、他国の内政に干渉し、地政学的な目標を達成するために、テロと過激主義組織を利用することを非難する。 ノルド・ストリーム・パイプラインの爆発事故について、客観的、公平かつ専門的な調査を行うべきである。
双方决心继续在地区和全球安全事务中密切协作,包括共同落实全球安全倡议,就重大国际和地区问题及时交换意见、协调立场,为维护世界和平与安全贡献力量。 双方は、世界的な安全保障に関するイニシアティブを共同で実施し、主要な国際的・地域的問題について適時に意見を交換し立場を調整し、世界の平和と安全の維持に貢献することを含め、地域および世界の安全保障に関する事項について緊密に協力し続けることを決意している。
双方为应对新冠疫情全球大流行、维护两国和世界人民生命安全和身体健康开展了富有成效的双多边合作。双方支持两国深化疫情信息交流,加强在世界卫生组织等平台协调配合,共同反对病毒溯源政治化图谋。 双方は、新冠流行の世界的流行に対処し、両国及び世界の人々の生命、安全及び健康を守るため、実りある二国間及び多国間協力を行った。 双方は、流行病に関する両国間の情報交換の深化、世界保健機関及びその他のプラットフォームにおける調整及び協力の強化、並びにウイルスのトレーサビリティを政治化しようとする試みに共同で反対することを支持した。
VI
双方将继续密切协作,推动上海合作组织在维护所在地区和平、安全与稳定方面发挥更大作用和影响。双方将同其他成员国一道完善上海合作组织现阶段工作,有效应对新挑战和新威胁,深化亚欧地区经贸、人文领域多边互利合作。 双方は、地域の平和、安全、安定の維持における上海協力機構のより大きな役割と影響力を促進するため、引き続き緊密に協力し合う。 双方は、他の加盟国と協力し、SCOの活動の現段階を改善し、新たな課題や脅威に効果的に対処し、アジアと欧州の経済、貿易、人文分野における互恵的な多国間協力を深化させる。
俄方高度赞赏中方成功主办金砖国家领导人第十四次会晤。双方愿同金砖国家其他成员共同努力,落实历次金砖国家领导人会晤共识,深化各领域务实合作,积极推动金砖国家和新开发银行扩员相关讨论,积极开展“金砖+”合作和金砖外围对话,维护新兴市场和发展中国家共同利益。 ロシア側は、中国が第14回BRICS首脳会議を成功裏に開催したことを高く評価する。 双方は、他のBRICS加盟国と協力して、これまでのBRICS首脳会議のコンセンサスを実施し、各分野での実務協力を深め、BRICSと新開発銀行の拡大に関する議論を積極的に推進し、BRICS+協力とBRICS周辺対話を積極的に行い、新興市場と途上国の共通利益を保護する準備がある。
双方将加强在中俄印、中俄蒙以及东亚峰会、东盟地区论坛、东盟防长扩大会等平台的协作。中俄将就深化同东盟合作加强协调,继续推动巩固东盟在地区架构中的中心地位。 双方は、中露印、中露モンゴルのほか、東アジアサミット、ASEAN地域フォーラム、ASEAN国防相会議などのプラットフォームにおける協力を強化する。 中国とロシアは、ASEANとの協力の深化に関する連携を強化し、地域アーキテクチャにおけるASEANの中心的地位の強化を引き続き促進する。
双方认为,应进一步加强联合国教科文组织作为政府间人文交流普遍性平台的作用,维护真正的多边主义,推动该平台上相互尊重的专业对话,促进成员国高效沟通,达成共识,增进团结。双方鼓励联合国教科文组织同上海合作组织基于《上海合作组织秘书处与联合国教科文组织合作谅解备忘录》就共同关心的问题加强合作。 双方は、政府間人文交流の普遍的プラットフォームとしてのユネスコの役割をさらに強化し、真の多国間主義を堅持し、このプラットフォームにおける相互尊重の専門的対話を推進し、加盟国間の効率的なコミュニケーション、合意形成、連帯を促進すべきであると考える。 双方は、上海協力機構事務局とユネスコの協力に関する覚書に基づき、共通の関心事についてユネスコが上海協力機構との協力を強化することを奨励した。
双方致力于加强在二十国集团等多边机制下相互协调,推动二十国集团应对国际经济金融突出挑战,完善公正合理的全球经济治理体系,更好反映世界经济格局,提升新兴市场和发展中国家代表性和发言权。双方支持非洲联盟加入二十国集团。 双方は、G20等の多国間メカニズムの下での相互調整を強化し、G20が未解決の国際経済・金融課題に取り組むことを促進し、公正かつ合理的な世界経済ガバナンスシステムを改善し、世界経済の状況をよりよく反映し、新興市場及び途上国の代表及び発言力を強化することにコミットする。 双方は、アフリカ連合のG20への加盟を支持する。
双方将加强在亚太经合组织框架下协调配合,推动全面平衡落实布特拉加亚愿景,推动2040年建成开放、活力、强韧、和平的亚太共同体。 双方は、ブトラガヤ・ビジョンの包括的かつ均衡ある実施と2040年までの開かれた、活力に満ちた、強く平和なアジア太平洋共同体の構築を促進するため、APECの枠組みの下での調整と協力を強化する。
双方将就支持以世界贸易组织规则为基础的多边贸易体系、打击包括非法单边贸易限制在内的贸易保护主义加强协作,就世界贸易组织改革等世界贸易组织议程加强对话,特别是推动在2024年前恢复争端解决机制正常运转,推动投资便利化、电子商务等联合倡议谈判成果落地,使世界贸易组织在全球经济治理方面发挥更大作用。 双方は、世界貿易機関(WTO)のルールに基づく多角的貿易システムの支援及び違法な一国間貿易制限を含む貿易保護主義の撲滅に関する協力を強化し、世界貿易機関(WTO)改革を含むWTOの議題に関する対話を強化し、特に2024年までに紛争解決メカニズムの通常の機能の再開を促進し、投資円滑化や電子商取引などの共同イニシアティブに関する交渉結果の実施を推進し、その結果として 双方は、多国間プラットフォームの政治化を断固として非難する。
双方坚决谴责将多边平台政治化,以及某些国家在多边平台议程中塞入无关问题、冲淡相关机制首要任务的企图。 双方は、多国間プラットフォームの政治化、および多国間プラットフォームの議題を無関係な問題で詰め込み、関連メカニズムの主要な使命を薄めようとする特定の国による試みを断固として非難する。
VII
双方强调《五个核武器国家领导人关于防止核战争与避免军备竞赛的联合声明》的重要意义,重申“核战争打不赢也打不得”。双方呼吁联合声明所有签署国遵循该声明理念,切实降低核战争风险,避免核武器国家间爆发任何武装冲突。在核武器国家关系恶化背景下,减少战略风险的措施应有机地融入到缓和紧张局势、构建更具建设性的关系以及最大程度化解安全领域矛盾的总体努力中。所有核武器国家都不应在境外部署核武器并应撤出在境外部署的核武器。 双方は、「核戦争の防止と軍拡競争の回避に関する核保有5カ国首脳の共同声明」の重要性を強調し、「核戦争には勝つことも戦うこともできない」ことを再確認した。 両者は、共同声明のすべての署名国に対し、声明の概念に従い、核戦争のリスクを効果的に低減し、核保有国間の武力紛争の勃発を回避するよう呼びかけた。 核兵器国間の関係悪化を背景に、戦略的リスクを低減するための措置は、緊張を緩和し、より建設的な関係を構築し、安全保障分野における紛争を最小限に抑えるための全体的な努力に組み込まれるべきである。 全ての核兵器保有国は、自国の領域外への核兵器の配備を控えるべきであり、自国の領域外に配備された核兵器を撤収すべきである。
双方重申,《不扩散核武器条约》是国际核裁军与核不扩散体系的基石。双方重申恪守条约义务,并将继续协作,致力于维护和加强条约,维护世界和平与安全。 双方は、核兵器の不拡散に関する条約が国際的な核軍縮・不拡散体制の礎であることを再確認した。 双方は、条約の下での義務を再確認し、条約を維持し強化し、世界の平和と安全を維持するために引き続き協力する。
双方对美国、英国、澳大利亚建立“三边安全伙伴关系”(AUKUS)及相关核动力潜艇合作计划对区域战略稳定产生的后果和风险表示严重关切。双方强烈敦促AUKUS成员国严格履行不扩散大规模杀伤性武器及其运载工具的义务,维护地区和平、稳定与发展。 双方は、米国、英国及びオーストラリアの間の三国間安全保障パートナーシップ(AUKUS)の構築及び原子力潜水艦に関する関連協力プログラムによって生じる地域の戦略的安定に対する結果及びリスクについて、深刻な懸念を表明した。 双方は、AUKUS加盟国に対し、大量破壊兵器及びその運搬手段の不拡散に関する義務を厳格に履行し、地域の平和、安定及び発展を維持するよう強く要請する。
双方对日本计划今年向海洋排放福岛核电站事故放射性污染水表示严重关切,强调日本必须与周边邻国等利益攸关方及有关国际机构展开透明充分协商。双方敦促日本以科学、透明、安全的方式妥善处置放射性污染水,并接受国际原子能机构及利益攸关国家的长期监督,有效保护海洋环境和各国民众健康权益。 双方は、日本が今年、福島原子力発電所の事故による放射能汚染水を海に放出する計画について深刻な懸念を表明し、日本が近隣諸国やその他の利害関係者、関連する国際機関と透明で十分な協議を行う必要性を強調した。 双方は、日本が科学的かつ透明で安全な方法で放射能汚染水を適切に処理し、国際原子力機関及び利害関係国の長期的な監督を受け入れ、海洋環境とすべての国の国民の健康権を効果的に保護するよう促した。
双方重申早日恢复完整、有效执行伊朗核问题全面协议和联合国安理会第2231号决议的重要性,呼吁有关各方作出政治决断,推动全面协议恢复履约谈判取得积极成果。 双方は、イラン核問題に関する包括的合意及び国連安保理決議2231の完全かつ効果的な実施を早期に再開することの重要性を再確認し、全ての関係者に対し、包括的合意の遵守の再開に関する交渉の前向きな結果を促進するための政治的決意を行うよう呼びかけた。
双方重申《禁止生物武器公约》应得到充分遵守和不断加强,并使其制度化,达成包含有效核查机制、具有法律约束力的议定书。双方对美国在其境内外严重威胁别国并损害有关地区安全的生物军事活动表示严重关切,要求美国就此作出澄清,不得开展一切违反《禁止生物武器公约》的生物活动,不再阻挠建立公约框架内履约核查机制。 双方は、生物兵器禁止条約(BWC)が完全に遵守され、継続的に強化され、効果的な検証メカニズムを含む法的拘束力のある議定書で制度化されるべきことを再確認した。 双方は、他国に深刻な脅威を与え、関係地域の安全を損なう米国の領域内外の生物軍事活動に深刻な懸念を表明し、米国に対し、この点に関する説明を行い、BWCに違反するすべての生物活動の実施を控え、条約の枠内での遵守のための検証メカニズムの確立を妨害することをやめるよう要求した。
双方致力于实现无化武世界的目标,对禁止化学武器组织政治化深表关切。双方敦促美国作为唯一未完成化武销毁的缔约国加快库存化武销毁,敦促日本尽快完成遗弃在华化学武器的销毁。 締約国は、化学兵器のない世界という目標にコミットしており、化学兵器禁止機関(OPCW)の政治化について深く懸念している。 両者は、化学兵器の廃棄を完了していない唯一の締約国である米国に対し、その備蓄の廃棄を加速するよう求め、日本に対し、中国に遺棄された化学兵器の廃棄をできるだけ早く完了するよう促した。
中俄对美国加快全球反导体系建设并在世界各地部署反导系统、强化失能性高精度非核武器战略打击能力、推进在亚太和欧洲地区部署陆基中程和中短程导弹并向其盟友提供表示关切,敦促美国停止为维持自身单方面军事优势而破坏国际和地区安全和全球战略稳定。 中国とロシアは、世界的な対ミサイルシステムの構築と世界各地への配備の加速、高精度非核兵器戦略攻撃能力の非活性化の強化、アジア太平洋地域と欧州地域における陸上中距離ミサイルと短・中距離ミサイルの配備と同盟国への供与の進展に懸念を示し、米国が自らの単独軍事優位を保つために国際・地域の安全と世界戦略の安定を損なうことをやめるよう強く求める。
中俄反对个别国家企图将外空演变成军事对抗疆域的行为,反对利用外空实现军事优势和采取军事行动。双方主张在中俄《防止在外空放置武器、对外空物体使用或威胁使用武力条约》草案基础上,尽快启动具有法律约束力的多边文书谈判,为防止外空军备竞赛、外空武器化及防止对外空物体使用或威胁使用武力提供根本和可靠的保障。双方赞同在全球范围内推行不首先在外空部署武器的国际倡议/政治承诺,以巩固国际和平,确保平等和不可分割的普遍安全,提升各国出于和平目的外空研究和利用活动的可预见性和可持续性。 中国とロシアは、個々の国が宇宙空間を軍事的対立のフロンティアとする試みに反対し、軍事的優位を獲得し軍事行動をとるために宇宙空間を利用することに反対する。 双方は、宇宙空間における軍拡競争の防止、宇宙空間の兵器化、宇宙物体に対する武力行使の脅威または使用の防止のための基本的かつ信頼できる保証を提供するために、宇宙空間における武器の配置および宇宙物体に対する武力行使の脅威または使用の防止に関するロシアと中国の条約案に基づく法的拘束力のある多国間文書に関する交渉の早期開始を提唱する。 双方は、国際平和を強化し、平等かつ不可分の普遍的な安全を確保し、全ての国による平和目的のための宇宙空間における研究及び利用活動の予測可能性と持続可能性を高めるために、グローバルな宇宙空間における先制兵器禁止アプローチを追求する国際イニシアティブ/政治的コミットメントを承認する。
双方高度重视人工智能治理问题,愿就人工智能问题加强交流与合作。 双方は、AIガバナンスの問題を非常に重要視しており、AI問題についての交流と協力を強化する用意がある。
双方反对信息和通信技术领域军事化,反对限制正常信息通信和技术发展与合作,支持在确保各国互联网治理主权和安全的前提下打造多边公平透明的全球互联网治理体系。双方欢迎联合国2021-2025年信息和通信技术使用安全问题和信息安全开放式工作组作为联合国在国际信息安全领域唯一进程开展工作。双方认为,应制定信息网络空间新的、负责任的国家行为准则,特别是普遍性国际法律文书。中方《全球数据安全倡议》和俄方关于国际信息安全公约的概念文件将为相关准则制定作出重要贡献。双方支持联合国特设委员会制定打击以犯罪为目的使用信息和通信技术的全面国际公约。 双方は、ICT分野の軍事化及び正常なICT開発・協力に対する制限に反対し、各国のインターネットガバナンスの主権及び安全の確保を前提に、多国間かつ公正で透明なグローバルインターネットガバナンスシステムの構築を支持する。 両当事者は、国際的な情報セキュリティの分野における唯一の国連プロセスとして、「情報通信技術の使用におけるセキュリティ問題及び情報セキュリティに関する国連オープンワーキンググループ2021-2025」の作業を歓迎する。 双方は、情報サイバースペースにおける国家の新たな責任ある行動規範、特に普遍的な国際法的手段を開発すべきであると考えている。 中国のグローバル・データ・セキュリティ・イニシアチブとロシアの国際情報セキュリティに関する条約に関するコンセプトペーパーは、関連規範の開発に重要な貢献をすることになる。 締約国は、国連アドホック委員会による、犯罪目的での情報通信技術の使用に反対する包括的な国際条約の策定を支持する。
VIII
双方为应对和适应气候变化采取强有力措施,积极开展合作,建设和运行温室气体排放权交易系统,自愿实施气候项目,就减缓和适应全球变暖等议题在国家和地区间开展经验交流,作出重要贡献。 締約国は、気候変動に対処し適応するための強力な措置をとり、温室効果ガス排出権取引制度の構築及び運営に積極的に協力し、気候プロジェクトを自主的に実施し、地球温暖化の緩和及び適応等のテーマについて各国及び地域間で経験を交換し重要な貢献をする。
双方重申恪守《联合国气候变化框架公约》及其巴黎协定目标、原则和规定,特别是共同但有区别的责任原则,坚持真正的多边主义,推动巴黎协定全面有效实施。双方强调,加速来自发达国家对发展中国家的资金支持对强化减缓行动、处理资金获取方式不平等的问题至关重要。双方反对以应对气候变化为由设置贸易壁垒和将气候议题政治化。 双方は、気候変動枠組条約及びそのパリ協定の目的、原則及び規定、特に共通だが差異ある責任の原則、真の多国間主義の堅持及びパリ協定の完全かつ効果的な実施の促進に対するコミットメントを再確認した。 双方は、緩和行動を強化し、資金への不公平なアクセスに対処するためには、先進国から途上国への資金支援の加速が不可欠であると強調した。 双方は、気候変動への対処を理由とする貿易障壁の構築及び気候問題の政治化に反対した。
双方高度赞赏中方主持的联合国《生物多样性公约》第15次缔约方大会成果,希望该成果为推动全球生物多样性治理进程作出积极贡献。双方坚定推动生物多样性国际合作与交流,积极落实“昆明-蒙特利尔全球生物多样性框架”目标,共同推动人与自然和谐发展,助力全球可持续发展。 双方は,中国が主催した国連生物多様性条約第15回締約国会議の成果を高く評価し,その成果が生物多様性のグローバルなガバナンスプロセスの推進に積極的に寄与することを希望する。 双方は、生物多様性に関する国際協力と交流を促進し、「昆明-モントリオール生物多様性世界枠組み」の目的を積極的に実施し、人類と自然の調和ある発展を共同で促進し、世界の持続可能な発展に寄与することを約束する。
IX
双方认为,联合国宪章宗旨和原则必须得到遵守,国际法必须得到尊重。俄方积极评价中方在乌克兰问题上的客观公正立场。双方反对任何国家或国家集团为谋求军事、政治和其他优势而损害别国的合理安全利益。俄方重申致力于尽快重启和谈,中方对此表示赞赏。俄方欢迎中方愿为通过政治外交途径解决乌克兰危机发挥积极作用,欢迎《关于政治解决乌克兰危机的中国立场》文件中阐述的建设性主张。双方指出,解决乌克兰危机必须尊重各国合理安全关切并防止形成阵营对抗,拱火浇油。双方强调,负责任的对话是稳步解决问题的最佳途径。为此,国际社会应支持相关建设性努力。双方呼吁各方停止一切促使局势紧张、战事延宕的举动,避免危机进一步恶化甚至失控。双方反对任何未经联合国安理会授权的单边制裁。 双方は、国連憲章の目的と原則が尊重され、国際法が支持されなければならないと考えている。 ロシア側は、ウクライナ問題における中国側の客観的かつ公平な立場を積極的に評価する。 締約国は、他国の正当な安全保障上の利益を害して、軍事的、政治的またはその他の利益を求めるいかなる国または国のグループにも反対する。 ロシア側は、和平交渉の早期再開に向けたコミットメントを改めて表明し、中国側はこれを評価する。 ロシア側は、政治的・外交的手段によるウクライナ危機の解決に積極的な役割を果たすという中国の意思と、文書「ウクライナ危機の政治的解決に関する中国の立場」で示された建設的な考えを歓迎した。 双方は、ウクライナ危機の解決は、すべての国の正当な安全保障上の懸念を尊重し、対立の形成や火に油を注ぐことを防止しなければならないと指摘した。 双方は、責任ある対話が着実な解決を実現するための最善の方法であると強調した。 この目的のために、国際社会は関連する建設的な努力を支援すべきである。 双方は、すべての当事者に対し、緊張を引き起こし、戦闘を長引かせるようないかなる行動も慎み、危機のさらなる悪化、あるいは制御不能に陥ることを避けるよう呼びかけた。 双方は、国連安全保障理事会の承認を受けていないいかなる一方的な制裁にも反対する。
双方敦促北约恪守作为区域性、防御性组织的承诺,呼吁北约尊重他国主权、安全、利益及文明多样性、历史文化多样性,客观公正看待他国和平发展。双方对北约持续加强同亚太国家军事安全联系、破坏地区和平稳定表示严重关切。双方反对在亚太地区拼凑封闭排他的集团架构,制造集团政治和阵营对抗。双方指出,美国抱守冷战思维,推行“印太战略”,对本地区和平稳定造成消极影响。中俄致力于构建平等、开放、包容,不针对第三国的亚太地区安全体系,以维护地区和平、稳定与繁荣。 双方は、NATOに対し、地域的な防衛組織としての約束を守るよう求め、他国の主権、安全、利益、および文明、歴史、文化の多様性を尊重し、他国の平和的発展を客観的かつ公平に眺めるよう求めた。 双方は、NATOがアジア太平洋諸国との軍事・安全保障上の関係を強化し続けており、地域の平和と安定を損なっていることに深刻な懸念を表明した。 双方は、アジア太平洋地域で閉鎖的で排他的なブロック構造をこしらえ、ブロック政治と陣営間の対立を生み出すことに反対する。 双方は、米国が冷戦の精神に固執し、インド太平洋戦略を追求しており、地域の平和と安定に悪影響を及ぼしていることに留意する。 中国とロシアは、地域の平和、安定、繁栄を維持するために、アジア太平洋地域において、第三国を対象としない平等で開かれた包括的な安全保障システムを構築することにコミットしている。
双方认为,维护东北亚地区和平稳定符合相关各方利益。双方反对域外军事力量破坏地区和平稳定,呼吁有关国家摒弃冷战思维和意识形态偏见,保持克制,不采取危害地区安全的行动。 双方は、北東アジアの平和と安定を維持することが、すべての関係者の利益となると考える。 双方は、地域の平和と安定を損なう治外法権の軍事力に反対し、関係国に対し、冷戦時代の考え方やイデオロギー的偏見を捨て、自制し、地域の安全を脅かす行動を控えるよう求める。
双方对朝鲜半岛局势表示关切,敦促有关各方保持冷静克制,努力推动局势缓和,美方应以实际行动回应朝方正当合理关切,为重启对话创造条件。双方始终坚持主张维护半岛和平稳定,包括实现半岛无核化,共同倡导推动建立半岛和平与安全机制,认为制裁施压不可取也行不通,对话协商才是解决半岛问题的唯一出路。双方将继续紧密沟通协作,按照“双轨并进”思路和分阶段、同步走原则,不断推动半岛问题政治解决进程。双方呼吁有关各方积极呼应中俄劝和促谈共同努力,并在这一进程中发挥建设性作用。 双方は、朝鮮半島情勢に懸念を表明し、すべての関係者が冷静さと自制心を発揮し、情勢の非エスカレーションを促進するために努力するよう求めた。 米側は、朝鮮の正当かつ妥当な懸念に実際的な行動で応じ、対話再開のための条件を整えるべきである。 双方は一貫して、半島の非核化を含む半島の平和と安定の維持を提唱し、半島の平和と安全のメカニズムの推進を共同で提唱し、制裁と圧力は望ましくも実現可能でもなく、対話と協議が半島問題の解決に向けた唯一の前進であると考えてきた。 双方は、「デュアルトラック」アプローチと段階的・同時アプローチの原則に従い、半島の政治的解決プロセスを推進するため、引き続き緊密に連絡を取り合い、協力していくことになる。 双方は、平和を説得し、協議を促進するための中国とロシアの共同の努力に積極的に対応し、このプロセスにおいて建設的な役割を果たすよう、すべての関係者に呼びかける。
双方主张维护中东地区和平稳定,支持地区国家加强战略自主,通过对话协商解决热点问题,反对干涉地区国家内部事务。双方欢迎沙特和伊朗通过对话实现关系正常化,支持在“两国方案”基础上全面、公正解决巴勒斯坦问题。支持叙利亚主权、独立和领土完整,推动由叙人主导、叙人所有的一揽子政治解决进程。主张维护利比亚主权、独立和领土完整,推动由利人主导、利人所有的一揽子政治解决进程。双方将就各自提出的海湾地区安全倡议加强沟通对接,携手构筑海湾地区集体安全架构。 双方は、中東の平和と安定の維持を提唱し、地域諸国の戦略的自治の強化を支持し、対話と協議を通じてホットスポットの問題を解決し、地域諸国の内政への干渉に反対する。 双方は、対話によるサウジアラビアとイランの関係正常化を歓迎し、「2国家解決」を基礎とするパレスチナ問題の包括的かつ公正な解決を支持する。 双方は、シリアの主権、独立、領土保全を支持し、シリアが主導し、シリアが所有する政治的解決プロセスを促進する。 双方は、リビアの主権、独立、領土保全を守り、リビア主導、リビア所有の政治的解決プロセスを促進することを提唱する。 双方は、湾岸地域におけるそれぞれの安全保障上のイニシアティブについて意思疎通と連携を強化し、湾岸地域の集団的安全保障アーキテクチャの構築のために協力する。
双方认为,集体安全条约组织为地区安全作出积极贡献,中国同集体安全条约组织在维护地区和平稳定方面具有合作潜力。 双方は、CSTOが地域の安全保障に積極的に貢献しており、中国とCSTOは地域の平和と安定の維持に協力する潜在力を有していると考える。
双方愿加强合作,支持中亚国家维护本国主权,保障国家发展,反对外部势力推行“颜色革命”、干涉地区事务。 双方は、中央アジア諸国が主権を守り、国家発展を確保し、外部勢力が「カラー革命」を実行し地域情勢に干渉しようとする動きに対抗するために、協力を強化し支援する用意がある。
双方将就非洲事务加强沟通协作,维护非洲国际合作良好健康氛围,支持非洲国家自主解决非洲问题的努力,为非洲大陆和平发展事业作出贡献。中俄将继续就拉美事务进行磋商,加强沟通对话,重视发展同拉美和加勒比国家双边关系,继续促进该地区稳定繁荣。 双方は、アフリカ問題に関する意思疎通と協力を強化し、アフリカにおける国際協力の健全な雰囲気を維持し、アフリカ諸国がアフリカ問題を自力で解決する努力を支持し、アフリカ大陸の平和的発展の原因に寄与する。 中国とロシアは、中南米問題に関する協議を継続し、意思疎通と対話を強化し、中南米・カリブ海諸国との二国間関係の発展を重視し、同地域の安定と繁栄を引き続き促進する。
双方主张北极应继续成为和平、稳定和建设性合作之地。 双方は、北極圏が平和、安定、建設的な協力の場であり続けるべきだと提唱している。
中华人民共和国主席 俄罗斯联邦总统 中華人民共和国国家主席 ロシア連邦大統領
习近平    弗·弗·普京  習近平 V.V.プーチン 
二〇二三年三月二十一日于莫斯科 モスクワ、2023年3月21日

 

・2023.03.22 中华人民共和国主席和俄罗斯联邦总统关于2030年前中俄经济合作重点方向发展规划的联合声明

中华人民共和国主席和俄罗斯联邦总统关于2030年前中俄经济合作重点方向发展规划的联合声明 2030年までの露中経済協力の重要な方向性の発展計画に関する中華人民共和国およびロシア連邦の首脳の共同声明
2023/3/22 7:20 2023/3/22 7:20
新华社莫斯科3月21日电 モスクワ、3月21日(新華社)。
中华人民共和国主席和俄罗斯联邦总统关于2030年前中俄经济合作重点方向发展规划的联合声明 2030年までの露中経済協力の重要な方向性の発展計画に関する中華人民共和国およびロシア連邦の首脳による共同声明
应俄罗斯联邦总统普京邀请,中华人民共和国主席习近平于2023年3月20日至22日对俄罗斯联邦进行国事访问。两国元首在莫斯科举行会谈,就中俄新时代全面战略协作伙伴关系发展和双边务实合作重要问题深入交换意见,商定将坚定奉行相互尊重和平等互利原则,实现两国长期自主发展,推动中俄经济和贸易合作高质量发展,为全面推进双边合作注入新动力,保持两国货物和服务贸易快速发展势头,致力于2030年前将两国贸易额显著提升。特声明如下: ロシア連邦のプーチン大統領の招きにより、中華人民共和国の習近平主席が2023年3月20日から22日までロシア連邦を国賓訪問した。 モスクワでの会談で、両首脳は、新時代における中国とロシアの協力の包括的戦略パートナーシップの発展と二国間の実務協力の重要問題について踏み込んだ意見交換を行い、相互尊重と平等、互恵の原則をしっかりと守り、両国の長期的自律的発展を実現し、中国とロシアの経済貿易協力の高品質発展を促進し、両国協力の包括的前進に新しい勢いを注ぎ、両国間の物品・サービス貿易の急速発展の勢いを維持し、さらに 我々は、2030年までに両国間の貿易量を大幅に増加させることを約束する。 ここに、以下のことを宣言する:
中华人民共和国和俄罗斯联邦(以下称“双方”)将在以下八个重点方向开展双边经济合作: 中華人民共和国及びロシア連邦(以下「両当事者」という)は、以下の8つの優先的方向において、二国間経済協力を実施する:
一、扩大贸易规模,优化贸易结构,发展电子商务及其他创新合作模式。稳步推动双边投资合作高质量发展,深化数字经济、绿色可持续发展领域合作,营造良好营商环境,相互提升贸易投资便利化水平。 1.貿易の規模を拡大し、貿易構造を最適化し、電子商取引及びその他の革新的な協力方式を発展させる。 二国間投資協力の質の高い発展を着実に推進し、デジタル経済やグリーン・持続可能な開発の分野での協力を深め、良好なビジネス環境を構築し、貿易・投資円滑化のレベルを相互に向上させる。
二、大力发展互联互通物流体系。保障两国货物和人员通过铁路、公路、航空、河运和海运等交通方式双向便捷往来。本着互利精神释放两国过境运输潜能,优先解决瓶颈,分步骤分阶段完善中俄边境基础设施特别是重点口岸建设,提升通关和查验效率。 2. 相互接続された物流システムを精力的に発展させる。 鉄道、道路、航空、河川、海運による両国間の物資と人の便利な双方向移動を確保する。 相互利益の精神に基づき、両国の通過輸送の潜在力を引き出し、ボトルネックの解消を優先し、中国とロシアの国境インフラの建設を段階的に、特に主要港において改善し、通関と検査の効率を向上させる。
三、提升金融合作水平。在双边贸易、投资、贷款和其他经贸往来中适应市场需求稳步提升本币结算比重。继续就支付领域创新与现代化改造等交流经验。加强金融市场合作,支持两国评级机构和保险公司在现有监管法规框架内开展合作。 3. 金融協力のレベルを引き上げる。 市場の需要に合わせ、二国間の貿易、投資、融資、その他の経済・貿易取引における現地通貨決済の割合を着実に高める。 決済分野における革新と近代化に関する経験の交換を継続する。 金融市場における協力を強化し、既存の規制規制の枠内で両国の格付機関及び保険会社の協力を支援する。
四、巩固全方位能源合作伙伴关系。加强能源重点领域长期合作,推动实施战略合作项目,拓展合作形式,加强能源技术、设备等领域合作,共同维护两国和全球能源安全,促进全球能源转型。 4. 全方位的なエネルギーパートナーシップを強固にする。 エネルギーの主要分野における長期協力を強化し、戦略的協力プロジェクトの実施を推進し、協力の形態を拡大し、エネルギー技術、設備などの分野での協力を強化し、両国と世界のエネルギー安全保障を共同で守り、世界のエネルギー転換を促進する。
五、加强协调,在市场化原则基础上发展冶金、化肥、化工产品等大宗商品及矿产资源领域长期互惠供应合作。加强两国境内资源深加工产能建设互利合作。 5. 市場志向の原則に基づき、冶金、化学肥料、化学製品、その他のバルク商品及び鉱物資源の分野における調整を強化し、長期的な互恵的供給協力を展開する。 二国間の資源の深層加工の能力構築における互恵的な協力を強化する。
六、促进技术及创新领域的交流和高质量合作,保障两国技术的高水平发展。 6. 技術・イノベーションの分野における交流と質の高い協力を推進し、両国の技術開発の高水準を確保する。
七、推动工业合作提质升级。在对接行业标准和技术要求基础上,打造由两国本土工业企业参与的新产业链,提升附加值。 7. 産業協力の質の向上とグレードアップを促進する。 業界標準や技術的な要求事項のすり合わせに基づき、両国の現地企業を巻き込んだ新しい産業チェーンを構築し、付加価値の向上を図る。
八、切实提升农业合作水平,保障两国粮食安全。深化农产品贸易合作,在确保安全基础上稳步扩大农产品相互准入,拓展农业领域投资合作。 8. 農業協力のレベルを効果的に引き上げ、両国の食料安全保障を確保する。 農業貿易における協力を深め、安全性の確保を前提とした農産物への相互アクセスを着実に拡大し、農業分野での投資協力を拡大する。
双方也愿继续深化人文领域合作,进一步拓展教育、科技、文化、旅游、体育、卫生及其他领域交流。深挖两国地方合作和边境地区合作潜力,提高实效,发展中俄“东北-远东”地区互利合作。 また、双方は、人文分野での協力を引き続き深め、教育、科学技術、文化、観光、スポーツ、健康などの分野での交流をさらに拡大することを希望する。 双方はまた、地方協力や国境地帯での協力の可能性を深め、その効果を高め、北東・極東地域におけるロシアと中国の互恵的な協力を発展させていくだろう。
两国元首责成中华人民共和国政府和俄罗斯联邦政府: 首脳は、中華人民共和国及びロシア連邦の政府に対し、以下の事項を要請した。
以上述重点方向为指引,加强相互协作,推动两国合作,起草制定相关规划,并在中俄总理第二十八次定期会晤框架下审议有关执行情况。 上記の優先的な方向性を指針とし、相互協力を強化し、両国間の協力を促進し、関連する計画を立案し、第28回ロシア・中国首相定例会議の枠内でその実施を検討する。
中华人民共和国主席 俄罗斯联邦总统 中華人民共和国国家主席 ロシア連邦大統領
习近平    弗·弗·普京  習近平 V.V.プーチン 
二〇二三年三月二十一日于莫斯科 モスクワ、2023年3月21日

 

・2022.03.22 习近平同俄罗斯总统普京举行会谈

习近平同俄罗斯总统普京举行会谈 習近平がロシアのプーチン大統領と会談
2023/3/22 6:55 2023/3/22 6:55
当地时间3月21日下午,国家主席习近平在莫斯科克里姆林宫同俄罗斯总统普京举行会谈。普京在乔治大厅为习近平举行隆重欢迎仪式。这是两国元首紧紧握手,合影留念。新华社记者 谢环驰 摄 現地時間21日午後、習近平主席はモスクワのクレムリンで、ロシアのプーチン大統領と会談した。 プーチンはジョージホールで習主席の歓迎会を盛大に行った。 ここで両首脳は握手を交わし、集合写真に収まった。 撮影:新華社通信・謝煥智
当地时间3月21日下午,国家主席习近平在莫斯科克里姆林宫同俄罗斯总统普京举行会谈。这是普京在乔治大厅为习近平举行隆重欢迎仪式。新华社记者 谢环驰 摄 現地時間3月21日午後、モスクワのクレムリンでロシアのプーチン大統領と会談する習近平主席。 これはプーチンがジョージホールで習近平のために行った盛大な歓迎セレモニーである。 撮影:新華社・謝煥智
新华社莫斯科3月21日电(记者 倪四义 范伟国)当地时间3月21日下午,国家主席习近平在莫斯科克里姆林宫同俄罗斯总统普京举行会谈。两国元首就中俄关系及共同关心的重大国际和地区问题进行了真挚友好、富有成果的会谈,达成许多新的重要共识。双方一致同意,本着睦邻友好、合作共赢原则推进各领域交往合作,深化新时代全面战略协作伙伴关系。 モスクワ21日新華社】習近平主席は現地時間21日午後、モスクワのクレムリンでロシアのプーチン大統領と会談した。 両首脳は中露関係や共通の関心事である国際・地域の主要問題について、誠実かつ友好的で実り多い会談を行い、多くの新たな重要な合意に達した。 双方は、善隣・ウィンウィンの原則に従って各分野の交流と協力を推進し、新時代の包括的戦略協力パートナーシップを深化させることで合意した。
3月的莫斯科,天朗气清。习近平乘车抵达克里姆林宫时,克里姆林宫迎宾马队列队欢迎,克里姆林宫司令在下车处迎接。 3月のモスクワは、すっきりとした空模様だった。 習近平が車でクレムリンに到着すると、降車地点でクレムリンの歓迎馬のパレードとクレムリン司令官が出迎えた。
普京在乔治大厅为习近平举行隆重欢迎仪式。在雄壮激昂的迎宾曲中,习近平和普京分别从乔治大厅两侧沿红地毯阔步走入大厅中央。两国元首紧紧握手,合影留念。军乐团奏中俄两国国歌。 プーチンはジョージホールで習近平を盛大に歓迎した。 荘厳な歓迎の音楽の中、習近平とプーチンはジョージ・ホールの両脇からレッドカーペットを歩いてホール中央へ行進した。 両首脳は握手を交わし、集合写真に収まった。 軍楽隊が中国とロシアの国歌を演奏した。
当地时间3月21日下午,国家主席习近平在莫斯科克里姆林宫同俄罗斯总统普京举行会谈。普京在乔治大厅为习近平举行隆重欢迎仪式。这是在雄壮激昂的迎宾曲中,习近平和普京分别从乔治大厅两侧沿红地毯阔步走入大厅中央。新华社记者 谢环驰 摄 習近平主席は現地時間21日午後、モスクワのクレムリンでロシアのプーチン大統領と会談した。 プーチンはジョージホールで習近平を盛大に歓迎した。 習近平とプーチンは、荘厳な歓迎の歌の中、ジョージホールの両脇からレッドカーペットを歩いてホール中央へ向かった。 撮影:新華社・謝煥智
当地时间3月21日下午,国家主席习近平在莫斯科克里姆林宫同俄罗斯总统普京举行会谈。普京在乔治大厅为习近平举行隆重欢迎仪式。这是两国元首紧紧握手,合影留念。新华社记者 申宏 摄 習近平主席は現地時間21日午後、モスクワのクレムリンでロシアのプーチン大統領と会談した。 プーチンはジョージホールで習主席の歓迎セレモニーを盛大に行った。 これは両首脳が握手して集合写真に収まったところ。 新華社通信 沈洪記者
两国元首先后举行小范围、大范围会谈。 両首脳は、大小の会談を行った。
习近平指出,中俄互为彼此最大邻国,同俄罗斯巩固和发展长期睦邻友好关系,符合历史逻辑,是中方的战略抉择,不会因一时一事而改变。自我10年前首次对俄进行国事访问以来,中俄双方相互尊重、相互信任、互利互惠,两国关系历久弥坚,呈现更加全面、更加务实、更具战略性的特点。此访期间,我们车队途经之处,很多俄罗斯民众自发挥手致意,让我深切感到中俄关系具有深厚民意基础。不管国际风云如何变幻,中方都将继续致力于推进中俄新时代全面战略协作伙伴关系。我此次对俄罗斯的国事访问是友谊之旅、合作之旅、和平之旅。中方愿同俄方一道,继往开来,丰富中俄新时代全面战略协作伙伴关系内涵,为两国人民创造更多福祉,为促进人类进步事业作出更大贡献。 習近平は、中国とロシアは互いに最大の隣国であり、ロシアとの長期的な善隣友好関係を強化・発展させることは中国にとって戦略的な選択であり、それは歴史の論理に沿ったもので、一つの事件によって変わることはないだろうと指摘した。 10年前に私が初めてロシアを公式訪問して以来、中国とロシアは相互尊重、相互信頼、相互利益を享受しており、両国の関係は時間とともに強化され、より包括的、実践的、戦略的になってきている。 今回の訪問では、私たちが車列で通り過ぎる際、多くのロシア人が自発的に手を振って挨拶してくれ、中露関係が深い世論の基盤を持っていることを深く実感した。 中国は、国際的な風雲がいかに変わろうとも、中露包括的戦略パートナーシップの新時代を推進することに尽力し続ける。 私のロシアへの国賓訪問は、友好、協力、平和の旅である。 中国はロシア側と協力し、過去を踏まえ、新時代の協力の包括的戦略パートナーシップの意味合いを豊かにし、両国の国民に多くの利益を生み出し、人類の進歩を促進する大義にさらに貢献することを望んでいる。
当地时间3月21日下午,国家主席习近平在莫斯科克里姆林宫同俄罗斯总统普京举行会谈。这是两国元首举行小范围会谈。新华社记者 鞠鹏 摄 現地時間21日午後、習近平主席はモスクワのクレムリンでロシアのプーチン大統領と会談した。 両国の元首は小規模な会談を行った。 新華社通信 朱鵬記者
习近平指出,当前,百年变局加速演进,国际力量对比深刻演变。作为联合国安理会常任理事国和世界主要大国,中俄责无旁贷,应该共同努力,引导和推动全球治理朝着符合国际社会期待的方向前进,推动构建人类命运共同体。双方要在涉及彼此核心利益问题上相互支持,共同抵制外部势力干涉内政。要加强在国际事务特别是联合国、上海合作组织、金砖国家合作机制等多边框架内的沟通协调,践行真正的多边主义,反对霸权主义和强权政治,促进全球疫后经济复苏,推动多极化趋势发展,推动全球治理体系变革完善。 習近平は、現在、100年来の変化が加速し、国際勢力対比が深く進化していると指摘した。 国連安全保障理事会の常任理事国であり、世界の主要国である中国とロシアは、国際社会の期待に応える方向でグローバル・ガバナンスを導き、推進し、人類運命共同体の構築を促進するために協力する義務がある。 双方は、互いの核心的利益に関わる問題で互いを支持し、外部勢力による内政干渉に共同で抵抗すべきである。 国際問題、特に国連、上海協力機構、BRICS協力メカニズムなどの多国間枠組みにおける意思疎通と協調を強化し、真の多国間主義を実践し、覇権主義や権力政治に反対し、疫病後の世界経済の回復を促進し、多極化傾向の発展を進め、グローバルガバナンスシステムの変化と改善を推進すべきである。
两国元首听取了两国有关部门负责人关于各领域合作情况汇报。 両首脳は、両国の関連部門長から各分野の協力について説明を受けた。
习近平指出,在双方共同努力下,两国政治互信、利益交融、民心相通不断深化,经贸、投资、能源、人文、地方等领域合作持续推进,合作领域不断扩大,共识进一步加强。今年是中国全面贯彻落实中共二十大精神的开局之年,我们将加快构建新发展格局,着力推动高质量发展,全面推进中国式现代化。中俄合作潜力和空间很大,具有战略性、可靠性、稳定性。双方要加强统筹协调,扩大能源、资源、机电产品等传统贸易,持续增强产业链供应链韧性,拓展信息技术、数字经济、农业、服务贸易等领域合作。要加大创新领域合作,畅通跨境物流运输。要夯实人文交流基础,推动友好省州、友城扩大交流,继续办好中俄体育交流年,为促进两国人员往来创造便利条件。 習近平は、双方の共同の努力により、両国は政治的相互信頼、利害の一致、人と人とのつながりを深め、経済、貿易、投資、エネルギー、人文、地方などの分野での協力が進み続け、協力分野が拡大し、コンセンサスがさらに強まっていると指摘した。 今年は中国が中国共産党第20回全国代表大会の精神を全面的に実施する開幕の年であり、新しい発展パターンの構築を加速し、質の高い発展の促進に力を入れ、中国式現代化を全面的に推進する。 中露協力には大きな潜在力と空間があり、戦略的で信頼性が高く安定したものである。 双方は協調を強化し、エネルギー、資源、電気機械製品の伝統的貿易を拡大し、産業チェーンのサプライチェーンの弾力性を引き続き強化し、情報技術、デジタル経済、農業、サービス貿易での協力を拡大すべきである。 イノベーション分野での協力を強化し、国境を越えた物流・輸送を円滑にする必要がある。 人文交流の基盤を強化し、友好省・州・市間の交流拡大を推進し、中露スポーツ交流年の開催を継続し、両国の人と人との交流の促進に便利な条件を整えるべきだ。
当地时间3月21日下午,国家主席习近平在莫斯科克里姆林宫同俄罗斯总统普京举行会谈。这是两国元首举行大范围会谈。新华社记者 申宏 摄 現地時間21日午後、習近平主席はモスクワのクレムリンでロシアのプーチン大統領と会談した。 両国の元首は幅広い内容の会談を行った。 新華社通信 沈紅記者
普京表示,俄方再次对习近平主席全票当选连任中国国家主席、中国新一届政府组成表示热烈祝贺。当前,俄中关系发展非常好,两国各领域合作取得长足进展,政府、立法机构以及各层级、各领域交流合作十分活跃,在新冠疫情等复杂外部环境下,俄中双边贸易实现逆势增长。希望双方充分发挥两国既有交流渠道作用,推动两国经贸、投资、能源、航天、跨境交通物流等领域务实合作取得新进展,体育、旅游、地方等人文交流达到新水平。俄方坚定支持中方在涉台、涉港、涉疆等问题上维护自身正当利益。祝贺中方成功推动沙特和伊朗北京对话取得历史性成果,这充分彰显了中国作为全球大国的重要地位和积极影响。俄方赞赏中方始终在国际事务中秉持客观公正立场,支持中方提出的全球安全倡议、全球发展倡议、全球文明倡议,愿同中方进一步密切国际协作。 プーチン大統領は、習近平国家主席の中国国家主席への全会一致の再選と中国新政府の成立に対し、ロシア側が改めて温かい祝意を表明したと述べた。 現在、ロシアと中国の関係は非常に順調に発展しており、両国は政府機関や立法機関だけでなく、各レベルや各分野で活発な交流と協力を行い、ロシアと中国の二国間貿易は新冠疫などの複雑な外部環境の中で、その流れに逆らって成長してきた。 我々は、双方が確立された両国間のコミュニケーションチャンネルをフルに活用し、貿易・経済、投資、エネルギー、航空宇宙、国境を越えた輸送・物流の分野における実務協力の新たな進展を促進し、スポーツ、観光、地方における人文交流の新たなレベルに到達することを希望する。 ロシアは、中国が台湾、香港、国境に関連する問題で自国の正当な利益を守ることを断固として支持する。 我々は、中国が北京でサウジとイランの対話の歴史的成果を促進することに成功したことに祝意を表し、これは世界の大国としての中国の重要な地位と積極的な影響力を完全に示している。 ロシアは、国際問題における中国の客観的で公平な姿勢を評価し、中国の世界的な安全保障、発展、文明に関するイニシアティブを支持し、中国と緊密に協力する用意がある。
两国元首认为,此访期间双方交流深入,内容丰富全面,为俄中新时代全面战略协作伙伴关系发展注入新动力。 両首脳は、今回の訪問における双方の交流は集中的かつ包括的であり、新時代におけるロシアと中国の包括的戦略的パートナーシップの協力関係の発展に新たな弾みをつけたと考えた。
两国元首责成两国相关部门按照两国元首达成的共识,加强沟通,密切配合,推动两国务实合作得到新的更大发展,助力两国各自发展振兴。 両首脳は、両国の実務協力の新たな、より大きな発展を促進し、それぞれの発展の活性化に寄与するため、両首脳の合意に基づき、両国の関係部門に意思疎通を強化し、緊密に協力することを課した。
两国元首同意继续通过各种方式保持密切沟通,共同引领中俄关系行稳致远。 両首脳は、今後も様々な手段で緊密なコミュニケーションを維持し、ロシアと中国の関係を安定的で豊かな未来に共同で導いていくことに合意した。
会谈后,两国元首共同签署了《中华人民共和国和俄罗斯联邦关于深化新时代全面战略协作伙伴关系的联合声明》和《中华人民共和国主席和俄罗斯联邦总统关于2030年前中俄经济合作重点方向发展规划的联合声明》。 会談後、両首脳は「新時代の協力のための包括的戦略的パートナーシップの深化に関する中華人民共和国とロシア連邦の共同宣言」と「2030年までの中ロ経済協力の重要方向性の発展計画に関する中華人民共和国主席とロシア連邦大統領による共同宣言」に共同署名した。
当地时间3月21日下午,国家主席习近平在莫斯科克里姆林宫同俄罗斯总统普京举行会谈。这是会谈后,两国元首共同签署《中华人民共和国和俄罗斯联邦关于深化新时代全面战略协作伙伴关系的联合声明》和《中华人民共和国主席和俄罗斯联邦总统关于2030年前中俄经济合作重点方向发展规划的联合声明》。新华社记者谢环驰摄 現地時間21日午後、習近平主席はモスクワのクレムリンでロシアのプーチン大統領と会談した。 会談後、両首脳は「新時代の協力のための包括的戦略的パートナーシップの深化に関する中華人民共和国とロシア連邦の共同宣言」と「2030年までの中ロ経済協力の重要方向性の発展計画に関する中華人民共和国とロシア連邦の大統領による共同宣言」に共同署名した。 撮影:新華社通信・謝煥智
访问期间,双方还签署了农业、林业、基础科研、市场监管、媒体等领域多项双边合作文件。 訪問中、双方はまた、農業、林業、基礎科学研究、市場監督、メディアの分野における多くの二国間協力文書に署名した。
两国元首还共同会见了记者。 また、両首脳は一緒に記者会見も行った。
当晚,普京在克里姆林宫为习近平举行了隆重欢迎宴会。 夜、プーチンはクレムリンで習近平の歓迎宴を盛大に開催した。
蔡奇、王毅、秦刚,以及俄罗斯联邦政府领导人出席上述活动。 蔡奇、王毅、秦剛、そしてロシア連邦政府の指導者たちが同イベントに出席した。

 

・2023.03.22 习近平同俄罗斯总统普京共同会见记者

习近平同俄罗斯总统普京共同会见记者 記者会見する習近平とプーチン大統領
2023/3/22 6:49 2023/3/22 6:49
新华社莫斯科3月21日电(记者 韩墨 赵冰)当地时间3月21日,国家主席习近平在莫斯科克里姆林宫同俄罗斯总统普京会谈后共同会见记者。 モスクワ3月21日(新華社)】習近平主席とロシアのプーチン大統領は現地時間3月21日、モスクワのクレムリンで会談後、共同で記者団と会見した。
当地时间3月21日下午,国家主席习近平在莫斯科克里姆林宫同俄罗斯总统普京举行会谈。这是会谈后,两国元首共同会见记者。新华社记者 申宏 摄 習近平主席は現地時間3月21日午後、モスクワのクレムリンでロシアのプーチン大統領と会談した。 両首脳は会談後、記者団と会見した。 新華社通信の沈洪記者
习近平指出,这是我时隔3年多再次来到莫斯科,也是我连任中国国家主席后首次出访和对俄罗斯进行国事访问。10年来,我同普京总统建立了密切关系,保持战略沟通,推动两国战略协作取得丰硕成果。 習近平は、「今回は3年以上ぶりのモスクワ訪問であり、中国国家主席に再選されてから初めてのロシアへの国賓訪問である。10年が経ち、私はプーチン大統領と密接な関係を築き、戦略的コミュニケーションを維持し、両国の実りある戦略的協力を推進してきた」と述べた。
刚才,我同普京总统举行了坦诚友好、富有成果的会谈,就双边关系以及共同关心的重大国际和地区问题深入交换意见,达成许多新的重要共识。我们签署并发表《中俄关于深化新时代全面战略协作伙伴关系的联合声明》、《关于2030年前中俄经济合作重点方向发展规划的联合声明》,对下阶段两国关系发展和各领域合作作出规划和部署。 つい先ほど、私はプーチン大統領と率直かつ友好的で実りある会談を行い、二国間関係や共通の関心事である国際・地域の主要問題について深い意見を交換し、多くの新しく重要な合意に達した。 我々は、新時代の協力のための中露包括的戦略的パートナーシップの深化に関する共同声明と、2030年までの中露経済協力の主要方向に関する発展計画に関する共同声明に署名・発表し、次の段階における両国関係の発展と各分野での協力のための計画と取り決めをした。
习近平强调,我同普京总统一道回顾了10年来两国关系发展的成果,一致认为,两国关系远远超出双边范畴,对世界格局和人类前途命运至关重要。双方本着睦邻友好、合作共赢原则推进各领域交往合作。在新的历史条件下,双方将以宽广视野、长远眼光看待和把握中俄关系,为人类进步事业作出更大贡献。 習近平は、プーチン大統領とともに、過去10年間の両国関係発展の成果を振り返り、両国関係は二国間の領域をはるかに超え、世界の情勢と人類の未来の運命にとって極めて重要であるとの認識で一致したと強調した。 双方は、善隣友好とウィンウィンの協力の原則に基づき、各分野での交流と協力を推進してきた。 新たな歴史的条件の下で、双方は中露関係を広い視野と長期的視野で捉え、人類の進歩のためにより大きな貢献を果たしていくだろう。
习近平指出,去年以来,中俄全方位务实合作取得丰硕成果,基本盘稳、互补性强、韧性十足的特点持续显现。同10年前相比,中俄双边贸易额增长116%,不仅有效夯实了两国关系的物质基础,也为两国各自经济社会发展提供了重要助力。这一成绩来之不易。 習近平は、昨年以来、中露の全面的なプラグマティックな協力は実り多い成果を上げ、安定した基礎、強い補完性、弾力性という特徴が引き続き現れていると指摘した。 10年前と比較して、中国とロシアの二国間貿易は116%増加し、両国関係の物質的基盤を効果的に強化しただけでなく、それぞれの経済・社会発展に重要な後押しをした。 この成果は、簡単には得られない。
我同普京总统达成共识,双方要加强统筹设计和顶层规划,扩大能源、资源、机电产品贸易,增强双方产业链供应链韧性,拓展信息技术、数字经济、农业、服务贸易等领域合作,推进传统贸易和新兴领域合作互为补充、同步发展,进一步畅通跨境物流运输。 私はプーチン大統領と、双方が統合設計とトップレベルの計画を強化し、エネルギー、資源、電気機械製品の貿易を拡大し、双方の産業チェーンのサプライチェーンの弾力性を高め、情報技術、デジタル経済、農業、サービス貿易での協力を拡大し、伝統貿易と新興分野での協力を促進して互いに補完し合い同時に発展し、越境物流・輸送をさらに円滑化することで合意に達した。
我们一致认为,双方要继续夯实人文交流的基石。推动两国友好省州、友城扩大对口交流,办好中俄体育交流年,为促进两国人员往来创造便利条件。 我々は、双方が人文交流の礎を引き続き強化することで合意した。 両国の友好的な省・州・都市間の相手方交流の拡大を推進し、中露スポーツ交流年を開催し、両国の人的交流の促進に便利な条件を整えていく。
双方指出,作为联合国安理会常任理事国,中俄两国将继续同国际社会一道,坚定维护以联合国宪章宗旨和原则为基础的国际关系基本准则。加强在上海合作组织、金砖国家合作机制、二十国集团等国际多边框架内合作,践行真正的多边主义,促进疫后经济复苏,壮大构建多极世界格局、完善全球治理体系的建设性力量,在维护全球粮食安全、能源安全、产业链供应链稳定方面作出更多贡献,合力推动构建人类命运共同体。 双方は、中国とロシアが国連安全保障理事会の常任理事国として、国際社会と協力し、国連憲章の目的と原則に基づく国際関係の基本規範を堅持していくことに留意した。 上海協力機構、BRICS協力メカニズム、G20などの国際的な多国間枠組みにおける協力を強化し、真の多国間主義を実践し、疫病後の経済復興を推進し、多極化世界の構築とグローバルガバナンスシステムの改善における建設力を強化し、世界の食糧安全、エネルギー安全、産業チェーンのサプライチェーンの安定維持に一層貢献し、人類運命共同体の構築の推進に共同で努力していく。
习近平强调,上个月,中方发表了《关于政治解决乌克兰危机的中国立场》文件。在乌克兰危机问题上,中方一贯遵循联合国宪章宗旨和原则,秉持客观公正立场,积极劝和促谈,按照事情本身的是非曲直决定自身立场,始终坚定站在和平一边,站在对话一边,站在历史正确一边。 習近平は、先月、中国が「ウクライナ危機の政治的解決に関する中国の立場」と題する文書を発表したことを強調した。 ウクライナ危機について、中国は常に国連憲章の目的と原則に従い、客観的で公平な立場を堅持し、積極的に平和を促し、協議を推進し、問題自体のメリットに従って自らの立場を決め、常に平和の側、対話の側、歴史の正しさの側にしっかり立ってきた。
我期待继续通过各种方式同普京总统保持密切沟通,共同引领中俄关系行稳致远。 私は、今後もプーチン大統領とさまざまな手段で緊密に連絡を取り合い、中露関係を安定的で豊かな未来に共同で導いていくことを期待している。

 

・2023.03.22 中俄元首签署联合声明,强调通过和谈解决乌克兰危机

中俄元首签署联合声明,强调通过和谈解决乌克兰危机 ロシアと中国の首脳が共同声明に署名、和平交渉によるウクライナ危機の解決を強調
2023/3/22 0:01 2023/3/22 0:01
新华社莫斯科3月21日电(记者韩梁、耿鹏宇)当地时间3月21日下午,国家主席习近平在莫斯科克里姆林宫同俄罗斯总统普京共同签署并发表《中华人民共和国和俄罗斯联邦关于深化新时代全面战略协作伙伴关系的联合声明》。 モスクワ21日新華社】習近平国家主席とロシアのプーチン大統領は現地時間21日午後、モスクワのクレムリンで「新時代の協力のための包括的戦略的パートナーシップの深化に関する中華人民共和国とロシア連邦の共同宣言」に共同署名・発布した。
关于乌克兰问题,双方认为,联合国宪章宗旨和原则必须得到遵守,国际法必须得到尊重。俄方积极评价中方在乌克兰问题上的客观公正立场。双方反对任何国家或国家集团为谋求军事、政治和其他优势而损害别国的合理安全利益。俄方重申致力于尽快重启和谈,中方对此表示赞赏。俄方欢迎中方愿为通过政治外交途径解决乌克兰危机发挥积极作用,欢迎《关于政治解决乌克兰危机的中国立场》文件中阐述的建设性主张。双方指出,解决乌克兰危机必须尊重各国合理安全关切并防止形成阵营对抗,拱火浇油。双方强调,负责任的对话是稳步解决问题的最佳途径。为此,国际社会应支持相关建设性努力。双方呼吁停止一切促使局势紧张、战事延宕的举动,避免危机进一步恶化甚至失控。双方反对任何未经联合国安理会授权的单边制裁。 ウクライナ問題について、双方は、国連憲章の目的と原則を遵守し、国際法を尊重しなければならないと考えている。 ロシア側は、ウクライナ問題における中国側の客観的かつ公平な立場を肯定的に評価した。 双方は、他国の正当な安全保障上の利益を害してまで軍事的、政治的、その他の利益を求めるいかなる国や集団にも反対する。 ロシア側は、和平交渉の早期再開を改めて約束し、中国側はこれを評価する。 ロシア側は、政治的・外交的手段によるウクライナ危機の解決に積極的な役割を果たすという中国の意思と、文書「ウクライナ危機の政治的解決に関する中国の立場」で示された建設的な考えを歓迎した。 双方は、ウクライナ危機の解決は、すべての国の正当な安全保障上の懸念を尊重し、対立の形成や火に油を注ぐことを防止しなければならないと指摘した。 双方は、責任ある対話が着実な解決を実現するための最善の方法であると強調した。 この目的のために、国際社会は関連する建設的な努力を支援すべきである。 双方は、危機のさらなる悪化、あるいは制御不能に陥ることを避けるため、緊張と戦闘の長期化を助長するあらゆる行動を停止することを要請した。 双方は、国連安全保障理事会の承認を受けていないいかなる一方的な制裁にも反対する。

 

・2023.03.21 快讯:中俄元首签署联合声明,强调通过和谈解决乌克兰危机

快讯:中俄元首签署联合声明,强调通过和谈解决乌克兰危机 速報:中国とロシアの首脳が共同声明に署名、和平交渉によるウクライナ危機の解決を強調
2023/3/21 23:41 2023/3/21 23:41
新华社快讯:中俄元首签署联合声明,强调通过和谈解决乌克兰危机。 新華社通信エクスプレス:中国とロシアの国家元首が共同声明に署名、平和協議によるウクライナ危機の解決を強調する。

 

・2023.03.21

快讯:习近平同俄罗斯总统普京举行大范围会谈 速報:習近平がプーチン露大統領と広範な会談を実施
2023/3/21 23:26 2023/3/21 23:26
新华社莫斯科3月21日电(记者孙浩、华迪)当地时间3月21日下午,国家主席习近平在莫斯科克里姆林宫同俄罗斯总统普京举行大范围会谈。 モスクワ21日新華社】習近平主席は現地時間21日午後、モスクワのクレムリンでロシアのプーチン大統領と広範な会談を行った。
习近平指出,在双方共同努力下,中俄关系始终保持蓬勃健康稳定发展势头。两国政治互信、利益交融、民心相通不断深化,经贸、投资、能源、人文、地方等领域合作持续推进。昨天晚上和今天上午,我同普京总统、米舒斯京总理进行了很好的交流,达成很多重要共识。双方合作领域不断扩大,共识进一步加强,合作早期收获已经显现,更多合作正全面推进。 習近平主席は、双方の共同努力により、中露関係は常に活発で健全かつ安定した発展の勢いを維持してきたと指摘した。 両国の政治的相互信頼、利害の一致、人と人とのつながりは深まり、経済、貿易、投資、エネルギー、人文、地方などの分野での協力は進み続けている。 昨夜から今朝にかけて、私はプーチン大統領、ミシュスキン首相と良い交流を行い、多くの重要な合意に達した。 双方の協力分野は拡大し、コンセンサスはさらに強化され、協力の早期収穫はすでに目に見えており、さらなる協力が全面的に推進されている。
今年是中国全面贯彻落实中共二十大精神的开局之年,我们将加快构建新发展格局,着力推动高质量发展,全面推进中国式现代化。俄方也在推进2030年前国家发展目标。双方要加强沟通,密切协作,推动两国务实合作得到新的更大发展。我愿同你一道,对双边关系和务实合作作出规划部署,助力两国各自发展振兴。 今年は中国が中国共産党第20回全国代表大会の精神を全面的に実施するスタートであり、新しい発展パターンの構築を加速し、質の高い発展の推進に力を入れ、中国式近代化を全面的に進めていく。 また、ロシア側は2030年までの国家発展目標を進めている。 双方はコミュニケーションを強化し、緊密に連携して、両国の実務協力の新たな、より大きな発展を促進する必要がある。 私は、二国間関係と実務協力を計画・展開し、両国のそれぞれの発展を活性化させるために、貴国と協力する用意がある。

 

大統領との会談に先立って行われた、ロシア首相との会談...

・2023.03.21 习近平会见俄罗斯总理米舒斯京

习近平会见俄罗斯总理米舒斯京 習近平、ロシアのミシュスキン首相と会談
2023/3/21 22:27 2023/3/21 22:27
新华社莫斯科3月21日电(记者 杨依军、黄河)当地时间3月21日上午,国家主席习近平在俄罗斯联邦政府大厦会见俄罗斯总理米舒斯京。 モスクワ3月21日(新華社)】習近平主席は現地時間21日午前、ロシア連邦政府庁舎でウラジーミル・ミシュスキン首相と会見した。
当地时间3月21日上午,国家主席习近平在俄罗斯联邦政府大厦会见俄罗斯总理米舒斯京。新华社记者 丁海涛 摄 習近平主席は現地時間3月21日午前、ロシア連邦政府庁舎でウラジミール・ミシュスキン首相と会見した。 撮影:新華社通信・丁海涛
习近平指出,中俄是相互最大邻国,又是全面战略协作伙伴,保持中俄关系健康稳定发展,符合两国关系的历史逻辑和两国人民的根本利益。中国成功召开了中共二十大,前不久全国两会选举产生了新一届国家机构领导人,中国党、国家和人民空前团结,正在全面推进中国式现代化。中国新一届政府重视发展中俄全面战略协作伙伴关系,愿同俄方通过两国政府总理定期会晤等机制化交往渠道,推动实现两国合作新目标,取得更多新成果。 習近平は、中国とロシアは互いに最大の隣国であり、包括的戦略協力パートナーであり、中露関係の健全で安定した発展の維持は、両国関係の歴史的論理と両国民の基本的利益に合致していると指摘した。 中国は、中国共産党第20回全国代表大会を成功裏に開催し、先般、全国人民代表大会において国家機関の新しい指導者を選出した。 中国の党、国、国民はかつてないほど団結し、中国式の近代化を全面的に推し進めている。 中国の新政権は中露包括的戦略協力パートナーシップの発展を重視し、両政府の定期会合やその他の制度化された交流ルートを通じてロシア側と協力し、両国の協力において新たな目標を推進し、より新しい成果を達成することを望んでいる。
习近平强调,去年以来,面对复杂外部环境,中俄全方位务实合作保持良好发展势头。中国连续13年稳居俄罗斯第一大贸易伙伴国地位,两国能源合作持续深化,战略性大项目扎实推进,人文和地方交流愈加密切。双方要推动经贸合作量质并进,促进贸易和投资自由化便利化,维护产业链供应链安全稳定。要发挥互联互通大项目带动效应,共同维护两国能源安全,扩大双边经贸往来。要加强中俄科研创新合作,推动双方合作可持续发展。要继续办好2022-2023年中俄体育交流年,有序推进各项活动。中方高度重视共建“一带一路”同欧亚经济联盟对接合作,愿同俄方以及联盟各国一道,全面落实好《中国与欧亚经济联盟经贸合作协定》,开展更高水平、更深层次的区域合作。 習近平は、昨年以来、複雑な外部環境に直面しながらも、中露の全面的な実務協力は良好な発展の勢いを維持してきたと強調した。 中国は13年連続でロシアの貿易相手国トップであり続け、両国のエネルギー協力は深化を続け、戦略的プロジェクトは堅実に推進され、人的・地域的交流はより緊密になっている。 双方は、量・質ともに経済・貿易協力を推進し、貿易・投資の自由化を促進し、産業サプライチェーンの安全・安定を維持する必要がある。 我々は、主要な連結プロジェクトの推進効果を十分に発揮し、両国のエネルギー安全保障を共同で維持し、二国間の経済・貿易交流を拡大すべきである。 我々は、科学研究・イノベーションにおける中露協力を強化し、双方の協力の持続的発展を促進すべきである。 我々は2022-2023年中露スポーツ交流年の開催を継続し、様々な活動を秩序正しく推進すべきである。 中国は「一帯一路」とユーラシア経済連合の鳩山協力を非常に重視しており、ロシア側や同連合諸国と協力して、中国とユーラシア経済連合の経済貿易協力に関する協定を全面的に履行し、より高く深い地域協力を実施する用意がある。
当地时间3月21日上午,国家主席习近平在俄罗斯联邦政府大厦会见俄罗斯总理米舒斯京。新华社记者张领摄 習近平主席は現地時間21日午前、ロシア連邦政府庁舎でロシアのミシュスキン首相と会談した。 撮影:新華社通信・張玲
米舒斯京表示,今天我率俄罗斯政府几乎所有重要内阁成员一起同习近平主席会见,对习近平主席对俄罗斯进行国事访问表示热烈欢迎。习近平主席将俄罗斯作为连任后出访首站,意义特别重大,充分体现了新时代俄中关系的特殊性。俄中关系发展正处于历史最高水平,这有利于在当前国际形势下更好维护多边主义、促进世界多极化。俄中总理定期会晤机制在世界上独一无二。俄方期待同中方新一届政府密切协调合作,认真落实两国元首共识,加强两国全面战略协作伙伴关系。俄方愿同中方加强投资贸易、能源、天然气、和平利用核能、航空航天、科技创新、跨境交通物流等领域合作,就确保供应链产业链安全、粮食安全等问题加强沟通和合作。希望双方进一步密切文化、青年、体育等人文领域交流合作。 私は今日、ロシア政府のほぼすべての主要閣僚の先頭に立って習近平主席と会い、習近平主席のロシアへの国賓訪問を温かく歓迎した、とミシュスキンは述べた。 習近平主席がロシアを再選後のツアーの最初の訪問地としたことは特に重要であり、新時代におけるロシアと中国の関係の特別な性質を十分に反映している。 ロシアと中国の関係の発展は史上最高水準にあり、これは現在の国際情勢において、世界の多国間主義をよりよく守り、多極化を促進することに資するものである。 ロシアと中国の首相が定期的に会談する仕組みは、世界でもユニークなものである。 ロシアは、中国の新政権との緊密な連携と協力、両首脳の合意の真剣な履行、両国の包括的な戦略的パートナーシップの強化に期待している。 ロシアは、投資と貿易、エネルギー、天然ガス、原子力の平和利用、航空宇宙、科学とイノベーション、国境を越えた輸送と物流の分野で中国との協力を強化し、サプライチェーンの安全確保や食糧安全保障などの問題でコミュニケーションと協力を強化する用意があります。 また、文化、青少年、スポーツなどの人文科学分野での交流と協力をさらに緊密化することが期待されている。
蔡奇、王毅、秦刚,以及俄罗斯联邦政府7位副总理等出席。 蔡奇、王毅、秦剛、そしてロシア連邦政府の7人の副首相が出席した。

 

 

・2023.03.21 擘画中俄关系发展愿景 为世界和平进步提供启迪——国际社会高度评价习近平主席在俄罗斯媒体发表的署名文章

擘画中俄关系发展愿景 为世界和平进步提供启迪——国际社会高度评价习近平主席在俄罗斯媒体发表的署名文章 中露関係発展のビジョンを描き、世界の平和と進歩にインスピレーションを与える-習近平主席がロシアメディアに発表した論説を国際社会が高く評価
2023/3/21 7:11 2023/3/21 7:11
新华社北京3月20日电 题:擘画中俄关系发展愿景为世界和平进步提供启迪——国际社会高度评价习近平主席在俄罗斯媒体发表的署名文章 北京3月20日(新華社)--中露関係発展のビジョンを描き、世界の平和と進歩にインスピレーションを与える--国際社会は習近平主席がロシアメディアに発表した論説を高く評価する。
新华社记者 新華社通信
春日正好,万象更新。莫斯科街头冰雪消融,生机勃勃。“热烈欢迎习近平主席访问俄罗斯”的巨幅标语牌竖立在主要街道旁,俄罗斯各界人士欢迎中国国家主席习近平的到访。 春が訪れ、すべてが新しくなっている。 モスクワの街は、雪と氷が溶けて生き生きとしている。 大通りには「習近平主席のロシア訪問を温かく歓迎する」と書かれた巨大なプラカードが立てられ、ロシアの各界の人々が中国の習近平主席の訪問を歓迎している。
3月20日,在赴莫斯科对俄罗斯联邦进行国事访问之际,国家主席习近平在《俄罗斯报》和俄新社网站发表题为《踔厉前行,开启中俄友好合作、共同发展新篇章》的署名文章。 3月20日、モスクワでロシア連邦を公式訪問した習近平主席は、ロシアの新聞「RIA Novosti」とRIA Novostiのウェブサイトに「前進、中露友好・協力・共同発展の新章を開く」と題した署名記事を掲載した。
文章引发俄罗斯和多国人士的热烈反响,他们表示相信习近平主席此访将开启中俄关系发展新篇章,期待中国在以中国式现代化全面推进中华民族伟大复兴的过程中,携手世界推动构建人类命运共同体,共创人类美好未来。 この記事は、ロシアや多国籍の著名人から熱い反響を呼び、習近平主席の訪問が中露関係の発展に新たな章を開くと確信し、中国が世界と手を携えて人類運命共同体の構築を推進し、中国式の近代化を通じて中華民族の偉大な若返りを総合的に推進する過程で、人類のより良い未来を創造することを期待するとの声が上がった。
为中俄关系持续健康稳定发展定向把舵 中露関係の持続的、健全かつ安定的な発展のために舵を切る
“中国是俄罗斯的好邻居、好朋友。我们热切期盼习近平主席今天来到莫斯科。”在莫斯科市中心的一家报刊亭内,年逾六旬的报刊亭主人瓦莲京娜仔细阅读习近平主席的署名文章。她说,自己非常关注习近平主席此访期间俄中双方将如何进一步深化合作。“我的孙女正在学习中文,希望以后能为两国贸易发展、人文交流添砖加瓦。” 中国はロシアの良き隣人であり、良き友である。 私たちは、習近平主席の今日のモスクワ訪問を心待ちにしている。 モスクワ中心部の新聞販売店で、60代の新聞販売店主ヴァレンティナは習近平主席の論説を熟読している。 彼女は、習近平主席の訪問でロシアと中国がどのように協力をさらに深めていくのか、とても興味があるという。 「私の孫娘は中国語を勉強しているので、将来は両国の貿易や人的交流の発展に貢献したいと思っている。」
《俄罗斯报》社长涅戈伊察说,习近平主席的署名文章高屋建瓴,“具有全局性”。“文章不仅总结了过去10年俄中关系的发展历程,同时也阐述了未来两国关系发展的指导方针。”涅戈伊察表示,俄社会各界都对习近平主席此访充满期待。“中国是我们的好邻居,也是我们值得信赖的伙伴。两国关系保持高水平发展离不开两国元首之间的互动,快速提升的俄中合作离不开两国元首的战略引领。” 新聞「ロシイスカヤ・ガゼータ」のネゴイツァ社長は以下のように述べている。「習近平主席の論説はレベルが高く、「ローバルな内容」だ。記事は過去10年間の露中関係の発展を総括するだけでなく、今後の両国関係の発展のための指針を示している。" ネゴイツァは、ロシア社会のあらゆる部門が習近平主席の訪問を心待ちにしていると述べた。 「中国は我々の良き隣人であり、信頼できるパートナーである。 両国関係の高水準の発展は、両首脳の交流なしには維持できず、急速に進む露中協力は、両首脳の戦略的リーダーシップなしには達成できない。」
“习近平主席的署名文章让人印象深刻,我连续读了好几遍。”“今日俄罗斯”国际媒体集团国际合作局局长瓦西里·普什科夫对记者说,“习近平主席的文章用平和的声音与我们对话交流,文章阐释的重要内容,恰恰是我们每个人在艰难岁月中需要听到的话”。他说,近年来,两国元首密集互动为两国关系稳步发展发挥了最关键的战略引领作用,此访是两国元首长期对话的延续。 ロシア・トゥデイ国際メディアグループ国際協力局長のヴァシリー・プシュコフ氏は、次のように記者団に語りました。「習近平主席の論説はとても印象的で、何度も続けて読んだ。 習近平主席の論文は、落ち着いた声で私たちに語りかけ、困難な時代に私たち全員が聞く必要のある重要なことを説明している。 今回の訪問は、近年の両国の関係の着実な発展において、最も重要な戦略的指導者の役割を果たしてきた両首脳の長年の対話の継続である。」
在俄罗斯智库“瓦尔代”国际辩论俱乐部项目主任季莫费·博尔达切夫看来,习近平主席再次到访俄罗斯充分体现两国友好关系的稳定性,“俄中战略协作在过去一年得到进一步增强。”博尔达切夫表示,期待双方能就贸易等众多领域新合作达成一致。 ロシアのシンクタンク、バルダイ国際討論クラブプロジェクトのディレクターであるティモフェイ・ボルダチェフ氏は次のように述べている。「習近平主席のロシア再訪は、両国の友好関係の安定と "過去1年間の露中戦略協力のさらなる強化 "を十分に反映している。双方が貿易を含む多くの分野で新たな協力に合意することを期待する。」
俄罗斯高等经济大学东方学院院长安德烈·卡尔涅耶夫对文章中强调两国元首“为双边关系持续健康稳定发展牢牢定向把舵”感触很深,他表示,“俄中元首的密集互动证明了俄中新时代全面战略协作伙伴关系的特殊重要性。相信习近平主席此访将为深化双边合作提供新的动力”。 ロシア高等経済学校東洋学研究所のアンドレイ・カルニエフ所長は、次のように述べた。「この記事で両首脳が「二国間関係の健全で安定した発展の継続のためにしっかりと舵を切る」ことを強調していることに感銘を受けた。ロシアと中国の首脳間の集中的な交流は、ロシアと中国の包括的戦略パートナーシップという新しい時代の特別重要性を証明している。 ロシアと中国の首脳間の集中的な交流は、ロシアと中国の包括的戦略パートナーシップの新時代の特別な重要性を証明するものである。 習近平主席の訪問は、二国間協力の深化に新たな弾みをつけると信じている」。
俄中友好协会副主席谢尔盖·萨纳科耶夫认为,俄中新时代全面战略协作伙伴关系近年来一直保持高水平运行,得益于两国元首长期保持密切沟通,“完备的高层交往为双边关系发展提供了战略引领。” ロシア中国友好協会副会長のセルゲイ・サナコエフは、次のように述べた。「新時代のロシアと中国の包括的戦略的パートナーシップの協力関係は、両首脳が長期にわたって維持してきた緊密なコミュニケーションにより、近年高いレベルで運営されており、完全なハイレベルの接触は二国間関係の発展のために戦略的リーダーシップを発揮する。 」
俄罗斯圣彼得堡国立大学东方系常务副主任阿列克谢·罗季奥诺夫说,中国已成为俄罗斯高校最重要的合作伙伴国家,中文已成为俄罗斯高考科目之一。中国当代文学的俄文翻译书籍发行量从一年几千册增至数十万册,很多中国作家受到越来越多俄罗斯读者的欢迎。“习近平主席这次访问将推动俄中文化交流进一步拓宽。” ロシアのサンクトペテルブルク国立大学東洋学部のアレクセイ・ロディオノフ執行副部長は、次のように述べている。「中国はロシアの大学にとって最も重要なパートナー国となり、中国語はロシアの高等教育試験の科目の1つになっている。 中国現代文学のロシア語翻訳本の発行部数は、年間数千部から数十万部に増加し、多くの中国人作家が、増加するロシアの読者に歓迎されているという。 "習近平主席の訪問は、ロシアと中国の文化交流のさらなる広がりを促進する。」
“过去10年间,俄中关系在各领域都保持积极发展态势。”俄罗斯外贸银行行长安德烈·科斯京说,俄中元首之间富有成效的互动,为进一步深化双边经贸、金融合作创造了有利条件,相信习近平主席此访将推动俄中各领域交流,为扩大两国合作注入强大新动力。 ロシア対外貿易銀行のアンドレイ・コスティン総裁は、次のように述べている。「過去10年間、ロシアと中国の関係はあらゆる分野で前向きな発展を維持してきた。 ロシアと中国の国家元首の実りある交流は、二国間の経済、貿易、金融協力をさらに深めるための好条件を作り出しており、習近平主席の訪問は、さまざまな分野におけるロシアと中国の交流を促進し、二国間の協力拡大に強い新機軸を注入すると確信している。」
为中俄关系未来发展擘画新蓝图 中露関係の今後の発展のための新たな青写真を描く
习近平主席在文章中说,“我期待同普京总统一道,共同擘画未来一个时期中俄全面战略协作伙伴关系发展新愿景、新蓝图、新举措。”对此,罗季奥诺夫备感振奋,“我们非常期待习近平主席对俄罗斯的访问,希望这次访问为俄中两国关系的进一步发展打开新境界。” その中で、習近平主席は、「プーチン大統領と協力して、これからの時期、中露包括的戦略協力パートナーシップの発展のための新しいビジョン、新しい青写真、新しいイニシアティブを共同で描いていくことを楽しみにしている 」と述べている。 これに対し、ロディオノフ氏は、「習近平主席のロシア訪問を非常に楽しみにしており、この訪問がロシアと中国の関係のさらなる発展のために新しい地平を切り開くことを望んでいる 」と励ましている。
“习近平主席此访将为中俄双边合作勾勒新的广阔前景,在加强科技、太空等领域合作方面更是如此。”乌兹别克斯坦塔什干国立东方大学专家沙扎莫诺夫阅读署名文章后说,在逆全球化思潮抬头,单边主义、保护主义明显上升的背景下,俄中关系不断向前发展,对中亚国家经济稳定发展将产生重要积极影响,对进一步维护和平、安全与稳定,发展各国人民之间的友谊与理解至关重要。 論説を読んだウズベキスタンのタシケント国立東洋大学の専門家であるシャザモノフ氏は、次のようにのべている。「習近平主席の訪問は、中国とロシアの二国間協力、特に科学技術や宇宙などの分野での協力強化に新たな広範な展望を示すだろう。 反グローバル化思想の高まりや一国主義・保護主義の明確な台頭を背景に、ロシアと中国の関係が継続して発展することは、中央アジア諸国の安定した経済発展に重要なプラスの影響を与え、平和・安全・安定をさらに維持し民族間の友情と理解を発展させるために極めて重要であると述べている。」
俄罗斯莫斯科国立大学亚非学院院长阿列克谢·马斯洛夫对习近平主席在文章中强调的“中俄全面战略协作伙伴关系发展新愿景、新蓝图、新举措”非常期待,认为此访将推动俄中两国贸易更加多元化,加强两国在科技、金融等领域合作,深化两国在国际关系和构建多极化世界格局方面的协调合作。 モスクワ大学アジア・アフリカ研究所のアレクセイ・マスロフ所長は、次のようにのべている。「習近平主席が論文で強調した「中露包括的戦略パートナーシップの発展のための新しいビジョン、新しい青写真、新しいイニシアティブ」に期待し、今回の訪問がロシアと中国のより多様な貿易を促進し、科学技術、金融などの分野で両国の協力を強化し、国際関係やより良い未来の構築における両国の関係を深めると考えている。 今回の訪問は、国際関係や多極化する世界の構築における両国の協調と協力を深めるものである。」
阿列克谢·罗季奥诺夫十分赞同习近平主席“办好中俄体育交流年”“推动两国友好省州、友城积极开展对口交往”等倡议主张。他说,10年来,俄中两国不仅在政治和经贸方面密切合作,教育和文化领域合作也取得丰硕成果。他相信习近平主席这次访问将加深两国各领域合作,推动民间交流。 アレクセイ・ロディオノフ氏は、ロシアと中国のスポーツ交流の1年を組織し、両国の友好省・都市間の活発なカウンターパート交流を促進するという習近平主席のイニシアチブに同意した。 また、「過去10年間、ロシアと中国は政治や貿易だけでなく、教育や文化の分野でも緊密に協力し、実りある成果を上げてきた。 習主席の訪問により、両国の各分野での協力が深まり、人と人との交流が促進されることを確信している」と述べた。
习近平主席在署名文章中强调,要持续推进共建“一带一路”同欧亚经济联盟对接合作,为双边和区域合作提供更多制度性安排。 習近平主席は論説の中で、「一帯一路」とユーラシア経済連合との鳩首協力を引き続き推進し、二国間および地域協力のための制度整備をさらに進める必要があると強調した。
“这必将深化俄中在欧亚经济联盟和‘一带一路’对接框架内贸易、金融、工业等方面合作,给欧亚经济联盟国家带来更多合作机会和经济红利。”白俄罗斯战略研究所分析员阿夫多宁说,欧亚经济联盟与“一带一路”对接日趋成熟,中国与其他欧亚经济联盟国家的贸易额也大幅上涨,合作潜力巨大。 ベラルーシ戦略研究所のアナリスト、アブドニンは次のように述べた。「これにより、ユーラシア経済連合と「一帯一路」の接合の枠組みの中で、貿易、金融、産業におけるロシアと中国の協力が確実に深まり、ユーラシア経済連合諸国により多くの協力機会と経済配当がもたらされる。 ユーラシア経済連合と「一帯一路」の接合は成熟しつつあり、中国と他のユーラシア経済連合諸国との貿易量も大幅に増加し、協力の大きな可能性を秘めている。」
《哈萨克斯坦实业报》总编辑谢里克·科尔茹姆巴耶夫说,在欧亚经济联盟与“一带一路”对接框架下,全方位务实合作在欧亚国家各领域落地生根开花结果,将为欧亚国家民生带来更多实实在在的好处。 新聞「カザフスタンビジネス」の編集長、セリック・コルズバイエフは次のように述べている。「ユーラシア経済連合と「一帯一路」の会合にカザフスタン共和国政府が招待されたことで、ユーラシア諸国の各分野における実務的な協力が根付き、実を結び、ユーラシア諸国の生活により具体的な利益がもたらされる。」
为应对世界、时代、历史之变提供中国方案 世界、時代、歴史の変化に対する中国の解答
当今世界正处于百年未有之大变局。传统与非传统安全挑战错综交织,霸权霸道霸凌行径危害深重,世界经济复苏道阻且长。多国人士指出,习近平主席在署名文章中提出的中国方案,提供了驱散危机的合作良方。 今日の世界は、100年に一度の未曾有の大変化を迎えている。 伝統的な安全保障課題と非伝統的な安全保障課題が絡み合い、覇権主義やいじめが弊害となり、世界の経済復興は遠のくばかりである。 習近平国家主席が署名記事で打ち出した中国の提案は、危機を払拭するための協力の良いレシピになると、各国の人々から指摘されている。
“10年前习近平主席访俄期间在莫斯科提出的命运共同体理念,或许是本世纪最实际、最有力、最中肯的思想理念,它为解决当今世界所面临的问题和挑战提供了非常有效的办法。”巴基斯坦欧亚世纪研究所所长伊尔凡·沙赫扎德·塔卡尔维说。各国携手前行,将有利于世界的和平与发展,有利于全人类共赢的未来。 パキスタンのユーラシア世紀研究所所長であるイルファン・シャザド・タカルヴィは、次のように述べている。「習近平主席が10年前の訪露時にモスクワで提唱した運命共同体の理念は、おそらく今世紀で最も実践的で強力かつ適切な思想であり、今日の世界が直面する問題や課題に対して非常に有効な解決策を提供している。  各国が共に前進することで、世界の平和と発展、そして全人類にとってのWin-Winの未来に利益をもたらすだろう。」
塞内加尔中国问题专家、《太阳报》前驻华记者阿马杜·迪奥普对署名文章中强调的构建人类命运共同体理念和共建“一带一路”倡议、全球发展倡议、全球安全倡议和全球文明倡议产生的积极影响感触很深,认为上述理念和倡议为当前纷繁复杂的世界局势注入了更多稳定性,体现了中国对于促进世界和平稳定、推动全球共同繁荣的大国担当。 セネガルの中国専門家であり、サン紙の元中国特派員であるアマドゥ・ディオプ氏は、次のようにのべている。「論説で強調された人類運命共同体の構築というコンセプトと「一帯一路」イニシアティブ、世界開発イニシアティブ、世界安全保障イニシアティブ、世界文明イニシアティブのポジティブな影響に感銘を受けている。 上記の概念とイニシアティブは、現在の複雑な世界情勢にさらなる安定を注入し、世界の平和と安定、世界共通の繁栄を促進する大国としての中国の役割を反映している。」
伊朗伊斯兰共和国通讯社资深编辑穆罕默德·礼萨·马纳菲认真研读了习近平主席的署名文章后说,“在当今世界,中国不仅在全球经济和工业领域举足轻重,还致力于通过政治手段和对话帮助解决全球性问题,中国外交在世界舞台上发挥着独特作用,这就是为何世界对习主席访俄高度关注。” イラン・イスラム共和国通信社のモハマド・レザ・マナフィー上級編集者は、次のようにのべている。「習近平主席の論説を注意深く読んだ後、「今日の世界において、中国は世界の経済・産業領域における主要プレーヤーであるだけでなく、政治的手段と対話を通じて世界の問題解決に貢献することを約束し、中国外交は世界の舞台で独自の役割を果たしており、そのため、世界は は、習近平主席のロシア訪問に高い関心を寄せている。」
习近平主席在文章中说“世界上不存在高人一等的国家,不存在放之四海而皆准的国家治理模式,不存在由某个国家说了算的国际秩序”,这引发匈牙利约翰·冯·诺依曼大学欧亚中心研究主任莫尔迪茨·乔鲍的强烈共鸣。他表示:“每个文明都有自己的历史和文化,不能仅从西方视角和思维模式去理解其他国家的内外政策,更不能把一个国家的制度复制到另一个国家。” 習近平主席の「優れた国家は存在せず、一律の国家統治モデルもなく、一国によって規定される国際秩序もない」という言葉は、ハンガリーのジョン・フォン・ノイマン大学ユーラシアセンター研究部長のモーデック・チョボー氏の心に強く響いた。 彼は、「文明にはそれぞれ歴史と文化があり、他国の内政・外交政策は、一国のシステムを他国にコピーすることはおろか、西洋の視点や考え方だけでは理解できない。」と述べた。
匈牙利萨佐德韦格研究所政治分析中心主任基塞伊·佐尔坦说,西方当前无法向世界提供有吸引力的全球公共产品,因而推行一种文化殖民主义,想把自己的价值观强加给世界。中国在相互尊重的基础上与其他国家打交道,习近平主席提出的一系列重要理念和倡议为世界和平发展提供了全球共同参与的解决方案。 ハンガリーのSazodvig Instituteの政治分析センターのディレクターであるKisej Zoltan氏は、次のようにのべている。「西洋は現在、魅力的なグローバル公共財を世界に提供することができないため、自国の価値観を世界に押し付けようとする文化的植民地主義の一形態を推進している。 中国は相互尊重を基本に他国と付き合い、習近平国家主席が提唱する一連の重要なアイデアやイニシアティブは、グローバルな参加による世界の平和的発展のための解決策を提示している。」
对于习近平主席在文章中强调的“我们将坚定不移推进中国式现代化事业,努力实现高质量发展,扩大高水平对外开放,相信这将为包括俄罗斯在内的世界各国提供新的发展机遇”,阿马杜·迪奥普深感振奋。他说,中国式现代化事业将继续启迪包括塞内加尔在内的世界各国,中国为世界其他国家提供了实现共同繁荣的绝佳机会。“中国通过中非合作论坛这样重要的机制、计划等将重要主张具体化,通过紧密而创新式的双多边合作将其落实。在当今动荡不安的全球背景下,世界各国必须合作。” アマドゥ・ディオプは、習近平主席が論文の中で次のように述べている。「我々は揺るぎなく中国式近代化の大義を推し進め、質の高い発展の実現に努め、外部に対して高いレベルの開放性を拡大し、それがロシアを含む世界のすべての国に新しい発展の機会をもたらすと信じる」と強調していることに心を動かされた。 また、中国式近代化の大義は、セネガルを含む世界各国を刺激し続け、中国は世界の他の国々に共通の繁栄を実現する絶好の機会を提供している。 中国は、中国・アフリカ協力フォーラムのような重要なメカニズムやプログラムを通じて重要なアイデアを具体化し、緊密で革新的な二国間および多国間協力を通じてそれを実行してきた。 今日の不安定な世界情勢において、世界各国が協力することは必須である。」
印尼智库亚洲创新研究中心主席班邦·苏尔约诺也对习近平主席在文章中对中国式现代化展开的论述感受很深,认为中国式现代化真正做到了以人民为中心,是对全球现代化理论的创新和突破。他说,中国机遇论越来越成为全球主流观点,中国发展必将使周边和世界各国受益良多。中国不仅为全球提供一个巨大的市场,还成为发展中国家引进技术与投资的重要来源,中国式现代化作为人类文明新形态必将为全球提供重要借鉴和启示。 インドネシアのシンクタンク、アジア革新研究センターのバンバン・スルジョノ会長も、習近平主席が論文の中で中国式の近代化について述べたことに感銘を受け、次のように述べている。「それはまさに国民中心であり、世界の近代化理論における革新とブレークスルーである。 また、中国の機会論はますます世界の主流となりつつあり、中国の発展は近隣諸国や世界の他の国々にも必ず利益をもたらすと述べた。 中国は世界に巨大な市場を提供するだけでなく、発展途上国にとって技術や投資の重要な供給源となり、人類の文明の新しい形としての中国の近代化は、必ずや世界に重要な教訓とインスピレーションを与えるだろう。」
“中国领导人选择了在春天到来的时刻,在这个万物复苏、生机勃勃的时节访问俄罗斯。我衷心祝愿此次访问为全人类带来春天。”“今日俄罗斯”国际媒体集团国际合作局局长瓦西里·普什科夫说。(综合新华社驻外记者报道,执笔记者:谢琳、王晓梅、王雅楠、齐紫剑) ロシア・トゥデイ国際メディアグループ国際協力局長のヴァシリー・プシュコフ氏は、次のように述べている。「中国指導部は、すべてが蘇り、活気づく春の瞬間にロシアを訪れることを選択した。 この訪問が全人類に春をもたらすことを心から願っている。」 (新華社海外特派員、謝林、王暁明、王燕安、斉志堅)

 

・2023.03.21 习近平会见俄罗斯总统普京

习近平会见俄罗斯总统普京 習近平、ロシアのプーチン大統領と会談
2023/3/21 6:53 2023/3/21 6:53
新华社莫斯科3月20日电(记者 郝薇薇、石昊)当地时间3月20日下午,刚刚抵达莫斯科的国家主席习近平应约在克里姆林宫会见俄罗斯总统普京。 モスクワ3月20日(新華社)】モスクワに到着した習近平主席は現地時間20日午後、クレムリンでロシアのプーチン大統領と予約していた会見をした。
习近平抵达时,克里姆林宫司令在下车处迎接。普京总统同习近平热情握手并合影。两位元首就中俄关系及共同关心的问题进行了深入、坦诚的交流。 到着した習主席は降車駅でクレムリン司令官の出迎えを受けた。 プーチン大統領は習近平と温かく握手し、写真撮影に応じた。 両首脳は、中露関係や共通の関心事について、深く率直な意見交換を行った。
当地时间3月20日下午,刚刚抵达莫斯科的国家主席习近平应约在克里姆林宫会见俄罗斯总统普京。新华社记者 申宏 摄 モスクワに到着した習近平主席は現地時間20日午後、クレムリンでロシアのプーチン大統領と予約制で会談する。 新華社通信の沈紅記者
习近平指出,很高兴应普京总统邀请,再次对俄罗斯进行国事访问。十年前我就任国家主席后首次出访就选择了俄罗斯,至今记忆犹新。十年来,我同普京总统保持了密切联系。无论是我在中共二十大上连任中共中央总书记,还是前不久再次当选中国国家主席,你都第一时间给我发来贺电,我深表感谢。俄罗斯明年将举行总统选举。在你坚强领导下,俄罗斯发展振兴取得长足进展。我坚信,俄罗斯人民一定会继续给予你坚定支持。 習近平は、プーチン大統領の招きで再びロシアを国賓訪問できたことを喜んでいると述べた。 10年前、私は大統領就任後の最初の訪問先にロシアを選んだが、これはまだ記憶に新しい。 この10年間、私はプーチン大統領と緊密な連絡を取り続けてきました。 私が第20回共産党大会で中国共産党総書記に再選されたときも、先日、中国国家主席に再選されたときも、真っ先にお祝いのメッセージを送っていただき、深く感謝している。 ロシアでは来年、大統領選挙が行われます。 あなたの強いリーダーシップの下、ロシアはその発展と活性化において大きな前進を遂げました。 私は、ロシア国民が引き続きあなたに揺るぎない支持を与えてくれると確信している。
习近平强调,中俄关系发展到今天,有其深刻的历史逻辑。作为最大邻国和全面战略协作伙伴,中俄关系在各自外交全局和对外政策中都占据优先地位。中国历来奉行独立自主的外交政策。把中俄关系巩固好、发展好,是中方基于自身根本利益和世界发展大势作出的战略抉择。中方同俄方加强战略协作的大方向坚定不移。中俄都致力于实现国家发展振兴,都支持世界多极化,都推动国际关系民主化。双方要进一步深化各领域务实合作,加强在联合国等多边平台的协调配合,助力各自国家发展振兴,做世界和平稳定的中流砥柱。 習近平は、これまでの中露関係の発展には深い歴史的論理があると強調した。 最大の隣国であり、包括的な戦略的協力パートナーである中露関係は、それぞれの外交情勢と外交政策の全体において優先的な位置を占めている。 中国は常に自主的で自律的な外交政策を追求してきた。 中ロ関係の強化と発展は、中国がその基本的利益と世界の発展の一般的傾向に基づき、戦略的に選択したものである。 中国とロシア側の戦略的協力の強化という一般的な方向性は揺るぎないものである。 中露両国はともに国家の発展と活性化に尽力し、世界の多極化を支持し、国際関係の民主化を推進する。 双方は、各分野での実務協力をさらに深め、国連をはじめとする多国間プラットフォームでの協調・協力を強化し、それぞれの国の発展と活性化に貢献し、世界の平和と安定の主役となるべきである。
普京热烈欢迎习近平对俄罗斯进行国事访问,对习近平连任中国国家主席再次表示热烈祝贺。普京表示,过去十年来,中国各方面发展都取得令世人瞩目的伟大成就,这归功于习近平主席的卓越领导,也证明了中国国家制度和治理体系的优越。我坚信,在习近平主席坚强领导下,中国必将继续发展繁荣,顺利实现各项既定宏伟目标。在双方共同努力下,近年来俄中关系在各领域都取得了丰硕成果。俄方愿同中方继续深化双边务实合作,加强在国际事务中的沟通协作,推动世界多极化和国际关系民主化进程。 プーチンは、習近平のロシア国賓訪問を温かく歓迎し、習近平が中国国家主席に再選されたことに改めて温かい祝辞を贈った。 プーチンは、「過去10年間、中国は習近平主席の卓越したリーダーシップにより、世界の注目を集める発展のあらゆる面で大きな成果を上げ、中国の国家体制とガバナンスの優位性を証明した。 私は、習近平主席の強いリーダーシップの下、中国が引き続き発展・繁栄し、野心的な目標を成功裏に達成することを確信している。 双方の共同の努力により、ロシアと中国の関係は近年、さまざまな分野で実りある成果を上げている。 ロシアは引き続き中国との二国間実務協力を深め、国際情勢における意思疎通と協力を強化し、世界の多極化と国際関係の民主化のプロセスを推進する用意がある。
双方就乌克兰问题深入交换意见。习近平强调,在乌克兰问题上,和平、理性的声音在不断积聚,大多数国家都支持缓和紧张局势,主张劝和促谈,反对火上浇油。历史上看,冲突最后都需要通过对话和谈判解决。不久前,中方专门发表了立场文件,呼吁政治解决乌克兰危机,反对冷战思维,反对单边制裁。我们认为,越是困难重重,越要为和平留下空间;越是矛盾尖锐,越不能放弃对话努力。中方愿继续为推动政治解决乌克兰问题发挥建设性作用。 双方はウクライナ問題で深い意見交換を行った。 習近平は、ウクライナ問題では、平和的で理性的な声が高まっており、ほとんどの国が緊張の緩和を支持し、和平交渉を提唱し、火に油を注ぐことに反対していると強調した。 歴史は、紛争は最終的に対話と交渉によって解決される必要があることを示している。 少し前に、中国はウクライナ危機の政治的解決を求める特別ポジションペーパーを発表し、冷戦的な考え方や一方的な制裁に反対した。 私たちは、困難であればあるほど、平和のための空間を残さなければならないと考えている。矛盾が深刻であればあるほど、対話の努力をあきらめることはできない。 中国は、ウクライナ問題の政治的解決を促進するために、建設的な役割を果たし続けることを望んでいる。
普京表示,俄方赞赏中方在重大国际问题上一贯秉持公正、客观、平衡立场,主持公平正义。俄方认真研究了中方关于政治解决乌克兰问题的立场文件,对和谈持开放态度,欢迎中方为此发挥建设性作用。 プーチンは、中国が主要な国際問題において常に公平、客観的でバランスの取れた立場を堅持し、公正と正義を主宰してきたことをロシアは高く評価している、と述べた。 ロシア側は、ウクライナ問題の政治的解決に関する中国のポジションペーパーを慎重に検討し、和平交渉に前向きであり、この目的に対する中国の建設的な役割を歓迎する。
两国元首表示,期待明天再次会谈,规划未来一个时期中俄全面战略协作伙伴关系新蓝图。 両首脳は、明日再び会談を行い、今後の期間における中国とロシアの包括的戦略的パートナーシップの協力のための新たな青写真を描くことを楽しみにしていると述べた。

 

飛行機は中華国際航空のBowing 747ですね。。。

・2023.03.20 习近平抵达莫斯科开始对俄罗斯进行国事访问

习近平抵达莫斯科开始对俄罗斯进行国事访问 習近平、ロシアへの公式訪問を開始するためモスクワに到着
2023/3/20 21:03 2023/3/20 21:03
新华社莫斯科3月20日电(记者刘华刘恺)当地时间3月20日下午,国家主席习近平乘专机抵达莫斯科,应俄罗斯总统普京邀请,对俄罗斯进行国事访问。 モスクワ3月20日(新華社)】習近平主席はロシアのプーチン大統領の招きでロシアを国賓訪問するため、現地時間20日午後、特別機でモスクワに到着した。
当地时间下午1时许,习近平乘坐的专机抵达莫斯科伏努科沃专机机场。习近平步出舱门时,俄罗斯副总理切尔内申科等政府高级官员在舷梯旁热情迎接。 現地時間午後1時頃、習近平は特別機でモスクワのブヌコボ特別空港に到着した。 機内のドアから出た習近平は、通路でロシアのウラジーミル・チェルネシェンコ副首相ら政府高官から温かく迎えられた。
当地时间3月20日,国家主席习近平乘专机抵达莫斯科,应俄罗斯总统普京邀请,对俄罗斯进行国事访问。下午1时许,习近平乘坐的专机抵达莫斯科伏努科沃专机机场。习近平步出舱门时,俄罗斯副总理切尔内申科等政府高级官员在舷梯旁热情迎接。新华社记者 谢环驰 摄 3月20日、習近平主席は、ロシアのプーチン大統領の招きでロシアを公式訪問するため、特別機でモスクワに到着した。 午後1時頃、習近平の特別機はモスクワのヴヌーコヴォ特別空港に到着した。 習近平が機内のドアから出ると、通路でロシアのウラジーミル・チェルネシェンコ副首相をはじめとする政府高官たちが温かく出迎えた。 撮影:新華社・謝煥智
俄方在机场举行隆重迎宾仪式。军乐团奏中俄两国国歌。习近平检阅俄罗斯三军仪仗队并观看分列式。 ロシア側は空港で盛大な歓迎セレモニーを行った。 軍楽隊が中国とロシアの国歌を演奏する。 習近平はロシアの三軍の儀仗隊を視察し、パレードを観閲する。
习近平发表书面讲话,代表中国政府和中国人民,向俄罗斯政府和人民致以诚挚问候和良好祝愿。习近平强调,中俄两国是山水相连的友好邻邦。双方坚持在不结盟、不对抗、不针对第三方原则基础上巩固和发展双边关系,树立了新型大国关系典范。中俄关系发展成果给两国人民带来了实实在在的好处,为世界发展进步作出了重要贡献。 習近平は文書による演説で、中国政府と人民を代表し、ロシア政府と人民に対して心からの挨拶と善意を示した。 習近平は、中国とロシアは山と水で結ばれた友好的な隣国であると強調した。 双方は非同盟、非対立、第三者を標的としない原則を堅持して二国間関係を強化・発展させ、新しいタイプの大国関係の模範を示す。 中露関係の発展の成果は、両国の国民に具体的な利益をもたらし、世界の発展と進歩に重要な貢献をしている。
习近平指出,中俄同为世界主要大国和联合国安理会常任理事国,在国际事务中发挥着重要作用。面对动荡变革的世界,中方愿继续同俄方一道,坚定维护以联合国为核心的国际体系、以国际法为基础的国际秩序、以联合国宪章宗旨和原则为基础的国际关系基本准则,坚持真正的多边主义,推动世界多极化和国际关系民主化,推动全球治理朝着更加公正合理的方向发展。相信这次访问一定会取得丰硕成果,为中俄新时代全面战略协作伙伴关系健康稳定发展注入新的动力。 習近平は、中国とロシアはともに世界の大国であり、国連安全保障理事会の常任理事国であり、国際情勢において重要な役割を担っていると指摘した。 激動し変化する世界を前に、中国はロシア側と引き続き協力し、国連を核とする国際システム、国際法に基づく国際秩序、国連憲章の目的と原則に基づく国際関係の基本規範をしっかりと守り、真の多国間主義を堅持し、世界の多極化と国際関係の民主化を推進し、グローバルガバナンスをより公正で合理的な方向へ押し上げていきたい。 今回の訪問が実りある成果を上げ、新時代における中露の包括的戦略的協力関係の健全で安定した発展に新たな弾みをつけると信じている。
当地时间3月20日,国家主席习近平乘专机抵达莫斯科,应俄罗斯总统普京邀请,对俄罗斯进行国事访问。下午1时许,习近平乘坐的专机抵达莫斯科伏努科沃专机机场。习近平步出舱门时,俄罗斯副总理切尔内申科等政府高级官员在舷梯旁热情迎接。俄方在机场举行隆重迎宾仪式。军乐团奏中俄两国国歌。这是习近平检阅俄罗斯三军仪仗队并观看分列式。新华社记者 谢环驰 摄 現地時間3月20日、習近平主席はプーチン露大統領の招きでロシアを公式訪問するため、特別機でモスクワに到着した。 午後1時頃、習近平は特別機でモスクワのヴヌーコヴォ空港に到着した。 習近平が機内のドアから出ると、通路でロシアのウラジーミル・チェルネシェンコ副首相をはじめとする政府高官たちが温かく出迎えた。 ロシア側は、空港で厳粛な歓迎セレモニーを行った。 軍楽隊がロシアと中国両国の国歌を演奏した。 これは習近平がロシア軍3人の儀仗兵を閲兵し、パレードを見ているところである。 撮影:新華社通信・謝煥智(Xie Huanchi
中共中央政治局常委、中央办公厅主任蔡奇,中共中央政治局委员、中央外事工作委员会办公室主任王毅,国务委员兼外交部部长秦刚等陪同人员同机抵达。 中国共産党中央委員会政治局常務委員・中央委員会弁公室主任の蔡奇、中国共産党中央委員会政治局委員・中央委員会外事弁公室主任の王毅、国務委員・外交部長の秦剛、その他同行者も同便で到着した。
中国驻俄罗斯大使张汉晖也到机场迎接。 張漢暉駐ロシア中国大使も空港で出迎えた。

 

・2023.03.20 简讯:习近平对俄罗斯联邦进行国事访问

简讯:习近平对俄罗斯联邦进行国事访问 ブリーフィング:習近平、ロシア連邦を国賓訪問
2023/3/20 19:02 2023/3/20 19:02
新华社莫斯科3月20日电 3月20日上午,国家主席习近平乘专机离开北京,应俄罗斯联邦总统普京邀请,对俄罗斯进行国事访问。 モスクワ20日新華社】習近平国家主席は20日午前、ロシア連邦のプーチン大統領の招きでロシアを公式訪問するため、特別機で北京を出発した。
陪同习近平出访的有:中共中央政治局常委、中央办公厅主任蔡奇,中共中央政治局委员、中央外事工作委员会办公室主任王毅,国务委员兼外交部部长秦刚等。 習主席は、蔡奇・中国共産党中央委員会政治局常務委員兼中央委員会総室長、王毅・中国共産党中央委員会政治局委員兼中央外事工作室長、秦剛・国務委員兼外務大臣と同行した。
当地时间20日下午,习近平乘专机抵达莫斯科,开始对俄罗斯进行国事访问。 習近平は現地時間20日午後、特別便でモスクワに到着し、ロシアへの国賓訪問を開始した。

 

ロシア連邦側の発表...

大統領府...

⚫︎ Президент России

・2023.03.21 Президент России и Председатель КНР сделали заявления для прессы

Президент России и Председатель КНР сделали заявления для прессы ロシア大統領と中華人民共和国国家主席が記者会見
По итогам российско-китайских переговоров Владимир Путин и Председатель Китайской Народной Республики Си Цзиньпин сделали заявления для средств массовой информации. ロシア・中国会談を受け、プーチン大統領と習近平国家主席がメディアに対して声明を発表した。
2023.03.21 19:00 2023年321 19:00
Президент России и Председатель КНР сделали заявления для прессы ロシア大統領と中華人民共和国国家主席が記者声明を発表
В.Путин: Уважаемый Председатель Си Цзиньпин! Уважаемые дамы и господа! Дорогие друзья! ウラジーミル・プーチン: 殊勲の習近平国家主席!錚々たる紳士淑女の皆様!親愛なる友人たちよ!
Мы искренне рады возможности вновь принимать в России с государственным визитом нашего дорогого друга, Председателя КНР господина Си Цзиньпина. 私たちは、親愛なる友人である中華人民共和国の習近平国家主席をロシアに国賓としてお迎えすることができ、心から嬉しく思っている。
Все наши переговоры – вчера и сегодня, в формате тет-а-тет, в узком составе и с участием делегаций – были успешными, прошли в тёплой, товарищеской, конструктивной атмосфере. 昨日、今日と、11や代表団との会談はすべて成功し、温かく、友好的で建設的な雰囲気の中で行われたものである。
Смотрите также こちらも参照
Российско-китайские переговоры 露中協議
21 марта 2023 года 2023年321
Подписанные нами только что два программных совместных заявления в полной мере отражают особый характер российско-китайских отношений, которые находятся на наивысшем за всю историю уровне развития, являются образцом настоящего всеобъемлющего партнёрства и стратегического взаимодействия. Россию и Китай связывают крепкие узы добрососедства, взаимовыручки, поддержки, дружбы между нашими народами. Поддерживается активный двусторонний диалог на всех уровнях. 今回署名した2つの共同政策声明は、歴史上最も高い発展レベルにあり、真の包括的パートナーシップと戦略的相互作用のモデルであるロシアと中国の関係の特別な性質を完全に反映している。ロシアと中国は、両国民の善隣、相互援助、支援、友好という強い絆で結ばれている。活発な二国間対話があらゆるレベルで維持されている。
Мы с Председателем КНР находимся в постоянном контакте. Помимо двусторонних саммитов встречаемся и на полях международных мероприятий, регулярно обсуждаем по телефону и видеосвязи вопросы, представляющие взаимный интерес. Это позволяет находить решения всех проблем в любых, даже в самых сложных ситуациях, держать на личном контроле все актуальные вопросы двусторонней и международной повестки. 我々は、中華人民共和国の国家主席と常に連絡を取り合っている。二国間の首脳会談に加え、私たちは国際的なイベントの縁で会い、定期的に電話やビデオ会議で相互の関心事について話し合っている。これにより、最も困難な状況であっても、あらゆる問題の解決策を見出すことが可能となり、二国間および国際的な議題におけるすべての緊急課題を個人的にコントロールすることができる。
Конечно же, приоритетной для нас была и остаётся тематика торгово-экономического взаимодействия, что вполне естественно, учитывая, что Китай прочно занимает позицию ведущего внешнеторгового партнёра нашей страны. Наши государства слаженными усилиями удерживают высокую динамику взаимной торговли, которая по итогам прошлого года выросла на 30 процентов, установив новый рекорд – свыше 185 миллиардов долларов. И нам по силам уже в текущем году преодолеть знаковую отметку в 200 миллиардов долларов. 貿易と経済交流は、これまでも、そしてこれからも私たちにとって優先事項であり、中国がわが国の主要な対外貿易相手国として確固たる地位を占めていることを考えれば、それは当然のことである。協調的な努力により、両国は相互貿易の高いダイナミクスを維持し、昨年末には30%の成長を遂げ、1850億ドル以上という新記録を樹立した。そして、今年はすでに2,000億ドルという画期的な大台を突破する可能性があるのである。
В Совместном заявлении о плане развития ключевых направлений экономического сотрудничества до 2030 года поставлена задача кратно нарастить объём торговли товарами и услугами, углубить связи по восьми стратегическим направлениям, прежде всего в финансовой, в промышленно-технологической и транспортно-логистической областях. Правительства России и Китая, деловые круги двух наших стран должны без раскачки приступить к практической проработке положений Заявления и согласовать комплекс мер по их реализации, насыщенный конкретными взаимовыгодными инициативами и проектами. 2030年までの経済協力の主要分野の発展計画に関する共同声明では、財・サービスの貿易を大幅に拡大し、8つの戦略分野、まず金融、産業技術、輸送・物流分野で関係を深めるという目標が掲げられている。ロシアと中国の政府、そして両国の経済界は、遅滞なく声明の条項を実際に検討し、その実施に向けた一連の方策に合意し、具体的な互恵的な取り組みやプロジェクトを盛り込むべきである。
Серьёзным стимулом для развития торгово-инвестиционного сотрудничества является расширение практики расчётов между нашими странами в национальных валютах. По итогам первых трёх кварталов прошлого года доля рубля и юаня во взаимных коммерческих операциях достигла 65 процентов и продолжает расти, что позволяет нам обезопасить взаимную торговлю от влияния третьих стран и негативных тенденций на мировых валютных рынках. 貿易・投資協力の発展にとって重大な刺激となるのは、両国間の通貨による決済の拡大である。二国間の商取引に占めるルーブルと人民元の比率は、昨年第13四半期に65%に達し、現在も増加している。 これにより、我々は第三国の影響や世界の通貨市場のマイナス傾向から相互貿易を守ることができる。
Естественно, в ходе переговоров была подробно рассмотрена тематика сотрудничества в энергетике, которое продвигается хорошими темпами. Китай вышел в лидеры по импорту российской нефти, при этом Россия готова наращивать бесперебойные нефтяные поставки на нужды китайской экономики. もちろん、今回の会談では、順調に進んでいるエネルギー協力についても詳しく触れられた。中国はロシアの石油の輸入を主導しており、ロシアは中国経済のニーズを満たすために石油の安定供給を増やすことを望んでいる。
Широкие перспективы для российско-китайского сотрудничества открываются и в газовой сфере. В 2022 году Россия почти в полтора раза увеличила подачу этого топлива в КНР по магистральному трубопроводу «Сила Сибири», причём «Газпром» шёл навстречу пожеланиям китайских коллег и выполнял дополнительные поставки сверх контрактных обязательств, что, безусловно, говорит о нашей компании как об ответственном поставщике и надёжном партнёре. ガス分野でも、ロシアと中国の協力に幅広い展望が開けている。2022年、ロシアはPower of Siberiaパイプラインを通じて中国へのガス供給をほぼ倍増させ、ガスプロムは中国側の希望に応え、契約上の義務を超える追加供給を行ったが、これはわが社が責任あるサプライヤーであり信頼できるパートナーであることを示している。
Дальнейшему росту экспорта российского газа в КНР будет способствовать выполнение заключённого в январе межправсоглашения о прокладке дальневосточного газового маршрута, а также реализация инициативы о строительстве газопровода «Сила Сибири – 2» через территорию Монголии. Мы подробно говорили об этом, с монгольской стороной у нас все договорённости достигнуты: это по году будет 50 миллиардов кубических метров газа. Упомяну и о том, что Россия занимает четвёртое место по поставкам в Китай сжиженного газа, и, конечно, поставки СПГ в обозримой перспективе будут расширяться. ロシアの中国向けガス輸出のさらなる拡大は、1月に締結された極東ガスルート敷設に関する政府間協定の実施と、モンゴルを経由するシベリア第2電力ガスパイプラインの建設構想によって促進されるでしょう。モンゴル側とは、年間500億立方メートルのガスを供給することで合意している。また、ロシアは中国にとって第4位の液化天然ガス供給国であり、もちろんLNGの供給は当分増えるだろう。
Успешно продвигается взаимодействие по мирному атому. Россия помогает строить атомные электростанции на китайской территории: работы по возведению блоков VII и VIII Тяньваньской АЭС и блоков III и IV АЭС «Сюйдапу» идут по графику. Укрепить партнёрство в этой сфере позволит реализация подписанной в рамках визита «Росатомом» и Агентством по атомной энергии Китая Программы долгосрочного сотрудничества. 平和的原子力エネルギーに関する協力は順調に進んでいる。天湾原子力発電所の7号機と8号機、許田浦原子力発電所の3号機と4号機は予定通りに建設されている。今回の訪問でロスアトムと中国原子力庁が署名した長期協力計画の実施は、この分野でのパートナーシップを強化するものである。
Важное значение придаём дальнейшему укреплению двусторонней промышленной кооперации. Китайские автоконцерны успешно работают на российском рынке, расширяют своё присутствие. Осуществляются крупные совместные проекты в гражданском авиа- и вертолётостроении, в цветной металлургии, в освоении космоса, биотехнологиях и фармацевтике, других наукоёмких областях. 私たちは、二国間の産業協力をさらに強化することを重要視している。中国の自動車会社はロシア市場での事業に成功し、その存在感を高めている。民間航空機やヘリコプターの建設、非鉄冶金、宇宙開発、バイオテクノロジーや製薬などのハイテク分野でも大規模な共同プロジェクトが実施されている。
Стратегическое направление российско-китайского партнёрства – это сельское хозяйство. Взаимная торговля агропродукцией растёт высокими темпами – в прошлом году более чем на 41 процент. Имеются возможности для существенного наращивания экспорта в КНР мяса, зерна и других категорий товаров. ロシアと中国のパートナーシップの戦略的な分野は農業である。農産物の相互貿易は急速に伸びており、昨年は41%以上でした。肉や穀物など、中国への輸出を大幅に増やすチャンスもある。
Отмечу в этом контексте, что Россия и Китай в целом намерены активно развивать международные транспортно-логистические коридоры. Идея в том, чтобы интенсивнее задействовать потенциал Транссибирской и Байкало-Амурской железнодорожных магистралей, Северного морского пути, многополосных трансазиатских автодорог, совместно гарантировать их стабильное функционирование, повышать эффективность перевозок грузов и пассажиров. また、ロシアと中国は、国際的な輸送・物流回廊の整備を積極的に進めている。シベリア鉄道、バイカル・アムール鉄道、北洋航路、マルチレーンのアジア横断高速道路などの潜在力をさらに活用し、これらの安定した運行を共同で保証し、貨物・旅客輸送の効率を高めることである。
Для обеспечения возрастающих объёмов встречных грузопотоков увеличиваем пропускную способность погранпереходов, последовательно расширяем приграничную инфраструктуру. Так, в прошлом году введены в эксплуатацию два новых трансграничных моста – автомобильный в районе Благовещенска и железнодорожный в Еврейской автономной области России. 国境を越える貨物輸送量の増加に対応するため、国境通過地点の容量を増やし、国境インフラを一貫して拡張している。例えば昨年は、ブラゴヴェシチェンスク近郊の道路橋とロシア・ユダヤ自治区の鉄道橋という2つの新しい国境橋が稼働した。
Традиционно многоплановый характер носит двустороннее гуманитарное взаимодействие. После снятия антиковидных ограничений начинают постепенно возвращаться к привычной высокой динамике культурные, научные, образовательные и туристические обмены, которые на деле способствуют дальнейшему углублению дружбы, взаимопонимания и искренних симпатий между российскими и китайскими гражданами. 二国間の人道的協力は、伝統的に多面的なものである。反中国的な規制が撤廃された後、文化、科学、教育、観光の交流は徐々に元の高いダイナミクスを取り戻し始め、それは実際、ロシアと中国の市民の友好、相互理解、心からの思いやりをさらに深めることに寄与している。
Напомню, что 2022–2023 годы объявлены в наших странах Годами российско-китайского сотрудничества в области физической культуры и спорта. Реализуется план мероприятий – их свыше 600, – охватывающий сферы массового, детско-юношеского и студенческого спорта, спортивной науки, спорта высших достижений и паралимпийского спорта. 2022年から2023年にかけて、両国で「ロシアと中国の身体文化・スポーツ協力の年」が宣言されたことを思い出してください。私たちは、大衆スポーツ、青少年スポーツ、大学スポーツ、スポーツ科学、エリートスポーツ、パラリンピックスポーツをカバーする600以上の行動計画を実行している。
И конечно, ждём делегацию китайских спортсменов весной следующего года в Казани на I Международном мультиспортивном турнире «Игры будущего» по инновационным видам спорта. В этих соревнованиях физическая активность сочетается с цифровыми и научными элементами. Речь идёт о весьма перспективной, привлекающей молодёжь инициативе, которую мы могли бы вместе продвигать с китайскими друзьями и в этой связи предложили им выступить хозяевами вторых этих Игр у себя в стране. そしてもちろん、来春カザンで開催される革新的スポーツの第1回国際マルチスポーツ大会「Games of the Future」で、中国の選手団を待ち望んでいる。この大会は、身体的な活動にデジタルや科学の要素を組み合わせたものである。私たちは、若い人たちにアピールする非常に有望な取り組みであり、中国の友人たちと一緒に推進することができると話している。
При обсуждении актуальных международных и региональных проблем констатировали с Председателем КНР, что по большинству из них взгляды России и Китая совпадают или очень близки. 現在の国際問題や地域問題について話し合う中で、我々は中華人民共和国の議長とともに、ロシアと中国がその大部分について同じか非常に似た見解を持っていることを表明した。
Был отмечен рост напряжённости во многих регионах мира, накопление конфликтного и кризисного потенциала в глобальной политике и экономике. Мы видим, что расширяется практика применения нелегитимных, политически мотивированных санкций и прочих ограничений, использования других средств несправедливой конкуренции в экономической борьбе. 我々は、世界の多くの地域で緊張が高まり、世界の政治と経済において紛争と危機の可能性が蓄積されていることを指摘した。経済闘争において、非合法で政治的動機に基づく制裁やその他の制限、不公正な競争手段の使用が増加していることを我々は見ている。
Нарушаются, казалось бы, незыблемые принципы: невмешательство во внутренние дела, права стран на суверенную модель развития, свобода торговли, доступ к современным технологиям и даже к образованию. И в этом контексте Россия и Китай решительно выступают против того, чтобы любые государства или блоки наносили ущерб законным интересам других стран с целью получения военных, политических и экономических преимуществ. 内政不干渉、主権開発モデルに対する各国の権利、貿易の自由、近代技術へのアクセス、さらには教育など、一見すると不可侵の原則が侵されているのだ。そしてこの文脈で、ロシアと中国は、軍事的、政治的、経済的な利点を得るために他国の正当な利益を害するいかなる国家やブロックにも強く反対している。
Безусловно, мы не обошли вниманием ситуацию вокруг Украины. Полагаем, что многие из положений выдвинутого Китаем мирного плана созвучны российским подходам и могут быть взяты за основу для мирного урегулирования, когда к нему будут готовы на Западе и в Киеве. Однако пока такой готовности с их стороны мы не наблюдаем. Более того, только что мне сообщили: в то время пока мы с Председателем обсуждали вопрос возможности реализации китайского плана мирного урегулирования, – а Председатель КНР уделил большое внимание своим мирным инициативам в ходе нашей вчерашней беседы с глазу на глаз, – стало известно, что Великобритания устами заместителя главы министерства обороны этой страны объявила не только о поставках танков на Украину, но и снарядов с обеднённым ураном. もちろん、私たちはウクライナを取り巻く状況を看過しているわけではない。中国が提示した和平案の条項の多くは、ロシアのアプローチに沿ったものであり、欧米とキエフの準備が整えば、和平交渉の基礎となり得ると考えている。しかし、今のところ、彼らからそのような意欲は見られない。さらに、私と大統領が中国の平和構想の実現の可能性について話し合っているときに、(昨日の対談で中国の大統領は平和構想に大きな関心を寄せていたが)英国が国防副大臣を通じてウクライナへの戦車だけでなく劣化ウラン弾の供給も表明したことが明らかになったという知らせを受けたところだ。
Похоже, что Запад действительно решил воевать с Россией до последнего украинца – уже не на словах, а на деле. Но хотел бы в этой связи отметить, что если всё это будет происходить, то соответствующим образом Россия вынуждена будет реагировать. Имею в виду, что коллективный Запад начинает применять уже оружие с ядерным компонентом. 欧米は本当に最後のウクライナまでロシアと戦うことを決意したようだ--言葉ではなく、行動で。しかし、この点で注意したいのは、もしこのようなことが起これば、ロシアもそれなりの反応をせざるを得ないということだ。つまり、集団的な西側諸国が核の要素を持つ武器を使い始めるということである。
Подчеркну при этом, что Россия и Китай проводят независимую и самостоятельную внешнюю политику. Мы солидарно работаем над формированием более справедливого и демократического многополярного мироустройства, которое должно опираться на центральную роль ООН, её Совета Безопасности, международное право, цели и принципы Устава ООН. 私は、ロシアと中国には独立した自律的な外交政策があることを強調したい。私たちは、国連とその安全保障理事会の中心的役割、国際法、国連憲章の目的と原則に基づくべき、より公正で民主的な多極的世界秩序に向けて、連帯して取り組んでいるのである。
Считаем важным и далее поддерживать плотную координацию в рамках Шанхайской организации сотрудничества и БРИКС, работать в связке в «Группе двадцати», АТЭС и на многих других многосторонних площадках и, конечно же, продолжать усилия по сопряжению интеграционных процессов в рамках Евразэс и китайской инициативы «Один пояс, один путь» с прицелом на формирование в перспективе большого евразийского партнёрства. 私たちは、上海協力機構やBRICSの中で緊密な連携を維持し、G20APECなど多くの多国間プラットフォームと連携し、もちろんユーラシア経済共同体内の統合プロセスや中国のイニシアチブ「一帯一路」を、将来的に素晴らしいユーラシアパートナーシップを形成するという観点から結びつける努力を続けることが重要であると考えている。
В заключение хотел бы ещё раз поблагодарить господина Си Цзиньпина и всех китайских друзей за продуктивную совместную работу, выразить уверенность, что достигнутые в ходе визита договорённости послужат дальнейшему укреплению российско-китайской дружбы, будут способствовать благополучию и процветанию наших стран и народов. 最後に、習近平氏をはじめとする中国の友人たちの生産的な共同作業に改めて感謝するとともに、今回の訪問で得られた合意が、ロシアと中国の友好をさらに強化し、両国と国民の幸福と繁栄を促進するために役立つと確信していることを表明したいと思いる。
Благодарю вас за внимание. ご清聴ありがとうございました。
Си Цзиньпин (как переведено): Уважаемый Президент Путин, дорогие друзья из прессы, добрый вечер! 習近平(通訳として): プーチン大統領閣下、親愛なる報道関係者の皆様、こんばんは。
Очень рад вместе с Президентом Путиным встретиться с вами. プーチン大統領とお会いできたことを大変うれしく思いる。
Прежде всего хотел бы поблагодарить Президента Путина за оказанное мне и китайской делегации традиционное гостеприимство и тёплый приём. Спустя три года я вновь нахожусь в Москве с моим первым после переизбрания на пост Председателя КНР зарубежным визитом и государственным визитом в Россию. まず、私と中国代表団に伝統的なもてなしと温かい歓迎をしてくださったプーチン大統領に感謝したい。私は、中華人民共和国主席に再選された後、初めての外国訪問、そして初めてのロシアへの国賓訪問で、3年ぶりに再びモスクワに来ている。
В течение десяти лет мы с Президентом Путиным поддерживаем плотные связи, находимся в контакте по стратегическим вопросам и стимулируем плодотворное стратегическое взаимодействие двух стран. プーチン大統領と私は10年間、緊密な関係を維持し、戦略的な問題について連絡を取り合い、両国の実りある戦略的協力を育んできた。
Только что у нас состоялись весьма откровенные, дружеские и продуктивные переговоры с Президентом Путиным. Был обмен мнениями по двусторонней повестке, а также актуальным вопросам международного, регионального масштаба, представляющим взаимный интерес. Достигнут целый ряд новых важных договорённостей. このたび、プーチン大統領と非常に率直で友好的、かつ生産的な会談を行った。私たちは、二国間の議題だけでなく、相互の関心事である国際的、地域的な話題の問題についても意見交換を行った。多くの重要な新しい合意がなされた。
Мы подписали Совместное заявление об углублении отношений всеобъемлющего партнёрства и стратегического взаимодействия, вступающих в новую эпоху, и Совместное заявление о плане развития ключевых направлений китайско-российского экономического сотрудничества на период до 2030 года, обозначили план дальнейшего развития двусторонних отношений и сотрудничества по всем направлениям на ближайшую перспективу. Был подписан солидный пакет документов о сотрудничестве. 我々は、新しい時代に入った包括的パートナーシップと戦略的協力の深化に関する共同声明と、近い将来におけるあらゆる分野における二国間関係と協力のさらなる発展のための計画を概説する、2030年までの中ロ経済協力の主要分野の発展計画に関する共同声明に署名した。協力文書の強固なパッケージが署名された。
Мы с Президентом Путиным вместе подытожили результаты развития двусторонних отношений за последние десять лет и сошлись во мнении, что китайско-российские связи далеко вышли за рамки двусторонних отношений и имеют жизненно важное значение для современного миропорядка и судьбы человечества. プーチン大統領とともに、過去10年間の二国間関係発展の成果を総括し、中露関係は二国間関係をはるかに超え、現代の世界秩序と人類の運命にとって極めて重要であることに同意した。
Двусторонние контакты и сотрудничество продвигаются по всем направлениям на принципах добрососедства, дружбы и взаимовыгодного сотрудничества. 二国間の接触と協力は、善隣、友好、互恵協力の原則に基づき、あらゆる分野で進んでいる。
В новых исторических условиях стороны будут с широким кругозором и дальновидностью оценивать и развивать китайско-российские отношения, вносить тем самым больший вклад в дело прогресса человечества. 新たな歴史的条件の下、両当事者は広い視野と先見性をもって中露関係を評価・発展させ、人類の進歩により大きく貢献することになる。
С начала прошлого года плодотворно осуществляется многогранное практическое сотрудничество между Китаем и Россией, которое отличается большой устойчивостью, взаимодополняемостью и стойкостью. 昨年来、中国とロシアの多面的な実務協力は、大きな持続性、補完性、弾力性を持って実り多いものとなっている。
За десять лет товарооборот вырос на 116 процентов, что позволило не только существенно упрочить материальную базу двусторонних отношений, но и придать значимый импульс социально-экономическому развитию обеих стран. Такой ценный результат нам даётся нелегко. 10年以内に貿易額は116%増加し、二国間関係の物質的基盤を大幅に強化しただけでなく、両国の社会経済発展に大きな弾みをつけた。このような価値ある結果は、我々にとって容易なことではない。
Мы с Президентом Путиным договорились активизировать комплексное планирование на высшем уровне, наращивать торговлю энергоносителями, ресурсами и электротехнической продукцией, повышать стрессоустойчивость цепочек производства и поставок с двух сторон, расширять кооперацию в области информационных технологий, цифровой экономики, сельского хозяйства и торговли услугами, добиваться взаимодополняющего и параллельного развития традиционной торговли с растущими отраслями, продолжать обеспечивать бесперебойность трансграничной логистики и перевозок. プーチン大統領と私は、最高レベルでの包括的な計画の強化、エネルギー、資源、電気製品の貿易の強化、双方の生産とサプライチェーンの弾力性の向上、情報技術、デジタル経済、農業、サービス貿易における協力の拡大、成長産業と伝統的貿易の補完的かつ並行的発展の実現、国境を越えた物流と技術の移転をシームレスに継続させることに合意した。
Мы единогласно отметили, что важно укреплять основы культурно-гуманитарных обменов, наращивать побратимские связи между провинциями и областями, активизировать контакты городов-побратимов, эффективно проводить перекрёстные годы сотрудничества в области физической культуры и спорта, создавать благоприятные условия для взаимных поездок граждан двух стран. 文化・人道的交流の基盤を強化し、省・地域間のツイニングを強化し、姉妹都市の接触を強化し、体育・スポーツにおける年度を超えた協力を効果的に実施し、両国市民の相互旅行に有利な条件を整えることが重要であることを満場一致で指摘した。
Было констатировано, что Китай и Россия как постоянные члены Совбеза ООН будут и дальше вместе с международным сообществом решительно отстаивать основополагающие нормы международных отношений, базирующиеся на целях и принципах Устава ООН. 中国とロシアは、国連安全保障理事会の常任理事国として、国際社会とともに、国連憲章の目的と原則に基づく国際関係の基本的規範を断固として守り続けていくことが表明された。
Будем укреплять сотрудничество в рамках многосторонних структур, включая ШОС, БРИКС, «большую двадцатку», продвигать подлинную многосторонность и способствовать восстановлению мировой экономики в постпандемийный период, наращивать конструктивную силу в формировании многополярного мира и совершенствовании системы глобального управления, вносить больший вклад в дело глобальной продовольственной безопасности, энергетической безопасности и бесперебойности производственно-поставочных цепочек, прилагать совместные усилия к формированию сообщества единой судьбы человечества. SCO、BRICSG20などの多国間構造における協力を強化し、真の多国間主義を推進し、世界経済のパンデミック後の回復に貢献し、多極化世界の構築とグローバルガバナンスの改善において建設的な力を蓄え、世界の食料安全保障、エネルギー安全保障、サプライチェーンの安全保障に一層貢献し、国家共同体を構築するために共同努力をする。
В прошлом месяце в Китае опубликована позиция Китая по политическому урегулированию украинского кризиса. Хотел бы подчеркнуть, что по украинскому урегулированию мы неуклонно руководствуемся целями и принципами Устава ООН, придерживаемся объективной и беспристрастной позиции, активно содействуем примирению и восстановлению переговоров. Наша позиция основана на самой сути вопроса и правде. Мы всегда за мир и диалог, твёрдо стоим на верной стороне истории. 先月、中国はウクライナ危機の政治的解決に関する中国の立場を発表した。ウクライナ解決について、我々は国連憲章の目的と原則を堅持し、客観的で公平な立場を維持し、和解と交渉の回復を積極的に推進することを強調したい。私たちの立場は、問題の本質と真実に基づくものである。私たちは、常に平和と対話のために、歴史の正しい側にしっかりと立っている。
Я рассчитываю на поддержание тесных контактов с Президентом Владимиром Путиным в самых разных формах на благо динамичного и долгосрочного развития китайско-российских отношений. 中ロ関係のダイナミックで長期的な発展のために、プーチン大統領とさまざまな形で緊密に連絡を取り合うことを楽しみにしている。
Благодарю за внимание. ご清聴ありがとうございました。

 

・2023.03.21 Российско-китайские переговоры

Выступления на государственном обеде от имени Президента России Владимира Путина в честь Председателя КНР Си Цзиньпина プーチン大統領を代表し、中国の習近平国家主席に敬意を表し、晩餐会のスピーチを行う。
21 марта 2023 года 20:35 2023年3月21日 20:35
В.Путин: Уважаемый господин Председатель! Дорогие друзья! ウラジミール・プーチン:大統領閣下へ 親愛なる友人の皆様!
Хотел бы ещё раз искренне и от всего сердца поприветствовать в Москве Председателя Китайской Народной Республики и всех наших китайских друзей. 中華人民共和国国家主席をはじめ、モスクワにいらっしゃる中国の友人の皆様を、改めて心から暖かくお迎えしたいと思います。
Мы высоко ценим, что сразу после своего переизбрания на пост главы Китайского государства товарищ Си Цзиньпин приехал именно в Россию с государственным визитом. Это наглядное подтверждение особого характера российско-китайского партнёрства, которое выстраивается на взаимном уважении и учёте интересов друг друга. 中国の国家元首に再選された直後、習近平同志がロシアを公式訪問されたことを、私たちは高く評価しています。これは、ロシアと中国のパートナーシップが、相互尊重と互いの利益への配慮の上に築かれた特別なものであることを明確に証明するものです。
Подчеркну: Россию связывают с Китаем по-настоящему крепкие узы добрососедства, сотрудничества и дружбы между нашими народами. Мы стремимся к всемерному развитию двусторонних отношений, и такой же настрой проявляется – мы видим это – со стороны наших китайских друзей. 私は、ロシアと中国には、両国民の間に善隣、協力、友好という真に強い絆があることを強調したいと思う。我々は、あらゆる可能な方法で二国間関係を発展させようと努力しており、中国の友人も同じ態度を示している。
В этой связи могу с удовлетворением констатировать высокую результативность переговоров, состоявшихся у нас с Председателем КНР. Мы только что подписали заявления об углублении двусторонних отношений, вступающих в новую эпоху, и о развитии экономического сотрудничества до 2030 года. Обозначили горизонты нашего партнёрства, поставили масштабные, в хорошем смысле дерзкие цели и задачи на перспективу. この点で、私は中華人民共和国の国家主席との会談が高い成果を上げたことに満足感をもって留意することができる。私たちは、二国間関係の深化、新時代の到来、そして2030年までの経済協力の発展に関する声明に署名したところです。私たちはパートナーシップの地平を描き、野心的で、良い意味で大胆な目標や目的を将来に向けて設定しました。
Дорогие друзья! 親愛なる友人の皆様!
Прогресс, достигнутый в двусторонних связях за последнее десятилетие, впечатляет. Как уже не раз говорилось, российско-китайские отношения находятся на наивысшем за всю историю уровне и без преувеличения являются образцовыми. 過去10年間の二国間関係の進展は、印象的なものでした。繰り返し言われているように、ロシアと中国の関係は史上最高のレベルにあり、誇張することなく、模範的なものである。
Это пример того, как должны взаимодействовать мировые державы, постоянные члены Совета Безопасности ООН, несущие особую ответственность за поддержание стабильности и безопасности на планете. 世界の安定と安全を維持する特別な責任を負う国連安全保障理事会の常任理事国である世界の大国が、どのように交流すべきかを示す例である。
В «Книге перемен», которая является настоящим сводом мудрости китайской цивилизации, говорится: если у людей есть общность в душе, то их общая сила настолько велика, что может разрубить самый крепкий металл, преодолеть любую преграду. 中国文明の知恵が凝縮された『変法書』には、「もし人々が魂の中に共同体を持てば、その共通の力は非常に大きく、最も強い金属を砕き、どんな障害も克服することができる」とあります。
Уверен, что у российско-китайского сотрудничества поистине безграничные возможности и перспективы и мы продолжим действовать в унисон, крепить партнёрство на благо и во имя интересов народов России и Китая. ロシアと中国の協力には、本当に無限の可能性と展望があると確信しています。私たちは、ロシアと中国の人々の利益のために、パートナーシップを強化し、一致団結して行動し続けます。
Предлагаю тост за здоровье нашего друга, уважаемого Председателя Китайской Народной Республики господина Си Цзиньпина, за здоровье всех членов китайской делегации, за углубление российско-китайского всеобъемлющего партнёрства и стратегического взаимодействия, за процветание и благополучие народов России и КНР!  私たちの友人である尊敬すべき中華人民共和国主席、習近平氏の健康と、中国代表団のすべてのメンバーの健康を祈り、ロシアと中国の包括的パートナーシップと戦略的協力の深化、そしてロシアと中国の繁栄と福祉を願って、乾杯を捧げます。 
Гань бэй! [До дна!] 乾杯(笑]
Си Цзиньпин (как переведено): Уважаемый Президент Путин! Дамы и господа! Дорогие друзья! 習近平(翻訳したもの): 親愛なるプーチン大統領!皆さん!親愛なる友人たちよ!
Очень приятно по приглашению Президента Путина нанести государственный визит в Российскую Федерацию, прибыть в Россию через три года. Это доставляет мне огромную радость. プーチン大統領の招きでロシア連邦を国賓訪問し、3年ぶりにロシアに来ることができ、大変うれしく思っています。大きな喜びを感じています。
В этой связи я хотел Вам, господин Президент, и дорогим российским друзьям выразить сердечную признательность за радушный приём. この点で、大統領閣下、そして親愛なるロシアの友人たちが私を温かく迎えてくれたことに、心から感謝の意を表したいと思います。
Десять лет назад впервые я в качестве Председателя КНР совершил государственный визит в Россию, и вместе с Президентом Путиным мы открыли новую страницу в развитии китайско-российских отношений. 10年前、私は中華人民共和国の国家主席として初めてロシアを公式訪問し、プーチン大統領とともに、中露関係の発展に新たなページを開きました。
За эти годы вместе в духе равноправия, доверия, взаимоподдержки, общего процветания, дружбы из поколения в поколение мы вместе прилагаем максимум усилий к усилению нашего политического доверия, расширению сотрудничества, усилению международного сотрудничества и координации. Вместе мы наполнили новым содержанием наши отношения в соответствии с зовом новой эпохи. この数年間、私たちは共に、平等、信頼、相互支援、共通の繁栄、世代を超えた友情の精神に基づき、政治的信頼の強化、協力の拡大、国際協力と協調の強化に努めてきた。共に、私たちは、新しい時代の要請に従って、私たちの関係に新しい意味を与えてきた。
Перед лицом изменения мира, времени и истории Китай и Россия сумели сохранить стратегическую выдержку. Вместе мы уверенно и спокойно ответили на вызовы времени. Наши отношения стали более крепкими, зрелыми, устойчивыми. Мы показали пример – образцовый пример – отношений между великими державами. 世界、時代、歴史が変化する中で、中国とロシアは戦略的な冷静さを保つことができた。私たちは共に、自信に満ち、冷静に時代の課題に対応してきた。私たちの関係は、より強く、より成熟し、より安定したものとなった。私たちは、大国間の関係において模範となるような例を示してきた。
В ходе настоящего визита мы провели искренние и дружественные переговоры с Президентом Путиным, достигли важной договорённости. Только что мы подписали Совместное заявление – принято решение о дальнейшем углублении китайско-российских отношений всеобъемлющего стратегического партнёрства и взаимодействия. Намечены планы на развитие наших отношений на будущие перспективы. 今回の訪問で、私たちはプーチン大統領と誠実で友好的な会談を行い、重要な合意に達しました。私たちは共同声明に署名したところです。包括的な戦略的パートナーシップと相互作用という中露関係をさらに深化させることが決定されたのです。私たちは、今後の関係発展のための計画をまとめました。
Я убеждён: при наших совместных усилиях всё крепнут и крепнут китайско-российские отношения, которые принесут всё больше блага нашим народам и всё больший вклад для процветания и прогресса человечества. 私は、我々の共同努力により、中露関係はますます強くなり、両国の国民に大きな利益をもたらし、人類の繁栄と進歩に大きく貢献するものと確信している。
Предлагаю тост за дальнейшее развитие китайско-российских отношений стратегического партнёрства и взаимодействия в новую эпоху, за процветание, развитие и счастье наших народов, за дружбу между нашими народами из поколения в поколение, за здоровье Президента Путина и всех присутствующих! 新時代における中露関係の戦略的パートナーシップと協力のさらなる発展、両国民の繁栄、発展、幸福、世代を超えた友情、そしてプーチン大統領と出席者全員の健康を祈念して、乾杯の音頭をとらせていただきます!
Выпьем до дна! 乾杯!

 

・2023.03.23 Российско-китайские переговоры

Российско-китайские переговоры 露中協議

В Кремле прошли переговоры Владимира Путина с Председателем Китайской Народной Республики Си Цзиньпином.

ウラジーミル・プーチンと中華人民共和国の習近平国家主席がクレムリンで会談を行った。
21 марта 2023 года 18:35 2023年3月21日 18:35
После церемонии официальной встречи, прошедшей в Георгиевском зале Большого Кремлёвского дворца, началась беседа главы Российского государства с Председателем КНР. Позже российско-китайские консультации продолжились в расширенном составе. クレムリン大宮殿の聖ジョージホールで行われた公式会談の儀式に続き、ロシアの国家元首は中国の国家主席との対話を開始した。 その後、ロシアと中国の協議は拡大された形式で続けられた。
Обсуждались актуальные вопросы дальнейшего развития отношений всеобъемлющего партнёрства и стратегического взаимодействия между Россией и Китаем, углубления сотрудничества на международной арене. 両者は、ロシアと中国の包括的パートナーシップと戦略的相互作用のさらなる発展、および国際舞台での協力の深化に関する緊急課題について話し合った。
В рамках государственного визита Си Цзиньпина в Россию подписан пакет документов, в частности Совместное заявление об углублении отношений всеобъемлющего партнёрства и стратегического взаимодействия, вступающих в новую эпоху, и Совместное заявление о плане развития ключевых направлений российско-китайского экономического сотрудничества до 2030 года. 習近平のロシア訪問の一環として、包括的パートナーシップと戦略的相互作用の新時代への深化に関する共同声明と、2030年までの露中経済協力の主要分野の発展計画に関する共同声明など、一連の文書に署名した。
Завершив переговоры, главы государств сделали заявления для СМИ. 会談終了後、各国首脳はメディアに対して声明を発表した。
Позже в Грановитой палате состоялся государственный обед от имени Президента Российской Федерации в честь Председателя Китайской Народной Республики. その後、ロシア連邦大統領を代表して、中華人民共和国国家主席に敬意を表する国賓晩餐会がファセット・ルームで開催された。
Си Цзиньпин находится в России по приглашению Владимира Путина с трёхдневным государственным визитом. Накануне, 20 марта, состоялась встреча лидеров двух стран. 習近平は、ウラジーミル・プーチンの招きで、3日間の国賓訪問でロシアを訪れている。前日の3月20日には、両首脳が会談を行った。
* * * * * *
В.Путин: Уважаемый господин Председатель! Уважаемые коллеги! Друзья! ウラジミール・プーチン:親愛なる大統領閣下!親愛なる同僚の皆さん!
Программа государственного визита Председателя КНР господина Си Цзиньпина в Российскую Федерацию весьма насыщенна. 習近平主席のロシア連邦への公式訪問のプログラムは非常に充実している。
Вчера вечером мы обстоятельно обсудили весь комплекс вопросов двусторонней повестки дня, актуальные международные и региональные проблемы. 昨夜は、二国間の議題と現在の国際・地域問題の全範囲について徹底的に議論した。
Смотрите также こちらもご覧ください。
Перечень документов, подписанных в рамках государственного визита в Российскую Федерацию Председателя Китайской Народной Республики Си Цзиньпина 習近平国家主席のロシア連邦への公式訪問で署名された文書の一覧である。
21 марта 2023 года 2023年3月21日
Совместное заявление Российской Федерации и Китайской Народной Республики об углублении отношений всеобъемлющего партнёрства и стратегического взаимодействия, вступающих в новую эпоху 包括的パートナーシップと戦略的相互作用の新時代への深化に関するロシア連邦・中華人民共和国間の共同声明
21 марта 2023 года 2023年3月21日
Совместное заявление Президента Российской Федерации и Председателя Китайской Народной Республики о плане развития ключевых направлений российско-китайского экономического сотрудничества до 2030 года 2030年までの中ロ経済協力の主要分野の発展計画に関するロシア連邦大統領と中華人民共和国大統領による共同声明
21 марта 2023 года 2023年3月21日
На только что завершившихся переговорах в узком составе проведён весьма содержательный и откровенный обмен мнениями о перспективах дальнейшего развития российско-китайских связей и укреплении координации на мировой арене. 狭間での会談では、ロシアと中国の関係をさらに発展させ、グローバルな舞台で連携を強化するための見通しについて、非常に実質的で率直な意見交換がなされた。
И сейчас в расширенном составе – с участием делегаций – предстоит детально рассмотреть практические аспекты нашего взаимодействия в различных областях. 今度は、代表団の参加を得て、より広いフォーマットで、さまざまな分野における我々の協力の実際的な側面を詳細に検討することになる。
Напомню, что в декабре прошлого года, во время переговоров по видеосвязи с господином Си Цзиньпином, мы условились подумать над новыми целевыми ориентирами взаимодействия, причём не только в количественном, но и в качественном отношении. 昨年12月、習近平氏とのビデオリンクによる会談で、量的な面だけでなく質的な面でも新しい協力目標を検討することに合意したことを思い出す。
Результатом этой договорённости стала подготовка к нынешнему визиту двух важных концептуальных документов. Имею в виду Совместное заявление об углублении российско-китайских отношений всеобъемлющего партнёрства и стратегического взаимодействия, вступающих в новую эпоху, а также Совместное заявление о плане развития ключевых направлений российско-китайского экономического сотрудничества до 2030 года. この合意の結果、今回の訪日では2つの重要な概念文書が作成された。それは、「新しい時代に入ったロシアと中国の包括的パートナーシップと戦略的協力の深化に関する共同声明」と「2030年までのロシアと中国の経済協力の主要分野の発展計画に関する共同声明」である。
Эти два документа задают для правительств, деловых и общественных кругов наших стран ориентиры на перспективу, формируют долгосрочные цели по реализации стоящих перед нашими странами схожих задач всестороннего национального развития. この2つの文書は、両国の政府、ビジネス界、官界に前向きな方向性を与え、両国が直面する包括的な国家発展という同様の課題を実施するための長期目標を形成するものである。
Координирующую роль в обеспечении этой амбициозной задачи призван играть механизм регулярных встреч глав правительств, повестка дня которого охватывает все направления кооперации России и Китая. ロシアと中国の協力の全分野を網羅する定期首脳会議の議題は、この野心的な任務を確実に遂行するための調整的な役割を担っている。
Несмотря на последствия пандемии и санкционный прессинг, товарооборот в 2022 году достиг исторически рекордной отметки – 185 миллиардов долларов. Ожидается, что в нынешнем году Россия и Китай не только выйдут на объём торговли в 200 миллиардов долларов, о чём мы договаривались с нашими друзьями раньше – несколько лет назад, но и превзойдут этот рубеж. За год, как я уже говорил, товарооборот вырос более чем на 30 процентов. パンデミックと制裁圧力の影響にもかかわらず、2022年の貿易高は1850億ドルという歴史的な高水準に達した。今年、ロシアと中国は、数年前に友人たちと合意した2000億ドルの貿易高に達するだけでなく、それを上回ることが期待されている。1年間で、先ほど申し上げたように、貿易額は30%以上伸びているのである。
Дополнительные возможности для раскрытия потенциала наших экономик представляет сопряжение Евразэс и инициативы Председателя Китайской Народной Республики «Один пояс, один путь». ユーラシア経済共同体と中華人民共和国国家主席の一帯一路構想の連携は、両国の経済の潜在力を引き出すさらなる機会を提供することになるだろう。
В инвестиционной сфере сформирован масштабный пакет из 80 значимых и перспективных двусторонних проектов в различных областях на сумму порядка 165 миллиардов долларов. 投資においては、様々な分野における80の重要かつ有望な二国間プロジェクト(約1650億米ドル相当)の大規模パッケージが形成されている。
Расширяется энергетическое взаимодействие. Россия – стратегический поставщик в КНР нефти, природного газа, в том числе СПГ, угля, электроэнергии. По графику ведётся сооружение объектов ядерной энергетики. Российский бизнес в состоянии удовлетворить растущий спрос со стороны китайской экономики в энергоносителях как в рамках текущих проектов, так и тех, что сейчас находятся в процессе согласования. エネルギー協力は拡大している。ロシアは中国にとって、石油、LNGを含む天然ガス、石炭、電力の戦略的供給国である。原子力発電施設の建設は予定通り進んでいる。ロシアのビジネスは、進行中のプロジェクトと現在交渉中のプロジェクトの両方を通じて、中国経済によるエネルギー需要の増大に対応できる立場にある。
Совокупный объём поставок к 2030 году газа составит не менее 98 миллиардов метров кубических плюс 100 миллионов тонн сжиженного природного газа. Только что мы обсуждали хороший проект – это новый газопровод «Сила Сибири – 2» через Монголию. Практически все параметры этого соглашения согласованы. Это 50 миллиардов метров кубических газа надёжных, стабильных поставок из России. 2030年までのガスの供給量は、少なくとも980億立方メートルと1億トンの液化天然ガスを合わせたものになる。私たちは、モンゴルを通る新しいパイプライン「Power of Siberia-2」という良いプロジェクトについて話し合ったばかりである。ほぼすべてのパラメータが合意されている。ロシアから500億立方メートルの信頼できる安定したガス供給である。
Важно, что во взаимной торговле всё активнее используются национальные валюты. Следует и далее поощрять эту практику, а также расширять взаимное присутствие финансовых и банковских структур на рынках наших стран. Как я уже говорил, уже две трети товарооборота между нашими странами осуществляется в рублях и юанях. 相互の貿易において、自国通貨がますます使用されるようになることは重要である。我々はこの習慣を引き続き奨励し、我々の市場における金融機関や銀行機関の存在を拡大しなければならない。先ほども申し上げたように、両国間の貿易の3分の2はすでにルーブルと人民元で行われている。
Мы за использование китайских юаней в расчётах между Российской Федерацией и странами Азии, Африки, Латинской Америки. Уверен, эти формы расчётов будут развиваться между российскими партнёрами и их коллегами в третьих странах, как я уже сказал, в юанях. 我々は、ロシア連邦とアジア、アフリカ、ラテンアメリカの国々との間の決済に中国人民元を使用することに賛成である。私は、ロシアのパートナー企業と第三国のパートナー企業との間で、このような決済形態が発展していくことを確信している - 私が言ったように、人民元での決済である。
Углубляется промышленная кооперация. Есть хороший опыт сотрудничества в области гражданского авиастроения, судостроения, автомобильного производства. Готовы поддержать китайский бизнес в вопросе замещения производств покинувших Россию западных предприятий. 産業協力も深まっている。民間航空、造船、自動車生産での協力は良い経験である。私たちは、ロシアから撤退した欧米企業の生産設備に代わって、中国企業を支援する用意がある。
Опережающими темпами растёт торговля сельхозпродукцией. По итогам прошлого года её объём увеличился на 41,4 процента, а в стоимостном значении достиг отметки семь миллиардов долларов, причём рост был достаточно корректным с обеих сторон – на равные величины. 農産物の貿易は急速に拡大している。昨年、その量は41.4%増加し、金額では70億ドルに達したが、その成長は双方とも全く正しく、同額であった。
Профильные министерства и ведомства ведут работу по обеспечению стандартов качества поставляемой продукции, улучшению условий взаимного доступа продуктов питания. 関係省庁は、供給される商品の品質基準を確保し、食料品への相互アクセスの条件を改善するために取り組んでいる。
Всё это позволяет рассчитывать на дальнейший рост экспорта российского продовольствия на ёмкий китайский рынок, будет способствовать повышению уровня продовольственной безопасности обеих наших стран. これらのことから、巨大な中国市場へのロシアの食品輸出はさらに伸びると予想され、両国の食料安全保障のレベル向上に貢献することになる。
Залогом устойчивости нашего развития является обеспечение технологического суверенитета. Предлагаем пойти по пути совершенствования стратегических отраслевых партнёрств. Сложив наш богатый научный потенциал и производственные возможности, Россия и Китай могут стать мировыми лидерами в области информационных технологий, сетевой безопасности, искусственного интеллекта. 技術的な主権を確保することは、我々の発展の持続可能性の鍵である。私たちは、戦略的産業パートナーシップを改善する道を選ぶことを提案します。豊かな科学的潜在力と製造能力を組み合わせることで、ロシアと中国は、情報技術、ネットワーク・セキュリティ、人工知能の分野で世界のリーダーになることができる。
Диверсификации нашего взаимодействия, прежде всего в торгово-инвестиционной сфере, способствуют крепнущие связи по линии регионов. Именно Китай стал для нас ведущим партнёром в деле освоения хозяйственного потенциала Дальнего Востока. На сегодняшний день в рамках территорий опережающего развития, а также свободного порта Владивосток инвесторами из Китая реализуется 52 проекта общей стоимостью в 10,8 миллиарда долларов. 主に貿易と投資の分野で、私たちの交流を多様化することは、地域的な結びつきを強化することで容易になる。中国は、極東の経済的潜在力を開発する上で、私たちの主要なパートナーとなっている。これまでに中国の投資家は、先進開発地域とウラジオストク自由港の一部として、108億ドル相当の52のプロジェクトを実施した。
Всего между регионами России и Китая сложились 366 партнёрских пар, в том числе 135 – на уровне субъектов Федерации, 231 – по линии муниципалитетов. 59 субъектов Российской Федерации связаны с регионами Китайской Народной Республики соглашениями. Около 100 муниципальных образований имеют побратимов и партнёров в Китае. ロシアと中国の地域間には、ロシア連邦の構成団体レベルで135、自治体を通じて231の合計366のパートナーシップが確立されている。ロシア連邦の59の構成体は、協定によって中華人民共和国の地域と結ばれている。約100の市町村が中国に双子やパートナーを持つ。
Совершенствуется транспортно-логистическая инфраструктура. Наши страны объединяет протяжённая сухопутная граница, поэтому безусловным приоритетом остаётся формирование железнодорожных и автомобильных коридоров в направлении Китай – Европа и обратно через российскую территорию в целях обеспечения потребностей возрастающих грузо- и пассажироперевозок. 交通と物流のインフラは改善されている。両国は長い陸上国境で結ばれているため、増大する貨物・旅客輸送のニーズに応えるため、中国-ヨーロッパ方面とロシア領内を往復する鉄道・道路コリドーの形成が絶対的な優先事項となっている。
В прошлом году введены в июне в эксплуатацию автомобильный мост Благовещенск – Хэйхэ, а в ноябре – железнодорожный мост Нижнеленинское – Тунцзян. Запуск движения по мостам позволит сократить затраты и сроки транспортировки грузов между Россией и Китаем, расширить географию торговли и увеличить объёмы транзита со странами АТР. 昨年は、6月にブラゴベシチェンスク・ヘイヘ道路橋、11月にニジネリンスコエ・トンジャン鉄道橋が開通した。これらの橋の通行開始により、ロシアと中国間の貨物輸送のコストと時間の削減、貿易の地理的拡大、アジア太平洋諸国とのトランジット量の増加が可能となる。
Перспективным видим сотрудничество с китайскими партнёрами по освоению транзитного потенциала Северного морского пути. Как я уже сказал, мы готовы создать совместный рабочий орган по развитию Северного морского пути. 我々は、北方海路のトランジットポテンシャルの開発における中国のパートナーとの協力を有望視している。先ほども申し上げたように、我々は北方海路を開発するための共同作業組織を作る用意がある。
Восстанавливаются после пандемии туристические и молодёжные обмены, контакты в области науки, культуры, образования. В 2022 году в китайских университетах обучались 6,5 тысячи российских студентов, из которых 1,6 тысячи человек находились в КНР, остальные – на дистанционном обучении. В России проходили обучение свыше 37 тысяч студентов из КНР. С отменой ковидных ограничений рассчитываем на многократный прирост студенческих обменов. 観光や青少年交流、科学・文化・教育における接触は、パンデミックから回復しつつある。2022年、ロシアの学生6.5千人が中国の大学で学び、そのうち1.6千人は中国で、残りは遠隔で学んでいる。37,000人以上の中国からの留学生がロシアに留学していた。共産主義的な規制が撤廃されたことで、学生交流が何倍にも増えることが予想される。
В рамках проходящих сейчас перекрёстных годов физкультуры и спорта проведено более ста мероприятий. Особую значимость двусторонние спортивные связи приобретают в нынешних сложных условиях, когда олимпийское движение становится всё более политизированным, а западные страны пытаются использовать спорт в неблаговидных целях в качестве инструмента давления. Поддерживаем работу по созданию соответствующей спортивной ассоциации в рамках Шанхайской организации сотрудничества. 現在行われている体育・スポーツの学年を超えた交流では、100を超えるイベントが開催されている。オリンピック運動がますます政治化し、欧米諸国がスポーツを圧力の手段として悪用しようとしている現在の困難な状況において、二国間のスポーツ関係は特に重要である。私たちは、上海協力機構内に関連するスポーツ協会を設立するための活動を支援している。
Убеждён, что наше многоплановое, взаимовыгодное сотрудничество будет и далее крепнуть и динамично развиваться на благо народов наших стран. 私は、私たちの多面的で互恵的な協力関係が、両国の人々の利益のために、今後も強化され、ダイナミックに発展していくと確信している。
А сейчас, конечно, с удовольствием передаю слово нашему гостю и другу господину Си Цзиньпину – Председателю Китайской Народной Республики. それでは、ゲストであり友人でもある中華人民共和国国家主席、習近平氏にご挨拶をさせていただきます。
Си Цзиньпин (как переведено): Уважаемый господин Президент Путин! 習近平(通訳付き): プーチン大統領、ありがとうございます。
Хотел бы ещё раз поблагодарить Вас за приглашение посетить Россию с визитом. ロシア訪問のご招待をいただき、改めて感謝申し上げます。
При общих усилиях китайско-российские отношения демонстрируют здоровую и устойчивую динамику развития. Между нашими странами углубляется политическое взаимодоверие, приумножаются общие интересы, сближаются народы, поступательно развивается сотрудничество в торгово-экономическом, инвестиционном, энергетическом, культурно-гуманитарном и межрегиональном измерениях. 共通の努力により、中露関係は健全で持続的な発展のダイナミズムを示している。両国間の政治的信頼は深まり、共通の利益は増大し、人々は互いに近づき、貿易、経済、投資、エネルギー、文化、人道、地域間などの面で協力は着実に進展している。
Вчера во время нашей неформальной встречи и во время переговоров с премьер-министром Мишустиным и также во время наших переговоров в узком составе мы глубоко обменялись мнениями по вопросам сотрудничества. Расширяется постоянно наш охват в сфере сотрудничества. Были достигнуты заметные ранее результаты нашего сотрудничества. Реализуется успешно дальнейшее развитие взаимодействия. Только что Президент Путин упомянул об этом. 昨日の非公式会合、ミシュスチン首相との会談、また狭い範囲での交渉の中で、我々は協力問題に関して深い意見交換を行った。我々の協力の範囲は常に拡大している。我々は過去に協力において注目すべき成果を上げてきた。私たちの協力のさらなる発展は、成功裏に進行している。プーチン大統領からこのようなお話があった。
В Китае текущий год ознаменован началом всестороннего воплощения в жизнь духа ХХ съезда КПК. Будем ускорять формирование новой архитектоники развития, уделять приоритетное внимание высококачественному развитию, всесторонне продвигать китайскую модернизацию. 中国では、今年は第20回中国共産党大会の精神の包括的な実行が始まる年である。我々は、新しい発展のアーキテクチャーの形成を加速し、質の高い発展を優先させ、中国の近代化を包括的に推進していくつもりである。
Знаю, что в России стремительно реализуются национальные цели развития до 2030 года. Предлагаю укреплять координацию и взаимодействие для получения дополнительной отдачи от практического сотрудничества. ロシアが2030年までの国家開発目標を急速に実施していることは承知している。私は、実務的な協力からより多くの利益を得るために、協調と交流を強化することを提案する。
Господин Президент, готов вместе с Вами обозначить план развития двусторонних отношений и практического сотрудничества в интересах процветания и возрождения Китая и России. 大統領、私は、中国とロシアの繁栄と再生のために、二国間関係と実務的な協力関係を発展させる計画を策定するために、あなたと協力する用意がある。
На этом заканчивается моё вступительное слово. 以上で私の挨拶は終わりです。
Спасибо. ありがとうございました。
В.Путин: Спасибо большое, уважаемый господин Председатель. ウラジーミル・プーチン:ありがとうございました、大統領閣下。

 

 

 

 

ロシア首相との会談...は、ロシア政府のサイト

⚫︎ Правительство России

・2023.03.21 Встреча Михаила Мишустина с Председателем Китайской Народной Республики Си Цзиньпином

Встреча Михаила Мишустина с Председателем Китайской Народной Республики Си Цзиньпином ミハイル・ミシュスティン、中華人民共和国の習近平国家主席と会談
21 марта 2023 12:35 2023年3月21日 12:35
Встреча состоялась в рамках государственного визита Председателя КНР Си Цзиньпина в Россию. 会談は、中華人民共和国の習近平国家主席のロシアへの国賓訪問の枠内で行われた。
Изстенограммы: トランスクリプトより:
М.Мишустин: Приветствую Вас, уважаемый господин Си Цзиньпин! Рад встрече с Вами. Добро пожаловать в Дом Правительства Российской Федерации. M. Mishustin: 習近平氏、歓迎します。お会いできてうれしいである。ロシア連邦政府庁舎へようこそ。
Прежде всего хотел бы поздравить Вас с переизбранием Председателем Китайской Народной Республики и сердечно поблагодарить за большое личное внимание, которое Вы уделяете развитию дружбы и партнёрства России с Китаем. まず最初に、中華人民共和国国家主席に再選されたことをお祝い申し上げるとともに、ロシアと中国の友好とパートナーシップの発展に多大な個人的配慮を払っていただいていることに感謝いたします。
Важно, что свой первый зарубежный визит после переизбрания Вы совершаете в нашу страну. Это свидетельствует об особом характере российско-китайских отношений, вступающих в новую эпоху. 再選後の最初の外国訪問がわが国であることは重要である。これは、新時代を迎えつつあるロシアと中国の関係の特別な性質を物語っています。
Сегодня в Кремле состоятся ваши переговоры с Президентом Российской Федерации Владимиром Владимировичем Путиным. Планируется принятие целого ряда важных решений по развитию российско-китайского сотрудничества на среднесрочную перспективу до 2030 года. プーチン大統領との会談は、本日クレムリンで行われる予定です。2030年までの中期的な中ロ協力の発展のために、多くの重要な決定が採択される予定です。
Правительства России и Китая должны обеспечить скоординированную работу по выполнению всех договорённостей, которые будут достигнуты на высшем уровне. ロシアと中国の両政府は、最高レベルで合意されるすべての合意を実行するために、協調して取り組まなければなりません。
Пользуясь случаем, уважаемый господин Си Цзиньпин, прошу Вас передать самые тёплые и искренние поздравления новому Премьеру Государственного совета Китая господину Ли Цяну. Уверен, мы с ним наладим конструктивную и товарищескую совместную работу. この場をお借りして、習近平氏より、中国国務院の新総理である李強氏に、私の最も温かく、最も誠実な祝辞を申し上げたい。私は、彼と私が建設的かつ友好的な方法で協力することを確信しています。
Мы в России искренне заинтересованы в дальнейшем укреплении всеобъемлющего партнёрства и стратегического взаимодействия с Китаем. 私たちロシアは、中国との包括的パートナーシップと戦略的協力のさらなる強化に心から関心を持っています。
Наши отношения находятся на самом высоком уровне за всю многовековую историю и оказывают влияние на формирование глобальной повестки в логике многополярности. 私たちの関係は、数世紀にわたる歴史の中で最高レベルにあり、多極化の論理におけるグローバル・アジェンダの形成に影響を与えています。
На нашей с Вами встрече присутствует бóльшая часть членов Правительства Российской Федерации: мои заместители, руководители министерств и ведомств. И все они напрямую взаимодействуют с китайскими коллегами, в режиме реального времени занимаются продвижением совместных проектов по курируемым направлениям. あなたとの会談には、ロシア連邦政府のメンバーのほとんど、つまり私の代理と各省庁の長が出席している。彼らは皆、中国のカウンターパートと直接交流し、自分の監督する分野での共同プロジェクトを推進するためにリアルタイムで活動しています。
Координацию нашей общей работы обеспечивает механизм регулярных встреч глав правительств России и Китая. Это уникальный формат, включающий пять межправительственных комиссий и более 80 подкомиссий и рабочих групп. 私たちの共同作業は、ロシアと中国の政府首脳による定期的な会合というメカニズムによって調整されている。これは、5つの政府間委員会と80以上の小委員会、作業部会を含むユニークな形式です。
Важно, что, несмотря на неблагоприятную внешнюю конъюнктуру, турбулентность на глобальных рынках, усиливающиеся санкции со стороны коллективного Запада, торгово-экономическое сотрудничество России и Китая развивается успешно. 外部環境の悪化、世界市場の混乱、欧米の集団による制裁の強化にもかかわらず、ロシアと中国の貿易・経済協力が順調に発展していることは重要です。
В прошлом году взаимный товарооборот увеличился почти на треть и приблизился к 190 млрд долларов. 昨年、相互の貿易額はほぼ3分の1増加し、1900億米ドルに近づいています。
Убеждён, что уже в текущем году мы выполним задачу, которую поставили Вы и Президент России Владимир Владимирович Путин, – довести наш взаимный товарооборот до 200 млрд долларов. 私は、今年、あなたとロシアのプーチン大統領が設定した、貿易高を2000億ドルに増やすという目標を達成できると確信しています。
Приоритетное значение уделяем инвестиционному сотрудничеству. Портфель межправительственной инвестиционной комиссии насчитывает 79 проектов на общую сумму свыше 165 млрд долларов. 私たちは、投資協力に優先的に取り組んでいる。政府間投資委員会のポートフォリオには79のプロジェクトがあり、その総額は1650億ドル以上にのぼります。
Стратегический характер носит наше энергетическое партнёрство, которое охватывает все отраслевые направления. Это природный газ, нефть, нефтепродукты, уголь, электроэнергия, мирный атом. 我々のエネルギーパートナーシップは戦略的なものであり、すべてのセクターをカバーしている。これには、天然ガス、石油、石油製品、石炭、電力、原子力発電が含まれます。
Успешно реализуются совместные крупные энергетические проекты – «Ямал СПГ», «Арктик СПГ 2», Амурский газохимический комбинат и комплекс по переработке газа в Усть-Луге. ヤマルLNG、アークティックLNG2、アムールガス化学プラント、ウスチ・ルーガのガス処理複合施設など、主要な共同エネルギープロジェクトが成功裏に実施されています。
Хотел бы особо выделить кооперацию в высокотехнологичных сферах. Речь идёт об авиастроении, машиностроении, станкостроении, космических исследованиях, а также сквозных технологиях, которые нацелены на создание инновационной продукции и оказание услуг. 私は、ハイテク分野での協力に注目したいと思いる。航空機製造、機械製造、工作機械工学、宇宙開発、そして革新的な製品やサービスを生み出すことを目的としたエンドツーエンドの技術です。
Абсолютно убеждён, что расширение инновационного сотрудничества укрепит технологический суверенитет России и Китая. 私は、革新的な協力を拡大することが、ロシアと中国の技術主権を強化することになると確信しています。
В агропромышленном комплексе уделяем первостепенное внимание обеспечению продовольственной безопасности наших стран. Поддерживаем проект нового сухопутного зернового коридора, который обеспечит поставки зерновых, зернобобовых и масличных культур из сибирских и дальневосточных районов России на китайский рынок. 農業産業分野では、私たちは自国の食料安全保障を確保することを最優先しています。私たちは、ロシアのシベリアと極東地域から中国市場への穀物、豆類、油糧種子の供給を確保する、新しい陸路穀物回廊プロジェクトを支援しています。
В новых геополитических условиях возрастает значение транспортно-логистических коридоров, которые опираются на развитие трансграничной инфраструктуры. В прошлом году открыто движение по автомобильному и железнодорожному переходам через реку Амур. Готовятся новые проекты, которые существенно увеличат перевозки по Транссибирскому и Трансазиатскому маршрутам. 新たな地政学的環境において、国境を越えたインフラ整備に依存する輸送・物流回廊の重要性はますます高まっています。昨年は、アムール川を横断する道路や鉄道が開通しました。シベリア横断ルートやアジア横断ルートの交通量を大幅に増加させる新しいプロジェクトが準備されています。
И конечно, мы дорожим прочными культурными и гуманитарными связями, объединяющими Россию и Китай. Они опираются на исторические традиции дружбы и взаимного уважения наших народов и устремлены в будущее в интересах молодых поколений российских и китайских граждан. Об этом говорится в статье Президента Российской Федерации Владимира Владимировича Путина в газете «Жэньминь Жибао», приуроченной к Вашему государственному визиту в Россию. そしてもちろん、私たちはロシアと中国を結びつける文化的、人道的な強い結びつきを大切にしています。それらは、両国民の友好と相互尊重の歴史的伝統に基づくものであり、ロシアと中国の若い世代の市民の利益のために将来を見据えたものである。このことは、あなたのロシア訪問に合わせて、ロシア連邦のウラジーミル・ウラジーミロビッチ・プーチン大統領が『人民日報』紙に寄稿した記事でも述べられています。
Уважаемый господин Си Цзиньпин, готов обсудить с Вами наиболее важные вопросы сотрудничества России и Китая. 親愛なる習近平氏、私はロシアと中国の協力の最も重要な問題についてあなたと話し合う用意があります。
Си Цзиньпин (как переведено): Уважаемый господин Премьер-министр Мишустин! Я очень рад с Вами познакомиться. 習近平(通訳として): 親愛なるミシュスチン首相!お会いできて大変嬉しく思っています。
Из-за пандемии в последние годы мы и вы несколько лет не имели возможности посещать с визитами наши страны. Мне доставляет большое удовольствие, что спустя три года вновь посещаю дружественную Россию с визитом. 近年のパンデミックのため、あなたと私は数年間、両国を訪問することができませんでした。3年ぶりに再び友好国ロシアを訪問することができ、大変嬉しく思っています。
Вчера мы провели с Президентом Путиным неформальную встречу, во время которой он упомянул, что 10 лет назад, когда я впервые был избран Председателем КНР, я тоже выбрал Россию как первую страну для своего зарубежного визита. И память об этом остаётся в моём сердце. 昨日、プーチン大統領と非公式な会談を行ったが、その中で、10年前、私が初めて中国の国家主席に選ばれたとき、私も海外を訪問する最初の国としてロシアを選んだことに触れました。そして、その記憶は私の心の中に残っています。
Я сказал, что мы выбрали Россию как первую страну для  зарубежного визита руководителя Китая. Это соответствует исторической логике, потому что мы являемся друг для друга крупнейшими соседними державами. И мы также являемся всесторонними стратегическими партнёрами. 私は、中国の指導者の海外訪問の最初の国として、ロシアを選んだと言いました。これは歴史的な論理に合致することであり、なぜなら私たちは互いに最大の隣国であるからです。そして、私たちは包括的な戦略的パートナーでもあります。
На протяжении многих лет наши отношения прошли много испытаний на прочность. Поэтому я без сомнения выбрал Россию для первого зарубежного визита после моего переизбрания. 長年にわたり、私たちの関係は多くの力試しを受けてきた。だからこそ、私が再選後の最初の外国訪問先にロシアを選んだことに疑問の余地はありません。
Я также вчера пригласил официально Президента Путина в удобное для него время в этом году посетить Китай с визитом. В этом году в Китае состоится третий международный форум высокого уровня в рамках «Одного пояса – одного пути». В предыдущих двух форумах принял участие Президент Путин. Инициатива «Один пояс – один путь» – это важная тема сотрудничества между Китаем и Россией, поэтому я обязательно приглашаю Президента Путина принять участие в третьем форуме «Одного пояса – одного пути». また、私は昨日、プーチン大統領に今年の都合の良い時期に中国を訪問するよう正式に招待しました。今年、中国では「一帯一路」の枠組みで3回目のハイレベルな国際フォーラムが開催される。プーチン大統領は過去2回のフォーラムに参加したことがあります。一帯一路」構想は中露の重要な協力テーマであり、私は必ずプーチン大統領に第3回一帯一路フォーラムへの参加を呼びかけるつもりです。
В ходе данного визита буду с Президентом Путиным всесторонне обобщать достижения в развитии двусторонних отношений, а также намечать план сотрудничества на будущий период. На самом деле в этом плане мы уже получили много практических результатов и ожидаем ещё больших успехов. 今回の訪問では、プーチン大統領とともに、二国間関係発展の成果を包括的に総括し、今後の協力計画を描く予定です。実際、私たちはこの点であるでに多くの実践的な成果を上げており、さらに大きな成功を期待しています。
Недавно в Китае мы провели успешно XX съезд КПК, а также завершилась работа двух сессий, и был избран новый руководящий состав и партии, и госорганов. Это свидетельствует о беспрецедентной сплочённости государства, партии и народа. 私たちは最近、中国で第20回中国共産党大会を開催し、2回の会期も成功させ、党と政府機関の両方の新しい指導者が選出されました。これは、国家、党、人民のかつてない団結力を示しています。
Вы только что упомянули нового Премьера Госсовета господина Ли Цяна, а предшественником был господин Ли Кэцян. Господин Премьер Госсовета Ли Цян будет по-прежнему уделять приоритетное внимание всестороннему стратегическому партнёрству между Китаем и Россией, а также установлению тесных рабочих контактов с Вами. 今、新しい国務院総理である李強氏のお話がありましたが、前任者は李克強氏です。李強国務院総理は、中国とロシアの包括的な戦略的パートナーシップを引き続き優先させるとともに、皆さんと緊密な業務連絡を確立していくつもりです。
Наш механизм регулярных встреч между главами правительств – мы должны продолжать эту традицию. Более того, в этом году мы должны активизировать работу и других механизмов. Поэтому на наших плечах – большая работа. Благодаря этим механизмам мы вместе осуществим больше целей в сотрудничестве двух стран и достигнем новых результатов. В этой связи также приглашаю Вас, господин Премьер-министр, в удобное для Вас время посетить Китай с визитом. 政府首脳の定期的な会合という我々のメカニズムは、この伝統を引き継ぐべきものです。さらに今年は、他のメカニズムの活動も強化しなければなりません。したがって、私たちの肩には多くの仕事がのしかかっているのです。これらのメカニズムを通じて、私たちは一緒に、日米間の協力におけるより多くの目標を実行し、新しい成果を達成することができるでしょう。この点で、私はまた、首相が都合の良い時に中国を訪問されるよう、お誘いします。
Мы только что коротко пообщались. Подчеркну, что надо быстро восстановить работу механизма регулярных встреч между премьер-министрами. И приглашаю Вас как можно скорее посетить Китай с визитом, чтобы Вы установили тесные связи с новым Премьером Госсовета Ли Цяном. 私たちは今、短い話をしたところである。私は、首相間の定期的な会談のメカニズムを速やかに再確立することを強調したいと思いる。そして、できるだけ早く中国を訪問し、李強新国務院総理と緊密な関係を築くようお願いします。
Очень рад сегодня встретиться и с Вашими коллегами – руководителями и членами Правительства России. Готов в дальнейшем с Вами обменяться мнениями. 本日、皆様の同僚であるロシア政府の指導者やメンバーの方々とお会いできたことを大変うれしく思いる。今後、皆さんと意見交換をする用意があります。
Спасибо. ありがとうございました。

 

 

| | Comments (0)

米国 国家安全保障に危険を及ぼす商用スパイウェアの米国政府による使用禁止に関する大統領令

こんにちは、丸山満彦です。

バイデン大統領が、国家安全保障に危険を及ぼす商用スパイウェアの米国政府による使用禁止に関する大統領令を出しています。米国政府職員の携帯電話が商用スパイウェアにより狙われていたことがきっかけになったようですね。。。また、このタイミングというのは、第2回民主主義サミットが今週開催されるということもありますね。。。

安全保障という背景もあるのでしょうが、第2回民主主義サミットが開催されるということから、人権、民主主義ということが強調されているように思います。。。商用スパイウェアの利用については、人権団体からも批判がありましたからね。。。

で、これは、すべての行政機関に対してなので、法執行機関(例えば、FBI)、諜報(例えば、CIA)、防衛関連省庁も含みますね。。。ということは、諜報機関も商用のスパイウェアを使って諜報活動をするということはできないということになりますね。。。

また、中国製品狙いと思うかもしれませんが、国として限定されていないことから、米国製品であっても同じということですね。。。(人権と民主主義ですから。。。)ブラックリスト(機密情報指定される)をつくるようです。

一方、例外も認められるような記述がありますね。。。

Fig1_20210802074601

⚫︎ The White House

・2023.03.27 Executive Order on Prohibition on Use by the United States Government of Commercial Spyware that Poses Risks to National Security

Executive Order on Prohibition on Use by the United States Government of Commercial Spyware that Poses Risks to National Security 国家安全保障に危険を及ぼす商用スパイウェアの米国政府による使用禁止に関する大統領令について
By the authority vested in me as President by the Constitution and the laws of the United States of America, it is hereby ordered as follows:  合衆国憲法および合衆国法により大統領として私に与えられた権限により、ここに次のように命ずる: 
     Section 1.  Policy.  Technology is central to the future of our national security, economy, and democracy.  The United States has fundamental national security and foreign policy interests in (1) ensuring that technology is developed, deployed, and governed in accordance with universal human rights; the rule of law; and appropriate legal authorization, safeguards, and oversight, such that it supports, and does not undermine, democracy, civil rights and civil liberties, and public safety; and (2) mitigating, to the greatest extent possible, the risk emerging technologies may pose to United States Government institutions, personnel, information, and information systems.      第1条  方針:技術は、我が国の安全保障、経済および民主主義の将来にとって中心的なものである。  米国は、(1)技術が、普遍的人権、法の支配、適切な法的認可、保障措置、監視に従って開発、展開、管理され、民主主義、市民権、市民自由、公共の安全を支援し、損なうことがないようにすること、(2)新興技術が米国政府の機関、人員、情報、情報システムに与える可能性があるリスクを可能な限り軽減すること、について国家安全保障と外交政策の基本的利益を有する。
     To advance these interests, the United States supports the development of an international technology ecosystem that protects the integrity of international standards development; enables and promotes the free flow of data and ideas with trust; protects our security, privacy, and human rights; and enhances our economic competitiveness.  The growing exploitation of Americans’ sensitive data and improper use of surveillance technology, including commercial spyware, threatens the development of this ecosystem.  Foreign governments and persons have deployed commercial spyware against United States Government institutions, personnel, information, and information systems, presenting significant counterintelligence and security risks to the United States Government.  Foreign governments and persons have also used commercial spyware for improper purposes, such as to target and intimidate perceived opponents; curb dissent; limit freedoms of expression, peaceful assembly, or association; enable other human rights abuses or suppression of civil liberties; and track or target United States persons without proper legal authorization, safeguards, or oversight.       これらの利益を促進するため、米国は、国際標準開発の完全性を保護し、信頼に基づくデータとアイデアの自由な流れを可能にし促進し、私たちのセキュリティ、プライバシー、人権を保護し、経済競争力を強化する国際技術エコシステムの開発を支持する。  米国人の機密データの搾取の拡大や、商用スパイウェアを含む監視技術の不適切な使用は、このエコシステムの発展を脅かしている。  外国政府および個人は、米国政府の機関、職員、情報および情報システムに対して商用スパイウェアを展開し、米国政府に対して重大な防諜およびセキュリティリスクを提示している。  外国政府および個人はまた、認識された反対者を標的にして脅迫する、反対意見を抑制する、表現、平和的集会または結社の自由を制限する、その他の人権侵害または市民的自由の抑圧を可能にする、適切な法的認可、保護措置または監視なしに米国人を追跡または標的化するなど、不適切な目的で商用スパイウェアを使っている。 
     The United States has a fundamental national security and foreign policy interest in countering and preventing the proliferation of commercial spyware that has been or risks being misused for such purposes, in light of the core interests of the United States in protecting United States Government personnel and United States citizens around the world; upholding and advancing democracy; promoting respect for human rights; and defending activists, dissidents, and journalists against threats to their freedom and dignity.  To advance these interests and promote responsible use of commercial spyware, the United States must establish robust protections and procedures to ensure that any United States Government use of commercial spyware helps protect its information systems and intelligence and law enforcement activities against significant counterintelligence or security risks; aligns with its core interests in promoting democracy and democratic values around the world; and ensures that the United States Government does not contribute, directly or indirectly, to the proliferation of commercial spyware that has been misused by foreign governments or facilitate such misuse.      米国は、世界中の米国政府要員および米国市民の保護、民主主義の支持と推進、人権の尊重の促進、活動家、反体制派、ジャーナリストの自由と尊厳に対する脅威からの擁護という米国の基本的利益に照らし、このような目的で悪用されてきた、またはその危険性がある商用スパイウェアの拡散に対抗し防止することについて、国家安全保障および外交政策の基本的利益を有している。  これらの利益を促進し、商用スパイウェアの責任ある使用を促進するために、米国は、米国政府による商用スパイウェアの使用が、その情報システム、情報および法執行活動を重大な防諜またはセキュリティのリスクから保護し、世界中の民主主義と民主的価値の促進という米国の中核的利益に合致し、米国政府が外国政府によって悪用された商用スパイウェアの拡散に直接または間接的に寄与せず、その悪用が促進されることを確実にする、強固な保護と手順を確立しなければならない。
     Therefore, I hereby establish as the policy of the United States Government that it shall not make operational use of commercial spyware that poses significant counterintelligence or security risks to the United States Government or significant risks of improper use by a foreign government or foreign person.  In furtherance of the national security and foreign policy interests of the United States, this order accordingly directs steps to implement that policy and protect the safety and security of United States Government institutions, personnel, information, and information systems; discourage the improper use of commercial spyware; and encourage the development and implementation of responsible norms regarding the use of commercial spyware that are consistent with respect for the rule of law, human rights, and democratic norms and values.  The actions directed in this order are consistent with the policy objectives set forth in section 6318 of the James M. Inhofe National Defense Authorization Act for Fiscal Year 2023 (NDAA FY 2023) (Public Law 117-263) and section 5502 of the National Defense Authorization Act for Fiscal Year 2022 (NDAA FY 2022) (Public Law 117-81).       したがって、私は、米国政府にとって重大な防諜または安全保障上のリスク、あるいは外国政府または外国人による不正使用の重大なリスクをもたらす商用スパイウェアを業務上使用しないことを、米国政府の方針としてここに確立する。  米国の国家安全保障および外交政策の利益を促進するため、この命令は、この政策を実施し、米国政府の機関、職員、情報、および情報システムの安全およびセキュリティを保護し、商用スパイウェアの不適切な使用を阻止し、法の支配、人権、および民主主義の規範と価値の尊重と一致する、商用スパイウェアの使用に関する責任規範の策定と実施を奨励する措置を指示するものである。  この命令で指示された行動は、2023会計年度ジェームズ・M・インホーフ国防権限法(NDAA 2023年度)(公法117-263)の第6318条および2022会計年度国防権限法(NDAA 2022年度)(公法117-81)の第5502条に定められた政策目標に合致している。 
     Sec. 2.  Prohibition on Operational Use.  (a)  Executive departments and agencies (agencies) shall not make operational use of commercial spyware where they determine, based on credible information, that such use poses significant counterintelligence or security risks to the United States Government or that the commercial spyware poses significant risks of improper use by a foreign government or foreign person.  For the purposes of this use prohibition:      第 2 条  業務上の使用の禁止: (a) 行政府および政府機関(以下、機関)は、信頼できる情報に基づき、その使用が米国政府にとって重大な防諜または安全保障上のリスクをもたらすと判断した場合、またはその商用スパイウェアが外国政府または外国人によって不適切に使用される重大なリスクをもたらすと判断した場合には、商用スパイウェアを業務上使用してはならない。この使用禁止の目的のために
          (i)    Commercial spyware may pose counterintelligence or security risks to the United States Government when:           (i) 商業用スパイウェアは、以下の場合に、合衆国政府に対して防諜上または安全保障上のリスクをもたらす可能性がある:
               (A)  a foreign government or foreign person has used or acquired the commercial spyware to gain or attempt to gain access to United States Government computers or the computers of United States Government personnel without authorization from the United States Government; or                (A) 外国政府または外国人が、合衆国政府のコンピュータまたは合衆国政府職員のコンピュータに、合衆国政府の許可なくアクセスするため、またはアクセスしようとするために、商用スパイウェアを使用または取得した場合。
               (B)  the commercial spyware was or is furnished by an entity that:                (B) 商用スパイウェアが、以下の事業者によって提供された、または提供された場合:
                    (1)  maintains, transfers, or uses data obtained from the commercial spyware without authorization from the licensed end-user or the United States Government;                     (1) ライセンスを受けたエンドユーザまたは合衆国政府の許可なく、商用スパイウェアから得られたデータを維持、転送、または使用する;
                    (2)  has disclosed or intends to disclose non-public United States Government information or non-public information about the activities of the United States Government without authorization from the United States Government; or                     (2) 米国政府からの許可なく、米国政府の非公開情報または米国政府の活動に関する非公開情報を開示した、または開示する予定である。
                    (3)  is under the direct or effective control of a foreign government or foreign person engaged in intelligence activities, including surveillance or espionage, directed against the United States.                     (3) 米国に向けられた監視またはスパイ活動を含む諜報活動に従事する外国政府または外国人の直接的または実効的な管理下にある。
          (ii)   Commercial spyware may pose risks of improper use by a foreign government or foreign person when:           (ii) 商用スパイウェアは、以下の場合に、外国政府または外国人による不適切な使用のリスクをもたらす可能性がある:
               (A)  the commercial spyware, or other commercial spyware furnished by the same vendor, has been used by a foreign government or foreign person for any of the following purposes:                (A) 商業用スパイウェア、または同じベンダーが提供する他の商業用スパイウェアが、外国政府または外国人によって以下のいずれかの目的で使用されたことがある:
                    (1)  to collect information on activists, academics, journalists, dissidents, political figures, or members of non-governmental organizations or marginalized communities in order to intimidate such persons; curb dissent or political opposition; otherwise limit freedoms of expression, peaceful assembly, or association; or enable other forms of human rights abuses or suppression of civil liberties; or                     (1) 活動家、学者、ジャーナリスト、反体制派、政治家、非政府組織または疎外されたコミュニティのメンバーに関する情報を収集し、これらの人々を脅迫し、反対意見や政治的反対を抑制し、表現、平和的集会、または結社の自由を制限し、または他の形態の人権侵害または市民の自由の抑圧を可能にするために使用すること、または
                    (2)  to monitor a United States person, without such person’s consent, in order to facilitate the tracking or targeting of the person without proper legal authorization, safeguards, and oversight; or                     (2) 適切な法的認可、保護措置、監視なしに、米国人の追跡または標的化を促進するために、当該人の同意なしに、米国人を監視すること。
               (B)  the commercial spyware was furnished by an entity that provides commercial spyware to governments for which there are credible reports in the annual country reports on human rights practices of the Department of State that they engage in systematic acts of political repression, including arbitrary arrest or detention, torture, extrajudicial or politically motivated killing, or other gross violations of human rights, consistent with any findings by the Department of State pursuant to section 5502 of the NDAA FY 2022 or other similar findings.                (B) 国務省の人権慣行に関する年次国別報告書において、恣意的な逮捕または拘留、拷問、超法規的または政治的動機による殺害、またはその他の重大な人権侵害を含む政治的抑圧行為を組織的に行っているという信頼できる報告がある政府に対して、2022年度NDAA第5502条に基づく国務省による所見またはその他の同様の所見と一致する商用スパイウェアが提供された事業者である。
          (iii)  In determining whether the operational use of commercial spyware poses significant counterintelligence or security risks to the United States Government or poses significant risks of improper use by a foreign government or foreign person, such that operational use should be prohibited, agencies shall consider, among other relevant considerations, whether the entity furnishing the commercial spyware knew or reasonably should have known that the spyware posed risks described in subsections (a)(i) or (ii) of this section, and whether the entity has taken appropriate measures to remove such risks, such as canceling relevant licensing agreements or contracts that present such risks; taking other verifiable action to prevent continuing uses that present such risks; or cooperating in United States Government efforts to counter improper use of the spyware.           (iii) 市販のスパイウェアの運用上の使用が、米国政府にとって重大な防諜または安全保障上のリスクをもたらすか、あるいは運用上の使用を禁止すべきような外国政府または外国人による不正使用の重大なリスクをもたらすかを判断するにあたり、機関は、他の関連する考慮事項の中でも、以下を考慮しなければならない、 商用スパイウェアを提供する事業者が、当該スパイウェアが本節(a)(i)または(ii)に記載されたリスクをもたらすことを知っていたか、または合理的に知るべきだったか、および当該事業者が、当該リスクをもたらす関連ライセンス契約または契約を取り消すなど、リスクを取り除くための適切な措置をとったかどうか; そのようなリスクをもたらす継続的な使用を防止するための他の検証可能な行動をとること、又はスパイウェアの不適切な使用に対抗する合衆国政府の努力に協力すること。
     (b)  An agency shall not request or directly enable a third party to make operational use of commercial spyware where the agency has determined that such use poses significant counterintelligence or security risks to the United States Government or that the commercial spyware poses significant risks of improper use by a foreign government or foreign person, as described in subsection (a) of this section.  For purposes of this order, the term “operational use” includes such indirect use.      (b) 機関は、そのような使用が合衆国政府にとって重大な防諜または安全保障上のリスクをもたらすと機関が判断した場合、あるいは、その商用スパイウェアが本節の(a)項に記載されているように外国政府または外国人による不正使用の重大なリスクをもたらすと機関が判断した場合には、第三者に商用スパイウェアの運用を要請したり直接可能にしたりしてはならない。 この命令の目的上、「運用上の使用」という用語は、このような間接的な使用を含む。
     (c)  To facilitate effective interagency coordination of information relevant to the factors set forth in subsection (a) of this section and to promote consistency of application of this order across the United States Government, the Director of National Intelligence (DNI) shall, within 90 days of the date of this order, and on a semiannual basis thereafter, issue a classified intelligence assessment that integrates relevant information — including intelligence, open source, financial, sanctions-related, and export controls-related information — on foreign commercial spyware or foreign government or foreign person use of commercial spyware relevant to the factors set forth in subsection (a) of this section.  The intelligence assessment shall incorporate, but not be limited to, the report and assessment required by section 1102A(b) of the National Security Act of 1947, 50 U.S.C. 3001 et seq., as amended by section 6318(c) of the NDAA FY 2023.  In order to facilitate the production of the intelligence assessment, the head of each agency shall, on an ongoing basis, provide the DNI all new credible information obtained by the agency on foreign commercial spyware vendors or foreign government or foreign person use of commercial spyware relevant to the factors set forth in subsection (a) of this section.  Such information shall include intelligence, open source, financial, sanctions-related, export controls-related, and due diligence information, as well as information relevant to the development of the list of covered contractors developed or maintained pursuant to section 5502 of the NDAA FY 2022 or other similar information.      (c) 本項(a)に規定する要因に関連する情報の効果的な省庁間調整を促進し、合衆国政府全体における本命令の適用の一貫性を促進するため、国家情報長官(DNI)は、本令の日付から90日以内に、またその後半期ごとに、次のことを行う、 本節の第(a)項に定める要因に関連する外国の商用スパイウェアまたは外国政府もしくは外国人の商用スパイウェアの使用に関する情報、オープンソース、金融、制裁関連および輸出管理関連の情報を含む関連情報を統合した機密情報評価を発行する。  情報評価は、2023年度NDAA第6318条(c)により改正された1947年国家安全保障法(50 U.S.C. 3001 et seq)の1102A条(b)により求められる報告及び評価を取り入れるものとするが、これに限定されない。  情報評価の作成を促進するため、各機関の長は、継続的に、外国の商用スパイウェアのベンダーまたは外国政府もしくは外国人の商用スパイウェアの使用に関して当該機関が得たすべての新しい信頼できる情報を、本節の第(a)項に規定する要因に関連させてDNIに提供しなければならない。  当該情報には、情報、オープンソース、金融、制裁関連、輸出管理関連、デューディリジェンス情報のほか、2022年度NDAA第5502条に従って作成または維持される対象業者のリストの作成に関連する情報またはその他の同様の情報を含むものとする。
     (d)  Any agency that makes a determination of whether operational use of a commercial spyware product is prohibited under subsection (a) of this section shall provide the results of that determination and key elements of the underlying analysis to the DNI.  After consulting with the submitting agency to protect operational sensitivities, the DNI shall incorporate this information into the intelligence assessment described in subsection (c) of this section and, as needed, shall make this information available to other agencies consistent with section 3(b) of this order.       (d) 本節の第(a)項に基づき、市販のスパイウェア製品の運用利用が禁止されているか否かの判断を行った機関は、その判断結果および基礎となる分析の主要要素をDNIに提供する。  DNIは、作戦上の機密を保護するために提出機関と協議した後、この情報を本節の(c)項に記載の情報評価に組み込み、必要に応じて、この情報を本命令の第3項(b)に従って他機関に提供しなければならないものとする。 
     (e)  The Assistant to the President for National Security Affairs (APNSA), or a designee, shall, within 30 days of the issuance of the intelligence assessment described in subsection (c) of this section, and additionally as the APNSA or designee deems necessary, convene agencies to discuss the intelligence assessment, as well as any other information about commercial spyware relevant to the factors set forth in subsection (a) of this section, in order to ensure effective interagency awareness and sharing of such information.      (e) 国家安全保障問題担当大統領補佐官(APNSA)またはその被指名者は、本項(c)に記載された情報評価の発行から30日以内に、またAPNSAまたは被指名者が必要と考える場合には、省庁間の認識と情報の共有を効果的に行うために、情報評価、および本項(a)に定める要因に関連する商用スパイウェアに関するその他の情報についても話し合うために省庁を招集するものとする。
     (f)  For any commercial spyware intended by an agency for operational use, a relevant official, as provided in section 5(k) of this order, shall certify the determination that the commercial spyware does not pose significant counterintelligence or security risks to the United States Government or significant risks of improper use by a foreign government or foreign person based on the factors set forth in subsection (a) of this section.  The obligation to certify such a determination shall not be delegated, except as provided in section 5(k) of this order.      (f) 機関が運用目的で使用する商用スパイウェアについては、本命令の第5条(k)に定める関係当局者が、本条(a)に定める要因に基づき、商用スパイウェアが合衆国政府に対する重大な防諜・セキュリティ上のリスク、または外国政府もしくは外国人による不正使用の著しいリスクをもたらさないという決定を証明するものとする。 このような決定を証明する義務は、本命令の第5条(k)に規定される場合を除き、委任されないものとする。
     (g)  If an agency decides to make operational use of commercial spyware, the head of the agency shall notify the APNSA of such decision, describing the due diligence completed before the decision was made, providing relevant information on the agency’s consideration of the factors set forth in subsection (a) of this section, and providing the reasons for the agency’s determination.  The agency may not make operational use of the commercial spyware until at least 7 days after providing this information or until the APNSA has notified the agency that no further process is required.       (g) ある機関が市販のスパイウェアを運用することを決定した場合、当該機関の長は、APNSAに当該決定を通知し、決定前に完了したデューディリジェンスを説明し、本項(a)に規定する要因の検討に関する関連情報を提供し、当該機関の決定の理由を提供するものとする。  当該機関は、この情報を提供してから少なくとも7日後、またはAPNSAがこれ以上の処理を必要としないことを当該機関に通知するまで、商用スパイウェアの運用利用を行うことはできない。 
     (h)  Within 90 days of the issuance of the intelligence assessment described in subsection (c) of this section, each agency shall review all existing operational uses of commercial spyware and discontinue, as soon as the head of the agency determines is reasonably possible without compromising ongoing operations, operational use of any commercial spyware that the agency determines poses significant counterintelligence or security risks to the United States Government or significant risks of improper use by a foreign government or foreign person, pursuant to subsection (a) of this section.      (h) 本項(c)に記載された情報評価の発行から90日以内に、各機関は、商用スパイウェアの既存の運用上の使用をすべて見直し、本項(a)に従って、米国政府に対する重大な防諜またはセキュリティ上のリスクまたは外国政府もしくは外国人による不正使用の著しいリスクがあると機関長が判断する商用スパイウェアの運用上の使用を、進行中の業務を損なわずに合理的に可能と判断した時点で停止しなければならない。
     (i)  Within 180 days of the date of this order, each agency that may make operational use of commercial spyware shall develop appropriate internal controls and oversight procedures for conducting determinations under subsection (a) of this section, as appropriate and consistent with applicable law.      (i) この命令の日付から180日以内に、市販のスパイウェアを運用上使用する可能性のある各機関は、本条第(a)項に基づく判断を行うための適切な内部統制および監視手順を、適切かつ適用法と一致するように開発するものとする。
     (j)  At any time after procuring commercial spyware for operational use, if the agency obtains relevant information with respect to the factors set forth in subsection (a) of this section, the agency shall determine whether the commercial spyware poses significant counterintelligence or security risks to the United States Government or significant risks of improper use by a foreign government or foreign person, and, if so, shall terminate such operational use as soon as the head of the agency determines is reasonably possible without compromising ongoing operations, and shall notify the DNI and the APNSA.      (j) 業務用スパイウェアを調達した後いつでも、本条(a)項に定める要因に関して関連情報を入手した場合、当該機関は、当該商用スパイウェアが合衆国政府にとって重大な防諜またはセキュリティ上のリスクをもたらすかどうか、または外国政府もしくは外国人による不適切な使用の重大なリスクをもたらすかを判断し、その場合は、継続中の業務を損なわずに機関の長が合理的に可能と判断した時点で当該業務使用を終了し、DNI及びAPNSAに通知しなければならない。
     (k)  The Federal Acquisition Security Council shall consider the intelligence assessment described in subsection (c) of this section in evaluating whether commercial spyware poses a supply chain risk, as appropriate and consistent with applicable law, including 41 C.F.R. Part 201-1 and 41 U.S.C. 1323.      (k) 連邦調達安全委員会は、商業用スパイウェアがサプライチェーンのリスクをもたらすかどうかを評価する際に、適切かつ41CFR Part 201-1および41U.S.C. 1323を含む適用法と一致するように、本節(c)に記載の情報評価を考慮しなければならない。
     (l)  The prohibitions contained in this section shall not apply to the use of commercial spyware for purposes of testing, research, analysis, cybersecurity, or the development of countermeasures for counterintelligence or security risks, or for purposes of a criminal investigation arising out of the criminal sale or use of the spyware.      (l) 本条に含まれる禁止事項は、試験、研究、分析、サイバーセキュリティ、または防諜もしくはセキュリティ・リスクに対する対策の開発を目的とした商用スパイウェアの使用、またはスパイウェアの犯罪的販売もしくは使用から生じる犯罪捜査の目的には適用されないものとする。
     (m)  A relevant official, as provided in section 5(k) of this order, may issue a waiver, for a period not to exceed 1 year, of an operational use prohibition determined pursuant to subsection (a) of this section if the relevant official determines that such waiver is necessary due to extraordinary circumstances and that no feasible alternative is available to address such circumstances.  This authority shall not be delegated, except as provided in section 5(k) of this order.  A relevant official may, at any time, revoke any waiver previously granted.  Within 72 hours of making a determination to issue or revoke a waiver pursuant to this subsection, the relevant official who has issued or revoked the waiver shall notify the President, through the APNSA, of this determination, including the justification for the determination.  The relevant official shall provide this information concurrently to the DNI.      (m) 本命令第5条(k)に規定される関係当局は、本条(a)項に従って決定された運用使用禁止の放棄が異常事態により必要であり、当該状況に対処するために実行可能な代替手段がないと関係当局が判断した場合、1年を超えない期間、当該放棄を行うことができます。 この権限は、本令第5条(k)に規定される場合を除き、委任されないものとする。 関係者は、いつでも、以前に付与された免除を取り消すことができる。  本項に従って免除を発行または取り消す決定を下してから 72 時間以内に、免除を発行または取り消した関係当局は、APNSA を通じて、決定の正当性を含むこの決定を大統領に通知するものとする。  関係当局は、この情報を DNI に同時に提供しなければならない。
     Sec. 3.  Application to Procurement.  An agency seeking to procure commercial spyware for any purpose other than for a criminal investigation arising out of the criminal sale or use of the spyware shall, prior to making such procurement and consistent with its existing statutory and regulatory authorities:       第 3 条  調達への適用:スパイウェアの犯罪的販売または使用に起因する犯罪捜査以外の目的で市販のスパイウェアを調達しようとする機関は、当該調達を行う前に、既存の法令および規制上の権限に基づき、以下のことを行うものとする: 
     (a)  review the intelligence assessment issued by the DNI pursuant to section 2(c) of this order;      (a) この命令の第2条(c)に従ってDNIが発行した情報評価を検討すること;
     (b)  request from the DNI any additional information regarding the commercial spyware that is relevant to the factors set forth in section 2(a) of this order;      (b) この命令の第2条(a)に規定する要因に関連する商用スパイウェアに関する追加情報をDNIに要求すること;
     (c)  consider the factors set forth in section 2(a) of this order in light of the information provided by the DNI; and      (c) DNIから提供された情報に照らして、本命令の第2条(a)に規定する要因を検討すること。
     (d)  consider whether any entity furnishing the commercial spyware being considered for procurement has implemented reasonable due diligence procedures and standards — such as the industry-wide norms reflected in relevant Department of State guidance on business and human rights and on transactions linked to foreign government end-users for products or services with surveillance capabilities — and controls that would enable the entity to identify and prevent uses of the commercial spyware that pose significant counterintelligence or security risks to the United States Government or significant risks of improper use by a foreign government or foreign person.      (d) 調達が検討されている商用スパイウェアを提供する事業者が、合理的なデューディリジェンスの手順と基準(ビジネスと人権に関する国務省の関連ガイダンスや監視機能を有する製品またはサービスに関する外国政府のエンドユーザと関連する取引に反映される業界全体の規範など)および米国政府にとって重大な防諜またはセキュリティ上のリスクをもたらす商用スパイウェアや外国政府または外国人によって不正使用する著しいリスクの用途を特定および防止できる統制を実施しているかを検討する。
     Sec. 4.  Reporting Requirements.  (a)  The head of each agency that has procured commercial spyware, upon completing the review described in section 2(h) of this order, shall submit to the APNSA a report describing the review’s findings.  If the review identifies any existing operational use of commercial spyware, as defined in this order, the agency report shall include:      第4条  報告要件: (a) 商用スパイウェアを調達した各機関の長は、本命令の第2項(h)に記載されたレビューを完了した時点で、レビューの結果を記載した報告書をAPNSAに提出する。  レビューにより、本命令で定義される商用スパイウェアの既存の業務上の使用が確認された場合、当該機関の報告書には、以下が含まれるものとする:
          (i)    a description of such existing operational use;           (i) 当該既存の業務上の使用に関する記述;
          (ii)   a determination of whether the commercial spyware poses significant counterintelligence or security risks to the United States Government or significant risks of improper use by a foreign government or foreign person, along with key elements of the underlying analysis, pursuant to section 2(a) of this order; and           (ii) 本命令の第2条(a)に従い、商業用スパイウェアが、米国政府にとって重大な防諜またはセキュリティ上のリスク、あるいは外国政府または外国人による不適切な使用の重大なリスクをもたらすかどうかの判断と、その基礎となる分析の主要要素。
          (iii)  in the event the agency determines that the commercial spyware poses significant risks pursuant to section 2(a) of this order, what steps have been taken to terminate its operational use.             (iii) 本命令の第2項(a)に従って商用スパイウェアが重大なリスクをもたらすと機関が判断した場合、その業務上の使用を終了させるためにどのような措置が取られたのか。 
     (b)  Within 45 days of an agency’s procurement of any commercial spyware for any use described in section 2(l) of this order except for use in a criminal investigation arising out of the criminal sale or use of the spyware, the head of the agency shall notify the APNSA of such procurement and shall include in the notification a description of the purpose and authorized uses of the commercial spyware.      (b) スパイウェアの犯罪的な販売または使用に起因する犯罪捜査における使用を除き、本注文の第2項(l)に記載された用途で機関が商用スパイウェアを調達した日から45日以内に、機関の長は、APNSAに当該調達を通知し、通知には、商用スパイウェアの目的および許可された用途の説明を含めなければならない。
     (c)  Within 6 months of the date of this order, the head of each agency that has made operational use of commercial spyware or has procured commercial spyware for operational use shall submit to the APNSA a report on the actions that the agency has taken to implement this order, including the internal controls and oversight procedures the agency has developed pursuant to section 2(i) of this order.      (c) 本命令の日付から6か月以内に、商用スパイウェアを業務上の目的で使用した、または業務上の目的で商用スパイウェアを調達した各機関の長は、本命令の第2項(i)に従って機関が開発した内部統制および監視手続を含め、当該機関が実施した措置に関する報告書をAPNSAに提出する。
     (d)  Within 1 year of the date of this order, and on an annual basis thereafter, the head of each agency that has procured commercial spyware for operational use shall provide the APNSA a report that identifies:      (d) 本命令の日付から1年以内、およびその後毎年、業務用の商用スパイウェアを調達している各機関の長は、APNSAに対し、以下を特定する報告書を提出する:
          (i)    any existing operational use of commercial spyware and the reasons why it does not pose significant counterintelligence or security risks to the United States Government or significant risks of improper use by a foreign government or foreign person, pursuant to section 2(a) of this order;           (i) 本命令の第2条(a)に従い、商用スパイウェアの既存の運用上の使用と、それが合衆国政府にとって重大な防諜またはセキュリティ上のリスク、あるいは外国政府または外国人による重大な不正使用のリスクを引き起こさない理由;
          (ii)   any operational use of commercial spyware that was terminated during the preceding year because it was determined to pose significant risks pursuant to section 2(a) of this order, the circumstances under which this determination was made, and the steps taken to terminate such use; and           (ii) この命令の第2条(a)に従って重大なリスクをもたらすと判断されたため、前年度に終了した商用スパイウェアの運用上の使用、この判断が下された状況、および当該使用を終了するために講じた措置。
          (iii)  any purchases made of commercial spyware, and whether they were made for operational use, during the preceding year.           (iii) 前年の間に、市販のスパイウェアを購入したこと、及びそれが業務用であったかどうか。
     Sec. 5.  Definitions.  For purposes of this order:       第5条  定義 :本命令の目的上、以下のとおりとする: 
     (a)  The term “agency” means any authority of the United States that is an “agency” under 44 U.S.C. 3502(1), other than those considered to be independent regulatory agencies, as defined in 44 U.S.C. 3502(5).      (a) 「機関」とは、44 U.S.C. 3502(1)に基づく「機関」である米国の当局をいい、44 U.S.C. 3502(5)に定義される独立規制機関とみなされるものは除きます。
     (b)  The term “commercial spyware” means any end-to-end software suite that is furnished for commercial purposes, either directly or indirectly through a third party or subsidiary, that provides the user of the software suite the capability to gain remote access to a computer, without the consent of the user, administrator, or owner of the computer, in order to:      (b) 「商用スパイウェア」とは、第三者または子会社を通じて直接的または間接的に商用目的で提供されるエンド・ツー・エンドのソフトウェア・スイートであって、当該ソフトウェアスイートの使用者に、当該コンピュータの使用者、管理者または所有者の同意なしに、以下の目的でコンピュータにリモートアクセスする機能を提供するものをいう:
          (i)    access, collect, exploit, extract, intercept, retrieve, or transmit content, including information stored on or transmitted through a computer connected to the Internet;           (i) インターネットに接続されたコンピュータに保存された情報またはコンピュータを通じて送信された情報を含むコンテンツにアクセス、収集、悪用、抽出、傍受、取得、または送信すること;
          (ii)   record the computer’s audio calls or video calls or use the computer to record audio or video; or           (ii) コンピュータの音声通話またはビデオ通話を記録すること、または音声またはビデオを記録するためにコンピュータを使用すること、または。
          (iii)  track the location of the computer.           (iii) コンピュータの場所を追跡すること。
     (c)  The term “computer” shall have the same meaning as it has in 18 U.S.C. 1030(e)(1).      (c) 「コンピュータ」という用語は、合衆国法律集第 18 編第 1030 条(e)(1)における意味と同じ意味を有するものとする。
     (d)  The term “entity” means a partnership, association, trust, joint venture, corporation, group, subgroup, or other organization.      (d) 「事業体」という用語は、パートナーシップ、協会、信託、ジョイントベンチャー、企業、グループ、サブグループ、またはその他の組織を意味する。
     (e)  The term “foreign entity” means an entity that is not a United States entity.      (e) 「外国企業」とは、米国の企業でない企業を意味する。
     (f)  The term “foreign government” means any national, state, provincial, or other governing authority, any political party, or any official of any governing authority or political party, in each case of a country other than the United States.      (f) 「外国政府」とは、国、州、地方、その他の統治当局、政党、統治当局または政党の役人をいい、いずれの場合も、米国以外の国のものをいう。
     (g)  The term “foreign person” means a person that is not a United States person.      (g) 「外国人」とは、合衆国人でない者をいう。
     (h)  The term “furnish,” when used in connection with commercial spyware, means to develop, maintain, own, operate, manufacture, market, sell, resell, broker, lease, license, repackage, rebrand, or otherwise make available commercial spyware.      (h)「提供する」という用語は、商用スパイウェアに関連して使用される場合、商用スパイウェアを開発、維持、所有、運用、製造、販売、再販、仲介、リース、ライセンス、再パッケージ、再ブランド、その他利用可能にすることを意味する。
     (i)  The term “operational use” means use to gain remote access to a computer, without the consent of the user, administrator, or owner of the computer, in order to:      (i) 「業務上の使用」とは、以下の目的で、コンピュータの使用者、管理者または所有者の同意を得ずに、コンピュータにリモートアクセスするための使用をいいる:
          (i)    access, collect, exploit, extract, intercept, retrieve, or transmit the computer’s content, including information stored on or transmitted through a computer connected to the Internet;           (i) インターネットに接続されたコンピュータに保存された情報またはコンピュータを通じて送信された情報を含む、コンピュータのコンテンツにアクセス、収集、悪用、抽出、傍受、取得、または送信すること;
          (ii)   record the computer’s audio calls or video calls or use the computer to otherwise record audio or video; or           (ii) コンピュータの音声通話またはビデオ通話を記録すること、あるいはコンピュータを使用して音声またはビデオを記録すること、または。
          (iii)  track the location of the computer.            (iii) コンピュータの位置を追跡すること。 
     The term “operational use” does not include those uses described in section 2(l) of this order.      運用上の使用」という用語には、本注文の第2項(l)に記載される使用は含まれない。
     (j)  The term “person” means an individual or entity.      (j) 「人」という用語は、個人または団体を意味する。
     (k)  The term “relevant official,” for purposes of sections 2(f) and 2(m) of this order, refers to any of the following:  the Secretary of Defense, the Attorney General, the Secretary of Homeland Security, the DNI, the Director of the Central Intelligence Agency, or the Director of the National Security Agency.  The Attorney General’s obligation under section 2(f) of this order and authority under section 2(m) of this order may be delegated only to the Deputy Attorney General.      (k) 本命令第2条(f)および第2条(m)における「関係当局者」とは、国防長官、司法長官、国土安全保障省長官、DNI、中央情報局長官、国家安全保障局長官のいずれかを意味するものとする。  本命令第2条(f)に基づく司法長官の義務および本命令第2条(m)に基づく権限は、司法長官代理にのみ委任することができます。
     (l)  The term “remote access,” when used in connection with commercial spyware, means access to a computer, the computer’s content, or the computer’s components by using an external network (e.g., the Internet) when the computer is not in the physical possession of the actor seeking access to that computer.      (l) 「リモート・アクセス」という用語は、商用スパイウェアに関連して使用される場合、コンピュータへのアクセスを求める行為者がそのコンピュータを物理的に所有していないときに、外部ネットワーク(例えば、インターネット)を使用してコンピュータ、コンピュータのコンテンツ、またはコンピュータのコンポーネントにアクセスすることを意味する。
     (m)  The term “United States entity” means any entity organized under the laws of the United States or any jurisdiction within the United States (including foreign branches).      (m) 「米国企業」とは、米国法または米国内の司法権に基づき組織された企業(外国支店を含む)をいいる。
     (n)  The term “United States person” shall have the same meaning as it has in Executive Order 12333 of December 4, 1981 (United States Intelligence Activities), as amended.      (n) 「合衆国人」という用語は、1981年12月4日の大統領令12333(合衆国諜報活動)において修正されたものと同じ意味を有するものとする。
     (o)  The term “United States Government personnel” means all United States Government employees as defined by 5 U.S.C. 2105.      (o)「合衆国政府職員」とは、5 U.S.C. 2105に規定されるすべての合衆国政府職員をいう。
     Sec. 6.  General Provisions.  (a)  Nothing in this order shall be construed to impair or otherwise affect:       第6条 一般規定:  (a) 本命令のいかなる条項も、以下の事項を損なう、またはその他の影響を与えるものと解釈してはならない: 
          (i)   the authority granted by law to an executive department or agency, or the head thereof; or           (i) 行政機関またはその長に法律で認められた権限。
          (ii)  the functions of the Director of the Office of Management and Budget relating to budgetary, administrative, or legislative proposals.           (ii) 予算、行政、または立法案に関する行政管理予算局長の機能。
     (b)  Nothing in this order shall be construed to limit the use of any remedies available to the head of an agency or any other official of the United States Government.      (b) 本命令のいかなる内容も、省庁の長または米国政府の他の職員が利用できる救済措置の利用を制限するものと解釈してはならない。
     (c)  This order shall be implemented consistent with applicable law, including section 6318 of the NDAA FY 2023, as well as applicable procurement laws, and subject to the availability of appropriations.      (c) 本命令は、2023年度NDAA第6318条、適用される調達法を含む適用法と一致し、かつ、充当可能な予算に応じて実施されるものとする。
     (d)  This order is not intended to, and does not, create any right or benefit, substantive or procedural, enforceable at law or in equity by any party against the United States, its departments, agencies, or entities, its officers, employees, or agents, or any other person.      (d) 本命令は、実体的または手続き的に、いかなる当事者も米国、その省庁、団体、その役員、職員、代理人、またはその他の人物に対して法律上または衡平法上強制できる権利または利益を創出することを意図しておらず、また創出しない。
                             JOSEPH R. BIDEN JR.                              ジョセフ・R・バイデン Jr.
THE WHITE HOUSE, ホワイトハウス
   March 27, 2023.    2023年3月27日

 

 

・2023.03.27 FACT SHEET: President Biden Signs Executive Order to Prohibit U.S. Government Use of Commercial Spyware that Poses Risks to National Security

FACT SHEET: President Biden Signs Executive Order to Prohibit U.S. Government Use of Commercial Spyware that Poses Risks to National Security ファクトシート:バイデン大統領、国家安全保障に危険を及ぼす商用スパイウェアの米国政府使用を禁止する大統領令に署名
Presidential Directive Will Serve as a Cornerstone Initiative During the Second Summit for Democracy 大統領令は、第2回民主主義のためのサミットにおける基軸となるイニシアティブとなる
Today, President Biden signed an Executive Order that prohibits, for the first time, operational use by the United States Government of commercial spyware that poses risks to national security or has been misused by foreign actors to enable human rights abuses around the world. 本日、バイデン大統領は、国家安全保障に危険を及ぼす、あるいは外国人行為者によって世界中の人権侵害を可能にするために悪用されてきた商用スパイウェアの米国政府による運用利用を初めて禁止する大統領令に署名した。
Commercial spyware – sophisticated and invasive cyber surveillance tools sold by vendors to access electronic devices remotely, extract their content, and manipulate their components, all without the knowledge or consent of the devices’ users – has proliferated in recent years with few controls and high risk of abuse. 商用スパイウェアとは、電子機器に遠隔からアクセスし、そのコンテンツを抽出し、そのコンポーネントを操作するための、ベンダーが販売する高度で侵襲的なサイバー監視ツールで、すべて機器のユーザーの知識や同意なしに、制御がほとんどなく、悪用のリスクが高い状態で近年拡散している。
The proliferation of commercial spyware poses distinct and growing counterintelligence and security risks to the United States, including to the safety and security of U.S. Government personnel and their families. U.S. Government personnel overseas have been targeted by commercial spyware, and untrustworthy commercial vendors and tools can present significant risks to the security and integrity of U.S. Government information and information systems. 商用スパイウェアの拡散は、米国政府関係者とその家族の安全やセキュリティを含め、米国に明確かつ増大する防諜・安全保障上のリスクをもたらす。海外の米国政府関係者は、商用スパイウェアに狙われており、信頼できない商用ベンダーやツールは、米国政府の情報および情報システムのセキュリティと完全性に重大なリスクをもたらす可能性がある。
A growing number of foreign governments around the world, moreover, have deployed this technology to facilitate repression and enable human rights abuses, including to intimidate political opponents and curb dissent, limit freedom of expression, and monitor and target activists and journalists. Misuse of these powerful surveillance tools has not been limited to authoritarian regimes. Democratic governments also have confronted revelations that actors within their systems have used commercial spyware to target their citizens without proper legal authorization, safeguards, and oversight.  さらに、世界中のますます多くの外国政府が、政治的反対者を脅迫し、反対意見を抑制し、表現の自由を制限し、活動家やジャーナリストを監視し標的とするなど、抑圧を促進し人権侵害を可能にするためにこの技術を導入している。こうした強力な監視ツールの悪用は、権威主義的な政権に限ったことではない。民主的な政府もまた、自国のシステム内の行為者が、適切な法的認可、保護措置、監視なしに、市民を標的にするために商用スパイウェアを使用していることが明らかになったことに直面している。 
In response, the Biden-Harris Administration has mobilized a government-wide effort to counter the risks posed by commercial spyware. Today’s Executive Order builds on these initiatives, and complementary bipartisan congressional action, to establish robust protections against misuse of such tools. これに対し、バイデン-ハリス政権は、商用スパイウェアがもたらすリスクに対抗するため、政府を挙げての取り組みを行いました。本日の大統領令は、こうした取り組みと超党派の議会活動を補完するものであり、こうしたツールの悪用に対する強固な保護を確立するものである。
This Executive Order will serve as a cornerstone U.S. initiative during the second Summit for Democracy on March 29-30, 2023, which President Biden will co-host with the leaders of Costa Rica, the Netherlands, the Republic of Korea, and the Republic of Zambia. In furtherance of President Biden’s National Security Strategy, this Executive Order demonstrates the United States’ leadership in, and commitment to, advancing technology for democracy, including by countering the misuse of commercial spyware and other surveillance technology.  This Executive Order will also serve as a foundation to deepen international cooperation to promote responsible use of surveillance technology, counter the proliferation and misuse of such technology, and spur industry reform. この大統領令は、バイデン大統領がコスタリカ、オランダ、大韓民国、ザンビア共和国の首脳と共同開催する、2023年3月29~30日の第2回民主化サミットにおける米国の重要なイニシアティブとして機能することになるでしょう。バイデン大統領の国家安全保障戦略を推進するため、この大統領令は、商業用スパイウェアやその他の監視技術の悪用に対抗することを含め、民主主義のための技術の進歩における米国のリーダーシップとそのコミットメントを示すものである。  また、この大統領令は、監視技術の責任ある使用を促進し、そのような技術の拡散や悪用に対抗し、業界の改革を促進するための国際協力を深めるための基盤としても機能する。
*** ***
In particular, the Executive Order signed by President Biden today: 特に、本日バイデン大統領が署名した大統領令では
Applies to U.S. federal government departments and agencies, including those engaged in law enforcement, defense, or intelligence activities, and encompasses spyware tools furnished by foreign or domestic commercial entities. ・法執行、防衛、諜報活動に従事するものを含む、米国連邦政府の部局および機関に適用され、外国または国内の商業団体が提供するスパイウェアツールを包含する。
Prohibits departments and agencies across the federal government from operationally using commercial spyware tools that pose significant counterintelligence or security risks to the U.S. Government or significant risks of improper use by a foreign government or foreign person, including to target Americans or enable human rights abuses. ・連邦政府内の各省庁が、米国政府に対する重大な防諜・安全保障上のリスク、または米国人を標的にしたり人権侵害を可能にするなど、外国政府または外国人による不正使用の重大なリスクをもたらす商用スパイウェアツールを業務上、使用することを禁止する。
・Establishes key counterintelligence, security, and improper use factors that indicate such risks, including if
:
・以下の場合を含め、そのようなリスクを示す重要な防諜、安全保障、不適切な使用の要因を確立する:
・・a foreign government or foreign person has used or acquired the commercial spyware to gain or attempt to gain access to U.S. Government electronic devices, or those of U.S. Government personnel, without authorization from the U.S. Government; 外国政府または外国人が、米国政府の電子デバイスまたは米国政府職員の電子デバイスに、米国政府の許可なくアクセスするため、またはアクセスしようとするために、商用スパイウェアを使用または取得した;
・・the commercial spyware was or is furnished by an entity that (1) maintains, transfers, or uses data obtained from the commercial spyware without authorization from the licensed end-user or the U.S. Government; (2) has disclosed or intends to disclose non-public information about the U.S. Government or its activities without authorization from the U.S. Government; or (3) is under the direct or effective control of a foreign government or foreign person engaged in intelligence activities directed against the United States; ・・(1)ライセンスされたエンドユーザまたは米国政府の許可なく、商用スパイウェアから取得したデータを維持、転送または使用する、(2)米国政府またはその活動に関する非公開情報を米国政府の許可なく開示したまたは開示しようとする、(3)米国に向けた情報活動を行う外国政府または外国人の直接的または実効支配下にある事業者によって提供された、または提供されていた;
・・a foreign actor uses the commercial spyware against activists, dissidents, or other actors to intimidate; to curb dissent or political opposition; to otherwise limit freedoms of expression, peaceful assembly or association; or to enable other forms of human rights abuses or suppression of civil liberties; ・・外国の行為者が、活動家、反体制派、またはその他の行為者に対して、威嚇するため、反対意見や政治的反対を抑制するため、表現、平和的集会または結社の自由を制限するため、またはその他の形態の人権侵害や市民的自由の抑圧を可能にするために商業用スパイウェアを使用する;
・・a foreign actor uses the commercial spyware to monitor a United States person, without consent, in order to track or target them without proper legal authorization, safeguards, and oversight; and ・・外国の行為者が、適切な法的認可、保護措置、および監視なしに、米国人を追跡または標的とするために、同意なしに、商業用スパイウェアを使用して米国人を監視する場合、および
・・the commercial spyware is furnished to governments for which there are credible reports that they engage in systematic acts of political repression, including arbitrary arrest or detention, torture, extrajudicial or politically motivated killing, or other gross violations of human rights. This ensures application of the Executive Order in situations when foreign actors may not yet have committed specific abuses through the use of commercial spyware, but have engaged in other serious abuses and violations of human rights.  ・・商業用スパイウェアは、恣意的な逮捕や拘留、拷問、超法規的または政治的動機による殺害、その他の重大な人権侵害を含む政治的抑圧行為を組織的に行っているという信頼できる報告がある政府に対して提供されます。これにより、外国の行為者が商業用スパイウェアの使用を通じて特定の虐待をまだ行っていないかもしれないが、他の重大な虐待や人権侵害に関与している状況においても、大統領令の適用が保証される。 
・Identifies concrete remedial steps that commercial spyware vendors can take to reduce identified risks, such as cancelling relevant licensing agreements or contracts that present such risks. ・商業用スパイウェアのベンダーが、そのようなリスクをもたらす関連ライセンス契約や契約の取り消しなど、特定されたリスクを軽減するために取ることのできる具体的な改善策を特定する
Directs important new reporting and information-sharing requirements within the Executive Branch to ensure departments and agencies can make informed and consistent determinations based on up-to-date all-source information, including a semi-annual comprehensive intelligence assessment. ・半年ごとの包括的な情報評価を含む最新の全情報源情報に基づき、各省庁が情報に基づいた一貫した判断を下せるように、行政機関内で重要な新しい報告および情報共有の要件を指示する
The Executive Order, therefore, seeks to ensure that any U.S. Government use of commercial spyware aligns with the United States’ core national security and foreign policy interests in upholding and advancing democratic processes and institutions, and respect for human rights; does not contribute, directly or indirectly, to the proliferation and misuse of commercial spyware; and helps protect U.S. Government personnel and U.S. Government information systems and intelligence and law enforcement activities against significant counterintelligence or security risks.  したがって、この大統領令は、米国政府による商用スパイウェアの使用が、民主的プロセスと制度、人権の尊重を支持・促進するという米国の国家安全保障と外交政策の中核的利益に合致し、商用スパイウェアの拡散と悪用に直接的または間接的に寄与せず、米国政府職員、米国政府の情報システム、情報および法執行活動を重大な防諜またはセキュリティのリスクから守るのに役立つことを保証しようとする。 
*** ***
The Executive Order complements concrete actions the Biden-Harris Administration and Congress have taken to confront the threat posed by the proliferation and misuse of commercial spyware:  この大統領令は、バイデン=ハリス政権と議会が、商用スパイウェアの拡散と悪用によってもたらされる脅威に立ち向かうためにとった具体的な行動を補完するものである: 
・Congress enacted new statutory authorities and requirements related to commercial spyware in the Intelligence Authorization Acts for Fiscal Years 2022 and 2023, including new restrictions and reporting requirements for Intelligence Community (IC) employees’ post-service employment with foreign governments or companies, to include foreign commercial spyware entities. Last week, the Director of National Intelligence issued binding guidance to the U.S. Intelligence Community to implement these statutory requirements, which set an international standard that we hope will be followed by other countries. ・議会は、2022年度および2023年度の情報認可法において、商業スパイウェアに関連する新たな法的権限と要件を制定した。これには、情報コミュニティ(IC)職員の勤務後の外国政府または企業との雇用に関する新たな制限と報告要件(外国の商業スパイウェア事業体を含む)が含まれている。先週、国家情報長官は、これらの法定要件を実施するために、米国の情報コミュニティに対して拘束力のあるガイダンスを発行した。これは、他の国々が追随することを期待する国際標準を設定するものである。 
・The Department of Commerce’s Bureau of Industry and Security (BIS) has placed foreign entities on the Entity List to address foreign policy concerns related to surveillance technologies. In November 2021, BIS added four commercial entities to the Entity List for engaging in the proliferation and misuse of cyber intrusion tools contrary to the national security or foreign policy interests of the United States. ・商務省産業安全保障局(BIS)は、監視技術に関連する外交政策の懸念に対処するため、外国の事業者を事業者リストに載せている。2021年11月、BISは、米国の国家安全保障または外交政策の利益に反するサイバー侵入ツールの拡散と悪用に関与したとして、4つの商業団体をEntity Listに追加した。 
・The Department of Commerce has implemented technology-based controls to address digital surveillance tools. In October 2021, the Department implemented multilateral Wassenaar Arrangement export controls on certain cybersecurity items that could be used for surveillance, espionage or other actions that disrupt, deny, or degrade a network or devices on the network. The final rule has been in effect since May 2022. ・商務省は、デジタル監視ツールに対処するため、技術に基づく管理を実施した。2021年10月、同省は、監視、スパイ活動、またはネットワークやネットワーク上の機器を混乱、拒否、劣化させるその他の行為に使用される可能性のある特定のサイバーセキュリティ品目について、多国間ワッセナー・アレンジメント輸出規制を実施した。最終ルールは2022年5月から施行されている。
・In January 2022, the Department of State and the Office of the Director of National Intelligence’s National Counterintelligence and Security Center issued an advisory for the broader public on how to protect oneself from commercial surveillance tools. ・2022年1月、国務省と国家情報長官室の国家防諜・セキュリティセンターは、より広範な国民に向けて、商用監視ツールから身を守る方法に関する勧告を発表した。
At the direction of Congress, the Department of State, in consultation with the Office of the Director of National Intelligence, has submitted to appropriate oversight committees a classified report on contractors that have knowingly assisted or facilitated certain cyberattacks or conducted surveillance activities on behalf of relevant foreign governments against the United States or for the purposes of suppressing dissent or intimidating critics.   議会の指示により、国務省は国家情報長官室と協議の上、関連する外国政府のために米国に対する特定のサイバー攻撃を故意に支援または促進したり、監視活動を行ったりした業者、または反対意見の弾圧や批判者の威嚇を目的とした業者に関する機密報告書を適切な監視委員会に提出した。  
・In June 2021, Secretary Blinken announced that the Department of State, on behalf of the Biden-Harris Administration, will update the United States’ National Action Plan on Responsible Business Conduct. This builds on prior U.S. government guidance, including the U.S. Department of State guidance on implementing business and human rights principles for “Transactions Linked to Foreign Government End-Users for Products or Services with Surveillance Capabilities". ・2021年6月、ブリンケン長官は、バイデン=ハリス政権に代わり、国務省が「責任ある企業行動に関する米国の国家行動計画」を更新することを発表した。これは、"監視機能を有する製品またはサービスに関する外国政府のエンドユーザーと連携した取引 "に対するビジネスおよび人権原則の実施に関する米国務省のガイダンスなど、これまでの米国政府のガイダンスに基づくものである。
In parallel, the Biden-Harris Administration continues to undertake a concerted effort to assess the extent to which commercial spyware has been directed against U.S. Government personnel serving overseas and mitigate the counterintelligence and security risks posed by these tools. これと並行して、バイデン-ハリス政権は、商用スパイウェアが海外で勤務する米国政府関係者に向けられた程度を評価し、これらのツールがもたらす防諜およびセキュリティリスクを軽減するための協調的な取り組みを続けている。
Taken together, these efforts aim to reduce the improper use of new technological tools to facilitate repression and human rights abuses, mitigate the counterintelligence threats these tools can pose to the U.S. Government, ensure that U.S. companies and former U.S. Government personnel are not facilitating authoritarian or repressive practices abroad, and provide tools to Americans and civil society to better protect themselves. これらの努力は、抑圧や人権侵害を助長する新しい技術ツールの不適切な使用を減らし、これらのツールが米国政府にもたらす防諜上の脅威を軽減し、米国企業や元米国政府職員が海外で権威主義的または抑圧的な行為を助長しないようにし、米国人や市民社会がよりよく自衛できるツールを提供することを目的としている。

 

まだ掲載されていないが、ここに載るはず...

⚫︎ Federal Registor

2023 Joseph R. Biden Jr. Executive Orders

 


ニュース...

[UK]

⚫︎ Computing
・2023.03.28 50 US government staff targeted with commercial spyware

[Germany]

⚫︎AFX News
・2023.03.28 Government Use Of Risky Commercial Spyware Banned In US

[U.S.]

⚫︎ Tech Crunchz
・2023.03.28 Biden executive order bans federal agencies from using commercial spyware

⚫︎ Engadget
・2023.03.27 Biden administration bans federal agencies from using commercial spyware

⚫︎ The Star
・2023.03.28 US to adopt new restrictions on using commercial spyware

⚫︎ US Today
・2023.03.27 As part of ongoing effort to beef up cybersecurity, Biden turns gaze to commercial spyware

⚫︎ CBS News
・2023.03.27 Biden signs executive order restricting government's use of commercial spyware

⚫︎ Gizmodo
・2023.03.27 U.S. Rolls Out Strict Rules for Commercial Spyware Use, Amidst Rash of Hacks

⚫︎ PBS News
・2023.03.27 U.S. to adopt new restrictions on the use of commercial spyware

 

 


 

⚫︎ まるちゃんの情報セキュリティ気まぐれ日記

・2023.03.04 米国 国家サイバーセキュリティ戦略を発表

 

| | Comments (0)

2023.03.28

NIST NISTIR 8459(ドラフト)NIST SP 800-38シリーズにおけるブロック暗号の動作モードに関する報告書 (2021.03.21)

こんにちは、丸山満彦です。

NISTが、NISTIR 8459(ドラフト)NIST SP 800-38シリーズにおけるブロック暗号の動作モードに関する報告書を公表していましたね。。。

● NIST - ITL

・2023.03.21 NISTIR 8459 (Draft) Report on the Block Cipher Modes of Operation in the NIST SP 800-38 Series

NISTIR 8459 (Draft) Report on the Block Cipher Modes of Operation in the NIST SP 800-38 Series NISTIR 8459(ドラフト)NIST SP 800-38シリーズにおけるブロック暗号の動作モードに関する報告書
Announcement 通知
NIST IR 8459 is currently being prepared for final publication.  The report reviews the NIST Special Publication 800-38 series, including the limitations of the block cipher modes specified in those recommendations. NIST IR 8459は、現在最終出版に向けて準備中である。 この報告書は、NIST Special Publication 800-38シリーズについて、その勧告で規定されているブロック暗号モードの制限を含めてレビューしている。
Although NIST is not requesting formal public comments, NIST IR 8459 is intended to be a reference for discussion during the upcoming Third Workshop on Block Cipher Modes of Operation, October 3-4, 2023. NISTは正式なパブリックコメントを求めていませんが、NIST IR 8459は、2023年10月3日から4日にかけて開催されるブロック暗号モードに関する第3回ワークショップでの議論の参考とすることを目的としている。
Questions and comments about the report may be sent to [mail]. 本報告書に関するご質問やご意見は、[mail]までお寄せください。
Abstract 要旨
This report focuses on the NIST-recommended block cipher modes of operation specified in NIST Special Publications (SP) 800-38A through 800-38F. The goal is to provide a concise survey of relevant research results about the algorithms and their implementations. Based on these findings, the report concludes with a set of recommendations to improve the corresponding standards. 本レポートは、NIST Special Publications (SP) 800-38A から 800-38F に規定されている NIST 推奨のブロック暗号の動作モードに焦点をあてている。その目的は、アルゴリズムとその実装に関する関連する研究結果の簡潔な調査を提供することである。これらの調査結果に基づき、本報告書は、対応する規格を改善するための一連の勧告で締めくくられている。

 

 

これですね。。。

・[PDF] NISTIR 8459 (Draft)

20230328-22917

 

 

 

目次...

Table of Contents 目次
1. Introduction 1. 序文
2. Scope 2. 対象範囲
3. Modes of Operation 3. 動作モード
4. NIST SP 800-38A: Five Confidentiality Modes 4. NIST SP 800-38A: 5つの機密保持モード
4.1. Initialization Vector (IV) 4.1. 初期化ベクトル(IV)
4.2. Plaintext Length 4.2. 平文の長さ
4.3. Block Size 4.3. ブロックサイズ
5. NIST SP 800-38B: The CMAC Mode for Authentication 5. NIST SP 800-38B:本人認証のためのCMACモード。
6. NIST SP 800-38C: The CCM Mode for Authentication and Confidentiality 6. NIST SP 800-38C: 認証と機密保持のためのCCMモード
7. NIST SP 800-38D: Galois/Counter Mode (GCM) and GMAC 7. NIST SP 800-38D: ガロワ/カウンタモード(GCM)とGMAC
8. NIST SP 800-38E: The XTS-AES Mode for Confidentiality on Storage Devices 8. NIST SP 800-38E: ストレージデバイスの機密保持のためのXTS-AESモード
9. NIST SP 800-38F: Methods for Key Wrapping 9. NIST SP 800-38F: キーラッピングのためのメソッド
10. Implementation Considerations 10. 実装上の注意点
11. Editorial Comments 11. 編集部コメント
12. Recommendations 12. 推薦の言葉
References 参考文献
Appendix A. List of Symbols, Abbreviations, and Acronyms 附属書 A.記号・略語・頭字語リスト
Appendix B. Glossary 附属書 B.用語集

 

 

序文...

1. Introduction  1. 序文 
NIST Interagency or Internal Report (NIST IR) 8319 [55] focuses on the Advanced Encryption Standard (AES) that was standardized in FIPS 197 [58]. AES is one of only two block ciphers that are currently standardized by NIST. The other is the Triple Data Encryption Algorithm (TDEA) [9], also known as Triple-DES (Data Encryption Standard). Triple DES is deprecated and will be disallowed after 2023 [10].  NIST Interagency or Internal Report (NIST IR) 8319 [55] は、FIPS 197 [58] で標準化された Advanced Encryption Standard (AES) に焦点を当てている。AES は、現在 NIST で標準化されている 2 つだけのブロック暗号のうちの 1 つである。もう一つは、Triple-DES(Data Encryption Standard)としても知られるTDEA(Triple Data Encryption Algorithm)[9]である。Triple DESは非推奨であり、2023年以降は使用不可となる予定である[10]。
A block cipher can only process inputs of a specific length, known as the block size. AES has a block size of 128 bits, and Triple-DES has a block size of 64 bits. To process inputs of other lengths, it is necessary to use a mode of operation. A mode of operation can process larger inputs by performing multiple calls to an underlying block cipher.  ブロック暗号は、ブロックサイズと呼ばれる特定の長さの入力のみを処理することができます。AESのブロックサイズは128ビット、Triple-DESのブロックサイズは64ビットである。それ以外の長さの入力を処理するためには、動作モードを使用する必要がある。動作モードは、基礎となるブロック暗号を複数回呼び出すことで、より大きな入力を処理できる。
In fact, it is possible to claim that a block cipher is always used in combination with a mode of operation: using a block cipher “directly” is equivalent to using it in the Electronic Codebook (ECB) mode with the restriction that the input must be exactly one block in length (e.g., 128 bits in the case of AES). Therefore, the real-world applications of the NIST-recommended modes of operation overlap with the applications of the underlying block cipher and include virtually all web browsers, Wi-Fi and cellular devices, and contact and contactless chip cards, as described in NIST IR 8319 [55].  ブロック暗号を「直接」使用することは、入力が正確に1ブロック長(例えばAESの場合は128ビット)でなければならないという制限のあるECB(Electronic Codebook)モードで使用することと同じである。したがって、NIST が推奨する動作モードの実世界での用途は、基礎となるブロック暗号の用途と重なり、NIST IR 8319 [55]に記載されているように、事実上すべてのウェブブラウザ、Wi-Fi およびセルラー機器、接触および非接触のチップカードが含まれている。
Therefore, a logical next step after NIST IR 8319 is to analyze the recommended modes of operation. This report analyzes the block cipher modes of operation that are standardized in NIST Special Publication (SP) 800-38A through 800-38F. More specifically:  したがって、NIST IR 8319 の次のステップとして、推奨される動作モードを分析することが論理的である。本レポートでは、NIST Special Publication (SP) 800-38A から 800-38F で標準化されているブロック暗号の動作モードについて分析する。より具体的には 
•       NIST SP 800-38A [25] defines the Electronic Codebook (ECB), Cipher Block Chaining (CBC), Cipher Feedback (CFB), Output Feedback (OFB), and Counter (CTR) modes, which will be referred to collectively as the “five confidentiality modes.”  - NIST SP 800-38A [25]では、電子コードブック(ECB)、暗号ブロック連鎖(CBC)、暗号フィードバック(CFB)、出力フィードバック(OFB)、カウンター(CTR)モードを定義し、これらを総称して "5 つの機密性モード "と呼ぶことにする。
•       The Addendum to NIST SP 800-38A [26] defines three variants of the CBC mode: the  - NIST SP 800-38A [26]の補遺では、CBCモードの3つのバリエーションが定義されている。
CBC-CS1, CBC-CS2, and CBC-CS3 modes, where “CS” indicates “ciphertext stealing.”  CBC-CS1、CBC-CS2、CBC-CS3モード。"CS "は "ciphertext stealing "を示す。
•       NIST SP 800-38B [27] defines the Cipher-based Message Authentication Code (CMAC) mode.  - NIST SP 800-38B [27]は、暗号ベースのメッセージ認証コード(CMAC)モードを定義している。
•       NIST SP 800-38C [28] defines the Counter with Cipher Block Chaining-Message Authentication Code (CCM) mode.  - NIST SP 800-38C [28]は、Counter with Cipher Block Chaining-Message Authentication Code (CCM) モードを定義している。
•       NIST SP 800-38D [29] defines the Galois/Counter Mode (GCM) and its specialization GMAC to generate a Message Authentication Code (MAC).  - NIST SP 800-38D [29]は、メッセージ認証コード(MAC)を生成するためのガロア/カウンタモード(GCM)およびその特殊化であるGMACを定義している。
•       NIST SP 800-38E [30] defines the XTS-AES mode, where XTS stands for “XEX Tweakable block cipher with ciphertext Stealing,” and XEX stands for “eXclusive-or Encrypt eXclusive-or.”  - NIST SP 800-38E [30]では、XTS-AESモードを定義しており、XTSは "XEX Tweakable block cipher with ciphertext Stealing"、XEXは "eXclusive-or Encrypt eXclusive-or "を表している。
•       NIST SP 800-38F [31] defines the AES Key Wrap (KW) mode, the AES Key Wrap with Padding (KWP) mode, and the TDEA Key Wrap (TKW) mode.  - NIST SP 800-38F [31]では、AESキーラップ(KW)モード、パディング付きAESキーラップ(KWP)モード、TDEAキーラップ(TKW)モードが定義されている。
NIST SP 800-38G [32], which defines the Format-Preserving Encryption (FPE) modes FF1 and FF3, is currently undergoing a revision that is proposed in Draft NIST SP 80038G, Revision 1 [33]. NIST SP 800-38G [32]は、FPE(Format-Preserving Encryption)モードFF1およびFF3を定義しているが、現在改訂中で、ドラフトNIST SP 80038G, Revision 1 [33] として提案されている。

 

 

| | Comments (0)

金融庁 事務ガイドライン(第三分冊:金融会社関係(16 暗号資産交換業者関係)の一部改正

こんにちは、丸山満彦です。

金融庁 事務ガイドライン(第三分冊:金融会社関係(16 暗号資産交換業者関係)の一部改正が、パブコメの結果を踏まえて、確定していますね。。。

暗号資産該当性についての判断基準ですが、「Ⅰ-1-1 暗号資産の範囲及び該当性の判断基準」で新たに追記されている部分となりますね。

・決済手段としての使用の禁止を明示している場合、あるいは、システム上決済手段として使用されない仕様となっている場合等

でかつ、

・最小取引単位あたりの価格が高額(例えば、1000円以上)である場合、または、取引単位の数量が少数(例えば、100万個以下)の場合


イ.発行者等において不特定の者に対して物品等の代価の弁済のために使用されない意図であることを明確にしていること(例えば、発行者又は取扱事業者の規約や商品説明等において決済手段としての使用の禁止を明示している、又はシステム上決済手段として使用されない仕様となっていること)

ロ.当該財産的価値の価格や数量、技術的特性・仕様等を総合考慮し、不特定の者に対して物品等の代価の弁済に使用し得る要素が限定的であること。例えば、以下のいずれかの性質を有すること
・ 最小取引単位当たりの価格が通常の決済手段として用いるものとしては高額であること
・ 発行数量を最小取引単位で除した数量(分割可能性を踏まえた発行数量)が限定的であること

パブコメ

No.16:例えば 1000 円以上のものについては「最小取引単位当たりの価格が通常の決済手段として用いるものとしては高額」なものであると考えられます。

No.21:例えば 100 万個以下である場合には、発行数量を最小取引単位で除した数量が「限定的」といえると考えます。



実態的にもそうであれば、暗号資産とみなされず、規制が不要ということになっています。今後、事故が増えればまた、かわるのでしょうが...

 

金融庁

・2023.03.24「事務ガイドライン(第三分冊:金融会社関係)」の一部改正(案)の公表に対するパブリックコメントの結果等について

 

・[PDF] (別紙1)PDFコメントの概要及びコメントに対する金融庁の考え方

20230328-15818

 

・[PDF] (別紙2)PDF事務ガイドライン(第三分冊:金融会社関係 16 暗号資産交換業者関係)の一部改正(新旧対照表)

20230328-15556

 

パブコメ時の発表

・2022.12.16 「事務ガイドライン(第三分冊:金融会社関係)」の一部改正(案)の公表について

 

NFL等の規制が厳しくなった国から日本に企業等が来ますでしょうかね。。。

 

 

 

 

| | Comments (0)

EU データ法が欧州議会で本会議で可決 (2023.03.14)

こんにちは、丸山満彦です。

EUのデータ法が欧州議会の本会議で可決されたようですね。。。

 

European Parliament

プレス...

・2023.03.14 Data Act: MEPs back new rules for fair access to and use of industrial data

Data Act: MEPs back new rules for fair access to and use of industrial data データ法: 欧州議会、産業データへの公正なアクセスと利用のための新ルールを支持
・Innovation increasingly relies on data ・イノベーションはますますデータに依存する
・Legislation clarifies who can access data and on what terms ・誰がどのような条件でデータにアクセスできるかを明確にする法制化
・It will empower a wider range of private and public entities to share data ・より広範な民間および公共団体がデータを共有できるようになる。
・MEPs want to preserve incentives for businesses to invest in data generation ・欧州議会は、企業がデータ生成に投資するためのインセンティブを維持したいと考えている
The “Data Act” aims to boost innovation by removing barriers obstructing access by consumers and businesses to data. 「データ法」は、消費者や企業によるデータへのアクセスを阻害する障壁を取り除くことで、イノベーションを促進することを目的としている。
The draft legislation, adopted on Tuesday 14 March, would contribute to the development of new services, in particular in artificial intelligence where huge amounts of data are needed for algorithm training. It can also lead to better prices for after-sales services and repairs of connected devices. 3月14日(火)に採択されたこのドラフト法案は、特にアルゴリズム学習に膨大なデータを必要とする人工知能において、新しいサービスの開発に貢献するものである。また、コネクテッドデバイスのアフターサービスや修理の価格改善にもつながる。
The volume of data generated by humans and machines is increasing exponentially and becoming a critical factor for innovation by businesses and by public authorities (e.g. shaping of smart cities). This kind of data is said to have become “the new oil”. 人間や機械が生み出すデータ量は指数関数的に増加し、企業や公的機関(スマートシティの形成など)がイノベーションを起こすための重要な要素になってきている。このようなデータは、「新しい石油」になったと言われている。
The data act establishes common rules governing the sharing of data generated by the use of connected products or related services (e.g. the internet of things, industrial machines) to ensure fairness in data sharing contracts. データ法は、接続された製品や関連サービス(モノのインターネット、産業機械など)の使用によって生成されるデータの共有を管理する共通のルールを確立し、データ共有契約の公平性を確保するものである。
80% of data not used 80%のデータが利用されていない
MEPs adopted measures to allow users access to the data they generate, as 80% of industrial data collected are never used, according to the European Commission. They also want to ensure contractual agreements are at the centre of business-to-business relationships. 欧州委員会によると、収集された産業データの80%は利用されることがないため、欧州議会は、ユーザーが生成したデータへのアクセスを可能にする措置を採択した。彼らはまた、企業間関係の中心に契約上の合意があることを望んでいる。
Companies would be able decide what data can be shared, and the manufacturer could choose not to make certain data available “by design”. When companies draft their data-sharing contracts, the law will rebalance the negotiation power in favour of SMEs, by shielding them from unfair contractual terms imposed by companies in a significantly stronger bargaining position. 企業は、どのようなデータを共有できるかを決めることができるようになり、メーカーは、特定のデータを「設計上」利用できないようにすることもできる。企業がデータ共有契約をドラフトする際、この法律は、著しく強い交渉力を持つ企業が課す不当な契約条件から中小企業を保護することで、交渉力のバランスを中小企業側に有利に調整することになる。
Protecting trade secrets and avoiding unlawful data transfer 企業秘密の保護と違法なデータ転送の回避
The text also defines how public sector bodies can access and use data held by the private sector that are necessary in exceptional circumstances or emergencies, such as floods and wildfires. また、洪水や山火事などの例外的な状況や緊急時に必要な、民間企業が保有するデータへの公的機関のアクセスや利用方法についても規定されている。
MEPs also strengthened provisions to protect trade secrets and avoid a situation where increased access to data is used by competitors to retro-engineer services or devices. They also set stricter conditions on business-to-government data requests. また、欧州議会は、企業秘密を保護し、データへのアクセスの増加によって競合他社がサービスや機器の改造に利用するような事態を避けるための規定を強化した。また、企業から政府へのデータ要求に関する条件もより厳しく設定された。
Finally, the data act would facilitate switching between providers of cloud services, and other data processing services, and introduce safeguards against unlawful international data transfer by cloud service providers. 最後に、データ法は、クラウドサービスやその他のデータ処理サービスのプロバイダー間の切り替えを容易にし、クラウドサービスプロバイダーによる違法な国際データ転送に対するセーフガードを導入するものである。
Quote 引用
“The Data Act will be an absolute game changer providing access to an almost infinite amount of high-quality industrial data. Competitiveness and innovation are part of its DNA,” said lead MEP Pilar del Castillo Vera (EPP, ES). 主任欧州議会議員Pilar del Castillo Vera(EPP、ES)は「データ法は、ほぼ無限にある高品質の産業データへのアクセスを提供する、絶対的なゲームチェンジャーとなる。競争力とイノベーションは、そのDNAの一部である」と、述べている。
Next steps 次のステップ
The text was adopted with 500 votes to 23, with 110 abstentions. MEPs are now ready to enter into negotiations with the Council on the final shape of the law. この文書は500票対23票で採択され、110の棄権があった。欧州議会は今後、法律の最終的な形について理事会との交渉に入る準備が整った。

 

法案

European-parliament

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.02.15 欧州 データ法案 欧州議会議員は産業データへの公正なアクセスと利用のための新ルールを支持

・2022.03.01 欧州委員会 データ法の提案

 

参考...

・2023.03.16 ⽇欧産業協⼒センター 欧州デジタル政策 (Vol.4-5)

・2022.09.23 ⽇欧産業協⼒センター 欧州デジタル政策 (Vol.1-3)

 

データガバナンス法案

・2021.12.05 欧州 欧州議会とEU加盟国間でデータガバナンス法について政治的合意 (欧州データガバナンス法成立が近づきましたね。。。)

・2021.03.14 欧州データ保護委員会 (EDPB)・欧州データ保護監督官 (EDPS) データガバナンス法に関する共同意見を採択

・2020.11.29 EU データガバナンス法案

 

 

| | Comments (0)

2023.03.27

英国 ICO 「チルドレンズ・コード」の文脈における「アクセスされる可能性が高い」についてのガイダンスとその影響評価についての意見募集

こんにちは、丸山満彦です。

英国の情報コミッショナー (Information Commissioner Office: ICO) が「チルドレンズ・コード」の文脈における「アクセスされる可能性が高い」についてのガイダンスとその影響評価についての意見募集をしていますね。。。例えば、ポルノサイト、大人向けゲーム、ソーシャルメディアが想定されるサイトですね。。。

U.K. ICO

プレス発表...

・2023.03.24 ICO consultation on the draft guidance for ‘Likely to be accessed’ in the context of the Children’s code

 

ガイダンス...

‘Likely to be accessed’ by children – FAQs, list of factors and case studies

 

サマリー...

・[PDF]

20230327-61146

 

 参考...

チルドレンズ・コード

Age appropriate design: a code of practice for online services

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

2023.02.19 英国 情報コミッショナー事務局 (ICO) がゲーム開発者向けに、子どもの保護に関する業界向けのガイダンスを発行


 

| | Comments (0)

2023.03.26

経済産業省 サイバーセキュリティ経営ガイドラインVer 3.0

こんにちは、丸山満彦です。

経済産業省のサイバーセキュリティ経営ガイドラインVer 3.0が公表されましたね。。。


経済産業省では、サイバー攻撃の多様化・巧妙化に伴い、サイバーセキュリティ対策における企業等の経営者のさらなるリーダーシップの発揮などが求められていること等を踏まえ、サイバー攻撃から企業を守る観点で、経営者が認識する必要がある事項等をまとめた「サイバーセキュリティ経営ガイドライン」を改訂しました。

1.背景・趣旨

経済産業省では、独立行政法人情報処理推進機構(IPA)とともに、サイバー攻撃から企業を守る観点で、経営者が認識する必要がある事項及び経営者が情報セキュリティ対策を実施する上での責任者となるCISO(Chief Information Security Officer:最高情報セキュリティ責任者)等に指示すべき事項をまとめたサイバーセキュリティ経営ガイドラインを策定し、その普及を行ってまいりました。

昨今、サイバー攻撃は多様化・巧妙化しており、また、サプライチェーンを介したサイバーセキュリティ関連被害の拡大を踏まえた、サプライチェーン全体を通じた対策の推進の必要性が高まっているなど、各企業等においては、組織幹部が自らの果たすべき役割を認識した上で、リーダーシップを発揮し、更なる対策の強化や適切に対応することなどが求められております。

こうした現状等を踏まえ、有識者や関係者を交えた研究会を開催し、そこでの検討を踏まえ、サイバーセキュリティ経営ガイドラインの改訂を行いました。

2.改訂のポイント

有識者からの御意見やパブリックコメントにおける御意見等を踏まえ、主に以下の内容について改訂を行っています。

  • 経営者が認識すべき3原則について、取引関係にとどまらず、国内外のサプライチェーンでつながる関係者へのセキュリティ対策への目配り、総合的なセキュリティ対策の重要性や社外のみならず、社内関係者とも積極的にコミュニケーションをとることの必要性等の追加・修正を行いました。
  • 指示5について、サイバーセキュリティリスクの識別やリスクの変化に対応した見直しやクラウド等最新技術とその留意点などについて、追記・修正を行いました。
  • 指示8について、事業継続の観点から、制御系も含めた業務の復旧プロセスと整合性のとれた復旧計画・体制の整備やサプライチェーンも含めた実践的な演習の実施等について追記・修正を行いました。
  • 指示9について、サプライチェーンリスクへの対応に関しての役割・責任の明確化、対策導入支援などサプライチェーン全体での方策の実行性を高めることについて追記・修正を行いました。
  • 指示10について、有益な情報を得るためには適切な情報を提供することも必要であることを強調しつつ、被害の報告・公表への備えをすることや ステークホルダーへの情報開示について追記・修正を行いました。
  • その他、全体的な見直しを行いました。

また、本改訂に合わせて、独立行政法人情報処理推進機構(IPA)において、サイバーセキュリティの実践状況をセルフチェックで可視化いただける「サイバーセキュリティ経営可視化ツール」(Excel版、Ver2.0)への改訂を行っております。


委員になっているので、個人的な見解ですが、すこしコメントをつけたいと思います。。。

まずは、この経営ガイドラインが上場企業はじめ多くの企業が参照するガイドとなっていることを踏まえ、委員は真剣な議論をしたし、事務局、経済産業省等は、経営者や投資家、海外政府機関への非公式のヒアリング等も実施して意見を聞いて、より良いものになろうと努力しました。。。

もちろん、参考の状況を踏まえて安全保障的な観点も視野にいれていますが、全ての企業が等しく安全保障上の観点を考慮するという話でもないため、例えば、サプライチェーンマネジメントに関するリスクマネジメントや、コンプライアンス上の一環として、安全保障上の観点を重視しなければならない企業はそうするという構造になっています。

共助の考え方としてのインシデント情報の共有についても、ガイドが公表されていますので、それを踏まえた記述をしています。

あと、多くのポイントでステークホルダーとのコミュニケーションが強調されています(有事も平時も)。平時のコミュニケーションについては投資家に対するリスク開示の重要性の強調も含まれます。多くの投資家、経営者がサイバーリスクが企業経営上の重要なリスクと認識している昨今、サイバーリスクについても適切な開示が有価証券報告書、ESG報告書等において必要だろうという話です。

私はバブル末期に社会人になり、社会人になってから日本の社会というのはほぼ成長できていない、失われた30年の中で仕事をしてきています。いわば、失われた30年に責任を負う一人でもあると思っています。では、なぜこの30年、日本は成長できなかったか... すでにいろいろな識者が述べていますし、唯一の理由があるわけでもないでしょう。ただ、新たな産業を興せなかったという点を見てみると、チャレンジができていないというおとがあるのだろうと思います。で、なぜチャレンジができないか?その一つの理由として、リスクに向き合わなかったからではないかと思っています。

日本でも新たなことにチャレンジをしようという話はあります。ただ、多くの場合それは失敗し、叩かれ、萎縮効果となり、新たなチャレンジをしようという意欲が失われていったのかもしれません。新たなことに対しては失敗はつきものなのですが、失敗しないように、失敗しても説明がつき、次に繋げられるようにするという意味での、リスクマネジメントが十分にできていなかったのではないかと思うんですよね。。。リスクの話をすると、ネガティブととられたりして、みんなリスクについて見て見ぬふりをしていたのではないか?と思うんですよね。。。

リスクに向き合うというのが重要なのだろうと思います。

そういうこともあり、サイバーについても経営者はリスクと向き合い、ステークホルダーにリスクを説明していく、というのは重要なことだろうと思っています。

 

ということで。。。

 

経済産業省

・2023.03.24 「サイバーセキュリティ経営ガイドライン」を改訂しました

・[PDF] サイバーセキュリティ経営ガイドライン Ver 3.0

20230326-42148

 

経済産業省のサイバーセキュリティ政策全般については、こちら...

サイバーセキュリティ政策

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.03.09 総務省 経済産業省 警察庁、内閣官房 「サイバー攻撃被害に係る情報の共有・公表ガイダンス」を公表

・2022.12.10 経団連 「サイバーセキュリティ経営ガイドライン Ver3.0 (案) 」に対する意見

・2022.06.16 経済産業省 「サイバーセキュリティ体制構築・人材確保の手引き」(第2.0版)

・2022.03.30 IPA サイバーセキュリティ経営ガイドライン Ver 2.0実践のためのプラクティス集

・2021.08.18 経済産業省 / IPA サイバーセキュリティ経営可視化ツールWeb版(V1.0版)

・2021.04.27 経済産業省 「サイバーセキュリティ体制構築・人材確保の手引き」(第1.1版)

・2021.04.06 IPA 「2020年度サイバーセキュリティ経営ガイドライン実践のためのプラクティスの在り方に関する調査」報告書

・2020.09.30 経済産業省からサイバーセキュリティ経営ガイドラインVer2.0の付録として「サイバーセキュリティ体制構築・人材確保の手引き」が公開されていますね。。。

・2020.06.04 IPA サイバーセキュリティ経営ガイドライン Ver 2.0実践のためのプラクティス集

・2020.03.26 IPA サイバーセキュリティ経営ガイドライン実践状況の可視化ツールβ版

 

 

 

| | Comments (0)

米国 戦略国際問題研究所 次の戦争の最初の戦い:中国の台湾侵攻をウォーゲームで再現する (2023.01.09)

こんにちは、丸山満彦です。

いまさらですが、、、米国の戦略国際問題研究所が今年の1月初めに公開した、中国が台湾に侵攻したら。。。というWar Gamingの結果をまとめた報告書、「次の戦争の最初の戦い:中国の台湾侵攻をウォーゲームで再現する」です。。。

米軍は米軍でおそらく別途検討をしているはずですが、それは公開されることはないだろうから、国民の間で議論するべきオープンソースのものが必要ということで、このようなWar Gamingをし、発表したようです。(つまり、正確かどうかということよりも、これをベースに議論を始めるということですね。。。)

この報告書で言いたいことはおそらく。。。

・中国が台湾に侵攻すると、両国とも大きな被害がでる。

・しかも、多くのシナリオで中国の台湾侵攻は失敗する。=>(だから、中国はゆめゆめ台湾侵攻を考えないでよ...習近平さんが、台湾統一強硬派としても...)

・で、米国は、中国が台湾に侵攻したら成功するんじゃない?と思わせないだけの十分な抑止力をもたなければならないよ...

・で、予算積んでくれ...

・あっ、それから、日本も参戦が前提だからな...


深くは読んでいないのですが、サイバーについても言及があります。

このゲームでは、米国も中国側もサイバー攻撃を実施しています(ただし、米国本土や軍の指揮命令系統へのサイバー攻撃は考慮していない)。が、サイバー攻撃は両国とも決定的な効果はなかった。サイバー作戦は一時的な優位を得るには有効であったものの、それ自体が戦争に勝つための手段ではなかった(ウクライナ戦争における最近の経験と一致する)。

ということで、サイバー攻撃の効果については冷静な判断が必要なようです。ただ、油断をすると一気に組織全体に影響が広がるので、防御については常に気にしておくことは重要だろうと思います。。。また、有事よりも、平時においてはスパイ活動に利用されるという意味で注意が必要かもしれませんね。。。

 

Center for Strategic and International Studies: CSIS

・2023.01.09 The First Battle of the Next War: Wargaming a Chinese Invasion of Taiwan

The First Battle of the Next War: Wargaming a Chinese Invasion of Taiwan 次の戦争の最初の戦い:中国の台湾侵攻をウォーゲームで再現する
CSIS developed a wargame for a Chinese amphibious invasion of Taiwan and ran it 24 times. In most scenarios, the United States/Taiwan/Japan defeated a conventional amphibious invasion by China and maintained an autonomous Taiwan. However, this defense came at high cost. The United States and its allies lost dozens of ships, hundreds of aircraft, and tens of thousands of servicemembers. Taiwan saw its economy devastated. Further, the high losses damaged the U.S. global position for many years. China also lost heavily, and failure to occupy Taiwan might destabilize Chinese Communist Party rule. Victory is therefore not enough. The United States needs to strengthen deterrence immediately. CSISは、中国による台湾への水陸両用侵攻を想定したウォーゲームを開発し、24回実行した。ほとんどのシナリオで、米国/台湾/日本は中国による通常の水陸両用侵攻を破り、台湾の自治を維持した。しかし、この防衛には高い代償が必要でした。米国とその同盟国は、数十隻の艦船、数百機の航空機、そして数万人の軍人を失った。台湾は経済が壊滅的な打撃を受けた。さらに、この大きな損失は、長年にわたって米国の世界的地位を損なうことになった。中国も大きな損失を被り、台湾の占領に失敗すれば、中国共産党の支配が不安定になるかもしれない。したがって、勝利だけでは十分ではない。米国は直ちに抑止力を強化する必要がある。

・[PDF] The First Battle of the Next War: Wargaming a Chinese Invasion of Taiwan

20230326-31543

 

エグゼクティブサマリー...

Executive Summary エグゼクティブサマリー
What would happen if China attempted an amphibious invasion of Taiwan? CSIS developed a wargame for a Chinese amphibious invasion of Taiwan and ran it 24 times. In most scenarios, the United States/Taiwan/Japan defeated a conventional amphibious invasion by China and maintained an autonomous Taiwan. However, this defense came at high cost. The United States and its allies lost dozens of ships, hundreds of aircraft, and tens of thousands of servicemembers. Taiwan saw its economy devastated. Further, the high losses damaged the U.S. global position for many years. China also lost heavily, and failure to occupy Taiwan might destabilize Chinese Communist Party rule. Victory is therefore not enough. The United States needs to strengthen deterrence immediately.  中国が台湾への水陸両用侵攻を試みたらどうなるか?CSISは、中国による台湾への水陸両用侵攻を想定したウォーゲームを開発し、24回実行した。ほとんどのシナリオで、米国、台湾、日本は中国による通常の水陸両用侵攻を破り、台湾の自治を維持した。しかし、この防衛には高い代償が必要であった。米国とその同盟国は、数十隻の艦船、数百機の航空機、そして数万人の軍人を失った。台湾は経済が壊滅的な打撃を受けた。さらに、この大きな損失は、長年にわたって米国の世界的地位を損なうことになった。中国も大きな損失を被り、台湾の占領に失敗すれば、中国共産党の支配が不安定になるかもしれない。したがって、勝利だけでは十分ではない。米国は直ちに抑止力を強化する必要がある。
The Challenge 課題
China’s leaders have become increasingly strident about unifying Taiwan with the People’s Republic of China (PRC).[1] Senior U.S. officials and civilian experts alike have expressed concern about Chinese intentions and the possibility of conflict. Although Chinese plans are unclear, a military invasion is not out of the question and would constitute China’s most dangerous solution to its “Taiwan problem”; it has therefore justly become a focus of U.S. national security discourse. 中国の指導者は、台湾を中華人民共和国に統一しようとする姿勢を強めており[1]、米国の高官や民間の専門家は、中国の意図と紛争の可能性について懸念を表明している。中国の計画は不明だが、軍事侵攻はあり得ない話ではなく、中国にとって「台湾問題」に対する最も危険な解決策となるため、米国の国家安全保障の焦点となっているのは当然である。
Because “a Taiwan contingency is the pacing scenario” for the U.S. military, it is critical to have a shared, rigorous, and transparent understanding of the operational dynamics of such an invasion.[2] Just as such an understanding was developed concerning the Cold War’s Fulda Gap, so too must analysts consider the Taiwan invasion scenario. This understanding is important because U.S. policy would be radically different if the defense were hopeless than if successful defense were achievable. If Taiwan can defend itself from China without U.S. assistance, then there is no reason to tailor U.S. strategy to such a contingency. At the other extreme, if no amount of U.S. assistance can save Taiwan from a Chinese invasion, then the United States should not mount a quixotic effort to defend the island. However, if U.S. intervention can thwart an invasion under certain conditions and by relying on certain key capabilities, then U.S. policy should be shaped accordingly. In this way, China would also be more likely to be deterred from an invasion in the first place. However, such shaping of U.S. strategy requires policymakers to have a shared understanding of the problem. 米軍にとって「台湾有事はペーシングシナリオ」であるため、そのような侵攻の作戦力学について、共有され、厳密で透明性のある理解を持つことが重要である[2]。冷戦時代のフルダギャップについてこのような理解がなされたように、アナリストも台湾侵攻シナリオを考慮しなければならない。この理解が重要なのは、防衛が絶望的である場合と防衛が可能である場合とでは、米国の政策が根本的に異なるからである。もし台湾が米国の支援なしに中国から自らを守ることができるのであれば、米国の戦略をそのような不測の事態に合わせる理由はない。逆に、米国がいくら援助しても中国の侵略から台湾を救うことができないのであれば、米国は台湾を守るために奇抜な努力をするべきではない。しかし、ある条件下で、ある重要な能力に依存して、米国の介入が侵略を阻止できるのであれば、米国の政策はそれに応じて形成されるべきであろう。そうすれば、そもそも中国が侵略を抑止する可能性も高くなる。しかし、このような米国の戦略形成には、政策立案者が問題意識を共有することが必要である。
Yet, there is no rigorous, open-source analysis of the operational dynamics and outcomes of an invasion despite its critical nature. Previous unclassified analyses either focus on one aspect of an invasion, are not rigorously structured, or do not focus on military operations. Classified wargames are not transparent to the public. Without a suitable analysis, public debate will remain unanchored.  しかし、侵攻の作戦力学と結果について、その重要性にもかかわらず、厳密でオープンソースな分析は存在しない。これまでの未公表の分析は、侵攻の一面に焦点を当てたもの、厳密な構造化されていないもの、軍事作戦に焦点を当てたものでないものがある。機密扱いのウォーゲームは、一般に公開されることはない。適切な分析がなければ、公開討論は固定されないままである。
Therefore, this CSIS project designed a wargame using historical data and operations research to model a Chinese amphibious invasion of Taiwan in 2026. Some rules were designed using analogies with past military operations; for example, the Chinese amphibious lift was based on analysis of Normandy, Okinawa, and the Falklands. Other rules were based on theoretical weapons performance data, such as determining the number of ballistic missiles required to cover an airport. Most rules combined these two methods. In this way, the results of combat in the wargame were determined by analytically based rules instead of by personal judgment. The same set of rules applied to the first iteration and to the last iteration, ensuring consistency. そこで、このCSISプロジェクトでは、2026年に中国が台湾に水陸両用で侵攻した場合のモデルとして、歴史的データとオペレーションズ・リサーチを用いてウォーゲームを設計した。例えば、中国の水陸両用リフトは、ノルマンディー、沖縄、フォークランドを分析したものであるなど、いくつかのルールは過去の軍事作戦を類推して設計されている。また、空港をカバーするために必要な弾道ミサイルの数を決定するなど、理論的な兵器性能データに基づいて設計されたルールもある。ほとんどのルールは、この2つの方法を組み合わせている。このように、ウォーゲームの戦闘結果は、個人の判断ではなく、分析に基づいたルールで決定された。同じルールが最初の反復と最後の反復に適用され、一貫性が保たれた。
The resulting wargame had over 2,500 counters that represent forces from the United States, China, Taiwan, and Japan. Air and naval operations were played on a five-by-six-foot map that covers the Western Pacific. Ground operations were played on a separate map that covers Taiwan. A 70-page “rules for umpires” laid out the game rules. Die rolls, combat results tables, and computer programs calculated combat results. Each turn was three-and-a-half days. Players came from a variety of senior governmental, think tank, and military backgrounds. 出来上がったウォーゲームには、アメリカ、中国、台湾、日本の軍隊を表す2,500以上のカウンターがあった。空と海軍の作戦は、西太平洋をカバーする5×6フィートの地図上で行われた。地上戦は、台湾をカバーする別の地図で行われました。70ページに及ぶ「審判のための規則」がゲームのルールを示している。ダイスロール、戦闘結果表、コンピュータプログラムが戦闘結果を計算した。1ターンは3日半である。プレイヤーは、政府高官、シンクタンク、軍などさまざまな経歴を持つ人たちであった。
Based on interviews and a literature review, the project posited a “base scenario” that incorporated the most likely values for key assumptions. The project team ran that base scenario three times. A variety of excursion cases then explored the effects of varying assumptions.[3] The impact of these varying assumptions on the likely outcome is depicted in a Taiwan Invasion Scorecard (see Figure 8). In all, 24 iterations of the game mapped the contours of the conflict and produced a coherent and rigorously derived picture of a major threat facing the United States.   インタビューと文献調査に基づき、プロジェクトは主要な仮定に最も可能性の高い値を組み込んだ「基本シナリオ」を提唱した。プロジェクトチームは、この基本シナリオを3回実行した。そして、さまざまなケースを想定して、その影響を調査した[3]。これらのさまざまな想定が、起こりうる結果に与える影響は、台湾侵攻スコアカード(図8参照)に描かれている。全部で24回の繰り返しにより、紛争の輪郭が描かれ、米国が直面する主要な脅威について首尾一貫して厳密に導き出された図が作成された。 
The Results  結果 
The invasion always starts the same way: an opening bombardment destroys most of Taiwan’s navy and air force in the first hours of hostilities. Augmented by a powerful rocket force, the Chinese navy encircles Taiwan and interdicts any attempts to get ships and aircraft to the besieged island. Tens of thousands of Chinese soldiers cross the strait in a mix of military amphibious craft and civilian rollon, roll-off ships, while air assault and airborne troops land behind the beachheads. 侵攻はいつも同じように始まる。開戦直後の砲撃で、台湾の海軍と空軍のほとんどが破壊される。中国海軍は強力なロケット砲で台湾を包囲し、包囲された島への船舶や航空機の輸送を妨害する。何万人もの中国兵が、軍用水陸両用船と民間のロールオン、ロールオフ船を組み合わせて海峡を渡り、航空攻撃と空挺部隊がビーチヘッドの背後に上陸する。
However, in the most likely “base scenario,” the Chinese invasion quickly founders. Despite massive Chinese bombardment, Taiwanese ground forces stream to the beachhead, where the invaders struggle to build up supplies and move inland. Meanwhile U.S. submarines, bombers, and fighter/attack aircraft, often reinforced by Japan Self-Defense Forces, rapidly cripple the Chinese amphibious fleet. China’s strikes on Japanese bases and U.S. surface ships cannot change the result: Taiwan remains autonomous. しかし、最も可能性の高い「基本シナリオ」では、中国軍の侵攻はすぐに失敗に終わる。中国軍の大規模な砲撃にもかかわらず、台湾の地上部隊はビーチヘッドに流れ込み、侵略者は物資の増強と内陸部への移動に苦労する。一方、米軍の潜水艦、爆撃機、戦闘機、攻撃機は、しばしば日本の自衛隊によって強化され、中国の水陸両用艦隊を急速に機能不全に陥れる。中国が日本の基地や米軍の水上艦船を攻撃しても、結果を変えることはできない: 台湾の自治は維持される。
There is one major assumption here: Taiwan must resist and not capitulate. If Taiwan surrenders before U.S. forces can be brought to bear, the rest is futile. ここで、一つの大きな前提がある: 台湾は抵抗しなければならず、降伏してはならない。もし台湾が米軍を投入する前に降伏してしまえば、あとは無駄になってしまう。
This defense comes at a high cost. The United States and Japan lose dozens of ships, hundreds of aircraft, and thousands of servicemembers. Such losses would damage the U.S. global position for many years. While Taiwan’s military is unbroken, it is severely degraded and left to defend a damaged economy on an island without electricity and basic services. China also suffers heavily. Its navy is in shambles, the core of its amphibious forces is broken, and tens of thousands of soldiers are prisoners of war.  この防衛には、高いコストがかかる。米国と日本は、何十隻もの艦船、何百機もの航空機、そして何千人もの軍人を失う。このような損失は、何年にもわたって米国の世界的地位を損なうことになる。台湾の軍隊は壊れないものの、著しく劣化し、電気も基本的なサービスもない島で、傷ついた経済を守るために放置されています。中国も大きな被害を被っている。海軍はボロボロで、水陸両用部隊の中核は壊れており、何万人もの兵士が捕虜になっている。
Conditions for Success 成功の条件
Analysis of the 24 game iterations showed four necessary conditions to defeat a Chinese invasion. 24回のゲームの繰り返しを分析した結果、中国の侵略を打ち破るために必要な4つの条件が示された。
1.  Taiwanese forces must hold the line. 1.  台湾軍が戦線を維持すること。
Recommendation: Strengthen Taiwanese ground forces. Because some Chinese forces will always land on the island, Taiwanese ground forces must be able to contain any beachhead and then counterattack forcefully as Chinese logistics weaken. However, the Taiwanese ground forces have severe weaknesses. Therefore, Taiwan must fill its ranks and conduct rigorous, combined arms training. Ground forces must become the center of Taiwan’s defense effort. 提言: 台湾の地上軍を強化する。中国軍の一部は必ず島に上陸するため、台湾の地上軍はいかなるビーチヘッドも封じ込め、中国の兵站が弱まったところで力強く反撃することができなければならない。しかし、台湾の地上部隊は深刻な弱点を持っている。そのため、台湾は兵力を増強し、厳格な統合訓練を実施しなければならない。陸上部隊は台湾の防衛努力の中心にならなければならない。
2.  There is no “Ukraine model” for Taiwan.  2.  台湾に「ウクライナ・モデル」は存在しない。
Recommendation: In peacetime, the United States and Taiwan must work together to provide Taiwan with the weapons it needs; in wartime, if the United States decides to defend Taiwan, U.S. forces must quickly engage in direct combat. In the Ukraine war, the United States and the North Atlantic Treaty Organization (NATO) have not sent troops directly into combat but have sent massive amounts of equipment and supplies to Ukraine. Russia has been unable to interdict this overland flow. However, the “Ukraine model” cannot be replicated in Taiwan because China can isolate the island for weeks or even months. Taiwan must start the war with everything it needs. Further, delays and half measures by the United States would make the defense harder, increase U.S. casualties, allow China to create a stronger lodgment, and raise the risk of escalation. 提言: 平時には、米国と台湾が協力して台湾に必要な武器を提供しなければならない。戦時には、米国が台湾を防衛することを決定した場合、米軍は速やかに直接戦闘を行う必要がある。ウクライナ戦争では、米国と北大西洋条約機構(NATO)は、直接戦闘に部隊を派遣していないが、ウクライナに大量の装備と物資を送り込んでいる。ロシアはこの陸路の流れを阻止することができなかった。しかし、中国は台湾を数週間、あるいは数カ月にわたって孤立させることができるため、「ウクライナモデル」を台湾で再現することはできない。台湾は必要なものをすべて持って戦争を始めなければならない。さらに、米国による遅延や中途半端な措置は、防衛を困難にし、米国の死傷者を増やし、中国がより強力な宿営地を作ることを可能にし、エスカレーションのリスクを高めることになる。
3.  The United States must be able to use its bases in Japan for combat operations.  3.  米国は、日本国内の基地を戦闘活動に使用できるようにしなければならない。
Recommendation: Deepen diplomatic and military ties with Japan. While other allies (e.g., Australia and South Korea) are important in the broader competition with China and may play some role in the defense of Taiwan, Japan is the linchpin. Without the use of U.S. bases in Japan, U.S. fighter/attack aircraft cannot effectively participate in the war. 提言: 日本との外交・軍事関係を深める。他の同盟国(例えば、オーストラリアや韓国)は、中国との広範な競争において重要であり、台湾の防衛においてある程度の役割を果たすかもしれないが、日本はその要となる存在である。日本の米軍基地を利用しなければ、米軍の戦闘機・攻撃機は効果的に戦争に参加できない。
4.  The United States must be able to strike the Chinese fleet rapidly and en masse from outside the Chinese defensive zone.  4.  米国は、中国の防御圏外から中国艦隊を迅速かつ大量に攻撃できるようにしなければならない。
Recommendation: Increase the arsenal of long-range anti-ship cruise missiles. Bombers capable of launching standoff, anti-ship ordnance offer the fastest way to defeat the invasion with the least amount of U.S. losses. Procuring such missiles and upgrading existing missiles with this anti-ship capability needs to be the top procurement priority. 提言: 長距離対艦巡航ミサイルの兵装を増強する。スタンドオフ対艦ミサイルを発射できる爆撃機は、米国の損失を最小限に抑えて侵略を撃退する最短の方法である。このようなミサイルを調達し、既存のミサイルをこの対艦能力でアップグレードすることが、調達の最優先事項である必要があります。
Avoiding a Pyrrhic Victory ピュロスの勝利(割りに合わない勝利)を避けるために
Victory is not everything. The United States might win a pyrrhic victory, suffering more in the long run than the “defeated” Chinese. Furthermore, the perception of high costs might undermine deterrence: if China believes that the United States would be unwilling to bear the high costs of defending Taiwan, then China might risk an invasion. The United States should therefore institute policies and programs to make winning less costly in the event of conflict. Such measures would include: 勝利がすべてではない。米国がピュロスの勝利を収め、長期的には「敗れた」中国よりも多くの苦しみを味わうことになるかもしれない。さらに、高いコストの認識は抑止力を弱めるかもしれない。もし中国が、米国が台湾防衛の高いコストを負担したくないと考えるなら、中国は侵略の危険を冒すかもしれない。したがって、米国は、紛争が発生した場合に勝利するためのコストを低く抑える政策やプログラムを導入すべきである。そのような施策には次のようなものがある:
POLITICS AND STRATEGY 政治と戦略
▪ Clarify war plan assumptions. There is a seeming gap between war plans, which assume prewar deployments to Taiwan and neutral countries, and political realities. ・戦争計画の前提を明確にすること。戦前の台湾や中立国への配備を前提とした戦争計画と、政治的現実との間にギャップがあるように思われる。
▪ Do not plan on striking the mainland. The National Command Authority might withhold permission because of the grave risks of escalation with a nuclear power.  ・本土を攻撃する計画を立ててはならない。核保有国とのエスカレーションの重大なリスクから、国家司令部が許可を保留する可能性がある。
▪ Recognize the need to continue operations in the face of heavy casualties. In three weeks, the United States will suffer about half as many casualties as it did in 20 years of war in Iraq and Afghanistan.  ・多くの犠牲者を出しても、作戦を継続する必要性を認識すること。3週間で、米国はイラクとアフガニスタンでの20年間の戦争に比べ、約半分の死傷者を出すことになる。
▪ Move Taiwanese air and naval forces toward asymmetry. Despite rhetoric about adopting a “porcupine strategy,” Taiwan still spends most of its defense budget on expensive ships and aircraft that China will quickly destroy.  ・台湾の空軍と海軍を非対称性に向かわせる。台湾は、「ヤマアラシ戦略」を採用するというレトリックにもかかわらず、防衛予算のほとんどを、中国がすぐに破壊するような高価な船舶や航空機に費やしている。
DOCTRINE AND POSTURE ドクトリンと態勢
▪ Fortify and expand air bases in Japan and Guam. Dispersion and hardening dilute the effects of missile attacks. ・日本とグアムの航空基地を強化・拡大する。分散と硬化により、ミサイル攻撃の効果を希釈する。
▪ Revise U.S. Air Force doctrine and restructure procurement to increase aircraft survivability on the ground. Ninety percent of aircraft losses occurred on the ground. ・地上での航空機の生存性を高めるため、米空軍のドクトリンを改訂し、調達を再構築する。航空機の損失の90%は地上で発生している。
▪ Do not plan on overflying the Chinese mainland. Chinese air defense is too strong, the targets take a long time to produce operational results, and the air missions around Taiwan take priority. ・中国本土の上空を飛ぶことを計画してはならない。中国本土の防空はあまりにも強力であり、目標が作戦結果を出すのに時間がかかり、台湾周辺の航空任務が優先される。
▪ Recognize the limitations of Marine Littoral Regiments and Army Multi-Domain Task Forces and cap their numbers. These units are designed to counter China and do provide some value, but political and operational difficulties put limits on their utility. ・海兵隊の沿岸連隊と陸軍のマルチドメイン・タスクフォースの限界を認識し、その数に上限を設けること。これらの部隊は中国に対抗するために作られたもので、ある程度の価値はあるが、政治的・作戦的な困難から、その有用性に限界がある。
▪ Avoid crisis deployments that create vulnerabilities. Military doctrine calls for forward deployments to enhance deterrence during a crisis, but these forces make tempting targets. ・脆弱性を生む危機的状況下での展開を避ける。軍事ドクトリンは、危機における抑止力を強化するために前方展開を求めているが、これらの部隊は誘惑的な標的になる。
WEAPONS AND PLATFORMS 武器とプラットフォーム
▪ Shift to smaller, more survivable ships and develop rescue mechanisms to deal with crippled ships and multiple sinkings. Surface ships are extremely vulnerable, with the United States typically losing two carriers and 10 to 20 large surface combatants in game iterations. ・より小型で生存性の高い艦船にシフトし、不具合のある艦船や複数の沈没に対処するための救助機構を開発する。水上艦は極めて脆弱であり、米国は通常、ゲームの反復で2隻の空母と10~20隻の大型水上戦闘艦を失う。
▪ Prioritize submarines and other undersea platforms. Submarines were able to enter the Chinese defensive zone and wreak havoc with the Chinese fleet, but numbers were inadequate. ・潜水艦やその他の海底プラットフォームを優先させる。潜水艦は中国の守備範囲に入り、中国艦隊に大打撃を与えることができたが、その数は不十分であった。
▪ Continue development and fielding of hypersonic weapons but recognize that they are niche weapons. Their high cost limits inventories, so they lack the volume needed to counter the immense numbers of Chinese air and naval platforms.  ・極超音速兵器の開発と配備を継続するが、ニッチな兵器であることを認識する。極超音速兵器の開発と実戦配備を継続するが、極超音速兵器はニッチ兵器であり、高コストであるため在庫が限られ、中国の膨大な数の航空・海軍プラットフォームに対抗するのに必要な数量が不足している。
▪ Prioritize sustainment of the bomber fleet over fighters. The range, missile standoff distance, and high carrying capacity of bombers presented the People’s Liberation Army with daunting challenges.   ・戦闘機よりも爆撃機部隊の維持に優先順位をつける。爆撃機の航続距離、ミサイルの膠着距離、高い搭載能力は、人民解放軍に困難な課題を突きつけた。 
▪ Produce more, cheaper fighters and balance the acquisition of stealth aircraft with production of non-stealth aircraft. With so many aircraft lost early in the conflict, the Air Force risks running out of fighter/attack aircraft and becoming a secondary player in the conflict unless it has a large enough force to sustain the losses.  ・より安価な戦闘機を生産し、ステルス機の獲得と非ステルス機の生産のバランスをとる。紛争初期に多くの航空機が失われたため、空軍は戦闘機・攻撃機が不足し、損失を維持できるほど大規模な戦力を持たない限り、紛争における二次的なプレーヤーとなる危険性がある。
Finally, the project and its recommendations need some caveats. Modeling an invasion does not imply that it is inevitable or even probable. The Chinese leadership might adopt a strategy of diplomatic isolation, gray zone pressure, or economic coercion against Taiwan; even if China opts for military force, this might take the form of a blockade rather than an outright invasion. However, the risk of invasion is real enough and potentially so destructive that analysis is worthwhile. 最後に、このプロジェクトとその提言にはいくつかの注意点が必要である。侵略をモデル化したからといって、それが不可避である、あるいは可能性が高いということを意味するものではない。中国指導部は台湾に対し、外交的孤立、グレーゾーンでの圧力、経済的強制といった戦略を取るかもしれない。仮に中国が軍事力を行使するとしても、それは侵略ではなく、封鎖という形を取るかもしれない。しかし、侵略のリスクは十分に現実的であり、潜在的に破壊的であるため、分析する価値がある。
The project does not take a position on whether the benefits of defending Taiwan outweigh the prospective costs, or how to weigh those costs and benefits. Instead, the purpose is to enhance the public debate and thus allow the nation to make better-informed decisions on this critical national security challenge.  このプロジェクトは、台湾防衛の利点が予想されるコストを上回るのか、あるいはコストと利点をどのように比較検討するのか、といった立場をとるものではない。むしろ、この重要な国家安全保障上の課題に対して、国民がより良い情報に基づいた意思決定を行えるように、国民的議論を深めることを目的としている。
[1] The project uses “China” to refer to the People’s Republic of China, recognizing that many on Taiwan consider themselves Chinese also. [1] このプロジェクトでは、台湾の多くの人々が自分たちも中国人と考えていることを認識した上で、中華人民共和国を指す言葉として「中国」を使用している。
[2] Ely Ratner, testimony before the Senate Foreign Relations Committee, “The Future of U.S. Policy on Taiwan,” 117th Cong., 1st sess., 2021 [2] Ely Ratner, 上院外交委員会公聴会, "米国の対台湾政策の行方" 117回上院議会2021年第1回
[3] Excursion cases include assumptions that are plausible although not considered the most likely. [3] エクスカージョンケースには、最も可能性が高いとは言えないが、もっともらしいと思われる仮定が含まれる。

 

目次...

Executive Summary  エグゼクティブサマリー 
The Challenge  課題
The Results  結果 
Conditions for Success  成功の条件 
Avoiding a Pyrrhic Victory  ピュロスの勝利(割りに合わない勝利)を避けるために
Chapter 1: Why This Project? The Need for Transparent Analysis of a Taiwan Contingency  第1章 なぜこのプロジェクトなのか?台湾有事の透明な分析の必要性 
China’s Economic and Military Rise  中国の経済的・軍事的台頭 
Taiwan Is the Most Dangerous U.S.-China Flashpoint  台湾は最も危険な米中間の火種である 
Increasing Worries about an Imminent Chinese Attack  中国からの攻撃が迫っているとの懸念が強まる 
Parallels and Differences with the War in Ukraine  ウクライナ戦争との類似点・相違点 
Limitations of Currently Available Models, Assessments, and Wargames  現在利用可能なモデル、アセスメント、ウォーゲームの限界点 
Chapter 2: Wargaming as a Method  第2章:方法としてのウォーゲーミング 
Quantitative Models vs. Qualitative Judgments  定量的モデル vs 定性的判断 
Different Wargames for Different Purposes  目的によって異なるウォーゲーム 
Principles of Analytic Wargaming  アナリティカル・ウォーゲーミングの原理 
Chapter 3: Building the Taiwan Operational Wargame  第3章:台湾作戦ウォーゲームの構築 
The Question of Classified Data  機密データをめぐる問題 
Philosophy of the Base Model  ベースモデルの哲学 
The Taiwan Operational Wargame  台湾作戦ウォーゲーム 
Sensitivity Analysis  感応度分析 
Chapter 4: Assumptions―Base Cases and Excursion Cases  第4章:前提条件-ベースケースとエクスカージョンケース 
Grand Strategic Assumptions: Political Context and Decision  大戦略の前提 政治的背景と意思決定 
Strategic Assumptions: Orders of Battle, Mobilization, and Rules of Engagement  戦略的な前提条件 戦闘命令、動員、交戦規則 
Operational and Tactical Assumptions: Competence, Weapons, and Infrastructure  作戦・戦術の前提 能力、兵器、インフラストラクチャー 
Chapter 5: Results  第5章:結果 
Key Outcome: Taiwanese Autonomy  重要な成果:台湾の自治 
Base Scenario  基本的シナリオ 
Pessimistic Scenarios  悲観的シナリオ 
Optimistic Scenarios  楽観的シナリオ 
Taiwan Stands Alone  台湾単独 
Ragnarok  ラグナロク 
Summary  概要 
Why Are These Results Different from Classified DOD Games?  なぜ、この結果はDODの機密ゲームと違うのか?
Chapter 6: How Does the War Play Out?  第6章:戦争はどう展開するのか?
 The Situation on Taiwan   台湾をめぐる情勢 
The Bloody Air and Maritime Battle  血塗られた空と海の戦い 
Chapter 7: Recommendations  第7章:提言 
Politics and Strategy  政治と戦略 
Doctrine and Posture  ドクトリンとポスチャー 
Weapons and Platforms  兵器とプラットフォーム 
Chapter 8: Conclusion—Victory Is Not Everything  第8章:おわりに-勝利がすべてではない 
Appendix A: Scenarios  附属書A:シナリオ
Appendix B: Wargaming Lexicon  附属書B:ウォーゲーミング・レキシコン 
Appendix C: Abbreviations and Acronyms  附属書C:略語・頭字語について 
About the Authors  著者について 

 

 

| | Comments (0)

2023.03.25

個人情報保護委員会 犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会報告書

こんにちは、丸山満彦です。

個人情報保護委員会が、「犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会報告書」を公表していますね。。。

 

● 個人情報保護委員会

・2023.03.23 犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会報告書を公表しました。

報告書

20230325-72554

開催状況

 

報告書の目次...

第 1 章 本報告書の背景
1  顔識別機能付きカメラシステムを巡る国内動向
2  本報告書の対象範囲について
 (1)
取り扱う個人情報
 (2) 顔識別機能付きカメラを設置する空間的範囲
 (3) 顔識別機能付きカメラシステムを利用する目的
 (4) 顔識別機能付きカメラシステムを利用する主体的範囲

3  本報告書の位置づけ

第 2 章 用語の定義

第 3 章 顔識別機能付きカメラシステムについて
1  顔識別機能付きカメラシステムやその他防犯システムの機能や動向
 (1)
顔識別機能付きカメラシステムの技術的仕組み
 (2) 顔識別機能付きカメラシステム以外の映像分析技術
 (3) その他の防犯システム、対策

2  顔識別機能付きカメラシステムを利用することの利点・懸念点
 (1)
顔識別機能付きカメラシステムを利用することの利点
 (2) 顔識別機能付きカメラシステムを利用することの懸念点

3  犯罪予防や安全確保のために顔識別機能付きカメラシステムを利用することが想定される場面
 (1)
犯罪予防
 (2) 要保護者保護

第 4 章 肖像権・プライバシーに関する留意点
1  肖像権・プライバシー侵害を争点とする裁判例
 (1)
肖像権・プライバシー侵害を争点とする判例
 (2) カメラ撮影に関する肖像権・プライバシー侵害を争点とする裁判例における考慮要素
 (3) 顔識別機能付きカメラシステムを利用する場合への示唆

2  不法行為の成否と個人情報保護法の関係
(
参考) カメラ撮影に関する肖像権・プライバシー侵害を争点とする裁判例

第 5 章 顔識別機能付きカメラシステムを利用する際の個人情報保護法上の留意点
1 顔識別機能付きカメラシステムの利用と個人情報保護法の適用について
2 利用目的の特定、通知公表及びその他の個人情報に係る規律
 (1)
利用目的の特定
 (2) 利用目的等の通知公表等
 (3) 不適正利用の防止及び適正取得のための態様
 (4) 利用目的の通知公表等の例外
 (5) 要配慮個人情報について
 (6) 従来型防犯カメラについての考え方

3 運用基準の在り方及び当該内容に関する透明性の確保
 (1)
登録基準
 (2) 対応手順
 (3) 保存期間
 (4) 登録消去
 (5) 運用基準に関する透明性の確保

4 安全管理措置
5  他の事業者等に対する個人データの提供
 (1)
法令に基づく場合
 (2) 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき及び公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき
 (3) 委託
 (4) 共同利用

6  保有個人データに係る情報の公表等及び開示等の請求や相談への対応
 (1)
保有個人データについて
 (2) 保有個人データに係る情報の公表等
 (3) 開示等の請求や相談への対応

(
参考) 顔識別機能付きカメラシステムに関する委託

第 6 章 事業者の自主的な取組として考えられる事項
1  実現しようとする内容の明確化・適切な手段の選択
2  導入前の影響評価
3  被撮影者への十分な説明
4  他の事業者との連携
5  導入後の検証

別紙1︓顔識別機能付きカメラシステムの利用を巡る国際的な議論
別紙2︓顔識別機能付きカメラシステムの検討の観点リスト
別紙3︓施設内での掲示案

(参考資料)犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会



 

● まるちゃんの情報セキュリティ気まぐれ日記

この委員会

・2023.01.13 個人情報保護委員会 「犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会報告書(案)」に関する意見募集

・2022.12.24 個人情報保護委員会 第7回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.09.10 個人情報保護委員会 第6回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.06.24 個人情報保護委員会 第5回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.05.25 個人情報保護委員会 第4回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.04.17 個人情報保護委員会 第3回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.03.16 個人情報保護委員会 第2回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.02.01 個人情報保護委員会 第1回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2021.12.25 個人情報保護委員会 犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会の設置

 

顔認識

・2022.12.24 個人情報保護委員会 第7回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.12.09 世界経済フォーラム (WEF) 顔認識の責任ある制限のためのポリシーフレームワーク ユースケース:法執行機関の捜査 9つの原則 (2022.11)

・2022.11.01 第44回 世界プライバシー会議 顔認識に関する決議

・2022.10.03 米国 2022年顔認識法案

・2022.09.10 個人情報保護委員会 第6回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.07.10 米国 GAO 顔認識技術:連邦政府機関の利用と関連するプライバシー保護 (2022.06.29)

・2022.06.24 個人情報保護委員会 第5回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.05.30 英国 情報コミッショナー 顔認識データベース会社Clearview AI Incに750万ポンド以上の罰金を科し、英国人のデータの削除を命じた

・2022.05.20 欧州データ保護委員会 (EDPB) 意見募集「法執行分野における顔認識技術の使用に関するガイドライン」

・2022.01.21 ENISA デジタル・アイデンティティ攻撃に注意:あなたの顔が偽装される可能性があります

・2021.12.25 個人情報保護委員会 犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会の設置

・2021.10.17 インターポール、国連地域間犯罪司法研究所、オランダ警察、世界経済会議が「顔認証を責任もって制限するためのポリシーフレームワーク ユースケース:法執行機関の捜査」 at 2021.10.05

・2021.09.29 世界経済フォーラム (WEF) 技術の責任ある利用:IBMをケースにした研究

・2021.09.27 欧州委員会 職場での電子モニタリングと監視 (Electronic Monitoring and Surveillance in the Workplace)

・2021.09.10 EU議会 提言 バイオメトリクス認識と行動検知

・2021.08.28 中国 意見募集 国家サイバースペース管理局 「インターネット情報サービスのアルゴリズムによる推奨に関する管理規定」

・2021.08.27 米国 GAO 顔認識技術:連邦政府機関による現在および計画中の使用方法

・2021.08.20 英国 意見募集 監視カメラ実施規範改訂案 by 監視カメラコミッショナー at 2021.08.13

・2021.08.11 EU議会 STUDY バイオメトリクス認識と行動検知

・2021.08.10 EU議会 STUDY ヨーロッパの政策におけるディープフェイクへの取り組み at 2021.07.30

・2021.08.08 EU議会 BRIEFING スマートシティとアーバンモビリティにおける人工知能 at 2021.07.23

・2021.08.07 総務省 AIネットワーク社会推進会議 「報告書2021」の公表

・2021.08.07 Atlantic Council AIとデータ倫理におけるコミットメントからコンテンツへの移行:正義と説明可能性

・2021.08.04 中国 通信院 信頼できる人工知能についての白書 at 2021.07.09

・2021.08.03 中国 最高人民法院 「民事案件における顔識別技術の使用に関する司法解釈」

・2021.07.15 米国GAO 顔認識技術について連邦法執行機関はプライバシーやその他のリスクをより適切に評価する必要がある at 2021.06.03

・2021.07.12 ニューヨーク市 生体情報プライバシー条例が2021.07.09から施行されましたね。。。

・2021.06.30 WHO 保健のための人工知能の倫理とガバナンス

・2021.06.28 EU 外交政策ツールとしての人工知能ガバナンス

・2021.06.23 欧州 EDPBとEDPS 公共の場における人の特徴を自動認識するためのAIの使用、および不当な差別につながる可能性のあるその他のAIの使用の一部を禁止するよう要請

・2021.06.22 欧州保険職業年金局 (EIOPA) 欧州保険セクターにおける倫理的で信頼できるAIガバナンス原則に関するレポートを公表

・2021.06.20 英国 情報コミッショナー 公共の場でのライブ顔認識技術の使用に関するプライバシーの懸念

・2021.06.17 米国上院・下院 顔認識ツールを含む生体情報監視を政府が使用することを禁止する「顔認識および生体認識技術モラトリアム法案」

・2021.06.17 英国政府:データ倫理とイノベーションセンター プライバシーに関するユーザの積極的選択中間報告(スマートフォン)

・2021.06.08 U.S. の公益団体であるEPICが顔認識技術および遠隔生体認識技術の使用禁止を世界的に呼びかけていますね。。。

・2021.05.12 カナダのプライバシーコミッショナーが顔認識技術について議会で見解を述べたようですね。。。

・2021.05.07 ドイツ連邦情報セキュリティ局 (BSI) が「監査可能なAIシステムを目指して - 現状と今後の展望」を公表しています

・2021.05.03 中国 意見募集 顔認識に続けて、歩行認識、音声認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。

・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね

・2021.04.22 ドイツ連邦情報セキュリティ局 (BSI) が安全なAI導入のための対策をまとめていますね。。。

・2021.04.21 U.S. FTC(連邦取引委員会) のブログ 会社でAIを活用する場合は真実、公正、公平を目指そう、という記事がありますね。。。

・2021.03.14 CNIL 乗客のマスク着用率を測定するためのインテリジェントビデオの使用に関する法令についての意見を公表

・2021.02.05 カナダのプライバシーコミッショナーが顔認識ソフトウェアを提供するClearview AIについての声明を出していますね。。。

・2021.01.30 欧州評議会 108号条約委員会が「顔認証に関するガイドライン」を採択しましたね。。。

・2021.01.12 欧州委員会 市民イニシアティブとして「生体認証による大量監視慣行の禁止」を登録

・2021.01.04 ニューヨーク州 知事が学校での顔認識技術の使用を一時停止し、研究を指示する法律に署名 at 2020.12.22

・2020.11.04 カナダプライバシー委員会 Cadillac Fairview社が500万人の顔データを取得していたことに関する報告書(2020.10.28)

・2020.06.26 人間が間違うなら、人間を模倣したAIも間違うんでしょうね。。。

・2020.06.14 IBM, Amazon, Microsoftは顔認証システムを米国の警察には販売しない

・2020.05.01 (人工知能 AI)ブラックボックスの検証:アルゴリズムシステムを評価するためのツール - アルゴリズムの監査・影響評価のための共通言語の特定

・2020.03.26 JVNVU#99619336 勾配降下法を使用する機械学習モデルに、誤った識別をさせるような入力を作成することが可能な問題

・2020.03.04 FIRST EVER DECISION OF A FRENCH COURT APPLYING GDPR TO FACIAL RECOGNITION

・2020.02.17 遠くからでもわかる顔認識システム!

ぐっと遡って、2000年代

・2009.11.07 世界プライバシー宣言(Global Privacy Standards for a Global World)

・2005.08.11 外務省 IC旅券調査研究報告書

・2005.02.04 監視社会と信頼関係

 

| | Comments (0)

総務省 電気通信事業における個人情報保護に関するガイドライン及びその解説の改正案に対する意見募集

こんにちは、丸山満彦です。

個人情報保護法のガイドラインは個人情報保護委員会ができてから、乱立しなくなったのですが、業法の規制が別途法律で上乗せされる場合などでは業界ガイドラインというのは残っています。。。その一つが電気通信事業。。。

で、総務省から「電気通信事業における個人情報保護に関するガイドライン及びその解説の改正案に対する意見募集」が公表されていますね。。。

電気通信事業法の改正に伴う変更で、「第4章 特定利用者情報の適正な取扱い」及び「第5章 外部送信に係る利用者に関する情報の取扱い」が新設されていますね。。。

総務省

・2023.03.24 電気通信事業における個人情報保護に関するガイドライン及びその解説の改正案に対する意見募集


1 改正の背景

 総務省は、電気通信事業を取り巻く環境変化を踏まえ、電気通信サービスの円滑な提供及びその利用者の利益の保護を図るため、「電気通信事業法の一部を改正する法律案」を第208回国会に提出しました。可決成立の後、令和4年6月17日(金)に電気通信事業法の一部を改正する法律(令和4年法律第70号。以下「改正法」といいます。)が公布されたところです。

 総務省は、「特定利用者情報の適正な取扱いに関するワーキンググループ」(主査:大橋弘 東京大学副学長・大学院経済学研究科教授)及び「プラットフォームサービスに係る利用者情報の取扱いに関するワーキンググループ」(主査:宍戸常寿 東京大学大学院法学政治学研究科教授)において、ガイドライン及びその解説について、改正法の施行に伴い改正が必要となる事項等の検討を行い、改正案を作成しました。

2 改正の概要

 ガイドラインにおいて、「第4章 特定利用者情報の適正な取扱い」及び「第5章 外部送信に係る利用者に関する情報の取扱い」を新設するとともに、その他必要とされる規定の整理を行いました。

3 意見募集対象

  • 「電気通信事業における個人情報保護に関するガイドライン」(令和4年個人情報保護委員会・総務省告示第4号)の改正案(新旧対照表)(別紙1のとおり)
  • 「電気通信事業における個人情報保護に関するガイドラインの解説」の改正案(新旧対照表)(別紙2のとおり)

 

・[PDF] 「電気通信事業における個人情報保護に関するガイドライン」(令和4年個人情報保護委員会・総務省告示第4号)の改正案(新旧対照表)

 

20230325-35435

 

・[PDF] 「電気通信事業における個人情報保護に関するガイドラインの解説」の改正案(新旧対照表)

20230325-35715

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.01.28 総務省 「電気通信事業」「郵便事業分野」「信書便事業分野」における個人情報保護に関するガイドライン及び解説の改正案についての意見募集

10年以上遡って(^^)...

・2011.10.18 総務省 確定 電気通信事業における個人情報保護に関するガイドライン及び解説の改正案

・2010.08.02 総務省 一部改正 電気通信事業における個人情報保護に関するガイドライン

・2010.05.28 総務省 パブコメ 電気通信事業における個人情報保護に関するガイドライン及び解説

・2009.09.10 総務省 パブコメ 電気通信事業における個人情報保護に関するガイドライン及び解説の改正案

・2007.09.14 総務省 確定 電気通信事業における個人情報保護に関するガイドライン第26条の解説改訂版

・2007.07.14 総務省 パブコメ 「電気通信事業における個人情報保護に関するガイドライン第26条解説改訂案」

・2005.09.27 総務省 「電気通信事業における個人情報保護に関するガイドライン」の改訂案に係る意見募集結果

・2005.08.10 総務省 意見募集 電気通信事業における個人情報保護に関するガイドライン

・2005.08.06 総務省 通信の秘密及び個人情報の漏えい事案に関する株式会社エヌ・ティ・ティ・ドコモに対する措置

・2005.04.29 総務省(報道資料) 個人情報の流出事案に関する株式会社エヌ・ティ・ティ・ドコモに対する措置

・2005.03.02 政府ガイドライン名称・告示番号

 

| | Comments (0)

2023.03.24

米国 FTC クラウドコンピューティング事業者のビジネス慣行に関するパブリックコメントの募集

こんにちは、丸山満彦です。

米国のFTC(連邦取引委員会)が、クラウドコンピューティング事業者のビジネス慣行に関するパブリックコメントの募集をおこなっていますね。。。

競争」に関する事項10問、「セキュリティ」に関する事項10問の合わせて、20問の質問事項があります。。。

こういう意見募集の仕方もありですね。。。これならウェブホームでもできそうですね。。。

 

U.S. Federal Trade Commission

・2023.03.22 FTC Seeks Comment on Business Practices of Cloud Computing Providers that Could Impact Competition and Data Security

FTC Seeks Comment on Business Practices of Cloud Computing Providers that Could Impact Competition and Data Security FTC、競争とデータセキュリティに影響を与える可能性のあるクラウドコンピューティング・プロバイダーのビジネス慣行に関するコメントを募集中
Agency staff seek comment on cloud computing impact on specific industries including healthcare, finance, transportation, e-commerce and defense クラウドコンピューティングが医療、金融、運輸、電子商取引、防衛など特定の産業に与える影響について意見を求める。
The Federal Trade Commission staff are seeking information on the business practices of cloud computing providers including issues related to the market power of these companies, impact on competition, and potential security risks. 連邦取引委員会のスタッフは、クラウドコンピューティングプロバイダーの市場力、競争への影響、潜在的なセキュリティリスクに関する問題を含め、クラウドコンピューティングプロバイダーのビジネス慣行に関する情報を求めている。
In a Request for Information, FTC staff are seeking information about the competitive dynamics of cloud computing, the extent to which certain segments of the economy are reliant on cloud service providers, and the security risks associated with the industry’s business practices. In addition to the potential impact on competition and data security, FTC staff are also interested in the impact of cloud computing on specific industries including healthcare, finance, transportation, e-commerce, and defense. FTCのスタッフは、Request for Informationの中で、クラウドコンピューティングの競争力学、経済の特定の分野がクラウドサービスプロバイダーに依存している程度、業界の商習慣に関連するセキュリティリスクに関する情報を求めている。FTCのスタッフは、競争やデータセキュリティへの潜在的な影響に加え、ヘルスケア、金融、輸送、電子商取引、防衛などの特定の業界におけるクラウドコンピューティングの影響にも関心を持っている。
“Large parts of the economy now rely on cloud computing services for a range of services,” said Stephanie T. Nguyen, the FTC’s Chief Technology Officer. “The RFI is aimed at better understanding the impact of this reliance, the broader competitive dynamics in cloud computing, and potential security risks in the use of cloud.” FTCの最高技術責任者であるStephanie T. Nguyenは、以下のようにのべている。「現在、経済の大部分は、さまざまなサービスにおいてクラウドコンピューティングサービスに依存している。今回のRFIは、この依存の影響、クラウドコンピューティングにおける広範な競争力学、クラウド利用における潜在的なセキュリティリスクをよりよく理解することを目的としている。」
Cloud computing, which is used by a wide range of industries for on-demand access to data storage, servers, networks, and more, is increasingly central to many areas of the economy. The agency has brought several cases against companies that failed to implement basic security safeguards to protect data they stored on third-party cloud computing services including recent cases involving the alcohol delivery platform Drizly and education technology provider Chegg. The FTC has also issued guidance to businesses on steps they can take to secure and protect data stored in the cloud. The RFI will allow the agency to gather more information and insights on cloud computing as a whole. データストレージ、サーバー、ネットワークなどへのオンデマンドアクセスのために幅広い産業で利用されているクラウドコンピューティングは、経済の多くの分野でますます中心的な存在になっている。FTCは、アルコール配送プラットフォームDrizlyや教育技術プロバイダーCheggに関する最近の事例を含め、第三者のクラウドコンピューティングサービスに保存するデータを保護するための基本的なセキュリティ保護措置を実施しなかった企業に対して、いくつかの訴訟を起こしている。また、FTCは、クラウドに保存されたデータを安全に保護するために企業が講じるべき措置に関するガイダンスを発表している。今回のRFIにより、同機関はクラウドコンピューティング全体に関するより多くの情報と洞察を収集することができる。
Among the topics the FTC is seeking comment on include: FTCがコメントを求めているテーマには、以下のようなものがある:
・the extent to which particular segments of the economy are reliant on a small handful of cloud service providers; ・経済界の特定の分野が、少数のクラウドサービスプロバイダーにどの程度依存しているか;
・the ability of cloud customers to negotiate their contracts with cloud providers or are experiencing take-it-or-leave it standard contracts; ・クラウド利用者がクラウドプロバイダーと契約交渉する能力、または標準的な契約を締結していること;
・incentives providers offer customers to obtain more of their cloud services from a single provider; ・プロバイダーが顧客に提供する、より多くのクラウドサービスを単一のプロバイダーから取得するためのインセンティブ;
・the extent to which cloud providers compete on their ability to provide secure storage for customer data; ・クラウドプロバイダーが顧客データの安全な保存を提供する能力でどの程度競争するか;
・the types of products or services cloud providers offer based on, dependent on, or related to artificial intelligence; and the extent to which those products or services are proprietary or provider agnostic; and ・クラウドプロバイダーが提供する、人工知能に基づく、依存する、または関連する製品またはサービスの種類、およびそれらの製品またはサービスが独自またはプロバイダーに依存しない程度、および
・the extent to which cloud providers identify and notify their customers of security risks related to security design, implementation, or configuration. ・クラウドプロバイダーが、セキュリティ設計、実装、構成に関連するセキュリティリスクをどの程度特定し、顧客に通知しているか。
The public will have until May 22, 2023 to submit a comment. Comments will be posted to Regulations.gov after they are submitted. 一般市民は、2023年5月22日までにコメントを提出することができる。コメントは提出後、Regulations.govに掲載される予定である。
Staff from across the FTC’s Office of Technology, Bureau of Competition, and Bureau of Consumer Protection are collaborating on this effort. この取り組みには、FTCの技術局、競争局、消費者保護局を横断するスタッフが協力している。
The Federal Trade Commission works to promote competition, and protect and educate consumers. You can learn more about consumer topics and report scams, fraud, and bad business practices online at ReportFraud.ftc.gov. Follow the FTC on social media, read our blogs and subscribe to press releases for the latest FTC news and resources. 連邦取引委員会は、競争を促進し、消費者を保護・教育するために活動している。ReportFraud.ftc.govでは、消費者トピックについて詳しく学び、詐欺、詐欺、悪質な商習慣をオンラインで報告することができる。FTCの最新ニュースやリソースを入手するには、ソーシャルメディアでFTCをフォローし、ブログを読み、プレスリリースを購読すること。
Press Release Reference 参照
FTC Finalizes Order with Online Alcohol Marketplace for Security Failures that Exposed Personal Data of 2.5 million People ・FTC、250万人分の個人情報を流出させたセキュリティ障害でオンラインアルコール市場に対する命令を確定
FTC Finalizes Order with Ed Tech Provider Chegg for Lax Security that Exposed Student Data ・FTC、セキュリティが甘く学生データが流出したEd TechプロバイダーCheggに最終命令を下す

 

Reaulations.gov

・2023.03.22 Solicitation for Public Comments on the Business Practices of Cloud Computing Providers

・[PDF]

20230324-80455


質問部分...

Solicitation for Public Comments on the Business Practices of Cloud Computing Providers  クラウドコンピューティング事業者のビジネス慣行に関するパブリックコメントの募集について 
The staff of the Federal Trade Commission is inviting public comments about the practices of Cloud Computing Providers and their impact on end users, customers, companies, and other businesses across the economy. FTC staff is studying a wide array of issues related to market power, business practices affecting competition, and potential security risks. Staff is also interested in cloud computing with respect to specific industries, including but not limited to healthcare, finance, transportation, eCommerce, and defense. For these specific sectors or more broadly, are there particular market dynamics shaping business practices that affect competition and consumer protection in cloud computing services? If so, what influences are shaping these market dynamics?  連邦取引委員会のスタッフは、クラウド・コンピューティング・プロバイダーの慣行と、それがエンドユーザー、顧客、企業、および経済界全体のその他のビジネスに与える影響についてパブリックコメントを募集している。FTCスタッフは、市場支配力、競争に影響を与えるビジネス慣行、潜在的なセキュリティ・リスクに関する幅広い問題を研究している。また、ヘルスケア、金融、運輸、電子商取引、防衛など、特定の産業に関するクラウドコンピューティングにも関心を寄せている。これらの特定分野、またはより広範な分野において、クラウドコンピューティングサービスの競争と消費者保護に影響を与えるビジネス慣行を形成する特定の市場力学が存在するか?もしそうなら、どのような影響がこれらの市場力学を形成しているのか?
Questions  質問 
Market Power and Business Practices Affecting Competition  市場パワーと競争に影響を与えるビジネス慣行 
1.     What are the different layers of cloud computing (e.g., infrastructure, platform, software)? To what extent do cloud providers specialize within a layer or operate at multiple layers?    1.     クラウドコンピューティングの様々なレイヤー(例:インフラ、プラットフォーム、ソフトウェア)とは何か?クラウドプロバイダーは、どのレイヤーに特化しているか、あるいは複数のレイヤーで事業を展開しているか?  
2.     Do cloud providers continue to invest sufficient resources in research and development?  In which areas are cloud providers investing in most heavily, and why?  Are there areas in which cloud providers have not invested sufficient resources, and if so, why?   2.     クラウドプロバイダーは、研究開発に十分な資源を投入し続けているか? クラウドプロバイダーはどの分野に最も多く投資しているか、またその理由は何か? クラウドプロバイダーが十分なリソースを投資していない分野はあるか、またその場合はなぜか? 
3.     What are the competitive dynamics within and across the different layers of cloud computing? How does service quality vary between providers operating at one layer vs. providers operating at multiple layers?  3.     クラウドコンピューティングの異なるレイヤー間における競争力学はどのようなものか?1つのレイヤーで運営するプロバイダーと複数のレイヤーで運営するプロバイダーでは、サービス品質にどのような違いがあるのか?
4.     What practices do cloud providers use to enhance or secure their position in any layer of cloud computing? What practices are used by cloud providers that operate at multiple layers to entrench or enhance their position? What are the effects of those practices on competition, including on cloud providers who do not operate at multiple layers?  4.     クラウドプロバイダーは、クラウドコンピューティングのどのレイヤーにおいても、自らの地位を向上させたり、確保したりするためにどのような慣行を用いているのか?複数のレイヤーで事業を展開するクラウドプロバイダーは、自らの地位を確立したり強化したりするために、どのような慣行を用いているのか?そのような慣行は、複数のレイヤーで運用されていないクラウドプロバイダーを含め、競争にどのような影響を与えるか?
5.     To what extent are cloud customers able to negotiate their contracts with cloud providers? To what extent are customers experiencing take-it-or-leave-it standard contracts? How does the ability to negotiate depend on the size of the customer, the sensitivity of the data, the purpose for which the data will be used, or other factors?  5.     クラウド利用者はクラウドプロバイダーとの契約についてどの程度交渉することができるのか?顧客はどの程度、「取るか取らないか」の標準的な契約を経験しているのか?交渉の可否は、顧客の規模、データの機密性、データの使用目的、その他の要因にどのように依存するか?
6.     What incentives are cloud providers offering to customers to obtain more of the cloud services they need from a single provider? Are cloud providers linking, tying, or bundling their cloud services with other services?  6.     クラウドプロバイダーは、顧客が必要とするクラウドサービスの多くを単一のプロバイダーから取得するために、顧客に対してどのようなインセンティブを提供しているか?クラウドプロバイダーは、自社のクラウドサービスを他のサービスと連携させたり、抱き合わせたり、バンドルしたりしているか?
7.     What are the trends in pricing practices used by cloud providers? How have pricing practices made it easier or more difficult for customers of cloud services to understand and control the amount of money they spend on cloud services?  7.     クラウドプロバイダーが採用している価格設定の傾向はどのようなものか?クラウドサービスの顧客がクラウドサービスに費やす金額を理解し、コントロールすることを、価格設定によってどのように容易に、あるいは難しくしているか?
8.     To what extent do cloud providers offer products based on open-source software?    8.     クラウド事業者は、どの程度、オープンソースソフトウェアに基づく製品を提供しているか?  
a)     What is the impact of such offerings on competition?   a) そのような製品の提供は、競争にどのような影響を与えるか? 
b)     How have recent changes to the terms of open-source licenses affected cloud providers’ ability to offer products based on open-source software?  b) オープンソースライセンスの条件に対する最近の変更は、オープンソースソフトウェアに基づく製品を提供するクラウドプロバイダーの能力にどのような影響を与えたか?
9.     What types of products or services do cloud providers offer based on, dependent on, or related to artificial intelligence (AI)? To what extent are AI products or services dependent on the cloud provider they are built on, or are they cloud-agnostic? How does the use of AI affect competition among cloud providers today and into the future?  9.     クラウドプロバイダーは、人工知能(AI)に基づく、依存する、または関連するどのような種類の製品またはサービスを提供しているか?AI製品やサービスは、どの程度、それらが構築されるクラウドプロバイダーに依存しているか、あるいはクラウドに依存しないか?AIの利用は、現在および将来のクラウドプロバイダー間の競争にどのような影響を与えるか?
10.  What barriers (e.g., contractual, technological, or other), if any, exist to offering services that compete with individual services offered by cloud infrastructure providers (e.g., hosted databases, Content Delivery Networks, etc.)? What costs do cloud customers face in:  10.  クラウドインフラプロバイダーが提供する個々のサービス(例:ホスト型データベース、コンテンツデリバリーネットワークなど)と競合するサービスを提供する上で、契約上、技術上、その他の障壁があるとすれば、それはどのようなものであるか?クラウドの顧客は、以下のようなコストに直面する: 
a)     switching software services?   a) ソフトウェア・サービスを切り替えること? 
b)     using multiple cloud providers?  b) 複数のクラウドプロバイダーを利用する場合?
c)     porting their data from one cloud provider to another? How important is data portability to competition and to entry?  c) データをあるクラウドプロバイダーから別のクラウドプロバイダーに移行する場合、どのようなコストがかかるか?データのポータビリティは、競争や参入にとってどの程度重要か?
Security Risks  セキュリティリスク 
11.  To what extent are particular segments of the economy reliant on a small handful of cloud service providers and what are the data security impacts of this reliance?  11.  経済の特定の分野が、どの程度、一握りのクラウドサービスプロバイダーに依存しているか、また、この依存がデータセキュリティに与える影響は何か。
12.  Do cloud providers compete on their ability to provide secure storage for customer data?  Do cloud providers compete on the understandability of the user interface or APIs used to configure security and access features to avoid inadvertent exposure of customer data?  12.  クラウドプロバイダーは、顧客データの安全な保存を提供する能力で競争しているか? クラウドプロバイダーは、顧客データの不用意なエクスポージャーを避けるために、セキュリティやアクセス機能を設定するために使用するユーザーインターフェースやAPIの分かりやすさで競争しているか?
13.  What diligence regarding data security do potential customers conduct when selecting a cloud provider?  13.  潜在的な顧客は、クラウドプロバイダーを選択する際に、データセキュリティに関してどのような注意を払うか?
14.  What representations do cloud providers make to their customers about data security or interoperability? What information do cloud providers provide to potential customers such that potential customers can evaluate the providers’ security measures and interoperability capabilities?  14.  クラウドプロバイダーは、データセキュリティや相互運用性に関して、顧客に対してどのような表明をしているか?クラウド事業者は、潜在的な顧客が事業者のセキュリティ対策や相互運用性を評価できるように、潜在的な顧客にどのような情報を提供しているか?
15.  Do cloud vendors provide types of customers with different information during diligence than they provide to other types of customers? If so, does this vary by contracts or contractual provisions, or by their ability to monitor their performance and security?  15.  クラウドベンダーは、ディリジェンスの際に、ある種の顧客に対して、他のタイプの顧客に提供するのとは異なる情報を提供するか?もしそうなら、それは契約や契約条項によって、あるいは性能やセキュリティを監視する能力によって異なるか?
16.  Under what circumstances do cloud vendors identify security risks related to their customers’ security design or implementation/configuration (e.g., a publicly accessible data store containing personal information) and notify customers of that risk?   16.  クラウドベンダーは、どのような状況下で、顧客のセキュリティ設計又は実装・構成(例えば、個人情報を含む一般にアクセス可能なデータストア)に関連するセキュリティリスクを特定し、そのリスクについて顧客に通知するか。 
a)     How frequently does this occur?  a) これはどれくらいの頻度で発生するのか?
b)     In this scenario, when and how does the vendor notify the customer?  b) このシナリオでは、ベンダーはいつ、どのように顧客に通知するか。
17.  What effect does security-related regulation (e.g., GLBA Safeguards Rule, HIPAA Security Rule, etc.) have on market dynamics?  17.  セキュリティ関連の規制(GLBA Safeguards Rule、HIPAA Security Ruleなど)は、市場力学にどのような影響を与えるか。
18.  Can companies comply with contractual obligations to do due diligence on the security of third party cloud providers to whom they entrust information to ensure that those third party cloud providers implement appropriate security measures, and to monitor third party cloud providers’ security on an ongoing basis? If so, how do companies do this due diligence?   18.  企業は、情報を預ける第三者のクラウドプロバイダーのセキュリティについてデューデリジェンスを行い、その第三者のクラウドプロバイダーが適切なセキュリティ対策を実施していることを確認し、第三者のクラウドプロバイダーのセキュリティを継続的に監視するという契約上の義務を遵守できるか。その場合、企業はどのようにこのデューデリジェンスを行うのか。 
19.  How is responsibility for the security of consumers’ personal information allocated between cloud vendors and cloud customers (e.g., allocated by standardized vendor-provided contract or by custom contract)?    19.  消費者の個人情報のセキュリティに関する責任は、クラウドベンダーとクラウド顧客の間でどのように配分されるか(例えば、ベンダーが提供する標準的な契約によって配分されるか、カスタム契約によって配分されるか)。  
a)     How is this allocation conveyed in specific contractual provisions?  a) 具体的な契約条項の中で、この配分はどのように伝えられているか。
b)     Is this allocation of responsibility clear? If not, why?  b) この責任分担は明確か。そうでない場合、その理由は?
c)     Is this allocation of responsibility effective at protecting the information? Why?  c) この責任分担は、情報の保護に有効か?なぜか?
20.  How is responsibility for responding to a breach of data stored in the cloud or other security incident allocated between cloud vendors and customers (e.g., allocated by standardized vendorprovided contract or by custom contract)?    20.  クラウド上に保存されたデータの漏洩やその他のセキュリティインシデントに対応する責任は、クラウドベンダーと顧客の間でどのように配分されているか(例えば、ベンダーが提供する標準的な契約やカスタム契約によって配分される)。  
a)     How is this allocation conveyed in specific contractual provisions?   a) 具体的な契約条項の中で、この割り当てはどのように伝えられているか。 
b)     Is this allocation of responsibility clear? If not, why?  b) この責任分担は明確か。そうでない場合、その理由は?
c)     Is this allocation of responsibility effective at facilitating prompt and legally-compliant data breach response? Why?  c) この責任分担は、迅速かつ法令に準拠したデータ侵害への対応を促進する上で有効か。なぜか?

| | Comments (0)

厚生労働省 医療情報システムの安全管理に関するガイドライン 第6.0版(案) の審議(第16回健康・医療・介護情報利活用検討会医療等情報利活用ワーキンググループ資料)

こんにちは、丸山満彦です。

厚生労働省の健康・医療・介護情報利活用検討会医療等情報利活用ワーキンググループの第16回検討会が開催され、医療情報システムの安全管理に関するガイドライン 第6.0版(案)や医療機関におけるサイバーセキュリティ対策が議論されたようですね。。。

昨年末に意見募集が行われた医療情報システムの安全管理に関するガイドライン 第6.0版の骨子(案)の意見募集結果をうけて、医療情報システムの安全管理に関するガイドライン 第6.0版(案)等について意見募集がおこなわれるようですね。。。

本編は、「概説編」、「経営管理編」、「企画管理編」、「システム運用編」の4つになるようですね。。。読者ごとに分けたいといことなのでしょうが、こういう分け方をしてしまうと、ガイドラインが組織のあり方を規定してしまうようなところもでてくるような気もしていて、わかりやすさとのバランスで難しいなぁと感じていたりします。。。

20230324-63349

出典:参考資料1-3 医療情報システムの安全管理に関するガイドライン 第 6.0 版 概説編(案)

原稿の第5.2版からの大きな変更になりそうで、「第5.2 版→第6.0 版 項目移行対応表(案)」が作成されているのは、よいですね。。。

余談ですが、面白なぁとおもったのは、診療所や個人薬局のような(個人事業者なり)のところ向けの「小規模医療機関等向けガイダンス」(案)でして、名称が「[特集] 小規模医療機関等向けガイダンス 」(案)となっていて、[特集] というのが珍しいなぁと思いました。。。

次の「[特集] 医療機関等におけるサイバーセキュリティ」(案)も [特集] なのですが、こちらはサイバー攻撃に適用した特集ともよめるので、まぁありかなぁと思ったりはします。。。

 

また、医療法に基づく立入検査についても議論がされているようで、、、

20230324-65221

出典:【資料2-2】 医療機関の立入検査の概要

厚生労働省や保健所の職員も忙しくなりそうです。。。立ち入り検査を実行的なものにするためには、検査をする人についてもサイバーセキュリティについての一定の知識が必要となりますから、その教育もまた重要となるでしょうね。。。でないと、お互いに事務作業を増やすだけという(企画した人は満足でしょうが、)意味のないことになってしまいますからね。。。このあたりは、職員研修、増員を含むリソースの見直しもセットでしないといけないでしょうね。。。

 

● 厚生労働省 - 政策について - 審議会・研究会等 - 医政局が実施する検討会等 - 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ 

・2023.03.23 第16回健康・医療・介護情報利活用検討会医療等情報利活用ワーキンググループ資料について

 

 

20230324-70011

20230324-70020

20230324-70454

20230324-70034

20230324-70040

20230324-70050

20230324-70056

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.02.23 厚生労働省 意見募集 医療情報システムの安全管理に関するガイドライン第6.0版」の骨子(案) (2023.02.16)

・2022.04.04 厚生労働省 医療情報システムの安全管理に関するガイドライン 第5.2版(令和4年3月)

・2021.10.08 厚生労働省 意見募集 医療機器のサイバーセキュリティ導入に関する手引書

・2021.02.02 厚生労働省 医療情報システムの安全管理に関するガイドライン 第5.1版(令和3年1月)

・2020.10.05 厚生労働省 医療情報システムの安全管理に関するガイドライン第5.1版(案)に関する御意見の募集について

・2020.08.23 総務省 経済産業省 「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」(案)に対する意見募集の結果及び当該ガイドラインの公表

・2020.03.27 厚労省 医療情報システムの安全管理に関するガイドライン 改定素案(第 5.1 版)

・2020.03.10 厚労省の「医療情報システムの安全管理に関するガイドライン」の改訂作業が始まりましたね。。。

・2020.03.06 「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」(案)に対する意見の募集

・2009.12.26 厚生労働省 パブコメ 「医療情報システムの安全管理に関するガイドライン 第4.1版(案)」

・2009.11.22 パブコメ 厚生労働省 「診療録等の保存を行う場所について」の一部改正

・2009.07.17 総務省 確定 「ASP・SaaS事業者が医療情報を取り扱う際の安全管理に関するガイドライン」

・2009.05.23 総務省 パブコメ 「ASP・SaaS事業者が医療情報を取り扱う際の安全管理に関するガイドライン(案)」

・2009.04.09 厚生労働省 確定 医療情報システムの安全管理に関するガイドライン 第4版

・2008.03.08 厚生労働省 パブコメ 「医療情報システムの安全管理に関するガイドライン第3版(案)」 & 経済産業省 パブコメ 「医療情報を受託管理する情報処理事業者向けガイドライン案」

・2007.04.14 厚生労働省 確定 「医療情報システムの安全管理に関するガイドライン 第2版」

・2005.04.09 医療情報システムの安全管理に関するガイドライン

・2005.03.05 医療情報システム パブコメ

 

 

| | Comments (0)

OECD 先進のプライバシー強化技術 - 現在の規制・政策アプローチ (2023.03.08)

こんにちは、丸山満彦です。

PETsが話題になってから久しいですが、、、実際の導入はどのような感じなんでしょうかね。。。

 

● OECD Library - Papers - OECD Digital Economy Papers

・2023.03.08 Emerging privacy-enhancing technologies Current regulatory and policy approaches

Emerging privacy-enhancing technologies 先進のプライバシー強化技術
Current regulatory and policy approaches 現在の規制・政策アプローチ
This report examines privacy-enhancing technologies (PETs), which are digital solutions that allow information to be collected, processed, analysed, and shared while protecting data confidentiality and privacy. The report reviews recent technological advancements and evaluates the effectiveness of different types of PETs, as well as the challenges and opportunities they present. It also outlines current regulatory and policy approaches to PETs to help privacy enforcement authorities and policy makers better understand how they can be used to enhance privacy and data protection, and to improve overall data governance. 本報告書では、プライバシー強化技術(PETs)について検討する。PETsとは、データの機密性とプライバシーを保護しながら、情報の収集、処理、分析、共有を可能にするデジタルソリューションのことである。本報告書では、最近の技術的進歩をレビューし、さまざまなタイプのPETsの有効性と、それらがもたらす課題と機会を評価する。また、プライバシー保護当局や政策立案者が、プライバシーとデータ保護を強化し、データガバナンス全体を改善するためにPETをどのように利用できるかをより理解できるように、PETに対する現在の規制および政策アプローチの概要を説明している。

 

・[PDF] Emerging privacy-enhancing technologies Current regulatory and policy approaches

20230323-162506

 

エグゼクティブサマリー...

Executive summary  エグゼクティブサマリー 
Overview  概要 
Privacy-enhancing technologies (PETs) are a collection of digital technologies and approaches that permit collection, processing, analysis and sharing of information while protecting the confidentiality of personal data. In particular, PETs enable a relatively high level of utility from data, while minimising the need for data collection and processing. PETs are not new but latest advances in connectivity and computation capacity have led to a fundamental shift in how data can be processed and shared. While still in their infancy, these developments hold immense potential to move society closer to the continuing process and practice of privacy by design, and thereby to foster trust in data sharing and re-use.   プライバシーバシー強化技術(PETs)とは、個人情報の機密性を保護しながら、情報の収集、処理、分析、共有を可能にするデジタル技術やアプローチの集合体である。特に、PETは、データの収集と処理の必要性を最小限に抑えながら、データから比較的高いレベルの有用性を引き出すことを可能にする。PETは新しいものではないが、接続性と計算能力の最新の進歩により、データの処理と共有の方法が根本的に変化している。まだ発展途上ではあるが、これらの開発は、プライバシー・バイ・デザインの継続的なプロセスと実践に社会を近づけ、それによってデータの共有と再利用における信頼を醸成する計り知れない可能性を秘めている。 
A growing number of policy makers and privacy enforcement authorities (PEAs) are considering how to incorporate PETs in their domestic privacy and data protection frameworks. However, the highly technical and fast evolving nature of these technologies often presents a barrier to implementation by organisations and to their consideration in policy and legal frameworks applicable to data.   国内のプライバシーおよびデータ保護の枠組みにPETをどのように組み込むかを検討している政策立案者やプライバシー実施当局(PEA)の数は増えている。しかし、これらの技術は高度に技術的であり、急速に進化しているため、組織による導入や、データに適用される政策や法的枠組みにおける検討の障壁となることが多い。 
This report, informed by a questionnaire to OECD members and partner economies on their regulatory and policy approaches to PETs, aims to help policy makers and regulators, most notably PEAs, better consider PETs for privacy protection, and data governance more broadly. To that end, it takes stock of technological developments related to PETs; assesses the maturity of various types of PETs and the opportunities and challenges of their use; and presents current regulatory and policy approaches to PETs.   本報告書は、OECD 加盟国およびパートナーエコノミーに対し、PET に対する規制・政策アプ ローチに関するアンケートを実施し、政策立案者および規制当局、特に PEA が、プライバシー保護 およびより広範なデータガバナンスのために PET をよりよく検討するのに役立つことを目的としている。この目的のため、PETsに関連する技術開発を把握し、様々な種類のPETsの成熟度とその使用の機会と課題を評価し、PETsに対する現在の規制と政策アプローチを提示する。 
Key technologies, their maturity, opportunities and challenges   主要技術、成熟度、機会、課題  
PETs can be divided into four categories: data obfuscation, encrypted data processing, federated and distributed analytics and data accountability tools  PETは、データ難読化、暗号化データ処理、連携・分散分析、データ説明責任ツールの4つのカテゴリーに分けられる 
•       Data obfuscation tools include zero-knowledge proofs (ZKP), differential privacy, synthetic data, and anonymisation and pseudonymisation tools. These tools increase privacy protections by altering the data, by adding “noise” or by removing identifying details. Obfuscating data enables privacy-preserving machine learning and allows information verification (e.g., age verification) without requiring sensitive data disclosure. Data obfuscation tools can leak information if not implemented carefully however. Anonymised data for instance can be re-identified with the help of data analytics and complementary data sets.   ・データ難読化ツールには、ゼロ知識証明(ZKP)、差分プライバシー、合成データ、匿名化・仮名化ツールなどがある。これらのツールは、データを変更したり、「ノイズ」を追加したり、識別情報を削除したりすることで、プライバシー保護を強化する。データを難読化することで、プライバシーを保護した機械学習が可能になり、機密データの開示を必要とせずに情報の検証(年齢確認など)ができるようになる。しかし、データ難読化ツールは、注意深く実装されなければ、情報を漏洩する可能性がある。例えば、匿名化されたデータは、データ分析および補完的なデータセットの助けを借りて再識別することができる。 
•       Encrypted data processing tools include homomorphic encryption, multi-party computation including private set intersection, as well as trusted execution environments. Encrypted data processing PETs allow data to remain encrypted while in use (in-use encryption) and thus avoiding the need to decrypt the data before processing. For example, encrypted data processing tools were widely deployed in Covid tracing applications. These tools have limitations however. For instance, their computation costs tend to be high although tools are emerging that address this limitation.    ・暗号化されたデータ処理ツールには、同型暗号化、プライベートセットの交差を含むマルチパーティ計算、信頼できる実行環境などがある。暗号化データ処理PETは、使用中にデータを暗号化したままにしておくことができ(使用中暗号化)、処理前にデータを復号化する必要を回避することができる。例えば、暗号化データ処理ツールは、Covidトレースアプリケーションに広く導入されている。しかし、これらのツールには限界がある。例えば、計算コストが高くなる傾向があるが、この制限に対処するツールも登場している。
•       Federated and distributed analytics allows executing analytical tasks upon data that are not visible or accessible to those executing the tasks. In federated learning, fo example, a technique gaining increased attention, data are pre-processed at the data source. In this way, only the summary statistics/results are transferred to those executing the tasks. Federated learning models are deployed at scale, for instance, in predictive text applications on mobile operating systems to avoid sending sensitive keystroke data back to the data controller. Federated and distributed analytics requires reliable connectivity to operate however.   ・連携分析や分散型分析では、実行者からは見えない、あるいはアクセスできないデータに対して分析タスクを実行することができる。例えば、注目されている連携学習では、データはデータソースで前処理される。これにより、タスクの実行者には、要約された統計や結果のみが転送される。例えば、モバイルOSの予測テキストアプリケーションでは、機密性の高いキーストローク・データをデータ管理者に送り返さないようにするため、統合学習モデルが大規模に展開される。しかし、統合・分散アナリティクスを運用するには、信頼できる接続性が必要である。
•       Data accountability tools include accountable systems, threshold secret sharing, and personal data stores. These tools do not primarily aim to protect the confidentiality of personal data at a technical level and are therefore often not considered as PETs in the strict sense. However, these tools seek to enhance privacy and data protection by enabling data subjects’ control over their own data, and to set and enforce rules for when data can be accessed. Most tools are in their early stages of development, have narrow sets of use cases and lack stand-alone applications.   ・データの説明責任ツールには、説明可能なシステム、閾値の秘密共有、個人データストアなどがある。これらのツールは、技術的なレベルで個人データの機密性を保護することを主目的としていないため、厳密な意味でのPETとはみなされないことが多い。しかし、これらのツールは、データ管理者が自分のデータを管理し、データにアクセスする際のルールを設定・実施できるようにすることで、プライバシーとデータ保護を強化することを目的としている。ほとんどのツールは開発の初期段階にあり、使用事例が狭く、独立したアプリケーションもない。
The high potential of PETs to protect the confidentiality of (personal and non-personal) data is recognised, and with this its potential to help raise the level of privacy and data protection and promote the rights of individuals. However, apart from a still limited number of solid and convincing data processing use cases, there is also agreement that the level of maturity of PETs is still unequal.  個人及び非個人)データの機密性を保護するためのPETの高い可能性は認識されており、これによって、プライバシー及びデータ保護のレベルを高め、個人の権利を促進するのに役立つ可能性がある。しかし、確実で説得力のあるデータ処理のユースケースの数がまだ限られていることを除けば、PETの成熟度はまだ不平等であるとの意見もある。
The role of PETs for implementing the OECD Privacy Guidelines’ Basic Principles  OECDプライバシーガイドラインの「基本原則」を実施するためのPETsの役割 
PETs offer new functionalities that  can assist with the implementation of the basic privacy principles of the OECD Privacy Guidelines on collection limitation, use limitation and security safeguards. To some extent, PETs can also support the individual participation and accountability principles.   PETは、OECDプライバシーガイドラインの収集制限、使用制限、セキュリティ保護に関する基本的なプライバシー原則の実施を支援することができる新しい機能性を提供する。また、PETは、ある程度、個人の参加と説明責任の原則を支援することができる。 
However, PETs can also challenge the implementation of certain basic privacy principles. For example, data controllers using encrypted data processing tools may lose the ability to “see” data feeding into their models. This can contradict the need for personal data to be relevant to the purposes for which they are to be used, and, to the extent necessary for those purposes, to be accurate, complete and kept updated (“data quality principle”).   しかし、PET は、特定の基本的プライバシー原則の実施に異議を唱えることもできる。例えば、暗号化されたデータ処理ツールを使用するデータ管理者は、自分のモデルに入力されるデータを「見る」能力を失う可能性がある。これは、個人データが使用目的に関連し、その目的に必要な範囲で、正確で、完全で、更新されているという必要性(「データの質の原則」)と矛盾する可能性がある。 
PET should not be regarded as “silver bullet” solutions. They cannot substitute legal frameworks but operate within them, so that their applications will need to be combined with legally binding and enforceable obligations to protect privacy and data protection rights.  PET は、「銀の弾丸」のような解決策と見なすべきではない。PET は法的枠組みを代替するものではなく、法的枠組みの中で運用されるものであるため、 その適用には、プライバシーとデータ保護の権利を保護するための法的拘束力と強制力のある義務 を組み合わせる必要がある。
Regulatory and policy approaches to PETs  PETに対する規制・政策的アプローチ 
PETs are often addressed explicitly and/or implicitly in countries’ privacy and data protection laws and regulations through: legal requirements for privacy and data protection by design and by default; requirements for de-identification, digital security and accountability; and/or regulatory mandates to PEAs to further promote adoption of PETs.   PETsは、多くの場合、各国のプライバシーおよびデータ保護に関する法律や規制の中で、 設計上およびデフォルトでのプライバシーおよびデータ保護の法的要件、非識別化、デジタルセ キュリティ、および説明責任の要件、ならびにPETsの採用をさらに促進するためのPEAへの 規制上の義務付けを通じて、明示的または暗黙的に取り上げられている。 
These measures are often complemented by guidance issued by governments or PEAs that help clarify the measures. However, regulators tend not to adopt definitive positions on the merits of certain PETs to meet specific legal requirements, for example on cross-border data transfers, which underscores the difficulty in definitively validating specific PET solutions in a rapidly evolving landscape.   これらの措置は、政府または PEA が発行するガイダンスによって補完され、措置の明確化を支援するこ とが多い。しかし、規制当局は、例えば国境を越えたデータ転送など、特定の法的要件を満たすための特定のPETの利点について決定的な立場をとらない傾向があり、急速に進化する状況の中で特定のPETソリューションを決定的に検証することの難しさを浮き彫りにしている。 
In addition, countries have adopted a wide variety of policy initiatives to promote innovation in and with PETs. They do this through research and technology development, adoption of secure data processing platforms, certification of trusted PETs, innovation contests, regulatory and other sandboxes and deployment of digital identity solutions.   さらに、各国は、PETのイノベーションを促進するために、様々な政策イニシアチブを採用している。研究および技術開発、安全なデータ処理プラットフォームの採用、信頼できる PET の認証、イノベーションコンテスト、規制およびその他のサンドボックス、デジタル ID ソリューションの展開を通じて、このような取り組みを行っている。 

 

 

Table 1. Overview of major types of PETs, their opportunities and challenges
Types of PETs Key technologies Current and potential applications* Challenges and limitations
Data obfuscation tools Anonymisation / Pseudonymisation Secure storage Ensuring that information does not leak (risk of re-identification)
Amplified bias in particular for synthetic data
Insufficient skills and competences
Synthetic data Privacy-preserving machine learning
Differential privacy Expanding research opportunities
Zero-knowledge proofs Verifying information without requiring disclosure (e.g. age verification) Applications are still in their early stages
Encrypted data processing tools Homomorphic encryption Computing on encrypted data within the same organisation
Computing on private data that is too sensitive to disclose Contact tracing / discovery
Data cleaning challenges
Ensuring that information does not leak
Higher computation costs
Multi-party computation(including orivate set intersection)
Trusted execution environments Computing using models that need to remain private Higher computation costs
Digital security challenges
Federated and distributed analytics Federated learning Privacy-preserving machine learning Reliable connectivity needed
Information on data models need to be made available to data processor
Distributed analytics
Data accountability tools Accountable systems Setting and enforcing rules regarding when data can be accessedImmutable tracking of data access by data controllers Narrow use cases and lack stand-alone applications
Configuration complexity
Privacy and data protection compliance risks where distributed ledger technologies are used
Digital security challenges
Not considered as PETs in the strict sense

 

 

1. 主なPETの種類とその機会、課題の概要
PETの種類 キーテクノロジー 現在のアプリケーションと潜在的なアプリケーション*。 課題と限界
データ難読化ツール 匿名化・仮名化 セキュアなストレージ ・情報が漏れないようにする(再識別のリスク)
・特に合成データではバイアスが増幅される。
・スキルやコンピテンシーが不足している
合成データ プライバシー保護に配慮した機械学習
差分プライバシー 研究機会の拡大
ゼロ知識証明 開示を必要としない情報の確認(年齢確認など) ・アプリケーションはまだ初期段階にある
暗号化されたデータ処理ツール 同型暗号化 同一組織内の暗号化されたデータで計算する
公開できないほど機密性の高い個人データのコンピューティング コンタクトトレース/ディスカバリー
・データクリーニングの課題・情報漏えいのないようにする・計算コストが高い 
マルチパーティコンピューティング(オリベイトセット交点含む)
信頼できる実行環境 非公開のモデルを使用したコンピューティング ・計算コストが高い・デジタルセキュリティの課題
連携・分散型分析 連携学習 プライバシー保護に配慮した機械学習 ・信頼性の高いコネクティビティが必要・データ処理者がデータモデルに関する情報を入手できるようにする必要がある。
分散型分析
データアカウンタビリティツール アカウンタブルシステム データへのアクセスに関するルールの設定と実施
データ管理者によるデータアクセスの不変的なトラッキング
・ユースケースが狭くスタンドアロンなアプリケーションがない
・構成が複雑
・分散型台帳技術を使用する場合のプライバシーおよびデータ保護コンプライアンスリスク
・デジタルセキュリティの課題
・厳密な意味でのPETとはみなさない
閾値秘密分散  
個人情報保管/個人情報管理システム データ主体に自己のデータに対するコントロールを提供すること

 

 目次...

Table of contents  目次 
Foreword まえがき
Executive summary エグゼクティブサマリー
1 Introduction 1 序文
1.1. The emergence of privacy-enhancing technologies 1.1. プライバシー強化技術の登場
1.2. Goals of the report 1.2. 報告書の目標
1.3. Evolving paradigms 1.3. 進化するパラダイム
1.4. Moving towards privacy and data protection by design 1.4. デザインによるプライバシーとデータ保護への移行
2 Current definitions and categorisations of PETs 2 PETの現在の定義とカテゴリー分け
2.1. Towards a common understanding of privacy-enhancing technologies 2.1. プライバシー強化技術の共通理解に向けて
2.2. Existing definitions and their evolution 2.2. 既存の定義とその変遷
2.3. Existing categorisations 2.3. 既存のカテゴリー分け
2.4. Proposed working definition and taxonomy 2.4. 作業定義と分類法の提案
3 Major types of PETs, their maturity, opportunities and challenges 3 PETの主な種類とその成熟度、機会と課題
3.1 Categories of privacy-enhancing technologies (PETs) 3.1 プライバシー強化技術(PETs)のカテゴリー
3.2. Data obfuscation tools 3.2. データ難読化ツール
3.3. Encrypted data processing tools 3.3. 暗号化されたデータ処理ツール
3.4. Federated and distributed analytics 3.4. 連携・分散型分析
3.5. Data accountability tools 3.5. データ説明責任ツール
4 Regulatory and policy approaches to PETs 4 PETに対する規制・政策的アプローチ
4.1. Legislation and guidance on the use of PETs 4.1. PETの使用に関する法規制とガイダンス
4.2. Measures to foster innovation in and with PETs 4.2. PETにおける、またPETを用いたイノベーションを促進するための施策
5 Conclusions 5 結論
References 参考文献

 

 

| | Comments (0)

2023.03.23

OECD AIにおけるアカウンタビリティの高度化 (2023.02.23)

こんにちは、丸山満彦です。

AIは人類に大きな影響を及ぼすこと可能性をもっていると思うのですが、影響力を人間社会にどう行使するかで、良い方向にも悪い方向にも影響を与えるということになります(良いとか悪いとかは社会で決めることですから。。。)

そこで、私たちの価値観に照らしてどのように使えば良いのか、良くないのかを決め、その通りに行われているかを影響をうける関係者に知らしめ、その使い方に納得してもらうということが重要なのだろうと思います。。。

 

● OECD Library - Papers - OECD Digital Economy Papers

・2023.02.23 Advancing accountability in AI - Governing and managing risks throughout the lifecycle for trustworthy AI

Advancing accountability in AI AIにおけるアカウンタビリティの高度化
Governing and managing risks throughout the lifecycle for trustworthy AI 信頼できるAIのために、ライフサイクルを通じてガバナンスとリスクマネジメントを行う。
This report presents research and findings on accountability and risk in AI systems by providing an overview of how risk-management frameworks and the AI system lifecycle can be integrated to promote trustworthy AI. It also explores processes and technical attributes that can facilitate the implementation of values-based principles for trustworthy AI and identifies tools and mechanisms to define, assess, treat, and govern risks at each stage of the AI system lifecycle. 本報告書は、信頼できるAIを推進するために、リスクマネジメントのフレームワークとAIシステムのライフサイクルをどのように統合できるかを概観し、AIシステムにおける説明責任とリスクに関する研究と知見を提示する。また、信頼できるAIのための価値観に基づく原則の実施を促進できるプロセスと技術的属性を探り、AIシステムのライフサイクルの各段階におけるリスクを定義、評価、処理、管理するためのツールとメカニズムを特定するものである。
This report leverages OECD frameworks – including the OECD AI Principles, the AI system lifecycle, and the OECD framework for classifying AI systems – and recognised risk-management and due-diligence frameworks like the ISO 31000 risk-management framework, the OECD Due Diligence Guidance for Responsible Business Conduct, and the US National Institute of Standards and Technology’s AI risk-management framework. 本報告書は、OECD AI原則、AIシステムライフサイクル、AIシステムを分類するOECDフレームワークなどのOECDのフレームワークや、ISO31000リスクマネジメントフレームワーク、OECD責任ある企業行動のためのデューディリジェンスガイダンス、米国国立標準技術研究所のAIリスクマネジメントフレームワークなどの公認リスクマネジメントおよびデューディリジェンスのフレームワークを活用している。

 

・[PDF] Advancing accountability in AI - Governing and managing risks throughout the lifecycle for trustworthy AI

20230323-103606

 

Background and objectives  背景と目的 
This report presents research and findings on accountability and risk in AI systems, building on previous OECD work on AI and the work of experts from the OECD.AI network of experts (Annexes A, B and C). This research contributes to understanding the components of the nascent fields of accountability and risk in AI and instigate discussion of their contribution to trustworthy AI. The report leverages OECD frameworks – including the OECD AI Principles, the AI system lifecycle, and the OECD framework for classifying AI systems – and recognised risk-management and due-diligence frameworks like the ISO 31000 risk-management framework, the OECD Due Diligence Guidance for Responsible Business Conduct, and the US National Institute of Standards and Technology’s AI risk-management framework.  本報告書は、AIに関するOECDの過去の研究成果およびOECD.AI専門家ネットワークの専門家の研究成果(附属書A、B、C)を踏まえ、AIシステムにおける説明責任とリスクに関する研究および知見を提示するものである。この研究は、AIにおけるアカウンタビリティとリスクという新しい分野の構成要素を理解し、信頼できるAIへの貢献について議論を促すことに寄与する。本報告書は、OECD AI原則、AIシステムライフサイクル、AIシステム分類のためのOECDフレームワークなどのOECDのフレームワークや、ISO31000リスクマネジメントフレームワーク、OECDデューディリジェンスガイダンス、米国国立標準技術研究所のAIリスクマネジメントフレームワークなどの公認リスクマネジメントおよびデューディリジェンスのフレームワークを活用している。
This report does not provide precise guidance to assess AI risks and impacts, which is the topic of related work undertaken in co-operation with major AI regulatory and standardisation actors. Rather, it:  本報告書は、AIのリスクと影響を評価するための正確なガイダンスを提供するものではなく、これは主要なAI規制および標準化関係者と協力して行われた関連作業のテーマである。むしろ、それは 
1.    Provides a comprehensive overview of how risk-management frameworks and the AI system lifecycle can be integrated to promote trustworthy AI;  1.    リスクマネジメントのフレームワークとAIシステムのライフサイクルをどのように統合すれば、信頼できるAIを推進できるかについて、包括的な概観を提供する; 
2.    Explores processes and technical attributes that can facilitate the implementation of values-based principles for trustworthy AI (such as the OECD AI Principles); and  2.    信頼できるAIのための価値観に基づく原則(OECDのAI原則など)の実施を促進することができるプロセスと技術的特性を探求する。
3.    Identifies tools and mechanisms to define, assess, treat, and govern risks at each stage of the AI system lifecycle.  3.    AIシステムのライフサイクルの各段階におけるリスクを定義、評価、治療、管理するためのツールやメカニズムを特定する。

 

エグゼクティブサマリー...

Executive summary  エグゼクティブサマリー 
One of the ten OECD AI Principles refers to the accountability that AI actors bear for the proper functioning of the AI systems they develop and use. This means that AI actors must take measures ensure their AI systems are trustworthy – i.e. that they benefit people; respect human rights and fairness; are transparent and explainable; and are robust, secure and safe. To achieve this, actors need to govern and manage risks throughout their AI systems’ lifecycle – from planning and design, to data collection and processing, to model building and validation, to deployment, operation and monitoring.   OECDのAI10原則の1つは、開発・使用するAIシステムが適切に機能するために、AIアクターが負うべき説明責任について言及している。つまり、AIアクターは、そのAIシステムが信頼に足るものであること、すなわち、人々に利益をもたらすこと、人権と公正さを尊重すること、透明で説明可能であること、堅牢で安全であることを保証する措置を取らなければならない。これを実現するために、アクターはAIシステムのライフサイクル全体(計画・設計から、データ収集・処理、モデル構築・検証、展開・運用・モニタリングまで)を通してリスクを管理・統制する必要がある。 
The following four important steps can help to manage AI risks throughout the lifecycle: (1) Define scope, context, actors and criteria; (2) Assess the risks at individual, aggregate, and societal levels; (3) Treat risks in ways commensurate to cease, prevent or mitigate adverse impacts; and (4) Govern the risk management process. Risk management should be an iterative process whereby the findings and outputs of one step continuously inform the others.   以下の4つの重要なステップは、ライフサイクルを通じてAIのリスクを管理するのに役立つ:(1)範囲、コンテキスト、アクター、基準を定義する、(2)個人、集合体、社会レベルでリスクを評価する、(3)悪影響を停止、防止、緩和するために相応の方法でリスクを処理する、(4)リスクマネジメントプロセスを管理する、。リスクマネジメントは、1つのステップで得られた知見やアウトプットが他のステップに継続的に反映されるような反復プロセスであるべきである。 
Defining the scope, context, actors and criteria to evaluate is the first step to managing an AI system’s risks, which differ depending on the use case and the circumstances. The context of an AI system includes its socioeconomic and physical environment and its potential impacts on people and on the planet. Examining an AI system’s context and scope also includes understanding how the system is developed and maintained, including whether a system is built in-house or by a third party. In addition, analysing trade-offs is key to unlocking AI benefits while managing risks and it is also important to consider AI risks against the risks of not using AI in contexts where it can provide key insights.  評価する範囲、文脈、関係者、基準を定義することは、AIシステムのリスクをマネジメントするための最初のステップである。AIシステムのコンテキストには、社会経済的・物理的環境、人々や地球への潜在的な影響などが含まれる。また、AIシステムのコンテキストとスコープを検討することは、システムが社内で構築されているか、第三者によって構築されているかなど、システムがどのように開発され、維持されているかを理解することを含む。さらに、トレードオフを分析することは、リスクをマネジメントしながらAIの利点を引き出すための鍵であり、AIが重要な洞察を提供できる文脈でAIを使用しない場合のリスクと比較して、AIのリスクを検討することも重要である。
Assessing AI risks and impacts means identifying, evaluating and measuring the risks that could affect an AI system’s ability to function as intended and in a trustworthy manner. Several tools can help assess risks, such as tools to indicate system transparency, detect bias, identify privacy violations and assess a system’s security and robustness.   AIのリスクと影響を評価することは、AIシステムが意図したとおりに信頼できる形で機能する能力に影響を与える可能性のあるリスクを特定、評価、測定することを意味する。システムの透明性を示すツール、バイアスを検出するツール、プライバシー侵害を特定するツール、システムのセキュリティと堅牢性を評価するツールなど、いくつかのツールがリスク評価に役立つ。 
Treating the risks should be commensurate to their potential adverse impacts. Risk treatment refers to the techniques designed to cease, prevent, or mitigate problems identified during the assessment of an AI system, considering the likelihood and impact of each risk. Responses can be technical, such as implementing privacy-preserving machine learning frameworks or de-identifying training data, or processrelated, such as requiring documentation of AI model or training data characteristics or ensuring conformity with safety regulations. For risks that cause adverse impacts, redress mechanisms and remedial actions may be required.   リスクの処置は、その潜在的な悪影響に見合ったものであるべきである。リスク処理とは、各リスクの可能性と影響を考慮し、AIシステムの評価中に特定された問題を停止、予防、軽減するために設計された技法を指す。対応には、プライバシーを保護する機械学習フレームワークの実装や訓練データの非特定化などの技術的なものと、AIモデルや訓練データの特性の文書化の要求や安全規制への適合の確保などのプロセスに関するものがある。悪影響を及ぼすリスクについては、救済メカニズムや改善措置が必要となる場合がある。 
Governance underpins the AI risk management process in two ways. First, it provides a layer of scrutiny over the AI risk management process, including through continual monitoring and review, as well as documenting, communicating, and consulting on actions and outcomes. Second, it offers a variety of mechanisms to embed the AI risk management process into broader organisational governance, fostering a culture of risk management both within organisations and across the entire AI value chain.    ガバナンスは、2つの方法でAIリスクマネジメントのプロセスを支えている。第一に、ガバナンスは、継続的なモニタリングとレビュー、行動と結果の文書化、コミュニケーション、コンサルティングなどを通じて、AIリスクマネジメントプロセスに対する監視の層を提供する。第二に、AIリスクマネジメントプロセスをより広範な組織ガバナンスに組み込むための様々なメカニズムを提供し、組織内およびAIバリューチェーン全体にわたってリスクマネジメントの文化を醸成することである。  
•       Monitoring and reviewing is an continual process taking into account the evolving nature of some AI systems and the environments in which they operate. It includes technical components such as verifying that training data is not out-of-date to avoid “data drift”. It also includes non-technical components such as monitoring AI incidents, i.e. cases where AI risks materialised into harm.   ・モニタリングとレビューは、一部のAIシステムの進化する性質と、それらが運用される環境を考慮した継続的なプロセスである。これには、「データ・ドリフト」を避けるために学習データが古くなっていないことを確認するといった技術的な要素が含まれる。また、AIインシデント(AIのリスクが具体化し、被害が発生したケース)を監視するなどの非技術的な要素も含まれる。 
•       Documenting the steps, decisions, and actions conducted during risk management and explaining their rationale can bolster accountability if it enhances transparency and enables human review. It means keeping a log or audit trail that informs functions like auditing, certification, and insurance. Whether the AI system is built in-house or by a third party, documentation and logs should “follow the system” throughout the AI system lifecycle. That is, each party or actor – AI developer, data processor AI vendor and AI deployer – might need to conduct its own assessment and document actions taken to manage risks.  ・リスクマネジメントで実施した手順、決定、行動を文書化し、その根拠を説明することで、透明性が高まり、人によるレビューが可能になれば説明責任を強化することができる。これは,監査、認証、保険などの機能に情報を提供するログや監査証跡を保持することを意味する。AIシステムが社内で構築されたものであれ,第三者によって構築されたものであれ,文書とログはAIシステムのライフサイクルを通じて「システムを追う」べきである。つまり、AI開発者、データ処理者、AIベンダー、AI実装者といった各関係者または行為者は、独自の評価を行い、リスクを管理するために行った行動を文書化する必要があるかもしれない。
•       Communicating that an AI system meets regulatory, governance, and ethical standards is also crucial since the core objective of AI risk management is to ensure AI systems are trustworthy and safe and protect human rights and democratic values. Where appropriate, it is important to verify and communicate that an AI system conforms to and is interoperable with national and international regulations and standards.   ・AIリスクマネジメントの中核的な目的は、AIシステムが信頼性と安全性を確保し,人権と民主主義の価値を守ることであるため、AIシステムが規制,ガバナンス,倫理基準を満たすことを伝えることも重要である。適切な場合には,AIシステムが国内外の規制や基準に適合し、相互運用可能であることを検証し、伝えることが重要である。
•       Consultation about processes and results is a core element of trustworthy AI because everyone directly or indirectly involved in or affected by the development or use of an AI system plays a role in ensuring accountability in the AI ecosystem. All actors should manage risks based on their roles, the context, and following the state-of-the-art. Actors in the AI ecosystem include: (1) the suppliers of AI knowledge and resources providing the inputs (i.e. “from whom?”); (2) the actors actively involved in the design, development, deployment and operation of the AI system (i.e. “by whom?”); (3) the users of the AI system (i.e. “for whom?”); and (4) the stakeholders affected by the AI system, including vulnerable groups (i.e. “to whom?”).   ・AIシステムの開発または使用に直接または間接的に関与し、または影響を受けるすべての人が、AIエコシステムにおける説明責任を確保する役割を果たすため、プロセスと結果に関する協議は、信頼できるAIの中核的要素である。すべてのアクターは、それぞれの役割、文脈に基づき、最先端の技術に従ってリスクマネジメントを行う必要がある。AIエコシステムにおけるアクターには、以下のようなものがある: (1)インプットを提供するAIの知識や資源の供給者(=「誰から」)、(2)AIシステムの設計、開発、展開、運用に積極的に関わるアクター(=「誰が」)、(3)AIシステムのユーザー(=「誰のために」)、(4)弱者層を含むAIシステムの影響を受けるステークホルダー(=「誰に」)。 
•       Embedding a culture of risk management in policies and management systems is needed both across organisations operating AI systems and the AI value chain. A culture of risk management requires strong commitment by organisations’ leadership teams.   ・AIシステムを運用する組織とAIバリューチェーンの両方において、ポリシーとマネジメントシステムにリスクマネジメントの文化を根付かせることが必要である。リスクマネジメントの文化は,組織のリーダーシップチームによる強いコミットメントを必要とする。

 

1. Structural view

01_20230323110801

 

 

2. Functional view

02_20230323110901

 

 

 


 目次、図表...

Table of contents  目次 
Foreword  まえがき 
Acknowledgements  謝辞 
Abstract  概要
Résumé  履歴書 
Übersicht  編集部 
Background and objectives  背景と目的 
Executive summary  エグゼクティブサマリー 
Synthèse  エグゼクティブサマリー 
Zusammenfassung  エグゼクティブサマリー 
1. Introduction  1. 序文 
1.1 The need for trustworthy AI  1.1 信頼されるAIの必要性 
1.2 What is trustworthy AI? 16 1.3 What is accountability in AI?  1.2 信頼できるAIとは?16 1.3 AIにおけるアカウンタビリティとは何か?
2. DEFINE: Scope, context, actors, and criteria  2. 定義:スコープ、コンテキスト、アクター、クライテリア 
2.1 Scope  2.1 スコープ 
2.2 Context  2.2 コンテクスト 
2.3 Actors  2.3 アクター
2.4 Criteria  2.4 規準
3. ASSESS: Identify and measure AI risks  3. 評価:AIリスクを特定し、測定する 
3.1 Benefiting people and the planet  3.1 人と地球のためになること 
3.2 Human-centred values and fairness  3.2 人間中心の価値観と公平性 
3.3 Transparency and explainability  3.3 透明性・説明可能性 
3.4 Robustness, security, and safety  3.4 ロバスト性、セキュリティ、安全性 
3.5 Interactions and trade-offs between the values-based Principles  3.5 価値観に基づく原則の間の相互作用とトレードオフ 
4. TREAT: Prevent, mitigate, or cease AI risks  4. 脅威:AIリスクを予防、軽減、停止させる。
4.1 Risks to people and the planet  4.1 人と地球へのリスク 
4.2 Risks to human-centred values and fairness  4.2 人間中心の価値観と公正さへのリスク 
4.3 Risks to transparency and explainability  4.3 透明性・説明可能性へのリスク 
4.4 Risks to robustness, security, and safety  4.4 堅牢性、セキュリティ、安全性に対するリスク 
4.5 Anticipating unknown risks and contingency plans  4.5 未知のリスクの予期とコンティンジェンシープラン 
5. GOVERN: Monitor, document, communicate, consult and embed  5. 統治:監視、文書化、コミュニケーション、協議、定着化 
5.1 Monitor, document, communicate and consult 44 5.2 Embed a culture of risk management  5.1 監視、文書化、伝達、相談 44 5.2 リスクマネジメントの文化を根付かせる。
6. Next steps and discussion  6. 次のステップとディスカッション 
Annex A. Presentations relevant to accountability in AI from the OECD.AI network of experts  附属書 A. OECD.AI専門家ネットワークによるAIにおける説明責任に関連するプレゼンテーション 
Annex B. Participation in the OECD.AI Expert Group on Classification and Risk  附属書 B. OECD.AI分類とリスクに関する専門家グループへの参加 
Annex C. Participation in the OECD.AI Expert Group on Tools and Accountability  附属書 C. OECD.AI ツールおよび説明責任に関する専門家グループへの参加 
References  参考文献 
   
FIGURES 
Figure 1.1. High-level AI risk-management interoperability framework  図1.1. ハイレベルなAIリスクマネジメントの相互運用性フレームワーク 
Figure 1.2. Sample uses of the high-level AI risk management interoperability framework  図1.2. ハイレベルなAIリスクマネジメント相互運用性フレームワークの使用例 
Figure 2.1. Actors in an AI accountability ecosystem  図2.1. AIアカウンタビリティ・エコシステムのアクター 
Figure 3.1. UK Information Commissioner’s Office (ICO) qualitative rating for data protection  図3.1. 英国情報コミッショナー事務所(ICO)のデータ保護に関する定性評価 
Figure 3.2. Mapping of algorithms by explainability and performance 35 Figure 5.1. Trade-off between information concealed and auditing detail by access level  図3.2. 説明可能性と性能によるアルゴリズムのマッピング 35 図5.1. アクセスレベルによる、隠された情報と監査の詳細さのトレードオフ 
   
TABLES 
Table 2.1. Sample processes and technical attributes per OECD AI Principle  表2.1. OECD AI原則に基づくプロセスおよび技術的属性の例 
Table 3.1. Examples of documentation to assess transparency and traceability at each phase of the AI system lifecycle  表3.1. AIシステムライフサイクルの各段階における透明性・トレーサビリティを評価するための文書例 
Table 4.1. Approaches to treating risks to people and the planet  表4.1. 人と地球へのリスクを扱うためのアプローチ 
Table 4.2. Approaches to treating bias and discrimination  表4.2. バイアスや差別を扱うためのアプローチ 
Table 4.3. Approaches to treating risks to privacy and data governance  表4.3. プライバシーとデータガバナンスに対するリスクを扱うためのアプローチ 
Table 4.4. Approaches to treating risks to human rights and democratic values  表4.4. 人権や民主的価値に対するリスクを扱うためのアプローチ 
Table 4.5. Approaches to treating risks to transparency and explainability  表4.5. 透明性・説明可能性へのリスクを扱うためのアプローチ 
Table 4.6. Approaches to treating risks to robustness, security, and safety  表4.6. 堅牢性、セキュリティ、安全性に対するリスクを処理するためのアプローチ 
Table 5.1. Characteristics of AI auditing and review access levels  表5.1. AI監査・レビューアクセスレベルの特徴 

 

 

まるちゃんの情報セキュリティ気まぐれ日記

米国...

・2023.03.14 米国商工会議所 人工知能報告書

・2023.03.11 NIST ホワイトペーパー NIST AI 100-2e2023(ドラフト)敵対的機械学習:攻撃と防御の分類と用語集

・2023.03.08 米国 情報技術産業協会 (ITI) AIに関する新たな政策提言を発表 (2023.03.02)

・2023.01.27 NIST AIリスクフレームワーク

・2022.12.05 日本内部監査協会 COSO「人工知能の可能性を最大限に実現する」 (2022.11.21)

・2022.11.11 NIST ホワイトペーパー 【プロジェクト概要】コンテキストにおけるAI/MLバイアスの緩和

・2022.10.07 米国 科学技術政策局 AI権利章典の青写真

・2022.09.20 米国 ITI AIシステムの透明性を実現するためのグローバルな政策原則 (2022.09.15)

・2022.08.24 NIST 意見募集 AIリスクマネジメントフレームワーク(第2ドラフト)とそのプレイブック

・2022.08.19 NIST ホワイトペーパー(ドラフト) コンテキストにおけるAI/MLバイアスの緩和

・2022.07.31 スタンフォード大学 AI監査のアイデア募集 賞金総額は約1000万円 (^^) (2022.07.11)

・2022.07.21 米国 国土安全保障省検査局 米国税関・国境警備局は空港での国際線旅行者の識別のために顔認識のポリシーを遵守している (2022.07.07)

・2022.06.02 米国 GAO 消費者保護:議会は消費者ランク付けに使用されるスコアに関する保護の強化を検討すべき (2022.05.26)

・2022.06.01 米国 消費者金融保護局 AIを使った与信結果についても消費者にその理由を説明しなければならない

・2022.05.17 AIサプライチェーンリスク (米国下院 科学・宇宙・技術委員会での証言から)(2022.05.11)

・2022.04.30 米国 GAO ブログ 人工知能は国家安全保障をどう変えるか (2022.04.19)

・2022.04.20 米国 商務省 国家AI諮問委員会に27名を任命

・2022.03.22 NIST 意見募集 AIリスクマネジメントフレームワーク(初期ドラフト)

・2022.03.21 NIST SP1270 人工知能におけるバイアスの識別と管理の標準化に向けて

・2022.03.20 米国 ピュー研究所 AIと人間強化についての調査

・2022.02.08 米国 下院 アルゴリズム説明責任法案 2022

・2021.12.23 CSET AIと偽情報キャンペーンの未来 パート1:RICHDATAフレームワーク

・2021.12.23 米国 購買担当職員に対するAIトレーニング法が上院を通過

・2021.07.23 U.S. GAO 人工知能のための新しい枠組み at 2021.06.30

・2021.06.25 NIST SP1270 Draft 人工知能におけるバイアスの識別と管理

・2021.06.24 MITRE ATLASでAIの脅威から守る

・2021.05.10 米国連邦政府 人工知能イニシアティブ

・2021.04.21 U.S. FTC(連邦取引委員会) のブログ 会社でAIを活用する場合は真実、公正、公平を目指そう、という記事がありますね。。。

・2021.03.31 米国 CSET AI安全性の主要概念:概要

・2020.11.30 米国 OMBが「人工知能アプリケーション規制のためのガイダンス」を発行

・2020.09.12 2024年までに戦闘機でAIパイロットをテストすることを含め、米国はAIの軍事利用で世界をリードする by エスパー国防長官

・2020.08.21 NISTはAIに自己説明を求める?(説明可能な人工知能の4原則)

・2020.06.15 カーネギーメロン大学 ソフトウェア研究所 AIエンジニアリングのリスク管理の視点

・2020.05.04 米国国防省と人工知能(戦略と倫理)

 

日本

2022.08.31 産総研 「機械学習品質マネジメントガイドライン 第3版」「機械学習品質評価・向上技術に関する報告書第2版」(2022.08.02)

2022.08.09 経済安全保障関係 「経済安全保障重要技術育成プログラムにかかる研究開発ビジョン検討WG の検討結果について(報告)」のサイバーセキュリティ関係...

2022.07.26 総務省 AIネットワーク社会推進会議 「報告書2022」

2022.05.02 内閣府 AI戦略2022 (2022.04.22)

・2022.04.03 日本クラウド産業協会(ASPIC) AI クラウドサービスの情報開示認定制度

・2022.02.17 総務省 「AIを用いたクラウドサービスに関するガイドブック」の公表+AIを用いたクラウドサービスの安全・信頼性に係る情報開示指針(ASP・SaaS編)

・2022.01.29 経済産業省 AI原則実践のためのガバナンス・ガイドライン ver. 1.1

2021.08.07 総務省 AIネットワーク社会推進会議 「報告書2021」の公表

2021.02.16 IPA 2018年10月に発刊されたAI白書2019のPDF版を公開

・2020.03.31 AI 倫理指針の動向とパーソナル AI エージェント by 中川裕志先生   AI 原則は機能するか?―非拘束的原則から普遍的原則への道筋 by 新保史生先生

 

中国...

・2022.12.23 中国 インターネット情報サービス深層合成管理規定についての専門家のコメント... (2022.12.12)

・2022.12.17 中国 インターネット情報サービス深層合成管理規定 (深層合成で作ったものにはマークを...)(2022.11.25)

・2022.08.15 中国 国家サイバースペース管理局 インターネット情報サービスのアルゴリズム申請に関する情報公開の公告

・2022.04.25 中国 人工知能白書 2022 (2022.04.12)

・2022.01.30 中国 国家サイバースペース管理局 意見募集 インターネット情報サービスの深層合成の管理に関する規定(意見募集稿)

・2022.01.05 中国 インターネット情報サービスのアルゴリズム推奨管理規則

・2021.08.28 中国 意見募集 国家サイバースペース管理局 「インターネット情報サービスのアルゴリズムによる推奨に関する管理規定」

・2020.11.10 中国 TC260 パブコメ AI倫理に関するガイドライン案

 

 

英国...

・2022.12.10 英国 データ倫理・イノベーションセンター「業界温度チェック:AI保証の障壁と実現要因」

・2022.11.06 英国 データ倫理・イノベーションセンター データおよびAIに対する国民の意識:トラッカー調査(第2回)

・2022.10.19 イングランド銀行 「第2回調査 英国の金融業界における機械学習」とディスカッションペーパー「人工知能と機械学習」についての意見募集 (2022.10.11)

・2022.10.28 英国 ICO 未熟なバイオメトリクス技術は人を差別する可能性がある「バイオメトリクス洞察レポート」「バイオメトリクス予見レポート」

・2022.05.30 英国 情報コミッショナー 顔認識データベース会社Clearview AI Incに750万ポンド以上の罰金を科し、英国人のデータの削除を命じた

・2021.12.19 英国 AIバロメータ21 公表

・2021.12.09 英国 AI保証に向けたロードマップを公表(AI認証制度?)

・2021.04.21 英国政府 データ倫理とイノベーションセンターのブログ AIの保証についての3つの記事

・2021.09.24 英国 国家AI戦略

・2020.12.20 UK ICO 雇用決定にアルゴリズムを使用する際に考慮すべき6つのこと

 

欧州他...

・2023.03.23 OECD AIにおけるアカウンタビリティの高度化 (2023.02.23)

・2023.03.23 OECD 人工知能のための国家的な計算能力構築のための青写真 (2023.02.28)

・2023.01.08 ノルウェー 個人データ保護局 AI利用における透明性についての報告書 (2022.12.21)

・2022.12.21 世界経済フォーラム (WEF) 製造業における人工知能から価値を解き放つ (2022.12.12)

・2022.12.08 EU理事会 AI法に関する見解を採択

・2022.09.30 欧州委員会 AI責任指令案

・2022.09.23 ⽇欧産業協⼒センター 欧州デジタル政策 (Vol.1-3)

・2022.06.18 英国 Ada Lovelace 協会: EUのAI法について説明 (2022.04.11)

・2022.05.23 ハンガリー AIを利用したコールセンターでの顧客対応がGDPR違反と判定された事例(ハンガリー銀行)

・2022.05.12 世界経済フォーラム (WEF) 「AI Procurment in a Box」を使ってみる:実装からのインサイト

・2022.05.05 フランス CNIL AIについてのリンク集 (2022.04.05)

・2022.04.20 AIガバナンスの標準? ISO/IEC 38507:2022 Information technology — Governance of IT — Governance implications of the use of artificial intelligence by organizations

・2022.02.24 OECD AIシステム分類のためのOECDフレームワーク

・2021.12.15 ENISA 機械学習アルゴリズムの保護

・2021.12.05 欧州理事会 AI法改正案を欧州議会に提出

・2021.10.24 豪州 ビクトリア州  人工知能とプライバシーに関する報告書(2つ)

・2021.09.09 紹介 AIインシデントデータベース

・2021.06.30 WHO 保健のための人工知能の倫理とガバナンス

・2021.06.28 EU 外交政策ツールとしての人工知能ガバナンス

・2021.06.22 欧州保険職業年金局 (EIOPA) 欧州保険セクターにおける倫理的で信頼できるAIガバナンス原則に関するレポートを公表

・2021.05.07 ドイツ連邦情報セキュリティ局 (BSI) が「監査可能なAIシステムを目指して - 現状と今後の展望」を公表しています

・2020.12.18 ENISA AI サイバーセキュリティのチャレンジ - AI脅威状況報告を公表していますね。

・2020.10.25 『スマートサイバー AI活用時代のサイバーリスク管理』第24回 サイバー犯罪に関する白浜シンポジウムの発表資料

・2020.05.01 (人工知能 AI)ブラックボックスの検証:アルゴリズムシステムを評価するためのツール - アルゴリズムの監査・影響評価のための共通言語の特定

・2020.03.28 EU Ethics Guidelines for Trustworthy AI(信頼できるAIのためのEU倫理ガイドライン)

・2020.02.27「AI倫理に関する現状」芳田千尋氏

 

 

| | Comments (0)

OECD 人工知能のための国家的な計算能力構築のための青写真 (2023.02.28)

こんにちは、丸山満彦です。

人工知能の利用にはどの程度の計算容量等が必要か、、、それを想定した国の計画が必要になってくるだろう。。。という話のようですね。。。

この報告書では、

  1. 能力(利用可能性と利用)、
  2. 効果(人材、政策、イノベーション、アクセス)、
  3. レジリエンス(セキュリティ、主権、持続可能性)

の3つの側面から、国家レベルのAIコンピューティング計画を策定する方法について指針を示しているとのことです。。。

 

● OECD Library - Papers - OECD Digital Economy Papers

・2023.02.28 A blueprint for building national compute capacity for artificial intelligence

A blueprint for building national compute capacity for artificial intelligence 人工知能のための国家的計算能力構築のための青写真
Artificial intelligence (AI) is transforming economies and promising new opportunities for productivity, growth, and resilience. Countries are responding with national AI strategies to capitalise on these transformations. However, no country today has data on, or a targeted plan for, national AI compute capacity. This policy blind-spot may jeopardise domestic economic goals. This report provides the first blueprint for policy makers to help assess and plan for the national AI compute capacity needed to enable productivity gains and capture AI’s full economic potential. It provides guidance for policy makers on how to develop a national AI compute plan along three dimensions: capacity (availability and use), effectiveness (people, policy, innovation, access), and resilience (security, sovereignty, sustainability). The report also defines AI compute, takes stock of indicators, datasets, and proxies for measuring national AI compute capacity, and identifies obstacles to measuring and benchmarking national AI compute capacity across countries. 人工知能(AI)は経済を変革し、生産性、成長、レジリエンスのための新たな機会を約束しています。各国は、こうした変革に対応するため、国家AI戦略で対応している。しかし、現在、どの国も、国家的なAI計算能力に関するデータ、またはそのための目標計画を有していない。この政策の盲点は、国内の経済目標を危うくする恐れがある。本報告書は、生産性の向上を実現し、AIの経済的可能性を最大限に引き出すために必要な国家的AI計算能力の評価と計画を支援するために、政策立案者のための最初の青写真を提供する。本報告書は、政策立案者向けに、能力(利用可能性と利用)、効果(人材、政策、イノベーション、アクセス)、レジリエンス(セキュリティ、主権、持続可能性)の3つの側面から、国家レベルのAIコンピューティング計画を策定する方法について指針を示している。また、本報告書は、AIコンピュートの定義、国のAIコンピュート能力を測定するための指標、データセット、プロキシを把握し、国のAIコンピュート能力を測定し、各国間でベンチマークする上での障害を明らかにしている。

 

・[PDF] A BLUEPRINT FOR BUILDING NATIONAL COMPUTE CAPACITY FOR ARTIFICIAL INTELLIGENCE

20230323-23815

 

Executive summary   エグゼクティブサマリー  
Artificial intelligence (AI) is transforming economies and promising new opportunities for productivity, growth, and resilience. Embracing AI-enabled transformation depends on the availability of infrastructure and software to train and use AI models at scale. Ensuring countries have sufficient such “AI compute capacity” to meet their needs is critical to capturing AI’s full economic potential.   人工知能(AI)は経済を変革し、生産性、成長、レジリエンスのための新たな機会を約束している。AIを活用した変革を受け入れるには、AIモデルを大規模に訓練して使用するためのインフラとソフトウェアが利用できるかどうかにかかっている。AIが持つ経済的な可能性を最大限に引き出すためには、各国がそのニーズを満たすのに十分なこうした「AIコンピュートキャパシティ」を確保することが重要である。 
Many countries have developed national AI strategies without fully assessing whether they have sufficient domestic AI compute infrastructure and software to realise their goals. Other AI enablers, like data, algorithms, and skills, receive significant attention in policy circles, but the hardware, software, and related infrastructure that make AI advances possible have received comparatively less attention. Today, standardised measures of national AI compute capacity remain a policy gap. Such measures would give OECD and partner economies a greater understanding of AI compute and its relationship to the diffusion of AI, improve the implementation of AI strategies, and inform future policy and investments.   多くの国は、目標を実現するために十分な国内のAI計算インフラとソフトウェアがあるかどうかを十分に評価することなく、国家AI戦略を策定している。データ、アルゴリズム、スキルといった他のAIイネーブラは、政策界で大きな注目を集めているが、AIの進歩を可能にするハードウェア、ソフトウェア、関連インフラは、比較的に注目されていなかった。今日、各国のAI計算能力の標準化された尺度は、依然として政策上のギャップとなっている。このような指標は、OECDとパートナーエコノミーに、AIコンピューティングとAIの普及との関係をより深く理解させ、AI戦略の実施を改善し、将来の政策と投資に情報を与えるだろう。 
The demand for AI compute has grown dramatically for machine learning systems, especially deeplearning and neural networks. According to research, the computational capabilities required to train modern machine learning systems, measured in number of mathematical operations (i.e., floating-point operations per second, or FLOPS), has multiplied by hundreds of thousands of times since 20121 (OpenAI, 2018[1]; Sevilla et al., 2022[2]), despite algorithmic and software improvements that reduce computing power needs. The increasing compute needs of AI systems create more demand for specialised AI software, hardware, and related infrastructure, along with the skilled workforce necessary to utilise them efficiently and effectively.  AIコンピュートの需要は、機械学習システム、特に深層学習とニューラルネットワークのために劇的に伸びている。研究によると、現代の機械学習システムの訓練に必要な計算能力は、数学演算数(すなわち、1秒あたりの浮動小数点演算数、またはFLOPS)で測定され、計算能力ニーズを低減するアルゴリズムやソフトウェアの改善にもかかわらず、2012年以降、数十万倍になっている1(OpenAI、2018[1]、Sevillaら、2022年[2])。AIシステムの計算ニーズが高まることで、特殊なAIソフトウェア、ハードウェア、関連インフラ、およびそれらを効率的かつ効果的に活用するために必要な熟練労働力に対する需要が高まっている。
As governments invest in developing cutting-edge AI, compute divides can emerge or deepen. An imbalance of such compute resources risks reinforcing socioeconomic divides, creating further differences in competitive advantage and productivity gains. Over the past decade, private sector led initiatives within countries have increasingly benefitted from state-of-the-art AI compute resources, particularly from commercial cloud service providers, compared to public research institutes and academia. The OECD.AI Expert Group on AI Compute and Climate advances collective understanding and measurement of AI compute to shed light on AI compute divides between countries and within national AI ecosystems.   政府が最先端のAI開発に投資することで、コンピューティングの格差が生じたり、深まったりする可能性があります。このような計算資源の不均衡は、社会経済的な格差を助長し、競争優位性や生産性向上にさらなる差を生む危険性があります。過去10年間、各国の民間主導のイニシアティブは、公的研究機関や学術機関と比較して、特に商用クラウドサービスプロバイダーから、最先端のAI計算リソースの恩恵を受けることが多くなりました。OECD.AI「AIコンピュートと気候」専門家グループは、AIコンピュートに関する集合的な理解と測定を進め、国間および各国のAIエコシステム内のAIコンピュート格差に光を当てている。 
This report offers a blueprint for policy makers to develop national AI compute plans aligned with national AI strategies and domestic needs. It takes stock of existing and proposed indicators, datasets, and proxies for measuring national AI compute capacity. Policy makers can assess technology needs and develop national AI compute plans by considering compute’s capacity (availability and use), effectiveness (people, policy, innovation, access), and resilience (security, sovereignty, sustainability).   本報告書は、政策立案者が国のAI戦略や国内のニーズに沿った国のAIコンピュート計画を策定するための青写真を提供するものである。本報告書は、国のAI計算能力を測定するための既存および提案されている指標、データセット、プロキシを把握するものである。政策立案者は、計算能力(可用性と利用)、有効性(人、政策、イノベーション、アクセス)、レジリエンス(安全保障、主権、持続可能性)を考慮することにより、技術ニーズを評価し、国家AI計算計画を策定することができる。 
Findings and measurement gaps are identified to inform future work in developing AI-specific metrics to quantify and benchmark AI compute capacity across countries. They include: national AI policy initiatives need to take AI compute capacity into account; national and regional data collection and measurement standards need to expand; policy makers need insights into the compute demands of AI systems; AI-specific measurements should be differentiated from general-purpose compute; workers need access to AI compute related skills and training for effective AI compute use; and AI compute supply chains and inputs need to be mapped and analysed.  AIに特化した測定基準を開発し、各国のAI計算能力を定量化し、ベンチマークするために必要な知見と測定上のギャップが明らかにされまた。政策立案者は、AIシステムの計算能力に関する洞察を必要としていること、AIに特化した測定は汎用計算と区別する必要があること、労働者はAI計算を効果的に利用するためにAI計算関連のスキルやトレーニングを受ける必要があること、AI計算のサプライチェーンや投入物をマッピングして分析する必要があることなどが挙げられる。

 

 目次...

Abstract 概要
Abrégé 概要
Executive summary エグゼクティブサマリー
Résumé 履歴書
Acknowledgements 謝辞
Acronyms and abbreviations 頭字語・略語
1 Introduction 1 序文
1.1. Objective of this work 1.1. 本報告書の目的
1.2. Methodology and limitations 1.2. 方法論と限界
2 Evolving trends in compute 2 進化するコンピューティングのトレンド
2.1. Trends in supercomputer performance 2.1. スーパーコンピュータの性能の推移
2.2. Trends in compute for artificial intelligence 2.2. 人工知能向けコンピュートの動向
3 Measuring AI compute: Definitions, scoping considerations, and measurement  3 AI計算を測定する:定義、スコーピングの考慮、および測定 
challenges 課題
3.1. AI compute: What is it and what is it for? 3.1. AIコンピュート。それは何であり、何のためにあるのか?
3.2. Measurement challenges 3.2. 計測の課題
3.3. Insights from preliminary survey results 3.3. 予備調査結果からの洞察
4 Blueprint for developing a national AI compute plan 4 国家AI計算機計画策定のための青写真
4.1. Aligning compute capacity with national AI strategies 4.1. 計算能力を国のAI戦略と整合させる
4.2. Considerations for a national AI compute plan 4.2. 国産AIコンピュート計画への配慮
Capacity 能力
Effectiveness 効果
Resilience レジリエンス
Additional considerations 追加検討事項
5 AI compute in national policy initiatives 5 国の政策構想におけるAIコンピュート
5.1. High-performance computing initiatives 5.1. ハイパフォーマンス・コンピューティングへの取り組み
5.2. Cloud-based services 5.2. クラウド型サービス
5.3. Supply chain initiatives 5.3. サプライチェーンへの取り組み
6 Gap analysis and preliminary findings 6 ギャップ分析と予備的知見
6.1. AI policy initiatives need to take AI compute capacity into account 6.1. AI政策の取り組みには、AIの計算能力を考慮する必要がある
6.2. National and regional data collection and measurement standards need to expand 6.2. 国や地域のデータ収集・測定基準を拡大する必要がある
6.3. Policy makers need insights into the compute demands of AI systems 6.3. 政策立案者は、AIシステムの計算需要に関する洞察を必要としている
6.4. AI-specific measurements should be differentiated from general-purpose compute 6.4. AIに特化した測定は、汎用のコンピュートと区別する必要がある
6.5. Workers need access to AI compute related skills and training 6.5. 労働者はAIコンピュート関連のスキルやトレーニングにアクセスする必要がある
6.6. AI compute supply chains and inputs need to be mapped and analysed 6.6. AIコンピュートのサプライチェーンとインプットをマッピングして分析する必要がある
7 Conclusion 7 結論
Notes 備考
References 参考文献
Annex A. Examples of existing keyword definitions 附属書 A.  既存のキーワード定義の例
Annex B. Existing datasets, indicators, and proxies for AI compute 附属書 B. AIコンピュートに関する既存のデータセット、指標、プロキシ
Annex C. Indicators under discussion 附属書 C. 検討中の指標について

 

 

| | Comments (0)

2023.03.22

ENISA 輸送セクターのサイバー脅威状況

こんにちは、丸山満彦です。

ENISAが輸送に関するサイバー脅威の状況についてまとめた報告書を公表していますね。。。

この報告書は、2021年1月から2022年10月までのサイバーインシデントから航空、海上、鉄道、道路交通を標的としたサイバー攻撃を分析し、運輸セクターのサイバー脅威の実態に新たな洞察(主要な脅威、アクター、トレンド)をもたらすことを目的としているものとのことです。。。

ENISA

・2023.03.21 ENISA Transport Threat Landscape

ENISA Transport Threat Landscape ENISA 輸送の脅威状況
his report is the first analysis conducted by the European Union Agency for Cybersecurity (ENISA) of the cyber threat landscape of the transport sector in the EU. The report aims to bring new insights into the reality of the transport sector by mapping and studying cyber incidents from January 2021 to October 2022. It identifies prime threats, actors and trends based on the analysis of cyberattacks targeting aviation, maritime, railway and road transport over a period of almost 2 years. 本報告書は、欧州連合サイバーセキュリティ機関(ENISA)が、EUにおける運輸部門のサイバー脅威の状況について初めて実施した分析である。本報告書は、2021年1月から2022年10月までのサイバーインシデントをマッピングして研究することにより、運輸部門の実態に新たな洞察をもたらすことを目的としている。約2年間にわたる航空、海上、鉄道、道路交通を標的としたサイバー攻撃の分析に基づき、主要な脅威、アクター、トレンドを特定している。

 

・[PDF] ENISA Transport Threat Landscape

 

20230322-63446

目次...

CONTENTS  目次 
1. INTRODUCTION 1. 序文
2. CYBER THREATS TO THE TRANSPORT SECTOR 2. 運輸部門におけるサイバー脅威
2.1 OBSERVED ACTIVITY 2.1 観測された活動
2.2 PRIME THREATS 2.2 主要な脅威
2.3 THREAT ACTORS & MOTIVATION 2.3 脅威アクターと動機
2.4 IMPACT 2.4 影響
3. SECTOR ANALYSIS 3. セクター分析
3.1 AVIATION SECTOR 3.1 航空セクター
3.2 MARITIME SECTOR 3.2 海事セクター
3.3 RAILWAY SECTOR 3.3 鉄道セクター
3.4 ROAD SECTOR 3.4 道路セクター
3.5 CROSS SECTOR ATTACKS 3.5 クロスセクターアタック
4. CONCLUSIONS 4. 結論
ANNEX: MAJOR INCIDENTS 附属書:重大インシデント



エグゼクティブサマリー

EXECUTIVE SUMMARY  エグゼクティブサマリー 
This is the first analysis conducted by the European Union Agency for Cybersecurity (ENISA) of the cyber threat landscape of the transport sector in the EU. The report aims to bring new insights into the reality of the transport sector by mapping and studying cyber incidents from January 2021 to October 2022. It identifies prime threats, actors and trends based on the analysis of cyberattacks targeting aviation, maritime, railway and road transport over a period of almost 2 years.  本報告書は、欧州連合サイバーセキュリティ機関(ENISA)が、EUにおける運輸部門のサイバー脅威の状況について実施した初の分析である。本報告書は、2021年1月から2022年10月までのサイバーインシデントをマッピングして研究することにより、運輸部門の実態に新たな洞察をもたらすことを目的としている。約2年間にわたる航空、海運、鉄道、道路交通を標的としたサイバー攻撃の分析に基づき、主要な脅威、アクター、トレンドを特定している。
During this period, the prime threats identified include:  この期間、特定された主要な脅威は以下の通りである。
ransomware attacks (38%),  ・ランサムウェア攻撃(38%)。
data related threats (30%),  ・データ関連の脅威(30%)。
malware (17%),  ・マルウェア(17%)。
• denial-of-service (DoS), distributed denial-of-service (DDoS) and ransom denial-of-service (RDoS) attacks (16%),  ・サービス拒否(DoS)攻撃、分散型サービス拒否(DDoS)攻撃、身代金要求型サービス拒否(RDoS)攻撃 (16%), 
phishing / spear phishing (10%),  ・フィッシング/スピアフィッシング(10%)。
supply-chain attacks (10%).  ・サプライチェーン攻撃(10%)。
During the reporting period, the threat actors with the biggest impact on the sector were state-sponsored actors, cybercriminals and hacktivists. We observed the following trends:  報告期間中、このセクターに最も大きな影響を与えた脅威の主体は、国家的な支援を受けたアクター、サイバー犯罪者、ハクティビストでした。以下のような傾向が見られた。
• Ransomware attacks became the prominent threat against the sector in 2022. Ransomware has been steadily increasing[1] and the transport sector has been affected similarly to the other sectors.  ・ランサムウェア攻撃は、2022年に同セクターに対する顕著な脅威となった。ランサムウェアは着実に増加しており[1]、輸送セクターも他のセクターと同様の影響を受けている。
• Cybercriminals are responsible for the majority of attacks on the transport sector (54%), and they target all subsectors.   ・サイバー犯罪者は輸送セクターへの攻撃の大部分(54%)を担っており、すべてのサブセクターを標的にしている。 
• Threat actors will increasingly conduct ransomware attacks with not only monetary motivations1.   ・脅威の主体は,金銭的な動機だけでなく,ランサムウェア攻撃を行うことがますます増えていくでしょう1。
• The increased hacktivist activity targeting the transport sector is likely to continue.  ・運輸部門を標的としたハクティビスト活動の活発化は今後も続くと思われる。
• The increasing rate of DDoS attacks targeting the transport sector is likely to continue.  ・運輸部門を標的としたDDoS攻撃の割合が増加していることは,今後も続くと考えられる。
• The main targets of DDoS attacks by hacktivists are European airports, railways and transport authorities.  ・ハクティビストによるDDoS攻撃の主な標的は,ヨーロッパの空港,鉄道,交通機関である。
• During this reporting period, we did not receive reliable information on a cyberattack affecting the safety of transport.  ・この報告期間中,輸送の安全に影響を与えるサイバー攻撃に関する信頼できる情報は得られなかった。
• The majority of attacks on the transport sector target information technology (IT) systems. Operational disruptions can occur as a consequence of these attacks, but the operational technology (OT) systems are rarely being targeted.   ・運輸部門に対する攻撃の大半は、情報技術(IT)システムを標的としている。これらの攻撃の結果、業務上の混乱が生じることがあるが、運用技術(OT)システムが狙われることはほとんどありません。 
• Ransomware groups will likely target and disrupt OT operations in the foreseeable future1.   ・ランサムウェアグループは,当面の間,OTオペレーションを標的とし,混乱させる可能性が高いでしょう1。
The aviation sector is facing multiple threats, with data-related threats being the most prominent, coupled by ransomware and malware. Customer data of airlines and proprietary information of original equipment manufacturers (OEM) are the prime targeted assets of the sector. In 2022, there has been a rise in the number of ransomware attacks affecting airports. Fraudulent websites impersonating airlines have become a significant threat in 2022.   航空分野は複数の脅威に直面しており、中でもデータ関連の脅威は、ランサムウェアやマルウェアと相まって最も顕著である。航空会社の顧客データやOEM(相手先ブランド製造)の専有情報は、この分野の主要な標的資産となっている。2022年には、空港に影響を及ぼすランサムウェア攻撃の数が増加している。2022年には、航空会社を装った詐欺的なウェブサイトが重要な脅威となっている。 
The maritime sector experiences ransomware, malware, and phishing attacks targeted towards port authorities, port operators, and manufacturers. State-sponsored attackers often carry out politically motivated attacks leading to operational disruptions at ports and vessels.   海事分野では、港湾局、港湾事業者、メーカーを標的としたランサムウェア、マルウェア、フィッシング攻撃が発生している。国家が支援する攻撃者は、政治的な動機で攻撃を行うことが多く、港湾や船舶の運用に支障をきたしている。 
The railway sector also experiences ransomware and data-related threats primarily targeting IT systems like passenger services, ticketing systems, and mobile applications, causing service disruptions. Hacktivist groups have been conducting DDoS attacks against railway companies with an increasing rate, primarily due to Russia's invasion of Ukraine.   鉄道分野でも、主に旅客サービス、発券システム、モバイルアプリケーションなどのITシステムを標的としたランサムウェアやデータ関連の脅威が発生しており、サービスの中断を引き起こしている。ハクティビスト集団は、主にロシアのウクライナ侵攻の影響で、鉄道会社に対してDDoS攻撃を行う割合が増加している。 
The road transport sector faces predominantly ransomware attacks, followed by data-related threats and malware. Automotive industry, especially OEM and tier-X suppliers, has been targeted by ransomware leading to production disruptions. Data-related threats primarily target IT systems to acquire customer and employee data as well as proprietary information.  道路交通セクターは、主にランサムウェア攻撃に直面しており、次いでデータ関連の脅威やマルウェアに直面している。自動車産業、特にOEMやTier-Xサプライヤーは、生産中断につながるランサムウェアの標的になっている。データ関連の脅威は、主にITシステムを標的として、顧客や従業員のデータ、専有情報を取得するものである。
There is a limited number of cyber incidents that cannot be placed in one specific subsector. These include general campaigns targeting the whole transportation sector in particular countries. These campaigns are often attributed to hacktivists and state-sponsored actors and are linked to geopolitical tensions.   特定のサブセクターに分類できないサイバーインシデントの数は限られている。これには、特定の国の運輸部門全体を標的とした一般的なキャンペーンが含まれる。このようなキャンペーンは、ハクティビストや国家に支援された行為者に起因することが多く、地政学的な緊張と関連している。 
The report also highlights issues with the reporting of cyber incidents and the fact that we still have limited knowledge and information regarding such incidents. The analysis in this report indicates that publicly disclosed incidents are just the tip of the iceberg.  また、本報告書では、サイバーインシデントの報告に関する問題や、そうしたインシデントに関する知識や情報がまだ限られているという事実も強調している。本報告書の分析は、公に開示されたインシデントは氷山の一角に過ぎないことを示している。
[1] ENISA Threat Landscape 2022  [1】ENISA 脅威状況 2022

 

結論...

4. CONCLUSIONS  4. 結論
In this report, we have performed a deep dive into the threat landscape of a particular sector, namely the transport sector. While the annual ENISA threat landscapes include sectorial analysis, the documents do not analyse the context of each sector in depth. In this report, we have tried to shed more light in the types of incidents, the actor motivations, the affected assets, the victims and the potential impacts to the transport sector. This information is often sector specific and can provide more valuable information for risk management to the cybersecurity professionals in the transport sector.  本報告書では、特定のセクター、すなわち運輸セクターの脅威ランドスケープについて深堀りを行いました。ENISAが毎年発表している脅威ランドスケープには、セクター別の分析が含まれているが、各セクターの背景を深く分析したものではありません。本報告書では、インシデントの種類、行為者の動機、影響を受ける資産、被害者、輸送部門への潜在的な影響について、より多くの光を当てることを試みました。このような情報は、多くの場合、セクター特有のものであり、運輸セクターのサイバーセキュリティ専門家にリスクマネジメントのためのより価値のある情報を提供することができます。
Ransomware attacks became the most significant threat against the sector during 2022, surpassing datarelated threats, which were the most significant threat in 2021  ランサムウェア攻撃は、2022年中に同セクターに対する最も重大な脅威となり、2021年に最も重大な脅威であったデータ関連脅威を上回った 
. However, it is still assessed that ransomware groups remain opportunistic and relatively indiscriminate in their targeting. Recent months do not indicate that there has been any particular focus on the transport sector relative to other sectors. Ransomware has been steadily increasing[1] and the transport sector has been affected similarly to the other sectors.  . しかし、ランサムウェアグループは依然として日和見的であり、比較的無差別に標的を定めていると評価されている。ここ数カ月は、他のセクターと比較して、運輸セクターに特別な焦点が当てられていることを示すものではありません。ランサムウェアは着実に増加しており[1]、運輸部門も他の部門と同様に影響を受けている。
Our assessment is that threat actors will increasingly conduct ransomware attacks with not only monetary motivations66. An example is the ransomware attack by Belarusian hacktivists against the Belarusian state railway in January 2022[2]. Hacktivists will likely be attracted by the effectiveness and the impact that ransomware attacks can have and the media attention they attract. The scale and sophistication of hacktivists’ ransomware operations are not expected to be as high as the ones conducted by cybercriminals. Finally, governmental organisations are very likely the primary targets of hacktivists’ ransomware operations.  私たちの評価では、脅威の主体が金銭的な動機だけでなく、ランサムウェア攻撃を行うことがますます増えていくだろうと考えている66。その例として、2022年1月にベラルーシのハクティビストがベラルーシ国鉄に対して行ったランサムウェア攻撃がある[2]。ハクティビストは、ランサムウェア攻撃がもたらす効果や影響、メディアの注目を集めることに魅力を感じているのだろう。ハクティビストのランサムウェア作戦の規模や洗練度は、サイバー犯罪者が行うものほど高くはないと予想される。最後に、ハクティビストのランサムウェア作戦の主な標的は、政府組織である可能性が非常に高い。
The significant increase in hacktivist activity, which followed Russia’s unprovoked invasion of Ukraine, and the increasing rate of DDoS attacks are highly likely to continue. Hacktivist elements with pro-Russian/antiNATO sentiments have been conducting DDoS attacks. These attacks targeted several European nations, perceived by the groups to be assisting Ukraine in its war effort. This increasing volume of DDoS attacks against the European transport sector was primarily observed in Q2 and Q3 2022. The main targets were European airports, railways and transport authorities. Several examples are listed below (see Annex for further information).  ロシアのウクライナへの無謀な侵攻に伴うハクティビストの活動の大幅な増加や、DDoS攻撃の増加傾向は、今後も続く可能性が高いと思われる。親ロシア・反NATOの感情を持つハクティビスト集団がDDoS攻撃を実施している。これらの攻撃は、ウクライナを支援していると思われる欧州諸国を標的としている。ヨーロッパの輸送部門に対するこのDDoS攻撃の増加量は、主に2022年第2四半期と第3四半期に観測された。主な標的は、欧州の空港、鉄道、交通当局であった。いくつかの例を以下に示します(詳細については附属書を参照)。
• In April 2022 pro-Russia hacker group Killnet claimed to be behind attacks on Romanian government websites, including railway transport operator CFR Calatori68 ・2022年4月、親ロシア派のハッカーグループKillnetが、鉄道輸送事業者CFR Calatori68を含むルーマニア政府のウェブサイトへの攻撃の背後にいると主張した。
• In May 2022 Czechia’s Directorate of Roads and Highways was targeted with DDoS attacks by Killnet, resulting in disruption to web-based services[3].  ・2022年5月、チェコの道路・高速道路総局がKillnetによるDDoS攻撃の標的となり、ウェブベースのサービスに支障をきたす結果となった[3]。
• In May 2022 Several Italian transport organisations were targeted with DDoS attacks by Legion - Cyber Spetsnaz RF[4].  ・2022年5月、イタリアのいくつかの輸送機関がLegion ・Cyber Spetsnaz RFによるDDoS攻撃の標的にされた[4]。
• In June 2022 Killnet claimed to have disrupted the website of Lithuanian Railways, preventing passengers from purchasing train tickets online[5].  ・2022年6月、Killnetはリトアニア鉄道のウェブサイトを破壊し、乗客がオンラインで列車のチケットを購入できないようにしたと主張している[5]。
• In June 2022 Latvian passenger train company SJSC was targeted with DDoS attacks, likely by pro-Russian hacktivists[6].  ・2022年6月、ラトビアの旅客鉄道会社SJSCは、親ロシア派のハクティビストによるものと思われるDDoS攻撃で標的にされた[6]。
• In July 2022 NoName057 targeted two Lithuanian airports with DDoS attacks[7].  ・2022年7月、NoName057はリトアニアの2つの空港をDDoS攻撃の標的にした[7]。
• In August 2022 Killnet claimed responsibility for attacks to more than 200 state and private Estonian institutions, including Estonia Railways[8].  ・2022年8月、Killnetは、エストニア鉄道を含む200以上のエストニアの国営および民間機関への攻撃の責任を主張した[8]。
• In August 2022 a pro-Russia hacker group known as the Cyber Army of Russia targeted the Ukrainian government’s Department of Transport Safety.  ・2022年8月、Cyber Army of Russiaとして知られる親ロシア派のハッカー集団が、ウクライナ政府の交通安全局を標的とした。
Even though pro-Russian hacktivists continue to target transport organisations in Ukraine and neighbouring countries, the capabilities of most pro-Russian hacktivists remain low and are largely limited to DDoS and defacement attacks. On the other hand, hacktivists supporting Ukraine have been conducting DDoS and ‘hack and leak’ operations. Some examples include the following.  親ロシア派のハッカー集団がウクライナや近隣諸国の交通機関を標的にし続けているとはいえ、ほとんどの親ロシア派のハッカー集団の能力は依然として低く、DDoS攻撃や改ざん攻撃にほぼ限定されている。一方、ウクライナを支援するハクティビストは、DDoSや「ハック&リーク」作戦を展開している。その例として、以下のようなものがある。
• In March 2022 hacktivist collective Anonymous (presumably) carried out an attack on the Russian Federal Air Transport Agency, deleting approximately 65 terabytes of data[9].  ・2022年3月、ハクティビスト集団アノニマス(推定)は、ロシア連邦航空輸送庁に対して攻撃を行い、約65テラバイトのデータを削除した[9]。
• In April 2022 Anonymous-linked group GhostSec claimed to have accessed an IT system of Metrospetstekhnika[10].  ・2022年4月、アノニマスに連なるグループGhostSecが、MetrospetstekhnikaのITシステムにアクセスしたと主張[10]。
• In August 2022 Anonymous claimed to have hacked Yandex Taxi, causing a massive traffic jam in Moscow[11].  ・2022年8月、AnonymousはYandex Taxiをハッキングしたと主張し、モスクワで大規模な交通渋滞を引き起こした[11]。
• In September 2022 transport in Novosibirsk was affected as hacker security group Team Onefist disrupted traffic[12].  ・2022年9月には、ハッカーセキュリティグループTeam Onefistが交通を妨害したため、ノボシビルスクの輸送に影響が出た[12]。
The majority of attacks to the transport sector target IT systems and can result in operational disruptions. However, we have not received reliable information on a cyber-attack affecting the safety of transport.   運輸部門への攻撃の大半はITシステムを標的としており、業務に支障をきたす可能性がある。しかし、輸送の安全に影響を与えるサイバー攻撃に関する信頼できる情報は得られていない。 
Ransomware groups will likely target and disrupt OT operations in the foreseeable future66. The factors contributing to this assessment are:   ランサムウェアグループは、予見可能な将来において、OTオペレーションを標的とし、混乱させる可能性が高い66。この評価の要因は以下の通りである。 
• the ongoing digital transformation in the transport sector and the increased connectivity between IT and OT networks;  ・輸送部門におけるデジタル変革の進行と,ITとOTのネットワーク間の接続性の向上。
• the increased urgency to pay ransom to avoid any critical business and social impact;  ・ビジネスや社会への重大な影響を回避するために身代金を支払う緊急性が高まっていること。
• the ongoing rebranding of ransomware groups, which increases the chances of malware blending and the development of capabilities to target and disrupt OT networks;  ・ランサムウェアグループのブランド再構築が進んでいるため,マルウェアが混在し,OTネットワークを標的として破壊する能力が開発される可能性が高まっていること。
• Russia’s military aggression against Ukraine, as ransomware groups are taking sides and are likely to conduct retaliatory attacks against critical western infrastructure;  ・ロシアのウクライナに対する軍事侵攻。ランサムウェアグループが味方となり,西側の重要なインフラに対して報復攻撃を行う可能性が高いためである。
• the increase in the number of newly identified vulnerabilities in OT environments.  ・OT環境において新たに特定された脆弱性の数の増加。
The analysis of the ransomware threat landscape from May 2021 to June 2022 resulted in some conclusions that can be regarded as lessons for the community.  2021年5月から2022年6月までのランサムウェアの脅威状況を分析した結果、コミュニティにとっての教訓とみなせる結論がいくつか得られた。
While we have not observed notable attacks on global positioning systems, the potential effect of this type of threat to the transport sector remains a concern. Jamming and spoofing of geolocation data could affect their availability and integrity, affecting transport sector operations. This type of attack requires further analysis in the future.  全地球測位システムに対する目立った攻撃は観測されていませんが、この種の脅威が輸送部門に及ぼす潜在的な影響については、依然として懸念がある。地理位置情報データの妨害やなりすましは、その可用性と完全性に影響を与え、運輸部門の業務に影響を与える可能性がある。この種の攻撃は、今後さらに分析が必要である。
When it comes to mitigating threats which target the transport sector, readers may consult the recommendations and security measures included in Annex D of the ENISA Threat Landscape 2022[13]. For each threat type, specific recommendations are provided and mapped to security measures that are part of international standards used by entities under the NIS Directive, including transport organizations[14].   運輸部門を標的とする脅威の軽減に関しては、読者はENISA Threat Landscape 2022[13]の附属書Dに含まれる推奨事項とセキュリティ対策を参考にすることができます。脅威の種類ごとに、具体的な推奨事項が提示され、輸送機関を含むNIS指令に基づく事業者が使用する国際標準の一部であるセキュリティ対策にマッピングされている[14]。 
In general, cyberattacks are rarely reported, especially those with non-significant impact or near misses. Most organisations prefer to deal with the problem internally and avoid bad publicity. Some countries have laws regulating the mandatory reporting of incidents, but in most cases a security attack is first disclosed by the attacker. In the EU, the arrival of the revised NIS2 directive[15] and the enhanced notification provisions for security incidents is expected to support a better understanding of relevant incidents.  一般に、サイバー攻撃はほとんど報告されず、特に重大でない影響やニアミスが報告されることが多い。ほとんどの組織は、問題を内部で処理し、悪い評判を避けることを好む。インシデントの報告義務化を規制する法律がある国もあるが、ほとんどの場合、セキュリティ攻撃は攻撃者が最初に公表するものである。EUでは、改正NIS2指令[15]の登場とセキュリティインシデントの通知規定の強化により、関連するインシデントの理解を深める支援が期待されている。
The lack of reliable data from targeted organisations makes it very hard to fully understand the problem or even know how many cyberattacks on the transport sector actually occur. Even using the data from the web pages of threat actors (an undeniably unreliable source), it is very hard to keep track of the actual number of attacks. The most important information that is missing is the technical explanation as to how the attackers obtained access to the targets. This is usually private data that describes the security posture of the target, so it is never shared with the public. As a consequence, our learning as a community of the problems to be solved remains fragmented and isolated.  標的となる組織からの信頼できるデータがないため、問題を完全に理解することは非常に困難であり、運輸部門に対するサイバー攻撃が実際にどれだけ発生しているのかさえ知ることができない。脅威行為者のウェブページからのデータ(紛れもなく信頼できないソース)を使用しても、実際の攻撃回数を把握することは非常に困難である。欠落している最も重要な情報は、攻撃者がターゲットへのアクセスをどのように獲得したかに関する技術的な説明である。これは通常、ターゲットのセキュリティ態勢を説明するプライベートなデータであるため、一般に共有されることはない。その結果、解決すべき問題についてのコミュニティとしての学習は、断片的で孤立したままになっている。
Moreover, the effects of cross sector dependencies could be of particular interest to the transport sector. We would require a more detailed analysis of how cyberattacks targeting the energy and telecommunications sectors could affect transport or how an attack on one means of transport could cause a disruption to another means of transport.  さらに、セクターを超えた依存関係の影響は、運輸セクターにとって特に興味深いものである可能性がある。エネルギーや通信部門を標的としたサイバー攻撃がどのように輸送に影響を与えるか、あるいはある輸送手段への攻撃がどのように別の輸送手段に混乱をもたらすかについて、より詳細な分析が必要だろう。

 

[1] ENISA Threat Landscape 2022. https://www.enisa.europa.eu/publications/enisa-threat-landscape-2022

[2] https://www.infosecurity-magazine.com/news/belarus-activists-fire-ransomware/; https://www.wired.com/story/belarus-railways-ransomware-hack-cyber-partisans/; https://www.railway-technology.com/news/belarusian-railway-cyber-breach/

68 https://www.romania-insider.com/romania-state-websites-cyberattack-2022

[3] https://english.radio.cz/cyber-agency-says-attack-czech-states-road-and-motorway-directorate-encoded-data-8751033

[4] https://www.wired.it/article/attacco-cyber-russia-italia-legion-ministero-polizia/

[5] https://www.lrt.lt/en/news-in-english/19/1728365/major-incidents-contained-after-lithuania-gets-hit-with-massive-cyber-attacks

[6] https://www.apollo.lv/7535816/ddos-uzbrukumu-del-trauceta-pasazieru-vilciena-bilesu-tirdznieciba-uznemuma-majaslapa 

[7] https://www.lrt.lt/en/news-in-english/19/1728365/major-incidents-contained-after-lithuania-gets-hit-with-massive-cyber-attacks  

[8] https://www.ohtuleht.ee/1068880/kuberrunnakus-sai-pihta-ka-eesti-raudtee

[9] https://www.aviacionline.com/2022/03/cyber-attack-on-russias-aviation-authority-this-is-what-we-know/

[10] https://securityaffairs.co/wordpress/130409/hacktivism/anonymous-hacked-other-russian-organizations.html

[11] https://securityaffairs.co/wordpress/135280/hacktivism/anonyomus-hacked-yandex-taxi.html

[12] https://www.ibtimes.com/russians-novosibirsk-forced-pound-pavements-team-onefist-paralyzes-traffic-exclusive-3611628

[13] ENISA Threat Landscape 2022 https://www.enisa.europa.eu/publications/enisa-threat-landscape-2022

[14] Minimum Security Measures for Operators of Essentials Services https://www.enisa.europa.eu/topics/nis-directive/minimum-security-measures-foroperators-of-essentials-services

[15] https://digital-strategy.ec.europa.eu/en/news/commission-welcomes-political-agreement-new-rules-cybersecurity-network-and-information-systems

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.11.08 ENISA 脅威状況 2022:不安定な地政学がサイバーセキュリティ脅威状況の傾向を揺るがす

| | Comments (0)

ENISA AIのサイバーセキュリティと標準化 (2023.03.14)

こんにちは、丸山満彦です。

ENISAがAIのサイバーセキュリティと標準化についての報告書を公表していますね。。。

これ、AIのリスク管理の面でも、法と標準の関係、AIのサイバーセキュリティというとどこまでを射程にいれるのか?という意味でも重要かもです。

AIはソフトだからソフトウェアに関するリスクは概ね当てはまる、、、その上で機械学習に特有のリスクについて考えるべきという考え方には同意です。。。

 

提言が8つほどしめされています。。。

5.2.1 すべての組織への提言
提言1:信頼性の特性やAIシステムに特有のさまざまなタイプの攻撃の分類法を含む、サイバーセキュリティのための標準化・調和されたAI用語を使用する。
5.2.2 標準策定組織への提言 
提言2:ソフトウェアのサイバーセキュリティに関連する既存の標準をAIに適用する方法について、具体的/技術的なガイダンスを作成する。また、多くの場合、汎用的な規格の適用が容易な、異なるレベル(AIシステム自体の前、例えば、インフラストラクチャ)の防御を含むべきである。同時に、技術開発によって標準化が制限される分野(例えば、継続的な学習に依存するシステムのテストと検証、AI特有の攻撃の緩和など)を監視し、奨励することが推奨される。
提言3:MLに固有の特徴を規格に反映させるべきである。考慮すべき最も明白な側面は、ハードウェア/ソフトウェアコンポーネントをAIと関連付けることによるリスク軽減、信頼できるメトリクス、およびテスト手順に関するものである。また、データとAIコンポーネントの両方のトレーサビリティとリネージも反映されるべきである。
提言4:信頼性の特性(監視、堅牢性、正確性、説明可能性、透明性など)やデータ品質に関するAI標準にサイバーセキュリティ上の潜在的な懸念が含まれるように、サイバーセキュリティ専門委員会とAI専門委員会の間にリエゾンが設置されていることを確認する。
5.2.3 AI法ドラフトの実施に向けた提言 
提言5:AIが幅広い領域で適用可能であることを踏まえ、サイバーセキュリティリスクの特定と適切なセキュリティ要件の決定は、システム固有の分析と、必要に応じてセクター固有の基準に依存すべきである。分野別標準は、水平的な標準の上に首尾一貫して効率的に構築されるべきである。
提言6:標準化が技術開発によって制限されている分野において、一方では特定の技術(例えば、敵対的攻撃への対策に関するもの)の進歩に資金を提供し、他方では研究活動において標準化の側面を統合することの重要性に対する認識を高めることにより、研究開発を奨励する。さらに、特殊な条件下で機能する特殊なアプローチの拡散によって特徴づけられる研究開発努力を導くために、体系的なアプローチによるベンチマークを促進することが提案される。
言7:適合性評価を行う関係者のツールや能力に関する基準の策定を支援する。
提言8:AI法ドラフトとサイバーセキュリティに関する他の立法イニシアティブ、特に規則(EU)2019/881(サイバーセキュリティ法)およびデジタル要素を持つ製品の水平サイバーセキュリティ要件に関する規則(サイバーレジリエンス法)の提案COM(2022)454との一貫性を確保することである。

 

Annexの表も情報の整理という意味ではよいですよね。。。

 

ENISA

・2023.03.14 Cybersecurity of AI and Standardisation

Cybersecurity of AI and Standardisation AIのサイバーセキュリティと標準化
The overall objective of the present document is to provide an overview of standards (existing, being drafted, under consideration and planned) related to the cybersecurity of artificial intelligence (AI), assess their coverage and identify gaps in standardisation. It does so by considering the specificities of AI, and in particular machine learning, and by adopting a broad view of cybersecurity, encompassing both the ‘traditional’ confidentiality–integrity–availability paradigm and the broader concept of AI trustworthiness. Finally, the report examines how standardisation can support the implementation of the cybersecurity aspects embedded in the proposed EU regulation laying down harmonised rules on artificial intelligence (COM(2021) 206 final) (draft AI Act). 本書の全体的な目的は、人工知能(AI)のサイバーセキュリティに関連する標準(既存、ドラフト中、検討中、計画中)の概要を提供し、その適用範囲を評価し、標準化におけるギャップを特定することである。これは、AI、特に機械学習の特異性を考慮し、サイバーセキュリティの広い視野を採用することで、「伝統的な」機密性、完全性、可用性のパラダイムとAIの信頼性という広い概念の両方を包含することで実現されている。最後に、本報告書では、人工知能に関する調和のとれたルールを定めたEU規制案(COM(2021) 206 final)(AI法ドラフト)に盛り込まれたサイバーセキュリティ面の実施を、標準化がいかに支援できるかを検証している。

 

・[PDF] Cybersecurity of AI and Standardisation

20230322-00904

 

目次...

TABLE OF CONTENTS  目次 
1. INTRODUCTION 1. 序文
1.1 DOCUMENT PURPOSE AND OBJECTIVES 1.1 文書の目的および目標
1.2 TARGET AUDIENCE AND PREREQUISITES 1.2 ターゲット層と前提条件
1.3 STRUCTURE OF THE STUDY 1.3 研究の構造
2. SCOPE OF THE REPORT: DEFINITION OF AI AND CYBERSECURITY OF AI 2. 報告書の範囲:AIの定義とAIのサイバーセキュリティについて
2.1 ARTIFICIAL INTELLIGENCE 2.1 人工知能
2.2 CYBERSECURITY OF AI 2.2 AIのサイバーセキュリティ
3. STANDARDISATION IN SUPPORT OF CYBERSECURITY OF AI 3. AIのサイバーセキュリティを支援する標準化
3.1 RELEVANT ACTIVITIES BY THE MAIN STANDARDS-DEVELOPING ORGANISATIONS 3.1 主要な規格開発組織による関連活動
3.1.1 CEN-CENELEC 3.1.1 CEN-CENELEC
3.1.2 ETSI 3.1.2 ETSI
3.1.3 ISO-IEC 3.1.3 ISO-IEC
3.1.4 Others 3.1.4 その他
4. ANALYSIS OF COVERAGE 4. カバレッジ分析
4.1 STANDARDISATION IN SUPPORT OF CYBERSECURITY OF AI – NARROW SENSE 4.1 AIのサイバーセキュリティを支える標準化 ・狭義の意味での標準化
4.2 STANDARDISATION IN SUPPORT OF THE CYBERSECURITY OF AI – TRUSTWORTHINESS 4.2 AI のサイバーセキュリティを支える標準化 ・信頼性
4.3 CYBERSECURITY AND STANDARDISATION IN THE CONTEXT OF THE DRAFT AI ACT 4.3 ai actのドラフトと関連したサイバーセキュリティと標準化
5. CONCLUSIONS 5. 結論
5.1 WRAP-UP 5.1 報告書のまとめ
5.2 RECOMMENDATIONS 5.2 提言
5.2.1 Recommendations to all organisations 5.2.1 すべての組織への提言
5.2.2 Recommendations to standards-developing organisations 5.2.2 規格策定組織への提言
5.2.3 Recommendations in preparation for the implementation of the draft AI Act 5.2.3 AI法ドラフトの実施に向けた提言
5.3 FINAL OBSERVATIONS 5.3 最終的な見解
A ANNEX: A 附属書
A.1 SELECTION OF ISO 27000 SERIES STANDARDS RELEVANT TO THE CYBERSECURITY OF AI A.1 AIのサイバーセキュリティに関連するISO27000シリーズ規格の選択
A.2 RELEVANT ISO/IEC STANDARDS PUBLISHED OR PLANNED / UNDER DEVELOPMENT A.2 関連する ISO/IEC 規格が発行されている、または計画されている/開発中である。
A.3 CEN-CENELEC JOINT TECHNICAL COMMITTEE 21 AND DRAFT AI ACT REQUIREMENTS A.3 CEN-CENELEC合同技術委員会21およびAi法ドラフト要求事項
A.4 ETSI ACTIVITIES AND DRAFT AI ACT REQUIREMENTS A.4 ETSIの活動とAi法ドラフトの要件

 

エグゼクティブサマリー...

EXECUTIVE SUMMARY  エグゼクティブサマリー 
The overall objective of the present document is to provide an overview of standards (existing, being drafted, under consideration and planned) related to the cybersecurity of artificial intelligence (AI), assess their coverage and identify gaps in standardisation. It does so by considering the specificities of AI, and in particular machine learning, and by adopting a broad view of cybersecurity, encompassing both the ‘traditional’ confidentiality–integrity–availability paradigm and the broader concept of AI trustworthiness. Finally, the report examines how standardisation can support the implementation of the cybersecurity aspects embedded in the proposed EU regulation laying down harmonised rules on artificial intelligence (COM(2021) 206 final) (draft AI Act).  本書の全体的な目的は、人工知能(AI)のサイバーセキュリティに関連する標準(既存、ドラフト中、検討中、計画中)の概要を提供し、その適用範囲を評価し、標準化におけるギャップを特定することである。これは、AI、特に機械学習の特異性を考慮し、サイバーセキュリティの広い視野を採用することで、「伝統的な」機密性-完全性-可用性のパラダイムとAIの信頼性という広い概念の両方を包含することで実現される。最後に、本報告書は、人工知能に関する調和された規則を定めたEU規則案(COM(2021) 206 final)(AI法ドラフト)に盛り込まれたサイバーセキュリティの側面の実施を、標準化がいかにサポートできるかを検証している。
The report describes the standardisation landscape covering AI, by depicting the activities of the main Standards-Developing Organisations (SDOs) that seem to be guided by concern about insufficient knowledge of the application of existing techniques to counter threats and vulnerabilities arising from AI. This results in the ongoing development of ad hoc reports and guidance, and of ad hoc standards.  本報告書では、AIを対象とした標準化の状況を、AIから生じる脅威や脆弱性に対抗するための既存技術の適用に関する知識不足を懸念していると思われる主要な標準化団体(SDO)の活動によって描写している。その結果、アドホックな報告書やガイダンス、アドホックな規格が継続的に開発されることになる。
The report argues that existing general purpose technical and organisational standards (such as ISO-IEC 27001 and ISO-IEC 9001) can contribute to mitigating some of the risks faced by AI with the help of specific guidance on how they can be applied in an AI context. This consideration stems from the fact that, in essence, AI is software and therefore software security measures can be transposed to the AI domain.  本報告書では、既存の汎用技術・組織規格(ISO-IEC 27001やISO-IEC 9001など)が、AIの文脈でどのように適用できるかという具体的なガイダンスの助けを借りて、AIが直面するリスクの一部を軽減することに貢献できると論じている。この考察は、本質的にAIはソフトウェアであり、したがってソフトウェアのセキュリティ対策はAIの領域に転用できるという事実に起因している。
The report also specifies that this approach is not exhaustive and that it has some limitations. For example, while the report focuses on software aspects, the notion of AI can include both technical and organisational elements beyond software, such as hardware or infrastructure. Other examples include the fact that determining appropriate security measures relies on a system-specific analysis, and the fact that some aspects of cybersecurity are still the subject of research and development, and therefore might be not mature enough to be exhaustively standardised. In addition, existing standards seem not to address specific aspects such as the traceability and lineage of both data and AI components, or metrics on, for example, robustness.  また、報告書は、このアプローチが網羅的ではなく、いくつかの制約があることを明記している。例えば、報告書はソフトウェアの側面に焦点を当てているが、AIの概念には、ハードウェアやインフラなど、ソフトウェア以外の技術的・組織的な要素も含まれ得る。また、適切なセキュリティ対策を決定するためには、システム固有の分析に依存するという事実や、サイバーセキュリティのいくつかの側面はまだ研究開発の対象であり、したがって、網羅的に標準化するほど成熟していないかもしれないという事実も含まれている。さらに、既存の規格では、データやAIコンポーネントのトレーサビリティやリネージ、堅牢性などの指標といった特定の側面には対応していないようである。
The report also looks beyond the mere protection of assets, as cybersecurity can be considered as instrumental to the correct implementation of trustworthiness features of AI and – conversely –the correct implementation of trustworthiness features is key to ensuring cybersecurity. In this context, it is noted that there is a risk that trustworthiness is handled separately within AIspecific and cybersecurity-specific standardisation initiatives. One example of an area where this might happen is conformity assessment.  また、本報告書では、単なる資産の保護にとどまらず、サイバーセキュリティはAIの信頼性機能を正しく実装するための道具であると考えられ、逆に、信頼性機能を正しく実装することがサイバーセキュリティを確保するための鍵であるとしている。この文脈では、AIに特化した標準化とサイバーセキュリティに特化した標準化の取り組みにおいて、信頼性が別々に扱われるリスクがあることに留意する必要がある。このようなことが起こりうる分野の一例として、適合性評価が挙げられる。
Last but not least, the report complements the observations above by extending the analysis to the draft AI Act. Firstly, the report stresses the importance of the inclusion of cybersecurity aspects in the risk assessment of high-risk systems in order to determine the cybersecurity risks that are specific to the intended use of each system. Secondly, the report highlights the lack of standards covering the competences and tools of the actors performing conformity assessments. Thirdly, it notes that the governance systems drawn up by the draft AI Act and the Cybersecurity Act (CSA)[1] should work in harmony to avoid duplication of efforts at national level.  最後になるが、報告書は、AI法のドラフトに分析を拡張することで、上記の見解を補完している。まず、報告書は、高リスクシステムのリスク評価において、各システムの使用目的に特化したサイバーセキュリティリスクを決定するために、サイバーセキュリティの側面を含めることの重要性を強調している。第二に、報告書は、適合性評価を行う関係者の能力とツールをカバーする基準がないことを強調している。第三に、AI法ドラフトとサイバーセキュリティ法(CSA)[1]によって策定されたガバナンスシステムは、国レベルでの努力の重複を避けるために調和して機能すべきであることを指摘している。
Finally, the report concludes that some standardisation gaps might become apparent only as the AI technologies advance and with further study of how standardisation can support cybersecurity.  最後に、報告書は、AI技術が進歩し、標準化がサイバーセキュリティをどのようにサポートできるかをさらに検討することによって初めて、いくつかの標準化のギャップが明らかになるかもしれないと結論付けている。
[1] Regulation (EU) 2019/881 of the European Parliament and of the Council of 17 April 2019 on ENISA (the European Union Agency for Cybersecurity) and on information and communications technology cybersecurity certification and repealing Regulation (EU) No 526/2013 (Cybersecurity Act) .  [1] ENISA(欧州連合サイバーセキュリティ機関)および情報通信技術のサイバーセキュリティ認証に関する2019年4月17日の欧州議会および理事会の規則(EU)2019/881および規則(EU)No 526/2013(サイバーセキュリティ法)を廃止する規則

 

結論...

5.   CONCLUSIONS  5.   結論 
This section sums up the report and recommends actions to ensure standardisation support to the cybersecurity of AI, and to the implementation of the draft AI Act.  このセクションでは、報告書を総括し、AIのサイバーセキュリティに対する標準化支援を確保し、AI法のドラフトを実施するためのアクションを推奨するものである。
5.1   WRAP-UP  5.1 報告書のまとめ 
The study suggests that general-purpose standards for information security and quality management (in particular ISO/IEC 27001, ISO/IEC 27002 and ISO/IEC 9001) can partially mitigate the cybersecurity risks related to the confidentiality, integrity and availability of AI systems. This conclusion relies on the assumption that AI is in its essence software, and therefore what is applicable to software can be applied to AI, if adequate guidance is provided.  本研究では、情報セキュリティと品質マネジメントの汎用規格(特にISO/IEC 27001、ISO/IEC 27002、ISO/IEC 9001)が、AIシステムの機密性、完全性、可用性に関するサイバーセキュリティリスクを部分的に軽減することができると示唆している。この結論は、AIは本質的にソフトウェアであり、したがって、適切なガイダンスが提供されれば、ソフトウェアに適用できるものはAIにも適用できるという仮定に依存している。
This approach can suffice at a general level but needs to be complemented by a systemspecific analysis (e.g. relying on ISO/IEC 15408-1:2009), as the identification of standardised methods supporting the CIA security objectives is often domain specific. It is a matter of debate to what extent the assessment of compliance with the resulting security requirements can be based on AI-specific horizontal standards and to what extent it can be based on vertical/sectorspecific standards.  このアプローチは一般的なレベルでは十分であるが、CIAのセキュリティ目標をサポートする標準化された方法の特定は、多くの場合、ドメイン固有であるため、システム固有の分析(例えば、ISO/IEC 15408-1:2009に依存する)によって補完する必要がある。結果として得られるセキュリティ要件への準拠を評価する際に、どの程度までAI固有の水平標準に基づき、どの程度まで垂直/分野固有の標準に基づくことができるかは、議論の余地があるところである。
Still, some standardisation gaps have been identified:  それでも、いくつかの標準化のギャップが確認されている。
•           the traceability of processes is addressed by several standards, but the traceability of the data and AI components throughout their life cycles remains an issue that cuts across most threats and remains largely unaddressed in practice, despite being covered well in various standards or drafts (e.g. ISO/IEC DIS 42001 on AI management systems [1] and the ISO/IEC CD 5259 series on data quality for analytics and ML[2]);  ・プロセスのトレーサビリティは、いくつかの規格で取り上げられているが、データとAIコンポーネントのライフサイクルのトレーサビリティは、様々な規格やドラフト(AIマネジメントシステムに関するISO/IEC DIS 42001[1]や分析及びMLのためのデータ品質に関するISO/IEC CD 5259シリーズ[2]など)で十分に取り上げられているものの、ほとんどの脅威にまたがり、実際にはほとんど対処されていない問題である。
•           the inherent features of ML are not fully reflected in existing standards, especially in terms of metrics and testing procedures;  ・MLに固有の特徴は,特に測定基準やテスト手順の点で,既存の標準に十分に反映されていない。
•           in some areas, existing standards cannot be adapted or new standards cannot be fully defined yet, as related technologies are still being developed and not yet quite mature enough to be standardised.  ・関連する技術がまだ開発中であり,標準化できるほど成熟していないため、既存の標準を適用できない、あるいは新しい標準をまだ完全に定義できない分野もある。
Going beyond the mere CIA paradigm and considering the broader trustworthiness perspective, the main takeaway is that, since cybersecurity cuts across a number of trustworthiness requirements (e.g. data governance, transparency), it is important that standardisation activities around these requirements treat cybersecurity in a coherent manner.  単なるCIAのパラダイムを超えて、より広範な信頼性の観点を考慮すると、サイバーセキュリティは多くの信頼性要件(データガバナンス、透明性など)を横断するため、これらの要件に関する標準化活動がサイバーセキュリティを一貫した方法で扱うことが重要であるということが主な要点である。
Concerning the implementation of the draft AI Act, besides the considerations above, the following gaps have been identified:  AI法ドラフトの実施に関して、上記の検討事項の他に、以下のギャップが確認されている。
•           to date there are no standards that adequately cover cybersecurity and describe the competences of organisations for auditing, certification and testing of AI systems (and AI management systems) and their evaluators;  ・サイバーセキュリティを適切にカバーし、AIシステム(およびAIマネジメントシステム)の監査、認証、テストを行う組織とその評価者の能力を記述した規格は、現在までに存在しない。
•           the abovementioned gap on areas that are the subject of R&D is relevant to the implementation of the draft AI Act, in particular with respect to data poisoning and adversarial examples.  ・研究開発の主体となっている領域に関する上記のギャップは,特にデータポイズニングと敵対的な例に関して,AI法のドラフトの実施に関連している。
5.2   RECOMMENDATIONS  5.2 提言
5.2.1         Recommendations to all organisations  5.2.1 すべての組織への提言
The ESOs have made a commitment to standardisation in support of cybersecure AI, as is evidenced by ETSI’s ISG SAI and by CEN’s JTC 21. These actions are all positive and are to be encouraged and reinforced.  ESOは、ETSIのISG SAIやCENのJTC 21で証明されているように、サイバーセキュアなAIをサポートするための標準化にコミットしている。これらの行動はすべて肯定的なものであり、奨励・強化されるべきものである。
While it is recognised that the ESOs have different operational models and different membership profiles, it is also recognised that the ESOs operate cooperatively in many fields, and this is, again, to be encouraged. Competitive effort to develop standards is to some extent inevitable and, while that is recognised, the ESOs are strongly discouraged from negative competition. One area where harmonisation is seen as essential is in the adoption of a common AI-related terminology and set of concepts not only across SDOs but also with other stakeholders. The present report does not suggest which SDO/ESO should initiate this activity but it is strongly suggested that, without a common set of cross-domain terminology and concepts, the first risk to cybersecurity would be not understanding each other[3].  ESOの運営モデルやメンバー構成はそれぞれ異なるが、ESOが多くの分野で協力的に活動していることも認識されており、これもまた奨励されるべきことである。規格開発における競争はある程度避けられないものであり、そのことは認識されているが、ESOは否定的な競争を強く推奨している。調和が不可欠と考えられる分野の1つは、SDO間だけでなく、他の利害関係者とも共通のAI関連用語と一連の概念を採用することである。本報告書では、どのSDO/ESOがこの活動を開始すべきかを示唆していないが、領域横断的な用語と概念の共通セットがなければ、サイバーセキュリティに対する最初のリスクは、お互いを理解しないことであると強く示唆されている[3]。
Recommendation 1: Use a standardised and harmonised AI terminology for cybersecurity, including trustworthiness characteristics and a taxonomy of different types of attacks specific to AI systems.  提言1:信頼性の特性やAIシステムに特有のさまざまなタイプの攻撃の分類法を含む、サイバーセキュリティのための標準化・調和されたAI用語を使用する。
5.2.2         Recommendations to standards-developing organisations  5.2.2 標準策定組織への提言 
The following recommendations are to standardisation organisations.  以下の勧告は、標準化組織に対するものである。
Recommendation 2: Develop specific/technical guidance on how existing standards related to the cybersecurity of software should be applied to AI. These should also include defences at different levels (before the AI system itself, e.g. infrastructure), for which the application of generic standards might be straightforward in many cases. At the same time, it is recommended to monitor and encourage areas where standardisation is limited by technological development, e.g. testing and validation for systems relying on continuous learning and mitigation of some AIspecific attacks.  提言2:ソフトウェアのサイバーセキュリティに関連する既存の標準をAIに適用する方法について、具体的/技術的なガイダンスを作成する。また、多くの場合、汎用的な規格の適用が容易な、異なるレベル(AIシステム自体の前、例えば、インフラストラクチャ)の防御を含むべきである。同時に、技術開発によって標準化が制限される分野(例えば、継続的な学習に依存するシステムのテストと検証、AI特有の攻撃の緩和など)を監視し、奨励することが推奨される。
Recommendation 3: The inherent features of ML should be reflected in standards. The most obvious aspects to be considered relate to risk mitigation by associating hardware/software components with AI; reliable metrics; and testing procedures. The traceability and lineage of both data and AI components should also be reflected.  提言3:MLに固有の特徴を規格に反映させるべきである。考慮すべき最も明白な側面は、ハードウェア/ソフトウェアコンポーネントをAIと関連付けることによるリスク軽減、信頼できるメトリクス、およびテスト手順に関するものである。また、データとAIコンポーネントの両方のトレーサビリティとリネージも反映されるべきである。
Recommendation 4: Ensure that liaisons are established between cybersecurity technical committees and AI technical committees so that AI standards on trustworthiness characteristics (oversight, robustness, accuracy, explainability, transparency, etc.) and data quality include potential cybersecurity concerns.  提言4:信頼性の特性(監視、堅牢性、正確性、説明可能性、透明性など)やデータ品質に関するAI標準にサイバーセキュリティ上の潜在的な懸念が含まれるように、サイバーセキュリティ専門委員会とAI専門委員会の間にリエゾンが設置されていることを確認する。
5.2.3 Recommendations in preparation for the implementation of the draft AI Act  5.2.3 AI法ドラフトの実施に向けた提言 
The following recommendations are suggested to prepare for the implementation of the draft AI Act, and should be understood as complementary to the recommendations above.  以下の勧告は、AI法ドラフトの実施に備えるために提案されたものであり、上記の勧告を補完するものとして理解されるべきである。
Recommendation 5: Given the applicability of AI in a wide range of domains, the identification of cybersecurity risks and the determination of appropriate security requirements should rely on a system-specific analysis and, where needed, sector-specific standards. Sectorial standards should build coherently and efficiently on horizontal ones.  言5:AIが幅広い領域で適用可能であることを踏まえ、サイバーセキュリティリスクの特定と適切なセキュリティ要件の決定は、システム固有の分析と、必要に応じてセクター固有の基準に依存すべきである。分野別標準は、水平的な標準の上に首尾一貫して効率的に構築されるべきである。
Recommendation 6: Encourage R&D in areas where standardisation is limited by technological development, on one hand by providing funding for the advancements in specific technologies (e.g. related to countermeasures against adversarial attacks) and on the other by raising awareness of the importance of integrating standardisation aspects in research activities. In addition, it is suggested to promote benchmarking by means of a systematic approach to guide R&D efforts, which are still characterised by a proliferation of specialised approaches that work under specialised conditions.  提言6:標準化が技術開発によって制限されている分野において、一方では特定の技術(例えば、敵対的攻撃への対策に関するもの)の進歩に資金を提供し、他方では研究活動において標準化の側面を統合することの重要性に対する認識を高めることにより、研究開発を奨励する。さらに、特殊な条件下で機能する特殊なアプローチの拡散によって特徴づけられる研究開発努力を導くために、体系的なアプローチによるベンチマークを促進することが提案される。
Recommendation 7: Support the development of standards for the tools and competences of the actors performing conformity assessment.  提言7:適合性評価を行う関係者のツールや能力に関する基準の策定を支援する。
Recommendation 8: Ensure coherence between the draft AI Act and other legislative initiatives on cybersecurity, notably Regulation (EU) 2019/881 (the Cybersecurity Act) and the proposal COM(2022) 454 for a regulation on horizontal cybersecurity requirements for products with digital elements (the Cyber Resilience Act).  提言8:AI法ドラフトとサイバーセキュリティに関する他の立法イニシアティブ、特に規則(EU)2019/881(サイバーセキュリティ法)およびデジタル要素を持つ製品の水平サイバーセキュリティ要件に関する規則(サイバーレジリエンス法)の提案COM(2022)454との一貫性を確保することである。
5.3   FINAL OBSERVATIONS  5.3 最終的な見解 
While the report gives an overview of the state of play of standardisation in support of AI, it is likely that additional standardisation gaps and needs may become apparent only as the AI technologies advance and with further study of how standardisation can support cybersecurity. Concerning the implementation of the AI Act, the importance of some gaps may vary depending on how the conformity assessment will be conceived. Last but not least, changes in the legislative landscape, with particular reference to the proposal for a Cyber Resilience Act, are expected to affect standardisation needs.  本報告書は、AIを支える標準化の現状を概観するものであるが、AI技術の進展や、標準化がサイバーセキュリティをどのように支えることができるかについての更なる検討によって初めて、さらなる標準化のギャップやニーズが明らかになる可能性があるものと思われる。AI法の実施に関しては、適合性評価の考え方によって、いくつかのギャップの重要性が異なる可能性がある。最後になるが、サイバーレジリエンス法の提案に特に言及した立法状況の変化は、標準化の必要性に影響を及ぼすと予想される。
[1] ISO/IEC DIS 42001, Information technology — Artificial intelligence — Management system (under development)  [1] ISO/IEC DIS 42001、情報技術-人工知能-マネジメントシステム(開発中)。
[2] The series is under development (https://www.iso.org/ics/35.020/x/)  [2] シリーズは開発中である 
[3] Two horizontal terminology-related standards (ISO/IEC 22989 and ISO/IEC 23053) have been published recently (June and July 2022). JTC 21 will base all its work on ISO/IEC terminology.  [3] 最近(2022年6月と7月)、2つの水平方向の用語関連規格(ISO/IEC 22989とISO/IEC 23053)が発表されました。JTC 21は、すべての作業をISO/IEC用語集をベースに行う。

 

| | Comments (0)

2023.03.21

米国 FTCのブログ チャットボット、ディープフェイク、ボイスクローン:AIによるインチキを売り物にする

こんにちは、丸山満彦です。

「Winny」という映画が公開され、話題になっていますね。。。本物の金子さんや檀先生とはお会いしたことはありますが、映画については私はまだ見ていません。私の知人の何人かはすでに観ていて、「作りも丁寧でよい評価の映画だ」という評価もしているので、私も時間があれば、是非観たいなぁと思っています。が、NetflixかAmazonでみることになるかもしれません。。。

渦中の時は、金子氏の逮捕は流石に行き過ぎだろうと思いつつも、社会に出す前に予見できるなら、あるいは社会に出してみたら社会的な負のインパクトがあるのであれば、何か対策をしなければだめでしょう。。。という気持ちもあって、もやもやとしていました。。。

明確な線引きはできないにしても、何かを作る側が国民や消費者を保護するためにすべきことは何か、、、どの程度すべきか、、、と悩むことはこれからも多いかもしれませんね。。。

生成AIをテーマにしたこの米国連邦取引委員会 (FTC) のブログは参考になるかもしれませんね。。。

 

Federal Trade Commission - Business Blog

・2023.03.20 Chatbots, deepfakes, and voice clones: AI deception for sale

1_20230321065101

Chatbots, deepfakes, and voice clones: AI deception for sale チャットボット、ディープフェイク、ボイスクローン:AIによるインチキを売り物にする
Michael Atleson, Attorney, FTC Division of Advertising Practices マイケル・アトレソン(FTC広報部門)
You may have heard of simulation theory, the notion that nothing is real and we’re all part of a giant computer program. Let’s assume at least for the length of this blog post that this notion is untrue. Nonetheless, we may be heading for a future in which a substantial portion of what we see, hear, and read is a computer-generated simulation. We always keep it real here at the FTC, but what happens when none of us can tell real from fake? シミュレーション理論とは、「現実には何もなく、私たちはすべて巨大なコンピュータプログラムの一部である」という考え方です。このブログでは、少なくともこの考え方が真実でないと仮定しています。しかし、私たちが見たり、聞いたり、読んだりするもののかなりの部分が、コンピューターによって生成されたシミュレーションであるという未来に向かっているのかもしれません。FTCでは常にリアルを心がけていますが、私たちの誰もが本物と偽物を見分けられなくなったらどうなるのでしょうか。
In a recent blog post, we discussed how the term “AI” can be used as a deceptive selling point for new products and services. Let’s call that the fake AI problem. Today’s topic is the use of AI behind the screen to create or spread deception. Let’s call this the AI fake problem. The latter is a deeper, emerging threat that companies across the digital ecosystem need to address. Now. 最近のブログ記事で、「AI」という用語が、新製品やサービスのセールスポイントとして騙して使用されることがあることを説明しました。これを「フェイクAI問題」と呼ぶことにしましょう。今日のテーマは、画面の向こうのAIを使って、インチキを作り出したり、広めたりすることです。これを「AIフェイク問題」と呼ぶことにしよう。後者は、デジタルエコシステム全体の企業が取り組むべき、より深い、新たな脅威です。今すぐにです。
Most of us spend lots of time looking at things on a device. Thanks to AI tools that create “synthetic media” or otherwise generate content, a growing percentage of what we’re looking at is not authentic, and it’s getting more difficult to tell the difference. And just as these AI tools are becoming more advanced, they’re also becoming easier to access and use. Some of these tools may have beneficial uses, but scammers can also use them to cause widespread harm. 私たちの多くは、多くの時間をデバイスで物事を見ることに費やしています。「合成メディア」を作成したり、その他の方法でコンテンツを生成するAIツールのおかげで、私たちが見ているもののうち本物ではないものの割合が増え、その違いを見分けるのが難しくなってきています。そして、これらのAIツールは、より高度になると同時に、より簡単にアクセスし、使用できるようになってきています。これらのツールの中には有益な使い方ができるものもありますが、詐欺師がそれを使って広く害を及ぼすこともあり得ます。
Generative AI and synthetic media are colloquial terms used to refer to chatbots developed from large language models and to technology that simulates human activity, such as software that creates deepfake videos and voice clones. Evidence already exists that fraudsters can use these tools to generate realistic but fake content quickly and cheaply, disseminating it to large groups or targeting certain communities or specific individuals. They can use chatbots to generate spear-phishing emails, fake websites, fake posts, fake profiles, and fake consumer reviews, or to help create malware, ransomware, and prompt injection attacks. They can use deepfakes and voice clones to facilitate imposter scams, extortion, and financial fraud. And that’s very much a non-exhaustive list. 生成AIと合成メディアは、大規模な言語モデルから開発されたチャットボットや、ディープフェイクビデオやボイスクローンを作成するソフトウェアなど、人間の活動をシミュレートする技術を指す口語的な言葉として使われています。詐欺師がこれらのツールを使って、リアルだが偽のコンテンツを迅速かつ安価に生成し、それを大規模なグループに拡散したり、特定のコミュニティや特定の個人をターゲットにしたりできることは、すでに証明されています。チャットボットを使って、スピアフィッシングメール、偽ウェブサイト、偽投稿、偽プロフィール、偽消費者レビューを生成したり、マルウェア、ランサムウェア、プロンプトインジェクション攻撃の作成を支援することができます。また、ディープフェイクやボイスクローンを使って、偽者詐欺、恐喝、金融詐欺を助長することも可能です。そして、これはまさに非網羅的なリストなのです。
The FTC Act’s prohibition on deceptive or unfair conduct can apply if you make, sell, or use a tool that is effectively designed to deceive – even if that’s not its intended or sole purpose. So consider: FTC法の欺瞞的または不公正な行為の禁止は、欺くことを効果的に設計したツールを製造、販売、または使用する場合に適用されます(たとえそれが意図的または唯一の目的でなかったとしてもです)。そこで、考えてみてください。
Should you even be making or selling it? If you develop or offer a synthetic media or generative AI product, consider at the design stage and thereafter the reasonably foreseeable – and often obvious – ways it could be misused for fraud or cause other harm. Then ask yourself whether such risks are high enough that you shouldn’t offer the product at all. It’s become a meme, but here we’ll paraphrase Dr. Ian Malcolm, the Jeff Goldblum character in “Jurassic Park,” who admonished executives for being so preoccupied with whether they could build something that they didn’t stop to think if they should. それを作ったり売ったりする必要があるのでしょうか? 合成メディアや生成AI製品を開発または提供する場合、設計段階とそれ以降で、詐欺に悪用されたり、その他の被害をもたらす可能性のある合理的に予見可能な(そしてしばしば明白な)方法について検討します。そして、そのようなリスクが、その製品を全く提供すべきでないほど高いかどうかを自問してください。「ジュラシック・パーク」のジェフ・ゴールドブラムが演じたイアン・マルコム博士が、「何かを作れるかどうかに気を取られ、作るべきかどうかを考えることを止めない経営者たち」と喝破していたことを、ここで言い換えましょう。
Are you effectively mitigating the risks? If you decide to make or offer a product like that, take all reasonable precautions before it hits the market. The FTC has sued businesses that disseminated potentially harmful technologies without taking reasonable measures to prevent consumer injury. Merely warning your customers about misuse or telling them to make disclosures is hardly sufficient to deter bad actors. Your deterrence measures should be durable, built-in features and not bug corrections or optional features that third parties can undermine via modification or removal. If your tool is intended to help people, also ask yourself whether it really needs to emulate humans or can be just as effective looking, talking, speaking, or acting like a bot. リスクを効果的に軽減していますか? そのような製品を作ったり提供したりすることを決めたら、市場に出る前にあらゆる合理的な予防策を講じてください。FTCは、消費者の被害を防ぐための合理的な対策を講じることなく、潜在的に有害な技術を普及させた企業を提訴しています。誤用について顧客に警告したり、情報開示を行うよう指示したりするだけでは、悪意ある行為者を抑止するのに十分とは言えません。抑止策は、耐久性のある組み込み機能であるべきで、第三者が修正や削除によって弱体化させることができるバグ修正やオプション機能ではないはずです。もしあなたのツールが人助けを目的としているのであれば、本当に人間を模倣する必要があるのか、それともボットのように見えたり、話したり、話したり、行動したりすることで同じように効果を発揮できるのか、自問してみてください。
Are you over-relying on post-release detection? Researchers continue to improve on detection methods for AI-generated videos, images, and audio. Recognizing AI-generated text is more difficult. But these researchers are in an arms race with companies developing the generative AI tools, and the fraudsters using these tools will often have moved on by the time someone detects their fake content. The burden shouldn’t be on consumers, anyway, to figure out if a generative AI tool is being used to scam them. リリース後の検知に頼りすぎていませんか? 研究者は、AIが生成した動画、画像、音声の検出方法の改良を続けています。AIが生成したテキストを認識するのはより困難です。しかし、これらの研究者は、生成AIツールを開発する企業と軍拡競争をしており、これらのツールを使用する詐欺師は、誰かが偽のコンテンツを検出するまでに移動していることが多いのです。生成AIツールが詐欺に使われているかどうかを見極めるのは、消費者に負担をかけるべきことではありません。
Are you misleading people about what they’re seeing, hearing, or reading? If you’re an advertiser, you might be tempted to employ some of these tools to sell, well, just about anything. Celebrity deepfakes are already common, for example, and have been popping up in ads. We’ve previously warned companies that misleading consumers via doppelgängers, such as fake dating profiles, phony followers, deepfakes, or chatbots, could result – and in fact have resulted – in FTC enforcement actions. 見ているもの、聞いているもの、読んでいるものについて、人々を誤解させてはいませんか? もしあなたが広告主であれば、このようなツールを使って、まあ、何でもいいから売り込みたいと思うかもしれません。例えば、有名人のディープフェイクはすでに一般的になっており、広告に登場することもあります。私たちは以前、偽の出会い系プロフィール、偽のフォロワー、ディープフェイク、チャットボットなどのドッペルゲンガーによって消費者に誤解を与えることは、FTCの強制措置につながる可能性があると企業に警告し、実際にその結果も出ています。
While the focus of this post is on fraud and deception, these new AI tools carry with them a host of other serious concerns, such as potential harms to children, teens, and other populations at risk when interacting with or subject to these tools. Commission staff is tracking those concerns closely as companies continue to rush these products to market and as human-computer interactions keep taking new and possibly dangerous turns. この投稿の焦点は詐欺とインチキですが、これらの新しいAIツールには、これらのツールとの対話またはその対象となる子供、十代の若者、およびその他の集団に対する潜在的な害など、他の多くの重大な懸念があります。委員会スタッフは、企業がこれらの製品の市場投入を急ぎ、人間とコンピュータの相互作用が新たな危険な展開を見せ続ける中、これらの懸念を注意深く追跡しています。

 


 

Winny関係...

まるちゃんの情報セキュリティ気まぐれ日記

・2009.12.29 JNSA 2009セキュリティ十大ニュース発表

・2008.11.14 第5回デジタル・フォレンジック・コミュニティ2008 in TOKYO

・2008.04.09 警察庁 Winny等ファイル共有ソフトを用いた著作権侵害問題とその対応策について(平成19年度総合セキュリティ対策会議 報告書)

・2007.06.13 Winnyの話

・2007.03.12 IPA 情報セキュリティ白書2007 - 10大脅威 「脅威の“見えない化”が加速する!」 -

・2007.02.02 セミナー in 大阪 「IT技術と刑事事件を考える-Winny事件判決を契機として-」

・2006.05.18 winny

・2006.04.23 Winny におけるバッファオーバーフローの脆弱性

・2006.04.18 政府Winny対策ソフト開発へ

・2006.04.12 防衛庁 秘密電子計算機情報流出等再発防止に係る抜本的対策の具体的措置について

・2006.03.23 IPA 情報セキュリティ白書2006年版発行

・2006.03.20 IPA Winny119番設置

・2006.03.15 Antinny 撲滅計画?

・2006.03.13 IT弁護士の眼から見た公的機関の個人情報漏えいへの対応について

・2006.03.08 防衛庁 パソコン7万台購入

 

 

| | Comments (0)

ENISA サイバーセキュリティ認証のウェブページを開設

こんにちは、丸山満彦です。

いつの間にかに、投稿数が5,000を超えていますね。。。

さて、ENISAがIoT製品 (EUCC)、クラウドサービス (EUCS) 、5G (EU5G)といったこれから始まろうとしているサイバーセキュリティ認証についてのウェブページを開設しましたね。。。

 

ENISA - EU Cybersecurity Certification

 短いビデオ (PeerTube) もいくつかありますね。。。

・2023.03.16 [PeerTube] European Cybersecurity Certification - All you need to know

20230321-11435

 

・2023.03.16 [PeerTube] European Cybersecurity Certification Schemes Whats in for Conformity Assessment Bodies CABs

20230321-11452

 

・2023.03.14 [PeerTube] ENISA Certification Key actors and their role

20230321-11702

 

プレス...

・2023.03.19

Scroll through EU Cybersecurity Certification EUサイバーセキュリティ認証をスクロールしてみる
The new mini-site launched by the European Union Agency for Cybersecurity (ENISA) serves the objective to promote and disseminate information related to EU cybersecurity certification. 欧州連合サイバーセキュリティ機関(ENISA)が開設した新しいミニサイトは、EUのサイバーセキュリティ認証に関連する情報を促進・普及させることを目的としています。
The scrolling of the mini-site will allow to share information on the certification schemes currently being developed. Those include: ミニサイトをスクロールすると、現在開発中の認証スキームに関する情報を共有することができます。その内容は以下の通りです。
・the Common Criteria - based European cybersecurity certification scheme (EUCC) dedicated to Information and communication technology (ICT) products; ・情報通信技術(ICT)製品に特化したコモンクライテリアベースの欧州サイバーセキュリティ認証制度(EUCC)。
・the Cybersecurity Certification Scheme for Cloud Services (EUCS); and, ・クラウドサービス向けサイバーセキュリティ認証スキーム(EUCS)、および。
・the EU 5G scheme for network devices and identification. ・ネットワーク機器と識別のためのEU 5Gスキーム。
Visitors can find information to guide them through the various aspects of the future implementation process and better approach the potential opportunities as well as challenges ahead. The page offers visitors information as how to get involved. 訪問者は、将来の実装プロセスのさまざまな側面をガイドする情報を見つけることができ、潜在的な機会だけでなく、今後の課題にもよりよくアプローチすることができます。このページでは、参加方法に関する情報も提供しています。
All ENISA events related to certification will be promoted on this webpage. The next edition of the  ENISA Cybersecurity Certification Conference, already featured on the page, is to take place on 25 May in Athens and will be broadcasted online. 認証に関連するすべてのENISAイベントは、このウェブページで宣伝される予定です。すでにこのページで紹介されているENISAサイバーセキュリティ認証会議の次回は、5月25日にアテネで開催され、オンラインで放送される予定です。
The work of ENISA on EU certification falls into the legal mandate of ENISA outlined by the provisions of the Cybersecurity Act. Amongst other tasks, ENISA develops cybersecurity certification schemes, with the support of experts and coordinates with National Cybersecurity Certification Authorities and the European Commission. EU認証に関するENISAの活動は、サイバーセキュリティ法の規定によって概説されたENISAの法的義務に該当します。ENISAは、他の業務の中でも、専門家の支援を受けてサイバーセキュリティ認証スキームを開発し、各国のサイバーセキュリティ認証機関や欧州委員会との調整を行います。
ENISA therefore cooperates with and supports all related stakeholders involved to provide transparent and important information on the ongoing work to develop the cybersecurity certification framework at large. したがって、ENISAは、サイバーセキュリティ認証の枠組みを開発するための進行中の作業に関する透明で重要な情報を広く提供するために、関係するすべての利害関係者と協力し、支援します。
Once published, the implementing regulations adopting the schemes will be featured in the webpage together with the related supporting documents for each scheme. Users will ultimately be able to consult the catalogue of certified solutions with their certificates. 公開後は、各スキームを採用する施行規則が、各スキームの関連サポート文書とともにウェブページに掲載されます。ユーザーは最終的に、認証されたソリューションのカタログを認証書とともに参照することができるようになります。
Access to the ENISA Certification mini-site ENISA認証ミニサイトへのアクセス
ENISA Cybersecurity Certification Conference: ENISAサイバーセキュリティ認証会議
The ENISA Annual Cybersecurity Certification Conference will take place on 25 May 2023 and is the place where the community gathers, discusses and exchanges on the opportunities, challenges and outcomes of EU Cybersecurity Certification. ENISA年次サイバーセキュリティ認証会議は2023年5月25日に開催され、EUサイバーセキュリティ認証の機会、課題、成果に関してコミュニティが集まり、議論し、交流する場となります。
Find more information and register: ENISA Cybersecurity Certification Conference 詳細な情報を確認し、登録してください。 ENISA サイバーセキュリティ認証会議
Further Information: さらに詳しい情報はこちら
ENISA Certification mini-site ENISA認証ミニサイト
ENISA Topic on Certification ENISA 認証に関するトピック
Cybersecurity Act サイバーセキュリティ法

 


 

まるちゃんの情報セキュリティ気まぐれ日記

 

欧州のサイバーセキュリティラベル

・2023.03.01 IPA 欧州規格 ETSI EN 303 645 V2.1.1 (2020-06)の翻訳の公開

・2023.02.02 ドイツ スペースネットAG社のサービスにITセキュリティラベルを渡す

・2022.12.15 ドイツ フランス IT製品のセキュリティ認証に関する共同文書を発行 (固定時間制認証制度)

・2022.10.31 ドイツ シンガポール 消費者向けIoT製品のサイバーセキュリティ・ラベルの相互承認 (2022.10.20)

・2022.05.09 ドイツ ITセキュリティラベル for 消費者向けスマート製品

・2022.02.03 ドイツ BSI Mail.deの電子メールサービスにITセキュリティラベルを付与

・2021.07.18 独国 BSIがITセキュリティラベルについてのウェブページを公開していますね。。。

 

米国のサイバーセキュリティラベル

・2022.09.24 NIST NISTIR 8425 消費者向けIoT製品のIoTコアベースラインのプロファイル、NISTIR 8431 「NIST基礎の上に築く:IoTセキュリティの次のステップ」ワークショップ概要報告書

・2022.06.19 NISTIR 8425 (ドラフト) 消費者向けIoT製品のIoTコアベースラインのプロファイル

・2022.05.19 NIST IoTセキュリティ関連の文書についてNISTのブログで簡単に説明されていますね。。。

・2022.02.07 NIST ホワイトペーパー :消費者向けソフトウェアのサイバーセキュリティラベルの推奨規準

・2022.02.06 NIST ホワイトペーパー :消費者向けIoT製品のサイバーセキュリティラベルの推奨規準

・2021.11.04 NIST 消費者向けソフトウェアのサイバーセキュリティに関するラベリングについての意見募集

 

| | Comments (0)

2023.03.20

英国 イノベーションを促進する技術規制の見直し:デジタルテクノロジー

こんにちは、丸山満彦です。

英国は、規制を作成する前にその経済効果を確認したり、Value For Moneyの監査がNAO(英国会計検査院)で昔から行われていたり、規制を経済的な視点から見るということが当たり前になっているのだろうと思います。

規制は不完全市場における外部効果を緩和するための重要な手段となりえるが、一方、環境変化に追従しなければいつしか既得権益の温床となってしまうということもありえるでしょうね。。。

ということで、英国の次の報告書は参考になると思います。。。

日本の規制の掛け方についての方針を明確にし、国民のコンセンサスを得、その方針に従って規制の策定や見直しをしていけばよいのに、、、と思ったりはします。。。民度の問題なのかもしれません。。。

 

U.K. Government

Policy paper: Pro-innovation Regulation of Technologies Review: Digital Technologies

・[PDF] Pro-innovation Regulation of Technologies Review: Digital Technologies report

20230320-63440

Pro-innovation Regulation of Technologies Review Digital Technologies  イノベーションを促進する技術規制の見直し:デジタルテクノロジー 
This report was presented by Sir Patrick Vallance, the Government Chief Scientific Adviser, to the Chancellor of the Exchequer and to HM Government, as part of the Pro-innovation Regulation of Technologies Review.  本報告書は、イノベーションを促進する技術規制の見直しの一環として、政府最高科学顧問であるパトリック・バランス卿が、大蔵大臣およびHM政府に提出したものである。
Mar-23 2023.03
Contents  目次 
Context コンテクスト
Scope of the review レビューの対象範囲
Key challenges 主な課題
Headline recommendations 主な提言
Sandboxing サンドボックス
Generative AI 生成AI
Data データ
Transport 輸送
Further recommendations さらなる提言
Drones ドローン
Data データ
Space and satellite technologies 宇宙・衛星技術
Cyber security サイバーセキュリティ
Looking ahead to newly emerging technologies 新たな技術に期待する
Context  コンテクスト 
Digital technologies are the engine driving the UK’s economic growth. The UK digital sector contributed 7.4% of UK total GVA in 2022, growing three times faster than the rest of the economy. We are home to over 85,000 tech startups and scale ups providing over 3 million jobs and a strong innovation ecosystem.[1]   デジタル技術は、英国の経済成長を牽引するエンジンである。英国のデジタル部門は、2022年に英国の総GVAの7.4%に貢献し、他の経済部門よりも3倍速く成長している。また、85,000社以上のスタートアップ企業やスケールアップ企業が存在し、300万人以上の雇用と強力なイノベーション・エコシステムを提供している[1]。 
Advances in digital technologies, such as artificial intelligence (AI), are and will continue to be a significant contributor to the UK’s future competitiveness, productivity, and sustainable growth. With our strong research base, we are in a favourable position to capture the economic prize presented by emerging digital technologies. However, the challenge for government is to keep pace with the speed of technological change: unlocking the enormous benefits of digital technologies, while minimising the risks they present both now and in the future.  人工知能(AI)などのデジタル技術の進歩は、英国の将来の競争力、生産性、持続可能な成長に大きく寄与するものであり、今後もそうであり続けるだろう。強力な研究基盤を持つ私たちは、新たなデジタル技術がもたらす経済的な賞を獲得する上で有利な立場にある。しかし、政府の課題は、技術革新のスピードに追いつくことであり、デジタル技術がもたらす膨大な利益を引き出すと同時に、現在および将来においてデジタル技術がもたらすリスクを最小化することである。
Digital technologies are challenging existing regulatory structures, and governments around the world are taking steps to respond. Well-designed regulation and standards can have a powerful effect on driving growth and shaping a thriving digital economy. Ensuring a proportionate and agile regulatory approach can offer clarity and confidence to investors, businesses and the public.   デジタル技術は、既存の規制構造に挑戦しており、世界中の政府が対応策を講じている。うまく設計された規制や基準は、成長を促進し、繁栄するデジタル経済を形成する上で強力な効果を発揮することができる。比例的で機敏な規制アプローチを確保することで、投資家、企業、一般市民に対して明確さと信頼を提供することができる。 
The UK should seize this opportunity to champion a pro-innovation approach that facilitates widespread commercial S&T applications. We should be bold, taking a three-stage approach to the regulation of emerging technologies by allowing:   英国はこの機会を捉えて、S&T の商業的応用を広く促進するイノベーション促進アプローチを支持すべきである。私たちは大胆に、新興技術の規制に対して、次のような3段階のアプローチを取るべきである。 
•       regulatory flexibility and divergence at an early stage for emerging technologies, thereby defining regulations and standards in the global markets we want to lead;   ・ 新興技術の初期段階における規制の柔軟性と発散により、我々がリードしたい世界市場の規制と標準を定義する。
•       promoting and learning from experimentation to support the scaling of key technologies e.g.、 through regulatory sandboxes and testbeds; and   ・ 規制上のサンドボックスやテストベッドなどを通じて,主要技術の拡張を支援するための実験を促進し、そこから学ぶ。
•       seeking international regulatory harmonisation once technologies are becoming established, ensuring market access for our most innovative companies.   ・ 技術が確立された段階で、国際的な規制の調和を図り、最も革新的な企業の市場参入を確保する。
This three-stage approach should underpin our regulatory approach for innovation.  この3段階のアプローチは、イノベーションのための規制アプローチを支えるものである。
Scope of the review  レビューの範囲 
We have engaged extensively across government, with regulators, industry and academic experts and have identified digital technologies and applications which require a distinct regulatory approach. Our advice focuses on specific challenges for artificial intelligence and data, as well as short-term actions to address regulatory barriers for autonomous vehicles, drones, cyber security, and space and satellite technologies. A number of these proposals may require legislation to achieve. Given the cross-cutting nature of digital technologies, recommendations on regulatory changes in green industries and the life sciences will be addressed in subsequent reports.  私たちは、政府全体、規制当局、産業界、学識経験者と幅広く関わり、独自の規制アプローチを必要とするデジタル技術やアプリケーションを特定した。私たちのアドバイスは、人工知能とデータに関する具体的な課題に加え、自律走行車、ドローン、サイバーセキュリティ、宇宙・衛星技術に関する規制上の障壁に対処するための短期的なアクションに焦点を当てている。これらの提案の多くは、実現するために法律を必要とする可能性がある。デジタル技術の横断的な性質を考慮し、グリーン産業とライフサイエンスにおける規制改革に関する提言は、その後の報告書で取り上げる予定である。
In this review we offer recommendations in three broad areas:  このレビューでは、以下の3つの分野で提言を行う。
a)    supporting a step-change in the UK’s regulatory approach to AI;  a) AIに対する英国の規制アプローチのステップアップの支援。
b)    facilitating greater industry access to public data to help deliver the government’s public services transformation programme and address pressing societal challenges; and  b) 政府の公共サービス変革プログラムを実現し、差し迫った社会的課題に対処するための、公共データへの産業界のアクセスを促進。
c)    government signalling and leadership to focus regulator efforts on innovation in autonomous vehicles, drones, cyber security, and space and satellite technologies.  c) 自律走行車、ドローン、サイバーセキュリティ、宇宙・衛星技術におけるイノベーションに規制当局の努力を集中させるための政府の意思表示とリーダーシップ。
This advice complements recent reviews including the government’s Plan for Digital Regulation, Digital Strategy and the report of the independent Taskforce on Innovation, Growth and Regulatory Reform. Recommendations will support forthcoming policy including through the AI White Paper and the Emerging Technologies Regulation Review.  この助言は、政府のデジタル規制のための計画、デジタル戦略、イノベーション、成長、規制改革に関する独立タスクフォースの報告書を含む最近のレビューを補完するものである。提言は、AI白書や新興技術規制の見直しなど、今後の政策を支援するものである。
Key challenges  主要課題 
Existing regulatory rules and norms which have guided business activity were in many cases not designed for emerging digital technologies and business models. Many digital technologies require a different approach because they combine distinct features - such as powerful data processing capabilities, the use of advanced data analytics and algorithms, speed of innovation and growth, and horizontal integration.[2]  企業活動を導いてきた既存の規制ルールや規範は、多くの場合、新たなデジタル技術やビジネスモデルに対応したものではありませんでした。多くのデジタル技術は、強力なデータ処理能力、高度なデータ解析とアルゴリズムの使用、革新と成長のスピード、水平統合など、異なる特徴を兼ね備えているため、異なるアプローチを必要とする[2]。
Regulation of the digital sector is changing, with new legislation being considered across online safety, data protection, financial services, cyber security, and competition in digital markets, among others. Navigating these different regulatory remits – and keeping track of evolving changes – can be challenging for businesses trying to introduce new products and processes. Regulator behaviour and culture is a major determinant of whether innovators can effectively navigate adapting regulatory frameworks. In this review we have identified regulatory challenges which significantly impact the digital sector:  デジタル分野の規制は変化しており、オンライン安全、データ保護、金融サービス、サイバーセキュリティ、デジタル市場における競争など、さまざまな分野で新しい法律が検討されている。このような異なる規制の範囲をナビゲートし、進化する変化を把握することは、新しい製品やプロセスを導入しようとする企業にとって困難なことである。規制当局の行動や文化は、イノベーターが適応する規制の枠組みを効果的にナビゲートできるかどうかの大きな決定要因である。このレビューでは、デジタル部門に大きな影響を与える規制上の課題を特定した。
1.    Fragmentation: There are over 10 different regulators with digital technologies within their direct remit, whose mandates often overlap and can be contradictory. This can create a significant burden when companies, particularly SMEs, need to engage with multiple regulators or are unclear on which regulator(s) to approach (case study A). Initiatives on cross-regulator cooperation such as the Digital Regulation Co-operation Forum seek to create a more coherent regulatory landscape (case study B).  1. 断片化:デジタル技術を直接の管轄とする規制当局が10以上存在し、その任務はしばしば重複し、矛盾することもある。このため、企業(特に中小企業)が複数の規制当局と関わる必要がある場合や、どの規制当局にアプローチすればよいのかが不明確な場合には、大きな負担となる(ケーススタディA)。デジタル規制協力フォーラムのような規制当局間の協力に関するイニシアチブは、より首尾一貫した規制の状況を作り出そうとしている(ケーススタディB)。
2.    Pacing: Often technological developments outpace the speed at which established regulatory systems can respond to its applications. However, for emerging digital technologies, the industry view is clear: there is a greater risk from regulating too early. It will be important that the regulatory system strikes the right balance between providing clarity and building public trust, while also enabling development, experimentation, and deployment.   2. ペース配分:多くの場合、技術開発は、既存の規制システムがその応用に対応できるスピードより遅れている。しかし、新興のデジタル技術については、業界の見解が明確であり、規制が早すぎることによるリスクが大きい。規制システムは、開発、実験、展開を可能にすると同時に、明確性を提供し、社会的信頼を築くという適切なバランスを取ることが重要である。 
3.    Skills: Many regulators, including the CAA and ICO, report challenges in attracting and retaining individuals with relevant skills and talent in a competitive environment with the private sector, especially those with expertise in AI, data analytics, and responsible data governance.  3. スキル:CAAやICOを含む多くの規制当局が、民間企業との競争環境の中で、関連するスキルや才能を持つ個人、特にAI、データ分析、責任あるデータガバナンスの専門知識を持つ人材を引き付け、維持することに課題があると報告している。
4.    Incentives: The rewards for regulators to take risks and authorise new and innovative products and applications are not clear-cut, and regulators report that they can struggle to trade off the different objectives covered by their mandates. This can include delivery against safety, competition objectives, or consumer and environmental protection, and can lead to regulator behaviour and decisions that prioritise further minimising risk over supporting innovation and investment. There needs to be an appropriate balance between the assessment of risk and benefit.  4. 動機付け:規制当局がリスクを取り、新しく革新的な製品やアプリケーションを認可するための報酬は明確ではなく、規制当局は、その権限でカバーされるさまざまな目的をトレードオフするのに苦労することがあると報告している。これには、安全性、競争目標、消費者や環境の保護に対する実現が含まれ、イノベーションと投資の支援よりもリスクの最小化を優先する規制当局の行動や意思決定につながる可能性がある。リスクと利益の評価には、適切なバランスが必要である。
Case Study A: Satellite launches: a complex regulatory pathway ケーススタディA:人工衛星打ち上げ:複雑な規制の道筋
The launch of space missions in the UK is an example of where regulatory fragmentation is impacting the development of a high-growth potential sector. Space missions require an Orbital Operators Licence from the Civil Aviation Authority (CAA) under the Space Industry Act 2018, a Permanent Earth Station (PES) licence from Ofcom (and the International Telecommunication Union (ITU)) and possibly an export licence depending on where they are launching from.   英国における宇宙ミッションの立ち上げは、規制の分断が高成長の可能性を秘めたセクターの発展に影響を与えている一例である。宇宙ミッションには、宇宙産業法2018に基づく民間航空局(CAA)の軌道運用者ライセンス、Ofcom(および国際電気通信連合(ITU))の恒久地球局(PES)ライセンス、そして打ち上げ先によっては輸出ライセンスが必要である。 
This fragmentation can be a substantial burden on time and resources, first requiring identification of the right regulators, and then separate application processes for each. In some instances, this has resulted in delays to launches and the allocation of resources and labour away from the development of the technology.  このように細分化されると、まず適切な規制当局を特定し、さらにそれぞれに対して別々の申請手続きを行う必要があり、時間やリソースに大きな負担がかかる可能性がある。このため、発売が遅れたり、技術開発から資源や労働力を割かれたりするケースもある。
Headline recommendations  主な提言 
Artificial intelligence  人工知能 
In the National AI Strategy, the government set out an ambitious ten-year plan for the UK to remain a global AI superpower and encourage AI companies to start and grow in the UK. We note from our engagement with industry that there is a 12-to-24-month window to make the UK one of the top places in the world to build foundational AI companies, with other countries moving faster to provide clarity and a friendly regulatory environment for innovators in this space. Our regulatory approach will be critical in reaching this ambition and action needs to be taken urgently.   政府は国家AI戦略において、英国が世界のAI大国であり続けるための野心的な10年計画を定め、AI企業が英国で起業し成長することを奨励した。私たちは、産業界との関わりから、英国をAI企業の基礎を築く世界有数の場所にするためには、12ヶ月から24ヶ月の猶予があることに注目している。他の国は、この分野のイノベーターに明確さとフレンドリーな規制環境を提供するために早く動いている。この野望を達成するためには、私たちの規制アプローチが重要であり、緊急に行動を起こす必要がある。 
AI technology covers a broad spectrum of technologies, tools and applications, with transformative implications across a number of sectors. There are currently differences between the powers of regulators to address the use of AI within their remit as well as the extent to which they have started to do so. The levels of acceptable risk in innovation in AI are sector and context dependent. AI technologies used in different sectors are therefore subject to different controls. While in some instances there will be a clear rationale for this, it can further compound an overall lack of regulatory clarity.   AI技術は、技術、ツール、アプリケーションの広い範囲をカバーし、多くの分野で変革的な意味を持つ。現在、規制当局がその権限の範囲内でAIの利用に対処する権限と、それを開始した程度には差がある。AIのイノベーションにおいて許容されるリスクのレベルは、分野や状況に依存する。したがって、異なるセクターで使用されるAIテクノロジーは、異なる規制の対象となる。これには明確な根拠がある場合もあるが、全体的な規制の明確性の欠如をさらに深刻化させる可能性がある。 
The extremely fast pace of development of AI technology also creates difficulties for regulators in keeping up with the emerging applications of AI and the need for continuous refinement of their regulatory approach. More needs to be done to improve business confidence, boost public trust, and ensure the public benefit from safe innovation, particularly where public services are concerned. Regulators should ensure that while they rightly safeguard against the risks of AI, they balance the opportunity cost of a lack of innovation, and the social benefits its deployment might bring.  また、AI技術の開発ペースが非常に速いため、規制当局がAIの新たな応用に対応することが難しく、規制アプローチを継続的に洗練させる必要がある。特に公共サービスが関係する場合、ビジネスの信頼性を向上させ、社会的信用を高め、安全なイノベーションから国民が利益を得られるようにするためには、さらに多くのことを行う必要がある。規制当局は、AIのリスクに対して正しく保護する一方で、イノベーションの欠如による機会費用と、その展開がもたらすかもしれない社会的便益のバランスを取ることを確実にする必要がある。
Sandboxing  サンドボックス 
Recommendation 1: Government should work with regulators to develop a multiregulator sandbox for AI to be in operation within the next six months  提言1:政府は規制当局と協力して、今後6ヶ月以内に運用を開始するAIのマルチレギュレータ・サンドボックスを開発すべきである。
A regulatory sandbox is a live testing environment, with a well-defined relaxation of rules, to allow innovators and entrepreneurs to experiment with new products or services under enhanced regulatory supervision without the risk of fines or liability. They are typically operated by a regulator for a limited time period and seek to inform rule making.  規制のサンドボックスとは、イノベーターや起業家が罰金や責任のリスクを負うことなく、強化された規制の監視下で新しい製品やサービスの実験を行うための、明確なルール緩和を伴うライブテスト環境である。通常、規制当局によって期間限定で運営され、ルール作りの参考とすることを目的としている。
Effective and proportionate regulation of AI requires a new approach from government and regulators: one which is agile, expert led, and able to give clear and quick guidance to industry. From our engagement with industry there is clear appetite for the UK to rapidly launch an AI sandbox to enable experimentation and encourage greater co-operation between regulators. An approvals process that brings together multiple regulators would reduce inconsistencies in regulatory responses and provide a more coherent approach.   AIを効果的かつ適切に規制するためには、政府や規制当局が新しいアプローチをとる必要がある。産業界との関わりから、英国がAIサンドボックスを迅速に立ち上げ、実験を可能にし、規制当局間の協力体制を強化することに明確な意欲を示している。複数の規制当局が一堂に会する承認プロセスは、規制当局の対応における矛盾を減らし、より首尾一貫したアプローチを提供することになるだろう。 
The Digital Regulatory Cooperation Forum, which brings together four key regulators (Ofcom, ICO, CMA, and FCA) would be well placed to support the sandbox with its convening role, bringing in other relevant regulators to encourage join up.  4つの主要な規制当局(Ofcom、ICO、CMA、FCA)が集まるデジタル規制協力フォーラムは、他の関連規制当局を招集して連携を促すという招集の役割を担い、サンドボックスを支援するのに適していると思われる。
The following principles should guide the development of the AI sandbox:  AIサンドボックスの開発には、次のような原則が必要である。
•       Time-bound: Provide a time-limited opportunity for firms to test innovative propositions in the market with real consumers.  ・ 時間的制約:企業が実際の消費者を相手に革新的な提案を市場でテストするための時間的制約のある機会を提供する。
•       Technology stage: Focus on areas where the underpinning science or technology is at a stage to make a major breakthrough feasible.  ・ 技術段階:基礎となる科学技術が、大きなブレークスルーを実現可能な段階にある分野に焦点を当てる。
•       Societal challenges: Set out bold, ambitious ways to help solve a societal challenge and/or take advantage of areas where the UK is poised to be a world leader.  ・ 社会的課題:社会的課題の解決に貢献する大胆で野心的な方法,および/または英国が世界のリーダーになる準備が整っている分野を活用する方法を提示する。
The following features should be considered in the design of the AI sandbox:  AIサンドボックスの設計では、以下のような特徴を考慮する必要がある。
•       Targeted signposting: Nationally and internationally to encourage uptake from companies with clear eligibility criteria.  ・ ターゲットを絞った情報提供:明確な資格基準を持つ企業からの取り込みを促進するため、国内および国際的に案内する。
•       Timelines: Clear application deadlines, and a consistent feedback loop throughout for successful and unsuccessful companies. Timelines for outcomes should be clear and ambitious.  ・ タイムライン:明確な申請期限を設け、成功した企業も失敗した企業も一貫したフィードバックループを設ける。成果のタイムラインは明確かつ野心的であるべきである。
•       Accountability and transparency: Consideration of ethics, privacy and protections of consumers, involving respected advisors and bodies early, and iterative engagement with companies.   ・ 説明責任と透明性:倫理、プライバシー、消費者保護への配慮、信頼できるアドバイザーや団体の早期関与,企業との反復的な関わり。
•       Impact: Defined clearly and early to inform the selection of businesses and stakeholders to work with and to minimise risks in the delivery phase. Pro-innovation objectives and outcomes should be monitored regularly. Ministers should consider how to agree targets for innovation and monitor progress.  ・ 影響力:明確かつ早期に定義することで、協力する企業やステークホルダーを選択し、提供段階でのリスクを最小化する。プロイノベーションの目的と成果は,定期的にモニタリングされるべきである。閣僚は、イノベーションの目標に合意し、進捗を監視する方法を検討すべきである。
•       Guaranteed output: A commitment from the participant regulators to make joined-up decisions on regulations or licences at the end of each sandbox process and a clear feedback loop to inform the design or reform of regulatory frameworks based on the insights gathered. Regulators should also collaborate with standards bodies to consider where standards could act as an alternative or underpin outcome-focused regulation.  ・ アウトプットの保証:参加規制当局が、サンドボックスの各プロセスの終了時に、規制やライセンスについて統合的な決定を行うことを約束し、収集した洞察に基づいて規制枠組みの設計や改革を知らせるための明確なフィードバックループを構築する。また、規制当局は、標準化団体と協力し、標準が成果重視の規制の代替または下支えとして機能する可能性がある場合について検討する必要がある。
•       Synergy: Consideration of other approaches that can complement the sandbox, including dedicated advice services for innovators (‘innovation hubs’), setting regulatory challenges to incentivise innovation, ‘scaleboxes’, and cross-regulator onestop-shops.  ・ 相乗効果:サンドボックスを補完する他のアプローチとして,イノベーター向けの専用アドバイスサービス(「イノベーションハブ」),イノベーションにインセンティブを与える規制上の課題設定,「スケールボックス」、規制当局を超えたオンストップショップなどを考慮する。
•       Lessons learnt: Ensure the advice and lessons learnt from regulatory experimentation are shared with the wider market to benefit the industry as a whole and mainstream innovation. This could also inform the expansion of this capability to cover multiple industry sectors over time for example, quantum and semiconductors.  ・ 教訓を得る:規制の実験から得られたアドバイスや教訓が、より広い市場で共有されるようにし、業界全体の利益とイノベーションの主流となるようにする。このことは,例えば、量子や半導体など、複数の産業分野をカバーするために、この機能を拡大することにもつながるだろう。
A sandbox could initially focus on areas where regulatory uncertainty exists, such as generative AI, medical devices based on AI, and could link closely with the ICO sandbox on personal data applications.   サンドボックスは、当初は、生成AIやAIを利用した医療機器など、規制の不確実性が存在する分野に焦点を当て、個人データアプリケーションに関するICOサンドボックスと密接に連携させることができるだろう。 
Funding should be provided to support the creation of the sandbox and facilitate the rapid recruitment of specialist talent and skills. Forthcoming cross-cutting recommendations to future-proof our regulatory system will explore challenges around funding, capacity and skills in greater detail. Establishing a high profile, multi-regulator sandbox for AI staffed with content experts would support the scale-up of companies; increase investment opportunities; provide new products and services for consumers; and increased regulatory compliance by design.  サンドボックスの設立を支援し、専門的な人材やスキルの迅速な採用を促進するための資金を提供する必要がある。今後発表される、規制システムの将来性を高めるための横断的な提言では、資金、能力、スキルに関する課題をより詳細に検討する。コンテンツの専門家を配置した、注目度の高い、複数の規制当局によるAIのサンドボックスを設立することで、企業のスケールアップを支援し、投資機会を増やし、消費者に新しい製品やサービスを提供し、デザインによる規制遵守を強化することができる。
Case Study B: Digital Regulation Cooperation Forum   ケーススタディB: デジタル・レギュレーション・コーディネーション・フォーラム 
The Information Commissioner’s Office (ICO), Office of Communications (Ofcom), the Competition and Markets Authority (CMA) and the Financial Conduct Authority (FCA) have together formed the Digital Regulation Cooperation Forum (DRCF), which seeks to deliver greater co-operation and a coherent approach to regulation between the four regulators of the digital sector, which contributed nearly £151bn to the economy in 2019, with 1.7 million filled jobs in the sector in 2020.   情報コミッショナー事務所(ICO)、通信局(Ofcom)、競争市場局(CMA)、金融行動監視機構(FCA)は共同でデジタル規制協力フォーラム(DRCF)を設立し、2019年に約1510億ポンドの経済貢献を果たし、2020年には同分野で170万人の雇用が埋まるデジタル分野の4つの規制当局間でより大きな協力と規制への首尾良いアプローチの実現を目指している。 
The DRCF is helping to create a more supportive environment for innovation in the UK by making it easier for firms that operate across digital regulatory boundaries to do business.  DRCFは、デジタル規制の境界を越えて活動する企業がビジネスを行いやすくすることで、英国におけるイノベーションをより支援する環境作りを支援している。
The DRCF is undertaking exploratory research and piloting a multi-agency advice service for digital innovators who require joined up advice from multiple regulators. The service is being designed around the views, needs and working practices of innovators across the digital economy. Success will be measured by the accessibility of the pilot service and the impact of the advice on the businesses who use it.  DRCFは、複数の規制当局から統合されたアドバイスを必要とするデジタル・イノベーターのために、探索的な調査と複数機関によるアドバイス・サービスの試験運用を行っている。このサービスは、デジタルエコノミーに関わるイノベーターの意見、ニーズ、仕事のやり方を中心に設計されている。サービスの成功は、パイロットサービスの利用しやすさと、アドバイスを利用する企業への影響によって評価されるだろう。
Generative AI  生成AI 
Generative AI creates text, images, music, speech, code or video based on learning from existing available content. In light of rapid technological advancements in this space, generative AI is of growing interest to technologists, investors, policymakers, and society at large.  生成AIは、既存の利用可能なコンテンツからの学習に基づいて、テキスト、画像、音楽、音声、コードまたはビデオを作成する。この分野における急速な技術進歩に鑑み、生成AIは、技術者、投資家、政策立案者、そして社会全体にとって関心が高まっている。
Recommendation 2: Government should announce a clear policy position on the relationship between intellectual property law and generative AI to provide confidence to innovators and investors.  提言2:政府は、知的財産法と生成AIの関係について明確な政策見解を発表し、イノベーターや投資家に信頼を提供すべきである。
We note from our stakeholder engagement that the relationship between intellectual property law and generative AI is unclear. The Intellectual Property Office (IPO) has consulted on changes to Text and Data Mining (TDM) rules in the UK but there remains a lack of regulatory clarity as to the direction of those reforms, particularly for AI firms deploying TDM techniques to generate new content. Creating an environment in which TDM is enabled in the UK would attract investment, support company formation and growth, and show international leadership. If the government’s aim is to promote an innovative AI industry in the UK, it should enable mining of available data, text, and images (the input) and utilise existing protections of copyright and IP law on the output of AI.  There is an urgent need to prioritise practical solutions to the barriers faced by AI firms in accessing copyright and database materials. The government should work with the AI and creative industries to develop ways to enable TDM for any purpose, and to include the use of publicly available content including that covered by intellectual property as an input to TDM (including databases). The opportunity here is to focus on clarifying a simple process concerning the input to AI models; IP rights and their enforcement would apply to the output of any product. We also recommend a code of practice and a requirement for altered images to be labelled as generated or assisted by AI.  我々は、ステークホルダーのエンゲージメントから、知的財産法と生成AIの関係が不明確であることを指摘する。知的財産庁(IPO)は、英国におけるテキスト・データマイニング(TDM)規則の変更について協議しているが、特に新しいコンテンツを生成するためにTDM技術を展開するAI企業にとって、これらの改革の方向性については、規制上の明確さがないままである。英国でTDMが可能になる環境を作ることは、投資を呼び込み、企業の設立や成長を支援し、国際的なリーダーシップを示すことになる。政府の目的が英国における革新的なAI産業の促進であるならば、利用可能なデータ、テキスト、画像(入力)のマイニングを可能にし、AIの出力について著作権とIP法の既存の保護を活用すべきである。 AI企業が著作権やデータベース資料へのアクセスで直面する障壁に対する実用的な解決策を優先することが急務である。政府はAIやクリエイティブ産業と協力して、あらゆる目的のTDMを可能にする方法を開発し、知的財産でカバーされるものを含む一般に利用可能なコンテンツの利用をTDM(データベースを含む)への入力として含めるべきである。ここでのチャンスは、AIモデルへの入力に関するシンプルなプロセスを明確にすることに焦点を当てることである。知的財産権とその行使は、あらゆる製品に適用される。また、実践規範と、改変された画像にAIによって生成または支援されたことを示すラベルを付けることを要求することを提案する。
In parallel, technological solutions for ensuring attribution and recognition, such as watermarking, should be encouraged, and could be linked to the development of new international standards in due course. The government should prioritise reaching a policy position rapidly, building on the external engagement conducted over the last 12 months. The government should recognise that the advent of generative AI globally represents both an opportunity and a challenge to the creative industries and education sectors but that the restriction of data access for training sets would be likely to put the UK at a disadvantage and impede domestic development of the technology.  並行して、電子透かしのような帰属と認識を保証するための技術的解決策を奨励すべきであり、いずれ新しい国際標準の開発につなげることができるだろう。政府は、過去12ヶ月間に実施された外部エンゲージメントを基に、迅速に政策的な立場を確立することを優先すべきである。政府は、生成AIの世界的な出現が、クリエイティブ産業や教育部門にとって機会と課題の両方を意味することを認識すべきであるが、トレーニングセットのデータアクセスを制限することは、英国を不利な立場に追い込み、この技術の国内開発を阻害する可能性があることを認識すべきである。
The content produced by the UK's world-leading creative industries, including for generative AI, is fundamental to the success of the tech sector. These sectors are the UK's strengths and their success is central to realising our growth ambitions and they should continue to grow in partnership.  生成AI向けを含め、英国の世界をリードするクリエイティブ産業が生み出すコンテンツは、テック分野の成功の基礎となるものである。これらの分野は英国の強みであり、その成功は成長野心を実現するための中心であり、今後もパートナーシップを保ちながら成長すべきである。
To increase confidence and accessibility of protection to copyright holders of their content as permitted by law, we recommend that the government requires the IPO to provide clearer guidance to AI firms as to their legal responsibilities, to coordinate intelligence on systematic copyright infringement by AI, and to encourage development of AI tools to help enforce IP rights.    法律で認められたコンテンツの著作権者の保護に対する信頼とアクセシビリティを高めるため、政府はIPOに対し、AI企業に対して法的責任に関する明確なガイダンスを提供し、AIによる体系的な著作権侵害に関するインテリジェンスを調整し、IP権の行使に役立つAIツールの開発を奨励するよう求めることを提言する。 
Data  データ 
Both the development of new technology and service improvement relies heavily on access to good data. The government and broader public sector bodies hold significant data, which if made available to industry in a consistent way, could facilitate research and innovation and improve public services. However, the ability of the private sector to access public data is inconsistent and fragmented. Concerns over privacy, perceptions of a restrictive regulatory regime, and a lack of investment in skills and the time needed to make public data available, are significant constraints.    新技術の開発やサービスの向上は、優れたデータへのアクセスに大きく依存している。政府や公共部門は重要なデータを保有しており、これを一貫した方法で産業界に提供すれば、研究やイノベーションを促進し、公共サービスを向上させることができる。しかし、民間企業が公共データにアクセスする能力は一貫性がなく、断片的である。プライバシーに対する懸念、規制が厳しいという認識、公共データを利用可能にするために必要なスキルや時間への投資不足は、大きな制約となっている。 
Data sharing and linkage across the public sector is also limited, which hinders the ability of government to develop innovative methods to improve public services. Improved integration of government datasets not only has the potential to improve policy making, but also could make it easier for private sector firms to access this information safely, including by ensuring consistency across data and privacy standards.  While the government has set out a number of recommendations to address this, including the ‘2020 National Data Strategy’ and the ‘2022 to 2025 Roadmap for Digital and Data’, feedback from stakeholders suggests that many practical barriers to implementation remain.  また、公共部門間でのデータの共有や連携も限られており、公共サービスを向上させるための革新的な方法を開発する政府の能力を妨げている。政府のデータセットの統合を改善することは、政策立案を改善する可能性があるだけでなく、データ基準やプライバシー基準の一貫性を確保するなど、民間企業がこれらの情報に安全にアクセスすることを容易にする可能性がある。 政府は、「2020年国家データ戦略」や「2022年から2025年までのデジタルとデータのためのロードマップ」など、この問題に取り組むための多くの提言を打ち出しているが、関係者からのフィードバックによると、実施には多くの現実的な障壁が残っているようである。
Recommendation 3: Facilitate greater industry access to public data, and prioritise wider data sharing and linkage across the public sector, to help deliver the government’s public services transformation programme.  提言3:政府の公共サービス変革プログラムの実現を支援するため、公共データへの産業界のアクセスを促進し、公共部門全体でより幅広いデータの共有と連携を優先させる。
The AI industry can play a key part in helping to deliver the transformations to the top 75 public services as set out in the 2022-25 Roadmap – and access to the necessary data will be an essential part of that process. The government should identify the most pressing of these challenges and run a competitive process to seek innovative, data driven ideas from industry to deliver the Roadmap.  As part of this competition, the government should establish a process to allow the rapid provision of data in selected areas, in the form of reusable verifiable credentials and ensure appropriate access to data sets that can realise commercial value opportunities. Ongoing public engagement and involvement on the use of data will be key.   AI産業は、2022-25年ロードマップに示された上位75の公共サービスに対する変革の実現を支援する上で重要な役割を果たすことができ、必要なデータへのアクセスはそのプロセスにおいて不可欠な部分となる。政府は、これらの課題のうち最も差し迫ったものを特定し、ロードマップを実現するための革新的でデータ駆動型のアイデアを産業界から求める競争プロセスを実施する必要がある。 この競争の一環として、政府は、特定分野のデータを再利用可能な検証可能な証明書の形で迅速に提供できるプロセスを確立し、商業的価値の機会を実現できるデータセットへの適切なアクセスを確保する必要がある。データの使用に関する継続的な国民の関与と参加が鍵となる。 
The Government should also consider the potential use of other privacy enhancing technologies or data intermediaries to provide efficient, lower risk options for data exchange. The lessons learnt from this process around the type and detail of public data that industry finds most valuable should inform further work on the government’s open data strategy. In parallel, government departments should prioritise further data sharing and linkage across departmental boundaries to support policy development and public services transformation, using platforms such as the ONS’ Integrated Data Service to make data available to a wider number of analysts and researchers on a consistent and repeatable basis.  政府は、データ交換のための効率的でリスクの低い選択肢を提供するために、他のプライバ シー向上技術やデータ仲介者を利用する可能性も検討すべきである。産業界が最も価値を見出す公共データの種類と詳細について、このプロセスから学んだ教訓は、政府のオープンデータ戦略に関するさらなる作業に反映されるべきである。これと並行して、政府部門は、政策立案や公共サービスの変革を支援するために、部門間の垣根を越えたデータ共有や連携を進めることを優先すべきであり、ONSの統合データサービスなどのプラットフォームを利用して、より多くの分析者や研究者が一貫して繰り返し利用できるデータを提供する。
Transport  輸送 
The transport sector globally is undergoing substantial technological transformation. UK regulatory frameworks must keep pace to enable real world testing and deployment of various automated transport applications - including self-driving cars, autonomous shipping, and drones. The Department for Transport’s proposed package of reforms to address some of this, developed through extensive consultation with industry, is set out in the Future of Transport Bill.  輸送部門は、世界的に大幅な技術的変革が進んでいる。英国の規制枠組みは、自動運転車、自律型船舶、ドローンなど、さまざまな自動化輸送アプリケーションの実世界でのテストと展開を可能にするため、歩調を合わせる必要がある。運輸省は、産業界との広範な協議を通じて開発した、この一部に対処するための改革パッケージを提案し、「運輸の未来法案」で定めている。
Recommendation 4: The government should bring forward the Future of Transport Bill to unlock innovation across automated transport applications.  提言4:政府は、自動輸送アプリケーション全体のイノベーションを解放するために、交通機関の未来法案を提出すべきである。
We recommend allocating Parliamentary time for the passage of the Future of Transport Bill in the Fourth Session, starting in the Autumn, which would send a strong signal of intent and pave the way for regulatory clarity.  我々は、秋に始まる第4会期において、交通未来法案の可決のために国会時間を割り当てることを推奨する。これは、強い意思表示を行い、規制の明確化への道を開くことになる。
The government should continue to prioritise efforts to deliver effective regulation for commercialisation and scale-up. A good example of the progress the government has made in this area includes the new Future Mobility testbed project in the West Midlands, which will provide over 180 miles of roads, the largest area in the UK, for developing the next generation of connected autonomous road vehicles. By deploying concepts in a living environment, and using advanced facilities and services, organisations can understand how their technology is perceived and how it tackles real world challenges, speeding up research and development processes and demonstrating commercial viability.  政府は、商業化とスケールアップのための効果的な規制を実現するための努力を引き続き優先すべきである。この分野での政府の進捗状況を示す好例として、ウェスト・ミッドランズで新たに実施される輸送の未来テストベッドプロジェクトがある。このプロジェクトでは、次世代の接続型自律走行車の開発に、英国最大の面積である180マイル以上の道路が提供される予定だ。生活環境の中でコンセプトを展開し、先進的な施設やサービスを利用することで、企業は自社の技術がどのように受け止められ、現実世界の課題にどのように取り組んでいるかを理解し、研究開発プロセスのスピードアップと商業的実現可能性を実証することができる。
Further recommendations  さらなる提言
In addition to the above headline recommendations, the review has identified a series of specific, short-term actions the government can take to improve the regulatory landscape across a range of emerging technologies that can deliver significant economic growth, including drones, cyber security, and space and satellite technologies.  上記の主要な提言に加え、レビューでは、ドローン、サイバーセキュリティ、宇宙・衛星技術など、大きな経済成長をもたらすことができるさまざまな新興技術について、規制の状況を改善するために政府が取ることができる一連の具体的かつ短期的な行動を特定した。
Drones  ドローン 
The drone sector alone is predicted to save UK businesses an estimated £22bn a year by 2030, and contribute £45bn to the UK economy (1.6% of projected GDP). Regulatory risk aversion constrains the use of drones, despite their potential to reduce costs, deliver new services and reduce risk to human life. Further recommendations to unlock the innovation potential of the drone sector include:  ドローン分野だけで、2030年までに英国企業は年間220億ポンドを節約し、英国経済に450億ポンド(予測GDPの1.6%)貢献すると予測されている。ドローンは、コスト削減、新サービスの提供、人命へのリスク低減の可能性があるにもかかわらず、規制によるリスク回避がドローンの利用を制約している。ドローン分野のイノベーションの可能性を引き出すためのさらなる提言は以下の通り。
•       The government should work with the CAA to establish an operating standard for drones, moving away from relying on operators to prove they are safe.   ・ 政府は、CAAと協力してドローンの運用基準を確立し、安全性の証明をオペレーターに依存することから脱却する必要がある。
•       The government should empower the CAA to better regulate the use of remotely piloted air systems (including drones and unmanned aerial vehicles) beyond visual line of sight. This should include the establishment of publicly owned test sites, developed in partnership with industry and other bodies to meet specific industry needs.   ・政府は、CAAに権限を与えて、目視外での遠隔操縦航空システム(ドローンや無人航空機を含む)の利用をより適切に規制する必要がある。これには、特定の業界のニーズを満たすために、業界やその他の団体と協力して開発された公有地の試験場の設立を含めるべきである。 
•       Ofcom/CAA regulation on radio communications should be amended to allow the use of UAVs/Drones/High-altitude platform station (HAPS) systems to act as radio repeaters. This would allow novel applications to provide temporary or permanent radio coverage and ubiquity of service in rural locations, and would benefit consumers in terms of access to high-speed broadband by communication service providers (CSPs).  ・無線通信に関するOfcom/CAA規制を改正し、UAV/ドローン/高高度プラットフォーム局(HAPS)システムを無線中継器として使用できるようにすべきである。これにより、地方における一時的または恒久的な無線カバレージとユビキタスサービスを提供する斬新なアプリケーションが可能になり、通信サービスプロバイダー(CSP)による高速ブロードバンドへのアクセスという点でも消費者に利益をもたらすだろう。
Case Study C: Managing Risk with Drones – the Swiss Model  ケーススタディC:ドローンでリスクマネジメント-スイスモデル 
In the UK, the Civil Aviation Authority (CAA)’s overriding objective is aviation safety, which is built around certified aircraft and human contact with pilots. There is currently underdeveloped drone operating standards in the UK, despite their potential to reduce costs and deliver new services.  英国では、民間航空局(CAA)の最優先目的は航空安全であり、認証された航空機とパイロットの人的接触によって成り立っている。ドローンはコスト削減や新しいサービスを提供する可能性があるにもかかわらず、英国では現在、ドローンの運用基準が未整備である。
Switzerland has been a world leader in shaping regulatory frameworks for drones authorisations. Through the Joint Authorities for Rulemaking on Unmanned Systems (JARUS) Working Group on Safety and Risk Management, the Swiss Federal Office of Civil Aviation (FOCA) has been leading the development of the Specific Operations Risk Assessment (SORA). SORA is a 10-step methodology to identify the risk of drone operations which require a permit, classifying the risk posed by a drone flight in the specific category of operations and for the identification of mitigations and safety objectives. This approval method for drone operations is allowing repeatable and scalable drone technology deployments globally and has allowed many startups to enter the market at low cost while meeting high safety standards[3].  スイスは、ドローンの認可に関する規制の枠組みを形成する上で、世界のリーダー的存在となっている。スイス連邦航空局(FOCA)は、無人システムに関する規則制定共同機関(JARUS)の安全およびリスクマネジメントに関するワーキンググループを通じて、特定運用リスク評価(SORA)の開発を主導してきました。SORAは、許可を必要とするドローン運航のリスクを特定するための10ステップの手法で、ドローン飛行がもたらすリスクを特定の運航カテゴリーに分類し、緩和策や安全目標を特定するためのものである。このドローン運航の承認方法は、世界的に再現性と拡張性のあるドローン技術の展開を可能にし、多くのスタートアップ企業が高い安全基準を満たしつつ、低コストで市場に参入することを可能にしている[3]。
In December 2022, the CAA announced its intention to adopt an amended version of the SORA as the mechanism for assessing risk when authorising more complex unmanned aircraft systems at scale. [4]  2022年12月、CAAは、より複雑な無人航空機システムを大規模に認可する際のリスク評価の仕組みとして、SORAの修正版を採用する意向を発表した。[4] 
Data  データ 
In addition to our headline recommendation on public sector data access, the ICO should update its guidance to clarify when an organisation is a controller, joint controller or processor for processing activities relating to AI as a service (AIaaS). This should include guidance on when providers can reuse personal information for improving their models. The current regime is burdensome for consumers and creates disincentives to providing data.  公共部門のデータアクセスに関する我々の主要な提言に加えて、ICOは、組織がAI as a Service(AIaaS)に関連する処理活動の管理者、共同管理者、または処理者になる場合を明確にするためにガイダンスを更新するべきである。これには、プロバイダーがそのモデルを改善するために個人情報を再利用できる場合についてのガイダンスも含まれるはずである。現在の制度は、消費者にとって負担が大きく、データ提供の阻害要因となっている。
Space and satellite technologies  宇宙・衛星技術 
The global space market is expected to more than double in size over the next 10 years, with an estimated value of £490 billion by 2030[5]. A 2022 study found that the UK space industry contributed £6.9 billion of direct gross value added (GVA) - equivalent to 0.31% of UK GDP – and £15.8 billion total GVA across the supply chain[6]. The UK is well positioned globally in the small satellite market, with the government’s ambition for the UK to become the leading provider of commercial small satellite launches in Europe by 2030[7] 世界の宇宙市場は今後10年間で2倍以上に拡大し、2030年には4,900億ポンドになると予想されている[5]。2022年の調査では、英国の宇宙産業は、英国GDPの0.31%に相当する69億ポンドの直接付加価値(GVA)、およびサプライチェーン全体で158億ポンドの総GVAに貢献していることが判明した[6]。英国は小型衛星市場において世界的に有利な立場にあり、政府は2030年までに英国が欧州における商業小型衛星打ち上げの主要プロバイダーになるという野望を抱いている[7]。
However, industry reports that specific regulatory constraints – in particular the Space Act 2018’s liability and indemnity requirements around the granting of licences to launch  satellites commercially in the UK – are viewed as disincentivising investment, with the potential to make the UK uncompetitive[8].  しかし、業界での報告によると、特定の規制上の制約、特に宇宙法2018の、英国で商業的に衛星を打ち上げるライセンスの付与に関する責任と補償の要件は、英国を競争力のない国にする可能性があり、投資を阻害するものとみなされていると報告している[8]。
In line with the Commons Science and Technology Select Committee’s recommendation in their report on the UK space strategy and UK satellite infrastructure[9], government should implement a variable liability approach to granting licences by June 2023. This would reduce cost and time delays for companies seeking launch licences for small spacecraft in particular, making the UK space sector a more attractive location for investment.  コモンズ科学技術特別委員会の英国宇宙戦略および英国衛星インフラに関する報告書[9]の提言に沿って、政府は2023年6月までにライセンス付与に可変責任方式を導入すべきである。これにより、特に小型宇宙船の打ち上げライセンスを求める企業のコストと時間の遅れが軽減され、英国の宇宙部門がより魅力的な投資先となるであろう。
Cyber security  サイバーセキュリティ 
We recommend amending the Computer Misuse Act 1990 to include a statutory public interest defence that would provide stronger legal protections for cyber security researchers and professionals, and would have a catalytic effect on innovation in a sector with considerable growth potential. The Home Office is launching a consultation on how to deliver this change. A July 2022 DCMS data breaches survey found that in the preceding year, 39% of businesses reported a cybersecurity breach or attack[10]. This figure illustrates the gravity of the threat such attacks pose to our economic and national security. However, under the Act, professionals conducting legitimate cybersecurity research in the public interest currently face the risk of prosecution if they attempt to access a computer or computer material without obtaining the necessary authorisation. Countries such as France, Israel, and the United States have already updated their regulations to provide this defence. For the UK’s cyber industry to compete on a level playing field, the UK government should do the same.  これは、サイバーセキュリティの研究者や専門家により強力な法的保護を提供し、大きな成長の可能性を持つこの分野のイノベーションに触媒的効果をもたらすだろう。内務省は、この変更を実現する方法についてコンサルテーションを開始する。2022年7月のDCMSのデータ侵害調査によると、前年には39%の企業がサイバーセキュリティの侵害や攻撃を報告していた[10]。この数字は、このような攻撃が経済および国家安全保障にもたらす脅威の重大さを示している。しかし、この法律では、公益のために合法的なサイバーセキュリティ研究を行う専門家が、必要な権限を得ずにコンピュータやコンピュータ資料にアクセスしようとした場合、訴追のリスクに直面するのが現状である。フランス、イスラエル、米国などの国々は、すでにこの防衛策を提供するために規制を更新している。英国のサイバー産業が同じ土俵で競争するためには、英国政府も同じことをすべきである。
Looking ahead to newly emerging technologies  新たに登場する技術に期待する 
In compiling this report we have engaged extensively across the digital economy.  One message that comes across clearly from industry is that the government should avoid regulating emerging digital technologies too early, to avoid the risk of stifling innovation. We therefore recommend that the government and regulators should continue to engage with industry on issues around safety, risk and benefits of innovation, and that the government and regulators should rapidly build capability and know-how to enable them to positively shape regulatory frameworks at the right time. Upcoming government strategies, including the Quantum Strategy, Semiconductor Strategy, and the Emerging Technologies Review provide an opportunity for the government to signal its commitment to a strategic, long-term vision to support emerging digital technologies.  この報告書をまとめるにあたり、私たちはデジタル経済全体に広く関与してきた。 産業界から明確に伝わってくるメッセージは、イノベーションを阻害するリスクを回避するために、政府は新興のデジタル技術を早期に規制することを避けるべきだというものである。したがって、政府および規制当局は、安全性、リスク、イノベーションのメリットに関する問題について産業界との対話を続けるべきであり、政府および規制当局は、適切な時期に規制の枠組みを積極的に形成できるように、能力とノウハウを迅速に構築すべきであると提言する。量子戦略、半導体戦略、新興技術レビューなど、今後予定されている政府戦略は、新興デジタル技術を支援するための戦略的かつ長期的なビジョンに対する政府のコミットメントを表明する機会を提供する。

 

[1] Department for Digital, Culture, Media and Sport (DCMS) (2022) UK tech sector retains #1 spot in Europe and #3 in world as sector resilience brings continued growth:  [1] デジタル・文化・メディア・スポーツ省(DCMS)(2022年)英国のハイテク部門が欧州1位、世界3位を維持、部門のレジリエンスが継続的成長をもたらす: 
https://www.gov.uk/government/news/uk-tech-sector-retains-1-spot-in-europe-and-3-in-world-assector-resilience-brings-continued-growth 
[2] DCMS (2021) Digital Regulation: Driving growth and unlocking innovation:  [2] DCMS (2021) Digital Regulation: 成長を促進し、イノベーションを解き放つ:
https://www.gov.uk/government/publications/digital-regulationdriving-growth-and-unlocking-innovation 
[3] Switzerland Global Enterprise (2022) Switzerland – at the forefront of drone technology:  [3] スイス グローバルエンタープライズ(2022年) スイス - ドローン技術の最前線 
https://www.sge.com/sites/default/files/publication/free/factsheet-drones-switzerland-s-ge-en-2022.pdf 
[4] Civil Aviation Authority (2022) Scalable beyond visual line of sight operations: Our plan to enable scalable beyond visual line of sight operations:  [4] 民間航空局(2022年)スケーラブルな目視外運用を可能にする。スケーラブルな目視外運用を可能にするための我々の計画 
https://www.caa.co.uk/drones/rules-and-categories-of-drone-flying/scalable-beyond-visual-line-of-sight-operations/ 
[5] Department for Business, Energy & Industrial Strategy (BEIS), Ministry of Defence (MoD), UK Space Agency (2022) National space strategy:  [5] ビジネス・エネルギー・産業戦略省(BEIS)、国防省(MoD)、英国宇宙庁(2022) 国家宇宙戦略: 
https://www.gov.uk/government/publications/national-space-strategy/national-space-strategy 
[6] UK Space Agency (2022) Size and Health of the UK Space Industry 2021:   [6] 英国宇宙庁(2022年) 英国宇宙産業の規模と健全性 2021年:
https://www.gov.uk/government/publications/the-size-andhealth-of-the-uk-space-industry-2021/size-and-health-of-the-uk-space-industry-2021
[7] BEIS, MoD, UK Space Agency (2022) National Space Strategy:  [7] BEIS, MoD, UK Space Agency (2022) National Space Strategy: 
https://www.gov.uk/government/publications/national-space-strategy
[8] Taskforce on Innovation, Growth and Regulatory Reform (2021) Report:  [8] イノベーション、成長、規制改革に関するタスクフォース(2021年)報告書: 
https://www.gov.uk/government/publications/taskforce-oninnovation-growth-and-regulatory-reform-independent-report 
[9] Science and Technology Select Committee, UK space strategy and UK satellite infrastructure (HC 2022-23 100) paras 76-78:   [9] 科学技術特別委員会、英国宇宙戦略および英国衛星インフラ(HC 2022-23 100)パラ 76-78: 
https://publications.parliament.uk/pa/cm5803/cmselect/cmsctech/100/summary.html
[10] DCMS (2022) Cyber security breaches survey 2022:  [10] DCMS (2022) サイバーセキュリティ侵害調査2022: 
https://www.gov.uk/government/statistics/cyber-security-breaches-survey-2022

 

 

・[PDF] HM Government Response to Sir Patrick Vallance’s Pro-Innovation Regulation of Technologies Review

20230320-63415

 

HM Government Response to Sir Patrick Vallance’s Pro-Innovation Regulation of Technologies Review Digital Technologies  サー・パトリック・バランスの「Pro-Innovation Regulation of Technologies Review デジタル技術」に対するHM政府の回答 
Mar-23 2023.03
Contents  目次 
Introduction 序文
Response to recommendations 提言への対応
Recommendation 1 – multi-regulator AI sandbox 提言1-マルチレギュレーターAIサンドボックス
Recommendation 2 – generative AI 提言2~生成型AI
Recommendation 3 – public data 提言3「公開データ
Recommendation 4 – Future of Transport Bill 提言4「交通法案の行方
Recommendation 5 – drones 提言5「ドローン
Recommendation 6 – AI as a service 提言6「サービスとしてのAI
Recommendation 7 – space liability 提言7「スペース・ライアビリティ
Recommendation 8 – cyber security 提言8「サイバーセキュリティ
Recommendation 9 – broad approach 提言9-幅広いアプローチ
Introduction  序文 
At Autumn Statement 2022, the Chancellor announced a programme of work to advise how the UK can better regulate emerging technologies, enabling their rapid and safe introduction.  2022年秋の首相声明で、首相は、英国が新興技術をよりよく規制し、迅速かつ安全に導入できるようにする方法を助言する作業プログラムを発表した。
The aim of this review is to establish the UK as the best regulated economy in the world in key growth sectors ensuring that industry and investors have the certainty then need to drive innovation, investment and growth through anticipating new developments in emerging technologies.  この見直しの目的は、主要な成長分野において、英国が世界で最も優れた規制を受ける経済国になることであり、産業界と投資家が、新興技術の新たな発展を予測し、イノベーション、投資、成長を促進するために必要な確実性を確保することである。
This work has been led by Sir Patrick Vallance, the Government Chief Scientific Adviser and National Technology Adviser.   この作業は、政府の最高科学顧問兼国家技術顧問であるパトリック・バランス卿が主導している。 
This report, covering Digital Technologies, is the first report to be published from this work programme.   デジタル技術を取り上げた本報告書は、この作業プログラムから発表される最初の報告書である。 
Two leading experts – Priya Lakhani and Matt Clifford – supported Sir Patrick Vallance for this Digital Technologies report, working hand-in-hand with industry to identify any barriers to innovation and getting emerging technologies to market. The government is grateful to them for their comprehensive work to inform this report.  このデジタル技術に関する報告書では、Priya LakhaniとMatt Cliffordの2人の専門家が、パトリック・バランス卿を支援し、産業界と協力しながら、イノベーションと新興技術の市場投入を阻む障壁を特定した。政府は、この報告書に情報を提供するための包括的な作業を行った彼らに感謝している。
Response to recommendations  提言への対応 
1. The government is grateful to Sir Patrick for this report into the regulation of emerging digital technologies. The UK has long been a leading location for digital and tech companies to innovate and do business. However, this report highlights that there are areas where we can further ensure that the UK’s regulatory environment enables innovation and a thriving digital economy. From better regulating the applications of AI, to promoting openness of public data and accelerating legislation to bring forward the future of transport, Sir Patrick’s report presents ambitious ideas to unlock progress. The government accepts all of the report’s recommendations and sets out how we propose to implement them in practice as detailed below.  1. 政府は、パトリック卿が新興デジタル技術の規制について本報告書を作成してくれたことに感謝する。英国は、長年にわたり、デジタル・テクノロジー企業がイノベーションを起こし、ビジネスを展開するための主要な場所となっている。しかし、この報告書は、英国の規制環境がイノベーションとデジタル経済の繁栄を可能にすることを、さらに確実にできる分野があることを強調している。AIの応用をより良く規制することから、公共データのオープン化を促進し、交通の未来を前進させるための法整備を加速させることまで、パトリック卿の報告書は、進歩を解き放つための意欲的なアイデアを提示している。政府は、報告書のすべての提言を受け入れ、以下に詳述するように、それらを実際にどのように実施することを提案するかを示している。
Recommendation 1 – multi-regulator AI sandbox  提言1 - 複数の規制当局によるAIサンドボックス 
Government should work with regulators to develop a multi-regulator sandbox for AI to be in operation within the next six months.  政府は規制当局と協力し、今後6ヶ月以内に運用を開始するAIの複数規制当局によるサンドボックスを開発すべきである。
Response  回答 
2.  Innovators can often face regulatory challenges in getting new, cutting-edge products to market. This is particularly true when a technology’s path to market requires interaction with multiple regulators, or when regulatory guidance is emergent. Regulatory sandboxes provide a space for innovators to test their new ideas and work with regulators on the application of regulatory frameworks.   2. イノベーターは、最先端の新製品を市場に投入する際に、しばしば規制上の問題に直面することがある。特に、ある技術が市場に出るまでに複数の規制当局とのやり取りが必要な場合や、規制の指針が未確立の場合は、その傾向が顕著である。レギュラトリーサンドボックスは、イノベーターが新しいアイデアを試し、規制当局と協力して規制の枠組みの適用に取り組むためのスペースを提供する。 
3.  The government will engage regulators, including the Digital Regulation Cooperation Forum, immediately, to prepare for the launch of a new sandbox based on the features and principles set out in the Vallance Review. More detail will be provided alongside the launch of the AI White Paper in the coming weeks.  3. 政府は、デジタル規制協力フォーラムを含む規制当局を直ちに関与させ、Vallance Reviewで示された特徴や原則に基づく新しいサンドボックスの立ち上げに備えることになる。より詳細な内容は、今後数週間のAI白書の発表と並行して提供される予定である。
Recommendation 2 – generative AI  提言2-生成AI 
Government should announce a clear policy position on the relationship between intellectual property law and generative AI to provide confidence to innovators and investors.  政府は、イノベーターや投資家に信頼を与えるため、知的財産法と生成AIの関係について明確な政策的立場を発表すべきである。
Response  回答 
4.  Sir Patrick rightly highlights the need for regulatory certainty to unlock the huge potential of AI. The government will act at pace to provide clarity in relation to the application of intellectual property law to the AI sector.   4. パトリック卿は、AIの巨大な可能性を引き出すために、規制の確実性が必要であることを正しく強調している。政府は、AI分野への知的財産法の適用に関する明確性を提供するために、ペースを上げて行動していく。 
5.  To support this, the Intellectual Property Office (IPO) will produce a code of practice by the summer which will provide guidance to support AI firms to access copyrighted work as an input to their models, whilst ensuring there are protections (e.g. labelling) on generated output to support right holders of copyrighted work. To inform the code of practice, the IPO will convene a group of AI firms and rights holders to identify barriers faced by users of data mining techniques when accessing copyright materials. An AI firm which commits to the code of practice can expect to be able to have a reasonable licence offered by a rights holder in return.  5. これを支援するため、知的財産庁(IPO)は夏までに実践規範を作成し、AI企業がモデルへの入力として著作物にアクセスすることを支援する一方、著作物の権利者を支援するために生成された出力に保護(ラベル付けなど)があることを保証するための指針を示す予定である。実践規範に情報を提供するため、IPOはAI企業と権利者のグループを招集し、データマイニング技術の利用者が著作物にアクセスする際に直面する障壁を特定する予定である。実践規範にコミットするAI企業は、その見返りとして、権利者から合理的なライセンスを提供されることを期待できる。
6.  The government believes that the involvement of both the AI and creative sectors will ensure the creation of a balanced and pragmatic code of practice that will enable both sectors to grow in partnership. However, this may be followed up with legislation, if the code of practice is not adopted or agreement is not reached.  6. 政府は、AIとクリエイティブの両セクターが関与することで、両セクターが連携して成長できるような、バランスの取れた実用的な実践規範を作成することができると考えている。ただし、実践規範が採用されなかったり、合意に至らなかったりした場合には、これに続いて法整備を行う可能性がある。
7.  The Intellectual Property Office will also take forward the recommendations in relation to enforcement: providing guidance to AI firms (by the summer); coordinating intelligence on any systematic copyright infringement; and encouraging the development of AI tools which assist with enforcement.  7. 知的財産局は、エンフォースメントに関連する提言も実施する。AI企業へのガイダンスの提供(夏まで)、組織的な著作権侵害に関する情報の調整、エンフォースメントを支援するAIツールの開発の奨励。
Recommendation 3 – public data  提言3 - 公共データ 
Government should facilitate greater industry access to public data, and prioritise wider data sharing and linkage across the public sector, to help deliver the government’s public services transformation programme.  政府は、政府の公共サービス変革プログラムの実現を支援するために、公共データへの産業界のアクセスを促進し、公共部門全体でより広範なデータ共有と連携を優先させるべきである。
Response  回答 
8.  The government is committed to playing its part to unleash the power of data for innovation across the UK, supporting stronger growth, better jobs and bold discoveries. As part of this commitment, government will work at pace to transform 50 of the top 75 public services by 2025, working with innovators from industry.   8. 政府は、英国全体のイノベーションのためにデータの力を解き放ち、より強い成長、より良い仕事、大胆な発見を支援するために、その役割を果たすことを約束する。このコミットメントの一環として、政府は、産業界のイノベーターと協力しながら、2025年までに上位75の公共サービスのうち50を変革するためにペースを上げて取り組んでいく。 
9.  Furthermore, recognising that one of the challenges is knowing what data is held where, government has already committed to delivering a Data Marketplace by 2025, to provide a single front door for government users to discover public sector data. Going further, and recognising the potential value of the Marketplace beyond government, we will explore how this could be expanded over the next 12 months to make public sector data accessible to industry and other external groups, including the legislative arrangements relating to open public data and aspects such as licensingtype agreements, so as to maximise public and economic value.   9. さらに、政府は、どのようなデータがどこに保管されているかを知ることが課題の一つであることを認識し、2025年までにデータマーケットプレイスを提供し、政府ユーザーが公共部門のデータを発見するための単一のフロントドアを提供することを既に約束している。さらに、政府を超えたマーケットプレイスの潜在的な価値を認識し、公共的・経済的価値を最大化するために、オープンな公共データに関する法整備やライセンス型契約などの側面を含め、公共部門のデータを産業やその他の外部グループがアクセスできるように、今後12ヶ月間でこれを拡大できる方法を探る。 
10.                    In parallel, the government will continue to support the delivery of the Office for National Statistics' (ONS) Integrated Data Service as the single data analysis and dissemination platform in Government, with the Full Public Beta version due by 31 March 2023. Departments will engage with the ONS to agree data sharing arrangements with the Integrated Data Service to make public sector data available to analysts across government.    10. これと並行して、政府は、政府における単一のデータ分析・普及プラットフォームとして、国家統計局(ONS)の統合データサービスの提供を引き続き支援し、2023年3月31日までに完全公開ベータ版を提供する予定である。各省庁は、公共部門のデータを政府全体のアナリストが利用できるようにするため、統合データサービスとのデータ共有の取り決めに合意するために、ONSと協力する。 
Recommendation 4 – Future of Transport Bill  提言4-交通法案の将来 
The government should bring forward the Future of Transport Bill to unlock innovation across automated transport applications.  政府は、自動化された輸送アプリケーション全体のイノベーションを解き放つために、輸送の未来法案を前倒しで提出すべきである。
Response  回答 
11. The Review shows how AI and data underpin important technologies such as self-driving vehicles. The government is committed to bringing forward this legislation when parliamentary time allows. The legislation will enable innovation in transport that benefits transport users and drives growth, investment and jobs across the UK. In the coming weeks we are publishing our government response to the Future of Transport Regulatory Review consultation which sets out our next steps to remove barriers to innovation in transport technologies. In August 2022 we published the Connected & Automated Mobility 2025 paper, setting out a vision and proposals for realising the societal and commercial benefits of self-driving vehicles.  11. 本レビューは、AIとデータが自動運転車などの重要な技術をいかに支えているかを示している。政府は、議会の時間が許す限り、この法案を提出することを約束する。本法案は、交通利用者に利益をもたらし、英国全体の成長、投資、雇用を促進する交通のイノベーションを可能にするものである。今後数週間のうちに、交通技術の革新に対する障壁を取り除くための次のステップを示す「Future of Transport Regulatory Review」コンサルテーションに対する政府回答を発表する。2022年8月には、自動運転車の社会的・商業的利益を実現するためのビジョンと提案を示した「Connected & Automated Mobility 2025」ペーパーを発表した。
Recommendation 5 – drones  提言5 - ドローン 
The government should work with the Civil Aviation Authority (CAA) to establish an operating standard for drones, moving away from relying on operators to prove they are safe.  政府は、民間航空局(CAA)と協力して、ドローンの運用基準を確立し、安全性を証明することをオペレーターに頼ることから脱却すべきである。
The government should empower the CAA to better regulate the use of remotely piloted air systems (including drones and unmanned aerial vehicles) beyond visual line of sight. This should include the establishment of publicly owned test sites, developed in partnership with industry and other bodies to meet specific industry needs.  政府は、CAAに権限を与えて、目視外での遠隔操縦航空システム(ドローンや無人航空機を含む)の使用をより適切に規制すべきである。これには、特定の業界のニーズを満たすために、業界や他の団体と協力して開発された公有地の試験場の設立を含めるべきである。
Ofcom/CAA regulation on radio communications should be amended to allow the use of UAVs/Drones/High-altitude platform station (HAPS) systems to act as radio repeaters. This would allow novel applications to provide temporary or permanent radio coverage and ubiquity of service in rural locations, and would benefit consumers in terms of access to high-speed broadband by communication service providers (CSPs).  無線通信に関するOfcom/CAA規制を改正し、UAV/ドローン/高高度プラットフォーム局(HAPS)システムを無線中継器として使用できるようにすべきである。これにより、地方における一時的または恒久的な無線カバレージとユビキタスサービスを提供する新しいアプリケーションが可能になり、通信サービスプロバイダー(CSP)による高速ブロードバンドへのアクセスという点で、消費者に利益をもたらすであろう。
Response  回答 
12.                    Government believes that drones can provide significant benefits to the UK, and we agree with the recommendations of the report.  Through our Department for Transport led Future of Flight programme, we are currently taking forward these recommendations, including through:   12. 政府は、ドローンが英国に大きな利益をもたらすことができると考えており、報告書の提言に同意している。 運輸省主導のFuture of Flightプログラムを通じて、現在、以下を含むこれらの提言を進めている。 
12.1                Establishing a Future of Flight Industry Group (FFIG) to ensure Government and industry are working in partnership to unlock the potential on drones. The FFIG will meet for the first time in March and will be co-chaired by the Aviation Minister. The FFIG includes key UK Future of Flight companies including drone operators and will co-create a Future of Flight Plan for publication by the end of the year.   12.1 政府と産業界がドローンの可能性を引き出すために連携していることを確認するため、Future of Flight Industry Group(FFIG)を設立する。FFIGは3月に初会合を開き、航空大臣が共同議長を務める予定である。FFIGには、ドローン事業者を含む英国のFuture of Flightの主要企業が参加しており、年末までにFuture of Flight Planを共同作成し、公表する予定である。 
12.2                Working with the CAA to help it focus on developing regulation at pace for new forms of aviation technologies including drones. The report recommends that the CAA establish an operating standard for drones: Whilst safety of drone operations remains paramount, we will encourage the CAA to implement the Specific Operations Risk Assessment (SORA) in the next financial year, a standardised and risk-based approach for classifying specific category drone operations.  12.2 CAAがドローンを含む新しい形態の航空技術に対するペースに合わせた規制の整備に注力できるよう、CAAと協力する。報告書は、CAAがドローンの運用基準を確立することを提言している。ドローン運航の安全性が最も重要であることに変わりはないが、我々はCAAに対し、特定のカテゴリーのドローン運航を分類するための標準化されたリスクベースのアプローチである特定運航リスク評価(SORA)を次会計年度に実施するよう働きかける予定である。
12.3                Funding and supporting the Future Flight Challenge which is accelerating the progress of new aviation technologies through funding 17 innovative projects that bring together diverse stakeholders around public good use cases, as well as developing the Future of Flight ecosystem. Example projects include:    12.3 Future Flight Challengeへの資金提供および支援:Future Flight Challengeは、Future of Flightエコシステムの開発だけでなく、公共性の高いユースケースを中心に多様なステークホルダーを結集する17の革新的プロジェクトへの資金提供を通じて、新しい航空技術の進歩を加速させる。プロジェクトの例は以下の通りである。 
12.3.1           CAELUS 2 which aims to showcase the operation of a network of multiple electric drones for the distribution of medical products and medicines across Scotland.   12.3.1 CAELUS 2:スコットランド全域で医療品や医薬品を配布するための複数の電動ドローンのネットワークの運用を紹介することを目的としています。 
12.3.2           InDePTH which will use drones to regularly survey wide infrastructure estates including ports and highways.  12.3.2 InDePTH:港湾や高速道路を含む広範なインフラを定期的に調査するために、ドローンを使用する予定。
12.4                Government will also work with Ofcom and the CAA, the independent regulators, on considerations for the potential use of UAVs/Drones/HAPs as radio repeaters.  12.4 政府は、UAV/ドローン/HAPを無線中継器として利用する可能性についての検討についても、独立規制当局であるOfcomおよびCAAと連携する。
Recommendation 6 – AI as a service  提言6 - サービスとしてのAI 
The Information Commissioner’s Office (ICO) should update its guidance to clarify when an organisation is a controller, joint controller or processor for processing activities relating to AI as a service (AIaaS). This should include guidance on when providers can reuse personal information for improving their models.  情報コミッショナー事務所(ICO)は、AI as a Service(AIaaS)に関連する処理活動において、組織がコントローラー、共同コントローラー、プロセッサーとなる時期を明確にするためにガイダンスを更新する必要があります。これには、プロバイダーがそのモデルを改善するために個人情報を再利用できる場合についてのガイダンスも含まれるべきである。
Response  回答 
13. Government agrees with this recommendation in principle, whilst recognising that the ICO - an independent regulator with responsibility for this area - is best placed to determine how this recommendation should be taken forwards.  13. 政府は、この勧告に原則的に同意するが、この分野に責任を持つ独立した規制当局であるICOが、この勧告をどのように進めるべきかを決定するのに最も適した立場にあることを認識する。
Recommendation 7 – space liability  勧告 7 - 宇宙の責任 
In line with the Commons Science and Technology Select Committee’s recommendation in their report on the UK space strategy and UK satellite infrastructure, government should implement a variable liability approach to granting licences by June 2023.  コモンズ科学技術特別委員会の英国宇宙戦略および英国衛星インフラに関する報告書での提言に沿って、政府は2023年6月までにライセンス付与に可変責任アプローチを導入すべきである。
Response  回答 
14.                    The government recognises the potential in the global space market and value of the Commons Science and Technology Select Committee’s work. The government confirms that this recommendation will be considered as a part of a consultation to be led by the Department for Science, Innovation and Technology.   14. 政府は、世界の宇宙市場における可能性と、コモンズ科学技術特別委員会の活動の価値を認識する。政府は、この勧告が科学技術革新省が主導する協議の一部として検討されることを確認する。 
15.                    In June 2022, the government published the response to a call for evidence on liability limits and insurance requirements for satellite operations and proposed developing a new approach to setting liability limits for satellite operators. The review recommendation was to move to a variable liability limit approach which will reflect an orbital sustainability focus.   15. 2022年6月、政府は衛星運用の責任限度額と保険要件に関する証拠募集の回答を公表し、衛星運用者の責任限度額を設定する新しいアプローチの開発を提案した。レビューの勧告は、軌道の持続可能性に重点を置くことを反映する可変責任限度額アプローチに移行することであった。 
16.                    The government is finalising its proposal on the variable limit approach, having held a number of meetings with the government/industry working group established to develop the approach. This working group consists of representation from satellite operators, insurers, academics and other space sector specialists, as well as the UK government and the Civil Aviation Authority.   16. 政府は、このアプローチを開発するために設立された政府・産業界のワーキンググループと数回の会合を開き、可変限度額アプローチに関する提案を最終的に決定している。このワーキンググループは、衛星事業者、保険会社、学者、その他の宇宙分野の専門家、英国政府、民間航空局の代表で構成されています。 
17.                    The government intends to hold a plenary session with the sector to outline the proposal on the variable limit approach at the end of March, ahead of a formal consultation on this and other liability and insurance matters in June. The intended implementation timeline for the variable limit approach is early 2024, subject to updating the approach based on feedback received through the consultation.  17. 政府は、6月にこの件とその他の賠償責任および保険に関する正式なコンサルテーションを行う前に、3月末に可変限度方式に関する提案の概要を説明するために、宇宙部門と全体会議を開催する予定である。協議を通じて得られたフィードバックに基づいてアプローチを更新することを条件として、可変限度額アプローチの意図する実施スケジュールは2024年初頭である。
18.                    The consultation will also include seeking views on viable alternatives to the current approach of operators each taking out their own individual third-party liability insurance policy.   18. また、協議には、事業者がそれぞれ個別に第三者賠償責任保険に加入するという現行の手法に代わる実行可能な選択肢についての意見も求める予定である。 
19.                    These world-first proposals will also be considered alongside the industry-led Space Sustainability mark which is currently being developed. The consultation will seek views on the benefits on insurance premiums of implementing these three ambitious proposals.   19. これらの世界初の提案は、現在策定中の業界主導の「Space Sustainability mark」とともに検討される予定である。このコンサルテーションでは、これら3つの野心的な提案を実施することによる保険料への影響について意見を求める予定である。 
20.                    The consultation will also cover updates on policy developments on a range of issues which influence the variable limit approach and wider orbital sustainability issues.   20. 協議では、可変限度額方式やより広範な軌道の持続可能性の問題に影響を与える様々な問題についての政策展開の最新情報も提供される予定である。 
Recommendation 8 – cyber security  提言8 - サイバーセキュリティ 
We recommend amending the Computer Misuse Act 1990 to include a statutory public interest defence that would provide stronger legal protections for cyber security researchers and professionals, and would have a catalytic effect on innovation in a sector with considerable growth potential.   この法律は、サイバーセキュリティの研究者や専門家に対してより強力な法的保護を提供し、大きな成長の可能性を持つこの分野のイノベーションに触媒的効果をもたらすだろう。 
Response  回答 
21. The government is committed to ensuring that we have the right legislative framework, powers and law enforcement capability to promote a secure and resilient economy and tackle the threat from cyber crime. The Home Office have a consultation live and a programme of work in the pipeline that will enable us to move forwards in considering the merits and potential risks to reform.  21. 政府は、安全でレジリエンスの高い経済を促進し、サイバー犯罪の脅威に対処するために、適切な法的枠組み、権限、法執行能力を確保することを約束します。内務省では、改革のメリットと潜在的なリスクの検討を進めることができるよう、コンサルテーションを開始し、作業プログラムを準備中である。
Recommendation 9 – broad approach  提言9 - 広範なアプローチ 
Government should avoid regulating emerging digital technologies too early, to avoid the risk of stifling innovation. We therefore recommend that the government and regulators should continue to engage with industry on issues around safety, risk and benefits of innovation, and that the government and regulators should rapidly build capability and know-how to enable them to positively shape regulatory frameworks at the right time. Upcoming government strategies, including the Quantum Strategy, Semiconductor Strategy, and the Emerging Technologies Review provide an opportunity for the government to signal its commitment to a strategic, long-term vision to support emerging digital technologies.  政府は、イノベーションを阻害するリスクを回避するため、新興のデジタル技術を早期に規制することは避けるべきである。したがって、我々は、政府および規制当局が、安全性、リスク、イノベーションの利点に関する問題について産業界と継続的に関わりを持つべきであり、政府および規制当局が適切な時期に規制の枠組みを積極的に形成できるように、能力とノウハウを迅速に構築することを提言する。量子戦略、半導体戦略、新興技術レビューなど、今後予定されている政府戦略は、新興デジタル技術を支援するための戦略的かつ長期的なビジョンに対する政府のコミットメントを表明する機会を提供する。
Response  回答 
22. Government recognises the importance of regulating at the appropriate stage in a technology’s life-cycle and, more broadly, the need to set out a long-term strategic vision to support the promotion of emerging technologies, in line with the Government’s Plan for Digital Regulation and Digital Strategy. This approach is reflected in our quantum strategy, also published today.   22. 政府は、技術のライフサイクルの適切な段階で規制を行うことの重要性を認識しており、より広くは、政府のデジタル規制計画およびデジタル戦略に沿って、新興技術の推進を支援するための長期的な戦略ビジョンを設定する必要性を認識しています。このアプローチは、同じく本日発表された当社の量子戦略にも反映されている。 

 

● ICO

・2023.03.15 ICO statement on Government response to Sir Patrick Vallance’s Pro-Innovation Regulation of Technologies Review

 

 

| | Comments (0)

2023.03.19

米国 2024会計年度の機密情報以外の安全保障予算要求額は724億ドル(約9.6兆円)

こんにちは、丸山満彦です。

米国の2024会計年度の機密情報以外の安全保障予算要求額は724億ドル(約9.6兆円)のようですね。。。ここから減らされているのかもしれませんが、、、

Office of the Director of National Intelligence

・2023.03.14 DNI Releases FY 2024 Budget Request Figure for the National Intelligence Program

・2023.03.14 DNI RELEASES FY 2024 BUDGET REQUEST FIGURE FOR THE NATIONAL INTELLIGENCE PROGRAM


米国の場合、インテリジェンス組織は連邦政府に16あるようです。

・[wikipedia] United States Intelligence Community

Organization 組織 Parent organization 親組織 Federal department 連邦 Date est.
Office of Naval Intelligence (ONI) 海軍情報部(ONI) United States Navy 米国海軍 Defense 国防総省 1882
Coast Guard Intelligence (CGI) 沿岸警備隊情報部(CGI) United States Coast Guard 米国沿岸警備隊 Homeland Security 国土安全保障省 1915
Bureau of Intelligence and Research (INR) 情報調査局(INR) United States Department of State 米国国務省 State 国務省 1945
Central Intelligence Agency (CIA) 米国中央情報局(CIA) None (なし) Independent agency (独立省) 1947
Sixteenth Air Force (16 AF) (USAF ISR Enterprise) 第16空軍(16AF) United States Air Force 米国空軍 Defense 国防総省 1948
National Security Agency (NSA) / Central Security Service (CSS)[Note 1] 米国家安全保障局(NSA)/ 中央安全保障局(CSS)[注1]。 United States Department of Defense 米国国防総省 Defense 国防総省 1952
National Reconnaissance Office (NRO) 米国偵察局(NRO) United States Department of Defense 米国国防総省 Defense 国防総省 1961
Defense Intelligence Agency (DIA) 米国国防情報局(DIA) United States Department of Defense 米国国防総省 Defense 国防総省 1961
Military Intelligence Corps (MIC) 米国陸軍情報部(MIC) United States Army 米国陸軍 Defense 国防総省 1977
Office of Intelligence and Counterintelligence (OICI) 情報・防諜室(OICI) United States Department of Energy 米国エネルギー省 Energy エネルギー省 1977
Marine Corps Intelligence (MCI) 海兵隊情報部(MCI) United States Marine Corps 米国海兵隊 Defense 国防総省 1978
National Geospatial-Intelligence Agency (NGA) 全米地理情報局(NGA) United States Department of Defense 米国国防総省 Defense 国防総省 1996
Office of Intelligence and Analysis (OIA) 情報分析室(OIA) United States Department of the Treasury 米国財務省 Treasury 財務省 2004
Intelligence Branch (IB) FBI情報部門(IB) Federal Bureau of Investigation 連邦捜査局 Justice 法務省 2005
Office of National Security Intelligence (ONSI) 国家安全保障情報局(ONSI) Drug Enforcement Administration 麻薬取締局 Justice 法務省 2006
Office of Intelligence and Analysis (I&A) 情報分析室(I&A) United States Department of Homeland Security 米国合衆国国土安全保障省 Homeland Security 国土安全保障省 2007
National Space Intelligence Center (NSIC) (USSF ISR Enterprise) 米国宇宙情報センター(NSIC) United States Space Force 米国宇宙軍 Defense 国防総省 2020

 

01_20230319152801

| | Comments (0)

NIST SP 800-219r1(ドラフト)macOSセキュリティ・コンプライアンス・プロジェクト(mSCP)による自動化された安全な構成のガイダンス

こんにちは、丸山満彦です。

NISTがSP 800-219 macOSセキュリティ・コンプライアンス・プロジェクト(mSCP)による自動化された安全な構成のガイダンスの改訂版についてのドラフトを公表し、意見募集(2023.04.27まで) をしています。OSのバージョンアップに合わせて変更していかないといけないので、大変ですね。。。

NIST - ITL

・2023.03.13 macOS Configuration Guidance from the mSCP: Draft NIST SP 800-219r1 Available for Comment

macOS Configuration Guidance from the mSCP: Draft NIST SP 800-219r1 Available for Comment mSCPによるmacOS設定ガイダンス:NIST SP 800-219r1ドラフトがコメント受付中である。
NIST requests comments on the initial public draft of Special Publication (SP) 800-219r1, Automated Secure Configuration Guidance from the macOS Security Compliance Project (mSCP). It provides resources that system administrators, security professionals, security policy authors, information security officers, and auditors can leverage to secure and assess macOS desktop and laptop system security in an automated way. NISTは、特別出版物 (SP) 800-219r1「macOSセキュリティ・コンプライアンス・プロジェクト(mSCP)による自動化された安全な構成のガイダンス」の初期公開草案に対するコメントを求めている。 本書は、システム管理者、セキュリティ専門家、セキュリティポリシー作成者、情報セキュリティ責任者、監査人が、macOSであるクトップおよびラップトップシステムのセキュリティを自動化した方法で確保し評価するために活用できるリソースを提供する。
This publication introduces the mSCP, describes use cases for leveraging the mSCP content, and introduces a new feature of the mSCP that allows organizations to customize security rules more easily. The draft also gives an overview of the resources available on the project’s GitHub site, which provides practical, actionable recommendations in the form of secure baselines and associated rules and is continuously updated to support each new release of macOS. 本書では、mSCPを紹介し、mSCPのコンテンツを活用するためのユースケースを説明し、組織がより簡単にセキュリティルールをカスタマイズできるmSCPの新機能を紹介する。また、ドラフトでは、プロジェクトのGitHubサイトで利用できるリソースの概要を説明している。このリソースは、セキュアベースラインと関連ルールの形で実用的で実行可能な推奨事項を提供し、macOSの新しいリリースごとにサポートするために継続的に更新される。

 

・2023.03.13 SP 800-219 Rev. 1 (Draft) Automated Secure Configuration Guidance from the macOS Security Compliance Project (mSCP)

SP 800-219 Rev. 1 (Draft) Automated Secure Configuration Guidance from the macOS Security Compliance Project (mSCP) SP 800-219 Rev.1(ドラフト)macOSセキュリティ・コンプライアンス・プロジェクト(mSCP)による自動化された安全な構成のガイダンス
Announcement 発表
This draft revision of NIST SP 800-219 provides resources that system administrators, security professionals, security policy authors, information security officers, and auditors can leverage to secure and assess macOS desktop and laptop system security in an automated way. NIST SP 800-219のこのドラフト改訂版は、システム管理者、セキュリティ専門家、セキュリティポリシー作成者、情報セキュリティ担当者、監査人が、macOSであるクトップおよびラップトップシステムのセキュリティを自動で確保し評価するために活用できるリソースを提供する。
This publication introduces the mSCP, describes use cases for leveraging the mSCP content, and introduces a new feature of the mSCP that allows organizations to customize security rules more easily. The draft also gives an overview of the resources available on the project’s GitHub site, which provides practical, actionable recommendations in the form of secure baselines and associated rules and is continuously updated to support each new release of macOS. 本書では、mSCPを紹介し、mSCPのコンテンツを活用するためのユースケースを説明し、組織がセキュリティルールをより簡単にカスタマイズできるmSCPの新機能を紹介している。また、このドラフトでは、プロジェクトのGitHubサイトで利用できるリソースの概要を説明している。このリソースは、セキュアベースラインと関連ルールの形で実用的で実行可能な推奨事項を提供し、macOSの新しいリリースごとにサポートするために継続的に更新される。
Abstract 概要

The macOS Security Compliance Project (mSCP) provides resources that system administrators, security professionals, security policy authors, information security officers, and auditors can leverage to secure and assess macOS desktop and laptop system security in an automated way. This publication introduces the mSCP and gives an overview of the resources available from the project’s GitHub site, which is continuously curated and updated to support each new release of macOS. The GitHub site provides practical, actionable recommendations in the form of secure baselines and associated rules. This publication also describes use cases for leveraging the mSCP content. Updates from the previous version of this publication mainly involve the new mSCP capability to create a custom benchmark by tailoring a baseline.

macOS セキュリティ・コンプライアンス・プロジェクト(mSCP)は、システム管理者、セキュリティ専門家、セキュリティポリシー作成者、情報セキュリティ担当者、監査人が、macOSのであるクトップおよびラップトップシステムのセキュリティを自動で確保し評価するために活用できるリソースを提供する。本書では、mSCPを紹介し、プロジェクトのGitHubサイトで利用できるリソースの概要を説明する。このサイトは、macOSの新しいリリースをサポートするために継続的にキュレーションと更新が行われている。GitHubサイトでは、セキュアベースラインと関連ルールの形で、実用的で実行可能な推奨事項を提供している。また、本書では、mSCPのコンテンツを活用するためのユースケースについても説明している。本書の前バージョンからの更新点は、ベースラインをカスタマイズしてカスタムベンチマークを作成する新しいmSCP機能に関するものである。

 

・[PDF] SP 800-219 Rev. 1 (Draft)

20230318-225247

 

目次...

1. Introduction 1. 序文
1.1. Purpose and Scope 1.1. 目的および範囲
1.2. Audience 1.2. 想定読者
1.3. Relevance to NIST SP 800-70 and the National Checklist Program 1.3. NIST SP 800-70及びナショナルチェックリストプログラムとの関連性
1.4. Document Structure 1.4. 文書構造
2. Project Description 2. プロジェクト概要
2.1. Project Goals 2.1. プロジェクトの目標
2.2. mSCP Content Use 2.2. mSCPコンテンツ利用
3. mSCP Components 3.mSCPの構成要素
3.1. Baselines and Benchmarks 3.1. ベースラインとベンチマーク
3.2. Security Baseline Files 3.2. セキュリティベースラインファイル
 3.2.1. Rule File Composition  3.2.1. ルールファイルの構成
 3.2.2. Rule File Categories  3.2.2. ルールファイルのカテゴリ
3.3. Configuration Profiles and Scripts 3.3. コンフィギュレーション・プロファイルとスクリプト
3.4. Content Generation Scripts 3.4. コンテンツ生成スクリプト
 3.4.1. Generate Baseline Script  3.4.1. ベースライン・スクリプトを生成する
 3.4.2. Generate Guidance Script  3.4.2. ガイダンススクリプトを生成する
 3.4.3. macOS Security Compliance Tool  3.4.3. macOSセキュリティコンプライアンスツール
 3.4.4. SCAP Generation Script  3.4.4. SCAP生成スクリプト
 3.4.5. Generate Mapping Script  3.4.5. マッピングスクリプトを生成する
3.5. Customization 3.5. カスタマイズ
3.6. Directories 3.6. ディレクトリー
References 参考文献
Appendix A. mSCP User Roles 附属書A mSCPのユーザーロール
Appendix B. Example of mSCP Usage by a Security Professional 附属書B.セキュリティ専門家によるmSCPの活用例
Appendix C. Example of Creating a Benchmark Using ODVs 附属書C.ODVを用いたベンチマーク作成例
Appendix D. Example of mSCP Usage by an Assessment Tool Vendor 附属書D.評価ツールベンダーによるmSCPの使用例
Appendix E. List of Symbols, Abbreviations, and Acronyms 附属書E.記号・略語・頭字語リスト
Appendix F. Change Log 附属書F.変更履歴

 

1. Introduction  1. 序文 
The National Institute of Standards and Technology (NIST) has traditionally published secure configuration guides for Apple desktop/laptop operating system versions as prose-based Special Publications (SPs), such as NIST SP 800-179, Revision 1, Guide to Securing Apple macOS 10.12 Systems for IT Professionals: A NIST Security Configuration Checklist. In order to provide security configuration guidance to organizations more quickly and in a machine-consumable format, NIST established the open-source macOS Security Compliance Project (mSCP). NIST no longer produces SP guidance documents for each macOS release; instead, the mSCP continuously curates and updates machine-consumable macOS guidance. The latest macOS security baseline content is maintained and updated on the mSCP GitHub page [1].  米国国立標準技術研究所(NIST)は、従来からAppleのであるクトップ/ラップトップOSのバージョンに対応した安全な設定ガイドを、NIST SP 800-179、改訂1、IT専門家のためのApple macOS 10.12 Systemsの安全確保のためのガイドなどの散文ベースの特別出版物(SP)として発行している。A NIST Security Configuration Checklist」など、散文ベースの特別刊行物(SP)として提供されている。NISTは、セキュリティ構成ガイダンスをより迅速に、かつ機械消費型のフォーマットで組織に提供するため、オープンソースのmacOS Security Compliance Project (mSCP)を設立しました。NISTは、macOSのリリースごとにSPガイダンス文書を作成しなくなりました。その代わりに、mSCPは、機械消費型のmacOSガイダンスを継続的にキュレーションして更新する。最新のmacOSセキュリティベースラインの内容は、mSCPのGitHubページで管理・更新されている[1]。
Security baselines are groups of settings used to configure a system to meet a target level or set of requirements or to verify that a system complies with requirements. The mSCP seeks to simplify the macOS security development cycle by reducing the amount of effort required to implement security baselines. This collaboration between federal agencies minimizes duplicate effort that would otherwise be needed for these agencies to administer individual security baselines. Additionally, the secure baseline content provided is easily extensible by other parties to implement their own security requirements.  セキュリティベースラインは、目標レベルや一連の要件を満たすようにシステムを構成するため、またはシステムが要件に準拠していることを検証するために使用する設定グループである。mSCPは、セキュリティベースラインの実装に必要な労力を削減することで、macOSのセキュリティ開発サイクルを簡素化することを目指している。この連邦政府機関間の協力により、これらの機関が個別のセキュリティベースラインを管理するために必要な重複した労力を最小限に抑えることがである。さらに、提供されるセキュアベースラインのコンテンツは、他の関係者が独自のセキュリティ要件を実装するために容易に拡張可能である。
Organizations using mSCP content, particularly security baseline examples, should take a riskbased approach for selecting the appropriate settings and defining values that consider the context under which the baseline will be utilized.  mSCPのコンテンツ、特にセキュリティベースラインの例を使用する組織は、リスクベースのアプローチで適切な設定を選択し、ベースラインが使用されるコンテキストを考慮した値を定義する必要がある。
1.1. Purpose and Scope  1.1. 目的及び範囲 
The purpose of this document is to introduce the mSCP to broader audiences. This document provides a high-level overview of the mSCP, its components, and some common use cases. It refers readers to the online project documentation for in-depth technical information and use instructions. This document is intended to be independent of macOS version releases; updates will be released as needed when there are substantial changes to the mSCP. Updates from the previous release of this document mainly involve the new mSCP capability to create a custom benchmark by tailoring a baseline.  本書は、mSCP をより多くの人に紹介することを目的とする。本書では、mSCP の概要、構成要素、および一般的な使用例について説明する。詳細な技術情報や使用方法については、オンライン・プロジェクト・ドキュメントを参照すること。本書は、macOSのバージョンに依存しないことを意図している。mSCPに大きな変更があった場合は、必要に応じてアップデートを行いる。このドキュメントの以前のリリースからの更新は、主にベースラインを調整することによってカスタムベンチマークを作成する新しいmSCP機能に関するものである。
The information in this document regarding the details of the mSCP GitHub site is accurate as of the time of publication. Readers seeking the latest detailed information on mSCP content or the content itself should visit the mSCP GitHub page and wiki.  本書に記載されているmSCPのGitHubサイトの詳細情報は、公開時点の情報である。mSCPコンテンツやコンテンツ自体の最新の詳細情報を知りたい読者は、mSCP GitHubページおよびwikiを参照すること。
Organizations that need to reference a NIST SP to demonstrate how they are complying with United States Government mandates for adopting secure configurations for their macOS devices may reference this SP instead of its deprecated predecessors, such as SP 800-179 or SP 800-179, Revision 1.  macOSデバイスに安全な設定を採用するための米国政府の義務に準拠していることを示すためにNIST SPを参照する必要がある組織は、SP 800-179やSP 800-179、 Revision 1などの非推奨の前身ではなく、本SPを参照である。
1.2. Audience  1.2. 想定読者
This document and the mSCP GitHub site are intended for system administrators, security professionals, policy authors, privacy officers, and auditors who have responsibilities involving macOS security. Additionally, vendors of device management, security, configuration assessment, and compliance tools that support macOS may find this document and the GitHub site to be helpful.  この文書と mSCP GitHub サイトは、macOS のセキュリティに関わる責任を持つシステム管理者、セキュリティ専門家、ポリシー作成者、プライバシー担当者、監査人を対象としている。さらに、macOS をサポートするデバイス管理、セキュリティ、構成評価、およびコンプライアンスツールのベンダーは、この文書と GitHub サイトを参考にすることができる。
1.3. Relevance to NIST SP 800-70 and the National Checklist Program  1.3. NIST SP 800-70およびNational Checklist Programとの関連性 
The security baselines from the mSCP GitHub page are included in the National Checklist Program. NIST SP 800-70, Revision 4 [2], explains that federal agencies are required to use appropriate security configuration checklists from the National Checklist Program when available. Part 39 of the Federal Acquisition Regulations, Section 39.101 paragraph (c) states,  mSCP GitHub ページのセキュリティベースラインは、National Checklist Program に含まれている。NIST SP 800-70、Revision 4 [2]では、連邦政府機関は、National Checklist Programの適切なセキュリティ構成チェックリストが利用できる場合は、それを使用することが求められると説明している。連邦調達規則のパート39、セクション39.101パラグラフ(c)には次のように書かれている。
In acquiring information technology, agencies shall include the appropriate information technology security policies and requirements, including use of common security configurations available from the National Institute of Standards and Technology’s website at https://checklists.nist.gov. Agency contracting officers should consult with the requiring official to ensure the appropriate standards are incorporated.  情報技術を取得する際、各省庁は、米国国立標準技術研究所のウェブサイト(https://checklists.nist.gov)から入手できる共通セキュリティ構成の使用を含む、適切な情報技術セキュリティ方針および要件を含めるものとする。省庁の契約担当者は、適切な規格が組み込まれていることを確認するために、必要な職員と相談する必要がある。
1.4. Document Structure  1.4. 文書の構造 
The remaining sections and appendices of this document are as follows:  本書の残りのセクションと附属書は、以下の通りである。
• Section 2 provides an overview of the project, including what its goals are and how its content can be used.  ・セクション 2 では、プロジェクトの目標やコンテンツの利用方法など、プロジェクトの概要について説明する。
• Section 3 explains the major components of the mSCP and provides pointers to additional information on component usage.  ・セクション 3 では、mSCP の主要なコンポーネントを説明し、コンポーネントの使用方法に関する追加情報へのポインタを提供する。
• The References section lists the references for the document.  ・参考文献では、この文書の参考文献をリストアップしている。
• Appendix A briefly discusses how mSCP can help meet the needs of people in several roles.  ・附属書Aは、mSCP がいくつかの役割の人々のニーズを満たすのにどのように役立つかを簡単に説明している。
• Appendix B provides examples of how a security professional might use mSCP content.  ・附属書Bは、セキュリティ専門家がmSCPのコンテンツをどのように使用するかの例を示している。
• Appendix C contains an example of how an assessment tool vendor could leverage mSCP content.  ・附属書Cは、評価ツールベンダーがmSCPのコンテンツをどのように活用するかの例を示している。
• Appendix D lists selected acronyms and abbreviations used in this document.  ・附属書Dは、本書で使用する頭字語および略語の一覧である。

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.02.19 NIST SP 800-219(ドラフト)macOSセキュリティ・コンプライアンス・プロジェクト(mSCP)による自動化された安全な構成のガイダンス

 

| | Comments (0)

2023.03.18

米国 2023-2027年国防総省サイバー人材戦略 (2023.03.09)

こんにちは、丸山満彦です。

国防副長官が2023-2027年国防総省サイバー人材戦略に署名していますね。。。

参考になるかもです。。。

 

図1:任務と資格マトリクス例

1_20230318073401

 

Deputy Secretary of Defense Signs 2023-2027 DoD Cyber Workforce Strategy 国防副長官、2023-2027年国防総省サイバー人材戦略に署名
On February 27, 2023, Deputy Secretary of Defense Dr. Kathleen Hicks signed the 2023-2027 DoD Cyber Workforce (CWF) Strategy, which sets the foundation for how the DoD will foster a cyber workforce capable of executing the Department's complex and varied cyber missions. 2023年2月27日、キャスリーン・ヒックス国防副長官は、国防総省の複雑で多様なサイバー任務を遂行できるサイバー人材を育成する方法の基礎を定めた「2023-2027国防総省サイバーワークフォース(CWF)戦略」に署名した。
The strategy will enable the DoD to close workforce development gaps, resource workforce management and development initiatives, stay at the forefront of technological advances, securely and rapidly deliver resilient systems, and transform into a data-centric enterprise with optimized workforce analytics. この戦略により、国防総省は、人材育成のギャップを解消し、人材管理・育成イニシアチブをリソース化し、技術的進歩の最前線に立ち続け、レジリエンス・システムを安全かつ迅速に提供し、人材分析を最適化したデータ中心のエンタープライズへと変化することができる。
The DoD CIO developed this strategy in coordination with other Office of the Secretary of Defense (OSD) Component heads, the Joint Chiefs of Staff, United States Cyberspace Command, and the military services to provide focus to cyber-related human capital initiatives in alignment with the 2022 National Defense Strategy that states the Department needs to "Cultivate the Workforce We Need." 国防総省CIOは、国防総省が "Cultivate the Workforce We Need "を必要とする2022年国家防衛戦略に沿って、サイバー関連の人的資本の取り組みに焦点を当てるため、他の国防長官室(OSD)部門長、統合参謀本部、米国サイバー空間コマンド、軍サービスと協力してこの戦略を策定した。
"We are looking at every aspect of the cyber employee's lifecycle to ensure we are not only finding and hiring a diverse group of skilled cyber specialists but also developing the tools, resources, and partnerships required to continue to grow these individuals professionally," said Patrick Johnson, director, Workforce Innovation Directorate (WID). "I'm proud of the work our team has done so far, and we still have a lot more work to do to overcome talent shortages within the cyber workforce."   ワークフォート・イノベーション・ディレクター(WID)であるパトリック・ジョンソンは以下のように述べている。「我々は、多様なスキルを持つサイバー専門家を見つけ、雇用するだけでなく、これらの人々を専門的に成長させ続けるために必要なツール、リソース、パートナーシップを開発することを確実にするために、サイバー従業員のライフサイクルのあらゆる側面に注目している。 そして、サイバー人材不足を克服するために、まだまだやるべきことがたくさんある。」
In addition to the CWF Strategy, WID currently implements several initiatives that support the broader talent management lifecycle for the DoD's cyber workforce, including the recently published DoD Manual 8140.03. CWF戦略に加え、WIDは現在、最近発行されたDoDマニュアル8140.03を含む、国防総省のサイバー人材に対するより幅広い人材管理のライフサイクルを支援するいくつかのイニシアチブを実施している。
"This strategy, in combination with our current portfolio, will help to unify cyber personnel management efforts across the DoD and ensure that our workforce continually develops through training and skill-building opportunities," said Mark Gorak, Principal Director for Resources and Analysis.  資源・分析担当主席ディレクターのマーク・ゴラクは以下のように述べている。「この戦略は、私たちの現在のポートフォリオと組み合わせることで、国防総省全体のサイバー人材管理の取り組みを統一し、トレーニングやスキル構築の機会を通じて、私たちの労働力が継続的に成長することを保証するのに役立つ」。 
The DoD is aligning strategic efforts to four human capital pillars: identification, recruitment, development, and retention. These pillars provide the foundation and set unified direction to accomplish the goals outlined in the CWF Strategy. These goals are to execute consistent capability assessment and analysis processes to stay ahead of force needs; establish an enterprise-wide talent management program to better align force capabilities with current and future requirements; facilitate a cultural shift to optimize Department-wide personnel management activities; and foster collaboration and partnerships to enhance capability development, operational effectiveness, and career-broadening experience.  国防総省は、人的資本の4つの柱(識別、採用、開発、維持)に戦略的取り組みを合わせている。これらの柱は、CWF戦略で示された目標を達成するための基礎となり、統一された方向性を示している。これらの目標は、一貫した能力評価と分析プロセスを実施して部隊のニーズを先取りすること、エンタープライズ規模の人材管理プログラムを確立して部隊の能力を現在および将来の要件にうまく合わせること、省全体の人事管理活動を最適化する文化的転換を促進すること、協力とパートナーシップを促進して能力開発、作戦効果、キャリアアップの経験を強化すること、などとなっている。 
A forthcoming implementation plan will provide a list of implementation activities the DoD will pursue over a multi-year period, along with key performance indicators to monitor and assess the impact of CWF Strategy activities.  Together, the strategy and implementation plan will enable the Department to identify, recruit, develop and retain the most capable and dominant cyber workforce in the world. 近々発表される実施計画では、CWF戦略活動の影響を監視・評価するための主要業績評価指標とともに、国防総省が複数年にわたり実施する活動のリストが示される予定である。 戦略と実施計画を合わせて、国防総省は世界で最も有能で支配的なサイバー人材を特定、採用、開発、保持することが可能になる。

 

・[PDF] DOD MANUAL 8140.03 CYBERSPACE WORKFORCE QUALIFICATION AND MANAGEMENT PROGRAM 

20230318-60535

 

SECTION 1: GENERAL ISSUANCE INFORMATION セクション 1: 一般的な発行情報
1.1. Applicability 1.1. 適用範囲
1.2. Policy 1.2. 方針
1.3. Information Collections 1.3. 情報収集
1.4. Alignment of Cyberspace Work Roles to Cyberspace Workforce Elements 1.4. サイバースペースワークロールとサイバースペースワークフォースエレメントの整合性
SECTION 2: RESPONSIBILITIES セクション 2: 責任
2.1. DoD Chief Information Officer (DoD CIO) 2.1. 国防総省最高情報責任者(DoD CIO)
2.2. USD(P&R) 2.2. USD(ピーアンドアール)
2.3. USD(I&S) 2.3. 米ドル(I&S)
2.4. Assistant Secretary of Defense for Homeland Defense and Hemispheric Affairs 2.4. 国防次官補(国土防衛・半球問題担当
2.5. OSD and DoD Component Heads 2.5. OSDおよび国防総省の各部門の長
2.6. Secretaries of the Military Departments and the Commandant of the United States Coast Guard 2.6. 軍部長官および米国沿岸警備隊司令官
2.7. CJCS 2.7. CJCS
2.8. Commander, United States Cyber Command 2.8. 米国サイバーコマンド司令官
SECTION 3: CYBERSPACE WORKFORCE STRUCTURE AND QUALIFICATION PROGRAM セクション3:サイバースペースワークフォースの構造と資格プログラム
3.1. Cyberspace Workforce Structure 3.1. サイバースペースの労働力構成
3.2. DoD Cyberspace Workforce Qualification and Management Program 3.2. 国防総省サイバースペース人材資格・管理プログラム
a. Program Overview a. プログラムの概要
b. Qualification Areas b. 資格取得エリア
3.3. Proficiency levels 3.3. プロフィシェンシー・レベル
SECTION 4: QUALIFICATION PROGRAM OBJECTIVES AND PROCEDURES セクション 4: 資格認定プログラムの目的および手順
4.1. Program Objectives 4.1. プログラムの目的
4.2. Procedures 4.2. 手続きについて
4.3. Implementation 4.3. インプリメンテーション
a. General Requirements a. 一般要件
b. Specific Requirements b. 具体的な要求事項
4.4. Governance 4.4. ガバナンス
4.5. Compliance 4.5. コンプライアンス
a. Cyberspace Workforce Compliance Responsibilities a. サイバースペースワークフォースコンプライアンスの責任
b. Cyberspace Workforce Compliance Reviews b. サイバースペースワークフォースコンプライアンスレビュー
SECTION 5: CYBERSPACE PERSONNEL INFORMATION MANAGEMENT セクション 5: サイバースペース人員情報管理
5.1. Introduction 5.1. 序文
5.2. Reporting Requirements 5.2. 報告要件
GLOSSARY グロッサリー
G.1. Acronyms G.1. 頭字語
G.2. Definitions G.2. 定義
REFERENCES 参考文献
FIGURES 図版
Figure 1: Sample Work Role Qualification Matrix 図1:任務と資格マトリクス例

 

ここ、参考になります。。。

CIOのウェブページ...

DoD Chief Information OfficerU.S. Department of Defense

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.10.29 米国 国家防衛戦略

 

 

| | Comments (0)

2023.03.17

警察庁 令和4年におけるサイバー空間をめぐる脅威の情勢等について

こんにちは、丸山満彦です。

警察庁が、半期に公表している「サイバー空間をめぐる脅威の情勢等について」の令和4年度版を公表していますね。。。

ランサムウェアについての記載が中心ですね。。。

身代金の支払いは暗号資産によるケースがほとんどということですね。。。暗号資産を決済のために使おうとしている組織って、ひょっとしたら犯罪者組織がほとんど???

感染経路の6割はVPN...

あと、大企業も結構被害にあっているようです。

で、バックアップからデータを戻せないケースも多いということもわかります。。。このあたりは(ランサムウェア問題とは関係なく)課題なのかもしれないですね。。。

 

警察庁

サイバー空間をめぐる脅威の情勢等

・2023.03.16 [PDF] 令和4年におけるサイバー空間をめぐる脅威の情勢等について

20230317-71803

20230317-72526

20230317-72553

20230317-72627

20230317-72643

20230317-72702

  

20230317-72732

20230317-72752

 

 

 


 

⚫︎ まるちゃんの情報セキュリティ気まぐれ日記

・2022.04.17 公安調査庁 サイバー空間における脅威の概況2022

・2022.04.12 警察庁 令和3年におけるサイバー空間をめぐる脅威の情勢等について (2022.04.07)

 

 

 

| | Comments (0)

米国 SEC 米国証券市場のサイバーセキュリティリスクに対処するための新たな要件を市場関係者向けに提案

こんにちは、丸山満彦です。

証券市場も重要インフラの一部に指定されているため、市場関係者(ブローカー・ディーラー、主要証券スワップ参加者、全国証券協会、全国証券取引所等)に対する新しいサイバーセキュリティに関する規制案をだしましたね。。。パブリックコメントにかけられるようです。。。

 

SEC

・2023.03.15 SEC Proposes New Requirements to Address Cybersecurity Risks to the U.S. Securities Markets

SEC Proposes New Requirements to Address Cybersecurity Risks to the U.S. Securities Markets SEC、米国証券市場のサイバーセキュリティリスクに対処するための新たな要件を提案
The Securities and Exchange Commission today proposed requirements for broker-dealers, clearing agencies, major security-based swap participants, the Municipal Securities Rulemaking Board, national securities associations, national securities exchanges, security-based swap data repositories, security-based swap dealers, and transfer agents (collectively, “Market Entities”) to address their cybersecurity risks. 証券取引委員会は本日、ブローカー・ディーラー、清算機関、主要証券スワップ参加者、地方証券規則制定委員会、全国証券協会、全国証券取引所、証券スワップデータレポジトリ、証券スワップディーラー、振替機関(総称して「市場関係者」)に対し、サイバーセキュリティリスクへの対応を求める提案を行った。
“I am pleased to support this proposal because, if adopted, it would set standards for Market Entities’ cybersecurity practices,” said SEC Chair Gary Gensler. “The nature, scale, and impact of cybersecurity risks have grown significantly in recent decades. Investors, issuers, and market participants alike would benefit from knowing that these entities have in place protections fit for a digital age. This proposal would help promote every part of our mission, particularly regarding investor protection and orderly markets.” SECのGary Gensler委員長は、以下のように述べている。「本提案が採択されれば、市場参加者のサイバーセキュリティ対策に基準を設けることができるため、本提案を支持できることを嬉しく思う。サイバーセキュリティリスクの性質、規模、影響は、ここ数十年で著しく拡大していまう。投資家、発行体、市場参加者は、これらの事業体がデジタル時代にふさわしい保護措置を講じていることを知ることで、同様に利益を得ることができる。この提案は、特に投資家保護と秩序ある市場に関する、我々の使命のあらゆる部分を促進するのに役立つだろう。」
Market Entities increasingly rely on information systems to perform their functions and provide their services and thus are targets for threat actors who may seek to disrupt their functions or gain access to the data stored on the information systems for financial gain. Cybersecurity risk also can be caused by the errors of employees, service providers, or business partners. The interconnectedness of Market Entities increases the risk that a significant cybersecurity incident can simultaneously impact multiple Market Entities causing systemic harm to the U.S. securities markets. 市場参加者は、その機能を果たし、サービスを提供するために、ますます情報システムに依存しているため、その機能を妨害したり、金銭的利益を得るために情報システムに保存されているデータにアクセスしようとする脅威者のターゲットとなっている。また、サイバーセキュリティリスクは、従業員、サービスプロバイダー、ビジネスパートナーのミスによっても引き起こされる可能性がある。市場参加者が相互に関連しているため、重大なサイバーセキュリティ事件が同時に複数の市場参加者に影響を与え、米国証券市場にシステミックな損害を与えるリスクが高まっている。
The proposal would require all Market Entities to implement policies and procedures that are reasonably designed to address their cybersecurity risks and, at least annually, review and assess the design and effectiveness of their cybersecurity policies and procedures, including whether they reflect changes in cybersecurity risk over the time period covered by the review. The proposal — through new notification requirements applicable to all Market Entities and additional reporting requirements applicable to Market Entities other than certain types of small broker-dealers (collectively, “Covered Entities”) — would improve the Commission’s ability to obtain information about significant cybersecurity incidents affecting these entities. Further, new public disclosure requirements for Covered Entities would improve transparency about the cybersecurity risks that can cause adverse impacts to the U.S. securities markets. 本提案は、すべての市場関係者に対して、サイバーセキュリティリスクに対処するために合理的に設計された方針と手続きを導入し、少なくとも年1回、サイバーセキュリティ方針と手続きの設計と有効性を見直し、評価すること(見直し対象期間中のサイバーセキュリティリスクの変化を反映しているかどうかを含む)を求めるものである。この提案は、すべての市場関係者に適用される新たな通知要件と、特定の種類の小規模ブローカー・ディーラー以外の市場関係者(以下、総称して「対象事業者」)に適用される追加報告要件を通じて、これらの事業者に影響を及ぼす重大なサイバーセキュリティ事件に関する情報を得るための欧州委員会の能力を向上させる。さらに、対象事業者に対する新たな公開要件は、米国証券市場に悪影響を及ぼす可能性のあるサイバーセキュリティリスクに関する透明性を向上させるだろう。
The proposing release will be published in the Federal Register. The public comment period will remain open until 60 days after the date of publication of the proposing release in the Federal Register. 提案リリースは、連邦官報に掲載される予定である。パブリックコメント期間は、提案リリースが連邦官報に掲載された日から60日後までとなります。

 

・[PDF] Fact Sheet

20230317-70444

 

Addressing Cybersecurity Risks to the U.S. Securities Markets 米国証券市場に対するサイバーセキュリティリスクへの対応
The Securities and Exchange Commission proposed a new rule, form, and related amendments to require entities that perform critical services to support the fair, orderly, and efficient operations of the U.S. securities markets to address their cybersecurity risks. The new requirements would apply to broker-dealers, the Municipal Securities Rulemaking Board, clearing agencies, major security-based swap participants, national securities associations, national securities exchanges, security-based swap data repositories, security-based swap dealers, and transfer agents (collectively, “Market Entities”). 証券取引委員会は、米国証券市場の公正、秩序、効率的な運営を支える重要なサービスを行う事業者に対して、サイバーセキュリティリスクへの対応を求める新規則、様式、および関連する改正案を提案しました。この新しい要件は、ブローカー・ディーラー、地方証券規則制定委員会、清算機関、主要な証券ベーススワップ参加者、全国証券協会、全国証券取引所、証券ベーススワップのデータ保管機関、証券ベーススワップのディーラー、振替機関(総称して「市場関係者」)に対して適用される予定である。
Why This Matters  なぜこれが重要なのか 
The U.S. securities markets are part of the Financial Services Sector, one of the sixteen critical infrastructure sectors “whose assets, systems, and networks, whether physical or virtual, are considered so vital to the United States that their incapacitation or destruction would have a debilitating effect on security, national economic security, national public health or safety, or any combination thereof,” according to the Cybersecurity and Infrastructure Security Agency. The Financial Services Sector increasingly is being attacked by cyber threat actors who use constantly evolving and sophisticated tactics, techniques, and procedures to cause harmful cybersecurity incidents. This poses a serious risk to the U.S. securities markets. The proposal is designed to address and mitigate this risk by requiring Market Entities to take measures to protect themselves and investors from the harmful impacts of cybersecurity incidents.  米国の証券市場は金融サービス部門の一部であり、サイバーセキュリティおよびインフラセキュリティ庁によれば、「その資産、システム、およびネットワークは、物理的か仮想的かを問わず、米国にとって非常に重要であると考えられ、その無能力化または破壊は、安全、国家経済安全、国家公衆衛生もしくは安全、またはそれらの任意の組み合わせに衰弱効果を与える」重要インフラ部門の16の1つである。金融サービス部門は、常に進化し、洗練された戦術、技術、手順を用いて有害なサイバーセキュリティ事件を引き起こすサイバー脅威行為者からますます攻撃されている。これは、米国の証券市場に深刻なリスクをもたらしている。本提案は、市場関係者がサイバーセキュリティ事件の有害な影響から自身と投資家を保護するための措置を講じることを義務付けることで、このリスクに対処し、軽減することを目的としている。
How This New Rule and Form Would Apply  この新しいルールとフォームの適用方法 
Proposed new Rule 10 would require all Market Entities to establish, maintain, and enforce written policies and procedures that are reasonably designed to address their cybersecurity risks. All Market Entities also, at least annually, would be required to review and assess the design and effectiveness of their cybersecurity policies and procedures, including whether they reflect changes in cybersecurity risk over the time period covered by the review. All Market Entities also would need to give the Commission immediate written electronic notice of a significant cybersecurity incident upon having a reasonable basis to conclude that the significant cybersecurity incident had occurred or is occurring.  提案された新規則10は、すべての市場参加者に対し、サイバーセキュリティリスクに対処するために合理的に設計された書面による方針および手続きを確立し、維持し、実施することを求める。また、すべての市場参加者は、少なくとも年1回、サイバーセキュリティの方針と手続きの設計と有効性をレビューし、レビューの対象となる期間中のサイバーセキュリティリスクの変化を反映しているかどうかを含め、評価することが求められる。また、すべての市場参加者は、重大なサイバーセキュリティ・インシデントが発生した、または発生していると結論づける合理的な根拠がある場合、直ちに電子文書で委員会に通知する必要がある。
Market Entities—other than certain types of small broker-dealers—would be subject to additional requirements under proposed new Rule 10 as “Covered Entities.”  特定の種類の小規模ブローカー・ディーラー以外の市場関係者は、「対象事業者」として、提案された新しい規則10の下で追加の要件を受けることになる。
First, the proposed rule would require Covered Entities to adopt policies and procedures to address cybersecurity risks would need to specifically include the following:  まず、本規則案では、サイバーセキュリティリスクに対処するための方針および手続を採用することを対象事業者に求めており、具体的には以下の事項を含む必要がある。
•       Periodic assessments of cybersecurity risks associated with the Covered Entity’s information systems and written documentation of the risk assessments;  ・対象事業者の情報システムに関連するサイバーセキュリティリスクの定期的な評価と,リスク評価の文書化。
•       Controls designed to minimize user-related risks and prevent unauthorized access to the Covered Entity’s information systems;  ・ユーザー関連のリスクを最小化し,対象事業者の情報システムへの不正アクセスを防止するために設計された統制。
•       Measures designed to monitor the Covered Entity’s information systems and protect the Covered Entity’s information from unauthorized access or use, and oversee service providers that receive, maintain, or process information or are otherwise permitted to access the Covered Entity’s information systems;  ・対象事業者の情報システムを監視し,対象事業者の情報を不正なアクセスまたは使用から保護し,情報を受領,維持,処理するサービスプロバイダを監督し,その他対象事業者の情報システムへのアクセスを許可されるように設計された対策。
•       Measures to detect, mitigate, and remediate any cybersecurity threats and vulnerabilities with respect to the Covered Entity’s information systems; and  ・対象事業者の情報システムに関するサイバーセキュリティの脅威および脆弱性を検出,軽減および是正するための措置。
•       Measures to detect, respond to, and recover from a cybersecurity incident and procedures to create written documentation of any cybersecurity incident and the response to and recovery from the incident.  ・サイバーセキュリティインシデントの検出,対応,回復のための措置,およびサイバーセキュリティインシデント,インシデントへの対応,回復のための書面を作成する手続き。
Second, after providing immediate written electronic notice of a significant cybersecurity incident, Covered Entities would need to report to the Commission and update information about the significant cybersecurity incident by filing Part I of proposed Form SCIR. The form would elicit information about the significant cybersecurity incident and the Covered Entity’s efforts to respond to and recover from the incident.  第二に、重大なサイバーセキュリティ・インシデントを電子的に書面で即時通知した後、対象事業者は、提案されているフォームSCIRのパートIを提出することにより、重大なサイバーセキュリティ・インシデントに関する情報を委員会に報告し更新する必要がある。このフォームでは、重大なサイバーセキュリティインシデントと、そのインシデントに対応し回復するための対象事業者の取り組みに関する情報を引き出すことになる。
Third, the proposal would require Covered Entities to publicly disclose summary descriptions of their cybersecurity risks and the significant cybersecurity incidents they experienced during the current or previous calendar year on Part II of proposed Form SCIR. A Covered Entity would need to file the form with the Commission and post it on its website. Covered Entities that are carrying or introducing broker-dealers would also need to provide the form to customers at account opening, when information on the form is updated, and annually.  第三に、本提案は、対象事業者に対し、Form SCIRのパートIIにおいて、サイバーセキュリティリスクの概要説明と、現在または前暦年に経験した重要なサイバーセキュリティインシデントを公に開示することを要求するものである。対象事業者は、このフォームを欧州委員会に提出し、そのウェブサイトに掲載する必要がある。また、証券会社や紹介会社である対象事業者は、口座開設時、フォームの情報が更新されたとき、および毎年、顧客にフォームを提供する必要がある。
Additional Information:  追加情報 
The public comment period will remain open until 60 days after the date of publication of the proposing release in the Federal Register.  パブリックコメント期間は、連邦官報に提案リリースが掲載された日から60日後までである。

 

 

| | Comments (0)

2023.03.16

・経済産業省 クレジットカード・セキュリティガイドライン【4.0版】

こんにちは、丸山満彦です。

クレジットカード・セキュリティガイドラインが改訂されましたね。。。このガイドラインは、カード会社、加盟店、決済代行業者等の関係事業者が実施するべきクレジットカード情報漏えい及び不正利用の防止のためのセキュリティ対策の取組を取りまとめたものですね。。。

第4版への改訂のポイント


1. 不正利用対策分野(非対面取引)
 不正利用被害拡大防止に向けたEMV 3-Dセキュア導入
 3-Dセキュア1.0終了に伴う記載の変更
 不正利用被害拡大防止に向けた今後の取組みについて記載

2. 消費者及び事業者等への周知・啓発
 消費者への周知啓発
 ■ EMV 3-Dセキュアの登録および静的(固定)パスワード以外の認証方法への登録・移行
 事業者等への周知啓発
 ■ (対加盟店)2025年3月末までに原則全てのEC加盟店にEMV 3-Dセキュアの導入


20230316-43751

 

PCI DSSがちょうどできたころ(2004年ごろ)にVISA、Master Card、JCB、Amexの方と一緒に経済産業省に「PCI DSSを普及させないといけない」と話をしに行った記憶があります。できる前は、VISA、Master Card、JCB、Amexがそれぞれ別々にセキュリティの基準を作って守らせようとしていました。。。それをブランド会社(ライバル企業)がまとまって基準をつくったのはすごいなぁと思いました。基準をつくったのは米国でしたが、日本側でも一緒になって普及をしようとしていましたね。。。特にVISAの方は熱心でしたね。。。

で、ISMSと連携させて普及させようという話になり、ISMSとPCI DSSを連携したガイドをJIPDECでつくり、ガイドの説明会の開催を全国の経済産業局をつかって開催し、普及に努めたという歴史があります。。。

いまではすっかり当たり前になっていますが、当時のブランド会社の担当者の方の努力と、経済産業省の理解力と、JIPDECの推進力あっての現在ですね。。。

 

経済産業省

・2023.03.15 クレジットカード・セキュリティガイドライン【4.0版】が改訂されました

 

一般社団法人 日本クレジット協会

・2023.03.15 [PDF] 「クレジットカード・セキュリティガイドライン【4.0版】」を取りまとめました

・[PDF] クレジットカード・セキュリティガイドライン[4.0版](公表版)

20230316-43700

 

・[PDF] クレジットカード・セキュリティガイドライン[4.0版](改訂ポイント)

20230316-43734

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.03.16 経済産業省 クレジットカード・セキュリティガイドライン【4.0版】

・2022.04.01 PCI Data Security Standard v4.0

遡りますが...

・2011.03.26 経済産業省 国内外の電子決済のセキュリティに関する報告書

・2010.10.30 PCI Security Standards Council Releases PCI DSS 2.0 and PA-DSS 2.0

・2009.10.13 JIPDEC クレジット加盟店向け“情報セキュリティのためのガイド”(PCI DSS/ISMS準拠のためのガイド)を公開

・2009.03.28 「国際情報セキュリティ調査2008」報告 CIO Magazine + PwC

| | Comments (0)

⽇欧産業協⼒センター 欧州デジタル政策 (Vol.4-5)

こんにちは、丸山満彦です。

一般社団法人⽇欧産業協⼒センターが、5月から2ヶ月に一度、「欧州デジタル政策」という簡単なレポートを公表しています。。。今、EUでは、デジタル市場法 (DMA) 、デジタルサービス法 (DSA) 、データ法、データガバナンス法、AI法と次々と法案が議論され、成立(デジタル市場法とデジタルサービス法は2022.07.05にEU議会で承認されています)はじめていますね。。。

このような法案が出てきている背景や、法案の概要等を簡潔にまとめていてわかりやすいです。。。

⽇欧産業協⼒センター

欧州デジタル政策

 

Vol.5 2023/01 Gaia-X, Catena-X の動向と⽇本への⽰唆
20230315-235230
Vol.4 2022/12 EU AI関連政策の動向
20230315-235111
Vol.3 2022/09 EUのデータ政策 20220923-14707
Vol.2 2022/07 EUにおけるオンライン・プラットフォーム規制(デジタル・マーケット法・デジタル・サービス法) 20220923-14646
Vol.1 2022/05 EUのデジタル政策の⽅向性 20220923-14617

法文案等へのリンクはこちら。。。

    Wiki EUR-Lex   Document
Data Act データ法 2022.02.23 COM(2022)68 final 52022PC0068
Data Governance Act データガバナンス法 2020.11.25 COM(2022)767final 52020PC0767
      2022.06.03   32022R0868
Artificial Intelligence Act AI法 2021.04.21 COM(2021) 206 final 52021PC0206
Digital Services Act デジタルサービス法 2020.12.15 COM/2020/825 final 52020PC0825
Digital Markets Act デジタル市場法 2020.12.15 COM/2020/842 final 52020PC0842

 


まるちゃんの情報セキュリティ気まぐれ日記

 

2022.09.23 ⽇欧産業協⼒センター 欧州デジタル政策 (Vol.1-3)

 

データ法

・2022.03.01 欧州委員会 データ法の提案

データガバナンス法

・2021.12.05 欧州 欧州議会とEU加盟国間でデータガバナンス法について政治的合意 (欧州データガバナンス法成立が近づきましたね。。。)

・2021.03.14 欧州データ保護委員会 (EDPB)・欧州データ保護監督官 (EDPS) データガバナンス法に関する共同意見を採択

・2020.11.29 EU データガバナンス法案

AI法

・2022.09.30 欧州委員会 AI責任指令案

・2022.09.25 英国 Ada Lovelace 協会 欧州におけるAI責任:EUのAI責任指令の先取り

・2022.06.18 英国 Ada Lovelace 協会: EUのAI法について説明 (2022.04.11)

・2021.12.05 欧州理事会 AI法改正案を欧州議会に提出

・2021.08.08 EU議会 BRIEFING 人工知能法 at 2021.07.26

・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね

デジタルサービス法、デジタル市場法

・2022.07.20 欧州理事会 欧州連合理事会 デジタル市場法 (DMA) 案を採択

・2022.07.11 欧州議会 デジタルサービス法 (DSA) デジタル市場法 (DMA) が可決 (2022.07.05)

・2022.03.26 欧州理事会 欧州連合理事会 デジタル市場法(DMA)が理事会・欧州議会で合意されたようですね。。。

・2020.12.16 欧州委員会 デジタルプラットフォーマを規制するためのデジタルサービス法とデジタル市場法の最終提案を公表

 

 

| | Comments (0)

2023.03.15

中国 第14期全国人民代表大会での習近平国家主席のスピーチ

こんにちは、丸山満彦です。

第14期全国人民代表大会が閉幕しましたね。。。

習近平国家主席による演説がありました。。。ざっと機械翻訳をしましたが、正確な訳はだれかが作ってくれるだろうと思いながら、大体言っていることを眺めるという感じで、、、お願いします。。。

 

全国人民代表大会

・2023.03.13 习近平:在第十四届全国人民代表大会第一次会议上的讲话

习近平:在第十四届全国人民代表大会第一次会议上的讲话 習近平:第14期全国人民代表大会第1回会議でのスピーチ
3月13日,第十四届全国人民代表大会第一次会议在北京人民大会堂闭幕。中共中央总书记、国家主席、中央军委主席习近平发表重要讲话。新华社记者 燕雁 摄 3月13日、北京の人民大会堂で第14期全国人民代表大会第1回会議が閉幕した。 習近平中国共産党中央委員会総書記、国務院主席、中央軍事委員会主席は重要な演説を行った。 写真:新華社通信・簗田氏
各位代表: 代議員の皆様。
这次大会选举我继续担任中华人民共和国主席,我对各位代表和全国各族人民的信任,表示衷心感谢! 本大会は、私を引き続き中華人民共和国国家主席に選出したものであり、代議員の皆様、そしてあらゆる国籍の人々の信頼に心から感謝の意を表します
这是我第三次担任国家主席这一崇高职务。人民的信任,是我前进的最大动力,也是我肩上沉甸甸的责任。我将忠实履行宪法赋予的职责,以国家需要为使命,以人民利益为准绳,恪尽职守,竭诚奉献,绝不辜负各位代表和全国各族人民的重托! 私が国家主席という高い地位に就くのは、今回で3度目です。 国民の皆様の信頼は、私が前進するための最大の原動力であり、また、私の肩にかかる重い責任でもあります。 私は、憲法が私に託した任務を忠実に遂行し、国の必要を使命とし、国民の利益を基準とし、献身的に職務を遂行し、代議員および各国民の期待に応えることを決して怠らないつもりです!
各位代表! 代議員の皆様!
具有五千多年文明史的中华民族,在历史上创造了无数辉煌,也经历过许多磨难。近代以后,中国逐步成为半殖民地半封建社会,饱受列强欺凌、四分五裂、战乱频繁、生灵涂炭之苦。中国共产党成立之后,紧紧团结带领全国各族人民,经过百年奋斗,洗雪民族耻辱,中国人民成为自己命运的主人,中华民族迎来了从站起来、富起来到强起来的伟大飞跃,中华民族伟大复兴进入了不可逆转的历史进程。 中華民族は5000年以上の文明を持ち、その歴史の中で数え切れないほどの栄光を築き、多くの苦難を経験してきました。 近代に入り、中国は次第に半植民地・半封建社会となり、列強のいじめに遭い、引き裂かれ、戦争が続き、生活苦にあえいでいました。 中国共産党が創立された後、各民族の民を団結させ、指導し、百年の闘いを経て、民族の恥を消し、中華民族が自分の運命の主人となり、中華民族は立ち上がり、富み、強くなって大躍進を遂げました。
从现在起到本世纪中叶,全面建成社会主义现代化强国、全面推进中华民族伟大复兴,是全党全国人民的中心任务。强国建设、民族复兴的接力棒,历史地落在我们这一代人身上。我们要按照党的二十大的战略部署,坚持统筹推进“五位一体”总体布局、协调推进“四个全面”战略布局,加快推进中国式现代化建设,团结奋斗,开拓创新,在新征程上作出无负时代、无负历史、无负人民的业绩,为推进强国建设、民族复兴作出我们这一代人的应有贡献! これから今世紀半ばまで、現代的で強い社会主義国家を建設し、中華民族の偉大な若返りを推進することは、全党と全民族の中心的な任務となるでしょう。 強い国家を建設し、国家を若返らせるというバトンは、歴史的に私たちの世代に降り注いでいます。 私たちは第20回党大会の戦略計画に従い、「五中全会」の全体配置と「四中全会」の戦略配置を堅持し、中国式の現代化を加速し、団結して努力し、開拓して革新し、時代と歴史と人民に恥じない新しい旅立ちをしなければなりません。 私たちの世代で強国の建設と国家の再興に貢献することを目指します。
各位代表! 代議員の皆様!
在强国建设、民族复兴的新征程,我们要坚定不移推动高质量发展。要完整、准确、全面贯彻新发展理念,加快构建新发展格局,深入实施科教兴国战略、人才强国战略、创新驱动发展战略,着力提升科技自立自强能力,推动产业转型升级,推动城乡区域协调发展,推动经济社会发展绿色化、低碳化,推动经济实现质的有效提升和量的合理增长,不断壮大我国经济实力、科技实力、综合国力。 強国建設と国家再生の新たな旅路において、私たちは揺るぎなく質の高い発展を推進しなければなりません。 新発展理念を完全に、正確に、包括的に実行し、新発展パターンの構築を加速し、科学と教育による国の活性化戦略、人材による国の強化戦略、イノベーション駆動型発展戦略を実行し、科学技術の自立能力の向上に力を注ぎ、産業の転換と高度化を推進し、都市と農村の協調発展を推進し、グリーンで低炭素の経済・社会発展を進め、経済の質の有効向上と量の適正成長を推進し、経済力、科学技術力、そして総合的な国力を絶えず強化しなければなりません。
我们要始终坚持人民至上。全面建成社会主义现代化强国,人民是决定性力量。要积极发展全过程人民民主,坚持党的领导、人民当家作主、依法治国有机统一,健全人民当家作主制度体系,实现人民意志,保障人民权益,充分激发全体人民的积极性主动性创造性。要贯彻以人民为中心的发展思想,完善分配制度,健全社会保障体系,强化基本公共服务,兜牢民生底线,解决好人民群众急难愁盼问题,让现代化建设成果更多更公平惠及全体人民,在推进全体人民共同富裕上不断取得更为明显的实质性进展。要不断巩固发展全国各族人民大团结、海内外中华儿女大团结,充分调动一切积极因素,凝聚起强国建设、民族复兴的磅礴力量。 私たちは常に人民至上主義を堅持しなければなりません。 人民は、現代的で強い社会主義国家を建設する決定的な力です。私たちは、人民民主主義を終始積極的に発展させ、党の指導、人民主権、法治の有機的統一を堅持し、人民主権の制度を改善し、人民の意思を実現し、人民の権利と利益を守り、全人民の自主性と創造性を十分に刺激しなければなりません。 私たちは、人民中心の発展思想を実行し、流通制度を改善し、社会保障制度を改善し、基本的な公共サービスを強化し、人民の生活の底辺を堅持し、人民の緊急の問題や悩みを解決して、近代化の成果がより大きく公平な形で全人民に恩恵を与えるようにし、全人類の共栄を促進するためにより明白かつ実質的に進歩し続けなければなりません。 私たちは、国内の各民族の団結と国内外の中国の子供たちの団結を引き続き固め、発展させ、あらゆる積極的な要素を全面的に動員して、強国の建設と国家の再生のための雄大な力を結集しなければなりません。
我们要更好统筹发展和安全。安全是发展的基础,稳定是强盛的前提。要贯彻总体国家安全观,健全国家安全体系,增强维护国家安全能力,提高公共安全治理水平,完善社会治理体系,以新安全格局保障新发展格局。要全面推进国防和军队现代化建设,把人民军队建设成为有效维护国家主权、安全、发展利益的钢铁长城。 私たちは、発展と安全保障をよりよく協調させなければなりません。 安全保障は発展の基礎であり、安定は強さの前提です。 私たちは、国家安全保障の全体構想を実現し、国家安全保障システムを改善し、国家安全保障を維持する能力を高め、公安ガバナンスのレベルを向上させ、社会ガバナンスシステムを改善し、新しい発展パターンを新しいセキュリティパターンで守らなければなりません。 国防と軍隊の現代化を全面的に推進し、人民軍を国家の主権、安全、発展の利益を効果的に守る鋼鉄の長城に育てなければなりません。
我们要扎实推进“一国两制”实践和祖国统一大业。推进强国建设,离不开香港、澳门长期繁荣稳定。要全面准确、坚定不移贯彻“一国两制”、“港人治港”、“澳人治澳”、高度自治的方针,坚持依法治港治澳,支持香港、澳门特别行政区发展经济、改善民生,更好融入国家发展大局。实现祖国完全统一是全体中华儿女的共同愿望,是民族复兴的题中之义。要贯彻新时代党解决台湾问题的总体方略,坚持一个中国原则和“九二共识”,积极促进两岸关系和平发展,坚决反对外部势力干涉和“台独”分裂活动,坚定不移推进祖国统一进程。 私たちは、「一国二制度」の実践と祖国の統一を堅実に推進しなければなりません。 香港とマカオの長期的な繁栄と安定は、強国の前進に不可欠です。 私たちは、「一国二制度」「香港人の香港統治」「マカオ人のマカオ統治」と高度な自治の原則を完全かつ正確に揺るぎなく実行し、法に基づいた香港・マカオの統治を堅持し、香港・マカオの経済発展や生活の向上を支援しなければなりません。 また、香港とマカオの特別行政区が経済を発展させ、人々の生活を向上させ、国全体の発展によりよく溶け込めるように支援します。 祖国の完全な統一を実現することは、中国のすべての息子と娘の共通の願いであり、民族の若返りの鍵です。 私たちは新時代の台湾問題解決に向けた党の全体戦略を実行し、一帯一路の原則と1992年コンセンサスを堅持し、両岸関係の平和的発展を積極的に推進し、外部勢力の干渉と台湾独立の分離主義活動に断固反対し、祖国統一のプロセスを揺るぎなく推し進めなければなりません。
我们要努力推动构建人类命运共同体。中国的发展惠及世界,中国的发展离不开世界。我们要扎实推进高水平对外开放,既用好全球市场和资源发展自己,又推动世界共同发展。我们要高举和平、发展、合作、共赢旗帜,始终站在历史正确一边,践行真正的多边主义,践行全人类共同价值,积极参与全球治理体系改革和建设,推动建设开放型世界经济,推动落实全球发展倡议、全球安全倡议,为世界和平发展增加更多稳定性和正能量,为我国发展营造良好国际环境。 私たちは、人類運命共同体の構築の推進に努めなければなりません。 中国の発展は世界に利益をもたらし、中国の発展は世界と切り離すことはできません。 私たちは、外部に対して高いレベルの開放性を推進し、世界の市場と資源をうまく利用して自らを発展させ、世界共通の発展を促進しなければなりません。 私たちは平和、発展、協力、ウィンウィンの旗印を高く掲げ、常に歴史の正しい側に立ち、真の多国間主義を実践し、全人類の共通価値を実践し、グローバルガバナンスシステムの改革と建設に積極的に参加し、開かれた世界経済の構築を推進し、グローバル開発イニシアティブとグローバル安全保障イニシアティブの実施を推進し、世界の平和的発展にさらなる安定とプラスのエネルギーを加え、中国の発展にとって有利な国際環境を作らなければなりません。
各位代表! 代議員の皆様!
治国必先治党,党兴才能国强。推进强国建设,必须坚持中国共产党领导和党中央集中统一领导,切实加强党的建设。要时刻保持解决大党独有难题的清醒和坚定,勇于自我革命,一刻不停全面从严治党,坚定不移反对腐败,始终保持党的团结统一,确保党永远不变质、不变色、不变味,为强国建设、民族复兴提供坚强保证。 国を治めるには、まず党を治めなければならず、党が繁栄してこそ、国は強くなります。 強い国の建設を推進するためには、中国共産党の指導と党の中央集権・統一指導を堅持し、党の建設を効果的に強化しなければなりません。 私たちは常に大党特有の問題を解決するための節操と決意を持ち、自己革命の勇気を持ち、常に党を厳格に統治し、腐敗に断固反対し、常に党の団結を保ち、党がその質、色、味を変えることがないようにし、強い国の建設と国家の若返りに強い保証を提供しなければなりません。
各位代表! 代議員の皆様!
强国建设、民族复兴的宏伟目标令人鼓舞,催人奋进。我们要只争朝夕,坚定历史自信,增强历史主动,坚持守正创新,保持战略定力,发扬斗争精神,勇于攻坚克难,不断为强国建设、民族复兴伟业添砖加瓦、增光添彩! 強い国の建設と国家の若返りという野心的な目標は、刺激的でやる気を起こさせるものです。 私たちは未来に向かって努力し、歴史的自信を強め、歴史的イニシアチブを強化し、大義と革新を堅持し、戦略的決意を維持し、闘争精神を継承して困難を克服し、強い国の建設と国家再生の大義にレンガやタイルを積み重ねていかなければなりません!
谢谢大家! 皆さん、ありがとうございました。

 

 

1_20210612030101

 

 

| | Comments (0)

中国 グローバル安全保障イニシアティブコンセプトペーパー (2023.02.22)

こんにちは、丸山満彦です。

中国政府が、全人代に先立ってグローバル安全保障イニシアティブコンセプトペーパーを公表していました。。。気づきませんでした (^^;;...

内容は従来の主張を踏襲している感じです。

 

中国 

・2022.02.22 全球安全倡议概念文件(全文)

全球安全倡议概念文件 グローバル安全保障イニシアティブコンセプトペーパー
一、背景 I. 背景
安全问题事关各国人民的福祉,事关世界和平与发展的崇高事业,事关人类的前途命运。 安全保障は、すべての人々の幸福、世界の平和と発展の崇高な目的、そして人類の未来の運命に関わる問題である。
当前,世界之变、时代之变、历史之变正以前所未有的方式展开,国际社会正经历罕见的多重风险挑战。地区安全热点问题此起彼伏,局部冲突和动荡频发,新冠疫情延宕蔓延,单边主义、保护主义明显上升,各种传统和非传统安全威胁交织叠加。和平赤字、发展赤字、安全赤字、治理赤字加重,世界又一次站在历史的十字路口。 現在、世界は変化し、時代は変わり、歴史はかつてないほど変化しており、国際社会は稀に見る多面的なリスクと課題を抱えている。 地域の安全保障上のホットスポットが次々と出現し、地域紛争や混乱が頻発し、新たな伝染病が蔓延し、一国主義と保護主義が明らかに台頭し、伝統的・非伝統的な様々な安全保障上の脅威が絡み合い、重なり合っている。 平和の赤字、開発の赤字、安全保障の赤字、ガバナンスの赤字が深刻化し、世界は再び歴史の岐路に立っている。
我们所处的是一个充满挑战的时代,也是一个充满希望的时代。我们深信,和平、发展、合作、共赢的历史潮流不可阻挡。维护国际和平安全、促进全球发展繁荣,应该成为世界各国的共同追求。中国国家主席习近平提出全球安全倡议,倡导以团结精神适应深刻调整的国际格局,以共赢思维应对复杂交织的安全挑战,旨在消弭国际冲突根源、完善全球安全治理,推动国际社会携手为动荡变化的时代注入更多稳定性和确定性,实现世界持久和平与发展。 私たちは、挑戦と希望の時代に生きているのである。 私たちは、平和、発展、協力、ウィンウィンの歴史的流れは止められないと確信している。 国際的な平和と安全を維持し、世界の発展と繁栄を促進することは、世界のすべての国の共通の追求になるはずである。 中国の習近平国家主席は、グローバル安全保障イニシアティブを提唱し、深く再編された国際情勢に適応するための連帯の精神と、複雑で絡み合った安全保障上の課題に取り組むためのウィンウィンの考え方を提唱し、国際紛争の根本原因を取り除き、グローバル安全保障ガバナンスを改善し、国際社会が手を取り合って、激動と変化の時代にさらなる安定と確信を注入し、世界の永遠の平和と開発を達成できるよう促進しようとしている。
二、核心理念与原则 II. 核心的理念と原則
(一)坚持共同、综合、合作、可持续的安全观。习近平主席2014年首次提出共同、综合、合作、可持续的新安全观,赢得国际社会普遍响应和广泛认同。这一安全观的核心内涵,就是主张秉持共同安全理念,尊重和保障每一个国家的安全;主张重视综合施策,统筹维护传统领域和非传统领域安全,协调推进安全治理;主张坚持合作之道,通过政治对话、和平谈判来实现安全;主张寻求可持续安全,通过发展化解矛盾,消除不安全的土壤。我们认为,只有基于道义和正确理念的安全,才是基础牢固、真正持久的安全。 (1) 共通、包括、協力、持続可能な安全保障の概念を堅持する。 習近平主席は2014年に初めて共通、包括、協力、持続可能な安全保障という新しい概念を提唱し、国際社会から普遍的な反応と幅広い評価を得ている。 この安全保障概念の核心的内容は、共通安全保障の概念を堅持し、各国の安全を尊重し保証すること、統合的アプローチを重視し、伝統的・非伝統的分野の安全を統合的に維持し、安全保障ガバナンスを協調的に推進すること、協力の道を堅持し、政治対話と平和交渉を通じて安全を達成し、発展を通じて紛争を解決し、不安の土壌をなくす、持続可能な安全を求めること、である。 私たちは、道徳と正しい概念に基づく安全保障のみが、確固たる基盤を持ち、真に永続する安全保障であると信じている。
(二)坚持尊重各国主权、领土完整。主权平等和不干涉内政是国际法基本原则和现代国际关系最根本准则。我们主张国家不分大小、强弱、贫富,都是国际社会的平等一员,各国内政不容干涉,主权和尊严必须得到尊重,自主选择发展道路和社会制度的权利必须得到维护。应坚持主权独立平等,推动各国权利平等、规则平等、机会平等。 (2) すべての国の主権と領土の一体性を尊重することを主張する。 主権平等と内政不干渉は、国際法の基本原則であり、近代国際関係の最も基本的な規範である。 私たちは、すべての国が、その規模、強さ、弱さ、豊かさ、貧しさにかかわらず、国際社会の平等な一員であること、各国の内政に干渉してはならないこと、主権と尊厳が尊重されるべきこと、独自の発展の道と社会システムを選択する権利が保護されるべきことを提唱する。 主権の独立と平等を堅持し、すべての国の権利、規則および機会の平等を促進すべきである。
(三)坚持遵守联合国宪章宗旨和原则。联合国宪章宗旨和原则承载着世界人民对两次世界大战惨痛教训的深刻反思,凝结了人类实现集体安全、永久和平的制度设计。当今世界发生的各种对抗和不公,不是因为联合国宪章宗旨和原则过时了,而是由于其未能得到有效维护和履行。我们呼吁共同践行真正的多边主义,坚定维护以联合国为核心的国际体系、以国际法为基础的国际秩序、以联合国宪章宗旨和原则为基础的国际关系基本准则,维护联合国权威及其在全球安全治理中的主要平台地位。冷战思维、单边主义、阵营对抗、霸权主义与联合国宪章精神相违背,应当受到抵制和反对。 (3) 国連憲章の目的および原則を堅持する。 国連憲章の目的と原則は、二度の世界大戦の苦い教訓に対する世界の人々の深い反省を受け継ぎ、集団安全保障と恒久平和を実現するための人類の制度設計を凝縮している。 今日、世界で生じている対立や不公正は、国連憲章の目的および原則が陳腐化したためではなく、それらが効果的に支持され実施されなかったためである。 我々は、真の多国間主義の共同実践、国連を中核とする国際システム、国際法に基づく国際秩序、国連憲章の目的と原則に基づく国際関係の基本規範の堅持、国連の権威と世界安全保障ガバナンスの主要プラットフォームとしての地位の確保を求めるものである。 冷戦思考、一国主義、陣営間の対立、覇権主義は、国連憲章の精神に反するものであり、抵抗し、反対する必要がある。
(四)坚持重视各国合理安全关切。人类是不可分割的安全共同体,一国安全不应以损害他国安全为代价。我们认为,各国安全利益都是彼此平等的。任何国家的正当合理安全关切都应得到重视和妥善解决,不应被长期忽视和系统性侵犯。任何国家在谋求自身安全时都应兼顾其他国家合理安全关切。我们主张秉持安全不可分割原则,倡导自身安全与共同安全不可分割,传统安全与非传统安全不可分割,安全权利与安全义务不可分割,安全与发展不可分割,构建均衡、有效、可持续的安全架构,从而实现普遍安全、共同安全。 (4) すべての国の正当な安全保障上の懸念を重要視することを主張する。 人類は不可分の安全保障共同体であり、一国の安全保障が他の国の安全保障を犠牲にして損なわれることがあってはならない。 我々は、すべての国の安全保障上の利益は、互いに平等であると考える。 いかなる国の正当かつ合理的な安全保障上の懸念も、真剣に受け止められ、適切に対処されるべきであり、長期間にわたって無視され、組織的に侵害されるべきではない。 いかなる国も、自国の安全保障を追求する際に、他国の正当な安全保障上の懸念に配慮すべきである。 私たちは、普遍的安全保障と共通安全保障を実現するために、安全保障の不可分性の原則、自国の安全保障と共通安全保障の不可分性、伝統的安全保障と非伝統的安全保障の不可分性、安全保障権と安全保障義務の不可分性、安全と開発の不可分性、バランスのとれた効果的かつ持続可能な安全保障アーキテクチャの構築を提唱する。
(五)坚持通过对话协商以和平方式解决国家间的分歧和争端。战争和制裁不是解决争端的根本之道,对话协商才是化解分歧的有效途径。我们呼吁加强国家间战略沟通,增进安全互信,化解矛盾,管控分歧,消除危机产生的根源。大国应坚持公道正义,承担应尽责任,支持平等协商,根据当事国需要和愿望劝和促谈、斡旋调停。国际社会应支持一切有利于和平解决危机的努力,鼓励冲突各方以对话建互信、解纷争、促安全。滥用单边制裁和“长臂管辖”不但解决不了问题,反而会制造更多困难和复杂因素。 (5) 国家間の相違や紛争を、対話と協議による平和的手段で解決することにこだわる。 戦争や制裁は紛争を解決する根本的な方法ではなく、対話と協議は差異を解決する有効な方法である。 我々は、各国間の戦略的コミュニケーションを強化し、安全保障における相互信頼を高め、紛争を解決し、相違を管理し、危機の根本原因を排除することを求める。 大国は、正義を守り、正当な責任を負い、平等な協議を支持し、関係国のニーズと希望に従って、平和と交渉、仲介と調停を促しなさい。 国際社会は、危機の平和的解決に資するあらゆる努力を支持し、紛争のすべての当事者が対話を通じて相互信頼を築き、紛争を解決し、安全を促進することを奨励すべきである。 一方的な制裁や「ロングアーム司法権」の乱用は、問題の解決につながらないばかりか、さらなる困難と複雑さを生み出すことになる。
(六)坚持统筹维护传统领域和非传统领域安全。当前,安全的内涵和外延更加丰富,呈现更加突出的联动性、跨国性、多样性,传统安全威胁和非传统安全威胁相互交织。我们倡导各国践行共商共建共享的全球治理观,共同应对地区争端和恐怖主义、气候变化、网络安全、生物安全等全球性问题,多管齐下、综合施策,完善规则,携手寻求长远解决之道,推进全球安全治理,防范化解安全困境。 (6) 伝統的分野と非伝統的分野の安全保障を一体的に維持することを主張する。 現在、安全保障の意味合いや広がりは、連関性、国境を越えること、多様性など、より豊かで顕著になっており、伝統的な安全保障の脅威と非伝統的な安全保障の脅威は相互に絡み合っている。 我々は、すべての国が合意、構築、共有に基づくグローバル・ガバナンスの概念を実践し、地域の紛争やテロ、気候変動、サイバー安全保障、バイオ安全保障などのグローバルな問題に協力して取り組み、多面的かつ包括的なアプローチを採用し、ルールを改善し、協力して長期的解決を図り、グローバル安全保障ガバナンスを推進し、安全保障のジレンマを予防・解決することを提唱する。
上述“六个坚持”彼此联系、相互呼应,是辩证统一的有机整体。其中,坚持共同、综合、合作、可持续的安全观是理念指引,坚持尊重各国主权、领土完整是基本前提,坚持遵守联合国宪章宗旨和原则是根本遵循,坚持重视各国合理安全关切是重要原则,坚持通过对话协商以和平方式解决国家间的分歧和争端是必由之路,坚持统筹维护传统领域和非传统领域安全是应有之义。 上記の「6つの主張」は、相互にリンクし、響き合い、弁証法的に統一された有機的な全体である。 中でも、安全保障の共通、包括的、協力的、持続可能な概念の堅持は概念的な指針であり、すべての国の主権と領土保全の尊重の堅持は大前提であり、国連憲章の目的と原則の堅持は基本指針であり、すべての国の正当な安全保障上の懸念の重要性は重要原則であり、対話と協議による国家間の相違と係争の平和解決の堅持は行くべき道で、従来の領域と非従来の領域に跨った安全の統合維持はやるべきこととして、堅持されるべきことである。 安全保障は正しいことなのである。
三、重点合作方向 III.協力のための主要な方向性
实现世界持久和平,让每一个国家享有和平稳定的外部环境,让每一个国家的人民都能安居乐业,人民权利得到充分保障,是我们的共同愿望。各国需要同舟共济、团结协作,构建人类安全共同体,携手建设一个远离恐惧、普遍安全的世界。 世界の恒久平和を実現し、すべての国が平和で安定した外部環境を享受できるようにし、すべての国の人々が平和と満足のうちに生活し働くことができるようにし、その権利が十分に保障されるようにすることは、我々の共通の願望である。 すべての国は、人間の安全保障の共同体を構築するために連帯と団結で協力し、恐怖のない普遍的に安全な世界を構築するために手を携える必要がある。
为实现上述愿景,中方将在全球安全倡议框架下开展与世界各国和国际、地区组织的双多边安全合作,积极推进安全理念对接和利益共融。我们倡导各方在包括但不限于以下方面积极开展单项或多项合作,与中方的努力互补互促,共同促进世界和平安宁。 上記のビジョンを実現するため、中国は世界安全保障構想の枠組みの下で、世界各国や国際・地域機関と二国間・多国間の安全保障協力を実施し、安全保障概念のドッキングと利益の収斂を積極的に推進する。 我々は、中国の努力を補完・促進し、世界の平和と平穏を共同で促進するために、すべての当事者が以下の分野を含む単一または複数の協力に積極的に取り組むことを提唱する(ただし、これらに限定されない)。
(一)积极参与联合国秘书长“我们的共同议程”报告关于制定“新和平纲领”等建议的工作。支持联合国加大预防冲突努力,充分发挥建设和平架构的作用,帮助冲突后国家开展建设和平工作。进一步发挥中国-联合国和平与发展基金秘书长和平与安全子基金作用,支持联合国在全球安全事务中发挥更大作用。 (1) 国連事務総長の「平和のための新たなアジェンダ」策定に関する報告書「Our Common Agenda」の作業やその他の勧告に積極的に参画する。 国連が紛争予防の取り組みを強化し、平和構築アーキテクチャの役割を十分に発揮し、紛争後国の平和構築の取り組みを支援することを支持する。 中国・国連平和発展基金」の平和と安全に関する事務総長サブファンドの役割をさらに発展させ、国連が世界の安全保障問題でより大きな役割を果たすことを支持する。
支持联合国提高维和行动履行授权能力,坚持当事方同意、保持中立、非自卫或履行授权不使用武力的维和行动三原则,坚持政治优先,综合施策,标本兼治。维和行动应获得充足资源,支持为非盟自主和平行动提供充足、可预测、可持续的资金支持。 国連が平和維持活動におけるマンデートの履行能力を向上させ、平和維持活動におけるマンデートの履行において、当事者の同意、中立性の維持、非自衛または武力の不使用の3原則を堅持し、政治の優先と症状および根本原因の両方に対処する包括的アプローチを堅持することを支援する。 平和維持活動には十分な資金を投入し、AUが所有する平和活動に対して、適切で予測可能かつ持続可能な財政支援を行うべきである。
(二)促进大国协调和良性互动,推动构建和平共处、总体稳定、均衡发展的大国关系格局。大国在维护国际和平与安全上承担特殊重要责任。倡导大国带头讲平等、讲诚信、讲合作、讲法治,带头遵守《联合国宪章》和国际法。坚持相互尊重、和平共处、合作共赢,坚守不冲突不对抗的底线,求同存异、管控分歧。 (2) 大国間の協調と良識ある交流を促進し、平和共存、全体的安定、均衡ある発展に基づく大国関係のパターンの構築を促進する。 大国は、国際平和と安全の維持において特別かつ重要な責任を負っている。 我々は、大国が平等、誠実、協力、法の支配を率先して行い、国連憲章と国際法の遵守を率先して行うことを提唱する。 彼らは、相互尊重、平和的共存、ウィンウィンの協力を主張し、非紛争・非対立のボトムラインを堅持し、違いを留保しながら共通点を求め、違いを管理すべきである。
(三)坚决维护“核战争打不赢也打不得”共识。遵守2022年1月五核国领导人发表的《关于防止核战争与避免军备竞赛的联合声明》,加强核武器国家对话合作,降低核战争风险。维护以《不扩散核武器条约》为基石的国际核不扩散体系,积极支持有关地区国家建立无核武器区。促进核安全国际合作,建立公平、合作、共赢的国际核安全体系。 (3) 「核戦争には勝てない、戦えない」というコンセンサスを断固として堅持する。 2022年1月に核兵器保有5カ国の首脳が発表した「核戦争の防止と軍拡競争の回避に関する共同宣言」を遵守し、核戦争のリスクを低減するために核兵器保有国間の対話と協力を強化する。 核兵器不拡散条約を基軸とする国際的な核不拡散体制を守り、関係地域の国々における非核兵器地帯の確立を積極的に支持する。 核安全保障に関する国際協力を推進し、公正かつ協力的でウィンウィンの国際核安全保障システムを構築する。
(四)全面落实第76届联大通过的“在国际安全领域促进和平利用国际合作”决议。 (4)第76回総会で採択された「国際安全保障分野における原子力の平和利用における国際協力の推進」決議を完全に実施する。
在联合国安理会防扩散委员会、《禁止化学武器公约》、《禁止生物武器公约》等框架下开展合作,推动全面禁止和彻底销毁大规模杀伤性武器,提升各国防扩散出口管制、生物安全、化武防护等方面能力水平。 国連安全保障理事会の不拡散委員会、化学兵器禁止条約、生物兵器禁止条約と協力し、大量破壊兵器の完全禁止と徹底的な破壊を促進し、不拡散輸出管理、バイオ安全保障、化学兵器防護の分野で各国の能力を強化する。
支持全球常规武器军控进程。支持在尊重非洲国家意愿的前提下开展中国、非洲、欧洲轻小武器管控合作,支持落实“消弭非洲枪声”倡议。积极开展人道主义扫雷国际合作及援助,为雷患国家提供更多力所能及的帮助。 通常兵器の世界的な軍備管理プロセスを支持する。 アフリカ諸国の意思を尊重することを前提に、小型武器・軽兵器の管理における中国、アフリカ、欧州の協力を支持し、「アフリカの銃声を封じる」イニシアティブの実施を支持する。 人道的地雷除去における国際協力・援助を積極的に実施し、地雷被害国に対し、その能力の範囲内でより多くの援助を行う。
(五)推动政治解决国际和地区热点问题。鼓励当事国坚持通过坦诚对话沟通,化解分歧,寻求热点问题的解决之道。支持国际社会在不干涉内政前提下,以劝和促谈为主要方式,以公平务实为主要态度,以标本兼治为主要思路,建设性参与热点问题政治解决。支持通过对话谈判政治解决乌克兰危机等热点问题。 (5) 国際的・地域的ホットスポット問題の政治的解決を促進する。 関係国に対し、率直な対話と意思疎通を図り、相違点を解消することにより、ホットスポット問題の解決を図るよう奨励する。 我々は、内政不干渉を前提に、平和と交渉を主要なアプローチとし、公正とプラグマティズムを主要な態度とし、症状と根本原因の両方を主要な考え方として、ホットスポット問題の政治的解決に国際社会が建設的に参加することを支援する。 ウクライナ危機などホットスポットの問題を対話と交渉で政治的に解決することを支持する。
(六)支持和完善以东盟为中心的地区安全合作机制和架构,秉持协商一致、照顾各方舒适度等“东盟方式”,加强地区国家间的安全对话与合作。支持在澜沧江-湄公河合作框架下推进非传统安全领域合作,通过澜湄合作专项基金实施相关合作项目,努力打造全球安全倡议实验区,共同维护地区和平稳定。 (6) ASEANを中心とした地域安全保障協力の仕組みと構造を支持・改善し、コンセンサスと全当事者の快適さを受け入れるという「ASEANアプローチ」を堅持し、地域諸国間の安全保障対話と協力を強化する。 我々は、地域の平和と安定を共同で維持するために、瀾滄江・メコン協力の枠組みの下での非伝統的安全保障分野における協力の推進、瀾滄江・メコン協力特別基金による関連協力プロジェクトの実施、グローバルな安全保障イニシアティブの実験地帯を構築するための努力を支持する。
(七)落实实现中东安全稳定的五点倡议,倡导相互尊重,坚持公平正义,实现核不扩散,共建集体安全,加快发展合作,共同推动构建中东安全新架构。支持中东国家加强对话、改善关系的积极势头和努力,照顾各方合理安全关切,壮大维护地区安全的内生力量,支持阿拉伯国家联盟等区域组织为此发挥建设性作用。国际社会应采取实际步骤推进巴勒斯坦问题“两国方案”,召开更大规模、更有权威、更有影响的国际和会,推动巴勒斯坦问题早日得到公正解决。 (7) 中東の安全と安定を実現するための5項目のイニシアティブを実施し、相互尊重を唱え、公正と正義を守り、核不拡散を実現し、集団安全保障を構築し、開発協力を加速し、中東の新しい安全保障アーキテクチャの構築を共同して推進する。 中東諸国が対話を強化し、関係を改善するための積極的な機運と努力を支援し、すべての当事者の正当な安全保障上の懸念を受け入れ、地域の安全を維持するための内発的な力を強化し、この目的のためにアラブ諸国連盟のような地域組織が建設的な役割を果たすのを支援すべきである。 国際社会は、パレスチナ問題の二国間解決を促進するための実際的な措置をとり、パレスチナ問題の早期かつ公正な解決を促進するため、より大規模で権威と影響力のある国際平和会議を招集すべきである。
(八)支持非洲国家、非洲联盟、次区域组织为解决地区冲突、反对恐怖主义、维护海上安全所作努力,呼吁国际社会向非洲主导的反恐行动提供资金和技术,支持非洲国家增强自主维护和平的能力。支持以非洲方式解决非洲问题,推动非洲之角以及萨赫勒、大湖地区等热点问题和平解决。积极落实“非洲之角和平发展构想”,推动非洲之角和平会议机制化,积极打造合作示范项目。 (8) 地域紛争の解決、テロとの闘い、海洋安全保障の維持に向けたアフリカ諸国、アフリカ連合、小地域組織の努力を支援し、アフリカ主導のテロ対策活動に資金と技術を提供し、アフリカ諸国が自力で平和を維持する能力を強化することを支援するよう国際社会に要請する。 アフリカの問題を解決するためのアフリカン・アプローチを支持し、アフリカの角、サヘル、大湖地域などのホットスポット問題の平和的解決を促進する。 アフリカの角平和と開発構想」を積極的に実施し、「アフリカの角平和会議」の制度化を推進し、モデル協力事業を積極的に構築する。
(九)支持拉美和加勒比国家积极践行《宣布拉美和加勒比为和平区的公告》承诺,支持包括拉共体在内的区域和次区域组织为维护地区和平安全、妥善处理地区热点问题发挥积极作用。 (9) ラテンアメリカ・カリブ海諸国が「ラテンアメリカ・カリブ海平和地帯宣言」を積極的に実施し、LACを含む地域・小地域組織が地域の平和と安全の維持、地域のホットスポットの問題への適切な対応に積極的な役割を果たすよう支援する。
(十)重视太平洋岛国在气候变化、自然灾害和公共卫生等领域特殊处境和合理关切,支持太平洋岛国为应对全球性挑战所作努力,支持岛国落实其《蓝色太平洋2050战略》。加大提供物资、资金和人才支持,帮助岛国提升应对非传统安全威胁的能力。 (10)気候変動、自然災害、公衆衛生などの分野における太平洋島嶼国の特別な状況や正当な懸念に注意を払い、地球規模の課題に取り組む太平洋島嶼国の努力を支援し、島嶼国が「ブルーパシフィック2050戦略」を実施するのを支援する。 島嶼国が非伝統的な安全保障上の脅威に対処する能力を高めることができるよう、物的、財政的、人的資源の支援の提供を強化する。
(十一)加强海上对话交流和务实合作,妥善处理海上分歧,携手打击海盗、武装抢劫等海上跨国犯罪,合力维护海洋和平安宁和航道安全。倡导跨境河流上下游国家积极开展国际合作,通过对话协商解决相关争议,保障跨境河流航运安全,合理利用和保护水资源,保护跨境河流生态环境。 (11) 海上での対話・交流と実務協力を強化し、海上の相違を適切に処理し、海賊、武装強盗、その他の海上における国際犯罪と戦うために手を携え、海洋の平和と静穏、水路の安全維持のために共同で努力する。 国境を越える河川の上流と下流の国々が積極的に国際協力を行い、対話と協議を通じて関連する紛争を解決し、国境を越える河川航行の安全を守り、水資源を合理的に利用・保護し、国境を越える河川の生態環境を保護するよう提唱する。
(十二)加强联合国在国际反恐斗争中的中心协调作用,支持国际社会全面落实联大和安理会反恐决议及《联合国全球反恐战略》,共同打击所有被安理会列名的恐怖组织和人员。推动全球反恐资源进一步向发展中国家倾斜,加大发展中国家反恐能力建设。反对将恐怖主义与特定国家、民族和宗教挂钩。深入研究和应对新兴技术对国际反恐斗争的影响。 (12)国際的なテロとの闘いにおける国連の中央調整的役割を強化し、国際社会がテロ対策に関する国連総会・安保理決議および国連グローバルテロ対策戦略を完全に実施することを支援し、安保理がリストアップしたすべてのテロ組織・個人と協力して戦う。 世界のテロ対策資源の途上国への傾斜をさらに促進し、テロとの闘いにおける途上国の能力構築を強化する。 テロを特定の国、国籍、宗教と関連付けることに反対する。 新興技術が国際的なテロとの闘いに与える影響について深く研究し、対処する。
(十三)深化信息安全领域国际合作。中方已提出《全球数据安全倡议》,希望推动达成反映各方意愿、尊重各方利益的全球数字治理规则。持续推进落实《中国-阿拉伯联盟数据安全合作倡议》和《“中国+中亚五国”数据安全合作倡议》,共同应对各类网络威胁,构建开放包容、公平合理、安全稳定、富有生机活力的全球网络空间治理体系。 (13) 情報安全保障分野における国際協力の深化。 中国は「グローバル・データ・安全保障・イニシアチブ」を提唱し、すべての当事者の意思を反映し、利益を尊重するグローバル・デジタル・ガバナンス・ルールの締結を促進することを望んでいる。 中国は,データ安全保障協力に関する中国・アラブ連盟イニシアティブ及びデータ安全保障協力に関する中国+中央アジア5カ国イニシアティブの実施を引き続き推進し,様々なサイバー脅威に共同で対処し,開放的,包括的,公正,合理的,安全,安定的かつ活力に満ちたグローバルサイバースペースのガバナンスシステムを構築する。
(十四)加强生物安全风险管理。共同倡导负责任的生物科研,鼓励各利益攸关方自愿采纳《科学家生物安全行为准则天津指南》。共同加强实验室生物安全能力建设,降低生物安全风险,促进生物科技健康发展。 (14)バイオセーフティリスクマネジメントを強化する。 責任あるバイオサイエンス研究を共同で提唱し、関係者が「バイオセーフティに関する科学者の行動規範のための天津ガイドライン」を自主的に採択することを奨励する。 実験室のバイオセーフティ能力構築を強化し、バイオセーフティリスクを低減し、バイオテクノロジーの健全な発展を促進するために協力する。
(十五)加强人工智能等新兴科技领域国际安全治理,预防和管控潜在安全风险。中国已就人工智能军事应用和伦理治理发布立场文件,愿与国际社会就人工智能安全治理加强沟通交流,推动达成普遍参与的国际机制,形成具有广泛共识的治理框架和标准规范。 (15) 人工知能などの新興技術における国際安全保障ガバナンスを強化し、潜在的な安全保障リスクを防止・管理する。 中国は、人工知能の軍事的応用と倫理的ガバナンスに関するポジションペーパーを発表し、人工知能の安全保障ガバナンスに関する国際社会との意思疎通と交流を強化し、普遍的参加による国際メカニズムの締結を促進し、幅広い合意によるガバナンス枠組み及び標準規範を形成することを望んでいる。
(十六)加强外空领域国际合作,维护以国际法为基础的外空国际秩序。基于国际法开展外空活动,维护在轨航天员的安全和空间设施的长期可持续。尊重并确保各国平等享有和平利用外空的权利。坚决反对外空武器化和军备竞赛,支持谈判缔结外空军控国际法律文书。 (16)宇宙空間分野における国際協力を強化し、国際法に基づく宇宙空間における国際秩序を維持する。 国際法に基づく宇宙活動を行い、軌道上における宇宙飛行士の安全と宇宙施設の長期的な持続可能性を維持する。 すべての国が対等な立場で宇宙空間の平和利用の権利を享受することを尊重し、確保する。 宇宙空間の兵器化および軍拡競争に断固として反対し、宇宙空間を管理するための国際的な法的手段の交渉と締結を支持する。
(十七)支持世界卫生组织在全球公共卫生治理中发挥领导作用,有效统筹、调动全球资源,共同应对包括新型冠状病毒感染在内的全球性重大传染病。 (17)世界保健機関がグローバルな公衆衛生ガバナンスにおいて主導的な役割を果たし、新たなコロナウイルス感染を含む世界の主要な感染症に共同で対処するために、グローバルな資源を効果的に調整・動員することを支援する。
(十八)维护全球粮食和能源安全。加强行动协调,维护国际农产品贸易平稳运行,保障粮食生产和供应链畅通,避免将粮食安全问题政治化、武器化。加强国际能源政策协调,为保障能源运输创造安全稳定环境,共同维护全球能源市场和能源价格稳定。 (18) 世界の食料・エネルギー安全保障を維持する。 国際農産物貿易の円滑な運営を維持し、食料生産とサプライチェーンの円滑な流れを守り、食料安全保障問題の政治化・武器化を回避するための行動の調整を強化する。 国際的なエネルギー政策の協調を強化し、エネルギー輸送を確保するための安全で安定した環境を作り出し、世界のエネルギー市場とエネルギー価格の安定を共同して維持する。
(十九)全面、有效落实《联合国打击跨国有组织犯罪公约》。鼓励各国为打击跨国犯罪,缔结或参加有关国际条约、公约或协议,或者作出制度性安排。支持联合国三项禁毒公约,维护国际禁毒体制,倡导国际社会协调一致、责任共担、真诚合作,共同应对毒品问题带来的挑战,构建不受毒品危害的人类命运共同体。在尊重各国主权基础上积极开展执法合作,共同提升执法能力和安全治理水平。支持建立全球培训体系,为发展中国家培训更多适应维护自身安全需要的执法人员。 (19)国連国際組織犯罪防止条約を完全かつ効果的に実施する。 国際犯罪と闘うために、各国が関連する国際条約、規約、協定を締結または参加し、あるいは制度的な取り決めを行うことを奨励する。 国連の反薬物3条約を支持し、国際的な反薬物体制を堅持し、薬物問題がもたらす課題に共同で取り組み、薬物の危険のない人類運命共同体を構築するために、国際社会が協調し、責任を共有し、誠実に協力することを提唱する。 我々は、すべての国の主権の尊重を基礎として、法執行協力に積極的に関与し、法執行能力および安全保障・ガバナンスの向上に協力する。 開発途上国が自国の安全保障を維持するためのニーズに応え、より多くの法執行官を養成するための世界的な研修制度の確立を支持する。
(二十)支持各国在气候变化、供应链产业链稳定畅通等领域合作,加快落实联合国2030年可持续发展议程,以可持续发展促进可持续安全。 (20)気候変動やサプライチェーンの安定的かつ円滑な流れなどの分野における各国間の協力を支援し、「国連持続可能な開発のための2030アジェンダ」の実施を加速し、持続可能な開発を通じて持続可能な安全保障を促進する。
四、合作平台和机制 IV.協力のプラットフォームとメカニズム
(一)利用联合国大会和各相关委员会、安理会、相关机构以及其他有关国际和地区组织等平台,根据各自职责,围绕和平与安全问题广泛讨论沟通,提出共同倡议主张,汇聚国际社会应对安全挑战共识。 (1) 国連総会及び関連委員会、安全保障理事会、関連機関、その他の関連国際機関及び地域機関等のプラットフォームを活用し、それぞれの責任に基づき、平和と安全の問題について幅広く議論・交流し、共通のイニシアティブや提案を行い、国際社会の合意を得て、安全の課題に取り組む。
(二)发挥上海合作组织、金砖合作、亚信、“中国+中亚五国”、东亚合作相关机制等作用,围绕彼此一致或相近目标逐步开展安全合作。推动设立海湾地区多边对话平台,发挥阿富汗邻国外长会、非洲之角和平会议等协调合作机制作用,促进地区乃至世界的和平稳定。 (2) 上海協力機構、BRICS協力、アジア信託、中国+中央アジア5カ国、東アジア協力の関連メカニズムの役割を発揮し、同一または類似の目的を中心とした安全保障協力を徐々に展開する。 また、湾岸地域における多国間対話プラットフォームの構築を推進し、アフガニスタン近隣諸国外相会議、アフリカの角平和会議などの調整・協力メカニズムの役割を果たし、地域と世界の平和と安定を促進する。
(三)适时举办全球安全倡议高级别活动,加强安全领域政策沟通,促进政府间对话合作,进一步凝聚国际社会应对安全挑战合力。 (3) 世界の安全保障の取り組みに関するハイレベルイベントを適切な時期に開催し、安全保障分野における政策コミュニケーションを強化し、政府間の対話と協力を促進し、安全保障上の課題に取り組む国際社会の取り組みをさらに団結させる。
(四)支持中非和平安全论坛、中东安全论坛、北京香山论坛、全球公共安全合作论坛(连云港)以及其他国际性交流对话平台为深化安全领域交流合作继续作出积极贡献。鼓励创设全球性安全论坛,为各国政府、国际组织、智库、社会组织等发挥各自优势参与全球安全治理提供新平台。 (4)中国・アフリカ平和安全フォーラム、中東安全保障フォーラム、北京向山フォーラム、世界公共安全保障協力フォーラム(連雲港)、その他の国際交流・対話プラットフォームが、安全保障分野における交流・協力の深化に引き続き積極的に貢献することを支援する。 政府、国際機関、シンクタンク、社会組織等がそれぞれの強みを活かしてグローバルな安全保障ガバナンスに参加するための新たなプラットフォームを提供するため、グローバル安全保障フォーラムの創設を奨励する。
(五)围绕应对反恐、网络、生物、新兴科技等领域安全挑战,搭建更多国际交流合作平台和机制,共同提升非传统安全治理能力。鼓励各国高等军事院校、高等警察院校之间加强交流合作。未来5年中方愿向全球发展中国家提供5000个研修培训名额用于培养专业人才,共同应对全球性安全问题。 (5) テロ対策、サイバー、生物学、新興技術などの分野における安全保障上の課題に対処し、非伝統的な安全保障ガバナンス能力を共同で強化するため、より多くの国際交流・協力プラットフォームやメカニズムを構築する。 各国の高等軍事・警察学校間の交流・協力の強化を奨励する。 今後5年間で、中国は世界の発展途上国に対し、世界の安全保障問題に共同で取り組む専門家を育成するための5,000の研修場所を提供する意向である。
全球安全倡议秉持开放包容原则,欢迎和期待各方参与,共同丰富倡议内涵,积极探索开展新形式新领域合作。中方愿同世界上所有爱好和平、追求幸福的国家和人民携手同行,协力应对各种传统和非传统安全挑战,并肩守护地球家园的和平安宁,共同开创人类更加美好的未来,让和平的薪火代代相传、平安的钟声响彻人间。 グローバル・安全保障・イニシアティブは、開放性と包摂性の原則を堅持しており、すべての当事者が参加して、イニシアティブの内容を共同で充実させ、新しい協力形態や分野を積極的に模索することを歓迎し、期待する。 中国は、平和を愛し、幸福を求める世界のすべての国や人々と手を携えて、伝統的、非伝統的な安全保障上の様々な課題に取り組み、世界の故郷の平和と静穏を守り、人類のより良い未来を共同で創造し、平和の炎が世代から世代へと引き継がれ、平和の鐘が地上に響き渡ることを望んでいる。
1_20210612030101

| | Comments (0)

経済産業省 総務省 デジタル庁「電子政府における調達のために参照すべき暗号のリスト」(CRYPTREC暗号リスト)の改定案に対する意見募集 (2023.03.08)

こんにちは、丸山満彦です。

「電子政府における調達のために参照すべき暗号のリスト」(CRYPTREC暗号リスト)の改定案に対する意見募集が行われていますね。。。

 

● 経済産業省

・2023.03.08 「電子政府における調達のために参照すべき暗号のリスト」(CRYPTREC暗号リスト)の改定案に対する意見募集

・[PDF

20230315-63956

 

● 総務省

・2023.03.08 「電子政府における調達のために参照すべき暗号のリスト(CRYPTREC暗号リスト)」の改定案に対する意見募集

・[PDF]

 

● デジタル庁

・2023.03.08 「電子政府における調達のために参照すべき暗号のリスト(CRYPTREC暗号リスト)」の改定に対する意見募集を行います

・[PDF]

e-Gov

・2023.03.08 「電子政府における調達のために参照すべき暗号のリスト(CRYPTREC暗号リスト)」の改定に対する意見募集

・[PDF]

 

CRYPTREC

・2023.03.08 「電子政府における調達のために参照すべき暗号のリスト(CRYPTREC暗号リスト)」(案)に係る意見募集について

 

暗号技術検討会資料

・2023.03.08 2022年度第1回 

・・[PDF]  議事概要

・・[PDF] 資料

20230315-64523

 

 

| | Comments (0)

英国 英国版GDPR新版の審議始まる (2023.03.08)

こんにちは、丸山満彦です。

英国版GDPRの改訂作業が始まりましたね。。。法案は、Data Protection and Digital Information (No. 2) Bill...

前から英国は、クッキーの確認のポップアップが形式的なもので、意味はほとんどないにも関わらず、手間が相当かかっているので、こんな茶番はやめてもう少し実効性があり、効率性のよい方法を考えないといけないでしょう。。。という感じでの変更なんでしょうかね。。。

まだ、法案は読み込めていません。。。

 

U.K. Gov

・2023.03.08 British Businesses to Save Billions Under New UK Version of GDPR

British Businesses to Save Billions Under New UK Version of GDPR 英国版GDPRの新版で英国企業が数十億円の節約を実現
New data laws to cut down pointless paperwork for businesses and reduce annoying cookie pops-up are being introduced by the government today in Parliament. 企業にとって無意味なペーパーワークを削減し、迷惑なクッキーのポップアップを減らすための新しいデータ法が、本日、国会で政府によって紹介される。
・Technology Secretary Michelle Donelan introduces Data Protection and Digital Information Bill today ・ミシェル・ドネラン技術長官、データ保護およびデジタル情報法案を本日発表
・New common-sense-led UK version of the EU’s GDPR will reduce costs and burdens for British businesses and charities, remove barriers to international trade and cut the number of repetitive data collection pop-ups online ・EUのGDPRの新しい常識的な英国版は、英国の企業や慈善団体のコストと負担を減らし、国際貿易の障壁を取り除き、オンラインで繰り返されるデータ収集のポップアップの数を削減する。
・Strengthened data regime will save UK economy more than £4 billion over next 10 years and ensure that privacy and data protection are securely protected ・データ体制の強化により、今後10年間で英国経済を40億ポンド以上節約し、プライバシーとデータ保護の確実な保護を実現する。
New data laws to cut down pointless paperwork for businesses and reduce annoying cookie pops-up are being introduced by the government today in Parliament. 企業にとって無意味なペーパーワークを削減し、迷惑なクッキーのポップアップを減らすための新しいデータ法が、本日、政府によって国会で紹介された。
The Data Protection and Digital Information Bill was first introduced last Summer and paused in September 2022 so ministers could engage in a co-design process with business leaders and data experts – ensuring that the new regime built on the UK’s high standards for data protection and privacy, and seeks to ensure data adequacy while moving away from the ‘one-size-fits-all’ approach of European Union’s GDPR. データ保護およびデジタル情報法案は、昨年夏に初めて導入され、2022年9月に一時停止された。これにより、大臣はビジネスリーダーやデータ専門家との共同設計プロセスに携わることができ、データ保護とプライバシーに関する英国の高い基準を基に、欧州連合のGDPRの「一律」アプローチから脱却しつつデータの妥当性を確保する新制度を構築することが可能になりました。
Data is fundamental to fuelling economic growth in all areas of society from unlocking medical breakthroughs to helping people travel, manage their finances and shop online. It is vital to the development and use of innovative technologies such as artificial intelligence. データは、医学的進歩の解明から、人々の旅行、財政管理、オンラインショッピングの支援まで、社会のあらゆる分野で経済成長を促進するための基礎となるものである。また、人工知能のような革新的な技術の開発と利用にも欠かせません。
Data-driven trade generated 85 per cent of the UK’s total service exports and contributed an estimated £259 billion for the economy in 2021. データ主導の貿易は、英国のサービス輸出総額の85%を生み出し、2021年の経済に推定2590億ポンドを貢献しました。
The improved bill will: 改善された法案は以下の通りである。
・Introduce a simple, clear and business-friendly framework that will not be difficult or costly to implement – taking the best elements of GDPR and providing businesses with more flexibility about how they comply with the new data laws ・GDPRの最良の要素を取り入れ、企業が新しいデータ法を遵守する方法についてより柔軟性を提供する。
・Ensure our new regime maintains data adequacy with the EU, and wider international confidence in the UK’s comprehensive data protection standards ・新体制がEUとのデータ適正性を維持し、英国の包括的なデータ保護基準に対する国際的な信頼がより高まるようにする。
・Further reduce the amount of paperwork organisations need to complete to demonstrate compliance ・組織がコンプライアンスを証明するために必要な書類作成をさらに減らす
・Support even more international trade without creating extra costs for businesses if they’re already compliant with current data regulation ・すでに現行のデータ規制に準拠している企業であれば、余分なコストを発生させることなく、さらなる国際貿易をサポートする。
・Provide organisations with greater confidence about when they can process personal data without consent ・同意なしに個人データを処理できる場合について、組織に大きな自信を与える。
・Increase public and business confidence in AI technologies by clarifying the circumstances when robust safeguards apply to automated decision-making ・自動化された意思決定に強固なセーフガードが適用される状況を明確にすることで、AI技術に対する社会と企業の信頼を高める。
Today’s data reforms are expected to unlock £4.7 billion in savings for the UK economy over the next 10 years and maintain the UK’s internationally renowned data protection standards so businesses can continue to trade freely with global partners, including the EU. 本日のデータ改革により、今後10年間で英国経済に47億ポンドの節約をもたらし、英国の国際的に有名なデータ保護基準を維持することで、企業がEUを含む世界のパートナーと自由な取引を継続できるようになると期待される。
Science, Innovation and Technology Secretary Michelle Donelan said: 科学・イノベーション・テクノロジー長官のMichelle Donelanは次のように述べている。
“Co-designed with business from the start, this new Bill ensures that a vitally important data protection regime is tailored to the UK’s own needs and our customs. 「この新法案は、当初から企業との共同設計により、極めて重要なデータ保護制度を、英国自身のニーズと我々の習慣に合わせたものにすることを保証する。」
“Our system will be easier to understand, easier to comply with, and take advantage of the many opportunities of post-Brexit Britain. No longer will our businesses and citizens have to tangle themselves around the barrier-based European GDPR.” 「私たちのシステムは、理解しやすく、遵守しやすく、ブレグジット後の英国の多くの機会を活用することができる。もはや、私たちの企業や市民は、障壁の多い欧州のGDPRに絡め取られることはないだろう。」
“Our new laws release British businesses from unnecessary red tape to unlock new discoveries, drive forward next generation technologies, create jobs and boost our economy.” 「我々の新しい法律は、英国企業を不必要なお役所仕事から解放し、新しい発見を引き出し、次世代技術を推進し、雇用を創出し、経済を活性化する。」
Alongside these new changes, the Bill will increase fines for nuisance calls and texts to be either up to four per cent of global turnover or £17.5 million, whichever is greater, and aims to reduce the number of consent pop-ups people see online, which allow websites to collect data about an individual’s visit. これらの新しい変更と並行して、法案は、迷惑電話やメールに対する罰金を、全世界の売上高の最大4%または1750万ポンドのいずれか大きい方に引き上げるとともに、ウェブサイトが個人の訪問に関するデータを収集することを可能にする、人々がオンラインで見る同意ポップアップの数を減らすことを目的としている。
The Bill will also establish a framework for the use of trusted and secure digital verification services, which allow people to prove their identity digitally if they choose to do so. The measures will allow customers to create certified digital identities that make it easier and quicker for people to prove things about themselves. また、本法案は、人々が選択した場合、デジタルで自分の身元を証明することができる、信頼できる安全なデジタル認証サービスを利用するための枠組みを確立する予定である。この措置により、お客様は、人々が自分自身に関することをより簡単かつ迅速に証明することができる認証済みデジタルIDを作成することができるようになる。
The Bill will strengthen the Information Commissioner’s Office (ICO) through the creation of a statutory board with a chair and chief executive, so it can remain a world-leading, independent data regulator and better support organisations to comply with data regulation. 法案は、議長および最高経営責任者を擁する法定委員会の設立を通じて情報コミッショナー事務所(ICO)を強化し、世界をリードする独立したデータ規制当局であり続け、データ規制を遵守する組織をより良くサポートできるようにするものである。
Julian David, TechUK CEO, said: TechUKのCEOであるJulian Davidは、次のように述べている。
“TechUK welcomes the new, targeted package of reforms to the UK’s data protection laws, which builds on ambitions to bring organisations clarity and flexibility when using personal data.” 「TechUKは、英国のデータ保護法に対する新しい、的を射た改革パッケージを歓迎する。これは、個人データを使用する際に組織に明確さと柔軟性をもたらすという野心に基づくものである。
“The changes announced today will give companies greater legal confidence to conduct research, deliver basic business services and develop new technologies such as AI, while retaining levels of data protection in line with the highest global standards, including data adequacy with the EU.” 本日発表された変更は、EUとのデータ適正化を含む最高のグローバルスタンダードに沿ったデータ保護のレベルを維持しながら、企業が研究を行い、基本的なビジネスサービスを提供し、AIなどの新しい技術を開発するための法的自信を与えることになるだろう。
Chris Combemale, Chair of the DPDI Business Advisory Group and CEO of the Data & Marketing Association (DMA UK), said: DPDIビジネスアドバイザリーグループの議長であり、データ&マーケティング協会(DMA UK)のCEOであるChris Combemaleは、次のように述べている。
“The DMA has collaborated with the government throughout the Data Protection and Digital Information Bill (DPDI)’s development to champion the best interests of both businesses and their customers. We are confident that the bill should act as a catalyst for innovation and growth, while maintaining robust privacy protections across the UK – an essential balance which will build consumer trust in the digital economy.” 「DMAは、データ保護・デジタル情報法案(DPDI)の策定期間中、政府と協力し、企業とその顧客双方の最善の利益を擁護してきました。私たちは、この法案がイノベーションと成長の触媒として機能すると同時に、英国全体で強固なプライバシー保護を維持すること、つまりデジタル経済における消費者の信頼を築くために不可欠なバランスであると確信している。」
John Edwards, UK Information Commissioner, said: 英国情報コミッショナーのJohn Edwardsは、次のように述べている。
“I welcome the reintroduction of the Data Protection and Digital Information Bill and support its ambition to enable organisations to grow and innovate whilst maintaining high standards of data protection rights. Data protection law needs to give people confidence to share their information to use the products and services that power our economy and society. 「私は、データ保護およびデジタル情報法案の再提出を歓迎し、データ保護権の高水準を維持しながら、組織の成長と革新を可能にするというその野心を支持する。データ保護法は、私たちの経済や社会を動かす製品やサービスを利用するために、人々が自分の情報を共有することに自信を持てるようにする必要がある。」
“The Bill will ensure my office can continue to operate as a trusted, fair and independent regulator. We look forward to continuing to work constructively with the Government to monitor how these reforms are expressed in the Bill as it continues its journey through Parliament.” 「この法案は、私の事務所が信頼され、公正で独立した規制機関として運営し続けられることを保証するものである。法案が国会を通過する過程で、これらの改革がどのように表現されるかを監視するために、政府と建設的に協力し続けることを楽しみにしている。」
FURTHER INFORMATION 詳細情報
Ministers have co-designed the Bill with key industry and privacy partners on amendments which will give organisations greater flexibility over how they can comply with the regime while maintaining high data protection standards. 大臣たちは、高いデータ保護基準を維持しながら、組織がこの制度を遵守する方法についてより柔軟性を与える修正案について、主要な産業およびプライバシーパートナーとともに法案を共同設計しました。
Unleashing more scientific research より多くの科学研究を解放する
Current data laws are unclear on how scientists can process personal data for research purposes, which holds them back from completing vital research that can improve the lives of people across the country. 現行のデータ法では、科学者が研究目的でどのように個人データを処理できるかが不明確であるため、全国の人々の生活を向上させる重要な研究の完成が妨げられている。
The Bill has updated the definition of scientific research to clarify that commercial organisations will benefit from the same freedoms as academics to carry out innovative scientific research, ​​such as making it easier to reuse data for research purposes. This will reduce paperwork and legal costs for researchers, and will encourage more scientific research in the commercial sector. The definition of scientific research in the new Bill is non-exhaustive, in that it remains any processing that ‘could reasonably be described as scientific’ and could include activities such as innovative research into technological development. 本法案では、科学研究の定義を更新し、研究目的のためのデータの再利用を容易にするなど、革新的な科学研究を行うために、営利団体が学者と同じ自由を享受できることを明確にしている。これにより、研究者の事務手続きや法的コストが削減され、商業分野での科学研究がより促進されることになる。新法案における科学研究の定義は、「科学的と合理的に説明できる」あらゆる処理を残すという点で非網羅的であり、技術開発に関する革新的な研究などの活動も含まれる可能性がある。
Reducing unnecessary paperwork even further 不要なペーパーワークをさらに削減する
The existing European version of GDPR takes a highly prescriptive, top-down approach to data protection regulation which can limit organisations’ flexibility to manage risks and places disproportionate burdens on small businesses. 現行の欧州版GDPRは、データ保護規制に対して非常に規定的でトップダウン的なアプローチをとっており、組織のリスク管理の柔軟性を制限し、中小企業に不釣り合いな負担をかける可能性がある。
Ministers have improved the Bill to further cut down on the amount of paperwork organisations need to complete to show compliance. Now, only organisations whose processing activities are likely to pose high risks to individual’s rights and freedoms will need to keep processing records. This could include, for example, where organisations are processing large volumes of sensitive data about people’s health. 閣僚は、コンプライアンスを示すために組織が記入する必要のある書類の量をさらに削減するために、法案を改善しました。現在では、個人の権利と自由に対して高いリスクをもたらす可能性のある処理活動を行う組織のみが、処理記録を保持する必要がある。これは、例えば、組織が人々の健康に関する大量の機密データを処理しているような場合である。
The new rules will give organisations more clarity about when they can process personal data without needing consent or weighing up their own interests in processing the data against an individual’s rights for certain public interest activities. This could include circumstances where there is a public interest in sharing personal data to prevent crime, safeguard national security or protect vulnerable individuals. 新しい規則では、組織が特定の公益活動のために、同意を必要とせず、データを処理する自らの利益と個人の権利とを比較検討することなく個人データを処理できる場合について、より明確になる。これには、犯罪の防止、国家安全保障の保護、脆弱な個人の保護のために個人データを共有することに公共の利益がある状況が含まれる可能性がある。
Increasing public and business confidence in AI technologies AI技術に対する社会と企業の信頼性を高める
Innovative technologies like AI and Quantum computing have the potential to create widespread benefits, such as improving the delivery of healthcare services and reducing the risk of fraud. These technologies often rely on automated decision making, where significant decisions are made about people with no human involvement, or profiling, where an automated process analyses or predicts aspects about a person, such as their abilities or behaviours. AIや量子コンピュータのような革新的な技術は、医療サービスの提供の改善や不正行為のリスクの低減など、広く利益を生み出す可能性を秘めている。これらの技術は、人の関与なしに人に関する重要な決定が行われる自動意思決定や、自動化されたプロセスで能力や行動など人に関する側面を分析または予測するプロファイリングに依存することが多い。
The UK’s existing data protection laws are complex and lack clarity for solely automated decision-making and profiling which makes it difficult for organisations to responsibly use these types of technologies. 英国の既存のデータ保護法は複雑で、自動化された意思決定やプロファイリングに関する明確な規定がないため、組織が責任を持ってこの種の技術を使用することが困難になっている。
The Bill ensures organisations can use automated decision-making with more confidence, and that the right safeguards are in place for people about whom those decisions are taken. This means people will be made aware when such decisions are made and can challenge and seek human review when those decisions may be inaccurate or harmful. この法案は、組織がより自信を持って自動化された意思決定を使用できるようにし、意思決定の対象となる人々のために適切な保護措置を講じることを保証する。つまり、人々はそのような決定がなされたことを認識し、その決定が不正確または有害である可能性がある場合には、異議を申し立てたり、人間の審査を求めたりすることができるようになるのである。
New measures set out today clarify that profiling is subject to the same set of robust safeguards for automated decision making when a significant decision is taken about a person with no meaningful human involvement. 本日発表された新たな措置は、プロファイリングが、人に関する重要な決定が、意味のある人間の関与なしに行われる場合、自動的な意思決定と同じ一連の強固なセーフガードの対象となることを明確にしている。
For instance, if a person is denied a job or a loan because an automated decision has been taken without meaningful human input, they can challenge that decision and request a human to review the outcome instead. 例えば、ある人が、人間による意味のある入力なしに自動化された決定が行われたために、仕事や融資を拒否された場合、その人はその決定に異議を申し立て、代わりに人間が結果を検討するよう要求することができる。
As a result of these reforms, businesses, AI developers and individuals will have greater clarity about when these important safeguards for solely automated decision-making must apply. These measures maintain the UK’s high data protection standards and help provide more transparency and accountability for decisions made by computer algorithms. これらの改革の結果、企業、AI開発者、個人は、もっぱら自動化された意思決定に対するこれらの重要なセーフガードをいつ適用しなければならないかについて、より明確になる。これらの措置は、英国の高いデータ保護基準を維持し、コンピュータ・アルゴリズムによる意思決定に対してより透明性と説明責任を果たすのに役立つ。
Supporting international data sharing 国際的なデータ共有をサポートする
The UK is committed to maintaining high data protection standards and continuing the free flow of personal data between like-minded countries, which power services such as GPS navigation, smart home technology and content streaming services. 英国は、高いデータ保護基準を維持し、GPSナビゲーション、スマートホーム技術、コンテンツストリーミングサービスなどのサービスを支える、同じ考えを持つ国同士の個人データの自由な流れを継続することを約束する。
The updated Bill ensures businesses can continue to use their existing international data transfer mechanisms to share personal data overseas if they are already compliant with current UK data laws. This will ensure British businesses do not need to pay more costs or complete new checks to show they’re compliant with the updated rules. 更新された法案は、企業が現行の英国データ法をすでに遵守している場合、既存の国際データ転送メカニズムを使用して個人データを海外で共有し続けることができることを保証する。これにより、英国企業は、更新された規則に準拠していることを示すために、より多くの費用を支払ったり、新たなチェックを行ったりする必要がなくなる。

 

法案...

● UK Parliament - Business - Legislation Parliamentary Bills Data Protection and Digital Information (No. 2) Bill

Data Protection and Digital Information (No. 2) Bill

 

・[PDF]

20230315-33340

 

説明

・[PDF]

20230315-33547

 


● まるちゃんの情報セキュリティ気まぐれ日記

・2021.09.22 英国 ICO(データ保護局)がデータフローに関するG7会議を開催した理由

・2021.09.17 G7データ保護・プライバシー機関ラウンドテーブル 2021.09

・2021.09.07 英国 データ保護局 (ICO) のブログ Cookie承諾の茶番はやめて、そろそろ真面目に考えようとG7の個人データ・プライバシー関連当局に呼びかける...

 

| | Comments (0)

2023.03.14

米国商工会議所 人工知能報告書

こんにちは、丸山満彦です。

米国商工会議所が人工知能報告書を公表していますね。。。政府も民間も知見と実行力があるね。。。米国は。。。

6つの主要な要点

  1. AIの開発とAIを使ったシステムの導入は、指数関数的に伸びている。今後10年から20年の間に、事実上すべての企業や政府機関がAIを利用することになる。これは、社会、経済、そして国家安全保障に大きな影響を与えるだろう。

  2. 政策指導者は、責任あるAIの開発とその倫理的な展開のために、思慮深い法律やルールを開発するイニシアティブを取らなければならない。

  3. AIを規制することに失敗すれば、経済に悪影響を与え、個人の権利を低下させる可能性があり、有益な技術の開発と序文が制限されることになる。

  4. 米国は、その技術的優位性、発達した個人の権利制度、先進的な法制度、民主主義国との連動性を通して、この取り組みをリードするユニークな立場にある。

  5. 米国は、将来の経済成長、競争力のある労働力の提供、グローバル経済における競争力の維持、将来の国家安全保障の必要性を確保するために行動する必要がある。

  6. 責任あるAIを推進する政策は、現在および将来の政権と議会にとって最優先事項でなければならない。

5つの規制の柱

1 Efficiency 効率性
2 Collegiality 合議制
3 Neutrality 中立性
4 Flexibility 柔軟性
5 Proportionality 比例性

 

 規制については次のことが求められるとしていますね。。。

  • 既存法の利用、既存規制のギャップを埋める
  • 技術中立な法律
  • 政府の協力
  • 民間セクターの解決策
  • 労働力 AI の訓練と開発
  • グローバルな競争力と同盟国との協働:
  • AIを活用した国家安全保障システム

 

U.S. Chamber of Commerce

・2023.03.09 Artificial Intelligence Commission Report

Artificial Intelligence Commission Report 人工知能委員会報告書
The U.S. Chamber’s AI Commission report highlights the promise of Artificial Intelligence (AI) while calling for a risk-based, regulatory framework. 米国商工会議所のAI委員会報告書は、人工知能(AI)の将来性を強調する一方で、リスクに基づく規制の枠組みを求める。
The use of artificial intelligence (AI) is expanding rapidly. These technological breakthroughs present both opportunity and potential peril. AI technology offers great hope for increasing economic opportunity, boosting incomes, speeding life science research at reduced costs, and simplifying the lives of consumers. With so much potential for innovation, organizations investing in AI-oriented practices are already ramping up initiatives that boost productivity to remain competitive. 人工知能(AI)の利用は急速に拡大している。こうした技術的なブレークスルーは、チャンスと潜在的な危険の両方をもたらす。AI技術は、経済機会の増大、所得の向上、コスト削減によるライフサイエンス研究の迅速化、消費者の生活の簡素化など、大きな希望をもたらしている。イノベーションの可能性を秘めたAIに投資する企業は、競争力を維持するために生産性を向上させる取り組みをすでに強化している。
Like most disruptive technologies, these investments can both create and displace jobs. If appropriate and reasonable protections are not put in place, AI could adversely affect privacy and personal liberties or promote bias. Policymakers must debate and resolve the questions emanating from these opportunities and concerns to ensure that AI is used responsibly and ethically. 多くの破壊的技術と同様に、これらの投資は雇用を創出することもあれば、置き換えることもある。適切かつ合理的な保護が行われない場合、AIはプライバシーや個人の自由に悪影響を与えたり、バイアスを助長したりする可能性がある。政策立案者は、AIが責任を持って倫理的に使用されることを保証するために、これらの機会と懸念から生じる疑問について議論し、解決しなければならない。
This debate must answer several core questions: What is the government’s role in promoting the kinds of innovation that allow for learning and adaptation while leveraging core strengths of the American economy in innovation and product development? How might policymakers balance competing interests associated with AI—those of economic, societal, and quality-of-life improvements—against privacy concerns, workforce disruption, and built-in-biases associated with algorithmic decision-making? And how can Washington establish a policy and regulatory environment that will help ensure continued U.S. global AI leadership while navigating its own course between increasing regulations from Europe and competition from China’s broad-based adoption of AI? この議論は、いくつかの核心的な問いに答えなければならない。イノベーションと製品開発というアメリカ経済の中核的な強みを活かしつつ、学習と適応を可能にするようなイノベーションを促進する上で、政府の役割は何か?政策立案者は、AIに関連する経済的、社会的、生活の質の向上という競合する利益と、プライバシーの懸念、労働力の混乱、アルゴリズムによる意思決定に関連するビルトインバイアスとのバランスをどのようにとることができるか?また、ワシントンは、欧州の規制強化や中国の広範なAI導入による競争との間で独自の道を歩みながら、米国のAIにおける世界的なリーダーシップを継続的に確保するための政策・規制環境をどのように構築できるだろうか。
The United States faces stiff competition from China in AI development. This competition is so fierce that it is unclear which nation will emerge as the global leader, raising significant security concerns for the United States and its allies. Another critical factor that will affect the path forward in the development of AI policy making is how nations historically consider important values, such as personal liberty, free speech, and privacy. 米国は、AI開発において中国との厳しい競争に直面している。この競争は非常に激しく、どの国が世界のリーダーになるかは不透明であり、米国とその同盟国にとって重大な安全保障上の懸念がある。また、個人の自由、言論の自由、プライバシーといった重要な価値観を歴史的にどのように考えてきたかも、AI政策立案の道筋に影響を与える重要な要素である。
To maintain its competitive advantage, the United States, and like-minded jurisdictions, such as the European Union, need to reach agreement to resolve key legal challenges that currently impede industry growth. At this time, it is unclear if these important allies will collaborate on establishing a common set of rules to address these legal issues or if a more competitive—and potentially damaging—legal environment will emerge internationally. 競争優位性を維持するためには、米国や欧州連合(EU)など志を同じくする国々が、現在産業の成長を妨げている重要な法的課題の解決に合意する必要がある。現時点では、これらの重要な同盟国がこれらの法的問題に対処するための共通のルールを確立するために協力するか、あるいは、より競争力のある、潜在的に損害を与える法的環境が国際的に出現するかは不明である。
AI has the capacity to transform our economy, how individuals live and work, and how nations interact with each other. Managing the potential negative impacts of this transition should be at the center of public policy. There is a growing sense that we have a short window of opportunity to address key risks while maximizing the enormous potential benefits of AI. AIは、私たちの経済、個人の生活や働き方、そして国家間の相互作用を変革する能力を備えている。この移行がもたらす潜在的な悪影響を管理することは、公共政策の中心であるべきである。AIがもたらす莫大な潜在的利益を最大化する一方で、主要なリスクに対処する機会は短いという認識が広がっている。
The time to address these issues is now. これらの問題に取り組むべき時は、今である。
In 2022, the U.S. Chamber of Commerce formed the Commission on AI Competitiveness, Inclusion, and Innovation (“Commission”) to answer the questions central to this debate. The Commission, cochaired by former representatives John Delaney (D-MD) and Mike Ferguson (R-NJ), was tasked with the mission to provide independent, bipartisan recommendations to aid policymakers. Commissioners met over the course of a year with over 87 expert witnesses during five separate field hearings across the country and overseas, while also receiving written feedback from stakeholders answering three separate requests for information posed by the Commission. 2022年、米国商工会議所は、この議論の中心となる問いに答えるため、「AIの競争力、インクルージョン、イノベーションに関する委員会」(以下、「委員会」)を設立した。委員会は、ジョン・デラニー元代表(民主党)とマイク・ファーガソン元代表(ニュージャージー州)が共同議長を務め、政策立案者を支援するための独立した超党派の提言を行うことを使命とした。委員会は、1年以上かけて、87人以上の専門家による国内外での5回にわたる公聴会を開催し、また、委員会が出した3回の情報提供要請に対して、関係者から書面によるフィードバックを受けた。
The Commission observed six major themes from its fact finding: 委員会は、そのファクトファインディングから6つの主要なテーマを観察した。
Key takeaways 主要な要点
・The development of AI and the introduction of AI-based systems are growing exponentially. Over the next 10 to 20 years, virtually every business and government agency will use AI. This will have a profound impact on society, the economy, and national security. ・AIの開発とAIを使ったシステムの導入は、指数関数的に伸びている。今後10年から20年の間に、事実上すべての企業や政府機関がAIを利用することになる。これは、社会、経済、そして国家安全保障に大きな影響を与えるだろう。
・Policy leaders must undertake initiatives to develop thoughtful laws and rules for the development of responsible AI and its ethical deployment. ・政策指導者は、責任あるAIの開発とその倫理的な展開のために、思慮深い法律やルールを開発するイニシアティブを取らなければならない。
・A failure to regulate AI will harm the economy, potentially diminish individual rights, and constrain the development and introduction of beneficial technologies. ・AIを規制することに失敗すれば、経済に悪影響を与え、個人の権利を低下させる可能性があり、有益な技術の開発と序文が制限されることになる。
・The United States, through its technological advantages, well-developed system of individual rights, advanced legal system, and interlocking alliances with democracies, is uniquely situated to lead this effort. ・米国は、その技術的優位性、発達した個人の権利制度、先進的な法制度、民主主義国との連動性を通して、この取り組みをリードするユニークな立場にある。
・The United States needs to act to ensure future economic growth, provide for a competitive workforce, maintain a competitive position in a global economy, and provide for our future national security needs. ・米国は、将来の経済成長、競争力のある労働力の提供、グローバル経済における競争力の維持、将来の国家安全保障の必要性を確保するために行動する必要がある。
・Policies to promote responsible AI must be a top priority for this and future administrations and Congresses. ・責任あるAIを推進する政策は、現在および将来の政権と議会にとって最優先事項でなければならない。
Understanding the importance of these findings, the Commission also determined that the following five pillars should be at the core of AI regulatory policy making: また、これらの知見の重要性を理解した上で、委員会は、以下の5つの柱をAI規制の政策立案の中核とすべきであると判断した。
Five pillars of AI regulation AI規制の5つの柱
Efficiency 効率性
Policymakers must evaluate the applicability of existing laws and regulations. Appropriate enforcement of existing laws and regulations provides regulatory certainty and guidance to stakeholders and would help inform policymakers in developing future laws and regulations. Moreover, lawmakers should focus on filling gaps in existing regulations to accommodate new challenges created by AI usage. 政策立案者は、既存の法律や規制の適用法を評価しなければならない。既存の法律や規制の適切な施行は、利害関係者に規制の確実性と指針を提供し、政策立案者が将来の法律や規制を策定する際の参考となるはずである。さらに、法律家は、AIの利用によって生じる新たな課題に対応するため、既存の規制の隙間を埋めることに焦点を当てるべきである。
Collegiality 合議制
Federal interagency collaboration is vital to developing cohesive regulation of AI across the government. AI use is cross-cutting, complex, and rapidly changing and will require a strategic and coordinated approach among agencies. Therefore, the government will need to draw on expertise from the different agencies, thus allowing sector and agency experts the ability to narrow in on the most important emerging issues in their respective areas. 政府全体でAIのまとまった規制を整備するためには、連邦省庁間の協力が不可欠である。AIの利用は横断的で複雑、かつ急速に変化するため、省庁間の戦略的かつ協調的なアプローチが必要となる。したがって、政府は異なる省庁の専門知識を活用する必要があり、その結果、分野や省庁の専門家がそれぞれの分野で最も重要な新たな問題に絞り込むことができるようになる。
Neutrality 中立性
Laws should be technology neutral and focus on applications and outcomes of AI, not the technologies themselves. Laws regarding AI should be created only as necessary to fill gaps in existing law, protect citizens’ rights, and foster public trust. Rather than trying to develop a onesize-fits-all regulatory framework, this approach to AI regulation allows for the development of flexible, industry-specific guidance and best practices. 法律は技術的に中立であるべきであり、技術そのものではなく、AIの適用と結果に焦点を当てるべきである。AIに関する法律は、既存の法律の隙間を埋め、市民の権利を保護し、社会的信頼を醸成するために必要な場合にのみ作られるべきである。このようなAI規制のアプローチは、画一的な規制の枠組みを構築しようとするのではなく、柔軟で業界固有のガイダンスやベストプラクティスを開発することを可能にする。
Flexibility 柔軟性
Laws and regulations should encourage private sector approaches to risk assessment and innovation. Policymakers should encourage soft law and best practice approaches developed collaboratively by the private sector, technical experts, civil society, and the government. Such non-binding, self-regulatory approaches provide the flexibility of keeping up with rapidly changing technology as opposed to laws that risk becoming outdated quickly. 法律や規制は、リスク評価やイノベーションに対する民間セクターのアプローチを奨励すべきである。政策立案者は、民間セクター、技術専門家、市民社会、政府によって共同開発されたソフトローやベストプラクティス・アプローチを奨励するべきである。このような拘束力のない自主規制的なアプローチは、すぐに時代遅れになる危険性のある法律とは対照的に、急速に変化する技術に対応する柔軟性を提供する。
Proportionality 比例性
When policymakers determine that existing laws have gaps, they should attempt to adopt a risk-based approach to AI regulation. This model ensures a balanced and proportionate approach to creating an overall regulatory framework for AI. 政策立案者は、既存の法律にギャップがあると判断した場合、AI規制に対してリスクベースのアプローチを採用することを試みるべきである。このモデルにより、AIに関する全体的な規制の枠組みを構築するためのバランスの取れた比例したアプローチが保証される。
Recommendations 推奨事項
Having understood the urgency to develop policies to promote responsible AI and to ensure economic and workforce growth, the Commission used these pillars to develop policy recommendations to put these priorities into action. The Commission recommends areas that policymakers must address, including preparing the workforce through education, bolstering global competitiveness in the areas of intellectual property while shoring up partnerships, and protecting national security. 委員会は、責任あるAIを推進し、経済と労働力の成長を確保するための政策を策定する緊急性を理解した上で、これらの優先事項を実行に移すための政策提言を策定するために、これらの柱を使用した。委員会は、政策立案者が取り組むべき分野として、教育による労働力の準備、パートナーシップを強化しながら知的財産の分野で国際競争力を強化すること、そして国家安全保障を守ることを提言している。
Preparing the Workforce 労働力の準備
・Use an Evidence-Based Approach. Policymakers must take action to understand the potential impact of AI on the American workforce by leveraging new data sources and advanced analytics to understand the evolving impact of AI and machine learning on the American public. ・エビデンスに基づくアプローチを使用する。: 政策立案者は、新しいデータソースと高度な分析を活用し、AIと機械学習がアメリカの労働力に与える潜在的な影響を理解するために行動を起こさなければならない。
・Educate the Future Workforce. The United States must increase education around AI in both the K-12 and higher education systems by encouraging policymakers to reform the standard curriculum to better prepare students for developing AI and machine learning systems. ・将来の労働力を教育する。: 米国は、AIと機械学習システムの開発に向けた学生の準備をより良くするために標準カリキュラムを改革するよう政策立案者に促すことによって、幼稚園から高校までの教育システムの両方においてAIに関する教育を強化する必要がある。
・Train and Reskill. The public and private sectors must invest in training and reskilling the future workforce. These investments should be targeted toward programs that help ease worker transitions and improve incentives for businesses to invest in retraining. Policymakers should also leverage community colleges and vocational schools to train workers to perform jobs alongside AI-enabled systems. ・訓練と再技能化。: 官民は、将来の労働力の訓練と再教育に投資する必要がある。これらの投資は、労働者の移行を容易にし、企業が再教育に投資するインセンティブを向上させるプログラムに的を絞る必要がある。また、政策立案者は、コミュニティ・カレッジや職業訓練校を活用して、AI対応システムとともに仕事をこなせる労働者を育成する必要がある。
・Attract High-Skilled Talent. In areas where a worker shortage cannot be addressed through education, training, and reskilling, Congress must act to increase the AI talent pool through targeted refinements to the H-1B visa process to encourage highskilled immigration to the United States. ・高スキル人材の確保。: 労働者不足が教育、訓練、再教育で対処できない分野では、米国議会は、H-1Bビザプロセスに的を絞って改良を加え、米国への高技能者移民を奨励することで、AI人材プールを増やすよう行動しなければならない。
Bolstering global competitiveness グローバルな競争力の強化
・Shore Up Global Partnerships. U.S. officials must collaborate with key partners and allies to develop more sensible global governance frameworks that advance our common democratic goals and values. ・グローバル・パートナーシップを強化する。 :米国当局は、主要なパートナーおよび同盟国と協力し、共通の民主的目標と価値を促進する、より賢明なグローバル・ガバナンスの枠組みを開発する必要がある。
・Advance Intellectual Property Protections. Building on the foundation of the current system, policymakers must clarify intellectual property law requirements to ensure adequate protection of AI-enabled intellectual property. Before any change, policymakers must involve relevant stakeholders to consider potential unintended effects. ・知的財産の保護を促進する。:現行制度の基礎の上に立って、政策立案者は、AI対応の知的財産の適切な保護を確保するために、知的財産法の要件を明確にしなければならない。いかなる変更も、政策立案者は、潜在的な意図しない影響を考慮するために、関連する利害関係者を巻き込む必要がある。
・Provide Necessary Resources. Policymakers should provide additional resources to the U.S. Patent and Trademark Office to support the acquisition of technical expertise, training, and other resources to speed the review of AI- and machine learning– related public patent applications. ・必要なリソースを提供する。:政策立案者は、米国特許商標庁に追加リソースを提供し、AIや機械学習に関連する公開特許出願の審査を迅速に行うための技術的専門知識、トレーニング、その他のリソースの取得を支援する必要がある。
・Protect Ingenuity. Policymakers should also explore opportunities to grant provisional approvals for submissions under review where appropriate to mitigate the effects of lengthy delays. ・創意工夫を保護する。:政策立案者は、長期の遅延の影響を緩和するために、適切な場合には審査中の提出物に仮承認を与える機会も模索すべきである。
Protecting national security 国家安全保障の保護
・Human Rights. The United States must drive the development and implementation of laws and codes of conduct focused on promoting human rights and innovation. ・人権を守る。 :米国は、人権とイノベーションの推進に焦点を当てた法律と行動規範の開発と実施を推進しなければならない。
・Establish International Rules of Conduct. As the United States leads in the development of AI-enabled weapons, it should follow and encourage other countries to align with existing international norms and laws. ・国際的な行動規範を確立する。 :米国がAI対応兵器の開発を主導する際には、既存の国際規範や法律に沿うよう、他国をフォローし、奨励する必要がある。
・Systems Validation. The U.S. should invest heavily in new ways of testing, evaluating, verifying, and validating (“TEVV”) military AI and machine learning systems to ensure that they are used safely. ・システムの検証。 :米国は、軍用AIおよび機械学習システムを安全に使用するために、テスト、評価、検証、妥当性確認(「TEVV」)の新しい方法に多額の投資を行うべきである。
・Streamline Procurement. To capitalize on American ingenuity, Congress and the Pentagon must look at streamlining acquisition processes and finding new ways of incorporating industry expertise and experience within the military enterprise. ・調達を合理化する。 :米国の創意工夫を生かすために、議会と国防総省は、調達プロセスの合理化を検討し、軍事エンタープライズ内に産業の専門知識と経験を取り入れる新しい方法を見つけなければならない。
・Work with Allies. The United States should look to open investment opportunities for AI-enabled systems to like-minded countries and allies and vice versa. ・同盟国との協力。: 米国は、AI対応システムへの投資機会を、志を同じくする国や同盟国に開放すること、またその逆も検討する必要がある。
・These findings and recommendations are not exhaustive, and we welcome the insights of others who may contribute to the AI policy debate. The Commission and individual Commissioners stand ready to collaborate with policymakers to address these issues that are of utmost importance to the United States and the economic wellbeing and safety of the global community. ・これらの調査結果や提言はすべてを網羅しているわけではないので、AI政策の議論に貢献する可能性のある他の方々の見識を歓迎する。当委員会と各委員は、米国と国際社会の経済的繁栄と安全にとって最も重要なこれらの問題に取り組むため、政策立案者と協力する用意がある。

 

全文

・[PDF] CTEC AI Commission 2023 - Full Report

20230314-93247

 

エグゼクティブサマリー

・[PDF] CTEC AI Commission 2023 - Executive Summary

20230314-93318

 

 

プレス...

・2023.03.09 U.S. Chamber’s AI Commission Report Highlights the Promise of AI While Calling for a Risk-Based, Regulatory Framework

 

U.S. Chamber’s AI Commission Report Highlights the Promise of AI While Calling for a Risk-Based, Regulatory Framework 米国商工会議所のAI委員会報告書は、AIの有望性を強調する一方で、リスクに応じた規制の枠組みを要求している
Report Finds Policymakers Must Enforce Existing Laws and Develop Policies to Steer the Growth of Responsible, Ethical AI 報告書は、政策立案者が責任ある倫理的なAIの成長を促すために、既存の法律を施行し、政策を策定する必要があることを明らかにしている。
The U.S. Chamber of Commerce’s Artificial Intelligence Commission on Competitiveness, Inclusion, and Innovation today released a comprehensive report on the promise of Artificial Intelligence, while calling for a risk-based regulatory framework that will allow for its responsible and ethical deployment. 米国商工会議所の競争力・包摂力・イノベーションに関する人工知能委員会は、本日、人工知能の将来性について包括的な報告書を発表し、同時に、責任と倫理に基づいた展開を可能にするリスクベースの規制枠組みを求めた。
“AI is a transformational technology that we are just starting to realize its potential. While there are some risks that need to be managed, AI promises to boost economic opportunity and incomes, accelerate advancement in health outcomes and quality of life, and usher in yet another era of technology innovation that will spawn companies, industries, and jobs not yet imagined,” said Chamber President and CEO Suzanne P. Clark. “For over a year, the Chamber’s Commission has been working on developing policy recommendations and industry best practices that provide policymakers and business leaders a roadmap to optimize its many benefits and protect against harms.” 商工会議所のスザンヌ P. クラーク会長兼CEOは次のようにかたっている。「AIは変革的な技術であり、私たちはその可能性を実現し始めたばかりである。リスクマネジメントが必要であるが、AIは経済機会と所得を高め、健康成果と生活の質の向上を加速させ、まだ想像もつかない企業、産業、雇用を生み出す技術革新の時代を切り開くことを約束する。商工会議所の委員会は、1年以上にわたって、政策立案者やビジネスリーダーに、その多くの利点を最適化し、害から守るためのロードマップを提供する政策提言と業界のベストプラクティスの開発に取り組んできた。」
The report, which is being unveiled an event hosted at the U.S. Chamber of Commerce headquarters today, March 9th at 9:30AM, comes at a time when AI is projected to increase global economic growth by $13 trillion by the end of the decade. AI is helping address nursing shortages in hospitals through patient monitoring, mapping wildfire paths to speed response times for emergency management officials, and broadening inclusion of financial institutions through the expansion of job applicant pools and new avenues of credit. In addition to its many uses now and into the future, policymakers need to be informed about the possible negative applications of AI.  本日3月9日午前9時30分から米国商工会議所本部で開催されるイベントで発表されるこの報告書は、AIが10年後までに世界の経済成長を13兆ドル増加させると予測されている時期に発表された。AIは、患者のモニタリングを通じて病院の看護師不足に対処し、山火事の経路をマッピングして緊急管理当局の対応時間を短縮し、求職者プールの拡大や新しい信用手段の拡大を通じて金融機関の包容力を高めている。現在および将来にわたる多くの用途に加え、政策立案者は、AIが起こりうるネガティブな用途についても知っておく必要がある。 
"AI presents unique challenges from national security implications to privacy concerns to ensuring that harmful biases are not hardwired into the next generation of technological systems to potential large scale job disruptions," said co-chairman of the AI Commission and former U.S. Representative John Delaney (D-MD). "We must address these issues in a clear-eyed fashion, harness the enormous economic and quality of life potential that can flow from AI innovation and protect the rights of all Americans. This will require close coordination and collaboration between government and industry."  AI委員会の共同議長であり、元米国下院議員のジョン・デラニー(民主党)は、次のように述べた。「AIは、国家安全保障への影響からプライバシーへの懸念、有害なバイアスが次世代技術システムに組み込まれないようにすること、大規模な雇用破壊の可能性まで、独自の課題を抱えている」。 AI委員会の共同議長であり、元米国下院議員であるジョン・デラニー(民主党)は、次のように述べた。「我々は、これらの問題に明確な視点で取り組み、AIイノベーションによってもたらされる経済と生活の質の膨大な可能性を活用し、すべてのアメリカ人の権利を保護しなければならない。そのためには、政府と産業界の緊密な連携と協力が必要である。」
Given the important role the business community will play in the deployment and management of AI, the Chamber launched the Commission last year, co-chaired by former Congressman Delaney and Mike Ferguson (R-NJ). Commissioners met over the course of a year with more than 87 expert witnesses during five separate field hearings across the U.S. and in London. AIの展開と管理において経済界が果たす重要な役割を考慮し、商工会議所は昨年、デラニー元議員とマイク・ファーガソン(ニュージャージー州選出)を共同委員長とする委員会を立ち上げた。委員たちは、全米とロンドンでの5回にわたる現地公聴会で、87人以上の専門家証人と1年かけて会談した。
By contrast, last fall the White House Office of Science and Technology Policy released a Blueprint on Artificial Intelligence, which included recommendations that would hamper America’s ability to compete globally and included overly broad technical definitions that would subject basic computing systems to oversight and regulations, the U.S. Chamber said at the time. これに対し、昨年秋にホワイトハウスの科学技術政策室が発表した「人工知能に関する青写真」には、米国の国際競争力を阻害するような提言や、基本的な計算機システムを監視・規制の対象とするような過度に広範な技術的定義が含まれていたと、米国商工会議所は当時述べている。 
“The Commission’s work considered many different viewpoints and perspectives to strike the correct balance and provide the best recommendations on AI,” said Ferguson. “This report, and specifically our recommendations, will provide government officials, private industry, and advocacy groups with a set of key principles to adhere to in building a regulatory framework and industry best practices.”    「委員会の作業は、正しいバランスを取り、AIに関する最良の勧告を提供するために、多くの異なる視点と観点を考慮した。とファーガソンは述べている。"この報告書、特に我々の提言は、政府関係者、民間企業、支援団体に、規制の枠組みや業界のベストプラクティスを構築する際に遵守すべき一連の重要な原則を提供するものである。」
Findings  調査結果 
In the report, the Commission outlined several major findings from its year-long deep dive on AI:  報告書の中で、委員会は、1年にわたるAIに関する深堀りから得られたいくつかの主要な知見を概説した。 
 ・The development of AI and introduction of AI-based systems are growing exponentially. Over the next 10-20 years, virtually every business and government agency will be using AI. This will have a profound impact upon society, the economy and national security.    ・AIの開発とAIベースのシステムの導入は、指数関数的に増加している。今後10~20年の間に、事実上すべての企業や政府機関がAIを利用するようになる。これは、社会、経済、国家安全保障に大きな影響を与えるでしょう。  
・Future advances in customer services and productivity gains—as well as the emergence of new security threats—will be powered by AI, and, therefore, failure to smartly regulate AI will harm the economy, potentially diminish individual rights, and constrain the development and introduction of beneficial technologies.   ・顧客サービスの向上や生産性の向上、また新たな安全保障上の脅威の出現は、AIによってもたらされるため、AIをスマートに規制しないことは、経済に悪影響を与え、個人の権利を低下させる可能性があり、有益な技術の開発や序文を制約することになる。  
・The U.S., through its technological advantages, well-developed system of individual rights, advanced legal system, and interlocking alliances with democracies worldwide, is uniquely situated to lead this effort. The U.S. must act to ensure future economic growth, provide for a competitive workforce, maintain a competitive position in a global economy and address future national security needs.   ・米国は、その技術的優位性、発達した個人の権利制度、先進的な法制度、そして世界中の民主主義国家との連動性を通して、この取り組みをリードするユニークな立場にある。米国は、将来の経済成長を確保し、競争力のある労働力を提供し、グローバル経済における競争力を維持し、将来の国家安全保障のニーズに対応するために行動しなければならない。  
・Policies and initiatives to both enforce existing and craft new laws and rules for the development of responsible AI and its ethical deployment must be a top priority for this and future administrations and congresses.  ・責任あるAIの開発とその倫理的な展開のために、既存の法律やルールを強化し、新しい法律やルールを作る政策とイニシアチブは、現在および将来の政権と議会にとって最優先事項でなければならない。 
Risk-Based Regulatory Framework and other Recommendations  リスクベースの規制フレームワークとその他の提言 
The report identified workforce preparation, global competitiveness, and national security as top priorities policymakers must address in order to promote the responsible adoption and use of AI and establish a risk-based regulatory framework to limit risks 報告書は、AIの責任ある導入と利用を促進し、リスクを抑えるためのリスクベースの規制枠組みを確立するために、政策立案者が取り組むべき最優先事項として、労働力の準備、国際競争力、および国家安全保障を挙げている。 
The report’s regulatory framework called for the following, among many other recommendations (for more see the full report here):   報告書の規制の枠組みは、他の多くの提言の中で、以下のことを求めている(詳しくは報告書全文をご覧ください)。  
Using Existing Law, Fill Gaps in Existing Regulations: Appropriate enforcement of existing laws and regulations provides regulatory certainty and would help inform policymakers in developing future laws and regulations. Moreover, lawmakers should focus on filling gaps in existing regulations to accommodate new challenges created by AI.   既存法の利用、既存規制のギャップを埋める: 既存の法律や規制を適切に執行することは、規制の確実性をもたらし、政策立案者が将来の法律や規制を策定する際の参考となるであろう。さらに、法律家は、AIが生み出す新たな課題に対応するために、既存の規制の隙間を埋めることに注力すべきである。  
Technology Neutral Laws: Laws should be technology-neutral and focus on applications and outcomes of AI, not the technologies themselves (e.g. machine learning, AI, language learning, et al.). Laws regarding AI should be created only as necessary to fill gaps in existing law, protect citizens’ rights, and foster public trust. This approach to AI regulation allows for the development of flexible, industry-specific guidance and best practices.   技術中立な法律:法律は技術に中立的であるべきであり、技術そのものではなく、AIの適用と結果に焦点を当てるべきである(例:機械学習、AI、言語学習、その他など)。AIに関する法律は、既存の法律の隙間を埋め、市民の権利を保護し、社会的信頼を醸成するために必要な場合にのみ作成されるべきである。AI規制に対するこのアプローチは、柔軟で業界特有のガイダンスやベストプラクティスを開発することを可能にする。  
Government Collaboration: Federal interagency collaboration is vital in developing cohesive regulation of AI across the government. AI use is cross-cutting, complex, and rapidly changing and will require a strategic and coordinated approach among agencies.    政府の協力:政府全体でAIに関する一貫した規制を策定するには、連邦政府機関の協力が不可欠である。AIの利用は横断的で複雑、かつ急速に変化しており、省庁間の戦略的かつ協調的なアプローチが必要となる。   
Private Sector Solutions: Laws and regulations should encourage private sector approaches to risk assessment and innovation. Policymakers should encourage best practices developed collaboratively by the private sector, technical experts, civil society, and the government.    民間セクターの解決策:法律や規制は、リスク評価とイノベーションに対する民間セクターのアプローチを奨励すべきである。政策立案者は、民間企業、技術専門家、市民社会、政府が共同で開発したベストプラクティスを奨励すべきである。   
Workforce AI Training and Development: Policymakers must take action to understand the potential impact of AI on the American workforce by leveraging new data sources and advanced analytics to understand the evolving impact of AI Next, the U.S. must increase education around AI in both the K-12 and higher education systems. Finally, the public and private sectors must invest in training and reskilling to the future workforce and Congress must increase the AI talent pool through targeted refinements to the H-1B visa process. These actions would minimize disruptions to the American workforce and maximize the positive role AI could have on it.     労働力 AI の訓練と開発: 政策立案者は、新しいデータソースと高度な分析を活用して、AIが米国の労働力に及ぼす潜在的な影響を理解するために行動を起こす必要がある。 次に、米国は、幼稚園から高校までの教育システムの両方で、AIに関する教育を強化しなければならない。最後に、官民は将来の労働力に対するトレーニングと再スキルアップに投資しなければならず、議会はH-1Bビザ・プロセスの的を絞った改良を通じてAI人材プールを増やす必要がある。これらの行動は、アメリカの労働力への混乱を最小限に抑え、AIが持ちうるポジティブな役割を最大化するものである。    
Global Competitiveness and Collaboration with Allies: With China and the U.S. in a race to be the global AI leader, U.S. officials must collaborate with key partners and allies to develop more sensible global governance frameworks that advance our common democratic goals and values. This includes adequate protecting of AI-enabled intellectual property. Furthermore, the U.S. Patent and Trademark Office needs more resources to speed the review of AI-related public patent applications.   グローバルな競争力と同盟国との協働:中国と米国が世界のAIリーダーになるための競争を繰り広げている中、米国当局は、主要なパートナーや同盟国と協力して、共通の民主的目標と価値を高めるより賢明なグローバルガバナンスの枠組みを開発しなければならない。これには、AIを可能にする知的財産の適切な保護が含まれる。さらに、米国特許商標庁は、AI関連の公開特許出願の審査を迅速化するために、より多くのリソースを必要としている。  
AI-Enabled National Security Systems: The U.S. should look to open investment opportunities for AI-enabled systems to our like-minded countries and allies. Additionally, the U.S. should invest heavily in new ways of testing, evaluating, verifying, and validating military AI-systems to ensure that they are used safely.   AIを活用した国家安全保障システム:米国は、AI対応システムへの投資機会を、志を同じくする国や同盟国に開放することを検討すべきである。さらに、米国は、軍事用AIシステムが安全に使用されることを保証するために、テスト、評価、検証、妥当性確認の新しい方法に多額の投資を行うべきである。  

 


 

日本のAIのガイドが省庁(テーマ)毎にわりと網羅的に記載されているので、参考になります。。。

PwC Japan

・2023.03.13 想定されるリスクと各国の法規制

 

まるちゃんの情報セキュリティ気まぐれ日記

米国...

・2023.03.11 NIST ホワイトペーパー NIST AI 100-2e2023(ドラフト)敵対的機械学習:攻撃と防御の分類と用語集

・2023.03.08 米国 情報技術産業協会 (ITI) AIに関する新たな政策提言を発表 (2023.03.02)

・2023.01.27 NIST AIリスクフレームワーク

・2022.12.05 日本内部監査協会 COSO「人工知能の可能性を最大限に実現する」 (2022.11.21)

・2022.11.11 NIST ホワイトペーパー 【プロジェクト概要】コンテキストにおけるAI/MLバイアスの緩和

・2022.10.07 米国 科学技術政策局 AI権利章典の青写真

・2022.09.20 米国 ITI AIシステムの透明性を実現するためのグローバルな政策原則 (2022.09.15)

・2022.08.24 NIST 意見募集 AIリスクマネジメントフレームワーク(第2ドラフト)とそのプレイブック

・2022.08.19 NIST ホワイトペーパー(ドラフト) コンテキストにおけるAI/MLバイアスの緩和

・2022.07.31 スタンフォード大学 AI監査のアイデア募集 賞金総額は約1000万円 (^^) (2022.07.11)

・2022.07.21 米国 国土安全保障省検査局 米国税関・国境警備局は空港での国際線旅行者の識別のために顔認識のポリシーを遵守している (2022.07.07)

・2022.06.02 米国 GAO 消費者保護:議会は消費者ランク付けに使用されるスコアに関する保護の強化を検討すべき (2022.05.26)

・2022.06.01 米国 消費者金融保護局 AIを使った与信結果についても消費者にその理由を説明しなければならない

・2022.05.17 AIサプライチェーンリスク (米国下院 科学・宇宙・技術委員会での証言から)(2022.05.11)

・2022.04.30 米国 GAO ブログ 人工知能は国家安全保障をどう変えるか (2022.04.19)

・2022.03.22 NIST 意見募集 AIリスクマネジメントフレームワーク(初期ドラフト)

・2022.03.21 NIST SP1270 人工知能におけるバイアスの識別と管理の標準化に向けて

・2022.03.20 米国 ピュー研究所 AIと人間強化についての調査

・2022.02.08 米国 下院 アルゴリズム説明責任法案 2022

・2021.12.23 CSET AIと偽情報キャンペーンの未来 パート1:RICHDATAフレームワーク

・2021.12.23 米国 購買担当職員に対するAIトレーニング法が上院を通過

・2021.07.23 U.S. GAO 人工知能のための新しい枠組み at 2021.06.30

・2021.06.25 NIST SP1270 Draft 人工知能におけるバイアスの識別と管理

・2021.06.24 MITRE ATLASでAIの脅威から守る

・2021.05.10 米国連邦政府 人工知能イニシアティブ

・2021.04.21 U.S. FTC(連邦取引委員会) のブログ 会社でAIを活用する場合は真実、公正、公平を目指そう、という記事がありますね。。。

・2021.03.31 米国 CSET AI安全性の主要概念:概要

・2020.11.30 米国 OMBが「人工知能アプリケーション規制のためのガイダンス」を発行

・2020.09.12 2024年までに戦闘機でAIパイロットをテストすることを含め、米国はAIの軍事利用で世界をリードする by エスパー国防長官

・2020.08.21 NISTはAIに自己説明を求める?(説明可能な人工知能の4原則)

・2020.06.15 カーネギーメロン大学 ソフトウェア研究所 AIエンジニアリングのリスク管理の視点

・2020.05.04 米国国防省と人工知能(戦略と倫理)

 

日本

2022.08.31 産総研 「機械学習品質マネジメントガイドライン 第3版」「機械学習品質評価・向上技術に関する報告書第2版」(2022.08.02)

2022.08.09 経済安全保障関係 「経済安全保障重要技術育成プログラムにかかる研究開発ビジョン検討WG の検討結果について(報告)」のサイバーセキュリティ関係...

2022.07.26 総務省 AIネットワーク社会推進会議 「報告書2022」

2022.05.02 内閣府 AI戦略2022 (2022.04.22)

・2022.04.03 日本クラウド産業協会(ASPIC) AI クラウドサービスの情報開示認定制度

・2022.02.17 総務省 「AIを用いたクラウドサービスに関するガイドブック」の公表+AIを用いたクラウドサービスの安全・信頼性に係る情報開示指針(ASP・SaaS編)

・2022.01.29 経済産業省 AI原則実践のためのガバナンス・ガイドライン ver. 1.1

2021.08.07 総務省 AIネットワーク社会推進会議 「報告書2021」の公表

2021.02.16 IPA 2018年10月に発刊されたAI白書2019のPDF版を公開

・2020.03.31 AI 倫理指針の動向とパーソナル AI エージェント by 中川裕志先生   AI 原則は機能するか?―非拘束的原則から普遍的原則への道筋 by 新保史生先生

 

中国...

・2022.12.23 中国 インターネット情報サービス深層合成管理規定についての専門家のコメント... (2022.12.12)

・2022.12.17 中国 インターネット情報サービス深層合成管理規定 (深層合成で作ったものにはマークを...)(2022.11.25)

・2022.08.15 中国 国家サイバースペース管理局 インターネット情報サービスのアルゴリズム申請に関する情報公開の公告

・2022.04.25 中国 人工知能白書 2022 (2022.04.12)

・2022.01.30 中国 国家サイバースペース管理局 意見募集 インターネット情報サービスの深層合成の管理に関する規定(意見募集稿)

・2022.01.05 中国 インターネット情報サービスのアルゴリズム推奨管理規則

・2021.08.28 中国 意見募集 国家サイバースペース管理局 「インターネット情報サービスのアルゴリズムによる推奨に関する管理規定」

・2020.11.10 中国 TC260 パブコメ AI倫理に関するガイドライン案

 

 

英国...

・2022.12.10 英国 データ倫理・イノベーションセンター「業界温度チェック:AI保証の障壁と実現要因」

・2022.11.06 英国 データ倫理・イノベーションセンター データおよびAIに対する国民の意識:トラッカー調査(第2回)

・2022.10.19 イングランド銀行 「第2回調査 英国の金融業界における機械学習」とディスカッションペーパー「人工知能と機械学習」についての意見募集 (2022.10.11)

・2022.10.28 英国 ICO 未熟なバイオメトリクス技術は人を差別する可能性がある「バイオメトリクス洞察レポート」「バイオメトリクス予見レポート」

・2022.05.30 英国 情報コミッショナー 顔認識データベース会社Clearview AI Incに750万ポンド以上の罰金を科し、英国人のデータの削除を命じた

・2021.12.19 英国 AIバロメータ21 公表

・2021.12.09 英国 AI保証に向けたロードマップを公表(AI認証制度?)

・2021.04.21 英国政府 データ倫理とイノベーションセンターのブログ AIの保証についての3つの記事

・2021.09.24 英国 国家AI戦略

・2020.12.20 UK ICO 雇用決定にアルゴリズムを使用する際に考慮すべき6つのこと

 

欧州他...

・2023.01.08 ノルウェー 個人データ保護局 AI利用における透明性についての報告書 (2022.12.21)

・2022.12.21 世界経済フォーラム (WEF) 製造業における人工知能から価値を解き放つ (2022.12.12)

・2022.12.08 EU理事会 AI法に関する見解を採択

・2022.09.30 欧州委員会 AI責任指令案

・2022.09.23 ⽇欧産業協⼒センター 欧州デジタル政策 (Vol.1-3)

・2022.06.18 英国 Ada Lovelace 協会: EUのAI法について説明 (2022.04.11)

・2022.05.23 ハンガリー AIを利用したコールセンターでの顧客対応がGDPR違反と判定された事例(ハンガリー銀行)

・2022.05.12 世界経済フォーラム (WEF) 「AI Procurment in a Box」を使ってみる:実装からのインサイト

・2022.05.05 フランス CNIL AIについてのリンク集 (2022.04.05)

・2022.04.20 AIガバナンスの標準? ISO/IEC 38507:2022 Information technology — Governance of IT — Governance implications of the use of artificial intelligence by organizations

・2022.04.20 米国 商務省 国家AI諮問委員会に27名を任命

・2022.02.24 OECD AIシステム分類のためのOECDフレームワーク

・2021.12.15 ENISA 機械学習アルゴリズムの保護

・2021.12.05 欧州理事会 AI法改正案を欧州議会に提出

・2021.10.24 豪州 ビクトリア州  人工知能とプライバシーに関する報告書(2つ)

・2021.09.09 紹介 AIインシデントデータベース

・2021.06.30 WHO 保健のための人工知能の倫理とガバナンス

・2021.06.28 EU 外交政策ツールとしての人工知能ガバナンス

・2021.06.22 欧州保険職業年金局 (EIOPA) 欧州保険セクターにおける倫理的で信頼できるAIガバナンス原則に関するレポートを公表

・2021.05.07 ドイツ連邦情報セキュリティ局 (BSI) が「監査可能なAIシステムを目指して - 現状と今後の展望」を公表しています

・2020.12.18 ENISA AI サイバーセキュリティのチャレンジ - AI脅威状況報告を公表していますね。

・2020.10.25 『スマートサイバー AI活用時代のサイバーリスク管理』第24回 サイバー犯罪に関する白浜シンポジウムの発表資料

・2020.05.01 (人工知能 AI)ブラックボックスの検証:アルゴリズムシステムを評価するためのツール - アルゴリズムの監査・影響評価のための共通言語の特定

・2020.03.28 EU Ethics Guidelines for Trustworthy AI(信頼できるAIのためのEU倫理ガイドライン)

・2020.02.27「AI倫理に関する現状」芳田千尋氏

 

 

おまけ...

・2022.06.23 自己保存欲を学習したAIの行く末

・2022.02.25 ISACA Journalに記事が載りました!!! 農業 ✖️ AI ✖️ COBIT です (^^)

・2020.06.26 人間が間違うなら、人間を模倣したAIも間違うんでしょうね。。。

 

 

| | Comments (0)

CISA より多くの若い女性をサイバーセキュリティに導くためにガールスカウトUSAと連携を強化

こんにちは、丸山満彦です。

CISAがWomen in CyberSecurityがパートナーシップ契約に続いて、ガールスカウトとも戦略的な提携をするようですね。。。サイバーと技術におけるジェンダーギャップの解消につながると良いですね。。。

 

CISA

・2023.03.13 CISA and Girl Scouts of the USA Strengthen Collaboration to Bring More Young Women into Cybersecurity 

CISA and Girl Scouts of the USA Strengthen Collaboration to Bring More Young Women into Cybersecurity  CISAとガールスカウト・オブ・USA、より多くの若い女性をサイバーセキュリティに導くために連携を強化 
WASHINGTON – The Cybersecurity and Infrastructure Security Agency (CISA) and Girl Scouts of the USA (GSUSA) announced a new memorandum of understanding (MOU) today that formalizes the collaboration between the two organizations in their pursuit to bridge the gender gap in cybersecurity.   ワシントン - サイバーセキュリティおよびインフラストラクチャ・セキュリティ庁(CISA)とガールスカウト米国連盟(GSUSA)は本日、サイバーセキュリティにおけるジェンダーギャップを埋めるために、両組織の協力を正式に表明する新しい覚書を発表した。  
According to a recent report by Women in CyberSecurity (WiCyS) and Cybersecurity Ventures, only about 25% of the global cybersecurity workforce is currently comprised of women. Yet, women make up 51% of the population. Without women pursuing careers in cybersecurity, the industry is missing out on a huge portion of the population’s talent pool. To close this gap, it is critical foster an interest in cybersecurity in young girls - even as early as grade school.   Women in CyberSecurity (WiCyS) とCybersecurity Venturesの最新レポートによると、現在、世界のサイバーセキュリティの労働力のうち、女性はわずか25%に過ぎない。しかし、女性は人口の51%を占めている。女性がサイバーセキュリティのキャリアを追求しなければ、この業界は人口の膨大な部分の人材プールを取りこぼしてしまうことになる。このギャップを埋めるには、若い女性にサイバーセキュリティへの興味を持たせることが重要である。
“Yesterday, the Girl Scouts celebrated their 111th birthday and as we kick off Girl Scouts Week, I can’t think of a better way to recognize their impact on every community in America than to formalize our relationship so we can continue to work together to train the next generation of cybersecurity talent our nation so badly needs,” said CISA Director Jen Easterly. “It will take real collaboration to close the cybersecurity gender gap and I am thrilled to strengthen and solidify an already fantastic collaboration with GSUSA to help us get there. CISA and GSUSA share a common goal to close the gender gap in technology and to inspire the next generation of cybersecurity leaders.”  CISAディレクターJen Easterlyは次のように述べた。「昨日、ガールスカウトは111回目の誕生日を迎えましたが、ガールスカウト週間を迎えるにあたり、私たちの関係を正式なものとし、わが国が強く求める次世代のサイバーセキュリティ人材を育成するために協力し続けること以上に、米国のあらゆるコミュニティに対する彼らの影響を認識する方法はないでしょう。サイバーセキュリティのジェンダーギャップを解消するためには、真の協力が必要であり、そのためにGSUSAとのすでに素晴らしい協力関係を強化し、強固なものにできることを嬉しく思います。CISAとGSUSAは、テクノロジーにおけるジェンダーギャップを解消し、次世代のサイバーセキュリティリーダーを鼓舞するという共通の目標を共有しています。」
CISA and GSUSA already have a history of working together. In 2017, CISA provided thought collaboration and helped steer the creation of GSUSA’s 18 cybersecurity badges. In less than five years, more than 315,00 cybersecurity badges have been earned by Girl Scouts. Additionally, in 2021, the Department of Homeland Security and CISA partnered with CYBER.ORG and GSUSA to launch the 2021 Girl Scout Cyber Awareness Challenge to help develop the next generation of diverse cybersecurity talent and strengthen our nation’s cybersecurity resilience. CISAとGSUSAは、すでに協力し合ってきた歴史があります。2017年、CISAは思想的な協力を行い、GSUSAの18のサイバーセキュリティバッジの作成の舵取りを支援した。5年足らずの間に、315,00以上のサイバーセキュリティバッジがガールスカウトによって獲得されています。さらに、2021年には、国土安全保障省とCISAがCYBER.ORGおよびGSUSAと提携し、次世代の多様なサイバーセキュリティ人材を育成し、我が国のサイバーセキュリティのレジリエンスを強化するために「2021ガールスカウトサイバー啓発チャレンジ」を開始した。
Looking ahead, in July 2023, the agency will participate in the 2023 Girl Scout Convention at Phenom by Girl Scouts. CISA will also continue to share tips for girls and their families to stay safe online, not only as they navigate our increasingly digital world, but also as they learn entrepreneurship skills when selling their famous Girl Scout Cookies®.   今後、2023年7月には、Phenom by Girl Scoutsで開催される2023年ガールスカウト大会に参加する予定である。また、CISAは、女の子とその家族が、ますますデジタル化する世界を航海するだけでなく、有名なガールスカウトクッキー®を販売する際に起業家精神を学ぶため、オンラインで安全に過ごすためのヒントを引き続き共有する予定である。
This MOU builds on CISA’s work to ensure the field of cybersecurity reflects the diversity of America because such diversity translates into diversity of thought, enabling better problem-solving. Closing the gender gap in cybersecurity can ease the cyber workforce shortage, which in turn will make the nation more ready and prepared to take on the threats of today and those of tomorrow.  このMOUは、サイバーセキュリティの分野がアメリカの多様性を反映するようにするためのCISAの活動を基礎とするものである。サイバーセキュリティ分野における男女の格差をなくすことは、サイバー人材不足を解消することにつながり、ひいては、今日の脅威と明日の脅威に対抗するための国家の準備と覚悟をより強固なものにする。
Last week, CISA announced an MOU with WiCyS and is already working to participate in their mentoring program which matches women working in cyber with newer women in the field.  先週、CISAはWiCySとのMOUを発表し、サイバー業界で働く女性と新人の女性をマッチングするメンタープログラムへの参加に既に取り組んでいる。

 

Girl Scouts USA

1_20230314064401

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.03.14 CISA より多くの若い女性をサイバーセキュリティに導くためにガールスカウトUSAと連携を強化

・2023.03.14 CISAとWomen in CyberSecurityがパートナーシップを強化し、サイバーと技術におけるジェンダーギャップを解消へ

| | Comments (0)

CISAとWomen in CyberSecurityがパートナーシップを強化し、サイバーと技術におけるジェンダーギャップを解消へ

こんにちは、丸山満彦です。

CISAがWomen in CyberSecurityがパートナーシップ契約を締結したようですね。。。サイバーと技術におけるジェンダーギャップの解消につながると良いですね。。。

頭を使う仕事ではジェンダーによる能力差というのはほとんどないように思うのですが、世界的にみてサイバー業界は男性が多いようです。(日本は社会全体のジェンダーギャップが大きいので、さらにすごいのでしょうが。。。)

ジェンダーに関係なく活躍できる社会というのはサイバーセキュリティ業界においても重要で、結果的に社会のためにもなるので、日本でも例えば、NISCとWomen in CyberSecurity Japanが連携してMOUの締結とかするとかね。。。

 

1_20230314060201

 

CISA

・2023.03.09 CISA and Women in CyberSecurity Strengthen Partnership to Bridge Gender Gap in Cyber and Tech

​​​​​​​CISA and Women in CyberSecurity Strengthen Partnership to Bridge Gender Gap in Cyber and Tech CISAとWomen in CyberSecurityがパートナーシップを強化し、サイバーと技術におけるジェンダーギャップを解消へ
WASHINGTON – Today, in recognition of International Women’s Day, the Cybersecurity and Infrastructure Security Agency (CISA) is pleased to announce the signing of a Memorandum of Understanding (MOU) with Women in CyberSecurity (WiCyS) in order to work even closer together to bridge the gender gap in cybersecurity.   ワシントン - 本日、国際女性デーにちなみ、サイバーセキュリティおよびインフラストラクチャ・セキュリティ庁(CISA)は、サイバーセキュリティにおけるジェンダーギャップを埋めるためにさらに緊密に協力するため、Women in CyberSecurity(WiCyS)と覚書(MOU)に署名したことを発表する。  
The MOU outlines opportunities for the two organizations to formally partner on bringing awareness to the incredible careers in the industry and building a pipeline for the next generation of women in cybersecurity. WiCyS, a nonprofit organization dedicated to recruiting, retaining and advancing women in cybersecurity, shares a common interest with CISA to close the gender gap in technology and inspire the next generation of cybersecurity leaders.   この覚書は、両団体が正式に提携し、サイバーセキュリティ業界における素晴らしいキャリアを認知させ、次世代のサイバーセキュリティ分野の女性のためのパイプラインを構築するための機会を概説するものである。WiCySは、サイバーセキュリティ分野の女性の採用、維持、昇進を目的とする非営利団体で、技術分野の男女格差を解消し、次世代のサイバーセキュリティ・リーダーを育成するというCISAと共通の関心を持っている。 
“As a senior leader in cyber, one of my top priorities is to inspire more women and girls to see themselves in cyber and join this exciting and impactful field,” said CISA Director Jen Easterly. “I was thrilled last year to join WiCyS at their annual conference where I announced a call to action of achieving 50% women and underrepresented minorities in the cybersecurity field by 2030. Today as we celebrate International Women’s Day, I can’t think of a better way to celebrate than to formalize our partnership and shared mission to bring more women into cybersecurity.”   CISAディレクターのJen Easterlyは、つぎのようにのべている。「サイバー分野のシニアリーダーとして、より多くの女性や少女がサイバー分野で活躍し、この刺激的で影響力のある分野に参加するよう促すことが私の最優先事項の1つである。私は昨年、WiCySの年次総会に参加し、2030年までにサイバーセキュリティ分野で女性や少数民族の割合を50%にするという行動指針を発表し、大変感激した。今日、私たちは国際女性デーを迎え、より多くの女性をサイバーセキュリティ分野に取り込むという私たちのパートナーシップと共通の使命を正式に表明すること以上に素晴らしい祝福の方法はないと思っている。 」
"We’re thrilled to be partnering with CISA to strengthen the community of women in cybersecurity and the greater cybersecurity workforce. Our collaboration will ensure that more women and other under-represented groups will have the tools and resources to jumpstart their career in cyber and be supported throughout their journey,” said Lynn Dohm, executive director of WiCyS. “CISA’s goals align perfectly with WiCyS’ mission to develop a stronger, more inclusive workforce, and we look forward to collaborating with CISA to recruit and retain more women in the field.”  WiCySのエグゼクティブディレクターであるLynn Dohmは、次のように述べている。「CISAと提携し、サイバーセキュリティ分野の女性コミュニティとサイバーセキュリティ分野の労働力を強化できることを大変嬉しく思いる。私たちの協力により、より多くの女性やその他の代表的でないグループが、サイバー分野でキャリアをスタートさせるためのツールやリソースを持ち、その旅を通してサポートを受けられるようになるでしょう。CISAの目標は、より強く、より包括的な労働力を開発するというWiCySのミッションと完全に一致しており、我々は、この分野でより多くの女性を採用し、維持するためにCISAと協力することを楽しみにしている。 」
One activity the organizations will first pursue is CISA’s participation in WiCyS’ mentorship program. This program matches professional women in cyber with those women new to the field to help them prepare for advancement at all levels of their cybersecurity career.   組織が最初に進める活動のひとつが、CISAがWiCySのメンターシップ・プログラムに参加することである。このプログラムは、サイバーセキュリティのキャリアのあらゆるレベルで昇進するための準備を支援するために、サイバー分野のプロの女性と、この分野に新しく参入した女性をマッチングするものである。  
The cybersecurity workforce shortage is not only a concern within the U.S. government, but across the industry and across the nation. Watch Director Easterly’s remarks at the 2022 Women in CyberSecurity Annual Conference. サイバーセキュリティの人材不足は、米国政府内だけでなく、業界全体、そして国全体が懸念していることである。 2022 Women in CyberSecurity Annual Conferenceでのイースタリー局長の発言をご覧ください。

 

 

Women in CyberSecurity

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.03.14 CISA より多くの若い女性をサイバーセキュリティに導くためにガールスカウトUSAと連携を強化

・2023.03.14 CISAとWomen in CyberSecurityがパートナーシップを強化し、サイバーと技術におけるジェンダーギャップを解消へ

| | Comments (0)

CISA モバイルアプリの審査サービス(ベータ版)の提供を開始

こんにちは、丸山満彦です。

CISAがモバイルアプリの審査サービス(ベータ版)の提供を開始したとブログで公表されていますね。。。

海外出張に行ったりする時にも携帯必要ですからね。。。どんなアプリが安全かは調べないとわからないわけですから、こういう仕組みが必要なんでしょうね。。。

 

CISA - News - Blog

・2023.03.09 Under the Promise of Early Success, CISA Expands its Beta Mobile App Vetting Service 

Under the Promise of Early Success, CISA Expands its Beta Mobile App Vetting Service CISA、モバイルアプリの審査サービス(ベータ版)の提供を開始
By Jim Sheire, Branch Chief for CISA’s Cybersecurity Shared Services Office  CISAのサイバーセキュリティシェアードサービスオフィスのブランチチーフであるJim Sheire氏によるものである。 
Mobile devices are an integral part of our everyday operations, and their growing prevalence provides more than simple convenience within the federal space. Unfortunately, increased connectivity has also expanded the threat landscape, leaving the government vulnerable to bad applications (apps) that jeopardize the security of its systems.    モバイルデバイスは私たちの日常業務に不可欠な要素であり、その普及は連邦政府の領域において単純な利便性以上のものをもたらしている。残念ながら、接続性の向上により脅威の状況も拡大し、政府はシステムのセキュリティを脅かす悪質なアプリケーション(アプリ)に対して脆弱な状態になっている。   
That is why CISA is proud to expand access to the Mobile App Vetting (MAV) service. CISA granted MAV an Authorization to Operate on February 8th, 2023, acknowledging the service’s key role in combating a growing risk of mobile app vulnerabilities threatening Federal Civilian Executive Branch (FCEB) agencies. Moreover, it is available at no cost to the user.  そのため、CISAはMobile App Vetting(MAV)サービスへのアクセスを拡大することを誇りに思っている。CISAは、連邦文民行政機関(FCEB)を脅かすモバイルアプリの脆弱性リスクの増大に対処する上で、このサービスが重要な役割を果たすことを認め、2023年2月8日にMAVに運営認可を付与した。しかも、ユーザーには無償で提供される。 
While many agencies will get to experience MAV’s capabilities for the first time in the coming months, a handful of early adopters are already deeply aware of its utility. When Customs and Border Protection (CBP) needed an enhanced app-vetting capability to strengthen its mobile security in early 2022, it turned to MAV to meet its needs.  今後数カ月で多くの機関がMAVの機能を初めて体験することになるが、一部のアーリーアダプターはすでにその有用性を深く認識しているようである。税関・国境警備局(CBP)は、2022年初頭にモバイルセキュリティ強化のためにアプリ審査機能の強化を必要とした際、そのニーズを満たすためにMAVに注目した。 
Currently, CBP uses MAV to vet its library of mobile apps for security concerns before deployment on the component’s pool of smartphones and tablets. A standout example of this is when CBP undertook vetting efforts for a third-party COVID-19 contact-tracing app. Here, MAV was able to detect several issues inherent to software’s iOS version. This discovery prompted CBP to cancel the app’s deployment, which consequently protected the security and integrity its mobile devices.  現在、CBPはMAVを使用してモバイルアプリのライブラリを審査し、スマートフォンやタブレットに展開する前にセキュリティ上の懸念がないかを確認している。その顕著な例が、CBPがサードパーティのCOVID-19接触追跡アプリの審査に取り組んだときのことである。このとき、MAVはソフトウェアのiOSバージョンに内在するいくつかの問題を検出することができた。この発見により、CBPはこのアプリの導入を中止し、結果的にモバイル機器のセキュリティと完全性を守ることができた。 
CBP’s Mobile Device Management and Engineering found great value in MAV’s prevention of poor coding. This protects government-furnished equipment (GFE) and the greater federal enterprise from unknowingly propagating vulnerabilities.  CBPのモバイルデバイス管理およびエンジニアリングは、MAVによる不適切なコーディングの防止に大きな価値を見出した。これにより、政府支給品(GFE)と連邦エンタープライズが、知らず知らずのうちに脆弱性が広まるのを防ぐことができた。 
Now that MAV is available to the greater FCEB community, agencies interested in using a timesaving, standards-backed, and field-tested mobile app-vetting service should consider CPB’s experience and work with CISA to safeguard their GFE. Eighteen agencies currently use MAV to identify vulnerabilities, flaws, and risks throughout various mobile use cases, which has enabled these participants to make risk-based decisions before using government-developed or third-party apps (e.g., Google Play Store, Apple App Store).  MAVがFCEBコミュニティで利用できるようになった今、時間を節約し、標準に裏付けされ、現場でテストされたモバイルアプリ審査サービスの利用に関心のある機関は、CPBの経験を考慮し、CISAと協力して自社のGFEを保護することを推奨する。現在、18の機関がMAVを利用して、さまざまなモバイルユースケースを通じて脆弱性、欠陥、リスクを特定しており、これらの参加者は政府開発またはサードパーティ製アプリ(Google Play Store、Apple App Storeなど)を使用する前にリスクに基づく決定を下すことができるようになった。 
For more information on the qualifications to receive one of MAV’s limited beta testing licenses, email  Visit our MAV website for information about this beneficial shared service.   MAVの限定ベータテストライセンスを受けるための資格についての詳細は ココまでメールで問い合わせること。この有益な共有サービスに関する情報は、CISAのMAVウェブサイトを参照のこと。  

 

Mobile Cybersecurity Shared Services

Mobile Cybersecurity Shared Services モバイルサイバーセキュリティシェアードサービス
The Cybersecurity and Infrastructure Security Agency’s (CISA) Cybersecurity Shared Services Office (CSSO) will offer mobile cybersecurity shared services focused on minimizing security risks to Government-Furnished Equipment (GFE) mobile devices—namely smartphones and tablet computers. Government personnel and leaders rely heavily on mobile devices for executing their agency’s missions, especially while away from their offices. The risk of compromise to GFE mobile devices and the applications (apps) on them could expose the backend enterprise systems supporting them to potentially damaging cyber-attacks. To enhance mobile security, the CSSO is preparing to offer two game-changing mobile cybersecurity shared services: Mobile Application Vetting (MAV) and Traveler-Verified Information Protection (T-VIP). See the following drop-down boxes for more insight into these innovative mobile cybersecurity shared services.  サイバーセキュリティおよびインフラストラクチャ・セキュリティ庁(CISA)のサイバーセキュリティ共有サービスオフィス(CSSO)は、政府支給品(GFE)のモバイルデバイス(スマートフォンやタブレットPCなど)のセキュリティリスクを最小限に抑えることに焦点を当てたモバイルサイバーセキュリティ共有サービスを提供する。政府職員やリーダーは、特にオフィスから離れている間、機関のミッションを遂行するためにモバイルデバイスに大きく依存している。GFEモバイルデバイスとその上のアプリケーション(アプリ)が危険にさらされると、それらをサポートするバックエンドのエンタープライズシステムが、潜在的に損害を与えるサイバー攻撃にさらされる可能性がある。モバイルセキュリティを強化するために、CSSOは2つの画期的なモバイルサイバーセキュリティ共有サービスを提供する準備を進めている。モバイルアプリケーションベッティング(MAV)とトラベラーベリフィケーション情報保護(T-VIP)である。これらの革新的なモバイル・サイバーセキュリティ共有サービスの詳細については、次のドロップダウンボックスを参照すること。

 

Movile Application Vetting (MAV)

1_20230314061401

Movile Application Vetting (MAV) MAV(Movile Application Vetting)とは
CISA’s MAV shared service facilitates security integrity checks of government-developed and third-party mobile apps that will be used on GFE mobile devices. The MAV shared service identifies app vulnerabilities and potential risks to mobile devices while increasing app and enterprise security. The service empowers government agencies to fix discovered issues and, more critically, prevent cyber-attacks on mobile devices and enterprise systems. For more information, read the Mobile App Vetting (MAV) Fact Sheet. CISAのMAV共有サービスは、GFEモバイルデバイスで使用される政府開発およびサードパーティ製モバイルアプリのセキュリティ完全性チェックを容易にする。MAV共有サービスは、アプリの脆弱性とモバイルデバイスの潜在的なリスクを特定し、アプリとエンタープライズのセキュリティを向上させる。このサービスにより、政府機関は発見された問題を修正し、さらに重要なこととして、モバイルデバイスやエンタープライズシステムに対するサイバー攻撃を防止することができる。 詳細については、「Mobile App Vetting (MAV) Fact Sheet」を参照すること。

・[PDF] MOBILE APP VETTING FACT SHEET

 

 

 

Treveler-Verified Information Protection (T-VIP)

1_20230314062001

Treveler-Verified Information Protection (T-VIP) トレベラー検証型情報保護(T-VIP)
CISA’s T-VIP shared service monitors the integrity of GFE mobile devices, including configuration, apps, firmware, hardware, and software. Government travelers need their GFE mobile devices to stay in contact while traveling to foreign countries, embassies, or external sites, often becoming prime targets for compromise. Since they cannot monitor what occurs “under the hood” of their mobile devices, comparisons of pre-travel and post-travel scans by T-VIP identifies suspicious changes on the devices made during their travels, thus increasing the security of sensitive government information. T-VIP supports many newer Apple and Samsung mobile devices and can be updated to support newly introduced devices. For more information, read the Traveler-Verified Information Protection (T-VIP) Fact Sheet. CISAのT-VIP共有サービスは、設定、アプリ、ファームウェア、ハードウェア、ソフトウェアなど、GFEモバイルデバイスの完全性を監視する。政府出張者は、外国、大使館、外部サイトへの出張中、GFEモバイルデバイスで連絡を取り合う必要があり、しばしば侵害の格好のターゲットになる。モバイルデバイスの "ボンネットの下 "で起きていることを監視できないため、T-VIPによる出張前と出張後のスキャンを比較することで、出張中にデバイス上で行われた疑わしい変更を特定し、政府の機密情報のセキュリティを向上させる。T-VIPは、多くの新しいAppleおよびSamsungのモバイルデバイスをサポートしており、新しく登場したデバイスをサポートするためにアップデートすることができる。 詳細については、Traveler-Verified Information Protection (T-VIP) Fact Sheetを参照のこと。


・[PDF] TRAVELER-VERIFIED INFORMATION PROTECTION SERVICE FACT SHEET




 

| | Comments (0)

NIST サイバーセキュリティ能力成熟度モデル(Ver2.1)からNISTサイバーセキュリティフレームワークへのマッピング

こんにちは、丸山満彦です。

NISTがサイバーセキュリティ能力成熟度モデル(Ver2.1)からNISTサイバーセキュリティフレームワークへのマッピングについて、意見募集を行っていますね。。。

参考まで。。。

 

NIST - ITL

・2023.03.09 Cybersecurity Capability Maturity Model to NIST Cybersecurity Framework Mapping

 

・[XLSX] C2M2 V2.1 to CSF Mapping (CSF as the focal document)

・[XLSX] CSF to C2M2 V2.1 Mapping (C2M2 as the focal document)

・[XLSX] C2M2 V2.1 to CSF Tiers Mapping (CSF as the focal document) 

 

ちなみに、最新のC2M2 Ver2.1は2022年6月にエネルギー省から公開されています。。。

● U.S. Department of Energy - Office of Cybersecurity, Energy Security, and Emergency Response

Cybersecurity Capability Maturity Model (C2M2)

・2022.06 [PDF] C2M2 Ver2.1

20230314-53808

 

| | Comments (0)

英国 会計検査院 (NAO) VFM報告書 政府におけるデジタルトランスフォーメーション:効率化を阻む障壁への対応

こんにちは、丸山満彦です。

日本のデジタル庁のお手本?である英国のデジタル庁的な中央デジタル・データオフィス(CDDO)の活動に対するValue for Money報告書を公表していますね。。。

デジタル庁の方が読んでも参考になると思います。おそらく似たような状況でしょうから。。。

 

こういうVFM監査という視点を日本の会計検査院も全面に出した方がよいと思います(必要におうじて法改正もして)。

 

National Audit Office

・2023.03.10 Digital transformation in government: addressing the barriers to efficiency

Digital transformation in government: addressing the barriers to efficiency 政府におけるデジタルトランスフォーメーション:効率化を阻む障壁への対応
Background to the report 報告書の背景
One of government’s main challenges is achieving efficiency savings. The civil service employs over half a million people in the UK and runs diverse operations and services, from collecting taxes and processing benefits claims to granting a rod fishing licence. In 2020-21, central government departments expected to spend £456 billion on the day-to-day running costs of public services, grants and administration. 政府の主な課題の1つは、効率的な削減を達成することである。公務員は英国で50万人以上を雇用し、税金の徴収や給付金請求の処理から竿釣り免許の付与まで、多様な業務やサービスを運営している。2020-21年、中央政府の各部門は、公共サービス、補助金、行政の日常的な運営コストに4,560億ポンドを費やすと予想される。
Digital transformation and modernisation of its services and data are instrumental in achieving efficiencies, with huge gains to be achieved if all government services were modernised. However, there are many challenges, and these will take many years to overcome. そのサービスとデータのデジタルトランスフォーメーションと近代化は効率化の実現に不可欠であり、すべての政府サービスが近代化されれば、大きな利益を得ることができる。しかし、多くの課題があり、克服するには長い年月がかかるだろう。
Across government, outdated IT systems and its ageing data are a key source of inefficiency and create a major constraint to improving and modernising government services. Many of these ageing systems were built several decades ago and are commonly referred to as ‘legacy’ systems. Their limitations and poor-quality data increase the cost of services. 政府全体では、時代遅れのITシステムとその老朽化したデータが非効率の主な原因であり、政府サービスの改善と近代化に対する大きな制約となっている。これらの老朽化したシステムの多くは数十年前に構築されたもので、一般に「レガシー」システムと呼ばれている。その制限や質の低いデータは、サービスのコストを増大させる。
In January 2021, the Cabinet Office created the Central Digital & Data Office (CDDO) to lead the digital, data and technology function across government. In June 2022, CDDO published ‘Transforming for a digital future: 2022 to 2025 roadmap for digital and data (which we refer to as ‘the Roadmap’) which seeks to address some of the underlying digital problems. 2021年1月、内閣府は政府全体のデジタル、データ、テクノロジー機能を主導する中央デジタル・データ局(CDDO)を設立した。2022年6月、CDDOは「Transforming for a digital future: 2022 to 2025 roadmap for digital and data」(私たちは「ロードマップ」と呼んでいる)を発表し、根本的なデジタル問題のいくつかに対処することを求めている。
Scope of the report 報告書の範囲
This report evaluates government’s approach to addressing the underlying issues of why past attempts at digital transformation have run into problems. We focus on the approach to transforming government, how the Central Digital and Data Office, its Roadmap and departmental leaders will support and promote this, and whether senior business leaders across government have a suitable level of digital capability. 本報告書は、過去のデジタル変革の試みがなぜ問題に陥ったのかという根本的な問題に取り組む政府のアプローチを評価するものである。政府を変革するためのアプローチ、中央デジタル・データ局、そのロードマップ、各部門のリーダーがどのようにこれを支援・推進するか、政府全体の上級ビジネスリーダーが適切なレベルのデジタル能力を備えているかどうかに焦点を当てている。
The report is in three parts: 本報告書は3部構成となっている。
Part One sets out the current landscape, drivers for change and government’s new approach 第1部では、現在の状況、変化の要因、政府の新しいアプローチについて述べている。
Part Two examines how government is undertaking its new approach 第2部では、政府がどのように新しいアプローチに取り組んでいるのかを検証する。
Part Three assesses how the Roadmap is addressing key challenges to digital transformation 第3部では、ロードマップがデジタルトランスフォーメーションの主要な課題にどのように対処しているかを評価する
Conclusions 結論
Government has established CDDO to provide fresh impetus to the digital transformation needed across government. CDDO has created its Roadmap as a framework to start addressing key systemic issues and encourage departments to take more urgent action to understand what will be required. Departments attempting to transform operational services and the associated legacy and data issues will be a major step in addressing the existing inefficiencies. CDDO has also created stronger levers for delivery, with permanent secretary-level sponsors and boards, compared with previous digital strategies. 政府は、政府全体で必要とされるデジタルトランスフォーメーションに新たな弾みをつけるため、CDDOを設立した。CDDOは、主要なシステム上の問題への取り組みを開始するための枠組みとしてロードマップを作成し、何が必要とされるかを理解するために、各省庁がより緊急に行動を起こすことを奨励している。各省庁が業務サービスや関連するレガシーやデータの問題を変革しようとすることは、既存の非効率性に対処するための大きな一歩となる。また、CDDOは、これまでのデジタル戦略と比べて、常任長官レベルのスポンサーや理事会など、より強力な実現手段を設けている。
CDDO is laying good foundations but many of the critical and more challenging milestones lie in the future. CDDO’s small budget and headcount are already affecting the intended reforms to government central functions’ treatment of digital programmes. In addition, departments are finding that, in current market conditions, they cannot acquire sufficient digital skills and expertise in their teams. CDDOは良い土台を築きつつあるが、重要でより困難なマイルストーンの多くは今後にある。CDDOの予算と人数が少ないため、政府の中央省庁がデジタルプログラムを扱う際に意図した改革にすでに影響を与えている。また、各省庁は、現在の市場環境では、チーム内で十分なデジタルスキルや専門知識を習得できないことに気づいている。
It is therefore too early to say if the aims of the Roadmap can be achieved. Many business leaders do not yet have the expertise required to comprehend and tackle the challenges the civil service faces in a digital age. Stronger digital expertise and capacity-building, sustained support from the centre of government and the continued goodwill of department senior business leaders are needed to maintain momentum. Without these, the Roadmap will peter out as its predecessors have done and government is unlikely to address the systemic issues and achieve the efficiencies the Roadmap has identified. したがって、ロードマップの目的が達成できるかどうかを判断するのは時期尚早である。多くのビジネスリーダーは、デジタル時代に公務員が直面する課題を理解し、それに取り組むために必要な専門知識をまだ持っていない。この勢いを維持するためには、デジタルに関するより強力な専門知識と能力開発、政府中央からの持続的な支援、そして省庁の上級ビジネスリーダーの継続的な好意が必要である。これらがなければ、ロードマップは前任者と同様に頓挫し、政府はロードマップが特定したシステム的な問題に取り組み、効率化を達成することは難しいだろう。

 

・[PDF] Report - Digital transformation in government

20230314-45536

 

概要版

・[PDF] Summary - Digital transformation in government 

20230314-45649

・[DOCX] 本文仮訳

 

 

プレスリリース

・2023.03.10 Digital transformation in government: addressing the barriers to efficiency

Digital transformation in government: addressing the barriers to efficiency 政府におけるデジタルトランスフォーメーション:効率化を阻む障壁への対応
For government to realise billions of pounds in efficiency savings, those running departments need to improve their understanding of digital transformation, a new NAO report says. 政府が数十億ポンドの効率化を実現するためには、各省庁を運営する人々がデジタルトランスフォーメーションへの理解を深める必要があると、英国会計検査院の新しい報告書が述べている。
‘Digital transformation in government: addressing the barriers to efficiency’ welcomes the stronger central function the Central Digital and Data Office’s (CDDO) provides in leading digital transformation. It also commends the CDDO’s fresh approach to helping government departments address longstanding challenges to digital transformation through its 2022 to 2025 roadmap for digital and data. 政府におけるデジタルトランスフォーメーション:効率化への障壁への対処」は、デジタルトランスフォーメーションを主導する中央デジタル・データ局(CDDO)の中央機能の強化を歓迎している。また、デジタルとデータのための2022年から2025年のロードマップを通じて、政府部門がデジタル変革に対する長年の課題に取り組むのを支援するCDDOの新しいアプローチも評価されている。
Earlier digital transformation attempts across government often prioritised simpler online interactions and merely layered new changes on top of existing services using old data and systems. This approach entrenched higher costs and earlier inefficiencies.1 政府全体におけるこれまでのデジタルトランスフォーメーションの試みは、よりシンプルなオンラインでのやり取りを優先し、古いデータやシステムを使った既存のサービスの上に、新しい変化を重ねるだけということが多かった。このアプローチは、より高いコストとより早い非効率性を定着させるものだった1。
The UK’s independent public spending watchdog has previously reported on the barriers to successful digital transformation and its effect on departments’ operations and efficiency. Our July 2021 report on ‘The challenges in implementing digital change’ identified six key areas of concern, concluding that successive government strategies demonstrated “a consistent pattern of underperformance” over a quarter of a century. 英国の独立した公共支出監視機関は、デジタル・トランスフォーメーションを成功させるための障壁と、それが各省庁の業務と効率に及ぼす影響について、以前に報告した。2021年7月に発表した「デジタル変革の実施における課題」に関する報告書では、懸念される6つの主要分野を特定し、歴代の政府戦略が四半世紀にわたって「一貫した低パフォーマンスのパターン」を示していると結論付けている。
Digital change involves levels of complexity, uncertainty and risk which are often unique to each specific programme due to legacy systems,2 existing operations and the difficulties of integration. These are complex and deep-rooted issues which take time to address and must be properly addressed by transformation programmes’ governance structures. デジタル変革には、レガシーシステム、2 既存の業務、統合の難しさなどのために、しばしば特定のプログラムごとに固有の複雑さ、不確実性、リスクのレベルが含まれます。これらは複雑で根深い問題であり、対処に時間がかかるため、変革プログラムのガバナンス構造で適切に対処する必要がある。
The NAO’s latest report finds that most digital change decisions in government are made by generalist leaders who lack the expertise to fully comprehend and tackle digital challenges. Government should build digital capability and support for non-specialist leaders to understand the issues posed by legacy data and systems. The report urges individual departments to appoint at least one non-executive director with digital, data and technology expertise and ensure that membership of their most senior decision-making board includes at least one senior digital leader. NAOの最新報告書によると、政府におけるデジタル変革の意思決定のほとんどは、デジタル課題を十分に理解し、取り組むための専門知識を持たない一般論的なリーダーによって行われているとのことである。政府は、レガシーデータやシステムがもたらす問題を理解するために、専門家ではないリーダーに対してデジタル能力を構築し、サポートする必要がある。報告書は、各省庁に対し、デジタル、データ、テクノロジーの専門知識を持つ非常勤取締役を少なくとも1名任命し、最高意思決定機関のメンバーに少なくとも1名のシニアデジタルリーダーが含まれるようにすることを求めている。
The report also shows that the government already has a specialist skills deficit, only 4% of civil servants are digital professionals, compared with an industry average of between 8% and 12%. There is a major digital skills shortage in the UK. The number of government digital vacancies rose from 3,900 in April 2022. また、報告書によると、政府はすでに専門的なスキル不足に陥っており、業界平均が8%から12%であるのに対し、公務員のうちデジタル専門家はわずか4%である。英国では大規模なデジタルスキル不足が発生している。政府のデジタル欠員数は、2022年4月の3,900名から増加した。
"The creation of the Central Digital and Data Office provides fresh impetus for digital transformation across government. Its roadmap is a good step towards addressing systemic issues and encouraging departments to take action." 中央デジタル・データ局 の設立は、政府全体のデジタル変革に新たな弾みをつけるものである。そのロードマップは、システム的な問題に対処し、各部門に行動を促すための良い一歩となる。"
"However, to maintain momentum, government needs stronger digital expertise and sustained support from senior departmental leaders. Otherwise, these latest efforts will peter out and government will not achieve the savings and efficiencies that digital transformation has long promised.” しかし、勢いを維持するために、政府はより強力なデジタル専門知識と、各部門の上級指導者による持続的な支援を必要としている。そうでなければ、こうした最新の努力は空回りし、政府はデジタルトランスフォーメーションが長年約束してきた節約と効率化を達成することはできないだろう。
Gareth Davies, head of the NAO NAO責任者 ガレス・デイヴィス
Full report 全文表示
Digital transformation in government: addressing the barriers to efficiency 政府におけるデジタルトランスフォーメーション:効率化を阻む障壁への対応
Notes for editors 編集後記
Press notices and reports are available from the date of publication on the NAO website. Hard copies can be obtained by using the relevant links on our website. プレスリリースや報告書は、発行日からNAOのウェブサイト上で入手可能である。ハードコピーは、ウェブサイトの関連リンクを使用して入手することができます。
1. HM Treasury’s 2021 Spending Review made a commitment to invest £8bn in digital, data and technology transformation by 2025. 1. HM Treasuryの2021年のSpending Reviewでは、2025年までにデジタル、データ、テクノロジーの変革に80億ポンドを投資することが約束された。
2. Government defines systems as being legacy if no longer supporting the business service due to being not cost-effective, hard to maintain, above an acceptable risk threshold or an end-of-life product. 2. 政府は、費用対効果が悪い、保守が困難、許容できるリスクの閾値を超えた、または耐用年数が過ぎた製品などの理由で、ビジネスサービスをサポートしなくなったシステムをレガシーと定義している。

 

トラディショナル vs デジタル

1_20230314050601

 

 

| | Comments (0)

2023.03.13

サイバー軍 ポール・M・ナカソネ将軍の姿勢表明

こんにちは、丸山満彦です。

U.S.サイバー軍のポール・M・ナカソネ将軍が、姿勢表明をしていますね。。。

U.S. Cyber Command

・2023.03.07 POSTURE STATEMENT OF GENERAL PAUL M. NAKASONE

POSTURE STATEMENT OF GENERAL PAUL M. NAKASONE ポール・M・ナカソネ将軍の姿勢表明
Ft. George G. Meade, MD  –   フォート・ジョージ・G・ミード(MD)-。  
Chairman Reed, Ranking Member Wicker and distinguished members of the committee, thank you for your enduring support and the opportunity to represent the men and women of U.S. Cyber Command (USCYBERCOM). I am honored to be here beside Assistant Secretary of Defense Christopher Maier and General Bryan Fenton. I look forward to describing how USCYBERCOM continues to deliver return on investment by using the authorities and resources provided by Congress and highlighting the work ahead for 2023. リード委員長、ウィッカー委員長、そして委員会の各位、皆様の変わらぬご支援と、米国サイバー軍(USCYBERCOM)の男女を代表する機会をいただき、ありがとうございます。クリストファー・マイヤー国防次官補とブライアン・フェントン大将と一緒にここにいられますことを光栄に思います。私は、USCYBERCOMが議会から提供された権限と資源を利用して、どのように投資対効果を上げ続けているかを説明し、2023年に向けての作業を強調することを楽しみにしています。
Guided by the National Defense Strategy, USCYBERCOM focuses on building enduring advantages through campaigning to support Integrated Deterrence. USCYBERCOM acts against foreign adversaries that threaten our nation and expands capability through cooperation with federal, private and allied partners. We seek to outmaneuver our adversaries as they look for opportunities to exploit the United States’ dependence on data and networks in critical infrastructure, the Defense Industrial Base and private industry. 国家防衛戦略に基づき、USCYBERCOMは統合抑止力を支援するキャンペーンを通じて、永続的な優位性を築くことに重点を置いています。USCYBERCOMは、我が国を脅かす外国の敵対勢力に対して行動し、連邦政府、民間、同盟国のパートナーとの協力を通じて能力を拡大します。重要なインフラ、国防産業基盤、民間産業におけるデータとネットワークへの米国の依存を悪用する機会を狙っている敵対者を出し抜くことを目指します。
USCYBERCOM is the nation’s premier military cyber force—one whose world- class talent and strategic partnerships defend U.S. interests while delivering warfighting advantage to the Department of Defense (DoD). It executes its mission along four lines of effort to create and maintain advantage against our adversaries: USCYBERCOMは、世界トップクラスの人材と戦略的パートナーシップによって米国の利益を守り、国防総省(DoD)に戦闘上の優位性をもたらす、米国随一の軍事サイバー部隊です。サイバー部隊は、敵対勢力に対して優位に立ち、それを維持するために、4つの努力ラインで任務を遂行します。
・We generate insights and options in defense of the nation; ・私たちは、国家を防衛するために、洞察力と選択肢を生み出します。
・We secure, operate and defend the Department of Defense Information Network (DoDIN), ensuring mission advantage for the Department of Defense; ・私たちは、国防総省の情報ネットワーク(DoDIN)を確保、運用、防衛し、国防総省のミッションの優位性を確保します。
・We develop options for full-spectrum cyberspace operations to assist Combatant Commanders and the Joint Force to achieve their objectives; and ・私たちは、戦闘指揮官と統合軍が目的を達成するのを支援するため、全領域のサイバースペース作戦のオプションを開発します。
・We boost the strength of America’s allies and partners in cyberspace. ・私たちは、サイバースペースにおけるアメリカの同盟国やパートナーの強さを後押しします。
USCYBERCOM will build up its people, partners and decisive advantage. The Command directs operations through its components. These include the Cyber National Mission Force (CNMF); Joint Force Headquarters-DoD Information Network (JFHQ-DoDIN), the commander for which is dual-hatted as the Director of the Defense Information Systems Agency); Joint Task Force Ares and other Joint Force headquarters elements. The commanders of Army Cyber Command, Marine Corps Forces Cyberspace Command, Fleet Cyber Command/Tenth Fleet, Air Forces Cyber/16th Air Force and Coast Guard Cyber Command also lead their Service cyber components. USCYBERCOMは、人材、パートナー、決定的な優位性を築き上げます。司令部は、その構成要素を通じて作戦を指示します。これらは、サイバー国家任務部隊(CNMF)、統合軍本部-国防情報ネットワーク(JFHQ-DoDIN)、その司令官は国防情報システム局長官として兼任しています)、統合任務部隊アレスと他の統合軍本部要素を含みます。陸軍サイバー司令部、海兵隊サイバー空間司令部、艦隊サイバー司令部/第10艦隊、空軍サイバー/第16空軍、沿岸警備隊サイバー司令部の司令官も、各軍のサイバー部門を率いています。
Operational success in the cyberspace domain demands speed, agility and unity of effort. Hence, the roles, missions and responsibilities of USCYBERCOM and National Security Agency (NSA) must be mutually supportive in this mission space. A recent report on the dual- hat leadership structure completed by a Secretary of Defense and Director of National Intelligence-directed Senior Steering Group (comprising defense and intelligence leaders) found “substantial benefits that present compelling evidence for retaining the existing structure.” The successes that USCYBERCOM and NSA have experienced in defending our elections, in engaging ransomware actors, and in many other missions with the other Combatant Commands,rest on the alignment of USCYBERCOM and NSA. The Senior Steering Group highlighted these accomplishments for the Secretary of Defense and Director of National Intelligence, finding that the dual-hat structure is in the best interests of USCYBERCOM, NSA and the nation. Success in protecting the national security of the United States in cyberspace would be more costly and less decisive with two separate organizations under two separate leaders. The enduring relationship is vital for both organizations to meet the strategic challenges of our adversaries as they mature their capabilities against the United States. サイバースペース領域における作戦の成功には、スピード、敏捷性、努力の統一が求められます。したがって、USCYBERCOM と国家安全保障局(NSA)の役割、任務、責任は、この任務空間において相互に支援し合うものでなければなりません。国防長官と国家情報長官が指揮する上級運営グループ(国防と情報機関のリーダーで構成)が完成させた二重帽子の指導体制に関する最近の報告書は、「現行の体制を維持するための説得力のある証拠を示す実質的な利点」を発見しました。USCYBERCOM と NSA が、選挙防衛、ランサムウェア対策、その他多くのミッションにおいて、他の戦闘司令部との連携で経験した成功は、USCYBERCOM と NSA の連携に基づくものです。上級運営グループは、国防長官と国家情報長官に対してこれらの成果を強調し、二重帽子構造が USCYBERCOM、NSA、そして国家にとって最善の利益であることを明らかにしました。サイバースペースにおける米国の国家安全保障を守るためには、2つのリーダーによる2つの別々の組織では、よりコストがかかり、決定的な成果は得られないでしょう。両組織にとって、敵対者が米国に対する能力を成熟させていく中で、戦略的課題に対処するためには、永続的な関係が不可欠です。
Present and Future 現在と未来
USCYBERCOM persistently engages adversaries, countering cyber actors and their affiliates who are seeking to harm the United States, its interests and its allies. Skilled and dangerous cyber actors exist, many of them serving foreign military and intelligence organizations. USCYBERCOM provides options to counter malicious actors who exploit cyberspace to support their intelligence operations, steal intellectual property, promote violent extremism, impair democratic processes, coerce perceived rivals and fund transnational illegal conduct. USCYBERCOM は、米国とその利益、そして同盟国に危害を加えようとするサイバーアクターとその関係者に対抗し、敵対勢力と粘り強く交戦する姿勢を貫いています。熟練した危険なサイバー行為者は存在し、その多くは外国の軍事組織や諜報組織に仕えています。USCYBERCOMは、サイバー空間を悪用して諜報活動を支援し、知的財産を盗み、暴力的過激主義を促進し、民主的プロセスを損ない、ライバルと思われる者を強制し、国境を越えた違法行為に資金を提供する悪質な行為者に対抗するオプションを提供しています。
The National Defense Strategy named the People’s Republic of China (PRC) as our military’s pacing challenge. The PRC combines authoritarianism with a revisionist foreign policy and stands as the only competitor with both the intent and power to reshape the global order to its advantage. Its rapidly modernizing military is building capabilities far in excess of China’s defense needs while supporting Beijing’s coercive diplomacy. Competition with the PRC takes place on a global scale, and although that contest remains below the threshold of armed conflict, it is nonetheless strategic in its effects and its implications. PRC-sponsored cyber actors represent a sophisticated and growing threat to the United States’ and allies’ interests. 国家防衛戦略では、中華人民共和国(PRC)を我が軍のペース配分上の課題として挙げています。中華人民共和国は権威主義と修正主義的な外交政策を併せ持ち、世界秩序を有利に再編成する意図と力を併せ持つ唯一の競争相手として立っています。急速に近代化する軍隊は、中国の防衛ニーズをはるかに超える能力を構築し、北京の強圧的な外交を支えています。中国との競争は世界規模で行われており、その争いは武力紛争の閾値以下ではありますが、それでもその影響と意味合いにおいて戦略的です。中国が支援するサイバー・アクターは、米国と同盟国の利益に対する高度で増大する脅威です。
China is learning from Russian actions in Ukraine and elsewhere. The National Defense Strategy calls Russia an acute threat to the free and open global system, noting that Moscow flouts international norms with its destabilizing actions. Russia’s aggression in Ukraine threatens the peace and stability of Europe. The U.S. and our allies are working to ensure the strategic failure of their attempt to change the status quo by violence. 中国は、ウクライナやその他の地域におけるロシアの行動から学んでいます。国家防衛戦略は、ロシアを自由で開かれた世界システムに対する深刻な脅威と呼び、モスクワが国際規範を無視した不安定な行動を取っていることを指摘しています。ウクライナにおけるロシアの侵略は、ヨーロッパの平和と安定を脅かしています。米国と同盟国は、暴力によって現状を変えようとする彼らの試みが戦略的に失敗するように取り組んでいます。
Russia’s military and intelligence cyber forces are skilled and persistent. Russia has attempted to influence elections, through malign activities, in the United States and Europe and has enabled intelligence collection on a global scale. Moscow has a high tolerance for risk and collateral damage in its cyber operations. This boldness is evident in Russia’s indiscriminate cyberattack on Viasat satellite communications in Ukraine and across Europe in support of the invasion of Ukraine last year. ロシアの軍事・情報サイバー部隊は熟練しており、執拗です。ロシアは米国と欧州で悪意あります活動を通じて選挙に影響を与えようとし、世界的な規模で情報収集を可能にしてきた。モスクワは、サイバー作戦におけるリスクと巻き添え被害に対して高い耐性を持っています。この大胆さは、昨年のウクライナ侵攻を支援するために、ロシアがウクライナと欧州全域のViasat衛星通信を無差別にサイバー攻撃したことに表れています。
Russia and Ukraine are engaged in a complex struggle in cyberspace that includes significant support from independent actors. Before the crisis unfolded, USCYBERCOM partnered with U.S. European Command (USEUCOM) and Ukraine by deploying “hunt forward” cyber experts to assist Ukraine’s efforts to harden their networks against Russian aggression. Since the crisis began, USCYBERCOM has focused on defending secure communications capabilities at USEUCOM and Ukraine – ensuring the posture of our nation’s nuclear command and control and strengthening DoDIN defense. ロシアとウクライナは、独立したアクターからの大きな支援を含む、サイバースペースにおける複雑な闘争に従事していています。危機の発生前、USCYBERCOMは米欧州軍(USEUCOM)およびウクライナと協力し、ロシアの侵略に対してネットワークを強化するウクライナの努力を支援する「ハントフォワード」サイバー専門家を配備した。危機が始まって以来、USCYBERCOMはUSEUCOMとウクライナの安全な通信機能の防御に重点を置き、わが国の核指揮統制の態勢を確保し、DoDINの防御を強化しています。
The National Defense Strategy emphasizes our enduring commitment to deterring aggression in the Middle East and promoting stability in East Asia. Iran remains a destabilizing force in its region, and its cyber actors are proficient and aggressive. Tehran’s paramilitary and intelligence forces sponsor a variety of malicious cyber activities against Iran’s neighbors and against the United States, as we saw in last year’s midterm election. Pyongyang also maintains cyber forces supported by North Korean information technology workers dwelling in other countries. They remain a threat, although much of their recent activity has been devoted to evading international sanctions by stealing cryptocurrency for the regime’s use. 国家防衛戦略は、中東における侵略を抑止し、東アジアの安定を促進するという我々の永続的なコミットメントを強調します。イランは依然としてこの地域の不安定化要因であり、そのサイバーアクターは熟達し攻撃的です。テヘランの準軍事組織や情報機関は、昨年の中間選挙で見られたように、イランの近隣諸国や米国に対するさまざまな悪意のありますサイバー活動を支援しています。また、平壌は、他国に滞在する北朝鮮の情報技術者に支えられたサイバー部隊を維持しています。最近の彼らの活動の多くは、政権が使用する暗号通貨を盗むことによって国際的な制裁を回避することに費やされているが、彼らは依然として脅威です。
Non-state actors also remain a threat in cyberspace. International cybercrime, often organized or executed by actors in Russia, continues to be a concern. USCYBERCOM and NSA enable efforts by the Department of Treasury, the Federal Bureau of Investigation (FBI) and other partners to disrupt ransomware, cryptocurrency theft and other criminal activities. In addition, violent extremist groups are also active in cyberspace. The Islamic State in Iraq and Syria, al Qaida and associated terrorist groups maintain the intent to target Americans, although their capabilities have been eroded. Our Marine component, JFHQ-C (Marines), works with allies and partners to disrupt violent extremist group mobilization online and to support diplomatic efforts. 非国家主体もまた、サイバースペースにおいて脅威であり続けています。国際的なサイバー犯罪は、しばしばロシアの行為者によって組織または実行され、引き続き懸念事項となっています。USCYBERCOMとNSAは、財務省、連邦捜査局(FBI)、その他のパートナーによる、ランサムウェア、暗号通貨窃盗、その他の犯罪行為を妨害する取り組みを支援しています。さらに、暴力的な過激派グループもサイバースペースで活動しています。イラクとシリアのイスラム国、アルカイダ、および関連するテロ集団は、その能力は低下していますものの、米国人を標的とする意図を維持しています。海兵隊の構成部隊ですJFHQ-C(Marines)は、同盟国やパートナーと協力し、オンラインでの暴力的過激派グループの動員を妨害し、外交努力を支援しています。
USCYBERCOM is fully engaged in its efforts to defend the DoDIN, disrupt adversary campaigns to harm America and its interests, enhance our partners’ defense, and support Joint Force objectives in cyberspace. Authoritarian adversaries feel threatened by the freedoms that democratic states regard as commonplace, and thus they not only deny such freedoms to their own people, they campaign in cyberspace to impugn the legitimacy of democratic societies and to intimidate opposition at home and abroad. As the National Defense Strategy suggests, it will take a whole-of-government – and indeed, a whole-of-nation – effort to bend this trajectory back toward international respect for the principles of the United Nations Charter. USCYBERCOMは、DoDINを防衛し、米国とその利益を害する敵のキャンペーンを妨害し、パートナーの防衛を強化し、サイバー空間における統合軍の目標を支援するための取り組みに完全に従事しています。権威主義的な敵対勢力は、民主主義国家が当たり前のように考えている自由を脅威に感じ、そのような自由を自国民に否定するだけでなく、サイバースペースで民主主義社会の正統性を貶め、国内外の反対者を威圧するキャンペーンを行う。防衛戦略が示唆するように、この軌道を国際連合憲章の原則を尊重する方向に戻すには、政府全体、いや、国家全体が努力する必要があります。
Defense of the Nation 国家の防衛
Defending the nation is paramount among our missions. It means defending our military systems, networks and the critical infrastructure that enable national security. Every Combatant Command’s operational plan across the Department assumes that our commanders will be able to leverage data and communicate orders and data rapidly and securely across the battlefield. In this regard, USCYBERCOM plays a crucial role in the defense of military systems, networks and data. 国を守ることは、私たちの使命の中でも最も重要なことです。それは、国家の安全保障を可能にする軍事システム、ネットワーク、重要なインフラを守ることを意味します。米軍全体の戦闘司令部の作戦計画は、指揮官がデータを活用し、命令やデータを迅速かつ安全に戦場に伝達できることを前提としています。この点で、USCYBERCOMは軍事システム、ネットワーク、データの防衛において重要な役割を担っています。
USCYBERCOM and NSA collaborated in defense of the 2022 midterm election. Foreign attempts to meddle in our electoral process via cyber means escalated in 2016 and have persisted in every election cycle since. USCYBERCOM expects them to continue into the future as the prospect of distracting our leaders, pitting Americans against one another on divisive issues and undermining public trust in the democratic process is too tempting for foreign adversaries. USCYBERCOM seeks to render these campaigns inconsequential, in conjunction with the FBI and Department of Homeland Security Cybersecurity and Infrastructure Security Agency (DHS/CISA) partners. USCYBERCOMとNSAは、2022年の中間選挙の防衛で協力した。サイバー手段で我々の選挙プロセスに干渉する外国の試みは、2016年にエスカレートし、それ以来、すべての選挙サイクルで持続しています。USCYBERCOMは、指導者の注意をそらし、分裂した問題でアメリカ人を対立させ、民主的プロセスに対する国民の信頼を損なうという見通しは、外国の敵対者にとってあまりにも魅力的ですため、今後も続くと予想しています。USCYBERCOMは、FBIや国土安全保障省サイバーセキュリティ・基盤セキュリティ局(DHS/CISA)のパートナーと連携し、こうしたキャンペーンを無に帰すことを目指しています。

In 2022, USCYBERCOM and NSA teams staffed a combined Election Security Group (ESG) to coordinate cybersecurity, intelligence and operations. The efforts of the ESG enabled DHS and the FBI, among other domestic partners, to defend electoral processes and take action against foreign actors working to subvert the midterms. The 2022 midterms progressed from primaries to certifications without significant foreign malign influence or interference.

2022年、USCYBERCOMとNSAのチームは、サイバーセキュリティ、情報、作戦を調整するために、選挙セキュリティ・グループ(ESG)を統合して配置しました。ESGの努力により、DHSとFBI、その他の国内パートナーは、選挙プロセスを守り、中間選挙を妨害しようとする外国のアクターに対処することができました。2022年の中間選挙は、外国の重大な悪意あります影響や干渉を受けることなく、予備選挙から認証まで進行しました。
The Cyber National Mission Force (CNMF) played an important role in the defense of the midterms and is vital to many of our other efforts as well. CNMF conducts missions to counter malicious cyberspace actors and covers both the offensive and defensive aspects of our defend-the-nation mission set. USCYBERCOM established the CNMF as a subordinate unified command on December 19, 2022 at the direction of the Secretary of Defense. Elevating the CNMF to the status of a sub-unified command not only recognized the importance of its enduring mission, it gave the CNMF greater ability to manage its personnel and readiness and to request manpower, funding and resources through DoD processes. サイバー・ナショナル・ミッション・フォース(CNMF)は、中間選挙の防衛において重要な役割を果たし、他の多くの取り組みにも不可欠な存在となっています。CNMFは、悪意のありますサイバー空間関係者に対抗する任務を遂行し、国家防衛の任務の攻撃的側面と防御的側面の両方をカバーしています。USCYBERCOMは、国防長官の指示により、2022年12月19日にCNMFを下位統一司令部として設立しました。CNMFを下位統一司令部の地位に昇格させることは、その永続的な任務の重要性を認識するだけでなく、CNMFの人員と即応性を管理し、DoDプロセスを通じて人員、資金、資源を要求する能力を向上させることになりました。
Since 2018, the CNMF has deployed hunt forward teams 40 times to 21 countries to work on 59 networks, generating insights and imposing costs on common adversaries. These partner-enabled operations have exposed malicious cyber activity by China, Russia, Iran and cyber criminals; made partner-nation networks more secure; increased our global cybersecurity partnerships; led to the public release of more than 90 malware samples for analysis by the cybersecurity community and ultimately kept us safer here at home. In competition, there is no substitute for sharing accurate, timely and actionable intelligence to expose adversarial activity with like-minded domestic and international partners. 2018年以降、CNMFはハントフォワードチームを21カ国に40回展開し、59のネットワークに取り組み、洞察を得て、共通の敵対者にコストを課しています。これらのパートナー対応作戦は、中国、ロシア、イラン、サイバー犯罪者による悪質なサイバー活動を暴露し、パートナー国のネットワークをより安全にし、グローバルなサイバーセキュリティパートナーシップを強化し、サイバーセキュリティコミュニティの分析のために90以上のマルウェアサンプルを一般公開することにつながり、最終的にここ自国をより安全に保つことになりました。競争においては、敵対的な活動を暴露するための正確でタイムリーかつ実用的な情報を、同じ考えを持つ国内外のパートナーと共有することに代わるものはありません。
Last year, we created a combined USCYBERCOM-NSA China Outcomes Group to oversee this shift. The China Outcomes Group aligns components in USCYBERCOM and NSA, enhances intelligence insights, improves cybersecurity and delivers operational outcomes for the nation. Resources are prioritized and focused on deterring and countering the PRC’s aggressive behavior. 昨年、私たちはこのシフトを監督するために、USCYBERCOMとNSAを統合した中国成果グループを設立しました。中国成果グループは、USCYBERCOMとNSAの各コンポーネントを調整し、情報洞察を強化し、サイバーセキュリティを向上させ、国家のための作戦成果を提供するものです。リソースは、中国の攻撃的な行動を抑止し、それに対抗することに優先順位をつけ、集中させます。
Cyberspace is a global domain. Adversaries often penetrate privately-owned networks and devices, using ever-increasing technical capabilities to disrupt operations or gain illicit value via activities such as intellectual property theft, targeting of personal information and installation of ransomware. USCYBERCOM is working under recently expanded statutory authorities and aligning efforts with NSA’s Cybersecurity Directorate to bolster companies’ ability to defend themselves against exploitation by cyber actors. This collaboration and broad sharing of insights with the private sector provides mutual benefits. An example of this is our UNDERADVISEMENT program, which links cybersecurity expertise across industry and government, leading to several operational successes as well as pointing the owners of victim systems toward threats that they can eradicate. In conjunction, NSA’s Cybersecurity Directorate runs its Cybersecurity Collaboration Center to share best practices with industry partners and gain additional insights into the technical challenges they are encountering. サイバースペースはグローバルな領域です。敵対者はしばしば個人所有のネットワークや機器に侵入し、増え続ける技術力を駆使して、知的財産の窃盗、個人情報の標的化、ランサムウェアのインストールなどの活動を通じて、業務を妨害したり不正な価値を得たりします。USCYBERCOMは、最近拡大した法的権限のもと、NSAのサイバーセキュリティ部門と連携して、サイバーアクターによる搾取から企業を守る能力を強化するための取り組みを行っています。このような民間企業との連携や幅広い見識の共有は、相互に利益をもたらします。この例として、産業界と政府間のサイバーセキュリティの専門知識を結びつけ、いくつかの運用上の成功に導くとともに、被害システムの所有者が根絶できる脅威を指し示す、我々のUNDERADVISEMENTプログラムが挙げられます。また、NSAのサイバーセキュリティ部門は、サイバーセキュリティ・コラボレーション・センターを運営しており、業界のパートナーとベストプラクティスを共有し、彼らが遭遇しています技術的課題に対するさらなる洞察を得ています。

Strategic Initiatives

戦略的イニシアティブ
The success of our operations to support the National Defense Strategy depends on training and readiness. We have prioritized improving the readiness of our cyber forces since USCYBERCOM became a unified Combatant Command in 2018, and there has been progress in the last several years. The staffing and training of our teams are improving. In addition, USCYBERCOM has enhanced its ability to monitor the status of the Cyber Mission Force (CMF) at the team, mission element and individual levels. USCYBERCOM is crafting standards for cybersecurity defenders across the DoD Cyberspace Operations Forces Service-retained cyber forces. The creation of these standards will improve the ability to defend networks while enabling our CMF teams to hunt foreign adversaries where they hide and foster a culture of innovation, collaboration and compliance that USCYBERCOM seeks to build. 国家防衛戦略を支援するための作戦の成功は、訓練と即応性に依存します。2018年にUSCYBERCOMが統一戦闘司令部になったときから、私たちはサイバー部隊の即応性を高めることを優先しており、ここ数年、進展があった。チームの人員配置とトレーニングは改善されています。また、USCYBERCOMは、チーム、ミッションエレメント、個人レベルでサイバー・ミッション・フォース(CMF)の状況を監視する能力を強化しました。USCYBERCOMは、国防総省のサイバー空間作戦軍サービス保持のサイバー部隊全体のサイバーセキュリティ防衛者の基準を作成しています。これらの基準の作成は、ネットワークの防御能力を向上させるとともに、CMFチームが外国人敵対者の潜伏先を探し、USCYBERCOMが築こうとするイノベーション、コラボレーション、コンプライアンスの文化を醸成することを可能にします。
Strong partnerships are crucial to cyberspace operations. When working in unison, our diplomatic, military, law enforcement, homeland security and intelligence capabilities make a powerful combination that can disrupt the plans of malicious cyber actors. As we saw in our collective defense of the 2022 midterm election, such effects become even more decisive when we include our allies and foreign partners. Their reach often exceeds our own, especially in host- nation systems. As part of our regional engagement strategy in the Indo-Pacific, we are working closely with partners such as Australia, Japan and South Korea to share information that will impose costs on foreign adversaries. Likewise, we continue to do the same with other partners in Europe and Asia. We are also working to enhance partnerships with academia and industry experts who assist us in concept and capability development. 強力なパートナーシップは、サイバースペース作戦に不可欠です。外交、軍事、法執行、国土安全保障、諜報の各機能が一体となって機能すれば、悪意ありますサイバー行為者の計画を妨害することができる強力な組み合わせとなる。2022年の中間選挙における集団防衛で見られたように、同盟国や外国のパートナーを含めると、こうした効果はさらに決定的なものになります。特にホスト国のシステムにおいて、彼らのリーチはしばしば我々自身のリーチを超える。インド太平洋における地域関与戦略の一環として、私たちはオーストラリア、日本、韓国などのパートナーと緊密に連携し、外国の敵対勢力にコストを課す情報を共有しています。同様に、欧州やアジアの他のパートナーとも同じことを続けています。また、コンセプトや能力開発を支援してくれる学界や産業界の専門家とのパートナーシップの強化にも取り組んでいます。
Implementing USCYBERCOM’s Service-like authorities will allow it to deliver priority capabilities with agility and at speed. In Fiscal Year 2024, USCYBERCOM will assume control of the resources for the Cyber Mission Force cyberspace operations and capabilities. Enhanced budgetary control (EBC) gives USCYBERCOM the ability to directly allocate resources for greater efficiencies during the Department’s programming phase and ensure they remain aligned with priorities through execution. EBC will lead to better alignment between USCYBERCOM responsibilities and authorities for cyberspace operations. USCYBERCOMのサービス的な権限を導入することで、優先的な能力を機敏かつ迅速に提供することができる。2024年度には、USCYBERCOMはサイバー・ミッション・フォースのサイバー空間での作戦と能力のための資源を管理することになる。予算管理の強化(EBC)により、USCYBERCOMは、省庁の計画段階でより効率的に資源を直接配分し、実行まで優先事項との整合性を保つことができるようになります。EBCは、サイバー空間作戦に関するUSCYBERCOMの責任と権限の間の整合性を高めることにつながる。
Expanding USCYBERCOM’s role in acquisition is another important step in the implementation of Service-like authorities. The Joint Cyber Warfighting Architecture (JCWA) is USCYBERCOM’s premier platform that enables Cyber Operations Forces to conduct full- spectrum cyberspace operations. The Under Secretary of Defense for Acquisition and Sustainment is granting USCYBERCOM greater technical responsibility and authority to direct the development, integration and fielding of critical capabilities and infrastructure in the JCWA. Included in the Fiscal Year 2023 National Defense Authorization Act is a provision directing the establishment of a Program Executive Office (PEO) within USCYBERCOM. This PEO would assume Service-like acquisition decision authority for JCWA program components by Fiscal Year 2027. 取得における USCYBERCOM の役割を拡大することも、サービス的権限の実施における重要なステップです。統合サイバー戦闘アーキテクチャ(JCWA)は、サイバー作戦部隊が全領域のサイバー空間作戦を実施することを可能にするUSCYBERCOMの主要なプラットフォームです。国防次官(取得・維持担当)は、USCYBERCOMに対し、JCWAにおける重要な能力およびインフラの開発、統合、実戦投入を指示する技術的責任と権限をより大きく付与しています。2023会計年度の国防権限法には、USCYBERCOM内にプログラムエグゼクティブオフィス(PEO)を設立することを指示する条項が含まれています。この PEO は、2027 年度までに JCWA プログラムの構成要素について、サービス的な取得決定権 を持つことになる。
USCYBERCOM depends on support from the National Guard and Reserve. Service cyber components employ Reserve Component personnel to support operations and reinforce relationships with government agencies, increasing the synergy between USCYBERCOM and these organizations. In addition, Army Cyber Command benefited from the expertise of civilian data scientists during their mobilizations to support research and development projects that would not typically be possible with traditionally-trained active duty forces. National Guard components on State active duty, and in the State Partnership Program (SPP) work in various efforts to protect state, industry and foreign-partner systems. The SPP offers additional capacity to support increased cyberspace security cooperation activities in support of national defense strategy objectives. We gain valuable insights from the specialized expertise that Reserve Component personnel can bring from their civilian jobs in industry and academia, and such ties have helped us build partnerships across America.  USCYBERCOM は、州兵と予備役からの支援に依存しています。各軍のサイバー部隊は、予備役部隊の人員を採用して作戦を支援し、政府機関との関係を強化することで、USCYBERCOMとこれらの組織の間の相乗効果を高めています。さらに、陸軍サイバー司令部は、従来の訓練を受けた現役部隊では通常不可能な研究開発プロジェクトを支援するために、動員中の民間データ科学者の専門知識の恩恵を受けています。州兵の現役部隊と州パートナーシップ・プログラム(SPP)は、州、産業、外国のパートナー・システムを保護するためのさまざまな取り組みを行っています。SPPは、国家防衛戦略の目標を支援するため、サイバースペースセキュリティ協力活動の強化をサポートする追加能力を提供します。私たちは、予備役職員が産業界や学界の民間職からもたらすことができる専門的な知識から貴重な洞察を得ており、このようなつながりは、アメリカ全土でパートナーシップを築くのに役立っています。
USCYBERCOM recognizes its challenge to grow and develop its military and civilian workforces. Cyber Excepted Service (CES) allows USCYBERCOM to offer cyber professionals opportunities to use their skills and contribute greatly to the national security of the United States. Since CES implementation began, USCYBERCOM has seen positive improvements to the recruiting and hiring timeline. USCYBERCOMは、軍人と民間人の労働力を成長させ、発展させることが課題ですと認識しています。サイバーエクセプテッドサービス(CES)により、USCYBERCOMはサイバー専門家がそのスキルを発揮し、米国の国家安全保障に大きく貢献する機会を提供することができます。CESの導入以来、USCYBERCOMでは募集・採用のタイムラインに前向きな改善が見られました。
Enhancing diversity, equality and inclusion is a priority. USCYBERCOM and NSA cannot afford to overlook or neglect talent wherever it resides nor can we allow workplace challenges of any sort to discourage professionalism or inhibit creativity. Our impact for the nation depends on fostering a wide range of viewpoints and free-ranging debate to encourage innovation and problem-solving, and we will not tolerate harassment in any form or behavior that stifles civil discourse. 多様性、平等性、インクルージョンの強化は優先事項です。USCYBERCOMとNSAは、才能がどこに存在しようとも、それを見過ごしたり、軽視したりする余裕はありません。私たちが国家に与える影響は、イノベーションと問題解決を促進するために、幅広い視点と自由な討論を育むことにかかっています。
Conclusion まとめ
Success for USCYBERCOM will be measured by how effectively foreign adversarial actors are prevented from achieving their strategic objectives. USCYBERCOM will counter adversaries in competition to defuse crises, deter conflict and prevail against aggression. Aligning efforts of both USCYBERCOM and NSA is essential to achieving these goals and is in the best interest of the nation. It all starts with people—the men and women of USCYBERCOM working with NSA and partners here and abroad—We win with People. USCYBERCOMの成功は、外国の敵対行為者が戦略目標を達成するのをいかに効果的に阻止するかによって評価される。USCYBERCOM は、危機を打開し、紛争を抑止し、侵略に打ち勝つために、競合する敵対者に対抗します。USCYBERCOM と NSA の両者の取り組みを一致させることは、これらの目標を達成するために不可欠であり、国家にとって最善の利益となる。それは、NSA や国内外のパートナーと協力する USCYBERCOM の男女、つまり「人」から始まる。「人」で勝つのです。
Last year saw significant maturation for USCYBERCOM, but our work is not done. In 2023, we must continue to focus on our people, our partners and our ability to deliver decisive advantage. We must improve readiness, bolster our resilience and maintain a culture of continuous improvement. We have and will continue to deliver warfighting advantage for the Joint Force and partners throughout the full spectrum of competition, crisis response and conflict. We are doing so by executing our Service-like authorities to build and sustain campaigns in and through cyberspace and the information environment. 昨年は USCYBERCOM が大きく成長した年でしたが、私たちの仕事はまだ終わりではありません。2023年、我々は引き続き、人材、パートナー、そして決定的な優位性をもたらす能力に焦点を当てなければなりません。即応性を高め、レジリエンスを強化し、継続的に改善する文化を維持しなければなりません。私たちは、競争、危機対応、紛争の全領域を通じて、統合軍とパートナーに戦闘上の優位性を提供し続け、今後もそうするつもりです。私たちは、サイバースペースと情報環境を通じてキャンペーンを構築し、維持するためのサービス的権限を実行することによって、これを実現しています。
USCYBERCOM’s efforts to defend against and contest adversary campaigns in and through cyberspace have been enhanced by the support of this Committee. Designing our campaigns to stay in constant contact with foreign adversaries (persistent engagement) and synchronizing Offensive and Defensive Cyberspace Operations with DoD Information Network Operations are the critical initiatives that allow USCYBERCOM to maintain its advantage in cyberspace. These concepts will continue to be key to our effectiveness and are necessary to outmaneuver and outpace our adversaries wherever they are. サイバースペースにおける敵のキャンペーンを防御し、それに対抗するためのUSCYBERCOMの努力は、本委員会の支援によって強化されてきた。海外の敵対勢力と常に接触するようにキャンペーンを設計し(持続的関与)、攻めと守りのサイバースペース作戦を国防総省の情報ネットワーク作戦と同期させることは、USCYBERCOMがサイバースペースでの優位性を維持するための重要な取り組みです。これらのコンセプトは、今後も私たちの有効性の鍵を握るものであり、敵がどこにいようと、敵の裏をかき、追い越すために必要なものです。
The men and women at U.S. Cyber Command are grateful for the support this Committee has given to our Command. We can only succeed with a strong partnership with Congress. Thank you, and I look forward to your questions. 米国サイバー司令部の男女は、本委員会が我々の司令部に与えてくれた支援に感謝しています。我々は、議会との強力なパートナーシップによってのみ成功することができます。ありがとうございます、質問をお待ちしています。

Cyber_20230313030001

 

 

Continue reading "サイバー軍 ポール・M・ナカソネ将軍の姿勢表明"

| | Comments (0)

国土安全保障省 監察官室報告書 「CISAは進展したが、リソース、人員、技術の課題がサイバー脅威の検知と軽減の妨げになる」

こんにちは、丸山満彦です。

国土安全保障省の内部監察官室 (OIG) がCISAについての内部監査報告書を公表していますね。。。

2020年のSolarWindsの侵害発覚後、CISAは大規模なサイバー攻撃によるリスクを検出し軽減する能力を向上させたが、連邦政府のネットワークを保護するための作業は残っている。CISAは、サイバー攻撃に対する連邦機関の防御を調整しているが、SolarWindsの対応により、CISAは脅威に効果的に対応するためのバックアップ通信システム、スタッフ、安全なスペースなど、十分なリソースを有していないことが明らかになったとして、内部監査を実施したようです。。。

で、勧告事項は4つあります。。。

ざっくりいうと、

(1) CISAの業務継続計画と情報システム危機管理計画の策定と実施

(2) CISAの施設の容量が適切かの評価

(3) 人員、資源、情報アクセスのレベルを文書化するための評価の実施

(4) データ分析能力を含む長期計画の立案

We recommend the CISA Director update CISA’s Continuity of Operations Plan and develop and implement an information system contingency plan, to ensure availability of redundant systems, capabilities, and communication methods to use if primary systems or networks are compromised. CISA長官に対し、主要なシステムまたはネットワークが侵害された場合に使用する冗長システム、能力、通信方法の可用性を確保するために、CISAの業務継続計画を更新し、情報システム危機管理計画を策定し、実施することを勧告する。
We recommend the CISA Director require the facility and operations staff conduct an assessment to determine whether secure facility space is appropriately sized and configured to meet operational needs and document any changes necessary for staff to obtain and maintain appropriate access to intelligence information. CISA長官に対し、安全な施設のスペースが運用上のニーズを満たすために適切な大きさと構成になっているかどうかを判断するための評価を実施し、職員が情報情報への適切なアクセスを取得し維持するために必要な変更を文書化することを要求することを勧告する。
We recommend the CISA Director require an assessment to document the levels of staffing, resources, and intelligence access needed for operational divisions, cyber detection and mitigation capabilities, and support functions. CISA長官に対し、運用部署、サイバー検知・緩和能力、支援機能に必要な人員、資源、情報アクセスのレベルを文書化するための評価を要求することを勧告する。
We recommend the CISA Director create and implement a long-term plan for the Cybersecurity Division that includes provisions for ownership, operations, and maintenance of the National Cybersecurity Protection System’s data analytics capabilities. CISA長官に対し、国家サイバーセキュリティ保護システムのデータ分析能力の所有、運用、保守に関する規定を含むサイバーセキュリティ部署の長期計画を作成し実施することを勧告する。

 

Oversignt.gov

・2023.03.08 CISA Made Progress but Resources, Staffing, and Technology Challenges Hinder Cyber Threat Detection and Mitigation

・[PDF]

20230313-20229

・[DOCX] 仮訳

 

 

 

| | Comments (0)

ENISA 報告書 「組み込みSIMのエコシステム、セキュリティリスクと対策」「5Gにおけるフォグ・エッジコンピューティング」

こんにちは、丸山満彦です。

ENISAが、「組み込みSIMのエコシステム、セキュリティリスクと対策」「5Gにおけるフォグ・エッジコンピューティング」の2つの報告書を公表していますね。。。

これから、IoTの利用が進むことが想定されるが、その時にどのようなリスクが大きくなるか?そのリスクに対する対策としてどのようなことをすべきか。。。

 

1_20230311105701

 

ENISA

・2023.03.08 Unveiling the Telecom Cybersecurity Challenges

Unveiling the Telecom Cybersecurity Challenges テレコム・サイバーセキュリティの課題を解き明かす
The European Union Agency for Cybersecurity (ENISA) publishes one report on eSIMs and a second one on fog and edge computing in 5G. Both reports intend to provide insights on the challenges of these technologies. 欧州連合サイバーセキュリティ機関(ENISA)は、eSIMに関する報告書と、5Gにおけるフォグ・エッジコンピューティングに関する報告書を発行した。両報告書は、これらの技術の課題に関する洞察を提供することを意図している。
ENISA deep dives into the eSIM technology security challenges and investigates security issues for fog and edge computing in 5G in order to support the national security competent authorities of the ECASEC group and the NIS Cooperation Group work stream on 5G cybersecurity. ENISAは、ECASECグループおよびNIS協力グループの5Gサイバーセキュリティに関するワークストリームの国家安全保障担当当局を支援するため、eSIM技術のセキュリティ課題を深く掘り下げ、5Gのフォグ・エッジコンピューティングに関するセキュリティ課題を調査している。
The case of eSIMs eSIMの場合
eSIM is the generic term used for the embedded form of a SIM (subscriber identity module) card. Built into the device, the eSIM is hosted on a tiny chip that provide storage for the mobile subscription details in digital format. eSIMは、SIM(加入者IDモジュール)カードの組み込み型に使用される総称である。デバイスに組み込まれたeSIMは、小さなチップにホストされており、デジタル形式でモバイル契約の詳細を保存することができる。
Like the regular SIM card, the eSIM identifies a subscriber within a mobile operator’s network and can be found in a wide range of products, such as wearable devices, computers, medical internet-of-things (IoT) devices, home automation and security systems, and handheld point-of-sale devices. 通常のSIMカードと同様に、eSIMは携帯電話会社のネットワーク内で加入者を識別し、ウェアラブル機器、コンピュータ、医療用IoT機器、ホームオートメーションやセキュリティシステム、携帯型POS機器など、さまざまな製品に搭載される。
The report issued today gives an overview of the eSIM technology, assesses the market potential in Europe and includes security challenges identified and proposed mitigation measures. 本日発表された報告書では、eSIM技術の概要、欧州における市場の可能性を評価し、特定されたセキュリティ上の課題と緩和策を提案している。
The security challenges identified are associated with software attacks like eSIM swapping, memory exhaustion and undersizing memory attacks, inflated profile and locking profile attacks.  Cybercriminals can cause unavailability of services or can gain access to sensitive information.  特定されたセキュリティ課題は、eSIMのスワッピング、メモリ枯渇とメモリサイズ不足攻撃、プロファイルの膨張とプロファイルのロック攻撃などのソフトウェア攻撃に関連するものである。  サイバー犯罪者は、サービスの利用不能を引き起こしたり、機密情報にアクセスしたりすることができる。 
Still, no major technical vulnerability has been detected so far with only limited reported cybersecurity breaches. However, the large scale IoT deployment and the subsequent rise in the use of eSIMs could result in a rise of such cyber incidents. それでも、これまで大きな技術的脆弱性は検出されておらず、サイバーセキュリティ侵害の報告も限定的なものにとどまっている。しかし、大規模なIoTの展開とそれに伴うeSIMの使用の増加により、このようなサイバーインシデントが増加する可能性がある。
Find out more in the report “Embedded SIM Ecosystem, Security Risks and Measures” 詳細は、報告書 「組み込みSIMのエコシステム、セキュリティリスクと対策」 で確認できる。
The case of fog and edge computing: the role it plays in 5G フォグ・エッジコンピューティングの場合:5Gで果たす役割
Fog and edge computing has created new opportunities and novel applications in the 5G ecosystem. However, the telecommunications, cloud and industrial communities need to address multi-modal security challenges. フォグ・エッジコンピューティングは、5Gエコシステムにおいて新たな機会と新規アプリケーションを生み出した。しかし、通信、クラウド、産業の各コミュニティは、マルチモーダルなセキュリティ課題に対処する必要がある。
With an architecture being a layer below cloud computing, the main goal of fog and edge computing is to reduce the workload of edge and cloud devices by offering additional network and hardware resources to both parties. アーキテクチャがクラウドコンピューティングの下の層であることから、フォグ・エッジコンピューティングの主な目標は、追加のネットワークおよびハードウェアリソースを両者に提供することによって、エッジおよびクラウドデバイスの作業負荷を軽減することである。
Resorting to this technology provides computing, storage data and application services to end users while being hosted at the network’s edge. It reduces service latency and improves the overall end-user experience. End users benefit from remote access to data storage and from availability of services without extensive resources needed, therefore reducing costs. この技術に頼ることで、ネットワークのエッジでホストされながら、エンドユーザーにコンピューティング、ストレージデータ、アプリケーションサービスを提供することができる。これにより、サービスの待ち時間が短縮され、全体的なエンドユーザーエクスペリエンスが向上する。エンドユーザーは、データストレージへのリモートアクセスや、大規模なリソースを必要としないサービスの利用が可能となるため、コスト削減のメリットがある。
The report provides an overview of fog and edge technologies in terms of 5G, in relation to their architecture, attributes, and security aspects. The different architectural approaches are also introduced and their applications. It also outlines the standardisation solutions and provides an analysis of applications scenarios. 本報告書では、5Gの観点から、フォグテクノロジーとエッジテクノロジーについて、そのアーキテクチャ、属性、セキュリティ面との関連で概観している。また、さまざまなアーキテクチャーのアプローチとその応用例も紹介している。また、標準化ソリューションの概要を説明し、アプリケーションシナリオの分析も行っている。
Find out more in the report “Fog and Edge Computing in 5G”. 詳細は、報告書「5Gにおけるフォグ・エッジコンピューティング」で確認できる。
39th meeting of the ECASEC Expert Group 第39回ECASEC専門家グループ会合
Organised in a hybrid format, both in Dublin, Ireland and online, the meeting gathered about 60 experts from national authorities from EU, EFTA, EEA, and EU candidate countries, who are supervising the European telecom sector. アイルランド・ダブリンとオンラインのハイブリッド形式で開催されたこの会議には、EU、EFTA、EEA、EU候補国から、欧州の通信セクターを監督する各国当局の専門家約60人が集った。
The group experts engaged in a discussion on the new work programme, and also focused on the potential update of the existing security measures and incident reporting frameworks with the objective to reflect the changes introduced by the NIS2 directive. 専門家グループは、新しい作業プログラムに関する議論を行い、また、NIS2指令によって導入された変更を反映させる目的で、既存のセキュリティ対策やインシデント報告の枠組みを更新する可能性に焦点を当てた。
Further Information: 詳細
ENISA ECASEC EG portal ENISA ECASEC EGポータル
ENISA Incident Reporting webpage ENISAインシデントレポーティングのウェブページ
European Electronic communications Code — ENISA (europa.eu) 欧州電子通信コード - ENISA (europa.eu)
NIS Directive – ENISA topic NIS指令 - ENISAトピック
3rd ENISA Telecom & Digital Infrastructure Security Forum — ENISA (europa.eu) 第3回 ENISA Telecom & Digital Infrastructure Security Forum - ENISA (europa.eu)

 

 


 

・2023.03.08 Embedded Sim Ecosystem, Security Risks and Measures

Embedded Sim Ecosystem, Security Risks and Measures 組み込みSIMのエコシステム、セキュリティリスクと対策
eSIM is the generic term used for the embedded form of a SIM (subscriber identity module) card. Built into the device, the eSIM is hosted on a tiny chip that provide storage for the mobile subscription details in digital format. Like the regular SIM card, the eSIM identifies a subscriber within a mobile operator’s network and can be found in a wide range of products, such as wearable devices, computers, medical internet-of-things (IoT) devices, home automation and security systems, and handheld point-of-sale devices. This report gives an overview of the eSIM technology, assesses the market potential in Europe and includes security challenges identified and proposed mitigation measures. eSIMは、SIM(加入者IDモジュール)カードの組み込み型に使用される総称である。デバイスに組み込まれたeSIMは、小さなチップにホストされており、デジタル形式でモバイル契約の詳細を保存することができる。通常のSIMカードと同様に、eSIMは携帯電話会社のネットワーク内で加入者を識別し、ウェアラブル機器、コンピュータ、医療用IoT機器、ホームオートメーションやセキュリティシステム、携帯型POS機器など、さまざまな製品に搭載されていることが確認されている。本報告書では、eSIM技術の概要を説明し、欧州における市場の可能性を評価するとともに、特定されたセキュリティ上の課題と緩和策の提案を含む。

 

・[PDF]

20230311-105444

エグゼクティグサマリー

EXECUTIVE SUMMARY  エグゼクティブサマリー 
eSIM is the generic term used for the embedded form of a SIM (subscriber identity module) card. Like a normal SIM card, the eSIM identifies a subscriber within a mobile network operator’s (MNO) network. Unlike a normal SIM, the eSIM is built into the device, hosted on tiny chips that provide storage for the mobile subscription details in digital format. Both the tiny chip and the software are embedded in the device, with eSIMs being rewriteable by all mobile network operators (MNOs). The credentials required to sign into the MNO’s network are downloaded directly.  eSIMとは、SIM(Subscriber Identity Module)カードの組み込み型の総称である。通常のSIMカードと同様に、eSIMはモバイルネットワーク事業者(MNO)のネットワーク内で加入者を識別する。通常のSIMとは異なり、eSIMは機器に内蔵され、小さなチップにホストされており、デジタル形式でモバイル契約の詳細を保存することができる。小さなチップとソフトウェアの両方がデバイスに組み込まれており、eSIMはすべてのモバイルネットワーク事業者(MNO)によって書き換えが可能である。MNOのネットワークにサインインするために必要な認証情報は、直接ダウンロードされる。
eSIMs are found in a wide range of products, such as smartphones, wearable devices, tablets, computers, medical internet-of-things (IoT) devices, home automation and security systems, connected cards, and handheld point-of-sale devices. eSIM technical specifications are standardised by industry bodies and allow for power efficiency, remote SIM provisioning and interoperability. eSIM-compatible devices are gaining momentum now that major operating systems such as Android, IOS, and Windows 10 support them.  eSIMは、スマートフォン、ウェアラブル端末、タブレット端末、コンピュータ、医療用IoT機器、ホームオートメーションやセキュリティシステム、コネクテッドカード、携帯型POS機器など、幅広い製品に搭載されている。eSIMの技術仕様は業界団体によって標準化されており、電力効率、リモートSIMプロビジョン、相互運用性を実現する。Android、IOS、Windows 10などの主要OSがeSIMをサポートし、今ではeSIM対応機器の勢いが増している。
There are multiple advantages to using eSIMs over traditional SIMs. Devices can become flatter, more waterproof and more resistant to dust, and the eSIM’s small size leaves more room for other features. End users can also rewrite their eSIM, for example, to get a local pre-paid phone when abroad.   eSIMを使用することには従来のSIMと比較していくつかの利点がある。デバイスはより平らになり、防水性や防塵性を高めることができ、eSIMのサイズが小さいため、他の機能を搭載するためのスペースが確保される。また、エンドユーザーはeSIMを書き換えることで、例えば海外では現地のプリペイド携帯電話を手に入れることができる。 
For MNOs, logistics and support are simplified and new business opportunities are presented, since eSIMs can provide connectivity to IoT devices more easily, which then become ‘smart’ within an IoT ecosystem.  MNOにとっては、eSIMがIoT機器への接続をより容易にし、IoTエコシステムの中で「スマート」になるため、物流やサポートが簡素化され、新しいビジネスチャンスがもたらされる。
eSIMs also present security opportunities. For example, if the device is stolen, it is easier for the MNO to switch the user profile. It is also harder for a thief to discard the SIM card after stealing the device.  eSIMはまた、セキュリティの機会も提供する。例えば、デバイスが盗まれた場合、MNOはユーザープロファイルを変更することが容易になる。また、泥棒がデバイスを盗んだ後にSIMカードを廃棄することも難しくなる。
On the other hand, eSIMs present new security challenges and risks. For example, the arrival of eSIMs has opened up the possibility of eSIM swapping (1). Another challenge is the security of eSIM profile provisioning. End users can download a profile directly onto their devices. This could be targeted by attackers, who could push a new profile onto a device and take it over.  一方、eSIMは、セキュリティ上の新たな課題とリスクをもたらす。例えば、eSIMの登場により、eSIMのスワッピングの可能性が出てきた(1)。もう一つの課題は、eSIMプロファイルのプロビジョニングのセキュリティである。エンドユーザーは、自分のデバイスに直接プロファイルをダウンロードすることができます。これは攻撃者に狙われる可能性があり、攻撃者は新しいプロファイルをデバイスにプッシュし、それを乗っ取ることができる。
This paper provides an overview of eSIM technology and of the eSIM ecosystem, market potential and usage in Europe, along with an overview of the security challenges and risks.   本稿では、eSIM技術の概要と、欧州におけるeSIMエコシステム、市場の可能性、利用状況について、セキュリティ上の課題とリスクの概要とともに解説する。 
It can be useful for national authorities competent for the security of electronic communications in the context of providing relevant guidelines to the MNOs and also when auditing their security measures for mitigating the risks for eSIMs and safeguarding the eSIM provisioning processes. MNOs can also use the findings of this paper to improve their security posture as far as security of eSIMs is concerned.  電子通信のセキュリティに責任を持つ国家機関が、携帯電話会社に関連ガイドラインを提供する際や、eSIMのリスク軽減やeSIMの提供プロセスの保護に向けたセキュリティ対策を監査する際にも有用であろう。また、MNOは、eSIMのセキュリティに関する限り、本論文の知見を利用して、自社のセキュリティ態勢を改善することができる。
Key findings include the following.  主な発見は以下の通りである。
•        Security challenges identified are associated to software attacks like eSIM swapping, memory exhaustion and undersizing memory attacks, inflated profile and locking profile attacks.  Cybercriminals can cause unavailability of services or gain access to sensitive information.    ・特定されたセキュリティ課題は、eSIMのスワッピング、メモリの枯渇とアンダーサイジングメモリ攻撃、プロファイルの膨張とロックプロファイル攻撃などのソフトウェア攻撃に関連している。 サイバー犯罪者は、サービスの利用不能を引き起こしたり、機密情報にアクセスしたりすることができる。
•        There have been very few reported cybersecurity breaches involving eSIMs in Europe since 2010.  ・2010年以降、欧州ではeSIMを含むサイバーセキュリティ侵害の報告はほとんどない。
•        The findings show that there are no major technical vulnerabilities currently known that could be exploited by attackers to compromise user data or take control of user devices, but there are some weaknesses in terms of software design that could be exploited by hackers to gain access to sensitive information stored on eSIMs.  ・調査結果によると、現在知られている技術的な脆弱性には、攻撃者がユーザーデータの漏洩やユーザーデバイスの制御を行うために悪用できるような大きなものはないが、ソフトウェア設計の面では、ハッカーがeSIMに保存されている機密情報にアクセスするために悪用できるような弱点があることが分かっている。
•        It is quite likely that the expected large-scale IoT deployment will result to new attacks not yet explored, which can point out existing vulnerabilities of the new technology that have not been revealed so far.  ・今後予想される大規模なIoTの展開により、まだ調査されていない新たな攻撃が発生する可能性は十分にあり、これまで明らかにされていない新技術の既存の脆弱性を指摘することができる。

[1] ENISA, Countering SIM-Swapping – Overview and good practices to reduce the impact of SIM-swapping attacks, 2021 (https://www.enisa.europa.eu/publications/countering-sim-swapping ). 

 

1. INTRODUCTION 1. はじめに
1.1 SECURITY OF ESIMS 1.1 eSIMのセキュリティ
1.2 POLICY CONTEXT 1.2 政策的背景
1.3 TARGET AUDIENCE 1.3 想定読者
1.4 PREPARATION OF THIS REPORT 1.4 本報告書の作成
1.5 STRUCTURE OF THIS REPORT 1.5 本報告書の構成
2. ECOSYSTEM AND USAGE IN EUROPE 2. 欧州のエコシステムと使用状況
2.1 ESIM ECOSYSTEM 2.1 eSIMエコシステム
2.2 ESIM BENEFITS AND DRAWBACKS 2.2 eSIMの利点と欠点
2.3 SIM MARKET AND USAGE IN EUROPE 2.3 ヨーロッパのSIM市場と利用状況
3. ESIM DEPLOYMENTS 3. eSIM実装
3.1 SIM EVOLUTION 3.1 SIMの進化
3.2 ESIM ARCHITECTURE 3.2 eSIMアーキテクチャ
4. SECURITY CHALLENGES AND RISKS 4. セキュリティ上の課題・リスク
4.1 OVERVIEW OF SECURITY CHALLENGES AND RISKS 4.1 セキュリティ上の課題・リスクの概要
5. PROPOSED SECURITY MEASURES 5. セキュリティ対策案
5.1 GOVERNANCE AND RISK MANAGEMENT 5.1 ガバナンスとリスクマネジメント
5.2 OPERATIONS MANAGEMENT 5.2 運用管理
5.3 HUMAN RESOURCES SECURITY 5.3 人的資源の確保
5.4 SECURITY OF SYSTEMS AND FACILITIES 5.4 システムおよび施設のセキュリティ
5.5 MAPPING TO THE ENISA GUIDELINE 5.5 ENISAガイドラインへのマッピング
6. CONCLUSIONS 6. 結論
ANNEX 附属書

 

Figure 2: Overview of end-customer traditional SIM ecosystem

Fig02_20230312213001

 

 

Figure 7: GSMA proposed eUICC remote provisioning system for consumer solutions

Fig07

 

Figure 8: GSMA proposed eUICC remote provisioning system for M2M solutions

Fig08

 

Figure 9: Overview of the eSIM compliance process

Fig09

 

 

 

 

 


 

・2023.03.08 Fog and Edge Computing in 5G

Fog and Edge Computing in 5G 5Gにおけるフォグ・エッジコンピューティング
This report focuses on the fundamentals of fog and edge, an overview of their security aspects, the open challenges that these sectors face, the related standardisation efforts, the existing opportunities in this field, and different application scenarios. Fog and edge computing have become key enablers in the 5G ecosystem, creating new opportunities and novel applications, but also multi-modal security challenges, that the telco, cloud and industrial communities address them from different perspectives. 本報告書では、フォグ・エッジの基礎知識、セキュリティの概要、これらの分野が直面するオープンな課題、関連する標準化の取り組み、この分野における既存の機会、さまざまなアプリケーションシナリオに焦点を当てている。フォグ・エッジコンピューティングは、5Gエコシステムにおける重要なイネーブラとなり、新たな機会や新しいアプリケーションを生み出すと同時に、マルチモーダルなセキュリティの課題も発生しており、通信事業者、クラウド、産業界はさまざまな観点からこれらに取り組んでいる。

 

・[PDF]

20230311-105454

エグゼクティブサマリー

EXECUTIVE SUMMARY  エグゼクティブサマリー 
The ambition of this report is to outline the various security aspects of fog and edge computing in the 5G domain. This includes the technical risks, and therefore trust and resilience, in the telco ecosystem. Fog and edge technologies are considered in this report as a multidimensional space encompassing not only technological and functional domains but also the related technology lifecycle processes, stakeholders, and applications. This report focuses on the fundamentals of fog and edge, an overview of their security aspects, the open challenges that these sectors face, the related standardisation efforts, the existing opportunities in this field, and different application scenarios. Fog and edge computing have become key enablers in the 5G ecosystem, creating new opportunities and novel applications, but also multi-modal security challenges, that the telco, cloud and industrial communities address them from different perspectives.  本報告書の目的は、5G領域におけるフォグ・コンピューティングとエッジ・コンピューティングの様々なセキュリティ面について概説することである。これには、通信事業者のエコシステムにおける技術的リスク、ひいては信頼とレジリエンスも含まれる。本レポートでは、フォグテクノロジーとエッジテクノロジーを、技術的・機能的な領域だけでなく、関連するテクノロジーのライフサイクルプロセス、関係者、アプリケーションを包含する多次元空間として捉えている。本レポートでは、フォグとエッジの基礎、セキュリティ面の概要、これらの分野が直面するオープンな課題、関連する標準化の取り組み、この分野における既存の機会、さまざまなアプリケーションシナリオに焦点を当てている。フォグとエッジコンピューティングは、5Gエコシステムにおける重要なイネーブラとなり、新たな機会や新しいアプリケーションを生み出すと同時に、マルチモーダルなセキュリティの課題も発生しており、通信事業者、クラウド、産業界はそれぞれ異なる観点からこれらに取り組んでいる。
The need for this report stems from the work on the 5G EU toolbox. Specifically, the European Commission and the Member States, with the support of ENISA, developed a single EU coordinated risk assessment on cybersecurity in 5G networks, following the European Commission’s recommendation on the cybersecurity of 5G networks. Subsequently, the NIS Cooperation Group published the EU toolbox of risk mitigating measures. The objectives of this toolbox are to identify a possible common set of measures that are capable of mitigating the main cybersecurity risks of 5G networks that were identified in the EU report on coordinated risk assessment and to provide guidance for the selection of measures that should be prioritised in mitigation plans at national and at EU level. The toolbox identifies two groups of measures Member States can take: strategic and technical measures. In addition, it identifies a number of supporting actions that can assist, enable or support the implementation of strategic and technical measures.  本報告書の必要性は、5G EUツールボックスの作業に起因している。具体的には、欧州委員会と加盟国は、ENISAの支援を受けて、5Gネットワークのサイバーセキュリティに関する欧州委員会の勧告を受け、5Gネットワークのサイバーセキュリティに関する単一のEU協調リスク評価を策定した。その後、NIS協力会は、リスク軽減策のEUツールボックスを発表した。このツールボックスの目的は、協調的リスク評価に関するEU報告書で特定された5Gネットワークの主なサイバーセキュリティリスクを軽減することができる可能な共通の対策セットを特定し、国内およびEUレベルでの軽減計画で優先されるべき対策の選択のための指針を提供することである。ツールボックスは、加盟国が取り得る対策として、戦略的対策と技術的対策の2つのグループを特定している。さらに、戦略的対策と技術的対策の実施を支援し、可能にし、サポートすることができる多くの支援行動を特定する。
With this report, ENISA tries to provide support to the experts of the NIS Cooperation Group Work Stream on 5G Cybersecurity on current issues and challenges in the areas of fog and edge computing in 5G. This report aims to cover them from a technological and organisational point of view. Considerations of the effectiveness of specific standards and of the strategic aspects related to fog and edge security, although important, are outside the scope of this report and are covered merely from the technical analysis perspective.  本報告書により、ENISAはNIS協力グループの5Gサイバーセキュリティに関するワークストリームの専門家に対し、5Gにおけるフォグとエッジコンピューティングの分野における現在の問題や課題に関する支援を提供しようとするものである。本報告書は、技術的および組織的な観点からそれらをカバーすることを目的としている。特定の規格の有効性や、フォグとエッジのセキュリティに関連する戦略的側面についての考察は、重要ではあるが、本報告書の範囲外であり、単に技術分析の観点から取り上げている。
Accordingly, this report:  したがって、本報告書では 
•  provides an overview of fog and edge technologies in terms of 5G, in relation to their architecture, attributes, and security aspects;  ・5Gの観点から、フォグおよびエッジ技術のアーキテクチャ、属性、およびセキュリティの側面について概観する。
•  covers the different architectural approaches that both paradigms have introduced in the telco domain, along with their relevant applications;  ・両パラダイムが通信事業者の領域に導入したさまざまなアーキテクチャのアプローチと、その関連アプリケーションを取り上げる。
•  addresses the various security challenges that have emerged from the fog and edge convergence with 5G, for example trustworthiness of edge nodes, multi-modality of fog devices, large number of access devices and technologies;  ・エッジノードの信頼性、フォグデバイスのマルチモダリティ、多数のアクセスデバイスや技術など、フォグとエッジの5Gへの融合から生まれたさまざまなセキュリティ上の課題を取り上げる。
•  outlines the standardisation efforts of fog and edge computing in regard to security.  ・セキュリティに関するフォグおよびエッジコンピューティングの標準化の取り組みについて概説する。
•  analyses the existing literature against an ideal situation of cybersecurity robustness and resilience, and address technical and organisational security aspects;  ・サイバーセキュリティの堅牢性とレジリエンスの理想的な状況に対する既存の文献を分析し、技術的、組織的なセキュリティの側面を取り上げる。
•  analyses the current opportunities in terms of scalability, network management, reliability, sustainability, and federation for fog computing;  ・フォグコンピューティングのスケーラビリティ、ネットワーク管理、信頼性、持続可能性、フェデレーションの観点から、現在のビジネスチャンスを分析している。
•  detailing the current opportunities in terms of quality of experience (QoE), protocol standardisation, heterogeneity handling, and multi-access edge computing for edge computing;  ・エッジコンピューティングの経験品質(QoE)、プロトコルの標準化、異質性の処理、マルチアクセスエッジコンピューティングの観点から、現在の機会を詳しく説明する。
•  provides analysis on various application scenarios for fog and edge computing in 5G.  ・5Gにおけるフォグ・コンピューティングとエッジ・コンピューティングのさまざまなアプリケーション・シナリオに関する分析を提供する。
The report collects and analyses more than 100 documents and outlines the main security aspects in the fog and edge domains. The main observations that can be derived from the analysis are the following.  本報告書は、100以上の文書を収集・分析し、フォグとエッジの領域における主なセキュリティの側面について概説している。分析から導き出される主な見解は以下の通りである。
•  Fog and edge computing specifications and guidelines cover to a greater extent the ‘run’ phase of a technology lifecycle, whereas other phases would need tailoring.  ・フォグとエッジコンピューティングの仕様とガイドラインは、技術ライフサイクルの「実行」フェーズをより広範囲にカバーしているが、その他のフェーズでは、カスタマイズが必要である。
•  Existing knowledge bases on cybersecurity threats and IT-security guidelines can be used for fog and edge native architectures and architectures relying on application programming interfaces (APIs). Although these families of software are well known to the IT industry, their use is quite recent and constitutes drivers of the ‘cloudification’ of the telecom sector.  ・サイバーセキュリティの脅威やITセキュリティガイドラインに関する既存の知識ベースは、フォグやエッジネイティブのアーキテクチャやアプリケーションプログラミングインターフェース(API)に依存するアーキテクチャに使用することができます。これらのソフトウェア群はIT業界ではよく知られているが、その使用はごく最近のことであり、電気通信部門の「クラウド化」の推進要因となっている。
•  Fog and edge applications and services that have emerged from different sectors and have been integrated in the 5G domain are summarised. Both paradigms have enabled a horizontal cross-sector development of various innovative application scenarios.  ・異なる分野から登場し、5Gドメインに統合されたフォグとエッジのアプリケーションとサービスについてまとめている。両パラダイムは、さまざまな革新的なアプリケーションシナリオの水平的なクロスセクター展開を可能にした。
•  Presents the different novelties that have been developed under the scope of fog and edge computing and have had a disruptive impact in the networking technologies field overall. The report covers how novelties such as network service orchestration, federation, elasticity and scalability approach security challenges in the 5G domain.  ・フォグおよびエッジコンピューティングの範囲内で開発され、ネットワーク技術分野全体に破壊的な影響を与えたさまざまな新機能を紹介する。ネットワークサービスのオーケストレーション、フェデレーション、弾力性、スケーラビリティなどの新機能が、5G領域におけるセキュリティの課題にどのようにアプローチしているかを取り上げている。
•  Analyses various mitigation measures that fog and edge computing have developed in response to various security challenges present and introduced in 5G and also the different sectors and layers that are affected.  ・5Gに存在し、導入されるさまざまなセキュリティ課題に対して、フォグとエッジコンピューティングが開発したさまざまな緩和策を分析し、さらに影響を受けるさまざまな分野とレイヤーを分析する。
•  The available standards, specifications, and guidelines are general. They can be applied consistently to the fog and edge technical and functional domains and related lifecycle processes only after being tailored accordingly.  ・利用可能な標準、仕様、およびガイドラインは一般的なものである。これらは、フォグとエッジの技術・機能領域と関連するライフサイクルプロセスに一貫して適用できるのは、適宜調整された後である。
•  Fog-specific standards, specifications, and guidelines are available to a greater extent to the stakeholders from the Industrie 4.0 and ‘Internet of Things’ (IoT) sectors. Whereas for edge computing, the European Telecommunications Standards Institute (ETSI) and the 3rd Generation Partnership Project (3GPP) have defined several standard activities of the telecommunication sector.  ・フォグに特化した標準、仕様、ガイドラインは、Industrie 4.0や「モノのインターネット」(IoT)分野の関係者がより多く利用できます。一方、エッジコンピューティングについては、欧州電気通信標準化機構(ETSI)と第3世代パートナーシッププロジェクト(3GPP)が、電気通信部門のいくつかの標準活動を定義している。
Finally, this report stresses that, while the technical and organisational standards and specifications analysed can contribute to the security of fog and edge computing for 5G, they should not be treated as an exhaustive list of measures guaranteeing security. There are risks that are not covered by standards, for example, residual risks whose cost is neither borne by nor attributable to a specific stakeholder, such as societal risks resulting from network malfunctions. This vision should be future-proof and not dependent on the variability of assets and configurations in the network.  最後に、本報告書では、分析した技術的・組織的な標準や仕様が5Gのフォグ・エッジコンピューティングのセキュリティに貢献できるものの、セキュリティを保証する手段の網羅的なリストとして扱うべきものではないことを強調している。例えば、ネットワークの不具合に起因する社会的リスクなど、特定のステークホルダーが負担するわけでもなく、帰属するわけでもない残余のリスクなど、標準ではカバーできないリスクも存在する。このビジョンは、ネットワーク内の資産や構成の変動に左右されない、将来性のあるものであるべきである。

 

 

1. INTRODUCTION 1. はじめに
1.1. BACKGROUND AND POLICY CONTEXT 1.1. 背景と政策的背景
1.2. POLICY CONTEXT 1.2. 政策的背景
1.3. DOCUMENT PURPOSE AND OBJECTIVES 1.3. 文書の目的および目標
1.4. DOCUMENT SCOPE AND INTENDED AUDIENCE 1.4. 文書の範囲と対象読者
1.5. DOCUMENT STRUCTURE 1.5. 文書構造
2. OVERVIEW OF FOG AND EDGE COMPUTING IN 5G 2. 5Gにおけるフォグ・エッジコンピューティングの概要
2.1. FOG COMPUTING 2.1. フォグコンピューティング
2.2. EDGE COMPUTING 2.2. エッジコンピューティング
2.3. FOG AND EDGE COMPUTING IN 5G 2.3. 5Gにおけるフォグ・エッジコンピューティング
3. STANDARDISATION 3. 標準化
3.1. FOG AND EDGE COMPUTING STANDARDISATION OVERVIEW 3.1. フォグ・エッジコンピューティングの標準化の概要
3.2. FOG COMPUTING SECURITY IN 5G 3.2. 5Gにおけるフォグコンピューティングのセキュリティ
3.3. EDGE COMPUTING SECURITY IN 5G 3.3. 5Gにおけるエッジコンピューティングのセキュリティ
3.4. JOINT 5G CORE THREAT LANDSCAPE FOR FOG AND EDGE APPLICATIONS 3.4. フォグ・エッジアプリケーションのための共同5Gコア脅威状況
4. CURRENT OPPORTUNITIES 4. 現在の機会
4.1. FOG-COMPUTING OPPORTUNITIES IN 5G 4.1. 5Gにおけるフォグコンピューティングの可能性
4.2. EDGE COMPUTING OPPORTUNITIES IN 5G 4.2. 5Gにおけるエッジコンピューティングの可能性
5. SECURITY ASPECTS 5. セキュリティ面
5.1. FOG COMPUTING IN 5G 5.1. 5Gにおけるフォグコンピューティング
5.2. EDGE COMPUTING IN 5G 5.2. 5Gにおけるエッジコンピューティング
6. APPLICATION SCENARIOS 6. アプリケーションシナリオ
6.1. FOG COMPUTING IN 5G 6.1. 5Gにおけるフォグコンピューティング
6.2. EDGE COMPUTING IN 5G 6.2. 5Gにおけるエッジコンピューティング
7. CONCLUSIONS 7. 結論
8. REFERENCES 8. 参考文献

 

 

 

| | Comments (0)

2023.03.12

一般社団法人ソフトウェア協会 医療機関向けセキュリティ教育支援ポータルサイト

こんにちは、丸山満彦です。

一般社団法人ソフトウェア協会が厚生労働省の委託事業として、医療機関向けセキュリティ教育支援ポータルサイトを開設していますね。。。

必ずしも大きくない病院にも参考になるように工夫されていますが、診療所レベルではちょっとしんどいかもしれません。。。

 

(このサイトって予算の切れ目がサイトの切れ目なんでしょうかね。。。だとするとちょっともったいないなぁ。。。)

 

さて、医療機関は重要インフラとして、震災やパンデミックを想定したBCPを策定し、その計画にそった訓練等を実施していたりしますが、ランサムウェアを事象とした対応というのを十分にしていなかったかもしれません。

本来BCPは、どのような事象がおこってもある程度対応できるように、リソースベースで作るべきですが、日本では震災やパンデミックという具体的な脅威が明らかなこともあり、震災やパンデミックを想定したBCPが多く、想定外の事象に対応できない場合が多いのかもしれません。それゆえ、今回のランサムウェアにシステムが感染すると、医療がとまらなかったとしても、縮退運用をそれなりの期間継続せざるをなくなり、地域社会に一定の影響を及ぼしてしまうという事態になったのだろうと思います。

これを機会にリソースベースのBCPに作り直した上で、想定できる事象にそった訓練を実施することが重要となるのではないかと思います。。。

 

一般社団法人ソフトウェア協会

1_20230311064101

医療機関向けセキュリティ教育支援ポータルサイト

20230311-64423

 

 

| | Comments (0)

2023.03.11

NIST ホワイトペーパー NIST AI 100-2e2023(ドラフト)敵対的機械学習:攻撃と緩和策の分類と用語集

こんにちは、丸山満彦です。

NISTがAIに対する攻撃と緩和策の分類と用語についての報告書のドラフトを公開し、意見募集をしていますね。。。

AIとセキュリティ・プライバシーの接点という感じですかね。。。

2020年のサイバー犯罪に関する白浜シンポジウムで私が発表した内容の一部を精緻にしたような感じかもです。。。

 

NIST - ITL

・2023.03.08 Adversarial Machine Learning: A Taxonomy and Terminology of Attacks and Mitigations | NIST Draft Available for Comment

 

Adversarial Machine Learning: A Taxonomy and Terminology of Attacks and Mitigations | NIST Draft Available for Comment 敵対的な機械学習:攻撃と緩和策の分類と用語|NIST 意見募集中
The initial public draft of NIST AI 100-2 (2003 edition), Adversarial Machine Learning: A Taxonomy and Terminology of Attacks and Mitigations, is now available for public comment. NIST AI 100-2(2003年版)「敵対的機械学習」の初期パブリックドラフト:攻撃と緩和策の分類と用語の解説」のパブリックコメントを募集している。
This NIST report on artificial intelligence (AI) develops a taxonomy of attacks and mitigations and defines terminology in the field of adversarial machine learning (AML). Taken together, the taxonomy and terminology are meant to inform other standards and future practice guides for assessing and managing the security of AI systems by establishing a common language for understanding the rapidly developing AML landscape. Future updates to the report will likely be released as attacks, mitigations, and terminology evolve. 人工知能(AI)に関するこのNISTの報告書は、敵対的機械学習(AML)の分野における攻撃と緩和策の分類法を開発し、用語を定義している。この分類法と用語は、急速に発展しているAMLの状況を理解するための共通言語を確立することで、AIシステムのセキュリティを評価・管理するための他の標準や将来の実践ガイドを提供することを目的としている。攻撃、緩和策、用語の進化に伴い、将来的に報告書の更新が発表される可能性がある。
NIST is specifically interested in comments on and recommendations for the following topics: NISTは、特に以下のトピックに関するコメントや提言に関心を寄せている。
・What are the latest attacks that threaten the existing landscape of AI models? ・AIモデルの既存の状況を脅かす最新の攻撃は何か?
・What are the latest mitigations that are likely to withstand the test of time? ・時の試練に耐える可能性の高い最新の緩和策とは何か?
・What are the latest trends in AI technologies that promise to transform the industry/society? What potential vulnerabilities do they come with? What promising mitigations may be developed for them? ・業界/社会の変革を約束するAI技術の最新トレンドは何か?それらにはどのような潜在的な脆弱性があるのか?それらに対して、どのような有望な緩和策が開発される可能性があるのか?
・Is there new terminology that needs standardization? ・標準化が必要な新しい用語はあるか?

 

・2023.03.08 White Paper NIST AI 100-2e2023 (Draft) Adversarial Machine Learning: A Taxonomy and Terminology of Attacks and Mitigations

White Paper NIST AI 100-2e2023 (Draft) Adversarial Machine Learning: A Taxonomy and Terminology of Attacks and Mitigations ホワイトペーパー NIST AI 100-2e2023(ドラフト)敵対的機械学習:攻撃と緩和の分類と用語集
Announcement 発表
This NIST report on artificial intelligence (AI) develops a taxonomy of attacks and mitigations and defines terminology in the field of adversarial machine learning (AML). Taken together, the taxonomy and terminology are meant to inform other standards and future practice guides for assessing and managing the security of AI systems by establishing a common language for understanding the rapidly developing AML landscape. Future updates to the report will likely be released as attacks, mitigations, and terminology evolve. 人工知能(AI)に関するこのNISTの報告書は、敵対的機械学習(AML)分野における攻撃と緩和策の分類法を開発し、用語を定義している。この分類法と用語は、急速に発展しているAMLの状況を理解するための共通言語を確立することにより、AIシステムのセキュリティを評価・管理するための他の標準や将来の実践ガイドを提供することを目的としている。攻撃、緩和策、用語の進化に伴い、将来的に報告書の更新が発表される可能性がある。
NIST is specifically interested in comments on and recommendations for the following topics: NISTは、特に以下のトピックに関するコメントや提言に関心を寄せている。
・What are the latest attacks that threaten the existing landscape of AI models? ・AIモデルの既存の状況を脅かす最新の攻撃は何か?
・What are the latest mitigations that are likely to withstand the test of time? ・時の試練に耐える可能性の高い最新の緩和策とは何か?
・What are the latest trends in AI technologies that promise to transform the industry/society? What potential vulnerabilities do they come with? What promising mitigations may be developed for them? ・業界/社会の変革を約束するAI技術の最新トレンドは何か?それらにはどのような潜在的な脆弱性があるのか?それらに対して、どのような有望な緩和策が開発される可能性があるのか?
・Is there new terminology that needs standardization? ・標準化が必要な新しい用語はあるか?
NIST intends to keep the document open for comments for an extended period of time to engage with stakeholders and invite contributions to an up-to-date taxonomy that serves the needs of the public.  NISTは、この文書を長期間コメント募集し、ステークホルダーと関わり、人々のニーズに応える最新の分類法への貢献を呼びかけたいと考えている。 
Abstract 概要
This NIST AI report develops a taxonomy of concepts and defines terminology in the field of adversarial machine learning (AML). The taxonomy is built on survey of the AML literature and is arranged in a conceptual hierarchy that includes key types of ML methods and lifecycle stage of attack, attacker goals and objectives, and attacker capabilities and knowledge of the learning process. The report also provides corresponding methods for mitigating and managing the consequences of attacks and points out relevant open challenges to take into account in the lifecycle of AI systems. The terminology used in the report is consistent with the literature on AML and is complemented by a glossary that defines key terms associated with the security of AI systems and is intended to assist non-expert readers. Taken together, the taxonomy and terminology are meant to inform other standards and future practice guides for assessing and managing the security of AI systems, by establishing a common language and understanding of the rapidly developing AML landscape. この NIST AI 報告書は、敵対的機械学習(AML)の分野における概念の分類法を開発し、用語を定義している。この分類法は、AMLの文献の調査に基づいて構築されており、主要なML手法の種類と攻撃のライフサイクル段階、攻撃者の目標と目的、攻撃者の能力と学習プロセスに関する知識を含む概念階層に整理されている。また、攻撃の結果を緩和・管理するための対応方法を示し、AIシステムのライフサイクルで考慮すべき関連するオープンな課題を指摘している。本報告書で使用されている用語は、AMLに関する文献と一致しており、AIシステムのセキュリティに関連する主要な用語を定義し、専門家でない読者を支援することを目的とした用語集によって補完されている。この分類法と用語集は、急速に発展しているAMLの状況について共通の言語と理解を確立することにより、AIシステムのセキュリティを評価・管理するための他の標準や将来の実践ガイドに情報を提供することを目的としている。

 

・[PDF]

20230310-180445

 

目次...

Audience 想定読者
Background 背景
Trademark Information 商標情報
How to read this document 本書の読み方
Executive Summary エグゼクティブサマリー
1. Introduction 1. 序文
2. Attack Classification 2. 攻撃の分類
2.1. Stages of Learning 2.1. 学習のステージ
2.2. Attacker Goals and Objectives 2.2. 攻撃者の目標・目的
2.3. Attacker Capabilities 2.3. 攻撃者の能力
2.4. Attacker Knowledge 2.4. 攻撃者の知識
2.5. Data Modality 2.5. データのモダリティ
3. Evasion Attacks and Mitigations 3. 回避攻撃と緩和策
3.1. White-Box Evasion Attacks 3.1. ホワイトボックス回避攻撃
3.2. Black-Box Evasion Attacks 3.2. ブラックボックス回避攻撃
3.3. Transferability of Attacks 3.3. 攻撃の転送性
3.4. Mitigations 3.4. ミティゲーション
4. Poisoning Attacks and Mitigations 4. ポイズニング攻撃とその対策
4.1. Availability Poisoning 4.1. 可用性ポイズニング
4.2. Targeted Poisoning 4.2. 標的型ポイズニング
4.3. Backdoor Poisoning 4.3. バックドアポイズニング
4.4. Model Poisoning 4.4. モデルポイズニング
5. Privacy Attacks 5. プライバシー攻撃
5.1. Data Reconstruction 5.1. データの再構築
5.2. Memorization 5.2. 記憶する
5.3. Membership Inference 5.3. メンバーシップ推論
5.4. Model Extraction 5.4. モデル抽出
5.5. Property Inference 5.5. プロパティの推論
5.6. Mitigations 5.6. ミティゲーション
6. Discussion and Remaining Challenges 6. ディスカッションと残された課題
6.1. Trade-O↵s Between the Attributes of Trustworthy AI 6.1. 信頼できるAIの属性の間のトレードオフ↵。
6.2. Multimodal Models: Are They More Robust? 6.2. マルチモーダルモデル。よりロバストか?
6.3. Beyond Models and Data 6.3. モデルやデータを超えて
A. Appendix: Glossary A. 附属書:用語集

 

Fig. 1. Taxonomy of attacks on AI systems.

Fig01_20230311055101

順番は逆ですが、どのようなコントロールがどのような脅威に対応しているか?というのを上の図から整理すると、次のようになります。。。

Controls Availability Integrity Privacy
Label Limit Clean-Label Poisoning Clean-Label Backdoor  
Model Control Model Poisoning Model Poisoning  
Query Access Energy-Latency Black-Box Evasion Model Extractiion
      Reconstruction
      Memorization
      Membership Inference
      Property Inference
Train Data Control Data Poisoning Targetd Poisoning  
    Backdoor Poisoning  
Source Code Control   Backdoor Poisoning  
Test Dat Control   Backdoor Poisoning  
    Evasion  

 

Executive Summary  エグゼクティブサマリー 
This NIST AI report is intended to be a step toward developing a taxonomy and terminology of adversarial machine learning (AML), which in turn may aid in securing applications of artificial intelligence (AI) against adversarial manipulations of AI systems. The components of an AI system include – at a minimum – the data, model, and processes for training, testing, and deploying the machine learning (ML) models and the infrastructure required for using them. The data-driven approach of ML introduces additional security and privacy challenges in different phases of ML operations besides the classical security and privacy threats faced by most operational systems. These security and privacy challenges include the potential for adversarial manipulation of training data, adversarial exploitation of model vulnerabilities to adversely affect the performance of ML classification and regression, and even malicious manipulations, modifications or mere interaction with models to exfiltrate sensitive information about people represented in the data or about the model itself. Such attacks have been demonstrated under real-world conditions, and their sophistication and potential impact have been increasing steadily. AML is concerned with studying the capabilities of attackers and their goals, as well as the design of attack methods that exploit the vulnerabilities of ML during the development, training, and deployment phase of the ML life cycle. AML is also concerned with the design of ML algorithms that can withstand these security and privacy challenges. When attacks are launched with malevolent intent, the robustness of ML refers to mitigations intended to manage the consequences of such attacks.  この NIST AI レポートは、敵対的機械学習(AML)の分類法と用語の開発に向けた一歩となることを意図しており、ひいては人工知能(AI)のアプリケーションを、AI システムの敵対的操作から保護するのに役立つと考えられる。AIシステムの構成要素には、最低限、データ、モデル、機械学習(ML)モデルの訓練、テスト、実装のためのプロセス、およびそれらを使用するために必要なインフラストラクチャが含まれる。MLのデータ駆動型アプローチは、ほとんどの運用システムが直面する古典的なセキュリティとプライバシーの脅威に加えて、ML運用のさまざまな段階で追加のセキュリティとプライバシーの課題を導入する。これらのセキュリティとプライバシーの課題には、敵対的な学習データの操作、MLの分類と回帰の性能に悪影響を与えるモデルの脆弱性の悪用、さらには悪意のある操作、修正、モデルとの単なる相互作用によってデータに表された人々やモデル自身に関する機密情報が流出する可能性がある。このような攻撃は、実世界の条件下で実証されており、その巧妙さと潜在的な影響力は着実に増している。AMLは、MLのライフサイクルの開発、訓練、展開の段階において、攻撃者の能力とその目標を研究するとともに、MLの脆弱性を利用した攻撃手法の設計に関心をもっている。また、AMLは、こうしたセキュリティやプライバシーの課題に耐えられるMLアルゴリズムの設計にも取り組んでいる。悪意ある攻撃が行われた場合、MLの堅牢性は、そのような攻撃の結果を管理することを目的とした緩和策を指す。
This report adopts the notions of security, resilience, and robustness of ML systems from the NIST AI Risk Management Framework [169]. Security, resilience, and robustness are gauged by risk, which is a measure of the extent to which an entity (e.g., a system) is threatened by a potential circumstance or event (e.g., an attack) and the severity of the outcome should such an event occur. However, this report does not make recommendations on risk tolerance (the level of risk that is acceptable to organizations or society) because it is highly contextual and application/use-case specific. This general notion of risk offers a useful approach for assessing and managing the security, resilience, and robustness of AI system components. Quantifying these likelihoods is beyond the scope of this document. Correspondingly, the taxonomy of AML is defined with respect to the following four dimensions of AML risk assessment: (i) learning method and stage of the ML life cycle process when the attack is mounted, (ii) attacker goals and objectives, (iii) attacker capabilities, (iv) and attacker knowledge of the learning process and beyond.  本報告書では、NIST AIリスクマネジメントフレームワーク[169]から、MLシステムのセキュリティ、レジリエンス、ロバスト性の概念を採用した。セキュリティ、レジリエンス、ロバスト性は、リスクによって測られる。リスクとは、あるエンティティ(例えば、システム)が潜在的な状況や事象(例えば、攻撃)によって脅かされる程度と、そうした事象が発生した場合の結果の深刻さを示す尺度である。しかし、リスク許容度(組織や社会が許容できるリスクのレベル)については、文脈やアプリケーション/ユースケースに大きく依存するため、本報告書では提言していない。この一般的なリスク概念は、AIシステムコンポーネントのセキュリティ、レジリエンス、ロバスト性を評価・マネジメントする上で有用なアプローチを提供する。これらの可能性を定量化することは、この文書の範囲外である。これに対応して、AML の分類法は、AML リスク評価の次の 4 つの次元に関して定義される:(i) 学習方法と攻撃が行われる際の ML ライフサイクルプロセスの段階、(ii) 攻撃者の目標と目的、(iii) 攻撃者の能力、(iv) および学習プロセス以降に関する攻撃者の知識、。
The spectrum of effective attacks against ML is wide, rapidly evolving, and covers all phases of the ML life cycle – from design and implementation to training, testing, and finally, to deployment in the real world. The nature and power of these attacks are different and can exploit not just vulnerabilities of the ML models but also weaknesses of the infrastructure in which the AI systems are deployed. Although AI system components may also be adversely affected by various unintentional factors, such as design and implementation flaws and data or algorithm biases, these factors are not intentional attacks. Even though these factors might be exploited by an adversary, they are not within the scope of the literature on AML or this report.  MLに対する効果的な攻撃のスペクトルは幅広く、急速に進化しており、MLのライフサイクルのすべての段階(設計、実装から訓練、テスト、そして最後に実世界への展開まで)をカバーしている。これらの攻撃の性質や威力は様々で、MLモデルの脆弱性だけでなく、AIシステムが配備されたインフラの弱点も突くことができる。AIシステムの構成要素も、設計や実装の欠陥、データやアルゴリズムのバイアスなど、様々な非意図的要因によって悪影響を受ける可能性があるが、これらの要因は意図的な攻撃ではありません。これらの要因が敵に悪用される可能性があるとしても、AMLに関する文献や本レポートの範囲には含まれない。
This document defines a taxonomy of attacks and introduces terminology in the field of AML. The taxonomy is built on a survey of the AML literature and is arranged in a conceptual hierarchy that includes key types of ML methods and life cycle stages of attack, attacker goals and objectives, and attacker capabilities and knowledge of the learning process. The report also provides corresponding methods for mitigating and managing the consequences of attacks and points out relevant open challenges to take into account in the life cycle of AI systems. The terminology used in the report is consistent with the literature on AML and is complemented by a glossary that defines key terms associated with the security of AI systems in order to assist non-expert readers. Taken together, the taxonomy and terminology are meant to inform other standards and future practice guides for assessing and managing the security of AI systems by establishing a common language and understanding for the rapidly developing AML landscape. Like the taxonomy, the terminology and definitions are not intended to be exhaustive but rather to aid in understanding key concepts that have emerged in AML literature. 本書は、攻撃の分類法を定義し、AML 分野の用語を紹介する。この分類法は、AMLに関する文献の調査に基づいて構築されており、ML手法の主要な種類と攻撃のライフサイクル段階、攻撃者の目標と目的、攻撃者の能力と学習過程の知識を含む概念的な階層に整理されている。また、攻撃の結果を緩和・管理するための対応方法を示し、AIシステムのライフサイクルで考慮すべき関連するオープンな課題を指摘している。本報告書で使用されている用語は、AMLに関する文献と一致しており、専門家でない読者を支援するために、AIシステムのセキュリティに関連する主要な用語を定義した用語集によって補完されている。この分類法と用語集は、急速に発展しているAMLの状況について共通の言語と理解を確立することにより、AIシステムのセキュリティを評価・管理するための他の基準や将来の実践ガイドを提供することを目的としている。分類法と同様に、用語と定義は網羅的なものではなく、むしろAMLの文献で出てきた重要な概念の理解を助けるものである。

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2020.10.25『スマートサイバー AI活用時代のサイバーリスク管理』第24回 サイバー犯罪に関する白浜シンポジウムの発表資料

 


スマートサイバー AI活用時代のサイバーリスク管理 丸山 満彦 氏(PwCコンサルティング合同会社)

機械学習、深層学習をはじめとするいわゆる人工知能技術(AI)の社会での実装が進んできています。サイバーリスクの防御の面でも機械学習、深層学習を活用したサイバー防御製品やサービスが広がってきています。サイバーリスク管理にAIがどのように活用できるのか、人間とのかかわりはどうすべきか、そしてAIを活用したサイバー攻撃、AIに対するサイバー攻撃といったことにも触れていきながら、これからの課題を考えていきたいと思います。

・[PDF] スマートサイバー AI活用時代のサイバーリスク管理(配布用)

Title


 

| | Comments (0)

2023.03.10

中国 中国デジタル田園発展報告書(2022年版) (2023.03.01)

こんにちは、丸山満彦

「数字乡村」についての2022年成果を市示す、デジタル報告書が公表されていますね。。。

中国は、おそらく人口ではインドに抜かれ世界2位となり、過去の少子化政策もあり、人口の減少とともに、急速な老年化が始まっていますね。。。そんな中で、農村部の活動は重要となってくるので、デジタル化により、人口が減っても、経済が成長するような社会を目指していると思われます。。。

 

● 中央网安全和信息化委公室 (Cyberspace Administration of China: CAC)

・2023.03.01 《中国数字乡村发展报告(2022年)》发布

《中国数字乡村发展报告(2022年)》发布 中国デジタル田園発展報告書(2022年版)」を発表
近日,《中国数字乡村发展报告(2022年)》(以下简称《报告》)正式发布。《报告》由中央网信办信息化发展局、农业农村部市场与信息化司共同指导,农业农村部信息中心牵头编制。《报告》全面总结2021年以来数字乡村发展取得的新进展新成效,涵盖乡村数字基础设施、智慧农业、乡村新业态新模式、乡村数字化治理、乡村网络文化、乡村数字惠民服务、智慧绿色乡村、数字乡村发展环境等8个方面内容,并试行评价各地区数字乡村发展水平,为数字乡村建设推动者、实践者和研究者提供参考。 先日、「中国デジタル田園発展報告(2022年)」(以下、「本報告書」)が正式に発表された。 本報告書は、中央インターネット情報局情報開発局と農業農村部マーケティング・情報化局が共同で作成し、農業農村部情報センターが主体となって作成された。 本報告書は、2021年以降のデジタル田園発展の新進歩と新成果を総合的にまとめ、農村デジタルインフラ、スマート農業、農村新ビジネスモデル、農村デジタルガバナンス、農村ネットワーク文化、農村民衆デジタルサービス、スマートグリーン農村、デジタル田園発展環境などの8つの側面をカバーし、各地のデジタル田園発展の水準を試行的に評価し、デジタル田園建設推進者の参考としたデジタル田園構築の推進者、実務者、研究者に参考となる研究である。
总体上看,近年来乡村数字基础设施建设加快推进,截至2022年底,5G网络覆盖所有县城城区,实现“村村通宽带”“县县通5G”。乡村新业态新模式不断涌现,农村电商继续保持乡村数字经济“领头羊”地位,2022年全国农村网络零售额达2.17万亿元。从2022年试行开展的数字乡村发展水平评价结果看,智慧农业建设快速起步,农业生产信息化率提升至25.4%;乡村数字化治理效能持续提升,全国六类涉农政务服务事项综合在线办事率达68.2%;数字惠民服务扎实推进,利用信息化手段开展服务的村级综合服务站点增至48.3万个,行政村覆盖率达到86.0%。 全体として、農村におけるデジタルインフラの建設は近年加速しており、2022年末には5Gネットワークが郡部のすべての都市部をカバーし、「村のブロードバンド」と「郡の5G」を実現することになる。 農村では新たなビジネスやモデルが生まれつつあり、農村の電子商取引は農村デジタル経済の「リーダー」としての地位を維持し続けており、2022年には全国の農村オンライン小売売上高は2兆1700億元に達する。 2022年に試験的に実施されたデジタル田園の発展レベルの評価結果によると、スマート農業の建設が急速にスタートし、農業生産の情報化率は25.4%に上昇し、農村におけるデジタルガバナンスの有効性が引き続き向上し、6種類の農業関連行政サービスの包括的オンライン作業率は全国68.2%に達し、国民向けのデジタルサービスがしっかりと推進されており、情報技術を利用してサービスを行う村レベルの総合サービスステーションは48万3000ヶ所に増え、行政村でのカバー率は 国民向けのデジタルサービスが着実に推進され、村レベルの総合サービスステーション48万3千カ所が情報技術を利用してサービスを提供し、行政村のカバー率は86.0%に達している。

 

報告書はここに

...

・2023.03.01 中国数字乡村发展报告(2022年)

ビデオが...

新华网

・2023.03.09 微视频|深情系乡村

20230310-140313

 

1_20210612030101

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.03.10 中国 デジタルチャイナ建設全体配置計画 (2023.02.27)

・2022.09.08 中国 デジタル村標準システム構築ガイド (2022.09.01)

・2022.08.04 中国 デジタルチャイナ開発報告書(2021年)

・2022.04.27 中国 デジタル村開発業務の要点 (2022.04.20)

・2021.12.29 中国 ネットワークセキュリティ・情報技術中央委員会が「第14次5ヵ年計画における国家情報化計画」を発表していますね。。。

・2021.12.13 中国 第14次5カ年計画 デジタル経済開発計画

・2021.09.06 中国 デジタル村建設ガイド1.0

 

仮訳の表記揺れが...(^^;;

 

 


| | Comments (0)

中国 デジタルチャイナ建設全体配置計画 (2023.02.27)

こんにちは、丸山満彦です。

下書きのまま残っていました。。。でも、その後、庄荣文さんが発表していたの合わせて...

 

● 中央网安全和信息化委公室 (Cyberspace Administration of China: CAC)

・2023.02.27 中共中央 国务院印发《数字中国建设整体布局规划》

中共中央 国务院印发《数字中国建设整体布局规划》 中国共産党中央委員会と国務院は、「デジタルチャイナ建設全体配置計画」を発表した
新华社北京2月27日电 近日,中共中央、国务院印发了《数字中国建设整体布局规划》(以下简称《规划》),并发出通知,要求各地区各部门结合实际认真贯彻落实。 北京2月27日(新華社) -- このほど、中国共産党中央委員会(CPC)および国務院は、「デジタルチャイナ建設の全体配置計画」(以下、「計画」)を発表し、すべての地域と部門が実情に合わせて真剣に実施するよう求める通知を発出した。
《规划》指出,建设数字中国是数字时代推进中国式现代化的重要引擎,是构筑国家竞争新优势的有力支撑。加快数字中国建设,对全面建设社会主义现代化国家、全面推进中华民族伟大复兴具有重要意义和深远影响。 本計画では、デジタルチャイナの構築は、デジタル時代の中国式近代化を進めるための重要なエンジンであり、新たな国家競争力を構築するための強力な支えとなることを指摘している。 デジタルチャイナの建設を加速させることは、現代社会主義国家の包括的建設と中華民族の偉大な若返りの包括的推進に大きな意義と遠大な影響を与える。
《规划》强调,要坚持以习近平新时代中国特色社会主义思想特别是习近平总书记关于网络强国的重要思想为指导,深入贯彻党的二十大精神,坚持稳中求进工作总基调,完整、准确、全面贯彻新发展理念,加快构建新发展格局,着力推动高质量发展,统筹发展和安全,强化系统观念和底线思维,加强整体布局,按照夯实基础、赋能全局、强化能力、优化环境的战略路径,全面提升数字中国建设的整体性、系统性、协同性,促进数字经济和实体经济深度融合,以数字化驱动生产生活和治理方式变革,为以中国式现代化全面推进中华民族伟大复兴注入强大动力。 本計画では、新時代の中国の特色ある社会主義に関する習近平の思想、特に習近平総書記の強いネットワークに関する重要な思想の指導を堅持し、第20回党大会の精神を徹底し、安定的に進歩を求めるという総基調を守り、新開発理念を完全、正確、全面的に実行し、新開発パターンの建設を加速し、質の高い発展の推進に力を入れ、発展と安全を調整し、システム概念と底流思考を強化すべきだと強調した。 また、全体的な配置を強化し、基礎を固め、全体の状況を強化し、能力を強化し、環境を最適化するという戦略的な道を歩み、デジタルチャイナの建設の整合性、体系性、相乗性を総合的に高め、デジタル経済と実体経済の深い融合を促進し、デジタル化による生産と生活、統治の変化を推進し、中国式の現代化で中華民族の偉大な若返りを総合的に進めるための強力な推進力を注入していくとしている。
《规划》提出,到2025年,基本形成横向打通、纵向贯通、协调有力的一体化推进格局,数字中国建设取得重要进展。数字基础设施高效联通,数据资源规模和质量加快提升,数据要素价值有效释放,数字经济发展质量效益大幅增强,政务数字化智能化水平明显提升,数字文化建设跃上新台阶,数字社会精准化普惠化便捷化取得显著成效,数字生态文明建设取得积极进展,数字技术创新实现重大突破,应用创新全球领先,数字安全保障能力全面提升,数字治理体系更加完善,数字领域国际合作打开新局面。到2035年,数字化发展水平进入世界前列,数字中国建设取得重大成就。数字中国建设体系化布局更加科学完备,经济、政治、文化、社会、生态文明建设各领域数字化发展更加协调充分,有力支撑全面建设社会主义现代化国家。 本計画では、2025年までに、水平方向の連結性、垂直方向の一貫性、強力な協調性の統合パターンが基本的に形成され、デジタルチャイナの建設に大きな進展がもたらされることを提案している。 デジタルインフラが効率的に接続され、データ資源の規模と質が加速され、データ要素の価値が効果的に解放され、デジタル経済発展の質と効率が大幅に向上し、政務のデジタル化と知能化のレベルが大幅に向上し、デジタル文化の建設が新しいレベルに飛躍し、デジタル社会が正確、包括的、便利で目覚ましい成果を上げ、デジタル生態文明の建設が積極的に進展し、デジタル技術革新が大きな突破口を開き、応用革新は? デジタルセキュリティ能力が強化され、デジタルガバナンスシステムが改善され、デジタル分野での国際協力が新しい地平を切り開く。 2035年には、デジタル発展の水準が世界の最先端となり、デジタルチャイナの建設に大きな成果がもたらされる。 デジタルチャイナ建設の体系的な配置はより科学的で完全なものとなり、経済、政治、文化、社会、生態文明建設の各分野におけるデジタル発展はより協調的で適切なものとなり、現代社会主義国の全面的な建設を強力に後押しすることになる。
《规划》明确,数字中国建设按照“2522”的整体框架进行布局,即夯实数字基础设施和数据资源体系“两大基础”,推进数字技术与经济、政治、文化、社会、生态文明建设“五位一体”深度融合,强化数字技术创新体系和数字安全屏障“两大能力”,优化数字化发展国内国际“两个环境”。 本計画では、デジタルチャイナの建設は「2522」の全体的な枠組みに従って敷かれる、すなわちデジタルインフラとデータ資源システムという「二つの基礎」を固め、デジタル技術と経済、政治、文化、社会、生態文明建設の「5つを一つにまとめ」深化発展を推進すると明記し、デジタル技術革新システムとデジタルセキュリティバリアの「二大能力」を強化し、国内外「二環境」のデジタル発展を最適化する。
《规划》指出,要夯实数字中国建设基础。一是打通数字基础设施大动脉。加快5G网络与千兆光网协同建设,深入推进IPv6规模部署和应用,推进移动物联网全面发展,大力推进北斗规模应用。系统优化算力基础设施布局,促进东西部算力高效互补和协同联动,引导通用数据中心、超算中心、智能计算中心、边缘数据中心等合理梯次布局。整体提升应用基础设施水平,加强传统基础设施数字化、智能化改造。二是畅通数据资源大循环。构建国家数据管理体制机制,健全各级数据统筹管理机构。推动公共数据汇聚利用,建设公共卫生、科技、教育等重要领域国家数据资源库。释放商业数据价值潜能,加快建立数据产权制度,开展数据资产计价研究,建立数据要素按价值贡献参与分配机制。 本計画では、デジタルチャイナ建設の基礎を固める必要があると述べています。 第一に、デジタルインフラの動脈を開放することである。 5Gネットワークとギガビット光ネットワークの協調建設を加速し、IPv6の大規模展開と応用を促進し、モバイルIoTの包括的発展を促進し、北斗の大規模応用を強力に推進する。 コンピューティングインフラの配置を体系的に最適化し、東西のコンピューティングパワーの効率的な補完と相乗効果を促進し、汎用データセンター、スーパーコンピューティングセンター、インテリジェントコンピューティングセンター、エッジデータセンターの合理的なエシュロン配置を指導する。 アプリケーションインフラの全体的なレベルがアップし、従来のインフラのデジタル化とインテリジェント化が強化される。 第二に、データ資源の大循環を切り開く。 国家データ管理システムとメカニズムを構築し、各レベルのデータ調整・管理機関を充実させる。 公共データの収束と利用を促進し、公衆衛生、科学技術、教育などの重要分野で国家データリポジトリーを構築する。 商業データの潜在的な価値を引き出し、データ財産権システムの確立を加速し、データ資産の評価に関する研究を行い、データ要素の価値貢献度に応じた分配の仕組みを確立する。
《规划》指出,要全面赋能经济社会发展。一是做强做优做大数字经济。培育壮大数字经济核心产业,研究制定推动数字产业高质量发展的措施,打造具有国际竞争力的数字产业集群。推动数字技术和实体经济深度融合,在农业、工业、金融、教育、医疗、交通、能源等重点领域,加快数字技术创新应用。支持数字企业发展壮大,健全大中小企业融通创新工作机制,发挥“绿灯”投资案例引导作用,推动平台企业规范健康发展。二是发展高效协同的数字政务。加快制度规则创新,完善与数字政务建设相适应的规章制度。强化数字化能力建设,促进信息系统网络互联互通、数据按需共享、业务高效协同。提升数字化服务水平,加快推进“一件事一次办”,推进线上线下融合,加强和规范政务移动互联网应用程序管理。三是打造自信繁荣的数字文化。大力发展网络文化,加强优质网络文化产品供给,引导各类平台和广大网民创作生产积极健康、向上向善的网络文化产品。推进文化数字化发展,深入实施国家文化数字化战略,建设国家文化大数据体系,形成中华文化数据库。提升数字文化服务能力,打造若干综合性数字文化展示平台,加快发展新型文化企业、文化业态、文化消费模式。四是构建普惠便捷的数字社会。促进数字公共服务普惠化,大力实施国家教育数字化战略行动,完善国家智慧教育平台,发展数字健康,规范互联网诊疗和互联网医院发展。推进数字社会治理精准化,深入实施数字乡村发展行动,以数字化赋能乡村产业发展、乡村建设和乡村治理。普及数字生活智能化,打造智慧便民生活圈、新型数字消费业态、面向未来的智能化沉浸式服务体验。五是建设绿色智慧的数字生态文明。推动生态环境智慧治理,加快构建智慧高效的生态环境信息化体系,运用数字技术推动山水林田湖草沙一体化保护和系统治理,完善自然资源三维立体“一张图”和国土空间基础信息平台,构建以数字孪生流域为核心的智慧水利体系。加快数字化绿色化协同转型。倡导绿色智慧生活方式。 本計画では、経済と社会の発展を総合的に増強させるべきとしている。 まず、デジタル経済を強化・拡大する。 デジタル経済の中核産業を育成・強化し、デジタル産業の高品質な発展を促進するための方策を検討・策定し、国際競争力のあるデジタル産業クラスターを形成する。 デジタル技術と実体経済の深い融合を推進し、農業、工業、金融、教育、医療、交通、エネルギーなどの主要分野でのデジタル技術革新の応用を加速する。 デジタル企業の発展・成長を支援し、中小・大企業の統合・革新の作業メカニズムを改善し、「グリーンライト」投資案件で主導的役割を果たし、プラットフォーム企業の標準化・健全化を推進する。 第二に、効率的で協力的なデジタル政府を発展させる。 システムと規則の革新を加速し、デジタル政府の建設に適合する規則と規定を改善する。 デジタル能力構築を強化し、情報システムネットワークの相互接続、オンデマンドでのデータ共有、効率的な業務連携を推進する。 デジタルサービスのレベルを向上させ、「一物一価」の推進を加速させ、オンラインとオフラインのサービスの融合を推進し、政府サービス用モバイルインターネットアプリケーションの管理を強化・規制する。 第三に、自信に満ちた豊かなデジタル文化を構築することです。 ネット文化を精力的に発展させ、良質なネット文化製品の供給を強化し、各プラットフォームと一般市民が前向きで健全、上向きで善良なネット文化製品を創造・生産するよう指導していく。 文化のデジタル発展を推進し、国家文化デジタル化戦略を徹底的に実施し、国家文化データシステムを構築し、中国文化のデータベースを形成する。 デジタル文化サービスの能力を高め、多くの総合的なデジタル文化展示プラットフォームを構築し、新しい文化企業、文化産業、文化消費モデルの発展を加速させる。 第四に、包容力があり便利なデジタル社会を構築する。 デジタル公共サービスの普及を推進し、国家教育デジタル化戦略イニシアティブを精力的に実施し、国家スマート教育プラットフォームを整備し、デジタルヘルスを発展させ、インターネット医療とインターネット病院の発展を規制する。 デジタル社会ガバナンスの精密化を推進し、綿密なデジタル農村発展イニシアティブを実施し、農村産業発展、農村建設、農村ガバナンスをデジタルで力づける。 デジタル生活のインテリジェンスを普及させ、スマートで便利な生活圏、新しいデジタル消費産業、インテリジェントで没入感のあるサービス体験を未来に向けて創造する。 第五に、グリーンでインテリジェントなデジタルエコロジー文明を構築する。 生態環境のインテリジェントなガバナンスを推進し、賢明で効率的な生態情報システムの構築を加速し、デジタル技術を活用して山水、森林、湖沼、草地、砂地の統合保護と体系的管理を推進し、天然資源の三次元「一枚の地図」と土地空間の基本情報プラットフォームを改善し、デジタルツイン流域を核とするスマート水利システムを建設します。 デジタル化・グリーン化の協業変革を加速する。 グリーンでスマートなライフスタイルを推進する。
《规划》指出,要强化数字中国关键能力。一是构筑自立自强的数字技术创新体系。健全社会主义市场经济条件下关键核心技术攻关新型举国体制,加强企业主导的产学研深度融合。强化企业科技创新主体地位,发挥科技型骨干企业引领支撑作用。加强知识产权保护,健全知识产权转化收益分配机制。二是筑牢可信可控的数字安全屏障。切实维护网络安全,完善网络安全法律法规和政策体系。增强数据安全保障能力,建立数据分类分级保护基础制度,健全网络数据监测预警和应急处置工作体系。 本計画では、デジタルチャイナの重要な能力を強化すべきとしている。 第一に、自立的・自律的なデジタル技術革新システムを構築する。 社会主義市場経済の条件の下で、重要なコア技術研究の新しい国家システムを強化し、企業主導の産学研の綿密な統合を強化する。 科学技術イノベーションの主体である企業の地位を強化し、科学技術型基幹企業の主導的・支援的役割を発揮させる。 知的財産権の保護を強化し、知的財産権の変換による収益を分配するメカニズムを改善する。 第二に、信頼性が高く、コントロール可能なデジタルセキュリティバリアを構築する。 ネットワークセキュリティを効果的に維持し、ネットワークセキュリティの法律、規制、政策体系を改善する。 データセキュリティ保護能力を強化し、データの分類と評定保護の基本システムを確立し、ネットワークデータの監視と早期警戒・緊急処理作業システムを向上させる。
《规划》指出,要优化数字化发展环境。一是建设公平规范的数字治理生态。完善法律法规体系,加强立法统筹协调,研究制定数字领域立法规划,及时按程序调整不适应数字化发展的法律制度。构建技术标准体系,编制数字化标准工作指南,加快制定修订各行业数字化转型、产业交叉融合发展等应用标准。提升治理水平,健全网络综合治理体系,提升全方位多维度综合治理能力,构建科学、高效、有序的管网治网格局。净化网络空间,深入开展网络生态治理工作,推进“清朗”、“净网”系列专项行动,创新推进网络文明建设。二是构建开放共赢的数字领域国际合作格局。统筹谋划数字领域国际合作,建立多层面协同、多平台支撑、多主体参与的数字领域国际交流合作体系,高质量共建“数字丝绸之路”,积极发展“丝路电商”。拓展数字领域国际合作空间,积极参与联合国、世界贸易组织、二十国集团、亚太经合组织、金砖国家、上合组织等多边框架下的数字领域合作平台,高质量搭建数字领域开放合作新平台,积极参与数据跨境流动等相关国际规则构建。 本計画では、デジタル発展環境を最適化する必要があるとしている。 まず、公平で標準化されたデジタルガバナンスの生態を構築する。 法規体系を整備し、法制の連携を強化し、デジタル分野の立法計画を検討・策定し、デジタル発展に適応しない法体系を適時、手続きに基づいて調整する。 技術標準システムを構築し、デジタル標準作業のガイドラインをまとめ、各業界のデジタル変革や異業種融合発展のための応用標準の開発・改定を加速させる。 ガバナンスのレベルを高め、総合的なネットワークガバナンスシステムを整備し、あらゆる面、多面的な総合ガバナンス能力を高め、科学的、効率的、秩序的なネットワーク管理・ガバナンスのパターンを構築する。 サイバースペースを浄化し、綿密なネットワーク生態ガバナンスを実施し、「クリア」「クリーン」シリーズの特殊作戦を推進し、ネットワーク文明の建設を革新し推進する。 第二に、デジタル分野におけるオープンかつウィンウィンの国際協力のパターンを構築する。 デジタル分野の国際協力を計画し、マルチレベルの調整、マルチプラットフォームのサポート、複数の主体が参加するデジタル分野の国際交流協力システムを構築し、質の高い「デジタルシルクロード」を建設し、「シルクロード電子商取引」を積極的に発展させる。 デジタル分野の国際協力の場を拡大し、国連、世界貿易機関、G20、APEC、BRICS、SCOなどの多国間枠組みの下でのデジタル分野の協力プラットフォームに積極的に参加し、質の高いデジタル分野のオープンな協力のための新しいプラットフォームを構築し、国境を越えたデータの流れに関する国際ルールの建設に積極的に参加する。
《规划》强调,要加强整体谋划、统筹推进,把各项任务落到实处。一是加强组织领导。坚持和加强党对数字中国建设的全面领导,在党中央集中统一领导下,中央网络安全和信息化委员会加强对数字中国建设的统筹协调、整体推进、督促落实。充分发挥地方党委网络安全和信息化委员会作用,健全议事协调机制,将数字化发展摆在本地区工作重要位置,切实落实责任。各有关部门按照职责分工,完善政策措施,强化资源整合和力量协同,形成工作合力。二是健全体制机制。建立健全数字中国建设统筹协调机制,及时研究解决数字化发展重大问题,推动跨部门协同和上下联动,抓好重大任务和重大工程的督促落实。开展数字中国发展监测评估。将数字中国建设工作情况作为对有关党政领导干部考核评价的参考。三是保障资金投入。创新资金扶持方式,加强对各类资金的统筹引导。发挥国家产融合作平台等作用,引导金融资源支持数字化发展。鼓励引导资本规范参与数字中国建设,构建社会资本有效参与的投融资体系。四是强化人才支撑。增强领导干部和公务员数字思维、数字认知、数字技能。统筹布局一批数字领域学科专业点,培养创新型、应用型、复合型人才。构建覆盖全民、城乡融合的数字素养与技能发展培育体系。五是营造良好氛围。推动高等学校、研究机构、企业等共同参与数字中国建设,建立一批数字中国研究基地。统筹开展数字中国建设综合试点工作,综合集成推进改革试验。办好数字中国建设峰会等重大活动,举办数字领域高规格国内国际系列赛事,推动数字化理念深入人心,营造全社会共同关注、积极参与数字中国建设的良好氛围。 本計画では、すべてのタスクを実現するために、全体的な計画と調整を強化する必要性が強調されている。 まず、組織のリーダーシップを強化する。 デジタルチャイナの建設における党の全面的な指導を堅持・強化し、党中央委員会の集中的・統一的指導の下、ネットワークセキュリティ・情報化中央委員会はデジタルチャイナの建設の実施に関する調整、全面的推進、監督を強化する。 ネットワークセキュリティと情報化に関する地方党委員会の役割を十分に発揮させ、審議の調整メカニズムを改善し、デジタル発展を地域の仕事において重要な位置に置き、責任を効果的に実行する。 すべての関連部門は、責任分担に従って、政策と措置を改善し、資源の統合と力の相乗効果を強化し、作業シナジーを形成する。 第二に、制度的なメカニズムを改善する。 デジタルチャイナ建設の調整メカニズムを確立・改善し、デジタル発展の重大問題を速やかに検討・解決し、分野横断的な協力と上下の連携を促進し、主要な任務とプロジェクトを監督・実施する。 デジタルチャイナの発展に対する監視と評価を行う。 関連する党と政府の指導者と幹部の評価と査定において、デジタルチャイナ建設の作業を参考にする。 第三に、資金投資を保証する。 資金支援の方法を革新し、各種資金の調整と指導を強化する。 全国産業統合プラットフォームなどの役割を果たし、デジタル発展を支援する資金源を誘導する。 デジタルチャイナの建設に資本が標準的に参加することを奨励・指導し、社会資本が有効に参加する投融資システムを構築する。 第四に、人材への支援を強化する。 有力幹部と公務員のデジタル思考、デジタル意識、デジタル技能を強化する。 デジタル分野の多くの学科や専門分野の配置を調整し、革新的で応用力のある複雑な人材を育成する。 全人類をカバーし、都市部と農村部を統合したデジタルリテラシーとスキル育成の育成システムを構築する。 第五に、良い雰囲気を作る。 デジタルチャイナの建設において、高等教育機関、研究機関、企業の共同参加を促進し、多くのデジタルチャイナ研究基地を設立する。 デジタルチャイナ構築のための総合的なパイロットプロジェクトを調整・実施し、総合的かつ統合的な改革実験を推進する。 デジタルチャイナ建設サミットなどの主要イベントを開催し、デジタル分野における国内外の注目イベントを相次いで開催し、デジタル化の概念を人々の心に浸透させ、社会全体がデジタルチャイナ建設に関心を持ち、積極的に参加するための良い雰囲気を作り出す。

 

・2023.03.03 庄荣文:深入贯彻落实党的二十大精神 以数字中国建设助力中国式现代化

庄荣文:深入贯彻落实党的二十大精神 以数字中国建设助力中国式现代化 庄荣文:第20回党大会精神の徹底的な実行 デジタルチャイナの建設で中国式現代化を助ける
2023年3月3日出版的《人民日报》刊发中央宣传部副部长、中央网络安全和信息化委员会办公室主任、国家互联网信息办公室主任庄荣文署名文章。全文转发如下: 人民日報』2023年3月3日号は、中央宣伝部副部長、中央委員会ネットワーク安全情報化弁公室主任、国家サイバースペース管理局任の庄荣文氏の署名記事を掲載した。 以下、全文を転載する。
党的二十大报告指出,要加快建设网络强国、数字中国。习近平总书记深刻指出,加快数字中国建设,就是要适应我国发展新的历史方位,全面贯彻新发展理念,以信息化培育新动能,用新动能推动新发展,以新发展创造新辉煌。近日,中共中央、国务院印发了《数字中国建设整体布局规划》(以下简称《规划》),从党和国家事业发展全局和战略高度,提出了新时代数字中国建设的整体战略,明确了数字中国建设的指导思想、主要目标、重点任务和保障措施。建设数字中国是数字时代推进中国式现代化的重要引擎,是构筑国家竞争新优势的有力支撑。我们要切实把思想和行动统一到以习近平同志为核心的党中央决策部署上来,深入贯彻落实党的二十大精神,在全面建设社会主义现代化国家新征程中奋力谱写数字中国建设新篇章。 第20回党大会報告は、強靭なネットワーク国家とデジタルチャイナの建設を加速させるべきと指摘している。 習近平総書記は、デジタルチャイナの建設を加速することは、中国の発展の新しい歴史的方向性に適応し、新しい発展理念を全面的に実行し、情報技術で新しい原動力を培い、新しい原動力で新しい発展を促進し、新しい発展で新しい栄光を創造することだと深く指摘した。 最近、中国共産党中央委員会と国務院は『デジタルチャイナ建設全体配置計画』(以下、『計画』)を発表し、党と国家事業の発展の全体状況と戦略的高さから新時代のデジタルチャイナ建設の全体戦略を打ち出し、デジタルチャイナ建設の指導思想、主要目標、重要任務、保護措置を明らかにした。 デジタルチャイナの建設は、デジタル時代の中国式現代化を推進する重要なエンジンであり、国の新たな競争優位を築くための強力な支えとなる。 私たちは、習近平同志を核心とする党中央委員会の決定と展開に効果的に思想と行動を統一し、第20回中国共産党全国代表大会の精神を徹底的に実行し、社会主義総合現代国家建設という新たな旅路においてデジタルチャイナ建設の新しい章を書き上げるよう努力しなければならない。
一、充分认识加快建设数字中国的重大意义 一、デジタルチャイナの建設を加速させることの大きな意義を十分に理解する。
党的十八大以来,习近平总书记多次就数字中国建设作出重要论述、提出明确要求;在党的二十大报告中,习近平总书记对数字中国建设又作出新部署、提出新要求。这是以习近平同志为核心的党中央把握信息革命发展大势、立足全面建设社会主义现代化国家新征程、统筹国内国际两个大局作出的重大决策部署。印发实施《规划》,就是要落实党的二十大对数字中国建设提出的新部署新任务新要求,把党中央关于数字中国建设的决策部署转化为具体实践和实际成效。 第18回党大会以来、習近平総書記はデジタルチャイナの建設について重要な発言と明確な要求を繰り返してきたが、第20回党大会の報告で、習近平総書記はデジタルチャイナの建設について新しい段取りと新しい要求をした。 これは、習近平同志を核心とする党中央委員会が、情報革命発展の大きな流れを把握し、社会主義総合現代国家建設の新たな歩みを基礎とし、国内外の2大情勢を調整するために下した重大な決定と配置である。 本計画の発布と実施は、第20回党大会がデジタルチャイナ建設のために提案した新たな取り決めと任務を実施し、党中央委員会のデジタルチャイナ建設に関する決定と展開を具体的な実践と実践結果に結びつけることである。
加快建设数字中国是发挥信息化驱动引领作用、推进中国式现代化的必然选择。党的二十大报告指出,从现在起,中国共产党的中心任务就是团结带领全国各族人民全面建成社会主义现代化强国、实现第二个百年奋斗目标,以中国式现代化全面推进中华民族伟大复兴。习近平总书记多次强调,“没有信息化就没有现代化”、“信息化是‘四化’同步发展的加速器、催化剂”,深刻阐释了信息化和中国式现代化的内在关系。当前,中华民族伟大复兴战略全局、世界百年未有之大变局与信息革命时代潮流发生历史性交汇,数字中国建设成为推进中国式现代化的应有之义和必然选择。如何以数字中国建设助力实现人口规模巨大的现代化、全体人民共同富裕的现代化、物质文明和精神文明相协调的现代化、人与自然和谐共生的现代化、走和平发展道路的现代化,成为事关现代化建设全局的重大战略课题。《规划》的印发实施,就是要充分发挥数字中国建设的驱动引领作用,统筹推进数字技术在经济、政治、文化、社会、生态文明建设各领域全过程中的融合应用,更好支撑经济社会高质量发展,为推进中国式现代化提供不竭动力。 デジタルチャイナの建設を加速させることは、情報化で主導的な役割を果たし、中国式の近代化を推進するために避けられない選択である。 第20回党大会報告は、今後、中国共産党の中心的な任務は、全民族人民を団結させ、指導して、強い社会主義現代国家を建設し、2世紀目の闘争を達成し、中国式の現代化を伴う中華民族の偉大な若返りを全面的に推進することだと指摘している。 習近平総書記は、「情報化なくして近代化はない」「情報化は『四つの近代化』の同時発展の加速装置であり触媒である」と繰り返し強調し、情報化の本質的な関係を深く説明している。 このことは、情報化と中国の現代化の本質的な関係を深く説明している。 現在、中華民族の偉大な若返り戦略の全体状況、世界の未曾有の変化、情報革命の流れが歴史的に交錯し、デジタルチャイナの建設は中国の近代化を推進するための正当かつ必然的な選択となった。 デジタルチャイナの建設は、巨大な人口を擁する現代化、全人類が共に繁栄する現代化、物質文明と精神文明が調和した現代化、人類と自然が調和した現代化、平和的発展の道を歩む現代化をいかに実現するかという、現代化の全体像に関する大きな戦略課題になっている。 本計画の発布と実施は、デジタルチャイナ建設の牽引的・先導的役割を十分に発揮し、経済・政治・文化・社会・生態の各分野の文明建設の全過程においてデジタル技術の統合と応用を協調・促進し、質の高い経済・社会発展をよりよく支え、中国式近代化の推進に尽きない原動力にするものです。
加快建设数字中国是抢占发展制高点、构筑国际竞争新优势的必然选择。党的二十大报告指出,新一轮科技革命和产业变革深入发展,国际力量对比深刻调整,我国发展面临新的战略机遇。习近平总书记多次强调,信息化为我国抢占新一轮发展制高点、构筑国际竞争新优势提供了有利契机,为中华民族带来了千载难逢的机遇。当前,数字技术日益成为创新驱动发展的先导力量,开启了一次具有全局性、战略性、革命性意义的数字化转型,带动人类社会生产方式变革、生产关系再造、经济结构重组、生活方式巨变。如何顺应信息革命时代浪潮,抢抓数字化发展历史机遇,推动生产力与生产关系升级重构,引领撬动经济社会质量变革、效率变革、动力变革,成为当今时代决定大国兴衰的重要因素。《规划》的印发实施,就是要把握大势、主动作为、抢抓机遇,充分发挥社会主义制度优势和新型举国体制优势,利用好超大规模市场和海量数据资源、丰富应用场景、雄厚人力资源等,提升国家综合国力和国际竞争力,为全面推进中华民族伟大复兴提供有力支撑。 デジタルチャイナの建設を加速することは、発展の高台をつかみ、国際競争において新たな優位性を築くための必然的な選択である。 第20回党大会報告は、科学技術革命と産業変革の新ラウンドが深く発展し、国際勢力対比が深く調整され、中国の発展が新たな戦略的チャンスに直面していると指摘している。 習近平総書記は、情報技術は中国が新たなラウンドの発展の高みをつかみ、国際競争において新たな優位性を築くための有利な機会を提供し、中華民族に千載一遇のチャンスをもたらすと繰り返し強調している。 現在、デジタル技術はますますイノベーション駆動型発展の主導的な力となっており、グローバルで戦略的、革命的な意義を持つデジタル変革を切り開き、生産形態の変化、生産関係の再構築、経済の再構築、人間社会の生活様式の激変を牽引している。 情報革命の波にいかに対応し、デジタル発展の歴史的機会を捉え、生産力・生産関係の高度化と再編を推進し、経済・社会の品質変化、効率化、動力変化を先導・推進するかが、この時代の大国の盛衰を決定する重要な要素になっている。 本計画は、全体の流れを把握し、主導権を握り、チャンスをつかみ、社会主義体制の優位性と新国家体制の優位性を十分に発揮し、メガ市場と膨大なデータ資源、豊富な応用シナリオ、強い人材などを有効に活用し、国の総合的な国力と国際競争力を高め、中華民族の偉大な若返りの推進を全面的に支援するために発布・実施される。
加快建设数字中国是巩固党的长期执政地位、推进国家治理体系和治理能力现代化的必然选择。党的二十大报告指出,我们党作为世界上最大的马克思主义执政党,要始终赢得人民拥护、巩固长期执政地位,必须时刻保持解决大党独有难题的清醒和坚定。习近平总书记强调,过不了互联网这一关,就过不了长期执政这一关;要以信息化推进国家治理体系和治理能力现代化;善于运用互联网技术和信息化手段开展工作。当今世界,对任何国家和政党来说,互联网是重要执政条件,网络空间是重要执政环境,信息化是重要执政手段,用网治网能力是执政能力的重要方面和体现。特别是大数据、云计算、人工智能、区块链等数字技术广泛应用,为国家治理体系和治理能力现代化带来了全新的机遇和挑战。《规划》的印发实施,就是要把握数字化变革带来的新机遇新挑战,以信息化推进国家治理体系和治理能力现代化,不断提高党的执政能力和领导水平。 デジタルチャイナの建設を加速することは、党の長期支配の地位を固め、国家統治体制と統治能力の現代化を推進するために、避けられない選択である。 第20回党大会報告は、わが党が世界最大のマルクス主義与党として、常に人民の支持を獲得し、長期支配の地位を固めるには、大党特有の課題を解決する節操と決意を常に維持しなければならないと指摘した。 習近平総書記は、「インターネットのハードルを越えられないと、長期統治のハードルも越えられない。情報技術を使って国家統治体制と統治能力の現代化を推進し、インターネット技術や情報技術を使って仕事を進めることに長けなければならない」と強調した。 今日の世界では、いかなる国や政党にとっても、インターネットは重要な統治条件であり、サイバースペースは重要な統治環境であり、情報技術は統治の重要な手段であり、インターネットを利用して統治する能力は統治能力の重要な側面と現れである。 特に、ビッグデータ、クラウドコンピューティング、人工知能、ブロックチェーンなどのデジタル技術の普及は、国家統治システムと統治能力の現代化に新たなチャンスと課題をもたらしている。 本計画の発布と実施は、デジタル変革がもたらす新たな機会と課題を把握し、情報技術による国家統治システムと統治能力の現代化を推進し、党の統治能力と指導レベルを継続的に向上させることである。
加快建设数字中国是深化国际交流合作、推动构建人类命运共同体的必然选择。党的二十大报告指出,构建人类命运共同体是世界各国人民前途所在。习近平总书记站在网络空间人类前途命运的战略高度,直面世界互联网发展的共同问题,创造性提出构建网络空间命运共同体的理念主张。如何把握人类社会迈向数字文明新时代的发展大势,向着构建人类命运共同体的目标勇毅前行,成为数字时代关乎人类共同命运和福祉的战略抉择。《规划》的印发实施,就是要加快建设数字中国,探索走出一条中国特色数字化发展道路,打造开放共赢的数字领域国际合作格局,与世界各国共享数字化发展成果,为全球互联网发展治理贡献中国方案,构建网络空间命运共同体,共同培育全球发展的数字新动能。 デジタルチャイナの建設を加速することは、国際交流と協力を深め、人類運命共同体の構築を推進する上で避けられない選択である。 第20回党大会報告は、人類運命共同体の構築は世界のすべての人民の未来であると指摘している。 習近平総書記は、サイバースペースにおける人類の未来の運命という戦略的高みに立ち、世界のインターネット発展の共通問題を直視し、サイバースペースにおける運命共同体の構築という考えを創造的に打ち出した。 デジタル文明新時代に向けた人類社会の発展動向をいかに把握し、人類運命共同体の構築という目標に向かって大胆に前進するかは、人類共通の運命と幸福に関わるデジタル時代の戦略的選択となった。 本計画の発布と実施は、デジタルチャイナの建設を加速し、中国の特色あるデジタル発展の道を探り、デジタル分野における開放的でウィンウィンの国際協力パターンを構築し、デジタル発展の成果を世界各国と共有し、世界のインターネットの発展とガバナンスに中国のソリューションを貢献し、サイバースペースの運命共同体を構築し、世界の発展のために新しいデジタル原動を共同育成することにある。
二、准确把握数字中国建设整体布局的任务要求 二、デジタルチャイナ建設の全体配置の課題要求を正確に把握する。
党的二十大吹响了全面建设社会主义现代化国家、全面推进中华民族伟大复兴的新号角。面向新时代新征程,要坚持以习近平新时代中国特色社会主义思想特别是习近平总书记关于网络强国的重要思想为指导,聚焦《规划》明确的工作目标和重点任务,按照“夯实基础、赋能全局、强化能力、优化环境”的战略路径,立足数字中国建设“2522”的整体框架,即夯实数字基础设施和数据资源体系“两大基础”,推进数字技术与“五位一体”总体布局深度融合,强化数字技术创新体系和数字安全屏障“两大能力”,优化数字化发展国内国际“两个环境”,加强整体布局、整体推进,全面提升数字中国建设的整体性、系统性、协同性。 第20回党大会は、現代社会主義国の全面的建設と中華民族の偉大な若返りの全面的推進に向けて、新たなラッパを鳴らした。 新時代と新たな旅立ちのために、我々は新時代の中国の特色ある社会主義に関する習近平の思想、特にネットワークパワーに関する習近平総書記の重要な思想の指導を堅持し、本計画に明記した作業目標と重点課題に焦点を当て、「基礎を固め、全局に力を与え、能力を強化し、環境を最適化」するという戦略路線を歩み、デジタルチャイナ構築のための「2522」の全体的な枠組みを踏まえた上で、つまり、デジタルインフラとデータリソースシステムという「2つの基盤」を固め、その上で「5つを1つにまとめ」の全体的なレイアウトとデジタル技術の深い融合を推進し、デジタル技術革新システムとデジタルセキュリティバリアという「二大能力」を強化する。国内外のデジタル発展のための「2つの環境」を最適化し、全体的なレイアウトと推進を強化し、デジタルチャイナ建設の全体的、体系的、相乗的な性格を強化する。
着力夯实数字中国建设基础。打通数字基础设施大动脉,统筹推进网络基础设施、算力基础设施和应用基础设施等建设与应用,围绕5G、千兆光网、IPv6、数据中心、工业互联网、车联网等行业领域发展需求和特点,强化分类施策,促进互联互通、共建共享和集约利用。畅通数据资源大循环,构建国家数据管理体制机制,建设公共卫生、科技、教育等重要领域国家数据资源库,增强高质量数据资源供给,加强数据资源跨地区跨部门跨层级的统筹管理、整合归集,全面提升数据资源规模和质量,充分释放数据要素价值。 私たちは、デジタルチャイナ建設の基礎を固めることに努めます。 デジタルインフラの動脈を開き、ネットワークインフラ、コンピューティングインフラ、アプリケーションインフラの建設と応用を調整し、5G、ギガビット光ネットワーク、IPv6、データセンター、産業インターネット、車両ネットワークなどの産業分野の発展ニーズと特性に着目し、政策の分類を強化し、相互接続、共通建設と共有、集中利用を推進する。 また、国家データ管理システムとメカニズムを構築し、公衆衛生、科学技術、教育などの重要分野の国家データ資源リポジトリを構築し、高品質のデータ資源の供給を強化し、地域、部門、レベルを超えたデータ資源の統合管理と統合を強化し、データ資源の規模と質を総合的に改善し、データ要素の価値を十分に解放する。
着力深化数字中国全面赋能。做强做优做大数字经济,培育壮大数字经济核心产业,打造具有国际竞争力的数字产业集群,加快数字技术创新应用,赋能传统产业转型升级,支持数字企业发展壮大,推动平台企业规范健康发展。发展高效协同的数字政务,统筹推进政务数字化建设,打破数字孤岛。以数字技术服务党政机构职能转变、制度创新、流程优化,将数字化理念思维和技能素养融入履职全过程。打造自信繁荣的数字文化,创作生产更多积极健康、向上向善的网络文化产品,深入实施国家文化数字化战略,推动中华优秀传统文化与数字技术融合创新发展,满足人民日益增长的精神文化需求。构建普惠便捷的数字社会,着力提升教育、医疗、就业、养老、托育等重点民生领域数字化水平,推动不同地区、不同群体充分享受公共服务资源,加快建设智慧城市和数字乡村,构筑美好数字生活新图景。建设绿色智慧的数字生态文明,加强生态环境数据共享和利用,推进山水林田湖草沙数字化治理、智慧水利建设和自然资源智能化综合监测,深化数字化绿色化协同转型发展,推动重点行业、重点区域、重点基础设施等绿色低碳发展,形成绿色低碳的生产和生活方式,促进人与自然和谐共生。 デジタルチャイナの全体的なエンパワーメントの深化に投資する。 デジタル経済を強化・拡大し、デジタル経済の中核産業を育成・拡大し、国際競争力のあるデジタル産業クラスターを構築し、デジタル技術革新の応用を加速し、伝統産業の転換・高度化を力づけ、デジタル企業の発展・成長を支援し、プラットフォーム企業の標準化・健全化を促進します。 効率的で協力的なデジタル政府を発展させ、政府業務のデジタル建設を調整・促進し、デジタルサイロを破壊する。 デジタル技術を利用して、党と政府機関の機能転換、制度革新、プロセスの最適化に貢献し、デジタル概念思考とスキルリテラシーを職務遂行プロセス全体に統合する。 自信に満ちた豊かなデジタル文化を創造し、より前向きで健康的で上昇志向の強いオンライン文化製品を創造・生産し、国家文化デジタル化戦略を徹底的に実施し、優れた中国伝統文化とデジタル技術の融合・革新発展を促進し、国民の精神・文化ニーズの高まりに応じる。 包容力のある便利なデジタル社会を構築するため、教育、医療、雇用、年金、育児などの主要生活分野のデジタル化を重点的に改善し、さまざまな地域や集団の公共サービス資源へのフルアクセスを推進し、スマートシティやデジタルビレッジの建設を加速し、より良いデジタルライフの新しい姿を構築していく。 グリーンで賢明なデジタル生態文明を構築し、生態環境データの共有と利用を強化し、山、水、森、湖、草、砂のデジタル管理、知的水利の建設、天然資源の知的総合監視を推進し、協業型変革と発展のデジタル化・グリーン化を深め、重点産業、重点地域、重点インフラのグリーン・低炭素化を推進し、グリーン・低炭素の生産と生活を形成、人と自然の調和共存を推進する。
着力强化数字中国支撑能力。构筑自立自强的数字技术创新体系,整合跨部门、跨学科创新资源,健全社会主义市场经济条件下关键核心技术攻关新型举国体制,加快建立以企业为主体的技术创新体系,切实掌握数字技术发展主动权。筑牢可信可控的数字安全屏障,切实维护网络安全,完善网络安全法律法规和政策体系,增强数据安全保障能力,加强个人信息保护,夯实国家网络安全和数据安全保障体系。 デジタルチャイナのサポート能力強化に投資する。 自立・自律したデジタル技術革新システムを構築し、部門間・分野間の革新資源を統合し、社会主義市場経済の条件下で重要なコア技術に取り組む新しい国家システムを改善し、企業志向の技術革新システムの構築を加速し、デジタル技術開発のイニシアティブを効果的に把握します。 信頼性が高く制御可能なデジタルセキュリティバリアを構築し、ネットワークセキュリティを効果的に保護し、ネットワークセキュリティの法律、規制、政策体系を改善し、データセキュリティ保護能力を高め、個人情報保護を強化し、国家ネットワークセキュリティとデータセキュリティ保護体系を強固にする。
着力优化数字中国发展环境。建设公平规范的数字治理生态,健全数字领域法律法规体系、技术标准体系和网络综合治理体系,提升治理透明度和可预期性,开展标准研制,构建科学、高效、有序的管网治网格局。构建开放共赢的数字领域国际合作格局,着眼高水平对外开放,统筹谋划数字领域国际合作,建立多层面协同、多平台支撑、多主体参与的数字领域国际交流合作体系,积极参与网络空间国际规则制定,高质量搭建数字领域开放合作新平台,共同培育全球发展的数字新动能。 デジタルチャイナの発展のための環境の最適化に尽力する。 公正で標準化されたデジタルガバナンスの生態を構築し、デジタル分野の法律・規制制度、技術標準制度、総合的なネットワークガバナンス制度を改善し、ガバナンスの透明性と予測可能性を高め、標準化を実施し、ネットワーク管理とガバナンスの科学的、効率的、秩序あるパターンを構築していく。 デジタル分野の国際協力の開放的でウィンウィンのパターンを構築し、ハイレベルな対外開放を重視し、デジタル分野の国際協力を調整・計画し、マルチレベルの調整、マルチプラットフォームの支援、複数主体の参加によるデジタル分野の国際交流協力システムを構築し、サイバースペースの国際ルール策定に積極的に参加し、高品質のデジタル分野の開放協力の新しいプラットフォームを構築し、世界の発展のための新しいデジタル動態を共同で育成する。
三、全面加强党对数字中国建设的领导 三、デジタルチャイナ建設における党の指導力の全面的強化
建设数字中国是党中央作出的重大决策部署,是一项长期而艰巨的战略任务。我们要坚持以习近平新时代中国特色社会主义思想特别是习近平总书记关于网络强国的重要思想为指导,深入学习贯彻党的二十大精神,统筹谋划、整体部署、重点突破,充分发挥各地区各部门的积极性、主动性、创造性,广泛调动社会各界力量,加强数字中国建设整体布局,为以中国式现代化全面推进中华民族伟大复兴注入强大动力。 デジタルチャイナの構築は、党中央委員会が行った重大な決定と展開であり、長期的で困難な戦略的任務である。 我々は、新時代の中国の特色ある社会主義に関する習近平の思想、特に習近平総書記の強力なネットワークに関する重要な思想の指導を堅持し、第20回中国共産党全国代表大会の精神を深く研究して実行し、一体的に計画を立て、全体的に整え、突破口を見据え、各地と各部署の情熱、イニシアチブ、創造性を十分に発揮し、社会のあらゆる部門の努力を広く動員し、デジタルチャイナの建設の全体配置を強化し、中国式の近代化を実現しなければならない これは、中華民族の偉大な若返りの全面的な推進に強力な推進力を与えるものである。
坚持党的领导,加强组织实施。切实把党的领导贯穿到数字中国建设各方面和全过程,统筹推进数字中国建设重大机制创新、重大战略落地实施。推动各地区各部门强化资源整合和力量协同,将数字化工作摆在更加突出的位置,积极探索适应数字化发展的改革举措,及时总结可复制、可推广的经验做法,共同推动数字中国建设取得实效。 党の指導を堅持し、組織と実行を強化する。 党の指導をデジタルチャイナ建設のあらゆる側面と全過程に効果的に取り入れ、デジタルチャイナ建設の主要な制度革新と主要戦略の実施を調整・推進する。 各地域と各部門の資源の統合と力の相乗効果を促進し、デジタル業務をより目立つ位置に置き、デジタル発展に適応するための改革構想を積極的に模索し、再現可能な経験や実践をタイムリーにまとめ、デジタルチャイナ建設を共同で推進し、有効な成果を挙げるようにする。
坚持统筹联动,健全体制机制。建立健全数字中国建设统筹协调机制,及时研究解决数字化发展重大问题,加快推动跨部门协同和上下联动。推动各地区各部门按照《规划》制定落实方案,抓好重大任务和重大工程落实见效。中央网信办将持续开展数字中国发展监测评估,优化监测和评价方法,加强对各地数字化发展的整体研判,评估实施效果,发现并协调解决实施中出现的问题,以评估促发展、以评估促建设。 協調と調整を主張し、制度メカニズムを改善する。 デジタルチャイナ建設のための調整メカニズムを確立・改善し、デジタル発展の重大な問題を速やかに検討・解決し、分野横断的な調整と上下の連携の推進を加速させる。 各地域・各部門が本計画に沿って実施計画を策定することを推進し、主要課題・主要プロジェクトを把握し、成果を上げる。 中央インターネット情報弁公室は、引き続きデジタルチャイナの発展の監視と評価を行い、監視と評価の方法を最適化し、各地のデジタル発展の全体的な調査と判断を強化し、実施の効果を評価し、実施中に発生する問題の特定と解決を調整し、評価を伴う発展と建設を推進する。
坚持规划引领,强化要素保障。按照《规划》各方面部署要求,加快推动各项政策协调配套。保障资金投入,引导金融资源支持数字化发展,构建社会资本有效参与的投融资体系。强化人才支撑,推动领导干部和公务员加快提升数字思维、数字认知和数字技能,提升全民数字素养与技能,加大对创新型、应用型、复合型人才培养力度,壮大人才队伍。 主導する計画を主張し、要素の保証を強化する。 本計画の様々な側面の展開要件に従い、様々な政策の調整と支援を加速させる。 資本投資を保証し、デジタル発展を支える財源を誘導し、社会資本が効果的に参加する投融資システムを構築する。 人材支援を強化し、有力幹部や公務員にデジタル思考、デジタル認知、デジタルスキルの強化を加速させ、全人口のデジタルリテラシーとスキルを向上させ、革新的、応用指向、複合的な人材の育成を強化し、人材プールを拡大させる。
坚持全面赋能,营造良好氛围。增强高校、研究机构、企业等各类主体共同参与数字中国建设的活力和动力,培育建立一批数字中国研究基地,综合集成推进改革试验。办好数字中国建设峰会等重大活动,举办数字领域高规格国内国际系列赛事,凝聚产业和社会各界共识,让数字化理念深入人心,让全体人民共建共享数字化发展成果。 総合的なエンパワーメントを主張し、良い雰囲気を作る。 大学、研究機関、企業など各種団体がデジタルチャイナの建設に参加する活力と勢いを高め、多くのデジタルチャイナ研究基地を育成・設立し、総合的・統合的な改革・実験を推進する。 デジタルチャイナ建設サミットなどの大型イベントや、デジタル分野における国内外の注目イベントを開催し、産業界や社会の各界のコンセンサスを得ることで、デジタル化の概念を人々の心に根付かせ、すべての人々がデジタル発展の果実を分かち合う。

 

・2023.03.01 

庄荣文:以信息化推进中国式现代化 为中华民族伟大复兴贡献力量 庄荣文:情報技術で中国式の近代化を進める 中華民族の偉大な若返りに貢献する
2023年第5期《求是》杂志刊发中央宣传部副部长、中央网络安全和信息化委员会办公室主任、国家互联网信息办公室主任庄荣文署名文章。全文转发如下: 2023年の真実を求めて』第5号は、中央宣伝部副部長、中央委員会ネットワーク安全情報化弁公室主任、国家インターネット情報弁公室主任の荘栄文氏の署名記事を掲載した。 以下、全文を転載する。
习近平总书记在学习贯彻党的二十大精神研讨班开班式上深刻指出,概括提出并深入阐述中国式现代化理论,是党的二十大的一个重大理论创新,是科学社会主义的最新重大成果。中国式现代化是我们党领导全国各族人民在长期探索和实践中历经千辛万苦、付出巨大代价取得的重大成果,我们必须倍加珍惜、始终坚持、不断拓展和深化。当前,中华民族伟大复兴战略全局、世界百年未有之大变局与信息革命的时代潮流发生历史性交汇,信息化丰富了中国式现代化的时代背景、实践路径、驱动力量和建设目标,为全面建设社会主义现代化国家、全面推进中华民族伟大复兴带来了千载难逢的机遇。我们必须紧紧抓住信息革命历史机遇,深刻把握中国式现代化的中国特色、本质要求、重大原则,坚定不移以信息化推进中国式现代化,在全面建设社会主义现代化国家新征程上奋力谱写网络强国建设新篇章,为中华民族伟大复兴贡献力量。 習近平総書記は第20回党大会精神の研究と実践に関するセミナーの開幕式で、中国式現代化の理論を概説し、深く練り上げることは第20回党大会の主要な理論革新であり、科学的社会主義の最新の主要成果だと深く指摘した。 中国式現代化は、わが党が各民族人民の指導の下、長期的な探求と実践の中で大きな苦労と犠牲を払って達成した大きな成果であり、大切にし、堅持し、拡大・深化しなければならない。 現在、中華民族の偉大な若返り戦略の全体情勢、世界の未曾有の変化と情報革命が歴史的に交錯し、情報技術が中国現代化の背景、実践の道、原動力、建設目標を豊かにし、社会主義現代国家を全面的に建設し、中華民族の偉大な若返りを全面的に推進する千載一遇の機会をもたらしている。 我々は、情報革命の歴史的チャンスを把握し、中国式現代化の中国の特色、必須要件、主要原則を深く理解し、情報化による中国式現代化を揺るぎなく推進し、社会主義現代国家を全面的に建設する新しい旅路において、強靭なネットワーク国家建設の新しい章を書くよう努力し、中華民族の偉大な若返りに貢献する必要がある。
一、深入学习贯彻习近平总书记关于中国式现代化的重要论述,切实担负起以信息化推进中国式现代化的历史使命 一、習近平総書記の中国式現代化に関する重要な発言を深く研究・実行し、情報化による中国式現代化の推進という歴史的使命を効果的に担う。
党的十八大以来,习近平总书记立足信息化发展大势和国内国际大局,明确提出“没有信息化就没有现代化”、“以信息化驱动现代化”等重大论断,深刻论述了信息化与中国式现代化的一系列重大理论和实践问题,深刻阐明了信息化在社会主义现代化建设全局中的重要地位和作用。一是深刻阐释信息革命时代潮流与民族复兴历史进程的内在关系,强调世界各大国均把信息化作为国家战略重点和优先发展方向,世界权力图谱因信息化而被重新绘制,互联网成为影响世界的重要力量;信息化为我国抢占新一轮发展制高点、构筑国际竞争新优势提供了有利契机,为中华民族带来了千载难逢的机遇。二是深刻阐释信息化与中国式现代化的内在关系,强调西方发达国家是一个“串联式”的发展过程,工业化、城镇化、农业现代化、信息化顺序发展,发展到目前水平用了二百多年时间。我们要后来居上,把“失去的二百年”找回来,决定了我国发展必然是一个“并联式”的过程,工业化、信息化、城镇化、农业现代化是叠加发展的。推动新型工业化、信息化、城镇化、农业现代化同步发展,是事关现代化建设全局的重大战略课题,信息化是“四化”同步发展的加速器、催化剂,并且明确提出了到2035年基本实现新型工业化、信息化、城镇化、农业现代化的总体目标。三是深刻阐释网络强国与社会主义现代化强国的内在关系,强调要站在实现“两个一百年”奋斗目标和中华民族伟大复兴中国梦的高度,加快推进网络强国建设;要适应我国发展新的历史方位,全面贯彻新发展理念,以信息化培育新动能,用新动能推动新发展,以新发展创造新辉煌。 第18回党大会以来、習近平総書記は、情報化の発展の全般的な流れと国内外の情勢を踏まえ、「情報化なくして現代化はない」、「情報化によって駆動する現代化」などの重大な主張を明確に打ち出し、情報化と中国の現代化の一連の理論的・実践的重大問題について深く考察している。 また、情報化と中国の現代化に関する一連の主要な理論的・実践的問題を深く論じ、社会主義現代化の全体状況における情報化の重要な地位と役割を深く明らかにした。 第一は、情報革命の趨勢と民族の若返りの歴史的過程との間の固有の関係を深く説明し、世界のすべての主要国が情報化を国家戦略の優先課題、優先発展の方向としていること、情報化のために世界の勢力地図が塗り替えられたこと、インターネットが世界に影響を与える重要な力となったこと、情報化は中国にとって新しい発展の高みをつかむ好機、国際競争における新しい優位性を築く好機をもたらし、中国民族に一生に一回の機会をもたらすことなどを強調している。 インターネットは世界で重要な力を持つようになった。 第二に、情報化と中国式近代化の本質的な関係を深く説明し、欧米の先進国は工業化、都市化、農業近代化、情報化が順次発展する「タンデム」プロセスで、現在の水準に発展するまで200年以上かかっていることを強調している。 この「失われた200年」を取り戻すために、中国の発展は工業化、情報化、都市化、農業近代化を重ね合わせた「パラレル」プロセスでなければならないと判断したのです。 新工業化、情報化、都市化、農業現代化の同期発展を推進することは、現代化の全体情勢に関する重要な戦略課題であり、情報化は「四」の同期発展のための加速器であり触媒であり、2035年までに新工業化、情報化、都市化、農業現代化を基本的に実現するという全体目標を明確に提示している。 2035年までに新型工業化、情報化、都市化、農業現代化を基本的に実現するという全体目標が明確に提唱されている。 第三は、強いネットワークと強い社会主義現代国家の本質的な関係を深く説明し、強いネットワークの建設は「二百年」目標と中華民族の偉大な若返りという中国の夢の達成という高みから加速されるべきであることを強調し、中国の発展の新しい歴史志向に適応し、新しい発展理念を全面的に実施し、情報化で新しい活力を育て、新しい活力を利用して新しい発展を促進し、新しい活力を利用して新しい発展を促進すべきです。 中国の発展の新たな歴史的方向性に適応し、新発展理念を全面的に実施し、情報化で新たな勢いを養い、新たな勢いで新発展を推進し、新発展で新たな栄光を創り上げるべきである。
2021年世界互联网大会“互联网之光”博览会9月25日至28日在浙江乌镇举行。图为观众在现场参观。人民图片 翟慧勇/摄 9月25日から28日まで、浙江省烏鎮で「世界インターネット会議2021」の「インターネットの光」博覧会が開催されました。 写真は会場を訪れる観客の様子。 人民写真 翟慧永/撮影
习近平总书记的重要论述深刻回答了为什么要发展信息化、怎样发展信息化的一系列重大理论和实践问题,深刻阐明了以信息化推进中国式现代化的时代方位、目标要求、内在逻辑、总体布局、路径选择,体现了对信息化发展大势的深刻洞察、对生产力与生产关系发展规律的深刻把握,赋予了网信事业特殊重要的历史使命,为以信息化推进中国式现代化、加快建设网络强国指明了前进方向、提供了根本遵循。 習近平総書記の重要な発言は、情報化をなぜ、どのように発展させるのかという一連の理論的、実践的な主要問題に深く答え、情報化で中国式現代化を推進するための時代の方向性、目標要求、内部の論理、全体の配置、道の選択を深く明らかにし、情報化発展の全体的な傾向に対する深い洞察と生産力・生産関係の発展法則に対する深い把握を反映しており、次のように与えている。 情報技術による中国の現代化を推進し、強靭なネットワーク国家の建設を加速させるために、進むべき道を指摘し、基本的な指針を示したものである。
新征程上,我们要深入学习贯彻习近平新时代中国特色社会主义思想特别是习近平总书记关于网络强国的重要思想,深刻领悟“两个确立”的决定性意义,增强“四个意识”、坚定“四个自信”、做到“两个维护”,坚决贯彻落实习近平总书记重要论述重要指示批示精神和党中央重大决策部署,深入把握以中国式现代化全面推进中华民族伟大复兴的使命任务,全面增强“现代化建设、信息化先行”的责任感使命感紧迫感,坚持网络强国建设与实现第二个百年奋斗目标同步推进,自觉将信息化建设贯穿于全面建设社会主义现代化国家进程,坚定不移以信息化推进中国式现代化,以建设网络强国助力建设社会主义现代化强国。 新たな旅路において、我々は習近平の『新時代の中国の特色ある社会主義思想』、特に習近平総書記の強いネットワーク国家に関する重要な思想を学び、実践し、「二つの確立」の決定的な意義を深く理解し、「四意識」を高め、しっかりと "中国政府はまた、習近平総書記の重要な指示と訓示、党中央委員会の重大な決定を実行し、中国の近代化とともに中華民族の偉大な若返りを推進するという使命を把握し、総合的に判断する決意が必要だ。 政府は「現代化、情報化第一」の責任感と使命を強化し、強いネットワーク国の建設と第二百年目標の実現の同時推進を堅持し、社会主義現代化国の建設過程における情報化建設を意識的に実施し、情報化による中国の現代化を揺るぎなく促進し、強いネットワーク国の建設に貢献すべきである。 中国政府も情報技術による中国現代化を推進し、強いネットワークを構築して、強い社会主義現代化国の建設に貢献することに尽力すべきである。
二、深刻认识中国式现代化是我们党领导人民长期探索和实践的重大成果,牢牢把握以信息化推进中国式现代化的历史主动 二、中国の近代化に関する深い理解は、わが党の指導による人民の長期的な探求と実践の大きな成果であり、情報技術による中国の近代化を推進するための歴史的イニシアティブをしっかりと把握する。
习近平总书记关于中国式现代化的重要论述,深刻揭示了中国式现代化从奠基到发展并得到成功推进和拓展的内在逻辑,让我们深刻认识到这条道路来之不易。中国式现代化是一代代中国人孜孜以求的夙愿,特别是党的十八大以来,我们党在已有基础上继续前进,使中国式现代化具备了更为完善的制度保证、更为坚实的物质基础、更为主动的精神力量。网信战线对此有着深切体会。党的十八大以来,党中央明确提出建设网络强国的战略目标,统筹谋划和推进网络安全和信息化工作,我国建成了全球规模最大、技术领先、性能优越的信息基础设施,信息领域科技创新取得历史性突破,核心技术产业体系快速发展,数字经济规模从2012年的11万亿元增长到2021年的45.5万亿元,总量稳居世界第二,截至2022年6月,网民规模达10.51亿,互联网普及率达74.4%,数字政务、数字社会建设有力推进,信息化对现代化建设的驱动引领作用充分发挥。网信领域取得全方位、开创性成就,发生深层次、根本性变革,是中国式现代化新发展新成就的真实写照和生动缩影。这些成就的取得,根本在于习近平总书记作为党中央的核心、全党的核心领航掌舵,在于习近平新时代中国特色社会主义思想特别是习近平总书记关于网络强国的重要思想科学指引。 習近平総書記の中国式近代化に関する重要な発言は、中国式近代化の基礎から発展、成功した進出・拡大までの内部論理を深く明らかにし、この道が容易でないことを深く認識させた。 中国現代化は何世代にもわたる中国人の悲願であり、特に第18回党大会以降、わが党は既存の基礎の上に構築し続け、中国現代化がより優れた制度的保障、より強固な物質的基礎、より活発な精神力を持つようになった。 インターネット情報戦線は、このことを深く理解している。 第18回中国共産党全国代表大会以来、党中央委員会は強いネットワーク国の建設という戦略目標を明確に打ち出し、ネットワークセキュリティと情報業務を計画的に推進し、中国は世界最大の技術的に進んだ優れた情報インフラを構築し、情報分野の科学技術革新で歴史的な突破口を開き、コア技術産業体系を急速に整備し、デジタル経済の規模を2012年の11兆元から2021年の45兆5千億元へと拡大した。 デジタル経済の規模は2012年の11.1兆元から2021年の45.5兆元まで拡大し、総量は世界第2位、2022年6月現在、インターネットユーザー数は10億5100万人に達し、インターネット普及率は74.4%に達し、デジタル政府、デジタル社会の建設が強力に推進し、現代化における情報技術の牽引・先導的役割が十分に発揮された。 インターネット情報分野における全面的かつ画期的な成果、深く根本的な変化は、中国式近代化の新たな発展と成果の真の反映であり、鮮やかな縮図である。 これらの成果は、習近平総書記が党中央委員会の核心として、全党の核心として舵を切り、習近平新時代の中国の特色ある社会主義思想、特にネットワークパワー科学指導に関する習近平総書記の重要な思想の根底にある。
新征程上,我们要始终坚持、不断拓展和深化中国式现代化这一重大理论和实践成果,认真总结信息化发展取得的发展成就和宝贵经验,坚定历史自信、增强历史主动,加快信息化发展步伐,切实把信息化发展时代潮流转化为加快经济社会发展、增强综合国力、推进社会主义现代化建设的强劲动力。 新たな旅路では、中国式近代化の理論的・実践的な主要成果を常に堅持し、絶えず拡大・深化させ、情報化発展の発展成果と貴重な経験を真剣に総括し、歴史の信頼をしっかりと確立し、歴史のイニシアティブを高め、情報化発展のペースを加速し、情報化発展の時代の流れを経済・社会発展の加速、総合国力の強化、社会主義近代化建設の前進のための強い力に有効に転換しなければならない。 また、中国政府は中国式現代化の重要性を認識する必要がある。
三、深刻认识中国式现代化的重大原则,牢牢把握以信息化推进中国式现代化的正确方向 三、中国式現代化の大原則を深く理解し、情報化で中国式現代化を推進する正しい方向性をしっかりと把握する。
习近平总书记强调,“中国式现代化,是中国共产党领导的社会主义现代化”,“党的领导直接关系中国式现代化的根本方向、前途命运、最终成败”。总书记的重要论述对中国式现代化定了性、定了调、定了位。总书记还鲜明提出坚持和加强党的全面领导、坚持中国特色社会主义道路、坚持以人民为中心的发展思想、坚持深化改革开放、坚持发扬斗争精神五个重大原则。这些重大原则,既为推进中国式现代化提供了根本遵循,也为加快信息化发展、以信息化推进中国式现代化提供了根本指引。 習近平総書記は「中国式現代化は中国共産党が主導する社会主義現代化である」「党の指導は中国式現代化の基本方向、将来の運命、究極の成否に直接関係している」と強調した。 総書記の重要な発言は、中国式現代化の性質、基調、位置づけを決めた。 総書記はまた、党の全面的指導の堅持・強化、中国の特色ある社会主義の道の堅持、人民中心の発展思想の堅持、改革開放の深化の堅持、闘争精神の堅持という五大原則を明確に打ち出した。 これらの大原則は、中国式現代化を推進するための基本的な指針であるだけでなく、情報技術の発展を加速させ、情報技術によって中国式現代化を推進するための指針でもある。
从网信工作实际看,党的十八大以来,以习近平同志为核心的党中央站在“过不了互联网这一关就过不了长期执政这一关”的政治高度,改革完善互联网管理领导体制机制,成立中央网络安全和信息化领导小组(后改为中央网络安全和信息化委员会),提出“党管互联网”这一重大政治原则,全面加强党中央对网信工作的集中统一领导,从根本上解决了过去“九龙治水”的问题。只有毫不动摇坚持党中央对网信工作的集中统一领导,才能在网络强国建设进程中保持正确方向、激发强劲动力、凝聚磅礴力量。 インターネット情報化の実践的な観点から、第18回党大会以降、習近平同志を中核とする党中央委員会は、「インターネットのハードルを越えられないと、長期統治のハードルも越えられない」という政治的高みに立ち、インターネット管理指導の制度メカニズムを改革・改善し、ネットワークセキュリティ・情報化中央指導グループ(後に中央ネットワークセキュリティ・情報化センターに改称)を設立した。 党が管理するインターネット」という党の方針は、インターネット情報業務に対する党中央委員会の集中的かつ統一的な指導を強化し、過去の「九龍が水を支配する」問題を根本的に解決した主要な政治原則である。 サイバー情報の仕事をめぐる党中央委員会の中央集権的で統一的な指導を揺るぎなく堅持してこそ、強靭なサイバー国家の建設過程で正しい方向性を維持し、強い勢いを刺激し、堂々とした力を結集することができる。
2022年中国网络文明大会8月28日至29日在国家会展中心(天津)举办。图为参会者在大会现场参观展览。新华社记者 李然/摄 2022年中国ネットワーク文明会議は、8月28日から29日にかけて、国家会議展覧センター(天津)で開催されました。 写真は、会議の展示会を見学する参加者。 新華社通信記者 李蘭/写真
新征程上,我们要深刻把握中国式现代化的重大原则,将其贯彻到网络安全和信息化工作的全过程各方面,确保网信事业始终沿着正确方向和道路前进。毫不动摇坚持党对网信工作的领导,把党的领导贯穿到网络安全和信息化工作的各方面各环节,在引领信息革命、建设网络强国的进程中,确保党始终总揽全局、协调各方,切实提高信息化条件下党的执政能力和领导水平。坚定不移走中国特色互联网发展道路,坚定道不变、志不改的信念决心,不断拓展中国特色治网之道。坚持以人民为中心的发展思想,将人民群众作为网信事业发展最深沉、最持久、最可靠的动力源泉。坚持深化改革开放,深入推进网信领域理念思路、工作内容、方式手段、体制机制等全方位改革创新,坚定不移推进高水平对外开放。坚持发扬斗争精神,增强责任意识、风险意识、忧患意识,敢于担当、敢于碰硬,有效防范化解重大风险挑战。 新たな旅路において、我々は中国式現代化の大原則を深く把握し、それをネットワークセキュリティと情報化作業の全過程のあらゆる面に導入し、ネットワーク情報の大義が常に正しい方向と道をたどるようにしなければならない。 我々はサイバー情報化作業における党の指導を揺るぎなく堅持し、それをサイバーセキュリティと情報化作業の全過程に貫き、情報革命を主導し、強いサイバー国家を建設する過程において、党が常に全体像を把握し、各方面を調整し、情報化の条件の下で党の統治能力、指導力を効果的に向上させるべきである。 我々は中国の特色あるインターネット発展の道を歩み、道は変わらず、意志は変わらないという確固たる信念と決意を持って、中国の特色あるインターネット統治の道を開拓していくことを決意する。 人民中心の発展理念を堅持し、人民を最も深く、最も永続的で、最も信頼できる源として、ネットワーク情報という大義の発展に意欲を燃やす。 改革開放の深化を堅持し、ネットワーク情報分野の理念・思想、業務内容、方法・手段、制度メカニズムなどの全面的な改革・革新を深め、外部に対して高いレベルの開放性を揺るぎなく推進する。 闘争心を堅持し、責任感を高め、リスクに対する意識、心配に対する意識を高め、あえて担当し、あえて挑戦し、大きなリスクや課題を効果的に予防し解決する。
四、深刻认识中国式现代化的科学内涵,牢牢把握以信息化推进中国式现代化的职责定位 四、中国式近代化の科学的意味合いを深く理解し、情報技術で中国式近代化を推進する責任をしっかりと把握する。
党的二十大报告明确概括了中国式现代化是人口规模巨大的现代化、是全体人民共同富裕的现代化、是物质文明和精神文明相协调的现代化、是人与自然和谐共生的现代化、是走和平发展道路的现代化。这5个方面的中国特色,深刻揭示了中国式现代化的科学内涵,既是理论概括,也是实践要求。当前,以信息技术为代表的新一轮科技革命和产业变革突飞猛进,加速了劳动力、资本、能源、信息等要素的流动和共享,为转变发展方式、增进人民福祉、丰富精神文化生活、促进绿色化转型、推动交流合作提供了重要契机,为推进中国式现代化提供了强大的发展动能、有效的共享机制、丰富的物质文化供给、可靠的高质量发展路径、有利的外部发展环境。 第20回党大会報告は、中国式現代化とは、巨大な人口を抱える現代化、全人民が共同で繁栄する現代化、物質文明と精神文明が調和する現代化、人類と自然が調和して共存する現代化、平和発展の道を歩む現代化だと明確に概説している。 中国の特色を示すこの5つの側面は、中国式現代化の科学的な意味合いを深く示しており、理論的な概観であると同時に、実際的な要求でもある。 現在、情報技術に代表される技術革命と産業変革の新ラウンドは、労働、資本、エネルギー、情報などの流動と共有を加速し、発展方式の転換、人々の福祉の増進、精神文化生活の充実、グリーン転換の促進、交流と協力の促進に重要なチャンスを与え、中国近代化の推進に強力な発展の勢い、有効な共有メカニズム、豊富な物質と文化の供給、信頼できる高品質の近代化の提供を実現している。 強力な発展の勢い、効果的な共有メカニズム、豊かな物質と文化の供給、信頼できる質の高い発展の道、有利な外部発展環境などを提供してきた。
新征程上,我们要深刻把握中国式现代化的科学内涵,找准网信事业的职责定位,努力以推进网络强国建设的新成效为实现中国式现代化提供有力服务、支撑和保障。围绕人口规模巨大的现代化,既要利用好网民规模全球第一的有利条件,又要充分考虑广大人民群众上了网之后在管网治网用网等方面带来的复杂性、艰巨性,推动网信事业发展稳中求进、行稳致远。围绕全体人民共同富裕的现代化,发挥互联网普惠、便捷、共享等优势,加快推进信息惠民为民,让互联网发展成果惠及全体人民。围绕物质文明和精神文明相协调的现代化,既发挥信息化驱动引领作用,做强做优做大数字经济,又加强互联网内容建设,加快网络文明建设,将互联网打造成为新的发展引擎、新的精神家园。围绕人与自然和谐共生的现代化,推广数字化绿色化生产生活方式,加快推进数字化绿色化协同转型发展。围绕走和平发展道路的现代化,深化网络空间国际交流合作,推动全球互联网治理体系朝着更加公正合理的方向发展,构建和平、安全、开放、合作、有序的网络空间,以构建网络空间命运共同体推动构建人类命运共同体。 新しい旅において、我々は中国式現代化の科学的な意味合いを深く把握し、インターネットの責任の正しい位置づけを見出し、中国式現代化の実現に強力なサービス、サポート、保障を提供し、強いネットワーク国家の建設を推進するための新しい成果を出すよう努力しなければならない。 巨大な人口規模の現代化をめぐっては、世界最大のインターネット利用者数という好条件をうまく利用することが必要だが、インターネットの管理と利用において、膨大な人数がもたらす複雑さと巨大さを十分に考慮し、インターネット情報の原因の発展を着実に、安定的に推進することが必要である。 万民共栄の近代化を軸に、インターネットの包容力、利便性、共有性などの利点を十分に発揮させ、民衆のための情報化を加速させ、インターネットの発展の成果が万民のためになるようにする。 物質文明と精神文明を現代化するため、情報化で主導的な役割を果たし、デジタル経済を強化し、インターネットコンテンツ建設を強化し、インターネット文明の建設を加速し、インターネットを新しい発展エンジン、新しい心の故郷とする。 人と自然の共生を中心とした現代化、デジタル・グリーン生産とライフスタイルの推進、デジタル・グリーンによる相乗的な変革と発展を加速させる。 平和発展の道を中心とした現代化、サイバースペースにおける国際交流と協力を深め、グローバルなインターネットガバナンスシステムをより公正で合理的な方向で推進し、平和で安全、開放、協力、秩序のあるサイバースペースを構築し、サイバースペースに運命共同体を構築することで人類の運命共同体を推進する。
五、深刻认识中国式现代化需要处理好的一系列重大关系,牢牢把握以信息化推进中国式现代化的科学方法 五、中国式現代化のために対処すべき一連の主要な関係を深く理解し、情報技術で中国式現代化を推進する科学的方法をしっかりと把握する。
习近平总书记强调,推进中国式现代化是一个系统工程,需要统筹兼顾、系统谋划、整体推进,正确处理好顶层设计与实践探索、战略与策略、守正与创新、效率与公平、活力与秩序、自立自强与对外开放等一系列重大关系。处理好这一系列重大关系,不仅为推进中国式现代化提供了重要原则,也为做好新时代网络安全和信息化工作提供了科学指引。 習近平総書記は、中国式現代化の推進は、協調、体系的計画、全体的前進を必要とする体系的プロジェクトであり、トップレベルの設計と実践的探求、戦略と戦術、義と革新、効率と公正、活力と秩序、自立と自己改善、対外開放などの一連の主要関係を正しく処理することを強調した。 これら一連の大きな関係に対処することは、中国式の近代化を推進するための重要な原則を提供するだけでなく、新時代のサイバーセキュリティと情報化において良い仕事をするための科学的指針を提供する。
新征程上,我们要处理好顶层设计与实践探索的关系,坚决贯彻落实党中央决策部署,胸怀“国之大者”,紧密联系网信工作实际,加强对网信事业发展重大理论、重大战略、重大政策的研究谋划,及时把基层和群众创造的好做法好经验转化为政策机制,以网信工作一域的出新出彩为党和国家事业全局增光添彩。处理好战略与策略的关系,既深入实施网络强国战略,增强战略的前瞻性、全局性、稳定性,做到长期坚持、一抓到底,又灵活机动、因地制宜,对网络强国建设的具体任务、重要举措、重大工程等进行细化,做到因势而动、顺势而为。处理好守正与创新的关系,毫不动摇坚持党管互联网,坚持中国特色治网之道,同时全面深化网信领域各项改革,加快信息领域核心技术突破,进一步推动工作理念、内容、载体、形式、方法创新。处理好效率与公平的关系,在数字经济发展、核心技术突破等方面创造比资本主义更高的效率,同时更有效地维护社会公平正义,让亿万网民在共享互联网发展成果上有更多获得感。处理好活力与秩序的关系,既释放全社会创造潜能,激发广大网民和网信企业等主体活力,又统筹发展和安全,维护网络空间良好秩序,形成风清气正的网络生态。处理好自立自强与对外开放的关系,既加快科技自立自强步伐,解决“卡脖子”问题,真正掌握发展主动权,又推进网信领域更大范围、更深层次对外合作交流,深度参与网络空间国际治理,不断增强我国在网络空间的国际话语权和影响力。 新しい旅路では、トップレベルの設計と実践的な探求の関係を扱い、党中央委員会の決定と配置を断固として実行し、「国の大義」を念頭に置き、実際のネットワーク情報の仕事と密接に連絡を取り、ネットワーク情報の大義の発展のための主要理論、主要戦略、主要政策の研究と計画を強化し、草の根と大衆が作り出した良い実践と経験を速やかに政策メカニズムに転換しなければならない。  戦略と戦略の関係は、ネットワークパワー戦略の両方の詳細な実装では、先見性を高めるために、全体的に、戦略の安定性は、長期的な遵守を達成するために、最後に、しかしまた、柔軟な、地域の状況に応じて、特定のタスクのネットワークパワー建設、重要なイニシアチブ、主要なプロジェクトなど、状況を達成するために、洗練され、トレンドと移動する。 っているのである。 効率と公平の関係に取り組むべきで、デジタル経済の発展とコア技術のブレークスルーにおいて資本主義よりも高い効率を生み出す一方、より効果的に社会正義を守り、数億人のインターネットユーザーにインターネット発展の果実を手に入れる感覚を与える。 活力と秩序の関係をうまく処理し、社会全体の創造力を解放し、膨大な数のインターネットユーザーとインターネット企業の活力を刺激するだけでなく、発展と安全を調整し、サイバースペースの秩序を維持し、清潔で正しいインターネット生態を形成する必要がある。 自立と開放の関係に対処するため、科学技術の自立と自己改革のペースを速め、「首」問題を解決し、発展の主導権を真に握るだけでなく、サイバー情報分野における対外協力と交流の範囲を広げ、レベルを深め、サイバー空間の国際ガバナンスに深く参加し、サイバー空間における中国の国際的言論と影響力を絶えず高めることを推進する。
六、深刻认识中国式现代化的战略安排,牢牢把握新时代网络强国建设的主要任务 六、中国式近代化の戦略的配置を深く理解し、新時代の強力なネットワーク構築の主要課題をしっかりと把握することである。
党的二十大对全面建成社会主义现代化强国“两步走”战略安排进行了宏观展望,重点部署了未来5年的战略任务和重大举措。新征程上,我们要坚持以习近平新时代中国特色社会主义思想特别是习近平总书记关于网络强国的重要思想为指导,全面学习、全面把握、全面落实党的二十大精神,把建设网络强国的战略部署与实现第二个百年奋斗目标同步推进,切实以信息化推进中国式现代化,奋力开创网络强国、数字中国建设新局面。 第20回党大会は、現代的で強い社会主義国家を建設するための「二段階」の戦略配置について巨視的な見通しを立て、今後5年間の戦略任務と主要イニシアティブの展開に焦点を当てた。 この新たな旅路において、我々は新時代の中国の特色ある社会主義に関する習近平の思想、特に習近平総書記の強いネットワーク国に関する重要な思想の指導を堅持し、第20回中国共産党全国代表大会の精神を全面的に研究、全面的に把握、全面的に実行し、強いネットワーク国建設の戦略展開を2世紀目標の達成と同期させ、情報技術で中国の現代化を有効に推進し、強いネットワーク国とデジタルチャイナという新しい状況を作り出すよう努力すべきだ。 強いネットワークとデジタルチャイナを構築する新しい状況。
2022年7月22日至26日,第五届数字中国建设成果展览会在福建省福州市举行。图为观众在展览会上体验智慧医疗项目。新华社记者 周义/摄 2022年7月22日から26日まで、福建省福州市で「第5回デジタルチャイナ建設成果展」が開催されました。 写真は、展示会でスマート医療プロジェクトを体験する来場者の様子。 新華社通信記者周毅/写真
要加强数字基础设施建设,统筹推进网络基础设施、算力基础设施、应用基础设施等建设,大力推进体系化建设和规模化部署,打通经济社会发展的信息“大动脉”。加快信息领域核心技术突破,充分发挥我国社会主义制度优势、新型举国体制优势、超大规模市场优势,集中力量打好关键核心技术攻坚战,切实掌握技术自主权和发展主动权。做强做优做大数字经济,充分发挥数字经济在国内大循环中的关键节点作用和国内国际双循环中的战略链接作用,加快数字技术和实体经济融合发展,激发数字经济发展活力,打造具有国际竞争力的数字产业集群。推进数字政务高效协同,促进信息系统网络互联互通、数据按需共享、业务高效协同,推进线上线下融合。加快数字社会建设,统筹推进新型智慧城市和数字乡村发展,打造泛在可及、智慧便捷、公平普惠的数字化服务体系,持续提升全民数字素养与技能。推动数字文化繁荣发展,加强互联网内容建设,不断壮大主流思想舆论,创新数字文化产品内容和服务,发展数字化文化服务新模式。加快数字生态文明建设,深入推进数字化绿色化协同转型发展,加强数字基础设施绿色化改造升级,推动建立绿色低碳循环发展产业体系,提升数字化环境治理能力。筑牢网络安全防护屏障,全面加强网络安全保障体系和能力建设,深入实施网络安全、数据安全、关键信息基础设施安全保护等方面的法律法规,切实维护广大人民群众合法权益。深化网络空间国际交流合作,着眼高水平对外开放,积极搭建双边、区域和国际合作平台,充分发挥世界互联网大会等平台作用,加强同新兴市场国家、共建“一带一路”国家和广大发展中国家务实合作,高质量共建“数字丝绸之路”,构建开放共赢的数字领域国际合作格局。 デジタルインフラの建設を強化し、ネットワークインフラ、コンピューティングインフラ、アプリケーションインフラの建設を調整し、体系的な建設と大規模な展開を強力に推進し、経済と社会の発展のための情報の「動脈」を開くことが必要である。 情報分野のコア技術の躍進を加速し、中国の社会主義体制の優位性、新型国家体制の優位性、超大型市場の優位性を十分に発揮し、重要コア技術の戦いに力を入れ、技術的自主性と発展の主導権を効果的に握る。 デジタル経済を強化・拡大し、国内大循環の重要なノード、国内外二重循環の戦略的リンクとしてのデジタル経済の役割を十分に発揮させ、デジタル技術と実体経済の融合・発展を加速し、デジタル経済の発展を刺激し、国際競争力のあるデジタル産業クラスターを構築すること。 デジタル政府、情報システムネットワークの相互運用性、オンデマンドデータ共有、効率的なビジネスシナジー、オンラインとオフラインの統合を推進する。 デジタル社会の建設を加速し、新しいスマートシティとデジタルビレッジの開発を調整し、アクセスしやすく、インテリジェントで便利で、公平で包括的なデジタルサービスシステムを構築し、すべての人々のデジタルリテラシーとスキルを継続的に向上させる。 デジタル文化の豊かな発展を推進し、インターネットコンテンツの建設を強化し、主流思想と世論を絶えず強化し、デジタル文化製品の内容とサービスを革新し、デジタル文化サービスの新モデルを発展させる。 デジタル生態文明の建設を加速し、デジタル緑化と協調型変革・発展を徹底的に推進し、デジタルインフラの緑化とアップグレードを強化し、グリーン・低炭素・循環型発展産業システムの構築を推進し、デジタル環境ガバナンス能力を強化する。 サイバーセキュリティの強固な防護壁を構築し、サイバーセキュリティ保護体制と能力構築を全面的に強化し、サイバーセキュリティ、データセキュリティ、重要情報インフラのセキュリティ保護に関する法令を徹底し、一般市民の正当な権益を効果的に保護する。 サイバー空間における国際交流と協力を深め、高いレベルでの対外開放を重視し、二国間、地域、国際協力プラットフォームを積極的に構築し、世界インターネット会議などのプラットフォームの役割を十分に発揮し、新興市場国、「一帯一路」を共同で建設する国、発展途上国との実務協力を強化し、「デジタルシルクロード」を高品質で建設する。 また、新興市場国、「一帯一路」を共同構築する国、発展途上国との実務的な協力を強化し、質の高い「デジタル・シルクロード」を構築していく。

 

1_20210612030101

| | Comments (0)

英国 ICO Blog 国際女性デーに向けて...AIによる差別への対処が重要な理由

こんにちは、丸山満彦です。

03.08は国際女性デーでした。。。社内で歓送迎会をしたのですが、メンバーの計らいで女性メンバーに国際女性デーにちなんで、感謝のプレートを用意をしてくれました。。。男女に頭脳的な能力差はないように思うので、女性も思いっきり働ける環境が整えられますように。。。と思います。

そのためには、男性がまずは子育て、家事にもっと時間も割いて、いろいろとできるようにならないとね。。。頑張ります。。。(ちなみに、今のセキュリティチームのリーダーは、子供の弁当を毎朝つくってあげていたそうです。。。これはとても素敵な話です。。。)

さて、AIの利用においても差別を生むようなことがないようにすることが重要ですね。。。

つまり、子育てと同じように、AIも与えられた(学習した)データに基づいて判断をしていくことになりますので、社会のそのままのデータを与えた場合、今ある社会の差別的な要素も含めてAIが判断をしてしまうことになります。

女性や男性(民族や肌の色でも同じですが...)に対するステレオタイプに基づいたデータを与えれば、それに基づいて判断をしていくことでしょう。特に生成AIの場合でイラストを書いたり、話をつくったりする場合には特にそういうことが反映されたものになるかもしれません。。。

AIに可能性を感じている人はぜひ、目を通していただきたいと思います。。。

 

U.K. ICO

・2023.03.08 Blog: Why addressing AI-driven discrimination is so important

 

こちらも時間があれば、、、

What do we need to do to ensure lawfulness, fairness, and transparency in AI systems?

 

Fig_20230310040502

 

 

 

| | Comments (0)

欧州議会 欧州デジタルID:欧州デジタルIDの枠組みの更新

こんにちは、丸山満彦です。

デジタルIDというのは、いろいろな意味で重要となります。。。便利な反面、悪用されるとその影響も大きい。敵対的な国や犯罪者に悪用されることももちろんだけれども、政府によって悪用される可能性もある。そういうことも含めて考えることが重要ですよね。。。

 

European Parliament

・2023.03.09 European Digital Identity: easy online access to key services

European Digital Identity: easy online access to key services 欧州デジタルID:主要なサービスにオンラインで簡単にアクセスできる。
Improved rules for the European Digital Identity - a personal digital wallet for EU citizens - will make it easier for people to access public services and make online transactions. EU市民の個人用デジタルウォレットである「欧州デジタルID」のルールが改善され、公共サービスへのアクセスやオンライン取引が容易になる。
Since the start of the Covid-19 pandemic, more public and private services have become digital. This requires secure and reliable digital identification systems. During the plenary session in mid-March, the European Parliament will adopt its position on the proposed update of the European Digital Identity framework. Covid-19の流行が始まって以来、より多くの公共サービスや民間サービスがデジタル化されている。そのため、安全で信頼性の高いデジタルIDシステムが必要とされている。3月中旬の本会議で、欧州議会は欧州デジタルIDの枠組みの更新案に関する見解を採択する予定である。
Find out more about the digital transformation, one of the EU's priorities. EUの優先事項の一つであるデジタルトランスフォーメーションについて詳しく知ることができる。
What is the European Digital Identity? 欧州デジタルIDとは?
The European Digital Identity (eID) enables the mutual recognition of national electronic identification schemes across borders. It allows EU citizens to identify and authenticate themselves online without having to resort to commercial providers. It also allows people to access online services from other EU countries using their national electronic identity card. 欧州デジタルID(eID)は、国境を越えた各国の電子IDスキームの相互承認を可能にする。これにより、EU市民は、商用プロバイダーに頼ることなく、オンラインで自分の身元を確認し、認証することができる。また、自国の電子IDカードを使って、他のEU諸国のオンラインサービスにアクセスすることも可能である。
What are the benefits of the European Digital Identity? 欧州デジタルIDの利点は何であるか?
The European Digital Identity can be used for: 欧州デジタルIDは、以下のような用途に使用することができる。
Public services such as requesting birth certificates, medical certificates, reporting a change of address 出生証明書、医療証明書、住所変更届などの公共サービス
Opening a bank account 銀行口座の開設
Filing tax returns 確定申告
Applying for a university in your own country or in another EU country 自国または他のEU諸国の大学に出願する。
Storing a medical prescription that can be used anywhere in Europe 欧州のどこでも使える医療用処方箋の保管
Proving your age 年齢を証明する
Renting a car using a digital driving license デジタルドライビングライセンスを利用したレンタカー
Checking into a hotel ホテルにチェックインする
Improved rules ルールの改善
The 2014 Electronic Identification, Authentication and Trust Services (eIDAS) Regulation required EU countries to establish national schemes for electronic identification that meet certain technical and security standards. These national schemes are then connected allowing people to use their national electronic identity card to access online services in other EU countries. 2014年に制定された電子認証サービス(eIDAS)規則は、EU諸国に対し、一定の技術およびセキュリティ基準を満たす電子認証のための国家スキームを確立することを要求している。これらの国家スキームは接続され、人々は自国の電子IDカードを使って他のEU諸国のオンラインサービスにアクセスすることができる。
In 2021, the European Commission put forward a proposal building on the eIDAS framework, aiming to enable at least 80% of people to use a digital identity to access key public services across EU borders by 2030. 2021年、欧州委員会は、2030年までに少なくとも80%の人々がデジタルIDを使用してEUの国境を越えて主要な公共サービスにアクセスできるようにすることを目指し、eIDASフレームワークを基にした提案を提出した。
The report on the proposed update, which was adopted by the industry, research and energy committee, emphasises the importance of ensuring that national systems work with each other, are simple to use and that people have control over their personal data. 産業・研究・エネルギー委員会で採択された更新案に関する報告書では、各国のシステムが互いに連携し、使いやすく、人々が自分の個人データを管理できるようにすることの重要性が強調されている。
Check out more EU measures to boost the digital economy デジタル経済を促進するためのEUのその他の施策を確認する
The European strategy for data データに関する欧州戦略
Cryptocurrency dangers and the benefits of EU legislation 暗号通貨の危険性とEU法制化のメリット
New EU cybersecurity laws explained EUのサイバーセキュリティ新法について解説
Five ways the European Parliament wants to protect online gamers 欧州議会がオンラインゲーマーを保護するための5つの方法
Chips Act – the EU’s plan to overcome semiconductor shortage チップス・アクト-半導体不足を克服するEUの計画
European Digital Identity 欧州デジタルID

 

・[PDF] Updating the European digital identity framework

20230310-32407

・[DOCX] 仮訳

 

 

 

| | Comments (0)

2023.03.09

世界経済フォーラム (WEF) 世界のサイバーセキュリティ概況 2023 (2023.01.18)

こんにちは、丸山満彦です。

忘れていました...

昨年がレジリエンスを中心としていましたが、今年はやはり地政学リスク・サプライチェーンですかね。。。

世界経済フォーラム (WEF)が世界のサイバーセキュリティ概況 2023を公表していましたね。。。まえがきは、アクセンチュアのサイバーセキュリティのリーダーが書いていますね。。。昨年までは、もとDeloitteのKelly Bissellでしたが、Microsoftに移りましたからね...

World Economic Forum - Whitepaper

・2023.01.18 Global Cybersecurity Outlook 2023

 

・[PDF] Global Cybersecurity Outlook 2023

20230309-20350

 

目次...

Foreword まえがき
Executive summary エグゼクティブサマリー
1 The global cyber landscape 1 世界のサイバー状況
1.1 Geopolitics 1.1 地政学
1.2 Emerging technology 1.2 新興技術
1.3 Emerging threats 1.3 新たな脅威
1.4 Laws and regulations 1.4 法律・規制
2 Leadership perception changes 2 リーダーの認識の変化
2.1 Prioritizing cyber risk in business decisions 2.1 経営判断におけるサイバーリスクの優先順位付け
2.2 Gaining leadership support 2.2 リーダーシップの支持を得る
2.3 Cyber talent management 2.3 サイバー人材マネジメント
3 A way ahead 3 進むべき道
3.1 Improving communication 3.1 コミュニケーションの向上
3.2 Reviewing organizational design 3.2 組織設計の見直し
3.3 Building security culture 3.3 セキュリティ文化の構築
3.4 Closing the cyber talent gap 3.4 サイバー人材ギャップを解消するために
Conclusion 結論
Appendix: Methodology 附属書:メソドロジー
Contributors 協力者
Endnotes 巻末資料

 

まえがき...

  まえがき
Awareness and preparation will help organizations balance the value of new technology against the cyber risk that comes with it. 意識と準備によって、組織は新技術の価値とそれに伴うサイバーリスクのバランスをとることができる。
Geopolitical instability, rapidly maturing and emerging technologies, lack of available talent, and increasing shareholder and regulatory expectations represent some of the significant challenges that concern cyber and business leaders. If the findings of last year’s Global Cybersecurity Outlook reflected the lingering impact of the pandemic, and the effects of rapid digitalization, this year’s Global Cybersecurity Outlook reveals concerns about an increasingly fragmented and unpredictable world.  地政学的な不安定さ、急速に成熟する新興技術、利用可能な人材の不足、株主や規制当局の期待の高まりは、サイバーおよびビジネスリーダーを悩ます重大な課題のいくつかを表している。昨年の世界のサイバーセキュリティ概況の調査結果が、パンデミックの長引く影響や急速なデジタル化の影響を反映しているとすれば、今年の世界のサイバーセキュリティ概況は、ますます断片化し予測不可能な世界に関する懸念を明らかにしている。
Building cyber resilience, globally, has been one of the key priorities of the World Economic Forum’s Centre for Cybersecurity since its inception. Inherent in that work is bridge-building – between the public and private sectors, and between cyber experts and business leaders. This year, when the Centre engaged its network of global cyber and business leaders to solicit their insights on emerging cyberthreats, we could see both how far we have come, and how far we have yet to go in helping translate cyber-risk issues into communication that C-suites and boards of directors can use effectively.  世界経済フォーラムのサイバーセキュリティセンターは、設立以来、サイバーレジリエンスを構築することを重要な優先事項の1つとしている。この活動には、官民間、サイバー専門家とビジネスリーダーとの橋渡しが不可欠である。今年、当センターが世界のサイバーリーダーとビジネスリーダーのネットワークに参加し、新たなサイバー脅威に関する洞察を求めたとき、私たちは、サイバーリスクの問題をC-suiteや取締役会が有効に活用できるコミュニケーションに変換するために、どれだけ前進したか、またどれだけ前進していないかを実感した。
The outlook, however, need not seem bleak. There’s hope for better understanding – and more effective action – in the future. The best leaders avail themselves of wide-ranging information and listen to all of their stakeholders, understand their role and impact, and exercise good judgement to achieve the optimum outcomes. These attributes are no less necessary in cybersecurity than they are in any other domain. In this edition of the Global Cybersecurity Outlook, we are pleased to see improvement in a crucial area – awareness of cyber-risk issues, at the executive level, has gone up. At the same time, this year’s Global Cybersecurity Outlook report represents a challenge to leaders – to think more deeply about cybersecurity and listen more intently to cyber experts, and to each other, in order to ensure our shared resilience. しかし、見通しは暗いものではない。今後、より良い理解、そしてより効果的な行動ができるようになる希望がある。優れたリーダーは、幅広い情報を入手し、すべてのステークホルダーに耳を傾け、自分の役割と影響を理解し、最適な結果を得るために適切な判断力を発揮する。これらの特性は、サイバーセキュリティの分野においても、他の分野と同様に必要である。今回の世界のサイバーセキュリティ概況では、重要な領域で改善が見られたことを嬉しく思う-経営者レベルでのサイバーリスクの問題に対する認識が高まったのである。同時に、今年の世界のサイバーセキュリティ概況は、私たちが共有するレジリエンスを確保するために、サイバーセキュリティについてより深く考え、サイバーエキスパートや互いの意見にもっと耳を傾けるべきだという、リーダーへの挑戦でもある。

..

 

 

エグゼクティブサマリー...

Hearing is not the same as listening. This aptly characterizes the relationship between cyber and business leaders in many organizations, according to research for the 2023 Global Cybersecurity Outlook study. The significance of cyber risk has certainly been heard in C-suites and boardrooms. Whether cyber leaders and business leaders understand each other well enough to meet this challenge is, on the other hand, an open question. 聞くことと、聴くことは同じではない。2023 Global Cybersecurity Outlook調査の調査によると、これは多くの組織におけるサイバーリーダーとビジネスリーダーの関係を適切に特徴づけている。サイバーリスクの重要性は、C-suiteや役員室では確かに聞かれるようになった。一方で、サイバーリーダーとビジネスリーダーがこの課題に対応できるほどお互いを理解しているかどうかは、未解決の問題である。
Overall, the study indicates that business leaders are more aware of their organizations’ cyber issues than they were a year ago. They are also more willing to address those risks. Nonetheless, cyber leaders still struggle to clearly articulate the risk that cyber issues pose to their organizations in a language that their business counterparts fully understand and can act upon. As a result, agreeing on how best to address cyber risk remains a challenge for organizational leaders.  全体として、ビジネスリーダーは、1年前と比較して、組織のサイバー問題をより認識していることがわかる。また、そのようなリスクへの対処にも積極的である。しかし、サイバーリーダーは、ビジネスリーダーが十分に理解し、行動できるような言葉で、サイバー問題が組織にもたらすリスクを明確に表現することに苦労している。その結果、サイバーリスクに対処するための最善の方法について合意することは、組織のリーダーにとって依然として課題となっている。
The 2023 Global Cybersecurity Outlook report presents the results from this year’s study of cybersecurity and business leaders’ perspectives on leading cyber issues and examines how they affect organizations around the world. Key findings include: 2023 Global Cybersecurity Outlook報告書は、サイバーセキュリティおよびビジネスリーダーの主要なサイバー問題に対する見解に関する今年の調査結果を示し、それらが世界中の組織にどのような影響を及ぼすかを検証している。主な調査結果は以下の通りである。
・The character of cyberthreats has changed. Respondents now believe that cyberattackers are more likely to focus on business disruption and reputational damage. These are the top two concerns among respondents. ・サイバー脅威の性質は変化している。回答者は、サイバー攻撃者はビジネスの中断と評判の低下に重点を置く可能性が高いと考えるようになった。これらは、回答者の間で上位2つの懸念事項となっている。
・Global geopolitical instability has helped to close the perception gap between business and cyber leaders’ views on the importance of cyber-risk management, with 91% of all respondents believing that a far-reaching, catastrophic cyber event is at least somewhat likely in the next two years. ・世界の地政学的な不安定さが、サイバーリスクマネジメントの重要性に対するビジネスリーダーとサイバーリーダーとの間の認識ギャップを縮め、全回答者の91%が、今後2年間に広範囲で壊滅的なサイバーイベントが少なくともある程度起こり得ると考えている。
・Following from this, 43% of organizational leaders think it is likely that in the next two years, a cyberattack will materially affect their own organization. This, in turn, means that in many cases, enterprises are devoting more resources to day-to-day defences than strategic investment. ・また、組織リーダーの43%が、今後2年以内にサイバー攻撃が自組織に重大な影響を及ぼす可能性があると考えている。このことは、多くの場合、エンタープライズが戦略的投資よりも日々の防御に多くのリソースを割いていることを意味する。
・The data protection and cybersecurity concerns created by geopolitical fragmentation are increasingly influencing how businesses operate and the countries in which they invest. ・地政学的な分断がもたらすデータ保護やサイバーセキュリティの懸念は、企業の活動や投資先にますます影響を与えるようになっている。
・Business executives acknowledge that their organization’s cybersecurity risk is influenced by the quality of security across their supply chain of commercial partners and clients.  ・企業経営者は、自社のサイバーセキュリティリスクが、商業パートナーや顧客などのサプライチェーンにおけるセキュリティの質に影響されることを認識している。
・Leaders intend to respond to these concerns by strengthening controls for third parties with access to their environments and/or data and re-evaluating which countries they do business in. However, business leaders are more likely to focus  on in-house solutions for cyber-risk management, whereas security leaders place a higher priority on partnerships with other organizations. ・企業経営者は、自社の環境やデータにアクセスできる第三者に対する管理者の強化や、取引先の国の見直しによって、こうした懸念に対応する意向がある。しかし、ビジネスリーダーは、サイバーリスクマネジメントのための自社ソリューションに重点を置く傾向が強く、セキュリティリーダーは、他の組織とのパートナーシップをより優先する傾向がある。
・Many organizations are undertaking large digital transformation projects. Adding emerging technology to legacy IT increases the complexity of organizations’ digital environments and therefore their cybersecurity risk. Leaders struggle to balance the value of new technology with the potential for increased cyber risk in their organizations. ・多くの組織が大規模なデジタルトランスフォーメーションプロジェクトに取り組んでいる。レガシーITに新たなテクノロジーを加えることで、組織のデジタル環境の複雑さが増し、サイバーセキュリティリスクが高まる。リーダーは、新技術の価値と組織のサイバーリスク増加の可能性のバランスを取るのに苦労している。
・Cyber executives are now more likely to see data privacy laws and cybersecurity regulations as an effective tool for reducing cyber risks across a sector. This is a notable shift in perception from the 2022 Outlook report. Despite the challenges associated with compliance, cyber leaders acknowledged that regulation incentivizes muchneeded action on cybersecurity. ・サイバーエグゼクティブは、データプライバシー法やサイバーセキュリティ規制を、セクター全体のサイバーリスクを低減するための有効な手段であると考える傾向が強くなっている。これは、2022年展望報告書からの顕著な認識の変化である。コンプライアンスに関連する課題はあるものの、サイバーリーダーは、規制がサイバーセキュリティに関する必要な行動を促すと認めている。
・Structured interactions between cyber and business leaders are becoming more frequent – 56% of security leaders now meet monthly or more often with their board. This is rapidly narrowing the cybersecurity perception gap. However, more needs to be done to promote understanding between business and security teams to support effective action by organizational leaders.  ・サイバーリーダーとビジネスリーダーの間の構造的な交流がより頻繁に行われるようになってきている - セキュリティリーダーの56%が取締役会と毎月またはそれ以上の頻度で会合を持つようになっている。これは、サイバーセキュリティに対する認識のギャップを急速に縮めている。しかし、組織のリーダーによる効果的な行動を支援するために、ビジネスチームとセキュリティチームの間の理解を促進するために、さらに多くのことを行う必要がある。
・Building a security-focused culture requires a common language based on metrics that translate cybersecurity information into measurements that matter to board members and the wider business.  ・セキュリティ重視の企業文化を構築するためには、サイバーセキュリティに関する情報を、取締役会メンバーや企業全体にとって重要な指標に変換するための指標に基づく共通言語が必要である。
・Changes in organizational structure that embed cyber-risk discussions across a business can also promote more fluid communication and effective cyber-risk management.  ・サイバーリスクに関する議論を事業全体に浸透させるための組織構造の変更は、より円滑なコミュニケーションと効果的なサイバーリスクマネジメントを促進することができる。
・Ultimately, cyber leaders must present security issues in terms that board-level executives can understand and act on. Business leaders, for their part, need to accept more accountability for operational cyber requirements to advance their organizations’ overall cyber capabilities. ・最終的には、サイバーリーダーは、取締役会レベルのエグゼクティブが理解し、行動できるような言葉でセキュリティ問題を提示する必要がある。ビジネスリーダーは、組織全体のサイバー能力を向上させるために、業務上のサイバー要件についてより多くの説明責任を負う必要がある。
・Cyber talent recruitment and retention continues to be a key challenge for managing cyber resilience. A broad solution to increase the supply of cyber professionals is to expand and promote inclusion and diversity efforts. In addition, understanding the broad spectrum of skills needed today can help organizations to expand their hiring pools. A number of promising initiatives are already in place, but these tend to focus on small cohorts. Time, thought and investment are needed to make cyber-skills development programmes scalable. ・サイバー人材の確保と維持は、サイバーレジリエンスを管理する上で引き続き重要な課題である。サイバー専門家の供給を増やすための幅広い解決策は、インクルージョンと多様性の取り組みを拡大・促進することである。さらに、今日必要とされている幅広いスキルを理解することは、組織が採用プールを拡大するのに役立つ。すでに多くの有望な取り組みが実施されているが、これらは小規模な集団に焦点を当てる傾向がある。サイバースキル開発プログラムを拡張可能なものにするためには、時間、思考、投資が必要である。

 

 


 

昨年の...

まるちゃんの情報セキュリティ気まぐれ日記

・2022.01.20 世界経済フォーラム (WEF) 世界のサイバーセキュリティ概況 2022

 

 

 

| | Comments (0)

総務省 経済産業省 警察庁、内閣官房 「サイバー攻撃被害に係る情報の共有・公表ガイダンス」を公表

こんにちは、丸山満彦です。

総務省 経済産業省 警察庁、内閣官房サイバーセキュリティセンターが意見募集をしていた「サイバー攻撃被害に係る情報の共有・公表ガイダンス」が確定し、公表されていますね。。。

 

20230308-183254

出典:サイバー攻撃被害に係る情報の共有・公表ガイダンス(概要)P8, P9

 

 

内閣官房サイバーセキュリティセンターのPDFは、報道発表、意見募集結果、ガイダンスまでを一つのファイルにまとめていて、見にくい...ので、総務省か経済産業省から...

 

総務省

・2023.03.08 「サイバー攻撃被害に係る情報の共有・公表ガイダンス(案)」に対する意見募集の結果及び「サイバー攻撃被害に係る情報の共有・公表ガイダンス」の公表

(あえて逆順...)

・[PDF] 「サイバー攻撃被害に係る情報の共有・公表ガイダンス(概要)

20230308-183559

 

・[PDF] 「サイバー攻撃被害に係る情報の共有・公表ガイダンス

20230308-183717

 

・[PDF] 提出された意見及びその意見に対する同検討会の考え方

20230308-183825

 

 

経済産業省

・2023.03.08 「サイバー攻撃被害に係る情報の共有・公表ガイダンス(案)」に対する意見募集の結果及び「サイバー攻撃被害に係る情報の共有・公表ガイダンス」の公表

 

 

内閣官房サイバーセキュリティセンター

・2023.03.08  [PDF] 「サイバー攻撃被害に係る情報の共有・公表ガイダンス(案)」に対する意見募集の結果及び「サイバー攻撃被害に係る情報の共有・公表ガイダンス」の公表

↑見にくいファイル

| | Comments (0)

2023.03.08

欧州 安全な宇宙ベースの接続プログラムを欧州理事会が承認

こんにちは、丸山満彦です。

日本はH3ロケット試験機1号機の打ち上げが失敗となり、ダイチ3号の投入がしばらく後になるという悲しいニュースが昨日ありましたが、、、欧州では欧州理事会が、IRIS² (Infrastructure for Resilience, Interconnectivity and Security by Satellite)(安全な宇宙ベースの接続プログラム)を承認したようですね。。。

欧州は宇宙の開発に力をいれていて、いくつかの主要プログラムが動いていますが、その一つが、この「安全な宇宙ベースの接続プログラム」です。

2027年までに超高速(低遅延)かつ安全性の高い通信サービスを提供するという計画で、通信のセキュリティは、量子暗号を含む高度な暗号化技術に基づくものということのようです。。。

 

European Council

・2023.03.07 Secure space-based connectivity programme: Council gives its final approval

Secure space-based connectivity programme: Council gives its final approval 安全な宇宙ベースの接続プログラム:理事会が最終承認
The Council has today adopted a regulation on the EU’s secure connectivity programme for 2023-2027. This is the last step in the decision-making procedure. 欧州理事会は本日、2023年から2027年までのEUの安全な接続性プログラムに関する規則を採択した。これは、意思決定手続きの最後のステップである。
The programme sets goals for the European Union to deploy an EU satellite constellation called 'IRIS²' (Infrastructure for Resilience, Interconnectivity and Security by Satellite). IRIS² will provide ultra-fast (low latency) and highly secure communication services by 2027. The security of these communications will be based on advanced encryption technologies, including quantum cryptography, a method that uses the properties of quantum mechanics to secure and transmit data in a way that cannot be hacked. このプログラムでは、EUが「IRIS²」(衛星によるレジリエンス、相互接続性、セキュリティのためのインフラストラクチャ)と呼ばれるEU衛星コンステレーションを展開するための目標を設定している。IRIS²は、2027年までに超高速(低遅延)かつ安全性の高い通信サービスを提供する予定である。これらの通信のセキュリティは、量子力学の性質を利用してハッキングされない方法でデータを保護し伝送する量子暗号を含む高度な暗号化技術に基づくものである。
Governments will benefit from this space-based communication system for services like protection of critical infrastructure, surveillance, support for external action or crisis management, thereby helping to improve the EU’s resilience and sovereignty. 各国政府は、重要インフラの保護、監視、対外行動の支援、危機管理などのサービスにおいて、この宇宙ベースの通信システムの恩恵を受け、EUのレジリエンスと主権の向上に貢献することになる。
Increasing communication security 通信の安全性を高める
The programme contributes to the EU digital transition and to the EU's global gateway strategy, since it can provide secure connectivity over geographical areas of strategic interest beyond the European borders, such as the Arctic region or Africa. 北極圏やアフリカなど、欧州の国境を越えて戦略的に関心のある地理的領域で安全な接続を提供できるため、このプログラムはEUのデジタル移行とEUのグローバルゲートウェイ戦略に貢献するものである。
Having a satellite-based communication system can also ensure fast and secure communication services even where terrestrial communication networks have been disrupted, for instance by natural disasters, terrorism or cyberattacks.   また、衛星通信システムを利用することで、自然災害やテロ、サイバー攻撃などで地上通信網が寸断された場合でも、迅速かつ安全な通信サービスを確保できる。 
An integrated system 統合されたシステム
The system includes new infrastructure to be built through the award of contracts. The concessionaire(s) should also provide the resources for commercial services, thereby ensuring that technological advances and their use by governments are one of the drivers of innovation and wider commercialisation in the Union. このシステムには、契約の締結によって建設される新しいインフラが含まれる。コンセッショナーは、商業サービスのための資源も提供する必要があり、それによって、技術の進歩と政府によるその利用が、EUにおける革新と幅広い商業化の推進力のひとつとなることを保証する。
The programme reinforces the competitiveness of EU satellite communication services through an innovative project led by the EU Agency for the Space Programme (EUSPA) and involving a range of partners including the member states, the European space agency (ESA) and private companies. このプログラムは、EU宇宙計画庁(EUSPA)が主導し、加盟国、欧州宇宙機関(ESA)、民間企業を含むさまざまなパートナーが参加する革新的なプロジェクトを通じて、EUの衛星通信サービスの競争力を強化する。
Background 背景
On 15 February 2022, the Commission presented a proposal for a regulation establishing the Union secure connectivity programme for 2023-2027. Following interinstitutional negotiations, the European Parliament and the Council reached a provisional political agreement on 17 November 2022.  2022年2月15日、欧州委員会は、2023年から2027年までの連邦安全な接続性プログラムを確立するための規則案を提示した。制度間交渉の後、欧州議会と理事会は2022年11月17日に暫定的な政治合意に達した。 
This programme is particularly important for low orbits. Currently, low orbits are increasingly occupied by third-country mega-constellations, with EU operators facing challenges due to the capital-intensive nature of such projects. このプログラムは、低軌道にとって特に重要である。現在、低軌道は第三国のメガコンステレーションに占拠されることが多くなっており、EUの事業者はそのようなプロジェクトの資本集約的な性質から課題に直面している。
This new project will promote synergies with the other components of the EU space programme, such as Galileo (satellite navigation) and Copernicus (Earth observation), and with space situational awareness capacities. It builds on the European Union Governmental Satellite Communications (GOVSATCOM), which is also a component of the EU space programme. この新しいプロジェクトは、ガリレオ(衛星航法)やコペルニクス(地球観測)など、EU宇宙計画の他の構成要素や、宇宙状況認識能力との相乗効果を促進する。このプログラムは、同じくEU宇宙計画の構成要素である欧州連合政府衛星通信(GOVSATCOM)を基盤としている。
The programme has a budget of €2.4 billion, part of which comes from different envelopes including the EU space programme, Horizon Europe and the Neighbourhood Development and International Cooperation Instrument - Global Europe (NDICI). このプログラムの予算は24億ユーロで、その一部はEU宇宙計画、ホライゾンヨーロッパ、近隣開発・国際協力手段-グローバルヨーロッパ(NDICI)を含むさまざまなエンベロープから提供されます。
Next steps 次のステップ
Following the Council’s approval today of the European Parliament's position, the legislative act has been adopted. 本日、欧州議会の見解が理事会で承認されたことを受け、立法措置が採択されました。
After being signed by the President of the European Parliament and the President of the Council, the regulation will be published in the Official Journal of the European Union and will enter into force on the third day following its publication. 欧州議会議長および理事会議長の署名を経て、同規則は欧州連合官報に掲載され、掲載後3日目に発効する予定である。
The EU Space Programme | EU Agency for the Space Programme EU宇宙計画|EU宇宙計画機関
GOVSATCOM | EU Agency for the Space Programme GOVSATCOM|EU宇宙計画機関
European Space Agency 欧州宇宙機関
Visit the meeting page ミーティングページを見る



1_20230308160601

 

 

JAXA

・2023.03.07 H3ロケット試験機1号機の打上げ失敗及び対策本部の設置について

特設サイト H3×ALOS-3

 

 

 

| | Comments (0)

米国 情報技術産業協会 (ITI) AIに関する新たな政策提言を発表 (2023.03.02)

こんにちは、丸山満彦です。

米国のIT業界団体である情報技術産業協会 (The Information Technology Industry Council: ITI) がAIに関する新たな政策提言を発表しています。過去に2回だしていますが、それを踏まえて、昨今の状況の変化を踏まえての内容になっているというとのことです。。。

The Information Technology Industry Council: ITI

・2023.03.02 New ITI Recommendations Detail How to Harness AI’s Potential

 

WASHINGTON – As consumers and businesses benefit from innovative new artificial intelligence (AI) technologies, global tech trade association ITI issued new policy recommendations today to harness AI’s potential in a responsible manner. ワシントン - 消費者と企業が革新的な新しい人工知能(AI)技術の恩恵を受ける中、世界的なハイテク業界団体であるITIは本日、AIの潜在能力を責任ある方法で活用するための新しい政策提言を発表した。
ITI’s eight recommendations urge the federal government to seize AI’s transformational impact by increasing AI investments, adopting AI solutions across the U.S. government and commercial sectors, and utilizing international standards for AI governance and oversight. ITIの8つの提言は、連邦政府に対し、AIへの投資を増やし、米国政府および商業部門全体でAIソリューションを採用し、AIのガバナンスと監視のための国際基準を活用することによって、AIの変革的インパクトをつかむよう求めている。
“AI holds great promise to improve the lives of all Americans and grow business and economic activity across all sectors, and ITI is committed to working with lawmakers to shape policy that supports innovation and investment in AI technologies and ensures responsible and secure deployment,” said ITI’s President and CEO Jason Oxman. “ITI’s new guide will help policymakers capitalize on AI’s momentum to the benefit of all Americans and advance U.S. competitiveness in a challenging geopolitical and economic environment.” ITI会長兼CEOのJason Oxmanは以下のように述べている。「AIは、すべてのアメリカ人の生活を向上させ、あらゆる分野のビジネスと経済活動を成長させる大きな可能性を秘めている。ITIは、AI技術の革新と投資を支援し、責任ある安全な展開を確保するための政策を策定するため、国会議員と協力することを約束する。ITIの新しいガイドは、政策立案者がすべてのアメリカ人の利益のためにAIの勢いを活用し、厳しい地政学的・経済的環境において米国の競争力を高めるのに役立つだろう。」
ITI encourages lawmakers to precisely define AI and related terms, use partnerships and other initiatives supported by federal funding for AI research and development, and leverage international standards to align regulatory requirements around the globe. ITIは、AIと関連する用語を正確に定義し、AIの研究開発のために連邦政府の資金で支援されるパートナーシップやその他のイニシアチブを利用し、国際基準を活用して世界中の規制要件を調整することを議員に奨励している。
These new recommendations build on ITI’s longstanding expertise on AI policy, including its Global Policy Principles for Enabling Transparency of AI Systems and comprehensive Global AI Policy Recommendations. これらの新しい提言は、AIシステムの透明性を実現するためのグローバル政策原則や包括的なグローバルAI政策提言など、AI政策に関するITIの長年の専門知識に基づくものである。

 

・[PDF]

20230308-52930

仮訳...

Harnessing AI: Recommendations for Policymakers AIの活用:政策立案者への提言
Artificial Intelligence (AI) is a suite of technologies capable of learning, reasoning, adapting, and performing tasks in ways inspired by the human mind. To capitalize on AI’s transformational impact, ITI urges the U.S. Congress to support legislation that increases federal investment and fosters greater adoption of AI solutions across the federal government and commercial sectors. Lawmakers should focus on creating policy that supports innovation and investment in AI technologies to advance tomorrow’s workforce. In doing so, lawmakers should focus first on leveraging voluntary international standards as a baseline for legislative approaches to AI governance. When considering legislation on AI, we encourage lawmakers to do the following: 人工知能(AI)とは、人間の精神に触発された方法で、学習、推論、適応、タスク実行が可能な一連の技術である。AIがもたらす変革のインパクトを活かすため、ITIは米国議会に対し、連邦政府への投資を増やし、連邦政府および商業部門全体でAIソリューションの採用拡大を促進する法律を支援するよう要請する。議員たちは、明日の労働力を向上させるために、AI技術への革新と投資を支援する政策づくりに注力すべきである。その際、議員たちはまず、AIガバナンスに対する立法アプローチのベースラインとして、自主的な国際標準を活用することに焦点を当てるべきである。AIに関する法案を検討する際、我々は議員に以下のことを行うよう勧める。
・Craft a precise and complete definition of AI and other supporting and derivative terms, such as “transparency,” “high-risk,” and “algorithm,” among others. ・AI、および「透明性」、「高リスク」、「アルゴリズム」など、その他の補助的・派生的な用語の正確かつ完全な定義を作成すること。
・Federal funding for AI research and development should encourage multi-stakeholder partnerships and lab-to-market initiatives, such as centers for excellence, innovation hubs, or research centers that underpin industry’s crucial role in developing and deploying AI solutions. ・AIの研究開発に対する連邦政府の資金援助は、AIソリューションの開発と展開における産業の重要な役割を支える、卓越センター、イノベーションハブ、研究センターなど、複数の利害関係者のパートナーシップとラボから市場へというイニシアティブを奨励すべきである。
・Examine existing legislation before proposing new regulation. If regulation is warranted, we encourage lawmakers to recognize that regulation should be flexible, design-neutral, context-specific, and risk-based – with measured regulatory attention dedicated to “high-risk” AI applications and uses. ・新たな規制を提案する前に、既存の法律を検討すること。規制が必要な場合、規制は柔軟で、デザインニュートラルで、状況に応じた、リスクベースであるべきであり、「高リスク」のAIアプリケーションと用途に特化した規制の注意を喚起するよう、議員に促す。
・Encourage reliance on international standards and seek to align regulatory requirements with international approaches to AI regulation. ・国際標準への依存を奨励し、AI規制の国際的アプローチと規制要件の整合性を図る。
・Delineate how potential responsibilities stemming from legislation should be allocated within the AI stakeholder ecosystem. Examples of stakeholders include AI producers, providers, customers, developers, subjects, and partners. ・法規制から生じる潜在的な責任を、AI関係者のエコシステムの中でどのように割り当てるべきかを明確にする。ステークホルダーの例としては、AIの生産者、プロバイダー、顧客、開発者、被験者、パートナーなどがある。
・For federal acquisition opportunities, the federal government should maximize its procurement and deployment of relevant AI solutions to help agencies deliver on their mission and optimize constituent services ・連邦政府の調達について、連邦政府は、AIソリューションの調達と展開を最大化し、各省庁の任務遂行と構成員サービスの最適化に役立てるべきである。
・Avoid mandating prescriptive algorithmic impact assessment and related requirements, recognizing the importance of taking a risk-based approach. ・リスクベースのアプローチの重要性を認識し、規定的なアルゴリズム影響評価や関連要件の義務付けを回避する。
・Support provisions within legislation that protect the foundation of AI systems, including source code, proprietary algorithms, and other intellectual property. Congress should avoid requirements that force companies to transfer or provide access to technology, source code, algorithms, or encryption keys as conditions for doing business with the federal government or as a general practice for business-to-business operations. ・ソースコード、独自のアルゴリズム、その他の知的財産を含むAIシステムの基盤を保護する条項を法律で支持する。連邦議会は、連邦政府との取引の条件として、あるいは企業間取引の一般的な慣行として、技術、ソースコード、アルゴリズム、暗号鍵の譲渡やアクセスを企業に強制する要件を回避するべきである。
Policymakers should leverage and refer to recommendations outlined in ITI’s Policy Principles for Enabling Transparency of AI Systems and Global AI Policy Recommendations to inform congressional staff on how thoughtful legislation and federal investments can accelerate the adoption of AI solutions in a transparent and ethical manner. Spurring innovation, federal funding and acquisition, and multi-stakeholder partnerships across various AI solutions will solidify the U.S. as the global leader in AI technology. 政策立案者は、ITIの「AIシステムの透明性を実現するための政策原則」と「グローバルAI政策提言」で概説された提言を活用し、議会スタッフに、思慮深い法律と連邦投資が透明で倫理的な方法でAIソリューションの採用を加速させる方法について伝えるべきである。様々なAIソリューションのイノベーション、連邦政府の資金調達と買収、マルチステークホルダー・パートナーシップを促進することで、米国はAI技術のグローバルリーダーとして確固たる地位を築くことができるだろう。

 

 

過去の発表について。。。

・2022.09.15 ITI Publishes Global Policy Principles for Enabling Transparency of AI Systems

ITI Publishes Global Policy Principles for Enabling Transparency of AI Systems ITI、AIシステムの透明性を実現するためのグローバルポリシー原則を発表
WASHINGTON – Today, global tech trade association ITI published new Policy Principles for Enabling Transparency of AI Systemsto help inform and guide policymaking. In its principles, ITI underscores that transparency is a critical part of developing accountable and trustworthy AI systems and avoiding unintended outcomes or other harmful impacts. At the highest level, transparency is about being clear about how an AI system is built, operated, and functions. When executed well, AI transparency can help to analyze outputs and hold appropriate AI stakeholders accountable. ワシントン - 本日、世界的なハイテク業界団体であるITIは、政策立案への情報提供と指針として、AIシステムの透明性を実現するための新しい政策原則を発表した。ITIはその原則の中で、透明性が、説明責任を果たし信頼できるAIシステムを開発し、意図しない結果やその他の有害な影響を回避するために重要な要素であることを強調している。最も高いレベルでは、透明性とは、AIシステムがどのように構築され、運用され、機能するのかを明確にすることである。うまく実行されれば、AIの透明性は、アウトプットを分析し、適切なAI関係者に説明責任を果たさせるのに役立つ。
Among its principles, ITI recommends policymakers empower users by including provisions within legislation that provide sufficient information to understand decisions of an AI system that may negatively affect users’ fundamental rights and give them the ability to review and/or challenge such decisions. ITI also outlines the need to make it clear to users when they are interacting directly with an AI system. ITIは、その原則の中で、政策立案者がユーザーの基本的権利に悪影響を及ぼす可能性のあるAIシステムの決定を理解するのに十分な情報を提供し、そのような決定を見直し、異議を申し立てる能力を与える条項を法律内に含めることによって、ユーザーに権限を与えることを推奨する。また、ITIは、ユーザーがAIシステムと直接対話する際に、それを明確にする必要があることを概説している。
“Transparency of AI systems has rightfully been a prime focus for policymakers in the U.S. and across the globe,” said ITI’s President and CEO Jason Oxman. “Regulations must effectively mitigate risk for users while preserving innovation of AI technologies and encouraging their uptake. ITI’s Policy Principles for Enabling Transparency of AI Systems offer a clear guide for policymakers to learn about and facilitate greater transparency of AI systems.” ITI会長兼CEOであるJason Oxmanは、「AIシステムの透明性は、米国をはじめ世界中の政策立案者にとって当然のことながら最重要課題となっている。 規制は、AI技術のイノベーションを維持し、その普及を促進しながら、利用者のリスクを効果的に軽減する必要がある。ITIの「AIシステムの透明性を実現するための政策原則」は、政策立案者がAIシステムについて学び、透明性を高めることを促進するための明確な指針を提供するものである。」
AI systems are comprised of sets of algorithms, which are capable of learning and evolving, whereas an algorithm alone is usually more simplistic, often executing a finite set of instructions. ITI’s Policy Principles for Enabling Transparency of AI Systems suggest that the most effective way to approach policymaking around transparency is to apply transparency requirements to specific, high-risk uses of AI systems – which are applications in which a negative outcome could have a significant impact on people — especially as it pertains to health, safety, freedom, discrimination, or human rights. AIシステムはアルゴリズムのセットで構成され、学習や進化が可能であるが、アルゴリズム単体では通常より単純化され、有限の命令セットを実行することが多い。ITIの「AIシステムの透明性を実現するための政策原則」では、透明性に関する政策立案の最も効果的な方法は、AIシステムの特定の高リスクな用途に透明性要件を適用することであると提言している。この用途とは、特に健康、安全、自由、差別、人権に関連するような、マイナスの結果が人々に大きな影響を与える可能性がある用途である。
ITI’s Policy Principles for Enabling Transparency of AI Systemsadvise policymakers to: ITIの「AIシステムの透明性を実現するための政策原則」は、政策立案者に次のように助言している。
・Consider what the ultimate objective of transparency requirements are. ・透明性要求の究極の目的は何かを検討すること。
・Consider the intended audience of any transparency requirements and at what point of the AI system lifecycle they would apply. ・透明性要件の最終的な目的は何かを検討する。
・Take a risk-based approach to transparency when considering requirements. ・要件を検討する際には、透明性に関してリスクベースのアプローチをとる。
・Include clear definitions of what is meant by transparency in the context of a regulation or policy proposal. ・規制や政策提案の文脈で、透明性が意味するものを明確に定義する。
・Consider that there are different ways to approach transparency and improve trust, and that explainability is only one component. ・透明性にアプローチして信頼を向上させる方法は様々であり、説明可能性は1つの要素に過ぎないことを考慮する。
・Consider including provisions within legislation that are intended to provide users with sufficient information to understand decisions of an AI system that may negatively affect their fundamental rights and provide users with the ability to review and/or challenge such decisions. ・基本的権利に悪影響を及ぼす可能性のあるAIシステムの決定を理解するのに十分な情報を利用者に提供し、そのような決定を見直し、異議を申し立てる能力を利用者に提供することを意図した規定を、法律内に含めることを検討する。
・Ensure that transparency requirements do not require companies to divulge sensitive IP or source code or otherwise reveal sensitive individual data. ・透明性要件が、企業に対して、機密性の高いIPやソースコードの開示、あるいは機密性の高い個人データの公開を要求しないことを確認する。
・Leverage voluntary international standards in order to maintain interoperability of various AI transparency requirements to the extent possible. ・様々なAIの透明性要件の相互運用性を維持するため、可能な限り自主的な国際標準を活用すること。
・Consider that when an AI system is directly interacting with a user, that fact should be easily discoverable and that disclosure requirements can help facilitate this. ・AIシステムがユーザーと直接対話する場合、その事実を容易に発見できるようにすべきであり、開示要件がこれを促進するのに役立つことを考慮する。
・Regulations pertaining to disclosure should be flexible and avoid prescribing specific information or technical details to be included. ・開示に係る規制は柔軟であるべきであり、含まれるべき特定の情報や技術的な詳細を規定することは避けるべきである。
・Only the actual deployer of the AI system should be responsible for disclosure. ・AIシステムの実際の導入者のみが情報開示の責任を負うべきである。
These principles build on ITI’s Global AI Policy Recommendations, released in 2021, which offered a comprehensive set of policy recommendations for global policymakers seeking to foster innovation in AI while also addressing specific harms. これらの原則は、2021年に発表されたITIの「グローバルAI政策提言」に基づくもので、特定の危害に対処しつつAIのイノベーションを促進しようとする世界の政策立案者に対して包括的な政策提言を行ったものである。
Read ITI’s Policy Principles for Enabling Transparency of AI Systems here. ITIの「AIシステムの透明性を実現するための政策原則」はこちらを参照。

 

・[PDF]

20230308-53915

 

・2021.03.24 New ITI Global AI Policy Recommendations Promote Government, Industry, and Stakeholder Collaboration on AI

 

New ITI Global AI Policy Recommendations Promote Government, Industry, and Stakeholder Collaboration on AI 新しいITIグローバルAI政策提言は、AIに関する政府、産業界、ステークホルダーの協働を促進する。
WASHINGTON — Today, global tech trade association ITI published its new Global AI Policy Recommendations to help guide governments around the world as they consider how to approach Artificial Intelligence (AI). The recommendations provide globally applicable AI policy proposals in five key areas: innovation and investment; facilitating public understanding and public trust; ensuring security and privacy; approaches to regulation; and global engagement. ワシントン - 本日、世界的なハイテク業界団体であるITIは、世界各国の政府が人工知能(AI)への取り組み方を検討する際の指針となる、新しい「グローバルAI政策提言」を発表した。本提言は、「イノベーションと投資」「国民の理解と信頼の促進」「セキュリティとプライバシーの確保」「規制へのアプローチ」「グローバルな関与」の5つの主要分野において、グローバルに適用できるAI政策の提言を提供する。
“Artificial Intelligence plays an increasingly integral role in the way we connect, work, and learn,” said John Miller, ITI’s Senior Vice President for Policy and General Counsel. “It’s critical that policymakers around the world collaborate with industry, academia, and community stakeholders to ensure that this technology continues to be developed and used in a secure, trustworthy, and transparent manner everywhere. ITI’s Global AI Policy Recommendations serve as a guide for global governments as they consider policies to encourage responsible AI innovation while addressing challenges related to the use of the technology in its various applications. We look forward to working with policymakers and stakeholders as they consider and apply these recommendations.” ITIの政策担当上級副会長兼法律顧問であるジョン・ミラーは、次のように述べている。「人工知能は、私たちがつながり、働き、学ぶ方法において、ますます不可欠な役割を担っている。世界中の政策立案者が、産業界、学術界、地域社会の関係者と協力し、この技術があらゆる場所で安全、信頼、透明な方法で開発、使用され続けることを確実にすることが重要である。ITIの「グローバルAI政策提言」は、世界各国の政府が、責任あるAIイノベーションを促進するための政策を検討する際の指針となるものであり、同時に、この技術の様々な用途での使用に関連する課題に対処するものである。私たちは、政策立案者や関係者がこれらの提言を検討し、適用する際に協力することを楽しみにしている。」
ITI’s recommendations include: ITIの提言は以下の通りである。
・Increasing innovation and investment in AI, with an emphasis on workforce development, increased investment for R&D, and prioritizing public sector procurements of AI-based technology. ・労働力開発、研究開発への投資拡大、AIベースの技術の公共部門調達の優先順位付けに重点を置き、AIへのイノベーションと投資を増加させる。
・Facilitating public trust and understanding that promote the development of meaningfully explainable AI systems and encourage an ethical design approach. ・有意義に説明できるAIシステムの開発を促進し、倫理的な設計アプローチを奨励する、社会的信頼と理解を促進する。
・Approaches to regulation, with a series of recommendations as to how policymakers should approach regulating AI in a way that focuses on responding effectively to specific harms while allowing for advancements in technology and innovation. ・規制へのアプローチ。政策立案者が、技術やイノベーションの進歩を許容しつつ、特定の危害に効果的に対応することに焦点を当てた方法で、AIを規制することにどのようにアプローチすべきかについて、一連の勧告を示す。
・Ensuring the security and privacy of AI systems, with recommendations that consider how privacy, cybersecurity, and AI interact to ensure that users can trust that their personal and sensitive data is protected and handled appropriately. ・AIシステムのセキュリティとプライバシーの確保。プライバシー、サイバーセキュリティ、AIがどのように相互作用するかを検討し、ユーザーが個人情報や機密データが保護され、適切に取り扱われることを信頼できるようにするための提言を行う。
・Promoting continued global engagement, which will be key to ensuring that approaches to AI are aligned and interoperable to the extent possible. ・AIへのアプローチの整合性と相互運用性を可能な限り確保するための鍵となる、グローバルな取り組みの継続を促進する。
ITI's new Global AI Policy Recommendations build on principles released in 2018 and can help inform an evolving global policy debate. ITI’s new recommendations feature a glossary of key definitions around which global consensus is emerging as well as an appendix highlighting different AI use cases. ITIの新しいグローバルAI政策提言は、2018年に発表された原則に基づいており、進化するグローバルな政策議論に情報を提供するのに役立つ。ITIの新しい勧告は、世界的なコンセンサスが生まれつつある重要な定義の用語集と、さまざまなAIのユースケースを強調した附属書を備えている。
See ITI’s full Global AI Policy Recommendations here. ITIのグローバルAI政策提言の全文はこちらを参照。

 

 

政策提言...

・[PDF]

20230308-54846

 

2018年にすでに考えていた...

AI方針原則...

・2018 [PDF] AI Policy Principles

20230308-54658

 

AI Policy Principles AI方針原則
Executive Summary エグゼクティブサマリー
Artificial Intelligence (AI) is a suite of technologies capable of learning, reasoning, adapting, and performing tasks in ways inspired by the human mind. With access to data and the computational power and human ingenuity required to extract increasing value from it, researchers are building intelligent software and machines to enhance human productivity and empower people everywhere. Startups, medium-sized companies, and larger technology companies have all developed AI systems to help solve some of society’s most pressing problems, from medical diagnosis to education to economic productivity and empowerment.   人工知能(AI)とは、人間の心理に触発された方法で学習、推論、適応、タスク実行が可能な一連の技術である。データへのアクセス、そこから価値を高めるために必要な計算能力、人間の創意工夫により、研究者は人間の生産性を高め、あらゆる人々に力を与える知的ソフトウェアやマシンを開発している。スタートアップ企業、中堅企業、そして大手テクノロジー企業はいずれも、医療診断から教育、経済的生産性やエンパワーメントに至るまで、社会の最も差し迫った問題の解決に役立つAIシステムを開発している。 
While it is impossible to predict the full transformational nature of AI, like technological evolutions before it, we expect the potential implications to be vast. To ensure that AI can deliver its greatest positive potential, the Information Technology Industry Council (ITI) — the global voice of the tech sector — takes industry’s responsibility seriously to be a catalyst for preparing for an AI world. In our Policy Principles, we outline specific areas where industry, governments, and others can collaborate, as well as specific opportunities for public-private partnership. To advance these principles, which we expect will evolve alongside AI technology, we acknowledge the following:  AIがどのような変革をもたらすかを予測することは不可能であるが、これまでの技術革新と同様に、その潜在的な意味は非常に大きいと考えている。AIがその最大の可能性を発揮できるようにするため、ハイテク産業のグローバルな代弁者である情報技術産業協会(ITI)は、AIの世界に備えるための触媒となるべく、産業の責任を真剣に受け止めている。私たちの政策原則では、産業界、政府、その他が協力できる具体的な分野と、官民パートナーシップの具体的な機会について概説している。私たちは、AI技術とともに進化していくことを期待するこれらの原則を推進するために、以下のことを認識する。
Industry’s Responsibility in Promoting Responsible Development and Use: We recognize our responsibility to integrate principles into the design of AI technologies, beyond compliance with existing laws. While the potential benefits to people and society are amazing, AI researchers, subject matter experts, and stakeholders should continue to spend a great deal of time working to ensure the responsible design and deployment of AI systems, including addressing safety and controllability mechanisms, use of robust and representative data, enabling greater interpretability and recognizing that solutions must be tailored to the unique risks presented by the specific context in which a particular system operates.   責任ある開発と利用を促進する業界の責任:責任ある開発と利用を促進する業界の責任:私たちは、既存の法律の遵守にとどまらず、AI技術の設計に原則を統合する責任を認識している。人や社会に対する潜在的な利益は素晴らしいものであるが、AI研究者、データ管理者、関係者は、安全性と制御性のメカニズムへの取り組み、堅牢で代表的なデータの使用、解釈可能性の向上、特定のシステムが動作する特定のコンテキストによってもたらされる固有のリスクに合わせたソリューションの必要性の認識など、AIシステムの責任ある設計と展開を確保するために引き続き多くの時間を費やす必要がある。 
The Opportunity for Governments to Invest In and Enable the AI Ecosystem: We encourage robust support for research and development (R&D) to foster innovation through incentives and funding.  As the primary source of funding for long-term, high-risk research initiatives, we support governments’ investment in research fields specific or highly relevant to AI, including: cyber-defense, data analytics, detection of fraudulent transactions or messages, robotics, human augmentation, natural language processing, interfaces, and visualizations.  We also encourage governments to evaluate existing policy tools and use caution before adopting new laws, regulations, or taxes that may inadvertently or unnecessarily impede the responsible development and use of AI.  This extends to the foundational nature of protecting source code, proprietary algorithms, and other intellectual property.  Failure to do so could present a significant cyber risk.    政府がAIエコシステムに投資し、それを可能にする機会:我々は、インセンティブと資金提供を通じてイノベーションを促進するために、研究開発(R&D)に対する強固なサポートを推奨する。 長期的でリスクの高い研究イニシアチブの主要な資金源として、我々は、サイバー防衛、データ分析、不正な取引やメッセージの検出、ロボット工学、人間拡張、自然言語処理、インターフェース、可視化など、AIに特有または関連性の高い研究分野への政府の投資を支持する。 また、各国政府には、既存の政策手段を評価し、AIの責任ある開発と利用を不注意または不必要に妨げる可能性のある新しい法律、規制、または税金を採用する前に注意を払うことを奨励する。 このことは、ソースコード、独自のアルゴリズム、その他の知的財産を保護するという基本的な性質にも及んでいる。 これを怠ると、重大なサイバーリスクが発生する可能性がある。  
The Opportunity for Public-Private Partnerships (PPPs): Many emerging AI technologies are designed to perform a specific task, assisting human employees and making jobs easier. Our ability to adapt to rapid technological change, however, is critical. That is why we must continue to be prepared to address the implications of AI on the existing and future workforce. By leveraging PPPs – especially between industry partners, academic institutions, and governments – we can expedite AI R&D, democratize access, prioritize diversity and inclusion, and prepare our workforce for the jobs of the future.  官民パートナーシップ(PPP)の機会:多くの新しいAI技術は、特定のタスクを実行するように設計されており、人間の従業員を支援し、仕事を容易にする。しかし、急速な技術革新に適応する能力は非常に重要である。そのため、AIが既存および将来の労働力に与える影響に対処するための準備を続けていく必要がある。特に産業界のパートナー、学術機関、政府間のPPPを活用することで、AIの研究開発を促進し、アクセスを民主化し、多様性と包括性を優先させ、未来の仕事に対応できる労働力を準備することができる。
AI Policy Principles AI方針原則
Artificial Intelligence (AI) is a suite of technologies capable of learning, reasoning, adapting, and performing tasks in ways inspired by the human mind. With access to data and the computational power and human ingenuity required to extract increasing value from it, researchers are building intelligent software and machines to enhance human productivity and empower people everywhere.  人工知能(AI)とは、人間の心理にヒントを得て、学習、推論、適応、タスク実行を行うことができる一連の技術である。データへのアクセス、そこから価値を高めるために必要な計算能力、そして人間の創意工夫により、研究者は人間の生産性を高め、あらゆる人々に力を与えるインテリジェントなソフトウェアやマシンを構築している。
We are already experiencing how AI benefits people, society, and the economy in a diverse array of fields. AI systems assist in medical diagnostics, alerting doctors to early warning signs, and helping personalize patient treatments. They increase accessibility, fueling software programs that make digital content accessible to people with disabilities, such as helping the blind “read” millions of photos or websites on the internet. And intelligent systems already monitor huge volumes of economic transactions – identifying potential fraud in real time and saving consumers millions of dollars.  私たちはすでに、AIが多様な分野で人々や社会、経済にどのような利益をもたらすかを体験している。AIシステムは医療診断に役立ち、早期警告のサインを医師に知らせ、患者の治療を個別化するのに役立っている。また、アクセシビリティを向上させ、目の不自由な人がインターネット上の何百万もの写真やウェブサイトを「読む」ことを支援するなど、デジタルコンテンツにアクセスできるようにするソフトウェアプログラムに拍車をかけている。また、インテリジェント・システムはすでに膨大な量の経済取引を監視しており、潜在的な不正行為をリアルタイムで発見し、消費者を何百万ドルも節約している。
By pairing the power of AI computing with land cover maps, weather forecasts, and soil data, technology can empower people with the data and tools they need to better conserve lands, improve ecosystems, and increase agricultural yields. AI-powered machines can even make dangerous or difficult tasks safer for people, opening new environments that were previously inaccessible to human exploration.  AIコンピューティングのパワーを土地被覆図、天気予報、土壌データと組み合わせることで、土地の保全、生態系の改善、農業の収量増加に必要なデータとツールを人々に提供することができる。AIを搭載した機械は、危険な作業や困難な作業をより安全なものにし、これまで人間の手が届かなかった新しい環境を切り開くこともできるのである。
Startups, medium-sized companies, and larger technology companies have all developed AI systems to help solve some of society’s most pressing problems. By allowing smaller businesses to do more with less, AI will jumpstart small businesses, helping them take risks and grow at faster rates than ever before.  新興企業、中堅企業、そして大手テクノロジー企業は、社会の最も差し迫った問題の解決に貢献するAIシステムを開発している。AIは、中小企業がより少ない労力でより多くのことを行えるようにすることで、中小企業を飛躍的に成長させ、リスクを取ってこれまでよりも速いスピードで成長することを支援する。
Like other transformative technological evolutions before it, it is impossible to fully predict the impact of AI, but like the development of the internet, we expect the potential implications to be vast. In the United States alone, the market for AI technologies that analyze unstructured data is projected to reach $40 billion by 2020, potentially generating more than $60 billion worth of productivity improvements per year. By their very nature, these innovations create new products and services that did not exist before. By 2025, AI technologies are expected to add between $7.1 trillion and $13.17 trillion to the global economy.    これまでの技術革新のように、AIがもたらす影響を完全に予測することは不可能であるが、インターネットの発達と同様に、潜在的な影響力は膨大なものになると予想されます。米国だけでも、非構造化データを分析するAI技術の市場は、2020年までに400億ドルに達すると予測され、年間600億ドル以上の価値のある生産性向上を生み出す可能性がある。こうしたイノベーションは、その性質上、これまで存在しなかった新しい製品やサービスを生み出する。2025年までに、AI技術は世界経済に7兆1,000億ドルから13兆1,700億ドルの利益をもたらすと予想されている。  
These transformations should not cloud the fact that AI remains an active area of research that is constantly evolving and improving.  As it evolves, we take our responsibility seriously to be a catalyst for preparing for an AI world, including seeking solutions to address potential negative externalities and helping to train the workforce of the future.   これらの変革は、AIが依然として活発な研究分野であり、常に進化と改善を続けているという事実を曇らせるべきではありません。 その進化に伴い、潜在的な負の外部性に対処するための解決策を模索し、未来の労働力の育成を支援するなど、AIの世界に備えるための触媒となる責任を、私たちは真剣に受け止めている。 
To ensure that AI is able to deliver its greatest positive potential, the Information Technology Industry Council (ITI) — representing the technology sector’s leading companies — urges collaboration among stakeholders across public and private sectors. We, as an industry, acknowledge the need to develop dialogues with governments and other interested parties to make this an inclusive process at every stage.  Outlined below are specific areas where industry and governments can collaborate, followed by specific opportunities for public-private partnerships (PPPs). To advance these principles, which we expect will evolve alongside AI technology, we acknowledge the following:   AIがその最大の可能性を発揮できるようにするため、テクノロジー分野の主要企業を代表するITI(Information Technology Industry Council)は、官民のステークホルダー間の連携を強く求めている。私たち産業界は、あらゆる段階で包括的なプロセスを実現するために、政府やその他の利害関係者との対話を深める必要性を認識している。 以下に、産業界と政府が協力できる具体的な分野と、官民パートナーシップ(PPP)の具体的な機会を列挙する。私たちは、AI技術とともに進化することを期待するこれらの原則を推進するために、以下のことを認識する。 
Our Responsibility: Promoting Responsible Development and Use.  私たちの責任:責任ある開発と使用を促進する。
Responsible Design and Deployment: We recognize our responsibility to integrate principles into the design of AI technologies, beyond compliance with existing laws. While the potential benefits to people and society are amazing, AI researchers, subject matter experts, and stakeholders should and do spend a great deal of time working to ensure the responsible design and deployment of AI systems. Highly autonomous AI systems must be designed consistent with international conventions that preserve human dignity, rights, and freedoms. As an industry, it is our responsibility to recognize potentials for use and misuse, the implications of such actions, and the responsibility and opportunity to take steps to avoid the reasonably predictable misuse of this technology by committing to ethics by design.  責任ある設計と実装:私たちは、既存の法律の遵守にとどまらず、AI技術の設計に原則を統合する責任を認識している。人と社会に対する潜在的な利益は素晴らしいものであるが、AIの研究者、主題専門家、および関係者は、AIシステムの責任ある設計と展開を確実にするために、多くの時間を費やすべきであるし、実際に費やしている。高度に自律的なAIシステムは、人間の尊厳、権利、自由を保護する国際条約に合致するように設計されなければならない。業界として、使用と誤用の可能性、そのような行為の意味、そして、デザインによる倫理にコミットすることによって、この技術の合理的に予測可能な誤用を避けるための措置を講じる責任と機会を認識することは、我々の責任である。
Safety and Controllability: Technologists have a responsibility to ensure the safe design of AI systems. Autonomous AI agents must treat the safety of users and third parties as a paramount concern, and AI technologies should strive to reduce risks to humans. Furthermore, the development of autonomous AI systems must have safeguards to ensure controllability of the AI system by humans, tailored to the specific context in which a particular system operates.    安全性と制御性:技術者は、AIシステムの安全な設計を保証する責任がある。自律型AIエージェントは、ユーザーと第三者の安全を最優先事項として扱わなければならず、AI技術は人間に対するリスクを低減するよう努めなければならない。さらに、自律型AIシステムの開発には、特定のシステムが動作する特定のコンテキストに合わせて、人間によるAIシステムの制御性を確保するためのセーフガードが必要である。  
Robust and Representative Data: To promote the responsible use of data and ensure its integrity at every stage, industry has a responsibility to understand the parameters and characteristics of the data, to demonstrate the recognition of potentially harmful bias, and to test for potential bias before and throughout the deployment of AI systems. AI systems need to leverage large datasets, and the availability of robust and representative data for building and improving AI and machine learning systems is of utmost importance.   ロバストで代表的なデータ:データの責任ある利用を促進し、あらゆる段階でデータの完全性を確保するために、産業界には、データのパラメータと特性を理解し、潜在的に有害なバイアスの認識を実証し、AIシステムの展開前および展開中に潜在的なバイアスをテストする責任がある。AIシステムは大規模なデータセットを活用する必要があり、AIや機械学習システムを構築・改善するための堅牢で代表的なデータの入手が最も重要である。 
Interpretability: We are committed to partnering with others across government, private industry, academia, and civil society to find ways to mitigate bias, inequity, and other potential harms in automated decision-making systems. Our approach to finding such solutions should be tailored to the unique risks presented by the specific context in which a particular system operates.  In many contexts, we believe tools to enable greater interpretability will play an important role. 解釈のしやすさ:私たちは、自動意思決定システムにおけるバイアス、不公平、その他の潜在的な害を軽減する方法を見つけるために、政府、民間企業、学術界、市民社会の他の人々と協力することを約束する。このような解決策を見つけるための私たちのアプローチは、特定のシステムが動作する特定のコンテキストによって提示される固有のリスクに合わせて調整されるべきである。 多くの文脈では、より大きな解釈可能性を可能にするツールが重要な役割を果たすと考えている。
Liability of AI Systems Due to Autonomy: The use of AI to make autonomous consequential decisions about people, informed by – but often replacing decisions made by – human-driven bureaucratic processes, has led to concerns about liability. Acknowledging existing legal and regulatory frameworks, we are committed to partnering with relevant stakeholders to inform a reasonable accountability framework for all entities in the context of autonomous systems.  自律性に起因する AI システムの責任:人間主導の官僚的プロセスによってなされた決定から情報を得て、しかししばしばそれに取って代わる、人間に関する自律的な結果決定を行うためのAIの使用は、責任に関する懸念につながっている。私たちは、既存の法律や規制の枠組みを理解した上で、関連するステークホルダーと協力し、自律型システムの文脈におけるすべての事業体のための合理的な説明責任の枠組みを伝えることにコミットしている。
The Opportunity for Governments: Investing and Enabling the AI Ecosystem. 政府にとっての機会 AIエコシステムへの投資と実現化。
Investment in AI Research and Development: We encourage robust support for research and development (R&D) to foster innovation through incentives and funding.  As the primary source of funding for long-term, high-risk research initiatives, we support governments’ investment in research fields specific or highly relevant to AI, including: cyber-defense, data analytics, detection of fraudulent transactions or messages, robotics, human augmentation, natural language processing, interfaces, and visualizations.  AI研究開発への投資:我々は、インセンティブと資金提供を通じてイノベーションを促進するために、研究開発(R&D)に対する強固な支援を奨励する。 長期的でリスクの高い研究イニシアチブの主要な資金源として、我々は、サイバー防衛、データ分析、不正な取引やメッセージの検出、ロボット工学、人間の増強、自然言語処理、インターフェース、可視化など、AIに特有または高度に関連する研究分野への政府の投資を支持する。
Flexible Regulatory Approach: We encourage governments to evaluate existing policy tools and use caution before adopting new laws, regulations, or taxes that may inadvertently or unnecessarily impede the responsible development and use of AI. As applications of AI technologies vary widely, overregulating can inadvertently reduce the number of technologies created and offered in the marketplace, particularly by startups and smaller businesses. We encourage policymakers to recognize the importance of sector-specific approaches as needed; one regulatory approach will not fit all AI applications. We stand ready to work with policymakers and regulators to address legitimate concerns where they occur.  柔軟な規制アプローチ:我々は、各国政府が既存の政策手段を評価し、不注意または不必要にAIの責任ある開発と使用を妨げる可能性のある新しい法律、規制、または税金を採用する前に注意することを奨励する。AI技術の用途は多岐にわたるため、過剰な規制は、特に新興企業や中小企業によって、市場で創造・提供される技術の数を不用意に減らすことになりかねない。私たちは、政策立案者が必要に応じて分野別のアプローチの重要性を認識することを奨励する。1つの規制アプローチがすべてのAIアプリケーションに適合するわけではありません。私たちは、政策立案者や規制当局と協力し、正当な懸念が生じた場合には、それに対処する用意がある。
Promoting Innovation and the Security of the Internet: We strongly support the protection of the foundation of AI, including source code, proprietary algorithms, and other intellectual property. To this end, we believe governments should avoid requiring companies to transfer or provide access to technology, source code, algorithms, or encryption keys as conditions for doing business. We support the use of all available tools, including trade agreements, to achieve these ends. イノベーションとインターネットの安全性の促進:私たちは、ソースコード、独自のアルゴリズム、その他の知的財産を含む、AIの基盤の保護を強く支持する。この目的のために、政府は、ビジネスを行うための条件として、技術、ソースコード、アルゴリズム、または暗号化キーの譲渡またはアクセスを企業に要求することを避けるべきだと考えます。私たちは、これらの目的を達成するために、貿易協定を含むあらゆる利用可能なツールの使用を支持する。
Cybersecurity and Privacy: Just like technologies that have come before it, AI depends on strong cybersecurity and privacy provisions. We encourage governments to use strong, globally-accepted and deployed cryptography and other security standards that enable trust and interoperability. We also promote voluntary information-sharing on cyberattacks or hacks to better enable consumer protection. The tech sector incorporates strong security features into our products and services to advance trust, including using published algorithms as our default cryptography approach as they have the greatest trust among global stakeholders, and limiting access to encryption keys. Data and cybersecurity are integral to the success of AI. We believe for AI to flourish, users must trust that their personal and sensitive data is protected and handled appropriately. AI systems should use tools, including anonymized data, de-identification, or aggregation to protect personally identifiable information whenever possible. サイバーセキュリティとプライバシー:これまでの技術と同様に、AIは強力なサイバーセキュリティとプライバシーの規定に依存している。私たちは、信頼と相互運用を可能にする強力で世界的に受け入れられ、展開されている暗号技術やその他のセキュリティ標準を使用することを政府に奨励する。また、サイバー攻撃やハッキングに関する自主的な情報共有を促進し、消費者保護をより効果的に行えるようにする。ハイテクセクターは、信頼を高めるため、製品やサービスに強力なセキュリティ機能を組み込んでいる。これには、世界のステークホルダーから最も信頼されている公開アルゴリズムをデフォルトの暗号手法として使用することや、暗号鍵へのアクセスを制限することなどが含まれます。データとサイバーセキュリティは、AIの成功に不可欠である。私たちは、AIが繁栄するためには、ユーザーが自分の個人データや機密データが保護され、適切に扱われることを信頼しなければならないと考えている。AIシステムは、可能な限り、個人を特定できる情報を保護するために、匿名化データ、非識別化、または集計を含むツールを使用する必要がある。
Global Standards and Best Practices: We promote the development of global voluntary, industry-led, consensus-based standards and best practices. We encourage international collaboration in such activities to help accelerate adoption, promote competition, and enable the cost-effective introduction of AI technologies.   グローバルスタンダードとベストプラクティス:私たちは、業界主導のコンセンサスに基づくグローバルな自主基準およびベストプラクティスの開発を推進する。私たちは、AI技術の採用を加速し、競争を促進し、費用対効果の高い序文を可能にするために、このような活動における国際協力を奨励する。 
The Opportunity for Public-Private Partnerships: Promoting Lifespan Education and Diversity.   官民のパートナーシップの機会。生涯教育と多様性の促進。 
Democratizing Access and Creating Equality of Opportunity: While AI systems are creating new ways to generate economic value, if the value favors only certain incumbent entities, there is a risk of exacerbating existing wage, income, and wealth gaps. We support diversification and broadening of access to the resources necessary for AI development and use, such as computing resources, education, and training, including opportunities to participate in the development of these technologies.    アクセスの民主化と機会均等の創出:AIシステムは経済的価値を生み出す新たな方法を生み出しているが、その価値が特定の既存事業者だけに有利なものであれば、既存の賃金、所得、富の格差を悪化させる危険性がある。私たちは、これらの技術開発に参加する機会を含め、コンピューティング資源、教育、トレーニングなど、AIの開発および使用に必要な資源へのアクセスの多様化と拡大を支持する。  
Science, Technology, Engineering and Math (STEM) Education: Current and future workers need to be prepared with the necessary education and training to help them succeed. We recognize that delivering training is critical and will require significant investment, not only in STEM education, but also in understanding human behavior via the humanities and social sciences. To ensure employability of the workforce of the future, the public and private sectors should work together to design and deliver work-based learning and training systems, and advance approaches that provide students with real work experiences and concrete skills. In conjunction, prioritizing diversity and inclusion in STEM fields, and in the AI community specifically, will be a key part in ensuring AI develops in the most robust way possible.   科学、技術、工学、数学(STEM)教育:現在および将来の労働者は、成功のために必要な教育と訓練を受ける必要がある。私たちは、トレーニングを提供することが重要であり、STEM教育だけでなく、人文科学や社会科学を通じて人間の行動を理解するためにも、多額の投資が必要であると認識している。将来の労働力の雇用可能性を確保するために、官民が協力して、ワークベースの学習・訓練システムを設計・提供し、学生に実際の仕事体験と具体的なスキルを提供するアプローチを進めるべきである。また、STEM分野、特にAIコミュニティにおける多様性と包摂を優先することは、AIが最も強固な方法で発展するための重要な要素になる。 
Workforce: There is concern that AI will result in job change, job loss, and/or worker displacement. While these concerns are understandable, it should be noted that most emerging AI technologies are designed to perform a specific task and assist rather than replace human employees. This type of augmented intelligence means that a portion, but most likely not all, of an employee’s job could be replaced or made easier by AI. While the full impact of AI on jobs is not yet fully known, in terms of both jobs created and displaced, an ability to adapt to rapid technological change is critical. We should leverage traditional human-centered resources as well as new career educational models and newly developed AI technologies to assist both the existing workforce and future workforce in successfully navigating career development and job transitions. Additionally, we must have PPPs that significantly improve the delivery and effectiveness of lifelong career education and learning, inclusive of workforce adjustment programs.  We must also prioritize the availability of job-driven training to meet the scale of need, targeting resources to programs that produce strong results.  労働力:AIが雇用の変化、雇用の喪失、労働者の移動につながるという懸念がある。こうした懸念は理解できるが、新興のAI技術の多くは、特定のタスクを実行し、人間の従業員を置き換えるのではなく、支援するように設計されていることに留意する必要がある。この種の拡張知能は、従業員の仕事の一部がAIに取って代わられたり、より簡単になったりする可能性があることを意味する(ただし、ほとんどの場合、すべてではありません)。AIが雇用に与える影響はまだ完全には分かっていませんが、雇用の創出と喪失の両面から、急速な技術変化に適応する能力が重要である。私たちは、従来の人間中心のリソースだけでなく、新しいキャリア教育モデルや新しく開発されたAI技術を活用し、既存の労働力と未来の労働力の両方が、キャリア開発とジョブトランジションをうまく乗り切れるように支援する必要がある。さらに、労働力調整プログラムを含む生涯キャリア教育・学習の提供と効果を大幅に向上させるPPPが必要である。 また、ニーズの規模に応じた職業主導型トレーニングの提供を優先し、強力な成果を生み出すプログラムに資源を集中させなければならない。
Public Private Partnership: PPPs will make AI deployments an attractive investment for both government and private industry, and promote innovation, scalability, and sustainability. By leveraging PPPs – especially between industry partners, academic institutions, and governments – we can expedite AI R&D and prepare our workforce for the jobs of the future.  官民パートナーシップ:PPPは、政府および民間企業の双方にとって、AIの導入を魅力的な投資とし、イノベーション、拡張性、持続可能性を促進することができる。特に産業界のパートナー、学術機関、政府間のPPPを活用することで、AIの研究開発を加速させ、将来の仕事に対応できる労働力を準備することができる。

 

 

| | Comments (0)

2023.03.07

ロシア 科学技術センター 認知作戦・心理作戦の理論的・概念的側面

こんにちは、丸山満彦です。

ロシア連邦の科学技術センターが語る、認知作戦・心理作戦の理論的・概念的側面...

ちなみに、"операций" は "operation"「作戦」、”война” は "warfare"「戦」と訳したつもり...

Научно-технический центр

・2023.03.02 Теоретические и концептуальные аспекты когнитивных и психологических операций

 

Теоретические и концептуальные аспекты когнитивных и психологических операций 認知・心理作戦の理論的・概念的側面
В последнее время в условиях появления новых конфликтов происходит трансформация понятия «гибридных войн». Это связано с тем, что существующие концепции, тактики и методы информационных операций увеличивают количество возможных интерпретаций и умозаключений из контента информационной операции. ハイブリッド戦という概念は、最近、新たな紛争の文脈で変容している。これは、情報作戦の既存の概念、戦術、方法が、情報作戦の内容から可能な解釈や推論を増やしていることに起因する。
То есть, смыслы и выводы информационной операции не очевидны для их создателя. つまり、情報作戦の意味や結論は、その作成者にとっては自明ではないのである。
В 1996 году в США выпущена первая доктрина по информационным операциям FM 100-6, которая должна определить развитие в период после холодной войны и объединить выводы из других операций. В рамках этой доктрины, узконаправленный термин «информационная война» заменен на «информационные операции», который отражает современную реальность и многозадачность информации. Информационные операции рассматриваются в двух контекстах: Глобальной информационной среды (GIE), то есть, совокупности всех потребителей информации, организаций, систем, которые находятся за пределами военного контроля и Военной информационной среды (MIE) – совокупности акторов, которые формируют границы операции. 1996年、米国は冷戦後の発展を定義し、他の作戦からの知見を統合するために、最初の情報作戦ドクトリンであるFM100-6を発行した。このドクトリンでは、狭義の「情報戦」に代わって、現在の情報の実態とマルチタスクを反映した「情報作戦」が採用されている。情報作戦は、グローバル情報環境(GIE)、すなわち軍の統制外にあるすべての情報消費者、組織、システムの集合と、軍事情報環境(MIE)、すなわち作戦の境界を形成する行為者の集合という2つの文脈で捉えられる。
В 2020 году Киберкомандование США объявило, что информационная война уступила место концепции информационного преимущества. Разработанное для достижения «доминирования в принятии решений», информационное преимущество было выбрано как более подходящее описание расширенной миссии армии в информационном пространстве, описываемом как среда «беспрецедентной информационной войны». Необходимость доктринального определения роли информации в конфликтах связана с формированием стратегических принципов ведения последующих войн и адаптации к новым стратегическим условиям, включая объединение человеческих, организационных, инфраструктурных ресурсов, политических и культурологических факторов. 2020年、米サイバー司令部は、情報戦が情報優位の概念に道を譲ったことを発表した。「意思決定優位」を達成するために設計された情報優位は、「前例のない情報戦」の環境と表現される情報空間における陸軍の拡大した任務をより適切に表現するものとして選ばれた。紛争における情報の役割に関する教義上の定義の必要性は、その後の戦争を遂行し、人的、組織的、インフラ的資源、政治的、文化的要因の統合を含む新しい戦略的条件に適応するための戦略原則の形成と結びついている。
Так, в 2021 году появилось понятие «когнитивной войны» в рамках конференции НАТО в Инновационном центре во Франции. Основные выводы заключаются в необходимости объединения информационной войны, когнитивной науки и нейробиологии для моделирования сложных систем, например, поведения населения. Эти методы позволят формировать, стимулировать и изменять представления о реальных событиях, обеспечивая «доминирование в принятии решений». こうして2021年、フランスのイノベーションセンターで開催されたNATOの会議から、「認知戦」という概念が生まれた。重要な発見は、情報戦、認知科学、神経生物学を組み合わせて、集団行動などの複雑なシステムをモデル化する必要があるということである。これらの技術は、現実世界の事象の表現を形成、刺激、修正し、「意思決定優位」を提供するものである。
Изменение когнитивной репрезентации происходит в информационной среде на уровне артефактов (соблюдение определенных ритуалов, наличие определенного уровня жизни), на уровне ценностей (равенство, братство, богатство), на уровне базовых убеждений (уважение к старшим, защита семьи). Параллельно, сохраняются психологические операции (PSYOPS). Согласно доктрине НАТО AJP-3.10.1, психологические операции – это запланированные мероприятия с использованием средств связи и других средств, направленные на формирование восприятия, отношение и поведение аудитории для достижения политических и военных целей. 認知表現の変化は、情報環境において、人工物のレベル(特定の儀式を守る、一定の生活水準を持つ)、価値のレベル(平等、兄弟愛、富)、基本的信念のレベル(年長者への敬意、家族の保護)において生じる。これと並行して、心理作戦(PSYOPS)も維持される。NATOのドクトリンAJP-3.10.1によると、心理作戦とは、政治的・軍事的目的を達成するために、聴衆の認識、態度、行動を形成することを目的とした、通信やその他の手段を用いた計画的活動である。
Ключевые различия между когнитивными и психологическими операциями заключаются в сферах воздействия. Так, психологические операции обращены к тревогам и страхам, искажению восприятия, культурным иллюзиям, насилию. Когнитивные операции включают сенсорное перенасыщение, тоннелирование внимания, софизмы. Конвергенция этих видов операций происходит в информационном пространстве культурной среды, где формируются модели мышления и стандарты поведения различных групп общества. В рамках отдельных групп формируется инфраструктура интерпретации событий и информации, которая создает культурные эффекты на национальном, региональном, субнациональном уровне. Это приводит к деконструкции сообществ, формированию/нивелированию коллективных ценностей. Такая политика позволяет оказывать влияние на военные и экономические операции и на процессы, которые с ними связаны. Анализ концептуальных подходов позволяет представить схему типов современных информационных операций: 認知作戦と心理作戦の重要な違いは、影響力の範囲にある。例えば、心理作戦は、不安や恐怖、知覚の歪み、文化的錯覚、暴力などに対処する。認知作戦は、感覚の過飽和、注意のトンネリング、詭弁を含む。このような作戦の収束は、文化環境の情報空間で行われ、社会の異なる集団の思考パターンや行動基準が形成される。個々の集団の中で出来事や情報の解釈のインフラが形成され、それが国家、地域、サブナショナル・レベルで文化的効果を生み出す。これは、共同体の解体や集団的価値の形成・平準化につながる。これらの政策により、軍事・経済活動やそれに付随するプロセスに影響を与えることができる。概念的なアプローチを分析することで、現代の情報作戦のタイプのスキームを提示することができる。
Fig_20230307031201
С одной стороны, концепутализация понятий и формирование политики в области проведения когнитивных и психологических операций определяет тактическое и стратегическое преимущество. С другой стороны, милитаризация когнитивной сферы в либерально-демократических системах приводит к отсутствию разграничения понятий национальных интересов, национальной безопасности и войны. Однако понимание когнитивного информационного преимущества/превосходства лежит не столько в области технологического развития и скорости обработки и объемов информации, а в области представления и осознания своих целей, возможностей и целей и возможностей противника и способности их соотношения для максимизации преимущества. 一方では、認知・心理作戦の分野に概念と政策決定を閉じ込めることが、戦術的・戦略的優位性を決定する。一方、自由民主主義体制における認知領域の軍事化は、国益、国家安全保障、戦争という概念の区別を欠くことにつながる。しかし、認知的な情報の優位性・優越性の理解は、技術開発や情報処理速度・量の領域ではなく、自分の目標・能力、相手の目標・能力を想像・認識し、それらをバランスさせて優位性を最大化する能力の領域にあるのである。

 

リンクが貼られている前

Military Review, November-December 1996

・[PDF] FM 100-6 Information Operations

20230307-132324_20230307132401

 

HAL Open Science

Abstractだけですが...

・[PDF] Cognitive Warfare: The Future of Cognitive Dominance

20230307-140358

 

U.K. Ministory of Defence

・2014.09 Allied Joint Publication-3.10.1: Allied Joint Doctrine for Psychological Operations

20230307-152608

 

Innovation Hub

・2022 [PDF] The Cognitive Warfare Concept

20230307-152842

・[DOCX] 仮訳

 

 

| | Comments (0)

2023.03.06

米国 議会調査局 銀行業、データプライバシー、サイバーセキュリティに関する規制 (2023.02.24)

こんにちは、丸山満彦です。

米国議会調査局が銀行業、データプライバシー、サイバーセキュリティに関する規制について報告書をだしていました。。。

銀行で利用される個人データの機微性は高く、その管理は重要である。また、銀行業界では、クラウドサービスの利用が進んでおり、とくに、Amazon, Microsoft, Googleに集中(おそらく70%以上)しているので、そのあたりも課題になるかもしれませんね。。。

そうえば、米国でも連邦レベルでの個人情報保護法の議論が熱くなりつつありますかね。。。

 

Congressional Research Service

・2023.02.24 Banking, Data Privacy, and Cybersecurity Regulation (R47434)

・[PDF] February 24, 2023 (R47434 - Version: 2)

20230306-04420

・[DOCX] 仮訳

 

 

目次...

Introduction はじめに
Cybersecurity Risks to the Banking System 銀行システムにおけるサイバーセキュリティのリスク
Current Legislative Framework  現在の法制度上の枠組み
Recent Legislative Developments  最近の法改正の動き
Regulatory Framework  レギュラトリーフレームワーク
GLBA Data Privacy and Safeguards GLBA データプライバシーとセーフガード
GLBA Rulemaking Authorities GLBAの規則制定権限
Recent Updates on Depository Regulation of GLBA Cybersecurity Provisions GLBAサイバーセキュリティ条項に関する預託金規制の最新情報
Other Regulatory Developments その他の規制の動向
Supervisory Process  監督プロセス
GLBA Supervision  GLBAスーパービジョン
Depository Institution Supervision  預金保険機構の監督
Third-Party Service Providers  第三者サービスプロバイダー
Policy Issues for Congress 議会での政策課題
Data Privacy データプライバシー 
Technology Service Providers テクノロジー・サービス・プロバイダー
Cloud Computing クラウドコンピューティング

| | Comments (0)

2023.03.05

NISTIR 8432(ドラフト)ゲノムデータのサイバーセキュリティ

こんにちは、丸山満彦です。

NISTが、ゲノムデータのサイバーセキュリティについてのIRを公表していますね。。。ゲノムデータの機微性はわかるのですが、IRをつくるほどのことか???とも思ったりもしますが、まぁ、利用の局面を踏まえた実務的なガイドという意味合いのようです。。。

NIST - ITL

・2023.03.03 NISTIR 8432 (Draft) Cybersecurity of Genomic Data

Announcement 発表
Genomic data has enabled the rapid growth of the U.S. bioeconomy and is valuable to the individual, industry, and government due to intrinsic properties that, in combination, make it different from other types of high-value data which possess only a subset of these properties. The characteristics of genomic data compared to other high value datasets raises some correspondingly unique cybersecurity and privacy challenges that are inadequately addressed with current policies, guidance, and technical controls. ゲノムデータは、米国のバイオエコノミーの急成長を可能にし、個人、産業界、政府にとって価値あるものであるが、その本質的な特性は、これらの特性のサブセットのみを有する他の種類の高価値データとは異なるものである。他の高価値データセットと比較したゲノムデータの特性は、サイバーセキュリティ及びプライバシ ーに関する特有の課題を提起しており、現行のポリシー、ガイダンス及び技術管理者では十分に対処できない。
This report describes current practices in risk management, cybersecurity, and privacy management for protecting genomic data, as well as the associated challenges and concerns. It identifies gaps in protection practices across the genomic data lifecycle and proposes solutions to address real-life use cases occurring at various stages of the genomic data lifecycle. This report also is intended to provide areas for regulatory/policy enactment or further research. 本報告書では、ゲノムデータを保護するためのリスクマネジメント、サイバーセキュリティ、プライバシーマネジメントにおける現在の実践を、関連する課題や懸念とともに説明する。また、ゲノムデータのライフサイクル全体における保護対策のギャップを明らかにし、ゲノムデータのライフサイクルの様々な段階で発生する実際のユースケースに対処するための解決策を提案する。また、本報告書は、規制・政策の制定やさらなる研究のための領域を提供することを目的としている。
Abstract 要旨
Genomic data has enabled the rapid growth of the U.S. bioeconomy and is valuable to the individual, industry, and government because it has multiple intrinsic properties that in combination make it different from other types of high value data which possess only a subset of these properties. The characteristics of genomic data compared to other high value datasets raises some correspondingly unique cybersecurity and privacy challenges that are inadequately addressed with current policies, guidance documents, and technical controls. ゲノムデータは、米国のバイオエコノミーの急成長を可能にし、個人、産業界、政府にとって貴重なものである。他の高価値データセットと比較したゲノムデータの特性は、サイバーセキュリティ及びプライバシ ーに関して、現行のポリシー、ガイダンス文書、及び技術管理者では十分に対処できない独自の課題を提起 している。
This report describes current practices in risk management, cybersecurity, and privacy management for protecting genomic data along with relevant challenges and concerns. Gaps in protection practices across the lifecycle were identified concerning genomic data generation, safe and responsible sharing of the genomic data, monitoring the systems processing genomic data, lack of specific guidance documents addressing the unique needs of genomic data processors, and regulatory/policy gaps with respect to national security and privacy threats in the collection, storage, sharing, and aggregation of human genomic data. 本報告書では、ゲノムデータを保護するためのリスクマネジメント、サイバーセキュリティ、プライバシーマネジメントにおける現在の実践を、関連する課題や懸念とともに説明する。ゲノムデータの生成、ゲノムデータの安全かつ責任ある共有、ゲノムデータを処理するシステムの監視、ゲノムデータ処理者特有のニーズに対応する具体的なガイダンス文書の欠如、ヒトゲノムデータの収集、保存、共有、集計における国家安全保障とプライバシーへの脅威に関する規制・政策のギャップなど、ライフサイクルにわたる保護実務のギャップが明らかになった。
The report proposes a set of solution ideas that address real-life use cases occurring at various stages of the genomic data lifecycle along with candidate mitigation strategies and the expected benefits of the solutions. Additionally, areas needing regulatory/policy enactment or further research are highlighted. 本報告書では、ゲノムデータのライフサイクルの様々な段階で発生する実際のユースケースに対応する一連のソリューションアイデアを、緩和策の候補とソリューションの期待効果とともに提案する。さらに、規制・政策の制定やさらなる研究が必要な分野も強調されている。

 

・[PDF] NISTIR 8432 (Draft)

20230305-11018

 

目次...

1. Introduction 1. 序文
1.1. Cybersecurity and Privacy Concerns 1.1. サイバーセキュリティとプライバシーに関する懸念
1.2. Document Scope and Goals 1.2. ドキュメントのスコープとゴール
2. Background 2. 背景
2.1.Genomic Information Lifecycle 2.1.ゲノム情報ライフサイクル
2.2. Next Generation Sequencing 2.2. 次世代シーケンサー
2.3. Variant Calling 2.3. バリアントコーリング
2.4. Genome Editing 2.4. ゲノム編集
2.5. Direct-to-Consumer Testing 2.5. ダイレクト・トゥ・コンシューマー・テスト
2.6. The Characteristics of Genomic Data 2.6. ゲノムデータの特徴
2.7. Balance Between Benefits and Risks for Uses of Genomic Information 2.7. ゲノム情報の利用における利益とリスクのバランス
3. Challenges and Concerns Associated with Handling Genomic Information 3. ゲノム情報の取り扱いに関する課題と懸念事項
3.1. Potential National Security Concerns 3.1. 国家安全保障上の潜在的な懸念
3.2. Privacy Challenges 3.2. プライバシーの課題
3.3. Discrimination and Reputational Concerns 3.3. 差別と風評の懸念
3.4. Economic Concerns 3.4. 経済的な懸念
3.5. Health Outcome Concerns 3.5. 健康アウトカムに関する懸念
3.6. Other Potential Future Concerns 3.6. その他の潜在的な将来の懸念事項
3.7. Summary of Challenges and Concerns with Genomic Data 3.7. ゲノムデータに関する課題・懸念のまとめ
4. Current State of Practices 4. プラクティスの現状
4.1. Risk Management Practices 4.1. リスクマネジメントの実践
4.1.1. U.S. Government Resources 4.1.1. 米国政府のリソース
4.1.2. U.S. Government Initiatives 4.1.2. 米国政府の取り組み
4.1.3. International Resources and Regulations 4.1.3. 国際的な資源と規制
4.2. Cybersecurity Best Practices 4.2. サイバーセキュリティのベストプラクティス
4.2.1. U.S. Government Resources 4.2.1. 米国政府のリソース
4.2.2. International Resources 4.2.2. 国際的なリソース
4.2.3. Industry Resources 4.2.3. 産業用リソース
4.3. Privacy Best Practices 4.3. プライバシーベストプラクティス
4.3.1. U.S. Government Resources 4.3.1. 米国政府のリソース
4.3.2. Industry Resources 4.3.2. 産業用リソース
4.3.3. International Resources 4.3.3. 国際資源
4.4. Summary of Gaps in the Protection of Genomic Data 4.4. ゲノムデータ保護におけるギャップのまとめ
4.4.1. Guidance Gaps 4.4.1. ガイダンスのギャップ
4.4.2. Technical Solution Gaps 4.4.2. 技術的ソリューションのギャップ
4.4.3. Policy/Regulatory Landscape 4.4.3. 政策・規制の状況
5. Available Solutions to Address Current Needs 5. 現在のニーズに対応するために利用可能なソリューション
5.1. NIST Cybersecurity Framework Profile for Processing of Genomic Data 5.1. ゲノムデータの処理に関するNISTサイバーセキュリティフレームワークのプロファイル
5.1.1. Use Case Description 5.1.1. ユースケースの説明
5.1.2. Solution Idea 5.1.2. ソリューションアイデア
5.1.3. Expected Benefits 5.1.3. 期待される効果
5.2. NIST Privacy Framework Profile for Processing Genomic Data 5.2. ゲノムデータ処理のためのNISTプライバシーフレームワークプロファイル
5.2.1. Use Case Description 5.2.1. ユースケースの説明
5.2.2. Solution Idea 5.2.2. ソリューションアイデア
5.2.3. Expected Benefits 5.2.3. 期待される効果
5.3. Automatic Network Micro-Segmentation of Sequencers with MUD 5.3. MUDによるシーケンサの自動ネットワークマイクロセグメンテーション
5.3.1. Use Case Description 5.3.1. ユースケースの説明
5.3.2. Solution Idea 5.3.2. ソリューションアイデア
5.3.3. Expected Benefits 5.3.3. 期待される効果
5.4. Security Guidelines for Data Analysis Pipelines 5.4. データ解析パイプラインのセキュリティガイドライン
5.4.1. Use Case Description 5.4.1. ユースケースの説明
5.4.2. Solution Idea 5.4.2. ソリューションアイデア
5.4.3. Expected Benefits 5.4.3. 期待される効果
5.5. Demonstration Project for Genomic Data Risk Management 5.5. ゲノムデータリスクマネジメントの実証プロジェクト
5.5.1. Use Case Description 5.5.1. ユースケースの説明
5.5.2. Solution Idea 5.5.2. ソリューションアイデア
5.5.3. Expected Benefits 5.5.3. 期待される効果
5.6. Demonstration Project for Analysis of Genomic Data Using Privacy Preserving and Enhancing Technologies 5.6. プライバシーの保護・向上技術を活用したゲノムデータ解析の実証プロジェクト
5.6.1. Use Case Description 5.6.1. ユースケースの説明
5.6.2. Solution Idea 5.6.2. ソリューションアイデア
5.6.3. Expected Benefits 5.6.3. 期待される効果
6. Areas for Further Research 6. 今後の研究課題
7. Conclusion 7. まとめ
8.References 8.References
Appendix A. List of Symbols, Abbreviations, and Acronyms 附属書 A.記号・略語・頭字語リスト

 

ゲノム情報の特徴...

2.6. The Characteristics of Genomic Data   2.6. ゲノムデータの特徴  
Genomic data share attributes with other sensitive types of information, and as such, mirrors their need for secure storage and transfer. Beyond these aspects there are several intrinsic characteristics of genomic data. These concepts were discussed during the first NCCoE public workshop held on May 18 and 19, 2021, and have been posited by some in the research community [3]. Figure 2 identifies seven features of genomic information that distinguish it from other types of data. It is not any single characteristic, but instead the combination of these intrinsic properties that highlight its value and sensitivity.  ゲノムデータは、他の機密性の高い種類の情報と共通する属性を持っているため、安全な保管と転送が必要であることを反映している。これらの側面を超えて、ゲノムデータにはいくつかの本質的な特徴がある。これらの概念は、2021年5月18日と19日に開催された第1回NCCoEパブリックワークショップで議論され、研究コミュニティの一部によって提唱されてきた[3]。図2は、ゲノム情報を他の種類のデータと区別する7つの特徴を特定したものである。単一の特徴ではなく、これらの本質的な特性の組み合わせが、その価値と機微性を際立たせている。
Phenotype. Phenotype refers to the observable characteristics imparted by the genome, such as size, appearance, blood type, and color. DNA can reveal a great deal of information about an individual or their relatives, including phenotype or health information.  表現型:表現型とは、サイズ、外見、血液型、色など、ゲノムによって付与された観察可能な特徴を指す。DNAは、表現型や健康情報など、個人またはその親族に関する多くの情報を明らかにすることができる。
Health. Health means that DNA contains information about an organism’s disease presence, disease risk, vigor, and longevity. Clinical genetic testing can identify variants within one’s genome that may contribute to certain health outcomes.   健康:健康とは、DNAが生物の病気の有無、病気のリスク、活力、長寿に関する情報を含んでいることを意味する。臨床遺伝学的検査は、特定の健康上の結果に寄与すると思われるゲノム内のバリアントを特定することができる。
Immutable. Immutable means that an organism’s DNA does not change significantly during the organism’s life. An individual’s genome is practically immutable, with a negligible lifetime mutation rate for most applications, which increases the long-term consequences of a data breach.   不変:不変とは、生物のDNAがその生物の一生の間に大きく変化しないことを意味する。個人のゲノムは実質的に不変であり、ほとんどのアプリケーションで生涯変異率は無視できるほど低いため、データ漏洩の長期的な影響を高めることができる。
Unique. Unique means that individuals of species with sexual reproduction can be identified. Except in the case of identical siblings, a person’s genome is unique to them.   ユニーク:ユニークとは、有性生殖を行う種の個体が識別できることを意する。一卵性双生児の場合を除き、その人のゲノムはその人に固有のものである。
Mystique. Mystique refers to the public perception about the mystery of DNA and its possibly future uses.   神秘性:神秘性とは、DNAの謎や将来的に利用される可能性があることについての一般的な認識を指す。 
Value. Value refers to the importance of the information content of DNA that does not decline with time, but typically increases with time. Genomic information has value to certain entities and that value is predicted to grow as we learn more about the genomes of humans and other organisms.   価値:価値とは、DNAの情報内容の重要性を意味し、それは時間とともに減少するものではなく、一般的には時間とともに増加するものである。ゲノム情報は、ある特定の主体にとって価値があり、その価値は、ヒトや他の生物のゲノムについてより多くを学ぶにつれて増大すると予測されている。
• Kinship. Kinship means that common ancestors and descendants of the organism can be identified from DNA samples. Consumer genetic testing services provide information about one’s ancestral lineage, including the potential to identify relatives. 親族関係:親族関係とは、DNAサンプルから生物の共通の祖先と子孫を特定できることを意味します。消費者向け遺伝子検査サービスでは、親族を特定できる可能性を含め、自分の先祖の血統に関する情報を提供する。

 

 

表1. ゲノムデータに対するNISTリスクマネジメントフレームワークの考察

RMFステップ  概要  ゲノムデータの関連性 
準備 組織は、リスクマネジメントの準備のために必要不可欠な活動を実施している。これには、リスクマネジメントの重要な役割の特定、組織全体のリスクマネジメント戦略及びリスク許容度の確立、組織全体のセキュリティ及びプライバシーリスクの評価、組織全体の継続的監視戦略の策定が含まれる。 システムレベルでは、システム内の情報の種類を理解し、システムレベルのリスクアセスメントを実施し、関連する要件(該当する連邦及び州の規制要件を含む)を特定する必要がある。 データ主体者の国籍、データ収集場所、データ処理場所に応じて、関連するすべての規制要件が州または国レベルで考慮されることが重要である。
組織が準備しなければならないヒトゲノム・健康データの重要な特徴は、インフォームド・コンセントにデータの使用方法に関する特定の制限がある場合があり、データが収集された時期や状況によってインフォームド・コンセントが異なることが多いということである。
分類 準備」ステップの出力を使用して、システム及び処理、保存、伝送される情報を分類し、情報、システム、及びプロセスについて、機密性、完全性、可用性の三要素(CIA)が失われる可能性を評価する。 データの分類は、リスクを受容可能なレベルまで適切に軽減するために、組織が適切な管理者を特定するのに役立つ。
ヒト健康データ及びゲノムデータは、さらに、データ主体から得たインフォームド・コンセントの許容される用途によって分類され、その処理方法が制限される可能性がある。 
選択 リスクマネジメント戦略に従い、リスク許容度の範囲内で、リスクを管理するためのコントロールが選択される。  ゲノムデータに関連する特定の管理者はまだ特定されていないが、関連するリスクをマネジメントする組織のガイダンスとして使用することができる。
実装、評価、認可  システムセキュリティ計画は、コントロールの実施状況を反映するために更新される。 
コントロールが適切に配置され、意図したとおりに動作し、望ましい結果を達成していることを確認するために、コントロールを評価する(検証及び確認を含む)。 
認可のステップでは、システムを運用する(または運用を継続する)前に、上級職員が残存リスクを理解し、それが組織にとって許容できるものであることに合意することが求められる。
これらのステップにより、組織はゲノムデータに対して現在実施されている(又は実施されていな い)保護に関連するリスクを定量化し、特徴付けることができる。 
その後、組織は、残留リスクに対処するために必要なリソースとスケジュールを特定する行動計 画とマイルストーン(POA&M)を通じて、内在リスク又は残留リスクを管理することになる。
連続的なモニタリング システムの運用開始後、組織は、システムが意図したとおりに、かつ、組織の許容できるリスク許容範囲内で運用されていることを確認する必要がある。この段階では、適切な専門知識を有するサブジェクト・マター・エキスパートが必要である。新たな脅威、規制の変更、技術の変化など、発生する変化に対応するために、定期的な評価が必要である。組織は、システムとデータの終息手順も考慮しなければならない。 組織は、関連する脅威と未解決の脆弱性の両方を監視して、組織にもたらされるリスクを判断しなければならない。 
エクスポージャーを最小化し、ゲノムデータを保護し、ユーザーに侵害を知らせ、インシデ ントから回復するために、イベントやインシデントの発生時に適切に対処するための対応及び回復 計画を策定しなければならない。

 

 

ニュース

・2023.03.03 Cybersecurity of Genomic Data: Draft NIST IR 8432 Available for Public Comment

Cybersecurity of Genomic Data: Draft NIST IR 8432 Available for Public Comment ゲノムデータのサイバーセキュリティ。NIST IR 8432のドラフトがパブリックコメントとして公開された。
The National Cybersecurity Center of Excellence (NCCoE) has published the initial public draft of NIST Internal Report (NIST IR) 8432, Cybersecurity of Genomic Data. The public comment period is now open through April 3, 2023. ナショナル・サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)は、NIST Internal Report(NIST IR)8432「ゲノムデータのサイバーセキュリティ」の初期パブリックドラフトを公開した。パブリックコメント期間は、2023年4月3日までとなっている。
About this Report 本報告書について
Genomic data has enabled the rapid growth of the U.S. bioeconomy and is valuable to the individual, industry, and government due to intrinsic properties that, in combination, make it different from other types of high-value data which possess only a subset of these properties. The characteristics of genomic data compared to other high value datasets raises some correspondingly unique cybersecurity and privacy challenges that are inadequately addressed with current policies, guidance, and technical controls. ゲノムデータは、米国のバイオエコノミーの急速な成長を可能にし、個人、産業界、政府にとって価値があるものであるが、その理由は、内在する特性により、これらの特性のサブセットのみを有する他の種類の高価値データとは異なるものである。他の高価値データセットと比較したゲノムデータの特性は、サイバーセキュリティ及びプライバシ ーに関する特有の課題を提起しており、現行のポリシー、ガイダンス及び技術管理者では十分に対処できない。
This report describes current practices in risk management, cybersecurity, and privacy management for protecting genomic data, as well as the associated challenges and concerns. It identifies gaps in protection practices across the genomic data lifecycle and proposes solutions to address real-life use cases occurring at various stages of the genomic data lifecycle. This report also is intended to provide areas for regulatory/policy enactment or further research. 本報告書では、ゲノムデータを保護するためのリスクマネジメント、サイバーセキュリティ、プライバシーマネジメントの現状と、関連する課題・懸念について記述している。また、ゲノムデータのライフサイクル全体における保護対策のギャップを明らかにし、ゲノムデータのライフサイクルの様々な段階で発生する実際のユースケースに対処するための解決策を提案する。また、本報告書は、規制・政策の制定やさらなる研究のための領域を提供することを目的としている。

| | Comments (0)

2023.03.04

米国 国家サイバーセキュリティ戦略を発表

こんにちは、丸山満彦です。

米国が5年ぶり?に国家サイバーセキュリティ戦略を発表しましたね。。。

5つの柱

(1) Defend Critical Infrastructure (1)重要インフラの防衛
(2) Disrupt and Dismantle Threat Actors (2)脅威アクターの破壊と解体
(3) Shape Market Forces to Drive Security and Resilience (3)セキュリティとレジリエンスを推進するための市場の力の形成
(4) Invest in a Resilient Future (4)レジリエンスな未来への投資
(5) Forge International Partnerships to Pursue Shared Goals (5)共通の目標を達成するための国際的パートナーシップの構築

 

大統領令14028の考え方がベースになっていて、それに最近のランサムグループ解体等の成功事例を踏まえて、国際連携、民間連携を強く打ち出しているように思いました。。。

米国政府は、自分だけでは犯罪者組織を倒せないし、競争国との競争も仲間と一緒にやらないと勝てないと感じているのかもしれません。。。欧州も日本もサイバーだけでなく、安全保障の観点で米国の考えに巻き込まれますよね。。。これからもっと。。。

 

戦略の目次的なもの...

National Cybersecurity Strategy 国家サイバーセキュリティ戦略
PILLAR ONE | DEFEND CRITICAL INFRASTRUCTURE  柱1:重要インフラの防御 
STRATEGIC OBJECTIVE 1.1: ESTABLISH CYBERSECURITY REQUIREMENTS TO SUPPORT NATIONAL SECURITY AND PUBLIC SAFETY  戦略目標 1.1: 国家安全保障と公共安全を支援するためのサイバーセキュリティ要件の確立
ESTABLISH CYBERSECURITY REGULATIONS TO SECURE CRITICAL INFRASTRUCTURE   重要インフラを保護するためのサイバーセキュリティ規制の確立 
HARMONIZE AND STREAMLINE NEW AND EXISTING REGULATION  新規および既存の規制の調和と合理化 
ENABLE REGULATED ENTITIES TO AFFORD SECURITY  規制対象事業者のセキュリティ確保の推進 
STRATEGIC OBJECTIVE 1.2: SCALE PUBLIC-PRIVATE COLLABORATION  戦略目標1.2: 官民協力の拡大 
STRATEGIC OBJECTIVE 1.3: INTEGRATE FEDERAL CYBERSECURITY CENTERS  戦略目標1.3: 連邦政府のサイバーセキュリティセンターの統合 
STRATEGIC OBJECTIVE 1.4: UPDATE FEDERAL INCIDENT RESPONSE PLANS AND PROCESSES  戦略目標 1.4: 連邦政府の事故対応計画及びプロセスの更新 
STRATEGIC OBJECTIVE 1.5: MODERNIZE FEDERAL DEFENSES   戦略目標 1.5: 連邦防衛の近代化  
COLLECTIVELY DEFEND FEDERAL CIVILIAN AGENCIES  連邦政府民間機関の一括防衛 
MODERNIZE FEDERAL SYSTEMS  連邦システムの近代化 
DEFEND NATIONAL SECURITY SYSTEMS  国家安全保障システムの保護 
PILLAR TWO | DISRUPT AND DISMANTLE THREAT ACTORS  柱2:脅威アクターの破壊と解体
STRATEGIC OBJECTIVE 2.1: INTEGRATE FEDERAL DISRUPTION ACTIVITIES  戦略目標2.1: 連邦政府の破壊活動の統合 
STRATEGIC OBJECTIVE 2.2: ENHANCE PUBLIC-PRIVATE OPERATIONAL COLLABORATION TO DISRUPT ADVERSARIES  戦略目標2.2: 敵対者をかく乱するための官民の作戦協力の強化 
STRATEGIC OBJECTIVE 2.3: INCREASE THE SPEED AND SCALE OF INTELLIGENCE SHARING AND VICTIM NOTIFICATION  戦略目標 2.3: 情報共有と被害者通知の速度と規模の拡大 
STRATEGIC OBJECTIVE 2.4: PREVENT ABUSE OF U.S.-BASED INFRASTRUCTURE  戦略目標2.4: 米国拠点のインフラ悪用の防止 
STRATEGIC OBJECTIVE 2.5: COUNTER CYBERCRIME, DEFEAT RANSOMWARE  戦略目標2.5: サイバー犯罪への対抗とランサムウェアの撲滅 
PILLAR THREE | SHAPE MARKET FORCES TO DRIVE SECURITY AND RESILIENCE  柱3:セキュリティとレジリエンスを推進するための市場の力の形成 
STRATEGIC OBJECTIVE 3.1: HOLD THE STEWARDS OF OUR DATA ACCOUNTABLE 戦略目標3.1: データの管理者に説明責任を持たせる 
STRATEGIC OBJECTIVE 3.2: DRIVE THE DEVELOPMENT OF SECURE IOT DEVICES  戦略目標3.2: 安全なIoTデバイスの開発の促進 
STRATEGIC OBJECTIVE 3.3: SHIFT LIABILITY FOR INSECURE SOFTWARE PRODUCTS AND SERVICES  戦略目標 3.3: 安全でないソフトウェア製品とサービスに対する責任の転換 
STRATEGIC OBJECTIVE 3.4: USE FEDERAL GRANTS AND OTHER INCENTIVES TO BUILD IN SECURITY  戦略目標 3.4: 連邦政府の補助金やその他のインセンティブを利用したセキュリティの構築 
STRATEGIC OBJECTIVE 3.5: LEVERAGE FEDERAL PROCUREMENT TO IMPROVE ACCOUNTABILITY  戦略目標 3.5: 連邦調達の活用によるアカウンタビリティの向上 
STRATEGIC OBJECTIVE 3.6: EXPLORE A FEDERAL CYBER INSURANCE BACKSTOP  戦略目標 3.6: 連邦政府によるサイバー保険のバックアップの検討 
PILLAR FOUR | INVEST IN A RESILIENT FUTURE  柱4:レジリエンスな未来への投資 
STRATEGIC OBJECTIVE 4.1: SECURE THE TECHNICAL FOUNDATION OF THE INTERNET  戦略目標 4.1: インターネットの技術的基盤の確保 
STRATEGIC OBJECTIVE 4.2: REINVIGORATE FEDERAL RESEARCH AND DEVELOPMENT FOR CYBERSECURITY  戦略目標 4.2: サイバーセキュリティのための連邦政府研究開発の活性化 
STRATEGIC OBJECTIVE 4.3: PREPARE FOR OUR POST-QUANTUM FUTURE  戦略目標 4.3: 量子時代後の未来への備え 
STRATEGIC OBJECTIVE 4.4: SECURE OUR CLEAN ENERGY FUTURE  戦略目標 4.4: クリーンエネルギーの未来の確保 
STRATEGIC OBJECTIVE 4.5: SUPPORT DEVELOPMENT OF A DIGITAL IDENTITY ECOSYSTEM  戦略目標 4.5: デジタル ID エコシステムの開発支援 
STRATEGIC OBJECTIVE 4.6: DEVELOP A NATIONAL STRATEGY TO STRENGTHEN OUR CYBER WORKFORCE  戦略目標4.6: サイバー人材強化のための国家戦略の策定 
PILLAR FIVE | FORGE INTERNATIONAL PARTNERSHIPS TO PURSUE SHARED GOALS  柱5:共通の目標を追求するために国際的なパートナーシップの構築
STRATEGIC OBJECTIVE 5.1: BUILD COALITIONS TO COUNTER THREATS TO OUR DIGITAL ECOSYSTEM  戦略目標5.1: デジタル・エコシステムへの脅威に対抗するための連合を構築する 
STRATEGIC OBJECTIVE 5.2: STRENGTHEN INTERNATIONAL PARTNER CAPACITY  戦略目標5.2: 国際的なパートナーの能力の強化 
STRATEGIC OBJECTIVE 5.3: EXPAND U.S. ABILITY TO ASSIST ALLIES AND PARTNERS  戦略目標 5.3: 同盟国やパートナーを支援する米国の能力の拡大
STRATEGIC OBJECTIVE 5.4: BUILD COALITIONS TO REINFORCE GLOBAL NORMS OF RESPONSIBLE STATE BEHAVIOR   戦略目標5.4: 責任ある国家行動の世界的規範を強化するための連合体構築  
STRATEGIC OBJECTIVE 5.5: SECURE GLOBAL SUPPLY CHAINS FOR INFORMATION, COMMUNICATIONS, AND OPERATIONAL TECHNOLOGY PRODUCTS AND SERVICES  戦略目標5.5: 情報・通信・運用技術製品およびサービスのためのグローバル・サプライ・チェーンの安全確保 

 

U.S. Department of State

・2023.03.02 Announcing the Release of the Administration’s National Cybersecurity Strategy

 

U.S. White House

・2023.03.02 FACT SHEET: Biden-⁠Harris Administration Announces National Cybersecurity Strategy

FACT SHEET: Biden-⁠Harris Administration Announces National Cybersecurity Strategy ファクトシート:バイデン=ハリス政権、国家サイバーセキュリティ戦略を発表
Today, the Biden-Harris Administration released the National Cybersecurity Strategy to secure the full benefits of a safe and secure digital ecosystem for all Americans. In this decisive decade, the United States will reimagine cyberspace as a tool to achieve our goals in a way that reflects our values: economic security and prosperity; respect for human rights and fundamental freedoms; trust in our democracy and democratic institutions; and an equitable and diverse society. To realize this vision, we must make fundamental shifts in how the United States allocates roles, responsibilities, and resources in cyberspace. 本日、バイデン-ハリス政権は、すべての米国人に安全でセキュアなデジタルエコシステムの恩恵を十分に確保するための「国家サイバーセキュリティ戦略」を発表した。この決定的な 10 年において、米国は、経済的安全性と繁栄、人権と基本的自由の尊重、民主主義と民主的制度への信頼、公平で多様な社会という我々の価値観を反映した形で、目標を達成するためのツールとしてサイバースペースを再構築することになるだろう。このビジョンを実現するためには、米国がサイバースペースにおける役割、責任、資源をどのように配分するかについて、根本的な転換を図る必要がある。
1. We must rebalance the responsibility to defend cyberspace by shifting the burden for cybersecurity away from individuals, small businesses, and local governments, and onto the organizations that are most capable and best-positioned to reduce risks for all of us. 1. サイバーセキュリティの負担を個人、中小企業、地方自治体から、最も能力があり、我々全員のリスクを軽減できる立場にある組織に移すことで、サイバー空間を防衛する責任を再分配しなければならない。
2. We must realign incentives to favor long-term investments by striking a careful balance between defending ourselves against urgent threats today and simultaneously strategically planning for and investing in a resilient future. 2. 今日の緊急の脅威から身を守ると同時に、レジリエンスの高い将来に向けて戦略的に計画を立て、投資することの間で慎重にバランスを取ることにより、長期的な投資を促進するようインセンティブを再編成しなければならない。
The Strategy recognizes that government must use all tools of national power in a coordinated manner to protect our national security, public safety, and economic prosperity. 本戦略は、政府が国家の安全保障、公共の安全、経済的繁栄を守るために、国力のあらゆる手段を協調して使用しなければならないことを認識する。
VISION ビジョン
Our rapidly evolving world demands a more intentional, more coordinated, and more well-resourced approach to cyber defense. We face a complex threat environment, with state and non-state actors developing and executing novel campaigns to threaten our interests. At the same time, next-generation technologies are reaching maturity at an accelerating pace, creating new pathways for innovation while increasing digital interdependencies. 急速に進化する世界は、サイバー防衛に対して、より意図的で、より協調的で、より十分なリソースのあるアプローチを求めている。我々は複雑な脅威環境に直面しており、国家や非国家主体が我々の利益を脅かす斬新なキャンペーンを開発し実行している。同時に、次世代技術は加速度的に成熟し、デジタル相互依存を高めながら、イノベーションのための新たな道筋を作り出している。
This Strategy sets out a path to address these threats and secure the promise of our digital future. Its implementation will protect our investments in rebuilding America’s infrastructure, developing our clean energy sector, and re-shoring America’s technology and manufacturing base. Together with our allies and partners, the United States will make our digital ecosystem: 本戦略は、これらの脅威に対処し、デジタルの未来の約束を守るための道筋を示すものである。この戦略の実施により、米国のインフラの再建、クリーンエネルギー分野の開発、米国の技術・製造基盤の再構築への投資が守られる。同盟国やパートナーとともに、米国はデジタル・エコシステムを構築する。
Defensible, where cyber defense is overwhelmingly easier, cheaper, and more effective; 防衛可能:サイバー防衛が圧倒的に容易で、安価で、効果的である。
Resilient, where cyber incidents and errors have little widespread or lasting impact; and, レジリエンス:サイバーインシデントやエラーが、広範囲に、あるいは永続的に影響を及ぼすことが少ない。
Values-aligned, where our most cherished values shape—and are in turn reinforced by— our digital world. 価値観の一致:我々の最も大切な価値観がデジタル世界を形成し、それによって強化される。
The Administration has already taken steps to secure cyberspace and our digital ecosystem, including the National Security Strategy, Executive Order 14028 (Improving the Nation’s Cybersecurity), National Security Memorandum 5 (Improving Cybersecurity for Critical Infrastructure Control Systems), M-22-09 (Moving the U.S. Government Toward Zero-Trust Cybersecurity Principles), and National Security Memorandum 10 (Promoting United States Leadership in Quantum Computing While Mitigating Risks to Vulnerable Cryptographic Systems). Expanding on these efforts, the Strategy recognizes that cyberspace does not exist for its own end but as a tool to pursue our highest aspirations. 政権は、国家安全保障戦略、大統領令14028(国家のサイバーセキュリティの改善)、国家安全保障覚書5(重要インフラ制御システムのサイバーセキュリティの改善)、M-22-09(ゼロ信頼サイバーセキュリティ原則に向けた米国政府の動き)、国家安全保障覚書10(脆弱な暗号システムに対するリスクを軽減しつつ量子コンピュータにおける米国のリーダーシップを促進)を含むサイバー空間と我々のデジタルエコシステムを確保する措置をすでに講じている。これらの取り組みを発展させ、本戦略は、サイバースペースがそれ自体の目的のために存在するのではなく、我々の最高の願望を追求するためのツールとして存在することを認識する。
APPROACH アプローチ
This Strategy seeks to build and enhance collaboration around five pillars: 本戦略では、5つの柱を軸に、協働を構築・強化することを目指す。
1. Defend Critical Infrastructure – We will give the American people confidence in the availability and resilience of our critical infrastructure and the essential services it provides, including by: 1. 重要インフラの防御 - 我々は、以下のような方法で、重要インフラとそれが提供する重要なサービスの可用性とレジリエンスについて米国民に信頼感を与える。
・Expanding the use of minimum cybersecurity requirements in critical sectors to ensure national security and public safety and harmonizing regulations to reduce the burden of compliance; ・国家の安全保障と公共の安全を確保するために、重要なセクターにおけるサイバーセキュリティの最低要件の利用を拡大し、規制を調和させてコンプライアンスの負担を軽減すること。
・Enabling public-private collaboration at the speed and scale necessary to defend critical infrastructure and essential services; and, ・重要なインフラと重要なサービスを守るために必要なスピードと規模での官民協働を可能にすること。
・Defending and modernizing Federal networks and updating Federal incident response policy ・連邦ネットワークの防御と近代化、連邦事故対応ポリシーの更新
2. Disrupt and Dismantle Threat Actors – Using all instruments of national power, we will make malicious cyber actors incapable of threatening the national security or public safety of the United States, including by: 2. 脅威アクターの破壊と解体 - 国力のあらゆる手段を用いて、悪意のあるサイバー行為者を、以下のように、米国の国家安全保障や公共の安全を脅かすことができないようにする。
・Strategically employing all tools of national power to disrupt adversaries;  ・敵対者を混乱させるために、あらゆる国力の手段を戦略的に使用する。 
・Engaging the private sector in disruption activities through scalable mechanisms; and,  ・スケーラブルなメカニズムを通じて、民間部門を破壊活動に参加させる。 
・Addressing the ransomware threat through a comprehensive Federal approach and in lockstep with our international partners. ・ランサムウェアの脅威に対して、連邦政府の包括的なアプローチと国際的なパートナーとの連携により対処する。
3. Shape Market Forces to Drive Security and Resilience – We will place responsibility on those within our digital ecosystem that are best positioned to reduce risk and shift the consequences of poor cybersecurity away from the most vulnerable in order to make our digital ecosystem more trustworthy, including by: 3. セキュリティとレジリエンスを推進するための市場の力の形成 - 我々は、デジタルエコシステムをより信頼できるものにするために、リスクを低減し、サイバーセキュリティの不備がもたらす結果を最も脆弱な人々から遠ざけるために、デジタルエコシステム内の最も適した立場にある人々に責任を負わせえる。
・Promoting privacy and the security of personal data; ・プライバシーと個人データの安全性を促進する。
・Shifting liability for software products and services to promote secure development practices; and, ・ソフトウェア製品やサービスに対する責任を転換し、安全な開発慣行を促進する。
・Ensuring that Federal grant programs promote investments in new infrastructure that are secure and resilient. ・連邦政府の補助金プログラムが、安全でレジリエンスに優れた新しいインフラへの投資を促進するようにする。
4. Invest in a Resilient Future – Through strategic investments and coordinated, collaborative action, the United States will continue to lead the world in the innovation of secure and resilient next-generation technologies and infrastructure, including by: 4. レジリエンスな未来への投資 - 戦略的な投資と協調的な行動を通じて、米国は、安全でレジリエンスに優れた次世代技術やインフラの革新において、世界をリードし続ける。
・Reducing systemic technical vulnerabilities in the foundation of the Internet and across the digital ecosystem while making it more resilient against transnational digital repression; ・インターネットの基盤やデジタルエコシステム全体におけるシステム的な技術的脆弱性を低減し、国境を越えたデジタル抑圧に対するレジリエンスを向上させる。
・Prioritizing cybersecurity R&D for next-generation technologies such as postquantum encryption, digital identity solutions, and clean energy infrastructure; and, ・ポスト量子暗号、デジタルIDソリューション、クリーンエネルギーインフラなど、次世代技術に対するサイバーセキュリティ研究開発を優先する。
 ・Developing a diverse and robust national cyber workforce ・ 多様で強固な国家サイバー人材の育成
5. Forge International Partnerships to Pursue Shared Goals – The United States seeks a world where responsible state behavior in cyberspace is expected and reinforced and where irresponsible behavior is isolating and costly, including by: 5. 共通の目標を達成するための国際的パートナーシップの構築 - 米国は、サイバー空間における国家の責任ある行動が期待され、強化され、無責任な行動が孤立し、コストがかかるような世界を求めている。
・Leveraging international coalitions and partnerships among like-minded nations to counter threats to our digital ecosystem through joint preparedness, response, and cost imposition; ・志を同じくする国同士の国際連合やパートナーシップを活用し、共同の準備、対応、コスト賦課を通じて、我々のデジタル・エコシステムへの脅威に対抗する。
・Increasing the capacity of our partners to defend themselves against cyber threats, both in peacetime and in crisis; and, ・平時と危機時の両方で、サイバー脅威から自らを守るためのパートナーの能力を向上させる。
・Working with our allies and partners to make secure, reliable, and trustworthy global supply chains for information and communications technology and operational technology products and services. ・情報通信技術や運用技術に関する製品・サービスのグローバルなサプライチェーンを安全、確実、信頼できるものにするために、同盟国やパートナーと協力する。
Coordinated by the Office of the National Cyber Director, the Administration’s implementation of this Strategy is already underway. 国家サイバー長官室によって調整され、本戦略の行政実施は既に進行中である。

 

・[PDF

20230304-72820

 

 

National Cybersecurity Strategy 国家サイバーセキュリティ戦略
1-Mar-23 2023.03.01
Digital technologies today touch nearly every aspect of American life.  The openness and connection enabled by access to the Internet are game-changers for communities everywhere, as we have all experienced throughout the COVID-19 pandemic.  That’s why, thanks to the Bipartisan Infrastructure Law, my Administration is investing $65 billion to make sure every American has access to reliable, high-speed Internet.  And when we pick up our smart phones to keep in touch with loved ones, log on to social media to share our ideas with one another, or connect to the Internet to run a business or take care of any of our basic needs, we need to be able to trust that the underlying digital ecosystem is safe, reliable, and secure.  This National Cybersecurity Strategy details the comprehensive approach my Administration is taking to better secure cyberspace and ensure the United States is in the strongest possible position to realize all the benefits and potential of our digital future.  デジタル技術は、今日、アメリカ人の生活のほぼすべての面に浸透している。 インターネットへのアクセスによって可能になる開放性とつながりは、COVID-19の大流行を通して我々全員が経験したように、あらゆる場所のコミュニティにとって大変革となる。 だからこそ、超党派インフラ法によって、私の政権はすべてのアメリカ人が信頼できる高速インターネットにアクセスできるようにするため、650億ドルを投資している。 そして、愛する人と連絡を取るためにスマートフォンを手に取り、互いにアイデアを共有するためにソーシャルメディアにログオンし、ビジネスを運営したり基本的なニーズを満たすためにインターネットに接続するとき、基盤となるデジタルエコシステムが安全で、信頼性があり、セキュアであることを信頼できるようにする必要がある。 この国家サイバーセキュリティ戦略は、サイバースペースの安全性を高め、米国がデジタルの未来から得られるあらゆる恩恵と可能性を実現するための最強のポジションを確保するために、私の政権が取っている包括的なアプローチについて詳しく説明している。
Cybersecurity is essential to the basic functioning of our economy, the operation of our critical infrastructure, the strength of our democracy and democratic institutions, the privacy of our data and communications, and our national defense.  From the very beginning of my Administration, we have moved decisively to strengthen cybersecurity.  I appointed senior cybersecurity officials at the White House and issued an Executive Order on Improving the Nation’s Cybersecurity.  Working in close cooperation with the private sector, my Administration has taken steps to protect the American people from hackers, hold bad actors and cybercriminals accountable, and defend against the increasingly malicious cyber campaigns targeting our security and privacy.  And we’ve worked with our allies and partners around the world to improve our capacity to collectively defend against and respond to cyber threats from authoritarian states that go against our national interests.   サイバーセキュリティは、経済の基本的機能、重要インフラの運用、民主主義と民主主義的制度の強さ、データと通信のプライバシー、そして国防に不可欠なものである。 私の政権発足当初から、我々はサイバーセキュリティを強化するために断固とした姿勢で取り組んできた。 私は、ホワイトハウスにサイバーセキュリティ担当官を任命し、「国家のサイバーセキュリティの改善に関する大統領令」を発布した。 民間部門と緊密に協力しながら、私の政権は、ハッカーから米国民を守り、悪質業者やサイバー犯罪者に責任を取らせ、我々のセキュリティとプライバシーを標的とした悪質なサイバーキャンペーンから守るための措置をとってきた。 また、世界中の同盟国やパートナーと協力し、我々の国益に反する権威主義的な国家からのサイバー脅威を集団で防御し、それに対応する能力を向上させてきた。 
This strategy recognizes that robust collaboration, particularly between the public and private sectors, is essential to securing cyberspace.  It also takes on the systemic challenge that too much of the responsibility for cybersecurity has fallen on individual users and small organizations.  By working in partnership with industry; civil society; and State, local, Tribal, and territorial governments, we will rebalance the responsibility for cybersecurity to be more effective and more equitable.  We will realign incentives to favor long-term investments in security, resilience, and promising new technologies.  We will collaborate with our allies and partners to strengthen norms of responsible state behavior, hold countries accountable for irresponsible behavior in cyberspace, and disrupt the networks of criminals behind dangerous cyberattacks around the globe.  And we will work with the Congress to provide the resources and tools necessary to ensure effective cybersecurity practices are implemented across our most critical infrastructure.  本戦略は、特に官民間の強固な協力がサイバースペースの安全確保に不可欠であることを認識するものである。 また、サイバーセキュリティに対する責任のあまりの大きさが、個々のユーザーや小規模な組織に負わされてきたというシステム上の課題にも取り組んでいる。 産業界、市民社会、そして州、地方、部族、地域政府と協力することで、我々はサイバーセキュリティの責任をより効果的でより公平なものにするために、そのバランスを調整することになる。 我々は、セキュリティ、レジリエンス、および有望な新技術への長期的な投資を促進するために、インセンティブを再構築する。 我々は、同盟国やパートナーと協力して、責任ある国家の行動規範を強化し、サイバースペースにおける無責任な行動に対して各国の責任を追及し、世界中の危険なサイバー攻撃の背後にある犯罪者のネットワークを破壊する。 また、議会と協力して、最も重要なインフラ全体で効果的なサイバーセキュリティの実践を確保するために必要な資源とツールを提供する。
As I have often said, our world is at an inflection point.  That includes our digital world.  The steps we take and choices we make today will determine the direction of our world for decades to come.  This is particularly true as we develop and enforce rules and norms for conduct in cyberspace.  We must ensure the Internet remains open, free, global, interoperable, reliable, and secure—anchored in universal values that respect human rights and fundamental freedoms.  Digital connectivity should be a tool that uplifts and empowers people everywhere, not one used for repression and coercion.  As this strategy details, the United States is prepared to meet this challenge from a position of strength, leading in lockstep with our closest allies and working with partners everywhere who share our vision for a brighter digital future.   これまで何度も言ってきたように、我々の世界は今、変曲点にある。 その中には、デジタルの世界も含まれる。 今日、我々が取る措置と選択は、今後数十年の世界の方向性を決定することになる。 特に、サイバースペースでの行動に関するルールや規範を策定し、実施する際には、そのことが顕著に表れる。 我々は、インターネットが人権と基本的自由を尊重する普遍的価値に支えられ、オープン、フリー、グローバル、相互運用性、信頼性、安全性を維持することを保証しなければならない。 デジタル接続は、抑圧や強制のために使われるものではなく、あらゆる場所で人々を高揚させ、力を与える道具であるべきだ。 本戦略で詳述しているように、米国は、最も緊密な同盟国と歩調を合わせ、明るいデジタル未来へのビジョンを共有する世界中のパートナーと協力しながら、強者の立場でこの課題に取り組む用意がある。 
TABLE OF CONTENTS  目次 
INTRODUCTION 序文
PILLAR ONE | DEFEND CRITICAL INFRASTRUCTURE 第1の柱:重要インフラの防衛
PILLAR TWO | DISRUPT AND DISMANTLE THREAT ACTORS 第2の柱:脅威の担い手を崩壊させ、解体する。
PILLAR THREE | SHAPE MARKET FORCES TO DRIVE SECURITY AND RESILIENCE 第3の柱:セキュリティとレジリエンスを推進するために市場原理を形成する。
PILLAR FOUR | INVEST IN A RESILIENT FUTURE 第4の柱:レジリエンスに富んだ未来への投資
PILLAR FIVE | FORGE INTERNATIONAL PARTNERSHIPS TO PURSUE SHARED GOALS 第5の柱:国際的なパートナーシップを構築し、共通の目標を達成する。
IMPLEMENTATION 実施
INTRODUCTION  序文 
The Internet has transformed our world.  In a single generation, it has revolutionized the way we innovate, communicate, and share information on a global scale, catalyzing unprecedented advancements in human prosperity, equality, and connectivity.  Upon this Internet backbone we have built a flourishing digital ecosystem, combining systems and technologies with our economies, our societies, and ourselves.    インターネットは我々の世界を一変させた。 一世代で、我々の技術革新、コミュニケーション、世界規模での情報共有の方法に革命を起こし、人類の繁栄、平等、接続性において前例のない進歩をもたらした。 このインターネットのバックボーンの上に、我々はシステムとテクノロジーを経済、社会、そして我々自身と結合させ、繁栄するデジタルエコシステムを構築してきた。  
In doing so, the digital ecosystem has come to reflect the values of its architects and its users.  Technologies have promoted democracy, free speech, innovation, and equality.  But they also have been misused to enable transnational repression and digital authoritarianism; steal data and intellectual property; distribute disinformation; disrupt critical infrastructure; proliferate online harassment, exploitation, and abuse; enable criminals and foster violent extremism; and threaten peace and stability.  People and technology are increasingly linked, further enabling the very best, as well as the worst, of humanity.  そうすることで、デジタルエコシステムは、その設計者とユーザーの価値を反映するようになった。 テクノロジーは民主主義、言論の自由、革新、そして平等を促進してきた。 しかし、国境を越えた抑圧やデジタル権威主義を可能にし、データや知的財産を盗み、偽情報を配信し、重要インフラを破壊し、オンラインハラスメント、搾取、虐待を拡散し、犯罪を可能にし、暴力的過激主義を助長し、平和と安定を脅かすために悪用されてきたのもまた事実である。 人とテクノロジーの結びつきはますます強くなり、人間の持つ最高の能力だけでなく、最悪の能力をも可能にしている。
In this decisive decade, we have grand ambitions for the further values-driven development of our digital ecosystem.  We are building a smart grid, powered by distributed renewable electricity and balanced with intelligent systems, that promises a bright and resilient future of energy abundance.  We envision a maturing “Internet of Things” (IoT), comprising everything from consumer goods to digitized industrial controls to constellations of satellites, that will increase efficiency and safety while providing game-changing insights into our environment and economy.  We are laying the foundations for real-time global collaboration leveraging vast amounts of data and computing power that will unlock scientific discoveries and other public goods of which we cannot yet conceive.  この決定的な10年間で、我々はデジタル・エコシステムの価値主導のさらなる発展のために壮大な野望を抱いている。 我々は、再生可能な分散型電力とインテリジェントなシステムによって駆動されるスマートグリッドを構築し、エネルギーが豊富な明るくレジリエンスに富んだ未来を約束する。 我々は、消費財からデジタル化された産業用制御機器、人工衛星群までを含む成熟した「IoT」が、効率と安全性を高め、環境と経済に関する画期的な洞察を提供することを想定している。 我々は、大量のデータと膨大なコンピューティングパワーを活用したリアルタイムのグローバルなコラボレーションの基礎を築き、まだ想像もつかないような科学的発見やその他の公共財を解き放つことができる。
Achieving this vision of a prosperous, connected future will depend upon the cybersecurity and resilience of its underlying technologies and systems.  We have learned hard lessons and made significant progress in the collaborative defense of our digital ecosystem.  Every day, cyber defenders foil state-backed attacks and prevent criminal plots around the world.  But the underlying structural dynamics of the digital ecosystem frustrate their efforts.  Its components remain prone to disruption, vulnerable to exploitation, and are often co-opted by malicious actors.  このような豊かでつながった未来のビジョンを達成できるかどうかは、その基盤となるテクノロジーとシステムのサイバーセキュリティとレジリエンスにかかっている。 我々は、デジタル・エコシステムの共同防衛において、困難から教訓を学び、大きな進歩を遂げた。 毎日、サイバーディフェンダーたちは、国家が支援する攻撃を阻止し、世界中で犯罪計画を防止している。 しかし、デジタル・エコシステムの根底にある構造的な力学は、彼らの努力を挫折させる。 その構成要素は依然として破壊されやすく、悪用されやすい上に、悪意のある行為者にしばしば利用されている。
We must make fundamental changes to the underlying dynamics of the digital ecosystem, shifting the advantage to its defenders and perpetually frustrating the forces that would threaten it.  Our goal is a defensible, resilient digital ecosystem where it is costlier to attack systems than defend them, where sensitive or private information is secure and protected, and where neither incidents nor errors cascade into catastrophic, systemic consequences.  In creating these conditions, we can and must seize the opportunity to instill our most cherished values, as embodied by the Declaration for the Future of the Internet (DFI) and by the Freedom Online Coalition.  我々は、デジタル・エコシステムの根底にある力学を根本的に変え、その優位性を守る側にシフトさせ、それを脅かす勢力を永久に挫折させる必要がある。 我々の目標は、システムを防御するよりも攻撃する方がコストが高く、機密情報や個人情報が安全に保護され、事故やエラーが連鎖して壊滅的なシステム的影響をもたらさない、防御力と回復力のあるデジタルエコシステムを実現することにある。 このような条件を整えることで、我々は、「インターネットの未来のための宣言」(DFI)や「自由オンライン連合」が体現するような、我々の最も大切な価値観を浸透させる機会をつかむことができる。そして、そうしなければならないのである。
This strategy will position the United States and its allies and partners to build that digital ecosystem together, making it more easily and inherently defensible, resilient, and aligned with our values.  By the end of this decisive decade, we will achieve these outcomes so we can confidently take bold leaps into a digitally-enabled future that benefits us all.  本戦略により、米国とその同盟国およびパートナーは、デジタル・エコシステムを共に構築し、より容易に、本質的に防御可能で、レジリエンスに富み、我々の価値と一致するものにすることができる。 この決定的な 10 年の終わりまでに、我々はこれらの成果を達成し、我々全員に利益をもたらすデジタル対応の未来に向けて、自信を持って大胆な飛躍を遂げることができるようになる。
THE STRATEGIC ENVIRONMENT  戦略的環境 
The United States has made significant progress toward achieving the President’s affirmative vision for a digitally-enabled future, but emerging trends are creating both new opportunities for further advancement and new challenges to overcome.  Malicious actors threaten our progress toward a digital ecosystem that is inclusive, equitable, promotes prosperity, and aligns with our democratic values.   米国は、デジタル技術を駆使した未来に対する大統領の肯定的なビジョンの達成に向けて大きく前進してきたが、新たなトレンドによって、さらなる前進のための新たな機会と克服すべき新たな課題の両方が生み出されている。 悪意のある行為者は、包括的で公平、かつ繁栄を促進し、民主主義の価値と一致するデジタル・エコシステムへの前進を脅かしている。 
EMERGING TRENDS  新たなトレンド 
The world is entering a new phase of deepening digital dependencies.  Driven by emerging technologies and ever more complex and interdependent systems, dramatic shifts in the coming decade will unlock new possibilities for human flourishing and prosperity while also multiplying the systemic risks posed by insecure systems.  世界は、デジタル依存が深まる新たな局面を迎えている。 新興のテクノロジーと、これまで以上に複雑で相互依存的なシステムに牽引され、今後10年間の劇的な変化は、人間の繁栄と繁栄のための新たな可能性を引き出すと同時に、安全でないシステムがもたらすシステム上のリスクを増大させるだろう。
Software and systems are growing more complex, providing value to companies and consumers but also increasing our collective insecurity.  Too often, we are layering new functionality and technology onto already intricate and brittle systems at the expense of security and resilience.  The widespread introduction of artificial intelligence systems—which can act in ways unexpected to even their own creators—is heightening the complexity and risk associated with many of our most important technological systems.  ソフトウェアとシステムはより複雑になり、企業や消費者に価値をもたらす一方で、我々の集団的な不安感を増大させている。 すでに複雑で脆いシステムに新しい機能や技術を重ね、セキュリティやレジリエンスを犠牲にしているケースがあまりにも多いのである。 人工知能システムの広範な導入は、その作成者でさえ予期しない方法で行動することができるため、最も重要な技術システムの多くに関連する複雑さとリスクを高めている。
The Internet continues to connect individuals, businesses, communities, and countries on shared platforms that enable scaled business solutions and international exchange.  But this accelerating global interconnectivity also introduces risks.  An attack on one organization, sector, or state can rapidly spill over to other sectors and regions, as happened during Russia’s 2017 “NotPetya” cyberattack on Ukraine, which spread across Europe, Asia, and the Americas, causing billions of dollars in damage.  The potential cost of attacks like this will only grow as interdependencies increase.  インターネットは、個人、ビジネス、コミュニティ、そして国を共有プラットフォームでつなぎ、大規模なビジネスソリューションと国際交流を可能にし続けている。 しかし、この加速するグローバルな相互接続は、同時にリスクも発生させる。 2017年にロシアがウクライナに対して行ったサイバー攻撃「NotPetya」の際に起きたように、ある組織、セクター、国家に対する攻撃が他のセクターや地域に急速に波及し、ヨーロッパ、アジア、アメリカ大陸に広がって数十億ドルの被害をもたらす可能性がある。 このような攻撃の潜在的なコストは、相互依存関係が高まるにつれて大きくなっていくだろう。
Digital technologies increasingly touch the most sensitive aspects of our lives, providing convenience, but also creating new, often unforeseen risks.  The COVID-19 pandemic has pushed us to live ever more deeply in a digital world.  As our lives become intertwined with video and audio streaming, wearable devices, and biometric technologies, the quantity and intimacy of personal data collection is growing exponentially.  Theft of that data is also growing rapidly, and opening up novel vectors for malicious actors to surveil, manipulate, and blackmail individuals.  デジタル技術は、我々の生活の最も繊細な部分に触れることが多くなり、利便性をもたらす一方で、新たな、しばしば予期せぬリスクも生み出している。 COVID-19の大流行により、我々はこれまで以上にデジタルな世界で生活することを余儀なくされている。 我々の生活は、ビデオや音声ストリーミング、ウェアラブルデバイス、生体認証技術などと絡み合うようになり、個人情報の収集の量と親密さは飛躍的に増大している。 また、そのようなデータの盗難も急増しており、悪意のある行為者が個人を監視、操作、脅迫するための新たなベクトルを開いている。
Next-generation interconnectivity is collapsing the boundary between the digital and physical worlds, and exposing some of our most essential systems to disruption.  Our factories, power grids, and water treatment facilities, among other essential infrastructure, are increasingly shedding old analog control systems and rapidly bringing online digital operational technology (OT).  Advanced wireless technologies, IoT, and space-based assets—including those enabling positioning, navigation, and timing for civilian and military uses, environmental and weather monitoring, and everyday Internet-based activities from banking to telemedicine—will accelerate this trend, moving many of our essential systems online and making cyberattacks inherently more destructive and impactful to our daily lives.  次世代の相互接続性は、デジタル世界と物理世界の境界を崩壊させ、我々の最も重要なシステムのいくつかを破壊の危機にさらしている。 工場、電力網、水処理施設などの基幹インフラでは、旧来のアナログ制御システムの撤去とデジタル運用技術(OT)のオンライン化が急速に進んでいる。 高度な無線技術、IoT、および宇宙ベースの資産(民間および軍事用途の測位・航法・計時、環境・気象モニタリング、銀行から遠隔医療に至る日常のインターネットベースの活動を可能にするものを含む)は、この傾向を加速させ、我々の重要なシステムの多くをオンライン化し、サイバー攻撃の破壊力と我々の日常生活への影響を本質的に増加させることになるだろう。
MALICIOUS ACTORS  悪意のある行為者 
Malicious cyber activity has evolved from nuisance defacement, to espionage and intellectual property theft, to damaging attacks against critical infrastructure, to ransomware attacks and cyberenabled influence campaigns designed to undermine public trust in the foundation of our democracy.  Once available only to a small number of well-resourced countries, offensive hacking tools and services, including foreign commercial spyware, are now widely accessible.  These tools and services empower countries that previously lacked the ability to harm U.S. interests in cyberspace and enable a growing threat from organized criminal syndicates.  悪意のあるサイバー攻撃は、迷惑な改ざんから、スパイ活動や知的財産の窃盗、重要インフラへの有害な攻撃、ランサムウェア攻撃、民主主義の基盤に対する国民の信頼を損ねることを目的としたサイバー攻撃による影響力の行使に発展してきた。 かつては、十分な資金を持つ少数の国だけが利用できた攻撃的なハッキングツールやサービスが、今では外国の商用スパイウェアを含め、広くアクセス可能になっている。 これらのツールやサービスは、以前はサイバースペースで米国の利益を害する能力を持たなかった国に力を与え、組織的犯罪シンジケートからの脅威を増大させることを可能にしている。
The governments of China, Russia, Iran, North Korea, and other autocratic states with revisionist intent are aggressively using advanced cyber capabilities to pursue objectives that run counter to our interests and broadly accepted international norms.  Their reckless disregard for the rule of law and human rights in cyberspace is threatening U.S. national security and economic prosperity.  中国、ロシア、イラン、北朝鮮、および修正主義的な意図を持つ他の独裁国家の政府は、我々の利益や広く認められた国際規範に反する目的を追求するために、高度なサイバー能力を積極的に使用している。 サイバー空間における法の支配と人権を無視した彼らの無謀な行動は、米国の国家安全保障と経済的繁栄を脅かしている。
The People’s Republic of China (PRC) now presents the broadest, most active, and most persistent threat to both government and private sector networks and is the only country with both the intent to reshape the international order and, increasingly, the economic, diplomatic, military, and technological power to do so.  Over the last ten years, it has expanded cyber operations beyond intellectual property theft to become our most advanced strategic competitor with the capacity to threaten U.S. interests and dominate emerging technologies critical to global development.  Having successfully harnessed the Internet as the backbone of its surveillance state and influence capabilities, the PRC is exporting its vision of digital authoritarianism, striving to shape the global Internet in its image and imperiling human rights beyond its borders.  中華人民共和国(PRC)は現在、政府機関と民間企業の両方のネットワークに対して、最も広範で、最も活発で、最も持続的な脅威を示しており、国際秩序を再構築する意図を持ち、ますますそのための経済、外交、軍事、技術力を持つ唯一の国となっている。 過去10年間で、知的財産の窃盗を超えてサイバー作戦を拡大し、米国の利益を脅かし、世界の発展に不可欠な新興技術を支配する能力を持つ、最も高度な戦略的競合相手となった。 インターネットを監視国家と影響力のバックボーンとしてうまく利用した中国は、デジタル権威主義のビジョンを輸出し、グローバル・インターネットを自らのイメージ通りに形成しようと努め、国境を越えて人権を脅かしている。
For more than two decades, the Russian government has used its cyber capabilities to destabilize its neighbors and interfere in the domestic politics of democracies around the world.  Russia remains a persistent cyber threat as it refines its cyber espionage, attack, influence, and disinformation capabilities to coerce sovereign countries, harbor transnational criminal actors, weaken U.S. alliances and partnerships, and subvert the rules-based international system.  Like its 2017 “NotPetya” attack, Russia’s cyberattacks in support of its 2022 brutal and unprovoked invasion of Ukraine have resulted in irresponsible spillover impacts onto civilian critical infrastructure in other European countries.  ロシア政府は20年以上にわたって、そのサイバー能力を使って近隣諸国を不安定にし、世界中の民主主義国家の国内政治に干渉してきた。 ロシアは、主権国家を威圧し、多国籍犯罪者を匿い、米国の同盟とパートナーシップを弱め、ルールに基づく国際システムを破壊するために、サイバースパイ、攻撃、影響、偽情報の能力を磨いており、依然として根強いサイバー上の脅威であることに変わりはない。 2017年の「NotPetya」攻撃と同様に、2022年の残忍でいわれのないウクライナ侵攻を支援するロシアのサイバー攻撃は、他の欧州諸国の民間の重要インフラに無責任な波及効果をもたらす結果となった。
The governments of Iran and the Democratic People’s Republic of Korea (DPRK) are similarly growing in their sophistication and willingness to conduct malicious activity in cyberspace.  Iran has used cyber capabilities to threaten U.S. allies in the Middle East and elsewhere, while the DPRK conducts cyber activities to generate revenue through criminal enterprises, such as through the theft of cryptocurrency, ransomware, and the deployment of surreptitious information technology (IT) workers for the purposes of fueling its nuclear ambitions.  Further maturation of these capabilities could have significant impacts on U.S., allied, and partner interests.  イランと朝鮮民主主義人民共和国(DPRK)の政府も同様に、サイバースペースで悪質な活動を行うための洗練さと意欲を高めている。 イランは、中東やその他の地域における米国の同盟国を脅かすためにサイバー能力を使用し、北朝鮮は、暗号通貨の窃盗、ランサムウェア、核開発を促進するための密かな情報技術(IT)従事者の配置など、犯罪事業を通じて収益を上げるためにサイバー活動を実施している。 これらの能力がさらに成熟すれば、米国、同盟国、パートナーの利益に重大な影響を与える可能性がある。
The cyber operations of criminal syndicates now represent a threat to the national security, public safety, and economic prosperity of the United States and its allies and partners.  Ransomware incidents have disrupted critical services and businesses across the country and around the world, from energy pipelines and food companies, to schools and hospitals.  Total economic losses from ransomware attacks continue to climb, reaching billions of U.S. dollars annually.  Criminal syndicates often operate out of states that do not cooperate with U.S. law enforcement and frequently encourage, harbor, or tolerate such activities.  These and other malicious cyber activities continue to threaten Americans across society, including disproportionately affecting those without the resources necessary to protect themselves, recover, or seek recourse.  犯罪組織のサイバー作戦は、今や米国とその同盟国およびパートナーの国家安全保障、公共の安全、経済的繁栄に対する脅威となっている。 ランサムウェアの事件は、エネルギーパイプラインや食品会社、学校や病院に至るまで、国内および世界各地の重要なサービスやビジネスに支障をきたしている。 ランサムウェア攻撃による経済的損失の総額は上昇を続けており、年間数十億ドルに達している。 犯罪組織は、米国の法執行機関に協力しない国々で活動することが多く、このような活動を奨励、匿い、容認することがよくある。 このようなサイバー犯罪やその他の悪質な活動は、社会全体で米国人を脅かし続けており、自らを守り、回復し、救済を求めるために必要なリソースを持たない人々に不釣り合いな影響を及ぼしている。
OUR APPROACH: A PATH TO RESILIENCE IN CYBERSPACE  我々のアプローチ: サイバースペースにおけるレジリエンスへの道 
Deep and enduring collaboration between stakeholders across our digital ecosystem will be the foundation upon which we make it more inherently defensible, resilient, and aligned with U.S.  values.  This strategy seeks to build and enhance collaboration around five pillars: (1) Defend Critical Infrastructure, (2) Disrupt and Dismantle Threat Actors, (3) Shape Market Forces to Drive Security and Resilience, (4) Invest in a Resilient Future, and (5) Forge International Partnerships to Pursue Shared Goals.  Each effort requires unprecedented levels of collaboration across its respective stakeholder communities, including the public sector, private industry, civil society, and international allies and partners.  The pillars organizing this strategy articulate a vision of shared purpose and priorities for these communities, highlight challenges they face in achieving this vision, and identify strategic objectives around which to organize their efforts.  デジタルエコシステム全体のステークホルダー間の深く永続的なコラボレーションは、それをより本質的な防御力、レジリエンス、そして米国の価値観に沿ったものにするための土台となる。 この戦略は、(1)重要インフラの防衛、(2)脅威アクターの破壊と解体、(3)セキュリティとレジリエンスを推進するための市場の力の形成、(4)レジリエンスな未来への投資、(5)共通の目標を達成するための国際的パートナーシップの構築という5つの柱を中心に、協力体制の構築と強化を目指す。 それぞれの取り組みには、公共部門、民間企業、市民社会、国際的な同盟国やパートナーなど、それぞれのステークホルダーのコミュニティを横断する前例のないレベルの協力が必要である。 この戦略を構成する柱は、これらのコミュニティが共有する目的と優先事項のビジョンを明確にし、このビジョンを達成するために直面する課題を明らかにし、その努力を組織化するための戦略目標を特定するものである。
To realize the vision these pillars lay out, we will make two fundamental shifts in how the United States allocates roles, responsibilities, and resources in cyberspace.  In realizing these shifts, we aspire not just to improve our defenses, but to change those underlying dynamics that currently contravene our interests.  これらの柱が示すビジョンを実現するために、米国がサイバースペースにおける役割、責任、および資源をどのように配分するかについて、2つの根本的なシフトを行うことになる。 これらのシフトを実現することで、単に防衛力を向上させるだけでなく、現在、わが国の利益に反している根本的な力学を変えることを目的としている。
REBALANCE THE RESPONSIBILITY TO DEFEND CYBERSPACE  サイバースペース防衛の責任の再構築
The most capable and best-positioned actors in cyberspace must be better stewards of the digital ecosystem.  Today, end users bear too great a burden for mitigating cyber risks.  Individuals, small businesses, state and local governments, and infrastructure operators have limited resources and competing priorities, yet these actors’ choices can have a significant impact on our national cybersecurity.  A single person’s momentary lapse in judgment, use of an outdated password, or errant click on a suspicious link should not have national security consequences.  Our collective cyber resilience cannot rely on the constant vigilance of our smallest organizations and individual citizens.  サイバースペースにおいて最も有能で最も有利な立場にある主体は、デジタル・エコシステムのより良い管理者にならなければならない。 今日、サイバー・リスクを軽減するためにエンド・ユーザーが負うべき負担は大きすぎる。 個人、中小企業、州政府や地方自治体、インフラ事業者は、限られたリソースと競合する優先事項を持っているが、これらの関係者の選択は、国家のサイバーセキュリティに大きな影響を与える可能性がある。 一人の人間の一瞬の判断ミス、古いパスワードの使用、疑わしいリンクの誤クリックが、国家安全保障に影響を及ぼすべきではないのである。 我々の集団的なサイバーレジリエンスは、最も小さな組織や個々の市民の絶え間ない警戒に依存することはできない。
Instead, across both the public and private sectors, we must ask more of the most capable and bestpositioned actors to make our digital ecosystem secure and resilient.  In a free and interconnected society, protecting data and assuring the reliability of critical systems must be the responsibility of the owners and operators of the systems that hold our data and make our society function, as well as of the technology providers that build and service these systems.  Government’s role is to protect its own systems; to ensure private entities, particularly critical infrastructure, are protecting their systems; and to carry out core governmental functions such as engaging in diplomacy, collecting intelligence, imposing economic costs, enforcing the law, and, conducting disruptive actions to counter cyber threats.  Together, industry and government must drive effective and equitable collaboration to correct market failures, minimize the harms from cyber incidents to society’s most vulnerable, and defend our shared digital ecosystem.  むしろ、官民両部門にわたって、最も有能で立場の良い関係者に、デジタル・エコシステムを安全でレジリエンスに富んだものにするよう求めなければならない。 自由で相互接続された社会では、データの保護と重要なシステムの信頼性の確保は、データを保有し社会を機能させているシステムの所有者と運営者、およびこれらのシステムを構築しサービスを提供する技術プロバイダーの責任でなければならない。 政府の役割は、自国のシステムを保護すること、民間企業、特に重要なインフラストラクチャのシステムを確実に保護すること、そして外交活動、情報収集、経済的コストの賦課、法の執行、サイバー脅威に対抗する破壊的行動の実施などの政府の中核機能を実行することである。 産業界と政府は、市場の失敗を是正し、社会の最も脆弱な人々がサイバー犯罪から受ける損害を最小限に抑え、我々が共有するデジタルエコシステムを守るために、効果的かつ公平な協力を推進する必要がある。
REALIGN INCENTIVES TO FAVOR LONG-TERM INVESTMENTS   長期的な投資を促進するためのインセンティブの再構築
Our economy and society must incentivize decision-making to make cyberspace more resilient and defensible over the long term.  Balancing short-term imperatives against a long-term vision will be no easy task.  We must defend the systems we have now, while investing in and building toward a future digital ecosystem that is more inherently defensible and resilient.  我々の経済と社会は、サイバースペースのレジリエンスと防衛力を長期的に向上させるための意思決定を促す必要がある。 長期的なビジョンに対して短期的な要請のバランスをとることは、簡単なことではないだろう。 我々は、現在あるシステムを守ると同時に、より本質的に防御力と回復力のある将来のデジタル・エコシステムに向けて投資し、構築しなければならない。
This strategy outlines how the Federal Government will use all tools available to reshape incentives and achieve unity of effort in a collaborative, equitable, and mutually beneficial manner.  We must ensure that market forces and public programs alike reward security and resilience, build a robust and diverse cyber workforce, embrace security and resilience by design, strategically coordinate research and development investments in cybersecurity, and promote the collaborative stewardship of our digital ecosystem.  To achieve these goals, the Federal Government will focus on points of leverage, where minimally invasive actions will produce the greatest gains in defensibility and systemic resilience.  本戦略は、連邦政府が利用可能なあらゆる手段を用いて、インセンティブを再構築し、協力的で公平、かつ互恵的な方法で努力の統一を達成する方法を概説するものである。 我々は、市場原理と公的プログラムが同様にセキュリティとレジリエンスに報いるようにし、強固で多様なサイバー人材を育成し、セキュリティとレジリエンスをデザインによって受け入れ、サイバーセキュリティの研究開発投資を戦略的に調整し、デジタルエコシステムの共同スチュワードシップを推進しなければならない。 これらの目標を達成するために、連邦政府は、最小限の侵襲的行動によって防御力とシステム上のレジリエンスに最大の利益をもたらす、レバレッジポイントに焦点を当てる。
The Federal Government is making generational investments in renewing our infrastructure, digitizing and decarbonizing our energy systems, securing our semiconductor supply chains, modernizing our cryptographic technologies, and rejuvenating our foreign and domestic policy priorities.  The United States has an opportunity to rebalance the incentives necessary to lay a stronger, more resilient foundation on which to build the future of our digital ecosystem.  連邦政府は、インフラの更新、エネルギーシステムのデジタル化と脱炭素化、半導体サプライチェーンの確保、暗号技術の近代化、外交・国内政策の優先順位の若返りなど、世代を超えた投資を行っている。 米国は、デジタル・エコシステムの未来を築くために、より強固でレジリエンスに富んだ基盤を構築するために必要なインセンティブをバランスよく調整する機会を得ている。
BUILDING ON EXISTING POLICY  既存の方針の上に構築する 
This strategy, while laying out a new approach to our cybersecurity, builds on significant achievements already shaping our strategic environment and digital ecosystem.  In its first days, the Biden-Harris Administration assumed responsibility for managing the fallout from Russia’s compromise of the SolarWinds Orion platform and the PRC’s compromise of servers running Microsoft Exchange.  The President elevated White House leadership on cybersecurity, appointing experienced, senior leaders in new positions at the National Security Council (NSC) and the Office of National Cyber Director (ONCD), and moved quickly to fold lessons learned from these and other incidents into executive actions.  本戦略は、サイバーセキュリティに対する新たなアプローチを示す一方で、すでに戦略的環境とデジタル・エコシステムを形成している重要な成果の上に構築されている。 バイデン-ハリス政権は、その最初の数日間で、ロシアによる SolarWinds Orion プラットフォームの侵害と、PRC による Microsoft Exchange を実行するサーバーの侵害からの影響に対処する責任を負った。 大統領は、ホワイトハウスのサイバーセキュリティに関するリーダーシップを強化し、国家安全保障会議(NSC)と国家サイバーディレクター室(ONCD)の新しい役職に経験豊富なシニアリーダーを任命し、これらやその他の事件から学んだ教訓を行政措置に反映させるために迅速に動き出した。
These forward-leaning efforts have laid the foundation upon which this strategy is built.  It was developed alongside the National Security Strategy and National Defense Strategy by a broad interagency team and through a months-long consultation process with the private sector and civil society.  It is informed by and implements the values of the DFI, the Freedom Online Coalition, and other long-standing efforts to realize a democratic vision for our digital ecosystem.  It carries forward the foundational direction of Executive Order (EO) 14028, “Improving the Nation’s Cybersecurity,” National Security Memorandum (NSM) 5, “Improving Cybersecurity for Critical Infrastructure Control Systems,” NSM 8, “Improving the Cybersecurity of National Security, Department of Defense (DoD), and Intelligence Community Systems,” and other executive actions.  It integrates cybersecurity into the once-in-a-generation new investments made by the Bipartisan Infrastructure Law, the Inflation Reduction Act, the Creating Helpful Incentives to Produce Semiconductors (CHIPS) and Science Act, and EO 14017, “America’s Supply Chains.”  このような前向きな取り組みが、本戦略の土台となった。 本戦略は、国家安全保障戦略や国家防衛戦略とともに、幅広い省庁間チームによって、また民間企業や市民社会との数カ月にわたる協議プロセスを通じて策定されたものである。 本戦略は、DFI、自由オンライン連合、およびその他のデジタル・エコシステムのための民主的ビジョンを実現するための長年の取り組みから情報を得て、その価値を実行に移すものである。 これは、大統領令14028「国家のサイバーセキュリティを改善する」、国家安全保障メモランダム(NSM)5「重要インフラ制御システムのサイバーセキュリティを改善する」、NSM8「国家安全保障、国防省(DoD)、および情報コミュニティシステムのサイバーセキュリティを改善する」、およびその他の行政措置の基本方針を継承しているものである。 また、超党派インフラ法、インフレ抑制法、CHIPS(Creating Helpful Incentives to Produce Semiconductors)および科学法、大統領令 14017「米国のサプライチェーン」によって行われた一世一代の新規投資にサイバーセキュリティを統合している。
This strategy also builds on the work of prior administrations.  It replaces the 2018 National Cyber Strategy but continues momentum on many of its priorities, including the collaborative defense of the digital ecosystem.  The Administration remains committed to enhancing the security and resilience of U.S. space systems, including by implementing Space Policy Directive 5, “Cybersecurity Principles for Space Systems.” The Administration also continues to implement critical efforts to secure next-generation technologies, including through the National Artificial Intelligence Initiative and the National Strategy to Secure 5G, among other existing policies and initiatives.  本戦略はまた、以前の政権の仕事をベースにしている。 本戦略は、2018年の国家サイバー戦略を置き換えるものであるが、デジタル・エコシステムの協調的な防衛など、その優先事項の多くについて勢いを維持している。 政権は、宇宙政策指令5「宇宙システムのサイバーセキュリティ原則」の実施を含め、米国の宇宙システムのセキュリティとレジリエンスを強化することに引き続き尽力している。また、政権は、既存の政策やイニシアティブの中でも、国家人工知能イニシアティブや5G確保のための国家戦略など、次世代技術の安全確保に向けた重要な取り組みを引き続き実施している。
This strategy’s goals for securing Federal systems and collaborating with the private sector build on EO 13800, “Strengthening the Cybersecurity of Federal Networks and Critical Infrastructure,” EO 13691, “Promoting Private Sector Cybersecurity Information Sharing,” and EO 13636, “Improving Critical Infrastructure Cybersecurity,” and fit within the frameworks established by Presidential Policy Directive 21, “Critical Infrastructure Security and Resilience,” and Presidential Policy Directive 41, “United States Cyber Incident Coordination.”  It carries forward and evolves many of the strategic efforts originally initiated by the 2008 Comprehensive National Cybersecurity Initiative. 連邦システムの安全確保と民間企業との協力に関する本戦略の目標は、大統領令 13800「連邦ネットワークと重要インフラのサイバーセキュリティ強化」、大統領令 13691「民間企業のサイバーセキュリティ情報共有促進」、大統領令 13636「重要インフラのサイバーセキュリティ改善」に基づき、大統領政策指令 21「重要インフラのセキュリティとレジリエンス」および大統領政策指令 41「米国サイバー事件の調整」が定めた枠組みに適合するものである。 これは、2008年の包括的な国家サイバーセキュリティ・イニシアチブによって開始された戦略的取り組みの多くを継承し、発展させるものである。
PILLAR ONE | DEFEND CRITICAL INFRASTRUCTURE  柱1:重要インフラの防御 
Defending the systems and assets that constitute our critical infrastructure is vital to our national security, public safety, and economic prosperity.  The American people must have confidence in the availability and resilience of this infrastructure and the essential services it provides.  We aim to operationalize an enduring and effective model of collaborative defense that equitably distributes risk and responsibility, and delivers a foundational level of security and resilience for our digital ecosystem.  重要インフラを構成するシステムと資産を守ることは、国家の安全保障、公共の安全、そして経済の繁栄に不可欠である。 米国民は、このインフラとそれが提供する重要なサービスの可用性と回復力に信頼を置かなければならない。 我々は、リスクと責任を公平に分配し、デジタル・エコシステムの基盤となるレベルのセキュリティとレジリエンスを実現する、永続的かつ効果的な協調防衛モデルを運用することを目指する。
Collaboration to address advanced threats will only be effective if owners and operators of critical infrastructure have cybersecurity protections in place to make it harder for adversaries to disrupt them.  The Administration has established new cybersecurity requirements in certain critical sectors.  In other sectors, new authorities will be required to set regulations that can drive better cybersecurity practices at scale.  This Administration has conducted sector-specific engagement with industry to construct consistent, predictable regulatory frameworks for cybersecurity that focus on achieving security outcomes and enabling continuity of operations and functions, while promoting collaboration and innovation.  高度な脅威に対処するための協力は、重要インフラの所有者と運営者が、敵対者がそれらを妨害することを困難にするサイバーセキュリティ保護を備えている場合にのみ、効果的となる。 政権は、特定の重要セクターにおいて、新たなサイバーセキュリティ要件を定めた。 その他の分野では、より優れたサイバーセキュリティの実践を大規模に推進できるような規制を設定するために、新たな当局が必要となる。 本政権は、サイバーセキュリティに関する一貫した予測可能な規制の枠組みを構築するために、産業界と分野別の協議を行い、協力とイノベーションを促進しながら、セキュリティ成果の達成と業務・機能の継続性の実現に焦点を当てた。
Private sector entities have made significant commitments to engage in collaborative defense efforts.  The “Shields Up” campaign preceding Russia’s 2022 brutal and unprovoked war on Ukraine, to proactively increase preparedness and promote effective measures to combat malicious activity, is an example of public-private collaboration that must be scaled and repeated.  民間企業は、協調的な防衛努力に従事することに大きなコミットメントをした。 ロシアによる2022年の残忍でいわれのないウクライナ戦争に先立ち、積極的に備えを強化し、悪意のある活動に対抗する効果的な対策を推進する「シールドアップ」キャンペーンは、規模を拡大して繰り返さなければならない官民協力の一例である。
We must build new and innovative capabilities that allow owners and operators of critical infrastructure, Federal agencies, product vendors and service providers, and other stakeholders to effectively collaborate with each other at speed and scale.  Federal agencies that support critical infrastructure providers must enhance their own capabilities and their ability to collaborate with other Federal entities.  When incidents occur, Federal response efforts must be coordinated and tightly integrated with private sector and State, local, Tribal, and territorial (SLTT) partners.  重要インフラの所有者や運営者、連邦政府機関、製品ベンダーやサービスプロバイダー、その他の関係者が、スピードとスケールで効果的に協力し合えるような、新しく革新的な機能を構築しなければならない。 重要インフラ提供者を支援する連邦機関は、自らの能力および他の連邦機関との協力能力を強化しなければならない。 インシデントが発生した場合、連邦政府の対応努力は、民間部門および州、地方、部族、準州(SLTT)のパートナーと協調し、緊密に統合される必要がある。
Finally, the Federal Government can better support the defense of critical infrastructure by making its own systems more defensible and resilient.  This Administration is committed to improving Federal cybersecurity through long-term efforts to implement a zero trust architecture strategy and modernize IT and OT infrastructure.  In doing so, Federal cybersecurity can be a model for critical infrastructure across the United States for how to successfully build and operate secure and resilient systems.  最後に、連邦政府は、自らのシステムをより防御的でレジリエンスに優れたものにすることで、重要インフラの防衛をよりよく支援することができる。 本政権は、ゼロ・トラスト・アーキテクチャー戦略を実施し、IT および OT インフラを近代化する長期的な取り組みを通じて、連邦政府のサイバーセキュリティを改善することを確約する。 そうすることで、連邦政府のサイバーセキュリティは、安全でレジリエンスに優れたシステムの構築と運用を成功させる方法について、米国全体の重要インフラのモデルとなることができる。
STRATEGIC OBJECTIVE 1.1: ESTABLISH CYBERSECURITY REQUIREMENTS TO SUPPORT NATIONAL SECURITY AND PUBLIC SAFETY  戦略目標 1.1: 国家安全保障と公共安全を支援するためのサイバーセキュリティ要件の確立
The American people must have confidence in the critical services underpinning their lives and the nation’s economy.  While voluntary approaches to critical infrastructure cybersecurity have produced meaningful improvements, the lack of mandatory requirements has resulted in inadequate and inconsistent outcomes.  Today’s marketplace insufficiently rewards—and often disadvantages—the owners and operators of critical infrastructure who invest in proactive measures to prevent or mitigate the effects of cyber incidents.  米国民は、自分たちの生活と国家経済を支える重要なサービスに対して信頼感を持たなければならない。 重要インフラのサイバーセキュリティに対する自主的なアプローチは有意義な改善をもたらしてきたが、強制的な要件がないため、不十分で一貫性のない結果になっている。 今日の市場では、サイバーインシデントの影響を防止または軽減するために事前対策に投資する重要インフラの所有者と運営者に十分な報酬が与えられず、しばしば不利益を被っている。
Regulation can level the playing field, enabling healthy competition without sacrificing cybersecurity or operational resilience.  Our strategic environment requires modern and nimble regulatory frameworks for cybersecurity tailored for each sector’s risk profile, harmonized to reduce duplication, complementary to public-private collaboration, and cognizant of the cost of implementation.  New and updated cybersecurity regulations must be calibrated to meet the needs of national security and public safety, in addition to the security and safety of individuals, regulated entities, and their employees, customers, operations, and data.  規制は、サイバーセキュリティや運用のレジリエンスを犠牲にすることなく、健全な競争を可能にし、競争の場を平準化することができる。 我々の戦略的環境には、各セクターのリスクプロファイルに合わせたサイバーセキュリティのための近代的で軽快な規制の枠組みが必要であり、重複を減らすために調和がとれ、官民の協力を補完し、実施コストを認識することが必要である。 新規および更新されるサイバーセキュリティ規制は、個人、規制対象企業、その従業員、顧客、業務、データのセキュリティと安全性に加え、国家安全保障と公共安全のニーズを満たすように調整されなければならない。
The Administration has made progress in this area, establishing cybersecurity requirements in key sectors such as oil and natural gas pipelines, aviation, and rail, led by the Transportation Security Administration and water systems, led by the Environmental Protection Agency.  A collaborative process between industry and regulators will produce regulatory requirements that are operationally and commercially viable and will ensure the safe and resilient operation of critical infrastructure.  The most effective and efficient regulatory frameworks will be those put in place well before a crisis, rather than through the imposition of emergency regulations after a crisis occurs.  政権はこの分野で進展を見せ、石油・天然ガスパイプライン、航空、鉄道などの主要分野で、運輸保安庁が主導し、環境保護庁が主導する水道システムでサイバーセキュリティの要件を確立している。 産業界と規制当局の協力プロセスにより、運用・商業的に実現可能な規制要件が生まれ、重要インフラの安全かつレジリエンスな運用を確保することができる。 最も効果的かつ効率的な規制の枠組みは、危機が発生した後に緊急規制を課すのではなく、危機のかなり前に導入されるものであろう。
ESTABLISH CYBERSECURITY REGULATIONS TO SECURE CRITICAL INFRASTRUCTURE   重要インフラを保護するためのサイバーセキュリティ規制の確立 
The Federal Government will use existing authorities to set necessary cybersecurity requirements in critical sectors.  Where Federal departments and agencies have gaps in statutory authorities to implement minimum cybersecurity requirements or mitigate related market failures, the Administration will work with Congress to close them.  Where states or independent regulators have authorities that can be used to set cybersecurity requirements, the Administration will encourage them to use those authorities in a deliberate and coordinated manner.  連邦政府は、重要なセクターにおいて必要なサイバーセキュリティ要件を設定するために、既存の権限を活用する。 連邦省庁が、サイバーセキュリティの最低要件の実施や関連する市場の失敗を緩和するための法的権限に隙間がある場合、政権は議会と協力してそれを解消する。 州または独立した規制当局がサイバーセキュリティ要件を設定するために使用できる権限を有している場合、政権は、これらの当局が意図的かつ協調的な方法でこれらの権限を使用することを奨励する。
Regulations should be performance-based, leverage existing cybersecurity frameworks, voluntary consensus standards, and guidance—including the Cybersecurity and Infrastructure Security Agency (CISA)’s Cybersecurity Performance Goals and the National Institute of Standards and Technology (NIST) Framework for Improving Critical Infrastructure Cybersecurity— and be agile enough to adapt as adversaries increase their capabilities and change their tactics.  In setting cybersecurity regulations for critical infrastructure, regulators are encouraged to drive the adoption of secure-bydesign principles, prioritize the availability of essential services, and ensure that systems are designed to fail safely and recover quickly.  Regulations will define minimum expected cybersecurity practices or outcomes, but the Administration encourages and will support further efforts by entities to exceed these requirements.  規制はパフォーマンス・ベースであるべきで、CISA (Cybersecurity and Infrastructure Security Agency) の Cybersecurity Performance Goals や NIST (National Institute of Standards and Technology) Framework for Improving Critical Infrastructure Cybersecurity など、既存のサイバーセキュリティの枠組み、任意の合意基準、指針を活用し、敵が能力を高めて戦略を変えても適応できるだけの俊敏性があることが必要である。 重要インフラのサイバーセキュリティ規制を設定する際、規制当局は、セキュアデザイン原則の採用を推進し、必須サービスの可用性を優先し、システムが安全に故障し迅速に回復するように設計されていることを確認することが推奨される。 規制は、最低限期待されるサイバーセキュリティの実践や成果を定義するが、行政は、これらの要件を上回るような事業者のさらなる努力を奨励し、支援する。
Further, these and other critical sectors rely upon the cybersecurity and resilience of their third-party service providers.  Cloud-based services enable better and more economical cybersecurity practices at scale, but they are also essential to operational resilience across many critical infrastructure sectors.  The Administration will identify gaps in authorities to drive better cybersecurity practices in the cloud computing industry and for other essential third-party services, and work with industry, Congress, and regulators to close them.  さらに、これらのセクターやその他の重要なセクターは、サードパーティサービスプロバイダーのサイバーセキュリティとレジリエンスに依存している。 クラウドベースのサービスは、より優れた、より経済的なサイバーセキュリティの実践を大規模に可能にするだけでなく、多くの重要インフラ部門における運用のレジリエンスにも不可欠なものである。 政府は、クラウドコンピューティング業界やその他の重要なサードパーティ・サービスにおいて、より優れたサイバーセキュリティの実践を推進するための当局のギャップを特定し、業界、議会、規制当局と協力して、そのギャップを解消していく予定である。
HARMONIZE AND STREAMLINE NEW AND EXISTING REGULATION  新規および既存の規制の調和と合理化 
Effective regulations minimize the cost and burden of compliance, enabling organizations to invest resources in building resilience and defending their systems and assets.  By leveraging existing international standards in a manner consistent with current policy and law, regulatory agencies can minimize the burden of unique requirements and reduce the need for regulatory harmonization.  効果的な規制は、コンプライアンスにかかるコストと負担を最小限に抑え、組織がレジリエンスの構築とシステムおよび資産の防御にリソースを投入できるようにする。 現行の政策や法律と整合性のある形で既存の国際標準を活用することで、規制当局は、独自 の要件の負担を最小限に抑え、規制の調和の必要性を低減することができる。
Where Federal regulations are in conflict, duplicative, or overly burdensome, regulators must work together to minimize these harms.  When necessary, the United States will pursue cross-border regulatory harmonization to prevent cybersecurity requirements from impeding digital trade flows.  Where feasible, regulators should work to harmonize not only regulations and rules, but also assessments and audits of regulated entities.  ONCD, in coordination with the Office of Management and Budget (OMB), will lead the Administration’s efforts on cybersecurity regulatory harmonization. The Cyber Incident Reporting Council will coordinate, deconflict, and harmonize Federal incident reporting requirements.  連邦政府の規制が矛盾していたり、重複していたり、過度に負担が大きい場合、規制当局はこれらの害を最小化するために協力する必要がある。 必要な場合、米国はサイバーセキュリティ要件がデジタル貿易の流れを阻害するのを防ぐため、国境を越えた規制の調和を追求する。 実行可能であれば、規制当局は、規制や規則だけでなく、規制対象事業者の評価や監査も調和させるよう努力すべきである。 ONCD は、行政管理予算局(OMB)と連携して、サイバーセキュリティ規制の調和に関する行政の取り組みを主導する。サイバーインシデント報告評議会は、連邦政府のインシデント報告要件を調整し、矛盾を解消し、調和を図る。
ENABLE REGULATED ENTITIES TO AFFORD SECURITY  規制対象事業者のセキュリティ確保の推進 
Different critical infrastructure sectors have varying capacities to absorb the costs of cybersecurity, ranging from low-margin sectors that cannot easily increase investment without intervention, to those where the marginal costs of improving cybersecurity can be absorbed.  In some sectors, regulation may be necessary to create a level playing field so that companies are not trapped in a competition to underspend their peers on cybersecurity.  In other sectors, regulators are encouraged to ensure that necessary investments in cybersecurity are incentivized through the rate-making process, tax structures, or other mechanisms.  In setting new cybersecurity requirements, regulators are encouraged to consult with regulated entities to understand how those requirements will be resourced.  In seeking new regulatory authority, the Administration will work with Congress to develop regulatory frameworks that take into account the resources necessary to implement them.  重要インフラ・セクターによって、サイバーセキュリティのコストを吸収する能力は様々であり、介入しなければ容易に投資を増やすことができない低利益セクターから、サイバーセキュリティを改善するための限界コストが吸収可能なセクターまで様々である。 一部のセクターでは、企業がサイバーセキュリティに対する同業他社の支出を過小評価する競争に陥らないよう、公平な競争環境を整えるための規制が必要かもしれない。 他の分野では、規制当局は、料金決定プロセス、税制、または他のメカニズムを通じて、サイバーセキュリティへの必要な投資がインセンティブとして働くようにすることが推奨される。 新たなサイバーセキュリティの要件を設定する場合、規制当局は規制対象事業者と協議し、これらの要件がどのようにリソースとして確保されるかを理解することが奨励される。 新たな規制権限を求める場合、行政は議会と協力して、その実施に必要なリソースを考慮した規制の枠組みを策定する。
STRATEGIC OBJECTIVE 1.2: SCALE PUBLIC-PRIVATE COLLABORATION  戦略目標1.2:官民協力の拡大 
Defending critical infrastructure against adversarial activity and other threats requires a model of cyber defense that emulates the distributed structure of the Internet.  We will realize this distributed, networked model by developing and strengthening collaboration between defenders through structured roles and responsibilities and increased connectivity enabled by the automated exchange of data, information, and knowledge.  Combining organizational collaboration and technologyenabled connectivity will create a trust-based “network of networks” that builds situational awareness and drives collective and synchronized action among the cyber defenders that protect our critical infrastructure.  重要インフラを敵対的活動やその他の脅威から防衛するには、インターネットの分散構造を模倣したサイバー防衛のモデルが必要である。 我々は、役割と責任の明確化、およびデータ、情報、知識の自動交換によって可能になる接続性の向上を通じて、防衛者間の協力を開発・強化することにより、この分散型ネットワーク化モデルを実現する。 組織的なコラボレーションとテクノロジーを駆使した接続性を組み合わせることで、信頼に基づく「ネットワークのネットワーク」を構築し、重要インフラを守るサイバー防衛者の間で状況認識を高め、集団的かつ同期した行動を促進することができる。
CISA is the national coordinator for critical infrastructure security and resilience.  In this role, CISA coordinates with Sector Risk Management Agencies (SRMAs) to enable the Federal Government to scale its coordination with critical infrastructure owners and operators across the United States.  SRMAs have day-to-day responsibility and sector-specific expertise to improve security and resilience within their sectors.  In turn, SRMAs support individual owners and operators in their respective sectors who are responsible for protecting the systems and assets they operate.  Information sharing and analysis organizations (ISAOs), sector-focused information sharing and analysis centers (ISACs), and similar organizations facilitate cyber defense operations across vast and complex sectors.  CISAは、重要インフラのセキュリティとレジリエンスのための国家コーディネーターである。 この役割において、CISAはセクター・リスクマネジメント機関(SRMA)と連携し、連邦政府が全米の重要インフラの所有者および運用者との連携を拡大できるようにする。 SRMAは、セクター内のセキュリティとレジリエンスを向上させるための日々の責任とセクター固有の専門知識を有している。 また、SRMAは、各分野の所有者や運用者が運用するシステムや資産の保護に責任を持つよう支援する。 情報共有・分析組織(ISAO)、セクターに特化した情報共有・分析センター(ISAC)、および同様の組織は、広大で複雑なセクターにわたるサイバー防衛業務を促進する。
The Federal Government will continue to enhance coordination between CISA and other SRMAs, invest in the development of SRMA capabilities, and otherwise enable SRMAs to proactively respond to the needs of critical infrastructure owners and operators in their sectors.  The Federal Government will collaborate with industry to define sector-by-sector needs and assess gaps in current SRMA capabilities.  Investment by the Federal Government in building out the capabilities of SRMAs will enable security and resilience improvements across critical infrastructure.  SRMAs will coordinate with CISA to improve their ability to be proactive and responsive to the needs of their sectors.  SRMAs must also continue to support the maturation of third-party collaboration mechanisms.  Building on decades of experience collaborating with ISACs and ISAOs, the Federal Government will work with these and other groups to develop a shared vision of how this model should evolve.  連邦政府は、CISA と他の SRMA との間の調整を引き続き強化し、SRMA の能力開発 に投資し、その他 SRMA が各セクターの重要インフラ所有者および運用者のニーズに積極 的に対応できるようにする。 連邦政府は、セクター毎のニーズを定義し、現在のSRMA能力のギャップを評価するために、産業界と協働する。 連邦政府がSRMAの能力強化に投資することで、重要インフラ全体のセキュリティとレジリエンスの向上が可能になる。 SRMAはCISAと連携し、各セクターのニーズに対してプロアクティブに対応する能力を向上させることができる。 SRMAはまた、第三者による協力メカニズムの成熟を引き続き支援しなければならない。 連邦政府は、ISAC や ISAO との十年以上にわたる協力の経験に基づき、これらのグループや他のグループと協 力して、このモデルがどのように進化すべきかという共有ビジョンを策定する。
Accelerating operational collaboration will require the use of technology solutions to share information and coordinate defensive efforts.  We must complement human-to-human collaboration efforts with machine-to-machine data sharing and security orchestration.  Realizing this model will enable real-time, actionable, and multi-directional sharing to drive threat response at machine speed.  In partnership with the private sector, CISA and SRMAs will explore technical and organizational mechanisms to enhance and evolve machine-to-machine sharing of data.  The Federal Government will also deepen operational and strategic collaboration with software, hardware, and managed service providers with the capability to reshape the cyber landscape in favor of greater security and resilience.  作戦上の協力を加速するには、情報を共有し、防御の努力を調整するためのテクノロジー・ソリューションを使用する必要がある。 我々は、人間対人間のコラボレーション活動を、マシン対マシンのデータ共有とセキュリティ・オーケストレーションで補完しなければならない。 このモデルを実現することで、リアルタイムで実用的な多方向の共有が可能になり、脅威への対応をマシンスピードで推進することができる。 CISAとSRMAは、民間企業との連携により、マシン間のデータ共有を強化・進化させるための技術的・組織的なメカニズムを検討する。 また、連邦政府は、より高いセキュリティとレジリエンスを実現するために、サイバーランドスケープを再構築する能力を持つソフトウェア、ハードウェア、およびマネージドサービスプロバイダとの運用上および戦略上の協働を深める。
STRATEGIC OBJECTIVE 1.3: INTEGRATE FEDERAL CYBERSECURITY CENTERS  戦略目標1.3:連邦政府のサイバーセキュリティセンターの統合 
The Federal Government must coordinate the authorities and capabilities of the departments and agencies that are collectively responsible for supporting the defense of critical infrastructure.  Federal Cybersecurity Centers serve as collaborative nodes that fuse together whole-of-government capabilities across the homeland defense, law enforcement, intelligence, diplomatic, economic, and military missions.  Once fully integrated, they will drive intragovernmental coordination and enable the Federal Government to effectively and decisively support non-Federal partners.  連邦政府は、重要インフラの防衛を支援する総体的な責任を負う省庁の権限と能力を調整する必要がある。 連邦サイバーセキュリティ・センターは、国土防衛、法執行、情報、外交、経済、軍事などの任務にわたって、政府全体の能力を融合させる共同ノードとして機能する。 完全に統合されれば、政府内の調整を促進し、連邦政府が連邦政府以外のパートナーを効果的かつ決定的に支援することを可能にする。
The Administration has made progress toward this goal, establishing the Joint Cyber Defense Collaborative (JCDC) at CISA to integrate cyber defense planning and operations across the Federal Government and with the private sector and international partners; strengthening the capabilities of the National Cyber Investigative Joint Task Force (NCIJTF) to coordinate law enforcement and other disruption actions; and revitalizing the Cyber Threat Intelligence Integration Center’s (CTIIC) role in coordinating intelligence collection, analysis, and partnerships.  政府はこの目標に向けて前進しており、連邦政府全体および民間企業や国際パートナーとのサイバー防衛計画と運用を統合するために、CISA に統合サイバー防衛協力(JCDC)を設立し、法執行やその他の破壊活動を調整する国家サイバー捜査統合任務部隊(NCIJTF)の能力を強化し、情報収集、分析、パートナーシップを調整するサイバー脅威情報統合センター(CTIIC)の役割を活性化させている。
Operational collaboration models at SRMAs, such as the Department of Energy (DOE)’s Energy Threat Analysis Center (ETAC) pilot, DoD’s Defense Industrial Base Collaborative Information Sharing Environment (DCISE), and the National Security Agency (NSA)’s Cybersecurity Collaboration Center provide opportunities to enable timely, actionable, and relevant information sharing directly with private sector partners in their respective sectors.  エネルギー省(DOE)のエネルギー脅威分析センター(ETAC)パイロット、国防総省の国防産業基盤共同情報共有環境(DCISE)、国家安全保障局(NSA)のサイバーセキュリティ共同センターなどのSRMAにおける運用協力モデルは、それぞれの分野における民間部門のパートナーと直接、タイムリーで実行可能、かつ適切な情報共有を可能にする機会を提供するものである。
Further efforts will be required to strengthen and integrate the Federal Government’s operational capabilities and improve integration of the Federal Cybersecurity Centers.  ONCD will lead the Administration’s efforts to enhance the integration of centers such as these, identify gaps in capabilities, and develop an implementation plan to enable collaboration at speed and scale.   連邦政府の運用能力を強化・統合し、連邦サイバーセキュリティ・センターの統合を改善するためには、さらなる努力が必要であろう。 ONCD は、このようなセンターの統合を強化するための行政の取り組みを主導し、能力のギャップを特定し、スピードと規模での協力を可能にするための実施計画を策定する。 
STRATEGIC OBJECTIVE 1.4: UPDATE FEDERAL INCIDENT RESPONSE PLANS AND PROCESSES  戦略目標 1.4: 連邦政府の事故対応計画及びプロセスの更新 
The private sector is capable of mitigating most cyber incidents without direct Federal assistance.  When Federal assistance is required, the Federal Government must present a unified, coordinated, whole-of-government response.  Organizations targeted by cyber threats must know which government agencies to contact for what purposes.  The Federal Government must provide clear guidance on how private sector partners can reach Federal agencies for support during cyber incidents and what forms of support the Federal Government may provide.  民間部門は、連邦政府の直接的な支援を受けることなく、ほとんどのサイバーインシデントを軽減することが可能である。 連邦政府の支援が必要な場合、連邦政府は統一的、協調的、かつ政府全体としての対応を示さなければならない。 サイバー脅威の標的となった組織は、どの政府機関にどのような目的で連絡すればよいかを知らなければならない。 連邦政府は、サイバーインシデント発生時に民間セクターのパートナーがどのように連邦機関に支援を求めることができるのか、また連邦政府がどのような形で支援を行うことができるのかについて、明確なガイダンスを提供する必要がある。
Consistent with Presidential Policy Directive 41, “United States Cyber Incident Coordination,”— which defines lead roles for the Department of Justice (DOJ), Department of Homeland Security (DHS), and the Office of the Director of National Intelligence in threat, asset, and intelligence response efforts, respectively—CISA will lead a process to update the subordinate National Cyber Incident Response Plan (NCIRP) to strengthen processes, procedures, and systems to more fully realize the policy that “a call to one is a call to all.”  When any Federal agency receives a request for assistance, the agency will know what support the wider Federal Government can provide, how to contact the right Federal agencies that can provide such support, and have access to effective information sharing mechanisms.  Because most Federal responses take place through field offices, the NCIRP will bolster coordination at the local level, taking lessons from the successes of the Joint Terrorism Task Forces.   大統領政策指令41号「米国サイバー事件の調整」(脅威、資産、情報対応作業における司法省(DOJ)、国土安全保障省(DHS)、国家情報長官室の主導的役割をそれぞれ定義)に沿って、CISAは下位の国家サイバー事件対応計画(NCIRP)を更新するプロセスを主導し、プロセス、手順、システムを強化して「一人の通報はすべての通報」という方針をより完全に実現させる。 どの連邦機関も支援要請を受けたとき、より広い連邦政府がどのような支援を提供できるか、そのような支援を提供できる適切な連邦機関にどのように連絡すればよいか、効果的な情報共有メカニズムにアクセスできるかを知っているはずである。 連邦政府の対応のほとんどは現地事務所を通じて行われるため、NCIRP はテロ対策共同隊の成功例から教訓を得て、現地レベルでの連携を強化する。 
When incidents do occur, the Cyber Incident Reporting for Critical Infrastructure Act of 2022 (CIRCIA) will enhance our awareness and ability to respond effectively.  CIRCIA will require covered entities in critical infrastructure sectors to report covered cyber incidents to CISA within hours.  These timely notifications and CISA’s rapid sharing of relevant information with DOJ and other incident response stakeholders will strengthen our collective defense, improve efforts to identify the root causes of incidents, and inform decision-making within government on how to respond.  CISA will consult with SRMAs, DOJ, and other Federal agencies during the CIRCIA rulemaking and implementation process to integrate incident reporting systems and ensure real-time sharing and actioning of all relevant incident information.  インシデントが発生した場合、2022年の重要インフラ・インシデント報告法(Cyber Incident Reporting for Critical Infrastructure Act: CIRCIA)は、我々の意識と効果的に対応する能力を強化する。 重要インフラ・インシデント報告法は、重要インフラ部門の対象事業者に、対象となるサイバーインシデントを数時間以内にCISAに報告することを義務付ける。 こうしたタイムリーな通知とCISAによる関連情報の司法省および他のインシデント対応関係者との迅速な共有は、集団的な防衛を強化し、インシデントの根本原因を特定する取り組みを改善し、対応方法に関する政府内の意思決定に情報を提供することになる。 CISAは、重要インフラ・インシデント報告法の規則策定と実施の過程でSRMA、DOJ、および他の連邦機関と協議し、インシデント報告システムを統合し、すべての関連インシデント情報のリアルタイムの共有と対処を確保する予定である。
Following major incidents, we will ensure that the cybersecurity community benefits from lessons learned through the Cyber Safety Review Board (CSRB).  Established by EO 14028, “Improving the Nation’s Cybersecurity,” the CSRB brings together public and private sector cybersecurity leaders to review major cyber incidents, conduct authoritative fact-finding, generate insights that will inform and guide industry remediations, and provide recommendations for improving the nation’s cybersecurity posture going forward. The Administration will work with Congress to pass legislation to codify the CSRB within DHS and provide it the authorities it needs to carry out comprehensive reviews of significant incidents.  大規模インシデントの後、サイバーセキュリティ・コミュニティがサイバー・セーフティ・レビュー委員会(CSRB)を通じて学んだ教訓から利益を得られるようにする。 大統領令 14028「国家のサイバーセキュリティの改善」によって設立されたCSRBは、官民のサイバーセキュリティのリーダーを集め、主要なサイバー事件を検討し、権威ある事実調査を行い、業界の是正に情報を与え導くような洞察を生み出し、今後国家のサイバーセキュリティ体制を改善するための提言を提供するものである。政府は議会と協力して、DHS 内に CSRB を成文化し、重要インシデントの包括的なレビューを実施するために必要な権限を与えるための法案を可決する予定である。
STRATEGIC OBJECTIVE 1.5: MODERNIZE FEDERAL DEFENSES   戦略目標 1.5: 連邦防衛の近代化  
The Federal Government requires secure and resilient information, communications, and operational technology and services to perform its duties.  In its first months, this Administration set a new strategic direction for Federal cybersecurity, publishing EO 14028, “Improving the Nation’s Cybersecurity,” which led to the release of NSM 8, “Improving the Cybersecurity of National Security, the Defense Department, and Intelligence Community Systems,” and the OMB Federal zero trust architecture strategy.  連邦政府は、その職務を遂行するために、安全で弾力性のある情報、通信、運用技術およびサービスを必要とする。 この政権は、最初の数カ月で、大統領令 14028「国家のサイバーセキュリティの改善」を発表し、連邦政府のサイバーセキュリティのための新しい戦略的方向を定め、NSM 8「国家安全保障、防衛省、情報コミュニティシステムのサイバーセキュリティの改善」とOMB連邦ゼロ信頼アーキテクチャ戦略の発表につながりました。
Building on this momentum, the Administration will drive long-term efforts to defend the Federal enterprise and modernize Federal systems in accordance with zero trust principles that acknowledge threats must be countered both inside and outside traditional network boundaries.  By making its own networks more defensible and resilient, the Federal Government will be a model for private sector emulation.  この勢いに乗って、政権は、脅威は従来のネットワーク境界の内側と外側の両方で対抗しなければならないことを認識するゼロトラスト原則に従って、連邦エンタープライズを守り、連邦システムを近代化する長期的な取り組みを推進する予定である。 自国のネットワークの防御力とレジリエンスを高めることで、連邦政府は民間企業が模範とする存在となる。
COLLECTIVELY DEFEND FEDERAL CIVILIAN AGENCIES  連邦政府民間機関の一括防衛 
Federal civilian executive branch (FCEB) agencies are responsible for managing and securing their own IT and OT systems.  With different agency structures, missions, capabilities, and resourcing, FCEB cybersecurity outcomes vary.  We must continue to build a model for Federal cybersecurity that balances the individual authorities and capabilities of agencies with the security benefits achieved through a collective approach to defense.  連邦文民行政機関(FCEB)は、自らの IT および OT システムを管理し、保護する責任を負っている。 機関の構造、任務、能力、リソースが異なるため、FCEB のサイバーセキュリティの成果はさまざまである。 我々は、各機関の個別の権限と能力と、防衛への集団的アプローチによって達成されるセキュリティ上の利点のバランスをとる連邦サイバーセキュリティのモデルを構築し続けなければならない。
We will continue to build Federal cohesion through focused action across the Federal Government.  OMB, in coordination with CISA, will develop a plan of action to secure FCEB systems through collective operational defense, expanded availability of centralized shared services, and software supply chain risk mitigation.  These efforts will build on prior programs and prioritize actions that advance a whole-of-government approach to defending FCEB information systems.  The software supply chain risk mitigation objective, developed in coordination with NIST, will build on the implementation of EO 14028, “Improving the Nation’s Cybersecurity,” including the Software Bills of Material (SBOM) efforts, NIST’s Secure Software Development Framework, and related efforts to improve open-source software security.  我々は、連邦政府全体の集中的な行動を通じて、連邦の結束力を引き続き構築していく。 OMB は CISA と連携して、集団的な運用防御、集中型共有サービスの利用拡大、ソフトウェア・サプライ チェーンのリスク軽減を通じて、FCEB システムを安全にするための行動計画を策定する予定である。 これらの取り組みは、先行プログラムを基に、FCEB情報システムの防御に向けた政府全体のアプローチを促進する行動に優先順位をつけるものである。 NISTと連携して開発されたソフトウェア・サプライ・チェーンのリスク軽減目標は、ソフトウェア部品表(SBOM)の取り組み、NISTの安全なソフトウェア開発フレームワーク、オープンソース・ソフトウェアのセキュリティを改善する関連取り組みなど、大統領令 14028「国家のサイバーセキュリティの改善」の実施に基づいて策定される予定だ。
MODERNIZE FEDERAL SYSTEMS  連邦システムの近代化 
The Federal Government must replace or update IT and OT systems that are not defensible against sophisticated cyber threats.  The OMB zero trust architecture strategy directs FCEB agencies to implement multi-factor authentication, encrypt their data, gain visibility into their entire attack surface, manage authorization and access, and adopt cloud security tools.  These and other cybersecurity goals cannot be achieved unless Federal IT and OT systems are modernized so they are capable of leveraging critical security technologies.  OMB will lead development of a multi-year lifecycle plan to accelerate FCEB technology modernization, prioritizing Federal efforts on eliminating legacy systems which are costly to maintain and difficult to defend.  The plan will identify milestones to remove all legacy systems incapable of implementing our zero trust architecture strategy within a decade, or otherwise mitigate risks to those that cannot be replaced in that timeframe.  Replacing legacy systems with more secure technology, including through accelerating migration to cloud-based services, will elevate the cybersecurity posture across the Federal Government and, in turn, improve the security and resilience of the digital services it provides to the American people.  連邦政府は、高度なサイバー脅威に対して防御できない IT および OT システムを交換または更新する必要がある。 OMB のゼロ・トラスト・アーキテクチャー戦略は、FCEB 機関に対し、多要素認証の導入、データの暗号化、攻撃対象領域全体の可視化、権限とアクセスの管理、クラウド・セキュリティ・ツールの採用を指示している。 連邦政府の IT および OT システムを近代化し、重要なセキュリティ技術を活用できるようにしなければ、これらの目標やその他のサイバーセキュリティの目標を達成することはできない。 OMB は、FCEB 技術の近代化を加速するための複数年のライフサイクル計画の策定を主導し、維持費が高く防衛が困難なレガシーシステムの排除に連邦政府の努力を優先させる。 この計画では、10年以内にゼロ・トラスト・アーキテクチャー戦略を実施できないレガシーシステムをすべて撤去する、あるいはその期間内に置き換えられないシステムのリスクを軽減するためのマイルストーンを特定する予定である。 レガシーシステムをより安全な技術で置き換えることは、クラウドベースサービスへの移行を加速することを含め、連邦政府全体のサイバーセキュリティ体制を向上させ、ひいては米国民に提供するデジタルサービスのセキュリティと耐障害性を改善することにつながる。
DEFEND NATIONAL SECURITY SYSTEMS  国家安全保障システムの保護 
National security systems (NSS) store and process some of the Federal Government’s most sensitive data and must be secured against a wide range of cyber and physical threats, including insider threats, cyber criminals, and the most sophisticated nation-state adversaries.  The Director of the NSA, as the National Manager for NSS, will coordinate with OMB to develop a plan for NSS at FCEB agencies that ensures implementation of the enhanced cybersecurity requirements of NSM-8.  国家安全保障システム(NSS)は、連邦政府の最も機密性の高いデータを保存、処理するものであり、内部脅威、サイバー犯罪者、最も巧妙な国家敵対者を含む幅広いサイバーおよび物理的脅威から保護する必要がある。 NSA長官はNSSのナショナル・マネージャーとして、OMBと連携し、NSM-8の強化されたサイバーセキュリティ要件の実施を保証するFCEB機関のNSSのための計画を策定することになる。
PILLAR TWO | DISRUPT AND DISMANTLE THREAT ACTORS  柱2:脅威アクターの破壊と解体
The United States will use all instruments of national power to disrupt and dismantle threat actors whose actions threaten our interests.  These efforts may integrate diplomatic, information, military (both kinetic and cyber), financial, intelligence, and law enforcement capabilities.  Our goal is to make malicious actors incapable of mounting sustained cyber-enabled campaigns that would threaten the national security or public safety of the United States.  米国は、国力のあらゆる手段を用いて、わが国の国益を脅かす脅威となる勢力を崩壊させ、解体していく。 これらの取り組みは、外交、情報、軍事(動力学的とサイバーの両方)、金融、情報、法執行の能力を統合することができる。 我々の目標は、米国の国家安全保障や治安を脅かすような持続的なサイバーキャンペーンを、悪意ある行為者が行えないようにすることである。
Coordinated efforts by Federal and non-Federal entities have proven effective in frustrating the malicious cyber activity of foreign government, criminal, and other threat actors. The Federal Government has increased its capacity to respond to cyber incidents; arrested and successfully prosecuted transnational cybercriminals and state-sponsored actors; imposed sanctions on malicious cyber actors, including bans on travel and denying access to money service providers; and deprived threat actors of access to digital infrastructure and victim networks.  The Federal Government has also targeted financial infrastructure used for illicit activity; established new diplomatic initiatives attributing disruptive, destructive, or otherwise destabilizing cyber activities to hold actors accountable for their malicious behavior; and recovered billions of dollars’ worth of ill-gotten assets.  連邦政府と連邦政府以外の組織が連携した取り組みは、外国政府や犯罪者、その他の脅威者の悪質なサイバー活動を挫くのに有効であることが証明されている。連邦政府は、サイバーインシデントへの対応能力を高め、国際的なサイバー犯罪者や国家が支援する行為者を逮捕し起訴することに成功し、渡航禁止やマネーサービスプロバイダーへのアクセス拒否などの制裁措置を悪質なサイバー行為者に課し、デジタルインフラや被害者ネットワークへのアクセスを脅威行為者から奪ってきた。 また、連邦政府は、不正な活動に利用される金融インフラを標的にし、破壊的、不安定なサイバー活動に起因する新たな外交イニシアチブを確立して、悪質な行為に対する責任を負わせ、数十億ドル相当の不正な資産を回収してきた。
We will build upon these successes to enable more sustained and effective disruption of adversaries.  Our efforts will require greater collaboration by public and private sector partners to improve intelligence sharing, execute disruption campaigns at scale, deny adversaries use of U.S.-based infrastructure, and thwart global ransomware campaigns.  我々は、これらの成功に基づき、より持続的かつ効果的に敵対者を混乱させることができるようにする。 そのためには、情報共有の改善、大規模な破壊作戦の実行、敵対者による米国を拠点とするインフラの使用拒否、世界的なランサムウェア・キャンペーンの阻止など、官民のパートナーによるさらなる協力が必要となる。
STRATEGIC OBJECTIVE 2.1: INTEGRATE FEDERAL DISRUPTION ACTIVITIES  戦略目標2.1: 連邦政府の破壊活動の統合 
Disruption campaigns must become so sustained and targeted that criminal cyber activity is rendered unprofitable and foreign government actors engaging in malicious cyber activity no longer see it as an effective means of achieving their goals.  DOJ and other Federal law enforcement agencies have pioneered the integrated deployment of domestic legal authorities with private industry and international allies and partners to disrupt online criminal infrastructure and resources, from taking down notorious botnets to seizing cryptocurrency gleaned from ransomware and fraud campaigns.  Information generated from these investigations enables other efforts, such as victim notification, issuance of cybersecurity advisories, private-sector actions, sanctions designations, diplomatic actions, and intelligence operations.  破壊工作は、犯罪的なサイバー活動が採算に合わなくなり、悪意のあるサイバー活動を行う外国政府関係者が、もはやそれが目的を達成する効果的な手段であるとは考えないように、持続的かつ標的を定めたものにならなければならない。 司法省と他の連邦法執行機関は、悪名高いボットネットの破壊からランサムウェアや詐欺キャンペーンから得た暗号通貨の押収まで、オンライン犯罪インフラとリソースを破壊するために、民間企業や国際的な同盟国およびパートナーとともに国内の法的権限を統合的に展開するパイオニア的存在となっている。 これらの調査から得られた情報は、被害者への通知、サイバーセキュリティ勧告の発行、民間部門の活動、制裁指定、外交活動、諜報活動など、他の活動を可能にする。
The Department of Defense’s strategic approach of defending forward has helped generate insights on threat actors, identify and expose malware, and disrupt malicious activity before it could affect its intended targets.  Informed by lessons learned and the rapidly-evolving threat environment, DoD will develop an updated departmental cyber strategy aligned with the National Security Strategy, National Defense Strategy, and this National Cybersecurity Strategy.  DoD’s new strategy will clarify how U.S. Cyber Command and other DoD components will integrate cyberspace operations into their efforts to defend against state and non-state actors capable of posing strategic-level threats to U.S. interests, while continuing to strengthen their integration and coordination of operations with civilian, law enforcement, and intelligence partners to disrupt malicious activity at scale.  一歩踏み込んだ防衛の戦略的アプローチにより、脅威の主体に関する洞察を生み出し、マルウェアを特定して公開し、悪意のある活動が意図したターゲットに影響を与える前に破壊することができた。 国防総省は、学んだ教訓と急速に進化する脅威環境から情報を得て、国家安全保障戦略、国家防衛戦略、およびこの国家サイバーセキュリティ戦略に沿った最新の部門サイバー戦略を策定する予定である。 国防総省の新戦略は、米サイバー司令部とその他の国防総省部門が、米国の利益に対して戦略レベルの脅威を与えることができる国家および非国家主体から防衛するための努力にサイバー空間作戦を統合する方法を明確にし、同時に、大規模な悪意ある活動を破壊するために文民、法執行、諜報のパートナーとの作戦統合と調整を引き続き強化するものである。
To increase the volume and speed of these integrated disruption campaigns, the Federal Government must further develop technological and organizational platforms that enable continuous, coordinated operations.  The NCIJTF, as a multi-agency focal point for coordinating whole-of-government disruption campaigns, will expand its capacity to coordinate takedown and disruption campaigns with greater speed, scale, and frequency.  Similarly, DoD and the Intelligence Community are committed to bringing to bear their full range of complementary authorities to disruption campaigns.  こうした統合的破壊作戦の量と速度を高めるために、連邦政府は継続的で協調的な作戦を可能にする技術的・組織的プラットフォームをさらに開発する必要がある。 NCIJTFは、政府全体の破壊活動を調整するための複数省庁の中心的存在として、より迅速、大規模、かつ頻繁にテイクダウンと破壊活動を調整する能力を拡大する。 同様に、国防総省と情報機関も、破壊活動に対して補完的な権限をフルに活用することを約束する。
STRATEGIC OBJECTIVE 2.2: ENHANCE PUBLIC-PRIVATE OPERATIONAL COLLABORATION TO DISRUPT ADVERSARIES  戦略目標2.2: 敵対者をかく乱するための官民の作戦協力の強化 
The private sector has growing visibility into adversary activity.  This body of insight is often broader and more detailed than that of the Federal Government, due in part to the sheer scale of the private sector and its threat hunting operations, but also due to the rapid pace of innovation in tooling and capabilities.  Effective disruption of malicious cyber activity requires more routine collaboration between the private sector entities that have unique insights and capabilities and the Federal agencies that have the means and authorities to act.  The 2021 takedown of the Emotet botnet showed the potential of this collaborative approach, with Federal agencies, international allies and partners, and private industry cooperating to disrupt the botnet’s operations.  Given the interest of the cybersecurity community and digital infrastructure owners and operators in continuing this approach, we must sustain and expand upon this model so that collaborative disruption operations can be carried out on a continuous basis.  民間部門は、敵対勢力の活動に対する可視性を高めている。 この洞察力は、連邦政府の洞察力よりも広範かつ詳細であることが多い。これは、民間企業やその脅威探求活動の規模が大きいことに加え、ツールや能力における技術革新のスピードが速いことが一因である。 悪意のあるサイバー活動を効果的に阻止するには、独自の洞察力と能力を持つ民間部門と、行動する手段と権限を持つ連邦機関の間で、より日常的な協力が必要である。 2021年のEmotetボットネットの破壊は、連邦政府機関、国際的な同盟国やパートナー、民間企業が協力してボットネットの活動を妨害し、この協力アプローチの可能性を示した。 サイバーセキュリティ業界とデジタルインフラ所有者・運営者がこのアプローチを継続することに関心を持っていることを考えると、我々はこのモデルを維持・拡大し、共同破壊作戦を継続的に実施できるようにしなければならない。
Private sector partners are encouraged to come together and organize their efforts through one or more nonprofit organizations that can serve as hubs for operational collaboration with the Federal Government, such as the National Cyber-Forensics and Training Alliance (NCFTA).  Threatspecific collaboration should take the form of nimble, temporary cells, comprised of a small number of trusted operators, hosted and supported by a relevant hub.  Using virtual collaboration platforms, members of the cell would share information bidirectionally and work rapidly to disrupt adversaries. The Federal Government will rapidly overcome barriers to supporting and leveraging this collaboration model, such as security requirements and records management policy.  民間セクターのパートナーは、全米サイバー犯罪捜査・訓練連合(NCFTA)のような、連邦政府との作戦協力のハブとなりうる一つまたは複数の非営利組織を通じて、その努力を結集し組織化することが推奨される。 脅威別のコラボレーションは、少数の信頼できるオペレータで構成され、関連するハブによってホストされサポートされる、迅速で一時的なセルの形態を取るべきである。 仮想コラボレーション・プラットフォームを使って、セルのメンバーは情報を双方向に共有し、敵対者を混乱させるために迅速に作業することになる。連邦政府は、セキュリティ要件や記録管理方針など、このコラボレーション・モデルの支援と活用を阻む障壁を迅速に克服する。
STRATEGIC OBJECTIVE 2.3: INCREASE THE SPEED AND SCALE OF INTELLIGENCE SHARING AND VICTIM NOTIFICATION  戦略目標 2.3: 情報共有と被害者通知の速度と規模の拡大 
The timely sharing of threat intelligence between Federal and non-Federal partners enhances collaborative efforts to disrupt and dismantle adversaries.  Open-source cybersecurity intelligence and private sector intelligence providers have greatly increased collective awareness of cyber threats, but national intelligence that only the government can collect remains invaluable.  For instance, the NSA Cybersecurity Collaboration Center’s national intelligence-driven engagement with industry has been highly effective at disrupting adversary activity targeting the Defense Industrial Base.  Similarly, CISA enables persistent, multi-directional threat information sharing with the private sector through the JCDC and, in coordination with the FBI, uses that information to accelerate victim notification and to reduce the impact of identified intrusions.  連邦政府と連邦政府以外のパートナーとの間で脅威の情報をタイムリーに共有することで、敵対者を混乱させ、解体するための協力的な取り組みが強化される。 オープンソースのサイバーセキュリティ情報と民間の情報プロバイダーによって、サイバー脅威に対する認識が大幅に向上したが、政府のみが収集できる国家情報は依然として非常に貴重である。 例えば、NSAサイバーセキュリティ・コラボレーション・センターの国家情報主導型の産業界との連携は、防衛産業基盤を標的とする敵対者の活動を妨害する上で非常に効果的であった。 同様に、CISA は JCDC を通じて民間企業との持続的かつ多方向の脅威情報共有を可能にし、FBI と連携してその情報を利用して被害者通知を迅速化し、特定した侵入の影響を軽減している。
The Federal Government will increase the speed and scale of cyber threat intelligence sharing to proactively warn cyber defenders and notify victims when the government has information that an organization is being actively targeted or may already be compromised.  SRMAs, in coordination with CISA, law enforcement agencies, and the CTIIC, will identify intelligence needs and priorities within their sector and develop processes to share warnings, technical indicators, threat context, and other relevant information with both government and non-government partners.  These processes must provide mechanisms for the private sector to provide timely feedback and their own threat intelligence to the Federal Government to improve targeting of cyber threats for disruption and further intelligence collection.  The Federal Government will also review declassification policies and processes to determine the conditions under which extending additional classified access and expanding clearances is necessary to provide actionable intelligence to owners and operators of critical infrastructure.  連邦政府は、組織が積極的に狙われている、または既に侵害されている可能性があるという情報を政府が得た場合、サイバー防御者に警告し、被害者に通知するために、サイバー脅威情報の共有のスピードと規模を向上させる。 SRMA は、CISA、法執行機関、および CTIIC と連携して、その部門における情報のニーズと優先順位を特定し、警告、技術的指標、脅威の状況、およびその他の関連情報を政府および非政府組織の両方のパートナーと共有するためのプロセスを開発することになる。 これらのプロセスは、民間部門がタイムリーなフィードバックと独自の脅威情報を連邦政府に提供し、サイバー脅威の破壊とさらなる情報収集のターゲットを改善するための仕組みを提供する必要がある。 連邦政府はまた、機密解除の方針とプロセスを見直し、重要インフラの所有者と運営者に実用的な情報を提供するために、追加の機密アクセス権とクリアランスを拡大することが必要な条件を判断することになる。
STRATEGIC OBJECTIVE 2.4: PREVENT ABUSE OF U.S.-BASED INFRASTRUCTURE  戦略目標2.4:米国拠点のインフラ悪用の防止 
Malicious cyber actors exploit U.S.-based cloud infrastructure, domain registrars, hosting and email providers, and other digital services to carry out criminal activity, malign influence operations, and espionage against individual victims, businesses, governments, and other organizations in the United States and abroad.  Often, these services are leased through foreign resellers who have multiple degrees of separation from their U.S.-based providers, hindering the ability of those providers to address abuse complaints or respond to legal process from U.S. authorities.  The Federal Government will work with cloud and other internet infrastructure providers to quickly identify malicious use of U.S.-based infrastructure, share reports of malicious use with the government, make it easier for victims to report abuse of these systems, and make it more difficult for malicious actors to gain access to these resources in the first place.  悪意のあるサイバー行為者は、米国を拠点とするクラウドインフラ、ドメイン登録業者、ホスティングおよび電子メールプロバイダー、その他のデジタルサービスを悪用して、米国内外の被害者個人、企業、政府、その他の組織に対して犯罪行為、悪意ある影響力の行使、スパイ活動を実施している。 多くの場合、これらのサービスは、米国を拠点とするプロバイダーから何段階も離れた海外の再販業者を通じてリースされているため、プロバイダーが不正利用の苦情に対処したり、米国当局からの法的手続きに対応したりする能力に支障をきたしている。 連邦政府は、クラウドおよびその他のインターネット・インフラ・プロバイダーと協力して、米国を拠点とするインフラの悪意ある利用を迅速に特定し、悪意ある利用の報告を政府と共有し、被害者がこれらのシステムの悪用を報告しやすくし、悪意ある行為者がそもそもこれらのリソースにアクセスすることをより困難にするよう努める。
All service providers must make reasonable attempts to secure the use of their infrastructure against abuse or other criminal behavior.  The Administration will prioritize adoption and enforcement of a risk-based approach to cybersecurity across Infrastructure-as-a-Service providers that addresses known methods and indicators of malicious activity including through implementation of EO 13984, “Taking Additional Steps to Address the National Emergency with Respect to Significant Malicious Cyber-Enabled Activities.”  Implementation of this order will make it more difficult for adversaries to abuse U.S.-based infrastructure while safeguarding individual privacy.  すべてのサービス・プロバイダーは、そのインフラの利用を悪用やその他の犯罪行為から保護するために合理的な試みをしなければならない。 行政は、EO 13984「重大な悪意のあるサイバー対応活動に関する国家緊急事態に対処するための追加措置」の実施などを通じて、悪意のある活動の既知の手法や指標に対処するInfrastructure-as-a-Serviceプロバイダー全体のサイバーセキュリティに対するリスクベースのアプローチの採用と実施を優先させるだろう。 この命令を実施することで、個人のプライバシーを保護しながら、敵対者が米国を拠点とするインフラを悪用することをより困難にすることができる。
STRATEGIC OBJECTIVE 2.5: COUNTER CYBERCRIME, DEFEAT RANSOMWARE  戦略目標2.5:サイバー犯罪への対抗とランサムウェアの撲滅 
Ransomware is a threat to national security, public safety, and economic prosperity.  Ransomware operators have disrupted hospitals, schools, pipeline operations, government services, and other critical infrastructure and essential services.  Operating from safe havens like Russia, Iran, and North Korea, ransomware actors exploit poor cybersecurity practices to take control of victim networks and rely on cryptocurrencies to receive extortion payments and launder their proceeds.  ランサムウェアは、国家の安全保障、公共の安全、および経済の繁栄に対する脅威である。 ランサムウェアの運営者は、病院、学校、パイプラインの運用、政府サービス、その他の重要なインフラや重要なサービスに支障をきたしている。 ロシア、イラン、北朝鮮などの安全な避難所から活動するランサムウェアの実行者は、サイバーセキュリティの不備を突いて被害者のネットワークを制御し、暗号通貨に依存して恐喝の支払いを受け、その収益を洗浄する。
Given ransomware’s impact on key critical infrastructure services, the United States will employ all elements of national power to counter the threat along four lines of effort: (1) leveraging international cooperation to disrupt the ransomware ecosystem and isolate those countries that provide safe havens for criminals; (2) investigating ransomware crimes and using law enforcement and other authorities to disrupt ransomware infrastructure and actors; (3) bolstering critical infrastructure resilience to withstand ransomware attacks; and (4) addressing the abuse of virtual currency to launder ransom payments.  ランサムウェアが重要なインフラサービスに影響を及ぼすことを踏まえ、米国はこの脅威に対抗するため、国力のあらゆる要素を用いて、次の4つの取り組みを行っていく。(1)国際協力を活用してランサムウェアのエコシステムを破壊し、犯罪者のセーフヘイブンを提供している国を孤立させる、(2)ランサムウェア犯罪を捜査し、法執行機関やその他の権限を活用してランサムウェアのインフラと行為者を破壊する、(3)ランサムウェア攻撃に耐える重要インフラの回復力を高める、(4)身代金支払いを洗浄する仮想通貨の不正使用に対処する、ということである。
As ransomware is a borderless challenge requiring international cooperation, the White House has convened the Counter-Ransomware Initiative (CRI) with participation from more than thirty countries.  The CRI has conducted global exercises to build resilience and, as of January 2023, launched an international counter ransomware task force, led by Australia, to share information regarding the actors and infrastructure conducting ransomware attacks that will support and further accelerate CRI member countries’ existing, often coordinated disruption efforts.  The CRI will also drive synchronization of policy and diplomatic efforts across its members.  ランサムウェアは国境を越えた問題であり、国際的な協力が必要であるため、ホワイトハウスは30カ国以上が参加するランサムウェア対策イニシアチブ(CRI)を開催している。 CRIは、レジリエンスを高めるためのグローバルな演習を実施し、2023年1月には、オーストラリアが主導する国際的なランサムウェア対策タスクフォースを立ち上げ、ランサムウェア攻撃を行う主体とインフラに関する情報を共有し、CRIメンバー国の既存の、しばしば連携した破壊活動を支援、さらに加速させることにしている。 CRIはまた、加盟国間の政策および外交努力の同期化を推進する。
The Administration is committed to mounting disruption campaigns and other efforts that are so sustained, coordinated, and targeted that they render ransomware no longer profitable.  The Joint Ransomware Task Force (JRTF), co-chaired by CISA and the Federal Bureau of Investigation (FBI), will coordinate, deconflict, and synchronize existing interagency efforts to disrupt ransomware operations and provide support to private sector and SLTT efforts to increase their protections against ransomware.  CRIは、ランサムウェアがもはや利益を生まないようにするために、持続的、協調的、かつ的を絞った破壊キャンペーンやその他の取り組みを実施することを約束する。 CISAと連邦捜査局(FBI)が共同議長を務めるランサムウェア合同対策チーム(JRTF)は、ランサムウェアの活動を妨害するための既存の省庁間の取り組みを調整、混乱、同期化し、ランサムウェアに対する保護を強化する民間部門とSLTTの取り組みに支援を提供する。
Our approach will also include targeting the illicit cryptocurrency exchanges on which ransomware operators rely and improving international implementation of standards for combatting virtual asset illicit finance.  The United States subjects financial institutions offering covered services in cryptocurrencies to Anti-Money Laundering and Countering the Financing of Terrorism (AML/CFT) controls, and the Department of the Treasury, the Secret Service, DOJ, the FBI, and private sector partners are collaborating to trace and interdict ransomware payments.  The CRI has gained the commitment of members to implement international AML/CFT standards, including know-your-customer (KYC) rules, to make it harder for ransomware actors to launder cryptocurrency proceeds from attacks.  Over the long term, the United States will support implementation of international AML/CFT standards globally to mitigate the use of cryptocurrencies for illicit activities that undermine our national interest as part of our efforts to implement EO 14067, “Ensuring Responsible Development of Digital Assets.”  また、ランサムウェアの運営者が依存する不正な暗号通貨取引所を標的とし、仮想資産の不正金融に対抗するための基準の国際的な実施を改善することも、我々のアプローチに含まれるだろう。 米国では、暗号通貨で対象サービスを提供する金融機関をマネーロンダリング防止およびテロ資金調達対策(AML/CFT)規制の対象としており、財務省、シークレットサービス、司法省、FBI、民間部門のパートナーが連携してランサムウェアによる支払いの追跡と阻止を進めている。 CRIは、ランサムウェアの実行者が攻撃から得た暗号通貨の収益を洗浄することを困難にするために、顧客に関する知識(KYC)ルールを含む国際的なAML/CFT基準を実施するようメンバーのコミットメントを獲得してきた。 長期的には、米国は大統領令 14067 「デジタルアセットの責任ある開発の確保」を実施する取り組みの一環として、国益を損なう不正行為への暗号通貨の使用を軽減するために、国際的なAML/CFT基準の実施をグローバルに支援していく。
Ultimately, the most effective way to undermine the motivation of these criminal groups is to reduce the potential for profit.  For this reason, the Administration strongly discourages the payment of ransoms.  At the same time, victims of ransomware – whether or not they choose to pay a ransom - should report the incident to law enforcement and other appropriate agencies.  These reports enhance the Federal Government’s ability to provide victim support, to prevent further use of cryptocurrencies to evade AML/CFT controls, and to reduce the likelihood that future ransomware attacks will be successful. 最終的に、これらの犯罪集団の動機を弱める最も効果的な方法は、利益を得る可能性を減らすことである。 このため、行政は身代金を支払わないことを強く推奨している。 同時に、ランサムウェアの被害者は、身代金の支払いを選択するかどうかにかかわらず、法執行機関やその他の適切な機関に事件を報告する必要がある。 これらの報告により、連邦政府は被害者支援を提供する能力を高め、AML/CFT規制を回避するための暗号通貨のさらなる使用を防止し、将来のランサムウェア攻撃が成功する可能性を低減させることができる。
PILLAR THREE | SHAPE MARKET FORCES TO DRIVE SECURITY AND RESILIENCE  柱 3|セキュリティとレジリエンスを推進するための市場の力の形成 
To build the secure and resilient future we want, we must shape market forces to place responsibility on those within our digital ecosystem that are best positioned to reduce risk.  We will shift the consequences of poor cybersecurity away from the most vulnerable, making our digital ecosystem more worthy of trust.  In this effort, we will not replace or diminish the role of the market, but channel market forces productively toward keeping our country resilient and secure.  Our goal is a modern digital economy that promotes practices that enhance the security and resilience of our digital ecosystem while preserving innovation and competition.  我々が望む安全でレジリエンスに優れた未来を築くためには、デジタル・エコシステムの中でリスクを低減するために最も適した立場にある人々に責任を負わせるよう、市場の力を形成する必要がある。 我々は、サイバーセキュリティの不備がもたらす結果を最も脆弱な人々から遠ざけ、デジタルエコシステムがより信頼に値するものになるようにする。 この取り組みにおいて、我々は市場の役割に取って代わることも減らすこともしませんが、市場の力を我が国のレジリエンスと安全性の維持に向け、生産的に働かせていく。 我々の目標は、イノベーションと競争を維持しながら、デジタルエコシステムのセキュリティとレジリエンスを強化する手法を推進する近代的なデジタル経済である。
Continued disruptions of critical infrastructure and thefts of personal data make clear that market forces alone have not been enough to drive broad adoption of best practices in cybersecurity and resilience.  In too many cases, organizations that choose not to invest in cybersecurity negatively and unfairly impact those that do, often disproportionately impacting small businesses and our most vulnerable communities.  While market forces remain the first, best route to agile and effective innovation, they have not adequately mobilized industry to prioritize our core economic and national security interests.  重要インフラの破壊や個人情報の盗難が続いていることから、サイバーセキュリティとレジリエンスのベストプラクティスを広く普及させるには、市場の力だけでは十分でないことが明らかになった。 サイバーセキュリティに投資しないことを選択した組織が、投資している組織に悪影響を与え、不公平になるケースがあまりにも多く、中小企業や最も脆弱なコミュニティに不釣り合いな影響を与えることも少なくない。 市場原理は、機敏で効果的なイノベーションを実現するための最初で最善の方法であることに変わりはないが、経済と国家安全保障の中核的利益を優先させるために産業を十分に動員しているとは言えない。
To address these challenges, the Administration will shape the long-term security and resilience of the digital ecosystem, against both today’s threats and tomorrow’s challenges.  We must hold the stewards of our data accountable for the protection of personal data; drive the development of more secure connected devices; and reshape laws that govern liability for data losses and harm caused by cybersecurity errors, software vulnerabilities, and other risks created by software and digital technologies.  We will use Federal purchasing power and grant-making to incentivize security.  And we will explore how the government can stabilize insurance markets against catastrophic risk to drive better cybersecurity practices and to provide market certainty when catastrophic events do occur.  これらの課題に対処するため、政権は、今日の脅威と明日の課題の両方に対して、デジタル・エコシステムの長期的なセキュリティとレジリエンスを形成していく。 我々は、データの管理者に個人情報保護の責任を負わせ、より安全な接続機器の開発を促進し、サイバーセキュリティのエラーやソフトウェアの脆弱性、ソフトウェアやデジタル技術によって生じるその他のリスクによるデータ損失や損害に対する責任を規定する法律を再構築しなければならない。 我々は、連邦政府の購買力と助成金制度を利用して、セキュリティを奨励する。 また、より優れたサイバーセキュリティの実践を促進し、壊滅的な事象が発生した場合に市場の確実性を高めるために、政府が壊滅的なリスクに対する保険市場を安定化させる方法を検討する。
STRATEGIC OBJECTIVE 3.1: HOLD THE STEWARDS OF OUR DATA ACCOUNTABLE 戦略目標3.1:データの管理者に説明責任を持たせる 
Securing personal data is a foundational aspect to protecting consumer privacy in a digital future.  Data-driven technologies have transformed our economy and offer convenience for consumers.  But the dramatic proliferation of personal information expands the threat environment and increases the impact of data breaches on consumers.  When organizations that have data on individuals fail to act as responsible stewards for this data, they externalize the costs onto everyday Americans.  Often, the greatest harm falls upon the vulnerable populations for whom risks to their personal data can produce disproportionate harms.  個人データの保護は、デジタルの未来において消費者のプライバシーを保護するための基礎となる側面である。 データ駆動型テクノロジーは、経済を変革し、消費者に利便性を提供してきた。 しかし、個人情報の激増は、脅威の環境を拡大し、データ侵害が消費者に与える影響を増大させる。 個人に関するデータを保有する組織が、このデータの責任ある管理者として行動できない場合、そのコストは一般消費者に外部に漏れることになる。 多くの場合、最大の被害は、個人データへのリスクが不均衡な被害をもたらす可能性のある社会的弱者に降りかかる。
The Administration supports legislative efforts to impose robust, clear limits on the ability to collect, use, transfer, and maintain personal data and provide strong protections for sensitive data like geolocation and health information.  This legislation should also set national requirements to secure personal data consistent with standards and guidelines developed by NIST.  By providing privacy requirements that evolve with threats, the United States can pave the way for a more secure future.   行政は、個人データの収集、利用、移転、維持に強固で明確な制限を課し、地理位置情報や健康情報などの機密データに強力な保護を提供する立法措置を支持する。 また、この法律は、NISTが開発した標準とガイドラインに一致する個人データを保護するための国家要件を設定する必要がある。 脅威に応じて進化するプライバシー要件を提供することで、米国はより安全な未来への道を開くことができる。 
STRATEGIC OBJECTIVE 3.2: DRIVE THE DEVELOPMENT OF SECURE IOT DEVICES  戦略目標3.2:安全なIoTデバイスの開発の促進 
Internet of Things (IoT) devices, including both consumer goods like fitness trackers and baby monitors, as well as industrial control systems and sensors, introduce new sources of connectivity in our homes and businesses.  However, many of the IoT devices deployed today are not sufficiently protected against cybersecurity threats.  Too often they have been deployed with inadequate default settings, can be difficult or impossible to patch or upgrade, or come equipped with advanced—and sometimes unnecessary—capabilities that enable malicious cyber activities on critical physical and digital systems.  Recent IoT vulnerabilities have shown just how easily bad actors can exploit these devices to construct botnets and conduct surveillance.  フィットネストラッカーやベビーモニターなどの消費財や、産業用制御システム、センサーなどのIoT機器は、家庭やビジネスに新しいコネクティビティの源を導入している。 しかし、今日展開されているIoT機器の多くは、サイバーセキュリティの脅威から十分に保護されていない。 不適切な初期設定のまま導入されたり、パッチやアップグレードが困難または不可能であったり、重要な物理システムやデジタルシステムに対する悪意のあるサイバー活動を可能にする高度な、時には不必要な機能を備えていることが非常に多くなっている。 最近のIoTの脆弱性により、悪意ある行為者がいかに簡単にこれらの機器を悪用してボットネットを構築し、監視を行うことができるかが明らかになっている。
The Administration will continue to improve IoT cybersecurity through Federal research and development (R&D), procurement, and risk management efforts, as directed in the IoT Cybersecurity Improvement Act of 2020.  In addition, the Administration will continue to advance the development of IoT security labeling programs, as directed under EO 14028, “Improving the Nation’s Cybersecurity.”  Through the expansion of IoT security labels, consumers will be able to compare the cybersecurity protections offered by different IoT products, thus creating a market incentive for greater security across the entire IoT ecosystem.  政権は、2020年IoTサイバーセキュリティ改善法の指示に従い、連邦政府の研究開発(R&D)、調達、リスクマネジメントの取り組みを通じて、IoTサイバーセキュリティを引き続き改善する。 また、大統領令 14028 「国家のサイバーセキュリティの改善」の指示に従い、政権はIoTセキュリティ・ラベリング・プログラムの開発を引き続き推進する予定である。 IoTセキュリティラベルの拡大を通じて、消費者はさまざまなIoT製品が提供するサイバーセキュリティ保護を比較できるようになり、IoTエコシステム全体でセキュリティを強化するための市場インセンティブが生まれる。
STRATEGIC OBJECTIVE 3.3: SHIFT LIABILITY FOR INSECURE SOFTWARE PRODUCTS AND SERVICES  戦略目標 3.3: 安全でないソフトウェア製品とサービスに対する責任の転換 
Markets impose inadequate costs on—and often reward—those entities that introduce vulnerable products or services into our digital ecosystem.  Too many vendors ignore best practices for secure development, ship products with insecure default configurations or known vulnerabilities, and integrate third-party software of unvetted or unknown provenance.  Software makers are able to leverage their market position to fully disclaim liability by contract, further reducing their incentive to follow secure-by-design principles or perform pre-release testing.  Poor software security greatly increases systemic risk across the digital ecosystem and leave American citizens bearing the ultimate cost.  市場は、デジタル・エコシステムに脆弱な製品やサービスを導入する主体に対して不適切なコストを課しており、多くの場合、それに見合う報酬を得ている。 多くのベンダーが、安全な開発のためのベストプラクティスを無視し、安全でないデフォルト設定や既知の脆弱性を持つ製品を出荷し、検証されていない、または出所が不明なサードパーティソフトウェアを統合している。 ソフトウェアメーカーは、市場での地位を利用して契約による責任を完全に放棄することができるため、セキュアバイデザインの原則に従ったり、リリース前のテストを実施したりするインセンティブがさらに低下している。 ソフトウェア・セキュリティの不備は、デジタル・エコシステム全体のシステミック・リスクを大幅に増大させ、最終的なコストは米国市民が負担することになる。
We must begin to shift liability onto those entities that fail to take reasonable precautions to secure their software while recognizing that even the most advanced software security programs cannot prevent all vulnerabilities.  Companies that make software must have the freedom to innovate, but they must also be held liable when they fail to live up to the duty of care they owe consumers, businesses, or critical infrastructure providers.  Responsibility must be placed on the stakeholders most capable of taking action to prevent bad outcomes, not on the end-users that often bear the consequences of insecure software nor on the open-source developer of a component that is integrated into a commercial product.  Doing so will drive the market to produce safer products and services while preserving innovation and the ability of startups and other small- and medium-sized businesses to compete against market leaders.  我々は、最も高度なソフトウェアセキュリティプログラムでもすべての脆弱性を防ぐことはできないことを認識しつつ、ソフトウェアを保護するための合理的な予防措置を講じなかった事業者に責任を負わせることを開始しなければならない。 ソフトウェアを製造する企業には技術革新の自由がなければならないが、消費者、企業、重要インフラ提供者に負うべき注意義務を果たせなかった場合には、責任を負わなければならないことも確かである。 責任は、安全でないソフトウェアの結果をしばしば負担するエンドユーザーや、商用製品に統合されるコンポーネントのオープンソース開発者ではなく、悪い結果を防ぐために行動を起こすことが最も可能な利害関係者に負わせる必要がある。 そうすることで、より安全な製品やサービスを生み出す市場を促進する一方、イノベーションと、新興企業やその他の中小企業が市場のリーダーと競争する能力を維持することができる。
The Administration will work with Congress and the private sector to develop legislation establishing liability for software products and services.  Any such legislation should prevent manufacturers and software publishers with market power from fully disclaiming liability by contract, and establish higher standards of care for software in specific high-risk scenarios.  To begin to shape standards of care for secure software development, the Administration will drive the development of an adaptable safe harbor framework to shield from liability companies that securely develop and maintain their software products and services.  This safe harbor will draw from current best practices for secure software development, such as the NIST Secure Software Development Framework.  It also must evolve over time, incorporating new tools for secure software development, software transparency, and vulnerability discovery.  政権は、議会や民間部門と協力して、ソフトウェア製品とサービスの責任を確立する法律を策定する。 そのような法律は、市場支配力のあるメーカーやソフトウェア出版社が契約によって責任を完全に放棄することを防ぎ、特定の高リスクのシナリオにおけるソフトウェアのためのより高いケア基準を確立する必要がある。 安全なソフトウェア開発のためのケア基準を策定し始めるために、行政は、ソフトウェア製品とサービスを安全に開発・維持する企業を責任から保護する、適応可能なセーフハーバーの枠組みの開発を推進する予定である。 このセーフハーバーは、NISTの「セキュアソフトウェア開発フレームワーク」 など、安全なソフトウェア開発のための現在のベストプラクティスを参考にする予定である。 また、安全なソフトウェア開発、ソフトウェアの透明性、脆弱性の発見のための新しいツールを取り入れ、時とともに進化させなければならない。
To further incentivize the adoption of secure software development practices, the Administration will encourage coordinated vulnerability disclosure across all technology types and sectors; promote the further development of SBOMs; and develop a process for identifying and mitigating the risk presented by unsupported software that is widely used or supports critical infrastructure.  In partnership with the private sector and the open-source software community, the Federal Government will also continue to invest in the development of secure software, including memorysafe languages and software development techniques, frameworks, and testing tools.  安全なソフトウェア開発手法の採用をさらに奨励するため、行政は、すべての技術タイプおよびセクターにわたる協調的な脆弱性開示を奨励し、SBOM のさらなる開発を促進し、広く使用されているか重要インフラを支えているサポートされていないソフトウェアが示すリスクを特定および軽減するプロセスを開発する予定である。 また、民間企業やオープンソースソフトウェアコミュニティと連携して、連邦政府は、メモリセーフ言語やソフトウェア開発技術、フレームワーク、テストツールなど、安全なソフトウェアの開発への投資を継続する。
STRATEGIC OBJECTIVE 3.4: USE FEDERAL GRANTS AND OTHER INCENTIVES TO BUILD IN SECURITY  戦略目標 3.4: 連邦政府の補助金やその他のインセンティブを利用したセキュリティの構築 
Federal grant programs offer strategic opportunities to make investments in critical infrastructure that are designed, developed, fielded, and maintained with cybersecurity and all-hazards resilience in mind.  Through programs funded by the Bipartisan Infrastructure Law, the Inflation Reduction Act, and the CHIPS and Science Act, the United States is making once-in-a-generation investments in our infrastructure and the digital ecosystem that supports it.  This Administration is committed to making investments in a manner that increases our collective systemic resilience.  連邦政府の助成金制度は、サイバーセキュリティとオールハザードのレジリエンスを念頭に置いて設計、開発、実戦、保守された重要インフラへの投資を行う戦略的機会を提供する。 超党派インフラ法、インフレ抑制法、CHIPS および科学法から資金提供を受けたプログラムを通じて、米国はインフラとそれを支えるデジタル・エコシステムに一世一代の投資を行っている。 本政権は、我々の集合的なシステムのレジリエンスを高めるような形で投資を行うことを確約している。
The Federal Government will collaborate with SLTT entities, the private sector, and other partners to balance cybersecurity requirements for applicants with technical assistance and other forms of support.  Together, we can drive investment in critical products and services that are secure- and resilient-by-design, and sustain and incentivize security and resilience throughout the lifecycle of critical infrastructure.  The Federal Government will also prioritize funding for cybersecurity research, development, and demonstration (RD&D) programs aimed at strengthening critical infrastructure cybersecurity and resilience.  And, the Administration will work with Congress to develop other incentive mechanisms to drive better cybersecurity practices at scale.  連邦政府は、SLTT、民間企業、その他のパートナーと協力し、申請者に対するサイバーセキュリティの要件と技術支援やその他の形態の支援のバランスを取っていく予定である。 我々は、設計段階から安全とレジリエンスを確保した重要な製品とサービスへの投資を促進し、重要インフラのライフサイクル全体を通じてセキュリティとレジリエンスを維持し、奨励することができる。 連邦政府は、重要インフラのサイバーセキュリティとレジリエンスの強化を目的としたサイバーセキュリティ研究・開発・実証(RD&D)プログラムへの資金提供も優先させる予定である。 さらに、政府は議会と協力して、より優れたサイバーセキュリティの実践を大規模に推進するための他のインセンティブメカニズムを開発する。
STRATEGIC OBJECTIVE 3.5: LEVERAGE FEDERAL PROCUREMENT TO IMPROVE ACCOUNTABILITY  戦略目標 3.5: 連邦調達の活用によるアカウンタビリティの向上 
Contracting requirements for vendors that sell to the Federal Government have been an effective tool for improving cybersecurity.  EO 14028, “Improving the Nation’s Cybersecurity,” expands upon this approach, ensuring that contract requirements for cybersecurity are strengthened and standardized across Federal agencies.  Continuing to pilot new concepts for setting, enforcing, and testing cybersecurity requirements through procurement can lead to novel and scalable approaches.  連邦政府への販売を行うベンダーに対する契約要件は、サイバーセキュリティを改善するための効果的な手段となっている。 大統領令 14028「国家のサイバーセキュリティの改善」は、このアプローチを発展させ、サイバーセキュリティに関する契約要件が強化され、連邦政府機関全体で標準化されることを保証している。 調達を通じてサイバーセキュリティ要件を設定、実施、テストするための新しいコンセプトの試行を継続することで、斬新であるケーラブルなアプローチにつながる可能性がある。
When companies make contractual commitments to follow cybersecurity best practices to the Federal Government, they must live up to them.  The Civil Cyber-Fraud Initiative (CCFI) uses DOJ authorities under the False Claims Act to pursue civil actions against government grantees and contractors who fail to meet cybersecurity obligations.  The CCFI will hold accountable entities or individuals that put U.S. information or systems at risk by knowingly providing deficient cybersecurity products or services, knowingly misrepresenting their cybersecurity practices or protocols, or knowingly violating obligations to monitor and report cyber incidents and breaches.  企業が連邦政府に対してサイバーセキュリティのベストプラクティスに従うと契約上の約束をした場合、企業はその約束に従わなければならない。 市民サイバー不正イニシアティブ (Civil Cyber-Fraud Initiative; CCFI) は、偽請求法に基づく司法省の権限を利用して、サイバーセキュリティの義務を果たさない政府の助成金および請負業者に対して民事訴訟を起こする。 CCFI は、欠陥のあるサイバーセキュリティ製品やサービスを故意に提供したり、サイバーセキュリティの実践やプロトコルを故意に不当表示したり、サイバー事件や侵害を監視・報告する義務に故意に違反することによって、米国の情報やシステムを危険にさらす事業者や個人に責任を負わせるものである。
STRATEGIC OBJECTIVE 3.6: EXPLORE A FEDERAL CYBER INSURANCE BACKSTOP  戦略目標 3.6: 連邦政府によるサイバー保険のバックアップの検討 
When catastrophic incidents occur, it is a government responsibility to stabilize the economy and provide certainty in uncertain times.  In the event of a catastrophic cyber incident, the Federal Government could be called upon to stabilize the economy and aid recovery.  Structuring that response before a catastrophic event occurs—rather than rushing to develop an aid package after the fact—could provide certainty to markets and make the nation more resilient.  The Administration will assess the need for and possible structures of a Federal insurance response to catastrophic cyber events that would support the existing cyber insurance market.  In developing this assessment, the Administration will seek input from, and consult with, Congress, state regulators, and industry stakeholders. 大惨事が発生した場合、経済を安定させ、不確実な時代に確実性を提供することは政府の責任である。 壊滅的なサイバー事件が発生した場合、連邦政府は経済を安定化させ、回復を支援するよう求められる可能性がある。 壊滅的な事件が発生してから慌てて支援策を練るのではなく、事件が発生する前にその対応を構築しておけば、市場に確実性をもたらし、国家をより強固にすることができる。 政府は既存のサイバー保険市場を支援する、壊滅的なサイバー事象に対する連邦保険対応の必要性と可能な構造を評価する予定である。 この評価を行うにあたり、行政は議会、州の規制当局、業界の利害関係者からの意見を求め、協議を行う。
PILLAR FOUR | INVEST IN A RESILIENT FUTURE  柱4:レジリエンスな未来への投資 
A resilient and flourishing digital future tomorrow begins with investments made today.  We can build a more secure, resilient, privacy-preserving, and equitable digital ecosystem through strategic investments and coordinated, collaborative action.  In doing so, the United States will maintain its leading role as the world’s foremost innovator in secure and resilient next-generation technologies and infrastructure.  レジリエンスと繁栄をもたらすデジタルの未来は、今日の投資によって始まる。 我々は、戦略的投資と協調的・協力的行動を通じて、より安全でレジリエンスに優れ、プライバシーを保護し、公平なデジタル・エコシステムを構築することができる。 そうすることで、米国は安全でレジリエンスの高い次世代技術とインフラにおいて、世界有数のイノベーターとしての役割を維持することができる。
Foundational elements of our digital ecosystem, like the Internet, are products of sustained and mutually-supporting investments by both public and private sector entities.  However, public and private investments in cybersecurity have long trailed the threats and challenges we face.  As we build a new generation of digital infrastructure, from next-generation telecommunications and IoT to distributed energy resources, and prepare for revolutionary changes in our technology landscape brought by artificial intelligence and quantum computing, the need to address this investment gap has grown more urgent.  インターネットのようなデジタル・エコシステムの基礎的要素は、官民両セクターによる持続的かつ相互支援的な投資の産物である。 しかし、サイバーセキュリティに対する官民の投資は、我々が直面する脅威や課題に対して長い間追いついていないのが現状である。 次世代通信やIoTから分散型エネルギー資源まで、新世代のデジタルインフラを構築し、人工知能や量子コンピュータがもたらす技術環境の革命的変化に備える中で、この投資ギャップに対処する必要性はより一層高まっている。
The Federal Government must leverage strategic public investments in innovation, R&D, and education to drive outcomes that are economically sustainable and serve the national interest.  We will leverage the National Science Foundation’s (NSF) Regional Innovation Engines program, longstanding Secure and Trustworthy Cyberspace program; new grant programs and funding opportunities established in the Bipartisan Infrastructure Law, Inflation Reduction Act, and CHIPS and Science Act; Manufacturing Institutes; and other elements of the Federal research and development enterprise.  連邦政府は、イノベーション、研究開発、教育への戦略的な公共投資を活用し、経済的に持続可能で国益に資する成果を推進しなければならない。 我々は、全米科学財団(NSF)の地域イノベーションエンジン・プログラム、長年にわたる安全で信頼できるサイバースペース・プログラム、超党派インフラ法、インフレ削減法、CHIPSおよび科学法で確立された新しい助成プログラムおよび資金調達機会、製造研究所、および連邦研究開発企業の他の要素を活用する。
These investments will assure continued U.S. leadership in technology and innovation as part of a modern industrial and innovation strategy.  Decades of adversaries and malicious actors weaponizing our technology and innovation against us—to steal our intellectual property, interfere in or influence our electoral process, and undercut our national defenses—has demonstrated that leadership in innovation without security is not enough.  We will complement our efforts to outinnovate other countries with focused, coordinated action to optimize critical and emerging technologies for cybersecurity as they are developed and deployed.  We will ensure that resilience is not a discretionary element of new technical capabilities but a commercially viable element of the innovation and deployment process.  これらの投資は、近代的な産業およびイノベーション戦略の一環として、技術とイノベーションにおける米国の継続的なリーダーシップを保証するものである。 数十年にわたり、敵対勢力や悪意ある行為者が米国のテクノロジーとイノベーションを武器に、知的財産の窃盗、選挙プロセスへの干渉や影響、国防の弱体化を行ってきたことから、イノベーションにおけるリーダーシップは安全保障なしでは十分でないことが実証された。 我々は、他国を凌駕する革新的な取り組みを、重要かつ新たな技術を開発・展開する際に、サイバーセキュリティに最適化するための集中的かつ協調的な行動で補完していく。 我々は、レジリエンスが新しい技術的能力の裁量的要素ではなく、技術革新と配備のプロセスにおいて商業的に実行可能な要素であることを保証する。
STRATEGIC OBJECTIVE 4.1: SECURE THE TECHNICAL FOUNDATION OF THE INTERNET  戦略目標 4.1: インターネットの技術的基盤の確保 
The Internet is critical to our future but retains the fundamental structure of its past.  Many of the technical foundations of the digital ecosystem are inherently vulnerable.  Every time we build something new on top of this foundation, we add new vulnerabilities and increase our collective risk exposure.  We must take steps to mitigate the most urgent of these pervasive concerns such as Border Gateway Protocol vulnerabilities, unencrypted Domain Name System requests, and the slow adoption of IPv6.  Such a “clean-up” effort to reduce systemic risk requires identification of the most pressing of these security challenges, further development of effective security measures, and close collaboration between public and private sectors to reduce our risk exposure without disrupting the platforms and services built atop this infrastructure.  The Federal Government will lead by ensuring that its networks have implemented these and other security measures while partnering with stakeholders to develop and drive adoption of solutions that will improve the security of the Internet ecosystem and support research to understand and address reasons for slow adoption.  インターネットは我々の未来にとって不可欠なものであるが、過去の基本的な構造を保持している。 デジタル・エコシステムの技術的基盤の多くは、本質的に脆弱である。 この基盤の上に新しいものを構築するたびに、新たな脆弱性が追加され、我々の集団的なリスクエクスポージャーが増加する。 我々は、Border Gateway Protocol の脆弱性、暗号化されていない Domain Name System のリクエスト、IPv6 の採用の遅れなど、蔓延する懸念のうち最も緊急性の高いものを緩和するための措置を講じなければならない。 システミックリスクを軽減するためのこのような「クリーンアップ」作業には、これらのセキュリティ課題のうち最も緊急性の高いものを特定し、効果的なセキュリティ対策をさらに開発し、このインフラの上に構築されたプラットフォームやサービスを中断させることなくリスクへのエクスポージャーを減らすために官民が緊密に連携することが必要である。 連邦政府は、自国のネットワークがこれらのセキュリティ対策やその他のセキュリティ対策を確実に実施することによって主導権を握るとともに、利害関係者と連携してインターネットのエコシステムのセキュリティを向上させるソリューションの開発と採用を推進し、採用が進まない理由を理解し対処するための研究を支援する。
Preserving and extending the open, free, global, interoperable, reliable, and secure Internet requires sustained engagement in standards development processes to instill our values and ensure that technical standards produce technologies that are more secure and resilient.  As autocratic regimes seek to change the Internet and its multistakeholder foundation to enable government control, censorship, and surveillance, the United States and its foreign and private sector partners will implement a multi-pronged strategy to preserve technical excellence, protect our security, drive economic competitiveness, promote digital trade, and ensure that the “rules of the road” for technology standards favor principles of transparency, openness, consensus, relevance, and coherence.  By supporting non-governmental Standards Developing Organizations (SDOs), the United States will partner with industry leaders, international allies, academic institutions, professional societies, consumer groups, and nonprofits, to secure emerging technologies, enable interoperability, foster global market competition, and protect our national security and economic advantage.  オープン、フリー、グローバル、相互運用性、信頼性、安全性の高いインターネットを維持、拡張するには、標準開発プロセスに持続的に関与し、当社の価値観を浸透させ、技術標準がより安全で弾力性のある技術を生み出すことを保証する必要がある。 独裁政権がインターネットとそのマルチステークホルダー基盤を変更し、政府の統制、検閲、監視を可能にしようとする中、米国とその海外および民間部門のパートナーは、技術的卓越性を維持し、安全を守り、経済競争力を推進し、デジタル取引を促進し、技術標準の「道路の規則」が透明性、開放性、合意、関連性、一貫性の原則に賛成するように多角的戦略を実施する予定である。 非政府の標準化団体(SDOs)を支援することにより、米国は業界リーダー、国際的な同盟国、学術機関、専門学会、消費者団体、非営利団体と提携し、新興技術の安全確保、相互運用性の実現、国際市場競争の促進、国家安全保障と経済の優位性の保護に努める。
STRATEGIC OBJECTIVE 4.2: REINVIGORATE FEDERAL RESEARCH AND DEVELOPMENT FOR CYBERSECURITY  戦略目標 4.2: サイバーセキュリティのための連邦政府研究開発の活性化 
Through Federal efforts to prioritize research and development in defensible and resilient architectures and reduce vulnerabilities in underlying technologies, we can ensure that the technologies of tomorrow are more secure than those of today.   防衛的でレジリエンスに優れたアーキテクチャの研究開発を優先し、基盤技術の脆弱性を低減する連邦政府の取り組みを通じて、我々は明日の技術を今日よりも確実に安全なものにすることができる。 
As part of the update to the Federal Cybersecurity Research and Development Strategic Plan, the Federal Government will identify, prioritize, and catalyze the research, development, and demonstration (RD&D) community to proactively prevent and mitigate cybersecurity risks in existing and next generation technologies.  Departments and agencies will direct RD&D projects to advance cybersecurity and resilience in areas such as artificial intelligence, operational technologies and industrial control systems, cloud infrastructure, telecommunications, encryption, system transparency, and data analytics used in critical infrastructure.  These efforts will be supported by the Federal RD&D enterprise, including the NSF, DOE National Laboratories, and other Federally funded research and development centers (FFRDCs), and through partnerships with academia, manufacturers, technology companies, and owners and operators.  連邦サイバーセキュリティ研究開発戦略計画の更新の一環として、連邦政府は、既存および次世代の技術におけるサイバーセキュリティのリスクを積極的に防止・軽減するための研究・開発・実証(RD&D)コミュニティを特定し、優先順位を付け、活性化させる予定である。 各省庁は、人工知能、運用技術、産業用制御システム、クラウドインフラ、通信、暗号化、システム透過性、重要インフラで使用されるデータ分析などの分野で、サイバーセキュリティとレジリエンスを推進するRD&Dプロジェクトを指示する。 これらの取り組みは、NSF、DOE 国立研究所、その他の連邦政府出資の研究開発センター(FFRDC)を含む連邦 RD&D 企業、および学界、メーカー、テクノロジー企業、所有者および運営者とのパートナーシップによって支援されることになる。
These RD&D investments will focus on securing three families of technologies that will prove decisive for U.S. leadership in the coming decade: computing-related technologies, including microelectronics, quantum information systems, and artificial intelligence; biotechnologies and biomanufacturing; and clean energy technologies.  This effort will facilitate the proactive identification of potential vulnerabilities, as well as the research to mitigate them.  It will also support a larger modern industrial and innovation strategy to promote coordinated and strategic innovation and create markets for trustworthy products and services by comprehensively leveraging Federal investment vehicles, Federal purchasing power, and Federal regulations.  これらの RD&D 投資は、今後 10 年間の米国のリーダーシップにとって決定的となる、マイクロエレクトロニクス、量子情報システム、人工知能を含むコンピューティング関連技術、バイオテクノロジーとバイオ製造、クリーンエネルギー技術の 3 系統の確保に重点を置くことになる。 この取り組みは、潜在的な脆弱性を事前に特定し、それを軽減するための研究を促進するものである。 また、連邦政府の投資手段、連邦政府の購買力、連邦政府の規制を総合的に活用することにより、協調的かつ戦略的なイノベーションを促進し、信頼できる製品・サービスの市場を創出する、より大きな現代産業・イノベーション戦略を支援するものである。
STRATEGIC OBJECTIVE 4.3: PREPARE FOR OUR POST-QUANTUM FUTURE  戦略目標 4.3: 量子時代後の未来への備え 
Strong encryption is foundational to cybersecurity and global commerce.  It is the primary way we protect our data online, validate end users, authenticate signatures, and certify the accuracy of information.  But quantum computing has the potential to break some of the most ubiquitous encryption standards deployed today.  We must prioritize and accelerate investments in widespread replacement of hardware, software, and services that can be easily compromised by quantum computers so that information is protected against future attacks.  強力な暗号化は、サイバーセキュリティとグローバルな商取引の基礎となる。 暗号化は、オンラインでのデータ保護、エンドユーザーの認証、署名の認証、情報の正確性の証明のための主要な手段である。 しかし、量子コンピュータは、現在最も普及している暗号化標準のいくつかを破る可能性がある。 将来の攻撃から情報を保護するために、量子コンピュータによって容易に侵害される可能性のあるハードウェア、ソフトウェア、サービスを広く交換するための投資を優先し、加速させる必要がある。
To balance the promotion and advancement of quantum computing against threats posed to digital systems, NSM 10, “Promoting United States Leadership in Quantum Computing While Mitigating Risks to Vulnerable Cryptographic Systems,” establishes a process for the timely transition of the country’s cryptographic systems to interoperable quantum-resistant cryptography.  The Federal Government will prioritize the transition of vulnerable public networks and systems to quantumresistant cryptography-based environments and develop complementary mitigation strategies to provide cryptographic agility in the face of unknown future risks.  The private sector should follow the government’s model in preparing its own networks and systems for our post-quantum future.  NSM 10「量子コンピューティングにおける米国のリーダーシップの推進と脆弱な暗号システムに対するリスクの軽減」は、量子コンピューティングの推進とデジタルシステムにもたらされる脅威のバランスを取るために、国内の暗号システムを相互運用可能な量子耐性暗号に適時に移行するプロセスを確立するものである。 連邦政府は、脆弱な公共ネットワークやシステムを量子耐性暗号ベースの環境へ優先的に移行し、将来の未知のリスクに直面した際に暗号の俊敏性を提供するための補完的な緩和策を開発することとしている。 民間企業は、政府のモデルに倣って、量子化後の未来に向けた我々のネットワークやシステムの準備を進めるべきである。
STRATEGIC OBJECTIVE 4.4: SECURE OUR CLEAN ENERGY FUTURE  戦略目標 4.4: クリーンエネルギーの未来の確保 
Our accelerating national transition to a clean energy future is bringing online a new generation of interconnected hardware and software systems that have the potential to strengthen the resiliency, safety, and efficiency of the U.S. electric grid.  These technologies, including distributed energy resources, “smart” energy generation and storage devices, advanced cloud-based grid management platforms, and transmission and distribution networks designed for high-capacity controllable loads are far more sophisticated, automated, and digitally interconnected than prior generations of grid systems.  クリーンエネルギーの未来への国家的移行が加速する中、米国の電力網のレジリエンス、安全性、効率性を強化する可能性を持つ、相互接続された新世代のハードウェアとソフトウェアシステムがオンライン化されている。 分散型エネルギー資源、「スマート」なエネルギー生成・貯蔵装置、高度なクラウドベースのグリッド管理プラットフォーム、大容量の制御可能な負荷用に設計された送配電網などのこれらの技術は、前世代のグリッドシステムよりもはるかに高度で自動化され、デジタル的に相互接続されている。
As the United States makes a generational investment in new energy infrastructure, the Administration will seize this strategic opportunity to build in cybersecurity proactively through implementation of the Congressionally-directed National Cyber-Informed Engineering Strategy, rather than developing a patchwork of security controls after these connected devices are widely deployed.  The Administration is coordinating the work of stakeholders across the Federal Government, industry, and SLTT to deploy a secure, interoperable network of electric vehicle chargers, zero-emission fueling infrastructure, and zero-emission transit and school buses.  DOE, through efforts such as the Clean Energy Cybersecurity Accelerator (CECA) and the Bipartisan Infrastructure Law-directed Energy Cyber Sense program, and the National Labs are leading the government’s effort to secure the clean energy grid of the future and generating security best practices that extend to other critical infrastructure sectors.  DOE will also continue to promote cybersecurity for electric distribution and distributed energy resources in partnership with industry, States, Federal regulators, Congress, and other agencies.  米国が新しいエネルギー・インフラに世代を超えた投資を行うにあたり、行政は本戦略的機会を捉え、これらの接続機器が広く展開された後にセキュリティ管理のパッチワークを開発するのではなく、議会が指示する国家サイバー情報工学戦略の実施を通じてサイバーセキュリティを積極的に構築していく予定である。 政権は、電気自動車充電器、ゼロエミッション給油インフラ、ゼロエミッション輸送バス・スクールバスの安全で相互運用可能なネットワークを展開するために、連邦政府、産業界、SLTTの関係者の作業を調整している。 DOE は、クリーンエネルギーサイバーセキュリティアクセラレータ(CECA)や超党派インフラ法直轄のエネルギーサイバーセンスプログラムなどの取り組みを通じて、国立研究所は、将来のクリーンエネルギーグリッドを保護する政府の取り組みを主導し、他の重要インフラ部門に拡大するセキュリティベストプラクティスを生成している。 また DOE は、産業界、州、連邦規制当局、議会、および他の機関と連携して、配電および分散型 エネルギー資源のサイバーセキュリティを引き続き推進する。
STRATEGIC OBJECTIVE 4.5: SUPPORT DEVELOPMENT OF A DIGITAL IDENTITY ECOSYSTEM  戦略目標 4.5: デジタル ID エコシステムの開発支援 
Enhanced digital identity solutions and infrastructure can enable a more innovative, equitable, safe and efficient digital economy.  These solutions can support easier and more secure access to government benefits and services, trusted communication and social networks, and new possibilities for digital contracts and payment systems.  強化されたデジタル ID ソリューションおよびインフラは、より革新的で公平、安全かつ効率的なデジタル 経済を可能にする。 これらのソリューションは、政府の給付やサービスへの容易かつ安全なアクセス、信頼できるコミュニ ケーションやソーシャル・ネットワーク、デジタル契約や支払システムの新しい可能性をサポート することができる。
Today, the lack of secure, privacy-preserving, consent-based digital identity solutions allows fraud to flourish, perpetuates exclusion and inequity, and adds inefficiency to our financial activities and daily life.  Identity theft is on the rise, with data breaches impacting nearly 300 million victims in 2021 and malicious actors fraudulently obtaining billions of dollars in COVID-19 pandemic relief funds intended for small businesses and individuals in need.  This malicious activity affects us all, creating significant losses for businesses and producing harmful impacts on public benefit programs and those Americans who use them.  Operating independently, neither the private nor public sectors have been able to solve this problem.  今日、安全でプライバシーを保護し、同意に基づくデジタル ID ソリューションがないため、詐欺が横行し、排除と不公平が永続し、金融活動や日常生活に非効率性が付加されている。 個人情報漏洩は増加傾向にあり、2021年には約3億人の被害者に影響を与え、悪意のある行為者は、困っている中小企業や個人を対象としたCOVID-19パンデミック救済資金を数十億ドル不正に取得している。 このような悪質な行為は我々全員に影響を与え、企業に大きな損失を与え、公的な給付プログラムやそれを利用するアメリカ人に有害な影響を及ぼする。 民間部門も公的部門も、単独ではこの問題を解決することができなかった。
The Federal Government will encourage and enable investments in strong, verifiable digital identity solutions that promote security, accessibility and interoperability, financial and social inclusion, consumer privacy, and economic growth.  Building on the NIST-led digital identity research program authorized in the CHIPS and Science Act, these efforts will include strengthening the security of digital credentials; providing attribute and credential validation services; conducting foundational research; updating standards, guidelines, and governance processes to support consistent use and interoperability; and develop digital identity platforms that promote transparency and measurement.  Acknowledging that States are piloting mobile drivers’ licenses, we note and encourage a focus on privacy, security, civil liberties, equity, accessibility, and interoperability.  連邦政府は、セキュリティ、アクセシビリティ、相互運用性、金融・社会的包摂、消費者プライバシー、経済成長を促進する強力で検証可能なデジタル ID ソリューションへの投資を奨励し、可能にする。 CHIPSと科学法で認可された NIST 主導のデジタル ID 研究プログラムを基礎に、取り組みをすすめる。これらの取り組みには、デジタル・クレデンシャルのセキュリティ強化、属性およびクレデンシャル検証サービスの提供、基礎研究の実施、一貫した使用と相互運用性をサポートする標準、ガイドライン、統治プロセスの更新、透明性と測定を促進するデジタル ID プラットフォームの開発などが含まれる。 各州がモバイル運転免許証を試験的に導入していることを認め、プライバシー、セキュリティ、 市民的自由、公平性、アクセシビリティ、および相互運用性に重点を置いていることを指摘し、 奨励する。
In developing these capabilities, our digital identity policies and technologies will protect and enhance individual privacy, civil rights, and civil liberties; guard against unintended consequences, bias, and potential abuse; enable vendor choice and voluntary use by individuals; increase security and interoperability; promote inclusivity and accessibility; and improve transparency and accountability in the use of technology and individuals’ data.  これらの機能の開発において、当社のデジタル ID 政策および技術は、個人のプライバシー、 市民権、および市民的自由を保護および強化し、予期せぬ結果、バイアス、および潜在的乱用を防 ぎ、業者の選択および個人による自発的使用を可能にし、セキュリティおよび相互運用性を高め、包 摂性およびアクセシビリティを促進し、技術および個人のデータの使用における透明性および説明 責任を向上させるものである。
STRATEGIC OBJECTIVE 4.6: DEVELOP A NATIONAL STRATEGY TO STRENGTHEN OUR CYBER WORKFORCE  戦略目標4.6: サイバー人材強化のための国家戦略の策定 
Today, there are hundreds of thousands of unfilled vacancies in cybersecurity positions nationwide, and this gap is growing.  Both private sector and public sector employers face challenges in recruiting, hiring, and retaining professionals to fill these vacancies, which negatively impacts our collective cybersecurity.  To address this challenge, ONCD will lead the development and oversee implementation of a National Cyber Workforce and Education Strategy.  現在、全国でサイバーセキュリティの欠員が何十万人分もあり、このギャップは拡大しつつある。 民間部門と公共部門の雇用主は、これらの欠員を埋める専門家の募集、雇用、定着に課題を抱えており、これは我々全体のサイバーセキュリティにマイナスの影響を及ぼす。 この問題に対処するため、ONCDは、国家サイバー人材・教育戦略の策定と実施を監督することを主導する。
This strategy will take a comprehensive and coordinated approach to expanding the national cyber workforce, improving its diversity, and increasing access to cyber educational and training pathways.  It will address the need for cybersecurity expertise across all sectors of the economy, with a special focus on critical infrastructure, and will enable the American workforce to continue to innovate in secure and resilient next-generation technologies.  The strategy will strengthen and diversify the Federal cyber workforce, addressing the unique challenges the public sector faces in recruiting, retaining, and developing the talent and capacity needed to protect Federal data and IT infrastructure.  And, the strategy will recognize that cyber workforce challenges are not unique to the United States, expanding upon and drawing inspiration from efforts underway in other countries.  この戦略は、国家のサイバー人材を拡大し、その多様性を改善し、サイバー教育と訓練の道へのアクセスを増加させるための包括的かつ協調的なアプローチを取ることになる。 この戦略は、重要インフラに特に重点を置きながら、経済のあらゆる部門におけるサイバーセキュリティの専門知識の必要性に対処し、米国の労働力が安全で回復力のある次世代技術において革新を続けることができるようにする。 この戦略は、連邦政府のデータとITインフラを保護するために必要な人材と能力を採用、保持、開発する上で公共部門が直面する特有の課題に対処し、連邦政府のサイバー人材を強化、多様化するものである。 また、この戦略は、サイバー人材に関する課題が米国に特有のものではないことを認識し、他の国で行われている取り組みを拡大し、そこからインスピレーションを得る。
The strategy will build on existing efforts to develop our national cybersecurity workforce including the National Initiative for Cybersecurity Education (NICE), the CyberCorps: Scholarship for Service program, the National Centers of Academic Excellence in Cybersecurity program, the Cybersecurity Education Training and Assistance Program, and the registered apprenticeships program.  The strategy will also leverage ongoing workforce development programs at NSF and other science agencies to augment Federal Government programs.  この戦略は、サイバーセキュリティ教育のための国家イニシアチブ(NICE)、サイバーコープス(CyberCorps)、奉仕のための奨学金プログラムなど、国家のサイバーセキュリティ人材を育成する既存の取り組みに基づいて構築される。サイバーセキュリティ教育のための国家イニシアチブ(NICE)、奉仕のための奨学金プログラム、国家のサイバーセキュリティ人材を育成するプログラム、サイバーセキュリティ教育、訓練、支援プログラム、登録見習いプログラムなどである。 また、この戦略では、NSF や他の科学機関が現在行っている人材育成プログラムを活用し、連邦政府のプログラムを補強する予定である。
It will tackle head on the lack of diversity in the cyber workforce.  Employers are hiring from too small a pool of talent and from professional networks that and are not able to draw from the full diversity of the country.  Women, people of color, first-generation professionals and immigrants, individuals with disabilities, and LGBTQI+ individuals are among the communities which are underrepresented in the field.  Addressing systemic inequities and overcoming barriers that inhibit diversity in the cyber workforce is both a moral necessity and a strategic imperative.  この戦略では、サイバー人材に多様性がないことを正面から取り上げる。 雇用主は、あまりにも少ない人材や専門家のネットワークから雇用しているため、国内の多様性を十分に引き出すことができていない。 女性、有色人種、専門職一世、移民、障害者、LGBTQI+など、この分野で十分な存在感を示せていないコミュニティがある。 システム上の不公平に対処し、サイバー人材における多様性を阻害する障壁を克服することは、道徳的に必要であると同時に戦略上不可欠なことである。
To recruit and train the next generation of cybersecurity professionals to secure our digital ecosystem will require Federal leadership and enduring partnership between public and private sectors.  Building and maintaining a strong cyber workforce cannot be achieved unless a cybersecurity career is within reach for any capable American who wishes to pursue it and every organization with an unfilled position plays a part in training the next generation of cybersecurity talent. デジタル・エコシステムを保護する次世代のサイバーセキュリティ専門家を採用し、育成するためには、連邦政府のリーダーシップと官民の永続的な連携が必要である。 サイバーセキュリティのキャリアを追求しようとする有能なアメリカ人なら誰でも手が届き、未就職の職を持つすべての組織が次世代のサイバーセキュリティ人材の育成に一役買わない限り、強力なサイバー人材の構築と維持は達成されない。
PILLAR FIVE | FORGE INTERNATIONAL PARTNERSHIPS TO PURSUE SHARED GOALS  第 5 の柱:共通の目標を追求するために国際的なパートナーシップの構築
The United States seeks a world where responsible state behavior in cyberspace is expected and rewarded and where irresponsible behavior is isolating and costly.  To achieve this goal, we will continue to engage with countries working in opposition to our larger agenda on common problems while we build a broad coalition of nations working to maintain an open, free, global, interoperable, reliable, and secure Internet.  米国は、サイバースペースにおける国家の責任ある行動が期待され、報われ、無責任な行動は孤立し、コストがかかるような世界を求めている。 この目標を達成するために、我々は、共通の問題に関して我々の大きなアジェンダに反対している国々との関与を続ける一方、オープンで自由、グローバル、相互運用性、信頼性、安全性の高いインターネットを維持するために活動している国々の幅広い連合を構築していく予定である。
For decades, we have worked through international institutions to define and advance responsible state behavior in cyberspace.  We have used multilateral processes such as the United Nations (UN) Group of Governmental Experts and Open-Ended Working Group to develop a framework that includes a set of peacetime norms and confidence-building measures, which all UN member states have affirmed in the UN General Assembly.  We have supported the expansion of the Budapest Convention on Cybercrime and other global efforts to make cyberspace more secure.  We will continue these efforts while recognizing the need to work with partners to thwart the dark vision for the future of the Internet that the PRC and other autocratic governments promote.  We will do so by demonstrating to economies and societies the value of openness and jointly imposing consequences for behavior that runs counter to agreed norms of state behavior.  数十年にわたり、我々は国際機関を通じて、サイバースペースにおける責任ある国家の行動を定義し、促進するために活動してきた。 我々は、国連(UN)政府専門家会合やオープン・エンド・ワーキング・グループなどの多国間プロセスを用いて、一連の平時の規範と信頼醸成措置を含む枠組みを開発し、すべての国連加盟国が国連総会でこれを承認してきた。 我々は、サイバー犯罪に関するブダペスト条約の拡大や、サイバースペースをより安全にするためのその他の世界的な努力を支持してきた。 我々は、中国や他の独裁的な政府が推進するインターネットの将来に対する暗いビジョンを阻止するためにパートナーと協力する必要性を認識しながら、これらの努力を継続する。 我々は、経済や社会に開放性の価値を示し、合意された国家行動の規範に反する行動に対して共同で結果を課すことによって、これを実現するつもりである。
To counter common threats, preserve and reinforce global Internet freedom, protect against transnational digital repression, and build toward a shared digital ecosystem that is more inherently resilient and defensible, the United States will work to scale the emerging model of collaboration by national cybersecurity stakeholders to cooperate with the international community.  We will expand coalitions, collaboratively disrupt transnational criminals and other malicious cyber actors, build the capacity of our international allies and partners, reinforce the applicability of existing international law to state behavior in cyberspace, uphold globally accepted and voluntary norms of responsible state behavior in peacetime, and punish those that engage in disruptive, destructive, or destabilizing malicious cyber activity.  共通の脅威に対抗し、グローバルなインターネットの自由を維持・強化し、国境を越えたデジタル抑圧から守り、より本質的にレジリエンスと防御力に優れた共有デジタルエコシステムを構築するために、米国は各国のサイバーセキュリティ関係者が国際社会と協力するという新しいモデルを拡大するよう努力する。 我々は、連携を拡大し、多国籍犯罪者やその他の悪質なサイバー・アクターを協調して破壊し、国際的な同盟国やパートナーの能力を高め、サイバー空間における国家の行動に対する既存の国際法の適用性を強化し、平時における責任ある国家の行動について世界的に受け入れられ自発的規範を支持し、破壊的、破壊的、不安定な悪質サイバー活動に従事するものを罰することになるであろう。
STRATEGIC OBJECTIVE 5.1: BUILD COALITIONS TO COUNTER THREATS TO OUR DIGITAL ECOSYSTEM  戦略目標5.1:デジタル・エコシステムへの脅威に対抗するための連合を構築する 
In April 2022, the United States and 60 countries launched the Declaration for the Future of the Internet (DFI), bringing together a broad, diverse coalition of partners—the largest of its kind— around a common, democratic vision for an open, free, global, interoperable, reliable, and secure digital future.  Through the DFI, the Freedom Online Coalition, and other partnerships and mechanisms, the United States is rallying like-minded countries, the international business community, and other stakeholders to advance our vision for the future of the Internet that promotes secure and trusted data flows, respects privacy, promotes human rights, and enables progress on broader challenges.  2022年4月、米国と60カ国は「インターネットの未来のための宣言(DFI)」を発表し、オープンで自由、グローバル、相互運用性、信頼性、安全性の高いデジタルな未来のための共通の民主的ビジョンを中心に、この種のものとしては最大の広範で多様なパートナー連合を結集させた。 DFI や Freedom Online Coalition、その他のパートナーシップやメカニズムを通じて、米国は志を同じくする国や国際ビジネス界、その他の利害関係者を結集し、安全で信頼できるデータの流れを促進し、プライバシーを尊重し、人権を推進し、より大きな課題に対する進展を可能にするインターネットの未来についての我々のビジョンを推進している。
Through mechanisms like the Quadrilateral Security Dialogue (“the Quad”) between the United States, India, Japan, and Australia, the United States and its international allies and partners are advancing these shared goals for cyberspace.  These include improving information sharing between computer emergency response teams and the development of a digital ecosystem based on shared values.  The Indo-Pacific Economic Framework for Prosperity (IPEF) and the Americas Partnership for Economic Prosperity (APEP) create opportunities for the United States and regional governments to collaborate in setting rules of the road for the digital economy, including facilitating the development of technical standards, mechanisms to enable cross-border data flows that protect privacy while avoiding strict data localization requirements, and actions to foster supply chain security and resilience.  Through the U.S.-EU Trade and Technology Council (TTC), we are coordinating across the Atlantic to combat shared threats and demonstrate how market approaches to digital trade, technology, and innovation can improve the lives of our citizens and be a force for greater prosperity.  The United States is also working closely with Australia and the United Kingdom through the trilateral security and technology pact (“AUKUS”) to secure critical technologies, improve cyber coordination, and share advanced capabilities.  米国、インド、日本、オーストラリア間の四極安全保障対話(「四極」)のようなメカニズムを通じて、米国とその国際的な同盟国やパートナーは、サイバースペースに関するこれらの共有目標を推進している。 これには、コンピュータ緊急対応チーム間の情報共有の改善や、共通の価値観に基づくデジタルエコシステムの開発などが含まれる。 インド太平洋経済繁栄枠組(IPEF)および米州経済繁栄パートナーシップ(APEP)は、米国と地域政府がデジタル経済のためのルールを設定するために協力する機会を創出する。この中には、技術基準の開発を促進し、厳しいデータのローカライズ要件を回避しながらプライバシーを保護する国境を越えたデータの流れを可能にするメカニズムや、サプライチェーンのセキュリティとレジリエンスを促進するための行動などが含まれる。 米欧通商技術委員会(TTC)を通じて、我々は大西洋を横断して、共有された脅威と戦い、デジタル貿易、技術、革新に対する市場アプローチがいかに市民生活を向上させ、より大きな繁栄の力となり得るかを実証するために協調している。 米国はまた、オーストラリアおよび英国とも、三国間安全保障技術協定(AUKUS)を通じて緊密に協力し、重要技術の保護、サイバー連携の改善、高度な能力の共有に取り組んでいる。
Through these and other partnerships, the United States and international counterparts can advance common cybersecurity interests by sharing cyber threat information, exchanging model cybersecurity practices, comparing sector-specific expertise, driving secure-by-design principles, and coordinating policy and incident response activities.  Furthermore, multistakeholder partnerships and coalitions that also include private sector and civil society organizations, such as the Christchurch Call to Action to Eliminate Terrorist and Violent Extremist Content Online, the Freedom Online Coalition, and the Global Partnership for Action on Gender-Based Online Harassment and Abuse, are crucial to tackling systemic issues.  We will leverage these partnerships to enable effective operational collaboration to defend our shared digital ecosystem.  We will also support and help build, as needed, new and innovative partnerships—as in the case of the international Counter-Ransomware Initiative—that bring together unique collections of stakeholders to address new and emerging cybersecurity challenges.  このようなパートナーシップやその他のパートナーシップを通じて、米国と海外のカウンターパートは、サイバー脅威情報の共有、サイバーセキュリティのモデル事例の交換、セクター固有の専門知識の比較、セキュア・バイ・デザイン原則の推進、政策と事故対応活動の調整によって、サイバーセキュリティに関する共通の利益を向上させることができる。 さらに、「テロリストおよび暴力的過激派コンテンツのオンライン撲滅のためのクライストチャーチ行動要請」、「フリーダムオンライン連合」、「ジェンダーに基づくオンラインハラスメントと虐待に関する行動のためのグローバルパートナーシップ」などの民間セクターや市民社会組織も含むマルチステークホルダーパートナーシップと連合は、制度的問題に対処する上で極めて重要である。 我々は、これらのパートナーシップを活用し、我々が共有するデジタル・エコシステムを守るための効果的な運用協力を可能にする。 また、国際的な「ランサムウェア対策イニシアティブ」のように、サイバーセキュリティの新たな課題に取り組むために関係者が一堂に会する、新しく革新的なパートナーシップを支援し、必要に応じてその構築を支援する予定である。
Because most malicious cyber activity targeting the United States is carried out by actors based in foreign countries or using foreign computing infrastructure, we must strengthen the mechanisms we have to collaborate with our allies and partners so that no adversary can evade the rule of law.  The United States will work with its allies and partners to develop new collaborative law enforcement mechanisms for the digital age.  For example, the European Cybercrime Centre has played a vital role in modernizing legal frameworks, training law enforcement, improving attribution, collaborating with private sector partners, and responding to malicious cyber activities in Europe.  To extend this model, we will support efforts to build effective hubs with partners in other regions.  米国を標的とする悪質なサイバー活動のほとんどは、外国に拠点を置く、あるいは外国のコンピューティング・インフラを使用する行為者によって行われているため、いかなる敵も法の支配から逃れることができないように、同盟国やパートナーと協力するためのメカニズムを強化しなければならない。 米国は同盟国やパートナーと協力して、デジタル時代に対応した新しい共同法執行メカニズムを開発する。 例えば、欧州サイバー犯罪センターは、欧州における法的枠組みの近代化、法執行機関の訓練、帰属の改善、民間部門パートナーとの協力、悪質なサイバー活動への対応において重要な役割を担ってきた。 このモデルを拡大するため、他の地域のパートナーとの効果的なハブを構築する取り組みを支援する。
STRATEGIC OBJECTIVE 5.2: STRENGTHEN INTERNATIONAL PARTNER CAPACITY  戦略目標5.2:国際的なパートナーの能力の強化 
As we build a coalition to advance shared cybersecurity priorities and promote a common vision for the digital ecosystem, the United States will strengthen the capacity of like-minded states across the globe to support these goals.  We must enable our allies and partners to secure critical infrastructure networks, build effective incident detection and response capabilities, share cyber threat information, pursue diplomatic collaboration, build law enforcement capacity and effectiveness through operational collaboration, and support our shared interests in cyberspace by adhering to international law and reinforcing norms of responsible state behavior.  サイバーセキュリティに関する共通の優先事項を推進し、デジタル・エコシステムに関する共通のビジョンを促進するための連合を構築するにあたり、米国はこれらの目標を支援するために、世界中の同じ考えを持つ国家の能力を強化する。 我々は、同盟国やパートナーが重要インフラ・ネットワークを保護し、効果的なインシデント検知・対応能力を構築し、サイバー脅威情報を共有し、外交協力を進め、作戦協力を通じて法執行能力と効果を高め、国際法を遵守し責任ある国家行動規範を強化することによってサイバースペースにおける共通の利益をサポートできるようにしなければならない。
To accomplish this goal, the United States will marshal expertise across agencies, the public and private sectors, and among advanced regional partners to pursue coordinated and effective international cyber capacity-building and operational collaboration efforts.  Within the law enforcement community, DOJ will continue to build a more robust cybercrime cooperation paradigm through bilateral and multilateral engagement and agreements, formal and informal cooperation, and providing international and regional leadership to strengthen cybercrime laws, policies, and operations.  DoD will continue to strengthen its military-to-military relationships to leverage allies’ and partners’ unique skills and perspectives while building their capacity to contribute to our collective cybersecurity posture.  The Department of State will continue to coordinate wholeof-government efforts to ensure Federal capacity building priorities are strategically aligned and further U.S., allied, and partner interests.  この目標を達成するために、米国は省庁、官民、そして先進的な地域パートナー間の専門知識を結集し、協調的かつ効果的な国際的サイバー能力構築と作戦協力の努力を追求することになる。 法執行機関においては、司法省は二国間および多国間の関与と協定、公式・非公式な協力、サイバー犯罪の法律・政策・運用を強化するための国際的・地域的リーダーシップの提供を通じて、より強固なサイバー犯罪協力のパラダイムを構築し続ける。 国防総省は、同盟国やパートナーのユニークなスキルや視点を活用し、サイバーセキュリティ体制に貢献する能力を高めるため、軍対軍の関係を引き続き強化する。 国務省は、連邦政府の能力構築の優先事項が戦略的に整合し、米国、同盟国、およびパートナーの利益を促進するよう、政府全体の努力を引き続き調整する。
STRATEGIC OBJECTIVE 5.3: EXPAND U.S. ABILITY TO ASSIST ALLIES AND PARTNERS  戦略目標 5.3: 同盟国やパートナーを支援する米国の能力の拡大
As recent cyberattacks against Costa Rica, Albania, and Montenegro have demonstrated, allies and partners who fall victim to a significant cyberattack may seek support from the United States and allied and partner nations to investigate, responding to, and recover from such incidents.  Providing this support will not only assist with partner recovery and response, but will also advance U.S. foreign policy and cybersecurity goals.  Close cooperation with an affected ally or partner demonstrates solidarity in the face of adversary activity and can accelerate efforts to expose counternormative state behavior and impose consequences.  コスタリカ、アルバニア、モンテネグロに対する最近のサイバー攻撃が示すように、重大なサイバー攻撃の被害を受けた同盟国やパートナーは、そのような事件の調査、対応、回復のために米国や同盟国・パートナー国からの支援を求めることができる。 このような支援を提供することは、パートナーの復旧と対応を支援するだけでなく、米国の外交政策とサイバーセキュリティの目標を推進することにもなる。 被害を受けた同盟国やパートナーとの緊密な協力は、敵対的な活動に直面した際の連帯感を示し、規範に反する国家の行動を暴露して結果を課す努力を加速させることができる。
The Administration will establish policies for determining when it is in the national interest to provide such support, develop mechanisms for identifying and deploying department and agency resources in such efforts, and, where needed, rapidly seek to remove existing financial and procedural barriers to provide such operational support.  As one example, the United States is leading a North Atlantic Treaty Organization (NATO) effort to build a virtual cyber incident support capability that enables Allies to more effectively and efficiently support each other in response to significant malicious cyber activities.  政権は、このような支援を提供することが国益にかなう場合を判断するための政策を確立し、このような取り組みにおいて省庁の資源を特定し展開するための仕組みを構築し、必要な場合には、このような作戦支援を行うための既存の財政的・手続き的障壁を迅速に取り除くよう努力する。 その一例として、米国は北大西洋条約機構(NATO)の取り組みを主導し、重大な悪意あるサイバー活動に対応するため、同盟国がより効果的かつ効率的に相互支援できる仮想サイバー事件支援能力を構築している。
STRATEGIC OBJECTIVE 5.4: BUILD COALITIONS TO REINFORCE GLOBAL NORMS OF RESPONSIBLE STATE BEHAVIOR   戦略目標5.4: 責任ある国家行動の世界的規範を強化するための連合体構築  
Every member of the United Nations has made a political commitment to endorse peacetime norms of responsible state behavior in cyberspace that includes refraining from cyber operations that would intentionally damage critical infrastructure contrary to their obligations under international law.  While our adversaries know that such commitments are not self-enforcing, the growing influence of this framework has led states to call out those who act contrary to it.  Increasingly, a community of nations has collaborated to produce coordinated statements of attribution that carry the simultaneous diplomatic condemnation of many governments and strengthening the coalition committed to a stable cyberspace.  国連のすべての加盟国は、国際法の義務に反して重要インフラに故意に損害を与えるようなサイバー作戦を行わないことを含め、サイバースペースにおける責任ある国家の平時の行動規範を支持することを政治的に約束している。 敵対勢力は、このようなコミットメントが自己強制力を持たないことを知っているが、この枠組みの影響力が高まるにつれて、それに反する行動を取る者を国家が呼ぶようになった。 このような声明は、多くの政府から同時に外交的非難を受け、安定したサイバースペースにコミットする連合を強化するものである。
The United States, as a core part of its renewed, active diplomacy, will hold irresponsible states accountable when they fail to uphold their commitments.  To effectively constrain our adversaries and counter malicious activities below the threshold of armed conflict, we will work with our allies and partners to pair statements of condemnation with the imposition of meaningful consequences.  These efforts will require collaborative use of all tools of statecraft, including diplomatic isolation, economic costs, counter-cyber and law enforcement operations, or legal sanctions, among others.  米国は、新たな積極的外交の中核として、無責任な国家が約束を守らない場合には、その責任を追及する。 敵対国を効果的に拘束し、武力紛争の閾値以下の悪意ある活動に対抗するために、我々は同盟国やパートナーと協力し、非難の声明と意味のある結果を課すことを両立させる。 このような取り組みには、外交的孤立、経済的コスト、サイバー対策や法執行活動、あるいは法的制裁など、あらゆる国家運営の手段を共同で使用することが必要である。
STRATEGIC OBJECTIVE 5.5: SECURE GLOBAL SUPPLY CHAINS FOR INFORMATION, COMMUNICATIONS, AND OPERATIONAL TECHNOLOGY PRODUCTS AND SERVICES  戦略目標5.5: 情報・通信・運用技術製品およびサービスのためのグローバル・サプライ・チェーンの安全確保 
Complex and globally interconnected supply chains produce the information, communications, and operational technology products and services that power the U.S. economy.  From raw materials and basic components to finished products and services—both virtual and physical—we depend upon a growing network of foreign suppliers.  This dependency on critical foreign products and services from untrusted suppliers introduces multiple sources of systemic risk to our digital ecosystem.  Mitigating this risk will require long-term, strategic collaboration between public and private sectors at home and abroad to rebalance global supply chains and make them more transparent, secure, resilient, and trustworthy.  複雑でグローバルに相互接続されたサプライチェーンは、米国経済を支える情報通信・運用技術製品およびサービスを生み出す。 原材料や基本部品から完成品やサービスに至るまで、バーチャルなものから物理的なものまで、我々は海外のサプライヤーのネットワークに依存するようになっている。 信頼できないサプライヤーからの重要な外国製品やサービスへの依存は、デジタル・エコシステムに複数のシステミック・リスクをもたらすことになる。 このリスクを軽減するためには、国内外の官民が長期的かつ戦略的に協力して、グローバルなサプライチェーンのバランスを調整し、透明性、安全性、レジリエンス、信頼性を高めることが必要である。
Critical inputs, components, and systems must increasingly be developed at home or in close coordination with allies and partners who share our vision of an open, free, global, interoperable, reliable, and secure Internet.  Building on the National Strategy to Secure 5G, we are working with our partners to develop secure, reliable, and trustworthy supply chains for 5G and next-generation wireless networks including through Open Radio Access Networks (Open RAN) and collaborative initiatives to diversify suppliers.  Such efforts include DoD testing of Open RAN implementations across multiple bases, with multi-million dollar smart warehouse and logistics projects, and National Telecommunications and Information Administration’s (NTIA) work to catalyze the development and adoption of open, interoperable, and standards-based networks through the Public Wireless Supply Chain Innovation Fund.  Extending this model to other critical technologies will require long-term, strategic collaboration between public and private sectors at home and abroad to rebalance global supply chains and make them more secure, resilient, and trustworthy.  The Bipartisan Infrastructure Law mandates “Build America, Buy America” for Federally-funded projects, including for digital infrastructure. Through EO 14017, “America’s Supply Chains,” the CHIPS and Science Act, and the Inflation Reduction Act, the Federal Government has introduced new industrial and innovation strategy tools to help restore production of critical goods to the United States and its close partners while securing our information technology and advanced manufacturing supply chains.  重要なインプット、コンポーネント、システムは、ますます自国で、あるいはオープンで自由、グローバル、相互運用可能、信頼性が高く、安全なインターネットというビジョンを共有する同盟国やパートナーと緊密に連携して開発されなければならない。 5Gを安全にする国家戦略に基づいて、我々はパートナーと協力して、オープン無線アクセスネットワーク(Open RAN)やサプライヤーを多様化する共同イニシアチブなどを通じて、5Gや次世代無線ネットワーク向けに安全で信頼できる、信用のおけるサプライチェーンを開発している。 このような取り組みには、複数の基地にまたがるオープン RAN 実装の DoD テスト、数百万ドルのスマート倉庫および物流プロジェクト、および公共無線サプライチェーン革新基金を通じてオープンで相互運用可能な標準ベースのネットワークの開発と採用を促進する米国電気通信情報局(NTIA)の取り組みが含まれる。 このモデルを他の重要技術にも拡大するには、国内外の官民が長期的かつ戦略的に協力し、グローバルなサプライチェーンを再構築して、より安全でレジリエンスに富み、信頼性の高いものにすることが必要である。 超党派インフラ法は、デジタル・インフラを含む連邦政府が資金を提供するプロジェクトについて、「Build America, Buy America」を義務付けている。大統領令 14017「米国のサプライチェーン」、CHIPS および科学法、インフレ抑制法を通じて、連邦政府は新しい産業・イノベーション戦略ツールを導入し、情報技術と先進製造業のサプライチェーンを確保しながら、米国とその密接なパートナーに重要物資の生産を回復させるのに貢献している。
The United States will work with our allies and partners, including through regional partnerships like IPEF, the Quad Critical and Emerging Technology Working Group, and the TTC, to identify and implement best practices in cross-border supply chain risk management and work to shift supply chains to flow through partner countries and trusted vendors.  This effort will prioritize opportunities to provide higher levels of assurance that digital technologies will function as expected and to attract countries to support the shared vision of an open, free, global, interoperable, reliable, and secure Internet.  The Department of State will further accelerate these efforts through the new International Technology Security and Innovation Fund to support the creation of secure and diverse supply chains for semiconductors and telecommunications.  Finally, through implementation of EO 13873, “Securing the Information and Communications Technology and Services Supply Chain,” as well as EO 14034 “Protecting Americans’ Sensitive Data From Foreign Adversaries,” we will work to prevent unacceptable and undue risks to our national security from information and communications technology and services subject to control or influence from adversarial governments. 米国は、IPEF、クワッド重要新興技術ワーキンググループ、TTCなどの地域パートナーシップを含め、同盟国やパートナーと協力して、国境を越えたサプライチェーンのリスクマネジメントにおけるベストプラクティスを特定・実施し、サプライチェーンをパートナー国や信頼できるベンダーを通じて流れるように移行するための作業を行う。 この取り組みは、デジタル技術が期待通りに機能することをより高いレベルで保証する機会を提供し、オープンで自由、グローバル、相互運用可能、信頼性が高く、安全なインターネットという共通のビジョンを支援する国々を惹きつけることに優先させるものである。 国務省は、半導体と電気通信のための安全で多様なサプライチェーンの構築を支援する新しい国際技術安全保障・イノベーション基金を通じて、こうした取り組みをさらに加速させる。 最後に、大統領令13873「情報通信技術・サービスのサプライチェーンの確保」および大統領令14034「米国人の機密データを外国の敵対者から保護する」の実施を通じて、敵対政府による管理または影響を受ける情報通信技術・サービスによる国家安全保障への容認できない過度のリスクを防止することに努める。
IMPLEMENTATION  導入 
Realizing the strategic objectives outlined in this strategy will require a strong focus on implementation.  Under the oversight of NSC staff and in coordination with OMB, ONCD will coordinate implementation of this strategy.  ONCD will work with interagency partners to develop and publish an implementation plan to set out the Federal lines of effort necessary to implement this strategy.  Where implementation of this strategy requires review of existing policy or the development of new policy, NSC staff will lead this effort through the process described in NSM-2, “Renewing the National Security Council System.”    本戦略で説明された戦略目標を実現するには、実施に強い焦点を当てる必要がある。 NSCスタッフの監督の下、OMBと連携して、ONCDは本戦略の実施を調整する。 ONCDは省庁間のパートナーと協力して、本戦略を実施するために必要な連邦政府の努力系統を示す実施計画を策定し、公表する。 本戦略の実施に際して、既存の政策の見直しや新たな政策の策定が必要な場合、NSCスタッフは、NSM-2「国家安全保障会議システムの刷新」に記載されているプロセスを通じて、この取り組みを主導する。  
ASSESSING EFFECTIVENESS  有効性の評価 
In implementing this strategy, the Federal Government will take a data-driven approach.  We will measure investments made, our progress toward implementation, and ultimate outcomes and effectiveness of these efforts.  ONCD, in coordination with NSC staff, OMB, and departments and agencies, will assess the effectiveness of this strategy and report annually to the President, the Assistant to the President for National Security Affairs, and Congress on the effectiveness of this strategy, associated policy, and follow-on actions in achieving its goals.  本戦略を実施するにあたり、連邦政府はデータ主導のアプローチをとる。 我々は、行った投資、実施に向けた進捗状況、そして最終的な成果やこれらの取り組みの効果を測定する。 ONCDは、NSCスタッフ、OMB、各省庁と協力して、本戦略の効果を評価し、本戦略、関連政策、目標達成のための事後措置の効果について、毎年大統領、国家安全保障問題担当大統領補佐官、連邦議会に報告する。
INCORPORATING LESSONS LEARNED  得られた教訓を取り入れ
The Federal Government will prioritize capturing lessons learned from cyber incidents and apply those lessons in the implementation of this strategy.  The CSRB completed its first review on the Log4j vulnerability in summer 2022, during which the CSRB compiled an authoritative account of what happened, from the discovery of the vulnerability to the progression of the largest-scale cyber incident response in history.  The CSRB also provided industry, Federal agencies, and the software development community with clear, actionable recommendations based on what the review discovered, so that the community can be better protected going forward.  連邦政府は、サイバーインシデントから得られた教訓を優先的に取り込み、本戦略の実施に適用する。 CSRBは、2022年夏にLog4jの脆弱性に関する最初のレビューを完了し、その中で、脆弱性の発見から史上最大規模のサイバーインシデント対応の進行に至るまで、何が起こったのかについて権威ある説明をまとめました。 CSRBはまた、産業界、連邦政府機関、ソフトウェア開発コミュニティに対し、レビューで発見された内容に基づく明確で実行可能な推奨事項を提供し、コミュニティが今後より良く保護されるようにした。
When the CSRB concludes its reviews, the Federal Government will address its recommendations by improving its own operations through executive action where possible, and will work with Congress to enhance authorities, as necessary.  Federal agencies also will promote and amplify CSRB recommendations that are directed to network defenders in the private sector.  Beyond the CSRB, a broader national effort to learn from cyber incidents is required.  Regulators are encouraged to build incident review processes into their regulatory frameworks.  CISA and law enforcement agencies are also encouraged to build processes to routinely extract lessons learned from their investigations and incident response activities.  Private companies are likewise encouraged to undertake these reviews and share findings from their efforts to inform implementation of this strategy.  CSRBがレビューを終えたら、連邦政府は、可能な限り行政措置によって自らの業務を改善することでその勧告に対処し、必要に応じて議会と協力して権限を強化することになる。 連邦政府機関はまた、民間部門のネットワーク・ディフェンダーに向けられたCSRBの勧告を推進し、増幅させる。 CSRB 以外にも、サイバーインシデントから学ぶためのより広範な国家的取り組みが必要である。 規制当局は、インシデント・レビュー・プロセスを各自の規制枠組みに組み込むことが奨励される。 CISA と法執行機関も、調査やインシデント対応活動から学んだ教訓を日常的に抽出するプロセスを構築するよう奨励される。 民間企業も同様に、このようなレビューを実施し、その結果を共有して、本戦略の実施に役立てることが奨励される。
MAKING THE INVESTMENT  投資の実施
Maintaining an open, free, global, interoperable, reliable, and secure Internet and building a more defensible and resilient digital ecosystem will require generational investments by the Federal Government, allies and partners, and by the private sector.  Many Federal actions contained in this strategy are intended to increase private sector investment in security, resilience, improved collaboration, and research and development.  For Federal agencies to support their private sector partners and increase their capacity to carry out essential Federal missions, targeted investment will be required.  To guide this investment, ONCD and OMB will jointly issue annual guidance on cybersecurity budget priorities to departments and agencies to further the Administration’s strategic approach.  ONCD will work with OMB to ensure alignment of department and agency budget proposals to achieve the goals set out in this strategy.  The Administration will work with Congress to fund cybersecurity activities to keep pace with the speed of change inherent within the cyber ecosystem.  オープンで自由、グローバル、相互運用性、信頼性、安全性の高いインターネットを維持し、より防衛的でレジリエンスの高いデジタルエコシステムを構築するには、連邦政府、同盟国、パートナー、そして民間セクターによる世代を超えた投資が必要である。 本戦略に含まれる多くの連邦政府の行動は、セキュリティ、レジリエンス、コラボレーションの改善、および研究開発に対する民間部門の投資を増加させることを意図している。 連邦機関が民間セクターのパートナーを支援し、本質的な連邦ミッションを遂行する能力を高めるためには、的を絞った投資が必要である。 この投資を導くために、ONCD と OMB は共同で、省庁に対してサイバーセキュリティ予算の優先順位に関する年次ガイダンスを発行し、行政の戦略的アプローチを推進する予定である。 ONCD は OMB と協力して、本戦略で示された目標を達成するために、各省庁の予算案が整合するようにする。 行政は議会と協力して、サイバーエコシステムに内在する変化のスピードに対応できるようなサイバーセキュリティ活動に資金を提供する。

 

公開前日に行われた電話による質疑...

 

・2023.03.02 Background Press Call by Senior Administration Officials Previewing the Biden-Harris Administration’s National Cyber Strategy

Background Press Call by Senior Administration Officials Previewing the Biden-⁠Harris Administration’s National Cyber Strategy バイデン-ハリス政権の国家サイバー戦略をプレビューする政権高官によるプレスコールの背景
5:02 P.M. EST 5:02 P.M. EST
MODERATOR:  Hi everyone.  And thanks for joining.  This is [Moderator] from NSC.  司会:皆さん、こんにちは。  そして、ご参加ありがとうございます。  こちらはNSCの【モデレーター】です。 
Before we get started, a quick housekeeping: Everyone on this call should have received the embargoed copy of the factsheet and an embargoed version of the strategy.  All of that is embargoed until 5:00 a.m. tomorrow for reference.  If you haven’t, please reach out to Michael Morris from ONCD, and he’ll be able to help you out.  But with that, I guess we’ll get to it.  始める前に、簡単なハウスキーピングをします。この電話会議に参加された皆さんは、ファクトシートの差し止めコピー版と戦略の差し止めバージョンを受け取っていますはずです。  これらはすべて、参考のためで、明日の午前5時まで公開を差し止められいます。 もしまだの方は、ONCDのマイケル・モリスに声をかけてください。  それでは、本題に入りたいと思います。 
Welcome to our call previewing the national — the Biden-Harris administration’s National Cyber Strategy.  We’ll start this call on record with remarks from the acting Director —  Cyber National Director Kemba Walden and the NSC’s Deputy Director [Deputy National Security Advisor] for Cyber and Emerging Technologies, Anne Neuberger.  バイデン-ハリス政権の国家サイバー戦略をプレビューする電話会議へようこそ。  この通話ではまず、サイバー国家局長代理のケンバ・ウォルデンとNSCのサイバーおよび新興技術担当副長官(副国家安全保障アドバイザー)のアン・ノイバーガーの発言から記録を始めます。 
And then we’ll move to a background, attributable to “senior administration officials” for a few questions, where you’ll also hear from [senior administration official] and the [senior administration official].  そして、いくつかの質問のために「上級行政官」に帰属するバックグラウンドに移り、そこでは【上級行政官】と【上級行政官】からも話を聞くことができます。 
So, with that, I will turn it over to you, Kemba.  それでは、ケンバさんに譲ります。 
MS. WALDEN:  Thank you, [Moderator].  And good evening.  Thank you all for being here.  So, tomorrow, President Biden will release the administration’s National Cybersecurity Strategy.  This strategy sets forth a bold new vision for the future of cyberspace in the wider digital ecosystem.  MS. ウォルデン:ありがとうございます、そして【司会】さん、こんばんは。  皆さん、お集まりいただきありがとうございます。  さて、明日、バイデン大統領は政権の「国家サイバーセキュリティ戦略」を発表します。  この戦略は、より広いデジタルエコシステムにおけるサイバースペースの将来について、大胆な新しいビジョンを打ち出すものです。 
I want to thank the President for recognizing the critical importance of cybersecurity issues for the American people and for making cybersecurity a policy priority from day one of this administration.  私は、米国民にとってサイバーセキュリティ問題が極めて重要であることを認識し、政権発足初日からサイバーセキュリティを政策の優先事項としています大統領に感謝したい。 
The strategy builds on two years of unprecedented attention that the President has placed on cybersecurity issues, starting with the May 2021 executive order.  この戦略は、2021年5月の大統領令を皮切りに、大統領が2年間にわたりサイバーセキュリティの問題に前例のない関心を寄せてきたことを土台としています。 
I also wanted to thank Congress for their continued willingness to work with the administration on cybersecurity issues.  We’re fortunate to benefit from a long history of bipartisan cooperation on cybersecurity.  また、サイバーセキュリティの問題で政権と協力する意思を持ち続けています議会にも感謝したいと思います。  私たちは幸運にも、サイバーセキュリティに関する超党派の協力の長い歴史から恩恵を受けています。 
And I want to thank the many departments and agencies that contributed their time and expertise to the development of this strategy and who will now be at the forefront of its implementation.  また、この戦略の策定に時間と専門知識を提供し、今後、その実施の最前線に立つことになる多くの省庁に感謝したい。 
The President’s strategy fundamentally reimagines America’s social — cyber social contract.  It will rebalance the responsibility for managing cyber risk onto those who are most able to bear it.  Today, across the public and private sectors, we tend to devolve responsibility for cyber risk downwards.  We ask individuals, small businesses, and local governments to shoulder a significant burden for defending us all.  This isn’t just unfair, it’s ineffective.  大統領の戦略は、米国の社会契約(サイバー社会契約)を根本的に再構築するものである。  この戦略は、サイバーリスクマネジメントの責任を、それを最も負担することができる人々に再割り当てするものです。  今日、官民を問わず、私たちはサイバーリスクに対する責任を下方に委ねる傾向があります。  個人、中小企業、地方公共団体に、私たち全員を守るための大きな負担を強いていますのです。  これは不公平なだけでなく、効果的ではありません。 
The biggest, most capable, and best positioned actors in our digital ecosystem can and should shoulder a greater share of the burden for managing cyber risk and keeping us all safe.  This strategy asks more of industry, but also commits more from the federal government.  私たちのデジタルエコシステムにおいて、最も大きく、最も有能で、最も有利な立場にある主体が、サイバーリスクをマネジメントし、私たち全員の安全を守るために、より大きな負担を負うことができ、またそうすべきです。  この戦略は、産業界に多くのことを求めると同時に、連邦政府にも多くのことを約束します。 
With respect to industry, we will identify gaps and reduce burdens in existing authorities where targeted and narrow regulations are necessary to improve public safety and cybersecurity.  産業界に関しては、公共の安全とサイバーセキュリティを向上させるために、対象を絞った規制が必要な場合、既存の権限におけるギャップを特定し、負担を軽減する予定です。 
But for government, we have a duty to the American people to also double down on tools that only government can wield, including the law enforcement and military authorities to disrupt malicious cyberactivity and pursue their perpetrators.  しかし、政府については、悪意のあるサイバー活動を妨害し、その犯人を追求するための法執行機関や軍事当局など、政府だけが行使できる手段をさらに強化することが、米国民に対する義務である。 
And we will continue to invest in information sharing, operational collaboration, and other forms of partnership with the private sector.  そして、情報共有や作戦協力など、民間企業とのパートナーシップにも引き続き投資していくつもりです。 
Every American should be able to benefit from cyberspace, but every American should not have the same responsibility to keep it secure.  すべてのアメリカ人がサイバースペースから恩恵を受けることができるはずですが、すべてのアメリカ人がサイバースペースの安全を保つために同じ責任を負うべきではありません。 
Simply shifting the burden for security, though, won’t solve all of our problems if we don’t start thinking in terms of long-term solutions.  There are very real near-term risks, legal requirements, and commercial incentives that cause us to prioritize short-term approaches over long-term solutions.  しかし、単に安全保障の責任を転嫁するだけでは、長期的な解決策を考えなければ、すべての問題を解決することはできません。  目先のリスクや法的要件、商業的なインセンティブによって、長期的な解決策よりも短期的なアプローチを優先してしまうことは、実際にあります。 
But it’s not enough just to manage the threats of today.  We need to invest in a tomorrow that is more inherently defensible and resilient.  しかし、現在の脅威を管理するだけでは十分ではありません。  私たちは、より本質的な防御力とレジリエンスを備えた明日に投資する必要があります。 
To do that, we need to make it so that when public- and private-sector entities face tradeoffs between easy but temporary fixes and durable and long-term solutions, they are incentivized to consistently choose the latter.  そのためには、公共部門と民間部門が、簡単だが一時的な解決策と耐久性のある長期的な解決策の間のトレードオフに直面したとき、一貫して後者を選択するようなインセンティブを与える必要があります。 
This strategy calls for investments in our cyber workforce, our infrastructure, and the digital ecosystems underlining the technologies to improve our national resilience and economic competitiveness.  Rebalancing the responsibility to defend cyberspace and incentivizing investments in a resilient future are the fundamental shifts that guide the President’s strategy.  この戦略では、国家のレジリエンスと経済競争力を向上させるために、サイバー人材、インフラ、そして技術を支えるデジタルエコシステムへの投資を求めています。  サイバースペース防衛の責任を再均衡し、レジリエンスの高い未来への投資を奨励することが、大統領の戦略を導く基本的な転換点である。 
I want to turn now to my colleague, Anne Neuberger, who can provide her view on the strategy and some of its most important policy objectives.  次に、私の同僚であるアン・ニューバーガーに、この戦略とその最も重要な政策目標について見解を述べてもらいたいと思います。 
Thanks so much for your time.  お時間をいただき、ありがとうございました。 
MS. NEUBERGER:  Thank you, Kemba.  Good afternoon, all.  It is really great to be here with you today.  MS. ノイバーガー:ありがとうございました、ケンバ。  皆さん、こんにちは。  今日、皆さんとご一緒できて本当にうれしいです。 
I want to first kick off by thanking the ODNC team and, as Kemba did, the many departments and agencies who led and participated in building a strong, comprehensive strategy.  まず、ODNCチームと、ケンバが言ったように、強力で包括的な戦略を構築するために主導し参加した多くの部門や機関に感謝することから始めたいと思います。 
Before I get to the strategy, though, I’d like to simply start off by simply saying how the strategy is really being released at a pivotal moment, at a very timely moment.  Looking back at the last 24 months of the Biden-Harris administration and especially over the last year as we recently hit the one-year mark of the war in Ukraine, we’ve seen the cyber threat be at the forefront of geopolitical crises.  しかし、戦略の話に入る前に、まず、この戦略がいかに重要な時期に、非常にタイムリーなタイミングで発表されたかということを、簡単に申し上げたいと思います。  バイデン=ハリス政権の過去24カ月を振り返ると、特に昨年はウクライナ戦争から1年を迎え、地政学的な危機の最前線にサイバーの脅威があることがわかりました。 
And as we know, the threat is not only Russia.  We’ve seen destructive cyber and ransomware attacks executed by cybercriminals and other countries across the globe.  そして、ご存知のように、脅威はロシアだけではありません。  サイバー犯罪者や世界中の国々によって、破壊的なサイバー攻撃やランサムウェア攻撃が実行されていますのを目の当たりにしています。 
For example, last fall, we saw Iranian intelligence services attack Albania’s government networks, disrupting government services to the country’s citizens.  And almost immediately, we, at the ready, mobilized ourselves and our European partners to assist in Albania’s response to the attack and to hold Iran accountable by designating sanctions on individuals responsible.  例えば、昨年秋には、イランの諜報機関がアルバニア政府のネットワークを攻撃し、同国の国民への行政サービスを妨害する事件が発生しました。  その直後、私たちは欧州のパートナーとともに、アルバニアの攻撃への対応を支援し、イランの責任を追及するため、責任者に制裁を科す準備を整えた。 
Here at home, we’re no stranger to these sort of threats, which is important, because the Biden administration’s fundamental commitment is that Americans must be able to have confidence that they can rely on critical services, hospitals, gas pipelines, air/water services even if they are being targeted by our adversaries.  このような脅威を身近に感じることができるのは、とても重要なことです。なぜなら、バイデン政権の基本的なコミットメントは、重要なサービス、病院、ガスパイプライン、航空・水道サービスなどが敵に狙われたとしても、アメリカ人が安心して頼ることができるようにしなければならないということだからです。
And that’s why the Biden-Harris administration has worked tirelessly over the last two years to deliver on that commitment by building a more resilient cyber infrastructure to protect the services we all rely on daily, and also to strengthen our international partnerships, because cyber threats are fundamentally transnational threats.  They cross borders.  バイデン-ハリス政権は過去2年間、この公約を実現するため、私たちが日常的に利用していますサービスを守るため、よりレジリエンスなサイバーインフラを構築し、さらに国際的なパートナーシップを強化するために、たゆまぬ努力を続けてきました。  サイバー脅威は基本的に国境を越える脅威だからです。 
So that’s exactly what the strategy captures and sets out to continue to do, drawing direction and inspiration from the National Security Strategy, and establishing an affirmative vision for a secure cyberspace that creates opportunities to achieve our collective aspirations.  この戦略では、国家安全保障戦略から方向性とインスピレーションを得て、安全なサイバー空間に対する肯定的なビジョンを確立し、私たちの集団的な願望を達成するための機会を創出することを目指しています。 
It endeavors to make a stronger and more resilient cyber infrastructure for the American people and our allies and partners around the world.  そして、アメリカ国民と世界中の同盟国やパートナーのために、より強く、よりレジリエンスに優れたサイバーインフラを作ることに努めています。 
So, I’ll take a moment to walk through the five core pillars that the strategy is built on.  そこで、この戦略の土台となる5つの柱について、少し説明させていただきます。 
First, the strategy will defend critical infrastructure by expanding minimum cybersecurity requirements for critical sectors, enabling public-private collaboration, and ensuring that our systems are kept to the level needed to meet the threat.  It’s critical, as I said, that the American people have confidence in the availability and resiliency of our critical infrastructure and the essential services it provides.  第一に、この戦略では、重要セクターに対するサイバーセキュリティの最低要件を拡大し、官民の協力を可能にし、脅威を満たすために必要なレベルにシステムが保たれるようにすることで、重要インフラを防衛します。  重要インフラとそれが提供する重要なサービスの可用性とレジリエンスについて、米国民が信頼を寄せることが重要であることは、申し上げたとおりです。
Second, it will disrupt and dismantle threat actors by using all instruments of national power to make malicious cyber actors — to make it harder for them to threaten the national security or public safety of the United States.  第二に、悪意のあるサイバー攻撃者が米国の国家安全保障や公共の安全を脅かすことを困難にするため、国力のあらゆる手段を用いて、脅威の担い手を破壊し、解体します。 
Third, it will shape market forces to drive security and resilience by ensuring we place responsibilities on those who can address the risks, and we work to shift the consequences of poor cybersecurity away from the most vulnerable.  We need to make our digital ecosystem more trustworthy.  第三に、リスクに対処できる人々に責任を負わせ、サイバーセキュリティの不備がもたらす結果を最も脆弱な人々から遠ざけるよう努力することで、セキュリティとレジリエンスを推進する市場原理を形成することです。  私たちは、デジタルエコシステムをより信頼できるものにする必要があります。 
Fourth, invest in a resilient future through strategic investments that the Biden administration has made over the first two years and continued investments and coordinated, collaborative action.  We’ll continue to lead the world in developing secure and resilient next-generation technologies and infrastructure.  第四に、バイデン政権が最初の2年間に行った戦略的投資と、継続的な投資と協調的・協力的行動を通じて、レジリエンスの高い未来に投資します。  私たちは、安全でレジリエンスに優れた次世代技術やインフラの開発において、世界をリードし続けます。 
And finally, we’ll continue to forge international partnerships to pursue shared goals by promoting a cyberspace where responsible state behavior is expected and rewarded, and irresponsible behavior is isolating and costly, as in the Iran example I noted earlier.  そして最後に、先ほど述べたイランの例のように、責任ある国家の行動が期待され、報われ、無責任な行動は孤立し、犠牲となるようなサイバースペースを推進することで、共通の目標を追求するための国際パートナーシップを構築し続けていきます。 
There are three elements in particular I’d like to highlight.  特に強調したいのは、3つの要素です。 
First, on the critical infrastructure side.  A lot of the work we’ve done on critical infrastructure is already underway.  This strategy codifies the first two years of putting in place minimum cybersecurity pipe- — requirements for pipelines, for railways, and, shortly, for additional sectors we’ll be announcing.  第一に、重要インフラの側面からです。  重要インフラに関する私たちの取り組みの多くは、すでに進行中です。  この戦略では、最初の2年間、パイプライン、鉄道、そしてまもなく発表する新たなセクターに対して、サイバーセキュリティに関する最低限の要件を整備することを明記しています。 
We recognize that we need to move from just a public-private partnership, information-sharing approach to implement minimum mandates.  Information sharing and public-private partnerships are inadequate for the threats we face when we look at critical infrastructure.  私たちは、最低限の義務付けを実施するためには、単なる官民パートナーシップや情報共有のアプローチから脱却する必要があることを認識しています。  情報共有や官民のパートナーシップは、重要なインフラを対象とした場合に直面する脅威に対して不十分です。 
As I said, we’ve made major progress in executing this as a core Biden administration commitment in the first two years, and we’ll continue to carry it forward with the executive branch authorities we have in place and work with Congress to develop those limited additional authorities we may still need.  私たちは、バイデン政権の中核的なコミットメントとして、最初の2年間でこれを実行する上で大きな進歩を遂げました。私たちは、現在ある行政府の権限でこれを継続し、議会と協力して、まだ必要と思われる限られた追加権限を開発するつもりです。 
Second, as we continue our focus on disrupting and dismantling threat actors, we’re elevating our work on ransomware, declaring ransomware a threat to national security rather than just a criminal challenge.  第二に、私たちは、脅威を引き起こす要因の破壊と解体に重点を置きながら、ランサムウェアに対する取り組みを強化し、ランサムウェアを単なる犯罪行為ではなく、国家安全保障に対する脅威と位置付けています。 
And again, this is something we’ve already begun to tackle through domestic work targeting the most virulent ransomware actors — I’d call out the FBI’s work against Hive as an example — and with 36 partners and the European Union in the international counter ransomware initiative, which just had its first anniversary in October.  これは、最も悪質なランサムウェアの攻撃者を標的とした国内での活動(例としてHiveに対するFBIの活動を挙げます)や、36のパートナーや欧州連合とともに、10月に1周年を迎えたばかりの国際ランサムウェア対策イニシアチブを通じて、すでに取り組み始めています。 
Finally, it redoubles our commitment to international partnerships and implementation of norms.  Threats in cyberspace are often borderless.  Cyber defense matters in the modern geopolitical climate.  And we must work with our close allies and partners to deliver the security we all need and our citizens deserve.  最後に、国際的なパートナーシップと規範の実施に対する私たちのコミットメントを再確認することができます。  サイバースペースにおける脅威は、しばしば国境を越えるものです。  現代の地政学的状況において、サイバー防衛は重要です。  そして、私たち全員が必要とし、私たちの市民が値するセキュリティを提供するために、緊密な同盟国やパートナーと協力しなければなりません。 
So, with that, thank you for your time.  And we’ll turn it over for questions, as [Moderator] noted, to [senior administration official] and [senior administration official].  Thank you for your questions.  それでは、お時間をいただきありがとうございました。  ご質問は、【司会】が指摘したように、【上級行政官】と【上級行政官】にお譲りします。  ご質問をありがとうございました。 
MODERATOR:  Thanks, Anne.  And thanks, Kemba.  And just to make sure I got everyone’s title right there at the top for our on-the-record speakers, it was the acting National Cyber Director, Kemba Walden, and the Deputy National Security Advisor for Cyber and Emerging Technologies, Anne Neuberger.  司会:ありがとう、アンさん。  そして、ケンバさん、ありがとうございます。  そして、念のため、記録上の発言者の肩書きを一番上に書いておきますが、国家サイバー長官代理のケンバ・ウォルデン氏と、サイバーと新興技術担当の国家安全保障副顧問のアン・ノイバーガー氏でしたね。 
So, if you want to use the “hand raising” feature, we’ll give it a quick minute to let people raise their hands and then we’ll get started with a Q&A.  それでは、「挙手」機能を使いたい方は、1分ほどで手を挙げていただき、その後、Q&Aを開始します。 
We’ll get started.  Our first question will go to Maggie Miller from Politico.  You should be able to unmute yourself.  始めましょう。  最初の質問は、Politicoのマギー・ミラーさんです。  ミュートを解除してください。 
Q    Yep.  Hi.  Thanks so much for hosting this call.  I wanted to ask a little bit more about some of these, you know, regulations that are going in place.  I know Anne mentioned there’s going to be new sectors that are going to be announced soon.  Can you talk more about what those sectors will be and what the feedback from industry has been about having this more mandatory approach to cybersecurity requirements that has, as you mentioned, already been ongoing?  Thanks so much.  Q:はい。  こんにちは。  この電話会議を主催していただき、本当にありがとうございます。  私は、このような規制についてもう少し詳しく聞きたいと思いました。  アンが、近々新しいセクターが発表されると言っていましたね。  また、サイバーセキュリティ要件に対するより強制的なアプローチについて、産業界からどのようなフィードバックがあったのか、もう少し詳しく教えてください。  どうもありがとうございました。 
SENIOR ADMINISTRATION OFFICIAL:   Hi, Maggie.  [Senior administration official] here.  Thanks for the question.  [上級行政官] マギーさん、こんにちは。  [上級行政官] です。  質問をありがとうございます。  
So, we’ve taken up a sector-by-sector approach in looking at each critical infrastructure sector and thinking about what are the ways that we can improve the cybersecurity posture within that sector.  There are a number of sectors that are already regulated — for instance, electricity grid, you know, nuclear facilities, there are others — where the ability to require cybersecurity practices as part of an overall security program and safety program is already in place.  私たちは、各重要インフラ部門を対象に、部門ごとにアプローチし、その部門におけるサイバーセキュリティ態勢をどのように改善できるかを考えています。  例えば、電力網や原子力施設など、すでに規制されている部門は数多くあり、全体的なセキュリティプログラムや安全プログラムの一部としてサイバーセキュリティの実践を要求する能力はすでに備わっています。  
And so, we just want to make sure that those regulatory regimes take advantage of the best thought that exists across the cybersecurity industry and what we’re learning from examining cyber incidents that have occurred in recent years.  そこで私たちは、これらの規制が、サイバーセキュリティ業界全体に存在する最善の考えや、近年発生したサイバー事件の検証から学んだことを活用できるようにしたいと思います。 
But there are sectors where the authorities aren’t as clear or we have not fully exercised the authorities that exist.  One example of where we’re beginning to take the first steps is EPA for the water sector.  They have made a public notice, and I’m not exactly sure where it stands, but I think it’s coming out soon.  It’s an interpretation of an existing rule for sanitary surveys in which water facility owners and operators will have to incorporate some cybersecurity elements in their regularized sanitary survey program, where they’re looking at drinking water safety issues and the equipment and such.  しかし、権限が明確でない分野や、存在する権限を十分に行使できていない分野もあります。  最初の一歩を踏み出しつつある例として、水分野ではEPAが挙げられます。  正確なところはわかりませんが、近々発表されると思います。  これは衛生調査に関する既存の規則を解釈したもので、水道施設の所有者や運営者は、飲料水の安全性や設備などを調べる定期的な衛生調査プログラムに、サイバーセキュリティの要素を取り入れる必要があるというものです。 
So, it’s not a — it’s not a new authority.  It’s an interpretation and adding additional elements into an existing authority.  So that that will begin to come into place here in the very near term but will take time to fully see that ripple through the industry because these are on a couple-of-year cycles to be when the sanitary surveys get done on a periodic basis.  つまり、これは新たな権限ではありません。  既存の権限に解釈と追加要素を加えたものです。  このため、ごく近い将来には導入されることになるでしょうが、衛生調査が定期的に行われるため、業界全体に波及するには時間がかかると思います。 
There are other sectors where we’re looking at similar things and finding ways to close gaps.  There are a number of sectors where it’s purely voluntary and there’s actually not a regulatory regime around it.  And so, those are things that we’re looking at.  And also turning to CISA, through those cross-sector cyber performance goals that they’ve put out, to find ways to encourage the incorporation of cybersecurity best practices.  These are things that everybody knows about — multi-factor authentication, network segmentation, things like that, encryption.  他の分野でも同じようなことを検討し、ギャップを埋める方法を見つけていますところがあります。  純粋に自主的な活動で、規制がない分野もたくさんあります。  そのような分野にも目を向けています。  また、CISAが発表した分野横断的なサイバーパフォーマンス目標を通じて、サイバーセキュリティのベストプラクティスを取り入れることを奨励する方法を模索することも必要です。  多要素認証、ネットワークのセグメンテーション、暗号化など、誰もが知っていますようなことです。 
And so, the bar we’re setting is not a high bar. We really are just hoping that owners and operators do the basics.  And over time, we’re going to be able to bring and raise all ships.  ですから、私たちが設定したハードルは決して高くありません。私たちは、オーナーやオペレーターが基本的なことを実践してくれることを望んでいますのです。  そして、時が経てば、私たちはすべての船を引き上げられるようになるでしょう。 
MODERATOR:  Great.  We’ll go to our next question.  Sean from CNN.  You should be able to unmute yourself.  モデレーター:素晴らしい。  次の質問に行きます。  CNNのショーンです。  ミュートを解除してください。 
Q    Hi, can you hear me? Q ハイ、聞こえますか?
MODERATOR:  Yes, we can hear you.  モデレーター:はい、聞こえます。 
Q    Great.  Thanks for the call.  Very interesting strategy.  I wanted to ask, kind of, a question that comes up in a lot of these calls, but, you know, you have to ask it, is: in terms of the international dimension, how the administration is going to address the bear in the room and try to get — if try at all — to get Russia to cooperate on norms, on pursuing ransomware actors, et cetera.  Q 素晴らしい。  お電話ありがとうございました。  とても興味深い戦略ですね。  国際的な側面について、政権は部屋の中の熊にどのように対処するつもりなのか、また、ロシアに規範やランサムウェアの実行者の追求などで協力させるために、もし努力するとしても、どのようにするつもりなのか、といった質問です。 
We’re all well aware of the tools that the administration can use to rally allies and use it and coordinate with everyone else except Russia.  But the government will agree that cooperating with Russia would certainly help in this space.  私たちは、政権が同盟国を結集し、それを利用して、ロシア以外のすべての人と協調するためのツールをよく知っています。  しかし、ロシアと協力することがこの分野で確実に役立つことは、政府も認めるところでしょう。 
So, has that — has that ship sailed with the war in Ukraine and given that the war has no end in sight?  Has the administration given up on engaging Moscow on cybercriminal issues and other cyber issues?  Or are we going to see some sort of effort in the future?  Thank you.  では、ウクライナでの戦争と、戦争に終わりが見えないことを考えると、その船は出航したのでしょうか。  政権は、サイバー犯罪問題やその他のサイバー問題でモスクワに関与することをあきらめたのでしょうか。  それとも、今後何らかの取り組みが見られるのでしょうか。  ありがとうございました。 
SENIOR ADMINISTRATION OFFICIAL:  I think what we’re seeing is an approach that draws directly from the National Security Strategy into the National Cyber Strategy, which is to focus on our regional partners around the globe to build the coalitions that can create pressure on Russia and other malicious actors to change their behavior.  I think we’ve seen some success in sustaining that coalition over the last year.  [上級行政官] :国家安全保障戦略から直接、国家サイバー戦略へとつながるアプローチであり、ロシアやその他の悪意ある行為者に行動を変えるよう圧力をかけることができる連合を構築するために、世界中の地域パートナーに焦点を当てるということだと思います。  この1年間で、この連合を維持することに一定の成功を収めたと思います。 
And so, we’re hopeful that Russia understands the consequences of malicious activity in cyberspace and will continue to be restrained.  ロシアがサイバー空間における悪意ある活動の結果を理解し、今後も自制してくれることを期待しています。 
SENIOR ADMINISTRATION OFFICIAL:  So, I’ll amplify a little bit.  You hit the nail on the head, Sean, that this is a significant problem, which is why Anne Neuberger had mentioned and the strategy calls out essentially a new policy that ransomware constitutes a national security threat.  [上級行政官]:では、少し話を広げます。  アン・ニューバーガーが言及したように、ランサムウェアは国家安全保障上の脅威であるという新たな方針が、この戦略で明確に打ち出されています。 
Traditionally, cybercrime issues would be handled within the criminal justice system, and responsible countries would investigate crime, collect evidence on behalf of each other, share information, cooperate, have mutual legal assistance, request things fulfilled, and extradition.  And these types of problems would be addressed and suppressed through normative avenues.  従来、サイバー犯罪の問題は刑事司法制度の中で扱われ、責任ある国が犯罪を捜査し、互いに証拠を集め、情報を共有し、協力し、相互法的支援を行い、要求事項を実現し、引き渡しを行うものでした。  そして、この種の問題は、規範的な手段によって対処され、抑制されることになるでしょう。 
We do have a problem where Russia is serving as a de facto safe haven for cybercrime, and ransomware is a predominant issue that we’re dealing with today, which is why the strategy also calls out — since the criminal justice system isn’t going to be able to, on its own, address this problem, we do need to look at other elements of national power to be going after the threat.  ロシアがサイバー犯罪の事実上の安住の地となっているという問題があり、ランサムウェアは今日我々が扱っている主要な問題です。刑事司法制度だけではこの問題に対処できないので、国力の他の要素にも目を向けて、脅威を追及していく必要があります。 
And so, we won’t be able to — well, some of the things that we can talk about are, you know, Treasury sanctions, and State Department has done Reward for Justice offerings to try to shine a light on these issues, make it more difficult for the cybercrime actors to operate.  And then, as well, you’ve seen successes by the FBI and the Secret Service in apprehending actors who go on vacation somewhere, and they find themselves, you know, arrested on behalf of a U.S. extradition request.  そこで、私たちができることは、財務省の制裁や、国務省が行っています「正義の報酬」によって、こうした問題に光を当て、サイバー犯罪者の活動をより困難なものにする、ということです。  また、FBIやシークレットサービスが、休暇でどこかに出かけていた犯罪者を逮捕することに成功し、その結果、米国の犯罪者引き渡し要求のために逮捕されることもありました。 
And so, ultimately, I think [senior administration official] hit the nail on the head, which is that the — we want to shrink the surface of the Earth that people can conduct malicious cyber activity with impunity, and put pressure on them and make their lives a little bit less pleasurable.  つまり、悪意のあるサイバー活動を平然と行える地球の表面を縮小し、彼らに圧力をかけ、彼らの生活を少しばかり楽しくないものにしたい、ということです。 
And if a criminal is restricted to living in Russia and can’t leave the borders, then perhaps that might create a bit of a deterrent effect.  そして、犯罪者がロシアに住むことを制限され、国境を離れることができなくなれば、おそらく、ちょっとした抑止効果が生まれるかもしれません。 
And then, we want to rally likeminded countries to be able to take a similar approach and to be using the tools that they have, and to make sure that we’re all focused on the problem and that we’re putting pressure across all areas, including diplomatic, on countries that do not follow, you know, agreed-upon norms.  そして、同じような考えを持つ国々が同じようなアプローチを取り、持っていますツールを使うことができるように、そして、私たち全員がこの問題に集中し、合意された規範に従わない国に対して、外交も含めてあらゆる分野で圧力をかけることができるようにしたいのです。 
MODERATOR:  Thank you.  We’ll go next to Kevin with NBC.  You should be able to unmute yourself. 司会:ありがとうございました。  次はNBCのケヴィンにお願いします。  ミュートを解除してください。
Q    Hi.  Yeah, thanks, y’all, for doing the call.  I wanted to ask — I’m looking through this and I’m seeing echoes of a lot of this stuff this administration has been doing already, in terms of executive orders, the international cooperation stuff.  Q ハイ。  電話をしてくれてありがとう。  私はこれを読んでいて、大統領令や国際協力など、この政権がすでに行ってきたことの多くが反響を呼んでいますことを知りました。 
To what degree should we view this as — the new strategy as an extension and a coalescence of what this administration has been doing versus a — kind of a genuine — like a pivot, new vision? この新戦略は、これまで政権が行ってきたことの延長線上、合体であると考えるべきか、それとも本物のピボット、新しいビジョンのようなものだと考えるべきか、どの程度に見るべきでしょうか。
SENIOR ADMINISTRATION OFFICIAL:  So, I think the first thing to begin with is that this strategy, we acknowledge in it, is not only continuing the work from the start of the administration, when we came in and were addressing the crisis of SolarWinds and handling the reoccurring major ransomware incidents in that first year, but it’s also continuing many of the initiatives and many of the efforts that date back to the Obama administration, and builds on many of the efforts in the Trump administration.  [上級行政官]:まず、この戦略は、政権発足後、SolarWindsの危機への対応や、初年度に頻発した大規模なランサムウェア事件への対応など、政権発足時の取り組みを継続していますだけでなく、オバマ政権時代から続く多くの取り組みやトランプ政権での多くの取り組みをベースにしていますということが、この戦略の中で認識されていますと考えています。 
And so, the first thing the strategy acknowledges is that we’re building on that path while we move in a new direction.  And so, the big shift here, obviously, compared to previous strategies, is the focus on saying that we do need to set targeted requirements for critical infrastructure where those don’t exist today.  That’s a major departure from the past.  つまり、この戦略では、新しい方向に進む一方で、その道を積み重ねていますことを最初に認めていますのです。  そして、これまでの戦略と比較して、ここでの大きな変化は、明らかに、重要なインフラストラクチャーについて、現在存在しないものを対象とした要件を設定する必要がある、ということに焦点が当てられていますことです。  これは、これまでの戦略とは大きく異なる点です。 
The other shift is to look at how we think about liability for software manufacturers, something that has not been in previous strategies. もうひとつは、これまでの戦略にはなかった、ソフトウェアメーカーの責任に関する考え方の転換です。
And I think the other thing I would note is the major shift that Anne has focused on, on how we’re really bringing all instruments of national power against cybercrime in the form of ransomware.  そして、もうひとつ注目したいのは、ランサムウェアという形のサイバー犯罪に対して、いかに国力のあらゆる手段を投入するかという、アンが重視した大きな転換点です。 
And so, the strategy is meant to pull together all of these threads and then provide us a direction forward.  この戦略は、これらすべての糸を引き寄せ、前進する方向を示すものです。 
MODERATOR:  Great, thank you.  We’ll now go to Elias with CyberScoop. 司会:ありがとうございました。  それでは、CyberScoopのエリアスさんにお願いします。
Q    Hey, thanks so much for doing this call.  So, a couple questions.  Two on software liability and another on offensive operations. Q この電話会議をセットしてくれてありがとうございます。  いくつか質問をさせてください。  ソフトウェア責任について2つ、攻撃的な作戦についてもう1つです。
On software liability, can you elaborate a bit on where in the software ecosystem you want to place liability?  Figuring out where to place liability is just, kind of, a tough technical problem.  And I’m wondering if maybe you guys can elaborate a little bit just on how you think about it.  ソフトウェアの責任についてですが、ソフトウェアのエコシステムのどこに責任を負わせるかについて、もう少し詳しく教えてください。  どこに責任を負わせるかを考えるのは、技術的に難しい問題です。  そこで、あなた方がどのように考えているのか、少し詳しく説明していただけないでしょうか。 
And then, to follow up on that, you’re going to need Congress to move legislation on software liability reform.  Can you talk through, a little bit, the politics of doing that, what you think the prospects are of moving that through Congress? そして、その続きとして、ソフトウェア責任改革に関する法案を議会が動かす必要があると思います。  そのための政治的な方法と、議会を通過させる見込みについて、少しお話しいただけますか?
And then, in terms of a third question, if I can squeeze it in here at the end, can you elaborate a little bit on what you mean by bringing all forms of national power to bear on this problem and the extent to which this strategy is embracing greater use of offensive operations in cyberspace?  Thanks.  それから、3つ目の質問ですが、もし最後の方に入れるのであれば、この問題に対してあらゆる形態の国力を投入するというのはどういう意味なのか、この戦略がサイバースペースでの攻撃的な作戦をどの程度採用しているのか、少し詳しく説明してください。  ありがとうございました。 
SENIOR ADMINISTRATION OFFICIAL:  So, on the liability question, the first thing that we’re trying to do here is make sure that we’re placing liability where it will do the most good.  So, we don’t want to place liability, say, on the developers of open-source software who don’t have any resources, whose software is used by commercial providers to build their products.  上級行政官:責任の所在に関する質問ですが、まず、私たちがここで行おうとしていますのは、最も効果のあるところに責任を負わせるということです。  例えば、リソースを持たないオープンソースソフトウェアの開発者に責任を負わせるのではなく、そのソフトウェアは商業プロバイダーが製品を製造するために使用されます。 
If we placed liability there, we don’t get the changes that we want in the ecosystem.  So, the first principle we’ve had is to place liability where it will do the most good.  And in some people’s articulations, that’s on the final goods-assembler.  Right?  The company that is building and selling the software, they need to be liable for what they put in it and work to reduce vulnerabilities and use best practices.  もしそこに責任を負わせたら、エコシステムに私たちが望むような変化をもたらすことはできません。  ですから、私たちが持つ最初の原則は、責任を最も良い効果をもたらす場所に置くということです。  そして、ある人たちの表現では、それは最終的な商品の組み立て業者にあるのです。  そうでしょう?  ソフトウェアを製造・販売しています会社は、その中に入れたものに対して責任を持ち、脆弱性を減らし、ベストプラクティスを使うように努力する必要があります。 
We can’t have them devolving that responsibility down to a two-person, open-source project that hasn’t received any funding in the last five years.  That’s not going to get us the outcome that we want.  その責任を、過去5年間資金援助を受けていない2人組のオープンソースプロジェクトに委ねるわけにはいきません。  それでは、私たちが望むような結果を得ることはできません。 
We see shifting liability as a long-term process.  When we think about this strategy, we’re looking out a decade.  And so, our anticipation is that we will need to begin this process working with industry to really establish what better software development practices look like, work to implement those, work to articulate those, and then work with industry and Congress to establish what some kind of liability shield for the adoption of those practices would look like.  私たちは、責任転嫁を長期的なプロセスとして捉えています。  この戦略を考えるとき、私たちは10年先まで見通しています。  そのため、私たちの予想では、業界と協力して、より良いソフトウェア開発の実践方法を確立し、それを実施し、明確にするために努力し、さらに業界や議会と協力して、その実践方法の採用に対する何らかの責任の盾を確立するために、このプロセスを始める必要があると思います。 
But we don’t anticipate that this is something where we’re going to see a new law on the books within the next year.  しかし、来年中に新しい法律が制定されるような事態は想定していません。 
SENIOR ADMINISTRATION OFFICIAL:  Quickly, maybe a little bit of a departure, but on the same theme of secure-by-design, recall that Anne Neuberger hosted, in October, an IoT security labeling event where we were beginning to engage with stakeholders and get feedback on what a government labeling program would look like to make sure that IoT products, their security posture is transparent to the customers so they can make informed choices. [上級行政官] 少し話がそれますが、セキュア・バイ・デザインという同じテーマで、10月にアン・ノイバーガーが主催したIoTセキュリティ・ラベリング・イベントで、IoT製品のセキュリティ態勢が顧客にとって透明であることを確認するために、政府によるラベル付けプログラムがどのようなものかについて関係者とともに意見を出し合い、顧客が十分な情報に基づいて選択できるようにし始めていたことを思い出してください。
That will help to encourage an ecosystem of secure-by-design products where, according to Carnegie Mellon’s research, there is a preference and people are willing to pay a premium for products that protect their security and their privacy.  カーネギーメロン大学の研究によると、セキュリティとプライバシーを保護する製品にプレミアムを支払うことを望む傾向があるそうです。 
So, in this theme, we’re looking to make sure that software design is using best practices and that it is a — security is in mind in the development of it, and that IoT products and other things like that are also in a better posture so that the attack surface is much reduced over time.  このテーマでは、ソフトウェアの設計がベストプラクティスを用いていること、そしてその開発においてセキュリティが考慮されていること、さらにIoT製品などもより良い姿勢であることを確認し、長期的に攻撃対象が大幅に減少するようにすることを目指したいと思います。 
On the topic, Elias, you were asking about — implied, you know, offensive cyber or other tools of the government that can be applied against problems like ransomware in hard to reach places — in general, we are looking at the ransomware problem as a national security threat and, therefore, we need to be able to use additional tools such as, for instance, intelligence tools to make sure that we understand the threat and understand, you know, how it is that we can protect ourselves, how we can tip victims or intended victims before they’re attacked through whatever authorities are needed to do that.  ランサムウェアのような手の届きにくい場所での問題に対して、政府が提供する攻撃的なサイバーツールについてお聞きしましたが、一般的に、私たちはランサムウェアの問題を国家安全保障上の脅威としてとらえています。したがって、一般的に、私たちはランサムウェアの問題を国家安全保障上の脅威として見ています。私たちは、脅威を理解し、自分たちを守るにはどうすればいいのか、被害者や被害予定者に攻撃を受ける前に知らせるにはどうすればいいのかを理解するために、例えば情報ツールなどの追加ツールを使用できるようにする必要があります。  
I will not speak to what all activities that we may contemplate or be undertaking.  But we are certainly in a more forward-leaning position to make sure that we’re protecting the American people from these threats and that we apply the tools that are necessary to address it.  私たちがどのような活動を考えているのか、また、どのような活動をしようとしているのかについては、お話しするつもりはありません。  しかし、こうした脅威から米国民を守り、それに対処するために必要なツールを適用するために、私たちがより前向きの立場にあることは確かです。 
And everything from diplomacy to law enforcement to intelligence to economic and financial, these are all tools — and military tools, as necessary — these are options that the President has.  And we’re — we’re certainly open to using all of them in a smart way to go after the threat.  外交、法執行、情報、経済・金融、これらすべてが手段であり、必要に応じて軍事的手段も用いますが、これらは大統領が持つ選択肢である。  そして私たちは、脅威を追及するための賢い方法として、これらすべてを使うことに前向きです。 
MODERATOR:  Thank you.  I think we have time for one more question, so we’ll go to Tim Starks from the Washington Post.  司会:ありがとうございました。  もう1つ質問の時間がありますので、ワシントン・ポスト紙のティム・スタークスさんにお願いします。 
Q    Hi there.  Thanks.  Mine is a pretty easy, hopefully, logistical question.  Is the process by which this needs to be approved by the President complete?  And what is that process?  Does he sign it?  Does he just say, “I approve this”? Q こんにちわ。  ありがとうございます。  私のは非常に簡単な、できればロジカルな質問です。  大統領による承認が必要なプロセスは完了していますのでしょうか?  また、そのプロセスはどのようなものでしょうか?  大統領はそれに署名するのですか?  大統領は「私はこれを承認する」と言うだけなのでしょうか?
And then, the implementation strategy — sorry, the implementation plan.  How far along is that?  When might we expect to see it? それから、実施戦略、つまり実施計画です。  それはどの程度進んでいますのでしょうか?  いつごろになるのでしょうか。
SENIOR ADMINISTRATION OFFICIAL:  So, that’s a great question.  There certainly are details about how paperwork moves through this building.  And what we can say is that this strategy will be announced tomorrow. 上級行政官:素晴らしい質問ですね。  確かに、この建物内でどのように事務処理が行われるかについては、詳細が決まっています。  そして、私たちが言えることは、この戦略は明日発表されるということです。
SENIOR ADMINISTRATION OFFICIAL:  And, Tim, can you repeat your question on implementation, please? 上級行政官:それから、ティム、実施に関する質問をもう一度お願いできますか?
Q    Yes, happily.  How far along is the implementation plan?  And when might we expect to see it? Q はい、喜んで。  実施計画はどの程度進んでいますのでしょうか?  また、いつ頃、それを目にすることができるのでしょうか?
SENIOR ADMINISTRATION OFFICIAL:  I can answer.  So, the implementation plan has been developed in parallel with the strategy.  And so, the effort is ongoing to take that.  We’ve already, in fact, begun to implement aspects of the strategy over the last few months.  And so, we anticipate that we will have a public snapshot of the strategy of the implementation plan out in the coming months. 上級行政官:お答えします。  実施計画は、戦略と並行して策定されています。  そのため、そのための努力は継続中です。  私たちはすでに、実際、ここ数ヶ月の間に戦略の側面を実施し始めました。  ですから、今後数ヶ月のうちに、実施計画に関する戦略のスナップショットを公開することになると思います。
MODERATOR:  Cool.  Thank you, everyone.  As a reminder, our first two speakers were on record, and then the Q&A portion was on background, attributable to “senior administration officials.”  The contents of this call and all the supplemental paperwork you got in email earlier are all embargoed until 5:00 a.m. Eastern tomorrow, Thursday, March 2nd. 司会:素晴らしい。  皆さん、ありがとうございました。  念のため申し添えますが、最初の2人の発言は記録されており、その後、質疑応答の部分は「上級行政官」に起因するバックグラウンドで行われます。  この電話会議の内容と、先ほどメールで受け取った補足書類は、すべて明日3月2日(木)東部時間午前5時までの公開差し止めの措置です。
If you have any other questions, feel free to follow up with us.  Have a great night. 他に質問があれば、遠慮なくフォローアップしてください。  それでは、良い夜をお過ごしください。
5:32 P.M. EST 5:32 P.M. EST

 

 

下院 国土安全保障委員会

●  U.S. House Committee on Homeland Security

・2023.03.02 Green, Garbarino Statement on the Release of the National Cybersecurity Strategy

 

 


 

[2023.03.14 追記]

JETRO

・2023.03.14 バイデン米政権、国家サイバーセキュリティー戦略を公表


  1. 重要インフラの防衛:重要分野に求める最低限のサイバーセキュリティー基準を拡大する。官民協力を迅速かつ大規模に進める。連邦政府のネットワークの防衛と現代化を進めるとともに、危機対応政策を更新する。

  2. 脅威ある行動者への対抗:国家権力で利用できる全てのツールを戦略的に活用する。ランサムウエアの脅威に連邦政府として包括的に対処するとともに、国際的パートナーと強固に連携する。

  3. 安全と強靭性を促進させるための市場形成:個人データのプライバシーと安全保障を促進する。安全な開発慣行を促進するために、ソフトウエア製品・サービスに責任を課す。連邦の補助金プログラムを確保する。

  4. 強靭な未来への投資:インターネットの構造的・技術的な脆弱(ぜいじゃく)性を減少させ、越境するデジタル脅威に対する強靭性を高める。ポスト量子暗号やデジタル個人認証、クリーンエネルギーインフラなど次世代技術のためのサイバーセキュリティーにかかる研究開発を優先する。

  5. 共通する目標を追求する国際パートナーシップの構築:デジタルエコシステムへの脅威に対抗するために有志国による国際連携を強化する。平時と非常時いずれにもパートナー国がサイバー脅威に対して自らを防衛できる能力を向上させる。


 

 

参考 各国のサイバーセキュリティ戦略

■ EUの場合

European Commission

・2020.12.16 The EU’s Cybersecurity Strategy for the Digital Decade

・[PDF] JOINT COMMUNICATION TO THE EUROPEAN PARLIAMENT AND THE COUNCIL - The EU's Cybersecurity Strategy for the Digital Decade

20250108-182710

 

・2020.12.16 The EU's Cybersecurity Strategy in the Digital Decade

・[PDF] Factsheet

20210513-120625

 

■ ドイツの場合

Bundesministerium des Innern, für Bau und Heimat 

プレス

・2021.09.08 (press) Cybersicherheitsstrategie für Deutschland 2021 beschlossen

戦略本文

・[PDF] Cybersicherheitsstrategie für Deutschland 2021

20210926-60648

 

■ オランダの場合

・2022.10.10 Kabinet presenteert nieuwe cybersecuritystrategie

● 戦略

・2022.10.10 Nederlandse Cybersecuritystrategie 2022 - 2028

・[PDF

20221016-52157

 

● 活動計画 2022-2023

・2022.10.10 Actieplan Nederlandse Cybersecuritystrategie 2022 - 2023

・[PDF

20221016-52520

 

■ UKの場合

National Cyber Security Centre

2021.12.15 (news) Government publishes blueprint to protect UK from cyber threats

・2021.12.15 Policy paper National Cyber Strategy 2022

・[heml] National Cyber Strategy 2022

 ・[PDF] National Cyber Strategy 2022

20211217-55613

日本語訳 [Downloded]

20230221-170849

 

■ U.S. の場合

・2023.03.02 FACT SHEET: Biden-⁠Harris Administration Announces National Cybersecurity Strategy

・[PDF] National Cybersecurity Strategy 

20230304-72820

 

・2018.09.20 President Trump Unveils America’s First Cybersecurity Strategy in 15 Years

・[PDF] NATIONAL CYBER STRATEGY of the United States of America


20210513-121917

・仮訳 [DOCX

 

■ 日本の場合

内閣官房 - サイバーセキュリティセンター - サイバーセキュリティ戦略本部

・2021.09.28 [PDF] サイバーセキュリティ戦略

20230820-153236

・2022.06.17 サイバーセキュリティ戦略本部 第34回会合

・2021.09.27 第31回会合

 

 

🔳オーストラリアの場合

AU - Department of Home Affairs - Cyber security - Strategy

・2020.08.06 [PDF] AUSTRALIA’S CYBER SECURITY STRATEGY 2020

20230520-150216

2016年の前回のバージョン

・[PDF] Australia's Cyber Security Strategy

20230520-150443

 

■ 中国の場合

 中央网络安全和信息化委员会办公室 (Cyberspace Administration of China)

 プレス発表

戦略全文

・2016.12.27 国家网络空间安全战略

・英語訳

 ・2016.12.27 National Cyberspace Security Strategy

 

 

■ ロシアの場合(NATO CCDCOEの論文)

● NATO CCDCOE

2020 [PDF] The Past, Present, and Future of Russia’s Cyber Strategy and Forces by Bilyana Lilly and Joe Cheravitch



■ インドの場合

Data Security Council of India

・2020.08.15 [PDF] National Cyber Security Strategy 2020

20210513-131956

 

■ シンガポールの場合

● Cyber Security Agency of Singapore

・2021.10.05 Singapore Updates National Cybersecurity Strategy

The Singapore Cybersecurity Strategy 2021

・[PDF]

20211011-134730

 


まるちゃんの情報セキュリティ気まぐれ日記

・2022.10.29 米国 国家防衛戦略

・2022.10.14 米国 国家安全保障戦略

 

・2023.03.03 ENISA 国家サイバーセキュリティ戦略の実施に向けた効果的なガバナンスフレームワークの構築

・2022.10.16 オランダ サイバーセキュリティ戦略2022-2028 デジタル・セキュリティー社会の実現に向けた渇望と行動 (2022.10.10)

・2022.06.21 内閣官房 サイバーセキュリティ 2022 重要インフラのサイバーセキュリティに係る行動計画 (2022.06.17)

・2022.02.22 NATO CCDCOE 「国家サイバーセキュリティ戦略策定のためのガイド」第2版 (2021.11)

・2021.12.17 英国 国家サイバー戦略

・2021.10.11 シンガポール サイバーセキュリティ戦略2021

・2021.09.28 NISC サイバーセキュリティ戦略本部 第31回会合 サイバーセキュリティ戦略確定 (予算からみるとサイバーセキュリティは経済発展というよりも安全保障?)

・2021.09.26 独国 サイバーセキュリティ戦略2021 at 2021.09.08

・2021.07.15 経団連 提言「全員参加によるサイバーセキュリティの実現に向けて」

・2021.07.13 NISC 「次期サイバーセキュリティ戦略(案)」と「サイバーセキュリティ2021(案)」に関する意見の募集について

・2021.07.12 NATO関連機関が分析したサイバー空間におけるロシアの戦略 at 2021.06.11

・2021.07.07 NISC 「サイバーセキュリティ戦略本部第30回会合」と「サイバーセキュリティ対策推進会議(CISO等連絡会議)第18回会合」

・2021.06.29 IISS サイバー対応能力と国家力 日本のサイバー能力はいけていない?

・2021.06.03 サイバー領域の制度、法律、政策などについての米英の比較

・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令

・2021.05.13 サイバーセキュリティ戦略本部 次期サイバーセキュリティ戦略の骨子

・2020.12.08 ENISA 自国のサイバーセキュリティ能力の成熟度を自己評価するための「国家能力評価フレームワーク(NCAF)」を発行

・2020.08.11 オーストラリア政府 内務省がサイバーセキュリティ戦略2020を公表していましたね。。。

 

 

| | Comments (0)

2023.03.03

ENISA 国家サイバーセキュリティ戦略の実施に向けた効果的なガバナンスフレームワークの構築

こんにちは、丸山満彦です。

この報告書は、EUサイバーセキュリティ法が、加盟国によるネットワークと情報システムのセキュリティに関する国家戦略の策定をENISAが支援し、これらの戦略の正しい展開を促進し、国家戦略(国家サイバーセキュリティ戦略 - NCSS)の持続性を確保するガバナンスの枠組みを設定しなければならないと定めていることから発行されているようですね。。。

ガバナンスを

  1. 政治的 (Political) ガバナンス
  2. 戦略的 (Strategic) ガバナンス
  3. 運用 (Operational) ガバナンス
  4. 技術的 (Technical) ガバナンス

にわけているのが興味深いですね。。。


個人的には、サイバーセキュリティ戦略よりも、英国のサイバー戦略のほうが腹落ちをする感じだったりします。。。

 

ENISA

・2023.02.28 Building Effective Governance Frameworks for the Implementation of National Cybersecurity Strategies

Building Effective Governance Frameworks for the Implementation of National Cybersecurity Strategies 国家サイバーセキュリティ戦略の実施に向けた効果的なガバナンスフレームワークの構築
This study is focusing on the good practices around the set-up and deployment of a governance framework to support the implementation of the NCSS in the EU. The objective is to systematically review existing governance models relevant to the deployment of a NCSS and to identify and select the most relevant instances, lessons learned, and good practices from the EU Member States. The report aims to collect insights on the definition of processes, roles, and responsibilities, the subsequent deployment of monitoring measures, and to identify the main challenges and good practices that the EU Member States put in place to ensure an effective governance framework for the implementation of NCSSs. 本研究は、EUにおけるNCSSの実施を支援するためのガバナンスフレームワークの設定と展開に関するグッドプラクティスに焦点をあてている。その目的は、NCSSの展開に関連する既存のガバナンスモデルを体系的にレビューし、EU加盟国から最も関連性の高い事例、教訓、グッドプラクティスを特定・選択することである。本報告書は、プロセス、役割、責任の定義、その後のモニタリング手段の展開に関する洞察を収集し、EU加盟国がNCSS実施のための効果的なガバナンスの枠組みを確保するために導入した主な課題とグッドプラクティスを特定することを目的としている。

 

・[PDF]

20230303-63610

 

目次...

1. EXECUTIVE SUMMARY 1. エグゼクティブサマリー
2. ABBREVIATIONS 2. 用語解説
3. INTRODUCTION 3. 序文
3.1 METHODOLOGICAL APPROACH 3.1 方法論的アプローチ
4. COMMON ELEMENTS OF GOVERNANCE MODELS 4. ガバナンスモデルに共通する要素
4.1 DEFINITION OF GOVERNANCE, CYBER GOVERNANCE AND GOVERNANCE MODELS 4.1 ガバナンス、サイバーガバナンス、ガバナンスモデルの定義
4.1.1 Governance 4.1.1 ガバナンス
4.1.2 Cyber governance 4.1.2 サイバー・ガバナンス
4.1.3 Governance Models 4.1.3 ガバナンス・モデル
4.2 THE STATE OF ART OF GOVERNANCE MODEL FOR NCSS 4.2 NCSSのガバナンスモデルの現状
4.2.1 Political governance 4.2.1 政治的ガバナンス
4.2.2 Strategic governance 4.2.2 戦略的ガバナンス
4.2.3 Operational governance 4.2.3 運用ガバナンス
4.2.4 Technical governance 4.2.4 技術的ガバナンス
4.3 THE STATE OF THE ART: STATUS OF THE NCSS ACROSS THE EU MEMBER STATES 4.3 最先端技術の現状 EU加盟国のNCSSの状況
5. SETTING UP A GOVERNANCE MODEL 5. ガバナンスモデルの設定
5.1 POLITICAL GOVERNANCE 5.1 政治的ガバナンス
5.1.1 Political processes 5.1.1 政治的プロセス
5.1.2 Roles and responsibilities 5.1.2 役割と責任
5.1.3 Legal measures 5.1.3 法的措置
5.2 STRATEGIC GOVERNANCE 5.2 戦略的ガバナンス
5.2.1 Elements concerning the NCSS itself 5.2.1 NCSSそのものに関する要素
5.2.2 Elements related to the planning of the governance model and strategy’s implementation 5.2.2 ガバナンスモデルと戦略実行の計画に関する要素
5.2.3 Elements of the strategic aspects of risk identification and mitigation 5.2.3 リスクの特定と軽減の戦略的側面に関する要素
5.3 OPERATIONAL GOVERNANCE 5.3 運用ガバナンス
5.3.1 Elements about awareness raising campaigns, outreach campaigns and trainings to foster capacity-building 5.3.1 能力開発を促進するための意識向上キャンペーン、アウトリーチキャンペーン及び研修に関する要素
5.3.2 Elements of the incident response 5.3.2 インシデント対応に関する要素
5.3.3 Elements of the information sharing processes 5.3.3 情報共有プロセスの要素
5.4 TECHNICAL GOVERNANCE 5.4 技術的ガバナンス
5.4.1 Technological standardisation 5.4.1 技術的標準化
5.4.2 Use of technology, tools and certification schemes 5.4.2 技術、ツール及び認証スキームの利用
6. MONITORING A GOVERNANCE MODEL 6. ガバナンスモデルのモニタリング
6.1 MONITORING MECHANISMS OF GOVERNANCE MODELS DEPLOYED ACROSS THE MEMBER STATES 6.1 加盟国間で展開されているガバナンスモデルの監視メカニズム
6.2 POTENTIAL RE-USE OF EXISTING KPIS 6.2 既存の KPI の再利用の可能性
6.2.1 NCAF KPIs 6.2.1 NCAFのKPI
6.2.2 EU Cybersecurity Index 6.2.2 EUサイバーセキュリティ指標
6.2.3 ITU Global Cybersecurity Index indicators 6.2.3 ITUグローバル・サイバーセキュリティ・インデックス(ITU Global Cybersecurity Index)の指標
6.2.4 Cybersecurity Capacity Maturity Model for Nations (CMM) 6.2.4 国家のためのサイバーセキュリティ能力成熟度モデル(CMM)
7. CONCLUSION 7. 結論
8. BIBLIOGRAPHY / REFERENCES 8. 書誌事項・参考文献
A ANNEX: ORGANISATIONAL CHARTS OF MEMBER STATES CYBERSECURITY EN55  A 附属書:加盟国の組織図 サイバーセキュリティ EN55 
A.1 AUSTRIA A.1 オーストリア
A.2 BELGIUM A.2 ベルギー
A.3 CROATIA A.3 クロアチア
A.4 CYPRUS A.4 キプロス
A.5 CZECH REPUBLIC A.5 チェコ共和国
A.6 ESTONIA A.6 エストニア
A.7 ITALY A.7 イタリア
A.8 NETHERLANDS A.8 オランダ
A.9 SPAIN A.9 スペイン
B ANNEX: EXISTING SETS OF KPIS B 附属書:既存のKPIセット
B.1 NCAF INDICATORS B.1 NCAF指標
B.1.1 Cluster #1: Cybersecurity governance and standards B.1.1 クラスター#1: サイバーセキュリティのガバナンスと基準
B.1.2 Cluster #2: Capacity-building and awareness B.1.2 クラスター#2: キャパシティービルディングと意識向上
B.1.3 Cluster #3: Legal and regulatory B.1.3 クラスター#3: 法的規制
B.1.4 Cluster #4: Cooperation B.1.4 クラスター#4:協力関係
B.2 ITU GLOBAL CYBERSECURITY INDEX KPIS AND SPECIFIC QUESTIONS ON NATIONAL CYBERSECUIRTY STRATEGY  B.2 ITU グローバル・サイバーセキュリティ指標 KPI と国家サイバーセキュリティ戦略に関する具体的質問事項 
B.2.1 Indicators B.2.1 指標
B.2.2 Questions on national cybersecurity strategy B.2.2 国家のサイバーセキュリティ戦略に関する設問
B.3 CYBERSECURITY CAPACITY MATURITY MODEL FOR NATIONS (CMM) B.3 国家のサイバーセキュリティ能力成熟度モデル(CMM)
B.3.1 Factor - D 1.1: National Cybersecurity Strategy B.3.1 要素 - D 1.1:国家サイバーセキュリティ戦略
B.3.2 Factor - D 1.2: Incident Response and Crisis Management B.3.2 要素 - D 1.2:インシデントレスポンスとクライシスマネジメント
B.3.3 Factor - D 1.3: Critical Infrastructure (CI) Protection B.3.3 要素 - D 1.3:重要インフラ(CI)保護
B.3.4 Factor - D 1.4: Cybersecurity in Defence and National Security B.3.4 要素 - D 1.4:国防及び国家安全保障におけるサイバーセキュリティ
B.3.5 Factor - D 2.1: Cybersecurity Mindset B.3.5 要素 - D 2.1:サイバーセキュリティのマインドセット
B.3.6 Factor - D 2.2: Trust and Confidence in Online Services B.3.6 要素 - D 2.2:オンラインサービスに対する信頼と信用
B.3.7 Factor - D 2.3: User Understanding of Personal Information Protection Online B.3.7 要素 - D 2.3:オンライン上の個人情報保護に関する利用者の理解度
B.3.8 Factor - D 2.4: Reporting Mechanisms B.3.8 要素 - D 2.4:通報の仕組み
B.3.9 Factor - D 2.5: Media and Online Platforms B.3.9 要素 - D 2.5:メディア及びオンラインプラットフォーム
B.3.10 Factor - D 3.1: Building Cybersecurity Awareness B.3.10 要素 - D 3.1:サイバーセキュリティに対する意識の構築
B.3.11 Factor - D 3.2: Cybersecurity Education B.3.11 要素 - D 3.2:サイバーセキュリティ教育
B.3.12 Factor - D 3.3: Cybersecurity Professional Training B.3.12 要素 - D 3.3:サイバーセキュリティの専門家養成
B.3.13 Factor - D 3.4: Cybersecurity Research and Innovation B.3.13 要素 - D 3.4:サイバーセキュリティの研究と革新
B.3.14 Factor - D 4.1: Legal and Regulatory Provisions B.3.14 要素 - D 4.1:法的規制条項
B.3.15 Factor - D 4.2: Related Legislative Frameworks B.3.15 要素 - D 4.2:関連する法的枠組み
B.3.16 Factor - D 4.3: Legal and Regulatory Capability and Capacity B.3.16 要素 - D 4.3:法的・規制的能力・制度
B.3.17 Factor - D 4.4: Formal and Informal Co-operation Frameworks to Combat Cybercrime B.3.17 要素 - D 4.4:サイバー犯罪に対抗するための公式・非公式な協力体制
B.3.18 Factor - D 5.1: Adherence to Standards B.3.18 要素 - D 5.1:標準への準拠
B.3.19 Factor - D 5.2: Security Controls B.3.19 要素 - D 5.2:セキュリティ管理
B.3.20 Factor – D 5.3 Software Quality B.3.20 要素 - D 5.3:ソフトウエアの品質
B.3.21 Factor - D 5.4: Communications and Internet Infrastructure Resilience B.3.21 要素 - D 5.4:通信及びインターネットインフラストラクチャのレジリエンス
B.3.22 Factor - D 5.5: Cybersecurity Marketplace B.3.22 要素 - D 5.5:サイバーセキュリティ市場

 

エグゼクティブサマリー

1. EXECUTIVE SUMMARY  1. エグゼクティブサマリー 
The importance of a sound governance model for the implementation of the National  国家サイバーセキュリティ戦略(NCSE)の実施には、健全なガバナンスモデルが重要である。
Cybersecurity Strategies (NCSSs) has been highlighted in numerous testimonies of the Member States as well as included in the NIS and NIS2 Directive. However, each country deploys its own governance model with a different level of maturity.  サイバーセキュリティ戦略 (NCSS) の実施における健全なガバナンスモデルの重要性は、NIS および NIS2 指令に含まれるだけでなく、加盟国の数多くの証言でも強調されている。しかし、各国はそれぞれ異なる成熟度のガバナンスモデルを展開している。
ENISA, taking on its mandate to support and promote the development, deployment and implementation of the NCSS and accompanying governance models, produced this study on "Building Effective Governance Frameworks for The Implementation of National Cybersecurity Strategies". It analyses existing governance models to share a set of good practices when developing a governance model and putting in place the different governance elements.  ENISAは、NCSSとそれに付随するガバナンスモデルの開発、展開、実施を支援・促進する任務を担い、「国家サイバーセキュリティ戦略の実施のための効果的なガバナンスフレームワークの構築」に関するこの研究を作成した。この研究では、既存のガバナンスモデルを分析し、ガバナンスモデルを開発し、様々なガバナンス要素を導入する際のグッドプラクティスを共有している。
The proposed governance model consists of four layers with 10 sub-categories, and provides a total of 28 good practices:  提案するガバナンスモデルは、4つのレイヤーと10のサブカテゴリーで構成されており、合計28のグッドプラクティスを提供している。
• Political governance •  政治的ガバナンス
o Political processes;  o 政治的プロセス 
o Roles and responsibilities; and  o 役割と責任 
o Legal measures.  o 法的措置 
• Strategic governance •  戦略的ガバナンス
o Strategy itself and its implementation; and  o 戦略そのものとその実施 
o Risk identification and mitigation.  o リスクの特定と緩和 
• echnical governance  •  技術的ガバナンス
o International standards and technical guidelines; and  o 国際規格及び技術指針 
o Use of technology, tools and certification schemes.  o 技術、ツール、認証スキームの使用 
• Operational governance •  運用ガバナンス
o Awareness raising;  o 意識改革 
o Incident response; and  o インシデント対応、及び 
o Information sharing.  o 情報共有 
The good practices have been defined based on data collected through desk research and interviews with experts and relevant stakeholders from the Member States. The data collected has been analysed to identify trends, and effective instances across the different elements of governance. While the interviews had a European focus with 19 interviews with stakeholders from 18 EU Member States, the geographical scope of the desk research includes a global outreach.  グッドプラクティスは、加盟国の専門家や関係者との机上調査やインタビューを通じて収集されたデータに基づいて定義されている。収集したデータを分析し、ガバナンスのさまざまな要素における傾向や効果的な事例を特定した。インタビューはヨーロッパに焦点を当て、18のEU加盟国から19人の関係者にインタビューを行ったが、である机上調査の地理的範囲には、グローバルなアウトリーチが含まれている。
Finally, this report provides insights on KPIs and general indicators to monitor and evaluate the status of implementation of the NCSS and its governance model.  最後に、本報告書はNCSSとそのガバナンスモデルの実施状況を監視・評価するためのKPIと一般的な指標に関する洞察を提供するものである。

 

序文、ガバナンスの要素...

3. INTRODUCTION  3. 序文 
With the publication of the Network and Information Security (NIS) Directive[1] in July 2016 and issuing of the draft agreement of the NIS2 in June 2022, the EU Member States have been required to adopt a National Cybersecurity Strategy (NCSS). The NCSS should put forward strategic principles, and guidelines, objectives and priorities to improve and maintain a higher level of security in the context of network and information systems.   2016年7月のネットワークと情報セキュリティ(NIS)指令[1]の発行と2022年6月のNIS2の合意案発行により、EU加盟国は国家サイバーセキュリティ戦略(NCSS)を採択することが求められるようになった。NCSSは、ネットワークと情報システムの文脈でより高いレベルのセキュリティを改善し維持するための戦略的原則、およびガイドライン、目標、優先順位を提示する必要がある。 
In this relation, and as stated by the EU Cybersecurity Act[2], ENISA shall not only support the Member States in developing national strategies but shall also promote the effective deployment of those strategies and support the set-up of a governance model ensuring the sustainability of the NCSS.  この関連で、またEUサイバーセキュリティ法[2]にあるように、ENISAは加盟国による国家戦略の策定を支援するだけでなく、これらの戦略の効果的な展開を促進し、NCSSの持続可能性を確保するガバナンスモデルの構築を支援しなければならない。
As part of its mandate, ENISA publishes a study focusing on the good practices around the setup and deployment of a governance framework to support the implementation of the NCSS in the EU. The objective of this study is to systematically review existing governance models relevant to the deployment of a NCSS and to identify and select the most relevant instances, lessons learned, and good practices from the EU Member States.   ENISAは、その任務の一環として、EUにおけるNCSSの実施を支援するためのガバナンスの枠組みの構築と展開に関するグッドプラクティスに焦点を当てた研究を発表している。この研究の目的は、NCSSの展開に関連する既存のガバナンスモデルを体系的にレビューし、EU加盟国から最も関連性の高い事例、学んだ教訓、優れた実践を特定・選択することである。 
This study aims to collect insights on the definition of processes, roles, and responsibilities, the subsequent deployment of monitoring measures, and to identify the main challenges and good practices that the EU Member States put in place to ensure an effective governance framework for the implementation of NCSSs.  この研究の目的は、プロセス、役割、責任の定義、その後のモニタリング手段の展開に関する見識を収集し、EU加盟国がNCSSの実施のための効果的なガバナンスの枠組みを確保するために導入した主な課題とグッドプラクティスを特定することである。
3.1 METHODOLOGICAL APPROACH  3.1 方法論的アプローチ 
The methodological approach used to gather the best practices of governance frameworks relies on four main steps:   ガバナンスの枠組みのベストプラクティスを収集するために用いた方法論的アプローチは、4 つの主要なステップに依存している。 
1. Desk Research: The first step involved conducting an extensive literature review to collect good practices and trends on governance models. The desk research has been focused on good practices adopted in the EU Member States, while insights collected from around the world complement the analysis. A systematic literature review approach has been deployed to review all documents coherently and to methodologically assess the insights of each source in terms of relevance, usefulness, and applicability.  1. 机上調査:最初のステップでは、ガバナンスモデルに関するグッドプラクティスや傾向を収集するため、広範な文献調査を行った。机上調査は、EU加盟国で採用されているグッドプラクティスに焦点を当てましたが、世界各国から収集した知見も分析を補完するものである。すべての文献を一貫してレビューし、各出典の洞察を関連性、有用性、適用可能性の観点から方法論的に評価するために、体系的な文献レビューアプローチを展開した。
2. Collection of experts and stakeholders’ points of view: In this context, 19 stakeholders from 18 EU Member States have been interviewed to gain first-hand insights on the status of governance models across the EU Member States, and to identify good practices, as well as challenges, needs and lessons learned. The national stakeholders have all been part of the national authority or government body in charge of the cybersecurity strategy.  2. 専門家およびステークホルダーの見解の収集:この文脈では、EU加盟国全体のガバナンスモデルの状況について直接的な洞察を得るとともに、グッドプラクティス、ならびに課題、ニーズ、教訓を特定するために、EU加盟18カ国から19人のステークホルダーをインタビューした。各国のステークホルダーは、いずれもサイバーセキュリティ戦略を担当する国の当局や政府機関の一員であった。
3. Analysis of stocktaking input: The data collected through desk research and interviews were subsequently analysed to identify good practices in the design of a governance framework.   3. 棚卸しインプットの分析:その後、机上調査とインタビューを通じて収集したデータを分析し、ガバナンスのフレームワークを設計する際のグッドプラクティスを特定した。 
4. Definition of best practices for governance: Thereafter, good practices and trends in setting up governance models have been defined and validated with national experts, before publication.  4. ガバナンスのベストプラクティスの定義:その後、ガバナンスモデルを設定する際のグッドプラクティスや傾向を定義し、国内の専門家による検証を経て、発行に至った。
The target audience of this study includes policymakers, experts, and government officials responsible for or involved in designing, implementing, and monitoring the NCSS, its processes, actions, and objectives. 本調査の想定読者は、NCSS、そのプロセス、行動、目的の設計、実施、モニタリングに責任を持つ、または関与する政策立案者、専門家、政府関係者である。
4. COMMON ELEMENTS OF GOVERNANCE MODELS  4. ガバナンスモデルに共通する要素 
This section defines a common understanding of the concepts of governance, cyber governance, and governance models. Moreover, it highlights the main results and insights from the literature review conducted on the topic of governance models of NCSS. By doing so it outlines the main elements of different levels of governance and builds the framework for analysis leveraged on in chapter 5.  本節では、ガバナンス、サイバーガバナンス、ガバナンスモデルという概念の共通認識を定義する。さらに、NCSS のガバナンスモデルをテーマとして実施した文献レビューの主な結果と考察を明らかにする。これにより、さまざまなレベルのガバナンスの主要な要素を概説し、第5章で活用する分析の枠組みを構築する。
4.1 DEFINITION OF GOVERNANCE, CYBER GOVERNANCE AND GOVERNANCE MODELS  4.1 ガバナンスの定義、サイバーガバナンスとガバナンスモデル 
The desk research on governance models included 49 sources, reaching from academic and scientific articles, over reports, to guides on how to develop governance models as well as governance models themselves. The main focus of the geographical scope has been the EU, nevertheless, inputs from other countries (e.g., USA) have been considered to ensure a wide array of results and to also take into account the developments in other parts of the world.  ガバナンスモデルに関する机上調査では、学術論文から報告書、ガバナンスモデルの開発方法に関するガイド、ガバナンスモデルそのものに至るまで、49の情報源を対象とした。地理的には EU を中心に調査したが、他の国(例:米国)からのインプットも考慮し、幅広い結果を得 るとともに、世界の他の地域の発展も考慮した。
4.1.1  Governance  4.1.1 ガバナンス 
The term governance is used in a plethora of different topics and different contexts. Following the vast amount of available literature on the topic of governance, there is not one, allencompassing definition that would hold across its different areas of application. Rather, multiple but complementary, partly overlapping definitions exist to describe and detail what ‘governance’ entails.   ガバナンスという用語は、様々なテーマや文脈で使用されている。ガバナンスに関する膨大な文献を見ると、様々な分野で通用する包括的な定義は存在しないことがわかる。むしろ、複数の定義が存在するが、補完的であり、部分的に重なり合いながら、「ガバナンス」が何を意味するのかを説明している。 
Stemming from the original meaning of ‘governing’ in the context of individual rule it is and has been used throughout time often about institutional structures. The concept originally describes actions and processes to lead, structure, and enable institutions and organisations to exist, function, and persist. Only recently, governance has been related to international institutions and gained popularity. It has started to be used by international organisations such as the European Union, World Bank, the International Monetary Fund (IMF), and the Organisation for Economic Co-operation and Development (OECD) more frequently. Further, it has been stated that since the concept has gained more popularity, governance became one of the most controversially discussed topics when it comes to democracy theory and democratisation.[3] Governance is predominantly seen as:  元来、「統治」は個人の支配という意味で使われていたが、時代とともに制度的な構造について使われることが多くなった。この概念はもともと、制度や組織が存在し、機能し、存続できるように導くための行動やプロセスを説明するものである。最近になって、ガバナンスは国際的な制度と関連づけられ、広く知られるようになった。欧州連合(EU)、世界銀行、国際通貨基金(IMF)、経済協力開発機構(OECD)などの国際機関でも頻繁に使用されるようになった。さらに、この概念が普及して以来、ガバナンスは民主主義論や民主化に関して最も議論されるテーマの1つとなったとも言われている[3]。
•   a process to coordinate a network of stakeholders with independent positions, opposing and conflicting opinions and interests;  ・独立した立場,対立する意見,利害を持つステークホルダーのネットワークを調整するプロセス
•   a mechanism to steer and control society, and results from the interaction of political, economic and social actors;  ・社会を舵取りし,コントロールするメカニズムであり,政治的,経済的,社会的なアクターの相互作用から生じるもの。
•   a complex system including different stakeholders from the public administration, the private sector and non-governmental organizations, influenced by interactions thereof; and  ・行政,民間企業,非政府組織などのさまざまな利害関係者を含み,それらの相互作用の影響を受ける複雑なシステム。
•   a triangle composed of participation, transparency and accountability and creates a framework “regulating socio-economic conditions, developing social and physical infrastructures, and providing social security nets”.[4]  - 参加、透明性、説明責任からなる三角形で、「社会経済的条件の調整、社会的・物理的インフラの開発、社会保障網の提供」の枠組みを作る[4]。
For the remainder of this study, we will use the following definition of governance:   本研究の残りの部分では、以下のようなガバナンスの定義を用いることにする。 
Governance describes a complex system, defining roles, responsibilities, processes and relationships between involved actors. Governance includes stakeholders from the private sector, public administration as well as civil society and spans over different topics such as economic, social and political priorities.  ガバナンスとは、複雑なシステムを記述するものであり、関係者間の役割、責任、プロセス、関係を定義するものである。ガバナンスは、民間企業、行政、市民社会などのステークホルダーを含み、経済的、社会的、政治的な優先順位など、さまざまなトピックにまたがる。
4.1.2  Cyber governance  4.1.2 サイバー・ガバナンス 
The domains of cyber, cybersecurity and cyber threats experienced increasing importance, and cyber governance became a popular topic. While the field of cyber or ‘cyberspace’ describes the environment consisting of the global information systems and their connecting network, cybersecurity entails the prevention of damage and the protection against attacks on, among others, computers, information and communication systems as well as processes, data, hard- and software.[5] Threats in the cyberspace arise from attacks on the processed information or the systems themselves. Cybersecurity is also part of the cyberspace and aims at securing the confidentiality, integrity, accessibility, availability and privacy of the information processed, stored and used.[6] Given the interconnections in the cyberspace, cybersecurity cannot be assessed, analysed or described without taking into account other aspects of cyberspace as well.  サイバー、サイバーセキュリティ、サイバー脅威の領域は重要性を増し、サイバーガバナンスは 人気のトピックとなった。サイバー又は「サイバースペース」の分野がグローバルな情報システムとその接続ネットワークからなる環境を説明する一方で、サイバーセキュリティは、特にコンピュータ、情報通信システム、プロセス、データ、ハード及びソフトウェアに対する損傷の防止と攻撃からの保護を含む[5]。サイバーセキュリティもまたサイバースペースの一部であり、処理、保存、使用される情報の機密性、完全性、アクセス性、可用性、プライバシーを確保することを目的としている[6]。サイバースペースの相互接続を考えると、サイバースペースの他の側面も考慮に入れずにサイバーセキュリティを評価、分析、記述することはできない。
The functioning of the cyberspace depends on various stakeholders, processes and elements within cyber governance. International organisations started to find solutions for challenges related to cyber governance, for example developing and signing the ‘Cyber Crime  サイバースペースの機能は、サイバーガバナンスにおける様々な利害関係者、プロセス、要素に依存している。国際組織は、サイバーガバナンスに関連する課題の解決策を模索し始め、例えば、「サイバー犯罪条約」を開発し、署名した[7]。
Convention’'.[7] In addition, international standardisation has been adopted, i.e., ISO/IEC 38500:2015 providing guiding principles[8] for governing bodies’ members on “effective, efficient and acceptable use of IT in their organizations”.[9]  さらに、国際標準化が採用され、ISO/IEC 38500:2015は、統治機関のメンバーに対して「組織における効果的、効率的かつ許容可能なITの使用」に関する指導原則[8]を提供している[9]。
Definitions of cyber governance are emerging and describe it as the   サイバーガバナンスの定義が登場し、次のように記述されている。 
“Operation of decision-making processes” which increase and ensure “participation, transparency, and accountability in taking measures related to cyberspace together with the mechanism of international agreements, strategies, laws, measures, regulations, and standards that interlock in the best way”.[10]   「最良の方法で連動する国際協定、戦略、法律、措置、規制、標準のメカニズムとともに、サイバースペースに関連する措置をとる際の参加、透明性、説明責任」を高め、確保する「意思決定プロセスの運用」[10]。 
This definition will be used for the remainder of this study.  この定義は、この研究の残りの部分で使用されることになる。
4.1.3  Governance Models  4.1.3 ガバナンス・モデル 
Similar to the definition of governance, a single definition of the governance model is not agreed upon in the literature. Different types, descriptions and definitions have been developed covering different levels of granularity. This section aims to provide an overview of the current state of the art of developing governance models. To this end, structured desk research has been conducted focusing on the development and set-up of governance models in general, and specifically, the ones related to the implementation of NCSSs.   ガバナンスの定義と同様に、ガバナンスモデルの定義も、文献上では統一されていない。さまざまなタイプの説明や定義が開発され、さまざまなレベルの粒度をカバーしている。このセクションでは、ガバナンスモデル開発の現状を概観することを目的としている。この目的のために、一般的なガバナンスモデルの開発とセットアップ、特にNCSSの実施に関連するものに焦点を当てた構造化された机上調査を実施した。
In the literature, two main patterns of defining governance models are predominant, one focusing on the different layers of governance and one targeting the stakeholders and objectives of the model. An advantage of the latter is that overarching and transversal activities can be integrated, analysed and evaluated. However, this might come at the expense of the accuracy of the definition of the roles and responsibilities of the stakeholders involved and their accountability. The Government Cyber Security Strategy of the British Government employs this path in defining its governance model and focuses on the overall objectives of the implementation of the cybersecurity strategy.[11]  文献上では、ガバナンスモデルの定義として、ガバナンスの各層に焦点を当てたものと、ステークホルダーとモデルの目的に焦点を当てたものの2つのパターンが主流となっている。後者の利点は、包括的かつ横断的な活動を統合し、分析・評価できることである。しかし、このことは、関係する利害関係者の役割と責任及びその説明責任の定義の正確さを犠牲にすることになるかもしれない。英国政府の政府サイバーセキュリティ戦略は、ガバナンスモデルを定義する際にこの道を採用し、サイバーセキュリティ戦略の実施に関する全体的な目標に焦点を合わせている[11]。
Defining a governance model based on its different layers might increase the overall complexity of the framework, however, this option yields several benefits, including a more thorough description of its components (e.g., stakeholders, objectives, etc.). In addition, it is possible to provide a clear allocation of responsibilities and describe more detailed channels of communication, information exchange and collaboration. The different levels of governance include the political aspect, definition of processes, roles and responsibilities, operationalisation of actions and their technical implementation. The Global Cybersecurity Index divides governance models into legal, technical, organisational, capacity development and cooperative measures.[12] Similarly, cybersecurity governance in some US States focuses on the following areas of governance, as identified by the Department of Homeland Security: Strategy and planning, budget and acquisition, risk identification and mitigation, incident response, information sharing, workforce and education.[13]  異なる層に基づいてガバナンスモデルを定義することは、フレームワークの全体的な複雑さを増すかもしれないが、このオプションは、その構成要素(利害関係者、目的など)をより徹底的に説明することを含むいくつかの利点をもたらす。さらに、責任の分担を明確にし、コミュニケーション、情報交換、協力のチャンネルをより詳細に記述することが可能である。ガバナンスの異なるレベルには、政治的側面、プロセスの定義、役割と責任、アクションの運用化、およびその技術的実装が含まれる。グローバルサイバーセキュリティインデックスでは、ガバナンスモデルを法的、技術的、組織的、能力開発、協力的措置に分類している[12]。 同様に、いくつかの米国州におけるサイバーセキュリティガバナンスは、国土安全保障省が特定した以下のガバナンス領域に焦点をあてている。戦略と計画、予算と買収、リスクの特定と軽減、インシデント対応、情報共有、労働力と教育[13]。
This report will follow the majority of sources analysed and will define governance models along different levels or layers. This allows the provision of a more granular assessment of governance models. The elements of the framework such as objectives, stakeholders and actions can be described per level, providing a holistic approach to their definition.  本報告書では、分析したソースの大部分に従い、さまざまなレベルまたは層に沿ったガバナンスモデルを定義する。これにより、ガバナンスモデルのより詳細な評価を提供することができる。目的、利害関係者、行動といったフレームワークの要素をレベルごとに説明し、その定義に全体的なアプローチを提供することができる。
While governance can be divided into a variety of levels, most sources assessed governance along similar layers. Based on the conducted desk research four main levels of governance have been identified as predominant, thus, these were selected to build the governance framework of this report:  ガバナンスは様々なレベルに分けられるが、ほとんどの情報源は同様のレイヤーに沿ってガバナンスを評価している。本報告書では、机上調査の結果、4つの主要なガバナンスのレベルが明らかになったので、これらを選んでガバナンスのフレームワークを構築した。
a) Political governance;  a) 政治的ガバナンス 
b) Strategic governance;  b) 戦略的ガバナンス 
c) Operational governance; and  c) 運用ガバナンス、および 
d) Technical governance.  d) 技術的ガバナンス 
The next section will provide an overview of the main elements driving each of the four levels of governance.  次章では、4 つのガバナンスの各レベルを推進する主な要素について概観する。
4.2  THE STATE OF ART OF GOVERNANCE MODEL FOR NCSS  4.2 NCSS のガバナンスモデルの現状 
In general, political governance is the most thoroughly covered level of governance in literature. Specifically, the set-up of processes and the allocation of responsibilities to ensure a successful governance framework are the most prominent elements.[14] In addition, elements concerning incident response in the context of operational governance have been pointed out by several sources.[15] While their importance is highlighted and aspects are clearly defined, elements of the strategic and technical layers are less thoroughly covered.  一般に、政治的ガバナンスは、文献上最もよく取り上げられているガバナンスのレベルである。具体的には、ガバナンスの枠組みを成功させるためのプロセスの設定と責任の分担が最も顕著な要素である[14]。 また、運用ガバナンスの文脈では、インシデント対応に関する要素が複数の情報源から指摘されている[15]。その重要性が強調され、側面が明確に定義されている一方で、戦略的、技術的なレイヤーの要素はあまりカバーされていない。 

In addition to the main elements governing the different levels of governance, the literature emphasises the importance of monitoring mechanisms across all levels. Their establishment along with the ones of key performance indicators (KPIs) or other measures for coherent evaluation is important for the successful implementation of NCSSs. Chapter 6 covers the monitoring of governance models in detail.  異なるレベルのガバナンスを支配する主要な要素に加えて、文献は、すべてのレベルにわたる監視メカニズムの重要性を強調している。KPI(主要業績評価指標)やその他の一貫した評価のための指標とともに確立することが、NCSSの成功のために重要である。第6章では、ガバナンスモデルのモニタリングについて詳述する。
The remainder of this chapter will highlight the findings and point out the identified trends from the desk research across the four levels of governance: political, strategic, operational and technical. This provides the framework for the analysis carried out under chapter 5, which focuses on the inputs shared by the Member States.  本章では、政治、戦略、運用、技術という 4 つのガバナンスのレベルについて、机上調査から 得られた知見とその傾向について述べる。これは、加盟国が共有するインプットに焦点を当てた第 5 章で行われる分析のための枠組みを提供する。
4.2.1  Political governance  4.2.1 政治的ガバナンス 
Political governance provides a framework of defined processes and relationships as well as legal guidelines. It establishes the formal angle of governance and is often seen as governance itself, as it is tightly related to the execution of political actions and entails governing, leading and overseeing processes and actions implemented. The main objective of the political layer is the establishment of processes, roles and responsibilities to ensure the implementation of the NCSSs and their related policies. In turn, official processes, clearly defined roles and proper legal measures foster the creation of accountability, ensure transparency and facilitate the acceptance of the NCSSs among all the relevant stakeholders.  政治的ガバナンスは、定義されたプロセスや関係、法的ガイドラインの枠組みを提供する。政治的ガバナンスは、政治的行動の実行と密接に関連し、実行されるプロセスと行動を管理、指導、監督することを伴うため、ガバナンスの正式な角度を確立し、しばしばガバナンスそのものとみなされる。政治層の主な目的は、NCSSとその関連政策の実施を確実にするためのプロセス、役割、責任を確立することである。そして、公的なプロセス、明確に定義された役割、適切な法的措置は、説明責任の創設を促進し、透明性を確保し、すべての関係者の間でNCSSの受け入れを促進するものである。
Political bodies, such as dedicated cybersecurity agencies or departments within different ministries are leading the political level. Hence, oftentimes, decision-makers are included in some of the processes to ensure accountability and political acceptance. Other actors actively participating in building and executing political governance are academia, consultancies and other expert bodies, which provide topical expertise and support to political actors in setting up, organising and executing political governance. Public-Private Partnerships (PPPs) play an important role in the enforcement and accountability of political governance, as they help build bridges between the private and the public sector, ensuring the implementation of actions responding to industry needs.[16]  異なる省庁内のサイバーセキュリティ専門機関や部局といった政治的な機関が、政治レベルを主導している。したがって、説明責任と政治的受容を確保するために、意思決定者がプロセスの一部に含まれることがよくある。政治的ガバナンスの構築と実行に積極的に参加するその他のアクターは、学界、コンサルタント会社、その他の専門機関であり、政治的ガバナンスの設定、組織化、実行において、話題の専門知識と政治的アクターのサポートを提供する。官民パートナーシップ(PPP)は、政治的ガバナンスの実施と説明責任において、民間と公共部門の橋渡しをし、業界のニーズに対応したアクションの実施を保証する重要な役割を担っている[16]。
Common elements of political governance can be clustered into three main groups, as defined in Figure 1, namely: i) Political processes, ii) Roles and responsibilities, and iii) Legal measures.  政治的ガバナンスの共通要素は、図1に定義したように、i) 政治的プロセス、ii) 役割と責任、iii) 法的措置という3つの主要なグループに分類することができる。
Figure 1: Main elements of political governance  図1:政治的ガバナンスの主な要素 
  Figure-1-main-elements-of-political-gove
Source: Authors’ own elaboration.   出典 著者による推敲  
In general, political governance seems to be the most advanced of all four levels of governance, in fact, measures to define political processes, roles and responsibilities seem to be most actively discussed and analysed by the literature. Legal measures are not equally assessed, however, their importance is vital as they set the basis for the country’s legal framework and the obligations of the different stakeholders.  一般に、政治的ガバナンスは、4つのレベルのガバナンスの中で最も進んでいると思われ、実際、政治的プロセス、役割と責任を定義するための措置が、文献上、最も活発に議論され分析されているようである。法的措置も同様に評価されてはいないが、国の法的枠組みの基礎となるものであり、様々な利害関係者の義務を定めるものであるため、その重要性は極めて高い。
Political Processes  政治的プロセス 
Among the elements of political processes, particular emphasis is put on initiating cooperative and collaborative approaches and ensuring joint dialogues. In this context, the inclusion and active participation of various stakeholder groups across different levels has been stressed[17], together with the creation and active integration of PPPs in the political processes given their contribution in actively shaping the implementation, monitoring and evaluation of NCSSs.[18] Additionally, the importance of inter-sectoral cooperation has been highlighted due to the possibility of creating synergies and ensuring commitment to the implementation of actions among stakeholders.[19]  政治的プロセスの要素のうち、特に強調されているのは、協力的・協調的なアプローチを開始し、共同対話を確保することである。この文脈では、異なるレベルの様々な利害関係者グループの包含と積極的な参加が強調されており[17]、NCSSの実施、モニタリング及び評価を積極的に形成する上での寄与を考慮した政治プロセスにおけるPPPの創設と積極的な統合も併せて強調されている[18]。さらに、シナジーの創出と利害関係者の行動実施へのコミットメントの確保が可能であることから、部門間協力の重要性が強調されてきた[19]。
In addition, cooperation and collaboration across the different governmental institutions are essential to guarantee a coherent approach towards the implementation of the NCSSs. Intragovernmental coordination and cooperation are considered core functions and prerequisites for functioning governance mechanisms, such as the application of standards, regulations and market incentives. Hence, cooperation between government institutions is ultimately important to ensure that the desired outcomes are met, and that the objectives of the governance model and the strategy are fulfilled.[20]  さらに、NCSSの実施に向けた首尾一貫したアプローチを保証するためには、異なる政府機関間の協力と連携が不可欠である。政府内の調整と協力は、基準、規制、市場インセンティブの適用など、ガバナンスメカニズムが機能するための中核的な機能であり、前提条件であると考えられている。したがって、政府機関間の協力は、望ましい結果が満たされ、ガバナンスモデルと戦略の目的が達成されることを保証するために、究極的に重要である[20]。
Lastly, international cooperation and collaboration have been pointed out as highly important. It has been stated that, given the international character of the cyberspace, a complete solution for cyber governance cannot be based on national understanding alone, but needs to be embedded and coordinated in the international arena.[21] Further, international cooperation, collaboration and exchange on the set-up of a governance model will benefit all parties through the development and improvement of cyber governance. In this regard, the development of an international common language for cyber defence is considered an immediate necessity to enable international exchange among experts.[22]  最後に、国際的な協力・連携も重要性が高いと指摘されている。サイバー空間の国際性を考えると、サイバーガバナンスの完全な解決策は、国の理解だけでは不可能であり、国際的な場に組み込まれ調整される必要があると述べられている[21]。 さらに、ガバナンスモデルの設定に関する国際協力、連携、交流は、サイバーガバナンスの発展と改善を通じて全ての関係者に利益をもたらすことになる。この点で、サイバー防衛のための国際的な共通言語の開発は、専門家間の国際的な交流を可能にするために直ちに必要であると考えられている[22]。
Definition of roles and responsibilities  役割と責任の定義 
After the political processes, the definition of roles and responsibilities is the most covered aspect in literature. All stakeholders must have clearly allocated roles, and responsibilities to ensure the successful implementation of the strategy and achieving its objectives.[23] In this relation, it has been mentioned that personnel and financial resources should be clearly defined and allocated. The clear allocation of responsibilities is important to ensure accountability of the responsible actors, while the clear allocation of roles is important to set up an effective and efficient governance system and avoid overlapping of mandates.  政治的なプロセスに続いて、役割と責任の定義が、文献上最も多く取り上げられている側面である。すべての利害関係者は、戦略の成功裏の実施とその目的の達成を確実にするために、明確に割り当てられた役割と責任を持たなければならない[23]。この関連で、人材と財源が明確に定義され、割り当てられるべきであることが言及されている。責任の明確な配分は、責任ある関係者の説明責任を確保するために重要であり、役割の明確な配分は、効果的かつ効率的なガバナンスシステムを構築し、任務の重複を避けるために重要である。 
A common trend emerging from desk research is the setting-up of a lead authority or body. While different options can be deployed to do so, a central body or actor taking the main coordinating responsibilities and roles seems beneficial and is important to allocate actions and monitor the progress of implementation.[24] There are three commonly applied options: building an entirely new body dedicated to the implementation of the NCSS; expanding the mandate and the responsibilities of an already existing central body; or extending the responsibilities of several decentralized political entities, such as ministries. In addition, working groups on different topics might be established to enable engagement across bodies and entities involved.[25] They facilitate and develop formalized cooperation mechanisms to enable international collaboration.[26] Finally, the establishment of an advisory council built by academic and industry experts to be consulted by responsible government officials has been pointed out as particularly beneficial.[27]  机上調査から浮かび上がってきた共通の傾向は、主導的な当局や組織の設置である。そのために様々なオプションを展開することができるが、中央の機関またはアクターが主な調整責任と役割を担うことは有益であり、行動を割り当て、実施の進捗を監視することが重要である[24]。一般的に適用されるオプションは、NCSSの実施を専門とする全く新しい機関の設立、既存の中央機関の任務と責任の拡大、省庁などいくつかの分権的政治機関の責任の拡大という3つである。さらに、関係機関や団体間の連携を可能にするために、異なるトピックに関するワーキンググループを設置することも考えられる[25]。 また、国際協力を可能にするための正式な協力メカニズムを促進・発展させる[26]。最後に、学術・産業の専門家によって構成され、担当政府職員の諮問を受ける諮問委員会の設置が特に有益であると指摘されている[27]。
Another option refers to the partial or full outsourcing of the cybersecurity services to PPPs by establishing them as stand-alone organisations. This is particularly helpful if the government misses the expertise or capacity to react to the identified needs for action. The PPPs provide cybersecurity services, while the national public authorities remain in an overseeing position.[28] The different set-ups of and the collaboration with PPPs are widely discussed, and there is a common agreement on the strategic importance of including them within the NCSS and its governance model. The organisation, structure and legal basis of PPPs differentiate from country to country, however, a common factor pointed out by several sources is the relevance of including governmental and private sector representatives (e.g., SMEs) in the PPP decisionmaking process.[29]  もう一つの選択肢は、独立した組織として設立することによって、サイバーセキュリティサービスの一部または全部を PPP にアウトソーシングすることである。これは、政府が特定された対策ニーズに対応するための専門知識や能力を欠く場合に特に有用である。PPP はサイバーセキュリティサービスを提供し、国の公的機関は監督する立場にとどまる[28]。PPP のさまざまな設定と連携については広く議論されており、NCSS とそのガバナンスモデルに組み込むことの戦略的重要性については共通の合意が得られている。PPPの組織、構造、法的基盤は国によって異なるが、いくつかの情報源から指摘されている共通の要因は、PPPの意思決定プロセスに政府及び民間部門の代表(例:中小企業)を含めることの関連性である[29]。
Legal measures  法的措置 
Regarding legal measures for governance models, it has been stressed that the establishment of a legal framework or a legal governance system is important to provide guidance and support. Additionally, the existence of legal measures provides legally binding mandates and ensures enforcement, accountability and transparency during the implementation process.[30] On implementing legal measures, it has been specified that they should be built in a far-sighted approach to be able to accompany future changes brought by digitalisation.[31]  ガバナンスモデルのための法的措置については、ガイダンスとサポートを提供するために法的枠 組みや法的ガバナンスシステムの確立が重要であることが強調されている。さらに、法的措置の存在は法的拘束力のある指令を提供し、実施プロセスにおける執行、説明責任、透明性を確保する[30]。法的措置の実施については、デジタル化がもたらす将来の変化に対応できるよう、先見性のあるアプローチで構築されるべきであると明記されている[31]。
To support the cooperative and collaborative approach, legal measures should be inclusive and have general validity, to ensure that all institutions, organisations and related stakeholders are committed to the NCSS, its governance model and the implementing actions. Legal measures also help giving policies and actions for the implementation of a governance model a binding character and are hence essential tools of a complete governance model.[32]   協力的で協調的なアプローチを支援するために、法的措置は包括的で一般的な効力を持ち、すべての機関、組織、関連する利害関係者がNCSS、そのガバナンスモデル、実施行動にコミットすることを保証するものでなければなりません。法的措置はまた、ガバナンスモデルの実施のための政策と行動に拘束力を与えるのに役立ち、それゆえ完全なガバナンスモデルの不可欠なツールである[32]。 
In line with the importance of setting up international cooperation and collaboration, the legal framework should reflect this by international guidelines and cooperation on the definition of legal measures internationally. Lastly, it is emphasised that human rights should be tightly connected to and taken into account in all processes of setting-up a cybersecurity governance model, but specifically related to the legal framework. Of particular importance is ensuring trust, transparency, and equity through the legal framework.[33]  国際的な協力と協調を設定することの重要性とともに、法的枠組みは、国際的なガイドラインと法的措置の定義に関する協力によって、これを反映する必要がある。最後に、サイバーセキュリティのガバナンスモデルを構築するすべてのプロセスにおいて、人権が密接に関連し、考慮されるべきであるが、特に法的枠組みに関連することが強調される。特に重要なのは、法的枠組みを通じて信頼性、透明性、衡平性を確保することである[33]。
4.2.2  Strategic governance  4.2.2 戦略的ガバナンス 
Strategic governance describes the level of governance directly linked to the NCSS. It is important to tightly connect the processes of designing the strategy and designing its governance model to ensure continuity and coherence. Strategic governance targets linking and coordinating the processes of drafting the strategy and building the governance model from the outset. Additionally, strategic elements of identifying and mitigating risks necessitate strong cooperation and collaboration between actors involved in both, the governance model, as well as the strategy development.   戦略的ガバナンスは、NCSS に直結するガバナンスのレベルを示す。戦略設計とガバナンスモデル設計のプロセスを緊密に結びつけ、継続性・一貫性を確保することが重要である。戦略的ガバナンスは、戦略のドラフトとガバナンスモデルの構築のプロセスを当初からリンクさせ、調整することを目標とする。また、リスクの特定と軽減という戦略的要素には、戦略策定だけでなくガバナンスモデルにも関与する関係者間の強い協力と連携が必要である。 
The main stakeholders involved in the strategic governance level are political actors drafting the strategy. Often, working level government officials are main actors here, while higher level government officials are involved for validation, acceptance, accountability and enforcement purposes. Political actors are often supported by working groups, consulting bodies and other stakeholders providing expertise to draft the strategy and corresponding implementation actions.  戦略的ガバナンスレベルに関与する主なステークホルダーは、戦略を起草する政治的アクターである。多くの場合、実務レベルの政府関係者がここでの主役であり、より高いレベルの政府関係者は、検証、受容、説明責任、執行の目的のために関与する。政治的アクターは、戦略および対応する実施措置をドラフトするために専門知識を提供するワーキンググループ、コンサルティング機関、その他のステークホルダーの支援を受けることが多い。
Overall, three clusters have been identified in which the main elements of strategic governance can be grouped, namely elements concerning: i) the strategy itself, ii) the implementation of the governance model, iii) strategic aspects of risk identification and mitigation. Figure 2 illustrates them.   全体として、戦略的ガバナンスの主要な要素が、i)戦略そのもの、ii)ガバナンスモデルの実施、iii)リスクの特定と緩和の戦略的側面に関する要素という3つのクラスターに分類されることが確認されている。図2はその説明である。 
Figure 2: Main elements of strategic governance  図2:戦略的ガバナンスの主な要素 
Figure-2-main-elements-of-strategic-gove   
Source: Authors’ own elaboration.  出典 著者による推敲。
Elements concerning the strategy itself and the implementation of a governance model  戦略そのものとガバナンス・モデルの実施に関する要素 
Firstly, the literature on strategic governance emphasises that already at the set-up stage of the strategy, the development of a governance framework should be taken into account and included in the strategy. Drafting the strategy and at the same time already including possible operational, political and legal measures, which should be put in place for the strategy’s implementation, is argued to be beneficial, as processes and timelines are streamlined.[34]   まず、戦略的ガバナンスに関する文献では、戦略の策定段階で、すでにガバナンスの枠組みを考慮に入れ、戦略に盛り込むことが強調されている。戦略のドラフトを作成すると同時に、戦略の実施のために配置されるべき可能な運用、政治、法的措置をすでに含めることは、プロセスとスケジュールが合理化されるため有益であると主張されている[34]。 
Secondly, after the strategy has been drafted, the implementation should be guided by an implementation plan to point out specific actions and ensure the support of the strategy across the different governmental and civil society levels.[35]   第二に、戦略がドラフトされた後、具体的な行動を指摘し、異なる政府及び市民社会レベルにわたる戦略の支持を確保するために、実施は実施計画によって導かれるべきである[35]。 
Thirdly, thorough planning and a clear indication of the overall planned priorities, the foreseen budget and resources is important to integrate the implementation of cybersecurity in the general national planning and governance approaches. It is important to align priorities of the cybersecurity strategy with other governmental priorities on national level. This fosters commitment and support from different bodies, and actors across the government.[36]  第三に、サイバーセキュリティの実施を一般的な国家計画と統治アプローチに統合するために、徹底的な計画と全体的な計画優先事項、予見される予算と資源の明確な表示が重要である。サイバーセキュリティ戦略の優先順位を、国家レベルの他の政府の優先順位と一致させることが重要である。これは、政府内の様々な機関やアクターからのコミットメントと支援を促進するものである[36]。
Risk identification and mitigation  リスクの特定と軽減 
Regarding the strategic elements of risk identification and mitigation, it has been stressed that a coherent approach across all government entities and critical infrastructure operators should be aimed for. Having a sound approach for risk identification and mitigation, which is coherent across the different actors, facilitates exchange and information-sharing and fosters cooperation.[37] In fact, the creation of specific agencies providing services of risk identification and mitigation has been pointed out, as centralizing these aspects facilitates exchanges. However, challenges related to accountability, transparency and the protection of human rights. This should be taken into account and mitigated from an early stage of the strategy.[38]  リスクの特定と緩和の戦略的要素については、すべての政府機関及び重要インフラ事業者にまたがる首尾一貫したアプロ ーチを目指すべきであることが強調されている。実際、リスクの特定と緩和のサービスを提供する特定の機関の設立が指摘されており、これらの側面を一元化することで交流が促進されるからである[37]。しかし、説明責任、透明性、人権の保護に関する課題もある。これは戦略の初期段階から考慮され、軽減されるべきものである[38]。
4.2.3  Operational governance  4.2.3 オペレーショナル・ガバナンス 
Operational governance entails the level of governance focusing on elements related with the translation of NCSSs into actions to improve cybersecurity within the country. The objective of the operational governance level is to increase cybersecurity across all sectors of a nation’s society, economy, and government. The main group of stakeholders, actively involved in the set-up and execution of this governance layer includes specialised bodies such as Computer Security Incident Response Teams (CSIRTs) and Computer Emergency Response Teams (CERTs), government officials and consulting and training bodies. Nevertheless, it is important to mention that the complete society and population is connected to this level of governance. Effectively improving cybersecurity can only be successful if the general public of a country is included and capacity and community-building efforts are undertaken across society.  運用ガバナンスは、NCSS を国内のサイバーセキュリティを向上させるための行動に移すことに関連する要素に焦点を当てたガバナンスのレベルを意味する。運用ガバナンスレベルの目的は、国家の社会、経済、政府のすべての部門にわたってサイバーセキュリティを向上させることである。このガバナンス層の設定と実行に積極的に関与する主なステークホルダーには、コンピュータセキュリティインシデント対応チーム(CSIRT)やコンピュータ緊急対応チーム(CERT)などの専門機関、政府職員、コンサルティング・トレーニング機関などが含まれる。とはいえ、このガバナンスのレベルには、完全な社会と人口がつながっていることを言及することが重要である。サイバーセキュリティを効果的に向上させるには、その国の一般市民が参加し、社会全体の能力向上とコミュニティ形成の取り組みが行われて初めて成功するのである。
As pointed out, some aspects falling under the operational governance level are well covered in literature on governance models. This applies particularly to aspects in the context of incident response and capacity-building.[39] During the desk research, three main clusters governing operational governance have been identified: i) awareness-raising campaigns, outreach campaigns and trainings to foster capacity-building, ii) incident response, iii) information sharing and channels Figure 3 illustrates them:  指摘したように、運用ガバナンスレベルに該当するいくつかの側面は、ガバナンスモデルに関する文献で十分にカバーされている。これは特に、事故対応と能力構築の文脈における側面に当てはまる[39]。机上調査中に、運用ガバナンスを管理する3つの主要なクラスタが特定された:i)意識向上キャンペーン、アウトリーチキャンペーンおよび能力構築を促進するためのトレーニング、ii)事故対応、iii)情報の共有とチャネル 図3はそれらを示している。
Figure 3: Main elements of operational governance 図3:オペレーションガバナンスの主な要素
Figure-3-main-elements-of-operational-go
Source: Authors’ own elaboration.  出典 著者自身の推敲によるもの。
Awareness raising campaigns, outreach campaigns and trainings to foster capacity-building  意識向上キャンペーン、アウトリーチキャンペーン、キャパシティービルディングを促進するためのトレーニング 
Awareness raising and outreach campaigns accompanying the implementation of NCSSs foster the acceptance and uptake of cybersecurity measures. It is of utmost importance to train stakeholders, which are involved either directly with the set-up or implementation of the strategy or involved in combating cybercrime.[40] Nevertheless, there is a strong trend incentivising the creation of initiatives to raise awareness within the general population. Through explaining “why”, “how” to use certain standards, tools and technologies, or “what” to do and “why” to do so, would increase the safety of the general population.  NCSSの実施に伴う啓発活動やアウトリーチキャンペーンは、サイバーセキュリティ対策の受容と浸透を促進する。戦略の策定や実施に直接関わるステークホルダーやサイバー犯罪対策に携わるステークホルダーを教育することが最も重要である[40]が、一般住民の意識を高めるための取り組みを奨励する傾向も強い。ある標準、ツール、技術を「なぜ」「どのように」使うか、あるいは「何を」「なぜ」行うかを説明することで、一般住民の安全性が高まる。
In this sense, it has been repeatedly stated that not only stakeholders and actors directly working with the NCSSs should be targeted by education campaigns and trainings, but that instead the whole population, starting from a young age, should be integrated in these activities to close the ‘cyber skill gap’.[41]  This would be important to ensure success of the NCSS, as huge cyber risks emerge from untrained persons, which are not aware of risks or how to protect against cyber threats effectively. A more holistic approach should be taken in order to build a cybersecurity culture and enhance capacity- and community-building across the population. In this way, by shifting away from pure information-sharing and problem-related approaches, cybersecurity could yield efficiency and performance gains for the private sector and the national economy.[42]  この意味で、NCSSに直接関わるステークホルダーやアクターだけを教育キャンペーンやトレーニングの対象とするのではなく、「サイバースキルギャップ」を解消するために、若い頃から国民全体をこれらの活動に取り込むべきであることが繰り返し述べられている[41]。サイバーセキュリティ文化を構築し、国民全体の能力向上とコミュニティ形成を促進するために、より包括的なアプローチを取る必要がある。このように、純粋な情報共有や問題に関連したアプローチから移行することによって、サイバーセ キュリティは民間部門と国民経済のために効率とパフォーマンスの向上をもたらすことができる[42]。
Incident response mechanisms  インシデント対応メカニズム 
Operational governance is also driven by formalised mechanisms for incident response. Literature suggests the creation of CSIRTs and CERTs to provide support in case of cybersecurity incidents. Specialised teams dedicated to cybersecurity mechanisms should be implemented, driven by thorough action plans in case of incidents.[43] CSIRTs and CERTs provide a centralised contact point on national level and enable a quick and systematic reaction during incidents. CSIRT and CERT bodies should hence take proactive as well as reactive functions and measures to not only support during incidents, but to also prevent incidents from happening and support countries in learning from experience to build resilience against cyberthreats.[44]  運用上のガバナンスは、インシデントレスポンスのための正式なメカニズムによっても推進され る。文献によると、サイバーセキュリティのインシデントに際して支援を提供する CSIRT と CERT の設立が示唆されている。CSIRT と CERT は、国家レベルで集中的なコンタクトポイントを提供し、インシデント発生時に迅速かつ体系的な対応を可能にする。したがって、CSIRT と CERT は、インシデント発生時の支援だけでなく、インシデントの発生を予防し、サイバー脅威に対するレジリエンスを構築するために経験から学習する国を支援する、プロアクティブかつリアクティブな機能と措置を取るべきである[44]。
Information sharing   情報共有  
Setting-up formal information-sharing programmes as well as defining possible informal information-sharing programmes through an operational framework would foster effective and consistent coordination.[45] Trusted relationships are highly important, more specifically, the development of informal networks would be highly beneficial as information-sharing based on personal interests is most authentic.[46] However, trusted relationships need time to develop and hence, the involvement of different stakeholders and close cooperation from the start seem to be important.[47] Additionally, according to research, shaping information-sharing processes should be supported by CERTs and CSIRTs.[48]  公式の情報共有プログラムを設定することと同様に、運用フレームワークを通じて可能な非公式の情報共有プログラムを定義することは、効果的かつ一貫した調整を促進するだろう[45]。信頼された関係は非常に重要であり、より具体的には、個人的な関心に基づく情報共有が最も信頼できるので、非公式なネットワークの発展が非常に有益であろう[46]。しかしながら、信頼された関係が発展するためには時間を必要とし、それゆえ、異なる利害関係者の関与と当初からの緊密な協力が重要であるように思われる[47]。さらに、研究によれば、情報共有プロセスの形成は CERT と CSIRT によって支援されるべきである[48]。 
For a successful incident response, it is highly important in this context to firstly define clearly what a cybersecurity incident constitutes, and how processes, roles and responsibilities are allocated and performed during an incident.  インシデント対応を成功させるためには、まずサイバーセキュリティインシデントが何を構成するのか、 そしてインシデント発生中にどのようにプロセス、役割、責任が割り当てられ実行されるのかを明確に定義する ことがこの文脈では非常に重要である。
4.2.4  Technical governance  4.2.4 技術的ガバナンス 
The technical level of governance relates to the inclusion of technology and technical elements accompanying the implementation of the strategy. Its objective is to link the implementation of the strategy to technical and technological developments happening in parallel. This is particularly important in the cyberspace, a fast-evolving field, in which new threats and challenges arise at the same time of new technological possibilities and solutions. The main stakeholders involved in this level are technology experts from industry and academia, supporting political actors in choosing and applying technological tools as well as technical standardisation bodies on a national and international scale.  技術的なガバナンスのレベルは、戦略の実施に伴う技術と技術的な要素の取り込みに関連するものである。その目的は、戦略の実施を、並行して起こっている技術的、技術的な発展と結びつけることである。これは、技術的な可能性や解決策と同時に新たな脅威や課題が発生する、進化の早いサイバースペースにおいて特に重要である。このレベルに関わる主なステークホルダーは、産業界と学界の技術専門家、技術ツールの選択と適用を支援する政治的アクター、そして国内および国際的規模の技術標準化団体である。
Currently, the elements of technical governance are covered least in the literature and seem to not yet been heavily focussed on. Although some trends have been identified, due to the low coverage of technical aspects across literature, these trends might not be representative, given the fast technical advancements and developments. Two main clusters of elements governing technical governance have been identified during the desk research: i) definition of standards and specification, and ii) use of technology, tools and certification schemes to foster cybersecurity. They are illustrated in Figure 4.  現在、技術的ガバナンスの要素は、文献の中で最もカバーされておらず、まだ大きく取り上げられていないように思われる。いくつかの傾向は確認されているものの、技術的な側面が文献にあまり取り上げられていないため、技術の進歩や発展が速いことを考えると、これらの傾向は代表的なものではないかもしれません。技術的ガバナンスを支配する要素として、机上調査において、i) 標準と仕様の定義、ii) サイバーセキュリティを促進するための技術、ツール、認証制度の利用、という 2 つの主要なクラスタが特定された。これらは図4に示されている。
Figure 4: Main elements of technical governance  図 4:技術的ガバナンスの主な要素 
Figure-4-main-elements-of-technical-gove   
 Source: Authors’ own elaboration.   出典 著者自身の推敲による 
Standardisation  標準化 
The use and definition of standards has been emphasised in order to build a technical governance framework for cybersecurity. Particularly important in this relation would be the use of international and global standards to not only provide technical guidelines but to base cybersecurity governance on existing and globally established technical standards.[49]  サイバーセキュリティのための技術的ガバナンスの枠組みを構築するために、標準の使用と定義が強調されてきた。この関連で特に重要なのは、技術的ガイドラインを提供するだけでなく、既存のグローバルに確立された技術標準にサイバーセキュリティガバナンスを基づかせるための国際標準とグローバル標準の使用であろう[49]。
Use of technology, tools and certification schemes   技術、ツール、認証制度の利用  
The technical layer also includes the undertaking of appropriate and proportionate technical and organisational measures to manage risks. To this end the NIS2 directive emphasises the importance of certification schemes and stresses the importance for the Member States to require essential and important entities to certify certain ICT products, ICT services and ICT processes under specific European cybersecurity certification schemes.  技術的な層には、リスクをマネジメントするための適切で均整のとれた技術的・組織的な措置の実施も含まれる。この目的のために、NIS2指令は認証制度の重要性を強調し、加盟国が必須かつ重要なエンティティに対し、特定の欧州サイバーセキュリティ認証制度の下で特定のICT製品、ICTサービス、ICTプロセスを認証するよう要求することの重要性を強調している。
Moreover, CSA article 58 defines mandatory obligations for the Member States to designate NCCAs (National Cybersecurity Certification Authorities) or to reuse the existing NCCA of another Member State, as to supervise certification; this entails the implementation and assessment of the technical governance activities related to such obligations (which entity has been designated, to which ministry it belongs, how it is staffed, how it interacts with other national authorities having a cybersecurity role, etc.).  さらに、CSA第58条は、加盟国が認証を監督するために、NCCA(国家サイバーセキュリティ認証機関)を指定するか、他の加盟国の既存のNCCAを再利用する義務について規定している。これには、このような義務に関連する技術的ガバナンス活動の実施と評価(どの団体が指定されているか、どの省に属しているか、どのように人員を配置しているか、サイバーセキュリティ上の役割を持つ他の国家当局とどのように相互作用するか、など)が必要とされる。
A second main element emerges from the use of technology and tools to support the set-up of a governance model and the implementation of the NCSSs. Updating tools and technologies used in industry, by the government or other communication systems, can support reaching the NCSS’s objectives. In addition, technology and tools such as mobile devices can not only support security but can also provide technological guidance and open possibilities to promote human rights in the sphere of cybersecurity.[50] However, if not updated, tools and technology may pose risks to cybersecurity.  第二の主要要素は、ガバナンスモデルの構築と NCSS の実施を支援するための技術とツールの利用から生まれるものである。産業界、政府、その他の通信システムで使用されているツールや技術を更新することで、NCSSの目標達成を支援することができる。さらに、モバイル機器などの技術やツールは、セキュリティをサポートするだけでなく、技術的なガイダンスを提供し、サイバーセキュリティの領域で人権を促進する可能性を開くことができる[50]。 しかし、ツールや技術が更新されていない場合、サイバーセキュリティにリスクを与える可能性がある。
4.3    THE STATE OF THE ART: STATUS OF THE NCSS ACROSS THE EU MEMBER STATES  4.3 技術の現状。EU加盟国全体のNCSSの状況 
Currently, all EU Member States have a NCSS in place. Figure 5 below showcases the status of each country of developing updated versions and new editions of their NCSS.  現在、すべての EU 加盟国が NCSS を導入している。以下の図 5 は、各国の NCSS の更新版、新版の開発状況を示している。
Figure 5: State of Art: NCSSs across the EU Member States   図5:State of Art: EU 加盟国の NCSS の現状  
Figure-5-state-of-art-ncsss-across-the-e
All 18 Member States[51] interviewed for this report have currently a governance model in place to support the implementation of the NCSS. Similarly, all Member State representatives stated that having in place a governance model is highly important when implementing the NCSS. Figure 5 provides an overview of the EU Member States which have deployed their first NCSS governance model and highlights in a darker blue those countries which already employed later editions of the governance model. In general, it can be said that the NCSSs are updated every three to seven years. The governance model would need to be updated as well, taking into account recent developments in the cyberspace due to its close relationship with the NCSS.  本報告書のためにインタビューした 18 の加盟国[51]はすべて、現在 NCSS の実施を支援するためのガバナンスモデルを備えている。同様に、すべての加盟国の代表者が、NCSS を実施する上でガバナンスモデルがあることは非常に重要であると述べている。図5は、最初のNCSSガバナンスモデルを導入したEU加盟国の概要であり、既にそれ以降のガバナンスモデルを導入している国は濃い青色でハイライトされている。一般に、NCSSは3~7年ごとに更新されると言われている。NCSSと密接な関係にあるサイバースペースの最近の動向を踏まえ、ガバナンスモデルも更新が必要であろう。
Figure 6: State of Art: Deployment of governance models for NCSS across the EU Member States  図6:State of Art: EU加盟国でのNCSSのガバナンスモデルの展開状況 
Figure-6-state-of-art-deployment-of-gove
From Figure 6, it can be noticed that some countries introduced an accompanying governance model over the years, and that some countries introduced it only after the first NCSS was already deployed. While this shows that the Member States used to have different approaches to implementing their NCSSs, it also indicates growing agreement of the importance of settingup a governance model. It is interesting to notice that maturity of the governance model does not necessarily depend on or correlate with the number of further editions of the NCSS.  図 6 からは、何年もかけて付随するガバナンスモデルを導入した国もあれば、既に最初の NCSS が配備された後に導入した国もあることが分かる。これは加盟国間でNCSS導入のアプローチが異なっていたことを示しているが、同時にガバナンスモデル構築の重要性についての合意が高まっていることを示している。ガバナンスモデルの成熟度は、必ずしもNCSSの追加版数には依存しない、あるいは相関しないことに気づくのは興味深いことである。

 

 

 

・2023.02.28 A Governance Framework for National Cybersecurity Strategies

A Governance Framework for National Cybersecurity Strategies 国家サイバーセキュリティ戦略のためのガバナンス・フレームワーク
This study focuses on the good practices around the set-up and deployment of a governance framework to support the implementation of the NCSS in the EU. The main aim of this statistical outline is to give an overview of the key findings of the study, link them with the main elements of the proposed governance framework and support them by insightful statistics. Moreover, this lightweight report highlights a collection of good practices for the different elements of governance that the European countries put in place to ensure an effective framework for the implementation of current and future NCSSs of the EU Member States. 本研究は、EUにおけるNCSSの実施を支援するためのガバナンスフレームワークの構築と展開に関するグッドプラクティスに焦点を当てたものである。この統計の概要の主な目的は、研究の主要な発見を概観し、提案されているガバナンスの枠組みの主要な要素と関連づけ、洞察に満ちた統計によってそれらをサポートすることである。さらに、この軽量レポートでは、EU加盟国の現在および将来のNCSS実施のための効果的な枠組みを確保するために、欧州諸国が実施したガバナンスのさまざまな要素に関するグッドプラクティスをまとめて紹介している。

 

・[PDF]

111-20230302-231030

 


 

参考 各国のサイバーセキュリティ戦略

■ EUの場合

European Commission

・2020.12.16 The EU’s Cybersecurity Strategy for the Digital Decade

・[PDF] JOINT COMMUNICATION TO THE EUROPEAN PARLIAMENT AND THE COUNCIL - The EU's Cybersecurity Strategy for the Digital Decade

20250108-182710

 

・2020.12.16 The EU's Cybersecurity Strategy in the Digital Decade

・[PDF] Factsheet

20210513-120625

 

■ ドイツの場合

Bundesministerium des Innern, für Bau und Heimat 

プレス

・2021.09.08 (press) Cybersicherheitsstrategie für Deutschland 2021 beschlossen

戦略本文

・[PDF] Cybersicherheitsstrategie für Deutschland 2021

20210926-60648

 

■ オランダの場合

・2022.10.10 Kabinet presenteert nieuwe cybersecuritystrategie

● 戦略

・2022.10.10 Nederlandse Cybersecuritystrategie 2022 - 2028

・[PDF

20221016-52157

 

● 活動計画 2022-2023

・2022.10.10 Actieplan Nederlandse Cybersecuritystrategie 2022 - 2023

・[PDF

20221016-52520

 

■ UKの場合

National Cyber Security Centre

2021.12.15 (news) Government publishes blueprint to protect UK from cyber threats

・2021.12.15 Policy paper National Cyber Strategy 2022

・[heml] National Cyber Strategy 2022

 ・[PDF] National Cyber Strategy 2022

20211217-55613

日本語訳 [Downloded]

20230221-170849

 

■ U.S. の場合

・2018.09.20 President Trump Unveils America’s First Cybersecurity Strategy in 15 Years

・[PDF] NATIONAL CYBER STRATEGY of the United States of America


20210513-121917

・仮訳 [DOCX

 

■ 日本の場合

内閣官房 - サイバーセキュリティセンター - サイバーセキュリティ戦略本部

・2021.09.28 [PDF] サイバーセキュリティ戦略

20230820-153236

・2022.06.17 サイバーセキュリティ戦略本部 第34回会合

・2021.09.27 第31回会合

 

 

🔳オーストラリアの場合

AU - Department of Home Affairs - Cyber security - Strategy

・2020.08.06 [PDF] AUSTRALIA’S CYBER SECURITY STRATEGY 2020

20230520-150216

2016年の前回のバージョン

・[PDF] Australia's Cyber Security Strategy

20230520-150443

 

■ 中国の場合

 中央网络安全和信息化委员会办公室 (Cyberspace Administration of China)

 プレス発表

戦略全文

・2016.12.27 国家网络空间安全战略

・英語訳

 ・2016.12.27 National Cyberspace Security Strategy

 

 

■ ロシアの場合(NATO CCDCOEの論文)

● NATO CCDCOE

2020 [PDF] The Past, Present, and Future of Russia’s Cyber Strategy and Forces by Bilyana Lilly and Joe Cheravitch



■ インドの場合

Data Security Council of India

・2020.08.15 [PDF] National Cyber Security Strategy 2020

20210513-131956

 

■ シンガポールの場合

● Cyber Security Agency of Singapore

・2021.10.05 Singapore Updates National Cybersecurity Strategy

The Singapore Cybersecurity Strategy 2021

・[PDF]

20211011-134730

 


まるちゃんの情報セキュリティ気まぐれ日記

・2022.10.16 オランダ サイバーセキュリティ戦略2022-2028 デジタル・セキュリティー社会の実現に向けた渇望と行動 (2022.10.10)

・2022.06.21 内閣官房 サイバーセキュリティ 2022 重要インフラのサイバーセキュリティに係る行動計画 (2022.06.17)

・2022.02.22 NATO CCDCOE 「国家サイバーセキュリティ戦略策定のためのガイド」第2版 (2021.11)

・2021.12.17 英国 国家サイバー戦略

・2021.10.11 シンガポール サイバーセキュリティ戦略2021

・2021.09.28 NISC サイバーセキュリティ戦略本部 第31回会合 サイバーセキュリティ戦略確定 (予算からみるとサイバーセキュリティは経済発展というよりも安全保障?)

・2021.09.26 独国 サイバーセキュリティ戦略2021 at 2021.09.08

・2021.07.15 経団連 提言「全員参加によるサイバーセキュリティの実現に向けて」

・2021.07.13 NISC 「次期サイバーセキュリティ戦略(案)」と「サイバーセキュリティ2021(案)」に関する意見の募集について

・2021.07.12 NATO関連機関が分析したサイバー空間におけるロシアの戦略 at 2021.06.11

・2021.07.07 NISC 「サイバーセキュリティ戦略本部第30回会合」と「サイバーセキュリティ対策推進会議(CISO等連絡会議)第18回会合」

・2021.06.29 IISS サイバー対応能力と国家力 日本のサイバー能力はいけていない?

・2021.06.03 サイバー領域の制度、法律、政策などについての米英の比較

・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令

・2021.05.13 サイバーセキュリティ戦略本部 次期サイバーセキュリティ戦略の骨子

・2020.12.08 ENISA 自国のサイバーセキュリティ能力の成熟度を自己評価するための「国家能力評価フレームワーク(NCAF)」を発行

・2020.08.11 オーストラリア政府 内務省がサイバーセキュリティ戦略2020を公表していましたね。。。

 

 

 

 

 

 

| | Comments (0)

ENISA EUにおけるサイバー保険の需要サイド (2023.02.23)

こんにちは、丸山満彦です。

ENISAが、サイバー保険サービスの獲得に関する基幹業務運営事業者(OESs)の現状と課題を分析した報告書をだしていますね。。。

 

ENISA

・2023.02.23 Demand Side of Cyber Insurance in the EU

Demand Side of Cyber Insurance in the EU EUにおけるサイバー保険の需要サイド
The report analyses current perspectives and challenges of Operator of Essential Services (OESs) related to the acquirement of cyber insurance services. Information and statistics are presented according to the selection, acquisition and use of cyber insurance as a mitigation tool in the context of their daily business’ lifecycle. The collection of data and opinions were elaborated in relation to the category of OESs included in the network and information security (NIS) directive (Directive (EU) 2016/1148. Nonetheless, results and evidences would be also applicable to essential and important entities defined in the framework of the NIS2 Directive (EU) 2022/2555. 本報告書は、サイバー保険サービスの獲得に関連する重要サービス事業者(OESs)の現状と課題について分析している。日常業務のライフサイクルの中で、緩和手段としてのサイバー保険の選択、取得、利用について、情報と統計を提示している。データと意見の収集は、ネットワークと情報セキュリティ(NIS)指令(指令(EU)2016/1148)に含まれるOESsのカテゴリに関連して精緻化された。それでも、結果と証拠は、NIS2指令(EU)2022/2555の枠組みで定義された必須かつ重要なエンティティにも適用されるであろう。

 

・[PDF

20230302-231030

 

目次...

EXECUTIVE SUMMARY エグゼクティブサマリー
1. INTRODUCTION 1. 序文
2. THE DEMAND SIDE OF CYBER INSURANCE SECTOR 2. サイバー保険分野の需要側
2.1 RISK-MANAGEMENT PRACTICES 2.1 リスクマネジメントの実践
2.2 CYBER INSURANCE AND OTHER COVERAGE 2.2 サイバー保険とその他の補償
2.3 IDENTIFICATION AND SELECTION OF CYBER INSURER 2.3 サイバー保険会社の特定と選択
2.4 CONTRACT AND PROCESS 2.4 契約とプロセス
2.5 MAINTENANCE AND SUPPORT 2.5 メンテナンスとサポート
2.6 CLAIM PROCEDURE 2.6 保険金請求手続き
2.7 AWARENESS AND SKILLS 2.7 意識とスキル
3. RECOMMENDATIONS 3. 推奨事項
4. ANNEXES 4. 附属書
4.1 ANNEX A. ABRREVIATIONS 4.1 附属書 A. 用語集
4.2 ANNEX B. BIBLIOGRAPHY 4.2 附属書 B. 書誌事項
4.3 ANNEX C. SURVEY QUESTIONS 4.3 附属書 C. 調査の質問事項
4.4 ANNEX D. SURVEY RESULTS 4.4 附属書 D. 調査結果

 

エグゼクティブサマリー

EXECUTIVE SUMMARY  エグゼクティブサマリー 
This report analyses current perspectives and challenges of Operator of Essential Services (OESs) related to the acquirement of cyber insurance services. Information and statistics are presented according to the selection, acquisition and use of cyber insurance as a mitigation tool in the context of their daily business’ lifecycle. The collection of data and opinions were elaborated in relation to the category of OESs included in the network and information security (NIS) directive (Directive (EU) 2016/1148. Nonetheless, results and evidences would be also applicable to essential and important entities defined in the framework of the NIS2 Directive (EU) 2022/2555.   本報告書は、サイバー保険サービスの獲得に関する基幹業務運営事業者(OESs)の現状と課題を分析したものである。日常業務のライフサイクルの中で、緩和手段としてのサイバー保険の選択、加入、利用について、情報および統計が示されている。データと意見の収集は、ネットワークと情報セキュリティ(NIS)指令(指令(EU)2016/1148)に含まれるOESsのカテゴリに関連して精緻化された。しかし、結果と証拠は、NIS2指令(EU)2022/2555の枠組みで定義された必須かつ重要なエンティティにも適用されるだろう。 
The report addresses exclusively the ‘demand side’ of cyber-insurance market, applicable to the particular case of OESs. The analysis and results have been conducted from a methodological approach which integrates: desk-research, on-line survey, phone interviews, data analysis and recommendations for policymakers. To the purpose, the analysis aims at addressing different segments of the cyber insurance contracting process, namely: risk management practices, cyber insurance coverage, claims processes and opinions from the respondents in key areas such as skills.   本報告書は、OESsという特殊なケースに適用されるサイバー保険市場の「需要サイド」のみを対象としている。分析と結果は、机上調査、オンライン調査、電話インタビュー、データ分析、政策立案者への提言を統合した方法論的アプローチで実施されたものである。この目的のために、分析は、サイバー保険の契約プロセスの様々なセグメント、すなわち、リスクマネジメントの実践、サイバー保険の適用範囲、クレーム処理、スキルなどの主要分野における回答者の意見に取り組むことを目的としている。 
In terms of results, the analysis shows that a big proportion of operators of essential services consider cyber insurance less attractive due to increasing prices and decreasing coverage. This phenomenon is highly noted specially in small entities in a moment in which ransomware incidents are on the rise[1]. Data from both the survey and the semistructured interviews support these findings. Other key findings of the analysis were:  分析の結果、重要なサービスを提供する事業者の多くが、価格の上昇と補償範囲の縮小により、サイバー保険の魅力が低下していると考えていることが明らかになりました。この現象は、ランサムウェアのインシデントが増加している現在、特に小規模な事業者で強く指摘されている[1]。調査および半構造化インタビューから得られたデータは、これらの知見を裏付けている。その他の主な分析結果は以下のとおりである。
• hird-party liabilities are the preferred additional coverage that companies would like to have added in their cyber insurance coverage;  ・企業がサイバー保険の補償範囲に追加したい補償は,第三者賠償責任である。
• cyber-risk is being highly addressed on qualitative basis. For a 77 % of operators of essential services there is a formalized process to identify cyber-risk. On the other hand, 64 % of OESs do not quantify cyber-risks;   ・サイバーリスクは定性的には高度に対処されている。必須サービスの事業者の77%は、サイバーリスクを特定するための正式なプロセスが存在する。一方、OESの64%はサイバーリスクを定量化していない。 
• other risk mitigation strategies were often mentioned as more favourable than risk transfer due to coverage and costs.   ・他のリスク軽減戦略は,補償範囲とコストの点から,リスク移転よりも好ましいとしばしば言及されている。
Regarding recommendations, the report provides advice to policymakers in EU and its Member States and also to the community of OESs. The report focuses on the analysis of demand side of cyber insurance (particularly OESs), and accordingly related recommendations target policymakers and OESs. Accordingly, key recommendations for policy makers are:  提言については、EUとその加盟国の政策立案者、およびOESsのコミュニティに対してアドバイスを提供している。本報告書は、サイバー保険(特にOESs)の需要サイドの分析に焦点を当てており、それに応じて、政策立案者とOESsをターゲットにした関連勧告を行っている。従って、政策立案者に対する主な提言は以下の通りである。
• Implement guidance mechanisms to OESs focused on: identification of assets, monitor key metrics, conduct periodic risk assessments, security controls identification and quantification of risks.  ・資産の特定,主要評価指標の監視,定期的なリスク評価の実施,セキュリティ管理の特定,リスクの定量化に焦点を当てたOESsへの指導体制を導入すること。
• Promote the creation of frameworks oriented to identify and exchange good practices among OESs, particularly those related to identification, mitigation and quantification of risk exposure.  ・特にリスクエクスポージャーの特定,軽減及び定量化に関連した,OESs間のグッドプラクティスの特定及び交換を目的とした枠組みの構築を促進する。
• Be aware of the heterogeneity of OESs in terms of size, economic sector and strategic function. Formulation of policy action should be coherent with specific needs and challenges of OESs without losing sight of differences among them, e.g. small entities vs large operators.   ・OESの規模、経済分野及び戦略的機能における異質性を認識する。政策行動の策定は、OESs間の差異(例:小規模事業者と大規模事業者)を見失うことなく、OESsの具体的なニーズと課題に合致したものであるべきである。 
• Address the feasibility of more economically sustainable cyber-insurance policies by working closer to cyber-insurance brokers.  ・サイバー保険ブローカーとより緊密に連携し,より経済的に持続可能なサイバー保険政策の実現可能性に取り組む。
Similarly, key recommendations to OES are:  同様に、OESに対する主な提言は以下の通り。
• Improve maturity of risk management practices, especially those related to identification, mitigation and quantification of risk exposure.  ・リスクマネジメントの成熟度,特にリスクエクスポージャーの特定,軽減,定量化に関する成熟度を向上させること。
• Consider to allocate or increase budgetary provisions to implementing processes related to identification of assets, monitor key metrics, conduct periodic risk assessments, security controls identification and quantification of risks based on industry best practices.  ・資産の特定,主要評価指標の監視,定期的なリスク評価,セキュリティ管理の特定,業界のベストプラクティスに基づくリスクの定量化に関するプロセスの実施に,予算を配分または増額することを検討する。
• Improve knowledge transfer and sharing among OESs allowing to learn from good practices when contracting and implementing cyber insurance to the benefit of these operators. ・OESs間の知識の伝達と共有を改善し,これらの事業者の利益のためにサイバー保険を契約・導入する際に優れた実践例から学ぶことができるようにする。

[1] https://www.enisa.europa.eu/publications/enisa-threat-landscape-2021/@@download/fullReport

 

 

| | Comments (0)

2023.03.02

EDPB EU-米国データ・プライバシー・フレームワークにおける改善を歓迎するが、いいたいことは54ページ分ほどある(^^)

こんにちは、丸山満彦です。

EDPBは米国の情報収集(例えば、SIGINT)の必要性と比例性の原則を具体化する要件の導入や、EUのデータ主体に対する新たな救済メカニズムの導入など、大幅な改善を歓迎する一方、データ主体の特定の権利、転送、免除の範囲、データの一時的な一括収集、救済メカニズムの実際的な機能に関すること等について懸念があるとして、意見書を公表していますね。。。

 

EDPB

・2023.02.28 EDPB welcomes improvements under the EU-U.S. Data Privacy Framework, but concerns remain

 

 

・[PDF]

20230301-231356

・[DOCX] 仮訳

 

 

・エグゼクティブサマリー

Executive summary  エグゼクティブサマリー 
On 13 December 2022, the European Commission published a draft adequacy decision (‘Draft Decision’) which includes annexes constituting a new framework for transatlantic exchanges of personal data, the EU-U.S. Data Privacy Framework (‘DPF’), which is meant to replace the previous U.S. Privacy Shield invalidated by the  Court of Justice of the European Union (‘CJEU’) on 16 July 2020, in the  Schrems II case. The key component of the DPF is the EU-US Data Privacy Framework Principles, including the Supplemental Principles (collectively ‘the DPF Principles’).  2022年12月13日、欧州委員会は、2020年7月16日に欧州連合司法裁判所(CJEU)がシュレムスII事件で無効とした従来の米国プライバシーシールドに代わる個人データの大西洋横断的交換のための新しい枠組み、EU-米国データ・プライバシー・フレームワーク(「DPF」)の構成を示す附属書を含む妥当性決定案(「決定案」)を公表した。DPFの主要な構成要素は、補足原則を含むEU-USデータ・プライバシー・フレームワーク原則(以下、総称して「DPF原則」)である。 
In accordance with Article 70(1)(s) of Regulation (EU) 2016/679[1] of the European Parliament and of the Council (‘GDPR’), the Commission requested the opinion of the European Data Protection Board (‘EDPB’) on the Draft Decision.  欧州議会および理事会の規則(EU)2016/679[1] (以下、「GDPR」)第70条(1)(s)に従い、欧州委員会は本決定案について欧州データ保護委員会(以下、「EDPB」)の意見を求めた。 
The EDPB assessed the adequacy of the level of protection afforded in the USA, on the basis of the examination of the Draft Decision. The EDPB assessed both the commercial aspects and the access to and use of personal data transferred from the EU by public authorities in the US.  EDPBは、決定草案の審査に基づき、米国で与えられている保護水準の妥当性を評価した。EDPBは、商業的側面と、米国の公的機関によるEUから移転された個人データへのアクセスと使用の両方を評価した。 
The EDPB took into account the applicable EU data protection legal framework as set out in the GDPR, as well as the fundamental rights to private life and data protection as enshrined in Articles 7 and 8 of the Charter of Fundamental rights of the European Union and Article 8 of the European Convention on Human Rights. It also considered the right to an effective remedy and to a fair trial laid down in Article 47 of the Charter, as well as the jurisprudence related to the various fundamental rights.  EDPBは、GDPRに規定されているEUデータ保護の法的枠組み、欧州連合基本権憲章第7条および第8条、欧州人権条約第8条に規定されている私生活およびデータ保護に関する基本権を考慮した。また、同憲章第47条に規定されている有効な救済を受ける権利と公正な裁判を受ける権利、およびさまざまな基本的権利に関連する法理論についても検討した。 
In addition, the EDPB has considered the requirements of the Adequacy Referential adopted by the EDPB[2].   さらに、EDPBはEDPB[2] で採択されたAdequacy Referentialの要件も考慮している。  
The EDPB’s key objective is to give an opinion to the Commission on the adequacy of the level of protection afforded to individuals whose personal data is transferred to the US. It is important to recognise that the EDPB does not expect the US data protection framework to replicate European data protection law.  EDPBの主な目的は、個人データが米国に移転された場合に個人に与えられる保護レベルの妥当性について欧州委員会に意見を述べることである。EDPBは、米国のデータ保護の枠組みが欧州のデータ保護法を複製することを期待しているわけではないことを認識することが重要である。 
However, the EDPB recalls that, to be considered as providing an adequate level of protection, Article 45 GDPR and the case-law of the CJEU require the third country’s legislation to provide data subjects with a level of protection essentially equivalent to that guaranteed in the EU.  しかし、EDPBは、適切なレベルの保護を提供しているとみなされるためには、GDPR第45条および日欧の判例が、第三国の法令がデータ対象者にEUで保証される保護と本質的に同等のレベルを提供することを求めていることを想起する。 
1.1. General data protection aspects  1.1.一般的なデータ保護の側面 
The DPF provides that adherence to the DPF Principles by DPF Organisations may be limited in some cases (e.g. to the extent necessary to comply with a court order or to meet public interest). In order to better identify the impact of these exemptions on the level of protection for data subjects, the EDPB recommends that the Commission includes in the Draft Decision clarification on the scope of the exemptions, including on the applicable safeguards under US law.   DPFは、DPF団体によるDPF原則の遵守が場合によっては制限される可能性があることを規定している(例:裁判所の命令に従うため、または公共の利益を満たすために必要な程度に)。これらの適用除外がデータ主体の保護レベルに与える影響をより明確にするために、EDPBは欧州委員会が決定草案に、米国法の下で適用されるセーフガードを含む適用除外の範囲に関する明確化を含めることを推奨する。  
The EDPB notes that the structure of the annexes and their numbering makes the information rather difficult to find and refer to. This contributes to an overall complex presentation of the new framework, which compiles in its annexes documents of different legal value, and may not favour a good understanding of the DPF Principles by data subjects, DPF Organisations, and EU Data Protection Authorities. The EDPB also stresses that the terminology should be used consistently throughout the DPF. Similarly, the definition of some essential terms is lacking[3].  EDPBは、附属書の構成とその番号付けにより、情報の検索や参照が困難であることを指摘する。このことは、法的価値の異なる文書が附属書にまとめられている新フレームワークの全体的な複雑さを助長し、データ主体、DPF機関、EUデータ保護当局がDPF原則を十分に理解することにつながらない可能性があると指摘している。EDPBはまた、DPF全体を通して一貫した用語が使用されるべきであると強調している。同様に、いくつかの重要な用語の定義が欠落している[3] 。 
The EDPB welcomes the updates made to the DPF Principles[4], which will constitute the binding legal framework for DPF Organisations, but notes that despite a number of changes and additional explanations made in the recitals of the Draft Decision, the DPF Principles to which the DPF organisations have to adhere remain essentially unchanged with regard to those applicable under the Privacy Shield (on which were based the Working Party 29 (‘WP29’) and EDPB annual joint reviews). The DPF Principles are also, to a large extent, the same as those of the draft Privacy Shield on which the WP29 based its 2016 opinion[5]. For those DPF Principles that are substantially unchanged, the EDPB considers not necessary to repeat all comments previously made by the WP29. The EDPB has decided to focus on specific aspects that it considers to be even more relevant today, in view of the evolution of the legal and technological environment.  EDPBは、DPF団体の拘束力のある法的枠組みを構成するDPF原則[4] の更新を歓迎するが、決定草案の序文に多くの変更と追加説明がなされているにもかかわらず、DPF団体が遵守しなければならないDPF原則は、プライバシーシールドの下で適用されるもの(ワーキングパーティー29(以下WP29)とEDPBの年次ジョイントレビューのベースとなった)と本質的に変わらないことに注意する。また、DPF原則は、WP29が2016年の意見書[5] の根拠としたプライバシー・シールドの草案の原則とほぼ同じである。DPF原則のうち、実質的に変更がないものについては、EDPBはWP29によって以前になされた全てのコメントを繰り返す必要はないと考えている。EDPBは、法的・技術的環境の進化に鑑み、今日さらに関連性が高いと思われる特定の側面に焦点を当てることにした。 
For instance, the EDPB notes that some issues of concern previously raised by the WP29 and the EDPB in relation to the Privacy Shield principles remain valid. In particular, these relate to the rights of data subjects (e.g. some exceptions to the right of access and the timing and modalities for the right to object), the absence of key definitions, the lack of clarity in relation to the application of the DPF Principles to processors, and the broad exemption for publicly available information[6].  例えば、EDPBは、プライバシー・シールドの原則に関連してWP29とEDPBが過去に提起した懸念事項が依然として有効であることに留意している。特に、データ主体の権利(アクセス権に対するいくつかの例外、異議申し立ての権利のタイミングと様式など)、重要な定義の不在、DPF原則のプロセッサーへの適用に関する明確性の欠如、公に利用可能な情報に対する幅広い適用除外に関するものである[6] 。 
The EDPB would also like to reiterate that the level of protection of individuals whose data is transferred must not be undermined by onward transfers from the initial recipient of the transferred data[7]. The EDPB invites once more the Commission to clarify that the safeguards imposed by the initial recipient on the importer in the third country must be effective in light of third country legislation, prior to an onward transfer in the context of the DPF.  また、EDPBは、データが転送された個人の保護レベルが、転送されたデータの最初の受領者から転送されることによって損なわれてはならないことを改めて強調したい。[7] .EDPBは、欧州委員会に対し、DPFの文脈における転送に先立ち、最初の受領者が第三国の輸入者に課す保護措置が第三国の法律に照らして有効でなければならないことを再度明確にするよう要請する。 
Rapid developments in the field of automated decision-making and profiling - increasingly by means of AI technologies- call for particular attention. The EDPB welcomes the Commission’s references to specific safeguards provided by relevant US law in different fields[8]. However, the level of protection for individuals seems to vary according to which sector-specific rules - if any- apply to the situation at hand. The EDPB maintains that specific rules concerning automated decision-making are needed in order to provide sufficient safeguards, including the right for the individual to know the logic involved, to challenge the decision and to obtain human intervention when the decision significantly affects him or her.  自動化された意思決定とプロファイリングの分野の急速な発展は、ますますAI技術によってもたらされており、特に注意が必要である。EDPBは、欧州委員会が、さまざまな分野の関連する米国法が提供する特定のセーフガードについて言及していることを歓迎する[8] 。しかし、個人を保護するレベルは、どの分野の規則が適用されるか(もしあれば)により異なるようである。EDPBは、十分なセーフガードを提供するために、自動化された意思決定に関する特定の規則が必要であり、これには、本人が関係する論理を知る権利、意思決定に異議を唱える権利、意思決定が本人に大きな影響を与える場合に人間の介入を得る権利が含まれると主張している。 
The EDPB recalls the importance of effective oversight and enforcement of the DPF and considers that compliance checks as regards more substantive requirements are crucial. These aspects will be closely monitored by the EDPB, including in the context of the periodic reviews. The EDPB takes note of the renewed commitments in the letters from the Federal Trade Commission (‘FTC’)[9] and the Department of Transportation (‘DOT’)[10] as regards enforcement  e.g. to prioritise the investigation of alleged DPF violations.   EDPBは、DPFの効果的な監督と執行の重要性を想起し、より実質的な要求事項に関する遵守状況の確認が重要であると考えている。これらの側面は、定期的なレビューとの関連も含め、EDPBによって注意深く監視される。EDPBは、連邦取引委員会(FTC)[9] 、運輸省(DOT)[10] 、DPF違反の疑いに関する調査を優先するなど、執行に関する新たなコミットメントに留意している。  
The EDPB notes that seven redress avenues are provided to EU data subjects, if their personal data are processed in violation of the DPF. These redress mechanisms are the same as those included in the former Privacy Shield, which had been subject to comments by the WP29[11]. The effectiveness of these redress mechanisms will be closely monitored by the EDPB, including in the context of the periodic reviews.   EDPBは、EUのデータ主体がDPFに違反して個人データを処理された場合、7つの救済手段が提供されることに留意している。これらの救済手段は、WP29([11] )がコメントを出した旧プライバシー・シールドに含まれるものと同じものである。これらの救済メカニズムの有効性は、定期的なレビューの意味合いも含めて、EDPBによって注意深く監視されることになる。  
1.2. Access and use of personal data transferred from the European Union by public authorities in the US  1.2.米国の公的機関による欧州連合から移転された個人データへのアクセスと使用 
In the Draft Decision, the European Commission concludes that “any interference in the public interest, in particular for criminal law enforcement and for national security purposes, by U.S. public authorities with the fundamental rights of the individuals whose personal data are transferred from the Union to the United States under the EU-U.S. Data Privacy Framework, will be limited to what is strictly necessary to achieve the legitimate objective in question, and that effective legal protection against such interference exists”12 欧州委員会は決定草案の中で、「公益のため、特に刑事法の執行や国家安全保障の目的のために、米国の公的機関がEU-米国データ・プライバシー・フレームワークの下でEUから米国に個人データが移転される個人の基本的権利に干渉することは、当該合法的目的を達成するために厳密に必要なものに限られ、その干渉に対する有効な法的保護が存在する」12 と結論付けている。 
The European Commission reaches its conclusion after an extensive assessment of the Executive Order 14086 enhancing safeguards for U.S. signals intelligence activities (EO 14086). The EO 14086 was issued by the U.S. President on 7 October 2022, following negotiations of the European Commission with the U.S. Government in the wake of the invalidation of the previous adequacy decision, called the Privacy Shield, by the Court of Justice of the European Union (CJEU).  欧州委員会は、米国の信号情報活動に対するセーフガードを強化する大統領令14086(大統領令14086)に対する広範な評価を行った結果、この結論に至った。大統領令14086は、欧州連合司法裁判所(CJEU)がプライバシーシールドと呼ばれる従来の妥当性判断を無効としたことを受けて、欧州委員会が米国政府と交渉した結果、2022年10月7日に米国大統領によって発行されたものである。 
The EDPB would welcome that not only the entry into force but also the adoption of the decision are conditional upon inter alia the adoption of updated policies and procedures to implement EO 14086 by all US intelligence agencies. The EDPB recommends the Commission to assess these updated policies and procedures and share this assessment with the EDPB.  EDPBは、この決定の発効だけでなく採択にも、特に米国のすべての情報機関が大統領令14086を実施するための最新の政策と手続きを採用することが条件となっていることを歓迎する。EDPBは欧州委員会に対し、更新された政策と手続きを評価し、その評価をEDPBと共有するよう勧告する。 
With regard to governmental access to personal data transferred to the U.S., the EDPB has focussed its analysis on the assessment of the new EO 14086, as it is effectively meant to address and remedy the deficits identified by the CJEU in its Schrems II ruling when it found the previous adequacy decision to be invalid.  米国に移転された個人データへの政府のアクセスに関しては、EDPBは新しい大統領令14086の評価に分析を集中した。これは、CJEUが前回の妥当性判断を無効としたシュレムス II判決で指摘した欠陥に対処し是正することが事実上目的であるためだ。 
The EDPB recognises that the U.S. legal framework for signals intelligence activities has been amended by adoption of EO 14086 and regards the additional safeguards included in this order as a significant improvement. The EO 14086 introduces the concepts of necessity and proportionality into the U.S. legal framework on signals intelligence, and it provides, if the EU were to be designated as a qualifying regional economic integration organisation, a new redress mechanism for EU individuals. The EDPB considers the new redress mechanism to be significantly improved compared to the previous so-called Ombudsperson mechanism under the Privacy Shield. In contrast to the previous legal framework, which did not create rights for EU individuals, as was explicitly noted by the CJEU, the new EO 14086 creates such entitlements, and it provides more safeguards for the independence of the Data Protection Review Court, and more effective powers to remedy violations.   EDPBは、大統領令14086の採択により、米国のシグナル・インテリジェンス活動に関する法的枠組みが改正されたことを認識しており、この命令に含まれる追加のセーフガードは重要な改善であると考えている。大統領令14086は、シグナル・インテリジェンスに関する米国の法的枠組みに必要性と比例性の概念を導入し、EUが適格な地域経済統合機関に指定された場合には、EUの個人に対する新しい救済メカニズムを提供する。EDPBは、この新しい救済メカニズムは、プライバシーシールドのもとでの従来のいわゆるオンブズパーソンメカニズムと比較して、大幅に改善されていると考えている。CJEUが明確に指摘したように、EU個人に対する権利を創設していなかった従来の法的枠組みとは対照的に、新しい大統領令14086はそうした権利を創設し、データ保護審査裁判所の独立性に対する保護措置を強化し、侵害を救済するための権限をより効果的に規定している。  
When comparing the additional safeguards included in EO 14086 to what the EDPB has framed the European Essential Guarantees (EEGs), as the standard elaborated on the basis of the jurisprudence of the CJEU and the European Court of Human Rights (ECtHR), the EDPB has still identified in its assessment a number of points for additional clarifications, for attention or for concern. These points reflect that, while the EDPB based its opinion on the Schrems II ruling, the scope of the EDPB's assessment necessarily includes considerations that go beyond the specific findings in the Schrems II judgment.  大統領令14086に盛り込まれた追加的な保障措置と、EDPBがCJEUおよび欧州人権裁判所(ECtHR)の判決に基づいて策定した基準である欧州必須保障(EEGs)を比較すると、EDPBはその評価の中で、さらに明確にすべき点、注意すべき点、懸念すべき点を多数挙げている。これらの点は、EDPBがシュレムス II判決に基づいて意見を述べたものの、EDPBの評価の範囲には、シュレムス II判決の特定の所見を超える考察が必然的に含まれることを反映している。 
The EDPB sees a need for further clarification on questions, in particular, relating to “temporary bulk collection”, and to the further retention and dissemination of the data collected (in bulk) in the U.S. legal framework.  EDPBは、特に「一時的な一括収集」に関連する問題や、米国の法的枠組みにおいて(一括して)収集されたデータのさらなる保持と普及について、さらなる明確化が必要であると考えている。 
As the test of essential equivalence is not a test of identity, and as the safeguards included in the new legal framework on signals intelligence have been strengthened, the EDPB’s main point of attention and of concern is focused on an assessment of the safeguards in their entirety, following a holistic approach covering the safeguards for the entire cycle of processing, from the collection of data to the dissemination of data, and including the elements of oversight and redress.  本質的同等性のテストは同一性のテストではないため、また、シグナルインテリジェンスに関する新しい法的枠組みに含まれるセーフガードは強化されているため、EDPBの主な注目点および懸念点は、データの収集からデータの普及まで、処理の全サイクルに関するセーフガードを網羅し、監視と救済の要素を含む全体的なアプローチに従って、そのセーフガード全体を評価することに焦点を置いている。 
In this regard, the EDPB emphasises the following findings:   この点に関して、EDPBは以下の知見を強調している。  
While the EDPB recognises that the EO 14086 introduces the concepts of necessity and proportionality in the legal framework of signals intelligence, it underlines the need to closely monitor the effects of these amendments in practice, including the review of internal policies and procedures implementing the EO’s safeguards at agency level.   EDPBは、大統領令14086がシグナル・インテリジェンスの法的枠組みに必要性と比例性の概念を導入したことを認識する一方で、大統領令のセーフガードを機関レベルで実施する内部方針と手続きの見直しを含め、これらの改正の実際の効果を注意深く監視する必要性を強調している。  
The EDPB also welcomes the fact that the EO 14086 contains a list of specific purposes for which collection can and cannot take place, while noting the objectives may be updated with additional – not necessarily public – objectives in the light of new national security imperatives.  EDPBはまた、大統領令14086に収集が可能な、あるいは不可能な特定の目的のリストが含まれていることを歓迎し、一方でこの目的が、新たな国家安全保障の要請に照らして、必ずしも公的でない追加の目的によって更新される可能性があることにも言及している。 
As a deficit in the current framework, the EDPB has in particular identified that the U.S. legal framework, when allowing for the collection of bulk data under Executive Order 12333, lacks the requirement of prior authorisation by an independent authority, as required in the most recent jurisprudence of the ECtHR, nor does it provide for a systematic independent review ex post by a court or an equivalently independent body. With regard to prior independent authorisation of surveillance under Section 702 FISA, the EDPB regrets that the FISA Court (‘FISC’) does not review a programme application for compliance with the EO 14086 when certifying the programme authorising the targeting of non-U.S. persons, even though the intelligence authorities carrying out the programme are bound by it. In the view of the EDPB, the additional safeguards contained in this order should nevertheless be taken into account including by the FISC. The EDPB recalls that reports of the Privacy and Civil Liberties Oversight Board (‘PCLOB’) would be particularly useful to assess how the safeguards of the EO 14086 will be implemented and how these safeguards are applied when data is collected under Section 702 FISA and EO 12333.  現行の枠組みの欠陥として、EDPBは特に、米国の法的枠組みが、大統領令12333条に基づく大量データ収集を認める際に、ECtHRの最新の法理論で求められている独立機関による事前認可の要件を欠いており、裁判所または同等の独立機関による事後の体系的独立審査も規定していないことを指摘する。FISA702条に基づく監視の事前独立認可に関して、EDPBは、FISA裁判所('FISC')が、非米国人の監視を許可するプログラムを認証する際に、プログラムを実行する情報当局が大統領令14086に拘束されているにもかかわらず、プログラム申請書の遵守について審査しないことに遺憾の意を表明する。EDPBの見解では、この命令に含まれる追加的な保護措置は、FISCを含めて考慮されるべきものである。大統領令14086の保護措置がどのように実施され、FISA702条および大統領令12333の下でデータが収集される際にこれらの保護措置がどのように適用されるかを評価するには、プライバシー・自由監視委員会(PCLOB)の報告が特に有用であることをEDPBは想起している。 
On the redress mechanism, the EDPB recognises significant improvements relating to the powers of the Data Protection Review Court (‛DPRC’) and its enhanced independence compared to the Ombudsperson. The EDPB also recognises the additional safeguards foreseen in the new redress mechanism such as the role of the special advocates that includes advocating regarding the complainant's interest as well as the review of the redress mechanism by PCLOB. While taking into account the nature of national security and the safeguards provided in EO 14086, the EDPB is nevertheless concerned about the general application of the standard response of the DPRC notifying the complainant that either no covered violations were identified or a determination requiring appropriate remediation was issued, and its non-appealability, taken together. Given the importance of the redress mechanism, the EDPB calls on the Commission to closely monitor the practical functioning of this mechanism.  EDPBは、救済メカニズムに関して、Data Protection Review Court (‛DPRC)の権限と、オンブズパーソンと比較して強化された独立性に関する重要な改善を認識している。また、EDPBは、苦情申立人の利益の擁護を含む特別弁護人の役割やPCLOBによる救済メカニズムの見直しなど、新しい救済メカニズムに予見される追加の保護措置も認識している。国家安全保障の性質と大統領令14086で規定されたセーフガードを考慮しながらも、EDPBは、対象違反が確認されなかったこと、または適切な是正を求める決定が出されたことを申立人に通知するDPRCの標準的な応答とその非抗告可能性を合わせて、一般的に適用することに懸念を持っている。救済メカニズムの重要性に鑑み、EDPBは欧州委員会に対し、このメカニズムが実際に機能しているかどうかを注意深く監視するよう要請する。 
The EDPB expects the Commission to follow up on their commitment to suspend, repeal or amend the adequacy decision on grounds of urgency, in particular if the U.S. Executive would decide to restrict the safeguards included in the EO[12].   EDPBは、特に米国の行政府が大統領令[12] に含まれる保障措置を制限することを決定した場合、緊急性を理由に妥当性決定を停止、撤廃、修正するとの約束を欧州委員会が履行することを期待している。  
Overall, the EDPB positively notes the substantial improvements the EO offers compared to the previous legal framework, in particular as regards the introduction of the principles of necessity and proportionality and the individual redress mechanism for EU data subjects. Given the concerns expressed and the clarifications required, the EDPB suggests these concerns should be addressed and that the Commission provides the requested clarifications in order to solidify the grounds for the Draft Decision and to ensure a close monitoring of the concrete implementation of this new legal framework, in particular the safeguards it provides, in the future joint reviews.   全体として、EDPBは、大統領令が従来の法的枠組みに比べ、特に必要性と比例性の原則の導入やEUデータ主体のための個別救済メカニズムに関して実質的な改善を提供していることを前向きに受け止めている。懸念が表明され、明確化が求められていることから、EDPBは、これらの懸念に対処し、決定草案の根拠を固め、今後の共同レビューにおいて、この新しい法的枠組みの具体的実施、特にそれがもたらす保障措置の綿密な監視を確保するために、欧州委員会が要求された明確化を提供するよう提言している。  
[1] Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) OJ L 119, 4.5.2016, p. 1–88.  [1] 個人データの処理に関する自然人の保護及び当該データの自由な移動に関する2016年4月27日の欧州議会及び理事会の規則(EU)2016/679、及び指令95/46/ECの廃止(一般データ保護規則)OJ L 119, 4.5.2016, p.1-88. 
[2] Art. 29 Working Party, Adequacy Referential, WP 254 rev.01, 28 November 2017, as last revised and adopted on 6 February 2018, endorsed by the EDPB on 25 May 2018 (hereinafter ‘Adequacy Referential’).  [2] Art.29 Working Party, Adequacy Referential, WP 254 rev.01, 28 November 2017, as last revised and adopted on 6 February 2018, endorsed by EDPB on 25 May 2018(以下「Adequacy Referential」)とする。 
[3] This is the case for the terms ‘agent’ and ‘processor’. Moreover, the concept of ‘human resources (HR) data’ still needs to be discussed with US authorities.  [3]これは、'agent' と 'processor' の用語の 場合である。さらに、「人事(HR)データ」の概念については、まだ米国当局と協議する必要がある。 
[4] For instance, the clarification that key-coded data are personal data.  [4] 例えば、キーコード化されたデータは個人情報であることを明確にしたこと。 
[5] Article 29 Working Party, Opinion 01/2016 on the EU – U.S. Privacy Shield draft adequacy decision, adopted on  April 2016 (hereinafter, ‘WP29 Opinion 01/2016’).   [5]Article 29 Working Party, Opinion 01/2016 on the EU - U.S. Privacy Shield draft adequacy decision, adopted on April 2016(以下、「WP29意見書01/2016」)という。  
[6] EU.U.S. Privacy Shield - Third Annual Joint Review, EDPB report adopted on 12 November 2019, para. 11.  [6] EU.U.S. Privacy Shield - Third Annual Joint Review, EDPB report adopted on 12 November 2019, para.11. 
[7] GDPR Adequacy Referential, 3.A.9.  [7] GDPRのAdequacy Referential、3.A.9. 
[8] Draft Decision, Recital 35.  [8] 決定草案、説明35。 
[9] Draft Decision, Annex IV. [9]決定草案、附属書IV。
[10] Draft Decision, Annex V.  [10] 決定草案、附属書V。 
[11] See in particular WP29 Opinion 01/2016, Section 2.2.6 (a).  12 Draft Decision, Recital 195.  [11] 特に WP29 意見書 01/2016, 2.2.6 (a)項を参照。  12 決定草案、説明 195。 
[12] Draft Decision, Recital 212.  [12] 決定草案、リサイタル212。 

 

目次...

1 INTRODUCTION 1 序文
1.1 US data protection framework 1.1 米国データ保護フレームワーク
1.2 Scope of the EDPB’s assessment 1.2 EDPBの評価対象範囲
1.3 General comments and concerns 1.3 一般的なコメントと懸念事項
1.3.1 Assessment of the domestic law 1.3.1 国内法の評価
1.3.2 International commitments entered into by the U.S. 1.3.2 米国が締結した国際公約
1.3.3 Progress in the area of US data protection legislation 1.3.3 米国データ保護法分野の進展
1.3.4 Scope of the Draft Decision 1.3.4 決定草案の範囲
1.3.5 Limitations to the duty to adhere to the DPF Principles 1.3.5 DPF原則を遵守する義務の制限
1.3.6 Changes with regard to the ’Privacy Shield’ 1.3.6 「プライバシーシールド」に関する変更点
1.3.7 Lack of clarity in the documents of the DPF 1.3.7 DPFのドキュメントが明確でない
2 GENERAL DATA PROTECTION ASPECTS 2 一般的なデータ保護の側面
2.1 Content principles 2.1 コンテンツの原則
2.1.1 Concepts 2.1.1 コンセプト
2.1.2 The purpose limitation principle 2.1.2 目的制限の原則
2.1.3 Rights of access, rectification, erasure and objection 2.1.3 アクセス、修正、消去、異議申し立ての権利
2.1.4 Restrictions on onward transfers 2.1.4 転送の制限
2.1.5 Automated decision-making and profiling 2.1.5 自動的な意思決定とプロファイリング
2.2 Procedural and Enforcement Mechanisms 2.2 手続きと執行のメカニズム
2.3 Redress mechanisms 2.3 リドレスメカニズム
3 ACCESS AND USE OF PERSONAL DATA TRANSFERRED FROM THE EUROPEAN UNION BY PUBLIC AUTHORITIES IN THE US 3 欧州連合から転送された個人データの米国内の公的機関によるアクセスと使用
3.1 Access and use for criminal law enforcement purposes 3.1 刑事法執行のためのアクセスおよび使用
3.1.1 Access by law enforcement authorities to personal data should be based on clear, precise and accessible rules 3.1.1 法執行機関による個人データへのアクセスは、明確、正確かつアクセス可能な規則に基づいて行われる必要がある
3.1.2 Necessity and proportionality with regard to the legitimate objectives pursued need to be demonstrated 3.1.2 追求される正当な目的に関する必要性と比例性が証明される必要がある
3.1.3 An independent oversight mechanism should exist 3.1.3 独立した監視機構が存在すべき
3.1.4 Effective remedies need to be available to the individual 3.1.4 効果的な救済措置が個人で利用できる必要がある
3.1.5 Further use of the information collected 3.1.5 収集した情報のさらなる利用について
3.2 Access and use for national security purposes 3.2 国家安全保障のためのアクセスおよび使用
3.2.1 Guarantee A - Processing should be in accordance with the law and based on clear, precise and accessible rules 3.2.1 保証A - 処理は法律に従い、明確、正確かつ利用しやすい規則に基づいて行われるべし
3.2.2 Guarantee B - Necessity and proportionality with regard to the legitimate objectives pursued need to be demonstrated 3.2.2 保証B - 追求される正当な目的に関する必要性と比例性が証明される必要がある
3.2.3 Guarantee C - Oversight 3.2.3 保証C – 監督
3.2.4 Guarantee D - Effective remedies need to be available to the individual 3.2.4 保証D - 効果的な救済措置が個人で利用可能である必要がある
4 IMPLEMENTATION AND MONITORING OF THE DRAFT DECISION 4 決定書草案の実施とモニタリング

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.12.16 欧州委員会 米国との安全なデータの流れを確保するための適切な決定の採択に向けたプロセスを開始

・2022.10.11 米国 米国におけるシグナル・インテリジェンス活動のための安全保障の強化に関する大統領令(GDPR対応) 

・2022.03.27 米国と欧州委員会が米国ー欧州間のデータプライバシーフレームワークに合意したと発表していますね。。。

・2021.03.28 EU-USプライバシーシールドを強化するための交渉を推進 - 米国商務長官と欧州司法長官による共同記者会見

・2020.07.16 EU-USのプライバシーシールドを無効にしま〜す by EU裁判所

 

| | Comments (0)

2023.03.01

IPA 欧州規格 ETSI EN 303 645 V2.1.1 (2020-06)の翻訳の公開

こんにちは、丸山満彦です。

IPAが、欧州規格 ETSI EN 303 645 V2.1.1 (2020-06)の翻訳版を公開していますね。。。

 ETSI EN 303 645 V2.1.1 (2020-06)は、すべての民生用IoT機器に適用される一連の基本的なサイバーセキュリティに関する欧州規格です。。。

ドイツでは、IoT製品のセキュリティ認証のCriteriaにも使われていますよね。。。

 

IPA

・2023.03.01 欧州規格 ETSI EN 303 645 V2.1.1 (2020-06)の翻訳の公開

・「PDF] ETSI EN 303 645 V2.1.1 (2020-06) サイバーセキュリティ技術委員会(CYBER); 民生用IoT機器のサイバーセキュリティ: ベースライン要件 [翻訳版]

20230301-143623

目次...

知的財産権
序文
法助動詞の用語

はじめに

1 適用範囲

2 参照
2.1
引用規格
2.2
参照文献

3 用語、記号、略語の定義
3.1
用語
3.2
記号
3.3
略語

4 報告の実施

5 民生用 IoT のためのサイバーセキュリティ規定
5.1
汎用のデフォルトパスワードを使用しない
5.2
脆弱性の報告を管理するための手段を導入する
5.3
ソフトウェアを最新の状態に保つ
5.4
機密セキュリティパラメータをセキュアに保存する
5.5
セキュアに通信する
5.6
露出した攻撃面を最小化する
5.7
ソフトウェアの完全性を確実にする
5.8
個人データがセキュアであることを確実にする
5.9
停止に対してレジリエントなシステムにする
5.10
システムのテレメトリデータを調べる
5.11
ユーザが簡単にユーザデータを消去できるようにする
5.12
機器の設置及びメンテナンスを容易にする
5.13
入力データの妥当性を確認する

6 民生用 IoT のためのデータ保護規定

附録 A (参考): 基本コンセプトとモデル
A.1
アーキテクチャ
A.2
機器の状態

附録 B (参考):実装適合性宣言の形式

履歴



翻訳原文(英語)

ETSI

・[PDF] ETSI EN 303 645 V2.1.1 (2020-06) CYBER; Cyber Security for Consumer Internet of Things: Baseline Requirements [English]

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.10.31 ドイツ シンガポール 消費者向けIoT製品のサイバーセキュリティ・ラベルの相互承認 (2022.10.20)

・2022.05.09 ドイツ ITセキュリティラベル for 消費者向けスマート製品

・2022.02.18 ETSI 協調的な脆弱性開示のためのガイド

・2022.02.03 ドイツ BSI Mail.deの電子メールサービスにITセキュリティラベルを付与

・2022.01.27 英国 スマートデバイスのサイバーセキュリティ新法に一歩近づくと発表

・2021.12.09 英国 製品セキュリティおよび電気通信インフラストラクチャ(PSTI)法案 at 2021.11.24

 



| | Comments (0)

中国 個人情報越境移転標準契約弁法 (2023.02.24)

こんにちは、丸山満彦です。

中国が標準契約による個人情報の国外への移転(越境移転)に関する弁法を公開していますね。。。EUで言うところのSCCですかね。。。

この標準契約で国外移転をする場合は、インフラ事業者ではないこと、100万人未満の個人情報取扱者であること、前年1月1日からの累計で10万人未満の国外個人情報提供者であること、前年1月1日からの累計で1万人未満の国外機微個人情報提供者であることなど、条件がありますね。。。

● 中央网安全和信息化委公室 (Cyberspace Administration of China: CAC)

・2023.02.24 个人信息出境标准合同办法

个人信息出境标准合同办法 個人情報越境移転標準契約弁法
《个人信息出境标准合同办法》已经2023年2月3日国家互联网信息办公室2023年第2次室务会议审议通过,现予公布,自2023年6月1日起施行。 「個人情報越境移転標準契約弁法」は、2023年2月3日、国家サイバースペース管理局の2023年第2回会議で審議・採択され、ここに公布、2023年6月1日から施行されることになりました。
国家互联网信息办公室主任 庄荣文 国家サイバースペース管理局主任 荘栄文
2023年2月22日 2023年2月22日
个人信息出境标准合同办法 個人情報越境移転標準契約弁法
第一条 为了保护个人信息权益,规范个人信息出境活动,根据《中华人民共和国个人信息保护法》等法律法规,制定本办法。 第1条 個人情報の権益を保護し、個人情報の越境に関する活動を規制するため、「中華人民共和国個人情報保護法」及びその他の法令に基づき、本弁法を制定する。
第二条 个人信息处理者通过与境外接收方订立个人信息出境标准合同(以下简称标准合同)的方式向中华人民共和国境外提供个人信息,适用本办法。 第2条 この措置は、個人情報取扱者が国外受信者との間で締結する個人情報の越境に関する標準契約(以下、標準契約という)により、中華人民共和国外で個人情報を提供する場合に適用されるものとする。
第三条 通过订立标准合同的方式开展个人信息出境活动,应当坚持自主缔约与备案管理相结合、保护权益与防范风险相结合,保障个人信息跨境安全、自由流动。 第3条 標準契約の締結による個人情報の越境活動は、自主契約と記録管理の組み合わせ、権益の保護とリスクの防止を堅持し、個人情報の国境を越えた安全かつ自由な流れを確保しなければならない。
第四条 个人信息处理者通过订立标准合同的方式向境外提供个人信息的,应当同时符合下列情形: 第4条 個人情報取扱者が標準契約の締結により個人情報を国外に提供する場合、同時に以下の事情を遵守しなければならない。
(一)非关键信息基础设施运营者; (一)重要でない情報インフラ事業者。
(二)处理个人信息不满100万人的; (二)100万人未満の個人情報を処理する場合
(三)自上年1月1日起累计向境外提供个人信息不满10万人的; (三) 前年の1月1日以降の個人情報の国外への提供の累計が10万人未満である場合
(四)自上年1月1日起累计向境外提供敏感个人信息不满1万人的。 (四)前年の1月1日以降の機微な個人情報の国外提供の累計が1万人未満である場合。
法律、行政法规或者国家网信部门另有规定的,从其规定。 法律、行政法規または国家サイバースペース管理局に別途規定がある場合、その規定を適用する。
个人信息处理者不得采取数量拆分等手段,将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供。 個人情報取扱者は、法律に基づく越境安全評価を通過すべき個人情報を、標準契約締結により国外に提供する場合、数量分割等の手段を採ってはならない。
第五条 个人信息处理者向境外提供个人信息前,应当开展个人信息保护影响评估,重点评估以下内容: 第5条 個人情報取扱者は、個人情報を外国に提供する前に、次の要素に着目して個人情報の保護に関する影響評価を行わなければならない。
(一)个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性; (一) 個人情報取扱者及び国外提供先における個人情報の取扱いの目的、範囲及び方法の適法性、正当性及び必要性。
(二)出境个人信息的规模、范围、种类、敏感程度,个人信息出境可能对个人信息权益带来的风险; (二)移出しようとする個人情報の規模、範囲、種類及び機微性並びに個人情報の移出に伴い発生し得る個人情報の権利及び利益に対する危険性
(三)境外接收方承诺承担的义务,以及履行义务的管理和技术措施、能力等能否保障出境个人信息的安全; (三)国外受取人が引き受ける義務並びにその義務を履行するための管理上及び技術上の措置並びに能力が国外への個人情報の安全性を確保することができるかどうか。
(四)个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险,个人信息权益维护的渠道是否通畅等; (四)移出後の個人情報の改ざん、破壊、漏えい、紛失、不正利用等の危険性及び個人情報等の権利利益を保護するための措置の有無
(五)境外接收方所在国家或者地区的个人信息保护政策和法规对标准合同履行的影响; (五)国外受取人の国又は地域における個人情報保護に関する政策及び規制が標準契約の履行に与える影響。
(六)其他可能影响个人信息出境安全的事项。 (六)その他個人情報の出国の安全性に影響を及ぼす可能性のある事項。
第六条 标准合同应当严格按照本办法附件订立。国家网信部门可以根据实际情况对附件进行调整。 第6条 標準契約は、本弁法の附属書に従って厳格に締結されるものとする。 国家サイバースペース管理局は、実際の状況に応じて、附属書を調整することができる。
个人信息处理者可以与境外接收方约定其他条款,但不得与标准合同相冲突。 個人情報取扱者は、国外受信者との間で、標準契約に抵触しない限り、その他の条件について合意することができる。
标准合同生效后方可开展个人信息出境活动。 個人情報の越境移転は、標準契約書の発効後にのみ行うことができる。
第七条 个人信息处理者应当在标准合同生效之日起10个工作日内向所在地省级网信部门备案。备案应当提交以下材料: 第7条 個人情報取扱事業者は、標準契約書の発効日から10営業日以内に、地方のインターネット情報部門に標準契約書を提出しなければならない。 届出には、次の資料を提出しなければならない。
(一)标准合同; (一) 標準契約書。
(二)个人信息保护影响评估报告。 (二)個人情報保護影響評価報告書。
个人信息处理者应当对所备案材料的真实性负责。 個人情報取扱者は、提出された資料の真偽について責任を負うものとする。
第八条 在标准合同有效期内出现下列情形之一的,个人信息处理者应当重新开展个人信息保护影响评估,补充或者重新订立标准合同,并履行相应备案手续: 第8条 個人情報取扱者は、標準契約書の有効期間中に次のいずれかに該当する事由が生じた場合には、新たに個人情報保護影響評価を行い、標準契約書を補完又は再締結し、これに対応する届出手続を行わなければならない。
(一)向境外提供个人信息的目的、范围、种类、敏感程度、方式、保存地点或者境外接收方处理个人信息的用途、方式发生变化,或者延长个人信息境外保存期限的; (一)国外で提供される個人情報の目的、範囲、種類、機密性、保管方法及び保管場所、又は国外受領者による個人情報の使用又は取扱い方法の変更、又は国外での個人情報の保管期間の延長。
(二)境外接收方所在国家或者地区的个人信息保护政策和法规发生变化等可能影响个人信息权益的; (二)国外受取人の所在する国又は地域における個人情報の保護に関する施策の変更等、個人情報の権利利益に影響を及ぼす可能性のある事情
(三)可能影响个人信息权益的其他情形。 (三)その他個人情報の権利利益に影響を及ぼす可能性のある事情
第九条 网信部门及其工作人员对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等应当依法予以保密,不得泄露或者非法向他人提供、非法使用。 第9条 インターネット情報部門及びその職員は、職務上知り得た個人のプライバシー、個人情報、商業上の秘密及び業務上の秘密について、法令に基づき秘密を保持し、他人に開示し、又は不正に利用してはならない。
第十条 任何组织和个人发现个人信息处理者违反本办法向境外提供个人信息的,可以向省级以上网信部门举报。 第10条 個人情報取扱者が本弁法に違反して個人情報を国外に提供していることを発見した組織または個人は、省レベル以上のインターネット情報部門に通報することができる。
第十一条 省级以上网信部门发现个人信息出境活动存在较大风险或者发生个人信息安全事件的,可以依法对个人信息处理者进行约谈。个人信息处理者应当按照要求整改,消除隐患。 第11条 省クラス以上のインターネット情報部門は、個人情報が国外に流出する危険性がより高い、または個人情報セキュリティ事件が発生したと判断した場合、法律に基づいて個人情報取扱者に事情聴取を行うことができる。 個人情報取扱者は、要求に基づき、隠れた危険性を是正し、除去しなければならない。
第十二条 违反本办法规定的,依据《中华人民共和国个人信息保护法》等法律法规处理;构成犯罪的,依法追究刑事责任。 第12条 本弁法の規定に違反した場合、「中華人民共和国個人情報保護法」及びその他の法令に基づき処理され、犯罪に該当する場合は、法律に基づいて刑事責任を追及されるものとする。
第十三条 本办法自2023年6月1日起施行。本办法施行前已经开展的个人信息出境活动,不符合本办法规定的,应当自本办法施行之日起6个月内完成整改。 第13条 この弁法は、2023年6月1日から施行する。 本施策の実施前に既に実施された個人情報移出活動で、本施策の規定を遵守していないものは、本施策の実施日から6ヶ月以内に是正するものとする。
个人信息出境标准合同(点击即可下载) 個人情報越境移転標準契約書 (ダウンロード)

 

20230301-62611

・[DOCX] 仮訳

 

プレス...

・2023.02.24 国家互联网信息办公室公布《个人信息出境标准合同办法》

 

国家互联网信息办公室公布《个人信息出境标准合同办法》 国家サイバースペース管理局が「個人情報越境移転標準契約弁法」を公布
2月24日,国家互联网信息办公室公布《个人信息出境标准合同办法》(以下简称《办法》),自2023年6月1日起施行。国家互联网信息办公室有关负责人表示,出台《办法》旨在落实《个人信息保护法》的规定,保护个人信息权益,规范个人信息出境活动。 2月24日、国家サイバースペース管理局は、「個人情報越境移転標準契約弁法」(以下、「弁法」)を発表し、2023年6月1日から施行することを明らかにした。 国家サイバースペース管理局の担当者によると、本弁法の導入は、個人情報保護法の規定を実施し、個人情報の権益を保護し、個人情報の移出活動を規制することを目的としている。
近年来,随着数字经济的蓬勃发展,个人信息出境需求快速增长。为满足日益增长的个人信息出境需要,保护个人信息权益,《办法》规定了个人信息出境标准合同(以下简称标准合同)的适用范围、订立条件和备案要求,明确了标准合同范本,为向境外提供个人信息提供了具体指引。 近年、デジタル経済の活況な発展に伴い、個人情報の越境移出に対する需要が急速に高まっている。 本弁法は、個人情報の移出ニーズの高まりに対応し、個人情報の権利利益を保護するため、個人情報の越境移転に関する標準契約(以下、標準契約という)の適用範囲、締結条件、届出要件等を規定し、標準契約のひな型を明確にし、個人情報の国外提供に関する具体的な指針を提供するものである。
《办法》规定,个人信息处理者通过与境外接收方订立标准合同的方式向中华人民共和国境外提供个人信息适用本办法。明确通过订立标准合同的方式开展个人信息出境活动,应当坚持自主缔约与备案管理相结合、保护权益与防范风险相结合,保障个人信息跨境安全、自由流动。个人信息处理者通过订立标准合同的方式向境外提供个人信息应当同时符合下列情形:非关键信息基础设施运营者、处理个人信息不满100万人的、自上年1月1日起累计向境外提供个人信息不满10万人的、自上年1月1日起累计向境外提供敏感个人信息不满1万人的。法律、行政法规或者国家网信部门另有规定的,从其规定。要求个人信息处理者不得采取数量拆分等手段,将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供。 本弁法は、個人情報の取扱者と国外受信者との間の標準契約による中華人民共和国外への個人情報の提供は、本弁法の適用を受けると規定している。 標準契約の締結による個人情報の対外活動は、自主契約と記録管理の結合、権益保護とリスク防止の結合を堅持し、個人情報の安全かつ自由な越境を確保することを明確にしている。 個人情報取扱者が標準契約により個人情報を国外に提供する場合、同時に次のような状況を満たさなければならない。非重要情報インフラ事業者、100万人未満の個人情報取扱者、前年1月1日からの累計で10万人未満の国外個人情報提供者、前年1月1日からの累計で1万人未満の国外機微個人情報提供者。 法律、行政法規または国家サイバースペース管理局に別途規定がある場合、その規定を適用する。 個人情報取扱者は、標準契約を締結することにより、法律による国外移転安全性評価を通過すべき個人情報を、数量分割等の手段で国外に提供しないことを要求される。
《办法》明确,个人信息处理者向境外提供个人信息前,应当开展个人信息保护影响评估并明确了重点评估内容。规定个人信息处理者应当在标准合同生效之日起10个工作日内向所在地省级网信部门备案。提出在标准合同有效期内个人信息处理者应当重新开展个人信息保护影响评估,补充或者重新订立标准合同,并履行相应备案手续的具体情形。《办法》还对监督管理、法律责任、合规整改要求等作出了规定。 本方針は、個人情報取扱者が個人情報を国外に提供する前に、個人情報保護影響評価を実施し、評価の重要な要素を特定しなければならないことを明確にしている。 個人情報取扱者は、契約の発効日から10営業日以内に、現地の省内インターネット情報部門に標準契約を提出しなければならないと規定されている。 個人情報処理機関が標準契約の有効期間内に、個人情報保護に関する影響評価を新たに行い、標準契約を補充または再締結し、対応する届出手続きを行わなければならない具体的な状況を提案している。 また、この弁法では、監督管理、法的責任、遵守と是正の要件についても規定している。
《办法》附件为标准合同范本,主要内容包括合同相关定义和基本要素、个人信息处理者和境外接收方的合同义务、境外接收方所在国家或者地区个人信息保护政策和法规对合同履行的影响、个人信息主体的权利和相关救济,以及合同解除、违约责任、争议解决等事项,并设计了个人信息出境说明、双方约定的其他条款等两个附录。 弁法の附属書は、標準契約のモデルであり、主に、契約の定義と基本要素、個人情報取扱者と国外受信者の契約義務、国外受信者の国又は地域の個人情報保護政策と規制が契約履行に与える影響、個人情報主体の権利と関連救済措置、さらに契約の解除、契約違反の責任、紛争解決などの事項、個人情報の越境の設計などが含まれている。 個人情報の越境に関する記述、その他当事者間で合意した条件など、2つの附属書を設計している。

 

Q&A...

・2023.02.24 《个人信息出境标准合同办法》答记者问

《个人信息出境标准合同办法》答记者问 個人情報越境移転標準契約弁法に関する質疑応答
2月24日,国家互联网信息办公室公布《个人信息出境标准合同办法》(以下简称《办法》)。国家互联网信息办公室有关负责人就《办法》相关问题回答了记者提问。 2月24日、国家サイバースペース管理局は「個人情報越境標準契約方法に関する弁法」(以下、「弁法」という)を発表しました。 国家サイバースペース管理局の担当者は、本方針に関連する問題について、記者からの質問に答えた。
问:请简要介绍《办法》出台的背景? Q:本施策が導入された背景を簡単に紹介してください。
答:近年来,随着数字经济的蓬勃发展,个人信息出境需求快速增长,个人信息权益保护面临较大挑战。《个人信息保护法》对个人信息跨境提供规则作了基础性规定,按照国家网信部门制定的标准合同订立合同是向境外提供个人信息的法定途径之一。制定出台《办法》是落实法律规定的重要举措,目的是为了保护个人信息权益,规范个人信息出境活动。 A:近年、デジタル経済の活況な発展に伴い、個人情報の越境需要が急増し、個人情報権益の保護がより大きな課題に直面するようにななりました。 個人情報保護法では、国境を越えた個人情報提供のルールについて基本的な規定を設けており、国家サイバースペース管理局が策定した標準契約に基づいて契約を締結することは、国外で個人情報を提供する合法的な方法の一つです。 本弁法の制定と導入は、個人情報の権益を保護し、個人情報の対外活動を規制することを目的とし、法律の規定を実施する重要なステップとなります。
问:哪些情形可以通过订立标准合同的方式向境外提供个人信息? Q: 標準契約の締結により、個人情報を中国国外に提供できるのは、どのような場合ですか?
答:《办法》明确了个人信息处理者通过订立标准合同的方式向境外提供个人信息应当同时符合下列情形:一是非关键信息基础设施运营者;二是处理个人信息不满100万人的;三是自上年1月1日起累计向境外提供个人信息不满10万人的;四是自上年1月1日起累计向境外提供敏感个人信息不满1万人的。同时,《办法》明确,法律、行政法规或者国家网信部门另有规定的,从其规定。要求个人信息处理者不得采取数量拆分等手段,将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供。 A:弁法では、個人情報取扱事業者が標準契約により個人情報を国外に提供する場合、以下の状況に従うことを明確にしています。第一に、重要でない情報インフラ事業者であること、第二に、100万人未満の個人情報を取り扱っていること、第三に、前年の1月1日から合計10万人未満に個人情報を国外で提供していること、第四に、前年の1月1日から合計1万人未満に機微個人情報を国外で提供していること、などです。 同時に、本弁法は、法律、行政法規または国家サイバースペース管理局に別途規定がある場合は、その規定を適用することを明確にしています。 個人情報取扱者は、法律に基づく対外安全評価を通過すべき個人情報を、標準契約を締結して外国に提供する際、数量分割等の手段を採用しないよう求められています。
问:个人信息处理者如何开展个人信息保护影响评估? Q:個人情報取扱者は、どのように個人情報保護の影響評価を行うのですか?
答:《办法》要求个人信息处理者向境外提供个人信息前,应当开展个人信息保护影响评估,重点评估以下内容:一是个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性;二是出境个人信息的规模、范围、种类、敏感程度,个人信息出境可能对个人信息权益带来的风险;三是境外接收方承诺承担的义务,以及履行义务的管理和技术措施、能力等能否保障出境个人信息的安全;四是个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险,个人信息权益维护的渠道是否通畅等;五是境外接收方所在国家或者地区的个人信息保护政策和法规对标准合同履行的影响;六是其他可能影响个人信息出境安全的事项。 A:本措置は、個人情報取扱者に対し、個人情報を国外に提供する前に、以下の点に着目して、個人情報保護の影響評価を行うことを求めています。第一に、個人情報取扱者と国外受信者の個人情報の取扱いの目的、範囲及び方法の合法性、正当性及び必要性、第二に、送出個人情報の規模、範囲、種類及び感受性、個人情報に対する起こり得る危険性。 第三に、国外受信者が引き受ける義務、及びその義務を履行するための管理・技術的措置と能力が移出する個人情報の安全性を保証できるかどうか、第四に、移出後の個人情報の改ざん、破壊、漏洩、紛失又は違法使用のリスク及び個人情報の権利利益を保護するためのルートが開かれているかどうか、第五に、国外受信者の国又は地域の個人情報保護政策と規制が標準契約の履行に与える影響。 標準契約の履行に及ぼす規制の影響、第六に、その他個人情報の出国の安全性に影響を及ぼす可能性のある事項。
问:个人信息处理者如何进行标准合同备案? Q:個人情報の取扱者は、どのように標準契約を提出するのですか?
答:《办法》规定个人信息处理者应当在标准合同生效之日起10个工作日内向所在地省级网信部门备案。备案需提交的材料包括标准合同和个人信息保护影响评估报告。 A:弁法では、個人情報取扱者が標準契約の発効日から10営業日以内に、地方のインターネット情報部門に標準契約を提出しなければならないと定めている。 提出する資料は、標準契約書と個人情報保護影響評価報告書です。
问:在标准合同有效期内出现哪些情形,个人信息处理者需要重新履行备案手续? Q:標準契約書の有効期間中に、どのような状況が発生した場合、個人情報取扱事業者は再度届出手続きを行う必要があるのですか?
答:《办法》明确了在标准合同有效期内,个人信息处理者应当重新开展个人信息保护影响评估,补充或者重新订立标准合同,并履行备案手续的3种情形:一是向境外提供个人信息的目的、范围、种类、敏感程度、方式、保存地点或者境外接收方处理个人信息的用途、方式发生变化,或者延长个人信息境外保存期限的;二是境外接收方所在国家或者地区的个人信息保护政策和法规发生变化等可能影响个人信息权益的;三是可能影响个人信息权益的其他情形。 A: 本施策では、個人情報取扱者が、標準契約の有効期間中に、新たに個人情報保護に関する影響評価を実施し、標準契約を補完または再締結し、届出手続きを行うべき3つの状況を規定しています。第一に、国外で提供する個人情報の目的、範囲、種類、機微性、方法および保管場所、または国外受信者による個人情報の使用または取扱方法に変更がある場合、または、標準契約の延長がある場合です。 第二に、国外受信者の所在する国又は地域の個人情報保護政策及び規則に個人情報の権利利益に影響を及ぼすような変更があった場合、第三に、その他個人情報の権利利益に影響を及ぼすような事情がある場合です。
问:标准合同备案后如何保障个人信息处理者的商业秘密等合法权益? Q:標準契約書を提出した後、商業秘密など個人情報取扱者の合法的な権益をどのように保護するのですか?
答:《办法》规定了网信部门及其工作人员对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等应当依法予以保密,不得泄露或者非法向他人提供、非法使用。 A:弁法では、インターネット情報部門とその職員が、職務を遂行する上で知り得た個人のプライバシー、個人情報、商業秘密、業務上の秘密情報を、法律に従って守り、他人に開示したり、不法に使用したりしないことを規定しています。
问:标准合同范本包括哪些主要内容? Q: 標準契約書の主な内容は何ですか?
答:《办法》附件为标准合同范本,主要内容包括合同相关定义和基本要素、个人信息处理者和境外接收方的合同义务、境外接收方所在国家或者地区个人信息保护政策和法规对合同履行的影响、个人信息主体的权利和相关救济,以及合同解除、违约责任、争议解决等事项,并设计了个人信息出境说明、双方约定的其他条款等两个附录。 A: 弁法の附属書は標準契約書であり、契約の定義と基本要素、個人情報取扱者と国外受信者の契約上の義務、国外受信者の国・地域の個人情報保護に関する政策・規制が契約履行に与える影響、個人情報主体の権利と関連救済、さらに契約の解除、契約違反の責任、紛争解決などの事項、個人情報設計 出の指示、その他当事者が合意する条件など、2つの附属書を設計しています。
问:标准合同内容是否可以更改?订立标准合同后何时可以开展个人信息出境活动? Q:標準契約書の内容を変更することはできますか? また、標準契約締結後、どのような場合に個人情報の離脱を行うことができるのでしょうか?
答:《办法》规定标准合同应当严格按照本办法附件的标准合同范本订立。国家网信部门可以根据实际情况对附件进行调整。个人信息处理者可以与境外接收方约定其他条款,但不得与标准合同相冲突。《办法》明确标准合同生效后方可开展个人信息出境活动。 A:弁法では、標準契約は弁法に附属する標準契約に厳格に従わなければならないと定めています。 国家サイバースペース管理局は、実際の状況に応じて、附属書を調整することができます。 個人情報の取扱者は、国外受信者と他の条件を取り決めることができるが、標準契約と矛盾してはなりません。 本弁法は、個人情報の越境活動は、標準契約が発効した後にのみ行うことができることを明確にしています。
问:违反《办法》如何追究法律责任? Q: 本施策に違反した場合の法的責任は、どのように調査されますか?
答:《办法》提出个人信息处理者违反本办法规定的,依据《中华人民共和国个人信息保护法》等法律法规处理;构成犯罪的,依法追究刑事责任。 A: 個人情報取扱業者が本措置の規定に違反した場合、中華人民共和国個人情報保護法およびその他の法令に基づき処理され、犯罪となる場合は、法令に基づき刑事責任を追及されることを提案しています。
问:《办法》施行前已经开展的个人信息出境活动是否适用本办法? Q: 弁法の施行前にすでに行われていた個人情報の越境に関する活動にも弁法は適用されますか?
答:《办法》明确本办法施行前已经开展的个人信息出境活动,不符合本办法规定的,应当自本办法施行之日起6个月内完成整改。 A: 本施策は、本施策の実施前に既に実施された個人情報移出活動で、本施策の規定を遵守していないものは、本施策の実施日から6ヶ月以内に是正しなければならないことを明確にしています。



専門家の解釈(1)...

・2023.02.24 专家解读|出台标准合同规范 完善我国个人信息出境管理制度

专家解读|出台标准合同规范 完善我国个人信息出境管理制度 専門家の解釈|標準契約書仕様の発行 中国の個人情報越境管理制度の改善
2023年2月24日,国家互联网信息办公室公布《个人信息出境标准合同办法》(以下简称《办法》)。《办法》对通过订立标准合同的方式开展个人信息出境的活动作出具体制度安排,细化落实了《个人信息保护法》第三十八条第一款第三项的规定。《个人信息保护法》对我国个人信息出境管理作出顶层设计,规定了国际条约或协定、安全评估、个人信息保护认证、标准合同四种个人信息出境方式。继《数据出境安全评估办法》《关于实施个人信息保护认证的公告》对安全评估、个人信息保护认证进行规范后,《办法》成为我国个人信息出境管理制度的重要组成部分。对于规范个人信息跨境流动、完善数据跨境管理制度和促进数据领域国际合作具有重大意义。 2023年2月24日、国家サイバースペース管理局は「個人情報越境移転標準契約弁法」(以下、本弁法)を発表した。 本弁法は、個人情報保護法第38条第1項第3号の規定の実施内容を精緻化し、標準契約締結による個人情報越境活動のための具体的な制度整備を行うものである。 個人情報保護法は、中国からの個人情報の移出を管理するトップレベルの設計を提供し、国際条約または協定、安全評価、個人情報保護の認証、標準契約による個人情報の移出の4つの方法を規定している。 安全性評価と個人情報保護認証を規定した「データ越境安全性評価弁法」と「個人情報保護認証実施に関する公告」に続き、本弁法は中国の個人情報越境管理制度の重要な一部となっている。 個人情報の国境を越えた流れを規制し、データの国境を越えた管理システムを改善し、データ分野における国際協力を推進する上で、大きな意義がある。
一、及时必要,规范个人信息有序高效跨境流动 I. 適時かつ必要、秩序ある効率的な個人情報の越境流通を規制する。
出台《办法》是我国推动个人信息跨境流动、积极融入全球数字经济发展大势的重要举措。 本弁法の公布は、中国が個人情報の越境流通を促進し、世界のデジタル経済の発展趨勢に積極的に溶け込むための重要な一歩となる。
(一)落实《个人信息保护法》要求,保护个人信息权益。出台《办法》是为了保护个人信息权益,规范个人信息出境活动。当前,数字经济蓬勃发展,数据跨境日益频繁,各国个人信息跨境流动需求也快速增长。但由于不同国家和地区的个人信息保护水平存在差异,个人信息出境的风险日渐凸显。《个人信息保护法》提供了高水平的个人信息保护标准,标准合同的适用有利于保障境外接收方处理个人信息的活动达到我国《个人信息保护法》规定的个人信息保护标准,确保个人信息出境后个人信息主体权益依然受到保护。 (1) 個人情報保護法の要求を実施し、個人情報の権益を保護する。 本弁法の公布は、個人情報の権益を保護し、個人情報の流出活動を規制することである。 現在、デジタル経済が活況を呈し、データが国境を越えることが頻繁になり、各国の個人情報の国境を越えた流れに対する需要も急速に高まっている。 しかし、国や地域によって個人情報の保護水準に差があるため、個人情報が国外に流出するリスクが顕著になってきている。 個人情報保護法は高いレベルの個人情報保護基準を規定しており、標準契約の適用は、国外受信者の個人情報の取扱活動が中国の個人情報保護法に規定された個人情報保護基準を満たし、個人情報が国外に出た後も個人情報主体の権益が保護されるようにすることに資するものである。
(二)促进数字经济发展,回应中小企业个人信息跨境需求。2022年《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》提出“构建数据安全合规有序跨境流通机制”“坚持开放发展,推动数据跨境双向有序流动,鼓励国内外企业及组织依法依规开展数据跨境流动业务合作”。作为一种个人信息出境方式,标准合同具有便捷化、成本低的特征。《办法》的出台积极回应了社会关切,在为中小企业个人信息跨境业务合作提供法治保障的同时,也减轻了中小企业负担,有利于进一步促进数据自由流通和数字经济发展。 (2) 中国共産党中央委員会と国務院の「データ要素の役割をよりよく果たすためのデータ基盤システムの構築に関する意見」は、「安全、コンプライアンス、秩序あるデータの国境を越えた流通のためのメカニズムを構築する」、「開放的な発展を堅持し、個人情報主体の権利を促進する」ことを提案した。  個人情報の越境として、標準契約は利便性が高く、低コストであるという特徴がある。 本措置の導入は、社会的な関心に積極的に応え、中小企業の個人情報の国境を越えた業務提携に法治主義的な保護を提供するとともに、中小企業の負担を軽減し、データの自由な流通とデジタル経済の発展を一層促進することに資するものである。
(三)紧跟数字时代潮流,顺应国际通行做法。国际上,以欧盟针对四种不同个人数据传输场景的“标准合同条款”为典型代表,东盟、英国和中国香港等国家和地区分别出台了“标准合同条款”范本。在借鉴域外经验和立足我国实际的基础上,《办法》提出具备完整合同结构的“标准合同范本”。国家网信部门可以根据实际情况对附件标准合同范本进行调整,使其保持灵活性、实践性和国际性。《办法》的出台既符合国际通行做法又具有中国法治特色,对于促进数据领域国际合作意义重大。 (3) デジタル時代の趨勢に対応し、国際的な慣例に適合していること。 国際的には、EUの4種類の個人データ伝送シナリオに対する「標準契約条項」が代表的であり、ASEAN、英国、中国香港などの国・地域がそれぞれモデル的な「標準契約条項」を発表している。 国外の経験と中国の実情に基づき、本弁法は完全な契約構造を持つ「標準契約モデル」を提案する。 各国のサイバースペース当局は、付属の標準契約モデルを実際の状況に応じて調整し、柔軟性、実用性、国際性を保つことができる。 本措置の導入は、国際慣行に合致するだけでなく、中国の法治の特色を持ち、データ分野の国際協力の推進に大きな意義を持つ。
二、定位清晰,健全个人信息出境管理制度体系 II. 個人情報越境管理の明確な位置づけと健全な制度
《办法》是继《数据出境安全评估办法》之后,第二部落实《个人信息保护法》个人信息出境管理规定的专门性部门规章,具有承前启后推动个人信息出境管理制度体系化的重要作用。 本弁法は、「データ越境安全評価弁法」に続く、個人情報保護法の個人情報越境管理規定を実施するための二番目の特別部門規定であり、個人情報越境管理システムの体系化を進め、推進する上で重要な役割を果たす。
(一)完善个人信息出境管理的重要配套规章。《办法》的出台,细化了《个人信息保护法》“按照国家网信部门制定的标准合同与境外接收方订立合同,约定双方的权利义务”的要求,是对个人信息出境管理制度的重要补充。《个人信息保护法》第三十八条规定了“两类四种”个人信息出境方式:一类是个人信息处理者因业务等需要,确需向境外提供个人信息的,应该具备“安全评估”“个人信息保护认证”“标准合同”三种条件之一,并设置兜底条款“法律、行政法规或者国家网信部门规定的其他条件”;另一类是我国缔结或者参加的国际条约、协定对向境外提供个人信息的条件等有规定的,可以按照其规定执行。《数据出境安全评估办法》明确了数据出境管理中的“安全评估”,《办法》与其共同作为《个人信息保护法》的配套规章,进一步落实了有关个人信息出境管理制度的顶层设计。 (1) 個人情報の移出管理を改善するための重要な補助規定 本弁法の公布は、「国家サイバースペース管理局が策定した標準契約書に基づいて、国外受信者と契約を締結し、双方の権利義務を合意する」という個人情報保護法の要件をより明確にするものであり、個人情報越境管理システムを補完する重要なものである。 個人情報保護法第38条は、個人情報の越境方法について、「2種類と4種類」を規定している。1つは、個人情報取扱業者が業務目的などで本当に国外で個人情報を提供する必要がある場合、「安全性評価」 "個人情報保護認証 "と "標準契約 "を締結し、"その他法律、行政法規または国家サイバースペース管理局が規定する条件 "を底本とするもの、もう一つの類型は その他の区分とは、中国が締結または参加した国際条約・協定に中国国外での個人情報提供の条件が規定されている場合、その規定に従って実施することができる、というものである。 データ越境安全評価弁法」は、データ越境管理における「安全評価」を明確にし、同弁法とともに、個人情報保護法の補助規定として、個人情報越境管理システムのトップレベル設計をさらに実施するものである。
(二)丰富个人信息出境方式。《办法》通过划定个人信息出境标准合同的适用范围和情形,有效实现了标准合同和安全评估、个人信息保护认证的制度衔接,也为后续出台有关认证等其他个人信息出境方式的规则预留了制度接口。当个人信息处理者选择通过订立标准合同的方式向境外提供个人信息时,必须同时符合下列四种情形:(一)非关键信息基础设施运营者;(二)处理个人信息不满100万人的;(三)自上年1月1日起累计向境外提供个人信息不满10万人的;(四)自上年1月1日起累计向境外提供敏感个人信息不满1万人的。实际上,《办法》给予个人信息处理者选择权,除必须申报安全评估的情形之外,个人信息处理者可以结合具体情况选择订立标准合同或者其他个人信息出境方式出境。 (2) 個人情報の移出方法の充実 個人情報の移出に関する標準契約の適用範囲と状況を明確にすることで、標準契約と個人情報保護に関する安全性評価および認証との制度的インターフェースを有効に実現し、認証など他の個人情報の移出方法に関する規則を後から導入するための制度的インターフェースも確保されている。 個人情報取扱事業者が標準契約を締結して個人情報を国外に提供することを選択する場合、(1)重要情報インフラ事業者でない、(2)100万人未満の個人情報を取り扱っている、(3)前年1月1日から国外への個人情報提供の合計が10万人未満、(4)前年1月1日から国外への機密個人情報の提供が合計1万人未満、という4つの状況も満たしていなければならない。実際、本措置では、安全性評価の申告が必要な場合を除き、個人情報取扱事業者は、特定の状況に合わせて標準契約の締結等の個人情報越境方式を選択することができる権利を付与している。
(三)结合政府监管手段与市场自主行为的新型管理规则。《办法》的正文和附件标准合同范本前后衔接,既明确了个人信息出境标准合同的监管要求,又保障了合同双方的意思自治和合同磋商空间。正文为行政监管意义上的部门规章,规定了个人信息出境标准合同的监管要求。附件实质上为民商事活动领域中的格式合同,相较于传统民事合同,其承载着意思自治、个人信息保护、国家安全和公共利益等多元价值。标准合同范本中的部分内容已被预先设定,当个人信息处理者自愿选择通过订立标准合同的方式向境外提供个人信息时,该部分内容不可更改。但合同双方可在附录二中约定附件标准合同范本未明确的事项。总之,将标准合同作为个人信息出境的方式,是我国网络立法上的创新举措,有利于积极应对互联网新业态新模式带来的风险挑战,为促进个人信息跨境流动提供法治保障。 (3) 政府の規制手段と自律的な市場行動を組み合わせた新しい管理ルール。 本措置の主文と付属のモデル標準契約書は背中合わせになっており、個人情報の移出に関する標準契約書の規制要件を明確にするだけでなく、契約当事者双方の自律性と契約交渉の余地を保証している。 本文は行政監督的な意味での部門規定であり、個人情報移出標準契約書の規制要件を定めている。 附属書は、基本的に民商分野のフォーム契約であり、従来の民事契約と比較して、意思の自律性、個人情報の保護、国家の安全、公共の利益など複数の価値を持つ。 標準モデル契約の内容の一部はあらかじめ決められており、個人情報取扱事業者が標準契約によって自発的に国外に個人情報を提供することを選択した場合には、変更することができない。 ただし、附属書Ⅱの標準モデル契約書に明記されていない事項については、契約当事者が合意することができる。 結論として、標準契約を個人情報移出の手段として利用することは、中国のサイバー法制における革新的な動きであり、インターネットの新しい産業とモデルがもたらすリスク課題に積極的に対応し、個人情報の国境を越えた流れを促進するための法治保護を提供することに資するものである。
三、守正创新,构建个人信息出境标准合同管理制度 III. 義と革新、標準契約管理システムのうち、個人情報の建設
《办法》立足我国立法现状和实践情况,对个人信息保护影响评估、标准合同备案管理、举报监督制度与法律责任等作出明确规定。 本弁法は、中国の法律と実務の現状を踏まえ、個人情報保護の影響評価、標準契約の記録管理、報告・監督制度、法的責任について明確に規定している。
(一)个人信息保护影响自评估制度。《办法》第五条规定个人信息处理者向境外提供个人信息前,应当开展个人信息保护影响评估,其重点评估内容与《数据出境安全评估办法》中“数据出境风险自评估”的重点评估事项基本一致。但是,个人信息保护影响评估内容中增加了“境外接收方所在国家或者地区的个人信息保护政策和法规对标准合同履行的影响”。这一点具体体现在附件标准合同范本的第二条第八项和第四条,合同双方应结合个人信息出境的具体情况、境外政策法规、境外接收方的安全管理制度和技术手段保障能力等进行评估。 (1) 個人情報保護の影響に関する自己評価システム 弁法第5条は、個人情報取扱事業者が個人情報を外国に提供する前に、個人情報保護に関する影響評価を行うことを規定しており、その評価の焦点は、データ越境安全評価弁法における「データ越境リスクの自己評価」の焦点と基本的に同じである。 ただし、個人情報保護影響評価には、「国外の提供先が所在する国・地域の個人情報保護方針・規制が標準契約の履行に与える影響」が追加されている。 これは、付属のモデル標準契約書第2条第8号及び第4条に具体的に反映されており、契約の両当事者は、個人情報の移出の具体的状況、国外の政策及び規制、国外受信者の安全管理体制、技術的手段の保証能力などに照らして、個人情報を評価するものとする。
(二)个人信息出境标准合同备案管理制度。个人信息处理者应当在标准合同生效之日起10个工作日内向所在地省级网信部门备案。从性质上看,《办法》设立的备案制度为事后监管,并不会产生功能性的效果。从内容上看,须备案的材料包括:(一)合同双方根据附件标准合同范本订立的个人信息出境标准合同,与之相关的独立商业合同并不需要备案;(二)个人信息保护影响评估报告。个人信息处理者应当对所备案材料的真实性负责。从结果上看,对于未履行备案程序或者提交虚假材料进行备案的违法行为,若由此导致个人信息出境活动存在较大风险或者发生个人信息安全事件,省级以上网信部门可以进行约谈,要求整改。 (2) 個人情報の移出に関する標準契約の記録管理システム。 個人情報取扱者は、標準契約書の発効日から10営業日以内に、所在地の省内インターネット情報部門に標準契約書を提出しなければならない。 本弁法の制定した提出制度は、その性質上、事後的な規制であり、機能的な効果はない。 内容的には、提出すべき資料は、(1) 契約当事者双方が添付のモデル標準契約書に従って締結した個人情報越境に関する標準契約書、及びこれに関連する独立した商業契約は提出を要しない、(2) 個人情報保護に関する影響評価報告書などである。 個人情報の取扱者は、提出された資料の真偽について責任を負わなければならない。 その結果、提出手続きを行わない違反行為や虚偽の資料を提出することにより、個人情報の越境活動や個人情報セキュリティ事故の危険性が高まる場合、省レベル以上のインターネット情報部門が事情聴取を行い、是正を求めることができる。
(三)保护个人信息主体权利的涉他合同。从主体上看,附件标准合同范本涉及三方主体,包括个人信息处理者、境外接收方和个人信息主体,在为个人信息处理者、境外接收方设立合同义务的同时,亦为第三人“个人信息主体”设立了合同权利。从内容上看,个人信息处理者应履行告知、提供副本、答复询问、个人信息保护影响评估等义务。境外接收方应履行提供合同副本、采取技术和管理措施、接受监督管理等义务;若进行“再传输”“转委托”“自动化决策”等处理行为需符合相关条件。个人信息主体对其个人信息的处理享有知情权、决定权等权利,并有权请求合同一方或双方履行标准合同项下与个人信息主体权利相关的条款。此外,个人信息处理者通过与境外接收方订立标准合同的方式向境外提供个人信息的,除遵守《办法》规定外,合同的成立、效力、履行、解释以及因本合同引起的双方争议还应适用《民法典》等中华人民共和国相关法律法规。 (3) 他の契約に関わる個人情報主体の権利保護:主体に関しては、付属の標準モデル契約は、個人情報取扱者、国外受信者、個人情報主体の三者を含み、個人情報取扱者と国外受信者の契約上の義務、及び「個人情報主体」である第三者の契約上の権利を定めている。 内容としては、個人情報の取扱者は、通知、コピーの提供、問い合わせへの対応、個人情報保護への影響の評価などの義務を負いる。 国外受信者は、「再送信」、「再委任」、「自動意思決定」等により処理が行われる場合、契約書の写しの提供、技術・管理措置、監督・管理の受諾等の義務を履行するものとします。 受信者は、当該条件を遵守しなければならない。 個人情報主体は、自己の個人情報の処理について知らされる権利、意思決定等を行う権利、及び個人情報主体の権利に関連して標準契約の条件を履行するよう当事者の一方または双方に要求する権利を有する。 また、個人情報取扱者が中国国外受信者と標準契約を締結して中国国外で個人情報を提供する場合、弁法の規定を遵守するほか、契約の成立、効力、履行及び解釈並びに当該契約に起因する当事者間の紛争は、中華人民共和国の民法及びその他の関連法規にも従うものとします。
(四)举报监督制度与法律责任。一方面,任何组织和个人发现个人信息处理者违反《办法》规定向境外提供个人信息的,可以向省级以上网信部门举报。另一方面,当省级以上网信部门发现个人信息出境活动存在较大风险或者发生个人信息安全事件的,可以依法对个人信息处理者进行约谈。个人信息处理者应当按照要求整改,消除隐患。此外,还规定了违反《办法》规定的应当依据《个人信息保护法》等法律法规处理,构成犯罪的依法追究刑事责任。 (4) 報告・監督体制と法的責任。 一方、個人情報処理機関が本方針の規定に違反して中国国外で個人情報を提供していることを発見した組織または個人は、省レベル以上のインターネット情報部門に通報することができる。 一方、省クラス以上のインターネット情報部門は、個人情報が国外に流出する危険性がより高い、または個人情報セキュリティ事件が発生したと判断した場合、法律に基づいて個人情報取扱者に事情聴取することができる。 個人情報取扱事業者は、要求事項に従って、状況を是正し、隠れた危険を除去しなければならない。 また、本措置の規定に違反した場合、個人情報保護法及びその他の法令に基づき対処し、犯罪に該当する場合は、法令に基づき刑事責任を追及することを規定している。
四、小结 IV.まとめ
《办法》以标准合同为抓手规范我国个人信息出境管理制度,是我国深化开放合作、探索个人信息跨境流动与治理的新举措。出台《办法》不仅补充完善了我国数据跨境监管制度体系,体现了我国网络立法的系统性、整体性、协同性、时效性,更为数字经济浪潮中的中国企业提供了法治保障和具体指引。(作者:方禹 中国信通院互联网法律研究中心主任) 本弁法は、標準契約をグリップとして中国の個人情報越境管理制度を規制するものであり、中国が開放と協力を深め、個人情報の国境を越えた流れとガバナンスを模索するための新たな取り組みである。 本弁法の公布は、中国のサイバー法制の体系的、全体的、相乗的、タイムリーな性質を反映し、中国のデータ越境規制制度を補完・改善するだけでなく、デジタル経済の波の中で、中国企業に法治保護と具体的指針を提供するものである。 (筆者:中国情報通信研究院インターネット法研究センター主任 兪 方)。

 

専門家の解釈(2)...

・2023.02.24 专家解读|《个人信息出境标准合同办法》出台 贡献数据跨境流动中国方案

专家解读|《个人信息出境标准合同办法》出台 贡献数据跨境流动中国方案 専門家の解釈|「個人情報越境移転標準契約弁法」が導入され、国境を越えたデータフローに対する中国の解決策に貢献
我国《个人信息保护法》已于2021年11月1日施行,其中对向境外提供个人信息作出了一系列规定,第三十八条规定了“通过国家网信部门组织的安全评估”、“按照国家网信部门的规定经专业机构进行个人信息保护认证”、“按照国家网信部门制定的标准合同与境外接收方订立合同”等个人信息跨境合规路径。2023年2月24日,国家互联网信息办公室公布《个人信息出境标准合同办法》(以下简称《办法》),明确了个人信息出境标准合同(以下简称“标准合同”)的订立、备案等要求,为《个人信息保护法》视域下的个人信息跨境方式之一的“标准合同”提供了落地蓝本与中国方案。 2021年11月1日に施行された中国の個人情報保護法には、個人情報の国外提供に関する一連の規定があり、第38条には「個人情報は国家サイバースペース管理局が組織する安全性評価に合格しなければならない」「個人情報は国家サイバースペース管理局の規定に基づき専門機関の認証を受けなければならない」と規定されている。 2023年2月24日、国家サイバースペース管理局は、個人情報の越境に関する標準契約を明確にした「個人情報越境移転標準契約弁法」(以下「本弁法」という。 )は、個人情報国外移転標準契約(以下、標準契約)の成立・提出要件を明確にし、個人情報保護法の範囲における個人情報の越境方法の一つである「標準契約」について、青写真と中国的な解決策を提供するものである。
我国的个人信息出境标准合同在形式上参考了国际上较常见的标准合同条款模板,同时充分考虑了中国法律的本土化表达,并在以下方面充分展现了中国方案的优越性: 中国の個人情報越境移転標準契約は、より一般的な国際標準契約条項の雛形に基づき、中国法のローカルな表現を考慮し、以下の面で中国式の解決の優位性を十分に発揮している。
第一,注重制度匹配。《办法》在清晰界定自身适用范围的同时,也实现了与其他数据出境安全管理制度的有效衔接。比如,《数据出境安全评估办法》要求数据处理者与境外接收方拟订合同等具有法律效力的文件,《办法》提出的标准合同内容与上述法律文件内容要求衔接适用。因此,仅涉及个人信息出境的数据处理者申报数据出境安全评估时,相关法律文件可参照《办法》附件拟订。 第一に、システムマッチングに重点を置いている。 本弁法は、自らの適用範囲を明確に定める一方で、他のデータ越境セキュリティ管理体制との効果的なインターフェースを実現している。 例えば、「データ越境安全評価弁法」は、データ取扱者が国外受信者と契約書などの法的拘束力のある文書を作成することを求めており、同弁法が提案する標準契約の内容は、これらの法的文書の内容と合致している。 したがって、個人情報の出国のみに関わるデータ取扱者がデータ出国安全評価を申告する場合、本措置の附属書を参考に関連する法的文書を作成することができる。
第二,细化风险管理。《办法》在《个人信息保护法》第五十五条提出个人信息保护影响评估(以下简称“影响评估”)后进一步针对出境场景细化了影响评估的评估项,比如境外接收方承诺履行的个人信息保护义务、措施和能力;个人信息出境后遭到篡改、破坏、泄露、丢失、非法利用等的风险。个人信息处理者在选定标准合同作为个人信息跨境传输合规路径的情况下,需要在向境外提供个人信息前进行影响评估,此为对《个人信息保护法》的落实。 第二に、リスク管理の精緻化である。 本措置は、個人情報保護法第55条で提案した個人情報保護影響評価(以下「影響評価」という)の評価項目を、出国シナリオについてさらに精緻化し、国外受信者が果たすべき個人情報保護義務、措置、能力、出国後の個人情報の改ざん、破壊、漏洩、損失、違法使用など。 出国後の個人情報の改ざん、破壊、漏えい、紛失、不正使用等のリスク。 個人情報取扱者が個人情報の越境移転のコンプライアンスルートとして標準契約を選択した場合、個人情報保護法の施行である国外への個人情報提供の前に影響評価を行うことが義務付けられている。
第三,平衡商业自由和监管需要。我国对标准合同采用“自主缔约与备案管理相结合”的原则。一方面,标准合同无需事先审批即可生效;另一方面,个人信息处理者的备案行为为网信部门持续监督提供了管理抓手。《办法》第六条规定,标准合同应当严格按照本办法附件订立,生效后个人信息处理者方可开展个人信息出境活动;第七条规定,个人信息处理者应当在标准合同生效之日起10个工作日内向所在地省级网信部门备案。从文义上理解,《办法》明确了标准合同应该严格按照《办法》附件订立,省级网信部门备案不会对合同生效产生影响。 第三に、商業の自由と規制の必要性のバランス。 中国は標準契約について、「自主契約と記録管理の結合」という原則を採用している。 一方では、標準契約は事前承認なしに発効することができ、他方では、個人情報取扱業者の申告行動は、インターネット情報部門による継続的な監督のための管理グリップを提供するものである。 弁法の第6条は、標準契約は弁法の附属書に従って厳格に締結しなければならず、個人情報取扱者は標準契約の発効後にのみ個人情報の越境活動を行うことができると規定し、第7条は、個人情報取扱者は標準契約の発効日から10営業日以内に地方のインターネット情報部門に申告しなければならないと規定している。 本文から理解されるように、本弁法は、標準契約は弁法の附属書に従って厳格に締結されるべきであり、地方のインターネット情報部門による届出は契約の発効に影響を及ぼさないことを明確にしている。
第四,场景覆盖全面。根据标准合同范本第一条第(二)项,“境外接收方”是指在中华人民共和国境外自个人信息处理者处接收个人信息的组织、个人。这里的境外接收方既包括可以自主决定处理目的、处理方式的组织、个人,也包括受个人信息处理者委托处理个人信息的受托人。因此,订立标准合同的双方可能有“处理者—受托人”和“处理者—处理者”两种情形,也就是说,境内处理个人信息的受托人,不能作为标准合同的相对方,再次转委托境外主体处理个人信息。 第四に、シナリオが包括的にカバーされていることである。 モデル標準契約書」第1条第2項によると、「国外受信者」とは、中華人民共和国外で個人情報の取扱者から個人情報の提供を受ける組織または個人を指す。 ここでいう国外受信者には、処理の目的及び方法を自ら決定することができる組織及び個人と、個人情報取扱者から個人情報の処理を委託された受託者の両方が含まれる。 したがって、標準契約の当事者は、「取扱者-受託者」と「取扱者-取扱者」、すなわち、国内で個人情報を処理する受託者の双方になる可能性がある。 すなわち、国内で個人情報を処理する受託者は、標準契約の当事者として、国外の対象者に個人情報の処理を再委託することはできない。
第五,注重国际衔接。我国标准合同的主要内容,如个人信息再提供、处理安全、自动化决策处理等方面借鉴了有关国家、地区的有益做法,为数据跨境流动制度的国际合作奠定了基础,争取与更多的国家地区建立稳定可行的数据流通双多边机制。 第五に、国際的な収束を重視すること。 個人情報の再提供、処理セキュリティ、自動意思決定処理など、標準契約の主な内容は、関連国・地域の有益な慣行を借用し、国境を越えたデータの流れのシステムにおける国際協力の基礎を築き、より多くの国・地域と安定かつ実現可能なデータの流れの二国間・多国間メカニズムを構築しようと努力している。
总的来说,《办法》体现了四方面鲜明导向:一是以人民为中心,把维护个人信息主体合法权益放在首要位置;二是坚持一致性,《办法》与我国《个人信息保护法》等法律法规要求保持一致;三是突出简明性,标准合同范本内容注重易于企业理解、实践和应用;四是强调开放性,标准合同范本内容与国际通用规则的理念相兼容,便于企业对外开展对等的商业合作。相信《办法》能够为我国加大对外开放合作提供重要的制度保障。(作者:洪延青 北京理工大学教授) 第一に、個人情報主体の合法的権益の保護を第一義とし、人を中心とすること、第二に、一貫性を堅持し、中国の個人情報保護法及びその他の法律法規の要求と一致すること、第三に、簡便性を強調し、モデル標準契約の内容は企業の理解、実践及び適用の容易性を重視し、第四に、開放性を強調し、モデル標準契約は、個人情報主体の合法的権利と利益を保護する。 その内容は、企業が外国と相互のビジネス協力を行うことを容易にする国際共通規則の概念に適合している。 この弁法は、中国が対外開放と協力を強化するための重要な制度的保障を提供することができると考えられている。 (筆者:北京理工大学教授 洪延慶)

 

 


 

参考

まるちゃんの情報セキュリティ気まぐれ日記

 

Ch

 

政策的な話...

・2023.01.10 中国 中国のサイバーセキュリティ政策の発展における成果と変化 (2022.12.30)

・2022.08.04 中国 デジタルチャイナ開発報告書(2021年)

・2022.02.20 中国 「第14次5ヵ年計画における国家情報化計画」についての3つの専門家の意見

・2021.11.20 中国 インターネットの法の支配についての普及・教育計画

 

個人情報保護法関係

・2022.12.20 中国 最高検察庁 国民の個人情報に対する犯罪を法に基づいて処罰した代表的な5事例の公表 (2022.12.07)

・2022.11.23 中国 個人情報保護認証制度が始まりますね...中国版Pマーク?

・2022.07.02 中国 国家サイバースペース管理局「個人情報の越境移転に関する標準契約条項(意見募集案)」

・2022.06.27 中国 TC260 個人情報の国際的な処理活動に関するセキュリティ認証仕様

・2022.01.03 中国 全国人民大会 個人情報保護法についての記事

・2021.11.01 中国 意見募集 インターネットユーザアカウント名情報の管理に関する規則

・2021.08.31 中国 「個人情報保護法」についての専門家の解釈

・2021.08.24 中国 全国人民代表大会常務委員会法制委員会経済法室の楊和慶副室長による個人情報保護法の説明

・2021.08.22 中国 個人情報保護法は2021.11.01施行

・2021.08.15 中国 個人情報保護法案が少し改訂されているようですね。。。

・2020.10.29 パブコメ 中国の個人情報保護法案 (2020.10.22)

 

データ越境セキュリティ評価弁法

・2022.09.02 中国 国家サイバースペース管理局 データ越境セキュリティ評価報告書作成ガイド(第1版)

・2022.07.13 中国 国家サイバースペース管理局 「データ越境セキュリティ評価弁法」を公表 (2022.07.07)

・2021.11.01 中国 意見募集 データ域外移転のセキュリティ評価に関する弁法

 

 


 

Euc

ヨーロッパ系(本家SCC)...

・2021.06.05 欧州委員会 個人データの域外移転のための標準契約約款 (SCC)

・2020.11.20 欧州データ保護委員会-第42回本会議、第41回本会議(標準契約条項)

 

認定の話も...

・2021.11.21 欧州データ保護委員会 (EDPB) 意見募集 第三国または他の国への個人データの移転と認定する基準についてのガイド「GDPR第5章における第3条の適用と国際移転に関する規定との相互関係に関するガイドライン 05/2021」

 

 

こんな話題もあったので、EU-USデータプライバシーフレームワーク関係も...

・2022.12.16 欧州委員会 米国との安全なデータの流れを確保するための適切な決定の採択に向けたプロセスを開始

・2022.10.11 米国 米国におけるシグナル・インテリジェンス活動のための安全保障の強化に関する大統領令(GDPR対応) 

・2022.03.27 米国と欧州委員会が米国ー欧州間のデータプライバシーフレームワークに合意したと発表していますね。。。

・2021.03.28 EU-USプライバシーシールドを強化するための交渉を推進 - 米国商務長官と欧州司法長官による共同記者会見

・2020.07.16 EU-USのプライバシーシールドを無効にしま〜す by EU裁判所

 

 

| | Comments (0)

米国 行政予算管理局 「政府端末TikTok使用禁止法」実施ガイダンス

こんにちは、丸山満彦です。

2022.12.29にH.R.2617 - Consolidated Appropriations Act, 20232023年連結歳出法)にバイデン大統領が署名しそのDivision RとしてNo TikTok on Government Devices Act(政府端末TikTok使用禁止法)が成立していますが、その法律に従い、行政予算管理局 「政府端末TikTok使用禁止法」実施ガイダンスを作成し、公表していますね。。。


OFFICE OF MANAGEMENT AND BUDGET: OMB

・2023.02.27 [PDF] M-23-13 MEMORANDUM FOR THE HEADS OF EXECUTIVE DEPARTMENTS AND AGENCIES SUBJECT: “No TikTok on Government Devices” Implementation Guidance 

20230323-01205

EXECUTIVE OFFICE OF THE PRESIDENT  大統領府 
OFFICE OF MANAGEMENT AND BUDGET 行政管理予算局
WASHINGTON, D. C. 20503 WASHON, D. C. 20503
THE DIRECTOR ザ・ディレクター
27-Feb-23 2023年2月27日
M-23-13  M-23-13 
MEMORANDUM FOR THE HEADS OF EXECUTIVE DEPARTMENTS AND AGENCIES  行政府の長に対する覚書 
FROM: Shalanda D. Young  FROM: シャランダ・D・ヤング 
SUBJECT: “No TikTok on Government Devices” Implementation Guidance  件名:「政府端末TikTok使用禁止法」実施ガイダンス 
I. Background  I. 背景 
TikTok is a software application owned and operated by ByteDance Limited (“Bytedance”), a privately held company headquartered in Beijing, China.  TikTokは、中国・北京に本社を置く非上場企業であるByteDance Limited(以下「Bytedance」)が所有・運営するソフトウェアアプリケーションである。 
The Consolidated Appropriations Act, 2023, enacted the No TikTok on Government Devices Act (“the Act”), which instructs the Director of the Office of Management and Budget, in consultation with the Administrator of General Services, the Director of the Cybersecurity and Infrastructure Security Agency, the Director of National Intelligence, and the Secretary of Defense, to develop standards and guidelines for agencies requiring the removal of TikTok from Federal information technology.[1] This memorandum fulfills that requirement by directing agencies to remove TikTok from Federal devices and providing instructions and deadlines for that removal.  2023年連結歳出法では、政府端末TikTok使用禁止法(「本法」)が制定され、管理予算局長が、総合サービス長官、サイバーセキュリティおよびインフラセキュリティ庁長官、国家情報長官、国防長官と協議し、連邦情報技術からのTikTokの削除を求める機関向けの基準およびガイドラインを作成するよう指示されました。 [1] この覚書は、連邦政府のデバイスからTikTokを削除するよう機関に指示し、その削除のための指示と期限を提供することによって、その要件を満たすものである。
II. Scope  II. 適用範囲 
Pursuant to the Act, this memorandum applies to “the social networking service TikTok or any successor application or service of TikTok developed or provided by ByteDance Limited or an entity owned by ByteDance Limited” (“covered application”) and applies to all “executive agencies” (“agencies”), as that term is defined in 41 U.S.C § 133.[2]  同法に従い、本覚書は「ByteDance LimitedまたはByteDance Limitedが所有する事業体が開発または提供するソーシャルネットワーキングサービスTikTokまたはTikTokの後継アプリケーションまたはサービス」(「対象アプリケーション」)に適用され、41 U.S.C 第133条で定義されているすべての「行政機関」(「機関」)に適用される[2]。 
This memorandum applies to all “information technology,” as that term is defined in 40 U.S.C. § 11101(6) (herein after referred to as “IT”). That definition reaches not only IT owned or operated by agencies, but also IT “used by a contractor under a contract with the executive agency that requires the use” of that IT, whether expressly or “to a significant extent in the performance of a service or the furnishing of a product.” That definition does not, however, “include any equipment acquired by a federal contractor incidental to a federal contract.”  この覚書は、40 U.S.C. §11101(6)で定義されているすべての「情報技術」(以下、「IT」という)に適用される。この定義は、行政機関が所有または運営するITだけでなく、「行政機関との契約に基づいて請負業者が使用するITであって、そのITの使用を要求するもの」にも及び、明示的にであれ「サービスの履行または製品の提供においてかなりの程度」であれ、そのITの使用を要求する。ただし、この定義には、「連邦契約に付随して連邦契約者が取得した設備は含まれない」。 
III. Actions  III. 行動 
A. No later than 30 days following the issuance of this memorandum, agencies shall—  A. 本覚書の発行後30日以内に、各機関は以下を行うものとする。 
i. Identify the use or presence of a covered application on information technology;  i. 情報技術上の対象アプリケーションの使用または存在を特定する。
ii. Establish an internal process to adjudicate limited exceptions, as defined by the Act and described in Section IV;  ii. 法律で定義され、セクションIVで説明される限定的な例外を裁くための内部プロセスを確立する。
iii. Remove and disallow installations of a covered application on IT owned or operated by agencies, except in cases of approved exceptions; and,  iii. 承認された例外の場合を除き、機関が所有または運営するIT上の対象アプリケーションのインストールを削除し、認めない。
iv. Prohibit internet traffic from IT owned by agencies to a covered application, except in cases of approved exceptions.  iv. 承認された例外の場合を除き、機関が所有するITから対象アプリケーションへのインターネットトラフィックを禁止する。
Agencies whose mission or operational posture prevents compliance with the timeline delineated in Section III.A. must notify the Federal Chief Information Officer prior to the deadline by sending a message to ofcio@omb.eop.gov.  ミッションまたは運用態勢がセクションIII.A.で定義されたタイムラインを遵守できない機関は、期限前に連邦最高情報責任者に通知し、ofcio@omb.eop.gov にメッセージを送信する必要がある。
B. No later than 90 days following the issuance of this memorandum, agencies shall—  B. 本覚書の発行から90日以内に、各機関は以下を行うものとする。 
i. Ensure that any new contracts issued do not contain requirements that may include the use of a covered application in the performance of the contract, except in cases of approved exceptions; and,  i. 承認された例外の場合を除き、新たに発行される契約には、契約の履行において対象アプリケーションの使用を含む可能性のある要件が含まれないようにすること。
ii. Cease use of contracts that contain requirements that may include use of a covered application in performance of the contract or modify those contracts to conform with the prohibition on covered applications, except in cases of approved exceptions.  ii. 承認された例外の場合を除き、契約の履行において対象アプリケーションの使用を含む可能性のある要件を含む契約の使用を中止するか、対象アプリケーションの禁止に適合するようにそれらの契約を変更する。 
C. No later than 120 days following the issuance of this memorandum, agencies shall—  C. 本覚書の発行から120日以内に、各省庁は以下を行うものとする。 
i. For contracts whose performance may involve use of IT by the contractor, ensure that any modification that extends the period of performance, including through exercise of an option, includes a requirement to conform with the prohibition on covered applications; and,  i. 契約者によるITの使用を伴う可能性のある契約については、オプションの行使を含め、履行期間を延長する修正が、対象アプリケーションの禁止に適合するための要件を含むことを確認する。
ii. Ensure that each agency solicitation requires conformance with the prohibition on covered applications if the solicitation meets both of the following criteria: (1) the solicitation is issued on or after the date that is 120 days after the date of this memorandum; and (2) a contract issued based on the solicitation may involve use of information technology by a contractor.  ii. 各機関の勧誘が以下の基準の両方を満たす場合、対象アプリケーションの禁止に適合することを要求するようにする。(1) この覚書の日付から 120 日後の日付以降に募集が行われること (2) 募集に基づいて発行される契約が、請負業者による情報技術の使用を伴う可能性があること。 
IV. Exceptions  IV. 例外事項 
A. Documentation  A. ドキュメンテーション 
The Act permits limited exceptions to the restrictions outlined in this memorandum for law enforcement activities, national security interests and activities, and security research.[3] Agencies should limit the use of exceptions outlined within this section to instances in which use of a covered application is critical to their mission and alternative approaches are not viable.  この法律は、法執行活動、国家安全保障上の利益と活動、および安全保障上の研究に対して、この覚書に概説された制限の限定的な例外を認めている[3]。機関は、このセクションに概説された例外の使用を、対象アプリケーションの使用がそのミッションにとって重要で、代替アプローチが実行不可能である場合に限定するべきである。 
Exceptions must be granted by an agency head or designee of the agency head.[4] Agency heads remain responsible for ensuring that all individuals with delegated authority under this policy maintain the documentation required and take all necessary actions to mitigate risk posed by covered applications.  例外は、機関長または機関長の被指名人によって許可されなければならない[4]。機関長は、本ポリシーに基づいて権限を委譲されたすべての個人が、必要な文書を保持し、対象アプリケーションによってもたらされるリスクを軽減するために必要なすべての行動を取ることを確実にする責任を負うものとする。 
Blanket exceptions applying to an entire agency are not permitted. Exceptions must be exclusive to specific agency programs or operational actions covered by the exception categories below. The agency must develop and document risk mitigation actions appropriate for any use of a covered application for which an exception is granted.  機関全体に適用される包括的な例外は許可されません。例外は、以下の例外のカテゴリーに含まれる特定の機関のプログラムまたは業務上の行為に限定されなければならない。機関は、例外が認められた対象アプリケーションのあらゆる使用に適したリスク軽減措置を策定し、文書化しなければならない。
Agencies must maintain documentation on each exception that includes, at a minimum, the following information:  機関は、各例外について、少なくとも以下の情報を含む文書を保持しなければならない。
i. Date of approval;  i. 承認日。
ii. Exception category (as outlined in part B below);  ii. 例外のカテゴリー(以下のパートBに概説されているとおり)。
iii. Description of the circumstances under which the exception applies;  iii. 例外が適用される状況の説明。
iv. Period of the exception; and,  iv. 例外の期間、および。
v. Risk mitigation actions that will be taken to prevent access by a covered application to sensitive data.  v. 対象アプリケーションによる機密データへのアクセスを防止するために実施されるリスク軽減措置。
Exceptions may last up to one year, after which agencies shall reevaluate them for renewal or termination. Agency heads must maintain a list of current exceptions, which must be provided to OMB upon request as described in Section V below. A copy of the documentation for any approved exception related to specific activities in a government contract must be shared with acquisition officials for inclusion, as appropriate, in relevant contract files.  例外は最長で 1 年間存続し、その後、各省庁は更新または終了のために再評価を行わなければならない。省庁の長は、現在の例外のリストを維持しなければならず、このリストは、以下のセクション V に記載されているように、要求に応じて OMB に提供されなければならない。政府契約における特定の活動に関連する承認された例外の文書のコピーは、適切な場合、関連する契約ファイルに含めるために、取得担当者と共有されなければならない。
B. Exception Categories  B. 例外のカテゴリー 
i. National Security Interests and Activities  i. 国家安全保障上の利益と活動 
An agency head may grant an exception allowing use of a covered application after first determining that such use would have a clear nexus with national security interests or activities. For example, activities performed pursuant to authorities granted under title 6, title 10, or title 50 of United States Code may have the requisite nexus, as may activities undertaken to mitigate severe damage or disruption arising in the course of a major disaster[5] or emergency [6] declared by the President.  省庁の長は、対象アプリケーションの使用が国家安全保障上の利益または活動と明確な関連性があると最初に判断した後、その使用を許可する例外を認めることができます。例えば、合衆国法典第6編、第10編、第50編に基づき付与された権限に従って行われる活動は、大統領によって宣言された大規模災害[5]または緊急事態[6]の過程で生じる深刻な損害または混乱を軽減するために行われる活動のように、必要な関連性がある場合がある。
ii. Law Enforcement Activities  ii. 法執行活動 
Such activities may include those that are performed by or in coordination with an agency that is part of the Federal law enforcement community,[7] in response to a law enforcement emergency, [8] or in the course of investigating potential violations of Federal statutes or regulations.  このような活動には、連邦法執行コミュニティの一員である機関によって、またはそれと連携して、法執行上の緊急事態に対応して、[7]または連邦法もしくは規制の潜在的違反を調査する過程で行われるものが含まれます。
iii. Security Research Activities  iii. セキュリティ研究活動 
Such activities may include investigations to limit harm to individual, public, private, or national physical or digital infrastructure through the identification of vulnerabilities, security weaknesses, or actionable threats, as well as agency investigation into suspected malign foreign influence.  このような活動には、脆弱性、セキュリティ上の弱点、または実行可能な脅威の特定を通じて、個人、公共、民間、または国の物理的またはデジタルインフラへの危害を抑えるための調査や、外国の悪意のある影響の疑いに関する機関の調査などが含まれます。
V. Reporting  V. 報告 
Agencies shall notify OMB that they have completed all actions delineated in Section III.A no later than 90 days after the date of this memorandum. These notification documents must be signed by the agency Chief Information Officer and emailed to [mail].  各省庁は、この覚書の日付から90日以内に、セクションIII.Aで規定されたすべての行動を完了したことをOMBに通知しなければならない。これらの通知文書は、省庁の最高情報責任者が署名し、[mail] に電子メールで送信しなければならない。
No more than 120 days after the date of this memorandum, agencies are required to submit the number of exceptions approved to that date under each of the categories described in Section IV.B of this memorandum. Agencies shall submit that information using the CyberScope application, [web], under the tab “M-23-13 ‘No TikTok on Government Devices’ Implementation Guidance.” For questions regarding CyberScope access, please contact [mail].
この覚書の日付から120日以内に、機関は、この覚書のセクションIV.Bに記載されている各カテゴリの下でその日までに承認された例外の数を提出する必要がある。各省庁は、CyberScopeアプリケーション([web)の「M-23-13 "No TikTok on Government Devices" Implementation Guidance」タブを使ってその情報を提出しなければなりません。 CyberScopeアクセスに関するご質問は、[mail] まで連絡すること。
A list of agency-approved exceptions and all relevant documentation under Section IV must be made available to OMB upon request.  政府機関が承認した例外のリストおよびセクションIVに基づくすべての関連文書は、要求に応じてOMBに提供される必要がある。
Activities conducted under U.S.C. title 50 are exempted from the reporting requirements within this section.  U.S.C. title 50の下で行われる活動は、このセクション内の報告要件から免除される。
VI. Other Supply Chain Concerns  VI. その他のサプライチェーンに関する懸念 
If an agency determines that there is a reasonable basis to conclude that a substantial supply chain risk exists in connection with an application not covered by the Act, the agency shall submit information regarding that risk to the Federal Acquisition Security Council (FASC) consistent with 41 C.F.R. § 201-1.201.  本法律が適用されない申請に関連して、実質的なサプライチェーンリスクが存在すると結論付ける合理的な根拠があると機関が判断した場合、当該機関は、41 CFR § 201-1.201 に従って、当該リスクに関する情報を連邦調達保安審議会(FASC)に提出するものとします。 
[1] Pub. L. No. 117-328, div. R, §§ 101-02, available at [web] .  [1] Pub. L. No.117-328, div. R, §101-02, [web] 参照
[2] Id. § 102(a).  [2]同上。§ 102(a). 
[3] Id. § 102(b)(2)(A).  [3]同法。§ 第 102 条(b)(2)(A)。
[4] This includes the authority to issue exceptions for agency operations or missions that require knowledge of such an operation or mission to remain restricted within the agency.  [4] これには、機関の運営または任務に関する知識を機関内に制限しておくことを必要とする例外を発行する権限も含まれる。
[5] 42 U.S.C. § 5170.  [5] 42 U.S.C. § 5170 を参照
[6] See, e.g., 42 U.S.C. § 5191. [6] 例えば、42 U.S.C. § 5191 を参照。
[7] 34 U.S.C. § 50102. [7] 34 U.S.C. § 50102 を参照。
[8] Id. [8] 同上。

 

法律...

Congress.Gov

H.R.2617 - Consolidated Appropriations Act, 2023

DIVISION R--NO TIKTOK ON GOVERNMENT DEVICES  Division R 政府端末TikTok使用禁止法
SEC. 101. SHORT TITLE.  SEC: 101 短い題名
This division may be cited as the ``No TikTok on Government Devices Act''.  この部門は、"政府端末TikTok使用禁止法''として引用されることがある。
SEC. 102. PROHIBITION ON THE USE OF TIKTOK.  SEC. 102. Tiktokの使用を禁止する。
(a) Definitions.--In this section--  (a) 定義--本節では--。
(1) the term ``covered application'' means the social networking service TikTok or any successor application or service developed or provided by ByteDance Limited or an entity owned by ByteDance Limited;  (1) 「対象アプリケーション」という用語は、ByteDance LimitedまたはByteDance Limitedが所有する事業体が開発または提供するソーシャルネットワーキングサービスTikTokまたはその後継のアプリケーションもしくはサービスを意味します。
(2) the term ``executive agency'' has the meaning given that term in section 133 of title 41, United States Code; and  (2) ``executive agency''という用語は、アメリカ合衆国法典第41編第133節においてその用語に与えられた意味を有する。
(3) the term ``information technology'' has the meaning given that term in section 11101 of title 40, United States Code.  (3) 情報技術という用語は、合衆国法典第40編第11101条においてその用語に与えられている意味を有する。
(b) Prohibition on the Use of TikTok.--  (b) TikTokの使用禁止--。
(1) In general.--Not later than 60 days after the date of the enactment of this Act, the Director of the Office of Management and Budget, in consultation with the Administrator of General Services, the Director of the Cybersecurity and Infrastructure Security Agency, the Director of National Intelligence, and the Secretary of Defense, and consistent with the information security requirements under subchapter II of chapter 35 of title 44, United States Code, shall develop standards and guidelines for executive agencies requiring the removal of any covered application from information technology.  (1) 一般的に--本法の制定日から60日以内に、行政管理予算局長は、一般サービス行政長官、サイバーセキュリティおよびインフラストラクチャ・セキュリティ庁長官、国家情報長官、および国防長官と協議し、合衆国法典第44章35節第2章に基づく情報セキュリティ要件と整合させながら、行政機関向けに情報技術から対象アプリケーションを取り除くことを求める基準および指針を策定する。
(2) National security and research exceptions.--The standards and guidelines developed under paragraph (1) shall include--  (2) 国家安全保障および研究の例外--第(1)項に基づき作成される基準およびガイドラインは、以下を含むものとする。
(A) exceptions for law enforcement activities, national security interests and activities, and security researchers; and  (A) 法執行活動、国家安全保障上の利益および活動、ならびにセキュリティ研究者のための例外。
(B) for any authorized use of a covered application under an exception, requirements for executive agencies to develop and document risk mitigation actions for such use.  (B) 例外に基づく対象アプリケーションの許可された使用について、行政機関が当該使用に関するリスク軽減措置を策定し文書化するための要件。

 

【2023.04.09 追記】

国防総省が、TikTokの危険性について書いていますね。。。

⚫︎ U.S. Department of Defense: DOD

・2023.04.06 Leaders Say TikTok Is Potential Cybersecurity Risk to U.S.

TikTokの問題点について
・多くのアメリカ人が利用しており、中国が誤った情報を拡散することや情報を収集することができる
としていますね。。。

| | Comments (0)

« February 2023 | Main | April 2023 »