« March 2023 | Main | May 2023 »

April 2023

2023.04.30

米国 国土安全保障省 人工知能タスクフォースを設立 (2023.04.20)

こんにちは、丸山満彦です。

米国の国土安全保障省が人工知能タスクフォースを設立するようです。

安全保障の観点からAIをどう見るのか?貿易における貨物の審査や強制労働によって生産された製品の特定、フェンタニル(合成麻薬の原料となる [wikipedia] )の米国への流入検知など、国土安全保障のための重要施策にAIを活用することを目指すということのようです。。。司法省のFBI、DEAとの関係も含めて、この活動の行方は興味深いですね。。。

 

⚫︎ U.S. Department of Homeland Security: DHS

・2023.04.20 Memo on the Establishment of a DHS Artificial Intelligence Task Force

・[PDF]

20230430-32811

 

Establishment of a DHS Artificial Intelligence Task Force DHS人工知能タスクフォースの設立について
DHS must address the many ways in which artificial intelligence (AI), including revolutionary advances in generative Al, will drastically alter the threat landscape and augment the arsenal of tools we possess to succeed in the face of the threats. We must also ensure that our use of Al is rigorously tested to avoid bias and disparate impact, and is clearly explainable to the people we serve. DHS は、生成 Al の革命的な進歩を含む人工知能 (AI) が脅威の状況を劇的に変化させ、脅威に直面したときに成功するためのツール群を増強する多くの方法に対処しなければならない。また、Alの使用は、バイアスや格差のある影響を避けるために厳密にテストされ、私たちが奉仕する人々に明確に説明できるようにしなければならない。
To advance specific mission applications of Al across the Department, l am directing the creation of an internal Artificial Intelligence Task Force (AITF or "Task Force"). The Task Force will begin with the following discrete tasks, among others: 防衛省全体でAlの特定の任務への応用を進めるため、私は社内に人工知能タスクフォース(AITFまたは「タスクフォース」)の創設を指示する。タスクフォースは、特に次のような個別のタスクから着手する予定である:
• Integrate AI into our efforts to enhance the integrity of our supply chains and the broader trade environment. We will seek to deploy AI to more ably screen cargo, identify the importation of goods produced with forced labor, and manage risk.  ・サプライチェーンと広範な貿易環境の完全性を高めるための取り組みにAIを組み込む。私たちは、貨物をより適切に選別し、強制労働で生産された商品の輸入を特定し、リスクをマネジメントするために、AIを導入することを目指す。
• Leverage AI to counter the flow of fentanyl into the United States. We will explore using this technology to better detect fentanyl shipments, identify and interdict the flow of precursor chemicals around the world, and target for disruption key nodes in the criminal networks.  ・米国へのフェンタニルの流入に対抗するために、AIを活用する。フェンタニルの輸送をより適切に検知し、世界中の前駆体化学物質の流れを特定し阻止し、犯罪ネットワークの主要なノードを破壊するためにこの技術を使用することを検討する。
• Apply Al to digital forensic tools to help identify, locate, and rescue victims of online child sexual exploitation and abuse, and to identify and apprehend the perpetrators of this heinous crime.  ・デジタル・フォレンジック・ツールにAlを適用し、オンライン児童性的搾取・虐待の被害者の特定、所在確認、救出、そしてこの凶悪犯罪の加害者の特定と逮捕を支援する。
• And, working with partners in government, industry, and academia, assess the impact of Al on our ability to secure critical infrastructure. ・また、政府、産業界、学界のパートナーと協力し、重要なインフラを保護する能力に対するAlの影響を評価する。
I ask that you both lead this Task Force as its Co-Chairs on behalf of the Department. The Task Force's Members shall be the heads of all Offices and Agencies. As Co-Chairs, you shall establish the Task Force's internal working procedures and may draw on staff detailed from Offices and Agencies across the Department to support its work. The Task Force's authority does not alter the current functions, rights, privileges, powers, authorities, and duties vested by law in Department officials, or any directive or delegation, related to artificial intelligence.  二人には、省庁を代表して、共同議長としてこのタスクフォースを率いるように依頼する。タスクフォースのメンバーは、すべての官庁の責任者とする。共同議長として、タスクフォースの内部作業手順を確立し、その作業を支援するために、省内の各事務所および機関から派遣されたスタッフを活用することができるものとする。タスクフォースの権限は、人工知能に関連し、法律により省役員に与えられた現在の機能、権利、特権、権力、権限、義務、または指示や委任を変更するものではない。
The Task Force shall be established for one year, after which it may be extended to continue its work.  タスクフォースは1年間設置されるものとし、その後、作業を継続するために延長することができる。
The Task Force shall report to me regularly on its work and AI efforts across the Department more broadly, including: タスクフォースは、その作業と、より広く省内のAIの取り組みについて、定期的に私に報告するものとする:
• Within 45 days, a concept of operations for the Task Force, including milestones for advancing the four priority initiatives outlined above; and  ・45日以内に、上記の4つの優先的イニシアチブを進めるためのマイルストーンを含む、タスクフォースの活動コンセプト。
• Every 60 days thereafter, a progress report on the four priority initiatives outlined above and any other pertinent AI initiatives identified by the Task Force.  ・その後60日ごとに、上記の4つの優先取り組みと、タスクフォースが特定したその他の適切なAI取り組みに関する進捗報告書を提出する。
The Task Force shall also be responsible for reviewing and, where appropriate, implementing the Homeland Security Advisory Council's (HSAC) upcoming findings and recommendations on the intersection of Al and homeland security. Within 30 days of the release of the HSAC's report, the Task Force shall develop a plan to implement the HSAC's recommendations across the Department. The Task Force shall include updates on implementation in the recurring progress reports noted above. タスクフォースはまた、Alと国土安全保障の交差点に関する国土安全保障諮問委員会(HSAC)の今後の調査結果と勧告を見直し、必要に応じて実施する責任を負うものとする。HSACの報告書の発表から30日以内に、タスクフォースは、HSACの勧告を省内で実施するための計画を策定するものとする。タスクフォースは、上述の定期的な進捗報告書に、実施に関する最新情報を含めるものとする。

 

 

| | Comments (0)

IPA 「令和4年度中小企業等に対するサイバー攻撃の実態調査」調査実施報告書

こんにちは、丸山満彦です。

IPAが「令和4年度中小企業等に対するサイバー攻撃の実態調査」の報告書を公表しています。。。

テーマとしては社会的に意義があるし、よいなぁ、、、と思って読み始めるわけです。。。

 

この調査は、

目的 サプライチェーン全体のサイバーセキュリティ対策強化のために必要な対策や、その実装に向けて有効な業界全体としての取組みの検討に供する
対象 外部からの情報窃取や取引先企業への攻撃の足掛かりとしてのサイバー攻撃を受けるおそれが大きいと考えられる経済安全保障上重要となるサプライチェーン上の中小企業
調査方法 ネットワーク環境・セキュリティ対策の状況について把握した上で、ネットワーク及び端末における異常を監視する等により攻撃の実態(数・手法・被害に遭った場合の影響など)について調査・分析を行なった

ということになっていて、

調査・分析の具体的な方法は、

・UTM(Unified Threat Management)等のネットワークセキュリティ監視装置を用いて企業内外のネットワーク通信を監視

・EDR(Endpoint Detection and Response)等のエンドポイントセキュリティソフトウェアを用いて企業内ネットワークに接続された端末における挙動を監視する等の方法

により、

・対象中小企業のネットワーク及び端末の双方について一定期間監視し、

・ログを収集、統合的に分析。

 

その結果は、

・「ネットワーク環境及びセキュリティ対策の状況把握」においては、

  • 既にUTMを設置している企業が多かった
  • ただし、アラートの確認はベンダ任せになっている
  • ヒアリングで「できていない」と認識している事項は、ポリシー策定、USB対策、工場LAN対策

・「ネットワーク及び端末における異常監視」においては、

  • ランサムウェアやC&Cサーバとの通信といったセキュリティ侵害に当たる攻撃は検知されなかった
  • 民間のUTM監視サービスや、過去のサイバーセキュリティお助け隊サービスの実証事業結果と比較しても、特定産業分野のサプライチェーンに属する企業ではインターネット側から攻撃が多く、内部侵入のきっかけになるような動作も多いことから、リスクがより高いと考えられる状況

で、ここまでは、そうやろな...なんですが、

結論、


本調査で実施した、現況調査の分析結果およびサイバー攻撃の実態調査の分析結果を用い、経済安全保障上重要となるサプライチェーン上の中小企業に対するリスクと有効な対策を以下のとおり考察しました。

  • メールやWebを契機としたウイルス感染に対しては、UTMとEDRの双方で防ぎ、被害拡大を防止する事が有効。
  • 定期的に検知レポートを確認し、不審なアプリケーションやサイバー攻撃の兆候を把握し、対策を継続的に行うことが有効。
  • セキュリティの有識者等適切な知識経験を有した人員によるネットワーク構成の確認や検証が有効。

で、こける。。。どういうロジックで、そういう結論になる???

調査目的に対する調査手法がよくなかったのかなぁ。。。

 

⚫︎ IPA

・2023.04.25 「令和4年度中小企業等に対するサイバー攻撃の実態調査」調査実施報告書について

・[PDF]

20230430-20734

 

 

 

 

 

 

| | Comments (0)

2023.04.29

英国 AIに関する英国政府の発表をいくつか。。。

こんにちは、丸山満彦です。

どの国も生成AIを含むAIの利活用のための環境整備に取り組んでいる感じですが、4月20日以降の英国政府からのいくつかの発表...

 

⚫︎ U.K. Gov

2023.04.24 Press release Initial £100 million for expert taskforce to help UK build and adopt next generation of safe AI 英国が次世代の安全なAIを構築・導入するための専門家タスクフォースに、当初1億ポンドを投じる。
2023.04.21 Case study DASA funding helps drive ethical artificial intelligence community safeguarding application from proof of concept to product launch DASAの資金援助により、倫理的な人工知能コミュニティの安全保護アプリケーションを、概念実証から製品化まで推進することができる。
2023.04.21 News story £2 million available for novel human augmentation innovations to enhance human capability in defence 防衛における人間の能力を強化するための新しい人間拡張技術に200万ポンドを提供

 

・2023.04.24 Initial £100 million for expert taskforce to help UK build and adopt next generation of safe AI

 

Initial £100 million for expert taskforce to help UK build and adopt next generation of safe AI 英国が次世代の安全なAIを構築・導入するための専門家タスクフォースに、当初1億ポンドを投じる。
Prime Minister and Technology Secretary announce £100 million in funding for Foundation Model Taskforce. 首相と技術長官は、ファウンデーションモデル・タスクフォースへの1億ポンドの資金提供を発表。
・Prime Minister and Technology Secretary announce £100 million in initial start-up funding for taskforce responsible for accelerating the UK’s capability in rapidly-emerging type of artificial intelligence - on top of £900 million investment into compute technology at Budget ・首相と技術長官が、急速に発展する人工知能分野で英国の能力を加速させるタスクフォースに1億ポンドの初期立ち上げ資金を提供することを発表 - 予算における計算機技術への9億ポンドの投資に追加して
・foundation models, including large language models like ChatGPT and Google Bard, are AI systems trained on massive data sets which can be used for a wide range of tasks across the economy ・ChatGPTやGoogle Bardのような大規模言語モデルを含む、膨大なデータセットを学習させたAIシステムで、経済全般にわたるさまざまなタスクに利用することができる。
・investment will fund new government-industry taskforce to ensure sovereign capabilities and broad adoption of safe and reliable foundation models, helping cement the UK’s position as a science and technology superpower by 2030 ・2030年までに、英国の科学技術大国としての地位を確固たるものにするため、安全で信頼性の高い基礎モデルの普及とソブリン能力を確保するための新たな政府・産業タスクフォースに投資する。
£100 million to kickstart the delivery of the government’s major ambitions for the UK’s capability in safe and reliable foundation models has been announced by the Prime Minister and Technology Secretary. 安全で信頼性の高い基盤モデルにおける英国の能力向上という政府の大きな野望を実現するためのキックスタートとして1億ポンドが、首相と技術長官によって発表された。
The Taskforce, modelled on the success of the COVID-19 Vaccines Taskforce, will develop the safe and reliable use of this pivotal artificial intelligence (AI) across the economy and ensure the UK is globally competitive in this strategic technology. このタスクフォースは、COVID-19ワクチンタスクフォースの成功をモデルにしており、この極めて重要な人工知能(AI)の安全で信頼できる利用法を経済全体で開発し、英国がこの戦略的技術で世界的な競争力を持つようにするものである。
Foundation models - including large language models like ChatGPT and Google Bard - are a category of artificial intelligence systems trained on huge volumes of data such as text, images, video or audio to gain broad and sophisticated capabilities across many tasks. ChatGPTやGoogle Bardのような大規模な言語モデルを含むファウンデーションモデルは、テキスト、画像、動画、音声などの膨大なデータで訓練された人工知能システムのカテゴリで、多くのタスクで広範かつ洗練された機能を獲得する。
​​With AI set to contribute billions of pounds to UK GDP, the work of the Taskforce will help deliver on the Prime Minister’s priorities to grow our economy, whilst generating better outcomes for people across the country through better public services. Research suggests that the broad adoption of such systems could triple national productivity growth rates. AIは英国のGDPに何十億ポンドも貢献すると言われており、タスクフォースの活動は、経済を成長させるという首相の優先事項を実現すると同時に、より良い公共サービスを通じて、国中の人々により良い結果をもたらすことにつながるだろう。調査によると、このようなシステムを広く採用することで、国の生産性成長率が3倍になる可能性があるそうだ。
In areas like healthcare, this type of AI has enormous potential to speed up diagnoses, drug discovery and development. In education it could transform teachers’ day-to-day work, freeing up their time to focus on delivering excellent teaching. ヘルスケアなどの分野では、この種のAIは、診断、創薬、開発のスピードアップに大きな可能性を秘めている。教育分野では、教師の日常業務を一変させ、優れた教育の実現に集中する時間を確保することができる。
This technology is also predicted to raise global GDP by 7 percent over a decade, making its adoption a vital opportunity to grow the UK economy. To support businesses and public trust in these systems and drive their adoption, the Taskforce will work with the sector towards developing the safety and reliability of foundation models, both at a scientific and commercial level. また、このテクノロジーは、10年間で世界のGDPを7%引き上げると予測されており、その導入は英国経済を成長させる重要な機会となっている。このようなシステムに対する企業や国民の信頼を支え、導入を促進するために、タスクフォースは、科学的および商業的なレベルで、基礎モデルの安全性と信頼性を開発するために、このセクターと協力する予定である。
The investment will build the UK’s ‘sovereign’ national capabilities so our public services can benefit from the transformational impact of this type of AI. The Taskforce will focus on opportunities to establish the UK as a world leader in foundation models and their applications across the economy, and acting as a global standard bearer for AI safety. この投資は、英国の「主権的」な国家能力を構築し、公共サービスがこの種のAIがもたらす変革的な影響から恩恵を受けられるようにするものである。タスクフォースは、英国を基礎モデルとその経済分野への応用における世界的リーダーとして確立し、AIの安全性に関する世界的旗手として活動する機会に焦点を当てる。
The funding will be invested by the Foundation Model Taskforce in foundation model infrastructure and public service procurement, to create opportunities for domestic innovation. The first pilots targeting public services are expected to launch in the next six months. 資金は、国内のイノベーションの機会を創出するために、基礎モデルタスクフォースが基礎モデルのインフラと公共サービス調達に投資する。公共サービスを対象とした最初のパイロットは、今後6ヶ月で開始される予定である。
The Taskforce, announced as part of the Integrated Review Refresh last month, will bring together government and industry experts and report directly to the Prime Minister and Technology Secretary. 先月、統合レビュー・リフレッシュの一環として発表されたタスクフォースは、政府および業界の専門家を集め、首相および技術長官に直接報告する予定である。
This follows last week’s Cabinet meeting where Ministers agreed on the transformative potential of AI, the vital importance of retaining public confidence in its use, and the need for regulation that keeps people safe without preventing innovation. これは、先週の閣議で、AIが持つ変革の可能性、その利用に対する国民の信頼を維持することの極めて重要性、イノベーションを妨げることなく人々の安全を守る規制の必要性について閣僚が合意したことを受けたものである。
Prime Minister Rishi Sunak said: リシ・スナク首相は次のように述べている:
Harnessing the potential of AI provides enormous opportunities to grow our economy, create better-paid jobs, and build a better future through advances in healthcare and security. AIの可能性を活用することは、経済の成長、より良い報酬の雇用の創出、医療とセキュリティの進歩によるより良い未来の構築のための膨大な機会を提供する。
By investing in emerging technologies through our new expert taskforce, we can continue to lead the way in developing safe and trustworthy AI as part of shaping a more innovative UK economy. 新しい専門家タスクフォースを通じて新興技術に投資することで、より革新的な英国経済を形成する一環として、安全で信頼性の高いAIの開発をリードし続けることができる。
Science, Innovation and Technology Secretary Michelle Donelan said: ミシェル・ドネラン
科学・イノベーション・テクノロジー長官は次のように述べている:
Developed responsibly, cutting-edge AI can have a transformative impact in nearly every industry. It can revolutionise the way we develop new medical treatments, tackle climate change and improve our public services, all while growing and future-proofing our economy. 責任を持って開発された最先端のAIは、ほぼすべての産業で変革的な影響を与えることができる。新しい治療法の開発、気候変動への対応、公共サービスの改善など、あらゆる面で革命を起こすことができ、同時に経済の成長と将来性を高めることができる。
We need to act now to seize the opportunities AI can offer us in the future. We’re backing our expert taskforce with the funding to make our ambitions for an AI-enabled country a reality and keep the UK at the front of the pack in this emerging technology. 私たちは、AIが将来私たちにもたらす機会をつかむために、今行動する必要がある。私たちは、AIを活用した国づくりという私たちの野望を実現し、この新しいテクノロジーにおいて英国が常に先頭を走り続けるために、専門家によるタスクフォースを資金面で支援している。
To ensure such leadership, the greatest capability we can develop is in the safety and reliability of such systems. This will ensure that the public and business have the trust they need to confidently adopt this technology and fully realise its benefits. That is exactly what this taskforce will prioritise. このようなリーダーシップを確保するために、私たちが開発できる最大の能力は、このようなシステムの安全性と信頼性にある。これによって、国民や企業が自信を持ってこの技術を採用し、そのメリットを十分に享受するために必要な信頼性を確保することができる。このタスクフォースは、まさにこの点を最優先に考えている。
The taskforce will be led by an expert Chair, who will be announced later in the summer. Matt Clifford, Chair of the Advanced Research and Innovation Agency, will advise the Prime Minister and Technology Secretary on the development of the taskforce while the appointment is ongoing. タスクフォースは、夏以降に発表される専門家の議長によって率いられる予定である。先進研究革新機構(Advanced Research and Innovation Agency)のマット・クリフォード(Matt Clifford)会長は、任命が行われている間、タスクフォースの発展について首相と技術長官に助言する予定である。
Foundation models rely on significant compute power, and this investment comes on top of around £900 million for a new ‘exascale’ supercomputer and a dedicated AI Research Resource to equip the UK with the processing power it needs to support the next generation of AI innovation. The Taskforce will play a crucial role in ensuring the major, multi-year funding announced at the Budget for compute is strategically invested to prioritise and strengthen the UK’s capability in foundation models. ファウンデーション・モデルは大きな計算能力に依存しており、今回の投資は、次世代のAIイノベーションをサポートするために必要な処理能力を英国に装備するために、新しい「エクサスケール」スーパーコンピュータと専用のAIリサーチ・リソースに約9億ポンドを上乗せするものである。タスクフォースは、予算で発表されたコンピュートのための大規模な複数年の資金が、基礎モデルにおける英国の能力を優先的に強化するために戦略的に投資されるようにする上で、重要な役割を果たすことになる。
The Taskforce will ensure the UK’s capability in this rapidly developing area is built with safety and reliability at its core, in line with the approach set out in the AI Regulation White Paper published last month. タスクフォースは、先月発表されたAI規制白書で示されたアプローチに沿って、この急速に発展する分野における英国の能力が、安全性と信頼性を中核として構築されるようにする。
Doug Gurr, Chair,  The Alan Turing Institute, said: アラン・チューリング研究所会長のダグ・ガーは、次のように述べている:
We congratulate the government on this exciting investment which will keep the UK at the cutting edge of this transformative technology and look forward to continuing to work with all the relevant partners to help develop breakthrough AI applications in a safe, reliable, trustworthy and ethical way. 私たちは、英国をこの変革的な技術の最先端に位置させるこのエキサイティングな投資について政府を祝福し、安全、信頼、信用、倫理的な方法で画期的なAIアプリケーションの開発を支援するために、すべての関連パートナーと引き続き協力することを期待している。
Marc Warner, CEO of Faculty, said: ファカルティのCEOであるマーク・ワーナーは、次のように述べている:
Artificial intelligence is an epoch-defining technology, which - if deployed safely and responsibly - will revolutionise how we live and work. To reap the rewards and manage the risks, the UK urgently needs the public and private sector to work effectively together to seize the vast opportunities from foundational models. It is welcome to see initial funding towards this goal, which will help ensure safe deployment and protect national security, whilst harnessing AI’s power to transform public services. 人工知能は時代を画する技術であり、安全かつ責任を持って導入されれば、私たちの生活や仕事のあり方に革命をもたらすだろう。報酬を得、リスクをマネジメントするために、英国では官民が効果的に協力し、基礎的なモデルから大きなチャンスをつかむことが急務となっている。この目標に向けた最初の資金提供が行われたことは歓迎すべきことである。この資金提供は、公共サービスを変革するためにAIの力を活用する一方で、安全な導入と国家の安全保障を確保するのに役立つ。
The funding follows Business Connect, an event bringing government and industry together to focus on making Britain the most innovative economy in the world. DSIT Minister of State George Freeman led a panel on the government’s work in digital technology and life sciences and, together with the Chancellor, spoke about how these high-priority sectors could help accelerate economic growth across the UK. 今回の資金提供は、英国を世界で最も革新的な経済国にするために政府と産業界が一堂に会するイベント、ビジネスコネクトに続くものである。 DSITのジョージ・フリーマン国務大臣は、デジタル技術とライフサイエンスにおける政府の取り組みに関するパネルをリードし、首相とともに、これらの優先度の高いセクターが英国全体の経済成長を加速させるためにどのように役立つかについて講演した。

 

 

・2023.04.21 DASA funding helps drive ethical artificial intelligence community safeguarding application from proof of concept to product launch

 

DASA funding helps drive ethical artificial intelligence community safeguarding application from proof of concept to product launch DASAの資金援助により、倫理的な人工知能コミュニティの安全保護アプリケーションを、概念実証から製品化まで推進することができる。
Trilateral’s artificial intelligence web application helps organisations better understand and respond to crime Trilateralの人工知能ウェブアプリケーションは、組織が犯罪をよりよく理解し、対応することを支援する。
・London-based SME, Trilateral Research, has developed an ethical AI application called Honeycomb that can help organisations make sense of human behaviour and case data to quickly implement safeguarding measures for crimes such as human trafficking ・ロンドンを拠点とする中小企業であるTrilateral Research社は、人身売買などの犯罪に対して、組織が人間の行動や事件データを理解し、安全対策を迅速に実施することを支援する倫理AIアプリケーション「Honeycomb」を開発した。
・Funded through the DASA Open Call and Security Rapid Impact, Trilateral’s innovation will launch in April 2023 ・DASA公募、セキュリティ・ラピッドインパクトを経て、三極のイノベーションは2023年4月に始動する。
・DASA has supported Trilateral from proof of concept, through to product launch, helping Trilateral reach a faster route to market through the Rapid Impact Open Call ・DASAはTrilateralのコンセプトの実証から製品の発売までをサポートし、Rapid Impact Open Callを通じてTrilateralの迅速な市場投入を支援した。
Explainable AI to help understand human terrain and case data and solve crime 人間の地形や事件データを理解し、犯罪の解決を支援する説明可能なAI
Artificial intelligence (AI) is growing in adoption, complexity and fidelity, and more organisations are turning to AI to expedite analysis at scale. While AI can make complex analysis and decision making more straightforward for human users, it is vital to understand how AI functions. 人工知能(AI)は、その採用率、複雑さ、忠実度を増しており、より多くの組織が、規模に応じた分析を迅速化するためにAIを利用している。AIは、人間のユーザーにとって複雑な分析や意思決定をより分かりやすくすることができるが、AIがどのように機能するかを理解することは極めて重要である。
AI explainability builds trust in the ability of AI to aid responsible decision making in sensitive areas where transparency is key, such as human trafficking, child protection, organised crime, and healthcare. This helps users understand AI output, avoid bias, maintain high standards and ensure AI outcomes can be challenged or reviewed. AIの説明可能性は、人身売買、児童保護、組織犯罪、ヘルスケアなど、透明性が重要な敏感な分野における責任ある意思決定を支援するAIの能力に対する信頼を築きます。これは、ユーザーがAIの出力を理解し、バイアスを回避し、高い基準を維持し、AIの結果に異議を唱えたり、見直したりできるようにするのに役立つ。
Introducing Trilateral Research’s explainable AI web application Trilateral Researchの説明可能なAIウェブアプリケーションを紹介する。
With the help of DASA funding, London-based SME, Trilateral Research, has developed an explainable AI web application called Honeycomb, which will launch in April 2023. It is designed to enable organisations to better understand and respond to complex societal issues, such as human trafficking, to make more informed decisions quickly. ロンドンに拠点を置く中小企業、Trilateral Researchは、DASAの資金援助を受けて、説明可能なAIウェブアプリケーション「Honeycomb」を開発し、2023年4月に発売する予定である。このアプリケーションは、人身売買のような複雑な社会問題をよりよく理解し、対応することで、組織がより多くの情報に基づいた意思決定を迅速に行えるようにすることを目的としている。
Trilateral Research built the AI application on a suite of Natural Language Processing (NPL) tools which are used to extract, communicate, and expedite the analysis of crime case content, such as text, databases, documentation and case notes. The NPL tool highlights patterns, trends, key themes and topics of interest, and fast tracks findings back to analysts and intelligence officers for validation. This helps human users enhance their professional judgement to review cases quickly and implement safeguarding interventions. Trilateral Researchは、テキスト、データベース、文書、事件メモなど、犯罪事件のコンテンツの抽出、伝達、分析の迅速化に使用される自然言語処理(NPL)ツール群にAIアプリケーションを構築した。NPLツールは、パターン、トレンド、主要なテーマ、関心のあるトピックをハイライトし、分析官や情報担当者が検証できるように、発見を素早く追跡する。これにより、ユーザーは専門的な判断力を高め、迅速にケースを確認し、保護措置を講じることができるようになる。
Trilateral’s AI web application was developed alongside in-house subject matter experts in areas such as human trafficking and criminology to ensure the NPL technology had a strong understanding of the domain, resulting in enhanced validly of output. TrilateralのAIウェブアプリケーションは、人身売買や犯罪学などの分野の社内専門家と共に開発され、NPLテクノロジーがこの分野を強く理解することで、より有効なアウトプットが得られるようになった。
Making sense of structured data for criminal investigation 犯罪捜査のための構造化データの意味づけ
Trilateral’s solution can analyse a huge amount of structured case data and expedite findings in several hours, when compared to a human analyst which could take weeks. Trilateralのソリューションは、膨大な量の構造化されたケースデータを分析し、人間の分析者が数週間かかるのと比較すると、数時間で結果を出すことができる。
Trilateral’s innovation helps defence and security in several ways: Trilateralのイノベーションは、いくつかの点で防衛やセキュリティに貢献している:
・Patterns, trends, key themes, topics detection: The AI web application can quickly trawl through mountains of case data to find information relevant to a case. ・パターン、トレンド、主要テーマ、トピックの検出: AIウェブアプリケーションは、大量の事件データを素早く検索し、事件に関連する情報を探し出すことができる。
・Geospatial and human terrain data: The tool utilises geospatial analysis and can visualise structured data that relates to the wider human terrain. ・地理空間と人体地形データ: このツールは地理空間分析を利用し、より広い人間の地形に関連する構造化データを可視化することができる。
・Fast tracked analysis: Enables human analysts and intelligence officers to obtain results faster and with a wider variety of data, within several hours instead of days. ・ファストトラック分析 人間のアナリストや情報担当者が、より早く、より多様なデータを用いて、数日ではなく数時間以内に結果を得ることができるようにする。
・Easy to understand data: The innovation is easy to use and digest, enabling users beyond the analyst, such as senior decision makers, to understand the analysis. ・理解しやすいデータ: このイノベーションは使いやすく、消化しやすいので、上級の意思決定者など、アナリスト以外のユーザーも分析結果を理解することができるようになる。
・Human aiding: Ensures analysts and intelligence officers can focus more on value adding tasks, rather than time intensive data analysis. ・人間の補助: アナリストや情報担当者が、時間のかかるデータ分析ではなく、付加価値の高いタスクに集中できるようにする。
DASA support from proof of concept to product launch コンセプトの実証から製品発売までのDASAサポート
DASA funding and engagement has helped Trilateral steer the direction of the product to achieve a faster route to market through the defence and security sector. DASAの資金援助と関与により、Trilateralは製品の方向性を決定し、防衛・安全保障分野での市場投入をより早く実現することができた。
The SME had initially developed the innovation to help Defence better understand unconventional societal issues such as the risk of human trafficking, cultural property protection, gender-based violence and child exploitation in conflict situations. Trilateral first engaged with DASA in 2018 where they delivered a proof of concept for a risk assessment tool to help the UK military to assess the risk of modern slavery and human trafficking in conflict situations. 中小企業は当初、紛争状況における人身売買、文化財保護、ジェンダーに基づく暴力、児童搾取のリスクなど、従来とは異なる社会問題を防衛省がより理解できるようにするためのイノベーションを開発していました。Trilateralは2018年に初めてDASAに参加し、英国軍が紛争状況における現代奴隷と人身売買のリスクを評価するのに役立つリスク評価ツールの概念実証を提供した。
Their next funded DASA project, HAMOC, was submitted in 2019, which sought to develop AI tools to equip defence with the capability to effectively integrate human security analysis into its existing planning functions. Leveraging feedback from DASA, Trilateral steered the direction of HAMOC, towards a continued security focus to meet rapid engagement opportunities. 次に資金提供を受けたDASAプロジェクト「HAMOC」は2019年に提出され、人間の安全保障分析を既存の計画機能に効果的に統合する能力を防衛に装備するためのAIツールを開発することを目指した。DASAからのフィードバックを活用し、TrilateralはHAMOCの方向性を、迅速な関与の機会を満たすために安全保障に焦点を当て続ける方向に舵を切った。
Trilateral successfully submitted their next project to the DASA Security Rapid Impact Open Call in 2021, to develop explainable AI to extract and communicate insight from existing databases to help police combat child exploitation and organised crime through advance organised crime group mapping. As part of trialling, Trilateral are collaborating with a UK police force, helping them make better use of their data, successfully showing how the tool can be used to implement safeguarding measures months ahead of their standard timelines. このプロジェクトは、既存のデータベースから洞察を抽出・伝達する説明可能なAIを開発し、組織犯罪グループの事前マッピングを通じて、警察が児童搾取や組織犯罪と戦うのを支援するものである。トライアルとして、Trilateralは英国の警察と協力し、データの有効活用を支援し、標準的なスケジュールよりも数ヶ月早く保護措置を実施するためにツールを使用できることを示すことに成功している。
All of this work fed into the development of Honeycomb which is due to launch in April 2023. これらの作業はすべて、2023年4月に発売予定のハニカムの開発に反映された。
Dr Hayley Watson, Director, Sociotech Innovation at Trilateral Research said: Trilateral ResearchのSociotech Innovation担当ディレクター、ヘイリー・ワトソン博士は次のように述べている:
DASA provided us the space and time to innovate and co-design with defence users, which enabled our development of sociotechnical methods for building ethical AI to combat complex societal problems. The opportunities for defence and security end users are huge, working together, we can offer the capability to harness explainable AI to combat complex societal problems from national security to crisis and conflict stabilisation efforts. We look forward to continuing to work with those keen to leverage innovation to enhance their operations and ? > ultimately, help save lives. DASAは、防衛関連ユーザーと革新的な共同設計を行うためのスペースと時間を提供してくれ、複雑な社会問題に対処する倫理的なAIを構築するためのソシオテクニカル手法の開発を可能にした。防衛・安全保障分野のエンドユーザーにとってのチャンスは非常に大きく、一緒に働くことで、国家安全保障から危機や紛争の安定化努力まで、複雑な社会問題に立ち向かうための説明可能なAIを活用する能力を提供することができる。私たちは、イノベーションを活用して業務を強化し、最終的には人命救助に貢献することを望む人たちと、今後も協力していきたいと思いる。> 最終的には、人命救助に貢献する。
What’s next for Trilateral 三極の次なる目標は?
Through successful funding, testing, and trialling with DASA, Trilateral has gained confidence in engaging with defence and security customers, which has in turn built credibility for their product. DASAの資金調達、テスト、トライアルを経て、Trilateralは防衛・安全保障分野の顧客と関わることに自信を持ち、その結果、製品の信頼性を高めることができた。
DASA has helped provide an outlet for Trilateral to test the market, foster a large network of product champions and potential customers, and steer the direction of their product towards a security focus for rapid pick up. Looking into the future, Trilateral hopes to build on their product launch by further developing tools to integrate more directly with customer systems via application programming interface feeds and data migration tools, and develop even more creative solutions for explainable AI. DASAは、Trilateralが市場をテストする場を提供し、製品チャンピオンや潜在的な顧客の大規模なネットワークを育成し、製品の方向性をセキュリティに焦点を当て、迅速にピックアップできるようにすることに貢献した。将来的には、アプリケーション・プログラミング・インターフェースのフィードやデータ移行ツールを介して顧客のシステムとより直接的に統合するツールをさらに開発し、説明可能なAIのためのさらに創造的なソリューションを開発することで、製品の発売を成功させたいと考えている。

 

・2023.04.21 £2 million available for novel human augmentation innovations to enhance human capability in defence

£2 million available for novel human augmentation innovations to enhance human capability in defence 防衛における人間の能力を強化するための新しい人間拡張技術に200万ポンドを提供
DASA has launched a new Themed Competition to develop and prototype human augmentation technology for defence DASAは、防衛のための人間拡張技術の開発と試作を目的とした新しいテーマコンペティションを開始した。
・DASA has launched a new Themed Competition: Human Augmentation (HA) DASAが新テーマコンペティションを開始した: ヒューマンオーギュメンテーション(HA)
・Funding provided by the Defence Science and Technology Laboratory (Dstl) Human Augmentation Science and Technology (S&T) project 国防科学技術研究所(Dstl)人間拡張科学技術(S&T)プロジェクトによる資金提供。
・Up to £2 million is available for novel, safe and ethical HA technologies to mitigate human performance as the limiting factor in Defence scenarios 防衛シナリオにおける制限要因である人間のパフォーマンスを軽減するための、安全で倫理的な新規HA技術に最大200万ポンドが提供される。
The Defence and Security Accelerator (DASA) is pleased to launch a new Themed Competition called Human Augmentation. Human Augmentation (HA) refers to the use of science or technology to temporarily or permanently modify human performance. This encompasses a range of technologies, including exoskeletons, wearables, genetics, brain interfaces, pharmaceuticals, and bioinformatics. 防衛・安全保障アクセラレータ(DASA)は、「Human Augmentation」という新しいテーマのコンペティションを開始することになった。 Human Augmentation(HA)とは、科学や技術を利用して、人間のパフォーマンスを一時的または恒久的に変更することを指する。これには、外骨格、ウェアラブル、遺伝学、ブレイン・インターフェイス、医薬品、バイオインフォマティクスなど、さまざまな技術が含まれる。
This Themed Competition aims to develop novel, Generation-After-Next (GAN) prototype HA technologies which can be harnessed safely and ethically that mitigate human performance as the limiting factor in a UK Defence environment. 本テーマコンペティションは、英国防衛環境における制限要因である人間のパフォーマンスを軽減する、安全かつ倫理的に利用可能な、新しいGeneration-After-Next(GAN)プロトタイプHA技術の開発を目的としている。
Technologies that influence the following human capabilities and aptitudes include: 以下のような人間の能力・適性に影響を与える技術が含まれる:
・sensory enhancement to support mission outcomes ・ミッションの成果をサポートするための感覚的な向上
・collaborative working (including human-human and human-machine) ・協働作業(人と人、人と機械の協働作業を含む)
・attention during tasks with a cognitive element ・認知的な要素を含む作業時の注意事項
・enhanced decision making (reduced time and improved outcomes) ・意思決定の迅速化(時間短縮と成果の向上)
・physical endurance ・物理的な耐久性
・strength ・強さ
・overcoming limitations to physical and cognitive fatigue ・身体的・認知的な疲労に対する限界の克服
Key Dates and Funding 主な日程と資金調達
Up to £2 million is available for this competition, and DASA expects to fund 5 to 10 proposals. 本コンペティションには最大200万ポンドが用意されており、DASAは5~10件の提案に出資することを想定している。
Submission deadline: midday on Tuesday 13 June 2023 提出期限:2023年6月13日(火)の昼12時
Do you have an innovation which could augment human performance? Read the full competition document and submit a proposal. 人間のパフォーマンスを向上させる可能性のあるイノベーションをお持ちであるか? コンペティションの全文を読んで、提案書を提出すること。
Human augmentation technologies in defence 防衛分野における人間拡張技術
As the battlefield becomes more complex and the demands on our personnel increase, in order to win tactical advantage, they will have to out-think and out-pace their adversaries. If HA technologies can be harnessed safely and ethically to develop enhanced levels of performance, it is possible they could afford improvements in capability across the whole force. 戦場がより複雑になり、隊員への要求が高まるにつれ、戦術的優位性を獲得するためには、敵のことを考え、ペースを上げる必要がある。もし、HA技術を安全かつ倫理的に活用し、より高いレベルの性能を開発することができれば、部隊全体の能力を向上させることができる可能性がある。
This Themed Competition has 3 use cases. このテーマコンペティションでは、3つのユースケースを用意している。
Use Case 1: Biofeedback Systems ユースケース1:バイオフィードバックシステム
Systems that measure user state, interpret the resulting data and deliver an effect based on the data. ユーザーの状態を測定し、得られたデータを解釈し、そのデータに基づいた効果を提供するシステム。
Use Case 2: The Warfighter Ensemble ユースケース2:ウォーファイター・アンサンブル
Equipment that is worn closely on the body and is designed to optimise and enhance biological functions. 身体に密着して装着し、生体機能を最適化・強化するように設計された機器。
Use Case 3: Sensory Enhancements ユースケース3:感覚的な強化
Enhancing the human senses beyond typical biological capability. 人間の感覚を、一般的な生物学的能力を超えて強化する。
Supporting events サポートイベント
Webinar ウェビナー
Join us on 3 May 2023 for a dial-in session that will provide further detail on the problem space and a chance to ask questions in an open forum. If you would like to participate, please register on the Eventbrite page. 2023年5月3日に開催されるダイアルインセッションでは、問題空間のさらなる詳細と、オープンフォーラムでの質問の機会を設けますので、ご参加ください。参加ご希望の方は、Eventbriteのページより申し込むこと。
Submit a proposal 提案書の提出
Do you have an innovation that may help accelerate the development of human augmentation technologies for defence and military effect delivery? 防衛・軍事効果伝達のための人間拡張技術の開発を加速させるのに役立ちそうなイノベーションを持っているか?
Read the full competition document to learn more and submit a proposal. コンペティションの詳細を確認し、提案書を提出すること。

 

1_20230429151201

 

 

 

| | Comments (0)

英国 デジタル市場・競争・消費者法 (DMCC) 案

こんにちは、丸山満彦です。

英国政府が、デジタル市場・競争・消費者法案についてプレスリリースを公表していますね。。。

・デジタル市場の競争の監視のために、デジタル・マーケット局 (Digital Markets Unit) を作り、これが監督することになるようですね。。。

・競争市場のために、政府の調査・執行権限を強化するようですね。。。

・消費者保護のために、より迅速に対応できるようにし、罰金は最大の世界売上の10%

 

⚫︎ U.K. Gov

・2023.04.25 New bill to stamp out unfair practices and promote competition in digital markets

New bill to stamp out unfair practices and promote competition in digital markets デジタル市場における不公正な慣行を排除し、競争を促進する新法案
The CMA welcomes draft legislation enhancing its ability to promote competition and protect consumers, including new powers for its Digital Markets Unit. CMAは、デジタル・マーケット・ユニットの新たな権限を含め、競争を促進し消費者を保護する能力を強化する法案の草案を歓迎する。
The Digital Markets, Competition and Consumers (DMCC) Bill will promote growth in the UK economy by ensuring free and vigorous competition amongst businesses – both online and on the high street. It will also strengthen the Competition and Market Authority’s (CMA) powers to crack down on unfair practices. デジタル市場・競争・消費者(DMCC)法案は、オンラインと街頭の両方で、企業間の自由で活発な競争を確保することにより、英国経済の成長を促進する。また、競争・市場庁(CMA)の不公正な慣行を取り締まる権限も強化される予定である。
The bill reinforces the key principles that underpin the CMA’s work, which are about helping people, businesses and the economy. The bill has 3 areas of focus: 法案は、CMAの活動を支える主要な原則、すなわち、人々、企業、経済を支援することを強化するものである。法案は3つの分野に重点を置いている:
Consumer protection: People need to be able to shop without fear of being ripped off and fair-dealing businesses should be able to compete without being disadvantaged by those who break the rules. The CMA has taken enforcement action against those who use unfair practices to dupe people into handing over their money – taking action on fake reviews, subscription traps and pressure selling. The new rules in this bill will allow the CMA to be even more effective. They will empower the CMA to decide when consumer law has been broken, rather than having to take each case to court. This will help ensure people are protected more quickly, and fair-dealing firms are not disadvantaged. The bill will also allow the CMA to fine businesses which do break the law up to 10% of their global turnover. 消費者保護: 人々は騙される心配なく買い物をすることができ、公正な取引を行う企業は、ルールを破る人々によって不利益を被ることなく競争できる必要がある。CMAは、偽のレビュー、定期購入の罠、圧力販売など、不公正な方法で人々を騙してお金を渡す業者に対して強制措置を取ってきた。本法案の新しい規則は、CMAがさらに効果的に活動できるようにするものである。消費者法が破られた場合、個々のケースを裁判にかけるのではなく、CMAが判断できるようになるのである。これにより、人々がより迅速に保護され、公正な取引を行う企業が不利にならないようにすることができます。また、この法案により、CMAは法律に違反した企業に対し、全世界の売上高の最大10%まで罰金を科すことができるようになる。
・Digital markets: People and businesses benefit from vibrant, competitive digital markets which offer the latest products and services. The bill establishes a new, targeted regime built for the digital age, overseen by the Digital Markets Unit (DMU) in the CMA – that will use a proportionate approach to hold digital firms accountable for their actions – enabling all innovating businesses to compete fairly. It will set rules that will prevent firms with Strategic Market Status from using their size and power to limit digital innovation or market access – ensuring the UK remains a highly attractive place to invest and do business for all. ・デジタル市場: 最新の製品やサービスを提供する活気に満ちた競争力のあるデジタル市場は、人々や企業にとって有益である。この法案は、CMAのDigital Markets Unit (DMU)が監督する、デジタル時代のために構築された新しい、的を絞った体制を確立するもので、比例したアプローチでデジタル企業の行動に対する責任を追及し、すべての革新的企業が公平に競争できるようにする。また、戦略的市場地位を有する企業が、その規模や力を利用してデジタルイノベーションや市場アクセスを制限することを防ぐためのルールを設定し、英国がすべての人にとって投資やビジネスを行う上で非常に魅力的な場所であり続けることを保証するものである。
・Competition: Bolstered investigative and enforcement powers will mean the CMA can conduct faster and more flexible competition investigations, which identify and stop unlawful anticompetitive conduct more quickly. Changes to the competition framework – including updated merger and fine thresholds – will make it easier for the CMA to take action against mergers which harm UK consumers and businesses. Such changes will allow the CMA to continue to protect and promote open and free markets, spurring companies to innovate and bring more products to market, providing more choice for customers and creating a strong foundation for economic growth. ・競争: 調査権限と執行権限の強化により、CMAはより迅速かつ柔軟な競争調査を実施し、違法な反競争的行為をより迅速に特定・停止することができる。合併や罰金の閾値の更新を含む競争の枠組みの変更により、CMAは、英国の消費者や企業に損害を与える合併に対して、より簡単に行動を起こすことができるようになる。このような変更により、CMAはオープンで自由な市場を引き続き保護・促進し、企業の技術革新とより多くの製品の市場投入を促し、お客様に多くの選択肢を提供し、経済成長のための強固な基盤を作ることができるようになる。
Sarah Cardell, Chief Executive of the CMA, said: CMAの最高責任者であるサラ・カーデルは、次のように述べている:
We welcome this flagship bill which provides the CMA with new powers to do even more to protect people, businesses and support the economy. This has the potential to be a watershed moment in the way we protect consumers in the UK and the way we ensure digital markets work for the UK economy, supporting economic growth, investment and innovation. 私たちは、CMAに新たな権限を与え、人々や企業を保護し、経済を支えるためにさらに多くのことを行えるようにするこの重要な法案を歓迎する。この法案は、英国の消費者を保護する方法と、デジタル市場が英国経済のために機能し、経済成長、投資、イノベーションを支援する方法における分岐点となる可能性を持っている。
People rely on free and fair markets to get the best deal possible, but also expect that rules are in place to protect them when things go wrong. Proposals to give the CMA stronger enforcement powers when firms break consumer law – including the ability to directly impose fines for the first time – are crucial to ensure we can continue cracking down on rip-offs and underhand deals, helping to deter firms from taking advantage of people. 人々は、可能な限り最高の取引を得るために自由で公正な市場に依存しているが、同時に、物事がうまくいかないときに彼らを保護するための規則が整備されていることも期待している。企業が消費者法に違反した場合にCMAに強力な執行権限を与える提案(初めて直接罰金を科す能力を含む)は、ぼったくりや裏取引を確実に取り締まり、企業が人々を利用するのを阻止するために極めて重要である。
Digital markets offer huge benefits, but only if competition enables businesses of all shapes and sizes the opportunity to succeed. This bill is a legal framework fit for the digital age. It will establish a tailored, evidenced-based and proportionate approach to regulating the largest and most powerful digital firms to ensure effective competition that benefits everyone. デジタル市場は大きな利益をもたらするが、それは競争によって、あらゆる形や大きさの企業が成功する機会を得ることができる場合に限られます。本法案は、デジタル時代にふさわしい法的枠組みである。最大かつ最も強力なデジタル企業を規制するために、カスタマイズされた、証拠に基づく、比例したアプローチを確立し、すべての人に利益をもたらす効果的な競争を保証する。
We look forward to supporting this bill as it passes through the legislative process and stand ready to use these new powers once approved by Parliament. 私たちは、この法案が立法過程を通過する際にサポートすることを楽しみにしており、国会で承認された後は、これらの新しい権限を使用する準備が整っている。
Notes to editors 編集後記
1. The bill will be introduced to the House of Commons by Kevin Hollinrake MP, Minister for Enterprise, Markets and Small Business at the Department of Business and Trade. 1. 法案は、ビジネス・貿易省のエンタープライズ・市場・中小企業担当大臣であるケビン・ホリンレイク議員によって下院に提出される予定である。
2. Firms with substantial and entrenched market power, in at least one digital activity, providing them with a strategic position will be designated with Strategic Market Status (SMS) by the DMU and will be subject to the new regime. A threshold will apply meaning that only firms with a global turnover above £25bn, or UK turnover above £1bn, will be in scope. 2. 少なくとも1つのデジタル活動において、実質的かつ定着した市場力を持ち、戦略的な地位を有する企業は、DMUによって戦略的市場地位(SMS)に指定され、新制度の対象となる予定である。閾値が適用されるため、全世界の売上高が250億ポンド以上、または英国の売上高が10億ポンド以上の企業のみが対象となる。
3. The CMA established the DMU in shadow form in 2021 in the anticipation it would be granted statutory powers to oversee digital markets – since then it has been recruiting the necessary staff and advised government as it prepares the bill introduced today. 3. CMAは、デジタル市場を監督する法的権限が付与されることを想定して、2021年にDMUを影の組織として設立しました。それ以来、必要なスタッフを募集し、本日提出された法案の準備のために政府に助言を行っている。
4. More information on the Digital Markets Competition and Consumers Bill can be found via the Department of Business and Trade website. Journalists should contact the DBT press office for more information on the bill, timing, and the parliamentary process 4. デジタル市場競争消費者法案に関する詳細は、Department of Business and Tradeのウェブサイトからご確認いただけます。法案、時期、議会プロセスに関する詳細については、DBTプレスオフィスまで問い合わせること。
5. For media enquiries about the DMU and the proposed new regulatory regime that it will oversee, journalists can email press@cma.gov.uk 5. DMUおよびDMUが監督する新しい規制制度案に関する報道関係者のお問い合わせは、press@cma.gov.uk まで。

 

・2023.04.25 New Bill to crack down on rip-offs, protect consumer cash online and boost competition in digital markets

New Bill to crack down on rip-offs, protect consumer cash online and boost competition in digital markets ぼったくりを取り締まり、オンラインで消費者の現金を保護し、デジタル市場の競争を促進する新法案

New powers unveiled aimed at boosting competition, clamping down on subscription traps and fake reviews

競争を促進し、購読の罠や偽のレビューを取り締まることを目的とした新しい権限が発表された。
・New powers aimed at boosting competition in digital markets currently dominated by a small number of firms ・少数の企業によって支配されているデジタル市場の競争を促進することを目的とした新しい権限
・Clamping down on subscription traps that cost consumers £1.6bn a year, making it easier for consumers to opt out ・消費者に年間16億ポンドの損害を与えている定期購入の罠を取り締まり、消費者がオプトアウトしやすくする
・Tackling fake reviews so customers aren’t cheated by bogus ratings ・偽の評価でお客様が騙されないように、偽のレビューに取り組む
New legislation will today (25 April) be introduced to ensure businesses and consumers are protected from rip-offs and can reap the full benefits of the digital economy with confidence. 本日(4月25日)、企業および消費者を詐欺から守り、安心してデジタル経済の恩恵を最大限に享受できるようにするための新しい法律が導入されます。
Fake reviews that cheat customers, subscription traps that cost more than a billion pounds a year and new powers for the Competition and Markets Authority (CMA) to tackle businesses that breach consumer rights law are all elements of today’s far-reaching Bill. 顧客を騙す偽のレビュー、年間10億ポンド以上の損害を与える定期購入の罠、消費者の権利に関する法律に違反する企業に取り組む競争市場局(CMA)の新しい権限などは、すべて今日の広範囲に及ぶ法案の要素である。
In competitive markets, firms strive to give consumers the best products, most choice, and lowest possible prices. The Bill will provide the CMA with stronger tools to investigate competition problems and take faster, more effective action, including where companies collude to bump-up prices at the expense of UK consumers. 競争市場では、企業は消費者に最高の製品、最も多くの選択肢、そして可能な限り低い価格を提供するよう努力する。この法案は、企業が結託して英国の消費者を犠牲にして価格をつり上げる場合など、競争上の問題を調査し、より迅速で効果的な措置をとるための強力な手段をCMAに提供するものである。
The CMA will be able to directly enforce consumer law rather than go through lengthy court processes. The reforms will also heighten the consequences for wrongdoers as the CMA and the courts will have the power to impose penalties of up to 10% of global turnover for breaching consumer law. CMAは、長い裁判手続きを経ずに、消費者法を直接執行することができるようになる。この改革により、CMAと裁判所は、消費者法違反に対して全世界の売上高の最大10%の罰則を科す権限を持つことになり、不正行為者への影響も大きくなる。
Today’s Bill will also enable the Government to ban the practice of facilitating fake reviews or advertising consumer reviews without taking reasonable steps to check they are genuine. New rules will ensure consumers can exit subscriptions in a straightforward, cost-effective, and timely way and require that businesses issue a reminder to consumers when a free trial or introductory offer is coming to an end. 本日の法案により、政府は、偽のレビューを助長する行為や、本物であることを確認する合理的な手順を踏まずに消費者レビューを宣伝する行為を禁止することも可能となる。新たな規則により、消費者が分かりやすく、費用対効果が高く、タイムリーな方法で購読を終了できるようにし、無料体験や紹介キャンペーンが終了する際には、企業が消費者にリマインダーを発行することを義務付ける。
This will help deliver one of the Government’s five priorities to grow the economy by increasing consumer choice and confidence in the products they buy and services they use. これにより、消費者の選択肢を増やし、購入する製品や利用するサービスに対する信頼感を高めることで、政府の5つの優先事項の1つである経済成長を実現することができるのである。
Business and Trade Minister Kevin Hollinrake said: Kevin Hollinrakeビジネス・アンド・トレード大臣は次のように述べている:
Smartphones and online shopping have profoundly changed the landscape for businesses, consumers and the foundations of a modern thriving economy, which now lie in strong consumer choice, confidence and competition. スマートフォンとオンラインショッピングは、企業や消費者の状況を大きく変え、現代の繁栄する経済の基盤は、消費者の強い選択、信頼、競争にあります。
From abuse of power by tech giants, to fake reviews, scams and rip-offs like being caught in a subscription trap - consumers deserve better. The new laws we’re delivering today will empower the CMA to directly enforce consumer law, strengthen competition in digital markets and ensure that people across the country keep hold of their hard-earned cash. ハイテク企業による権力の乱用から、偽のレビュー、詐欺、定期購入の罠にはまるようなぼったくりまで、消費者にはもっと良いものがあるはずである。今日、私たちが提出する新しい法律は、CMAに消費者法を直接執行する権限を与え、デジタル市場の競争を強化し、全国の人々が苦労して稼いだお金を維持できるようにするものである。
As part of the Bill, a Digital Markets Unit (DMU) within the CMA will be given new powers to tackle the excessive dominance that a small number of tech companies have held over consumers and businesses in the UK. This market dominance has stifled innovation and growth across the economy, holding back start-ups and smaller firms from accessing markets and consumers. 法案の一部として、CMAのデジタル・マーケット・ユニット(DMU)には、少数のハイテク企業が英国の消費者や企業に対して保持してきた過度の支配に取り組むための新しい権限が与えられます。このような市場支配は、経済全体のイノベーションと成長を阻害し、新興企業や中小企業が市場や消費者にアクセスすることを妨げている。
The government’s new digital regime will give the DMU powers to ensure that businesses and consumers are not unfairly disadvantaged by the biggest players, allowing them access to dynamic and thriving digital markets that will ultimately support our economy to grow. If a firm is deemed to have strategic market status in key digital services, the DMU will be able to step in to set tailored rules on how they behave and operate. 政府の新しいデジタル制度は、企業や消費者が最大手によって不当に不利益を被ることがないよう、DMUに権限を与え、ダイナミックで繁栄するデジタル市場へのアクセスを可能にし、最終的に経済の成長を支援するものである。ある企業が主要なデジタルサービスにおいて戦略的市場地位を有すると判断された場合、DMUは、その企業の行動や運営方法についてカスタマイズされたルールを設定するために介入することができるようになる。
For example, the biggest tech firms may be instructed by the DMU to provide more choice and transparency to their customers. If firms don’t abide by these rules, the DMU will have the power to fine them up to 10% of their global turnover. 例えば、最大手のハイテク企業は、顧客により多くの選択肢と透明性を提供するようDMUから指示されるかもしれない。もし企業がこれらのルールを守らない場合、DMUはその企業の世界売上高の最大10%までの罰金を科す権限を持つことになる。
The DMU will also be able to tackle the root causes of competition issues in digital markets by carrying out targeted interventions, opening up new paths for start-ups or smaller firms that have previously struggled to grow and compete in these markets. また、DMUは、デジタル市場における競争問題の根本的な原因に対して、的を絞った介入を行い、これまで市場の成長と競争に苦戦していた新興企業や中小企業に新たな道を開くことができるようになる予定である。
Firms may be told to give customers greater flexibility when purchasing products online and to break down restrictive technical barriers that block users from using products on different devices and systems. The new regime will drive innovation across the entire economy, maintain and further the UK as an attractive tech destination for international investment, and make the digital economy a fairer place for businesses and customers. 企業は、顧客がオンラインで製品を購入する際に、より大きな柔軟性を与え、ユーザーが異なるデバイスやシステムで製品を使用することを妨げる制限的な技術的障壁を取り除くよう指示されるかもしれない。新体制は、経済全体のイノベーションを促進し、国際的な投資先として魅力的なハイテク産業としての英国を維持・発展させ、デジタル経済を企業や顧客にとってより公正な場所にするものである。
Paul Scully, Minister for Tech and the Digital Economy said: ポール・スカリー技術・デジタル経済担当大臣は、次のように述べている:
Today’s announcement shows we are proudly pro-growth and pro-innovation across the board in the tech sector, seeking to open up new opportunities for all firms, however small or large they are, while empowering consumers. 本日の発表は、私たちがハイテク分野全般において、誇りを持って成長促進とイノベーション促進を図っていることを示すものであり、規模の大小にかかわらず、すべての企業に新しい機会を提供し、消費者に力を与えることを目指している。
The Prime Minister has made his intention to secure growth and innovation within every corner of our economy very clear – the new Digital Markets Unit will help fulfil this important priority for the UK in the digital economy. 首相は、経済の隅々まで成長とイノベーションを確保する意図を明確にしている。新しいデジタル・マーケッツ・ユニットは、デジタル経済における英国のこの重要な優先事項を実現するのに役立つだろう。
Rocio Concha, Which? Director of Policy and Advocacy, said: Which?の政策・アドボカシー担当ディレクターであるRocio Conchaは、次のように述べている。政策・アドボカシー担当ディレクターのRocio Conchaは、次のように述べている:
This bill is a pivotal step to make markets in the UK work better for consumers, businesses and support economic growth. この法案は、英国の市場を消費者や企業にとってより良く機能させ、経済成長を支えるための極めて重要なステップである。
Whether it’s fake reviews by dishonest businesses or people getting trapped in unwanted and costly subscriptions, our consumer protections are overdue an upgrade. Which? has long campaigned for stronger powers for the Competition and Markets Authority, including tough enforcement and the ability to fine firms that break the law directly. 不誠実な企業による偽のレビューや、不要で高額な定期購入に引っかかる人々など、私たちの消費者保護はアップグレードが必要な時期に来ている。Which?は、厳しい取締りや、法を犯した企業に直接罰金を科す能力など、競争市場庁の権限強化について長年キャンペーンを行ってきた。
The empowerment of the CMA’s Digital Markets Unit will also be a major step forward. It needs the right powers to loosen the vice-like grip of a handful of tech giants that will foster innovation and give consumers more choice and lower prices. CMAのDigital Markets Unitに権限が与えられることも、大きな前進となるだろう。CMAは、一握りのハイテク企業の支配力を緩め、イノベーションを促進し、消費者により多くの選択肢と低価格を提供するための適切な権限を必要としている。
Dom Hallas, Executive Director at Coadec, said: Coadecのエグゼクティブ・ディレクターであるDom Hallasは、次のように述べている:
Startups thrive in competitive markets but currently too many are grappling with bed-blocking incumbents in broken markets. The Digital Markets Unit can become a powerful tool to help innovative companies break through. 新興企業は、競争力のある市場で成長するが、現在、あまりにも多くの企業が、崩壊した市場で既存企業の妨害に悩まされている。デジタルマーケッツユニットは、革新的な企業の躍進を支援する強力なツールになるだろう。
UKHospitality Chief Executive Kate Nicholls said: UKHospitalityの最高責任者であるKate Nichollsは次のように述べている:
We’re pleased that the Government has listened to the concerns of hospitality businesses about fake reviews and have taken swift action to tackle it, by giving the CMA enhanced powers through this Bill. 政府が、偽のレビューに関するホスピタリティ企業の懸念に耳を傾け、この法案を通じてCMAに強化された権限を与えることで、偽のレビューに取り組むための迅速な行動を取ったことを嬉しく思いる。
Fake reviews do irreparable damage to businesses, offer consumers a misleading view of a business and devalue the efforts of honest customers leaving genuine feedback. This Bill will help to deliver fairness for both hospitality venues and their customers in this area, and we look forward to working with Government to achieve this. 偽のレビューは、ビジネスに回復不能なダメージを与え、消費者にビジネスに対する誤解を与え、本物のフィードバックを残す正直な顧客の努力を無価値にする。本法案は、この分野において、ホスピタリティ施設とその顧客の双方に公平性をもたらすのに役立ち、その実現に向けて政府と協力することを楽しみにしている。
Sarah Cardell, Chief Executive of the CMA, said: CMAの最高責任者であるサラ・カーデルは、次のように述べている:
The new powers in this bill help the CMA take swift, decisive action to tackle rip offs, protecting consumers whether they are shopping online or on the high street. The new fining powers will provide an important deterrent to businesses seeking to take advantage of people while also ensuring fair dealing businesses can thrive. この法案に盛り込まれた新しい権限は、CMAが迅速かつ断固とした態度でぼったくりに対処し、オンラインショッピングであれ街角であれ、消費者を保護するためのものである。新しい罰金制度は、人々を利用しようとする企業に対する重要な抑止力となると同時に、公正な取引を行う企業の繁栄も保証するものである。
The bill will also strengthen the Digital Markets Unit, helping to ensure digital markets remain competitive and continue to benefit people, business, and the UK economy. We welcome its introduction to parliament and look forward to it progressing. また、この法案はDigital Markets Unitを強化し、デジタル市場が競争力を維持し、人々、ビジネス、英国経済に利益をもたらし続けることを保証するのに役立つ。私たちは、この法案が議会に提出されたことを歓迎し、この法案の進展を楽しみにしている。
Background: 背景
New measures will come into effect as soon as possible following parliamentary approval, subject to secondary legislation and the publication of guidance. 新しい措置は、二次的な法律とガイダンスの公表を条件として、議会の承認後、できるだけ早く発効する予定である。
Today’s announcement follows the Government’s responses to the ‘reforming competition and consumer policy’ and ‘a new pro-competition regime for digital markets’ consultations published last year. The government received feedback from businesses, consumers groups, regulators and others to ensure today’s reforms provide for the strong and proportionate competition and consumer law and enforcement that consumers and businesses need to thrive. 本日の発表は、昨年発表された「競争・消費者政策の改革」および「デジタル市場のための新たな競争促進体制」協議に対する政府の回答を受けたものである。政府は、企業、消費者団体、規制当局などからフィードバックを受け、本日の改革が、消費者と企業の繁栄に必要な強力かつ適切な競争・消費者法および執行を提供することを確認しました。
Consumer protection policy is devolved to Northern Ireland but reserved for Scotland and Wales. Competition policy, including digital competition, is reserved for the whole of the United Kingdom. 消費者保護政策は北アイルランドに委ねられ、スコットランドとウェールズには留保されている。デジタル競争を含む競争政策は、英国全体に留保されている。
Firms may be given instruction by the DMU to open up their data to rival search engines, or to increase the transparency of how their app store or marketplace review systems work. If firms don’t abide by the rules set for them, the DMU will have the power to fine them up to 10% of their global turnover and make senior managers personally responsible for ensuring their company complies with the DMU’s requests. 企業は、ライバルの検索エンジンにデータを公開したり、アプリストアやマーケットプレイスのレビューシステムの仕組みの透明性を高めるよう、DMUから指示を受けることがあります。企業が定められたルールを守らない場合、DMUは最大で全世界の売上高の10%までの罰金を科す権限を持ち、DMUの要求に企業が従うことを保証する責任を上級管理職に負わせることになる。
Fake reviews will be tackled by taking a new power in the Bill and consulting on a new law against: 偽のレビューについては、法案に新たな権限を設け、これに対抗する新たな法律について協議することで対処する:
Commissioning someone to write or submit a fake review; 偽のレビューを書く、または投稿するよう誰かに依頼すること;
Posting consumer reviews without taking reasonable steps to check they are genuine; and 消費者のレビューが本物であることを確認するための合理的な手順を踏まずに投稿すること。
Offering or advertising to submit, commission or facilitate fake reviews. 偽のレビューを投稿、委託、促進することを提案または宣伝すること。
‘Subscription traps’ in which businesses make it difficult to exit a contract will also be stopped. Under new rules, businesses must: 企業が契約解除を困難にする「サブスクリプション・トラップ」も停止される予定である。新しい規則では、企業は次のことをしなければならない:
Provide clearer information to consumers before they enter a subscription contract; 消費者が購読契約を結ぶ前に、より明確な情報を提供すること;
Issue a reminder to consumers that a free trial or low-cost introductory offer is coming to an end, and a reminder before a contract auto-renews onto a new term; and 無料体験や低価格の紹介キャンペーンが終了すること、および契約が新しい期間に自動更新される前に消費者に注意喚起を行うこと。
Ensure consumers can exit a contract in a straightforward, cost-effective and timely way. 消費者が、わかりやすく、費用対効果の高い、タイムリーな方法で契約を終了できるようにする。
The enforcement of consumer rights law is also being strengthened. In the three years from 2018/19 to 2020/21, the CMA’s actions provided a direct financial benefit to consumers worth £7.7 billion. Today’s announcement will build on this success. 消費者の権利に関する法律の執行も強化されている。2018/19から2020/21までの3年間で、CMAの行動は77億ポンド相当の消費者に直接的な金銭的利益をもたらしました。本日の発表は、この成功をさらに発展させるものである。
The CMA will be able to award compensation to consumers and directly impose financial penalties for: CMAは、消費者に補償を与え、以下のような金銭的な罰則を直接科すことができるようになる:
Breaching consumer protection laws, of up to 10% of global annual turnover for businesses or up to £300,000 in the case of an individual; 消費者保護法に違反した場合、企業の場合は全世界の年間売上高の最大10%、個人の場合は最大30万ポンドまでの罰金を科す;
Breaching undertakings given to the CMA, with penalties worth up to 5% of a business’ annual global turnover or up to £150,000 for an individual, and additional daily penalties for continued non-compliance; and CMAに提出した約束に違反した場合、企業の年間売上高の最大5%、個人の場合は最大15万ポンドに相当する罰則、および違反が継続した場合はさらに日当が加算される。
Non-compliance with an information notice, concealing evidence or providing false information, with penalties worth up to 1% of a business’ annual global turnover or up to £30,000 for an individual, and additional daily penalties for continued non-compliance. 情報通知への不遵守、証拠の隠蔽、虚偽の情報の提供には、企業の年間グローバル売上高の最大1%または個人の最大3万ポンド相当の罰則があり、不遵守が続くとさらに日当が発生する。

 

 

法案はたぶんこちら...

 

⚫︎U.K. Parilament

・2023.04.26 Digital Markets, Competition and Consumers Bill

・[PDF

20230429-21618

 

目次...

・[DOCX] 仮対訳中

 

 

 

| | Comments (0)

金融庁 オペレーショナル・レジリエンス確保に向けた基本的な考え方

こんにちは、丸山満彦です。

金融庁が、「オペレーショナル・レジリエンス確保に向けた基本的な考え方」について、パブリックコメントを受けて確定版を公表していますね。。。

 

金融庁

・2023.04.27 「オペレーショナル・レジリエンス確保に向けた基本的な考え方」(案)に対するパブリック・コメントの結果等の公表について

 

・[PDF] (別紙1)  コメントの概要及び金融庁の考え方

・[PDF] (別紙2)  「オペレーショナル・レジリエンス確保に向けた基本的な考え方」

20230629-151807

 

・[PDF] (別紙3)  「オペレーショナル・レジリエンス確保に向けた基本的な考え方」(概要)

20230629-154211

 

・[PDF] (別紙4)  「オペレーショナル・レジリエンス確保に向けた基本的な考え方」(英訳)

 

 

パブコメ時...

・2022.12.16「オペレーショナル・レジリエンス確保に向けた基本的な考え方」(案)への意見募集について

 

 


オペレーショナル・レジリエンスのための諸原則、健全なオペレーショナル・リスク管理のための諸原則の改訂の公表時...

 

・2021.04.02 バーゼル銀行監督委員会による「オペレーショナル・レジリエンスのための諸原則」及び「健全なオペレーショナル・リスク管理のための諸原則の改訂」の公表について

・[PDF] 「オペレーショナル・レジリエンスのための諸原則」の公表について

20230629-153822

 

 

・[PDF] 「健全なオペレーショナル・リスク管理のための諸原則の改訂」の公表について

20230629-153712

 


・2020.08.13 バーゼル銀行監督委員会による市中協議文書 「オペレーショナル・レジリエンスのための諸原則」及び「健全なオペレーショナル・リスク管理のための諸原則の改訂」の公表について


・[PDF] バーゼル委による市中協議文書「健全なオペレーショナル・リスク管理のための諸原則(改訂版)」、「オペレーショナル・レジリエンスのための諸原則」について

20230629-153507

 


 

きっかけとなった、2020年8月のBISにおける「オペレーショナル・レジリエンスのための諸原則」の改訂

BIS

プレス・リリース

・2020.08.06 Basel Committee releases consultative documents on principles for operational risk and operational resilience

市中協議文書「オペレーショナル・レジリエンスのための諸原則」

・[PDF]  Consultative Document Principles for operational resilience

20230629-152856

・[DOCX] 仮訳

 

 

市中協議文書「健全なオペレーショナル・リスク管理のための諸原則の改訂」

・[PDF] Consultative Document Revisions to the principles for the sound management of operational risk

20230629-153105

・[DOCX] 仮訳

 

 


 

| | Comments (0)

米国 NISTIR 8460 (ドラフト) 状態機械複製とビザンチン敵対者のコンセンサス

こんにちは、丸山満彦です。

322ページの大作!!! かなり専門的... そして、、、カタカナだらけになる...

ざっとしか見ていないが、全部をすぐに理解するのは難しそう...

 

⚫︎ NIST - ITL

・2023.04.26 NISTIR 8460 (Draft) State Machine Replication and Consensus with Byzantine Adversaries

 

NISTIR 8460 (Draft) State Machine Replication and Consensus with Byzantine Adversaries NISTIR 8460 (ドラフト) 状態マシーンレプリケーションとビザンチン敵対者のコンセンサス
Announcement 通知
Most applications on the internet are run by centralized service providers that are a single point of failure: if the provider crashes or is malicious, users may lose access to the application, or it may return erroneous or inconsistent results. Consensus algorithms and state machine replication enable a set of mutually distrusting parties to emulate a centralized service in a fault-tolerant and distributed manner. Although the study of these algorithms began in the 1980s, research has accelerated dramatically since the advent of Bitcoin in 2008. インターネット上のほとんどのアプリケーションは、単一障害点である集中型サービスプロバイダーによって実行されている。プロバイダーがクラッシュしたり悪意があったりすると、ユーザーはアプリケーションにアクセスできなくなったり、誤った結果や矛盾した結果を返したりする可能性がある。コンセンサスアルゴリズムと状態マシンのレプリケーションにより、相互に不信感を持つパーティーの集合が、フォールトトレラントで分散した方法で集中型サービスをエミュレートすることができます。これらのアルゴリズムの研究は1980年代に始まったが、2008年のBitcoinの登場以降、研究が劇的に加速している。
This document provides a survey on consensus algorithms, state machine replication, and distributed ledger technology for readers who already possess a high-level understanding of distributed ledgers, such as that provided by NIST IR 8202, Blockchain Technology Overview. After introducing the properties of these systems, the models they operate in, and the subprotocols used to implement them, this document provides a detailed look at many of the most prominent permissioned and permissionless algorithms in the literature with a focus on performance and security considerations. Finally, a variety of related topics are discussed, including state machine design, interoperability, scalability mechanisms such as sharding and "layer 2" technologies, and how incentives can impact system security. 本書では、NIST IR 8202「ブロックチェーン技術の概要」のような分散型台帳に関する高度な理解をすでに持っている読者を対象に、コンセンサスアルゴリズム、状態マシーンレプリケーション、分散型台帳技術に関するサーベイを提供する。これらのシステムの特性、それらが動作するモデル、およびそれらを実装するために使用されるサブプロトコルを紹介した後、本書は、パフォーマンスとセキュリティの考慮事項に焦点を当て、文献で最も著名な許可付きおよび許可なしアルゴリズムの多くを詳細に見ている。最後に、状態マシン設計、相互運用性、シャーディングや「レイヤー2」技術などのスケーラビリティメカニズム、インセンティブがシステムセキュリティに与える影響など、さまざまな関連トピックについて議論する。
Abstract 概要

The objective of state machine replication (SMR) is to emulate a centralized service in a distributed, fault-tolerant fashion. To this end, a set of mutually distrusting processes must agree on the execution of client-submitted commands. Since the advent of Bitcoin, the idea of SMR has received significant attention. This document surveys both classical and more modern research on SMR and details many of the most significant permissioned and permissionless algorithms, their performance, and security considerations.

状態マシーンレプリケーション(SMR)の目的は、集中型サービスを分散型かつフォールトトレラントな方法でエミュレートすることである。そのためには、相互に不信感を抱く一連のプロセスが、クライアントから提出されたコマンドの実行に同意する必要がある。Bitcoinの登場以来、SMRの考え方は大きな注目を浴びている。本書では、SMRに関する古典的な研究と最新の研究の両方を調査し、最も重要なパーミッション付き、パーミッションなしのアルゴリズムの多く、その性能、およびセキュリティに関する考察を詳述する。

・[PDF] NISTIR 8460 (Draft)

20230428-233101

 

エグゼクティブサマリー

Executive Summary  エグゼクティブサマリー 
Since the deployment of Bitcoin on January 3rd, 2009, and its description by the pseudonymous Satoshi Nakamoto in 2008 [1], research and development of new, practical state machine replication (SMR) systems have surged. It has been stated that Bitcoin provided a solution to the "Byzantine Generals Problem." While not strictly true, it is a useful starting point for this document’s analysis of consensus algorithms, state machine replication, and distributed ledger technology (DLT).  2009年1月3日にBitcoinが登場し、2008年にSatoshi Nakamoto氏によって記述されて以来[1]、新しい実用的な状態マシーンレプリケーション(SMR)システムの研究・開発が急増している。ビットコインは、"ビザンチン将軍問題 "の解決策を提供したと言われている。厳密には事実ではないが、本書のコンセンサスアルゴリズム、状態マシーンレプリケーション、分散型台帳技術(DLT)の分析の出発点として有用である。
More generally, the goal of these types of problems is to allow a set of mutually distrusting processes (e.g., computer processes) to agree on the outcome of some deliberation despite the possibility that some of them are faulty or even malicious. In essence, the goal is to provide some service to clients that emulates a centralized service while operating as a distributed server. There are a variety of ways to formulate this problem (several are described in Section 1), but they all require some notion of agreement between the distributed processes. Research in this area began in the early 1980s when the Byzantine Agreement [2] and Byzantine Generals [3] problems were formulated. The frst algorithms to solve these problems were extremely ineffcient, and real-world usage did not become plausible until the celebrated Practical Byzantine Fault Tolerance (PBFT) algorithm was invented in 1999 [4].  より一般的には、この種の問題の目的は、相互に不信感を抱く一連のプロセス(例えばコンピュータプロセス)が、その一部が欠陥があったり悪意があったりする可能性があるにもかかわらず、ある審議の結果について合意することを可能にすることである。要するに、分散サーバーとして動作しながら、集中型サービスをエミュレートする何らかのサービスをクライアントに提供することが目的である。この問題の定式化には様々な方法があるが(いくつかの方法はセクション1で説明)、いずれも分散プロセス間の合意に関する何らかの概念を必要とする。この分野の研究は、1980年代前半にビザンチン合意[2]とビザンチン将軍[3]という問題が定式化されたときに始まった。これらの問題を解く最初のアルゴリズムは極めて非科学的であり、1999年に有名なPBFT(Practical Byzantine Fault Tolerance)アルゴリズムが発明されるまで、実世界での使用は妥当なものではなかった[4]。
Until the advent of Bitcoin, it was believed that all distributed agreement algorithms required a fxed set of identifable participants known in advance. Bitcoin was the frst protocol to demonstrate that consensus can be maintained across distributed processes in an open network with free entry and no fxed identifers. Today, the terms permissioned and permissionless are used to describe the difference between the two models.  Bitcoinが登場するまでは、すべての分散型合意アルゴリズムは、事前に知っている特定可能な参加者のセットを必要とすると信じられていた。Bitcoinは、自由な参加と身元確認ができないオープンネットワークにおいて、分散プロセス間でコンセンサスを維持できることを実証した最初のプロトコルである。今日、この2つのモデルの違いを表現するために、許可制と許可なしという用語が使われている。
Bitcoin also popularized the idea of a blockchain as the data structure over which the distributed processes maintain agreement. Since then, the concept has been generalized to distributed ledgers more broadly. A blockchain is an ordered list of client-submitted commands, or transactions, that modify the system state. Because all participants execute the same agreed-upon commands in the same order, participants are able to maintain a common view of the execution of a protocol-defned state machine. In addition to cryptocurrencies, state machine replication and the smart contracts they enable have been suggested for use in trade settlement, fnance, identity management, supply chains, healthcare, Internet of Things (IoT), and other industries.  また、ビットコインは、分散プロセスが合意を維持するためのデータ構造として、ブロックチェーンという考え方を普及させた。それ以来、この概念はより広範な分散型台帳に一般化されている。ブロックチェーンは、クライアントから提出されたコマンド(トランザクション)の順序付きリストであり、システムの状態を変更するものである。すべての参加者が同じ順序で合意したコマンドを実行するため、参加者はプロトコル定義された状態マシンの実行に関する共通のビューを維持することができます。暗号通貨に加え、状態マシンのレプリケーションとそれが可能にするスマートコントラクトは、貿易決済、フナンス、ID管理、サプライチェーン、ヘルスケア、モノのインターネット(IoT)、その他の産業での利用が提案されている。
0.1. Purpose and Scope  0.1. 目的および範囲 
This document is intended to serve as an advanced treatment of consensus algorithms, state machine replication, and distributed ledger technology. It may also function as a reference for consensus algorithms as it contains fairly detailed descriptions of a variety of algorithms that may be useful in different scenarios. The reader is expected to already have a highlevel understanding of distributed ledger technology, such as that provided by NIST IR 8202, Blockchain Technology Overview [5].  本書は、コンセンサスアルゴリズム、状態マシンのレプリケーション、分散型台帳技術の高度な扱いとして機能することを意図している。また、異なるシナリオで有用と思われる様々なアルゴリズムのかなり詳細な説明を含んでいるため、コンセンサスアルゴリズムのリファレンスとしても機能する可能性がある。読者は、NIST IR 8202, Blockchain Technology Overview [5]で提供されているような分散型台帳技術について、すでに高いレベルの理解を持っていることが期待される。
This document frst discusses the properties required of distributed consensus systems and the many kinds of subprotocols used to implement them in a variety of system models. Many algorithms, both permissioned and permissionless, are then described in detail. The discussion on permissioned consensus starts with the classic PBFT algorithm but focuses heavily on techniques that have been developed more recently and improve performance or enable security in more challenging environments. Permissionless algorithms are divided into categories based on the Sybil-resistance mechanism employed – that is, proof of work (PoW), proof of stake (PoS), and alternative mechanisms. There is extensive discussion on the unique security issues that arise in each case, the architectural reasons they exist, and techniques that can be used to mitigate them. Finally, a variety of more advanced topics are discussed, including scalability methods such as sharding and "layer 2" technologies, interoperability, state machine design, networking, and how incentives impact system security.  本書では、まず、分散型コンセンサスシステムに求められる特性と、それを様々なシステムモデルで実装するために使用される多くの種類のサブプロトコルについて説明する。そして、許可制と許可なしの両方の多くのアルゴリズムが詳細に説明されている。パーミッションコンセンサスに関する議論は、古典的なPBFTアルゴリズムから始まるが、より最近開発され、性能を向上させたり、より困難な環境でのセキュリティを可能にする技術に大きく焦点を当てている。許可なしアルゴリズムは、採用されたシビル耐性メカニズム、すなわちプルーフオブワーク(PoW)、プルーフオブ状態(PoS)、および代替メカニズムに基づくカテゴリに分けられる。また、それぞれのケースで発生するユニークなセキュリティ問題、それが存在するアーキテクチャ上の理由、そしてそれらを軽減するために使用できる技術について、広範な議論が行われている。最後に、シャーディングや「レイヤー2」技術などのスケーラビリティ手法、相互運用性、状態マシン設計、ネットワーキング、インセンティブがシステムセキュリティに与える影響など、より高度なトピックについてさまざまな議論を展開する。
0.2. Notes on Terminology  0.2. 用語に関する注意事項 
The distributed systems literature is rife with synonyms and inconsistent or imprecise use of terms. When the word "consensus" appears in this document, it is meant as a generalization that captures all of the agreement problems described, including various broadcast problems, Byzantine Agreement, and state machine replication. The term "broadcast" – when not being used to describe broadcast problems specifcally – is meant to convey the idea of simultaneously transmitting a message to multiple peers. In addition, the ill-defned term "decentralized," which is used frequently in the literature, is discussed in more detail in section 3.1.  分散システムの文献には、同義語や一貫性のない、あるいは不正確な用語の使い方があふれている。この文書で "consensus "という言葉が登場するとき、それは様々なブロードキャスト問題、ビザンチン合意、状態マシンのレプリケーションなど、説明されている合意問題のすべてを捕らえる一般化として意味されている。ブロードキャスト」という用語は、ブロードキャスト問題を具体的に説明するために使用されていない場合、複数のピアにメッセージを同時に送信するという考えを伝えることを意味している。さらに、文献で頻繁に使用されている定義が不明確な用語「分散型」については、3.1節で詳しく説明する。
Several groups of synonymous words appear in this document. Most of the time, terminology from the original source paper was used. For example, the terms "node," "replica," "process," "validator," and "miner" are used as synonyms but often in slightly different contexts, such as an entity that participates in consensus. Many protocols have leaders, which may be called the "primary" or "block producer." When a node is not the leader, it may be a "secondary" or "backup." A "malicious" node may be considered "Byzantine," "faulty," "corrupt," or "dishonest," whereas honest nodes are sometimes called "correct." When nodes eventually agree on a value, it is sometimes said that they "decide," "output," or "accept" the value.  本書では、いくつかの同義語のグループが登場する。ほとんどの場合、原典の論文の用語が使用されている。例えば、「ノード」、「レプリカ」、「プロセス」、「バリデータ」、 「マイナー」という用語は同義語として使用されるが、コンセンサスに参加するエンティティ など、少し異なる文脈で使用されることがよくある。多くのプロトコルにはリーダーが存在し、"プライマリ "または "ブロックプロデューサー "と呼ばれることがある。ノードがリーダーでない場合、"セカンダリー "または "バックアップ "となることがある。悪意のある」ノードは、「ビザンチン」、「フォルティ」、「コラプト」、「不誠実」とみなされることがあるが、正直なノードは「正しい」と呼ばれることがある。ノードが最終的にある値に合意した場合、その値を「決定」「出力」「受容」したと言われることもある。
The term "blockchain" is defned in NIST IR 8202, Blockchain Technology Overview:  ブロックチェーン」という用語は、NIST IR 8202「Blockchain Technology Overview」で定義されている: 
Blockchains are distributed digital ledgers of cryptographically signed transactions that are grouped into blocks. Each block is cryptographically linked to the previous one (making it tamper evident) after validation and undergoing a consensus decision. As new blocks are added, older blocks become more diffcult to modify (creating tamper resistance). New blocks are replicated across copies of the ledger within the network, and any conficts are resolved automatically using established rules. [5]  ブロックチェーンは、暗号的に署名された取引の分散型デジタル台帳で、ブロックにグループ化されている。ブロックチェーンは、暗号的に署名された取引の分散型デジタル台帳であり、ブロックにグループ化される。各ブロックは、検証および合意決定を経て、前のブロックと暗号的にリンクされる(改ざんが明らかになります)。新しいブロックが追加されると、古いブロックは修正が難しくなります(耐タンパ性が生まれます)。新しいブロックは、ネットワーク内の台帳のコピーにレプリケーションされ、混乱は確立されたルールを使って自動的に解決される。[5] 
While this is a good description of some specifc blockchains, the term is used here to only mean "a chain of blocks," capturing the fact that blocks are cryptographically linked together in a list. This makes blockchains a particular data structure within a broader set of distributed ledgers.  これは、ある特定のブロックチェーンの良い説明であるが、この用語は、ブロックが暗号的にリストでリンクされているという事実を捕らえ、「ブロックの連鎖」という意味でのみ使用されている。このため、ブロックチェーンは、より広範な分散型台帳の中の特定のデータ構造となっている。
0.3. Document Structure  0.3. 文書構造 
The rest of this document is organized as follows:  本書の残りの部分は、以下のように構成されている: 
•  Sections 1-3 are introductory material. Section 1 introduces the formal problems that are solved by the protocols described throughout the document and some of the model assumptions under which the problems can be solved. Section 2 describes the various sub-protocols and components that are often used in designing distributed ledger systems for SMR. Section 3 discusses the trade-offs between maintaining "decentralization" and the scalability of DLT systems.  ・セクション1~3は入門的な資料である。セクション1では、本書で説明するプロトコルが解決する形式問題と、その問題を解決するためのモデル前提のいくつかを紹介する。セクション2では、SMRの分散台帳システムを設計する際によく使われる様々なサブプロトコルとコンポーネントについて説明する。セクション3では、「分散性」の維持とDLTシステムのスケーラビリティのトレードオフについて議論する。
•  Sections 4-8 describe protocols for permissioned consensus. Section 4 describes Practical Byzantine Fault Tolerance (PBFT), the frst system design scalable enough to be used in practice. Section 5 describes more modern, high-performance consensus algorithms. Section 6 discusses algorithms that are designed for asynchronous networks where messages may be arbitrarily delayed. Section 7 surveys a variety of extra properties that one might desire from a permissioned consensus algorithm. Section 8 describes protocols where participants may select their own quorums of trusted replicas and need not be aware of the existence of every replica in the network.  ・セクション4-8では、許可制コンセンサスのためのプロトコルについて説明する。セクション4では、実用上十分なスケーラビリティを持つ最初のシステム設計であるPBFT(Practical Byzantine Fault Tolerance)について述べる。セクション5では、より現代的で高性能なコンセンサスアルゴリズムについて説明する。セクション6では、メッセージが任意に遅延する可能性のある非同期ネットワーク用に設計されたアルゴリズムについて説明する。セクション7では、許可されたコンセンサスアルゴリズムに望まれるであろう様々な追加的な特性について調査している。セクション8では、参加者が信頼できるレプリカのクォーラムを選択することができ、ネットワーク内のすべてのレプリカの存在を認識する必要がないプロトコルについて説明する。
•  Sections 9-11 discuss protocols that use proof of work (PoW) as a Sybil-resistance mechanism. Section 9 discusses aspects common to most PoW protocols. Section 10 describes Nakamoto Consensus – the protocol used by Bitcoin – in detail. Section 11 describes a wide variety of PoW consensus designs.  ・セクション9-11では、シビル耐性メカニズムとしてプルーフ・オブ・ワーク(PoW)を使用するプロトコルを説明する。セクション9では、ほとんどのPoWプロトコルに共通する側面について説明する。セクション10では、Bitcoinで使用されているプロトコルであるNakamoto Consensusについて詳しく説明している。セクション11では、様々なPoWコンセンサスの設計について説明する。
•  Sections 12-13 discuss protocols that use proof of stake (PoS) as a Sybil-resistance mechanism. Section 12 provides a historical overview of PoS and the security issues that need to be considered as part of PoS algorithm design. Section 13 describes a variety of specifc PoS protocols.  ・セクション12~13では、シビル耐性メカニズムとしてプルーフ・オブ・状態(PoS)を使用するプロトコルについて説明する。セクション12では、PoSの歴史的な概要と、PoSアルゴリズム設計の一部として考慮する必要があるセキュリティ問題について説明する。セクション13では、様々なPoSプロトコルを説明する。
•  Section 14 discusses protocols that use alternative Sybil-resistance algorithms, such as proof of space, as well as hybrid mechanisms.  ・セクション14では,空間証明のような代替シビル耐性アルゴリズムを使用するプロトコルや,ハイブリッドメカニズムについて説明する。
•  Sections 15-19 cover a variety of more advanced topics related to the design of DLT for SMR. Section 15 discusses the technical details of one of the more promising scalability methods: sharding. Section 16 discusses interoperability between systems. Section 17 covers topics related to the network layer of these protocols, such  ・セクション15-19では、SMRのためのDLTの設計に関連する、より高度なトピックを取り上げている。セクション15では、より有望なスケーラビリティ手法の1つであるシャーディングの技術的詳細について議論している。第16章では、システム間の相互運用性について論じている。第17節では、以下のようなプロトコルのネットワーク層に関連するトピックを取り上げる。
as how a node discovers new peers and communication strategies. Section 18 discusses state machine design considerations and some "layer 2" scaling protocols that can be built on an underlying replicated state machine. Section 19 considers a variety of incentive-related security issues that can arise in these systems.  ノードが新しいピアや通信戦略を発見する方法などである。セクション18では、状態マシンの設計に関する考察と、基本的なレプリケーション状態マシン上に構築できるいくつかの「レイヤー2」スケーリングプロトコルについて説明する。セクション19では、これらのシステムで発生しうるインセンティブに関連する様々なセキュリティ問題を考察する。

 

目次...

Executive Summary エグゼクティブサマリー
0.1. Purpose and Scope 0.1. 目的および範囲
0.2. Notes on Terminology 0.2. 用語に関する注意事項
0.3. Document Structure 0.3. 文書構成
1. Introducing the Problems 1. 問題の紹介
1.1. The Byzantine Generals Problem. 1.1. ビザンチン将軍問題
1.2. Broadcast Problems and Byzantine Agreement 1.2. ブロードキャスト問題とビザンチン合意
1.3. State Machine Replication (SMR) 1.3. 状態マシーンレプリケーション(SMR)
1.4. The Adversary 1.4. 敵対者
1.5. Timing Assumptions 1.5. タイミングの仮定
1.6. Permissioned vs. Permissionless 1.6. 許可制 vs. 許可無し
2. System Components 2. システム構成要素
2.1. Data Structures for Distributed Ledgers 2.1. 分散型台帳のためのデータ構造
2.2. Sybil-Resistance Mechanism 2.2. シビル耐性機構
2.3. Leader Election and Committee Selection 2.3. リーダー選出と委員会選出
2.4. Fork-Choice or Chain Selection Rules 2.4. フォーク・チョイスまたはチェーン選択ルール
2.5. Networking 2.5. ネットワーキング
2.6. Incentive Mechanism 2.6. インセンティブメカニズム
2.7. Cryptographic Primitives 2.7. 暗号プリミティブ
2.8. State Machine 2.8. 状態マシン
2.8.1. UTXO vs. Account Model. 2.8.1. UTXOとアカウントモデルとの比較。
2.8.2. Changing the Rules 2.8.2. ルールの変更
3. Scaling and "Decentralization" 3. スケーリングと "ディセントラリゼーション"
3.1. A Note on Decentralization 3.1. 分権に関する注意点
3.2. Full Nodes and Light Clients. 3.2. フルノードとライトクライアント
3.3. Scalability Challenges and Block Sizes 3.3. スケーラビリティの課題とブロックサイズ
4. Practical Byzantine Fault Tolerance (PBFT) 4. 実用的なビザンチンフォールトトレランス(PBFT)
4.1. PBFT View Change 4.1. PBFTビューチェンジ
4.2. PBFT Security 4.2. PBFTセキュリティ
4.3. Zyzzyva and Speculative Execution 4.3. ザイザイバと投機的実行
4.4. A Permissioned DAG: Blockmania 4.4. 許可制のDAG:ブロックマニア
5. Modern High-Performance Blockchains 5. 現代の高性能ブロックチェーン
5.1. Streamlined Blockchains 5.1. 合理化されたブロックチェーン
5.2. PiLi and PaLa 5.2. PiLiとPaLa
5.3. HotStuf 5.3. HotStuf
5.3.1. Sync HotStuf 5.3.1. シンクHotStuf
5.4. Further Optimizing Latency 5.4. レイテンシーのさらなる最適化
6. Asynchronous BFT 6. 非同期BFT
6.1. HoneyBadgerBFT 6.1. ハニーバジャーBFT
6.1.1. Mostéfaoui et al.’s Asynchronous Binary Agreement Protocol. 6.1.1. Mostéfaouiらの非同期バイナリ合意プロトコル。
6.1.2. Reducing HoneyBadgerBFT’s latency with BEAT 6.1.2. BEATによるHoneyBadgerBFTの待ち時間の削減
6.1.3. Improving ACS Performance with Dumbo 6.1.3. ダンボによるACSのパフォーマンス向上
6.2. An Asynchronous Permissioned DAG: Hashgraph 6.2. 非同期許可制のDAG:Hashgraph
7. Miscellaneous Permissioned BFT 7. その他の許可制のBFT
7.1. Fairly Ordering Transactions 7.1. 取引の公正な順序付け
7.2. Accountability Against Malicious Replicas 7.2. 悪意のあるレプリカに対する説明責任
7.3. Specially Designated Roles for Replicas 7.3. レプリカのための特別な役割
7.4. Deterministic Longest Chain Protocols 7.4. 決定論的な最長の鎖のプロトコル
7.5. Flexible BFT 7.5. 柔軟なBFT
7.6. View Change Algorithms  7.6. ビューチェンジアルゴリズム 
8. Localizing Trust Over Incomplete Networks With Open Membership 8. オープンメンバーシップを持つ不完全なネットワーク上での信頼の局所化
8.1. Stellar 8.1. ステラ
8.1.1. FBAS Background 8.1.1. FBASの背景
8.1.2. Stellar Consensus Protocol (SCP). 8.1.2. ステラ・コンセンサス・プロトコル(SCP)。
8.1.3. SCP Security 8.1.3. SCPのセキュリティ
8.2. Ripple 8.2. リップル
8.3. Cobalt 8.3. コバルト
8.3.1. Background 8.3.1. 背景
8.3.2. Broadcast in Incomplete Networks 8.3.2. 不完全なネットワークにおけるブロードキャスト
9. Proof of Work: The Basics. 9. プルーフ・オブ・ワークの 基本的なこと
9.1. Proof of Work and Sybil Resistance 9.1. プルーフ・オブ・ワークとシビルレジスタンス
9.1.1. Mining Pools 9.1.1. マイニングプール
9.1.2. Hardware: ASICs and ASIC Resistance 9.1.2. ハードウエア: ASICとASIC抵抗
9.1.3. Mining Centralization in Practice. 9.1.3. マイニングの集中化の実際
9.2. Difculty Adjustment Algorithms 9.2. 難易度調整アルゴリズム
9.3. Attacks Against Mining Pools: Pool-Hopping and Block Withholding 9.3. マイニングプールに対する攻撃: プールホッピングとブロックウィズホルディング
9.4. Selfsh Mining 9.4. セルフシュ・マイニング
10. Nakamoto Consensus. 10. ナカモトコンセンサス
10.1. Theory of Nakamoto Consensus 10.1. ナカモトコンセンサスの理論
10.1.1. Nakamoto Consensus With Chains of Variable Difculty 10.1.1. 難易度可変の連鎖を持つ中本コンセンサス
10.1.2. Additional Analyses of Nakamoto Consensus 10.1.2. 中本コンセンサスの追加分析
10.2. Violating the Nakamoto Consensus Security Assumptions 10.2. 中本コンセンサスのセキュリティ前提を破る
10.2.1. Network Delay and Block Propagation 10.2.1. ネットワーク遅延とブロック伝搬
10.2.2. Majority Hash Rate Attacks (51% Attacks) 10.2.2. Majority Hash Rate Attacks(51%の攻撃)
10.2.3. Hash Function Collisions 10.2.3. ハッシュ関数コリジョン
10.3. (More) Attacks Against Nakamoto Consensus 10.3.中本コンセンサスへの(さらなる)攻撃
11. More Proof-of-Work Protocols. 11. その他のプルーフ・オブ・ワーク・プロトコル
11.1. Nakamoto Consensus Protocol Adjustments 11.1. 中本コンセンサスプロトコルの調整
11.1.1. Weak Blocks and Pre-Consensus 11.1.1. ウィークブロックとプレコンセンサス
11.1.2. Bitcoin-NG 11.1.2. ビットコイン-NG
11.1.3. Tie-Breaking Schemes 11.1.3. タイブレーキングスキーム
11.1.4. DECOR+ 11.1.4. DECOR+(デコルプラス
11.1.5. Publish or Perish 11.1.5. パブリッシュ・オア・ペリッシュ
11.1.6. NC-Max. 11.1.6. NC-Max。
11.2. Greedy Heaviest-Observed Sub-Tree (GHOST) 11.2. 貪欲な最前線サブツリー(GHOST)
11.3. FruitChains 11.3. フルーツチェーン
11.4. Parallel Chain Approaches 11.4. パラレルチェーンアプローチ
11.4.1. Prism 11.4.1. プリズム
11.5. Proof-of-Work DAGs 11.5. プルーフオブワークDAG
11.5.1. Inclusive Blockchains and Confux 11.5.1. インクルーシブ・ブロックチェーンとコンフュ
11.5.2. SPECTRE and Phantom. 11.5.2. SPECTREとPhantom
11.5.3. Tangle 11.5.3. タングル
11.5.4. Meshcash. 11.5.4. メシュカシュ
11.6. Proof of Work for Committee Selection. 11.6. 委員会選出のためのプルーフ・オブ・ワーク
11.6.1. Hybrid Consensus 11.6.1. ハイブリッドコンセンサス
11.6.2. Solida 11.6.2. ソリダ
12. Proof of Stake: The Basics 12. プルーフ・オブ・ステーク 基礎編
12.1. Early Attempts at Proof of Stake 12.1. プルーフ・オブ・ステークの初期の試み
12.1.1. Nothing-at-Stake and Costless Simulation 12.1.1. ナッシングアットテイクとコストレスシミュレーション
12.1.2. Long-Range Attacks, Posterior Corruption, and Weak Subjectivity 12.1.2. 遠距離攻撃、事後的な腐敗、弱い主観性
12.1.3. Leader Election, Anonymity, and Security Against Adaptive Adver-saries 12.1.3. リーダー選出、匿名性、適応型アドヴァーサリに対する安全性
12.2. Leader Predictability and Security. 12.2. リーダーの予測可能性と安全性
12.3. Wealth Concentration, Block Rewards, and Centralization 12.3. 富の集中、ブロック報酬、集中化
13. Proof-of-Stake Protocols 13. プルーフオブ状態プロトコル
13.1. Chain-Based Proof of Stake 13.1. チェーンベースのプルーフオブ状態
13.1.1. Chains of Activity 13.1.1. 活動の連鎖
13.1.2. Snow White. 13.1.2. 白雪姫
13.1.3. Ouroboros Family: Praos and Genesis 13.1.3. ウロボロスファミリー プラオスとジェネシス
13.1.4. DFINITY 13.1.4. DFINITY
13.2. Ethereum 2.0 13.2. イーサリアム2.0
13.3. DAG-based Proof of Stake. 13.3. DAGベースのプルーフオブ状態
13.3.1. Fantômette 13.3.1. ファントメット
13.3.2. Avalanche 13.3.2. アバランシュ
13.3.3. Parallel Chains 13.3.3. パラレルチェーン
13.4. BFT-Based Proof of Stake 13.4. BFTに基づくプルーフオブ状態
13.4.1. Tendermint. 13.4.1. テンダーミント
13.4.2. Algorand. 13.4.2. Algorand(アルゴランド)。
14. Hybrid and Alternative Sybil-Resistance Mechanisms 14. ハイブリッドおよび代替シビル耐性機構
14.1. Proof of Space 14.1. 空間の証明
14.1.1. Spacemint 14.1.1. スペースミント
14.1.2. Chia. 14.1.2. チア
14.2. Proof of Activity. 14.2. 活性を証明する。
14.3. Checkpoints and Finality Gadgets. 14.3. チェックポイントとファイナリティガジェット。
14.3.1. Ad Hoc Finality Layers and Reorg Protection 14.3.1. アドホックなファイナリティレイヤーとリオーガプロテクション
14.3.2. Casper the Friendly Finality Gadget (FFG) 14.3.2. キャスパー・ザ・フレンドリー・ファイナリティ・ガジェット(FFG)
14.3.3. More Finality Gadgets and Checkpointing Protocols. 14.3.3. その他のファイナリティガジェットとチェックポイントプロトコル
15. Sharding 15. シャーディング
15.1. Intra-Shard Consensus. 15.1. シャード内コンセンサス
15.2. Identity Registration, Committee (Re)confguration, and Epoch Randomness 15.2. ID登録、委員会の(再)構成、およびエポックランダム性
15.3. Cross-Shard Transaction Processing 15.3. クロスシャードトランザクション処理
15.4. A Diferent Approach: Monoxide 15.4. 異質なアプローチ 一酸化炭素
15.5. Fraud Proofs and Data Availability 15.5. 不正の証明とデータの利用可能性
16. Interoperability. 16. 相互運用性
16.1. Cross-Chain Communication, Fair Exchange, and Atomic Swaps. 16.1. クロスチェーンコミュニケーション、フェアエクスチェンジ、アトミックスワップ
16.2. Bootstrapping Methods: Merged Mining and Proof of Burn 16.2. ブートストラップ法: マージド・マイニングとプルーフ・オブ・バーン
16.3. Sidechains, Relays, and Asset Transfer 16.3. サイドチェーン、リレー、アセットトランスファー
16.3.1. Permissionless Sidechains. 16.3.1. 許可なしのサイドチェイン
17. Networking 17. ネットワーキング
17.1. Networking for Permissionless Systems 17.1. 許可なしシステムのためのネットワーキング
17.1.1. Peer Discovery 17.1.1. ピアディスカバリー
17.1.2. Neighbor Selection. 17.1.2. ネイバーセレクション(Neighbor Selection)。
17.1.3. Communication Strategy 17.1.3. コミュニケーション戦略
18. State Machines. 18. 状態マシン
18.1. Virtual Machine Design. 18.1. 仮想マシンの設計
18.1.1. Concurrency in Smart Contracts. 18.1.1. スマートコントラクトにおける並行処理
18.1.2. Zero-Knowledge Proofs and Verifable Computation 18.1.2. ゼロ知識証明と検証可能な計算機
18.1.3. Delegating Execution 18.1.3. 実行の委譲
18.2. Layer 2 Protocols. 18.2. レイヤー2 プロトコル
18.2.1. Payment and State Channels. 18.2.1. 支払いチャネルと状態チャネル
18.2.2. Plasma and Rollups. 18.2.2. プラズマとロールアップ
19. Incentives. 19. インセンティブ
19.1. Block Rewards: Subsidies and Transaction Fees. 19.1. ブロックリワード 補助金とトランザクションフィー。
19.1.1. The Mining Gap and (the Absence of a) Block Subsidy 19.1.1. マイニングギャップと(ブロック補助金の不在)ブロック補助金
19.2. State Machines, Incentives, and Security. 19.2. 状態マシン、インセンティブ、セキュリティ
19.3. Alternative Transaction Fee Protocols. 19.3. 代替取引手数料プロトコル
References 参考文献

 

 

| | Comments (0)

2023.04.28

首相官邸 2022年度 Trusted Web に関する調査研究

こんにちは、丸山満彦です。

インターネットの欠点?

当時の技術で「簡単に繋がり、切れない」ことを優先したことが、時代を経て、当初の想定を超える多様な用途に利用されることになり、いろいろな課題が無視できない状況になってきた...ということでしょうかね。。。

この調査研究の趣旨について、この受託元であるNTTデータ研究所の2022.07.05のウェブページでは、次のような記載がありますね。。。


  • 様々な社会活動のデジタル化が進む一方で、フェイクニュース等のデータそのものの信頼への懸念、先鋭化していくプライバシーリスク、データの取扱いへの懸念からくる産業界におけるデータ活用の停滞、勝者総取り等によるエコシステムのサステナビリティへの懸念など、信頼できる自由なデータ流通(DFFT)を妨げる、様々な歪みが生じています

  • これらの懸念は、データそのものが信頼できない、データのやり取りをする相手を信頼できない、相手方におけるデータの取扱いを信頼できないといった現状が主な原因と考えられます

  • こうした中で、インターネット上で、DFFTを確保する枠組みを構築すべく、特定のサービスに依存せずに、個人・法人によるデータのコントロールを強化する仕組み、やり取りするデータや相手方を検証できる仕組みなどの新たな信頼の枠組みを付加することを目指す「Trusted Web」構想を実現していくことが重要になっています。

Trusted Webの実現は、DFFTを実現するための手段の一つということでしょうかね。。。

 

首相官邸 - Trusted Web推進協議会

 ・2022年度 Trusted Web に関する調査研究の成果物について

 


1.海外調査レポート(経済産業省)

分散型アイデンティティやトラストフレームワークなど、Trusted Webに関連した各国の取組(政策やユースケース)を調査しました。対象国は、米国、カナダ、EU、英国、インド、ニュージーランド、シンガポールです。


・[PDF

20230811-122110

1. 調査の背景・目的
1.1 本書の位置づけ
1.2
調査の背景・目的
1.3
調査方針
 1.3.1
調査の全体像
 1.3.2 基礎調査について
 1.3.3 詳細調査テーマについて
 1.3.4 詳細調査における調査対象国・地域について

 1.3.5
整理・分析について

2. 基礎調査:デジタルアイデンティに関する基礎的事項
2.1
アクセスコントロールとTrust
2.2
アイデンティティ
 2.2.1
アイデンティティ 
 2.2.2 デジタルアイデンティティ

2.3
アイデンティティの管理モデル
 2.3.1
現行の管理形態
 2.3.2 現行のアイデンティティ管理モデルにおけるペインポイント

2.4
トラストフレームワーク
2.5
自己主権型アイデンティティ/分散型アイデンティティ
 2.5.1 SSI/DID
の実装スキーム
 2.5.2 SSI/DID の実装手段・参照規格

3. 詳細調査結果
3.1
共通識別制度・デジタル ID に関する政策動向
 3.1.1
欧州(EU、ドイツ、イギリス)における調査結果
 3.1.2 北米(米国、カナダ)における調査結果
 3.1.3 オセアニア(オーストラリア、ニュージーランド)における調査結果
 3.1.4 アジア(シンガポール、インド)における調査結果
 3.1.5 共通識別番号・デジタル ID の政策動向に関する総括

3.2
トラストフレームワークの策定状況
 トラストフレームワーク(再掲)
 トラストフレームワーク調査方針
 3.2.1
欧州(EU、ドイツ、イギリス)における調査結果
 3.2.2 北米(米国、カナダ)における調査結果
 3.2.3 オセアニア(オーストラリア、ニュージーランド)における調査結果
 3.2.4 アジア(シンガポール、インド)における調査結果
 3.2.5 トラストフレームワークの策定状況に関する総括

3.3
自己主権型/分散型アイデンティティに関する取り組み・ユースケース
 3.3.1
欧州(EU、ドイツ、イギリス)における調査結果
 3.3.2  北米(米国、カナダ)における調査結果
 3.3.3  オセアニア(オーストラリア、ニュージーランド)における調査結果
 3.3.4  アジア(シンガポール、インド)における調査結果
 3.3.5  自己主権型/分散型アイデンティティに関する取り組みに関する総括

4. 整理・分析
4.1
調査テーマを総括した各国のデジタル ID 政策の方向性
4.2
各国の比較・分析
4.3 Trusted Web
との連携可能性、示唆・課題

 


2.Trusted Webに係る国際標準化動向調査(デジタル庁)

分散型識別子(Decentralized Identifier; DID)や検証可能なクレデンシャル(Verifiable Credential; VC)等、Trusted Webの実現に必要となる要素技術に関する標準化活動を行う国際標準化機関および団体を対象に、各機関・団体における活動状況を調査し整理すると共に、それらの活動とTrusted Webとの関連性をまとめています。


レポート概要版

・[PDF]

20230811-122546

 

 

いろいろと勉強になりますね。。。

 

 

 

| | Comments (0)

米国 連邦取引委員会 司法省 消費者金融保護局 雇用機会均等委員会 「自動化システムにおける差別やバイアスに対する執行努力に関する共同声明 」

こんにちは、丸山満彦です。

米国の連邦取引委員会、司法省、消費者金融保護局、雇用機会均等委員会が、「自動化システムにおける差別やバイアスに対する執行努力に関する共同声明 」を公表していますね。。。

欧州のAI法案で、原則禁止、高リスク分野の内容に関連するような話ですかね。。。

結構、高い決意表明のように読みました。。。

 

FTCのウェブページから...

⚫︎ Federal Trate Commission

・2023.04.25 FTC Chair Khan and Officials from DOJ, CFPB and EEOC Release Joint Statement on AI

FTC Chair Khan and Officials from DOJ, CFPB and EEOC Release Joint Statement on AI 連邦取引委員会のカーン委員長、司法省、消費者金融保護局 (CFPB) 、雇用機会均等委員会 (EEOC) の関係者がAIに関する共同声明を発表
FTC Chair Lina M. Khan and officials from three other federal agencies jointly pledged today to uphold America’s commitment to the core principles of fairness, equality, and justice as emerging automated systems, including those sometimes marketed as “artificial intelligence” or “AI,” become increasingly common in our daily lives – impacting civil rights, fair competition, consumer protection, and equal opportunity. FTCのリナ・M・カーン委員長と他の3つの連邦政府機関の関係者は本日、「人工知能」(AI)として販売されることもある自動システムが私たちの日常生活にますます浸透し、市民権、公正競争、消費者保護、機会均等に影響を及ぼす中、公正、平等、正義という米国の基本原則を堅持することを共同で誓約した。
Chair Khan and officials with the Civil Rights Division of the U.S. Department of Justice, the Consumer Financial Protection Bureau, and the U.S. Equal Employment Opportunity Commission released their joint statement outlining a commitment to enforce their respective laws and regulations to promote responsible innovation in automated systems. カーン議長および米国司法省公民権局、消費者金融保護局、米国雇用機会均等委員会の関係者は、自動化システムの責任あるイノベーションを促進するために、それぞれの法律や規制を強化することを表明する共同声明を発表した。
All four agencies have previously expressed concerns about potentially harmful uses of automated systems and resolved to vigorously enforce their collective authorities and to monitor the development and use of automated systems. 4つの機関はすべて、以前に自動化システムの潜在的に有害な使用について懸念を表明し、それぞれの集団的な権限を強力に執行し、自動化システムの開発と使用を監視することを決議している。
“We already see how AI tools can turbocharge fraud and automate discrimination, and we won’t hesitate to use the full scope of our legal authorities to protect Americans from these threats,” said Chair Khan. “Technological advances can deliver critical innovation—but claims of innovation must not be cover for lawbreaking. There is no AI exemption to the laws on the books, and the FTC will vigorously enforce the law to combat unfair or deceptive practices or unfair methods of competition.” カーン委員長は、次のように述べている。「我々はすでに、AIツールが詐欺を加速させ、差別を自動化することを目の当たりにしており、これらの脅威から米国人を守るために、法的権限の全範囲を行使することを躊躇しない。技術の進歩は重要なイノベーションをもたらすが、イノベーションを主張することが法律違反の隠れ蓑になってはいけない。FTCは、不公正または欺瞞的な行為や不公正な競争方法と闘うために、精力的に法律を執行していく。」

 

・[PDF] JOINT STATEMENT ON ENFORCEMENT EFFORTS AGAINST DISCRIMINATION AND BIAS IN AUTOMATED SYSTEMS

20230428-53539

 

JOINT STATEMENT ON ENFORCEMENT EFFORTS AGAINST DISCRIMINATION AND BIAS IN AUTOMATED SYSTEMS  自動化システムにおける差別やバイアスに対する執行努力に関する共同声明 
Rohit Chopra, Director of the Consumer Financial Protection Bureau,   消費者金融保護局長のロヒト・チョプラ氏、  
Kristen Clarke, Assistant Attorney General for the Justice Department’s Civil Rights Division,   司法省公民権局検事補のKristen Clarke氏、  
Charlotte A. Burrows, Chair of the Equal Employment Opportunity Commission, and   雇用機会均等委員会委員長のシャーロット・A・バローズと  
Lina M. Khan, Chair of the Federal Trade Commission   リナ・M・カーン 連邦取引委員会委員長  
issued the following joint statement about enforcement efforts to protect the public  from bias in automated systems and artificial intelligence:  は、自動化システムや人工知能のバイアスから国民を保護するための執行努力について、以下の共同声明を発表した: 
America’s commitment to the core principles of fairness, equality, and justice are deeply embedded in the federal laws that our agencies enforce to protect civil rights, fair competition, consumer protection, and equal opportunity. These established laws have long served to protect individuals even as our society has navigated emerging technologies. Responsible innovation is not incompatible with these laws. Indeed, innovation and adherence to the law can complement each other and bring tangible benefits to people in a fair and competitive manner, such as increased access to opportunities as well as better products and services at lower costs.   公平、平等、正義という基本原則に対する米国のコミットメントは、市民権、公正な競争、消費者保護、機会均等を守るために私たちの機関が執行する連邦法に深く組み込まれている。これらの確立された法律は、私たちの社会が新興の技術を利用する際にも、個人を保護するために長い間役立ってきた。責任あるイノベーションは、これらの法律と相容れないものではない。実際、イノベーションと法律の遵守は互いに補完し合い、公平で競争力のある方法で人々に具体的な利益をもたらすことができる。例えば、機会へのアクセスの増加や、より良い製品やサービスをより低コストで提供することができる。 
Today, the use of automated systems, including those sometimes marketed as “artificial intelligence” or “AI,” is becoming increasingly common in our daily lives. We use the term “automated systems” broadly to mean software and algorithmic processes, including AI, that are used to automate workflows and help people complete tasks or make decisions. Private and public entities use these systems to make critical decisions that impact individuals’ rights and opportunities, including fair and equal access to a job, housing, credit opportunities, and other goods and services. These automated systems are often advertised as providing insights and breakthroughs, increasing efficiencies and cost-savings, and modernizing existing practices. Although many of these tools offer the promise of advancement, their use also has the potential to perpetuate unlawful bias, automate unlawful discrimination, and produce other harmful outcomes.   今日、「人工知能」または「AI」として販売されているものを含む自動化システムの使用は、私たちの日常生活においてますます一般的になってきている。私たちは、「自動化システム」という言葉を、ワークフローを自動化し、人々がタスクを完了したり意思決定するのを助けるために使用される、AIを含むソフトウェアやアルゴリズムプロセスを意味する広義なものとして使用している。民間および公的機関は、これらのシステムを使用して、仕事、住宅、信用機会、その他の財やサービスへの公平かつ平等なアクセスを含む、個人の権利と機会に影響を与える重要な意思決定を行っている。これらの自動化されたシステムは、しばしば、洞察やブレークスルーを提供し、効率とコスト削減を高め、既存の慣行を近代化すると宣伝されている。これらのツールの多くは、進歩が期待できるものであるが、その使用は、違法なバイアスを永続させ、違法な差別を自動化し、その他の有害な結果をもたらす可能性もある。 
Our Agencies’ Enforcement Authorities Apply to Automated Systems  自動化されたシステムに適用される当局の取締り権限 
Existing legal authorities apply to the use of automated systems and innovative new technologies just as they apply to other practices. The Consumer Financial Protection Bureau, the Department of Justice’s Civil Rights Division, the Equal Employment Opportunity Commission, and the Federal Trade Commission are among the federal agencies responsible for enforcing civil rights, non-discrimination, fair competition, consumer protection, and other vitally important legal protections. We take seriously our responsibility to ensure that these rapidly evolving automated systems are developed and used in a manner consistent with federal laws, and each of our agencies has previously expressed concern about potentially harmful uses of automated systems. For example: 
既存の法的権限は、他の慣行に適用されるのと同様に、自動化システムや革新的な新技術の使用にも適用される。消費者金融保護局、司法省公民権局、雇用機会均等委員会、連邦取引委員会は、公民権、無差別、公正競争、消費者保護、その他の極めて重要な法的保護を執行する責任を負う連邦機関の一つである。我々は、急速に進化する自動システムが連邦法に合致した方法で開発・使用されることを保証する責任を真剣に受け止めており、各機関はこれまで、自動システムの潜在的な有害利用について懸念を表明してきました。例えば、以下のようなものである: 

• The Consumer Financial Protection Bureau (CFPB) supervises, sets rules for, and enforces numerous federal consumer financial laws and guards consumers in the financial marketplace from unfair, deceptive, or abusive acts or practices and from discrimination. The CFPB published a circular confirming that federal consumer financial laws and adverse action requirements apply regardless of the technology being used. The circular also made clear that the fact that the technology used to make a credit decision is too complex, opaque, or new is not a defense for violating these laws.    ・消費者金融保護局(CFPB)は、連邦消費者金融法の監督、規則制定、執行を行い、金融市場における消費者を不当、欺瞞的、虐待的行為や差別から保護している。CFPBは、連邦消費者金融法および不利益処分の要件は、使用されている技術に関係なく適用されることを確認する回覧を発表した。また、信用判断に使用される技術が複雑すぎる、不透明である、または新しいという事実は、これらの法律に違反することの抗弁にはならないことを明らかにした。  
• The Department of Justice’s Civil Rights Division (Division) enforces constitutional provisions and federal statutes prohibiting discrimination across many facets of life, including in education, the criminal justice system, employment, housing, lending, and voting. Among the Division’s other work on issues related to AI and automated systems, the Division recently filed a statement of interest in federal court explaining that the Fair Housing Act applies to algorithm-based tenant screening services. ・司法省公民権局(Division)は、教育、刑事司法制度、雇用、住宅、融資、投票など、生活のさまざまな場面で差別を禁止する憲法条項と連邦法を執行している。AIや自動化システムに関連する問題に対する同課の他の活動の中で、同課は最近、連邦裁判所に、アルゴリズムに基づく入居審査サービスに公正住宅法が適用されることを説明する利害声明書を提出した。 
• The Equal Employment Opportunity Commission (EEOC) enforces federal laws that make it illegal for an employer, union, or employment agency to discriminate against an applicant or employee due to a person’s race, color, religion, sex (including pregnancy, gender identity, and sexual orientation), national origin, age (40 or older), disability, or genetic information (including family medical history). In addition to the EEOC’s enforcement activities on discrimination related to AI and automated systems, the EEOC issued a technical assistance document explaining how the Americans with Disabilities Act applies to the use of software, algorithms, and AI to make employment-related decisions about job applicants and employees. ・雇用機会均等委員会(EEOC)は、人種、肌の色、宗教、性別(妊娠、性自認、性的指向を含む)、国籍、年齢(40歳以上)、障害、遺伝情報(家族病歴を含む)を理由に、雇用主、組合、雇用機関が応募者や従業員を差別することを違法としている連邦法の施行者である。AIや自動化システムに関連する差別に関するEEOCのエンフォースメント活動に加え、EEOCは、求職者や従業員に関する雇用関連の判断を行うためのソフトウェア、アルゴリズム、AIの使用について、アメリカ障害者法の適用方法を説明した技術支援文書を発行した。
• The Federal Trade Commission (FTC) protects consumers from deceptive or unfair business practices and unfair methods of competition across most sectors of the U.S. economy by enforcing the FTC Act and numerous other laws and regulations. The FTC issued a report evaluating the use and impact of AI in combatting online harms identified by Congress. The report outlines significant concerns that AI tools can be inaccurate, biased, and discriminatory by design and incentivize relying on increasingly invasive forms of commercial surveillance. The FTC has also warned market participants that it may violate the FTC Act to use automated tools that have discriminatory impacts, to make claims about AI that are not substantiated, or to deploy AI before taking steps to assess and mitigate risks. Finally, the FTC has required firms to destroy algorithms or other work product that were trained on data that should not have been collected.  ・連邦取引委員会(FTC)は、FTC法およびその他多数の法律や規制を施行することにより、米国経済のほとんどの分野において、欺瞞的または不正な商習慣や不公正な競争方法から消費者を保護している。FTCは、議会が特定したオンライン上の害悪に対抗するためのAIの使用と影響を評価する報告書を発行した。同報告書は、AIツールが設計上不正確、バイアス、差別的である可能性があり、ますます侵襲的な形態の商業的監視に依存するインセンティブを与えるという重大な懸念について概説している。また、FTCは、差別的な影響を与える自動化ツールの使用、実証されていないAIに関する主張、リスクの評価と軽減のための措置を講じる前のAI導入は、FTC法に違反する可能性があると市場参加者に警告している。最後に、FTCは企業に対し、収集されるべきではなかったデータで訓練されたアルゴリズムやその他の作業成果物を破棄するよう求めている。
Automated Systems May Contribute to Unlawful Discrimination and Otherwise Violate Federal Law  自動化されたシステムは違法な差別を助長し、連邦法に違反する可能性がある。
Many automated systems rely on vast amounts of data to find patterns or correlations, and then apply those patterns to new data to perform tasks or make recommendations and predictions. While these tools can be useful, they also have the potential to produce outcomes that result in unlawful discrimination. Potential discrimination in automated systems may come from different sources, including problems with:  自動化されたシステムの多くは、膨大な量のデータからパターンや相関関係を見つけ出し、そのパターンを新しいデータに適用してタスクを実行したり、推奨や予測を行ったりします。これらのツールは有用である一方、違法な差別をもたらす結果をもたらす可能性もある。自動化されたシステムにおける潜在的な差別は、以下のようなさまざまな原因から生じる可能性がある: 
Data and Datasets: Automated system outcomes can be skewed by unrepresentative or imbalanced datasets, datasets that incorporate historical bias, or datasets that contain other types of errors. Automated systems also can correlate data with protected classes, which can lead to discriminatory outcomes.  データおよびデータセット: データおよびデータセット:自動化システムの結果は,代表的でない,あるいは不均衡なデータセット,過去のバイアスを組み込んだデータセット,あるいは他の種類のエラーを含むデータセットによって歪められることがある。また,自動化されたシステムは,データを保護されたクラスと相関させ,差別的な結果をもたらす可能性がある。
Model Opacity and Access: Many automated systems are “black boxes” whose internal workings are not clear to most people and, in some cases, even the developer of the tool. This lack of transparency often makes it all the more difficult for developers, businesses, and individuals to know whether an automated system is fair.   モデルの不透明性とアクセス: 自動化されたシステムの多くは「ブラックボックス」であり,その内部構造はほとんどの人,場合によってはツールの開発者でさえも明確ではない。このような透明性の欠如は,開発者,企業,そして個人にとって,自動化されたシステムが公正であるかどうかを知ることをより困難にしている場合がある。
Design and Use: Developers do not always understand or account for the contexts in which private or public entities will use their automated systems. Developers may design a system on the basis of flawed assumptions about its users, relevant context, or the underlying practices or procedures it may replace.  設計と使用: 開発者は,民間企業や公的機関が自動化システムを使用する際の状況を必ずしも理解したり,考慮したりしていない。開発者は,ユーザー,関連する文脈,またはシステムが置き換える可能性のある基本的な慣行や手順に関する誤った仮定に基づいて,システムを設計することがある。
Today, our agencies reiterate our resolve to monitor the development and use of automated systems and promote responsible innovation. We also pledge to vigorously use our collective authorities to protect individuals’ rights regardless of whether legal violations occur through traditional means or advanced technologies.    本日、両機関は、自動化システムの開発と利用を監視し、責任あるイノベーションを促進するという決意を改めて表明する。また、法的侵害が従来の手段によるものであれ、先端技術によるものであれ、個人の権利を保護するために、私たちの総力を結集して強力に取り組むことを誓う。  

 

 

この報告書で各省からでているガイダンス等は読んでいた方が良いですね。。。おそらく日本もこういうのをつくっていかないと思われます...

 

 

⚫︎Consumer Financial Protection Bureau (CFPB)

01_20230428060301

・2022.05.26 Consumer Financial Protection Circular 2022-03 - Adverse action notification requirements in connection with credit decisions based on complex algorithms

 

 

⚫︎Department of Justice’s Civil Rights Division 

02_20230428060301

・2023.01.09 Justice Department Files Statement of Interest in Fair Housing Act Case Alleging Unlawful Algorithm-Based Tenant Screening Practices

 

 

⚫︎Equal Employment Opportunity Commission (EEOC)

03_20230428060301

・2022.02 The Americans with Disabilities Act and the Use of Software, Algorithms, and Artificial Intelligence to Assess Job Applicants and Employees

 

 

⚫︎ Federal Trade Commission (FTC)

04_20230428060301

・2023.03.20 Chatbots, deepfakes, and voice clones: AI deception for sale

・2023.02.27 Keep your AI claims in check

・2022.10.18 [PDF] Joint Statement of Chair Lina M. Khan, Commissioner Rebecca Kelly Slaughter, and Commissioner Alvaro M. Bedoya In the Matter of Passport Auto Group Commission File No. 2023199 

・2022.06.16 FTC Report Warns About Using Artificial Intelligence to Combat Online Problems - Agency Concerned with AI Harms Such As Inaccuracy, Bias, Discrimination, and Commercial Surveillance Creep

・2022.03.04 FTC Takes Action Against Company Formerly Known as Weight Watchers for Illegally Collecting Kids’ Sensitive Health Data - WW International and its Kurbo App are required to delete data, destroy any algorithms, and pay a monetary penalty

・2021.04.19 Aiming for truth, fairness, and equity in your company’s use of AI

 

 

 




| | Comments (0)

2023.04.27

EU 議会 暗号資産に関する法案を承認

こんにちは、丸山満彦です。

EU議会が、暗号通貨を含む暗号資産の監督、消費者保護、環境保護に関する新たな共通ルール(MiCA)を承認しましたね。。。ビットコインや電子マネートークンなどの暗号資産の移転追跡し、疑わしい取引をブロックできるようにしています。。。

Crypto-assets: green light to new rules for tracing transfers in the EU 暗号資産:EUにおける移転追跡のための新ルールに青信号が灯る
Parliament endorsed the first EU rules to trace crypto-asset transfers, prevent money laundering, as well as common rules on supervision and customer protection. 欧州議会は、暗号資産の送金を追跡し、マネーロンダリングを防止するためのEU初の規則を承認し、監督と顧客保護に関する共通規則も承認した。
On Thursday, MEPs approved with 529 votes in favour to 29 against and 14 abstentions, the first piece of EU legislation for tracing transfers of crypto-assets like bitcoins and electronic money tokens. The text –which was provisionally agreed by Parliament and Council negotiators in June 2022- aims to ensure that crypto transfers, as is the case with any other financial operation, can always be traced and suspicious transactions blocked. The so-called “travel rule”, already used in traditional finance, will in future cover transfers of crypto assets. Information on the source of the asset and its beneficiary will have to “travel” with the transaction and be stored on both sides of the transfer. 木曜日、欧州議会は、ビットコインや電子マネートークンなどの暗号資産の移転追跡に関するEU初の法案を、賛成529票、反対29票、棄権14票で承認した。この文書は、2022年6月に議会と理事会の交渉担当者が暫定的に合意したもので、他の金融業務と同様に、暗号の送金を常に追跡し、疑わしい取引をブロックできるようにすることを目的としている。いわゆる「トラベルルール」は、伝統的な金融であるでに使用されているが、将来的には暗号資産の移転も対象となる。資産の出所と受取人に関する情報は、取引と一緒に「移動」し、送金の両側で保存されなければならない。
The law would also cover transactions above €1000 from so-called self-hosted wallets (a crypto-asset wallet address of a private user) when they interact with hosted wallets managed by crypto-assets service providers. The rules do not apply to person-to-person transfers conducted without a provider or among providers acting on their own behalf. この法律は、いわゆるセルフホストウォレット(個人ユーザーの暗号資産ウォレットアドレス)が、暗号資産サービスプロバイダーが管理するホストウォレットとやり取りする際の、1000ユーロを超える取引も対象とする予定である。この規則は、プロバイダーを介さずに行われる個人間送金や、自らを代行するプロバイダー間で行われる個人間送金には適用されない。
Uniform EU market rules for crypto-assets 暗号資産に関するEU統一市場ルール
Plenary also gave its final green light with 517 votes in favour to 38 against and 18 abstentions, to new common rules on the supervision, consumer protection and environmental safeguards of crypto-assets, including crypto-currencies (MiCA). The draft law agreed informally with the Council in June 2022 includes safeguards against market manipulation and financial crime. プレナリーはまた、暗号通貨を含む暗号資産の監督、消費者保護、環境保護に関する新たな共通ルール(MiCA)に対して、賛成517票、反対38票、棄権18票で最終的なGOサインを与えた。2022年6月に理事会と非公式に合意したドラフト法には、市場操作や金融犯罪に対する保護措置が盛り込まれている。
MiCA will cover crypto-assets that are not regulated by existing financial services legislation. Key provisions for those issuing and trading crypto-assets (including asset-reference tokens and e-money tokens) cover transparency, disclosure, authorisation and supervision of transactions. Consumers would be better informed about the risks, costs and charges linked to their operations. In addition, the new legal framework will support market integrity and financial stability by regulating public offers of crypto-assets. MiCAは、既存の金融サービス法では規制されない暗号資産を対象とする予定である。暗号資産(資産参照トークン、電子マネートークンを含む)の発行・取引業者に対する主要な規定は、取引の透明性、開示、認可、監督をカバーしている。消費者は、取引に関連するリスク、コスト、手数料について、よりよく知らされることになる。さらに、新しい法的枠組みは、暗号資産の公募を規制することで、市場の整合性と金融の安定性をサポートする。
Finally, the agreed text includes measures against market manipulation and to prevent money laundering, terrorist financing and other criminal activities. To counter money-laundering risks the European Securities and Markets Authority (ESMA) should set up a public register for non-compliant crypto assets service providers that operate in the European Union without authorisation. 最後に、合意された文書には、市場操作に対する対策、マネーロンダリング、テロ資金調達、その他の犯罪行為を防止するための対策が含まれている。マネーロンダリングリスクに対抗するため、欧州証券市場庁(ESMA)は、認可を受けずに欧州連合で活動する非適合暗号資産サービスプロバイダーの公開登録簿を設置する必要がある。
To reduce the high carbon footprint of crypto-currencies, significant service providers will have to disclose their energy consumption. 暗号通貨の高いカーボンフットプリントを削減するため、重要なサービスプロバイダーはエネルギー消費量を開示する必要がある。
Quotes by rapporteurs 報告者による引用
Stefan Berger (EPP, DE), lead MEP for the MiCA regulation, said: “This puts the EU at the forefront of the token economy with 10 000 different crypto assets. Consumers will be protected against deception and fraud, and the sector that was damaged by the FTX collapse can regain trust. Consumers will have all the information they need and all underlying risks around crypto-assets will have to be monitored. We secured that the environmental impact disclosure will be taken into account by investors in crypto assets. This regulation brings a competitive advantage for the EU. The European crypto-asset industry has regulatory clarity that does not exist in countries like the US.” MiCA規制のリードMEPであるStefan Berger(EPP、DE)は、次のように述べている: 「これにより、EUは1万種類の暗号資産を持つトークンエコノミーの最前線に立つことになる。消費者は欺瞞や詐欺から守られ、FTXの破綻でダメージを受けたセクターは信頼を取り戻すことができる。消費者は必要な情報をすべて得ることができ、暗号資産にまつわるすべての潜在的なリスクを監視する必要がある。私たちは、環境影響の開示が暗号資産の投資家に考慮されることを確保した。この規制は、EUに競争上の優位性をもたらすものである。欧州の暗号資産業界は、米国のような国にはない規制の明確性を持っている。"
Ernest Urtasun (Greens/EFA, ES), co-rapporteur for the Economic and Monetary Affairs Committee on crypto-asset transfers said: “Currently illicit flows in crypto-assets are moved swiftly across the world, with a high chance of never being detected. The Recast of the TFR will oblige crypto-asset service providers to detect and stop criminal crypto flows and also ensure that all categories of crypto companies are subject to the full set of anti-money laundering obligations. This will close a major loophole in our AML framework and implement in the EU the most ambitious travel rule legislation in the world so far, in full compliance with international standards.” 暗号資産移転に関する経済金融委員会の共同報告者であるErnest Urtasun (Greens/EFA, ES)は次のように述べた: 「現在、暗号資産の不正な流れは、高い確率で検出されることなく、世界中で迅速に移動している。TFRのRecastは、暗号資産サービスプロバイダーに犯罪的な暗号の流れを検知して停止することを義務付けるとともに、すべてのカテゴリーの暗号企業がマネーロンダリング防止義務一式の対象となることを保証するものである。これにより、AMLの枠組みにおける大きな抜け穴を塞ぎ、国際基準に完全に準拠した、これまで世界で最も野心的な旅行規則の法律をEUで実施することになる。"
Co-rapporteur for the Civil Liberties, Justice and Home Affairs Committee Assita Kanko (ECR, BE) said: “Parliament and Council have found a fair compromise that will make it safer for people of good will to hold and trade crypto assets. However, it will make it more difficult for criminals, terrorists and sanctions evaders to misuse crypto assets. Any administrative burden on crypto companies and innovators will be more than offset by the fact that we are unifying the currently fragmented European market that has 27 regulatory regimes.” 市民的自由・司法・内務委員会の共同報告者であるアシタ・カンコ(ECR、BE)は次のように述べた: 「議会と理事会は、善意の人々が暗号資産を保有し、取引することをより安全にするための公正な妥協点を見出した。しかし、犯罪者、テロリスト、制裁逃れ者が暗号資産を悪用することはより困難になる。暗号企業やイノベーターにかかる管理上の負担は、27の規制体制がある現在断片的な欧州市場を統一するという事実によって、十二分に相殺されるだろう。"
Next steps 次のステップへ
The texts will now have to be formally endorsed by Council, before publication in the EU Official Journal. They will enter into force 20 days later. この文書は今後、EU官報に掲載される前に、理事会で正式に承認される必要がある。施行はその20日後となる。
In adopting this legislation, Parliament is responding to citizens’ expectations to set safeguards and standards for the use of blockchain technology as expressed in Proposal 35(8) of the conclusions of the Conference on the Future of Europe. 本法案を採択することで、議会は、欧州未来会議の結論の提案35(8)で示された、ブロックチェーン技術の使用に関するセーフガードと基準を設定するという市民の期待に応えることになる。

 

 

(1)暗号資産の市場に関する欧州議会および理事会の規則の提案と指令(EU)2019/1937の改正に関する2023年4月20日の欧州議会立法決議

European Parliament legislative resolution of 20 April 2023 on the proposal for a regulation of the European Parliament and of the Council on Markets in Crypto-assets and amending Directive (EU) 2019/1937

・[PDF] [DOCX]

20230427-03320

 

・(2)資金及び特定の暗号資産の移転に伴う情報に関する欧州議会及び理事会の規則の提案に関する2023年4月20日の欧州議会立法決議(再掲載)

European Parliament legislative resolution of 20 April 2023 on the proposal for a regulation of the European Parliament and of the Council on information accompanying transfers of funds and certain crypto-assets (recast) 

・[PDF][DOCX]

20230427-03426

 


 

⚫︎まるちゃんの情報セキュリティ気まぐれ日記

・2023.03.29 米国 司法省 30億ドル以上の違法取引を処理したダークネット暗号通貨ミキサーのテイクダウンに成功 (2023.03.15)

・2023.03.28 金融庁 事務ガイドライン(第三分冊:金融会社関係(16 暗号資産交換業者関係)の一部改正

・2023.03.17 警察庁 令和4年におけるサイバー空間をめぐる脅威の情勢等について

・2023.02.11 米国 英国 ロシアを拠点とするサイバー犯罪組織「Trickbot」のメンバーに制裁を科す

・2023.01.04 世界経済フォーラム (WEF) 暗号通貨の未来はこうなる

・2022.12.30 Belfer Center: Web3関連のイベント(構築、投資、政策立案)(2022.10.20-12.01)

・2022.12.03 Interpol サイバー化された金融犯罪:インターポールの世界的な警察活動で1億3,000万米ドル(175億円)を阻止 (2022.11.24)

・2022.11.13 欧州議会 NIS2とデジタル・オペレーショナル・レジリエンス法を可決

・2022.10.15 警察庁 金融庁 NISC 北朝鮮当局の下部組織とされるラザルスと呼称されるサイバー攻撃グループによる暗号資産関連事業者等を標的としたサイバー攻撃について(注意喚起)

・2022.10.14 デジタル庁 Web3.0研究会 第1回 (2022.10.05) + 第2回 (2022.10.12)

 

 

| | Comments (0)

2023.04.26

参議院常任委員会調査室・特別調査室 サイバー犯罪条約第2追加議定書の概要 ― 国境を越えるサイバー犯罪捜査のための国際協力 ― (2023.04.14)

こんにちは、丸山満彦です。

サイバー犯罪条約 [PDF]  [wikipedia] の第2追加議定書は、国外のサーバー等に犯罪の証拠が保存されていることが増えていることから、これらの証拠の収集をより強力にすすめられるように、2017年に交渉を開始しし、日本も起草作業に関わり、2021年11月に欧州評議会で採択されたものです。

・ドメイン名の登録情報の開示

・インターネット・サービス・プロバイダが保有する情報の開示

・緊急事態における相互援助及びコンピュータ・データの迅速な開示

などがあります。。。2022年5月12日の署名式典で、米、伊などと共に日本も署名をしていますが、まだ国内で法制化はできていません。。。

で、これを法制化しようという動きなのでしょうかね。。。参議院常任委員会調査室・特別調査室が「サイバー犯罪条約第2追加議定書の概要 ― 国境を越えるサイバー犯罪捜査のための国際協力 ―」という文書を公表していますね。。。


⚫︎ 参議院常任委員会調査室・特別調査室

調査室作成資料 - 455号(令和5年4月14日) 特集:第211回国会の法律案等の紹介(1)

・2023.04.14 [PDF] サイバー犯罪条約第2追加議定書の概要 ― 国境を越えるサイバー犯罪捜査のための国際協力 ―

20230426-173627

 

外務省の資料

⚫︎ 外務省 - 条約

協力及び電子的証拠の開示の強化に関するサイバー犯罪に関する条約の第二追加議定書

議定書([PDF] 和文 / [PDF] 英文

20230426-174123

 

・[PDF] 説明

20230426-174130

・[PDF] 概要

20230426-174228

 

サイバー犯罪条約

・[PDF] 和文テキスト(訳文)

・[PDF] 説明書

 

⚫︎ Council of Europe

Convention on Cybercrime (ETS No. 185)

 

 


 

⚫︎ まるちゃんの情報セキュリティ気まぐれ日記

・2023.01.04 世界経済フォーラム (WEF) サイバー犯罪の取り締まりに国際的なルールが必要な理由

・2004.12.08 国家セキュリティ体制 米国の状況・・・

 

| | Comments (2)

経済産業省 ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン第2版 (2022.04.20)

こんにちは、丸山満彦です。

経済産業省から、ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドラインの第2版が公表されていました。。。


⚫︎ 経済産業省

・2023.04.20 ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン第2版


経済産業省では、産業分野別のサイバーセキュリティ確保の一環として、エレベーターや空調など多くの制御系機器を有するビル分野に関するステークホルダーが集まり、そのサイバーセキュリティ対策について議論する「ビルサブワーキンググループ」を設置し、「ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン第1版」

を公表しました。第1版の公表から約4年が経過する中、サイバー攻撃(インシデント)を受けた際に、その損害を最小限に抑え、復旧にかかる時間とコストを削減するための取組(インシデントレスポンス)の概要及び詳細な対策を共通編に組み込み、第2版として公表しました。


 

・[PDF] ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン第2版

20230426-163317

・[PDF] ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン第2版別紙

※第2版への改定に伴う第1版からの変更なし

20230426-163454

 

ビルシステムのサイバー・フィジカル・セキュリティ対策ガイドラインのページ...

ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン

 

 


 

⚫︎まるちゃんの情報セキュリティ気まぐれ日記

・2023.02.19 経済産業省 「ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン第2版(案)」及び「付属書 ビルシステムにおけるサイバー・フィジカル・セキュリティ対策インシデントレスポンス・ガイドライン(案)」に対する意見募集

・2022.10.31 経済産業省 ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン(個別編:空調システム)第1版 (2022.10.24)

 

 

| | Comments (0)

英国 GovAssure:英国政府のサイバーセキュリティの評価 (2023.04.20)

こんにちは、丸山満彦です。

すべての政府省庁、独立行政法人の一部が、GovAssureという新制度のもとでサイバーセキュリティのレビュー(監査のようなもの)を受けることになったようですよ。。。

・ベルファストで開催された、CyberUKで、ダウンデン内閣府大臣が発表したようです。。。

・GovAssureは、内閣府の政府セキュリティ・グループ (Cabinet Office’s Government Security Group: GSG) が国家サイバーセキュリティセンター (National Cyber Security Centre: NCSC) の支援を受けながらするようです。。。

・評価基準は、NSCSのサイバーアセスメントフレームワーク (Cyber Assement Framework: CAF) を使うようです。現在は2022年4月11日に改訂されたバージョン3.1です。。。

⚫︎ U.K. Gov

・2023.04.20 Government launches new cyber security measures to tackle ever growing threats

Government launches new cyber security measures to tackle ever growing threats ガバナンス、増え続ける脅威に対応するため、新たなサイバーセキュリティ対策を開始
New and enhanced cyber security measures will better protect the UK government’s IT systems, which run key services for the public, from growing cyber threats. サイバーセキュリティ対策が新たに強化され、国民に重要なサービスを提供する英国政府のITシステムを、増大するサイバー脅威からより安全に保護することができる。
From: Cabinet Office and The Rt Hon Oliver Dowden CBE MP From: 内閣府およびオリバー・ダウデン議員
・All government departments and a select number of arm’s length bodies to have their cyber security reviewed under new, more stringent measures. すべての政府省庁および独立行政法人の一部が、より厳格な新制度のもとでサイバーセキュリティのレビューを受けることになった。
・The new cyber security regime, known as GovAssure, will be run by the Government Security Group, part of the Cabinet Office. GovAssureとして知られる新しいサイバーセキュリティ体制は、内閣府の一部である政府セキュリティ・グループによって運営される予定である。
・GovAssure delivers on a key part of the Government Cyber Security Strategy by improving cyber resilience and help government organisations protect themselves from growing hostile cyber threats. GovAssureは、サイバーレジリエンスを改善することにより、政府サイバーセキュリティ戦略の重要な部分を実現し、政府組織が増大する敵対的なサイバー脅威から身を守るのを支援する。
New cyber security measures will increase the UK’s cyber resilience and protect the UK government’s essential IT functions from ever growing threats. Under the new rules, all central government departments will have their cyber health reviewed annually through new, more robust criteria. 新しいサイバーセキュリティ対策は、英国のサイバーレジリエンスを向上させ、英国政府に不可欠なIT機能を増大し続ける脅威から保護するものである。新しいルールの下で、すべての中央政府部門は、より強固な新しい基準によって、毎年サイバーの健全性を見直すことになる。
Known as GovAssure, the new cyber security scheme will be run by the Cabinet Office’s Government Security Group (GSG), with input from the National Cyber Security Centre (NCSC). GovAssureと呼ばれるこの新しいサイバーセキュリティ制度は、内閣府の政府セキュリティ・グループ(GSG)が、国家サイバーセキュリティセンター(NCSC)の意見を取り入れながら運営する予定である。
GovAssure was announced by Chancellor to the Duchy of Lancaster, Oliver Dowden, at a speech to CyberUK in Belfast. GovAssureは、ベルファストのCyberUKで行われた講演で、ランカスター領担当大臣のオリバー・ダウデン首相が発表した。
Chancellor of the Duchy of Lancaster, The Rt Hon Oliver Dowden said: ランカスター領担当大臣首相、オリバー・ダウデン閣下は次のように述べている:
"Cyber threats are growing, which is why we are committed to overhauling our defences to better protect government from attacks. Today’s stepped up cyber assurance will strengthen government systems, which run vital services for the public, from attacks. It will also improve the country’s resilience; a key part of our recent Integrated Review Refresh." 「私たちは、政府を攻撃から守るために、防御を強化することを約束する。本日のサイバーアシュアランスの強化は、国民にとって重要なサービスを運営する政府のシステムを攻撃から強化するものである。また、私たちが最近行った統合レビューのリフレッシュの重要な部分である、国のレジリエンスを向上させることになる。
GovAssure introduces a number of changes in the way government protects itself from cyber threats. These include: GovAssureは、政府がサイバー脅威から自らを保護する方法について、多くの変更を導入している。その内容は以下の通りである:
・Using NCSC’s Cyber Assessment Framework (CAF) to review the assurance measures all government departments have. The framework includes measures such as setting out indicators of good practice for managing security risk and protecting against a cyber attack and was designed for making critical national services resilient to attack. NCSC のサイバーアセスメント・フレームワーク(CAF)を使用し、すべての政府部門が持つ保証措置を見直す。このフレームワークには、セキュリティリスクのマネジメントやサイバー攻撃からの保護に関する優良事例の指標を示すなどの措置が含まれており、重要な国家サービスを攻撃に対してレジリエンスにするために設計されたものである。
・Departments will also be assessed by third parties to increase standardisation and validate results. 標準化と結果の検証のため、第三者による評価も行う。
・Centralised cyber security policy and guidance to help government organisations identify best practice. ・政府組織がベストプラクティスを特定するためのサイバーセキュリティ政策とガイダンスを一元化する。
In January 2022, the UK government launched the first ever Government Cyber Security Strategy (GCSS) which laid out the significant challenges facing government security and a clear vision for improving resilience. Today’s announcement delivers on a key part of the aim of the strategy of significantly hardening government systems from  cyber attack. 2022年1月、英国政府は史上初の「政府サイバーセキュリティ戦略(GCSS)」を発表し、政府のセキュリティが直面する重大な課題と、レジリエンスを向上させるための明確なビジョンを示した。本日の発表は、サイバー攻撃から政府システムを大幅に強化するという戦略の目的の重要な部分を実現するものである。
Government Chief Security Officer, Vincent Devine said: 政府の最高セキュリティ責任者であるVincent Devineは、次のように述べている:
"This is a transformative change in government cyber security. GovAssure will give us far greater visibility of the common cyber security challenges facing government. It will set clear expectations for departments, empower hard-working cyber security professionals to strengthen the case for security change and investment, and will be a powerful tool for security advocacy." 「これは、政府のサイバーセキュリティに変革をもたらすものである。GovAssureは、政府が直面する一般的なサイバーセキュリティの課題について、はるかに大きな可視性を与えてくれるだろう。各部門に明確な期待を持たせ、勤勉なサイバーセキュリティの専門家に力を与え、セキュリティの変更と投資の事例を強化し、セキュリティの提唱のための強力なツールとなるだろう」。
Lindy Cameron, CEO, National Cyber Security Centre said: 国家サイバーセキュリティセンターのCEOであるLindy Cameronは、次のように述べている:
"We are committed to ensuring the UK continues to be a leading global cyber nation, which is why we have supported the development of the Cyber Assessment Framework to improve the security of our most critical information systems." 「我々は、英国が世界をリードするサイバー国家であり続けることを約束する。そのため、最も重要な情報システムのセキュリティを向上させるために、サイバー評価フレームワークの開発をサポートした。」
"The government’s adoption of the Cyber Assessment Framework through GovAssure will significantly improve resilience." 「政府がGovAssureを通じてサイバーアセスメント・フレームワークを採用することで、レジリエンスを大幅に向上させることができる。」

 

ダウンデン氏の演説

・2023.04.19 CyberUK speechm

 

英国のサイバー戦略

 National Cyber Security Centre

2021.12.15 (news) Government publishes blueprint to protect UK from cyber threats

・2021.12.15 Policy paper National Cyber Strategy 2022

・[heml] National Cyber Strategy 2022

・[PDF] National Cyber Strategy 2022

20211217-55613

日本語訳 [Downloded]

20230221-170849

 


 

⚫︎ まるちゃんの情報セキュリティ気まぐれ日記

2022.01.26 英国 政府のサイバーセキュリティ戦略:2022年 - 2030年

・2021.12.17 英国 国家サイバー戦略

 

| | Comments (0)

米国 NIST SP 1800-39 データ格付の実践(初期ドラフト)

こんにちは、丸山満彦です。

NISTが、データ格付けについて、SP 1800-39A, Implementing Data Classification Practices の初期ドラフトを公開し、意見募集をしていますね。。。

重要なんだが、実践が難しい分野ですよね。。。

 

⚫︎ NIST - ITL

・2023.04.24 SP 1800-39 (Draft) Implementing Data Classification Practices (Preliminary Draft)

 

SP 1800-39 (Draft) Implementing Data Classification Practices (Preliminary Draft) SP 1800-39 (案) データ格付の実践(初期ドラフト)
Announcement 通知
The National Cybersecurity Center of Excellence (NCCoE) has published for comment Preliminary Draft NIST SP 1800-39A, Implementing Data Classification Practices.  National Cybersecurity Center of Excellence (NCCoE)は、ト NIST SP 1800-39A, データ格付の実践(初期ドラフ)を意見募集用に公開した。 
About the Project プロジェクトについて
Organizations are managing an increasing volume of data while maintaining compliance with policies for protecting that data. Those policies are driven by business, regulatory, data security, and privacy requirements. This publication can help organizations reduce the risk of data breaches, loss, and mishandling through data-centric security management, by demonstrating how to discover and classify data based on its characteristics regardless of where the data resides or how it is shared. 組織は、増え続けるデータを管理しながら、そのデータを保護するためのポリシーへの準拠を維持している。これらのポリシーは、ビジネス、規制、データセキュリティ、およびプライバシーの要件によって決定される。本書は、データの保存場所や共有方法に関係なく、データの特徴に基づいてデータを発見し格付する方法を示すことで、データ中心のセキュリティ管理によるデータ漏洩、損失、誤操作のリスク低減に貢献する。
The NCCoE and its collaborators are using commercially available technology to build interoperable data classification solutions for use cases. As the project progresses, this preliminary draft will be updated with supporting guidance, and additional use cases and volumes will also be released to solicit public comment. NCCoEとその協力者は、市販の技術を使用して、ユースケースに対応した相互運用可能なデータ格付ソリューションを構築している。プロジェクトの進行に伴い、この初期ドラフトは支援ガイダンスとともに更新され、追加のユースケースとボリュームも公開され、パブリックコメントが募集される予定である。

 

・[PDF] NIST SP 1800-39A iprd

20230426-130754

 

Executive Summary  エグゼクティブサマリー 
Organizations are managing an increasing volume of data while maintaining compliance with policies for protecting that data. Those policies are driven by business, regulatory, data security, and privacy requirements. This publication can help organizations reduce the risk of data breaches, loss, and mishandling through data-centric security management by demonstrating how to discover and classify data based on its characteristics regardless of where the data resides or how it is shared. As part of a zero-trust approach, security management depends on organizations knowing what data they have, what the data’s characteristics are, and the organization’s security and privacy requirements for that data. The example solutions in this guide focus on using data classification in various use cases to inform the protection of data that is used by an organization and shared between organizations. The guide’s use cases will demonstrate commercially available products that enable data classification. The first use case focuses on classifying data used in email messages exchanged within and between organizations.  組織は、増え続けるデータを管理しながら、そのデータを保護するためのポリシーへの準拠を維持している。これらのポリシーは、ビジネス、規制、データセキュリティ、およびプライバシーの要件によって決定される。本書は、データの保存場所や共有方法に関係なく、データを発見し、その特徴に基づいて格付する方法を示すことで、組織がデータ中心のセキュリティ管理によってデータ侵害、損失、誤操作のリスクを軽減するのに役立つ。ゼロトラスト・アプローチの一環として、セキュリティ管理は、組織がどのようなデータを持っているか、そのデータの特性は何か、そのデータに対する組織のセキュリティとプライバシーの要件は何かを知ることに依存する。本ガイドのソリューション例では、さまざまなユースケースでデータ格付を使用し、組織で使用され、組織間で共有されるデータの保護に情報を提供することに焦点を当てている。本ガイドのユースケースは、データ格付を可能にする市販の製品を示すものである。最初のユースケースは、組織内および組織間で交換される電子メールメッセージで使用されるデータの格付に焦点を当てている。
This 1800-series National Institute of Standards and Technology (NIST) publication documents how the National Cybersecurity Center of Excellence (NCCoE) and its collaborators are using commercially available technology to build interoperable data classification solutions for use cases. As the project progresses, this preliminary draft will be updated with supporting guidance, and additional use cases and volumes will also be released to solicit public comment.   この1800シリーズの米国国立標準技術研究所(NIST)の出版物は、National Cybersecurity Center of Excellence(NCCoE)とその協力者が、市販の技術を使用して、ユースケースのための相互運用可能なデータ格付ソリューションを構築する方法を文書化している。プロジェクトの進行に伴い、この予備的な草案はサポートするガイダンスで更新され、追加のユースケースとボリュームも公開され、パブリックコメントを募集する予定である。 
CHALLENGE  課題 
Significant challenges that have hindered effective use of data classification for protecting data include:  データ保護のためのデータ格付の効果的な利用を妨げている重大な課題は以下の通りである: 
§  The limited nature of actionable and interoperable standards for data classification across different regulated industry sectors means that many organizations do not use classifications that are consistent with those of their partners and suppliers to support various policies.   § 規制の異なる産業部門間でデータ格付に関する実用的で相互運用可能な標準が限られているため、多くの組織は、様々な方針をサポートするためにパートナーやサプライヤーの格付と一致する格付を使用していない。 
§  The lack of shared data classification schemes can result in data being classified and labeled inconsistently.   § データ格付のスキームが共有されていないため、データの格付やラベル付けに一貫性がない。 
§  Data being widely distributed across data centers, clouds, and endpoint devices complicates the process of establishing and maintaining data inventories.   § データは、データセンター、クラウド、エンドポイントデバイスに広く分散しているため、データインベントリの確立と維持のプロセスが複雑になっている。 
§  Data classifications and data handling requirements often change during the data lifecycle, requiring the capability to adjust to those changing requirements.  § データのライフサイクルの中で、データの格付や取り扱いの要件が変化することが多いため、変化する要件に対応する能力が必要とされる。
§  Organizational culture may not connect its data owners and business process owners with its data classification technology operators.  § 組織の文化が、データ所有者やビジネスプロセス所有者とデータ格付技術の運用者を結びつけていない場合がある。
This practice guide can help your organization:  このプラクティスガイドは、あなたの組織を支援する: 
§  Adopt, support, and implement interoperable data classification schemas   § 相互運用可能なデータ格付スキーマを採用し、サポートし、実装する。 
§  Mitigate the security and privacy risks of sharing data within and among organizations   § 組織内および組織間でデータを共有する際のセキュリティおよびプライバシーのリスクの低減  
§  Become familiar with commercially available solutions that can help classify data  § データの格付に役立つ市販のソリューションに精通する。
§  Develop and strengthen a common language for data classification  § データ格付の共通言語を開発・強化する。
SOLUTION  解決方法 
The NCCoE is collaborating with technology providers to build several example data classification solutions and demonstrate their ability to meet organizational data classification needs. The project’s objective is to define product-agnostic recommended practices for defining data classification schemes and communicating them to others. Organizations will also be able to use the recommended practices to inventory and characterize data for other security management purposes, such as prioritization of data in preparing the migration of systems, applications, and services to support post-quantum cryptographic algorithms.  NCCoEは、テクノロジープロバイダーと協力して、いくつかのデータ格付ソリューションの例を構築し、組織のデータ格付ニーズに対応する能力を実証している。このプロジェクトの目的は、データ格付スキームを定義し、それを他者に伝えるための、製品にとらわれない推奨事項を定義することである。また、この推奨プラクティスは、システム、アプリケーション、サービスをポスト量子暗号アルゴリズムに対応させるための移行準備におけるデータの優先順位付けなど、他のセキュリティ管理目的のためにデータのインベントリと特徴付けに使用することができるようになる予定である。
For the first example solution, the use case involves the creation, transmission, storage, and retrieval of email. The solution focuses on the classification and exchange of email messages and attachments within and among multiple organizations. Additional volumes of this publication will be released in the future. Volumes will document how organizations can apply zero-trust-aligned approaches to solve the challenge of exchanging data via email using data classification techniques. Future volumes will include data classification guidance, example solution architectures, demonstrations of the technology, and mapping relationships to support various government and industry-recommended practices.  最初のソリューション例では、電子メールの作成、送信、保存、および検索をユースケースとしている。このソリューションでは、複数の組織内および組織間で、電子メールメッセージと添付ファイルを格付して交換することに焦点を当てている。本書は、今後、続巻が発売される予定である。各巻では、データ格付技術を使用して電子メールによるデータ交換の課題を解決するために、組織がゼロ・トラスト・アラインド・アプローチをどのように適用できるかを文書化する予定である。将来的には、データ格付のガイダンス、ソリューションアーキテクチャーの例、テクノロジーのデモンストレーション、政府や業界が推奨するさまざまなプラクティスをサポートするためのマッピング関係などが含まれる予定である。
Our solution strategy follows an agile implementation methodology to build iteratively and incrementally while adapting or adding capabilities. Additional data classification use cases will be examined to address an increasing number of requirements and resource types.   当社のソリューション戦略は、アジャイル実装の方法論に従って、適応や機能追加を行いながら反復的かつ段階的に構築している。今後、さらに多くの要件やリソースに対応するため、データ格付のユースケースを検討する予定である。 
The following collaborators are working with NIST on this project.  このプロジェクトでは、以下の協力者がNISTと連携している。
Collaborators  協力者
ActiveNav  アクティブナビゲーション 
Adobe  アドビ 
GitLab  ギットラボ 
Google  グーグル 
Janusnet  ヤヌスネット 
JPMorgan Chase & Co.  JPMorgan Chase & Co. 
Quick Heal  クイックヒール 
Thales Trusted Cyber Technologies  タレス・トラステッド・サイバー・テクノロジーズ 
Trellix  トレリックス 
Virtru  ヴァーチャル 
While the NCCoE is using a suite of commercial products to address this challenge, this guide does not endorse these particular products, nor does it guarantee compliance with any regulatory initiatives. Your organization's information security experts should identify the products that will best integrate with your existing tools and IT system infrastructure. Your organization can adopt this solution or one that adheres to these guidelines in whole, or you can use this guide as a starting point for tailoring and implementing parts of a solution.  NCCoEはこの課題に対処するために一連の商用製品を使用しているが、本ガイドはこれらの特定の製品を推奨するものではなく、またいかなる規制イニシアチブへの準拠も保証するものではありません。組織の情報セキュリティ専門家は、既存のツールやITシステムインフラと最もよく統合できる製品を特定する必要があります。また、このガイドを出発点として、ソリューションの一部をカスタマイズして実装することもできる。
HOW TO USE THIS GUIDE  このガイドの使用方法 
Depending on your role in your organization, you might use this guide in different ways:  組織におけるあなたの役割に応じて、本ガイドをさまざまな方法で使用することができる: 
Business decision makers, including chief information security, business security officers, and technology officers can use this part of the guide, NIST SP 1800-39a: Executive Summary, to understand the drivers for the guide, the cybersecurity challenge we address, our approach to solving this challenge, and how the solution could benefit your organization.  最高情報セキュリティ責任者、ビジネスセキュリティオフィサー、技術責任者などのビジネス意思決定者は、本書のこの部分、NIST SP 1800-39a: Executive Summary を使用して、本書の目的、当社が取り組むサイバーセキュリティの課題、この課題を解決する当社のアプローチ、そのソリューションが組織にもたらすメリットについて理解できる。
Future releases of this publication will include guidance to assist people in the following roles:  本書の今後のリリースでは、以下の役割の人々を支援するためのガイダンスを掲載する予定である: 
Technology, security, and privacy program managers who are concerned with how to identify, understand, assess, and mitigate risk can use NIST SP 1800-39b: Approach, Architecture, and Security Characteristics, which describes what we built and why, including the risk analysis performed and the security/privacy control mappings.  リスクを特定、理解、評価、軽減する方法に関心のある技術、セキュリティ、プライバシーのプログラム管理者は、NIST SP 1800-39bを使用できる: アプローチ、アーキテクチャ、およびセキュリティ特性では、リスク分析の実施やセキュリティ/プライバシー制御のマッピングなど、私たちが構築したものとその理由を説明している。
IT professionals who want to implement an approach like this can make use of NIST SP 1800-39c: HowTo Guides, which provide specific product installation, configuration, and integration instructions for building the example implementations, allowing you to replicate all or parts of this project.   このようなアプローチを実施したいIT専門家は、NIST SP 1800-39cを活用することができる: このガイドでは、実装例を構築するための具体的な製品のインストール、構成、および統合の手順を提供しており、このプロジェクトのすべてまたは一部を複製することができる。 

 

 

| | Comments (0)

米国 NIST ホワイトペーパー(案) 「NIST サイバーセキュリティフレームワーク 2.0 コア」のディスカッションドラフト

こんにちは、丸山満彦です。

NISTが、Cybersecurity Frameworkの改訂をおこなっていますが、2.0 Coreのディスカッションドラフトが公表され、意見募集されていますね。。。

今までの、識別、防御、検知、対応、復旧の5つの機能から統治(Govern)が加わり6つの機能になっています。

また、それぞれのカテゴリー内でのサブカテゴリーの移動や統廃合もありますね。。。

 

CSF 2.0 Function  CSF 2.0機能  CSF 2.0 Category  CSF 2.0カテゴリー  CSF 2.0 カテゴリー識別子
Govern
(GV) 
統治
 (GV)
Organizational Context 組織的な背景  GV.OC 
Risk Management Strategy リスクマネジメント戦略  GV.RM 
Roles and Responsibilities 役割と責任  GV.RR 
Policies and Procedures 方針と手順  GV.PO 
Identify
(ID) 
識別
(ID)
Asset Management アセットマネジメント  ID.AM 
Risk Assessment リスクアセスメント  ID.RA 
Supply Chain Risk Management サプライチェーンリスクマネジメント  ID.SC 
Improvement 改善  ID.IM 
Protect
(PR) 
防御
(PR)
Identity Management, Authentication, and Access Control アイデンティティ管理、認証、アクセス制御  PR.AA 
Awareness and Training 意識向上とトレーニング  PR.AT 
Data Security データセキュリティ  PR.DS 
Platform Security プラットフォーム・セキュリティ  PR.PS 
Technology Infrastructure Resilience 技術基盤の強靭化  PR.IR 
Detect
(DE) 
検知
(DE) 
Adverse Event Analysis  有害事象の解析   DE.AN  
Continuous Monitoring  継続的なモニタリング   DE.AM
Respond
(RS) 
対応
(RS)
Incident Management インシデントマネジメント  RS.AM 
Incident Analysis インシデント分析  RS.AN 
Incident Response Reporting and Communication インシデント対応の報告・連絡  RS.CO 
Incident Mitigation インシデント低減  RS.MI 
Recover
(RC) 
復旧
(RC) 
Incident Recovery Plan Execution インシデント復旧計画の実行  RC.RP 
Incident Recovery Communication インシデント復旧コミュニケーション  RC.CO 

 

 

⚫︎ NIST - ITL

・2023.04.24 White Paper (Draft) Discussion Draft of the NIST Cybersecurity Framework 2.0 Core

White Paper (Draft) Discussion Draft of the NIST Cybersecurity Framework 2.0 Core ホワイトペーパー(案) NIST Cybersecurity Framework 2.0 Coreのディスカッション・ドラフト
Announcement 通知
This discussion draft identifies the potential Functions, Categories, and Subcategories (also called cybersecurity outcomes) of the NIST Cybersecurity Framework (CSF) 2.0 Core. NIST is releasing this document for discussion to inform the development of the complete NIST CSF 2.0 Draft. このディスカッションドラフトは、NIST サイバーセキュリティフレームワーク(CSF)2.0 コアの機能、カテゴリー、サブカテゴリー(サイバーセキュリティ成果とも呼ばれる)の候補を特定する。NIST は、完全な NIST CSF 2.0 ドラフトの開発に情報を提供するために、この文書を議論のために公開する。
This early draft of the NIST CSF 2.0 Core is preliminary—it is intended to increase transparency of the update process and promote discussion to generate concrete suggestions for improving the Framework. The draft covers cybersecurity outcomes across 6 Functions, 21 Categories, and 112 Subcategories (Tables 1 and 3). It also includes a sampling of the potential new CSF 2.0 Informative Examples column, to provide notional actions that interpret the CSF Subcategories (Table 2). The draft does not yet identify all Implementation Examples, Informative References, or other information that may be included in the CSF 2.0 Core. In addition to PDF and Excel formats, the final CSF 2.0 Core will be showcased through the online Cybersecurity and Privacy Reference Tool (CPRT) to provide a machine-readable format and updates to crosswalk and mappings to other resources. このNIST CSF 2.0 Coreの初期ドラフトは予備的なものであり、更新プロセスの透明性を高め、フレームワークの改善のための具体的な提案を生み出すための議論を促進することを目的としている。この草案は、6つの機能、21のカテゴリー、および112のサブカテゴリーにわたるサイバーセキュリティの成果を網羅している(表1および表3)。また、CSF 2.0 のサブカテゴリーを解釈する想定アクションを提供するために、新たに設けられる可能性のある「参考例」欄のサンプルも含まれている(表 2)。草案では、CSF 2.0 Core に含まれる可能性のあるすべての識別例、参考資料、その他の情報はまだ特定されていません。最終的な CSF 2.0 Core は、PDF や Excel 形式に加えて、オンラインの Cybersecurity and Privacy Reference Tool(CPRT)を通じて公開され、機械可読形式や他のリソースとのクロスウォークやマッピングの更新が提供される予定である。
The modifications from CSF 1.1 are intended to increase clarity, ensure a consistent level of abstraction, address changes in technologies and risks, and improve alignment with national and international cybersecurity standards and practices. While many organizations have told NIST the CSF 1.1 is still effective in addressing cybersecurity risks, NIST believes these changes are warranted to make it easier for organizations to address their current and future cybersecurity challenges more effectively. The NIST CSF has been widely used to reduce cybersecurity risks since initial publication in 2014; NIST is working with the community to ensure the CSF 2.0 is effective for the next decade. CSF 1.1からの改善は、明確性の向上、一貫した抽象度の確保、技術やリスクの変化への対応、国内外のサイバーセキュリティ基準や慣行との整合性の向上を目的としている。多くの組織がNISTに対して、CSF 1.1はサイバーセキュリティリスクに対処する上で依然として有効であると述べているが、NISTは、組織が現在および将来のサイバーセキュリティ上の課題に、より効果的に対処しやすくするために、これらの変更が正当化されるものと考えている。NIST CSFは、2014年の初版発行以来、サイバーセキュリティリスクの低減に広く利用されている。NISTは、CSF 2.0が今後10年間有効であることを確認するために、コミュニティと協力している。
Feedback on this discussion draft may be submitted to cyberframework@nist.gov at any time. Feedback will inform the complete NIST CSF 2.0 draft anticipated to be released for public comment this summer. このディスカッション・ドラフトに対するフィードバックは、いつでも cyberframework@nist.gov に提出することができる。 フィードバックは、今夏にパブリックコメントのために公開される予定の NIST CSF 2.0 の完全なドラフトに反映される。
NIST seeks feedback as to whether the cybersecurity outcomes address current cybersecurity challenges faced by organizations, are aligned with existing practices and resources, and are responsive to the comments. NIST seeks concrete suggestions about improvements to the draft, including revisions to Functions, Categories, and Subcategories, and submissions of omitted cybersecurity outcomes. NIST also requests feedback on the format, content, and scope of Implementation Examples; suggestions of possible Examples; and the appropriate level of abstraction between Subcategories and Examples. In addition, NIST requests feedback on the best way to showcase final modifications from CSF 1.1 to CSF 2.0 to ease transition. NISTは、サイバーセキュリティの成果が、組織が直面する現在のサイバーセキュリティの課題に対応しているか、既存の実務やリソースと整合しているか、コメントに対応しているか、といったフィードバックを求めている。NISTは、機能、カテゴリー、サブカテゴリーの改善や、省略されたサイバーセキュリティ成果の提出など、草案の改善に関する具体的な提案を求めている。また、NISTは、実装例の形式、内容、範囲、可能な実装例の提案、サブカテゴリーと実装例の間の適切な抽象度に関するフィードバックも求めている。さらに、NIST は、CSF 1.1 から CSF 2.0 への移行を容易にするために、最終的な修正を示す最良の方法についてフィードバックを求めている。
All relevant comments, including attachments and other supporting material, will be made publicly available on the NIST CSF 2.0 website. Personal, sensitive, or confidential business information should not be included. Comments with inappropriate language will not be considered. 添付資料やその他の補足資料を含む関連するコメントはすべて、NIST CSF 2.0 ウェブサイトで一般に公開される予定である。個人情報、機密情報、またはビジネス上の機密情報は記載しないこと。不適切な表現が含まれるコメントは考慮されない。

 

・[PDF] Discussion Draft of the NIST Cybersecurity Framework 2.0 Core

20230426-55351

 

・[DOCX] 仮訳途中...

 

ちなみに、CF1.1の機能とカテゴリーは...

機能 カテゴリー
識別
(ID)

   
資産管理(ID.AM): 自組織が事業目的を達成することを可能にするデータ、人員、デバイス、システム、施設が、識別され、組織の目的と自組織のリスク戦略における相対的な重要性に応じて管理されている。
ビジネス環境(ID.BE): 自組織のミッション、目標、利害関係者、活動が、理解され、優先順位付けが行われている。この情報は、サイバーセキュリティ上の役割、責任、リスクマネジメント上の意思決定を伝えるために使用されている。
ガバナンス(ID.GV): 自組織に対する規制、法律、リスク、環境、運用上の要求事項を、管理し、モニタリングするためのポリシー、手順、プロセスが理解されており、経営層にサイバーセキュリティリスクについて伝えている。
リスクアセスメント(ID.RA): 自組織は、(ミッション、機能、イメージ、評判を含む)組織の業務、組織の資産、個人に対するサイバーセキュリティリスクを把握している。
リスクマネジメント戦略(ID.RM): 自組織の優先順位、制約、リスク許容度、想定が、定められ、運用リスクに対する意思決定を支援するために利用されている。
サプライチェーンリスクマネジメント (ID.SC): 自組織の優先順位、制約、リスク許容度、想定が、定められ、サプライチェーンリスクマネジメントに関連するリスクに対する意思決定を支援するために利用されている。自組織は、サプライチェーンリスクを識別し、分析・評価し、管理するためのプロセスを定め、実装している。

防御 
(PR)

   

アイデンティティ管理、認証/アクセス制御(PR.AC): 物理的・論理的資産および関連施設へのアクセスが、認可されたユーザ、プロセス、デバイスに限定されている。また、これらのアクセスは、認可された活動およびトランザクションに対する不正アクセスのリスクアセスメントと一致して、管理されている。
意識向上およびトレーニング (PR.AT): 自組織の人員およびパートナーは、関連するポリシー、手順、契約に基づいた、サイバーセキュリティに関する義務と責任を果たせるようにするために、サイバーセキュリティ意識向上教育とトレーニングが実施されている。
データセキュリティ(PR.DS): 情報と記録(データ)が、情報の機密性、完全性、可用性を保護するための自組織のリスク戦略に従って管理されている。
情報を保護するためのプロセスおよび手順(PR.IP): (目的、範囲、役割、責任、経営コミットメント、組織間の調整について記した)セキュリティポリシー、プロセス、手順が、維持され、情報システムと資産の防御の管理に使用されている。
保守(PR.MA): 産業用制御システムと情報システムのコンポーネントの保守と修理が、ポリシーと手順に従って実施されている。
保護技術(PR.PT): 技術的なセキュリティソリューションが、関連するポリシー、手順、契約に基づいて、システムと資産のセキュリティとレジリエンスを確保するために管理されている。
検知
(DE)

  
異常とイベント(DE.AE): 異常な活動は、検知されており、イベントがもたらす潜在的な影響が、把握されている。
セキュリティの継続的なモニタリング(DE.CM): 情報システムと資産は、サイバーセキュリティイベントを識別し、保護対策の有効性を検証するために、モニタリングされている。
検知プロセス(DE.DP): 検知プロセスおよび手順が、異常なイベントに確実に気付くために維持され、テストされている。
対応
(RS)

    
対応計画(RS.RP): 対応プロセスおよび手順が、検知したサイバーセキュリティインシデントに対応できるように実施され、維持されている。
コミュニケーション(RS.CO): 対応活動が、内外の利害関係者との間で調整されている(例:法執行機関からの支援)。
分析 (RS.AN): 分析は、効果的な対応を確実にし、復旧活動を支援するために実施されている。
低減(RS.MI): 活動は、イベントの拡大を防ぎ、その影響を緩和し、インシデントを解決するために実施されている。
改善(RS.IM): 組織の対応活動は、現在と過去の検知/対応活動から学んだ教訓を取り入れることで改善されている。
復旧
(RC)


復旧計画(RC.RP): 復旧プロセスおよび手順は、サイバーセキュリティインシデントによる影響を受けたシステムや資産を復旧できるよう実行され、維持されている。
改善(RC.IM): 復旧計画およびプロセスが、学んだ教訓を将来の活動に取り入れることで改善されている。
コミュニケーション(RC.CO): 復旧活動は、内外の関係者(例:コーディネーティングセンター、インターネットサービスプロバイダ、攻撃システムのオーナー、被害者、他組織のCSIRT、ベンダ)との間で調整されている。

 


 

⚫︎ まるちゃんの情報セキュリティ気まぐれ日記

・2023.01.21 米国 NIST サイバーセキュリティフレームワークの改訂の方向性(CSF2.0に向けて...)

・2022.10.07 米国 NIST 国際的活動に関する最新情報:CSF2.0アップデートワークショップなど (2022.09.30)

 

| | Comments (0)

米国 NIST SP 1800-38A「耐量子暗号への移行」の初期ドラフト

こんにちは、丸山満彦です。

NISTが、耐量子暗号への移行について、SP 1800-38A, Migration to Post Quantum Cryptographyの初期ドラフトを公開し、意見募集をしていますね。。。

 

⚫︎ NIST - ITL

・2023.04.24 NCCoE Releases Preliminary Draft NIST SP 1800-38A, Migration to Post Quantum Cryptography for Public Comment

 

NCCoE Releases Preliminary Draft NIST SP 1800-38A, Migration to Post Quantum Cryptography for Public Comment NCCoE、NIST SP 1800-38A「耐量子暗号への移行」の初期ドラフトを公開し、パブリックコメントを実施
The National Cybersecurity Center of Excellence (NCCoE) has released a preliminary draft practice guide, NIST Special Publication (SP) 1800-38A, Migration to Post-Quantum Cryptography, for public comment. The comment period is open now through June 8, 2023. ナショナル・サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)は、実践ガイドの一次案「NIST Special Publication (SP) 1800-38A, 耐量子暗号への移行」を公開し、パブリックコメントを求めている。コメント期間は2023年6月8日までとなっている。
About the Project このプロジェクトについて
Advances in quantum computing could compromise many of the current cryptographic algorithms being widely used to protect digital information, necessitating replacement of existing algorithms with quantum-resistant ones. Previous initiatives to update or replace installed cryptographic technologies have taken many years, so it is critical to begin planning for the replacement of hardware, software, and services that use affected algorithms now so that data and systems can be protected from future quantum computer-based attacks.  量子コンピュータの進歩により、デジタル情報を保護するために広く使われている現在の暗号アルゴリズムの多くが危険にさらされる可能性があり、既存のアルゴリズムを量子耐性を持つものに置き換える必要がある。これまでの暗号技術の更新や置き換えには長い年月がかかっており、量子コンピュータを用いた将来の攻撃からデータやシステムを守るためには、影響を受けるアルゴリズムを使用するハードウェア、ソフトウェア、サービスの置き換え計画を今すぐ開始することが重要である。 
NIST has been soliciting, evaluating, and standardizing quantum-resistant public-key cryptographic algorithms (web). To complement this effort, the NIST National Cybersecurity Center of Excellence (NCCoE) is engaging with industry collaborators and regulated industry sectors and the U.S. Federal Government to bring awareness to the issues involved in migrating to post-quantum algorithms and to prepare the crypto community for migration.   NISTは、量子耐性公開鍵暗号アルゴリズム (web)
の募集、評価、標準化を行ってきた。この取り組みを補完するため、NIST National Cybersecurity Center of Excellence(NCCoE)は、産業界の協力者、規制産業部門、米国連邦政府と連携し、ポスト量子アルゴリズムへの移行に伴う問題への認識を高め、暗号コミュニティが移行に備えられるよう取り組んでいる。  
As the project progresses, this preliminary draft will be updated, and additional volumes will also be released for comment.  プロジェクトの進行に伴い、この一次的なドラフトは更新され、コメントのために追加のボリュームもリリースされる予定である。 

 

 

・2023.04.24 SP 1800-38 (Draft) Migration to Post-Quantum Cryptography: Preparation for Considering the Implementation and Adoption of Quantum Safe Cryptography (Preliminary Draft)

・[PDF] NIST SP 1800-38A iprd

20230426-51154

 

Executive Summary エグゼクティブサマリー 
Advances in quantum computing could compromise many of the current cryptographic algorithms being widely used to protect digital information, necessitating replacement of existing algorithms with quantum-resistant ones. Previous initiatives to update or replace installed cryptographic technologies have taken many years, so it is critical to begin planning for the replacement of hardware, software, and services that use affected algorithms now so that data and systems can be protected from future quantum computer-based attacks.  量子コンピュータの進歩により、デジタル情報を保護するために広く使われている現在の暗号アルゴリズムの多くが危険にさらされる可能性があり、既存のアルゴリズムを量子耐性を持つものに置き換える必要がある。これまでの暗号技術の更新や置き換えには長い年月がかかっており、量子コンピュータを用いた将来の攻撃からデータやシステムを守るためには、影響を受けるアルゴリズムを使用するハードウェア、ソフトウェア、サービスの置き換え計画を今すぐ開始することが重要である。
NIST has been soliciting, evaluating, and standardizing quantum-resistant public-key cryptographic algorithms (web). To complement this effort, the NIST National Cybersecurity Center of Excellence (NCCoE) is engaging with industry collaborators and regulated industry sectors and the U.S. Federal Government to bring awareness to the issues involved in migrating to post-quantum algorithms and to prepare the crypto community for migration.  NISTは、量子耐性公開鍵暗号アルゴリズム(web)の募集、評価、標準化を行ってきた。この取り組みを補完するため、NIST National Cybersecurity Center of Excellence(NCCoE)は、産業界の協力者、規制対象産業部門、米国連邦政府と連携し、ポスト量子アルゴリズムへの移行に伴う問題への認識を高め、暗号コミュニティが移行に備えられるよう取り組んでいる。
As the project progresses, this preliminary draft will be updated, and additional volumes will also be released for comment.  プロジェクトの進行に伴い、この予備的なドラフトは更新され、コメントのための追加ボリュームもリリースされる予定である。
CHALLENGE  課題 
Many of the cryptographic products, protocols, and services used today, in particular those using publickey algorithms like Rivest-Shamir-Adleman algorithm (RSA), Elliptic Curve Diffie Hellman (ECDH), and Elliptic Curve Digital Signature Algorithm (ECDSA), need to be updated, replaced, or significantly altered to use quantum-resistant algorithms. Many public-key algorithms and the protocols that use them will be vulnerable to attacks. A majority of today’s information and communication technology systems are not designed to support rapid adaptations of new cryptographic algorithms without making significant changes to the systems’ components.  現在使われている暗号製品、プロトコル、サービスの多く、特にRSA(Rivest-Shamir-Adleman algorithm)、ECDH(Elliptic Curve Diffie Hellman)、ECDSA(Elliptic Curve Digital Signature Algorithm)などの公開鍵アルゴリズムを使ったものは、量子耐性アルゴリズムを使ったものに更新、置き換え、または大幅に変更する必要がある。多くの公開鍵アルゴリズムとそれを使用するプロトコルは、攻撃に対して脆弱になる。現在の情報通信技術システムの大部分は、システムのコンポーネントを大幅に変更することなく、新しい暗号アルゴリズムに迅速に対応できるように設計されていない。
Furthermore, organizations are often unaware of the breadth and scope of application and functional dependencies on public-key cryptography within their products, services, and operational environments. As a result, an organization may not have complete visibility into and a full inventory of the use of cryptography across their organization. Having a complete inventory of key partners (Software as a Service, software vendors, etc.), where cryptography is being used (on-premises, over public internet, etc.) and what data is associated with those relationships will be instrumental to understand how to prioritize migration.  さらに、組織は、自社の製品、サービス、運用環境における公開鍵暗号の適用範囲や機能依存の広さについて知らないことが多い。その結果、組織は、組織全体における暗号の使用状況を完全に把握することができず、完全なインベントリーを持つことができない場合がある。主要なパートナー(SaaS、ソフトウェアベンダーなど)、暗号が使用されている場所(オンプレミス、公衆インターネットなど)、それらの関係に関連するデータを完全に把握することは、移行を優先する方法を理解するために重要である。
The new algorithms will likely not be drop-in replacements for the quantum-vulnerable algorithms. They may not have the same performance or reliability characteristics due to differences in key size, signature size, error handling, number of execution steps required to perform the algorithm, key establishment process complexity, etc. Maintaining connectivity and interoperability among organizations and organizational elements during the transition from quantum-vulnerable algorithms to quantumresistant algorithms will require careful planning. Furthermore, an organization may not have complete control over its cryptographic mechanisms and processes so that they can make accurate alterations to them without involving intense manual effort.  新しいアルゴリズムは、量子脆弱性アルゴリズムの代替品にはならないだろう。鍵のサイズ、署名のサイズ、エラー処理、アルゴリズムの実行に必要な実行ステップ数、鍵の確立プロセスの複雑さなどの違いにより、同じ性能や信頼性を持つとは限りません。量子脆弱性アルゴリズムから量子耐性アルゴリズムへの移行中に、組織や組織要素間の接続性や相互運用性を維持するためには、慎重な計画が必要となる。さらに、組織は暗号の仕組みやプロセスを完全に制御することができないため、手作業による多大な労力を要することなく、正確な変更を行うことができない可能性がある。
OUTCOME  アウトカム 
This project will initially develop example implementations, guidance, and recommended practices. Next, the project will demonstrate these examples supporting various use case scenarios. The findings from the demonstrations will be published in this practice guide, a NIST 1800-series Special Publication that is composed of multiple volumes targeting different topics and audiences defined by workstreams. The initial workstreams are scoped to the following:  このプロジェクトでは、まず、実装例、ガイダンス、推奨事項を作成する。次に、このプロジェクトは、様々なユースケースのシナリオをサポートするこれらの例のデモンストレーションを行う予定である。実証実験から得られた知見は、NIST 1800シリーズの特別刊行物であるこの実践ガイドに掲載される予定であり、ワークストリームによって定義されたさまざまなテーマや対象者を対象とした複数の巻から構成されている。最初のワークストリームは、次のような範囲に設定されている: 
•       Exploring the use of discovery tools to detect and report the presence and use of quantumvulnerable cryptography in systems and services, and the use of output from the tools to inform risk analysis for prioritizing actions to move away from quantum-vulnerable cryptography.   ・システムおよびサービスにおける量子脆弱性暗号の存在と使用を検知し報告するための検知ツールの使用,および量子脆弱性暗号からの脱却を優先するためのリスク分析へのツールの出力の利用を検討する。
•       Identifying interoperability and performance challenges that applied cryptographers may face when implementing the first quantum-resistant algorithms NIST will standardize in 2024. Initial interoperability and performance testing will incorporate QUIC, Transport Layer Security (TLS), Secure Shell (SSH), X.509 post-quantum certificate hybrid profiles to support traditional and post-quantum algorithms, and post-quantum-related operations of next-generation Hardware Security Modules (HSMs).   ・NISTが2024年に標準化する最初の量子耐性アルゴリズムを実装する際に、応用暗号技術者が直面する可能性のある相互運用性と性能の課題を識別する。初期の相互運用性および性能テストでは、QUIC、TLS(Transport Layer Security)、SSH(Secure Shell)、従来のアルゴリズムとポスト量子アルゴリズムをサポートするX.509ポスト量子証明書ハイブリッドプロファイル、次世代ハードウェアセキュリティモジュール(HSM)のポスト量子関連運用を組み込む予定である。 
Lessons learned from the workstreams, such as identifying gaps that exist between post-quantum algorithms and their integration into protocol implementations, will be shared with standards development organizations responsible for developing or updating standards that protect systems and related assets. Increased use of discovery tools will have the added benefit of detecting and reporting the use of cryptographic algorithms that are known vulnerable to non-quantum attacks. Further, our strategy for future phases will build iteratively to produce recommended practices for algorithm replacement, where in some cases interim hybrid implementations are necessary to maintain interoperability during migration.   ポスト量子アルゴリズムとプロトコル実装への統合の間に存在するギャップの特定など、ワークストリームから学んだ教訓は、システムや関連資産を保護する標準の開発または更新を担当する標準開発組織と共有される予定である。検知ツールの使用を増やすことで、非量子攻撃に対して脆弱であることが知られている暗号アルゴリズムの使用を検知し報告するという利点もある。さらに、将来のフェーズにおける我々の戦略は、アルゴリズムの置き換えのための推奨事項を作成するために反復的に構築するものであり、場合によっては、移行中の相互運用性を維持するために暫定的なハイブリッド実装が必要となる。 
We invite feedback from the larger PQC community of interest to identify future workstreams that will accelerate the adoption and deployment of PQC.   PQCの導入と展開を加速させる将来のワークストリームを特定するため、より大きなPQCコミュニティからのフィードバックを募集する。 
This preliminary practice guide can help your organization:  この予備的実践ガイドは、あなたの組織に役立つものである: 
•       Identify where, and how, public-key algorithms are being used on information systems  ・公開鍵アルゴリズムが情報システムのどこで,どのように使用されているかを識別する。
•       Mitigate enterprise risk by providing tools, guidelines, and practices that can be used by organizations in planning for replacement/update of hardware, software, and services that use quantum-vulnerable public-key algorithms  ・量子脆弱性公開鍵アルゴリズムを使用するハードウェア,ソフトウェア,サービスの交換/更新を計画する際に,組織が使用できるツール,ガイドライン,プラクティスを提供することにより,企業リスクを低減する。
•       Develop a risk-based playbook for migration involving people, processes, and technology   ・人,プロセス,テクノロジーを含む移行について,リスクに基づいたプレイブックを作成する。
This preliminary practice guide can help product and service producers:  この予備的実践ガイドは、製品およびサービスの生産者に役立つものである: 
•       Perform interoperability and performance testing for different classes of technology  ・異なるクラスの技術について,相互運用性と性能のテストを実施する。
•       Strengthen cryptographic discovery tools to produce actionable reports  ・暗号解読ツールを強化し,実用的なレポートを作成する。
•       Understand the potential impact that transitioning from quantumvulnerable algorithms could have on their products and services  ・量子脆弱性アルゴリズムからの移行が,自社の製品・サービスに与える潜在的な影響を理解する。
SOLUTION  解決方法 
The initial drafts for the Migration to Post-Quantum Cryptography project will demonstrate tools for the discovery of quantum-vulnerable algorithms in the following use case scenarios:  Migration to Post-Quantum Cryptographyプロジェクトの初期ドラフトでは、以下のユースケースシナリオにおいて、量子脆弱なアルゴリズムを発見するためのツールを実証する: 
•       Vulnerable algorithms used in cryptographic code or dependencies during a continuous integration/continuous delivery development pipeline   ・継続的インテグレーション/継続的デリバリー開発パイプラインにおいて,暗号コードまたは依存関係で使用される脆弱なアルゴリズム
•       Vulnerable algorithms used in network protocols, enabling traceability to specific systems using active scanning and historical traffic captures  ・ネットワークプロトコルで使用される脆弱なアルゴリズム。アクティブスキャンや過去のトラフィックキャプチャを使用して,特定のシステムへのトレーサビリティを可能にする。
•       Vulnerable algorithms used in cryptographic assets on end user systems and servers, to include applications and associated libraries  ・エンドユーザーシステムおよびサーバー上の暗号資産で使用される脆弱なアルゴリズム(アプリケーションおよび関連ライブラリを含む)。
The result will be a practical demonstration of technology and tools that can support organizations that use vulnerable public-key cryptography today in their planning of a migration roadmap using a riskbased approach.   その結果、脆弱な公開鍵暗号を現在使用している組織が、リスクベースアプローチを用いた移行ロードマップを計画する際に支援できる技術やツールを実用的に実証することになる。 
In tandem, industry collaborators will publish results/observations/findings from the interoperability and performance workstream in the form of additional practice guide volumes, white papers, or NIST Internal Reports (IRs) to mitigate the gaps and accelerate the adoption of post-quantum algorithms into the products, protocols, and services.  同時に、産業界の協力者は、相互運用性と性能のワークストリームから得られた結果/観察/発見を、追加のプラクティスガイドブック、ホワイトペーパー、またはNIST内部レポート(IR)の形で発表し、ギャップを緩和して、ポスト量子アルゴリズムの製品、プロトコル、サービスへの採用を加速させる。
The following is a list of the collaborating organizations:  以下は、協力団体のリストである: 
Consortium Members  コンソーシアムメンバー 
Amazon Web Services, Inc. (AWS) アマゾン ウェブ サービス株式会社(AWS)
Cisco Systems, Inc. シスコシステムズ株式会社
Crypto4A Technologies, Inc.  Crypto4A Technologies, Inc. 
CryptoNext Security クリプトネクストセキュリティ
Dell Technologies デル・テクノロジーズ
DigiCert デジサート
Entrust エントラスト
Information Security Corporation 情報セキュリティ株式会社
InfoSec Global インフォセック グローバル
ISARA Corporation 株式会社ISARA
JPMorgan Chase Bank, N.A. JPMorgan Chase Bank, N.A.
Microsoft  マイクロソフト 
National Security Agency (NSA) アメリカ安全保障局(NSA) 
PQShield PQShield(ピーキューシールド 
Samsung SDS Co., Ltd. サムスンSDS株式会社 
SandboxAQ  サンドボックスAQ 
Thales DIS CPL USA, Inc.  IBM Thales Trusted Cyber Technologies  タレス DIS CPL USA, Inc.  IBMタレストラステッドサイバーテクノロジー 
VMware, Inc. ヴイエムウェア株式会社 
wolfSSL ウルフSSL
While the NCCoE is using a suite of commercial products to address this challenge, this guide does not endorse these particular products, nor does it guarantee compliance with any regulatory initiatives. Your organization's information security experts should identify the products that will best integrate with your existing tools and IT system infrastructure. Your organization can adopt this solution or one that adheres to these guidelines in whole, or you can use this guide as a starting point for tailoring and implementing parts of a solution.  NCCoEはこの課題に対処するために一連の商用製品を使用しているが、本ガイドはこれらの特定の製品を推奨するものではなく、またいかなる規制イニシアチブへの準拠も保証するものではない。組織の情報セキュリティ専門家は、既存のツールやITシステムインフラと最もよく統合できる製品を特定する必要がある。また、このガイドを出発点として、ソリューションの一部をカスタマイズして実装することもできる。
HOW TO USE THIS GUIDE  このガイドの使用方法 
Depending on your role in your organization, you might use this guide in different ways:  組織におけるあなたの役割に応じて、本ガイドをさまざまな方法で使用することができる: 
Business decision makers, including chief information security and technology officers can use this part of the guide, NIST SP 1800-38a: Executive Summary, to understand the drivers for the guide, the cybersecurity challenge we address, our approach to solving this challenge, and how the solution could benefit your organization.  最高情報セキュリティ責任者や技術責任者などのビジネス意思決定者は、本書のこの部分、NIST SP 1800-38a: Executive Summary を使用して、本書の目的、当社が取り組むサイバーセキュリティの課題、この課題を解決する当社のアプローチ、およびそのソリューションが組織にどのような利益をもたらすかを理解することができる。
Future releases of this publication will include guidance to assist people in the following roles:  本書の今後のリリースでは、以下の役割の方々を支援するためのガイダンスを掲載する予定である: 
Technology, security, and privacy program managers who are concerned with how to identify, understand, assess, and mitigate risk can use NIST SP 1800-38b: Approach, Architecture, and Security Characteristics, which describes what we built and why, including the risk analysis performed and the security/privacy control mappings.  リスクを特定、理解、評価、緩和する方法に関心のある技術、セキュリティ、およびプライバシーのプログラム管理者は、NIST SP 1800-38b を使用できる: アプローチ、アーキテクチャ、およびセキュリティの特徴では、リスク分析の実施やセキュリティ/プライバシー制御のマッピングを含め、何をなぜ構築したかを説明している。
IT professionals who want to implement an approach like this can make use of NIST SP 1800-38c: HowTo Guides, which provide specific product installation, configuration, and integration instructions for building the example implementation, allowing you to replicate all or parts of this project.   このようなアプローチを実施したいITプロフェッショナルは、NIST SP 1800-38cを活用することができる: このガイドでは、実装例を構築するための具体的な製品のインストール、構成、および統合の手順を提供しており、このプロジェクトのすべてまたは一部を複製することができる。 



 

| | Comments (0)

2023.04.25

Five Eyesの国々が安全なスマートシティを作るための共同ガイダンスを発表 (2023.04.20)

こんにちは、丸山満彦です。

Five Eyesの国々が安全なスマートシティを作るための共同ガイダンスを発表していますね。。。U.K. のNCSCのウェブページから。。。

メタガイダンスのような形をとっていて、スマートシティー以外においても参考になるように思います。。。

 

⚫︎U.K. NCSC 

・2023.04.20 UK and international partners publish joint guidance to help communities create secure smart cities

UK and international partners publish joint guidance to help communities create secure smart cities 英国および国際的なパートナーが、地域社会が安全なスマートシティを作るための共同ガイダンスを発表
New guide, published during CYBERUK 2023, sets out cyber security best practices for creating connected places. CYBERUK 2023期間中に発表された新しいガイドでは、コネクテッド・プレイスを作るためのサイバーセキュリティのベストプラクティスが示されている。
The UK and international partners have published new advice today (Thursday) to help communities balance the cyber security risks involved with creating smart cities. 英国および国際的なパートナーは、本日(木)、コミュニティがスマートシティの構築に伴うサイバーセキュリティリスクのバランスを取るための新しい助言を発表した。
The new joint Cybersecurity Best Practices for Smart Cities guide, issued by the National Cyber Security Centre (NCSC) – a part of GCHQ – alongside agencies from the US, Australia, Canada and New Zealand, is designed to help ensure connected technologies are integrated into infrastructure in a way which protects systems and data. GCHQの一部である国家サイバーセキュリティセンター(NCSC)が、米国、オーストラリア、カナダ、ニュージーランドの機関 省と共同で発行した「スマートシティのためのサイバーセキュリティ・ベストプラクティス」は、システムとデータを保護する方法で接続技術をインフラに確実に統合できるようにすることを目的とした。
It highlights that smart cities, or connected places, have the potential to offer communities cost savings and quality-of-living improvements, but notes these benefits must be balanced with the risks. また、スマートシティやコネクテッド・プレイスは、地域社会にコスト削減や生活の質の向上をもたらす可能性があることを強調したが、これらの利点はリスクとバランスを取る必要があると指摘した。
These risks include an expanded and interconnected attack surface, risks from the supply chain and vulnerabilities that can be introduced by automating infrastructure operations. これらのリスクには、相互接続された攻撃対象の拡大、サプライチェーンからのリスク、インフラ運用の自動化によってもたらされる可能性のある脆弱性などが含まれる。
Communities considering adopting smart cities technologies are encouraged to consult this new guidance to understand the risks and how to mitigate them. スマートシティ技術の導入を検討したコミュニティは、この新しいガイダンスを参照して、リスクとその軽減方法を理解することが推奨される。
Lindy Cameron, NCSC CEO, said: NCSCのCEOであるLindy Cameronは、次のように述べている:
“Connected places have the potential to make everyday life safer and more resilient for citizens; however, it’s vital the benefits are balanced in a way which safeguards security and data privacy. 「しかし、セキュリティとデータ・プライバシーを保護する方法で、その利点のバランスをとることが重要である。
“Our new joint guidance will help communities manage the risks involved when integrating connected technologies into their infrastructure and take action to protect systems and data from online threats.” 「私たちの新しい共同ガイダンスは、地域社会がインフラに接続技術を組み込む際のリスクを管理し、システムやデータをオンラインの脅威から保護するための行動をとるのに役立つ。
The new guide has been published on day two of CYBERUK 2023, the UK’s flagship cyber security conference, which is taking place in Northern Ireland. この新しいガイドは、北アイルランドで開催されている英国の主要なサイバーセキュリティ会議であるCYBERUK 2023の2日目に発表された。
The NCSC has issued this guide with the Cybersecurity and Infrastructure Security Agency (CISA), the National Security Agency (NSA), the Federal Bureau of Investigation (FBI), the Australian Cyber Security Centre (ACSC), the Canadian Centre for Cyber Security (CCCS), and the New Zealand National Cyber Security Centre (NCSC-NZ). NCSCは、サイバーセキュリティ・基盤セキュリティ局(CISA)、国家安全保障局(NSA)、連邦捜査局(FBI)、オーストラリアサイバーセキュリティセンター(ACSC)、カナダサイバーセキュリティセンター(CCCS)、ニュージーランド国家サイバーセキュリティセンター(NCSC-NZ)とともに本ガイドを発行した。

 

・[PDF]

20230425-52040

 

 

Cybersecurity Best Practices for Smart Cities   スマートシティのためのサイバーセキュリティ・ベストプラクティス  
Publication: April 19, 2023  発行: 2023年4月19日 
United States Cybersecurity and Infrastructure Security Agency  米国サイバーセキュリティ・インフラストラクチャ・セキュリティ庁 
United States National Security Agency  米国国家安全保障局 
United States Federal Bureau of Investigation  米国連邦捜査局 
United Kingdom National Cyber Security Centre  英国ナショナル・サイバー・セキュリティ・センター 
Australian Cyber Security Centre   オーストラリア・サイバーセキュリティセンター  
Canadian Centre for Cyber Security   カナダ・センター・フォー・サイバー・セキュリティ  
New Zealand National Cyber Security Centre  ニュージーランド・ナショナル・サイバー・セキュリティ・センター 
Summary  概要 
This guidance is the result of a collaborative effort from the United States Cybersecurity and Infrastructure Security Agency (CISA), the United States National Security Agency (NSA), the United States Federal Bureau of Investigation (FBI), the United Kingdom National Cyber Security Centre (NCSC-UK), the Australian Cyber Security Centre (ACSC), the Canadian Centre for Cyber Security (CCCS), and the New Zealand National Cyber Security Centre (NCSC-NZ). These cybersecurity authorities—herein referred to as “authoring organizations”—are aware that communities may seek cost-savings and quality-of-life improvements through the digital transformation of infrastructure to create “smart cities.” In this context, the term “smart cities” refers to communities that:
本ガイダンスは、米国サイバーセキュリティ・基盤セキュリティ局(CISA)、米国国家安全保障局(NSA)、米国連邦捜査局(FBI)、英国国家サイバーセキュリティセンター(NCSC-UK)、オーストラリアサイバーセキュリティセンター(ACSC)、カナダサイバーセキュリティセンター(CCCS)、ニュージーランド国家サイバーセキュリティセンター(NCSC-NZ)による共同作業の結果、作成された。これらのサイバーセキュリティ当局(以下、「作成機関」と呼ぶ)は、地域社会がインフラのデジタル化を通じてコスト削減や生活の質の向上を求め、「スマートシティ」を実現する可能性があることを認識している。この文脈では、「スマートシティ」という用語は、以下のようなコミュニティを指す:  
•       Integrate information and communications technologies (ICT), community-wide data, and intelligent solutions to digitally transform infrastructure and optimize governance in response to citizens’ needs.   ・情報通信技術(ICT),コミュニティ全体のデータ,インテリジェントなソリューションを統合し,インフラをデジタルに変換し,市民のニーズに対応したガバナンスを最適化する。
•       Connect the operational technology (OT) managing physical infrastructure with networks and applications that collect and analyze data using ICT components—such as internet of things (IoT) devices, cloud computing, artificial intelligence (AI), and 5G.   ・物理インフラを管理する運用技術(OT)と、モノのインターネット(IoT)機器、クラウドコンピューティング、人工知能(AI)、5GなどのICTコンポーネントを使用してデータを収集・分析するネットワークやアプリケーションを接続する。 
Note: Terms that also refer to communities with this type of integration include “connected places,” “connected communities,” and “smart places.” The communities adopting smart city technologies in their infrastructure vary in size and include university campuses, military installations, towns, and cities.  注)このような統合が進んだコミュニティを指す言葉として、"接続された地域"、"接続されたコミュニティー"、"スマート地域 "もある。スマートシティ技術をインフラに採用しているコミュニティの規模はさまざまで、大学キャンパス、軍事施設、町、都市などが含まれる。
Integrating public services into a connected environment can increase the efficiency and resilience of the infrastructure that supports day-to-day life in our communities. However, communities considering becoming smart cities should thoroughly assess and mitigate the cybersecurity risk that comes with this integration. Smart cities are attractive targets for malicious cyber actors because of:   公共サービスをコネクテッド環境に統合することで、コミュニティでの日常生活を支えるインフラの効率と回復力を高めることができる。しかし、スマートシティ化を検討しているコミュニティは、この統合に伴うサイバーセキュリティリスクを十分に評価し、軽減する必要がある。スマートシティが悪意のあるサイバーアクターの魅力的なターゲットとなるのは、次のような理由からである:  
•       The data being collected, transmitted, stored, and processed, which can include significant amounts of sensitive information from governments, businesses, and private citizens.   ・収集,送信,保存,処理されるデータには,政府,企業,民間人からの大量の機密情報が含まれる可能性がある。
•       The complex artificial intelligence-powered software systems, which may have vulnerabilities, that smart cities sometimes use to integrate this data.   ・スマートシティがこのデータを統合するために使用する、複雑な人工知能を搭載したソフトウェアシステム(脆弱性がある場合がある)。 
The intrinsic value of the large data sets and potential vulnerabilities in digital systems means there is a risk of exploitation for espionage and for financial or political gain by malicious threat actors, including nation-states, cybercriminals, hacktivists, insider threats, and terrorists.  大規模なデータセットの本質的な価値とデジタルシステムの潜在的な脆弱性は、国家、サイバー犯罪者、ハクティビスト、内部脅威者、テロリストなどの悪意のある脅威行為者によって、スパイ活動や金銭的または政治的利益のために悪用されるリスクがあることを意味する。
No technology solution is completely secure. As communities implement smart city technologies, this guidance provides recommendations to balance efficiency and innovation with cybersecurity, privacy protections, and national security. Organizations should implement these best practices in alignment with their specific cybersecurity requirements to ensure the safe and secure operation of infrastructure systems, protection of citizens’ private data, and security of sensitive government and business data.  完全に安全なテクノロジーソリューションはない。コミュニティがスマートシティ技術を導入する際、このガイダンスは、効率とイノベーションとサイバーセキュリティ、プライバシー保護、および国家安全保障のバランスをとるための推奨事項を提供する。組織は、インフラシステムの安全・安心な運用、市民の個人データの保護、政府および企業の機密データのセキュリティを確保するため、それぞれのサイバーセキュリティ要件に合わせてこれらのベストプラクティスを実施する必要がある。
The authoring organizations recommend reviewing this guidance in conjunction with NCSCUK’s Connected Places Cyber Security Principles, ACSC’s An Introduction to Securing Smart Places, CCCS’s Security Considerations for Critical Infrastructure, CISA’s Cross-Sector Cybersecurity Performance Goals, Shifting the Balance of Cybersecurity Risk: Principles and Approaches for Security-by-Design and -Default, and Protecting Against Cyber Threats to Managed Service Providers and their Customers. 本ガイダンスは、NCSCUK の「接続された地域のサイバーセキュリティ原則」、ACSC の「スマート地域をセキュアにするための紹介」、CCCS の「重要インフラのためのセキュリティ考慮事項」、CISA の「分野横断サイバーセキュリティ成果ゴール」、「サイバーセキュリティリスクのバランスを変える:セキュリティ・バイ・デザインと - デフォルト、マネージドサービスプロバイダーのための原則とアプローチ」 と「マネージドサービスプロバイダーとその顧客に対するサイバー脅威から守るために」と合わせて確認するよう提言する。
Risk to Smart Cities  スマートシティのリスク 
Smart cities may create safer, more efficient, more resilient communities through technological innovation and data-driven decision-making; however, this opportunity also introduces potential vulnerabilities that, if exploited, could impact national security, economic security, public health and safety, and critical infrastructure operations. Cyber threat activity against OT systems is increasing globally, and the interconnection between OT systems and smart city infrastructure increases the attack surface and heightens the potential consequences of compromise.   スマートシティは、技術革新とデータ駆動型の意思決定を通じて、より安全で効率的、かつ強靭なコミュニティを構築する可能性がある。しかし、この機会は、悪用された場合、国家安全保障、経済安全保障、公衆衛生と安全、重要インフラの運用に影響を与える可能性のある潜在的な脆弱性も組み込んでしまっている。OTシステムに対するサイバー脅威活動は世界的に増加しており、OTシステムとスマートシティインフラの相互接続は、攻撃対象領域を拡大し、侵害の潜在的な結果を高めている。 
Smart cities are an attractive target for criminals and cyber threat actors to exploit vulnerable systems to steal critical infrastructure data and proprietary information, conduct ransomware operations, or launch destructive cyberattacks. Successful cyberattacks against smart cities could lead to disruption of infrastructure services, significant financial losses, exposure of citizens’ private data, erosion of citizens’ trust in the smart systems themselves, and physical impacts to infrastructure that could cause physical harm or loss of life. Communities implementing smart city technologies should account for these associated risks as part of their overall risk management approach. The authoring organizations recommend the following resources for guidance on cyber risk management:  スマートシティは、犯罪者やサイバー脅威者にとって、脆弱なシステムを悪用して重要インフラのデータや専有情報を盗んだり、ランサムウェアの運用を行ったり、破壊的なサイバー攻撃を仕掛ける魅力的なターゲットである。スマートシティに対するサイバー攻撃が成功すると、インフラサービスの中断、多額の金銭的損失、市民の個人情報の流出、スマートシステムそのものに対する市民の信頼の低下、身体的被害や人命の損失を引き起こす可能性のあるインフラへの物理的影響につながる恐れがある。スマートシティ技術を導入するコミュニティは、全体的なリスク管理手法の一環として、これらの関連リスクを考慮する必要がある。執筆団体は、サイバーリスク管理に関するガイダンスとして、以下のリソースを推奨する: 
• An introduction to the cyber threat environment (CCCS)
・サイバー脅威環境入門(CCCS)
• Control System Defense: Know the Opponent (CISA, NSA)
・制御システムの防御: 相手を知る (CISA,NSA)
Cyber threat bulletin: Cyber threat to operational technology  (CCCS)  ・サイバー脅威速報 運用技術に対するサイバー脅威(CCCS)
Cyber Assessment Framework (NCSC-UK)  ・サイバーアセスメントフレームワーク(NCSC-UK)
Expanded and Interconnected Attack Surface   拡張され相互接続された攻撃面  
Integrating a greater number of previously separate infrastructure systems into a single network environment expands the digital attack surface for each interconnected organization. This expanded attack surface increases the opportunity for threat actors to exploit a vulnerability for initial access, move laterally across networks, and cause cascading, crosssector disruptions of infrastructure operations, or otherwise threaten confidentiality, integrity, and availability of organizational data, systems, and networks. For example, malicious actors accessing a local government IoT sensor network might be able to obtain lateral access into emergency alert systems if the systems are interconnected.  これまで別々に存在していた多数のインフラシステムを単一のネットワーク環境に統合することで、相互接続された各組織のデジタル攻撃対象領域が拡大する。この攻撃対象領域の拡大により、脅威行為者が脆弱性を悪用して初期アクセスを行い、ネットワークを横断して移動し、インフラ運用に連鎖的・横断的な混乱を引き起こす、あるいは組織のデータ、システム、ネットワークの機密性、完全性、可用性を脅かす機会が増加する。例えば、地方自治体のIoTセンサーネットワークにアクセスした悪意ある行為者は、システムが相互接続されている場合、緊急警報システムに横からアクセスすることができるかもしれない。
Additionally, as a result of smart cities integrating more systems and increasing connectivity between subnetworks, network administrators and security personnel may lose visibility into collective system risks. This potential loss of visibility includes components owned and operated by vendors providing their infrastructure as a service to support integration. It is critical that system owners maintain awareness and control of the evolving network topology as well as the individuals/vendors responsible for the overall system and each segment. Ambiguity regarding roles and responsibilities could degrade the system’s cybersecurity posture and incident response capabilities. Communities implementing smart city technology should assess and manage these risks associated with complex interconnected systems.  さらに、スマートシティがより多くのシステムを統合し、サブネットワーク間の接続性を高めた結果、ネットワーク管理者やセキュリティ担当者は、集合的なシステムリスクに対する可視性を失う可能性がある。このような可視性の喪失の可能性には、統合をサポートするためにインフラをサービスとして提供するベンダーが所有・運営するコンポーネントも含まれる。システム所有者は、進化するネットワーク・トポロジーの認識と管理を維持し、システム全体と各セグメントに責任を持つ個人/ベンダーを把握することが重要である。役割と責任に関するあいまいさは、システムのサイバーセキュリティ態勢とインシデント対応能力を低下させる可能性がある。スマートシティ技術を導入するコミュニティは、複雑に相互接続されたシステムに関連するこれらのリスクを評価し、管理する必要がある。
Risks From the ICT Supply Chain and Vendors   ICTサプライチェーンとベンダーのリスク  
Communities building smart infrastructure systems often rely on vendors to procure and integrate hardware and software that link infrastructure operations via data connections. Vulnerabilities in ICT supply chains—either intentionally developed by cyber threat actors for malicious purposes or unintentionally created via poor security practices—can enable:   スマートインフラシステムを構築するコミュニティは、データ接続を介してインフラ運用をつなぐハードウェアとソフトウェアの調達と統合をベンダーに依存することが多い。ICTサプライチェーンの脆弱性は、サイバー脅威者が悪意を持って意図的に開発したもの、あるいはセキュリティの不備によって意図せずに作られたものであり、以下のような可能性がある:  
•       Theft of data and intellectual property,   ・データおよび知的財産の窃盗
•       Loss of confidence in the integrity of a smart city system, or   ・スマートシティのシステムの完全性に対する信頼性の喪失,または
•       A system or network failure through a disruption of availability in operational technology.   ・運用技術における可用性の中断によるシステムまたはネットワークの障害。
ICT vendors providing smart city technology should take a holistic approach to security by adhering to secure-by-design and secure-by-default development practices. Software products developed in accordance with these practices decrease the burden on resource-constrained local jurisdictions and increase the cybersecurity baseline across smart city networks. See the following resource for guidance on secure-by-design and secure-by-default development practices:  スマートシティ技術を提供するICTベンダーは、セキュアバイデザインやセキュアバイデフォルトの開発手法を遵守することで、セキュリティに対する全体的なアプローチを取るべきである。これらの手法に従って開発されたソフトウェア製品は、リソースに制約のある地方自治体の負担を軽減し、スマートシティネットワーク全体のサイバーセキュリティのベースラインを向上させることができる。セキュアバイデザインとセキュアバイデフォルトの開発手法に関するガイダンスについては、以下のリソースを参照すること: 
Shifting the Balance of Cybersecurity Risk: Principles and Approaches for Security-byDesign and -Default (CISA, NSA, FBI, ACSC, NCSC-UK, CCCS, BSI, NCSC-NL, CERT NZ, NCSC-NZ)  ・サイバーセキュリティリスクのバランスを変える:セキュリティ・バイ・デザインおよびデフォルトの原則とアプローチ(CISA,NSA,FBI,ACSC,NCSC-UK,CCCS,BSI,NCSC-NL,CERT NZ, NCSC-NZ)
The risk from a single smart city vendor could be much higher than in other ICT supply chains or infrastructure operations, given the increased interdependencies between technologies and basic or vital services. Organizations should consider risks from each vendor carefully to avoid exposing citizens, businesses, and communities to both potentially unreliable hardware and software and deliberate exploitation of supply chain vulnerabilities as an attack vector. This includes scrutinizing vendors from nation-states associated with cyberattacks, or those subject to national legislation requiring them to hand over data to foreign intelligence services.  テクノロジーと基本的または重要なサービスとの相互依存が高まっていることから、単一のスマートシティベンダーからのリスクは、他のICTサプライチェーンやインフラ運用よりもはるかに高くなる可能性がある。組織は、市民、企業、およびコミュニティを、信頼性の低いハードウェアやソフトウェアの可能性と、攻撃ベクトルとしてのサプライチェーンの脆弱性の意図的な悪用の両方にさらすことを避けるため、各ベンダーからのリスクを慎重に検討する必要がある。これには、サイバー攻撃に関連する国家のベンダーや、外国の諜報機関にデータを渡すことを義務付ける国内法の対象になっているベンダーを精査することも含まれる。
Illicit access gained through a vulnerable ICT supply chain could allow the degradation or disruption of infrastructure operations and the compromise or theft of sensitive data from utility operations, emergency service communications, or visual surveillance technologies. Smart city IT vendors may also have access to vast amounts of sensitive data from multiple communities to support the integration of infrastructure services—including sensitive government information and personally identifiable information (PII)—which would be an attractive target for malicious actors. The aggregation of sensitive data may provide malicious actors with information that could expose vulnerabilities in critical infrastructure and put citizens at risk. See the following resources for guidance on mitigating supply chain risks:  脆弱なICTサプライチェーンを通じて不正アクセスを受けると、インフラ運用の低下や中断、公共事業、緊急サービス通信、視覚監視技術などの機密データの侵害や盗難が発生する可能性がある。スマートシティのITベンダーは、インフラサービスの統合をサポートするために、複数のコミュニティから、政府の機密情報や個人を特定できる情報(PII)を含む膨大な量の機密データにアクセスできる可能性もあり、悪意ある行為者にとって魅力的なターゲットとなるでしょう。機密データの集約は、重要インフラの脆弱性を暴き、市民を危険にさらす可能性のある情報を悪意ある行為者に提供する可能性がある。サプライチェーンリスクを軽減するためのガイダンスについては、以下のリソースを参照すること: 
Information and Communications Technology Supply Chain Risk Management (CISA)  ・情報通信技術のサプライチェーンリスク管理(CISA)
•  Supply chain security guidance (NCSC-UK)  ・サプライチェーンセキュリティガイダンス (NCSC-UK) 
Identifying Cyber Supply Chain Risks (ACSC)  ・サイバーサプライチェーンリスクの特定(ACSC) 
• Cyber supply chain: An approach to assessing risk (CCCS)  ・サイバーサプライチェーンの リスク評価へのアプローチ(CCCS)
Automation of Infrastructure Operations  インフラ運用の自動化 
Smart cities can achieve efficiencies by automating operations, such as wastewater treatment or traffic management. Automation reduces the requirement for direct human control of those systems. Automation can also allow for better consistency, reliability, and speed for standardized operations. However, automation can also introduce new vulnerabilities because it increases the number of remote entry points into the network (e.g., IoT sensors and remote access points). The volume of data and complexity of automated operations—including reliance on third-party vendors to monitor and manage operations—can reduce visibility into system operations and potentially hinder real-time incident response.  スマートシティは、排水処理や交通管理などの業務を自動化することで効率化を図ることができる。自動化により、これらのシステムを人間が直接制御する必要性が低くなる。また、自動化によって、標準化された業務の一貫性、信頼性、スピードが向上する。しかし、自動化は、ネットワークへのリモートエントリーポイント(IoTセンサーやリモートアクセスポイントなど)の数を増やすため、新たな脆弱性をもたらす可能性もある。また、自動化された運用のデータ量や複雑さ(運用の監視・管理をサードパーティベンダーに依存することも含む)は、システム運用の可視性を低下させ、リアルタイムの事故対応を妨げる可能性がある。
Automation for infrastructure operations in smart city environments may require the use of sensors and actuators that increase the number of endpoints and network connections that are vulnerable to compromise. The integration of AI and complex digital systems could introduce new unmitigated attack vectors and additional vulnerable network components. Reliance on an AI system or other complex systems may decrease overall transparency into the operations of networked devices as these systems make and execute operational decisions based on algorithms instead of human judgment.  スマートシティ環境におけるインフラ運用の自動化では、センサーやアクチュエーターの使用が必要となる場合があり、侵害の恐れがあるエンドポイントやネットワーク接続の数が増加する。AIや複雑なデジタルシステムの統合により、新たな未知の攻撃ベクトルや脆弱なネットワークコンポーネントが追加される可能性がある。AIシステムやその他の複雑なシステムに依存すると、これらのシステムが人間の判断ではなくアルゴリズムに基づいて運用上の意思決定を行い実行するため、ネットワーク機器の運用に対する全体的な透明性が低下する可能性がある。
Recommendations  推奨事項 
Secure Planning and Design  セキュアな企画・設計 
The authoring organizations strongly recommend communities include strategic foresight and proactive cybersecurity risk management processes in their plans and designs for integrating smart city technologies into their infrastructure systems. New technology should be deliberately and carefully integrated into legacy infrastructure designs. Communities should ensure any “smart” or connected features they are planning to include in new infrastructure are secure by design and incorporate secure connectivity with any remaining legacy systems. Additionally, communities should be aware that legacy infrastructure may require a redesign to securely deploy smart city systems. Security planning should focus on creating resilience through defense in depth and account for both physical and cyber risk as well as the converged cyberphysical environment that IoT and industrial IoT (IIoT) systems introduce. See the following consolidated, baseline practices that organizations of all sizes can implement to reduce the likelihood and impact of known IT and OT risks.   筆者らは、コミュニティが、スマートシティ技術をインフラシステムに統合するための計画や設計に、戦略的な先見性とプロアクティブなサイバーセキュリティリスク管理プロセスを含めることを強く推奨する。新技術は、レガシーなインフラ設計に意図的かつ慎重に統合する必要がある。コミュニティは、新しいインフラに組み込む予定の「スマート」または「接続」機能が安全な設計になっており、残存するレガシーシステムとの安全な接続を組み込んでいることを確認する必要がある。さらに、コミュニティは、スマートシティシステムを安全に導入するために、レガシーインフラの再設計が必要になる場合があることを認識する必要がある。セキュリティ計画は、深層防護によるレジリエンスの創出に重点を置き、物理的リスクとサイバーリスクの両方、およびIoTと産業用IoT(IIoT)システムが導入するサイバーフィジカル環境の統合を考慮する必要がある。ITおよびOTの既知のリスクの可能性と影響を低減するために、あらゆる規模の組織が実施できる、以下の統合的な基本プラクティスを参照すること。 
Cross-Sector Cybersecurity Performance Goals (CISA)  ・分野横断サイバーセキュリティ成果目標 (CISA)
See the following additional resources for guidance on accounting for risks in the cyber, physical, and converged environments:  サイバー環境、物理環境、および融合環境におけるリスクの会計処理に関するガイダンスについては、以下の追加リソースを参照すること: 
Improving ICS Cybersecurity with Defense-in-Depth Strategies (CISA)  ・深層防衛戦略によるICSサイバーセキュリティの向上(CISA)
Cybersecurity and Physical Security Convergence (CISA)  ・サイバーセキュリティと物理セキュリティの融合(CISA) 
Consequence-Driven Cyber-Informed Engineering (INL)  ・結果駆動型サイバーインフォームドエンジニアリング (INL)
Apply the principle of least privilege.  最小特権の原則を適用する。
The organizations responsible for implementing smart city technology should apply the principle of least privilege throughout their network environments. As defined by the U.S. National Institute of Standards and Technology (NIST), the principle of least privilege is, “The principle that a security architecture should be designed so that each entity is granted the minimum system resources and authorizations that the entity needs to perform its function.” Administrators should review default and existing configurations along with hardening guidance from vendors to ensure that hardware and software is only permissioned to access other systems and data that it needs to perform its functions. Administrators should also immediately update privileges upon changes in administrative roles or the addition of new users or administrators from newly integrated systems. They should use a tiered model with different levels of administrative access based on job requirements. Administrators should limit access to accounts with full privileges across an enterprise to dedicated, hardened privileged access workstations (PAWs). Administrators should also use time-based or just-intime privileges and identify high-risk devices, services, and users to minimize their access. For detailed guidance, see:  スマートシティ技術の実装を担当する組織は、ネットワーク環境全体に最小特権の原則を適用する必要がある。米国国立標準技術研究所(NIST)の定義によると、最小特権の原則とは、「セキュリティアーキテクチャは、各主体がその機能を果たすために必要な最小限のシステムリソースと権限を付与されるように設計されるべきであるという原則」である。管理者は、ハードウェアおよびソフトウェアが、その機能を実行するために必要な他のシステムおよびデータへのアクセスのみが許可されていることを確認するために、ベンダーからのハードニングガイダンスとともに、デフォルトおよび既存の設定を確認する必要がある。また、管理者は、管理者の役割の変更や、新しく統合されたシステムから新しいユーザーや管理者が追加された場合、直ちに権限を更新する必要がある。管理者は、職務要件に基づいて管理者アクセスのレベルが異なる階層モデルを使用する必要がある。管理者は、企業全体の全権限を持つアカウントへのアクセスを、専用の堅牢な特権アクセスワークステーション(PAW)に制限する必要がある。また、管理者は、時間ベースの特権またはジャストインタイムの特権を使用し、リスクの高いデバイス、サービス、およびユーザーを特定し、そのアクセスを最小限に抑える必要がある。詳細なガイダンスについては、以下を参照すること: 
Defend Privileges and Accounts (NSA)  ・特権とアカウントの保護 (NSA)
Restricting Administrative Privileges (ACSC)  ・管理者権限の制限(ACSC)
Managing and controlling administrative privileges (CCCS)  ・管理者権限の管理・制御(CCCS)
Enforce multifactor authentication.  多要素認証を実行する
The organizations responsible for implementing smart city technology should secure remote access applications and enforce multifactor authentication (MFA) on local and remote accounts and devices where possible to harden the infrastructure that enables access to networks and systems. Organizations should explicitly require MFA where users perform privileged actions or access important (sensitive or high-availability) data repositories. Russian state-sponsored APT actors have recently demonstrated the ability to exploit default MFA protocols. Organizations responsible for implementing smart cities should review configuration policies to protect against “fail open” and re-enrollment scenarios. See the following resource for guidance on implementing MFA:  スマートシティ技術の導入を担当する組織は、ネットワークやシステムへのアクセスを可能にするインフラを強化するために、リモートアクセスアプリケーションを保護し、ローカルおよびリモートのアカウントとデバイスに可能な限り多要素認証(MFA)を適用する必要がある。組織は、ユーザーが特権的な操作を行ったり、重要な(機密または高可用性の)データリポジトリにアクセスしたりする場合に、MFAを明示的に要求する必要がある。ロシアの国家が支援するAPTアクターは最近、デフォルトのMFAプロトコルを悪用する能力を実証している。スマートシティの実装を担当する組織は、「フェイルオープン」や再登録のシナリオから保護するために、設定ポリシーを見直す必要がある。MFAの実装に関するガイダンスについては、以下のリソースを参照すること: 
#More Than a Password (CISA)  ・パスワードを超えるもの(CISA)
Russian State-Sponsored Cyber Actors Gain Network Access by Exploiting Default Multifactor Authentication Protocols and “PrintNightmare” Vulnerability (FBI, CISA)  ・ロシアの国家支援によるサイバーアクターが、デフォルトの多要素認証プロトコルと「PrintNightmare」脆弱性を悪用してネットワークアクセスを獲得(FBI、CISA)。
Transition to Multi-Factor Authentication (NSA)  ・多要素認証(NSA)への移行について 
MFA for online services (NCSC-UK)  ・オンラインサービス用MFA(NCSC-UK)
Implementing MFA (ACSC)  ・MFAの実装(ACSC) 
Zero trust architecture design principles - Authenticate and authorize (NCSC-UK)  ・ゼロトラストアーキテクチャ設計原則-認証と承認(NCSC-UK)
Implement zero trust architecture.  ゼロトラストアーキテクチャを導入する。
Implementing zero trust network design principles will create a more secure network environment that requires authentication and authorization for each new connection with a layered, defense-in-depth approach to security. Zero trust also allows for greater visibility into network activity, trend identification through analytics, issue resolution through automation and orchestration, and more efficient network security governance. See the following resources for guidance on implementing zero trust:  ゼロトラスト・ネットワーク設計原則を導入することで、セキュリティに対するレイヤー化された深層防御アプローチにより、新しい接続ごとに本人認証と認可を必要とする、より安全なネットワーク環境を実現する。また、ゼロトラストにより、ネットワーク活動の可視化、分析による傾向の特定、自動化とオーケストレーションによる問題解決、ネットワークセキュリティガバナンスの効率化が可能になる。ゼロトラストの導入に関するガイダンスについては、以下のリソースを参照すること: 
Zero trust architecture design principles (NCSC-UK)  ・ゼロトラストアーキテクチャ設計原則(NCSC-UK)
Zero Trust Maturity Model (CISA)  ・ゼロトラスト成熟度モデル(CISA)
Embracing a Zero Trust Security Model (NSA)  ・ゼロ・トラスト・セキュリティ・モデル(NSA)の採用 
A zero trust approach to security architecture (CCCS)  ・セキュリティ・アーキテクチャへのゼロ・トラスト・アプローチ(CCCS)
Zero Trust security model (CCCS)  ・ゼロトラストセキュリティモデル(CCCS)
Note: Both zero trust architecture and MFA should be applied wherever operationally feasible in balance with requirements for endpoint trust relationships. Some OT networks may require trust-by-default architectures, but organizations should isolate such networks and ensure all interconnections with that network are secured using zero trust and related principles.    注:ゼロトラストアーキテクチャと MFA の両方は、エンドポイントの信頼関係の要件とのバランスにおいて、運用上可能な限り適用される必要がある。一部の OT ネットワークでは Trust-by-default アーキテクチャが必要な場合があるが、組織はそのような ネットワークを分離し、そのネットワークとのすべての相互接続がゼロトラスト及び関連原則を使用してセキュリ ティを確保する必要がある。  
Manage changes to internal architecture risks.  内部アーキテクチャのリスクに対する変更管理
The organizations responsible for implementing smart city technology should understand their environment and carefully manage communications between subnetworks, including newly interconnected subnetworks linking infrastructure systems. Network administrators should maintain awareness of their evolving network architecture and the personnel accountable for the security of the integrated whole and each individual segment. Administrators should identify, group, and isolate critical business systems and apply the appropriate network security controls and monitoring systems to reduce the impact of a compromise across the community. See the following resources for detailed guidance:  スマートシティ技術の実装に責任を持つ組織は、自分たちの環境を理解し、インフラシステムをつなぐ新たに相互接続されたサブネットワークを含む、サブネットワーク間の通信を慎重に管理する必要がある。ネットワーク管理者は、進化するネットワーク・アーキテクチャと、統合された全体と各個別セグメントのセキュリティに責任を持つ担当者について認識を保つ必要がある。管理者は、重要なビジネスシステムを特定、グループ化、隔離し、適切なネットワークセキュリティ制御と監視システムを適用して、コミュニティ全体における侵害の影響を軽減する必要がある。詳細なガイダンスについては、以下のリソースを参照すること: 
CISA Vulnerability Scanning (CISA)  ・CISA 脆弱性スキャニング (CISA)
Vulnerability Scanning Tools and Services (NCSC-UK)  ・脆弱性スキャニングツールとサービス(NCSC-UK)
Security architecture anti-patterns (NCSC-UK)  ・セキュリティアーキテクチャのアンチパターン(NCSC-UK)
• Security architecture anti-patterns (NCSC-UK)  ・横揺れを防止する(NCSC-UK)
Segment Networks and Deploy Application-aware Defenses (NSA)  ・ネットワークをセグメント化し,アプリケーションを意識した防御を展開する(NSA)
Securely manage smart city assets.  スマートシティの資産の安全管理
Secure smart city assets against theft and unauthorized physical changes. Consider implementing physical and logical security controls to protect sensors and monitors against manipulation, theft, vandalism, and environmental threats.  スマートシティの資産を盗難や不正な物理的変更から保護する。センサーやモニターを操作、盗難、破壊行為、環境の脅威から保護するために、物理的および論理的なセキュリティ管理の実施を検討する。
Improve security of vulnerable devices.  脆弱なデバイスのセキュリティの向上
See the following resources for guidance on protecting devices by securing remote access:  リモートアクセスの保護によるデバイスの保護に関するガイダンスについては、以下のリソースを参照すること: 
Selecting and Hardening Remote Access VPN Solutions (CISA, NSA)  ・リモートアクセスVPNソリューションの選択と強化(CISA,NSA)
Using Virtual Private Networks (ACSC)  ・バーチャルプライベートネットワークの活用(ACSC)
Virtual private networks (CCCS)  ・仮想プライベートネットワーク(CCCS)
Protect internet-facing services.  インターネットに接続されたサービスを保護する。
See the following resources for guidance on protecting internet-facing services:  インターネットに面したサービスを保護するためのガイダンスについては、以下のリソースを参照すること: 
Protecting internet-facing services on public service CNI (NCSC-UK)  ・公共サービスCNIにおけるインターネット接続サービスの保護(NCSC-UK)
Strategies for protecting web application systems against credential stuffing attacks (CCCS)  ・クレデンシャル・スタッフィング攻撃(CCCS)からWebアプリケーションシステムを保護するためのストラテジー 
Isolate web-facing applications (CCCS)  ・Web向けアプリケーションを分離する(CCCS)
Patch systems and applications in a timely manner.  システム、アプリケーションへの適時なパッチ適用
Where possible, enable automatic patching processes for all software and hardware devices that include authenticity and integrity validation. Leverage threat intelligence to identify active threats and ensure exposed systems and infrastructure are protected. Secure software assets through an asset management program that includes a product lifecycle process. This process should include planning replacements for components and software nearing or past end-of life, as patches may cease to be developed by manufacturers or developers. See the following resources for guidance on protecting systems and networks via asset management:  可能であれば、すべてのソフトウェアとハードウェアのデバイスに対して、本人認証と完全性検証を含む自動パッチ適用プロセスを有効にする。脅威インテリジェンスを活用してアクティブな脅威を特定し、露出したシステムおよびインフラストラクチャを確実に保護する。製品ライフサイクルプロセスを含む資産管理プログラムを通じて、ソフトウェア資産を保護する。このプロセスには、製造業者や開発業者によってパッチが開発されなくなる可能性があるため、耐用年数が近い、または過ぎたコンポーネントやソフトウェアの交換を計画することが含まれるべきである。資産管理によるシステムおよびネットワークの保護に関するガイダンスについては、以下のリソースを参照すること: 
Known Exploited Vulnerabilities Catalog (CISA)  ・既知の悪用された脆弱性カタログ (CISA)
Asset management for cyber security (NCSC-UK)  ・サイバーセキュリティのための資産管理(NCSC-UK)
Review the legal, security, and privacy risks associated with deployments.  導入に関連する法的リスク、セキュリティリスク、およびプライバシーリスクの検討
Implement processes that continuously evaluate and manage the legal and privacy risks associated with deployed solutions.  導入されたソリューションに関連する法的リスクとプライバシーリスクを継続的に評価し、管理するプロセスを導入する。
Proactive Supply Chain Risk Management  サプライチェーンリスクマネジメントの推進 
All organizations responsible for implementing smart city technology should proactively manage ICT supply chain risk for any new technology, including hardware or software that supports the implementation of smart city systems or service providers supporting implementation and operations. Organizations should use only trusted ICT vendors and components. The ICT supply chain risk management process should include participation from all levels of the organization and have full support from program leaders implementing smart city systems. Procurement officials from communities implementing smart city systems should also communicate minimum security requirements to vendors and articulate actions they will take in response to breaches of those requirements. Smart city technology supply chains should be transparent to the citizens whose data the systems will collect and process.  スマートシティ技術の導入を担当するすべての組織は、スマートシティシステムの導入をサポートするハードウェアやソフトウェア、または導入や運用をサポートするサービスプロバイダーを含む、あらゆる新しい技術について、ICTサプライチェーンのリスクを積極的に管理する必要がある。組織は、信頼できるICTベンダーとコンポーネントのみを使用する必要がある。ICTサプライチェーンリスクマネジメントプロセスは、組織の全レベルからの参加を含み、スマートシティシステムを実施するプログラムリーダーからの完全な支持を得るべきである。また、スマートシティシステムを導入するコミュニティの調達担当者は、ベンダーに最低限のセキュリティ要件を伝え、その要件に違反した場合に取るべき行動を明確にする必要がある。スマートシティ技術のサプライチェーンは、システムがデータを収集・処理する市民に対して透明であるべきである。
For detailed supply chain security guidance, see:  サプライチェーンのセキュリティに関する詳細なガイダンスについては、以下を参照すること: 
Russian State-Sponsored and Criminal Cyber Threats to Critical Infrastructure (CISA, ACSC, NCSC-NZ, NCSC-UK, CCCS)  ・重要インフラに対するロシアの国家支援および犯罪的なサイバー脅威(CISA,ACSC,NCSC-NZ,NCSC-UK,CCCS)
Supply chain security guidance (NCSC-UK)   ・サプライチェーンセキュリティガイダンス (NCSC-UK)  
ICT Supply Chain Library (CISA)   ・ICTサプライチェーンライブラリー(CISA)
Cyber-Physical Security Considerations for the Electricity Sub-Sector (CISA)  ・電力サブセクターにおけるサイバーフィジカルセキュリティの考慮点(CISA)
Cyber Supply Chain Risk Management (ACSC)   ・サイバーサプライチェーンリスクマネジメント(ACSC)
Software Supply Chain  ソフトウェアサプライチェーン 
The organizations responsible for implementing smart city technology should set security requirements or controls for software suppliers and ensure that potential vendors use a software development lifecycle that incorporates secure development practices, maintains an active vulnerability identification and disclosure process, and enables patch management.   スマートシティ技術の実装に責任を持つ組織は、ソフトウェア供給業者に対するセキュリティ要件または管理を設定し、候補となる業者が、安全な開発手法を取り入れ、脆弱性の識別と開示プロセスを積極的に維持し、パッチ管理を可能にするソフトウェア開発ライフサイクルを使用することを確認すべきである。 
Product vendors should also assume some of the risk associated with their products and develop smart city technology in adherence to secure-by-design and secure-by-default principles and active maintenance for the products they provide. Vendors adhering to these principles give the organizations responsible for procuring and implementing smart city technology more confidence in the products they introduce into their networks.   また、製品ベンダーは、自社製品に関連するリスクの一部を引き受け、セキュアバイデザインおよびセキュアバイデフォルトの原則を遵守してスマートシティ技術を開発し、提供する製品のメンテナンスを積極的に行うべきである。これらの原則を遵守するベンダーは、スマートシティ技術の調達と実装を担当する組織に対して、ネットワークに導入する製品に対する信頼性を高めることができる。 
For detailed guidance, see:  詳細なガイダンスについては、こちらをご覧ください: 
Shifting the Balance of Cybersecurity Risk: Principles and Approaches for Security-byDesign and -Default (CISA, NSA, FBI, ACSC, NCSC-UK, CCCS, BSI, NCSC-NL, CERT NZ, NCSC-NZ)  ・サイバーセキュリティリスクのバランスを変える:セキュリティ・バイ・デザインおよびデフォルトの原則とアプローチ(CISA,NSA,FBI,ACSC,NCSC-UK,CCCS,BSI,NCSC-NL,CERT NZ, NCSC-NZ)
Software Bill of Materials (CISA)   ・ソフトウェア部品表(CISA)
Supply Chain Cyber Security: In Safe Hands (NCSC-NZ)  ・サプライチェーンサイバーセキュリティを 安全な手に(NCSC-NZ)
Securing the Software Supply Chain: Recommended Practices Guide for Customers (ODNI, NSA, CISA, CSCC, DIBSCC, ITSCC)  ・ソフトウェアサプライチェーンの安全性確保: 顧客向け推奨プラクティスガイド(ODNI,NSA,CISA,CSCC,DIBSCC,ITSCC)
Coordinated Vulnerability Disclosure Process (CISA)  ・協調的脆弱性開示プロセス(CISA)
Protecting your organization from software supply chain threats (CCCS)  ・ソフトウェアサプライチェーンの脅威から組織を守るために(CCCS)
Hardware and IoT Device Supply Chain  ハードウェアとIoTデバイスのサプライチェーン 
Organizations responsible for implementing smart city technology should determine whether the IoT devices and hardware that will enable “smart” functionality will require support from third-party or external services. These organizations should perform due-diligence research on how parts are sourced and assembled to create products. They should also determine how the devices store and share data and how the devices secure data at rest, in transit, and in use. Organizations should maintain a risk register that identifies both their own and their vendors’ reliance on cloud computing support, externally sourced components, and similar dependencies. For detailed guidance, see:  スマートシティ技術の導入を担当する組織は、「スマート」な機能を実現するIoT機器やハードウェアが、サードパーティや外部サービスによるサポートを必要とするかどうかを判断する必要がある。これらの組織は、製品を作るために部品がどのように調達され、組み立てられるかについてデューディリジェンス調査を行う必要がある。また、デバイスがどのようにデータを保存・共有するか、デバイスが静止時、転送時、使用時のデータをどのように保護するかについても判断する必要がある。組織は、自社及びベンダーのクラウドコンピューティングへの依存、外部調達された部品、及び同様の依存関係を特定するリスク登録簿を維持する必要がある。詳細なガイダンスについては、以下を参照すること: 
Cyber supply chain: An approach to assessing risk
(CCCS) 
・サイバー・サプライ・チェーン: リスクを評価するためのアプローチ(CCCS)
Cybersecurity for IOT Program
(NIST) 
・サイバーセキュリティ・フォー・IOTプログラム(NIST)
• Defending Against Software Supply Chain Attacks (CISA, NIST)  ・ソフトウェアサプライチェーン攻撃への防御(CISA,NIST)
Managed Service Providers and Cloud Service Providers   マネージドサービスプロバイダー、クラウドサービスプロバイダー  
Organizations should set clear security requirements for managed service providers and other vendors supporting smart city technology implementation and operations. Organizations should account for the risks of contracting with third-party vendors in their overall risk management planning and ensure organizational security standards are included in contractual agreements with external parties. Similarly, organizations should carefully review cloud service agreements, including data security provisions and responsibility sharing models. For detailed guidance, see:  組織は、スマートシティ技術の導入と運用を支援するマネージドサービスプロバイダやその他のベンダーに対して、明確なセキュリティ要件を設定する必要がある。組織は、全体的なリスク管理計画の中で、第三者ベンダーとの契約によるリスクを考慮し、組織のセキュリティ基準が外部との契約合意に含まれていることを確認する必要がある。同様に、組織は、データセキュリティ条項や責任分担モデルなど、クラウドサービス契約を慎重に検討する必要がある。詳細なガイダンスについては、以下を参照すること: 
Shifting the Balance of Cybersecurity Risk: Principles and Approaches for Security-byDesign and -Default
(CISA, NSA, FBI, ACSC, NCSC-UK, CCCS, BSI, NCSC-NL, CERT NZ, NCSC-NZ) 
・サイバーセキュリティリスクのバランスを変える:Security-byDesign および -Default の原則とアプローチ(CISA、NSA、FBI、ACSC、NCSC-UK、CCCS、BSI、NCSC-NL、CERT NZ、NCSC-NZ)。
Protecting Against Cyber Threats to Managed Service Providers and their Customers
(NCSC-UK, CCCS, NCSC-NZ, CISA, NSA, FBI) 
・マネージドサービスプロバイダーとその顧客に対するサイバー脅威からの保護(NCSC-UK, CCCS, NCSC-NZ, CISA, NSA, FBI)
Six steps toward more secure cloud computing (FTC)  ・より安全なクラウドコンピューティングに向けた6つのステップ(FTC)
Choosing the best cyber security solution for your organization (CCCS)  ・組織に最適なサイバーセキュリティソリューションの選択(CCCS)
Operational Resilience  オペレーショナル・レジリエンス 
The organizations responsible for implementing smart city technology should develop, assess, and maintain contingencies for manual operations of all critical infrastructure functions and train staff accordingly. Those contingencies should include plans for disconnecting infrastructure systems from one another or from the public internet to operate autonomously. In the event of a compromise, organizations should be prepared to isolate affected systems and operate other infrastructure with as little disruption as possible.  スマートシティ技術の導入に責任を持つ組織は、すべての重要なインフラ機能を手動で操作するためのコンティンジェンシーを開発、評価、維持し、それに基づいてスタッフを訓練する必要がある。これらの緊急事態には、インフラシステムを互いに切り離し、または公共のインターネットから切り離して自律的に動作させるための計画を含めるべきである。侵害が発生した場合、組織は、影響を受けるシステムを隔離し、可能な限り混乱なく他のインフラを運用できるように準備する必要がある。
Backup systems and data.  システムおよびデータのバックアップ 
The organizations responsible for implementing smart city technology should create, maintain, and test backups, both for IT system records and for manual operational capabilities for the physical systems integrated in a smart city network. These organizations should identify how and where data will be collected, processed, stored, and transmitted and ensure each node in that data lifecycle is protected. System administrators should store IT backups separately and isolate them to inhibit the spread of ransomware—many ransomware variants attempt to find and encrypt/delete accessible backups. Isolating backups enables restoration of systems/data to their previous state in the case of a ransomware attack.   スマートシティ技術の実装に責任を持つ組織は、ITシステムの記録と、スマートシティネットワークに統合された物理システムの手動操作能力の両方のバックアップを作成、維持、およびテストする必要がある。これらの組織は、データがどのように、どこで収集、処理、保存、送信されるかを特定し、そのデータライフサイクルの各ノードが保護されていることを確認する必要がある。ランサムウェアの多くは、アクセス可能なバックアップを見つけ、暗号化/削除しようとする。バックアップを分離することで、ランサムウェアの攻撃を受けても、システム/データを以前の状態に戻すことができる。 
The organizations responsible for implementing smart city technology should have plans in place and training for staff so operations managers can disconnect normally connected infrastructure systems and operate manually in an “offline” mode to maintain basic service levels. For detailed guidance, see:  スマートシティ技術の導入を担当する組織は、基本的なサービスレベルを維持するために、運用管理者が通常接続されているインフラシステムを切断し、「オフライン」モードで手動操作できるように、計画を立て、スタッフに対するトレーニングを実施する必要がある。詳細なガイダンスについては、以下を参照すること: 
•  Offline backups in an online world (NCSC-UK)  ・オンライン世界におけるオフライン・バックアップ(NCSC-UK)
Conduct workforce training.  従業員のトレーニングを実施する。
Though implementation of smart city technology may include extensive automation, employees responsible for managing infrastructure operations should be prepared to isolate compromised IT systems from OT and manually operate core functions if necessary. Organizations should train new and existing employees on integrated, automated operations as well as isolated, manual backup procedures, including processes for restoring service after a restart. Organizations should update training regularly to account for new technologies and components. For detailed guidance, see:  スマートシティ技術の導入には広範な自動化が含まれる可能性があるが、インフラの運用管理を担当する従業員は、侵害された IT システムを OT から切り離し、必要に応じて中核機能を手動で操作する準備をする必要がある。組織は、統合された自動化されたオペレーションと、再起動後にサービスを回復するためのプロセスを含む、分離された手動バックアップ手順について、新規および既存の従業員をトレーニングする必要がある。組織は、新しい技術やコンポーネントを考慮し、定期的にトレーニングを更新する必要がある。詳細なガイダンスについては、以下を参照すること: 
•  ICS Training Available Through CISA (CISA)  ・CISA (CISA)で受講できるICSトレーニング 
Develop and exercise incident response and recovery plans.  インシデントレスポンスとリカバリーの計画策定と演習
Incident response and recovery plans should include roles and responsibilities for all stakeholders including executive leaders, technical leads, and procurement officers from inside and outside the smart city implementation team. The organizations responsible for implementing smart city technology should maintain up-to-date and accessible hard copies of these plans for responders should the network be inaccessible (e.g., due to a ransomware attack). Organizations should exercise their plans annually and coordinate with continuity managers to ensure continuity of operations. For detailed guidance see:  インシデント対応・復旧計画には、スマートシティ導入チーム内外の幹部リーダー、技術リーダー、調達担当者を含むすべての関係者の役割と責任を含める必要がある。スマートシティ技術の導入に責任を持つ組織は、ネットワークがアクセス不能になった場合(ランサムウェア攻撃など)、対応者のためにこれらの計画の最新かつアクセス可能なハードコピーを維持する必要がある。組織は、毎年計画を実施し、業務の継続性を確保するために、継続性管理者と連携する必要がある。詳細なガイダンスについては、以下を参照すること: 
•  Incident Response Plan Basics (CISA)  ・インシデントレスポンス計画の基本(CISA)
•  Effective steps to cyber exercise creation (NCSC-UK)  ・サイバー演習作成への効果的なステップ(NCSC-UK)
Incident Management: Be Resilient, Be Prepared (NCSC-NZ)  ・インシデント管理: レジリエントであること,準備すること(NCSC-NZ)
Preparing for and Responding to Cyber Security Incidents (ACSC)  ・サイバーセキュリティインシデントへの備えと対応(ACSC)
Developing your incident response plan (CCCS)  ・インシデント対応計画の策定(CCCS)
Developing your IT recovery plan (CCCS)  ・ITリカバリープランを策定する(CCCS)
Purpose  目的 
This guidance was developed by U.S., U.K., Australian, Canadian, and New Zealand cybersecurity authorities to further their respective cybersecurity missions, including their responsibilities to develop and issue cybersecurity specifications and mitigations.  このガイダンスは、米国、英国、オーストラリア、カナダ、ニュージーランドのサイバーセキュリティ当局が、サイバーセキュリティの仕様と緩和策を策定し発行する責任を含む、それぞれのサイバーセキュリティのミッションを推進するために作成したものである。
Acknowledgements  謝辞
Microsoft, IBM, and Nozomi Networks contributed to this guidance.  本ガイダンスには、マイクロソフト、IBM、ノゾミネットワークスの各社が協力している。

 

 

| | Comments (0)

英国 NCSC 原則に基づく保証(PBA) (2023.04.17)

こんにちは、丸山満彦です。

英国が原則に基づく技術保証の制度を考えているようですね。。。

 

⚫︎U.K. NCSC 

・2023.04.17 Principles Based Assurance (PBA)

 

Principles Based Assurance (PBA) 原則に基づく保証(PBA)
Helping customers gain confidence that products are resilient to cyber attack. サイバー攻撃に強い製品であることを利用者に確信してもらう。
ON THIS PAGE このページでは
1.What is Principles Based Assurance (PBA) and how will it help you ? 1.原則に基づく保証 (PBA) とは何か?
2.What technology is PBA for ? 2.PBAはどのような技術に対応するのか?
3.When will PBA be available ? 3.PBAはいつから利用できるのか?
4.What will PBA look like ? 4.PBAはどのようなものか?
5.Assurance, Principles & Claims (APCs) 5.保証、原則、クレーム(APC)
6.Who does the assessment ? 6.誰が評価するのか?
7.Being able to make the right decision 7.正しい判断ができるようになる
What is Principles Based Assurance (PBA) and how will it help you ? 1.原則に基づく保証 (PBA) とは何か?
At NCSC we are building Principles Based Assurance (PBA) to help our customers gain confidence that the technology they use every day is making them more resilient rather than more vulnerable to a cyber attack. NCSCでは、顧客が毎日使っている技術がサイバー攻撃に対して脆弱になるのではなく、より強靭になるという確信を得られるよう、原則に基づく保証(PBA)を構築している。
NCSC focuses its ‘hands on’ assurance effort on those technologies and customers that face the highest threats. Given how vast and connected the technology landscape is now, and how rapidly it is evolving, we recognise that there’s currently a gap in a UK capability to provide a trusted, accessible independent assessment of technology against the scaled threat model. NCSCは、最も高い脅威に直面している技術や顧客に対して、「実地」での保証の取り組みに重点を置いている。現在、テクノロジー環境は非常に広大で、つながっており、急速に進化しているため、スケールされた脅威モデルに対して、信頼できる、アクセス可能な独立したテクノロジーの評価を提供する英国の能力には、現在ギャップがあることを認識している。
To plug this gap, we are building Principles Based Assurance, an NCSC framework for assurance best practice that we are planning to be scaled through industry partners to provide a consistent, accessible UK assurance service. このギャップを埋めるために、我々はNCSCの保証のベストプラクティスのためのフレームワークである原則に基づく保証を構築しており、業界のパートナーを通じて拡張し、一貫性のあるアクセス可能な英国の保証サービスを提供することを計画している。
What technology is PBA for ? 2.PBAはどのような技術に対応するのか?
We’re not just looking at the functionality of security products, like firewalls or VPNs. Given how connected technology is now (to both other technology and people), we must include products (including software) whose primary function is not security, but a compromise of which would cause a significant impact. ファイアウォールやVPNのようなセキュリティ製品の機能性だけに注目しているわけではない。現在、テクノロジーが(他のテクノロジーや人と)いかにつながっているかを考えると、セキュリティが主な機能ではないものの、その侵害が重大な影響を及ぼす製品(ソフトウェアを含む)も含まなければならない。
We need to be able to consider different threat models the system needs to be resilient to. Critical National Infrastructure (CNI), defence and intelligence contexts are likely going to be up against attackers with significant resources, skill, and time, working in a targeted way. This is a different threat to attackers who leverage readily available tools and public vulnerabilities in a spontaneous and scaled way. システムが耐性を持つ必要のあるさまざまな脅威モデルを考慮できるようにする必要がある。重要な国家インフラ(CNI)、防衛、情報の分野では、大規模なリソース、スキル、時間を持ち、標的を定めて活動する攻撃者に直面する可能性がある。これは、容易に入手できるツールや公開されている脆弱性を自発的かつ大規模に活用する攻撃者とは異なる脅威である。
For many customers, gaining confidence that the technology they’re using is resilient to this latter threat model is all they require. If we come up with an approach that tries to make all technology resilient against the former model then timescales will extend, costs will rocket, and choice will vanish. 多くの顧客にとっては、自分たちが使っているテクノロジーがこの後者の脅威モデルに強いという確信を得ることができれば、それだけで十分なのである。もし、すべての技術を前者の脅威に耐えられるようにしようとするアプローチをとれば、タイムスケールは延び、コストは跳ね上がり、選択肢はなくなってしまうでしょう。
When will PBA be available ? 3.PBAはいつから利用できるのか?
Creating PBA can be thought of as a three-layered process. PBAの作成は、3つの層からなるプロセスとして考えることができる。
The first, foundational, layer is the philosophy of a risk-based rather than a compliance-driven approach. The second stage is developing a consistent method that can be followed, along with documentation and templates to be used. The final stage is how the method can be deployed and accessed as a service in the marketplace by both vendors and buyers in a consistent and trusted way. 第1段階は、コンプライアンス重視のアプローチではなく、リスク重視のアプローチという哲学を基礎とすることである。第2段階は、使用する文書やテンプレートとともに、それに従うことができる一貫した方法を開発することである。最終段階は、ベンダーとバイヤーの両方が一貫した信頼できる方法で、その方法を市場にサービスとして展開し、アクセスできるようにする方法である。
Service サービス
PBA needs to be accessed by both vendors and buyers in a consistent way both through trusted industry services to provide independent assessment, capability, or through the NCSC website. PBAは、ベンダーとバイヤーの両方が、独立した評価、能力を提供する信頼できる業界サービス、またはNCSCのウェブサイトを通じて、一貫した方法でアクセスする必要がある。
Method 方法
PBA needs a well-structured approach that both enables vendors to demonstrate evidence against it and provides consistency in the way in which industry and government deploy it as a scheme or service. It is defined by a framework, documentation and technical standards approved by the NCSC. PBAは、ベンダーがその根拠を示すことができ、産業界や政府がスキームやサービスとして展開する方法に一貫性を持たせる、構造化されたアプローチが必要である。PBAは、NCSCによって承認されたフレームワーク、文書、技術標準によって定義されている。
Philosophy 哲学
PBA is an assurance philosophy stretching across the whole customer spectrum. It promotes a more adaptable and holistic, threat-first approach. with understandable outputs that help people to make risk-based decisions. More detail on this aspect is in the White Paper. PBAは、顧客の全領域に及ぶ保証の哲学である。PBAは、より適応性が高く、全体的で、脅威を第一に考えたアプローチを促進するものであり、人々がリスクベースの意思決定をするのに役立つ理解しやすいアウトプットを提供する。この点に関する詳細は、ホワイトペーパーに記載されている。
The NCSC will be publishing the PBA method, when it is available, so that people can start using it. NCSCは、PBAの手法が利用可能になった時点で、人々が利用を開始できるように公開する予定である。
Work is about to begin on the Service layer, to design a way to scale the PBA philosophy and method through Industry partners. By next year we plan to have an embryonic network of approved Cyber Resilience Test Facilities. サービス層については、PBAの理念と手法を産業界のパートナーを通じて拡張する方法を設計するための作業を開始しようとしているところである。来年までには、承認されたサイバー・レジリエンス試験施設のネットワークの胎動が始まる予定である。
What will PBA look like ? 4.PBAはどのようなものか?
On our Technology Assurance section of the website, you will find our Core Technology Assurance Principles. These principles describe the security outcomes that we’d look to assess against to gain confidence in any product. They are divided into three pillars: ウェブサイトの「技術保証」セクションには、「技術保証の基本原則」が掲載されている。この原則は、あらゆる製品の信頼性を高めるために、私たちが評価すべきセキュリティの成果を示している。この原則は、3つの柱に分かれている:
Development 開発
an assessment of the security of the vendor and where appropriate this would include the security of the development environment. Find out more about the 7 principles underpinning the development of secure products. ベンダーのセキュリティの評価、適切な場合は開発環境のセキュリティも含まれます。セキュアな製品開発を支える7つの原則の詳細については、こちら。
Design & functionality 設計と機能性
an assessment of the resilience of the product to cyber attack and the efficacy of any security functionality. Find out more about the 6 principles for design and functionality. サイバー攻撃に対する製品の耐性を評価し、セキュリティ機能の有効性を評価すること。設計と機能の6原則の詳細はこちら。
Through-life スルーライフ
an assessment of how well the security of the product or service will be maintained during its operational lifetime. Find out more about the 5 principles for maintaining a product's security through all stages of its life-cycle. 製品またはサービスのセキュリティが、その運用期間中にどの程度維持されるかを評価するものである。製品のライフサイクルのあらゆる段階を通じてセキュリティを維持するための5つの原則についての詳細はこちら。
Assurance, Principles & Claims (APCs) 5.保証、原則、クレーム(APC)
To enable people to evidence and assess against these principles in a consistent way, we are generating a set of new artefacts called Assurance, Principles & Claims (APCs). これらの原則を一貫した方法で証明し、評価できるようにするために、私たちは「保証、原則、主張(APC)」と呼ばれる一連の新しい成果物を生成している。
An APC will restructure a set of already published security or assurance principles, formalising the language, and illustrating each individual principle with a set of ideal-scenario claims that, if met, means the technology solution is achieving what the principle intends. APCは、既に公開されているセキュリティや保証の原則を再構築し、言語を形式化し、個々の原則を理想的なシナリオの主張で説明するもので、この主張が満たされれば、技術ソリューションが原則の意図することを達成していることを意味する。
It is based on Claims, Argument, Evidence (CAE) approaches used for safety assurance, tailored for cyber security assurance. Full technical specifications for this approach will be published by NCSC, but we can illustrate the concepts with this simple flow: これは、安全保証に用いられる主張、議論、証拠(CAE)アプローチに基づき、サイバーセキュリティ保証のために調整されたものである。このアプローチの完全な技術仕様はNCSCによって公開される予定であるが、この簡単なフローで概念を説明することができる:
Claim 主張
A claim is a true/false statement about a property of a particular object. A claim is exactly what you might consider it to be from common usage of the term; an idea that someone is trying to convince somebody else is true. As an example a product may intend to be able to recover itself from compromise, leading to a claim such as “The Product protects itself from persistent compromise” 主張とは、特定のオブジェクトの特性に関する真偽を示す文のことである。クレームとは、一般的な用語の使い方から想像できるように、誰かが他の誰かに真実であると信じさせようとする考えである。例えば、ある製品は妥協から自己回復できることを意図しており、"本製品は持続的な侵害から自らを保護する "のような主張を導き出すことができるかもしれない。
Argument 論証
An argument is a rule that provides the bridge between what we know or are assuming (sub-claims, evidence) and the top level claim we are investigating. In the example above an argument would begin this bridging by breaking down the claim we are making into a number of sub-claims that are more easily evidenced; one example would be to decompose the claim into sub-claims that describe the what the term “protect” means, such as “The product detects and acts on compromise within 2 seconds” and “When compromise is detected the device stops operating”. 議論とは、私たちが知っていることや想定していること(サブクレーム、証拠)と、私たちが調査しているトップレベルの主張との間の橋渡しをするルールである。上記の例では、論証は、私たちが主張することを、より簡単に証拠となるいくつかのサブクレームに分解することによって、この橋渡しを開始することになる; 例えば、「製品は2秒以内に侵害を検知して対処する」「侵害が検知されるとデバイスは動作を停止する」など、「保護する」という用語の意味を説明するサブクレームにクレームを分解することが挙げられる。
Evidence 証拠
Evidence is an artefact that establishes facts that can be trusted and lead directly to a claim (via an argument). There can be many sources of information but what makes one evidence is the support or rebuttal of a claim. To continue the example the sub-claims described could be evidenced by an independent test facility deliberately launching various forms of compromise against a device and observing the time until the device responds, and the operational state of the device upon that response. 証拠とは、信頼できる事実を立証し、(議論を経て)主張に直接つながる人工物である。情報源はたくさんあるが、証拠となるのは、主張の裏付けや反証となるものである。この例を続けると、独立した試験施設が、ある機器に対して意図的に様々な形態の侵害行為を行い、その機器が応答するまでの時間や、応答した際の機器の動作状態を観察することで、記載したサブクレームを証明することができる。
For particular technology classes, where there is an identified need, bespoke APCs will be created. The NCSC will host the whole portfolio of APC documents on its website, so that vendors and customers can access both core APCs and the bespoke APCs according to their needs. 特定の技術クラスについて、必要性が確認された場合、特注のAPCが作成される予定である。NCSCは、APC文書の全ポートフォリオをウェブサイトで公開し、ベンダーと顧客がニーズに応じてコアAPCとカスタムAPCの両方にアクセスできるようにする。
Who does the assessment ? 6.誰が評価するのか?
How much confidence you need in the assessment of the product will probably depend on the impact of something going wrong. 製品のアセスメントにどれだけの信頼性が必要かは、おそらく何か問題が発生した場合の影響に依存する。
If the criticality of a product is high or you don’t have the skills to do the assessment yourself, then an independent assessment might be a more appropriate route to gaining confidence in a product’s cyber resilience. If the impact would be less serious, then a self-assertion against the relevant APC document by the vendor may be sufficient (and less costly). 製品の重要性が高い場合、または自分で評価を行うスキルがない場合は、製品のサイバー耐性を信頼するために独立した評価を行うことがより適切な方法である場合がある。影響がそれほど大きくない場合は、ベンダーが関連する APC 文書に対して自己アサーションを行うことで十分な場合がある(コストもかからない)。
PBA enables flexibility in the route chosen to gain confidence, but consistency and structure for the outcomes and evidence that need to be demonstrated. PBA は、信頼性を得るために選択する経路に柔軟性を持たせるが、実証する必要のある結果と証拠に一貫性と構造を持たせる。
Being able to make the right decision 7.正しい判断ができるようになる
Ultimately, PBA needs to enable a customer to make an informed decision about whether to buy the product or how to integrate it into their system in a secure way. The outputs should be usable and accessible by all kinds of customers, many of whom will not be security experts. 最終的に、PBA は、顧客が製品を購入するかどうか、または安全な方法でシステムに統合する方法について、情報に基づいた決定を下すことができるようにする必要がある。出力は、あらゆる種類の顧客(その多くはセキュリティの専門家ではない)が使用でき、アクセスできるものでなければならない。
A PBA Assurance Statement (from an independent assessment) will shine a light on what cyber security properties a product has, and how this impacts the risks of the system it’s integrated into. PBA保証書(独立した評価による)は、製品がどのようなサイバーセキュリティ特性を持ち、それが統合されるシステムのリスクにどのように影響するかを明らかにするものである。

 

インフォグラフィック

・[PDF]

20230425-45007

 

Guidance

Technology assurance

 Technology assurance 技術保証
 The future of Technology Assurance in the UK 英国におけるテクノロジー・アシュアランスの未来
 White paper: The future of NCSC Technology Assurance  ホワイトペーパー NCSCテクノロジーアシュアランスの将来
 The audience for technology assurance 技術保証についての想定読者
 What is technology assurance? 技術保証とは何か?
 The current state of technology assurance 技術保証の現状
 Why technology assurance in the UK needs to change 英国の技術保証はなぜ変わらなければならないのか
 Developing a new approach to assurance 保証のための新しいアプローチを開発する
 Objectives of Principles Based Assurance (PBA) 原則に基づく保証(PBA)の目的
 Building a dynamic assurance model 動的保証モデルの構築
 Success criteria 成功の基準
 Summary 概要
 Principles and how they can help us with assurance 原則とそれが保証にどのように役立つのか
 Principles: Product development  プリンシプル:商品開発
 1. Design for user need 1. ユーザーニーズに応えるデザイン
 2. Enable your developers 2. デベロッパーを有効にする
 3. Manage your supply chain risk 3. サプライチェーン・リスクの管理
 4. Secure your development environment 4. 開発環境の安全性の確保
 5. Review and test frequently 5. レビューと頻繁なテスト
 6. Manage change effectively 6. 変化の効果的な管理
 7. Build for through-life 7. スルーライフのための構築
 Principles: Product design and functionality  プリンシプル:製品のデザイン・機能性
 1. Usability of the product 1. 製品のユーザビリティ
 2. Only authorised users should have access to data and functionality 2. データおよび機能へのアクセスは、許可されたユーザーのみが可能であること
 3. Protect sensitive data in transit 3. 移送中の機密データの保護
 4. Maintain the integrity of a product and any sensitive data held on it 4. 製品および製品に含まれる機密データの整合性の維持
 5. Protect against compromise from connected technology 5. コネクテッドテクノロジーからの侵害から守る
 6. Security events should be logged and monitored 6. セキュリティイベントはログに記録し、監視する
 Principles: Through-life  プリンシプル:スルーライフ
 1. Enable people to manage their risks 1. 人々が自分のリスクを管理できるようにすること
 2. Protect the product from unauthorised access 2. 不正なアクセスからの製品保護
 3. Monitor services used by a product 3. 製品が使用するサービスの監視
 4. Review and improve the security offered by a product 4. 製品が提供するセキュリティの見直しと改善
 5. Be prepared to respond to external events 5. 外的事象に対応できるよう準備すること
Principles Based Assurance (PBA) 原則に基づく保証 (PBA)

 

 

 

 

 

| | Comments (0)

NATO 世界最大級のサイバー防衛演習「Locked Shields」 2023の優勝はスウェーデン・アイスランド合同チーム

こんにちは、丸山満彦です。

2010年からNATO Cooperative Cyber Defense Center of Excellence(CCDCOE)によりタリンで開催されているLocked Shiekdsが、今年もタリンで、38カ国、3000名以上の参加者によりで、4月18日から21日に開催され、ことしの順位は、

  1. スウェーデン・アイスランド合同チーム
  2. エストニア・アメリカ合同チーム
  3. ポーランドチーム

だったようです。。。

日本からも参加していますね。。。毎年、参加し続けることが重要ですね。。。

 

・2023.04.21 Sweden-Iceland Joint Team Emerges on Top of Locked Shields 2023 Cyber Defense Exercise

Sweden-Iceland Joint Team Emerges on Top of Locked Shields 2023 Cyber Defense Exercise スウェーデン・アイスランド合同チーム、「ロックド・シールド2023」サイバー防衛演習の頂点に立つ
The most effective teams of Locked Shields 2023 were the Sweden-Iceland joint team, the Estonia-USA joint team, and the Polish team. Locked Shields 2023で最も効果的だったのは、スウェーデンとアイスランドの合同チーム、エストニアとアメリカの合同チーム、そしてポーランドチームだった。
Locked Shields 2023 was the most competitive exercise yet, with a big jump in quality among Blue Teams. Locked Shields is still growing and developing after all these years. “I am thankful for all the Blue Teams who make Locked Shields the unique exercise it is! I cannot stress enough how vital their contributions and feedback are to us,” said Mart Noorma, the Director of NATO CCDCOE. Locked Shields 2023は、Blue Teamsのクオリティが大きく跳ね上がり、これまでで最も競争力の高い演習となった。Locked Shieldsは、何年経っても成長し、発展し続けている。NATO CCDCOEのディレクターであるMart Noorma氏は、次のように述べている。「Locked Shieldsをユニークな演習にしてくれたすべてのブルーチームに感謝している!彼らの貢献とフィードバックが我々にとっていかに重要であるかは、いくら強調してもしきれません」。
The Sweden-Iceland joint team emerged as the most effective participant, followed by the Estonia-USA joint team and the Polish team. Effective teams foster strong collaboration between their strategic decision-makers and technicians to address all elements of a large-scale cyber attack. 最も効果的な参加者はスウェーデンとアイスランドの合同チームで、次いでエストニアとアメリカの合同チーム、ポーランドのチームだった。効果的なチームは、大規模なサイバー攻撃のすべての要素に対処するために、戦略的意思決定者と技術者の間で強力な協力体制を構築している。
Teams that can effectively handle all the challenges across various categories of a large-scale cyber attack are those that foster strong collaboration between their strategic decision-makers and technicians. By working together, they can ensure that all the attack elements are properly addressed, resulting in a more successful outcome. 大規模サイバー攻撃のさまざまなカテゴリーにまたがるすべての課題に効果的に対処できるチームは、戦略的意思決定者と技術者の強い協力関係を育んでいるチームである。連携することで、すべての攻撃要素に適切に対処することができ、結果的に成功につながるのである。
“The fact that more and more nations are joining shows the quality and value of Locked Shields. Thanks to our partners, we can offer the training audiences new technical challenges and new avenues to explore. Learning to tackle new opposition, adapt, and collaborate are the main aims of Locked Shields,” added Noorma. 「より多くの国が参加しているという事実は、Locked Shieldsの品質と価値を示している。私たちのパートナーのおかげで、トレーニングの参加者に新しい技術的な挑戦と新しい道を提供することができます。新しい敵に挑み、適応し、協力することを学ぶことが、Locked Shieldsの主な目的である」とNoormaは付け加えた。
“There has been a noticeable jump in quality, which was impressive. For us, Locked Shields is the pinnacle of cyber defence exercises out there. We saw that training audience had prepared well, and team compositions were well thought through. As always, the participants provided invaluable experience for the organisers as well. Hats off to all the players and organisers!” said Carry Kangur, Head of the Exercise. 演習の責任者であるキャリー・カングールは、「クオリティが著しく向上したことは印象的だった。私たちにとって、Locked Shieldsはサイバー防衛演習の最高峰である。訓練参加者はよく準備し、チーム編成もよく考えられていることがわかった。いつものように、参加者は主催者側にも貴重な経験を提供してくれた。参加者の皆さん、そして主催者の皆さん、本当にお疲れ様だった」と述べた。
Kangur added that each of the 24 participating teams could be regarded as winners as they will likely have gained valuable and relevant training experience from Locked Shields, which offers a unique opportunity for teams to test their skills in a safe environment. “I know many people want to know who comes out on top. Even though scoring is a big part of the exercise, for us, it is more important to see participants adding new partners, members, and nations into their teams. It might sound like a cliché, but everybody is a winner at Locked Shields.” カングールは、次のように述べた。「参加した24チームは、安全な環境で自分たちのスキルを試すユニークな機会を提供するLocked Shieldsから、貴重で適切なトレーニング経験を得たと考えられるので、それぞれ勝者とみなすことができる。多くの人が、誰が優勝したのか知りたがっているのは知っている。しかし、私たちにとっては、参加者が自分のチームに新しいパートナーやメンバー、国を加えていく様子を見ることの方が重要である。陳腐な表現に聞こえるかもしれないが、Locked Shieldsでは誰もが勝者なのである」。
Locked Shields is an annual NATO CCDCOE’s cyber defence exercise designed to test and improve the preparedness of member nations and partners against large-scale cyber attacks. Locked Shieldsは、大規模なサイバー攻撃に対する加盟国やパートナーの備えをテストし、改善することを目的としたNATO CCDCOEのサイバー防衛演習として毎年開催されている。

 

1_20230412154201

 


 

⚫︎ まるちゃんの情報セキュリティ気まぐれ日記

・2023.04.12 NATO 世界最大級のサイバー防衛演習「Locked Shields」に3000人以上が参加

 

 

| | Comments (0)

米国 CISA SBOM関連の二文書

こんにちは、丸山満彦です。

CISAがSBOMに関連する文書を「SBOMの種類」と「VEXの最小要件」の二つ出していますね。。。

 

⚫︎ CISA

ニュースリリース

・2023.04.21 CISA Releases Two SBOM Documents

CISA Releases Two SBOM Documents CISAがSBOMの2つのドキュメントを公開
Today, CISA released two community-drafted documents around Software Bill of Materials (SBOM)Types of SBOM documents and Minimum Requirements for Vulnerability Exploitability eXchange (VEX).  本日、CISAはソフトウェア部品表(SBOM)に関する2つのコミュニティ起草文書を公開しました: 「SBOM文書の種類」と「脆弱性悪用可能性交換(VEX)の最小要件」である。 
The Types of SBOM document summarizes common types of SBOMs that tools may create in the industry today, along with the data typically presented for each type of SBOM. As software goes from planning to source to build to deployed and used, tools may be able to detect subtle differences in the underlying components. These types will allow for better differentiation of tools and in the broader marketplace. 「SBOMの種類」は、今日、業界でツールが作成する可能性のある一般的なSBOMの種類と、各SBOMの種類に対して通常提示されるデータを要約している。ソフトウェアが計画からソース、ビルド、配備、使用へと進むにつれ、ツールは基礎となるコンポーネントの微妙な差異を検出できるようになるかもしれない。これらのタイプは、ツールおよび広範な市場でのより良い差別化を可能にする。
The Minimum Requirements for VEX document specifies the minimum elements to create a VEX document. This will allow interoperability between different implementations and data formats of VEX. It will also help promote integration of VEX into novel and existing security tools. This document also specifies some optional VEX elements. 「VEXの最小要件」文書では、VEX文書を作成するための最小限の要素を規定している。これにより、VEXの異なる実装やデータフォーマット間の相互運用性が可能になる。また、新規および既存のセキュリティ・ツールへのVEXの統合を促進するのに役立つ。また、この文書では、いくつかのオプションのVEX要素も規定している。
Led by CISA, both publications were debated and drafted by a community of industry and government experts with the goal to offer some common guidance and structure for the large and growing global SBOM community. CISAが主導し、両出版物は、大きく成長する世界のSBOMコミュニティに共通の指針と構造を提供することを目的として、業界と政府の専門家のコミュニティによって議論され、起草された。

 

 

・2023.04.21 Types of Software Bill of Materials (SBOM)

Types of Software Bill of Materials (SBOM) ソフトウェア部品表(SBOM)の種類
This document summarizes some common types of SBOMs that tools may create today, along with the data typically presented for each type of SBOM. It was drafted by a community-led working group on SBOM Tooling and Implementation, facilitated by CISA. この文書は、今日ツールが作成する可能性のあるいくつかの一般的なタイプのSBOMと、各タイプのSBOMに通常提示されるデータをまとめたものである。この文書は、CISAが進行役を務めるSBOMツールおよび実装に関するコミュニティ主導のワーキンググループによって起草された。

 

・[PDF

20230425-23812

 

Types of Software Bill of Material (SBOM) Documents  ソフトウェア部品表(SBOM)の種類 
Introduction  はじめに 
Today there is a widely used definition of the minimum content of a Software Bill of Material (SBOM).1 However, an SBOM may contain different forms of the minimum information sourced from different product artifacts. Given the disparate ways SBOM data can be collected, tool outputs may vary and provide value in different use cases. This document summarizes some common types of SBOMs that tools may create today, along with the data typically presented for each type of SBOM. An SBOM document may combine information for multiple SBOM types.  今日、ソフトウェア部品表(SBOM)の最小限の内容に関する広く使用されている定義がある1。しかし、SBOMには、異なる製品の成果物から得られた最小限の情報の異なる形式が含まれる場合がある。SBOMデータの収集方法が多様であるため、ツールの出力は異なるユースケースで価値を提供する可能性がある。この文書では、今日ツールが作成する可能性のあるいくつかの一般的なタイプのSBOMと、各タイプのSBOMに対して通常提示されるデータを要約する。SBOM文書では、複数のSBOMタイプに関する情報を組み合わせることができる。
Definitions and Discussions  定義と議論 
The following two tables summarize the different types of SBOMs and the benefits and limitations of each type. This list of SBOM types is not intended to be tightly tied to the software lifecycle. Some SBOM types may be available and useful across multiple lifecycle phases, while others may be available only in one lifecycle phase. Also, the data presented within an SBOM type may vary, depending on the software’s lifecycle phase and industry.  次の2つの表は、SBOMのさまざまな種類と、それぞれの種類の利点と制限をまとめたものである。この SBOM タイプのリストは、ソフトウェアライフサイクルと緊密に関連付けることを意図してはいない。SBOMの種類によっては、複数のライフサイクルフェーズで利用可能で有用なものもあれば、あるライフサイクルフェーズでのみ利用可能なものもある。また、ソフトウェアのライフサイクルフェーズや業界によって、SBOMタイプで示されるデータは異なる場合がある。
Conclusion   結論  
These definitions are meant as a starting point for clarifying SBOM types that varying tooling types and methods may create. Different tooling approaches may be required to create the same SBOM type for different kinds of software. This document may evolve as the innovation around SBOMs and their uses may require the addition of more SBOM types. Progress in adopting and refining Vulnerability Exploitability eXchange[1] (i.e., VEX), service dependencies, and “SBOM of SBOMs,” among others, may require additional types of SBOMs.   これらの定義は、さまざまなツールタイプおよび方法が作成する可能性のあるSBOMタイプを明確にするための出発点として意図されている。異なる種類のソフトウェアに対して同じ SBOM タイプを作成するために、異なるツールアプローチが必要となる場合がある。SBOMとその使用に関する技術革新により、より多くのSBOMタイプを追加する必要があるため、この文書は進化する可能性がある。脆弱性悪用可能性交換[1](すなわちVEX)、サービス依存性、および「SBOMのSBOM」等の採用および改良の進展により、SBOMの追加タイプが必要となる可能性がある。 
[1] See https://ntia.gov/files/ntia/publications/vex_one-page_summary.pdf for an initial overview. More information will be available at https://www.cisa.gov/sbom. 

 

SBOMタイプ  定義  データ内容  メリット  制限事項 
デザイン 
Design 
新しいソフトウェア成果物のために意図され、計画されたソフトウェアプロジェクトまたは製品に含まれるコンポーネント(一部はまだ存在しないかもしれない)のSBOM。 通常、設計仕様書、RFP、または初期コンセプトから派生する。 ライセンス購入や取得に先立ち、互換性のないコンポーネントを強調する。 非常に難しいかもしれない。
開発者が使用する部品リストとして、承認または推奨する部品リストを定義している。 他のSBOMタイプに比べ、細部まで確認することができない。
ソース
Source
製品アーティファクトを構築するために使用される開発環境、ソースファイル、および含まれる依存関係から直接作成されるSBOM。  通常、ソフトウェア構成分析(SCA)ツールから生成され、手動で明確化される。 ビルドプロセスにアクセスすることなく可視化できる。 実行されない、あるいは配備されたコードでコンパイルされないコンポーネント(脆弱性を持つ可能性がある)を強調するかもしれない。 
脆弱性をソースで修正することを容易にすることができる。 言語/エコシステムによっては、ランタイム、プラグイン、またはアプリケーションサーバーやプラットフォームライブラリのような動的コンポーネントを含まない場合がある。
含まれるコンポーネントの依存関係ツリー/階層を表示することができる。 完全性のために他のSBOMへの参照を必要とする場合がある。
ビルド
Build
ソースファイル、依存関係、ビルドされたコンポーネント、ビルドプロセスのエフェメラルデータ、および他のSBOMなどのデータから、リリース可能なアーティファクト(実行ファイルまたはパッケージなど)を作成するためにソフトウェアを構築するプロセスの一部として生成されたSBOM。 通常、ビルドプロセスの一部として生成される。最終的なリリース成果物SBOMのために、統合された中間ビルドおよびソースSBOMで構成されることがある。 ビルドやCI/CD(Continuous Integration/Continuous Deployment)プロセスで得られる情報により、製品アーティファクトのSBOM表現が正しいという信頼性が高まる。 このSBOMを生成するために、ビルドプロセスを変更する必要があるかもしれない。
ソースコードだけでなく、より多くのコンポーネントを可視化することができる。 ビルドが実行されるビルド環境に大きく依存する。
同じビルドワークフローで SBOM と製品アーティファクトの署名を可能にすることで、信頼性を向上させる。 間接的な依存関係や実行時の依存関係を把握することが困難な場合がある。
  動的にリンクされた依存関係(言語やエコシステムによって実行時に置き換わる可能性がある)の正しいバージョンを含んでいない可能性がある。
分析済み
Analyzed 
ビルド後のアーティファクト(実行ファイル、パッケージ、コンテナ、仮想マシンイメージなど)の解析を通じて生成されるSBOM。このような分析には、一般にさまざまなヒューリスティックが必要である。文脈によっては、これは「サードパーティ」SBOMとも呼ばれることがある。 通常、サードパーティツールによる成果物の分析を通じて生成される。  レガシーファームウェアの成果物のように、アクティブな開発環境がなくても可視化できる。 ソフトウェアコンポーネントを正確に分解・認識できないため、省略やエラー、近似値が発生する可能性がある。 
ビルドプロセスにアクセスする必要がない。 ヒューリスティックやコンテキスト固有のリスク要因に依存する可能性がある。
他のソースからの SBOM データの検証を支援することができる。他のSBOMタイプ作成ツールで見落とされている隠れた依存関係を見つけることができる。  
実装された
Deplyed 
システム上に存在するソフトウェアのインベントリーを提供するSBOM。これは、構成オプションの分析、および(潜在的にシミュレートされた)展開環境での実行動作の調査を組み合わせた、他のSBOMのアセンブリである可能性がある。 通常、システムにインストールされた成果物のSBOMと構成情報を記録することによって生成される。  システム上にインストールされたソフトウェアコンポーネント(アプリケーションを実行するために使用されるその他の設定やシステムコンポーネントを含む)を表示します。  インストールやデプロイのプロセスを変更する必要がある場合があります。
アクセスできないコードにコンポーネントが存在する可能性があるため、ソフトウェアの実行環境を正確に反映できない可能性がある。
ランタイム
(Runtime)
ソフトウェアを実行するシステムを計測して生成されたSBOM。システム内に存在するコンポーネントだけでなく、外部呼び出しまたは動的にロードされるコンポーネントも捕捉する。文脈によっては、これを「計装」または「動的」SBOMと呼ぶこともある。 通常、システムと相互作用するツールから、実行中の環境および/または実行されたアーティファクトを記録することによって生成される。 動的にロードされるコンポーネントや外部接続を含め、システム実行時に何が使用されているかを把握するための可視性を提供する。 実行中のシステムを解析する必要があるため、オーバーヘッドが発生する可能性がある。
コンポーネントがアクティブかどうか、どの部分が使用されているかなどの詳細情報を含むことができる。 詳細な情報は、システムの全機能が使用されるまで一定期間実行された後でなければ得られない場合がある。

 

・2023.04.21 Minimum Requirements for Vulnerability Exploitability eXchange (VEX)

Minimum Requirements for Vulnerability Exploitability eXchange (VEX) 脆弱性悪用可能性交換(VEX)の最小要件
This document specifies the minimum elements to create a Vulnerability Exploitability eXchange (VEX) document. These elements are derived from, but may not fully conform to, existing VEX documentation and implementations. It was drafted and debated by experts from across the security and software world, representing different sectors and backgrounds. この文書は、脆弱性悪用可能性交換(VEX)文書を作成するための最小限の要素について規定するものである。これらの要素は、既存のVEX文書や実装に由来するものであるが、完全に適合するものではない可能性がある。この文書は、セキュリティとソフトウェアの世界の様々な分野と背景を持つ専門家によって起草され、議論された。

 

 

・[PDF]

20230425-23828

 

 

| | Comments (0)

2023.04.24

B7 東京サミット共同提言

こんにちは、丸山満彦です。

G7が今回は日本で開催されますが、それに合わせて、G7国の経済団体のB7が東京で開催され、共同提言が行われましたね。。。

市場の分断の負の影響を低減させる必要性について強調していますね。。。

もちろん、デジタル(セキュリティを含む)に関することにも言及されていますね。。。

 

原文は英語ですが、日本語訳については、経団連から公表されています。

⚫︎日本経済団体連合

・2023.04.20 B7東京サミット共同提言

目次...

 


Ⅳ.デジタルトランスフォーメーション

1.「自由で公正な貿易投資のためのクラブ」を通じたDFFTの実現

2.データ保護制度間の相互運用性の実現

3.ガバメント・アクセスに係るルール設定

4.セキュリティの確保

(1) サイバーセキュリティの強化

COVID-19のパンデミックによるデジタル化の進展や、社会・経済活動の変化に伴い、産業界のみならず社会全体でサイバー空間と実空間との融合が進展している。一方でサプライチェーンを介したサイバー攻撃も増加している。また、地政学的緊張の高まりがサイバー空間にまで及ぶにつれ、サイバーセキュリティは国家安全保障の重要な分野となりつつある。このような状況下、「Society 5.0 for SDGs」の実現に向けた価値創造とバリューチェーン構築、リスク管理の観点から、G7は、運用上の協力、グローバルサウスに対するキャパシティビルディング、異なった制度間の調和に向けた対話などを推進すべきである。

(2) ディスインフォメーションへの対応

基本的人権の根本である表現の自由が保障されなければならない一方、悪意ある情報を含むディスインフォメーションは民主主義と国家安全保障を脅かす可能性がある。本件は市民の自由と安全保障上の考慮に関する憲法上の議論を含む問題であるため、G7各国はそれぞれの方法でディスインフォメーションへの対応と検閲の禁止といった課題に対処し、必要に応じて情報とベストプラクティスを共有すべきである。

5.デジタル技術の開発

6.キャパシティビルディング


 

 となっていますね。。。

原文は英語です。。。

・2023.04.20 B7 Tokyo Summit Joint Recommendation

 

欧州のビジネスヨーロッパでも公表されていますね。。。

⚫︎ Business Europe

・2023.04.20 B7 Tokyo Summit - Joint recommendation

・[PDF]

20230424-122756

 

 

| | Comments (0)

アイルランド データ保護局 GDPR第30条 取扱活動の記録についてのガイダンス

こんにちは、丸山満彦です。

アイルランドのデータ保護局が、GDPR第30条 取扱活動の記録についてのガイダンスを公表していますね。。。

⚫︎ An Coimisiún um Chosaint Sonraí

・2023.04 Records of Processing (Article 30) Guidance

Records of Processing (Article 30) Guidance 取扱活動の記録(第30条)のガイダンス
Article 30 of the General Data Protection Regulation (GDPR) requires Data Controllers to maintain a Record of Processing Activities (RoPA) under their responsibility. Article 30 GDPR prescribes the information the records must contain and states that controllers and processors must be in a position to provide such records to the Data Protection Commission (DPC) on request. The Records of Processing Activities (RoPA), as a measure to demonstrate compliance, is one of the means by which Data Controllers demonstrate and implement the principle of accountability as set out in Article 5(2) GDPR. A well drafted RoPA will demonstrate to the DPC that a Data Controller is aware of, and has considered the purpose of, all processing activities taking place within the organisation. 一般データ保護規則(GDPR)第30条は、データ管理者がその責任の下で取扱活動の記録(RoPA)を維持することを求めている。GDPR第30条では、記録が含まなければならない情報を規定し、管理者および処理者は、要求に応じてデータ保護委員会(DPC)に当該記録を提供できる状態になければならないとされている。コンプライアンスを実証する手段としての取扱活動記録(RoPA)は、データ管理者がGDPR第5条(2)に定める説明責任の原則を実証し、実施する手段の1つである。よく練られたRoPAは、データ管理者が組織内で行われるすべての処理活動の目的を認識し、検討していることをDPCに示すものである。
This guidance should assist controllers with compliance with Article 30 of the GDPR. このガイダンスは、GDPR第30条を遵守する管理者の助けとなるだろう。

 

・[PDF] Guidance Note: Records of Processing Activities (RoPA) under Article 30 GDPR

20230424-55049

 

Contents  目次 
Introduction  はじめに 
Article 30 - What is required  第30条 要求されること
 • Article 30(1)  ・第30条第1項
 • Article 30(2) ・第30条第2項
 • Article 30(3) ・第30条(3)
 • Article 30(4) ・第30条第4項
 Exemptions to Article 30: Small and Medium Enterprises  第30条の適用除外 中小企業 
Record of Processing Activities: 'Dos and Don'ts'  取扱活動の記録: 「やるべきこと、やってはいけないこと」
'Dos' for Organisations  組織のための「やるべきこと」。
 Break down the RoPA with reference to the different functions within the organisation   組織内のさまざまな機能を参照してRoPAを分解する。
 Use the RoPA as a tool to demonstrate compliance with the Accountability principle as set out in Article 5 GDPR   GDPR第5条に定めるアカウンタビリティ原則の遵守を証明するツールとしてRoPAを使用する。
 include relevant extra information as appropriate   適宜、関連する追加情報を含む 
 Gain buy-in across the organisation   組織全体の賛同を得る 
 Maintain a living document   生きた文書を維持する 
'Don'ts' for orgnanisation  組織にとっての「やってはいけない」こと 
 Neglect to update the RoPA   RoPAの更新を怠る
 Don't cut corners with detail and granularity   詳細と粒度の手抜きをしないこと 
 Don't maintain a RoPA that is not self-explanatory   自明でないRoPAを維持しないこと 
RoPAs for Smaller Organisations  小規模な組織のためのRoPA 
Records of Processing Activities Examples  取扱活動の記録例 
INTRODUCTION  はじめに 
Article 30 of the General Data Protection Regulation (GDPR) requires Data Controllers to maintain a Record of Processing Activities (RoPA) under their responsibility. The GDPR also requires Data Processors to maintain a record of all categories of processing activities carried out on behalf of each Data Controller they work with. Article 30 GDPR prescribes the information the records must contain and states that controllers and processors must be in a position to provide such records to the Data Protection Commission (DPC) on request. The Records of Processing Activities (RoPA), as a measure to demonstrate compliance, is one of the means by which Data Controllers demonstrate and implement the principle of accountability as set out in Article 5(2) GDPR. A  well drafted RoPA will demonstrate to the DPC that a Data Controller is aware of, and has considered the purpose of, all processing activities taking place within the organisation. The RoPA should also demonstrate that the Data Controller has considered the implications of the processing of the personal data, the specific and limited personal data required for each activity, and the particularities of managing the security and retention of the personal data to be processed.  一般データ保護規則(GDPR)第30条では、データ管理者がその責任の下で取扱活動の記録(RoPA)を維持することを求めている。また、GDPRは、データ取扱者に対し、連携する各データ管理者に代わって実施されるすべてのカテゴリーの取扱活動の記録を保持するよう求めている。GDPR第30条では、記録が含むべき情報を規定し、管理者と取扱者は、要求に応じてデータ保護委員会(DPC)に当該記録を提供できる状態になければならない。コンプライアンスを実証する手段としての取扱活動記録(RoPA)は、データ管理者がGDPR第5条(2)に定める説明責任の原則を実証し、実施する手段の1つである。よく練られたRoPAは、データ管理者が組織内で行われるすべての取扱活動の目的を認識し、検討していることをDPCに示すものである。また、RoPAは、データ管理者が個人データの取扱の意味、各活動に必要な特定かつ限定された個人データ、取扱される個人データのセキュリティと保持を管理する特殊性を考慮したことを示す必要がある。
By way of other legislation on Records of Processing Activities, Article 24 of the Law Enforcement Directive (LED) and Section 81 of the Data Protection Act 2018 also require the maintenance of records of processing activities carried out under the LED, and prescribe the specific information such records must contain.   取扱活動の記録に関する他の法律により、法執行指令(LED)の第24条およびデータ保護法2018の第81条も、LEDの下で実施される取扱活動の記録の維持を要求し、当該記録が含むべき特定の情報を規定している。 
Article 57 GDPR details the ‘tasks’ to be performed by the DPC in relation to the GDPR. These tasks include creating awareness with data controllers and processors of their obligations. The DPC is also tasked with monitoring and enforcing the application of the GDPR. It was with these obligations in mind  that in early 2022 the DPC conducted a ‘sweep’ of the Records of Processing Activities of thirty organisation, across both the public and private sectors, to identify common issues arising and possible shortcomings in respect of the drafting and maintenance of RoPAs held by organisations. As part of the sweep, the DPC requested that organisations of various sizes, in both the public and private sector, send their RoPA to the DPC for review . As a result of the sweep, the findings made on examination of the RoPAs and the analysis of those findings, the DPC has drafted the below guidance. This guidance has been drafted to assist organisations in complying with their Article 30 obligations. Particular emphasis is placed on the positive practices identified over the course of the sweep.  GDPR第57条は、GDPRに関連してDPCが行うべき「タスク」を詳述している。これらの任務には、データ管理者および取扱者の義務に関する認識を高めることが含まれる。また、DPCは、GDPRの適用を監視し、実施することも任務としている。このような義務を念頭に置いて、DPCは2022年初頭、官民を問わず30組織の取扱活動記録の「掃討」を行い、組織が保有するRoPAの起草と維持に関して生じる共通の問題や考えられる欠点を特定したのである。この調査の一環として、DPCは、官民を問わず様々な規模の組織に対し、RoPAをDPCに送付し、レビューしてもらうよう要請した。掃討作戦の結果、RoPAを調査した結果、DPCは以下のガイダンスを起草した。このガイダンスは、組織が第30条の義務を遵守することを支援するために作成されたものである。特に、調査期間中に確認されたポジティブな慣行に重点を置いている。
Shortcomings which were identified have also been highlighted, to assist organisations as to ‘What Not to Do’.   また、「やってはいけないこと」として組織を支援するために、識別された欠点も強調されている。 
Article 30 - What is required  第30条 要求されること
Article 30 of the GDPR places an obligation on controllers and processors to have in place within their organisations a detailed record which accurately identifies the activities the organisation carries out which use personal data. Failure to identify all relevant processing activities may result in personal data being processed in a way that is not in compliance with the GDPR. It may also mean that appropriate technical and organisational measures to protect the personal data being controlled or processed by an organisation are not put in place.  GDPR第30条は、管理者と取扱者に対し、個人データを使用する組織の活動を正確に特定する詳細な記録を組織内に設置する義務を課している。関連するすべての取扱活動を特定できない場合、GDPRに準拠しない方法で個人データが取扱される可能性がある。また、組織が管理または取扱する個人データを保護するための適切な技術的および組織的な措置が講じられていないことを意味する場合もある。
• Article 30(1) GDPR provides that all organisations that process personal data, either as a data controller or as their representative, shall maintain a record of the processing activities under its responsibility.  Article 30(1) prescribes that this record must contain all of the following:  ・第30条1項GDPRは、データ管理者またはその代理人として個人データを取扱するすべての組織が、その責任の下で取扱活動の記録を保持することを規定している。 第30条(1)は、この記録には以下のすべてを含まなければならないと規定している: 
a) The name and contact details of the controller and, where applicable, the joint controller, the controller's representative and the Data Protection Officer (DPO);  a) 管理者、場合によっては共同管理者、管理者の代表者及びデータ保護責任者(DPO)の氏名及び連絡先; 
b) The purposes of the processing;  b) 取扱の目的; 
Ø Why the organisation is using the personal data in question, for example,  for the purposes of payroll management.  Ø 組織が当該個人データを使用する理由、例えば、給与管理の目的など。
c) A description of the categories of data subjects and of the categories of personal data;  c) データ主体のカテゴリおよび個人データのカテゴリの説明; 
Ø For example, both employees and clients of an organisation are examples of categories of data subjects .  Ø 例えば、組織の従業員と顧客の両方が、データ主体のカテゴリーの例である。
Ø Categories of personal data include contact details, previous employment history, and the health records of employees.  Ø 個人データのカテゴリーには、連絡先の詳細、過去の職歴、従業員の健康記録などがある。
d) The categories of recipients to whom the personal data have been, or will be disclosed, including recipients in third countries or international organisations;  d) 個人データが開示された、または開示される予定の受領者(第三国または国際機関の受領者を含む)の分類; 
Ø By way of example, this would include an external HR company subcontracted to deal with an internal HR matter.  Ø 例として、社内の人事問題に対処するために下請けされた外部の人事会社が含まれる。
e) Where applicable, transfers of personal data to a third country or an international organisation, including the identification of that third country or international organisation and, in the case of transfers referred to in the second subparagraph of Article 49(1), the documentation of suitable safeguards;   e) 該当する場合、第三国または国際組織への個人データの移転(当該第三国または国際組織の特定、および第49条(1)第2項に言及する移転の場合、適切な保護措置の文書化を含む); 
Ø This would include the transfer of information to an international organisation such as an international NGO or to a processor based outside of the European Economic Area (EEA).  Ø これには、国際NGOなどの国際組織や欧州経済領域(EEA)外に拠点を置く取扱業者への情報の移転が含まれる。
f) Where possible, the envisaged time limits for erasure of the different categories of data;  f) 可能な場合、異なる種類のデータの消去のための想定される期限; 
Ø This is likely to be organisation dependant and may be set by statute, internal policies, industry guidelines or a combination of all three.  Ø これは組織に依存する可能性が高く、法令、内部方針、業界ガイドライン、またはこれら 3 つの組み合わせによって設定される可能性がある。
g) Where possible, a general description of the technical and organisational security measures referred to in Article 32(1);  g) 可能であれば、第32条(1)で言及された技術的及び組織的なセキュリティ対策の一般的な説明書; 
Ø This may include, for example, the encryption of records, access controls and staff training.   Ø これには、例えば、記録の暗号化、アクセス制御、スタッフのトレーニングが含まれる。 
• Article 30(2) GDPR details the records of processing which must be maintained by data processors or their representatives. This includes that a processor’s representative must maintain a record of all categories of processing activities carried out on behalf of a controller, containing;  ・GDPR第30条(2)では、データ取扱者またはその代理人が維持しなければならない取扱の記録について詳述している。これには、取扱者の代理人は、管理者に代わって実施されるすべてのカテゴリーの取扱活動について、以下を含む記録を維持しなければならないことが含まれる; 
a) The name and contact details of the processor or processors and of each controller on behalf of which the processor is acting, and, where applicable, of the controller’s or the processor’s representative, and the data protection officer;  a) 取扱者または取扱者、および取扱者が代行する各管理者の名前と連絡先、および該当する場合は管理者または取扱者の代表者、データ保護責任者の名前; 
b) The categories of processing carried out on behalf of each controller;  b) 各管理者に代わって実施される取扱のカテゴリー; 
c) Where applicable, transfers of personal data to a third country or an international organisation, including the identification of that third country or international organisation and, in the case of transfers referred to in the second subparagraph of Article 49(1), the documentation of suitable safeguards;  c) 該当する場合、第三国または国際機関への個人データの移転。当該第三国または国際機関の特定、および第49条第1項第2号に言及する移転の場合、適切な保護措置の文書化を含む; 
Where possible, a general description of the technical and organisational security measures referred to in Article 32(1).  可能な場合、第32条(1)で言及された技術的及び組織的なセキュリティ対策の一般的な説明。
• Article 30(3) GDPR requires the controller to maintain the records prescribed by Article 30 ‘in writing, including in electronic form’.    ・GDPR第30条(3)は、管理者に対し、第30条に規定される記録を「電子形式を含む書面で」維持することを要求している。  
• Article 30(4) GDPR requires the controller to make the record available to the supervisory authority (the DPC) on request.   ・GDPR第30条(4)は、管理者に、要求に応じて監督当局(DPC)が記録を利用できるようにすることを要求している。 
Exemptions to Article 30: Small and Medium Enterprises  第30条の適用除外 中小企業 
• Article 30(5) GDPR provides for certain circumstances where the obligations set out in Article 30(1)-30(4) GDPR do not apply. A derogation, or exemption, to the obligations applies in circumstances where an organisation employs fewer than 250 persons. However this derogation does not apply to processing which constitutes any of the following:  ・GDPR第30条5項は、GDPR第30条(1)~(4)に定める義務が適用されない特定の状況について規定している。組織が250人未満の従業員を雇用している場合、この義務の免除が適用される。ただし、この免除は、以下のいずれかに該当する取扱には適用されない: 
a) Processing that is likely to result in a risk (and not just a high risk) to the rights and freedoms of data subjects. By way of example, this would include the processing of mortgage applications, the use of artificial intelligence, and the tracking of an individual’s location.  a) データ主体の権利と自由に対するリスク(高いリスクだけではない)をもたらす可能性のある取扱。例として、住宅ローン申請の取扱、人工知能の使用、個人の位置情報の追跡などが挙げられる。
b) Processing that is not occasional, such as HR  or pay related processing for employees or  b) 臨時ではない取扱、例えば、従業員の人事や給与に関する取扱や 
c) Processing that includes special categories of data or personal data relating to criminal convictions and offences. This would include Garda vetting, trade union membership, or biometric data processing.  c) 特別な種類のデータ、または犯罪歴および犯罪に関連する個人データを含む取扱。これには、Garda の審査、労働組合への加入、またはバイオメトリックデータ取扱などが含まれる。
• The occurrence of any one of these forms of processing triggers the obligation to maintain a Record of Processing Activities, however this obligation is only in respect of the particular type of processing that does not fall within the scope of the derogation.  For further information on the applicability of Article 30 GDPR, the DPC refers Data Controllers and Processors to the Article 29 Working Party position paper on Article 30(5) which has been endorsed by the European Data Protection Board. This position paper is available here.  ・これらの取扱形態のいずれかが発生した場合、取扱活動の記録を保持する義務が生じるが、この義務は、適用除外の範囲に含まれない特定の種類の取扱に関してのみ生じる。 GDPR第30条の適用に関する詳細については、DPCはデータ管理者および取扱者に、欧州データ保護委員会によって承認された第30条5項に関する29条作業部会のポジションペーパーを参照している。このポジションペーパーは、ここで入手可能である。
Record of Processing Activities: 'Dos and Don'ts'  取扱活動の記録: 「やるべきこと、やってはいけないこと」
'Dos' for Organisations  組織のための「やるべきこと」。
Break down the RoPA with reference to the different functions within the organisation  組織内のさまざまな機能を参照してRoPAを分解する。
RoPAs should be clearly broken down and detailed according to the different business units or functions within an organisation, such as HR, finance or marketing. This helps ensure that no processing activities are accidentally omitted when completing the RoPA.  It is suggested that this can be achieved by creating separate tables or spreadsheets for each business unit within an overall RoPA document or system.   RoPAは、人事、財務、マーケティングなど、組織内の異なるビジネスユニットや機能に応じて明確に分解し、詳細に記述する必要がある。これにより、RoPAの記入時に取扱活動が誤って省略されることがないようにすることができます。 これは、RoPA 文書またはシステム全体の中で、各ビジネスユニットごとに個別の表またはスプレッ ドシートを作成することによって達成できることが示唆される。 
•  It is advised that a data mapping exercise should be done by organisations to clarify what data organisations hold and where. Relevant units across the organisation should be involved in this process to again ensure that nothing is omitted.  ・組織がどのようなデータをどこで保有しているかを明確にするために、組織でデータマッピングを実施することが推奨される。このプロセスには、組織内の関連部門が参加し、漏れがないことを再度確認する必要がある。
Ø For example, controllers could start with a common business function such as HR. This business function is likely to have several different purposes for processing, with each purpose involving different categories of individuals (for example employees, contractors and interns) and with each individual having several categories of personal data (such as health and safety information, sick leave, payroll details).  Ø 例えば、管理者は、HRのような共通のビジネス機能から始めることができる。この業務機能には、複数の異なる取扱目的があり、それぞれの目的には異なる個人区分(従業員、契約社員、インターンなど)が含まれ、各個人には複数の個人区分(健康・安全情報、病気休暇、給与明細など)があると思われる。
Ø It is recommended that processors start with each controller they are processing data for, and then the breakdown of the different categories of personal data they are processing for each controller.  Ø 取扱者は、まず自分がデータ取扱をしている管理者ごとに、次に各管理者のために取扱している個人データの異なるカテゴリの内訳を説明することを推奨する。
By way of example of good practice, although the DPC is not saying a RoPA should be done in this matter, in the sweep conducted by the DPC it found that some organisations include every business area of the organisation in the RoPA to ensure accuracy and to ensure that no unit or function is omitted. This was the case even if some business areas conducted no processing of personal data. By way of a further example of good practice, although not suitable for every organisation, the DPC found that some organisations appear to find it beneficial to break the RoPA down by various different business locations, where more than one office or branch of the organisation exists.   グッドプラクティスの例として、DPCはこの件に関してRoPAを行うべきとは言っていませんが、DPCが行った調査では、正確性を確保し、単位や機能の漏れがないように、組織のすべてのビジネスエリアをRoPAに含めている組織があることがわかった。これは、たとえ個人データの取扱を行わないビジネスエリアがあったとしても同様である。また、すべての組織に当てはまるわけではないが、グッドプラクティスの一例として、DPCは、組織の事務所や支店が複数ある場合、RoPAをさまざまな事業所ごとに分けることが有益であると考える組織があることを発見した。 
Use the RoPA as a tool to demonstrate compliance with the Accountability  説明責任への準拠を証明するツールとしてRoPAを使用する。
principle as set out in Article 5 GDPR  GDPR第5条に規定される原則 
RoPAs should ensure to include granular and meaningful information. This means that RoPAs should go into specific detail for each category of data subject, category of personal data or processing activity.  RoPAは、粒状で意味のある情報を含むことを保証すべきである。つまり、RoPAは、データ主体のカテゴリー、個人データのカテゴリー、取扱活動ごとに具体的に詳しく説明する必要がある。
•  For example, retention periods are likely to differ depending on the category of data in question and the RoPA should reflect the retention period for each specific category.  ・例えば、保持期間は問題のあるデータのカテゴリーによって異なる可能性が高く、RoPAは特定のカテゴリーごとの保持期間を反映する必要がある。
Include relevant extra information as appropriate  適宜、関連する追加情報を含める 
The DPC identified in the sweep that many organisations include in their RoPA helpful extra information not explicitly listed in Article 30, for example:  DPCは、多くの組織がRoPAに、第30条に明示的に記載されていない有用な追加情報を含めていることを一斉に確認した: 例えば
• The Article 6 legal basis for processing  ・取扱の第6条法的根拠
• The Article 9 basis for the processing of special category data  ・特別なカテゴリーデータの取扱に関する第9条の根拠
• Whether a breach has occurred in respect of a particular processing activity  ・特定の取扱活動に関して違反が発生したかどうか
• The transfer mechanism relied upon when listing third country transfers, and  ・第三国転送をリストアップする際に依拠した転送メカニズムおよび
• Risk ratings the organisation may have assigned to each processing activity.  ・組織が各取扱活動に割り当てた可能性のあるリスク評価。
While including this information is helpful, the specific prescribed information as set out in Article 30 should never be overlooked.   このような情報を含めることは有益であるが、第30条に規定された特定の規定情報を決して見逃してはならない。 
It is advised that organisations specifically state which information has been prescribed by Article 30, and which information has been included as a ‘helpful extra’. This is to assist if different business areas and employees are inputting into the RoPA so that it will be obvious to a new reader which information is mandatory, and which information has been added to the RoPA as an additional extra. It is strongly advised that the prescribed information as detailed in Article 30 should not be buried or difficult to find in the RoPA document, or in any other document that an organisation may be using to satisfy the Article 30 requirements. For further information on this, see point three of the ‘Don’ts’ list below.  組織は、第30条で規定された情報と、「役に立つ追加情報」として含まれる情報を具体的に記載することを推奨する。これは、異なる事業分野や従業員がRoPAに入力する場合、どの情報が必須で、どの情報が追加事項としてRoPAに追加されたかが、初めて読む人にとって明白になるようにするためである。RoPA文書や、組織が第30条の要件を満たすために使用している他の文書において、第30条に詳述されている所定の情報が埋もれていたり、見つけにくかったりしないようにすることが強く推奨される。これに関する詳細は、以下の「してはいけないこと」リストのポイント3を参照すること。
Gain buy-in across the organisation  組織全体の賛同を得る 
The RoPA is an obligation which the data controller as a whole should be responsible for. It is recommended that the responsibility for completing the RoPA should not rest solely with the DPO. If it is solely an organisation’s DPO preparing and maintaining the RoPA there is the potential  processing activities may be missed, or that the RoPA will become a tick box compliance exercise. The DPC would suggest that the process can be led by the DPO with different areas of the organisation feeding into the process. There are different ways organisations can successfully gain buy-in from different areas of their organisation when completing the RoPA. The following are a number of suggestions of how to do so:  RoPAは、データ管理者全体が責任を持つべき義務である。RoPAを完成させる責任をDPOだけに負わせないことが推奨される。組織のDPOのみがRoPAを作成・管理する場合、取扱活動が見逃される可能性があり、またRoPAがチェックボックス式のコンプライアンスになる可能性がある。DPCは、このプロセスをDPOが主導し、組織のさまざまな領域がプロセスに参加することを提案する。RoPAを完了する際に、組織が組織のさまざまな領域から賛同を得るには、さまざまな方法がある。以下は、その方法に関するいくつかの提案である: 
• An organisation could internally set specific RoPA review dates, and request all sections of the organisation participate in the review. It may be helpful to be strategic in scheduling this review date at a time where there is likely to be capacity within the organisation to give the task of reviewing the RoPA due attention, for example, not in a busy period such as the run up to Christmas. ・組織内で特定のRoPAレビュー日を設定し、組織内のすべてのセクションがレビューに参加するように要求することができる。例えば、クリスマス前のような忙しい時期ではなく、組織内でRoPAのレビュー作業に十分な注意を払えるキャパシティがありそうな時期に、このレビュー日を戦略的に設定することが有効かもしれない。
• The DPC found that some organisations find it helpful to include definitions, or guidance and explanation sections in the RoPA document which can be used for reference, for example setting out typical examples of processing activities, categories or recipients, for that particular organisation. This helps members of the organisation who may not work closely with data protection issues to accurately provide the information required for the RoPA. ・DPCは、RoPA文書に、例えば、特定の組織における取扱活動、カテゴリー、または受領者の典型的な例を示すなど、参照に使用できる定義、またはガイダンスと説明のセクションを含めることが有益であると考える組織があることを発見した。これにより、データ保護の問題に密接に関与していない組織のメンバーが、RoPA に必要な情報を正確に提供することができる。
• Organisations should specifically set out the process owners- that is, who within each business function is responsible for maintaining the information required by Article 30 and who is responsible for centrally collating the document. ・組織は、プロセスの所有者、すなわち、各業務機能の誰が第30条で要求される情報の維持に責任を持ち、誰がその文書を集中的に照合する責任を持つかを明確に定めるべきである。
• Drop down menus can be used to ensure that a uniform, cohesive RoPA document is maintained. However free text fields should also be included for each processing activity to record nuanced information that may only be relevant to one particular processing activity. ・ドロップダウンメニューは、統一されたまとまりのあるRoPA文書が維持されるように使用することができる。しかし、特定の取扱活動にのみ関連する可能性のある微妙な情報を記録するために、取扱活動ごとにフリーテキストフィールドも含めるべきである。
Maintain a living document  生きた文書を維持する 
The RoPA should be a living, dynamic, document, which is continuously updated to reflect the current position of the organisation at all times with regard to their processing of personal data. To achieve this the following steps are recommended;  RoPAは、生きた、動的な、文書であるべきであり、個人データの取扱に関する組織の現在の立場を常に反映するように継続的に更新される。これを達成するために、以下のステップを推奨する; 
• To this end, it is likely an electronic (rather than paper based) RoPA will be more suitable for the majority of organisations, so that it can be edited and saved easily. ・そのためには、編集や保存が簡単にできるように、(紙ベースではなく)電子版のRoPAが大多数の組織に適していると思われる。
• As part of employee training, business units should be aware that new products or services that require the processing of personal data should be added to the RoPA as they are rolled out. ・従業員教育の一環として、事業部門は、個人データの取扱を必要とする新しい製品またはサービスが展開される際に、RoPAに追加する必要があることを認識する必要がある。
• It is recommended that processing activities no longer taking place are marked as such or removed from the live RoPA. However, maintenance of an archive of ・もはや行われていない取扱活動は、そのようにマークされるか、ライブのRoPAから削除されることが推奨される。ただし、個人情報のアーカイブを維持することは
obsolete processing activities should be kept for accountability purposes if removal is the preferred option within the organisation.  組織内で削除が好ましい選択肢である場合、廃止された取扱活動は、説明責任のために保管されるべきである。
‘Don’ts’ for Organisations  組織にとっての「やってはいけない」こと 
Neglect to update the RoPA  RoPAの更新を怠る
As stated in the ‘Dos’ section above, the RoPA should be maintained as a living and dynamic  document. The DPC found that in the course of the sweep conducted some organisations found it challenging to provide a copy of their RoPA within the ten day period requested by the DPC. Some organisations did not meet the deadline given. As stated above, the RoPA should be maintained sufficiently such that it is ‘ready to go’ at any time.  上記の「やってはいけないこと」のセクションで述べたように、RoPAは生きた動的な文書として維持されるべきである。DPCが実施した調査の過程で、DPCが要求した10日以内にRoPAのコピーを提供することが困難な組織があることが判明した。また、期限を守らない組織もあった。上記のように、RoPAはいつでも「すぐに使える」ように十分な整備が必要である。
• The obligation under Article 30 is to ‘maintain’ a record of processing and ‘make the record available to the supervisory authority on request’; therefore, the DPC advises that ten days should be sufficient notice for any organisation in all circumstances. ・第30条に基づく義務は、取扱の記録を「維持」し、「要求に応じて監督当局に記録を提供する」ことである。したがって、DPCは、あらゆる状況において、どの組織にとっても10日間が十分な通知となるはずだとアドバイスしている。
• Organisations should note that the DPC may carry out similar compliance sweeps in the future. The DPC may also request the RoPA from a controller as part of other regulatory activities being carried out, including but not limited to, breach notification management, complaint handling, Inquiries and investigations. ・組織は、DPCが将来的に同様のコンプライアンス・スイープを実施する可能性があることに留意する必要がある。また、DPCは、違反通知管理、苦情取扱、照会および調査など、実施中の他の規制活動の一環として、管理者にRoPAを要求する場合がある。
• Failure to have such documentation to hand could be considered as non-compliance with the GDPR. ・このような文書が手元にない場合、GDPRの不遵守とみなされる可能性がある。
Ø It should be noted that providing the DPC with RoPA templates or a ‘sample’ of the RoPA is not sufficient, as the requirement under Article 30 is to make the actual RoPA maintained available to the supervisory authority on request. Ø 第30条の要件は、維持されている実際のRoPAを監督当局の要求に応じて利用可能にすることであるため、DPCにRoPAテンプレートまたはRoPAの「サンプル」を提供するだけでは十分ではないことに留意する必要がある。
• RoPAs should not refer to out of date or expired information, for example referring to the Privacy Shield as the mechanism for the transfer of personal data to the US. ・RoPAは、例えば、米国への個人データ移転の仕組みとしてプライバシーシールドに言及するなど、古くなった情報や期限切れの情報を参照すべきではない。
Don’t cut corners with detail and granularity  詳細と粒度の手抜きをしないこと 
The DPC identified as part of its sweep that some organisations’ RoPAs are not adequately detailed or granular. By way of examples drawn from RoPAs received:  DPCは、その調査の一環として、一部の組織のRoPAが十分に詳細でないことを確認した。受け取ったRoPAから抜粋した例を挙げる: 
• In response to the requirement to list ‘categories of personal data’ the DPC received responses to this category which stated ‘personal data’, ‘personally identifiable information’ and ‘responses to questions’. These responses are unequivocally not sufficient in terms of describing what information is actually collected by an organisation and needed to be significantly further particularised.  ・個人データの種類」を記載するという要求に対して、DPCは「個人データ」「個人を特定できる情報」「質問に対する回答」と記載された回答を受け取った。これらの回答は、組織で実際に収集される情報を記述するという点では明らかに不十分であり、さらに大幅に特定する必要があった。
• In response to the requirement to list ‘technical and organisational security measures’ an organisation stated ‘measures are in place that ensure appropriate security’ or ‘appropriate security’. Again this detail is insufficient. The GDPR states that where possible, a general description of the technical and organisational security measures in place in an organisation should be included. The DPC has noticed a trend that technical and organisational security measures are often not described in detail in many organisations’ RoPAs.  It is recommended that organisations should give a general description of what technical and organisational measures are in place in their RoPA. ・技術的および組織的なセキュリティ対策」を記載するという要求に対して、ある組織は「適切なセキュリティを確保するための対策が講じられている」あるいは「適切なセキュリティ」と述べている。この詳細もまた不十分である。GDPRは、可能な限り、組織で実施されている技術的および組織的なセキュリティ対策の一般的な説明を含めるべきであると述べている。DPCは、多くの組織のRoPAにおいて、技術的および組織的なセキュリティ対策が詳細に記述されていないことが多いという傾向に気付きました。 組織は、RoPAにおいて、どのような技術的・組織的な対策がとられているか、一般的な説明を行うことが推奨される。
Don’t maintain RoPA that is not self-explanatory  自明でないRoPAを維持しないこと 
In order to be fit for purpose, the RoPA provided to the DPC needs to be a complete, self-contained document clearly listing all information as required by Article 30. RoPAs must be self-explanatory.  目的に適合するためには、DPCに提供されるRoPAは、第30条で要求されるすべての情報を明確に記載した完全で自己完結した文書である必要がある。RoPAは、自明でなければならない。
Recital 82 GDPR states:  GDPRの解説82には、次のように記載されている: 
…in order to demonstrate compliance with this Regulation, the controller or processor should maintain records of processing activities under its responsibility. Each controller and processor should be obliged to cooperate with the supervisory authority and make those records, on request, available to it, so that it might serve for monitoring those processing operations.  ...本規則の遵守を証明するために、管理者または取扱者は、その責任の下で取扱活動の記録を保持する必要がある。各管理者および取扱者は、監督当局に協力し、要求に応じてこれらの記録を監督当局に提供し、取扱業務の監視に役立つようにする義務がある。
The following practices should be avoided:  以下の慣行は避けるべきである: 
• Hyperlinking documents into the RoPA, as a response to a requirement to list information, that are not accessible when clicked on. For example, hyperlinking a retention schedule which when clicked on is not available to the DPC as it is stored on an internal company drive. Stating 'in accordance with the retention policy' or 'solicitors’ retention schedule' but not elaborating on what these documents actually stipulate in terms of retention periods. ・情報一覧の要求への対応として、クリックしてもアクセスできない文書をRoPAにハイパーリンクすること。例えば、保持スケジュールをハイパーリンクし、クリックすると社内のドライブに保存されるため、DPCが利用できないようにする。保管方針に従って」または「弁護士の保管スケジュール」と記載しながら、これらの文書が保管期間に関して実際に何を規定しているのかを詳しく説明しない。
Ø This makes the RoPA deficient and or unfit for purpose as the DPC cannot rely on the RoPA to gain insight into the processing activities of the particular organisation where such information is unavailable. Ø この場合、DPCはRoPAに依拠して、特定の組織の取扱活動を把握することができず、そのような情報が入手できないため、RoPAに欠陥があり、または目的に適さない。
• Rather than having a complete RoPA document, hyperlinking or referring to a number of different documents or sources to satisfy the Article 30 requirements. The RoPA should not be prohibitively confusing as this goes against the purpose of the document to assist the DPC in carrying out its functions. ・完全なRoPA文書を作成するよりも、ハイパーリンクを張ったり、多くの異なる文書や情報源を参照したりして、第30条の要件を満たす方がよい。DPCの機能遂行を支援するという文書の目的に反するため、RoPAは法外に混乱するものであってはならない。
Ø If there is no base RoPA document and a piecemeal approach is taken, there is also the risk that processing activities may be overlooked. The RoPA should not just be a ‘catch all’ document that refers to other documents; all processing activities should be recorded in sufficient detail. Ø ベースとなるRoPA文書がなく、断片的なアプローチが取られる場合、取扱活動が見落とされるリスクもある。RoPAは、他の文書に言及する「キャッチオール」文書であってはならず、すべての取扱活動が十分詳細に記録されなければならない。
• The DPC should not have difficulty accessing the prescribed information set out in Article 30 GDPR; it should not be left wondering if it has exhausted all available sources of information and should not have to try to reconcile discrepancies between various pieces of information set out in different locations. No personal data should be kept by an organisation ‘just in case’. For example, one organisation indicated in their RoPA that they processed the passport information of staff for use in their organisational structure chart, as passport information was used by the HR function. ・DPCは、GDPR第30条に規定された所定の情報にアクセスすることが困難であってはならず、利用可能な情報源をすべて使い果たしたかどうか疑問に思ったり、異なる場所に記載された様々な情報間の不一致を調整しようとする必要はないはずである。個人データは、「万が一」のために組織で保管されるべきではない。例えば、ある組織はRoPAの中で、組織構造図に使用するために職員のパスポート情報を取扱していることを示したが、これはパスポート情報が人事機能で使用されるためである。
• Using acronyms that are undefined, which may be common terms within the organisation in question but which do not have an obvious meaning to the DPC. As stated, drafters should be mindful that the DPC as an external reader needs to be able to fully comprehend the document. ・定義されていない略語を使用する。当該組織では一般的な用語かもしれないが、DPCにとっては明白な意味を持たないものである。このように、起草者は、外部の読者であるDPCが文書を完全に理解できる必要があることに留意する必要がある。
• If an organisation is unable to document its RoPA it calls into question its understanding of the purposes for which personal data is processed and retained by the organisation, and the ways in which such data is processed. ・組織がRoPAを文書化できない場合、組織による個人データの取扱および保持の目的、ならびにそのようなデータの取扱方法についての理解が疑われることになります。
RoPAs for Smaller Organisations  小規模な組織のためのRoPA 
As set out above, smaller organisations may not be required to maintain a full RoPA due to the size of the organisation. However, most organisations will need to record processing activities such as HR and payroll functions. For small organisations it may be that a simple spreadsheet is sufficient to maintain the RoPA. For larger or more complex organisations, the data controller may opt to use a relational database or one of the many RoPA tools available from third party data protection service providers. Whatever method used, the RoPA should be a standalone record that the DPC can request and view in a readable format. If an organisation is using software to record its RoPA a report should be able to be easily generated if it is asked for.  上記のように、小規模な組織は、組織の規模により、完全なRoPAを維持する必要がない場合がある。しかし、ほとんどの組織では、人事や給与計算などの取扱活動を記録する必要がある。小規模な組織の場合、RoPAの管理は簡単なスプレッドシートで十分かもしれない。大規模またはより複雑な組織の場合、データ管理者は、リレーショナルデータベースまたは第三者のデータ保護サービスプロバイダーが提供する多くのRoPAツールのいずれかを使用することを選ぶことができます。どのような方法を用いるにせよ、RoPAは、DPCが要求し、読みやすい形式で閲覧できる独立した記録であるべきである。組織がソフトウェアを使ってRoPAを記録している場合、要求があれば簡単に報告書を作成することができるはずである。
The maintenance of a RoPA by a small organisation should not be a burdensome exercise. Having a RoPA will allow a small organisation to map and understand all of the personal data it is processing and for what reasons. A RoPA, as well as being a compliance and risk management tool, will assist a data controller in identifying personal data processing that may not be necessary, and may help in demonstrating to data subjects a commitment to best practice data protection policies and procedures.  小規模な組織がRoPAを維持することは、負担の大きい行為であってはならない。RoPAを持つことで、小規模な組織でも、どのような理由でどのような個人データを取扱しているのか、マッピングして理解することができます。RoPAは、コンプライアンスおよびリスク管理ツールであるだけでなく、データ管理者が必要でない個人データ取扱を特定するのに役立ち、データ保護方針および手順のベストプラクティスへの取り組みをデータ主体に示すのに役立つかもしれない。
Records of Processing Activities Examples  取扱活動の記録例 
The above guidance, and the examples given, have been informed by the RoPAs provided to the DPC in its RoPA sweep conducted in early 2022.   上記のガイダンス、および例示した内容は、2022年初頭に実施したRoPA掃討戦でDPCに提供されたRoPAによってもたらされたものである。 
A number of examples of poor RoPA practice were received amongst the records. One organisation that responded to the sweep provided the DPC with several Data Protection Impact Assessments (DPIAs), claiming that these documents met the requirements of Article 30 of the GDPR. The DPC does not agree with this argument. The RoPA is a standalone record, a compliance tool that the DPC should be able to rely on to provide an accurate view of data processing taking place within an organisation. The accountability obligation lies with the organisation concerned and the information required under Article 30 should be presented to the supervisory authority in a manner that facilitates a demonstration of compliance and assists the supervisory authority in the performance of its functions, as required under Article 31. Expecting the DPC to review a large number of separate documents in order to try to find the information required under Article 30 is not acceptable. In addition, not every processing activity would have, or require, a DPIA.  記録の中には、RoPAの実践が不十分な事例が数多く含まれていた。掃討に応じたある組織は、DPCに複数のデータ保護影響評価(DPIA)を提供し、これらの文書がGDPR第30条の要件を満たしていると主張した。DPCはこの主張には同意していません。RoPAは独立した記録であり、組織内で行われているデータ取扱を正確に把握するために、DPCが信頼できるコンプライアンスツールである。説明責任は当該組織にあり、第30条に基づき要求される情報は、第31条に基づき要求されるように、コンプライアンスの実証を容易にし、監督当局の機能遂行を支援する方法で、監督当局に提示されるべきである。第30条で要求される情報を見つけようとするために、DPCが多数の個別の文書を確認することを期待することは、容認できない。さらに、すべての取扱活動がDPIAを実施するわけではなく、また必要とするわけでもない。
The DPC received many good examples of detail in respect of Article 30(1)(b) and (c); the purposes for processing and personal data categories requirements. One organisation utilised a relational database system to group processing activities by business units and teams. The organisation was able to present the information as and when required in a spreadsheet format. While it is impractical to provide a full example of a RoPA within this guidance, below, at Approach A and Approach B, are two possible layouts using a spreadsheet programme. Approach C is a RoPA that would not be of sufficient detail. Table A is a table of the information required, with examples of suggested detail and examples of insufficient detail. DPCは、第30条(1)(b)および(c)、すなわち取扱目的および個人データ分類の要件について、詳細な説明を行う良い例を数多く受け取りました。ある組織では、リレーショナルデータベースシステムを利用して、取扱活動をビジネスユニットやチームごとにグループ化していました。この組織は、必要な時に必要な情報をスプレッドシート形式で提示することができました。このガイダンスの中でRoPAの完全な例を示すことは現実的ではないが、以下、アプローチAとアプローチBに、表計算プログラムを使った2つの可能なレイアウトを示す。アプローチCは、十分な詳細が得られないRoPAである。表Aは、必要な情報の表であり、推奨される詳細の例と不十分な詳細の例である。

 

 

 


個人情報法保護委員会のウェブページには、GDPR関連の情報が多数ありますよね。。。

 

⚫︎ 個人情報保護委員会 - 国際関係 - 諸外国・地域の法制度

・EU(外国制度) GDPR(General Data Protection Regulation:一般データ保護規則)

 

 

Continue reading "アイルランド データ保護局 GDPR第30条 取扱活動の記録についてのガイダンス"

| | Comments (0)

官邸 知的財産戦略本部 パブコメ 「メタバース上のコンテンツ等をめぐる新たな法的課題等に関する論点の整理(案)」

こんにちは、丸山満彦です。

内閣府 知的財産戦略本部から、「メタバース上のコンテンツ等をめぐる新たな法的課題等に関する論点の整理(案)」が公表されていますね。。。

これは、メタバース上のコンテンツ等をめぐる新たな法的課題への対応に関する官民連携会議(石井夏生利先生、佐藤一郎先生、中村伊知哉先生等が委員になっています)で議論されたものですね。。。

従来の環境からからメタバース上にかわることにより、変化があるかですが、「自己投射性・没入感、リアルタイム性、オープン性」ということが挙げられています。

それがどれほどの質的な変化につながるかですかね。。。

あと、普及にはデバイス問題がありますかね。。。うちにもMetaのQuest-2がありますが、最初はつかってみたけど、その後、使っていない。。。デバイスが使いやすくなれば、コンテンツも増えて、ゲーム以外での利用も増えるかもですかね。。。

それと、個人的な問題かもですが、長く使うと酔うような状況にはなりますよね。。。

なお、「案の策定に当たり検討事項が多く、当初予定よりも多くの期間を要していることから、30日の期間を取ることが難しいため」、パブコメの期間が5月7日までと、通常の半分くらいしかありませんので、注意を...

そんなに急いで、結論を出す必要があるのかなぁという気もしますが、いろいろと事情があるのかもしれません...

 

⚫︎ e-Gov

・2023.04.21 「メタバース上のコンテンツ等をめぐる新たな法的課題等に関する論点の整理(案)」に係る意見募集

・[PDF] メタバース上のコンテンツ等をめぐる新たな法的課題等に関する論点の整理(案)  [downloaded]


20230424-23524

 


第3章 課題の所在と対応の方向性(論点の整理)

検討事項1 現実空間と仮想空間を交錯する知財利用、仮想オブジェクトのデザイン等について
.仮想空間における知財利用と権利者の権利保護
 課題1-1;現実空間のデザインの仮想空間における模倣、現実空間と仮想空間 を横断した実用品デザインの活用
 課題1-2;現実空間の標識の仮想空間における無断使用
 課題1-3;現実環境の外観の仮想空間における再現
.メタバース上の著作物利用等に係る権利処理
 課題2-1;メタバース上のイベント等における著作物のライセンス利用
 課題2-2;仮想空間におけるユーザーの創作活動
 課題2-3;NFT等を活用した仮想オブジェクトの取引制度・取扱い等の現状
  ①仮想オブジェクトの「保有」
  ②NFT等を活用した仮想オブジェクトの二次流通等

検討事項2 アバターの肖像等に関する取扱いについて
Ⅰ.メタバース外の人物の肖像の無断使用への対応

 課題1-1;実在の人物の肖像の写り込み
 課題1-2;実在する他者の肖像を模したアバター等の無断作成・無断使用
.他者のアバターの肖像等の無断使用その他の権利侵害への対応
 課題2-1;他者のアバターの肖像・デザインの無断使用
  ①他者のアバターのデザインを盗用したアバターの作成・使用
  ②アバターの肖像の無断撮影・公開
 課題2-2;他者のアバターへのなりすまし、他者のアバターののっとり等
 課題2-3;アバターに対する誹謗中傷等
.アバターの実演に関する取扱い
 課題3;アバターの実演に係る著作隣接権の権利処理

検討事項3 仮想オブジェクトやアバターに対する行為、アバター間の行為をめぐるルール形成、規制措置等について

検討事項4 その他(国際裁判管轄・準拠法について)


 

メタバース上のコンテンツ等をめぐる新たな法的課題への対応に関する官民連携会議

 

親会議 メタバースのエコシステムと法的課題(ルール形成)等について
2022.11.21 第1回会合 議事次第・資料 (1)会合、議事概要及び資料の公開等の取扱について【非公開】
(2)当面の検討事項と検討の進め方について
(3)メタバースのエコシステムと法的課題(ルール形成)等について
<ヒアリング>
バーチャル美少女ねむ氏
中馬和彦構成員
(4)討議
資料1 会合、議事概要及び資料の公開の取扱いについて(案)
資料2-1 官民連携会議の設置について(当面の検討課題と検討の進め方案)
資料2-2 分科会の設置について(案)
資料3-1 ヒアリング資料(1)(バーチャル美少女ねむ氏)
資料3-2 ヒアリング資料(2)(中馬和彦構成員)
資料4 討議メモ
参考資料1-1 メタバース上のコンテンツ等をめぐる新たな法的課題への対応に関する官民連携会議の設置について(2022年11月21日 知的財産戦略推進事務局決定)
参考資料1-2 構成員名簿
参考資料2 メタバース上のコンテンツをめぐる新たな法的課題への対応についての参考資料
参考資料3 メタバース関連ソフトロー等事例集
2023.03.16 第2回会合 議事次第・資料 (1)論点整理について
(2)その他
資料1-1 第一分科会「論点整理」素案 -概要-(現実空間と仮想空間を交錯する知財利用、仮想オブジェクトのデザイン等に関する権利の取扱いについて)
資料1-2 第二分科会「論点整理」素案 -概要-(アバターの肖像等に関する取扱いついて)
資料1-3 第三分科会「論点整理」素案 -概要-(仮想オブジェクトやアバターに対する行為、アバター間の行為をめぐるルール形成、規制措置等について)
資料2-1 官民連携会議「論点整理」の構成イメージ(案)
資料2-2 官民連携会議「論点整理」素案
資料3 ルール形成に向けた今後の取組みについて(検討案)
参考資料1 「電子商取引及び情報財取引等に関する準則(令和4年4月経済産業省)」-抜粋-
(「 Ⅳ 国境を越えた取引等に関する論点」)
参考資料2 メタバース関連ソフトロー等事例集
         
第一分科会 現実空間と仮想空間を交錯する知財利用、仮想オブジェクトのデザイン等に関する権利の取扱い
2023.01.13 第1回会合 議事次第・資料 (1)論点整理の進め方等について
(2)現実空間と仮想空間を交錯する知財利用、仮想オブジェクトのデザイン等に関する権利の取扱いについて
資料1 「論点整理」の構成イメージ(案)
資料2 メタバースの活用により目指す価値と目指すべきメタバースの理念(イメージ試案)
資料3 メタバースに係るルール形成の在り方等について(討議用メモ)
資料4 現実空間と仮想空間を交錯する知財利用、仮想オブジェクトのデザイン等に関する権利の取扱いについて(討議用メモ)
資料5 デザインの保護(著作権法・意匠法・不正競争防止法)<現状把握>/標識の保護(商標法・不正競争防止法)<現状把握>
参考資料1 メタバース上のコンテンツ等をめぐる新たな法的課題への対応に関する官民連携会議分科会の設置について(2022年11月21日官民連携会議決定)
参考資料2-1 メタバース上のコンテンツ等をめぐる新たな法的課題への対応に関する官民連携会議(第1回)における主な意見
参考資料2-2 官民連携会議(第1回)中馬構成員ヒアリング資料 抜粋
参考資料3 メタバース関連ソフトロー事例集
参考資料4 「Web3.0研究会報告書 ~Web3.0の健全な発展に向けて~ (2022年12月 Web3.0研究会)」 抜粋
2023.02.01 第2回会合 議事次第・資料 (1)現実空間と仮想空間を交錯する知財利用、仮想オブジェクトのデザイン等に関する権利の取扱いについて
(2)その他
資料1 現実空間と仮想空間を交錯する知財利用、仮想オブジェクトのデザイン等に関する権利の取扱いについての論点の整理(たたき台)
参考資料1 官民連携会議「論点整理」の構成イメージ(案)
参考資料2 「デジタル化に伴うビジネスの多様化を踏まえた不正競争防止法の在り方)」(令和5年1月 産業構造審議会知的財産分科会不正競争防止小委員会) ―「デジタル時代におけるデザインの保護」関係抜粋―
参考資料3 メタバース関連ソフトロー事例集
第二分科会 アバターの肖像等に関する取扱い
2023.01.26 第1回会合 議事次第・資料 (1)論点整理の進め方等について
(2)アバターの肖像等に関する取扱いについて
<ヒアリング>
 ・五常総合法律事務所 弁護士 数藤 雅彦氏
資料1 「論点整理」の構成イメージ(案)
資料2 メタバースの活用により目指す価値と目指すべきメタバースの理念(イメージ試案)
資料3 メタバースに係るルール形成の在り方等について(討議用メモ)
資料4 ヒアリング資料(五常総合法律事務所 弁護士 数藤 雅彦氏)
資料5 アバターの肖像等に関する取扱いについて(討議用メモ)
資料6 アバター関連のソフトロー等
参考資料1 メタバース上のコンテンツ等をめぐる新たな法的課題への対応に関する官民連携会議分科会の設置について(2022年11月21日官民連携会議決定)
参考資料2-1 メタバース上のコンテンツ等をめぐる新たな法的課題への対応に関する官民連携会議(第1回)における主な意見
参考資料2-2 官民連携会議(第1回)中馬構成員ヒアリング資料 抜粋
参考資料3 肖像権ガイドライン ~自主的な公開判断の指針~(2021年4月デジタルアーカイブ学会)
参考資料4 メタバース関連ソフトロー事例集
2023.03.10 第2回会合 議事次第・資料 (1)アバターの肖像等に関する取扱いについて
(2)その他
資料1 アバターの肖像等に関する取扱いについての論点の整理(たたき台)
資料2 アバターの肖像等をめぐって生じる権利侵害
参考資料1 官民連携会議「論点整理」の構成イメージ(案)
参考資料2 アバター関連のソフトロー等
第三分科会 仮想オブジェクトやアバターに対する行為、アバター間の行為等をめぐるルールの形成、規制措置等の取扱い
2022.12.26 第1回会合 議事次第・資料 (1)論点整理の進め方等について
(2)仮想オブジェクトやアバターに対する行為、アバター間の行為等をめぐるルールの形成、規制措置等の取扱いについて
資料1 「論点整理」の構成イメージについて(案)
資料2 メタバースの活用により目指す価値と目指すべきメタバースの理念(イメージ試案)
資料3 メタバースに係るルール形成の在り方等について(討議用メモ)
資料4 道下構成員提出資料(メタバース空間内で生じる問題事案等と対応の現状)
資料5 仮想オブジェクトやアバターに対する行為、アバター間の行為等をめぐるルールの形成、規制措置等の取扱いについて(討議用メモ)
参考資料1 メタバース上のコンテンツ等をめぐる新たな法的課題への対応に関する官民連携会議分科会の設置について(2022年11月21日官民連携会議決定)
参考資料2-1 メタバース上のコンテンツ等をめぐる新たな法的課題への対応に関する官民連携会議(第1回)における主な意見
参考資料2-2 官民連携会議((第1回)中馬構成員ヒアリング資料 抜粋
参考資料3 レポート「メタバースでのハラスメント(Nem×Mila)」
参考資料4 メタバース関連ソフトロー等事例集
2023.01.30 第2回会合 議事次第・資料 (1)仮想オブジェクトやアバターに対する行為、アバター間の行為等をめぐるルールの形成、規制措置等の取扱いについて
(2)その他
資料1-1 第三分科会「論点の整理」(たたき台)の構成
資料1-2 仮想オブジェクトやアバターに対する行為、アバター間の行為等をめぐるルールの形成、規制措置等の取扱いについての論点の整理(たたき台)
資料2 メタバースプラットフォーマーにおける問題事案への対応
資料3 メタバースをめぐる欧州の動向(欧州委員会による発信)
参考資料1 官民連携会議「論点整理」の構成イメージ(案)
参考資料2 メタバース関連ソフトロー事例集

 

 

| | Comments (0)

2023.04.23

NIST SP 800-207A(ドラフト)マルチクラウド環境におけるクラウドネイティブ・アプリケーションにおけるアクセス制御のためのゼロトラストアーキテクチャモデル

こんにちは、丸山満彦です。

NISTが、SP 800-207A(ドラフト)マルチクラウド環境におけるクラウドネイティブ・アプリケーションにおけるアクセス制御のためのゼロトラストアーキテクチャモデルを公表し、意見募集をしています。。。

⚫︎ NIST - ITL

ニュース...

・2023.04.18 A Zero Trust Architecture Model for Access Control in Cloud-Native Applications in Multi-Location Environments: NIST SP 800-207A Available for Comment

A Zero Trust Architecture Model for Access Control in Cloud-Native Applications in Multi-Location Environments: NIST SP 800-207A Available for Comment 多拠点環境におけるクラウドネイティブ・アプリケーションのアクセス制御のためのゼロトラストアーキテクチャ・モデル: NIST SP 800-207Aのコメントを受け付けている。
The initial public draft of NIST Special Publication (SP) 800-207A, A Zero Trust Architecture Model for Access Control in Cloud-Native Applications in Multi-Location Environments, is now available for public comment. NIST Special Publication (SP) 800-207A「多拠点環境におけるクラウド型アプリケーションのアクセス制御のためのゼロトラストアーキテクチャモデル」の初期公開ドラフトが、現在パブリックコメント用に公開されている。
Enterprise application environments consist of geographically distributed and loosely coupled microservices that span multiple cloud and on-premises environments. They are accessed by a userbase from different locations through different devices. This scenario calls for establishing trust in all enterprise access entities, data sources, and computing services through secure communication and the validation of access policies. エンタープライズのアプリケーション環境は、複数のクラウドやオンプレミス環境にまたがる、地理的に分散した疎結合のマイクロサービスから構成されている。これらのアプリケーションには、さまざまな場所からさまざまなデバイスを介してユーザーベースがアクセスする。このシナリオでは、安全な通信とアクセスポリシーの検証を通じて、すべてのエンタープライズアクセスエンティティ、データソース、コンピューティングサービスに対する信頼を確立する必要がある。
Zero trust architecture (ZTA) and the principles on which it is built have been accepted as the state of practice for obtaining necessary security assurances, often enabled by an integrated application service infrastructure, such as a service mesh. ZTA can only be realized through a comprehensive policy framework that dynamically governs the authentication and authorization of all entities through status assessments (e.g., user, service, and requested resource. This guidance recommends: ゼロトラストアーキテクチャ(ZTA)とその原理は、必要なセキュリティ保証を得るための実践状態として受け入れられており、多くの場合、サービスメッシュのような統合アプリケーションサービスインフラによって実現されている。ZTA は、ステータス評価(ユーザー、サービス、要求されたリソースなど)を通じて、すべてのエンティティの認証と認可を動的に管理する包括的なポリシーフレームワークによってのみ実現することができる。本ガイダンスでは、以下を推奨する:
・The formulation of network-tier and identity-tier policies and ・ネットワーク層および アイデンティティ層ポリシーの策定。
・The configuration of technology components that will enable the deployment and enforcement of different policies (e.g., gateways, infrastructure for service identities, authentication, and authorization tokens with the help of a central coordination infrastructure). ・さまざまなポリシーの実装と実施を可能にする技術コンポーネントの構成(例:ゲートウェイ、中央調整基盤の助けを借りたサービスID、認証、認可トークンのための基盤など)。

 

 

文書

・2023.04.18 SP 800-207A (Draft) A Zero Trust Architecture Model for Access Control in Cloud-Native Applications in Multi-Cloud Environments

・[PDF] SP 800-207A (Draft)

 

20230423-51734

 

エグゼクティブサマリー...

Executive Summary  エグゼクティブサマリー 
The principles of zero trust, as described in NIST Special Publication (SP) 800-207, have become the guiding markers for developing secure zero trust architecture. A well-established class of applications are cloud-native applications. The generally accepted characterization of a cloud native application includes the following:  NIST Special Publication (SP) 800-207に記載されているゼロトラストの原則は、安全なゼロトラストアーキテクチャを開発するための指針となる指標となっている。確立されたアプリケーションのクラスは、クラウドネイティブ・アプリケーションである。一般的に受け入れられているクラウドネイティブ・アプリケーションの特徴は、以下の通りである: 
• The application is made up of a set of loosely coupled components called microservices. Each of the microservices can be hosted on different physical or virtual machines (VMs) and even be geographically distributed (e.g., within several facilities that belong to the enterprise, such as the headquarters, branch offices, and in various cloud service provider environments).  ・アプリケーションは、マイクロサービスと呼ばれる疎結合のコンポーネントの集合で構成されている。アプリケーションは、マイクロサービスと呼ばれる疎結合コンポーネントのセットで構成されている。マイクロサービスのそれぞれは、異なる物理マシンまたは仮想マシン(VM)でホストすることができ、地理的に分散していることもある(例えば、本社、支社、およびさまざまなクラウドサービスプロバイダ環境など、エンタープライズに属する複数の施設内など)。
• Any transaction involving the application may also involve one or more inter-service (microservice) calls across the network.  ・また、アプリケーションを含むあらゆるトランザクションは、ネットワークを介した1つまたは複数のサービス間(マイクロサービス)コールを含む可能性がある。
• A widespread feature (though not necessarily a requirement for cloud-native application) is the presence of a software platform called the service mesh that provides an integrated set of all application services (e.g., services discovery, networking connections, communication resilience, and security services like authentication and authorization).  ・クラウドネイティブ・アプリケーションの要件とは限らないが)広く普及している特徴は、すべてのアプリケーションサービス(サービス発見、ネットワーク接続、通信回復力、認証や認可などのセキュリティサービスなど)の統合セットを提供する、サービスメッシュと呼ばれるソフトウェアプラットフォームの存在である。
The realization of a zero trust architecture for the above class of cloud-native applications requires a robust policy framework. In order to follow zero trust principles, the constituent polices in the framework should consider the following scenario:  上記のようなクラスのクラウドネイティブ・アプリケーションに対してゼロトラストアーキテクチャを実現するには、強固なポリシーフレームワークが必要である。ゼロトラスト原則に従うためには、フレームワークの構成ポリシーは以下のシナリオを考慮する必要がある: 
• There should not be implicit trust in users, services, or devices based exclusively on their network location, affiliation, or ownership. Hence, policy definitions and associated security controls based on the segmentation or isolation of networks using network parameters (e.g., IP addresses, subnets, perimeter) are insufficient. These policies fall under the classification of network-tier policies.  ・ネットワークの場所、所属、所有権にのみ基づいて、ユーザー、サービス、デバイスを暗黙のうちに信頼してはならない。したがって、ネットワークパラメータ(IPアドレス、サブネット、境界線など)を使用したネットワークの分割や分離に基づくポリシー定義や関連するセキュリティ制御は不十分である。これらのポリシーは、ネットワーク層ポリシーの分類に該当する。
• To ensure the presence of zero trust principles throughout the entire application, networktier policies must be augmented with policies that establish trust in the identity of the various participating entities (e.g., users and services) irrespective of the location of the services or applications, whether on-premises or on multiple clouds.  ・アプリケーション全体を通してゼロトラスト原則が存在することを保証するために、ネットワーク層ポリシーは、オンプレミスまたは複数のクラウド上のサービスやアプリケーションの場所に関係なく、様々な参加エンティティ(ユーザーやサービスなど)のアイデンティティに対する信頼を確立するポリシーで補強する必要がある。
This document provides guidance for realizing a zero trust architecture that can enforce granular application-level policies for cloud-native applications. The guidance is anchored in the following:  本書は、クラウドネイティブ・アプリケーションにきめ細かいアプリケーションレベルのポリシーを適用できるゼロトラストアーキテクチャを実現するためのガイダンスを提供する。このガイダンスは、以下の点に軸足を置いている: 
• A combination of network-tier and identity-tier policies  ・ネットワーク層とアイデンティティ層のポリシーの組み合わせ
• The components of cloud-native applications that enable the definition and deployment of those policies, such as edge, ingress, sidecar, and egress gateways; the creation, issuance, and maintenance of service identities; the issuance of authentication and authorization tokens that carry user identities in the enterprise application infrastructure that encompasses multi-cloud and hybrid environments  ・エッジ,イングレス,サイドカー、エグレスゲートウェイなどのポリシーの定義と実装を可能にするクラウドネイティブ・アプリケーションのコンポーネント、サービスIDの作成、発行、維持、マルチクラウドやハイブリッド環境を包含するエンタープライズアプリケーションインフラにおけるユーザーIDを運ぶ認証・認可トークンの発行など。

 

目次...

Executive Summary  エグゼクティブサマリー 
1. Introduction 1. はじめに
1.1. Background – Zero Trust Principles and Zero Trust Architecture 1.1. 背景:ゼロトラスト原則とゼロトラスト・アーキテクチャ
1.2. Relationship to Other NIST Guidance Documents 1.2. 他のNISTガイダンス文書との関係
1.3. Scope 1.3. 適用範囲
1.4. Target Audience 1.4. 想定読者
1.5. Organization of This Document 1.5. 本書の構成
2. The Enterprise Cloud-Native Platform and its Components  2. エンタープライズ・クラウドネイティブ・プラットフォームとその構成要素 
2.1. Enterprise Infrastructure Layer 2.1. エンタープライズ基盤層
3. Designing a Policy Framework for ZTA for Cloud-Native Application Environments 3. クラウドネイティブ・アプリケーション環境におけるZTAのポリシーフレームワークの設計
3.1. Functional Components of Identity-Based Segmentation Policies for ZTA 3.1. ZTAのアイデンティティに基づくセグメンテーション・ポリシーの機能的構成要素
3.2. Shortcomings of Identity-Based Segmentation Policies for Enterprise ZTA 3.2. エンタープライズ向けZTAにおけるアイデンティティに基づくセグメンテーションポリシーの欠点
3.3. Multi-Tier Policies for Enterprise ZTA  3.3. エンタープライズZTAの多層ポリシー 
4. Implementing Multi-Tier Policies for ZTA for Cloud-Native Application Environments 4. クラウドネイティブ・アプリケーション環境向けZTAの多層ポリシーの実装
4.1. Reference Application Infrastructure Scenario 4.1. 参照アプリケーション基盤のシナリオ
4.2. Role of the Service Mesh in Policy Deployment, Enforcement, and Updates  4.2. ポリシーの実装、施行、更新におけるサービスメッシュの役割 
4.3. Policy Deployment for Reference Application Infrastructure.  4.3. 参照アプリケーション基盤のポリシー実装 
4.4. Another Application Infrastructure Scenario  4.4. 別のアプリケーション基盤のシナリオ 
4.5. Functional Roles of Application Infrastructure Elements in Enforcing Policies  4.5. ポリシーの適用におけるアプリケーション基盤要素の機能的役割 
4.6. Comparison of Identity-Tier and Network-Tier Policies  4.6. アイデンティティ層とネットワーク層のポリシーの比較 
 4.6.1. Approaches for Deployment and the Limitations of Network-Tier Policies   4.6.1. ネットワーク層ポリシーの実装の考え方と限界について 
 4.6.2. Prerequisites for the Deployment of Identity-Tier Policies   4.6.2. アイデンティティ層ポリシーの実装に関する前提条件 
 4.6.3. Advantages of Identity-Tier Policies   4.6.3. アイデンティティ層ポリシーの利点 
5. Summary and Conclusions  5. まとめと結論 
References  参考文献 

 

 


 

⚫︎ まるちゃんの情報セキュリティ気まぐれ日記

・2022.03.15 米国 CISA 意見募集 ゼロトラスト原則のエンタープライズ・モビリティへの適用 (2022.03.07)

・2021.09.09 米国 CISA 意見募集 ゼロトラスト成熟度モデル

・2021.06.30 金融庁 「ゼロトラストの現状調査と事例分析に関する調査報告書」の公表

・2021.03.01 米国国家安全保障局 (NSA) ゼロトラストセキュリティモデルに関するガイダンス

・2020.12.14 PwC Japanが「NIST SP800-207 「ゼロトラスト・アーキテクチャ」の解説と日本語訳」を公表していますね。。。

・2020.08.14 NIST SP 800-207 Zero Trust Architecture

・2020.02.14 NIST SP 800-207(Draft) Zero Trust Architecture (2nd Draft)

 

 

 

Continue reading "NIST SP 800-207A(ドラフト)マルチクラウド環境におけるクラウドネイティブ・アプリケーションにおけるアクセス制御のためのゼロトラストアーキテクチャモデル"

| | Comments (0)

2023.04.22

東北大学、東京工業大学の生成的AI利用の留意事項

こんにちは、丸山満彦です。

このブログでは、日本の大学が学生向けに発表した、生成系AI利用の留意事項を紹介しています。最初には紹介したのは、東京大学でしたが、東北大学が3月末に、そして東工大も先日公表しています。。。

 

⚫︎ 東北大学 - Online Class Guide

・2023.03.31 ChatGPT等の生成系AI利用に関する留意事項(学生向け)

 

 

 

⚫︎ 東京工業大学

 ・2023.04.20 学修における生成系人工知能の使用に関する本学の考え方について

 

1_20230422062601

 


 

⚫︎ まるちゃんの情報セキュリティ気まぐれ日記

・2023.04.22 東北大学、東京工業大学の生成系AI利用の留意事項

・2023.04.20 大阪大学 生成AI(Generative AI)の利用について

・2023.04.06 東京大学 生成系AI(ChatGPT, BingAI, Bard, Midjourney, Stable Diffusion等)について

 

| | Comments (0)

欧州委員会 EUサイバーセキュリティ・スキルアカデミー (2023.04.18)

こんにちは、丸山満彦です。

欧州委員会が、2023年欧州技能年 2023 European Year of Skills) の一環として、サイバーセキュリティ人材の数を増加することを目的として、EUサイバーセキュリティ・スキルアカデミーを創設したようですね。。。

 

⚫︎ European Commission

Cyber Skill Academy

 

ニュース

・2023.04.18 Cyber: towards stronger EU capabilities for effective operational cooperation, solidarity and resilience

 

Cyber: towards stronger EU capabilities for effective operational cooperation, solidarity and resilience サイバー:効果的な作戦協力、連帯、レジリエンスのためのEUの能力強化に向けて
Today, the Commission has adopted a proposal for the EU Cyber Solidarity Act to strengthen cybersecurity capacities in the EU. It will support detection and awareness of cybersecurity threats and incidents, bolster preparedness of critical entities, as well as reinforce solidarity, concerted crisis management and response capabilities across Member States. The Cyber Solidarity Act establishes EU capabilities to make Europe more resilient and reactive in front of cyber threats, while strengthening existing cooperation mechanism.  It will contribute to ensuring a safe and secure digital landscape for citizens and businesses and to protecting critical entities and essential services, such as hospitals and public utilities. 本日、欧州委員会は、EUにおけるサイバーセキュリティの能力を強化するための「EUサイバー連帯法」の提案書を採択した。この法律は、サイバーセキュリティの脅威やインシデントの検知と認識を支援し、重要な事業体の備えを強化するとともに、加盟国間の連帯、協調的な危機管理および対応能力を強化するものである。サイバー連帯法は、既存の協力メカニズムを強化しつつ、欧州がサイバー脅威に対してより強靭で反応的になるためのEUの能力を確立するものである。 この法律は、市民や企業にとって安全で安心なデジタル環境を確保し、病院や公共事業などの重要な事業体や重要なサービスを保護することに貢献する。
The Commission has also presented a Cybersecurity Skills Academy, as part of the 2023 European Year of Skills, to ensure a more coordinated approach towards closing the cybersecurity talent gap, a pre-requisite to boosting Europe's resilience. The Academy will bring together various existing initiatives aimed at promoting cybersecurity skills and will make them available on an online platform, thereby increasing their visibility and boosting the number of skilled cybersecurity professionals in the EU. 欧州委員会はまた、「2023年欧州技能年」の一環として、欧州の強靭性を高めるための前提条件であるサイバーセキュリティ人材の格差是正に向けたより協調的なアプローチを確保するため、「サイバーセキュリティ・スキルアカデミー」を発表した。同アカデミーは、サイバーセキュリティスキルの普及を目的とした既存のさまざまなイニシアチブをまとめ、オンラインプラットフォームで公開することで、その認知度を高め、EUにおけるサイバーセキュリティ技能者の数を増加させることを目的とするものである。
Under the European Security Union, the EU is committed to ensuring that all European citizens and businesses are well protected, both online and offline, and to promoting an open, secure and stable cyberspace. Yet, the increasing magnitude, frequency and impact of cybersecurity incidents represent a major threat to the functioning of network and information systems and to the European Single Market. Russia's military aggression against Ukraine has further exacerbated this threat, along with the multiplicity of state-aligned, criminal and hacktivist actors involved in current geopolitical tensions. 欧州安全保障連合(European Security Union)のもと、EUは、すべての欧州市民と企業がオンラインとオフラインの両方で十分に保護されるようにし、オープンで安全かつ安定したサイバースペースを促進することに取り組んでいる。しかし、サイバーセキュリティ事件の規模、頻度、影響の増大は、ネットワークや情報システムの機能、欧州単一市場に対する大きな脅威となっている。ロシアのウクライナに対する軍事侵攻は、現在の地政学的緊張に関与する国家と連携した犯罪者やハクティビストの多様性と共に、この脅威をさらに悪化させた。
Building on a strong strategic, policy and legislative framework that is already in place, the proposed EU Cyber Solidarity Act and the Cybersecurity Skills Academy will further contribute to enhancing detection of cyber threats, resilience and preparedness at all levels of the EU's cybersecurity ecosystem. 提案されているEUサイバー連帯法とサイバーセキュリティ・スキルアカデミーは、すでに実施されている強力な戦略、政策、法律の枠組みを基盤として、EUのサイバーセキュリティ・エコシステムのあらゆるレベルにおけるサイバー脅威の検知、回復力、準備の強化にさらに貢献するものである。
... ...
EU Cybersecurity Skills Academy EUサイバーセキュリティ・スキルアカデミー
The EU Cybersecurity Skills Academy will bring together private and public initiatives aimed at boosting cybersecurity skills at European and national levels, making them more visible and helping to close the cybersecurity talent gap of cybersecurity professionals. EUサイバーセキュリティ・スキル・アカデミーは、欧州および国家レベルでのサイバーセキュリティ・スキルの向上、その可視化、サイバーセキュリティ専門家の人材格差の解消を目指す民間と公共のイニシアティブを結集するものである。
The Academy will initially be hosted online on the Commission's Digital Skills and Jobs platform. Citizens interested in pursuing a career in cybersecurity will be able to find training and certifications from across the EU in a single place online. Stakeholders will also be able to pledge their support to improve cybersecurity skills in the EU by initiating specific actions, such as to offering cybersecurity trainings and certifications. 同アカデミーは当初、欧州委員会の「Digital Skills and Jobs」プラットフォーム上でオンライン開催される予定である。サイバーセキュリティの分野でキャリアを積むことに関心のある市民は、EU全域のトレーニングや認定資格をオンラインで一か所から探すことができるようになる。また、関係者は、サイバーセキュリティの研修や資格の提供など、具体的な行動を開始することで、EUにおけるサイバーセキュリティのスキル向上への支援を表明することができる。
The Academy will evolve to include a common space for academia, training providers and industry helping them to coordinate education programmes, trainings, funding, and monitor the evolution of the cybersecurity job market.  アカデミーは、学術界、研修プロバイダー、産業界が教育プログラム、研修、資金調達を調整し、サイバーセキュリティの雇用市場の進化を監視するのに役立つ共通のスペースを含むように発展していくだろう。 
... ...
Next Steps 次のステップ
The European Parliament and the Council will now examine the proposed Regulation on the EU Cyber Solidarity Act, as well as the targeted amendment to the Cybersecurity Act. 欧州議会と理事会は今後、EUサイバー連帯法に関する規則案と、サイバーセキュリティ法の的を射た改正案を検討することになる。
The European Cybersecurity Competence Centre will organise a joint procurement of tools and infrastructures with the selected cross-border Security Operations Centres to build cyber detection capabilities.   欧州サイバーセキュリティ・コンピテンスセンターは、サイバー検知能力を構築するために、選定された国境を越えたセキュリティ・オペレーションセンターとツールやインフラの共同調達を組織する予定である。 
The EU Cybersecurity Agency (ENISA) and the European Cybersecurity Competence Centre will continue working on cybersecurity skills, contributing to the implementation of the Cybersecurity Skills Academy, in line with their respective mandates, and in close cooperation with the Commission and the Member States. EUサイバーセキュリティ機関(ENISA)と欧州サイバーセキュリティ能力センターは、それぞれの権限に基づき、欧州委員会および加盟国と緊密に協力しながら、サイバーセキュリティ・スキルアカデミー実施に貢献し、サイバーセキュリティスキルに関する取り組みを継続する。
The Commission proposes that the Academy takes the shape of a European digital infrastructure consortium (EDIC), a new legal framework to implement multi-country projects. This possibility will now be discussed with Member States. 欧州委員会は、このアカデミーを、複数国のプロジェクトを実施するための新しい法的枠組みである欧州デジタル基盤コンソーシアム(EDIC)の形にすることを提案している。この可能性については、今後、加盟国と協議することになる。
It is also necessary to ensure that professionals undertake required quality trainings. In this regard, ENISA will develop a pilot project, exploring the set-up of a European attestation scheme for cybersecurity skills.   また、専門家が必要な質の高いトレーニングを受けることを保証することも必要である。この点に関して、ENISAは、サイバーセキュリティスキルに関する欧州の認証スキームの設定を検討するパイロットプロジェクトを開発する予定である。 
Background 背景
With the proposed EU Cyber Solidary Act, the Commission responds to the Member States' call to strengthen EU cyber resilience, and delivers on its commitment expressed in the recent Joint Cyber Defence Communication to prepare an EU Cyber Solidarity Initiative. 欧州委員会は、EUサイバー連帯法を提案することで、EUのサイバー耐性を強化するという加盟国の要請に応え、EUサイバー連帯イニシアチブを準備するという最近の共同サイバー防衛コミュニケーションで表明した公約を実現する。
The EU Cyber Solidary Act and the Cybersecurity Skills Academy build upon the EU Cybersecurity strategy as well as the EU's legislative framework to bolster the EU's collective resilience against increasing cybersecurity threats. This includes the Directive on measures for a high common level of cybersecurity across the Union (NIS 2) and the Cybersecurity Act. EUサイバー連帯法とサイバーセキュリティ・スキルアカデミーは、EUサイバーセキュリティ戦略や、増大するサイバーセキュリティの脅威に対するEUの集団的な回復力を強化するためのEUの法的枠組みを基盤としている。これには、EU全体でサイバーセキュリティを高度に共通化するための措置に関する指令(NIS 2)およびサイバーセキュリティ法が含まれる。

 

・2023.04.18 Questions and Answers: Cyber: towards stronger EU capabilities for effective operational cooperation, solidarity and resilience

Questions and Answers: Cyber: towards stronger EU capabilities for effective operational cooperation, solidarity and resilience 質問と回答 サイバー:効果的な作戦協力、連帯、回復力のためのEUの能力強化に向けて
... ...
EU Cybersecurity Skills Academy EUサイバーセキュリティ・スキルアカデミー
What are the specific objectives of the Cybersecurity Skills Academy? サイバーセキュリティ・スキル・アカデミーの具体的な目的は何か?
The Cybersecurity Skills Academy will increase the visibility of cybersecurity skills initiatives and help boosting numbers of skilled cybersecurity professionals in the EU to tackle the gap in cybersecurity professionals across the Member States. サイバーセキュリティ・スキル・アカデミーは、サイバーセキュリティ・スキルのイニシアチブの認知度を高め、EUにおける熟練したサイバーセキュリティ専門家の数を増やし、加盟国全体のサイバーセキュリティ専門家の格差に対処することを支援する。
The Academy will: 本アカデミーは以下のことを行う:
Work towards a common baseline for cybersecurity career profiles and the associated skills. It will provide clarity on cybersecurity trainings and certifications to increase the number of cybersecurity professionals in Europe. It is also necessary to ensure that professionals undertake required quality trainings. With this in mind, the Commission will launch a pilot project to set up a European attestation system for cybersecurity skills. ・サイバーセキュリティのキャリアプロファイルと関連スキルの共通基準に向けて努力する。欧州におけるサイバーセキュリティの専門家の数を増やすために、サイバーセキュリティのトレーニングや認証について明確にする。また、専門家が必要な質の高いトレーニングを受けることができるようにすることも必要である。このことを念頭に置いて、欧州委員会は、サイバーセキュリティのスキルに関する欧州の認証制度を立ち上げるためのパイロットプロジェクトを開始する予定である。
Ensure a better channelling and visibility of the available funding opportunities for cybersecurity skills-related activities to maximise their impact. ・サイバーセキュリティ技能に関連する活動に対する利用可能な資金提供の機会を、その効果を最大化するために、より良いチャネリングと可視性を確保する。
Call on stakeholders (e.g., companies, schools, universities and authorities) to take action by making concrete pledges to initiate specific actions, such as to offer cybersecurity trainings and certifications, as well as integrating cybersecurity skills into their strategies. ・関係者(企業、学校、大学、当局など)に対し、サイバーセキュリティに関する研修や資格の取得、サイバーセキュリティスキルを戦略に組み込むなど、具体的な行動を開始することを約束することで、行動を起こすよう呼びかける。
Define indicators to monitor the evolution on the job market for cybersecurity professionals, allowing training providers (such as schools, universities and organisations) to timely adapt their trainings and curricula to the market needs. ・サイバーセキュリティの専門家の雇用市場の変化を監視するための指標を定め、訓練提供者(学校、大学、組織など)が訓練やカリキュラムを市場のニーズに合わせて適時に対応できるようにする。
The Commission proposes that the Academy takes the shape of a European digital infrastructure consortium (EDIC), a new legal framework to implement multi-country projects. This possibility will now be discussed with Member States. 欧州委員会は、このアカデミーを、複数国のプロジェクトを実施するための新しい法的枠組みである欧州デジタルインフラコンソーシアム(EDIC)の形にすることを提案している。この可能性については、今後、加盟国と協議することになる。
In the meantime, the Commission will create a single point of entry to the Academy through the Digital Skills and Jobs Platform, giving access to relevant information, activities and stakeholders within the scope of the Academy. 一方、欧州委員会は、「デジタル技能・雇用プラットフォーム」を通じて、アカデミーの範囲内の関連情報、活動、関係者にアクセスできるように、アカデミーへのシングルポイントを設ける予定である。
The EU Agency for Cybersecurity (ENISA) and the European Cybersecurity Competence Centre (ECCC) will support the implementation of the Cybersecurity Skills Academy in close cooperation with the Commission and Member States. EUサイバーセキュリティ機関(ENISA)と欧州サイバーセキュリティ能力センター(ECCC)は、欧州委員会および加盟国と緊密に協力しながら、サイバーセキュリティ技能アカデミーの実施を支援する予定である。
What kind of trainings will the Academy showcase? アカデミーはどのようなトレーニングを紹介するのか?
Initially, the Academy will gather existing education and training opportunities and give them visibility on the Digital Skills and Jobs Platform.  当初、アカデミーは、既存の教育・訓練機会を集め、Digital Skills and Jobs Platform上で可視化する予定である。 
Furthermore, the Commission will finance specific cybersecurity courses, through Erasmus+, joint Bachelor and Master degree programmes, joint courses or modules. As well as well intensive programmes combining online teaching with a short period of physical mobility. さらに、欧州委員会は、エラスムス+、学士と修士の共同学位プログラム、共同コース、モジュールを通じて、特定のサイバーセキュリティ・コースに資金を提供する。また、オンライン教育と短期間の物理的移動を組み合わせた集中プログラムも用意されている。
As another example, along Academy's goals, ENISA will enhance its training offer by expanding its 'train the trainer' programme to public and private critical operators in the scope of the NIS2 Directive. もう一つの例として、アカデミーの目標に沿って、ENISAは、NIS2指令の範囲にある公共および民間の重要な事業者に「トレーナー養成」プログラムを拡大し、トレーニングの提供を強化する予定である。
The European Security and Defence Centre will also review its training offer, designed for the cyber defence workforce.   また、欧州安全保障防衛センター(European Security and Defence Centre)も、サイバー防衛要員を対象としたトレーニングの提供を見直す予定である。  
Why it is so important to have one single entry point in EU? なぜEUで単一のエントリーポイントを持つことが重要なのか?
There are numerous initiatives from public and private entities at European and national levels looking to boost the cybersecurity skills job market. Collecting and presenting them together on one page online would greatly increase their visibility and comparability. For one, a student or job seeker wishing to enter the cybersecurity field, or a professional willing to upskill or reskill may find it challenging to know where and how to start. An organisation looking for funding on cybersecurity skills has to navigate on several pages to find the information needed. Giving a single point of entry will make it easier for all those interested to have access to relevant information. サイバーセキュリティ技能の職域を拡大しようとする欧州および国レベルの官民団体による多数の取り組みがある。それらをオンラインで1つのページに集めて紹介することで、その可視性と比較可能性を大幅に高めることができます。サイバーセキュリティ分野への進出を希望する学生や求職者、あるいはスキルアップやスキルリセットを希望する専門家は、どこからどのように手をつければよいのかがわからないというのが現状である。サイバーセキュリティのスキルに関する資金援助を探している組織は、必要な情報を見つけるためにいくつかのページをナビゲートしなければならない。入り口が1つであれば、すべての関係者が関連情報にアクセスしやすくなる。
How will the Cybersecurity Skills Academy be funded? サイバーセキュリティ・スキル・アカデミーはどのように資金を調達するのか?
Initially, the Cybersecurity Skills Academy will benefit from €10 million of dedicated EU budget under the Digital Europe Programme work programme 2023-2024. 当初、サイバーセキュリティ・スキルアカデミーは、デジタル・ヨーロッパ・プログラムの作業プログラム2023-2024のもと、1000万ユーロのEU専用予算の恩恵を受ける予定である。
The Cybersecurity Skills Academy will facilitate the visibility of funding on cyber skills from relevant EU programmes (such as DEP, RRF, InvestEU, the European Social Fund Plus). サイバーセキュリティ・スキル・アカデミーは、関連するEUプログラム(DEP、RRF、InvestEU、欧州社会基金プラスなど)のサイバー・スキルに関する資金の可視化を促進する予定である。
Should the Academy take the shape of a European digital infrastructure consortium (EDIC), it will further facilitate pooling national and private resources, in close cooperation with the European Cybersecurity Competence Centre (ECCC) and the national coordination centres (NCCs). このアカデミーが欧州デジタルインフラコンソーシアム(EDIC)の形になれば、欧州サイバーセキュリティ能力センター(ECCC)や各国調整センター(NCC)との緊密な協力のもと、国や民間のリソースをプールすることがさらに容易になる。

 

・2023.04.18 The EU Cybersecurity Skills Academy Factsheet

The EU Cybersecurity Skills Academy Factsheet EUサイバーセキュリティ・スキルアカデミー ファクトシート
The EU Cybersecurity Skills Academy will bring together private and public initiatives at European and national levels to address needs of the cybersecurity labour market and close the cybersecurity talent gap of cybersecurity professionals EUサイバーセキュリティ・スキルアカデミーは、サイバーセキュリティ労働市場のニーズに対応し、サイバーセキュリティ専門家の人材格差を解消するために、欧州および各国レベルで民間と公共のイニシアティブを結集する。

 

・[PDF]

20230421-51906

 

・2023.04.18 Communication on the Cybersecurity Skills Academy

 

・[PDF]

20230421-51916

 

 

COMMUNICATION FROM THE COMMISSION TO THE EUROPEAN PARLIAMENT AND THE COUNCIL Closing the cybersecurity talent gap to boost the EU’s competitiveness, growth and resilience ('The Cybersecurity Skills Academy') 欧州委員会から欧州議会および欧州連合へのコミュニケーション EUの競争力、成長、回復力を高めるためのサイバーセキュリティ人材の格差是正(「サイバーセキュリティ・スキルズ・アカデミー」)
Closing the cybersecurity talent gap to boost the EU’s competitiveness, growth and resilience   EUの競争力、成長、レジリエンスを高めるために、サイバーセキュリティの人材格差を解消する  
(‘The Cybersecurity Skills Academy’)  (サイバーセキュリティ・スキルアカデミー)
1. An urgent need to reduce risks by addressing the cybersecurity skills shortage and gaps   1. サイバーセキュリティのスキル不足・ギャップへの対応によるリスク低減が急務に
Cybersecurity is not only part of citizens, businesses, and Member States’ security. It is also a necessity to ensure the EU’s political stability, the stability of its democracies and the prosperity of our society and businesses. The cybersecurity threat landscape has evolved greatly in the past years, with the worrying trend that a growing number of cyberattacks target military and civilian critical infrastructure in the EU. Threat actors increase their capabilities and novel, hybrid and emerging threats, such as the use of bots and techniques based on artificial intelligence, are emerging . Notably, ransomware threat actors are routinely inflicting considerable damage, both financially and reputationally, to entities.    サイバーセキュリティは、市民、企業、加盟国の安全保障の一部であるばかりではありません。EUの政治的安定、民主主義国家の安定、私たちの社会と企業の繁栄を確保するためにも必要なことなのです。サイバーセキュリティの脅威の状況はここ数年で大きく進化しており、EUの軍事・民生重要インフラを標的とするサイバー攻撃の数が増えているという憂慮すべき傾向があります。脅威の主体は能力を高め、ボットの使用や人工知能に基づく技術など、斬新でハイブリッドな新たな脅威が出現している 。特に、ランサムウェアの脅威者は、日常的に、経済的にも評判的にも大きな損害を事業体に与えている。 
A large number of cybersecurity incidents have also targeted public administration and governments in Member States, as well as European Institutions, Bodies and Agencies (EUIBAs) . The finance  and health  sectors, both backbones of society and economy, have also consistently been targeted6. The geopolitical tensions linked to Russia’s war of aggression against Ukraine have increased the cybersecurity threat  and have the potential of destabilising our society. The security of the EU cannot be guaranteed without the EU’s most valuable asset: its people. The EU urgently needs professionals with the skills and competences to prevent, detect, deter and defend the EU, including its most critical infrastructures, against cyberattacks and ensure its resilience.  また、多くのサイバーセキュリティ事件が、加盟国の行政や政府、欧州機関or 省庁(EUIBAs)を標的にしている。また、社会と経済の基盤である金融や医療分野も一貫して狙われている6。ロシアのウクライナへの侵略戦争に関連した地政学的緊張は、サイバーセキュリティの脅威を高め、私たちの社会を不安定にする可能性を持っている。EUの安全保障は、EUの最も貴重な資産である人材なしには保証されません。EUは、最も重要なインフラを含むEUをサイバー攻撃から予防、探知、抑止、防御し、その回復力を確保するためのスキルと能力を備えた専門家を緊急に必要としている。
The cybersecurity talent gap further hampers Europe’s competitiveness and growth, which heavily depend on the development and uptake of strategic digital technologies (e.g. artificial intelligence, 5G and cloud). A skilled cybersecurity workforce is needed in order for the EU to remain in a position to deliver key advanced technologies in a global setting.   サイバーセキュリティの人材格差は、戦略的デジタル技術(人工知能、5G、クラウドなど)の開発と取り込みに大きく依存する欧州の競争力と成長をさらに阻害する。EUがグローバルな舞台で重要な先端技術を提供する立場を維持するためには、熟練したサイバーセキュリティの人材が必要である。 
To prepare for and to face this evolving threat landscape and to foster EU’s competitiveness, the EU cybersecurity policy has progressed significantly in the last years leading to the adoption of a number of initiatives such as the EU’s Cybersecurity Strategy for the Digital Decade , the revised Network and Information Security Directive (NIS2 Directive) , EU sectoral cybersecurity legislation , the EU policy on cyber defence , the Cyber Resilience Act  and the Cyber Solidarity Act, proposed by the Commission together with this Communication. But without the necessary skilled people to implement them, these pieces of legislation will not achieve their objectives. While the basic knowledge of cybersecurity by the general population is addressed as part of initiatives supporting the development of general skills needed to participate in society , a competent workforce is essential in both the public and private sector, at national and EU level, including in standardisation organisations, to deliver on those cybersecurity legal and policy requirements.   この進化する脅威の状況に備え、それに対処し、EUの競争力を高めるために、EUのサイバーセキュリティ政策はここ数年で大きく進展し、EUの「デジタル10年のためのサイバーセキュリティ戦略」、改正ネットワーク・情報セキュリティ指令(NIS2指令)、EU分野別サイバーセキュリティ法、サイバー防衛に関するEU政策、サイバーレジリエンス法、サイバー連帯法といった多くのイニシアティブが採択されている(本コミュニケーションとともに、委員会によって提案された)。しかし、それらを実施するために必要な熟練した人材がいなければ、これらの法律はその目的を達成することはできない。一般市民がサイバーセキュリティに関する基本的な知識を身につけることは、社会参加に必要な一般的スキルの開発を支援する取り組みの一環として取り組まれているが、サイバーセキュリティに関する法律や政策の要件を実現するためには、標準化団体を含む国内およびEUレベルの官民両セクターにおいて、有能な労働力が不可欠である。 
The EU’s security and competitiveness therefore depend on having a professional skilled cybersecurity workforce. However, the EU is facing a very substantial shortage of skilled cybersecurity professionals, which puts the EU, its Member States, its businesses and citizens at risk of cybersecurity incidents. In 2022, the shortage of cybersecurity professionals in the European Union ranged between 260,000  and 500,000 , while the EU’s cybersecurity workforce needs were estimated at 883,000 professionals  , suggesting a misalignment between the competences available and those required by the labour market. The cybersecurity workforce further suffers from the misconception associated with its technical image, and continues to fail at attracting women, who amount to 20% of cybersecurity graduates  and to 19% of information and communications technology (ICT) specialists  To address this, Europe’s Digital Decade Policy Programme 2030  has set the target of increasing the number of ICT professionals by 20 million by 2030, while also achieving gender convergence. Moreover, implementing emerging EU policy requires an adequately skilled and sufficient workforce. For example, over 42% of senior IT leaders in the financial services industry highlighted the lack of cybersecurity skills and expertise as a key challenge facing their business when it comes to cybersecurity defence and incident management , at a time when they will need to implement sectoral cybersecurity legislation such as the Digital Operational Resilience Act (DORA).  したがって、EUの安全保障と競争力は、専門的な技術を持つサイバーセキュリティの労働力を有するかどうかにかかっている。しかし、EUは、熟練したサイバーセキュリティ専門家の非常に大きな不足に直面しており、EU、加盟国、その企業、市民をサイバーセキュリティ事件のリスクにさらしている。2022年、EUにおけるサイバーセキュリティ専門家の不足は26万人から50万人の間であったが、EUのサイバーセキュリティ労働力のニーズは88万3000人と推定されており、利用できる能力と労働市場が求める能力の間にズレがあることを示唆している。サイバーセキュリティの人材は、その技術的なイメージからくる誤解に苦しんでおり、サイバーセキュリティの卒業生の20%、情報通信技術(ICT)専門家の19%を占める女性の誘致に失敗し続けている。これに対し、欧州のデジタル10年政策プログラム2030は、2030年までにICT専門家の数を2000万人増やすという目標を掲げ、同時にジェンダー収束も達成するとしている。さらに、EUの新たな政策を実施するには、十分なスキルを持った十分な労働力が必要である。例えば、金融サービス業界のシニアITリーダーの42%以上が、サイバーセキュリティの防御と事故管理に関して、サイバーセキュリティのスキルと専門知識の不足を自社のビジネスが直面する主要な課題として挙げている。
Employers’ hesitancy to invest in human capital, looking for already trained and experienced workforce, further contributes to constraining the labour market . This shortage affects all types of companies, including small and medium-sized enterprises (SMEs), which represent 99% of all businesses in the EU . The challenge is also high for public administrations which are largely hit and most impacted by cybersecurity incidents .   雇用主が人的資本への投資をためらい、すでに訓練を受け、経験を積んだ労働力を求めることは、労働市場の制約をさらに助長する。この不足は、EUの全企業の99%を占める中小企業(SMEs)を含む、あらゆる種類の企業に影響を及ぼす。 また、サイバーセキュリティ事件の被害が大きく、最も影響を受ける行政機関にとっても、この課題は大きい。 
Closing the EU’s cybersecurity professional talent gap is therefore a matter of urgency, as the EU’s security and competitiveness are at stake.  したがって、EUのサイバーセキュリティ専門家の人材格差を解消することは、EUの安全保障と競争力に関わる緊急の課題である。
2. The lack of synergies and coordinated action to close the cybersecurity skills gap  2. サイバーセキュリティのスキルギャップを解消するための相乗効果や協調行動の欠如 
Initiatives at European and national level conducted by public and private entities to address the cybersecurity labour market shortages are flourishing. However, they are scattered and have so far failed to reach a critical mass to make a real difference.  サイバーセキュリティの労働市場の不足に対処するため、官民の団体による欧州および国内レベルでの取り組みが盛んになっている。しかし、それらはばらばらであり、今のところ真の変化をもたらすための重要な質量に達することができていない。
To start with, there is currently limited common understanding of the composition of the EU cybersecurity workforce and of associated skills, whereas similar cybersecurity job profiles should entail the same set of skills. The low uptake by relevant actors of a common European reference framework for cybersecurity professionals translates into the lack of a communication tool between employers, educators and policy makers, and incapacity to conduct measurement and assess the gaps of the cybersecurity labour market. It further prevents the design of education and training curricula and the creation of career pathways responding to the policy and market needs for those wishing to enter the profession. Upskilling and reskilling of the workforce relies widely on cybersecurity trainings and certificates, usually offered by private providers. However, the workforce faces difficulties to get an overview of the quality of the cybersecurity trainings offered and the associated certificates issued.  まず、EUのサイバーセキュリティ人材の構成と関連スキルに関する共通理解が限られている。一方、同様のサイバーセキュリティの職務プロファイルは、同じ一連のスキルを必要とするはずである。サイバーセキュリティ専門家のための欧州共通の参照フレームワークが関係者にあまり受け入れられていないことは、雇用者、教育者、政策立案者間のコミュニケーションツールの欠如、サイバーセキュリティ労働市場のギャップを測定し評価する能力の欠如につながる。さらに、教育・訓練カリキュラムの設計や、この職業に就くことを希望する人の政策・市場ニーズに対応したキャリアパスの作成ができない。労働者のスキルアップと再スキルは、通常、民間プロバイダーが提供するサイバーセキュリティ・トレーニングと証明書に広く依存している。しかし、労働者は、提供されるサイバーセキュリティ研修や発行される関連証明書の質の概要を把握することが困難な状況にある。
While education and training and building career pathways are necessary to enhance the supply side of the labour market, the role of the demand side in training its workforce and adapting to its evolution is currently underestimated. Industry and public employers lack common fora and places to pool ideas on how to best train the workforce and to address how to better assess skills, especially during the recruitment process. The most in-demand hard skills may be cybersecurity related , such as software development or cloud computing , but transversal skills are still unjustifiably disregarded. Critical thinking and analysis, problem-solving and self-management are skill groups which are more demanded by employers  and are rising in prominence in the lead up to 2025 .  労働市場の供給側を強化するためには、教育訓練とキャリアパスの構築が必要であるが、労働力を訓練し、その進化に適応するための需要側の役割は、現在過小評価されている。産業界と公共機関の雇用主は、労働力を最もよく訓練する方法についてアイデアを出し合い、特に採用プロセスにおいてスキルをよりよく評価する方法に取り組むための共通の場と場所を欠いている。最も需要の高いハードスキルは、ソフトウェア開発やクラウドコンピューティングなど、サイバーセキュリティに関連するものかもしれませんが、横断的なスキルは、いまだに不当に軽視されているのが現状である。クリティカルシンキングや分析、問題解決、自己管理は、雇用主が求めるスキルグループであり、2025年に向けてその重要性が高まっている。
Many public and private investment initiatives in cybersecurity skills exist already, with the EU widely funding projects under different instruments . However, the continuing shortage of skills in the EU raises questions as regards their visibility and impact and suggests that they may not systematically match the needs of the market, which need to be urgently mapped at EU level. In addition, several sources of funding lead to duplication, missing the opportunity to scale up and make a real impact. Moreover, those who need the investment cannot always identify the most appropriate sources for their needs.  サイバーセキュリティのスキルに関する官民の投資イニシアティブはすでに数多く存在し、EUはさまざまな手段の下でプロジェクトに広く資金を提供している。しかし、EUではスキルの不足が続いているため、その可視性と影響力に疑問があり、市場のニーズと体系的に合致していない可能性が示唆されており、EUレベルで緊急にマッピングする必要がある。さらに、複数の資金源があるため重複が生じ、規模を拡大し、真のインパクトを与える機会を失っている。さらに、投資を必要とする人々は、そのニーズに最も適した資金源を常に特定することができません。
Stakeholders have been trying to address the complex and multifaceted issue of the shortage of cybersecurity skills. The EU Agency for Cybersecurity (ENISA) has been developing instruments related to role profiles or higher education , the European Cybersecurity Competence Centre (ECCC)  is addressing cybersecurity skills in a dedicated working group, the European Security and Defence College (ESDC) is working on the cybersecurity skills of the civilian and military workforce in the context of the  Common Security and Defence Policy , private organisations are trying to tackle the issue , the cybersecurity certification industry is developing a roadmap and trainings targeting the skills gap . Member States are also trying to address the issue through a variety of initiatives, ranging from regulatory  to setting up of cybersecurity skills academies  or Cyber Campuses , Cybercrime Centres of Excellence , or through public-private partnerships .  However, the work of all these stakeholders often lacks coordination and synergies and has not reached its potential of making a substantial difference on the job market as shown by the growing shortage in the cybersecurity workforce in the EU. Increasing synergies across cyber communities is also needed as the necessary skillsets to uphold cybersecurity, fight cybercrime or build cyber defence responses are often of a similar nature.   関係者は、サイバーセキュリティのスキル不足という複雑で多面的な問題に取り組もうとしてきた。EUサイバーセキュリティ機関(ENISA)は、役割プロファイルや高等教育に関連する手段を開発しており、欧州サイバーセキュリティ能力センター(ECCC)は、専門のワーキンググループでサイバーセキュリティスキルに取り組んでいる。欧州安全保障・防衛大学(ESDC)は、共通安全保障・防衛政策の観点から、民間および軍事労働者のサイバーセキュリティスキルに取り組んでいる。加盟国も、規制からサイバーセキュリティ技能アカデミーやサイバーキャンパス、サイバー犯罪センターオブエクセレンスの設立、あるいは官民パートナーシップに至るまで、さまざまな取り組みを通じてこの問題に対処しようとしている。 しかし、これらすべての関係者の活動は、しばしば連携や相乗効果を欠き、EUにおけるサイバーセキュリティ人材不足の深刻化に見られるように、雇用市場に大きな変化をもたらすという潜在能力を発揮していない。サイバーセキュリティの維持、サイバー犯罪との戦い、サイバー防衛反応の構築に必要なスキルセットは、しばしば類似した性質を持つため、サイバーコミュニティ間のシナジーを高めることも必要である。 
Finally, today, the EU has limited means of assessing the state and the evolution of the cybersecurity labour market and of the skills of its workforce. Member States and EUIBAs  rely on either data collected by private entities or on a wider set of EU-collected data notably by Eurostat  and the European Centre for the Development of Vocational Training (CEDEFOP)  on ICT professionals. In other words, the EU has a partial and fragmented view of its needs, which prevents it from consolidating an aggregated vision of the state of  the cybersecurity labour market.  最後に、今日、EUには、サイバーセキュリティの労働市場やその労働者のスキルの状態や進化を評価する手段が限られている。加盟国とEUIBAは、民間団体が収集したデータか、EUが収集した幅広いデータ、特にICT専門家に関するEurostatと欧州職業訓練開発センター(CEDEFOP)によるデータに依存している。言い換えれば、EU はそのニーズについて部分的かつ断片的な見解を持っており、それがサイバーセキュリティの労働市場の状態について集約的なビジョンを集約することを妨げている。
3. An EU-wide coordinated response: the Cybersecurity Skills Academy  3. EU全体で協調する対応策:サイバーセキュリティ・スキルアカデミー
3.1.The objective  3.1.目的 
To overcome the challenge of addressing cybersecurity skills and closing the labour market gap, the Commission is putting forward a Cybersecurity Skills Academy, as announced by the President of the European Commission in her 2022 State of the Union Letter of Intent41,  , and in the context of the European Year of Skills.   サイバーセキュリティ技能への対応と労働市場の格差是正という課題を克服するため、欧州委員会は、欧州委員会委員長が2022年の一般教書41で発表したように、また、欧州技能年との関連で、サイバーセキュリティ技能アカデミーを提唱している。 
The Cybersecurity Skills Academy (in short, ‘the Academy’) aims at creating a single point of entry and synergies for cybersecurity education and training offers as well as for funding opportunities and specific actions for supporting the development of cybersecurity skills. It will scale up stakeholders’ initiatives to reach a critical mass that will make a difference on the labour market, including for defence. Those activities would align along common goals and key performance indicators to seek greater impact.  サイバーセキュリティ・スキル・アカデミー(略して「アカデミー」)は、サイバーセキュリティの教育や訓練、サイバーセキュリティのスキル開発を支援するための資金提供の機会や特定の行動に対する単一の入口と相乗効果を生み出すことを目的としている。また、関係者のイニシアティブを拡大し、防衛を含む労働市場に変化をもたらすクリティカルマスに到達させる予定である。これらの活動は、共通の目標や重要な成果指標に沿って調整され、より大きな効果を追求することになる。
The focus of the Academy will be the skilling of cybersecurity professionals. The activity of the Academy will feed into to EU policies on cybersecurity, but also into education and lifelong learning. It complements the two Council recommendations related to digital education and skills proposed by the Commission at the same time as this Communication .  アカデミーの焦点は、サイバーセキュリティの専門家を育成することである。アカデミーの活動は、サイバーセキュリティに関するEUの政策だけでなく、教育や生涯学習にも反映されることになる。また、本コミュニケーションと同時に欧州委員会が提案した、デジタル教育と技能に関する2つの理事会勧告を補完するものである。
The Academy will rely on four pillars: (1) fostering knowledge generation through education and training by working on a common framework for cybersecurity role profiles and associated skills, enhancing the European education and training offer to meet the needs, building career pathways and providing visibility and clarity over cybersecurity trainings and certifications to enhance the supply side of the labour; (2) ensuring a better channelling and visibility over available funding opportunities for skills-related activities in order to maximise their impact; (3) calling stakeholders to take action; and (4) defining indicators to monitor the evolution of the market and be in a capacity to assess the effectiveness of their actions.  同アカデミーは、以下の4つの柱を軸に活動する: (1) 労働力の供給側を強化するために、サイバーセキュリティの役割プロファイルと関連スキルの共通フレームワークに取り組み、ニーズに合わせて欧州の教育・訓練の提供を強化し、キャリアパスを構築し、サイバーセキュリティの訓練と認定について可視性と明確性を提供することにより、教育・訓練を通じて知識生成を促進する; (2) スキル関連活動に対する資金提供の機会をより良く調整し、その効果を最大化するための可視性を確保する (3) 関係者に行動を呼びかける (4) 市場の進化を監視し、行動の有効性を評価するための指標を定義する 
The implementation of the Academy will be supported by a EUR 10 million funding from the Digital Europe Programme (DEP) .  本アカデミーの実施には、デジタル・ヨーロッパ・プログラム(DEP)から1,000万ユーロの資金が提供される予定である。
3.2.The Academy’s governance  3.2.アカデミーのガバナンス 
Ultimately, to provide an infrastructure that serves as a single entry point to foster cooperation between academia, training providers and industry, where the supply and the demand sides of the EU cybersecurity ecosystem could meet and be trained, the Academy could take the shape of a European digital infrastructure consortium (EDIC) . This instrument would allow Member States to work jointly on closing the cybersecurity skills gap, as well as to closely cooperate with the Commission, ENISA and the European  最終的には、EUのサイバーセキュリティ・エコシステムの供給側と需要側が出会い、訓練を受けることができるような、学術機関、訓練提供者、産業界の協力を促進する単一の入り口となるインフラを提供するために、アカデミーは欧州デジタルインフラコンソーシアム(EDIC)の形を取ることができる。この制度により、加盟国はサイバーセキュリティのスキルギャップの解消に共同で取り組むことができ、欧州委員会、ENISA、欧州連合(EU)とも緊密に協力することができる。
Cybersecurity Competence Centre (ECCC), in line with their mandates and competences, and to bring on board all relevant stakeholders but also direct European, national and private investment into a common objective. For that purpose, interested Member States are encouraged to submit to the Commission a pre-notification by 30 May 2023 of their future application for such an EDIC. This voluntary pre-notification would allow the Commission to issue early comments on the draft EDIC application, thus allowing for its further development and formal submission in a speedier manner.  During the entire process and to the extent requested by Member States, the Commission, acting as a multi-country project accelerator, will facilitate the preparation of the EDIC application. Then, upon a positive assessment of the application by the Commission and approval by the Digital Decade Programme Committee, the Commission would issue a Decision establishing the EDIC and subsequently help coordinate the implementation of the EDIC .  サイバーセキュリティ・コンピテンス・センター(ECCC)は、その権限と能力に基づき、すべての関連する利害関係者を取り込むだけでなく、欧州、国、民間の投資を共通の目標に向かわせることが目的である。そのために、関心のある加盟国は、2023年5月30日までに、EDICを将来申請する旨の事前通知を欧州委員会に提出することが奨励される。この自発的な事前通知により、欧州委員会はEDICの申請書案について早期にコメントを出すことができ、その結果、より迅速な方法でのさらなる開発および正式な提出が可能となる。 このプロセス全体において、また加盟国が要請する範囲において、欧州委員会は多国間プロジェクト促進機関として、EDIC申請書の作成を促進することになる。そして、欧州委員会が申請を肯定的に評価し、「デジタルの10年」プログラム委員会が承認すれば、欧州委員会はEDICを設立する決定を下し、その後、EDICの実施の調整を支援する。
In the meantime, and while the EDIC is being formally set-up, the Commission will create a virtual single point of entry by enhancing the Commission’s Digital Skills and Jobs Platform  with the support of the European Cybersecurity Community Support (ECCO) project .  一方、EDICが正式に設立されるまでの間、欧州委員会は、欧州サイバーセキュリティ共同体支援(ECCO)プロジェクトの支援を受けて、欧州委員会のデジタル技能・雇用プラットフォームを強化し、仮想の単一入口を設ける予定である。
ENISA will contribute to the implementation of the Academy in line with the agency’s objectives , notably with regards to assistance in cybersecurity education and training, and taking into consideration its reporting obligations under the NIS2 Directive . The ECCC will work in line with its Strategic Agenda to support the implementation of the Cybersecurity Skills Academy. Notably, the ECCC will implement Strategic Objective 3 (Cybersecurity) of the Digital Europe Programme. It will benefit from the support of the Commission and Member States, through the National Coordination Centres (NCCs). The Cooperation Group established under the NIS2 Directive  will be solicited where relevant. Finally, joining forces with the industry and academia will be necessary to reach the Academy’s goal of closing the cybersecurity skills gap.    ENISAは、NIS2指令に基づく報告義務を考慮し、特にサイバーセキュリティ教育・訓練の支援に関して、機関or 省庁の目的に沿ってアカデミーの実施に貢献する。ECCCは、戦略的アジェンダに沿って、サイバーセキュリティ・スキルアカデミーの実施を支援する。特に、ECCCはデジタル・ヨーロッパ・プログラムの戦略目標3(サイバーセキュリティ)を実施する予定である。ECCCは、欧州委員会と加盟国から、ナショナル・コーディネーション・センター(NCCs)を通じて支援を受ける。NIS2指令に基づき設立された協力グループも、関連する場合には協力を要請する予定である。最後に、サイバーセキュリティのスキルギャップを解消するというアカデミーの目標を達成するためには、産業界や学術界と力を合わせることが必要であろう。  
4. Knowledge generation and training:  establish a common EU approach to cybersecurity training  4. 知識の創出と訓練:サイバーセキュリティの訓練に対するEU共通のアプローチを確立する。
Under the knowledge generation and training pillar of the Cybersecurity Skills Academy, a structured approach will be developed with the clear objective to increase the number of persons with cybersecurity skills in the EU, to better target trainings to market needs, and provide visibility over career pathways.  サイバーセキュリティ・スキル・アカデミーの知識創出と訓練の柱の下で、EUにおけるサイバーセキュリティのスキルを持つ人の数を増やし、市場のニーズに合わせた訓練を行い、キャリア経路を可視化するという明確な目的のもと、構造的なアプローチが開発される。
4.1.Speaking the same language: a common approach on cybersecurity role profiles and associated skills  4.1.同じ言葉を話す:サイバーセキュリティの役割プロファイルと関連スキルに関する共通のアプローチ 
Work has already been done by ENISA towards defining role profiles of cybersecurity professionals under the European Cyber Skills Competence Framework (ECSF) . This should become the basis for the Academy to define and assess relevant skills, monitor the evolution of the skill gaps and provide indications on the new needs. For each cybersecurity role of the ECSF, a set of applicable European e-Competence Framework  is incorporated as an element of the profile description .  ENISAでは、欧州サイバー・スキル・コンピテンス・フレームワーク(ECSF)のもと、サイバーセキュリティ専門家の役割プロファイルを定義する作業がすでに行われている。これは、アカデミーが関連スキルを定義・評価し、スキルギャップの進化を監視し、新たなニーズに関する示唆を提供するための基礎となるはずである。ECSFの各サイバーセキュリティの役割について、適用される欧州e-コンピテンスフレームワークのセットは、プロファイルの説明の要素として組み込まれている。
ENISA will therefore review the ECSF and identify evolving skills needs and gaps in the cybersecurity workforce, including through advanced tools (e.g. artificial intelligence, big data , data mining). For that purpose, ENISA will work under the steer of the EDIC, when established, the ECCC, together with NCCs, the Commission, the ECCO project, and market players . For the cyber defence workforce, ENISA will take into due account the work done by the ESDC. Similarly, in the area of fighting cybercrime, ENISA will factor in the activities carried out by EU Agency for Law Enforcement Training (CEPOL) and Europol in establishing an Operational Training Needs Analysis  on cyberattacks.   そのため、ENISAはECSFを見直し、高度なツール(人工知能、ビッグデータ、データマイニングなど)を通じて、サイバーセキュリティ人材における進化するスキルニーズとギャップを特定する予定である。この目的のために、ENISAは、EDIC、ECCC、NCCs、欧州委員会、ECCOプロジェクト、市場関係者とともに、その指揮の下で活動することになる。サイバー防衛の労働力については、ENISAはESDCの活動を十分に考慮することになる。同様に、サイバー犯罪との闘いの分野では、ENISAは、EU法執行訓練機関(CEPOL)と欧州刑事警察機構がサイバー攻撃に関する業務訓練ニーズ分析を確立するために実施した活動を考慮する予定である。 
The ECSF will be regularly complemented and reviewed under the Academy throughout a two-yearly cycle. In addition, the Commission and the European External Action Service will contribute to defining specific profiles and associated skills for sectors as needed, with the support of EU agencies and bodies, such as the ESDC , Europol and CEPOL .  ECSFは、2年ごとのサイクルを通じて、アカデミーの下で定期的に補完され、見直されることになる。さらに、欧州委員会と欧州対外行動庁は、ESDC、欧州刑事警察機構、CEPOLなどのEU機関や団体の支援を受けて、必要に応じて、特定のプロファイルや関連スキルを定義することに貢献する。
Links will also be made between the ECSF and relevant instruments of EU employment policy . In particular the ECSF job profiles as well as related skills will be integrated into the ESCO classification. This will improve the classification of and linkages between occupations and skills in the field of cybersecurity, making it easier for individuals to upskill and reskill and supporting skills-based job matching and cross-border mobility.     また、ECSFとEUの雇用政策の関連諸制度との関連付けも行われる。特に、ECSFのジョブプロファイルと関連スキルは、ESCOの分類に統合される予定である。これにより、サイバーセキュリティ分野の職業とスキルの分類と関連性が改善され、個人のスキルアップとリスキルが容易になり、スキルベースのジョブマッチングと国境を越えた移動が支援される。   
4.2.Fostering cooperation to design cybersecurity education and training curricula  4.2.サイバーセキュリティの教育・訓練カリキュラムを設計するための協力の促進 
Once the EDIC is set up, the Academy should receive support from Member States to become the reference place in Europe for designing and delivering cybersecurity trainings addressing the most in-demand skills and provide on-the-job trainings and traineeships opportunities for start-ups and SMEs and for public administrations in innovative companies in cybersecurity and cybersecurity competence centres. The EDIC should work with all relevant stakeholders, including industry, to design such trainings, and build on projects such as CyberSecPro  funded by the Digital Europe Programme, which brings together 17 higher education institutions and 13 security companies from 16 Member States in order to become the best practice for all cybersecurity training programmes.   EDICが設立されたら、アカデミーは加盟国の支援を受け、最も需要の高いスキルに対応したサイバーセキュリティ研修を設計・提供するための欧州における参照場所となり、サイバーセキュリティやサイバーセキュリティ能力センターの革新的企業における新興企業や中小企業、行政に対して実地訓練や研修の機会を提供すべきである。EDICは、産業界を含むすべての関連する利害関係者と協力してこのような研修を設計し、デジタル・ヨーロッパ・プログラムの資金提供を受けたCyberSecProのようなプロジェクトを基礎として、すべてのサイバーセキュリティ研修プログラムのベストプラクティスとなるよう、16加盟国の17高等教育機関と13セキュリティ企業を結集させることが望ましい。 
The Academy will work with all relevant stakeholders to attract the young generations to enter cybersecurity careers. In line with the proposal for a Council recommendation on improving the provision of digital skills in education and training, Member States should set up and reinforce measures to recruit and train specialised teachers and trainers and facilitate acquiring cybersecurity skills, including through apprenticeship placements. Integrating cybersecurity in education and training programmes, while ensuring their accessibility, developing the apprenticeships and traineeships offer, fostering innovative approaches including, for example, serious games and shared simulation platforms, organising immersion weeks in cybersecurity positions, explaining the non-technical role profiles should be encouraged. Participation in these cybersecurity learning opportunities of hard to reach groups, such as young people with disabilities, living in remote or rural areas and from other minority groups should also be supported.  アカデミーは、若い世代がサイバーセキュリティの仕事に就けるよう、すべての関係者と協力していく。教育・訓練におけるデジタルスキルの提供の改善に関する理事会勧告の提案に沿って、加盟国は、専門的な教員やトレーナーを採用・訓練し、見習い派遣を含め、サイバーセキュリティスキルの習得を促進する措置を設定・強化すべきである。教育訓練プログラムにサイバーセキュリティを統合し、そのアクセス性を確保し、実習生や研修生を募集し、例えばシリアスゲームや共有シミュレーションプラットフォームを含む革新的なアプローチを育成し、サイバーセキュリティ職への没頭週間を組織し、非技術的な役割プロファイルを説明し、奨励すべきである。障害を持つ若者、遠隔地や地方に住む若者、その他のマイノリティグループなど、手の届きにくいグループのサイバーセキュリティ学習の機会への参加も支援されるべきである。
Support will continue to be provided by the Commission for the development of microcredentials, vocational education and training programmes. In particular, joint bachelor and master degree programmes, joint courses or modules that can lead to micro-credentials  and blended intensive programmes  on all topics, including on cybersecurity, will continue to be financed under Erasmus+. The further rollout of the European Universities Initiative  and of Centres of Vocational Excellence  will also be supported to encourage greater cooperation between higher education and relevant vocational education and training institutions across Europe. EU funding programmes, including Erasmus+ and the Digital Europe Programme, will support this aim of deeper cooperation, as will EU funds for the development of individual learning accounts .   マイクロクレデンシャル、職業教育、訓練プログラムの開発に対して、欧州委員会は引き続き支援を提供する。特に、学士と修士の共同学位プログラム、マイクロクレデンシャルにつながる共同コースやモジュール、サイバーセキュリティを含むあらゆるテーマに関する混合集中プログラムは、引き続きエラスムス+の下で資金を提供される予定である。また、欧州全域の高等教育機関と関連する職業教育・訓練機構との協力関係を強化するため、欧州大学イニシアティブと職業卓越センター(Centres of Vocational Excellence)のさらなる展開も支援される予定である。エラスムス+やデジタル・ヨーロッパ・プログラムなどのEUの資金プログラムは、個人学習口座の開発のためのEU資金と同様に、より深い協力というこの目的を支援することになる。 
To facilitate cooperation at national level among academia and providers of cybersecurity skills trainings with private and public sector employers and foster synergies between the public and private sector, NCCs are invited to explore the setting up of Cyber Campuses in Member States. The Cyber Campuses would aim at providing poles of excellence at national level for the cybersecurity community and the Academy would help their networking and further coordination of their activities.  学術機関やサイバーセキュリティ技能訓練の提供者と民間および公的セクターの雇用主との国家レベルでの協力を促進し、官民間の相乗効果を促進するために、NCCは加盟国におけるサイバーキャンパスの設立を検討するよう求められている。サイバーキャンパスは、サイバーセキュリティコミュニティに国レベルの卓越した拠点を提供することを目的とし、アカデミーは、そのネットワーク化と活動のさらなる調整を支援する。
ENISA will also enhance its cybersecurity training offer aligning its courses catalogue  to the ECSF profiles and elaborating training modules per profile, which may enhance Member States training offers. ENISA will also expand its ‘train the trainer’ programme , targeting the professional needs of EUIBAs, and Member States’ public authorities and public and private critical operators in the scope of the NIS2 Directive.   ENISAは、ECSFのプロファイルに沿ったコースカタログを作成し、プロファイルごとにトレーニングモジュールを作成することで、サイバーセキュリティトレーニングの提供も強化する。ENISAはまた、EUIBA、加盟国の公的機関、NIS2指令の範囲にある公的・私的重要事業者の専門的ニーズを対象とした「トレーナー養成」プログラムも拡大する予定である。 
In addition, other EU agencies and bodies will strengthen their cybersecurity training offer. For example, implementing the EU policy on cyber defence, the ESDC will develop a new set of cybersecurity courses and will align some of its current courses with the ECSF. These courses will lead to certification of learning outcomes . The ESDC, in collaboration with the Commission, will explore the possibility of integrating certificates into the EUeID Wallet. The ESDC will further explore possible assessment of skills mechanisms, against which the certificates will be delivered. Similarly, in the area of fighting cybercrime, close connections with the CEPOL Cybercrime Academy  will be sought to foster synergies and complementarities in the design and implementation of training curricula.  さらに、他のEU機関や団体も、サイバーセキュリティに関するトレーニングの提供を強化する。例えば、サイバー防衛に関するEU政策を実施するESDCは、新しいサイバーセキュリティ・コースを開発し、現在のコースの一部をECSFと整合させる予定である。これらのコースは、学習成果の認証につながるものである。ESDCは、欧州委員会と協力して、EUeIDウォレットに証明書を統合する可能性を検討する予定である。ESDCはさらに、証明書が交付される際のスキル評価メカニズムの可能性を検討する予定である。同様に、サイバー犯罪対策の分野では、研修カリキュラムの設計と実施における相乗効果と補完性を促進するために、CEPOLサイバー犯罪アカデミーとの緊密な連携を模索することになる。
4.3.Creating synergies and providing visibility to cybersecurity trainings and certification across Member States  4.3.加盟国間での相乗効果の創出とサイバーセキュリティ研修・認証の可視化 
The Academy should address the issue of visibility and synergies of training and certification. This would benefit the civilian, defence, law enforcement and diplomatic cyber communities, as all sectors require in many cases the same expertise, based on similar curricula and learning outcomes.    アカデミーは、訓練と認証の可視化と相乗効果の問題に取り組むべきである。これは、民間、防衛、法執行、外交の各サイバーコミュニティにとって有益である。すべてのセクターが、多くの場合、同様のカリキュラムと学習成果に基づいて、同じ専門知識を必要としているからである。  
The Academy would provide a single point of entry for those interested in a cybersecurity career. In the short term this will be done by enhancing the Commission’s Digital Skills and Jobs Platform with the support of the ECCO project. A specific section to cybersecurity careers, will link with existing tools, from higher education programmes to training opportunities, including courses leading to micro-credentials and vocational education and training programmes, to job offers. This will be achieved by referring to or integrating into the platform ongoing work and initiatives, such as the ones of ENISA, who in collaboration with academia has set up a mapping of education institutions providing cybersecurity programmes. This will be further enhanced with the support of NCCs. In addition, two repositories of existing trainings from public and private sectors and of cybersecurity certifications will be developed and consolidated by ENISA with the support of NCCs, the Commission and the ECCO project, and in collaboration with entities delivering certifications and drawing also on other relevant initiatives . These will also be integrated into the single point of entry of the Digital Skills and Jobs Platform. This work will also benefit NCCs whose task is notably to promote and disseminate cybersecurity educational programmes71.   このアカデミーは、サイバーセキュリティのキャリアに関心のある人たちに、単一の入口となる。短期的には、ECCOプロジェクトの支援を受けて、欧州委員会の「デジタルスキルと雇用のプラットフォーム」を強化することによって、これを実現することになる。サイバーセキュリティのキャリアに特化したセクションは、高等教育プログラムから、マイクロクレデンシャルにつながるコースや職業教育訓練プログラムを含む訓練機会、求人情報まで、既存のツールにリンクさせる予定である。これは、学術界と協力してサイバーセキュリティプログラムを提供する教育機関のマッピングを作成したENISAのような、現在進行中の作業やイニシアチブを参照したり、プラットフォームに統合することで達成される予定である。これは、NCCの支援によりさらに強化される予定である。さらに、官民の既存の研修とサイバーセキュリティ認証の2つのリポジトリが、NCCs、欧州委員会、ECCOプロジェクトの支援を受けて、認証を提供する団体と協力し、他の関連イニシアチブも活用して、ENISAによって開発・統合される予定である。また、これらは、「デジタルスキルと雇用のプラットフォーム」のシングルポイントに統合される予定である。この作業は、特にサイバーセキュリティ教育プログラムを推進し普及させることを任務とする NCC にも有益である71。 
It is also necessary to provide assurances to professionals that the trainings they undertake are of the required quality. In this regard, ENISA will develop a pilot project, exploring the setup of a European attestation scheme for cybersecurity skills.  また、専門家が受ける研修が必要な品質であるという保証を提供することも必要である。この点に関して、ENISA は、サイバーセキュリティスキルに関する欧州の認証スキームの設定を検討するパイロットプロジェクトを開発する。
In addition, identifying skills and trainings, and associating them with a job profile is essential, but it is also important to ensure that cybersecurity services are provided with the requisite competence, expertise and experience This is particularly the case for managed security services providers in areas such as incident response, penetration testing, security audits and consultancy. The NIS2 Directive and the Cyber Solidarity Act proposal set out specific tasks for such managed security services providers. Therefore, the Commission is also proposing a targeted amendment to the Cybersecurity Act  to enable certification schemes of managed security services at EU level. Such certification schemes should aim at, inter alia, ensuring that these services are provided by staff with a very high level of technical knowledge and competence in the relevant areas.   さらに、スキルとトレーニングを特定し、ジョブプロファイルと関連付けることは不可欠であるが、サイバーセキュリティサービスが必要な能力、専門知識、経験をもって提供されることを保証することも重要である。これは特に、インシデント対応、侵入テスト、セキュリティ監査、コンサルティングなどの分野における管理セキュリティサービスプロバイダーにとって重要なケースである。NIS2指令とサイバー連帯法の提案は、このようなマネージド・セキュリティサービス・プロバイダーに対する特定の任務を定めている。したがって、欧州委員会は、EUレベルでのマネージド・セキュリティサービスの認証制度を可能にするため、サイバーセキュリティ法の的を絞った改正案も提案している。このような認証制度は、特に、関連分野における非常に高いレベルの技術的知識と能力を持つスタッフによって、これらのサービスが提供されることを保証することを目的とすべきである。 
Quality assurance and recognition mechanisms for micro-credentials  facilitate the transparency, comparability and portability of learning outcomes. In line with the Council recommendation on a European approach to micro-credentials , Member States are encouraged to include cybersecurity micro-credentials in their national qualification frameworks. That would allow them to relate the cybersecurity micro-credentials to the European Qualifications Framework . The European Digital Credentials for Learning infrastructure is available to issue digitally signed cybersecurity qualifications and microcredentials of individuals. These contain rich data including on cybersecurity learning outcomes and can be stored in the future EUeID digital wallet .    マイクロクレデンシャルの品質保証と承認の仕組みは、学習成果の透明性、比較可能性、移植可能性を促進する。マイクロクレデンシャルに対する欧州のアプローチに関する理事会勧告に沿って、加盟国はサイバーセキュリティのマイクロクレデンシャルを国家資格の枠組みに含めることが推奨される。これにより、加盟国はサイバーセキュリティのマイクロクレデンシャルを欧州資格枠組に関連付けることができる。欧州の学習用デジタル資格インフラは、個人のデジタル署名されたサイバーセキュリティ資格とマイクロクレデンシャルを発行するために利用可能である。これらは、サイバーセキュリティの学習成果を含む豊富なデータを含み、将来のEUeIDデジタルウォレットに保存することができる。  
Actions under the Academy   アカデミーの活動  
Member States and industry  加盟国・産業界 
• Ensure the support for the development and recognition of cybersecurity learning microcredentials, in line with the Council recommendation on a European approach to microcredentials.  ・マイクロクレデンシャルに対する欧州のアプローチに関する理事会勧告に沿って,サイバーセキュリティ学習用マイクロクレデンシャルの開発と承認に対する支援を確保する。
• Include  cybersecurity  qualifications,  including  micro-credentials  in  National Qualifications Frameworks.  ・マイクロクレデンシャルを含むサイバーセキュリティの資格を国家資格枠組み(National Qualifications Frameworks)に含める。
• Provide on-the-job learning opportunities through apprenticeships for people going through cybersecurity skills development initiatives.  ・サイバーセキュリティ技能開発イニシアティブを受ける人々に対して,実習を通じて実地学習の機会を提供する。
Commission  委員会 
• In the short term, create a single point of entry for cybersecurity programmes, existing trainings, and for cybersecurity certifications via the Digital Skills and Jobs Platform by end of 2023.  ・短期的には、2023 年末までに、サイバーセキュリティプログラム、既存のトレーニング、および Digital Skills and Jobs Platform を介したサイバーセキュリティ認証のための単一エントリポイントを作成する。
• Propose an amendment to the Cybersecurity Act to allow the certification of managed security providers on 18 April 2023.  ・2023年4月18日にマネージドセキュリティプロバイダーの認証を可能にするサイバーセキュリティ法の改正を提案する。
EU bodies and agencies  EUの団体、機関/省庁 
•  Establish the ECSF as a common approach on cybersecurity role profiles and associated skills by end 2023.  ・2023年末までに、サイバーセキュリティの役割プロファイルと関連スキルに関する共通のアプローチとしてECSFを確立する。
•  ENISA to initiate the development of a pilot project setting up a European attestation scheme for cybersecurity skills in Q2 2023.  ・ENISAは、2023年第2四半期に、サイバーセキュリティスキルの欧州認証スキームを設定するパイロットプロジェクトの開発を開始する。
•  ENISA to review its courses catalogue and open its ‘train the trainer’ programme to public and private critical operators by end 2023.   ・ENISAは、2023年末までに、コースカタログを見直し、「トレーナー養成」プログラムを官民の重要事業者に開放する。 
•  Finish the alignment of ESDC curricula with the ECSF by mid-2023.   ・2023年半ばまでに、ESDCのカリキュラムとECSFの整合化を完了させる。 
5. Stakeholder involvement: committing to close the cybersecurity skills gap    5. ステークホルダーの参加:サイバーセキュリティのスキルギャップを解消するためのコミットメント   
Under the Academy, a coordinated approach to stakeholder involvement will be developed to address the cybersecurity skills gap. The aim will be to maximise the visibility and impact of the various stakeholders’ commitments aiming at narrowing the cybersecurity skills gap.   本アカデミーの下で、サイバーセキュリティのスキルギャップに対処するために、利害関係者の関与のための協調的なアプローチが開発される予定である。その目的は、サイバーセキュリティ技能格差の縮小を目指す様々な利害関係者のコミットメントの可視性と影響力を最大化することであろう。 
The Commission calls on stakeholders to make concrete commitments through pledges to upskill and reskill workers through dedicated actions, building as much as possible on the identified cybersecurity skills gap. Such stakeholder cybersecurity pledges should be reported on the Digital Skills and Jobs Platform, similarly to other digital pledges already visible on the platform. The Commission further encourages stakeholders making a cybersecurity pledge on the Platform to join the Digital Large Scale Partnership under the Pact for Skills . Cybersecurity commitments made under the Digital Large Scale Partnership are encouraged to be submitted on the Digital Skills and Jobs Platform. Likewise, commitments made under the Digital Skills and Jobs Platform are encouraged to be reported under the Pact for Skills’ Digital Large Scale Partnership.   欧州委員会は、特定されたサイバーセキュリティ技能格差に可能な限り基づいて、献身的な行動を通じて労働者のスキルアップと再スキルを誓約し、具体的な約束をするよう関係者に呼びかける。このような関係者のサイバーセキュリティに関する誓約は、「デジタルスキル&ジョブズ・プラットフォーム」において、同プラットフォームで既に公開されている他のデジタル誓約と同様に報告されるべきである。欧州委員会はさらに、プラットフォーム上でサイバーセキュリティの誓約を行う関係者が、「スキルのための協定」の下でデジタル大規模パートナーシップに参加することを奨励する。デジタル大規模パートナーシップの下で行われるサイバーセキュリティの誓約は、デジタルスキル&ジョブズ・プラットフォームで提出されることが推奨される。同様に、「デジタル技能・雇用プラットフォーム」の下で行われたコミットメントは、「技能のための条約」の「デジタル大規模パートナーシップ」の下で報告されることが奨励される。 
The Commission further calls upon Member States to pursue efforts in implementing the Women in Digital Declaration  to encourage women to play an active and prominent role in the digital technology sector and achieve gender convergence in cybersecurity positions. The Commission also encourages Member States to develop synergies with their European Social Fund+ (ESF+) programmes to further support the objective of gender equality in labour participation , for example through establishing mentorship programmes for girls and women. These can facilitate the building of role models to attract girls to cybersecurity professions, combatting at the same time gender-related stereotypes. It also encourages the upskill and reskill of women and fosters the development of a community, which can support women in their entry or promotion on the cybersecurity job market.   欧州委員会はさらに、加盟国に対し、デジタル技術分野において女性が積極的かつ顕著な役割を果たすことを奨励し、サイバーセキュリティの職種におけるジェンダー収束を達成するために、「デジタルにおける女性宣言」の実施に向けた取り組みを進めるよう求める。また、欧州委員会は、加盟国に対し、労働参加における男女平等の目的をさらに支援するために、欧州社会基金+(ESF+)プログラムとの相乗効果を高めることを奨励する。例えば、少女と女性のためのメンターシップ・プログラムを確立することを通して。これらは、サイバーセキュリティの職業に女子を引きつけるためのロールモデルの構築を促進し、同時にジェンダーに関連する固定観念と闘うことができる。また、女性のスキルアップと再スキルを奨励し、サイバーセキュリティの仕事市場への参入や昇進において女性を支援できるコミュニティの発展を促進する。 
Member States should adopt, as part of their national cybersecurity strategies, specific measures in view of mitigating the cybersecurity skills shortage , identifying and better channelling efforts to close the skills gaps and ultimately ensuring a proper implementation of their obligations under the NIS2 Directive.  加盟国は、国家サイバーセキュリティ戦略の一環として、サイバーセキュリティのスキル不足を緩和し、スキルギャップを解消するための努力を特定し、より良い方向に導き、最終的にはNIS2指令に基づく義務の適切な実施を確保するという観点から、具体的な措置を採用すべきである。
Some Member States make use of synergies between civilian, defence and law enforcement  initiatives. For example, growing a workforce using their national compulsory military service, or making use of cyber reservists, who are military-trained citizens filling in cybersecurity positions in the armed forces , allow the population, and especially young adults, to increase their cybersecurity and cyber defence skills.  The same applies in the area of fighting cybercrime as many similarities exist between general cybersecurity efforts and law enforcement activities in the response to cybersecurity incidents-.  The Commission encourages discussions amongst Member States on such initiatives and invites them to assess how a skilled workforce can best serve both the defence and civilian cybersecurity communities.   加盟国の中には、民間、防衛、法執行の各イニシアティブの相乗効果を利用しているところもある。例えば、義務教育の兵役を利用して労働力を育成したり、軍隊でサイバーセキュリティの職務に就く軍事訓練を受けた国民であるサイバー予備軍を活用することで、国民、特に若年層がサイバーセキュリティやサイバー防御のスキルを向上させることができます。 一般的なサイバーセキュリティの取り組みとサイバーセキュリティ事件への対応における法執行活動には多くの類似点が存在するため、サイバー犯罪との戦いの分野でも同じことが言える。 欧州委員会は、このような取り組みについて加盟国で議論することを奨励し、熟練した労働力が防衛と民間の両方のサイバーセキュリティ・コミュニティにどのように貢献できるかを評価するよう加盟国に呼びかける。 
The Commission will reflect upon proposals on how to fill the current and anticipated gaps identified in its review of EUIBAs needs. It will in particular encourage staff to benefit from the forthcoming EU-United States (US) cybersecurity fellowship established under the EUUS dialogue.  欧州委員会は、EUIBAのニーズの見直しで明らかになった現在および将来のギャップを埋める方法について、提案書を検討する。特に、EUUSの対話の下で設立される予定のEU・米国のサイバーセキュリティ・フェローシップの恩恵を受けるよう、職員に奨励する予定である。
Actions under the Academy   アカデミーの活動  
The industry   業界  
• Propose specific cybersecurity pledges on the Digital Skills and Jobs Platform as of 18 April 2023.  ・2023年4月18日時点の「デジタルスキル・雇用プラットフォーム」での具体的なサイバーセキュリティの誓約を提案する。
Member States  加盟国 
•  Include in the national cybersecurity strategies specific measures to address the cybersecurity skills gap.  ・国のサイバーセキュリティ戦略に,サイバーセキュリティのスキルギャップに対処するための具体的な方策を盛り込む。
Member States and industry  加盟国および産業界 
• Implement the Women in Digital Declaration and achieve gender convergence in cybersecurity positions by 2030.  ・Women in Digital Declarationを実施し、2030年までにサイバーセキュリティの役職におけるジェンダーコンバージェンスを達成する。
6. Funding: build synergies to maximise the impact of spending for developing cybersecurity skills  6. 資金調達:サイバーセキュリティスキル育成のための支出の効果を最大化するための相乗効果を構築する。
Under the Academy, the impact of investments into cybersecurity skills will be maximised by providing a common entry point, facilitating a better channelling of the funds towards the needs of the market and mainstreaming the use of funding, facilitating synergies between different instruments while avoiding duplication of efforts .  本アカデミーの下で、サイバーセキュリティ技能への投資の効果は、共通のエントリーポイントを提供し、資金を市場のニーズに合わせてより適切に配分し、資金活用の主流化を促進し、重複を避けながら異なる手段間の相乗効果を促進することによって最大化されるであろう。
6.1. Matching the funds with the needs  6.1. 資金とニーズのマッチング 
Under the Academy, the ECCC, with the support of the Commission, the ECCO project and NCCs, will gather information on how EU funds are used to finance cybersecurity skills, and will assess how EU funds are supporting the narrowing of the cybersecurity skills gap.  本アカデミーの下で、ECCCは欧州委員会、ECCOプロジェクト、NCCの支援を受け、サイバーセキュリティ技能の資金調達にEU資金がどのように使われているかについての情報を集め、EU資金がサイバーセキュリティ技能格差の縮小をどのように支えているかを評価する。
Taking into consideration this aggregated information, the ECCC will seek to ensure better channelling of EU funds towards the identified needs. It will fund actions that would address the most pressing gaps in the cybersecurity workforce, including those related to the implementation of cybersecurity policy needs.   これらの集約された情報を考慮し、ECCCは、特定されたニーズに対するEU資金のより良いチャネリングを確保することを目指す。ECCCは、サイバーセキュリティ政策ニーズの実施に関連するものを含め、サイバーセキュリティ人材における最も差し迫ったギャップに対処する行動に資金を提供する予定である。 
6.2. Providing visibility to available funds and partnership initiatives for cybersecurity skills  6.2. サイバーセキュリティ技能のために利用可能な資金とパートナーシップのイニシアチブの可視化
In the short term, the Digital Skills and Jobs Platform will become the single point of entry for stakeholders where all information on funding opportunities for cybersecurity skills will be available.   短期的には、デジタルスキル・雇用プラットフォームが、サイバーセキュリティスキルのための資金調達機会に関するすべての情報を入手できる、関係者のための単一の入口となる。 
The EU is investing in people and their skills and using partnerships notably with the industry to mobilise action on up- and reskilling through several instruments identified under the European Skills Agenda , in particular the Pact for Skills  and the Digital Education Action Plan . The Digital Europe Programme funds cybersecurity skills opportunities, notably through multi-country project initiatives, in clear complementarity with the support offered by Horizon Europe for research and innovative technological solutions in cybersecurity. The European Defence Fund  finances research and technology development to conduct efficient cyber operations, including trainings and exercises . Erasmus+ will continue to support such initiatives including through blended intensive programmes and cooperation projects.  EUは、「欧州技能アジェンダ」、特に「技能協定」と「デジタル教育行動計画」の下で特定されたいくつかの手段を通じて、人材とその技能に投資し、特に産業界とのパートナーシップを利用して、技能の向上と再教育に関する行動を動員している。デジタル・ヨーロッパ・プログラムは、サイバーセキュリティの研究と革新的な技術的ソリューションに対するホライゾン・ヨーロッパの支援と明確に補完する形で、特に複数国のプロジェクト・イニシアチブを通じて、サイバーセキュリティのスキルアップの機会を提供する。欧州防衛基金は、訓練や演習を含む効率的なサイバー作戦を実施するための研究および技術開発に資金を提供している。エラスムス+は、混合型集中プログラムや協力プロジェクトを通じて、このような取り組みを引き続き支援していく。
Member States are encouraged to mobilise the EU funds they directly manage to support cybersecurity skills and jobs. The cohesion policy funds, such as the European Regional Development Fund (ERDF) and the ESF+ carry important potential for synergies in this regard .The scope of actions under the Recovery and Resilience Facility (RRF)  and InvestEU include further key complementarities in delivering the objectives of the Academy.  加盟国は、サイバーセキュリティの技能と雇用を支援するために、自らが直接管理するEU資金を動員することが奨励される。欧州地域開発基金(ERDF)やESF+などの結束政策基金は、この点で重要な相乗効果を発揮する可能性がある。復興・強靭化ファシリティ(RRF)やInvestEUの行動範囲には、アカデミーの目的を達成する上でさらに重要な補完性がある。
Actions under the Academy  アカデミーの活動 
European Cybersecurity Competence Centre and ENISA  欧州サイバーセキュリティ・コンピテンスセンター、ENISA 
• Map existing EU funding for cybersecurity skills against market needs, assess effectiveness and identify funding priorities by end of 2024.  ・2024年末までに、サイバーセキュリティ技能に対するEUの既存の資金を市場ニーズと照らし合わせ、有効性を評価し、資金の優先順位を特定する。
Commission  委員会 
• Create a single point of entry for funding opportunities for cybersecurity skills on the Digital Skills and Jobs Platform by end of 2023.  ・2023年末までに、Digital Skills and Jobs Platformにサイバーセキュリティスキルのための資金調達機会のシングルポイントを作る。
7. Measuring progress: built-in accountability  7. 進捗の測定:説明責任の組み込み 
Under the Academy a methodology will be developed that will allow measuring the progress to close the cybersecurity skills gap.   本アカデミーでは、サイバーセキュリティのスキルギャップを解消するための進捗状況を測定することができる手法を開発する予定である。 
7.1.Defining cybersecurity indicators to monitor the evolution of the cybersecurity labour market  7.1.サイバーセキュリティの労働市場の進化を監視するためのサイバーセキュリティ指標を定義する。
The Digital Economy and Society Index (DESI) summarises indicators on Europe’s digital performance and tracks the progress of EU Member States. Under the Cybersecurity Skills Academy, ENISA, in cooperation with the Commission and the NIS Cooperation Group  will develop indicators, including related to gender, to track the progress made in EU Member States to increase the number of cybersecurity professionals, consulting also relevant market players and the NCCs. ENISA will draw on the DESI methodology  and will ensure that the indicators are in line with Europe’s digital targets on ICT professionals and on achieving gender-convergence in ICT. The Commission will then work towards integrating such indicators into the DESI, thereby allowing for the yearly tracking of the state of the cybersecurity skills and job market.  デジタル経済社会指数(DESI)は、欧州のデジタルパフォーマンスに関する指標をまとめ、EU加盟国の進捗を追跡するものである。サイバーセキュリティ技能アカデミーの下、ENISAは欧州委員会およびNIS協力グループと協力して、関連する市場関係者やNCCにも相談しながら、サイバーセキュリティ専門家の数を増やすためのEU加盟国の進捗状況を追跡するための、性別に関するものを含む指標を開発する予定である。ENISAはDESIの手法を活用し、指標がICT専門家に関する欧州のデジタル目標およびICTにおけるジェンダーコンバージェンスの達成に沿ったものであることを確認する予定である。その後、欧州委員会は、このような指標をDESIに統合することで、サイバーセキュリティのスキルと雇用市場の状況を毎年追跡できるようにすることを目指す。
7.2.Collecting data and reporting   7.2.データの収集と報告  
ENISA will collect the data on the indicators with the support of the ECCO project and of the NCCs. Based on the data collected, ENISA will produce a yearly report that will contribute to the state of the Digital Decade Report , which, together with DESI, will further feed into the European Semester country-specific analysis and recommendations . Moreover, the indicators on cybersecurity skills will contribute to ENISA’s two-yearly report on the state of cybersecurity in the EU foreseen in the NIS2 Directive, covering cybersecurity capabilities, awareness and hygiene across the EU.   ENISAは、ECCOプロジェクトおよびNCCの支援を受けて、指標に関するデータを収集する。収集されたデータに基づき、ENISAは「デジタル10年の状況報告書」に貢献する年次報告書を作成し、DESIとともに欧州セメスターの国別分析・勧告にさらに反映させる予定である。さらに、サイバーセキュリティのスキルに関する指標は、NIS2指令で規定されているEUのサイバーセキュリティの状況に関するENISAの2年ごとの報告書に貢献し、EU全体のサイバーセキュリティの能力、意識、衛生をカバーすることになる。 
7.3.Preparing key performance indicators (KPIs) for cybersecurity  7.3.サイバーセキュリティに関する重要業績評価指標(KPI)の作成 
With the view of closing the European cybersecurity talent gap, ENISA, in close cooperation with the Commission and the NCCs will propose KPIs to the Commission, drawing on the methodology from the Digital Decade Policy Programme 2030, as well as on experience of the industry. ENISA will take into due account the KPIs used by Member States to assess their national cybersecurity strategies .  欧州のサイバーセキュリティ人材の格差を解消する観点から、ENISAは欧州委員会とNCCとの緊密な協力の下、「デジタル10年政策プログラム2030」の手法や業界の経験を活用し、欧州委員会にKPIを提案する予定である。ENISAは、加盟国が自国のサイバーセキュリティ戦略を評価するために使用するKPIを十分に考慮する予定である。
Actions under the Academy   アカデミーでの活動  
ENISA  ENISA
• Prepare indicators and KPIs on cybersecurity skills by the end of 2023.  ・2023年末までにサイバーセキュリティのスキルに関する指標とKPIを準備する。
• Collect data on indicators and report on them, with a first collection by 2025.  ・2025年までに最初の収集を行い、指標に関するデータを収集し、報告する。
Commission  委員会 
• Work towards the integration of indicators on cybersecurity into DESI and into the state of the Digital Decade Report.  ・サイバーセキュリティに関する指標をDESIと「デジタルの10年」報告書に統合する方向で取り組むこと。
 8.  Conclusion    8.  まとめ  
This Communication sets the foundations for a revamp of the EU’s approach to boosting cybersecurity skills for professionals in the EU. The aim is to reduce the cybersecurity skills gap and to equip the EU with the necessary workforce to allow it to respond to the constantly evolving threat landscape, implement EU policies that are aimed at shielding the EU from cyberattacks, but also to boost business opportunities and competitiveness. A skilled cybersecurity workforce can benefit the civilian, defence, diplomatic and law enforcement communities, facilitating synergies amongst them.  このコミュニケーションは、EU内の専門家のサイバーセキュリティスキルを高めるためのEUのアプローチを刷新するための基礎を打ち立てるものである。その目的は、サイバーセキュリティのスキルギャップを減らし、EUが常に進化する脅威の状況に対応し、サイバー攻撃からEUを守ることを目的としたEU政策を実施し、さらにビジネスチャンスと競争力を高めるために必要な労働力を備えることにある。熟練したサイバーセキュリティ人材は、民間、防衛、外交、法執行の各コミュニティに恩恵をもたらし、これらのコミュニティ間の相乗効果を促進することができる。
The Commission calls on Member States and all stakeholders to deliver on the ambition of the Cybersecurity Skills Academy.   欧州委員会は、加盟国およびすべての関係者に対し、サイバーセキュリティ・スキルアカデミーの野望を実現することを求めるものである。 

 

 


 

⚫︎ まるちゃんの情報セキュリティ気まぐれ日記

・2023.04.22 欧州委員会 EUサイバーセキュリティ・スキルアカデミー (2023.04.18)

・2023.04.21 欧州委員会 マネージド・セキュリティサービスの認証にむけたサイバーセキュリティ法の改正案 (2023.04.18)

・2023.04.21 欧州委員会 EUサイバー連帯法の提案 (2023.04.18)

 

 

 

 

 

| | Comments (0)

2023.04.21

欧州委員会 マネージド・セキュリティサービスの認証にむけたサイバーセキュリティ法の改正案 (2023.04.18)

こんにちは、丸山満彦です。

欧州委員会が、「マネージド・セキュリティサービス」に対する欧州の認証スキームを将来的に採用することを可能にするため、サイバーセキュリティ法の一部改正を提案していますね。。。EUではすでに、ICT製品、ICTサービス、ICTプロセスの認証がありますが、それにマネージド・セキュリティサービスを加えるという感じですね。。。

 

 

⚫︎ European Commission

・2023.04.18 Cyber: towards stronger EU capabilities for effective operational cooperation, solidarity and resilience

 

Cyber: towards stronger EU capabilities for effective operational cooperation, solidarity and resilience

サイバー:効果的な作戦協力、連帯、レジリエンスのためのEUの能力強化に向けて
... ...
Certification Schemes for Managed Security Services マネージド・セキュリティサービスの認証スキーム
The Commission has also proposed today a targeted amendment to the Cybersecurity Act, to enable the future adoption of European certification schemes for ‘managed security services'. These are highly critical and sensitive services provided by cybersecurity service providers, such as incident response, penetration testing, security audits and consultancy, to assist companies and other organisations prevent, detect, respond or recover from cyber incidents. また、欧州委員会は本日、「マネージド・セキュリティサービス」に対する欧州の認証スキームを将来的に採用することを可能にするため、サイバーセキュリティ法の一部改正を提案した。これらのサービスは、企業やその他の組織がサイバーインシデントを予防、検出、対応、回復するのを支援するために、インシデント対応、侵入テスト、セキュリティ監査、コンサルティングなど、サイバーセキュリティサービスプロバイダーが提供する非常に重要で機密性の高いサービスである。
Certification is key and can play an important role in the context of the EU Cybersecurity Reserve and the Directive on measures for a high common level of cybersecurity across the Union (NIS 2 Directive), facilitating also the cross-border provision of these services. 認証は重要であり、EUサイバーセキュリティ・リザーブおよびEU全域におけるサイバーセキュリティの高い共通レベルのための措置に関する指令(NIS 2指令)の文脈において重要な役割を果たし、これらのサービスの国境を越えた提供をも促進することができる。
...  

 

・2023.04.18 Proposed Regulation on ‘managed security services’ amendment.

・[PDF

20230421-51859_20230421084201 

 

Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL amending Regulation (EU) 2019/881 as regards managed security services マネージド・セキュリティサービスに関して規則(EU)2019/881を改正する欧州議会および欧州評議会の規則(REGULATION OF THE EUROPEAN PARLIAMENT AND THE COUNCIL)の提案
EXPLANATORY MEMORANDUM  説明
1.  CONTEXT OF THE PROPOSAL  1.  提案の背景 
•  Reasons for and objectives of the proposal  ・提案の理由と目的
This explanatory memorandum accompanies the proposal for a Regulation of the European Parliament and of the Council amending Regulation (EU) 2019/881  as regards managed security services.  本説明書は、マネージド・セキュリティサービスに関する規則(EU)2019/881を改正する欧州議会及び理事会規則の提案に伴うものである。
The proposed targeted amendment aims to enable, by means of Commission implementing acts, the adoption of European cybersecurity certification schemes for ‘managed security services’, in addition to information and technology (ICT) products, ICT services and ICT processes, which are already covered under the Cybersecurity Act. Managed security services play an increasingly important role in the prevention and mitigation of cybersecurity incidents.   この一部改正案は、サイバーセキュリティ法の下で既に対象となっている情報技術(ICT)製品、ICTサービス、ICTプロセスに加え、「マネージド・セキュリティサービス」についても欧州のサイバーセキュリティ認証スキームの採用を、欧州委員会の実施行為によって可能にすることを目的としている。マネージド・セキュリティサービスは、サイバーセキュリティインシデントの予防と軽減において、ますます重要な役割を果たす。 
In its conclusions of 23 May 2022  on the development of the European Union’s cyber posture, the Council called upon the Union and its Member States to reinforce efforts to raise the overall level of cybersecurity, for example by facilitating the emergence of trusted cybersecurity service providers, and stressed that encouraging the development of such providers should be a priority for the industrial policy of the Union in the cybersecurity field. It also invited the Commission to propose options to encourage the emergence of a trusted cybersecurity service industry. The certification of managed security services is an effective means of building trust in the quality of those services and thereby facilitating the emergence of a trusted European cybersecurity service industry.  欧州連合のサイバー態勢の整備に関する2022年5月23日の結論において、理事会は欧州連合とその加盟国に対し、信頼できるサイバーセキュリティサービスプロバイダーの出現を促進するなどして、サイバーセキュリティ全体のレベルを高める努力を強化するよう求め、そのようなプロバイダーの開発を促進することがサイバーセキュリティ分野における欧州連合の産業政策の優先事項とすべきことを強調した。また、欧州委員会に対し、信頼できるサイバーセキュリティサービス産業の出現を促進するための選択肢を提案するよう求めた。マネージド・セキュリティサービスの認証は、そのサービスの品質に対する信頼を築き、それによって信頼できる欧州のサイバーセキュリティ・サービス産業の出現を促進する効果的な手段である。
The Joint Communication ‘EU Policy on Cyber Defence’ adopted by the Commission and the High Representative on 10 November 2022 , announced that the Commission would explore the development of EU-level cybersecurity certification schemes for cybersecurity industry and private companies. Managed security services providers will also play an important role in the EU-level cybersecurity reserve, the gradual set-up of which is supported by the Cyber Solidarity Act, proposed in parallel to this Regulation. The EU-level cybersecurity reserve is to be used to support response and immediate recovery actions in the event of significant and large-scale cybersecurity incidents. The relevant cybersecurity services provided by ‘trusted providers’ referred to in the Cyber Solidarity Act, correspond to ‘managed security services’ in this proposal.  2022年11月10日に欧州委員会と上級代表が採択した共同コミュニケーション「サイバー防衛に関するEU政策」では、欧州委員会がサイバーセキュリティ業界と民間企業向けにEUレベルのサイバーセキュリティ認証制度の開発を検討すると発表している。マネージド・セキュリティサービス・プロバイダーは、本規則と並行して提案された「サイバー連帯法」によって段階的に設立が支援されるEUレベルのサイバーセキュリティ準備金においても、重要な役割を果たすことになる。EUレベルのサイバーセキュリティ準備金は、重大かつ大規模なサイバーセキュリティ事件が発生した場合の対応と即時復旧行動を支援するために使用される予定である。サイバー連帯法で言及されている「信頼できるプロバイダー」が提供する関連サイバーセキュリティサービスは、本提案における「マネージド・セキュリティサービス」に相当する。
Some Member States have already begun adopting certification schemes for managed security services. There is therefore a growing risk of fragmentation of the internal market for managed security services owing to inconsistencies in cybersecurity certification schemes across the Union. This proposal enables the creation of European cybersecurity certification schemes for those services to prevent such fragmentation.   一部の加盟国は、すでにマネージド・セキュリティサービスの認証制度の採用を開始している。そのため、サイバーセキュリティ認証スキームが欧州連合内で一貫していないことにより、マネージド・セキュリティサービスの国内市場が断片化するリスクが高まっている。本提案は、このような断片化を防ぐため、管理型セキュリティサービスのための欧州サイバーセキュリティ認証制度の創設を可能にする。 
•  Consistency with existing policy provisions in the policy area  ・政策分野での既存の政策規定との整合性
This proposal is consistent with the Cybersecurity Act, which it amends. It builds on the provisions of that Regulation and adapts them to also include managed security services. The proposed amendments are limited to what is strictly necessary and do not alter the characteristics or the functioning of the Cybersecurity Act.   本提案は、改正するサイバーセキュリティ法と一致している。同規則の規定を基礎とし、マネージド・セキュリティサービスも含めるよう適応させるものである。この改正案は、厳密に必要なものに限定されており、サイバーセキュリティ法の特性や機能を変更するものではない。 
This proposal is also consistent wit