« April 2023 | Main | June 2023 »

May 2023

2023.05.31

ENISA 新技術に対応したEUサイバーセキュリティ認証の実現可能性を探る

こんにちは、丸山満彦です。

IoT製品とか、AIとか、、、新しい製品、サービス等がでてくると、利用者側からすると、それがセキュリティ的に大丈夫か?という話になり、ちゃんと確認して、大丈夫だったらシールを貼ってくれ、、、という話になりますよね。。。

問題は、何に対して(対象)、どんな物差(クライテリア)で、誰(監査人の要件)が、どの程度確認する(保証水準)のか???という話ですかね。。。

 

⚫︎ ENISA

・2023.05.25 Exploring the Feasibility of EU Cybersecurity Certification in support of New Technologies

Cybersecurity-certification-conference-2

Exploring the Feasibility of EU Cybersecurity Certification in support of New Technologies 新技術に対応したEUサイバーセキュリティ認証の実現可能性を探る
Once more, the European Union Agency for Cybersecurity (ENISA), organises the Cybersecurity Certification Conference, during the twice annually cybersecurity certification week that brings together experts, private stakeholders and public authorities representatives. 欧州連合サイバーセキュリティ機関(ENISA)は、専門家、民間関係者、公的機関の代表者が集まる年2回のサイバーセキュリティ認証週間において、今年もサイバーセキュリティ認証会議を開催する。
The annual ENISA Cybersecurity Certification Conference 2023 毎年開催されるENISAサイバーセキュリティ認証会議 2023年
The ENISA Cybersecurity Certification Conference 2023, is the public highlight of the spring certification week held in Athens on 25 May 2023. The conference tackled the impact of upcoming EU laws and frameworks on cybersecurity certification and addressing the challenge of cybersecurity certification requirements concerning new technologies. ENISAサイバーセキュリティ認証会議2023は、2023年5月25日にアテネで開催された春の認証週間のハイライトとして公開されました。この会議では、サイバーセキュリティ認証に対する今後のEUの法律や枠組みの影響や、新しい技術に関するサイバーセキュリティ認証要件の課題への取り組みに取り組んでいる。
In particular, the conference is a forum to discuss the requirements of the Cybersecurity Act, the proposed Cyber Resilience Act, the EU Digital Identity Wallet as well as preliminary observations stemming from the new ENISA feasibility study on cybersecurity certification of Artificial Intelligence (AI). 特に、この会議は、サイバーセキュリティ法、提案されているサイバーレジリエンス法、EUデジタルアイデンティティウォレットの要件、および人工知能(AI)のサイバーセキュリティ認証に関する新しいENISAのフィージビリティスタディから生じる予備的見解を議論する場となる。
The Cybersecurity Certification Week サイバーセキュリティ認証週間
During the last week of May 2023 ENISA hosts the certification week with plenary sessions of the three ad hoc certification working groups building the candidate schemes on: 2023年5月最終週、ENISAは認証週間を開催し、3つのアドホック認証ワーキンググループの本会議で候補スキームを構築する:
EUCC – the European Common Criteria-based European candidate cybersecurity certification scheme; EUCC - 欧州共通基準ベースの欧州サイバーセキュリティ認証候補スキーム;
EUCS – the European Cybersecurity Certification Scheme for Cloud Services; and, EUCS - クラウドサービスのための欧州サイバーセキュリティ認証スキーム、および、
EU5G – concerning an EU cybersecurity certification scheme for 5G network equipment and identities. EU5G:5Gネットワーク機器とIDのEUサイバーセキュリティ認証スキームに関するもの。
Furthermore, experts also get together in a joint session to discuss horizontal topics that include: さらに、専門家が一堂に会するジョイントセッションでは、以下のような水平的なトピックについて議論する:
・Vulnerability handling for certified solutions; ・認証ソリューションの脆弱性対応;
・Pen testing methodologies during evaluations; ・評価時のペンテストの方法論
・Certification: Market Uptakes & Building the Community; ・認証取得: 認証:市場のアップテイクとコミュニティの構築;
・New developments such as feasibility studies on the EU Digital Identity Wallet and on AI. ・EU Digital Identity WalletやAIに関するフィージビリティ・スタディなど、新たな展開。
Delegates from across the EU Member States are also meeting at the European Cybersecurity Certification Group (ECCG) and the Stakeholders Cybersecurity Certification Group (SCCG), also convenes in hybrid form. また、欧州サイバーセキュリティ認証グループ(ECCG)とステークホルダーズサイバーセキュリティ認証グループ(SCCG)には、EU加盟国全体から代表者が集まり、ハイブリッド形式で開催されている。
Highlights of the Certification Conference 認証会議のハイライト
・Reconciling with the complex cybersecurity policy ecosystem ・複雑なサイバーセキュリティ政策のエコシステムと調和する
This year’s conference focuses on the challenges related to the implementation of cybersecurity certification in a moving regulation landscape such as NIS2, and proposals including the AI Act and the Cyber Resilience Act currently under legislative scrutiny. 今年のカンファレンスでは、NIS2のような動きのある規制の状況や、現在立法が検討されているAI法やサイバーレジリエンス法などの提案の中で、サイバーセキュリティ認証の実施に関連する課題に焦点を当てている。
Panels seek to assess how the developed schemes adequately meet the requirements of new and upcoming regulations as well as whether they are fit for purpose and sufficiently address the challenges raised by new technologies or their developments. パネルディスカッションでは、開発されたスキームが新しい規制や今後の規制の要件をいかに適切に満たしているか、また、目的に合っているか、新しい技術やその発展によってもたらされる課題に十分に対処しているかを評価することを目的としている。
・Cybersecurity certification for AI ・AIのためのサイバーセキュリティ認証
As the discussion on the European approach to AI is ramping up, with the European Parliament's leading committees having just adopted their position on the proposal for a EU regulation on AI (the so called “AI Act”), the need for a cyber secure AI and the question of how it can be achieved are ever-more pressing. Earlier this year ENISA published a report on standardisation and cyber secure AI and is now continuing this work with an assessment on the feasibility of a cybersecurity certification scheme for AI. 欧州議会の主要委員会がAIに関するEU規制案(いわゆる「AI法」)に対する見解を採択したばかりで、AIに対する欧州のアプローチに関する議論が活発化する中、サイバーセキュアなAIの必要性とそれをどのように実現するかという問題は、ますます切実になっている。ENISAは今年初め、標準化とサイバーセキュアAIに関する報告書を発表し、現在、AI向けのサイバーセキュリティ認証スキームの実現可能性に関する評価でこの作業を継続している。
As part of this work, the Certification Week hosts an expert panel of representatives of governments and standardisation bodies to review the challenges in implementing policies on AI of course with a focus on cybersecurity and certification. この作業の一環として、認証週間では、各国政府と標準化団体の代表による専門家パネルを開催し、サイバーセキュリティと認証に焦点を当てた、もちろんAIに関する政策の実施における課題を検討する。
The EU Digital Identity Wallet and the Cybersecurity Act ・EUのデジタルIDウォレットとサイバーセキュリティ法
On the occasion of the conference, ENISA animates a panel to engage discussions on the EUID Wallet in regards with the EU Cybersecurity Certification Framework. ENISAは、この会議の機会に、EUサイバーセキュリティ認証フレームワークに関するEUIDウォレットについて議論するパネルを作成した。
Cybersecurity certification: the minute account サイバーセキュリティ認証:議事録
The EU cybersecurity certification framework has the objective to establish and maintain trust and security in Information and Communications Technology (ICT) products, ICT services and ICT processes. EUのサイバーセキュリティ認証フレームワークは、情報通信技術(ICT)製品、ICTサービス、ICTプロセスにおける信頼とセキュリティを確立し維持することを目的としている。
Beyond the purely technical requirements certification establishes, these EU frameworks are also developed to strengthen the EU market. Certification is therefore to be seen as a tool to deal with socio-economic aspects such as users’ trust, the duty of care of a manufacturer or provider and prevention of cybersecurity failure to protect market reputation. 認証が確立する純粋な技術的要件にとどまらず、これらのEUの枠組みは、EU市場の強化のためにも開発されている。したがって、認証は、ユーザーの信頼、製造者やプロバイダの注意義務、市場の評判を守るためのサイバーセキュリティの失敗の防止といった社会経済的側面に対処するためのツールとみなされる。
Certification, however, faces the challenge of addressing new technologies and usage. しかし、認証は、新しい技術や使い方に対応するという課題に直面している。
Target audience of the ENISA Cybersecurity Certification Conference ENISAサイバーセキュリティ認証会議の対象者
・Experts from public authorities that are competent for cybersecurity certification and market across the EU Member States; ・EU加盟国のサイバーセキュリティ認証と市場を管轄する公的機関の専門家;
・European Institutions with a competence or an interest in cybersecurity; ・サイバーセキュリティに能力または関心を持つ欧州の機関;
・Conformity Assessment Bodies, Cybersecurity evaluators and auditors; ・適合性評価機関、サイバーセキュリティの評価者、監査人;
・Business and industry representatives; ・ビジネスおよび産業界の代表者;
・Researchers and the academic community. ・研究者、学術界
Further Information 詳細情報
ENISA Certification Conference ENISA認証会議
ENISA Certification mini-site ENISA認証ミニサイト
ENISA Topic on Certification ENISA認証に関するトピック
Cybersecurity of AI and standardisation – 2023 ENISA report AIのサイバーセキュリティと標準化 - 2023年ENISAレポート
Cyber Resilience Act Proposal サイバーレジリエンス法の提案
AI Act Proposal AI法提案
Cybersecurity Act サイバーセキュリティ法

 


 

⚫︎ まるちゃんの情報セキュリティ気まぐれ日記

・2023.03.21 ENISA サイバーセキュリティ認証のウェブページを開設

 

欧州のサイバーセキュリティラベル

・2023.03.01 IPA 欧州規格 ETSI EN 303 645 V2.1.1 (2020-06)の翻訳の公開

・2023.02.02 ドイツ スペースネットAG社のサービスにITセキュリティラベルを渡す

・2022.12.15 ドイツ フランス IT製品のセキュリティ認証に関する共同文書を発行 (固定時間制認証制度)

・2022.10.31 ドイツ シンガポール 消費者向けIoT製品のサイバーセキュリティ・ラベルの相互承認 (2022.10.20)

・2022.05.09 ドイツ ITセキュリティラベル for 消費者向けスマート製品

・2022.02.03 ドイツ BSI Mail.deの電子メールサービスにITセキュリティラベルを付与

・2021.07.18 独国 BSIがITセキュリティラベルについてのウェブページを公開していますね。。。

 

米国のサイバーセキュリティラベル

・2022.09.24 NIST NISTIR 8425 消費者向けIoT製品のIoTコアベースラインのプロファイル、NISTIR 8431 「NIST基礎の上に築く:IoTセキュリティの次のステップ」ワークショップ概要報告書

・2022.06.19 NISTIR 8425 (ドラフト) 消費者向けIoT製品のIoTコアベースラインのプロファイル

・2022.05.19 NIST IoTセキュリティ関連の文書についてNISTのブログで簡単に説明されていますね。。。

・2022.02.07 NIST ホワイトペーパー :消費者向けソフトウェアのサイバーセキュリティラベルの推奨規準

・2022.02.06 NIST ホワイトペーパー :消費者向けIoT製品のサイバーセキュリティラベルの推奨規準

・2021.11.04 NIST 消費者向けソフトウェアのサイバーセキュリティに関するラベリングについての意見募集

 

 

 

| | Comments (0)

ENISA 海底ケーブルから低軌道衛星通信までのセキュリティの確保 (2023.05.24)

こんにちは、丸山満彦です。

ENISAが第3回ENISA テレコム&デジタルインフラセキュリティフォーラムを開催し、

  • グローバル・インターネットのレジリエンス、
  • 海底ケーブルのセキュリティ
  • テレコムのサプライチェーン・リスク
  • ランサムウェア攻撃
  • 5Gのセキュリティ
  • 低軌道(LEO)衛星通信ネットワーク

について議論をしたようですね。。。

合わせて、5Gのセキュリティ・コントロールマトリックスのエクセルや、DNSのオーナーの特定のための報告書を公表していますね。。。

 

⚫︎ENISA

・2023.05.24 Securing the Seas and the Skies

 

Securing the Seas and the Skies 海と空の安全確保
The 3rd ENISA Telecom & Digital Infrastructure Security Forum organised today addressed emerging technologies and the evolving threat landscape including challenges from sub-sea cables to satellites. 本日開催された第3回ENISA テレコム&デジタルインフラセキュリティフォーラムでは、海底ケーブルから人工衛星に至るまで、新たな技術や進化する脅威の状況について取り上げた。
Organised yearly, the European Union Agency for Cybersecurity (ENISA) Telecom & Digital Infrastructure Security Forum offers an information sharing and discussion platform for electronic communications providers, digital infrastructure entities and the national telecom security authorities. 毎年開催される欧州連合サイバーセキュリティ機関(ENISA)のテレコム&デジタルインフラセキュリティフォーラムは、電子通信事業者、デジタルインフラ事業者、各国の通信セキュリティ当局のための情報共有と議論の場を提供する。
This year the event took place in Lisbon, Portugal with insightful presentations and discussions that highlighted the most pressing cybersecurity concerns in this field including: 今年はポルトガルのリスボンで開催され、以下のようなこの分野における最も差し迫ったサイバーセキュリティの懸念に焦点を当てた洞察に満ちたプレゼンテーションとディスカッションが行われた:
・the resilience of the global internet, ・グローバル・インターネットのレジリエンス、
・sub-sea cables security, ・海底ケーブルのセキュリティ
・telecom’s supply chain risks, ・テレコムのサプライチェーン・リスク
・ransomware attacks ・ランサムウェア攻撃
・5G security and ・5Gのセキュリティと
・low earth orbit (LEO) satellite communication networks. ・低軌道(LEO)衛星通信ネットワーク。
ENISA is also hosting several side-events with several work streams of the NIS Cooperation group, including the new workstream for the NIS2 provisions on the "WHOIS" database, the workstream for digital infrastructure, and the 5G workstream. ENISA this week also released a new report on the identification of domain name owners, and ENISA is launching the 5G Security Controls Matrix, a single repository of controls for 5G networks. ENISAはまた、「WHOIS」データベースに関するNIS2規定のための新しいワークストリーム、デジタルインフラに関するワークストリーム、5Gワークストリームなど、NIS協力グループのいくつかのワークストリームとのサイドイベントを開催している。ENISAは今週、ドメイン名所有者の特定に関する新しい報告書も発表し、ENISAは5Gネットワークの制御の単一リポジトリである「5G Security Controls Matrix」を立ち上げている。
Executive Director of the European Union Agency for Cybersecurity (ENISA), Juhan Lepassaar, said: “The 5G rollout showed the importance of alignment and collaboration among EU Member States on telecom security. If we want to have better cybersecurity in Europe, we have to make sure there is a secure and resilient digital infrastructure, covering not only the mobile networks, but also the fixed networks, the fibre connections, the submarine cables, satellite communications, and so on. ENISA is committed to work together with all stakeholders and provide its expertise to ensure the resilience of the EU’s digital infrastructure.” 欧州連合サイバーセキュリティ機関(ENISA)のエグゼクティブ・ディレクター、ジュハン・レパサーは、次のように述べている: "5Gの展開は、通信セキュリティに関するEU加盟国間の連携と協力の重要性を示しました。欧州でより良いサイバーセキュリティを実現したいのであれば、モバイルネットワークだけでなく、固定ネットワーク、ファイバー接続、海底ケーブル、衛星通信などをカバーする、安全でレジリエンスに優れたデジタルインフラを整備する必要があります。ENISAは、すべての関係者と協力し、EUのデジタルインフラのレジリエンスを確保するために専門知識を提供することを約束する。"
ENISA releases its 5G Security Controls Matrix ENISA、5Gセキュリティコントロールマトリックスを公開
ENISA developed a comprehensive and dynamic matrix of security controls and best practices for the security of 5G networks. The purpose of the 5G Matrix is to provide one repository of detailed technical controls, mapped to the objectives and measures of ENISA Guideline on Security Measures under the European Electronic Communications Code (EECC). The repository is used as a tool by national authorities in their supervision of measures taken by operators to secure their 5G networks. ENISAは、5Gネットワークのセキュリティのためのセキュリティコントロールとベストプラクティスの包括的かつ動的なマトリックスを開発しました。5Gマトリックスの目的は、欧州電子通信コード(EECC)の下でのセキュリティ対策に関するENISAガイドラインの目的と対策にマッピングされた、詳細な技術制御の1つのリポジトリを提供することである。このリポジトリは、事業者が5Gネットワークのセキュリティを確保するために講じた措置を監督する際に、各国当局のツールとして使用されます。
Download the 5G Matrix 5Gマトリックスをダウンロードする
ENISA publishes a new report on identification of domain owners – key takeways ENISA、ドメイン所有者の特定に関する新報告書を発表 - 主要な要点
Domain names and the Domain Name System (DNS) are at the heart of the modern internet. If the domain names are not registered correctly, for example because the identity of the domain name registrant is not verified, then the data in the domain registry is not reliable, and this could provide opportunities for cyberattacks. The new report of ENISA on DNS identity explores the importance of the verification and authentication of domain name owners to ensure security and resilience during the domain name registration process.  ドメイン名とドメインネームシステム(DNS)は、現代のインターネットの中核をなすものである。ドメイン名登録者の身元が確認されていないなど、ドメイン名が正しく登録されていない場合、ドメインレジストリのデータの信頼性が低くなり、サイバー攻撃の機会を提供する可能性があります。DNSのアイデンティティに関するENISAの新しい報告書では、ドメイン名登録プロセスにおけるセキュリティとレジリエンスを確保するために、ドメイン名所有者の検証および認証の重要性を探っている。 
This report gives an overview of the methods currently used by domain registrars to verify the identity of domain name owners. It also gives an overview of relevant existing literature on relevant good practices, for example on identity verification, two-factor authentication (2FA), the use of national eIDs schemes, and third-party verification. 本報告書では、ドメイン名の所有者の身元を確認するためにドメインレジストラが現在使用している方法の概要を説明する。また、本人認証、二要素認証(2FA)、国別 eIDs スキームの使用、および第三者検証など、関連するグッドプラクティスに関する既存の文献の概要も示している。
This analysis was done to support the national authorities overseeing the top-level domain registries in the EU Member States, and can be seen as a preparatory study for the NIS2 work on the "WHOIS" database. この分析は、EU加盟国のトップレベルドメイン登録機関を監督する各国当局を支援するために行われたもので、「WHOIS」データベースに関するNIS2の作業の準備研究として捉えることができる。
Download the DNS report DNS報告書のダウンロード
Meeting of the ECASEC group, the EU’s national authorities for telecom security EUの通信セキュリティに関する国内当局であるECASECグループの会議
ENISA hosted the 40th ECASEC EG meeting on 23 May in Lisbon. In this meeting the European Competent Authorities for Secure Electronic Communications (ECASEC) focused on the security and oversight of Number-Independent Interpersonal Communication Services (NI-ICS) providers, as well as the transition to the NIS2, the update of the Directive on Security of Network and Information Systems which will replace the security requirements for the EU’s telecom sector. ENISAは、5月23日にリスボンで第40回ECASEC EG会議を開催しました。この会議では、安全な電子通信のための欧州所轄官庁(ECASEC)が、番号独立型対人通信サービス(NI-ICS)プロバイダーのセキュリティと監視、およびEUの通信セクターのセキュリティ要件に代わるネットワークおよび情報システムのセキュリティに関する指令の更新であるNIS2への移行に焦点を当てていた。
Established in 2010, the ENISA ECASEC expert group consists of about 100 experts from national telecom security authorities from all EU countries, the EFTA countries, and EU candidate countries. The group exchanges information and good practices on telecom security. It produces policy guidelines for European authorities on the implementation of EU telecom security rules and publishes an annual summary report about major telecom security incidents. Check out the ENISA ECASEC EG portal, and https://www.enisa.europa.eu/topics/incident-reporting/for-telcos, where you can find the most recent publications and information about the group. 2010年に設立されたENISA ECASEC専門家グループは、EU諸国、EFTA諸国、EU候補国の各国の通信セキュリティ当局の専門家約100名で構成されている。同グループは、通信セキュリティに関する情報やグッドプラクティスの交換を行っている。また、EUの通信セキュリティ規則の実施に関する欧州当局の政策ガイドラインを作成し、主要な通信セキュリティ事件に関する年次総括報告書を発行している。ENISA ECASEC EGのポータルサイト、https://www.enisa.europa.eu/topics/incident-reporting/for-telcos、同グループに関する最新の出版物や情報をご覧ください。
Further Information その他の情報
DNS Identity – Verification and authentication of Domain Name Owners DNS Identity - ドメイン名所有者の検証および認証
Security and privacy for public DNS resolvers – ENISA report 2022 パブリックDNSリゾルバーのセキュリティとプライバシー - ENISA報告書2022号
Telecom Security Incidents – ENISA report 2021 テレコムセキュリティインシデント - ENISA報告書2021年版
Embedded SIM (eSIM) Ecosystem: Security Risks and Measures -ENISA report 2022 組み込み型SIM(eSIM)エコシステム: セキュリティリスクと対策 -ENISA report 2022
Directive on measures for a high common level of cybersecurity across the Union (NIS2) 連邦全体におけるサイバーセキュリティの高い共通レベルのための対策に関する指令(NIS2)

 

・2023.05.24 5G Security Controls Matrix

5G Security Controls Matrix 5Gセキュリティコントロールマトリックス
The ENISA 5G Security controls matrix is a comprehensive and dynamic matrix of security controls and best practices for 5G networks, to support the national authorities in the EU Member States with implementing the technical measures of the EU’s 5G Cybersecurity Toolbox. The ENISA 5G Security Controls Matrix is currently published as a spreadsheet, but we are currently also developing a web tool to improve usability. ENISA 5G Security controls matrixは、EU加盟国の国家当局がEUの5G Cybersecurity Toolboxの技術的対策を実施することを支援するための、5Gネットワークのセキュリティ制御とベストプラクティスの包括的かつ動的なマトリックスである。ENISA 5G Security Controls Matrixは現在、スプレッドシートとして公開されているが、現在、ユーザビリティを向上させるため、Webツールも開発中である。

 

・[ELSX] 5G Security Controls Matrix

・[XLSX] 一部仮訳

 

・2023.05.24 DNS Identity

DNS Identity DNS アイデンティティ
This report provides a view of authentication and verification of domain name owners in the context of domain name registration. It identifies the security challenges, good practices, security controls and associated risks in the domain name registration ecosystem. It also looks at the risks associated with weak authentication systems and identifies good practices for establishing identity in the context of domain registration. この報告書は、ドメイン名登録の文脈におけるドメイン名所有者の認証と検証について見解を示している。ドメイン名登録のエコシステムにおけるセキュリティ上の課題、グッドプラクティス、セキュリティ管理、関連するリスクを明らかにしている。また、脆弱な認証システムに関連するリスクについて考察し、ドメイン登録の文脈で本人認証を確立するためのグッドプラクティスを特定している。

 

・[PDF

20230531-50429

1. INTRODUCTION 1. 序文
1.1 POLICY CONTEXT 1.1 政策の背景
1.2 TARGET AUDIENCE AND OBJECTIVES 1.2 対象読者と目的
1.3 REPORT STRUCTURE 1.3 報告書の構成
1.4 IDENTITY IN THE CONTEXT OF DOMAIN NAME REGISTRATION 1.4 ドメイン名登録の文脈におけるアイデンティティ
2. IDENTITY OF DOMAIN NAME OWNERS 2. ドメイン名所有者のアイデンティティ
2.1 POLICY CONTEXT 2.1 政策的背景
2.1.1 Implications of the NIS Directive in verification of domain name owners 2.1.1 ドメインネーム所有者の検証におけるNIS指令の意味合い
2.1.2 The NIS 2 directive 2.1.2 NIS 2指令
2.1.2.1 Jurisdiction and domain name registration in NIS2  2.1.2.1 NIS2における裁判管轄とドメイン名登録
2.1.2.2 Domain name registration security and NIS 2  2.1.2.2 ドメイン名登録のセキュリティとNIS 2
2.1.3 ICANN contractual requirements 2.1.3 ICANNの契約上の要求事項
2.1.4 ICANN policy requirements 2.1.4 ICANNポリシー要件
2.1.5 ccTLDs and gTLDs 2.1.5 ccTLDsとgTLDs
2.2 THE DOMAIN NAME REGISTRATION PROCESS 2.2 ドメイン名登録プロセス
2.2.1 Stakeholders and roles in domain name registration 2.2.1 ドメイン名登録における利害関係者と役割
2.2.1.1 Registrants  2.2.1.1 登録者
2.2.1.2 Registrars  2.2.1.2 レジストラ
2.2.1.3 Registries  2.2.1.3 レジストリ
2.2.1.4 Resellers  2.2.1.4 再販業者
2.2.1.5 Policymakers and regulators  2.2.1.5 政策立案者と規制者
2.2.2 How domain name owners are identified upon initial registration 2.2.2 初回登録時のドメイン名所有者の特定方法
2.2.3 Identity management at renewal and ongoing maintenance 2.2.3 更新時および継続的なメンテナンス時のアイデンティティ管理
2.2.4 Identity management in domain name transfers 2.2.4 ドメイン名移管におけるID管理
2.3 KEY RISKS AND POTENTIAL ATTACKS 2.3 主要なリスクと潜在的な攻撃
2.3.1 Trust relationships during initial domain registration 2.3.1 初期ドメイン登録時の信頼関係
2.3.2 Risks and potential attacks on registrants 2.3.2 レジストラントに対するリスクと潜在的な攻撃
2.3.2.1 Typical attack scenarios for registrars and Registrants  2.3.2.1 レジストラとレジストラントの典型的な攻撃シナリオ
2.3.2.2 Phishing/sniffing/keylogging  2.3.2.2 フィッシング/スニッフィング/キーロギング
2.3.2.3 Brute force attacks  2.3.2.3 ブルートフォース攻撃
2.3.2.4 Weak passwords  2.3.2.4 弱々しいパスワード
2.3.2.5 Reuse of existing or compromised passwords  2.3.2.5 既存のパスワードや漏洩したパスワードの再利用
2.3.2.6 Fraudulent registration attacks  2.3.2.6 不正な登録攻撃
2.3.2.7 Abuse of password recovery/reset systems  2.3.2.7 パスワード回復・リセットシステムの悪用
2.3.2.8 Cleartext exchange/storage of passwords  2.3.2.8 パスワードの暗号化された交換・保管
2.3.3 Privacy risks related to the identity of domain name owners 2.3.3 ドメイン名所有者のアイデンティティに関連するプライバシーリスク
2.3.4 Potential attack vectors related to the identity of domain name owners 2.3.4 ドメインネーム所有者の身元に関連する潜在的な攻撃ベクトル
2.3.4.1 Online vectors  2.3.4.1 オンラインベクター
2.3.4.2 Social / offline vectors  2.3.4.2 ソーシャル/オフライン・ベクター
2.3.5 Protecting trademarks and well-known names 2.3.5 商標および著名な名称の保護
2.4 GOOD PRACTICES IN THE VERIFICATION OF DOMAIN NAME OWNER IDENTITY 2.4 ドメインネーム所有者の身元確認におけるグッドプラクティス
2.4.1 Existing good practice literature 2.4.1 既存のグッドプラクティス文献
2.4.1.1 NIS Cooperation Group  2.4.1.1 NIS協力グループ
2.4.1.2 CENTR  2.4.1.2 CENTR
2.4.1.3 ISO  2.4.1.3 ISO
2.4.1.4 ICANN  2.4.1.4 ICANN
2.4.1.5 Domain Name Association  2.4.1.5 ドメインネーム協会
2.4.1.6 PCI DSS  2.4.1.6 PSI DSS
2.4.1.7 W3C  2.4.1.7 W3C
2.4.2 Good security practices in verification of domain name owner identity 2.4.2 ドメイン名所有者の身元確認におけるグッドセキュリティプラクティス
2.4.2.1 Two-factor authentication for registration account establishment  2.4.2.1 登録アカウント確立のための二要素認証
2.4.2.2 Using national eID, where available  2.4.2.2 利用可能な場合は、国のeIDを使用すること
2.4.2.3 Verifying identity through bank account and PCI DSS data  2.4.2.3 銀行口座および PCI DSS データによる本人確認
2.4.2.4 Using third-party verification  2.4.2.4 第三者による検証の使用
2.4.2.5 Offering push notifications to registrants  2.4.2.5 登録者へのプッシュ通知の提供
2.4.2.6 Using eIDAS where possible for identification and authentication  2.4.2.6 本人確認と認証のために可能な限りeIDASを使用すること
3. AUTHENTICATION OF DOMAIN NAME OWNERS 3. ドメイン名所有者の本人認証
3.1 STAKEHOLDERS AND ROLES IN AUTHENTICATION 3.1 本人認証におけるステークホルダーと役割
3.2 SURVEY OF AUTHENTICATION TECHNIQUES 3.2 認証手法の調査
3.2.1 Password 3.2.1 パスワード
3.2.2 2FA 3.2.2 2FA
3.2.3 Multifactor authentication 3.2.3 多要素認証
3.2.4 Social authentication 3.2.4 ソーシャル認証
3.2.5 Alternative authentication techniques 3.2.5 代替認証技術
3.3 KEY RISKS IN THE PROCESS OF AUTHENTICATION OF DOMAIN NAME OWNERS 3.3 ドメインネーム所有者の認証プロセスにおける主なリスク
3.3.1 Unauthorized access to domain registration account 3.3.1 ドメイン登録アカウントへの不正なアクセス
3.3.2 Failure to renew a domain name registration 3.3.2 ドメイン名登録の更新の不履行
3.3.3 Non-renewal of domains associated with supporting infrastructure 3.3.3 サポートインフラに関連するドメインの非更新
3.4 GOOD PRACTICES IN AUTHENTICATION FOR DOMAIN NAME OWNERS 3.4 ドメイン名所有者の認証におけるグッドプラクティス
3.4.1 Securing the registration account recovery process 3.4.1 登録アカウント回復プロセスの安全性確保
3.4.2 Securing the registration management sessions 3.4.2 登録管理セッションの安全性確保
3.4.3 Implementation of rate-limiting for authentication attempts 3.4.3 認証試行のレート制限の実装
3.4.4 Hardening of password-based authentication, in cases where 2FA is not in place 3.4.4 2FAが導入されていない場合の、パスワードベースの認証のハード化
4. CONCLUSION 4. 結論(CONCLUSION
4.1.1 Summary of GOOD practices 4.1.1 GOODプラクティスのまとめ
BIBLIOGRAPHY 参考情報
ANNEX A: GLOSSARY, DEFINITIONS AND ACRONYMS 附属書A:用語集、定義及び頭字語
ANNEX B: EXAMPLE OF A TYPICAL WHOIS RECORD 附属書B:典型的なWhoisレコードの例

 

エグゼクティブサマリー...

EXECUTIVE SUMMARY  エグゼクティブサマリー 
Domain names and the Domain Name System (DNS) are at the heart of the modern internet. The ability to transform a human-readable string of characters into an Internet Protocol address is fundamental to services and applications that billions of people take for granted. The DNS is also an integral part of reducing spam and locating other services on the Internet.  ドメイン名とドメインネームシステム(DNS)は、現代のインターネットの中核をなすものである。人間が読める文字列をインターネットプロトコルアドレスに変換する機能は、何十億もの人々が当たり前のように利用しているサービスやアプリケーションの基本となっている。また、DNSは、スパムを減らし、インターネット上の他のサービスの位置を特定するためにも不可欠な要素となっている。
Domain name registration is the process of registering and configuring a domain name so that it functions properly. As part of this process, the domain name registrant enters into an agreement with the registrar, which includes a requirement for accurate information. The registrar is responsible for establishing verification procedures to ensure that the information collected is accurate and complete, as well as implementing strong authentication controls to guarantee the protection of the accounts related to the domain names.  ドメイン名登録とは、ドメイン名を登録し、適切に機能するように設定するプロセスである。このプロセスの一環として、ドメイン名登録者はレジストラと契約を結びますが、この契約には正確な情報の要求が含まれている。レジストラは、収集した情報が正確で完全であることを保証するための検証手順を確立し、ドメイン名に関連するアカウントの保護を保証するための強力な認証管理を実施する責任を負っている。
This report provides a view of authentication and verification of domain name owners in the context of domain name registration. It identifies the security challenges, good practices, security controls and associated risks in the domain name registration ecosystem. It also looks at the risks associated with weak authentication systems and identifies good practices for establishing identity in the context of domain registration.  この報告書は、ドメイン名登録の文脈におけるドメイン名所有者の認証と検証についての見解を示している。また、ドメイン名登録のエコシステムにおけるセキュリティ上の課題、グッドプラクティス、セキュリティ管理、関連するリスクを明らかにしている。また、脆弱な認証システムに関連するリスクにも目を向け、ドメイン登録の文脈で本人認証を確立するためのグッドプラクティスを特定している。
The first part of the report focuses on the verification of the identity of domain name owners. In particular, it identifies key risks related to the verification process, such as weak passwords, password reuse, and privacy risks, while also categorizes potential attacks on the identity of domain name owners. These attacks are grouped into online vectors – attacks using electronic means – and offline vectors, such as social engineering attacks.  報告書の最初の部分は、ドメイン名所有者の身元確認に焦点を当てている。特に、弱いパスワード、パスワードの再利用、プライバシーリスクなど、検証プロセスに関連する主要なリスクを特定する一方、ドメイン名所有者のアイデンティティに対する潜在的な攻撃を分類している。これらの攻撃は、電子的手段を用いた攻撃であるオンラインベクターと、ソーシャルエンジニアリング攻撃などのオフラインベクターに分類される。
Lastly this first part explores existing good security practice literature on the verification of the identity of domain name owners, including practices from the NIS Cooperation Group, ISO, and ICANN, while it also identifies a list of good security practices, such as:  最後に、この第 1 部では、NIS 協力グループ、ISO、ICANN の実践を含む、ドメイン名所有者 の身元確認に関する既存の優れたセキュリティ実践文献を調査し、以下のような優れたセキュリティ実践の リストを特定する: 
•        support of two-factor authentication (2FA) to strengthen verification,  ・本人認証を強化するための二要素認証(2FA)のサポート、 
•        use of national eIDS schemes, where available,  ・利用可能な場合は、各国の eIDS スキームを使用する、 
•        use of PCI DSS data,  ・PCI DSSのデータを使用する、 
•        use of third-party verification.  ・第三者による検証の利用
The second part of this report focuses on aspects of authentication of domain name owners. It categorizes authentication techniques, and explores key risk in the authentication process. Finally, this part identifies good security practices on domain name owner authentication. These practices include that registrars, where possible, supplement existing username/password credential systems with 2FA, while also examines advanced approaches to using metadata for authentication in domain name registration accounts.  本報告書の第 2 部は、ドメイン名所有者の本人認証の側面に焦点を当てている。本報告書では、認証技法を分類し、認証プロセスにおける主要なリスクについて検討し ている。最後に、このパートでは、ドメイン名所有者の認証に関する優れたセキュリティ慣行を特定する。これらの実践には、レジストラが可能な限り、既存のユーザー名/パスワード認証システムを2FAで補完すること、また、ドメイン名登録アカウントの認証にメタデータを使用する高度なアプローチを検討することが含まれる。

 

 

| | Comments (0)

2023.05.30

米国 GAO クラウドセキュリティ: 選択された省庁は主要なプラクティスを完全に実装する必要がある (2023.05.18)

こんにちは、丸山満彦です。

GAOが4つの省庁(農務省、国土安全保障省(DHS)、労働省、財務省)の、15の主要なクラウドセキュリティ対策について、6つの重要なプラクティスに対して調査をして、その結果を公開しています。。

6つのプラクティス

Defined security responsibilities セキュリティ責任の明確化
Documented ICAM policies and procedures ICAMポリシーと手順の文書化
Implemented continuous monitoring 継続的な監視の実装
Defined security metrics in a SLA SLAによるセキュリティ指標の定義
Addressed FedRAMP requirements FedRAMPの要件への対応
Documented procedures for incident response and recovery インシデント対応と復旧の手順の文書化

 

35の勧告(農務省7、DHS9、労働省9、財務省10)がだされています。。。

DHS長官は同意しています、農務省、労働省、財務省の長官は、同意とも不同意ともいっていないようですね。。。(今のところ...)

 

⚫︎ U.S. GAO

・2023.05.18 Cloud Security:Selected Agencies Need to Fully Implement Key Practices


GAO-23-105482
Cloud Security:Selected Agencies Need to Fully Implement Key Practices クラウドセキュリティ: 選択された省庁は主要なプラクティスを完全に実装する必要がある。
Fast Facts 概要
Cloud services—on-demand access to shared resources such as networks, servers, and data storage—can help federal agencies deliver better IT services for less money. But without effective security measures, these services can make agencies vulnerable to risks such as cyberattacks. クラウドサービスは、ネットワーク、サーバー、データストレージなどの共有リソースにオンデマンドでアクセスできるため、連邦政府機関がより少ないコストでより優れたITサービスを提供するのに役立つ。しかし、効果的なセキュリティ対策がなければ、これらのサービスは、サイバー攻撃などのリスクに対して連邦政府機関を脆弱にする可能性がある。
We looked at how four agencies implemented key cloud security practices—like having a plan to respond to incidents. While the agencies implemented some of the security practices, none of them fully implemented all of the practices for their systems. 私たちは、4つの省庁が、インシデントに対応するための計画など、主要なクラウドセキュリティ対策をどのように実施しているかを調べました。各省庁はいくつかのセキュリティ対策を実施していましたが、すべての対策を完全に実施している省庁はなかった。
We made 35 recommendations to the agencies to fully implement key cloud security practices. 我々は、主要なクラウドセキュリティの実践を完全に実施するために、各省庁に対して35の勧告を行った。
Highlights ハイライト
What GAO Found GAOが発見したこと
The four selected agencies—the Departments of Agriculture, Homeland Security (DHS), Labor, and the Treasury—varied in their efforts to implement the six key cloud security practices that GAO evaluated. Specifically, three agencies fully implemented three practices for most or all of their selected systems, while another agency fully implemented four practices for most or all of its systems. However, the agencies partially implemented or did not implement the other practices for the remaining systems (see figure). 選択された4つの省庁(農務省、国土安全保障省(DHS)、労働省、財務省)は、GAOが評価した6つの主要なクラウドセキュリティ対策を実施するための取り組みにばらつきがあった。具体的には、3つの省庁が選択したシステムのほとんどまたはすべてに対して3つのプラクティスを完全に実施し、別の省庁はそのシステムのほとんどまたはすべてに対して4つのプラクティスを完全に実施した。しかし、各省庁は残りのシステムに対して、その他のプラクティスを部分的に実施するか、実施していなかった(図参照)。
1_20230530050101
Agencies' Implementation of the Key Cloud Security Practices for Each of the Selected Systems 選択した各システムに対するクラウドセキュリティの主要なプラクティスの各省庁の実施状況
For example, the agencies partially implemented the practice regarding continuous monitoring for some or all of the systems. Although the agencies developed a plan for continuous monitoring, they did not always implement their plans. In addition, agencies partially implemented or did not implement the practice regarding service level agreements for some of the systems. Specifically, agencies' service level agreements did not consistently define performance metrics, including how they would be measured, and the enforcement mechanisms. 例えば、各省庁は、一部またはすべてのシステムに対して、継続的な監視に関するプラクティスを部分的に実施した。各省庁は、継続的な監視のための計画を策定したものの、必ずしもその計画を実行していたわけではない。また、一部のシステムにおいて、サービスレベル契約に関する慣行が部分的に実施されているか、実施されていない。具体的には、各省庁のサービスレベル契約は、測定方法、実施方法など、パフォーマンス指標を一貫して定義していなかった。
Agency officials cited several reasons for their varied implementation of the key practices, including acknowledging that they had not documented their efforts to address the requirements. Until these agencies fully implement the cloud security key practices identified in federal policies and guidance, the confidentiality, integrity, and availability of agency information contained in these cloud systems is at increased risk. 省庁の担当者は、要件に対処するための努力を文書化していないことを認めるなど、主要なプラクティスの実施がばらばらである理由をいくつか挙げている。これらの省庁が、連邦政府の政策やガイダンスで特定されたクラウドセキュリティの重要な実践を完全に実施するまで、これらのクラウドシステムに含まれる省庁の情報の機密性、完全性、および可用性が危険にさらされることになる。
Why GAO Did This Study GAOがこの調査を行った理由
Cloud computing provides agencies with potential opportunities to obtain IT services more efficiently; however, if not effectively implemented, it also poses cybersecurity risks. To facilitate the adoption and use of cloud services, the Office of Management and Budget and other federal agencies have issued policies and guidance on key practices that agencies are to implement to ensure the security of agency systems that leverage cloud services (i.e., cloud systems). クラウドコンピューティングは、ITサービスをより効率的に得るための潜在的な機会を省庁に提供するが、効果的に実施されない場合、サイバーセキュリティ上のリスクももたらす。クラウドサービスの導入と利用を促進するため、行政管理予算局とその他の連邦省庁は、クラウドサービスを活用する省庁システム(すなわち、クラウドシステム)のセキュリティを確保するために省庁が実施すべき主要な実務に関する方針とガイダンスを発表した。
This report evaluates the extent to which selected agencies have effectively implemented key cloud security practices. To do so, GAO selected 15 cloud systems across four agencies (Agriculture, DHS, Labor, and Treasury), representing a broad range of services. GAO selected these agencies based on several factors, including the number of reported IT investments leveraging cloud computing. GAO compared relevant agency documentation against six key practices identified in federal policies and guidance. GAO rated each agency as having fully, partially, or not implemented each practice for the selected systems. 本報告書では、選択した省庁がクラウドセキュリティの主要な実践をどの程度効果的に行っているかを評価する。そのために、GAOは4つの省庁(農務省、DHS、労働省、財務省)において、幅広いサービスを代表する15のクラウドシステムを選択した。GAOは、クラウドコンピューティングを活用したIT投資の報告数など、いくつかの要因に基づいてこれらの省庁を選択した。GAOは、連邦政府の政策やガイダンスで特定された6つの重要なプラクティスに対して、関連する省庁の文書を比較した。GAOは、各省庁が選択したシステムに対して、各実践を完全に実施している、部分的に実施している、または実施していないと評価した。
Recommendations 勧告
GAO is making 35 recommendations to four agencies to fully implement key cloud security practices. DHS concurred with the recommendations. Agriculture, Labor, and Treasury neither agreed nor disagreed with the recommendations. DHS, Labor, and Treasury described actions taken or planned to address the recommendations. GAOは、主要なクラウドセキュリティの実践を完全に実施するために、4つの省庁に対して35の勧告を行っている。DHSは勧告に同意した。農務省、労働省、財務省は、勧告に同意も反対もしなかった。DHS、労働省、財務省は、勧告に対処するために実施または計画された措置を説明した。
Department of Agriculture 農務省
The Secretary of Agriculture should ensure that the agency fully documents the access authorizations for its selected PaaS system. (Recommendation 1) 農務省長官は、同省が選択した PaaS システムのアクセス権限を完全に文書化することを確実にすべきである。(勧告1)
The Secretary of Agriculture should ensure that the agency fully implements continuous monitoring for its selected PaaS system, to include reviewing the continuous monitoring deliverables from the CSP and committing to a time frame to review audit logs. (Recommendation 2) 農務省長官は、同省が選択した PaaS システムについて、CSP からの継続的な監視の成果物のレビューと、監査ログをレビューする時間枠を約束することを含め、同省が継続的な監視を完全に実施することを確実にすべきである。(勧告2)
The Secretary of Agriculture should ensure that the agency fully implements continuous monitoring for its selected SaaS system 1, to include reviewing the continuous monitoring deliverables from the CSP and committing to a time frame to review audit logs. (Recommendation 3) 農務省長官は、同省が選択した SaaS システム 1 について、CSP からの継続的な監視の成果物のレビューと、監査ログをレビューする時間枠を約束することを含め、同省が継続的な監視を完全に実施することを確実にすべきである。(勧告3)
The Secretary of Agriculture should ensure that the agency fully implements continuous monitoring for its selected SaaS system 2, to include reviewing the continuous monitoring deliverables from the CSP. (Recommendation 4) 農務省長官は、同省が選択した SaaS システム 2 について、CSP からの継続的な監視の成果物のレビューを含め、同省が継続的な監視を完全に実施することを確実にすべきである。(勧告4)
The Secretary of Agriculture should ensure that the agency's service level agreements with CSPs define performance metrics, including how they are measured and the enforcement mechanisms. (Recommendation 5) 農務省長官は、CSP とのサービスレベル契約において、パフォーマンス指標の定義(測定方法と実施メカニズムを含む)を確実にすべきである。(勧告5)
The Secretary of Agriculture should ensure that the agency provides the authorization letter to the FedRAMP PMO for its selected SaaS system 2. (Recommendation 6) 農務省長官は、同省が選択した SaaS システム 2 について、FedRAMP PMO に認可書を提供することを確実にすべきである。(勧告6)
The Secretary of Agriculture should ensure that the agency's contracts with CSPs include requirements for the service providers to comply with FedRAMP security authorization requirements. (Recommendation 7) 農務省長官は、同省と CSP との契約に、サービスプロバイダが FedRAMP のセキュリティ認証要件を遵守するための要件が含まれていることを確実にすべきである。(勧告7)
Department of Homeland Security 国土安全保障省
The Secretary of Homeland Security should ensure that the agency fully implements continuous monitoring for its selected SaaS system 2, to include implementing its plans for continuous monitoring of the security controls that are the agency's responsibility. (Recommendation 8) 国土安全保障省長官は、同省が選択したSaaSシステム2について、同省の責任であるセキュリティコントロールの継続的な監視のための計画の実施を含む、継続的な監視を完全に実施することを確実にすべきである。(勧告8)
The Secretary of Homeland Security should ensure that the agency fully implements continuous monitoring for its selected IaaS system, to include performing a regular review of the continuous monitoring deliverables from the CSP. (Recommendation 9) 国土安全保障省長官は、同省が選択した IaaS システムの継続的な監視を完全に実施することを確実にすべきであり、これには CSP からの継続的な監視の成果物の定期的なレビューの実施も含まれる。(勧告9)
The Secretary of Homeland Security should ensure that the agency fully implements continuous monitoring for its selected PaaS system, to include implementing its process to review the continuous monitoring deliverables from the CSP. (Recommendation 10) 国土安全保障省長官は、同省が選択した PaaS システムについて、継続的な監視を完全に実施することを確実にすべきであり、これには、CSP からの継続的な監視の成果物をレビューするプロセスの実施を含む。(勧告10)
The Secretary of Homeland Security should ensure that the agency fully implements continuous monitoring for its selected SaaS system 1, to include implementing its process to review the continuous monitoring deliverables from the CSP. (Recommendation 11) 国土安全保障省長官は、同省が選択した SaaS システムの継続的な監視を完全に実施し、CSP からの継続的な監視の成果物をレビューするプロセスを実施することを確実にすべきである。(勧告11)
The Secretary of Homeland Security should ensure that the agency's service level agreements with CSPs define performance metrics, including how they are measured and the enforcement mechanisms. (Recommendation 12) 国土安全保障省長官は、CSP とのサービスレベル契約において、パフォーマンス指標(測定方法と実施メカニズムを含む)を確実に定義する必要がある。(勧告12)
The Secretary of Homeland Security should ensure that the agency fully implements the FedRAMP requirements for its selected IaaS system, to include issuing an authorization for the CSP and providing an authorization letter to the FedRAMP PMO. (Recommendation 13) 国土安全保障省長官は、同省が選択した IaaS システムの FedRAMP 要件を完全に実施し、CSP に対する認可の発行と FedRAMP PMO への認可書の提出を確実にすべきである。(勧告13)
The Secretary of Homeland Security should ensure that the agency fully implements the FedRAMP requirements for its selected PaaS system, to include issuing an authorization for the cloud service. (Recommendation 14) 国土安全保障省長官は、同省が選択した PaaS システムの FedRAMP 要件を完全に実施し、クラウドサービスに対する認可を発行することを確実にすべきである。(勧告14)
The Secretary of Homeland Security should ensure that the agency fully implements the FedRAMP requirements for its selected SaaS system 2, to include issuing an authorization for the cloud service. (Recommendation 15) 国土安全保障省長官は、同省が選択した SaaS システム 2 の FedRAMP 要件を完全に実施し、クラウドサービスに対する認可を発行することを確実にすべきである。(勧告15)
The Secretary of Homeland Security should ensure that the agency's contracts with CSPs include requirements for the service providers to comply with security authorization FedRAMP requirements. (Recommendation 16) 国土安全保障省長官は、同省とCSPとの契約に、サービスプロバイダーがセキュリティ認可のFedRAMP要件を遵守するための要件が含まれていることを確実にすべきである。(勧告16)
Department of Labor 労働省
The Secretary of Labor should ensure that the agency fully implements continuous monitoring for its selected IaaS system, to include implementing its plans for continuous monitoring of the security controls that are the agency's responsibility. (Recommendation 17) 労働省長官は、同省が選択したIaaSシステムについて、同省の責任であるセキュリティ制御の継続的な監視のための計画の実施を含む、継続的な監視を完全に実施することを確実にすべきである。(勧告17)
The Secretary of Labor should ensure that the agency fully implements continuous monitoring for its selected PaaS system, to include reviewing the continuous monitoring deliverables from the CSP. (Recommendation 18) 労働省長官は、同省が選択した PaaS システムについて、CSP からの継続的な監視の成果物のレビューを含め、継続的な監視を完全に実施することを確実にすべきである。(勧告18)
The Secretary of Labor should ensure that the agency's service level agreements with CSPs define performance metrics, including how they are measured and the enforcement mechanisms. (Recommendation 19) 労働省長官は、CSP とのサービスレベル契約において、パフォーマンス指標の定義(測定方法、実施メカニズムなど)を確実にすべきである。(勧告19)
The Secretary of Labor should ensure that the agency fully implements the FedRAMP requirements, to include performing a review and risk analysis of the CSPs' FedRAMP security packages for its selected IaaS system. (Recommendation 20) 労働省長官は、同省が FedRAMP 要件を完全に実施し、選択した IaaS システムに対する CSP の FedRAMP セキュリティパッケージのレビューとリスク分析の実施を確実にすべきである。(勧告20)
The Secretary of Labor should ensure that the agency fully implements the FedRAMP requirements, to include issuing an authorization for the cloud service for its selected PaaS system. (Recommendation 21) 労働省長官は、同省がFedRAMP要件を完全に実施し、選択したPaaSシステムに対してクラウドサービスの認可を発行することを確実にすべきである。(勧告21)
The Secretary of Labor should ensure that the agency fully implements the FedRAMP requirements, to include issuing an authorization for the cloud service for its selected SaaS system 1. (Recommendation 22) 労働省長官は、同省がFedRAMP要件を完全に実施し、選択したSaaSシステム1に対してクラウドサービスの認可を発行することを確実にすべきである。(勧告22)
The Secretary of Labor should ensure that the agency fully implements the FedRAMP requirements, to include issuing an authorization for each of the cloud services and performing a review and risk analysis of the CSPs' FedRAMP security packages for its selected SaaS system 2. (Recommendation 23) 労働省長官は、同省が選択した SaaS システム 2 について、各クラウドサービスに対する認可の発行、および CSP の FedRAMP セキュリティパッケージのレビューとリスク分析の実施を含む、FedRAMP 要件を完全に実施することを確実にすべきである。(勧告23)
The Secretary of Labor should ensure that the agency provides authorization letters to the FedRAMP PMO upon issuance of the authorization. (Recommendation 24) 労働省長官は、認可の発行時に認可書を FedRAMP PMO に提供することを確実にすべきである。(勧告24)
The Secretary of Labor should ensure that the agency's contracts with CSPs include requirements for the service providers to comply with FedRAMP security authorization requirements. (Recommendation 25) 労働省長官は、同省とCSPとの契約に、サービスプロバイダーがFedRAMPセキュリティ認可要件を遵守するための要件が含まれていることを確実にすべきである。(勧告25)
Department of the Treasury 財務省
The Secretary of the Treasury should commit to a date for completing efforts to define the delineation of security responsibilities between the agency and the CSP for its selected SaaS system 2. (Recommendation 26) 財務省長官は、同省が選択したSaaS システム 2 について、同省と CSP との間のセキュリティ責任の分担を定義する取り組みを完了する期日を約束すべきである。(勧告26)
The Secretary of the Treasury should ensure that the agency commits to a time frame for when it plans to require the use of multifactor authentication for its selected SaaS system 1, and implements the plan. (Recommendation 27) 財務省長官は、同省が選択したSaaSシステム1について、多要素認証の使用を義務付ける予定の時期を確約し、その計画を実施することを確実にすべきである。(勧告27)
The Secretary of the Treasury should ensure that the agency fully implements continuous monitoring for its selected PaaS system, to include implementing its plans for continuous monitoring of the security controls that are the agency's responsibility and reviewing the continuous monitoring deliverables from the CSP. (Recommendation 28) 財務省長官は、同省が選択した PaaS システムの継続的な監視を完全に実施することを確実にすべきである。これには、同省の責任となるセキュリティ管理の継続的な監視のための計画の実施、及び CSP からの継続的な監視の成果物のレビューが含まれる。(勧告28)
The Secretary of the Treasury should ensure that the agency fully implements continuous monitoring for its selected SaaS system 2, to include implementing its plans for continuous monitoring of the security controls that are the agency's responsibility and documenting the use of vulnerability management procedures and tools to monitor the agency's cloud infrastructure. (Recommendation 29) 財務省長官は、同省が選択したSaaSシステム2に対する継続的な監視を完全に実施することを確実にすべきである。これには、同省の責任であるセキュリティ管理の継続的な監視のための計画の実施、同省のクラウド基盤を監視するための脆弱性管理手順及びツールの使用の文書化などを含む。(勧告29)
The Secretary of the Treasury should ensure that the agency fully implements continuous monitoring for its selected SaaS system 1, to include reviewing the continuous monitoring deliverables from the CSP. (Recommendation 30) 財務省長官は、同省が選択したSaaSシステム1について、CSPからの継続的監視の成果物のレビューを含め、同省が継続的監視を完全に実施することを確実にすべきである。(勧告30)
The Secretary of the Treasury should ensure that the agency's service level agreements with CSPs define the enforcement mechanisms. (Recommendation 31) 財務省長官は、CSP とのサービスレベル契約において、同省が強制的な仕組みを定義していることを確実にすべきある。(勧告31)
The Secretary of the Treasury should ensure that the agency fully implements the FedRAMP requirements, to include performing a review and risk analysis of the CSPs' FedRAMP security packages for its selected SaaS system 1. (Recommendation 32) 財務省長官は、同省が FedRAMP 要件を完全に実施することを確実にすべきである。これには、選択した SaaS システム 1 に対する CSP の FedRAMP セキュリティパッケージのレビューとリスク分析の実行を含む。(勧告32)
The Secretary of the Treasury should ensure that the agency's contracts with CSPs include requirements for the service providers to comply with FedRAMP security authorization requirements. (Recommendation 33) 財務省長官は、同省とCSPとの契約に、サービスプロバイダーがFedRAMPセキュリティ認証要件を遵守するための要件が含まれていることを確実にすべきである。(勧告33)
The Secretary of the Treasury should ensure that the agency fully documents its procedures for responding to and recovering from security and privacy incidents for its SaaS system 1. (Recommendation 34) 財務省長官は、同省が選択したSaaSシステム1について、セキュリティ及びプライバシーインシデントへの対応及び回復のための手順を完全に文書化することを確実にすべきである。(勧告34)
The Secretary of the Treasury should ensure that the agency fully documents its procedures for responding to and recovering from security and privacy incidents for its SaaS system 2. (Recommendation 35) 財務省長官は、同省が選択したSaaSシステム2について、セキュリティ及びプライバシーインシデントへの対応及び回復のための手順を完全に文書化することを確実にすべきである。(勧告35)

 

・[PDF] Highlights

20230530-52234

 

・[PDF] Full Report

20230530-52242

 


 

⚫︎まるちゃんの情報セキュリティ気まぐれ日記

・2023.05.05 米国 GAO 高リスクシリーズ 2023 すべての分野に完全に対応するためには、進捗を達成するための努力の維持と拡大が必要である (2023.04.20)

・2023.04.08 米国 GAO 意見募集 監査基準書 (イエローブック)2023年版 ドラフト (2023.01.30)

・2023.02.10 米国 GAO サイバーセキュリティ高リスクシリーズ

・2023.01.02 米国 GAO 情報技術・サイバーセキュリティ:スコアカードの進化は各機関の進捗を監視する上で引き続き重要 (2022.12.15)

・2022.12.31 米国 GAO 軍サイバー人材:兵役義務ガイダンスとデータ追跡を改善する機会の存在 (2022.12.21)

・2022.10.09 米国 GAO ランサムウェア:連邦政府機関は有用な支援を提供しているが、協力体制を改善することができる

・2022.09.27 米国 GAO 遠隔医療:監視を強化し、プロバイダーがプライバシーとセキュリティのリスクについて患者を教育するために必要な行動

・2022.09.26 米国 GAO 情報環境:DODの国家安全保障ミッションに対する機会および脅威 (2022.09.21)

・2022.09.26 米国 GAO 核兵器のサイバーセキュリティ:NNSAはサイバーセキュリティの基礎的なリスクマネジメントを完全に実施すべき

・2022.08.02 米国 GAO 情報技術とサイバーセキュリティ:省庁の法定要件の実施を監視するためのスコアカードの使用

・2022.07.10 米国 GAO 顔認識技術:連邦政府機関の利用と関連するプライバシー保護 (2022.06.29)

・2022.06.25 米国 GAO 来年度 (FY23) の予算要求額は8億1,030万ドル(約1兆700億円)サイバーセキュリティも強化項目

・2022.06.02 米国 GAO 消費者保護:議会は消費者ランク付けに使用されるスコアに関する保護の強化を検討すべき (2022.05.26)

・2022.04.30 米国 GAO ブログ 人工知能は国家安全保障をどう変えるか (2022.04.19)

・2022.04.03 米国 GAO 自らのプライバシープログラムを改善し、データ保護の強化をしなければならない by GAOの内部監査部門

・2022.03.29 米国 GAO ブロックチェーン:新たな技術がもたらす利点と課題

・2022.03.29 米国 GAO 2022-2027の戦略計画 (2022.03.15)

・2022.03.29 米国 GAO 政府・社会に影響を与えるトレンド (2022.03.15)

・2022.02.11 米国 GAO 重要インフラ保護:各省庁はサイバーセキュリティガイダンスの採用を評価する必要がある

・2022.02.10 米国 GAOブログ ハッキング事件を機に米国議会と連邦政府機関が今後のサイバーセキュリティリスクを軽減するための取り組みを強化

・2022.01.17 米国 GAO サイバーセキュリティ:SolarWindsおよびMicrosoft Exchangeのインシデントに対する連邦政府の対応

・2022.01.13 米国 GAO ざっとみたところ、各省庁のFISMA要件の実施は各省庁でばらつきがあるようだ...

・2021.12.11 米国 GAO 国防省の委託事業者のサイバーセキュリティについての認証フレームワークの改善

・2021.12.07 米国 GAO サイバーセキュリティ:国の重要インフラをより良く保護するための連邦政府の行動が緊急に求められている

・2021.08.27 米国 GAO 顔認識技術:連邦政府機関による現在および計画中の使用方法

・2021.07.23 U.S. GAO 人工知能のための新しい枠組み at 2021.06.30

・2021.07.15 米国GAO 顔認識技術について連邦法執行機関はプライバシーやその他のリスクをより適切に評価する必要がある at 2021.06.03

・2021.05.27 U.S. GAO 連邦政府はサプライチェーンリスクを管理するための勧告に従ってね。。。

・2021.05.25 米国GAO サイバー保険の加入率も保険料率も上昇?

・2021.05.21 U.S. GAO (blog) コロニアルパイプラインへのサイバー攻撃は、連邦政府および民間部門のサイバーセキュリティへの備えの必要性を認識させた

・2021.05.02 100周年を迎えるU.S. GAOの来年度 (FY22) の予算要求額は7億4,430万ドル(約820億円)サイバーセキュリティ監査能力の強化

・2021.04.17 U.S. GAO 連邦政府は、ITおよびサイバー関連に年間1,000億ドル(11兆円)以上の投資をしているが、多くは失敗またはパフォーマンスが低く、管理が不十分で、セキュリティ上の弱点がある。

・2021.04.01 GAO 連邦政府の財務諸表に監査意見を付与することができない・・・その理由は・・・

・2021.03.26 U.S. GAO 電力網サイバーセキュリティ:エネルギー省は彼らの計画が配電システムのリスクに完全に対応していることを確認する必要がある at 2021.03.18

・2021.03.25 U.S. GAO High-Riskシリーズ:連邦政府は主要なサイバーセキュリティの課題に対処するための重要な行動を早急に実施する必要がある

・2021.03.16 U.S. GAO 2022年度予算要求「複雑なサイバー・セキュリティの開発をレビューする能力を高める」

・2021.03.16 U.S. GAO CISAに対して組織変革を確実に遂行するために11の勧告をしたようですね。。。(CISAも同意済み)

・2021.03.08 U.S. GAO 国防省に兵器システムについてサイバーセキュリティ要件を購買プログラム契約で定義し、作業を承認または拒否するための基準と、要件が満たされていることを政府が確認する方法についての基準を確立する必要があると指摘

・2021.03.07 U.S. GAO ハイリスクリスト 2021 (サイバーセキュリティはリスクが高まっているという評価のようです...)

・2021.02.22 U.S. GAOが技術評価ハンドブックを公表していますね

・2020.12.27 U.S. GAO 国防省の15のシステム開発を監査してみて・・・開発手法やセキュリティについてコメント付けてます

・2020.12.02 U.S. GAO 医療における人工知能:患者ケアを強化する技術の利点と課題

・2020.12.02 U.S. GAO 5Gネット ークの機能と課題 @2020.11.19

・2020.11.21 米国GAOが国防省のJoint Cyber Warfighting Architectureについて相互運用性目標を定義することを推奨していますね。。。

・2020.10.22 米国GAOのブログでDeepfakeが取り上げられていますね。。。

・2020.10.14 米国GAOは連邦航空局がアビオニクスのリスクベースのサイバーセキュリティ監視を強化するための仕組みを入れる必要があると推奨していますね。。。

・2020.09.29 米国GAO が「国家サイバー戦略」の完全実施のためにリーダーシップを明確にするために議会がリーダーを指名するように提案していますね。

・2020.09.24 U.S. GAO サイバー空間安全保証・新興技術局の設立計画の策定に関連する連邦機関を関与させていない

・2020.09.18 米国GAO 財務省は金融セクターのサイバーセキュリティリスク軽減の取り組みについての追跡調査を改善する必要がある

・2020.09.02 米国GAO - FedRAMP-連邦政府機関によるクラウドコンピューティングの安全な利用の確保

・2020.08.19 米国GAO 国土安全保障省と特定の機関は、ネットワーク監視プログラムの実装上の欠点に対処する必要がある

・2020.03.22 GAO CRITICAL INFRASTRUCTURE PROTECTION: Additional Actions Needed to Identify Framework Adoption and Resulting Improvements



 

 

 

 

 

| | Comments (0)

2023.05.29

カナダ ITSAP.00.188 海外出張・テレワークのためのデバイスセキュリティ (2023.05.11)

こんにちは、丸山満彦です。

カナダのサイバーセキュリティセンターが 海外出張・テレワークのためのデバイスセキュリティを公表していますね。。。

COVID19も峠を越え、海外出張もふえてくることもあってですかね。。。

出張用デバイスが必要かどうかの決定木もついています。。。

次の場合は、出張用デバイスが必要...

・注目の旅行者 (High profile travelers)

・注目のイベント (high profile events) に出席する

・渡航先の国の脅威が少なくない

 

2年前には、モバイルデバイスと出張者 (ITSAP.00.087) [PDF]、注目される旅行者のためのモバイル機器ガイダンス (ITSAP.00.088) [PDF]が公表されています。。。

 

⚫︎Canadian Centre for Cyber Security

・2023.05.11 Device security for travel and telework abroad - ITSAP.00.188

20230529-24711

・[PDF]

20230529-32808

 

High profile travelers 注目の旅行者
High profile events 注目のイベント
Short-term stays 短期滞在
Teleworking abroad 海外でのテレワーク
Risk likelihood considerations and travel devices リスクの可能性の検討と旅行機器
Is a travel device needed? トラベルデバイスは必要ですか?
High risk travel ハイリスクな旅行
How do threat actors target travellers? 脅威の主体はどのように旅行者を狙うのか?
Checklist for device protection while traveling or working abroad 海外渡航・勤務中のデバイス保護のためのチェックリスト

 

海外渡航・勤務中のデバイス保護のためのチェックリスト

 Ensure devices and other media are encrypted with the highest level permitted for the device  デバイスやその他のメディアが、そのデバイスに許可された最高レベルで暗号化されていることを確認する。
 Enable MFA on devices and accounts  デバイスとアカウントでMFAを有効化する
 Install anti-virus, anti-malware, and anti-phishing software on devices  アンチウィルス、アンチマルウェア、アンチフィッシングソフトウェアをデバイスにインストールする。
 Use web browser plug-ins for ad-blocking and malware-blocking  ウェブブラウザのプラグインによる広告ブロック、マルウェアブロックの実施
 Implement access control for all devices that include passphrase or password protection  パスフレーズまたはパスワード保護を含むすべてのデバイスのアクセス制御を実施する。
 Use device hygiene mechanisms such as domain name system (DNS) filtering  ドメインネームシステム(DNS)フィルタリングなどのデバイス衛生機構を使用する。
 Backup your devices prior to departure  出発前にデバイスをバックアップする
 Minimize the information stored on corporate devices to files required for the travel scenario only  会社のデバイスに保存される情報は、出張シナリオに必要なファイルのみに絞り込む
 Remove stored credentials and passwords for accounts and services that do not need to be accessed while on travel or working abroad  出張中や海外勤務中にアクセスする必要のないアカウントやサービスについては、保存されている認証情報やパスワードを削除する。
 Change the passwords for all accounts, especially those that have shared or common access rights  すべてのアカウント、特に共有または共通のアクセス権を持っているアカウントのパスワードを変更する。
 Disable features such as GPS, Bluetooth, and Wi-Fi when not needed  GPS、Bluetooth、Wi-Fiなどの機能は、不要な場合は無効にしておく
 Turn off automatic connection capabilities so your devices will not connect or pair automatically with unknown devices or unsecure networks  自動接続機能をオフにして、知らないデバイスや安全でないネットワークに自動的に接続したり、ペアリングしたりしないようにします。
 Avoid unnecessary application downloads and limit application use on your devices  不要なアプリケーションのダウンロードを避け、デバイスでのアプリケーションの使用を制限する。
 Monitor your device for unusual behavior, such as performance issues, pop-ups, or reduced battery performance  パフォーマンスの問題、ポップアップ、バッテリー性能の低下など、デバイスに異常がないか監視する。
 Keep track of your devices, including cables, chargers, and peripherals as they can contain embedded micro-controllers to deliver malware  ケーブル、充電器、周辺機器などのデバイスには、マルウェアを配信するためのマイクロコントローラーが埋め込まれている可能性があるため、デバイスを追跡してください。

 

 

関連...

・2022.09.09 Mobile device guidance for high profile travellers (ITSAP.00.088)

・[PDF

20230529-32859

 

 

・2022.05.06 Mobile devices and business travellers (ITSAP.00.087)

・[PDF]

20230529-32940

 

| | Comments (0)

2023.05.28

米国 教育省 人工知能 教育と学習の未来 洞察と提言 (2023.05.23)

こんにちは、丸山満彦です。

少し前のブログでも紹介しましたが、米国の教育省が「人工知能 教育と学習の未来 洞察と提言」を発表していますね。。。

 

⚫︎U.S. Department of Education

・2023.05.23 U.S. Department of Education Shares Insights and Recommendations for Artificial Intelligence

 

⚫︎Office of Educational Technology

・2023.05.23 [PDF] Artificial Intelligence and the Future of Teaching and Learning - Insights and Recommendations

20230526-43313

・[DOCX] 仮訳

 

Table of Contents  目次 
Introduction はじめに
Rising Interest in AI in Education 教育現場でのAIへの関心の高まり
Three Reasons to Address AI in Education Now 今、教育現場のAIに取り組むべき3つの理由
Toward Policies for AI in Education 教育現場におけるAI活用の政策に向けて
Building Ethical, Equitable Policies Together 倫理的で公平な政策を共に構築するために
Guiding Questions 方向性を考えるための質問
Foundation 1: Center People (Parents, Educators, and Students) 基本1:中心関係者(保護者、教育者、学生)
Foundation 2: Advance Equity 基本2:公平性を高める
Foundation 3: Ensure Safety, Ethics, and Effectiveness 基本3:安全性・倫理性・有効性の確保
Foundation 4: Promote Transparency 基本4:透明性の促進
Overview of Document 文書の概要
What is AI? AIとは何か?
Perspective: Human-Like Reasoning 視点:人間らしい推論
Perspective: An Algorithm that Pursues a Goal 視点:目標を追求するアルゴリズム
Perspective: Intelligence Augmentation 視点:拡張知能
Definition of “Model” "モデル "の定義
Insight: AI Systems Enable New Forms of Interaction 洞察:AIシステムが実現する新しい相互作用の形
Key Recommendation: Human in the Loop AI 重要な提言:ヒューマンインザループAI
Learning 学習
Insight: AI Enables Adaptivity in Learning 洞察:AIが可能にする学習における適応性
Intelligent Tutoring Systems: An Example of AI Models インテリジェント・チューター・システム:AIモデルの一例
Important Directions for Expanding AI-Based Adaptivity AIによる適応力を拡大するための重要な方向性
A Duality: Learning With and About AI 二律背反:AIで学ぶ、AIについて学ぶ
A Challenge: Systems Thinking About AI in Education 課題:教育現場におけるAIのシステム思考
Open Questions About AI for Learning 学習用AIに関するオープンな質問
Key Recommendation: Seek AI Models Aligned to a Vision for Learning 重要な提言:学習ビジョンに沿ったAIモデルを求める
Teaching 教育
Always Center Educators in Instructional Loops 常にセンター教育者を指導ループに
Insight: Using AI to Improve Teaching Jobs 洞察:AIを活用した教職の改善
Preparing and Supporting Teachers in Planning and Reflecting プランニングとリフレクションを行う教師の準備と支援
Designing, Selecting, and Evaluating AI Tools AIツールの設計・選択・評価
Challenge: Balancing Human and Computer Decision-Making 課題:人間とコンピュータの意思決定のバランス
Challenge: Making Teaching Jobs Easier While Avoiding Surveillance 課題:監視を避けながら、教える仕事を楽にする。
Challenge: Responding to Students’ Strengths While Protecting Their Privacy 課題:学生のプライバシーを守りながら学生の強みに応える
Questions Worth Asking About AI for Teaching 教えるためのAIについて聞く価値のある質問
Key Recommendation: Inspectable, Explainable, Overridable AI 重要な提言:検査可能、説明可能、書き換え可能なAI
Formative Assessment 成長評価
Building on Best Practices ベストプラクティスの構築
Implications for Teaching and Learning 教育と学習への示唆
Insight: AI Can Enhance Feedback Loops 洞察:AIはフィードバックループを強化できる
An Example: Automated Essay Scoring 例:小論文の自動採点
Key Opportunities for AI in Formative Assessment 成長評価におけるAIの主な可能性
Key Recommendation: Harness Assessment Expertise to Reduce Bias 重要な提言:バイアスを減らすために評価の専門知識を活用する
Related Questions 関連する質問
Research and Development 研究開発
Insight: Research Can Strengthen the Role of Context in AI 洞察:AIにおけるコンテキストの役割を強化できる研究
Attention to the Long Tail of Learner Variability 学習者のばらつきのロングテールへの配慮
Partnership in Design-Based Research デザインベーストリサーチのパートナーシップ
Re-thinking Teacher Professional Development 教師のプロフェッショナル・ディベロップメントを再考する
Connecting with Public Policy 公共政策とつながる
Key Recommendation: Focus R&D on Addressing Context 重要な提言:コンテキストへの対応に研究開発を集中させる
Ongoing Questions for Researchers 研究者のための継続的な質問
Desired National R&D Objectives 望ましい国家研究開発目標
Recommendations 提言
Insight: Aligning AI to Policy Objectives 洞察:AIを政策目標に合致させる
Calling Education Leaders to Action 教育指導者の行動を呼び起こす
Recommendation #1: Emphasize Humans in the Loop 提言1:ループの中の人間を強調する
Recommendation #2: Align AI Models to a Shared Vision for Education 提言2:AIモデルを教育ビジョンの共有に整合させる
Recommendation #3: Design Using Modern Learning Principles 提言3:現代の学習原理を用いたデザイン
Recommendation #4: Prioritize Strengthening Trust 提言4:信頼関係の強化を優先する
Recommendation #5: Inform and Involve Educators 提言5:教育関係者への情報提供と関与
Recommendation #6: Focus R&D on Addressing Context and Enhancing Trust and Safety 提言6:コンテキストへの対応と信頼性・安全性の向上に研究開発を集中させる。
Recommendation #7: Develop Education-Specific Guidelines and Guardrails 提言7:教育に特化したガイドラインとガードレールの策定
Next Steps 次のステップ
Common Acronyms and Abbreviations 一般的な頭字語・略語について
Acknowledgements 謝辞
References 参考文献

 

 

 

⚫︎まるちゃんのセキュリティ気まぐれ日記

・2023.05.27 米国 国家人工知能研究開発 戦略計画 2023更新 (2023.05.23)

・2023.05.26 米国 ファクトシート:バイデン-ハリス政権、責任ある人工知能の研究・開発・実装を進める新たなステップを導入

 

| | Comments (0)

2023.05.27

米国 国家人工知能研究開発 戦略計画 2023更新 (2023.05.23)

こんにちは、丸山満彦です。

少し前のブログでも紹介しましたが、米国の国家人工知能研究開発戦略計画が更新されています。。。最初は2016年、前回は2019年、そして今回2023年...

今回は、9番目の戦略として、AI研究における国際協力の原則的かつ協調的アプローチに関する事項を追加していますね。。。

1: Make long-term investments in fundamental and responsible AI research.  1:基礎的かつ責任あるAI研究への長期的な投資
2: Develop effective methods for human-AI collaboration.  2:人間とAIの効果的なコラボレーション手法の開発
3: Understand and address the ethical, legal, and societal implications of AI.  3:AIの倫理的、法的、社会的な影響の理解と対処
4: Ensure the safety and security of AI systems. 4:AIシステムの安全・安心の確保
5: Develop shared public datasets and environments for AI training and testing. 5:AIの訓練とテストのための共有された公共データセットと環境の開発
6: Measure and evaluate AI systems through standards and benchmarks. 6:標準とベンチマークによるAIシステムの測定と評価
7: Better understand the national AI R&D workforce needs.  7:国内のAI研究開発人材ニーズのより深い理解
8: Expand public-private partnerships to accelerate advances in AI.  8:AIの進化を加速させる官民連携の拡大
9: Establish a principled and coordinated approach to international collaboration in AI research.  9:AI研究における国際協力のための原則的かつ協調的なアプローチの確立

 

 

⚫︎U.S. Whitehouse

・2023.05.23 [PDF] NATIONAL ARTIFICIAL INTELLIGENCE RESEARCH AND DEVELOPMENT STRATEGIC PLAN 2023UPDATE

20230526-42846

・[DOCX] 仮訳

 

 

Strategy 1: Make long-term investments in fundamental and responsible AI research. Prioritize investments in the next generation of AI to drive responsible innovation that will serve the public good and enable the United States to remain a world leader in AI. This includes advancing foundational AI capabilities such as perception, representation, learning, and reasoning, as well as focused efforts to make AI easier to use and more reliable and to measure and manage risks associated with generative AI.  戦略1:基礎的かつ責任あるAI研究への長期的な投資。公益に資する責任あるイノベーションを推進し、米国がAIにおいて世界のリーダーであり続けることを可能にするため、次世代のAIへの投資を優先させる。これには、知覚、表現、学習、推論といったAIの基礎的な能力を高めることに加え、AIをより使いやすく、より信頼できるものにするための集中的な取り組みや、生成的AIに関連するリスクを測定・管理するための取り組みが含まれる。 
Strategy 2: Develop effective methods for human-AI collaboration. Increase understanding of how to create AI systems that effectively complement and augment human capabilities. Open research areas include the attributes and requirements of successful human-AI teams; methods to measure the efficiency, effectiveness, and performance of AI-teaming applications; and mitigating the risk of human misuse of AI-enabled applications that lead to harmful outcomes.  戦略2:人間とAIの効果的なコラボレーション手法の開発。人間の能力を効果的に補完・増強するAIシステムの作り方について理解を深める。オープンな研究分野には、成功する人間-AIチームの属性と要件、AIチーム化アプリケーションの効率、効果、性能を測定する方法、有害な結果につながるAI対応アプリケーションの人間の誤用リスクの軽減などがある。 
Strategy 3: Understand and address the ethical, legal, and societal implications of AI. Develop approaches to understand and mitigate the ethical, legal, and social risks posed by AI to ensure that AI systems reflect our Nation’s values and promote equity. This includes interdisciplinary research to protect and support values through technical processes and design, as well as to advance areas such as AI explainability and privacy-preserving design and analysis. Efforts to develop metrics and frameworks for verifiable accountability, fairness, privacy, and bias are also essential.  戦略3:AIの倫理的、法的、社会的な影響の理解と対処。AIがもたらす倫理的、法的、社会的リスクを理解し軽減するアプローチを開発し、AIシステムが我が国の価値観を反映し、公平性を促進することを保証する。これには、技術的なプロセスや設計を通じて価値を保護・支援するための学際的な研究や、AIの説明可能性やプライバシーを保護する設計・分析などの分野を発展させるための研究が含まれる。また、説明責任、公平性、プライバシー、偏りを検証可能な指標やフレームワークを開発する取り組みも不可欠である。 
Strategy 4: Ensure the safety and security of AI systems. Advance knowledge of how to design AI systems that are trustworthy, reliable, dependable, and safe. This includes research to advance the ability to test, validate, and verify the functionality and accuracy of AI systems, and secure AI systems from cybersecurity and data vulnerabilities.   戦略4:AIシステムの安全・安心の確保。信頼性、信頼性、依存性、安全性の高いAIシステムを設計する方法に関する知識を深める。これには、AIシステムの機能性と正確性をテスト、検証、確認する能力を向上させ、AIシステムをサイバーセキュリティやデータの脆弱性から保護する研究が含まれる。  
Strategy 5: Develop shared public datasets and environments for AI training and testing. Develop and enable access to high-quality datasets and environments, as well as to testing and training resources. A broader, more diverse community engaging with the best data and tools for conducting AI research increases the potential for more innovative and equitable results.  戦略5:AIの訓練とテストのための共有された公共データセットと環境の開発。高品質のデータセットや環境、テストやトレーニングのためのリソースを開発し、アクセスできるようにする。AI研究のために、より広範で多様なコミュニティが最適なデータやツールを利用することで、より革新的で公平な結果が得られる可能性が高まる。 
Strategy 6: Measure and evaluate AI systems through standards and benchmarks. Develop a broad spectrum of evaluative techniques for AI, including technical standards and benchmarks, informed by the Administration’s Blueprint for an AI Bill of Rights and AI Risk Management Framework (RMF).  戦略6:標準とベンチマークによるAIシステムの測定と評価。行政の「AI権利章典の青写真」と「AIリスク管理フレームワーク(RMF)」を参考に、技術標準やベンチマークを含む、AIに関する幅広い評価技術を開発する。 
Strategy 7: Better understand the national AI R&D workforce needs. Improve opportunities for R&D workforce development to strategically foster an AI-ready workforce in America. This includes R&D to improve understanding of the limits and possibilities of AI and AI-related work, and the education and fluency needed to effectively interact with AI systems.   戦略7:国内のAI研究開発人材ニーズのより深い理解。アメリカのAI対応人材を戦略的に育成するために、研究開発人材育成の機会を改善する。これには、AIやAI関連業務の限界と可能性の理解、AIシステムと効果的に対話するために必要な教育と流暢さを向上させるための研究開発が含まれる。  
Strategy 8: Expand public-private partnerships to accelerate advances in AI. Promote opportunities for sustained investment in responsible AI R&D and for transitioning advances into practical capabilities, in collaboration with academia, industry, international partners, and other non-federal entities.  戦略8:AIの進化を加速させる官民連携の拡大。学術界、産業界、国際的なパートナー、その他の連邦政府以外の団体と協力して、責任あるAIの研究開発への持続的な投資と、進歩を実用的な能力に移行させるための機会を促進する。 
Strategy 9: Establish a principled and coordinated approach to international collaboration in AI research. Prioritize international collaborations in AI R&D to address global challenges, such as environmental sustainability, healthcare, and manufacturing. Strategic international partnerships will help support responsible progress in AI R&D and the development and implementation of international guidelines and standards for AI.  戦略9:AI研究における国際協力のための原則的かつ協調的なアプローチの確立。環境持続可能性、ヘルスケア、製造業などのグローバルな課題に対処するため、AI研究開発における国際協力を優先させる。戦略的な国際パートナーシップは、AI研究開発の責任ある進展と、AIに関する国際的なガイドラインや標準の開発・実施を支援することにつながる。 

 

 


 

⚫︎まるちゃんのセキュリティ気まぐれ日記

・2023.05.26 米国 ファクトシート:バイデン-ハリス政権、責任ある人工知能の研究・開発・実装を進める新たなステップを導入

 

 

 

| | Comments (0)

CSA ゼロトラストアーキテクチャにおける医療機器 (2023.05.08)

こんにちは、丸山満彦です。

少し(かなり)古い話なのですが...

⚫︎Cloud Security Alliance

・2023.05.08 Medical Devices in A Zero Trust Architecture

Medical Devices in A Zero Trust Architecture ゼロトラストアーキテクチャにおける医療機器
Today’s medical devices often connect to the cloud, which increases the risk by expanding the attack surface. This presents the Healthcare Delivery Organizations (HDOs) with threats and vulnerabilities, technology issues, software risks, and human factors. As a result, security architects are forced to re-examine the concept of identity. Essentially, every connected medical device has an identity and must be under consideration within the Zero Trust Framework.  今日の医療機器はクラウドに接続することが多く、攻撃対象が拡大することでリスクが高まっている。このため、医療提供組織(HDO)には、脅威や脆弱性、技術的な問題、ソフトウェアのリスク、人的要因などが生じる。その結果、セキュリティアーキテクトは、アイデンティティの概念を再検討する必要に迫られている。基本的に、接続されたすべての医療機器にはIDがあり、ゼロ・トラスト・フレームワークの中で考慮されなければならない。 

 


・[PDF]

20230527-103341

簡単な登録でダウンロードできます...

 

目次...

Abstract 概要
Introduction はじめに
Zero Trust ゼロ・トラスト
Medical device management programs 医療機器管理プログラム
Identity アイデンティティ
Device デバイス
Network ネットワーク
Application アプリケーション
Data データ
Conclusion まとめ
References 参考文献

 

概要...

Abstract  概要 
Securing a network begins with understanding everything connected to it—users, devices, applications, and systems, as well as all the data they are trying to access. But what happens when devices are the users? Security must focus on where the threat is most likely to occur. Today’s medical devices often connect to the cloud, which increases the risk by expanding the attack surface. This presents Healthcare Delivery Organizations (HDOs) with threats and vulnerabilities, technology issues, software risks, and human factors.1 Medical devices pose a significant security risk to both networks and Healthcare Delivery Organizations (HDOs), potentially compromising their operations and patient data. As a result, security architects are forced to re-examine the concept of identity. Essentially, every connected medical device has an identity and must be under consideration within the Zero Trust Framework.2 ネットワークのセキュリティは、ユーザー、デバイス、アプリケーション、システム、そしてそれらがアクセスしようとするすべてのデータなど、ネットワークにつながるすべてのものを理解することから始まる。しかし、デバイスがユーザーである場合はどうなるだろうか。セキュリティは、脅威が最も発生しやすい場所に焦点を当てる必要がある。今日の医療機器はクラウドに接続することが多く、攻撃対象が拡大することでリスクが高まります。医療機器は、ネットワークと医療機関(HDO)の両方に重大なセキュリティリスクをもたらし、医療機関の業務や患者データを危険にさらす可能性がある1。その結果、セキュリティアーキテクトはアイデンティティの概念を再検討する必要に迫られている。基本的に、接続されたすべての医療機器にはIDがあり、Zero Trust Frameworkの中で考慮する必要がある2。

 

・[PDF] Presentation

20230527-124642

 

 

[2023.07.21追記]

その後、日本語版が公表されました...

・2023.05.31 Medical Devices in A Zero Trust Architecture - Japanese Translation

20230721-52252

 

簡単な登録でダウンロードできます...

 

 

| | Comments (0)

サイバー犯罪に関する白浜シンポジウム 第27回 - 足りない人材、 追いつかない育成、次の一手は?

こんにちは、丸山満彦です。

サイバー犯罪に関する白浜シンポジウムが今年も開催されています。本日が最終日。今年で第27回となります。テーマは「足りない人材、 追いつかない育成、次の一手は?」です。

私の出番は今日。。。といっても、パネルディスカッションとか講演ではありませんが。。。

 

⚫︎ サイバー犯罪に関する白浜シンポジウム 第27回 - 足りない人材、 追いつかない育成、次の一手は?

プログラム

井上先生の講演風景...

Img_2564Img_2566

 

日本だけでなく、世界中での課題ですが、日本はサイバーセキュリティに関連する業務の定義が十分に共有されていないので、どの役割のサイバーセキュリティ人材がどの程度足らないのかという議論にならずに、いつもぐるぐると同じところを回っているように感じています。。。

 

⚫︎ 産業横断サイバーセキュリティ検討会

人材定義リファレンス

 

⚫︎ 経済産業省

・2022 デジタルスキル標準

 

米国の場合は、NISTが定義していますね。。。

SP 800-181 Rev. 1 Workforce Framework for Cybersecurity (NICE Framework)

 

目次だけ仮訳しています。。。

・・[XLSX] Reference Spreadsheet

 


 

今回は、初回からの関係者とゆっくりと話す機会がありました。。。

少し懐かしい写真を...

5861899955_f2de63ae41_o

 

 

| | Comments (0)

英国 Oxford AcademicのJournal of Cybersecurity, Volume 9, Issue 1の記事はどれも興味深い...

こんにちは、丸山満彦です。

Oxford AcademicのJournal of Cybersecurity, Volume 9, Issue 1の記事はどれも興味深いです。。。

 

⚫︎ Oxford Academy - Journal of Cybersecurity

Volume 9, Issue 1, 2023

Classifying social media bots as malicious or benign using semi-supervised machine learning  半教師付き機械学習を用いたソーシャルメディアボットの悪性・良性分類 
The nature of losses from cyber-related events: risk categories and business sectors  サイバー関連事象による損失の性質:リスクカテゴリーと事業部門 
Contribution Threat Perception, School Climate and Prejudice as Mediator to Student’s Cyber Aggression  生徒のサイバー攻撃に対する脅威の認知、学校風土、偏見の媒介としての貢献度 
Post-quantum cryptographic assemblages and the governance of the quantum threat  ポスト量子暗号アセンブラと量子脅威のガバナンス 
Juror interpretations of metadata and content information: implications for the going dark debate  メタデータとコンテンツ情報に対する陪審員の解釈:闇討論争への示唆 
Adapting cybersecurity practice to reduce wildlife cybercrime  野生動物に関連するサイバー犯罪を減らすためにサイバーセキュリティの実践を適応させる 
Tell me more, tell me more: repeated personal data requests increase disclosure  もっと教えて、もっと教えて:繰り返される個人データの要求が情報開示を増やす 
The Power of Beliefs in US Cyber Strategy: The Evolving Role of Deterrence, Norms, and Escalation  米国のサイバー戦略における信念の力: 抑止力、規範、エスカレーションの進化した役割 
Maximizing the benefits from sharing cyber threat intelligence by government agencies and departments  政府機関や省庁によるサイバー脅威情報の共有によるメリットの最大化 
Development of a new ‘human cyber-resilience scale’  新しい「人間サイバーレジリエンス尺度」の開発 
The security mindset: characteristics, development, and consequences  セキュリティマインドセット:特徴、発達、結果 
Defining the reporting threshold for a cybersecurity incident under the NIS Directive and the NIS 2 Directive  NIS指令およびNIS 2指令に基づくサイバーセキュリティインシデントの報告閾値の定義 

 

1_20230527051001

Volume 9, Issue 1, 2023 第9巻 第1号 2023年
Classifying social media bots as malicious or benign using semi-supervised machine learning  半教師付き機械学習を用いたソーシャルメディアボットの悪性・良性分類 
Innocent Mbona and Jan H P Eloff イノセント・ムボナ、ヤン・H・P・エロフ
Abstract   要旨 
Users of online social network (OSN) platforms, e.g. Twitter, are not always humans, and social bots (referred to as bots) are highly prevalent. State-of-the-art research demonstrates that bots can be broadly categorized as either malicious or benign. From a cybersecurity perspective, the behaviors of malicious and benign bots differ. Malicious bots are often controlled by a botmaster who monitors their activities and can perform social engineering and web scraping attacks to collect user information. Consequently, it is imperative to classify bots as either malicious or benign on the basis of features found on OSNs. Most scholars have focused on identifying features that assist in distinguishing between humans and malicious bots; the research on differentiating malicious and benign bots is inadequate. In this study, we focus on identifying meaningful features indicative of anomalous behavior between benign and malicious bots. The effectiveness of our approach is demonstrated by evaluating various semi-supervised machine learning models on Twitter datasets. Among them, a semi-supervised support vector machine achieved the best results in classifying malicious and benign bots. Twitterなどのオンラインソーシャルネットワーク(OSN)プラットフォームのユーザーは必ずしも人間ではなく、ソーシャルボット(以下、ボット)が非常に多く存在する。最先端の研究では、ボットは悪意あるものと良性のものに大別されることが実証されている。サイバーセキュリティの観点からは、悪意のあるボットと良性のボットの挙動は異なる。悪意のあるボットは、その活動を監視するボットマスターによって制御されていることが多く、ソーシャルエンジニアリングやウェブスクレイピング攻撃を行い、ユーザー情報を収集することができる。そのため、OSN上で発見された特徴に基づき、ボットを悪意あるものと良性のもののいずれかに分類することが不可欠である。多くの研究者は、人間と悪意のあるボットを区別するのに役立つ特徴を特定することに焦点を当てており、悪意のあるボットと良性のボットの区別に関する研究は不十分である。本研究では、良性ボットと悪性ボットの間の異常な挙動を示す意味のある特徴を特定することに焦点を当てる。本アプローチの有効性は、Twitterデータセットを用いて様々な半教師付き機械学習モデルを評価することで実証される。その結果、半教師付きサポートベクターマシンが、悪意のあるボットと良性のボットを分類する上で最も良い結果を得ることができた。
   
The nature of losses from cyber-related events: risk categories and business sectors  サイバー関連事象による損失の性質:リスクカテゴリーと事業分野
Pavel V Shevchenko and others パヴェル・V・シェフチェンコほか
Abstract   概要 
In this study, we examine the nature of losses from cyber-related events across different risk categories and business sectors. Using a leading industry dataset of cyber events, we evaluate the relationship between the frequency and severity of individual cyber-related events and the number of affected records. We find that the frequency of reported cyber-related events has substantially increased between 2008 and 2016. Furthermore, the frequency and severity of losses depend on the business sector and type of cyber threat: the most significant cyber loss event categories, by number of events, were related to data breaches and the unauthorized disclosure of data, while cyber extortion, phishing, spoofing, and other social engineering practices showed substantial growth rates. Interestingly, we do not find a distinct pattern between the frequency of events, the loss severity, and the number of affected records as often alluded to in the literature. We also analyse the severity distribution of cyber-related events across all risk categories and business sectors. This analysis reveals that cyber risks are heavy-tailed, i.e. cyber risk events have a higher probability to produce extreme losses than events whose severity follows an exponential distribution. Furthermore, we find that the frequency and severity of cyber-related losses exhibit a very dynamic and time-varying nature. 本研究では、異なるリスクカテゴリーと事業分野におけるサイバー関連イベントによる損失の性質について検証する。サイバーイベントに関する主要な業界データセットを用いて、個々のサイバー関連イベントの頻度と重大性、影響を受けたレコード数の関係を評価した。その結果、報告されたサイバー関連イベントの頻度は、2008年から2016年にかけて大幅に増加していることがわかった。さらに、損失の頻度と深刻さは、ビジネスセクターとサイバー脅威の種類によって異なる。イベント数で最も重要なサイバー損失イベントカテゴリーは、データ漏洩とデータの不正開示に関連しており、サイバー恐喝、フィッシング、スプーフィング、その他のソーシャルエンジニアリングの実践は、かなりの成長率を示した。興味深いことに、文献でしばしば言及されているように、事象の頻度、損失の重大性、影響を受けたレコードの数の間に明確なパターンは見いだせなかった。また、すべてのリスクカテゴリーとビジネスセクターにおけるサイバー関連イベントの深刻度分布も分析した。この分析により、サイバーリスクはヘビーテールであること、すなわち、サイバーリスクのイベントは、重大度が指数分布に従うイベントよりも極端な損失をもたらす確率が高いことが明らかになりました。さらに、サイバー関連損失の頻度と深刻度は、非常にダイナミックで時間的に変化する性質を持っていることがわかった。
   
Contribution Threat Perception, School Climate and Prejudice as Mediator to Student’s Cyber Aggression  生徒のサイバー攻撃に対する脅威の認知、学校風土、偏見の媒介としての貢献度 
Mardianto Mardianto and others マルディアント・マルディアントほか
Abstract   要旨 
This study aims to test students’ cyber aggression models based on previous studies, especially those related to high school students’ Cyber Aggression behavior. Following the stages of adolescent development, this research uses the socio-ecological theoretical perspective of the cyber context. This study determines several predictive variables as risk factors and protective factors that have the most potential to influence student cyber aggression, such as perceived threats, school climate, and prejudice. The model tested in this study is the role of the perceived threat and school climate on students’ Cyber Aggression behavior mediated by prejudice. This study uses a quantitative approach with structural equation modeling analysis, namely the structural equation model (SEM). The sampling technique used in this study is purposive sampling. The subjects of this study are high school students who actively use social media every day, with 1118 students as respondents from several cities in Indonesia. The result shows that the theoretical model of students’ Cyber Aggression behavior as per the empirical conditions in the field has met the goodness of fit model standard, meaning that the perception of threats and the school climate-mediated by prejudice were simultaneously proven to play a role as predictors of student Cyber Aggression 本研究は、先行研究、特に高校生のサイバー攻撃行動に関連する研究に基づいて、学生のサイバー攻撃モデルを検証することを目的としている。思春期の発達段階に沿って、本研究ではサイバーコンテキストの社会生態学的理論的観点を用いている。本研究では、生徒のサイバー攻撃性に最も影響を与える可能性のあるリスク要因と保護要因として、脅威の認知、学校風土、偏見などいくつかの予測変数を決定している。本研究で検証したモデルは、偏見を媒介とした学生のサイバー攻撃行動に対する知覚された脅威と学校風土の役割である。本研究では、構造方程式モデリング分析、すなわち構造方程式モデル(SEM)による定量的アプローチを用いている。本研究で用いたサンプリング技法は、目的別サンプリングである。本研究の対象は、毎日積極的にソーシャルメディアを利用している高校生であり、インドネシアの複数の都市から1118名の生徒を回答者として集めた。その結果、現場の経験則に沿った生徒のCyber Aggression行動の理論モデルは、適合度モデル基準を満たした。つまり、脅威の認識と偏見を媒介とする学校風土が、同時に生徒Cyber Aggressionの予測因子としての役割を果たすことが証明された
   
Post-quantum cryptographic assemblages and the governance of the quantum threat  ポスト量子暗号アセンブラと量子脅威のガバナンス 
Kristen Csenkey and Nina Bindel クリステン・クセンキー、ニーナ・ビンデル
Abstract   要旨 
Threats against security in the Internet often have a wide range and can have serious impacts within society. Large quantum computers will be able to break the cryptographic algorithms used to ensure security today, which is known as the quantum threat. Quantum threats are multi-faceted and very complex cybersecurity issues. We use assemblage theory to explore the complexities associated with these threats, including how they are understood within policy and strategy. It is in this way that we explore how the governance of the quantum threat is made visible. Generally, the private and academic sectors have been a primary driver in this field, but other actors (especially states) have begun to grapple with the threat and have begun to understand the relation to defence challenges, and pathways to cooperation in order to prepare against the threat. This may pose challenges for traditional avenues of defence cooperation as states attempt to understand and manage the associated technologies and perceived threats. We examine how traditionally cooperating allies attempt to govern the quantum threat by focusing on Australia, Canada, European Union, New Zealand, UK, and USA. We explore the linkages within post-quantum cryptographic assemblages and identify several governmental interventions as attempts to understand and manage the threat and associated technologies. In examining over 40 policy and strategy-related documents between traditionally defence cooperating allies, we identify six main linkages: Infrastructure, Standardization, Education, Partnerships, Economy, and Defence. These linkages highlight the governmental interventions to govern through standardization and regulation as a way to define the contours of the quantum threat. インターネットにおけるセキュリティに対する脅威は、しばしば広範囲に及び、社会内に深刻な影響を及ぼすことがある。大型の量子コンピュータは、現在のセキュリティを確保するために使用されている暗号アルゴリズムを破ることができるようになり、これは量子的脅威として知られている。量子の脅威は、多面的で非常に複雑なサイバーセキュリティの問題である。私たちはアッサンブラージュ理論を用いて、これらの脅威が政策や戦略の中でどのように理解されているのかを含め、これらの脅威に関連する複雑さを探求している。このようにして、量子的脅威のガバナンスがどのように可視化されるかを探る。一般に、この分野では民間企業や学術機関が主な推進力となってきたが、他のアクター(特に国家)もこの脅威と取り組み始め、防衛上の課題との関連や、脅威に備えるための協力の道筋を理解し始めている。このことは、国家が関連する技術や認識される脅威を理解し管理しようとする中で、従来の防衛協力の道筋に課題をもたらすかもしれない。我々は、オーストラリア、カナダ、欧州連合、ニュージーランド、英国、米国に焦点を当て、従来から協力関係にある同盟国がどのように量子の脅威を管理しようとしているのかを検証する。また、ポスト量子暗号の集合体における連携を探り、脅威と関連技術を理解し管理するためのいくつかの政府の介入を明らかにする。伝統的に防衛協力関係にある同盟国間の40以上の政策および戦略関連文書を調査した結果、6つの主要な関連性を特定した: インフラ、標準化、教育、パートナーシップ、経済、そして防衛である。これらの関連性は、量子的脅威の輪郭を定義する方法として、標準化と規制を通じて統治する政府の介入を強調するものである。
   
Juror interpretations of metadata and content information: implications for the going dark debate  メタデータとコンテンツ情報に対する陪審員の解釈:闇討論争への示唆 
Anne E Boustead and Matthew B Kugler アン・E・ブステッド、マシュー・B・クグラー
Abstract   要旨 
The rise of consumer encryption has led to a fierce debate over whether the loss of potential evidence due to encryption will be offset by the increase in evidence available from electronic metadata. One major question raised by this debate is how jurors will interpret and value metadata as opposed to content information. Though there are plausible arguments in favor of the persuasive power of each type of evidence, to date no empirical study has examined how ordinary people, potential jurors, view each of these sorts of evidence. 消費者向け暗号化の台頭により、暗号化による潜在的な証拠の喪失が、電子メタデータから得られる証拠の増加によって相殺されるかどうかについて、激しい論争が起きている。この議論によって提起された一つの大きな疑問は、陪審員がコンテンツ情報とは対照的にメタデータをどのように解釈し評価するかということである。各証拠の説得力を支持するもっともな議論はあるが、一般人(潜在的な陪審員)がこれらの種類の証拠をそれぞれどう見るかを調べた実証研究は、今日までない。
We address this issue through a series of survey experiments that present respondents with hypothetical criminal trials, randomly assigning them to descriptions featuring either metadata or content information. These studies show that the relative power of content and metadata information is highly contextual. Content information and metadata can be equally useful when conveying logically equivalent information. However, content information may be more persuasive where the defendant’s state of mind is critical, while metadata can more convincingly establish a pattern of behavior. This suggests that the rise of encryption will have a heterogeneous effect on criminal cases, with the direction of the effect depending on the facts that the prosecution must prove. 我々は、回答者に仮想の刑事裁判を提示し、メタデータまたはコンテンツ情報のいずれかを特徴とする記述をランダムに割り当てる一連の調査実験を通じて、この問題に取り組む。これらの研究は、コンテンツ情報とメタデータ情報の相対的なパワーが非常に文脈的であることを示している。論理的に同等の情報を伝達する場合、コンテンツ情報とメタデータは同じように有用である。しかし、被告の心理状態が重要な場合はコンテンツ情報の方が説得力があり、行動パターンを立証する場合はメタデータの方が説得力がある。このことは、暗号化の台頭が刑事事件に与える影響が、検察が立証すべき事実によって方向性が異なることを示唆している。
   
Adapting cybersecurity practice to reduce wildlife cybercrime  野生動物に関連するサイバー犯罪を減らすためにサイバーセキュリティの実践を適応させる 
Timothy C Haas ティモシー・C・ハース
Abstract   概要 
Wildlife trafficking is driving many species to extinction and is overwhelming law enforcement efforts to stop it. At least a 2-fold increase in the number of traffickers who are put out of business is needed to help avoid these extinctions. A cybersecurity-based solution described in this article consists of a large international confederation of criminal investigators collecting intelligence on persons involved in wildlife trafficking, analyzing it, and then recommending to law enforcement (a) cybercriminals to detain, (b) cybercriminals to surveil, and (c) where and when to intercept cybercriminal-initiated wire transfers and shipments of wildlife products. Wildlife traffickers nowadays often use the internet to commit their cybercrimes. Prosecuting such crimes is challenging. Indeed, one of the top five challenges in cybersecurity is to develop methods for pursuing cybercriminals and bringing them to justice through the acquisition of digital evidence that links specific individuals to specific illegal acts. The proposed confederation finds two lists of wildlife cybercriminals to remove. The first is found by computing centrality measures on the statistically estimated (reconstructed) current social network of wildlife cybercriminals to identify those criminals whose removal would, according to social network theory, maximally disrupt the syndicate’s operations. This list contains criminals identified as kingpins, and/or information brokers. The second list consists of those m criminals whose removal results in the largest simulator-computed drop in poaching of the trafficked species over the next year. Database access control is a form of information security (InfoSec), or data security—a chief component of cybersecurity. Here, a distributed form of information security is developed for keeping a confederation’s criminal intelligence database secure from unauthorized access and insider threats. This procedure uses only peer-to-peer transactions. The illegal trade in rhino horn is used to illustrate how this confederation would use criminal intelligence from several countries to first build a simulation of the political–ecological system that contains the trafficking operation, and then use this statistically fitted simulator to identify those traffickers to remove, wire transfers to block, and wildlife product shipments to seize. All software to implement this federated database and its access control procedure is freely available. 野生生物の密売は多くの種を絶滅に追いやり、それを阻止しようとする法執行機関の努力を圧倒している。このような絶滅を回避するためには、廃業に追い込まれる密売人の数を少なくとも2倍に増やすことが必要である。本稿で紹介するサイバーセキュリティに基づくソリューションは、犯罪捜査官の大規模な国際連合が野生生物の密売に関わる人物の情報を収集し、それを分析した上で、(a)拘束すべきサイバー犯罪者、(b)監視すべきサイバー犯罪者、(c)サイバー犯罪者が仕掛ける野生生物製品の送金や出荷を阻止する場所とタイミングを法執行機関に推奨するものである。野生生物の密売人は現在、インターネットを利用してサイバー犯罪を行うことが多い。このような犯罪を起訴することは困難である。実際、サイバーセキュリティにおける上位5つの課題の1つは、特定の個人と特定の違法行為を結びつけるデジタル証拠の取得を通じて、サイバー犯罪者を追跡し、裁判にかけるための方法を開発することである。提案された連合は、除去すべき野生動物のサイバー犯罪者のリストを2つ見つける。1つ目は、野生動物サイバー犯罪者の統計的に推定(再構築)された現在の社会的ネットワークについて中心性測定を計算し、社会的ネットワーク理論に従って、その排除がシンジケートの運営を最大限に混乱させる犯罪者を特定することによって発見される。このリストには、キングピンや情報ブローカーと認定された犯罪者が含まれている。第二のリストは、その犯罪者を排除することで、シミュレータで計算された今後1年間の密猟の減少が最大となる犯罪者で構成されている。データベースアクセス制御は、情報セキュリティ(InfoSec)の一つであり、サイバーセキュリティの主要な構成要素であるデータセキュリティの一つである。ここでは、連合会の犯罪情報データベースを不正アクセスや内部からの脅威から守るための分散型情報セキュリティが開発されている。この方法では、ピアツーピアのトランザクションのみが使用される。サイの角の違法取引を例に、この連合体が複数の国からの犯罪情報を使って、まず密売活動を含む政治生態系のシミュレーションを構築し、次にこの統計的に適合したシミュレータを使って、排除すべき密売人、阻止すべき送金、および押収すべき野生生物製品輸送を特定する方法を説明する。この連合データベースとそのアクセス制御手順を実装するためのソフトウェアは、すべて自由に利用できる。
   
Tell me more, tell me more: repeated personal data requests increase disclosure  もっと教えて、もっと教えて:繰り返される個人データの要求が情報開示を増やす 
Piers Fleming and others ピアーズ・フレミングほか
Abstract   概要 
Personal data is of great commercial benefit and potential sensitivity. However, for the consumers who provide their personal data, doing so comes with potential costs, benefits and security risks. Typically, consumers have the option to consent to the use of personal/sensitive data but existing research suggests consumer choices may only be weakly related to their concerns (the privacy paradox). Here, we examine if the repetitive nature of data requests alters behaviour but not concern, therefore, explaining the divergence. This work is theoretically grounded in ‘Foot in the door’ research in which small initial requests facilitate subsequent larger requests. An initial laboratory study asking for real, personal data demonstrated increased information disclosure at a subsequent request. A second online study replicated the increased information disclosure effect and found no change in associated privacy concern. We find this supports foot-in-the-door as one explanation of the privacy paradox. We suggest ways for businesses and consumers to encourage an acceptable level of disclosure to match personal beliefs for mutual trust and benefit. 個人データは、大きな商業的利益と潜在的な感受性を持つものである。しかし、個人データを提供する消費者にとって、そうすることは潜在的なコスト、利益、セキュリティリスクを伴うものである。一般的に、消費者は個人的/敏感なデータの使用に同意する選択肢を持っているが、既存の研究では、消費者の選択は消費者の懸念と弱い関係しかない可能性が示唆されている(プライバシーパラドックス)。ここでは、データ要求の反復的な性質が行動を変え、懸念を変えないかどうかを検証し、したがって、この乖離を説明することができる。この研究は、最初の小さな要求がその後の大きな要求を促進するという「Foot in the door」研究に理論的根拠をおいている。実際の個人データを要求する実験室での最初の研究では、次の要求で情報開示が増加することが示された。2回目のオンライン研究では、情報開示の増加効果を再現し、関連するプライバシーの懸念に変化がないことを発見した。このことは、プライバシー・パラドックスの説明の1つとして、フット・イン・ザ・ドアを支持するものであることがわかった。我々は、企業や消費者が、相互の信頼と利益のために、個人の信念に見合った許容レベルの情報開示を促す方法を提案する。
   
The Power of Beliefs in US Cyber Strategy: The Evolving Role of Deterrence, Norms, and Escalation  米国のサイバー戦略における信念の力: 抑止力、規範、エスカレーションの進化した役割 
Erica D Lonergan and Jacquelyn Schneider エリカ・D・ロナーガン、ジャクリーン・シュナイダー
Abstract   要旨 
Cyberspace's role in military power is vociferously debated. But how do these ideas manifest in cyber strategy? In this article, we trace the development of ideas about military cyber power, with a focus on the USA. In particular, we use a decade of US defense cyber strategies as a lens to explore how ideas about the role of the military in promoting cyber norms, the feasibility of cyber deterrence, and the risks of escalation have morphed over time. In doing so, we identify sources of continuity and discontinuity. We then turn to the academic literature to evaluate those ideas and appraise US defense cyber strategies, identifying gaps and tensions. Finally, we leverage these insights to provide recommendations for future US defense cyber strategies. 軍事力におけるサイバースペースの役割については、盛んに議論されている。しかし、こうした考えはサイバー戦略においてどのように現れているのだろうか。本稿では、米国に焦点を当てながら、軍事的サイバーパワーに関する考え方の発展を追跡する。特に、10年間の米国国防サイバー戦略をレンズとして、サイバー規範の推進における軍の役割、サイバー抑止の実現可能性、エスカレーションのリスクに関する考え方が、時代とともにどのように変容してきたかを探ることにしている。そうすることで、連続性と非連続性の源泉を明らかにする。次に、これらの考え方を評価するために学術文献に目を向け、米国の防衛サイバー戦略を評価し、ギャップと緊張を明らかにする。最後に、これらの洞察を活用して、将来の米国の防衛サイバー戦略に対する提言を行う。
   
Maximizing the benefits from sharing cyber threat intelligence by government agencies and departments  政府機関や省庁によるサイバー脅威情報の共有によるメリットの最大化 
Josiah Dykstra and others ジョサイア・ダイクストラほか
Abstract   概要 
The primary objective of the current study is to analytically examine the economic benefits an organization can obtain by receiving and processing cyber threat intelligence (CTI) shared by the US government. Our results show that the benefits from receiving CTI are closely associated with the difference between the threat level indicated by the CTI and the receiving organization’s prior belief of the threat level. In addition, for the same difference between the threat levels indicated by the CTI and the organization’s prior belief, our analyses show that the magnitude of adjustments to an organization’s cybersecurity investments is inversely related to the organization’s prior belief of the threat level. Thus, larger benefits can be obtained when the receiving organization’s prior belief of a threat level is lower. Taken together, our results suggest that the common belief that it is optimal for a federal government agency or department to focus on sharing CTI related to vulnerabilities with the highest threat level is misguided. More generally, the benefits from CTI sharing can be improved if producers of CTI could develop a clearer understanding of the prior beliefs that organizations have concerning their threat level and focus on sharing CTI that is significantly different from those prior beliefs. 本研究の主な目的は、米国政府が共有するサイバー脅威情報(CTI)を受信して処理することにより、組織が得られる経済的利益を分析的に検証することである。その結果、CTIの受信による利益は、CTIが示す脅威レベルと受信組織の脅威レベルに対する事前確信との差と密接に関連していることがわかった。さらに、CTIが示す脅威レベルと組織の事前確信の差が同じ場合、組織のサイバーセキュリティ投資に対する調整の大きさは、組織の脅威レベルに対する事前確信に反比例することが我々の分析で示された。したがって、脅威レベルに対する受け手の組織の事前確信が低ければ、より大きな利益を得ることができる。これらの結果を総合すると、連邦政府の機関や部署では、脅威レベルが最も高い脆弱性に関連するCTIを共有することが最適であるという通説は、見当違いであることが示唆される。より一般的には、CTIの作成者が、組織が脅威レベルに関して事前に持っている信念をより明確に理解し、その事前信念と大きく異なるCTIの共有に注力することができれば、CTI共有による利益は向上する可能性がある。
   
Development of a new ‘human cyber-resilience scale’  新しい「人間サイバーレジリエンス尺度」の開発 
Adam N Joinson and others アダム・N・ジョインソンほか
Abstract   概要 
While there has been an upsurge in interest in cyber resilience in organizations, we know little about the resilience of individuals to cyber attacks. Cyber resilience in a domestic or non-work setting is important because we know that the majority of people will face cyber threats in their use of technology across a range of contexts, and the ability to resist a cyber attack, or quickly recover and learn from a successful attack, is as important for individuals’ wellbeing as it is for organizations. There is, unfortunately, a dearth of studies on the cyber resilience of people, in part because it is not clear how such a construct could be defined and then measured. In the present work, we present a series of five studies—with a total sample of n = 1503—that sought to develop and validate a theoretically based measure of cyber resilience for individuals. The final scale, comprising 16 items and 4 subscales (self-efficacy, learning and growth, social support, and helplessness), demonstrates good internal reliability and validity. 組織におけるサイバーレジリエンスへの関心が高まっている一方で、個人のサイバー攻撃に対するレジリエンスについてはほとんど知られていない。家庭内または非職場でのサイバーレジリエンスは重要である。なぜなら、大多数の人がさまざまな状況でテクノロジーを使用する際にサイバー脅威に直面することがわかっており、サイバー攻撃に抵抗する能力、または成功した攻撃から迅速に回復し学習する能力は、組織と同様に個人のウェルビーイングにとって重要である。しかし、残念ながら、人々のサイバーレジリエンスに関する研究はほとんどなく、その理由の1つは、このような構成要素をどのように定義し、測定できるかが明確でないためである。本研究では、個人のサイバーレジリエンスに関する理論に基づいた尺度を開発し、検証することを目的とした5つの研究(総サンプル数n = 1503)を紹介する。16項目と4つの下位尺度(自己効力感、学習と成長、社会的支援、無力感)からなる最終尺度は、良好な内部信頼性と妥当性を示している。
   
The security mindset: characteristics, development, and consequences  セキュリティマインドセット:特徴、発達、結果 
Koen Schoenmakers and others ケーン・ショーンメーカーズほか
Abstract   概要 
The world is facing a cybersecurity skills gap as cybercrime and cyberwarfare grow in importance. One often-discussed quality that is potentially relevant to cybersecurity recruitment and education is the so-called “security mindset”: a way of thinking characteristic of some security professionals that they believe to be especially advantageous in their work. Although some employers express a desire to hire people with a security mindset, and initiatives to cultivate the security mindset are being implemented, it has no common definition and little is known about its characteristics, its development, and its consequences. We interviewed 21 cybersecurity professionals who strongly identified as having a security mindset based on a minimal description drawn from existing literature. Thematic analysis of the interview data suggests that the security mindset can be conceptualized as consisting of three interconnected aspects—“monitoring” for potential security anomalies, “investigating” anomalies more deeply to identify security flaws, and “evaluating” the relevance of those flaws in a larger context. These three aspects develop in different ways and have different personal and professional consequences. Participants mostly spoke positively of the security mindset, but they also mentioned several disadvantages not mentioned by existing security-mindset literature, such as mental health pressures, workplace tensions, and negative effects on personal relationships. We discuss the implications of these findings for future study of the security mindset and suggest practical implications for cybersecurity management, education, and recruitment. サイバー犯罪とサイバー戦争の重要性が増すにつれ、世界はサイバーセキュリティのスキルギャップに直面している。サイバーセキュリティの採用や教育に関連する可能性のある資質としてよく議論されるのが、いわゆる「セキュリティ・マインドセット」であり、一部のセキュリティ専門家に特有の考え方で、仕事において特に有利に働くと考えられている。一部の雇用主は、セキュリティ・マインドセットを持つ人材を採用したいと表明しており、セキュリティ・マインドセットを育成する取り組みが実施されているが、一般的な定義はなく、その特徴、発展、結果についてはほとんど知られていません。そこで、既存文献から抽出した最小限の記述に基づき、セキュリティ・マインドセットを有すると強く認識した21名のサイバーセキュリティ専門家にインタビューを実施した。インタビューデータの主題分析によると、セキュリティマインドは、潜在的なセキュリティの異常を「監視」し、異常をより深く「調査」してセキュリティの欠陥を特定し、より大きな文脈で欠陥の関連性を「評価」するという、相互に関連した3つの側面から構成されると概念化できることが示唆された。これらの3つの側面は、それぞれ異なる方法で発展し、個人的にも仕事上も異なる結果をもたらします。参加者は、ほとんどがセキュリティ・マインドセットについて肯定的に語っているが、精神衛生上のプレッシャー、職場での緊張、個人的な人間関係への悪影響など、既存のセキュリティ・マインドセットの文献では言及されていないいくつかのデメリットについても言及している。これらの知見が、今後のセキュリティ・マインドセットの研究に与える影響について議論し、サイバーセキュリティの管理、教育、採用における実用的な意味を示唆する。
   
Defining the reporting threshold for a cybersecurity incident under the NIS Directive and the NIS 2 Directive  NIS指令およびNIS 2指令に基づくサイバーセキュリティインシデントの報告閾値の定義 
Sandra Schmitz-Berndt サンドラ・シュミッツ=ベルント
Abstract   要旨 
The NIS Directive and sector-specific cybersecurity regulations require the reporting of (security) incidents to supervisory authorities. Following the risk-based approach adopted in the NIS Directive, the NIS 2 Directive enlists as a basic security element the reporting of significant incidents that (i) have caused or (ii) are capable to cause harm, as well as (iii) notifying the service recipients of cyber threats. Although during the interinstitutional negotiations between the European Commission, the European Parliament, and the Council of the European there was consensus that the NIS Directive’s reporting framework needs to be reformed, views on the determination of what needs to be reported varied. This paper outlines and analyses the different concepts of a report-worthy significant incident that have been proposed during the legislative procedure for the NIS 2 Directive from a legal and policy perspective. Irrespective of further motives that may inhibit reporting, legal compliance is difficult to achieve where legal requirements are vague. In that regard, the difficulties to determine the reporting thresholds in the past and in the future are addressed. In consideration of the increased attack surface and threat scenario, it is argued that incidents where no harm has materialized should not be treated any different than incidents that have actually resulted in harm in order to acquire the envisaged full picture of the threat landscape and create value for business and society. NIS指令と分野別サイバーセキュリティ規制は、監督官庁への(セキュリティ)インシデントの報告を求めている。NIS指令で採用されたリスクベースのアプローチに続き、NIS 2指令では、基本的なセキュリティ要素として、(i)損害を与えた、または(ii)損害を与える可能性がある重要なインシデントの報告、および(iii)サイバー脅威のサービス受給者への通知を挙げている。欧州委員会、欧州議会、欧州理事会間の交渉において、NIS指令の報告枠組みを改革する必要があることは合意されていたが、何を報告する必要があるのかについての見解は様々であった。本稿では、NIS2指令の立法手続き中に提案された、報告すべき重大インシデントのさまざまな概念を、法的・政策的観点から概説・分析する。報告を阻害する更なる動機に関わらず、法的要件が曖昧な場合、法令遵守を達成することは困難である。この点で、過去と将来の報告閾値を決定することの難しさを取り上げている。攻撃対象の拡大や脅威のシナリオを考慮すると、想定される脅威の全体像を把握し、ビジネスや社会に価値を生み出すためには、被害が発生していないインシデントを実際に被害が発生したインシデントと同様に扱うべきではないと主張されている。

| | Comments (0)

2023.05.26

米国 ファクトシート:バイデン-ハリス政権、責任ある人工知能の研究・開発・実装を進める新たなステップを導入

こんにちは、丸山満彦です。

米国のホワイトハウスが、ファクトシート:バイデン-ハリス政権、責任ある人工知能の研究・開発・実装を進める新たなステップを導入を公表していますね。。。

⚫︎U.S. Whitehouse

・2023.05.23 FACT SHEET: Biden-Harris Administration Takes New Steps to Advance Responsible Artificial Intelligence Research, Development, and Deployment

FACT SHEET: Biden-⁠Harris Administration Takes New Steps to Advance Responsible Artificial Intelligence Research, Development, and Deployment ファクトシート:バイデン-ハリス政権、責任ある人工知能の研究・開発・実装を進める新たなステップを導入
Today, the Biden-Harris Administration is announcing new efforts that will advance the research, development, and deployment of responsible artificial intelligence (AI) that protects individuals’ rights and safety and delivers results for the American people. 本日、バイデン-ハリス政権は、個人の権利と安全を守り、米国民に成果をもたらす責任ある人工知能(AI)の研究、開発、実装を推進する新たな取り組みを発表する。
AI is one of the most powerful technologies of our time, with broad applications. President Biden has been clear that in order to seize the opportunities AI presents, we must first manage its risks. To that end, the Administration has taken significant action to promote responsible AI innovation that places people, communities, and the public good at the center, and manages risks to individuals and our society, security, and economy. This includes the landmark Blueprint for an AI Bill of Rights and related executive actions, the AI Risk Management Framework, a roadmap for standing up a National AI Research Resource, active work to address the national security concerns raised by AI, as well as investments and actions announced earlier this month. Last week, the Administration also convened representatives from leading AI companies for a briefing from experts across the national security community on cyber threats to AI systems and best practices to secure high-value networks and information. AIは現代において最も強力な技術の一つであり、幅広い応用が可能である。バイデン大統領は、AIがもたらす機会をつかむためには、まずそのリスクを管理する必要があると明言している。そのため、行政は、人々、コミュニティ、公益を中心に置き、個人と私たちの社会、安全、経済に対するリスクを管理する責任あるAIイノベーションを促進するために重要な行動をとってきた。これには、画期的な「AI権利章典のための青写真」と関連する行政措置、AIリスク管理フレームワーク、国立AI研究資源を立ち上げるためのロードマップ、AIが提起する国家安全保障上の懸念に取り組むための活発な活動、そして今月初めに発表した投資や行動が含まれる。また先週、政権は主要なAI企業の代表者を招集し、AIシステムに対するサイバー脅威と、価値の高いネットワークや情報を保護するためのベストプラクティスについて、国家安全保障コミュニティ全体の専門家から説明を受けた。
Today’s announcements include: 本日の発表内容は以下の通りである:
・An updated roadmap to focus federal investments in AI research and development (R&D): The White House Office of Science and Technology Policy (OSTP) is releasing a National AI R&D Strategic Plan—updated for the first time since 2019—a roadmap that outlines key priorities and goals for federal investments in AI R&D. Developed by experts across the federal government and with public input, this plan makes clear that when it comes to AI, the federal government will invest in R&D that promotes responsible American innovation, serves the public good, protects people’s rights and safety, and upholds democratic values. It will help ensure continued U.S. leadership in the development and use of trustworthy AI systems . ・AI研究開発(R&D)に対する連邦政府の投資を集中させるためのロードマップの更新: ホワイトハウスの科学技術政策室(OSTP)は、AI研究開発への連邦投資の主要な優先順位と目標を示すロードマップである、2019年以降初めて更新された「国家AI研究開発戦略計画」を発表する。連邦政府全体の専門家により、一般市民の意見を取り入れて策定されたこの計画は、AIに関して、連邦政府が、責任ある米国のイノベーションを促進し、公共の利益に貢献し、人々の権利と安全を守り、民主主義の価値を支持する研究開発に投資することを明確にしている。これにより、信頼できるAIシステムの開発と使用において、米国が引き続きリーダーシップを発揮できるようになる。
・A new request for public input on critical AI issues: OSTP is issuing a Request for Information (RFI) to seek input on national priorities for mitigating AI risks, protecting individuals’ rights and safety, and harnessing AI to improve lives. This RFI will support the Administration’s ongoing effort to advance a cohesive and comprehensive strategy to manage AI risks and harness AI opportunities. It complements work happening across the federal government to engage the public on critical AI issue . 重要なAI問題についての一般からの意見を求める新たな要請: OSTPは、AIのリスクを軽減し、個人の権利と安全を保護し、AIを活用して生活を向上させるための国家的優先事項に関する意見を求めるために、情報提供要請書(RFI)を発行している。このRFIは、AIのリスクを管理し、AIの機会を活用するためのまとまった包括的な戦略を推進するための行政の継続的な取り組みを支援するものである。また、連邦政府全体で行われている、AIに関する重要な問題について国民を巻き込む活動を補完するものである。
・A new report on the risks and opportunities related to AI in education: The U.S. Department of Education’s Office of Educational Technology is releasing a new report, Artificial Intelligence (AI) and the Future of Teaching and Learning: Insights and Recommendations, summarizing the risks and opportunities related to AI in teaching, learning, research, and assessment. The report recognizes that AI can enable new forms of interaction between educators and students, help educators address variability in learning, increase feedback loops, and support educators. It also underscores the risks associated with AI—including algorithmic bias—and the importance of trust, safety, and appropriate guardrails . 教育におけるAIに関連するリスクと機会に関する新しい報告書: 米国教育省教育技術局は、新しい報告書「人工知能(AI) 教育と学習の未来: 洞察と提言」を発表している。これは、教育、学習、研究、評価におけるAIに関連するリスクと機会をまとめたものである。本報告書では、AIが教育者と生徒の新しい形の交流を可能にし、教育者が学習のばらつきに対処し、フィードバックループを増やし、教育者をサポートできることを認識している。また、アルゴリズムによるバイアスを含むAIに関連するリスク、信頼、安全、適切なガードレールの重要性を強調している。
In addition to these new announcements, the White House is hosting a listening session with workers today to hear firsthand experiences with employers’ use of automated technologies for surveillance, monitoring, evaluation, and management. The listening session will include workers representing diverse sectors of the economy, including call centers, trucking, warehousing, health care, and gig work, as well as policy experts, researchers, and policymakers. This listening session follows an RFI released by OSTP earlier this month to advance the Administration’s understanding of the design, deployment, prevalence, and impacts of automated technologies that monitor and track workers. これらの新しい発表に加え、ホワイトハウスは本日、雇用主が監視、モニタリング、評価、管理のために自動化されたテクノロジーを使用する際の生の経験を聞くために、労働者とのリスニングセッションを開催します。この公聴会には、コールセンター、トラック運送、倉庫、ヘルスケア、ギグワークなど、経済の多様な部門を代表する労働者のほか、政策専門家、研究者、政策立案者が参加する予定である。この公聴会は、今月初めにOSTPが発表したRFIに続くもので、労働者を監視・追跡する自動化技術の設計、展開、普及、影響について、行政の理解を深めることを目的としている。

Fig1_20210802074601

リンク先...

⚫︎U.S. Whitehouse

・2023.05.23 [PDF] NATIONAL ARTIFICIAL INTELLIGENCE RESEARCH AND DEVELOPMENT STRATEGIC PLAN 2023UPDATE

20230526-42846


・2023.05.23 [PDF] Request for Information National Priorities for Artificial Intelligence

20230526-43013

 

・2023.05.04 FACT SHEET: Biden-Harris Administration Announces New Actions to Promote Responsible AI Innovation that Protects Americans’ Rights and Safety

・2023.05.01 Hearing from the American People: How Are Automated Tools Being Used to Surveil, Monitor, and Manage Workers?

Blueprint for an AI Bill of Rights - MAKING AUTOMATED SYSTEMS WORK FOR THE AMERICAN PEOPLE

 

・2022.10.04 FACT SHEET: Biden-Harris Administration Announces Key Actions to Advance Tech Accountability and Protect the Rights of the American Public

 

⚫︎Office of Educational Technology

・2023.05.23 [PDF] Artificial Intelligence and the Future of Teaching and Learning - Insights and Recommendations

20230526-43313

 

⚫︎NIST

AI RISK MANAGEMENT FRAMEWORK

 

⚫︎AI.Gov

・2023.01 [PDF] Strengthening andDemocratizing the U.S. Artificial Intelligence Innovation Ecosystem An Implementation Plan for a National Artificial Intelligence Research Resource

20230526-42630

 

 


 

⚫︎まるちゃんの情報セキュリティ気まぐれ日記

・2023.05.08 米国 ホワイトハウス 「米国人の権利と安全を守る責任あるAIイノベーションを推進する新たな行動」 (2023.05.04)

・2022.10.07 米国 科学技術政策局 AI権利章典の青写真

・2023.01.27 NIST AIリスクフレームワーク

・2023.04.04 米国 ファクトシート:「民主主義のための技術の進歩」と「バイデン-ハリス政権の国内外における民主主義の再生への揺るぎないコミットメント」 (2023.03.29)

 

| | Comments (0)

2023.05.25

紹介 米国 国防総省 Cyber Exchange Public (サイバー従事能力戦略 2023-2027、マニュアル 8140.03 サイバースペース従事能力資格および管理プログラム)

こんにちは、丸山満彦です。

米国国防総省のCyber Exchange Publicというページでは、「DOD サイバー従事能力戦略 2023-2027 」「DOD マニュアル 8140.03 サイバースペース従事能力資格および管理プログラム」ほか、サイバー従事能力関連の情報がいくつかあります。。。PKIなどの技術的な情報も過去にはあります。。。

紹介まで...

ところで、Cyber Workforce (ここでは、サイバー従事能力と変換しています)の範囲は...

20230525-60435



⚫︎Cyber Exchange Public

・2023.03.01 [PDF] DOD CYBER WORKFORCE STRATEGY 2023-2027 

20230525-52424

EXECUTIVE SUMMARY  エグゼクティブサマリー 
The scope and pace of malicious cyber activity continues to grow with new threats and attacks to the Nation’s infrastructure emerging daily. As a result of these threats and other cyber-related challenges, there is an enterprise-wide need to drive cultural change and further the development and sustainment of the cyber workforce. To meet this requirement, the DoD CIO, in close coordination with other Office of the Secretary of Defense (OSD)Component heads; the Joint Staff; United States Cyber Command (USCYBERCOM); and the military services, created this 2023–2027 DoD CIO Cyber Workforce Strategy. This strategy sets the foundation for how the Department will foster a cyber workforce capable of executing the Department’s complex and varied cyber missions. This strategy utilizes four human capital pillars— Identification, Recruitment, Development and Retention—to identify and group cyber workforce challenges. The four pillars also serve as the catalyst for targeted workforce goals, which aid the Department in unifying efforts to achieve the mission and vision of this strategy. 悪意のあるサイバー活動の範囲とペースは拡大し続け、国のインフラに対する新たな脅威と攻撃が日々出現している。これらの脅威やその他のサイバー関連の課題の結果として、企業全体で文化的な変化を促進し、サイバー人材の育成と維持を促進する必要がある。この要求に応えるため、国防総省CIOは、国防長官室(OSD)各部門長、統合参謀本部、米国サイバー軍(USCYBERCOM)、および軍部と緊密に連携し、この2023-2027年国防総省CIOサイバー人材戦略を作成した。この戦略は、国防総省が複雑で多様なサイバーミッションを遂行できるサイバー人材をどのように育成していくかの土台となるものである。この戦略は、サイバー人材に関する課題を特定し、グループ化するために、4つの人的資本の柱(識別、採用、開発、保持)を利用している。また、この4つの柱は、目標とする人材像の触媒となり、本戦略の使命とビジョンを達成するための努力を統一する上で、省を支援するものである。
The four workforce goals are:  4つの従事能力目標は以下の通りである: 
Goal 1: Execute consistent capability assessment and analysis processes to stay ahead of force needs.  目標1:一貫した能力評価と分析プロセスを実行し、兵力ニーズの先取りをする。
Goal 2: Establish an enterprise-wide talent management program to better align force capabilities with current and future requirements.  目標2:全社的な人材管理プログラムを確立し、部隊の能力を現在および将来の要件とより適切に調整する。
Goal 3: Facilitate a cultural shift to optimize Department-wide personnel management activities.  目標3:省全体の人事管理活動を最適化するための文化的転換を促進する。
Goal 4: Foster collaboration and partnerships to enhance capability development, operational effectiveness and career broadening experiences. 目標4:能力開発、作戦の有効性、キャリアの幅を広げる経験を強化するために、協力とパートナーシップを促進する。
A forthcoming implementation plan will outline a prioritized list of implementation activities the DoD CIO will lead to achieve the goals and objectives of this strategy. This strategy, along with the implementation plan, will enable the Department to identify and qualify its military and civilian personnel while also developing plans for recruiting and retaining our highly effective cyber workforce. 近日中に発表される実施計画では、この戦略の目標と目的を達成するために、国防総省のCIOが主導する実施活動の優先順位の高いリストが概説される予定である。この戦略と実施計画により、国防総省は軍人と文民の人材を特定し、その資格を得ることができ、また、非常に効果的なサイバー人材を採用し維持するための計画を策定することができる。

 

 

 

・2023.02.15 DOD MANUAL 8140.03 CYBERSPACE WORKFORCE QUALIFICATION AND MANAGEMENT PROGRAM

20230525-52708

 

SECTION 1: GENERAL ISSUANCE INFORMATION 第1章:一般的な発行情報
1.1. Applicability 1.1. 適用範囲
1.2. Policy 1.2. 方針
1.3. Information Collections 1.3. 情報収集
1.4. Alignment of Cyberspace Work Roles to Cyberspace Workforce Elements 1.4. サイバー空間職務役割とサイバー空間従事能力要素との整合性
SECTION 2: RESPONSIBILITIES 第2章: 責任
2.1. DoD Chief Information Officer (DoD CIO) 2.1. 国防総省最高情報責任者(DoD CIO)
2.2. USD(P&R) 2.2. USD(P&R)
2.3. USD(I&S) 2.3. USD(I&S)
2.4. Assistant Secretary of Defense for Homeland Defense and Hemispheric Affairs 2.4. 国防次官補(国土防衛・半球問題担当)
2.5. OSD and DoD Component Heads 2.5. OSD及び国防総省の各部門長
2.6. Secretaries of the Military Departments and the Commandant of the United States CoastGuard 2.6. 軍部長官及び米国沿岸警備隊司令官
2.7. CJCS 2.7. CJCS
2.8. Commander, United States Cyber Command 2.8. 米国サイバー軍司令官
SECTION 3: CYBERSPACE WORKFORCE STRUCTURE AND QUALIFICATION PROGRAM 第3章:サイバースペース従事能力構造及び資格プログラム
3.1. Cyberspace Workforce Structure 3.1. サイバースペース人員構成
3.2. DoD Cyberspace Workforce Qualification and Management Program 3.2. 国防総省のサイバースペース従事能力の資格と管理プログラム
a. Program Overview a. プログラムの概要
b. Qualification Areas b. 資格認定分野
3.3. Proficiency levels 3.3. 熟練度
SECTION 4: QUALIFICATION PROGRAM OBJECTIVES AND PROCEDURES 第4章: 資格認定プログラムの目的及び手順
4.1. Program Objectives 4.1. プログラムの目的
4.2. Procedures 4.2. 手順
4.3. Implementation 4.3. 実施方法
a. General Requirements a. 一般的な要求事項
b. Specific Requirements b. 特定の要求事項
4.4. Governance 4.4. ガバナンス
4.5. Compliance 4.5. コンプライアンス
a. Cyberspace Workforce Compliance Responsibilities a. サイバースペース従事者のコンプライアンス責任
b. Cyberspace Workforce Compliance Reviews b. サイバースペース従事者のコンプライアンスレビュー
SECTION 5: CYBERSPACE PERSONNEL INFORMATION MANAGEMENT 第5章: サイバースペース要員情報管理
5.1. Introduction 5.1. はじめに
5.2. Reporting Requirements 5.2. 報告要件
GLOSSARY 用語集
G.1. Acronyms G.1. 頭字語
G.2. Definitions G.2. 定義
REFERENCES 参考文献

 

 

 

| | Comments (0)

2023.05.24

米国 国防総合大学 「統合抑止力とサイバー空間 - 国益追求のためのサイバー作戦の役割を探る論文選集」(2023.05.15)

こんにちは、丸山満彦です。

関連団体の監事をやっていたり、会社の業務等でバタバタしておりまして、インプットが十分にできていないタイミングですが、これは重要と思うので、紹介...

日本でも能動的サイバー防御とか、いろいろとありますが、米国の場合、このような論文とその背景の過去からの蓄積(例えば、参考文献等)があっての議論なので、私も含めて「にわか知識」では、とても議論の土俵にすら上がれないのですが、まずは、ひとつづつ背景の理解をしていくことが重要かもですね。。。にしても、膨大な蓄積です。。。

もちろん、この論文は理論的な側面で、さらに実践的な側面についても、情報収集・分析を常にしていますからね。。。

抑止力についての、検討は、核兵器でやっていたので、米国には積み重ねがありますね。

マルチ領域なので、当然にサイバーだけで考えるわけはなく、サイバーも含めた総合的な抑止力が求められる。そして、抑止力は、バランスの問題なので、サイバー領域についても軽い抑止から、重い抑止まで、グラデーションで整理しておく必要がありますね。。。

 

⚫︎National Defense University Press

・2023.05.15 Integrated Deterrence and Cyberspace

 

・[PDF]

20230524-61047

 

・[DOCX]  仮訳

 

| | Comments (0)

2023.05.23

英国 NCSCとICOの共同ブログ サイバーインシデント報告...

こんにちは、丸山満彦です.

英国のセキュリティセンターであるNCSCとデータ保護局のICOが共同でブログをセキュリティインシデントについてのブログを書いています。。。

ちゃんと当局に報告してね。。。身代金をはらっても解決しないからね。。。

 

⚫︎U.K. National Cyber Security Centre

・2023.05.11 Experts challenge myths around reporting cyber attacks to help break cycle of crime

Experts challenge myths around reporting cyber attacks to help break cycle of crime 犯罪の連鎖を断ち切るため、専門家がサイバー攻撃の報告に関する神話に挑む
Blog post from the NCSC and ICO aims to dispel common misconceptions that can discourage organisations from reporting a cyber attack. NCSCとICOは、サイバー攻撃を報告することを躊躇させる一般的な誤解を払拭することを目的としたブログ記事を発表した。
・A blog post from NCSC and ICO aims to dispel common misconceptions that can discourage organisations from reporting a cyber attack ・NCSCとICOは、サイバー攻撃の報告を躊躇させる一般的な誤解を払拭することを目的としたブログポストを発表した。
・NCSC and ICO are concerned about incidents going unreported, which denies organisations the opportunity to learn from them and prevent future attacks ・NCSCとICOは、インシデントが報告されないことで、組織がインシデントから学び、将来の攻撃を防ぐ機会を失うことを懸念している。
・Advice on best practice offered to help organisations understand their responsibilities and the risk to their data and reputation. ・組織が自らの責任とデータおよび評判に対するリスクを理解するためのベストプラクティスに関するアドバイスを提供する。
Leading cyber security experts are pressing organisations to be more open about their experience of cyber attacks, to encourage reporting and prevent future incidents. サイバーセキュリティの主要な専門家は、サイバー攻撃の経験をよりオープンにすることで、報告を促し、将来の事故を防止することを組織に求めている。
In a new joint blog post, the National Cyber Security Centre (NCSC) and the Information Commissioner’s Office (ICO) identify six misconceptions that can discourage organisations from reporting attacks, particularly ransomware attacks, and is setting out to dispel them. ナショナル・サイバー・セキュリティ・センター(NCSC)と情報コミッショナー事務所(ICO)は、新しい共同ブログ記事で、組織による攻撃(特にランサムウェア攻撃)の報告を妨げる6つの誤解を指摘し、その払拭に乗り出している。
The misconceptions include the mistaken belief that reporting cyber attacks to the authorities makes it more likely the incident will become public, and that paying a ransom automatically makes the incident go away. これらの誤解には、サイバー攻撃を当局に報告すれば事件が公になる可能性が高くなるという誤解や、身代金を支払えば自動的に事件が収束するという誤解が含まれている。
With cyber attacks continuing to cause significant disruption, the NCSC and ICO are concerned about incidents which go unreported because every 'hushed up' case that isn't shared or fully investigated makes other attacks more likely as no one can learn from them. サイバー攻撃による大きな混乱が続いており、NCSCとICOは、報告されないインシデントを懸念している。なぜなら、共有されず、完全に調査されない「隠蔽」されたケースは、誰もそこから学ぶことができないため、他の攻撃の可能性が高くなるからである。
But being open with the authorities will give victims access to expert support and advice, and will be taken into account favourably by the ICO when considering their regulatory response. しかし、当局にオープンにすることで、被害者は専門家のサポートやアドバイスを受けることができ、ICOが規制対応を検討する際に好意的に考慮されることになる。
The six ‘myths’ which the NCSC and the ICO have identified as commonly held by organisations that have fallen victim to cyber incidents are: NCSCとICOは、サイバーインシデントの被害に遭った組織が共通して持っている「神話」として、以下の6つを挙げている:
1. If I cover up the attack, everything will be ok 1. 攻撃を隠蔽すれば、すべてうまくいく。
2. Reporting to the authorities makes it more likely your incident will go public 2. 当局に報告すれば、インシデントが公表される可能性が高くなる。
3. Paying a ransom makes the incident go away 3. 身代金を払えば、インシデントがなくなる
4. I’ve got good offline backups, I won’t need to pay a ransom 4. オフラインでしっかりバックアップしているから、身代金を払う必要はない
5. If there is no evidence of data theft, you don’t need to report to the ICO  5. データ盗難の証拠がない場合、ICOに報告する必要はない 
6. You’ll only get a fine if your data is leaked 6. データが流出した場合、罰金を取られるだけだ

Eleanor Fairford, NCSC Deputy Director for Incident Management, said:

NCSCのインシデント管理担当副部長であるEleanor Fairfordは、次のように述べている:
“The NCSC supports victims of cyber incidents every day, but we are increasingly concerned about the organisations that decide not to come forward. 「NCSCは、日々サイバー攻撃の被害者を支援しているが、名乗り出ないという決断をする組織について、ますます懸念している。
“Keeping a cyber attack secret helps nobody except the perpetrators, so we strongly encourage victims to report incidents and seek support to help effectively deal with the fallout. 「サイバー攻撃を秘密にしておくことは、加害者以外には何の役にも立たないので、被害者が事件を報告し、その影響に効果的に対処するためのサポートを求めることを強く推奨する。
“By responding openly and sharing information, organisations can help mitigate the risk to their operations and reputation, as well break the cycle of crime to prevent others from falling victim.” 「オープンに対応し、情報を共有することで、組織は事業や評判へのリスクを軽減し、犯罪の連鎖を断ち切り、他の人が被害に遭うのを防ぐことができる。
Whilst the NCSC, as the national technical authority on cyber security, and the ICO, as the national data protection regulator, have different functions, both organisations work with victims of cyber incidents every day and have seen a wide range of incident responses. サイバーセキュリティの国家技術機関であるNCSCと、データ保護規制機関であるICOは、それぞれ異なる機能を有しているが、両機関は日々サイバー事件の被害者と接しており、様々な事件対応を見てきた。
Mihaela Jembei, ICO’s Director of Regulatory Cyber, said: ICOの規制サイバー担当ディレクターであるMihaela Jembeiは、次のように述べている:
“It’s crucial that businesses are aware of their own responsibilities when it comes to cyber security. The fact remains that there is a regulatory requirement to report cyber incidents to the ICO, but transparency is more than simply complying with the law. Cyber crime is a borderless and global threat and it’s through knowledge sharing that we can help organisations help themselves. 「サイバーセキュリティに関して、企業が自らの責任を認識することは極めて重要である。サイバーインシデントをICOに報告するという規制上の要件があることに変わりはないが、透明性とは、単に法律を遵守することではない。サイバー犯罪は国境を越えたグローバルな脅威であり、知識の共有を通じて、組織の自助努力を支援することができる。
“It’s also really important that businesses do not lose sight of their basic cyber hygiene practices in a world where we are always hearing about new and exciting technologies and the risks they may pose.” 「また、常に新しくエキサイティングなテクノロジーとそのリスクについて耳にする世界において、企業が基本的なサイバー衛生の実践を見失わないようにすることも本当に重要である」。
Victims that are proactive with reporting can benefit from expert NCSC advice and following this can positively impact the ICO’s response. 積極的に報告する被害者は、NCSCの専門家のアドバイスを受けることができ、これに従うことでICOの対応にプラスの影響を与えることができる。
The blog post also addresses assumptions about data risk, highlighting that a lack of evidence that data has been stolen does not mean theft did not take place, while paying a ransom to criminals to restore services quickly can increase the likelihood of being retargeted and does not guarantee stolen information will not be leaked later. また、ブログ記事では、データリスクに関する仮定についても触れており、データが盗まれたという証拠がないことは、盗まれなかったことを意味しないこと、サービスを迅速に復旧するために犯罪者に身代金を支払うことは、リターゲティングされる可能性を高め、盗んだ情報が後で流出しないことを保証するものではないことを強調している。
The NCSC and ICO recommend that victims are open in the aftermath of an attack, reporting incidents via the government’s cyber reporting service and separately to the ICO to fulfil regulatory responsibilities. They also encourage sharing lessons learned with other organisations to help improve wider awareness and cyber resilience. NCSCとICOは、被害者が攻撃直後にオープンになり、政府のサイバー報告サービスを通じてインシデントを報告し、規制責任を果たすためにICOに個別に報告することを推奨している。また、より広い範囲の認識とサイバー耐性を向上させるために、学んだ教訓を他の組織と共有することを推奨している。
More guidance on how to effectively detect, respond to and resolve cyber incidents can be found on the NCSC website, including dedicated advice on handling ransomware attacks. サイバーインシデントの効果的な検出、対応、解決方法に関する詳しいガイダンスは、ランサムウェア攻撃への対応に関する専用のアドバイスを含め、NCSCのウェブサイトを参照のこと。
The NCSC is not a regulator; it provides support to victim organisations in confidence and does not share information about an incident with the ICO without an organisation’s consent. Victim organisations should report breaches to the ICO. NCSCは規制機関ではない。NCSCは内密に被害者団体に支援を提供し、団体の同意なしにICOとインシデントに関する情報を共有することはない。被害者団体は、違反行為をICOに報告する必要がある。

 

1_20230522230301

 

 

| | Comments (0)

2023.05.22

中国 第1回中国・中央アジアサミット 西安宣言

こんにちは、丸山満彦です。

世間はG7ですが、中国が「第1回中国・中央アジアサミット」を開催していますね。。。中央アジアの5カ国

  1. カザフスタン
  2. キルギス
  3. タジギスタン
  4. トルクメニスタン
  5. ウズベキスタン

と中国が参加しての開催となっていますね。。。

ちなみにスタンはペルシャ語で〜の国とか〜の町とかという意味があると、ペルシャ人の友人がいうとりました。。。

 

20230522-50437

20230522-50702

 

⚫︎中央网安全和信息化委公室 (Cyberspace Administration of China: CAC)

・2023.05.19 习近平主持首届中国-中亚峰会并发表主旨讲话 强调携手建设守望相助、共同发展、普遍安全、世代友好的中国-中亚命运共同体

 

⚫︎外交部

・2023.05.19 习近平主持首届中国—中亚峰会并发表主旨讲话

习近平主持首届中国—中亚峰会并发表主旨讲话 習近平主席、第1回中国・中央アジアサミットを開催、基調講演を行う
2023年5月19日上午,国家主席习近平在陕西省西安市主持首届中国—中亚峰会。哈萨克斯坦总统托卡耶夫、吉尔吉斯斯坦总统扎帕罗夫、塔吉克斯坦总统拉赫蒙、土库曼斯坦总统别尔德穆哈梅多夫、乌兹别克斯坦总统米尔济约耶夫出席。元首们在友好的气氛中全面回顾中国同中亚五国友好交往历史,总结各领域合作经验,展望未来合作方向,一致同意着眼未来,携手构建更加紧密的中国—中亚命运共同体。 2023年5月19日午前、習近平主席は陝西省西安市で第1回中国・中央アジアサミットを開催した。 カザフスタンのトカエフ大統領、キルギスのザパロフ大統領、タジキスタンのラフモン大統領、トルクメニスタンのベルディムハメドフ大統領、ウズベキスタンのミルジヨエフ大統領が出席した。 友好的な雰囲気の中、各国首脳は中国と中央アジア5カ国の友好関係の歴史を包括的に振り返り、各分野の協力経験を総括し、今後の協力の方向性を展望し、将来を見据えてより緊密な中国・中央アジア運命共同体を構築するために協力することに合意した。
5月的西安,花团锦簇,生机盎然。灞河之滨的西安国际会议中心,中国和中亚五国国旗迎风飘扬,与中国—中亚峰会会标交相辉映,千年古都迎来一场历史与未来交融的盛会。 5月の西安は、花と生命に溢れている。 巴河畔の西安国際会議場には、中国と中央アジア5カ国の国旗が、中国・中央アジアサミットのロゴと同じように風になびき、千年の都は歴史と未来が融合したイベントを迎えた。
中亚五国元首相继抵达。习近平同五国元首亲切握手并集体合影。 中央アジア5カ国の首脳が続々と到着した。 習近平は5人の首脳と握手し、集合写真に収まる。
10时许,中国—中亚峰会正式开始。 10時頃、中国・中央アジアサミットは正式にスタートした。
习近平首先代表中国政府和中国人民对五国元首来到西安出席首届中国—中亚峰会表示热烈欢迎。习近平指出,当今世界,百年未有之大变局加速演进,国际和地区形势正在发生深刻复杂变化,机遇和挑战都前所未有。在这个关键历史时刻,我们召开中国—中亚峰会,顺应合作共赢的时代潮流,体现世代友好的人民期盼,必将对中国同中亚国家关系发展产生重要而深远的影响,并具有世界意义。中方愿同各方一道,以西安峰会为契机,总结历史经验,擘画合作蓝图,展现凝聚力、创造力、行动力,共同推动中国—中亚关系行稳致远。 習近平は、中国政府と中国人民を代表して、まず西安で開催される第1回中国・中央アジアサミットに出席する5人の首脳を温かく迎え入れた。 習近平は、今日の世界では、100年ぶりの大きな変化が加速しており、国際情勢や地域情勢が深く複雑に変化し、かつてないほどのチャンスとチャレンジが起きていると指摘した。 この歴史の重要な時期に、我々は中国・中央アジアサミットを開催しているが、これはウィンウィンの協力という時代の流れに沿い、世代を超えた友好という人々の期待を反映しており、中国と中央アジア諸国の関係の発展に重要かつ広範囲な影響を与えることは間違いなく、グローバルな意義を持っている。 中国は、西安サミットを、歴史的経験を総括し、協力の青写真を描き、結束力、創造力、行動力を発揮し、中国・中央アジア関係の安定を共同で促進する機会と捉え、各方面と協力していく用意がある。
习近平发表题为《携手建设守望相助、共同发展、普遍安全、世代友好的中国—中亚命运共同体》的主旨讲话。 習近平は「相互支援、共同発展、普遍的安全保障、世代間友好のための中国・中央アジア運命共同体の構築に向けた協力」と題する基調演説を行った。
习近平指出,西安是中华文明和中华民族的重要发祥地之一,也是古丝绸之路的东方起点。千百年来,中国同中亚各族人民一道推动了丝绸之路的兴起和繁荣,为世界文明交流交融、丰富发展作出了历史性贡献。今天我们在西安相聚,续写千年友谊,开辟崭新未来,具有十分重要的意义。 習近平は、西安が中国文明と中華民族の重要な発祥地の一つであり、古代シルクロードの東の起点であると指摘した。 中国は数千年にわたり、中央アジアの人々とともにシルクロードの興隆と繁栄を促進し、世界の文明の交流と統合、その豊かさと発展に歴史的貢献をしてきた。 今日、私たちが西安で会い、千年の友好を更新し、新しい未来を切り開くことは、大きな意義がある。
习近平指出,2013年,我提出共建“丝绸之路经济带”倡议。10年来,中国同中亚国家携手推动丝绸之路全面复兴,倾力打造面向未来的深度合作,将双方关系带入一个崭新时代。中国同中亚国家关系有着深厚的历史渊源、广泛的现实需求、坚实的民意基础,在新时代焕发出勃勃生机和旺盛活力。 この10年間、中国と中央アジア諸国は手を携えてシルクロードの包括的な復興を推進し、未来に向けた深い協力を構築し、双方の関係を新たな時代へと導いてきた。 中国と中央アジア諸国との関係は、深い歴史的な根を持ち、広範な実践的ニーズと確固たる世論の基盤があり、新時代に入り活気と活力を帯びてきた。
当前,世界之变、时代之变、历史之变正以前所未有的方式展开。中亚处在联通东西、贯穿南北的十字路口。 現在、世界、時代、歴史の変化は、かつてない形で展開されている。 中央アジアは、東西を結び、南北に走る十字路にある。
世界需要一个稳定的中亚。中亚国家主权、安全、独立、领土完整必须得到维护,中亚人民自主选择的发展道路必须得到尊重,中亚地区致力于和平、和睦、安宁的努力必须得到支持。 世界は、安定した中央アジアを必要としている。 中央アジア諸国の主権、安全、独立、領土保全が守られ、中央アジアの人々が自ら選択した発展の道が尊重され、中央アジア地域の平和、調和、静穏のための努力が支持されなければならない。
世界需要一个繁荣的中亚。一个充满活力、蒸蒸日上的中亚,将实现地区各国人民对美好生活的向往,也将为世界经济复苏发展注入强劲动力。 世界は、繁栄する中央アジアを必要としている。 活力と繁栄のある中央アジアは、より良い生活を求める中央アジアの人々の願いをかなえ、世界経済の回復と発展に強い推進力を与えるであろう。
世界需要一个和谐的中亚。团结、包容、和睦是中亚人民的追求。任何人都无权在中亚制造不和、对立,更不应该从中谋取政治私利。 世界は、調和のとれた中央アジアを必要としている。 統一、寛容、調和は、中央アジアの人々が求めるものである。 中央アジアに不和や対立を生み出す権利は誰にもなく、また、そこから政治的利益を得ようともしない。
世界需要一个联通的中亚。中亚有基础、有条件、有能力成为亚欧大陆重要的互联互通枢纽,为世界商品交换、文明交流、科技发展作出中亚贡献。 世界は、つながった中央アジアを必要としている。 中央アジアには、アジアとヨーロッパの重要な相互接続ハブとなり、世界の商品交換、文明交流、科学技術発展に中央アジアが貢献するための基礎、条件、能力がある。
习近平指出,去年,中国和中亚五国宣布建设中国—中亚命运共同体,这是我们在新的时代背景下,着眼各国人民根本利益和光明未来,作出的历史性选择。建设中国—中亚命运共同体,要做到四个坚持: 習近平は、昨年、中国と中央アジア5カ国が中国・中央アジア運命共同体の構築を発表したが、これは新しい時代を背景に、私たち国民の基本的利益と明るい未来を見据えて行った歴史的選択であると指摘した。 中国・中央アジア運命共同体の構築において、我々は4つの原則を堅持しなければならない:
一是坚持守望相助。要深化战略互信,在涉及主权、独立、民族尊严、长远发展等核心利益问题上,始终给予彼此明确、有力支持,携手建设一个守望相助、团结互信的共同体。 第一に、私たちは相互扶助の原則を堅持しなければならない。 戦略的相互信頼を深め、主権、独立、民族の尊厳、長期的発展といった核心的な問題について常に明確かつ強力に支持し、相互支援、連帯、信頼の共同体を構築するために協力しなければならない。
二是坚持共同发展。要继续在共建“一带一路”合作方面走在前列,推动落实全球发展倡议,充分释放传统合作潜力,打造减贫、绿色低碳等新增长点,携手建设一个合作共赢、相互成就的共同体。 第二に、我々は共通の発展を堅持しなければならない。 一帯一路」協力の構築を引き続き主導し、グローバルな開発イニシアティブの実施を推進し、伝統的な協力の潜在力を最大限に引き出し、貧困削減、グリーン、低炭素の分野で新たな成長点を創出し、ウィンウィンの協力と相互達成の共同体を共に構築していかなければならない。
三是坚持普遍安全。要共同践行全球安全倡议,坚决反对外部势力干涉地区国家内政,着力破解地区安全困境,携手建设一个远离冲突、永沐和平的共同体。 第三に、私たちは普遍的な安全保障を堅持しなければならない。 我々は、グローバルな安全保障のイニシアティブの実現に協力し、地域諸国の内政に対する外部勢力の干渉に断固反対し、地域の安全保障のジレンマの解決に努め、紛争のない、恒久平和の共同体を構築するために共に努力しなければならない。
四是坚持世代友好。要践行全球文明倡议,加强治国理政经验交流,深化文明互鉴,筑牢中国同中亚国家人民世代友好的基石,携手建设一个相知相亲、同心同德的共同体。 第四に、世代間友好の原則を堅持することである。 世界文明イニシアティブを実践し、ガバナンスの経験交流を強化し、文明の相互理解を深め、中国と中央アジア諸国の人々の世代を超えた友情の礎を築き、手を携えて相互理解、意思統一の共同体を築き上げるべきである。
习近平强调,这次峰会为中国同中亚合作搭建了新平台,开辟了新前景。中方愿以举办这次峰会为契机,同各方密切配合,将中国—中亚合作规划好、建设好、发展好。 習近平は、サミットが新たなプラットフォームを構築し、中国と中央アジアの協力の新たな展望を切り開いたと強調した。 中国は今回のサミットの開催を契機に、すべての関係者と緊密に協力し、中国と中央アジアの協力を計画し、建設し、良好に発展させることを望んでいる。
一是加强机制建设。中方倡议成立产业与投资、农业、交通、应急管理、教育、政党等领域会晤和对话机制,为各国开展全方位互利合作搭建广泛平台。 第一に、メカニズムの構築を強化する。 中国は産業・投資、農業、交通、緊急管理、教育、政党の各分野で会議と対話メカニズムの構築を開始し、各国間の全面的な互恵協力のための幅広いプラットフォームを構築している。
二是拓展经贸关系。中方将出台更多贸易便利化举措,升级双边投资协定,实现双方边境口岸农副产品快速通关“绿色通道”全覆盖,举办“聚合中亚云品”主题活动,打造大宗商品交易中心。 第二に、経済・貿易関係の拡大である。 中国はより多くの貿易円滑化イニシアチブを導入し、二国間投資協定をアップグレードし、双方の国境交差点で農産物や副産物を迅速に通関するための「グリーンチャンネル」の完全適用を実現し、「中央アジア雲製品の収束」イベントを開催し、商品取引センターを建設していく予定です。
三是深化互联互通。中方将全面提升跨境运输过货量,支持跨里海国际运输走廊建设,推进航空运输市场开放,发展地区物流网络。加强中欧班列集结中心建设,鼓励优势企业在中亚国家建设海外仓,构建综合数字服务平台。 第三に、相互接続を深化させる。 中国は国境を越えた輸送量を包括的に増加させ、カスピ海横断国際輸送回廊の建設を支援し、航空輸送市場の開放を促進し、地域の物流ネットワークを発展させる。 また、中国と欧州の列車連結センターの建設を強化し、有利な企業が中央アジア諸国に海外倉庫を建設することを奨励し、包括的なデジタルサービスプラットフォームを構築する。
四是扩大能源合作。中方倡议建立中国—中亚能源发展伙伴关系,加快推进中国—中亚天然气管道D线建设,扩大双方油气贸易规模,发展能源全产业链合作,加强新能源与和平利用核能合作。 第四に、エネルギー協力の拡大である。 中国は中国・中央アジアエネルギー開発パートナーシップの設立を開始し、中国・中央アジアガスパイプラインラインD線の建設を加速し、双方の石油・ガス貿易の規模を拡大し、エネルギー産業チェーン全体における協力を展開し、新エネルギーと原子力の平和利用における協力を強化した。
五是推进绿色创新。中方愿同中亚国家在盐碱地治理开发、节水灌溉等领域开展合作,共同建设旱区农业联合实验室,推动解决咸海生态危机,支持在中亚建立高技术企业、信息技术产业园。中方欢迎中亚国家参与可持续发展技术、创新创业、空间信息科技等“一带一路”专项合作计划。 第五に、グリーンイノベーションを推進する。 中国は中央アジア諸国と塩害地の管理・開発や節水型灌漑などの分野で協力し、乾燥地農業の共同実験室を共同で建設し、アラル海の生態系危機の解決を促進し、中央アジアのハイテク企業や情報技術工業団地の設立を支持することを望んでいる。 中国は中央アジア諸国が持続可能な開発技術、イノベーションと起業家精神、宇宙情報技術、その他の「一帯一路」プロジェクトに関する特別協力プログラムに参加することを歓迎する。
六是提升发展能力。中方将制定中国同中亚国家科技减贫专项合作计划,实施“中国—中亚技术技能提升计划”,在中亚国家设立更多鲁班工坊,鼓励在中亚的中资企业为当地提供更多就业机会,向中亚国家提供融资支持和无偿援助。 第六に、開発能力の強化。 中国は貧困削減のための科学技術に関する中国と中央アジア諸国の特別協力計画を策定し、中国・中央アジア技術技能向上プログラムを実施し、中央アジア諸国でより多くのルバン工房を設置し、中央アジアの中国出資企業がより多くの現地雇用機会を提供することを奨励し、中央アジア諸国に対して融資支援と償還不要の援助を提供する。
七是加强文明对话。中方邀请中亚国家参与“文化丝路”计划,将在中亚设立更多传统医学中心,加快互设文化中心,继续向中亚国家提供政府奖学金名额,支持中亚国家高校加入“丝绸之路大学联盟”,推动开展“中国—中亚文化和旅游之都”评选活动,办好中国同中亚国家人民文化艺术年,开行面向中亚的人文旅游专列。 第七に、文明間の対話を強化する。 中国は中央アジア諸国に「文化シルクロード」プログラムへの参加を呼びかけ、中央アジアにより多くの伝統医学センターを設置し、文化センターの相互設立を加速し、中央アジア諸国への政府奨学金の提供を続け、中央アジアの大学が「シルクロード大学連合」に参加することを支持し、「中国-中央アジア文化対話」を推進する。 また、「中国・中央アジア文化観光首都」の選定を推進し、中国と中央アジア諸国の文化芸術年を開催し、中央アジアの人文観光特別列車を運行する。
八是维护地区和平。中方愿帮助中亚国家加强执法安全和防务能力建设,支持各国自主维护地区安全和反恐努力,开展网络安全合作。继续发挥阿富汗邻国协调机制作用,共同推动阿富汗和平重建。 第八に、地域の平和を維持する。 中国は、中央アジア諸国が法執行と安全保障、防衛能力構築を強化し、地域の安全保障とテロ対策を維持するための独自の努力を支援し、サイバーセキュリティに関する協力を展開することを望んでいる。 また、アフガニスタンの近隣諸国の調整メカニズムの役割を果たし続け、アフガニスタンの平和的復興を共同で推進していく。
习近平最后指出,中国共产党第二十次全国代表大会明确了全面建成社会主义现代化强国、实现第二个百年奋斗目标、以中国式现代化全面推进中华民族伟大复兴的中心任务。我们愿同中亚国家加强现代化理念和实践交流,推进发展战略对接,为合作创造更多机遇,协力推动六国现代化进程。让我们携手并肩,团结奋斗,积极推进共同发展、共同富裕、共同繁荣,共同迎接六国更加美好的明天! 習近平は最後に、中国共産党第20回全国代表大会が、全面的に強い社会主義現代国家を建設し、第二百年目標を達成し、中国式現代化で中華民族の偉大な若返りを全面的に推進するという中心課題を明確に規定したと指摘した。 我々は中央アジア諸国との近代化理念と実践の交流を強化し、発展戦略のドッキングを推進し、より多くの協力の機会を作り出し、6カ国の近代化プロセスを共に推進することを望んでいる。 手を携えて、共同発展、共同繁栄、共同繁栄を積極的に推進し、共に6カ国のより良い明日を迎えようではありませんか!
中亚五国元首先后发言,感谢中方倡议并成功主办首届中国—中亚峰会,积极评价中亚国家同中国全方位合作取得的丰硕成果。他们表示,中亚国家同中国拥有千年友好和深厚情谊,始终是相互支持、相互信赖的好邻居、好朋友、好伙伴,是中国西出阳关最真挚的故人。当前,中国已经成为保障全球安全稳定和促进科技经济发展的关键力量,同中国合作是各国实现可持续发展不可或缺的重要因素,进一步深化中亚五国同中国的关系符合各国人民共同愿望,符合各国根本和长远利益。中国—中亚峰会为中亚国家同中国合作提供了新平台,引领双方关系进入了新时代。各方欢迎并赞赏中国对中亚友好合作政策,愿继续充分发挥元首外交战略引领作用,做大做强中国—中亚峰会机制,加强顶层设计和统筹规划,深化中亚国家同中国全方位务实合作,为各国人民带来更多福祉,助力各国实现共同发展繁荣,并为促进地区安全稳定作出应有贡献。 中央アジア5カ国の首脳は次々と発言し、中国が主導して第1回中国・中央アジアサミットを成功裏に開催したことに感謝し、中央アジア諸国と中国との全面的な協力の実りある成果について積極的にコメントした。 中央アジア諸国は何千年もの間、中国と良き隣人、友人、パートナーであり、常に相互に支持し、信頼し合っており、西側諸国の中で最も誠実な中国の友人である、と述べた。 現在、中国は世界の安全と安定を確保し、科学技術経済の発展を促進する上で重要な力となっており、中国との協力は各国の持続可能な発展にとって不可欠な要素であり、中央アジア5カ国と中国の関係をさらに深めることは、全人民の共通の願望とその基本的かつ長期的利益に合致する。 中国・中央アジア首脳会議は、中央アジア諸国と中国との協力のための新たなプラットフォームを提供し、両者の関係の新時代を切り開くものである。 双方は中国の中央アジアに対する友好協力政策を歓迎し、評価し、引き続き国家元首の外交の戦略的指導力を十分に発揮し、中国・中央アジアサミットのメカニズムを拡大・強化し、トップレベルの設計と全体計画を強化し、中央アジア諸国と中国の全面的実務協力を深め、各国の国民に多くの利益をもたらし、共通の発展と繁栄の実現を助け、地域の安全・安定推進に貢献したいとしています。 5カ国首脳は、互いへの確固たる支持を表明した。
五国元首表示,坚定支持彼此选择符合本国国情的发展道路,坚定维护各国主权、独立、安全、领土完整等核心利益,坚决反对干涉他国内政。他们高度评价习近平主席提出的构建人类命运共同体理念以及全球安全倡议、全球发展倡议、全球文明倡议,表示将认真落实此次峰会达成的重要共识和成果,以共建“一带一路”倡议提出十周年为契机,加强各自国家发展战略同共建“一带一路”对接,推进地区互联互通,深化贸易投资、农业、能源、科技、安全等领域务实合作,加强人文交流,共同应对挑战,实现合作共赢,构建更加紧密的中国—中亚命运共同体。 5カ国首脳は、互いの国情に即した発展路線の選択を断固として支持し、主権、独立、安全、領土保全という各国の核心的利益をしっかりと守り、他国の内政への干渉に断固として反対することを表明した。 両氏は、習近平主席の人類運命共同体構築の理念や、世界安全保障、世界発展、世界文明のイニシアティブを高く評価し、サミットで得られた重要な合意や成果を真摯に実行し、「一帯一路」イニシアティブ10周年を機に、それぞれの国の発展戦略と「一帯一路」の共同建設の関係を強化すると述べました。 彼らは「一帯一路」イニシアティブ10周年を契機に、それぞれの国家発展戦略と共同で建設する「一帯一路」との連携を強化し、地域の連結を促進し、貿易・投資、農業、エネルギー、科学技術、安全保障などの分野で実務協力を深め、人的交流を強化し、共に課題に取り組み、ウィンウィン協力を実現し、中国-中央アジア運命共同体を緊密に構築すると述べた。
习近平同中亚五国元首签署了《中国—中亚峰会西安宣言》,并通过《中国—中亚峰会成果清单》。 習近平と中央アジア5カ国の首脳は「中国・中央アジアサミット西安宣言」に署名し、「中国・中央アジアサミットの成果リスト」を採択した。
各方商定由哈萨克斯坦于2025年主办第二届中国—中亚峰会,同意在中国设立中国—中亚机制常设秘书处。 また、2025年にカザフスタンが第2回中国・中央アジアサミットを開催することに合意し、中国に中国・中央アジアメカニズムの常任事務局を設置することに合意した。
习近平还同中亚五国元首共同会见了记者。 また、習近平は中央アジア5カ国の首脳とともに記者会見した。
峰会结束后,习近平和中亚五国元首共同种下六棵石榴树,既见证中国同中亚千年友好交往,也象征中国同中亚紧密团结合作,更寄托对中国—中亚关系美好未来的期待。 サミット終了後、習近平と中央アジア5カ国の首脳は共同で6本のザクロの木を植え、中国と中央アジアの友好関係千年を証し、中国と中央アジアの密接な連帯と協力を象徴し、中国と中央アジア関係の明るい未来への期待を高めた。
蔡奇、王毅、秦刚等参加上述活动。 蔡奇、王毅、秦剛は上記の活動に参加した。

 

・2023.05.19 习近平同中亚五国元首共同会见记者

习近平同中亚五国元首共同会见记者 習近平主席、中央アジア5カ国の首脳と記者会見
2023年5月19日,中国—中亚峰会在西安国际会议中心成功举行,国家主席习近平同哈萨克斯坦总统托卡耶夫、吉尔吉斯斯坦总统扎帕罗夫、塔吉克斯坦总统拉赫蒙、土库曼斯坦总统别尔德穆哈梅多夫、乌兹别克斯坦总统米尔济约耶夫共同会见记者。 習近平主席は2023年5月19日、西安国際会議センターで成功裏に開催された中国・中央アジアサミットで、カザフスタンのトカイエフ大統領、キルギスのサパロフ大統領、タジキスタンのラフモン大統領、トルクメニスタンのベルディムハメドフ大統領、ウズベキスタンのミルジョイエフ大統領とともに記者と会見した。
习近平指出,刚才,我同中亚五国元首成功举行中国-中亚峰会。我们回顾了中国中亚友好交往历史,梳理了双方合作成果,总结了成功经验,凝聚了新的共识。我们共同签署了《中国—中亚峰会西安宣言》,通过了峰会成果清单,擘画了未来中国—中亚关系发展蓝图。 習近平は、「たった今、私は中央アジア5カ国の首脳と中国・中央アジアサミットを成功裏に開催した。 我々は中国と中央アジアの友好関係の歴史を振り返り、双方の協力の成果を整理し、成功した経験を総括し、新たな合意を形成した。 我々は中国・中央アジアサミットの西安宣言に署名し、サミットの成果リストを採択し、中国・中央アジア関係の将来の発展のための青写真を描いた。
习近平强调,面对百年未有之大变局,着眼各国人民的根本利益和光明未来,我们决心携手并肩,共迎挑战,构建更加紧密的中国—中亚命运共同体,为推动构建人类命运共同体贡献力量。 習近平は、前世紀の未曾有の変化に直面し、両国民の根本的利益と明るい未来を見据え、我々は協力して課題に取り組み、より緊密な中国・中央アジア運命共同体を構築し、人類運命共同体の推進に貢献する決意だ、と強調した。
我们将在涉及彼此主权、独立、安全、领土完整等核心利益问题上相互坚定支持,尊重彼此根据本国国情选择的发展道路,坚决反对任何势力以任何借口干涉内政。中亚国家充分肯定中国式现代化道路对世界发展的重要意义,重申坚定恪守一个中国原则。 我々は、主権、独立、安全、領土保全など互いの核心的利益に関わる問題について、互いにしっかりとした支援を行い、互いの国情に応じて選択した発展の道を尊重し、いかなる勢力によるいかなる口実での内政干渉にも断固として反対していくつもりである。 中央アジア諸国は、世界の発展における中国式近代化路線の重要性を十分に認識し、一帯一路の原則を堅持することをあらためて表明する。
我们将以共建“一带一路”合作十周年为新起点,加快发展战略对接,推动贸易自由化便利化,扩大产业与投资合作,推进中国—中亚交通走廊建设,支持建立中国—中亚能源发展伙伴关系,鼓励高新技术合作,保障地区粮食安全,共同打造深度互补、高度共赢的合作新格局。 我々は「一帯一路」協力10周年を新たな出発点とし、発展戦略のドッキングを加速し、貿易自由化・円滑化を推進し、産業・投資協力を拡大し、中国・中央アジア輸送回廊の建設を進め、中国・中央アジアエネルギー発展パートナーシップの構築を支持し、ハイテク協力を奨励し、中国・中央アジアエネルギー資源の開発を保証する。 我々は、ハイテク協力を奨励し、地域の食料安全保障を確保し、深い相互補完と高いウィンウィンを実現する新しい協力パターンを共同で構築していく。
我们将全面深化人文交流合作,积极开展体育、考古、旅游、医疗卫生等领域合作,办好中国同中亚国家人民文化艺术年暨中国—中亚青年艺术节活动,推进互设文化中心,扩大人员往来,鼓励青年交流,共同实施“文化丝路”计划。中方愿继续向中亚国家青年学子提供政府奖学金名额,在中亚设立更多鲁班工坊、传统医学中心,帮助各国培养高素质人才。 人文交流と協力を深め、スポーツ、考古学、観光、医療などの分野での協力を積極的に行い、「中国・中央アジア文化芸術年」と「中国・中央アジア青年芸術祭」を開催し、文化センターの相互設立を推進し、人と人との交流を拡大し、青年の交流を奨励し、「文化シルクロード」を共同実施する。 "中国は、中央アジア諸国の青少年に支援を提供し続けることを望んでいる。 中国は、中央アジア諸国の若い学生に政府奨学金を提供し続け、中央アジアでより多くのルバン工房と伝統医学センターを設立し、各国が高い能力を持つ人材を育成することを支援することを望んでいる。
我们将坚决打击一切形式的恐怖主义、分裂主义、极端主义以及毒品走私、跨国有组织犯罪,加强生物安全、网络安全、应急救灾合作,继续帮助阿富汗人民维护安全稳定、实现和平重建,携手建设一个远离冲突、永沐和平的中亚。 我々は、あらゆる形態のテロリズム、分離主義及び過激主義、並びに麻薬密輸及び国際組織犯罪と断固として闘い、バイオセキュリティ、サイバーセキュリティ及び緊急災害救援における協力を強化し、アフガニスタンの人々が安全と安定を維持し平和的復興を達成するのを引き続き支援し、紛争のない、恒久平和の中央アジアを築くために手を携えていく。
我们将恪守联合国宪章宗旨和原则,坚定维护多边主义以及公认的国际法和国际关系准则,维护国际公平正义,推动国际秩序和全球治理体系朝着更加公正合理的方向发展。各方支持并愿积极践行全球发展倡议、全球安全倡议、全球文明倡议,认为这对维护世界和平与发展、促进人类文明进步具有重要意义。 我々は、国連憲章の目的と原則を堅持し、多国間主義及び普遍的に受け入れられた国際法及び国際関係の規範を堅持し、国際的な公正及び正義を守り、国際秩序及びグローバル・ガバナンス体制のより公正かつ合理的な方向への発展を促進する。 締約国は、世界の平和と発展を維持し、人類の文明の進歩を促進するために重要な意義を有すると考える世界開発イニシアティブ、世界安全保障イニシアティブ及び世界文明イニシアティブを支持し、これらを積極的に実施する意思がある。
我们将以举办这次峰会为契机,正式成立中国—中亚元首会晤机制,每两年举办一次,轮流在中国和中亚国家举办。下次峰会将于2025年在哈萨克斯坦举行。我们将加快完善机制建设,在中国设立常设秘书处,以交通、经贸、投资与产业、农业、能源、海关、人文为优先方向,扎实、高效推进六国全方位、深层次合作。 我々は、今回のサミットの開催を契機に、2年に1度、中国と中央アジアの国々で交互に開催される「中国・中央アジア首脳会議」メカニズムを正式に確立する予定である。 次回の首脳会談は2025年にカザフスタンで開催される。 メカニズムの整備を加速し、中国に常設事務局を設置し、交通、貿易・経済、投資・工業、農業、エネルギー、税関、人文などを優先し、6カ国の全面的かつ踏み込んだ協力を堅実かつ効率的に推進する。
习近平指出,这次峰会为各国合作开了一个好头。在大家共同努力下,中国同中亚国家关系的航船一定能够乘风破浪、勇毅前行,为六国发展振兴增添新助力,为地区和平稳定注入强大正能量。 習近平は、今回のサミットが各国間の協力のための良いスタートを切ったことを指摘した。 私たち全員の共同努力により、中国と中央アジア諸国との関係の船は必ずや風波に乗り、勇気を持って前進することができ、6カ国の発展と活性化に新たな原動力を与え、地域の平和と安定に強いプラスのエネルギーを注入することができるだろう。
蔡奇、王毅、秦刚等出席。 蔡奇、王毅、秦剛が出席した。

 

 

・2023.05.19 中国—中亚峰会成果清单(全文)

中国—中亚峰会成果清单(全文) 中国・中央アジアサミットの成果一覧(全文)
2023年5月18日至19日,中国—中亚峰会在陕西省西安市举办。峰会期间,中国同中亚五国达成系列合作共识。 2023年5月18日から19日にかけて、陝西省西安市で中国・中央アジア首脳会議が開催されました。 サミット期間中、中国と中央アジア5カ国は、協力に関する一連のコンセンサスに達した。
一、主要合作共识和倡议 I. 主な協力のコンセンサスとイニシアチブ
1.成立中国—中亚元首会晤机制; 1.中国と中央アジアの首脳会談のメカニズムの確立
2.在重点优先合作领域成立部长级会晤机制; 2.重要な優先協力分野における閣僚級会合メカニズムの確立。
3.研究成立中国—中亚机制常设秘书处的可行性; 3. 中国・中央アジアメカニズムのための常設事務局設置の実現可能性を検討すること。
4.加强共建“一带一路”倡议同中亚五国倡议和发展战略对接; 4. 「一帯一路」イニシアティブと中央アジア5カ国のイニシアティブ及び発展戦略との連携を強化する。
5.挖掘中国—中亚电子商务合作对话机制潜力; 5.電子商取引協力に関する中国・中央アジア対話メカニズムの可能性を探る。
6.推动贸易发展,促进贸易结构多元化,简化贸易程序; 6. 貿易の発展、貿易構造の多様化、貿易手続きの簡素化を促進する。
7.制定中国—中亚新经济对话战略; 7.新しい中国-中央アジア経済対話の戦略を策定する;
8.加快数字和绿色基础设施联通; 8.デジタルとグリーンインフラの接続を加速させる;
9.研究建立绿色投资重点项目数据库的可能性; 9. 主要なグリーン投資プロジェクトのデータベース構築の可能性を研究する。
10.推动落实中国—中亚产业与投资合作青岛倡议; 10. 中国・中央アジア産業・投資協力に関する青島イニシアティブの実施を促進する;
11.升级中国同中亚国家投资协定; 11. 中国と中央アジア諸国との間の投資協定をアップグレードする;
12.逐步有序增开民用客运、货运航班; 12.民間旅客便と貨物便の数を徐々に、秩序正しく増加させる;
13.研究中国—中亚合作商务旅行卡可行性; 13.中国と中央アジアの協力のためのビジネス旅行カードの実現可能性を研究する。
14.对现有口岸设施进行现代化改造; 14. 既存の国境交差点の施設を近代化する。
15.实现边境口岸农副产品快速通关“绿色通道”全覆盖; 15. 国境で農産物や副産物を迅速に通関するための「グリーンチャンネル」の完全な適用を実現する。
16.开展国际贸易“单一窗口”互联互通、促进跨境通关便利化; 16. 国際貿易の「単一の窓口」の相互接続を発展させ、国境を越えた通関の円滑化を促進する。
17.推动中国—中亚交通走廊建设; 17. 中国-中央アジア輸送回廊の建設を促進する。
18.推进途经阿克套港、库雷克港、土库曼巴什港等海港的跨里海运输线路多式联运过境运输,发挥铁尔梅兹市的过境运输潜力; 18. アクタウ、クレク、トルクメンバシなどの海港を経由するカスピ海横断輸送ルートの複合一貫輸送を推進し、ティルメズ市の輸送ポテンシャルを活用する。
19.推进中国—中亚铁路运输; 19. 中国-中央アジアの鉄道輸送を促進する;
20.完善交通基础设施,包括新建和升级改造现有的中国至中亚铁路和公路; 20. 既存の中国-中央アジアの鉄道と道路の建設と改良を含む、輸送インフラの改善。
21.完成中吉乌铁路可研工作,推进该铁路加快落地建设; 21.中・ウルグアイ鉄道のフィージビリティスタディを完了し、同鉄道の着工・建設の加速化を推進する。
22.保障中吉乌公路畅通运行; 22.中・ウルグアイの高速道路の円滑な運用を実現する。
23.实现中塔乌公路和“中国西部-欧洲西部”公路常态化运营; 23.中国-タウラシア-ウクライナ高速道路と「中国西部-西ヨーロッパ」高速道路の定期的な運用を実現する。
24.研究制定从中亚国家往返东南亚和亚洲其他国家最佳过境运输方案的可能性; 24. 中央アジア諸国から東南アジアおよび他のアジア諸国への最適な通過輸送ソリューションの開発の可能性を研究する。
25.增加中国进口中亚农产品种类; 25. 中国が中央アジアに輸入する農産物の範囲を拡大する。
26.发展智慧农业合作,加强节水、绿色和其他高效技术应用和先进经验交流; 26. スマート農業の協力を発展させ、節水、グリーン、その他の効率的な技術の適用と先進的な経験の交換を強化する。
27.推动在荒漠化土地和盐碱地治理开发、节水灌溉、病虫害防治、畜牧兽医等领域开展技术与人才交流合作; 27. 砂漠化土地と塩性土地の管理と開発、節水灌漑、害虫駆除、畜産と獣医学の分野で技術や人材の交流と協力を促進する。
28.在农业现代化、建立城乡生产链等方面开展经验交流,落实减贫措施; 28.農業の近代化、都市と農村の生産チェーンの確立等、貧困削減対策の実施に関する経験交流を行う。
29.加强减贫合作,出台有效社会帮扶政策,开展专家和业务交流; 29. 貧困削減における協力を強化し、効果的な社会扶助政策を導入し、専門家と業務の交換を行う。
30.建立中国—中亚能源发展伙伴关系; 30.中国と中央アジアのエネルギー開発パートナーシップを確立する。
31.保障中国—中亚天然气管道稳定运营; 31. 中国-中央アジアガスパイプラインの安定的な運用を確保する。
32.开展可再生能源领域合作; 32. 再生可能エネルギー分野での協力を発展させる。
33.发展中国同中亚国家地区间合作,促进更多地方结好; 33. 中国と中央アジア諸国の地域間協力を発展させ、よりローカルな結びつきを促進する。
34.开展联合考古、文化遗产保护修复、博物馆交流、流失文物追索返还等合作; 34.共同考古学、文化遺産の保存と修復、博物館交流、失われた文化財の回復と返還における協力を発展させる。
35.中方邀请中亚五国参与实施“文化丝路”计划; 35.中央アジア5カ国が「文化シルクロード」プログラムの実施に参加するよう招請する。
36.研究共同制定中国—中亚旅游线路的可能性; 36.中国と中央アジアの観光ルートの共同開発の可能性を研究する。
37.推动建设中医药中心,开展草药种植及加工合作,打造“健康丝绸之路”; 37. 漢方薬センターの建設、漢方薬の栽培と加工における協力、および「健康のシルクロード」の創設を促進する;
38.支持关于在联合国主导下建立国际生物安全多边专门机构的倡议; 38.国連の支援の下、国際バイオセーフティに関する多国間専門機関を設立するイニシアティブを支持する。
39.启动中国同中亚国家人民文化艺术年暨中国—中亚青年艺术节; 39.中国と中央アジア人民共和国の文化芸術年および中国・中央アジア青少年芸術祭を立ち上げる。
40.推动高校和大学生交流,举办青年文化节、论坛和体育赛事; 40.大学と大学生の交流を促進し、青少年文化祭、フォーラム、スポーツイベントを開催する。
41.各相关方将积极推动互设文化中心; 41.関係者は、文化センターの相互設立を積極的に推進する。
42.中国向中亚国家提供政府奖学金名额,组织相关领域专业人才赴华进修; 42.中国は中央アジア諸国に政府奨学金を提供し、関連分野の専門家のために中国での研修コースを開催する;
43.推进“鲁班工坊”职业教育发展; 43.「ルバンワークショップ」を通じて、職業教育の発展を促進する。
44.拓展人工智能、智慧城市、大数据、云计算等高新技术领域合作; 44.人工知能、スマートシティ、ビッグデータ、クラウドコンピューティングなどのハイテク分野での協力を拡大する。
45.实施绿色措施,减缓气候变化影响; 45. 気候変動の影響を緩和するためのグリーン対策を実施する。
46.发起中国—中亚绿色低碳发展行动,深化绿色发展和应对气候变化领域合作; 46.中国・中央アジアグリーン・低炭素開発イニシアティブを立ち上げ、グリーン開発と気候変動への対処の分野で協力を深める。
47.加强应急管理部门协作,深化防灾减灾、安全生产、应急救援以及地震科学技术等领域交流合作; 47. 緊急管理部門間の連携を強化し、防災・減災、生産安全、緊急救助、地震科学技術の分野での交流と協力を深める。
48.实施绿色技术领域的地区计划和项目; 48. グリーン技術分野における地域プログラムおよびプロジェクトの実施。
49.研究在联合国毒品和犯罪问题办公室参与下制定联合禁毒行动计划的可能性; 49. 国連薬物犯罪事務所の参加を得て、反薬物共同行動計画を策定する可能性を研究する。
50.组织中国和中亚影视节目展映; 50. 中国と中央アジアの映画とテレビ番組の展示会を開催する。
51.加强中国—中亚大众传媒交流合作; 51.中国と中央アジアのマスメディアの交流と協力の強化。
52.积极践行全球发展倡议、全球安全倡议和全球文明倡议; 52. 「世界開発イニシアティブ」、「世界安全保障イニシアティブ」、「世界文明イニシアティブ」を積極的に実施する。
53.落实中国同中亚五国视频峰会共识路线图(2022-2025年); 53.中国と中央アジア5カ国のビデオサミットの合意に向けたロードマップを実施する(2022-2025年)。
54.2025年在哈萨克斯坦举办第二届中国—中亚峰会。 54.2025年にカザフスタンで第2回中国・中央アジアサミットを開催する。
二、中方倡议成立的多边合作平台 II.中国の主導で設立された多国間協力プラットフォーム
1.中国—中亚外长会晤机制; 1.中国・中央アジア外相会議メカニズム
2.中国—中亚经贸部长会议机制; 2.中国・中央アジア経済貿易大臣会合のメカニズム
3.中国—中亚产业与投资部长级会晤机制; 3.中国・中央アジア産業・投資閣僚会議
4.中国—中亚农业部长会晤机制; 4.中国・中央アジア農業大臣会合
5.中国—中亚应急管理合作机制; 5.中国・中央アジア緊急事態管理協力メカニズム
6.中国—中亚交通部长会晤机制; 6.中国・中央アジア交通大臣会合
7.中国—中亚教育部长会议机制; 7.中国・中央アジア教育大臣会合メカニズム
8.中国—中亚能源合作机制; 8.中国・中央アジアエネルギー協力メカニズム
9.中国—中亚海关署长会晤机制; 9.中国・中央アジア税関管理者会議
10.中国—中亚政党对话会; 10.中国・中央アジア政党ダイアローグ
11.中国—中亚行政院校合作网络; 11.中国・中央アジア行政機関連携ネットワーク;
12.中国—中亚实业家委员会; 12.中国・中央アジアビジネス協議会
13.中国—中亚合作论坛; 13.中国・中央アジア協力フォーラム
14.中国—中亚地方合作论坛; 14.中国・中央アジア地域協力フォーラム;
15.中国—中亚产业与投资合作论坛; 15.中国・中央アジア産業・投資協力フォーラム;
16.中国—中亚智库论坛; 16.中国・中央アジア・シンクタンク・フォーラム
17.中国—中亚电子商务合作对话机制; 17.中国・中央アジア電子商取引協力対話メカニズム;
18.中国—中亚健康产业联盟; 18.中国・中央アジア健康産業連合会;
19.中国—中亚通讯社论坛。 19.中国・中央アジア通信社フォーラム
三、峰会框架内的多边合作文件 III.サミットの枠組みにおける多国間協力文書
1.《中国—中亚峰会西安宣言》; 1.中国・中央アジアサミットの西安宣言
2.《关于“中国—中亚五国”产业与投资合作的谅解备忘录》; 2.中国と中央アジア5カ国との産業・投資協力に関する了解覚書
3.《“中国—中亚五国”经贸部门关于加强经贸合作的谅解备忘录》; 3.「中国・中央アジア5カ国」の経済・貿易部門間の経済・貿易協力の強化に関する覚書
4.《“中国—中亚五国”经贸部门关于数字贸易领域合作的谅解备忘录》; 4.「中国・中央アジア5カ国」の経済・貿易部門間のデジタル貿易分野の協力に関する覚書
5.《“中国—中亚五国”相关部门关于推动基础设施和工程建设合作发展的谅解备忘录》; 5.「中国・中央アジア5カ国」の関係当局間のインフラ整備とエンジニアリング建設における協力の促進に関する覚書
6.《“中国—中亚五国”农业部长会议机制谅解备忘录》; 6.「中国・中央アジア5カ国」の農業大臣会合のメカニズムに関する覚書;
7.《“中国—中亚五国”海关署长会晤机制工作章程》; 7.「中国・中央アジア5カ国」税関長会議メカニズムの業務規程
8.《“中国—中亚五国”合作机制下动植物检疫主管机构间关于进出境动植物检疫技术合作谅解备忘录》; 8.「中国・中央アジア5カ国」動植物検疫の出入国に関する協力メカニズムの下での管轄動植物検疫当局間の技術協力に関する覚書
9.《关于成立中国—中亚实业家委员会的谅解备忘录》。 9.中国・中央アジア産業人委員会の設立に関する覚書。

 

 

・2023.05.19 中国—中亚峰会西安宣言(全文)

中国—中亚峰会西安宣言(全文) 中国・中央アジアサミットの西安宣言(全文)
2023年5月18日至19日,中华人民共和国主席习近平、哈萨克斯坦共和国总统托卡耶夫、吉尔吉斯共和国总统扎帕罗夫、塔吉克斯坦共和国总统拉赫蒙、土库曼斯坦总统别尔德穆哈梅多夫、乌兹别克斯坦共和国总统米尔济约耶夫在西安共同举行中国—中亚峰会。 2023年5月18日から19日にかけて、中華人民共和国の習近平主席、カザフスタン共和国のトカエフ大統領、キルギス共和国のザパロフ大統領、タジキスタン共和国のラフモン大統領、トルクメニスタンのベルディムハメドフ大統領、ウズベキスタン共和国のミルジヨエフ大統領は共同で習安で中国-中央アジアサミットを開催し .
各方在热烈、友好和相互理解的气氛中全面回顾中国同中亚五国友好交往历史,总结各领域互利合作经验,展望未来合作方向,并声明如下: 温かな友情と相互理解の雰囲気の中で、両者は中国と中央アジア5カ国との友好関係の歴史を包括的に振り返り、各分野における互恵協力の経験を総括し、今後の協力の方向性を展望し、次のことを宣言した:
一、各方一致认为,中国同中亚五国保持富有成效的全方位合作,符合六国和六国人民的根本利益。面对百年未有之大变局,着眼地区各国人民未来,六国决心携手构建更加紧密的中国—中亚命运共同体。 1.中国と中央アジア5カ国が実りある全面的な協力を維持することは、6カ国とその国民の根本的な利益になることに、すべての締結国が同意する。 前世紀の未曾有の変化に直面し、この地域の人々の将来を見据え、6カ国は、より緊密な中国-中央アジア運命共同体を構築するために協力することを決意する。
二、各方宣布,以举办此次峰会为契机,中国—中亚元首会晤机制正式成立。峰会每两年举办一次,中国为一方,中亚国家按国名首字母排序为另一方,双方轮流举办。各方愿充分发挥元首外交的战略引领作用,加强对中国同中亚国家关系发展的顶层设计和统筹规划。 2.当事国は、今回のサミットを機に、中国・中央アジア首脳会議メカニズムが正式に設立されたことを発表した。 首脳会談は2年に1度、一方を中国、他方をアルファベット順の中央アジア諸国とし、交互に開催する予定である。 双方は、国家元首外交の戦略的指導の役割を十分に発揮し、中国の中央アジア諸国との関係発展のためのトップレベルの設計と全体的な計画を強化したい。
各方将加快推进中国—中亚机制建设,在重点优先合作领域尽快成立部长级会晤机制,充分发挥本国外交部门作用,研究成立常设秘书处可行性,全方位推动中国—中亚合作和相关机制建设。 締結国は、中国・中央アジアメカニズムの構築を加速し、重要な優先協力分野における閣僚級会議をできるだけ早期に立ち上げ、両国の外交部の役割を十分に発揮し、常設事務局の設置の可能性を検討し、中国・中央アジア協力及び関連メカニズムをあらゆる面で推進する。
三、各方重申,在涉及彼此核心利益问题上互予理解和支持。中方坚定支持中亚国家选择的发展道路,支持各国维护国家独立、主权和领土完整以及采取的各项独立自主的内外政策。 3.すべての締結国は、互いの核心的利益に関連する問題についての相互理解と支持を再確認する。 中国は、中央アジア諸国が選択した発展の道と、各国が民族の独立、主権及び領土保全を守るために採用した自主的な内政及び外交政策を断固として支持する。
中方支持中亚国家间加强合作,高度评价中亚国家元首协商会晤机制,认为该机制是维护地区安全、稳定和可持续发展的重要因素,高度评价中亚国家为维护地区及世界和平发展所作重大贡献。 中国は、中央アジア諸国間の協力の強化を支持し、地域の安全、安定及び持続可能な発展を維持するための重要な要素である中央アジア首脳間の協議会議のメカニズム、並びに地域及び世界の平和及び発展の維持に対する中央アジア諸国の重要な貢献を高く評価する。
中亚国家高度评价中国共产党的宝贵治国理政经验,肯定中国式现代化道路对世界发展的重要意义。中亚国家重申恪守一个中国原则。 中央アジア諸国は、中国共産党の統治における貴重な経験を高く評価し、世界の発展にとって中国式の近代化路線が重要であることを確認した。 中央アジア諸国は、一帯一路の原則を堅持することを再確認した。
四、各方一致认为,维护国家安全、政治稳定和宪法制度意义重大,坚决反对破坏合法政权和策动“颜色革命”,反对以任何形式和任何借口干涉他国内政。 4. 締結国は、国家の安全、政治的安定及び憲法制度を維持することの重要性に同意し、正当な政権を弱体化させ、「カラー革命」を扇動すること、並びにいかなる形式及び口実によっても他国の内政に干渉することに断固として反対する。
各方强调,民主是全人类的共同追求和价值。自主选择发展道路和治理模式是一国主权,不容干涉。 両党は、民主主義が全人類共通の追求であり価値であることを強調する。 自国の発展の道と統治様式を選択することは、一国の主権的権利であり、干渉の余地はない。
各方认为,立法机构交往对促进和平、安全与稳定的全球合作具有重要作用。 締結国は、立法機関との交流が、平和、安全及び安定した世界的協力を促進する上で重要な役割を果たすと信じる。
五、各方高度评价共建“一带一路”倡议对引领国际合作的重要意义,将以共建“一带一路”倡议提出十周年为新起点,加强“一带一路”倡议同哈萨克斯坦“光明之路”新经济政策、吉尔吉斯斯坦“2026年前国家发展纲要”、塔吉克斯坦“2030年前国家发展战略”、土库曼斯坦“复兴丝绸之路”战略、“新乌兹别克斯坦”2022-2026年发展战略等中亚五国倡议和发展战略对接,深化各领域务实合作,形成深度互补、高度共赢的合作新格局。 締結国は、国際協力をリードする「一帯一路」イニシアティブの重要性を高く評価する。締結国は、「一帯一路」イニシアティブの10周年を新たな出発点とし、「一帯一路」イニシアティブとカザフスタンの「明るい道」新経済政策、キルギスの「2026年までの国家開発計画」、タジキスタンの「2030年までの国家開発計画、トルクメニスタンの「シルクロード更新戦略"2022-2026年、新ウズベキスタン開発戦略 "など、中央アジア5カ国の取り組みや開発戦略が鎬を削っており、 我々は、様々な分野での実践的な協力を深め、深い相互補完と高いウィンウィンを実現する新しい協力のパターンを形成していく。
六、各方认为中国同中亚国家经贸合作潜力巨大,愿充分发挥中国—中亚经贸部长会议机制作用,全面提升贸易规模。挖掘中国—中亚电子商务合作对话机制潜力,拓展数字贸易、绿色经济等新兴领域合作。 6. 締結国は、中国と中央アジア諸国の経済貿易協力には大きな潜在力があると考え、中国・中央アジア経済貿易閣僚会議のメカニズムを十分に発揮し、貿易規模を全面的に拡大することを希望する。 電子商取引協力に関する中国・中央アジア対話メカニズムの可能性を探り、デジタル貿易やグリーン経済などの新興分野での協力を拡大する。
各方愿提升经贸合作的质量和水平,持续推动贸易发展,促进贸易结构多元化,简化贸易程序。 締結国は,経済貿易協力の質とレベルを高め,貿易の発展を引き続き促進し,貿易構造の多様化を促進し,貿易手続を簡素化することを望んでいる。
各方注意到共同制定中国—中亚新经济对话战略的重要性,包括采取相应举措保障贸易畅通,扩大各国产品供应量,建立产业合作共同空间。 締結国は、円滑な貿易の流れを確保し、各国の製品の供給を拡大し、産業協力のための共通の空間を確立するための対応するイニシアティブを含む、新しい中国・中央アジア経済対話のための戦略を共同で策定することの重要性に留意する。
各方愿推动基础设施和工程建设合作发展,加快数字和绿色基础设施联通,共同推进基础设施和工程建设合作可持续发展。各方愿研究建立绿色投资重点项目数据库的可能性。 締結国は、インフラ及びエンジニアリング建設協力の発展を促進し、デジタル及びグリーンインフラ接続を加速し、インフラ及びエンジニアリング建設協力の持続可能な発展を共同で促進することに意欲的である。 締結国は、主要なグリーン投資プロジェクトのデータベースの構築の可能性を検討する用意がある。
各方宣布成立中国—中亚实业家委员会,支持贸促机构、商协会及相关组织在贸易投资促进方面密切合作,为促进中国同中亚国家经贸合作发展发挥更大作用。 締結国は、中国・中央アジアビジネス協議会の設立を発表し、貿易・投資促進における貿易促進機関、ビジネス協会及び関連組織の緊密な協力を支持し、中国と中央アジア諸国の経済・貿易協力の発展の促進においてより大きな役割を果たす。
各方愿定期举办中国—中亚产业与投资合作论坛,升级中国同中亚国家投资协定,鼓励扩大产业合作,提升地区产业发展水平,维护地区产业链、供应链的稳定和效率,创造共同价值链,鼓励提高本国外商投资政策的稳定性、公平性、透明度、可持续性,持续打造市场化、更具吸引力的投资和营商环境。 締結国は、中国・中央アジア産業・投資協力フォーラムを定期的に開催し、中国と中央アジア諸国との間の投資協定をアップグレードし、産業協力の拡大を奨励し、地域の産業発展を強化し、地域の産業チェーンとサプライチェーンの安定性と効率性を維持し、共通のバリューチェーンを構築し、それぞれの外国投資政策の安定性や公平性、透明性、持続性を高めることを奨励し、引き続き建設することに意欲がある。 を段階的かつ秩序的に増加させることに合意した。
七、各方商定逐步有序增开航班,研究中国—中亚合作商务旅行卡等人员往来便利化举措可行性。加快推进现有口岸设施现代化改造,研究增开口岸,实现边境口岸农副产品快速通关“绿色通道”全覆盖,开展国际贸易“单一窗口”互联互通、优化口岸营商环境、促进跨境通关便利化等合作交流,积极发展地区物流网络。 7.締結国は、航空便の数を徐々にかつ秩序立てて増加させ、人の移動を促進するための中国-中央アジア協力ビジネス旅行カード及びその他のイニシアティブの実現可能性を研究することに合意した。 締約国は,既存の港湾施設の近代化を加速し,追加の港湾の開設を検討し,国境港における農産物及び副産物の迅速な通関のための「グリーンチャンネル」の完全な適用を実現し,国際貿易の「単一の窓口」の相互接続に関する協力及び交流を行い,港におけるビジネス環境を最適化し国境を越えた通関の円滑化を促進し,地域の物流を積極的に開発することに同意した。 締結国は、地域の物流ネットワークの重要な構成要素としての中央アジアの役割を強化することの重要性を強調する。
各方强调,应巩固中亚作为欧亚大陆交通枢纽的重要地位,加快推进中国—中亚交通走廊建设,发展中国—中亚-南亚、中国—中亚-中东、中国—中亚-欧洲多式联运,包括中-哈-土-伊(朗)过境通道,途经阿克套港、库雷克港、土库曼巴什港等海港的跨里海运输线路,发挥铁尔梅兹市的过境运输潜力。 締結国は、中央アジアがユーラシア大陸の輸送ハブとしての重要な地位を固め、中国-中央アジア間の輸送回廊の建設を加速し、中国-中央アジア-南アジア、中国-中央アジア-中東及び中国-中央アジア-欧州の複合輸送を開発すべきであることを強調する。 中国-カザフスタン-トルコ-イランの輸送回廊、アクタウ、クレク、トルクメンバシの海港を経由するカスピ海横断輸送ルート、ティルメズ市の通過輸送の可能性の開発を含む中央アジア-欧州の複合輸送がある。 締結国は、輸送インフラを改善し、テルメズ市の潜在能力を活用するために協力することを望んでいる。
各方愿共同完善交通基础设施,包括新建和升级改造现有的中国至中亚铁路和公路。 締約国は、中国から中央アジアへの既存の鉄道及び道路の建設及び改良を含む輸送インフラの改良のために協力することを希望する。
各方指出完成中吉乌铁路可研工作的重要性,将推进该铁路加快落地建设。各方同时指出,建设中哈塔城-阿亚古兹铁路以及保障中吉乌公路畅通运行,实现中塔乌公路和“中国西部-欧洲西部”公路常态化运营具有重要意义。 締結国は、中・ウルグアイ鉄道の事業化調査を完了することの重要性に留意し、その建設の迅速な実施を促進する。 締結国はまた、中国-カザフスタン-タシュケント-アヤグズ鉄道を建設し、中国-義烏高速道路の円滑な運用及び中・ウルグアイ高速道路及び「中国西部-西ヨーロッパ」高速道路の定期的な運用を確保する重要性に留意する。
各方指出,研究制定从中亚国家往返东南亚和亚洲其他国家的最佳过境运输方案具有重要意义。 締結国は、中央アジア諸国から東南アジア及び他のアジア諸国への最適な通過輸送ソリューションを開発することの重要性に留意する。
各方将采取有效举措提升包括边境口岸在内的过货量,构建中国同中亚全方位、复合型、立体化、绿色低碳、可持续的交通基础设施体系。 締約国は、国境通過を含む通過交通量を増加させ、中国と中央アジアとの間の包括的、複雑、三次元的、グリーン、低炭素及び持続可能な交通インフラシステムを構築するための効果的な措置を講じるものとする。
八、各方愿深挖中国同中亚国家农业合作潜力,促进农畜产品贸易。中方愿增加进口中亚农产品的种类。 8.締結国は,中国と中央アジア諸国との間の農業協力の可能性を深め,農畜産物の貿易を促進することに意欲的である。 中国は、中央アジアに輸入される農産物の種類を増やすことに意欲的である。
各方愿积极发展智慧农业,加强节水、绿色和其他高效技术应用和先进经验交流。 締結国は,スマート農業を積極的に発展させ,節水,グリーン及びその他の効率的な技術の適用及び先進的な経験の交換を強化することに意欲的である。
各方愿推动在荒漠化土地和盐碱地治理开发、节水灌溉、病虫害防治、畜牧兽医等领域开展技术与人才交流合作,增强农业系统可持续发展韧性。 締約国は、砂漠化土地及び塩性土地の管理及び開発、節水型灌漑、害虫駆除、畜産及び獣医学の分野における技術及び人材の交流及び協力を促進し、持続可能な開発のための農業システムの弾力性を高めることに意欲的である。
各方欢迎2023年在乌兹别克斯坦举行国际粮食安全会议的倡议,注意到在气候变化背景下于2023年3月9日至10日在阿什哈巴德举行的国际粮食安全合作会议成果。 締約国は、2023年にウズベキスタンで食料安全保障に関する国際会議を開催するイニシアティブを歓迎し、2023年3月9日から10日にかけてアシガバートで開催される「気候変動の文脈における食料安全保障のための協力に関する国際会議」の結果に留意する。
各方重申愿共同努力保障气候变化条件下的粮食安全,指出以保护生物多样性、合理利用水资源和土地资源等更加生态的方式开展农业的重要性。 締約国は、気候変動の文脈における食料安全保障を確保するために協力する意思を再確認し、生物多様性の保全及び水・土地資源の合理的利用を含む、農業に対するより生態的なアプローチの重要性に留意した。
各方指出共同完善在减少贫困、提高就业、增加收入和创造劳动岗位等方面政策的重要性,愿加强上述领域合作,出台有效社会帮扶政策,开展专家和业务交流。 締約国は、貧困の削減、雇用の増加、所得の増加及び雇用の創出のための政策を共同で改善することの重要性に留意し、これらの分野における協力を強化し、効果的な社会支援政策を導入し、専門家及び業務交流を実施する意思を表明した。
九、各方支持建立中国—中亚能源发展伙伴关系,扩大能源全产业链合作,进一步拓展石油、天然气、煤炭等传统能源领域合作,加强水力、太阳能、风能等可再生能源合作,深化和平利用核能合作,实施绿色技术、清洁能源等项目,践行创新、协调、绿色、开放、共享的发展理念。 9. 締結国は、中国・中央アジアエネルギー開発パートナーシップの設立、エネルギー産業チェーン全体における協力の拡大、石油、天然ガス、石炭などの伝統的エネルギー分野における協力の更なる拡大、水力、太陽光、風力などの再生可能エネルギーにおける協力の強化、原子力平和利用における協力の深化、グリーン技術・クリーンエネルギープロジェクトの実施、革新、協調、グリーン、開放という開発コンセプトの実践を支持し 締約国は、エネルギーの安定供給が国の発展にとって不可欠であることを指摘した。
各方指出稳定的能源供应对发展经贸投资合作的重要性,支持加快中国—中亚天然气管道D线建设。 締結国は、経済、貿易及び投資協力の発展にとってエネルギーの安定供給が重要であることに留意し、中国-中央アジアガスパイプラインラインD線の建設の加速を支持する。
各方指出,能源合作是本地区可持续发展的重要组成部分。 締約国は、エネルギー協力が地域の持続可能な発展のための重要な要素であることに留意する。
各方注意到关于制定旨在发展低碳能源的联合国战略,以及在联合国主导下制定优先发展氢能国际合作路线图的倡议。 締約国は、低炭素エネルギーの開発を目的とする国連戦略を策定し、国連の支援の下、水素エネルギーの優先的開発に関する国際協力のためのロードマップを策定するイニシアティブに留意する。
十、各方愿继续巩固教育、科学、文化、旅游、考古、档案、体育、媒体、智库等人文合作,推动地方省州(市)交流,促进更多地方结好,丰富青年交流形式,开展联合考古、文化遗产保护修复、博物馆交流、流失文物追索返还等合作。 10.締約国は、教育、科学、文化、観光、考古学、公文書館、スポーツ、メディア、シンクタンクにおける文系協力を引き続き強化し、地方の省・州(市)間の交流を促進し、より地域のつながりを育み、青年交流の形態を豊かにし、共同考古学、文化遺産の保存・修復、博物館交流、失われた文化財の回復・返還における協力を実施したいとしている。
中方邀请中亚五国参与实施“文化丝路”计划,促进民心相通。 中国は、中央アジア5カ国に対し、人と人との交流を促進する「文化のシルクロード」プログラムの実施に参加するよう呼びかけた。
各方指出进一步加强旅游合作和共同制定中国—中亚旅游线路的重要性。 締約国は、観光協力をさらに強化し、中国-中央アジア間の観光ルートを共同開発することの重要性に留意した。
各方认为应进一步深化卫生医疗合作,推进中医药中心建设,开展草药种植及加工合作,打造“健康丝绸之路”。 締結国は,保健医療協力を更に深め,漢方薬センターの建設を促進し,漢方薬の栽培及び加工における協力を発展させ,「健康のシルクロード」を建設することに合意した。
各方指出在生物安全、危险传染病预防等领域扩大合作的重要性,支持关于在联合国主导下建立国际生物安全多边专门机构的倡议。 締約国は、バイオセキュリティ及び危険な感染症の予防の分野における協力を拡大することの重要性に留意し、国連の支援の下、国際バイオセキュリティのための特別多国間機関を設立するイニシアティブを支持した。
各方强调加强人文合作、促进民心相通具有重要意义,欢迎中国同中亚国家人民文化艺术年暨中国—中亚青年艺术节启动。 締結国は、人文科学の協力を強化し、人と人との接触を促進することの重要性を強調し、中国と中央アジア諸国との間の文化芸術年及び中国・中央アジア青少年芸術祭の開始を歓迎する。
各方支持推动高校和大学生交流,支持举办青年文化节、论坛和体育赛事。 締結国は、大学と大学生の交流の促進、青少年文化祭、フォーラム、スポーツ大会の開催を支持する。
各相关方将积极推动互设文化中心。中方愿继续向中亚国家提供政府奖学金名额,组织相关领域专业人才赴华参训、进修和交流。各方愿促进“鲁班工坊”职业教育发展。 関係締結国は、文化センターの相互設立を積極的に推進する。 中国は、中央アジア諸国への政府奨学金の提供を継続し、中国における関連分野の専門家のための研修、進学、交流を組織することを希望する。 締結国は、「ルバン工房」を通じて職業教育の発展を促進することを希望する。
各方鼓励拓展人工智能、智慧城市、大数据、云计算等高新技术领域合作。 締結国は、人工知能、スマートシティ、ビッグデータ及びクラウドコンピューティング等のハイテク分野における協力の拡充を奨励する。
十一、各方重申《联合国气候变化框架公约》及其《巴黎协定》作为国际社会合作应对气候变化的主渠道地位和基本法律遵循,强调各国应恪守《公约》及其《巴黎协定》目标、原则和制度框架,特别是共同但有区别的责任原则,推动《巴黎协定》全面有效实施,共同构建公平合理、合作共赢的全球气候治理体系。 11. 締約国は、気候変動に対処するための国際協力の主要なチャンネル及び基本的な法的指針としての国連気候変動枠組条約及びそのパリ協定の地位を再確認し、すべての国が条約及びそのパリ協定の目的、原則及び制度的枠組み、特に共通だが差異ある責任の原則を遵守し、パリ協定の完全かつ有効な実施を促進し、公正かつ合理的、協調的かつウィンウィンを共同で構築すべきことを強調し 締約国は、公正かつ合理的で、協力的で、かつウィンウィンであるグローバルな気候ガバナンスシステムの確立を支持する。
各方支持在气候变化适应和可持续发展领域开展更紧密的合作,强调共同实施绿色措施是减缓气候变化影响的有效途径。 締約国は、気候変動への適応及び持続可能な開発の分野におけるより緊密な協力を支持し、グリーン措置の共同実施が気候変動の影響を緩和するための有効な方法であることを強調する。
各方愿加强应急管理部门协作,深化防灾减灾、安全生产、应急救援以及地震科学技术等领域交流合作。 締約国は、緊急事態管理分野における協力を強化し、防災・減災、生産安全、緊急救助、地震科学・技術の分野における交流・協力を深めることを希望する。
中方欢迎2022年7月21日在吉尔吉斯斯坦乔蓬阿塔举行的中亚国家元首协商会晤上通过的中亚《绿色议程》地区方案,各方支持实施绿色技术领域的地区计划和项目。 中国は、2022年7月21日にキルギスのチョポン・アッタで開催された中央アジア首脳協議会議で採択された中央アジアのグリーンアジェンダの地域プログラムを歓迎し、締約国は、グリーン技術分野における地域計画及びプロジェクトの実施を支持する。
各方指出,2021年11月联合国教科文组织第41届大会通过的由吉尔吉斯斯坦提交的“加强山地冰川监测研究”决议、第76届联合国大会关于宣布2022年为“国际山地可持续发展年”的决议及第77届联合国大会“山地可持续发展”决议宣布在2023年至2027年实施《山区发展五年纲要》具有重要意义,高度评价2022年9月19日在纽约举行的山地可持续发展高级别会议对加强山地议题国际合作与落实的重要作用。 締約国は、2021年11月の第41回ユネスコ総会で採択され、キルギスが提出した「山岳氷河のモニタリングに関する研究の強化」に関する決議、2022年を「持続可能な山岳開発の国際年」と宣言することに関する第76回国連総会決議、2022年を「持続可能な山岳開発の国際年」と宣言することに関する第77回国連総会決議に留意しつつ "2022年を持続可能な山岳開発の国際年と宣言することに関する第76回国連総会決議及び2023年から2027年までの山岳開発のための5年枠組みの実施を宣言する「持続可能な山岳開発」に関する第77回国連総会決議は、非常に重要である。 締約国は、2022年9月19日にニューヨークで開催された「持続可能な山の開発に関するハイレベル会合」が、山の問題に関する国際協力と実施を強化する上で重要であることに留意する。
各方指出,塔吉克斯坦提交的关于宣布2025年为国际冰川保护年的联合国大会决议具有重要意义,高度评价2023年3月22日至24日由塔吉克斯坦和荷兰在纽约联合主办的联合国水事会议。 締約国は、タジキスタンが提出した2025年を国際氷河保護年とする宣言に関する国連総会決議の重要性に留意し、2023年3月22日から24日までニューヨークでタジキスタンとオランダが共催する国連水会議を評価する。
各方欢迎关于在阿什哈巴德建立由联合国主导的中亚气候技术地区中心并将其作为适应和减缓气候变化影响技术转让平台的倡议。 締約国は、気候変動の影響に対する適応及び緩和のための技術移転のためのプラットフォームとして、国連主導の中央アジア気候技術地域センターをアシガバトに設立するイニシアティブを歓迎する。
各方注意到乌兹别克斯坦倡议的关于宣布咸海地区为生态创新和科技区联大特别决议的重要性。 締約国は、ウズベキスタンが主導した、アラル海地域をエコ・イノベーション、科学技術ゾーンとする宣言に関する特別総会決議の重要性に留意する。
各方注意到关于在阿拉木图建立联合国可持续发展目标中亚及阿富汗地区中心的倡议。 締約国は、アルマトイに中央アジア及びアフガニスタンのための持続可能な開発目標のための国連地域センターを設立するイニシアティブに留意する。
十二、各方认为,一个稳定、发展和繁荣的中亚符合六国和世界人民的共同利益。 12. 締約国は、安定し、発展し、かつ、繁栄する中央アジアが、6か国及び世界の人々の共通の利益となることを信じる。
各方强烈谴责一切形式的恐怖主义、分裂主义和极端主义,愿合力打击“三股势力”、毒品走私、跨国有组织犯罪、网络犯罪等活动,加强重点项目、大型活动安保经验交流,保障战略性合作项目安全稳定运营,共同应对安全威胁。 締約国は、あらゆる形態のテロリズム、分離主義及び過激主義を強く非難し、「3つの力」、麻薬密売、国際組織犯罪及びサイバー犯罪と闘い、重要プロジェクト及び大規模イベントのセキュリティに関する経験の交換を強化し、戦略的協力プロジェクトの安全かつ安定した運営を確保し、セキュリティの脅威に共同で対処するために協力する準備がある。
各方注意到2022年10月18日至19日在塔吉克斯坦杜尚别举行了“打击恐怖主义和防止恐怖分子流窜的国际和地区安全与边境管控合作”高级别会议。 締約国は、2022年10月18日から19日にかけてタジキスタンのドゥシャンベで開催された、テロとの闘い及びテロリストの移動の防止における国際及び地域の安全保障及び国境管理の協力に関するハイレベル会議に留意する。
各方重申包容性对话对发展国家关系的重要作用,指出土方提出的将2023年定为“国际对话保障和平年”的倡议是推进国际社会维护和平、增进互信的重要手段。 締約国は、国家関係の発展における包括的な対話の重要な役割を再確認し、2023年を「平和のための国際対話の年」とするトルコのイニシアティブが、平和を維持し相互信頼を高めるための国際社会の努力を促進する重要な手段であることを指摘した。
各方欢迎“撒马尔罕团结倡议——为了共同安全与繁荣”,该倡议旨在维护和平与稳定、开展广泛的国际合作、促进人类可持续发展。 締結国は、平和と安定の維持、広範な国際協力の発展、持続可能な人間開発の促進を目的とする「サマルカンド連帯イニシアティブ-共通の安全と繁栄のために」を歓迎する。
各方愿继续同国际社会一道,帮助阿富汗人民维护和平稳定、重建社会基础设施、融入地区和世界经济体系。 締結国は、アフガニスタンの人々が平和と安定を維持し、社会基盤を再建し、地域及び世界の経済システムに統合することを支援するために、国際社会と引き続き協力する用意がある。
各方强调推动阿富汗建立各民族和政党广泛参与的包容性政府的重要性。 締約国は、アフガニスタンにおいて、すべての民族及び政党が広く参加する包括的な政府の樹立を促進することの重要性を強調する。
各方注意到关于在联合国支持下建立国际谈判小组的倡议。 締約国は、国連の支援を受けて国際交渉団を設置するイニシアティブに留意する。
各方支持把阿富汗建成一个和平、稳定、繁荣,免受恐怖主义、战争和毒品威胁的国家。 締約国は、テロリズム、戦争及び麻薬の脅威から解放された平和で安定し繁栄するアフガニスタンの確立を支持する。
各方指出应合力打击毒品走私,研究在联合国毒品和犯罪问题办公室参与下制定联合禁毒行动计划的可能性。 締約国は、麻薬取引と闘うために共同の努力を払うべきであり、国連薬物犯罪事務所の参加を得て、共同の麻薬対策行動計画を策定する可能性を検討することに留意する。
十三、各方认为,安全和发展是当今国际社会面临的突出问题。中亚国家高度评价并愿积极践行中方提出的全球发展倡议、全球安全倡议和全球文明倡议,认为上述倡议对实现联合国可持续发展目标、维护世界和平与安全、促进人类文明进步具有重要意义。 13.締結国は、安全保障及び開発が、今日の国際社会が直面する顕著な問題であると考える。 中央アジア諸国は、中国が提唱する世界開発イニシアティブ、世界安全保障イニシアティブ及び世界文明イニシアティブを高く評価し、積極的に実施する意思があり、上記のイニシアティブは、国連の持続可能な開発目標の達成、世界の平和と安全の維持及び人類文明の進歩の促進に大きな意義があると考える。
十四、各方支持在《全球数据安全倡议》框架内构建和平、开放、安全、合作、有序的网络空间,共同落实好《“中国—中亚五国”数据安全合作倡议》,共同推进在联合国主导下谈判制定关于打击为犯罪目的使用信息和通信技术全面国际公约,合力应对全球信息安全面临的威胁和挑战。 14. 全ての締結国は、グローバル・データ・セキュリティ・イニシアチブの枠組みにおいて、平和で開かれた、安全で協力的かつ秩序あるサイバースペースの構築を支持し、データ・セキュリティ協力に関する中国・中央アジア5カ国イニシアティブを共同で実施し、国連の主導の下、犯罪目的の情報通信技術の使用に対する対処に関する包括的国際条約の交渉を共同で促進し、データセキュリティに関する中国・中央アジア5カ国イニシアティブを共同して実施する。 我々は、国連の主導の下、犯罪目的の情報通信技術の使用に対抗する包括的な国際条約の交渉を共同で推進し、世界の情報セキュリティに対する脅威と課題に対処するために共同で努力する。
十五、各方将坚定维护联合国在维护国际和平、安全和可持续发展中的核心关键作用,弘扬和平、发展、公平、正义、民主、自由的全人类共同价值,反对将人权等问题政治化。 15. 締約国は、国際平和、安全及び持続可能な開発の維持における国際連合の中心的かつ極めて重要な役割を堅持し、全人類の平和、開発、公平、正義、民主及び自由という共通の価値を促進し、人権及び他の問題の政治化に反対する。
各方重申恪守《联合国宪章》宗旨和原则,强调各国领土完整和主权不容损害。各方坚定捍卫多边主义以及公认的国际法和国际关系准则,维护国际公平正义,推动国际秩序和全球治理体系朝着公正合理的方向发展。 締約国は、国際連合憲章の目的及び原則に対するコミットメントを再確認し、すべての国の領土保全及び主権を損なうことができないことを強調する。 締約国は、多国間主義及び普遍的に認められた国際法及び国際関係の規範を堅持し、国際正義を守り、国際秩序及びグローバル・ガバナンス・システムの公正かつ合理的な方向への発展を促進する。
各方愿加强在联合国、上海合作组织、亚洲相互协作与信任措施会议等多边机制内的对话与合作,就地区和国际热点问题及时交换意见、协调立场。 締結国は、国連、上海協力機構及びアジアにおける交流及び信頼醸成措置に関する会議等の多国間メカニズムにおける対話及び協力を強化し、地域及び国際的なホットスポットの問題について適時に意見を交換し、立場を調整することを希望する。
各方肯定国际原子能机构在和平利用核能方面的重要作用,指出该机构成员国有权充分参与该机构所有决策程序,支持该机构《规约》规定的主权平等进程,支持中亚国家加入该机构相关地区小组。 締約国は、原子力の平和利用における国際原子力機関(IAEA)の重要な役割を認め、IAEA加盟国が同機関のすべての意思決定過程に全面的に参加する権利を有することに留意し、同機関の規約に規定される主権平等の過程を支持し、同機関の関連地域グループに中央アジア諸国が参加することを支持する。
各方对中方高水平举办中国—中亚峰会表示感谢。 締約国は、中国-中央アジアサミットの高水準の組織について、中国に感謝の意を表明した。
各方商定第二届中国—中亚峰会将于2025年由哈萨克斯坦主办。 締結国は、2025年に第2回中国・中央アジアサミットをカザフスタンが主催することに合意した。
中华人民共和国主席          习近平            習近平 中華人民共和国国家主席           
哈萨克斯坦共和国总统   卡瑟姆若马尔特·托卡耶夫  カザフスタン共和国大統領 カシムジョマート・トカエフ 
吉尔吉斯共和国总统      萨德尔·扎帕罗夫       キルギス共和国大統領 サドル・ザパロフ      
塔吉克斯坦共和国总统      埃莫马利·拉赫蒙       タジキスタン共和国大統領 エモマリ・ラフモン      
土库曼斯坦总统   谢尔达尔·别尔德穆哈梅多夫 トルクメニスタン共和国大統領 セルアル・ベルディムハメドフ
乌兹别克斯坦共和国总统   沙夫卡特·米尔济约耶夫   ウズベキスタン共和国大統領 シャブカト・ミルジヨエフ  
2023年5月19日于西安 西安、2023年5月19日

 

 

 

| | Comments (0)

2023.05.21

オーストラリア 情報保護室による「2023-2030年サイバーセキュリティ戦略ディスカッションペーパー」への意見提出

こんにちは、丸山満彦です。

オーストラリア政府の内務省 (Department of Home Affairs)がサイバーセキュリティ戦略を出している(直近は2020年)のですが、2030年に向けたサイバーセキュリティ戦略を2023年中に策定しようとしているようです。。。

それに対して、オーストラリアのプライバシー保護機関である、情報保護室 (Office of the Australian Information Commissioner: OAIC) が意見を提出し、公開していますね。。。。(締切が4月15日だったので、それ以降でしょうが、いつだろう...)

政府機関内で調整するのではなく、意見募集に答える形で意見を提出し、公表するというのは、わかりやすいですね。。。

提言は次の9つありますね...

 

2002年ごろだったと思うのですが、経済産業省の執務室のよこの会議室で会議が始まるのを待っている時に、その会議室の横にある本棚に「Security and Privacy」という小さな書籍(論文?)があるのが目に止まりました。内容は、プライバシーの保護と国家安全保障のバランスのような話でした。サイバーセキュリティは国家安全保障のための手段でもあり、プライバシーを守るための手段でもあり、いろいろとバランスが求められる分野だなぁ、、、とおもったことを思い出しました。。。

 

⚫︎Office of the Australian Information Commissioner: OAIC

Submission to 2023–2030 Cyber Security Strategy Discussion Paper

 

Submission to 2023–2030 Cyber Security Strategy Discussion Paper 2023-2030年サイバーセキュリティ戦略ディスカッションペーパーへの提出
Introduction はじめに
1.1The Office of the Australian Information Commissioner (OAIC) welcomes the opportunity to make a submission to the 2023–2030 Australian Cyber Security Strategy Discussion Paper (Discussion Paper) released by the Department of Home Affairs (Home Affairs) and to contribute to shaping the 2023–2030 Australian Cyber Security Strategy (Strategy). 1.1 オーストラリア情報コミッショナー事務所(OAIC)は、内務省(Home Affairs)が発表した 2023-2030 年オーストラリアサイバーセキュリティ戦略ディスカッションペーパー(Discussion Paper)に提出し、2023-2030 年オーストラリアサイバーセキュリティ戦略(Strategy)の形成に寄与する機会を歓迎する。
1.2The OAIC is Australia’s independent Commonwealth privacy regulator.[1] We play a critical role in regulating entities subject to the Privacy Act 1988 (Privacy Act) to safeguard personal information. The security of personal information is a key regulatory priority for the OAIC. [2] 1.2 OAICは、オーストラリア連邦の独立したプライバシー規制機関です[1]。 1988年プライバシー法(Privacy Act)の適用を受ける事業者が個人情報を保護するための規制を行う上で、重要な役割を担っている。 個人情報のセキュリティは、OAICにとって重要な規制上の優先事項である。 [2]
1.3Privacy is an essential component in the ring of defence to protect Australia from cyber threats. The Privacy Act includes well-established security requirements, including the obligations under the Australian Privacy Principles (APPs), in particular APP 1 and APP 11, and the Notifiable Data Breaches (NDB) scheme.[3] 1.3 プライバシーは、オーストラリアをサイバー脅威から守るための防衛の環に不可欠な要素である。プライバシー法には、オーストラリアプライバシー原則(APPs)、特にAPP 1とAPP 11に基づく義務、および通知可能なデータ漏洩(NDB)スキームを含む、確立されたセキュリティ要件が含まれている[3]。
1.4We welcome the Discussion Paper’s commitment to considering feedback received on the current review of the Privacy Act by the Attorney-General’s Department as part of the development of the Strategy.[4] There is an important opportunity to achieve alignment between the proposals to uplift the established requirements in the Privacy Act Review: Report 2022 (Privacy Act Review Report) and the new Strategy to ensure a consistent, whole-of-government approach to reducing the risk of cyber harm.[5] 1.4 我々は、戦略策定の一環として、司法長官によるプライバシー法の現行レビューに寄せられたフィードバックを考慮するというディスカッションペーパーのコミットメントを歓迎する[4]。プライバシー法のレビューにおける確立された要件を引き上げる提案の間に整合性を達成する重要な機会がある: 2022年報告書(Privacy Act Review Report)と新戦略は、サイバー被害のリスクを低減するための一貫した政府全体のアプローチを確保するために、整合性を取る重要な機会がある[5]。
1.5The development of the Strategy comes at a pivotal time. As the Discussion Paper notes, Australia is still counting the cost of the two most significant data breaches in Australia’s history, Optus in September 2022 and Medibank in October 2022.[6] In this context, the OAIC supports additional measures to enhance Australia’s cyber security posture. However, as part of this, the OAIC considers it is essential that any cyber security reforms preserve the integrity of the NDB scheme and the OAIC’s ability to exercise its powers and functions under the Privacy Act. 1.5 戦略の策定は極めて重要な時期に来ている。ディスカッションペーパーにあるように、オーストラリアは、2022 年 9 月の Optus と 2022 年 10 月の Medibank という、オーストラリアの歴史上最も重要な 2 つのデータ漏洩のコストをまだ計算している[6]。このような背景から、OAIC はオーストラリアのサイバーセキュリティ体制を強化する追加措置を支持する。しかし、その一環として、OAICは、サイバーセキュリティ改革がNDBスキームの完全性とOAICがプライバシー法の下で権限と機能を行使する能力を維持することが不可欠であると考える。
1.6While government plays an important role in providing support, information and resources to assist entities to uplift cyber resilience and security, the primary responsibility for preventing breaches and protecting data in accordance with the Privacy Act rests with the entities themselves. 1.6 政府は、事業体がサイバーレジリエンスとセキュリティを向上させるための支援、情報、リソースを提供する上で重要な役割を果たすが、侵害を防止し、プライバシー法に従ってデータを保護する第一の責任は、事業体自身が負うものである。
Summary of recommendations 提言の概要
Recommendation 1 – The 2023–2030 Australian Cyber Security Strategy should consider and align cyber security reforms with proposals in the Privacy Act Review Report to uplift established privacy security obligations and ensure a consistent, whole-of-government approach to reducing the risk of harm. This includes proposals to remove the small business exemption and enhance the NDB scheme’s reporting requirements. 提言 1 - 2023-2030 年のオーストラリア・サイバーセキュリティ戦略は、確立されたプライバシーセキュリティ義務を向上させ、被害リスクを軽減するための一貫した政府全体のアプローチを確保するため、サイ バーセキュリティ改革とプライバシー法見直し報告書の提案とを検討し、連携させるべきである。これには、小規模事業者の免責を撤廃し、NDB スキームの報告要件を強化する提案も含まれる。
Recommendation 2 – Consider the distinct purposes of the various cyber security regulatory frameworks in any reform proposals to ensure that relevant laws continue to work cohesively to address risks of harm without leaving any regulatory gaps. 提言 2 - 改革案において、様々なサイバーセキュリティ規制の枠組みの明確な目的を考慮し、関連する法律が、規制の隙間を残すことなく、危害のリスクに対処するために一貫して機能し続けることを保証すべきである。
Recommendation 3 – Collaboration and information sharing mechanisms, supported through legislative amendment where necessary, should be encouraged to reduce the regulatory burden on entities and ensure a consistent, whole-of-government regulatory approach to uplifting Australia’s cyber security and resilience. 提言 3 - 規制当局の負担を軽減し、オーストラリアのサイバーセキュリティとレジリエンスを向上させるための一貫した政府全体の規制アプローチを確保するために、必要に応じて法改正による支援を受けながら、連携と情報共有の仕組みを促進すべきである。
Recommendation 4 – As a first step to reducing the compliance burdens on industry, consider whether the provision of appropriate guidance could assist entities to navigate their cyber security obligations. 提言 4 - 産業界のコンプライアンス負担を軽減するための第一歩として、適切なガイダンスを提供することで、事業者のサイバーセキュリティ義務を支援できるかどうかを検討すべきである。
Recommendation 5 – Any proposed amendments to the SOCI Act, specifically in relation to including ‘customer data’ and ‘systems’ in the definitions of ‘critical assets’, should be accompanied by relevant amendments ensuring that protected information can be disclosed to the OAIC so that it can continue to exercise its powers and functions. 提言 5 - SOCI 法の改正案、特に「重要資産」の定義に「顧客データ」と「システム」を含めることに関連し、OAIC がその権限と機能を引き続き行使できるように、保護された情報を開示できることを保証する関連改正を伴うべきである。
Recommendation 6 – Any proposed single reporting portal should be designed in close consultation with affected regulators, to ensure that the timeliness and integrity of the reporting requirements for all the regimes consolidated within the portal, including the NDB scheme, are preserved. 提言 6 - 単一の報告ポータルの提案は、NDBスキームを含むポータルに統合されるすべてのレジームの報告要件の適時性と完全性が維持されるように、影響を受ける規制当局と緊密に協議しながら設計されるべきである。
Recommendation 7 – The CSRN and other forums should continue to play a role in post-incident reviews and their work should inform incident response planning policy and practice. 提言 7 - CSRNやその他のフォーラムは、インシデント発生後のレビューにおいて引き続き役割を果たすべきであり、その活動はインシデント対応計画の方針と実践に反映されるべきである。
Recommendation 8 – Any proposed obligations of confidentiality should be carefully designed in consultation with regulators, to ensure that agencies such as the OAIC are still able to obtain the information they need from affected entities at the appropriate time, and to exercise their functions and powers in the public interest. 提言 8 - 提案される守秘義務は、規制当局と協議の上、慎重に設計されるべきであり、OAICのような機関が適切な時期に影響を受ける事業者から必要な情報を入手し、公共の利益のためにその機能および権限を行使することができることを保証すべきである。
Recommendation 9 – Support government agencies and regulators to engage with international counterparts to influence global dialogues in regulatory areas impacting cyber security, such as privacy, to promote consistently high standards around the world. 提言 9 - 政府機関や規制当局が、プライバシーなどサイバーセキュリティに影響を与える規制分野におけるグローバルな対話に影響を与えるために、国際的なカウンターパートと関わり、世界中で一貫して高い水準を推進することを支援すべきである。
Uplifting cyber security through strengthening and streamlining existing frameworks 既存の枠組みの強化と合理化を通じて、サイバーセキュリティを向上させる。
Strengthening existing frameworks 既存の枠組みを強化する
1.7 Privacy and cyber security are inextricably interwoven. Effective privacy regulation plays an important role in uplifting Australia’s cyber security posture, while robust cyber security settings are crucial in protecting Australians’ personal information in an increasingly digital environment. In response to Question 1 of the Discussion Paper, we consider that it is important for the Strategy to be built on an understanding of this symbiotic relationship, to succeed in realising the Strategy’s goal of making Australia the most cyber secure nation in the world by 2030.[7] 1.7 プライバシーとサイバーセキュリティは、表裏一体である。効果的なプライバシー規制は、オーストラリアのサイバーセキュリティ態勢を強化する上で重要な役割を果たし、強固なサイバーセキュリティ設定は、デジタル化が進む環境下でオーストラリア人の個人情報を保護する上で極めて重要である。ディスカッション・ペーパーの質問1に対して、我々は、2030年までにオーストラリアを世界で最もサイバーセキュアな国にするという戦略の目標を実現するためには、この共生関係を理解した上で戦略を構築することが重要であると考える[7]。
1.8As recent large-scale data breaches have showed, entities collect and hold an increasingly large quantity of personal and sensitive information about Australians which must be secured effectively. When cyber security settings fail, the risk of harm to individuals whose information is compromised can be devastating. 1.8 最近の大規模なデータ漏洩が示すように、事業体はオーストラリア人の個人情報や機密情報をますます大量に収集し、保持しており、これらは効果的に保護されなければならない。サイバーセキュリティの設定が失敗した場合、情報が漏洩した個人への被害リスクは壊滅的なものとなり得る。
1.9The volume and granularity of personal information that is collected by entities, combined with other practices such as tracking, monitoring and profiling, amplifies privacy and security risks. The Privacy Act Review Report considers what changes are needed to Australia’s privacy framework to respond to these risks.[8] It includes detailed examination of proposals that would assist in achieving the Discussion Paper’s objective of enhancing cyber resilience across the economy. 1.9 事業者が収集する個人情報の量と粒度は、追跡、監視、プロファイリングなどの他の慣行と組み合わされ、プライバシーとセキュリティのリスクを増大させる。プライバシー法の見直し報告書は、これらのリスクに対応するために、オーストラリアのプライバシーの枠組みにどのような変更が必要かを検討している[8]。 経済全体のサイバーレジリエンスを強化するというディスカッションペーパーの目的の達成を支援する提案を詳細に検討することが含まれている。
1.10Noting the feedback sought in Question 2(a) in relation to the appropriate reform mechanisms to improve mandatory operational cyber security standards across the economy, the OAIC recommends that the new Strategy and any related reforms leverage and build upon the established security requirements in the Privacy Act where appropriate. For example, requirements under APP 1 and APP 11, along with the NDB scheme (explained further below), could be said to provide a ‘baseline’ level of security protections across the whole economy for personal information.[9] 1.10 経済全体の強制的な運用サイバーセキュリティ基準を改善するための適切な改革メカニズムに関連して、質問2(a)で求められたフィードバックに留意し、OAICは、新しい戦略と関連する改革が、必要に応じてプライバシー法の確立したセキュリティ要件を活用し構築することを推奨している。例えば、APP 1とAPP 11に基づく要件は、NDBスキーム(以下でさらに説明)と共に、個人情報に対する経済全体のセキュリティ保護の「ベースライン」レベルを提供すると言える[9]。
1.11Implementation of the reforms proposed in the Privacy Act Review Report also provide an important opportunity to uplift these well-established baseline security obligations.[10] In particular, the following proposals would aid in achieving the Discussion Paper’s objective of enhancing cyber resilience across the economy: 1.11プライバシー法の見直し報告書で提案された改革を実施することは、これらの確立されたベースラインのセキュリティ義務を向上させる重要な機会にもなる[10]。 特に、以下の提案は、経済全体のサイバー耐性を強化するというディスカッションペーパーの目的の達成を支援するものである:
removing the small business exemption so that small to medium sized enterprises are brought within the Privacy Act’s scope, thereby establishing baseline security protections across the entire economy[11] 中小企業の適用除外を撤廃し、中小企業をプライバシー法の適用範囲に含めることで、経済全体にわたる基本的なセキュリティ保護を確立する[11]。
strengthening the NDB scheme, including through amendments to the notification requirements and timeframes[12] and an express requirement for entities to take reasonable steps to implement practices, procedures and systems to enable them to respond to data breaches.[13] This will allow the OAIC to take regulatory action quickly to minimise harm to affected individuals and agencies will be able to collaborate more effectively. Affected individuals will also be in a stronger position to mitigate the risk of serious harm arising from the breach. We note that the OAIC has recommended that these proposals could be strengthened through an express obligation on entities to take reasonable steps to prevent or reduce the harm that is likely to arise for individuals as a result of a data breach[14] 通知要件と時間枠の修正[12]、データ侵害に対応するための実務、手続き、システムを導入するための合理的な措置を講じることを事業者に求める明示的な要件[13]など、NDBスキームの強化。これにより、OAICは影響を受ける個人への被害を最小限に抑えるための規制措置を迅速に講じ、機関はより効果的に連携できるようになる。また、影響を受ける個人は、情報漏えいから生じる重大な損害のリスクを軽減するためのより強い立場に立つことができる。我々は、OAICが、データ侵害の結果として個人に生じる可能性の高い危害を防止または軽減するための合理的な措置を講じる事業体に対する明示的な義務を通じて、これらの提案を強化することができると提言したことに留意する[14]。
including a list of factors in APP 11, which outlines the baseline privacy outcomes APP entities should consider when taking reasonable steps to protect the personal information they hold, setting a bar for entities and encouraging them to conduct continuous analysis of the potential for threats and their severity so that security measures are commensurate to risks[15] APP11に要因のリストを含めること。APPは、事業体が保有する個人情報を保護するために合理的な措置を講じる際に考慮すべき基本的なプライバシー成果の概要を示しており、事業体に基準を設け、セキュリティ対策がリスクに見合うように脅威の可能性とその重大性について継続的に分析を実施するよう奨励する[15]。
enhancing the OAIC’s Guidelines on APP 11 on the ‘reasonable steps’ for securing personal information, including cyber-specific elements drawing on technical advice from the Australian Cyber Security Centre (ACSC).[16] 個人情報を保護するための「合理的な措置」に関するOAICのガイドライン(APP11)を強化し、オーストラリア・サイバーセキュリティセンター(ACSC)からの技術的助言をもとに、サイバーに特化した要素を含む[16]。
Recommendation 1 – The 2023–2030 Australian Cyber Security Strategy should consider and align cyber security reforms with proposals in the Privacy Act Review Report to uplift established privacy security obligations and ensure a consistent, whole-of-government approach to reducing the risk of harm. This includes proposals to remove the small business exemption and enhance the NDB scheme’s reporting requirements. 提言 1 - 2023-2030 年のオーストラリア・サイバーセキュリティ戦略は、確立されたプライバシ ーセキュリティ義務を向上させ、被害リスクを軽減するための一貫した政府全体のアプローチを確保するため、サイ バーセキュリティ改革とプライバシー法見直し報告書の提案とを検討し、連携させるべきである。これには、小規模事業者の免責を撤廃し、NDB スキームの報告要件を強化する提案も含まれる。
Streamlining cyber-security efforts サイバーセキュリティの取り組みの合理化
1.12The OAIC agrees that if we are to ‘lift and sustain cyber resilience and security, it must be an integrated whole-of-nation endeavour’.[17] Having consistent, interoperable and cohesive systems in place is essential to protecting all Australians from cyber threats. Such an approach will promote public trust and confidence in cyber security protections embedded in digital products and services. 1.12 OAIC は、「サイバーレジリエンスとセキュリティを高め、維持するためには、統合された国全体の努力 が必要である」ことに同意する[17]。一貫した、相互運用可能でまとまったシステムを整備することは、すべてのオーストラリア国民 をサイバー脅威から守るために不可欠である。このようなアプローチは、デジタル製品やサービスに組み込まれたサイバーセキュリティ保護に対する国民の信頼と信用を促進するものである。
1.13Question 2(d) canvasses whether Australia should consider a Cyber Security Act. The OAIC considers that the concept of a single Act, drawing together cyber-specific legislative obligations and standards across industry and government, offers the potential to simplify regulatory frameworks. We note the Discussion Paper does not provide any further detail and would welcome the opportunity to engage with Home Affairs about the proposed legislation. 1.13 質問2(d)は、オーストラリアがサイバーセキュリティ法を検討すべきかどうかを問うものである。OAICは、産業界と政府間のサイバーに特化した立法義務と基準をまとめた単一の法律のコンセプトは、規制の枠組みを簡素化する可能性があると考える。ディスカッション・ペーパーにはこれ以上の詳細が記載されていないことに留意し、提案された法律について内務省に関与する機会を歓迎する。
1.14Question 2(e) of the Discussion Paper invites comments on opportunities to streamline existing regulatory frameworks and reduce the burden on industry. The OAIC welcomes certain measures that have already been implemented, such as the establishment of the national Coordinator for Cyber Security and the National Office for Cyber Security.[18] Noting recent experiences with the Medibank and Optus data breaches, we appreciate the need for greater centralisation and coordination of whole-of-government responses to data breaches and cyber incidents. 1.14 ディスカッション・ペーパーの質問2(e)は、既存の規制の枠組みを合理化し、産業界の負担を軽減する機会についてコメントを求めている。OAICは、サイバーセキュリティのための国家コーディネーターやサイバーセキュリティのための国家事務所の設立など、すでに実施されている一定の措置を歓迎する[18]。メディバンクやオプタスのデータ漏洩の最近の経験に注目し、データ漏洩やサイバー事件に対する政府全体の対応の集中化と調整の必要性を評価する。
1.15The OAIC also supports consideration of streamlining existing frameworks and any duplicative oversight requirements. We acknowledge that entities are currently required to navigate multiple frameworks in relation to cyber security, including the Privacy Act and the Security of Critical Infrastructure Act 2018 (SOCI Act), as well as frameworks regulated by the Australian Securities and Investment Commission (ASIC),[19] and the Australian Prudential Regulation Authority (APRA).[20] 1.15 OAIC は、既存の枠組みや重複する監督要件の合理化を検討することも支持する。我々は、事業者が現在、プライバシー法や重要インフラストラクチャー安全法2018(SOCI法)、さらにオーストラリア証券投資委員会(ASIC)[19]やオーストラリア健全性規制局(APRA)が規制する枠組みなど、サイバーセキュリティに関連する複数の枠組みを利用することが求められていることを認める[20]。
1.16While there may be intersections, it is important to acknowledge that these regulatory frameworks address different economic and consumer risks. In this way, the various regimes are essential and complementary components in the ring of defence built to address the risks and harms faced by Australians in the digital age. An enduring and sustainable approach to cyber security must be comprehensive if it is to effectively reduce the harms that can arise from a cyber incident. While we appreciate the need to streamline and centralise frameworks, we would caution that any reforms must ensure that the distinct and important purposes of each regime are considered, to ensure there are no regulatory gaps. 1.16 交差する部分があるかもしれないが、これらの規制の枠組みは、異なる経済リスクと消費者リスクに対処していることを認識することが重要である。このように、様々な規制は、デジタル時代にオーストラリア人が直面するリスクと被害 に対処するために構築された防衛の環において、不可欠かつ補完的な構成要素である。サイバーセキュリティに対する永続的かつ持続可能なアプローチは、サイバーインシデントから生じ得る損害を効果的に軽減するためには、包括的でなければなりません。我々は、枠組みの合理化と一元化の必要性を評価するが、いかなる改革も、規制の隙間がないように、各制度の明確で重要な目的が考慮されることを保証しなければならないことに注意したい。
1.17In addition, the OAIC considers that collaboration and information sharing across government agencies is key to reducing the regulatory burden on entities and ensuring that a consistent, whole-of-government approach is implemented to promote cyber security.[21] A coordinated approach between regulators is central to ensuring that the distinct but complementary cyber regulatory frameworks work cohesively to address risks of harm. The Cyber Security Regulators Network (CSRN), which the OAIC co-chairs with APRA, is an example of a forum that facilitates information sharing between regulators on cyber-related matters, enabling them to reduce duplication in regulatory responses and coordinate messages to regulated entities. Where necessary and appropriate as part of any reform package, greater information sharing and collaboration between regulators should be facilitated by legislative amendment. 1.17 さらに、OAICは、政府機関間の連携と情報共有が、事業者の規制負担を軽減し、サイバーセキュリティを促進するための一貫した政府全体のアプローチを確実に実施するための鍵であると考える[21]。規制当局間の協調的アプローチは、異なるが補完的なサイバー規制の枠組みが被害のリスクに対処して首尾よく機能することを確保するための中心である。OAICがAPRAと共同議長を務めるサイバーセキュリティ規制当局ネットワーク(CSRN)は、サイバー関連事項に関する規制当局間の情報共有を促進するフォーラムの一例であり、規制当局の対応における重複を減らし、規制対象団体へのメッセージを調整することを可能にする。改革パッケージの一部として必要かつ適切な場合、規制当局間の情報共有と協力の強化は、法改正によって促進されるべきである。
1.18We see the value in regulators working together to avoid unnecessary or inadvertent overlap for industry. At the same time, we do not consider that regulatory overlap is necessarily a negative outcome, particularly where it is well managed. It is more problematic if regulatory gaps expose individuals to harm. In certain circumstances, collaboration between relevant regulators and issuing appropriate guidance to assist entities to understand their regulatory obligations may be more appropriate to address parallel but distinct regulatory concerns, than streamlining frameworks. The new National Office for Cyber Security, announced recently by the Minister for Cyber Security Clare O’Neil MP, is a potential mechanism to centralise and consolidate guidance produced by government agencies and regulators to assist entities.[22] 1.18 産業界にとって不必要な、あるいは不注意な重複を避けるために、規制当局が協力することに価値があると考える。同時に、我々は、規制の重複が、特にそれが適切に管理されている場合には、必ずしも否定的な結果であるとは考えていない。規制のギャップが個人を危険にさらす場合はより問題である。状況によっては、関連する規制当局間の協力や、事業者が規制上の義務を理解するための適切なガイダンスの発行は、枠組みの合理化よりも、並行するが異なる規制上の懸念に対処するために適切である場合がある。サイバーセキュリティ担当大臣であるクレア・オニール(Clare O'Neil MP)が最近発表したサイバーセキュリティのための新しい国家事務局は、政府機関や規制当局が作成したガイダンスを集中・統合し、事業者を支援する潜在的メカニズムである[22]。
Recommendation 2 – Consider the distinct purposes of the various cyber security regulatory frameworks in any reform proposals to ensure that relevant laws continue to work cohesively to address risks of harm without leaving any regulatory gaps. 提言 2 - 改革案において、様々なサイバーセキュリティ規制の枠組みの明確な目的を考慮し、関連する法律が、規制の隙間を残すことなく、危害のリスクに対処するために一貫して機能し続けることを保証すべきである。
Recommendation 3 – Collaboration and information sharing mechanisms, supported through legislative amendment where necessary, should be encouraged to reduce the regulatory burden on entities and ensure a consistent, whole-of-government regulatory approach to uplifting Australia’s cyber security and resilience. 提言 3 - 規制当局の負担を軽減し、オーストラリアのサイバーセキュリティとレジリエンスを向上させるための一貫した政府全体の規制アプローチを確保するために、必要に応じて法改正による支援を受けながら、連携と情報共有の仕組みを促進すべきである。
Recommendation 4 – As a first step to reducing the compliance burdens on industry, consider whether the provision of appropriate guidance could assist entities to navigate their cyber security obligations. 提言 4 - 産業界のコンプライアンス負担を軽減するための第一歩として、適切なガイダンスを提供することで、事業者のサイバーセキュリティ義務を支援できるかどうかを検討すべきである。
Extending the definition of ‘critical assets’ 重要資産」の定義の拡張
1.19Question 2(b) of the Discussion Paper invites comments on whether further reform to the SOCI Act is required. In particular, the Discussion Paper seeks feedback on whether existing definitions of ‘critical assets’ in the Act should be expanded to include ‘customer data’ and ‘systems’, the objective being to ensure that the powers under the SOCI Act extend to major data breaches, not just operational disruptions.[23] While we appreciate that this could potentially allow for an uplift of security standards in relation to the handling of personal information, the OAIC is concerned that an unintended consequence of including ‘customer data’ or ‘systems’ in the definitions of ‘critical assets’ would result in a restriction on our ability to exercise our functions and powers in some circumstances, such as in the event of a data breach. 1.19 ディスカッション・ペーパーの質問2(b)は、SOCI法のさらなる改革が必要かどうかについてのコメントを求めている。特に、ディスカッション・ペーパーでは、SOCI 法に基づく権限が、業務上の混乱だけでなく、大規模なデータ漏洩にも及ぶようにすることを目的として、同法の「重要資産」の既存の定義を「顧客データ」や「システム」にも拡大すべきかどうかについてフィードバックを求めている。 [23] 個人情報の取り扱いに関連したセキュリティ基準の引き上げを可能にする可能性があることは評価するが、OAICは、「重要資産」の定義に「顧客データ」や「システム」を含めるという意図せざる結果、データ侵害の場合など、状況によっては我々の機能と権限を行使する能力が制限されることを懸念している。
1.20Although the Discussion Paper does not define ‘customer data’ or ‘systems’, it seems likely that it could constitute personal information and/or information about entities’ security arrangements and data breaches, and so the potential overlap into areas regulated by the Privacy Act will need to be considered. 1.20 討議資料では「顧客データ」または「システム」を定義していないが、個人情報および/または事業者のセキュ リティ体制やデータ侵害に関する情報を構成する可能性があるため、プライバシー法が規制する領域と重なる可能 性を検討する必要がある。
1.21As outlined above, the Privacy Act includes baseline security requirements that play a crucial role in reducing the likelihood of data breaches occurring and in mitigating their impacts on individuals, such as the requirements of APP 1 and APP 11 and the NDB scheme. The Privacy Act applies to regulated entities across the economy, apart from businesses with an annual turnover of $3 million or less (with some exceptions). 1.21 上述のように、プライバシー法には、APP 1、APP 11、NDB スキームの要件など、データ侵害の発生 の可能性を低減し、個人への影響を緩和する上で重要な役割を果たす基本的なセキュリティ要件が含ま れる。プライバシー法は、年間売上高が 300 万ドル以下の企業(一部例外あり)を除き、経済全般の規制対象事業者に適用される。
1.22In particular, the NDB scheme requires APP entities to notify the OAIC and affected individuals about data breaches that are likely to result in serious harm to an individual whose personal information is involved.[24] This includes cyber security incidents involving personal information which may also fall within the scope of the SOCI Act.[25] The scheme is designed to enable individuals whose personal information has been compromised in a data breach to take remedial steps to lessen the adverse impacts that might arise from the breach. 1.22 特に、NDB スキームは、APP 事業者に対して、個人情報が関係する個人に重大な損害をもたらす可能 性のあるデータ侵害について、OAIC および影響を受ける個人に通知することを義務付けている [24] 。これには、SOCI 法の範囲にも含まれる個人情報に関わるサイバーセキュリティ事件も含まれる [25] 。このスキームは、データ侵害によって個人情報が漏洩した個人が、侵害から生じるかもしれない悪影響を軽減 するために改善措置を取ることを可能にするために設計されている。
1.23In addition, the Privacy Act includes a complaint mechanism that allows individuals who have been adversely impacted by a data breach to seek redress from the entity that handled their information.[26] This mechanism is crucial as it allows the OAIC to appropriately address the consequences of a data breach for an affected individual. As the trusted national independent privacy regulator, the OAIC plays an important role in providing advice, assurance and, in some cases, a remedy for affected individuals in the event of a breach. 1.23 さらに、プライバシー法には、データ侵害によって悪影響を受けた個人が、自分の情報を扱った事業者に救済を求めることを可能にする苦情メカニズムが含まれている[26]。このメカニズムは、OAIC が影響を受けた個人に対するデータ侵害の結果に適切に対処することを可能にするので重要である。信頼できる国の独立したプライバシー規制機関として、OAIC は、情報漏えいが発生した場合、影響を受ける個人に対して助言、保証、場合によっては救済を提供するという重要な役割を担っている。
1.24By contrast, the SOCI Act creates a framework for the regulation of entities in 11 specified ‘critical infrastructure’ sectors, and imposes mandatory cyber incident reporting to the ACSC to enhance the government’s ability to manage national security risks.[27] We note that the SOCI Act imposes a number of positive security obligations in relation to assets deemed to be ‘critical assets’, including creating and maintaining a risk management program, and mandatory cyber security incident reporting.[28] 1.24 対照的に、SOCI 法は、11 の特定「重要インフラ」分野の事業体を規制するための枠組みを作り、国家安全保障リスクを管理する政府の能力を強化するために ACSC へのサイバー事件報告の義務を課している[27]。SOCI 法は、リスク管理プログラムの作成と維持、サイバーセキュリティ事件報告の義務など「重要資産」とみなされる資産に関連して、多くのポジティブなセキュリティ義務を課すことに注意する[28]。
1.25Importantly, information that is obtained or created in accordance with the SOCI Act is known as ‘protected information’, and the use and disclosure of this information is limited under the Act.[29] For example, a cyber security incident that is reported under the SOCI Act, is considered ‘protected information’ under that Act.The SOCI Act prevents the disclosure of protected information unless an exception applies, or the disclosure is otherwise authorised.[30] Currently, there is no exception or authorisation for an entity to disclose protected information to the OAIC in accordance with that entity’s statutory obligation to do so.[31] 1.25 重要なことは、SOCI 法に従って取得または作成される情報は「保護された情報」と呼ばれ、この情報の使用と開示は同法の下で制限される[29]。例えば、SOCI 法に基づいて報告されるサイバーセキュリティ事件は、同法の下で「保護された情報」と見なされる。 SOCI 法は、例外が適用されるか、または開示が別途許可されない限り、保護情報の開示を防止する[30]。現在、保護情報を開示する事業者の法的義務に従って OAIC に開示するための例外または許可は存在しない[31]。
1.26The OAIC is therefore concerned that an unintended consequence of an amendment to extend the definition of critical assets would be to restrict entities from sharing certain information with the OAIC, such as information or documents included in risk management programs (outlining security arrangements) and cyber security incident notifications, where that information is protected information under the SOCI Act. This would hamper the OAIC’s ability to effectively respond to and investigate data or privacy breaches,unless an exception under Division 3 of the SOCI Act applied. 1.26 したがって、OAICは、重要資産の定義を拡大する改正の意図しない結果として、リスク管理プログラム(セキュリティの取り決めの概要)やサイバーセキュリティ事件の通知に含まれる情報または文書など、その情報がSOCI法に基づく保護情報である場合に、企業がOAICと特定の情報を共有することを制限することになることを懸念する。これは、SOCI 法の第 3 部門に基づく例外が適用されない限り、データまたはプライバシー侵害に効果的に対応し、調査する OAIC の能力を阻害することになる。
1.27This may also impact the ability of the OAIC to effectively investigate and otherwise handle complaints made by individuals in relation to a data breach.[32] A limitation on the OAIC’s power to obtain information from entities would significantly impede the OAIC’s exercise of its privacy functions and ability to grant remedies to individuals who have suffered harm. For example, if an individual makes a complaint to the OAIC after suffering harm due to a cyber incident or data breach, the proposed amendment to the SOCI Act may prevent the OAIC from collecting the information it needs to assess whether APP 1 and APP 11 have been complied with, if the affected entity claims that the relevant information is protected information. 1.27 また、データ侵害に関連して個人から寄せられた苦情を効果的に調査し、処理する OAIC の能力にも影響する可能性がある[32]。OAIC が事業者から情報を取得する権限を制限することは、OAIC のプライバシー機能の行使と損害を被った個人に救済を与える能力を大きく阻害する。例えば、サイバー事件やデータ侵害により被害を受けた個人が OAIC に苦情を申し立てた場合、SOCI 法の改正案は、被害を受けた事業者が関連情報を保護情報であると主張すれば、OAIC が APP 1 および APP 11 が遵守されているかどうかを評価するために必要な情報を収集することを妨げるかもしれない。
1.28The OAIC therefore recommends that any proposed amendments to the SOCI Act and associated reforms carefully consider this possible intersection and include mechanisms to overcome impediments to the OAIC’s exercise of its functions and powers. For example, consideration could be given to amending Division 3, Subdivision A of the SOCI Act to include a new provision to provide for the authorised use and disclosure of protected information to the OAIC for the purposes of exercising its regulatory functions and powers under the Privacy Act.[33] 1.28 したがって、OAIC は、SOCI 法の改正案および関連する改革案が、このような交差の可能性を注意深く考慮し、OAIC の機能および権限の行使に対する障害を克服するメカニズムを含むことを推奨する。例えば、SOCI 法の第 3 部、第 A 部を改正し、プライバシー法に基づく規制機能および権限を行使する目的で、OAIC に対する保護情報の認可された使用および開示を規定する新しい規定を設けることを検討することができる[33]。
Recommendation 5 – Any proposed amendments to the SOCI Act, specifically in relation to including ‘customer data’ and ‘systems’ in the definitions of ‘critical assets’, should be accompanied by relevant amendments ensuring that protected information can be disclosed to the OAIC so that it can continue to exercise its powers and functions. 提言 5 - SOCI 法の改正案、特に「重要資産」の定義に「顧客データ」と「システム」を含めることに関連し、OAIC がその権限と機能を引き続き行使できるように、保護された情報を開示できることを保証する関連改正を伴うべきである。
Improving government response to major cyber incidents 大規模なサイバーインシデントへの政府の対応を改善する
Single reporting portal 単一の報告ポータル
1.29Question 13(a) proposes a single reporting portal for all cyber incidents, harmonising existing requirements to report separately to multiple regulators. The OAIC is broadly supportive of the concept of a single reporting portal. However, more detail will be needed on how such a portal would function, and in particular on the interplay between the SOCI Act reporting requirements and NDB scheme obligations given the points outlined in the preceding section. 1.29 質問13(a)は、複数の規制当局に個別に報告する既存の要件を調和させ、すべてのサイバーインシデントに対する単一の報告ポータルを提案する。OAICは、単一の報告ポータルの概念を広範に支持する。しかし、このようなポータルがどのように機能するか、特に、前節で概説した点を踏まえ、SOCI法の報告要件とNDBスキームの義務の相互関係については、より詳細な説明が必要であろう。
1.30If adopted, the portal should be designed to ensure the reporting requirements for each regime are incorporated accurately, and the integrity of the NDB reporting scheme is preserved. The portal would also need to enable quick access to reported information by the agencies monitoring compliance with relevant statutes. Potential difficulties would arise if centralised reporting slows or limits the information flows to regulators. This will be crucial to ensuring the OAIC is able to continue to effectively exercise its functions and powers as the trusted national independent privacy regulator, and provide advice, assurance, and, in some cases, a remedy for affected individuals and the public. 1.30 採用された場合、ポータルは、各制度の報告要件が正確に組み込まれ、NDB報告スキームの整合性が保たれるように設計されなければならない。また、ポータルは、関連法規の遵守を監視する機関が、報告された情報に迅速にアクセスできるようにする必要がある。一元的な報告により、規制当局への情報の流れが遅くなったり制限されたりすると、困難が生じる可能性がある。これは、OAIC が信頼される国の独立したプライバシー規制当局として、その機能と権限を効果的に行使し続け、影響を受ける個人と一般市民に対して助言、保証、場合によっては救済を提供できるようにするために極めて重要なことであろう。
1.31It is also important to note that the NDB scheme is not limited to cyber incidents, and also regulates data breaches that occur across all environments including in physical (not online) environments, for example as a result of human error or system fault.[34] Together with other affected regulators, the OAIC would therefore need to be closely involved in the development of any single portal to ensure that clear messages and processes are developed for regulated entities in relation to how to report different types of incidents. 1.31 また、NDB スキームはサイバーインシデントに限定されるものではなく、例えば人為的なミスやシ ステム障害の結果として、物理的な(オンラインではない)環境を含むあらゆる環境で発生する データ侵害も規制することに留意することが重要である[34]。したがって OAIC は、他の影響を受ける規制当局とともに、異なるタイプのインシデントを報告する方法と関連して規制対象団体に明確な メッセージとプロセスを開発することを保証すべく、単一のポータルの開発に深く関与しなければならないであろう。
Recommendation 6 – Any proposed single reporting portal should be designed in close consultation with affected regulators, to ensure that the timeliness and integrity of the reporting requirements for all the regimes consolidated within the portal, including the NDB scheme, are preserved. 提言 6 - 単一の報告ポータルの提案は、NDBスキームを含むポータルに統合されるすべてのレジームの報告要件の適時性と完全性が維持されるように、影響を受ける規制当局と緊密に協議しながら設計されるべきである。
Effective post-incident review and consequence management models 効果的な事故後のレビューと結果管理モデル
1.32The OAIC is supportive of government efforts to develop an effective post-incident review and consequence management model together with industry as discussed in Question 14. We agree that sharing ‘root cause findings’ from investigations of major cyber incidents could be invaluable for shaping regulated entities’ incident response policies and plans. In a similar initiative, the OAIC periodically publishes statistical information about notifications received under the NDB scheme to help entities and the public understand privacy risks identified through the scheme, and uses scenario examples based on reported incidents to help guide better practice.[35] We note that this practice is starting to be adopted internationally.[36] 1.32 OAIC は、質問 14 で述べたように、産業界と共に効果的な事故後のレビューと結果管理モデルを開発する政府の努力を支持する。我々は、大規模なサイバーインシデントの調査から得られた「根本原因の発見」を共有することが、規制対象事業者のインシデント対応方針と計画を形成する上で非常に貴重であることに同意する。同様の取り組みとして、OAICは、NDBスキームを通じて特定されたプライバシーリスクを事業者と公衆が理解するのを助けるために、NDBスキームの下で受け取った通知に関する統計情報を定期的に公表し、より良い実践を導くために報告されたインシデントに基づくシナリオ例を使用している[35]。 この実践が国際的に採用され始めていることに我々は留意したい[36]。
1.33Related to this question, we note the establishment of the new National Office for Cyber Security.[37] Based on recent experience, the OAIC acknowledges the need for greater centralisation and coordination in responding to major cyber incidents and we are therefore broadly supportive of this mechanism. 1.33この質問に関連して、我々は、サイバーセキュリティのための新しい国家事務所の設立に注目している[37]。最近の経験に基づき、OAICは、主要なサイバーインシデントへの対応において、より集中し調整する必要性を認めており、したがって我々は、このメカニズムを広く支持するものである。
1.34We also note that together with APRA, the OAIC co-chairs the Cyber Security Regulators Network (CSRN), the other members being the Australia Communications and Media Authority (ACMA), the Australian Competition and Consumer Commission (ACCC) and ASIC. The purpose of the CSRN is to enable Australian regulators to work together to understand, respond to and share information about cyber security risks and incidents. The CSRN demonstrates that regulators can work together effectively to address gaps and reduce duplication, and forums such as this should continue to play an important role in cyber post-incident evaluation and analysis as part of any future reforms. 1.34 OAIC は APRA と共に、サイバーセキュリティ規制当局ネットワーク(CSRN)の共同議長を務め ており、他のメンバーはオーストラリア通信メディア局(ACMA)、オーストラリア競争・消費者委員 会(ACCC)、ASIC である。CSRNの目的は、オーストラリアの規制当局が協力して、サイバーセキュリティのリスクやインシデントについて理解し、対応し、情報を共有できるようにすることである。CSRN は、規制当局が効果的に連携してギャップに対処し、重複を減らすことができることを実証しており、このようなフォーラムは、将来の改革の一環として、サイバーインシデント後の評価と分析において引き続き重要な役割を果たすべきである。
Recommendation 7 – The CSRN and other forums should continue to play a role in post-incident reviews and their work should inform incident response planning policy and practice. 提言 7 - CSRNやその他のフォーラムは、インシデント発生後のレビューにおいて引き続き役割を果たすべきであり、その活動はインシデント対応計画の方針と実践に反映されるべきである。
Safe harbour provisions セーフハーバー規定
1.35Question 8 of the Discussion Paper proposes the introduction of an explicit obligation of confidentiality upon the Australian Signals Directorate (ASD) and the ACSC to improve engagement with organisations that experience a cyber incident and allow information to be shared between the organisation and ASD/ACSC without the concern that this will be shared with regulators. 1.35 ディスカッションペーパーの質問 8 では、サイバーインシデントを経験した組織との関わりを改善し、組織と ASD/ACSC の間で規制当局と共有される心配なく情報を共有できるように、オーストラリア信号局 (ASD) および ACSC に明確な守秘義務の導入が提案された。
1.36While the OAIC appreciates the importance of immediate collaboration and information sharing between affected entities and the ASD/ACSC to facilitate an effective immediate response to cyber incidents, there is a need to balance the facilitation of industry cooperation during an incident with the ability of regulatory agencies to enforce laws and deter non-compliance at an appropriate time. In particular, it is important that any confidentiality obligations do not impede the current reporting obligations under the NDB scheme nor subvert the OAIC’s regulatory role. Safe Harbour arrangements could take many forms. The OAIC’s view is that any such arrangements need to be developed carefully and subject to clear boundaries so that regulatory activity in the public interest is not impeded. While we appreciate the need to incentivise reporting to the ASD/ACSC and facilitate efforts to contain a breach and minimise the potential harms, entities must comply with their legal obligations under the Privacy Act, including their NDB reporting obligation and the obligation to take reasonable steps to protect their data under APP 11. 1.36 OAICは、サイバーインシデントへの効果的な即時対応を促進するために、影響を受ける組織とASD/ACSCの間で即時の協力と情報共有が重要であることを評価するが、インシデント発生中の業界の協力の促進を、規制機関が法律を施行し適切な時期に非遵守を抑止する能力とバランスを取る必要がある。特に、守秘義務がNDB制度に基づく現在の報告義務を阻害したり、OAICの規制的役割を覆したりしないことが重要である。セーフハーバーの取り決めには、様々な形態が考えられます。OAICの見解としては、そのような取り決めは、公益のための規制活動が阻害されないよう、明確な境界線に従って慎重に策定される必要があると思いる。ASD/ACSCへの報告を奨励し、違反の封じ込めや潜在的な被害を最小限に抑える努力を促進する必要性を評価するが、事業者は、NDB報告義務やAPP11に基づくデータ保護のための合理的な措置をとる義務など、プライバシー法に基づく法的義務を順守する必要がある。
Recommendation 8 – Any proposed obligations of confidentiality should be carefully designed in consultation with regulators, to ensure that agencies such as the OAIC are still able to obtain the information they need from affected entities at the appropriate time, and to exercise their functions and powers in the public interest. 提言 8 - 提案される守秘義務は、規制当局と協議の上、慎重に設計されるべきであり、OAICのような機関が適切な時期に影響を受ける事業者から必要な情報を入手し、公共の利益のためにその機能および権限を行使することができることを保証すべきである。
International interoperability and enhancing relationships with our neighbours 国際的な相互運用性と近隣諸国との関係強化
1.37Question 3 of the Discussion Paper seeks feedback on how Australia can work with its neighbours to build regional cyber resilience and better respond to cyber incidents. The OAIC considers that information sharing between nations on current cyber security risks, threat actors and best practice has a crucial role to play in achieving these objectives. 1.37 討議資料の質問 3 は、地域のサイバーレジリエンスを構築し、サイバーインシデントによりよく対応するために、オーストラリアが近隣諸国とどのように協力できるかについて意見を求めている。OAICは、現在のサイバーセキュリティリスク、脅威要因、ベストプラクティスに関する国家間の情報共有が、これらの目的を達成する上で重要な役割を果たすと考える。
1.38The OAIC’s membership of the newly formed Global Privacy Assembly Cybersecurity Sub-Working Group will allow us to leverage offshore technical expertise on cyber security and globally elevate the understanding of best practice strategies.[38] Participation in similar knowledge sharing international cooperation efforts by relevant Australian agencies will leverage international cyber security experience for a domestic context, helping to predict trends in the threat landscape. 1.38 OAIC が新たに設立された Global Privacy Assembly Cybersecurity Sub-Working Group のメンバーであることは、サイバーセキュリティに関する海外の技術的専門知識を活用し、ベストプラクティス戦略への理解を世界的に高めることを可能にする[38]。オーストラリアの関連機関による同様の知識共有の国際協力の取り組みへの参加は、国内の状況に応じたサイバーセキュリティに関する国際経験を活用して、脅威状況の傾向を予測するのに役立ちます。
1.39Similarly, Question 5 of the Discussion Paper seeks feedback on how Australia can better contribute to international standards-setting processes in relation to cyber security and shape laws in this area. In our experience, participation and leadership in the global dialogue on privacy and security has allowed the OAIC to shape the international narrative on privacy and security, and to promote globally consistent high standards. 1.39 同様に、ディスカッション・ペーパーの質問 5 では、オーストラリアがサイバーセキュリティに関 する国際的な基準設定プロセスにどのように貢献し、この分野の法律を形成することができるかについて意見を求め ている。我々の経験では、プライバシーとセキュリティに関する世界的な対話への参加とリーダーシップにより、OAICはプライバシーとセキュリティに関する国際的な物語を形成し、世界的に一貫した高水準を促進することができた。
1.40In addition, implementation of the reforms in the Privacy Act Review will bring Australia more in line with international standards, which will ensure Australia continues to be a major contributor to the global discussion on privacy and security. This will support good cyber security outcomes and provide a foundation for Australia to solidify its role as a global leader on cyber security related matters. 1.40 さらに、Privacy Act Review の改革を実施することで、オーストラリアは国際標準に沿うようになり、オーストラリアがプライバシーとセキュリティに関する世界的な議論に主要な貢献者であり続けることを保証する。これは、優れたサイバーセキュリティの成果を支援し、オーストラリアがサイバーセキュリティ関連事項のグローバルリーダーとしての役割を確固たるものにするための土台となる。
1.41Having contemporary and fit-for-purpose legislative frameworks will provide Australia with the credibility to influence international standard-setting processes, and shape global understandings on what laws and norms are necessary to uphold responsible state behaviour in relation to cyber security. 1.41 現代的で目的に合った法的枠組みを持つことは、国際的な標準設定プロセスに影響を与え、サイ バーセキュリティに関連する国家の責任ある行動を支持するために必要な法律や規範に関する世界的な 理解を形成する信頼性をオーストラリアに提供することになる。
Recommendation 9 – Support government agencies and regulators to engage with international counterparts to influence global dialogues in regulatory areas impacting cyber security, such as privacy, to promote consistently high standards around the world. 提言 9 - 政府機関や規制当局が、プライバシーなどサイバーセキュリティに影響を与える規制分野におけるグローバルな対話に影響を与えるために、国際的なカウンターパートと関わり、世界中で一貫して高い水準を推進することを支援すべきである。
Footnotes 脚注
[1] The OAIC is an independent Commonwealth regulator, established to bring together three functions: privacy functions (protecting the privacy of individuals under the Privacy Act 1988 (Cth), freedom of information (FOI) functions (access to information held by the Commonwealth Government in accordance with the Freedom of Information Act 1982 (Cth), and information management functions (as set out in the Australian Information Commissioner Act 2010 (Cth) (AIC Act). [1] OAICは、プライバシー機能(プライバシー法1988(Cth)に基づく個人のプライバシー保護)、情報公開機能(情報公開法1982(Cth)に基づく連邦政府保有情報へのアクセス)、情報管理機能(オーストラリア情報コミッショナー法2010(Cth)(AIC法)に規定される)の3機能を結集して設立された連邦の独立規制機関である。
[2] OAIC, Priorities for regulatory action 2022–23 , OAIC, accessed 13 March 2023. [2] OAIC, Priorities for regulatory action 2022-23 , OAIC, accessed 13 March 2023.
[4] Home Affairs, 2023–2030 Australian Cyber Security Strategy Discussion Paper , Home Affairs, Australian Government, 2023, p 14, accessed 22 March 2023. [4] Home Affairs, 2023-2030 Australian Cyber Security Strategy Discussion Paper , Home Affairs, Australian Government, 2023, p 14, accessed 22 March 2023.
[5] AGD, Privacy Act Review: Report 2022, AGD, Australian Government, 2023, accessed 13 March 2022. [5] AGD, Privacy Act Review: Report 2022, AGD, Australian Government, 2023, accessed 13 March 2022.
[6] Home Affairs, 2023–2030 Australian Cyber Security Strategy Discussion Paper , Home Affairs, Australian Government, 2023, p 14, accessed 22 March 2023. [6] Home Affairs, 2023-2030 Australian Cyber Security Strategy Discussion Paper , Home Affairs, Australian Government, 2023, p 14, accessed 22 March 2023.
[7] See Home Affairs, 2023–2030 Australian Cyber Security Strategy Discussion Paper , Home Affairs, Australian Government, 2023, p 24, Question 1: ‘What ideas would you like to see included in the Strategy to make Australia the most cyber secure nation in the world by 2030?’. [7] Home Affairs, 2023-2030 Australian Cyber Security Strategy Discussion Paper , Home Affairs, Australian Government, 2023, p 24, 質問1:「2030年までにオーストラリアを世界で最もサイバーセキュアな国にするための戦略に、どのようなアイデアを盛り込みたいですか?」を参照のこと。
[8] See AGD, Privacy Act Review: Report 2022, AGD, Australian Government, 2023, Chapter 20, accessed 28 March 2023. [8] AGD, Privacy Act Review を参照: Report 2022, AGD, Australian Government, 2023, Chapter 20, accessed 28 March 2023.
[9] Under APP 1, entities must take reasonable steps beyond technical security measures to protect and ensure the integrity of personal information throughout the information lifecycle, including by implementing strategies in relation to governance, internal practices, processes and systems, and dealing with third party providers. Under APP 11, entities are required to take reasonable steps to protect the personal information they hold from misuse, interference, loss, unauthorised access, modification, or disclosure. [9] APP1では、事業体は、ガバナンス、内部慣行、プロセス及びシステム、並びに第三者プロバイダとの取引に関連する戦略を実施することを含め、情報のライフサイクルを通じて個人情報の保護及び完全性を確保するために、技術的セキュリティ対策以外の合理的な措置を講じなければならない。APP11では、事業体は、保有する個人情報を誤用、干渉、損失、不正アクセス、修正、または開示から保護するために合理的な措置を講じることが要求されている。
[10] AGD, Privacy Act Review: Report 2022, AGD, Australian Government, 2023, accessed 21 March 2023. [10] AGD, Privacy Act Review: Report 2022, AGD, Australian Government, 2023, accessed 21 March 2023.
[11] See AGD, Privacy Act Review: Report 2022, AGD, Australian Government, 2023, Proposal 6.1, accessed 21 March 2023. In response to Question 15(a), which relates government assistance for small business to keep customers’ data safe, the OAIC is well placed to support small business to comply with the Privacy Act complementing existing government support. [11] AGD, Privacy Act Review を参照: Report 2022, AGD, Australian Government, 2023, Proposal 6.1, accessed 21 March 2023. 質問15(a)の、顧客のデータを安全に保つための中小企業に対する政府の支援に関連して、OAICは、既存の政府の支援を補完して、中小企業がプライバシー法を遵守するのを支援するのに適した立場にある。
[12] The proposed amendments would require entities to notify the OAIC and affected individuals within 72 hours of eligible data breaches (rather than the current 30 days) and to set out the steps they have taken or intend to take in response to the breach, including steps to reduce any adverse impacts on the affected individuals. [12] 提案された改正案は、事業者に対して、適格なデータ侵害が発生した場合、(現行の30日ではなく)72時間以内にOAICおよび影響を受ける個人に通知し、影響を受ける個人への悪影響を軽減するための措置を含む、侵害に対応して講じた、または講じる予定の措置を示すよう求めるものである。
[13] See AGD, Privacy Act Review: Report 2022, AGD, Australian Government, 2023, Proposals 28.2 and 28.3, accessed 21 March 2023. [13] AGD, Privacy Act Review を参照: Report 2022, AGD, Australian Government, 2023, Proposals 28.2 and 28.3, accessed 21 March 2023.
[14] See Recommendation 106, Privacy Act Review Discussion Paper: submission by the OAIC , OAIC, 2021, p 221, accessed 21 March 2023. [14] 提言 106, Privacy Act Review Discussion Paper: submission by the OAIC , OAIC, 2021, p 221, accessed 21 March 2023 を参照のこと。
[15] See AGD, Privacy Act Review: Report 2022, AGD, Australian Government, 2023, Proposal 21.2, accessed 20 March 2023. [15] AGD, Privacy Act Review を参照のこと: Report 2022, AGD, Australian Government, 2023, Proposal 21.2, accessed 2023年3月20日.
[16] See AGD, Privacy Act Review: Report 2022, AGD, Australian Government, 2023, Proposal 21.3, accessed 20 March 2023. [16] AGD, Privacy Act Reviewを参照のこと: Report 2022, AGD, Australian Government, 2023, Proposal 21.3, accessed 2023年3月20日.
[17] Home Affairs, 2023–2030 Australian Cyber Security Strategy Discussion Paper , Home Affairs, Australian Government, 2023, p 7, accessed 21 March 2023. [17] Home Affairs, 2023-2030 Australian Cyber Security Strategy Discussion Paper , Home Affairs, Australian Government, 2023, p 7, accessed 21 March 2023.
[18] The Hon Clare O’Neil MP, Prime Minister’s Cyber Security Roundtable [media release], Australian Government, 27 February 2023, accessed 14 March 2023. [18] The Hon Clare O'Neil MP, Prime Minister's Cyber Security Roundtable [media release], Australian Government, 27 February 2023, accessed 14 March 2023.
[19] Corporations Act 2001 (Cth), s 912A(1)(h) requires Australian financial services licensees to have adequate risk management systems in place. A failure of the system to manage cybersecurity risks may result in a breach of this obligation: see ASIC v RI Advice Group Pty Ltd [2022] FCA 496 . [19] 2001年会社法(Cth)、912A(1)(h)は、オーストラリアの金融サービス免許取得者に適切なリスク管理システムの設置を求めている。サイバーセキュリティのリスクを管理するシステムの失敗は、この義務の違反につながる可能性がある:ASIC v RI Advice Group Pty Ltd [2022] FCA 496 を参照。
[20] Prudential Standard CPS 234 Information Security requires APRA-regulated entities to take measures to be resilient against information security incidents (including cyber-attacks) by maintaining an information security capability commensurate with information security vulnerabilities and threats. The Standard requires entities to notify APRA of material information security incidents. Prudential Standard CPS 220 Risk Management requires APRA-regulated institutions to have systems for identifying, measuring, evaluating, monitoring, reporting, and controlling or mitigating material risks that may affect its ability to meet its obligations to depositors and/or policy holders. The Standard requires notification to APRA when an institution becomes aware of a significant breach of, or material deviation from, the risk management framework. [20] プルデンシャル基準 CPS 234 情報セキュリティは、情報セキュリティの脆弱性と脅威に見合った情報セキュリティ能力を維持することにより、情報セキュリティ事件(サイバー攻撃を含む)に対して弾力性を持つための措置を講じることを APRA 規制対象事業者に求めている。本基準は、事業体に対し、重要な情報セキュリティ・インシデントをAPRAに通知することを求めている。 プルデンシャル・スタンダードCPS220リスク管理は、APRAの規制下にある機関に対し、預金者や保険契約者 に対する義務を果たす能力に影響を与える可能性のある重要なリスクを特定、測定、評価、監視、報告、管理または 軽減するためのシステムを持つことを求めている。同基準は、金融機関がリスク管理の枠組みの重大な違反や重大な逸脱を認識した場合、APRAに通 知することを求めている。
[21] The OAIC welcomed the Privacy Legislation Amendment (Enforcement and Other Measures) Act 2022, which came into force on 13 December 2022, that provides greater information sharing powers under the Privacy Act and the AIC Act. These provisions ensure that the OAIC can efficiently and effectively cooperate with other regulators and entities during investigative and regulatory activities. This helps to ensure that duplicative investigation and regulatory responses – both domestically and globally – are avoided and limited resources are directed appropriately. [21] OAICは、2022年12月13日に施行された、プライバシー法およびAIC法の下でより大きな情報共有権限を提供するプライバシー法改正(施行およびその他の措置)法2022を歓迎した。これらの規定により、OAICは、調査および規制活動において、他の規制当局および団体と効率的かつ効果的に協力することができます。これにより、国内外を問わず、重複した調査や規制対応が回避され、限られた資源が適切に配分されるようになるのです。
[22] The Hon Clare O’Neil MP, Prime Minister’s Cyber Security Roundtable [media release], Australian Government, 27 February 2023, accessed 14 March 2023. [22] The Hon Clare O'Neil MP, Prime Minister's Cyber Security Roundtable [media release], Australian Government, 27 February 2023, accessed 14 March 2023.
[23] See Part 1, Division 1 of the SOCI Act 2018. [23] SOCI法2018のPart 1, Division 1を参照。
[24] See Part IIIC of the Privacy Act, in particular s 26WK in relation to notification obligations to the Information Commissioner and s 26WL in relation to notification obligations to individuals. [24] プライバシー法の第IIIC部、特に情報コミッショナーへの通知義務に関する第26WK条および個人への通知義務に関する第26WL条を参照のこと。
[25] See Part 2B of the SOCI Act. [25] SOCI 法の Part 2B を参照。
[26] See Part V of the Privacy Act, including s 36. [26] 第 36 条を含むプライバシー法の第 V 部を参照。
[27] CISC, Cyber security incident reporting , Factsheet, CISC, Home Affairs, Australian Government, 2022, accessed 24 March 2023. [27] CISC, Cyber security incident reporting , Factsheet, CISC, Home Affairs, Australian Government, 2022, accessed 24 March 2023.
[28] See Part 2A and Part 2B of the SOCI Act. [28] SOCI 法の第 2A 部および第 2B 部を参照のこと。
[29] See the definition of protected information in s 5 of the SOCI Act. The 11 critical infrastructure sectors are: Communications, Financial services and markets, Data storage or processing, Defence industry, Higher education and research, Energy, Food and grocery, Health care and medical, Space technology, Transport, Water and sewerage. See Defining critical infrastructure , CISC website, 23 February 2023, accessed 29 March 2023. [29] SOCI 法の第 5 条の保護情報の定義を参照のこと。11の重要インフラ部門は以下の通り: 通信、金融サービスおよび市場、データの保存または処理、防衛産業、高等教育および研究、エネルギー、食品および食料品、ヘルスケアおよび医療、宇宙技術、輸送、水および下水道。重要インフラの定義 , CISC ウェブサイト、2023 年 2 月 23 日、2023 年 3 月 29 日にアクセス参照。
[30] See SOCI Act, s 45. [30] SOCI 法、45 条を参照。
[31] See SOCI Act, s 46. [31] SOCI 法、第 46 条を参照のこと。
[32] See Part V, Division 1 of the Privacy Act. [32] プライバシー法のパート V、ディビジョン 1 を参照。
[33] This could be modelled on existing s 43AA, or similar. [33] これは既存の s 43AA または類似のものをモデルとすることができる。
[34] See Notifiable Data Breaches Report: January to June 2022 , OAIC website, 10 November 2022, which states that 162 of the 396 data breaches during the reporting period resulted from cyber security incidents (41%). [34] Notifiable Data Breaches Report を参照のこと: January to June 2022 , OAIC website, 10 November 2022 によれば、報告期間中の 396 件のデータ侵害のうち 162 件がサイバーセキュリティインシデントに起因している(41%)とされている。
[35] OAIC, Notifiable data breaches publications , OAIC website, n.d., accessed 28 March 2023. [35] OAIC, Notifiable data breaches publications , OAIC website, n.d., accessed 28 March 2023.
[36] President Biden’s Executive Order 14028 established the Cyber Safety Review Board (CSRB) for the purpose of reviewing major cyber events and making recommendations to drive improvements within the private and public sectors. See Executive Order on Improving the Nation’s Cybersecurity , EO 14028, The White House, 21 May 2021, accessed 15 March 2023. [36] バイデン大統領の大統領令14028は、主要なサイバーイベントをレビューし、民間および公的セクター内での改善を促進するための提言を行う目的で、サイバー安全性レビュー委員会(CSRB)を設立しました。国家のサイバーセキュリティの改善に関する大統領令 , EO 14028, The White House, 21 May 2021, accessed 15 March 2023を参照のこと。
[37] The Hon Clare O’Neil MP, Prime Minister’s Cyber Security Roundtable [media release], Australian Government, 27 February 2023, accessed 14 March 2023. [37] The Hon Clare O'Neil MP, Prime Minister's Cyber Security Roundtable [media release], Australian Government, 27 February 2023, accessed 14 March 2023.
[38] Global Privacy Assembly, Global Privacy Assembly [website], n.d., accessed 23 March 2023. [38] Global Privacy Assembly, Global Privacy Assembly [website], n.d., accessed 23 March 2023.

1_20230521055501

 

 

私が見過ごしていた、オーストラリア・サイバーセキュリティ戦略2023-2030。2022年12月11日ごろに公表されていたみたい...

Department of Home Affairs

2023-2030 Australian Cyber Security Strategy Discussion Paper

2023-2030 Australian Cyber Security Strategy Discussion Paper 2023-2030 年オーストラリア・サイバーセキュリティ戦略ディスカッションペーパー
On 8 December 2022, the Minister for Cyber Security, the Hon. Clare O’Neil MP, announced the development of the 2023-2030 Australian Cyber Security Strategy (the Strategy). The Minister has appointed an Expert Advisory Board to advise on the development of the Strategy. 2022年12月8日、サイバーセキュリティ担当大臣であるクレア・オニール議員は、2023-2030年オーストラリア・サイバーセキュリティ戦略(以下、戦略)の策定を発表しました。 大臣は、本戦略の策定について助言を行う専門家諮問委員会を任命した。
The Government is developing cyber security policy and initiatives under four key areas:  政府は、4つの主要分野のもと、サイバーセキュリティ政策とイニシアティブを展開している: 
・A secure economy and thriving cyber ecosystem ・安全な経済と繁栄するサイバーエコシステム
・A secure and resilient critical infrastructure and government sector ・安全で強靭な重要インフラと政府部門
・A sovereign and assured capability to counter cyber threats ・サイバー脅威に対抗するための主権的で確実な能力
・Australia as a trusted and influential global cyber leader, working in partnership with our neighbours to lift cyber security and build a cyber resilient region ・オーストラリアは信頼と影響力のあるグローバルなサイバーリーダーとして、近隣諸国と連携してサイバーセキュリティを強化し、サイバーレジリエントな地域を構築する。
Discussion paper and submissions ディスカッションペーパーと提出書類
The Expert Advisory Board has released a discussion paper seeking your views on how Government can achieve its vision under the 2023-2030 Australian Cyber Security Strategy: 専門家諮問委員会は、2023-2030年オーストラリア・サイバーセキュリティ戦略の下で、政府がどのようにビジョンを達成するかについて、皆様の意見を求めるディスカッションペーパーを発表した:

 

 

・[PDF] 2023-2030 Australian Cyber Security Strategy Discussion Paper

20230521-55642

仮対訳...

Continue reading "オーストラリア 情報保護室による「2023-2030年サイバーセキュリティ戦略ディスカッションペーパー」への意見提出"

| | Comments (0)

2023.05.20

NATO CCDCOE アイスランド、アイルランド、日本、ウクライナが新たに加盟

こんにちは、丸山満彦です。

NATO CCDCOEにNATO CCDCOE アイスランド、アイルランド、日本、ウクライナが貢献者 (Contributing Participants) として新たに加盟しましたね。。。

NATO CCDCOE (Cooperative Cyber Defence Centre of Excellence) は、サイバー防衛の技術 (Technology) 、戦略 (Strategy) 、作戦 (Operations) 、法律 (Law) の重点分野の学際的専門知識で加盟国やNATOを支援する組織で、研究、訓練、演習などをおこなっていますね。。。

 

⚫︎NATO CCDCOE

・2023.05.17 The NATO CCDCOE welcomes new members Iceland, Ireland, Japan, and Ukraine

 

浜田防衛大臣からのメッセージ...

SAKAI Yuki’s, Chargé d’Affaires ad interim of Embassy of Japan, message from Defence Minister Hamada 浜田防衛大臣からのメッセージ 坂井毅 日本大使館臨時代理大使
For Japan, strengthening response capabilities in the cyber domain is one of the top priorities. As a member of the CCDCOE, Japan will continue to make necessary contributions, further strengthen cooperation in cyber domain with NATO and like-minded countries, and maintain and defend international order based on universal values and international law. 日本にとって、サイバー領域における対応能力の強化は、最優先事項の一つである。CCDCOEのメンバーとして、日本は必要な貢献を続け、NATOや志を同じくする国々とのサイバー領域での協力をさらに強化し、普遍的な価値と国際法に基づく国際秩序を維持・防衛していきます。

 


 

⚫︎まるちゃんの情報セキュリティ気まぐれ日記

・2023.04.25 NATO 世界最大級のサイバー防衛演習「Locked Shields」 2023の優勝はスウェーデン・アイスランド合同チーム

・2023.04.12 NATO 世界最大級のサイバー防衛演習「Locked Shields」に3000人以上が参加

・2023.03.30 NATO CCDCOE 軍事用5Gネットワークと関連する軍事アプリケーションに対する中国のアプローチ

・2022.12.12 NATO CCDCOE 自律型船舶におけるサイバーセキュリティの考慮事項 (2022.11)

・2022.06.08 NATO CCDCOE 武力紛争時のプライバシーとデータ保護の権利

・2022.06.06 NATO CCDCOE 選挙干渉への対抗をテーマにしたイノベーションチャレンジ(52大学から56チームが参加)

・2022.05.06 NATO CCDCOE インシデント対応の自動化/自律化

・2022.04.08 NATO CCDCOE ウクライナ支援のためのサイバー自警団:法的分析

・2022.04.05 NATO CCDCOE タリンペーパー第13号:平時のサイバーアトリビューションに関する証明基準の開発

・2022.03.19 NATO CCDCOE サイバースペースの戦略的展望 2030:ホライズンスキャンニングと分析

・2022.03.13 NATO CCDCOE サイバー攻撃と第5条 - NATOの曖昧だが一貫した立場についてのメモ

・2022.02.22 NATO CCDCOE 最近のサイバー事件 軍事・国家安全保障の意思決定者のための検討事項 第14号は2021年の振り返り (2022.01)

・2022.02.22 NATO CCDCOE 「国家サイバーセキュリティ戦略策定のためのガイド」第2版 (2021.11)

・2021.12.19 NATO CCDCOE 2022年版サイバーセキュリティトレーニングカタログ

・2021.08.29 NATO CCDCOE サイバー・インテリジェンスの観点から見た敵対的生成ネットワーク

・2021.05.09 NATO CCDCOE (Cooperative Cyber Defence Centre of Excellence) 5月発行の第10号の特集は「ソフトウェアサプライチェーン」

・2020.12.16 NATO CCDCOEがタリンマニュアル3.0の開発を進めるとアナウンスしていますね。。。

 

| | Comments (0)

米国 連邦政府職員対抗 第4回大統領杯サイバーセキュリティ競技会の表彰@ホワイトハウス

こんにちは、丸山満彦です。

米国連邦l政府では、職員(軍含む)対抗のサイバーセキュリティ競技会が開催されています。2022年に開催された競技会の入賞者の表彰がホワイトハウスで行われたようですね。。。(2023年も国防授権法に記載され、予算措置がとられています。。。)

 

⚫︎CISA

・2023.05.18 CISA and ONCD Award Champions of the Fourth Annual President’s Cup Cybersecurity Competition 

 

CISA and ONCD Award Champions of the Fourth Annual President’s Cup Cybersecurity Competition  CISAとONCDが第4回大統領杯サイバーセキュリティ競技会の優勝者を表彰 
Top cyber talent from the Federal Government honored in White House ceremony    連邦政府の優秀なサイバー人材がホワイトハウスの式典で表彰される   
WASHINGTON – The Cybersecurity and Infrastructure Security Agency (CISA) and Office of the National Cyber Director (ONCD) awarded the winners of the fourth annual President’s Cup Cybersecurity Competition in a private ceremony at the White House on Monday, May 15.    ワシントン - サイバーセキュリティ・重要インフラセキュリティ庁 (CISA) と国家セキュリティ補佐官室 (ONCD) は、5月15日(月)にホワイトハウスで行われたプライベートセレモニーで、第4回大統領杯サイバーセキュリティ競技会の入賞者を表彰しました。   
The individual winners are Ben Marks from the National Security Agency in the defensive track, and U.S. Army Chief Warrant Officer 1 Andrew Fricke from the 781st Military Intelligence Battalion in the offensive track. For the third year in a row, the winning team came from the U.S. Army’s 780th Military Intelligence Brigade.  個人優勝者は、ディフェンシブ・トラックで国家安全保障局のBen Marks氏、オフェンシブ・トラックで第781軍事情報大隊のAndrew Fricke米陸軍首席准尉1名です。3年連続の優勝チームは、アメリカ陸軍第780軍事情報旅団からでした。 
“We lean on our professional cyber workforce to be skilled, innovative and challenge the status quo to protect networks and systems and achieve a new era of sustainable cybersecurity,” said CISA Deputy Director Nitin Natarajan during the award ceremony. “The President’s Cup showcased this incredibly talented and skilled cyber workforce within our government and military; I applaud the winners and greatly appreciate all that competed.”  CISA副局長のNitin Natarajanは、「ネットワークやシステムを保護し、持続可能なサイバーセキュリティの新時代を実現するために、我々は、熟練し、革新的で、現状に挑戦するプロのサイバー人材に期待しています」と授賞式で語りました。「大統領杯は、政府や軍にいる非常に優秀で熟練したサイバー人材を紹介するもので、受賞者に拍手を送るとともに、出場したすべての人に大いに感謝しています。 
Led and hosted by CISA, the President’s Cup presents competitors with a series of challenges designed around the National Initiative for Cybersecurity Education (NICE) Framework Work Roles to identify, recognize, and reward the best cybersecurity talent across the federal workforce. The 2022 competition had nearly 240 teams and more than 1,100 individuals participate for the top prizes. Ten departments and agencies sent competitors for the first time.    CISAが主導・主催するPresident's Cupは、連邦政府の労働力全体で最高のサイバーセキュリティ人材を特定し、認識し、報いるために、National Initiative for Cybersecurity Education (NICE) Framework Work Rolesを中心に設計された一連の課題を競技者に提示するものである。2022年の大会では、240近いチームと1,100人以上の個人が参加し、上位入賞を目指しました。10省庁が初めて競技者を派遣しました。   
“The President’s Cup Cybersecurity Competition recognizes the very best and brightest of the federal government,” said Kemba Walden, Acting National Cyber Director. “The Biden-Harris Administration’s sustained investment in the federal government’s incredible cybersecurity talent is a cornerstone principle of the forthcoming National Cyber Workforce and Education Strategy. As part of this strategy, we will continue to elevate our federal cyber personnel and propel our entire nation into the workforce of the future. Congratulations to all the winners!”    「大統領杯サイバーセキュリティ・競技会は、連邦政府の最も優秀な人材を表彰するものです」と、国家サイバー長官代理のケンバ・ウォルデンは述べています。バイデン-ハリス政権は、連邦政府の素晴らしいサイバーセキュリティ人材に持続的に投資しており、近々発表される「国家サイバー人材・教育戦略」の基本方針となっています。この戦略の一環として、私たちは連邦政府のサイバー人材を高め、国全体を未来の労働力へと押し上げていくつもりです。受賞者の皆さん、おめでとうございます!"   
The 2022 competition featured two individual tracks – one challenged competitor’s offensive skills, such as those within the exploitation analyst and cyber operator NICE work roles, and the other challenged defensive skills, such as those within the incident response and forensics analyst work roles. The team’s competition tested skills from a full range of work roles, such as threat/warning analyst, cyber defense analyst and network operations specialist.     2022年の大会では、2つの個人トラックが用意され、1つはエクスプロイト・アナリストやサイバー・オペレーターNICEの職務に含まれるような競技者の攻撃的スキルを問うもの、もう1つはインシデントレスポンスやフォレンジック・アナリストの職務に含まれるような防御的スキルを問うものでした。 脅威/警告アナリスト、サイバーディフェンスアナリスト、ネットワークオペレーションスペシャリストなど、あらゆる職種のスキルが問われる大会となりました。    
The President’s Cup Cybersecurity Competition is open to the federal civilian workforce and members of the military. Watch videos from the 2022 and previous competitions and learn more information about the annual event at President's Cup Cybersecurity Competition.   大統領杯サイバーセキュリティ競技会は、連邦政府の文民労働者と軍人に門戸を開いています。 2022年大会と前回大会のビデオをご覧になり、大統領杯サイバーセキュリティ競技会で毎年恒例のイベントに関する詳細情報をご確認ください。  

 

 

President's Cup Cybersecurity Competition

 

第4回の大会

PRESIDENT'S CUP IV

 

・[Youtube] Highlights from the Fourth Annual President's Cup Cybersecurity Competition

 

20230520-60026

 

過去の大会

President's Cup Cybersecurity Competition Archive

 


 

⚫︎ まるちゃんの情報セキュリティ気まぐれ日記

・2022.12.25 米国 バイデン大統領が2023年国防授権法にサインをしましたね。。。


| | Comments (0)

米国 ホワイトハウス G7 バイデン大統領と岸田総理大臣との会談

こんにちは、丸山満彦です。

 

G7の会合に先立って、日米の首脳による個別会談がおこなわれのですが、米国側のポイントは次ですかね。。。もちろん、核とウクライナ問題は当然あります。。。

  • 防衛投資
  • インド太平洋(クアッド含む)
  • クリーンエネルギー
  • 重要鉱物
  • 量子コンピュータ
  • 半導体
  • 日米企業・大学のパートナーシップ
  • 日韓関係の改善

 

⚫︎ U.S. White House

・2023.05.18 Readout of President Biden’s Meeting with Prime Minister Kishida of Japan

 

Readout of President Biden’s Meeting with Prime Minister Kishida of Japan バイデン大統領、岸田首相との会談の声明
President Joseph R. Biden, Jr. met with Prime Minister Kishida Fumio of Japan in Hiroshima today to advance cooperation on a range of security, economic, and regional issues.  He underscored that the U.S.-Japan Alliance is the cornerstone of regional peace and prosperity, and reaffirmed the U.S. extended deterrence commitment using the full range of U.S. capabilities.  Both leaders discussed ways to further strengthen defense cooperation, building on Japan’s revised strategy documents and increased defense investments.  バイデン大統領は本日、広島で岸田文雄首相と会談し、安全保障、経済、地域問題など幅広い分野での協力を推進した。 バイデン氏は、日米同盟が地域の平和と繁栄の礎であることを強調し、米国のあらゆる能力を用いた米国の拡大抑止のコミットメントを再確認した。 両首脳は、日本が改訂した戦略文書や防衛投資の増加に基づき、防衛協力をさらに強化する方法について議論した。 
They also addressed efforts to bolster economic cooperation, including through negotiations on the Indo-Pacific Economic Framework (IPEF), the promotion of clean and secure energy, and the establishment of diverse and resilient critical minerals supply chains.  The leaders highlighted their deepening cooperation on emerging technology, including the finalization of a memorandum of cooperation on education and technology and the launching of new partnerships between U.S. and Japanese companies and universities, including the University of Chicago and Purdue University, in areas like quantum computing and semiconductors.  The President thanked the Prime Minister for Japan’s commitment to increase investment in these areas.   両首脳はまた、インド太平洋経済枠組み(IPEF)の交渉、クリーンで安全なエネルギーの促進、多様で強靭な重要鉱物のサプライチェーンの確立を含む、経済協力強化のための努力についても言及した。 両首脳は、教育・技術に関する協力覚書の最終決定や、量子コンピュータや半導体などの分野におけるシカゴ大学やパデュー大学を含む日米企業・大学間の新たなパートナーシップの立ち上げなど、新興技術に関する協力の深化を強調しました。 大統領は、これらの分野への投資を増やすという日本のコミットメントに対して、首相に謝意を表明した。 
Both leaders affirmed their resolve to continue supporting Ukraine as it defends itself from Russia’s brutal and unlawful invasion, and committed to work closely together to address regional security challenges, including the Democratic People’s Republic of Korea’s (DPRK) nuclear and ballistic missile programs and coercive behavior by the People’s Republic of China that runs counter to international law. The President reaffirmed the U.S. commitment to the immediate resolution of the abductions issue.  The two leaders underscored their opposition to any attempts to change the status quo by force, and reiterated their resolve to maintain peace and stability across the Taiwan Strait. They also reaffirmed their support for ASEAN centrality, and emphasized the importance of increasing multilateral cooperation in the Indo-Pacific region, particularly with the Republic of Korea (ROK), the Quad nations including Australia and India, Southeast Asia, and the Pacific Islands.  The President commended Prime Minister Kishida on his courageous efforts to improve bilateral ties with the ROK, which will contribute to greater regional stability and prosperity. 両首脳は、ロシアの残忍かつ不法な侵略から自らを守るウクライナを引き続き支援する決意を確認し、朝鮮民主主義人民共和国(DPRK)の核・弾道ミサイル計画や国際法に反する中華人民共和国の強制的行動など、地域の安全保障課題に取り組むために緊密に連携していくことを約束した。 大統領は、拉致問題の即時解決に向けた米国のコミットメントを再確認した。 両首脳は、力による現状変更の試みに反対することを強調し、台湾海峡の平和と安定を維持する決意を改めて表明した。 また、ASEANの中心性を支持することを再確認し、インド太平洋地域、特に韓国(ROK)、オーストラリアやインドを含むクアッド諸国、東南アジア、太平洋諸島との多国間協力を拡大することの重要性を強調した。 大統領は、韓国との二国間関係を改善し、地域の安定と繁栄に貢献するための岸田首相の勇気ある努力を賞賛した。
The two leaders committed to continue deepening the bilateral relationship to advance their shared vision for a free and open Indo-Pacific.  The President said he looked forward to a productive G7 Summit under Japan’s leadership. 両首脳は、自由で開かれたインド太平洋という共通のビジョンを推進するため、二国間関係を引き続き深めていくことを約束した。 大統領は、日本のリーダーシップの下、生産的なG7サミットが開催されることを期待すると述べた。

 

・2023.05.18 Remarks by President Biden and Prime Minister Kishida Fumio of Japan Before Bilateral Meeting

Remarks by President Biden and Prime Minister Kishida Fumio of Japan Before Bilateral Meeting バイデン大統領と岸田文雄首相による二国間会談前のコメント
RIHGA Royal Hotel Hiroshima リーガロイヤルホテル広島
Hiroshima, Japan 日本、広島
6:02 P.M. JST 午後6時2分(日本時間)
PRIME MINISTER KISHIDA: (As interpreted.)  Joe, the last time we met in person was in January upon my visit to the U.S.  And it is indeed a great pleasure to see you again in person and especially to welcome you, Joe, here in my hometown. 岸田首相:(通訳)ジョー、前回直接お会いしたのは1月の訪米時でした。
The Japan-U.S. alliance is the very foundation of peace and security in the Indo-Pacific.  Japan and the United States have a strong relationship not only in the area of security, we have close and strong cooperation in all areas.  We very much welcome that the cooperation has evolved by leaps and bounds.  日米同盟は、インド太平洋地域の平和と安全保障の基盤です。  日米は安全保障の分野だけでなく、あらゆる分野で緊密で強力な協力関係を築いています。  この協力関係が飛躍的に発展していることを、私たちは大いに歓迎しています。 
Here in Hiroshima, the U.S. company Micron is engaged in leading semiconductor research, development, and manufacturing.  And this is a great case of Japan-U.S. semiconductor cooperation, and Japanese government will continue to support Micron’s efforts. ここ広島では、米国のマイクロン社が半導体の研究・開発・製造をリードしています。  これは日米半導体協力の素晴らしい事例であり、日本政府もマイクロンの努力を引き続き支援していきます。
And based upon our vision to develop an ecosystem for innovation and startups in deep tech as we plan to create a global startup campus in central Tokyo, joint study with the Massachusetts Institute of Technology — the MIT, one of the leading universities of the United States — has commenced.  By gaining cooperation from the United States, we will materialize such vision. また、東京都心にグローバルスタートアップキャンパスを設立する計画で、ディープテックのイノベーションとスタートアップのためのエコシステムを開発するというビジョンに基づき、米国を代表する大学であるマサチューセッツ工科大学との共同研究が開始されました。  米国の協力を得ることで、このようなビジョンを具体化します。
Today, Joe and I will go over what we intend to discuss at the G7 Hiroshima Summit and engage in last-minute coordination.  And at the summit, I am confident that the G7 will demonstrate our unwavering will to uphold free and open international order based on the rule of law — a concept that we both share. 今日は、G7広島サミットで議論する内容をジョーと確認し、ギリギリの調整を行います。  そして、このサミットで、G7が、法の支配に基づく自由で開かれた国際秩序を維持するという、私たち二人が共有するコンセプトに対する揺るぎない意志を示すと確信しています。
PRESIDENT BIDEN:  Well, Mr. President [Prime Minister], it’s wonderful to see you again and here in your own hometown.  The — and thank you for hosting the G7 Summit here.  バイデン大統領:さて、大統領(首相)、再び、そしてここ地元でお会いできるのは素晴らしいことです。  G7サミットをこの地で開催していただき、ありがとうございます。 
Under Japan’s leadership, we’ve already delivered progress on the G7 agenda this year.  And I’m looking forward to our meetings in the days ahead. 日本のリーダーシップの下、私たちは今年、G7の議題についてすでに進展を実現しました。  そして、これからの数日間、私たちの会議を心待ちにしています。
As you said back in January when you were at the White House, I think the quote is: We face the most — one of the most complex environments in recent history — security environments.  And I couldn’t agree with you more. 1月にホワイトハウスにいらっしゃったときにおっしゃった言葉だと思います: 私たちは、最近の歴史の中で最も複雑な環境、つまり安全保障環境に直面しています。  これ以上ないほど同意します。
But I’m proud that the United States and Japan are facing it together.  And, you know, we stand up for the shared values, including supporting the brave people of Ukraine as they defend their sovereign territory and holding Russia accountable for its brutal aggression. しかし、私は、日米が共にこの問題に立ち向かっていることを誇りに思います。  そして、ウクライナの勇敢な人々が主権を守るのを支援し、ロシアの残忍な侵略の責任を追及するなど、共通の価値観のために立ち上がっています。
And we’re tracking the global challenges — from strengthening our community and our commitment to nuclear nonproliferation, to ensuring a free and open Indo-Pacific.  That’s at the heart of all this. そして、私たちは、核不拡散に対する私たちのコミュニティとコミットメントの強化から、自由で開かれたインド太平洋の確保に至るまで、世界的な課題を追跡しています。  これがすべての核心です。
And, you know, we’re — it seems to me we’re — we’re deepening our cooperation on emerging technologies, including — including new partnerships between the United States and Japanese companies and, as you mentioned, universities as well in area- — in areas like quantum computing and semiconductors.  And I want to thank you for Japan’s commitment to increase investment in these areas. また、私たちは、量子コンピューターや半導体などの分野で、米国と日本の企業、そしておっしゃるように大学間の新しいパートナーシップを含め、新興技術に関する協力を深めているように思われます。  そして、これらの分野への投資を拡大するという日本のコミットメントに感謝したいと思います。
The bottom line, Mr. Prime Minister, is that when our countries stand together, we stand stronger.  And I believe the whole world is safer when we do. 総理、結論から申し上げると、私たちの国が一つになれば、私たちはより強くなれるということです。  そして、私たちがそうすることで、全世界がより安全になると私は信じています。
So, thank you again for having me here today.  And we look forward to the next several days. ですから、今日、私をここにお招きいただき、改めて感謝いたします。  そして、これからの数日間を楽しみにしています。
6:06 P.M. JST 午後6時6分(日本時間)

 

 

Fig1_20210802074601

 


 

日本側の公表

⚫︎ 外務省 - G7広島サミット

・2023.05.18 日米首脳会談


 5月18日午後6時から約1時間10分、岸田文雄内閣総理大臣は、G7広島サミット出席のため訪日中のジョセフ・バイデン米国大統領(The Honorable Joseph R. Biden, Jr., President of the United States of America)と会談を行ったところ、概要は以下のとおりです。

  1. 冒頭、岸田総理大臣から、本年1月の訪米以来の再会を嬉しく思う旨述べた上で、日米同盟はインド太平洋地域の平和と安定の礎であり、日米関係は、安全保障や経済にとどまらず、あらゆる分野で重層的な協力関係にあると述べたのに対し、バイデン大統領から、日米両国は基本的価値を共有しており、日米同盟はかつてなく強固である旨述べました。

  2. 岸田総理大臣から、ディープテック分野のイノベーション及びスタートアップのエコシステムを構築するため、「グローバル・スタートアップ・キャンパス」を東京都心(目黒・渋谷)に創設すべく、米国のリーディング大学の一つであるマサチューセッツ工科大学(MIT)と連携しフィージビリティ・スタディを実施し、米国の協力も得つつ構想の具体化を強力に進める旨述べ、両首脳はスタートアップ、イノベーションの分野で両国が緊密に連携することの重要性で一致しました。また、両首脳は、教育・科学技術分野における日米間の協力に関する覚書が作成されることを歓迎しました。

  3. 両首脳は、日米安全保障協力について意見交換を行い、1月の日米安全保障協議委員会(日米「2+2」)や日米首脳会談の成果を踏まえた日米同盟の抑止力・対処力の一層の強化に向けた協力を継続していくことを改めて確認しました。また、両首脳は、米国の拡大抑止が日本の強化される防衛力と相まって、日本の安全及び地域の平和と安定の確保に果たす不可欠な役割を再確認しました。

  4. バイデン大統領からは、核を含むあらゆる種類の米国の能力によって裏付けられた、日米安全保障条約の下での日本の防衛に対する米国のコミットメントが改めて表明され、両首脳は、そうした文脈において、情勢が進展する際のあらゆる段階において二国間の十分な調整を確保する意思を改めて確認しました。両首脳は、直近の日米「2+2」や日米拡大抑止協議における、米国の拡大抑止に関する活発かつ突っ込んだ議論を評価し、こうした議論を一層強化していくことの重要性を改めて確認しました。

  5. 両首脳は、インド太平洋地域、とりわけ東アジアにおいて、力による一方的な現状変更の試みを許してはならないという観点も踏まえつつ、地域情勢について意見交換を行いました。
  • (1)両首脳は、中国をめぐる諸課題への対応に当たり、引き続き日米で緊密に連携していくことで一致しました。また、両首脳は、中国と共通の課題については協力していくことの重要性を確認しました。さらに、両首脳は、台湾海峡の平和と安定の重要性を強調するとともに、両岸問題の平和的解決を促しました。
  • (2)岸田総理大臣から、今月上旬の訪韓に触れつつ、日韓関係を更に進展させていく旨述べたのに対し、バイデン大統領から、日韓関係の改善を歓迎する旨述べました。両首脳は、国連安保理決議に従った北朝鮮の完全な非核化に向け、日米韓の安全保障協力を含む地域の抑止力強化や安保理での対応において、引き続き日米、日米韓で緊密に連携していくことで一致しました。また、岸田総理大臣から、拉致問題の即時解決に向けた米国の引き続きの理解と協力を求め、バイデン大統領から、改めて全面的な支持を得ました。
  • (3)両首脳は、ロシアによるウクライナ侵略について、引き続きG7を始めとする同志国と緊密に連携しながら、厳しい対露制裁と強力なウクライナ支援を継続していくことで一致しました。
  • (4)両首脳は、いわゆるグローバル・サウスへの関与や支援の重要性を確認しました。
  1. 両首脳は、明19日から行われるG7広島サミットに向け、国際社会や地域の課題に対するG7の揺るぎない結束を世界に示すべく、日米でも緊密に連携していくことで一致しました。

  2. 両首脳は、地域の経済秩序に対する米国の関与がますます重要となっているとの認識を共有し、IPEFについても意見交換するとともに、岸田総理大臣から、環太平洋パートナーシップに関する包括的及び先進的な協定(CPTPP)についての我が国の考えと取組を伝えました。

  3. 両首脳は、重要技術の育成・保護の重要性に関する認識を共有し、量子及び半導体分野における日米間の大学及び企業間でのパートナーシップ締結が予定されていることを歓迎するとともに、バイオやAIといった分野にも協力を広げていくことで一致しました。さらに、両首脳は、エネルギー安全保障の強化に向けて取り組む重要性を共有しました。また、日米経済政策協議委員会(経済版「2+2」)において、経済安全保障の協力を具体化させることで一致しました。
(参考)別添

 

G7関係


 

| | Comments (0)

米国 司法省 LockBit、Babuk、Hiveに関わったロシア人を起訴

こんにちは、丸山満彦です。

米国の司法省がLockBit、Babuk、Hiveなどのランサムウェアに関わったロシア人を起訴しましたね。。。

報奨金制度も活用されたようですね。。。そして、今回は日本の警察も協力したと明記されています!

 

⚫︎U.S. Department of Justice

・2023.05.16 Russian National Charged with Ransomware Attacks Against Critical Infrastructure

 

Russian National Charged with Ransomware Attacks Against Critical Infrastructure 重要インフラに対するランサムウェア攻撃でロシア人を起訴
Ransomware Attacks Against Law Enforcement Agencies in Washington, D.C. and New Jersey, As Well As Other Victims Worldwide; U.S. Department of State Offers Reward Up to $10M ワシントンD.C.およびニュージャージー州の法執行機関や世界各地の被害者を狙ったランサムウェア攻撃、米国務省が最高1000万ドルの報奨金を提供
The Justice Department today unsealed two indictments charging a Russian national and resident with using three different ransomware variants to attack numerous victims throughout the United States, including law enforcement agencies in Washington, D.C. and New Jersey, as well as victims in healthcare and other sectors nationwide. 司法省は本日、3種類の異なるランサムウェアを使用して、ワシントンD.C.やニュージャージー州の法執行機関、ヘルスケアやその他の分野の被害者を含む米国内の多数の被害者を攻撃したとして、ロシア国籍および居住者を起訴する2つの起訴状を公開した。
According to the indictment obtained in the District of New Jersey, from at least as early as 2020, Mikhail Pavlovich Matveev, aka Wazawaka, aka m1x, aka Boriselcin, aka Uhodiransomwar, allegedly participated in conspiracies to deploy three ransomware variants. These variants are known as LockBit, Babuk, and Hive, and Matveev transmitted ransom demands in connection with each. The perpetrators behind each of these variants, including Matveev, have allegedly used these types of ransomware to attack thousands of victims in the United States and around the world. These victims include law enforcement and other government agencies, hospitals, and schools. Total ransom demands allegedly made by the members of these three global ransomware campaigns to their victims amount to as much as $400 million, while total victim ransom payments amount to as much as $200 million. ニュージャージー州で入手した起訴状によると、少なくとも2020年初頭から、Mikhail Pavlovich Matveev(別名Wazawaka、別名m1x、別名Boriselcin、別名Uhodiransomwar)が、3つのランサムウェア亜種を展開する共謀に参加したとされている。これらの亜種は、LockBit、Babuk、Hiveとして知られており、Matveevはそれぞれに関連して身代金の要求を送信した。Matveevを含むこれらの亜種の背後にいる犯人は、これらのタイプのランサムウェアを使用して、米国および世界中の数千人の被害者を攻撃したとされている。これらの被害者には、法執行機関やその他の政府機関、病院、学校などが含まれる。これら3つの世界的なランサムウェアキャンペーンのメンバーが被害者に対して行ったとされる身代金の要求総額は4億ドルにものぼり、被害者の身代金の支払い総額は2億ドルにものぼる。
“From his home base in Russia, Matveev allegedly used multiple ransomware variants to attack critical infrastructure around the world, including hospitals, government agencies, and victims in other sectors,” said Assistant Attorney General Kenneth A. Polite, Jr. of the Justice Department’s Criminal Division. “These international crimes demand a coordinated response. We will not relent in imposing consequences on the most egregious actors in the cybercrime ecosystem.” 司法省刑事局のKenneth A. Polite, Jr司法長官補佐官は次のように述べた。「Matveevは、ロシアの本拠地から、複数のランサムウェアの亜種を使って、病院、政府機関、その他の分野の被害者を含む世界中の重要インフラを攻撃したとされている。このような国際的な犯罪には、協調して対応することが必要である。我々は、サイバー犯罪のエコシステムにおける最も悪質な行為者に結果を課すことに容赦はしない。」
On or about June 25, 2020, Matveev and his LockBit coconspirators allegedly deployed LockBit ransomware against a law enforcement agency in Passaic County, New Jersey. Additionally, on or about May 27, 2022, Matveev and his Hive coconspirators allegedly deployed Hive against a nonprofit behavioral healthcare organization headquartered in Mercer County, New Jersey. On April 26, 2021, Matveev and his Babuk coconspirators allegedly deployed Babuk against the Metropolitan Police Department in Washington, D.C. 2020年6月25日頃、Matveevと彼のLockBit共謀者は、ニュージャージー州パサイック郡の法執行機関に対してLockBitランサムウェアを展開したとされている。さらに、2022年5月27日頃、Matveevと彼のHive共謀者は、ニュージャージー州マーサー郡に本部を置く非営利の行動医療組織に対してHiveを展開したとされている。2021年4月26日、Matveevと彼のBabuk共謀者は、ワシントンD.C.のメトロポリタン警察に対してBabukを配備したとされている。
“From Russia and hiding behind multiple aliases, Matveev is alleged to have used these ransomware strains to encrypt and hold hostage for ransom the data of numerous victims, including hospitals, schools, nonprofits, and law enforcement agencies, like the Metropolitan Police Department in Washington, D.C.,” said U.S. Attorney Philip R. Sellinger for the District of New Jersey. “Thanks to the extraordinary investigative work of prosecutors from my office and our FBI partners, Matveev no longer hides in the shadows – we have publicly identified his criminal acts and charged him with multiple federal crimes. Let today’s charges be a reminder to cybercriminals everywhere – my office is devoted to combatting cybercrime and will spare no resources in bringing to justice those who use ransomware attacks to target victims.”  ニュージャージー州地区連邦検事フィリップ R. セリンジャーは次のように述べた。「ロシア出身で複数の偽名に隠れていたMatveevは、これらのランサムウェア株を使用して、病院、学校、非営利団体、ワシントンDCのメトロポリタン警察のような法執行機関を含む多数の被害者のデータを暗号化して身代金のために人質にしたとされている。私の事務所の検察官とFBIのパートナーの並外れた捜査活動のおかげで、マトヴェフはもはや影に隠れることはなく、我々は彼の犯罪行為を公に特定し、複数の連邦犯罪で彼を告発した。私のオフィスはサイバー犯罪との闘いに専念しており、ランサムウェア攻撃を利用して被害者を狙う者を裁くために資源を惜まない。 今日の告発は、あらゆるサイバー犯罪者への注意喚起となるだろう。」 
According to the indictment obtained in the District of Columbia, between April 21, 2021, and May 9, 2021, Matveev allegedly participated in conspiracies to deploy Babuk and to transmit a ransom demand. Specifically, on April 26, 2021, Matveev and his Babuk co-conspirators allegedly deployed Babuk ransomware against the Metropolitan Police Department in Washington, D.C., and then threatened to disclose sensitive information to the public unless a payment was made. コロンビア特別区で入手した起訴状によると、2021年4月21日から2021年5月9日の間に、MatveevはBabukを展開し、身代金の要求を送信するための共謀に参加したとされている。具体的には、2021年4月26日、MatveevとBabukの共謀者は、ワシントンDCのメトロポリタン警察に対してBabukランサムウェアを展開し、支払いがなければ機密情報を公開すると脅迫したとされている。
“Data theft and extortion attempts by ransomware groups are corrosive, cynical attacks on key institutions and the good people behind them as they go about their business and serve the public,” said U.S. Attorney Matthew M. Graves for the District of Columbia. “Whether these criminals target law enforcement, other government agencies, or private companies like health care providers, we will use every tool at our disposal to prosecute and punish such offenses. Thanks to exceptional work by our partners here, we identified and charged this culprit.” コロンビア特別区の連邦検事Matthew M. Gravesは次のように述べた。「ランサムウェアグループによるデータ窃盗と恐喝の試みは、主要な機関や、その背後にいる善良な人々がビジネスを行い、公共のために奉仕することに対する腐敗した皮肉な攻撃である。これらの犯罪者が法執行機関、他の政府機関、またはヘルスケアプロバイダーのような民間企業を標的にしているかどうかにかかわらず、我々はそのような犯罪を起訴して罰するために自由に使えるあらゆる手段を使用する。今回のパートナーたちの優れた働きにより、我々はこの犯人を特定し、起訴することができた」。
“The FBI is steadfast in our commitment to disrupting cybercriminals like Matveev,” said Assistant Director Bryan Vorndran of the FBI’s Cyber Division. “The FBI will continue to impose costs on cyber adversaries through our joint collaboration with our private sector and international partners, and we will not tolerate these criminal acts against American citizens.” FBIのサイバー部門のアシスタントディレクターBryan Vorndranは次のように述べている。「FBIは、Matveevのようなサイバー犯罪者を崩壊させるという約束を堅持している。FBIは、民間企業や国際的なパートナーとの共同作業を通じて、サイバー敵対者にコストをかけ続けるとともに、米国市民に対するこうした犯罪行為を容認することはない。」
The LockBit ransomware variant first appeared around January 2020. LockBit actors have executed over 1,400 attacks against victims in the United States and around the world, issuing over $100 million in ransom demands and receiving over $75 million in ransom payments. LockBitランサムウェアの亜種は、2020年1月頃に初めて出現した。LockBitのアクターは、米国および世界中の被害者に対して1,400件以上の攻撃を実行し、1億ドル以上の身代金要求を出し、7500万ドル以上の身代金の支払いを受けている。
The Babuk ransomware variant first appeared around December 2020. Babuk actors executed over 65 attacks against victims in the United States and around the world, issuing over $49 million in ransom demands and receiving as much as $13 million in ransom payments. Babukランサムウェアの亜種は、2020年12月頃に初めて出現した。Babukのアクターは、米国および世界中の被害者に対して65回以上の攻撃を実行し、4900万ドル以上の身代金要求を発行し、1300万ドルもの身代金の支払いを受けた。
Since June 2021, the Hive ransomware group has targeted more than 1,400 victims around the world and received as much as $120 million in ransom payments. 2021年6月以降、Hiveランサムウェアグループは、世界中の1,400人以上の被害者を標的とし、1億2千万ドルもの身代金の支払いを受けた。
The LockBit, Babuk, and Hive ransomware variants operated in the same general manner: first, the ransomware actors would identify and unlawfully access vulnerable computer systems, sometimes through their own hacking, or by purchasing stolen access credentials from others. Second, the actors would deploy the ransomware variant within the victim computer system, allowing the actors to encrypt and steal data thereon. Next, the actors would send a ransom note to the victim demanding a payment in exchange for decrypting the victim’s data or refraining from sharing it publicly. Finally, the ransomware actors would negotiate a ransom amount with each victim willing to pay. If a victim did not pay, ransomware actors would often post that victim’s data on a public website, often called a data leak site.   LockBit、Babuk、およびHiveランサムウェアの亜種は、同じ一般的な方法で動作する。まず、ランサムウェアの行為者は、脆弱なコンピュータシステムを特定して不法にアクセスする。時には自らのハッキングによって、または他人から盗んだアクセス認証情報を購入することによってアクセスする。次に、被害者のコンピュータシステム内にランサムウェアの亜種を展開し、データを暗号化して盗むことができるようにする。次に、犯人は被害者に身代金請求書を送り、被害者のデータを復号化すること、またはデータの公開を控えることと引き換えに、支払いを要求する。最後に、ランサムウェアの実行者は、支払いに応じる各被害者と身代金の額を交渉する。被害者が支払わない場合、ランサムウェアの実行者は、その被害者のデータを、しばしばデータ漏洩サイトと呼ばれる公共のウェブサイトに掲載することがあった。 
Matveev is charged with conspiring to transmit ransom demands, conspiring to damage protected computers, and intentionally damaging protected computers. If convicted, he faces over 20 years in prison.  Matveevは、身代金要求の送信の共謀、保護されたコンピュータの損傷の共謀、および保護されたコンピュータの意図的な損傷の罪に問われている。有罪判決を受けた場合、彼は20年以上の懲役刑に処されることになる。 
The FBI Newark Field Office’s Cyber Crimes Task Force is investigating the case with valuable assistance from the Jersey City Police Department, New Jersey State Police, Newark IRS Criminal Investigation, and international partners from European Cyber Crime Centre of Europol, National Police Agency of Japan, Gendarmerie Nationale Cyberspace Command of France, National Crime Agency and South West Regional Organized Crime Unit of the United Kingdom, Kantonspolizei Zürich of Switzerland, High-Tech Crime Unit of the Dutch Police Services Agency of the Netherlands, Bundeskriminalamt and Landeskriminalamt of Germany, Mossos d'Esquadra Police Department of Spain, Norwegian Police Service of Norway, and Swedish Police Authority of Sweden. FBIニューアーク支局のサイバー犯罪タスクフォースは、ジャージーシティ警察、ニュージャージー州警察、ニューアーク国税局犯罪捜査部の貴重な協力と、ユーロポールの欧州サイバー犯罪センター、日本の警察庁、フランスの国家憲兵サイバー空間司令部の国際パートナーと共に、この事件を捜査している、 英国国家犯罪局および南西地域組織犯罪ユニット、スイスのチューリッヒ警察庁、オランダ警察庁ハイテク犯罪ユニット、ドイツのブンであるクリミナールトおよびランであるクリミナールト、スペインのモッソス・であるクアドラ警察、ノルウェーの警察庁、スウェーデンのスウェーデン警察庁の国際的なパートナーである。
Trial Attorneys Jessica C. Peck, Benjamin Proctor, and Jorge Gonzalez of the Criminal Division’s Computer Crime and Intellectual Property Section (CCIPS); Assistant U.S. Attorneys Andrew M. Trombly and David E. Malagold for the District of New Jersey’s Cybercrime Unit in Newark; and Assistant U.S. Attorney Elizabeth Aloi for the District of Columbia’s Fraud, Public Corruption, and Civil Rights Section are prosecuting the case. 刑事部コンピュータ犯罪・知的財産課(CCIPS)のJessica C. Peck、Benjamin Proctor、Jorge Gonzalez各裁判官、ニュージャージー州ニューアークのサイバー犯罪課のAndrew M. Trombly、David E. Malagold両米国弁護士補、コロンビア特別区の不正・公共腐敗・市民権課のElizabeth Aloi米国弁護士補がこの事件を訴追している。
The FBI Tampa Field Office and Orlando Resident Agency, along with Assistant U.S. Attorney Chauncey Bratt for the Middle District of Florida and CCIPS Trial Attorneys Christen Gallagher and Alison Zitron, made critical contributions to the case. The FBI Washington Field Office and Metropolitan Police Department also provided valuable assistance. FBIタンパ支局とオーランド常駐局、フロリダ州中部地区担当のチャウンシー・ブラット連邦検事補、CCIPS裁判弁護士のクリステン・ギャラガーとアリソン・ジトロンは、この事件で重要な貢献をした。また、FBIワシントン支局とメトロポリタン警察も貴重な支援を提供した。
The Justice Department’s Office of International Affairs and National Security Division also provided significant assistance. また、司法省の国際局および国家安全保障部も重要な支援を提供した。
Victims of LockBit, Babuk, or Hive ransomware should contact their local FBI field office for further information. For additional information on ransomware, including the LockBit, Babuk, and Hive variants, please visit StopRansomware.gov. LockBit、Babuk、またはHiveランサムウェアの被害者は、最寄りのFBI支局に連絡して、詳しい情報を入手できる。LockBit、Babuk、Hiveの亜種を含むランサムウェアに関する追加情報については、StopRansomware.govを参照のこと。
Additionally, the U.S. Department of the Treasury’s Office of Foreign Assets Control (OFAC) today announced that it is designating the defendant for his role in launching ransomware attacks against U.S. law enforcement, businesses, and critical infrastructure. さらに、米国財務省外国資産管理局(OFAC)は本日、米国の法執行機関、企業、重要インフラに対するランサムウェア攻撃を仕掛けたとして、被告を指定することを発表した。
Finally, the Department of State has also announced an award of up to $10 million for information that leads to the arrest and/or conviction of this defendant. Information that may be eligible for this award can be submitted at tips.fbi.gov. Congress established the Transnational Organized Crime Rewards Program in 2013 to support law enforcement efforts to dismantle transnational criminal organizations and bring their leaders and members to justice. The Department of State’s Bureau of International Narcotics and Law Enforcement Affairs manages the program in coordination with other U.S. federal agencies. 最後に、国務省は、この被告の逮捕および/または有罪判決につながる情報に対して、最高1,000万ドルの賞金を授与することも発表している。この賞の対象となりうる情報は、tips.fbi.govで提出することができます。米国議会は、国際的な犯罪組織を解体し、その指導者やメンバーを裁くための法執行活動を支援するため、2013年に国際組織犯罪報奨金プログラムを設立した。国務省の国際麻薬・法執行局は、他の米国連邦機関と連携してこのプログラムを管理している。
An indictment is merely an allegation. All defendants are presumed innocent until proven guilty beyond a reasonable doubt in a court of law. 起訴は単なる申し立てに過ぎない。すべての被告人は、法廷で合理的な疑いを超えて有罪が証明されるまで、無罪と推定される。

 

Fig1_20220411162001

 


 

⚫︎まるちゃんの情報セキュリティ気まぐれ日記

・2023.05.06 米国 FBI 犯罪行為を助長する仮想通貨取引所を破壊

・2023.04.07 米国 司法省 Genesis Markeをテイクダウン

・2023.03.29 米国 司法省 世界最大級のハッカーフォーラムの創設者を逮捕し、フォーラムの運営を破壊 (2023.03.24)

・2023.03.29 米国 司法省 30億ドル以上の違法取引を処理したダークネット暗号通貨ミキサーのテイクダウンに成功 (2023.03.15)

・2023.01.31 米国 司法省 ランサムウェアの亜種「Hive」を駆除 (2023.01.26)・・

・2022.06.21 米国 司法省 国際的なサイバー作戦によるロシアのボットネットの破壊

・2022.04.11 米国 司法省 ロシア連邦軍参謀本部情報総局(GRU)が管理するボットネットを裁判所の認可に基づき破壊(2022.04.06)

・2022.03.30 米国 司法省 重要インフラを標的とした2つのハッキングキャンペーンでロシア政府職員4人を起訴 (2022.03.24)

・2022.03.18 米国 FBIが新たに仮想資産課 (VAU) を設立...

・2022.03.03 米国 司法省 タスクフォース KleptoCapture (ロシアの資金源を断つ?)

・2021.11.09 米国 司法省 Kaseya社等をランサムウェア攻撃したウクライナ人を逮捕・起訴した

・2021.11.04 米国 FBI-ICS3 ランサムウェアの実行者は合併等の金融イベント等を狙って攻撃してきているとアラートを出していますね。。。

・2021.10.20 米国 司法省 国家暗号通貨執行チームの設立を発表 at 2021.10.06

・2021.06.08 米国 司法省 コロニアル・パイプライン社が支払った暗号通貨の大半(約230 万ドル)を押収

・2021.02.19 U.S. DOJ 北朝鮮軍のハッカー3人を複数のサイバー犯罪の容疑で起訴

| | Comments (0)

研究開発戦略センター 研究開発の俯瞰報告書(2023年)

こんにちは、丸山満彦です。

研究開発戦略センターの研究開発の俯瞰報告書(2023年)が公表されていたので。。。4つの分野(147の開発領域)

  1. 環境・エネルギー
  2. システム・情報科学技術
  3. ナノテクノロジー・材料
  4. ライフサイエンス・臨床医学

について、

  • 分野の全体像
  • 国際比較
  • 今後の展望・方向性

等を分析しています。。。

また、科学技術・イノベーション政策(以下、STI政策)の動向として、

世界

  • 米国
  • EU
  • 英国
  • ドイツ
  • フランス
  • 中国

についても発信していますね。。。

 

⚫︎研究開発戦略センター

研究開発の俯瞰報告書(2023年)

 

システム・情報科学技術分野はこんな感じ...

セキュリティ・トラストは後藤先生が取りまとめですね。。。

 

 

Crdsfy2022fr04_fig

 

 

研究開発の俯瞰報告書 システム・情報科学技術分野(2023年)
分野概要図
エグゼクティブサマリー(日本語)
Executive Summary(English

はじめに

目次

1.研究対象分野の全体像
1.1 俯瞰の範囲と構造
 1.1.1 社会の要請、ビジョン
 1.1.2
 科学技術の潮流、変遷
 1.1.3
 俯瞰の考え方(俯瞰図)
1.2 世界の潮流と日本の位置付け
 1.2.1 社会・経済の動向
 1.2.2 研究開発の動向
 1.2.3
 社会との関係における問題
 1.2.4
 主要国の科学技術・研究開発政策の動向
 1.2.5
 研究開発投資や論文、コミュニティー等の動向
1.3 今後の展望・方向性
 1.3.1 今後重要となる研究の展望・方向性
 1.3.2 日本の研究開発の現状と課題
 1.3.3
 わが国として重要な研究開発

2. 俯瞰区分と研究開発領域
2.1 人工知能・ビッグデータ
(区分総論
 2.1.1 知覚・運動系のAI技術
 2.1.2 言語・知識系のAI技術
 2.1.3 エージェント技術
 2.1.4 AIソフトウェア工学
 2.1.5 人・AI協働と意思決定支援
 2.1.6 AI・データ駆動型問題解決
 2.1.7 計算脳科学
 2.1.8 認知発達ロボティクス
 2.1.9 社会におけるAI

2.2 ロボティクス
(区分総論
 2.2.1 制御
 2.2.2 生物規範型ロボティクス
 2.2.3 マニピュレーション
 2.2.4 移動(地上)
 2.2.5 Human Robot Interaction
 2.2.6 自律分散システム
 2.2.7 産業用ロボット
 2.2.8 サービスロボット
 2.2.9 災害対応ロボット
 2.2.10 インフラ保守ロボット
 2.2.11 農林水産ロボット

2.3 社会システム科学
(区分総論
 2.3.1 デジタル変革
 2.3.2 サービスサイエンス
 2.3.3 社会システムアーキテクチャー
 2.3.4 メカニズムデザイン
 2.3.5 計算社会科学

2.4 セキュリティー・トラスト
(区分総論
 2.4.1 IoTシステムのセキュリティー
 2.4.2 サイバーセキュリティー
 2.4.3 データ・コンテンツのセキュリティー
 2.4.4 人・社会とセキュリティー
 2.4.5 システムのデジタルトラスト
 2.4.6 データ・コンテンツのデジタルトラスト
 2.4.7 社会におけるトラスト

2.5 コンピューティングアーキテクチャー
(区分総論
 2.5.1 計算方式
 2.5.2 プロセッサーアーキテクチャー
 2.5.3 量子コンピューティング
 2.5.4 データ処理基盤
 2.5.5 IoTアーキテクチャー
 2.5.6 デジタル社会基盤

2.6 通信・ネットワーク
(区分総論)
 2.6.1 光通信
 2.6.2 無線・モバイル通信
 2.6.3 量子通信
 2.6.4 ネットワーク運用
 2.6.5 ネットワークコンピューティング
 2.6.6 将来ネットワークアーキテクチャー
 2.6.7 ネットワークサービス実現技術
 2.6.8 ネットワーク科学

2.7 数理科学
(区分総論)
 2.7.1 数理モデリング
 2.7.2 数値解析・データ解析
 2.7.3 因果推論
 2.7.4 意思決定と最適化の数理
 2.7.5 計算理論
 2.7.6 システム設計の数理

付録
(付録1)専門用語解説
(付録2)検討の経緯
(付録3)作成協力者一覧
(付録4)全分野で対象としている俯瞰区分・研究開発領域一覧

謝辞

奥付


 

| | Comments (0)

2023.05.19

ドイツ BSI 大規模AI言語モデル - 産業界と公的機関の可能性とリスク (2023.05.10)

こんにちは、丸山満彦です。

各国で生成型AIとの付き合い方の模索が続いている感じですね。。。それぞれの機関が生成型AIの取扱説明書のようなものを作成していますね。。

 

Bundesamt für Sicherheit in der Informationstechnik: BSI

・2023.05.10 BSI informiert über Chancen und Risiken von KI-Sprachmodellen

 

BSI informiert über Chancen und Risiken von KI-Sprachmodellen BSI、AI言語モデルの可能性とリスクについて情報提供
19. Deutscher IT-Sicherheitskongress eröffnet 第19回ドイツITセキュリティ会議が開幕
Große KI-Sprachmodelle, so genannte Large Language Models (LLMs), sind in der öffentlichen Diskussion omnipräsent. Insbesondere die Ankündigung und Veröffentlichung von Modellen wie ChatGPT haben KI-Sprachmodelle schnell bekannt gemacht. Im Rahmen des 19. Deutschen IT-Sicherheitskongresses hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) ein Positionspapier veröffentlicht, in dem es über Stärken, Schwächen und Risiken von KI-Sprachmodellen informiert – sowie über geeignete Vorsichtsmaßnahmen. 大規模なAI言語モデル(LLM)は、世間での議論に遍く登場します。特に、ChatGPTなどのモデルの発表・公開により、AI言語モデルの知名度は一気に高まりました。第19回ドイツITセキュリティ会議の一環として、連邦情報セキュリティ局(BSI)はポジションペーパーを発表し、AI言語モデルの強み、弱み、リスク、および適切な予防措置に関する情報を提供する。
Der Deutsche IT-Sicherheitskongress bietet ein Forum für Politik, Wirtschaft und Wissenschaft, um über aktuelle Themen und Entwicklungen der Cyber-Sicherheit zu diskutieren. Mit einem Grußwort von Bundesinnenministerin Nancy Faeser wurde die digitale Veranstaltung für die über 8.000 Teilnehmenden eröffnet. Sie verfolgen Fachvorträge, die Themen wie Digitale Signaturen, Threat Intelligence, Kryptografie, sichere IT-Infrastrukturen oder die Cyber-Resilienz von Staat, Wirtschaft und Gesellschaft miteinander verbinden und intensiv beleuchten. ドイツITセキュリティ会議は、政治、ビジネス、科学がサイバーセキュリティの最新のトピックと開発について議論する場を提供する。このデジタルイベントは、ナンシー・フェーザー連邦内務大臣による歓迎の挨拶で、8,000人を超える参加者のために開かれた。参加者は、デジタル署名、脅威インテリジェンス、暗号、安全なITインフラ、国家・経済・社会のサイバーレジリエンスなどのトピックを組み合わせ、集中的に照らし出す専門家のプレゼンテーションに続く。
BSI-Vizepräsident Dr. Gerhard Schabhüser: „In Sachen IT-Sicherheit können KI-Sprachmodelle sich als nützliche Werkzeuge erweisen. Sie können beim Erkennen von Spam oder Phishing-Mails hilfreich sein oder beim Aufspüren unerwünschter Inhalte wie Fake News oder Hate Speech auf Social-Media-Plattformen. In gleichem Maße bergen KI-Modelle aber auch Risiken: Bereits jetzt wird im Darknet über den geeigneten Einsatz von KI zu Erstellung von Schadcode und Phishing-Mails diskutiert. Und: KI-gestützte Sprachmodelle eignen sich leider sehr gut zur Erstellung und Verbreitung von Falschinformationen. Dagegen müssen wir jetzt aktiv werden und unsere Gesellschaft für den Umgang mit KI schulen!“ BSI副社長 Dr Gerhard Schabhüser:「ITセキュリティの観点から、AI言語モデルは有用なツールであることを証明することができる。スパムメールやフィッシングメールを認識したり、ソーシャルメディアプラットフォーム上のフェイクニュースやヘイトスピーチなどの望ましくないコンテンツを検出したりするのに役立つ。しかし、同じ程度に、AIモデルにはリスクも潜んでいる: ダークネットでは、悪意のあるコードやフィッシングメールを作成するためにAIを適切に使用することについて、すでに議論が行われている。また、AIがサポートする言語モデルは、残念ながら偽情報の作成と拡散に非常に適している。今すぐ対策を講じ、AIに対応できる社会を育成しなければならない!"
Manipulierte Bilder, Videos und Sprachausgaben sind nach Einschätzung des BSI Risiken, denen mit geeigneten Vorsichtsmaßnahmen begegnet werden sollte. So kann z. B. die Authentizität von Texten und Nachrichten durch Verschlüsselungsverfahren nachgewiesen werden, mit denen man ihre Urheberschaft technisch belegen kann. Von besonderer Bedeutung ist die Aufklärung der Nutzenden über die Fähigkeiten Künstlicher Intelligenz. Durch die sprachlich oftmals fehlerfreie Textgenerierung entsteht bei Nutzerinnen und Nutzern von KI-Sprachmodellen häufig der Eindruck eines menschenähnlichen Leistungsvermögens und damit ein zu großes Vertrauen in die KI-generierten Inhalte. Dafür zu sensibilisieren ist eine wichtige Maßnahme. Eine entsprechende Handreichung für Verbraucherinnen und Verbraucher wird das BSI in Kürze veröffentlichen. BSIによれば、操作された画像、動画、音声出力は、適切な予防策で対抗すべきリスクであるとしている。例えば、テキストやメッセージの真偽は、暗号化手法によって技術的に証明することが可能である。特に重要なのは、人工知能の能力に関する利用者の教育である。言語的にエラーがないことが多いテキスト生成のため、AI言語モデルのユーザーは、人間のような性能という印象を持ち、その結果、AIが生成したコンテンツを過剰に信頼してしまうことがある。このことに対する認識を高めることが重要な対策となる。BSIは近々、消費者向けに対応する配布資料を発行する予定である。
Unternehmen oder Behörden, die über die Integration von LLMs in ihre Arbeitsabläufe nachdenken, sollten darüber hinaus eine Risikoanalyse für ihren konkreten Anwendungsfall durchführen und die im Positionspapier genannten Risiken dahingehend evaluieren, ob diese für ihre Arbeitsabläufe eine Gefahr darstellen. Darauf aufbauend sollten existierende Sicherheitsmaßnahmen angepasst werden. Grundsätzlich sollten KI-Sprachmodelle aus Sicht des BSI derzeit als Werkzeuge betrachtet werden, deren Ergebnisse, etwa bei der Erstellung von Programmcode oder Texten, durch eine menschliche Intelligenz überprüft werden sollten.* また、LLMをワークフローに組み込むことを検討している企業や当局は、特定のユースケースについてリスク分析を行い、ポジションペーパーで言及されているリスクがワークフローに脅威を与えるかどうかを評価する必要がある。これに基づき、既存のセキュリティ対策を適応させるべきである。原則的に、BSIの観点では、AI言語モデルは現在、プログラムコードやテキストの作成などにおいて、その結果を人間の知性によってチェックされるべきツールとみなされるべきである*。


・[PDF] Große KI-Sprachmodelle - Chancen und Risiken für Industrie und Behörden

20230519-55310

 

目次的なもの...

1 Einleitung  1 はじめに 
Definition von großen KI-Sprachmodellen  大規模AI言語モデルの定義 
Ziel und Zielgruppen des Dokuments  本書の目的・対象者 
Aufbau des Dokuments  本書の構成 
Disclaimer  免責事項 
2 Hintergrund und Einordnung von LLMs  2 LLM の背景と分類 
2.1 Fähigkeiten  2.1 能力 
2.2 Anwendungsgebiete  2.2 応用分野 
2.3 Erklärbarkeit  2.3 説明可能性
3 Chancen und Risiken von LLMs  3 LLMの可能性とリスク 
3.1 Chancen für die IT-Sicherheit  3.1 ITセキュリティに関わる機会 
Unterstützung bei der Detektion unerwünschter Inhalte  不要なコンテンツの検出を支援する 
Unterstützung bei der Textverarbeitung  テキスト処理への対応 
Unterstützung bei der Erstellung und Analyse von Programmcode  プログラムコードの作成・解析支援 
Unterstützung bei der Analyse von Datenverkehr  データトラフィックの解析支援 
3.2 Risiken bei der Nutzung von LLMs und Gegenmaßnahmen  3.2 LLMの利用におけるリスクと対策 
3.2.1 Risiken  3.2.1 リスク 
Fehlende Faktizität und Reproduzierbarkeit  事実性・再現性の欠如 
Fehlende Sicherheit von generiertem Code  生成されたコードの安全性の欠如 
Fehlende Aktualität  適時性の欠如 
Fehlerhafte Reaktion auf spezifische Eingaben  特定の入力に対する誤った反応 
Anfälligkeit für "versteckte" Eingaben mit manipulativer Absicht  操作意図のある「隠された」入力に対する脆弱性 
Vertraulichkeit der eingegebenen Daten  入力されたデータの機密性 
Abhängigkeit vom Hersteller/ Betreiber des Modells  モデルの製造者/運用者への依存度 
3.2.2 Gegenmaßnahmen  3.2.2 対処法 
3.3 Missbrauchsszenarien und Gegenmaßnahmen  3.3 悪用のシナリオと対策 
3.3.1 Missbrauchsszenarien  3.3.1 悪用のシナリオ 
Social Engineering  ソーシャル・エンジニアリング 
Generierung und Ausführung von Malware  マルウェアの生成と実行 
Hoax (Falschmeldung)  デマ(虚偽報告) 
3.3.2 Gegenmaßnahmen  3.3.2 対処法 
3.3.2.1 Allgemeine Maßnahmen  3.3.2.1 一般的な対策 
3.3.2.2 Maßnahmen auf Ebene des Modells  3.3.2.2 モデルのレベルでの対策 
3.3.2.3 Maßnahmen zur Detektion maschinengeschriebener Texte  3.3.2.3 タイプされたテキストを検出するための対策 
3.4 Risiken und Herausforderungen bei der Entwicklung sicherer LLMs  3.4 安全な LLM の開発におけるリスクと課題 
3.4.1 Datenqualität bei der Auswahl von Trainingsdaten  3.4.1 訓練データの選択におけるデータ品質 
3.4.2 Angriffe auf LLMs und spezifische Gegenmaßnahmen  3.4.2 LLMへの攻撃と具体的な対策 
Privacy Attacks  プライバシーに関する攻撃 
Adversarial Attacks und Indirect Prompt Injections  敵対的攻撃と間接的プロンプトインジェクション 
Poisoning Attacks  ポイズニング攻撃 
4 Zusammenfassung  4 まとめ 

 


 

⚫︎ まるちゃんの情報セキュリティ気まぐれ日記

・2023.05.19 ドイツ BSI 大規模AI言語モデル - 産業界と公的機関の可能性とリスク (2023.05.10)

・2023.05.18 フランス CNIL 人工知能に対する行動計画

・2023.05.15 欧州 CERT-EU 生成型AIの潜在的な影響とリスク

・2023.05.10 ロシア 科学技術センター 大規模言語モデル:認知的な視点

・2023.04.05 英国 ICO ブログ 生成型人工知能:開発者とユーザーが問うべき8つの質問...

・2023.03.30 欧州 ユーロポール ChatGPTの犯罪利用-大規模言語モデルに関する注意事項

 


 

Continue reading "ドイツ BSI 大規模AI言語モデル - 産業界と公的機関の可能性とリスク (2023.05.10)"

| | Comments (0)

OECD デジタル政府レビュー :トルコ

こんにちは、丸山満彦です。

OECDがデジタル政府レビューのトルコ政府版を公表していますね。。。

まだ、読んでいないですが・・・

 

⚫︎ OECD

・2023.05.15 Digital Government Review of Türkiye

Digital Government Review of Türkiye デジタル政府レビュー :トルコ
Towards a Digitally-Enabled Government デジタルに対応した政府を目指して
This Digital Government Review of Türkiye explores how the Government of Türkiye can use digital technology and data to help the public sector become more responsive, resilient and proactive. It evaluates the efforts made so far by Türkiye in achieving digital government maturity by looking at governance, institutional capacities, digital skills, public service design and delivery, enabling building blocks and the strategic management and use of data. The review provides policy recommendations intended to help the Government of Türkiye fully benefit from digital technologies and data to realise the potential of the digital age in transforming the public sector and the services provided to the public. このデジタル・政府・レビューでは、公共部門の応答性、回復力、積極性を高めるために、トルコ政府がデジタル技術とデータをどのように活用できるかを探っている。このレビューでは、ガバナンス、制度的能力、デジタルスキル、公共サービスの設計と提供、有効なビルディングブロック、データの戦略的管理と使用について検討し、デジタル政府の成熟度を達成するためにトルコがこれまでに行った努力を評価している。このレビューでは、トルコ政府がデジタル技術とデータの恩恵を十分に受け、公共部門と国民に提供されるサービスの変革におけるデジタル時代の可能性を実現することを目的とした政策提言を行いる。
POLICY RECOMMENDATIONS 政策提言
Establishing institutional capacity to implement digital government デジタル政府を実施するための制度的な能力を確立する
Support the development and implementation of a dedicated digital government strategy in order to transform ambitious plans into concrete actions at the whole-of-government level. 野心的な計画を政府全体のレベルで具体的な行動に変えるために、専用のデジタル政府戦略の策定と実施を支援する。
Strengthen the use of common policy levers including business cases, project management, procurement of ICT/digital projects and financial management tools to facilitate steering and co ordination of digital investments across the public sector by the DTO. ビジネスケース、プロジェクト管理、ICT/デジタルプロジェクトの調達、財務管理ツールなど、共通の政策手段の使用を強化し、DTOによる公共部門全体のデジタル投資の舵取りと協調を促進する。
Improve the legal and regulatory framework to anchor digital transformation efforts and support the transition from e-government to digital government. デジタル変革の取り組みを支える法的・規制的枠組みを改善し、電子政府からデジタル政府への移行をサポートする。
Embedding digital skills and capability in the public sector 公共部門にデジタル技術と能力を根付かせる
Create a work environment in the public sector that includes better communications, a flatter organisational structure to promote faster and better decision-making, more collaboration opportunities, a learning culture and more flexible working policies. より良いコミュニケーション、より迅速で優れた意思決定を促進するフラットな組織構造、より多くのコラボレーション機会、学習文化、より柔軟な労働政策など、公共部門における労働環境を構築する。
Ensure that public servants at all levels – including in leadership positions – develop the adequate digital literacy and confidence to lead a successful digital transformation. 指導的立場にある公務員を含むあらゆるレベルの公務員が、デジタル変革を成功に導くための十分なデジタルリテラシーと自信を身につけるようにする。
Set up a recruitment strategy to attract the necessary digital talents and offer a transparent reward system, professional growth and mobility opportunities, while building a work environment to accommodate these changes. 必要なデジタル人材を惹きつけるための採用戦略を立て、透明性の高い報酬制度、専門的な成長機会、移動の機会を提供し、これらの変化に対応できる職場環境を構築する。
Creating user-driven value in proactive public service design and delivery プロアクティブな公共サービスの設計と提供において、ユーザー主導の価値を創造する。
Recognise the political, organisational, technical and societal context within which public service design and delivery takes place and use those insights to shape a tailored response to the needs and priorities of individual organisations to achieve transformation. 公共サービスの設計と提供が行われる政治的、組織的、技術的、社会的背景を認識し、それらの洞察を用いて、個々の組織のニーズと優先順位に合わせた対応を形成し、変革を実現する。
Embrace the opportunities of digital transformation to create a more proactive and user-driven culture within the Turkish public sector. トルコの公共部門において、より積極的でユーザー主導の文化を創造するために、デジタル変革の機会を取り入れる。
Cementing building blocks and shared services for improved capabilities 能力向上のためのビルディングブロックとシェアードサービスを固める。
Revise the governance processes for funding and assuring the quality of public service design and delivery. 公共サービスの設計と提供の質を保証するための資金調達とガバナンスプロセスを見直す。
Clearly define an inclusive approach to providing access to public services that accounts for the relationship between analogue and digital experiences and seeks to minimise digital divides, recognise accessibility needs and champion digital inclusion. 公共サービスへのアクセスを提供するための包括的なアプローチを明確に定義し、アナログとデジタル体験の関係を考慮し、デジタルデバイドの最小化、アクセシビリティのニーズの認識、デジタルインクルージョンの推進を図る。
Encourage the use of shared building blocks and common resources as part of the curated Government as a Platform ecosystem. プラットフォームとしての政府エコシステムの一部として、共有ビルディングブロックと共通リソースの利用を奨励する。
Moving towards a data-driven public sector データ駆動型公共部門への移行
Define and strengthen the leadership and vision for establishing a data-driven public sector in Türkiye. トルコにおけるデータ主導の公共部門を確立するためのリーダーシップとビジョンを明確にし、強化する。
Support institutions in applying data to generate value by establishing communities of practice, investing in training and resources, defining standards for data sharing and incentivising data application. 実践コミュニティの設立、トレーニングやリソースへの投資、データ共有のための基準の定義、データ活用のインセンティブを与えることにより、データを活用して価値を生み出す機関を支援する。
Commit to the trustworthy management and use of data in the public sector by promoting the role of ethics, transparency, privacy and security. 倫理、透明性、プライバシー、セキュリティの役割を促進することにより、公共部門におけるデータの信頼できる管理と利用にコミットする。

 

トルコ政府...

⚫︎ Presidency of the Republic of Turkiye - Digital Transformation Office

・2023.05.15 OECD Digital Government Review of Türkiye is Released

OECD Digital Government Review of Türkiye is Released OECDデジタル政府レビュー :トルコが発表される
Under the coordination of the Digital Transformation Office (DTO) of the Presidency of the Republic of Türkiye, the "Digital Government Review of Türkiye" study launched by the Organization for Economic Co-operation and Development (OECD) in June 2021 to identify strengths, challenges and areas for improvement to enhance a forward-looking and innovative digital government approach is completed and the "OECD Digital Government Review of Türkiye" report is released. トルコ共和国大統領府デジタルトランスフォーメーションオフィス(DTO)の調整のもと、2021年6月に経済協力開発機構(OECD)が開始した、前向きで革新的なデジタル政府のアプローチを強化するための強み、課題、改善点を特定するための研究「デジタル政府レビュー:トルコ」が終了し、「OECDデジタル政府レビュー」レポートが公表された。
The study examined how to enhance the capacity to design and deliver data-driven public policies and digital services to support modernization, innovation and efficiency in public administration through digital transformation. 本調査では、デジタルトランスフォーメーションを通じて行政の近代化、革新、効率化を支援するために、データ主導の公共政策やデジタルサービスを設計・提供する能力を強化する方法について検討した。
In line with the OECD Digital Government Policy Framework, the report analyzed current situation of Türkiye and developed forward-looking policy recommendations. During the process; OECDのデジタル・政府・ポリシー・フレームワークに沿い、本報告書はトルコの現状を分析し、将来を見据えた政策提言を作成した。その過程で
•    Survey was conducted with 115 public institutions and organizations, ・115の公的機関・団体を対象にアンケート調査を実施、
•    stakeholder meetings were organized with the participation of 44 institutions/organizations as well as South Korea, Sweden and the OECD Secretariat,  ・44の機関・団体、韓国、スウェーデン、OECD事務局の参加を得て、ステークホルダー・ミーティングを開催した、 
•    capacity building workshops on "Service Design and Delivery" and "Data-Driven Public Sector" were organized with the participation of 50 institutions/organizations; and ・「サービスデザインとデリバリー」と「データ駆動型公共セクター」に関する能力開発ワークショップが開催され、50の機関/組織が参加した。
•    draft report has been prepared. ・報告書のドラフトが作成された。
The report, which reflected a total of 221 comments received from 41 institutions, was finalized and published on May 15, 2023. Summary assessments and policy recommendations are also included in the brochure prepared within the scope of the Report. 41機関から寄せられた計221件のコメントを反映させた報告書を最終化し、2023年5月15日に発行した。また、報告書の範囲内で作成されたパンフレットには、要約評価と政策提言が記載されている。
Within the scope of the "OECD Digital Government Review of Türkiye", current situation assessments and 18 policy recommendations for Türkiye are presented on the basis of the following topics: 「デジタル政府レビュー :トルコ」の範囲内では、以下のトピックに基づいてトルコの現状評価と18の政策提言が提示されている:
•    Digital government administration in Türkiye ・トルコにおけるデジタル政府行政
•    Policy tools and guidance to lead digital transformation of Türkiye ・トルコのデジタルトランスフォーメーションを導くための政策ツールおよびガイダンス
•    Embedding digital skills and capability in the public sector  ・公共部門にデジタル技術と能力を定着させる 
•    Creating user-driven value in proactive public service design and delivery ・プロアクティブな公共サービスの設計と提供におけるユーザー主導の価値創造
•    Cementing building blocks and shared services for improved capabilities ・能力向上のためのビルディングブロックと共有サービスの強化
•    Moving towards a data-driven public sector ・データ駆動型公共セクターへの移行
The findings of the OECD Digital Government Review of Türkiye are important inputs to the new Digital Government Strategy, which is currently under preparation. Up-to-date information on the Digital Government Strategy is available here. OECDデジタル政府レビューの結果は、現在準備中の新しいデジタル・政府戦略への重要なインプットとなる。デジタル・政府戦略に関する最新情報は、こちらでまで。

 

・[PDF] Digital Government Review of Türkiye

20230518-195852

 

1. CONTEXTUAL FACTORS AND INSTITUTIONAL MODELS FOR DIGITAL GOVERNMENT 1. デジタルガバメントの文脈的要因と制度モデル
Proposals for action アクションへの提案
2. POLICY LEVERS TO LEAD THE DIGITAL TRANSFORMATION 2. デジタルトランスフォーメーションをリードするための政策レバー
Proposals for action アクションの提案
3. DIGITAL TALENT AND SKILLS FOR A TRANSFORMATIONAL PUBLIC SECTOR 3. 変革する公共セクターのためのデジタル人材とスキル
Proposals for action アクションのための提案
4. CREATING USER-DRIVEN VALUE IN PROACTIVE PUBLIC SERVICE DESIGN AND DELIVERY 4. プロアクティブな公共サービスの設計と提供におけるユーザー主導の価値の創造
Proposals for action アクションの提案
5. CEMENTING BUILDING BLOCKS AND SHARED SERVICES FOR IMPROVED CAPABILITIES 5. 能力向上のためのビルディングブロックと共有サービスの強化
Proposals for action アクションの提案
6. MOVING TOWARDS A DATA-DRIVEN PUBLIC SECTOR 6. データ駆動型公共セクターへの移行
Proposals for action アクションの提案
Reflections on digital transformation from Turkish public servants トルコの公務員によるデジタルトランスフォーメーションへの反映
References 参考資料

 

 

| | Comments (0)

フランス CNIL Cookieに関するウェブプラクティスの変化:CNILが行動計画の影響を評価

こんにちは、丸山満彦です。

クッキーが受け入れるか、どうか、、、の選択肢の前もって出せという規制の話ですが、英国は、「普通の人わからないでしょう。そんな手間を増やすようなことしなくても。。。」という感じですから、フランスは、みんな理解しているよ。。。というのをデータで示したい?

そんなかんじでしょうかね。。。しらんけど。。。

 

⚫︎ CNIL

・2023.05.15 Évolution des pratiques du web en matière de cookies : la CNIL évalue l’impact de son plan d’action

 

Évolution des pratiques du web en matière de cookies : la CNIL évalue l’impact de son plan d’action Cookieに関するウェブプラクティスの変化:CNILが行動計画の影響を評価
Le plan d’action de la CNIL en matière de cookies (2020 à 2022) avait pour objectif de favoriser la conformité des professionnels aux nouvelles règles, tout en s’assurant de la bonne compréhension de celles-ci par les internautes. L’analyse des effets de sa régulation à travers le temps montre que ce plan d’action a eu un fort impact. CNILのCookieに関する行動計画(2020年から2022年)は、インターネットユーザーが新ルールを正しく理解できるようにしながら、専門家によるコンプライアンスを促進することを目的としている。その規制の効果を経年的に分析すると、この行動計画が強い影響を及ぼしていることがわかる。
Dans le cadre de son plan d’action sur les cookies et autres traceurs, la CNIL a publié ses lignes directrices ainsi qu’une recommandation le 1er octobre 2020, à l’issue d’une concertation avec l’écosystème et d’une consultation publique. Après cette première étape, la CNIL a instauré une période transitoire pour permettre aux éditeurs de site web de se mettre en conformité avec les nouvelles règles, avant de lancer des actions répressives, à partir du mois d’avril 2021. CNILは、Cookieやその他のトラッカーに関する行動計画の一環として、エコシステムとの協議や一般公開を経て、2020年10月1日にガイドラインと勧告を発表した。この最初のステップの後、CNILは、2021年4月から抑圧的な行動を開始する前に、ウェブサイト発行者が新しい規則を遵守するための経過期間を設定した。
Par la suite, la CNIL a entamé une démarche d’évaluation de la mise en place de ces lignes directrices et recommandation. L’objectif était d’examiner l’efficacité de ces outils, leur pertinence, leur bonne connaissance par les personnes et les responsables de traitement ainsi que leurs éventuels effets, notamment économiques. その後、CNILは、これらのガイドラインと勧告の実施に関する評価プロセスを開始した。その目的は、これらのツールの有効性、関連性、個人およびデータ管理者の知識、および考えられる効果(特に経済的なもの)を検証することであった。
Cette démarche visant à mesurer les effets de ses décisions sur le terrain a reposé sur : この分野での決定事項の効果を測定するためのこのアプローチは、以下の内容に基づいている:
des sondages réguliers évaluer la compréhension et l’utilisation des nouvelles règles par les internautes français ; フランスのインターネットユーザーによる新ルールの理解と利用を評価するための定期的な調査
la mise en place d’un observatoire interne pour étudier l’évolution des pratiques du web français en matière de cookies. Cookieに関するフランスのウェブ慣行の変化を調査するための内部観測所の設置。
Des utilisateurs mieux informés et un taux de refus en hausse ユーザーへの情報提供の向上と拒否率の上昇
Cinq vagues de sondages ont été menées par l’IFOP, de décembre 2019 à juin 2022, sur des échantillons de plus de 1 000 personnes représentatives de la population française, âgées de 18 ans et plus, par questionnaires auto-administrés en ligne. IFOPは、2019年12月から2022年6月にかけて、18歳以上のフランス人を代表する1000人以上のサンプルを対象に、自記式オンラインアンケートによる調査を5波実施した。
Une bien meilleure connaissance de la réglementation 規制に関する知識が格段に向上
En juin 2022, 95 % des personnes interrogées déclarent savoir ce que En juin 2022, 95 % des personnes interrogées déclarent savoir ce que sont les cookies et 52 % d’entre elles connaître précisément les évolutions réglementaires récentes sur le sujet (contre 44 % seulement en novembre 2020). Les personnes sont également bien au fait des différents usages des cookies : publicité personnalisée (81 %), mesure d’audience (78 %), ou publicité géolocalisée (78 %) et affichage de vidéos externes (64 %). 2022年6月には、回答者の95%がCookieとは何かを知っていると答え、52%がこのテーマに関する最近の規制の変更を正確に知っていた(2020年11月には44%しかいなかった)。また、パーソナライズされた広告(81%)、視聴者測定(78%)、または地理的に限定された広告(78%)、外部ビデオの表示(64%)など、Cookieのさまざまな用途についてもよく理解している。
Le recueil du consentement et une information suffisamment précise ont incontestablement permis aux internautes de comprendre l’usage qui est fait de leurs données. 同意の収集と十分に正確な情報により、インターネットユーザーが自分のデータがどのように使用されるかを理解できるようになったことは間違いない。
Pour autant, malgré ces chiffres, les internautes français ont encore une impression d’opacité : ils considèrent très majoritairement que l’information sur les entreprises de l’écosystème publicitaire est insuffisante ou inexistante (68 %) et sont seulement 32 % à considérer qu’elle est suffisante (+ 8 points vs. 2019). しかし、これらの数値にもかかわらず、フランスのインターネットユーザーは依然として不透明な印象を持っている。大多数が広告エコシステムの企業に関する情報が不十分または存在しないと考え(68%)、十分であると考えるのはわずか32%である(対2019年8ポイント増)。
Qualité de l’information sur les sites faisant du suivi de navigation via des cookies (juin 2022) Cookieで閲覧を追跡するサイトに関する情報の質(2022年6月時点)
Graphique_1_cookies_qualiteinformation
En juin 2022, 20 % des répondants considèrent encore que les sites web leur donnent moins de contrôle sur les cookies qu’il y a un an. Cette défiance envers le numérique concerne surtout les moins de 35 ans, les employés, ouvriers et, dans une moindre mesure, les non diplômés. 2022年6月においても、回答者の20%が、1年前と比較して、ウェブサイトがCookieをコントロールすることができないとみなしている。このデジタル技術に対する不信感は、主に35歳以下、従業員、勤め人、そしてそれほどでもないが、非大学院生に関係している。
Un taux de refus des cookies en hausse 高まるCookieの拒否率
L’évolution du taux de refus dans le temps accrédite globalement l’existence d’un consommateur-citoyen informé et actif. Si le taux de refus global atteint 39 % en juin 2022, il n’est pas pour autant devenu majoritaire, ce qui n’accrédite pas la thèse d’une « fatigue du consentement » en ligne. Le taux de personnes déclarant paramétrer les cookies passe d’ailleurs de 43 % en novembre 2020 à 49 % en juin 2022 (à l’inverse, les personnes utilisant moins Internet ont tendance à moins paramétrer : plus de 65 ans, personnes passant moins d’1 h par jour à naviguer). 拒否率の経年変化は、情報に敏感で活動的な消費者=市民の存在を全体的に裏付けている。全体の拒否率は2022年6月に39%に達したものの、まだ多数派にはなっておらず、ネット上の「同意疲れ」というテーゼを支持するものにはなっていない。 Cookieを設定していると宣言している人の割合は、2020年11月の43%から2022年6月には49%に上昇した(逆に、インターネットをあまり使わない人は、パラメータの設定が少ない傾向にある:65歳以上、1日のサーフィン時間が1時間未満の人)。
Le taux d’acceptation des cookies, de 59 %, reste élevé et comparable avec celui constaté par le baromètre 2022 du numérique réalisé sur la même population par le CREDOC, à 65 %. Cookieの受容率は59%と依然として高く、CREDOCが同じ母集団を対象に実施した2022年のデジタルバロメーター(65%)と同程度である。
Graphique_2_cookies_evolutiontauxrefus
Accepter ou refuser les cookies : un choix décorrelé de la catégorie socio-professionnelle Cookieを受け入れるか拒否するか:社会的職業カテゴリーとは無関係な選択である。
L’attitude par rapport au refus de cookies dépasse les clivages habituels de catégorie socio-professionnelle, d’âge ou de géographie. Parmi les catégories donnant moins leur accord, au-delà de la marge d’erreur, on trouve les ouvriers, les retraités et les habitants de l’Île-de-France, alors que les 25-34 ans, les habitants du Sud-Est ou d‘une commune rurale donnent plus souvent leur accord que la moyenne. À noter que le refus de donner son accord est néanmoins croissant dans le temps chez les 18-24 ans (+ 5 points entre octobre 2021 et juin 2022, date à laquelle 34 % des moins de 35 ans les refusaient contre 41 % des plus de 35 ans). Cookieを拒否する態度は、社会的職業カテゴリー、年齢、地域という通常の区分を超えている。 誤差の範囲内で同意が少ないカテゴリーには、ブルーカラー労働者、退職者、イル・ド・フランス地方の住民が含まれ、25~34歳、南東部の住民、農村のコミューンの住民は、平均よりも同意することが多いことがわかる。なお、18~24歳では時間の経過とともに同意拒否が増加している(2021年10月から2022年6月にかけて5ポイント上昇し、35歳未満の34%が同意拒否であるのに対し、35歳以上の41%は同意拒否)。
Par ailleurs, alors même que les ouvriers et employés ont un usage moins fréquent de l’Internet que les cadres et professions intermédiaires (77% pour le souvriers, 82% pour les employés contre 95% pour les cadres et 90% pour les professions intermédiaires, selon l’enquête TIC auprès des ménages 2019 de l’INSEE), cette différence d’usage ne se traduit pas par une différence d’attitude envers les cookies : les ouvriers et employés d’une part, les cadres et professions intermédiaires d’autre part, ressortent en moyenne dans les données IFOP à 39 % de refus, comme la moyenne nationale. さらに、ブルーカラー労働者や従業員は管理職や専門職よりもインターネットの利用頻度が低いにもかかわらず(INSEEの2019年ICT家庭調査によると、ブルーカラー労働者は77%、従業員は82%に対し、管理職は95%、専門職は90%)、この利用状況の違いがCookieに対する意識の違いにつながっていない:一方のブルーカラー労働者や従業員ともう一方の管理者や専門家は全国平均と同じくIFOPのデータで39%の平均拒否率を持っていると判明した。
Point intéressant, l’effet du diplôme tout comme l’usage d’Internet sont ambigus : si les personnes d’un niveau de diplôme inférieur au CAP/BEP refusent plus fréquemment, les diplômés du supérieur ont un taux de refus systématique plus élevé que la moyenne. De même, un usage peu fréquent d’Internet (moins de 1 h par jour) comme un usage intensif (plus de 4 h par jour) sont associés à un taux de refus supérieur à la moyenne. Ainsi la protection de la vie privée n’apparaît pas ici comme l’apanage des catégories les plus économiquement favorisées mais pourrait également s’interpréter comme un refus de l’exploitation économique qui est faite de leurs données par les catégories les moins économiquement favorisées. 興味深いことに、インターネットの利用状況だけでなく、卒業資格の効果も曖昧で、CAP/BEP以下の卒業資格レベルの人は拒否頻度が高いが、高等教育修了者は平均より高い拒否率を組織的に示している。同様に、インターネットの使用頻度が低い(1日1時間未満)、または使用頻度が高い(1日4時間以上)場合も、平均より高い拒否率と関連している。このように、プライバシーの保護は、経済的に最も恵まれたカテゴリーの特権ではなく、経済的に最も恵まれないカテゴリーによるデータの経済的利用を拒否していると解釈することも可能である。
Les finalités les plus acceptées sont la mesure d’audience (61 % de « oui » en juin 2022 contre 59 % en décembre 2019) et la personnalisation du site (56 % contre 55 %), alors que la publicité ciblée est moins acceptée (52 % d’acceptation en juin 2022, contre 44 % en décembre 2019). Par ailleurs, un bon taux d’acceptation de ces finalités va de pair avec leur bonne connaissance par les citoyens. 最も受け入れられている目的は、オーディエンス測定(2019年12月の59%に対し、2022年6月は61%の「はい」)とサイトのパーソナライズ(55%に対し56%)で、ターゲット広告はあまり受け入れられていない(2019年12月の44%に対し、2022年6月は52%の受け入れ)。さらに、これらの目的に対する受け入れ率の高さは、市民による知識の高さと密接に関係している。
Observer les évolutions des pratiques des sites web français à travers le temps フランスのウェブサイトの慣行における経時的な変化の観察
Suivant une méthodologie d’analyse des pratiques des sites en matière de cookies, fondée sur la solution CookieViz développée par la CNIL, le Laboratoire d’innovation numérique de la CNIL (LINC) a suivi, de janvier 2021 à août 2022, les pratiques des 1 000 sites à plus forte audience en France. L’analyse n’avait pas pour objectif d’apprécier la conformité de ces sites à la réglementation, mais permettait d’observer le nombre de cookies déposés ou lus par des acteurs tiers avant toute action de l’utilisateur. CNILが開発したCookieVizソリューションに基づく、Cookieに関するウェブサイトの慣行を分析するための手法に従い、CNILのデジタルイノベーション研究所(LINC)は、2021年1月から2022年8月まで、フランスで最も人気のあるウェブサイト1000の慣行を監視した。分析の目的は、これらのサイトが規制を遵守しているかどうかを評価することではなく、ユーザーによるアクションの前に第三者によって堆積または読み取られたCookieの数を観察することであった。
Les cookies « tiers » sont les cookies déposés sur des domaines différents de celui du site principal, généralement gérés par des services tiers qui ont été interrogés par le site visité et non pas à l’initiative de l’internaute lui-même : ces cookies peuvent être nécessaires au bon fonctionnement du site mais servent majoritairement au service tiers pour voir quelles pages ont été visitées sur le site en question par un utilisateur et de collecter des informations sur lui, notamment à des fins publicitaires. 「第三者」Cookieとは、メインサイト以外のドメインに預けられるCookieのことで、一般に、ユーザー自身の主導ではなく、訪問したサイトによって要求された第三者サービスによって管理される。これらのCookieは、サイトの適切な機能には必要かもしれませんが、主に第三者サービスによって、ユーザーが当該サイトでどのページを訪問したかを確認し、ユーザーに関する情報、特に広告目的のために収集するために使われる。
Les résultats démontrent que l’action de la CNIL a permis de diminuer l’intensité du traçage publicitaire sur les sites web visités par les français. Ainsi, la part des sites déposant plus de 6 cookies tiers est passée de 24% à 12% entre janvier 2021 et août 2022. Parallèlement, la proportion du nombre de sites ne déposant aucun cookie tiers est passée de 20% à 29%. Dans le même temps, on constate une réduction du nombre moyen de cookies tiers déposés par site (voir ci-dessous), nombre qui doit être croisé avec les pratiques en matière d’information des personnes et de gestion du consentement par les sites avant de conclure à une non-conformité. この結果から、CNILの措置により、フランス人が訪問するウェブサイトにおける広告追跡の強度を下げることが可能になったことがわかる。このように、6個以上の第三者Cookieを預けているサイトの割合は、2021年1月から2022年8月にかけて24%から12%に減少した。同時に、サードパーティCookieを預けないサイトの割合は20%から29%に上昇した。同時に、1サイトあたりの平均サードパーティCookie預託数も減少しており(下記参照)、非対応と判断する前に、サイトの情報および同意の管理方法と照らし合わせる必要がある数字である。
Graphique_3_cookies_tiers
Ces résultats montrent des premiers résultats positifs des actions de la CNIL en ce qui concerne la première visite des sites, avant que l'utilisateur n’exprime un choix en matière de traceurs. Les chiffres indiquent toutefois que le traçage des données de navigation par les acteurs de la publicité ciblée, sans consentement des personnes, reste potentiellement important : en conséquence, la CNIL maintiendra ses efforts de mise en conformité sur les sites à forte audience en France. これらの結果は、ユーザーがトラッカーに関して選択を表明する前の、サイトへの最初の訪問に関して、CNILの措置の最初の肯定的な結果を示している。しかし、この数字は、ターゲット広告会社が同意なしに閲覧データを追跡していることが潜在的に重要であることを示している。そのため、CNILは、フランスで多くの利用者を持つサイトに対するコンプライアンスの取り組みを継続する。
CookieViz : l’extension de navigateur de la CNIL pour suivre le dépôt de cookies tiers en ligne CookieViz:サードパーティCookieをオンラインで追跡するためのCNILのブラウザ拡張機能
Les internautes peuvent également se faire une idée des pratiques des sites qu’ils visitent en matière de cookies en utilisant la solution CookieViz de la CNIL. Cette solution est désormais disponible en tant qu’extension de votre navigateur. インターネットユーザーは、CNILのCookieVizソリューションを使用することで、訪問するサイトのCookieの慣行を把握することもできます。このソリューションは現在、ブラウザの拡張機能として提供されている。
L’extension analyse les cookies déposés sur le navigateur et le nombre de tiers les ayant déposés. この拡張機能は、ブラウザに預けられたCookieと、それを預けた第三者の数を分析する。
Les contrôles, mises en demeure et sanctions de la CNIL CNILの管理、正式な通知、制裁
Depuis la publication de ses lignes directrices et recommandation, la CNIL a procédé à plusieurs vérifications de la bonne mise en conformité des sites visités par les internautes français. ガイドラインと勧告の発表以来、CNILは、フランスのインターネットユーザーが訪問するサイトのコンプライアンスについて、いくつかのチェックを実施してきた。
Ces contrôles ont porté sur les sites à plus fortes audiences visités par les internautes français, que l’éditeur du site soit établi en France, dans le reste de l’Europe ou dans un pays tiers. En effet, les nouvelles règles sont applicables à tous les acteurs du web, quels qu’ils soient, à partir du moment où l’internaute est situé en France. これらの検査は、フランスのインターネットユーザーが訪問する最も人気のあるサイトに焦点を当て、サイトの発行者がフランス、ヨーロッパの他の地域、または第三国に設立されているかどうかにかかわらず行われた。実際、この新しい規則は、ユーザーがフランスにいる限り、誰であろうと、すべてのウェブプレーヤーに適用される。
Après une période d’adaptation de six mois, expirant au 31 mars 2021, la CNIL a adressé 94 mises en demeure à des organismes non conformes lors d’une campagne de 125 contrôles en ligne. Au total, trois vagues de mises en demeure ont été lancées (mai 2021, fin juin 2021, décembre 2021), puis ont été closes après la mise en conformité des sites concernés. 2021年3月31日までの6ヶ月間の適応期間の後、CNILは、125のオンラインチェックのキャンペーンにおいて、非適合組織に対して94の正式な通知を発行した。合計で3回(2021年5月、2021年6月末、2021年12月)の正式通知の波があり、その後、当該サイトが遵守された後に閉鎖された。
Parallèlement, les acteurs majeurs du numérique qui ne pouvaient ignorer l’entrée en vigueur des nouvelles règles et disposaient des moyens de se mettre en conformité, des procédures de sanctions ont été lancées. Ainsi, la CNIL a sanctionné Google (250 M€), Facebook (60 M€) et Amazon (35 M€) en les contraignant à se mettre en conformité dans un délai de trois mois. 同時に、新ルールの発効を無視できず、それを遵守する手段を持つ大手デジタル企業に対して、制裁手続きが開始された。CNILは、Google(2億5000万ユーロ)、Facebook(6000万ユーロ)、Amazon(3500万ユーロ)に対し、3ヶ月以内に遵守するよう制裁を科した。
Au total, la CNIL a prononcé 8 sanctions de 2020 à 2022 sur la thématique des cookies, pour des manquements tels que le défaut d’information, le dépôt de cookies sans consentement préalable, la défaillance du mécanisme de refus, ou l’impossibilité de refuser les cookies aussi facilement que de les accepter. CNILは2020年から2022年にかけて、Cookieを題材に、情報不足、事前同意のないCookieの預託、拒否機構の不備、Cookieを受け入れるのと同じくらい簡単に拒否することができないなどの失敗に対して、合計8件の制裁を課した。
Le montant cumulé de ces sanctions atteint 421 millions d’euros. Pour certains acteurs, transnationaux, leur impact a bien souvent dépassé le territoire français, car les entités se sont alors mises en conformité pour l’ensemble de leurs opérations européennes. これらの罰則の累積額は、4億2,100万ユーロにのぼる。 一部の多国籍企業にとって、その影響はしばしばフランスの領域を超えており、その企業はその後、ヨーロッパのすべての事業で規則を遵守するようになった。

 

 


 

⚫︎まるちゃんの情報セキュリティ気まぐれ日記

英国はこんな感じ...Cookieの規制は必要だけど、ボップアップじゃないでしょう...

 

・2023.03.15 英国 英国版GDPR新版の審議始まる (2023.03.08)


企業にとって無意味なペーパーワークを削減し、迷惑なクッキーのポップアップを減らすための新しいデータ法が、本日、国会で政府によって紹介される。


・2022.12.14 英国 デジタル・文化・メディア・スポーツ省 アプリストア運営者及びアプリ開発者のための実践規範

・2021.11.27 英国 情報コミッショナーの意見:オンライン広告の提案に対するデータ保護とプライバシーの期待

・2021.09.07 英国 データ保護局 (ICO) のブログ Cookie承諾の茶番はやめて、そろそろ真面目に考えようとG7の個人データ・プライバシー関連当局に呼びかける...

 

 

EUやフランスはこんな感じ...

・2023.01.20 EDPB 公共部門によるクラウドサービス利用のためのプライバシーに関する勧告を決定、クッキー バナータスクフォースの報告書を採択

・2022.01.09 フランス CNIL Googleに1億5000万ユーロ、Facebookに6000万ユーロの制裁金(ユーザがCookieを受け入れるのと同じくらい容易にCookieを拒否できないので...)

 

・2021.12.15 フランス CNILがウェブおよびアプリ開発者向けのGDPRガイドを改訂


今回の大幅な改訂では、GDPRの要件の一部を実践的に説明するファクトシートやコードの抜粋を新たに追加しました。 これらの内容は、特に、クッキーやその他のオンライン追跡機能の使用に関する規則や、閲覧者の測定ソリューションの適用に関するものです。


 

・2021.10.03 欧州データ保護委員会 (EDPB) Cookieバナーについてのタスクフォースを設置

・2021.03.07 フランス CNIL - 重点分野は、(1)ウェブサイトのサイバーセキュリティ、(2)健康データのセキュリティ、(3)Cookie等のトレーサーに適用されるルールの遵守

・2021.02.18 デンマーク - データ保護局 Cookieを使用するためのクイックガイド

・2020.04.18 ベルギーもCookie等の追跡技術に関するガイダンスを公表していますね。

・2020.04.08 Cookie等の追跡技術の使用に関する報告書 by アイルランド・データ保護委員会

 

| | Comments (0)

2023.05.18

フランス CNIL 人工知能に対する行動計画

こんにちは、丸山満彦です。

AIの開発・運用とプライバシーの問題は、きってもきりはなせないですからね。。。CNILがAIに対する行動計画について公表していますね。。。

ポイントは次の4つですかね。。。

1. Appréhender le fonctionnement des systèmes d’IA et leurs impacts pour les personnes 1. AIシステムの機能および個人への影響を理解する。
2. Permettre et encadrer le développement d’IA respectueuses des données personnelles 2. 個人データを尊重するAIの開発を可能にし、監督する。
3. Fédérer et accompagner les acteurs innovants de l’écosystème IA en France et en Europe 3. フランスおよび欧州のAIエコシステムの革新的な関係者を連携させ、支援する。
4. Auditer et contrôler les systèmes d’IA et protéger les personnes 4. AIシステムを監査・管理し、個人を保護する

 

それにしても、システム監査の団体が、AIについては割と静かな感じがするんですけど、まさにシステム監査が重要な場面なので、活発な議論が期待されますね。。。(2023.06.16 システム監査学会第37回研究大会

 

⚫︎ CNIL

・2023.05.16 Intelligence artificielle : le plan d’action de la CNIL

 

Intelligence artificielle : le plan d’action de la CNIL 人工知能:CNILの行動計画
Devant les récentes actualités sur l’intelligence artificielle, et en particulier des IA dites génératives telles que ChatGPT, la CNIL publie un plan d’action pour un déploiement de systèmes d’IA respectueux de la vie privée des individus. 人工知能、特にChatGPTのようないわゆる生成型AIに関する最近のニュースを踏まえ、CNILは個人のプライバシーを尊重したAIシステムの展開に向けた行動計画を発表する。
L’essentiel : 要点:
・La CNIL a engagé depuis plusieurs années des travaux pour anticiper et répondre aux enjeux soulevés par l’IA. ・CNILは数年前から、AIが提起する問題を予測し、それに対応するための活動を続けている。
・En 2023, elle va prolonger son action sur les caméras augmentées et souhaite élargir ses travaux aux IA génératives aux grands modèles de langage et aux applications dérivées (notamment les chatbots). ・2023年には、拡張カメラに関する活動を拡大し、生成型AIに関する活動を大規模な言語モデルや派生アプリケーション(チャットボットを含む)にも広げたいと考えている。
・Son plan d’action s’articule autour de 4 volets : ・その行動計画は、4つの要素に基づいている:
・・appréhender le fonctionnement des systèmes d’IA et leurs impacts pour les personnes ; ・・AIシステムの機能と人々への影響について理解する。
・・permettre et encadrer le développement d’IA respectueuses de la vie privée ; ・・個人データを尊重するAIの開発を可能にし、監督する;
・・fédérer et accompagner les acteurs innovants de l’écosystème IA en France et en Europe ; ・・フランスおよび欧州のAIエコシステムの革新的な関係者を連連携させ、支援する;
・・auditer et contrôler les systèmes d’IA et protéger les personnes. ・・AIシステムを監査・管理し、個人を保護する。
・Ces travaux permettront également de préparer l’entrée en application du projet de règlement européen IA, actuellement en cours de discussion. ・また、この作業は、現在議論されている欧州のAI規制案の実施に向けた準備にもなる。
La protection des données personnelles, un enjeu fondamental dans le développement de l’IA AIの発展における基本的な問題である個人データ保護
Le développement de l’IA s’accompagne d’enjeux en matière de protection des données et des libertés individuelles auxquels la CNIL s’attache à répondre depuis maintenant plusieurs années. Depuis la publication en 2017 de son rapport sur les enjeux éthiques des algorithmes et de l’intelligence artificielle, la CNIL s'est prononcée à plusieurs reprises sur les questions soulevées par les nouveaux outils amenés par cette nouvelle technologie. AIの発展には、CNILが数年前から取り組んでいるデータ保護と個人の自由の問題が伴う。2017年にアルゴリズムと人工知能の倫理的問題に関する報告書を発表して以来、CNILは、この新しい技術がもたらす新しいツールがもたらす問題について、何度か意見を表明してきた。
En particulier, les intelligences artificielles génératives (voir encadré ci-dessous) se développent rapidement depuis plusieurs mois, que ce soit dans le domaine du texte et de la conversation, via les grands modèles de langage (Large Language Models ou LLMs en anglais), tels que GPT-3, BLOOM ou Megatron NLG et les agents conversationnels (« chatbots ») dérivés (ChatGPT ou Bard), mais également dans ceux de l’imagerie (Dall-E, Midjourney, Stable Diffusion, etc.) ou encore de la parole (Vall-E). 特に、GPT-3、BLOOM、Megatron NLGなどの大規模言語モデル(LLM)や派生するチャットボット(ChatGPTやBard)を介したテキストや会話の分野でも、画像(Dall-E、Midjourney、Stable Diffusionなど)または音声(Vall-E)分野でも、生成人工知能(以下のボックスを参照)は数ヶ月前から急速に発展してきている。
Ces modèles de fondation (Foundation models en anglais) et les briques technologiques qui se reposent sur eux semblent d’ores et déjà trouver de nombreux cas d’application dans des secteurs variés. Néanmoins, la compréhension de leur fonctionnement, de leurs possibilités et de leurs limites, ainsi que les enjeux juridiques, éthiques et techniques autour de leur développement et leur usage restent encore largement en débat. これらの基盤モデルやそれに基づく技術的な構成要素は、すでに様々な分野で多くの応用が期待されているようだ。しかし、その機能、可能性、限界の理解や、開発・利用を取り巻く法的、倫理的、技術的な問題は、まだほとんど議論されていない。
Considérant que la protection des données personnelles est un enjeu majeur pour la conception et l’utilisation de ces outils, la CNIL publie son plan d’action sur l’intelligence artificielle qui vise – entre autres – à encadrer le développement des IA génératives. 個人データの保護は、これらのツールの設計と使用にとって大きな問題であることを考慮し、CNILは人工知能に関する行動計画を発表し、特に、生成型AIの開発を促進することを目的としている。
Qu’est-ce qu’une IA générative ? 生成型AIとは何であるか?
Une intelligence artificielle générative est un système capable de créer du texte, des images ou d’autres contenus (musique, vidéo, voix, etc.) à partir d’une instruction d’un utilisateur humain. Ces systèmes peuvent produire des nouveaux contenus à partir de données d’entraînement. Leurs performances sont aujourd’hui proches de certaines productions réalisées par des personnes en raison de la grande quantité de données ayant servi pour leur entraînement. Ces systèmes nécessitent toutefois que l’utilisateur spécifie clairement ses requêtes pour obtenir les résultats attendus. Se développe donc un véritable savoir-faire autour de la composition des requêtes de l'utilisateur (prompt engineering).   生成型AIとは、人間のユーザーからの指示に基づいて、テキスト、画像、その他のコンテンツ(音楽、ビデオ、音声など)を作成できるシステムである。これらのシステムは、学習データから新しいコンテンツを作り出すことができる。その性能は、訓練に使用するデータが多いため、人が作った作品に近いものも出てきている。しかし、期待通りの結果を得るためには、ユーザーの要望を明確にする必要がある。そのため、ユーザーの要望を構成する(プロンプトエンジニアリング)ことに真のノウハウが生まれつつある。  
Par exemple, l’image ci-dessous, intitulée « Théâtre d’Opéra Spatial » a été générée par l’utilisateur Jason M. Allen grâce à l’outil Midjourney sur la base d’une instruction textuelle décrivant ses attentes (décor théâtral, toges, inspirations picturales, etc.). 例えば、「スペースオペラ劇場」と題された下の画像は、ユーザーのJason M. AllenがMidjourneyツールによって、期待すること(劇場装飾、ガウン、絵のインスピレーションなど)を記述したテキスト指示に基づき生成したものである。
1_20230518051401
Crédit : Jason M. Allen (2022), licence CCo クレジット:Jason M. Allen (2022), CCoライセンス
Un plan d’action en quatre volets 4つの行動計画
La CNIL a engagé depuis plusieurs années des travaux visant à anticiper et à répondre aux défis posés par l’intelligence artificielle, ses différentes déclinaisons (classification, prédiction, génération de contenus, etc.) et ses différents cas d’usage. Son nouveau service de l’intelligence artificielle sera dédié à ces questions, et appuiera les autres services de la CNIL qui sont également confrontés à des utilisations de ces algorithmes dans de nombreux contextes. 数年前からCNILは、人工知能、そのさまざまな形態(分類、予測、コンテンツ生成など)、そのさまざまな用途がもたらす課題を予測し、それに対応するために取り組んできた。新しい人工知能部門は、これらの問題を専門に扱うとともに、多くの文脈でこれらのアルゴリズムの使用に直面しているCNILの他の部門をサポートする予定である。
Face aux enjeux liés à la protection des libertés, à l’accélération de l’IA et à l’actualité liée aux IA génératives, la régulation de l’intelligence artificielle constitue un axe principal de l’action de la CNIL. 自由の保護、AIの加速、生成的AIに関するニュースに関連する課題に直面し、人工知能の規制はCNILの活動の主な焦点となっている。
Cette régulation se structure autour de quatre objectifs : この規制は、4つの目的を中心に構成されている:
・Appréhender le fonctionnement des systèmes d’IA et leurs impacts pour les personnes ・AIシステムの機能および個人への影響を理解する。
・Permettre et encadrer le développement d’IA respectueuses des données personnelles ・個人データを尊重するAIの開発を可能にし、監督する。
・Fédérer et accompagner les acteurs innovants de l’écosystème IA en France et en Europe ・フランスおよび欧州のAIエコシステムの革新的な関係者を連携させ、支援する。
・Auditer et contrôler les systèmes d’IA et protéger les personnes ・AIシステムを監査・管理し、個人を保護する
1. Appréhender le fonctionnement des systèmes d’IA et leurs impacts sur les personnes 1. AIシステムの機能と個人への影響を理解する。
Les techniques innovantes utilisées pour la conception et le fonctionnement des outils d’IA posent des questions nouvelles sur la protection des données, en particulier : AIツールの設計と運用に使用される革新的な技術は、特にデータ保護に関する新たな問題を提起する。
・la loyauté et la transparence des traitements de données sous-jacents au fonctionnement de ces outils ; AIツールの運用の基礎となるデータ処理の公正さと透明性
la protection des données publiquement accessibles sur le Web face à l’utilisation du moissonnage, ou scraping, de données pour la conception des outils ; ツールの設計にデータハーベスティング(スクレイピング)が使用されている場合、ウェブ上で一般にアクセス可能なデータの保護。
la protection des données transmises par les utilisateurs lorsqu’ils utilisent ces outils, allant de leur collecte (via une interface) à leur éventuelle réutilisation, en passant par leur traitement par les algorithmes d’apprentissage automatique  ; 機械学習アルゴリズムによる処理を含む、(インターフェースを介した)収集から再利用の可能性に至るまで、ユーザーがこれらのツールを使用する際に送信するデータの保護;
les conséquences sur les droits des personnes sur leurs données, tant en ce qui concerne celles collectées pour l’apprentissage de modèles que celles qui peuvent être fournies par ces systèmes, telles que les contenus créés dans le cas d’IA génératives ; モデル学習のために収集されたデータ、および生成型AIの場合に作成されるコンテンツなど、これらのシステムによって提供される可能性のあるデータの両方に関して、データに対する個人の権利に及ぼす影響;
la protection contre les biais et les discriminations susceptible de survenir ;   発生しうる偏見や差別に対する保護;  
・les enjeux de sécurité inédits de ces outils. これらのツールは、かつてないほどのセキュリティ上の課題を抱えている
Ces aspects constitueront un des axes de travail prioritaires pour le service de l’intelligence artificielle et le laboratoire d’innovation numérique de la CNIL (LINC). これらの側面は、人工知能部門とCNILのデジタルイノベーション研究所(LINC)が優先的に取り組むべき分野の1つである。
DOSSIER DU LINC LINCファイル
Afin de souligner certains de ces enjeux spécifiques aux IA générativesle Laboratoire d’innovation numérique de la CNIL (LINC) a publié un dossier qui leur est consacré. Constitué de quatre volets, ce dossier : CNILのデジタル・イノベーション・ラボラトリー(LINC)は、生成型AIの具体的な問題のいくつかを強調するために、それらに特化した資料を発表しました。 このファイルは、4つのパートから構成されている:
・détaille le fonctionnement technique des agents conversationnels récents et rappelle la place centrale des données pour la constitution des modèles de fondation sous-jacents ; ・最近の会話型エージェントの技術的機能を詳述し、基礎となるモデルの構成におけるデータの中心的位置を想起させる。
・expose différentes questions juridiques posées par la conception de ces modèles, tant pour la propriété intellectuelle que pour la protection des données ; ・知的財産とデータ保護の両面で、これらのモデルの設計がもたらすさまざまな法的問題を概説する;
・précise les enjeux éthiques des IA génératives pour la fiabilité de l’information, les utilisations malveillantes ainsi que les pistes de la détection et de l’avertissement du public quant à la présence de contenus ainsi générés ; ・情報の信頼性、悪意のある使用、そのような生成されたコンテンツの存在を検知して一般に警告する手段など、生成型AIの倫理的利害を明らかにする;
・illustre par différentes expérimentations les usages positifs ou négatifs qui peuvent être faits de ces outils. ・様々な実験を通して、これらのツールのポジティブまたはネガティブな利用法を説明する。
Ce dossier complète les ressources proposées par la CNIL sur son site web pour les professionnels et le grand public. この資料は、CNILが専門家や一般市民向けにウェブサイト上で提供するリソースを補完するものである。
2. Permettre et encadrer le développement d’IA respectueuses des données personnelles 2. 個人データを尊重するAIの開発を可能にし、監督する。
De nombreux acteurs ont fait part à la CNIL de l’incertitude entourant l’application du RGPD à l’IA, notamment pour l’entraînement des IA génératives. 多くの関係者が、GDPRのAIへの適用、特にジェネレーティブAIの育成をめぐる不確実性をCNILに伝えている。
Afin d’accompagner les acteurs du domaine de l’intelligence artificielle et pour préparer l’entrée en application du règlement européen sur l’IA (en cours de discussion au niveau européen et sur lequel la CNIL et ses homologues européennes avaient publié un avis en 2021), la CNIL propose déjà : 人工知能分野の関係者に寄り添い、AIに関する欧州規制(欧州レベルで議論中で、CNILと欧州の関係者が2021年に意見を発表していた)の発効を準備するため、CNILはすでに提案を行っている:
de premières fiches sur l’IA, publiées en 2022sur cnil.fr, comprenant notamment des contenus pédagogiques sur les grands principes de l’IA et un guide pour accompagner les professionnels dans leur mise en conformité ; ・AIに関する最初のファクトシート(2022年にcnil.frで発行、特にAIの主要原則に関する教育コンテンツと、専門家のコンプライアンスを支援するガイドを含む
une position, également publiée en 2022, sur l’usage de la vidéosurveillance « augmentée » qui utilise l’IA sur des images de l’espace public. ・公共空間の映像にAIを使用する「拡張型」ビデオ監視の使用に関する見解(同じく2022年発表)。
Elle poursuit ses travaux doctrinaux et publiera prochainement plusieurs documents. Ainsi : また、現在も教義的な作業を続けており、近々いくつかの文書を発表する予定である。このように
・la CNIL soumettra bientôt à une consultation un guide sur les règles applicables au partage et à la réutilisation de données. Ces travaux incluront notamment la question de la réutilisation de données librement accessibles sur internet et aujourd’hui utilisées pour l’apprentissage de nombreux modèles d’IA. Ce guide sera donc pertinent pour toute une partie des traitements de données nécessaires à la conception des systèmes d’IA, dont les IA génératives. CNILは、データの共有と再利用に適用される規則に関するガイドを近日中に提出し、協議する予定である。 この作業には、特に、インターネット上で自由にアクセスでき、現在多くのAIモデルのトレーニングに使用されているデータの再利用に関する問題が含まれる予定である。したがって、このガイドは、生成AIを含むAIシステムの設計に必要なデータ処理の一部と関連することになる。
elle poursuivra également ses travaux sur la conception de systèmes d’IA et la constitution de bases de données pour l’apprentissage automatique. Ceux-ci donneront lieu à plusieurs publications à partir de l’été 2023, à la suite de la concertation qui a déjà été organisée avec plusieurs acteurs, afin d’apporter des recommandations concrètes, notamment en ce qui concerne la conception des systèmes d’IA comme ChatGPT. Les thématiques suivantes seront progressivement abordées
:
・また、AIシステムの設計や機械学習のためのデータベースの構成に関する作業も継続する予定である。 特にChatGPTのようなAIシステムの設計に関して、具体的な提言を行うため、すでに開催された関係者との協議に基づき、2023年夏からいくつかの出版物を作成する予定である。以下のトピックを順次取り上げていく予定である。
・・l’utilisation du régime de la recherche scientifique pour la constitution et la réutilisation des bases de données d’entraînement ; ・・トレーニングデータベースの構築と再利用のための科学研究制度の利用;
・・l’application du principe de finalité aux IA à usage général et aux modèles de fondation que sont par exemple les grands modèles de langage ; ・・汎用AIや大規模言語モデルのような基礎モデルへの最終性の原則の適用。
・・l’explicitation du partage des responsabilités entre les entités qui constituent les bases de données, celles qui élaborent des modèles à partir de ces données et celles qui utilisent ces modèles ; ・・データベースを構成する主体、これらのデータからモデルを開発する主体、これらのモデルを使用する主体間の責任分担を明確にすること;
・・les règles et bonnes pratiques applicables à la sélection des données pour l’entraînement, au regard des principe d’exactitude et de minimisation des données ; ・・データの正確性と最小化の原則を考慮した、トレーニング用データの選択に適用されるルールとグッドプラクティス;
・・la gestion des droits des personnes et notamment les droits d’accès, de rectification et d’opposition ; ・・個人の権利、特にアクセス権、修正権、異議申立権の管理
・・les règles applicables concernant la durée de conservation, notamment pour les bases d’entraînement et les modèles les plus complexes à constituer ; ・・保存期間に関する適用規則、特にトレーニング用データベースと設定される最も複雑なモデルについて;
・enfin, consciente que les problématiques soulevées par les systèmes d’intelligence artificielle ne s’arrêtent pas à leur conception, la CNIL poursuit également ses réflexions éthiques sur l’utilisation et le partage des modèles d’apprentissage automatique, la prévention et la correction des biais et discriminations, ou encore sur la certification des systèmes d’IA. ・最後に、人工知能システムが引き起こす問題はその設計にとどまらないことを認識し、CNILは機械学習モデルの使用と共有、偏見と差別の防止と是正、AIシステムの認証に関する倫理的考察も進めている。
3. Fédérer et accompagner les acteurs innovants de l’écosystème IA en France et en Europe 3. フランスおよび欧州のAIエコシステムの革新的な関係者を連携させ、支援する。
La régulation de l’IA de la CNIL vise à faire émerger, promouvoir et aider à prospérer des acteurs dans un cadre fidèle aux valeurs de protection de droits et libertés fondamentaux françaises et européennes. Cet accompagnement, déjà engagé, prend trois formes : CNILのAI規制は、フランスおよび欧州の基本的権利と自由の保護という価値観に忠実な枠組みで、アクターの出現、促進、繁栄を支援することを目的としている。この支援は、すでに進行中であり、3つの形態がある:
・la CNIL a lancé depuis 2 ans un « bac à sable » pour accompagner les projets et acteurs innovants, ce qui l’a notamment conduite à se pencher sur des projets reposant sur l’IA. Les « bacs à sable » sur la santé en 2021 (12 projets accompagnés) et sur l’éducation en 2022 (10 projets accompagnés) ont ainsi permis de fournir des conseils adaptés à des acteurs innovants de l’IA dans ces domaines. La CNIL ouvrira bientôt un nouvel appel à projet pour l’édition de 2023, qui concernera notamment l’usage de l’intelligence artificielle dans le secteur public ; ・2年前、CNILは革新的なプロジェクトやアクターを支援するための「サンドボックス」を立ち上げ、AIに基づくプロジェクトに焦点を当てることになった。2021年の健康に関する「サンドボックス」(12プロジェクトが支援)、2022年の教育に関する「サンドボックス」(10プロジェクトが支援)により、これらの分野における革新的なAIアクターに適応したアドバイスを提供することが可能になった。CNILは、2023年版の新しいプロジェクト募集をまもなく開始する予定である;
・elle a lancé un programme d’accompagnement spécifique des fournisseurs de vidéosurveillance « augmentée » dans le cadre de l’expérimentation prévue par la loi relative aux Jeux olympiques et paralympiques de 2024 ; ・また、2024年オリンピック・パラリンピック競技大会に関する法律で定められた実験の一環として、「拡張型」ビデオ監視のサプライヤーに対する特別支援プログラムを開始した;
・enfin, la CNIL a ouvert en 2023 un nouveau programme « d’accompagnement renforcé » pour assister des entreprises innovantes dans leur conformité au RGPD : les premiers lauréats de cet accompagnement renforcé sont des entreprises innovantes dans le domaine de l’IA. ・最後に、2023年、CNILは、革新的な企業がRGPDを遵守するのを支援するための新しい「強化支援」プログラムを開設した。この強化支援の最初の受賞者は、AI分野の革新的企業である。
Plus généralement, la CNIL souhaite engager un dialogue nourri avec les équipes de recherche, centres de R&D et entreprises françaises développant, ou souhaitant développer, des systèmes d’IA dans une logique de conformité aux règles de protection des données personnelles. より一般的には、CNILは、個人データ保護規則を遵守する論理でAIシステムを開発している、または開発を希望するフランスの研究チーム、研究開発センター、企業と持続的に対話することを希望している。
Ces équipes et entreprises peuvent prendre contact avec la CNIL à l’adresse ia@cnil.fr. これらのチームや企業は、CNIL(ia@cnil.fr)に連絡することができます。
4. Auditer et contrôler les systèmes d’IA et protéger les personnes   4. AIシステムを監査・管理し個人を保護する  
La définition du cadre permettant le développement des systèmes d’intelligence artificielle dans le respect des droits et libertés individuelles implique, en aval, que la CNIL en contrôle le respect. Il est donc essentiel pour la CNIL de développer un outillage permettant d’auditer les systèmes d’IA qui lui sont soumis et cela tant de manière à priori qu’à postériori. 個人の権利と自由を尊重しながら人工知能システムの開発を可能にする枠組みを定義することは、下流では、CNILがコンプライアンスを監視することを意味します。したがって、CNILは、提出されたAIシステムを事前・事後に監査するツールを開発することが不可欠である。
L’action de contrôle de la CNIL portera notamment en 2023 sur : 2023年、CNILの管理活動は、特に以下の点に焦点を当てる:
・le respect de la position sur l’usage de la vidéosurveillance « augmentée », publiée en 2022, par les acteurs publics et privés ; ・2022年に発表された、官民による「拡張型」ビデオ監視の使用に関する見解の遵守
・l’usage de l’intelligence artificielle pour la lutte contre la fraude, par exemple pour la lutte contre la fraude à l’assurance sociale, au regard des enjeux liés à l’usage de tels algorithmes ; ・不正行為との闘いにおける人工知能の使用、例えば社会保険不正行為との闘いにおける、そのようなアルゴリズムの使用に関連する問題点に関して
・l’instruction de plaintes déposées auprès de la CNIL. S le cadre juridique de l’entraînement et de l’utilisation des IA génératives nécessite d’être clarifié, ce à quoi la CNIL va s’employer, des plaintes ont d’ores et déjà été déposées. La CNIL a, en particulier, reçu plusieurs plaintes à l’encontre de la société OpenAI qui gère le service ChatGPT, et a ouvert une procédure de contrôle. En parallèle, un groupe de travail dédié a été créé au sein du Comité européen de la protection des données ou CEPD (en anglais), en vue d’assurer une démarche coordonnée des autorités européennes et une analyse harmonisée des traitements de données mis en œuvre par l’outil d’OpenAI. ・CNILに申し立てられた苦情の調査。 生成AIの訓練と使用に関する法的枠組みを明確にする必要がある場合、CNILはそれを行う予定であるが、すでに苦情は提出されている。特にCNILは、ChatGPTサービスを運営するOpenAI社に対して複数の苦情を受け、管理手続きを開始した。これと並行して、欧州データ保護委員会(EDPS)内に専門のワーキンググループが設置され、欧州当局による協調的なアプローチとOpenAIツールによって実施されたデータ処理に関する調和のとれた分析が行われるようになった。
La CNIL sera particulièrement attentive à ce que les acteurs traitant des données personnelles afin de développer, d’entraîner ou d’utiliser des systèmes d’intelligence artificielle aient : CNILは、人工知能システムの開発、訓練、使用を目的として個人データを処理する事業者が、以下のことを行っているかどうかに特に注意を払う:
・réalisé une analyse d’impact relative à la protection des données (AIPD) pour documenter les risques et pris des mesures permettant de les diminuer ; ・データ保護影響評価(DPIA)を実施し、リスクを文書化し、リスクを低減するための措置を講じていること;
・pris des mesures d’information des personnes ; ・個人に通知するための措置を講じていること
・prévu des mesures d’exercice des droits des personnes adaptées à ce contexte particulier. ・この特定の状況に適応した個人の権利を行使するための手段を提供すること。
Grâce à ce travail collectif et essentiel, la CNIL souhaite instaurer des règles claires, protectrices des données personnelles des citoyens européens afin de contribuer au développement de systèmes d’IA respectueux de la vie privée. CNILは、この集団的かつ不可欠な作業により、欧州市民の個人データを保護する明確なルールを確立し、プライバシーに配慮したAIシステムの開発に貢献することを望んでいる。

 

Pour approfondir

| | Comments (0)

2023.05.17

米国 CISA ホワイトペーパー サイバーフィジカル重要インフラの回復力を高めるための研究、開発、イノベーション:ニーズと戦略的行動

こんにちは、丸山満彦です。

CISAが、重要インフラの回復力を高めるための研究・開発・イノベーション:ニーズと戦略的行動 というホワイトペーパーを公表していますね。。。

⚫︎ CISA

・2023.05.10 CISA Releases White Paper Highlighting R&D Needs and Strategic Actions for Enhancing the Resilience of Critical Infrastructure

 

CISA Releases White Paper Highlighting R&D Needs and Strategic Actions for Enhancing the Resilience of Critical Infrastructure CISA、重要インフラの回復力強化のための研究開発ニーズと戦略的アクションを示すホワイトペーパーを発表
The Cybersecurity and Infrastructure Security Agency announces the release of the white paper, Research, Development, and Innovation for Enhancing Resilience of Cyber-physical Critical Infrastructure: Needs and Strategic Actions, developed by the Resilient Investment Planning and Development Working Group (RIPDWG). サイバーセキュリティおよびインフラセキュリティ庁は、ホワイトペーパー「サイバー・フィジカル重要インフラの回復力を強化するための研究開発およびイノベーション」を発表する: レジリエント投資、計画、開発作業部会  (RIPDWG) により作成された「ニーズと戦略的行動」です。
As noted in the paper, federal research is often sector-specific or fragmented by discipline making it hard to apply to effectively mitigate cross-cutting and systemic infrastructure risks. RIPDWG developed the paper to help the federal research enterprise capitalize on the opportunity to make congressionally funded research more relevant, equitable, accessible, and useful to those decision-makers that must address critical infrastructure challenges, particularly at the local and regional scales. 本文書で述べられているように、連邦政府の研究は、しばしば分野別であったり、分野ごとに断片的であったりするため、横断的で体系的なインフラリスクを効果的に軽減するために適用することが困難である。RIPDWGは、連邦政府の研究事業が、議会が資金提供する研究を、特に地方や地域のスケールで重要インフラの課題に対処しなければならない意思決定者にとって、より適切、公平、アクセスしやすく、有用なものにする機会を生かすために、この文書を作成した。
The paper defines three major gaps that will require a more integrated, empirical, and user-informed approach to federal research, development, and innovation (RD&I): (1) An integrated analysis of consequences and risk reduction decision factors for critical services that depend on cyber-physical infrastructure systems; (2) An understanding of the societal dimensions of enhancing the resilience of cyber-physical infrastructure systems; and (3) User-engagement in cyber-physical infrastructure research to translate resilience knowledge into effective action at the local and regional level. 本文書では、連邦政府の研究・開発・イノベーション(RD&I)において、より統合的、実証的、ユーザーインフォームドなアプローチを必要とする3つの主要なギャップを定義している。(1)サイバーフィジカルインフラシステムに依存する重要サービスに対する結果とリスク低減決定要素の統合分析、(2)サイバーフィジカルインフラシステムの回復力を高める社会的側面に関する理解、(3)回復力を高める知識を地元や地域のレベルで効果的に行動に移すサイバーフィジカルインフラ研究へのユーザー参加である。
To address identified RD&I gaps, the paper recommends a dozen strategic actions for holistic implementation by research partners across the federal interagency in collaboration with stakeholders: 特定された研究・開発・イノベーション の課題に対処するため、本文書では、連邦省庁間の研究パートナーが利害関係者と協力して全体的に実施するための 12 の戦略的アクションを提言している:
•       Develop integrated models capable of identifying systemic risks to interconnected infrastructure and cascading impacts of disruptions.  ・相互接続されたインフラに対するシステミックリスクと、混乱がもたらす連鎖的な影響を特定できる統合モデルを開発する。
•       Establish interagency RD&I testbeds for cyber-physical infrastructure resilience.  ・サイバー・フィジカル・インフラのレジリエンスのための省庁間 研究・開発・イノベーション テストベッドを確立する。
•       Develop methods to analyze and monitor cyber and physical infrastructure interoperability to identify points of intervention to sustain operations.  ・サイバーと物理インフラの相互運用性を分析・監視する方法を開発し,運用を維持するために介入すべきポイントを特定する。
•       Integrate decision theory into research to understand and account for how public versus private infrastructure entities assess and manage risk.  ・意思決定理論を研究に組み入れ,公共と民間のインフラ事業体がどのようにリスクを評価し管理するかを理解し、説明する。
•       Develop metrics, methodologies, and guidance for decision-makers on integrating green and gray infrastructure solutions.  ・グリーンとグレーのインフラソリューションを統合するためのメトリクス、方法論、意思決定者向けのガイダンスを開発する。
•       Analyze unanticipated vulnerabilities and implications of technology innovation on the security and resilience of critical infrastructure services.  ・重要インフラサービスのセキュリティとレジリエンスに対する技術革新の予期せぬ脆弱性とその影響を分析する。
•       Understand the impact of workforce changes on critical infrastructure security and resilience to identify gaps in what is needed to support an infrastructure workforce into the future.  ・労働力の変化が重要インフラのセキュリティと回復力に与える影響を理解し、将来にわたってインフラ労働力を支えるために必要なもののギャップを特定する。
•       Develop shared baseline information on how demographic, geographic, and institutional capacity stressors have resulted in vulnerabilities and inequitable impacts of critical service disruptions.  ・人口動態,地理的,制度的な能力ストレス要因が、重要なサービスの中断による脆弱性や不公平な影響をどのようにもたらしたかについての共有ベースライン情報を開発する。
•       Identify and empirically test principles of resilient design and adaptive risk management to determine effectiveness in meeting infrastructure resilience and sustainability outcomes/metrics.  ・レジリエントデザインとアダプティブリスクマネジメントの原則を特定し、実証的にテストすることで,インフラの回復力と持続可能性の成果や指標を満たすための有効性を判断する。
•       Work with private and public, place-based institutions to co-produce knowledge with users to improve the relevance and applicability of RD&I to infrastructure actions at the community level.  ・民間および公的な場所に根ざした機関と連携し、利用者とともに知識を共同生産することでコミュニティレベルでのインフラ対策と研究・開発・イノベーションの関連性・適用性を向上させる。
•       Examine the institutional and regulatory context of infrastructure risk management against the requirements for adaptive management of systems under a changing risk environment.  ・インフラリスク管理の制度的・規制的背景を、変化するリスク環境下でのシステムの適応的管理の要件と照らし合わせて検証する。
•       Conduct comparative empirical resilience case studies of both federally supported and nonfederal resilience initiatives.  ・連邦政府が支援するレジリエンス・イニシアチブと連邦政府以外のレジリエンス・イニシアチブについて、比較実証的なケーススタディを実施する。

 

・Working Group: Resilient Investment Planning and Development Working Group

・[PDF] RESEARCH, DEVELOPMENT, AND INNOVATION FOR ENHANCING RESILIENCE OF CYBER-PHYSICAL CRITICAL INFRASTRUCTURE: NEEDS AND STRATEGIC ACTIONS 

20230517-63101

 

Continue reading "米国 CISA ホワイトペーパー サイバーフィジカル重要インフラの回復力を高めるための研究、開発、イノベーション:ニーズと戦略的行動"

| | Comments (0)

米国 CISA ブログ コロニアルパイプラインへの攻撃:この2年間で私たちが学んだこと、私たちがやってきたこと (2023.05.07)

こんにちは、丸山満彦です。

CISAのブログで、「コロニアルパイプラインへの攻撃:この2年間で私たちが学んだこと、私たちがやってきたこと」という短い記事があります...

CISAがやったこと。。。ということで次のようなことが挙げられています。。。

stopransomware.govの開発:組織が実用的でタイムリーなサイバーセキュリティ情報にアクセスする簡単な方法を必要としていることを認識し、企業や個人向けの警告やガイダンスの中心的な場所を提供するした。

Joint Ransomware Task Forceの発足:政府間の緊密な連携があってこそ、脅威に対応できることを認識し、ランサムウェアの蔓延に対する連邦政府の対応を指揮するため、FBIと共同で発足。

合同サイバー防衛共同体(JCDC)の設立:米国サイバースペース・ソラリウム委員会から生まれたコンセプト 。産業界、政府、内部のパートナーを結集し、敵に隙を与えるサイロを取り払う必要性を認識し、設立した。

・運輸保安庁(TSA)とともに、25社以上の主要パイプライン事業者と産業制御システムパートナーを集め、パイプラインの運用に不可欠な運用技術ネットワークを保護するためのセキュリティ対策を強化する取り組みを行い、コロニアルパイプラインへの攻撃後にTSAが発行したセキュリティ指令を補完した。

・「サイバーセントリー」と呼ばれる能力の拡張:議会の支援を受けて、最も重要な運用技術ネットワークを標的とする可能性のあるサイバー脅威の可視性を高め、より迅速に検出することを可能にした。

サイバーセキュリティ・パフォーマンス・ゴール(CPG)の導入:あらゆる規模やスキルレベルの組織が、最もインパクトのあるサイバーセキュリティへの投資に優先順位をつけられるよう支援した。

 

注目すべきは、米国情報機関の年次脅威報告書 (2023) での、「もし北京が米国との大きな紛争が迫っていることを恐れた場合、ほぼ確実に米国本土の重要インフラに対する積極的なサイバー作戦を行うことを検討するだろう。」という指摘をうけて、

1. 設計段階からのセキュリティの組み込み (Secure by Design, Secure by Default

2. 経営トップによるセキュリティへの対応 (CIOやCISOに押し付けるのではなく、CxO全体が考えなければならない)

3. 政府と産業界の持続的かつ積極的な業務協力に投資

としてきしていますね。。。

もっともだと思います。。。

 

⚫︎ CISA - News

・2023.05.07 The Attack on Colonial Pipeline: What We’ve Learned & What We’ve Done Over the Past Two Years

 

1_20230517054601

 


 

⚫︎まるちゃんのセキュリティ気まぐれ日記

米国脅威評価...

・2023.04.09 米国 インテリジェンスコミュニティーによる2023年脅威評価 (2023.02.06)

・2021.06.06 米国 インテリジェンスコミュニティーによる2021年脅威評価 by ODNI at 2021.04.09

 

CxOがサイバーに関わる重要性...

・2023.01.16 PwC サイバーセキュリティに関するグローバルの調査と日本の調査

・2022.11.17 米国 ニューヨーク州 金融サービス局 意見募集:サイバーセキュリティ規則更新案:取締役会およびCXOレベルにおけるサイバーセキュリティの説明責任を強化等 (2022.11.09)

 

コロニアルパイプライン関係...

・2022.01.28 米国 官民共同パートナーシップである産業用制御システム(ICS)サイバーセキュリティ・イニシアチブを水分野に拡大

・2022.01.16 金銭目的のサイバー攻撃については全ての国が協力できる(コロニアルパイプラインを攻撃した疑いのあるハッカーを米国の要請によりロシアが逮捕)

・2022.01.10 IEEE 産業及び重要インフラのセキュリティ:実際に起きたセキュリティ事故の技術的分析

・2021.09.02 世界経済フォーラム (WEF) 石油・ガス業界におけるサプライチェーン・セキュリティの推進:業界分析

・2021.08.01 米国 上院商務・科学・運輸委員会 公聴会 パイプラインサイバーセキュリティ:重要インフラストラクチャの保護

・2021.06.10 米国 上院国土安全保障委員会 パイプラインに潜むサイバー脅威:コロニアル・ランサムウェア攻撃から得た教訓を重要インフラの防御に活かす

・2021.06.08 米国 司法省 コロニアル・パイプライン社が支払った暗号通貨の大半(約230 万ドル)を押収

・2021.05.21 U.S. GAO (blog) コロニアルパイプラインへのサイバー攻撃は、連邦政府および民間部門のサイバーセキュリティへの備えの必要性を認識させた

・2021.05.18 世界経済フォーラム (WEF) 石油・ガス産業におけるサイバーレジリエンス:取締役と執行役のためのプレイブック

・2021.05.10 米国の精製石油パイプライン運用会社がランサムウェアにやられ、被害拡大を防止するためにパイプラインを停止した

 

 

| | Comments (0)

経済産業省 産業サイバーセキュリティ研究会 WG3 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会 中間とりまとめ

こんにちは、丸山満彦です。

経済産業省産業サイバーセキュリティ研究会の「WG3 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会」がIoT評価に関する報告書を中間とりまとめとして、公表していますね。。。

大きな方向としては、この委員会が立ち上がるときに私がブログで書いていた内容と同じように思えるので、よいのではないかなぁ。。。

あとは、ISMSの時のように、立ち上げを迅速にし、世界標準での世界的な成功例として、他国の制度の模範となることかもしれませんね。。。

英国は法律で推進していますし、EUもおそらくサイバーレジリエンス法によってそうするでしょうし、、、米国も安全保障の観点から大統領令にもとづいて制度試行は考えているようですし、準備も始めていますよね。。。

ISMSの時は、情報処理サービス業情報システム安全対策実施事業所認定制度の後継となることがきまっていましたから、ある意味ベースがあったわけで、それが良かったわけです。それ以外のITSMS、CSMSなどは、それほど事業者が増えていません。Pマークも法律の施行を契機として増えたわけです。。。

そういう意味では、取得製品等に対するインセンティブを国が補助するというのは、国益という観点からありかもしれませんね。。。例えば、取得製品が最終消費者に売れるたびに10%の補助金をだすとか(最終消費者が誰か、転売して最終的に返品していないか、等の不正対策はいるでしょうが...)。このあたりは、綿密な普及のための制度設計が必要だと思います。。。

そういえば、製品・システムのセキュリティ認証といえば、ISO/IEC 15408、で、田渕治樹さんでしたが、田渕さんはどうされているのでしょうかね。。。2001年ごろでしょうか、CCについて教えてもらったことがあります。。。

 

⚫︎経済産業省 審議会・研究会 - ものづくり/情報/流通・サービス - 産業サイバーセキュリティ研究会 - ワーキンググループ3(サイバーセキュリティビジネス化) - ワーキンググループ3(IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会)

 

 ・2023.05.15 産業サイバーセキュリティ研究会 ワーキンググループ3 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会 中間とりまとめ

 

・[PDF] 産業サイバーセキュリティ研究会 ワーキンググループ3 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会 中間とりまとめ

20230517-24519

 

  • 米国では、2022 年 10 月にホワイトハウスにおいて、消費者向け IoT 製品のラベリング制度の構築に向けた企業、団体及び政府機関間の議論が行われた。
  • 英国では、消費者向け IoT 製品に対してセキュリティ対策の義務化を求める PSTI 法[1]が 2022年 12 月に成立した。
  • EU では、EU 市場に投入されるあらゆるデジタル製品のセキュリティ対応を義務付ける EU サイバーレジリエンス法[2]の草案が 2022 年 9 月に発表された。
  • ドイツ、シンガポール及びフィンランドでは、消費者向け IoT 製品に対するセキュリティラベリング制度が既に開始している。

 

[1] Product Security and Telecommunications Infrastructure Act 2022 https://www.legislation.gov.uk/ukpga/2022/46/contents/enacted

[2] European Commission, Cyber Resilience Act https://digital-strategy.ec.europa.eu/en/library/cyber-resilienceact

 

 


 

⚫︎ まるちゃんの情報セキュリティ気まぐれ日記

・2022.11.04 経済産業省 第1回 産業サイバーセキュリティ研究会 ワーキンググループ3 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会

 

 

米国のサイバーセキュリティラベル

・2023.05.10 米国 ホワイトハウス 重要新興技術に関する国家標準化戦略を発表 (2023.05.04)

・2023.04.25 Five Eyesの国々が安全なスマートシティを作るための共同ガイダンスを発表 (2023.04.20)

・2023.03.04 米国 国家サイバーセキュリティ戦略を発表

・2023.05.07 米国 NIST SP 1800-36 (ドラフト) 信頼できるIoTデバイスのネットワーク層オンボーディングとライフサイクル管理:インターネットプロトコルベースのIoTデバイスとネットワークのセキュリティ強化(初期ドラフト)(2023.05.03)

・2022.06.19 NISTIR 8425 (ドラフト) 消費者向けIoT製品のIoTコアベースラインのプロファイル

・2022.05.19 NIST IoTセキュリティ関連の文書についてNISTのブログで簡単に説明されていますね。。。

・2022.02.07 NIST ホワイトペーパー :消費者向けソフトウェアのサイバーセキュリティラベルの推奨規準

・2022.02.06 NIST ホワイトペーパー :消費者向けIoT製品のサイバーセキュリティラベルの推奨規準

・2021.11.04 NIST 消費者向けソフトウェアのサイバーセキュリティに関するラベリングについての意見募集

 

EUのサイバーセキュリティ

・2023.04.25 Five Eyesの国々が安全なスマートシティを作るための共同ガイダンスを発表 (2023.04.20)

・2023.03.21 ENISA サイバーセキュリティ認証のウェブページを開設

・2023.03.01 IPA 欧州規格 ETSI EN 303 645 V2.1.1 (2020-06)の翻訳の公開

・2023.01.29 欧州 サイバーレジリエンス法案に対するポジションペーパー by 欧州消費者機構

・2022.09.17 欧州委員会 サイバーレジリエンス法案 製造者は「積極的に悪用される脆弱性」に気づいたら24時間以内にENISAに報告しなければならない...

 

ドイツのセキュリティ製品の認証

・2022.10.31 ドイツ シンガポール 消費者向けIoT製品のサイバーセキュリティ・ラベルの相互承認 (2022.10.20)

・2022.05.09 ドイツ ITセキュリティラベル for 消費者向けスマート製品

・2022.02.03 ドイツ BSI Mail.deの電子メールサービスにITセキュリティラベルを付与

・2021.07.18 独国 BSIがITセキュリティラベルについてのウェブページを公開していますね。。。

 

英国

・2023.05.04 英国 インターネットに接続するすべての消費者向け製品に適用される最低セキュリティ基準制度が1年後にはじまりますよ〜 (2023.04.29)

・2023.04.25 Five Eyesの国々が安全なスマートシティを作るための共同ガイダンスを発表 (2023.04.20)

・2022.12.11 英国 製品セキュリティおよび電気通信インフラストラクチャ(PSTI)法成立 at 2022.12.06

・2022.01.27 英国 スマートデバイスのサイバーセキュリティ新法に一歩近づくと発表

・2021.12.09 英国 製品セキュリティおよび電気通信インフラストラクチャ(PSTI)法案 at 2021.11.24

 

中国

・2023.03.10 中国 デジタルチャイナ建設全体配置計画 (2023.02.27)

・2023.01.10 中国 中国のサイバーセキュリティ政策の発展における成果と変化 (2022.12.30)

 

| | Comments (0)

個人情報保護委員会 個人情報を考える週間(令和5年の取組)

こんにちは、丸山満彦です。

日本の個人情報保護委員会もそのメンバーであるアジア太平洋プライバシー機関(APPA:Asia Pacific Privacy Authoritiesに参加する各国の個人情報保護当局は、毎年「Privacy Awareness Week(PAW)」を設定し、プライバシー問題と個人情報の保護の啓発活動を行っていますが、今年は、令2023年5月29日から6月4日までを「個人情報を考える週間」として、個人情報の重要性に関する情報発信を強化するとのことです。。。

この活動は2018年からおこなわれているので、今年で5年目ですね。。。

⚫︎個人情報保護委員会

・2023.05.12 令和5年度「個人情報を考える週間」について掲載しました。

 

クイズもあるので、是非チャレンジを(^^)

1_20230517023101

 

APPA各国のプライバシーウィークの取り組み。。。

 

⚫︎Asia Pacific Privacy Authorities: APPA

Privacy Awareness Week

 

 

| | Comments (0)

2023.05.16

米国 連邦政府CIO協議会 小規模省庁のCIOと幹部向けのハンドブックを発表 (2023.05.11)

こんにちは、丸山満彦です。

米国連邦政府CIO協議会が、小規模省庁のCIOと幹部向けのハンドブックを発表していますね。。。CIOハンドブックの補完資料的な位置付けです。。。小規模省庁向けではありますが、だれでも使えるということですね。。。

民間企業においても参考になることも多いと思います。

 

⚫︎ Chief Information Officers Council (CIO.GOV)

・2023.05.11 CIO Council Releases Handbook for Small Agency CIOs and Executives

CIO Council Releases Handbook for Small Agency CIOs and Executives CIO協議会、小規模省庁のCIOと幹部向けのハンドブックを発表
By Chris Chilbert, Chief Information Officer, Consumer Financial Protection Bureau, Co-Chair of Small Agency CIO Council and Tony McDonald, CIO, OMB, Chief Information Officer, Office of Management and Budget, Co-Chair of Small Agency CIO Council 小規模機関CIO協議会共同議長 消費者金融保護局最高情報責任者 クリス・チルバート、小規模機関CIO協議会共同議長 管理予算局最高情報責任者 トニー・マクドナルド 著
The Small Agency CIO Council published the Federal Small Agency CIO and IT Executive Handbook in partnership with GSA’s IT Modernization division. As co-chairs of the Small Agency CIO Council and having managed IT organizations within the context of small agencies, we recognized the importance of creating guidance specifically to meet the unique challenges faced by IT leaders in our small agency community. This handbook serves as a foundational guide to assist small agency IT Executives in carrying out their missions. 小規模機関CIO協議会は、GSAのIT近代化部門と共同で「連邦小規模機関CIOおよびITエグゼクティブハンドブック」を発行した。小規模機関 CIO 評議会の共同議長として、また小規模機関の中で IT 組織を管理してきた私たちは、小規模機関コミュニティの IT リーダーが直面する独自の課題に対応するための指針を特に作成することの重要性を認識していた。 このハンドブックは、小規模機関のITエグゼクティブがその使命を遂行するのを支援するための基礎的なガイドとして機能する。
Small agencies often have unique organizational structures that do not follow the traditional staffing model for IT administration. For example, small agencies may not have a full suite of IT leadership roles or even a designated CIO. In some scenarios, executives may fulfill multiple roles in IT management while in others executives may have diverse backgrounds outside of the IT space.   小規模な機関では、IT管理のための伝統的な人員配置モデルに従わない独自の組織構造を持つことがよくある。例えば、小規模な機関では、ITリーダーとしての役割一式や、指名されたCIOすら存在しない場合がある。あるシナリオでは、幹部がIT管理における複数の役割を果たすこともあれば、幹部がIT分野以外の多様な経歴を持つこともある。  
Small agencies shoulder the same responsibilities as large agencies with respect to IT responsibilities and implementation. This handbook provides a general approach to the comprehensive management of an agency’s IT portfolio, including an overview of foundational elements and principles to establish and maintain reliable, secure, and effective IT operations and services. Due to the diverse nature of small agency staffing, the handbook uses the term IT Executive to refer to the individual at the agency with the primary responsibility for IT management and the standard duties of a federal Chief Information Officer (CIO). The ultimate responsibility for managing IT, data, and information security is with the agency head. 小規模な機関は、ITの責任と実装に関して、大規模な機関と同じ責任を負うことになる。このハンドブックは、信頼性が高く、安全で、効果的なIT運用とサービスを確立し、維持するための基礎的な要素と原則の概要を含む、機関のITポートフォリオの包括的な管理に対する一般的なアプローチを提供する。小規模な機関の人員配置は多様であるため、本ハンドブックでは、IT 管理の主要な責任を負う機関の個人と、連邦最高情報責任者(CIO)の標準的な職務を指す用語として、IT Executive を使用している。IT、データ、情報セキュリティの管理に関する最終的な責任は、機関の長にある。
The Federal Small Agency CIO and IT Executive Handbook aims to: 連邦小規模機関CIOおよびITエグゼクティブハンドブックの目的は、以下の通りである:
・Provide IT Executives foundational information about their areas of responsibility in managing their IT portfolio. ・ITエグゼクティブに、ITポートフォリオの管理における責任領域に関する基礎的な情報を提供する。
・Highlight laws, policies, tools, and initiatives related to federal IT to improve compliance and implementation. ・連邦政府のITに関連する法律、政策、ツール、イニシアチブを強調し、コンプライアンスと実装を改善する。
・Provide decision-making guidance and recommendations for challenges specific to small agencies. ・小規模な機関に特有の課題に対して、意思決定の指針や推奨事項を提供する。
・Serve as a consolidated knowledge base and a quick reference to access information and resources from GSA and other organizations. ・統合された知識ベースとして、また GSA や他の組織からの情報やリソースにアクセスするためのクイックリファレンスとして機能する。
This handbook is designed to supplement the existing Federal CIO Handbook and other role-specific guidance documents. The handbook contains substantial contributions from the federal community and small agency representatives and leaders. Although targeted towards small Federal agencies, we feel the contents of this document can benefit anyone within the Federal IT community as well as state and local governments. We encourage you to take a look today! このハンドブックは、既存の連邦政府CIOハンドブックおよびその他の役割別ガイダンス文書を補完するように設計されている。このハンドブックには、連邦政府コミュニティおよび小規模機関の代表者や指導者からの多大な貢献が含まれている。小規模な連邦政府機関を対象としているが、この文書の内容は、連邦政府ITコミュニティや州政府、地方政府の誰にとっても有益なものだと考えている。ぜひご覧ください!
Sincerely, 敬具
Chris Chilbert クリス・チルバート
Chief Information Officer 最高情報責任者
Consumer Financial Protection Bureau 消費者金融保護局
Tony McDonald, CIO, OMB トニー・マクドナルド(OMB CIO)
Chief Information Officer チーフ・インフォメーション・オフィサー
Office of Management and Budget 行政管理予算局

 

・[PDF] Federal Small Agency CIO and IT Executive Handbook 

20230516-45645

 

目次...(レベル3まで...)

1 Executive Summary エグゼクティブサマリー
2 Document Objectives 文書の目的
1 Handbook Overview ハンドブックの概要
2 Audience 想定読者
2 Purpose 目的
2 Content 内容
1 Introduction はじめに
2 Federal IT Management 連邦政府のIT管理
2 CIO Role CIOの役割
2 Small Agency IT Administration 小規模機関のIT管理
1 Leading and Managing Small Agency IT 小規模機関のITの指導と管理
2 Executive Leadership エグゼクティブ・リーダーシップ
3 Responsibilities 責任
3 Skills and Capabilities スキルおよび能力
3 Keys to Success 成功への鍵
3 Context of Small Agency 小規模エージェンシーのコンテキスト
3 Context of Your Agency あなたの会社の状況
3 Support and Resources サポートとリソース
2 Executive Partners エグゼクティブ・パートナー
3 Administrative Partners 管理部門パートナー
3 Finance Partners 財務パートナー
3 Human Resource (HR) Partners 人的資源(HR)パートナー
3 Agency Customers 省庁の顧客
1 IT Management Approach ITマネジメントの考え方
2 Overview 概要
2 How to Get Started 開始までの流れ
3 Step 1: Assess Current State of IT Portfolio ステップ1:ITポートフォリオの現状を把握する
3 Step 2: Analyze Results and Identify Priorities ステップ2:結果の分析および優先順位の特定
3 Step 3: Develop Strategic and Annual Plans ステップ3:戦略計画および年次計画の策定
3 Step 4: Implement and Establish Initiatives and Activities ステップ4: イニシアチブと活動の実施と確立
3 Step 5: Evaluate and Monitor Progress Toward Objectives ステップ5:目標に対する進捗の評価と監視
2 Planning プランニング
3 Overview 概要
3 Strategic Planning 戦略的プランニング
3 Considerations 検討事項
3 IT Portfolio Essentials ITポートフォリオエッセンシャル
2 Technical Components テクニカルコンポーネント
3 Hardware ハードウェア
3 Network Configuration and Management ネットワークの構成と管理
3 Telecommunications 電気通信
3 Data Center Operations and Optimization Management データセンターの運用と最適化管理
3 Cloud Operations and Optimization Management クラウド運用と最適化管理
3 Data Management データ管理
3 Cybersecurity サイバーセキュリティ
3 CISA Programs and Resources CISA プログラムとリソース
3 Software Application Development and Delivery ソフトウェアアプリケーションの開発および配信
3 Software Application Portfolio Management ソフトウェア・アプリケーション・ポートフォリオ管理
3 Shared Services シェアードサービス
2 Resources for Executives エグゼクティブのためのリソース
3 Organizational Components 組織的な構成要素
2 Procurement & Contracting 調達と契約
3 General Procurement 一般調達
3 IT Procurement IT調達
3 IT Workforce ITワークフォース
3 Policies & Reporting Requirements ポリシーと報告要件
3 IT Governance ITガバナンス
3 IT Accessibility (Section 508) ITアクセシビリティ(第508条)
3 Project and Product Management プロジェクトおよび製品管理
3 Customer Service 顧客サービス

 

エグゼクティブサマリー...概要...

Executive Summary  エグゼクティブサマリー 
Document Objectives  文書の目的 
This handbook was developed by the Small Agency Chief Information Officer Council (SACC) to meet a variety of needs expressed by Chief Information Officers (CIOs) and IT Executives of small agencies. According to the Office of Personnel Management (OPM), there are around 100 small agencies and about 50 of these agencies have fewer than 100 employees.[1] Compared to the 24 agencies named in the Chief Financial Officers (CFO) Act that comprise the CIO Council, these medium, small, and micro agencies have fewer personnel and financial resources to devote to information technology (IT).   このハンドブックは、小規模機関の最高情報責任者(CIO)およびITエグゼクティブが表明するさまざまなニーズに応えるために、小規模機関最高情報責任者会議(SACC)によって開発された。人事管理局(OPM)によると、小規模機関は約100あり、そのうち約50の機関は職員が100人未満である[1]。 CIO評議会を構成する最高財務責任者(CFO)法で名付けられた24機関と比較すると、これらの中・小規模・零細機関は情報技術(IT)に割ける人員や資金が少ないのが現状である。 
This document is meant to provide agency IT Executives with a foundational understanding of responsibilities related to IT. It is designed to support agencies that do not have a full suite of IT leadership roles, such as agencies that don’t have a designated CIO, individuals fulfilling multiple roles in IT management, and executives with more limited technical and organizational experience. This document is also intended to serve as a resource to small agency executives who may not have subject-matter expertise across all technical or organizational components but play a leadership role in IT strategy, operations, security, and compliance.  この文書は、各省庁のIT担当役員に、ITに関する責任について基礎的な理解を深めてもらうことを目的としている。この文書は、CIOを任命していない機関、IT管理で複数の役割を果たす個人、技術的・組織的な経験が浅い幹部など、ITリーダーシップの役割が充実していない機関を支援するために作成されている。また、この文書は、すべての技術的または組織的な構成要素に関する専門知識を持たないが、IT戦略、運用、セキュリティ、およびコンプライアンスにおいて指導的な役割を果たしている小規模機関の幹部に対するリソースとして機能することを目的としている。
This handbook expands on the Federal CIO Handbook. We also have included responsibilities related to cybersecurity, data management, and privacy, highlighting and referencing handbooks for other IT Executives, including the Chief Information Security Officer (CISO) and Chief Data Officer (CDO). In addition, this document contains general information for executives who may be new to the Federal Government, including topics such as federal procurement and the budget cycle. Overall, this handbook is designed to be useful both to an executive with no Federal Government experience and to a seasoned federal employee.  このハンドブックは、「Federal CIO Handbook」を発展させたものである。また、サイバーセキュリティ、データ管理、プライバシーに関連する責任も盛り込み、最高情報セキュリティ責任者(CISO)や最高データ責任者(CDO)など、他のITエグゼクティブ向けのハンドブックにハイライトを当てたり、参照したりしている。さらに、本書は、連邦政府を初めて経験するエグゼクティブのために、連邦調達や予算サイクルなどのトピックを含む一般的な情報を含んでいる。全体として、このハンドブックは、連邦政府の経験がないエグゼクティブにも、経験豊富な連邦職員にも役立つように設計されている。
This handbook benefitted from substantial contributions and feedback from the federal community and small agency representatives and leaders.   このハンドブックは、連邦政府コミュニティや小規模機関の代表者、リーダーからの多大な貢献とフィードバックから生まれたものである。 
Handbook Overview  ハンドブックの概要 
Audience  想定読者 
The Federal Small Agency Chief Information Officers and IT Executives Handbook is intended for executives responsible for IT in small agencies. In this handbook’s context, “small agency” refers to any Federal Civilian Executive Branch (FCEB) agency not included in the CIO Council.[2],[3] Instead, these agencies are members of the Small Agency Chief Information Officer Council (SACC). These agencies are not included in the Chief Financial Officers (CFO) Act of 1990 and are often referred to as non-CFO Act agencies. At times, certain oversight, regulations, or guidance may only apply to CFO Act agencies. Therefore, small, non-CFO Act agencies share some of the policy implications of their non-CFO Act status. However, this categorization of “small agency” includes around 100 agencies with a wide range of total agency staff, budget, and IT staff, and thus a wide range of resources are available for agency IT Executives. The Office of Personnel Management’s (OPM) Open Government Data Federal Agencies List categorizes agencies into three groups based on number of employees: more than 1,000 employees; 100-999 employees; less than 100 employees. There are around 50 agencies with less than 100 employees.[4]  Federal Small Agency Chief Information Officers and IT Executives Handbookは、小規模機関のIT担当役員を対象としている。本ハンドブックの文脈では、「小規模機関」とは、CIO協議会に含まれない連邦民間行政機関(FCEB)を指す[2], [3] 。その代わり、これらの機関は小規模機関最高情報責任者会議(SACC)のメンバーとなっている。これらの機関は1990年の最高財務責任者(CFO)法には含まれておらず、しばしば非CFO法機関と呼ばれることがある。時には、特定の監督、規制、またはガイダンスがCFO法の機関にのみ適用されることがある。したがって、小規模な非CFO法機関は、非CFO法機関であることの政策的意味合いを共有している。しかし、この「小規模機関」という分類には、機関職員、予算、ITスタッフの総数が幅広い約100の機関が含まれるため、機関のIT担当者が利用できるリソースは多岐にわたる。人事管理局(OPM)のOpen Government Data Federal Agencies Listでは、職員数に応じて、1,000人以上、100~999人、100人未満の3グループに分類している。従業員数100人未満の機関は50ほどある[4]。
This handbook was developed by the Small Agency Chief Information Officer Council (SACC) specifically to meet the needs expressed by IT executives of small agencies with limited staff and budget resources (typically fewer than 500 employees), but it may be used by any agency regardless of size. These types of small and micro agencies often have specific challenges and unique organizational structures that do not always follow the traditional staffing model for IT administration. In these agencies, there may not be a dedicated CIO role, the individual fulfilling CIO responsibilities may not have broad technical knowledge or federal experience, other IT staff may have multiple roles, and there may be a limited number of Subject Matter Experts (SME). Small agency executives responsible for an IT organization are constantly making decisions about how to allocate staff time. They must find creative ways to ensure all responsibilities are covered and decide whether or not to undertake tasks and activities based on staffing constraints. In addition to staffing, IT budgets for operations and innovation are much smaller than the CFO Act agencies, which often makes the scale of the agencies’ procurements and IT implementations quite different. Certain practices and approaches for both procurement and service delivery do not easily translate to small agencies, and small agencies may have a different amount of FAR-compliant funds (appropriated funds). In addition, federal requirements and guidance regarding IT for agencies are often broad, complex, and designed with a focus on implementation by CFO Act agencies. Small agencies often do not have the staff resources to monitor the policy landscape, review and digest new policies and regulations, and implement policies that were not designed with their scale and resources in mind.  このハンドブックは、小規模機関最高情報責任者会議(SACC)によって、特にスタッフや予算が限られている小規模機関(通常、職員500人未満)のIT幹部が表明するニーズに応えるために作成されたが、規模に関係なくどの機関でも使用することが可能である。このような小規模・零細の機関には、特有の課題があり、IT管理のための従来の人員配置モデルに必ずしも従わない独自の組織構造があることが多い。これらの機関では、専任のCIOが存在せず、CIOの責任を果たす人物が幅広い技術的知識や連邦政府での経験を持たない場合もあり、他のITスタッフが複数の役割を持ち、主題専門家(SME)の数が限られている場合がある。IT組織の責任者である小規模機関の幹部は、スタッフの時間をどのように配分するかについて常に決断を迫られている。すべての責任を確実に果たすための創造的な方法を見つけ、スタッフの制約に基づいてタスクや活動を行うかどうかを決定しなければなりません。人員配置に加え、運用と革新のためのIT予算はCFO法の機関よりはるかに少ないため、機関の調達とIT導入の規模が大きく異なることがよくある。調達とサービス提供の両方に関する特定の慣行やアプローチは、小規模な機関には容易に適用されず、小規模な機関ではFAR準拠の資金(充当資金)の量も異なる場合がある。さらに、連邦政府機関のITに関する要件やガイダンスは、広範かつ複雑で、CFO法の機関による実装に重点を置いて設計されていることが多い。小規模な機関では、政策の動向を監視し、新しい政策や規制を検討・消化し、その規模やリソースを考慮して設計されていない政策を実施するためのスタッフリソースがないことが多い。
Due to the varied nature of executive staffing in small agencies, we primarily use the term IT Executive, instead of CIO, in this handbook to refer to the highest-ranking individual with responsibility for IT operations and strategy. As a result, the IT Executive may have more responsibilities than a typical CIO. For example, the IT Executive may also be responsible for cybersecurity or data management.  小規模な機関では幹部の配置が多様であるため、本ハンドブックでは、IT運用と戦略に責任を持つ最高位の個人を指す言葉として、主にCIOではなくITエグゼクティブという言葉を使用している。その結果、ITエグゼクティブは一般的なCIOよりも多くの責任を負う可能性がある。例えば、ITエグゼクティブは、サイバーセキュリティやデータ管理にも責任を持つことがある。
This resource would be targeted for Small Agency CIOs, CISOs, Deputy CIOs, Deputy CISOs, CDOs, agency heads, and other senior leaders within the organization. While the handbook has been written with small agencies in mind, large agencies (i.e., CFO Act agencies) may still find relevant content since overlap exists between small and large agency needs, considerations, and practices.  この資料は、小規模機関のCIO、CISO、副CIO、副CISO、CDO、機関長、および組織内のその他の上級指導者を対象としている。本ハンドブックは小規模機関を念頭に置いて作成されているが、小規模機関と大規模機関のニーズ、考慮事項、および実践には重複があるため、大規模機関(CFO法の機関など)でも関連コンテンツが見つかる可能性がある。
Purpose  目的 
The handbook is intended to supplement existing resources, including the foundational, rolespecific guidance contained in the CIO Handbook, CISO Handbook, and CDO Playbook.   このハンドブックは、CIOハンドブック、CISOハンドブック、CDOプレイブックに含まれる基本的で役割に特化したガイダンスなど、既存のリソースを補完することを目的としている。 
To address the small agency challenges noted above, the Federal Small Agency Chief Information Officers and IT Executives Handbook aims to:  上記の小規模機関の課題に対処するため、「連邦小規模機関最高情報責任者および IT エグゼクティブハンドブック」の目的は以下の通りである: 
●      Give small agency IT Executives foundational information about their areas of responsibility in managing their IT portfolio.  ・小規模機関の IT 担当役員に、IT ポートフォリオの管理における責任領域に関する基本的な情報を提供する。
●      Highlight laws, policies, tools, and initiatives related to federal IT to improve compliance and implementation.  ・連邦政府ITに関連する法律、政策、ツール、イニシアチブを強調し、コンプライアンスと実装を改善する。
●      Provide decision-making guidance and recommendations for challenges specific to small agencies.  ・小規模機関特有の課題に対して、意思決定の指針や推奨事項を提供する。
●      Serve as a consolidated knowledge base and a quick reference to access information and resources from GSA and other organizations.  ・GSA や他の組織からの情報やリソースにアクセスするための統合知識ベースおよびクイックリファレンスとして機能する。
Content  内容 
The Federal Small Agency Chief Information Officers and IT Executives Handbook has a modular design with three main sections that can stand alone. They are:  連邦小規模機関最高情報責任者および IT エグゼクティブハンドブックは、3 つの主要セクションを独立させたモジュール設計になっている。それらは以下の通りである: 
●      Leadership and Management Considerations: Provides leadership and management considerations and practices for small agency CIOs and IT Executives with a focus on executive leadership, portfolio assessment, and planning.  ・リーダーシップと管理に関する考慮事項: リーダーシップと管理に関する考察:小規模機関の CIO と IT エグゼクティブのためのリーダーシップと管理に関する考察と実践を、エグゼクティブのリーダーシップ、ポートフォリオの評価、および計画に焦点をあてて提供する。
●      Technical Components: Reviews IT components and associated IT capabilities needed for small agencies to meet business needs and statutory and regulatory requirements.  ・技術的な構成要素: 技術的要素:小規模機関がビジネスニーズや法令・規制上の要件を満たすために必要なITコンポーネントと関連するIT能力について検討する。
●      Organizational Components: Reviews the organizational components, from procurement to customer service, that overlay the technical components to help small agencies establish, maintain, and control their IT environments.  ・組織的な構成要素 組織的要素:小規模な機関がIT環境を構築、維持、管理するために、技術的要素の上に重なる調達から顧客サービスまでの組織的要素をレビューする。
The content of any section can be read in any order or be used as a reference for relevant technical or organizational information. Those with less federal or IT experience may prefer to proceed through the handbook sequentially for an overview of major areas of responsibility and resources for support.  どのセクションの内容も、どの順番で読んでも、関連する技術的または組織的な情報の参照として使用することができます。連邦政府またはITの経験が浅い人は、ハンドブックを順次読み進めると、主要な責任分野とサポートのためのリソースの概要を知ることができます。
Within each section, information about a specific topic includes:   各セクションの中で、特定のトピックに関する情報は以下の通りである:  
●      Overview and key details about the topic’s technical and organizational areas of responsibility.  ・そのトピックの技術的および組織的な責任範囲に関する概要と主要な詳細。
●      Management and leadership considerations.  ・マネジメントとリーダーシップに関する考慮事項 
●      Unique challenges and benefits of small agencies.  ・小規模機関特有の課題と利点。
●      Resources, including tools, publications, training, and government and professional organizations.  ・ツール、出版物、トレーニング、政府機関や専門機関など、リソース。
○ There are countless (fee and non-fee) resources across the Federal Government that can be utilized by small agencies to maximize their efficiency and effectiveness. The information in this handbook may be used as a starting point for small agencies to research and find these resources.   小規模機関が効率と効果を最大化するために利用できる(有料・非料金の)リソースは、連邦政府全体に無数に存在する。本ハンドブックに記載されている情報は、小規模機関がこれらのリソースを調査し、見つけるための出発点として使用することができる。 

[1] U.S. Office of Personnel Management. Federal Agencies List. Open Government. OPM.gov. https://www.opm.gov/about-us/open-government/Data/Apps/Agencies/ 

[2] All federal agencies not designated by EO13011 to be members of the "large" CIO Council are eligible for membership in the Small Agency CIO Council. https://www.sac.gov/committees/cio/ 

[3] Exec. Order No. 13011. (July 16, 1996) Federal Information Technology. Office of the Chief Information Officer.  
https://nodis3.gsfc.nasa.gov/displayEO.cfm?id=EO_13011 

[4] U.S. Office of Personnel Management. Federal Agencies List. Open Government. OPM.gov. https://www.opm.gov/about-us/open-government/Data/Apps/Agencies/

 


 

CIOハンドブック...

CIO Handbook

 

 

 

・[PDF] CIO Handbook

20230516-45713

 

Executive Summary エグゼクティブサマリー
As a business executive, the Chief Information Officer (CIO) challenges executive leadership to think strategically about digital disruptions that are forcing business models to change and technology’s role in mission delivery. As a technology leader, the CIO enables and rapidly scales the agency’s digital business ecosystem while concurrently ensuring digital security. The CIO drives transformation, manages innovation, develops talent, enables the use of data, and takes advantage of evolving technologies. 最高情報責任者(CIO)は、ビジネスエグゼクティブとして、ビジネスモデルの変革を迫るデジタルディスラプションと、ミッションデリバリーにおけるテクノロジーの役割について戦略的に考えるよう、エグゼクティブリーダーに求めている。CIOは、テクノロジーリーダーとして、デジタルセキュリティの確保と同時に、省庁のデジタルビジネスエコシステムを実現し、迅速に拡張する。CIOは、変革を推進し、イノベーションを管理し、人材を育成し、データの活用を可能にし、進化するテクノロジーを活用する。
The Federal Chief Information Officers Handbook is provided for newly designated CIOs, Deputy CIOs, agency heads and other senior leaders during transition to both understand the role of the CIO and the CIO Council. 連邦最高情報責任者ハンドブックは、新たに指名されたCIO、副CIO、省庁長、その他の移行中の上級指導者が、CIOとCIO評議会の役割をともに理解するために提供されるものである。
This handbook aims to give CIOs important information needed to be a technology leader at their respective agency. It is designed to be useful both to an executive with no Federal Government experience and to a seasoned Federal employee familiar with the nuances of the public sector. At its core, the handbook is a collection of resources that illuminate the many facets of the Federal IT landscape and the related issues and opportunities of Federal management. このハンドブックは、CIOが各機関のテクノロジーリーダーになるために必要な重要な情報を提供することを目的としている。連邦政府での経験がないエグゼクティブにも、公共部門のニュアンスに精通したベテラン連邦職員にも役立つように設計されている。このハンドブックの核心は、連邦政府のIT環境とそれに関連する連邦管理の問題や機会の多くの面を照らし出すリソースのコレクションである。
Document Objectives: 文書の目的
Educate and inform new and existing CIOs about their roles and responsibilities. 新規および既存のCIOに、その役割と責任について教育し、情報を提供する。
Highlight laws, policies, tools, and initiatives that can assist CIOs and their staff as they develop or improve their organization’s IT portfolio. CIOとそのスタッフが組織のITポートフォリオを開発または改善する際に役立つ法律、政策、ツール、イニシアチブを紹介する。
Streamline agency processes and improve reporting to oversight entities. 省庁のプロセスを合理化し、監督機関への報告を改善する。
Enable improved decision-making by leading and facilitating communication and collaboration within agencies and government wide. 政府機関内および政府全体におけるコミュニケーションとコラボレーションを主導・促進することで、より良い意思決定を可能にする。
The handbook: ハンドブック
Reviews the statutory responsibilities that define the CIO’s mandate in eight responsibility areas, the corresponding Laws and Executive Orders, and any applicable implementation guidance issued by the Office of Management and Budget (OMB) and other government-wide organizations; 8つの責任分野におけるCIOの任務を定義する法的責任、対応する法律および行政命令、ならびに行政管理予算局(OMB)および他の政府全体組織が発行した該当する実施ガイダンスをレビューする;
Describes, in detail, the applicable laws relevant to the CIO’s role, other authorities, key stakeholders that CIOs should meet in their first month, and key organizations and their role in Federal IT; CIOの役割に関連する適用法、その他の権限、CIOが最初の1ヶ月で会うべき主要な関係者、連邦ITにおける主要な組織とその役割について詳しく説明している;
Outlines government-wide IT policies and initiatives, summarizes the many kinds of reporting activities the CIO must conduct to keep their agency accountable to government-wide authorities, and provides a reporting calendar with the most up-to-date reporting activities available. 政府全体のITポリシーとイニシアチブを概説し、政府全体の権限に対する説明責任を果たすためにCIOが実施しなければならないさまざまな種類の報告活動をまとめ、最新の報告活動を掲載した報告カレンダーを提供している。
The handbook concludes with a list of additional Federal IT resources and where to find them. As a whole, this handbook is meant to provide CIOs with a foundational understanding of their role. The tools, initiatives, policies, and links to more detailed information make the handbook an effective reference document regardless of the reader’s familiarity with Federal IT. ハンドブックの最後には、その他の連邦ITリソースとその所在のリストが掲載されている。全体として、このハンドブックは、CIO がその役割について基礎的な理解を得ることを目的としている。ツール、イニシアチブ、ポリシー、およびより詳細な情報へのリンクにより、読者が連邦ITに精通しているかどうかにかかわらず、ハンドブックは効果的な参考資料となる。

 

 

| | Comments (0)

IPA 「プラットフォームデジタル化指標 活用ガイド」を公開しました

こんにちは、丸山満彦です。。。

IPAが「プラットフォームデジタル化指標 活用ガイド」を公開しています。。。

ITシステムがDX対応に求められる要件を満たしているかを評価して問題点を見える化するツールとしてプラットフォームデジタル化指標をつくっていて、その活用ガイドを公開したということです。。。

プラットフォームデジタル化指標は、

①ITシステム全体

②機能システムごと

の2つに分けられていて、、、

20230516-43305

 

なんか小難しいね。。。

専門外の人からみると難しく見えるんですよね。。。サイバーセキュリティも同じなんでしょうけど。。。

ゴールが直感的に理解できると、そのゴールを行く道筋の大きな地図が見えてきて、

それから、その道筋を頭の中で通っていくときに、いろいろと細かいものが見えていく、、、

って感じなんでしょうね。。。

 

⚫︎ IPA

・2023.05.15 「プラットフォームデジタル化指標 活用ガイド」を公開しました

 

新しくなった(改訂された)のは、

・[PDF] PFデジタル化指標 紹介資料

 

・[PDF] PFデジタル化指標(活用ガイド)

・[ESLX] PFデジタル化指標(項目と設問)

・[ZIP] PFデジタル化指標(評価表)

 

| | Comments (0)

2023.05.15

IPA サイバー情報共有イニシアティブ (J-CSIP) 活動報告

こんにちは、丸山満彦です。

IPAがサイバー情報共有イニシアティブ (J-CSIP) 活動報告についての発表していますね。。。

この活動は2011年から続いています。。。取り扱い件数の推移です。。。波がありますね。。。情報が多ければよいというわけでもないですからね。。。

 

⚫︎ IPA

・2023.05.11  「サイバー情報共有イニシアティブ(J-CSIP) 運用状況 [2023年1月~3月]」を公開しました

 


情報提供件数

標的型攻撃件数 (メール、検体等) 情報共有件数 情報共有数 参加業界 参加組織 連携体制 連携組織
2012年度 246 201 160 5 39    
2013年度 385 233 180 5 46    
2014年度 626 505 195 6 59    
2015年度 1,092 97 133 7 72    
2016年度 2,505 177 96 7 86    
2017年度 3,456 274 242 11 228    
2018年度 2,020 213 195 13 249 2 13
2019年度 2,303 401 225 13 249 2 13
2020年度 6,202 125 147 13 262 2 13
2021年度 843 35 118 13 279 2 13
2022年度 241 13 120 13 279 2 13

1_20230515153301

 

 

| | Comments (0)

欧州 CERT-EU 生成的AIの潜在的な影響とリスク

こんにちは、丸山満彦です。

CERT-EUが、生成的AIを利用する際の

・メリットと

・リスク(サイバーセキュリティを含む)

についてポジションペーパーを出していますね。

リスクは、

・自分が使う場合のリスクと

・他人が使う場合のリスク

にわけています。。。

リスクについては、生成系AIに対する攻撃は含んでいません...

 

よくまとまっているように感じました。。。かつ、わかりやすい...

 

⚫︎CERT-EU - Blog 

・2023.05.11 Decoding the double-edged sword of Generative AI

 

Decoding the double-edged sword of Generative AI 生成的AIの諸刃の剣を読み解く
Generative Artificial Intelligence (AI) is here and it’s powerful. It’s promising, but also, it’s challenging many things we’ve taken for granted. We are told this revolutionary, yet overhyped technology is going to shape our future. 生成的人工知能(AI)が登場し、その威力を発揮している。期待されているが、同時に、私たちが当たり前だと思っていた多くのことに挑戦している。この革命的な、しかし大げさなテクノロジーが、私たちの未来を形作ると言われている。
So – guess what? We decided to get a closer look from the perspective of cybersecurity, our field of expertise. In a position paper we are publishing today - available as CERT-EU Security Guidance 23-002 - we dived headfirst into the labyrinth of this fascinating and sometimes fearsome frontier. そこで......どうでしょう?私たちは、私たちの専門分野であるサイバーセキュリティの観点から、より詳しく見てみることにした。本日発表するポジションペーパー(CERT-EU Security Guidance 23-002)では、この魅力的で、時に恐ろしいフロンティアの迷宮に真っ先に飛び込んだ。
What is Generative AI? 生成的AIとは?
Generative AI is a subset of AI that learns from vast datasets to generate synthetic outputs. From creating realistic images to writing coherent text (albeit not always confabulation-free) or even composing symphonies, this technology is advancing at a breakneck speed. However, as the adage goes, ‘With great power comes great responsibility.’ 生成的AIとは、膨大なデータセットから学習し、合成出力を生成するAIのサブセットである。リアルな画像の作成から、一貫性のある文章の作成(必ずしも混同しないとは限らないが)、さらには交響曲の作曲まで、この技術は猛烈なスピードで進歩している。しかし、格言にあるように、「大きな力には大きな責任が伴う」のである。
Position paper ポジションペーパー
CERT-EU’s position paper highlights some of the potentially enormous benefits of Generative AI. Imagine a world where AI composes personalised literature, designs unique clothing, or even develops ground-breaking scientific research. The possibilities seem endless and exciting. But as we stand on the brink of this brave new world, it’s imperative to consider and prepare for the potential pitfalls. CERT-EUのポジションペーパーは、生成系AIがもたらす潜在的な巨大なメリットのいくつかを強調している。AIが個人向けの文学を作ったり、ユニークな服をデザインしたり、あるいは画期的な科学研究を開発する世界を想像してみよう。その可能性は無限であり、エキサイティングなものに思えます。しかし、この素晴らしい新世界の瀬戸際に立つ私たちは、潜在的な落とし穴を考慮し、準備することが不可欠である。
The paper does not shy away from exposing the dark underbelly of this transformative technology. It brings to light the potential threats associated with the misuse of Generative AI - deepfakes that blur reality, automated phishing attacks, and even the threat of AI-generated propaganda. The implications of these threats are far-reaching, from personal security to international relations, and everything in between. この論文では、この革新的な技術の暗い裏側を恥ずかしげもなく暴露している。現実を曖昧にするディープフェイク、自動化されたフィッシング攻撃、さらにはAIが生成したプロパガンダの脅威など、生成系AIを悪用した潜在的な脅威を浮き彫りにしている。これらの脅威の影響は、個人のセキュリティから国際関係、そしてその間にあるすべてのものに至るまで、広範囲に及ぶ。
CERT-EU’s position paper not only paints a vivid picture of this reality but also provides a preliminary roadmap, from a cybersecurity standpoint, to navigate the tricky terrain of this powerful technology. CERT-EUのポジションペーパーは、この現実を鮮明に描き出すだけでなく、サイバーセキュリティの観点から、この強力なテクノロジーの厄介な地形をナビゲートするための事前ロードマップを提供する。
We need your feedback 皆様のご意見をお聞かせください
We are by no means AI specialists. Thus, we might have missed a thing here or there in the paper. Also, given the speed of developments in the field of Generative AI, the paper might be already outdated by the time it falls in your hands. So please send us your constructive feedback to [mail] to help us correct our mistakes and improve the paper for the benefit of all, as we all learn and understand more about large language models, transformers, and what have you. 私たちは決してAIの専門家ではない。そのため、紙面のあちこちに見落としがあるかもしれない。また、生成系AIの分野での開発スピードを考えると、この論文が皆さんの手に渡る頃にはすでに時代遅れになっているかもしれない。そこで、私たちが間違いを正し、大規模言語モデルやトランスフォーマーなどについて学び、理解を深め、すべての人のために論文を改善するために、建設的なフィードバックを [mail] までお送りください。

 

・[PDF] Potential impact and risks of Generative AI in EUIBAs

20230515-55157



 目次...

Potential impact and risks of Generative AI in EUIBAs EUIBAにおける生成的AIの潜在的な影響とリスク
Contents 目次
1 Introduction 1 はじめに
1.1 Disclaimer 1.1 免責事項
1.2 Contact 1.2 連絡先
1.3 Generative AI