ENISA AIのサイバーセキュリティと標準化
こんにちは、丸山満彦です。
ENISAがAIの文脈で情報セキュリティと品質マネジメントのために容易に利用できる既存・開発中等の一般的な標準等を示していますね。。。参考になる部分もあると思います。。。
⚫︎ ENISA
・2023.04.27 Mind the Gap in Standardisation of Cybersecurity for Artificial Intelligence
| Mind the Gap in Standardisation of Cybersecurity for Artificial Intelligence | 人工知能のためのサイバーセキュリティの標準化におけるギャップに留意せよ |
| The European Union Agency for Cybersecurity (ENISA) publishes an assessment of standards for the cybersecurity of AI and issues recommendations to support the implementation of upcoming EU policies on Artificial Intelligence (AI). | 欧州連合サイバーセキュリティ機関(ENISA)は、人工知能(AI)に関する今後のEU政策の実施を支援するため、AIのサイバーセキュリティに関する規格の評価と勧告を発表する。 |
| This report provides an overview of standards – published, under development and planned - and an assessment of their span for the purpose of identifying potential gaps. | 本報告書は、潜在的なギャップを特定する目的で、公表済み、開発中、計画中の規格の概要とその範囲の評価を提供するものである。 |
| EU Agency for Cybersecurity Executive Director, Juhan Lepassaar, declared: “Advanced chatbot platforms powered by AI systems are currently used by consumers and businesses alike. The questions raised by AI come down to our capacity to assess its impact, to monitor and control it, with a view to making AI cyber secure and robust for its full potential to unfold. Using adequate standards will help ensure the protection of AI systems and of the data those systems need to process in order to operate. I trust this is the approach we need to take if we want to maximise the benefits for all of us to securely enjoy the services of AI systems to the full.” | EU Agency for Cybersecurity Executive DirectorのJuhan Lepassaarは、次のように宣言している: 「AIシステムを搭載した高度なチャットボット・プラットフォームは、現在、消費者や企業によって利用されている。AIが提起する問題は、その潜在能力を最大限に発揮させるために、AIをサイバーセキュアで堅牢なものにするという観点から、その影響を評価し、監視・制御する我々の能力に帰結する。適切な基準を用いることで、AIシステムと、そのシステムが動作するために処理する必要のあるデータの保護を確保することができる。私たち全員がAIシステムのサービスを安全に存分に享受できるようなメリットを最大化したいのであれば、これが私たちが取るべきアプローチであると信じている。" |
| This report focuses on the cybersecurity aspects of AI, which are integral to the European legal framework regulating AI, proposed by the European Commission last year dubbed as the “AI Act“. | 本報告書では、昨年欧州委員会が提案した「AI 法」と呼ばれるAIを規制する欧州の法的枠組みに不可欠な、AIのサイバーセキュリティの側面に焦点を当てている。 |
| What is Artificial Intelligence? | 人工知能とは何か? |
| The draft AI Act provides a definition of an AI system as “software developed with one or more (…) techniques (…) for a given set of human-defined objectives, that generates outputs such as content, predictions, recommendations, or decisions influencing the environments they interact with.” In a nutshell, these techniques mainly include: machine learning resorting to methods such as deep learning, logic, knowledge-based and statistical approaches. | AI法の案では、AIシステムの定義として、"人間が定義した所定の目的のために、1つ以上の(...)技法を用いて開発され、コンテンツ、予測、推奨、または対話する環境に影響を与える決定などの出力を生成するソフトウェア "を挙げている。一言で言えば、これらの技術は主に、深層学習、論理、知識ベース、統計的アプローチなどの手法に頼った機械学習が含まれる。 |
| It is indeed essential for the allocation of legal responsibilities under a future AI framework to agree on what falls into the definition of an 'AI system'. | 将来のAIフレームワークの下で法的責任を分担するためには、何が「AIシステム」の定義に該当するのかを合意することが実に重要である。 |
| However, the exact scope of an AI system is constantly evolving both in the legislative debate on the draft AI Act, as well in the scientific and standardisation communities. | しかし、AIシステムの正確な範囲は、AI法の案に関する立法論議でも、科学や標準化のコミュニティでも、常に進化している。 |
| Although broad in contents, this report focuses on machine learning (ML) due to its extensive use across AI deployments. ML has come under scrutiny with respect to vulnerabilities particularly impacting the cybersecurity of an AI implementation. | 本報告書は、幅広い内容を含んでいるが、AIの展開において機械学習(ML)が広く使用されていることから、機械学習に焦点を当てている。MLは、特にAI実装のサイバーセキュリティに影響を与える脆弱性に関して精査されている。 |
| AI cybersecurity standards: what’s the state of play? | AIサイバーセキュリティの標準:現状はどうなっているのか? |
| As standards help mitigate risks, this study unveils existing general-purpose standards that are readily available for information security and quality management in the context of AI. In order to mitigate some of the cybersecurity risks affecting AI systems, further guidance could be developed to help the user community benefit from the existing standards on AI. | 標準はリスクを軽減するのに役立つため、本研究では、AIの文脈で情報セキュリティと品質マネジメントのために容易に利用できる既存の汎用標準を明らかにした。AIシステムに影響を及ぼすサイバーセキュリティのリスクを軽減するために、ユーザーコミュニティがAIに関する既存の標準から利益を得られるように、さらなるガイダンスを開発することができる。 |
| This suggestion has been based on the observation concerning the software layer of AI. It follows that what is applicable to software could be applicable to AI. However, it does not mean the work ends here. Other aspects still need to be considered, such as: | この提案は、AIのソフトウェア層に関する観察に基づくものである。ソフトウェアに適用できることは、AIにも適用できる可能性があるということである。しかし、ここで作業が終了するわけではない。次のような他の側面も考慮する必要がある: |
| ・a system-specific analysis to cater for security requirements deriving from the domain of application; | ・アプリケーションのドメインから派生するセキュリティ要件に対応するためのシステム固有の分析; |
| ・standards to cover aspects specific to AI, such as the traceability of data and testing procedures. | ・データのトレーサビリティやテスト手順など、AIに特化した側面をカバーするための規格。 |
| Further observations concern the extent to which the assessment of compliance with security requirements can be based on AI-specific horizontal standards; furthermore, the extent to which this assessment can be based on vertical/sector specific standards calls for attention. | さらに、セキュリティ要件への準拠を評価する際に、AIに特化した水平的な基準にどの程度まで基づくことができるのか、さらに、この評価を垂直的/セクター固有の基準にどの程度まで基づくことができるのかについても注意が必要であるとの見解を示した。 |
| Key recommendations include: | 主な提言は以下の通りである: |
| ・Resorting to a standardised AI terminology for cybersecurity; | ・サイバーセキュリティのための標準化されたAI用語を使用すること; |
| ・Developing technical guidance on how existing standards related to the cybersecurity of software should be applied to AI; | ・ソフトウェアのサイバーセキュリティに関連する既存の基準をAIにどのように適用すべきかについての技術ガイダンスを作成すること; |
| ・Reflecting on the inherent features of ML in AI. Risk mitigation in particular should be considered by associating hardware/software components to AI; reliable metrics; and testing procedures; | ・AIに内在するMLの特徴について考察すること。特にリスク軽減は、AIにハードウェア/ソフトウェアコンポーネントを関連付け、信頼できる測定、検査手順によって考慮されるべきである; |
| ・Promoting the cooperation and coordination across standards organisations’ technical committees on cybersecurity and AI so that potential cybersecurity concerns (e.g., on trustworthiness characteristics and data quality) can be addressed in a coherent manner. | ・サイバーセキュリティとAIに関する標準化団体の技術委員会間の協力と調整を促進し、サイバーセキュリティの潜在的な懸念(信頼性特性やデータ品質など)に首尾一貫して対処できるようにする。 |
| Regulating AI: what is needed? | AIを規制する:何が必要なのか? |
| As for many other pieces of EU legislation, compliance with the draft AI Act will be supported by standards. When it comes to compliance with the cybersecurity requirements set by the draft AI Act, additional aspects have been identified. For example, standards for conformity assessment, in particular related to tools and competences, may need to be further developed. Also, the interplay across different legislative initiatives needs to be further reflected in standardisation activities – an example of this is the proposal for a regulation on horizontal cybersecurity requirements for products with digital elements, referred to as the “Cyber Resilience Act”. | 他の多くのEUの法律と同様に、AI法の案への準拠は、標準によって支援されることになる。AI法案が定めるサイバーセキュリティ要件への準拠に関しては、さらなる側面が確認されている。例えば、適合性評価の基準、特にツールや能力に関連する基準については、さらに整備する必要がある可能性がある。この例として、「サイバーレジリエンス法」と呼ばれる、デジタル要素を持つ製品の水平的なサイバーセキュリティ要件に関する規制の提案が挙げられる。 |
| Building on the report and other desk research as well as input received from experts, ENISA is currently examining the need for and the feasibility of an EU cybersecurity certification scheme on AI. ENISA is therefore engaging with a broad range of stakeholders including industry, ESOs and Member States, for the purpose of collecting data on AI cybersecurity requirements, data security in relation to AI, AI risk management and conformity assessment. | ENISAは現在、報告書やその他の机上調査、専門家から寄せられた意見に基づき、AIに関するEUサイバーセキュリティ認証制度の必要性と実現可能性を検討している。そのためENISAは、AIのサイバーセキュリティ要件、AIに関連するデータセキュリティ、AIのリスクマネジメント、適合性評価に関するデータを収集する目的で、産業界、ESO、加盟国を含む幅広いステークホルダーと関わっている。 |
| AI and cybersecurity will be discussed in two dedicated panels: | AIとサイバーセキュリティは、2つの専用パネルで議論される予定である: |
| ・in the ENISA Certification Conference, on 25 May, in Athens, Greece | ・5月25日、ギリシャのアテネで開催されるENISA認証会議 |
| ・in the ENISA AI Conference, on 7 June, in Brussels, Belgium. | ・6月7日、ベルギーのブリュッセルで開催されたENISA AI Conference |
| ENISA advocated the importance of standardisation in cybersecurity today, at the RSA Conference in San Francisco in the ‘Standards on the Horizon: What Matters Most?’ in a panel comprising the National Institute of Standards and Technology (NIST). | ENISAは、本日、サンフランシスコで開催されたRSAカンファレンスにおいて、「Standards on the Horizon」で、サイバーセキュリティにおける標準化の重要性を提唱した: What Matters Most?'で、米国国立標準技術研究所(NIST)を構成員とするパネルに参加した。 |
| Further information | さらに詳しい情報 |
| Cybersecurity of AI and standardisation – 2023 ENISA report | AIのサイバーセキュリティと標準化 - 2023年ENISA報告書 |
| Securing Machine Learning Algorithms – 2021 ENISA report | 機械学習アルゴリズムの安全性確保 - 2021年ENISA報告書 |
| The proposal AI Act | AI法案 |
| The proposal Cyber Resilience Act | サイバーレジリエンス法案 |
・2023.04.27 Cybersecurity of AI and Standardisation
| Cybersecurity of AI and Standardisation | AIのサイバーセキュリティと標準化 |
| The overall objective of the present document is to provide an overview of standards (existing, being drafted, under consideration and planned) related to the cybersecurity of artificial intelligence (AI), assess their coverage and identify gaps in standardisation. It does so by considering the specificities of AI, and in particular machine learning, and by adopting a broad view of cybersecurity, encompassing both the ‘traditional’ confidentiality–integrity–availability paradigm and the broader concept of AI trustworthiness. Finally, the report examines how standardisation can support the implementation of the cybersecurity aspects embedded in the proposed EU regulation laying down harmonised rules on artificial intelligence (COM(2021) 206 final) (draft AI Act). | 本書の全体的な目的は、人工知能(AI)のサイバーセキュリティに関連する標準(既存、案中、検討中、計画中)の概要を示し、その適用範囲を評価し、標準化におけるギャップを特定することである。これは、AI、特に機械学習の特異性を考慮し、サイバーセキュリティの広い視野を採用することで、「伝統的な」機密性-完全性-可用性のパラダイムとAIの信頼性という広い概念の両方を包含することで実現されている。最後に、本報告書では、人工知能に関する調和のとれた規則を定めたEU規則案(COM(2021) 206 final)(AI法案)に盛り込まれたサイバーセキュリティの側面の実施を、標準化がいかに支援できるかを検証している。 |
・[PDF] Cybersecurity of AI and Standardisation
・[DOCX] 仮訳中...
標準(規格)等の訳語一覧があれば、大変助かるのに。。。
エグゼクティブサマリー...
| EXECUTIVE SUMMARY | エグゼクティブサマリー |
| The overall objective of the present document is to provide an overview of standards (existing, being drafted, under consideration and planned) related to the cybersecurity of artificial intelligence (AI), assess their coverage and identify gaps in standardisation. It does so by considering the specificities of AI, and in particular machine learning, and by adopting a broad view of cybersecurity, encompassing both the ‘traditional’ confidentiality–integrity–availability paradigm and the broader concept of AI trustworthiness. Finally, the report examines how standardisation can support the implementation of the cybersecurity aspects embedded in the proposed EU regulation laying down harmonised rules on artificial intelligence (COM(2021) 206 final) (draft AI Act). | 本報告書の全体的な目的は、人工知能(AI)のサイバーセキュリティに関連する標準(既存、起草中、検討中、計画中)の概要を示し、その適用範囲を評価し、標準化におけるギャップを特定することである。これは、AI、特に機械学習の特異性を考慮し、サイバーセキュリティの広い視野を採用することで、「伝統的な」機密性-完全性-可用性のパラダイムとAIの信頼性という広い概念の両方を包含することで実現されている。最後に、本報告書では、人工知能に関する調和のとれた規則を定めたEU規則案(COM(2021) 206 final)(AI法案)に盛り込まれたサイバーセキュリティの側面の実施を、標準化がいかに支援できるかを検証している。 |
| The report describes the standardisation landscape covering AI, by depicting the activities of the main Standards-Developing Organisations (SDOs) that seem to be guided by concern about insufficient knowledge of the application of existing techniques to counter threats and vulnerabilities arising from AI. This results in the ongoing development of ad hoc reports and guidance, and of ad hoc standards. | 本報告書では、AIを対象とした標準化の状況を、AIから生じる脅威や脆弱性に対抗するための既存技術の適用に関する知識不足を懸念していると思われる主要な標準化団体(SDO)の活動を描くことによって説明している。その結果、アドホックな報告書やガイダンス、アドホックな標準が継続的に開発されることになる。 |
| The report argues that existing general purpose technical and organisational standards (such as ISO-IEC 27001 and ISO-IEC 9001) can contribute to mitigating some of the risks faced by AI with the help of specific guidance on how they can be applied in an AI context. This consideration stems from the fact that, in essence, AI is software and therefore software security measures can be transposed to the AI domain. | 本報告書では、既存の汎用的な技術・組織標準(ISO-IEC 27001やISO-IEC 9001など)が、AIの文脈でどのように適用されるかという具体的なガイダンスの助けを借りて、AIが直面するリスクの一部を軽減することに貢献できると論じている。この考察は、本質的にAIはソフトウェアであり、したがってソフトウェアのセキュリティ対策はAIの領域にも適用できるという事実に起因している。 |
| The report also specifies that this approach is not exhaustive and that it has some limitations. For example, while the report focuses on software aspects, the notion of AI can include both technical and organisational elements beyond software, such as hardware or infrastructure. Other examples include the fact that determining appropriate security measures relies on a system-specific analysis, and the fact that some aspects of cybersecurity are still the subject of research and development, and therefore might be not mature enough to be exhaustively standardised. In addition, existing standards seem not to address specific aspects such as the traceability and lineage of both data and AI components, or metrics on, for example, robustness. | また、このアプローチは網羅的ではなく、いくつかの制約があることも明記されている。例えば、報告書はソフトウェアの側面に焦点を当てているが、AIの概念には、ハードウェアやインフラストラクチャなど、ソフトウェア以外の技術的・組織的な要素も含まれうる。また、適切なセキュリティ対策を決定するためには、システム固有の分析に依存するという事実や、サイバーセキュリティのいくつかの側面はまだ研究開発の対象であり、したがって、網羅的に標準化するほど成熟していないかもしれないという事実も含まれている。さらに、既存の標準は、データやAIコンポーネントのトレーサビリティやリネージ、堅牢性などの指標といった特定の側面には対応していない場合もある。 |
| The report also looks beyond the mere protection of assets, as cybersecurity can be considered as instrumental to the correct implementation of trustworthiness features of AI and – conversely –the correct implementation of trustworthiness features is key to ensuring cybersecurity. In this context, it is noted that there is a risk that trustworthiness is handled separately within AIspecific and cybersecurity-specific standardisation initiatives. One example of an area where this might happen is conformity assessment. | また、単なる資産の保護にとどまらず、サイバーセキュリティはAIの信頼性機能を正しく実装するための道具と考えることができ、逆に信頼性機能を正しく実装することがサイバーセキュリティを確保するための鍵となるとしている。この文脈では、AIに特化した標準化とサイバーセキュリティに特化した標準化の取り組みにおいて、信頼性が別々に扱われるリスクがあることに留意する必要がある。このようなことが起こりうる分野の一例として、適合性評価が挙げられる。 |
| Last but not least, the report complements the observations above by extending the analysis to the draft AI Act. Firstly, the report stresses the importance of the inclusion of cybersecurity aspects in the risk assessment of high-risk systems in order to determine the cybersecurity risks that are specific to the intended use of each system. Secondly, the report highlights the lack of standards covering the competences and tools of the actors performing conformity assessments. Thirdly, it notes that the governance systems drawn up by the draft AI Act and the Cybersecurity Act (CSA)[1] should work in harmony to avoid duplication of efforts at national level. | 最後になるが、報告書は、AI法案に分析を拡張することで、上記の見解を補足している。第一に、報告書は、各システムの使用目的に特有のサイバーセキュリティリスクを決定するために、高リスクシステムのリスク評価にサイバーセキュリティの側面を含めることの重要性を強調している。第二に、報告書は、適合性評価を行う関係者の能力とツールをカバーする基準がないことを強調している。第三に、AI法案とサイバーセキュリティ法(CSA)[1] によって策定されたガバナンスシステムは、国家レベルでの努力の重複を避けるために調和して働くべきであることを指摘している。 |
| Finally, the report concludes that some standardisation gaps might become apparent only as the AI technologies advance and with further study of how standardisation can support cybersecurity. | 最後に、本報告書は、AI技術が進歩し、標準化がサイバーセキュリティをどのように支援できるかをさらに研究することによって初めて、いくつかの標準化のギャップが明らかになるかもしれないと結論付けている。 |
| [1] Regulation (EU) 2019/881 of the European Parliament and of the Council of 17 April 2019 on ENISA (the European Union Agency for Cybersecurity) and on information and communications technology cybersecurity certification and repealing Regulation (EU) No 526/2013 (Cybersecurity Act) (https://eur-lex.europa.eu/eli/reg/2019/881/oj). | [1] ENISA(欧州連合サイバーセキュリティ機関)および情報通信技術のサイバーセキュリティ認証に関する2019年4月17日の欧州議会および理事会の規則(EU)2019/881、および規則(EU)No 526/2013(サイバーセキュリティ法)を廃止する(https://eur-lex.europa.eu/eli/reg/2019/881/oj)。 |
目次...
| TABLE OF CONTENTS | 目次 |
| 1. INTRODUCTION | 1 イントロダクション |
| 1.1 DOCUMENT PURPOSE AND OBJECTIVES | 1.1 文書の目的および目標 |
| 1.2 TARGET AUDIENCE AND PREREQUISITES | 1.2 想定読者・前提条件 |
| 1.3 STRUCTURE OF THE STUDY | 1.3 研究構造 |
| 2. SCOPE OF THE REPORT: DEFINITION OF AI AND CYBERSECURITY OF AI | 2 報告書範囲:AIの定義とAIのサイバーセキュリティについて |
| 2.1 ARTIFICIAL INTELLIGENCE | 2.1 人工知能 |
| 2.2 CYBERSECURITY OF AI | 2.2 AIのサイバーセキュリティ |
| 3. STANDARDISATION IN SUPPORT OF CYBERSECURITY OF AI | 3 AIのサイバーセキュリティを支える標準化 |
| 3.1 RELEVANT ACTIVITIES BY THE MAIN STANDARDS-DEVELOPING ORGANISATIONS | 3.1 主な標準化団体による関連活動 |
| 3.1.1 CEN-CENELEC | 3.1.1 CEN-CENELEC |
| 3.1.2 ETSI | 3.1.2 欧州電気通信標準化機構 |
| 3.1.3 ISO-IEC | 3.1.3 ISO-IEC |
| 3.1.4 Others | 3.1.4 その他 |
| 4. ANALYSIS OF COVERAGE | 4 カバー率分析 |
| 4.1 STANDARDISATION IN SUPPORT OF CYBERSECURITY OF AI – NARROW SENSE | 4.1 AIのサイバーセキュリティを支える標準化 - 狭義の意味での標準化 |
| 4.2 STANDARDISATION IN SUPPORT OF THE CYBERSECURITY OF AI – TRUSTWORTHINESS | 4.2 Aiのサイバーセキュリティを支える標準化 - 信頼性 |
| 4.3 CYBERSECURITY AND STANDARDISATION IN THE CONTEXT OF THE DRAFT AI ACT | 4.3 サイバーセキュリティと標準化(AI法案との関連で |
| 5. CONCLUSIONS | 5 結論 |
| 5.1 WRAP-UP | 5.1 まとめ |
| 5.2 RECOMMENDATIONS | 5.2 提言 |
| 5.2.1 Recommendations to all organisations | 5.2.1 すべての組織への提言 |
| 5.2.2 Recommendations to standards-developing organisations | 5.2.2 標準策定機関への提言 |
| 5.2.3 Recommendations in preparation for the implementation of the draft AI Act | 5.2.3 AI法案の施行に向けた提言 |
| 5.3 FINAL OBSERVATIONS | 5.3 最終検討 |
| A ANNEX: | A ANNEX: |
| A.1 SELECTION OF ISO 27000 SERIES STANDARDS RELEVANT TO THE CYBERSECURITY OF AI | A.1 AIのサイバーセキュリティに関連するISA27000シリーズ標準の選択 |
| A.2 RELEVANT ISO/IEC STANDARDS PUBLISHED OR PLANNED / UNDER DEVELOPMENT | A.2 関連する ISO/IEC 標準の発行、または計画、開発中。 |
| A.3 CEN-CENELEC JOINT TECHNICAL COMMITTEE 21 AND DRAFT AI ACT REQUIREMENTS | A.3 CEN-CENELEC合同技術委員会21及びAi法改正草案の要求事項 |
| A.4 ETSI ACTIVITIES AND DRAFT AI ACT REQUIREMENTS | A.4 ETSIの活動とAi法のドラフト要件 |
⚫︎ まるちゃんの情報セキュリティ気まぐれ日記
・2023.03.22 ENISA AIのサイバーセキュリティと標準化 (2023.03.14)
日本語の標準等の名称が単なる訳で正式なものでないものがまじってたりしますので、利用は注意...
A.1 AIのサイバーセキュリティに関連するISA27000シリーズ標準の選択
| Document Reference | Name | 名称 |
| ISO/IEC 27035-1:2016 | Information technology – Security techniques – Information security incident management – Part 1: Principles of incident management | 情報技術 - セキュリティ技術 - 情報セキュリティインシデント管理 - 第1部:インシデントマネジメントの原則 |
| ISO/IEC 27035-2:2017 | Information technology – Security techniques – Information security incident management – Part 2: Guidelines to plan and prepare for incident response | 情報技術 - セキュリティ技術 - 情報セキュリティインシデント管理 - 第2部:インシデント対応の計画・準備のためのガイドライン |
| ISO/IEC 27035-3:2020 | Information technology – Information security incident management – Part 3: Guidelines for ICT incident response operations | 情報技術 - 情報セキュリティインシデント管理 - 第3部:ICTインシデント対応業務のためのガイドライン |
| ISO/IEC 27032:2012 | Information technology – Security techniques – Guidelines for cybersecurity | 情報技術 - セキュリティ技術 - サイバーセキュリティのためのガイドライン |
| ISO/IEC 27031:2011 | Information technology – Security techniques – Guidelines for information and communication technology readiness for business continuity | 情報技術 - セキュリティ技術 - 事業継続のための情報通信技術準備のためのガイドライン |
| ISO/IEC TR 27023:2015 | Information technology – Security techniques – Mapping the revised editions of ISO/IEC 27001 and ISO/IEC 27002 | 情報技術 - セキュリティ技術 - ISO/IEC 27001およびISO/IEC 27002の改訂版のマッピング |
| ISO/IEC TS 27022:2021 | Information technology – Guidance on information security management system processes | 情報技術 - 情報セキュリティマネジメントシステムプロセスに関するガイダンス |
| ISO/IEC 27021:2017/AMD 1:2021 | Information technology – Security techniques – Competence requirements for information security management systems professionals – Amendment 1: Addition of ISO/IEC 27001:2013 clauses or subclauses to competence requirements | 情報技術-セキュリティ技術-情報セキュリティマネジメントシステム専門家の能力要件-修正1:能力要件にISO/IEC 27001:2013の条項又は小項目の追加 |
| ISO/IEC 27021:2017 | Information technology – Security techniques – Competence requirements for information security management systems professionals | 情報技術 - セキュリティ技術 - 情報セキュリティマネジメントシステムプロフェッショナルのための能力要件 |
| ISO/IEC 27017:2015 | Information technology – Security techniques – Code of practice for information security controls based on ISO/IEC 27002 for cloud services | 情報技術 - セキュリティ技術 - クラウドサービスにおけるISO/IEC 27002に基づく情報セキュリティ管理に関する実践規範 |
| ISO/IEC TR 27016:2014 | Information technology – Security techniques – Information security management – Organizational economics | 情報技術 - セキュリティ技術 - 情報セキュリティマネジメント - 組織経済学 |
| ISO/IEC 27014:2020 | Information security, cybersecurity and privacy protection – Governance of information security | 情報セキュリティ、サイバーセキュリティ、プライバシー保護 ・情報セキュリティのガバナンス |
| ISO/IEC 27013:2021 | Information security, cybersecurity and privacy protection – Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1 | 情報セキュリティ、サイバーセキュリティ、プライバシー保護 - ISO/IEC 27001とISO/IEC 20000-1の統合実施に関するガイダンス |
| ISO/IEC 27011:2016/Cor 1:2018 | Information technology – Security techniques – Code of practice for Information security controls based on ISO/IEC 27002 for telecommunications organizations – Technical Corrigendum 1 | 情報技術-セキュリティ技術-電気通信事業者向けISO/IEC 27002に基づく情報セキュリティ管理に関する実施規範-技術的正誤表1 |
| ISO/IEC 27010:2015 | Information technology – Security techniques – Information security management for inter-sector and inter-organizational communications | 情報技術 - セキュリティ技術 - セクター間・組織間通信のための情報セキュリティマネジメント |
| ISO/IEC TS 27008:2019 | Information technology – Security techniques – Guidelines for the assessment of information security controls | 情報技術 - セキュリティ技術 - 情報セキュリティコントロールの評価のためのガイドライン |
| ISO/IEC 27007:2020 | Information security, cybersecurity and privacy protection – Guidelines for information security management systems auditing | 情報セキュリティ、サイバーセキュリティ、プライバシー保護 - 情報セキュリティマネジメントシステム監査のためのガイドライン |
| ISO/IEC 27006:2015/AMD 1:2020 | Information technology – Security techniques – Requirements for bodies providing audit and certification of information security management systems – Amendment 1 | 情報技術 - セキュリティ技術 - 情報セキュリティマネジメントシステムの監査及び認証を行う機関に対する要求事項 - 改訂1版 |
| ISO/IEC 27006:2015 | Information technology – Security techniques – Requirements for bodies providing audit and certification of information security management systems | 情報技術 - セキュリティ技術 - 情報セキュリティマネジメントシステムの監査および認証を提供する機関に対する要求事項 |
| ISO/IEC TS 27006-2:2021 | Requirements for bodies providing audit and certification of information security management systems – Part 2: Privacy information management systems | 情報セキュリティマネジメントシステムの監査・認証機関への要求事項 - 第2部:プライバシー情報マネジメントシステム |
| ISO/IEC 27005:2018 | Information technology – Security techniques – Information security risk management | 情報技術 - セキュリティ技術 - 情報セキュリティリスクマネジメント |
| ISO/IEC 27004:2016 | Information technology – Security techniques – Information security management – Monitoring, measurement, analysis and evaluation | 情報技術 - セキュリティ技術 - 情報セキュリティマネジメント - 監視、測定、分析、評価 |
| ISO/IEC 27003:2017 | Information technology – Security techniques – Information security management systems – Guidance | 情報技術 - セキュリティ技術 - 情報セキュリティマネジメントシステム - ガイダンス |
| ISO/IEC 27002:2022 | Information security, cybersecurity and privacy protection – Information security controls | 情報セキュリティ、サイバーセキュリティ、プライバシー保護 - 情報セキュリティのコントロール |
| ISO/IEC 27001:2013/Cor 2:2015 | Information technology – Security techniques – Information security management systems – Requirements – Technical Corrigendum 2 | 情報技術 - セキュリティ技術 - 情報セキュリティマネジメントシステム - 要求事項 - 技術正誤表2 |
| ISO/IEC 27001:2013/Cor 1:2014 | Information technology – Security techniques – Information security management systems – Requirements – Technical Corrigendum 1 | 情報技術 - セキュリティ技術 - 情報セキュリティマネジメントシステム - 要求事項 - 技術正誤表1 |
| ISO/IEC 27001:2013 | Information technology – Security techniques – Information security management systems – Requirements | 情報技術 - セキュリティ技術 - 情報セキュリティマネジメントシステム - 要求事項 |
ISO/IEC 27000シリーズの動向については、JIPDECの次のページが参考になります。。。2023年5月3日現在の最新は、2022年11月1日現在のものです...
⚫︎ JIPDEC
・国際動向
・[PDF] ISO/IEC 27000ファミリー規格について[2022.11.1更新]
A.2 関連する ISO/IEC 標準の発行、または計画、開発中
| Document Reference | Name | 名称 | Expected publication date | 発行予定日 |
| ISO/IEC TR 240291:2021 | Artificial Intelligence (AI) — Assessment of the robustness of neural networks — Part 1: Overview | 人工知能(AI) - ニューラルネットワークの堅牢性評価 - 第1部:概要 | Published | 発行済 |
| ISO/IEC TS 4213 | Assessment of machine learning classification performance | 機械学習による分類性能の評価 | Published | 発行済 |
| ISO/IEC 20546:2019 | Big data – Overview and vocabulary | ビッグデータ - 概要と用語 | Published | 発行済 |
| ISO/IEC TR 24368:2022 | Information technology — Artificial intelligence — Overview of ethical and societal concerns | 情報技術 - 人工知能 - 倫理的・社会的な懸念の概観 | Published | 発行済 |
| ISO/IEC TR 24028:2020 | Information technology — Artificial intelligence — Overview of trustworthiness in artificial intelligence | 情報技術 - 人工知能 - 人工知能における信頼性の概要 | Published | 発行済 |
| ISO/IEC 24668:2022 | Information technology — Artificial intelligence — Process management framework for big data analytics | 情報技術 - 人工知能 - ビッグデータ解析のためのプロセス管理フレームワーク | Published | 発行済 |
| ISO/IEC TR 24027:2021 | Information technology — Artificial intelligence (AI) — Bias in AI systems and AI aided decision making | 情報技術 - 人工知能(AI) - AIシステムにおけるバイアス、AIによる意思決定支援 | Published | 発行済 |
| ISO/IEC TR 24372:2021 |
Information technology — Artificial intelligence (AI) — Overview of computational approaches for AI systems | 情報技術 - 人工知能(AI) - AIシステムのための計算機アプローチの概要 | Published | 発行済 |
| ISO/IEC TR 205471:2020 | Information technology — Big data reference architecture — Part 1: Framework and application process | 情報技術 - ビッグデータ参照アーキテクチャ - 第1部:フレームワークと適用プロセス | Published | 発行済 |
| ISO/IEC TR 205472:2018 | Information technology — Big data reference architecture — Part 2: Use cases and derived requirements | 情報技術 - ビッグデータ参照アーキテクチャ - 第2部:ユースケースと派生要件 | Published | 発行済 |
| ISO/IEC 20547-3:2020 | Information technology — Big data reference architecture — Part 3: Reference architecture | 情報技術 - ビッグデータ参照アーキテクチャ - 第3部: リファレンスアーキテクチャ | Published | 発行済 |
| ISO/IEC 20547-4:2020 | Information technology — Big data reference architecture — Part 4: Security and privacy | 情報技術 - ビッグデータ参照アーキテクチャ - 第4部:セキュリティとプライバシー | Published | 発行済 |
| ISO/IEC TR 205475:2018 | Information technology — Big data reference architecture — Part 5: Standards roadmap | 情報技術 - ビッグデータ参照アーキテクチャ - 第5部:標準化ロードマップ | Published | 発行済 |
| ISO/IEC 38507:2022 | Information technology — Governance of IT — Governance implications of the use of artificial intelligence by organizations | 情報技術 - ITのガバナンス - 組織による人工知能の利用がもたらすガバナンスの影響 | Published | 発行済 |
| ISO/TR 22100-5:2021 | Safety of machinery – Relationship with ISO 12100 – Part 5: Implications of embedded artificial intelligence machine learning | 機械の安全性-ISO12100との関係-第5部:組込み型人工知能機械学習の意味するところ | Published | 発行済 |
| ISO/IEC TR 24030:2021 | Artificial Intelligence (AI) Use cases | 人工知能(AI)ユースケース | Published (to be revised, new version expected in May 2023) | 発行(改訂予定、新版は2023年5月予定) |
| ISO/IEC CD TR 5469 | Artificial intelligence — Functional safety and AI systems | 人工知能 - 機能安全・AIシステム | 23-Apr | 2023.04 |
| ISO/IEC DIS 25059 | Software engineering — Systems and software Quality Requirements and Evaluation (SQuaRE) — Quality model for AI systems | ソフトウェア工学 - システムとソフトウェアの品質要求と評価(SQuaRE) - AIシステムのための品質モデル | 23-May | 2023.05 |
| ISO/IEC CD 5259-1 | Artificial intelligence — Data quality for analytics and machine learning (ML) — Part 1: Overview, terminology, and examples | 人工知能 - アナリティクスと機械学習(ML)のためのデータ品質 - 第1部:概要、用語、例 | 23-Jul | 2023.07 |
| ISO/IEC CD 5259-3 | Artificial intelligence — Data quality for analytics and machine learning (ML) — Part 3: Data quality management requirements and guidelines | 人工知能 - アナリティクスと機械学習(ML)のためのデータ品質 - 第3部:データ品質管理の要件とガイドライン | 23-Jul | 2023.07 |
| ISO/IEC CD 5259-4 | Artificial intelligence — Data quality for analytics and machine learning (ML) — Part 4: Data quality process framework | 人工知能 - アナリティクスと機械学習(ML)のためのデータ品質 - 第4部:データ品質プロセスフレームワーク | 23-Jul | 2023.07 |
| ISO/IEC AWI TS 8200 | Information technology — Artificial intelligence — Controllability of automated artificial intelligence systems | 情報技術 - 人工知能 - 自動化された人工知能システムの制御性 | 23-Jul | 2023.07 |
| ISO/IEC DIS 5338 | Information technology — Artificial intelligence — AI system life cycle processes | 情報技術 - 人工知能 - AIシステムのライフサイクルプロセス | 23-Aug | 2023.08 |
| ISO/IEC DIS 5339 | Information technology — Artificial intelligence — Guidance for AI applications | 情報技術 - 人工知能 - AI活用のためのガイダンス | 23-Aug | 2023.08 |
| ISO/IEC AWI TR 17903 | Information technology — Artificial intelligence — Overview of machine learning computing devices | 情報技術 - 人工知能 - 機械学習用演算装置の概要 | 23-Nov | 2023.11 |
| ISO/IEC CD 5259-2 | Artificial intelligence — Data quality for analytics and machine learning (ML) — Part 2: Data quality measures | 人工知能 - アナリティクスと機械学習(ML)のためのデータ品質 - 第2部:データ品質の測定法 | 24-Jan | 2023.01 |
| ISO/IEC AWI TS 6254 | Information technology — Artificial intelligence — Objectives and approaches for explainability of ML models and AI systems | 情報技術 - 人工知能 - MLモデルやAIシステムの説明可能性を高めるための目的とアプローチ | 24-Feb | 2023.02 |
| ISO/IEC AWI TS 12791 | Information technology — Artificial intelligence — Treatment of unwanted bias in classification and regression machine learning tasks | 情報技術 - 人工知能 - 分類・回帰の機械学習課題における不要なバイアスの処理について | 24-Feb | 2023.02 |
| ISO/IEC AWI TS 29119-11[1] | Software and systems engineering — Software testing — Part 11: Testing of AI system | ソフトウェアおよびシステム工学 - ソフトウェアテスト - 第11部:AIシステムのテスト | 24-Feb | 2023.02 |
| ISO/IEC AWI 5259-5 | Artificial intelligence — Data quality for analytics and machine learning (ML) — Part 5: Data quality governance | 人工知能 - アナリティクスと機械学習(ML)のためのデータ品質 - 第5部:データ品質ガバナンス | 25-Feb | 2023.02 |
| ISO/IEC AWI 12792 | Information technology — Artificial intelligence — Transparency taxonomy of AI systems | 情報技術 - 人工知能 - AIシステムの透明性タクソノミー | 25-Feb | 2023.02 |
| ISO/IEC AWI TS 5471 | Quality evaluation guidelines for AI systems | AIシステムの品質評価ガイドライン | Under consideration | 検討中 |
| ISO/IEC DIS 5392 | Information technology — Artificial intelligence — Reference architecture of knowledge engineering | 情報技術 - 人工知能 - 知識工学の参照アーキテクチャ | Under development | 開発中 |
Comments