英語 Oxford AcademicのJournal of Cybersecurity, Volume 9, Issue 1の記事はどれも興味深い...

こんにちは、丸山満彦です。

Oxford AcademicのJournal of Cybersecurity, Volume 9, Issue 1の記事はどれも興味深いです。。。

 

⚫︎ Oxford Academy - Journal of Cybersecurity

・Volume 9, Issue 1, 2023

Classifying social media bots as malicious or benign using semi-supervised machine learning	半教師付き機械学習を用いたソーシャルメディアボットの悪性・良性分類
The nature of losses from cyber-related events: risk categories and business sectors	サイバー関連事象による損失の性質：リスクカテゴリーと事業部門
Contribution Threat Perception, School Climate and Prejudice as Mediator to Student’s Cyber Aggression	生徒のサイバー攻撃に対する脅威の認知、学校風土、偏見の媒介としての貢献度
Post-quantum cryptographic assemblages and the governance of the quantum threat	ポスト量子暗号アセンブラと量子脅威のガバナンス
Juror interpretations of metadata and content information: implications for the going dark debate	メタデータとコンテンツ情報に対する陪審員の解釈：闇討論争への示唆
Adapting cybersecurity practice to reduce wildlife cybercrime	野生動物に関連するサイバー犯罪を減らすためにサイバーセキュリティの実践を適応させる
Tell me more, tell me more: repeated personal data requests increase disclosure	もっと教えて、もっと教えて：繰り返される個人データの要求が情報開示を増やす
The Power of Beliefs in US Cyber Strategy: The Evolving Role of Deterrence, Norms, and Escalation	米国のサイバー戦略における信念の力： 抑止力、規範、エスカレーションの進化した役割
Maximizing the benefits from sharing cyber threat intelligence by government agencies and departments	政府機関や省庁によるサイバー脅威情報の共有によるメリットの最大化
Development of a new ‘human cyber-resilience scale’	新しい「人間サイバーレジリエンス尺度」の開発
The security mindset: characteristics, development, and consequences	セキュリティマインドセット：特徴、発達、結果
Defining the reporting threshold for a cybersecurity incident under the NIS Directive and the NIS 2 Directive	NIS指令およびNIS 2指令に基づくサイバーセキュリティインシデントの報告閾値の定義

 

Volume 9, Issue 1, 2023	第9巻 第1号 2023年
Classifying social media bots as malicious or benign using semi-supervised machine learning	半教師付き機械学習を用いたソーシャルメディアボットの悪性・良性分類
Innocent Mbona and Jan H P Eloff	イノセント・ムボナ、ヤン・H・P・エロフ
Abstract	要旨
Users of online social network (OSN) platforms, e.g. Twitter, are not always humans, and social bots (referred to as bots) are highly prevalent. State-of-the-art research demonstrates that bots can be broadly categorized as either malicious or benign. From a cybersecurity perspective, the behaviors of malicious and benign bots differ. Malicious bots are often controlled by a botmaster who monitors their activities and can perform social engineering and web scraping attacks to collect user information. Consequently, it is imperative to classify bots as either malicious or benign on the basis of features found on OSNs. Most scholars have focused on identifying features that assist in distinguishing between humans and malicious bots; the research on differentiating malicious and benign bots is inadequate. In this study, we focus on identifying meaningful features indicative of anomalous behavior between benign and malicious bots. The effectiveness of our approach is demonstrated by evaluating various semi-supervised machine learning models on Twitter datasets. Among them, a semi-supervised support vector machine achieved the best results in classifying malicious and benign bots.	Twitterなどのオンラインソーシャルネットワーク（OSN）プラットフォームのユーザーは必ずしも人間ではなく、ソーシャルボット（以下、ボット）が非常に多く存在する。最先端の研究では、ボットは悪意あるものと良性のものに大別されることが実証されている。サイバーセキュリティの観点からは、悪意のあるボットと良性のボットの挙動は異なる。悪意のあるボットは、その活動を監視するボットマスターによって制御されていることが多く、ソーシャルエンジニアリングやウェブスクレイピング攻撃を行い、ユーザー情報を収集することができる。そのため、OSN上で発見された特徴に基づき、ボットを悪意あるものと良性のもののいずれかに分類することが不可欠である。多くの研究者は、人間と悪意のあるボットを区別するのに役立つ特徴を特定することに焦点を当てており、悪意のあるボットと良性のボットの区別に関する研究は不十分である。本研究では、良性ボットと悪性ボットの間の異常な挙動を示す意味のある特徴を特定することに焦点を当てる。本アプローチの有効性は、Twitterデータセットを用いて様々な半教師付き機械学習モデルを評価することで実証される。その結果、半教師付きサポートベクターマシンが、悪意のあるボットと良性のボットを分類する上で最も良い結果を得ることができた。
The nature of losses from cyber-related events: risk categories and business sectors	サイバー関連事象による損失の性質：リスクカテゴリーと事業分野
Pavel V Shevchenko and others	パヴェル・V・シェフチェンコほか
Abstract	概要
In this study, we examine the nature of losses from cyber-related events across different risk categories and business sectors. Using a leading industry dataset of cyber events, we evaluate the relationship between the frequency and severity of individual cyber-related events and the number of affected records. We find that the frequency of reported cyber-related events has substantially increased between 2008 and 2016. Furthermore, the frequency and severity of losses depend on the business sector and type of cyber threat: the most significant cyber loss event categories, by number of events, were related to data breaches and the unauthorized disclosure of data, while cyber extortion, phishing, spoofing, and other social engineering practices showed substantial growth rates. Interestingly, we do not find a distinct pattern between the frequency of events, the loss severity, and the number of affected records as often alluded to in the literature. We also analyse the severity distribution of cyber-related events across all risk categories and business sectors. This analysis reveals that cyber risks are heavy-tailed, i.e. cyber risk events have a higher probability to produce extreme losses than events whose severity follows an exponential distribution. Furthermore, we find that the frequency and severity of cyber-related losses exhibit a very dynamic and time-varying nature.	本研究では、異なるリスクカテゴリーと事業分野におけるサイバー関連イベントによる損失の性質について検証する。サイバーイベントに関する主要な業界データセットを用いて、個々のサイバー関連イベントの頻度と重大性、影響を受けたレコード数の関係を評価した。その結果、報告されたサイバー関連イベントの頻度は、2008年から2016年にかけて大幅に増加していることがわかった。さらに、損失の頻度と深刻さは、ビジネスセクターとサイバー脅威の種類によって異なる。イベント数で最も重要なサイバー損失イベントカテゴリーは、データ漏洩とデータの不正開示に関連しており、サイバー恐喝、フィッシング、スプーフィング、その他のソーシャルエンジニアリングの実践は、かなりの成長率を示した。興味深いことに、文献でしばしば言及されているように、事象の頻度、損失の重大性、影響を受けたレコードの数の間に明確なパターンは見いだせなかった。また、すべてのリスクカテゴリーとビジネスセクターにおけるサイバー関連イベントの深刻度分布も分析した。この分析により、サイバーリスクはヘビーテールであること、すなわち、サイバーリスクのイベントは、重大度が指数分布に従うイベントよりも極端な損失をもたらす確率が高いことが明らかになりました。さらに、サイバー関連損失の頻度と深刻度は、非常にダイナミックで時間的に変化する性質を持っていることがわかった。
Contribution Threat Perception, School Climate and Prejudice as Mediator to Student’s Cyber Aggression	生徒のサイバー攻撃に対する脅威の認知、学校風土、偏見の媒介としての貢献度
Mardianto Mardianto and others	マルディアント・マルディアントほか
Abstract	要旨
This study aims to test students’ cyber aggression models based on previous studies, especially those related to high school students’ Cyber Aggression behavior. Following the stages of adolescent development, this research uses the socio-ecological theoretical perspective of the cyber context. This study determines several predictive variables as risk factors and protective factors that have the most potential to influence student cyber aggression, such as perceived threats, school climate, and prejudice. The model tested in this study is the role of the perceived threat and school climate on students’ Cyber Aggression behavior mediated by prejudice. This study uses a quantitative approach with structural equation modeling analysis, namely the structural equation model (SEM). The sampling technique used in this study is purposive sampling. The subjects of this study are high school students who actively use social media every day, with 1118 students as respondents from several cities in Indonesia. The result shows that the theoretical model of students’ Cyber Aggression behavior as per the empirical conditions in the field has met the goodness of fit model standard, meaning that the perception of threats and the school climate-mediated by prejudice were simultaneously proven to play a role as predictors of student Cyber Aggression	本研究は、先行研究、特に高校生のサイバー攻撃行動に関連する研究に基づいて、学生のサイバー攻撃モデルを検証することを目的としている。思春期の発達段階に沿って、本研究ではサイバーコンテキストの社会生態学的理論的観点を用いている。本研究では、生徒のサイバー攻撃性に最も影響を与える可能性のあるリスク要因と保護要因として、脅威の認知、学校風土、偏見などいくつかの予測変数を決定している。本研究で検証したモデルは、偏見を媒介とした学生のサイバー攻撃行動に対する知覚された脅威と学校風土の役割である。本研究では、構造方程式モデリング分析、すなわち構造方程式モデル（SEM）による定量的アプローチを用いている。本研究で用いたサンプリング技法は、目的別サンプリングである。本研究の対象は、毎日積極的にソーシャルメディアを利用している高校生であり、インドネシアの複数の都市から1118名の生徒を回答者として集めた。その結果、現場の経験則に沿った生徒のCyber Aggression行動の理論モデルは、適合度モデル基準を満たした。つまり、脅威の認識と偏見を媒介とする学校風土が、同時に生徒Cyber Aggressionの予測因子としての役割を果たすことが証明された
Post-quantum cryptographic assemblages and the governance of the quantum threat	ポスト量子暗号アセンブラと量子脅威のガバナンス
Kristen Csenkey and Nina Bindel	クリステン・クセンキー、ニーナ・ビンデル
Abstract	要旨
Threats against security in the Internet often have a wide range and can have serious impacts within society. Large quantum computers will be able to break the cryptographic algorithms used to ensure security today, which is known as the quantum threat. Quantum threats are multi-faceted and very complex cybersecurity issues. We use assemblage theory to explore the complexities associated with these threats, including how they are understood within policy and strategy. It is in this way that we explore how the governance of the quantum threat is made visible. Generally, the private and academic sectors have been a primary driver in this field, but other actors (especially states) have begun to grapple with the threat and have begun to understand the relation to defence challenges, and pathways to cooperation in order to prepare against the threat. This may pose challenges for traditional avenues of defence cooperation as states attempt to understand and manage the associated technologies and perceived threats. We examine how traditionally cooperating allies attempt to govern the quantum threat by focusing on Australia, Canada, European Union, New Zealand, UK, and USA. We explore the linkages within post-quantum cryptographic assemblages and identify several governmental interventions as attempts to understand and manage the threat and associated technologies. In examining over 40 policy and strategy-related documents between traditionally defence cooperating allies, we identify six main linkages: Infrastructure, Standardization, Education, Partnerships, Economy, and Defence. These linkages highlight the governmental interventions to govern through standardization and regulation as a way to define the contours of the quantum threat.	インターネットにおけるセキュリティに対する脅威は、しばしば広範囲に及び、社会内に深刻な影響を及ぼすことがある。大型の量子コンピュータは、現在のセキュリティを確保するために使用されている暗号アルゴリズムを破ることができるようになり、これは量子的脅威として知られている。量子の脅威は、多面的で非常に複雑なサイバーセキュリティの問題である。私たちはアッサンブラージュ理論を用いて、これらの脅威が政策や戦略の中でどのように理解されているのかを含め、これらの脅威に関連する複雑さを探求している。このようにして、量子的脅威のガバナンスがどのように可視化されるかを探る。一般に、この分野では民間企業や学術機関が主な推進力となってきたが、他のアクター（特に国家）もこの脅威と取り組み始め、防衛上の課題との関連や、脅威に備えるための協力の道筋を理解し始めている。このことは、国家が関連する技術や認識される脅威を理解し管理しようとする中で、従来の防衛協力の道筋に課題をもたらすかもしれない。我々は、オーストラリア、カナダ、欧州連合、ニュージーランド、英国、米国に焦点を当て、従来から協力関係にある同盟国がどのように量子の脅威を管理しようとしているのかを検証する。また、ポスト量子暗号の集合体における連携を探り、脅威と関連技術を理解し管理するためのいくつかの政府の介入を明らかにする。伝統的に防衛協力関係にある同盟国間の40以上の政策および戦略関連文書を調査した結果、6つの主要な関連性を特定した： インフラ、標準化、教育、パートナーシップ、経済、そして防衛である。これらの関連性は、量子的脅威の輪郭を定義する方法として、標準化と規制を通じて統治する政府の介入を強調するものである。
Juror interpretations of metadata and content information: implications for the going dark debate	メタデータとコンテンツ情報に対する陪審員の解釈：闇討論争への示唆
Anne E Boustead and Matthew B Kugler	アン・E・ブステッド、マシュー・B・クグラー
Abstract	要旨
The rise of consumer encryption has led to a fierce debate over whether the loss of potential evidence due to encryption will be offset by the increase in evidence available from electronic metadata. One major question raised by this debate is how jurors will interpret and value metadata as opposed to content information. Though there are plausible arguments in favor of the persuasive power of each type of evidence, to date no empirical study has examined how ordinary people, potential jurors, view each of these sorts of evidence.	消費者向け暗号化の台頭により、暗号化による潜在的な証拠の喪失が、電子メタデータから得られる証拠の増加によって相殺されるかどうかについて、激しい論争が起きている。この議論によって提起された一つの大きな疑問は、陪審員がコンテンツ情報とは対照的にメタデータをどのように解釈し評価するかということである。各証拠の説得力を支持するもっともな議論はあるが、一般人（潜在的な陪審員）がこれらの種類の証拠をそれぞれどう見るかを調べた実証研究は、今日までない。
We address this issue through a series of survey experiments that present respondents with hypothetical criminal trials, randomly assigning them to descriptions featuring either metadata or content information. These studies show that the relative power of content and metadata information is highly contextual. Content information and metadata can be equally useful when conveying logically equivalent information. However, content information may be more persuasive where the defendant’s state of mind is critical, while metadata can more convincingly establish a pattern of behavior. This suggests that the rise of encryption will have a heterogeneous effect on criminal cases, with the direction of the effect depending on the facts that the prosecution must prove.	我々は、回答者に仮想の刑事裁判を提示し、メタデータまたはコンテンツ情報のいずれかを特徴とする記述をランダムに割り当てる一連の調査実験を通じて、この問題に取り組む。これらの研究は、コンテンツ情報とメタデータ情報の相対的なパワーが非常に文脈的であることを示している。論理的に同等の情報を伝達する場合、コンテンツ情報とメタデータは同じように有用である。しかし、被告の心理状態が重要な場合はコンテンツ情報の方が説得力があり、行動パターンを立証する場合はメタデータの方が説得力がある。このことは、暗号化の台頭が刑事事件に与える影響が、検察が立証すべき事実によって方向性が異なることを示唆している。
Adapting cybersecurity practice to reduce wildlife cybercrime	野生動物に関連するサイバー犯罪を減らすためにサイバーセキュリティの実践を適応させる
Timothy C Haas	ティモシー・C・ハース
Abstract	概要
Wildlife trafficking is driving many species to extinction and is overwhelming law enforcement efforts to stop it. At least a 2-fold increase in the number of traffickers who are put out of business is needed to help avoid these extinctions. A cybersecurity-based solution described in this article consists of a large international confederation of criminal investigators collecting intelligence on persons involved in wildlife trafficking, analyzing it, and then recommending to law enforcement (a) cybercriminals to detain, (b) cybercriminals to surveil, and (c) where and when to intercept cybercriminal-initiated wire transfers and shipments of wildlife products. Wildlife traffickers nowadays often use the internet to commit their cybercrimes. Prosecuting such crimes is challenging. Indeed, one of the top five challenges in cybersecurity is to develop methods for pursuing cybercriminals and bringing them to justice through the acquisition of digital evidence that links specific individuals to specific illegal acts. The proposed confederation finds two lists of wildlife cybercriminals to remove. The first is found by computing centrality measures on the statistically estimated (reconstructed) current social network of wildlife cybercriminals to identify those criminals whose removal would, according to social network theory, maximally disrupt the syndicate’s operations. This list contains criminals identified as kingpins, and/or information brokers. The second list consists of those m criminals whose removal results in the largest simulator-computed drop in poaching of the trafficked species over the next year. Database access control is a form of information security (InfoSec), or data security—a chief component of cybersecurity. Here, a distributed form of information security is developed for keeping a confederation’s criminal intelligence database secure from unauthorized access and insider threats. This procedure uses only peer-to-peer transactions. The illegal trade in rhino horn is used to illustrate how this confederation would use criminal intelligence from several countries to first build a simulation of the political–ecological system that contains the trafficking operation, and then use this statistically fitted simulator to identify those traffickers to remove, wire transfers to block, and wildlife product shipments to seize. All software to implement this federated database and its access control procedure is freely available.	野生生物の密売は多くの種を絶滅に追いやり、それを阻止しようとする法執行機関の努力を圧倒している。このような絶滅を回避するためには、廃業に追い込まれる密売人の数を少なくとも2倍に増やすことが必要である。本稿で紹介するサイバーセキュリティに基づくソリューションは、犯罪捜査官の大規模な国際連合が野生生物の密売に関わる人物の情報を収集し、それを分析した上で、（a）拘束すべきサイバー犯罪者、（b）監視すべきサイバー犯罪者、（c）サイバー犯罪者が仕掛ける野生生物製品の送金や出荷を阻止する場所とタイミングを法執行機関に推奨するものである。野生生物の密売人は現在、インターネットを利用してサイバー犯罪を行うことが多い。このような犯罪を起訴することは困難である。実際、サイバーセキュリティにおける上位5つの課題の1つは、特定の個人と特定の違法行為を結びつけるデジタル証拠の取得を通じて、サイバー犯罪者を追跡し、裁判にかけるための方法を開発することである。提案された連合は、除去すべき野生動物のサイバー犯罪者のリストを2つ見つける。1つ目は、野生動物サイバー犯罪者の統計的に推定（再構築）された現在の社会的ネットワークについて中心性測定を計算し、社会的ネットワーク理論に従って、その排除がシンジケートの運営を最大限に混乱させる犯罪者を特定することによって発見される。このリストには、キングピンや情報ブローカーと認定された犯罪者が含まれている。第二のリストは、その犯罪者を排除することで、シミュレータで計算された今後1年間の密猟の減少が最大となる犯罪者で構成されている。データベースアクセス制御は、情報セキュリティ（InfoSec）の一つであり、サイバーセキュリティの主要な構成要素であるデータセキュリティの一つである。ここでは、連合会の犯罪情報データベースを不正アクセスや内部からの脅威から守るための分散型情報セキュリティが開発されている。この方法では、ピアツーピアのトランザクションのみが使用される。サイの角の違法取引を例に、この連合体が複数の国からの犯罪情報を使って、まず密売活動を含む政治生態系のシミュレーションを構築し、次にこの統計的に適合したシミュレータを使って、排除すべき密売人、阻止すべき送金、および押収すべき野生生物製品輸送を特定する方法を説明する。この連合データベースとそのアクセス制御手順を実装するためのソフトウェアは、すべて自由に利用できる。
Tell me more, tell me more: repeated personal data requests increase disclosure	もっと教えて、もっと教えて：繰り返される個人データの要求が情報開示を増やす
Piers Fleming and others	ピアーズ・フレミングほか
Abstract	概要
Personal data is of great commercial benefit and potential sensitivity. However, for the consumers who provide their personal data, doing so comes with potential costs, benefits and security risks. Typically, consumers have the option to consent to the use of personal/sensitive data but existing research suggests consumer choices may only be weakly related to their concerns (the privacy paradox). Here, we examine if the repetitive nature of data requests alters behaviour but not concern, therefore, explaining the divergence. This work is theoretically grounded in ‘Foot in the door’ research in which small initial requests facilitate subsequent larger requests. An initial laboratory study asking for real, personal data demonstrated increased information disclosure at a subsequent request. A second online study replicated the increased information disclosure effect and found no change in associated privacy concern. We find this supports foot-in-the-door as one explanation of the privacy paradox. We suggest ways for businesses and consumers to encourage an acceptable level of disclosure to match personal beliefs for mutual trust and benefit.	個人データは、大きな商業的利益と潜在的な感受性を持つものである。しかし、個人データを提供する消費者にとって、そうすることは潜在的なコスト、利益、セキュリティリスクを伴うものである。一般的に、消費者は個人的/敏感なデータの使用に同意する選択肢を持っているが、既存の研究では、消費者の選択は消費者の懸念と弱い関係しかない可能性が示唆されている（プライバシーパラドックス）。ここでは、データ要求の反復的な性質が行動を変え、懸念を変えないかどうかを検証し、したがって、この乖離を説明することができる。この研究は、最初の小さな要求がその後の大きな要求を促進するという「Foot in the door」研究に理論的根拠をおいている。実際の個人データを要求する実験室での最初の研究では、次の要求で情報開示が増加することが示された。2回目のオンライン研究では、情報開示の増加効果を再現し、関連するプライバシーの懸念に変化がないことを発見した。このことは、プライバシー・パラドックスの説明の1つとして、フット・イン・ザ・ドアを支持するものであることがわかった。我々は、企業や消費者が、相互の信頼と利益のために、個人の信念に見合った許容レベルの情報開示を促す方法を提案する。
The Power of Beliefs in US Cyber Strategy: The Evolving Role of Deterrence, Norms, and Escalation	米国のサイバー戦略における信念の力： 抑止力、規範、エスカレーションの進化した役割
Erica D Lonergan and Jacquelyn Schneider	エリカ・D・ロナーガン、ジャクリーン・シュナイダー
Abstract	要旨
Cyberspace's role in military power is vociferously debated. But how do these ideas manifest in cyber strategy? In this article, we trace the development of ideas about military cyber power, with a focus on the USA. In particular, we use a decade of US defense cyber strategies as a lens to explore how ideas about the role of the military in promoting cyber norms, the feasibility of cyber deterrence, and the risks of escalation have morphed over time. In doing so, we identify sources of continuity and discontinuity. We then turn to the academic literature to evaluate those ideas and appraise US defense cyber strategies, identifying gaps and tensions. Finally, we leverage these insights to provide recommendations for future US defense cyber strategies.	軍事力におけるサイバースペースの役割については、盛んに議論されている。しかし、こうした考えはサイバー戦略においてどのように現れているのだろうか。本稿では、米国に焦点を当てながら、軍事的サイバーパワーに関する考え方の発展を追跡する。特に、10年間の米国国防サイバー戦略をレンズとして、サイバー規範の推進における軍の役割、サイバー抑止の実現可能性、エスカレーションのリスクに関する考え方が、時代とともにどのように変容してきたかを探ることにしている。そうすることで、連続性と非連続性の源泉を明らかにする。次に、これらの考え方を評価するために学術文献に目を向け、米国の防衛サイバー戦略を評価し、ギャップと緊張を明らかにする。最後に、これらの洞察を活用して、将来の米国の防衛サイバー戦略に対する提言を行う。
Maximizing the benefits from sharing cyber threat intelligence by government agencies and departments	政府機関や省庁によるサイバー脅威情報の共有によるメリットの最大化
Josiah Dykstra and others	ジョサイア・ダイクストラほか
Abstract	概要
The primary objective of the current study is to analytically examine the economic benefits an organization can obtain by receiving and processing cyber threat intelligence (CTI) shared by the US government. Our results show that the benefits from receiving CTI are closely associated with the difference between the threat level indicated by the CTI and the receiving organization’s prior belief of the threat level. In addition, for the same difference between the threat levels indicated by the CTI and the organization’s prior belief, our analyses show that the magnitude of adjustments to an organization’s cybersecurity investments is inversely related to the organization’s prior belief of the threat level. Thus, larger benefits can be obtained when the receiving organization’s prior belief of a threat level is lower. Taken together, our results suggest that the common belief that it is optimal for a federal government agency or department to focus on sharing CTI related to vulnerabilities with the highest threat level is misguided. More generally, the benefits from CTI sharing can be improved if producers of CTI could develop a clearer understanding of the prior beliefs that organizations have concerning their threat level and focus on sharing CTI that is significantly different from those prior beliefs.	本研究の主な目的は、米国政府が共有するサイバー脅威情報（CTI）を受信して処理することにより、組織が得られる経済的利益を分析的に検証することである。その結果、CTIの受信による利益は、CTIが示す脅威レベルと受信組織の脅威レベルに対する事前確信との差と密接に関連していることがわかった。さらに、CTIが示す脅威レベルと組織の事前確信の差が同じ場合、組織のサイバーセキュリティ投資に対する調整の大きさは、組織の脅威レベルに対する事前確信に反比例することが我々の分析で示された。したがって、脅威レベルに対する受け手の組織の事前確信が低ければ、より大きな利益を得ることができる。これらの結果を総合すると、連邦政府の機関や部署では、脅威レベルが最も高い脆弱性に関連するCTIを共有することが最適であるという通説は、見当違いであることが示唆される。より一般的には、CTIの作成者が、組織が脅威レベルに関して事前に持っている信念をより明確に理解し、その事前信念と大きく異なるCTIの共有に注力することができれば、CTI共有による利益は向上する可能性がある。
Development of a new ‘human cyber-resilience scale’	新しい「人間サイバーレジリエンス尺度」の開発
Adam N Joinson and others	アダム・N・ジョインソンほか
Abstract	概要
While there has been an upsurge in interest in cyber resilience in organizations, we know little about the resilience of individuals to cyber attacks. Cyber resilience in a domestic or non-work setting is important because we know that the majority of people will face cyber threats in their use of technology across a range of contexts, and the ability to resist a cyber attack, or quickly recover and learn from a successful attack, is as important for individuals’ wellbeing as it is for organizations. There is, unfortunately, a dearth of studies on the cyber resilience of people, in part because it is not clear how such a construct could be defined and then measured. In the present work, we present a series of five studies—with a total sample of n = 1503—that sought to develop and validate a theoretically based measure of cyber resilience for individuals. The final scale, comprising 16 items and 4 subscales (self-efficacy, learning and growth, social support, and helplessness), demonstrates good internal reliability and validity.	組織におけるサイバーレジリエンスへの関心が高まっている一方で、個人のサイバー攻撃に対するレジリエンスについてはほとんど知られていない。家庭内または非職場でのサイバーレジリエンスは重要である。なぜなら、大多数の人がさまざまな状況でテクノロジーを使用する際にサイバー脅威に直面することがわかっており、サイバー攻撃に抵抗する能力、または成功した攻撃から迅速に回復し学習する能力は、組織と同様に個人のウェルビーイングにとって重要である。しかし、残念ながら、人々のサイバーレジリエンスに関する研究はほとんどなく、その理由の1つは、このような構成要素をどのように定義し、測定できるかが明確でないためである。本研究では、個人のサイバーレジリエンスに関する理論に基づいた尺度を開発し、検証することを目的とした5つの研究（総サンプル数n = 1503）を紹介する。16項目と4つの下位尺度（自己効力感、学習と成長、社会的支援、無力感）からなる最終尺度は、良好な内部信頼性と妥当性を示している。
The security mindset: characteristics, development, and consequences	セキュリティマインドセット：特徴、発達、結果
Koen Schoenmakers and others	ケーン・ショーンメーカーズほか
Abstract	概要
The world is facing a cybersecurity skills gap as cybercrime and cyberwarfare grow in importance. One often-discussed quality that is potentially relevant to cybersecurity recruitment and education is the so-called “security mindset”: a way of thinking characteristic of some security professionals that they believe to be especially advantageous in their work. Although some employers express a desire to hire people with a security mindset, and initiatives to cultivate the security mindset are being implemented, it has no common definition and little is known about its characteristics, its development, and its consequences. We interviewed 21 cybersecurity professionals who strongly identified as having a security mindset based on a minimal description drawn from existing literature. Thematic analysis of the interview data suggests that the security mindset can be conceptualized as consisting of three interconnected aspects—“monitoring” for potential security anomalies, “investigating” anomalies more deeply to identify security flaws, and “evaluating” the relevance of those flaws in a larger context. These three aspects develop in different ways and have different personal and professional consequences. Participants mostly spoke positively of the security mindset, but they also mentioned several disadvantages not mentioned by existing security-mindset literature, such as mental health pressures, workplace tensions, and negative effects on personal relationships. We discuss the implications of these findings for future study of the security mindset and suggest practical implications for cybersecurity management, education, and recruitment.	サイバー犯罪とサイバー戦争の重要性が増すにつれ、世界はサイバーセキュリティのスキルギャップに直面している。サイバーセキュリティの採用や教育に関連する可能性のある資質としてよく議論されるのが、いわゆる「セキュリティ・マインドセット」であり、一部のセキュリティ専門家に特有の考え方で、仕事において特に有利に働くと考えられている。一部の雇用主は、セキュリティ・マインドセットを持つ人材を採用したいと表明しており、セキュリティ・マインドセットを育成する取り組みが実施されているが、一般的な定義はなく、その特徴、発展、結果についてはほとんど知られていません。そこで、既存文献から抽出した最小限の記述に基づき、セキュリティ・マインドセットを有すると強く認識した21名のサイバーセキュリティ専門家にインタビューを実施した。インタビューデータの主題分析によると、セキュリティマインドは、潜在的なセキュリティの異常を「監視」し、異常をより深く「調査」してセキュリティの欠陥を特定し、より大きな文脈で欠陥の関連性を「評価」するという、相互に関連した3つの側面から構成されると概念化できることが示唆された。これらの3つの側面は、それぞれ異なる方法で発展し、個人的にも仕事上も異なる結果をもたらします。参加者は、ほとんどがセキュリティ・マインドセットについて肯定的に語っているが、精神衛生上のプレッシャー、職場での緊張、個人的な人間関係への悪影響など、既存のセキュリティ・マインドセットの文献では言及されていないいくつかのデメリットについても言及している。これらの知見が、今後のセキュリティ・マインドセットの研究に与える影響について議論し、サイバーセキュリティの管理、教育、採用における実用的な意味を示唆する。
Defining the reporting threshold for a cybersecurity incident under the NIS Directive and the NIS 2 Directive	NIS指令およびNIS 2指令に基づくサイバーセキュリティインシデントの報告閾値の定義
Sandra Schmitz-Berndt	サンドラ・シュミッツ＝ベルント
Abstract	要旨
The NIS Directive and sector-specific cybersecurity regulations require the reporting of (security) incidents to supervisory authorities. Following the risk-based approach adopted in the NIS Directive, the NIS 2 Directive enlists as a basic security element the reporting of significant incidents that (i) have caused or (ii) are capable to cause harm, as well as (iii) notifying the service recipients of cyber threats. Although during the interinstitutional negotiations between the European Commission, the European Parliament, and the Council of the European there was consensus that the NIS Directive’s reporting framework needs to be reformed, views on the determination of what needs to be reported varied. This paper outlines and analyses the different concepts of a report-worthy significant incident that have been proposed during the legislative procedure for the NIS 2 Directive from a legal and policy perspective. Irrespective of further motives that may inhibit reporting, legal compliance is difficult to achieve where legal requirements are vague. In that regard, the difficulties to determine the reporting thresholds in the past and in the future are addressed. In consideration of the increased attack surface and threat scenario, it is argued that incidents where no harm has materialized should not be treated any different than incidents that have actually resulted in harm in order to acquire the envisaged full picture of the threat landscape and create value for business and society.	NIS指令と分野別サイバーセキュリティ規制は、監督官庁への（セキュリティ）インシデントの報告を求めている。NIS指令で採用されたリスクベースのアプローチに続き、NIS 2指令では、基本的なセキュリティ要素として、（i）損害を与えた、または（ii）損害を与える可能性がある重要なインシデントの報告、および（iii）サイバー脅威のサービス受給者への通知を挙げている。欧州委員会、欧州議会、欧州理事会間の交渉において、NIS指令の報告枠組みを改革する必要があることは合意されていたが、何を報告する必要があるのかについての見解は様々であった。本稿では、NIS2指令の立法手続き中に提案された、報告すべき重大インシデントのさまざまな概念を、法的・政策的観点から概説・分析する。報告を阻害する更なる動機に関わらず、法的要件が曖昧な場合、法令遵守を達成することは困難である。この点で、過去と将来の報告閾値を決定することの難しさを取り上げている。攻撃対象の拡大や脅威のシナリオを考慮すると、想定される脅威の全体像を把握し、ビジネスや社会に価値を生み出すためには、被害が発生していないインシデントを実際に被害が発生したインシデントと同様に扱うべきではないと主張されている。