« May 2023 | Main | July 2023 »

June 2023

2023.06.30

デジタル庁 「DS-500 行政手続におけるオンラインによる本人確認の手法に関するガイドライン」の改定に向けた中間取りまとめ

こんにちは、丸山満彦です。

デジタル庁が、DS-500 行政手続におけるオンラインによる本人確認の手法に関するガイドライン」の改定に向けた中間取りまとめを公表しています。ベースが米国のSP800-63で、改訂されているので、そのタイミングというのもあるのでしょうね。。。

 

デジタル庁 - デジタル社会推進標準ガイドライン

・トラストに関するドキュメント

・DS-500 行政手続におけるオンラインによる本人確認の手法に関するガイドライン

・2023.06.29 [PDF] (参考)改定に向けた中間取りまとめ(2023年6月)

20230630-121306

 

 

変更の背景は、、、


NIST SP 800-63の改定
• ベース文書であるSP 800-63がRevision 4へと改定される動き。

国内の動向
• 民間事業者向け本人確認ガイドラインが制定(2023/3/20 OIDF-Jより公開)

マイナンバー関連の動向
• マイナンバーカードの普及と利活用の推進、スマホ搭載の開始(予定)
• マイナンバー法の改正(予定)

GビズID関連の動向
• GビズIDの普及と利活用の推進

現行ガイドラインの課題
• 現行ガイドラインに内在する既知の課題、利用者からの意見・改善要望等

その他の諸外国の動向
• eIDAS 2.0 / eID / Digital Identity Wallet
• New Zealand Identification Management Standards
• CISA Phishing-Resistant MFA ...


 

検討の方向性


① 保証レベルの見直し

② リスク評価手法の見直し

③ 本人確認手法例の最新化と分冊化



これ、重要ですね。。。

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.06.10 NIST mDL モバイル端末に運転免許証... (2023.06.01)

・2023.01.14 米国 NIST SP 800-157 Rev. 1 (ドラフト) 派生した個人アイデンティティ検証 (PIV) クレデンシャルに関するガイドライン

・2023.01.12 米国 NIST SP 800-217 (ドラフト) アイデンティティ検証(PIV)連携に関するガイドライン

・2022.12.19 NIST SP 800-63-4 (ドラフト) デジタル・アイデンティティ・ガイドライン 、63A-4 (ドラフト) 登録と身元確認、63B-4 (ドラフト) 本人認証とライフサイクル管理、63C-4 (ドラフト) 連携とアサーション

・2022.01.25 NIST FIPS 201-3 連邦職員および委託業者のアイデンティティの検証(PIV)

・2021.06.17 NISTIR 8335 (Draft) 公共安全機関 (PSO) のためのIDaaS

・2021.06.11 NISTIR 8336 (Draft) 公共安全コミュニティのためのID連携技術の背景

・2020.11.05 NIST FIPS 201-3 (Draft) Personal Identity Verification (PIV) of Federal Employees and Contractors 連邦政府職員および委託業者の個人認証(PIV)について

・2020.06.11 NIST SP 800-63-4(Draft) PRE-DRAFT Call for Comments: Digital Identity Guidelines

・2020.03.17 ENISA eIDAS準拠のeIDソリューションに関する報告書

・2020.03.07 NIST SP800-63-3 Digital Identity GuidelinesにEditorialな修正がありました

 

| | Comments (0)

中国サイバーセキュリティ産業アライアンス 中国サイバーセキュリティ市場と企業競争力分析2023年レポートを発表 (2023.06.25)

こんにちは、丸山満彦です。

中国のサイバーセキュリティの業界団体(中国サイバーセキュリティ産業アライアンス)中国サイバーセキュリティ市場と企業競争力分析2023年レポートを発表していますね。。。

  • 2022年の中国サイバーセキュリティ市場規模は約633億元(9.2兆円)で、前年比成長率は3.1%
  • 上位4社の市場シェアは2018年の22%から2022年には29%に上昇しており、少数の有力企業に市場が集中する傾向が見られる。

  • 業界への参入障壁が高まり競争が激化する中、新興企業は競争力を維持するために革新的で差別化された方法を見つける必要がある。

  • 国内サイバーセキュリティ市場の成長はマクロ経済の影響を受けており、地域別の成長率に応じてサイバーセキュリティ市場の成長も不均衡となっている。
  • サイバーセキュリティ企業は国家の「一帯一路」戦略に従い、積極的に海外市場を開拓した。
    奇安信、斉安信、グリーンアライアンスなどのトップ企業の海外事業は順調に発展

  • 2023年注目の6領域は、「デジタル経済」、「人工知能」、「データセキュリティ」、「コンプライアンス」、「信用創造の加速」、「サービス指向の変革」

1_20230630110101

中国网络安全产业联盟

・2023.06.25 《2023年中国网络安全市场与企业竞争力分析》报告发布

《2023年中国网络安全市场与企业竞争力分析》报告发布 中国サイバーセキュリティ市場と企業競争力分析2023年レポートを発表
2023/6/25 2023/6/25
2023年6月20日,中国网络安全产业联盟(CCIA)发布《2023年中国网络安全市场与企业竞争力分析》报告(以下称《报告》)。该报告由数说安全提供研究支持,从网络安全产业规模及增速、行业集中度、主要企业市场占有率、市场区域分布、客户与行业分布、企业数量及分布、行业六大趋势、市场采购趋势、市场竞争格局等多个维度分析网络安全市场与企业竞争力。 2023年6月20日、中国サイバーセキュリティ産業連盟(CCIA)は、「中国サイバーセキュリティ市場と企業の競争力分析2023」(以下、報告書)を発表した。 本レポートは、Digital Security社の調査に基づき、サイバーセキュリティ産業の規模と成長率、産業の集中度、主要企業の市場シェア、市場の地域分布、顧客と産業の分布、企業の数と分布、6つの産業動向、市場調達動向、市場競争のパターンなど、多面的にサイバーセキュリティ市場と企業の競争力を分析している。
《报告》旨在客观、真实准确反映当前我国网络安全市场情况,评估网络安全企业竞争力情况,研究网络安全市场格局演变趋势,希望能够为产业相关从业者提供有效参考。 本報告書は、中国のサイバーセキュリティ市場の現状を客観的、真正、正確に反映し、サイバーセキュリティ企業の競争力を評価し、サイバーセキュリティ市場パターンの進化傾向を研究し、業界関連の実務者に有効な参考資料を提供することを目的としている。
核心发现 核心的な調査結果
2022年我国网络安全市场规模约为633亿元,同比增长率为3.1%。近三年行业总体保持增长态势,但受宏观经济影响,网络安全行业增速出现一定波动。 2022年の中国サイバーセキュリティ市場規模は約633億元で、前年比成長率は3.1%である。 過去3年間、業界は全体的な成長傾向を維持してきたが、サイバーセキュリティ業界の成長率はマクロ経済の影響により多少変動している。
2018-2022年头部企业的市场份额呈现出上升趋势。尤其是前四名企业的市场份额已经从2018年的21.71%提升到2022年的28.59%,显示出市场向少数领先企业集中的趋势。行业进入门槛提高,行业竞争加剧,创业企业需要找到创新和差异化的方式保持竞争力。 上位企業の市場シェアは2018年から2022年にかけて上昇傾向を示した。 特に上位4社の市場シェアは2018年の21.71%から2022年には28.59%に上昇しており、少数の有力企業に市場が集中する傾向が見られる。 業界への参入障壁が高まり競争が激化する中、新興企業は競争力を維持するために革新的で差別化された方法を見つける必要があるだろう。
从全局的角度来看,经济发达地区,如华北、华东和华南地区,对网络安全的投入在加大,因此22年区域市场占比有所提升。从省份角度来看,网络安全市场整体项目量大部分省份在22年增速保持正增长。受宏观经济形势影响,各省份增速分化较为明显,国内网络安全市场省份分布呈现不均衡发展态势。网络安全企业紧跟国家“一带一路”战略,积极探索海外市场。深信服、奇安信和绿盟等头部企业海外业务发展良好,创新型企业积极尝试突破,22年取得一定成绩,海外市场占比小幅提升。预计未来海外市场将成为中国网络安全企业新的业务增长点。 世界的に見ると、中国北部、東部、南部など経済的に発展した地域はサイバーセキュリティへの投資を増やしており、そのため22年度の地域別市場シェアは上昇した。 地方別に見ると、サイバーセキュリティ市場全体のプロジェクト量では、ほとんどの地方が22年度もプラスの成長率を維持した。 マクロ経済情勢に影響され、各省の成長率はより明白であり、国内サイバーセキュリティ市場の地方分布は不均等な発展傾向を示している。 サイバーセキュリティ企業は国家の「一帯一路」戦略に従い、積極的に海外市場を開拓した。 ディープインパクト、斉安信、グリーンアライアンスなどのトップ企業の海外事業は順調に発展しており、革新的な企業は積極的に突破口を開こうとしており、22年に一定の成果を上げ、海外市場の割合が少しずつ増加している。 今後、海外市場は中国サイバーセキュリティ企業の新たなビジネス成長点になると予想される。
根据统计2018年至今,中国网络安全客户总量超过15.8万家, 2022年我们跟踪到有网安项目采购行为的客户有67183家,过去三年持续在网络安全投入的客户超过2万家。从客户区域分布情况来看,我国网络安全客户分布与GDP有较强相关性,呈现区域聚集效应。从行业角度来看网络安全市场项目分布,政府行业因客户数量多,政策监管严格,项目需求量大,在行业中依然占据主导。 2018年これまでの統計によると、中国のサイバーセキュリティ顧客総数は15万8000社を超え、2022年にはサイバーセキュリティプロジェクトの調達行動をとった顧客6万7183社、過去3年間にサイバーセキュリティへの投資を継続した顧客2万社以上を追跡した。 顧客の地域分布から見ると、中国のサイバーセキュリティ顧客分布とGDPには強い相関関係があり、地域集積効果が見られる。 サイバーセキュリティ市場のプロジェクト分布の業界観から見ると、顧客数が多く、政策規制が厳しく、プロジェクト需要が高いため、依然として政府業界が業界を支配している。
2023年上半年我国共有3984家公司开展网络安全业务,同比增长22.4%。 2023年上半期、中国でサイバーセキュリティ事業を行う企業は3,984社で、前年同期比22.4%増加した。
2023年中国网络安全产业六大发展趋势包括:数字经济、人工智能、数据安全、合规先行、信创加速、服务化转型。 2023年における中国のサイバーセキュリティ業界の6大発展トレンドは、デジタル経済、人工知能、データセキュリティ、コンプライアンス、信用創造の加速、サービス指向の変革である。

 

 

| | Comments (0)

BIS 銀行のサイバーセキュリティ - 第二世代の規制アプローチ (2023.06.12)

こんにちは、丸山満彦です。

BISが銀行のサイバーセキュリティ・第二世代の規制アプローチが公表していますね。。。

レジリエンス推しですね。。。

 

2017年に発表した(第一世代)の規制アプローチとの比較

  1st generation (2017 paper) 2nd generation (2023 paper)
Conceptual underpinning Focus on building "strong perimeter" More embedded " assume breach" mentality
Scope Aligned with IT/ICT and information security framework In addition, aligned with operational resilience framework
Emphasis on enhancing security capabilities Emphasis on improving resilience capabilities
Guidance/expectations regarding cyber risk management and (typical) security controls In addition, guidance/expectations regarding key aspects of cyber resilience framework
Requirements Third-party dependencies largely managed through outsourcing lens Third-party dependencies increasingly becoming a key part of cyber resilience framework
Types of rules (i) Leverage existing regulations and (ii) "all-in-one" cybersecurity frameworks In addition, (iii) principles plus baseline requirements
Tailoring Apply proportionality approach
References In addition to SSB & G7 guidance, well-established technical standards on cyber & information security
     
  第1世代(2017年論文) 第2世代(2023年)
概念的な裏付け 強固な境界 の構築に重点を置く 違反を想定する」メンタリティをより根付かせる
スコープ IT/ICTおよび情報セキュリティのフレームワークと整合している さらに、オペレーショナル・レジリエンスのフレームワークと整合させる。
要求事項 セキュリティ能力の強化に重点を置く レジリエンス能力の改善を重視する。
サイバーリスクマネジメントと(典型的な)セキュリティ管理に関するガイダンス/期待 さらに、サイバーレジリエンス・フレームワークの主要な側面に関するガイダンス/期待
サードパーティの依存関係は、アウトソーシングの視点を通じて管理される。 サードパーティの依存関係は、サイバーレジリエンスの枠組みの重要な部分となりつつある。
規則の種類 (i) 既存の規制及び(ii) 「オールインワン」のサイバーセキュリティフレームワークを活用する。 さらに、(iii) 原則とベースライン要件が追加される。
テーラリング 比例的アプローチを適用する
参考資料 SSBとG7のガイダンスに加え、サイバー・セキュリティと情報セキュリティに関する確立された技術標準がある。

 

BIS - Research at BIS

・2023.06.12 Banks' cyber security - a second generation of regulatory approaches (FSI Insights on policy implementation No 50)

Banks' cyber security - a second generation of regulatory approaches 銀行のサイバーセキュリティ-第二世代の規制アプローチ
This paper revisits cyber regulations in jurisdictions covered in a previous paper, as well as examining those issued in other jurisdictions. The paper finds that many jurisdictions, including in emerging market and developing economies, have introduced or enhanced bank cyber regulations in the past few years. This highlights that cyber security is a top priority for bank supervisory authorities worldwide. Moreover, cyber regulations have evolved and recent ones could be described as "second-generation". These newer regulations have a more embedded "assume breach" mentality and hence are more aligned with operational resilience concepts. As such, they focus on improving cyber resilience and providing banks and supervisors with specific tools to achieve this. Work by standard-setting bodies and the G7 have been instrumental in achieving convergence in cyber regulations but there may be scope to seek further convergence in testing the effectiveness of cyber resilience measures and third-party cyber risk management. 本稿では、前稿で取り上げた法域のサイバー規制を再検討するとともに、他の法域で発行された規制についても検討する。本稿では、新興市場や発展途上国を含む多くの国・地域が、ここ数年で銀行のサイバー規制を導入または強化していることを明らかにしている。これは、サイバーセキュリティが世界中の銀行監督当局にとって最優先事項であることを浮き彫りにしている。さらに、サイバー規制は進化しており、最近のものは「第二世代」と言える。これらの新しい規制は、「侵害を想定する」という考え方をより深く組み込んでいるため、オペレーショナル・レジリエンスの概念に沿ったものとなっている。そのため、これらの規制はサイバーレジリエンスを改善することに重点を置いており、そのための具体的なツールを銀行や監督当局にプロバイダしている。標準設定団体とG7による取り組みは、サイバー規制の収斂を達成する上で役立ってきたが、サイバーレジリエンス対策と第三者によるサイバーリスクマネジメントの有効性をテストする上で、さらなる収斂を求める余地があるかもしれない。

 

・[PDF] Full text

20230629-155540

・[DOCX] 仮訳

 

エグゼクティブサマリー

・[PDF] Executive summary

20230629-155725

 

Executive summary  エグゼクティブサマリー 
Cyber resilience continues to be a top priority for the financial services industry and a key area of attention for financial authorities. This is not surprising given that cyber incidents pose a significant threat to the stability of the financial system and the global economy. The financial system performs a number of key activities that support the real economy (eg deposit taking, lending, payments and settlement services). Cyber incidents can disrupt the information and communication technologies that support these activities and can lead to the misuse and abuse of data that such technologies process or store. This is complicated by the fact that the cyber threat landscape keeps evolving and becoming more complex amid continuous digitalisation, increased third-party dependencies and geopolitical tensions. Moreover, the cost of cyber incidents has continuously and significantly increased over the years.   サイバーレジリエンスは、金融サービス業界にとって引き続き最優先事項であり、金融当局にとっても重要な注目分野である。サイバー事件が金融システムと世界経済の安定に重要な脅威を与えていることを考えれば、これは驚くべきことではない。金融システムは、実体経済を支える重要な活動を数多く行っている(預金、融資、決済サービスなど)。サイバーインシデントは、こうした活動を支える情報通信技術を混乱させ、そうした技術が処理または保存するデータの悪用や乱用につながる可能性がある。これは、継続的なデジタル化、第三者への依存度の増加、地政学的緊張の中で、サイバー脅威の状況が進化し続け、複雑化しているという事実によって複雑化している。さらに、サイバーインシデントのコストは年々継続的かつ大幅に増加している。  
This paper updates Crisanto and Prenio (2017) by revisiting the cyber regulations in the jurisdictions covered in that paper, as well as examining those issued in other jurisdictions. Aside from cyber regulations in Hong Kong SAR, Singapore, the United Kingdom and the United States, which the 2017 paper covered, this paper examines cyber regulations in Australia, Brazil, the European Union, Israel, Kenya, Mexico, Peru, Philippines, Rwanda, Saudi Arabia and South Africa. The jurisdictions were chosen to reflect cyber regulations in both advanced economies (AEs) and emerging market and developing economies (EMDEs). This highlights the fact that since 2017 several jurisdictions – including EMDEs – have put cyber regulations in place.   本稿では、Crisanto and Prenio (2017)を更新し、同論文で取り上げた法域のサイバー規制を再検討するとともに、他の法域で発行されたサイバー規制についても検討する。2017年の論文で取り上げた香港特別行政区、シンガポール、英国、米国のサイバー規制の他に、本稿ではオーストラリア、ブラジル、欧州連合、イスラエル、ケニア、メキシコ、ペルー、フィリピン、ルワンダ、サウジアラビア、南アフリカのサイバー規制を検証する。先進経済国(AEs)と新興市場・発展途上経済国(EMDEs)の両方におけるサイバー規制を反映させるために、国・地域が選ばれた。これは、2017年以降、EMDEsを含むいくつかの国・地域がサイバー規制を導入したという事実を浮き彫りにしている。  
There remain two predominant approaches to the regulation of banks’ cyber resilience: the first leverages existing related regulations and the second involves issuing comprehensive regulations. The first approach takes as a starting point regulations on operational risk, information security etc and add cyber-specific elements to them. Here, cyber risk is viewed as any other risk and thus the general requirements for risk management, as well as the requirements on information security and operational risks, also apply. This approach is more commonly observed in jurisdictions that already have these related regulations firmly established. The second approach seeks to cover all aspects of cybersecurity, from governance arrangements to operational procedures, in one comprehensive regulation. In both approaches, to counter the risks that might result from having too much prescriptiveness in cyber regulations, some regulations combine broad cyber resilience principles with a set of baseline requirements. Regardless of the regulatory approach taken, the proportionality principle is given due consideration in the application of cyber resilience frameworks.  一つは既存の関連規制を活用するもので、もう一つは包括的な規制を発行するものである。第一のアプローチは、オペレーショナルリスクや情報セキュリティなどに関する規制を出発点とし、それらにサイバーに特化した要素を加えるものである。この場合、サイバーリスクは他のリスクと同様に捉えられるため、情報セキュリティやオペレーショナルリスクに関する要件と同様に、リスクマネジメントに関する一般的な要件も適用される。このアプローチは、既にこれらの関連規制がしっかりと確立されている法域でより一般的に観察される。2つ目のアプローチは、ガバナンスの取り決めから運用手続きに至るまで、サイバーセキュリティのあらゆる側面を1つの包括的な規制でカバーしようとするものである。いずれのアプローチにおいても、サイバー規制において規定が多すぎることから生じるリスクに対抗するため、一部の規制は、広範なサイバーレジリエンスの原則と一連の基本要件を組み合わせている。どのような規制アプローチが採られるにせよ、サイバーレジリエンスの枠組みの適用にあたっては、比例原則が十分に考慮される。 
Whether as part of related regulations or separate comprehensive ones, recent cyber security policies have evolved and could be described as “second-generation” cyber regulations. The “first generation” cyber regulations, which were issued mainly in AEs, focused on establishing a cyber risk management approach and controls. Over the last few years, authorities, including those in EMDEs, have issued new or additional cyber regulations. These second-generation regulations have a more embedded “assume breach” mentality and hence are more aligned with operational resilience concepts. As such, they focus on improving cyber resilience and providing financial institutions and authorities with specific tools to achieve this.  関連規制の一部であれ、個別の包括的なものであれ、最近のサイバーセキュリティ政策は進化しており、「第二世代」のサイバー規制と言える。「第一世代」のサイバー規制は、主にAEsで発行され、サイバーリスクマネジメントのアプローチとコントロールの確立に重点を置いていた。ここ数年の間に、新興国の当局も含め、新規または追加のサイバー規制が発行された。これらの第 2 世代の規制は、「侵害を想定する」という考え方をより組み込んだものであるため、オペレーショナル・レジリエンス の概念に沿ったものとなっている。そのため、これらの規制はサイバーレジリエンスを改善することに重点を置いており、そのための具体的なツールを金融機関や当局に提供している。 
The “second-generation” regulations leverage existing policy approaches to provide additional specific guidance to improve cyber resilience. Cyber security strategy, cyber incident reporting, threat intelligence sharing and cyber resilience testing are still the primary focus of the newer regulations. Managing cyber risks that could arise from connections with third-party service providers has become a key element of the “second generation” cyber security framework. Moreover, there are now more specific regulatory requirements on cyber incident response and recovery, as well as on incident reporting and cyber resilience testing frameworks. In addition, regulatory requirements or expectations relating to issues such as cyber resilience metrics and the availability of appropriate cyber security expertise in banks have been introduced in a few jurisdictions.  「第二世代」の規制は、既存の政策アプローチを活用し、サイバーレジリエンスを改善するための具体的なガイダンスを追加している。サイバーセキュリティ戦略、サイバーインシデント報告、サイバー脅威情報の共有、サイバーレジリエンス試験は、依然として新しい規制の主な焦点である。サードパーティのサービス・プロバイダとの接続から生じる可能性のあるサイバー・リスクのマネジメントは、「第2世代」サイバー・セキュリティの枠組みの重要な要素となっている。さらに、サイバーインシデントへの対応と復旧、インシデント報告やサイバーレジリエンステストの枠組みについて、より具体的な規制要件が設けられるようになった。加えて、サイバーレジリエンスの指標や銀行における適切なサイバーセキュリティの専門家の利用可能性といった問題に関連する規制要件や期待も、いくつかの法域で導入されている。 
Authorities in EMDEs tend to be more prescriptive in their cyber regulations. Cyber security strategy, governance arrangements – including roles and responsibilities – and the nature and frequency of cyber resilience testing are some of the areas where EMDE authorities provide prescriptive requirements. This is approach seems to be connected to the need to strengthen the cyber resilience culture across the financial sector, resource constraints and/or the lack of sufficient cyber security expertise in these jurisdictions. Hence, EMDE authorities may see the need to be clearer in their expectations to make sure banks’ boards and senior management invest in cyber security and banks’ staff know exactly what they need to do.   新興国の当局は、サイバー規制においてより規定的である傾向がある。サイバーセキュリティ戦略、役割と責任を含むガバナンスの取り決め、サイバーレジリエンステストの性質と頻度などは、EMDE当局が規定的な要件を定めている分野の一部である。このようなアプローチは、金融セクター全体のサイバーレジリエンス文化を強化する必要性、リソースの制約、および/またはこれらの法域における十分なサイバーセキュリティの専門知識の欠如に関連しているように思われる。したがって、EMDE当局は、銀行の取締役会や上級管理職がサイバーセキュリティに投資し、銀行の行員が何をすべきかを正確に把握できるようにするため、期待事項をより明確にする必要があると考えるかもしれない。  
International work has resulted in a convergence in cyber resilience regulations and expectations in the financial sector, but more could be done in some areas. Work by the G7 Cyber Expert Group (CEG) and the global standard-setting bodies (SSBs) on cyber resilience has facilitated consistency in financial regulatory and supervisory expectations across jurisdictions. This is necessary given the borderless nature of cyber crime and its potential impact on global financial stability. Another area where there might be scope for convergence is the way in which authorities assess the cyber resilience of supervised institutions. This could, for example, include aligning the assessment of adequacy of a firm’s cyber security governance, workforce and cyber resilience metrics. Lastly, there might be scope to consider an international framework for critical third-party providers, in particular cloud providers, given the potential cross-border impact of a cyber incident in one of these providers.  国際的な取り組みにより、金融セクターにおけるサイバーレジリエンスに関する規制や期待は収束しつつあるが、いくつかの分野ではさらに多くのことができるはずである。G7サイバーエキスパート・グループ(CEG)や世界の標準設定団体(SSBs)によるサイバーレジリエンスに関する取り組みは、金融規制や監督上の期待に国・地域間の一貫性を持たせることを促進した。これは、サイバー犯罪のボーダーレスな性質と、それが世界の金融の安定に与える潜在的な影響を考えれば、必要なことである。収斂の余地があると思われるもう一つの分野は、当局が監督対象機関のサイバーレジリエンスを評価する方法である。これには例えば、企業のサイバーセキュリティ・ガバナンス、労働力、サイバーレジリエンスの評価基準の適切性の評価を一致させることが含まれる。最後に、重要なサードパーティプロバイダー、特にクラウドプロバイダーについては、これらのプロバイダーにおけるサイバーインシデントが国境を越えて影響を及ぼす可能性があることから、国際的な枠組みを検討する余地があるかもしれない。 

 

 

第一世代の時...

・2017.08.02 Regulatory approaches to enhance banks' cyber-security frameworks (FSI Insights on policy implementation No 2)

Regulatory approaches to enhance banks' cyber-security frameworks 銀行のサイバーセキュリティ体制を強化するための規制的アプローチ
Recent high-profile cyber-attacks on financial institutions have focused attention on the need to strengthen cyber-security. Banks have the most public-facing products and services, and are thus significantly vulnerable to potential cyber-attacks. Consequently, cyber-risk is a major concern for most bank supervisors. However, only a handful of jurisdictions have specific regulatory and supervisory initiatives that seek to address banks' cyber-risk; these notably include Hong Kong SAR, Singapore, the United Kingdom and the United States. This paper therefore analyses the regulatory and supervisory frameworks for banks' cyber-risk in these jurisdictions. It notes that, while there may be different views on the need to specifically regulate cyber-risk or how prescriptive these regulations should be, some common regulatory requirements are now emerging. Moreover, the supervisory approaches to assessing banks' cyber-risk vulnerability and resilience seem to be converging towards a "threat-informed" or "intelligence-led" framework. The paper also offers some high-level policy considerations, which may be helpful for banking supervisory authorities contemplating or planning to introduce or enhance cyber-risk regulation and supervision for banks. 金融機関を狙った最近話題のサイバー攻撃により、サイバーセキュリティ強化の必要性に注目が集まっている。銀行は最も一般消費者に接する商品やサービスを提供しているため、潜在的なサイバー攻撃に対して極めて脆弱である。その結果、サイバーリスクはほとんどの銀行監督当局にとって大きな関心事となっている。しかし、銀行のサイバーリスクに対処しようとする具体的な規制・監督上のイニシアチブをとっている国・地域は、香港特別行政区、シンガポール、英国、米国など、ほんの一握りに過ぎない。そこで本稿では、これらの法域における銀行のサイバーリスクに関する規制・監督の枠組みを分析する。サイバーリスクに特化した規制の必要性や、規制の具体的な内容については見解が分かれるかもしれないが、現在ではいくつかの共通の規制要件が生まれつつあることを指摘している。さらに、銀行のサイバーリスクの脆弱性とレジリエンスを評価する監督当局のアプローチは、「脅威情報」または「インテリジェンス主導」の枠組みへと収束しつつあるようだ。本稿はまた、銀行に対するサイバーリスク規制・監督の導入・強化を検討・計画している銀行監督当局にとって参考となるような、ハイレベルな政策的検討事項も提示している。

 

・[PDF

20230630-42655

 

 

| | Comments (0)

2023.06.29

米国 CISA クラウドサービス・ガイダンス、参考資料を公表

こんにちは、丸山満彦です。

CISAが、セキュア・クラウド・ビジネス・アプリケーション (SCuBA) プロジェウトの一環として、クラウドサービスのガイダンスを公表していますね。。。

こういうのが作れるのはUSですよね。。。

まだ、さっとしか読んでいませんが、ちゃんと読んでおきたいなぁと思いました。。。

 

● CISA

プレスリリース...

・2023.06.27 CISA Releases Cloud Services Guidance and Resources

CISA Releases Cloud Services Guidance and Resources CISAがクラウドサービス・ガイダンスとリソースを発表
Final guidance and resources help agencies adopt necessary security and resilience best practices for utilizing cloud services    最終ガイダンスとリソースは、各省庁がクラウド・サービスを利用するために必要なセキュリティとレジリエンスのベスト・プラクティスを導入するのに役立つ   
WASHINGTON – Today, CISA released the first series of final security guidance resources under our Secure Cloud Business Applications (SCuBA) project: the Extensible Visibility Reference Framework (eVRF) Guidebook and a Technical Reference Architecture (TRA) document. With input from public comment period in 2022, the final guidance documents help public and private entities implement necessary security and resilience best-practices for their cloud services.   ワシントン発 - 本日、CISAは、セキュア・クラウド・ビジネス・アプリケーション(SCuBA)プロジェクトにおける一連の最終セキュリティ・ガイダンス・リソースの第1弾として、拡張可能な可視性参照フレームワーク(eVRF)ガイドブックと技術参照アーキテクチャ(TRA)文書をリリースした。2022年のパブリック・コメント期間からの意見を反映した最終ガイダンス文書は、公共および民間の事業体がクラウド・サービスに必要なセキュリティとレジリエンスのベスト・プラクティスを導入するのに役立つ。        
The eVRF Guidebook provides an overview of the eVRF framework, which enables organizations to identify visibility data, mitigate threats, and understand the extent to which specific products and services provide visibility data and identify where potential gaps exist.   ・eVRFガイドブックは、組織が可視化データを特定し、脅威を軽減し、特定の製品やサービスがどの程度可視化データを提供しているかを理解し、潜在的なギャップが存在する場所を特定することを可能にするeVRFフレームワークの概要を提供する。  
The TRA Document is a security guide that organizations can use to adopt technology for cloud deployment, adaptable solutions, secure architecture, and zero trust frameworks.  ・TRAドキュメントは、組織がクラウド展開、適応可能なソリューション、安全なアーキテクチャ、ゼロ・トラスト・フレームワークの技術を採用する際に使用できるセキュリティガイドである。 
"As evidenced by supply chain compromises and associated cyber threat campaigns, persistent threat actors continue to evolve their capabilities with the intent to compromise federal government networks and critical infrastructure, whether on on-premises or cloud-based environments,” said CISA Executive Assistant for Cybersecurity, Eric Goldstein. “The final eVRF and TRA provides all organizations, including federal agencies, with adaptable, flexible, and timely guidance. These resources will help organizations address cybersecurity and visibility gaps that have long hampered our collective ability to adequately understand and manage cyber risk.”      「サプライチェーンの侵害や関連するサイバー脅威キャンペーンで明らかなように、持続的脅威行為者は、オンプレミス環境であれクラウドベース環境であれ、連邦政府のネットワークや重要インフラを侵害する意図を持って、その能力を進化させ続けている」と、CISAサイバーセキュリティ担当エグゼクティブ・アシスタントのエリック・ゴールドスタインは述べた。「最終的なeVRFとTRAは、連邦政府機関を含むすべての組織に、適応可能で柔軟かつタイムリーなガイダンスを提供する。これらのリソースは、サイバーリスクを適切に理解しマネジメントする我々の能力を長い間妨げてきたサイバーセキュリティと可視性のギャップを解決するのに役立つだろう。     
The SCuBA project provides guidance and capabilities to secure cloud business application environments and protect information created, accessed, shared, and stored in those environments. The eVRF Guidebook and TRA document further the project’s goal of developing consistent, effective, modern, and manageable security configurations to help organizations adopt necessary cloud-focused security and resilience practices.   SCuBAプロジェクトは、クラウド・ビジネス・アプリケーション環境を保護し、そこで作成、アクセス、共有、保存される情報を保護するためのガイダンスと機能を提供する。eVRFガイドブックとTRAドキュメントは、一貫性があり、効果的で、最新かつ管理可能なセキュリティ構成を開発し、組織がクラウドに焦点を当てた必要なセキュリティとレジリエンスを実践できるようにするというプロジェクトの目標をさらに推進するものである。  
To download the eVRF Guidebook and TRA document, visit Secure Cloud Business Applications (SCuBA).  eVRFガイドブックとTRA文書をダウンロードするには、Secure Cloud Business Applications (SCuBA)を参照のこと。 

 

Secure Cloud Business Applications (SCuBA) Project

Secure Cloud Business Applications (SCuBA) Project セキュア・クラウド・ビジネス・アプリケーション(SCuBA)プロジェクト
Secure Cloud Business Applications (SCuBA) セキュア・クラウド・ビジネス・アプリケーション(SCuBA)
Description プロジェクト概要
The Secure Cloud Business Applications (SCuBA) project provides guidance and capabilities to secure agencies’ cloud business application environments and protect federal information that is created, accessed, shared and stored in those environments. SCuBA will help secure federal civilian executive branch (FCEB) information assets stored within cloud environments through consistent, effective, modern, and manageable security configurations. セキュア・クラウド・ビジネス・アプリケーション(SCuBA)プロジェクトは、各省庁のクラウド・ビジネス・アプリケーション環境を保護し、それらの環境で作成、アクセス、共有、保存される連邦情報を保護するためのガイダンスと機能を提供する。SCuBAは、一貫性があり、効果的で、最新かつ管理可能なセキュリティ設定を通じて、クラウド環境内に保存される連邦文民行政機関(FCEB)の情報資産の安全確保を支援する。
This project accelerates CISA cybersecurity shared services offerings, strengthens its relationship with other agencies, and supports CISA’s role leading federal efforts to mitigate cybersecurity risks to the nation, its execution of security requirements, and the Department of Homeland Security (DHS) cybersecurity mission. このプロジェクトは、CISAのサイバーセキュリティ共有サービス提供を加速し、他省庁との関係を強化し、国家に対するサイバーセキュリティ・リスクを軽減する連邦政府の取り組みを主導するCISAの役割、セキュリティ要件の実行、国土安全保障省(DHS)のサイバーセキュリティ使命を支援する。
For information not provided, please refer to the Frequently Asked Questions, or email [mail]. 提供されていない情報については、「よくある質問」を参照するか、[mail] にメールを。
Current Status 現在の状況
In October 2022, CISA published the Microsoft 365 baselines and encouraged FCEB agencies to pilot and provide feedback. The public comment period ended on December 16, 2022. 2022年10月、CISAはMicrosoft 365ベースラインを公表し、FCEB機関に試験運用とフィードバックの提供を促した。パブリックコメント期間は2022年12月16日に終了した。
The SCuBA Technical Reference Architecture (TRA) and Extensible Visibility Reference Framework (eVRF) Guidebook were finalized and published June 27, 2023.  SCuBA 技術参照アーキテクチャー(TRA)および拡張可能な可視性参照フレームワーク(eVRF) ガイドブックが最終化され、2023 年 6 月 27 日に発行された。 
CISA released the Hybrid Identity Solutions Architecture guidance document for comment in March 2023. The public comment period ended on April 19th, 2023. CISA は 2023 年 3 月にハイブリッド ID ソリューション・アーキテクチャ指針文書を公開し、コ メントを求めた。パブリックコメント期間は 2023 年 4 月 19 日に終了した。
CISA eVRF & TRA CISA eVRF および TRA
CISA requested public comment on the TRA and eVRF in the first phase of the SCuBA project to ensure our guidance enables the best flexibility to keep pace with evolving technologies and capabilities and protect the federal enterprise. CISA は、SCuBA プロジェクトの第 1 フェーズで TRA と eVRF に関するパブリック・コメントを要求し た。これは、ガイダンスが進化する技術と能力に対応し、連邦エンタープライズを防御するための最 善の柔軟性を確保するためである。
CISA's intent is to properly address cybersecurity and visibility gaps within cloud-based business applications that have hampered our collective ability to adequately understand and manage cyber risk across the Federal and IT enterprise. In addition, CISA is working towards guidance on recommended cybersecurity configuration based for select products that is likely to be released in the coming months. CISAの意図は、連邦政府とITエンタープライズ全体のサイバーリスクを適切に理解し管理する能力を妨げてきた、クラウドベースのビジネスアプリケーション内のサイバーセキュリティと可視性のギャップに適切に対処することである。さらに、CISAは、今後数カ月以内にリリースされる可能性が高い、特定の製品に基づく推奨サイバーセキュリティ構成に関するガイダンスに向けて取り組んでいる。
CISA has now finalized the TRA and eVRF documents. CISAは現在、TRAとeVRFの文書を確定している。
SCuBA TRA SCuBA TRA
The SCuBA TRA is a security guide that agencies can use to adopt technology for cloud deployment, adaptable solutions, secure architecture and zero trust frameworks.  It is available for download. SCuBA TRAは、クラウド展開、適応可能なソリューション、セキュアなアーキテクチャ、ゼロ・トラスト・フレームワークなどの技術を採用する際に機関が利用できるセキュリティガイドである。  ダウンロード可能である。
eVRF eVRF
The eVRF Guidebook provides an overview of the eVRF framework, which enables organizations to identify visibility data that can be used to mitigate threats, understand the extent to which specific products and services provide that visibility data, and identify potential visibility gaps.   eVRFガイドブックは、組織が脅威を軽減するために使用できる可視性データを特定し、特定の製品やサービスがどの程度その可視性データを提供しているかを理解し、潜在的な可視性ギャップを特定することを可能にするeVRFフレームワークの概要を提供する。  
The eVRF consists of a guidance document, two product-specific workbook overviews, and two product-specific workbooks. eVRFは、ガイダンス文書、2つの製品別ワークブックの概要、および2つの製品別ワークブックで構成されている。
eVRF documents available for download:  ダウンロード可能なeVRF文書 
eVRF Guidance Document ・eVRFガイダンス文書
eVRF Google Workspace Workbook Overview ・eVRFグーグル・ワークスペース・ワークブックの概要
eVRF Google Workspace Workbook ・eVRFグーグル・ワークスペース・ワークブック
eVRF Microsoft 365 Workbook Overview ・eVRF Microsoft 365ワークブックの概要
eVRF Microsoft 365 Workbook ・eVRF Microsoft 365 ワークブック
Microsoft 365 & Google Workspace Baselines Microsoft 365 & Google Workspace ベースライン
CISA requested federal agencies to pilot M365 security configuration guides. CISA, in partnership with the CIO Council, developed minimum security controls for M365 and solicited agency feedback on the business impact of controls, implementation and any adoption blockers. The public comment period ended on December 16, 2022. CISAは連邦政府機関にM365セキュリティ設定ガイドを試験的に導入するよう要請した。CISAは、CIO Councilと協力して、M365の最小限のセキュリティコントロールを開発し、コントロールのビジネスインパクト、実装、採用の阻害要因について各機関のフィードバックを求めた。パブリックコメント期間は2022年12月16日に終了した。
The baselines are available through GitHub or download.  ベースラインはGitHubまたはダウンロードで入手できる。 
Baselines available for download:  ダウンロード可能なベースライン 
Microsoft Defender for Office 365 ・Microsoft Defender for Office 365
Microsoft Azure Active Directory ・Microsoft Azure Active Directory
Microsoft Exchange Online ・Microsoft Exchange Online
Microsoft OneDrive for Business ・Microsoft OneDrive for Business
Microsoft Power BI ・Microsoft Power BI
Microsoft Power Platform ・Microsoft Power Platform
Microsoft SharePoint Online ・Microsoft SharePoint Online
Microsoft Teams ・Microsoft Teams
Hybrid Identity Solutions Architecture ハイブリッド ID ソリューション・アーキテクチャ
CISA has released the Hybrid Identity Solutions Architecture guidance document for comment. This document is designed to help agencies understand potential options for identity management interoperability between on-premises and cloud-based solutions, the challenges involved in each, and how to address those challenges. The comment period ended on May 26th, 2023.  CISA は、「ハイブリッド ID ソリューション・アーキテクチャ」ガイダンス文書を公開し、 コメントを求めている。この文書は、オンプレミスとクラウドベースのソリューション間の ID 管理の相互運用性のための潜在的なオプショ ン、それぞれに関連する課題、およびそれらの課題に対処する方法を機関が理解できるように設計されている。意見募集期間は2023年5月26日に終了した。 
Available for download: Hybrid Identity Solutions Architecture ダウンロード可能: ハイブリッド・アイデンティティ・ソリューション・アーキテクチャ
Please provide all comments to [mail] コメントはすべて[mail] まで。
Service Materials サービス資料
Secure Cloud Business Applications (SCuBA) Frequently Asked Questions (PDF, 151.82 KB ) セキュア・クラウド・ビジネス・アプリケーション(SCuBA)よくある質問(PDF, 151.82 KB )
csso-scuba-guidance_document-hybrid_identity_solutions_architecture-2023.03.22-final.pdf (PDF, 1.24 MB ) CSSO-SCUBAガイダンス・ドキュメント-ハイブリッド・アイデンティティ・ソリューション・アーキテクチャ-2023.03.22-final.pdf(PDF, 1.24 MB )
CSSO SCuBA eVRF Guidebook (PDF, 3.11 MB ) CSSO SCuBA eVRF ガイドブック(PDF, 3.11 MB )
CSSO SCuBA TRA Guidance Document (PDF, 1.57 MB ) CSSO SCuBA TRAガイダンス文書(PDF, 1.57 MB )

 

主要な文書...

SCUBA TRA

・[PDF] SECURE CLOUD BUSINESS APPLICATIONS (SCUBA)  - Technical Reference Architecture

20230629-53414

1. Introduction 1. 序文
1.1 Background 1.1 背景
1.2 Purpose 1.2 目的
1.3 Scope 1.3 範囲
Agency Users 省庁ユーザー
External Users 外部ユーザ
Agency Subscribed Cloud Business Applications 省庁が契約しているクラウド・ビジネス・アプリケーション
2. Development 2. 開発
3. Definition of Cloud Business Applications 3. クラウド業務アプリケーションの定義
4. Cloud Security Guidance 4. クラウド・セキュリティ・ガイダンス
4.1 CISA Cloud Security Guidance 4.1 CISAクラウド・セキュリティ・ガイダンス
CISA Cloud Security Technical Reference Architecture CISA クラウド・セキュリティ・テクニカル・リファレンス・アーキテクチャ
CISA NCPS Cloud Interface Reference Architecture Volumes 1 and 2 CISA NCPSクラウド・インタフェース・リファレンス・アーキテクチャ第1巻及び第2巻
CISA Trusted Internet Connections 3.0 Core Guidance and Use Cases CISA Trusted Internet Connections 3.0 コア・ガイダンスとユースケース
Continuous Diagnostics and Mitigation 継続的な診断と低減
CISA Zero Trust Maturity Model CISA ゼロ・トラスト成熟度モデル
extensible Visibility Reference Framework Guidebook 拡張可能な可視性参照フレームワーク・ガイドブック
4.2 Federal Cloud Security Guidance 4.2 連邦クラウド・セキュリティ・ガイダンス
Federal Risk and Authorization Management Program 連邦リスク・権限マネジメント・プログラム
OMB Memorandum: Moving the U.S. Government Toward Zero Trust Cybersecurity Principles OMB Memorandum: Moving the U.S. Government Toward Zero Trust Cybersecurity Principles(OMB覚書:米国政府をゼロ・トラスト・サイバーセキュリティ原則に移行する
OMB Memorandum: Improving the Federal Government’s Investigative and Remediation Capabilities Related to Cybersecurity Incidents OMB メモランダム:サイバーセキュリティインシデントに関連する連邦政府の調査および修復能力の改善
Federal ICAM Architecture Introduction 連邦ICAMアーキテクチャ序文
5. Threats to Cloud Business Applications 5. クラウド・ビジネス・アプリケーションへの脅威
6. Securing Cloud Business Applications 6. クラウド・ビジネス・アプリケーションの保護
6.1 Identity, Credential, and Access Management 6.1 ID、クレデンシャル、アクセス管理
6.2 Secure Cloud Access from Any Location 6.2 あらゆる場所からの安全なクラウドアクセス
6.3 External Email Protections 6.3 外部電子メールの防御
6.4 Protective Domain Name System 6.4 ドメインネームシステムの防御
6.5 Endpoint Security Services 6.5 エンドポイントセキュリティサービス
6.5.1 Desktop Endpoint Security 6.5.1 デスクトップ・エンドポイント・セキュリティ
6.5.2 Mobile Endpoint Security 6.5.2 モバイル・エンドポイント・セキュリティ
6.6 Application Security Configuration 6.6 アプリケーション・セキュリティ構成
6.6.1 Data Sharing and Exfiltration Protection 6.6.1 データ共有と流出防御
6.7 Cyber Visibility and the eVRF Analytical Framework 6.7 サイバー・ビジビリティとeVRF分析フレームワーク
6.8 Telemetry Generation and Processing 6.8 テレメトリの生成と処理
6.8.1 Logging 6.8.1 ロギング
6.8.2 Monitoring 6.8.2 モニタリング
6.8.3 Auditing 6.8.3 監査
6.8.4 Alerting 6.8.4 アラート
6.8.5 Threat Detection 6.8.5 脅威検知
6.9 Shared Responsibility Model 6.9 責任共有モデル
6.9.1 Protective Security Controls and Services 6.9.1 防御セキュリティ・コントロールとサービス
6.9.2 Visibility, Detection, and Response 6.9.2 可視化、検知、レスポンス
7. Conclusion 7. 結論
8. References 8. 参考文献
Appendix A. Glossary 附属書A. 用語集
Appendix B. Abbreviations 附属書B. 略語

 

・[PDF] SECURE CLOUD BUSINESS APPLICATIONS (SCUBA) - EXTENSIBLE VISIBILITY REFERENCE FRAMEWORK

20230629-61345

Extensible Visibility Reference Framework 拡張可能な可視性参照フレームワーク
Executive Summary エグゼクティブ・サマリー
eVRF Layout eVRFのレイアウト
1. Introduction 1. 序文
1.1 eVRF Overview 1.1 eVRFの概要
1.2 Benefits of eVRF 1.2 eVRFの利点
1.3 Document Organization 1.3 文書の構成
1.4 Intended Audience 1.4 対象読者
1.5 Assumptions and Constraints 1.5 前提条件と制約条件
1.6 Relationship to OMB M-21-31 1.6 OMB M-21-31との関係
1.7 eVRF Use Within Federal Acquisition Lifecycles 1.7 連邦調達ライフサイクルにおけるeVRFの使用
2. Visibility 2. 可視性
2.1 Key Visibility Concepts 2.1 主な可視性の概念
2.2 Division of Enterprise into Domains 2.2 エンタープライズのドメインへの分割
3. Generating an eVRF Workbook 3. eVRFワークブックの作成
3.1 Workflow Process Overview 3.1 ワークフロー・プロセスの概要
3.2 Tailoring the eVRF Workflow 3.2 eVRFワークフローの調整
3.3 Organization Integration of eVRF 3.3 eVRFの組織統合
4. CISA Use of eVRF 4. CISAによるeVRFの利用
4.1 Agency and CISA Benefits of eVRF 4.1 eVRFの省庁及びCISAの利点
4.2 Roles and Responsibilities 4.2 役割と責任
4.3 FCEB Workflow Example 4.3 FCEBワークフローの例
4.4 FCEB Use of Visibility Coverage Comparisons 4.4 FCEB による可視性カバレッジ比較の利用
5.  Conclusion 5.  結論
Appendix A: Relationship of eVRF to CISA Programs 附属書A:eVRFとCISAプログラムの関係
Appendix B: Key Terms 附属書B:主要用語
Appendix C: Key Documents 附属書C:主要文書

 

| | Comments (0)

EU. 日本 デジタル貿易と経済安全保障に関する協力の強化

こんにちは、丸山満彦です。

EUと日本で、デジタル貿易と経済安全保障に関する協力を強化すると発表していますね。。。

外務省

・2023.06.27 日・EUハイレベル経済対話の開催


「日・EUデジタル貿易原則」(英文和文仮訳

 

Japan-EU Digital Trade Principles  日EUデジタル貿易原則(仮訳)
The European Union (EU) and Japan:   欧州連合(EU)及び日本は、
recall their commitments in Chapter 8, Section F of the EU-Japan(Japan-EU) Economic Partnership Agreement (EPA) and reconfirm their support for the G7 Trade Ministers’ Digital Trade Principles confirmed on 22 October 2021 and their leader’s commitment for EU and Japan (Japan-EU) Digital Partnership confirmed on 12 May 2022.  日EU経済連携協定(日EU・EPA)第8章F節へのコミットメントを想起するとともに、2021年10月22日に確認された貿易大臣のG7デジタル貿易原則への支持及び2022年5月12日に確認された日EUデジタルパートナーシップに関する両首脳のコミットメントを再確認する。
are united in their support for open digital markets and in their opposition to digital protectionism and digital authoritarianism and consider that digital and telecommunications markets should be competitive, transparent, fair, and accessible to international trade and investment.   開かれたデジタル市場への支持及びデジタル保護主義とデジタル権威主義への反対において結束するとともに、デジタル及び電気通信市場は、競争的で、透明性のある、公正な、かつ、国際貿易及び投資にとってアクセス可能なものであるべきだと考える。
share the view that a safe online environment supports the open digital markets.     安全なオンライン環境は開かれたデジタル市場を支えるという見解を共有する。
reaffirm that    ensuring respect for a high level of privacy and security is necessary to enable data to flow freely across borders with trust, including the trust of individuals and businesses, in order to harness the opportunities of the digital economy, to support the trade of goods and services and to foster future interoperability by building upon commonalities, complementarities and elements of convergence between their existing regulatory approaches,  高水準のプライバシー及びセキュリティに対する尊重を確保することは、個人と企業の信用を含む、信頼性のある国境を越えた自由なデータの流通を可能にするために必要であることを再確認する。これは、デジタル経済における機会を利用し、物品・サービスの貿易を後押しし、双方の既存の規制アプローチの共通性、補完性及び方向性が一致する要素を基に構築することにより、将来的な相互運用性を促進する。
promote technologies enhancing trust, deepen mutual understanding of data governance on both sides, and on that basis work together to enhance international cooperation to address unjustified obstacles for the free flow of data across borders while preserving the regulatory autonomy of both sides in the area of data protection and privacy,  信頼を強化する技術を促進し、双方のデータ・ガバナンスの相互理解を深め、それに基づいて、データ保護及びプライバシー分野における双方の規制の自律性を維持しつつ、国境を越えた自由なデータ流通への正当化できない障害に対処するため国際協力を強化するため、共に取り組む。
recall the importance of strengthening cooperation on data protection, including on domestic enforcement cooperation between supervisory authorities,  監督当局間の国内執行協力を含む、データ保護に関する協力強化の重要性を想起する。
reaffirm the importance that data is  protected by high enforceable standards including when transferred across borders.  データは、国境を越えて移転される場合を含め、高い強制力のある基準で保護されることが重要であることを再確認する。
highlight that businesses must have a secure digital trading environment, with the highest standards of cybersecurity and resilience against illicit or malign activity.   不正又は悪意のある活動に対する、最高水準のサイバーセキュリティと強靭性を伴った、安全なデジタル貿易環境を企業が持たなければならないことを強調する。
stress that ensuring trusted government access to personal data held by the private sector, in line with the “Declaration on Government Access to Personal Data held by Private Sector Entities” adopted at the OECD, helps to provide transparency and legal certainty.   OECD で採択された「民間部門が保有する個人データへの政府のアクセスに関する宣言」に沿って、民間部門が保有する個人データへの信頼性のあるガバメントアクセスを確保することは、透明性及び法的な確実性をもたらすことに寄与することを強調する。
recognise the role of digital trade as a key enabler of sustainable development and its contribution to the green and digital transformation of our economies and therefore consider that digital trade rules should be future-proofed and responsive to innovation and emerging technologies.  持続可能な発展を可能にする鍵としてのデジタル貿易の役割及び経済のグリーントランスフォーメーション及びデジタルトランスフォーメーション への貢献を認識し、したがって、デジタル貿易ルールは将来を見据えたものであり、イノベーションと新興技術に対応すべきであることを認識する。
underline that digital trade should support entrepreneurship and empower a full range of businesses to participate in the global economy, notably women entrepreneurs and micro, small, and medium-sized enterprises.  デジタル貿易は、起業家精神を支援し、とりわけ女性起業家と中小零細企業を含む、あらゆる企業がグローバル経済に参加する能力を強化すべきものであることを強調する。
emphasise that digital trade should be used to support jobs, raise living standards, and respond to the needs of workers, innovators, and consumers.   デジタル貿易は、雇用を支え、生活水準を向上させ、労働者、イノベーター及び消費者のニーズに応えるために、用いられるべきであることを強調する。
share the objectives of ensuring predictability and legal certainty for businesses engaged in cross-border digital trade, fostering a safe and contestable online environment and removing and preventing the emergence of unjustified barriers to digital trade, which have a detrimental impact on trade and investment flows.  国境を越えたデジタル貿易に従事する企業の予測可能性と法的確実性を確保し、安全で競争が可能なオンライン環境を促進し、貿易や投資の流れに有害な影響を与えるデジタル貿易に対する不当な障壁を取り除き、また、その発生を防止するという目標を共有する。
support, and are committed to, the ongoing negotiations under the framework of the Joint Statement Initiative on electronic commerce in the World Trade Organization as a key instrument to advance global rule-setting in digital trade, which should result in a high standard and commercially meaningful outcome as soon as possible, benefiting developing and developed economies alike, and reaffirming each country’s right to regulate for legitimate public policy objectives based on democratic values.  デジタル貿易におけるグローバルなルール設定を進めるための鍵となる手段である、世界貿易機関における電子商取引に関する共同声明イニシアティブの枠組みの下で継続されている交渉を支持し、尽力する。これは、可能な限り早期に、高い水準かつ商業的に意義のある結果をもたらし、発展途上経済と先進国経済に対して同様に利益をもたらし、民主主義の価値に基づく正当な公共政策の目的のための各国の規制権限を再確認するものとなるべきである。
The EU and Japan share the recognition that in order to achieve these objectives, there is a need to cooperate and, where appropriate, coordinate their approaches on addressing digital protectionist measures and trends around the world.  EU及び日本は、これらの目標を達成するため、また、世界におけるデジタル保護主義的措置や傾向への対応について協力し、適当な場合にはEU及び日本のアプローチを調整する必要があるとの認識を共有する。

 

 

European Commission

・2023.06.27 EU and Japan strengthen cooperation on digital trade and economic security

EU and Japan strengthen cooperation on digital trade and economic security EUと日本、デジタル貿易と経済安全保障に関する協力を強化
Today, the EU and Japan held their third High-Level Economic Dialogue (HLED). The meeting centred on economic security following agreement to expand the scope of the dialogue. The HLED was co-chaired by Executive Vice-President and Commissioner for Trade, Valdis Dombrovskis, with Japanese Minister of Foreign Affairs, Yoshimasa Hayashi, and Japanese Minister for Economy, Trade and Industry, Yasutoshi Nishimura. 本日、EUと日本は第3回ハイレベル経済対話(HLED)を開催した。今回の会合は、対話の範囲を拡大することで合意したことを受け、経済安全保障を中心に行われた。HLEDは、ヴァルディス・ドンブロフスキス欧州委員会副委員長兼通商担当委員と林芳正外務大臣、西村康稔経済産業大臣が共同議長を務めた。
The Executive Vice-President and the Ministers concluded the EU-Japan Digital Trade Principles. This instrument will be key for bilateral trade and investment, as it will establish a common understanding on key issues relevant to digital trade and a joint commitment to an open digital economy, free of unjustified barriers to international trade. It will build on internationally agreed principles such as the G7 Digital Trade Principles and the World Trade Organization e-commerce negotiations and it will be non-binding. The Digital Trade Principles will cover data governance, digital trade facilitation, consumer trust and business trust. 同副総裁と両大臣は、日・EUデジタル通商原則を締結した。この文書は、デジタル貿易に関連する重要な問題に関する共通認識と、国際貿易に対する不当な障壁のない開かれたデジタル経済への共同のコミットメントを確立するものであり、二国間の貿易・投資にとって鍵となる。G7デジタル貿易原則や世界貿易機関(WTO)の電子商取引交渉など、国際的に合意された原則を基礎とし、拘束力はない。デジタル貿易原則は、データガバナンス、デジタル貿易の円滑化、消費者の信頼、企業の信頼を対象とする。
Closer strategic cooperation より緊密な戦略的協力
The Dialogue reaffirmed the importance of strategic cooperation between the EU and Japan, in particular in the current challenging geopolitical context. It also confirmed the their strategic alignment on the current and future sanctions to curb Russian capabilities, along with other partners such as the US and UK. 日・EU対話は、特に現在の厳しい地政学的状況において、日・EU間の戦略的協力の重要性を再確認した。また、米国や英国などの他のパートナーとともに、ロシアの能力を抑制するための現在および将来の制裁に関する両者の戦略的な連携も確認された。
Both sides highlighted the necessity to cooperate at bilateral and multilateral level on economic security and discussed possible areas of cooperation on relevant tools such as anti-coercion, export controls and investment screening, especially in view of the recently announced European Economic Security Strategy. In this respect, the Co-Chairs reiterated the importance of collaborating in the G7 anti coercion platform, agreed under the Japanese Presidency of the G7 Summit. 双方は、経済安全保障に関して二国間および多国間レベルで協力する必要性を強調し、特に最近発表された欧州経済安全保障戦略の観点から、反強制措置、輸出規制、投資審査などの関連手段について、協力可能な分野について話し合った。この点に関し、共同議長は、G7サミットの日本議長国の下で合意されたG7反強制プラットフォームにおける協力の重要性を改めて強調した。
The two sides agreed on the necessity to build resilient supply chains in strategic areas, a crucial element to ensure economic security. In this context, the EU and Japan discussed the EU Critical Raw Material (CRM) Club, and potential future developments. The initiative aims at diversifying sourcing and strengthening supply chains, and bringing together consuming countries and resource-rich countries. 双方は、経済の安全保障を確保するために極めて重要な要素である戦略的分野におけるレジリエンス・サプライチェーンを構築する必要性について合意した。この観点から、EUと日本は、EU重要原材料(CRM)クラブと今後の進展の可能性について議論した。このイニシアティブは、調達先の多様化とサプライチェーンの強化を目的とし、消費国と資源国を結びつけるものである。
The parties discussed the need for strengthening the international rules-based order by ensuring a successful 13th Ministerial Conference (MC13) of the WTO in February 2024. 両締約国は、2024年2月に開催されるWTO第13回閣僚会合(MC13)を成功させることにより、国際的なルールに基づく秩序を強化する必要性について議論した。
Finally, the two sides also explored the possibility to enhance bilateral cooperation under the Joint Statement Initiative (JSI) on e-commerce and maintain the momentum to better take advantage of digital trade opportunities. In particular, they stressed the importance of concluding the Data Flows negotiations by the autumn. This will enable both parties to implement modern digital trade rules under the existing EU-Japan EPA, making this agreement fit for the digital era. 最後に、双方はまた、電子商取引に関する共同声明イニシアティブ(JSI)の下での二国間協力を強化し、デジタル貿易の機会をより良く活用する勢いを維持する可能性を探った。特に、秋までにデータフロー交渉を妥結させることの重要性を強調した。これにより、両締約国は、現行のEU日本経済連携協定(EPA)の下で、最新のデジタル貿易規則を実施することが可能になり、この協定をデジタル時代に適合したものとすることができる。
Background 背景
The EU-Japan Economic Partnership Agreement entered into force more than four years ago. Over this period, it has proven to be the bedrock of the EU-Japan economic relationship. In 2022, trade in goods between the two partners recovered to pre-pandemic levels, reaching 141 billion euros, confirming strong and resilient trade ties between the EU and Japan. EU日本経済連携協定は4年以上前に発効した。この間、EU-日本経済関係の基盤となってきた。2022年、日・EU間の物品貿易は大流行前の水準まで回復し、1,410億ユーロに達し、日・EU間の強くレジリエンスに満ちた貿易関係を確認した。
For more information 詳細
Digital Trade Principles デジタル貿易原則
EU trade and investment relations with Japan  EUと日本の貿易・投資関係 
Quote(s) 引用
At today’s High Level Economic Dialogue, we further strengthened our partnership with Japan, with whom we share values and strategic goals. We agreed to coordinate further on economic security, supply chain resilience and WTO reform. We concluded EU-Japan Digital Trade Principles and progressed negotiations on data flows. Reaching agreement in these areas will benefit businesses on both sides and put us at the cutting edge of the digital economy. All in all, we can say with confidence that the EU-Japan relationship is stronger than ever, which matters enormously in this time of geopolitical uncertainty. 本日のハイレベル経済対話において、我々は、価値観と戦略的目標を共有する日本とのパートナーシップをさらに強化した。我々は、経済安全保障、サプライチェーンのレジリエンス、WTO改革について、さらなる協調を図ることに合意した。我々は、日・EUデジタル通商原則を締結し、データの流れに関する交渉を進展させた。これらの分野で合意に達することは、双方のビジネスに利益をもたらすとともに、我々をデジタル経済の最先端に置くことになる。全体として、日・EU関係はかつてないほど強固なものであり、地政学的な不確実性が高い現在、これは非常に重要なことであると自信を持って言うことができる。
Valdis Dombrovskis, Executive Vice-President and Commissioner for Trade - 27/06/2023 バルディス・ドンブロフスキス欧州委員会副委員長兼通商担当委員 - 27/06/2023

 

外務省の資料と同じですが...

・[PDF

20230809-151028

 


 

 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.06.26 EU 欧州経済安全保障戦略

 

| | Comments (0)

2023.06.28

世界経済フォーラム (WEF) 新技術トップ10 2023

こんにちは、丸山満彦です。

世界経済フォーラム (WEF) が新技術トップ10の2023年版が公表されていますね。。。

ことしの新技術トップ10

1     Flexible batteries 1 フレキシブルバッテリー
2     Generative artificial intelligence 2 生成的人工知能
3     Sustainable aviation fuel 3 持続可能な航空燃料
4     Designer phages 4 設計されたバクテリア・ファージ
5     Metaverse for mental health 5 メンタルヘルスのためのメタバース
6     Wearable plant sensors 6 ウェアラブル植物センサー
7     Spatial omics 7 空間オミックス
8     Flexible neural electronics 8 フレキシブル神経エレクトロニクス
9     Sustainable computing 9 持続可能なコンピューティング
10   AI-facilitated healthcare 10 AIが促進するヘルスケア

 

興味深い内容です。。。

 

World Economic Forum - Report

・2023.06.26 Top 10 Emerging Technologies of 2023

Top 10 Emerging Technologies of 2023 2023年の新技術トップ10
The Top 10 Emerging Technologies of 2023 report, now in its 11th year, highlights the technologies set to positively impact society within the next three to five years. This comprehensive report goes beyond listing the top 10 technologies and their associated risks and opportunities. It provides a qualitative assessment of each technology's potential impact on people, the planet, prosperity, industry and equity. 今年で11年目を迎える「2023年の新技術トップ10」レポートは、今後3〜5年以内に社会にポジティブな影響を与えるであろう技術を取り上げている。この包括的なレポートは、トップ10のテクノロジーとそれに関連するリスクや機会を列挙するにとどまらない。各技術が人々、地球、繁栄、産業、公平性に与える潜在的な影響について、定性的な評価を提供している。

 

・[PDF]

20230628-100314 

 

 

| | Comments (0)

英国 ICO 金融、医療、研究、中央・地方政府で大規模な個人データセットを使用しているデータ保護担当者などを対象とした新しいPETsガイダンスを作成 (2023.06.19)

こんにちは、丸山満彦です。

英国のICOが、金融、医療、研究、中央・地方政府で大規模な個人データセットを使用しているデータ保護担当者などを対象とした新しいPETsガイダンスを作成していますね。。。差分プライバシーを含め8つのPETsが紹介されています。

これについては、ICOからの発表だけでなく、データ倫理・イノベーションセンターからもブログがでています。。

まずは、データ倫理・イノベーションセンターのブログから...

GOV.UK - Centre for Data Ethics and Innovation Blog

・2023.06.20 Working with the ICO to encourage the adoption of PETs

Working with the ICO to encourage the adoption of PETs ICOと協力してPETの採用を奨励する
Last year, the CDEI launched a responsible data access programme to address the challenges organisations face to access data they need in a responsible way. A key component of this programme is our work to encourage adoption of Privacy-Enhancing Technologies (PETs).  昨年、CDEIは、組織が責任ある方法で必要なデータにアクセスするために直面する課題に対処するため、責任あるデータアクセスプログラムを開始した。このプログラムの主要な構成要素は、プライバシー強化技術(PETs)の採用を奨励する我々の活動である。 
PETs are a set of emerging techniques that enable data access and analysis while providing stronger protections to preserve data privacy. Using PETs could unlock opportunities to harness large sets of data for socially beneficial uses such as scientific research, improving public services, and monitoring fraudulent activity, without compromising on privacy or confidentiality. However, there are several challenges to achieving more widespread adoption of PETs including lack of awareness and relative nascence of these technologies. CDEI’s work to address these issues has included a PETs adoption guide to raise awareness of these emerging technologies as well as the UK-US PETs Prize Challenges for driving innovation in novel PETs for financial crime prevention and pandemic forecasting. PETsは、データのプライバシーを保護するためのより強力な防御を提供しながら、データアクセスと分析を可能にする一連の新しい技術である。PETsを使用することで、プライバシーや機密性を損なうことなく、科学研究、公共サービスの改善、不正行為の監視など、社会的に有益な用途に大規模なデータセットを活用する機会を引き出すことができる。しかし、PETの普及を実現するには、認知度の低さや、これらの技術の相対的な発展途上性など、いくつかの課題がある。このような問題に対処するためのCDEIの活動には、このような新たな技術に対する認識を高めるためのPETs採用ガイドのほか、金融犯罪防止やパンデミック予測のための斬新なPETsの技術革新を推進するための英米PETs賞チャレンジなどがある。
Organisations are also uncertain of legal implications of using PETs. This week, the Information Commissioner’s Office (ICO) published new PETs guidance to explain how PETs can be used to support a data protection by design approach in line with regulatory requirements.  組織はまた、PETsを使用することの法的意味合いについても不確かである。今週、情報コミッショナー事務局(ICO)は新しいPETsガイダンスを発表し、規制要件に沿った設計によるデータ保護アプローチをサポートするためにPETsをどのように使用できるかを説明した。 
Many organisations are still unsure of the value of PETs relative to their costs, which is key to supporting investment decisions in these emerging technologies. 多くの組織は、コストに対するPETの価値をまだよく理解していない、 これは、このような新しい技術への投資を決定する上で重要なことである。
Today, we’re announcing a joint project with the ICO to develop a PETs cost-benefit analysis tool. Our tool will help organisations interested in adopting PETs to better understand the costs and benefits involved and point to resources that can address challenges to adoption. This tool will form part of the CDEI’s updated PETs adoption guide, which includes a use case repository, recently updated by the Open Data Institute (who can be contacted at pets@theodi.org for further information). 本日、我々はICOとの共同プロジェクトとして、PETsの費用便益分析ツールを開発することを発表する。このツールは、PETsの採用に関心を持つ組織が、関連するコストと便益をよりよく理解し、採用への課題に対処できるリソースを指し示すのに役立つだろう。このツールは、CDEIが更新したPETs導入ガイドの一部を構成する。このガイドには、Open Data Institute(詳細については、pets@theodi.org まで問い合わせ可能)が最近更新したユースケースリポジトリが含まれる。
By developing this tool, the CDEI and ICO hope to encourage wider adoption of PETs through understanding and addressing common challenges in implementation and highlighting the opportunities enabled by these technologies. このツールを開発することで、CDEIとICOは、PETsの導入における共通の課題を理解し、対処し、 PETs技術によって可能になる機会を強調することで、PETsの普及を促進したいと考えている。
During an initial research phase to inform development of this tool, the CDEI conducted interviews with stakeholders from across the PETs ecosystem to understand the challenges of articulating the value and costs of PETs. We spoke to people working with a variety of PETs including homomorphic encryption, secure multi-party computation, differential privacy, synthetic data, federated learning/analytics, and trusted execution environments (TEEs).  CDEI は、本ツールの開発に役立てるための初期調査段階において、PET の価値とコストを明確にすることの課題を理解するため、PET のエコシステム全体の利害関係者とのインタビューを実施した。同型暗号化、セキュアなマルチパーティ計算、差分プライバシー、合成データ、連携学習/分析、信頼された実行環境(Trusted Execution Environment:TEEs)など、さまざまなPETsに取り組んでいる人々に話を聞いた。 
Despite the wide range of technologies, similar themes emerged around the potential benefits of PETs for allowing organisations to extract additional value from data, improve ease of regulatory compliance, and risk reduction. Similarly, common concerns emerged around the cost of deploying PETs due to computing costs, regulatory uncertainty and challenges of procurement. 様々な技術があるにもかかわらず、組織がデータから付加価値を引き出し、規制遵守を改善し、リスクを低減するためのPETの潜在的な利点について、同様のテーマが浮かび上がってきた。同様に、コンピューティングコスト、規制の不確実性、調達の難しさによるPETの導入コストについても、共通の懸念が浮かび上がった。
Two key findings from our interviews were: インタビューから得られた2つの重要な発見は以下の通りである:
・The importance of a problem-led approach rather than focusing on specific technologies ・特定の技術に焦点を当てるのではなく、問題主導型のアプローチの重要性
Organisations typically find out about or adopt PETs to solve a particular problem they are facing rather than knowing they want to deploy a specific PET. Our tool will aim to highlight the information flows PETs can enable (such as data access within an organisation, allowing internal data insights to be shared publicly, cross-border data collaboration) that apply to a variety of use cases and sectors.  組織は通常、特定のPETを導入したいと考えるよりも、直面している特定の問題を解決するためにPETを見つけたり導入したりする。我々のツールは、様々なユースケースやセクターに適用されるPETが可能にする情報の流れ(組織内でのデータアクセス、内部データ洞察の公開共有、国境を越えたデータ連携など)を強調することを目的としている。 
・The need to combine quantitative and qualitative information around implementing PETs  ・PETの実施に関する定量的情報と定性的情報を組み合わせる必要性 
Quantifying the costs and benefits of PETs can be useful for organisations to quickly understand the impact of adopting PETs. However, we also heard of the need to continue raising awareness of benefits of PETs that can’t be easily quantified and developing a narrative for the potential uses of PETs beyond their current use cases. PETのコストと便益を定量化することは、組織がPETを採用することの影響を迅速に理解するのに有用である。しかし、簡単に定量化できないPETsの利点についての認識を高め、現在のユースケースの枠を超えたPETsの潜在的な利用法についての説明を展開し続ける必要性についても聞いた。
As we start the next phase of this project, we are interested in engaging with private or public sector organisations who have adopted or chosen not to adopt PETs in the past or are currently considering adopting PETs and want to learn more. In particular, we would like to understand what factors influence(d) your decisions of whether or not to use PETs and what features would make a tool like this most useful. If you are interested in sharing your experiences or would like to receive further updates on this project, please get in touch with us at [mail]. このプロジェクトの次の段階を開始するにあたり、過去にPETを採用した、あるいは採用しないことを選択した、あるいは現在PETの採用を検討中で、さらに詳しく知りたいと考えている民間または公共部門の組織と関わりたいと考えている。特に、PETを使用するかどうかの決定にどのような要因が影響したか、また、このようなツールを最も有用なものにするにはどのような機能が必要かを理解したい。あなたの経験を分かち合いたい、あるいはこのプロジェクトに関する最新情報を受け取りたい方は、[mail] まで連絡。

 

次は、ICO...

ICO

・2023.06.19 ICO urges organisations to harness the power of data safely by using privacy enhancing technologies

ICO urges organisations to harness the power of data safely by using privacy enhancing technologies ICOが組織に対し、プライバシー強化技術を利用してデータの力を安全に活用するよう促す
The Information Commissioner’s Office (ICO) is recommending organisations to start using privacy enhancing technologies (PETs) to share people’s personal information safely, securely and anonymously. 情報コミッショナー事務局(ICO)は、組織に対し、プライバシー強化技術(PETs)を使用して、人々の個人情報を安全、セキュアかつ匿名で共有することを推奨している。
These types of technologies open unprecedented opportunities for organisations to harness the power of personal data through innovative and trustworthy applications, by allowing them to share, link and analyse people’s personal information without having access to it. この種の技術は、革新的で信頼できるアプリケーションを通じて、組織が個人データにアクセスすることなく、個人情報を共有、リンク、分析することを可能にし、個人データの力を活用する前例のない機会を開くものである。
PETs can be used to share anonymised personal information to detect and prevent financial crimes and related harms such as fraud, money laundering, and cybercrimes. PETは、匿名化された個人情報を共有し、詐欺、マネーロンダリング、サイバー犯罪などの金融犯罪やそれに関連する被害を検知・防止するために利用できる。
The ICO has launched new PETs guidance, which is aimed at data protection officers and others who are using large personal data sets in finance, healthcare, research, and central and local government. ICOは、金融、医療、研究、中央・地方政府で大規模な個人データセットを使用しているデータ保護担当者などを対象とした新しいPETsガイダンスを発表した。
“If your organisation shares large volumes of data, particularly special category data, we recommend that over the next five years you start considering using PETs. 「あなたの組織が大量のデータ、特に特殊カテゴリーデータを共有するのであれば、今後5年間でPETsの使用を検討し始めることを勧める。
“PETs enable safe data sharing and allow organisations to make the best use of the personal data they hold, driving innovation. 「PETは安全なデータ共有を可能にし、組織が保有する個人データを最大限に活用し、イノベーションを促進する。
“My office is committed to supporting UK businesses to develop and innovate with new technologies that respect people’s privacy and this guidance helps them to do that.” 「私のオフィスは、英国企業が人々のプライバシーを尊重した新技術を開発し、革新することを支援することに尽力しており、このガイダンスはその一助となるものである。
- John Edwards, UK Information Commissioner ・英国情報コミッショナー ジョン・エドワーズ
PETs can help organisations comply with principles with data protection law by offering a secure environment, building data protection in from the beginning of a project, and minimising the amount of data that needs to be collected and retained. 防御は、セキュアな環境を提供し、プロジェクトの最初からデータ保護を組み込み、収集・保持する必要のあるデータ量を最小限に抑えることで、組織がデータ保護法の原則に準拠するのを助けることができる。
Mr Edwards is at the G7 roundtable meeting in Tokyo, Japan this week, where G7 data protection and privacy authorities will highlight achievements since the previous roundtable in Bonn, Germany in September 2022, which includes the significant PETs work the ICO has delivered. エドワーズ氏は今週、日本の東京で開催されるG7円卓会議に出席しており、G7のデータ保護およびプライバシー当局は、2022年9月にドイツのボンで開催された前回の円卓会議以降の成果を強調する。
The G7 regulators will also be considering data free flow with trust, enforcement cooperation, and other emerging technologies, specifically the recent developments and risks of generative AI technologies from a data protection and privacy perspective. G7規制当局はまた、信頼、執行協力、その他の新興技術、特にデータ保護とプライバシーの観点から生成的AI技術の最近の進展とリスクについて、データの自由な流れを検討する予定である。
Mr Edwards said: エドワーズ氏は次のように述べた:
“Together with our G7 counterparts, we are focused on facilitating and driving international support for responsible and innovative adoption of PETs, by researching and addressing barriers to adoption with clear guidance and examples of best practice. 「G7のカウンターパートとともに、我々は、明確なガイダンスとベストプラクティスの例を用いて、責任ある革新的なPETsの採用を促進し、国際的な支援を推進することに注力している。
“We are also looking ahead at emerging technologies, such as the rapid development and deployment of generative AI technologies, to ensure organisations across the world are innovating in a way that respects people’s information and privacy.” 「我々はまた、世界中の組織が人々の情報とプライバシーを尊重する方法で革新していることを確実にするために、生成的AI技術の急速な開発と展開のような新たな技術を見据えている。
The ICO has previously supported the UK-US PETs prize challenges, run by the Centre for Data Ethics and Innovation (CDEI), the UK and US governments, to unleash the potential of PETs to tackle global societal challenges in finance and public health. The ICO is continuing to support organisations looking to develop or adopt PETs by collaborating on a PETs cost-benefit analysis tool, in partnership with the CDEI. ICOはこれまでにも、Centre for Data Ethics and Innovation (CDEI)と英米ガバナンスが運営する英米PETs賞チャレンジを支援し、金融や公衆衛生におけるグローバルな社会的課題に取り組むPETsの可能性を引き出してきた。ICOは、CDEIと共同でPETs費用便益分析ツールを開発し、PETsの開発または採用を検討している組織を引き続き支援している。
Notes to editors 編集後記
About the G7 2023 Regulator’s Roundtable G7 2023規制当局ラウンドテーブルについて
Under Japan’s 2023 G7 presidency, the Personal Information Protection Commission (個人情報保護委員会) is convening a G7 data protection and privacy authorities roundtable in Tokyo, Japan on 20-21 June 2023. 日本の2023年G7議長国の下、個人情報保護委員会は2023年6月20日~21日に東京でG7データ保護・プライバシー当局円卓会議を開催する。
The G7 authorities will jointly consider a number of key regulatory and technological driven challenges to data protection and promote effective strategies to maintain high levels of protections for citizens in the context of global digital economy and the requirement for closer cooperation. G7当局は、データ保護に関する多くの重要な規制上および技術上の課題を共同で検討し、グローバルなデジタル経済と緊密な協力の必要性の中で、市民のための高水準の保護を維持するための効果的な戦略を推進する。
The G7 data protection and privacy authorities consist of: G7データ保護・プライバシー当局は以下のメンバーで構成される:
Office of the Privacy Commissioner (Canada) 個人情報保護委員会事務局(カナダ)
Commission Nationale de l’Informatique et des Libertés (France) フランス情報自由委員会(フランス)
Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, BfDI (Germany) データ保護・情報自由連盟(BfDI)(ドイツ)
Garante per la Protezione dei Dati Personali (Italy) 個人情報保護委員会(イタリア)
Personal Information Protection Commission, 個人情報保護委員会 (Japan) 個人情報保護委員会(日本)
Information Commissioner’s Office (UK) 情報コミッショナー事務所(英国)
Federal Trade Commission (United States of America) 連邦取引委員会(米国)
About the Information Commissioner’s Office 情報コミッショナー事務局について
The Information Commissioner’s Office (ICO) is the UK’s independent regulator for data protection and information rights law, upholding information rights in the public interest, promoting openness by public bodies and data privacy for individuals. 情報コミッショナー事務局(ICO)は、データ保護および情報権利法に関する英国の独立規制機関であり、公共の利益のために情報権利を支持し、公共団体による公開と個人のデータプライバシーを促進する。
The  ICO has specific responsibilities set out in the Data Protection Act 2018 (DPA2018), the United Kingdom General Data Protection Regulation (UK GDPR), the Freedom of Information Act 2000 (FOIA), Environmental Information Regulations 2004 (EIR), Privacy and Electronic Communications Regulations 2003 (PECR) and a further five acts and regulations. ICOは、データ保護法2018(DPA2018)、英国一般データ保護規則(英国GDPR)、情報公開法2000(FOIA)、環境情報規則2004(EIR)、プライバシーおよび電子コミュニケーション規則2003(PECR)、およびさらに5つの法律と規則に定められた特定の責任を負う。
The ICO can take action to address and change the behaviour of organisations and individuals that collect, use and keep personal information. This includes criminal prosecution, non-criminal enforcement and audit. ICOは、個人情報を収集、使用、保管する組織や個人の行動に対処し、改めるために行動を起こすことができる。これには、刑事訴追、非刑事執行、監査が含まれる。
To report a concern to the ICO telephone call our helpline on 0303 123 1113, or go to [web]. ICOに懸念を報告するには、ヘルプライン(0303-123-1113)に電話するか、[web] にアクセスする。

 

Privacy-enhancing technologies (PETs)

最新の更新情報

Privacy-enhancing technologies (PETs) プライバシーシーバ向上技術 (PETs)
Latest updates 最新の更新情報
19 June 2023 - we have created new PETs guidance, which is aimed at data protection officers and others who are using large personal data sets in finance, healthcare, research, and central and local government 2023年6月19日 - 金融、医療、研究、中央・地方政府で大規模な個人データセットを使用しているデータ保護担当者等を対象とした新しいPETsガイダンスを作成した。
This guidance discusses privacy-enhancing technologies (PETs) in detail. Read it if you have questions not answered in the Guide, or if you need a deeper understanding to help you apply PETs in practice. このガイダンスでは、プライバシー強化技術(PETs)について詳しく説明する。本ガイドラインに記載されていない質問がある場合、またはPETsを実際に適用するために、より深い理解が必要な場合にお読みいただきたい。
The first part of the guidance is aimed at DPOs (data protection officers) and those with specific data protection responsibilities in larger organisations. It focuses on how PETs can help you achieve compliance with data protection law. ガイダンスの最初の部分は、DPO(データ保護責任者)および大規模組織で特定のデータ保護責任を負う者を対象としている。このガイダンスは、PET がデータ保護法への準拠を達成するためにどのように役立つかに重点を置いている。
The second part is intended for a more technical audience, and for DPOs who want to understand more detail about the types of PETs that are currently available. It gives a brief introduction to eight types of PETs and explains their risks and benefits. 第2部は、より専門的な読者、および現在利用可能なPETの種類をより詳細に理解したいDPOを対象としている。8種類のPETを簡単に序文し、そのリスクと利点を説明している。

 

目次的...

 
About this guidance このガイダンスについて
How can PETs help with data protection compliance? PETはデータ保護コンプライアンスにどのように役立つか?
What PETs are there? どのようなPETがあるのか。
Introduction 序文
Differential privacy 差分プライバシー
Synthetic data 合成データ
Homomorphic encryption (HE) 準同形暗号(HE)
Zero-knowledge proofs ゼロ知識証明
Trusted execution environments 信頼可能な実行環境
Secure multiparty computation (SMPC) 秘匿マルチパーティ計算 (SMPC)
Private set intersection (PSI) プライベート共通集合(PSI)
Federated learning 連合学習
Reference table 参照表
Case studies ケーススタディ

 

 

ウェブページをPDFにしただけ感はありますが。。。

・ [PDF]

20230628-25321

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.03.24 OECD 先進のプライバシー強化技術 - 現在の規制・政策アプローチ (2023.03.08)

・2023.01.26 英国王立学会 プライバシー向上技術 (PETs) (2023.01.23)

・2022.09.11 英国 ICO プライバシー強化技術に関するガイダンス案を発表

・2021.07.19 U.K. プライバシー強化技術:採用ガイド β版 by デジタル・文化・メディア・スポーツ省 データ倫理・イノベーションセンター

・2010.07.27 London Economics "Study on the economic benefits of privacy-enhancing technologies (PETs) "

 

 

| | Comments (0)

英国 3600人以上が政府の「アップスキル・イン・サイバー」プログラムを通じて新たにサイバーキャリアをスタート、約半数が女性

こんにちは、丸山満彦です。

英国の科学技術革新省、NCSC、カムローズ子爵AI・知財担当大臣が、

・政府の「アップスキル・イン・サイバー」プログラムを通じて新たにサイバーキャリアをスタートをした。

・応募人数は3600人以上で過去最高

・そのうち約半数が女性

・また、半数はロンドンおよびその周辺以外の地域出身者

と、プレス発表をしていますね。

英国政府がみる、英国のサイバーセクターの年間売上高は、2023年の時点で105億ポンド(約2兆円)とのこと。

このプログラムはSANSが支援しているようですね。。。

 

Gov.UK

・2023.06.26 Record numbers looking to kickstart new careers in cyber

 

Record numbers looking to kickstart new careers in cyber サイバー分野で新たなキャリアをスタートさせようとする人が過去最多となる
The Upskill in Cyber programme is part of the government's efforts to bridge a digital skills gap in the UK. 「アップスキル・イン・サイバー」プログラムは、英国におけるデジタル・スキル・ギャップを埋めるためのガバナンスの一環である。
・Over 3,600 people are looking to embark on a new career in cyber this year through applications to the government’s Upskill in Cyber programme ・今年、政府の「アップスキル・イン・サイバー」プログラムへの応募を通じて、3,600人以上がサイバー分野で新たなキャリアを踏み出そうとしている。
・programme supports the Prime Minister’s priority of growing the economy by creating better-paid jobs ・このプログラムは、より高賃金の雇用を創出することによって経済を成長させるという首相の優先事項を支援するものである。
・almost half of applications come from women with more than 50% from outside London and the South East ・応募者の半数近くが女性で、50%以上がロンドンと南東部以外からの応募である。
UK Cyber Sector annual revenues now top £10.5 billion as of 2023. 英国のサイバーセクターの年間売上高は、2023年の時点で105億ポンドを超える。
A record number of people are looking to embark on a new career in cyber this year through applications to the government’s Upskill in Cyber programme. 今年、政府の「アップスキル・イン・サイバー」プログラムへの応募を通じて、サイバー分野で新たなキャリアを踏み出そうとする人が過去最多となった。
Of the more than 3,600 applications received, almost half have been submitted by women with more than 50% coming from people based outside London and the South East, demonstrating the diverse pool of talent waiting to be unlocked across the UK. 3,600件以上の応募のうち、ほぼ半数が女性で、50%以上がロンドンと南東部以外を拠点とする人々から提出されており、英国全土で多様な才能が発掘されるのを待っていることを示している。
Aimed at people from a non-cyber background and delivered in partnership with the SANS Institute, the scheme is the latest in a series of ambitious programmes delivered through the government’s £2.6 billion National Cyber Strategy. サイバー業界出身者以外を対象とし、SANS Instituteとのパートナーシップで実施されるこのスキームは、政府の26億ポンドをかけた国家サイバー戦略を通じて提供される一連の野心的な機構の最新版である。
This is all part of the Department for Science, Innovation, and Technology’s plans to build a thriving tech workforce and secure the resilience of the future digital economy while supporting the Prime Minister’s priority of growing the economy and creating better paid jobs. これはすべて、繁栄する技術労働力を構築し、将来のデジタル経済のレジリエンスを確保すると同時に、経済成長と高賃金の雇用創出という首相の優先事項を支援する科学技術革新省の計画の一部である。
Minister for AI and Intellectual Property, Viscount Camrose, said: カムローズAI・知財担当大臣は、次のように述べた:
"The UK’s cyber sector is growing exponentially. In just 12 months we’ve seen our 58,000 strong workforce jump by 10%, and ensuring we can maintain a steady supply of diverse, highly-skilled professionals is vital to meet the needs of our growing digital economy. 「英国のサイバー分野は飛躍的に成長している。成長するデジタル経済のニーズに応えるためには、多様で高度なスキルを持つ専門家の安定供給を確保することが不可欠だ。
"It’s encouraging to see record numbers from a wide range of backgrounds and communities coming forward for this year’s Upskill in Cyber Programme. However, this is ultimately just one piece of the puzzle. 「今年のアップスキル・イン・サイバー・プログラムに、さまざまな背景やコミュニティから過去最多の応募があったことは心強い。 しかし、これは結局のところ、パズルの1ピースに過ぎない。
"We must continue our work with industry and education to improve tech skills across the economy, and we are continuing to invest in the potential of our brightest minds at all levels to unlock opportunity for people right across the country. 「私たちは、経済全体の技術スキルを向上させるために、産業界や教育界との協力関係を継続しなければならない。
With government-backed schemes such as Cyber Explorers and Cyber First already up and running and inspiring under-25s to consider a career in cyber, Upskill in Cyber focuses on giving opportunities to those already in the workforce by offering 14-week training programmes to equip people with the skills and knowledge they need to embark on new careers in the sector. サイバー・エクスプローラーズやサイバー・ファーストのような政府が支援するスキームがすでに稼働しており、25歳未満の若者にサイバー分野でのキャリアを検討するよう促している中、アップスキル・イン・サイバーは、この分野での新たなキャリアに着手するために必要なスキルと知識を身につけるための14週間のトレーニング・プログラムを提供することで、すでに就業している人々に機会を与えることに焦点を当てている。
Cyber skills are in huge demand across the economy. Last year’s cyber security skills in the UK labour market report found that 51% of businesses have a basic cyber skills gap, with an average of 21,600 new recruits needed every year to meet demand in the cyber sector. To meet this growing demand, the government has already acted on its science and technology superpower ambitions to equip future generations with vital skills from an early age. サイバー・スキルは経済全体で大きな需要がある。 昨年の英国労働市場におけるサイバーセキュリティ・スキルに関する報告書によると、企業の51%が基本的なサイバー・スキルのギャップを抱えており、サイバー分野の需要を満たすために毎年平均21,600人の新規採用者が必要とされている。この増大する需要に対応するため、ガバナンスはすでに科学技術大国の野望に基づき、将来の世代に幼少期から不可欠なスキルを身につけさせるべく行動を起こしている。
One of the ways this is being achieved is through the Cyber Explorers programme. Launched in 2022, the scheme teaches essential skills to 11 to 14-year-olds through a free online learning platform, including key security concepts such as open-source intelligence and digital forensics. Ensuring students of all ethnicities and those from socially deprived backgrounds can realise the programme’s benefits has been a central aspect of its design, with a series of local business-led events in Wales, Yorkshire, Birmingham, and Inverclyde offering vital support to unlock talent across the UK. Over 22,000 young people and 2,000 schools signed up for the programme in its first phase and the government is aiming to exceed 45,000 students this year. これを実現する方法のひとつが、サイバー・エクスプローラー・プログラムである。2022年に開始されたこのプログラムは、オープンソースインテリジェンスやデジタルフォレンジックといった重要なセキュリティの概念を含む必須スキルを、無料のオンライン学習プラットフォームを通じて11歳から14歳の子供たちに教えている。ウェールズ、ヨークシャー、バーミンガム、インバークライドで開催された地元企業主導の一連のイベントは、英国全土の才能を開花させるために不可欠な支援を提供した。 第1期では22,000人以上の若者と2,000校以上の学校がこのプログラムに登録し、ガバナンスは今年45,000人を超えることを目標としている。
The National Cyber Security Centre’s CyberFirst programme is another example of the huge strides the government is taking to boost the UK’s digital skills and encourage passionate students to follow careers in cyber. Including comprehensive bursary schemes for undergraduate study, a girls’ only competition, and thousands of free course places at UK universities and colleges, the scheme nurtures talent at all ages from secondary school through to further education. ナショナル・サイバー・セキュリティ・センターのサイバーファースト・プログラムは、英国のデジタル・スキルを向上させ、熱意ある学生にサイバー分野のキャリアを目指すよう奨励するために、ガバナンスが取っている大きな前進のもう一つの例である。学部生向けの包括的な奨学金制度、女子学生限定のコンテスト、英国の大学やカレッジでの数千の無料受講枠を含むこの制度は、中等教育から高等教育まで、あらゆる年齢層の才能を育成している。
Chris Ensor, NCSC Deputy Director for Cyber Growth, said: NCSCのサイバー成長担当副局長であるクリス・エンザー氏は、次のように述べた:
"Cyber security is an exciting and rapidly growing industry with opportunities in a wide range of areas. To meet this, we must build a sustainable – and crucially diverse – pipeline of talent. 「サイバーセキュリティはエキサイティングで急成長している産業であり、幅広い分野でチャンスがある。そのためには、持続可能な、そして極めて多様な人材のパイプラインを構築しなければならない。
"Collaboration across the industry will be key to filling the skills gap, including through initiatives like CyberFirst. We want to empower tomorrow’s cyber experts with the tools they need to keep the UK secure and resilient online. 「サイバーファーストのようなイニシアチブを含め、スキルギャップを埋めるためには、業界全体の協力が鍵となる。我々は、明日のサイバーエキスパートに、英国の安全性とレジリエンスをオンライン上で維持するために必要なツールを提供したい。
Global tech leaders have also started following the government’s lead to bridge the digital skills gap with new in-house initiatives. In May, Google launched a new Cybersecurity Career Certificate programme as a platform to develop the skills to fill critical cybersecurity roles, with students able to complete the scheme in under six months through part-time study. 世界的なハイテク企業のリーダーたちも、政府の主導に従い、社内の新たな取り組みによってデジタル・スキルのギャップを埋め始めている。5月、グーグルは、重要なサイバーセキュリティの役割を担うスキルを開発するためのプラットフォームとして、新しいサイバーセキュリティ・キャリア認定プログラムを開始した。
The Science and Technology Framework and the National Cyber Strategy established the government’s commitment to enhancing and expanding the nation’s cyber skills at every level. Programmes such as Upskill in Cyber, Cyber First, and Cyber Explorers continue to play a vital role in that mission as builds a digital workforce to unleash innovation, unlock opportunity, and secure the UK’s digital economy. 科学技術フレームワークと国家サイバー戦略は、あらゆるレベルで国民のサイバー・スキルを強化・拡大するという政府のコミットメントを確立した。「アップスキル・イン・サイバー」、「サイバー・ファースト」、「サイバー・エクスプローラーズ」などのプログラムは、イノベーションを解き放ち、チャンスを解き放ち、英国のデジタル経済を確保するデジタル人材を育成するというミッションにおいて、引き続き重要な役割を果たしている。

 

1_20230628012501

 

 

| | Comments (0)

EU理事会 デジタル外交 世界のデジタル問題におけるEUの行動強化に向けた優先行動を決定

こんにちは、丸山満彦です。

欧州理事会が、デジタル外交におけるEUの優先行動を決定しましたね。。。

  1. 関連するすべての多国間フォーラムに戦略的に関与し、現在のインターネット・ガバナンスのマルチステークホルダー・モデルを守ることである。

  2. 安全で信頼できるグローバルな接続性を形成するためのEUの「提案」であるグローバルゲートウェイにデジタル外交を組み込むことである。

  3. 二国間および地域のデジタル・パートナーシップと提携の強化を含め、世界のデジタル・ルールブックの形成者としてのEUの立場を強化することである。

ということのようです。。。

 

欧州連合理事会/EU理事会

European Council / Council of the European Union

・2023.06.26 Digital diplomacy: Council sets out priority actions for stronger EU action in global digital affairs

 

Digital diplomacy: Council sets out priority actions for stronger EU action in global digital affairs デジタル外交 EU理事会、世界のデジタル問題におけるEUの行動強化に向けた優先行動を決定
The Council today approved conclusions on EU digital diplomacy. EU理事会は本日、EUのデジタル外交に関する結論を承認した。
In times of increasing geopolitical challenges, the rapid development of disruptive technologies having a transformative impact on economies and societies requires that the EU and its member states strengthen their role and leadership in the global digital governance. 地政学的な課題が増大する中、経済や社会に変革をもたらす破壊的技術の急速な発展により、EUとその加盟国は、グローバル・デジタル・ガバナンスにおける役割とリーダーシップを強化することが求められている。
Against this background, the conclusions underline the need for a stronger, more strategic, coherent, and effective EU policy and action in global digital affairs, and set a series of priority actions, based on the progress achieved in the implementation of 2022 Council conclusions on EU Digital Diplomacy. このような背景の下、本結論文は、グローバルなデジタル問題において、より強力で戦略的、首尾一貫した効果的なEUの政策と行動の必要性を強調し、EUデジタル外交に関する2022年理事会結論の実施における進展に基づき、一連の優先行動を設定した。
The Conclusions stress that in order to bring its digital diplomacy to the next level, the EU needs to act in a “Team Europe” approach, jointly protecting its strategic interests and promoting its human-centric approach to digital transition. 同結論では、EUのデジタル外交を次のレベルに引き上げるために、EUは「チーム・ヨーロッパ」のアプローチで行動し、戦略的利益を共同で保護し、デジタル移行に対する人間中心のアプローチを推進する必要があると強調している。
This should be done: そのためには
first, by engaging strategically in all the relevant multilateral fora and safeguarding the current multistakeholder model of Internet governance 第一に、関連するすべての多国間フォーラムに戦略的に関与し、現在のインターネット・ガバナンスのマルチステークホルダー・モデルを守ることである。
second, by incorporating digital diplomacy in the Global Gateway, the EU’s “offer” to shape secure and trusted global connectivity 第二に、安全で信頼できるグローバルな接続性を形成するためのEUの「提案」であるグローバルゲートウェイにデジタル外交を組み込むことである。
finally, by strengthening the EU’s position as a shaper of the global digital rulebook, including through enhanced bilateral and regional digital partnerships and alliances 最後に、二国間および地域のデジタル・パートナーシップと提携の強化を含め、世界のデジタル・ルールブックの形成者としてのEUの立場を強化することである。
Text of the conclusions 結論本文
EU digital diplomacy: Council agrees a more concerted European approach to the challenges posed by new digital technologies (press release, 18 July 2022) EUのデジタル外交: EU理事会、新たなデジタル技術がもたらす課題に対する欧州の協調的アプローチに合意(プレスリリース、2022年7月18日)
Visit the meeting page 会議のページ

 

・[PDF]

20230925-62154

 

 

ANNEX COUNCIL CONCLUSIONS  on EU Digital Diplomacy  附属書 EUデジタル外交に関する理事会結論 
1. INTRODUCTION  1. 序文 
1.  In an increasingly challenging geopolitical context, aggravated by Russia’s full-scale illegal invasion and war of aggression against Ukraine, the threats to the EU’s human rights-based and human-centric model for digital transformation have become more acute and the importance of the leadership of the EU and its Member States on international digital governance is growing. The development of technologies which have a transformative impact on our economy and society, such as Artificial Intelligence, has accelerated rapidly, while the twin digital and green transitions offer a huge opportunity for sustainable development worldwide. The Council therefore underlines the need for a stronger, more strategic, coherent and effective EU policy and action in global digital affairs to confirm EU engagement and leadership. This is essential to strengthen the EU’s strategic autonomy, while preserving an open economy. It requires the EU and its Member States to further develop cooperation with partners around the world, bringing together and leveraging all diplomatic and policy tools, and ensuring complementarity and coherence between internal and external policies. To reach those objectives the EU and its Member States need to increase synergies between EU policies and actions, notably in the areas of human rights, cyber, hybrid, and digital. It also implies seeking synergies with policies and actions on science and research, technology, trade, economic security and supply chains. The Council also highlights the need to promote the digital skills and the engagement of young people, and to strengthen cooperation with civil society stakeholders such as academia, cultural and scientific institutions, as well as the private sector and professional associations.  1.  ロシアによるウクライナへの本格的な不法侵攻と侵略戦争によって地政学的状況が厳しさを増す中、EUの人権を基盤とした人間中心のデジタル変革モデルに対する脅威はより深刻化しており、国際的なデジタルガバナンスにおけるEUと加盟国のリーダーシップの重要性はますます高まっている。人工知能など、経済や社会に変革的な影響を与える技術の開発は急速に加速しており、一方で、デジタルとグリーンという2つの移行は、世界の持続可能な開発にとって大きな機会を提供している。従って、EU理事会は、EUの関与とリーダーシップを確認するため、グローバルなデジタル問題において、より強力で戦略的、首尾一貫した効果的なEUの政策と行動の必要性を強調する。これは、EUの戦略的自律性を強化し、同時に開放経済を維持するために不可欠である。そのためには、EUと加盟国が世界中のパートナーとの協力をさらに発展させ、あらゆる外交・政策手段を結集・活用し、内政と外政の補完性と一貫性を確保する必要がある。こうした目標を達成するために、EUと加盟国は、特に人権、サイバー、ハイブリッド、デジタルの分野において、EUの政策と行動間の相乗効果を高める必要がある。また、科学・研究、技術、貿易、経済安全保障、サプライチェーンに関する政策や行動との相乗効果を追求することも重要である。理事会はまた、デジタル技術と若者の参加を促進し、学術機関、文化機関、科学機関、民間企業、専門家団体などの市民社会関係者との協力を強化する必要性を強調している。
2.  Based on the progress achieved in the implementation of 2022 Council Conclusions[1], which spelled out the principles, objectives and tools of EU Digital Diplomacy, built on universal human rights, fundamental freedoms, the rule of law and democratic principles, the Council emphasises the need to enhance the implementation and coherence of all aspects of digital diplomacy by carrying out a set of priority actions.  2.  普遍的人権、基本的自由、法の支配、民主主義の原則を基礎とするEUデジタル外交の原則、目的、手段を明記した2022年理事会結論[1]の実施における進展に基づき、理事会は、一連の優先行動を実施することにより、デジタル外交のあらゆる側面の実施と一貫性を強化する必要性を強調する。
2. PRIORITY ACTIONS  2. 優先行動 
3.  The Council calls on the High Representative, the Commission and Member States to continue to respect, protect and promote human rights, democratic processes and the rule of law online just as we do offline, in particular by fostering digital literacy as well as to advance the human-centric and human rights-based approach to digital technologies, such as Artificial Intelligence, throughout their whole lifecycle. In this respect, a risk-based approach and human rights due diligence practices, including regular and comprehensive human rights impact assessments, are needed to ensure alignment of design, development and use of digital technologies with applicable human rights standards in line with the vision of digital humanism and preserving human dignity. In line with the EU Action Plan on Human rights and Democracy, the EU and its Member States will pay particular attention to protecting the rights of those in vulnerable and/or marginalized situations, including women, youth, children, older people and persons with disabilities, continue to address inequalities, such as the digital gender divide and step up action to strongly oppose and combat all forms of discrimination on any ground with a specific attention to multiple and intersecting forms of discrimination, including on grounds of sex, race, ethnic or social origin, religion or belief, political or any other opinion, disability, age, sexual orientation and gender identity. Priority areas of action will continue to focus on promoting an open, free, neutral, global, interoperable, reliable and secure internet, on the online protection of human rights defenders (HRDs) and the safety of journalists, the fight against Internet shutdowns, online censorship and unlawful online surveillance.  3.  特にデジタル・リテラシーを育成し、人工知能のようなデジタル技術のライフサイクル全体を通じて、人間中心、人権に基づくアプローチを推進する。この点で、デジタル・ヒューマニズムと人間の尊厳の保持というビジョンに沿って、デジタル技術の設計、開発、使用と、適用される人権基準との整合性を確保するためには、定期的かつ包括的な人権影響アセスメントを含む、リスク・ベースのアプローチと人権デュー・ディリジェンスの実践が必要である。人権と民主主義に関するEU行動計画に沿って、EUとその加盟国は、女性、若者、子供、高齢者、障害者など、脆弱な状況にある人々や周縁化された人々の権利保護に特に注意を払い、不平等への取り組みを継続する、 性、人種、民族的または社会的出身、宗教または信条、政治的またはその他の意見、障害、年齢、性的指向および性自認を理由とする差別など、複合的かつ交差する形態の差別に特に注意を払いながら、あらゆる理由によるあらゆる形態の差別に強く反対し、それと闘うための行動を強化する。優先行動分野は引き続き、開かれた、自由で、中立的で、グローバルで、相互運用可能で、信頼性が高く、安全なインターネットの促進、人権擁護者(HRDs)のオンライン保護とジャーナリストの安全、インターネット閉鎖、オンライン検閲、違法なオンライン監視との闘いに焦点を当てる。
4.  The Council calls on the High Representative, the Commission and Member States to further strengthen cooperation in and with relevant multilateral and multistakeholder fora by working in a Team Europe approach, exploring the possibilities of burden-sharing for better coordination on digital issues. To this end, the EU will:  4.  EU理事会は、EU上級代表者、欧州委員会および加盟国に対し、デジタル問題に関するより良い調整のための負担分担の可能性を探りながら、チーム・ヨーロッパ方式で取り組むことにより、関連する多国間およびマルチステークホルダーフォーラムにおける協力をさらに強化するよう要請する。そのために、EUは以下を行う: 
a) Strengthen its capacity to provide substantive and coordinated guidance on digital issues towards Geneva-based organizations such as the International Telecommunication Union (ITU) and World Trade Organization (WTO) and strengthen coordination in other important fora where Team Europe increasingly consolidates its role in digital policy development discussions, including the United Nations, the office of the High Commissioner for Human Rights (OHCHR), UN Special Procedures, UNESCO, the Organization for Economic Co-operation and Development (OECD), the Organization for Security and Co-operation in Europe (OSCE) and Council of Europe (CoE). In doing so, the EU will ensure close coordination between diplomats on the ground, experts in Brussels and Member State capitals, in order to ensure the implementation of a human-rights based and human centric approach to digitalisation and emerging technologies.  a) 国際電気通信連合(ITU)や世界貿易機関(WTO)のようなジュネーブを拠点とする組織に対して、デジタル問題に関する実質的かつ協調的な指針を提供する能力を強化し、また、国連、人権高等弁務官事務所(OHCHR)、国連特別手続き機関、ユネスコ、経済協力開発機構(OECD)、欧州安全保障協力機構(OSCE)、欧州評議会(CoE)など、欧州チームがデジタル政策開発の議論においてその役割をますます強化しているその他の重要な場における協調を強化する。そうすることで、EUは、デジタル化と新興技術に対する人権に基づく人間中心のアプローチの実施を確保するため、現場の外交官、ブリュッセルの専門家、加盟国の首都間の緊密な連携を確保する。
b) Convey joint positions to secure greater impact in the UN-led processes taking place over the next two years, and which will shape the way the digital matters are managed globally, notably the negotiations of the Global Digital Compact (GDC) and close cooperation with the UN Tech Envoy in particular on matters concerning Human Rights and the multistakeholder model of Internet Governance which is open, inclusive and decentralised. The EU contributions to the GDC need to be consistently complemented by outreach with partners of the multistakeholder communities.  b) 今後2年間に行われる国連主導のプロセスにおいて、より大きな影響力を確保するための共同ポジショ ンを伝える、 特に、グローバル・デジタル・コンパクト(GDC)の交渉や、人権や、オープンで包括的かつ分散化されたインターネットガバナンスのマルチステークホルダーモデルに関する国連技術特使との緊密な協力である。GDCへのEUの貢献は、マルチステークホルダー・コミュニティのパートナーとのアウトリーチによって一貫して補完される必要がある。
c)  Strengthen the role of the EU in the International Telecommunication Union (ITU), by clarifying strategic goals, notably in view of the Plenipotentiary Conference in 2026, developing coordinated positions, including, where appropriate, with other partners in the European Conference of Postal and Telecommunications Administrations (CEPT), particularly on telecommunication standardisation, including future generation such as 6G, radio-communication and development, conducting cross-regional outreach and promoting as a strategic objective the ITU’s commitment to achieving universal, meaningful connectivity that respects human rights and fundamental freedoms; and increasing cooperation among EU Member States represented in the ITU Council. The EU should also aim to strengthen coordination in the International Organization for Standardization (ISO) and other standard setting fora to ensure that new technologies develop on the basis of interoperable and/or open standards.  c) 国際電気通信連合(ITU)におけるEUの役割を強化する。特に2026年の全権委員会議を視野に入れた戦略的目標の明確化、欧州郵政電気通信行政会議(CEPT)における他のパートナーとの協調的な立場の策定(適切な場合)を行う、 特に、6Gなどの次世代を含む電気通信標準化、無線通信および開発、地域横断的なアウトリーチの実施、戦略的目標として人権と基本的自由を尊重する普遍的で有意義なコネクティビティの実現に向けたITUのコミットメントの推進を行う; また、ITU理事会に代表されるEU加盟国間の協力を強化する。EUはまた、国際標準化機構(ISO)およびその他の標準策定フォーラムにおける協調を強化し、新技術が相互運用可能な標準および/またはオープンな標準に基づいて発展することを確保することを目指すべきである。
d) Seek coordinated EU positions on candidatures in the elections for strategic positions to relevant international fora.  d) 関連する国際フォーラムの戦略的地位の選挙における立候補について、EUの協調的な立場を模索する。
e)  Work with partners in the G7 to reinforce the security of critical digital infrastructures, promote data free flow with trust and boost the resilience of global ICT supply chains; further contribute to G20 goals of sharing technical capabilities with developing countries.  e) 重要なデジタルインフラのセキュリティを強化し、信頼に基づくデータの自由な流通を促進し、グローバルなICTサプライチェーンのレジリエンスを高めるために、G7のパートナーと協力する。
f)  Actively engage and make substantive progress towards an ambitious agreement on ecommerce in the context of the World Trade Organisation (WTO), including rules on the data free flow with trust; to take an active part, alongside other members, in the WTO’s e-commerce work programme, and to make permanent the moratorium on customs duties on electronic transmissions.  f) 世界貿易機関(WTO)の文脈において、信頼あるデータの自由な流通に関するルールを含む、電子商取引に関する野心的な合意に向け、積極的に関与し、実質的な進展を図る。他の加盟国とともに、WTOの電子商取引作業計画に積極的に参加し、電子通信に対する関税のモラトリアムを恒久化する。
g) Address multilateral issues as an integral part of the Digital Partnerships and other relevant Dialogues with countries around the world in order to build consensus around EU positions and promote key principles underpinning the EU’s own regulatory framework.  g) EUの立場についてコンセンサスを形成し、EU自身の規制の枠組みを支える主要原則を促進するために、デジタル・パートナーシップおよびその他の世界各国との関連対話の不可欠な一部として、多国間の問題に取り組む。
h) Develop coordinated positions related to the architecture of Internet governance. Recognising the importance of the issue and critical timeline of the upcoming processes related to Internet governance, the Council invites the High Representative, the Commission (assisted by expert fora such as the High Level Group on Internet Governance), and the Member States – through the relevant preparatory bodies and, where appropriate their delegations– to focus on the following key multistakeholder fora. This includes active support of the Internet Corporation for Assigned Names and Numbers (ICANN) on issues of strategic importance such as ensuring internet stability, security, and interoperability; enhanced coordination in the World Summit on Information Society (WSIS+20) in 2025; and coordination in order to ensure that an improved Internet Governance Forum (IGF) remain the main global platform for multistakeholder digital dialogue after 2025, in order to maintain support for the open, global, free, interoperable and decentralised internet including in the context of the negotiations for a Global Digital Compact. Opportunities should be further explored to engage with the Freedom Online Coalition (FOC).  h) インターネットガバナンスのアーキテクチャに関連する協調的な立場を展開する。この問題の重要性と、インターネット・ガバナンスに関連する今後のプロセスの重要なタイムラインを認識し、理事会は、代表者、欧州委員会(インターネット・ガバナンスに関するハイレベル・グループなどの専門家会議が支援する)、および加盟国に対し、関連する準備団体および適切な場合には代表団を通じて、以下の主要なマルチステークホルダーフォーラムに焦点を当てるよう要請する。これには、インターネットの安定性、安全性、相互運用性の確保といった戦略的に重要な問題に関するICANN(Internet Corporation for Assigned Names and Numbers)への積極的な支援、2025年の世界情報社会サミット(WSIS+20)における調整の強化、2025年以降も改善されたインターネット・ガバナンス・フォーラム(IGF)がマルチステークホルダーによるデジタル対話の主要な世界的プラットフォームであり続けるための調整などが含まれる。フリーダム・オンライン連合(FOC)と関わる機会をさらに模索すべきである。
5.  The Council invites the Commission, the High Representative, and Member States to leverage the web of strategically important bilateral and regional partnerships through enhanced partnership and cooperation: the EU-US and EU-India Trade & Technology Councils; the Digital Partnerships with Japan, the Republic of Korea, Singapore, and future one with Canada, the EU-Latin America and Caribbean Digital Alliance, and to continue identifying and developing new ones, when and where these are strategically relevant. The pursuit of common digital trade rules with Australia, India, Indonesia, Thailand and possible digital trade negotiations with the Republic of Korea and Singapore, as well as the negotiation on commitments on cross-border data flows with Japan are key elements of the EU’s effort to promote data free flow with trust. By fully exploiting the potential of these partnerships, the EU can position itself as a leader and partner of choice in global technological development, standardisation and governance and secure deployment of critical and emerging technologies such as semiconductors, artificial intelligence, 5G and 6G, subsea data cables, online platforms and quantum technologies.  5.  理事会は、欧州委員会、上級代表および加盟国に対し、パートナーシップと協力の強化を通じて、戦略的に重要な二国間および地域的パートナーシップの網を活用するよう要請する。すなわち、EU-米国およびEU-インドの貿易・技術評議会、日本、韓国、シンガポールとのデジタル・パートナーシップ、カナダとの将来的なパートナーシップ、EU-ラテンアメリカ・カリブ海デジタル・アライアンス、そして、戦略的に適切な場合には、また、そのような場合には、新たなパートナーシップの特定と開発を継続する。オーストラリア、インド、インドネシア、タイとの共通のデジタル貿易ルールの追求、韓国およびシンガポールとのデジタル貿易交渉の可能性、日本との国境を越えたデータの流れに関する約束の交渉は、信頼に基づくデータの自由な流れを促進するEUの努力の重要な要素である。これらのパートナーシップの可能性を十分に活用することにより、EUは、半導体、人工知能、5Gおよび6G、海底データケーブル、オンラインプラットフォーム、量子技術などの重要な新興技術のグローバルな技術開発、標準化、ガバナンス、安全な展開において、自らをリーダーとして、またパートナーとして選ぶことができる。
6.  The Council welcomes the progress realised in the EU-US Trade and Technology Council on standards for the development and use of critical and emerging technologies. As stated at the fourth Ministerial meeting in Luleå, Sweden, given the rapid pace of technological developments, the EU and the US are committed to deepening their cooperation on technology issues, including on AI, 6G, online platforms and quantum.  6.  EU理事会は、重要技術および新興技術の開発と利用のための標準に関するEU・米国貿易技術理事会の進展を歓迎する。スウェーデンのルレオで開催された第4回閣僚会合で表明されたように、技術開発の急速なペースに鑑み、EUと米国は、AI、6G、オンライン・プラットフォーム、量子を含む技術問題に関する協力の深化にコミットしている。
7.  The EU stands ready to step up its engagement and cooperation to address common challenges by making our offer more attractive and relevant to our partners’ needs. This implies addressing digital divides, promoting and providing cyber-secure digital public infrastructure, as well as digital commons which contribute to increasing the usability of new technologies and data for the benefit of a society as a whole, offering trusted and secure international connectivity, such as subsea and terrestrial cables, or wireless networks, and taking into account ICT supply chain security as an important element of building a resilient digital ecosystem[2]. With Global Gateway, the EU has the means to provide a competitive offer of state-of-the-art digital infrastructure investments combined with the strategic promotion of our technological solutions and standards, with a regulatory and legislative dialogue to make the most of the digital transformation while addressing its risks. Along with capacity-building and targeted regulatory assistance in key areas, such as cybersecurity, platforms, data, AI and digital identity, the EU should promote human-rights-based and human-centric digital transformation. The Digital for Development (D4D) Hub is a good example of the Team Europe approach to digital cooperation with partner regions globally. The Council welcomes the digital economy packages announced with Nigeria, Democratic Republic of Congo and Colombia, as well as the Global Gateway digital initiatives, and calls on the High Representative, the Commission, Member States, and financial institutions to work in a Team Europe approach to expand the number of Global Gateway digital projects[3]. In particular, it calls on the European Investment Bank to consider enhancing its portfolio of secure digital connectivity investments, including in mobile networks and subsea cables, going forward and invites the Commission to continue the work on developing coordination of export credit facilities for connectivity projects, including together with similar financing instruments of like-minded partners.  7.  EUは、我々の提案をより魅力的なものとし、パートナーのニーズに合ったものとすることにより、共通の課題に取り組むための関与と協力を強化する用意がある。このことは、デジタルデバイドへの対応、サイバーセキュアなデジタル公共インフラの促進とプロバイダ、社会全体の利益のために新技術とデータの利便性を高めることに貢献するデジタルコモンズの提供、海底ケーブルや地上ケーブル、無線ネットワークなどの信頼できる安全な国際接続の提供、レジリエンスなデジタルエコシステム[2]を構築する重要な要素としてICTサプライチェーンのセキュリティを考慮することを意味する。グローバルゲートウェイにより、EUは、最先端のデジタルインフラ投資と、EUの技術ソリューションおよび標準の戦略的推進を組み合わせた競争力のある提案を、そのリスクに対処しつつデジタル変革を最大限に活用するための規制および立法との対話とともに提供する手段を有する。サイバーセキュリティ、プラットフォーム、データ、AI、デジタル・アイデンティティなどの主要分野における能力構築と的を絞った規制支援とともに、EUは人権に基づく、人間中心のデジタル変革を推進すべきである。開発のためのデジタル(D4D)ハブは、世界のパートナー地域とのデジタル協力におけるチーム・ヨーロッパのアプローチの好例である。理事会は、ナイジェリア、コンゴ民主共和国、コロンビアとの間で発表されたデジタル経済パッケージ、およびグローバル・ゲートウェイ・デジタル機構を歓迎し、上級代表、欧州委員会、加盟国、金融機関に対し、グローバル・ゲートウェイ・デジタル機構[3]のプロジェクト数を拡大するために、チーム・ヨーロッパのアプローチで取り組むよう要請する。特に、欧州投資銀行に対し、モバイル・ネットワークや海底ケーブルを含む、安全なデジタル接続への投資ポートフォリオの強化を今後検討するよう求めるとともに、欧州委員会に対し、志を同じくするパートナーの同様の融資手段との連携を含め、接続性プロジェクトに対する輸出信用枠の調整を発展させる作業を継続するよう求める。
8.  The Council stresses the importance of strengthening cooperation in tackling foreign information manipulation and interference (FIMI), including disinformation, by foreign threat actors, particularly the Russian Federation, including in the context of its war of aggression against Ukraine in the digital space and underlines the importance of stepping up work within the EU, as well as with partners, third countries and other stakeholders, notably online platforms.  8.  理事会は、デジタル空間におけるウクライナに対する侵略戦争との関連も含め、外国の脅威行為者、特にロシア連邦による偽情報を含む外国による情報操作・干渉(FIMI)への取り組みにおける協力強化の重要性を強調し、EU域内だけでなく、パートナー、第三国、その他の利害関係者、特にオンライン・プラットフォームとの作業を強化することの重要性を強調する。
9.  The Council calls on the High Representative, the Commission, Member States, and financial institutions to strengthen mutual resilience by enhancing digital capacity building and cooperation, notably through the Economic and Investment Plans with partners in the Western Balkans and the Eastern Partnership, in particular with those partners with an EU membership perspective, as well as in the Southern Neighbourhood region, and in line with the Digital Agenda for Western Balkans, the Eastern Partnership’s EU4Digital Initiative, and the New Agenda for the Mediterranean.  9.  理事会は、西バルカン諸国および東方パートナーシップのパートナー、特にEU加盟を視野に入れているパートナー、ならびに南近隣地域との経済・投資計画を通じて、また、西バルカン地域のためのデジタル・アジェンダ、東方パートナーシップのEU4デジタル・イニシアティブ、地中海のための新たなアジェンダに沿って、特にデジタル能力構築と協力を強化することにより、相互のレジリエンシーを強化するよう、上級代表、欧州委員会、加盟国、金融機構に要請する。
10. The digital transformation of Ukraine has been a key element of the resilience of its economy and society in its defence against Russian aggression and will be a key pillar of its reconstruction. The Council underlines the need to foster resilience of Ukraine’s ICT ecosystem, and reiterates the EU’s unwavering support to Ukraine for as long as it takes.  10. ウクライナのデジタルトランスフォーメーションは、ロシアの侵略に対する防衛において、同国の経済と社会のレジリエンスの重要な要素であり、同国の復興の重要な柱となるであろう。EU理事会は、ウクライナのICTエコシステムのレジリエンスを育成する必要性を強調し、ウクライナが必要とする限り、EUが揺るぎない支援を行うことを改めて表明する。
11. In line with the commitments made at the 2022 EU-AU Summit, the Council calls on the High Representative, the Commission, and Member States to enhance digital capacity building and cooperation with Africa, as well as to ensure that EU investment in secure digital infrastructure in Africa is coordinated, so that capacity building and support for the development of appropriate policy and regulatory frameworks is prepared in cooperation with the African Union and partners such as Smart Africa, so as to bring an enhanced level of continent-wide partnership that is in accordance with the importance of the relationship between the EU and Africa.  11. 2022年のEU・AU首脳会議でのコミットメントに沿って、EU理事会は、EU上級代表、欧州委員会および加盟国に対し、アフリカとのデジタル能力構築および協力を強化するとともに、アフリカにおける安全なデジタル・インフラへのEUの投資が調整され、アフリカ連合およびスマート・アフリカのようなパートナーとの協力の下、能力構築および適切な政策・規制の枠組み構築のための支援が準備され、EUとアフリカの関係の重要性に見合った、大陸全体にわたるパートナーシップの強化がもたらされるようにすることを要請する。
12. The Council calls for the informal EU Digital Diplomacy Network to continue to engage in strategic discussions on key emerging and challenging issues of tech and digital policy and regularly to convene in enlarged format, bringing in, as appropriate, other European and likeminded partners, as well as other stakeholders and relevant networks, and to further strengthen its coordination with the EU Cyber Ambassadors’ Network.  12. 理事会は、非公式なEUデジタル外交ネットワークが、技術およびデジタル政策に関する重要な新興の難題について戦略的な議論を継続し、拡大された形式で定期的に開催され、適宜、他の欧州のパートナーや同様の考えを持つパートナー、その他の利害関係者、関連するネットワークが参加し、EUサイバー大使ネットワークとの連携をさらに強化することを要請する。
13. With a view to ensuring a coordinated approach and effective positive outreach on digital matters, the Council invites the High Representative, the Commission and Member States to promote the establishment of informal digital hubs in key partner countries, where EU Delegations and Member States’ Diplomatic representations work closely together in a systematic and coordinated manner, and engage in information sharing and action on crosscutting issues with relation to digital and technological development. In order effectively to use those networks, both the EU and Member States should prioritise digital diplomacy resources abroad, continue to reinforce capacity-building and enhance EU coordination on digital matters.  13. デジタル問題に関する協調的アプローチと効果的な積極的働きかけを確保する観点から、理事会は、EU代表部および加盟国の外交代表部が体系的かつ協調的な方法で緊密に協力し、デジタルおよび技術開発に関連する横断的な問題に関する情報共有および行動に関与する、非公式なデジタル・ハブの主要なパートナー諸国における設置を促進するよう、上級代表、欧州委員会および加盟国に要請する。このようなネットワークを効果的に活用するために、EUと加盟国の双方は、海外におけるデジタル外交のリソースを優先させ、能力構築を継続的に強化し、デジタルに関するEU間の調整を強化すべきである。
14. Recognising the important role the tech sector can play in the support of the EU’s Digital Diplomacy objectives, the Council calls on the High Representative, the Commission, and Member States to explore avenues for coordinated dialogue and structured cooperation with the tech industry in key strategic areas, including critical and emerging technologies and secure connectivity, to strengthen the EU’s shared approach, as well as its innovation and industrial growth, and promote European standards, regulatory approaches and trusted vendors globally. The efforts should seek to find common ground and aligned strategic visions based on shared values and interests in the intersection of technology development, standardisation, and geopolitics that benefit both the EU and the industry. This should be done including through using the Business Advisory Group set up to ensure private sector involvement in the implementation of the Global Gateway, as well as other frameworks of industrial dialogue on digital such as the Trade & Technology Councils, Digital Partnerships, Dialogues and Alliances, as well as within key standardisation bodies. The experience gained through the engagement of the EU Office in San Francisco with the tech sector should be used.  14. EUのデジタル外交の目標を支援する上で、ハイテク産業が果たすことのできる重要な役割を認識し、理事会は、EUの共有のアプローチ、およびEUの技術革新と産業の成長を強化し、欧州の標準、規制的アプローチ、信頼できるベンダーを世界的に促進するために、EU上級代表、欧州委員会、加盟国に対し、重要な新技術や新興技術、安全な接続性を含む主要な戦略分野において、ハイテク産業との協調的対話および構造的協力の道を探るよう要請する。この取り組みは、技術開発、標準化、地政学が交差する分野において、EUと産業界の双方に利益をもたらす共通の価値観と関心に基づき、共通の基盤および一致した戦略的ビジョンを見出すことを目指すべきである。これは、グローバル・ゲートウェイの実施における民間部門の関与を確保するために設置されたビジネス諮問グループや、貿易・技術評議会、デジタル・パートナーシップ、対話・提携、主要な標準化団体内など、デジタルに関する他の産業対話の枠組みを活用することも含めて行われるべきである。サンフランシスコのEU事務所とハイテク産業との関わりを通じて得られた経験を活用すべきである。
15. The Council underlines that, in order to play a role in shaping digital geopolitics, the EU and its Member States need to scale up their capacities on digital diplomacy including through better cooperation on training and information-sharing tools, addressed to EU and Member States diplomats, looking for synergies and sharing best practices between the EU, Member States, academia, private sector, civil society and other relevant stakeholders. The Council invites the High Representative and the Commission to ensure within two years that at least one official in every EU Delegation has relevant expertise on digital diplomacy matters and that diplomats posted in EU Delegations receive relevant training as part of their pre-posting process.  15. 理事会は、デジタル地政学の形成において役割を果たすためには、EUおよび加盟国は、EUおよび加盟国の外交官を対象とした研修や情報共有ツールに関するより良い協力、EU、加盟国、学界、民間セクター、市民社会、その他の関連する利害関係者間での相乗効果の模索やベストプラクティスの共有などを通じて、デジタル外交に関する能力を拡大する必要があることを強調する。理事会は、EU代表部および欧州委員会に対し、2年以内に、すべてのEU代表部の少なくとも1名の職員がデジタル外交に関する専門知識を有し、EU代表部に赴任する外交官が赴任前のプロセスの一環として関連する研修を受けることを確保するよう求める。
16. The Council will revert to this issue by summer 2024 and invites the High Representative, the Commission, and Member States regularly to assess progress and to continue regularly to report to the Council on digital diplomacy implementation.  16. 理事会は、2024年夏までにこの問題を再検討し、上級代表、欧州委員会および加盟国に対し、進捗状況を定期的に評価し、デジタル外交の実施状況を理事会に定期的に報告し続けるよう要請する。

 

 

| | Comments (0)

2023.06.27

英国 NSCS (サイバーセキュリティ向け)リスクマネジメントガイドの改訂 (2023.06.23) + 取締役会向けサイバーセキュリティ・ツールキット (2023.03.30)

こんにちは、丸山満彦です。

NISTもCybersecurity Flameworkを開発し現在改訂中、日本も経済産業省がサイバーセキュリティ経営ガイドライン Ver3.0をこの3月に公表しています。英国でも、サイバーセキュリティ用のリスクマネジメントガイドがありますが、今回それが改訂されていますね。。。

ちょうど先日、経済産業省関係の委員会があり、サイバーセキュリティ経営ガイドラインをベースに開発されている様々な文書を改訂していくことになっているのですが、英国のやり方を参考にしたらどうかという意見を言いました。

英国のガイドラインは、PDFではなく、HTML形式で、上書きされていき、常に最新のものが見られるようになっています。このようなスタイルにしたらどうかということを言いました。もちろん、PDF形式で過去のバージョンを残しておく必要があるかもしれません。

 

National Cyber Security Centre - Blog

・2023.06.26 New techniques added to the NCSC’s ‘risk management toolbox’

 

New techniques added to the NCSC’s ‘risk management toolbox’ NCSCの「リスクマネジメントツールボックス」に新たな手法が加わる
Refreshed guidance published to help practitioners manage cyber risk. サイバーリスクマネジメントを支援するガイダンスを更新した。
It has been 5 years since we last updated our risk management guidance, since then a lot has changed in the worlds of global politics, technology, and cyber security. 前回のリスクマネジメントガイダンスの更新から5年が経過し、世界政治、テクノロジー、サイバーセキュリティの世界では多くの変化があった。
Our aim is to provide practical advice that is relevant for modern technology systems and services. As always, our guidance is backed by our practical experience of working on the most challenging risk management problems, feedback from users, and expert research from our sociotechnical and risk group. 我々の目的は、現代の技術システムやサービスに適した実践的なアドバイスを提供することである。これまでと同様、我々のガイダンスは、最も困難なリスクマネジメントの問題に取り組んできた実践的な経験、ユーザーからのフィードバック、そして我々の社会技術・リスクグループによる専門的な研究に裏打ちされている。
Some things in the guidance remain unchanged. For example, in order to effectively manage cyber security risk, it is important to use component driven and system driven perspectives on risk, and to make use of a variety of risk management information sources. ガイダンスの中には、変わらないものもある。例えば、サイバーセキュリティのリスクを効果的に管理するためには、リスクについてコンポーネント駆動型とシステム駆動型の視点を使い分けること、そして様々なリスクマネジメント情報源を活用することが重要である。
However, this update includes three entirely new sections: しかし、今回の更新には、3つの全く新しいセクションが含まれている:
1. Firstly, we have developed an 8-step cyber security risk management framework to help you understand ‘what a good approach to risk management looks like’ for your organisation. Whilst the steps in the framework use ISO/IEC 27005 as a handrail, similar activities will be found in many other risk management methods and approaches. 1. 第一に、組織にとっての「リスクマネジメントの優れたアプローチとはどのようなものか」を理解するのに役立つ8つのステップからなるサイバーセキュリティリスクマネジメントのフレームワークを開発した。フレームワークのステップでは、ISO/IEC 27005を手すりとして使用しているが、同様の活動は他の多くのリスクマネジメント手法やアプローチにも見られる。
2. Secondly, we have introduced the idea of a cyber security risk management toolbox. We use the toolbox metaphor because there is no ‘one size fits all’ approach to risk management. You’ll need to use the most appropriate technique, or method to deal with the risk management challenge you’re facing. We expect that as new techniques emerge, the contents of this cyber security risk management toolbox will increase, but at the moment the toolbox comprises: 2. 第二に、サイバーセキュリティリスクマネジメントのツールボックスという考え方を導入した。ツールボックスという比喩を使うのは、リスクマネジメントには「これ一つですべて対応できる」アプローチはないからである。直面しているリスクマネジメントの課題に対処するために、最も適切な技法や手法を用いる必要がある。新しい技法が出現するにつれて、このサイバーセキュリティリスクマネジメントツールボックスの内容も増えていくことが予想されるが、現時点では、以下のようなツールボックスで構成されている:
 • component driven and system driven approaches to risk management  - リスクマネジメントに対するコンポーネント駆動型アプローチとシステム駆動型アプローチ
 • using qualitative and quantitative risk management information  - 定性的・定量的リスクマネジメント情報の活用
 • using threat modelling  - 脅威のモデル化
 • using attack trees  - 攻撃ツリーの使用
 • using cyber security scenarios  - サイバーセキュリティシナリオを使用する
3. Thirdly, we have introduced a basic risk assessment and management method for readers who are new to risk management, or have a very simple risk management requirement. As we explain, it’s not suitable for complicated or complex risk management scenarios, and it is not intended to be used as the ‘NCSC-approved’ risk management method. This method isn’t based on any single method, but it is similar to the (more complex) bottom up and component driven approaches recommended by NIST and the International Standards Organisation. 3. 第三に、リスクマネジメントを初めて学ぶ読者や、ごく単純なリスクマネジメントしか必要としない読者のために、基本的なリスクアセスメントとマネジメントの方法を紹介した。説明したように、複雑なリスクマネジメントや複雑なリスクマネジメントシナリオには適さないし、「NCSC公認」のリスクマネジメント手法として使用することも意図していない。 この手法は単一の手法に基づくものではないが、NISTや国際標準化機構が推奨する(より複雑な)ボトムアップ型アプローチやコンポーネント駆動型アプローチに類似している。
Finally, we’ve revived the assurance model from one of CESG’s deprecated, ‘Good Practice Guides’. We’ve done this is to help you understand how you can gain and maintain assurance in the products, systems, and services you use. Whilst the four assurance mechanisms in the CESG assurance model haven’t changed (and they all still need to be applied for an organisation to gain and maintain confidence or assurance), we have updated the list of potential assurance activities that could be used to gain and maintain intrinsic, extrinsic, operational and implementation assurance. 最後に、CESGが廃止した「グッド・プラクティス・ガイド」のひとつから、保証モデルを復活させた。これは、あなたが使用する製品、システム、サービスにおいて、どのように保証を獲得し、維持できるかを理解してもらうためである。CESGの保証モデルにおける4つの保証メカニズムに変更はないが(組織が信頼や保証を獲得し維持するためには、これらすべてを適用する必要があることに変わりはない)、内在的保証、外在的保証、運用保証、実施保証を獲得し維持するために使用できる可能性のある保証活動のリストを更新した。
We are already thinking about and working on further tools for the toolbox. In the meantime if you have any feedback on this guidance do let us know. 私たちはすでに、ツールボックスのさらなるツールについて考え、取り組んでいる。このガイダンスについてご意見があれば、ぜひお聞かせいただきたい。
Rick C & Nathan H リックC&ネイサンH
NCSC Government Team NCSCガバナンスチーム

 

ガイダンス

・2023.06.23 Risk management ver 2.0

1_20230627065901

Risk management リスクマネジメント
The fundamentals and basics of cyber risk サイバーリスクの基礎と基本
Cyber security risk management framework サイバーセキュリティリ・スクマネジメント・フレームワーク
Cyber security governance サイバーセキュリティガバナンス
Introducing the cyber security risk management toolbox サイバーセキュリティ・リスクマネジメント・ツールボックスの紹介
A basic risk assessment and management method 基本的なリスクアセスメントとマネジメント手法
Risk management information リスクマネジメント情報
Introducing cyber security risk quantification サイバーセキュリティリスクの定量化の紹介
Introducing system and component driven risk management approaches システム主導型とコンポーネント主導型のリスクマネジメント手法の紹介
System driven risk management methods システム主導のリスクマネジメント手法
Component driven risk management methods コンポーネント駆動型のリスクマネジメント手法
How to gain and maintain assurance 保証の獲得と維持の方法
Using attack trees to understand cyber security risk 攻撃ツリーを使ってサイバーセキュリティリスクを理解する
Threat Modelling 脅威モデリング
Using cyber security scenarios サイバーセキュリティシナリオを使用する

 

 

 


どうも過去に紹介していなかったので、過去の関連記事も...

・2023.05.15 i100 industry team and NCSC collaborate on refreshed guidance for boards

i100 industry team and NCSC collaborate on refreshed guidance for boards i100業界チームとNCSCが共同で取締役会向けガイダンスを刷新
NCSC’s cyber security Board Toolkit draws on industry expertise in a major update to the guidance. NCSCのサイバーセキュリティ取締役会ツールキットは、ガイダンスの大幅な更新において業界の専門知識を活用している。
Originally published in 2019, the NCSC’s cyber security Board Toolkit helps boards ensure that cyber resilience and risk management are embedded throughout their organisations. The guidance is aimed at medium/large organisations of all sectors, ranging from charities and schools to law firms and retail. 2019年に発表されたNCSCのサイバーセキュリティ取締役会ツールキットは、取締役会がサイバーレジリエンスとリスクマネジメントを組織全体に確実に浸透させることを支援する。このガイダンスは、慈善団体や学校から法律事務所や小売業まで、あらゆるセクターの中規模・大規模組織を対象としている。
It proved very popular with industry, and it’s their feedback, together with input from non-executive directors and our i100 industry team, that has prompted an update. This is to ensure the guidance remains up-to-date, relevant, and framed in language that boards are familiar with. このガイダンスは産業界で非常に好評であり、社外取締役やi100産業チームからのフィードバックもあって、今回の更新に至った。これは、ガイダンスが常に最新かつ適切で、取締役会が慣れ親しんでいる言葉で構成されていることを保証するためである。
When I was tasked with updating the Board Toolkit, I really wanted to draw on the knowledge and expertise of the various industry sectors to reflect the real-life challenges that boards face. Using staff from within the i100 initiative, designed to embed industry staff into NCSC teams, seemed like a great place to start. 取締役会ツールキットの更新を任されたとき、取締役会が直面する現実的な課題を反映させるために、様々な業界セクターの知識と専門知識を活用したいと強く思った。NCSCのチームに業界スタッフを組み込むことを目的としたi100イニシアティブのスタッフを起用することは、その手始めとして最適であると考えた。
The working group ワーキンググループ
My plan was to form a small working group to review the current guidance and to help write and shape the updated guidance. I was delighted to receive responses from willing contributors across a range of sectors, some of who shared initial drafts with board members which gave us invaluable feedback. With a working group now established and meeting weekly, I collated the feedback and the following themes emerged: 私の計画では、現行のガイダンスを見直し、更新されたガイダンスの作成と策定を支援するために、小規模なワーキンググループを結成する予定だった。さまざまな分野から意欲的な回答をいただき、中には取締役会メンバーと初期ドラフトを共有し、貴重なフィードバックをいただいた方もいた。ワーキンググループが設立され、毎週会合が開かれるようになったので、私はフィードバックを照合したところ、次のようなテーマが浮かび上がってきた:
Personas: Who is this for and what do they need? Is the guidance expressed in the appropriate language? ペルソナ: ペルソナ:これは誰のためのもので、彼らは何を必要としているのか?ガイダンスは適切な言葉で表現されているか?
Whole Organisation: The focus should be wider than the board and technical experts. 組織全体: 取締役会や技術専門家よりも広い範囲に焦点を当てるべきである。
Scope/scale: How should the toolkit speak to its varied audience and how can it be scaled down into digestible chunks? 範囲/規模: ツールキットは様々な読者にどのように語りかけるべきか、またどのように消化しやすい大きさに縮小できるか。
Cyber as BAU (business as usual): Cyber security to form part of organisational processes and procedures. BAU(通常業務)としてのサイバー: サイバーセキュリティを組織のプロセスや手順の一部とする。
Promoting cyber security: Highlight the benefits of cyber. サイバーセキュリティの推進:サイバーセキュリティの利点を強調する。
The working group proved a success! Working collaboratively with this cross-section of industry and SMEs has demonstrated how shared knowledge and experience can help influence and shape NCSC’s guidance. ワーキンググループは成功した!このような業界や中小企業の横断的な協力により、共有された知識や経験がNCSCのガイダンスに影響を与え、形成するのに役立つことが実証された。
Professor Matt S, from the University of Warwick's Centre for Interdisciplinary Methodologies, was instrumental to shaping the guidance. He said “It was great to be involved in bringing the new Board Toolkit together. The collaboration between specialists from across several sectors, drawing on insights from industry, academia and policy communities, has ensured this refreshed guidance is applicable for a whole range of organisations.” ウォーリック大学学際的方法論センターのマット・S教授は、ガイダンスの形成に貢献した。彼は、「新しい取締役会ツールキットの作成に携われたことは素晴らしいことだった。産業界、学界、政策コミュニティからの洞察をもとに、複数のセクターの専門家が協力したことで、この刷新されたガイダンスは、あらゆる組織に適用できるものとなった」と述べた。
Colin Topping, Cyber Incident Director at Rolls Royce, was another key contributor to the guidance refresh. He said “It is so important to have a diversity of thought. Partnering with the cohort of i100, NCSC, and broader government specialists allowed me to appreciate different perspectives and requirements; this was instrumental in creating a product that works for organisations in different sectors and of various sizes and is something I can use when working with our business units and supply chain." ロールスロイス社のサイバー・インシデント・ディレクターであるコリン・トッピング氏も、ガイダンスの刷新に大きく貢献した一人である。多様な考えを持つことは非常に重要だ。i100、NCSC、より広範な政府の専門家のコホートと提携することで、さまざまな視点や要件を理解することができた。これは、さまざまな部門、さまざまな規模の組織に有効な製品を作成する上で役に立った。
The Cyber Security Toolkit for Boards is now available to browse online or download from the NCSC website. 取締役会のためのサイバーセキュリティ・ツールキット」は現在、NCSCのウェブサイトからオンラインで閲覧、またはダウンロードすることができる。
I’d like to thank all those involved in the refresh of this guidance, including the non-executive directors, industry experts, DSIT and the NCSC Digital Communications team. 社外取締役、業界の専門家、DSIT、NCSCデジタルコミュニケーションチームなど、このガイダンスの更新に関わったすべての人々に感謝したい。
Find out more about how you can join i100 too by contacting [mail] or visiting our current opportunities page. i100に参加する方法については、  [mail] に連絡するか、現在の募集ページを参照のこと。
Clare C クレア・C
Economy and Society Team, NCSC NCSC 経済社会チーム

 

 

こちらは、日本の経営ガイドラインより上位の取締役会のガイドということになりますかね。。。

・2023.03.30 Refreshed 'cyber security toolkit' helps board members to govern online risk

Refreshed 'cyber security toolkit' helps board members to govern online risk 刷新された「サイバーセキュリティ・ツールキット」は、取締役がオンラインリスクを管理するのに役立つ
Lindy Cameron, CEO, introduces changes to the NCSC’s cyber security resources specifically designed for board members. リンディ・キャメロン最高経営責任者(CEO)は、取締役向けのNCSCサイバーセキュリティリソースの変更を紹介する。
I am delighted to announce the launch of the NCSC’s refreshed cyber security Board Toolkit. NCSCの刷新されたサイバーセキュリティ取締役会ツールキットを発表できることを嬉しく思う。
Originally published in 2019, the toolkit proved very popular with boards and it's their feedback, together with input from non-executive directors and our i100 industry team, that will ensure the toolkit remains up-to-date, relevant, and framed in language that boards are familiar with. 2019年に発行されたこのツールキットは、取締役会から大変好評であった。取締役会からのフィードバックに加え、社外取締役や我々のi100業界チームからの意見により、ツールキットは最新かつ適切で、取締役会が慣れ親しんでいる言葉で構成されている。
The toolkit helps boards ensure that cyber resilience and risk management are embedded throughout their organisations. It will help you to make informed cyber decisions that are aligned to your wider organisational risks, and ensure cyber security is assigned appropriate investment against other competing business demands. このツールキットは、取締役会がサイバーレジリエンスとリスクマネジメントを組織全体に確実に浸透させるのに役立つ。本ツールキットは、より広範な組織リスクと整合したサイバー上の意思決定を情報に基づいて行い、他の競合するビジネス上の要求に対してサイバーセキュリティが適切な投資として割り当てられるようにするのに役立つ。
As a board member, it is important to view cyber resilience strategically. Cyber security risk should have the same prominence as financial or legal risks in board discussions. 取締役会メンバーとして、サイバーレジリエンスを戦略的に捉えることが重要である。取締役会の議論において、サイバーセキュリティリスクは財務リスクや法務リスクと同じように重要視されるべきである。
Crucially, cyber security is not just ‘good IT'; it underpins operational resilience and when done well, enables your organisation's digital activity to flourish. 重要なことは、サイバーセキュリティは単なる「優れたIT」ではなく、オペレーションのレジリエンスを支え、うまく機能すれば、組織のデジタル活動の繁栄を可能にするということである。
What's new? 新機能
In each of the sections within the Board Toolkit you’ll now find: Board Toolkitの各セクションには、次のようなものがある:
bite-sized videos to provide boards with a quick overview of each module 一口サイズのビデオで、各モジュールの概要を取締役会に提供する。
essential activities that boards should expect to see in your organisation 取締役会が組織で期待すべき重要な活動
indicators of success: a series of questions (with possible answers) that boards can use to help evaluate your organisation's performance; these are designed as a ‘starting point’ to encourage productive cyber security discussions between boards and key stakeholders (rather than a checklist that’s simply to be worked though) 成功の指標:取締役会が組織のパフォーマンスを評価するために使用できる一連の質問(回答例付き)。これらは、取締役会と主要な利害関係者の間で生産的なサイバーセキュリティの議論を促すための「出発点」として設計されている(単に作業するためのチェックリストではない)。
We also have some new additions: また、新たに追加されたものもある:
a sample script of questions to find out whether you (as a board member) have enough cyber security knowledge to ensure your organisation has the appropriate plans in place to mitigate threats 取締役会メンバーとして、組織がサイバー脅威を軽減するための適切な計画を策定するのに十分なサイバーセキュリティの知識を持っているかどうかを確認するための質問のサンプル原稿
an ‘executive summary’ that summarises each section of the Board Toolkit 取締役会ツールキットの各セクションを要約した「エグゼクティブサマリー
use cases that draw on real-life incidents to bring the guidance to life 実際のインシデントを活用したユースケースにより、ガイダンスを具体化する。
a Board Toolkit podcast, with contributions from industry-leading voices including the NCSC's former Chief Operating Officer Paul Maddison: Board Toolkitポッドキャスト。NCSCの元最高執行責任者ポール・マディソンを含む業界をリードする人々からの寄稿がある:
What's not changing? 何が変わらないのか?
The 9 core themes in the modules haven’t changed. Board members have told us how much they like the questions and possible answers, so we’ve kept these and made sure that all the questions are available in a single pdf. We’ve also kept (and updated) the ‘Introduction to cyber security for Board members’, for those who are new to the subject and need to quickly get up to speed. モジュールの9つの中核テーマは変わっていない。取締役からは、質問と可能な回答がとても気に入っているとの声が寄せられている。また、「取締役のためのサイバーセキュリティ序文」も維持(更新)している。
The toolkit helps organisations to adopt a methodical and proactive approach to cyber security, and outlines basic safeguards that can greatly reduce the likelihood - and impact - of cyber attacks. I’d encourage all board members to take time to read the toolkit, and use it to drive productive cyber security discussions between boards and key stakeholders in your organisation. このツールキットは、組織がサイバーセキュリティに対して理路整然とした積極的なアプローチを採用することを支援し、サイバー攻撃の可能性(および影響)を大幅に減らすことができる基本的な安全策について概説している。すべての役員に、時間を割いてツールキットを読み、役員会と組織の主要な利害関係者との間で生産的なサイバーセキュリティの議論を進めるために活用することを勧めたい。
In the meantime, if you have any feedback on the new guidance, you can get in touch by emailing [mail]. We'll be happy to hear from you. なお、この新しいガイダンスについてご意見があれば、 [mail]  まで。ご連絡をお待ちしている。
Lindy Cameron リンディ・キャメロン
CEO, NCSC NCSC CEO

 

目次...

Cyber Security Toolkit for Boards 取締役会のためのサイバーセキュリティ・ツールキット
Introduction to cyber security for board members 序文 取締役のためのサイバーセキュリティ
Embedding cyber security into your organisation サイバーセキュリティを組織に組み込む
Developing a positive cyber security culture 積極的なサイバーセキュリティ文化の醸成
Growing cyber security expertise サイバーセキュリティの専門性を高める
Identifying the critical assets in your organisation 組織の重要資産を識別する
Understanding the cyber security threat サイバー脅威を理解する
Risk management for cyber security サイバーセキュリティのリスクマネジメント
Implementing effective cyber security measures 効果的なサイバーセキュリティ対策を実施する
Collaborating with your supply chain and partners サプライチェーンやパートナーとの連携
Planning your response to cyber incidents サイバーインシデントへの対応計画
Cyber security regulations and directors duties in the UK 英国におけるサイバーセキュリティ規制とディレクターの義務
Toolkit's toolbox ツールキットのツールボックス
   
Briefing packs ブリーフィング・パック
Documents to download ダウンロードできる文書
Interviews インタビュー
Videos for the toolkit modules ツールキットモジュールのビデオ
Videos for background detail 背景詳細のビデオ

 

 

Cyber Security Toolkit for Boards 取締役会向けサイバーセキュリティ・ツールキット
20230627-110721
   
Cyber security 101 for Board Members 取締役向けサイバーセキュリティ入門
This document provides a sample script of questions to discuss at your next board meeting. この文書では、次回の取締役会で話し合うための質問のサンプルスクリプトを提供する。
20230627-110730
   
Executive summary エグゼクティブサマリー
This document summarises the content of each section of the Board Toolkit. この文書は、取締役会ツールキットの各セクションの内容を要約したものである。
20230627-110740
   
Questions for the board to ask about cyber security 取締役会がサイバーセキュリティについて尋ねるための質問
This document briefly summarises each module of the toolkit. It then provides a series of questions (with possible answers) that boards can use to help evaluate your organisation's performance. この文書では、ツールキットの各モジュールを簡単に要約する。その上で、取締役会が組織のパフォーマンスを評価する際に利用できる一連の質問(可能な回答付き)をプロバイダとして提供する。
20230627-110748

 

 

| | Comments (0)

2023.06.26

OECD デジタル時代における消費者の脆弱性

こんにちは、丸山満彦です。

OECDがデジタル時代における消費者の脆弱性という報告書を公表していますね。。。

デジタル時代というか、技術革新が激しい中、

・技術革新についていけない人(高齢者が中心)

・基礎的知識が低いため技術を理解できない人(若年者が中心)

というのはありますが、それ以外の人であっても、多くの人がよく理解できないまま契約等をしたりして、被害を被る可能性がありますよね。。。そういう社会をどのようにしていくか、、、というのが課題かもしれません。これは、消費者教育も重要ですが、サービス提供側により、適切な行動を促すようにすることが重要なのでしょうね。。。

プライバシー保護も含めて重要となってくるでしょうね。。。

 

OECD Library

・2023.06.26 Consumer vulnerability in the digital age

 

Consumer vulnerability in the digital age デジタル時代における消費者の脆弱性
Protecting consumers when they are most vulnerable has long been a core focus of consumer policy. This report first discusses the nature and scale of consumer vulnerability in the digital age, including its evolving conceptualisation, the role of emerging digital trends, and implications for consumer policy. It finds that in the digital age, vulnerability may be experienced not only by some consumers, but increasingly by most, if not all, consumers. Accordingly, it sets out several measures to address the vulnerability of specific consumer groups and all consumers, and concludes with avenues for more research on the topic. 消費者が最も脆弱な状態にある時に、その消費者を防御することは、消費者政策の中心的な焦点であった。本報告書ではまず、デジタル時代における消費者の脆弱性の性質と規模について、その概念の変遷、新たなデジタル・トレンドの役割、消費者政策への影響を含めて論じる。デジタル時代において、脆弱性は一部の消費者だけでなく、全員とは言わないまでも、ほとんどの消費者が経験する可能性が高まっていることを明らかにしている。従って、特定の消費者グループやすべての消費者の脆弱性に対処するためのいくつかの方策を提示し、このテーマに関するさらなる研究の道筋で結んでいる。

 

・[PDF] Consumer vulnerability in the digital age

20230626-135315

 

目次...

Foreword まえがき
Avant-propos 提案
Executive summary エグゼクティブサマリー
Résumé レジュメ
Introduction 序文
1 What is consumer vulnerability in the digital age? 1 デジタル時代の消費者の脆弱性とは何か?
The evolving conceptualisation of consumer vulnerability 進化する消費者の脆弱性概念
Emerging digital trends affecting the nature and extent of consumer vulnerability 消費者の脆弱性の性質と程度に影響を及ぼす新たなデジタル・トレンド
Implications for consumer policy and law 消費者政策および法律への影響
2 Measures to address consumer vulnerability in the digital age 2 デジタル時代の消費者脆弱性への対応策
Measures addressing the vulnerability of specific consumer groups 特定の消費者グループの脆弱性に対処する対策
Measures addressing consumer vulnerability more broadly より広範な消費者の脆弱性に対処する対策
3 Strengthening the evidence base on consumer vulnerability in the digital age 3 デジタル時代における消費者の脆弱性に関する証拠基盤の強化
Gaps in evidence on consumer vulnerability 消費者の脆弱性に関する証拠のギャップ
Using traditional empirical methods to expand the evidence base 証拠基盤を拡大するために従来の実証的手法を用いる
Outlook: towards novel methods 展望:新しい手法に向けて
Annex A. Extract of summary record of roundtable discussion on consumer vulnerability at the CCP’s 100th Session 附属書A. 消費者政策委員会第100回総会における消費者の脆弱性に関する円卓討論の概要記録の抜粋
References 参考文献
Notes 備考

 

エグゼクティブサマリー...

Executive summary  エグゼクティブサマリー 
Emerging digital trends may point to a new conceptualisation of consumer vulnerability  新たなデジタル・トレンドは、消費者の脆弱性の新たな概念化を指し示すかもしれない。
Protecting consumers when they are most vulnerable has long been a core focus of consumer policy makers and authorities. But consumer vulnerability is a complex and multi-dimensional concept that has no globally accepted definition. Under a traditional conceptualisation, the “class-based approach”, specific consumer groups are regarded as inherently vulnerable owing to certain characteristics, such as their age or education level.   消費者が最も脆弱な状態にある時にその消費者を防御することは、消費者政策立案者や当局の長年の中心的課題であった。しかし、消費者の脆弱性は複雑で多次元的な概念であり、世界的に認められた定義はない。伝統的な概念化である「階層ベースのアプローチ」では、特定の消費者グループは、年齢や教育レベルといった特定の特性によって、本質的に脆弱であるとみなされる。 
Yet several trends illustrate how in the digital age, vulnerability may be experienced not only by some consumers, but increasingly by the vast majority of, if not all, consumers. Specifically, while rapid uptake of e-commerce (particularly since the COVID-19 outbreak) has empowered consumers in many ways, consumers have been increasingly exposed to problems. During the pandemic, scams, unfair practices in cancellations and refunds and price gouging abounded online, affecting many consumers. Today, many consumers struggle in online transactions, which are increasingly subscription-based or non-monetary (i.e. where consumers “pay” with their data), and require reliance on indicators of quality or safety that are harder to assess online. In addition, dark commercial patterns, business practices employing elements of digital choice architecture that subvert consumer decision-making (e.g. pressuring a purchase with a fake countdown timer), have proliferated. Moreover, practices leveraging consumer data to personalise advertising, pricing and other aspects, while presenting benefits, may increasingly be used to exploit consumers’ individual vulnerabilities. Growing business use of algorithms employing artificial intelligence, e.g. to determine eligibility for services, may also increase risk of bias and discrimination against specific consumer groups. Against this backdrop, digital divides in access and use of digital technologies remain, driven by gaps in digital literacy, skills and connectivity.  しかし、いくつかの傾向は、デジタル時代において、脆弱性が一部の消費者だけでなく、すべてではないにせよ、ますます大多数の消費者が経験するようになっていることを示している。具体的には、電子商取引の急速な普及(特にCOVID-19の大流行以降)によって、消費者はさまざまな面で力を得たが、その一方で、消費者が問題にさらされる機会も増えている。パンデミック時には、詐欺、キャンセルや払い戻しにおける不公正な慣行、価格つり上げなどがオンライン上で横行し、多くの消費者が影響を受けた。今日、多くの消費者がオンライン取引で苦労している。定期購入や非金銭的な取引(消費者がデータで「支払う」取引)が増えており、オンラインでは評価しにくい品質や安全性の指標に頼る必要がある。さらに、消費者の意思決定を覆すようなデジタル選択アーキテクチャの要素(例えば、偽のカウントダウンタイマーで購入を迫る)を用いたビジネス慣行であるダーク・コマーシャル・パターンも急増している。さらに、広告や価格設定などをパーソナライズするために消費者データを活用するやり方は、利点を提示する一方で、消費者個人の脆弱性を悪用するために使われることが増えている。また、人工知能を用いたアルゴリズム(例えば、サービスの適格性を判断するため)のビジネス利用が拡大することで、特定の消費者グループに対するバイアスや差別のリスクも高まる可能性がある。このような背景から、デジタルリテラシー、スキル、接続性の格差によって、デジタル技術へのアクセスと利用におけるデジタル格差が依然として残っている。
While evidence of the extent of harms from many of these new digital practices is still emerging, some stakeholders have called for a new conceptualisation of consumer vulnerability as universal or systemic. Such an approach largely aligns with the 2014 OECD Recommendation on Consumer Policy Decisionmaking's conceptualisation, according to which all consumers may at times be vulnerable to detriment, depending on the characteristics of the market for a particular product, the product’s qualities, the nature of a transaction or the consumer’s attributes or circumstances.  このような新しいデジタル慣行の多くによる危害の程度を示す証拠はまだ出てきていないが、一部の関係者は、消費者の脆弱性を普遍的または体系的なものとして新たに概念化することを求めている。このようなアプローチは、2014年のOECDの「消費者政策の意思決定に関する勧告」の概念とほぼ一致している。それによると、特定の製品の市場の特性、製品の品質、取引の性質、あるいは消費者の属性や状況によっては、すべての消費者が時として不利益を被る脆弱性を持つ可能性がある。
Potential implications for consumer policy and law  消費者政策と法律への潜在的影響 
In the same vein, policy research and guidance have reflected a shift in recent years towards a “statebased approach” that views consumer vulnerability to result from the combination of temporary and permanent factors both internal and external to the consumer. Some jurisdictions also anchor a broader view of consumer vulnerability in the law, including through provisions stating that all consumers may be vulnerable. Jurisdictions employing the legal standard of an “average” or “reasonable” consumer to assess potentially unfair or deceptive commercial practices, such as the European Union or the United States, may do so too, to the extent that those standards may be adaptable to digital market realities and a more realistic understanding of consumers (e.g. as being prone to behavioural biases). Still, some have questioned whether the distinction between an “average” or “reasonable” consumer and a “vulnerable” consumer continues to be relevant, especially as digital practices may increasingly affect all consumers. More evidence on the continued appropriateness of such standards is thus needed.   これと同様に、政策研究とガイダンスは、近年、消費者の脆弱性を消費者の内外の一時的・永続的要因の組み合わせから生じるとみなす「国家ベースのアプローチ」へのシフトを反映している。また、法域によっては、すべての消費者が脆弱である可能性があるとする規定を含め、消費者の脆弱性をより広範にとらえることを法律で定めている。欧州連合や米国のように、不公正又は欺瞞的な商慣行の可能性を評価するために「平均的」又は「合理的」な消費者という法的標準を採用している法域も、そうした標準がデジタル市場の現実や消費者のより現実的な理解(行動バイアスを受けやすいなど)に適応可能である限りにおいて、そうすることができる。それでも、「平均的」または「合理的」消費者と「脆弱な」消費者の区別が、特にデジタル慣行がますますすべての消費者に影響を及ぼす可能性がある中で、引き続き適切かどうか疑問視する声もある。従って、このような標準の継続的な妥当性に関するより多くの証拠が必要である。 
In any case, to the extent consumer vulnerability online is increasingly systemic, the line between addressing consumer vulnerability and protecting all consumers will increasingly be blurred – even if at times some consumer groups will continue to warrant specific attention. This implies a continuing need for measures to address the vulnerability of specific consumer groups, but also, increasingly, of consumers in general in the digital environment.  いずれにせよ、オンライン上の消費者の脆弱性がますますシステミックになるにつれ、消費者の脆弱性への対応と全消費者の防御の境界線はますます曖昧になるだろう。このことは、特定の消費者グループの脆弱性に対処するための措置の継続的な必要性を意味するが、同時に、デジタル環境における消費者全般の脆弱性に対処するための措置の必要性もますます高まっている。
Measures to address the vulnerability of specific and all consumers  特定およびすべての消費者の脆弱性に対処するための措置 
Many jurisdictions provide legal protections for specific consumer groups understood as vulnerable, including online. In particular, many regulatory measures address practices affecting children in online transactions – specifically regarding advertising, collection and use of children’s personal data and in-game purchases. Consumer authorities have also engaged in targeted monitoring and enforcement, conducted education and awareness campaigns and issued guidance in relation to the protection and empowerment, including online, of certain consumer groups – particularly children, the elderly, and consumers with less digital access and literacy. This is complemented by international awareness campaigns and selfregulatory initiatives.  多くの司法管轄区は、オンラインを含め、脆弱性があると理解される特定の消費者グループに対する法的防御を提供している。特に、多くの規制措置は、オンライン取引において子どもに影響を与える慣行、具体的には広告、子どもの個人データの収集と利用、ゲーム内課金に対処している。消費者当局はまた、特定の消費者グループ(特に子ども、高齢者、デジタルへのアクセスやリテラシーが低い消費者)の保護とエンパワーメント(オンラインを含む)に関連して、的を絞った監視と執行に従事し、教育・啓発キャンペーンを実施し、ガイダンスを発表してきた。これは、国際的な啓発キャンペーンや自主規制イニシアチブによって補完されている。
Existing measures in many jurisdictions also address consumer vulnerability more broadly online, in particular prohibitions on deceptive, fraudulent and unfair practices, which have served to tackle e.g. online fraud during the pandemic or dark patterns. Consumer laws may in some circumstances also address exploitative personalisation practices and discriminatory algorithms, as may privacy and data protection, competition and non-discrimination laws. But there are few enforcement actions to confirm their adequacy so far, owing in part to the novelty of such practices. Partly in response to regulatory gaps, new measures have been implemented addressing the risks highlighted above. These include updates to consumer, product safety, privacy and data protection laws, as well as cross-cutting approaches focusing on online platforms or data portability. Proposals have also been made for targeted measures addressing dark patterns, exploitative personalisation practices and algorithmic discrimination.  多くの法域における既存の措置は、オンラインにおける消費者の脆弱性をより広範に取り上げており、特に欺瞞的、詐欺的、不公正な行為の禁止は、パンデミック時やダークパターン時のオンライン詐欺などに取り組むのに役立っている。消費者法は、状況によっては、プライバシーやデータ保護、競争法、無差別法と同様に、搾取的なパーソナライゼーション慣行や差別的アルゴリズムに対処することもある。しかし、このような慣行が斬新であることもあり、その適切性を確認するための執行措置は今のところほとんどない。規制の隙間に対応するためもあって、上記のリスクに対応する新たな措置が実施されている。これには、消費者法、製品安全法、プライバシー法、データ保護法の更新や、オンライン・プラットフォームやデータ・ポータビリティに焦点を当てた分野横断的なアプローチが含まれる。また、ダークパターン、搾取的なパーソナライゼーション慣行、アルゴリズムによる差別に対処するための的を絞った対策も提案されている。
Strengthening the evidence base by using traditional and novel methods  伝統的な手法と新しい手法を駆使してエビデンスベースを強化する 
More evidence on consumer vulnerability is needed. Research has to date mainly focused on certain personal attributes and circumstances, such as age and income, rather than external conditions (e.g. digital market practices), individual states (e.g. emotions) and other attributes or circumstances (e.g. geographical remoteness). Traditional empirical methods, such as surveys, behavioural experiments, complaints analysis, focus groups and interviews, are promising avenues for capturing data on several of such lessresearched factors. Though studying the temporal or contextual vulnerabilities peculiar to the digital environment may require novel methods, e.g. involving studying “digital trace” data or the outputs of businesses’ algorithms.   消費者の脆弱性に関するより多くのエビデンスが必要である。これまでの研究は、外的条件(デジタル市場慣行など)、個人の状態(感情など)、その他の属性や状況(地理的遠隔地など)よりも、年齢や収入など特定の個人の属性や状況に主眼を置いてきた。調査、行動実験、苦情分析、フォーカスグループ、インタビューなどの伝統的な実証的手法は、このようなあまり研究されていない要因のいくつかに関するデータを取得するための有望な手段である。しかし、デジタル環境特有の時間的・文脈的脆弱性を研究するには、例えば「デジタル痕跡」データやビジネス・アルゴリズムの出力を研究するような、新しい方法が必要になるかもしれない。 
The OECD Committee on Consumer Policy will continue to develop evidence on consumer vulnerability in its research agenda, working with other international fora and stakeholders. This includes, in particular, empirical work aimed to assess consumer attitudes and behaviour towards dark patterns, sustainable consumption and online product safety, to be undertaken over the course of 2023-2024.  OECD消費者政策委員会は、他の国際的なフォーラムや利害関係者と協力しながら、その研究課題において消費者の脆弱性に関するエビデンスを引き続き発展させていく。これには特に、暗いパターン、持続可能な消費、オンライン製品の安全性に対する消費者の態度と行動を評価することを目的とした実証的研究が含まれ、2023年から2024年にかけて実施される予定である。

 

 

| | Comments (0)

米国 情報技術産業協会 (ITI) 下院国土安全保障委員会にAIを活用したサイバーにあった人材の育成が必要という書面証言を提出

こんにちは、丸山満彦です。

米国の情報技術産業協会 (ITI)が、米国下院国土安全保障委員会サイバーセキュリティ・インフラ保護小委員会に「サイバーセキュリティ人材パイプラインの育成」という書面証言を提出していますね。。。

AIの活用が重要というかんじですかね。。。

 

The Information Technology Industry Council; ITI

・2023.06.22 ITI to House Homeland Committee: Seize AI’s Capability to Empower Cyber Talent

 

ITI to House Homeland Committee: Seize AI’s Capability to Empower Cyber Talent ITI、下院国土委員会へ: AIの能力を活用し、サイバー人材に力を与える
WASHINGTON – Todayglobal tech trade association ITIsubmitted written testimony to the U.S. House Committee on Homeland Security Subcommittee on Cybersecurity and Infrastructure Protectionemphasizing the role that artificial intelligence (AI) should play in reducing the security workload and empowering cybersecurity professionals. ITI also highlighted that properly applying AI systems, services, and capabilities can help solve one of the biggest challenges facing the security operations workforce – the amount of time and energy that must be put into simply collecting and organizing data. ワシントン - 本日、世界的なハイテク業界団体であるITIは、米国下院国土安全保障委員会のサイバーセキュリティとインフラ保護に関する小委員会に証言書を提出し、人工知能(AI)がセキュリティ業務の負担軽減とサイバーセキュリティ専門家の能力向上に果たすべき役割を強調した。ITIはまた、AIのシステム、サービス、能力を適切に適用することで、セキュリティ・オペレーション担当者が直面する最大の課題の1つである、単にデータを収集・整理するために費やさなければならない時間とエネルギーの多さを解決することができると強調した。
"We commend the Committee’s focus on addressing the cybersecurity workforce and skills gap. In the constantly evolving and fast-moving technology ecosystem, the expanded use of AI will benefit both attackers and defenders,” ITI said in its testimony. “It is incumbent on governments and the private sector to realize and invest in AI-enabled cybersecurity services and tools to raise the cost of conducting cyberattacks and ease the workload on security professionals." 「委員会がサイバーセキュリティの人材とスキルの格差に重点的に取り組んでいることを評価する。ITIは証言の中で、「絶え間なく進化し、動きの速いテクノロジー・エコシステムにおいて、AIの利用拡大は攻撃者と防御者の双方に利益をもたらすだろう。 「サイバー攻撃のコストを引き上げ、セキュリティ専門家の負担を軽減するため、AIを活用したサイバーセキュリティ・サービスやツールを実現し、投資することがガバナンスと民間企業に求められている。
ITI’s testimony also covers its work through its AI Futures Initiative, which crafts action-oriented AI policy recommendations to address emerging AI questions in the U.S. and globally.  ITIの証言は、米国および世界における新たなAIの問題に対処するため、行動指向のAI政策提言を作成するAI未来イニシアティブを通じた活動もカバーしている。 

 

書面証言...

・[PDF] Growing the National Cybersecurity Talent Pipeline

20230626-101551

 

目次的...

 

 

全文...

Testimony for the Record   証言記録 
The Information Technology Industry Council   情報技術産業協会  
 “Growing the National Cybersecurity Talent Pipeline”   "サイバーセキュリティ人材パイプラインの育成" 
Before the United States House of Representatives Committee on Homeland Security Subcommittee on Cybersecurity and Infrastructure Protection  米国下院国土安全保障委員会サイバーセキュリティ・インフラ保護小委員会
22-Jun-23 2023年6月22日
The Information Technology Industry Council (ITI) appreciates the opportunity to provide written testimony to the Subcommittee on growing the national cybersecurity talent pipeline. ITI is the premier advocate for the technology sector, representing the world’s most innovative companies. We promote public policies and industry standards that advance competition and innovation worldwide. Our diverse membership and expert staff provide policymakers with the broadest perspective and thought leadership from technology, hardware, software, services, and related industries.   情報技術産業協会(ITI)は、小委員会において、サイバーセキュリティ人材パイプラインの育成に関する書面証言の機会を与えられたことに感謝する。ITIは、世界で最も革新的な企業の代表者であり、技術部門の主要な擁護者である。ITIは、世界中で競争とイノベーションを促進する公共政策と業界標準を推進している。ITI の多様な会員と専門スタッフは、テクノロジー、ハードウェア、ソフトウェア、サービス、および関連業界から最も幅広い視点とソート・リーダーシップを政策立案者に提供している。 
Recruiting, training, and educating a diverse cybersecurity workforce is a top priority for ITI and its member companies. The ongoing shortage of cybersecurity professionals profoundly impacts ITI’s membership. We welcome the Committee’s attention to this pressing national issue for both the government and private sector. While ITI member companies take a range of actions to invest in and develop their cybersecurity professionals, we would like to focus our attention on the role that Artificial Intelligence (AI) must play in reducing the security workload and empowering cybersecurity professionals.   多様なサイバーセキュリティ人材の採用、訓練、教育は、ITI とそのメンバー企業にとって最優先事項である。サイバーセキュリティの専門家の不足が続いていることは、ITI の会員企業に大きな影響を与えている。当委員会が、政府と民間部門の双方にとって差し迫ったこの国家的問題に関心を寄せることを歓迎する。ITIの会員企業はサイバーセキュリティの専門家に投資し、育成するために様々な行動をとっているが、セキュリティの作業負荷を軽減し、サイバーセキュリティの専門家に力を与えるために人工知能(AI)が果たすべき役割に注目したい。 
ITI recently launched our AI Futures Initiative, which crafts action-oriented AI policy recommendations to address emerging AI questions in the U.S. and globally. Led by a task force of technical and policy experts and serving as a convener for a diverse set of stakeholders ranging from industry to academia to civil society, the AI Futures Initiative will explore topics relevant to AI policy discussions, from transparency and accountability to AI’s societal impacts. The AI Futures Initiative will feature a robust exploration of the foundational models that underpin Large Language Models (LLM – such as OpenAI’s ChatGPT or Google’s Bard) and how generative AI more broadly will impact cybersecurity.   ITIは最近、AI未来イニシアティブを立ち上げた。このイニシアティブは、米国および世界における新たなAIの問題に対処するため、行動指向のAI政策提言を作成するものである。技術および政策の専門家で構成されるタスクフォースが主導し、産業界から学界、市民社会まで多様な利害関係者のコンビーナーを務めるAI未来イニシアティブは、透明性と説明責任からAIの社会的影響に至るまで、AI政策の議論に関連するトピックを探求する。AI未来イニシアティブでは、OpenAIのChatGPTやGoogleのBardのような大規模言語モデル(LLM)を支える基礎モデルや、より広範な生成的AIがサイバーセキュリティにどのような影響を与えるかについて、しっかりと調査する。 
It is important to note that the cybersecurity industry benefits from a workforce that reflects a variety of backgrounds, perspectives, and experiences. As part of the tech sector’s efforts to engage with educational institutions to prepare a diverse and ready workforce, ITI established the National Initiative to Increase Diversity in Tech, in partnership with Morehouse College, one of the most pre-eminent Historically Black Colleges and Universities (HBCU) in the United States. This initiative connects ITI’s member companies with Morehouse leadership and educators to develop innovative programs that provide both the private sector and other professional fields—including the federal government—with a skilled workforce that understands the technology sector’s cybersecurity needs.  サイバーセキュリティ業界は、様々な背景、視点、経験を反映した労働力から利益を得ていることに注目することが重要である。ITIは、多様で即戦力となる人材を育成するために教育機構と連携する技術セクターの取り組みの一環として、米国でも有数の歴史的黒人大学(HBCU)であるモーハウスカレッジと提携し、「技術分野の多様性を高めるための全国イニシアチブ」を設立した。このイニシアチブは、ITI の会員企業とモーハウス大学の指導者・教育者を結びつけ、民間部門と連邦政府を含む他の専門分野の両方に、テクノロジー部門のサイバーセキュリティのニーズを理解する熟練労働力を提供する革新的なプログラムを開発するものである。
The Cybersecurity Challenge  サイバーセキュリティの課題 
The US Government (USG) or other large organizations have three primary challenges when developing and maintaining effective cybersecurity – finding the true signal in the noise of logged data, a constantly evolving threat landscape, and an insufficiently skilled workforce. Each of these areas requires dedicated attention and policy solutions to address and improve the resilience and security of the IT ecosystem. As illustrated by these three challenges, the modern cybersecurity reality is that even the most-skilled security operators are aways playing catch up with security risks.   米国政府(USG)やその他の大規模組織は、効果的なサイバーセキュリティを開発・維持する際に3つの主要な課題を抱えている。それは、ログに記録されたデータのノイズの中から真のシグナルを見つけ出すこと、絶えず進化する脅威の状況、そして熟練した労働力の不足である。これらの各分野では、IT エコシステムのレジリエンスとセキュリティに対処し改善するために、専用の注意と政策的解決策が必要である。これら3つの課題に示されるように、現代のサイバーセキュリティの現実は、最も熟練したセキュリティ担当者でさえ、常にセキュリティリスクに追いついている状態である。 
The volume of data being created and shared continues to grow exponentially minute-by-minute; the threat landscape continues to evolve with the pace of technology; and at best we are providing only small-scale increases in the IT security workforce. The USG and their private sector partners need to change the game to improve the calculus for cyber operators. Advances in technology, especially AI, can be leveraged to empower a skilled workforce to focus on the most complex problems and keep pace with the most sophisticated threats.   作成され共有されるデータ量は分単位で指数関数的に増え続け、脅威の状況はテクノロジーのペースとともに進化し続けている。USGとその民間セクターのパートナーは、サイバーオペレーターの計算を改善するために、ゲームを変える必要がある。テクノロジー、特にAIの進歩は、熟練した労働力を最も複雑な問題に集中させ、最も巧妙な脅威と歩調を合わせるために活用することができる。 
AI, when used properly, can find the few actual threat events among the billions of logged activities any large system deals with on a daily basis. According to a recent threat intelligence survey, 84% of global business and IT leaders, are concerned that their organization is missing threats or incidents due to the high volume of alerts and data that they need to analyze.[1] AI-powered analytical tools can help identify the new and novel tactics, techniques, and behaviors of sophisticated and well-resourced adversaries. This is an especially important security use case as we must assume that malicious cyber actors will train their own AI systems to look for and exploit vulnerabilities in our defenses.   AIは、適切に使用されれば、大規模なシステムが日常的に扱う何十億ものログに記録された活動の中から、実際に脅威となるわずかな事象を見つけ出すことができる。最近の脅威インテリジェンス調査によると、世界のビジネスおよびITリーダーの84%が、分析が必要な大量のアラートやデータのために、組織が脅威やインシデントを見逃していることを懸念している[1]。これは、悪意のあるサイバー行為者が、我々の防御の脆弱性を探して悪用するために、彼ら自身のAIシステムを訓練することを想定しなければならないため、特に重要なセキュリティのユースケースである。 
Finally, properly applying AI systems, services, and capabilities can help solve one of the biggest challenges facing the security operations workforce – the amount of time and energy that must be put into simply collecting and organizing data. The continued use of legacy systems across the USG, and other large organizations, means that the workforce in a security operations center (SOC) spends much of their time simply trying to integrate data from different, often outdated, and outmoded, systems. The repeatable and time-intensive activities of aggregating and enriching data from multiple sources adds no direct cybersecurity value, yet are essential for the operations of the SOC, and consume much of the workforce’s time.[2]  最後に、AIシステム、サービス、能力を適切に適用することで、セキュリティ・オペレーション担当者が直面している最大の課題の1つである、単にデータを収集・整理するために費やさなければならない膨大な時間とエネルギーを解決することができる。米軍をはじめとする大規模組織でレガシー・システムが使用され続けているため、セキュリティ・オペレーション・センター(SOC)の職員は、多くの場合、時代遅れのさまざまなシステムからデータを統合するために多くの時間を費やしている。複数のソースからデータを集約し、充実させるという反復的で時間集約的な作業は、サイバーセキュリティに直接的な価値をもたらさないが、SOCの運用には不可欠であり、作業員の多くの時間を消費している[2]。
AI and the Cybersecurity Workforce  AIとサイバーセキュリティ人材 
Due to these three challenges, cybersecurity is no longer a human-scale problem. Advances in AI, machine learning, and other automated processes are revolutionizing how cybersecurity practitioners identify and resolve vulnerabilities and manage increasingly sophisticated threat actors.   これら3つの課題により、サイバーセキュリティはもはや人間規模の問題ではなくなっている。AI、機械学習、その他の自動化プロセスの進歩は、サイバーセキュリティの実務者が脆弱性を特定して解決し、高度化する脅威行為者を管理する方法に革命をもたらしている。 
AI-powered tools, capabilities, and services enable the analysis of massive quantities of risk data to speed response times and focus skilled security operators on the highest risk activities; thereby improving outcomes and reducing strain on the workforce. A recent Wall Street Journal article found that 75% of chief information security officers in the U.S. are experiencing burn out.[3] There is also a global cybersecurity workforce shortage of nearly 3.4 million – an all-time high.[4] Cyberattacks are being launched faster than companies can recruit and train the skilled security professionals necessary to combat these increasingly sophisticated threats.    AIを搭載したツール、機能、サービスによって、大量のリスクデータの分析が可能になり、対応時間を短縮し、熟練したセキュリティ・オペレーターを最もリスクの高い活動に集中させることができる。最近のウォール・ストリート・ジャーナル紙の記事によると、米国の最高情報セキュリティ責任者の75%が燃え尽き症候群を経験している[3]。また、世界的なサイバーセキュリティの人材不足は340万人近くに上り、過去最高を記録している[4]。サイバー攻撃は、企業がこうした高度化する脅威に対抗するために必要な熟練したセキュリティ専門家を採用・育成するよりも早く仕掛けられている。  
AI technologies do not offer a silver bullet solution to cybersecurity challenges and cannot replace the value of human analysis and decision making when it comes to security operations. Rather AI technologies augment the abilities of the security workforce whose time and resources are limited. ITI member companies have identified, and currently employ, a range of AI-enabled tools to address key challenges and improve overall effectiveness of cyber solutions:   AI技術は、サイバーセキュリティの課題に対する銀の弾丸のような解決策を提供するものではなく、セキュリティ運用に関しては、人間の分析や意思決定の価値に取って代わることはできない。むしろAI技術は、時間とリソースが限られているセキュリティ人材の能力を補強するものである。ITIのメンバー企業は、主要な課題に対処し、サイバーソリューションの全体的な有効性を向上させるために、さまざまなAI対応ツールを特定し、現在採用している:  
1.     Detection & Prevention: Cybersecurity systems that leverage AI can better provide real-time analysis and prevention compared to cybersecurity systems that do not incorporate the latest technologies. Leveraging AI means detecting anomalous activity becomes faster and more accurate, improving the proactive steps that network defenders can take to identify and mitigate threats. One ITI member company takes in 36 billion security events per day and requires only 8 of those to be manually analyzed.[5]  In those security events, an organization could face millions of potential Indicators of Compromise (IOC) per day, which requires security teams to have contextual awareness and visibility from across their entire environments to put their time and resources where it will have the greatest impact.   1.     検知と予防: AIを活用したサイバーセキュリティ・システムは、最新技術を取り入れていないサイバーセキュリティ・システムに比べて、リアルタイムの分析と予防をより適切に行うことができる。AIを活用することで、異常な活動の検知がより迅速かつ正確になり、ネットワーク防御者が脅威を特定・軽減するために取ることのできる予防的措置が改善される。あるITIメンバー企業は、1日あたり360億件のセキュリティ・イベントを受け入れているが、そのうち手動で分析する必要があるのはわずか8件に過ぎない[5]。これらのセキュリティ・イベントにおいて、組織は1日あたり数百万件の潜在的なIOC(Indicators of Compromise:侵害の兆候)に直面する可能性があるため、セキュリティ・チームは環境全体から文脈に沿った認識と可視性を持ち、最大の効果をもたらす場所に時間とリソースを投入する必要がある。 
2.     Advanced Threat Response: AI-powered capabilities allow for the automation of security recommendations and responses, streamlining security operations and allowing for human expertise to focus on the highest-risk threats. Sophisticated cyber attackers require specific responses to their unique behaviors and tactics, and AI-enabled technologies can help defenders adapt by identifying new patterns that correlate to known malicious activity.   2.     高度な脅威対応: AIを活用した機能により、セキュリティ勧告と対応の自動化が可能になり、セキュリティ運用が効率化されるとともに、人間の専門知識が最もリスクの高い脅威に集中できるようになる。洗練されたサイバー攻撃者は、そのユニークな行動や戦術に応じた特別な対応を必要としており、AIを活用したテクノロジーは、既知の悪意のある活動と相関する新たなパターンを特定することで、防御側の適応を支援することができる。 
3.     Scaling Productivity of Security Specialists: When combined with cloud services, AI-delivered security capabilities can also help scale security efforts through continuous learning, make best-inclass security tools available to small and medium-size organizations, and keep on top of the latest vulnerability mitigations. These efficiency gains broaden the impact of security experts and operations to identify intrusions more quickly and empower network defenders to act to mitigate potential harm, without specialized domain knowledge or deep tool expertise.[6]   3.     セキュリティ専門家の生産性の向上: AIが提供するセキュリティ機能をクラウド・サービスと組み合わせることで、継続的な学習を通じてセキュリティ対策の規模を拡大し、最高クラスのセキュリティ・ツールを中小規模の組織でも利用できるようにし、最新の脆弱性低減策を常に把握できるようにすることもできる。このような効率性の向上により、セキュリティの専門家や運用担当者は、侵入をより迅速に特定できるようになり、ネットワーク防御担当者は、専門的なドメイン知識やツールの深い専門知識がなくても、潜在的な被害を軽減するために行動できるようになる[6]。 
4.     Cost Effectiveness:  ITI member companies have identified a strong correlation between deploying AI in cybersecurity with reduced costs. One ITI member found that fully deployed security AI and automation was associated with average breach costs that were $3.05 million lower than with no security AI and automation deployed, a difference of 65.2%, the largest cost savings in the study.”[7] These are cost savings that can be used to address the workforce capacity issues facing both the government and large organizations.   4.     費用対効果:  ITIのメンバー企業は、サイバーセキュリティにおけるAIの導入とコスト削減との間に強い相関関係があることを確認している。あるITI会員は、セキュリティAIと自動化を完全に導入することで、セキュリティAIと自動化を導入していない場合よりも平均侵害コストが305万ドル低くなり、その差は65.2%で、この調査で最大のコスト削減となったことを明らかにした[7]。 
Recommendations on AI Adoption and the Cyber Workforce   AIの採用とサイバー人材に関する提言  
Given the beneficial impact of AI tools, capabilities, and services on an already strained cyber workforce, the following recommendations provided to the Committee will help accelerate the use and implementation of AI to improve cybersecurity outcomes.   すでに疲弊しているサイバー人材にAIのツール、能力、サービスが有益な影響を与えることを考えると、当委員会に提供された以下の提言は、サイバーセキュリティの成果を向上させるためにAIの利用と導入を加速させるのに役立つだろう。 
➢ Consider how to leverage technology like generative AI to supplement and improve security practitioners’ skills, including data analysis, in cases where automation is not helpful or appropriate.  自動化が役に立たない場合や適切でない場合に、生成的 AI のような技術を活用して、データ分析などセキュリティ実務者のスキルを補完し、向上させる方法を改善する。
➢ CISA and other federal cybersecurity policymakers should support the use of AI for cybersecurity purposes and incorporate AI systems into threat modeling and security risk management. To the extent practicable, we urge the Committee to leverage existing U.S. frameworks for assessing and mitigating AI-related risks, such as NIST’s AI Risk Management and Cybersecurity Frameworks, rather than tasking the Office of Management and Budget (OMB) or other federal agencies with creating new and potentially duplicative or conflicting risk models.  CISA およびその他の連邦サイバーセキュリティ政策立案者は、サイバーセキュリティ目的での AI の利用を支援し、脅威モデリングとセキュリティリスク・マネジメントに AI システムを組み込むべきである。可能な限り、管理予算局(OMB)や他の連邦機関に、重複や矛盾の可能性がある新たなリスクモデルの作成を課すのではなく、NISTのAIリスクマネジメントやサイバーセキュリティフレームワークなど、AI関連のリスクを評価・軽減するための米国の既存のフレームワークを活用するよう、委員会に強く要請する。
➢ CISA should increase access to government sources of publicly available data, as appropriate, in machine-readable formats to enable access by AI tools and services. Data is fundamental to innovation in AI, and cybersecurity is no different. As network security becomes more automated, and AI manages repeatable tasks, AI will be more able to assist the human network defenders.   ➢ CISAは、AIツールやサービスによるアクセスを可能にするため、適宜、機械可読形式で、一般に利用可能なデータの政府ソースへのアクセスを増やすべきである。データはAIにおけるイノベーションの基本であり、サイバーセキュリティも同様である。ネットワーク・セキュリティの自動化が進み、AIが反復可能なタスクを管理するようになれば、AIは人間のネットワーク防御者をより支援できるようになるだろう。 
➢ Prioritize federal procurement of AI-based technologies and applications. In particular, it will be increasingly important to invest in security solutions that are aimed at countering adversarial AI attacks.   ➢ AI ベースのテクノロジーとアプリケーションの連邦政府調達を優先する。特に、敵対的なAI攻撃に対抗することを目的としたセキュリティ・ソリューションへの投資がますます重要になる。 
➢ CISA and other federal agencies should also explore funding research and development of AI systems that are resilient to manipulation by adversaries. Malicious actors use machine learning models to misinterpret inputs into the system and behave in a way that is favorable to the attacker. To produce the unexpected behavior, attackers create adversarial examples that often resemble normal inputs, but instead are meticulously optimized to break the model’s performance.  ➢ CISAや他の連邦政府機関は、敵対者による操作にレジリエンスなAIシステムの研究開発への資金提供も検討すべきである。悪意のある行為者は、機械学習モデルを使ってシステムへの入力を誤って解釈し、攻撃者に有利な振る舞いをする。予期せぬ振る舞いを生み出すために、攻撃者はしばしば通常の入力に似せた敵対的な例を作成するが、その代わりにモデルの性能を壊すように綿密に最適化されている。
➢ ITI member companies encourage the Committee to consider “The National Community College Cybersecurity Challenge Act,” which creates a funding stream for eligible state applicants to grow and develop cybersecurity programs at community colleges, as well as to assist states in promoting educational advancement for the in-demand jobs of the cybersecurity workforce.  ➢ 「全米コミュニティカレッジのサイバーセキュリティ・チャレンジ法」は、コミュニティ・カレッジでサイバーセキュリティ・プログラムを成長・発展させるために、資格のある州の申請者に資金を提供し、また、サイバーセキュリティ労働力の需要の高い職種の教育向上を促進するために州を支援するものである。
Conclusion  結論 
We commend the Committee’s focus on addressing the cybersecurity workforce and skills gap. In the constantly evolving and fast-moving technology ecosystem, the expanded use of AI will benefit both attackers and defenders. Last year, Rob Strayer, ITI’s Executive Vice President of Policy, testified before this Subcommittee that, “As innovation in Artificial Intelligence (AI) continues and the technology itself evolves, it is important for policymakers to consider how to harness the benefits of AI while simultaneously addressing societal or other challenges that may emerge.”[8] It is incumbent on governments and the private sector to realize and invest in AI-enabled cybersecurity services and tools to raise the cost of conducting cyberattacks and ease the workload on security professionals.   当委員会がサイバーセキュリティの労働力とスキル格差への対応に焦点を当てていることを評価する。常に進化し、動きの速いテクノロジー・エコシステムにおいて、AIの利用拡大は攻撃側と防御側の双方に利益をもたらすだろう。昨年、ITIの政策担当エグゼクティブ・バイス・プレジデントであるロブ・ストレイヤーは、本小委員会で次のように証言した。「人工知能(AI)の技術革新が進み、技術自体が進化していく中で、政策立案者は、AIの利点を活用すると同時に、社会的課題やその他の課題が浮上した場合に対処する方法を検討することが重要である」[8]。サイバー攻撃を行うコストを引き上げ、セキュリティ専門家の作業負担を軽減するために、AIを活用したサイバーセキュリティサービスとツールを実現し、投資することがガバナンスと民間部門に求められている。

 

[1] Google Cloud Blog, “Why AI: Can new tech help security solve toil, threat overload, and the talent gap,” posted on Apr. 26, 2023 available at https://cloud.google.com/blog/transform/why-ai-can-new-tech-help-security-solve-toil-threat-overload-andtalent-gap. (last viewed on Jun 20, 2023)

[2] See e.g. blog post “Expanding our Security AI ecosystem at Security Summit 2023, posted on June 12, 2023 available at https://cloud.google.com/blog/products/identity-security/expanding-our-security-ai-ecosystem-at-security-summit-2023?utm_source=newsletter&utm_medium=email&utm_campaign=newsletter_axioscodebook&stream=top. (last viewed on Jun 19, 2023)

[3] Catherine Stupp, Cybersecurity Leaders Suffer Burnout as Pressures of the Job Intensify, WSJ (May 17, 2023) available at https://wsj.com/articles/cybersecurity-leaders-suffer-burnout-as-pressures-of-the-job-intensify-b0609ef1#:~:text=Seventythree%20percent%20of%20CISOs,burnout%20in%20the%20past%20year.

[4] https://securityintelligence.com/articles/bridging-workforce-gap-cybersecurity/ 5 6. 

[5] Palo Alto Networks, Qurater 3 Fiscal Year 2023 Earnings Call (May 23, 2023) available at https://investors.paloaltonetworks.com/static-files/70379c02-346b-493b-81c0-69ef1498b730.

[6] Google blog, Jun 13

[7] Cost of a Data Breach Report 2022, conducted by Ponemon Institute, sponsored, and analyzed by IBM (2022) available at  https://www.ibm.com/security/artificial-intelligence?mhsrc=ibmsearch_a&mhq=cybersecurity%20ai%20for%20dummies    

[8] Rob Strayer Executive Vice President of Policy Information Technology Industry Council (ITI) before the U.S. House Committee on Homeland Security Subcommittee on Cyber, Infrastructure Protection & Innovation on June 22, 2022 on a hearing entitled, “Securing the Future: Harnessing the Potential of Emerging Technologies while Mitigating Security Risks.” Available at https://www.itic.org/documents/cybersecurity/20220622ITIHouseHomelandCmteTestimonyonEmergingTechandCy ber.pdf

 


 

下院国土安全保障委員会

1_20230626124101

COMMITTEE ON HOMELAND SECURITY

・2023.06.23 ICYMI: Expanding America’s Cyber Talent Pipeline is a Bipartisan, Cross-Sector Goal

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.03.08 米国 情報技術産業協会 (ITI) AIに関する新たな政策提言を発表 (2023.03.02)

 

| | Comments (0)

EU 欧州経済安全保障戦略

こんにちは、丸山満彦です。

EUも欧州経済安全保障戦略を公表しましたね。。。

 

戦略の大きな柱は、

  1. 競争力の促進単一市場の深化、健全なマクロ経済政策、人材育成、輸出先の多様化、先端技術への投資...
  2. 経済安全リスクから自らを守る軍事的応用を可能にする重要技術等に関する...外国補助金規制、外国直接投資審査、輸出規制...
  3. 同士国との連携(貿易協定、グローバル・ゲートウェイを通じた持続可能な開発への投資...

の3つですね。。。

 

これからの施策として...

  1. 加盟国とともに、EUの経済的安全保障に影響を及ぼすリスクをアセスメントする枠組みを構築する。
  2. 民間部門と構造的な対話を行い、経済的安全保障に関する集団的理解を深め、デューデリジェンスとリスクマネジメントを行うよう奨励する。 
  3. STEPを通じた重要技術の開発を含め、EUの技術主権とバリューチェーンのレジリエンスを支援する。
  4. 外国直接投資審査規則を見直す。
  5. デュアルユース技術の研究開発に対する適切な的を絞った支援を確保するための選択肢を検討する。
  6. デュアルユース輸出規制を完全に実施し、その有効性と効率性を確保するための提案を行う。
  7. 対外投資に関連する安全保障リスクに対処するためのイニシアチブを提案する。
  8. 既存の手段の体系的かつ厳格な実施を確保し、残存するギャップを特定するため、研究安全保障を改善するための措置を提案する。 
  9. ハイブリッドおよびサイバー外交ツールボックス、外国による情報操作および干渉FIMI)ツールボックスなど、EUの経済安全保障を強化するためのCFSP手段の的を絞った利用を検討する。
  10. EU単一情報分析能力(SIAC)に、特にEUの経済安全保障に対する脅威の検知に取り組むよう指導する。
  11. EUの経済安全保障の保護と促進がEUの対外行動に完全に組み込まれるようにし、経済安全保障問題に関する第三国との協力を強化する。

 

European Union External Action

・2023.06.23 Economic security: a new horizon for EU foreign and security policy

 

Economic security: a new horizon for EU foreign and security policy 経済安全保障:EU外交・安全保障政策の新たな地平
HR/VP Blog - On Tuesday, I presented with the European Commission a Joint communication on economic security to protect EU interests against the weaponisation of economic ties. It is the beginning of a process for defining a European economic security framework by building a consensus between member states and finding the right balance between the openness that we want to keep and the protection of our values and interests. HR/VPブログ - 火曜日、私は欧州委員会とともに、経済関係の武器化からEUの利益を守るための経済安全保障に関する共同声明を発表した。これは、加盟国間のコンセンサスを形成し、EUが維持したい開放性と、EUの価値や利益の保護との適切なバランスを見出すことによって、欧州の経済安全保障の枠組みを定義するプロセスの始まりである。
In the current geopolitical context, dominated by increasing technological competition the boundaries between economy and security are increasingly blurred. At the core economic security is about using economic measures and tools for security purposes. Shocks such as the COVID-19 pandemic and Russia's war of aggression against Ukraine have highlighted the risks inherent in excessive economic dependencies. Such risks – unless properly managed – can challenge the functioning of our democratic societies and of our economies by limiting our ability to act. At heart, this is about our freedoms and sovereignty. 技術競争の激化に支配された現在の地政学的状況では、経済と安全保障の境界はますます曖昧になっている。経済的安全保障の核心は、安全保障のために経済的手段や手段を用いることである。COVID-19のパンデミックやロシアのウクライナ侵略戦争といった衝撃は、過度の経済依存に内在するリスクを浮き彫りにした。このようなリスクは、適切にマネジメントされなければ、我々の行動能力を制限することによって、民主主義社会と経済の機能を脅かすことになる。その根底にあるのは、われわれの自由と主権である。
This new economic security paradigm is to a large extent driven by the strategic rivalry between China and the US and the challenge it poses to the European economy and security. All types of connections can indeed be “weaponised” by other states to gain leverage and advance economic or geopolitical interests, for example through coercion, market manipulation or deliberate supply chain disruptions. We have observed it recently in our relations with Russia or China. この新たな経済安全保障のパラダイムは、中国と米国の戦略的対立と、それが欧州経済と安全保障にもたらす挑戦によって、かなりの程度、推進されている。例えば、強制、市場操作、意図的なサプライチェーンの混乱などである。最近でも、ロシアや中国との関係において、そのような現象が見られた。
A European economic security framework driven by our own objectives 自らの目標に基づく欧州の経済安全保障の枠組み
It is therefore crucial for the EU to develop an economic security framework driven by its own objectives and interests, aiming to maximise the benefits of European traditional economic openness, which we want to keep, while minimising the risks that stem from excessive dependencies and vulnerabilities. We do not seek to limit the development or prosperity of any country and should not fuel, neither the dynamics towards an increased fragmentation of the world economy, nor the potentially self-fulfilling prophecy of a world divided into two different economic blocks. したがって、EUは、自らの目的と利益に基づいた経済安全保障の枠組みを構築することが極めて重要である。この枠組みは、過度の依存と脆弱性から生じるリスクを最小限に抑えつつ、維持したい欧州の伝統的な経済開放のメリットを最大化することを目指すものである。我々は、いかなる国の発展や繁栄も制限しようとはしないし、世界経済の分断化に向かう力学や、世界が2つの異なる経済ブロックに分断されるという自己充足的予言の可能性を煽ってはならない。
“We know that economic security can be a delicate balance act. We must therefore be very selective and use the fundamental principles of proportionality and precision.” 「経済の安全保障は微妙なバランスの上に成り立っている。したがって、私たちは非常に選択的でなければならず、比例性と正確さという基本原則を用いなければならない。
But we want to ensure that the EU is well equipped to protect its own security and interests. We know that it can be a delicate balance act: de-risking presents its own risks. We must therefore be very selective and use the fundamental principles of proportionality and precision. しかし、EUが自国の安全保障と利益を守るための十分な装備を確保したい。私たちは、それが微妙なバランスをとる行為であることを知っている。そのため、私たちは非常に選択的でなければならず、比例性と正確さという基本原則を用いなければならない。
Some of our member states have taken action by introducing measures to address strategic dependencies in critical raw materials and other inputs or by taking national measures to address leakage risks for very sensitive technologies. However, no member state acting alone can ensure its economic security. 加盟国の中には、重要な原材料やその他の投入物における戦略的依存関係に対処するための措置を導入したり、非常に機密性の高い技術の漏洩リスクに対処するための国家的措置を講じたりすることで、行動を起こしている国もある。しかし、どの加盟国も単独で経済的安全を確保することはできない。
The Union has already at its disposal different tools to protect its economic security with the Foreign Direct Investments screening, export controls, the recently agreed Anti-Coercion Instrument or the restrictive measures of the EU’s CFSP. The EU is also developing new tools such as the Chip act, the Net Zero Industrial act or the Critical Raw Materials act… EUは、外国直接投資審査、輸出規制、最近合意された「反強要措置」、EUのCFSPの制限的措置など、経済的安全を守るためのさまざまな手段をすでに手にしている。EUはまた、チップ法、ネット・ゼロ産業法、重要原材料法などの新しいツールを開発している。
The case for using all our respective tools together それぞれの手段を併用する
With this new economic security strategy, we make the case for harnessing the political will to use all our respective tools together, and do so in a closely coordinated way. In this communication, we have identified a non-exhaustive list of risks that we need to monitor closely: この新たな経済安全保障戦略により、我々は、政治的な意思を利用して、それぞれの手段をともに使用し、緊密に連携して使用することを提唱する。このコミュニケーションでは、我々が注意深く監視する必要のあるリスクを、網羅的ではないリストとして挙げている:
・risks to the resilience of supply chains, including energy security; ・エネルギー安全保障を含むサプライチェーンのレジリエンスに対するリスク;
・risks to the physical and cyber security of critical infrastructure; ・重要インフラの物理的・サイバー的セキュリティに関するリスク
・risks related to technology security and technology leakage; ・技術セキュリティと技術流出に関するリスク
・risks of weaponisation of economic dependencies or economic coercion. ・経済依存関係の武器化や経済的強制のリスクである。
The next step will be to assess precisely those risks in order to conclude whether using our existing tools effectively can allow us to limit those risks or whether new tools are needed. Far from being a merely technical exercise, this assessment, which should be reviewed every six months, deals with very sensitive issues and may have potentially profound implications for EU’s bilateral relation with third countries. 次のステップは、これらのリスクを正確にアセスメントし、既存のツールを効果的に使うことでリスクを抑えることができるのか、それとも新たなツールが必要なのかを結論づけることである。この評価は単なる技術的な作業ではなく、半年ごとに見直すべきものであり、非常にデリケートな問題を扱うもので、EUと第三国との二国間関係に重大な影響を及ぼす可能性がある。
Regarding potential new instruments, the issue of controlling outbound investment was raised. We would enter uncharted territory and there is currently no consensus among EU member states on this issue. The build-up of a European economic security framework cannot be encapsulated in a single document discussed at a single moment. It should rather be seen as a process that will necessarily take time to build consensus among member states, involving also the private sector and the different EU institutions. Making clear who does what and establishing the right governance for this strategy will be both essential and challenging. 新たな手段の可能性については、対外投資の規制という問題が提起された。私たちは未知の領域に足を踏み入れることになるが、この問題に関してEU加盟国間のコンセンサスは今のところ得られていない。欧州の経済安全保障の枠組みの構築は、ある瞬間に議論されたひとつの文書に集約されるものではない。むしろ、民間部門やさまざまなEU機構を巻き込みながら、加盟国間のコンセンサスを形成していくプロセスとしてとらえるべきである。誰が何をするのかを明確にし、この戦略のための適切なガバナンスを確立することは、不可欠であると同時に困難なことでもある。
“The build-up of a European economic security framework should be seen as a process that will necessarily take time to build consensus among member states.” 「欧州の経済安全保障の枠組みの構築は、加盟国間のコンセンサスを形成するために必然的に時間を要するプロセスであると考えるべきである。
This new economic security framework does not require to change the competences of the Union but it requires for sure to change our working methods. It has often been pointed out that we work too much in silos and that staff in the different Directorates-General of the Commission, the EEAS and the member states should cooperate more closely. With the emergence of the economic security conundrum we can no longer continue to deal with our partners on the one hand about our commercial relations and on the other about questions of security and of international relations. All forms of relations must take into account the security policy dimension and we must urgently reorganise ourselves accordingly. この新しい経済安全保障の枠組みは、EUの権限を変える必要はないが、確実に我々の作業方法を変える必要がある。欧州委員会、EEAS、加盟国の各総局のスタッフはもっと緊密に協力すべきである。経済的安全保障という難問が浮上したことで、我々はもはや、一方では商業的な関係を、他方では安全保障や国際関係の問題を、相手国と対処し続けることはできない。あらゆる形態の関係において、安全保障政策の側面を考慮に入れなければならず、それに応じて緊急に再編成しなければならない。
Intensify the cooperation with third countries on economic security issues 経済安全保障問題に関する第三国との協力を強化する
We will also have to intensify the cooperation with third countries on economic security issues. This discussion is naturally taking place in and among other key economies around the globe. The G7 Leaders Statement on Economic Security and Resilience of last May aims at to establish close cooperation on issues such as resilient supply chains, resilient critical infrastructure, economic coercion, harmful practices in the digital sphere and leakage of critical and emerging technologies that threaten international peace and security. And we have started to work closely with our likeminded G7 partners on these issues. However, we need also to work on this issue with the broadest possible range of partners. 経済安全保障問題に関しても、第三国との協力を強化しなければならない。この議論は、当然ながら、世界中の主要経済国間でも行われている。昨年5月に発表された「経済の安全保障とレジリエンスに関するG7首脳声明」は、レジリエントなサプライチェーン、レジリエントな重要インフラ、経済的強制、デジタル領域における有害な慣行、国際の平和と安全を脅かす重要技術や新興技術の流出といった問題について、緊密な協力を確立することを目的としている。そして我々は、これらの問題に関して、同じ考えを持つG7のパートナーと緊密に協力し始めた。しかし、我々は、可能な限り広範なパートナーともこの問題に取り組む必要がある。
We have to discuss in depth on economic security issues with our other international partners to avoid misunderstandings and unnecessary twitching. We are and remain indeed strong supporters of an open rules-based world economic order. Multilateralism is in our DNA. 誤解や不必要なひっかかりを避けるために、経済安全保障問題について他の国際的なパートナーと深く議論する必要がある。我々は、ルールに基づく開かれた世界経済秩序の強力な支持者であり続ける。多国間主義は我々のDNAの中にある。
“We need also to work on economic security with the broadest possible range of partners to avoid misunderstandings and unnecessary twitching.” 「我々はまた、誤解や不必要な軋轢を避けるために、可能な限り広範なパートナーと経済安全保障に取り組む必要がある。
We need to adapt rapidly to a more dangerous environment. However, to really strengthen our economic security, we need to adjust carefully our actions to avoid destabilising our relations with our global partners. As HR/VP, in charge of coordinating our foreign and security policy between the member states in the Council, the Parliament and the Commission, this delicate balancing act will be at the heart of my work during the rest of my mandate and it will be for sure the same for my successors for years to come. 我々は、より危険な環境に迅速に適応する必要がある。しかし、経済的安全保障を本当に強化するためには、世界のパートナーとの関係を不安定にしないよう、慎重に行動を調整する必要がある。欧州理事会、欧州議会、欧州委員会における加盟国間の外交・安全保障政策の調整を担当する人事担当副大臣として、この微妙なバランス感覚は、私の残りの任期中、私の仕事の中核をなすものである。

 

・[PDF] European Economic Security Strategy

20230626-25829

 

目次的...

1. A Strategy to enhance European Economic Security 1. 欧州経済の安全保障を強化する戦略
The priorities of an EU Economic Security Strategy EUの経済安全保障戦略の優先事項
2. Identifying the risks to European economic security 2. 欧州の経済安全保障に対するリスクの識別
The types of risks that European economies face  欧州経済が直面するリスクの種類 
3. Putting the economic security strategy into action  3. 経済安全保障戦略の実行 
3.1 Promoting the EU’s economic base, competitiveness and growth 3.1 EUの経済基盤、競争力、成長の促進
3.2 Protecting against economic security risks 3.2 経済的安全保障リスクからの防御
Addressing weaponization of economic dependencies and economic coercion  経済依存と経済的強制の武器化への対応 
Inbound investments affecting security and public order 治安と公共秩序に影響を及ぼす対内投資
Technology security and technology leakage 技術の安全保障と技術流出
Protecting economic security by protecting infrastructure インフラストラクチャーを保護することにより、経済の安全保障を守る
Better EU coordination on export controls of dual-use items デュアルユース品目の輸出規制に関するEUの調整強化
Outbound investment 対外投資
3.3 Partnering on economic security  3.3 経済の安全保障に関するパートナーシップ 
Bilateral and plurilateral cooperation  二国間および多国間協力 
Multilateral cooperation 多国間協力
Next steps 次のステップ
Conclusion 結論

 

 

本文の仮訳...

 

European Economic Security Strategy 欧州経済安全保障戦略
1. A Strategy to enhance European Economic Security 1. 欧州経済の安全保障を強化する戦略
The global pandemic, Russia’s illegal and unprovoked war in Ukraine, hostile economic actions, cyber and infrastructure attacks, foreign interference and disinformation and a global increase in geopolitical tensions have exposed risks and vulnerabilities in our societies, economies and companies that did not exist only a few shorts year ago.  世界的なパンデミック、ウクライナにおけるロシアの違法かついわれのない戦争、敵対的な経済行動、サイバー攻撃やインフラ攻撃、外国からの干渉や偽情報、地政学的緊張の世界的な高まりは、我々の社会、経済、企業において、ほんの数年前には存在しなかったリスクや脆弱性を露呈させている。
Over the last years the EU has been successful  both in moving forward to deliver on our priorities and at the same time in addressing vulnerabilities, whether on energy security, pandemic preparedness, or the resilience of our economies, supply chains and key technologies more generally.  過去数年間、EUは、優先課題の達成に向けて前進すると同時に、エネルギー安全保障、パンデミックへの備え、あるいは経済、サプライチェーン、主要技術のレジリエンスなど、脆弱性への対応においても成功を収めてきた。
However this experience has also revealed that Europe was in some cases insufficiently prepared for new and emerging risks that have arisen in the more challenging geopolitical context that we find ourselves in. The COVID-19 pandemic exposed the risks that highly concentrated supply chains can pose to the functioning of the European economy. Russia’s war of aggression against Ukraine showed how an overreliance on a single country, especially one with systemically divergent values, models and interests, reduces Europe’s strategic options and puts our economies and citizens at risk. Member States and businesses have also had to shoulder the cost of economic coercion, including bans of European exports and boycotts of European brands, designed to force them to comply and conform with the political priorities of another country. All these trends pose a direct risk to the functioning of our societies, economies and of global trade – as well as a direct challenge to the EU’s strategic interests and ability to act.  しかし、このような経験から、欧州は、より困難な地政学的状況の中で生じている新たなリスクや新興リスクへの備えが不十分であったことも明らかになっている。COVID-19の大流行は、高度に集中したサプライチェーンが欧州経済の機能にもたらすリスクを露呈した。ロシアのウクライナに対する侵略戦争は、単一の国、特に体系的に異なる価値観、モデル、利益を持つ国への過度の依存が、いかに欧州の戦略的選択肢を減らし、欧州経済と市民をリスクにさらすかを示した。加盟国や企業はまた、他国の政治的優先事項に従わせ、それに適合させることを目的とした、欧州産品の輸出禁止や欧州ブランドのボイコットなどの経済的強制の代償を負わなければならなかった。こうした傾向はすべて、EUの社会、経済、世界貿易の機能に直接的なリスクをもたらすだけでなく、EUの戦略的利益と行動力に対する直接的な挑戦でもある。
With geopolitical tensions rising and global economic integration deeper than ever before, certain economic flows and activities can present a risk to our security. More than ever, our security is deeply intertwined with our ability to make ourselves more resilient and reduce the risks arising from economic linkages that in past decades we viewed as benign. Profound technological shifts are adding to the intensity of this competition and making the economic and security challenges more complex. 地政学的緊張が高まり、世界経済の統合がかつてないほど深まっている現在、特定の経済的流れや活動が、わが国の安全保障にリスクをもたらす可能性がある。私たちの安全保障は、これまで以上に、私たち自身のレジリエンスを高め、過去数十年間は良性のものと見なしてきた経済のつながりから生じるリスクを軽減する能力と深く関わっている。深刻な技術シフトがこの競争の激しさを増し、経済と安全保障の課題をより複雑なものにしている。
New geopolitical and technological realities requires us to adapt our  approach, preserving the vast majority of Europe’s highly valuable economic links to the world while ensuring that the new risks we face, which are narrow but critical, are effectively tackled.  新たな地政学的・技術的現実は、われわれのアプローチを適応させ、欧州と世界との非常に価値ある経済的つながりの大部分を維持する一方で、われわれが直面する新たなリスク(狭いながらも重大なリスク)に効果的に対処することを求めている。
The EU is not alone in this process: countries all over the world have started addressing challenges to their economic security. Some advanced economies have already adopted dedicated strategies and are now implementing them. Developing economies are also taking action, diversifying their economic ties to reduce harmful dependencies and increasing local production. This trend reflects the fact that only by completing traditional approaches to national security with new measures to safeguard our economic security can we ensure our prosperity, sovereignty and safety in the current age. Working together with our allies, partners, and the business sector to articulate and execute a vision of economic security will serve as a force multiplier.  このプロセスはEUだけではない。世界中の国々が自国の経済的安全保障に対する課題に取り組み始めている。先進国の中には、すでに専用の戦略を採用し、実行に移している国もある。発展途上国も行動を起こしており、有害な依存を減らすために経済関係を多様化し、現地生産を増やしている。この傾向は、国家安全保障に対する伝統的なアプローチを、経済的安全保障を守るための新たな手段で完結させることによってのみ、現在の時代における繁栄、主権、安全を確保できるという事実を反映している。同盟国、パートナー、ビジネス・セクターと協力し、経済安全保障のビジョンを明確にし、実行することは、戦力増強の役割を果たす。
While the European Union has done a lot to respond to specific challenges in recent years, it now needs a comprehensive strategic approach to economic security, de-risking and promoting its technological edge in critical sectors. The aim is to provide a framework for a robust assessment and management of risks to economic security at EU, national and business level while preserving and increasing our economic dynamism. This is all the more important to put in place at a time when these risks are both evolving rapidly and merging with national security concerns. A prime example of this is the speed with which critical new technologies are emerging and blurring the boundaries between the civil and military sectors. 欧州連合(EU)は近年、特定の課題に対応するために多くのことを行ってきたが、現在は、経済安全保障に対する包括的な戦略的アプローチが必要であり、重要な分野におけるリスクを取り除き、技術的優位性を促進する必要がある。その目的は、経済のダイナミズムを維持・向上させながら、EU、国、企業の各レベルにおいて、経済安全保障に対するリスクをしっかりとアセスメントし、マネジメントするための枠組みを提供することである。このようなリスクが急速に進化し、国家安全保障上の懸念と融合しつつある現在、このような枠組みを整備することはより重要である。その典型的な例が、重要な新技術が出現し、民間部門と軍事部門の境界が曖昧になるスピードである。
The starting point for this strategy is taking a clear-eyed look at the risks and acknowledging the inherent tensions that exist between bolstering our economic security, and ensuring that the European Union continues to benefit from an open economy. この戦略の出発点は、リスクを冷静に見極め、経済的安全保障を強化することと、EUが開放経済の恩恵を受け続けられるようにすることの間に存在する固有の緊張関係を認識することである。
The EU is one of the most attractive destinations for global companies and for investment. Our economies thrive on open and rules-based trade and investment, on secure cross-border connectivity and collaboration on research and innovation. These elements will remain critical drivers of European competitiveness and resilience as we speed up the twin green and digital transitions. We need to rely on trade and on the Single Market to spur competition and ensure that we have access to the raw materials, technologies, and other inputs which are crucial for boosting our competitiveness, resilience and for sustaining current and future employment and growth. Similarly, we want our partners around the world to continue to benefit from access to the European markets, capital and technologies for their transition to a clean and resilient economy. EUは、グローバル企業や投資にとって最も魅力的な投資先のひとつである。EUの経済は、開放的でルールに基づいた貿易と投資、国境を越えた安全な接続性、研究と技術革新に関する協力によって発展している。これらの要素は、グリーンとデジタルの2つの移行を加速させる中で、欧州の競争力とレジリエンスの重要な原動力であることに変わりはない。我々は、競争に拍車をかけ、競争力とレジリエンスを高め、現在および将来の雇用と成長を維持するために不可欠な原材料、技術、その他の投入物へのアクセスを確保するために、貿易と単一市場に依存する必要がある。同様に、我々は、世界中のパートナーが、クリーンでレジリエンスある経済への移行に必要な欧州の市場、資本、技術へのアクセスから引き続き恩恵を受けることを望んでいる。
Getting this balance right is essential and can ensure that our economic and security interests reinforce each other. Achieving this will depend on the following three priorities: (1) promoting our own competitiveness; (2) protecting ourselves from economic security risks; and (3) partnering with the broadest possible range of countries who share our concerns or interests on economic security.  このバランスをうまくとることは不可欠であり、我々の経済的利益と安全保障上の利益が相互に強化されることを保証するものである。(1)自国の競争力を促進すること、(2)経済安全保障上のリスクから自国を守ること、(3)経済安全保障上の懸念や利害を共有する可能な限り広範な国々と連携すること、である。
The priorities of an EU Economic Security Strategy EUの経済安全保障戦略の優先事項
- Promoting our own competitiveness by making our economy and supply chains more resilient  bolstering innovation and industrial capacity, while preserving our social market economy. This can be achieved by deepening the Single Market, investing in the economy of the future through sound macroeconomic and cohesion policies, NextGenerationEU, investing in human capital including by upskilling the European workforce. It will require diversifying sources of supply and export markets, or fostering the research and industrial base in strategic areas such as advanced semi-conductors, quantum computing, biotechnology, net-zero industries, clean energy or critical raw materials. ・社会的市場経済を維持しつつ、経済とサプライチェーンのレジリエンスを高め、イノベーションと産業能力を強化することにより、自国の競争力を促進する。これは、単一市場の深化、健全なマクロ経済政策と結束政策、NextGenerationEUを通じた将来の経済への投資、欧州の労働力のスキルアップを含む人的資本への投資によって達成することができる。また、供給源や輸出市場を多様化し、先端半導体、量子コンピューター、バイオテクノロジー、ネットゼロ産業、クリーンエネルギー、重要原材料などの戦略的分野における研究・産業基盤を育成することも必要である。

- Protecting ourselves from commonly identified economic security risks, by better deploying the tools we already have in place, such as on trade defence, foreign subsidies, 5G/6G security, Foreign Direct Investment screening and export controls, as well as the new instrument to counter economic coercion. In parallel, we need to assess the effectiveness of the EU toolkit and expand it where necessary to tackle some of the new risks that we face, for instance linked to exports or outward investments in a narrow set of key enabling technologies with military applications (e.g. in the areas of Quantum, Advanced Semiconductors, Artificial Intelligence). ・貿易防衛、外国補助金、5G/6Gセキュリティ、外国直接投資審査、輸出規制、さらには経済的強制に対抗するための新たな手段など、すでにある手段をより効果的に展開することで、一般的に認識されている経済安全保障リスクから自らを守る。これと並行して、EUのツールキットの有効性を評価し、例えば、軍事的応用を可能にする重要技術(量子、先端半導体、人工知能の分野など)の輸出や対外投資に関連するような、我々が直面する新たなリスクに対処するために、必要な場合にはこれを拡大する必要がある。
- Partnering with countries who share our concerns on economic security as well as those who have common interests and are willing to cooperate with us to achieve the transition to a more resilient and secure economy. In practice this means working together with the broadest possible range of partners to reinforce economic security, foster resilient and sustainable value chains, and strengthen the international rules-based economic order and multilateral institutions. It also means partnering with countries on similar de-risking paths, furthering and finalising free trade agreements, and investing in sustainable development and secure links throughout the world through Global Gateway.     ・よりレジリエンスと安全性の高い経済への移行を達成するために、経済安全保障に関する懸念を共有する国々や、共通の利益を有し、我々と協力する意思のある国々と連携する。これは実際には、経済安全保障を強化し、レジリエンスが高く持続可能なバリューチェーンを育成し、国際ルールに基づく経済秩序と多国間機構を強化するために、可能な限り広範なパートナーと協力することを意味する。また、同じようなリスク回避の道を歩む国々と提携し、自由貿易協定を推進・最終化し、グローバル・ゲートウェイを通じて持続可能な開発と世界中の安全なつながりに投資することも意味する。 

The fundamental principles for any measures on economic security flowing from this strategy will be: proportionality to ensure that our tools are in line with the level of the risk and limit any negative unintended spill-over effects on the European and global economy, and precision to define exactly which goods, sectors or core industries are targeted and ensure that measures respond to the risks themselves. この戦略から生み出される経済安全保障措置の基本原則は、私たちの手段がリスクのレベルに見合ったものであり、欧州経済や世界経済への意図せざる波及効果を抑えるものであることを保証する比例性と、どの商品、部門、基幹産業を対象とするかを正確に定義し、措置がリスクそのものに対応することを保証する正確性である。
This strategy builds on the work already started at European level, taking a critical look at the Union resilience and vulnerabilities in order to make the European economy and industry more competitive and resilient and strengthen our open strategic autonomy. This ranges from bigger investment in the green and digital transitions through NextGenerationEU and the crowding-in of more private investments to the pillars of the EU industrial policy such as the Acts on Chips, Critical Raw Materials and Net Zero Industry. This was reaffirmed by the Versailles Declaration, in which Leaders agreed on the need to strengthen European resilience and sovereignty in areas like energy, health and  この戦略は、欧州経済と産業の競争力と回復力を高め、開かれた戦略的自律性を強化するために、欧州連合のレジリエンスと脆弱性を批判的に検討し、欧州レベルですでに開始されている作業を基礎とするものである。これは、ネクストジェネレーションEUを通じたグリーンおよびデジタル移行への投資拡大や、より多くの民間投資の取り込みから、チップ、重要原材料、ネット・ゼロ産業に関する法律といったEU産業政策の柱まで、多岐にわたる。このことは、ヴェルサイユ宣言でも再確認され、首脳は、エネルギー、保健・医薬品、食糧安全保障、防衛力などの分野において、欧州のレジリエンスと主権を強化する必要性に合意した。
pharmaceutical products, food security and defense capabilities. This strategy also responds to the concerns of citizens as expressed in the context of the Conference on the Future of Europe.  エネルギー、保健・医薬品、食糧安全保障、防衛力といった分野において、欧州の回復力と主権を強化する必要性に合意した。この戦略はまた、「欧州の未来に関する会議」で表明された市民の懸念にも応えるものである。
Implementing this strategy will require joined-up action across internal and external policies. It will also require buy-in beyond policy makers at European and national level. The private sector will be an essential partner and is already advanced in its work on de-risking. Global asset managers have radically changed their allocations of capital in response to growing and increasingly complex risks that exist within the global economy. Seeking resilient, diversified supply chains that enhance economic security will be a core part of a long-term business strategy that protects not only shareholders’ interests but also the general interest. Identifying the main risks and designing policy responses should tap into the knowledge of European companies that are already working to mitigate many of these threats.  この戦略を実施するためには、内外の政策が一体となった行動が必要となる。また、欧州および国家レベルの政策立案者以外の賛同も必要となる。民間セクターは不可欠なパートナーであり、すでにリスク回避の取り組みが進んでいる。グローバルな資産管理は、世界経済に存在するリスクの増大と複雑化に対応して、資本配分を根本的に変えてきた。経済の安全保障を高めるレジリエンスと多様性を備えたサプライチェーンを模索することは、株主の利益だけでなく、一般の利益も守る長期的な事業戦略の中核となる。主要なリスクを識別し、政策対応を設計するにあたっては、こうした脅威の多くを軽減するためにすでに取り組んでいる欧州企業の知識を活用すべきである。
This Communication lays the groundwork for a discussion on economic security with Member States and the European Parliament with a view to creating a common framework to de-risk and protect the Union’s economic security. This Communication will help to define the strategy that should guide the common assessment of risks, the use of existing tools and the identification of possible gaps in the EU’s economic security arsenal for which we will develop a common response.   本コミュニケーションは、加盟国および欧州議会との間で、EUの経済的安全保障のリスクを軽減し保護するための共通の枠組みを構築することを視野に入れた、経済的安全保障に関する議論の土台を築くものである。本コミュニケーションは、リスクの共通アセスメント、既存のツールの活用、EUの経済安全保障の武器におけるギャップの可能性の特定を導くべき戦略を定義する助けとなる。 
2. Identifying the risks to European economic security 2. 欧州の経済安全保障に対するリスクの識別
The aim of this strategy is to protect the EU’s economic security and reinforce the resilience of our economy, while working to ensure that we maintain and grow our technological edge. This means investing in EU competitiveness, diversifying supply chains, and responding to practices such as economic coercion. It aims to prevent the leakage of sensitive emerging technologies, as well as other dual-use items, to destinations of concern that operate civil-military fusion strategies. この戦略の目的は、EUの経済的安全保障を守り、経済のレジリエンスを強化することであり、同時に、EUの技術的優位性を確実に維持し、成長させることにある。これは、EUの競争力への投資、サプライチェーンの多様化、経済的強制などの慣行への対応を意味する。また、民軍融合戦略を展開する懸念先への、機密性の高い新興技術やその他のデュアルユース品目の流出を防ぐことも目的としている。
To reach these objectives, we need a clear-eyed view of the risks and their evolution over time. That is why the Commission and Member States will deepen their analysis of critical supply chains, stress test them and establish the level of risk. これらの目標を達成するためには、リスクとその経年変化について、明確な目で見る必要がある。そのため、欧州委員会と加盟国は、重要なサプライチェーンの分析を深め、ストレステストを行い、リスクのレベルを確立する。
The Commission and the High Representative have identified the following broad and non-exhaustive categories of risks to economic security namely risks related to: (1) resilience of supply chains; (2) physical and cyber security of critical infrastructure; (3) technology security and technology leakage; and (4) weaponisation of economic dependencies or economic coercion. These risks can occur along the entire value chain, from knowledge creation and basic research to commercialisation and manufacturing at scale. 欧州委員会と上級代表者は、経済的安全保障に対するリスク、すなわち、以下のような広範かつ非網羅的なカテゴリーを特定した: (1)サプライチェーンのレジリエンス、(2)重要インフラの物理的・サイバー的セキュリティ、(3)技術セキュリティと技術流出、(4)経済的依存関係の武器化または経済的強制。これらのリスクは、知識の創造や基礎研究から商業化や大規模製造に至るまで、バリューチェーン全体にわたって発生する可能性がある。
The types of risks that European economies face  欧州経済が直面するリスクの種類 
Risks to the resilience of supply chains, including energy security – Risks of price surges, the unavailability or scarcity of critical products, or inputs in the EU, including but not limited to those linked to the Green Transition, those needed for a stable and diversified energy supply and pharmaceuticals.  エネルギー安全保障を含むサプライチェーンのレジリエンスに対するリスク ・グリーン・トランジションに関連するもの、安定的で多様なエネルギー供給に必要なもの、医薬品を含むがこれらに限定されない、価格高騰、EU域内の重要な製品または投入物の入手不能または不足のリスク。
Risks to the physical and cyber-security of critical infrastructure – Risk of disruptions or sabotage of critical infrastructures, such as pipelines, undersea cables, power generation, transportation, electronic communication networks, that undermine the secure and reliable provision of goods and services or data security in the EU.  重要インフラの物理的及びサイバーセキュリティに関するリスク ・EU域内のパイプライン、海底ケーブル、発電、輸送、電子通信ネットワークなどの重要インフラが破壊されたり妨害されたりすることにより、EU域内の商品・サービスの安全で信頼できる提供やデータセキュリティが損なわれるリスク。
Risks related to technology security and technology leakage – Risk to the EU’s technological advancements, technological competitiveness, and access to leading-edge technology, including through malicious practices in the digital sphere such as espionage or illicit knowledge leakage In some cases, technology leakage  risks strengthening the military/intelligence capabilities of those that could use them to undermine peace and security, especially for dual-use technologies such as Quantum, Advanced Semiconductors or Artificial Intelligence, and therefore require specific risk mitigation measures. 技術安全保障と技術流出に関するリスク ・スパイ行為や不正な知識の流出など、デジタル領域における悪意ある行為によるものを含む、EUの技術進歩、技術競争力、最先端技術へのアクセスに対するリスク。場合によっては、技術流出は、特に量子技術、先端半導体、人工知能などのデュアルユース技術について、平和と安全を損なうためにそれらを使用する可能性のある者の軍事/諜報能力を強化するリスクがあり、したがって、特定のリスク低減措置を必要とする。
Risk of weaponization of economic dependencies or economic coercion – Risk of third countries targeting the EU, its Member States and EU businesses through measures affecting trade or investment to bring about a change of policy falling within legitimate policymaking space. 経済依存の武器化または経済的強制のリスク ・合法的な政策決定空間の範囲内にある政策変更をもたらすために、第三国が貿易または投資に影響を与える措置を通じて、EU、加盟国、EU企業を標的にするリスク。
Finally, it is important to bear in mind that certain risks listed above could also go so far as to threaten national security in certain circumstances. This could be the case, most notably, with dual use technology leakage, foreign direct investment threatening security and public order; dual use exports or outbound investment in a narrow set of advanced technologies that could enhance military and intelligence capacities of actors who may use these capabilities to threaten international peace and security; and the secure treatment of sensitive information  最後に、上記のリスクは、状況によっては国家安全保障を脅かす可能性があることを念頭に置くことが重要である。特に、デュアルユース技術の流出、安全保障と公共秩序を脅かす海外からの直接投資、国際的な平和と安全を脅かすためにこれらの能力を利用する可能性のある行為者の軍事・諜報能力を強化する可能性のある先端技術の狭い範囲でのデュアルユース輸出や対外投資、機密情報の安全な取り扱いなどがそうである。
On this basis, the Commission proposes to identify and assess, collectively with EU Member States and with inputs from private stakeholders, risks to the EU’s economic security that threaten its key interests within clearly defined parameters, taking into account the evolving geopolitical context and, where appropriate, stakeholders’ views. This should be a dynamic and continuous process.  これに基づき、欧州委員会は、EU加盟国とともに、また、民間の利害関係者の意見を取り入れながら、EUの主要な利益を脅かす経済的安全保障上のリスクを、明確に定義されたパラメータの範囲内で特定し、評価することを提案する。これは、動的かつ継続的なプロセスでなければならない。
For this purpose, the Commission proposes the following process, to be carried out with Member States and, where appropriate, in coordination with the High Representative: この目的のために、欧州委員会は、加盟国とともに、また必要に応じて上級代表者と協調して実施する以下のプロセスを提案する:
• Risks to the resilience of supply chains, to be assessed by the Commission, by deepening the EU’s strategic dependencies analysis, with a particular focus on dependencies that are more likely to be weaponised for geopolitical purposes. ・EUの戦略的依存関係の分析を深めることにより,サプライチェーンのレジリエンスに対するリスクを欧州委員会が評価する。
• Risks to the physical and cyber security of critical infrastructure, to continue to be assessed in line with the Council Recommendation of 8 December 2022. ・重要インフラの物理的およびサイバーセキュリティに関するリスクは、2022年12月8日の理事会勧告に沿って引き続き評価する。
• Risks related to technology security and technology leakage, to be assessed on the basis of a list of strategic technologies critical for economic security. With regard to the most sensitive risks, the Commission will propose a list of dual-use technologies for risk assessment that could be adopted by the Council by September 2023. The list will be based on narrowly defined and forward-looking criteria such as the enabling and transformative nature of a technology, the risk of civil military fusion, and the risk of their misuse for human rights violations. The priority technologies should be assessed collectively with Member States by the end of 2023, with a view to identifying the relevant protection and promotion measures.  ・技術セキュリティと技術流出に関するリスクは、経済安全保障にとって重要な戦略的技術のリストに基づいて評価する。最もセンシティブなリスクに関しては、欧州委員会は、2023年9月までに理事会が採択できるようなリスクアセスメントのためのデュアルユース技術のリストを提案する。このリストは、技術の実現性や変革性、民間軍事的融合のリスク、人権侵害に悪用されるリスクなど、狭く定義された将来を見据えた基準に基づいて作成される。優先技術は、関連する保護・促進措置を特定することを視野に入れ、2023年末までに加盟国とともに一括して評価されるべきである。
• Risks of weaponisation of economic dependencies or economic coercion, to be assessed including in the context of the recently agreed upon EU anti-coercion instrument. ・経済依存の武器化や経済的強制のリスクについては,最近合意されたEUの反強制手段との関連も含めて評価する。
With a view to maintaining a coherent, targeted, and up-to-date approach to economic security, the Council should review, based on input from the Commission and, where appropriate, the High Representative, the overall progress on risk assessment in these four areas every six months, and report yearly to the European Council.  経済安全保障に対する首尾一貫した、的を絞った、最新のアプローチを維持するため、欧州理事会は、欧州委員会および必要に応じて上級代表者からの情報に基づき、これら4つの分野におけるリスクアセスメントの全体的な進捗状況を半年ごとに見直し、欧州理事会に毎年報告すべきである。
Moreover, the High Representative, together with the Member States, will enhance the Single Intelligence Analysis Capability (SIAC) in order to increase its ability to detect threats to the EU economic security.  さらに、上級代表は加盟国とともに、EUの経済安全保障に対する脅威を検知する能力を高めるため、単一情報分析能力(SIAC)を強化する。
3. Putting the economic security strategy into action  3. 経済安全保障戦略の実行 
To mitigate these risks, the EU Economic Security Strategy is based on: これらのリスクを軽減するために、EUの経済安全保障戦略は以下のことを基本としている:
1) Promoting the EU’s competitiveness and growth, strengthening the Single Market, supporting a strong and resilient economy, and fostering the EU’s research, technological and industrial base. 1) EUの競争力と成長を促進し、単一市場を強化し、強くレジリエンスある経済を支援し、EUの研究、技術、産業基盤を育成する。
2) Protecting economic security through a range of policies and tools, including targeted new instruments where needed. 2) 必要な場合には的を絞った新たな手段を含め、さまざまな政策と手段を通じて経済的安全保障を守る。
3) Partnering and further strengthening cooperation with countries worldwide.  3) 世界各国と連携し、協力をさらに強化する。
3.1 Promoting the EU’s economic base, competitiveness and growth 3.1 EUの経済基盤、競争力、成長の促進
The Single Market is the EU’s best asset to keep its economy prosperous, innovative, and resilient. It is most often associated with economies of scale for cooperating across borders within the EU and a level playing field. At the same time, through its trade, Global Gateway investment and other policies, the EU is leveraging the Single Market to keep global supply chains open and shape standards, which further contributes to strengthening EU competitiveness and security of supply. Implementation of the NextGenerationEU and of the Cohesion Funds are triggering major reforms and investments across a wide range of sectors, including critical infrastructures, and is already contributing to EU’s economic growth, competitiveness and resilience.  単一市場は、EU経済の繁栄、革新性、レジリエンスを維持するための最大の資産である。それは、EU域内で国境を越えて協力するための規模の経済と、公平な競争条件とが最もよく結びついている。同時に、貿易、グローバル・ゲートウェイ投資、その他の政策を通じて、EUは単一市場を活用し、グローバルなサプライチェーンをオープンに保ち、標準を形成することで、EUの競争力と供給の安全性の強化にさらに貢献している。NextGenerationEUと結束基金の実施により、重要インフラを含む幅広い分野で大規模な改革と投資が行われており、すでにEUの経済成長、競争力、レジリエンスに貢献している。
In recent years, the Commission has adopted several concrete proposals to increase resilience and strengthen supply chains. The EU Industrial Strategy identified several measures to enhance the resilience of the Single Market, such as industrial alliances to accelerate activities in clean tech, raw materials, processors and semiconductors, data, edge and cloud; important projects of common European interest to pool resources for breakthrough innovations; promoting the circular economy; enhancing green and digital skills; and a new strategy to secure the EU’s leadership in global standardsetting. Likewise, the energy transition in line with the European Green Deal and RepowerEU objectives is key to strengthen the EU’s energy security of supply. Significant progress has been already achieved in this area but further necessary efforts will be identified in the upcoming State of the Energy Union report.  近年、欧州委員会は、レジリエンスを高め、サプライチェーンを強化するための具体的な提案をいくつか採択している。EU産業戦略では、クリーンテクノロジー、原材料、データ処理者、半導体、データ、エッジ、クラウドにおける活動を加速させるための産業提携、画期的なイノベーションのためのリソースをプールするための欧州共通の重要プロジェクト、循環型経済の推進、グリーンスキルおよびデジタルスキルの強化、世界的な標準化におけるEUのリーダーシップを確保するための新戦略など、単一市場の回復力を強化するための方策をいくつか挙げている。同様に、欧州グリーン・ディールとリパワーEUの目標に沿ったエネルギー転換は、EUのエネルギー安全保障を強化する上で重要である。この分野ではすでに大きな進展が達成されているが、今後予定されている「エネルギー同盟の現状」報告書では、さらに必要な取り組みが明らかにされる予定である。
The proposal for the Critical Raw Materials Act aims at facilitating the extraction, processing and recycling of critical raw materials in the EU, reducing dependencies and increasing preparedness. The European Chips Act will ensure a secure supply of semiconductors, while the proposed Net-Zero Industry Act will help scale up manufacturing of net-zero technology in the EU. The initiatives include effective governance mechanisms allowing timely cooperation and exchange of information among the Commission, the Council and Member States. 「重要原材料法」の提案は、EU域内における重要原材料の抽出、加工、リサイクルを促進し、依存度を減らし、備えを強化することを目的としている。「欧州チップ法」は、半導体の安定供給を確保するものであり、「ネット・ゼロ産業法」は、EUにおけるネット・ゼロ技術の製造規模拡大を支援するものである。これらの構想には、欧州委員会、理事会、加盟国間のタイムリーな協力と情報交換を可能にする効果的なガバナンス・メカニズムが含まれている。
These initiatives have also a direct impact on further securing supply chains and access to resources (increasingly challenged by strategic competitors, as highlighted by the Strategic Compass for Security and Defence) which is vital for an innovative, competitive and resilient European Defence Technological and Industrial Base. Their timely adoption is therefore of vital importance for Europe’s economic security.  また、これらの構想は、革新的で競争力があり、レジリエンスに富んだ欧州の防衛技術・産業基盤に不可欠なサプライチェーンと資源へのアクセス(「安全保障と防衛に関する戦略的羅針盤」で強調されているように、戦略的競合相手による挑戦がますます強まっている)のさらなる確保にも直接的な影響を及ぼす。従って、欧州の経済的安全保障にとって、そのタイムリーな導入は極めて重要である。
The Single Market Emergency Instrument aims at ensuring the availability and free circulation of critical products in case of future emergencies. In the future, the Single Market Emergency Instrument will allow monitoring strategic products and services, including disruptions of supply chains and related shortages, and react fast and collectively once needed.  単一市場緊急措置は、将来の緊急事態に備えて、重要な製品の入手可能性と自由な流通を確保することを目的としている。将来的には、単一市場緊急手段によって、サプライチェーンの途絶や関連する供給不足を含む戦略的製品やサービスを監視し、必要な場合には迅速かつ集団的に対応することができるようになる。
More investments are urgently needed both to ensure EU’s leadership and competitiveness in the research and development of strategic emerging technologies. In order to crowd-in private investments, the Commission continues to develop the Capital Market Union. The Commission is also proposing a new Regulation to establish a Strategic Technologies for Europe Platform (‘STEP’). This Platform will support the development, manufacturing or strengthening of the respective value chains in the Union of deep and digital technologies, clean technologies, and biotechnologies to meet the objectives of the green and digital transitions. This will enable the Union to reduce or prevent strategic dependencies.  戦略的新興技術の研究開発におけるEUのリーダーシップと競争力を確保するためには、さらなる投資が緊急に必要である。民間投資を呼び込むために、欧州委員会は資本市場同盟の開発を続けている。また、欧州委員会は、欧州戦略技術プラットフォーム(STEP)を設立するための新規則を提案している。このプラットフォームは、グリーンおよびデジタル転換の目標を達成するため、欧州連合におけるディープテクノロジー、デジタルテクノロジー、クリーンテクノロジー、バイオテクノロジーのそれぞれのバリューチェーンの開発、製造、強化を支援する。これにより、欧州連合は戦略的依存を削減または防止することができるようになる。
The Commission will also report by the end of 2023 on options to ensure adequate, strategically targeted support for dual-use technology development, after reviewing the scope of existing instruments. 欧州委員会はまた、既存の手段の範囲を見直した上で、デュアルユース技術開発に対する戦略的に的を絞った適切な支援を確保するための選択肢について、2023年末までに報告する。
3.2 Protecting against economic security risks 3.2 経済的安全保障リスクからの防御
The EU has already put in place specific de-risking tools and measures to protect against economic security risks. As the risks keep evolving, we need to assess the effectiveness of these tools in addressing them and consider upgrades or new tools that may be needed. EUはすでに、経済安全保障上のリスクから保護するための具体的な脱リスク手段と措置を導入している。リスクは進化し続けているため、これらの手段の有効性をアセスメントし、アップグレードや新たな手段の導入を検討する必要がある。
Addressing weaponization of economic dependencies and economic coercion  経済依存と経済的強制の武器化への対応 
Strategic dependencies, which may give rise to economic security risks, can be exacerbated by nonmarket policies and practices used by third countries that tilt the playing field. The Commission will make rigorous use of Trade Defence Instruments to address such unfair policies and practices and is ready to deploy the Foreign Subsidies Regulation to ensure a level playing field with the Single Market. 経済安全保障上のリスクを生じさせる戦略的依存関係は、第三国が用いる非市場的な政策や慣行によって悪化する可能性がある。欧州委員会は、このような不公正な政策や慣行に対処するため、貿易防衛手段を厳格に活用するとともに、単一市場との公平な競争条件を確保するため、外国補助金規制を展開する用意がある。
As a response to the EU and its Member States being the target of deliberate economic pressure in recent years, the EU has adopted the EU Anti-coercion Instrument. The instrument’s objective is first and foremost to deter countries from restricting or threatening to restrict trade or investment to bring about a change of legitimate policy in the EU, but also foresees the possibility for the EU to take countermeasures as a last resort. The EU will also cooperate with partner countries to monitor instances of coercion and assess and identify the scope for coordinated responses. 近年、EUとその加盟国が意図的な経済的圧力の標的となっていることへの対応として、EUはEU反強制手段を採択した。同制度の目的は、何よりもまず、EUの合法的な政策の変更をもたらすために、各国が貿易や投資を制限したり、制限する恐れがあることを抑止することにあるが、最終手段としてEUが対抗措置を取る可能性も見越している。EUはまた、パートナー諸国と協力して、強要の事例を監視し、協調的対応の範囲を評価・特定する。
Inbound investments affecting security and public order 治安と公共秩序に影響を及ぼす対内投資
The Foreign Direct Investment (FDI) Screening regulation has created a cooperation mechanism for Member States and the Commission to exchange information, raise security-related concerns and identify solutions related to specific FDIs with a view to ensuring the protection of security and public order. Since October 2020, the Commission and Member States have reviewed more than 1,000 FDI transactions. The Commission is also in the process of evaluating the current framework and will propose its revision before the end of 2023. Member States who have not yet implemented national FDI screening mechanisms should do so without further delay. 外国直接投資(FDI)審査規則により、加盟国と欧州委員会は、安全保障と公の秩序の保護を確保する観点から、特定のFDIに関する情報交換、安全保障関連の懸念の提起、解決策の特定を行うための協力メカニズムを構築した。2020年10月以降、欧州委員会と加盟国は1,000件以上のFDI取引を審査してきた。欧州委員会はまた、現行の枠組みを評価中であり、2023年末までにその改正を提案する予定である。まだ国内でのFDI審査の仕組みを導入していない加盟国は、遅滞なく導入すべきである。
Technology security and technology leakage 技術の安全保障と技術流出
Being able to develop, and keep up with, new technologies is key for the EU’s economic security, as it reduces strategic dependencies and enables us to protect or create a technological advantage.  新技術を開発し、それに遅れないようにすることは、EUの経済安全保障にとって重要である。戦略的依存を減らし、技術的優位性を保護または創出することができるからである。
Openness and international cooperation are at the heart of European research and innovation (R&I). In order to help prevent EU-funded technology leakage, the Commission can for example, in duly justified cases exclude certain third country entities or EU entities controlled by certain third countries from participating in research and innovation and digital capacities deployment projects to protect the Union’s strategic assets, interests, autonomy, or security. It can also assess the impact of the transfer of results of Horizon Europe (including intellectual property) generated by EU funded research to non-associated third countries and object to such transfers.  開放性と国際協力は、欧州の研究・技術革新(R&I)の中核をなすものである。EUが資金提供する技術の流出を防ぐために、欧州委員会は、例えば、正当な理由がある場合には、EUの戦略的資産、利益、自律性、安全保障を保護するために、特定の第三国の事業体または特定の第三国に支配されているEUの事業体から、研究・技術革新およびデジタル能力展開プロジェクトへの参加を排除することができる。また、欧州委員会は、EUが資金を提供した研究によって生み出されたホライゾン・ヨーロッパの成果(知的財産を含む)の非関連第三国への移転の影響を評価し、そのような移転に異議を唱えることもできる。
The Commission has also developed a Toolkit on Tackling Foreign R&I Interference, which helps to raise awareness and build resilience in the R&I sector across Europe at national and sectoral levels to bolster research security more broadly.  欧州委員会はまた、「外国からの研究開発への干渉に対処するためのツールキット」を作成した。このツールキットは、より広範に研究の安全保障を強化するために、国レベルおよび分野レベルで、欧州全域の研究開発部門における認識を高め、レジリエンスを構築するのに役立つものである。
For technologies deemed to be critical for economic security (identified as per section 2 above), the Commission will, after assessment, propose measures to improve research security ensuring a systematic and rigorous enforcement of the above-mentioned tools and identifying and addressing any remaining gaps. It will do so while preserving the openness of our system, which is the bedrock for our innovative economies. 欧州委員会は、経済安全保障にとって重要であると考えられる技術(上記2節で識別)については、評価の後、上記のツールを体系的かつ厳格に実施し、残されたギャップを特定し、それに対処することにより、研究安全保障を改善するための措置を提案する。その際、革新的な経済の基盤である開放性を維持する。
Standardization is important as part of the ‘soft power’ influence over the shape of tech developments and has therefore an indirect bearing on the EU’s economic security (including by allowing it to limit possibilities of abusive use of technologies that could threaten its economic security). As set out in the EU standardisation strategy, the EU needs to be able to shape international standards in line with its values and interests – and with its legal acquis. With respect to the future artificial intelligence, data or cyber resilience acts, the EU will work on European standards and towards congruent international standards together with partners. In the same vein, effective enforcement of intellectual property rights, especially patents, will also contribute to prevent technology leakage 標準化は、技術開発の形に対する「ソフトパワー」の影響力の一部として重要であり、したがって、EUの経済的安全保障に間接的に関係している(EUの経済的安全保障を脅かしかねない技術の乱用の可能性を制限することを可能にするなど)。EUの標準化戦略で規定されているように、EUは、自国の価値観と利益、そして法体系に沿った国際標準を形成することができる必要がある。将来の人工知能、データ、サイバーレジリエンス法に関して、EUは欧州標準に取り組み、パートナーとともに整合性のある国際標準を目指していく。同様に、知的財産権、特に特許の効果的な執行も、技術流出の防止に貢献する。
Under its 2020 Cybersecurity Strategy, the EU is deploying measures to counter malicious practices in the digital sphere to protect from illegitimate influence, industrial espionage and illicit knowledge leakage. The proposed Cyber Resilience Act will improve the cybersecurity, for the public and private sector, of hardware and software sold in the Union.  The EU will continue to address cyber-enabled theft of intellectual property, including by using its EU Hybrid and Cyber Diplomacy Toolboxes, to respond to such malicious activities.  2020年サイバーセキュリティ戦略の下、EUは、不法な影響力、産業スパイ、不正な知識の漏洩から保護するため、デジタル領域における悪意ある行為に対抗する措置を展開している。提案されている「サイバー・レジリエンス法」は、EU域内で販売されるハードウェアおよびソフトウェアのサイバーセキュリティを官民ともに改善するものである。 EUは、このような悪意ある行為に対応するために、EUハイブリッドおよびサイバー外交ツールボックスを活用することを含め、サイバーによる知的財産の窃盗に引き続き対応していく。
Protecting economic security by protecting infrastructure インフラストラクチャーを保護することにより、経済の安全保障を守る
The EU has adopted the Directive on the Resilience of Critical Entities and the Revised Directive on the security of network and information system (NIS2 Directive). They provide an updated and comprehensive legal framework to strengthen both the physical and digital resilience of critical infrastructure (including energy, transport, health, digital infrastructure, water and food). Further to the Council Recommendation of December 2022, targeted actions are already being carried out to ensure a common EU response to incidents.  EUは、重要事業体のレジリエンスに関する指令およびネットワークと情報システムのセキュリティに関する改正指令(NIS2指令)を採択した。これらは、重要インフラ(エネルギー、輸送、健康、デジタルインフラ、水、食料を含む)の物理的およびデジタル両方のレジリエンスを強化するための、最新の包括的な法的枠組みを提供するものである。2022年12月の理事会勧告に続き、インシデントへのEU共通の対応を確保するための的を絞った行動がすでに実施されている。
To increase the security and resilience of 5G networks, the 5G Toolbox establishes a set of measures to be applied by all Member States, including measures to restrict or exclude high-risk suppliers. On 15 June 2023, the Commission urged Member States that have not yet fully applied these measures to high-risk suppliers to do so without delay.  5Gネットワークのセキュリティとレジリエンスを高めるため、「5Gツールボックス」は、リスクの高いサプライヤーを制限または排除する措置を含め、すべての加盟国が適用すべき一連の措置を定めている。2023年6月15日、欧州委員会は、リスクの高い供給業者に対してこれらの措置をまだ完全に適用していない加盟国に対し、遅滞なく適用するよう促した。
The proposed Cyber Resilience Act will also play an important role in securing the supply chain for the EU’s critical infrastructure. Cyber risk assessments and scenarios are also being developed specifically for the electronic communication infrastructure and energy sectors and will serve to guide actions supported under the proposed Cyber Solidarity Act, notably the coordinated testing of critical entities. 提案されている「サイバー・レジリエンス法」は、EUの重要インフラのサプライチェーンを確保する上でも重要な役割を果たす。サイバーリスクアセスメントとシナリオは、電子通信インフラとエネルギー部門に特化して開発されており、特に重要事業体の協調テストなど、提案されているサイバー連帯法の下で支援される行動の指針となる。
Better EU coordination on export controls of dual-use items デュアルユース品目の輸出規制に関するEUの調整強化
Some strategic technologies are of dual use nature and require specific attention. Under section 2 above, the EU will identify a list of technologies critical to economic security and assess their risks collectively. While subject to a multilateral and EU framework, decisions on the implementation and enforcement of export controls of dual use items are mainly in the hands of the Member States.  戦略的技術の中には、二重使用の性質を持ち、特別な注意を必要とするものがある。上記第2項の下、EUは経済安全保障にとって重要な技術のリストを特定し、そのリスクを一括して評価する。多国間およびEUの枠組みに従うとはいえ、デュアルユース品目の輸出規制の実施と執行に関する決定は主に加盟国の手に委ねられている。
The established dual-use export control architecture – with the multilateral export control regimes as standard-setters – has in recent decades addressed the Union’s security policy objectives, while at the same time nurturing openness and a conducive climate for research and innovation and nonproliferation at large. The EU will strengthen its support for the work of multilateral regimes, although its effectiveness is hindered by the fact that it is only a member of one of the existing Multilateral Control Regimes, and an observer in a second. 多国間輸出管理体制を標準設定国とする確立されたデュアルユース輸出管理体制は、ここ数十年間、EUの安全保障政策目標に対処してきたと同時に、開放性と研究・技術革新および核不拡散に資する風土を育んできた。EUは、既存の多国間管理レジームのうち1つのレジームのメンバーであり、もう1つのレジームではオブザーバーであるという事実が、その有効性を妨げているが、多国間レジームの活動に対する支援を強化する。
However, in light of the new challenges related to the increased military potential of a range of strategic technologies, Russia’s illegal war of aggression against Ukraine, heightened geopolitical tensions and risks to national security, some EU Member States and third countries have stepped up national controls to limit the export of critical technologies outside, or in some cases building on, the processes established in the multilateral export control regimes such as manufacturing equipment for advanced semiconductor chips or equipment related to quantum computing. Recent development have also shown the need for greater flexibility in the regime, to respond to current and fast changing events. しかし、さまざまな戦略技術の軍事的潜在力の増大、ロシアによるウクライナへの不法な侵略戦争、地政学的緊張の高まり、国家安全保障へのリスクに関連する新たな課題に鑑み、一部のEU加盟国および第三国は、先端半導体チップの製造装置や量子コンピューティング関連機器など、多国間輸出管理制度で確立されたプロセス以外の、あるいは場合によってはそれを基礎とした、重要技術の輸出を制限するための国内規制を強化している。また、最近の進展は、現在起こっている変化の激しい事象に対応するため、より柔軟な体制が必要であることを示している。
The EU’s Regulation on dual-use export controls was revised in 2021 to better address risks associated with the rapidly evolving security, technology, and trade environment, with a particular focus on the exports of sensitive, emerging technologies. It includes provisions that allow one Member State to introduce export controls based on another Member State’s legislation, amounting to a coordinated and cross-border effect, among EU Member States and supported by the Commission, of export controls whose implementation is a national prerogative.  These provisions are currently being tested.  EUのデュアルユース輸出規制規則は2021年、急速に進化する安全保障、技術、貿易環境に関連するリスクによりよく対応するため、特に機密性の高い新興技術の輸出に焦点を当て、改正された。これは、EU加盟国間において、欧州委員会の支援を受けながら、各国の特権として輸出規制を実施するという、国境を越えた協調的な効果をもたらすものである。 これらの規定は現在試験中である。
The need for more rapid and coordinated action at EU level in the area of export controls has become pressing as an uncoordinated proliferation of national controls by Member States would create loopholes and undermine the effectiveness of export controls and the integrity of the Single Market. As more technologies are developed that are key to national security and subject to national controls, possible divergences between Member States would weaken the economic security of the EU as a whole. To prevent this from happening, the current Regulation should be fully implemented. At the same time, a reflection should begin on building on the existing framework to develop a more coordinated European approach that goes beyond the current obligation of ensuring transparency among Member States.  加盟国による国内規制の非協調的な拡散は抜け穴を生み、輸出規制の有効性と単一市場の完全性を損なうことになるため、輸出規制の分野においてEUレベルでより迅速かつ協調的な行動をとる必要性が急務となっている。国家安全保障の要となり、国家管理の対象となる技術が開発されるにつれ、加盟国間の乖離の可能性は、EU全体の経済的安全保障を弱めることになる。このような事態を防ぐため、現行規則を完全に実施すべきである。同時に、加盟国間の透明性を確保するという現在の義務を超えた、より協調的な欧州のアプローチを開発するために、既存の枠組みを土台とした検討を開始すべきである。
The Commission will therefore table a proposal at the latest by the end of this year to improve the effectiveness and efficiency of the current framework. It should make it fit for purpose in the rapidly changing technology and security environment, reinforcing the capacity of the EU to play fully its role as a global actor in a context where the multilateral export control regimes are under pressure, in full respect of the EU’s and Members States’ respective competences.   そのため欧州委員会は、現行の枠組みの有効性と効率性を改善するための提案を、遅くとも年内に提出する予定である。それは、急速に変化する技術および安全保障環境において目的に適合したものとし、EUおよび加盟国のそれぞれの権限を十分に尊重した上で、多国間輸出管理体制が圧力を受けている状況において、EUがグローバルなアクターとしての役割を十分に果たす能力を強化するものでなければならない。 
Outbound investment 対外投資
The EU and Member States also have a common interest in preventing the narrow set of technological advances that are assessed to be core to enhancing military and intelligence capabilities of actors who may use them to undermine international peace and security from being fuelled by our companies’ capital, expertise and knowledge.   EUと加盟国はまた、国際の平和と安全を損なう可能性のある行為者の軍事・諜報能力の強化の中核をなすと評価される一連の狭い範囲の技術進歩が、わが国の企業の資本、専門知識、知見によって促進されることを防ぐという共通の関心を持っている。 
Strategic trade and investment controls require a holistic approach to enable us to protect our essential security interests.  This raises the question on the need to subject not only exported goods, but also certain outbound investment to controls to counter the risk of technology and know-how leaking as part of that investment.   戦略的貿易・投資管理には、安全保障上の本質的利益を守るための総合的なアプローチが必要である。 このことは、輸出品だけでなく、その投資の一部として技術やノウハウが流出するリスクに対抗するため、特定の対外投資も規制の対象とする必要性を提起している。 
Moreover, increased cooperation is required to prevent the leakage of sensitive emerging technologies, as well as other dual-use items, to destinations of concern that operate civil-military fusion strategies, and to avoid the backfilling of any controlled exports and investments. さらに、民軍融合戦略を展開する懸念先への機密性の高い新興技術やその他のデュアルユース品目の流出を防ぎ、管理された輸出や投資の埋め戻しを回避するためには、協力の強化が必要である。
The Commission will examine what security risks can result from outbound investments, in liaison with Member States. It will set up a new dedicated group of Member States’ experts, to assist in these tasks, building a new structured, confidential cooperation mechanism. The Commission, with input from this new expert group, will also conduct outreach and consultations activities with business and other stakeholders, and partner countries, as appropriate. 欧州委員会は、加盟国と連絡を取りながら、対外投資によってどのような安全保障上のリスクが生じ得るかを検討する。欧州委員会は、加盟国の専門家からなる新たな専門グループを立ち上げ、こうした作業を支援し、新たな構造化された秘密厳守の協力メカニズムを構築する。欧州委員会は、この新しい専門家グループの意見を取り入れながら、適宜、企業やその他の利害関係者、相手国とのアウトリーチ活動や協議活動も行う。
On this basis, the Commission will examine possible measures to address security risks related to outbound investments, with a view to proposing an initiative by the end of the year.  . これに基づき、欧州委員会は、年内にイニシアチブを提案することを視野に入れ、対外投資に関連する安全保障上のリスクに対処するための可能な措置を検討する。 .
In sum, we need the unity at EU level for a bolder and faster use of existing EU instruments when they are required and a more assertive approach to enforcement. The EU and its Member States should ensure that these are used to their full potential to bolster economic resilience and protect essential security interests, bearing in mind also the impacts outside the EU. EU businesses should also be encouraged to integrate economic security risks in their due diligence and risk management processes. Moreover, in some areas this Communication identifies the need to strengthen or develop new tools to match today’s risks.  まとめると、必要な場合には、EUの既存の手段をより大胆かつ迅速に使用し、執行に対してはより主張的なアプローチをとるために、EUレベルでの結束が必要である。EUとその加盟国は、EU域外への影響も念頭に置きながら、経済レジリエンスを強化し、安全保障上の本質的利益を守るために、これらの手段が最大限に活用されるようにすべきである。また、EU企業は、デューデリジェンスやリスクマネジメントのプロセスに経済安全保障上のリスクを組み込むよう奨励されるべきである。さらに、本コミュニケーションは、いくつかの分野において、今日のリスクに対応した新たなツールを強化または開発する必要性を指摘している。
3.3 Partnering on economic security  3.3 経済の安全保障に関するパートナーシップ 
The EU cannot achieve economic security on its own. Neither can its policy response be unilateral. The global economy will remain integrated and interconnected, and effective EU action depends on cooperation and coordination with others. Transparency and cooperation are essential to ensuring that economic security policies do not have unwanted consequences on third countries, particularly on the most vulnerable ones. De-risking supply chains and mitigating disturbances involves diversification of supply and access to a diverse set of import and export markets. Moreover, the EU’s vulnerabilities linked to critical dependencies in strategic sectors are very similar to those of many other global actors, including its closest partners, while all countries are potentially vulnerable to various forms of economic coercion. EUは、単独で経済の安全保障を達成することはできない。また、EUの政策対応が一方的であることもありえない。世界経済は引き続き統合され、相互につながっており、EUの効果的な行動は、他者との協力と協調にかかっている。透明性と協力は、経済安全保障政策が第三国、特に最も脆弱な国々に望ましくない結果をもたらさないようにするために不可欠である。サプライチェーンのリスクを低減し、擾乱を緩和するには、供給の多様化と多様な輸出入市場へのアクセスが必要である。さらに、戦略的分野における重要な依存関係に関連するEUの脆弱性は、最も緊密なパートナーを含む他の多くのグローバルなアクターの脆弱性と非常に類似している。
This makes a strong argument for cooperation with the broadest possible range of partners, including long-standing like-minded partners, such as the members of the G7, as well as others with whom we share common interests and who are willing to cooperate with us. このことは、G7メンバーのような長年にわたって志を同じくするパートナーや、共通の利益を共有し、協力する意思のあるその他の国々を含む、可能な限り広範なパートナーとの協力の必要性を強く主張するものである。
This cooperation will be flexible, and will vary in form, scope and types of participants in function of shared interests and common dependencies and depending on the specific policy area or the risks identified.  この協力は柔軟なものであり、共通の利益や共通の依存関係を機能させ、特定の政策分野や特定されたリスクに応じて、その形態、範囲、参加者の種類は変化する。
Bilateral and plurilateral cooperation  二国間および多国間協力 
The EU is vastly expanding its bilateral and plurilateral cooperation instruments to be a nimbler actor where this is necessary for greater economic security. . This is a core element of the Union’s policy response, implementing the notion of security through diversification of partners. Intensive cooperation on economic security is already taking place with various partners including the US and India as part of the respective Trade and Technology Councils (TTC). The EU – Japan High Level Economic Dialogue will incorporate a dedicated workstream on economic security issues. EUは、二国間および多国間協力の手段を大幅に拡大し、より大きな経済的安全保障のために必要な場合には、より機敏なアクターとなることを目指している。. これは、EUの政策対応の中核をなす要素であり、パートナーの多様化による安全保障の概念を実践するものである。経済安全保障に関する集中的な協力は、それぞれの貿易技術理事会(TTC)の一環として、米国やインドを含むさまざまなパートナーとの間ですでに行われている。日・EUハイレベル経済対話には、経済安全保障問題に関する専用のワークストリームが組み込まれる予定である。
The G7 provides an important avenue for cooperation on economic security. The May 2023 Hiroshima Summit statement on economic resilience and economic security confirms the G7 Leaders’ commitment to work together and with partners beyond the G7 to enhance global economic resilience and economic security, by building resilient supply chains and critical infrastructure, responding to harmful practices such as non-market policies and economic coercion, and preventing leakage of critical and emerging technologies.   G7は、経済安全保障に関する協力のための重要な手段を提供する。経済のレジリエンスと経済安全保障に関する2023年5月の広島サミット声明は、G7首脳が、レジリエントなサプライチェーンや重要インフラの構築、非市場政策や経済的強制といった有害な慣行への対応、重要技術や新興技術の流出の防止などを通じて、世界経済のレジリエンスと経済安全保障を強化するために、G7以外のパートナーとも協力していくことを確約している。 
Having as large a geo-economic toolbox as possible – from Free Trade Agreements to Digital Partnerships, Green Alliances and Partnerships, Raw Materials Partnerships, and the Raw Materials Club and strengthened cooperation with countries in the EU neighbourhood – allows us to respond to a broad range of economic security related challenges with the appropriate tool for greatest possible coordination and effect. We will continue to use these instruments and adapt them to better contribute to supply chain resilience and EU economic security.  自由貿易協定からデジタル・パートナーシップ、グリーン・アライアンスとパートナーシップ、原材料パートナーシップ、原材料クラブ、EU近隣諸国との協力強化に至るまで、可能な限り広範な地理経済的ツールボックスを持つことにより、経済安全保障に関連する広範な課題に、可能な限り最大の協調と効果をもたらす適切な手段で対応することができる。我々は、サプライチェーンのレジリエンスとEUの経済安全保障によりよく貢献するために、これらの手段を引き続き使用し、適応させていく。
We will continue to make the most of the EU’s vast network of Free Trade Agreements through full implementation while also working to expand it. These agreements facilitate business de-risking, diversification and reduction of dependencies by opening new markets, help build mutual beneficial economic ties especially in regions where the EU would otherwise leave a void that third countries would fill, as well as support social and environmental sustainability.  我々は、自由貿易協定の完全な実施を通じて、EUの広大なネットワークを最大限に活用し続けるとともに、その拡大に努める。これらの協定は、新たな市場を開拓することにより、ビジネスのリスク回避、多様化、依存度の低減を促進し、特にEUが存在しなければ第三国がその空白を埋めることになるような地域において、互恵的な経済関係を構築するのに役立つだけでなく、社会および環境の持続可能性を支援する。
A key dimension of economic security is the readiness of the EU to reinforce its partnerships with developing countries that could play a bigger role in global value chains. EU financial and technical support to low- and middle-income countries for industrialisation, the green transition and bridging the digital divide is not only valuable on its own and creates positive effects for the local communities, but also contributes to our economic resilience by promoting a more diversified global economy.  経済的安全保障の重要な側面は、グローバルなバリューチェーンにおいてより大きな役割を果たしうる発展途上国とのパートナーシップを強化するEUの用意である。工業化、グリーン・トランジション、デジタル・デバイド解消のための中低所得国に対するEUの財政的・技術的支援は、それ自体が価値あるものであり、地域社会にプラスの効果をもたらすだけでなく、より多様なグローバル経済を促進することによって、EUの経済レジリエンスにも貢献する。
In this respect, the Global Gateway and the Partnership for Global Infrastructure Investments will be key in contributing to the economic security of their beneficiaries tighten economic links and integration with global economies. These initiatives will help the EU and its partners to tackle major challenges together, including fighting climate change, deploying secure digital infrastructures, improving health systems, and achieving the Sustainable Development Goals, while offering partners sustainable alternatives to investment practices that would make them more vulnerable to economic coercion by their creditors. They also contribute to the EU’s economic security, notably by helping to diversify supply chains and integrate value chains with partners in key sectors. この点で、グローバル・ゲートウェイとグローバル・インフラ投資パートナーシップは、受益者の経済的安全保障を強化し、世界経済との統合に貢献する上で鍵となる。これらのイニシアチブは、EUとそのパートナーが、気候変動との闘い、安全なデジタル・インフラの導入、保健システムの改善、持続可能な開発目標の達成など、主要な課題に共に取り組むことを支援すると同時に、債権者による経済的強要に対して脆弱性を高めるような投資慣行に対する持続可能な代替策をパートナーに提供するものである。また、特にサプライチェーンの多様化や、主要分野のパートナーとのバリューチェーンの統合を支援することにより、EUの経済的安全保障にも貢献している。
The EU will continue to build-up other forms of cooperation with various partners on issues of interest, for example on critical raw materials within a Critical Raw Materials Club. EUは、例えば、重要原材料クラブにおける重要原材料の問題など、関心のある問題に関して、さまざまなパートナーとの他の形態の協力を引き続き構築していく。
Multilateral cooperation 多国間協力
At global level, multilateral cooperation and the rules-based framework provide the foundation for the economic security of the EU and all members of the international community. Even in an environment of strategic rivalry and economic competition, there is scope for international cooperation on common challenges and a need for clear rules guaranteeing fair and open trade, thus putting guardrails on the trend towards “might is right”, economic fragmentation or protectionism. 世界レベルでは、多国間協力とルールに基づく枠組みが、EUおよび国際社会のすべてのメンバーの経済的安全保障の基盤を提供している。戦略的なライバル関係や経済競争の環境にあっても、共通の課題に対する国際協力の余地はあり、公正で開かれた貿易を保証する明確なルールが必要である。
The EU’s interest therefore is to strengthen multilateral cooperation through international fora and organisations such as the G20, the UN or the Multilateral Development Banks. In the trade realm, the EU will continue efforts to reform the World Trade Organization (WTO) and restore its dispute settlement function, given the critical role an effective WTO plays in minimising the risk of arbitrary behaviour and narrowing the scope of possible trade restrictions. したがって、EUの関心は、G20、国連、多国間開発銀行などの国際フォーラムや組織を通じて多国間協力を強化することにある。貿易の分野では、恣意的な行動のリスクを最小限に抑え、貿易制限の可能な範囲を狭める上で、効果的なWTOが果たす重要な役割を考慮し、EUは、世界貿易機関(WTO)を改革し、その紛争解決機能を回復するための努力を継続する。
Next steps 次のステップ
The Commission and the High Representative, within their respective competences, will: 欧州委員会と上級代表者は、それぞれの権限の範囲内で、以下を行う:
• develop with Member States a framework for assessing risks affecting the EU’s economic security; this includes establishing a list of technologies which are critical to economic security and assess their risks with a view to devising appropriate mitigating measures. ・加盟国とともに、EUの経済的安全保障に影響を及ぼすリスクをアセスメントする枠組みを構築する。これには、経済的安全保障にとって重要な技術のリストを確立し、適切な緩和策を考案することを視野に入れてそのリスクを評価することが含まれる。
• engage in a structured dialogue with the private sector to develop a collective understanding of economic security and encourage them to conduct due diligence and risk management in light of economic security concerns.  ・民間部門と構造的な対話を行い、経済的安全保障に関する集団的理解を深めるとともに、経済的安全保障の懸念に照らしてデューデリジェンスとリスクマネジメントを行うよう奨励する。 

• further support EU technological sovereignty and resilience of EU value chains, including by developing critical technologies through STEP. ・STEPを通じた重要技術の開発を含め、EUの技術主権とEUのバリューチェーンのレジリエンスをさらに支援する。
• review the Foreign Direct Investment Screening Regulation. ・外国直接投資審査規則を見直す。
• explore options to ensure adequate targeted support for research and development of dual-use technologies. ・デュアルユース技術の研究開発に対する適切な的を絞った支援を確保するための選択肢を検討する。
• fully implement the EU’s export control regulation on dual use and make a proposal to ensure its effectiveness and efficiency. ・EUのデュアルユース輸出規制を完全に実施し、その有効性と効率性を確保するための提案を行う。
• propose an initiative to address security risks related to outbound investments. ・対外投資に関連する安全保障リスクに対処するためのイニシアチブを提案する。
propose measures to improve research security ensuring a systematic and rigorous enforcement of the existing tools and identifying any remaining gaps.   既存の手段の体系的かつ厳格な実施を確保し、残存するギャップを特定するため、研究安全保障を改善するための措置を提案する。 
• explore the targeted use of CFSP instruments to enhance EU economic security including Hybrid and Cyber Diplomacy toolboxes and foreign information manipulation and interference (FIMI) toolbox. ・ハイブリッドおよびサイバー外交ツールボックス、外国による情報操作および干渉(FIMI)ツールボックスなど、EUの経済安全保障を強化するためのCFSP手段の的を絞った利用を検討する。
• instruct the EU Single Intelligence Analysis Capacity (SIAC) to work specifically on the detection of possible threats to EU economic security. ・EUの単一情報分析能力(SIAC)に、特にEUの経済安全保障に対する脅威の検知に取り組むよう指導する。
• ensure that the protection and promotion of EU economic security is fully integrated in European Union’s external action and intensify the cooperation with third countries on economic security issues. ・EUの経済安全保障の保護と促進がEUの対外行動に完全に組み込まれるようにし、経済安全保障問題に関する第三国との協力を強化する。
Conclusion 結論
In an interconnected world, no country can act alone to ensure its economic security. In today’s world, Member States’ economic and national security interests, vulnerabilities and responses can rarely be seen or identified in isolation from those of other Member States or those of the Union as a whole. Individual Member State’s interests are inextricably linked to the proper functioning of the internal market, the integrity of the EU trade policy and the security interests of the EU as a whole.  相互接続された世界では、いかなる国も自国の経済安全保障を確保するために単独で行動することはできない。今日の世界では、加盟国の経済的・国家的安全保障上の関心、脆弱性、対応について、他の加盟国やEU全体の関心と切り離して考えたり、特定したりすることはほとんどできない。個々の加盟国の利益は、域内市場の適切な機能、EUの貿易政策の完全性、EU全体の安全保障上の利益と表裏一体の関係にある。
The alternative to an EU approach to economic security is that our partners will pick and choose alliances, while less well-intentioned players will seek to divide and conquer. Therefore, a common and coordinated EU action across policies, through cooperation between the EU and the Member States, is essential for the Union’s economic security. The key to success will be to act in unity. 経済的安全保障に対するEUのアプローチに代わるものは、パートナー諸国が同盟関係を選り好みする一方で、あまり善意のないプレーヤーが分断と征服を図ることである。したがって、EUと加盟国間の協力を通じて、政策全般にわたってEUが共通かつ協調的に行動することが、EUの経済安全保障にとって不可欠である。成功の鍵は、結束して行動することである。

 

 

| | Comments (0)

2023.06.25

デジタル庁 デジタル社会の実現に向けた重点計画 (2023.06.09)

こんいちは、丸山満彦です。

デジタル庁の「デジタル社会の実現に向けた重点計画」を忘れないうちに...

 

デジタル庁

デジタル社会の実現に向けた重点計画

目次的...


誰一人取り残されない、人に優しいデジタル化を

重点計画とは

デジタルにより目指す社会
 デジタル社会で目指す6つの姿

デジタル社会の実現に向けた理念・原則
 デジタル社会形成のための基本10原則
 国の行政手続オンライン化の3原則
 構造改革のためのデジタル5原則
 サービス設計12箇条
 クラウド・バイ・デフォルト原則

戦略として取り組む政策群

重点的な取組
 1. マイナンバーカードとデジタル行政サービスで便利な暮らしを提供する
 2. デジタル技術を活用するためのルールを整える
 3. 国や地方公共団体を通じてデジタル変革を推進する
 4. 官民でデータ連携の基盤を整備する
 5. 準公共分野のデジタルサービスを拡充する
 6. AI活用及びデータ戦略を踏まえた取組を推進する
 7. データ連携とデータ移転の国際的な枠組みをつくる
 8. 事業者向け行政サービスの利便性を高める
 9. 公平かつ迅速な調達を実現できる仕組みをつくる
 10. インターネット上の偽情報対策などを推進する

資料
 本ページ掲載内容の紹介資料
 過去資料


 


デジタル社会で目指す6つの姿

  1. デジタル化による成長戦略
  2. 医療・教育・防災・こども等の準公共分野のデジタル化
  3. デジタル化による地域の活性化
  4. 誰一人取り残されないデジタル社会
  5. デジタル人材の育成・確保
  6. DFFT※の推進をはじめとする国際戦略
    ※DFFT:Data Free Flow with Trust:信頼性のある自由なデータ流通

 

デジタル社会形成のための基本10原則

  1. オープン・透明
  2. 公平・倫理
  3. 安全・安心
  4. 継続・安定・強靭
  5. 社会課題の解決
  6. 迅速・柔軟
  7. 包摂・多様性
  8. 浸透
  9. 新たな価値の創造
  10. 飛躍・国際貢献

 

国の行政手続オンライン化の3原則

  1. デジタルファースト:個々の手続・サービスが一貫してデジタルで完結
  2. ワンスオンリー:一度提出した情報は二度提出が不要
  3. コネクテッド・ワンストップ:民間を含む複数の手続き・サービスをワンストップで実現

↑ 英語にせずに、日本語にすればよいのにね。。。

 

構造改革のためのデジタル5原則

  1. デジタル完結・自動化原則
  2. アジャイルガバナンス原則
  3. 官民連携原則
  4. 相互運用性確保原則
  5. 共通基盤利用原則

 

サービス設計12箇条

  1. 利用者のニーズから出発する
  2. 事実を詳細に把握する
  3. エンドツーエンドで考える
  4. 全ての関係者に気を配る
  5. サービスはシンプルにする
  6. デジタル技術を活用し、サービスの価値を高める
  7. 利用者の日常体験に溶け込む
  8. 自分で作りすぎない
  9. オープンにサービスを作る
  10. 何度も繰り返す
  11. 一編にやらず、一貫してやる
  12. 情報システムではなくサービスを作る

 


 

・[PDF] 本ページ掲載内容の紹介資料

 

概要(簡易版)[PDF][ PPTX]

概要 [PDF][ PPTX]

20230625-74943

 

本文 [PDF][WORD]

20230625-75116

工程表 [PDF][XLSX]

20230625-75337

施策集 [PDF][WORD]

・本計画とデジタル社会形成基本法第37条第2項各号、及び官民データ活用推進基本法第8条第2項各号に定める記載事項との対応関係 [PDF][XLSX]

オンライン化を実施する行政手続の一覧等 [PDF]

  1. 行政手続のデジタル化 [WORD]
  2. オンライン化を実施する行政手続等 [XLSX]
  3. 添付書類の省略を実施する行政手続 [XLSX]
  4. 更なる利便性の向上を図る行政手続等 [XLSX]
  5. 地方公共団体が優先的にオンライン化を推進すべき手続 [WORD]

統合版(令和5年6月9日閣議決定)デジタル社会の実現に向けた重点計画(本文/工程表/別冊) [PDF]

別表(施策集)[PDF][XLSX]

 

施策集...

1. 国際戦略の推進
[No.
1-1] インターネットガバナンスにおける国際連携とマルチステークホルダー間連携の強化
[No.1-2] 国際的なデータ流通の推進

2. サイバーセキュリティ等の安全・安心の確保
[No.
2-1] セキュリティ標準の策定
[No.2-2] 個人情報等の適正な取扱いの確保及び効果的な活用の促進

3. 急速なAIの進歩・普及を踏まえた対応
[No.
3-1] 民主主義的な価値に基づいた人間中心のAI原則の実践の支援
[No.3-2] AI・データの利用に関する適切な契約の促進

4. 包括的データ戦略の推進と今後の取組
[No.
4-1] 「Trusted Web」構想の実現
[No.4-2] 地域経済分析システム(RESAS)による官民のオープンデータ利活用の推進
[No.4-3] 海のデータ連携の推進
[No.4-4] 信頼性のある個人データ流通の観点から個人情報を安全・円滑に越境移転できる国際環境の構築
[No.4-5] オープンデータカタログの一元的提供の推進
[No.4-6] 土地情報連携の高度化
[No.4-7] いわゆる情報銀行等の実装に向けた制度整備
[No.4-8] 統計データのオープン化の推進・高度化
[No.4-9] 海外安全情報のデータ公開と活用の促進
[No.4-10] 地理空間情報(G空間情報)の流通基盤の整備等
[No.4-11] 不動産関連データの情報連携のキーとなる不動産ID(共通番号)の活用促進
[No.4-12] i-Constructionの推進による3次元データの利活用の促進
[No.4-13] 気象情報の利活用の促進

5. 国民に対する行政サービスのデジタル化
[No.
5-1] 運転免許証とマイナンバーカードの一体化
[No.5-2] 地方公共団体が優先的にオンライン化を推進すべき手続のオンライン・デジタル化の推進
[No.5-3] 引越し手続のオンライン・デジタル化の推進
[No.5-4] マイナポータルの継続的改善
[No.5-5] 自治体マイナポイントの効果的な活用の推進
[No.5-6] 国外におけるマイナンバーカード・公的個人認証サービスの継続利用
[No.5-7] コンビニ交付サービスの導入推進
[No.5-8] マイナンバーカードと健康保険証の一体化の加速

6. 安全・安心で便利な暮らしのデジタル化
[No.
6-1] ハザードマップ(災害リスク情報)のオープンデータ化
[No.6-2] 匿名加工医療情報の利活用の推進
[No.6-3] 防災・減災のため、必要な情報を円滑に共有できる仕組みの構築
[No.6-4] 国・地方公共団体・事業者等における災害情報の共有の推進
[No.6-5] スマート防災ネットワークの構築
[No.6-6] 準天頂衛星システムの開発・整備・運用及び利活用促進
[No.6-7] スマートインフラマネジメントシステムの構築
[No.6-8] 被災者支援におけるマイナポータル活用の推進
[No.6-9] 保育所や放課後児童クラブの利用に関する有益な情報の公開促進
[No.6-10] 「デジタルを活用した交通社会の未来2022」に基づいた取組の推進
[No.6-11] 官民の保有するモビリティ関連データの連携
[No.6-12] 位置情報を統一的な基準で一意に特定する「4次元時空間ID」の整備
[No.6-13] 取引のデジタル化
[No.6-14] 電子インボイスの標準仕様(デジタルインボイス)の定着とそれを契機としたグローバル展開に向けた取組
[No.6-15] 健康・医療・介護等データの流通・利活用環境の実現
[No.6-16] 高度遠隔医療ネットワーク実用化研究の推進
[No.6-17] 公共安全LTEの実現に向けた技術的検討
[No.6-18] Jアラートによる迅速かつ確実な情報伝達の実施
[No.6-19] Lアラートによる迅速な災害情報発信や発信情報の拡充・利活用の拡大
[No.6-20] 地域課題解決のためのスマートシティの推進
[No.6-21] ITUとの連携による国際協力事業
[No.6-22] 医療高度化に資するPHRデータ流通基盤の構築
[No.6-23] 消防防災分野におけるAIの活用も含めたDXの推進
[No.6-24] 児童生徒1人1台端末の活用促進
[No.6-25] 次世代の学校・教育現場を見据えた先端技術・教育データの利活用促進
[No.6-26] 教育データの効果的な活用の推進
[No.6-27] 学習者用デジタル教科書の普及促進等
[No.6-28] 介護サービス情報公表システムを活用した効果的な情報提供
[No.6-29] レセプト・健診情報等を活用したデータヘルスの推進事業
[No.6-30] レセプト情報・特定健診等情報データベース(NDB)の利活用促進
[No.6-31] 指定難病患者、小児慢性特定疾病児童等の診療情報を登録するためのデータベースの活用促進
[No.6-32] 予防接種記録の電子化推進と疫学調査等への活用の検討
[No.6-33] ICT等を用いた遠隔診療の推進
[No.6-34] 農業関係情報のオープンデータ化の推進
[No.6-35] データ連携による生産・流通改革
[No.6-36] スマート農業実証プロジェクト(「スマート農業産地モデル実証」及び「スマート農業技術の開発・実証・実装プロジェクト」)
[No.6-37] データをフル活用したスマート水産業の推進
[No.6-38] 水産流通適正化制度における電子化推進対策事業
[No.6-39] 農林水産省共通申請サービス(eMAFF)によるDXの促進
[No.6-40] 農林水産省地理情報共通管理システム(eMAFF地図)による農地情報の一元化に資する農業委員会サポートシステムの運用
[No.6-41] 林業におけるデジタル技術の活用の推進
[No.6-42] 筆ポリゴンデータのオープンデータ化・高度利用促進
[No.6-43] ICTを活用した教育サービスの充実
[No.6-44] フィジカルインターネットの実現
[No.6-45] 指定緊急避難場所情報の迅速な整備・更新・公開及び各種情報との連携の推進
[No.6-46] 歩行空間における自律移動支援の推進
[No.6-47] 国家座標に準拠した高精度な位置情報の利活用及び流通の促進
[No.6-48] 基盤となる地理空間情報等の整備・提供
[No.6-49] ボーリング柱状図データ(土質調査結果含む)の公開の促進
[No.6-50] 小型無人機(ドローン)の制度整備と社会実装の推進
[No.6-51] サイバーポートの整備(港湾物流分野)
[No.6-52] 「ヒトを支援するAIターミナル」の実現に向けた取組の深化
[No.6-53] 国土交通データプラットフォーム整備
[No.6-54] スマートシティの実装化の推進
[No.6-55] 3D都市モデルの整備・活用・オープンデータ化の推進

7. アクセシビリティの確保
[No.
7-1] 障害者の本人確認等の簡素化
[No.7-2] ウェブアクセシビリティ確保のための環境整備等
[No.7-3] 情報アクセシビリティ確保のための環境整備
[No.7-4] 高齢者等に向けたデジタル活用支援の推進
[No.7-5] 多言語翻訳技術の高度化に関する研究開発
[No.7-6] 障害当事者参加型技術開発の推進
[No.7-7] デジタル技術を活用した郵便局による地域連携

8. 産業のデジタル化
[No.
8-1] データ連携基盤を支えるサイバーセキュリティ対策
[No.8-2] サイバーセキュリティお助け隊の構築
[No.8-3] 中小企業支援のDX推進
[No.8-4] 地域企業のDX推進
[No.8-5] 産業界におけるデジタルトランスフォーメーションの推進
[No.8-6] DX(デジタルトランスフォーメーション)の推進による観光サービスの変革と観光需要の創出等
[No.8-7] 観光DXの推進

9. デジタル社会を支えるシステム・技術
[No.
9-1] 人事管理のデジタル化
[No.9-2] 革新的な基礎研究から社会実装までのAI研究開発の推進
[No.9-3] 警察共通基盤を活用した警察業務のデジタル化
[No.9-4] 交通管制の高度化に関する調査研究
[No.9-5] 視覚障害者、高齢者等の移動支援システムの普及促進
[No.9-6] オープンデータ・バイ・デザインの推進
[No.9-7] 地方におけるオープンデータの促進
[No.9-8] ガバメントクラウドの整備
[No.9-9] ガバメントソリューションサービスの整備
[No.9-10] 情報システム整備方針を踏まえた独立行政法人の情報システムの整備及び管理の推進
[No.9-11] 地方公共団体の基幹業務等システムの統一・標準化
[No.9-12] 公共工事電子入札システムの統合
[No.9-13] デジタル技術を用いた防災気象情報の高度化等に係るプロジェクトの推進
[No.9-14] 条件不利地域における通信インフラの整備の推進
[No.9-15] 鉄道トンネルなどにおける携帯電話の通じない区間の解消の加速
[No.9-16] 5G高度化等に向けた総合的・戦略的な国際標準化・知財活動の促進
[No.9-17] データセンターの分散立地の推進、国際的なデータ流通のハブとしての機能強化等
[No.9-18] ローカル5Gに関する実証の結果を踏まえた制度整備に向けた検討、ローカル5G等の地域のデジタル基盤の整備と先進的ソリューション実装の一体的推進の実施
[No.9-19] グリーン社会に資する先端光伝送技術の研究開発
[No.9-20] 安全なデータ連携による最適化AI技術の研究開発
[No.9-21] リモートセンシング技術のユーザー最適型データ提供に関する要素技術の研究開発
[No.9-22] 量子暗号通信網構築のための研究開発
[No.9-23] 量子インターネット実現に向けた要素技術の研究開発
[No.9-24] 革新的情報通信技術(Beyond 5G(6G))基金事業
[No.9-25] 非常時における事業者間ローミングの実現
[No.9-26] 非地上系ネットワーク(NTN)の整備等
[No.9-27] 登記情報システムに係るプロジェクトの推進
[No.9-28] 国税情報システムに係るプロジェクトの推進
[No.9-29] 国税地方税連携の推進
[No.9-30] 最先端スーパーコンピュータの運用等
[No.9-31] 研究データの活用・流通・管理を促進する次世代学術研究プラットフォーム
[No.9-32] AIP:人工知能/ビッグデータ/IoT/サイバーセキュリティ統合プロジェクト(次世代人工知能技術等研究開発拠点形成事業費補助金)
[No.9-33] 光・量子飛躍フラッグシッププログラム(Q-LEAP)
[No.9-34] 経済・産業・安全保障を飛躍的に発展させる誤り耐性型汎用量子コンピュータの実現(ムーンショット型研究開発制度 目標6)
[No.9-35] データ駆動型研究開発を推進するためのマテリアル研究開発プラットフォームの基盤整備
[No.9-36] マテリアル分野をユースケースとした「研究DXプラットフォーム」の構築
[No.9-37] 地球環境データ統合・解析プラットフォーム事業
[No.9-38] 科学技術イノベーション・システムの構築
[No.9-39] 社会保険オンラインシステムに係るプロジェクトの推進
[No.9-40] ハローワークシステムを活用したサービスの充実
[No.9-41] 特許事務システムに係るプロジェクトの推進
[No.9-42] ポスト5G情報通信システム基盤強化研究開発事業
[No.9-43] 高効率・高速処理を可能とするAIチップ・次世代コンピューティングの技術開発事業
[No.9-44] 港湾(港湾管理分野及び港湾インフラ分野)のデジタル化
[No.9-45] デジタル技術を活用したTEC-FORCEの強化

10. デジタル社会のライフスタイル・人材
[No.10
-1] 政府機関におけるデジタル人材の確保・育成等の推進
[No.10-2] テレワークの普及
[No.10-3] デジタル人材育成プラットフォームの運営
[No.10-4] 地域のデータ利活用推進のための地域人材の育成
[No.10-5] 実践的サイバー防御演習(CYDER)
[No.10-6] 産学における自立的なサイバーセキュリティ人材育成の推進
[No.10-7] デジタルと掛けるダブルメジャー大学院教育構築事業
[No.10-8] 数理・データサイエンス・AI教育の全国展開の推進
[No.10-9] 情報教育の強化・充実
[No.10-10] データ関連人材育成プログラム
[No.10-11] IT人材スキル標準の策定
[No.10-12] IT・セキュリティ人材育成及び国家資格の普及啓発等
[No.10-13] ITとOT(制御技術)の知見を備えたセキュリティ人材の育成



 

 

| | Comments (0)

米国・インド 共同声明 (モディ首相の訪米)

こんにちは、丸山満彦です。

おそらく世界一の人口国となり、これからの発展が期待される大国であるインド。英国から独立し、民主的な政治制度をもちながらも、ソビエト時代から防衛装備はロシアからの購入も多く、近年は中国との紛争も決着をつけ、米国のオフショアの受け皿となってきたインド。日英を挟んだQuadの効果か、米印で直接トップ同士が話し合いを密接にできるようになりますかね。。。米国はインドを米国の経済発展のための市場ととらえているのでしょうかね。。。日本、中国と経済発展を支援しつつも、自国の脅威となると、方針を変えてきているようにも思えますが、これからどうなるのでしょうかね。。。

インドのモディ首相は、米国で、政治家以外にも、アルファベット社や、アマゾン社、ボーイング社のCEO、投資家、シンクタンクなどの経済界のメンバー、学者、芸術家とも積極的にあったようですね。。。そして、国際ヨガの日に135カ国から集まった数千人のヨガ愛好家とともにヨガもした(^^)

1_20230625062901

 

U.S. White House

・2023.06.22 Joint Statement from the United States and India

Joint Statement from the United States and India 米国とインドの共同声明
1.        President Joseph R. Biden, Jr. and Prime Minister Narendra Modi today affirmed a vision of the United States and India as among the closest partners in the world – a partnership of democracies looking into the 21st century with hope, ambition, and confidence.  The U.S.-India Comprehensive Global and Strategic Partnership is anchored in a new level of trust and mutual understanding and enriched by the warm bonds of family and friendship that inextricably link our countries together.  Together, we will build an even stronger, diverse U.S.-India partnership that will advance the aspirations of our people for a bright and prosperous future grounded in respect for human rights, and shared principles of democracy, freedom, and the rule of law.  Our cooperation will serve the global good as we work through a range of multilateral and regional groupings – particularly the Quad– to contribute toward a free, open, inclusive, and resilient Indo-Pacific.  No corner of human enterprise is untouched by the partnership between our two great countries, which spans the seas to the stars. 1.      ジョセフ・R・バイデン・ジュニア大統領とナレンドラ・モディ首相は本日、米国とインドが世界で最も緊密なパートナーであり、希望と野心と自信をもって21世紀を展望する民主主義国家のパートナーシップであるというビジョンを確認した。  米印の包括的な世界戦略パートナーシップは、新たなレベルの信頼と相互理解に支えられ、両国を表裏一体で結ぶ家族と友好の温かい絆によって豊かになっている。  我々は共に、人権の尊重と、民主主義、自由、法の支配という共通の原則に根ざした、明るく豊かな未来に向けた我々の人々の願望を前進させる、さらに強力で多様な米印パートナーシップを構築していく。  我々の協力は、自由で開かれた、包摂的でレジリエンスのあるインド太平洋の実現に向け、多国間・地域グループ(特にクアッド)を通じて、世界の利益に貢献するものである。 海から星まで広がる日米両国のパートナーシップによって、人類のエンタープライズのいかなる部分も手つかずのものとなることはない。

Charting a Technology Partnership for the Future 未来のための技術パートナーシップを描く
2.        President Biden and Prime Minister Modi affirm that technology will play the defining role in deepening our partnership.  The leaders hailed the inauguration of the Initiative on Critical and Emerging Technology (iCET) in January 2023 as a major milestone in U.S.-India relations.  They called on our governments, businesses, and academic institutions to realize their shared vision for the strategic technology partnership.  The leaders recommitted the United States and India to fostering an open, accessible, and secure technology ecosystem, based on mutual confidence and trust that reinforces our shared values and democratic institutions. 2.        バイデン大統領とモディ首相は、テクノロジーが両国のパートナーシップを深める上で決定的な役割を果たすことを確認した。  両首脳は、2023年1月の重要技術・新興技術イニシアティブ(iCET)の発足を、米印関係における大きな節目として歓迎した。  両首脳は、両国の政府、企業、学術機関が共有する戦略的技術パートナーシップのビジョンを実現するよう呼びかけた。  両首脳は、共通の価値観と民主的制度を強化する相互の信頼と信用に基づき、オープンでアクセスしやすく、安全な技術エコシステムを育成するために、米国とインドを再確認した。
3.        President Biden and Prime Minister Modi set a course to reach new frontiers across all sectors of space cooperation.  The leaders applauded our growing cooperation on earth and space science, and space technologies. They welcomed the decision of NASA and ISRO to develop a strategic framework for human spaceflight cooperation by the end of 2023.The leaders hailed the announcement by NASA to provide advanced training to Indian astronauts at the Johnson Space Center in Houston, Texas, with a goal of mounting a joint effort to the International Space Station in 2024.The leaders celebrated the delivery of the NASA-ISRO Synthetic Aperture Radar (NISAR) satellite to ISRO’s U.R. Rao Satellite Centre in Bengaluru, India, and looked forward to NISAR’s 2024 launch from India.  Welcoming India’s Space Policy – 2023, the leaders called for enhanced commercial collaboration between the U.S. and Indian private sectors in the entire value chain of the space economy and to address export controls and facilitate technology transfer. President Biden deeply appreciated India’s signing of the Artemis Accords, which advance a common vision of space exploration for the benefit of all humankind.   3.        バイデン大統領とモディ首相は、宇宙協力のあらゆる分野で新たなフロンティアに到達するための道筋をつけた。  両首脳は、地球科学、宇宙科学、宇宙技術に関する我々の協力の拡大を称賛した。両首脳は、2023年末までに有人宇宙飛行協力の戦略的枠組みを策定するというNASAとISROの決定を歓迎した。両首脳は、2024年に国際宇宙ステーションへの共同作業を実施することを目標に、テキサス州ヒューストンのジョンソン宇宙センターでインドの宇宙飛行士に高度な訓練を提供するというNASAの発表を歓迎した。 両首脳は、NASA-ISRO合成開口レーダー(NISAR)衛星がインドのベンガルールにあるISROのU.R.Rao衛星センターに引き渡されたことを祝い、NISARが2024年にインドから打ち上げられることを期待した。  インドの宇宙政策-2023を歓迎し、両首脳は、宇宙経済のバリューチェーン全体における米印民間セクター間の商業協力の強化、輸出規制への対応、技術移転の促進を求めた。バイデン大統領は、インドがアルテミス協定に署名したことを深く評価した。アルテミス協定は、全人類の利益のために宇宙探査という共通のビジョンを推進するものである。  
4.        President Biden and Prime Minister Modi committed their administrations to promoting policies and adapting regulations that facilitate greater technology sharing, co-development, and co-production opportunities between U.S. and Indian industry, government, and academic institutions.  The leaders welcomed the launch of the interagency-led Strategic Trade Dialogue in June2023 and directed both sides to undertake regular efforts to address export controls, explore ways of enhancing high technology commerce, and facilitate technology transfer between the two countries. 4.        バイデン大統領とモディ首相は、米国とインドの産業界、政府、学術機関の間で、より大きな技術共有、共同開発、共同生産の機会を促進する政策を推進し、規制を適応させることを約束した。  両首脳は、6月2023年の省庁間主導の戦略的貿易対話の開始を歓迎し、輸出規制への対応、ハイテク通商の強化方法の検討、両国間の技術移転の促進のための定期的な取り組みを行うよう双方に指示した。
5.        President Biden and Prime Minister Modi hailed the signing of an MoU on Semiconductor Supply Chain and Innovation Partnership as a significant step in the coordination of our countries’ semiconductor incentive programs.  This will promote commercial opportunities, research, talent, and skill development.  The leaders welcomed an announcement by Micron Technology, Inc., to invest up to $825 million to build a new semiconductor assembly and test facility in India with support from the Indian government.  The combined investment valued at $2.75 billion would create up to 5,000 new direct and 15,000 community jobs opportunities in next five years.  The leaders also welcomed Lam Research’s proposal to train 60,000 Indian engineers through its Semiverse Solution virtual fabrication platform to accelerate India’s semiconductor education and workforce development goals, and an announcement by Applied Materials, Inc., to invest $400 million to establish a collaborative engineering center in India.  5.        バイデン大統領とモディ首相は、半導体サプライチェーンとイノベーション・パートナーシップに関する MoU の調印を、両国の半導体奨励プログラムの調整における重要な一歩として歓迎した。  これにより、商機、研究、人材、技能開発が促進される。 両首脳は、マイクロン・テクノロジー社がインド政府の支援を受け、インドに新しい半導体組立・テスト施設を建設するために最大8億2500万ドルを投資するとの発表を歓迎した。  総額27億5,000万ドルの投資により、今後5年間で新たに5,000人の直接雇用と15,000人の地域雇用の機会が創出される。  両首脳はまた、インドの半導体教育と労働力開発の目標を加速させるため、セミバース・ソリューションのバーチャルファブリケーションプラットフォームを通じて6万人のインド人エンジニアを訓練するというラム・リサーチ社の提案と、インドに共同エンジニアリングセンターを設立するため4億ドルを投資するというアプライドマテリアルズ社の発表を歓迎した。 
6.         President Biden and Prime Minister Modi share a vision of creating secure and trusted telecommunications, resilient supply chains, and enabling global digital inclusion.  To fulfill this vision, the leaders launched two Joint Task Forces on advanced telecommunications, focused on Open RAN and research and development in 5G/6G technologies. Public-private cooperation between vendors and operators will be led by India’s Bharat 6G Alliance and the U.S. Next G Alliance.  We are partnering on Open RAN field trials and rollouts, including scaled deployments, in both countries with operators and vendors of both markets, backed by U.S. International Development Finance Corporation (DFC) financing.  The leaders welcomed participation of Indian companies in the U.S. Rip and Replace Program.  They endorsed an ambitious vision for 6G networks, including standards cooperation, facilitating access to chipsets for system development, and establishing joint research and development projects.  President Biden and Prime Minister Modi also stressed the need to put in place a “Trusted Network/Trusted Sources” bilateral framework. 6.         バイデン大統領とモディ首相は、安全で信頼できる通信、レジリエンスに優れたサプライチェーンを構築し、グローバルなデジタルインクルージョンを実現するというビジョンを共有している。  このビジョンを実現するため、両首脳は、オープンRANと5G/6G技術の研究開発に焦点を当てた先進通信に関する2つの合同タスクフォースを立ち上げた。 ベンダーと通信事業者間の官民協力は、インドのBharat 6G Allianceと米国のNext G Allianceが主導する。  我々は、米国の国際開発金融公社(DFC)の融資をバックに、両市場の通信事業者やベンダーと、両国でOpen RANのフィールドトライアルや、規模を拡大した展開を含むロールアウトで提携している。  両首脳は、米国のRip and Replace Programへのインド企業の参加を歓迎した。  両首脳は、標準化協力、システム開発のためのチップセットへのアクセス促進、共同研究開発プロジェクトの設立など、6Gネットワークの野心的なビジョンを承認した。  バイデン大統領とモディ首相はまた、「信頼されたネットワーク/信頼された情報源」の二国間枠組みを構築する必要性を強調した。
7.        President Biden and Prime Minister Modi welcomed the establishment of a joint Indo-U.S. Quantum Coordination Mechanism to facilitate collaboration among industry, academia, and government, and our work toward a comprehensive Quantum Information Science and Technology agreement.  The United States welcomes India’s participation in the Quantum Entanglement Exchange and in the Quantum Economic Development Consortium to facilitate expert and commercial exchanges with leading, like-minded quantum nations.  The United States and India will sustain and grow quantum training and exchange programs and work to reduce barriers to U.S.-India research collaboration.  The leaders welcomed the launch of a $2million grant program under the U.S.-India Science and Technology Endowment fund for the joint development and commercialization of Artificial Intelligence (AI) and quantum technologies, and encouraged public-private collaborations to develop high performance computing (HPC) facilities in India.  President Biden also reiterated his government’s commitment to work with U.S. Congress to lower barriers to U.S. exports to India of HPC technology and source code.   The U.S. side pledged to make its best efforts in support of India’s Center for Development of Advanced Computing (C-DAC) joining the U.S. Accelerated Data Analytics and Computing (ADAC) Institute. 7.        バイデン大統領とモディ首相は、産学官の連携を促進するための印米共同の量子調整メカニズムの設立と、包括的な量子情報科学技術協定に向けた我々の取り組みを歓迎した。  米国はインドが量子もつれ交換や量子経済開発コンソーシアムに参加し、志を同じくする主要な量子国家との専門家や商業交流を促進することを歓迎する。  米国とインドは、量子トレーニングや交流プログラムを維持・発展させ、米印の研究協力に対する障壁を減らす努力をする。  両首脳は、人工知能(AI)と量子技術の共同開発・商業化のための米印科学技術基金(U.S.-India Science and Technology Endowment Fund)に基づく200万ドルの助成金プログラムの開始を歓迎し、インドにおけるハイパフォーマンス・コンピューティング(HPC)施設開発のための官民協力を奨励した。  バイデン大統領はまた、米国議会と協力し、HPC技術やソースコードのインドへの輸出に対する障壁を撤廃する政府のコミットメントを改めて表明した。   米国側は、インドのC-DAC(Center for Development of Advanced Computing)が米国のADAC(Accelerated Data Analytics and Computing)研究所に参加するのを支援するため、最大限の努力をすることを約束した。
8.        The leaders welcomed 35 innovative joint research collaborations in emerging technologies funded by the U.S. National Science Foundation (NSF) and the Indian Department of Science and Technology (DST).  Under a new implementation arrangement between NSF and DST, both sides will fund joint research projects in computer and information science and engineering, cyber physical systems, and secure and trustworthy cyberspace. Furthermore, NSF and India’s Ministry of Electronics and Information Technology will bring fresh funding for joint projects in applied research areas such as semiconductors, next generation communication, cyber security, sustainability and green technologies and intelligent transportation systems. 8.        両首脳は、米国国立科学財団(NSF)とインド科学技術省(DST)が資金提供する新興技術における35の革新的な共同研究を歓迎した。 NSFとインド科学技術省(DST)の新たな実施取り決めにより、双方はコンピュータ・情報科学・工学、サイバー物理システム、安全で信頼できるサイバースペースにおける共同研究プロジェクトに資金を提供する。さらに、NSFとインドの電子情報技術省は、半導体、次世代通信、サイバーセキュリティ、持続可能性とグリーン技術、インテリジェント交通システムなどの応用研究分野における共同プロジェクトに新たな資金を提供する。
9.        Both President Biden and Prime Minister Modi acknowledge the profound opportunities and significant risks associated with AI.  Accordingly, they committed to develop joint and international collaboration on trustworthy and responsible AI, including generative AI, to advance AI education and workforce initiatives, promote commercial opportunities, and mitigate against discrimination and bias. The United States also supports India’s leadership as Chair of the Global Partnership on AI.  The leaders applauded Google’s intent to continue investing through its $10 billion India Digitization Fund, including in early-stage Indian startups.  Through its AI Research Center in India, Google is building models to support over 100 Indian languages. 9.        バイデン大統領とモディ首相はともに、AIに伴う大きなチャンスと大きなリスクを認識している。  従って、両大統領は、生成的AIを含む、信頼できる責任あるAIに関する共同および国際的な協力関係を発展させ、AI教育と労働力イニシアチブを推進し、商業的機会を促進し、差別とバイアスを緩和することを約束した。米国はまた、AIに関するグローバル・パートナーシップの議長国としてのインドのリーダーシップを支持する。  両首脳は、グーグル社がインドの初期段階の新興企業を含め、100億ドルのインドデジタル化基金を通じて投資を継続する意向であることを称賛した。  グーグルはインドのAI研究センターを通じて、100以上のインド言語をサポートするモデルを構築している。
10.      President Biden and Prime Minister Modi hailed our deepening bilateral cooperation on cutting-edge scientific infrastructure, including a $140 million in-kind contribution from the Indian Department of Atomic Energy (DAE) to the U.S. Department of Energy’s (DOE’s) Fermi National Laboratory toward collaborative development of the Proton Improvement Plan-II Accelerator, for the Long Baseline Neutrino Facility — the first and largest international research facility on U.S. soil.  They also welcomed the commencement of construction of a Laser Interferometer Gravitational-Wave Observatory (LIGO) in India.  The leaders called on their administrations to extend these partnerships to advanced biotechnology and biomanufacturing, and enhance biosafety and biosecurity innovation, practices, and norms. 10.      バイデン大統領とモディ首相は、最先端の科学インフラに関する二国間協力の深化を歓迎した。 これには、インド原子力省(DAE)から米国エネルギー省(DOE)のフェルミ国立研究所への1億4,000万ドルの現物供与が含まれ、陽子改良計画-II加速器の共同開発が行われる。この施設は、米国内初で最大規模の国際研究施設である。  両首脳はまた、インドにおけるレーザー干渉計重力波天文台(LIGO)の建設開始を歓迎した。  両首脳は、これらのパートナーシップを先端バイオテクノロジーとバイオ製造にまで拡大し、バイオセーフティとバイオセキュリティの革新、実践、規範を強化するよう、両政権に呼びかけた。
Powering a Next Generation Defense Partnership 次世代防衛パートナーシップを強化する
11.      The U.S.-India Major Defense Partnership has emerged as a pillar of global peace and security.  Through  joint exercises, strengthening of defense industrial cooperation, the annual “2+2” Ministerial Dialogue, and other consultative mechanisms, we have made substantial progress in building an advanced and comprehensive defense partnership in which our militaries coordinate closely across all domains.  The leaders appreciated the strong military-to-military ties, mutual logistics support, and efforts to streamline implementation of foundational agreements.  They noted that information sharing and placement of Liaison Officers in each other’s military organizations will spur joint service cooperation.  They also reiterated their resolve to strengthen maritime security cooperation, including through enhanced underwater domain awareness. The leaders welcomed the launch of dialogues in new defense domains including space and AI, which will enhance capacity building, knowledge, and expertise. 11.      米印主要防衛パートナーシップは、世界の平和と安全の柱として浮上してきた。  合同演習、防衛産業協力の強化、毎年開催される「2+2」閣僚対話、その他の協議メカニズムを通じて、米印両国は、あらゆる領域で両軍が緊密に連携する先進的かつ包括的な防衛パートナーシップの構築を実質的に進展させてきた、 我々は、両軍があらゆる領域にわたって緊密に連携する先進的かつ包括的な防衛パートナーシップの構築において、実質的な進展を遂げた。  両首脳は、軍と軍の強い絆、相互の後方支援、基本的な協定の実施を合理化する努力を高く評価した。  両首脳は、情報共有と、互いの軍事組織にリエゾンオフィサーを配置することで、共同作戦協力に拍車がかかると指摘した。  両首脳はまた、水中領域認識の強化を含め、海上安全保障協力を強化する決意を改めて表明した。両首脳は、宇宙やAIを含む新たな防衛領域における対話の開始を歓迎し、能力構築、知識、専門性の向上を図った。
12.      Expressing their desire to accelerate defense industrial cooperation, the leaders welcomed the adoption of a Defense Industrial Cooperation Roadmap, which will provide policy direction to defense industries and enable co-production of advanced defense systems and collaborative research, testing, and prototyping of projects.  Both sides are committed to addressing any regulatory barriers to defense industrial cooperation.  The leaders also noted the decision of India’s Ministry of Defense and the U.S. Department of Defense to commence negotiations for concluding a Security of Supply arrangement and initiate discussions about Reciprocal Defense Procurement agreement. 12.      両首脳は、防衛産業協力を加速させたいとの意向を表明し、防衛産業協力ロードマップの採択を歓迎した。このロードマップは、防衛産業に政策の方向性を示し、先進防衛システムの共同生産や、プロジェクトの共同研究、試験、試作を可能にするものである。  双方は、防衛産業協力に対するあらゆる規制上の障壁に対処することにコミットしている。  両首脳はまた、インド国防省と米国防総省が供給保証協定の締結に向けた交渉を開始し、相互防衛調達協定に関する協議を開始することを決定したことにも言及した。
13.      President Biden and Prime Minister Modi hailed the landmark signing of an MoU between General Electric and Hindustan Aeronautics Limited for the manufacture of GE F-414 jet engines in India, for the Hindustan Aeronautics Limited Light Combat Aircraft Mk 2.  This trailblazing initiative to manufacture F-414 engines in India will enable greater transfer of U.S. jet engine technology than ever before.  The leaders committed their governments to working collaboratively and expeditiously to support the advancement of this unprecedented co-production and technology transfer proposal.  13.      バイデン大統領とモディ首相は、ゼネラル・エレクトリック社とヒンドゥスタン・エアロノーティックス社の間で、ヒンドゥスタン・エアロノーティックス社製軽戦闘機Mk2用のGE F-414ジェットエンジンをインドで製造するという画期的なMoUが調印されたことを歓迎した。 インドでF-414エンジンを製造するというこの先駆的な取り組みにより、米国のジェットエンジン技術の移転がこれまで以上に進むことになる。  両首脳は、この前例のない共同生産と技術移転の提案の推進を支援するため、両国政府が協力的かつ迅速に取り組むことを約束した。 
14.      President Biden and Prime Minister Modi also welcomed India’s emergence as a hub for maintenance and repair for forward deployed U.S. Navy assets and the conclusion of  Master Ship Repair Agreements with Indian shipyards.  This will allow the U.S. Navy to expedite the contracting process for mid-voyage and emergent repair.  As envisaged in the Defense Industrial Roadmap, both countries agree to work together for the creation of logistic, repair, and maintenance infrastructure for aircrafts and vessels in India. 14.      バイデン大統領とモディ首相はまた、前方に展開する米海軍資産の保守・修理の拠点としてインドが浮上し、インドの造船所と船舶修理基本契約が締結されたことを歓迎した。  これにより、米海軍は航海中や緊急修理の契約プロセスを迅速化できるようになる。  防衛産業ロードマップで想定されているように、両国はインドにおける航空機や船舶の物流、修理、メンテナンスのインフラ構築のために協力することに合意する。
15.      The leaders welcomed the setting up and launch of the U.S.-India Defense Acceleration Ecosystem (INDUS-X). As a network of universities, startups, industry and think tanks, INDUS-X will facilitate joint defense technology innovation, and co-production of advanced defense technology between the respective industries of the two countries. The U.S. Department of Defense’s Space Force has signed its first International Cooperative Research and Development Agreement with Indian start-up 114 AI and 3rdiTech. Both companies will work with General Atomics to co-develop components using cutting edge technologies in AI and semiconductors respectively. 15.      両首脳は、米印防衛アクセラレーション・エコシステム(INDUS-X)の設立と発足を歓迎した。大学、新興企業、産業界、シンクタンクのネットワークであるINDUS-Xは、防衛技術の共同革新と、両国の各産業間の先端防衛技術の共同生産を促進する。米国防総省の宇宙軍は、インドの新興企業114AIおよび3rdiTechと初の国際協力研究開発協定を締結した。両社はゼネラル・アトミクス社と協力し、それぞれAIと半導体の最先端技術を使った部品を共同開発する。
16.      President Biden and Prime Minister Modi welcomed India’s plans to procure General Atomics MQ-9B HALE UAVs.  The MQ-9Bs, which will be assembled in India, will enhance the ISR capabilities of India’s armed forces across domains. As part of this plan, General Atomics will also establish a Comprehensive Global MRO facility in India to support of India’s long-term goals to boost indigenous defense capabilities. 16.      バイデン大統領とモディ首相は、インドがゼネラル・アトミクスのMQ-9B HALE UAVを調達する計画を歓迎した。  インドで組み立てられるMQ-9Bは、インド軍のISR能力を領域横断的に強化する。この計画の一環として、ゼネラル・アトミクスはインドに包括的グローバルMRO施設も設立し、自国防衛能力を高めるというインドの長期目標を支援する。
Catalyzing the Clean Energy Transition クリーンエネルギー転換の触媒となる
17.      As climate action and clean energy leaders, the United States and India share a common and ambitious vision to rapidly deploy clean energy at scale, build economic prosperity, and help achieve global climate goals.  They recognize the critical role of the U.S. Inflation Reduction Act and India’s ambitious production-linked incentives scheme for cutting-edge clean and renewable technologies.  The leaders highlighted the U.S.-India Climate and Clean Energy Agenda 2030 Partnership and Strategic Clean Energy Partnership (SCEP) as reflective of this commitment.  The leaders welcomed joint efforts to develop and deploy energy storage technologies, including through the establishment of a new task force under SCEP. The leaders welcomed the launch of the U.S.-India New and Emerging Renewable Energy Technologies Action Platform, which will accelerate cooperation in green hydrogen, offshore and onshore wind, and other emerging technologies. They will collaborate to achieve their respective national goals to reduce the cost of green/clean hydrogen under India’s National Green Hydrogen Mission and the U.S. Hydrogen Energy Earthshot.  The United States welcomed India’s decision to co-lead the multilateral Hydrogen Breakthrough Agenda. The leaders called for the development of joint efforts in carbon capture, utilization, and storage, given its role in reducing emissions.  The leaders welcomed India’s VSK Energy LLC’s announcement to invest up to $1.5 billion to develop a new, vertically integrated solar panel manufacturing operation in the United States and India’s JSW Steel USA’s plans to invest $120 million at its Mingo Junction, Ohio, steel plant to better serve growing markets in the renewable energy and infrastructure sectors. 17.      気候変動対策とクリーンエネルギーのリーダーとして、米国とインドは、クリーンエネルギーを迅速に大規模に導入し、経済的繁栄を築き、世界的な気候変動目標の達成を支援するという共通の野心的なビジョンを共有している。  両首脳は、米国のインフレ抑制法とインドの野心的な生産連動型インセンティブ制度が、最先端のクリーン・再生可能技術に果たす重要な役割を認識している。 両首脳は、このコミットメントを反映するものとして、米印気候・クリーンエネルギーアジェンダ2030パートナーシップと戦略的クリーンエネルギーパートナーシップ(SCEP)を強調した。  両首脳は、SCEPの下での新たなタスクフォースの設立を含め、エネルギー貯蔵技術の開発と展開のための共同の努力を歓迎した。両首脳は、グリーン水素、洋上・陸上風力、その他の新興技術における協力を加速させる米印新・新興再生可能エネルギー技術行動プラットフォームの立ち上げを歓迎した。両者は、インドの「グリーン水素国家ミッション」と米国の「水素エネルギー・アースショット」の下、グリーン/クリーン水素のコスト削減というそれぞれの国家目標を達成するために協力する。 米国は、インドが多国間の水素ブレークスルー・アジェンダを共同主導することを歓迎した。両首脳は、排出削減における炭素の役割を考慮し、炭素の回収・利用・貯蔵における共同努力の発展を求めた。  両首脳は、インドのVSKエナジーLLCが最大15億ドルを投資し、米国で垂直統合型の新しいソーラーパネル製造事業を開発すると発表したこと、またインドのJSWスチールUSAが、再生可能エネルギーとインフラ分野の成長市場により貢献するため、オハイオ州ミンゴジャンクションの製鉄所に1億2000万ドルを投資する計画を発表したことを歓迎した。
18.      President Biden and Prime Minister Modi underscored the importance of decarbonizing the transportation sector, including by accelerating the deployment of zero emissions vehicles, continued collaboration to promote public and private financing for electric transportation, and the development of biofuels, including sustainable aviation fuels.  To this end, the leaders lauded the creation and development of the Global Biofuels Alliance, which will be launched in July 2023, with the United States as a founding member.  Both leaders welcomed the signing of an MOU under which the U.S. Agency for International Development will support Indian Railways’ ambitious target to become a “net-zero” carbon emitter by 2030.The United States and India also announced plans to create a payment security mechanism that will facilitate the deployment of 10,000 made-in-India electric buses in India, augmenting India’s focused efforts in reducing greenhouse gas emissions, improving public health, and diversifying the global supply chain. 18.      バイデン大統領とモディ首相は、ゼロ・エミッション車の導入加速、電気輸送のための公的・民間資金調達促進のための継続的な協力、持続可能な航空燃料を含むバイオ燃料の開発など、運輸部門の脱炭素化の重要性を強調した。  この目的のため、両首脳は、米国を創設メンバーとして2023年7月に発足する世界バイオ燃料同盟の創設と発展を称賛した。 両首脳は、2030年までに炭素排出量を「ネットゼロ」にするというインド鉄道の野心的な目標を米国国際開発庁が支援する覚書の調印を歓迎した。米国とインドはまた、温室効果ガスの排出削減、公衆衛生の向上、グローバル・サプライ・チェーンの多様化というインドの重点的な取り組みを強化するため、インド製電気バス1万台のインド国内への配備を促進する支払保証メカニズムを構築する計画も発表した。
19.      India and the United States committed to create innovative investment platforms that will effectively lower the cost of capital and attract international private finance at scale to accelerate the deployment of greenfield renewable energy, battery storage, and emerging green technology projects in India.  The United States and India will endeavor to develop a first-of-its kind, multibillion-dollar investment platform aimed at providing catalytic capital and de-risking support for such projects.  19.      インドと米国は、インドにおけるグリーンフィールドの再生可能エネルギー、蓄電池、新興グリーン技術プロジェクトの展開を加速するため、資本コストを効果的に引き下げ、国際的な民間金融を大規模に誘致する革新的な投資プラットフォームを構築することを約束した。 米国とインドは、このようなプロジェクトに触媒的資本を提供し、リスクを軽減することを目的とした、これまでにない数十億ドル規模の投資プラットフォームを開発することに努める。 
20.      President Biden and Prime Minister Modi reaffirmed their support for the mission of the International Energy Agency (IEA), and President Biden pledged to continue working with the Government of India, IEA members, the IEA Secretariat, and other relevant stakeholders toward IEA membership for India in accordance with the provisions of the Agreement on an International Energy Program.   20.      バイデン大統領とモディ首相は、国際エネルギー機関(IEA)の使命に対する両国の支持を再確認し、バイデン大統領は、国際エネルギー計画に関する協定の規定に従い、インドのIEA加盟に向けて、インド政府、IEA加盟国、IEA事務局、その他の関係者と引き続き協力することを約束した。  
21.      President Biden and Prime Minister Modi affirmed the intention of the two governments, as trusted partners, to work together to ensure that our respective markets are well-supplied with the essential critical minerals needed to achieve our climate, economic and strategic technology cooperation goals.  The leaders pledged to hasten bilateral collaboration to secure resilient critical minerals supply chains through enhanced technical assistance and greater commercial cooperation, and exploration of additional joint frameworks as necessary.  The United States enthusiastically welcomes India as the newest partner in the Mineral Security Partnership (MSP), to accelerate the development of diverse and sustainable critical energy minerals supply chains globally while agreeing to the principles of the MSP including environmental, social, and governance standards.  The leaders lauded the announcement of India’s Epsilon Carbon Limited’s plans toinvest $650 million in a U.S. greenfield electric vehicle battery component factory. 21.      バイデン大統領とモディ首相は、両政府が信頼できるパートナーとして、気候、経済、戦略的技術協力の目標を達成するために必要不可欠な重要鉱物が、それぞれの市場に十分に供給されるよう協力していく意向を確認した。  両首脳は、強化された技術支援とより大きな商業協力、および必要に応じて追加的な共同枠組みの検討を通じて、レジリエンスに優れた重要鉱物のサプライチェーンを確保するための二国間協力を急ぐことを約束した。  米国は、環境・社会・ガバナンス基準を含むMSPの原則に合意しつつ、多様で持続可能な重要エネルギー鉱物のサプライチェーンの開発を世界的に加速するため、インドを鉱物安全保障パートナーシップ(MSP)の新たなパートナーとして熱烈に歓迎する。  両首脳は、インドのイプシロン・カーボン・リミテッドが米国のグリーンフィールドの電気自動車用バッテリー部品工場に6億5000万ドルを投資する計画を発表したことを称賛した。
22.      President Biden and Prime Minister Modi underscored the important role nuclear energy plays in global decarbonization efforts and affirmed nuclear energy as a necessary resource to meet our nations’ climate, energy transition, and energy security needs.  The leaders noted ongoing negotiations between the Nuclear Power Corporation of India Limited (NPCIL) and Westinghouse Electric Company (WEC) for the construction of six nuclear reactors in India.  They welcomed intensified consultations between the U.S. DOE and India’s DAE for facilitating opportunities for WEC to develop a techno-commercial offer for the Kovvada nuclear project. They also noted the ongoing discussion on developing next generation small modular reactor technologies in a collaborative mode for the domestic market as well as for export. The United States reaffirms its support for India’s membership in the Nuclear Suppliers Group and commits to continue engagement with likeminded partners to advance this goal. 22.      バイデン大統領とモディ首相は、世界の脱炭素化の取り組みにおいて原子力エネルギーが果たす重要な役割を強調し、原子力エネルギーが、気候変動、エネルギー転換、エネルギー安全保障のニーズを満たすために必要な資源であることを確認した。  両首脳は、インド原子力公社(NPCIL)とウェスチングハウス・エレクトリック・カンパニー(WEC)の間で進行中の、インドにおける原子炉6基の建設に関する交渉に言及した。 両首脳は、WECがKovvada原子力プロジェクトの技術的・商業的オファーを開発する機会を促進するため、米国DOEとインドのDAEとの間で協議が強化されていることを歓迎した。両者はまた、輸出だけでなく国内市場向けの次世代小型モジューラー炉技術の共同開発に関する継続的な議論にも言及した。米国は、インドが原子力供給国グループ(Nuclear Suppliers Group)に加盟することへの支持を再確認し、この目標を推進するために、志を同じくするパートナーとの関与を継続することを約束する。
23.      The leaders recognize that addressing sustainable consumption and production is a key component to achieving of the development, environment and climate ambitions of the 2030 Agenda for Sustainable Development and the SDGs.  In this regard, President Biden welcomed Prime Minister Modi’s Lifestyle for Environment initiative (LiFE) as a successful national model to address the impacts of climate change, biodiversity loss, desertification and land degradation, and resolved to work together to implement the G20 High Level Principles on Lifestyles for Sustainable Development. 23.      両首脳は、持続可能な消費と生産に取り組むことが、持続可能な開発のための2030アジェンダとSDGsの開発、環境、気候の野望を達成するための重要な要素であることを認識する。 この観点から、バイデン大統領は、モディ首相の「環境のためのライフスタイル」イニシアティブ(LiFE)を、気候変動、生物多様性の損失、砂漠化、土地の劣化の影響に対処するための成功した国家モデルとして歓迎し、持続可能な開発のためのライフスタイルに関するG20ハイレベル原則を実施するために協力することを決議した。
Deepening Strategic Convergence 戦略的融合の深化
24.      As global partners, the United States and India affirm that the rules-based international order must be respected. They emphasized that the contemporary global order has been built on principles of the UN Charter, international law, and respect for sovereignty and territorial integrity of states. 24.      グローバル・パートナーとして、米国とインドは、ルールに基づく国際秩序が尊重されなければならないことを確認する。両者は、現代の国際秩序が国連憲章の原則、国際法、国家の主権と領土保全の尊重の上に構築されていることを強調した。
25.      President Biden and Prime Minister Modi expressed their deep concern over the conflict in Ukraine and mourned its terrible and tragic humanitarian consequences.  The leaders underscored the serious and growing impacts of the war on the global economic system, including on food, fuel and energy security, and critical supply chains.  They called for greater efforts to mitigate the consequences of the war, especially in the developing world.   Both countries further pledge to render continuing humanitarian assistance to the people of Ukraine.  They called for respect for international law, principles of the UN charter, and territorial integrity and sovereignty.  Both countries concurred on the importance of post-conflict reconstruction in Ukraine. 25.      バイデン大統領とモディ首相は、ウクライナにおける紛争に深い憂慮を表明し、その恐るべき悲劇的な人道的結果を悼んだ。  両首脳は、食糧、燃料、エネルギーの安全保障、重要なサプライチェーンなど、戦争が世界経済システムに及ぼす深刻かつ増大する影響を強調した。  両首脳は、特に発展途上国において、戦争の影響を緩和するための一層の努力を求めた。   両国はさらに、ウクライナの人々に継続的な人道支援を提供することを約束した。  両国は、国際法、国連憲章の原則、領土保全と主権の尊重を求めた。  両国は、ウクライナにおける紛争後の復興の重要性で一致した。
26.      The United States and India reaffirmed their resolve to counter any attempts to unilaterally subvert the multilateral system. The leaders underscored the need to strengthen and reform the multilateral system so it may better reflect contemporary realities. In this context both sides remain committed to a comprehensive UN reform agenda, including through expansion in permanent and non-permanent categories of membership of the UN Security Council.  Sharing the view that global governance must be more inclusive and representative, President Biden reiterated U.S. support for India’s permanent membership on a reformed UN Security Council(UNSC).  In this context, President Biden welcomed India’s candidature as a non-permanent member of the UNSC for the 2028-29 term, in view of India’s significant contributions to the UN system and commitment to multilateralism, as well as its active and constructive engagement in the Inter-Governmental Negotiations process on Security Council reforms, with an overall objective of making the UNSC more effective, representative, and credible. 26.      米国とインドは、多国間システムを一方的に破壊しようとするいかなる試みにも対抗する決意を再確認した。両首脳は、多国間システムが現代の現実をよりよく反映できるよう、その強化と改革の必要性を強調した。この文脈において、双方は、国連安全保障理事会の常任理事国および非常任理事国の枠を拡大することを含め、包括的な国連改革アジェンダに引き続きコミットしている。  バイデン大統領は、グローバル・ガバナンスはより包括的で代表的なものでなければならないという見解を共有し、改革された国連安全保障理事会(UNSC)におけるインドの常任理事国入りを改めて支持した。  この観点から、バイデン大統領は、国連安保理の2028-29年の非常任理事国としてインドが立候補したことを歓迎した。これは、インドが国連システムに大きく貢献し、多国間主義にコミットしていること、また、国連安保理をより効果的、代表的、信頼性の高いものにするという全体的な目的の下、安保理改革に関する政府間交渉プロセスに積極的かつ建設的に関与していることを考慮したものである。
27.       President Biden and Prime Minister Modi recommitted themselves to empowering the Quad as a partnership for global good.  The two leaders welcomed the progress made at the Hiroshima Summit last month among the four maritime democracies to further advance a positive and constructive agenda for peace and prosperity in the Indo-Pacific.  The leaders welcomed progress on the Indo-Pacific Partnership for Maritime Domain Awareness, through which Quad partners are providing maritime domain data across the Indian Ocean, Southeast Asia, and the Pacific regions. The Quad to be hosted in India in 2024 would be another opportunity to continue the dialogue and consolidate cooperation.  The leaders committed to continue working in partnership with regional platforms such as the Indian Ocean Rim Association, Indo-Pacific Oceans Initiative, and ASEAN to achieve shared aspirations and address shared challenges in the Indo-Pacific Region.  Prime Minister Modi welcomed the United States joining the Indo-Pacific Oceans Initiative and President Biden welcomed India’s continued participation as an observer in the Partners in the Blue Pacific.   27.       バイデン大統領とモディ首相は、世界善のためのパートナーシップとして、クアッドに力を与えることを誓い合った。  両首脳は、インド太平洋における平和と繁栄のための積極的かつ建設的なアジェンダをさらに推進するため、先月の広島サミットにおける海洋民主主義4カ国の進展を歓迎した。  両首脳は、インド太平洋海域認識パートナーシップの進展を歓迎し、同パートナーシップを通じて、インド洋、東南アジア、太平洋地域の海域データを提供している。2024年にインドで開催されるクワッドは、対話を継続し、協力を強化するもう一つの機会となるだろう。  両首脳は、インド太平洋地域における共通の願望を達成し、共通の課題に取り組むため、環インド洋協会、インド太平洋海洋イニシアティブ、ASEANなどの地域プラットフォームと引き続き連携していくことを約束した。  モディ首相は、米国がインド太平洋海洋イニシアティブに参加することを歓迎し、バイデン大統領は、インドが引き続き「青い太平洋のパートナー」にオブザーバーとして参加することを歓迎した。  
28.      The leaders also welcomed the depth and pace of enhanced consultations between the two governments on regional issues including South Asia, the Indo-Pacific and East Asia and looked forward to our governments holding an inaugural Indian Ocean Dialogue in 2023. 28.      両首脳はまた、南アジア、インド太平洋、東アジアを含む地域問題に関する両国政府間の協議強化の深さとペースを歓迎し、両国政府が2023年に第1回インド洋対話を開催することを期待した。
29.      President Biden and Prime Minister Modi reiterated their enduring commitment to a free, open, inclusive, peaceful, and prosperous India-Pacific region with respect for territorial integrity and sovereignty, and international law.  Both leaders expressed concern over coercive actions and rising tensions, and strongly oppose destabilizing or unilateral actions that seek to change the status quo by force. Both sides emphasized the importance of adherence to international law, particularly as reflected in the United Nations Convention on the Law of the Sea (UNCLOS), and the maintenance of freedom of navigation and overflight, in addressing challenges to the maritime rules-based order, including in the East and South China Seas. 29.      バイデン大統領とモディ首相は、領土保全と主権、そして国際法を尊重し、自由で開かれた、包摂的で平和で繁栄するインド太平洋地域への不変のコミットメントを改めて表明した。  両首脳は、強圧的な行動や緊張の高まりに懸念を表明し、力によって現状を変えようとする不安定化や一方的な行動に強く反対した。双方は、東シナ海および南シナ海を含む海洋のルールに基づく秩序に対する挑戦に対処する上で、国際法、特に国連海洋法条約(UNCLOS)に反映されている国際法の順守、および航行と上空の自由の維持の重要性を強調した。
30.      The leaders expressed deep concern about the deteriorating situation in Myanmar, and called for the release of all those arbitrarily detained, the establishment of constructive dialogue, and the transition of Myanmar toward an inclusive federal democratic system. 30.      両首脳は、ミャンマー情勢の悪化に深い懸念を表明し、恣意的に拘束されている全ての者の釈放、建設的な対話の確立、包摂的な連邦民主主義体制への移行を求めた。
31.      The leaders also condemned the destabilizing ballistic missile launches of the Democratic People’s Republic of Korea (DPRK), which violate relevant UN Security Council resolutions and pose a grave threat to international peace and security.  They reaffirmed their commitment to the complete denuclearization of the Korean Peninsula and urged DPRK to comply with its obligations under these resolutions and engage in substantive dialogue.  They stressed the importance of addressing the concerns regarding DPRK’s proliferation linkages related to weapons of mass destruction, their means of delivery, and related items in the region and beyond. 31.      両首脳はまた、国連安全保障理事会の関連決議に違反し、国際の平和と安全に対する重大な脅威となっている朝鮮民主主義人民共和国(DPRK)の不安定化させる弾道ミサイル発射を非難した。  両首脳は、朝鮮半島の完全な非核化へのコミットメントを再確認し、朝鮮民主主義人民共和国に対し、これらの決議に基づく義務を遵守し、実質的な対話に参加するよう促した。  また、朝鮮民主主義人民共和国が、大量破壊兵器、その運搬手段、関連品目に関して、地域内外で拡散につながる懸念に対処することの重要性を強調した。
32.       The United States and India stand together to counter global terrorism and unequivocally condemn terrorism and violent extremism in all its forms and manifestations.  President Biden and Prime Minister Modi reiterated the call for concerted action against all UN-listed terrorist groups including Al-Qa’ida, ISIS/Daesh, Lashkar e-Tayyiba (LeT), Jaish-e-Mohammad (JeM), and Hizb-ul-Mujhahideen.  They strongly condemned cross-border terrorism, the use of terrorist proxies and called on Pakistan to take immediate action to ensure that no territory under its control is used for launching terrorist attacks.  They called for the perpetrators of the 26/11 Mumbai and Pathankot attacks to be brought to justice. They noted with concern the increasing global use of unmanned aerial vehicles (UAVs), drones and information and communication technologies for terrorist purposes and reaffirmed the importance of working together to combat such misuse. They welcomed the cooperation between our two governments on counterterrorism designations and homeland security cooperation, including in intelligence sharing and law enforcement cooperation, and called upon the Financial Action Task Force to undertake further work identifying how to improve global implementation of its standards to combat money laundering and the financing of terrorism. 32.       米国とインドは、世界的なテロリズムに対抗するために共に立ち上がり、テロリズムと暴力的過激主義を、そのあらゆる形態と現れにおいて明確に非難する。  バイデン大統領とモディ首相は、アル・カーイダ、ISIS/ダーイシュ、ラシュカール・エ・タイイーバ(LeT)、ジャイシュ・エ・モハマド(JeM)、ヒズブ・ウル・ムジャヒディーンなど、国連にリストアップされたすべてのテロリスト・グループに対する協調行動の呼びかけを繰り返した。  彼らは、国境を越えたテロやテロリストの代理人の利用を強く非難し、パキスタンに対し、自国の支配下にある領土がテロ攻撃のために利用されることのないよう、直ちに行動を起こすよう求めた。  また、26.11ムンバイとパタンコットの同時多発テロ事件の犯人を裁くよう求めた。両首脳は、無人航空機(UAV)、ドローン、情報通信技術がテロ目的で世界的に使用されるようになっていることに懸念を示し、このような悪用と闘うために協力することの重要性を再確認した。両政府は、情報共有及び法執行協力を含む、テロ対策指定及び国土安全保障協力に関する日米政府間の協力を歓迎し、金融活動作業部会に対し、マネー・ローンダリング及びテロ資金供与と闘うための基準の世界的な実施を改善する方法を特定するための更なる作業を行うよう要請した。
33.      The leaders reiterated their strong support for a peaceful, secure, and stable Afghanistan.They discussed the current humanitarian situation and concurred on the need to continue to provide immediate humanitarian assistance to the people of Afghanistan. The leaders urged the Taliban to abide by UNSC Resolution 2593 which demands that Afghan territory should never be used to threaten or attack any country, shelter or train terrorists, or plan or finance terrorist attacks. Committing to continue close consultations on the situation in Afghanistan, the leaders emphasized the importance of formation of an inclusive political structure and called on the Taliban to respect the human rights of all Afghans, including women and girls, and to respect freedom of movement. 33.      両首脳は、平和で安全かつ安定したアフガニスタンへの強い支持を改めて表明した。両首脳は、現在の人道的状況について議論し、アフガニスタンの人々に緊急の人道支援を提供し続ける必要性について合意した。両首脳はタリバンに対し、アフガニスタンの領土をいかなる国への脅威や攻撃、テロリストの匿いや訓練、テロ攻撃の計画や資金調達のためにも決して使用してはならないとする国連安保理決議2593を遵守するよう促した。両首脳は、アフガニスタン情勢に関する緊密な協議を継続することを約束し、包摂的な政治構造の形成の重要性を強調し、タリバンに対し、女性と女児を含む全てのアフガニスタン人の人権を尊重し、移動の自由を尊重するよう求めた。
34.       President Biden and Prime Minister Modi looked forward to strengthening a long-term strategic partnership between the I2U2 countries of India, Israel, United Arab Emirates, and the United States to leverage markets to build more innovative, inclusive, and science-based solutions to enhance food and energy security, improve movement of people and goods across hemispheres, and increase sustainability and resilience. 34.       バイデン大統領とモディ首相は、インド、イスラエル、アラブ首長国連邦、米国のI2U2諸国間の長期的な戦略的パートナーシップを強化し、市場を活用して、食料とエネルギーの安全保障を強化し、半球を越えた人と物資の移動を改善し、持続可能性とレジリエンスを高めるため、より革新的で包括的かつ科学に基づくソリューションを構築することを期待した。
35.  President Biden and Prime Minister Modi reaffirmed their countries’ commitment to an open, secure, inclusive, safe, interoperable, and reliable Internet, and to continuing cooperation on a range of cybersecurity issues, including preventing and responding to cyber threats, promoting cybersecurity education and awareness and measures to build resilient cyber infrastructure.  Both the United States and India are committed to sharing information about cyber threats and vulnerabilities, and to working together to investigate and respond to cyber incidents.  35.  バイデン大統領とモディ首相は、オープン、セキュア、インクルーシブ、安全、相互運用性、信頼性の高いインターネットに対する両国のコミットメントを再確認するとともに、サイバー脅威の防止と対応、サイバーセキュリティ教育と啓発の促進、レジリエンス・サイバーインフラの構築策を含む、サイバーセキュリティの諸問題に関する協力の継続を確認した。  米印両国は、サイバー上の脅威や脆弱性に関する情報を共有し、サイバーインシデントの調査や対応に協力することを約束する。 
36.      The United States and India reaffirm and embrace their shared values of freedom, democracy, human rights, inclusion, pluralism, and equal opportunities for all citizens.  Both countries have a tradition of recognizing the diversity represented in their nations and celebrating the contributions of all their citizens.  They reasserted that democracy, freedom, and rule of law are the shared values that anchor global peace and sustainable development. In keeping with the spirit of leaving no one behind, both leaders committed to working towards ensuring that fruits of economic growth and well-being reach the underprivileged. They also committed to pursue programs and initiatives that would facilitate women-led development, and enable all women and girls to live free from gender-based violence and abuse. President Biden underscored his appreciation for India’s participation in the Summit for Democracy process, and for efforts made by India toward sharing knowledge, technical expertise, and experiences with electoral management bodies of other democracies. The leaders also welcomed the re-launch of the Global Issues Forum, which would hold its next meeting at an appropriate time. 36.      米国とインドは、自由、民主主義、人権、包摂、多元主義、すべての国民に平等な機会という共通の価値観を再確認し、受け入れている。  両国は、自国に代表される多様性を認め、すべての国民の貢献を称える伝統を持っている。  両国は、民主主義、自由、法の支配が、世界平和と持続可能な開発を支える共通の価値観であることを再確認した。誰一人取り残さないという精神に則り、両首脳は、経済成長と福祉の果実が恵まれない人々に届くよう努力することを約束した。両首脳はまた、女性主導の開発を促進し、すべての女性と女児がジェンダーに基づく暴力や虐待から解放された生活を送れるようにするプログラムやイニシアティブを追求することを約束した。バイデン大統領は、インドが「民主主義のためのサミット」プロセスに参加していること、また他の民主主義国の選挙管理組織と知識、技術的専門知識、経験を共有するためにインドが行っている努力について、感謝の意を強調した。両首脳はまた、グローバル・イシュー・フォーラムの再始動を歓迎した。
Propelling Global Growth グローバルな成長を推進する
37.      As two of the world’s largest democratic economies, the United States and India are indispensable partners in advancing global prosperity and a free, fair, and rules-based economic order.  President Biden highlighted the impactful participation of Prime Minister Modi in the G7 Hiroshima Summit and looks forward to the G20 Summit in September in New Delhi. He applauded India’s leadership in its ongoing G20 Presidency, which has brought renewed focus on strengthening multilateral institutions and international cooperation to tackle global challenges such as climate change, pandemics, fragility and conflict, along with work to accelerate achievement of the UN Sustainable Development Goals, and lay the foundation for strong, sustainable, balanced, and inclusive growth. 37.      世界最大の民主主義経済国の2つとして、米国とインドは、世界の繁栄と自由で公正なルールに基づく経済秩序を推進する上で、欠くことのできないパートナーである。  バイデン大統領は、モディ首相がG7広島サミットに衝撃的な形で参加したことを強調し、9月にニューデリーで開催されるG20サミットに期待を寄せた。また、現在開催中のG20議長国であるインドが、気候変動、パンデミック、脆弱性、紛争といったグローバルな課題に取り組むため、多国間機関と国際協力の強化に新たな焦点を当てるとともに、国連の持続可能な開発目標の達成を加速させ、力強く、持続可能で、バランスの取れた、包摂的な成長の基盤を築いたことを称賛した。
38.      President Biden and Prime Minister Modi are united in their determination to use the G20 to deliver on shared priorities for the G20 Leaders’ Summit, including improving the sovereign debt restructuring process; advancing the multilateral development bank evolution agenda, including mobilizing new concessional financing at the World Bank to support all developing countries; and raising the level of ambition on mobilizing private sector investment for quality, sustainable, and resilient infrastructure, including through the Partnership for Global Infrastructure and Investment. The United States looks forward to hosting the G20 presidency in 2026, nearly two decades after the first full-scale G20 Leaders’ Summit in Pittsburgh. 38.      バイデン大統領とモディ首相は、ソブリン債の再編プロセスの改善、全ての途上国を支援するための世界銀行における新たな譲許的資金の動員を含む、多国間開発銀行の進化に関するアジェンダの推進、そして、グローバル・インフラ投資パートナーシップを通じたものを含め、質の高い、持続可能でレジリエンスのあるインフラのための民間部門の投資の動員に関する野心的なレベルの引き上げなど、G20首脳会合において共有された優先事項を実現するためにG20を活用するという決意において、一致している。米国は、ピッツバーグでの初の本格的なG20首脳会議から約20年後となる2026年に、G20の議長国を務めることを楽しみにしている。
39.      The United States and India recognize the potential of Digital Public Infrastructure (DPI) approaches for enabling open and inclusive digital economies. President Biden and Prime Minister Modi intend to work together to provide global leadership for the implementation of DPI to promote inclusive development, competitive markets, and protect individual rights.  In this regard, the United States and India will explore how to partner together and align our efforts to advance the development and deployment of robust DPIs, including appropriate safeguards to protect, privacy, data security and intellectual property.  They will explore developing a U.S.-India Global Digital Development Partnership, which would bring together technology and resources from both countries to enable development and deployment of DPIs in developing countries. 39.      米国とインドは、オープンでインクルーシブなデジタル経済を実現するためのデジタル公共インフラ(DPI)アプローチの可能性を認識している。バイデン大統領とモディ首相は、包括的な開発、競争力のある市場、個人の権利の保護を促進するために、DPIの実施に向けてグローバルなリーダーシップを発揮するために協力する意向である。  この観点から、米国とインドは、プライバシー、データ・セキュリティ、知的財産を保護するための適切なセーフガードを含む、強固なDPIの開発と展開を進めるために、どのように協力し、我々の努力を一致させるかを模索する。  このパートナーシップは、発展途上国におけるDPIの開発と展開を可能にするために、両国の技術とリソースを結集するものである。
40.      The leaders are committed to pursuing ambitious efforts to strengthen Multilateral Development Banks (MDBs) to address shared global challenges of the 21st century. In this regard, they emphasized the need for comprehensive efforts by MDBs to evolve their vision, incentive structure, operational approaches and financial capacity so that they are better equipped to address a wide range of SDGs and trans-boundary challenges including climate change, pandemics, conflicts and fragility. Recognizing multilateral efforts in this area, the leaders acknowledged the ongoing work under the Indian presidency of the G20 on strengthening MDBs including the report of the G20 Expert Group on Strengthening MDBs.  By the G20 Leaders’ Summit in New Delhi, the United States and India will work together to secure G20 commitment to create a major new dedicated pool of funds at the World Bank to deploy concessional lending for global challenges, and to enhance support for crisis response in International Development Association recipient countries. 40.      両首脳は、21世紀に共有されるグローバルな課題に対処するため、多国間開発銀行(MDBs)を強化する野心的な努力を追求することにコミットしている。この観点から、首脳は、MDBsがSDGsや気候変動、パンデミック、紛争、脆弱性を含む国境を越えた課題に幅広く対応できるよう、MDBsのビジョン、インセンティブ構造、運営アプローチ、資金能力を進化させる包括的な努力の必要性を強調した。この分野における多国間の努力を認識し、首脳は、G20インド議長国の下で、MDBの強化に関するG20専門家グループの報告書を含む、MDBの強化に関する現在進行中の作業を認めた。  ニューデリーで開催されるG20首脳会議までに、米国とインドは、世界的な課題のために譲許的な融資を展開し、国際開発協会(IDA)取得者の危機対応への支援を強化するために、世界銀行に新たな大規模な専用資金プールを創設するというG20のコミットメントを確保するために協力する。
41.      The leaders reaffirmed that the Indo-Pacific Economic Framework (IPEF) is an important pillar of our collective and collaborative efforts to build resilience in our supply chains, harness transformations in clean energy, and accelerate progress of our economies through anti-corruption efforts, efficient tax administrative practices, and capacity building measures.  The leaders welcomed the substantial conclusion of negotiations on the proposed IPEF Supply Chain Agreement and committed to working with other partners expeditiously to conclude negotiations of the agreements under the clean economy and fair economy pillars to deliver concrete benefits that enhance the economic competitiveness and prosperity of countries in the Indo-Pacific. President Biden invited India to attend the APEC Summit in San Francisco in November 2023 as a guest of the host. 41.      両首脳は、インド太平洋経済枠組み(IPEF)が、我々のサプライチェーンにおける強靭性の構築、クリーンエネルギーにおける変革の活用、腐敗防止努力、効率的な税務行政慣行、能力構築策を通じた我々の経済の進歩の加速に向けた、我々の集団的かつ協力的な努力の重要な柱であることを再確認した。 両首脳は、提案されているIPEFサプライチェーン協定の交渉の実質的な妥結を歓迎し、インド太平洋諸国の経済競争力と繁栄を強化する具体的な利益を提供するため、他のパートナーと協力して、クリーンエコノミーとフェアエコノミーの柱の下で協定の交渉を迅速に妥結することを約束した。バイデン大統領は、2023年11月にサンフランシスコで開催されるAPEC首脳会議に主催国のゲストとして出席するようインドを招待した。
42.      The U.S.-India trade and investment partnership is an engine for global growth, with bilateral trade exceeding $191 billion in 2022, nearly doubling from 2014.  The leaders applauded the reconvening of the U.S.-India Commercial Dialogue and CEO Forum in March in New Delhi.  They encouraged respective industries to take action on the recommendations from the CEOs for greater engagement and technical cooperation to build resilient supply chains for emerging technologies, clean energy technologies, and pharmaceuticals; promote an innovative digital economy; lower barriers to trade and investment; harmonize standards and regulations wherever feasible; and  work towards skilling our workforces.  The leaders support continued active engagement between the U.S. Treasury Department and the Indian Ministry of Finance under the Economic and Financial Partnership dialogue.  They encouraged the U.S. Federal Insurance Office and the Insurance Regulatory and Development Authority of India to advance areas of mutual interest in the insurance sector under their existing MoU framework. 42.      米印の貿易・投資パートナーシップは世界的な成長の原動力であり、2022年の二国間貿易額は1910億ドルを超え、2014年からほぼ倍増する。  両首脳は、3月にニューデリーで開催された米印商業対話およびCEOフォーラムの再開を称賛した。  両首脳は、新興技術、クリーンエネルギー技術、医薬品のためのレジリエンス・サプライチェーンの構築、革新的なデジタル経済の促進、貿易・投資障壁の低減、可能な限りの基準・規制の調和、労働力の習熟に向けた取り組みなど、CEOからの提言に基づき、各産業界がさらなる関与と技術協力を行うよう促した。  両首脳は、経済・金融パートナーシップ対話の下で、米財務省とインド財務省が引き続き積極的に関与することを支持した。 両首脳は、米国連邦保険局とインド保険規制開発庁が、既存のMoUの枠組みの下で、保険分野における相互の関心分野を推進するよう奨励した。
43.      The United States and India have also taken steps toward deepening bilateral cooperation to strengthen our economic relationship, including trade ties. Underscoring the willingness and trust of both countries in resolving trade issues, the leaders welcomed the resolution of six outstanding WTO disputes between the two countries through mutually agreed solutions as well as their understandings on market access related to certain products of significance to the bilateral trade relationship.  They also looked forward to reconvening the India-U.S. Trade Policy Forum before the end of 2023 to further enhance the bilateral trade relationship by addressing trade concerns and identifying further areas for engagement. India highlighted its interest in the restoration of its status under the U.S. Generalized System of Preferences program, which could be considered in relation to eligibility criteria determined by the U.S. Congress.  The leaders supported intensifying the work to advance progress on issues related to the eligibility criteria. Prime Minister Modi also expressed India’s interest towards being recognized as a Trade Agreements Act-designated country by the United States to further enhance the integration of both economies and to further promote trade and investment between two countries.  In this regard, the leaders welcomed the initiation of discussions between both sides at an official level on issues related to bilateral government procurement. 43.       米国とインドはまた、貿易関係を含む両国の経済関係を強化するため、二国間協力の深化に向けた措置を講じてきた。両首脳は、貿易問題の解決における両国の意欲と信頼を強調し、両国間の6つの未解決のWTO紛争が相互に合意した解決策によって解決されたこと、また、二国間貿易関係にとって重要な特定の製品に関連する市場アクセスに関する両国の合意を歓迎した。  両首脳はまた、2023年末までに米印通商政策フォーラムを再開し、貿易上の懸念に対処し、更なる関与分野を特定することにより、二国間貿易関係を更に強化することを期待した。インドは、米国の一般特恵関税制度における地位回復に関心があることを強調した。  両首脳は、参加資格基準に関する問題を前進させるための作業を強化することを支持した。モディ首相はまた、両国経済の統合をさらに強化し、両国間の貿易・投資をさらに促進するため、米国から貿易協定法指定国として承認されることへのインドの関心を表明した。  この点に関して、両首脳は、二国間の政府調達に関連する問題について、公式レベルで両国間の協議が開始されることを歓迎した。
44.      The leaders welcomed focused efforts under the re-launched U.S.-India Commercial Dialogue to expand cooperation in the areas of Talent, Innovation, and Inclusive Growth.  President Biden expressed appreciation for the significant workforce development efforts undertaken by several of the Indian companies taking part in the U.S.-India CEO Forum to upskill more than 250,000 employees and promote STEM learning within local communities across the United States.  Both leaders applauded the concept of an “Innovation Handshake” under the Commercial Dialogue that will lift up and connect the two sides’ dynamic startup ecosystems, address specific regulatory hurdles to cooperation, and promote further innovation and job growth, particularly in emerging technologies.  The Innovation Handshake demonstrates the resolve on both sides to further bolster their shared vision of an elevated strategic technology partnership, leveraging the strength and ingenuity of their respective private sectors to identify new innovations and match them with industry requirements across the priority sectors identified under the iCET framework.  44.      両首脳は、人材、革新、包括的成長の分野における協力拡大のため、再開された米印商業対話の下での集中的な取り組みを歓迎した。  バイデン大統領は、米印CEOフォーラムに参加するインド企業数社が、25万人以上の従業員のスキルアップと、米国内の地域社会におけるSTEM学習を促進するために行っている重要な労働力開発の取り組みに感謝の意を表明した。  両首脳は、商業対話の下での「イノベーション・ハンドシェイク」のコンセプトを称賛した。このコンセプトは、両国のダイナミックな新興企業エコシステムを引き上げ、結びつけ、協力に対する特定の規制上の障害に対処し、特に新興技術における更なるイノベーションと雇用の拡大を促進するものである。  イノベーション・ハンドシェイクは、iCETの枠組みで特定された優先分野全体において、新たなイノベーションを特定し、産業界の要求に合致させるために、それぞれの民間部門の強みと創意工夫を活用し、戦略的技術パートナーシップの強化という共通のビジョンをさらに強化するという双方の決意を示すものである。 
45.      Recognizing the essential role that micro, small and medium-sized enterprises (MSMEs) play in advancing inclusive growth, expanding exports, and boosting employment across our respective cities, towns, and rural areas, the leaders welcomed plans under the Commercial Dialogue to organize a forum to promote the role and scope of MSMEs in bilateral trade and a digital commerce showcase to strengthen the engagement of women-owned and rural enterprises in particular.  They commended the work of the U.S. Small Business Administration and the Indian Ministry of Micro, Small and Medium Enterprises, which are pursuing increased cooperation and intend to formalize their work through a MoU to support entrepreneurs and MSMEs. 45.      両首脳は、包摂的な成長を推進し、輸出を拡大し、それぞれの都市、町、地方における雇用を促進する上で、零細・中小企業(MSMEs)が果たす重要な役割を認識し、商業対話の下で、二国間貿易におけるMSMEsの役割と範囲を促進するフォーラムと、特に女性が経営する企業及び地方企業の関与を強化するためのデジタル・コマース・ショーケースを開催する計画を歓迎した。  両首脳は、米国中小企業庁とインド零細・中小企業省が協力の拡大を追求し、起業家とMSMEを支援するためのMoUを通じて両省の活動を正式なものにする意向であることを称賛した。
46.      President Biden and Prime Minister Modi again welcomed Air India’s historic agreement with Boeing to acquire more than 200 American-made aircraft.  This purchase will support more than one million American jobs across 44 states and contribute to ongoing efforts to modernize the civil aviation sector in India.  Boeing has announced a $100 million investment on infrastructure and programs to train pilots in India, supporting India’s need for 31,000 new pilots over the next 20 years. The leaders also welcomed Boeing’s announcement of its completion of a C-17 aftermarket support facility for MRO and a new parts logistics center in India to capture future synergies between defense and civil aviation. 46.      バイデン大統領とモディ首相は、エア・インディアがボーイング社と200機以上の米国製航空機を購入するという歴史的な合意に達したことを改めて歓迎した。  この購入は、44州にわたる100万人以上のアメリカ人の雇用を支援し、インドの民間航空部門を近代化する継続的な取り組みに貢献する。  ボーイングは、インドのパイロット養成のためのインフラとプログラムに1億ドルを投資することを発表しており、今後20年間で31,000人の新規パイロットを必要としているインドを支援する。両首脳はまた、ボーイング社がインドでMROのためのC-17アフターマーケット・サポート施設と新しい部品物流センターを完成させ、防衛と民間航空間の将来の相乗効果を取り込むと発表したことを歓迎した。
Empowering Future Generations and Protecting the Health of our People 将来の世代に力を与え、国民の健康を守る
47.      President Biden and Prime Minister hailed the growing bilateral education partnership between the United States and India.  Indian students are on pace to soon become the largest foreign student community in the United States, with an increase of nearly 20 percent in Indian students studying in the United States last year alone.  The leaders welcomed the establishment of a new Joint Task Force of the Association of American Universities and leading Indian educational institutions, including the Indian Institutes of Technology, and the nomination of councils on each side, and noted their interim recommendations for expanding research and university partnerships between the two countries.  They also welcomed the establishment of Indo-U.S. Global Challenge Institutes to spark deeper research partnerships and people-to-people exchanges between a range of diverse institutions in the U.S. and India in semiconductors, sustainable agriculture, clean energy, health and pandemic preparedness, and emerging technologies. 47.      バイデン大統領と首相は、米国とインドの二国間教育パートナーシップの拡大を歓迎した。昨年だけでも、米国で学ぶインド人留学生は20%近く増加しており、インド人留学生は間もなく米国最大の留学生コミュニティとなる勢いだ。両首脳は、米国大学協会とインド工科大学を含むインドの主要教育機関による新たな合同タスクフォースの設立と、双方の評議会の指名を歓迎し、両国間の研究と大学のパートナーシップを拡大するための中間提言に言及した。また、半導体、持続可能な農業、クリーンエネルギー、保健衛生、パンデミック対策、新興技術など、米印の多様な機関の間で、より深い研究パートナーシップと人的交流を促進するための印米グローバル・チャレンジ研究所の設立を歓迎した。
48.      The leaders welcomed an announcement by the U.S. Department of State that it would launch a pilot to adjudicate domestic renewals of certain petition-based temporary work visas later this year, including for Indian nationals, with the intent to implement this for an expanded pool of H1B and L visa holders in 2024 and eventually broadening the program to include other eligible categories. 48.      両首脳は、米国務省が今年後半、インド人を含む特定の請願書ベースの一時的就労ビザの国内更新を審査する試験的な取り組みを開始し、2024年にH1BおよびLビザ保持者の拡大プールにこれを実施し、最終的には他の適格カテゴリーにもこのプログラムを拡大するという発表を歓迎した。
49.      The leaders affirmed that the movement of professional and skilled workers, students, investors and business travelers between the countries contributes immensely to enhancing bilateral economic and technological partnership. While acknowledging the important steps taken to augment processing of visa applications, they noted the pressing need to further expedite this process. The leaders also directed officials to identify additional mechanisms to facilitate travel for business, tourism, and professional and technical exchanges between the two countries. 49.      両首脳は、両国間の専門的、熟練した労働者、学生、投資家、ビジネス旅行者の移動は、二国間の経済的、技術的パートナーシップの強化に大いに貢献することを確認した。両首脳は、ビザ申請手続きを強化するために取られた重要な措置を認める一方で、この手続きをさらに迅速化することが急務であると指摘した。両首脳はまた、両国間のビジネス、観光、専門的・技術的交流のための旅行を促進するための追加的なメカニズムを特定するよう関係者に指示した。
50.      Concomitant with the rapid growth in our strategic partnership and demand for travel, both sides intend to open new consulates in each other’s countries. The United States intends to initiate the process to open two new consulates in India in the cities of Bengaluru and Ahmedabad.  India will take steps to operationalize its new consulate in Seattle later this year, and open two new consulates at jointly identified locations in the United States. 50.      両国の戦略的パートナーシップと旅行需要の急成長に伴い、双方は互いの国に新たな領事館を開設する意向である。米国はインドにベンガルールとアーメダバードの2都市に新たに領事館を開設する手続きを開始する予定である。  インドは今年後半にシアトルで新しい領事館を開設し、米国内の共同で特定した場所に2つの新しい領事館を開設する予定である。
51.      The leaders recognized the role of asocial security totalization agreement in protecting the interests of cross border workers and reaffirmed the intent to continue ongoing discussions concerning the elements required in both countries to enter into a bilateral social security totalization agreement. 51.      両首脳は、国境を越えた労働者の利益を保護する社会保障協定が果たす役割を認識し、二国間社会保障協定を締結するために両国が必要とする要素に関する継続的な協議を継続する意図を再確認した。
52.      President Biden and Prime Minister Modi celebrate the historic and active collaboration across the full expanse of our respective health sectors. They welcomed the opportunity for deeper collaboration to secure pharmaceutical supply chains.  The leaders encouraged their administrations to continue their strong collaboration on pandemic preparedness, supported by epidemiology training; laboratory strengthening and point of entry surveillance; and food safety and regulation.  The leaders applauded collaborations between research institutes of both countries on affordable cancer technology programs, including for the development of AI enabled diagnostic and prognosis prediction tools, and on diabetes research.  The leaders committed to holding a U.S.-India Cancer Dialogue, hosted by President Biden’s Cancer Moonshot, to bring experts together from both countries to identify concrete areas of collaboration to accelerate the rate of progress against cancer. They also called for expanded collaboration on digital health platforms including responsible use of cutting-edge technologies like AI, and to explore cooperation in research and the use of traditional medicine. President Biden lauded Prime Minister Modi’s plan to eliminate tuberculosis in India by 2025, five years ahead of the target set by the UN’s sustainable development goals, hailing it as a big step forward that will inspire other countries to action. 52.      バイデン大統領とモディ首相は、両国の保健分野の全領域にわたる歴史的かつ積極的な協力を祝った。両首脳は、医薬品サプライチェーンを確保するためのより深い協力の機会を歓迎した。  両首脳は、疫学研修に支えられたパンデミック(世界的大流行)への備え、研究所の強化および入国地点のサーベイランス、食品安全および規制に関する強力な協力関係を継続するよう、両政権に奨励した。 両首脳は、AIを活用した診断・予後予測ツールの開発を含む、安価ながん技術プログラム、および糖尿病研究に関する両国の研究機関の協力を称賛した。  両首脳は、バイデン大統領のキャンサー・ムーンショットが主催する米印がん対話の開催を約束し、両国の専門家を集め、がんに対する進歩の速度を加速させるための具体的な協力分野を特定した。また、AIのような最先端技術の責任ある利用を含むデジタルヘルスプラットフォームに関する協力の拡大や、研究や伝統医療の利用における協力の模索も呼びかけた。バイデン大統領は、国連の持続可能な開発目標が設定した目標よりも5年前倒しで、2025年までにインドで結核を撲滅するというモディ首相の計画を称賛し、他の国々の行動を鼓舞する大きな前進だと称賛した。
53.      President Biden and Prime Minister Modi welcomed the opportunity for deeper collaboration to secure, de-risk, and strengthen pharmaceutical supply chains, with a focus on active pharmaceutical ingredients, key starting materials, and key vaccine input materials. They also underscored the need for strengthening global collaboration network on research and development in medical countermeasures,  vaccines, therapeutics and diagnostics to promote access to safe, effective, and innovative medical products in an affordable manner. 53.      バイデン大統領とモディ首相は、医薬品原薬、主要な出発原料、主要なワクチン原料に焦点を当て、医薬品サプライチェーンの確保、リスク回避、強化のための協力関係を深める機会を歓迎した。両者はまた、安全で有効かつ革新的な医薬品を安価に入手することを促進するため、医療対策、ワクチン、治療薬、診断薬の研究開発におけるグローバルな協力ネットワークを強化する必要性を強調した。
54.      President Biden and Prime Minister Modi committed to work toward a broader and deeper bilateral drug policy framework for the 21st century.  Under this framework, both countries aspire to expand cooperation and collaboration to disrupt the illicit production and international trafficking of illicit drugs, including synthetic drugs, such as fentanyl and Amphetamine Type Stimulants and illicit use of their Precursors. Toward this end, they committed to a holistic public health partnership to prevent and treat illicit drug use, address workforce shortages and skilling requirements, and showcase a secure, resilient, reliable and growing pharmaceutical supply chain as a model for the world. 54.      バイデン大統領とモディ首相は、21世紀に向けた、より広範で深化した二国間の薬物政策の枠組みに向けて努力することを約束した。  この枠組みの下で、両国は、フェンタニルやアンフェタミン型覚せい剤などの合成麻薬や、その前駆物質の不正使用を含む、不正薬物の不法生産と国際取引を阻止するための協力・連携を拡大することを目指す。この目的のため、両協議会は、違法薬物の使用を防止し、治療するための包括的な公衆衛生パートナーシップにコミットし、労働力不足とスキリング要件に対処し、世界のモデルとして、安全でレジリエンスがあり、信頼性が高く、成長する医薬品サプライチェーンを紹介する。
55.      Prime Minister Modi conveyed his deep appreciation for the repatriation of antiquities to India by the United States.  Both sides expressed strong interest in working quickly toward a Cultural Property Agreement, which would help to prevent illegal trafficking of cultural property from India and enhance cooperation on the protection and lawful exchange of cultural property. 55.      モディ首相は、米国によるインドへの古美術品の送還について深い感謝の意を伝えた。  双方は、インドからの文化財の違法な売買を防止し、文化財の保護と合法的な交換に関する協力を強化するのに役立つ文化財協定に向けて迅速に取り組むことに強い関心を表明した。
56.      The Leaders welcomed the establishment of the Tamil Studies Chair at the University of Houston and reinstating the Vivekananda Chair at the University of Chicago to further research and teaching of India’s history and culture. 56.      両首脳は、インドの歴史と文化に関する研究と教育を促進するため、ヒューストン大学におけるタミル研究講座の設立とシカゴ大学におけるヴィヴェーカナンダ講座の復活を歓迎した。
57.      Prime Minister Modi looked forward to the visit of President Biden to the G20 Leaders’ Summit in New Delhi in September 2023. 57.      モディ首相は、2023年9月にニューデリーで開催されるG20首脳会議にバイデン大統領が出席することを期待した。
58.      Taken together, the leaders today affirmed that this document, in its breadth and depth,  represents the most expansive and comprehensive vision for progress in the history of our bilateral relationship.  Still, our ambitions are to reach ever greater heights, and we commit both our governments and our peoples to this endeavor, now and into the future. 58.      両首脳は本日、この文書が、その幅と深さにおいて、両国関係の歴史において最も広範で包括的な進展のためのビジョンを示すものであることを確認した。  それでもなお、我々の野望はさらなる高みに到達することであり、我々は、現在そして将来にわたり、両国政府と両国民がこの努力にコミットするものである。

 

防衛関係...

U.S. Department of Defense

・2023.06.22 Defense Part of Deepening Overall U.S.-India Relationship

Defense Part of Deepening Overall U.S.-India Relationship 防衛は米印関係全体の深化の一部である
Ryder spoke after President Joe Biden welcomed Indian Prime Minister Narendra Modi to the White House for a state visit.   ライダー氏は、ジョー・バイデン大統領がインドのナレンドラ・モディ首相を国賓訪問のためホワイトハウスに迎えた後に語った。 
During that White House meeting Secretary of Defense Lloyd J. Austin III shared perspectives on the tremendous strides both countries' militaries have made to promote peace and security, Ryder said.  そのホワイトハウスでの会談で、ロイド・J・オースティン3世国防長官は、両国の軍隊が平和と安全保障を促進するために行ってきた多大な進歩についての見解を共有した、とライダーは述べた。 
The relationship between the two largest democracies in the world has been a work in progress and includes all aspects including political, economic, defense, diplomatic and people-to-people ties.   世界最大の民主主義国家である両国の関係は、政治、経済、国防、外交、そして人と人とのつながりを含むあらゆる面で、現在進行形である。  
"We've made critical and emerging technologies the pillar of our next-generation partnership to ensure that these technologies promote and protect our values, remain open, accessible and trusted, and secure," Biden said during his speech welcoming the Indian leader to the White House. "All this matters for America, for India and for the world."  バイデンは、インドの指導者をホワイトハウスに歓迎するスピーチの中で、「我々は、重要で新興的な技術を次世代パートナーシップの柱とし、これらの技術が我々の価値を促進し、保護し、オープンでアクセスしやすく、信頼され、安全であり続けることを保証する」と述べた。「これはすべて、アメリカ、インド、そして世界にとって重要なことだ。 
The relationship between the two countries will be important to peace and stability in the world. "We face an inflection point, one of those moments that only come around every several generations, when so much is changing … technologically, politically, socially, and environmentally that the decisions we make today are going to determine our future for decades to come," he said. "And as democracies, we can better tap into the full talent of all of our people and attract investments as true and trusted partners, as leading nations, with our … greatest export being the power of our example."  両国の関係は、世界の平和と安定にとって重要である。「技術的、政治的、社会的、環境的に多くのことが変化しており、今日の決断が今後数十年の未来を決定することになる。「そして、民主主義国家として、真の信頼できるパートナーとして、先進国として、国民の才能を最大限に引き出し、投資を呼び込むことができる。 
Spotlight: Focus on Indo-Pacific スポットライト:インド太平洋に焦点を当てる
The Defense Department will play its part in drawing the two nations closer together Ryder said. "Secretary Austin is scheduled to attend the state dinner to celebrate over 75 years of deepening partnership between the United States and India and the bonds that link our peoples together," he said. "The secretary has been looking forward to these engagements especially following his recent trip to India, where the United States and India established an ambitious new roadmap for defense industrial cooperation."  国防省は、日米両国がより緊密になるよう、その役割を果たすだろう。「オースティン長官は、75年以上にわたる米国とインドのパートナーシップの深化と両国民を結ぶ絆を祝う晩餐会に出席する予定だ。「オースティン長官は、最近インドを訪問し、米国とインドが防衛産業協力のための野心的な新しいロードマップを策定したことを受けて、特にこのような機会を楽しみにしている。 
The U.S.-India partnership is a cornerstone of a free and open Indo-Pacific, Ryder said, "and our deepening bonds show how technological innovation and growing military cooperation between two great powers can be a force for global good."  米印のパートナーシップは、自由で開かれたインド太平洋の礎石であり、我々の深まる絆は、2つの大国間の技術革新と拡大する軍事協力が、いかに世界的な利益につながるかを示している」とライダーは述べた。 
Spotlight: Science and Tech スポットライト:科学技術
Part of this effort is the India-U.S. Defense Acceleration Ecosystem – shortened to INDUS-X. The Defense Department and the Indian Ministry of Defense will work together to expand the strategic technology partnership and defense industrial cooperation among government, businesses and academic institutions.   この努力の一環として、インド・米国防衛加速エコシステム(略称INDUS-X)がある。国防総省とインド国防省は、政府、企業、学術機関の間の戦略的技術提携と防衛産業協力を拡大するために協力する。 
INDUS-X grew out of the desire for an "Innovation Bridge" between the two countries that will encourage innovation in research and ultimately each nations' defense industrial bases. "Through INDUS-X, we will strengthen ties between our defense industrial ecosystems to make them more innovative, accessible and resilient," DOD officials said.  INDUS-Xは、両国の研究、ひいては各国の防衛産業基盤の革新を促す「イノベーションの架け橋」を求める声から生まれた。「INDUS-Xを通じて、防衛産業エコシステム間の結びつきを強化し、より革新的で、アクセスしやすく、レジリエンスに富んだものにする」と国防総省関係者は述べた。 
Spotlight: Engineering in the DOD スポットライト:DODにおけるエンジニアリング
"In light of the ... Prime Minister's visit today, and Secretary Austin's recent visit, and all of the engagements that we've had with India, this is really part of a wide-ranging strategic partnership, in which we see defense and security cooperation, really becoming central to our strategic relationship," Ryder said. "And the focus here is really on a continued commitment to defense cooperation to promote regional security and stability, not only an Indo-Pacific region, but globally."  「今日の首相の訪問と 今日の首相の訪問、オースティン長官の最近の訪問、そして我々がインドと行ってきたすべての関与に照らして、これは本当に広範な戦略的パートナーシップの一部であり、防衛と安全保障協力が我々の戦略的関係の中心になると考えている」とライダーは述べた。「そして、ここでの焦点は、インド太平洋地域だけでなく、世界的な地域の安全保障と安定を促進するための防衛協力への継続的なコミットメントである。 
Part of that is the United States intends to support India in the creation of logistics, repair and maintenance infrastructure for aircraft and ships. その一環として、米国は航空機や艦船のロジスティクス、修理、メンテナンスのインフラ構築においてインドを支援する意向だ。
Related Links 関連リンク
TRANSCRIPT: Pentagon Press Secretary Air Force Brig. Gen. Pat Ryder Holds a Press Briefing ペンタゴン報道官パット・ライダー空軍准将によるプレス・ブリーフィング(英語
NEWS: U.S., India Rapidly Expand Their Military Cooperation ニュース 米印軍事協力の急速な拡大
NEWS RELEASE: Launch of the India-U.S. Defense Acceleration Ecosystem (INDUS-X) ニュースリリース インド・米国防衛加速エコシステム(INDUS-X)の立ち上げ
PUBLICATION: Fact Sheet: India-U.S. Defense Acceleration Ecosystem (INDUS-X) ファクトシート インド-米国防衛加速エコシステム(INDUS-X)
STORY: Remarks by President Biden and Prime Minister Modi of India at Arrival Ceremony ストーリー バイデン大統領とインドのモディ首相による到着式典でのスピーチ

 








 

経済界としては、米国商工会議所


・2023.06.22 U.S. Chamber Partners with U.S. Department of Defense, Indian Ministry of Defense to Boost U.S.-India Defense Partnership

U.S. Chamber Partners with U.S. Department of Defense, Indian Ministry of Defense to Boost U.S.-India Defense Partnership 米商工会議所、米国防総省、インド国防省と提携し米印防衛パートナーシップを強化
WASHINGTON, D.C. — Yesterday, the U.S. Chamber of Commerce’s U.S.-India Business Council (USIBC) hosted U.S. Secretary of Commerce Gina Raimondo, U.S. National Security Advisor Jake Sullivan, and Indian National Security Advisor Ajit Doval in advance of the inaugural launch of the U.S.-India Initiative on Critical and Emerging Technologies (iCET). ワシントンD.C.-昨日、米国商工会議所の米印ビジネス協議会(USIBC)は、ジーナ・ライモンド米商務長官、ジェイク・サリバン米国家安全保障顧問、アジト・ドバル・インド国家安全保障顧問を招き、重要・新興技術に関する米印イニシアチブ(iCET)の発足に先立ち会合を開いた。
Announced during U.S. President Joe Biden and Indian Prime Minister Narendra Modi’s bilateral talks in Tokyo last May, the iCET is spearheaded by the National Security Councils of both countries and focuses on strengthening the U.S.-India partnership on the technologies that will drive global growth, bolster both countries’ economic competitiveness, and protect shared national security interests. 昨年5月に東京で行われたジョー・バイデン米大統領とナレンドラ・モディ・インド首相の二国間会談で発表されたiCETは、両国の国家安全保障会議が主導し、世界的な成長を促し、両国の経済競争力を強化し、共有する国家安全保障上の利益を守る技術に関する米印パートナーシップの強化に焦点を当てている。
In support of the iCET, the U.S. Chamber of Commerce held a roundtable with industry executives across the spectrum of advanced technologies, including semiconductor design and manufacturing, commercial electronics, advanced telecommunications, commercial space, aerospace and defense, and information technology services. Leadership from academia and venture capital firms also participated. iCETを支援するため、米国商工会議所は、半導体設計・製造、商業エレクトロニクス、先端通信、商業宇宙、航空宇宙・防衛、情報技術サービスなど、先端技術の分野にわたる業界幹部との円卓会議を開催した。また、学界やベンチャーキャピタルの幹部も参加した。
“The U.S. Chamber strongly supports the launch of this important dialogue on critical and emerging technologies,” said U.S. Chamber of Commerce President and CEO Suzanne P. Clark.  「米国商工会議所会頭兼CEOのスザンヌ・P・クラーク氏は、「米国商工会議所は、重要な新興技術に関するこの重要な対話の開始を強く支持する。 
“We commend the administration on working with India to launch the iCET. By strengthening our technology partnership with India, we will make both our economies stronger and ready to shape the next phase of global growth.” 米国商工会議所のスザンヌ・クラーク会頭は、「米国商工会議所は、インドと協力してiCETを立ち上げた政権を称賛する。インドとの技術パートナーシップを強化することで、両国の経済をより強固なものとし、世界的な成長の次の段階を形成する準備を整えることができる」と述べた。
U.S. Secretary of Commerce Gina Raimondo attended the roundtable to highlight the central role the U.S. and India would play in shaping the development of advanced technologies. ジーナ・ライモンド米商務長官は円卓会議に出席し、米国とインドが先端技術開発の形成において中心的な役割を果たすことを強調した。
Roundtable participants discussed opportunities to promote development of critical and emerging technologies such as quantum computing and artificial intelligence, with a special focus on how to increase academic and government research exchanges and strengthen their linkages with the private sector. A key theme throughout the roundtable was how both governments could facilitate deeper alignment on technology issues, including encouraging semiconductor supply chain resilience, deepening the two countries' research and development collaboration, strengthening workforce and education connectivity, and promoting co-investment and co-development. 円卓会議の参加者は、量子コンピューティングや人工知能などの重要な新技術の開発を促進する機会について議論し、特に学術的・政府的な研究交流を増やし、民間企業との連携を強化する方法に焦点を当てた。円卓会議全体を通しての主要テーマは、半導体サプライチェーンのレジリエンスの促進、両国の研究開発協力の深化、労働力と教育の連結強化、共同投資と共同開発の促進など、技術問題に関して両国政府がどのようにしてより深い連携を促進できるかであった。
Addressing industry executives, NSA Sullivan said that “iCET is about much more than technology cooperation, it's a platform to accelerate our strategic convergence and policy alignment.” Highlighting the work ahead for both governments, Sullivan added that the United States and Indian governments “want to establish a list of 'firsts',” "firsts in removing barriers—on both sides—to enable greater ambition by all of you." NSAサリバンは業界幹部を前に、「iCETは技術協力以上のものであり、両国の戦略的収束と政策連携を加速させるプラットフォームである」と述べた。サリバンNSAは、両政府の今後の課題を強調し、米国とインド政府は「"初 "のリストを確立したい」と付け加えた。
NSA Sullivan highlighted how iCET will accelerate the United States’ strategic technology partnership with India and advance the two countries’ shared democratic values. He also recognized the pivotal role that businesses, educators, and investors play, urged attendees to be ambitious in deepening business and academic ties, and committed to working with NSA Doval to remove barriers on both sides. サリバンNSAは、iCETがいかに米国とインドの戦略的技術パートナーシップを加速させ、両国が共有する民主的価値観を前進させるかを強調した。また、企業、教育者、投資家が果たす極めて重要な役割を認識し、ビジネスや学術的な結びつきを深めることに意欲的に取り組むよう出席者に促し、ドヴァルNSAと協力して双方の障壁を取り除くことを約束した。
NSA Ajit Doval and Ambassador Sandhu highlighted India’s remarkable capacity for technology development and absorption and emphasized India’s use of technology not only as an enabler of economic growth but as an instrument of social inclusion. Both officials commended the launch of the iCET, given the natural complementary strengths of the Indian and American economies and the growing strategic convergence between both nations. Both officials also emphasized India’s growing role a trusted supply chain partner and contributor in the global technology value chain, and underlined the importance of easing export control measures to facilitate technology access, co-production, and co-development between India and the U.S. アジト・ドヴァル国家安全保障省とサンドゥ大使は、インドの技術開発・吸収能力の高さを強調し、インドが経済成長の手段としてだけでなく、社会的包摂の手段として技術を活用していることを強調した。両大使は、インドとアメリカの経済が本来持っている補完的な強みと、両国間の戦略的収束の高まりを考慮し、iCETの立ち上げを称賛した。また、両政府高官は、インドが世界の技術バリューチェーンにおいて信頼できるサプライチェーンパートナーであり、貢献者としての役割を拡大していることを強調し、インドと米国の技術アクセス、共同生産、共同開発を促進するために輸出規制措置を緩和することの重要性を強調した。
In one of the sessions, the roundtable discussed microchips as a critical technology and the important role the U.S.-India relationship could play in building a reliable semiconductor supply chain. Sanjay Mehrotra, President and CEO of Micron Technology, discussed the importance of government-industry collaboration in this effort. “It is promising to see the U.S. and India prioritize the necessary discussions and investments that will enable greater semiconductor leadership within and among partner economies. The U.S. Chamber of Commerce, as a major advocate for the CHIPS and Science Act and now the host of the U.S.-India iCET dialogue, is creating compelling opportunities for public-private partnership that will ultimately strengthen our economies. Micron looks forward to continuing to work with both governments, the Chamber, and industry as part of this key forum.” 円卓会議では、重要な技術であるマイクロチップと、信頼性の高い半導体サプライチェーンの構築において米印関係が果たす重要な役割について議論された。マイクロン・テクノロジー社のサンジェイ・メヘロトラ社長兼最高経営責任者(CEO)は、この取り組みにおける政府と産業界の協力の重要性について述べた。「米国とインドが、パートナー経済圏の中で、またパートナー経済圏の間で、より大きな半導体のリーダーシップを可能にするために必要な議論と投資を優先させることは有望である。米国商工会議所は、CHIPS and Science Actの主要な提唱者として、また現在、米印iCET対話の主催者として、最終的に両国の経済を強化する官民パートナーシップのための説得力のある機会を創出している。マイクロンは、この重要なフォーラムの一員として、両政府、商工会議所、産業界と引き続き協力していくことを楽しみにしている。
Edward Knight, Executive Vice Chairman of NASDAQ, and Chair of the USIBC Global Board of Directors, stated that “both governments choosing USIBC to host this dialogue only reaffirms its position as the leading convener of public-private consultation in the U.S.-India Corridor.” Knight added, “the U.S. and India pursuing this initiative on critical and emerging technologies demonstrates their growing alignment and sends signals of confidence to the investment community.” NASDAQのエドワード・ナイト取締役副会長(USIBCグローバル理事会議長)は、「両政府がUSIBCをこの対話の主催者に選んだことは、米印回廊における官民協議の主要な主催者としてのUSIBCの立場を再確認するものである」と述べた。また、ナイト氏は、「米国とインドが、重要な新興技術に関するこのイニシアチブを追求することは、両国の連携強化の証であり、投資コミュニティーに信頼のシグナルを送るものである」と付け加えた。
The U.S. Chamber of Commerce will continue conversations with India on critical and emerging technologies as part of its close engagement with its G20 agenda, and as a chair of the B20.   米国商工会議所は、G20アジェンダへの緊密な関与の一環として、またB20の議長国として、重要技術や新興技術に関するインドとの対話を続けていく。  

 

1_20230625064801

 


 

インド側...

 

Press Information Bureau Government of India

 

Ministry of External Affairs - Media Center

2023.06.24 Prime Minister Shri Narendra Modi successfully concludes his first Official State visit to USA, emplaned for Egypt ナレンドラ・モディ首相は、初の米国公式訪問を成功裏に終え、エジプトに向かった。
  Prime Minister Shri Narendra Modi interacted with the members of the Indian community at the Ronald Reagan Centre in Washington D.C ナレンドラ・モディ首相は、ワシントンD.C.のロナルド・レーガン・センターでインド人コミュニティのメンバーと交流した。
  Prime Minister Shri Narendra Modi interacted with the leading professionals at the John F. Kennedy Centre in Washington D.C ナレンドラ・モディ首相は、ワシントンD.C.のジョン・F・ケネディ・センターで、一流の専門家と交流した。
  Prime Minister Shri Narendra Modi met CEO of Alphabet Inc. and Google, Mr. Sundar Pichai in Washington DC ナレンドラ・モディ首相は、ワシントンD.C.でアルファベット社およびグーグル社のスンダル・ピチャイCEOと会談した。
  Prime Minister Shri Narendra Modi met President and CEO of Boeing, Mr. David L. Calhoun in Washington DC ナレンドラ・モディ首相は、ワシントンDCでボーイング社のデービッド・L・カルフーン社長兼CEOと会談した。
  Prime Minister Shri Narendra Modi met President and CEO of Amazon, Mr. Andrew R. Jassy in Washington DC ナレンドラ・モディ首相は、ワシントンDCでアマゾンのアンドリュー・R・ジャシー社長兼CEOと会談した。
  Prime Minister Shri Narendra Modi hosted by Vice President, H.E. Ms. Kamala Harris and Secretary of State, H.E. Mr. Antony Blinken for a State Luncheon at the US Department of State ナレンドラ・モディ首相は、カマラ・ハリス副大統領とアントニー・ブリンケン国務長官の主催により、米国務省で昼食会を開催した。
2023.06.23 Prime Minister Shri Narendra Modi arrived at the White House for a State dinner hosted by US President, H.E. Mr. Joseph Biden and First Lady H.E. Dr. Jill Biden ナレンドラ・モディ首相は、ホワイトハウスで、ジョセフ・バイデン米大統領とジル・バイデン米大統領夫人が主催する晩餐会に出席した。
  Prime Minister Shri Narendra Modi met H.E. Mr. Kevin McCarthy, Speaker of the US Congress in Washington DC ナレンドラ・モディ首相は、ワシントンDCでケビン・マッカーシー米議会議長と会談した。
2023.06.22 Prime Minister Shri Narendra Modi holds bilateral talks with H.E. Mr. Joseph Biden, President of USA in Washington DC ナレンドラ・モディ首相は、ワシントンDCでジョセフ・バイデン米国大統領と二国間会談を行った。
  Prime Minister Shri Narendra Modi Welcomed by H.E. Mr. Joseph Biden, President of USA at White House, Washington DC ナレンドラ・モディ首相は、ワシントンDCのホワイトハウスにて、ジョセフ・バイデン米国大統領に歓迎される
  Prime Minister Shri Narendra Modi arrived at the White House for a private engagement hosted by US President, H.E. Mr. Joe Biden and First Lady H.E. Dr. Jill Biden ナレンドラ・モディ首相は、ジョー・バイデン米大統領とジル・バイデン米大統領夫人の歓迎を受け、ホワイトハウスに到着した。
  Prime Minister Shri Narendra Modi met Mr. Gary E. Dickerson, President and CEO of Applied Materials in Washington DC. ナレンドラ・モディ首相は、ワシントンDCでアプライド マテリアルズ社長兼CEOのゲイリー・E・ディッカーソン氏と会談した。
  Prime Minister Shri Narendra Modi met Mr. H. Lawrence Culp, Jr., CEO of General Electric in Washington DC ナレンドラ・モディ首相は、ワシントンDCでゼネラル・エレクトリック社のH・ローレンス・カルプ・ジュニアCEOと会談した。
  Prime Minister Shri Narendra Modi and First Lady of USA Dr. Jill Biden participated in an event focused on “India and USA: Skilling for Future” in Washington DC ナレンドラ・モディ首相とジル・バイデン米国大統領夫人は、ワシントンDCで開催された「インドと米国:将来のためのスキルアップ」に焦点を当てたイベントに参加した。
  Prime Minister Shri Narendra Modi accorded a ceremonial welcome and guard of honour at the Joint Base Andrews airport in Washington DC ナレンドラ・モディ首相は、ワシントンDCのアンドリュース統合基地空港で儀礼的な歓迎と儀仗兵の儀式を行った。
2023.06.21 Thousands of Yoga enthusiasts from 135 nationalities joined Prime Minister Shri Narendra Modi for the 9th International Day of Yoga celebrations at UN Headquarter in New York ナレンドラ・モディ首相は、ニューヨークの国連本部で開催された第9回国際ヨガの日に、135カ国から集まった数千人のヨガ愛好家とともに参加した。
  Prime Minister Shri Narendra Modi paid tributes at the Wall of Peace and the Mahatma Gandhi Statue situated in the north lawns at UN Headquarter in New York ナレンドラ・モディ首相は、ニューヨーク国連本部の北側の芝生にある平和の壁とマハトマ・ガンディー像に敬意を表した。
  Prime Minister Shri Narendra Modi arrived at the UN Headquarters to lead the IDY2023 celebrations in New York ナレンドラ・モディ首相は、ニューヨークでのIDY2023祝賀行事を指揮するため、国連本部を訪問した。
2023.06.20 Prime Minister Shri Narendra Modi met Ms. Falguni Shah, Indian American singer, composer and Grammy award winner in New York, USA ナレンドラ・モディ首相は、アメリカ・ニューヨークにて、インド系アメリカ人の歌手、作曲家、グラミー賞受賞者であるファルグニ・シャー氏と面会した。
  Prime Minister Shri Narendra Modi met a group of leading US experts from the health sector in New York, USA ナレンドラ・モディ首相は、米国ニューヨークにて、米国を代表する健康分野の専門家グループと会談した。
  Prime Minister Shri Narendra Modi met experts from several leading US think-tanks in New York, USA ナレンドラ・モディ首相は、米国ニューヨークにて、米国の有力シンクタンクの専門家と会談した。
  Prime Minister Shri Narendra Modi met Nobel laureate Professor Paul Romer, American economist and policy entrepreneur in New York, USA ナレンドラ・モディ首相は、アメリカ・ニューヨークにて、ノーベル経済学賞受賞者で政策起業家のポール・ローマー教授と会談した。
  Prime Minister Shri Narendra Modi met a group of eminent US academics in New York, USA ナレンドラ・モディ首相は、米国ニューヨークで著名な米国の学者グループと会談した。
  Prime Minister Shri Narendra Modi met Mr. Neil de Grasse Tyson, leading American astrophysicist, author and science communicator in New York, USA ナレンドラ・モディ首相は、米国ニューヨークにて、米国の著名な天体物理学者、作家、科学コミュニケーターであるニール・ド・グラース・タイソン氏と会談した。
  Prime Minister Shri Narendra Modi met Mr. Ray Dalio, American investor, author and co-founder of the hedge fund, Bridgewater Associates in New York, USA ナレンドラ・モディ首相は、米国ニューヨークにて、米国の投資家、作家、ヘッジファンドBridgewater Associatesの共同設立者であるレイ・ダリオ氏と会談した。
  Prime Minister Shri Narendra Modi met Professor Robert Thurman, American Buddhist scholar, author, and Padma Shri awardee in New York, USA ナレンドラ・モディ首相は、アメリカ・ニューヨークにて、アメリカの仏教学者、作家、パドマ・シュリー受賞者のロバート・サーマン教授と会談した。
  Prime Minister Shri Narendra Modi met Professor Nicholas Taleb, distinguished American mathematical statistician, academician, public intellectual and author in New York, USA ナレンドラ・モディ首相は、米国ニューヨークにて、米国の著名な数理統計学者、学者、知識人、作家であるニコラス・タレブ教授と会談した。
  Prime Minister Shri Narendra Modi arrived in the vibrant city of New York ナレンドラ・モディ首相は、活気あふれるニューヨークに到着した。
  Prime Minister Shri Narendra Modi embarks on a visit to USA and Egypt ナレンドラ・モディ首相は、米国とエジプトを訪問する

 

1_20230625064901

| | Comments (0)

英国 シンガポール 政府間のサイバー対話

こんにちは、丸山満彦です。

英国政府とシンガポール政府がサイバーに関する対話をしたようですね。。。

テーマは次の3つのようです。3つの項目について協力することにしたようです。シンガポールは前からIoTセキュリティに力をいれていますからね。。。

この3つのテーマについて日本はどのように取り組めていますかね。。。

  1. IoTセキュリティ
  2. アプリセキュリティ
  3. サイバー・スキル開発

合意した事項としては、次のようなことのようです。。。

1. IoTセキュリティ

  • IoTのための国際的な標準と規範の重要性の再確認
  • IoTのための我々のスキームの相互承認に向けた作業を継続し、
  • IoTの他の分野についてより緊密に協力する可能性を探る

2. アプリセキュリティ

  • アプリとアプリストアのセキュリティの重要性
  • アプリとアプリストアのセキュリティに関する国際標準の可能性をさらに追求するた。

3. サイバー・スキル開発

  • シンガポールと英国のサイバーセキュリティ専門家の技能と能力のマッピングに共同で取り組む

 

1_20230625030801

 


  

・2023.06.19 The UK-Singapore Cyber Dialogue

The UK-Singapore Cyber Dialogue 英国とシンガポールのサイバー対話
The UK-Singapore Cyber Dialogue was held in London on 13 June 2023 to discuss cyber priorities and deliverables for both countries. 2023年6月13日、英国・シンガポール・サイバー対話がロンドンで開催され、両国のサイバーに関する優先事項と成果物について話し合われた。
The dialogue was co-chaired by David Koh, Chief Executive of Singapore’s Cyber Security Agency, and Will Middleton, Cyber Director in the UK’s Foreign, Commonwealth and Development Office. Lindy Cameron, CEO, National Cyber Security Centre and senior officials from the Cabinet Office, Department for Science, Innovation and Technology, Home Office and the Department for Business and Trade participated in the dialogue, alongside senior officials from Singapore, including those from the Cyber Security Agency and the High Commission in London. 対話の共同議長を務めたのは、シンガポールのサイバーセキュリティ庁最高責任者デビッド・コー氏と、英国外務・英連邦・開発省のサイバー・ディレクター、ウィル・ミドルトン氏である。リンディ・キャメロン国家サイバーセキュリティセンター最高経営責任者(CEO)をはじめ、内閣府、科学技術革新省、内務省、商務貿易省の高官が、サイバーセキュリティ保障局やロンドン高等弁務官事務所を含むシンガポールの高官とともに対話に参加した。
The dialogue is a welcome opportunity to further strengthen our countries’ already close ties in cyber cooperation, as reaffirmed by the UK-Singapore Cybersecurity Memorandum of Understanding (MoU), an outcome of the ambitious UK-Singapore Digital Economy Agreement. この対話は、野心的な英国・シンガポール・デジタル経済協定の成果である英国・シンガポール・サイバーセキュリティ覚書(MoU)によって再確認されたように、サイバー協力における両国のすでに緊密な関係をさらに強化する歓迎すべき機会である。
The dialogue included exchanges on the cyber threat landscape, deterrence strategies against cyber threats, international cyber capacity building, international cyber policy issues including in the UN, and the role of public-private partnerships in cybersecurity. 今回の対話では、サイバー脅威の状況、サイバー脅威に対する抑止戦略、国際的なサイバー能力構築、国連を含む国際的なサイバー政策問題、サイバーセキュリティにおける官民パートナーシップの役割などについて意見交換が行われた。
Both sides explored opportunities to deepen cooperation and further align approaches towards Internet of Things (IoT) security, app security and cyber skills development. We agreed on the importance of security for apps and app stores, and agreed to further explore the potential for an international standard for the security of apps and app stores. We also reaffirmed the importance of recognised international standards and norms for IoT and agreed to continue work on mutual recognition of our schemes for IoT and to explore the potential to work more closely together on other areas of IoT. We also agreed to work together on mapping the skills and competencies of cybersecurity professionals in Singapore and the UK. 双方は、IoTセキュリティ、アプリセキュリティ、サイバー・スキル開発に対する協力を深め、アプローチをさらに一致させる機会を探った。我々は、アプリとアプリストアのセキュリティの重要性に合意し、アプリとアプリストアのセキュリティに関する国際標準の可能性をさらに追求することに合意した。我々はまた、IoTのための国際的な標準と規範の重要性を再確認し、IoTのための我々のスキームの相互承認に向けた作業を継続し、IoTの他の分野についてより緊密に協力する可能性を探ることに合意した。また、シンガポールと英国のサイバーセキュリティ専門家の技能と能力のマッピングに共同で取り組むことでも合意した。
Both countries reaffirmed our continued joint commitment to supporting international cyber governance and capacity building, including in South East Asia through the ASEAN-Singapore Cybersecurity Centre of Excellence (ASCCE). 両国は、ASEAN-シンガポール・サイバーセキュリティ・センター・オブ・エクセレンス(ASCCE)を通じて、東南アジアを含む国際的なサイバーガバナンスと能力構築を支援するための継続的な共同コミットメントを再確認した。
We also discussed the latest trends in cyber threats and opportunities to deepen cooperation to counter malicious cyber activity that undermines the rules-based multilateral order. また、ルールに基づく多国間秩序を損なう悪質なサイバー活動に対抗するため、サイバー脅威の最新動向や協力を深める機会についても議論した。
On 15th June, CSA’s Chief Executive David Koh also met with the UK’s Deputy National Security Adviser Matthew Collins on cybersecurity of critical national infrastructure, and Director General for Homeland Security Chloe Squires on the UK and Singapore’s co-chairing of the Counter Ransomware Initiative’s Policy Pillar. 6月15日、CSAのデービッド・コー最高経営責任者(CEO)は、英国のマシュー・コリンズ国家安全保障副顧問と重要な国家インフラのサイバーセキュリティについて、またクロエ・スクワイアーズ国土安全保障局長とランサムウェア対策イニシアティブの政策柱の英国・シンガポール共同議長について会談した。
Both sides committed to continuing to meet under the framework of the MoU as a priority for our international cyber cooperation. 双方は、国際的なサイバー協力の優先事項として、MoUの枠組みの下で会合を継続することを約束した。

 

1_20230625031701

 


Cyber Security Agency of Singapore

・2023.06.19 United Kingdom and Singapore Hold Cyber Dialogue To Strengthen Cyber Cooperation

United Kingdom and Singapore Hold Cyber Dialogue To Strengthen Cyber Cooperation 英国とシンガポール、サイバー協力強化のためサイバー対話を開催
The UK-Singapore Cyber Dialogue was held in London on 13 June 2023 to discuss cyber priorities and deliverables for both countries. The dialogue was co-chaired by David Koh, Chief Executive of Singapore’s Cyber Security Agency, and Will Middleton, Cyber Director in the UK’s Foreign, Commonwealth and Development Office. Lindy Cameron, CEO, National Cyber Security Centre and senior officials from the Cabinet Office, Department for Science, Innovation and Technology, Home Office and the Department for Business and Trade participated in the dialogue, alongside senior officials from Singapore, including those from the Cyber Security Agency and the High Commission in London. 英国・シンガポールのサイバー対話が2023年6月13日にロンドンで開催され、両国のサイバーに関する優先事項や成果物について話し合われた。対話の共同議長は、シンガポールのサイバーセキュリティ庁最高責任者であるデービッド・コー氏と、英国外務・英連邦・開発省のサイバー・ディレクターであるウィル・ミドルトン氏が務めた。リンディ・キャメロン国家サイバーセキュリティセンター最高経営責任者(CEO)をはじめ、内閣府、科学技術革新省、内務省、商務貿易省の高官が、サイバーセキュリティ保障局やロンドン高等弁務官事務所を含むシンガポールの高官とともに対話に参加した。
The dialogue is a welcome opportunity to further strengthen our countries’ already close ties in cyber cooperation, as reaffirmed by the UK-Singapore Cybersecurity Memorandum of Understanding (MoU), an outcome of the ambitious UK-Singapore Digital Economy Agreement. この対話は、野心的な英国・シンガポール・デジタル経済協定の成果である英国・シンガポール・サイバーセキュリティ覚書(MoU)によって再確認されたように、サイバー協力における両国のすでに緊密な関係をさらに強化する歓迎すべき機会である。
The dialogue included exchanges on the cyber threat landscape, deterrence strategies against cyber threats, international cyber capacity building, international cyber policy issues including in the UN, and the role of public-private partnerships in cybersecurity. 今回の対話では、サイバー脅威の状況、サイバー脅威に対する抑止戦略、国際的なサイバー能力構築、国連を含む国際的なサイバー政策問題、サイバーセキュリティにおける官民パートナーシップの役割などについて意見交換が行われた。
Both sides explored opportunities to deepen cooperation and further align approaches towards Internet of Things (IoT) security, app security and cyber skills development. We agreed on the importance of security for apps and app stores, and agreed to further explore the potential for an international standard for the security of apps and app stores. We also reaffirmed the importance of recognised international standards and norms for IoT and agreed to continue work on mutual recognition of our schemes for IoT and to explore the potential to work more closely together on other areas of IoT. We also agreed to work together on mapping the skills and competencies of cybersecurity professionals in Singapore and the UK.    双方は、モノのインターネット(IoT)セキュリティ、アプリのセキュリティ、サイバー・スキル開発に対する協力を深め、アプローチをさらに一致させる機会を探った。我々は、アプリとアプリストアのセキュリティの重要性に合意し、アプリとアプリストアのセキュリティに関する国際標準の可能性をさらに追求することに合意した。我々はまた、IoTのための国際的な標準と規範の重要性を再確認し、IoTのための我々のスキームの相互承認に向けた作業を継続し、IoTの他の分野についてより緊密に協力する可能性を探ることに合意した。また、シンガポールと英国のサイバーセキュリティ専門家の技能と能力のマッピングに共同で取り組むことでも合意した。   
Both countries reaffirmed our continued joint commitment to supporting international cyber governance and capacity building, including in South East Asia through the ASEAN-Singapore Cybersecurity Centre of Excellence (ASCCE). 両国は、ASEAN-シンガポール・サイバーセキュリティ・センター・オブ・エクセレンス(ASCCE)を通じて、東南アジアを含む国際的なサイバーガバナンスと能力構築を支援するための継続的な共同コミットメントを再確認した。
We also discussed the latest trends in cyber threats and opportunities to deepen cooperation to counter malicious cyber activity that undermines the rules-based multilateral order. また、ルールに基づく多国間秩序を損なう悪質なサイバー活動に対抗するため、サイバー脅威の最新動向や協力を深める機会についても議論した。
On 15th June, CSA’s Chief Executive David Koh also met with the UK’s Deputy National Security Adviser Matthew Collins on cybersecurity of critical national infrastructure, and Director General for Homeland Security Chloe Squires on the UK and Singapore’s co-chairing of the Counter Ransomware Initiative’s Policy Pillar. 6月15日、CSAのデービッド・コー最高経営責任者(CEO)は、英国のマシュー・コリンズ国家安全保障副顧問と重要な国家インフラのサイバーセキュリティについて、またクロエ・スクワイアーズ国土安全保障局長とランサムウェア対策イニシアティブの政策柱の英国・シンガポール共同議長について会談した。
Both sides committed to continuing to meet under the framework of the MoU as a priority for our international cyber cooperation. 双方は、国際的なサイバー協力の優先事項として、MoUの枠組みの下で会合を継続することを約束した。


1_20230625033101

 

| | Comments (0)

2023.06.24

NIST NISTIR 8355 NICE フレームワーク能力領域: 即戦力となる人材の準備

こんにちは、丸山満彦です。

NISTが、NISTIR 8355 NICE フレームワーク能力領域: 即戦力となる人材の準備を公表していますね。。

 

● NIST - ITL

・2023.06.21 NISTIR 8355 NICE Framework Competency Areas: Preparing a Job-Ready Workforce

NISTIR 8355 NICE Framework Competency Areas: Preparing a Job-Ready Workforce NISTIR 8355 NICE フレームワーク能力領域: 即戦力となる人材の準備
Abstract 概要
This publication from the National Initiative for Cybersecurity Education (NICE) describes Competency Areas as included in the Workforce Framework for Cybersecurity (NICE Framework), NIST Special Publication 800-181, Revision 1, a fundamental reference for describing and sharing information about cybersecurity work. The NICE Framework defines Task, Knowledge, and Skill (TKS) statement building blocks that provide a foundation for learners, including students, job seekers, and employees. Competency Areas are provided as a means of applying those core building blocks by grouping related TKS statements to form a higher-level description of capability in a particular domain of cybersecurity work. This document shares more detail about what NICE Framework Competency Areas are, including their evolution and development. Additionally, the publication provides example uses from various stakeholder perspectives. Finally, the publication identifies where the NICE Framework list of Competency Areas is separate published and provides the rationale for why they will be maintained distinct from this publication as a more flexible and contemporary reference resource. 国立サイバーセキュリティ教育イニシアティブ (NICE) による本書は、サイバーセキュリティ業務に関する情報を記述し共有するための基本的な参考資料である NIST 特別刊行物 (SP) 800-181, Revision 1 の Workforce Framework for Cybersecurity (NICE Framework) に含まれるコンピテンシー領域について記述している。NICE フレームワークは、学生、求職者、従業員を含む学習者に基礎を提供するタスク、知識、スキル (TKS)ステートメントのビルディングブロックを定義している。コンピテンシー領域は、関連する TKS ステートメントをグループ化し、サイバーセキュリティ業務の特定領域における能力をより高いレベルで記述することで、これらの中核的な構成要素を適用する手段として提供される。本書では、NICE フレームワークのコンピテンシー・エリアとは何かについて、その進化と発展も含め、より詳細に説明する。さらに、本書は様々な利害関係者の視点からの使用例を示している。最後に、本書では、NICEフレームワークのコンピテンシー分野のリストがどこで別途公表されているかを明らかにし、より柔軟で現代的な参考資料として、本書とは区別して維持される理由の根拠を示している。

 

・[PDF] NISTIR 8355

20230624-52510

・[DOCX] 仮訳

 

1_20230624072801

TSKを踏まえた、コンピテンシー領域とワーク・ロールの整理...

 

参照モデルの目次部分だけ仮訳しています。。。

・・[XLSX] Reference Spreadsheet

 

 

NICE専門エリア 業務役割 業務役割ID
セキュア・プロビジョン(SP)
リスクマネジメント (RSK) 権限者/指定代表者 SP-RSK-001
セキュリティ管理査定者 SP-RSK-002
ソフトウェア開発(DEV) ソフトウェア開発者 SP-DEV-001
セキュア・ソフトウェア・アセッサー SP-DEV-002
システムアーキテクチャー (ARC) エンタープライズアーキテクト  SP-ARC-001
セキュリティ・アーキテクト  SP-ARC-002
技術研究開発 (TRD) 研究開発スペシャリスト  SP-TRD-001
システム要求計画 (SRP) システム要件プランナー  SP-SRP-001
テスト・評価 (TST) システムテスト・評価スペシャリスト  SP-TST-001
システム開発 (SYS) 情報システム・セキュリティ開発者  SP-SYS-001
システム開発者  SP-SYS-002
運用・保守 (OM) 
データ管理 (DTA) データベース管理者 OM-DTA-001
データアナリスト  OM-DTA-002
ナレッジ・マネジメント(KMG) ナレッジマネージャー OM-KMG-001
カスタマーサービス・テクニカルサポート (STS) テクニカルサポートスペシャリスト OM-STS-001
ネットワークサービス(NET) ネットワーク・オペレーション・スペシャリスト OM-NET-001
システム管理(ADM) システム管理者 OM-ADM-001
システム分析(ANA) システムセキュリティアナリスト OM-ANA-001
監督・統治 (OV) 
法的助言と擁護(LGA) サイバー法務アドバイザー  OV-LGA-001
プライバシーオフィサー/プライバシーコンプライアンスマネージャー  OV-LGA-002
意識向上およびトレーニング(TEA) サイバー教育カリキュラム開発者  OV-TEA-001
サイバーインストラクター  OV-TEA-002
サイバーセキュリティ管理(MGT) 情報システムセキュリティマネージャー OV-MGT-001
コミュニケーション・セキュリティ(COMSEC)マネージャー OV-MGT-002
戦略的計画と政策(SPP) サイバー人材開発・管理者  OV-SPP-001
サイバー政策・戦略プランナー OV-SPP-002
エグゼクティブ・サイバー・リーダーシップ(EXL) エグゼクティブサイバーリーダーシップ  OV-EXL-001
プログラム/プロジェクト管理(PMA)と取得 プログラムマネージャー  OV-PMA-001
ITプロジェクトマネージャー OV-PMA-002
プロダクトサポートマネージャー OV-PMA-003
IT投資/ポートフォリオマネージャー OV-PMA-004
ITプログラム監査役 OV-PMA-005
防御(PR)
サイバーセキュリティ防衛分析(CDA) サイバー防衛アナリスト  PR-CDA-001
サイバーセキュリティ防衛インフラ支援(INF) サイバー防衛インフラ支援スペシャリスト  PR-INF-001
インシデントレスポンス(CIR) サイバー防衛インシデント対応者  PR-CIR-001
脆弱性評価と管理 (VAM) 脆弱性評価アナリスト PR-VAM-001
ANALYZE (AN) 
脅威分析(TWA) 脅威/警告アナリスト AN-TWA-001
エクスプロイテーション分析(EXP) エクスプロイト・アナリスト AN-EXP-001
全ソース分析(ASA) オール・ソース・アナリスト  AN-ASA-001
ミッション評価スペシャリスト AN-ASA-002
ターゲット(TGT) ターゲット開発者 AN-TGT-001
ターゲット・ネットワーク・アナリスト AN-TGT-002
言語分析(LNG) 多領域言語アナリスト AN-LNG-001
収集・作戦 (CO) 
コレクション・作戦(CLO) すべてのソース-コレクションマネージャ CO-CLO-001
すべてのソースコレクション要件マネージャ CO-CLO-002
サイバー作戦計画(OPL) サイバーインテルプランナー CO-OPL-001
サイバー作戦プランナー CO-OPL-002
パートナー統合プランナー CO-OPL-003
サイバー作戦実行(OPS) サイバー作戦実行者 CO-OPS-001
調査(INVESTIGATE) - 情報技術(IT)システム、ネットワーク、デジタル証拠に関連するサイバーセキュリティ事象や犯罪を調査する。
サイバー調査(INV) サイバー犯罪捜査官 IN-INV-001
デジタル・フォレンジック (FOR) 法執行/防諜フォレンジック・アナリスト IN-FOR-001
サイバー防衛フォレンジックアナリスト IN-FOR-002

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.12.16 NISTIR 8355 (Draft) NICE Framework Competencies: Assessing Learners for Cybersecurity Work (2nd Draft)

・2021.03.19 NISTIR 8355 (Draft) NICE Framework Competencies: Assessing Learners for Cybersecurity Work

2020.11.17 NIST SP 800-181 Rev. 1 Workforce Framework for Cybersecurity (NICE Framework)

2020.07.17 NIST SP 800-181 Rev. 1 (Draft) Workforce Framework for Cybersecurity (NICE Framework)

少し前...

・2016.11.15 NIST SP800-181 NICE Cybersecurity Workforce Framework (NCWF)

 

 

Continue reading "NIST NISTIR 8355 NICE フレームワーク能力領域: 即戦力となる人材の準備"

|

NIST ホワイトペーパー [プロジェクト概要] 上下水道セクターのサイバーセキュリティ: 上下水道システムにおけるサイバーリスクを軽減するための実践的なリファレンスデザイン

こんにちは、丸山満彦です。

NISTが、ホワイトペーパー [プロジェクト概要] 上下水道セクターのサイバーセキュリティ: 上下水道システムにおけるサイバーリスクを軽減するための実践的なリファレンスデザインを公表していますね。。。

米国では、上下水道システムは重要インフラとなっており、Wateer ISACもあるわけですが、、、日本では上下水道は基本は地方自治体が提供しているのですが、どれほどの認識があり、対策がとられているのでしょうかね。。。

 

1_20230624063801

上下水道システム、(WWS) リファレンス・アーキテクチャ

 

● NIST - ITL

・2023.06.20 White Paper [Project Description] Cybersecurity for the Water and Wastewater Sector: A Practical Reference Design for Mitigating Cyber Risk in Water and Wastewater Systems

 

White Paper [Project Description] Cybersecurity for the Water and Wastewater Sector: A Practical Reference Design for Mitigating Cyber Risk in Water and Wastewater Systems ホワイトペーパー [プロジェクト概要] 上下水道セクターのサイバーセキュリティ: 上下水道システムにおけるサイバーリスクを軽減するための実践的なリファレンスデザイン
Abstract 概要
The U.S. Water and Wastewater Systems (WWS) sector has been undergoing a digital transformation. Many sector organizations are utilizing data-enabled capabilities to improve utility management, operations, and service delivery. The ongoing adoption of automation, sensors, data collection, network devices, and analytic software may also increase cybersecurity-related vulnerabilities and associated risks. 米国の上下水道システム(WWS)セクターは、デジタル変革期を迎えている。このセクターの多くの組織は、ユーティリティの管理、運営、サービス提供を改善するために、データを活用した機能を利用している。自動化、センサー、データ収集、ネットワーク・デバイス、分析ソフトウェアの継続的な採用は、サイバーセキュリティ関連の脆弱性と関連リスクを増加させる可能性もある。
The NCCoE has undertaken a program to determine common scenarios for cybersecurity risks among WWS utilities. This project will profile several areas, including asset management, data integrity, remote access, and network segmentation. The NCCoE will also explore the utilization of existing commercially available products to mitigate and manage these risks. The findings can be used as a starting point by WWS utilities in mitigating cybersecurity risks for their specific production environment. This project will result in a freely available NIST Cybersecurity Practice Guide. NCCoEは、WWS公益事業者間のサイバーセキュリティリスクの共通シナリオを決定するプログラムを実施している。このプロジェクトでは、資産管理、データ完全性、リモート・アクセス、ネットワーク・セグメンテーションを含むいくつかの分野のプロファイリングを行う。NCCoE はまた、これらのリスクを軽減・マネジメントするための既存の市販製品の活用についても検討する。調査結果は、WWSユーティリティがそれぞれの生産環境のサイバーセキュリティ・リスクを軽減するための出発点として利用することができる。このプロジェクトは、自由に利用できるNISTサイバーセキュリティ実践ガイドを作成する。

 

・[PDF] Project Description

20230624-52501

・[DOCX] 仮訳

 

 

目次...

TABLE OF CONTENTS 目次
1 Executive Summary 1 エグゼクティブサマリー
Purpose 目的
Scope 適用範囲
Assumptions 前提条件
Challenges 課題
Background 背景
2 Scenarios 2 シナリオ
Scenario 1: Asset Management シナリオ1:資産管理
Scenario 2: Data Integrity シナリオ2:データの完全性
Scenario 3: Remote Access シナリオ3:リモート・アクセス
Scenario 4: Network Segmentation シナリオ4:ネットワーク・セグメンテーション
3 High-Level Architecture 3 ハイレベル・アーキテクチャ
Required Capabilities 必要な能力
4 Relevant Standards and Guidance 4 関連する標準とガイダンス
5 Security Control Map 5 セキュリティ・コントロール・マップ
Appendix A References 附属書 A 参考文献
Appendix B Acronyms and Abbreviations 附属書B 頭字語および略語

 

 

1      EXECUTIVE SUMMARY  1    エグゼクティブサマリー 
Purpose  目的 
This document outlines a National Cybersecurity Center of Excellence (NCCoE) project that will develop example cybersecurity solutions to protect the infrastructure in the operating environments of WWS sector utilities. The increasing adoption of network-enabled technologies by the sector merits the development of best practices, guidance, and solutions to ensure that the cybersecurity posture of facilities is safeguarded.  本書は、WWS 分野の公益事業者の運用環境のインフラを保護するためのサイバーセキュリティ・ソリューションの例を開発する国家サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)プロジェクトの概要を示すものである。この部門によるネットワーク対応技術の採用の増加は、施設のサイバーセキュリティ態勢を確実に保護するためのベストプラクティス、ガイダンス、ソリューションの開発に値する。 
Critical infrastructure issues in the WWS sector present several unique challenges. Utilities in the sector typically cover a wide geographic area which include piped distribution networks and infrastructure together with centralized treatment operations. The supporting operational technologies (OT) underpinning this infrastructure typically rely on supervisory control and data acquisition (SCADA) systems which provide data transmission across the enterprise, sending sensor readings and signals in real time. These systems also control the automated processes in the production environment which is linked to the distribution network. Additionally, many OT devices are converging with Information Technology (IT) capabilities such as cloud-based SCADA and smart monitoring.  WWSセクターにおける重要なインフラ問題は、いくつかのユニークな課題を提示している。この分野の公益事業は通常、集中処理事業とともに、配管された配水網とインフラを含む広い地域をカバーしている。このインフラを支える運用技術(OT)は、一般的に、企業全体のデータ伝送を提供し、センサーの測定値と信号をリアルタイムで送信する監視制御およびデータ収集(SCADA)システムに依存している。これらのシステムは、流通ネットワークにリンクされた生産環境の自動化プロセスも制御する。さらに、多くのOTデバイスは、クラウドベースのSCADAやスマート・モニタリングなどの情報技術(IT)機能と融合しつつある。 
This project will develop a reference design that demonstrates practical solutions for water and wastewater utilities of all sizes. The reference design will use commercially available products and services to address four WWS cybersecurity challenges: asset management, data integrity, remote access, and network segmentation. The commercial products and services will be integrated into a demonstration of the reference design. The project also initiates a broad discussion with the WWS sector to identify commercial solution providers.  このプロジェクトは、あらゆる規模の上下水道公益事業のための実用的なソリューションを実証するリファレンス・デザインを開発する。リファレンス・デザインは、資産管理、データ完全性、リモート・アクセス、ネットワーク・セグメンテーションという4つのWWSサイバーセキュリティの課題に対処するために、市販の製品とサービスを使用する。市販の製品とサービスは、リファレンス・デザインのデモンストレーションに統合される。このプロジェクトはまた、商用ソリューション・プロバイダーを特定するためにWWSセクターとの幅広い議論を開始する。 
This project will result in a publicly available NIST Cybersecurity Practice Guide which will include a detailed implementation guide of the practical steps needed to implement a cybersecurity reference design that addresses these challenges.  このプロジェクトは、これらの課題に対処するサイバーセキュリティ・リファレンス設計を実装するために必要な実践的ステップの詳細な実装ガイドを含む、一般に利用可能なNISTサイバーセキュリティ実践ガイドを作成する予定である。 
Scope  適用範囲 
This project description profiles several areas to strengthen the cybersecurity posture within the operational environment of WWS facilities of all sizes—small, medium, and large. To contain scope, the project is not comprehensive. The following areas will be explored:  このプロジェクトの説明では、小規模、中規模、大規模のあらゆる規模のWWS施設の運用環境におけるサイバーセキュリティ態勢を強化するためのいくつかの分野を紹介している。範囲を限定するため、プロジェクトは包括的なものではない。以下の分野が調査される: 
•       Asset Management   •       資産管理  
•       Data Integrity  •       データの完全性 
•       Remote Access  •       リモートアクセス 
•       Network Segmentation  •       ネットワーク・セグメンテーション 
Assumptions  前提条件 
The project will demonstrate solutions to improve the cybersecurity posture of WWS operations and is guided by the following assumptions:  このプロジェクトは、WWS運営のサイバーセキュリティ態勢を改善するためのソリューションを実証するものであり、次のような前提に基づいている: 
•       WWS infrastructure that adequately reflects operational capabilities is available for solution testing  •       運用能力を適切に反映したWWSインフラが、ソリューション・テストのために利用可能である。 
•       A range of commercially and open source solutions exist and are readily available to the WWS sector to demonstrate solutions to the identified challenges  •       識別された課題に対する解決策を実証するために、様々な商用およびオープンソースのソリューションが存在し、WWSセクターが容易に利用可能である。 
Challenges  課題 
•       WWS utilities vary widely in size and level of cybersecurity expertise which may require a range of cyber-related capabilities to provide risk-appropriate cybersecurity.   •       WWSユーティリティ企業の規模やサイバーセキュリティの専門知識レベルは様々であり、リスクに応じたサイバーセキュリティを提供するために、様々なサイバー関連能力を必要とする場合がある。  
•       Lab-constructed example solutions may not fully address the complexity of real-world operational scenarios.  •       実験室で構築された模範解答は、実世界の運用シナリオの複雑さに完全に対応していない可能性がある。 
•       The NCCOE does not provide prescriptive solutions, but rather demonstrates illustrative case that may be voluntarily adopted by the sector.  •       NCCOEは、規定的な解決策を提供するのではなく、セクターが自主的に採用する可能性のある例示的なケースを示すものである。 
Background  背景 
There is apparent general consensus from the WWS sector that additional cybersecurity implementation references are needed to assist in the protection of its critical infrastructure. The advancement of network-based approaches, together with an ongoing increase in cyber threats, merit the need for sector-wide improvements in cybersecurity protections. The NCCoE, together with its collaborators, is undertaking this project to identify and demonstrate cybersecurity solutions for the sector. The project will build on existing sector guidance to provide information for the direct implementation of readily available commercial solutions towards the most pressing cybersecurity challenges faced by sector utilities of all sizes.  WWSセクターからは、重要インフラの防御を支援するために、さらなるサイバーセキュリティの実装に関する参考資料が必要であるとの一般的なコンセンサスが得られている。ネットワークベースのアプローチの進歩は、サイバー脅威の継続的な増加とともに、サイバーセキュリティ保護におけるセクター全体の改善の必要性を物語っている。NCCoEは、その協力者とともに、このセクターのためのサイバーセキュリティ・ソリューションを特定し、実証するために、このプロジェクトを実施している。このプロジェクトは、既存のセクター・ガイダンスを基に、あらゆる規模の公益事業者が直面する最も差し迫ったサイバーセキュリティの課題に向けて、容易に入手可能な商用ソリューションを直接導入するための情報を提供する。 
This project acknowledges efforts undertaken by other Federal agencies to ensure the protection of water and wastewater providers. The Environmental Protection Agency (EPA) [1] in its role as the Sector Risk Management Specific Agency (SRMA) provides coordination in responding to cyber incidents and support in the form of tools, exercises, and technical assistance. The Department of Homeland Security’s (DHS) Cybersecurity and Infrastructure Security Agency (CISA) [2] leads the efforts to protect assets, mitigate vulnerabilities, and reduce impacts from potential cyber incidents.  このプロジェクトは、上下水道事業者の保護を確保するために他の連邦機関が行っている 取り組みを認めるものである。環境保護庁(EPA)[1]は、セクターリスク管理特定機関(SRMA)としての役割において、サイ バーインシデントへの対応における調整と、ツール、演習、技術支援の形での支援を提供している。国土安全保障省(DHS)のサイバーセキュリティ・インフラセキュリティ庁(CISA) [2]は、資産の保護、脆弱性の軽減、潜在的なサイバーインシデントからの影響の軽減に向けた取り組みを主導している。 
WWS organizations have also contributed to sector awareness and capacity building. The American Water Works Association (AWWA) provides resources and guidance for aiding water systems in evaluating cybersecurity risks. The AWWA Cybersecurity Assessment Tool and Guidance, referenced herewith, assists utilities in identifying exposure to cyber risks, setting priorities, and executing appropriate and proactive cybersecurity strategies in support of Section 2013 of America’s Water Infrastructure Act of 2018 (AWIA) [3]. Additionally, the Water Environment Federation (WEF) leads the effort among wastewater utilities and is providing guidance and information in the identification of sector needs and priorities [4]. The Water Information Sharing and Analysis Center (WaterISAC) is an all-threats security information source for the water and wastewater sector, providing invaluable information and resources to the WWS sector including the “15 Cybersecurity Fundamentals for Water and Wastewater Utilities.” [5]   WWS組織もまた、セクターの認識と能力構築に貢献してきた。米国水道協会(AWWA)は、水道システムのサイバーセキュリティリスク評価を支援するためのリソースとガイダンスを提供している。ここで参照するAWWAサイバーセキュリティアセスメントツールとガイダンスは、2018年アメリカ水インフラ法(AWIA)2013条を支援するために、公益事業者がサイバーリスクへのエクスポージャーを特定し、優先順位を設定し、適切かつ積極的なサイバーセキュリティ戦略を実行することを支援する[3]。さらに、水環境連盟(Water Environment Federation:WEF)は、下水公益事業者間の取り組みを主導し、セクターのニーズと優先事項の特定におけるガイダンスと情報を提供している[4]。水情報共有分析センター(WaterISAC)は、上下水道セクターのためのあらゆる脅威のセキュリティ情報源であり、「上下水道ユーティリティのための15のサイバーセキュリティの基礎」を含む貴重な情報とリソースをWWSセクターに提供している。"[5] 

 

 

補足情報:

 Project homepage (web)

 

ドラフト:

・2022.11.02 White Paper (Draft)

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.11.06 NIST ホワイトペーパー(ドラフト) 【プロジェクト概要】上下水道事業の安全確保:上下水道システムセクターのためのサイバーセキュリティ

 

・2020.10.08 米国のISACとISAO (根拠指令、取りまとめ団体、ISAO標準文書など)

| | Comments (0)

NIST NISTIR 8454 NIST 軽量暗号標準化プロセスの最終ラウンドに関する状況報告書

こんにちは、丸山満彦です。

NISTが、NISTIR 8454 NIST 軽量暗号標準化プロセスの最終ラウンドに関する状況報告書を公表していますね。。。

2021年前にNIST IR 8369 を発表してから2年ですね。。。

 

NIST - ITL

・2023.06.16 NISTIR 8454 Status Report on the Final Round of the NIST Lightweight Cryptography Standardization Process

NISTIR 8454 Status Report on the Final Round of the NIST Lightweight Cryptography Standardization Process NISTIR 8454 NIST 軽量暗号標準化プロセスの最終ラウンドに関する状況報告書
Abstract 概要

The National Institute of Standards and Technology (NIST) initiated a public standardization process to select one or more schemes that provide Authenticated Encryption with Associated Data (AEAD) and optional hashing functionalities and are suitable for constrained environments. In February 2019, 57 candidates were submitted to NIST for consideration. Among these, 56 were accepted as first-round candidates in April 2019. After four months, NIST selected 32 of the candidates for the second round. In March 2021, NIST announced 10 finalists – namely ASCON, Elephant, GIFT-COFB, Grain-128AEAD, ISAP, PHOTON-Beetle, Romulus, SPARKLE, TinyJAMBU, and Xoodyak – to move forward to the final round of the selection process. On February 7, 2023, NIST announced the decision to standardize the ASCON family for lightweight cryptography applications. This report describes the evaluation criteria and selection process, which is based on public feedback and internal review of the finalists. 

米国国立標準技術研究所(NIST)は、関連データによる本人認証暗号化(AEAD)とオプションのハッシュ機能を提供し、制約のある環境に適した1つまたは複数の方式を選択するための公開標準化プロセスを開始した。2019年2月、57の候補が検討のためNISTに提出された。このうち56件が2019年4月に第1ラウンド候補として受け入れられた。4カ月後、NISTは候補のうち32件を2次選考に選んだ。2021年3月、NISTはASCON、Elephant、GIFT-COFB、Grain-128AEAD、ISAP、PHOTON-Beetle、Romulus、SPARKLE、TinyJAMBU、Xoodyakの10候補を最終選考に進めると発表した。2023年2月7日、NISTは軽量暗号アプリケーション向けにASCONファミリを標準化することを決定したと発表した。本レポートでは、一般からのフィードバックと最終候補者の内部レビューに基づく評価基準と選考プロセスについて説明する。 

 

・[PDF] NISTIR 8454 (DOI)

20230624-52423

 

目次...

Table of Contents 目次
1. Introduction 1. 序文
1.1. Background 1.1. 背景
1.2. Organization 1.2. 組織
2. Evaluation Criteria and Selection Process 2. 評価基準と選考プロセス
2.1. Evaluation Criteria 2.1. 評価基準
2.2. Selection Process 2.2. 選考プロセス
2.2.1. Selection of ASCON 2.2.1. アスコンの選定
3. Finalists 3. ファイナリスト
3.1. ASCON 3.1. アスコン
3.1.1. Overview of the Design 3.1.1. 設計の概要
3.1.2. Security Analysis 3.1.2. セキュリティ分析
3.2. Elephant 3.2. エレファント
3.3. GIFT-COFB 3.3. GIFT-COFB
3.4. Grain-128AEAD 3.4. グレイン128AEAD
3.5. ISAP 3.5. ISAP
3.6. PHOTON-Beetle 3.6. PHOTON-ビートル
3.7. Romulus 3.7. ロムルス
3.8. SPARKLE 3.8. スパークル
3.9. TinyJAMBU 3.9. TinyJAMBU
3.10. Xoodyak 3.10. ゾディアック
4. Benchmarking Results 4. ベンチマーク結果
4.1. Software Benchmarking 4.1. ソフトウェア・ベンチマーク
4.1.1. Microcontroller Benchmarking by NIST 4.1.1. NISTによるマイコン・ベンチマーク
4.1.2. Microcontroller Benchmarking by Renner et al 4.1.2. Rennerらによるマイクロコントローラーベンチマーキング
4.1.3. Microcontroller Benchmarking by Weatherley 4.1.3. Weatherleyによるマイクロコントローラのベンチマーキング
4.1.4. Benchmarking from eBACS 4.1.4. eBACSによるベンチマーク
4.1.5. Additional Results 4.1.5. その他の結果
4.2. Hardware Benchmarking 4.2. ハードウェア・ベンチマーク
4.2.1. FPGA Benchmarking by GMU 4.2.1. GMUによるFPGAベンチマーク
4.2.2. Hardware Benchmarking Results from Round 2 4.2.2. 第2ラウンドのハードウェア・ベンチマーク結果
4.2.3. Additional Results 4.2.3. その他の結果
4.3. Resistance to Side-Channel and Fault Attacks 4.3. サイドチャネル攻撃とフォールト攻撃への耐性
4.3.1. Protected Implementations and Side-Channel Security Evaluations 4.3.1. 保護された実装とサイドチャネル・セキュリティ評価
4.3.2. Fault Attacks 4.3.2. フォールト攻撃
4.3.3. Additional Results 4.3.3. その他の結果
5. Next Steps 5. 次のステップ
References 参考文献
Appendix A. List of Acronyms 附属書A. 頭字語リスト
Appendix B. NIST Software Benchmarking Results 附属書B. NISTソフトウェア・ベンチマーク結果
B.1. AEAD Size Comparison B.1. AEADサイズの比較
B.2. Hash Size Comparison B.2. ハッシュサイズの比較
B.3. Combined AEAD and Hashing Size B.3. AEADとハッシュの合計サイズ
B.4. Time vs. Size Explorations B.4. 時間とサイズの比較
B.5. Execution Time Comparison B.5. 実行時間の比較

 

 

関連資料:

 Selection announcement (web)

 Lightweight Cryptography Standardization project (web)

関連資料:

NISTIR 8369

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.07.22 NISTIR 8369 NIST軽量暗号化標準化プロセスの第2ラウンドに関するステータスレポート

 

 

| | Comments (0)

NISTIR 8467(ドラフト)ゲノムデータのサイバーセキュリティフレームワーク・プロファイル

こんにちは、丸山満彦です。

NISTが、NISTIR 8467(ドラフト)ゲノムデータのサイバーセキュリティフレームワーク・プロファイルを公表し、意見募集をしていますね。。。

この3月に、NISTIR 8432 (Draft) Cybersecurity of Genomic Data
が公表され、意見募集されていたので、こちらも参考に...

 

⚫︎ NIST - ITL

・2023.06.15 NISTIR 8467 (Draft) Cybersecurity Framework Profile for Genomic Data

NISTIR 8467 (Draft) Cybersecurity Framework Profile for Genomic Data NISTIR 8467(ドラフト)ゲノムデータのサイバーセキュリティフレームワーク・プロファイル
Announcement 発表
The Cybersecurity Framework (CSF) Profile for Genomic Data provides voluntary guidance to help organizations manage, reduce, and communicate cybersecurity and privacy risks for systems, networks, and assets that process genomic data. This publication is a follow-on effort to NIST Internal Report (IR) 8432, The Cybersecurity of Genomic Data, and was developed in collaboration with stakeholders across industry, academia, and government. This effort is informed by direction from Congress, the White House, and NIST’s existing expertise in genomics as well as cybersecurity. ゲノムデータのためのサイバーセキュリティフレームワーク(CSF)プロファイルは、組織がゲノムデータを処理するシステム、ネットワーク、資産のサイバーセキュリティとプライバシーリスクをマネジメント、低減、伝達するための自主的なガイダンスを提供する。本書は、NIST 内部報告書(IR)8432「ゲノムデータのサイバーセキュリティ」に続く取り組みであり、産学官の関係者の協力を得て作成された。 この取り組みには、議会、ホワイトハウスからの指示、ゲノムおよびサイバーセキュリティに関する NIST の既存の専門知識が反映されている。
The Profile identifies 12 genomic-related Mission Objectives and prioritizes relevant CSF Subcategories to help organizations protect genomic data throughout the data lifecycle. このプロファイルは、12のゲノム関連 ミッション目標 を特定し、関連する CSF サブカテゴリー に優先順位を付け、組織がデータライフサイクル全体を通じてゲノムデータを保護するのに役立つようにしている。
Organizations processing genomic data can use this guidance to: ゲノムデータを処理する組織は、このガイダンスを利用して以下のことができる:
・Understand genomic data cybersecurity considerations ・ゲノムデータのサイバーセキュリティに関する考慮事項を理解する。
・Assess current organizational cybersecurity practices to identify gaps and areas of improvement for existing practices or infrastructure ・現在の組織のサイバーセキュリティ対策を評価し、既存の対策やインフラストラクチャーのギャップや改善点を特定する。
・Develop individualized organizational Current (As-Is) and Target (To-Be) Profiles ・組織の現状(As-Is)及び目標(To-Be)プロファイルを個別に作成する。
・Prioritize investments in cybersecurity capabilities aligned to the CSF Subcategories identified as most important to support organizational Mission Objectives ・組織の「ミッション目標」を支援するために最も重要であると特定された CSF のサブカテ ゴリに沿ったサイバーセキュリティ能力への投資の優先順位を決定する。
・Understand the relationship between cybersecurity and privacy risk management ・サイバーセキュリティとプライバシーリスクマネジメントの関係を理解する。
The CSF Profile for Genomic Data is intended to supplement, not replace, current cybersecurity standards, regulations, and industry guidelines. Organizations should consider their unique obligations, operating environment, and Mission Objectives when prioritizing and implementing cybersecurity capabilities and controls. While the focus of this CSF Profile is cybersecurity, whenever human genomic data is processed, privacy risk management considerations must also be addressed. As a result, privacy is referenced in multiple places throughout the CSF Profile where cybersecurity and privacy risks overlap. NIST plans to address the broader privacy landscape for genomic data by creating a Profile using the NIST Privacy Framework: A Tool for Improving Privacy Through Enterprise Risk Management (“Privacy Framework”). Once created, the Privacy Framework Profile for Genomic Data should be used as a complementary tool to this CSF Profile. ゲノムデータに関する CSF プロファイルは、現行のサイバーセキュリティ標準、規制、及び業界 ガイドラインを補完するものであり、これに代わるものではない。組織は、サイバーセキュリティの能力と管理の優先順位を決定し、実施する際に、その組織 に固有の義務、運用環境、及び「ミッション目標」を考慮す べきである。本 CSF プロファイルの焦点はサイバーセキュリティであるが、ヒトゲノムデータが処 理される場合は常に、プライバシーリスクマネジメントについても考慮しなければならない。その結果、プライバシーは、サイバーセキュリティリスクとプライバシ ーリスクが重複する CSF プロファイルの複数の箇所で言及されている。NIST は、NIST プライバシーフレームワークを用いてプロファイルを作成することにより、ゲ ノムデータに関するより広範なプライバシー状況に対処することを計画している:「 エンタープライズ・リスクマネジメントによるプライバシー向上ツール」(以下「プライバシーフレームワーク」という。) いったん作成されれば、ゲノムデータのためのプライバシーフレームワークプロファイルは、本 CSF プロファイルを補完するツールとして使用されるべきである。
Abstract 概要
Low-cost genomic sequencing technologies facilitate collection, sequencing, and analysis of vast quantities of genomic data, fueling our nation’s economic and health leadership posture. However, this valuable genomic information may not be protected with sufficient rigor commensurate with cybersecurity and privacy risks. In response, the National Institute of Standards and Technology (NIST) engaged genomic stakeholders across government, academia, and industry to inform the voluntary, risk-based guidance contained in this Cybersecurity Framework (CSF) Profile for Genomic Data. This Profile describes the primary Mission Objectives of organizations processing genomic data and identifies priority CSF Subcategories that can help organizations select and implement cybersecurity capabilities that support their mission. While this Profile shows intersections between cybersecurity and privacy risk management considerations for processing genomic data, it is focused only on the cybersecurity aspects of those intersections. Future work is planned to address broader privacy risk management considerations. The Profile is meant to supplement, not replace, current cybersecurity and privacy standards and industry guidelines that organizations already use to secure their genomic data. 低コストのゲノム配列決定技術により、膨大な量のゲノムデータの収集、配列決定、解析が容易になり、我が国の経済的、健康的リーダーとしての態勢に拍車がかかっている。しかし、この貴重なゲノム情報は、サイバーセキュリティやプライバシーリスクに見合った十分な厳密さで保護されていない可能性がある。これに対し、米国国立標準技術研究所(NIST)は、ゲノムデータに関するこのサイバーセキュリティフレームワーク(CSF)プロファイルに含まれる自主的なリスクベースのガイダンスに反映させるため、政府、学界、産業界のゲノム関係者を巻き込んだ。このプロファイルは、ゲノムデータを処理する組織の主要な ミッション目標を記述し、組織がそのミッションを支援するサイバーセキュリティ能力を選択し実装するのに役立つ優先的な CSF サブカテゴリーを特定する。このプロファイルは、ゲノムデータの処理に関するサイバーセキュリティとプライバシ ーリスクマネジメントの考慮事項の相互関係を示しているが、それらの相互関係のサイバーセ キュリティの側面にのみ焦点を当てている。今後、より広範なプライバシーリスクマネジメントの考慮事項を取り上げる予定である。本プロファイルは、組織がゲノムデータの安全性を確保するために既に使用している現行のサイバーセキュリテ ィおよびプライバシーに関する基準や業界ガイドラインを補完するものであり、取って代わるものではない。

 

 NISTIR 8467 (Draft)

20230624-52408

 

目次...

Executive Summary エグゼクティブサマリー
1. Introduction 1. 序文
1.1. Purpose 1.1. 目的
1.2. Scope 1.2. 適用範囲
1.3. Audience 1.3. 想定読者
1.4. Document Structure 1.4. 文書の構造
2. Overview of Genomic Data 2. ゲノムデータの概要
2.1. The Genomic Data Ecosystem and Bioeconomy 2.1. ゲノムデータのエコシステムとバイオエコノミー
2.2. Genomic Data Security and Privacy Concerns and Challenges 2.2. ゲノムデータのセキュリティとプライバシーに関する懸念と課題
2.3. Cybersecurity and Privacy Risk Relationship 2.3. サイバーセキュリティとプライバシーリスクの関係
2.3.1. Privacy Risk Management Overview 2.3.1. プライバシーリスク・マネジメントの概要
2.3.2. Cybersecurity and Privacy Risk Management for Genomic Data 2.3.2. ゲノムデータのサイバーセキュリティとプライバシーリスクマネジメント
3. The NIST Cybersecurity Framework 3. NIST サイバーセキュリティフレームワーク
3.1. The Cybersecurity Framework Core 3.1. サイバーセキュリティフレームワークの中核
3.2. CSF Profiles  3.2. CSF プロファイル 
3.3. Applying the Cybersecurity Framework to Genomic Data 3.3. サイバーセキュリティフレームワークのゲノムデータへの適用
4. Profile Development Methodology  4. プロファイル開発手法 
5. Genomic Data Mission Objectives  5. ゲノムデータのミッション目標 
5.1. Objective 1: Manage provenance and data integrity throughout the genomic data lifecycle 5.1. 目的1:ゲノムデータのライフサイクルを通じた出所とデータの完全性の管理
5.2.  Objective 2: Preserve privacy of relatives 5.2. 目的2:親族のプライバシーの保護
5.3. Objective 3: Identify, model, and address security and privacy risks to genomic data 5.3. 目的3:ゲノムデータのセキュリティとプライバシーのリスク特定、モデル化、対処
5.4. Objective 4: Manage informed consent throughout the genomic data lifecycle  5.4. 目的4:ゲノムデータのライフサイクルを通じたインフォームド・コンセントの管理
5.5. Objective 5: Preserve privacy of donors  5.5. 目的5:ドナーのプライバシー保護
5.6. Objective 6: Manage authorized data access 5.6. 目的6:許可されたデータへのアクセス管理
5.7. Objective 7: Maintain trust and manage reputational risk 5.7. 目標7:信頼の維持と風評リスク管理
5.8. Objective 8: Facilitate research and education to advance science and technology  5.8. 目的8:科学技術を発展させるための研究と教育の促進
5.9. Objective 9: Maintain compliance to laws and regulations  5.9. 目標9:法令遵守の維持 
5.10. Objective 10: Protect intellectual property 5.10. 目標10:知的財産の保護
5.11. Objective 11: Enable and preserve sample diversity  5.11. 目標11:サンプルの多様性の確実化と維持 
5.12. Objective 12: Promote the use of secure platforms for the controlled sharing of genomic data 5.12. 目的12:ゲノムデータの管理された共有のための安全なプラットフォームの利用の促進
6. Priority Subcategories by Mission Objective 6. ミッション目標別の優先サブカテゴリー
References 参考文献
Appendix A. List of Symbols, Abbreviations, and Acronyms 附属書A. 記号、略語、頭字語のリスト
Appendix B. Glossary 附属書B. 用語集

 

エグゼクティブサマリー...

 

Executive Summary  要旨 
The National Institute of Standards and Technology (NIST) National Cybersecurity Center of Excellence (NCCoE) engaged stakeholders across government, academia, and industry to better understand the current state of the cybersecurity challenges facing the genomics community. This collaboration led to NIST publishing NIST Internal Report (NISTIR) 8432, The Cybersecurity of Genomic Data, an overview of the challenges and opportunities with genomic data cybersecurity. As a follow-on effort, the NCCoE collaborated with a diverse subset of stakeholders to conduct working sessions focused on gathering the information needed to develop this Cybersecurity Framework (CSF) Profile for Genomic Data.   米国国立標準技術研究所(NIST)の国立サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)は、ゲノミクスコミュニティが直面するサイバーセキュリティの課題の現状をよりよく理解するために、政府、学界、産業界の関係者を巻き込んだ。この協力により、NISTはNIST 内部報告 (NISTIR) 8432「ゲノムデータのサイバーセキュリティ」を発表し、ゲノムデータのサイバーセキュリティに関する課題と機会を概観した。これに続く取り組みとして、NCCoE は多様な利害関係者のサブセットと協力し、このゲノムデータ用サイ バーセキュリティフレームワーク(CSF)プロファイルの策定に必要な情報の収集に焦点を当てたワーキングセッションを実施した。 
The CSF Profile for Genomic Data provides voluntary guidance to help organizations manage and reduce cybersecurity risks for systems, networks, and assets (collectively referred to as ‘systems’ in the document[1]) that process any type of genomic data. Human genomic data plays a significant role in the bioeconomy. While the focus of this CSF Profile is cybersecurity, whenever human genomic data is processed, privacy risk management considerations must also be addressed. As a result, privacy is referenced in multiple places throughout this CSF Profile where cybersecurity and privacy risks overlap. NIST plans to address the broader privacy landscape for genomic data by creating a Profile using the NIST Privacy Framework: A Tool for Improving Privacy Through Enterprise Risk Management (“Privacy Framework”). Once created, the Privacy Framework Profile for Genomic Data should be used as a complementary tool to this CSF Profile.  ゲノムデータ用 CSF プロファイルは、あらゆる種類のゲノムデータを処理するシステム、ネット ワーク、資産(文書[1]では総称して「システム」と呼ぶ)のサイバーセキュリティリスクを組織が管理し、 低減するのに役立つ自主的なガイダンスを提供する。ヒトゲノムデータはバイオエコノミーにおいて重要な役割を果たしている。本 CSF プロファイルの焦点はサイバーセキュリティであるが、ヒトゲノムデータが処理さ れる場合は常に、プライバシーのリスクマネジメントも考慮しなければならない。その結果、プライバシーは、サイバーセキュリティリスクとプライバシ ーリスクが重複する本 CSF プロファイルの複数の箇所で言及されている。NIST は、NIST プライバシーフレームワークを用いてプロファイルを作成することにより、ゲ ノムデータに関するより広範なプライバシー状況に対処することを計画している: 「エンタープライズ・リスク管理を通じてプライバシーを改善するツールt」(以下「プライバシーフレームワーク」という。) いったん作成されたゲノムデータ用プライバシーフレームワークプロファイルは、本 CSF プロファイルを補完するツールとして使用されるべきである。
This CSF Profile identifies 12 genomic-related Mission Objectives and the prioritized relevant CSF Subcategories to help organizations protect genomic data throughout the data lifecycle. Prioritizing cybersecurity capabilities based on their organization’s Mission Objectives can inform cybersecurity decision-making. The Profile is intended to supplement, not replace, existing cybersecurity activities, practices, policies, and guidance. Organizations should consider their unique obligations, operating environment, and Mission Objectives when prioritizing and implementing cybersecurity capabilities and controls.  この CSF プロファイルは、組織がデータのライフサイクル全体を通じてゲノムデータを保護す るために役立つ 12 のゲノム関連 ミッション目標 と優先順位付けされた関連 CSF サブカテゴリーを特定する。組織の ミッション目標 に基づいてサイバーセキュリティ能力の優先順位を決定することで、サイ バーセキュリティの意思決定に役立てることができる。このプロファイルは、既存のサイバーセキュリティ活動、実践、方針、ガイダンスに取って代わ るものではなく、それらを補完することを意図している。組織は、サイバーセキュリティの能力と統制に優先順位をつけて実施する際に、組織固有の義務、運用環境、および「ミッション目標」を考慮すべきである。
Cyber attacks targeted at systems that process genomic data could impact the confidentiality, integrity, and availability of that data, introducing economic, privacy, discrimination, and national security risks. Organizations rely on genomic data sharing to advance scientific and medical research, improve health outcomes, and compete within the bioeconomy and thus genomic data often needs to be aggregated from multiple sources. The selection of cybersecurity and privacy capabilities for genomic data is complicated by the broad and diverse nature of the genomics community, including biopharmaceutical research, healthcare, law enforcement, and agriculture. In addition, organizations that share data with stakeholders in multiple countries may have requirements for protecting genomic data or the cross-border transfer of data.   ゲノムデータを処理するシステムを標的にしたサイバー攻撃は、そのデータの機密性、完全性、及び可用性に影響を及ぼし、経済的、プライバシー、差別、及び国家安全保障上のリスクをもたらす可能性がある。科学的・医学的研究の進展、健康転帰の改善、バイオエコノミー内での競争などのために、組織はゲノムデータの共有に依存している。ゲノムデータに対するサイバーセキュリティとプライバシー機能の選択は、バイオ医薬品研究、ヘルスケア、法執行機関、農業など、ゲノミクスコミュニティの広範で多様な性質によって複雑になっている。加えて、複数の国の利害関係者とデータを共有する組織は、ゲノムデータの保護やデータの国境を越えた移転に関する要件を有している可能性がある。 
Organizations processing genomic data can use this Profile to:   ゲノムデータを処理する組織は、このプロファイルを利用して以下のことができる:  
•       Understand genomic data cybersecurity considerations   ・ゲノムデータのサイバーセキュリティに関する考慮事項を理解する。
•       Assess current organizational cybersecurity practices to identify gaps and areas of improvement for existing practices or infrastructure  ・現在の組織のサイバーセキュリティ慣行を評価し,既存の慣行やインフラストラクチャーのギャップや改善点を特定する。
•       Develop individualized organizational Current (As-Is) and Target (To-Be) Profiles  - 組織の現状(As-Is)と目標(To-Be)のプロファイルを個別に作成する。
•       Prioritize investments in cybersecurity capabilities aligned to the CSF Subcategories identified as most important to support organizational Mission Objectives  ・組織のミッション目標をサポートするために最も重要であると特定された CSF のサブカテゴリーに沿ったサイバーセキュリティ能力への投資の優先順位を決定する。
•       Understand the relationship between cybersecurity and privacy risk management  ・サイバーセキュリティとプライバシーのリスクマネジメントの関係を理解する。
[1] The CSF uses the term asset to describe “the data, personnel, devices, systems, and facilities that enable the organization to achieve business purposes” (ID.AM).  [1] CSF では、アセットという用語を使用して、「組織が事業目的を達成することを可能にするデータ、人 員、デバイス、システム、設備」を説明している(ID.AM)。

 


 

参考情報...

まるちゃんの情報セキュリティ気まぐれ日記

・2023.03.05 NISTIR 8432(ドラフト) ゲノムデータのサイバーセキュリティ

 

 

| | Comments (0)

欧州委員会 欧州経済安全保障戦略に関する共同コミュニケ

こんにちは、丸山満彦です。

欧州委員会が、欧州の経済安全保障戦略に関する共同コミュニケを発表していますね。。。

地政学的緊張の高まりと加速する技術革新の中で、経済開放とダイナミズムを最大限に維持しつつ、特定の経済の流れから生じるリスクを最小限に抑えることに焦点を当てているとのことです。。。

この経済安全保障戦略はハイブリッド戦の文脈での見方も必要なんでしょうね。。。

 

次の4つの分野で経済的安全保障に対するリスクを評価することを提案していますね。。。

  • エネルギー安全保障を含むサプライチェーンのレジリエンスに対するリスク;
  • 重要インフラの物理的・サイバー的セキュリティするリスク;
  • 技術セキュリティおよび技術漏洩に関するリスク;
  • 経済的依存関係や経済的強制が武器化される危険性がある。

 

 European Commission(欧州委員会)

プレス...

・2023.06.20 An EU approach to enhance economic security

 

European Unison - External Action(欧州外交部)

・2023.06.23 Economic security: a new horizon for EU foreign and security policy

 

経済安全保障戦略に関する共同コミュニケ

EUR-Lex

・2023.06.20 JOINT COMMUNICATION TO THE EUROPEAN PARLIAMENT, THE EUROPEAN COUNCIL AND THE COUNCIL ON “EUROPEAN ECONOMIC SECURITY STRATEGY”

・[PDF] EN

20231102-33308

 

・[DOCX] EN

・[HTML] EN

 

 

 

 


<2023.10.05 追記>

「技術セキュリティおよび技術漏えいに関するリスク」については、次の4つの分野を強調していますね。。。

  • 先端半導体技術(マイクロエレクトロニクス、フォトニクス、高周波チップ、半導体製造装置);
  • 人工知能技術 (ハイパフォーマンスコンピューティング、クラウドコンピューティング、エッジコンピューティング、データ分析、コンピュータビジョン、言語処理、物体認識);
  • 量子技術(量子コンピュータ、量子暗号、量子通信、量子センシング、量子レーダー);
  • バイオテクノロジー(遺伝 子組み換え技術、新しいゲノム技術、遺伝子ドライブ、合成生物学)。

・2023.10.03 Commission recommends carrying out risk assessments on four critical technology areas: advanced semiconductors, artificial intelligence, quantum, biotechnologies

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.12.18 国家安全保障戦略が閣議決定されましたね。。。(2022.12.16) 対英訳付き...

・2022.10.14 米国 国家安全保障戦略

 

 

| | Comments (0)

2023.06.23

世界経済フォーラム (WEF) グローバル・ジェンダーギャップ報告書 2023 (政治参画は146カ国中138位)

こんにちは、丸山満彦です。

世界経済フォーラム (WEF)がグローバル・ジェンダーギャップ報告書の2023年版を公表していますね。。。

日本は総合で、125位(146カ国中)というすごい状況です。。。足をひっぱっているのが、政治と経済、、、2006年から傾向として悪化の一途です。

特に政治。。。政治にいたっては、146カ国中138位...。でも、指数は下がっているけど順位はあがっています(^^;;

女性議員の少なさが問題のようですね。。。

 

1_20230623062201

 

1_20230623062501

 

指数をみると日本はほぼ同じ。。。でも、順位は下がっている。。。

日本が停滞しているのは、世界がかわっていっているのに、日本が変わっていっていないからかもしれませんね。。。取り残される日本...

 

政治の分野で日本より下の国...

フィジー
オマーン
ミャンマー
ナイジェリア
イラン
レバノン
バヌアツ
アフガニスタン

だけです。。。

 

日本より少し上の国...

クウェート
ブルネイ
アルジェリア
アゼルバイジャン
カタール
ガンビア
サウジアラビア
ハンガリー
コモロ
シエラレオネ


World Economic Forum - Whitepaper

・2023.06.20 Global Gender Gap Report 2023

 

Global Gender Gap Report 2023 グローバル・ジェンダーギャップ報告書 2023
The Global Gender Gap Index annually benchmarks the current state and evolution of gender parity across four key dimensions (Economic Participation and Opportunity, Educational Attainment, Health and Survival, and Political Empowerment). It is the longest-standing index tracking the progress of numerous countries’ efforts towards closing these gaps over time since its inception in 2006. グローバル・ジェンダー・ギャップ指数は毎年、4つの主要な次元(経済参加と機会、教育達成、健康と生存、政治的エンパワーメント)におけるジェンダー平等の現状と進展をベンチマークしている。この指標は、2006年の開始以来、長期にわたってこれらの格差の解消に向けた多くの国々の努力の進捗状況を追跡している、最も長い歴史を持つ指標である。

 

・[PDF] Global Gender Gap Report 2023

20230623-63211

 

日本についてはP217, P218に詳細なものがありますね。。。

 

これは私がまとめた日本の推移...

経済参画 教育 健康 政治参画 経済参画 教育 健康 政治参画 総合 国数
2006年 0.545 0.986 0.980 0.067 0.645 83 60 1 83 80 115
2007年 0.549 0.986 0.979 0.067 0.645 97 69 37 94 91 128
2008年 0.544 0.985 0.979 0.065 0.643 102 82 38 107 98 130
2009年 0.550 0.985 0.979 0.065 0.645 108 84 41 110 101 134
2010年 0.572 0.986 0.980 0.072 0.652 101 82 1 101 94 134
2011年 0.567 0.986 0.980 0.072 0.651 100 80 1 101 98 135
2012年 0.576 0.987 0.979 0.070 0.653 102 81 34 110 101 135
2013年 0.584 0.976 0.979 0.060 0.650 104 91 34 118 105 136
2014年 0.618 0.978 0.979 0.058 0.658 102 93 37 129 104 142
2015年 0.611 0.988 0.979 0.103 0.670 106 84 42 104 101 145
2016年 0.569 0.990 0.979 0.103 0.660 118 76 40 103 111 144
2017年 0.580 0.991 0.98 0.078 0.657 114 74 1 123 114 144
2018年 0.595 0.994 0.979 0.081 0.662 117 65 41 125 110 149
2020年 0.598 0.983 0.979 0.049 0.652 115 91 40 144 121 153
2021年 0.604 0.983 0.973 0.061 0.656 117 92 65 147 120 156
2022年 0.564 1.000 0.973 0.061 0.650 121 1 63 139 116 146
2023年 0.561 0.997 0.973 0.057 0.647 123 47 59 138 125 146

 

Key Findings

Full Report

Infographics

Economy Profiles

User Guide

Gender Equality Is Stalling: 131 Years to Close the Gap

 

 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.06.15 経団連 「男性の家事・育児」に関するアンケ―ト調査結果 (2023.06.05)

・2023.04.03 米国 米サイバー軍 科学・技術・サイバースペースの未来に図らずも挑戦した女性たち

・2023.03.14 CISA より多くの若い女性をサイバーセキュリティに導くためにガールスカウトUSAと連携を強化

・2023.03.14 CISAとWomen in CyberSecurityがパートナーシップを強化し、サイバーと技術におけるジェンダーギャップを解消へ

 

| | Comments (0)

ビルゲーツ氏の訪中、ブリンケン米国務長官の訪中

こんにちは、丸山満彦です。

習近平国家主席は、2023.06.16にビル&メリンダ・ゲイツ財団のビル・ゲイツ共同会長(米国)と会談し、2023.06.19にブリンケン米国務長官と会談しましたね。。。

中国政府に掲載されている写真の比較...

1_20230623050001

 

 

 

中华人民共和国中央人民政府

・2023.06.16 习近平会见美国比尔及梅琳达·盖茨基金会联席主席比尔·盖茨

习近平会见美国比尔及梅琳达·盖茨基金会联席主席比尔·盖茨 習近平主席、ビル&メリンダ・ゲイツ財団のビル・ゲイツ共同会長と会談
新华社北京6月16日电 6月16日,国家主席习近平在北京会见美国比尔及梅琳达·盖茨基金会联席主席比尔·盖茨。 北京6月16日(新華社)】習近平国家主席は16日、北京で米ビル&メリンダ・ゲイツ財団のビル・ゲイツ共同会長と会談した。
习近平对盖茨及其基金会长期致力于促进全球减贫、卫生、发展及公益慈善事业表示赞赏。习近平强调,当前,世界百年未有之大变局加速演进,我提出全球发展倡议、全球安全倡议、全球文明倡议,目的是为解决全球性挑战提供中国方案。中国首先专注于解决好自己的问题。中国作为一个拥有14亿多人口的大国,保持长期稳定和持续发展,就是对世界和平、稳定、繁荣的重大贡献。我们要巩固脱贫攻坚成果,实现乡村振兴,不断提高农村卫生健康水平。 習近平国家主席は、ゲイツ氏とゲイツ財団の世界的な貧困削減、健康、開発、慈善活動の推進に対する長期的なコミットメントに感謝の意を表した。 習主席は、現在、世界は100年に一度の未曾有の変化を迎えており、私はグローバルな課題に対する中国の解決策を提供することを目的に、グローバル開発イニシアティブ、グローバル安全保障イニシアティブ、グローバル文明イニシアティブを提唱した、と強調した。 中国はまず自国の問題を解決することに重点を置いている。 14億人以上の人口を抱える大国として、中国の長期的な安定と持続的な発展は、世界の平和、安定、繁栄に大きく寄与するものである。 我々は、貧困撲滅の成果を確固たるものとし、農村の活性化を達成し、農村の健康を継続的に改善する必要がある。
习近平强调,中国致力于以中国式现代化全面推进中华民族伟大复兴,我们决不走国强必霸的老路,而是同其他国家一道实现共同发展,推动构建人类命运共同体。中方愿同世界各国开展广泛科技创新合作,积极参与并推动应对气候变化、抗击疫情、公共卫生等全球性挑战。中方愿同比尔及梅琳达·盖茨基金会继续加强相关领域合作,并向其他发展中国家提供力所能及的支持和帮助。 習主席は、中国は中国式の現代化を通じて中華民族の偉大な若返りを全面的に推進することを約束し、決して覇権を求める強国の古い道をたどらず、他国と協力して共通の発展を実現し、人類運命共同体の構築を推進すると強調した。 中国は、世界各国と広範な科学技術革新協力を行い、気候変動、疫病対策、公衆衛生などのグローバルな課題に積極的に参加し、その解決に貢献することを望んでいる。 中国は、ビル・アンド・メリンダ・ゲイツ財団との関連分野における協力を引き続き強化し、その能力の範囲内で他の発展途上国に支援と援助を提供することを望んでいる。
习近平对盖茨说,你是我今年在北京会见的第一位美国朋友。世界正在走出新冠疫情,人们应该多走动、多交流,增进了解。我常讲,中美关系的基础在民间,我们始终寄希望于美国人民,希望两国人民友好下去。 あなたは今年、私が北京で会った最初のアメリカの友人だ。 世界は新型コロナの流行から抜け出しつつあり、人々はもっと動き回り、もっとコミュニケーションをとり、理解を深めるべきだ。 私は常々、中米関係の基礎は人々の間にあると言っており、我々は常にアメリカの人々に目を向け、両国民が友好的であり続けることを願っている」と述べた。
盖茨介绍了对华合作进展情况及未来设想,表示,中国在减贫和应对新冠疫情方面取得举世瞩目的巨大成就,为世界树立了很好榜样。近年来,比尔及梅琳达·盖茨基金会和中国开展了良好合作,取得显著进展。中国加快创新发展,对中国有利、对发展中国家有利、对世界有利。基金会致力于同中国进一步加强创新、全球减贫、公共卫生、药物研发、农村农业等领域合作,并将成功经验和技术向发展中国家推广。 ゲイツ氏は、中国との協力の進展と今後のビジョンを紹介し、中国は貧困削減や新型コロナ伝染病への対応で大きな成果を上げ、世界の模範となっていると述べた。 近年、ビル&メリンダ・ゲイツ財団と中国は良好な協力関係を築き、目覚ましい発展を遂げている。 中国の加速するイノベーションの発展は、中国にとっても、発展途上国にとっても、そして世界にとっても良いことである。 ビル&メリンダ・ゲイツ財団は、イノベーション、世界の貧困削減、公衆衛生、医薬品研究開発、農村農業の分野で中国との協力をさらに強化し、成功した経験や技術を発展途上国に広めることを約束する。
王毅、秦刚等参加会见。 王毅と秦剛が会談に出席した。

 

ブリンケン国務長官

・2023.06.19 习近平会见美国国务卿布林肯

习近平会见美国国务卿布林肯 習近平、ブリンケン米国務長官と会談
新华社北京6月19日电(记者 刘华)6月19日下午,国家主席习近平在北京会见美国国务卿布林肯。 北京6月19日新華社】習近平国家主席は19日午後、北京でブリンケン米国務長官と会談した。
习近平强调,世界在发展,时代在变化。世界需要总体稳定的中美关系,中美两国能否正确相处事关人类前途命运。宽广的地球完全容得下中美各自发展、共同繁荣。中国人民和美国人民一样,都是自尊自信自强的人民,都拥有追求美好生活的权利,两国之间存在的共同利益应该得到重视,各自取得成功对彼此都是机遇而非威胁。当前,国际社会普遍对中美关系现状感到担忧,不希望看到两国冲突对抗,不愿在中美之间选边站队,期盼中美和平共处、友好合作。两国应该本着对历史、对人民、对世界负责的态度,处理好中美关系,为全球和平与发展作出贡献,为变乱交织的世界注入稳定性、确定性、建设性。 習近平主席は、世界は発展しており、時代は変化していると強調した。 世界は全般的に安定した中米関係を必要としており、中米が正しく付き合うことができるかどうかは、人類の将来の運命に関わる問題だ。 広い地球は中米それぞれの発展と共同繁栄を受け入れることができる。 中国人民はアメリカ人民と同様、自尊心と自信を持ち、より良い生活を追求する権利を持つ自己改善型の人民である。 両国の間に存在する共通の利益は大切にされるべきであり、両国の成功は互いにとって脅威ではなくチャンスである。 現在、国際社会は総じて中米関係の現状を憂慮しており、両国の対立や衝突を望んでおらず、中米のどちらかを選ぶことを望んでおらず、中米の平和的共存、友好、協力を期待している。 両国は歴史、人民、世界に対して責任ある態度で中米関係を扱い、世界の平和と発展に貢献し、絡み合う変化の世界に安定性、確実性、建設性を注入すべきである。
习近平指出,大国竞争不符合时代潮流,更解决不了美国自身的问题和世界面临的挑战。中国尊重美国的利益,不会去挑战和取代美国。同样,美国也要尊重中国,不要损害中国的正当权益。任何一方都不能按照自己的意愿塑造对方,更不能剥夺对方正当发展权利。中方始终希望中美关系能够健康稳定,相信两个大国能够排除万难,找到相互尊重、和平共处、合作共赢的正确相处之道。希望美方采取理性务实态度,同中方相向而行,共同努力,坚持我同拜登总统巴厘岛会晤达成的共识,把有关积极表态落实到行动上,让中美关系稳下来、好起来。 習主席は、大国間競争は時代の趨勢にそぐわず、アメリカ自身の問題や世界が直面する課題を解決するものではないと指摘した。 中国は米国の利益を尊重し、それに挑戦したり取って代わったりはしない。 同様に、米国も中国を尊重し、その正当な権利と利益を損なわないようにすべきである。 いずれの当事国も、自らの願望に従って他方を形成することはできず、ましてや他方の合法的な発展権を奪うことはできない。 中国は常に健全で安定した中米関係を望んでおり、2つの主要国があらゆる困難を乗り越え、相互尊重、平和共存、ウィンウィンの協力のもと、互いにうまくやっていく正しい道を見つけることができると信じている。 われわれは、米側が理性的で現実的な態度をとり、中国側と同じ方向に進み、共同で努力し、バリでのバイデン大統領との会談で得られたコンセンサスを堅持し、関連する前向きな発言を実行に移し、中米関係が安定し、改善することを希望する。
布林肯转达拜登总统对习近平主席的问候,表示,拜登总统相信美中两国有责任和义务管理好双边关系,这符合美国、中国乃至世界的利益。美方致力于重回两国元首巴厘岛会晤确定的议程。美方遵守拜登总统作出的承诺,不寻求“新冷战”、不寻求改变中国制度、不寻求通过强化盟友关系反对中国、不支持“台湾独立”、无意同中国发生冲突,期待同中方开展高层交往,保持畅通沟通,负责任地管控分歧,寻求对话交流合作。 習近平国家主席にバイデン大統領の挨拶を伝えたブリンケン氏は、バイデン大統領は、米中は二国間関係を良好に管理する責任と義務があり、それは米国、中国、世界の利益になると考えていると述べた。 米国側は、両首脳がバリでの会談で設定した議題に戻ることを約束する。 米国は、「新たな冷戦」を求めず、中国の体制を変えようとせず、対中同盟を強化しようとせず、「台湾独立」を支持せず、中国との衝突を求めないというバイデン大統領の公約を守り、中国側とのハイレベルな関与を期待する。 習近平は、中国とのハイレベルな接触、オープンなコミュニケーションの維持、責任ある相違の管理、対話・交流・協力の模索を期待した。
习近平请布林肯转达对拜登总统的问候。 習近平はバイデン大統領に挨拶を伝えるようブリンケンに要請した。
王毅、秦刚等参加会见。 会談には王毅と秦剛が出席した。

 

外交部のウェブページにはニュース動画も...

・2023.06.19 习近平会见美国国务卿布林肯

王毅、秦刚等参加会见。

1_20230623053401


 

米国側の報道は、国務省のウェブページだけでWhite Houseのウェブページにはなかったような。。。

U.S. Department of State

・2023.06.19 Secretary Blinken’s Visit to the People’s Republic of China (PRC)

Secretary Blinken’s Visit to the People’s Republic of China (PRC) ブリンケン長官の中華人民共和国訪問
The following is attributable to Spokesperson Matthew Miller: 以下は、マシュー・ミラー報道官による:
Secretary of State Antony J. Blinken traveled to Beijing, the People’s Republic of China for meetings with President Xi Jinping, Director of the CCP Central Foreign Affairs Office Wang Yi, and State Councilor and Foreign Minister Qin Gang from June 18-19. ブリンケン国務長官は6月18日から19日にかけて、習近平国家主席、王毅中国共産党中央対外連絡弁公室主任、秦剛国務委員兼外相と会談するため、中華人民共和国の北京を訪問した。
The two sides had candid, substantive, and constructive discussions on key priorities in the bilateral relationship and on a range of global and regional issues.  The Secretary emphasized the importance of maintaining open channels of communication across the full range of issues to reduce the risk of miscalculation.  He made clear that while we will compete vigorously, the United States will responsibly manage that competition so that the relationship does not veer into conflict.  The Secretary stressed that the United States would continue to use diplomacy to raise areas of concern as well as areas of potential cooperation where our interests align. 双方は、二国間関係における重要な優先事項や、さまざまな世界的・地域的問題について、率直かつ実質的で建設的な協議を行った。 長官は、誤算のリスクを減らすため、あらゆる問題にわたって開かれた意思疎通のチャンネルを維持することの重要性を強調した。 長官は、われわれは激しく競争するが、米国はその競争を責任を持って管理し、二国間関係が対立に陥らないようにする、と明言した。 同長官は、米国は引き続き外交を通じ、懸念分野だけでなく、両国の利害が一致する潜在的な協力分野も提起していくと強調した。
The two sides agreed to continue discussions on developing principles to guide the bilateral relationship, as discussed by President Biden and President Xi in Bali.  They also welcomed ongoing efforts to address specific issues in the bilateral relationship, and encouraged further progress, including through the joint Working Groups.  Noting the importance of ties between the people of the United States and the PRC, both sides welcomed strengthening people-to-people exchanges between students, scholars, and business.  This includes a commitment to working to increase the number of direct flights between the two countries. 双方は、バリでバイデン大統領と習主席が話し合ったように、二国間関係の指針となる原則の策定について議論を続けることで合意した。  双方はまた、二国間関係における特定の問題に対処するための継続的な努力を歓迎し、共同作業部会を含む更なる進展を奨励した。 米中両国民の結びつきの重要性に言及し、双方は学生、学者、企業間の人的交流の強化を歓迎した。 これには、両国間の直行便の増便に取り組むことも含まれる。
Secretary Blinken emphasized that it remains a priority for the United States to resolve the cases of American citizens who are wrongfully detained or subject to exit bans in China.  He underscored the importance of working together to disrupt the global flow of synthetic drugs and their precursor chemicals into the United States, which fuels the fentanyl crisis. ブリンケン長官は、中国で不当に拘束されたり、出国禁止の対象となっている米国民のケースを解決することは、米国にとって引き続き優先事項であると強調した。 また、フェンタニルの危機を煽っている合成麻薬とその前駆物質の米国への世界的な流入を阻止するために協力することの重要性を強調した。
The Secretary addressed the PRC’s unfair and nonmarket economic practices and recent actions against U.S. firms.  He discussed U.S. de-risking policies and the historic domestic investments the Administration has made.  The Secretary raised concerns about PRC human rights violations in Xinjiang, Tibet, and Hong Kong, as well as individual cases of concern.  He emphasized that the United States will always stand up for our values. 同長官は、中国の不公正で非市場的な経済慣行と、米国企業に対する最近の措置について言及した。 同長官は、米国の脱リスク政策と、同政権が行ってきた歴史的な国内投資について述べた。 長官は、新疆ウイグル自治区、チベット、香港における中国の人権侵害や、懸念される個々の事例について懸念を表明した。 長官は、米国は常に我々の価値観のために立ち上がることを強調した。
The Secretary underscored the importance of maintaining peace and stability across the Taiwan Strait and reiterated there has been no change to the U.S. one China policy, based on the Taiwan Relations Act, the three Joint Communiques, and the Six Assurances. 長官は、台湾海峡の平和と安定を維持することの重要性を強調し、台湾関係法、3つの共同コミュニケ、6つの保証に基づく米国の一つの中国政策に変更はないことを改めて強調した。
The two sides discussed a range of global and regional security issues, including Russia’s war of aggression against Ukraine, the DPRK’s provocative actions, and U.S. concerns with PRC intelligence activities in Cuba.  The Secretary made clear that the United States will work with its allies and partners to advance our vision for a world that is free, open, and upholds the rules-based international order. 双方は、ロシアのウクライナに対する侵略戦争、朝鮮民主主義人民共和国の挑発的行動、キューバにおける中国の諜報活動に対する米国の懸念など、世界および地域の安全保障問題について話し合った。 長官は、米国が同盟国やパートナーと協力し、自由で開かれた、ルールに基づく国際秩序を維持する世界のビジョンを推進していくことを明らかにした。
The two sides underscored that the United States and China should work together to address shared transnational challenges, such as climate change, global macroeconomic stability, food security, public health, and counter-narcotics.  The Secretary encouraged further interaction between our governments on these and other areas, which is what the world expects of us. 双方は、気候変動、世界マクロ経済の安定、食糧安全保障、公衆衛生、麻薬対策など、国境を越えた共通の課題に取り組むため、米中両国が協力すべきであることを強調した。 同長官は、こうした分野やその他の分野での日米両政府のさらなる交流を促した。
Both sides agreed on follow-on senior engagements in Washington and Beijing to continue open lines of communication.  The Secretary invited State Councilor and Foreign Minister Qin to Washington to continue the discussions, and they agreed to schedule a reciprocal visit at a mutually suitable time. 双方は、ワシントンと北京において、引き続き上級幹部との会合を行い、開かれた意思疎通を継続することで合意した。 長官は、秦国務委員と外相をワシントンに招き、協議を継続させるとともに、相互に適切な時期に相互訪問を行うことで合意した。

 

 

記者からのインタビュー

・2023.06.19 Secretary Antony J. Blinken with Margaret Brennan of CBS News

Secretary Antony J. Blinken with Margaret Brennan of CBS News アントニー・J・ブリンケン長官とCBSニュースのマーガレット・ブレナン記者
QUESTION:  Thank you for making time after an extremely long and intense past two days of talks.  Your message has consistently been that you are here to open up lines of communication to avoid a military clash, but you just said China did not agree to open that military-to-military line of talks.  Did Xi Jinping just say no? 質問:この2日間の非常に長く激しい会談の後、時間を作っていただきありがとうございます。  あなたのメッセージは一貫して、軍事衝突を避けるために意思疎通のラインを開くためにここにいるということですが、中国が軍事対軍事会談のラインを開くことに同意しなかったと先ほどおっしゃいました。  習近平は拒否したのですか?
SECRETARY BLINKEN:  It’s a work in progress.  This is something that we need to do in the interests of both of our countries – that is, not only to establish and re-establish and strengthen lines of communication across our government, which we have done starting with this trip and, I believe, visits to follow by a number of my colleagues and then Chinese officials coming to the United States – hugely important if we’re going to responsibly manage the relationship, if we’re going to communicate clearly and try to avoid the competition that we have veering into conflict.  But an aspect of that that really is important is military to military.  We don’t have an agreement on that yet.  It’s something we’re going to keep working. ブリンケン長官:現在進行中です。  これは両国の利益のために必要なことです。つまり、政府間の意思疎通のラインを確立し、再確立し、強化することだけでなく、今回の訪米を皮切りに、私の同僚や中国高官が続々と訪米していますが、関係を責任を持って管理し、明確な意思疎通を図り、対立に発展するような競争を避けようとするならば、非常に重要なことです。  しかし、本当に重要なのは、軍事対軍事という側面です。  それについてはまだ合意していません。  それは、私たちがこれからも取り組んでいくことです。
I made very clear to our Chinese counterparts the importance that we attach to that, something that is also profoundly in their interests because, again, we both agree that we want to at the very least make sure that we don’t inadvertently — 中国側には、私たちがその点を重視していることを明確に伝えましたし、それは中国側の利益にも深くかかわっています。
QUESTION:  Right. 質問:そうですね。
SECRETARY BLINKEN:  — have a conflict because of miscommunication, because of misunderstanding. コミュニケーションや誤解が原因で対立が生じることがないようにしたい、という点では一致しています。
QUESTION:  So Xi Jinping didn’t say absolutely not?  It was just — 質問:習近平は「絶対にない」とは言っていないのですね?  ただ...
SECRETARY BLINKEN:  No, this is a work — ビンケン国務長官:いえ、これは仕事ですから......。
QUESTION:  — not a commitment? 質問:-約束ではないのですか?
SECRETARY BLINKEN:  This is a work in progress.  We’re working on it. ブリンケン長官:これは作業中です。  現在取り組んでいるところです。
QUESTION:  Will the defense chiefs at least talk to each other? 質問:少なくとも国防長官同士が話し合うのですか?
SECRETARY BLINKEN:  Well, again, to be seen.  We’ve made clear that we think that’s important – more than important, imperative.  I think the Chinese understand very well, because I made very clear, where we’re coming from on this and we’ll keeping working on it. ブリンケン長官:そうですね、まだわかりません。  私たちは、それが重要だと考えています。  中国側もよく理解してくれていると思います。
QUESTION:  During the Cold War, the U.S. and the Soviet Union had that hotline.  Is that the kind of thing you’re imagining?  How would this kind of communication work? 質問:冷戦時代、米ソはホットラインを持っていました。  あなたが想像しているのはそのようなものですか?  このようなコミュニケーションはどのように機能するのでしょうか?
SECRETARY BLINKEN:  It’s less a hotline and more regular engagement – regular communication so that they understand what we’re doing and not doing.  We understand what they’re doing and not doing.  We have greater clarity on each other’s intent in different places, and in particular when we have incidents – like the incidents that we just had a couple weeks ago with them driving their boats much too close to ours or their planes flying in very dangerous ways near ours – that we have a channel established that we can go to to deal with the problem. ブリンケン長官:ホットラインというよりは、定期的なコミュニケーションです。  私たちは、彼らが何をしていて、何をしていないのかを理解します。 特に、数週間前に起きたような、ボートが私たちのボートに近づきすぎたり、飛行機が私たちのボートの近くを非常に危険な方法で飛んだりするような事態が起きたときには、その問題に対処するためのチャンネルが確立されているのです。
QUESTION:  But that architecture just doesn’t exist right now with China. 質問:しかし、そのような枠組みは中国には存在しません。
SECRETARY BLINKEN:  Well, we of course have many ways to communicate with the Chinese Government.  It’s exactly what we’re doing.  And we’re seeing that now pick up in part as a result of this trip.  It’s fundamentally in our interests to do that.  But one aspect that remains is the military to military — ブリンケン長官:中国政府とコミュニケーションをとる方法はたくさんあります。  今回の訪中の結果、中国政府とのコミュニケーションが活発になってきています。  そうすることが基本的に私たちの利益になります。  しかし、残っている側面のひとつは、軍と軍との関係です......。
QUESTION:  Yeah. 質問:そうですね。
SECRETARY BLINKEN:  — and we’ll keep pressing it. ブリンケン長官: - そして、私たちはそれを強く求め続けます。
QUESTION:  Do you assess that China is not committing because they benefit somehow from ambiguity because it complicates the U.S. presence in the Pacific? 質問:中国がコミットしないのは、太平洋における米国のプレゼンスを複雑化させるため、曖昧にすることで何らかの利益を得ているからだと評価していますか?
SECRETARY BLINKEN:  Well, I don’t want to speak for them or attribute anything to them. ブリンケン長官:そうですね、私は彼らの代弁をするつもりはありませんし、彼らに何かを帰するつもりもありません。
QUESTION:  But you have a theory? 質問:しかし、あなたには理論があるのですか?
SECRETARY BLINKEN:  Well, we have some – we know that they have some concerns, including some of our sanctions, for example.  That’s a problem for them. ブリンケン長官:ええ、私たちにはいくつかの懸念があります。  それは彼らにとっての問題です。
QUESTION:  On the defense chief? 質問:国防長官については?
SECRETARY BLINKEN:  For example – which does not prevent at all contact or communication between the defense chief and Secretary Austin.  So, again, this is something that we’ve engaged on these past couple of days.  China knows exactly where we’re coming from, the importance that we attach to it, why we think it’s beneficial to both of us.  And as I said, we’ll keep working on it. ブリンケン長官:例えば、国防長官とオースティン長官との接触や意思疎通を妨げるものではありません。  ですから、繰り返しますが、これは私たちがここ数日取り組んできたことです。  中国は、私たちの立場、私たちがこの問題を重視していること、私たち双方にとって有益だと考える理由を正確に理解しています。  そして、申し上げたように、私たちはこの取り組みを続けていきます。
QUESTION:  Have you offered to lift the sanctions off of their defense secretary – their defense chief? 質問:国防長官、つまり国防長官の制裁解除を申し出ましたか?
SECRETARY BLINKEN:  It’s not necessary because, again, we’re – they’re perfectly able, we’re perfectly able to have these contacts with their defense chief. ブリンケン長官:その必要はありません。なぜなら、彼らの国防長官と接触することは完全に可能だからです。
QUESTION:  So that sounds like a no. 質問:それは必要ないということですか?
SECRETARY BLINKEN:  No. ブリンケン長官:必要ありません。
QUESTION:  There wasn’t – there wasn’t an offer.  The other thing that you really emphasized was the need to talk about fentanyl, which is killing Americans. 質問:申し出はありませんでした。  もうひとつ強調されたのは、アメリカ人を殺しているフェンタニルについて話す必要があるということでしたね。
SECRETARY BLINKEN:  Mm-hmm.  That’s right. ブリンケン長官:ええ。  その通りです。
QUESTION:  Do you believe that the Chinese state can really turn that up and turn that down? 質問:中国の国家は、本当にフェンタニルを増やし、減らすことができると思いますか?
SECRETARY BLINKEN:  Yes.  Yes.  We need to see much greater cooperation when it comes to fentanyl.  We’ve seen some of that in the past.  In fact, a few years ago, China actually scheduled fentanyl, made it – put it on a prohibited list.  And one result of that was that actually, manufactured fentanyl that had been coming to the United States from China, that pretty much went to zero.  What’s happened since, though, is that the chemicals that can be used to make fentanyl, the so-called precursors, those have been moving liberally to – primarily to Mexico where it gets turned into fentanyl and then winds up in the United States.  So part of the challenge is making sure that chemical manufacturers that are producing these precursors in China and then, in some cases, inadvertently sending it to the wrong people in Mexico or other places – sometimes intentionally, deliberately – that’s what’s got to stop. ブリンケン長官:はい。  そうです。  フェンタニルに関しては、もっと大きな協力が必要です。  過去にもそのようなことはありました。  実際、数年前、中国はフェンタニルを禁止リストに入れました。  その結果、中国から米国に流入していた製造フェンタニルは、ほぼゼロになりました。  しかしそれ以降、フェンタニルを製造するために使用される化学物質、いわゆる前駆物質が、主にメキシコに自由に移動し、そこでフェンタニルに変化して米国に流入するようになりました。  ですから、中国国内で前駆物質を製造している化学メーカーが、場合によってはメキシコやその他の場所で、意図的に、あるいは故意に、不注意にも誤った人々に前駆物質を送ってしまうことを阻止することが課題のひとつです。
I made very clear to China that this is an area where we want and need to see real cooperation.  As you said, this is a crisis for us.  The number one killer of Americans aged 18 to 49:  fentanyl.  So the best way to deal effectively with this problem across the board – we’re working, of course, on dealing with demand in the United States.  We’re dealing with law enforcement with Mexico.  We’re dealing with putting technology on our borders to detect fentanyl and other synthetic opioids, but we also want to go to the source, and that is these precursor chemicals. 私は中国に対し、この分野での真の協力が必要であることを明確に伝えました。  おっしゃるとおり、これは私たちにとって危機です。  18歳から49歳のアメリカ人を殺すナンバーワンはフェンタニルです。  ですから、この問題に全面的に効果的に対処する最善の方法は、もちろん米国内の需要に対処することです。 メキシコとの法執行にも取り組んでいます。  フェンタニルやその他の合成オピオイドを検出する技術を国境に導入することにも取り組んでいます。
I believe this is an area where the United States and China can and must work together.  It’s not about – it’s not about pointing fingers.  It’s simply finding a way to cooperate and to do it in a way that, for example, their companies get information sharing so that they really know who they’re dealing with on the other end; that we have better labeling; that we have these know your customer protocols so, again, they know that they’re not sending this stuff to people who are going to use it to turn it into fentanyl.  And in the case of companies that are doing this intentionally, deliberately, then of course, if we have information, we want China to act on it. これは米国と中国が協力できる分野であり、また協力しなければならない分野だと思います。  それは指を指すことではありません。  単に協力する方法を見つけることであり、例えば、中国側の企業が情報を共有することで、相手が誰なのかを本当に知ることができるようにすることです。  そして、意図的に、故意にこのようなことを行っている企業の場合は、もちろん、情報があれば、中国に行動してもらいたいと思います。
QUESTION:  I’ve had lawmakers in the U.S. say that this is done intentionally by the Chinese state.  Do you believe that? 質問:アメリカの議員たちは、これは中国国家が意図的に行っていることだと言っています。  それを信じますか?
SECRETARY BLINKEN:  So, all I can tell you is this:  We’ve seen cooperation from them in the past and that’s made a difference.  That halted more or less over the last few years.  They have issues that they’ve raised that – to try to explain why they’re not doing as much as they can. ブリンケン長官:ですから、私がお伝えできるのはこれだけです:  私たちは過去に彼らからの協力を見てきました。  それがここ数年、多かれ少なかれ止まりました。  彼らには、できる限りのことをしない理由を説明するために提起した問題があります。
QUESTION:  They’ve complained about sanctions again. 質問:彼らはまた制裁について文句を言ってきましたね。
SECRETARY BLINKEN:  They’ve complained about sanctions.  They’ve complained about the fact that they scheduled fentanyl and we haven’t.  And in fact, one of the things that we should do, regardless, is to schedule fentanyl.  But that doesn’t take the responsibility from them in working with us and cooperating.  And as I put it to them, this is an area where we can and should work together. ブリンケン長官:彼らは制裁に不満を抱いています。  彼らはフェンタニルを予定していて、私たちはしていないという事実に不満を抱いています。  実際、私たちがすべきことのひとつは、フェンタニルを規制することです。  しかし、だからといって、私たちと協力し、協力することの責任を彼らが負うことにはなりません。  私が彼らに言ったように、これは私たちが協力できる分野であり、協力すべき分野なのです。
And here’s the other thing, Margaret.  What’s happened in part is that our market in the United States, horrifically, has become saturated.  Last year we seized – we seized – enough fentanyl to kill every single American.  So the cartels, the criminal enterprises that are engaged in this, are trying to make markets in other places.  We’ve seen fentanyl use go up dramatically in Canada to the north, in Mexico itself, but also in other parts of Central and Latin America, and also in Europe we’re starting to see it, and in Asia.  That means that the demand on China from other countries, not just from us, to take effective action, I think, is only going to grow. そしてもうひとつ、マーガレット。  アメリカの市場は、恐ろしいことに飽和状態になっています。  昨年、私たちはアメリカ人全員を殺すのに十分な量のフェンタニルを押収しました。  そのため、麻薬カルテルやこれに関与する犯罪エンタープライズは、別の場所に市場を作ろうとしています。  フェンタニルの使用量は、北のカナダやメキシコだけでなく、中南米の他の地域でも劇的に増加しています。  つまり、私たちだけでなく他の国々からも、中国に対して効果的な行動をとるよう求める声は高まる一方だということです。
QUESTION:  Or they’re also seeing a financial benefit? 質問:あるいは、経済的な利益もあるのでしょうか?
SECRETARY BLINKEN:  Well, again, that may be the case, but that’s why we are sanctioning companies, individuals when we can find them.  We are taking law enforcement action, and we’ve made very – we’ve been very clear with China that we’ll continue to take those actions to protect our people. ブリンケン長官:そうかもしれません。しかし、そのために私たちは企業や個人を見つけ次第、制裁を行っているのです。  私たちは法執行措置をとっていますし、私たちの国民を保護するために今後もそのような措置をとり続けることを中国に対して明確にしています。
QUESTION:  For months now, the Biden administration has been talking about this restriction on outbound investment for American companies into China, particularly regarding sensitive national security issues.  Are you going to make any changes to that, based on what you heard during these last two days. 質問:バイデン政権はここ数カ月、特に国家安全保障上の機微な問題に関して、米国企業の中国への対外投資の制限について話してきました。  この2日間にあなたが聞いたことに基づいて、あなたはそれに何らかの変更を加えるつもりですか?
SECRETARY BLINKEN:  No, we’ve been on a course when it comes to outward – outbound investment.  I’m not going to get ahead of the news, but it’s something that we’re very actively working on.  What I did do during this trip was to try to explain very clearly what we’re doing and what we’re not doing.  What we’re not doing is trying to hold China back economically, to contain them.  What we’re not doing is decoupling the economic relationship.  That would be profoundly against our own interests.  Secretary Yellen, the Treasury Secretary, testified to this just a couple of weeks ago.  She said it would be disastrous to decouple our economies, economically.  We benefit tremendously from trade and investment when it’s fair, when it’s on the level.  One of the things that was very important for me to do on this trip was to advance concerns that our companies and workers have in China. ブリンケン長官:いいえ、対外投資に関しては、これまでと同じ方針です。  ニュースを先取りするつもりはありませんが、非常に積極的に取り組んでいることです。  今回の出張で私がしたことは、私たちが何をしているのか、何をしていないのかを明確に説明することでした。  私たちがやっていないことは、中国を経済的に抑えつけ、封じ込めようとすることではありません。  私たちがやっていないのは、経済関係を切り離すことです。  それは私たち自身の利益に大きく反するからです。  イエレン財務長官は、つい数週間前にこのことを証言しました。  イエレン財務長官はつい数週間前、このことについて証言しました。  貿易や投資が公平で、同水準であれば、私たちはそこから多大な利益を得ることができます。  今回の出張で私が重要視したことのひとつは、中国にいる私たちの企業や労働者が抱える懸念を前進させることでした。
But when it comes to particularly sensitive technology that China is using to advance its own very opaque nuclear weapons program, to build hypersonic missiles, to create technology that can be used for repressive purposes, it’s not in our interest to provide that to them or to sell that to them.  And similarly, when it comes to investments in enterprises, companies that may be engaged in some of this or may – or that may facilitate it, it’s not in our interest to do that. しかし、中国が非常に不透明な核兵器プログラムの推進や極超音速ミサイルの製造、抑圧的な目的に使用できる技術の開発に使用している、特に機密性の高い技術に関しては、それを提供したり販売したりすることは私たちの利益になりません。  同様に、このようなことに関与している可能性のある、あるいはそれを助長している可能性のある企業への投資に関しても、私たちの利益にはなりません。
So what I told our counterparts here is this is, for us, as we’ve said, about building a very high fence around a very small piece of land.  And that small piece of land has very sensitive technology that could be used against us.  We’re not going to let that happen. ですから、私たちが相手国に申し上げたのは、非常に小さな土地の周囲に非常に高いフェンスを築くということです。  そしてその小さな土地には、我々に対して使用される可能性のある非常に機密性の高い技術があります。  それを許すつもりはありません。
QUESTION:  Did you raise the listening post in Cuba that was recently disclosed, and you’ve talked about? 質問:最近公表されたキューバの盗聴拠点について、あなたは言及しましたか?
SECRETARY BLINKEN:  I did.  I did.  I’m not going to characterize their response, but I told them that this is a serious concern for us, and we — ブリンケン長官:しました。  しました。  しかし、これは私たちにとって深刻な懸念であり、私たちは......」と伝えました。
QUESTION:  How widespread is this in Latin America? 質問:これはラテンアメリカでどの程度広がっているのですか?
SECRETARY BLINKEN:  So we’ve been taking – we’ve been taking steps over the past couple of years, diplomatically.  Wherever we’ve seen China trying to create that kind of presence, we’ve been in there pushing back against it, and we’ve had some success in doing that.  This is nothing new, but it is something of real concern.  I was very clear about our concerns with China.  But regardless of that, we’ve been going around to various places where we see this kind of activity, trying to put a stop to it. ブリンケン長官:ですから、私たちはここ数年、外交的に対策を講じてきました。  中国がそのような存在感を示そうとしているところではどこでも、私たちはそれに反発してきました。  これは目新しいことではありませんが、本当に懸念すべきことです。  中国に対する懸念については明確に述べました。  しかし、それとは関係なく、私たちはこの種の活動を目にするさまざまな場所を回り、歯止めをかけようとしています。
QUESTION:  Did you get any commitment from Beijing to help push back against Kim Jong-un and his missile testing and his nuclear program? 質問:北京から、金正恩のミサイル発射実験や核開発計画を阻止するために協力するという約束を得ましたか?
SECRETARY BLINKEN:  No commitment, but I think China understands that the most destabilizing actor in the area is Kim Jong-un with his repeated missile tests and possibly even a seventh nuclear test. ブリンケン国務長官:約束はしていませんが、中国は、この地域で最も不安定化させているのは、ミサイル発射実験を繰り返し、おそらく7回目の核実験を行う金正恩であることを理解していると思います。
And here’s what I told our Chinese counterparts:  We want their cooperation in trying to move Kim Jong-un away from all this testing of missiles, and to a negotiating table to deal with the nuclear program, to deal with the missile program.  But if they can’t or won’t use their influence with North Korea to do that, for whatever reason, then we have to continue to take steps along with Korea, along with Japan, to protect ourselves, to protect our allies.  And these are steps that are not directed at China, including more defense assets right in the region – exercises, work together – not directed at China, but that China probably won’t like. 中国側にはこう伝えました:  私たちは、金正恩をミサイル実験から遠ざけ、核開発やミサイル開発の交渉のテーブルに着かせるために協力してほしいのです。  しかし、もし北朝鮮が何らかの理由でそのために影響力を行使できない、あるいは行使しようとしないのであれば、私たちは韓国や日本とともに、私たち自身を守り、同盟国を守るための措置を取り続けなければなりません。  そしてこれらの措置は、中国に向けたものではありません。この地域での防衛資産の増強、演習、共同作業など、中国に向けたものではありませんが、おそらく中国は好まないでしょう。
So, our expectation is that China will find ways to use the influence it has with North Korea.  Again, in the past we’ve had some success at doing that.  But they need to recognize that if they don’t or won’t, for whatever reason, then we have to take steps to defend ourselves. ですから、私たちが期待しているのは、中国が北朝鮮に対して持っている影響力を利用する方法を見つけるということです。  過去にも、私たちはそうすることである程度の成功を収めてきました。  しかし、もし彼らがそうしない、あるいはそうしようとしないのであれば、理由はどうであれ、私たちは自らを守るための手段を講じなければならないということを認識する必要があります。
QUESTION:  Did you raise that specifically with Xi Jinping? 質問:習近平と具体的にそのことを話しましたか?
SECRETARY BLINKEN:  Oh, I did.  Oh, yes, right.  Well, raised that in detail with my two other interlocutors, the state councilor and the director for foreign policy, and more generically with Xi Jinping.  We had – we spent, I think, something like eight hours in conversation with the state councilor/foreign minister, about three and a half hours of conversation with Director Wang Yi, and had about maybe an hour or so with Xi Jinping. ブリンケン長官:ええ、そうです。  そうですね。  他の2人の対話者、国務委員と外交政策局長、そして習近平とはより一般的に、そのことを詳しく話しました。  国務委員兼外相とは8時間、王毅外交部長とは3時間半、習近平国家主席とは1時間くらいだったと思います。
The conversation with President Xi was higher-level, more at 60,000 feet.  We weren’t getting into some of these specific issues.  But it was very important to have that conversation with him to share what we believed we needed to do in terms of the relationship, how we need to deal with our differences, how we need to see if we can find ways to cooperate more – and that starts with this engagement, the high-level communications – getting back to the agenda that, actually, President Xi and President Biden set when they met in Bali at the end of last year. 習主席との会話はよりレベルが高く、上空6万フィートでの会話でした。  具体的な問題には踏み込みませんでした。  しかし、習近平主席との会話は非常に重要で、私たちが関係において何をすべきと考え、どのように相違点に対処し、どのように協力し合うべきかを共有することができました。
QUESTION:  You are the first Secretary of State to visit this country in five years. 質問:あなたは5年ぶりにこの国を訪問した国務長官ですが、その理由は何ですか?
SECRETARY BLINKEN:  That’s right. ブリンケン国務長官:その通りです。
QUESTION:  But given where the relationship is right now, can you imagine President Biden coming to China?  Will that happen? 質問:しかし、現在の関係を考えると、バイデン大統領が中国に来ることは想像できますか?  それは実現しますか?
SECRETARY BLINKEN:  Never say never, but let – we’ve got to start with where we’re starting from, which is getting back to sustained, high-level engagement across the government.  And I think, again, you’re going to see that in the weeks ahead.  I also invited my Chinese counterpart to come to the United States and he agreed, so we’ll find a time to do that.  And of course, President Biden and President Xi have met many times before. ブリンケン長官:決してないとは言い切れませんが、私たちは、政府全体が持続的でハイレベルな関与を取り戻すところから始めなければなりません。  そしてまた、今後数週間のうちにそれが実現すると思います。  私はまた、中国の担当者を米国に招待し、彼も同意してくれました。  もちろん、バイデン大統領と習主席はこれまで何度も会っています。
QUESTION:  Will they meet this fall? 質問:今年の秋にも会うのですか?
SECRETARY BLINKEN:  And there’s the possibility of meeting this fall, including at the APEC meetings that we’re hosting in San Francisco at the end of the year. ブリンケン長官:年末にサンフランシスコで開催されるAPECを含め、この秋に会う可能性はあります。
QUESTION:  And what is it that you need to take home to Washington to make decisions about?  Like, what made this trip worth it? 質問:ワシントンに持ち帰って決断しなければならないことは何ですか?  今回の出張の価値は何だったのでしょうか?
SECRETARY BLINKEN:  Oh, look, I think we were in a place where the relationship was increasingly unstable.  I think we’ve injected some greater stability into it.  We now have a trajectory on engagements across our respective governments.  That’s good, because diplomacy, talking, engaging, is actually the best way to advance virtually all of the interests that we have that are in play in China, both in terms of dealing our very profound differences and also, as I said, seeing if we could find areas to cooperate, like on fentanyl. ブリンケン長官:ああ、私たちは関係がますます不安定になっているところにいたと思います。  私たちは関係により大きな安定をもたらしました。  私たちは今、それぞれの政府を横断して関与する軌道を手にしています。  それは良いことです。外交、対話、関与は、中国における私たちの非常に深い相違に対処するという意味でも、また、私が申し上げたように、フェンタニルのように協力できる分野を見つけることができるかどうかという意味でも、事実上、私たちが持っている利益のすべてを前進させる最善の方法なのですから。
We have some American citizens who are being detained here, who are prevented from leaving.  Well, if we’re not engaged directly, we’re probably not going to resolve that problem.  That’s something I also spent some time on. 中国には、出国を阻まれ拘束されているアメリカ市民がいます。  私たちが直接関与しなければ、おそらくその問題を解決することはできないでしょう。  それは私も時間をかけて取り組んだことです。
So, this is a process.  It’s not one trip.  It’s not one meeting.  There are – the relationship is so complicated and so consequential that it takes a lot of work.  And these are hard issues, hard problems, but you have to start somewhere.  And I think we’ve made a better start, or restart, as a result of these couple of days, with a lot more to follow. ですから、これはプロセスなのです。  1回の旅行ではありません。  1回のミーティングでもありません。  この関係は非常に複雑で、結果的に多くの労力を必要とします。  これは難しい問題であり、難しい問題です。 この2、3日の結果、私たちはよりよいスタート、あるいは再スタートを切ることができたと思います。
QUESTION:  Did you get any commitment on those three wrongfully detained Americans? 質問:不当に拘束された3人のアメリカ人について、何か確約を得ましたか?
SECRETARY BLINKEN:  We have a commitment to continue to work hard on resolving these cases.  And for me, that’s right up there with — ブリンケン長官:私たちは、これらの事件の解決に向けて引き続き努力することを約束しました。  そして、私にとっては、それは......
QUESTION:  From the Chinese Government? 質問:中国政府からですか?
SECRETARY BLINKEN:  From – yes.  For me, that is job number one when it comes to looking out for the security and safety of Americans abroad, and notably those who are being arbitrarily detained. ブリンケン長官:そうです。 私にとっては、海外にいるアメリカ人、特に恣意的に拘束されているアメリカ人の安全と安全を守ることが第一の仕事です。
QUESTION:  Mark Swidan’s health in particular is a worry.  His mother has spoken to CBS and other news organizations. 質問:マーク・スワイダンの健康状態が特に心配です。  彼の母親はCBSや他の報道機関に話しています。
SECRETARY BLINKEN:  Yes, I’m deeply concerned about that, and that’s exactly why I not only raised but talked at some length about the individual cases of the detained Americans. ブリンケン長官:ええ、そのことを深く心配しています。だからこそ、私は拘束されているアメリカ人の個々のケースについて、提起しただけでなく、少し長く話したのです。
QUESTION:  Is – are we in a place, though, as two governments where you’re negotiating or even talking about a prisoner release?  Or is this just — 質問:私たちは、2つの政府として、囚人の解放について交渉したり、話し合ったりしているのでしょうか?  それとも単に...
SECRETARY BLINKEN:  Yes, we are. ブリンケン長官:はい、そうです。
QUESTION:  You are? 質問:そうなのですか?
SECRETARY BLINKEN:  We are. ブリンケン長官:そうです。
QUESTION:  And there’s progress? 質問:進展はありますか?
SECRETARY BLINKEN:  Again, I don’t want to get into the details, but we are very actively talking about that. ブリンケン長官:繰り返しになりますが、詳細には立ち入りたくありません。
QUESTION:  Well, that would certainly be a breakthrough in the relationship, to bring those Americans home. 質問:アメリカ人を帰国させることは、関係の突破口になりますね。
SECRETARY BLINKEN:  It would.  Regardless of anything else, it would be a very important and positive development, and we’re working it intensely. ブリンケン長官:そうですね。  他のことに関係なく、それは非常に重要で前向きな進展となるでしょう。
QUESTION:  Can I ask you just to button up on the – where we started this?  Do you have any assessment as to why China wouldn’t want more communication with the United States?  How do they benefit? 質問:この話を始めたところから話を始めてもいいですか?  中国が米国とのさらなるコミュニケーションを望まない理由について、何か評価をお持ちですか?  どのようなメリットがあるのでしょうか?
SECRETARY BLINKEN:  Oh, I think – and again, I can’t speak for them; I don’t want to put words or ideas in their mouths or heads.  But I think, clearly, the fact that we’re here, that we had two very lengthy but also, I think, very candid, very detailed, and in a number of places constructive conversations and talks, I think that’s evidence that they do want that – just as we think it’s important.  There is agreement on the proposition that each of us has an obligation to responsibly manage this relationship. ブリンケン長官:彼らの口や頭に言葉や考えを押しつけるつもりはありません。  しかし、私たちがここにいること、2度にわたって非常に長く、しかし非常に率直で、非常に詳細で、多くの場所で建設的な話し合いや会談を行ったことは、私たちが重要だと考えているのと同様に、彼らがそれを望んでいる証拠だと思います。  私たち一人ひとりがこの関係を責任を持って管理する義務があるという命題については同意しています。
We agree on that, because I think we each see it as in our own interest.  There’s another reason we agree on that.  There’s a demand signal from countries around the world that we do that.  And I hear that wherever I go; I know that China hears that.  So I think they’re being responsive to that. それは、私たちそれぞれが自分の利益になると考えているからです。  私たちが同意する理由はもう一つあります。  世界中の国々から、私たちがそうするようにという要求信号があるのです。  中国もそれを聞いています。  ですから、彼らはそれに応えているのだと思います。
QUESTION:  But that also lessens the pressure on China, when they at least make motions to show that they are making a good-faith effort towards diplomacy.  That’s what your critics would say, right? 質問:しかし、少なくとも中国が外交に誠実に取り組んでいることを示す動きを見せれば、中国に対するプレッシャーも軽減されます。  あなたの批判者はそう言うでしょう?
SECRETARY BLINKEN:  Sure. ブリンケン長官:もちろんです。
QUESTION:  That America’s getting played. 質問:アメリカは踊らされていると。
SECRETARY BLINKEN:  Listen, the only way we’re going to be able to see and test whether we can actually make progress on the many areas of concern that we have with China as well as the – what opportunities there are to cooperate is by engaging, is by talking.  It would be irresponsible not to do that.  It would be irresponsible in terms of those suffering from the horrific affliction of fentanyl, irresponsible in terms of the detained Americans; irresponsible in terms of our workers and businesses who are engaged here but in many ways are being treated badly or unfairly. ブリンケン長官:私たちが中国との間で懸念している多くの分野や協力の機会について、実際に進展があるかどうかを確認し、検証する唯一の方法は、関与すること、話し合うことです。  それをしないのは無責任です。  フェンタニルの恐ろしい苦しみに苦しんでいる人々や、拘束されたアメリカ人のことを考えれば、それは無責任です。
So, not engaging is not going to get you any results.  It’s necessary.  It’s not always sufficient, but it’s necessary in order to actually advance and make progress.  And for their own reasons, I think Beijing understands that as well.  That’s why we’ve had these meetings these past two days.  It’s also why I expect you’ll see more to come. ですから、関与しないことは何の結果ももたらしません。 必要なことです。  必ずしも十分ではありませんが、実際に前進し、進歩を遂げるためには必要なのです。  北京もそのことを理解していると思います。  だからこそ、私たちはこの2日間、このような会合を開いたのです。  だからこそ、この2日間の会談が実現したのです。
But the bottom line is this, Margaret:  My job – our jobs are to defend and advance the interests of our country and our fellow Americans.  And we believe that one way to do that – a hugely important way to do that – is through engagement, is through diplomacy, is through talking. 私の仕事は、そして私たちの仕事は、我が国と同胞であるアメリカ人の利益を守り、向上させることです。  そして、私たちは、そのための1つの方法、つまり、非常に重要な方法は、関与、外交、対話であると信じています。
Last thing.  We come at this from a position of strength.  Two and a half years ago, we – the President made two major decisions.  One was to reinvest in America.  And as a result of these historic investments – infrastructure, technology, the CHIPS Act, research and development, the Inflation Reduction Act – we are much stronger at home and much more competitive. 最後になりますが。  私たちは強い立場からこの問題に取り組んでいます。  年半前、大統領は2つの大きな決断を下しました。  ひとつはアメリカへの再投資です。 インフラ、技術、CHIPS法、研究開発、インフレ抑制法など、歴史的な投資の結果、私たちは国内を強化し、競争力を高めました。
Second, we reinvested in our alliances, our partnerships.  We re-energized them.  We re-engaged them.  And one product of that is we have much greater alignment with key partners and allies in Europe and in Asia about how to approach China.  So, our strength at home, our standing in the world – much improved.  And that’s very good when it comes to dealing with the challenges posed by China. 第二に、同盟関係やパートナーシップへの再投資です。  提携関係を再活性化しました。  提携関係を再活性化しました。  その結果、欧州やアジアの主要パートナーや同盟国との間で、中国へのアプローチ方法について、より緊密な連携がとれるようになりました。 その結果、国内での強さ、世界での地位が大幅に向上しました。 中国がもたらす課題に対処する上では、非常に良いことです。
QUESTION:  Did Vladimir Putin come up? 質問:ウラジーミル・プーチンは出てきましたか?
SECRETARY BLINKEN:  Oh, yes. ブリンケン長官:ええ、はい。
QUESTION:  The “partnership without limits.”  Are there any limits on that? 質問:「限界なきパートナーシップ」。  それに制限はありますか?
SECRETARY BLINKEN:  What came up was, of course, the Russian aggression against Ukraine and our hope that if there’s an opportunity, China can be helpful, productive, positive in helping to bring the aggression to end.  And we’ve actually said that we’ve welcomed some of the things that they’ve done, including the fact that President Xi spoke to President Zelenskyy, statements that China has made about the use of nuclear weapons – very important – as well as some of the ideas that were in the peace proposal that they put out.  Not everything’s good, but there are important elements, including what they say is critical, which is upholding the territorial integrity and sovereignty of countries. ブリンケン長官:もちろん、ウクライナに対するロシアの侵略のことであり、もし機会があれば、中国が侵略を終わらせるのに役立ち、生産的で、積極的であることを望んでいます。  そして私たちは、中国が行ったいくつかのことを歓迎すると述べました、 習主席がゼレンスキー大統領と話したこと、中国が核兵器の使用について声明を出したこと(非常に重要です)、中国が発表した和平提案にあったいくつかのアイデアなどです。  すべてが良いわけではありませんが、重要な要素もあります、 その中には、各国の領土保全と主権の維持という重要な要素も含まれています。
So there may be a point where China can play a positive, constructive role in this.  It’s something we talked about. ですから、中国が積極的で建設的な役割を果たすことができるかもしれません。  それは私たちが話したことです。
QUESTION:  Mr. Secretary, thank you very much for your time. 質問:長官、お時間をいただきありがとうございました。
SECRETARY BLINKEN:  Good to be with you. ブリンケン長官:ご一緒できて光栄です。
QUESTION:  I appreciate it. 質問:ありがとうございます。
SECRETARY BLINKEN:  Thank you. ブリンケン長官:ありがとうございます。

 

・2023.06.19 Secretary Antony J. Blinken with Leila Fadel of NPR Morning Edition

Secretary Antony J. Blinken with Leila Fadel of NPR Morning Edition アントニー・J・ブリンケン国務長官とNPRモーニング・エディションのレイラ・ファデル記者
QUESTION:  Secretary of State Antony Blinken met with China’s President Xi Jinping today, capping the first visit by a top U.S. diplomat to Beijing in five years. 質問:ブリンケン国務長官は本日、中国の習近平国家主席と会談しました。
SECRETARY BLINKEN:  Keeping those lines of communication open and in effect reopening them is in and of itself very, very important.  Direct engagement – sustained communications at senior levels – is the best way to responsibly manage our relationship.  It’s the best way to responsibly manage the differences, the deep differences that we have, to make sure that the competition that we’re in doesn’t veer into conflict. ブリンケン国務長官:意思疎通のラインをオープンに保ち、事実上それを再開すること自体が非常に重要です。  直接の関与、つまり上級レベルでの持続的なコミュニケーションは、私たちの関係を責任を持って管理する最善の方法です。 それは、私たちが抱えている相違、深い相違を責任を持って管理し、私たちの競争関係が対立に陥らないようにする最善の方法です。
QUESTION: I spoke with Secretary Blinken this morning and asked him about a diplomatic visit that has not been matched by a meeting between the top military officials in Beijing and Washington. 質問:今朝、ブリンケン長官と話をし、北京とワシントンの軍トップの会談に匹敵する外交訪問が行われていないことについて尋ねました。
SECRETARY BLINKEN:  These military-to-military contacts are hugely important if we’re going to avoid an unintentional conflict, and that was only reinforced over the last couple of weeks.  We saw incidents on the seas and in the skies that were really dangerous, and – in our judgment, unprofessional.  So that’s exactly why I’ve raised it.  I don’t have any immediate progress to report on that.  I can tell you it’s an ongoing priority and that’s something that we’ve made clear and we’ll continue to work on. ブリンケン長官:このような軍と軍の接触は、意図しない衝突を避けるためには非常に重要です。  海でも空でも、本当に危険で、私たちの判断ではプロフェッショナルとは言えないような出来事がありました。  それこそが、私がこの問題を提起した理由です。  それについてすぐに報告できるような進展はありません。  これは現在進行中の優先事項であり、私たちが明確にしていることであり、今後も取り組んでいきます。
QUESTION:  One of the areas in which really there is global concern around conflict is Taiwan.  Beijing blames Washington, or really, Beijing and Washington are trading blame for the rising tension.  China blames the U.S. for bringing up its human rights record, for what China perceives as growing support of Taiwan.  With presidential elections in Taiwan in January, are you concerned things may escalate? 質問:紛争をめぐる世界的な懸念のひとつに台湾があります。  北京はワシントンを非難していますし、実際、北京とワシントンは緊張の高まりについて非難の応酬をしています。  中国は、米国が人権問題を持ち出し、中国が台湾支持を強めていると見なしていることを非難しています。  月に台湾で総統選挙がありますが、事態がエスカレートすることを懸念していますか?
SECRETARY BLINKEN:  Well, Taiwan is a question, a challenge that we’ve actually managed successfully for nearly five decades.  And it really is, in a way, a hallmark of the success of responsible management, because we’ve succeeded in preserving peace and stability across the Taiwan Strait for four decades.  But we have real concerns about the direction that this has taken in recent years where China has taken reckless actions. ブリンケン長官:台湾については、私たちは50年近くにわたり、実際に成功裏に管理してきました。 なぜなら、私たちは40年間、台湾海峡の平和と安定を守ることに成功してきたからです。  しかし、近年、中国が無謀な行動に出たことについては、本当に懸念しています。
What we’ve said and what I’ve said repeatedly and very clearly is that we have a fundamental understanding that differences with regard to Taiwan will be resolved peacefully, that neither side will take any unilateral actions that could upset the status quo.  We reiterated the policy that we’ve followed from administration to administration, Republican and Democrat alike, of the “one China” policy.  That’s not changed.  I made that very clear.  We don’t support Taiwan’s independence.  And again, we oppose any unilateral actions by either side that would change the status quo. 私たちが繰り返し、そしてはっきりと申し上げてきたのは、台湾に関する相違は平和的に解決されるという基本的な認識を私たちは持っており、双方が現状を覆すような一方的な行動を取ることはないということです。  私たちは、共和党であれ民主党であれ、政権が変わっても守ってきた「一つの中国」政策を繰り返しました。  それは変わりません。  私はそれを明確にしました。  私たちは台湾の独立を支持しません。  また、現状を変えるような一方的な行動にも反対します。
So, it was important both – for China to understand that there has been no change to our policy.  The concern that we have is China changing its policy, when it comes to resolving these differences peacefully.  And I also shared that this is not just our concern; it’s the concern of many countries around the world.  And there’s a very good reason for that.  If there were to be a crisis over Taiwan, you’ve got about 50 percent of the global commercial container traffic that goes through the Taiwan Strait every day.  Fifty percent.  Half of the world’s trade, in effect, goes through there every day.  You got about 70 percent of high-end semiconductors that are produced on Taiwan. ですから、私たちの政策に変更はないことを中国に理解してもらうことが重要です。  私たちが懸念しているのは、こうした対立を平和的に解決するために中国が政策を変更することです。  そして、これは私たちだけの懸念ではなく、世界中の多くの国々の懸念であることも共有しました。  それには非常に大きな理由があります。  もし台湾をめぐる危機が発生した場合、世界の商業コンテナ輸送量の約50パーセントが毎日台湾海峡を通過することになります。  50パーセント。  事実上、世界の貿易の半分が毎日台湾海峡を通過しているのです。  ハイエンド半導体の70パーセントは台湾で生産されています。
If either of those things were taken offline as a result of a crisis, it could have devastating consequences for the global economy –  which is why countries around the world are looking with increasing concern at actions that are being taken that could disrupt the status quo, that could produce some kind of conflict or result in – a crisis that has these consequences.  So that’s something that I shared as well. そのため、世界各国は、現状を混乱させ、何らかの紛争を引き起こし、その結果、このような結果をもたらす危機が発生する可能性のある行動に、ますます強い懸念を抱いているのです。  ですから、私が共有したのもそのようなことです。
It’s tremendously important that we communicate clearly, directly about Taiwan.  That’s something, of course, that’s a primary concern for China.  So here we had really some very direct, very detailed, very explicit conversations, and at the very least, that brings more clarity to each of us about what the other is thinking. 台湾について明確に、直接的に伝えることが非常に重要です。  もちろん、台湾は中国にとって最大の関心事です。  ですから今回、私たちは非常に直接的で、非常に詳細で、非常に明確な対話を行いました。
QUESTION:  In the U.S., there’s pressure on both sides of the aisle here to be tough on China, and that seems like it will grow as the 2024 election approaches.  China’s leadership is surely constrained by domestic perceptions of the U.S. as well.  How do you prevent those domestic pressures and constraints from pushing you into policy choices that aren’t optimal on either side? 質問:米国では、中国に対して厳しく接しなければならないという圧力が議会の両側からあり、それは2024年の選挙が近づくにつれて高まっていくように思われます。  中国の指導者は、米国に対する国内的な認識にも制約されているはずです。  そのような国内の圧力や制約によって、どちらにとっても最適でない政策選択を迫られるのをどう防ぐのですか?
SECRETARY BLINKEN:  We have a responsibility to defend, protect, and advance the interests of the United States and its people.  And that is what motivates us in our relationship with China and, for that matter, with any other country.  And we believe the best way to do that is to do exactly what we’ve done over the last two and a half years. ブリンケン長官:私たちには、米国とその国民の利益を守り、保護し、促進する責任があります。  それが、中国との関係、そして他のどの国との関係においても、私たちを突き動かす原動力となっています。  そのための最善の方法は、過去2年半にわたって私たちが行ってきたことをそのまま実行することだと考えています。
We’ve made major investments, historic investments, at home – in our infrastructure, in our technology, in our research and development capacity, in our competitiveness.  And at the same time we re-engaged with allies and partners and we created much greater alignment, convergence with them, on the approach to China. 自国のインフラ、技術、研究開発能力、競争力強化のために、歴史に残る大規模な投資を行ってきました。  そして同時に、同盟国やパートナーとの関係を再構築し、中国へのアプローチについて、彼らとの間でより大きな連携、収束を図りました。
The result is that we’re now dealing with the challenges that China poses from a position of much greater strength than when we started.  And so, from that new foundation that we built, we’re better able to deal with the profound differences as well as – again, to look for areas where it makes sense to cooperate.  But the lead instrument we have now in doing that is our diplomacy.  And so it would be irresponsible not to engage, and counterproductive to our interests. その結果、私たちは現在、中国がもたらす課題に、当初よりもはるかに強い立場で対処しています。  そうして築いた新たな基盤から、私たちは深い相違に対処することができるようになり、また、協力することに意味がある分野を探すこともできるようになりました。  しかし、そのために私たちが今持っている主要な手段は外交です。  ですから、関与しないのは無責任であり、私たちの利益にとっては逆効果です。
It’s the best way to avoid misunderstandings and miscalculations that could lead to conflict.  It’s the best way to make clear, as I said, our position and intent when it comes to our profound differences.  It’s the best way to stand up for human rights.  It’s the best way to explore whether we can work together in our mutual interest.  It’s probably the only way to do things like get some detained Americans home; to produce cooperation on fentanyl – the leading killer of Americans aged 18-49; to defend the interests of our workers and our companies who are operating in China. 紛争につながりかねない誤解や誤算を避ける最善の方法です。  私たちの深い相違に関して、私たちの立場と意図を明確にする最善の方法です。  人権を守るための最善の方法です。  お互いの利益のために協力できるかどうかを探るには、これが最善の方法です。  勾留されているアメリカ人を帰国させたり、18歳から49歳のアメリカ人を殺害する主要な原因であるフェンタニルについて協力したり、中国で働く私たちの労働者や企業の利益を守ったりするためには、おそらくそれしかないでしょう。
So, I think we’ve set a very strong foundation.  And now, we’re using engagement to try to advance our interests and to protect them. ですから、私たちは非常に強固な基盤を築いたと思います。  そして今、私たちは、私たちの利益を促進し、それらを守るために関与しているのです。
QUESTION:  So talking, really, in your view, is the way to avoid conflict.  I do want to ask about China’s bold diplomatic moves on the global stage, offering to be between Israeli and Palestinian leaders, brokering a deal between regional rivals Saudi Arabia and Iran; offering to broker peace in Ukraine while refusing to condemn Russia’s invasion.  Is China replacing the U.S. as global mediator, especially when you look at places like the Middle East? 質問:つまり、話し合うことが紛争を避ける方法だということですね。  イスラエルとパレスチナの指導者の間を取り持ったり、地域のライバルであるサウジアラビアとイランの取引を仲介したり、ロシアの侵攻を非難することを拒否しながらウクライナの和平を仲介したり。  中国は、特に中東のような場所を見るとき、国際的な調停者として米国に取って代わろうとしているのでしょうか?
SECRETARY BLINKEN:  Well, I was just in the Middle East, in fact, in Saudi Arabia.  And while I was there, I met with not just the Saudis but the – all the membership of the Gulf Cooperation Council, and then a much broader coalition of countries that have come together years ago to deal with the threat posed by ISIS.  And what I can report from that is that the United States remains, far and away, the preferred partner for virtually all of these countries. ブリンケン長官:そうですね、私はちょうど中東のサウジアラビアにいたところです。  サウジアラビアだけでなく、湾岸協力会議の全メンバー、そしてISISの脅威に対処するために数年前に結成された、より広範な国々の連合とも会談しました。  そこから私が報告できることは、米国はこれらの国々のほとんどすべてにとって、依然として好ましいパートナーであるということです。
At the same time, if China takes initiatives that actually help solve problems and advance peace, that’s a good thing, and we support it.  That they hosted the final round of discussions between Iran and Saudi Arabia that had been going on for two years, and the result was an agreement that at least has the possibility of reducing tensions between them and solving one of the problems, one of the many problems, that Iran poses.  If China can play a constructive role in – when the time is right – finding a just and durable peace in Ukraine and ending the Russian aggression, that would be a good thing. 同時に、中国が実際に問題を解決し、平和を促進するイニシアチブを取るのであれば、それは良いことであり、私たちはそれを支持します。  イランとサウジアラビアが2年間続けてきた話し合いの最終ラウンドを主催し、その結果、少なくともイランとサウジアラビア間の緊張を緩和し、イランが抱える多くの問題のひとつを解決する可能性のある合意がなされました。 もし中国が、時が来れば、ウクライナに公正で永続的な平和を見出し、ロシアの侵略を終わらせるために建設的な役割を果たすことができれば、それは良いことです。
And we’ve applauded some of the – some parts of the peace principles that they put out – very consistent with our own, particularly when it comes to protecting Ukraine’s territorial integrity and sovereignty.  It’s good, helpful, important, for significant countries like China to engage in ways that produce positive results.  That’s one of the things that I also shared with them. 特にウクライナの領土保全と主権の保護に関しては、私たちの主張と非常に一致しています。  中国のような重要な国が、良い結果を生むような形で関与することは、良いことであり、有益であり、重要なことです。  それは私が彼らと共有したことのひとつです。
But it’s also important – more than important – that if they’re engaged in these efforts, they are towards good and appropriate ends.  So when it comes to Ukraine, it’s not enough to have – just to have a peace.  It has to be just and durable.  It actually has to reflect the principles at the heart of the United Nations Charter, like territorial integrity and sovereignty.  And it has to help ensure that Russia can’t simply repeat the exercise two or three years later.  So it’s very useful here again for us to be able to talk clearly, directly, and in some detail about what the objectives should be and to see if we’re in the same place on it. しかし、彼らがこのような取り組みに関与する場合、それが善良かつ適切な目的に向けたものであることも重要です。  ウクライナに関して言えば、ただ平和があるだけでは不十分です。  平和は公正で永続的なものでなければなりません。  領土保全や主権といった国連憲章の根幹をなす原則を反映したものでなければなりません。  そして、ロシアが2年後、3年後に同じようなことを繰り返さないようにしなければなりません。  ですから、ここで私たちが、明確に、直接、そして詳細に、何を目的とすべきかについて話し合うことができ、また、私たちが同じ立場にいるかどうかを確認することができたことは、非常に有益でした。
QUESTION:  Secretary of State Antony Blinken, speaking to us from Beijing as he wraps up his visit.  Thank you for taking the time. 質問:アントニー・ブリンケン国務長官、北京からのご訪問を終えてのご挨拶です。  ありがとうございました。
SECRETARY BLINKEN:  Good to be with you. ブリンケン国務長官:ご一緒できて光栄です。

 

1_20230623053501

 

 

| | Comments (0)

2023.06.22

個人情報保護委員会 「第3回G7データ保護・プライバシー機関ラウンドテーブル会合」共同コミュニケ、生成AIに関する生命、行動計画

こんにちは、丸山満彦です。


2023.06.20-21、第3回G7データ保護・プライバシー機関ラウンドテーブル会合が東京で日本の個人情報保護委員会が主催して開催されたようですね。

このラウンドテーブルは、個人データの保護を図りつつ、利活用を進めるDFFT(データ・フリー・フロー・ウィズ・トラスト)の推進に向けて、G7各国のデータ保護・プライバシー機関の委員長級による議論が行われているものですね。。。

今回の会合では、(1)DFFT、生成AIを始めとする(2)先端技術及び(3)執行協力の3つの柱に基づき議論が行われ、データ保護・プライバシーに関するグローバルな共通課題の解決に向けた具体的な方策などが合意されたようです。

 

  1. DFFTー国際ルールの収斂というのが重要なテーマなんでしょうかね。。。あと、民間に対するガバメントアクセスについては、[PDF] グランカナリア島で採択された、民間部門が保有する個人データに対するガバメントアクセスに関する OECD 閣僚宣言を歓迎するという話もでていますね。。。

  2. 先端技術ーAI、IoT、クラウドがテーマになったようですね。。。AIについては生成AI、顔認識技術※が話題の中心になったのでしょうかね。。。そして、プライバシー強化技術(PETs)。

  3. 執行協力ーG7 グループ内及び他の規制当局との間で、二国間ないし執行協力ネットワークを通じて、互いの法及び権限についてより良い理
  4. 解に達するための対話、並びに、国内外のベストプラクティスの共有を促進するとのことですね。。。

 

※ 顔識別技術...

・2023.06.16「犯罪予防や安全確保のための顔識別機能付きカメラシステムの利用について」資料一覧ページを公開しました。

 

来年のG7ラウンドテーブル会合は、イタリアにおいてイタリア共和国のデータ保護機関(Garante)が開催する予定だそうです。。。

 

個人情報保護委員会

・2023.06.21 第3回G7データ保護・プライバシー機関ラウンドテーブル会合」を開催しました。1_20230622064201


今回の成果...

コミュニケ [PDF] 【原文】  [PDF] 【仮訳】 
生成AIに関する声明 [PDF] 【原文】  [PDF] 【仮訳】 
行動計画 [PDF] 【原文】  [PDF] 【仮訳】 

 

対訳...


 

The G7 Data Protection and Privacy Authorities  G7 データ保護・プライバシー機関ラウンドテーブル会合 
G7 DPAs’ Communiqué  G7 DPA コミュニケ 
Roundtable of G7 Data Protection and Privacy Authorities  G7データ保護・プライバシー機関ラウンドテーブル 
Working toward operationalizing Data Free Flow with Trust and intensifying regulatory cooperation  信頼性のある自由なデータ流通(DFFT)の具体化と規制協力の強化に向けて 
21  June 2023  2023年6月21日
Introduction  序文 
1.    We, the G7 Data Protection and Privacy Authorities (DPAs), met on 20 and 21 June 2023 in a meeting chaired by Tanno Mieko, Chairperson of the Personal Information Protection Commission (PPC) Japan, to discuss key privacy and data protection topics, including the development of the concept of Data Free Flow with Trust (DFFT) and its future operationalization, emerging technologies and enhancing enforcement cooperation.  1.    我々、G7 データ保護・プライバシー機関(DPA)は、日本の個人情報保護委員会(PPC)委員長である丹野美絵子議長の下、2023 年 6 月 20 日及び 21 日に会合し、信頼性のある自由なデータ流通(DFFT)の概念の発展及びその将来の具体化、先端技術、並びに、執行協力強化などのプライバシー・データ保護の主要トピックについて議論した。 
2.    We confirm our commitment to protecting the rights and interests of individuals through ensuring a high level of data protection and privacy, while recognizing the increasing economic and societal benefits and impacts of personal data within the developing information and communication-driven society. Affirming our shared fundamental values and principles such as freedom, democracy, human rights, and the rule of law, we will continue to further deepen and strengthen our cooperative relationship to ensure a high level of protection of personal data as an enabler of economic and social development for G7 members.  2.    我々は、発展する情報通信社会において、個人データがもたらす経済的・社会的な利益及び影響の増大を認識しつつ、高水準のデータ保護・プライバシーの確保を通じ、個人の権利利益を保護するというコミットメントを確認する。自由、民主主義、人権及び法の支配といった我々が共有する基本的な価値観及び原則を確認し、我々は、G7 メンバーの経済的・社会的発展の実現者として、高水準の個人データ保護を確保するために、我々の協力関係を更に深め、強化することを継続する。 
3.    We welcome the G7 Digital and Tech Ministerial Declaration on 30 April 2023, in which they reaffirmed their commitment to operationalize work on DFFT and build upon commonalities, complementarities and elements of convergence between existing regulatory approaches and instruments enabling data to flow with trust in order to foster future interoperability. The declaration shows strong support by Ministers for the G7 DPAs to intensify regulatory cooperation and further cooperate on knowledge sharing through the Roundtable of G7 DPAs, and with other relevant international multistakeholder fora. We acknowledge that Annex I of the Ministerial Declaration, which was endorsed by the G7 Leaders in the Hiroshima Leaders’ Communiqué on 20 May 2023, draws particular attention to DPAs’ regulatory cooperation including identifying commonalities in regulatory approaches to cross-border data transfers and data protection requirements, as well as facilitating cooperation on Privacy-Enhancing Technologies (PETs), model contractual clauses, certification, access to regulatory information and good regulatory practices, such as enhancing transparency.   3.    我々は、2023 年 4 月 30 日の G7 デジタル・技術閣僚宣言を歓迎する。同宣言において、G7 デジタル・技術担当大臣は、DFFT に関する作業を具体化し、将来の相互運用性を促進するため、信頼性のあるデータ流通を可能にする既存の規制アプローチ及び手段間の共通性、補完性及び収斂の要素に基づいて、DFFT に関する作業を具体化することを再確認した。同宣言により、G7 DPA が規制協力を強化し、G7 DPA ラウンドテーブル及びその他の関連する国際的なマルチステークホルダーのフォーラムを通じ、知識の共有について更に協力することについて、G7 デジタル・技術担当大臣は強く支持している。我々は、2023 年 5 月 20 日の G7 広島首脳コミュニケにおいて G7 首脳により承認された同閣僚宣言の附属書 I が、越境データ移転及びデータ保護要件に対する規制アプローチにおける共通性の特定、プライバシー強化技術(PETs)、モデル契約条項、認証、並びに、透明性の強化など、規制の情報及び規制のグッドプラクティスへのアクセスに関する協力促進を含む DPA の規制協力に特に注目していることを認識する。 
4.    We take note that the Ministers endeavor to launch the Institutional Arrangement for Partnership (IAP) and call on the IAP to bring together data protection and privacy stakeholders including the relevant DPAs to consider issues on the regulatory approaches mentioned above. In this context, we believe that DPAs must have a key role in contributing on topics that are within their competence in this Arrangement to ensure that high standards of data protection and privacy continue to be upheld.  4.    我々は、G7 デジタル・技術担当大臣がパートナーシップのための制度的アレンジメント(IAP)の設立に努め、IAP が、関連する DPA を含むデータ保護・プライバシーのステークホルダーを集め、上記の規制アプローチに関する課題を検討するよう要請していることに留意する。これに関連して、我々は、データ保護・プライバシーが引き続き高水準で維持されることを確保するため、DPA が、本アレンジメントにおいて、自らの所掌内のトピックについて貢献するという重要な役割を果たさなければならないと考えている。 
5.    Determined to address global issues and formulate concrete measures for regulatory cooperation in the area of data protection and privacy, we have reflected on three important pillars proposed by the PPC Japan at the 2022 Roundtable, and have established dedicated working groups to facilitate discussions in the following areas:  5.    データ保護・プライバシー分野における規制協力のためのグローバルな課題に取り組み、具体的な措置を策定することを決意し、2022 年のラウンドテーブルで PPC が提案した重要な 3 本柱を反映し、以下の分野の議論を促進するための作業部会を設置した。 
 Pillar 1 - DFFT;   第1の柱 - DFFT  
 Pillar 2 - Emerging Technologies; and   第2の柱 - 先端技術 
 Pillar 3 - Enforcement Cooperation   第3の柱 - 執行協力 
Pillar I - DFFT  第1の柱 - DFFT 
6.    We recognise the increase in cross-border transfers of data through the globalization of economic and social activities, due to the ubiquitous opportunities offered by digital technologies. While recognizing the benefits that may arise from cross border transfers of data, we also highlight that these transfers may raise serious challenges to the protection of personal data and privacy. In this context, the G7 DPAs discussed the concept of DFFT, which was originally proposed by the Japanese Government in 2019. DFFT has now become a common objective for like-minded countries and in various international fora. We emphasize that ensuring “trust”, including a high standard of protection of personal data is a fundamental requirement and prerequisite to facilitate the free flow of data.  6.    我々は、デジタル技術によっていつでもどこでも機会が提供されることにより、経済・社会活動のグローバル化を通じたデータの越境移転の増加を認識する。我々は、データの越境移転から生じ得る利益を認識する一方、これらの移転が、個人データ及びプライバシーの保護に重大な課題を生じさせる可能性があることも強調する。これに関連して、G7 DPA は、2019 年に日本政府が最初に提案した DFFT の概念について議論した。DFFTは、現在、同志国及び様々な国際フォーラムの共通目標となっている。我々は、個人データの高水準の保護を含む「信頼性」の確保が、データの自由な流通を促進するための基本的な要件であり、かつ、前提条件であることを強調する。 
7.    We reaffirm our commitment to discuss current approaches that have been implemented in different legal systems and international frameworks, and continue to work towards identifying commonalities, and elements of convergence between existing regulatory approaches and instruments enabling data to flow with trust, in order to foster future interoperability, where possible, and to facilitate cross-border transfers of personal information at a high level of data protection and privacy. We acknowledge the diversity of different personal information protection laws, which are based on different domestic principles, and that discussions on these approaches should be inclusive and not exclusive. Taking into account personal data protection requirements and the needs of entities and organizations, including business operators, we believe it is necessary to create options for businesses so that they can choose cross-border transfer tools suitable to the nature of their interests and scope of their activities. We therefore aim to further advocate, promote and advise on the development of global-scale data transfer tools which help businesses to comply with data protection and privacy requirements worldwide.  7.    我々は、様々な法制度及び国際的枠組みで実施されている現在のアプローチを議論し、可能であれば、将来の相互運用性を促進するとともに、高水準のデータ保護・プライバシーで個人情報の越境移転を促進するため、信頼性あるデータ流通を可能にする既存の規制のアプローチと手段の間における共通性及び収斂の要素の特定に向け、引き続き取り組むというコミットメントを再確認する。我々は、様々な国内原則に基づく様々な個人情報保護法の多様性を認めるとともに、これらのアプローチに関する議論は排他的ではなく、包摂的であるべきであることを認める。個人情報保護の要件、並びに、事業者を含む団体及び組織のニーズを考慮し、我々は、事業者が自らの利益の性質及び活動範囲に適した越境移転ツールを選択できるよう、選択肢を創出することが必要であると考える。そのため、我々は、事業者が世界中のデータ保護・プライバシーの要件を遵守するのに役立つグローバル規模のデータ移転ツールの開発について、更に提唱し、促進し、又は助言することを目指す。 
8.    Valuable efforts have been made by the G7 DPA DFFT Working Group, co-chaired by the Information Commissioner’s Office (ICO), UK, and the Commission Nationale de l’Informatique et des Libertés (CNIL), France, in discussing the concept of DFFT and how our common goals as DPAs could collectively add value to this important concept. The Working Group reflected on the objectives and commitments made during the Roundtable meeting hosted by the German Federal Commissioner for Data Protection and Freedom of Information (BfDI) in Bonn in 2022 and committed to continue working towards elements of convergence to foster future interoperability of these transfer tools, where possible, to achieve a high level of data protection and facilitate DFFT. Consideration has also been given to exploring future objectives for the Working Group. In this context, the Working Group will continue current efforts through the comparative analysis of existing data transfer tools such as certification mechanisms and model contractual clauses.  8.    英国の情報コミッショナーオフィス(ICO)及びフランスの情報処理と自由に関する国家委員会(CNIL)が共同議長を務める G7 DPA の DFFT 作業部会は、DFFT の概念、及び、DPA としての共通目標が、この重要な概念にどのように全体として付加価値を与えることができるかについて議論する上で、貴重な取組を行った。同作業部会は、2022 年にボンで開催されたドイツ連邦のデータ保護・情報自由監察官(BfDI)主催のラウンドテーブル会合の目的及びコミットメントを反映し、高水準のデータ保護を達成し DFFT を促進するため、可能な限り、これらの移転ツールの将来の相互運用性を促進するための収斂の要素に向けて作業を継続することにコミットした。また、同作業部会の将来の目標を模索するための検討も行われた。これに関連して、同作業部会は、認証メカニズム及びモデル契約条項など、既存のデータ移転ツールの比較分析を通じた現在の取組を継続する。 
9.    In addition, we support the various efforts in relevant international fora concerning DFFT, encourage their further development, and will continue to work together to deliver concerted solutions. Notably, we acknowledge the ongoing work undertaken by the Global Frameworks and Standards Working Group of the Global Privacy Assembly (GPA) on the comparison of model contractual clauses and by the Working Party on Data Governance and Privacy in the Digital Economy of the Organization for Economic Cooperation and Development (OECD). We welcome the OECD Ministerial Declaration on Government Access to Personal Data held by Private Sector Entities adopted in December 2022 in Gran Canaria. In light of its global nature, we encourage Governments from non-OECD countries to reflect on these principles in their own policy making. Finally, we also note, among others, the ongoing discussions and progress being made on transfer tools such as model clauses (Council of Europe, Association of Southeast Asian Nations (ASEAN), the Ibero-American Data Protection Network (RIPD)) and certification (Global Cross-Border Privacy Rules (CBPR) Forum and EDPB). We encourage dialogue between these organisations and networks to develop convergent transfer mechanisms in order to foster interoperability whilst having in mind the transfer tools developed within the respective frameworks.  9.    さらに、我々は、関連する国際場裏における DFFT に関する様々な取組を支持し、その更なる発展を慫慂し、協調した解決策を提供するため引き続き協力する。特に、我々は、モデル契約条項の比較に関する世界プライバシー会議(GPA)のグローバルな枠組みと基準に関する作業部会並びに経済協力開発機構(OECD)のデジタル経済データガバナンス・プライバシー作業部会によって進行中の作業を認識する。我々は、2022 年 12 月に、グランカナリア島で採択された、民間部門が保有する個人データに対するガバメントアクセスに関する OECD 閣僚宣言を歓迎する。そのグローバルな性質に鑑み、我々は、OECD 非加盟国の政府が、自身の政策決定においてこれらの原則を反映することを慫慂する。最後に、我々はまた、特に、モデル条項(欧州評議会、東南アジア諸国連合(ASEAN)、イベロアメリカデータ保護ネットワーク(RIPD))並びに認証(グローバル越境プライバシールール(CBPR)フォーラム及び欧州データ保護委員会(EDPB))等、移転ツールに関する進行中の議論及び進展に留意する。我々は、各枠組みで開発された移転ツールを念頭に置きつつ、相互運用性を促進するため、これらの組織及びネットワークとの間で対話を行い、収斂した移転メカニズムを開発することを慫慂する。 
Pillar II - Emerging technologies  第2の柱 - 先端技術 
10. We acknowledge the emergence of various digital technologies that have brought substantial benefits to our economies, societies, and our personal lives.  These technologies, such as Artificial Intelligence (AI), Internet of Things (IoT) and cloud services, have made it easier to collect, process and analyze vast amounts of data in ways not previously possible, opening new possibilities for services, industries, communications, and more. At the same time, we also recognize that these technologies, if left unchecked, can cause serious harm and undermine the rights and interests of individuals including their privacy.  10. 我々は、経済、社会及び我々の私生活に大きな恩恵をもたらしている様々なデジタル技術の出現を認識する。人工知能(AI)、モノのインターネット(IoT)及びクラウドサービスなどのデジタル技術は、これまで不可能だった方法による膨大な量のデータの収集、処理及び分析を容易にし、サービス、産業及びコミュニケーションなどに新しい可能性を開くものである。同時に、我々は、これらの技術を放置すれば、深刻な損害をもたらし、プライバシーを含む個人の権利利益を損なう可能性があることも認識する。 
11. We note growing concerns at the global level about increased risks to privacy and other human rights posed by the development, application, and use of AI technologies, including Generative AI. These emerging technologies can involve the automated collection and processing of large quantities of personal information in ways that, in the absence of appropriate safeguards, may undermine compliance with key international principles of data protection and privacy. In that context, we stress the need for developers and users of these technologies to demonstrate compliance with legal obligations, and ensure the implementation of risk mitigating measures, in consultation with relevant DPAs where necessary or appropriate. We reiterate that ensuring the “trust” of individuals, regulatory authorities, and our society is fundamental to the expansion and continued use of such technologies.  11. 我々は、生成 AI を含む AI 技術の開発、適用及び利用によってもたらされる、プライバシーその他の人権に対するリスクの増大について、世界レベルで懸念が高まっていることに留意する。これらの先端技術は、適切な保護措置がない場合、データ保護・プライバシーの主要な国際原則の遵守を損なう可能性のある方法で、大量の個人情報の自動収集・処理を伴う可能性がある。これに関連して、我々は、これらの技術の開発者及び利用者が、法的義務を遵守していることを証明し、必要又は適切な場合には、関連する DPA と協議し、リスクを軽減する措置の実施を確保する必要性を強調する。我々は、個人、規制当局、そして、我々の社会の「信頼性」を確保することが、こうした技術の拡大及び継続的な利用にとって必須であることを繰り返し表明する。 
12. We also note that among AI technologies, facial recognition technology (FRT) has become a technology of particular concern in G7 member states and around the world. Its use can involve the collection and analysis of highly sensitive personal information through processes that can be automated, scaled, and deployed across a wide range of environments. The use of FRT by both public and private organizations can have serious and lasting consequences for individuals and for society as a whole. In that context, we welcome the recent GPA Resolution on Principles and Expectations for the Appropriate Use of Personal Information in FRT and the GPA’s subsequent efforts to promote the principles in the resolution throughout the world.  12. 我々は、AI 技術の中でも、顔認識技術(FRT)が、G7 メンバー国及び世界中で、特に懸念される技術となっていることにも留意する。その利用は、自動化、拡大及び幅広い環境における導入が可能なプロセスを通じ、非常にセンシティブな個人情報の収集及び分析に関与する可能性がある。公的及び民間機関双方における FRT の利用は、個人及び社会全体にとって、深刻かつ永続的な結果を引き起こし得る。この文脈において、我々は、FRT による個人情報の適切な利用に関する原則及び期待に係る最近の GPA 決議、並びに、世界中に当該決議の原則を推進する GPA のその後の取組を歓迎する。 
13. The G7 DPAs understand the importance and benefits of Privacy Enhancing Technologies (PETs). With the development of these new methods, we recognise that guidance from DPAs is needed to support understanding of the data protection implications of using PETs.   13. G7 DPA は、プライバシー強化技術(PETs)の重要性及び利益理解している。これらの新たな手法の開発に伴い、我々は、PETs の利用がデータ保護にもたらす影響への理解を支援するため、DPA によるガイダンスが必要であると認識する。 
14. We highlight that PETs may help entities/organizations to implement data protection principles effectively and to integrate necessary data protection safeguards into various data processing activities. We emphasize that PETs are not a “silver bullet” for data protection compliance and that in deploying them consideration must be given to the interactions with other regulatory spheres to ensure compliance with such spheres. For example, competition authorities may be concerned with the anticompetitive use of PETs. Case-by-case risk assessments are still required to determine how, and to what extent, individual PETs can enhance compliance with data protection principles and requirements.  14. 我々は、PETs が、事業者・組織がデータ保護原則を効果的に実施し、必要なデータ保護措置を様々なデータ処理活動に組み込むのに役立つ可能性があることを強調する。我々は、PETs がデータ保護の遵守のための「万能薬」ではないこと、PETs を導入する際には他の規制分野との相互作用を考慮し、当該分野の遵守を確保する必要があることを強調する。例えば、競争当局が、PETs の反競争的利用に懸念を有する可能性がある。個々のPETsが、どのように、また、どの程度、データ保護の原則及び要件の遵守を強化することができるかを判断するため、ケースバイケースのリスク評価が依然として求められる。 
15. We value the working-level discussions held within the Emerging Technologies Working Group, chaired by the Office of the Privacy Commissioner of Canada (OPC). The Working Group has committed to developing a PETs use case to demonstrate how one type of PET (synthetic data) can be used for a specific purpose to achieve a safe and private method for obtaining insights from sensitive data. The development of a case study will aim to inform this emerging market and in doing so, encourage the responsible use of such technologies. The Working Group also plans to develop a terminology document for anonymization, pseudonymisation and de-identification, to ensure a common understanding of key terms across jurisdictions. Further, the Working Group intends to collaborate on the issue of personal data protection in the context of generative AI, and to explore how best to protect privacy in relation to this technology.  15. 我々は、カナダのプライバシーコミッショナー事務所(OPC)が議長を務める先端術作業部会で行われた実務レベルの議論を評価する。本作業部会は、センシティブデータから洞察を得るための安全かつ非公開の方法を実現するため、1 種類の PET(合成データ)を特定の目的に利用できることを示すPETsのユースケースを開発することにコミットした。ケーススタディの開発は、この新興市場に情報を提供し、そうすることで、このような技術の責任のある利用を慫慂することを目的としている。また、匿名化、仮名化及び非識別化に関する専門用語集を作成し、主たる専門用語の管轄を超えた共通理解を確保する予定である。さらに、本作業部会は、生成 AI の文脈における個人データ保護の課題について協力し、この技術に関連してプライバシーを保護する最善の方法を模索する予定である。 
Pillar III- Enforcement cooperation  第3の柱 - 執行協力 
16. One of the most important functions of DPAs is to exercise the full range of their regulatory powers to prevent non-compliance, sanction violations of individual privacy and deter possible contraventions. Enforcement powers are a fundamental element of DPAs’ overall approach to achieving compliance.   16. DPA の最も重要な機能の一つは、その規制権限を最大限行使して、法令違反を防止し、個人のプライバシー侵害に対して制裁措置を取り、想定される違反を抑止することである。執行権限は、法令遵守達成に向けたDPA の全体的なアプローチの基本的な要素である。 
17. We reaffirm the need for international cooperation among DPAs to effectively exercise our regulatory powers in today’s digital economy, especially in the face of the global adoption of new and emerging technologies and increasing data flows. International enforcement cooperation helps better protect the rights and interests of individuals and provides clarity and consistency for organisations, wherever they are in the world. Cooperation expands our collective enforcement capacity to take action, especially with cross-border and global issues, which are challenging for DPAs to tackle alone.  17. 我々は、今日のデジタル経済において、特に、新しい技術及び先端技術の世界的な導入、並びに、データ流通の増大に直面し、規制権限を実効的に行使するため、DPA 間の国際協力の必要性を再確認する。国際的な執行協力は、個人の権利利益をより良く保護するのに役立ち、世界のどこにいても、組織に対して明確性及び一貫性を提供する。特に、国境を越えたグローバルな課題については、DPA が単独で取り組むのは困難であるため、協力により、行動をとるための集団的な執行能力が拡大される。 
18. We therefore re-affirm our commitment to enhance cooperation towards finding and implementing appropriate solutions to such challenges, generally and in specific cases. This will occur through regulatory dialogues and information sharing, and by seeking out opportunities to engage in concrete bilateral or multilateral coordinated enforcement actions amongst G7 DPAs.  18. したがって、我々は、一般的に、また、特定の事案において、このような課題に対する適切な解決策の発見及び実施に向け、協力を強化するというコミットメントを再確認する。これは、規制に関する対話及び情報共有を通じて、また、G7 DPA間で具体的な二国間又は多国間の協調的執行活動に関与する機会を模索することによって行われる。 
19. To facilitate effective enforcement in practice, we are fostering dialogues to reach a better understanding of each other’s laws and powers and to share national and international best practices both within the G7 group and with other regulatory authorities, bilaterally and through enforcement cooperation networks. Such dialogues include discussions on the effective implementation of the data minimization principle.   19. 実際に効果的な執行を促進するため、我々は、G7 グループ内及び他の規制当局との間で、二国間ないし執行協力ネットワークを通じて、互いの法及び権限についてより良い理解に達するための対話、並びに、国内外のベストプラクティスの共有を促進する。このような対話には、データ最小化原則の効果的な実施に関する議論も含まれる。 
20. We highly value and will continue to support and leverage enforcement collaboration activities in international fora. These include the GPA’s International Enforcement Cooperation Working Group, which recently updated the Enforcement Cooperation Handbook and Repository, and the Global Privacy Enforcement Network (GPEN), which provides pragmatic opportunities and tools for participating DPAs to strengthen their cooperation on enforcement.  20. 我々は、国際場裏における執行協力活動を高く評価するとともに、引き続き支援し、活用する。これらには、最近、執行協力ハンドブック及びリポジトリを更新した、GPA の国際執行協力作業部会、並びに、参加 DPA が執行に関する協力を強化するための実用的な機会及びツールを提供する、グローバルプライバシー執行ネットワーク(GPEN)が含まれる。 
21. We welcome the progress made by the G7 Enforcement Cooperation Working Group under the co-chairs of the Federal Trade Commission, United States of America and the PPC, Japan. The development at the 2023 DPAs Roundtable meeting of a G7 DPA Request for Information form and a G7 Contact List is a tangible step towards strengthening enforcement cooperation among the G7 members, and with other DPAs.  21. 我々は、米国の連邦取引委員会及び日本の PPC の共同議長の下、G7 執行協力作業部会による進展があったことを歓迎する。2023 年の DPA ラウンドテーブル会合において、G7 DPA 情報提供依頼書フォーム及び G7 コンタクトリストが作成されたことは、G7 メンバー及び他の DPA との執行協力の強化に向けた目に見える一歩である。 
Next steps  次のステップ 
22. Based on the above shared views, we have endorsed the 2023/24 Action Plan (in Annex) to continue deepening our regulatory cooperation. With the adoption of the Action Plan, we express our strong commitment to strengthen cooperation, address the challenges identified in those three priority areas, fulfill our responsibilities, and shape our path towards a high level of data protection and privacy.  22. 上記の共有した見解に基づき、我々は、規制協力を引き続き深化させるための 2023 から 2024 年の行動計画(附属書)を承認した。当該行動計画の採択により、我々は、協力を強化し、これらの 3 つの優先分野で特定した課題に取り組み、自らの責任を果たし、ひいては、高水準のデータ保護・プライバシーに向けて道を切り開くという強い決意を表明する。 
23. Building on the results of the Roundtable meeting and the meetings of the DFFT, Emerging Technologies and Enforcement Cooperation Working Groups in 2023, we will continue to engage in discussions at expert level with the aim of developing the topics identified in the Action Plan and preparing the Roundtable meeting under the chairpersonship of the Garante, Italy, in 2024.  23. 2023 年のラウンドテーブル会合、並びに DFFT、先端技術及び執行協力作業部会の会合の結果を踏まえ、当該行動計画で特定したトピックを発展させ、2024 年にイタリア Garante の議長の下、ラウンドテーブル会合を準備することを目的として、我々は、専門家レベルでの議論を継続する。 

 

Roundtable of G7 Data Protection and Privacy Authorities  G7 データ保護・プライバシー機関ラウンドテーブル会合 
Statement on Generative AI  生成 AI に関する声明 
1.     We, the G7 data protection and privacy authorities (DPAs), met to discuss the recent developments and challenges of generative AI technologies from a data protection and privacy perspective.  1.     我々、G7 データ保護・プライバシー機関(DPA)は、データ保護・プライバシーの観点から、生成 AI 技術の最近の動向及び課題について議論するために会合した。 
2.     In the context of the rapid development and deployment of generative AI technologies, the widespread proliferation of their uses around the world and their increasing adoption across various domains, we recognize that there are growing concerns that generative AI may present risks and potential harms to privacy, data protection, and other fundamental human rights if not properly developed and regulated. In this regard, we welcome the G7 Digital and Tech Ministerial Declaration of April 2023, which reinforces the position that AI related laws, regulations, policies, and standards “should be human centric and based on democratic values, including the protection of human rights and fundamental freedoms and the protection of privacy and personal data”.  2.     生成 AI 技術の急速な開発及び導入、世界中でその利用の広範な普及、並びに様々な分野での採用が進む中、我々は、生成 AI が適切に開発されて規制されなければ、プライバシー・データ保護、その他基本的人権に対してリスク及び潜在的な損害をもたらす可能性があるとの懸念が高まっていることを認識する。この点に関して、我々は、AI 関連の法、規則、政策及び基準が「人間中心であり、人権と基本的自由の保護、プライバシーと個人データの保護を含む民主的価値に基づくべきである」という立場を強化した 2023 年4 月の G7 デジタル・技術閣僚宣言を歓迎する。 
3.     We note that current law applies to generative AI products and uses, even as different jurisdictions continue to develop AI-specific laws and policies.  3.     我々は、様々な管轄区域が AI に特化した法律及び政策の開発を続けているが、現行法が生成 AI 製品及び利用に適用されることに留意する。 
4.     We draw attention to key areas of concern where privacy and data protection risks may arise within the context of generative AI tools, including but not limited to:  4.     我々は、生成 AI ツールに関連して、プライバシー・データ保護のリスクが生じる可能性のある主要な分野の懸念に注意を促すものとする。同分野には、以下が含まれるが、これらに限定されるものではない。 
・ Legal authority for the processing of personal information, particularly that of minors and children, in relation to:  ・ 以下の事項に関連した、個人情報の処理、特に、未成年者・子どもの個人情報の処理に関する法的権限 
o   the datasets used to train, validate and test generative AI models;  o   生成 AI モデルの訓練、検証及びテストに利用されるデータセット 
o   individuals’ interactions with generative AI tools; and  o   個人による生成 AI ツールとの対話 
o   the content generated by generative AI tools.  o   生成 AI ツールによって生成されたコンテンツ 
・ Security safeguards to protect against threats and attacks that seek to:  ・ 以下を目的とした脅威及び攻撃から保護するための安全保護措置 
o   invert the generative AI model to extract or reproduce personal information originally processed in the datasets used to train the model; and  o   生成 AI モデルを逆転させ、モデル訓練に利用されたデータセット内において当初処理された個人情報を抽出又は再現すること 
o   subvert the efficacy of measures designed to promote compliance with other privacy and data protection requirements.  o   他のプライバシー・データ保護要件の遵守を促進するために設計された措置の効果を失わせること 
・ Mitigation and monitoring measures to ensure personal information generated by generative AI tools is:  ・ 生成 AI ツールによって生成された個人情報が以下のとおりであることを確保するための軽減措置及びモニタリング措置 
o   accurate, complete and up-to-date; and  o   正確、完全、かつ最新であること 
o   free from discriminatory, unlawful, or otherwise unjustifiable effects.  o   差別的、違法な、その他の不当な影響を受けないこと 
・ Transparency measures to promote openness and explainability in the operation of generative AI tools, especially in cases where such tools are used to make or assist in decision-making about individuals.  ・ 生成 AI ツールの運用において、公開性・説明可能性を促進する透明性に関する措置、特に、当該ツールが個人に関する意思決定やその支援を行うために利用される場合の透明性に関する措置 
・ Production of technical documentation across the development lifecycle to assess the compliance of generative AI tools with privacy and data protection requirements.  ・ 生成 AI ツールのプライバシー・データ保護要件の遵守を評価するための、開発のライフサイクルを通じた技術文書の作成 
・ Technical and organizational measures to ensure individuals affected by or interacting with these systems have the ability to exercise their rights in relation to generative AI tools with respect to:  ・ これらのシステムによる影響を受ける個人、又はこれらのシステムと対話を行う個人が、生成 AI ツールに関連して、以下に関する権利行使を確保するための技術的及び組織的措置 
o access to their personal information; o   自己の個人情報へのアクセス 
o rectification of inaccurate personal information;  o   不正確な個人情報の修正 
o erasure of their personal information; and  o   自己の個人情報の削除 
o   refusal to be subject to solely automated decisions with significant effects.  o   重大な影響を及ぼす自動化された決定のみに従うことの拒否 
・ Accountability measures to ensure appropriate levels of responsibility among actors in the AI supply chain, especially when generative AI models are built upon one another.  ・ AI のサプライチェーンにおいて、主体間の適切な水準の責任を確保する説明責任の措置。特に、生成 AI モデルが相互に構築される場合の説明責任の措置 
・ Limiting collection of personal data to only that which is necessary to fulfil the specified task.  ・ 特定されたタスクを遂行するために必要な範囲にのみ、個人データの収集を制限すること 
5.     We note the recent developments within the G7. In particular, we recall that the Garante per la protezione dei dati personali – in the framework of a still ongoing investigation activity – had temporarily suspended the services that use generative AI in Italy, due to a possible violation of the GDPR and its national law, although the suspension was lifted after improvements in transparency and the rights of individuals for its service were implemented, in accordance with the order by the Italian authority. We highlight that close attention by technology companies to legal requirements and guidance from DPAs, and, where appropriate, close communication between technology companies and DPAs, can contribute to the responsible design, development and deployment of generative AI products and services in order to ensure the recognition and protection of privacy and other fundamental human rights. Further, we note the various ongoing actions by G7 DPAs including:  5.     我々は、G7 内の最近の動向に留意する。特に、我々は、イタリアのデータ保護機関(Garante)が、現在も継続中の調査活動の枠組みの中で、一般データ保護規則(GDPR)及びその国内法に違反する可能性があるため、生成 AI を利用するサービスをイタリア国内で一時的に停止したが、イタリア当局による命令に従って当該サービスに対する透明性及び個人の権利において改善が実施された後、その停止が解除されたことを想起する。我々は、テクノロジー企業が法的要件及び DPA のガイダンスに細心の注意を払い、適切な場合には、テクノロジー企業と DPA の間で緊密なコミュニケーションを図ることが、プライバシーその他基本的人権の認識・保護を確保するため、生成 AI の製品及びサービスに関する責任ある設計、開発及び導入に寄与することを強調する。さらに、以下のような G7 DPA による様々な継続中の行動に注目する。 
・ Investigating generative AI based on their respective legislations and issuing a regulatory notice.  ・ 各国法制に基づいて生成 AI の調査を行うこと及び規制上の通知を発出すること 
・ Fostering cooperation and exchanging information on possible enforcement actions through for instance dedicated task force.  ・ 専門のタスクフォースなどを通じ、あり得る執行活動に関する協力及び情報共有を促進すること 
・ Providing information on AI such as guidance on best practices for data protection and privacy compliance.  ・ データ保護・プライバシー遵守のためのベストプラクティスに関するガイダンスなど、AI に関する情報を提供すること 
・ Supporting innovative AI-based projects and actors, including through a regulatory sandbox.  ・ 規制サンドボックスによることを含め、革新的な AI ベースのプロジェクト・主体を支援すること 
6.     Developers and providers should embed privacy in the design, conception, operation, and management of new products and services that use generative AI technologies, based on the concept of “Privacy by Design” and document their choices and analyses in a privacy impact assessment. In particular, developers and providers must comply with the existing laws and adhere to applicable internationally observed key data protection and privacy principles such as data minimization, data quality, purpose specification, use limitation, security safeguards, transparency, rights for data subjects including the right to be informed about the collection and the use of their personal data, and accountability. Developers and providers should also put in place measures to ensure deployers/adopters of their systems also have the ability to comply with their data protection and privacy obligations.  6.     開発者・提供者は、「プライバシー・バイ・デザイン」の考えに基づき、生成AI 技術を利用する新たな製品及びサービスに関する設計、構想、運用及び管理にプライバシーを組み込み、プライバシー影響評価において行った自らの選択と分析について文書化すべきである。特に、開発者・提供者は、既存の法を遵守しなければならず、また、データ最小化、データ内容、目的明確化、利用制限、安全保護措置、透明性、個人データの収集及び利用について情報の提供を受ける権利を含むデータ主体の権利、並びに、説明責任など、適用可能であり国際的に遵守されているデータ保護・プライバシーの主要原則を遵守すべきである。また、開発者・提供者は、そのシステムの導入者・採用者もデータ保護・プライバシーの義務を遵守することができるようにすることを確保するための措置を講じるべきである。 
7.     The G7 DPAs agree that further discussion and collaboration is needed on the issue of personal data protection within the context of generative AI from an ethical, legal, social, and technical perspective, and will continue to explore how best to protect privacy in relation to generative AI in the Emerging Technologies Working Group and Enforcement Cooperation Working Group under the G7 DPA Roundtable. We will contribute to discussions on generative AI held in other international fora and emphasize the need to pay close attention to data protection and privacy issues.  7.     G7 DPA は、倫理的、法的、社会的及び技術的観点から、生成 AI に関連した個人データ保護の課題について、さらなる議論及び連携が必要であることに同意し、G7 DPA ラウンドテーブルの下、先端技術作業部会及び執行協力作業部会において、生成 AI に関連するプライバシー保護の最善の方法を引き続き探求する。また、我々は、他の国際フォーラムで行われる生成 AI に関する議論に貢献し、データ保護・プライバシーの課題に細心の注意を払う必要性を強調する。 

 

 

 

G7 DPAs’ Action Plan  G7 DPA 行動計画 
We, the G7 Data Protection and Privacy Authorities (DPAs), endorse the following Action Plan on the three pillars set out by the 2023 Communiqué, namely (I) Data Free Flow with Trust (DFFT), (II) Emerging technologies, and (III) Enforcement cooperation. In doing so, we commit to:  我々、G7 データ保護・プライバシー機関(DPA)は、2023 年コミュニケで定められた 3 つの柱、すなわち、(I)信頼性のある自由なデータ流通(DFFT)、(II)先端技術、及び(III)執行協力に関する以下の行動計画を承認する。その際、我々は以下の事項にコミットする。 
Pillar I - DFFT  第1の柱 - DFFT 
Developing DFFT   DFFT の発展 
1.      Remain attentive and supportive to the ongoing efforts to develop the concept of DFFT, as progressed within several international fora such as our G7 working group, the Global Privacy Assembly (GPA), the Organization for Economic Cooperation and Development (OECD), including through the announcement of the creation of a new Institutional Arrangement for Partnership (IAP), and emphasize that trust is a vital component to the flow of data on a global scale.  1.     新しいパートナーシップのための制度的アレンジメント(IAP)の創設の発表を通じたものを含め、我々の G7 作業部会、世界プライバシー会議(GPA)、経済協力開発機構(OECD)など、複数の国際フォーラムにおいて進展している DFFT の概念を発展させるための進行中の取組に、引き続き注意を向け、また、支持するとともに、グローバル規模でのデータ流通には信頼が必要不可欠の要素であることを強調する。 
2.      Reach a common understanding of the notion and key components of DFFT as far as personal data is concerned and assess common goals to ensure a high level of data protection and privacy.  2.     DFFT の概念及び主たる構成要素のうち個人データに関するものについて共通の理解に至り、高い水準のデータ保護・プライバシーを確保するための共通の目標を評価する。 
Transfer tools  移転ツール 
3.      Build on the conclusions of the G7 DPA Roundtable in Bonn in 2022 which recognized data transfer tools as important means for DFFT.  3.     データ移転ツールがDFFTの重要な手段であると認識された2022年にボンで開催された G7 DPA ラウンドテーブル会合における結論に基づいて構築する。 
4.      Continue working towards elements of convergence to foster future interoperability of these transfer tools, where possible, and identify specific usecases for their interoperable use, in order to achieve a high level of data protection and facilitate DFFT.   4.     高い水準の個人データ保護を実現し、DFFT を促進するために、こうした移転ツールの将来の相互運用性を促進するための収斂の要素に向けて作業を継続し、可能な場合には、相互運用可能な利用のための具体的なユースケースを特定する。 
5.      Contribute to and support the work that is being undertaken by the Global Frameworks and Standards Working Group of the GPA, through the existing membership of the G7 DPAs.   5.     GPA のグローバルな枠組み及び基準に関する作業部会によって行われている取組に対して、G7 DPA の既存の参加メンバーを通じて、貢献し、支援する。 
6.      Share knowledge on tools for secure and trustworthy transfers, notably through the comparison of Global Cross-Border Privacy Rules (CBPR) and EU certification requirements, and through the comparison of existing model contractual clauses. This work will assess the level of interoperability and convergence between different certification mechanisms and other tools for transfers, and map commonalities and possible differences as well as areas for further improvement.  6.     安全かつ信頼性のある移転ツールに関する知識を、とりわけ、グローバル越境プライバシールール(CBPR)及びEU認証の要件の比較や、既存のモデル契約条項の比較を通じて、共有する。本作業は、異なる認証メカニズムその他の移転ツール間の相互運用性及び収斂の水準を評価し、共通点、考えられる相違点及び更なる改善のための領域をマッピングする。 
7.      Identify opportunities for longer term initiatives for the DFFT Working Group, including progressing discussions on how DPAs can play an active role in the development of the IAP.  7.     IAP の展開において、DPA がいかに積極的な役割を果たすことができるのかについて議論を進めることを含め、DFFT 作業部会の長期的な新な取組の機会を特定する。 
Government access to data  データに対するガバメントアクセス 
8.      Commend the 2021 GPA resolution on Government Access to Data, Privacy and the Rule of Law.  8.     データに対するガバメントアクセス、プライバシー及び法の支配に関する 2021 年の GPA 決議を称賛する。 
9.      Encourage the OECD to continue its work on trusted government access including considering further steps to promote and develop approaches in support of its Declaration on Government Access to Personal Data held by Private Sector Entities adopted at the OECD Ministerial meeting in December 2022.   9.     OECD が、2022 年 12 月の OECD 閣僚会議で採択した「民間部門が保有する個人データに対するガバメントアクセスに関する宣言」を支持するアプローチを促進し、発展するための更なる措置を検討することを含め、信頼性のあるガバメントアクセスに関する作業を継続することを慫慂する。 
10.   Considering its universal nature, encourage non-OECD members to refer to the OECD Declaration and reflect it in their policy making.   10.  その普遍的な性質を考慮し、OECD 非加盟国が当該 OECD 宣言を参照し、政策立案に反映することを慫慂する。 
Pillar II - Emerging technologies  第2の柱 - 先端技術 
11. Seek to promote the development and usage of emerging technologies in ways that reinforce trust and respect privacy.   11.  信頼性を強化し、プライバシーを尊重する方法で、先端技術の開発及び利用の促進を探求する。 
Terminology reference document   専門用語の参照資料 
12.   Facilitate collaborative work and discussions on de-identification, anonymization, pseudonymization, and Privacy-Enhancing Technologies (PETs) by fostering a common understanding of key terms and concepts in use across G7 jurisdictions.   12.  G7の管轄区域全体で使用されている主要な用語及び概念の共通理解を促進することにより、非識別化、匿名化、仮名化及びプライバシー強化技術(PETs)に関する共同作業及び議論を促進する。 
13.   Develop a terminology reference document outlining key terms and characteristics relating to de-identification, anonymization, pseudonymization, and PETs in use among G7 DPAs to facilitate collaborative work and discussions.  13.  G7 DPA 間で使用されている非識別化、匿名化、仮名化及び PETs に関連する主要な用語及び特性を概説する専門用語の参照資料を作成し、共同作業及び議論を促進する。  
・ The document will note how terms are defined, explain common features across jurisdictions, and note important differences between jurisdictions. It will also address relevant international definitions/uses of terms (e.g. International Organization for Standardization (ISO) standards), and will contain references to sources of information, guidance, and definitions for key terms in G7 jurisdictions.  ・当該資料は、用語の定義を記載し、管轄区域間に共通する特徴を説明し、かつ、管轄区域間の重要な相違点が記載される。また、当該資料は、関連する国際的な用語の定義及び用法(例:国際標準化機構(ISO)規格)を取り扱い、G7 各国の管轄区域における主要な用語の出典、ガイダンス及び定義の言及を含むものになる。 
PETs use case study  PETs のユースケース・スタディ 
14.   Encourage the adoption and development of PETs by developing a use case demonstrating how one specific PET (synthetic data) can be used to reduce privacy risks while contributing to the public benefit.  14.  特定の PET(合成データ)を用いて、公共の利益に貢献しながらプライバシーリスクの低減を可能とする方法を実証するユースケースを開発することにより、PETs の採用及び開発を慫慂する。 
15.   Bring regulatory insights to this emerging market and encourage the use of such technologies, by demonstrating, through this use case, how synthetic data can be used for the purpose of sharing health data to help achieve a safe and privacy-enhancing method for obtaining insights from sensitive data.   15.  本ユースケースを通じて、合成データが健康データを共有する目的で使用され、センシティブデータから洞察を得るために安全かつプライバシーを強化する方法を実現することに役立つかを実証することにより、この新興市場に規制に関する洞察をもたらし、これらの技術の利用を慫慂する。  
・The use case will seek to explain how generating local-level synthetic datasets of prescriptions can allow insights to be gained at a wider geographic level without the need to share sensitive information about individual prescriptions and provide information about how such a process can take place, what technical and organizational measures are required and what privacy considerations are relevant.   ・本ユースケースは、ローカルレベルで処方箋の合成データセットを生成することにより、個別の処方箋に関するセンシティブ情報を共有する必要なく、地理的により広いレベルで洞察を得ることができることを説明するとともに、そのようなプロセスがどのように行われるのか、いかなる技術的及び組織的措置が必要となるのか、そして、どのようにプライバシーへの配慮が関連性を有するのかについて情報を提供することを目指すものである。 
16.   Share knowledge and existing work in this area and identify opportunities to engage with subject matter experts and other relevant stakeholders.   16.  本分野における知識及び既存の取組を共有し、主題専門家その他の関連するステークホルダーと関わる機会を特定する。 
17.   Discuss how to proceed with other PETs in this Working Group without limitation to use case studies once the analysis of one type of PET (synthetic data) is completed.  17.  本作業部会において、一種類の PET(合成データ)の分析が完了した後、ユースケース・スタディに限定することなく、他の PETs の進め方について議論する。 
Support for GPA resolution on principles for the use of facial recognition technology  顔認識技術の利用に係る原則に関する GPA 決議への支持 
18.   Welcome the GPA 2022 Resolution on Principles and Expectations for the Appropriate Use of Personal Information in Facial Recognition Technology (FRT), which seeks to establish a set of shared principles for FRT use by public and private organizations around the world.  18.  世界中の公的機関及び民間機関による顔認識技術(FRT)の利用に係る一連の共有原則の確立を目指す、FRT における個人情報の適切な利用に関する原則及び期待に係る 2022 年 GPA 決議を歓迎する。 
19.   Promote these principles and expectations to stakeholders worldwide, by:  19.  世界中のステークホルダーに対して、以下を行うことにより、これらの原則及び期待を広める。 
・ Citing and hyperlinking the text of the principles and expectations, where relevant and appropriate, in documentation on AI and FRT-related topics produced by Emerging Technologies Working Group members;  ・ 先端技術作業部会のメンバーが作成する AI と FRT に関連したトピックに関する文書において、関連性があり、かつ、適切な場合には、本原則及び期待のテキストを引用し、ハイパーリンクを付けること 
・ Encouraging support for the principles and expectations, as and where appropriate, among external stakeholder groups.   ・ 適切な場合には、外部のステークホルダーグループの間において、本原則及び期待に対する支持を慫慂すること 
・ Advocating for safeguards that are consistent with the principles and expectations, as and where appropriate in members’ jurisdictions.    ・ メンバーの管轄区域において、適切な場合には、本原則及び期待に整合的な保護措置を提唱すること 
Collaboration on personal data protection in the context of generative AI  生成 AI に関連した個人データ保護に関する連携 
20.   Collaborate on the issue of personal data protection within the context of generative AI from an ethical, legal, social, and technical perspective.   20.  生成 AI に関連した個人データ保護の課題について、倫理的、法的、社会的及び技術的な観点から連携する。 
21.   Contribute to discussions on generative AI in other international fora, while emphasizing the need to pay close attention to data protection and privacy issues.  21.  データ保護・プライバシーの課題に細心の注意を払う必要性を強調しつつ、他の国際フォーラムにおける生成 AI に関する議論に貢献する。 
22.   Explore how best to protect privacy in relation to generative AI.  22.  生成 AI に関連して、プライバシーを保護するための最善の方法を探求する。 
Pillar III- Enforcement cooperation  第3の柱 - 執行協力 
Increasing Enforcement Dialogues amongst G7 DPAs and the broader data protection and privacy enforcement community  G7 DPA 間及びより広範なデータ保護・プライバシー執行コミュニティ間における執行に係る対話の増進 
23.   Foster greater dialogue, through the G7 Enforcement Cooperation Working Group and with the broader privacy enforcement community, in relation to enforcement cooperation matters, including enforcement of laws and regulations, to ensure a high level of data protection and privacy, and to identify and overcome legal and practical challenges for cross-border enforcement cooperation.  23.  法令の執行を含む執行協力事項に関連して、G7執行協力作業部会を通じて、また、より広いプライバシー執行コミュニティとのより大きな対話を促進し、高水準のデータ保護・プライバシーを確保するとともに、越境執行協力のための法的・実務的課題を特定し、克服する。 
24.   Seek out, advocate for, and actively participate in discussions on these topics at existing fora such as the GPA’s International Enforcement Cooperation Working Group (IEWG), the Global Privacy Enforcement Network (GPEN) and others.   24.  GPA の国際執行協力作業部会(IEWG)、グローバルプライバシー執行ネットワーク(GPEN)等の既存のフォーラムにおいて、これらのテーマに関する議論を模索し、提唱し、そして、積極的に参加する。 
25.   Share both domestic and international best practices for effective enforcement collaboration, including successful cooperation cases.   25.  成功した協力事例を含め、効果的な執行協力のための国内外のベストプラクティスを共有する。 
26.   Discuss ways to promote implementation of data minimalization principles and efforts to disseminate these principles worldwide, and share lessons learned and examples of remedies to achieve data minimization.  26.  データ最小化原則の実施を促進する方法及び当該原則を世界に普及させる取組について議論するとともに、データ最小化を達成するための教訓と救済事例を共有する。 
27.   Explore differences in enforcement from perspectives of deterrence, accountability, and protection of individuals.  27.  抑止力、説明責任、個人の保護という観点から、執行の相違を探求する。 
Interventions by the G7 Enforcement Cooperation Working Group to Support Existing Enforcement Cooperation Activities  既存の執行協力活動を支援するための G7 執行協力作業部会による介入 
28.   Establish a G7 DPA Contact List to promote ongoing information sharing and encourage GPEN to expand and refresh its own contact list, by notably incorporating the G7 Contact List.  28.  継続的な情報共有を促進するために G7 DPA コンタクトリストを作成するとともに、GPEN に対し、 特に、G7 コンタクトリストを組み込むことにより、自らのコンタクトリストを拡大し、更新することを慫慂する。 
29.   Build on the influence of the G7 DPAs to promote agile and efficient cooperation, including by (i) enhancing the established G7 DPA Request for Information (RFI) format at G7 Enforcement Cooperation Working Group, (ii) considering to work towards establishing a new bilateral Memorandum of Understanding (MoU) or Memorandum of Cooperation (MoC) amongst G7 DPAs, and (iii) incorporating the RFI format and the existing MoUs and MoCs into the GPA’s Enforcement Cooperation Handbook, to serve as examples for other DPAs.  29.  G7 DPA の影響力を踏まえ、以下を含む取組を行うことにより、機動的かつ効率的な協力を促進する。(i) G7 執行協力作業部会において、作成済みの G7 DPA の情報提供依頼書(RFI)フォームを改良すること、(ii) G7 DPA 間の新たな二国間の了解覚書(MoU)又は協力覚書(MoC)の締結に向けた作業を検討すること、(iii) RFI フォーマット、並びに、既存のMoU及びMoCをGPAの執行協力ハンドブックに組み込み、他のDPAの手本とすること。 
30.   Lead by example, by seeking out opportunities to engage in concrete bilateral or multi-lateral enforcement cooperation amongst G7 member authorities, and by sharing information and/or undertaking joint or coordinated enforcement actions in relation to data protection and privacy issues of global significance.  30.  G7メンバー当局間における具体的な二国間又は多国間の執行協力を行う機会を模索することにより、また、世界的に重要なデータ保護・プライバシーの課題に関連して、情報を共有したり、共同執行活動又は連携した執行活動を実施したりすることにより、模範を示す。 
General Support and Amplification of Existing Enforcement Cooperation Activities  既存の執行協力活動への全般的な支援及び拡充 
31.   Support and encourage the global DPA community to engage with global and regional fora to leverage the various tools and mechanisms for enforcement cooperation made available by those networks to expand our collective enforcement capacity and create the foundation for successful cooperation. To this end, the G7 Enforcement Cooperation Working Group undertakes the following.  31.  世界の DPA コミュニティが、世界及び地域のフォーラムに参加し、これらのネットワークが提供する執行協力のための様々なツール及びメカニズムを活用して、我々の集団的執行能力を拡大し、協力の成功のための基盤を構築することを支援し、慫慂する。この目的のため、G7執行協力作業部会は、以下を行う。 
32.   Encourages participation in the GPA, including:  32.  以下を含め、GPA への参加を慫慂する。 
・ the Global Cross Border Enforcement Cooperation Arrangement of the GPA (“Mauritius Arrangement”)  ・ GPA のグローバル越境執行協力取決め(モーリシャス取決め)。 
・ the GPA’s IEWG, in respect of which we welcome the efforts to update the Enforcement Cooperation Handbook and Repository; and  ・ GPA の IEWG(我々は、同作業部会における執行協力ハンドブック及びリポジトリの更新に向けた取組を歓迎する。) 
・ the Digital Citizen and Consumer Working Group of the GPA which promotes cross-regulatory dialogues and practical cooperation where privacy intersects with other regulatory spheres (e.g., Competition).  ・ GPA のデジタル市民及び消費者作業部会(同作業部会では、プライバシーが他の規制分野(例:競争)と交差する場合に、分野横断的規制に関する対話及び実践的協力を促進する。) 
33.   Encourages participation in GPEN and its various tools and initiatives, such as Privacy Sweeps, capacity building webinars and online discussion forum, and supports the implementation of its updated Action Plan.  33.  GPEN 並びにその様々なツール及びイニシアチブ(プライバシー・スウィープ、能力構築ウェビナー、及び、オンラインでの議論のフォーラムなど)への参加を慫慂するとともに、その更新された行動計画の実施を支援する。 
34.   Welcomes the OECD’s ongoing work to review its Recommendation on Crossborder Co-operation in the Enforcement of Laws Protecting Privacy and encourages the OECD to work with enforcement fora including the G7, GPA, and GPEN to assess overlaps, commonalities, complementarities, and opportunities for coordination across the existing frameworks and networks for enforcement cooperation.  34.  OECD がプライバシー保護法の執行に係る越境協力に関する勧告のレビューに継続的に取り組んでいることを歓迎するとともに、OECD に対し、G7、GPA 及び GPEN を含む執行フォーラムと協力して、執行協力のための既存の枠組み及びネットワークにおける重複、共通点、補完性及び調整の機会を評価することを慫慂する。 
35.   Takes note of the developments in regional networks to foster global enforcement cooperation amongst DPAs, including:  35.  以下を含む、DPA 間のグローバルな執行協力を促進するための地域的なネットワークにおける進展に留意する。 
a)     the European Data Protection Board’s (EDPB’s) toolbox on essential data protection safeguards for enforcement cooperation between EEA and other DPAs; and  a)  EEA 及び他の DPA 間の執行協力のための必要不可欠なデータ保護措置に関する欧州データ保護委員会(EDPB)のツールボックス 
b)     the ongoing work of the Global Cooperation Arrangement for Privacy Enforcement (CAPE), which would underpin the coming CBPR System.   b) まもなく稼働する CBPR システムの基礎となるプライバシー執行のためのグローバル協力取決め(CAPE)に関する進行中の取組 
Working groups and evaluation  作業部会及びその評価 
36.   Continue dialogues amongst G7 DPAs at the DFFT, Emerging Technologies and Enforcement Cooperation Working Groups.  36.  DFFT、先端技術及び執行協力の各作業部会において、G7 DPA 間の対話を継続する。 
37.   Evaluate the progress and achievements of this action plan at the 2024 G7 DPA Roundtable to be held in Italy.  37.  イタリアで開催される 2024 年の G7 DPA ラウンドテーブルにおいて、本行動計画の進捗及び成果を評価する。 

 

 

 

| | Comments (0)

世界経済フォーラム (WEF) 責任ある生成的AIに関するプレシディオ提言 (2023.06.14)

こんにちは、丸山満彦です。

世界経済フォーラム (WEF)が「責任ある生成的AIに関するプレシディオ提言」を公表していますね。



World Economic Forum - Whitepaper

・2023.06.14 [PDF] The Presidio Recommendations on Responsible Generative AI

The Presidio Recommendations on Responsible Generative AI 責任ある生成的AIに関するプレシディオ提言
Generative AI has the potential to transform industries and society, but responsible design and collaboration among stakeholders are crucial. 生成的AIは産業や社会を変革する可能性を秘めているが、責任ある設計とステークホルダー間の協働が重要である。

 

20230621-101347

 

Introduction 序文
Generative artificial intelligence (AI) has the potential to transform industries and society by boosting innovation and empowering individuals across diverse fields, from arts to scientific research. To ensure a positive future, it is crucial to prioritize responsible design and release practices from the beginning. As generative AI continues to advance at an unprecedented pace, the need for collaboration among stakeholders to ensure that AI serves as a force for good has become increasingly urgent.  生成的人工知能(AI)は、芸術から科学研究まで、さまざまな分野でイノベーションを促進し、個人の能力を高めることで、産業と社会を変革する可能性を秘めている。ポジティブな未来を確実にするためには、最初から責任ある設計とリリースを優先することが極めて重要である。生成的AIがかつてないスピードで進化し続ける中、AIが善のための力として機能するための関係者間の協力の必要性は、ますます高まってきている。
On 26-28 April 2023, the summit “Responsible AI Leadership: A Global Summit on Generative AI” took place at the World Economic Forum’s Centre for the Fourth Industrial Revolution based in the Presidio in San Francisco, USA. The event was hosted by the Forum in partnership with AI Commons to guide technical experts and policy-makers on the responsible development and governance of generative AI systems. 2023年4月26日~28日、サミット「Responsible AI Leadership: A Global Summit on Generative AI」が、米国サンフランシスコのプレシディオに拠点を置く世界経済フォーラムの第4次産業革命センターで開催された。このイベントは、生成的AIシステムの責任ある開発とガバナンスについて、技術専門家と政策立案者を導くために、フォーラムがAI Commonsと提携して主催したものである。
The summit emphasized the importance of open innovation and international collaboration as essential enablers for responsible generative AI. The focus was on moving beyond insightful discussions to generate actionable and practical recommendations for various AI stakeholders that could significantly influence the design, construction and deployment of generative AI. このサミットでは、責任ある生成的AIを実現するために不可欠なイネーブラーとして、オープンイノベーションと国際協力の重要性が強調された。また、洞察に満ちた議論を超えて、生成的AIの設計、構築、展開に大きな影響を与えることができる、さまざまなAI関係者に対する実行可能で実用的な提言を生み出すことに焦点が当てられた。
Over 100 AI thought leaders and practitioners participated in the summit, including chief scientific officers, responsible AI and ethics leads, academic leaders, AI entrepreneurs, policy-makers, tech investors and members of civil society. Participants engaged in discussions on numerous aspects of generative AI’s design, development, release and societal impact, and deliberated on key recommendations. These recommendations emerged from interactive panel discussions and working sessions through a bottom-up process, with participants reaching consensus on critical areas related to the governance of generative AI. サミットには、最高科学責任者、責任あるAIと倫理のリーダー、学術界のリーダー、AI起業家、政策立案者、技術投資家、市民社会のメンバーなど、100人を超えるAI思想家や実務家が参加した。参加者は、生成的AIの設計、開発、リリース、社会的インパクトの多くの側面について議論し、主要な勧告について審議した。これらの提言は、双方向のパネルディスカッションやワーキングセッションからボトムアッププロセスで生まれ、参加者は生成的AIのガバナンスに関連する重要な領域についてコンセンサスを得た。
This summary presents a set of 30 action-oriented recommendations aimed at guiding generative AI towards meaningful human progress. The recommendations address three key themes that cover the entire life cycle  of generative AI: responsible development and release; open innovation and international collaboration; and  social progress. この要約では、生成的AIを人類の有意義な進歩に導くことを目的とした、30の行動指向の勧告を提示する。提言は、生成的AIのライフサイクル全体をカバーする3つの主要テーマ、すなわち、責任ある開発とリリース、オープンイノベーションと国際協力、そして社会的進歩に取り組んでいる。
By implementing these recommendations, stakeholders can navigate the complexities of AI development and harness its potential responsibly and ethically. Join us in shaping a more innovative, equitable and prosperous future that leverages the power of generative AI and mitigate its risks to benefit all. これらの提言を実施することで、ステークホルダーはAI開発の複雑さを乗り越え、責任と倫理を持ってその可能性を活用することができる。生成的AIの力を活用し、そのリスクを軽減してすべての人に利益をもたらす、より革新的で公平で豊かな未来を形作るために、私たちに参加してほしい。
Responsible Development  and Release of Generative AI 生成的AIの責任ある開発とリリース
This section critically assesses the necessity to protect our society from unforeseen outcomes induced by the swiftly developing generative AI systems, and accordingly advocates for responsible strategies concerning their development and deployment. These recommendations are intended for a broad spectrum of stakeholders - ranging from AI developers to policy-makers and users. The objective is to foster accountable and inclusive processes for AI development and deployment, thereby enhancing trust and transparency as generative AI systems continue to proliferate. このセクションでは、急速に発展する生成的AIがもたらす不測の事態から社会を守る必要性を批判的に評価し、その開発・展開に関する責任ある戦略を提唱する。この提言は、AI開発者から政策立案者、利用者に至るまで、幅広いステークホルダーを対象としている。その目的は、AIの開発と展開のための説明責任と包括的なプロセスを促進し、生成的AIシステムが普及し続ける中で信頼と透明性を高めることにある。
01 Establish precise and shared terminology 01 正確で共有された用語集を確立する
All stakeholders are called upon to use precise terminology when discussing the design, development, evaluation and measurement of generative AI models’ capabilities, limitations and issues. It is the responsibility of experts to define and standardize this language. As soon as a consensus is reached, consistent adoption of this terminology by all stakeholders is essential. This approach will boost clarity and promote effective communication, leading to a shared understanding among different parties. Ultimately, it will facilitate the establishment of strong, standards, guidelines and regulations for a range of generative AI applications. 生成的AIモデルの能力、限界、問題点の設計、開発、評価、測定について議論する際には、すべての関係者が正確な用語を使用することが求められる。この用語を定義し、標準化することは専門家の責任である。コンセンサスが得られ次第、すべてのステークホルダーがこの用語を一貫して採用することが重要である。このアプローチは、明確性を高め、効果的なコミュニケーションを促進し、異なる関係者の間で共通の理解を得ることにつながる。最終的には、生成的AIアプリケーションのための強力な、標準、ガイドライン、規制の確立を促進することになる。
02 Build public awareness of AI capabilities and their limitations  02 AIの能力とその限界に関する国民の意識を高める 
Public and private stakeholders should prioritize the task of enhancing public understanding. This includes making the terminology related to generative AI models understandable to the general public. Additionally, stakeholders should inform users about the probabilistic (meaning their outputs are not deterministic but based on probability) and stochastic (implying their operation involves a degree of random behavior) nature of generative AI models, while setting accurate expectations for their performance. 官民の関係者は、一般市民の理解を深める作業を優先すべきである。これには、生成的AIモデルに関連する用語を一般大衆が理解できるようにすることが含まれる。さらに、関係者は、生成的AIモデルの確率的(出力が決定論的ではなく、確率に基づくことを意味する)および確率的(その動作がある程度のランダムな動作を含むことを意味する)性質についてユーザーに伝え、その性能に対する正確な期待値を設定すべきである。
03 Focus on human values and preferences  03 人間の価値観や嗜好に注目する 
The challenge to align generative AI models with human values and preferences needs to be further acknowledged and addressed. Developers of AI systems should be engaged in discussions about normative values and preferences when designing AI models. 生成的AIモデルを人間の価値観や嗜好に合わせるという課題は、さらに認識され、対処される必要がある。AIシステムの開発者は、AIモデルを設計する際に、規範となる価値観や嗜好についての議論に参加する必要がある。
04 Encourage alignment and participation  04 調整と参加を奨励する 
Public and private sector stakeholders should recognize that AI systems necessitate quality feedback that is diverse and representative of the user base to be truly aligned. Policy-makers should promote the involvement of diverse stakeholders, including non-technical stakeholders, in AI research and development to ensure alignment with human values. AI developers should work to facilitate interactions and feedback from a broad range of participants to create a more inclusive and human-centric development process. 官民の関係者は、AIシステムが真に連携するためには、多様でユーザーを代表する質の高いフィードバックが必要であることを認識すべきである。政策立案者は、人間の価値観との整合性を確保するために、非技術的な利害関係者を含む多様な利害関係者のAI研究・開発への関与を促進すべきである。AI開発者は、より包括的で人間中心の開発プロセスを構築するために、幅広い参加者からの交流やフィードバックを促進するよう取り組むべきである。
05 Uphold AI accountability with rigorous benchmarknig and use  case-specific testing while exploring new metrics and standards   05 新しい指標と基準を模索しながら、厳密なベンチマークとユースケースに特化したテストによってAIの説明責任を強化する。 
AI developers should commit to the importance of not only holding models accountable against the highest established benchmarks, but also finding new metrics beyond traditional ones and towards other human-centric dimensions. Benchmarking should be complemented by application-specific and task-defined testing to ensure a comprehensive evaluation of generative AI models. AI開発者は、確立された最高のベンチマークに対してモデルの説明責任を果たすだけでなく、従来の指標を超え、他の人間中心の次元に向けた新しい指標を見出すことの重要性にコミットすべきである。ベンチマークは、生成的AIモデルの包括的な評価を確実にするために、アプリケーション固有のテストやタスク定義のテストで補完されるべきである。
06 Employ diverse red teams  06 多様なレッドチームを採用する 
Red teaming, a method of critically analysing perspective to identify potential weaknesses, vulnerabilities and areas for improvement, should be integral from model design to application and release. Diversity here implies incorporating members from varied genders, backgrounds, experiences and perspectives for a more comprehensive critique. The public and private sectors should implement frameworks and methodologies to facilitate thorough red teaming. レッドチームとは、潜在的な弱点、脆弱性、改善のための領域を特定するために視点を批判的に分析する手法であり、モデルの設計からアプリケーション、リリースまで不可欠であるべきである。ここでいう多様性とは、より包括的な批評を行うために、様々な性別、背景、経験、視点を持つメンバーを取り入れることを意味する。官民ともに、徹底したレッドチーム化を促進するための枠組みや方法論を導入する必要がある。
07 Adopt transparent release strategies  07 透明性の高いリリース戦略を採用する 
Producers of AI should be held accountable to release AI models responsibly, making them available to the public without compromising safety. Responsible release strategies should be initiated upstream during project ideation and product design to ensure that potential risks are identified and mitigated throughout the development process.   AIの生産者は、責任をもってAIモデルをリリースし、安全性を損なうことなく一般に利用できるようにする責任を負うべきである。責任あるリリース戦略は、開発プロセスを通じて潜在的なリスクが特定され、軽減されることを確実にするために、プロジェクトのアイデア出しや製品設計の上流で開始されるべきである。 
08 Enable user feedback   08 ユーザーからのフィードバックを可能にする  
Users should be empowered with robust controls that allow them to provide real-time feedback on model outputs. Additionally, it is relevant to enable users to have a comprehensive understanding of the limits and responsibilities associated with the generated content.  ユーザーは、モデルの出力に関するリアルタイムのフィードバックを提供することができる強固な管理機能を持つ権限を与えられるべきである。さらに、生成されたコンテンツに関連する制限と責任をユーザーが包括的に理解できるようにすることが適切である。
09 Embed model and system traceability  09 モデルとシステムのトレーサビリティを確立する 
Developers and policy-makers should align on the importance of creating formal evaluation and auditing  structures surrounding traceability throughout the entire AI life cycle, from data provenance to training scenarios and post-implementation. 開発者と政策立案者は、データの出所からトレーニングシナリオ、実装後まで、AIのライフサイクル全体を通じて、トレーサビリティを取り巻く正式な評価・監査構造を構築することの重要性について一致する必要がある。
10 Ensure content traceability  10 コンテンツのトレーサビリティを確保する 
To increase transparency and accountability, companies developing AI-generated content should be responsible for tracing how content is generated and documenting its provenance. This will help users discern the difference between human-generated and AI-generated content. 透明性と説明責任を高めるために、AI生成的コンテンツを開発する企業は、コンテンツの生成方法を追跡し、その出所を文書化する責任を負うべきである。これにより、ユーザーは人間が生成したコンテンツとAIが生成したコンテンツの違いを識別しやすくなる。
11 Disclose non-human interaction  11 人間以外のインタラクションを開示する 
In virtual environments, humans should know whether they are interacting with a human or a machine. AI providers should develop mechanisms to support this, for example, via watermarking. 仮想環境において、人間は、自分が人間や機械とインタラクションしているのかどうかを知るべきである。AIプロバイダーは、例えば電子透かしによって、これをサポートするメカニズムを開発する必要がある。
12 Build human-AI trust  12 人間とAIの信頼関係を構築する 
To build trust in AI systems, developers and companies should prioritize transparency, consistency, and meeting and managing user expectations. AI developers should be transparent in their processes and decision-making, providing users with an understanding of how they reach their results. By focusing on these aspects, AI developers can create systems that foster trust and facilitate positive human-AI interactions. AIシステムに対する信頼を築くために、開発者と企業は、透明性、一貫性、ユーザーの期待に応え、管理することを優先させるべきである。AI開発者は、そのプロセスや意思決定において透明性を保ち、どのように結果に至ったかをユーザーに理解させる必要がある。これらの点に着目することで、AI開発者は信頼を醸成し、人間とAIの良好な相互作用を促進するシステムを構築することができる。
13 Implement a step-by-step review process  13 段階的なレビュープロセスを導入する 
Policy-makers and businesses should create a step-by-step review process for AI models and products. This should be similar to the detailed checks used in clinical trials or car manufacturing, both before and after a product goes live. There should be an independent auditor or international agency to oversee this to ensure uniform evaluations and continuous monitoring. To help limit potential risks and negative impacts, certification, or licensing system could be used. 政策立案者と企業は、AIモデルや製品について、段階的なレビュープロセスを構築すべきである。これは、臨床試験や自動車製造に用いられる詳細なチェックと同様で、製品が稼働する前と後の両方で行われるべきである。これを監督する独立した監査人や国際機関を設け、均一な評価と継続的な監視を徹底させる必要がある。潜在的なリスクや悪影響を抑えるために、認証制度やライセンス制度を利用することも考えられる。
14 Develop comprehensive, multi-level measurement frameworks 14 包括的でマルチレベルの測定フレームワークを開発する
Policy-makers should emphasize ongoing efforts and incentivize developers and standardization bodies to focus on creating and employing measurement frameworks with an emphasis on socio-technical aspects rather than solely technical performance. 政策立案者は、技術的性能のみならず、社会技術的側面に重点を置いた測定フレームワークの作成と採用に注力するよう、開発者や標準化団体に継続的な取り組みを強調し、動機づけを行うべきである。
15 Adopt sandbox processes 15 サンドボックス・プロセスを採用する
AI developers, standard-setting bodies and regulators should cooperate on more flexible “sandbox” development environments along with new and associated processes of governance and oversight. Sandboxing could help build trust by demonstrating that AI systems have undergone rigorous testing and evaluation to ensure safety, reliability and compliance. AI開発者、標準化団体、規制当局は、ガバナンスと監視の新しい関連プロセスとともに、より柔軟な「サンドボックス」開発環境について協力する必要がある。サンドボックスは、AIシステムが安全性、信頼性、コンプライアンスを確保するための厳格なテストと評価を受けていることを示すことで、信頼を築くのに役立つだろう。
16  Adapt to the evolving landscape of creativity  and intellectual property  16 創造性と知的財産の進化する状況に適応する 
With generative AI impacting content creation, it is essential for policy-makers and legislators to re-examine and update copyright laws to enable appropriate attribution, and ethical and legal reuse of existing content. 生成的AIがコンテンツ作成に影響を与える中、政策立案者や立法者は、適切な帰属表示や既存コンテンツの倫理的・合法的な再利用を可能にするために、著作権法を再検討・更新することが不可欠である。
Open Innovation and International Collaboration オープンイノベーションと国際協力
This section focuses on the importance of sharing scientific knowledge and enhancing international collaboration. As frontier research capabilities tend to be concentrated in private sector companies in a select few countries, it is vital that academic researchers remain an integral part of the exploratory process, while countries worldwide participate and influence the governance of generative AI systems. These recommendations are designed for a range of stakeholders, including researchers, AI developers, standard-setting bodies and policy-makers. The overarching goal is to cultivate transparency, accountability and inclusivity in the development, implementation and governance of generative AI. このセクションでは、科学的知識の共有と国際協力の強化の重要性に焦点を当てる。フロンティア研究能力は一部の国の民間企業に集中する傾向があるため、学術研究者が探索プロセスに不可欠な存在であり続けるとともに、世界各国が参加し、生成的AIシステムのガバナンスに影響を与えることが重要である。これらの提言は、研究者、AI開発者、標準化団体、政策立案者など、さまざまなステークホルダーを対象としている。包括的な目標は、生成的AIの開発、実装、ガバナンスにおいて、透明性、説明責任、包括性を培うことである。
17 Incentivize public-private research coordination  17 官民の研究連携を促進させる 
Public and private stakeholders should actively work to design incentive structures that facilitate greater coordination between academic researchers and the private sector throughout the technology development lifecycle. Possible mechanisms to be considered include joint research programmes, data-sharing protocols and joint IP ownership. 官民のステークホルダーは、技術開発のライフサイクルを通じて、学術研究者と民間企業との連携を深めるためのインセンティブ構造を設計するために積極的に取り組むべきである。考えられるメカニズムとしては、共同研究プログラム、データ共有プロトコル、IPの共同所有などが挙げられる。
18 Build a common registry of models, tools, benchmarks  and best practices  18 モデル、ツール、ベンチマーク、ベストプラクティスの共通レジストリを構築する。
Producers and researchers of generative AI should contribute to a common and open registry of source codes, models, datasets, tools, benchmarks and best practice guidelines, to be shared within the research community, in order to have a platform for academic and private sector collaboration to build future models and systems that are transparent and accountable to the public.  生成的AIの生産者と研究者は、透明性が高く、公衆に説明できる将来のモデルとシステムを構築するための学術と民間の協力のためのプラットフォームを持つために、研究コミュニティ内で共有されるソースコード、モデル、データセット、ツール、ベンチマーク、ベストプラクティスのガイドラインの共通のオープンレジストリに貢献するべきである。
19 Support responsible open innovation and knowledge sharing  19 責任あるオープンイノベーションと知識の共有を支援する 
Policy-makers and AI providers should contribute to frameworks to democratize AI through responsible sharing of resources, including data, source code, models and research findings; also encourage the sharing certification processes, ensuring transparency and trust among stakeholders. A public-private long-term initiative could be developed to build public-facing platforms that provide open access to compute, data and pre-trained models.  This platform could be treated as a digital public good, and usage could be promoted across borders.  政策立案者とAIプロバイダーは、データ、ソースコード、モデル、研究成果などのリソースを責任を持って共有することで、AIの民主化を図る枠組みに貢献する必要がある。官民合同の長期的なイニシアティブを構築し、計算機、データ、事前訓練済みモデルへのオープンアクセスを提供する公衆向けプラットフォームを構築することができる。 このプラットフォームはデジタル公共財として扱われ、国境を越えて利用が促進される可能性がある。
20 Enhance international collaboration on AI standards  20 AI 標準に関する国際的な連携を強化する 
Standard bodies must foster international collaboration on AI standards, ensuring the participation of all AI stakeholders, including all geographical locations. 標準化機関は、AI標準に関する国際的な協力を促進し、すべての地理的な場所を含むすべてのAI関係者の参加を確保しなければならない。
21 Establish a global AI governance initiative  21 グローバルなAIガバナンスのイニシアチブを確立する 
To address the challenges and potential risks posed by AI technologies, policy-makers should consider devoting efforts towards creating a global AI governance initiative. This initiative should bring together experts from a wide array of fields. The key focus should be on promoting global understanding of responsible generative AI, ensuring broad inclusion, facilitating access to infrastructure, and fostering collaboration to harmonize response structures at  the national level against AI challenges and risks. AI技術がもたらす課題と潜在的なリスクに対処するため、政策立案者は、グローバルなAIガバナンス・イニシアチブの設立に向けた努力を傾けることを検討すべきである。このイニシアティブには、幅広い分野の専門家が参加することが望ましい。主な焦点は、責任ある生成的AIに関する世界的な理解の促進、広範な包摂の確保、インフラへのアクセスの促進、AIの課題とリスクに対する国レベルの対応構造を調和させるための協力の促進であるべきだ。
Social progress 社会の進歩
This section examines the hurdles tied to AI-driven transformations, spanning from workforce transitions to educational shifts, as well as the necessity of championing AI for societal benefit and advocating for equitable AI access in developing nations. The recommendations are intended for a broad array of stakeholders, including educational institutions, community organizations, corporations, individuals, policy-makers and governments.  The primary objective is to cultivate a society that is more informed, engaged and resilient in the face of these emerging changes. このセクションでは、労働力の転換から教育の転換に至るまで、AI主導の変革に関連するハードルを検証するとともに、社会的利益のためにAIを支持し、発展途上国における公平なAIアクセスを提唱することの必要性について検討する。この提言は、教育機関、コミュニティ組織、企業、個人、政策立案者、政府など、幅広いステークホルダーを対象としている。 主な目的は、このような新たな変化に直面して、より多くの情報を得、関与し、レジリエンスに富む社会を育成することである。
22 Prioritize social progress in generative AI development and adoption 22 生成的AIの開発と採用において、社会の進歩を優先する。
All stakeholders must ensure that the technology’s societal implications remain front and centre. This  involves a focus beyond technical proficiency towards the technology’s role in enhancing social progress.  Comprehensive support must be provided to communities and workers affected by the shift to an AI-enabled society, encompassing learning initiatives, guidance on surmounting generative AI-specific challenges and assistance in navigating the ethical, social and technical shifts inherent in an AI-influenced environment with an active participation of workers throughout the process. すべてのステークホルダーは、技術の社会的な影響が常に前面に出てくるようにしなければならない。これには、技術的な熟練度を超えて、社会的進歩を促進する技術の役割に焦点を当てることが含まれる。 学習イニシアティブ、生成的AI特有の課題を克服するためのガイダンス、AIに影響された環境に固有の倫理的、社会的、技術的なシフトをナビゲートするための支援を含む、包括的なサポートが、AI対応社会へのシフトによって影響を受けるコミュニティと労働者に提供されなければならず、プロセスを通じて労働者が積極的に参加する。
23 Drive AI literacy across society 23 社会全体のAIリテラシーを向上させる
Educational bodies and community institutions must take the initiative to increase AI literacy among the general public. A proactive approach is needed to demystify generative AI tools, outline their potential uses and discuss their ethical implications. This will empower individuals to better understand, interact with and contribute to the evolving landscape of AI, fostering a more informed and participative society. 教育機関やコミュニティ機関は、一般市民のAIリテラシーを向上させるためのイニシアチブを取る必要がある。生成的AIツールを神秘化し、その潜在的な用途を概説し、その倫理的意味を議論する積極的なアプローチが必要である。これにより、個人がAIの進化する状況をよりよく理解し、交流し、貢献できるようになり、より情報に基づいた参加型の社会が育まれる。
24 Foster holistic thought approaches in AI-driven environments 24 AI主導の環境において、全体的な思考アプローチを育成する。
Foster diverse modes of thinking – critical, computational and responsible – to better equip society for the generative AI era. Encourage these core competencies across sectors and communities to empower individuals to engage critically with AI-generated content, understand the underlying technology and make responsible decisions about its use. 生成的AI時代に向けて社会をよりよく装備するために、批判的、計算的、責任的といった多様な思考様式を育成する。生成的AIコンテンツに批判的に関与し、基礎となる技術を理解し、その使用について責任ある決定を下すことができるように、部門やコミュニティを越えてこれらのコアコンピテンシーを奨励する。
25 Steer generative AI’s transformative impact  25 生成的AIの変革的影響に舵を切る 
Address the transformative influence of generative AI on societal systems. Understand its effect on human interactions, knowledge dissemination and evaluation mechanisms. Proactively adapt to the evolving landscape, supporting roles that may transform due to generative AI, and explore innovative ways to evaluate its impacts within our rapidly evolving digital ecosystem, to harness its potential for driving positive societal transformation. 生成的AIが社会システムに与える変革的影響に対処する。人間の相互作用、知識の普及、評価メカニズムへの影響を理解する。進化する状況に積極的に適応し、生成的AIによって変化する可能性のある役割をサポートし、急速に進化するデジタルエコシステム内でその影響を評価する革新的な方法を模索し、社会のポジティブな変革を促進する潜在力を活用する。
26 Incentivize innovation for social good  26 ソーシャルグッドのためのイノベーションにインセンティブを与える 
Policy-makers should encourage the development and implementation of generative AI technologies that prioritize social good and address complex and unmet societal needs, such as in healthcare and climate change, to improve the overall quality of life.  政策立案者は、社会的利益を優先し、ヘルスケアや気候変動など、複雑で満たされていない社会的ニーズに対応し、生活の質全体を向上させる生成的AI技術の開発と実装を奨励するべきである。
27 Address resource and infrastructure disparities  27 資源とインフラの格差に対処する 
Policy-makers should increase public investment in national and international research infrastructure. That includes work to ensure greater access to computing resources for researchers, especially those from underrepresented regions and institutions. The private sector is encouraged to contribute to the development of datasets and support governments in making more resources available to researchers. 政策立案者は、国内および国際的な研究インフラへの公共投資を増加させるべきである。これには、研究者、特に代表的でない地域や機関の研究者がコンピューティングリソースをより多く利用できるようにするための取り組みも含まれる。民間部門は、データセットの開発に貢献し、研究者がより多くのリソースを利用できるようにするために政府を支援することが推奨される。
28 Promote generative AI expertise within governments  28 政府内で生成的 AI の専門知識を促進する。
Governments should invest in fostering AI expertise, ensuring an informed, effective and responsible approach to public policies and regulation of these transformative technologies. By leveraging mechanisms such as targeted incentives, private sector collaborations, and exchange programs, governments can nurture AI talent. This commitment while expanding in-house AI proficiency is crucial in securing a future where these technologies advance societal progress and serve the public interest effectively. 政府は、AIの専門知識の育成に投資し、これらの変革的な技術に関する公共政策や規制に対して、情報に基づいた効果的かつ責任あるアプローチを確保すべきである。政府は、対象を絞ったインセンティブ、民間企業との連携、交換プログラムなどのメカニズムを活用することで、AIの才能を育成することができる。社内のAI習熟度を高めながらこのような取り組みを行うことは、これらの技術が社会の進歩を促進し、公益に効果的に貢献する未来を確保する上で極めて重要である。
29 Increase equitable access to AI in developing countries  29 発展途上国におけるAIへの公平なアクセスを増加させる。
To ensure that the benefits of generative AI technology are accessible to all, public and private stakeholders should focus on establishing initiatives that can provide support and resources at scale, particularly in developing countries where there may be limited access to digital infrastructures. Efforts should focus on providing resources, training, and expertise to make AI more accessible and inclusive, fostering national and international partnerships across sectors to promote diversity and inclusion in the development and deployment of generative AI technology. 生成的AI技術の恩恵をすべての人が受けられるようにするため、官民のステークホルダーは、特にデジタルインフラへのアクセスが限られている発展途上国において、大規模な支援とリソースを提供できるイニシアティブの確立に注力すべきである。AIをより身近で包括的なものにするためのリソース、トレーニング、専門知識の提供に焦点を当て、生成的AI技術の開発と展開における多様性と包摂を促進するために、部門を超えた国内および国際的なパートナーシップを促進する取り組みが必要だ。
30 Preserve cultural heritage  30 文化遺産を保護する 
All stakeholders need to contribute to preserve cultural heritage. Public and private sector should invest in creating curated datasets and developing language models for underrepresented languages, leveraging the expertise of local communities and researchers and making them available. This will improve access to AI technologies to help preserve linguistic diversity and cultural heritage. すべてのステークホルダーは、文化遺産の保護に貢献する必要がある。官民は、地域コミュニティや研究者の専門知識を活用し、キュレーションデータセットの作成と代表的でない言語の言語モデルの開発に投資し、それらを利用できるようにすべきである。これにより、言語多様性と文化遺産の保護に役立つAI技術へのアクセスが向上する。

 

 

| | Comments (0)

2023.06.21

世界経済フォーラム (WEF) 暗号資産規制への道筋: グローバルアプローチ (2023.05.25)

こんにちは、丸山満彦です。

世界経済フォーラム (WEF)が「暗号資産規制への道筋: グローバルアプローチ」を公表していますが、参考になる部分も多いように思います。国際規制の比較対象に日本もふくまれていますね。。。

暗号資産は決済的な機能としては、国際的にKYCが厳格に適用されないと普及が難しいのではないかと思いますね。。。投機・投資的な機能としては、利用者保護(保管会社が暗号資産を盗まれた場合の保護、特定利用者による相場操作ができない仕組み等)が国政的に行えるようにならないと普及は難しいのかもしれませんね。。。

World Economic Forum - Whitepaper

・2023.05.25 [PDF] Pathways to Crypto-Asset Regulation: A Global Approach

20230621-62650

 

目次...

Preface 序文
Executive summary エグゼクティブサマリー
1 The need for a global approach to crypto-asset regulation 1 暗号資産規制に対するグローバルなアプローチの必要性
The borderless nature of the technology, the interconnectedness within the crypto-asset ecosystem and the prospect of linkages with the traditional financial ecosystem strengthen the case for a global approach to crypto-asset regulation. 技術のボーダレスな性質、暗号資産エコシステム内の相互接続性、伝統的な金融エコシステムとの連携が見込まれることから、暗号資産規制に対するグローバルなアプローチの事例が強化される。
1.1 The nature of technology 1.1 テクノロジーの性質
1.2 The prospect of interconnectedness between traditional financial and crypto-asset ecosystems 1.2 伝統的な金融エコシステムと暗号資産エコシステムとの相互接続の見通し
2 Challenges to a global approach 2 グローバルなアプローチへの課題
A global approach to crypto-asset regulation is ideal; however, there are various challenges in achieving this. 暗号資産規制に対するグローバルなアプローチは理想的であるが、これを実現するには様々な課題がある。
2.1 Lack of standardized definitions, taxonomies, classifications and understanding 2.1 標準化された定義、分類法、分類、理解の欠如
2.2 Regulatory arbitrage 2.2 規制のアービトラージ
2.3 Fragmented monitoring, supervision and enforcement 2.3 監視、監督、執行が分断されている
3 Regulatory approaches 3 規制のアプローチ
Across the globe, crypto-assets have been regulated in myriad ways by countries, leading to a fragmented regulatory landscape. 世界各国において、暗号資産は国によって様々な方法で規制されており、その結果、規制の状況は断片的なものとなっている。
3.1 Principle-based regulation 3.1 プリンシプルベースの規制
3.2 Risk-based regulation 3.2 リスクベースの規制
3.3 Agile regulation 3.3 機敏な規制
3.4 Self- and co-regulation 3.4 自己規制と共同規制
3.5 Regulation by enforcement 3.5 エンフォースメントによるレギュレーション
3.6 Analysis of regulatory approaches 3.6 規制手法の分析
4 Conclusion and recommendations 4 結論と提言
A global approach to regulating crypto-assets is ideal and needs collaboration in order to leverage the benefits and manage the risks. 暗号資産を規制するためのグローバルなアプローチは理想的であり、その利点を活用し、リスクをマネジメントするためには協力が必要である。
4.1 Recommendations for international organizations 4.1 国際機関への提言
4.2 Recommendations for regional/national regulatory authorities 4.2 地域/国の規制当局への提言
4.3 Recommendations for the industry 4.3 産業界への提言
Contributors 協力者一覧
Endnote 巻末資料

 

エグゼクティブサマリー

Executive summary  エグゼクティブサマリー 
Coordinating regulatory frameworks across jurisdictions is a complex task for almost any sector. With crypto-assets – given the unique features of the underlying technology as well as the boundless opportunities that it presents – it is often contended that global coordination is not just desirable but necessary.  管轄区域をまたがる規制の枠組みを調整することは、ほとんどすべてのセクターにとって複雑な課題 である。暗号資産については、その基礎となる技術のユニークな特徴と、それがもたらす無限の機会を考慮すると、グローバルな調整が望ましいだけでなく必要であると主張することが多い。
There exists a broad spectrum of views, especially as there are multiple stakeholders at varying levels of maturity, and the need for a global approach is warranted due to:  特に、成熟度の異なる複数のステークホルダーが存在するため、幅広い見解が存在し、グローバルなアプローチの必要性は、以下の理由により正当化される: 
The borderless nature of technology: as the crypto-asset ecosystem moves across the spectrum from centralized to decentralized, the intricacies in identifying the “who”, “where” and “whom” also become markedly difficult.  テクノロジーのボーダレスな性質:暗号資産のエコシステムが中央集権型から分散型へと移行するにつれ、「誰が」「どこで」「誰を」特定するかという複雑な問題も顕著になりつつある。
The potential of interconnectedness within the crypto-asset ecosystem and with the traditional financial system: events in 2022 have evidenced that the crypto-asset environment is highly interconnected, meaning that fragmented regulatory regimes will create challenges for ensuring uniform consumer protections or market integrity efforts. As the potential for connectedness with the traditional financial system is examined, the need for a collaborative approach is even more pronounced.  暗号資産エコシステム内および従来の金融システムとの相互接続の可能性:2022年の出来事は、暗号資産環境が高度に相互接続されていることを証明しており、断片的な規制体制は、均一な消費者保護や市場統合の取り組みを確保するための課題を生み出すことを意味している。従来の金融システムとの接続の可能性が検討されるにつれ、協調的なアプローチの必要性はさらに顕著になる。
While the global approach is an ideal pathway, there are various barriers that impede this: グローバルなアプローチは理想的な道筋であるが、これを妨げる様々な障壁がある:
Lack of harmonized taxonomies/classification: different jurisdictions define and categorize crypto-assets in various buckets, creating ambiguity in understanding the risks posed as well as a lack of clarity for market participants.  調和された分類法の欠如:異なる司法管轄区が暗号資産を様々な分類で定義・分類しているため、もたらされるリスクの理解に曖昧さが生じるとともに、市場参加者にとっては明確さが欠けている。
Regulatory arbitrage: as different jurisdictions evolve their respective regulatory frameworks, this hampers effective oversight and development of the ecosystem.  規制の裁定:異なる司法管轄区がそれぞれの規制の枠組みを進化させるため,エコシステムの効果的な監視と発展の妨げとなる。
Fragmented monitoring, supervision and enforcement: lack of coordination among various law-enforcement agencies leads to inconsistent enforcement and lack of coherence in regulatory approaches.  ・監視、監督、執行の分断:様々な法執行機関の間の協調が欠けているため執行に一貫性がなく、規制手法に一貫性がない。
Over the past few years, various international standard-setting bodies and organizations have made considerable efforts to produce evidencebased research as well as high-level frameworks to evolve a global approach. Amid this, some countries have also chosen to focus on certain key aspects of the ecosystem, often with the objective of ensuring consumer protection, prevention of illicit financing and financial stability, but taking varied approaches. This paper discusses some jurisdiction examples pertaining to a wide spectrum of regulatory approaches such as principle-based, risk-based, agile regulation, self and co-regulation and finally, regulation by enforcement.  過去数年間、さまざまな国際的な基準設定機関や組織が、エビデンスに基づく研究や、グローバルなアプローチを進化させるためのハイレベルなフレームワークの作成に多大な努力を払ってきた。このような中、一部の国々は、消費者保護、不正資金調達の防止、金融の安定を目的として、エコシステムの特定の重要な側面に焦点を当てることを選択したが、そのアプローチは様々であった。本稿では、原則主義、リスク主義、機動的規制、自主規制、共同規制、そして最終的には執行による規制など、幅広い規制アプローチに関連するいくつかの法域の事例を取り上げる。
To ensure a broad and global view of this topic, diverse stakeholders as part of the Digital Currency Governance Consortium were consulted to evolve recommendations for the international organizations and national/regional authorities as well as industry stakeholders, while duly acknowledging the critical role of academia, civil society and, most importantly, the users in evolving a responsible ecosystem.  このトピックを広くグローバルに捉えるため、デジタル通貨ガバナンス・コンソーシアムの一員として、多様なステークホルダーに相談し、国際機関や国・地域当局、業界関係者に向けた提言を作成するとともに、責任あるエコシステムを発展させる上で、学界や市民社会、そして最も重要なユーザーの重要な役割をきちんと認識した。
Interestingly, the recommendations appreciate that the distinct opportunities and risks presented by crypto-assets will also need an innovative approach, while building on lessons learned and best practices developed in other sectors as well. 興味深いことに、提言は、暗号資産がもたらす明確な機会とリスクは、他のセクターで開発された教訓とベストプラクティスを基にしながらも、革新的なアプローチを必要とすることを評価している。

 

提言...

4. Conclusion and recommendations 4. 結論と提言
A global approach to regulating crypto- assets is ideal and needs collaboration in order to leverage the benefits and manage the risks. 暗号資産を規制するためのグローバルなアプローチは理想的であり、その利点を活用し、リスクをマネジメントするためには協力が必要である。
A global approach is needed to maximize the advantages from the underlying technology and to manage the risks arising from regulatory arbitrage and the interconnectedness within the crypto-asset ecosystem, as well as the potential of spillover into the traditional financial systems.  基礎となる技術から得られるメリットを最大化し、規制の裁定や暗号資産エコシステム内の相互接続性から生じるリスク、さらには従来の金融システムへの波及の可能性を管理するために、グローバルなアプローチが必要である。
However, given the different stages of market maturity, the development of regional hubs and the varying capacity of regulators, it is prudent to holistically focus also on the important role that international organizations and national/ regional regulators as well as industry actors can play in ensuring responsible regulatory evolution. In view of the analysis undertaken in the preceding sections, this section recommends prioritized pathways for international organizations, national authorities and industry actors. In addition, because it is often argued that regulating crypto-assets is complex owing to its unique nature and the lack of precedents, this section also refers to examples and best practices from other sectors that could serve as guides for the crypto-asset ecosystem to consider while the regulatory approaches evolve.  しかし、市場の成熟度、地域ハブの発展、規制当局の能力の違いを考慮すると、責任ある規制の発展を確保する上で、国際機関や国・地域の規制当局、業界関係者が果たすことのできる重要な役割にも全体的に焦点を当てることが賢明である。本章では、前章までの分析を踏まえ、国際機関、各国当局、産業界の関係者が優先的に取り組むべき道筋を提言する。さらに、暗号資産の規制はそのユニークな性質と前例のなさから複雑であるとしばしば議論されるため、本セクションでは、規制アプローチを進化させる際に暗号資産エコシステムが考慮すべき指針となり得る他のセクターの事例やベストプラクティスにも言及する。
While the following section provides recommendations for international organizations, national/ regional authorities and industry stakeholders, it recognizes that the role of civil society, academia and, most importantly, users remain critical in ensuring that the ecosystem develops in a responsible manner.  以下の節では、国際機関、国・地域当局、および業界の利害関係者に対する提言を提供する一方、エコシステムが責任ある方法で発展することを確実にするためには、市民社会、学術界、そして最も重要な利用者の役割が引き続き重要であることを認識している。
4.1 Recommendations for international organizations  4.1 国際機関への提言 
International standard-setting bodies, regional authorities and national governments must cooperate and collaborate with industry stakeholders to address technological, legal, regulatory and supervisory challenges. The following recommendations are intended to address these challenges. 国際標準化団体、地域当局及び各国政府は、技術、法律、規制及び監督上の課題に対処するため、業界の利害関係者と協力・連携する必要がある。以下の提言は、これらの課題に対処するためのものである。
Table9. Recommendations for international bodies  表9. 国際機関への提言 
Recommendation 1:  提言1: 
Promote a harmonized understanding of taxonomy/classification of crypto-assets and activities  暗号資産および活動の分類に関する調和のとれた理解を促進する。
1.1 Distinguish features and risks of:  1.1 特徴とリスクを区別する: 
–  Different crypto-assets/archetypes as a basis for a consistent classification  ・一貫した分類の基礎となる異なる暗号資産/アーキタイプの特徴とリスクを区別する。
–  Different crypto-asset activities (trading, dealing, payments, staking, etc.)  ・さまざまな暗号資産活動(取引、ディーリング、支払い、ステーキングなど)。
1.2 Promote technology-neutral principles and standards that achieve cross- jurisdictional convergence on the legal characterization of crypto-assets and associated activities  1.2 暗号資産および関連活動の法的特性について、法域を超えた収束を実現する技術中立的な原則および基準を推進する。
This will promote an understanding of issues relating to ownership, accounting, tax and prudential treatment while providing an even playing field across the industry spectrum and among jurisdictions. It will also avoid treating all crypto-assets as the same, which can be counterproductive for responsible innovation.  これにより、所有権、会計、税務、およびプルーデンシャル処理に関連する問題の理解が促進されるとともに、業界全体および法域間で公平な競争条件が提供される。また、すべての暗号資産を同じものとして扱うことは、責任あるイノベーションにとって逆効果となる可能性があるため、これを回避することができる。
Recommendation 2:  提言2: 
Set out best practices and baseline regulatory standards for achieving the desired regulatory outcomes  望ましい規制の成果を達成するためのベストプラクティスとベースラインの規制基準を設定する。
2.1 Best practices on critical functions (custody, transfer, settlement, track/track illicit activity, etc.) and baseline regulatory standards for AML/KYC, consumer protection and market integrity, etc. should be set out clearly. Promote evidence-based nuanced understanding of implementing the best practices to ensure that technology solutions and regulatory standards are interoperable  2.1 重要な機能(カストディ、送金、決済、不正行為の追跡/追尾など)に関するベストプラクティスや、AML/KYC、消費者保護、市場整合性などに関するベースライン規制基準を明確に打ち出す必要がある。テクノロジーソリューションと規制基準の相互運用性を確保するために、ベストプラクティスの実施について、証拠に基づくニュアンスでの理解を促進する。
2.2 Creation of international regulatory overviews that specify how different jurisdictions have incorporated crypto-assets into their national frameworks to identify and disseminate best practices  2.2 ベストプラクティスの特定と普及のため、異なる司法管轄区がどのように暗号資産を国内枠組みに組み込んでいるかを明記した国際規制の概要を作成する。
This will create certainty for businesses and protect users as entities will be incentivized to comply with the best practices and regulatory standards to build trust in the ecosystem.  これにより、事業者はベストプラクティスと規制基準を遵守するインセンティブを与えられ、エコシステムに対する信頼が構築されるため、事業者に確実性が生まれ、利用者を保護することができる。
Recommendation 3:  提言3: 
Encourage passportability of entities and data sharing  事業体のパスポート性とデータ共有を促進する 
3.1 Standards for sharing data and insights to be set out, such that interoperability is promoted between various stakeholders (e.g. crypto service providers, financial institutions, enforcement authorities, analytics service providers, etc.)  3.1 さまざまなステークホルダー(暗号サービスプロバイダ、金融機関、執行機関、分析サービスプロバイダなど)間で相互運用性が促進されるよう、データと洞察を共有するための基準を設定すること。
3.2 Passportability of registered/licensed entities should be promoted to facilitate global coordination and address cross-border risks  3.2 グローバルな調整を促進し、クロスボーダーリスクに対処するため、登録/認可事業者のパスポート性を促進する必要がある。
Regular sharing of information relating to risks, vulnerabilities and enforcement will discourage bad actors from manipulating the ecosystem. In addition, passportability will enable global coordination. リスク、脆弱性、執行に関連する情報を定期的に共有することで、悪質な業者がエコシステムを操作することを抑制することができる。また、パスポート制にすることで、グローバルな連携が可能になる。
TABLE10 Existing examples from other sectors  表10 他セクターの既存事例 
Harmonized taxonomies and activities 調和された分類と活動: 
Administered by the World Customs Organization, the Harmonized System (HS) is a standardized numerical method of classifying traded products and is widely used by customs authorities around the world to identify products when assessing duties and taxes for gathering statistics.  世界税関機構が管理するHS(Harmonized System)は、貿易製品を分類するための標準化された数値手法であり、世界中の税関当局が統計収集のために関税や税金を評価する際に製品を特定するために広く使用されている。
Best practices; baseline regulatory requirements ベストプラクティス;基準規制要件
The International Organization of Securities Commissions (IOSCO) sets global standards for securities regulation. It develops baseline requirements while implementing and promoting adherence to standards for securities regulation.  証券監督者国際機構(IOSCO)は、証券規制の世界標準を設定している。証券規制の標準を実施し、その遵守を促進しながら、ベースライン要件を策定している。
Data sharing データ共有: 
Supervisory colleges is a collaborative mechanism used by securities regulators to foster greater supervisory cooperation, with the purpose of enhancing supervision of internationally active market participants.38  データ共有:スーパーバイザリーカレッジは、国際的に活動する市場参加者の監督を強化する目的で、証券規制当局が監督上の協力を促進するために用いる協働メカニズムである38。
4.2 Recommendations for regional/national regulatory authorities 4.2 地域・国の規制当局への提言
At the regional/national level, policy-makers and regulators should develop their respective regional/ national strategies by building on existing best practices. The objective should be to provide certainty for innovators and to empower users. 地域・国家レベルでは、政策立案者と規制当局は、既存のベストプラクティスに基づき、それぞれの地域・国家戦略を策定すべきである。その目的は、イノベーターに確実性を提供し、ユーザーに力を与えることである。
Talbe11 Recommendations for regional/national regulators  Talbe11 地域/国の規制当局への提言 
Recommendation 1:  提言1: 
Cross-sector coordination  分野横断的な調整 
1.1 Different departments/ agencies such as financial supervisors and law- enforcement agencies should coordinate to address the risks and benefit from enforcement opportunities39  1.1 金融監督機関や法執行機関などの異なる部門・機関は、リスクに対処し、執行の機会から利益を得るために協力すべきである39。
1.2 Multi-regulator sandboxes might be used where businesses wish to test their solutions in a controlled environment  1.2 企業が管理された環境でソリューションをテストしたい場合、複数の規制当局によるサンドボックスが利用される可能性がある。
This will build trust in the ecosystem and assist regulators in framing evidence-based regulations/guidelines, while remaining agile.  これは、エコシステムに対する信頼を築き、規制当局が俊敏性を保ちながら、根拠に基づいた規制やガイドラインを策定することを支援する。
Recommendation 2:  提言2: 
Regulatory certainty  規制の確実性 
2.1 Regulators must develop guidelines, best practices and frameworks to proportionately regulate the on/off ramps for crypto-asset ecosystems  2.1 規制当局は、暗号資産エコシステムのオン/オフランプを比例的に規制するためのガイドライン、ベストプラクティス、フレームワークを開発しなければならない。
2.2 Initially regulations might be formulated 2.2 当初、以下のような規制が策定される可能性がある。
for identified centralized intermediaries and existing financial institutions, taking into account prudential requirements, accountability and consumer protection  プルデンシャル要件、説明責任、消費者保護を考慮し、特定された集中型仲介機関や既存の金融機関に対する規制を策定する。
This will ensure regulatory certainty and provide incentives for actors to act responsibly.  これにより、規制の確実性が確保され、アクターが責任を持って行動するためのインセンティブが得られる。
Recommendation 3:  提言3: 
Using technology for regulation by design  デザインによる規制のために技術を利用する 
3.1 Regulators should adopt best practices to leverage technologies and analytics 3.1 規制当局は、自動化された規制コンプライアンス/アナリティクスサービスプロバイダーを活用するためのベストプラクティスを採用する必要がある。
service providers for automated regulatory compliance/reporting, real-time risk alerts and tracking regulatory change  サービスプロバイダを活用し、自動化された規制遵守/報告、リアルタイムのリスクアラート、規制変更の追跡を行う。
3.2 Co-innovation-led public/private partnerships should be focused on enhancing capacity and enabling developments and risk monitoring in real time  3.2 共同イノベーション主導の官民パートナーシップは、能力強化、開発およびリアルタイムでのリスク監視を可能にすることに焦点を当てるべきである。
This will improve transparency, reduce risk and build confidence in the industry, which is essential for its responsible development. これにより、透明性が向上し、リスクが軽減され、業界の責任ある発展に不可欠な信頼が構築される。
TABLE12 Existing examples from other sectors  表12 他セクターの既存事例 
Cross-sector coordination:  セクターを超えた調整
In India, the Reserve Bank of India released a Standard Operating Procedure for an Interoperable Regulatory Sandbox (IoRS) in October 2022.40 IoRS enables the testing of financial products/services that fall within the remit of more than one regulator.  インドでは、インド準備銀行が2022年10月に「相互運用可能な規制サンドボックス(IoRS)」の標準操作手順を発表した40。IoRSは、複数の規制当局の権限に属する金融商品/サービスのテストを可能にする。
Regulation of on/off ramps オン/オフランプの規制
Internet protocols such as HTTP, SMTP, etc. are open and have been developed collaboratively. These protocols are standardized and remain unregulated. Applications built on top of these protocols can, however, be regulated. For example, e-commerce applications and fintechs are regulated under different frameworks, and both types of applications are built upon these standard internet protocols.  HTTP、SMTPなどのインターネットプロトコルはオープンであり、共同開発されてきた。これらのプロトコルは標準化されており、規制はないままである。しかし、これらのプロトコルの上に構築されたアプリケーションは、規制を受ける可能性がある。例えば、電子商取引アプリケーションとフィンテックは異なる枠組みの下で規制されているが、どちらのタイプのアプリケーションもこれらの標準インターネットプロトコルの上に構築されている。
Regulation by design
デザインによる規制: 
Data protection and empowerment architecture in India provide for consent by design. The decoupling of a consent manager from the data provider/ consumer allows for neutrality and compliance with consent-related obligations.  インドにおけるデータ保護とエンパワーメントのアーキテクチャは、デザインによる同意を提供する。同意管理者をデータ提供者/消費者から切り離すことで、中立性と同意関連義務の遵守を可能にする。 
4.3 Recommendations for the industry  4.3 産業界への提言 
ndustry has a vital role to play to ensure global coordination in regulating crypto-assets – by engaging with regulators, advocating for clear, consistent regulations across jurisdictions, and collaboratively evolving robust voluntary frameworks (best practices, rating systems, technical standards, etc.).  業界は、規制当局との連携、管轄区域を越えた明確で一貫性のある規制の提唱、強固な自主的枠組み(ベストプラクティス、格付けシステム、技術標準など)の共同開発により、暗号資産の規制におけるグローバルな協調を確保するために、重要な役割を担っている。
Table 13 Recommendations for the industry  表 13 産業界への提言 
Recommendation 1:  提言 1: 
Standard setting  基準設定 
1.1 Industry should make efforts to coordinate and collaborate on evolving interoperable technical standards  1.1 業界は、相互運用可能な技術標準を進化させるための調整と協力に努めるべきである。
1.2 Industry should collaborate to evolve standards with respect to governance, consumer protection, cybersecurity and interoperability. Standards should include consideration of terms of service, disclosure and reporting mechanisms  1.2 業界は、ガバナンス、消費者保護、サイバーセキュリティ、相互運用性に関して、共同で標準を進化させるべきである。標準には、利用規約、開示および報告メカニズムに関する検討を含めるべきである。 
This will improve interoperability, enhance security and help meet regulatory requirements.  これにより、相互運用性が向上し、セキュリティが強化され、規制要件に適合しやすくなる。
Recommendation 2:  提言2: 
Sharing best practices  ベストプラクティスの共有 
2.1 Industry should make efforts to establish best practices for addressing operational risk, market risk (if relevant), counterparty risk, cybersecurity risks and AML protections as well as any other requirements consistent with national laws and regulations41  2.1 業界は、オペレーショナルリスク、市場リスク(関連する場合)、カウンターパーティリスク、サイ バーセキュリティリスク、AML 保護、及び国内法及び規制と整合するその他の要件に対処するためのベストプラク ティスを確立する努力をすべきである41 。
2.2 Industry should also review material risks posed to other entities such as financial markets infrastructure, settlement banks, liquidity providers, validating node operators and other service providers  2.2 業界は、金融市場インフラ、決済銀行、流動性プロバイダー、検証ノードオペレーター、 その他のサービスプロバイダーなど、他の事業体にもたらされる重大なリスクも検討すべきである。
This will promote responsible behaviour, as well as strengthening user experience and ecosystem security.  これにより、責任ある行動が促進されるとともに、ユーザーエクスペリエンスとエコシステムの安全性が強化される。
Recommendation 3:  提言3.
Responsible technology innovation  責任ある技術革新 
3.1 Engage with policy-makers and sectoral regulators to innovate responsibly with a view to protecting and empowering users; align on educational efforts  3.1 ユーザーの保護とエンパワーメントの観点から、政策立案者やセクター規制当局と連携して、責任あるイノベーションを行う。
3.2 Industry innovation should keep in view the potential maturity cycle of the industry and the environmental, social and economic risks  3.2 業界のイノベーションは、業界の潜在的な成熟サイクルと環境、社会、経済のリスクを視野に入れるべきである。
This is necessary to ensure that users are empowered and that the technology is used to the benefit of society and stakeholders. これは、ユーザーの力を高め、技術が社会とステークホルダーの利益のために使われることを保証するために必要である。
TABLE14 Existing examples from other sectors  表14 他セクターの既存事例 
Standard setting:  規格の設定 
The Payment Card Industry Data Security Standard (PCI DSS) is an example of widely adopted industry-led standard setting, where major credit card companies collaborated to develop standards for the security of credit card transactions and the protection of cardholder information.  PCI DSS(Payment Card Industry Data Security Standard)は、広く採用されている業界主導の標準設定の例であり、主要なクレジットカード会社が協力して、クレジットカード取引のセキュリティとカード会員情報の保護に関する基準を策定した。
Self-regulation/best practices  自主規制・ベストプラクティス 
The Global FX industry is not formally regulated. Rather, it is overseen by the FX Global Code July 2021 (Global Code), a set of global principles of good practices in the foreign exchange market, developed to provide a common set of guidelines to promote the integrity and effective functioning of the wholesale foreign exchange market. It was developed through a partnership between central banks and market participants from 20 jurisdictions around the globe.  グローバルFX業界は、正式な規制を受けていない。むしろ、FXグローバルコード2021年7月(グローバルコード)によって監督されている。グローバルコードは、外国為替市場における優良慣行の世界的な原則のセットであり、卸売外国為替市場の整合性と効果的な機能を促進するための共通のガイドラインを提供するために開発された。これは、世界20カ国の中央銀行と市場参加者のパートナーシップによって開発された。
Through its Recognised Industry Codes,42 the UK’s Financial Conduct Authority (FCA) recognizes four code of conduct: the FX Global Code (July 2021); the UK Money Markets Code (April 2021); the Lending Standards Board Standards of Lending Practice for Business Customers; and the Global Precious Metals Market Code (May 2017), in lieu of formally regulating these sectors in the UK.  英国金融行動庁(FCA)は、Recognised Industry Codes42を通じて、英国でこれらの分野を正式に規制する代わりに、FX Global Code(2021年7月)、UK Money Markets Code(2021年4月)、Lending Standards Board Standards of Lending Practice for Business Customers、グローバル貴金属市場規範(2017年5月)の4つの行動規範を承認している。
Responsible technology innovation  責任ある技術革新 
The banking industry and the Hong Kong Monetary Authority (HKMA) work on various initiatives to promote a strong corporate culture of protecting consumers. This includes developing a Treat Customers Fairly Charter signed by Hong Kong retail banks. In addition, the HKMA has implemented a similar charter for the private wealth-management industry. Both charters incorporate five high-level fairness principles, drawn from good practices in both Hong Kong and overseas and from the G20 High-Level Principles on Financial Consumer Protection.  銀行業界と香港金融管理局(HKMA)は、消費者保護のための強固な企業文化を推進するため、様々な取り組みを行っている。これには、香港のリテール銀行が署名した「Treat Customers Fairly Charter」の策定も含まれる。さらに、香港金融管理局は、プライベート・ウェルス・マネジメント業界にも同様の憲章を導入している。どちらの憲章にも、香港と海外の優れた実践例や、金融消費者保護に関するG20ハイレベル原則から引き出された、5つのハイレベルな公平性の原則が盛り込まれている。
The next evolution of the internet is often characterized by the guiding principles of being open-source, decentralized, permissionless and trust-less. Crypto-assets, enabled by the underlying DLT, will be an integral part of that evolution as they will serve as a means of exchange and store of value, incentivizing network participation and, most importantly, innovating with new economic and social models.  インターネットの次の進化は、オープンソース、分散型、パーミッションレス、トラストレスという指導原則によって特徴づけられることが多い。DLTによって実現される暗号資産は、交換手段や価値の保存として機能し、ネットワークへの参加を促し、最も重要なこととして、新しい経済・社会モデルを革新するため、この進化に不可欠な部分となるであろう。
Current regulatory efforts largely focus on concerns pertaining to illicit financing, conduct and market integrity, prudential requirements and financial stability. However, as the understanding of the opportunities as well as the distinct risks strengthens, there is a need to evolve a principles- based, agile approach that advances best practices and guidelines with a co-innovation lens. Crucially, policy-makers and industry stakeholders need to collaborate across jurisdictions to ensure  現在の規制の取り組みは、主に不正な資金調達、行為と市場の整合性、プルデンシャル要件、金融安定性に関わる懸念に焦点を当てている。しかし、機会だけでなく、明確なリスクに対する理解が深まるにつれ、コ・イノベーションのレンズでベストプラクティスとガイドラインを進める、原則に基づいた機敏なアプローチを進化させる必要性がある。重要なことは、政策立案者と業界の利害関係者が、一貫性と明確性を確保するために、管轄区域を越えて協力する必要があることである。
consistency and clarity. While coordination is not always easy to achieve, this paper recommends several prioritized pathways that different actors can leverage to attain the desired outcome. Use of a variety of regulatory tools, ranging from legislative frameworks to voluntary codes of conduct and educational efforts, are needed to regulate this dynamic sector. Additionally, as these new technologies start from a position of transparency, it is possible to imagine even better regulatory tools to address cross-border concerns.  一貫性と明確性を確保する必要がある。連携は必ずしも容易ではないが、本論文では、望ましい結果を得るために、さまざまな関係者が活用できる優先順位の高い経路をいくつか推奨する。このダイナミックなセクターを規制するためには、法的枠組みから自主的な行動規範や教育的努力に至るまで、さまざまな規制手段の利用が必要である。さらに、これらの新しいテクノロジーは透明性の高い位置からスタートするため、国境を越えた懸念に対処するためのさらに優れた規制ツールを想像することが可能である。
Building on this foundational paper, the World Economic Forum’s Blockchain and Digital Assets team will launch an initiative focused on evaluating the outcomes of different regional approaches to regulation. This effort will convene public- and private-sector leaders to reveal first-hand learnings and the unintended consequences of different regulatory frameworks.  この基礎的な論文に基づき、世界経済フォーラムのブロックチェーンとデジタル資産チームは、規制に対するさまざまな地域のアプローチの成果を評価することに焦点を当てたイニシアティブを立ち上げる予定である。この取り組みでは、官民のリーダーを招集し、異なる規制の枠組みがもたらす直接的な学習や意図しない結果を明らかにする。

 

 


 

●まるちゃんの情報セキュリティ気まぐれ日記

暗号資産...

・2023.05.09 デジタル庁 Web3.0研究会(フォローアップ会議)資料等...

・2023.04.27 EU 議会 暗号資産に関する法案を承認

・2023.04.14 米国 FBI 2022年インターネット犯罪レポート (2023.03.22)

・2023.04.11 警察庁 サイバー事案の被害の潜在化防止に向けた検討会報告書 (2023.04.06)

・2023.03.29 米国 司法省 30億ドル以上の違法取引を処理したダークネット暗号通貨ミキサーのテイクダウンに成功 (2023.03.15)

・2023.03.28 金融庁 事務ガイドライン(第三分冊:金融会社関係(16 暗号資産交換業者関係)の一部改正

・2023.03.17 警察庁 令和4年におけるサイバー空間をめぐる脅威の情勢等について

・2023.03.04 米国 国家サイバーセキュリティ戦略を発表

・2023.02.24 米国 2023年国土安全保障シンポジウム・エキスポにおけるレイFBI長官の発言

・2023.02.16 SECが2023年度の審査強化項目を公表していますね。。。 引き続きサイバーセキュリティも含まれています。。。(2023.02.07)

・2023.02.15 欧州議会 サイバーセキュリティ:主な脅威と新たな脅威 (2023.01.27)

・2023.02.13 米国・韓国「重要インフラへのランサムウェア攻撃は北朝鮮のスパイ活動の資金源になる」から身代金は払うなよ...

・2023.02.11 米国 英国 ロシアを拠点とするサイバー犯罪組織「Trickbot」のメンバーに制裁を科す

・2023.01.04 世界経済フォーラム (WEF) 暗号通貨の未来はこうなる

・2022.12.30 Belfer Center: Web3関連のイベント(構築、投資、政策立案)(2022.10.20-12.01)

・2022.12.03 Interpol サイバー化された金融犯罪:インターポールの世界的な警察活動で1億3,000万米ドル(175億円)を阻止 (2022.11.24)

・2022.11.13 欧州議会 NIS2とデジタル・オペレーショナル・レジリエンス法を可決

・2022.11.01 カナダ サイバーセキュリティセンター 国家サイバー脅威評価 2023-2024

・2022.10.31 ドイツ 連邦情報セキュリティ局 (BSI) ドイツにおける ITセキュリティの現状 2022年 (2022.10.25)

・2022.10.15 警察庁 金融庁 NISC 北朝鮮当局の下部組織とされるラザルスと呼称されるサイバー攻撃グループによる暗号資産関連事業者等を標的としたサイバー攻撃について(注意喚起)

・2022.10.14 デジタル庁 Web3.0研究会 第1回 (2022.10.05) + 第2回 (2022.10.12)

・2022.10.12 金融安定理事会 (FSB) 暗号資産活動の国際的規制の枠組みの提案

・2022.10.06 BIS バーゼルIIIモニタリングレポート (暗号資産に対する銀行のエクスポージャー)(2022.09.30)

・2022.09.21 米国 デジタル資産の責任ある開発に関する包括的フレームワーク (2022.09.16)

・2022.09.14 米国 MITRE Web3のセキュリティ確保とインターネットの未来への挑戦

・2022.08.19 世界経済フォーラム (WEF) 暗号通貨とステーブルコインがもたらすマクロ経済への影響  (2022.07.22)

・2022.08.02 米国 責任あるフィンテック政策を求める書簡 (1500人のコンピュータ科学者、ソフトウェアエンジニア、テクノロジストから米国議員への手紙)(2022.06.01)

・2022.08.01 金融庁 寄稿 暗号資産交換所ビジネスの現状とモニタリングの方向性(金融財政事情 2022.05.17)

・2022.07.08 バーゼル銀行監督委員会:(パブコメ)銀行の暗号資産エクスポージャーのプルデンシャルな取り扱いに関する第2回協議文書を公表 (2022.06.30)

・2022.06.17 金融庁 分散型金融システムのトラストチェーンにおける技術リスクに関する研究

・2022.04.22 米国 CISA 北朝鮮の国家支援型APTがブロックチェーン企業を狙っています

・2022.04.12 金融庁 「マネー・ローンダリング・テロ資金供与・拡散金融対策の現状と課題」(2022年3月)(2022.04.08)

・2022.04.05 SECが2022年度の審査強化項目を公表していますね。。。 引き続きサイバーセキュリティも含まれています。。。(2022.03.31)

・2022.04.04 米国 デジタル・ドルができる? H.R. 7231 電子通貨および安全なハードウェア(ECASH)法案

・2022.03.30 世界経済フォーラム (WEF) 暗号通貨規制:今、私たちはどこにいて、どこに向かっているのか?

・2022.03.23 企業会計基準委員会 意見募集 暗号資産(資金決済法、金商法)の発行及び保有についての論点整理と投資性ICOの会計処理・開示についての取り扱い

 ・2022.03.18 米国 FBIが新たに仮想資産課 (VAU) を設立...

・2022.03.10 米国 デジタル資産の責任ある開発を確保するための大統領令

・2022.03.03 米国 司法省 タスクフォース KleptoCapture (ロシアの資金源を断つ?)

・2022.02.21 金融安定理事会 (FSB) 「暗号資産による金融安定化リスクの評価」

・2021.11.18 金融庁 「デジタル・分散型金融への対応のあり方等に関する研究会」中間論点整理を公表

・2021.09.29 Cloud Security Alliance ブロックチェーン攻撃、脆弱性と弱点トップ10

・2021.09.26 中国 人民銀行等 仮想通貨取引における投機リスクの更なる防止・対処に関する通知

・2021.09.25 中国 国家発展改革委員会などが仮想通貨の「マイニング」を規制

・2021.09.20 米国 SEC長官の上院での証言(1) 暗号資産に関して「私たちはもっとうまくやれるはず」

・2021.08.23 リキッドグループのQUOINE株式会社および海外関係会社での暗号資産流出(100億円以上?)

・2021.06.08 米国 司法省 コロニアル・パイプライン社が支払った暗号通貨の大半(約230 万ドル)を押収

・2021.04.14 Cloud Security Alliance 暗号資産交換セキュリティガイドライン

・2022.03.29 米国 GAO ブロックチェーン:新たな技術がもたらす利点と課題

・2022.03.29 米国 GAO 政府・社会に影響を与えるトレンド (2022.03.15)

・2021.03.21 金融活動作業部会 仮想資産および仮想資産サービスプロバイダーへのリスクベースアプローチに関するガイダンスの更新草案を公表

・2021.02.11 NIST NISTIR 8301 Blockchain Networks: Token Design and Management Overview(ブロックチェーンネットワーク:トークンのデザインと管理の概要)

・2021.02.10 ENISA 暗号に関する2つの報告書 「ポスト量子暗号:現状と量子緩和」と「暗号資産:デジタル通貨と分散型台帳技術の概要」

・2020.11.22 INTERPOL, Europol, バーゼルガバナンス研究所 「第4回犯罪金融と暗号通貨に関する世界会議」の7つの推奨事項

・2020.11.10 NYDFS - Twitter Investigation Report ニューヨーク州金融サービス局 ツイッター調査報告書 @2020.10.14

・2020.11.08 米国 10億US$以上の価値のある暗号通貨を没収するための民事訴訟を提起

・2020.09.18 欧州議会 暗号資産のリスクに関する報告書を発表、サイバー耐性とプライバシーを重要な関心事として強調

・2020.08.29 米国司法省 北朝鮮のサイバーハッキングプログラムと中国の暗号通貨マネーロンダリングネットワークとの継続的なつながり

・2020.06.27 ”CryptoCore”は2年間で暗号通貨取引所から約200億円以上相当の暗号通貨を盗んでいる???

・2020.06.15 日本銀行金融研究所 暗号資産とブロックチェーンの安全性の現状と課題 by 松尾真一郎

・2020.04.21 仮想通貨が2,500万ドル(約27億円)盗まれたようですね。。。

| | Comments (0)

IPA 産業用制御システム向け侵入検知製品等の導入手引書

こんにちは、丸山満彦です。

IPAが、「産業用制御システム向け侵入検知製品等の導入手引書」を公表していますね。。。

制御システムで利用されるOSのオープン化+インターネット接続により、情報系のシステムと同様の脅威に晒されるようになってことに伴い、情報系のシステムと同様に、検知と対応も重要となることから、検知製品の導入手引きを作ったということですかね。。。

 

IPA

・2023.06.19 「産業用制御システム向け侵入検知製品等の導入手引書」公開の背景


産業用制御システムのネットワークのオープン化、制御機器のOSのオープン化にともない、情報システムで使われるネットワークとOSが制御システムでも利用されるようになりました。また、経営最適化や制御システムの運転効率向上などの目的で、制御システムの情報を情報システムで分析するために、制御システムが外部ネットワークと接続することが増えてきました。  

こうした背景のもと、制御システムにおいて増大するネットワークセキュリティリスクに対応するためには、サイバー攻撃を直接防御(Protect)するだけではなく、情報システムと同様にセキュリティインシデント(とその兆候)を検知(Detect)し、検知したインシデントに対応(Respond)することが重要です。近年では、産業用制御システムで使われるネットワークワークプロトコルに対応した侵入検知・インシデント対応を支援するツールが登場しており、IPAは「産業用制御システム向け侵入検知製品の実装技術の調査」調査を実施し、調査報告書を2022年9月に公開しました

調査の次ステップとして、制御システムに侵入検知製品導入を検討しようとしている事業者において円滑な導入方法や有効な運用方法等、導入に役立つ情報を提供することを目的として、産業用制御システムのネットワークプロトコルに対応した侵入検知製品を導入する際の導入の進め方や、導入後の留意事項をまとめた手引書の作成を行いました。


 

 ・[PDF] 産業用制御システム向け侵入検知製品等の導入手引書

20230620-174430


•1章:手引き作成の背景と目的

•2章:侵入検知製品等の基本事項
 産業用制御システム用の侵入検知製品の技術について、侵入検知製品等の基礎知識、導入の目的と留意点、導入にあたっての基本事項(運用に係る負荷の軽減、システムパフォーマンスへの影響の抑制、付加機能の効果的な活用、投資判断と予算化に向けた調整の円滑化)を活用できるよう情報をまとめました。

•3章:侵入検知製品等の導入の進め方
 実際に侵入検知製品を利用している事業者においてヒアリングを実施しそのヒアリング内容から、構築の進め方、試験運用の進め方、本格運用の進め方をまとめて記載しました。

•4章:侵入検知製品等の導入後の留意点
 検知ポリシーの改善・更新と、異なる対策製品等との連携についてまとめました。


 

こちらの記事とその元ネタも併せて読むとよいかもです。。。

 

⚫︎ まるちゃんの情報セキュリティ気まぐれ日記

2022.09.23xIPA 「産業用制御システム向け侵入検知製品の実装技術の調査」調査報告書

 

 

 

 

| | Comments (0)

IPA スマートビルガイドライン(補足資料)追加

こんにちは、丸山満彦です。

IPAが4月にスマートビルガイドラインのパブコメ案を発表し、5月31日に確定し、公表していたようです(見逃していました。。。)。で、6月に補足資料を追加しています。。。

しかしなんだろうなぁ、、、スマートシティも含めて本質的な価値というのをもう少し明確にして、国際標準 (ISO37155) もアピールしたほうが、普及が進むと思うんですけど、どうなんでしょうかね。。。普及しないと意味がないですからね。。。もちろん、これからですが。。。

 

IPA

スマートビルガイドライン

スマートビル総合ガイドライン スマートビルを取り巻く背景やガイドライン発行の目的、さらにスマートビルのあるべき姿として、スマートビルの担うべき機能を基にした将来像や定義、またその実現に向けての設計原則として、要求事項や満たすべき性質などを記載しています。全てのステークホルダーがまず理解しておくべき前提事項を解説しています。
スマートビルシステムアーキテクチャガイドライン スマートビルのシステム構成図の他、構成要素とそれに紐づく要求機能、協調領域などを記載。スマートビルの設計を進めるうえでのポイントや、スマートビルのシステム概要、データモデル・インターフェースの考え方を中心に解説しています。フィールド層事業者、データ共有・管理層事業者、アプリ層事業者は上記の基本的な情報を得ることができます。またデータモデルやインターフェースに対する理解を促すものとして活用できます。
スマートビル構築・運用ガイドライン 構築や運用における標準プロセス、ステークホルダーの役割などを記載。スマートビル構築において、実施すべきタスクやコミュニケーションの取り方などのポイントを解説しています。管理者、フィールド層事業者、データ共有・管理層事業者、アプリ層事業者が共通して参考にするべき情報であり、プロジェクト関係者間で役割等に関する共通認識を得るものとして活用できます。
スマートビルデータガバナンスガイドライン スマートビルにおけるデータのガバナンス、特にデータポリシーの考え方を記載。データを利活用するステークホルダーが理解すべき内容を解説しています。オーナー・管理者、フィールド層事業者、データ共有・管理層事業者など、データに関する取り決めが必要な者にとっての基本的な情報であり、関係者間の合意形成を促すものとして活用できます。
補足説明資料 上記のガイドラインを解説した資料です。本文や図を抜粋したスライド資料となっています。ご活用ください。
パブリックコメント スマートビルガイドライン第1版に関しまして、パブリックコメント募集の結果、73件のコメントを頂戴しました。頂いたコメント及び当該コメントに対するIPAの考え方

 

20230620-172431

 

 

| | Comments (0)

2023.06.20

総務省 Quad オープンRANセキュリティ報告書 (2023.05.20)

こんにちは、丸山満彦です。

Quad(日米豪印) の成果として、「オープンRANセキュリティ報告書 (Open Radio Access Networks Security Report) 」が公表されていました。。。

報告書はLetterではなく、A4ですね。。。

 

総務省

・2023.05.20 日米豪印「Open RANセキュリティ報告書」の公表


Open RANは、無線基地局の仕様をオープンかつ標準化することにより、様々なサプライヤの機器やシステムとの相互接続を可能とする無線アクセスネットワーク(RAN)です。
 日米豪印(クアッド)重要・新興技術作業部会においては、昨年5月24日に4か国の担当省庁の局長間で署名した「5Gサプライヤ多様化及びOpen RANに関する協力覚書」に基づき、Open RANの検証、相互運用性、セキュリティに関する情報共有、試験環境の共有の可能性の検討、更なる協力内容の検討などについて、議論を継続してまいりました。
 本報告書は、Open RANのセキュリティに対する関心が高まる中、実証試験を含む客観的な調査・分析を通じて、従来の一括調達型のRANと比較した場合におけるOpen RANの優位性、課題及び課題の克服可能性を評価したものであり、日米豪印重要・新興技術作業部会の「5Gサプライヤ多様化及びOpen RANに関する協力覚書」に基づく成果として公表するものです。


 

・[PDF] Open RAN Security Report

20230620-22041

 

・[PDF] Open RANセキュリティ報告書」(概要)

20230620-22521

 


米国側は商務省 電気通信・情報局...

United States Department of Commerce - National Telecommunications and Information Administration; NTIA

・2023.05.22 Open RAN Security Report

・[PDF] Open RAN Security Report (Full Report)

20230620-22041

・[PDF] Outline Slide for Open RAN Security Report

20230620-24415

20230620-24600

Summary of “Open RAN Security Report”  オープンRANセキュリティ報告書 の概要 
The recent release of the “Open RAN Security Report” concludes that the use of Open Radio Access Networks (Open RAN) does not fundamentally alter the security risk landscape for telecommunications, compared to more traditional RAN. Most security threats analyzed in the report affect both traditional network deployments and Open RAN deployments, with only four percent found to be unique to Open RAN. Mitigation measures make it feasible to ensure equivalent levels of security between traditional and Open RAN deployments. The report notes that Open RAN also offers potential advantages relevant both to security and to objectives like operational efficiency, interoperability, and innovation.   最近発表された "Open RAN Security Report "は、Open Radio Access Networks (Open RAN)の使用は、従来のRANと比較して、電気通信のセキュリティリスク状況を根本的に変えることはないと結論付けている。報告書で分析されたセキュリティ脅威のほとんどは、従来のネットワーク展開とOpen RAN展開の両方に影響し、Open RANに特有のものはわずか4%であることが判明した。緩和策により、従来型とOpen RANの間で同等のセキュリティレベルを確保することは可能である。報告書では、Open RANは、セキュリティと運用効率、相互運用性、イノベーションなどの目的の両方に関連する潜在的な利点も提供すると指摘している。 
Key findings include:  主な調査結果は以下の通り: 
•       Open RAN is expected to increase the network “attack surface” by a small degree compared to traditional RAN;   ・Open RANは、従来のRANと比較して、ネットワークの「攻撃面」を若干増加させることが予想される;  
•       Risks stemming from utilization of cloud-based infrastructure can affect both traditional and Open RAN deployments similarly, along with any technological solutions that leverage cloud services; and  ・クラウドベースのインフラストラクチャの利用から生じるリスクは,従来のRANとOpen RANの両方の展開,およびクラウドサービスを活用するあらゆる技術的ソリューションに同様に影響する。
•       Concerns related to use of artificial intelligence, machine learning, and open-source software (OSS) are neither unique to Open RAN nor immitigable.   ・人工知能、機械学習、オープンソースソフトウェア(OSS)の利用に関連する懸念は、Open RANに特有のものでもなく、没個性的でもない。 
Open RAN presents various security benefits. Open specifications allow operators to test and verify associated security controls, rather than mainly trusting their RAN vendor to adequately protect non-standard interfaces. Security issues can be addressed much more efficiently in virtualized, cloud-enabled environments than with traditional deployments. Open RAN makes it possible to automate many tasks now done manually, improving operational visibility and configuration management. The report also outlines other advantages of Open RAN, such as enhanced vendor competition and likely cost and performance benefits resulting from it; reduction of vendor lock-in and other supply chain risks; and energy efficiency optimization.  Open RANは、様々なセキュリティ上の利点をもたらす。オープンな仕様により、オペレータは、RANベンダーが非標準的なインターフェースを適切に保護することを主に信頼するのではなく、関連するセキュリティコントロールをテストし検証することができる。仮想化されたクラウド対応環境では、従来のデプロイメントよりもはるかに効率的にセキュリティ問題に対処することができる。Open RANは、現在手作業で行われている多くの作業を自動化し、運用の可視性と構成管理を改善することが可能である。また、Open RANのその他の利点として、ベンダーの競争の激化とそれに伴うコストやパフォーマンスの向上、ベンダーロックインやその他のサプライチェーンのリスクの低減、エネルギー効率の最適化などが挙げられている。
As with any newer approach, Open RAN presents additional security dynamics that operators should remain fully aware of in order to manage. The presence of more vendors within telecommunications supply chains is expected to make vendor coordination more complex than with traditional RAN. While parties external to the operator can be made responsible for implementing appropriate security controls, it is ultimately the operator’s role to ensure its supply chain is reliable and trusted. Relatedly, Open RAN vendors, systems integrators, and operators alike should analyze and test their technology interdependencies and “harden” any components against potential vulnerabilities. Diversification of suppliers and technology components used in the RAN may also make it more difficult to keep track of all software in use in deployments.   新しいアプローチと同様に、Open RANは、事業者が管理するために十分な注意を払うべき、追加のセキュリティ力学を提示する。電気通信のサプライチェーンに多くのベンダーが存在するため、従来のRANに比べてベンダーの調整が複雑になることが予想される。事業者の外部の関係者が適切なセキュリティ管理を実施する責任を負うことは可能だが、サプライチェーンの信頼性と信用を確保するのは、最終的には事業者の役割である。これに関連して、オープン RAN のベンダー、システムインテグレーター、およびオペレーターは同様に、技術の相互依存関係を分析およびテストし、潜在的な脆弱性に対してあらゆるコンポーネントを「硬化」させるべきである。RANで使用されるサプライヤーや技術コンポーネントが多様化することで、導入時に使用されるすべてのソフトウェアを追跡することが困難になる可能性もある。 
Finally, the report presents and contextualizes numerous mitigation measures, both for operators now deploying Open RAN and those considering it. It explains that, while progress has been made, technical specification of Open RAN security requirements remains ongoing. Supplementary controls should be instituted to ensure comprehensive security during all stages of the Open RAN lifecycle. Open RAN stakeholders should also consider utilizing widely adopted industry standards and best practices, as well as conduct security checks on equipment.  最後に、本報告書は、現在Open RANを導入している事業者と、導入を検討している事業者の両方に対して、数多くの緩和策を提示し、その背景を解説している。この報告書では、進展は見られるものの、Open RANのセキュリティ要件に関する技術的な仕様はまだ継続中であると説明している。Open RAN のライフサイクルの全段階において、包括的なセキュリティを確保するために、補足的な管理を行う必要がある。また、Open RANの関係者は、広く採用されている業界標準やベストプラクティスの活用を検討するとともに、機器のセキュリティチェックを実施する必要がある。

 

 

報告書の目次...

Introduction 序文
Background 背景
Objectives of this research study 本調査研究の目的
Summary 概要
1 Categorizing security risks of 5G networks 1 5Gネットワークのセキュリティリスクを分類する
2 Scope and method of research 2 研究の範囲と方法
2.1 Introduction 2.1 序文
2.2 Scope and limitations 2.2 範囲と制限
2.3 Assumptions on the Radio Access Network 2.3 無線アクセスネットワークに関する前提条件
2.3.1 Deployment assumptions 2.3.1 デプロイメントの仮定
2.3.2 Security assumptions 2.3.2 セキュリティの前提
2.4 Risk analysis 2.4 リスク分析
2.4.1 Threat identification 2.4.1 脅威の特定
2.4.2 Risk rating 2.4.2 リスク評価
2.4.3 Risk mitigation 2.4.3 リスクの軽減
2.4.4 Mitigation owners 2.4.4 緩和策の所有者
2.5 Previously published views on Open RAN security 2.5 Open RAN のセキュリティに関する過去に発表された見解
2.5.1 BSI – Open RAN Risk Analysis (5GRANR) 2.5.1 BSI ・Open RAN リスク分析 (5GRANR)
2.5.2 NIS Group – Report on the cybersecurity of Open RAN 2.5.2 NIS Group ・Open RAN のサイバーセキュリティに関する報告書
2.5.3 CISA – Open Radio Access Network Security Considerations 2.5.3 CISA ・オープンラジオアクセスネットワークのセキュリティに関する考察
2.5.4 IFRI – “Open” Telecom Networks (Open RAN) 2.5.4 IFRI ・「オープン」なテレコムネットワーク(Open RAN)
2.5.5 NTT Docomo – 5G Open RAN Ecosystem White paper 2.5.5 NTTドコモ ・5GオープンRANエコシステム白書
2.5.6 Summary of previously published views 2.5.6 過去に発表された見解のまとめ
3 Comparison of Open RAN and traditional RAN 3 Open RANと従来のRANの比較
3.1 Security risks associated to Open RAN 3.1 Open RANに関連するセキュリティリスク
3.1.1 Result of the threat identification 3.1.1 脅威の特定結果
3.1.2 Result of the risk rating 3.1.2 リスク評価の結果
3.2 Potential Open RAN security challenges 3.2 Open RANのセキュリティ上の潜在的な課題
3.3 Potential security advantages of Open RAN 3.3 Open RANのセキュリティ上の潜在的な利点
4 Risk mitigation measures 4 リスク軽減策
4.1 Mitigation measures defined by O-RAN specifications 4.1 O-RAN 仕様で定義された緩和策
4.1.1 Specification analysis 4.1.1 仕様書の分析
4.1.2 Analysis results 4.1.2 分析結果
4.1.3 Summary of O-RAN defined mitigating measures 4.1.3 O-RANで定義された緩和策のまとめ
4.2 Supplementary mitigation measures 4.2 補足的な緩和策
4.2.1 Analysis & design 4.2.1 分析と設計
4.2.2 Implementation & test 4.2.2 実装とテスト
4.2.3 Sourcing & procurement 4.2.3 ソーシングと調達
4.2.4 Integration & deployment 4.2.4 統合と展開
4.2.5 Operations & maintenance 4.2.5 運用と保守
5 Lab Verification and Analysis 5 ラボ検証および分析
5.1 Purpose of Lab Verification 5.1 ラボ検証の目的
5.2 Lab verification scope and procedure 5.2 ラボ検証の範囲と手順
5.2.1 Scope 5.2.1 範囲
5.2.2 Procedure 5.2.2 手順
5.3 Test scenarios 5.3 テストシナリオ
5.3.1 Open Interface 5.3.1 オープンインターフェース
5.3.1.1 Characteristics of Open Interface  5.3.1.1 オープンインタフェースの特徴
5.3.1.2 Open Fronthaul Test Scenario  5.3.1.2 オープンフロンソールテストシナリオ
5.3.1.3 Other Open Interface Test Scenarios  5.3.1.3 その他のオープンインタフェースのテストシナリオ
5.3.2 Virtualization 5.3.2 仮想化
5.3.2.1 Characteristics of Open Interface  5.3.2.1 オープンインタフェースの特徴
5.3.2.2 Test scenario for virtualization  5.3.2.2 仮想化に関するテストシナリオ
5.3.3 Intelligence 5.3.3 インテリジェンス
5.3.3.1 The Characteristics of Intelligence  5.3.3.1 インテリジェンスの特徴
5.3.3.2 Intelligence Testing Scenario  5.3.3.2 インテリジェンスのテストシナリオ
5.4 Test Environment 5.4 テスト環境
5.5 Validation Results 5.5 バリデーション結果
5.5.1 Open Interface 5.5.1 オープンインターフェース
5.5.1.1 Verification items and procedures  5.5.1.1 検証項目と手順
5.5.1.2 Test Results  5.5.1.2 テスト結果
5.5.1.3 Analysis  5.5.1.3 解析
6 Conclusion 6 結論
6.1 Open RAN security risks and mitigations 6.1 Open RAN のセキュリティリスクと軽減策
6.1.1 Risk analysis findings 6.1.1 リスク分析結果
6.1.2 Mitigating measures 6.1.2 軽減策
6.1.3 Comparison to traditional RAN 6.1.3 従来のRANとの比較
6.1.4 Lab Verification and Analysis 6.1.4 ラボでの検証・分析
6.2 Open challenges 6.2 オープンな課題
6.2.1 AI/ML poisoning 6.2.1 AI/MLポイズニング
6.2.2 Privacy considerations 6.2.2 プライバシーに関する考慮事項
6.3 Aspects unrelated to security 6.3 セキュリティと無関係な側面
6.3.1 Lower prices for wireless communication equipment 6.3.1 無線通信機器の低価格化
6.3.2 Optimizing energy efficiency through intelligence (Energy saving) 6.3.2 インテリジェンスによるエネルギー効率の最適化(Energy saving)
6.3.3 Improved monitoring and maintenance functions by SMOs 6.3.3 SMOによる監視・保守機能の向上
7 References 7 参考資料
Appendix 附属書
A1  Duplicate threats identified in the O-RAN Threat Modeling and Remediation Analysis A1 O-RAN 脅威モデリングと修復分析で特定された重複する脅威
A2  Security threats unique to Open RAN A2 Open RAN に特有のセキュリティ上の脅威
A3  Security checklist for Open RAN A3 Open RAN のセキュリティチェックリスト
A3.1  Objective of this checklist A3.1 このチェックリストの目的
A3.2  Description of parameters in this checklist A3.2 このチェックリストにおけるパラメータの説明
A3.3  Supplementary information A3.3 補足情報

 

 

 

| | Comments (0)

2023.06.19

英国 科学技術省データ倫理・イノベーションセンター 「AIシステムをより公平にするために、人口統計データへの責任あるアクセスを可能にする」

こんにちは、丸山満彦です。

英国の科学技術省データ倫理・イノベーションセンター が「AIシステムをより公平にするために、人口統計データへの責任あるアクセスを可能にする」という報告書を公表していますね。。。

バイアスと減らし、できる限り公平性が担保されたAIとするための施策の一つということなのでしょうかね。。。

 

Gov.UK -  Department for Science, Innovation and Technology - Centre for Data Ethics and Innovation; CDEI

・2023.06.17 Enabling responsible access to demographic data to make AI systems fairer

Enabling responsible access to demographic data to make AI systems fairer AIシステムをより公平にするために、人口統計データへの責任あるアクセスを可能にする
The CDEI has published a report on approaches to accessing demographic data for bias detection and mitigation. CDEIは、バイアスの検出と緩和のための人口統計データへのアクセスのアプローチに関する報告書を発表した。
[HTML] Report: Enabling responsible access to demographic data to make AI systems fairer 報告書: AIシステムをより公平にするために、人口統計データへの責任あるアクセスを可能にする
[PDF] Annex 1: Deltapoll public attitudes report 附属書1:Deltapoll 国民意識調査報告書
[PDF] Annex 2: Frazer Nash technical study 附属書2:Frazer Nash 技術調査
Details 詳細
Over the last year, CDEI has been exploring the challenges around access to demographic data for detecting and mitigating bias in AI systems, and the potential of novel solutions to address these challenges. Organisations who use artificial intelligence (AI) systems should monitor the outcomes of these systems to ensure they are fair. However, many techniques for detecting and mitigating bias in AI systems rely on access to data about the demographic traits of service users, and many service providers struggle to access the data they need. In a period where algorithmic bias has been a major focus in academia and industry, approaches to data access have received relatively little attention, despite often being highlighted as a major constrain CDEIは昨年来、AIシステムにおけるバイアスを検出・軽減するための人口統計データへのアクセスに関する課題と、これらの課題に対処するための新規ソリューションの可能性を探ってきた。人工知能(AI)システムを使用する組織は、これらのシステムの結果が公正であることを確認するために監視する必要がある。しかし、AIシステムにおけるバイアスを検出・軽減するための多くの技術は、サービス利用者の人口統計学的特性に関するデータへのアクセスに依存しており、多くのサービスプロバイダーが必要なデータへのアクセスに苦労している。アルゴリズムによるバイアスが学界や産業界で大きな注目を集める中、データアクセスへのアプローチは、しばしば大きな制約として強調されているにもかかわらず、比較的注目されていない。
This report sets out the main barriers service providers face when seeking to collect demographic data for bias detection and mitigation, and explores two promising groups of novel approaches to addressing some of them: data intermediaries and proxies. 本報告書では、バイアスの検出と緩和のために人口統計データを収集しようとする際にサービスプロバイダーが直面する主な障壁を示し、その一部に対処するための2つの有望な新規アプローチ、すなわちデータ仲介者と代理人について検討する。
This report has been informed by the work that CDEI has conducted over the last year, including a landscape review, a public attitudes study commissioned from Deltapoll, a technical study commissioned from Frazer Nash, and four workshops with legal and ethical experts. We are grateful for all those who have contributed to this work. 本報告書は、CDEIが昨年実施した、ランドスケープレビュー、Deltapoll社に依頼した市民意識調査、Frazer Nash社に依頼した技術調査、法律・倫理専門家との4回のワークショップなどの作業から得られたものである。この作業に貢献したすべての人々に感謝する。
Next steps 次のステップ
This report has been published alongside the announcement of CDEI’s Fairness Innovation Challenge. This will support organisations in their efforts to implement the proposed fairness principle set out in the UK government’s AI White Paper. The challenge will provide an opportunity to test new ideas for addressing AI fairness challenges in collaboration with government and regulators. We hope that it will generate innovative new approaches to addressing some of the data access challenges described in this report. 本報告書は、CDEIのFairness Innovation Challengeの発表と同時に発行された。このチャレンジは、英国政府のAI白書で提案されたフェアネス原則を実施するための組織を支援するものである。このチャレンジは、政府や規制当局と協力して、AIの公平性の課題に取り組むための新しいアイデアをテストする機会を提供するものである。本報告書に記載されているデータアクセスの課題のいくつかに対処するための革新的な新しいアプローチを生み出すことを期待している。

 

・2023.06.14 Report: Enabling responsible access to demographic data to make AI systems fairer

目次的なもの...

1. Executive summary 1. エグゼクティブサマリー
2. Introduction 2. 序文
2.1 Aims of this publication 2.1 本書のねらい
2.2 Why should service providers address bias in AI systems? 2.2 なぜサービスプロバイダーはAIシステムのバイアスに対処すべきなのか?
3. Barriers and risks 3. 障壁とリスク
3.1 Barriers 3.1 障壁
Concerns around public trust 社会的信用をめぐる懸念
Navigating regulatory compliance 規制コンプライアンスに対応する
Data collection expertise データ収集の専門知識
3.2 Risks 3.2 リスク
Privacy プライバシー
Misrepresentation 誤認識
Data theft or misuse データの盗難や悪用
4. Novel approaches 4. 斬新なアプローチ
4.1 Data intermediaries 4.1 データ仲介者
What is a data intermediary? データ仲介とは何か?
What could a demographic data intermediary look like? 人口統計データの仲介者はどのような存在になり得るか?
Potential benefits 想定されるメリット
Potential data intermediary models データ仲介の可能なモデル
Barriers and risks 障壁とリスク
Conclusions 結論
4.2 Proxies 4.2 代理者
What are proxies? 代理者とは何であろうか。
Existing proxy methods and tools 既存の代理者メソッドとツール
Potential benefits 想定されるメリット
Barriers and risks 障壁とリスク
Legal risk 法的リスク
Accuracy 正確性
Privacy プライバシー
Transparency and user autonomy 透明性とユーザーの自主性
Public trust 社会的信頼
Accessibility アクセス性
Data quality データの品質
Using proxies responsibly 責任ある代理者の利用
5. Enabling a better landscape 5. より良い状況を実現する
5.1 Role of government and regulators 5.1 政府と規制当局の役割
5.2 Role of service providers 5.2 サービスプロバイダの役割
5.3 Role of researchers and civil society 5.3 研究者と市民社会の役割

 

1. Executive summary 1. エグゼクティブサマリー
The use of artificial intelligence (AI), and broader data-driven systems, is becoming increasingly commonplace across a variety of public and commercial services.[footnote 1] With this, the risks associated with bias in these systems have become a growing concern. Organisations deploying such technologies have both legal and ethical obligations to consider these risks. The White Paper on AI Regulation, published in March 2023, reinforced the importance of addressing these risks by including fairness as one of five proposed key regulatory principles to guide and inform the responsible development and use of AI. 人工知能(AI)やより広範なデータ駆動型システムの利用は、様々な公共・商業サービスにおいてますます一般的になりつつある。このような技術を導入する組織には、これらのリスクを考慮する法的・倫理的な義務がある。2023年3月に発表されたAI規制白書では、AIの責任ある開発と利用を導き、知らせるための5つの主要な規制原則案の1つとして公平性を含めることで、これらのリスクに対処することの重要性を強化した。
Many approaches to detecting and mitigating bias require access to demographic data. This includes characteristics that are protected under the Equality Act 2010, such as age, sex, and race, as well as other socioeconomic attributes.[footnote 2] バイアスを検出し緩和するための多くのアプローチでは、人口統計データへのアクセスが必要である。これには、年齢、性別、人種など、2010年平等法で保護されている特性や、その他の社会経済的属性が含まれる[脚注2]。
However, many organisations building or deploying AI systems struggle to access the demographic data they need. Organisations face a number of practical, ethical, and regulatory challenges when seeking to collect demographic data for bias monitoring themselves, and must ensure that collecting or using such data does not create new risks for the individuals that the data refers to. しかし、AIシステムを構築または展開する多くの組織は、必要な人口統計データへのアクセスに苦労している。組織は、バイアスモニタリングのための人口統計データを自ら収集しようとする場合、実用的、倫理的、規制上の多くの課題に直面し、そうしたデータの収集や使用が、そのデータが参照する個人に新たなリスクを生じさせないことを保証しなければならない。
There is growing interest in the potential of novel approaches to overcome some of these challenges. These include techniques to generate synthetic training data that is more representative of the demographics of the overall population, as well as a variety of governance or technical interventions to enable more responsible data access. このような課題を克服するための新しいアプローチの可能性に関心が高まっている。これには、全人口の人口動態をより代表する合成トレーニングデータを生成する技術や、より責任あるデータアクセスを可能にするための様々なガバナンスや技術的介入が含まれる。
Access to demographic data to address bias is important for those working across the AI lifecycle, including organisations developing, deploying and regulating AI. This report primarily explores approaches with the potential to assist service providers, i.e. those who are deploying data-driven systems (including AI) to offer a service, to responsibly access data on the demographics of their users to assess for potential bias. This has led us to focus on two contrasting sets of promising data access solutions: data intermediaries and proxies. Of course, these approaches may have relevance to other parties. However, we have not considered in detail techniques such as synthetic generation of training data, which are specifically relevant to developers. バイアスに対処するための人口統計データへのアクセスは、AIを開発、導入、規制する組織など、AIのライフサイクルに関わる人々にとって重要である。本報告書では、主にサービスプロバイダー、すなわちデータ駆動型システム(AIを含む)を導入してサービスを提供する者が、潜在的なバイアスを評価するためにユーザーのデモグラフィックに関するデータに責任を持ってアクセスできるよう支援する可能性のあるアプローチを検討する。このため、我々は、有望なデータアクセスソリューションとして、データ仲介者と代理者という対照的な2つのセットに注目することになった。もちろん、これらのアプローチは、他の関係者にも関連性がある可能性がある。しかし、特に開発者に関連する学習データの合成生成のような技術については、詳しく検討していない。
Data intermediary is a broad term that covers a range of different activities and governance models for organisations that facilitate greater access to or sharing of data.[footnote 3] The National Data Strategy identified data intermediaries as a promising area to enable greater use and sharing of data, and CDEI has previously published a report exploring the opportunities they present. データ仲介とは、データへのアクセスや共有を促進する組織の様々な活動やガバナンスモデルをカバーする広い用語である[脚注 3] 国家データ戦略では、データ仲介をデータの利用や共有を拡大するための有望な分野と位置づけ、CDEIは以前、彼らがもたらす機会を探る報告書を発表している。
There is potential for various forms of data intermediary to help service providers collect, manage and/or use demographic data. Intermediaries could help organisations navigate regulatory complexity, better protect user autonomy and privacy, and improve user experience and data governance standards. However, the overall market for data intermediaries remains nascent, and to our knowledge there are currently no intermediaries offering this type of service in the UK. This gap may reflect the difficulties of being a first mover in this complex area, where demand is unclear and the risks around handling such data require careful management. サービスプロバイダーが人口統計データを収集、管理、利用するのを支援する様々な形態のデータ仲介の可能性がある。仲介者は、組織が規制の複雑さを回避し、ユーザーの自律性とプライバシーをより良く保護し、ユーザーエクスペリエンスとデータガバナンスの基準を改善するのを助けることができる。しかし、データ仲介の市場全体はまだ発展途上であり、我々の知る限り、この種のサービスを提供する仲介業者は現在英国に存在しない。このギャップは、需要が不明確で、データの取り扱いに関するリスクに慎重なマネジメントが必要なこの複雑な分野で、最初に参入することの難しさを反映しているのかもしれない。
If gathering demographic data is difficult, another option is to attempt to infer it from other proxy data already held. For example, an individual’s forename gives some information about their gender, with the accuracy of the inference highly dependent on context, and the name in question. There are already some examples of service providers using proxies to detect bias in their AI systems.[footnote 4] 人口統計データの収集が困難な場合、すでに保有されている他の代理データから推論する方法もある。例えば、個人の姓名から性別に関する情報が得られるが、その推論の精度は文脈や当該姓名に大きく依存する。サービスプロバイダーがAIシステムのバイアスを検出するために代理者を使用している例がすでにいくつかある[脚注4]。
Proxies have the potential to offer an approach to understanding bias where direct collection of demographic data is not feasible. In some circumstances, proxies can enable service providers to infer data that is the source of potential bias under investigation, which is particularly useful for bias detection.[footnote 5] Methods that draw inferences at higher levels of aggregation could enable bias analysis without requiring service providers to process individually-identifiable demographic data. 代理者は、人口統計データの直接収集が不可能な場合に、バイアスを理解するためのアプローチを提供する可能性を持っている。状況によっては、代理者によってサービスプロバイダーが調査中の潜在的なバイアスの元となるデータを推論することができ、バイアス検出に特に有効である[脚注5]。 より高いレベルの集計で推論を行う方法は、サービスプロバイダーが個人を特定できるデモグラフィックデータを処理しなくてもバイアス分析を可能にするかもしれない。
However, significant care is needed. Using proxies does not avoid the need for compliance with data protection law. Inferred demographic data (and in some cases proxy data itself) will likely fall under personal or special categories of data under the UK GDPR. Use of proxies without due care can give rise to damaging inaccuracies and pose risks to service users’ privacy and autonomy, and there are some cases in which the use of proxies is likely to be entirely inappropriate. Inferring demographic data for bias detection using proxies should therefore only be considered in certain circumstances, such as when bias can be more accurately identified using a proxy than information about an actual demographic characteristic, where inferences are drawn at a level of aggregation that means no individual is identifiable, or where no realistic better alternative exists. In addition, proxies should only be used with robust safeguards and risk mitigations in place. しかし、かなりの注意が必要である。代理者を使用しても、データ保護法の遵守の必要性を回避することはできない。推測される人口統計データ(および場合によっては代理者データ自体)は、おそらく英国GDPRの個人データまたは特別なカテゴリのデータに該当することになる。適切な注意を払わない代理人の使用は、有害な不正確さを生じさせ、サービス利用者のプライバシーと自律性にリスクをもたらす可能性があり、代理人の使用が完全に不適切であると思われるケースもある。したがって、代理者を用いたバイアス検出のための人口統計データの推測は、実際の人口統計的特性に関する情報よりも代理者を用いた方がより正確にバイアスを特定できる場合、個人が特定できない集計レベルで推測が行われる場合、現実的に優れた代替手段が存在しない場合など、特定の状況でのみ検討されるべきである。さらに、代理者は、強固な保護措置とリスク軽減措置が講じられている場合にのみ使用されるべきである。
In the short term, direct collection of demographic data is likely to remain the best option for many service providers seeking to understand bias. It is worth emphasising that, in most circumstances, organisations are able to legally collect most types of demographic data for bias detection provided they take relevant steps to comply with data protection law. Where this is not feasible, use of proxies may be an appropriate alternative, but significant care is needed. 短期的には、バイアスを理解しようとする多くのサービスプロバイダーにとって、人口統計学的データの直接収集が最善の選択肢であり続けるであろう。ほとんどの状況において、組織はデータ保護法を遵守するために関連する措置を講じれば、バイアス検出のためにほとんどのタイプの人口統計データを合法的に収集できることを強調する価値がある。これが実行不可能な場合、代理人の利用が適切な代替手段となり得るが、大きな注意が必要である。
However, there is an opportunity for an ecosystem to emerge that offers better options for the responsible collection and use of demographic data to improve the fairness of AI systems. In a period where algorithmic bias has been a major focus in academia and industry, approaches to data access have received relatively little attention, despite often being highlighted as a major constraint. This report aims to highlight some of the opportunities for responsible innovation in this area. しかし、AIシステムの公平性を向上させるために、人口統計データを責任を持って収集・利用するためのより良い選択肢を提供するエコシステムが出現する機会が存在する。アルゴリズムによるバイアスが学界や産業界で大きな焦点となっているこの時期、データアクセスへのアプローチは、しばしば大きな制約として強調されているにもかかわらず、比較的小さな注目を浴びている。本報告書は、この分野における責任あるイノベーションの機会を明らかにすることを目的としている。
This kind of ecosystem would be characterised by increased development and deployment of a variety of data access solutions that best meet the needs of service providers and service users, such as data intermediaries. This is one area that CDEI is keen to explore further through the Fairness Innovation Challenge announced in parallel to this report. このようなエコシステムは、サービスプロバイダーやデータ仲介者などのサービス利用者のニーズに最適な、さまざまなデータアクセスソリューションの開発と展開の増加によって特徴づけられるだろう。この分野は、CDEIが本報告書と並行して発表した「フェアネス・イノベーション・チャレンジ」を通じてさらに探求していきたいと考えている。
However, this is only a partial answer to the genuine challenges in this area. Ongoing efforts by others to develop a robust data assurance ecosystem, ensure regulatory clarity, support research and development, and amplify the voices of marginalised groups are also crucial to enable a better landscape for the responsible use of demographic data. しかし、これはこの分野における真の課題に対する部分的な答えに過ぎない。強固なデータ保証エコシステムの開発、規制の明確化、研究開発の支援、疎外された集団の声の増幅など、他の機関による継続的な取り組みも、人口統計データの責任ある利用をより良い形で実現するために不可欠である。

 

・[DOCX] 仮対訳

 

1_20230618060001

 

 

| | Comments (0)

2023.06.18

英国 科学技術省データ倫理・イノベーションセンター AI保証事例集 (2023.06.07)

こんにちは、丸山満彦です。

英国の科学技術省データ倫理・イノベーションセンターがAI保証事例集を公表していますね。。。こ

今年の3月末に発表したAI規制白書に基づいて評価したもので、現在14の事例が公表されています。。。(Find out about artificial intelligence (AI) assurance techniques) れは今後ふえていくとのことです。。。

英国は良い意味でwiseですね。。。

Gov.UK -  Department for Science, Innovation and Technology - Centre for Data Ethics and Innovation; CDEI

・発表...

・2023.06.07 CDEI portfolio of AI assurance techniques

Guidance CDEI portfolio of AI assurance techniques ガイダンス CDEIのAI保証技術ポートフォリオ
This page provides details about the CDEI portfolio of AI assurance techniques and how to use it. このページでは、CDEIのAI保証技術ポートフォリオの詳細と使用方法について説明する。
About the portfolio ポートフォリオについて
The portfolio of AI assurance techniques has been developed by the Centre for Data Ethics and Innovation (CDEI), initially in collaboration with techUK. The portfolio is useful for anybody involved in designing, developing, deploying or procuring AI-enabled systems, and showcases examples of AI assurance techniques being used in the real-world to support the development of trustworthy AI. AI保証技術ポートフォリオは、データ倫理・イノベーションセンター (CDEI)が、当初techUKと共同で開発したものである。このポートフォリオは、AI対応システムの設計、開発、導入、調達に関わるすべての人に有用であり、信頼できるAIの開発を支援するために実世界で使用されているAI保証技術の事例を紹介している。
Search portfolio ポートフォリオの検索
Warning: Please note the inclusion of a case study in the portfolio does not represent a government endorsement of the technique or the organisation, rather we are aiming to demonstrate the range of possible options that currently exist. 注意:ポートフォリオに事例を掲載することは、その技術や組織を政府が支持することを意味するものではなく、むしろ現在存在する可能な選択肢の幅を示すことを目的としていることに留意されたい。
To learn more about different tools and metrics for AI assurance please refer to OECD’s catalogue of tools and metrics for trustworthy AI, a one-stop-shop for tools and metrics designed to help AI actors develop fair and ethical AI. AI保証のための様々なツールやメトリクスについて詳しく知りたい方は、OECDのcatalogue of tools and metrics for trustworthy AIを参照されたい。これは、AI関係者が公正で倫理的なAIを開発するために設計されたツールやメトリクスを集めたワンストップ・ショップである。
We will be developing the portfolio over time, and publishing future iterations with new case studies. If you would like to submit case studies to the portfolio or would like further information please get in touch at [mail] 我々は、時間をかけてポートフォリオを開発し、新しいケーススタディを含む将来の反復を公開する予定である。ポートフォリオにケーススタディを提出したい場合、またはさらなる情報を希望する場合は、[mail] までご連絡を。
Assurance 信頼性
Building and maintaining trust is crucial to realising the benefits of AI. Organisations designing, developing, and deploying AI need to be able to check that these systems are trustworthy, and communicate this clearly to their customers, service users, or wider society. AIの利点を実現するためには、信頼の構築と維持が不可欠である。AIを設計、開発、導入する組織は、これらのシステムが信頼できるものであることを確認し、顧客、サービス利用者、またはより広い社会に対して明確に伝えることができる必要がある。
AI assurance AIアシュアランス
AI assurance is about building confidence in AI systems by measuring, evaluating and communicating whether an AI system meets relevant criteria such as: AI保証とは、AIシステムが以下のような関連する基準を満たすかどうかを測定、評価、伝達することで、AIシステムに対する信頼性を高めることである:
・regulation ・規制
・standards ・基準
・ethical guidelines ・倫理指針
・organisational values ・組織的価値観
Assurance can also play an important role in identifying and managing the potential risks associated with AI. To assure AI systems effectively we need a range of assurance techniques for assessing different types of AI systems, across a wide variety of contexts, against a range of relevant criteria. また、保証は、AIに関連する潜在的なリスクを特定しマネジメントする上で重要な役割を果たすことができる。AIシステムを効果的に保証するためには、様々な種類のAIシステムを、様々な文脈で、様々な関連基準に照らして評価するための様々な保証技術が必要である。
To learn more about AI assurance, please refer to CDEI’s roadmap to an AI assurance ecosystemAI assurance guideindustry temperature check, and co-developed CDEI and The Alan Turing Institute introduction to AI assurance e-learning module. AI保証の詳細については、CDEIのAI保証エコシステムへのロードマップ、AI保証ガイド、業界温度チェック、CDEIとアラン・チューリング研究所が共同開発したAI保証のeラーニングモジュール入門を参照されたい。
Portfolio of AI assurance techniques AIアシュアランス技術のポートフォリオ
The Portfolio of AI assurance techniques was developed by the Centre for Data Ethics and Innovation (CDEI), in collaboration with techUK, to showcase examples of AI assurance techniques being used in the real-world. AI保証技術のポートフォリオは、データ倫理とイノベーションセンター(CDEI)がtechUKと共同で開発したもので、実世界で使用されているAI保証技術の例を紹介している。
It includes a variety of case studies from across multiple sectors and a range of technical, procedural and educational approaches , illustrating how a combination of different techniques can be used to promote responsible AI. We have mapped these techniques to the principles set out in the UK government’s white paper on AI regulation, to illustrate the potential role of these techniques in supporting wider AI governance. CDEIでは、様々な分野からのケーススタディと、技術的、手続き的、教育的なアプローチが含まれており、責任あるAIを推進するために様々な技術を組み合わせることができることを説明している。また、これらの手法を英国政府のAI規制白書で示された原則にマッピングし、より広範なAIガバナンスをサポートする上でこれらの手法が果たす潜在的な役割を説明した。
To learn more about different tools and metrics for AI assurance, please refer to OECD’s catalogue of tools and metrics for trustworthy AI. AI保証のためのさまざまなツールや測定基準について詳しく知るには、OECDの信頼できるAIのためのツールや測定基準のカタログを参照されたい。
Who the portfolio is for ポートフォリオは誰のためのものなのか
The portfolio is a helpful resource for anyone involved in designing, developing, deploying or procuring AI-enabled systems. 本ポートフォリオは、AI対応システムの設計、開発、導入、調達に携わるすべての人に役立つリソースである。
It will help you understand the benefits of AI assurance for your organisation, if you’re someone who is: 以下のような方にとって、AI保証が組織にもたらすメリットを理解するのに役立つだろう:
making decisions about your organisation’s use of AI 組織でのAI活用について意思決定している
involved in the procurement of AI for your company 自社でAIの調達に携わっている
Finding case studies of AI assurance AIアシュアランスのケーススタディを探す
The portfolio allows you to explore a range of examples of AI assurance techniques applied across a variety of sectors. You can search for case studies based on multiple features you might be interested in, including the type of technique and the sector you work within. Each case study is also mapped against the most relevant cross-sector regulatory principles published in the government white paper on AI regulation. ポートフォリオでは、さまざまな分野で適用されているAIアシュアランスの事例を調べることができる。事例を検索する際には、手法の種類や業種など、気になる複数の特徴から検索することができる。また、各ケーススタディは、AI規制に関する政府白書で発表された最も関連性の高い分野横断的な規制原則に照らし合わせてマッピングされている。
Assurance techniques 保証の手法
There are a range of different assurance techniques that can be used to measure, evaluate, and communicate the trustworthiness of AI systems. Some of these are listed below: AIシステムの信頼性を測定、評価、伝達するために使用できるさまざまな保証技術が存在する。その一部を以下に挙げる:
Impact assessment: Used to anticipate the effect of a system on environmental, equality, human rights, data protection, or other outcomes. 影響アセスメント: システムが環境、平等、人権、データ保護、その他の結果に及ぼす影響を予測するために使用する。
Impact evaluation: Similar to impact assessments, but are conducted after a system has been implemented in a retrospective manner. 影響評価: 影響アセスメントと似ているが、システム導入後に遡及して実施される。
Bias audit: Assessing the inputs and outputs of algorithmic systems to determine if there is unfair bias in the input data, the outcome of a decision or classification made by the system. バイアス監査: バイアス監査を行う: アルゴリズムシステムの入力と出力を評価し、入力データ、システムによる判断結果や分類に不当なバイアスがあるかどうかを判断すること。
Compliance audit: A review of a company’s adherence to internal policies and procedures, or external regulations or legal requirements. Specialised types of compliance audit include system and process audits and regulatory inspection. コンプライアンス監査: 企業が社内の方針や手続き、あるいは社外の規制や法的要件を遵守しているかどうかを審査することである。コンプライアンス監査には、システム監査やプロセス監査、規制当局の検査など、専門的なものがある。
Certification: A process where an independent body attests that a product, service, organisation or individual has been tested against, and met, objective standards of quality or performance. 認証: 製品、サービス、組織または個人が、品質または性能の客観的基準に対して試験され、それを満たしていることを、独立した機関が証明するプロセス。
Conformity assessment: Provides assurance that a product, service or system being supplied meets the expectations specified or claimed, prior to it entering the market. Conformity assessment includes activities such as testing, inspection and certification. 適合性評価:適合性評価: 製品、サービス、システムが市場に出る前に、提供される製品、サービス、システムが、指定され た、または主張された期待に合致していることを保証すること。適合性評価には、試験、検査、認証などの活動が含まれる。
Performance testing: Used to assess the performance of a system with respect to predetermined quantitative requirements or benchmarks. パフォーマンステスト: あらかじめ設定された定量的な要求事項またはベンチマークに関して、システムの性能を評価するために使用される。
Formal verification: Establishes whether a system satisfies some requirements using the formal methods of mathematics. 形式的検証: 数学の形式的手法を用い、システムがある要件を満たしているかどうかを検証する。
Using assurance techniques across the AI lifecycle AIライフサイクルにおける保証手法の活用
Check with assurance techniques can be used across each stage of the AI lifecycle. 保証技術によるチェックは、AIのライフサイクルの各段階において使用することができる。




技法タイプ 影響アセスメント コンプライアンス監査 認証 バイアス監査 適合性評価 影響評価 正式な検証 性能試験 その他継続的なテスト
ステージ                  
スコーピング            
データ収集と準備          
モデリングとデザイン    
開発  
展開  
実稼働と監視
終了            

 

Government background 政府の背景
The National AI Strategy sets out an ambitious plan for how the UK can lead the world as an AI research and innovation powerhouse. Effective AI regulation is key to realising this vision to unlock the economic and societal benefits of AI while also addressing the complex challenges it presents. 国家AI戦略は、英国がAI研究とイノベーションの大国として世界をリードするための野心的な計画を定めている。効果的なAI規制は、AIがもたらす複雑な課題に対処しつつ、AIの経済的・社会的利益を引き出すというこのビジョンを実現するための鍵である。
In its recent AI regulation white paper the UK government describes its pro-innovation, proportionate, and adaptable approach to AI regulation that supports responsible innovation across sectors. The white paper outlines five cross-cutting principles for AI regulation: safety, security and robustness; appropriate transparency and explainability; fairness; accountability and governance; and contestability and redress. Due to the unique challenges and opportunities raised by AI in particular contexts the UK will leverage the expertise of existing regulators, who are expected to interpret and implement the principles in their domain and outline what compliance with the principles looks like across different use cases. In addition, the white paper sets out the integral role of tools for trustworthy AI, such as assurance techniques and technical standards, to support the implementation of these regulatory principles in practice, boost international interoperability, and enable the development and deployment of responsible AI. 英国政府は、最近のAI規制白書の中で、部門を超えた責任あるイノベーションを支援するAI規制について、プロイノベーション、比例的、適応的なアプローチであると説明している。白書では、AI規制のための5つの横断的な原則、すなわち、安全、セキュリティ、堅牢性、適切な透明性と説明可能性、公平性、説明責任とガバナンス、競争可能性と救済について概説している。英国は、AIが特定の文脈でもたらすユニークな課題と機会のため、既存の規制当局の専門知識を活用する。彼らは、それぞれの領域で原則を解釈・実施し、さまざまなユースケースで原則の遵守がどのように見えるかを説明することが期待されている。さらに、白書では、これらの規制原則の実践を支援し、国際的な相互運用性を高め、責任あるAIの開発と展開を可能にするために、保証技術や技術標準など、信頼できるAIのためのツールの不可欠な役割を定めている。
The CDEI has conducted extensive research to investigate current uptake and adoption of tools for trustworthy AI, the findings of which are published in its industry temperature check. This report highlights industry appetite for more resources and repositories showcasing what assurance techniques exist, and how these can be applied in practice across different sectors. CDEIは、信頼できるAIのためのツールの現在の取り込みと採用を調査するために広範な調査を実施し、その結果を業界の温度チェックとして公表した。本レポートは、どのような保証技術が存在し、それらがどのように異なるセクターで実際に適用できるかを紹介するリソースやリポジトリを増やすことに対する業界の要望を強調している。
Wider ecosystem より広範なエコシステム
The UK government is already supporting the development and use of tools for trustworthy AI, through publishing a roadmap to an effective AI assurance ecosystem in the UK, having established the UK AI Standards Hub to champion the use of international standards, and now through the publication of the portfolio of AI assurance techniques. 英国政府は、英国における効果的なAI保証エコシステムへのロードマップの公表、国際標準の使用を支持するための英国AI標準ハブの設立、そして今回のAI保証技術のポートフォリオの公表を通じて、信頼できるAIのためのツールの開発と使用をすでに支援している。
UK AI Standards Hub 英国AI標準ハブ
The AI Standards Hub is a joint initiative led by The Alan Turing Institute in partnership with the British Standards Institution (BSI), the National Physical Laboratory (NPL), and supported by government. The hub’s mission is to advance trustworthy and responsible AI with a focus on the role that standards can play as governance tools and innovation mechanisms. The AI Standards Hub aims to help stakeholders navigate and actively participate in international AI standardisation efforts and champion the use of international standards for AI. Dedicated to knowledge sharing, community and capacity building, and strategic research, the hub seeks to bring together industry, government, regulators, consumers, civil society and academia with a view to: AI標準ハブは、アラン・チューリング研究所が主導し、英国規格協会(BSI)、国立物理研究所(NPL)と連携し、政府の支援を受けた共同イニシアティブである。ハブのミッションは、ガバナンスツールおよびイノベーションメカニズムとして標準が果たしうる役割に焦点を当て、信頼できる責任あるAIを推進することである。AI標準ハブは、ステークホルダーが国際的なAI標準化の取り組みにナビゲートし、積極的に参加することを支援し、AIのための国際標準の使用を支持することを目的としている。知識共有、コミュニティと能力開発、戦略的研究に特化したハブは、以下を目的として、産業界、政府、規制当局、消費者、市民社会、学界の結集を目指す:
・shaping debates about AI standardisation and promoting the development of standards that are sound, coherent, and effective ・AIの標準化に関する議論を形成し、健全で一貫性があり、効果的な標準の開発を促進する
・informing and strengthening AI governance practices domestically and internationally, ・国内および国際的なAIガバナンスの実践に情報を与え、強化する、
・increasing multi-stakeholder involvement in AI standards development ・AI標準化におけるマルチステークホルダーの関与を強化する
・facilitating the assessment and use of relevant published standards ・公開された関連規格の評価と利用を促進する
To learn more, visit the AI Standards Hub website. 詳しくは、AI Standards Hubのウェブサイトを参照のこと。
OECD AI catalogue of tools and metrics for trustworthy AI OECD AI 信頼できるAIのためのツールとメトリクス
The catalogue of tools and metrics for trustworthy AI is a one-stop-shop for tools and metrics designed to help AI actors develop and use AI systems that respect human rights and are fair, transparent, explainable, robust, secure and safe. The catalogue gives access to the latest tools and metrics in a user-friendly way but also to use cases that illustrate how those tools and metrics have been used in different contexts. Through the catalogue, AI practitioners from all over the world can share and compare tools and metrics and build upon each other’s efforts to implement trustworthy AI. 信頼できるAIのためのツールと測定基準のカタログは、AI関係者が人権を尊重し、公正、透明、説明可能、堅牢、安全、安心なAIシステムを開発・利用できるように設計されたツールと測定基準のワンストップショップである。このカタログは、ユーザーフレンドリーな方法で最新のツールやメトリクスにアクセスできるだけでなく、それらのツールやメトリクスが異なる文脈でどのように使用されたかを説明する使用例も提供している。カタログを通じて、世界中のAI実務者はツールや指標を共有・比較し、信頼できるAIの実装に向けた互いの努力を積み重ねることができる。
The OECD catalogue features relevant UK initiatives and works in close collaboration with the AI Standards Hub, showcasing relevant international standards for trustworthy AI. The OECD catalogue will also feature the case studies included in this portfolio. OECDカタログは、関連する英国のイニシアチブを取り上げ、AI Standards Hubと緊密に連携して、信頼できるAIのための関連する国際標準を紹介している。OECDカタログでは、このポートフォリオに含まれるケーススタディも紹介される予定だ。
To learn more, visit The OECD catalogue of tools and metrics for trustworthy AI. 詳細は、The OECD catalogue of tools and metrics for trustworthy AIを参照。
Open Data Institute (ODI) data assurance programme オープンデータ 協会(ODI)データ保証プログラム
Data assurance is a set of processes that increase confidence that data will meet a specific need, and that organisations collecting, accessing, using and sharing data are doing so in trustworthy ways. Data assurance is vital for organisations to build trust, manage risks and maximise opportunities. But how can organisations assess, build and demonstrate trustworthiness with data? Through its data assurance work, the ODI is working with partners and collaborators to explore this important and rapidly developing area in managing global data infrastructure. ODI believe the adoption of data assurance practices, products and services will reassure organisations and individuals who want to share or reuse data, and support better data governance practices, fostering trust and sustainable behaviour change. データ保証とは、データが特定のニーズを満たすこと、そしてデータを収集、アクセス、使用、共有する組織が信頼できる方法で行っていることの信頼を高める一連のプロセスである。データ保証は、組織が信頼を築き、リスクをマネジメントし、機会を最大化するために不可欠である。しかし、組織はどのようにしてデータの信頼性を評価し、構築し、証明できるのだろうか。ODIは、データ保証の活動を通じて、パートナーや協力者とともに、世界のデータインフラを管理する上で重要かつ急速に発展しているこの分野を探求している。 ODIは、データ保証の実践、製品、サービスの採用が、データの共有や再利用を希望する組織や個人を安心させ、より良いデータガバナンスの実践を支援し、信頼と持続可能な行動変容を促進すると考える。
To learn more, visit the ODI website. 詳細については、ODIのウェブサイトを参照。

 

ブログ...

・2023.06.07 From principles to practice: Launching the Portfolio of AI Assurance techniques

 

14 のユースケース

Find out about artificial intelligence (AI) assurance techniques

 

1 Citadel AI: Citadel and BSI partner to provide comprehensive AI assurance techniques シタデルAI:シタデルとBSIが提携し、包括的なAI保証技術を提供する。
A Use case: ユースケース:
  Data-driven profiling, Natural language processing and generation, Image recognition and video processing, Machine learning, Deep learning, Robotics and autonomous vehicles/systems データドリブンプロファイリング、自然言語処理・生成、画像認識・映像処理、機械学習、深層学習、ロボティクス・自律走行・システム
B Sector: セクター:
  Manufacturing (SIC Code Section C), Energy & Utilities (SIC Code Sections D & E), Transportation & Storage (SIC Code Section H), Digital & Comms (SIC Code Section J), Financial and Insurance (SIC Code Section K), Public Administration & Defence (SIC Code Section O), Education (SIC Code Section P), Healthcare & Social Work (SIC Code Section Q), Other Services (SIC Code Section S) 製造業、エネルギー・公益事業、運輸・倉庫、デジタル・通信、金融・保険、行政・防衛、教育、医療・福祉、その他のサービス。
C Principle: 原則:
  Safety, security and robustness, Appropriate transparency and explainability, Fairness, Accountability and governance 安全、セキュリティ、堅牢性、適切な透明性・説明可能性、公平性、説明責任・ガバナンス
D Key function: 重要機能:
  R&D, Product and service development, Risk management 研究開発、製品・サービス開発、リスクマネジメント
E AI Assurance Technique: AI保証手法:
  Data assurance, Performance testing, Certification, Conformity Assessment, Bias Audit データ保証、性能テスト、認証、適合性評価、バイアス監査
2 Trilateral Research: Ethical impact assessment, risk assessment, transparency reporting, bias mitigation and co-design of AI used to safeguard children トリテラルリサーチ: 倫理的影響アセスメント、リスク評価、透明性報告、バイアス緩和、子どもの保護に使用するAIの共同デザイン
A Use case: ユースケース:
  Natural language processing and generation, Machine learning 自然言語処理・生成、機械学習
B Sector: セクター:
  Public Administration & Defence (SIC Code Section O) 行政・国防
C Principle: 原則:
  Safety, security and robustness, Appropriate transparency and explainability, Fairness, Accountability and governance, Contestability and redress 安全・安心・堅牢性、適切な透明性・説明可能性、公平性、説明責任・ガバナンス、競争性・救済性
E AI Assurance Technique: AI保証手法:
  Data assurance, Compliance audit, Formal verification, Performance testing, Risk Assessment, Impact Assessment, Bias Audit データ保証、コンプライアンス監査、形式的検証、パフォーマンステスト、リスクアセスメント、影響アセスメント、バイアス監査
3 BABL AI: Conducting third-party audits for automated employment decision tools BABL AI:自動雇用決定ツールの第三者監査の実施
A Use case: ユースケース:
  Natural language processing and generation, Machine learning, Deep learning 自然言語処理・生成、機械学習、深層学習
B Sector: セクター:
  Digital & Comms (SIC Code Section J), Professional, Scientific & Professional Activities (SIC Code Section M), Administrative & Support Services (SIC Code Section N) デジタル・通信、専門・科学・職業活動、管理・サポートサービス。
C Principle: 原則:
  Fairness, Accountability and governance, Contestability and redress 公平性、説明責任・ガバナンス、競争・救済性
D Key function: 重要機能:
  Human Resources 人事
E AI Assurance Technique: AI保証手法:
  Compliance audit, Certification, Risk Assessment, Bias Audit コンプライアンス監査、認証、リスクアセスメント、バイアス監査
4 Best Practice AI: Developing an explainability statement for an AI-enabled medical symptom checker ベストプラクティスAI:AIを活用した医療症状チェックの説明可能性ステートメントを作成する
A Use case: ユースケース:
  Natural language processing and generation 自然言語処理と生成
B Sector: セクター:
  Digital & Comms (SIC Code Section J), Professional, Scientific & Professional Activities (SIC Code Section M), Healthcare & Social Work (SIC Code Section Q) デジタル・通信、プロフェッショナル、科学&専門活動、医療・福祉
C Principle: 原則:
  Appropriate transparency and explainability 適切な透明性・説明可能性
D Key function: 重要機能:
  Product and service development, Customer services 製品・サービス開発、顧客サービス
5 Digital Catapult: Ethics upskilling and tool development for startups デジタルカタパルト:スタートアップ企業のための倫理アップスキルアップとツール開発
A Use case: ユースケース:
  Big data analytics, Data-driven profiling ビッグデータ分析、データ駆動型プロファイリング
B Sector: セクター:
  Agriculture, Forestry and Fishing (SIC Code Section A), Mining and Quarrying (SIC Code Section B), Manufacturing (SIC Code Section C), Energy & Utilities (SIC Code Sections D & E), Construction (SIC Code Section F), Retail (SIC Code Section G), Transportation & Storage (SIC Code Section H), Accommodation and Food Service (SIC Code Section I), Digital & Comms (SIC Code Section J), Financial and Insurance (SIC Code Section K), Real Estate (SIC Code Section L), Professional, Scientific & Professional Activities (SIC Code Section M), Administrative & Support Services (SIC Code Section N), Public Administration & Defence (SIC Code Section O), Education (SIC Code Section P), Healthcare & Social Work (SIC Code Section Q), Arts, Entertainment & Recreation (SIC Code Section R), Other Services (SIC Code Section S) 農林水産業、鉱業・採石業、製造業、エネルギー・公益事業、建設業、小売り、輸送・保管、宿泊・フードサービス、デジタル・通信、金融・保険、不動産、専門職・科学・職業活動、行政・支援サービス、行政・防衛、教育、医療・福祉、芸術・娯楽・レジャー、その他のサービス。
C Principle: 原則:
  Safety, security and robustness, Appropriate transparency and explainability, Fairness, Accountability and governance, Contestability and redress 安全、セキュリティ、堅牢性、適切な透明性・説明可能性、公平性、説明責任・ガバナンス、競争・救済性
D Key function: 重要機能:
  R&D, Product and service development, Risk management 研究開発、製品・サービス開発、リスクマネジメント
E AI Assurance Technique: AI保証手法:
  Data assurance, Risk Assessment, Impact Assessment データ保証、リスクアセスメント、影響アセスメント
6 Fairly AI: FAIRLY End-to-End AI Governance Platform Fairly AI:FAIRYエンド・ツー・エンドAIガバナンスプラットフォーム
A Use case: ユースケース:
  Big data analytics, Data-driven profiling, Natural language processing and generation, Machine learning, Deep learning ビッグデータ解析、データドリブンプロファイリング、自然言語処理・生成、機械学習、深層学習
B Sector: セクター:
  Manufacturing (SIC Code Section C), Energy & Utilities (SIC Code Sections D & E), Transportation & Storage (SIC Code Section H), Professional, Scientific & Professional Activities (SIC Code Section M), Education (SIC Code Section P), Healthcare & Social Work (SIC Code Section Q), Other Services (SIC Code Section S) 製造業、エネルギー・公益事業、運輸・倉庫、専門・科学・職業活動、教育、医療・社会福祉、その他サービス。
C Principle: 原則:
  Safety, security and robustness, Appropriate transparency and explainability, Fairness, Accountability and governance 安全、セキュリティ、堅牢性、適切な透明性・説明可能性、公平性、説明責任・ガバナンス
D Key function: 重要機能:
  Product and service development, Risk management 製品・サービス開発、リスクマネジメント
E AI Assurance Technique: AI保証手法:
  Compliance audit, Performance testing, Risk Assessment, Impact Assessment, Impact Evaluation, Conformity Assessment, Bias Audit コンプライアンス監査、パフォーマンステスト、リスクアセスメント、影響アセスメント、影響評価、適合性アセスメント、バイアス監査
7 Logically AI: Testing and monitoring AI models used to counter online misinformation ローカリーAI:オンライン誤情報対策に使用されるAIモデルのテストとモニタリング
A Use case: ユースケース:
  Big data analytics, Natural language processing and generation, Image recognition and video processing, Machine learning, Deep learning ビッグデータ解析、自然言語処理・生成、画像認識・映像処理、機械学習、深層学習
B Sector: セクター:
  Digital & Comms (SIC Code Section J) デジタル・通信
C Principle: 原則:
  Safety, security and robustness, Appropriate transparency and explainability, Fairness 安全・安心・堅牢性、適切な透明性・説明可能性、公平性
D Key function: 重要機能:
  R&D, Product and service development 研究開発、製品・サービス開発
E AI Assurance Technique: AI保証手法:
  Data assurance, Performance testing, Risk Assessment, Bias Audit データ保証、パフォーマンステスト、リスクアセスメント、バイアス監査
8 Qualitest: Supporting NHS England Future-Proof Their QA Practices with AI クオリテスト: NHS EnglandのQAプラクティスをAIで将来的に強化することをサポートする。
A Use case: ユースケース:
  Big data analytics, Data-driven profiling, Natural language processing and generation, Image recognition and video processing, Machine learning, Virtual agents or artificial conversational interfaces, Robotic process automation and decision management ビッグデータ分析、データ駆動型プロファイリング、自然言語処理・生成、画像認識・映像処理、機械学習、仮想エージェント・人工会話インターフェース、ロボットによるプロセス自動化・意思決定管理
B Sector: セクター:
  Digital & Comms (SIC Code Section J), Healthcare & Social Work (SIC Code Section Q) デジタル・通信、医療・福祉
C Principle: 原則:
  Safety, security and robustness, Appropriate transparency and explainability, Fairness, Accountability and governance, Contestability and redress 安全性、セキュリティ、堅牢性、適切な透明性・説明可能性、公平性、説明責任・ガバナンス、競争・救済性
E AI Assurance Technique: AI保証手法:
  Data assurance, Risk Assessment, Impact Assessment, Impact Evaluation, Conformity Assessment, Bias Audit データ保証、リスクアセスメント、影響アセスメント、影響評価、適合性アセスメント、バイアス監査
9 British Standards Institution: EU AI Act Readiness Assessment and Algorithmic Auditing 英国規格協会: EU AI法レディネス評価、アルゴリズム監査
A Use case: ユースケース:
  Machine learning, Deep learning 機械学習、深層学習
B Sector: セクター:
  Healthcare & Social Work (SIC Code Section Q) 医療・福祉
C Principle: 原則:
  Safety, security and robustness 安全・安心・堅牢性
D Key function: 重要機能:
  R&D, Product and service development, Risk management, Strategy and corporate finance 研究開発、製品・サービス開発、リスクマネジメント、戦略・コーポレートファイナンス
E AI Assurance Technique: AI保証手法:
  Certification, Risk Assessment, Impact Assessment, Conformity Assessment, Bias Audit 認証、リスクアセスメント、影響アセスメント、適合性アセスメント、バイアス監査
10 FSA: Developing an AI-based Proof of Concept that prioritises businesses for food hygiene inspections while ensuring the ethical and responsible use of AI FSA:AIの倫理的かつ責任ある使用を保証しながら、食品衛生検査のために事業者を優先するAIベースのProof of Conceptを開発する。
A Use case: ユースケース:
  Machine learning, Deep learning 機械学習、深層学習
B Sector: セクター:
  Accommodation and Food Service (SIC Code Section I), Digital & Comms (SIC Code Section J), Administrative & Support Services (SIC Code Section N), Public Administration & Defence (SIC Code Section O), Healthcare & Social Work (SIC Code Section Q) 宿泊・飲食サービス、デジタル・通信、行政・支援サービス、行政・防衛、医療・社会福祉
C Principle: 原則:
  Safety, security and robustness, Appropriate transparency and explainability, Fairness, Accountability and governance, Contestability and redress 安全、セキュリティ、堅牢性、適切な透明性・説明可能性、公平性、説明責任・ガバナンス、競争・救済性
D Key function: 重要機能:
  Risk management リスクマネジメント
E AI Assurance Technique: AI保証手法:
  Compliance audit, Risk Assessment, Impact Assessment コンプライアンス監査、リスクアセスメント、影響アセスメント
11 Shell: Evaluating the performance of machine learning models used in the energy sector シェル: エネルギー分野で使用される機械学習モデルの性能評価
A Use case: ユースケース:
  Image recognition and video processing, Deep learning 画像認識・映像処理、深層学習
B Sector: セクター:
  Energy & Utilities (SIC Code Sections D & E) エネルギー・公益事業
C Principle: 原則:
  Safety, security and robustness, Appropriate transparency and explainability, Accountability and governance 安全・安心・堅牢性、適切な透明性・説明可能性、説明責任・ガバナンス
D Key function: 重要機能:
  R&D, Product and service development 研究開発、製品・サービス開発
E AI Assurance Technique: AI保証手法:
  Performance testing テスト
12 Mind Foundry: Using Continuous Metalearning to govern AI models used for fraud detection in insurance マインド・ファウンダリー :保険の不正検知に使用されるAIモデルの統治にContinuous Metalearningを使用する
A Use case: ユースケース:
  Machine learning 機械学習
B Sector: セクター:
  Financial and Insurance (SIC Code Section K) 金融・保険
C Principle: 原則:
  Accountability and governance 説明責任・ガバナンス
D Key function: 重要機能:
  Product and service development, Risk management 商品・サービス開発、リスクマネジメント
E AI Assurance Technique: AI保証手法:
  Data assurance, Performance testing データ保証、性能テスト
13 The Alan Turing Institute: Applying argument-based assurance to AI-based digital mental health technologies アラン・チューリング研究所: AIを活用したデジタルメンタルヘルス技術に論証型保証を適用する
B Sector: セクター:
  Professional, Scientific & Professional Activities (SIC Code Section M), Healthcare & Social Work (SIC Code Section Q) 専門職、科学的・職業的活動、医療・福祉
C Principle: 原則:
  Appropriate transparency and explainability, Fairness, Accountability and governance, Contestability and redress 適切な透明性・説明可能性、公平性、説明責任・ガバナンス、競争力と救済措置
D Key function: 重要機能:
  Product and service development, Risk management, Strategy and corporate finance 製品・サービス開発、リスクマネジメント、戦略・コーポレートファイナンス
E AI Assurance Technique: AI保証手法:
  Data assurance, Risk Assessment, Impact Assessment, Impact Evaluation, Bias Audit データ保証、リスクアセスメント、影響アセスメント、影響評価、バイアス監査
14 Nvidia: Explainable AI for credit risk management: applying accelerated computing to enable explainability at scale for AI-powered credit risk management using Shapley values and SHAP Nvidia:信用リスクマネジメントのための説明可能なAI:シャプレー値とSHAPを使用したAI搭載の信用リスクマネジメントのためのスケールでの説明可能性を実現するための加速コンピューティングの適用
A Use case: ユースケース:
  Machine learning, Deep learning 機械学習、深層学習
B Sector: セクター:
  Financial and Insurance (SIC Code Section K) 金融・保険
C Principle: 原則:
  Appropriate transparency and explainability 適切な透明性・説明可能性
D Key function: 重要機能:
  Risk management リスクマネジメント
E AI Assurance Technique: AI保証手法:
  Formal verificationPerformance testing 形式的検証、パフォーマンステスト

 

1_20230618060001


 

AI規制白書

まるちゃんの情報セキュリティ気まぐれ日記

・2023.04.01 英国 意見募集 AI規制白書

 

 

 

| | Comments (0)

マッキンゼー 生成的AIの経済的可能性:次の生産性フロンティア 2023.06.14)

こんにちは、丸山満彦です。

コンサルティング会社のマッキンゼーが、生成的AIの経済的可能性についての報告書を公表していますね。。。

いろいろと参考になりそうです。

 

McKinsey

・2023.06.14 The economic potential of generative AI: The next productivity frontier

・[PDF

20231009-64632

 

 

| | Comments (0)

2023.06.17

米国 国防総省 最高デジタル・AI室が第6回グローバル情報支配実験 (GIDE) を開催

こんにちは、丸山満彦です。

戦争が始まる前に、その予兆をとらえ、敵の行動に備え、できれば抑止をするにするための演習、、、という感じなんでしょうかね。。。よくはわからないけど。。。

GIDE 1〜4は、北アメリカ航空宇宙防衛司令部と米軍北部司令部が推進していた(2021年)が、2023年からGIDE5として拡張して再スタートしたようです。。。

 

U.S. Department of Defence

・2023.06.14 DoD Chief Digital and Artificial Intelligence Office Hosts Sixth Global Information Dominance Experiment

DoD Chief Digital and Artificial Intelligence Office Hosts Sixth Global Information Dominance Experiment 国防総省 最高デジタル・AI室が第6回グローバル情報支配実験を開催
The Chief Digital and Artificial Intelligence Office (CDAO), in partnership with the Joint Chiefs of Staff, launched its second Global Information Dominance Experiment, known as GIDE. The sixth iteration of GIDE began Jun. 5 and will conclude Jul. 26. The experimentation team is comprised of U.S. military and civilian personnel from all service branches and multiple combatant commands. 最高デジタル・AI室(CDAO)は、統合参謀本部と連携して、GIDEとして知られる第2回Global Information Dominance Experiment(グローバル情報支配実験)を開始した。GIDEの6回目の反復は6月5日に始まり、7月26日に終了する予定だ。実験チームは、すべての兵科と複数の戦闘司令部からの米軍と文民で構成されている。
"We are excited to enhance globally integrated operations through workflows that allow for faster, more data-informed, human-in-the-loop decisions," said Dr. Craig Martell, Chief Digital and Artificial Intelligence Officer. "Strengthening industry integration and collaboration domestically, and with our allies and partners abroad, we aim to showcase the transformative power of data, analytics, and AI for our warfighters." デジタル・AIの最高責任者であるクレイグ・マーテル博士は、次のようにのべている。「我々は、より速く、より多くのデータに基づいた、人間によるループ内の意思決定を可能にするワークフローを通じて、グローバル統合オペレーションを強化できることに興奮している。国内では業界の統合と連携を強化し、海外では同盟国やパートナーとの連携を強化することで、データ、アナリティクス、AIが持つ変革力を、我々の戦闘員のために披露することを目指している」。
Participants will convene in-person and virtually at the Pentagon, and around the world from field offices across multiple combatant commands. The experiments are designed to iteratively test, measure, optimize, and field Combined Joint All-Domain Command and Control (CJADC2) solutions using a unified data layer that is vendor agnostic. This approach supports the application and evaluation of machine learning and artificial intelligence models. 参加者は、ペンタゴンで対面および仮想的に招集され、複数の戦闘司令部にわたるフィールドオフィスから世界中に集まる。実験は、ベンダーにとらわれない統一されたデータレイヤーを使用して、CJADC2(Combined Joint All-Domain Command and Control)ソリューションを繰り返しテスト、測定、最適化、フィールド化するように設計されている。このアプローチは、機械学習や人工知能モデルの適用と評価をサポートするものである。
"GIDE 6 will leverage our insights from GIDE 5 metrics to further test our capabilities by replicating real-world operational scenarios that enable us to learn and adapt in a controlled experimentation environment,” said Col. Matthew Strohmeyer, GIDE 6 Mission Commander. “We aim to push the boundaries of our current systems and processes in this iteration, leveraging longer experiment duration and expanding collaboration to enhance the success of this and future experiments." GIDE 6のミッションコマンダーであるMatthew Strohmeyer大佐は、「GIDE 6は、GIDE 5の指標から得た洞察を活用し、制御された実験環境で学習し適応することができる実世界の運用シナリオを再現して、我々の能力をさらに検証します」と述べた。「この反復では、現在のシステムやプロセスの限界を押し広げることを目指し、より長い実験期間を活用し、今回と将来の実験の成功を高めるために協力体制を拡大する」と述べた。
GIDE 1-4 were facilitated by the Northern American Aerospace Defense Command and U.S. Northern Command to lead rapid innovation in DoD critical capabilities alongside other combatant commands. The CDAO relaunched the GIDE series in 2023 with GIDE 5, expanding collaboration across combatant commands and international partners. GIDE 1-4は、北アメリカ航空宇宙防衛司令部と米軍北部司令部が推進し、他の戦闘司令部とともに国防総省の重要な能力の急速な革新を主導した。CDAOは2023年にGIDEシリーズをGIDE 5で再スタートさせ、戦闘司令部や国際的なパートナーとの連携を拡大させた。

 

最高デジタル・AI室

Chief Digital and Artificial Intelligence Office (CDAO) 

 

1_20230617071201

 

| | Comments (0)

経団連 サイバー安全保障に関する意見交換会を開催

こんにちは、丸山満彦です。

経団連が、


内閣官房サイバー安全保障体制整備準備室の奥田修司参事官と谷澤厚志企画官から、サイバー安全保障の今後の方向性等について説明を聴くとともに、意見交換した


と公表していますね。。。奥田さんですね。。。

 

日本経済団体連合会

・2023.06.15 サイバー安全保障に関する意見交換会を開催

 

国が考えていることとして...

・サイバー安全保障分野における対応能力の向上

  1. 能動的サイバー防御の導入
  2. 民間部門のサイバーセキュリティ強化
  3. 政府機関のサイバーセキュリティ強化
  4. サイバー安全保障に関する政府内の体制・法制度・国際連携

 

・情報共有について

経団連側から...ISACの有効性=>政府側...官民でいかに信頼関係を構築していくか、検討したい。

(^^)=>信頼関係は対話(Give and Take)の積み重ね。。。民にとって有益な情報を官が提供することが第一歩だと思いますね。今の状況は...

 

サイバー攻撃を受けた際の政府等への報告について

経団連側から...省庁縦割りによる報告の負担が大きい=>政府側...多方面から被害情報を要求される現状はできるだけ改善したい

(^^)=>官も得た情報の活用が十分にできていないことが想定される。何に必要なので、どのような情報がいつ必要かを各省庁で整理して、それをまとめて、統一窓口に連絡できるようにするとかでも大きく変わってくると思う。

何をしたいかがはっきりしないけど(議員に言われた困るから、上司に怒られたら困るから)とりあえず情報は持っておこう。。。という発想で、情報収集をしているとは思っていませんが...そうであれば、皺寄せは情報を提供する側にいきますね。。。

 


■ 準備室説明

準備室設置の目的は、国家安全保障戦略に示されたとおり、サイバー安全保障分野における対応能力の向上にかかる検討を着実に行い、欧米主要国と同等以上とすることである。具体的には、(1)能動的サイバー防御の導入(2)民間部門のサイバーセキュリティ強化(3)政府機関のサイバーセキュリティ強化(4)サイバー安全保障に関する政府内の体制・法制度・国際連携――などに取り組む。

各論については今後の検討課題である。経団連から忌憚のない意見を聴きながら、継続的に検討していきたい。

■ 意見交換

「脅威情報をそのまま民間企業に共有することが困難ななか、どのような情報をどのように共有すべきか、効果的な官民連携の方策を検討したい」との準備室の発言に対し、経団連側から、「ISAC(Information Sharing and Analysis Center、アイザック)(注2)における情報共有は非常に有益である。ある程度の信頼関係が確立している業界内だからこそ、生々しい情報をタイムリーに共有することができる」との意見があった。これを受け、準備室は、「ISACは効果的な取り組みである。サイバー安全保障は民間企業の協調領域でもあり、業界ごとに特有の取り組みが重要なカギを握る。官民でいかに信頼関係を構築していくか、検討したい」と応じた。

さらに経団連側が、「監督官庁が多岐にわたるため、サイバー攻撃を受けた企業にとっては報告などの負担が大きい」とし、官の縦割りについて問題提起した。これに対し準備室は、「官民のみならず、官官の連携も重要であることは指摘のとおりである。多方面から被害情報を要求される現状はできるだけ改善したい」と回答した。

一連の意見交換を踏まえ、準備室は、「民間の協力も得ながら、サイバーセキュリティ強化につなげていきたい。サイバー攻撃の被害を受けた企業が、必要な情報を官と共有しやすい仕組みづくりを心がけたい」と締めくくった。


 

1_20230617062301

 

| | Comments (0)

米国 NSA CISA ベースボード管理コントローラ (BMC) を保護するためのガイドを公開

こんにちは、丸山満彦です。

NSAとCISAが共同で、ベースボード管理コントローラ (BMC) を保護するためのガイドを公開し、ちゃんとやれよ!と言っていますね。。。OSの下のLayerの話ですから、本当にここがやられると影響は大きいですよね。。。そして、やられたという検知も難しい。。。

推奨事項...

1. Protect BMC credentials  1. BMC の認証情報を保護する 
2. Enforce VLAN separation  2. VLANの分離をする 
3. Harden configurations  3. 構成を堅牢化する 
4. Perform routine BMC update checks  4. BMC の定期的なアップデートを確認する
5. Monitor BMC integrity  5. BMCの完全性を監視する 
6. Move sensitive workloads to hardened devices  6. 機密性の高いワークロードを堅牢化されたデバイスに移行する 
7. Use firmware scanning tools periodically  7. ファームウェアスキャンツールを定期的に使用する 
8. Do not ignore BMCs  8. BMC を無視しない 

 

 

NSA

・2023.06.14 NSA and CISA Release Guide To Protect Baseboard Management Controllers

NSA and CISA Release Guide To Protect Baseboard Management Controllers NSAとCISAがベースボード管理コントローラを保護するためのガイドを公開
Baseboard management controllers (BMCs) are common components of server-class computers. Malicious cyber actors could use these controllers’ capabilities to compromise industry and government systems. ベースボード管理コントローラ(BMC)は、サーバクラスのコンピュータの一般的なコンポーネントである。悪意のあるサイバーアクターは、これらのコントローラーの機能を利用して、産業や政府のシステムを侵害する可能性がある。
“Implementation of effective security defenses for these embedded controllers is frequently overlooked,” said Neal Ziring, the Technical Director for NSA’s Cybersecurity Directorate. “The firmware in these controllers is highly privileged. Malicious actors can use the firmware’s capabilities to remotely control a critical server while bypassing traditional security tools.” NSAのサイバーセキュリティ部門テクニカルディレクターであるNeal Ziring氏は、次のように述べている。「これらの組み込みコントローラに対する効果的なセキュリティ防御の実装は、しばしば見落とされている。これらのコントローラのファームウェアは、非常に高い権限を有している。悪意のある行為者は、ファームウェアの機能を利用して、従来のセキュリティツールを回避しながら、重要なサーバーを遠隔操作することができる。」
Organizations need to take action to secure servers with BMCs. To assist network defenders in this, NSA and the Cybersecurity and Infrastructure Security Agency (CISA) jointly released the Cybersecurity Information Sheet, “Harden Baseboard Management Controllers.” The guidance includes recommendations and mitigations for network defenders to secure their systems. 組織は、BMCを搭載したサーバーの安全性を確保するために対策を講じる必要がある。ネットワーク防衛者を支援するために、NSAとサイバーセキュリティ・インフラセキュリティ庁(CISA)は共同で、サイバーセキュリティ情報シート "ベースボードマネジメントコントローラーの堅牢化" を発表した。 このガイダンスには、ネットワーク防衛者がシステムを保護するための推奨事項と緩和策が含まれている。
A BMC is an embedded component that runs independent of the server’s operating system (OS). Once powered up, a BMC’s capabilities persist even if the server is shut down. BMCは、サーバーのオペレーティングシステム(OS)とは独立して動作する組み込みコンポーネントである。一度電源を入れると、サーバーがシャットダウンされてもBMCの機能は持続する。
BMCs are beneficial for system administrators as they provide remote access to servers’ resources for network configuration and management. In addition, BMC enterprise management solutions allow administrators to handle large numbers of servers remotely. Cyber actors can abuse these capabilities in a variety of ways, including to: BMCは、ネットワーク構成と管理のために、サーバーのリソースへのリモートアクセスを提供するので、システム管理者にとって有益である。さらに、BMCエンタープライズ管理ソリューションにより、管理者は大量のサーバーをリモートで処理することができる。サイバーアクターは、これらの機能を以下のような様々な方法で悪用することができる:
・Disable security solutions, such as Trusted Platform Module (TPM) and Unified Extensible Firmware Interface (UEFI) Secure Boot. ・Trusted Platform Module (TPM) や Unified Extensible Firmware Interface (UEFI) Secure Boot などのセキュリティソリューションを無効化する。
・Manipulate data on any attached storage media. ・接続されたストレージメディア上のデータを操作する。
・Propagate implants or disruptive instructions across a network infrastructure. ・ネットワークインフラにインプラントや破壊的な命令を伝播させる。
NSA and CISA recommend system owners and network defenders implement the mitigations listed in the report, including: NSAとCISAは、システム所有者とネットワーク防御者が、以下のような報告書に記載されている緩和策を実施することを推奨する:
・Hardening BMC credentials and configurations ・BMCの認証情報および構成を強化する。
・Monitoring BMC integrity and updating BMCs ・BMCの整合性を監視し、BMCを更新する。
・Establishing virtual network separation to isolate BMC network connections ・仮想ネットワーク分離を確立し、BMCネットワーク接続を分離する。

 

● CISA

・2023.06.14 

CISA and NSA Release Joint Guidance on Hardening Baseboard Management Controllers (BMCs) CISAとNSA ベースボード管理コントローラ(BMC)の堅牢化に関する共同ガイダンスを発表
Today, CISA, together with the National Security Agency (NSA), released a Cybersecurity Information Sheet (CSI), highlighting threats to Baseboard Management Controller (BMC) implementations and detailing actions organizations can use to harden them.  本日、CISAは国家安全保障局(NSA)と共同でサイバーセキュリティ情報シート(CSI)を発表し、ベースボード管理コントローラ(BMC)の実装に対する脅威を強調し、組織がBMCを強化するために使用できるアクションを詳述している。 
BMCs are trusted components designed into a computer's hardware that operate separately from the operating system (OS) and firmware to allow for remote management and control, even when the system is shut down. Hardened credentials, firmware updates, and network segmentation options are often overlooked, leading to a vulnerable BMC. A vulnerable BMC broadens the attack vector by providing malicious actors the opportunity to employ tactics such as establishing a beachhead with pre-boot execution potential.   BMCは、コンピュータのハードウェアに設計された信頼できるコンポーネントで、オペレーティングシステム(OS)やファームウェアとは別に動作し、システムがシャットダウンされている場合でも、リモート管理および制御が可能である。強固な認証情報、ファームウェアのアップデート、ネットワークのセグメンテーションオプションは、しばしば見落とされ、脆弱なBMCにつながる。脆弱なBMCは、悪意のある行為者に、起動前実行の可能性を持つビーチヘッドを確立するなどの戦術を採用する機会を与え、攻撃のベクトルを拡大する。  
CISA and NSA encourage all organizations managing servers to apply the recommended actions in this CSI. CISAとNSAは、サーバを管理するすべての組織に対し、本CSIの推奨措置を適用することを推奨する。

 

 

・[PDF]

20230617-53535

 

Harden Baseboard Management Controllers  ベースボード管理コントローラの堅牢化
Summary  概要 
Baseboard management controllers (BMCs) are trusted components designed into a computer’s hardware that operate separately from the operating system and firmware to allow for remote management and control, even when the system is shut down. This Cybersecurity Information Sheet (CSI), authored by the National Security Agency (NSA) and the Cybersecurity and Infrastructure Security Agency (CISA), highlights threats to BMCs and details actions organizations can use to harden them. NSA and CISA encourage all organizations managing relevant servers to apply the recommended actions in this CSI.  ベースボード管理コントローラ(BMC)は、コンピュータのハードウェアに設計された信頼できるコンポーネントで、オペレーティングシステムやファームウェアとは別に動作し、システムが停止しているときでもリモートで管理・制御できるようにする。国家安全保障局(NSA)とサイバーセキュリティ・インフラセキュリティ庁(CISA)が作成したこのサイバーセキュリティ情報シート(CSI)は、BMCに対する脅威を明らかにし、組織がBMCを強化するために使用できるアクションを詳述している。NSAとCISAは、関連するサーバーを管理するすべての組織が、このCSIで推奨されるアクションを適用することを推奨する。
Malicious actors target overlooked firmware  悪意ある行為者は、見落とされたファームウェアを狙う 
A BMC differs from the basic input output system (BIOS) and the Unified Extensible Firmware Interface (UEFI), which have a later role in booting a computer, and management engine (ME), which has different remote management functionality. BMC firmware is highly privileged, executes outside the scope of operating system (OS) controls, and has access to all resources of the server-class platform on which it resides. It executes the moment power is applied to the server. Therefore, boot to a hypervisor or OS is not necessary as the BMC functions even if the server is shutdown.   BMCは、コンピュータの起動に後発の役割を持つBIOS(Basic Input Output System)やUEFI(Unified Extensible Firmware Interface)、リモート管理機能が異なる管理エンジン(ME)とは異なる。BMCファームウェアは、オペレーティングシステム(OS)の制御範囲外で実行され、それが存在するサーバークラスのプラットフォームのすべてのリソースにアクセスできる、非常に特権的なものである。サーバーに電源が投入された瞬間に実行される。そのため、サーバーがシャットダウンしてもBMCは機能するため、ハイパーバイザーやOSへのブートは必要ない。 
Most BMCs provide network-accessible configuration and management, and BMC management solutions administer large numbers of servers without requiring a physical touch. They take the form of a dedicated circuit chip with discrete firmware that must be maintained separately from automated or OS-hosted patching solutions. Most BMCs do not provide integration with user account management solutions. Administrators must perform updates and all administrative actions affecting BMCs via commands delivered over network connections.  ほとんどのBMCは、ネットワークからアクセス可能な構成と管理を提供し、BMC管理ソリューションは、物理的な接触を必要とせずに大量のサーバーを管理する。BMCは、自動化された、またはOSがホストするパッチソリューションとは別に維持されなければならない、個別のファームウェアを持つ専用の回路チップの形をとっている。ほとんどのBMCは、ユーザーアカウント管理ソリューションとの統合を提供しない。管理者は、ネットワーク接続を介して配信されるコマンドを使用して、BMCに影響を与えるアップデートおよびすべての管理アクションを実行する必要がある。
Many organizations fail to take the minimum action to secure and maintain BMCs. Hardened credentials, firmware updates, and network segmentation options are frequently overlooked, leading to a vulnerable BMC. A vulnerable BMC broadens the attack vector by providing malicious actors the opportunity to employ tactics such as establishing a beachhead with preboot execution potential. [1] Additionally, a malicious actor could disable security solutions such as the trusted platform module (TPM) or UEFI secure boot, manipulate data on any attached storage media, or propagate implants or disruptive instructions across a network infrastructure. Traditional tools and security features including endpoint detection and response (EDR) software, intrusion detection/prevention systems (IDS/IPS), anti-malware suites, kernel security enhancements, virtualization capabilities, and TPM attestation are ineffective at mitigating a compromised BMC. For these reasons, NSA and CISA recommend organizations pay attention to the security of their BMCs and apply the hardening actions detailed in the following section.   多くの組織が、BMCを保護し維持するための最低限の行動をとらない。強固な認証情報、ファームウェアのアップデート、およびネットワークのセグメンテーション・オプションは、頻繁に見落とされ、脆弱なBMCにつながる。脆弱なBMCは、悪意のある行為者に、プリブート実行の可能性を持つビーチヘッドを確立するなどの戦術を採用する機会を提供し、攻撃のベクトルを拡大させる。さらに、悪意のある行為者は、TPM(Trusted Platform Module)やUEFIセキュアブートなどのセキュリティソリューションを無効にしたり、接続されたストレージメディア上のデータを操作したり、ネットワークインフラ全体にインプラントや破壊的命令を伝搬させたりする可能性がある[1]。エンドポイント検出応答(EDR)ソフトウェア、侵入検出/防止システム(IDS/IPS)、マルウェア対策スイート、カーネルセキュリティ強化、仮想化機能、TPM認証などの従来のツールやセキュリティ機能は、侵害されたBMCを軽減する上で効果がない。これらの理由から、NSA と CISA は、組織が BMC のセキュリティに注意を払い、次のセクションで詳述するハードニングアクションを適用することを推奨する。 
Recommended actions  推奨されるアクション 
These recommended actions align with the cross-sector cybersecurity performance goals  これらの推奨行動は、セクター横断的なサイバーセキュリティ性能目標(CPG)に合致している。
(CPGs) CISA and the National Institute of Standards and Technology (NIST) developed. The CPGs provide a minimum set of practices and protections that CISA and NIST recommend all organizations implement. Visit CISA’s Cross-Sector Cybersecurity Performance Goals for more information on the CPGs, including additional recommended baseline protections.  (CISAと米国国立標準技術研究所(NIST)が策定した(CPGs)。CPGは、CISAとNISTがすべての組織に実施を推奨する実践と保護の最低セットを提供する。推奨されるベースライン保護の追加など、CPG の詳細については、CISA の Cross-Sector Cybersecurity Performance Goals を参照されたい。
1. Protect BMC credentials  1. BMC の認証情報を保護する 
Change the default BMC credentials as soon as possible. Establish unique user accounts for administrators, if supported. Always use strong passwords compliant with NIST guidelines such as SP 800-63B. [2] Do not expose default credentials to an internet connection or untrusted segment of an enclave [CPG 2.A, 2.B, 2.C, 2.E, 2.L].  デフォルトのBMC認証情報をできるだけ早く変更する。サポートされている場合は、管理者用の固有のユーザーアカウントを確立する。SP 800-63B などの NIST ガイドラインに準拠した強力なパスワードを常に使用する。[2] デフォルトの認証情報をインターネット接続やエンクレーブの信頼されていないセグメントに公開しない [CPG 2.A, 2.B, 2.C, 2.E, 2.L]. 
2. Enforce VLAN separation  2. VLANの分離をする 
Establish a virtual local area network (VLAN) to isolate BMC network connections since many BMC products have a dedicated network port not shared with the OS or virtual machine manager (VMM). Limit the endpoints that may communicate with BMCs in the enterprise infrastructure—commonly referred to as an Administrative VLAN. Limit or block BMC access to the internet. If the BMC requires internet access to update, create rules such that only updatesupporting traffic is permitted during the update download [CPG 2.F, 2.X].  多くのBMC製品は、OSや仮想マシンマネージャ(VMM)と共有しない専用のネットワークポートを持つため、仮想ローカルエリアネットワーク(VLAN)を確立してBMCのネットワーク接続を分離する。エンタープライズ・インフラストラクチャでBMCと通信できるエンドポイントを制限する。BMCのインターネットへのアクセスを制限またはブロックする。BMCが更新のためにインターネットアクセスを必要とする場合、更新のダウンロード中に更新をサポートするトラフィックのみが許可されるようなルールを作成する[CPG 2.F, 2.X]。
3. Harden configurations  3. 構成を堅牢化する 
Consult vendor guides and recommendations for hardening BMCs against unauthorized access and persistent threats. UEFI hardening configuration guidance may apply to many BMC settings [CPG 1.E, 2.V, 2.W, 2.X]. [3]  不正アクセスや持続的な脅威に対してBMCを強化するためのベンダーのガイドと推奨事項を参照すること。UEFIハードニング構成のガイダンスは、多くのBMC設定に適用される可能性がある[CPG 1.E, 2.V, 2.W, 2.X]. [3] 
4. Perform routine BMC update checks  4. BMC の定期的なアップデートを確認する 
BMC updates are delivered separately from most other software and firmware updates. Establish a routine to conduct monthly or quarterly checks for BMC updates according to the system vendor’s recommendations and scheduled patch releases. Combine BMC update installations with routine server maintenance and scheduled downtime when possible. Note that some servers require a restart after BMC updates, while some can restart the BMC independent of the OS or VMM. BMC updates may be provided via the internet, a local executable, an image stored on removable media, or network file storage [CPG 1.E]
BMCのアップデートは、他のほとんどのソフトウェアやファームウェアのアップデートとは別に配信される。システムベンダーの推奨事項や予定されているパッチリリースに従って、毎月または四半期ごとにBMCアップデートのチェックを実施するルーチンを確立する。BMCアップデートのインストールは、可能な限り、定期的なサーバーメンテナンスおよびスケジュールされたダウンタイムと組み合わせる。BMCのアップデート後に再起動が必要なサーバーもあれば、OSやVMMとは無関係にBMCを再起動できるサーバーもあることに留意する。BMCの更新は、インターネット、ローカル実行ファイル、リムーバブルメディアに保存されたイメージ、またはネットワークファイルストレージを介して提供される場合がある[CPG 1.E]。 
Remember: OS patch maintenance solutions do not deliver BMC updates.  覚えておくこと: OS のパッチ保守ソリューションは、BMC の更新を提供しない。
5. Monitor BMC integrity  5. BMCの完全性を監視する 
Some BMCs report integrity data to a root of trust (RoT). The RoT could take the form of a TPM, dedicated security chip or coprocessor (multiple trademarked names in use), or a central processing unit (CPU) secure memory enclave. Monitor integrity features for unexpected changes and platform alerts [CPG 2.T].  一部のBMCは、信頼できるルート(RoT)に整合性データを報告する。RoTは、TPM、専用セキュリティチップまたはコプロセッサ(使用中の複数の商標名)、または中央処理装置(CPU)の安全なメモリエンクレーブの形を取ることができる。予期せぬ変更やプラットフォームのアラートに対して、整合性機能を監視する [CPG 2.T]。
6. Move sensitive workloads to hardened devices  6. 機密性の高いワークロードを堅牢化化されたデバイスに移行する 
Older server and cloud nodes may lack any BMC integrity monitoring mechanism. The presence of a TPM does not guarantee that BMC integrity data is collected. Place sensitive workloads on hardware designed to audit both the BMC firmware and the platform firmware [CPG 2.L].  古いサーバーやクラウドノードには、BMCの完全性監視メカニズムがない場合がある。TPMの存在は、BMCの整合性データが収集されることを保証するものではありません。BMC ファームウェアとプラットフォームファームウェアの両方を監査するように設計されたハードウェ アに、機密性の高いワークロードを配置する [CPG 2.L]。
7. Use firmware scanning tools periodically  7. ファームウェアスキャンツールを定期的に使用する 
Some modern EDR and platform scanning tools support BMC firmware capture. Establish a schedule to collect and inspect BMC firmware for integrity and unexpected changes. Include firmware audits in comprehensive anti-malware scanning tasks.  最近の EDR およびプラットフォーム・スキャン・ツールの中には、BMC ファームウェアのキャプチャをサポー トするものがある。BMC ファームウェアを収集し、完全性や予期せぬ変更について検査するスケジュールを確立する。包括的なマルウェア対策スキャンタスクにファームウェア監査を含めること。
8. Do not ignore BMCs  8. BMC を無視しない 
A user may accidentally connect and expose an ignored and disconnected BMC to malicious content. Treat an unused BMC as if it may one day be activated. Apply patches. Harden credentials. Restrict network access. If a BMC cannot be disabled or removed, carry out recommended actions appropriate to the sensitivity of the platform’s data [CPG 1.E, 2.C, 2.F, 2.K, 2.W, 2.X].  ユーザーが誤って接続し、無視されて切断されたBMCを悪意のあるコンテンツにさらす可能性がある。未使用のBMCは、いつか起動する可能性があるものとして扱うこと。パッチを適用する。認証情報を強固にする。ネットワークアクセスを制限する。BMC を無効化または削除できない場合は、プラットフォームのデータの機密性に適した推奨されるアクションを実行する [CPG 1.E, 2.C, 2.F, 2.K, 2.W, 2.X]. 

 

引用文献...

  1. Eclypsium Inc. (2022), “The iLOBleed Implant: Lights Out Management Like You Wouldn’t Believe.” https://eclypsium.com/2022/01/12/the-ilobleed-implant-lights-out-management-like-youwouldnt-believe

  2. National Institute of Standards and Technology (NIST) (2020), Special Publication 800-63B“Digital Identity Guidelines: Authentication and Lifecycle Management.” https://pages.nist.gov/800-63-3/sp800-63b.html 

  3. National Security Agency (NSA) (2018), “UEFI Defensive Practices Guidance.” https://www.nsa.gov/portals/75/documents/what-we-do/cybersecurity/professional-resources/ctruefi-defensive-practices-guidance.pdf

 

・[PDF] Cross-Sector Cybersecurity Performance Goals

20230617-55418

 


 

CPGについてはこちら...

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.03.30 米国 CISA サイバーセキュリティ・パフォーマンス目標 (CPGs) の更新版を発表 (2023.03.21)

・2022.11.03 米国 国土安全保障省 (DHS) 重要インフラのための新たなサイバーセキュリティ・パフォーマンス目標 (2022.10.27)

 

 

| | Comments (0)

米国 連邦最高情報責任者事務局 覚書M-22-18「安全なソフトウェア開発の実践によるソフトウェアサプライチェーンのセキュリティの強化」の更新 (2023.06.09)

こんにちは、丸山満彦です。

米国行政管理予算局 (0MB)の連邦最高情報責任者 (CIO) 事務局が、覚書M23-16『M-22-18「安全なソフトウェア開発の実践によるソフトウェアサプライチェーンのセキュリティの強化』の更新」を発表していますね。。。

 

OMB - Office of the Federal Chief Information Officer

・2023.06.09 [PDF] M-23-16-Update-to-M-22-18-Enhancing-Software-Security

20230617-50439

 ・[DOCX] 仮訳

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.09.18 米国 行政管理予算局 (0MB) ソフトウェアサプライチェーンのセキュリティ強化 を公表

 

 

| | Comments (0)

2023.06.16

米国 MITRE AIセキュリティのための賢明な規制の枠組み

こんにちは、丸山満彦です。

米国のMITREが、「AIセキュリティのための賢明な規制の枠組み」を公表していますね。。。

 

⚫︎ MITRE

・2023.06.14 A Sensible Regulatory Framework for AI Security

 

A Sensible Regulatory Framework for AI Security AIセキュリティのための賢明な規制の枠組み
This paper explores potential options for AI regulation and makes recommendations on how to establish guardrails to shape the development and use of AI. 本稿では、AI規制の潜在的な選択肢を探り、AIの開発と利用を形成するためのガードレールを確立する方法について提言する。
Artificial intelligence can bring precision and speed to every sector—defense, healthcare, transportation, education, and more. At the same time, AI poses potential risks to people and property, raising social, ethical, geopolitical, even existential questions. The prospect of AI with a “mind” of its own, or a human directing an AI to cause harm, is alarming. MITRE is applying our deep systems engineering expertise to enable impactful, secure, and equitable AI. 人工知能は、防衛、医療、交通、教育など、あらゆる分野に精度とスピードをもたらすことができる。同時に、AIは人や財産に潜在的なリスクをもたらし、社会的、倫理的、地政学的、さらには実存的な問題を提起している。AIが自らの「心」を持ち、あるいは人間がAIに危害を加えるよう指示するという見通しは、憂慮すべきものである。MITREは、インパクトがあり、安全で、公平なAIを実現するために、深いシステム工学の専門知識を適用している。
With AI technologies growing at a staggering rate, the time is now to put best practices in place to promote AI for public good. MITRE is applying experience advancing AI in the defense and civil domains, and strategic collaborations with government, industry, and academia to inform sensible AI regulation in the near・and long-term. We recommend where to place guardrails to best shape AI development and application. AI技術が驚異的なスピードで成長している今、公共の利益のためにAIを推進するためのベストプラクティスを導入する時が来ている。MITREは、防衛・民生領域でAIを推進してきた経験や、政府・産業・学界との戦略的協力関係を活かし、近い将来・長期的に賢明なAI規制に情報を提供している。我々は、AIの開発と応用を最適化するために、どこにガードレールを設置すべきかを提言する。

 

・[PDF]

20230616-124441

 

この報告書では、AIを次の3つに分けて、脅威とリスクを考えていますね。。。

1. Engineered systems that use AI as a component or subsystem 1. AIをコンポーネントまたはサブシステムとして使用するように設計されたシステム
2. AI as an augmentation of human capabilities 2. 人間の能力を補強するためのAI
3. AI operating autonomously under its own agency 3. 自らの権限で自律的に動作するAI

 

規制...

Regulatory considerations for AI as a component or subsystem  コンポーネントまたはサブシステムとしてのAIに対する規制の検討 
1. Any AI regulation should require AI components to satisfy software assurance requirements as well as AI-specific assurance requirements that can be developed based on validated AI assurance frameworks. 1. AIに関する規制は、AIコンポーネントがソフトウェア保証要件に加え、検証済みのAI保証フレームワークに基づいて開発できるAI固有の保証要件を満たすことを求めるべきである。
2. Regulated industries should develop a NIST  2. 規制対象業界は、NIST の AI RMF 対応計画を策定すべきである。
3. Any AI regulation should account for and mitigate risks stemming from component interactions. 3. AIに関する規制は、コンポーネントの相互作用に起因するリスクを考慮し、軽減する必要がある。
4. Any AI regulation should require “assurance cases” to be developed before deployment. 4. AIに関する規制は、配備前に「保証ケース」を作成することを求めるべきである。
5. Any AI regulation should account for use context and favor existing domain-specific regulations. 5. AIに関する規制は、利用状況を考慮し、既存のドメイン固有の規制を優先すべきである。
6. Industry regulators should conduct continuous regulatory analysis of individual use cases. 6. 業界の規制当局は、個々のユースケースについて継続的な規制分析を行うべきである。
7. Industry regulators should promote trusted information sharing mechanisms to support regulatory analysis. 7. 業界規制当局は、規制分析を支援するために、信頼できる情報共有メカニズムを促進すべきである。
Regulatory considerations for AI implementations that aim to augment human capabilities 人間の能力を増強するためのAI導入に対する規制上の考慮事項
8. AI regulation should require system auditability in order to hold individuals who misuse AI to cause harm accountable. 8. AI規制は、AIを悪用して損害を与えた個人の責任を追及するために、システムの監査可能性を要求すべきである。
9. Legal frameworks to deter intentional and harmful AI misuse should scale accountability with risk. 9. 意図的で有害なAIの誤用を抑止するための法的枠組みは、リスクに応じて説明責任をスケールアップさせるべきである。
10. AI regulation should provide appropriate levels of transparency into AI applications to an objective third party and/or the public for detection and mitigation of intentional AI misuse. 10. AI規制は、意図的なAIの誤用の検出と軽減のために、客観的な第三者および/または一般市民に対して、AIアプリケーションの適切なレベルの透明性を提供するべきである。
Regulatory considerations for AI implementations that have agency エージェンシーを持つAI導入のための規制上の留意点
11. Federal government critical infrastructure plans should address increased risk due to AI-enabled scale and speed and consider countering risk with automated red teaming.  11. 連邦政府の重要インフラ計画は、AIが可能にする規模と速度によるリスクの増加に対処し、自動化されたレッドチームによるリスクへの対抗を検討すべきである。
12. Increase federal funding to create common vocabulary and frameworks for AI alignment, and use those to guide future research.  12. AIとの連携に関する共通の語彙とフレームワークを作成し、それらを今後の研究の指針として活用するための連邦政府の資金を増やす。
13. Regulation and legal frameworks should differentiate between appropriate research with risk mitigations and bad actors, and hold all appropriately accountable for harms.  13. 規制や法的枠組みは、リスクを軽減した適切な研究と悪質な行為者を区別し、すべての人に被害に対する責任を適切に負わせるべきである。

 

 

 

| | Comments (0)

Five Eyes ドイツ フランス LookBitに対する包括的なアドバイザリーを公表

こんにちは、丸山満彦です。

米国 (CISA, FBI)、英国、オーストラリア、カナダ、ニュージーランド、ドイツ、フランスのサイバーセキュリティ関連部署が、LookBitに対する包括的なアドバイザリーを公表していますね。。。

 

⚫︎ CISA

プレス...

・2023.06.14 U.S. and International Partners Release Comprehensive Cyber Advisory on LockBit Ransomware

 

アドバイザリー

・2023.06.14 Understanding Ransomware Threat Actors: LockBit

 

・[PDF]

20230616-62421

 

 

| | Comments (0)

国際サイバー犯罪者対策の日 (International Cyber Offender Prevention Day)

こんにちは、丸山満彦です。

昨日 (2023.06.15) は国際サイバー犯罪者対策の日 (International Cyber Offender Prevention Day) でしたね。。。

サイバー空間を利用した犯罪は、物理的な制約が少ないことから、国境を跨いだ犯罪も簡単に行えるわけですが、その犯罪者の逮捕に至るまでには、国際的な協力が重要となりますよね。。。

そういうことから、2023.01に各国の法執行機関における知見の共有や各国が協力した犯罪抑止を推進するため、オランダが主導して?国際ネットワークであるInterCOP(International Cyber Offender Prevention)が設立されているようです。また、国際サイバー犯罪者対策の日に合わせて、Lisbonで2023.06.14-15に第1回のカンファレンスが開催されたようですね。。。日本の警察も参加していますね。。。

 

⚫︎ 警察庁

・2023.06.15 「国際サイバー犯罪者対策の日」キャンペーンについて


1 経緯
 サイバー空間における脅威の情勢が極めて深刻である中、サイバー犯罪を事前に抑止することが重要であることから、各国の法執行機関における知見の共有や各国が協力した犯罪抑止を推進するため、国際ネットワークであるInterCOP(International Cyber Offender Prevention)が令和5年1月に設立されています。

2 キャンペーン概要
 InterCOPでは毎年6月15日を「国際サイバー犯罪者対策の日」(International Cyber Offender Prevention Day)とすることを決定しており、令和5年6月15日(木)に各国の法執行機関がソーシャルメディア上でメッセージを一斉に発出することで、サイバー犯罪抑止についての関心を高めることとしています。

3 備考
 令和5年6月14日(水)及び15日(木)にポルトガル・リスボンでInterCOPの第1回カンファレンスが開催され、当庁からも職員が参加しています。


 

1_20230616055301

 

オランダ警察

⚫︎POLITIE - Cyber Offender Prevention

What is Cyber Offender Prevention?

What is Cyber Offender Prevention? サイバー犯罪者対策とは?
Cybercrime is currently one of the most disruptive forms of crime and is very likely to become even more disruptive in the future. It is remarkable that, compared to other forms of serious crime, cybercrime offenders are very young. Not only do they cause severe damage to society (companies and persons), they also destroy their own future. Most youngsters do not realize they can go to prison for several years for what they perceive as a challenge or a game.  サイバー犯罪は現在、最も破壊的な犯罪形態の一つであり、今後さらに破壊的になる可能性が非常に高い。他の重大犯罪形態と比較して、サイバー犯罪の犯罪者が非常に若いということは注目に値する。彼らは社会(企業や個人)に深刻な損害を与えるだけでなく、自分自身の未来も破壊してしまう。ほとんどの若者は、自分が挑戦やゲームと認識していることで、数年間刑務所に入る可能性があることを理解していない。 
Cyber offenders, as opposed to offenders of offline forms of crime usually only encounter corrective measures well into their criminal career. Often, the first encounter with law enforcement related to cyberspace is an arrest. These offenders, who possess a skillset which is very much needed in the digital age, can be diverted to use their skills in legal ways that benefit society. サイバー犯罪者は、オフラインの犯罪者とは対照的に、通常、犯罪者としてのキャリアを積んでから是正措置に出会う。サイバー空間に関する法執行機関との最初の出会いは、逮捕であることが多い。このような犯罪者は、デジタル時代に非常に必要とされるスキルセットを持っており、そのスキルを社会に役立つ合法的な方法で使用するよう転用することができる。
Cyber Offender Prevention (COP) is increasingly recognized as an effective and necessary response to cyber criminality alongside investigative efforts. The Dutch Police is aware of the value of cyber offender prevention and has set up a specialized Cyber Offender Prevention team, which is part of the National High Tech Crime Unit. The team has launched several campaigns to inform youngsters about the illegality of certain forms of cyber behaviour such as DDOS-attacks and using Remote Access Trojans (RAT). It also promotes the use of educational games that enforce cyber norms and cyber safety such as Framed and Hackshield. For at risk youth, or those who have already crossed the line, initiatives such as re:B00TCMP and Hack_Right have been developed in cooperation with private and public partners such as municipalities, the Probation Service (Halt and Reclassering), the Child Care Service and Protection Board and Public Prosecution Service. サイバー犯罪者対策(COP)は、捜査努力と並んでサイバー犯罪に対する効果的かつ必要な対応として、ますます認識されるようになっている。オランダ警察は、サイバー犯罪者予防の価値を認識しており、国家ハイテク犯罪ユニットの一部であるサイバー犯罪者予防専門チームを設置した。同チームは、DDOS攻撃やリモートアクセス型トロイの木馬(RAT)の使用など、特定の形態のサイバー行為の違法性を若者に知らせるキャンペーンを複数実施している。また、「Framed」や「Hackshield」など、サイバー規範やサイバーセーフティを強化する教育用ゲームの使用も推進している。リスクのある青少年や、すでに一線を越えてしまった青少年に対しては、自治体、保護観察所(Halt and Reclassering)、児童相談所、保護委員会、検察庁などの民間・公的パートナーと協力して、re:B00TCMPやHack_Rightといった取り組みが展開されてきた。

 

What does the International Cyber Offender Prevention Network (InterCOP) do?

What does the International Cyber Offender Prevention Network (InterCOP) do? 国際サイバー犯罪者防止ネットワーク(InterCOP)は何をするのか?
For Cyber Offender Prevention to maximize its impact, international (law enforcement) cooperation is needed. The InterCOP network, which was established in 2023, aims to provide a platform for such international cooperation. サイバー犯罪者対策がその効果を最大限に発揮するためには、国際(法執行)協力が必要である。2023年に設立されたInterCOPネットワークは、そのような国際協力のためのプラットフォームを提供することを目的としている。
The InterCOP network is funded by a three year Internal Security Fund (ISF) provided by the European Commission. The Netherlands is the project lead of the InterCOP project, to which the UK, Finland, Sweden and Portugal co-signed. In total, the InterCOP network consists of 26 countries. InterCOPネットワークは、欧州委員会から提供される3年間の内部安全保障基金(ISF)により資金提供されている。オランダがInterCOPプロジェクトのプロジェクトリーダーを務め、英国、フィンランド、スウェーデン、ポルトガルが共同署名している。InterCOPネットワークは、合計で26カ国から構成されている。
The InterCOP network aims to connect international Law Enforcement agencies in order to share expertise and jointly develop, carry out and evaluate cyber offender prevention interventions for maximum impact. Additionally, it aims to engage public and private sector stakeholders whose skills, resources and reach are needed alongside law enforcement efforts to create a safer digital environment and to guide young cyberskilled individuals in the right direction. InterCOPネットワークは、国際的な法執行機関を結びつけ、専門知識を共有し、最大の効果を得るためのサイバー犯罪者防止介入策を共同で開発、実施、評価することを目的としている。さらに、より安全なデジタル環境を作り出し、若いサイバー熟練者を正しい方向に導くために、法執行の努力とともに、スキル、リソース、リーチを必要とする公共および民間部門の利害関係者を巻き込むことを目的としている。
International Cyber Offender Prevention Day 国際サイバー犯罪者対策の日
To highlight the importance of cyber offender prevention, the InterCOP Network coined the International Cyber Offender Prevention Day on the 15th of June. サイバー犯罪者対策の重要性を強調するため、InterCOPネットワークは、6月15日に「国際サイバー犯罪者対策の日」を制定している。

 

SNSで拡散して、啓発をするようですね。。。

⚫︎ Twitter - #InternationalCyberOffenderPreventionDay

 

| | Comments (0)

EDPB GDPRの課徴金計算に関するガイドライン Ver. 2.0

こんにちは、丸山満彦です。

EDPBが、GDPRの課徴金計算に関するガイドライン Ver. 2.0を公表していますね。。。昨年にVer. 1.0を公表していますね。。。

どこが変わったのか、、、まだ確認していません...

 

European Data Protection Board; EDPB

プレス...

・2023.06.07 EDPB adopts final version of Guidelines on the calculation of administrative fines following public consultation

EDPB adopts final version of Guidelines on the calculation of administrative fines following public consultation EDPB、パブリックコンサルテーションの結果、行政罰の計算に関するガイドラインの最終版を採択
During its latest plenary, the EDPB adopted a final version of the Guidelines on the calculation of administrative fines following public consultation. These guidelines aim to harmonise the methodology data protection authorities (DPAs) use to calculate fines and include harmonised ‘starting points’. Hereby, three elements are considered: the categorisation of infringements by nature, the seriousness of the infringement and the turnover of a business. EDPBは、最新の本会議において、パブリックコンサルテーションを経て、行政処分の計算に関するガイドラインの最終版を採択した。このガイドラインは、データ保護当局(DPA)が罰金を計算する際の方法を調和させることを目的とし、調和された「開始点」を含んでいる。これにより、侵害の性質による分類、侵害の深刻さ、事業の売上高という3つの要素が考慮される。
The guidelines set out a 5-step methodology, taking into account the number of instances of sanctionable conduct, possibly resulting in multiple infringements; the starting point for the calculation of the fine; aggravating or mitigating factors; legal maximums of fines; and the requirements of effectiveness, dissuasiveness and proportionality. ガイドラインでは、制裁の対象となる行為(場合によっては複数の違反行為)の件数、罰金の計算の出発点、加重・低減要因、罰金の法的上限、有効性・抑制性・比例性の要件を考慮した5段階の手法を定めている。
Following public consultation, an annex was added with a reference table summarising the methodology and two examples of practical application. As explained in the reading guide, the table and the examples are for illustration purposes only and have to be read in conjunction with the Guidelines. パブリックコンサルテーションを経て、方法論を要約した参考表と2つの実務適用例が附属書として追加された。リーディングガイドで説明されているように、表と例は説明のためのものであり、ガイドラインと合わせて読む必要がある。
The guidelines are an important addition to the framework the EDPB is building for more efficient cooperation among DPAs on cross-border cases, a strategic priority for the EDPB. 本ガイドラインは、EDPBの戦略的優先事項であるクロスボーダー案件に関するDPA間の効率的な協力のために、EDPBが構築しているフレームワークの重要な追加となる。
Also following public consultation, the EDPB adopted a final version of the Guidelines on the application of Art. 65(1)(a). The guidelines aim to delineate the main stages of the Art. 65 procedure and to clarify the competence of the EDPB when adopting a legally binding decision on the basis of Art. 65(1)(a) GDPR. Following public consultation, the guidelines were amended to introduce clarifications and reflect recent developments, such as the adoption of the EDPB Guidelines on the application of Art. 60 GDPR and changes to the EDPB Rules of Procedure. In addition, an executive summary was added. また、パブリックコンサルテーションを経て、EDPBは65条(1)(a)の適用に関するガイドラインの最終版を採択した。本ガイドラインは、65条手続きの主な段階を明確にし、65条(1)(a)に基づいて法的拘束力のある決定を採択する際のEDPBの権限を明確にすることを目的としている。 GDPR65条(1)(a)に基づく法的拘束力のある決定を採択する際のEDPBの権限を明確にすることを目的としている。パブリックコンサルテーションの後、ガイドラインは、明確化を導入し、60条の適用に関するEDPBガイドラインの採択など、最近の動向を反映するために修正された。また、エグゼクティブサマリーが追加された。

 

・[PDF]

20230616-42648

 

目次...

EXECUTIVE SUMMARY エグゼクティブサマリー
CHAPTER 1 – INTRODUCTION 第1章 導入
1.1 - Legal framework 1.1 法的枠組み
1.2 - Objective 1.2 目的
1.3 - Scope 1.3 適用範囲
1.4 - Applicability 1.4 適合性
CHAPTER 2 – METHODOLOGY FOR CALCULATING THE AMOUNT OF THE FINE 第2章 課徴金の額の算定方法
2.1 - General considerations 2.1 一般的な考慮事項
2.2 - Overview of the methodology 2.2 方法論の概要
2.3 - Infringements with fixed amounts 2.3 金額が確定している違反行為
CHAPTER 3 – CONCURRENT INFRINGEMENTS AND THE APPLICATION OF ARTICLE 83(3) GDPR 第3章 同時の侵害と GDRP 第 83 条(3)の適用
Diagram  
3.1 - One sanctionable conduct 3.1 制裁の対象となる 1 つの行為
3.1.1 - Concurrence of Offences 3.1.1 違反行為の同時発生
3.1.2 - Unity of action - Article 83(3) GDPR 3.1.2 行為の統一性 - GDPR第83条(3)
3.2 - Multiple sanctionable conducts 3.2 複数の制裁対象行為
CHAPTER 4 – STARTING POINT FOR CALCULATION 第4章 計算の出発点
4.1 - Categorisation of infringements under Articles 83(4)–(6) GDPR 4.1 GDPR第83条(4)~(6)項に基づく侵害の分類
4.2 - Seriousness of the infringement in each individual case 4.2 個々のケースにおける侵害の深刻度
4.2.1 - Nature, gravity and duration of the infringement 4.2.1 侵害の性質、重大性及び期間
4.2.2 - Intentional or negligent character of the infringement 4.2.2 侵害の故意または過失の性質
4.2.3 - Categories of personal data affected 4.2.3 影響を受ける個人データのカテゴリー
4.2.4 - Classifying the seriousness of the infringement and identifying the appropriate starting amount  4.2.4 侵害の重大性の分類と適切な開始金額の特定
4.3 - Turnover of the undertaking with a view to imposing an effective, dissuasive and proportionate fine 4.3 効果的、抑制的かつ適切な罰金を課すための事業者の売上高
CHAPTER 5 – AGGRAVATING AND MITIGATING CIRCUMSTANCES 第5章 加重および緩和状況
5.1 - Identification of aggravating and mitigating factors 5.1 悪化要因及び緩和要因の特定
5.2 - Actions taken by controller or processor to mitigate damage suffered by data subjects 5.2 データ対象者が被った損害を軽減するために管理者または処理者がとった措置
5.3 - Degree of responsibility of the controller or processor 5.3 管理者または処理者の責任の度合い
5.4 - Previous infringements by the controller or processor 5.4 管理者又は処理者による以前の侵害
5.4.1 - Time frame 5.4.1 時間枠
5.4.2 - Subject matter 5.4.2 対象者
5.4.3 - Other considerations 5.4.3 その他の考慮事項
5.5 - Degree of cooperation with the supervisory authority in order to remedy the infringement and mitigate the possible adverse effects of the infringement 5.5 侵害を是正し、侵害の起こり得る悪影響を軽減するための監督当局との協力の度合い
5.6 - The manner in which the infringement became known to the supervisory authority 5.6 侵害が監督当局に知られるようになった方法
5.7 - Compliance with measures previously ordered with regard to the same subject matter 5.7 同一対象に関して過去に命じられた措置の遵守状況
5.8 - Adherence to approved codes of conduct or approved certification mechanisms 5.8 承認された行動規範又は承認された認証メカニズムへの遵守
5.9 - Other aggravating and mitigating circumstances 5.9 その他の加重および緩和的な状況
CHAPTER 6 – LEGAL MAXIMUM AND CORPORATE LIABILITY 第6章 法的上限と企業責任
6.1 - Determining the Legal Maximum 6.1 法的上限額の決定
6.1.1 - Static maximum amounts 6.1.1 静的な最大量
6.1.2 - Dynamic maximum amounts 6.1.2 動的な最大量
6.2 - Determining the undertaking’s turnover and corporate liability 6.2 事業の売上高および企業責任の決定
6.2.1 - Determining an undertaking and corporate liability 6.2.1 事業と企業責任の決定
6.2.2 - Determining the turnover 6.2.2 売上高の決定
CHAPTER 7 – EFFECTIVENESS, PROPORTIONALITY AND DISSUASIVENESS 第7章 - 有効性、比例性、抑止性
7.1 - Effectiveness 7.1節 有効性
7.2 - Proportionality 7.2節 比例性
7.3 - Dissuasiveness 7.3節 抑止性
CHAPTER 8 – FLEXIBILITY AND REGULAR EVALUATION 第8章 柔軟性と定期的な評価
ANNEX – TABLE FOR ILLUSTRATION OF THE GUIDELINES 04/2022 ON THE CALCULATION OF ADMINISTRATIVE FINES UNDER THE GDPR 附属書 - GDPRに基づく行政罰の算定に関するガイドライン04/2022の説明のための表

 

エグゼクティブサマリー...

EXECUTIVE SUMMARY  エグゼクティブサマリー 
The European Data Protection Board (EDPB) has adopted these guidelines to harmonise the methodology supervisory authorities use when calculating of the amount of the fine. These Guidelines complement the previously adopted Guidelines on the application and setting of administrative fines for the purpose of the Regulation 2016/679 (WP253), which focus on the circumstances in which to impose a fine.   欧州データ保護委員会(EDPB)は、監督当局が罰金額を算出する際に用いる手法を調和させるために、本ガイドラインを採択した。本ガイドラインは、先に採択された規則2016/679を目的とした行政罰の適用と設定に関するガイドライン(WP253)を補完するものであり、罰金を課すべき状況に焦点を当てたものである。 
The calculation of the amount of the fine is at the discretion of the supervisory authority, subject to the rules provided for in the GDPR. In that context, the GDPR requires that the amount of the fine shall in each individual case be effective, proportionate and dissuasive (Article 83(1) GDPR). Moreover, when setting the amount of the fine, supervisory authorities shall give due regard to a list of circumstances that refer to features of the infringement (its seriousness) or of the character of the perpetrator (Article 83(2) GDPR). Lastly, the amount of the fine shall not exceed the maximum amounts provided for in Articles 83(4) (5) and (6) GDPR. The quantification of the amount of the fine is therefore based on a specific evaluation carried out in each case, within the parameters provided for by the GDPR.   罰金額の算定は、GDPRに規定されたルールに従い、監督当局の裁量に委ねられている。その中で、GDPRは、個々のケースにおいて、制裁金の額が効果的、比例的かつ抑制的でなければならないと定めている(GDPR83条1項)。さらに、罰金の額を設定する際、監督当局は、侵害の特徴(その重大性)または加害者の性格に言及する状況のリストを十分に考慮しなければならない(第83条(2)GDPR)。最後に、罰金の額は、GDPR第83条(4)(5)及び(6)に規定される上限額を超えてはならない。したがって、罰金額の定量化は、GDPRに規定されたパラメータの範囲内で、個々のケースで実施される具体的な評価に基づいて行われる。 
Taking the abovementioned into account, the EDPB has devised the following methodology, consisting of five steps, for calculating administrative fines for infringements of the GDPR.  以上のことを踏まえ、EDPBは、GDPR違反に対する行政処分の罰金を算出するために、5つのステップからなる以下の方法論を考案した。
Firstly, the processing operations in the case must be identified and the application of Article 83(3) GDPR needs to be evaluated (Chapter 3). Second, the starting point for further calculation of the amount of the fine needs to be identified (Chapter 4). This is done by evaluating the classification of the infringement in the GDPR, evaluating the seriousness of the infringement in light of the circumstances of the case, and evaluating the turnover of the undertaking. The third step is the evaluation of aggravating and mitigating circumstances related to past or present behaviour of the controller/processor and increasing or decreasing the fine accordingly (Chapter 5). The fourth step is identifying the relevant legal maximums for the different infringements. Increases applied in previous or next steps cannot exceed this maximum amount (Chapter 6). Lastly, it needs to be analysed whether the calculated final amount meets the requirements of effectiveness, dissuasiveness and proportionality. The fine can still be adjusted accordingly (Chapter 7), however without exceeding the relevant legal maximum.   第一に、当該事案における処理業務を特定し、GDPR第83条3項の適用を評価する必要がある(第3章)。第二に、罰金額を算出するための出発点を特定する必要がある(4章)。これは、GDPRにおける侵害の分類の評価、事案の状況に照らした侵害の深刻さの評価、事業者の売上高の評価によって行われる。第三に、管理者・処理者の過去または現在の行動に関連する加重・軽減状況を評価し、それに応じて罰金を増減させることである(第5章)。第四は、異なる侵害に対する関連する法的上限を特定することである。前または次のステップで適用される増額は、この上限額を超えることはできない(第6章)。最後に、算出された最終額が有効性、抑制性、比例性の要件を満たしているかどうかを分析する必要がある。罰金は、関連する法的上限を超えることなく、適宜調整することができる(第7章)。 
Throughout all abovementioned steps, it must be borne in mind that the calculation of a fine is no mere mathematical exercise. Rather, the circumstances of the specific case are the determining factors leading to the final amount, which can – in all cases – be any amount up to and including the legal maximum.   上記のすべての段階を通じて、罰金の計算は単なる数学的な運動ではないことを念頭に置かなければならない。むしろ、特定のケースの状況は、最終的な金額を決定する要因であり、すべてのケースで、法的上限までの任意の金額とすることができる。 
These Guidelines and its methodology will remain under constant review of the EDPB.   本ガイドラインとその方法論は、EDPBによって常に見直されることになる。 

 

20230616-42942

 


 

⚫︎ まるちゃんの情報セキュリティ気まぐれ日記

・2022.05.19 欧州データ保護委員会 (EDPB) 意見募集「課徴金計算に関するガイドライン」

 

| | Comments (0)

世界経済フォーラム (WEF) デジタルセーフティリスクアセスメントの実際: フレームワークと事例紹介集 (2023.05.26)

こんにちは、丸山満彦です。

世界経済フォーラム (WEF)が「デジタルセーフティリスクアセスメントの実際: フレームワークと事例紹介集」を公表していますね。。。6つの事例を挙げていますね。。。

1 Trust and safety best practices – DTSP framework 1 信頼と安全のベストプラクティス - DTSPフレームワーク
2 Human Rights Due Diligence (HRDD) – GNI assessment 2 人権デューデリジェンス(HRDD) - GNI評価
3  Systems/outcomes-based approach – New Zealand Code of Practice 3 システム/アウトカムベースアプローチ - ニュージーランド実践コードオブプラクティス
4  Safety by design – The Australian eSafety Commissioner’s Safety by Design start-up assessment tool 4 デザインによる安全性 - オーストラリアのeSafetyコミッショナーのSafety by Designスタートアップ評価ツール
5 Child safety – gaming, immersive worlds and the metaverse 5 子どもの安全性 - ゲーム、没入型世界、メタバース
6 Algorithms – AI impact assessment tool 6 アルゴリズム - AI影響評価ツール

 

World Economic Forum - Whitepaper

・2023.05.26 Digital Safety Risk Assessment in Action: A Framework and Bank of Case Studies

Digital Safety Risk Assessment in Action: A Framework and Bank of Case Studies デジタルセーフティリスクアセスメントの実際: フレームワークと事例紹介集
The Global Coalition for Digital Safety's latest report is a pivotal milestone in advancing digital safety. It presents a blueprint for understanding and assessing digital safety risks. デジタル・セーフティ世界連合の最新報告書は、デジタル・セーフティを推進する上で極めて重要なマイルストーンとなるものである。この報告書は、デジタル・セーフティ・リスクを理解し評価するための青写真を提示している。
The proposed framework draws on existing human rights principles, enterprise risk management best practices, and evolving regulatory requirements to identify the factors that should be used to map out digital safety risks. It sets out a comprehensive methodology for how stakeholders could evaluate these risk factors within the digital ecosystem. The report showcases various case studies, highlighting the diverse nature of risk assessment frameworks and their practical applications. 提案されたフレームワークは、既存の人権原則、エンタープライズ・リスクマネジメントのベストプラクティス、進化する規制要件に基づき、デジタル・セーフティ・リスクを把握するために使用すべき要素を特定している。また、ステークホルダーがデジタルエコシステム内でこれらのリスク要因を評価するための包括的な方法論を提示している。本報告書では、様々な事例を紹介し、リスク評価フレームワークの多様な性質とその実用的な応用を強調している。

 

・[PDF]

20230615-232733

 

目次...

Foreword 序文
Executive summary エグゼクティブサマリー
Introduction はじめに
1  Risk assessment framework 1 リスクアセスメントのフレームワーク
2  Bank of case studies 2 事例一覧
Case study 1 Trust and safety best practices – DTSP framework 事例1 信頼と安全のベストプラクティス - DTSPフレームワーク
Case study 2 Human Rights Due Diligence (HRDD) – GNI assessment 事例2 人権デューデリジェンス(HRDD) - GNI評価
Case study 3  Systems/outcomes-based approach – New Zealand Code of Practice 事例3 システム/アウトカムベースアプローチ - ニュージーランド実践コードオブプラクティス
Case study 4  Safety by design – The Australian eSafety Commissioner’s Safety by Design start-up assessment tool 事例4 デザインによる安全性 - オーストラリアのeSafetyコミッショナーのSafety by Designスタートアップ評価ツール
Case study 5 Child safety – gaming, immersive worlds and the metaverse 事例5 子どもの安全性 - ゲーム、没入型世界、メタバース
Case study 6 Algorithms – AI impact assessment tool 事例6 アルゴリズム - AI影響評価ツール
Conclusion まとめ
Contributors 協力者
Endnotes 巻末資料

 

エグゼクティブサマリー...

Executive summary エグゼクティブサマリー
The Global Coalition for Digital Safety is a unique public-private platform that brings together  key stakeholders to tackle the issue of harmful content and conduct online. The coalition recognizes that the digital world has brought unprecedented opportunities for people worldwide to connect, learn and innovate. However, it also acknowledges that this new world has its share of challenges, particularly regarding digital safety. To address these challenges, the coalition has embarked on three workstreams: 1) the  Global Principles on Digital Safety, addressing the critical question of how international human rights principles translate into a digital context, aiming to advance digital safety in a rights-respecting way, drive multistakeholder alignment and enable positive behaviours and actions across the digital ecosystem, 2) a toolkit for digital safety design interventions and innovation, developing a “typology of online harms” aimed at facilitating cross-platform and cross-jurisdictional discussions, and identifying what technology, policy, processes and design interventions are needed to advance digital safety, and 3) a risk assessment framework, aiming to develop a cross-jurisdictional baseline framework for understanding and assessing digital safety risks.  デジタル・セーフティ世界連合は、オンライン上の有害なコンテンツや行為の問題に取り組むために、主要なステークホルダーを結集したユニークな官民プラットフォームである。この連合は、デジタル世界が世界中の人々につながり、学び、革新するための前例のない機会をもたらしたことを認識している。しかし、この新しい世界には、特にデジタルの安全に関する課題があることも認識している。これらの課題に対処するため、連合は3つのワークストリームに着手している: 1) デジタルセーフティに関するグローバル原則。国際的な人権原則をどのようにデジタルの文脈に反映させるかという重要な問題に取り組み、権利尊重の方法でデジタルセーフティを推進し、マルチステークホルダーの連携を促進し、デジタルエコシステム全体で前向きな行動と行為を可能にすることを目指す。2) デジタルセーフティのデザイン介入とイノベーションのためのツールキット、 プラットフォームや管轄を超えた議論を促進し、デジタル・セーフティを推進するために必要な技術、政策、プロセス、デザイン介入を特定することを目的とした「オンライン被害の類型」の開発、3)デジタル・セーフティのリスクを理解し評価するための管轄を超えた基本的枠組みの開発を目的としたリスク評価フレームワーク、である。
This paper is the first output of the third workstream, providing a risk assessment framework accompanied by a bank of case studies demonstrating how the framework might be applied in practice.  本論文は、3つ目のワークストリームの最初のアウトプットであり、リスク評価のフレームワークと、そのフレームワークが実際にどのように適用されるかを示す事例集を提供するものである。
This work takes place in an evolving landscape: until recently, organizations were undertaking digital safety risk assessments on a voluntary basis, now a growing number of regulations are being proposed and enacted provisioning risk assessments.  This framework draws on existing human rights frameworks, enterprise risk management best practices and evolving regulatory requirements to clarify the factors that should be used to clarify digital safety risks and sets out a methodology for how stakeholders should assess these risk factors in the digital ecosystem. It proposes a holistic approach that links risks and realized harms – or adverse impacts – in a cyclical process, ultimately leading to a virtuous circle and driving continuous improvement. It is harm and service-agnostic, aiming to serve all stakeholders. 最近まで、組織は自主的にデジタルセーフティリスク評価を実施していたが、現在では、リスク評価を規定する規制が提案され、制定されるケースが増加している。 このフレームワークは、既存の人権フレームワーク、エンタープライズリスクマネジメントのベストプラクティス、進化する規制要件に基づき、デジタルセーフティリスクを明確にするために使用すべき要因を明らかにし、デジタルエコシステムにおいて関係者がこれらのリスク要因を評価する方法について定めている。リスクと実現した危害、つまり有害な影響を循環的なプロセスで結びつけ、最終的に好循環をもたらし、継続的な改善を促す全体的なアプローチを提案している。害やサービスにとらわれず、すべてのステークホルダーに貢献することを目的としている。
The case studies highlight the variety and interconnectedness of existing risk assessment frameworks and approaches while substantiating the complexity of the subject matter, providing an overview of how existing frameworks are designed and leveraged and how a risk assessment framework can be applied in practice to a specific technology, type of harm or type of service. 事例では、既存のリスク評価のフレームワークやアプローチの多様性と相互関連性を強調するとともに、主題の複雑さを実証し、既存のフレームワークがどのように設計され活用されているか、リスク評価のフレームワークを特定の技術、危害の種類、サービスの種類に実際に適用することができるかについての概要を提供する。
The paper will be complemented by three forthcoming publications: 1) Typology of Online Harms: classification of online harms categories providing a common foundational language for multilateral stakeholder discussions, 2) Risk Factors, Metrics and Measurement: identification of characteristics that could contribute to adverse impacts, and metrics or measurement approaches that could be considered as part of risk assessments, and 3) Solution-Based Interventions: supporting companies steering towards more effective digital risk identification and reduction, harm prevention, mitigation and repair, drawing on Safety by Design principles and trust and safety best practices. この論文は、近日刊行予定の3つの出版物によって補完される予定である: 1) オンライン上の危害の類型:オンライン上の危害を分類し、多国間のステークホルダーによる議論に共通の基礎的言語を提供、2) リスク要因、測定基準、測定:悪影響に寄与しうる特性、リスク評価の一部として考慮できる測定基準や測定アプローチの特定、3) ソリューションに基づく介入:Safety by Designの原則や信頼と安全のベストプラクティスに基づき、より効果的にデジタルリスクの特定と低減、被害の予防、軽減と修復に向かう企業を支援。

 

 

| | Comments (0)

米国 CISA 拘束的運用指令23-02 インターネットに公開された管理インターフェイスからのリスクの軽減

こんにちは、丸山満彦です。

米国 CISAが「拘束的運用指令23-02 インターネットに公開された管理インターフェイスからのリスクの軽減」を公表していますね。。。Attack Surface Managaement

 

Cybersecurity and Infrastracture Security Agency; CISA

・2023.06.13 Binding Operational Directive 23-02

Binding Operational Directive 23-02 拘束的運用指令23-02
MITIGATING THE RISK FROM INTERNET-EXPOSED MANAGEMENT INTERFACES インターネットに公開された管理インターフェイスからのリスクの軽減
This page contains a web-friendly version of the Cybersecurity and Infrastructure Security Agency’s Binding Operational Directive 23-02: Mitigating the Risk from Internet-Exposed Management Interfaces. このページには、サイバーセキュリティ・インフラセキュリティ庁拘束的運用指令23-02「インターネットに公開された管理インターフェースからのリスクの軽減」が掲載されている。
A Binding Operational Directive is a compulsory direction to federal, executive branch, departments and agencies for purposes of safeguarding federal information and information systems. 44 U.S.C. § 3552(b)(1). Section 3553(b)(2) of title 44, U.S. Code, authorizes the Secretary of the Department of Homeland Security (DHS) to develop and oversee the implementation of Binding Operational Directives. Federal agencies are required to comply with these Directives. 44 U.S.C. § 3554(a)(1)(B)(ii). These Directives do not apply to statutorily defined “national security systems” or to certain systems operated by the Department of Defense or the Intelligence Community. 44 U.S.C. § 3553(b), (d), (e)(2), (e)(3). This Directive refers to the systems to which it applies as “Federal Civilian Executive Branch” systems, and to agencies operating those systems as “Federal Civilian Executive Branch” agencies. 拘束的運用指令とは、連邦政府の情報および情報システムを保護する目的で、連邦政府、行政府、各省庁に対する強制的な指示である。 44 U.S.C. § 3552(b)(1). 合衆国法典第 44 編第 3553 条(b)(2)は、国土安全保障省(DHS)の長官に拘束的運用指令の策定と実施を監督する権限を与えている。連邦政府機関は、これらの指令に従うことが要求される。 44 U.S.C. § 3554(a)(1)(B)(ii). これらの指令は、法令で定義された「国家安全保障システム」、または国防総省もしくは情報機関によって運営される特定のシステムには適用されない。 44 U.S.C. § 3553(b), (d), (e)(2), (e)(3). 本指令は、本指令が適用されるシステムを「連邦文民行政機関」システムと呼び、これらのシステムを運用する機関を「連邦文民行政機関」機関と呼ぶ。
Background 背景
As agencies and organizations have gained better visibility of their networks and improved endpoint detection and response, threat actors have adjusted tactics to evade these protections by targeting network devices supporting the underlying network infrastructure. Recent threat campaigns underscore the grave risk to the federal enterprise posed by improperly configured network devices. 機関や組織がネットワークの可視性を高め、エンドポイントの検出と対応を改善するにつれて、脅威者は、基盤となるネットワークインフラを支えるネットワークデバイスを標的とすることで、これらの保護を回避する戦術を調整してきました。最近の脅威キャンペーンは、不適切に設定されたネットワークデバイスが連邦企業にもたらす重大なリスクを浮き彫りにしている。
Threat actors have used certain classes of network devices to gain unrestricted access to organizational networks leading to full scale compromises. Inadequate security, misconfigurations, and out of date software make these devices more vulnerable to exploitation. The risk is further compounded if device management interfaces are connected directly to, and accessible from, the public-facing internet. Most device management interfaces are designed to be accessed from dedicated physical interfaces and/or management networks and are not meant to be accessible directly from the public internet. 脅威行為者は、特定のクラスのネットワークデバイスを使用して、組織のネットワークに無制限にアクセスし、本格的な侵害に至っている。不適切なセキュリティ、設定ミス、古いソフトウェアによって、これらのデバイスは悪用されやすくなっている。デバイス管理インターフェイスがインターネットに直接接続され、そこからアクセスできる場合、リスクはさらに深刻になります。ほとんどのデバイス管理インターフェースは、専用の物理インターフェースおよび/または管理ネットワークからアクセスするように設計されており、公共のインターネットから直接アクセスすることは想定されていない。
This Directive requires agencies to take steps to reduce the attack surface created by insecure or misconfigured management interfaces across certain classes of devices. 本指令は、特定のクラスのデバイスにおいて、安全でない、または誤った設定の管理インターフェイスによって生じる攻撃面を減らすための措置を講じることを機関に求めている。
Scope                                                            適用範囲                                                           
For the purposes of this Directive, a “networked management interface” is defined as a dedicated device interface that is accessible over network protocols and is meant exclusively for authorized users to perform administrative activities on a device, a group of devices, or the network itself. 本指令において、「ネットワーク管理インターフェース」とは、ネットワークプロトコルでアクセス可能な専用デバイスインターフェースであり、デバイス、デバイスのグループ、またはネットワーク自体に対する管理活動を行うために、許可されたユーザのみが使用できるものと定義される。
The requirements in this Directive apply only to devices meeting BOTH of the following criteria: 本指令の要件は、以下の基準の両方を満たすデバイスにのみ適用される:
1. Devices residing on or supporting federal information systems and/or networks that belong to one of the following classes: routers, switches, firewalls, VPN concentrators, proxies, load balancers, and out of band server management interfaces (such as iLo and iDRAC). 1. ルータ、スイッチ、ファイアウォール、VPN コンセントレータ、プロキシ、ロードバランサ、帯域外サーバ管理インターフェイス(iLo や iDRAC など)のいずれかに属する連邦情報システムおよび/またはネットワークに存在する、またはそれをサポートするデバイス。
2. Devices for which the management interfaces are using network protocols for remote management over public internet, including, but not limited to: Hypertext Transfer Protocol (HTTP), Hypertext Transfer Protocol Secure (HTTPS), File Transfer Protocol (FTP), Simple Network Management Protocol (SNMP), Teletype Network (Telnet), Trivial File Transfer Protocol (TFTP), Remote Desktop Protocol (RDP), Remote Login (rlogin), Remote Shell (RSH), Secure Shell (SSH), Server Message Block (SMB), Virtual Network Computing (VNC), and X11 (X Window System). 2. 管理インターフェイスが、公衆インターネット上でリモート管理するためのネットワークプロトコルを使用しているデバイス(以下を含むが、これに限定されない): ハイパーテキスト転送プロトコル(HTTP)、ハイパーテキスト転送プロトコルセキュア(HTTPS)、ファイル転送プロトコル(FTP)、簡易ネットワーク管理プロトコル(SNMP)、テレタイプネットワーク(Telnet)、Trivial File Transfer Protocol(TFTP)、リモートであるクリプト(RDP)、リモートログイン(rlogin)、リモートシェル(RSH)、セキュリティシェル(SSH)、サーバーメッセージブロック(SMB)、VNC、X11 (X Window System)。
This Directive does NOT apply to web applications and interfaces used for managing Cloud Service Provider (CSP) offerings including but not limited to, Application Programming Interfaces (APIs) or management portals. 本指令は、アプリケーション・プログラミング・インターフェース(API)や管理ポータルなど、クラウドサービスプロバイダ(CSP)の提供を管理するために使用されるウェブアプリケーションやインターフェースには適用されないが、これらに限定されない。
Zero Trust Architecture ゼロ・トラスト・アーキテクチャ
Zero Trust provides a collection of concepts and approaches designed to minimize uncertainty in enforcing accurate, least privilege per-request access decisions in information systems and services, recognizing that all networks must be viewed as potentially compromised.  Zero Trust Architecture is an enterprise approach to design and implement component relationships, workflow planning, and access policies around Zero Trust concepts. ゼロ・トラストは、情報システムおよびサービスにおいて、リクエストごとの正確な最小特権アクセス決定を実施する際の不確実性を最小化するために設計された概念およびアプローチの集合体であり、すべてのネットワークが潜在的に危険であると見なされなければならないことを認識する。 ゼロトラスト・アーキテクチャは、ゼロトラストの概念に基づき、コンポーネント関係、ワークフロー計画、アクセスポリシーを設計・実装するエンタープライズアプローチである。
For the purposes of this Directive, as outlined in the required actions section below, networked management interfaces are allowed to remain accessible from the internet on networks where agencies employ capabilities to mediate all access to the interface in alignment with OMB M-22-09, NIST 800-207, the TIC 3.0 Capability Catalog, and CISA's Zero Trust Maturity Model. 本指令の目的上、以下の必要な措置のセクションで概説するように、ネットワーク化された管理インターフェイスは、OMB M-22-09, NIST 800-207, TIC 3.0 Capability Catalog, 及び CISA の Zero Trust Maturity Model に沿って、インターフェイスへのすべてのアクセスを仲介する機能を機関が採用するネットワーク上で、インターネットからのアクセスを維持できるようにする。
Required Actions 必要な措置
All federal civilian executive-branch agencies are required to comply with the following actions for all federal information systems hosted by agencies or third parties on their behalf. すべての連邦文民行政機関は、機関または第三者がホストするすべての連邦情報システムに対して、以下の行動を遵守することが要求される。
1. Within 14 days of notification by CISA or discovery by an agency of a networked management interface in scope for this Directive, agencies will take at least one of the following actions: 1. 本指令の適用範囲にあるネットワーク管理インタフェースをCISAが通知、または機関が発見してから14日以内に、機関は以下のアクションのうち少なくとも1つを実施する:
a. Remove the interface from the internet by making it only accessible from an internal enterprise network (CISA recommends an isolated management network); a. エンタープライズ内部ネットワークからのみアクセスできるようにして、インターフェイスをインター ネットから削除する(CISA は、隔離された管理ネットワークを推奨している);
b. Deploy capabilities, as part of a Zero Trust Architecture, that enforce access control to the interface through a policy enforcement point separate from the interface itself (preferred action). b. ゼロトラストアーキテクチャの一部として、インタフェース自体とは別のポリシー実施ポイントを通じてインタフェースへのアクセス制御を実施する機能を導入する(好ましい措置)。
2. Agencies will implement technical and/or management controls to ensure that all management interfaces on existing and newly added devices, identified as in scope for this Directive, have at least one of the following protections in place: 2. 当局は、本指令の適用範囲として特定された既存及び新規追加デバイスのすべての管理インターフェイスに、以下の保護のうち少なくとも1つが適用されるように、技術及び/又は管理制御を実施する:
a. The interface is removed from the internet by making it only accessible from an internal enterprise network (CISA recommends an isolated management network); a. エンタープライズ内部ネットワークからのみアクセスできるようにすることで、インター フェースをインターネットから排除する(CISA は、隔離された管理ネットワークを推奨してい る);
b. The interface is protected by capabilities, as part of a Zero Trust Architecture, that enforce access control to the interface through a policy enforcement point separate from the interface itself (preferred action). b. ゼロトラストアーキテクチャの一部として、インタフェース自体とは別のポリシー実施ポイントを通じてインタフェースへのアクセス制御を実施する機能によってインタフェースが保護されている(望ましい措置)。
CISA Actions CISAのアクション
1. CISA will scan for devices and interfaces in scope of this Directive and notify agencies of all findings. 1. CISAは、本指令の適用範囲にあるデバイスとインタフェースをスキャンし、すべての発見事項を各機関に通知する。
2. CISA will provide federal agencies a reporting interface and standard remediation plan templates if remediation efforts exceed required timeframes. 2. CISAは、改善努力が要求される期間を超えた場合、報告インターフェースと標準的な改善計画テンプレートを連邦機関に提供する。
3. CISA will engage agencies to review status and provide technical expertise for hardening specific devices, as requested and as appropriate. 3. CISAは、要請に応じて、また必要に応じて、特定のデバイスのハードニングの状況を確認し、技術的な専門知識を提供するために、各省庁と連携する。
4. CISA will engage Agency CIOs, CISOs, and SAORMs throughout the escalation process, if necessary. 4. CISA は、必要に応じて、エスカレーション・プロセスを通じて、省庁の CIO、CISO、および SAORM を関与させる。
5. Within 2 years following the issuance of this Directive, CISA will review and update this Directive as needed to reflect changes in the general cybersecurity landscape and will revise guidance to help agencies better identify, track, and report the networked management interfaces they operate. 5. CISA は、本指令の発行後 2 年以内に、一般的なサイバーセキュリティの状況の変化を反映し て、必要に応じて本指令を見直し、更新し、機関が運用するネットワーク管理インタフェースの識別、 追跡、報告を改善するための指針を改訂する。
6. CISA will provide additional guidance to agencies via the CISA website, through updates to this Directive, and through individual engagements upon request (via [mail]). 6. CISA は、CISA のウェブサイト、本指令の更新、及び要請による個別対応([mail] 経由)を通じて、各省庁に追加のガイダンスを提供する予定である。
7. Within 6 months of issuance and yearly thereafter, CISA will submit a report on the status of Federal Civilian Executive Branch (FCEB), pertaining to their compliance with this Directive, to the Secretary of DHS and the Director of OMB. 7. CISAは、発行から6ヶ月以内及びその後毎年、連邦文民行政機関(FCEB)の本指令への準拠状況に関する報告書を、DHS長官及びOMB長官に提出する予定である。
Implementation Guidance 実施ガイダンス
Binding Operational Directive 23-02 Implementation Guidance assists federal agencies with implementation of the Directive requirements. While the primary audience for this document is FCEB agencies, other entities may find the content useful. At a minimum, CISA expects FCEB agencies to meet or exceed the guidance in this document. The guidance seeks to answer the most common questions asked by federal agencies. CISA will update this document with commonly asked questions and as new information becomes available. 拘束的運用指令 23-02 実施ガイダンスは、連邦政府機関による本指令要件の実施を支援するものである。この文書の主な対象者はFCEB機関であるが、他の機関もこの内容を有用と考えるかもしれない。CISAは、最低限、FCEB機関が本文書のガイダンスを満たすか、それを上回ることを期待する。本ガイダンスは、連邦政府機関から最もよく聞かれる質問に答えることを目的としている。CISAは、よくある質問や新しい情報が入手可能になった場合、この文書を更新する予定である。


ガイド...Q&A形式でわかりやすいです...

・2023.06.13 Binding Operational Directive 23-02 Implementation Guidance

 

1_20230615181401

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.06.11 経済産業省 「ASM(Attack Surface Management)導入ガイダンス~外部から把握出来る情報を用いて自組織のIT資産を発見し管理する~」(2023.05.29)

 

 

Continue reading "米国 CISA 拘束的運用指令23-02 インターネットに公開された管理インターフェイスからのリスクの軽減"

| | Comments (0)

2023.06.15

経団連 「男性の家事・育児」に関するアンケ―ト調査結果 (2023.06.05)

こんにちは、丸山満彦です。

経団連が、男性の家事・育児」に関するアンケ―ト調査結果 (2023.06.05)を公表していますね。。。

●日本経済団体連合会

・ 2023.06.05 [PDF] 男性の家事・育児」に関するアンケ―ト調査結果

20230615-54010

とても明るい話だと思いました。

今から15年ほど前に、ある商社の人事の方が言っていた話が記憶に残っています。

「日本で女性の社会進出が進まないのは、男性が、家事・育児をしないからなんですよね。。。で、女性の社会進出を進めようと、家事・育児をしない男性ばかり集まって議論するから、正解がでない。。。」

それを聞いて確かにそう思いました。そして、

「ただ、一企業が男性の家事・育児を支援しても、そのメリットを享受するのが、奥さんの会社で、自分の会社じゃないんですよね。。。」ともいっていて、それもそうだと思いました。

なので、経団連がこういう活動をしているというのは非常によいことだと思いました・・・

20230615-60124

 

1_20230615060501

 

 

一方、政治的な話では、2023.06.13に開催された「すべての女性が輝く社会づくり本部・男女共同参画推進本部合同会議」で、

日本を代表するプライム市場上場企業が2030年までに女性役員比率を30パーセント以上とすることを目指し、2025年を目途に女性役員を1名以上選任するよう努めるとする数値目標の設定や、各企業による行動計画の策定を促進します。

と発表しているんですよね。。。方向性としてはよいし、数値目標をおかないと加速しないというのは分かるのですが、数値目標が目的化し、無理な数値目標の設定は、弊害もあることを理解していないといけないと思うんですよね。。。

さて、そんな数値目標を設定した政治側の話です。WEFが公表しているジェンダー指数、2022年の報告書では、総合点で日本は146位中116位です。。。すごい順位ですよね。。。内閣府の男女共同参画局もびっくり。。。

そして、低順位の理由が圧倒的に政治ですからね。。。

まずは、「隗より始めよ」かもしれませんよね。。。ただ、

2_20230403063201

3_20230403064101

 

経済参画 教育 健康 政治参画 経済参画 教育 健康 政治参画 総合 国数
2006年 0.545 0.986 0.980 0.067 0.645 83 60 1 83 80 115
2007年 0.549 0.986 0.979 0.067 0.645 97 69 37 94 91 128
2008年 0.544 0.985 0.979 0.065 0.643 102 82 38 107 98 130
2009年 0.550 0.985 0.979 0.065 0.645 108 84 41 110 101 134
2010年 0.572 0.986 0.980 0.072 0.652 101 82 1 101 94 134
2011年 0.567 0.986 0.980 0.072 0.651 100 80 1 101 98 135
2012年 0.576 0.987 0.979 0.070 0.653 102 81 34 110 101 135
2013年 0.584 0.976 0.979 0.060 0.650 104 91 34 118 105 136
2014年 0.618 0.978 0.979 0.058 0.658 102 93 37 129 104 142
2015年 0.611 0.988 0.979 0.103 0.670 106 84 42 104 101 145
2016年 0.569 0.990 0.979 0.103 0.660 118 76 40 103 111 144
2017年 0.580 0.991 0.98 0.078 0.657 114 74 1 123 114 144
2018年 0.595 0.994 0.979 0.081 0.662 117 65 41 125 110 149
2020年 0.598 0.983 0.979 0.049 0.652 115 91 40 144 121 153
2021年 0.604 0.983 0.973 0.061 0.656 117 92 65 147 120 156
2022年 0.564 1.000 0.973 0.061 0.650 121 1 63 139 116 146

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.04.03 米国 米サイバー軍 科学・技術・サイバースペースの未来に図らずも挑戦した女性たち

・2023.03.14 CISA より多くの若い女性をサイバーセキュリティに導くためにガールスカウトUSAと連携を強化

・2023.03.14 CISAとWomen in CyberSecurityがパートナーシップを強化し、サイバーと技術におけるジェンダーギャップを解消へ

 

 

Continue reading "経団連 「男性の家事・育児」に関するアンケ―ト調査結果 (2023.06.05)"

| | Comments (0)

IFAC サステナビリティ報告書の保証 (2023.05.31)

こんにちは、丸山満彦です。

ほとんどの上場企業は、サステナビリティに関する報告書を公表していますが、そのサステナビリティ報告書について、何らかの保証を付与する方向にあるようですね。。。USAはちょっと傾向が違いますが、その保証は監査法人がするケースが多いようです。。。

 

・調査の企業のうち95%が、サステナビリティ報告書を公表し、

・そのうち、64%の企業が、なんらかの保証を得ていて、

・そのうち57%の企業が監査法人の保証を得ている。。。

 

International Federation of Accountants; IFAC 

・2023.05.31 A Deep Dive into Sustainability Assurance Engagements

A Deep Dive into Sustainability Assurance Engagements サステナビリティ保証業務への深堀り
This study, part of the State of Play Series, enhances understanding of current market practice for the assurance of environmental, social, and governance (ESG or sustainability) information, with a focus on who conducts assurance engagements, what standards are used, the scope of disclosure being assured, and how various assurance practitioners apply internationally recognized standards set by the International Auditing and Assurance Standards Board (IAASB). 本調査は、State of Playシリーズの一環として、環境・社会・ガバナンス(ESGまたはサステナビリティ)情報の保証業務に関する現在の市場慣行について理解を深めるもので、保証業務を行う者、使用する基準、保証対象となる開示の範囲、国際監査・保証基準審議会(IAASB)が定めた国際的に認められた基準の各保証実務家の適用方法などに焦点を当てる。
The results of this research are intended to inform regulators, policy makers, standard setters, and all assurance practitioners about global trends and current market practice. As the reporting and assurance of sustainability information evolves from voluntary to mandatory requirements, important decisions about who will conduct assurance, how these engagements will be overseen, and what scope of information will be assured, using what standards, must be made. この調査結果は、規制当局、政策立案者、基準設定者、そしてすべての保証実務者に、世界の動向と現在の市場慣行について情報を提供することを目的としている。サステナビリティ情報の報告・保証が自主的なものから義務的なものへと進化する中で、誰が保証を行うのか、どのように保証業務を監督するのか、どのような基準でどのような範囲の情報を保証するのかといった重要な決定を行わなければならない。

・[PDF

20230615-45135

 

 

 

・2023.02 The State of Play in Sustainability Assurance

The State of Play in Sustainability Assurance サステナビリティ・アシュアランスの現状
As the drive toward a global system for sustainability-related reporting continues, investors, regulators and policymakers are turning their attention to the important role of assurance in ensuring high-quality reporting. With the growing importance of—and reliance on—sustainability information, low-quality assurance is an emerging investor protection and financial stability risk. サステナビリティ関連の報告に関するグローバルなシステムの構築が進む中、投資家、規制当局、政策立案者は、高品質の報告を確保するための保証の重要な役割に注目している。サステナビリティ情報の重要性と信頼性が高まる中、低品質の保証は投資家保護と金融安定性の新たなリスクとなっている。
The State of Play in Sustainability Assurance benchmarking study captures and analyzes the extent to which companies are reporting and obtaining assurance over their sustainability disclosures, which assurance standards are being used, and which companies are providing the assurance service. The 2019-2021 Trends & Analysis report marks our third annual benchmarking study of global practice in sustainability disclosure and its assurance. サステナビリティ保証ベンチマーク調査「State of Play in Sustainability Assurance」は、企業がサステナビリティの開示についてどの程度報告し保証を得ているか、どの保証基準が使用されているか、どの企業が保証サービスを提供しているかを把握し分析している。2019-2021年のトレンド&分析レポートは、サステナビリティの開示とその保証に関するグローバルな実践に関するベンチマーク調査の3回目の年次報告となる。
Benchmarking Global Practice 世界の実践をベンチマークする
For the third consecutive year, our analysis indicates that while the frequency of reporting ESG information is very high and the incidence of assurance is on an upward trend, there continues to be a meaningful difference between reporting and assurance rates. 3年連続の分析では、ESG情報の報告頻度は非常に高く、保証の発生率は上昇傾向にあるものの、報告率と保証率の間には引き続き意味のある差があることが示された。
・95% of companies reviewed report some level of sustainability information. ・対象企業の95%が、ある程度のサステナビリティ情報を報告している。
・64% of companies that report sustainability information provide some level of assurance on it. ・サステナビリティ情報を報告している企業の64%が、その情報に対して何らかの保証を提供している。
・57% of these assurance engagements were conducted by audit or audit-affiliated firms. ・これらの保証業務の57%は、監査法人または監査法人関連会社によって実施された。
Mapping Global Reporting and Assurance Practices グローバルな報告・保証の実践のマッピング
This map shows a global snapshot of reporting and assurance practices including the rate of ESG assurance, the percentage companies reporting on ESG in a jurisdiction, and the percentage of assurance that is being provided by audit or affiliated firms. このマップは、ESG保証の実施率、ある法域でESGを報告している企業の割合、監査法人または監査関連会社によって提供されている保証の割合など、報告および保証の実務に関するグローバルなスナップショットを示している。
Download the map to learn more. 詳細については、マップをダウンロード

 

・[PDF]

20230615-45844

 

 

20230615-50133

 

| | Comments (0)

中国 意見募集 国家サイバースペース管理局「近接アドホックネットワーク情報サービス管理弁法(案)」(2023.06.06)

こんにちは、丸山満彦です。

中国の国家インターネット情報局が、WiFi、Bluetoothのなどを利用した近接ネットワークにより情報を公開したり受信したりするサービスに関して規制を考えているようですね。。。「近接アドホックネットワーク情報サービス管理弁法(意見募集案)」を公開し、意見募集をしています。。。

 

国家互联网信息办公室(国家サイバースペース管理局)

・2023.06.06 国家互联网信息办公室关于《近距离自组网信息服务管理规定(征求意见稿)》公开征求意见的通知

​国家互联网信息办公室关于《近距离自组网信息服务管理规定(征求意见稿)》公开征求意见的通知 国家サイバースペース管理局「近接アドホックネットワーク情報サービス管理弁法(意見募集案)」の公開協議に関する通知
为了规范近距离自组网信息服务,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,根据《中华人民共和国网络安全法》、《互联网信息服务管理办法》、《网络信息内容生态治理规定》等法律法规,国家互联网信息办公室起草了《近距离自组网信息服务管理规定(征求意见稿)》,现向社会公开征求意见。 国家サイバースペース管理局は、「中華人民共和国ネットワーク安全法」、「インターネット情報サービス管理弁法」、「ネットワーク情報コンテンツ環境ガバナンス規定」などの法律法規に基づき、近接アドホックネットワーク情報サービスを規制し、国家安全および社会公共の利益を保護し、国民、法人およびその他の組織の合法的権益を保護するため、「近接アドホックネットワーク情報サービス管理弁法(公開意見用草案)」を作成し、意見募集を開始した。 

 

 

近距离自组网信息服务管理规定 近接アドホックネットワーク情報サービスの管理に関する規定
(征求意见稿) (公開意見募集案)
第一条 为了规范近距离自组网信息服务,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,根据《中华人民共和国网络安全法》、《互联网信息服务管理办法》、《网络信息内容生态治理规定》等法律法规,制定本规定。 第1条 この規定は、中華人民共和国ネットワークセキュリティ法、インターネット情報サービス管理弁法、ネットワーク情報コンテンツ環境ガバナンス規定およびその他の法令に基づき、近接アドホックネットワーク情報サービスを規制し、国家安全および社会公共の利益を保護し、国民、法人およびその他の組織の正当な権利と利益を保護するために制定されるものである。
第二条 在中华人民共和国境内提供、使用近距离自组网信息服务,适用本规定。 第2条 中華人民共和国の領域における近接アドホックネットワーク情報サービスの提供および利用は、本規定に従うものとする。
本规定所称近距离自组网信息服务,是指利用蓝牙、Wi-Fi等信息技术,近距离即时组建网络并提供发布、接收信息的服务。 本規定でいう近接アドホックネットワーク情報サービスとは、Bluetooth、Wi-Fiおよびその他の情報技術を利用してネットワークを構築し、近接かつ瞬時に情報を公開および受信するサービスを提供することをいう。
本规定所称近距离自组网信息服务提供者,是指通过开发或运营的平台、系统、应用等,提供近距离自组网信息服务的主体。 本規定でいう近接アドホックネットワーク情報サービスの提供者とは、開発または運営するプラットフォーム、システムおよびアプリケーションを通じて近接アドホックネットワーク情報サービスを提供する主体をいう。
本规定所称近距离自组网信息服务使用者,是指使用近距离自组网信息服务发布或接收文字、图片、音视频等信息的主体,包括发布者与接收者。 本規定でいう近接アドホックネットワーク情報サービスの利用者とは、近接アドホックネットワーク情報サービスを利用して、テキスト、画像、音声、映像などの情報を公開したり受信したりする主体をいい、公開者、受信者などを含む。
第三条 提供近距离自组网信息服务,应当遵守宪法、法律和行政法规,弘扬社会主义核心价值观,坚持正确政治方向、舆论导向和价值取向,维护清朗网络空间。 第3条 近接アドホックネットワーク情報サービスの提供は、憲法、法律、行政法規を遵守し、社会主義の核心的価値を促進し、正しい政治方向、世論誘導、価値志向を堅持し、明確なサイバースペースを保たなければならない。
第四条 鼓励近距离自组网信息服务提供者优先采用安全可信的近距离自组网技术。 第4条 近接アドホックネットワーク情報サービスの提供者が、安全で信頼できる近接アドホックネットワーク技術を優先的に採用することを奨励する。
第五条 近距离自组网信息服务提供者应当遵守法律法规和国家有关规定,采取必要的安全管理制度和技术措施,提升风险防范能力,依法处置违法信息,防范和抵制传播不良信息,保存有关记录,并向网信等有关主管部门报告。 第5条 近接アドホックネットワーク情報サービス提供者は、法令および国家の関連規定を遵守し、必要なセキュリティ管理システムおよび技術的措置を採用し、リスク防止能力を高め、法令に従って違法情報を廃棄し、望ましくない情報の流布を防止・抵抗し、関連記録を残し、インターネット等の関連主管部門に報告しなければならない。
近距离自组网信息服务使用者不得利用该服务发布、转发违法信息;应当采取措施,防范和抵制制作、复制、发布不良信息;接收到违法和不良信息的,不得转发,有权向网信等有关主管部门投诉、举报。 近接アドホックネットワーク情報サービスの利用者は、サービスを利用して違法な情報を公開したり転送したりしてはならず、望ましくない情報の生産、複製、公開を防止し抵抗するための措置を講じなければならず、受け取った違法で望ましくない情報を転送してはならず、ネットレターなどの主管部門に苦情や報告をする権利を有する。
第六条 近距离自组网信息服务提供者在提供服务过程中,应当依照《中华人民共和国网络安全法》的规定,要求近距离自组网信息服务使用者提供真实身份信息。 第6条 近接アドホックネットワーク情報サービスの提供者は、サービスを提供する過程において、中華人民共和国ネットワークセキュリティ法の規定に従い、近接アドホックネットワーク情報サービスの利用者に真の身元情報の提供を求めるものとする。
第七条 近距离自组网信息服务提供者在提供服务过程中,应当以显著清晰的方式提供发布者和接收者之间的配对确认功能;每次配对需经发布者和接收者确认并同意,未经双方同意,不得默认自动配对。 第7条 近接アドホックネットワーク情報サービスの提供者は、サービスを提供する過程において、発行者と受信者の間のペアリング確認機能を顕著かつ明確に提供しなければならず、各ペアリングは発行者と受信者が確認し同意しなければならず、双方の同意なくデフォルトで自動ペアリングが行われることはない。
第八条 近距离自组网信息服务提供者在提供服务过程中,应当提供接收者关闭接收、选择接收、黑名单自动拒绝等接收功能,并默认设置为关闭接收状态;在提供选择接收服务时,应当综合考虑传输速度、用户需求等情况合理设置接收时长,超过接收时长后自动切换至关闭接收状态。 第8条 近接型アドホックネットワーク情報サービスの提供者は、サービスの提供過程において、受信者による受信終了、受信選択、ブラックリストによる自動拒否などの受信機能を提供し、受信状態をデフォルトで受信終了に設定する。受信選択サービスを提供する場合、受信時間は伝送速度、ユーザーのニーズ、その他の状況を考慮して合理的に設定し、受信時間を超過すると自動的に受信終了状態に移行しなければならない。
第九条 近距离自组网信息服务提供者在提供服务过程中,未经接收者同意,不得默认提供快照、缩略图等概要信息预览功能。 第9条 近接型アドホックネットワーク情報サービス提供者は、サービスの提供過程において、受信者の同意なく、スナップショット、サムネイル、その他の要約情報のプレビュー機能をデフォルトで提供してはならない。
第十条 近距离自组网信息服务提供者在提供服务过程中,应当提供使用提示和风险提示等功能。 第10条 近接アドホックネットワーク情報サービス提供者は、サービスの提供にあたり、利用上のヒントやリスクに関するヒントなどの機能を提供するものとする。
第十一条 近距离自组网信息服务提供者应当设置便捷投诉举报入口或提供投诉举报渠道,及时受理和处理关于近距离自组网信息服务的公众投诉、举报。 第11条 近接アドホックネットワーク情報サービス提供者は、近接アドホックネットワーク情報サービスに関する公衆からの苦情や通報を適時に受け付け、処理するために、便利な苦情・通報ポータルを設置し、または苦情・通報チャンネルを提供するものとする。
第十二条 近距离自组网信息服务使用者不得实施侵入网络、频繁发起连接、窃取网络数据等行为,不得对依法开展的无线电业务造成有害干扰。 第12条 近接アドホックネットワーク情報サービスの利用者は、ネットワークへの侵入、頻繁な接続開始、ネットワークデータの窃取等の行為を行ってはならず、法律に従って行われる無線サービスに有害な干渉を引き起こしてはならない。
第十三条 近距离自组网信息服务提供者应当制定网络安全事件应急预案,在发生危害网络安全的事件时,立即启动应急预案,采取相应处置措施,并按照规定向有关主管部门及时报告。 第13条 近接自営網情報サービス提供者は、ネットワークセキュリティ事故に対する緊急計画を策定し、ネットワークセキュリティを脅かす事故が発生した場合、直ちに緊急計画を開始し、対応する処理措置をとり、規定に従って速やかに関係主管機関に報告しなければならない。
第十四条 近距离自组网信息服务提供者上线具有舆论属性或社会动员能力的新技术、新应用、新功能,应当按照国家有关规定开展安全评估。发现存在安全隐患的,应当及时整改,直至消除相关安全隐患。 第14条 近接自営網情報サービス提供者は、世論属性または社会動員能力を有する新技術、アプリケーションおよび機能をオンライン化する場合、関連国家規定に基づいてセキュリティ評価を実施しなければならない。 セキュリティ上の危険が存在することが判明した場合、関連するセキュリティ上の危険が解消されるまで、適時に是正するものとする。
移动应用程序分发平台应当对安全评估情况进行核验。 モバイルアプリケーション配信プラットフォームは、セキュリティ評価を検証するものとする。
第十五条 鼓励和指导互联网行业组织建立健全近距离自组网信息服务行业准则,引导行业健康有序发展。 第15条 インターネット業界団体が近接自己組織型ネットワーク情報サービスの業界ガイドラインを制定・改善し、業界の健全かつ秩序ある発展を導くよう奨励・指導する。
第十六条 网信部门、工信主管部门、公安部门建立健全信息共享、会商通报等工作机制,依据职责对近距离自组网信息服务提供者开展日常监督检查,对存在问题的近距离自组网信息服务提供者开展专项督查。 第16条 インターネット情報部門、産業情報化主管部門、公安部門は、情報共有、協議、通報の作業メカニズムを確立・改善し、職務に従って近接アドホックネットワーク情報サービスの提供者に対して日常的に監督・検査を行い、問題のある近接アドホックネットワーク情報サービスの提供者に対して特別監督・検査を実施する。
第十七条 近距离自组网信息服务提供者应当依法配合网信部门、工信主管部门、公安部门开展监督检查工作,并提供必要的技术、数据等支持和协助。 第17条 近接型アドホックネットワーク情報サービス提供者は、インターネット情報部門、産業情報化主管部門、公安部門と協力し、法律に基づいて監督検査を行い、必要な技術およびデータのサポートと援助を提供する。
第十八条 近距离自组网信息服务提供者和使用者违反本规定的,由网信部门、工信主管部门、公安部门依据职责,依照《中华人民共和国网络安全法》、《互联网信息服务管理办法》、《网络信息内容生态治理规定》等相关法律法规的规定处理。 第18条 近接アドホックネットワーク情報サービスの提供者および利用者がこの規定に違反した場合、インターネット情報部門、産業情報化主管部門および公安部門は、それぞれの職務に従い、『中華人民共和国ネットワークセキュリティ法』、『インターネット情報サービス管理弁法』、『ネットワーク情報コンテンツ生態ガバナンス規定』およびその他の関連法令の規定に基づいて対処するものとします。
第十九条 本规定自 年 月 日起施行。 第19条 この規定は、年 月 日以降に施行する。

 

1_20210612030101

| | Comments (0)

米国 GAO 科学技術スポットライト:生成的AI

こんにちは、丸山満彦です。

米国のGAOが、生成的AIについての報告書を公表していますね。。。

機会

  1. 情報の要約
  2. 自動化
  3. 生産性の向上

懸念は、

  1. 信頼と監督への懸念
  2. 偽情報
  3. 経済的課題(著作権等)
  4. プライバシー

 

● U.S. GAO

・2023.06.13 Science & Tech Spotlight:Generative AI

 

Science & Tech Spotlight:Generative AI 科学技術スポットライト:生成的AI
GAO-23-106782 GAO-23-106782
Fast Facts 概要
Generative AI systems—like ChatGPT and Bard—create text, images, audio, video, and other content. This Spotlight examines the technology behind these systems that are surging in popularity. ChatGPTやBardのような生成的AIシステムは、テキスト、画像、音声、動画、その他のコンテンツを作成する。このスポットライトでは、人気急上昇中のこれらのシステムを支える技術を検証する。
These systems are trained to recognize patterns and relationships in massive datasets and can quickly generate content from this data when prompted by a user. These growing capabilities could be used in education, government, medicine, law, and other fields. これらのシステムは、膨大なデータセットのパターンと関係を認識するよう訓練されており、ユーザーに促されると、このデータからコンテンツを素早く生成することができる。こうした能力の向上は、教育、ガバナンス、医療、法律、その他の分野で利用される可能性がある。
But these systems can also generate "hallucinations"—misinformation that seems credible—and can be used to purposefully create false information. Other challenges include oversight and privacy concerns. しかし、これらのシステムは「幻覚」、つまり信憑性があるように見える誤情報を生成する可能性もあり、意図的に偽の情報を作り出すために使われる可能性もある。その他の課題としては、監視やプライバシーの問題がある。
Highlights ハイライト
Why This Matters なぜ重要なのか
Use of generative AI, such as ChatGPT and Bard, has exploded to over 100 million users due to enhanced capabilities and user interest. This technology may dramatically increase productivity and transform daily tasks across much of society. Generative AI may also spread disinformation and presents substantial risks to national security and in other domains. ChatGPTやBardのような生成的AIの利用は、機能の向上とユーザーの関心の高さから爆発的に増加し、1億人以上のユーザーが利用している。この技術は、生産性を劇的に向上させ、社会の多くの日常業務を変革する可能性がある。生成的AIは偽情報を広める可能性もあり、国家安全保障やその他の領域において大きなリスクをもたらす。
The Technology テクノロジー
What is it? Generative artificial intelligence (AI) is a technology that can create content, including text, images, audio, or video, when prompted by a user. Generative AI systems create responses using algorithms that are trained often on open-source information, such as text and images from the internet. However, generative AI systems are not cognitive and lack human judgment. 生成的AIとは何か?生成的人工知能(AI)とは、ユーザーに促されると、テキスト、画像、音声、動画などのコンテンツを作成できる技術である。生成的AIシステムは、多くの場合、インターネット上のテキストや画像などのオープンソースの情報に基づいて訓練されたアルゴリズムを使用して応答を作成する。しかし、生成的AIシステムは認知的ではなく、人間の判断力を欠いている。
Generative AI has potential applications across a wide range of fields, including education, government, medicine, and law. Using prompts—questions or descriptions entered by a user to generate and refine the results—these systems can quickly write a speech in a particular tone, summarize complex research, or assess legal documents. Generative AI can also create artworks, including realistic images for video games, musical compositions, and poetic language, using only text prompts. In addition, it can aid complex design processes, such as designing molecules for new drugs or generating programming codes. 生成的AIは、教育、政府、医療、法などの幅広い分野で応用される可能性がある。プロンプト(ユーザーが入力した質問や説明)を使って結果を生成し、改良することで、これらのシステムは、特定のトーンでスピーチを素早く書いたり、複雑な研究を要約したり、法律文書を評価したりすることができる。生成的AIはまた、ビデオゲーム用のリアルな画像、楽曲、詩的言語などの芸術作品を、テキストプロンプトだけで作成することもできる。さらに、新薬の分子設計やプログラミングコードの生成など、複雑な設計プロセスを支援することもできる。
How does it work? Generative AI systems learn patterns and relationships from massive amounts of data, which enables them to generate new content that may be similar, but not identical, to the underlying training data. They process and create content using sophisticated machine learning algorithms and statistical models. For example, large language models use training data to learn patterns in written language. Generative AI can then use models to emulate a human writing style. Generative AI can also learn to use many other data types, including programming codes, molecular structures, or images. どのように機能するのか?生成的AIシステムは、膨大な量のデータからパターンと関係を学習し、基礎となる学習データと似ているが同一ではない新しいコンテンツを生成することができる。高度な機械学習アルゴリズムと統計モデルを用いてコンテンツを処理し、生成する。例えば、大規模な言語モデルは、学習データを使って書き言葉のパターンを学習する。生成的AIは、モデルを使って人間の文体をエミュレートすることができる。生成的AIはまた、プログラミングコード、分子構造、画像など、他の多くのデータタイプの使用も学習できる。
The systems generally require a user to submit prompts that guide the generation of new content (see fig. 1). Many iterations may be required to produce the intended result because generative AI is sensitive to the wording of prompts. このシステムでは一般に、新しいコンテンツの生成を導くプロンプトをユーザーが提出する必要がある(図1参照)。生成的AIはプロンプトの文言に敏感であるため、意図した結果を生成するには何度も反復する必要があるかもしれない。
1_20230920131901
Figure 1. Example of a generative AI system creating an image from prompts. 図1. プロンプトから画像を生成する生成的AIシステムの例。
How mature is it? Advanced chatbots, virtual assistants, and language translation tools are mature generative AI systems in widespread use. Improved computing power that can process large amounts of data for training has expanded generative AI capabilities. As of early 2023, emerging generative AI systems have reached more than 100 million users and attracted global attention to their potential applications. For example, a research hospital is piloting a generative AI program to create responses to patient questions and reduce the administrative workload of health care providers. Other companies could adapt pre-trained models to improve communications with customers. どの程度成熟しているのか?高度なチャットボット、バーチャルアシスタント、言語翻訳ツールは、広く使われている成熟した生成的AIシステムである。トレーニングのために大量のデータを処理できるコンピューティング能力の改善により、生成的AIの能力は拡大している。2023年初頭の時点で、新興の生成的AIシステムは1億人以上のユーザーに達し、その応用の可能性に世界的な注目が集まっている。例えば、ある研究病院では、患者の質問に対する回答を作成し、医療プロバイダの事務作業を軽減するための生成的AIプログラムを試験的に導入している。他の企業は、顧客とのコミュニケーションを改善するために、事前に訓練されたモデルを適応させることができる。
Opportunities 機会
・Summarizing information. By rapidly aggregating a wide range of content and simplifying the search process, generative AI quickens access to ideas and knowledge and can help people more efficiently gather new information. For example, researchers can identify a new chemical for a drug based on an AI-generated analysis of established drugs. ・情報の要約。生成的AIは、幅広いコンテンツを迅速に集約し、検索プロセスを簡素化することで、アイデアや知識へのアクセスを迅速化し、人々が新しい情報をより効率的に収集するのを助けることができる。例えば、研究者はAIが生成した既存薬の分析に基づいて、新薬の化学物質を特定することができる。
・Enabling automation. Generative AI could help automate a wide variety of administrative or other repetitive tasks. For example, it could be used to draft legal templates, which could then be reviewed and completed by a lawyer. It can also improve customer support by creating more nuanced automated responses to customer inquiries. ・自動化を可能にする。自動化を可能にする。生成的AIは、様々な管理業務やその他の反復業務の自動化に役立つ可能性がある。例えば、法的なテンプレートのドラフトを作成し、それを弁護士が確認して完成させることができる。また、顧客からの問い合わせに対して、よりニュアンスの異なる自動応答を作成することで、カスタマーサポートを改善することもできる。
・Improving productivity. Because it is capable of quickly automating a variety of tasks, generative AI has the potential to enhance the productivity of many industries. Multiple studies and working papers have shown generative AI can enhance the speed of administrative tasks and computer programming, although users may need to edit the generated result. ・生産性の改善。生成的AIは様々なタスクを迅速に自動化できるため、多くの産業の生産性を向上させる可能性を秘めている。生成された結果をユーザーが編集する必要があるかもしれないが、生成的AIが事務作業やコンピューター・プログラミングのスピードを向上させることができることは、複数の研究やワーキングペーパーで示されている。
Challenges 課題
・Trust and oversight concerns. In June 2021, GAO identified key practices, such as a commitment to values and principles for responsible use, to help ensure accountability and responsible use of AI across the federal government and other entities. Generative AI systems can respond to harmful instructions, which could increase the speed and scale of real-world harms. For example, generative AI could help produce new chemical warfare compounds. Additionally, generative AI systems share challenges to oversight similar to other AI applications—such as assessing the reliability of data used to develop the model—because their inputs and operations are not always visible. The White House announced in May 2023 that a working group would provide, among other things, input on how best to ensure that generative AI is developed and deployed equitably, responsibly, and safely. Other agencies, such as the National Institute of Standards and Technology, have also promoted responsible use of generative AI. ・信頼と監督への懸念。2021年6月、GAOは、連邦政府やその他の事業体全体におけるAIの説明責任と責任ある利用を確保するために、責任ある利用のための価値観や原則へのコミットメントといった重要なプラクティスを特定した。生成的AIシステムは有害な指示に対応することができるため、実社会における危害のスピードと規模を増大させる可能性がある。例えば、生成的AIは新たな化学兵器化合物の生成に役立つ可能性がある。さらに、生成的AIシステムは、他のAIアプリケーションと同様に、モデルの開発に使用されるデータの信頼性を評価するなど、監視に対する課題を共有している。ホワイトハウスは2023年5月、生成的AIが公平かつ責任を持って安全に開発・導入されるための最良の方法について、ワーキンググループが意見を提供することを発表した。国立標準技術研究所など他の機構も、生成的AIの責任ある利用を推進している。
・False information. Generative AI tools may produce “hallucinations”—erroneous responses that seem credible. One reason hallucinations occur is when a user requests information not in the training data. Additionally, a user could use AI to purposefully and quickly create inaccurate or misleading text, thus enabling the spread of disinformation. For example, generative AI can create phishing e-mails or fake but realistic social media posts with misleading information. Further, bias in the training data can amplify the potential for harm caused by generative AI output. ・偽情報。生成的AIツールは、「幻覚」-信憑性があるように見える誤った反応-を生み出す可能性がある。幻覚が起こる理由の一つは、ユーザーが学習データにない情報を要求した場合である。さらに、ユーザーがAIを使って不正確な、あるいは誤解を招くような文章を意図的かつ迅速に作成し、偽情報の拡散を可能にする可能性もある。例えば、生成的AIは、フィッシングメールや、偽の、しかし現実的なソーシャルメディアの投稿を、誤解を招く情報で作成することができる。さらに、学習データにバイアスがかかると、生成的AIの出力による危害の可能性が増幅される。
・Economic issues. Generative AI systems could be trained on copyrighted, proprietary, or sensitive data, without the owner's or subject's knowledge. There are unresolved questions about how copyright concepts, such as authorship, infringement, and fair use, will apply to content created or used by generative AI. ・経済的問題。生成的AIシステムは、所有者やデータ主体が知らないうちに、著作権で保護されたデータ、所有権で保護されたデータ、機密データで学習される可能性がある。著作権、侵害、フェアユースといった著作権の概念が、生成的AIによって作成または使用されるコンテンツにどのように適用されるかについては、未解決の問題がある。
・Privacy risks. Specific technical features of generative AI systems may reduce privacy for users, including minors. For example, a generative AI system may be unable to “forget” sensitive information that a user wishes to delete. Additionally, if a user enters personally identifiable information, that data could be used indefinitely in the future for other purposes without the user's knowledge. Section 230 of the Communications Decency Act of 1996 shields online service providers and users from legal liability for hosting or sharing third-party content, but it is unclear how this statute might apply to AI-generating content systems and their creators. ・プライバシーのリスク。生成的AIシステムの特定の技術仕様は、未成年者を含む利用者のプライバシーを低下させる可能性がある。例えば、生成的AIシステムは、ユーザーが削除を希望する機密情報を「忘れる」ことができない可能性がある。さらに、ユーザーが個人を特定できる情報を入力した場合、そのデータは将来、ユーザーが知らないうちに他の目的で無期限に使用される可能性がある。1996年のコミュニケーション良識法第230条は、サードパーティ・コンテンツのホスティングや共有に関する法的責任からオンライン・サービス・プロバイダとユーザーを保護するが、この法律がAI生成的コンテンツ・システムとその作成者にどのように適用されるかは不明である。
・National security risks. Information about how and when some generative AI systems retain and use information entered into them is sparse or unavailable to many users, which poses risks for using these tools. For example, if a user enters sensitive information into a prompt, it could be stored and misused or aggregated with other information in the future. Furthermore, when systems are publically and internationally accessible, they could provide benefits to an adversary. For example, generative AI could help rewrite code making it harder to attribute cyberattacks. It may also generate code for more effective cyberattacks even by attackers with limited computer programming skills. ・国家安全保障上のリスク。生成的AIシステムの中には、入力された情報をいつ、どのように保持し、利用するのかについての情報が乏しかったり、多くのユーザーが利用できなかったりするものがあり、こうしたツールの利用にリスクが生じる。例えば、ユーザーがプロンプトに機密情報を入力した場合、それが保存され、悪用されたり、将来他の情報と統合されたりする可能性がある。さらに、システムが一般的かつ国際的にアクセス可能である場合、敵対者に利益を提供する可能性がある。例えば、生成的AIはコードの書き換えを支援し、サイバー攻撃の帰属を困難にする可能性がある。また、コンピュータのプログラミングスキルが低い攻撃者であっても、より効果的なサイバー攻撃のためのコードを生成できるかもしれない。
Policy Context and Questions 政策の背景と課題
・What AI guidelines can best ensure generative AI systems are used responsibly, and are generative AI systems following existing guidance? ・どのようなAIガイドラインが、生成的AIシステムが責任を持って使用されることを最も確実にできるか。
・What standards could be used or developed to evaluate the methods and materials used to train generative AI models and ensure fairness and accuracy of their responses for different use cases? ・生成的AIモデルを訓練するために使用される方法と材料を評価し、さまざまな使用ケースに対する反応の公正さと正確さを保証するために、どのような標準を使用または開発することができるか。
・How can public, private, academic, and nonprofit organizations strengthen their workforce to ensure responsible and accountable use of generative AI technologies? ・生成的AI技術の責任ある、説明可能な使用を保証するために、公共、民間、学術、非営利組織はどのように労働力を強化できるか?
・What privacy laws can be used or developed to protect sensitive information used or collected by generative AI systems, including information provided by minors? ・生成的AIシステムによって使用または収集される機密情報(未成年者から提供される情報を含む)を保護するために、どのような個人情報保護法を利用または開発することができるか?

 

 

・[PDF]

20230920-132121

| | Comments (0)

2023.06.14

インターポール 国連地域間犯罪司法研究所 (UNICRI) 法執行機関によるAIの責任ある利用のための青写真を発表

こんにちは、丸山満彦です。

インターポールと国連地域間犯罪司法研究所が「法執行機関によるAIの責任ある利用のための青写真」を発表していますね。。。

捜査機関もAIの活用は重要となるのですが、強力な権限をもっている機関が強力な道具を誤って使う時の影響の大きさというのも合わせて考える必要があるのでしょうね。。。

次の7つの文書・・・

Read Me Guide Read Meガイド
Organizational Roadmap 組織的なロードマップ
Introduction to Responsible AI Innovation 責任あるAIイノベーションの序文
Organizational Readiness Assessment Questionnaire 組織的な準備の評価質問票
Principles for Responsible AI Innovation 責任あるAIイノベーションのための原則
Responsible AI Innovation In Action 責任あるAIイノベーションの実践
Technical Reference Book 技術参考書
Risk Assesment Questionnaire リスクアセスメント質問票

 

1_20230614183301

Interpol

・2023.06.08 INTERPOL and UNICRI release blueprint for responsible use of AI by law enforcement

INTERPOL and UNICRI release blueprint for responsible use of AI by law enforcement INTERPOLとUNICRI、法執行機関によるAIの責任ある利用のための青写真を発表
AI Toolkit provides strategic and practical guidance for police executives and officers AIツールキットは、警察幹部および警察官向けに戦略的かつ実用的なガイダンスを提供する
SINGAPORE – As Artificial Intelligence (AI) continues to take the world by storm – revolutionizing how large sections of society function – it is increasingly clear that those seeking to make use of its potential must do so within a set framework. The use of this technology in law enforcement is no exception. シンガポール - 人工知能(AI)が世界を席巻し、社会の大部分に革命をもたらし続ける中、その可能性を活用しようとする人々は、一定の枠組みの中でそれを行う必要があることがますます明らかになっている。法執行におけるこの技術の使用も例外ではない。
With representatives from the global law enforcement community gathered for INTERPOL’s Police Science Congress in Singapore, INTERPOL and the United Nations Interregional Crime and Justice Research Institute (UNICRI) today unveiled their Toolkit for Responsible AI Innovation in Law Enforcement – a practical guide for law enforcement agencies on developing and deploying AI responsibly, while respecting human rights and ethics principles. シンガポールで開催されたインターポールの警察科学会議に世界の法執行機関の代表者が集まる中、インターポールと国連地域犯罪司法研究所(UNICRI)は本日、法執行機関が人権と倫理原則を尊重しながら、責任を持ってAIを開発・展開するための実践ガイドである「法執行における責任あるAIイノベーションのためのツールキット」を発表した。
Jointly developed by UNICRI’s Centre for AI and Robotics and INTERPOL’s Responsible AI Lab, with financial support from the European Union, the AI Toolkit is the response to a clear call by the law enforcement community for guidance in utilizing AI. AIツールキットは、UNICRIのAI・ロボティクスセンターとINTERPOLのResponsible AI Labが共同で開発し、欧州連合からの資金援助を受けて、法執行コミュニティがAI活用の指針を明確に求めていることに応えるものである。
Indeed, law enforcement agencies are already making extensive use of AI systems, or systems with AI components, but many of these tools may not have been specifically produced for a law enforcement context. 実際、法執行機関はすでにAIシステムやAIコンポーネントを搭載したシステムを幅広く活用しているが、これらのツールの多くは法執行機関向けに特別に製作されたものではないかもしれない。
Reflecting on this, INTERPOL Secretary General Jürgen Stock said: “AI is undeniably a game changer for criminals and law enforcement alike. However, it is imperative that we make the shift to the new technological era in a trustworthy, lawful and responsible manner, providing a clear, pragmatic, and most of all useful way.” このことを振り返り、INTERPOL事務局長のユルゲン・ストックは次のように述べている: "AIは紛れもなく、犯罪者と法執行機関にとってゲームチェンジャーである。 しかし、信頼に足る、合法的で責任ある方法で、明確で実用的、そして最も有用な方法を提供し、新しい技術時代へのシフトを行うことが不可欠である。"
Speaking of the partnership between UNICRI and INTERPOL that led to this innovative instrument, the Director of UNICRI, Antonia De Meo highlighted that “Together we have produced an invaluable blueprint to guide the global law enforcement community to leverage the promise of AI in a human rights compliant and ethical manner. This crucial resource is anchored in action-oriented research that enables us to harness technology within the confines of rule of law and respect for human rights.” UNICRIのディレクターであるアントニア・デ・メオは、この革新的なツールにつながったUNICRIとINTERPOLのパートナーシップについて、「私たちは共に、世界の法執行コミュニティが人権を遵守し倫理的な方法でAIの約束を活用するための指針となる貴重な青写真を作成した」と強調する。この重要なリソースは、法の支配と人権の尊重の範囲内でテクノロジーを活用することを可能にする、行動指向の研究に支えられている。
The AI Toolkit, which is comprised of seven distinct resources, underpinned by a comprehensive user guide, provides guidance for law enforcement executives and officers to navigate responsible AI innovation including: 包括的なユーザーガイドに支えられた7つの異なるリソースで構成されるAIツールキットは、法執行機関の幹部や役員が責任あるAIイノベーションをナビゲートするための指針を以下のように提供する:
・The technical foundations of AI ・AIの技術的基礎
・Guiding principles for responsible use, aligned with policing principles ・警察活動の原則に沿った、責任ある使用のための指導原則
・Organizational assessments on readiness and risk ・準備とリスクに関する組織的な評価
Envisaged as an evolving instrument, the AI Toolkit will be updated and revised regularly to ensure that law enforcement can keep pace with the rapid developments in this field and the associated legal and ethical challenges. This will be complemented with capacity building initiatives and support to countries looking to draft national guidelines or strategies. AIツールキットは、この分野の急速な発展とそれに伴う法的・倫理的課題に法執行機関が対応できるように、定期的に更新・改訂される予定である。このツールキットは、能力開発イニシアティブや、国家ガイドラインや戦略のドラフトを検討している国への支援で補完される。
Ultimately, national authorities retain full autonomy over their AI journey. The AI Toolkit will help law enforcement policymakers navigate the debates and discussions that form an integral part of this process. 最終的には、各国当局がAIを導入する際の完全な自治権を保持することになります。AIツールキットは、法執行政策立案者がこのプロセスの不可欠な部分を形成する議論と討論をナビゲートするのに役立つ。
The Toolkit for Responsible AI Innovation in Law Enforcement can be downloaded in the related documents below. 法執行における責任あるAIイノベーションのためのツールキット」は、以下の関連文書でダウンロードできる。
RELATED DOCUMENTS 関連資料
・[PDF] Read Me Guide Read Meガイド
20230614-180746
・[PDF] Organizational Roadmap 組織的なロードマップ
20230614-180753
・[PDF] Introduction to Responsible AI Innovation 責任あるAIイノベーションの序文
20230614-181630
・[PDF] Organizational Readiness Assessment Questionnaire 組織的な準備の評価質問票
20230614-180807
・[PDF] Principles for Responsible AI Innovation 責任あるAIイノベーションのための原則
20230614-180813
・[PDF] Responsible AI Innovation In Action 責任あるAIイノベーションの実践
20230614-180819
・[PDF] Technical Reference Book 技術参考書
20230614-180826
・[PDF] Risk Assesment Questionnaire リスクアセスメント質問票
20230614-180836

 

 

| | Comments (0)

ENISA サプライチェーンサイバーセキュリティのためのグッドプラクティス

こんにちは、丸山満彦です。

ENISAから、サプライチェーンサイバーセキュリティのためのグッドプラクティスの報告書が公表されています。eIDASもそうですが、NIS2対応でENISAもいろいろと活動をしていますね。。。

調査結果のまとめという感じですかね。。。

 

ENISA

・2023.06.13 Good Practices for Supply Chain Cybersecurity

Good Practices for Supply Chain Cybersecurity サプライチェーンサイバーセキュリティのためのグッドプラクティス
The report provides an overview of the current supply chain cybersecurity practices followed by essential and important entities in the EU, based on the results of a 2022 ENISA study which focused on investments of cybersecurity budgets among organisations in the EU. 本報告書は、EU内の組織におけるサイバーセキュリティ予算への投資に焦点を当てた2022年のENISA調査の結果に基づき、EUの必須・重要な事業体が現在行っているサプライチェーンサイバーセキュリティの実践について概観している。

 

・[PDF]

20230614-60323

 

・目次...

1.   INTRODUCTION  1.   序文 
1.1   SUPPLY CHAIN IN THE NIS2 DIRECTIVE  1.1 NIS2指令におけるサプライチェーン 
1.2   AIM AND AUDIENCE  1.2 目的と対象者 
1.3   METHODOLOGY AND STRUCTURE  1.3 方法論と構造 
2.   CURRENT PRACTICES  2.   現在の実践 
2.1   FINDINGS  2.1 調査結果 
2.2   SUMMARY  2.2 まとめ 
3.   SUPPLY CHAIN CYBERSECURITY GOOD PRACTICES  3.   サプライチェーンサイバーセキュリティのグッドプラクティス 
3.1   STRATEGIC CORPORATE APPROACH  3.1 戦略的な企業アプローチ 
3.2   SUPPLY CHAIN RISK MANAGEMENT  3.2 サプライチェーンリスクマネジメント 
3.3   SUPPLIER RELATIONSHIP MANAGEMENT  3.3 サプライヤーとの関係管理 
3.4   VULNERABILITY HANDLING  3.4 脆弱性の取り扱い 
3.5   QUALITY OF PRODUCTS AND PRACTICES FOR SUPPLIERS AND SERVICE PROVIDERS  3.5 サプライヤー及びサービスプロバイダーに対する製品及び実務の品質 
4.   CHALLENGES  4.   課題 
REFERENCES  参考文献 
ANNEX A: RECENT SUPPLY CHAIN ATTACKS  附属書 A:最近のサプライチェーンにおける攻撃事例 
ANNEX B: STANDARDS AND GOOD PRACTICES  附属書 B:標準及び優良慣行 
ANNEX C: TERMINOLOGY  附属書 C:用語集 

 

エグゼクティブサマリー...

EXECUTIVE SUMMARY  エグゼクティブサマリー 
Directive (EU) 2022/2555 (the NIS2 directive) [1] requires Member States to ensure that essential and important entities take appropriate and proportionate technical, operational and organisational measures to manage the risks posed to the security of network and information systems, which those entities use in the provision of their services. Supply chain cybersecurity is considered an integral part of the cybersecurity risk management measures under Article 21(2) of the NIS2 directive.  指令(EU)2022/2555(NIS2指令)[1]は、必須かつ重要な事業体が、そのサービスの提供において使用するネットワークおよび情報システムのセキュリティにもたらされるリスクを管理するために、適切かつ比例した技術、運用および組織的な措置をとることを、加盟国に求めています。サプライチェーンのサイバーセキュリティは、NIS2指令の第21条2項に基づくサイバーセキュリティリスクマネジメントの不可欠な部分と考えられています。
The report provides an overview of the current supply chain cybersecurity practices followed by essential and important entities in the EU, based on the results of a 2022 ENISA study which focused on investments of cybersecurity budgets among organisations in the EU.  本報告書は、EU内の組織におけるサイバーセキュリティ予算への投資に焦点を当てた2022年のENISA調査の結果に基づき、EUの重要な事業体が現在行っているサプライチェーンのサイバーセキュリティ対策の概要を示しています。
Among the findings the following points are observed.  調査結果の中で、以下の点が確認されました。
• 86 % of the surveyed organisations implement information and communication technology / operational technology (ICT/OT) supply chain cybersecurity policies.  ・調査対象組織の86 %が、情報通信技術/運用技術(ICT/OT)サプライチェーンサイバーセキュリティポリシーを実施している。
• 47 % allocate budget for ICT/OT supply chain cybersecurity.  ・47 %がICT/OTサプライチェーンサイバーセキュリティのための予算を割り当てている。
• 76 % do not have dedicated roles and responsibilities for ICT/OT supply chain cybersecurity.  ・76 %は、ICT/OTサプライチェーンサイバーセキュリティのための専任の役割と責任を持っていない。
• 61 % require security certification from suppliers, 43% use security rating services and 37% demonstrate due diligence or risk assessments. Only 9 % of the surveyed organisations indicate that they do not evaluate their supply chain security risks in any way.  ・61 %がサプライヤーにセキュリティ認証を要求し、43 %がセキュリティ評価サービスを利用し、37 %がデューデリジェンスまたはリスク評価を実施している。調査対象組織のうち、サプライチェーンのセキュリティリスクを何ら評価していないと回答したのはわずか9%であった。
• 52 % have a rigid patching policy, in which only 0 to 20 % of their assets are not covered. On the other hand,  ・52 %が厳格なパッチ適用方針をとっており、その中でカバーされていないのは資産の0~20 %に過ぎない。その一方で 
• 13.5 % have no visibility over the patching of 50 % or more of their information assets.  ・13.5 %は、50 %以上の情報資産に対するパッチ適用を可視化できていない。
• 46 % patch critical vulnerabilities within less than 1 month, while another 46 % patch critical vulnerabilities within 6 months or less.  ・また、46%は重要な脆弱性を1ヶ月以内にパッチしており、さらに46%は重要な脆弱性を6ヶ月以内にパッチしている。
The report also gathers good practices on supply chain cybersecurity derived from European and international standards. It focuses primarily on the supply chains of ICT or OT. Good practices are provided and can be implemented by customers (such as organisations identified as essential and important entities under the NIS2 directive) or their respective suppliers and providers. The good practices cover five areas, namely:  また、本報告書は、欧州および国際的な基準から得られたサプライチェーンのサイバーセキュリティに関するグッドプラクティスを集めている。主にICTやOTのサプライチェーンに焦点をあてている。グッドプラクティスは、顧客(NIS2指令で必須・重要事業体と認定された組織など)またはそのサプライヤーやプロバイダーが実施できるように提供されている。グッドプラクティスは、次の5つの分野をカバーしている: 
• strategic corporate approach;  ・戦略的な企業アプローチ
• supply chain risk management;  ・サプライチェーンリスクマネジメント
• supplier relationship management;  ・サプライヤーリレーションシップマネジメント
• vulnerability handling;  ・脆弱性の取り扱い; 
• quality of products and practices for suppliers and service providers.  ・製品の品質とサプライヤーおよびサービスプロバイダーに対する慣行である。
Finally, the report concludes the following.  最後に、報告書は次のように結論付けている。
• There is confusion with respect to terminology around the ICT/OT supply chain.  ・ICT/OTのサプライチェーンをめぐる用語に関して混乱がある。
• Organisations should establish a corporate-wide supply chain management system based on third party risk management (TRM) and covering risk assessment, supplier relationship management, vulnerability management and quality of products.  ・組織は、第三者リスクマネジメント(TRM)に基づき、リスクアセスメント、サプライヤー関係管理、脆弱性管理、製品の品質を網羅する全社的なサプライチェーンマネジメントシステムを確立すべきである。
• Good practices should cover all various entities which play a role in the supply chain of ICT/OT products and services, from production to consumption.  ・グッドプラクティスは、生産から消費に至るまで、ICT/OT 製品・サービスのサプライチェーンで役割を果たすすべての様々な主体を対象とする必要がある。
• Not all sectors demonstrate the same capabilities concerning ICT/OT supply chain management.  ・すべての部門が ICT/OT のサプライチェーン・マネジメントに関して同じ能力を発揮するわけではない。
• The interplay between the NIS2 directive and the proposal for a cyber resilience act or other legislation, sectorial or not, which provides cybersecurity requirements for products and services, should be further examined.  ・NIS2 指令と、製品およびサービスに対するサイバーセキュリティ要件を規定するサイバーレジリエンス法 または他の法律の提案(部門別かどうかは問わない)との相互作用は、さらに検討されるべきである。

 

[1] Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive) (OJ L 333, 27.12.2022, p. 80). https://eur-lex.europa.eu/eli/dir/2022/2555

 

 

 

 

| | Comments (0)

ENISA トラストサービス-eIDASエコシステムのクラウドへの安全な移転

こんにちは、丸山満彦です。

これからの方向性ですかね。。。欧州は議論が進んでいますが、日本はどうなんでしょうか?

 

ENISA

・2023.06.12 Trust Services & Digital Wallets: Moving to the Cloud and Remote Identity Proofing

Trust Services & Digital Wallets: Moving to the Cloud and Remote Identity Proofing トラストサービス&デジタルウォレット: クラウドへの移行とリモートIDプルーフィング
In order to address the cybersecurity questions of remote identity proofing, the European Union Agency for Cybersecurity (ENISA) organised a workshop to support the area of Trust Services and Digital Wallets and published a report on moving trust services to the cloud. 欧州連合サイバーセキュリティ機関(ENISA)は、遠隔IDプルーフィングに関するサイバーセキュリティ上の疑問を解決するため、トラストサービスとデジタルウォレットの分野を支援するワークショップを開催し、トラストサービスのクラウドへの移行に関する報告書を発表した。
Report on Trust Services: Secure Move to the Cloud of the eIDAS ecosystem トラストサービスに関する報告書: eIDASエコシステムのクラウドへの安全な移行について
For the purpose of the report, ENISA conducted a survey with more than 120 stakeholders from over 29 countries in the EU and globally. The survey allowed to get an insight of practical experiences of Trust Service Providers, Conformity Assessment Bodies, Supervisory Bodies and Cloud Service Providers regarding the transition of trust services to the cloud. 報告書の作成にあたり、ENISAはEUおよび世界の29カ国以上から120名以上の関係者にアンケートを実施した。 この調査により、トラストサービスのクラウドへの移行に関するトラストサービスプロバイダー、適合性評価機関、監督機関、クラウドサービスプロバイダーの実務経験を把握することができた。
Moving trust services to the cloud must be understood as an ongoing process that has to be followed step by step. While some services – such as the validation of signatures, registered delivery, time stamp or signature preservation – are moved rather quickly, other services – such as the issuance of certificates and remote control over the signing device – require in-depth analysis and preparation. The transition of data to the cloud has to be secure at all times and, in the best case, must remain in the data centre of the trust services provider. 信頼サービスのクラウドへの移行は、一歩一歩進めていかなければならない継続的なプロセスとして理解する必要がある。署名の検証、書留、タイムスタンプ、署名の保存など、すぐに移行できるサービスもあれば、証明書の発行や署名装置のリモートコントロールなど、綿密な分析と準備が必要なサービスもある。クラウドへのデータ移行は常に安全でなければならず、最良のケースでは、トラストサービスプロバイダーのデータセンターに留まる必要がある。
This report has given a detailed overview of the issues to be addressed for such a transition, including the related challenges, impediments and opportunities. 本報告書では、このような移行に取り組むべき課題、阻害要因、機会について詳しく解説した。
Workshop on Remote Video Identification: Attacks and Foresight 遠隔ビデオ識別に関するワークショップ: 攻撃と予見
The workshop was the occasion for ENISA to publish its report exploring the secure move to the cloud of the eIDAS ecosystem. In cooperation with the European Competent Authorities for Trust Services (ECATS) expert group, ENISA organised a workshop on 10 May 2023 in Amsterdam, Netherlands. The purpose of the workshop was to explore and discuss the latest national implementations, existing and emerging attacks, and the security measures envisaged for the protection of remote identity proofing across the EU. このワークショップを機に、ENISAはeIDASエコシステムのクラウドへの安全な移行を検討する報告書を発表した。欧州トラストサービス権限機関(ECATS)専門家グループと協力して、ENISAは2023年5月10日にオランダのアムステルダムでワークショップを開催した。このワークショップの目的は、最新の各国での実装、既存の攻撃と新たな攻撃、EU全域での遠隔IDプルーフィングの保護に想定されるセキュリティ対策について調査・議論することであった。
Over 100 participants attended the workshop and included representatives from Supervisory Bodies, Identity and trust service providers, conformity assessment bodies, standardisation bodies and research community. ワークショップには、監督機関、アイデンティティおよびトラストサービスプロバイダー、適合性評価機関、標準化機関、研究コミュニティの代表者ら100人以上が出席した。
The workshop addressed the following main challenges: ワークショップでは、以下のような主な課題が取り上げられた:
・lack of EU legislation harmonisation; ・EU法の調和がとれていない;
・how to keep up with technological advancements connected to AI; ・AIに関連する技術的進歩にどのように対応するか;
・the testing and performance measuring landscape; ・テストと性能測定の状況
・how to continuously follow the supply chain of products and services. ・製品・サービスのサプライチェーンを継続的にフォローする方法。
Access the workshop’s summary and presentations here ワークショップの概要とプレゼンテーションについては、こちらをご覧ください。
Meeting of the European Competent Authorities for Trust Services (ECATS) Expert Group 欧州トラストサービス機関(ECATS)専門家グループ会議
The Dutch Supervisory Authority hosted the 21st meeting of the ECATS on 11 and 12 May, back-to-back with the meeting of FESA (Forum of European Supervisory Authorities). オランダ監督庁は、FESA(欧州監督機関フォーラム)の会議と並行して、5月11日と12日にECATSの第21回会議を主催した。
The group discussed latest developments in eIDAS2, the connection between the upcoming implementation of the NIS 2 and eIDAS2, as well as updates on standardisation and certification in relation to trust services. ECATSでは、eIDAS2の最新動向、NIS 2の導入とeIDAS2の関連性、トラストサービスに関連する標準化と認証に関する最新情報を議論した。
The ECATS EG is the informal group focusing to facilitates voluntary and informal collaboration between competent authority experts from EU Member States, European Economic Area (EEA) and European Free Trade Association (EFTA) States, EU Candidate countries and other relevant stakeholders to ensure smooth and secure functioning of trust services. ECATS EGは、EU加盟国、欧州経済領域(EEA)、欧州自由貿易連合(EFTA)諸国、EU候補国、その他の関連ステークホルダーの所轄官庁専門家が、トラストサービスを円滑かつ安全に機能させるために、自主的かつ非公式な協力を促進することを目的とした非公式グループである。
Save the date for the next Trust Services and eID Forum 次回のTrust Services and eID Forumの開催日
The Trust Services Forum will be renamed Trust Services and eID Forum and its 9th edition will take place on 11 -12 October 2023 in Vienna, Austria back-to-back with the 15th Certificate Authority (CA) Day. トラストサービスフォーラムは、トラストサービス&eIDフォーラムに名称を変更し、第9回を2023年10月11日~12日にオーストリア・ウィーンで、第15回認証局(CA)デーと同時開催する予定である。
Further Information 詳細情報
Trust Services-Secure move to the cloud of the eIDAS ecosystem - ENISA report 2023 トラストサービス-eIDASエコシステムのクラウドへの安全な移行-ENISA報告書2023年版
ENISA topic on Trust Service トラストサービスに関するENISAのトピック
ENISA topic on Incident Reporting インシデント報告書に関するENISAのトピック
Remote ID Proofing — ENISA (europa.eu) リモートIDプルーフィング - ENISA (europa.eu)
Security Framework for Qualified Trust Service Providers – ENISA report 2021 認定トラストサービスプロバイダのためのセキュリティフレームワーク - ENISA報告書2021年
The electronic identification and trust services for electronic transactions in the internal market Directive (eIDAS regulation) 域内市場における電子取引のための電子識別およびトラストサービスに関する指令(eIDAS規制)

 

 

・2023.06.12 Trust Services-Secure move to the cloud of the eIDAS ecosystem

Trust Services-Secure move to the cloud of the eIDAS ecosystem トラストサービス-eIDASエコシステムのクラウドへの安全な移行
This report includes a detailed analysis on the different technical requirements that must be addressed considering the relevant standards. It also gives an overview of practical experiences on the move of trust services to the cloud, based on the results of a survey conducted with over 120 participants. The report finds that there are many existing requirements on the TSP side that can be considered and potentially applied to cloud service providers (CSPs). 本報告書では、関連する規格を考慮して対処しなければならないさまざまな技術的要件について、詳細な分析を行っている。また、120名以上の参加者を対象に実施したアンケート結果に基づき、トラストサービスのクラウド化に関する実践的な経験の概要も紹介している。本報告書では、クラウドサービスプロバイダー(CSP)に適用できる可能性のある、TSP側の既存要件が多数存在することを明らかにしている。

 

・[PDF]

20230614-05433

 

目次...

1 INTRODUCTION TO EIDAS, TSPS AND THE CLOUD  1 EIDAS、TSPS、クラウドへの序文 
1.1. eIDAS TRUST SERVICES  1.1. eIDAS TRUST SERVICES(イーダス・トラスト・サービス 
1.2. STRUCTURE OF THE REPORT  1.2. 報告書の構成 
1.3. WHAT IS IN THE CLOUD  1.3. クラウドにあるもの 
1.3.1. Cloud computing  1.3.1. クラウドコンピューティング 
1.3.2. General purpose of cloud platforms  1.3.2. クラウドプラットフォームの一般的な目的 
1.4. USE OF CLOUD SEVICES IN SUPPORT OF TRUST SERVICES  1.4. トラストサービスのサポートにおけるクラウドサービスの利用 
1.4.1. Main cloud service provisions  1.4.1. 主なクラウドサービスの規定 
2 GENERAL REQUIREMENTS APPLICABLE TO TSPS AND CSPS  2 TSPS 及び CSP に適用される一般要件 
2.1. OVERVIEW OF THE REQUIREMENTS FOR TRUST SERVICES  2.1. トラストサービスに関する要求事項の概要 
2.2. INFORMATION SECURITY REQUIREMENTS OF CLOUD SERVICE  2.2. クラウドサービスにおける情報セキュリティ要件 
2.2.1. ISO standards  2.2.1. ISO規格 
2.2.2. Cloud Security Alliance STAR self-assessment and certification  2.2.2. クラウドセキュリティアライアンスSTARの自己評価と認証 
2.2.3. EU cloud certification scheme  2.2.3. EUのクラウド認証スキーム 
2.2.4. EU GDPR  2.2.4. EU GDPR 
2.2.5. NIS 2 Directive  2.2.5. NIS 2指令 
3 PROVISION OF SPECIFIC TRUST SERVICES IN THE CLOUD  3 クラウドにおける特定信用サービスの提供 
3.1. COMPARISON OF GENERAL CSP STANDARDS WITH GENERAL TSP REQUIREMENTS  3.1. 一般的なCSP標準と一般的なTSP要求事項の比較 
3.1.1. Information security management  3.1.1. 情報セキュリティ管理 
3.1.2. Privacy  3.1.2. プライバシー 
3.1.3. Risk assessment and policy and security requirements  3.1.3. リスクアセスメントとポリシー、セキュリティ要件 
3.2. GENERAL CONCLUSIONS  3.2. 一般的結論 
3.3. OPERATING TRUST SERVICES IN THE CLOUD  3.3. クラウドにおけるトラストサービスの運用 
3.3.1. Certificate issuance  3.3.1. 証明書の発行 
3.3.2. Remote signing service using cloud services  3.3.2. クラウドサービスを利用したリモート署名サービス 
3.3.3. Time stamping  3.3.3. タイムスタンプ付与 
3.3.4. e-delivery services  3.3.4.電子納品サービス 
3.3.5. Signature Preservation services  3.3.5. 署名保存サービス 
3.3.6. Signature validation  3.3.6. 署名の検証 
3.4. PRACTICAL EXPERIENCES  3.4. 実践経験 
3.5. GENERAL CONCLUSIONS  3.5. 一般的な結論 
4 EVALUATION OF TRUST SERVICES IN THE CLOUD  4 クラウドにおけるトラストサービスの評価 
4.1. ACCREDITATION AND CONFORMITY ASSESSMENT SCHEME UNDER eIDAS  4.1. eIDASに基づく認定と適合性評価スキーム 
4.2. PRACTICAL EXPERIENCES  4.2. 実践的な経験 
5 CONCLUSIONS  5 結論 
6 BIBLIOGRAPHY/REFERENCES  6 書誌・参考文献 
6.1. BIBLIOGRAPHY  6.1. 書誌情報 
6.2. ENISA PUBLICATIONS  6.2. ENISA出版 
6.3. APPLICABLE LEGISLATION/REGULATION  6.3. 適用される法律/規制 
7 ANNEX – SURVEY RESULTS  7 附属書-調査結果 
7.1. TTUST SERVICE PROVIDERS  7.1. TTUSTサービスプロバイダー 
7.2. CLOUD SERVICE PROVIDERS  7.2. クラウドサービスプロバイダー 
7.3. PROVIDERS OF SOLUTIONS TO TSPs  7.3. TSP向けソリューションのプロバイダー 
7.4. NATIONAL AUTHORITIES  7.4. 国家機関 
7.5. CONFORMITY ASSESSMENT BODIES  7.5. 適合性評価機関 

 

エグゼクティブサマリー...

EXECUTIVE SUMMARY  エグゼクティブサマリー 
Since Regulation (EU) No 910/2014 on electronic identification and trust services for electronic transactions (hereafter the eIDAS regulation or eIDAS) (1) entered into force in July 2016, the EU has offered a trust framework for online and digital transactions in the EU. Qualified trust services (QTS), as defined in the regulation, are the core of the framework establishing trust between businesses, EU Member States and individuals. Not only has eIDAS established trust in the EU, but also opened a new market for trust service providers (TSPs). With over 200 companies listed in the EU trusted list of service providers, the market is developing constantly, changing and adapting to its environment.  2016年7月に電子取引のための電子的識別およびトラストサービスに関する規則(EU)No 910/2014(以下、eIDAS規則またはeIDAS)(1)が発効して以来、EUではオンラインおよびデジタル取引に対する信頼の枠組みが提供されている。同規則で定義されたQualified Trust Services(QTS)は、企業、EU加盟国、個人間の信頼を確立する枠組みの中核となるものである。eIDASはEUにおける信頼を確立しただけでなく、トラストサービスプロバイダー(TSP)にとっても新たな市場を開拓した。EUの信頼できるサービスプロバイダーのリストには200社以上が掲載されており、市場は絶えず発展し、変化し、環境に適応している。
Clouds and cloud computing nowadays are a commonly used platform for sharing and storing data. They can be used for many purposes and are often an inherent part of large, small and medium-sized enterprises. The benefits of using clouds are flexibility, cost effectiveness, the easy transfer of data and the availability to extend services as usage grows. In recent years, TSPs have been moving their services to the cloud in order to take advantage of these benefits. Many providers have already moved all or parts of their services to the cloud. Cloud providers have realised their market goals for this transition and conformity assessment bodies (CABs) are investigating the means to audit trust services from the cloud.  クラウドとクラウドコンピューティングは現在、データの共有と保存のための一般的なプラットフォームとして使用されている。様々な用途に利用でき、大企業、中小企業に内在していることが多い。クラウドを利用する利点は、柔軟性、費用対効果、データの容易な転送、利用の拡大に応じてサービスを拡張することが可能なことである。近年、TSPはこれらの利点を生かすために、サービスのクラウド化を進めている。すでに多くのプロバイダーが、自社サービスの全部または一部をクラウドに移行している。クラウドプロバイダーはこの移行に向けた市場目標を実現し、適合性評価機関(CAB)は、クラウドからのトラストサービスを監査する手段を検討している。
This report includes a detailed analysis on the different technical requirements that must be addressed considering the relevant standards. It also gives an overview of practical experiences on the move of trust services to the cloud, based on the results of a survey conducted with over 120 participants. The report finds that there are many existing requirements on the TSP side that can be considered and potentially applied to cloud service providers (CSPs). The two most important standards against which conformance is often assessed by CSPs and which have much in common with the standards for trust services are:   本報告書では、関連する規格を考慮して対処しなければならないさまざまな技術的要件について詳細に分析している。また、120名以上の参加者を対象に実施した調査結果に基づき、トラストサービスのクラウドへの移行に関する実務経験の概要を説明している。本報告書では、クラウドサービスプロバイダー(CSP)に適用できる可能性のある、TSP側の既存要件が多数存在することを明らかにしている。CSPが適合性を評価することが多く、トラストサービスの標準と共通点が多い、最も重要な2つの標準は以下の通りである:  
• ISO/IEC 27017: Code of practice for information security controls, based on ISO/IEC 27002 for cloud services;  ・ISO/IEC 27017:ISO/IEC 27002 に基づくクラウドサービス向けの情報セキュリティ管理に関する実践規範; 
• ISO/IEC 27001: Information security management systems.  ・ISO/IEC 27001:情報セキュリティマネジメントシステム。
The results of the survey have shown that trust services are moving to the cloud. The findings of the comparison of standards adopted by CSPs and TSPs in the theoretical part of this report show that there are mostly minor disparities. The trust services that stakeholders consider most appropriate to be operated on a cloud are:  今回の調査結果から、トラストサービスのクラウド化が進んでいることがわかった。本報告書の理論編でCSPとTSPが採用している規格を比較した結果、ほとんど軽微な格差があることがわかった。関係者がクラウド上での運用に最も適していると考えるトラストサービスは、以下の通りである: 
• qualified certificates for electronic signature;  ・電子署名のための適格な証明書
• qualified validation for electronic signature;  ・電子署名のための適格なバリデーション
• qualified certificates for electronic seals;  ・電子印鑑のための適格な証明書
• provision of revocation status information.  ・失効状況情報の提供
From the audit perspective, the survey results have particularly shown that there is still insecurity and open questions when it comes to auditing the trust services remotely. While there are standards which CABs recognise as supporting compliance audits of TSPs providing services in the cloud (ISO 27017, ISO 27701, EU cloud cyber certification), most CABs think that the terms and conditions of CSPs contain adequate clauses allowing access for auditors to perform TSP assessments. While some impediments from the audit perspective exist, the survey results have shown that CABs can already perform audits on many trust services.  監査の観点からは、今回の調査結果では、特に、遠隔地でのトラストサービスの監査に関して、まだ不安や未解決の問題があることが示された。クラウドでサービスを提供するTSPのコンプライアンス監査をサポートする規格(ISO 27017、ISO 27701、EUクラウドサイバー認証)があると認証機関は認識しているが、ほとんどの認証機関は、CSPの利用規約には、監査人がTSP評価を実施するためのアクセスを許可する適切な条項があると考える。監査の観点からはいくつかの障害が存在するものの、調査結果から、CABはすでに多くのトラストサービスについて監査を実施できることがわかった。
Moving trust services to the cloud must be understood as an ongoing process that has to be followed step by step. While some services – such as the validation of signatures, registered delivery, time stamp or signature preservation – are moved rather quickly, other services – such as the issuance of certificates and remote control over the signing device – require in-depth analysis and preparation. The transition of data to the cloud has to be secure at all times and, in the best case, must remain in the data centre of the TSP. Some services might not be suitable for operation on the cloud. This report gives a detailed overview of the issues to be addressed for such transitions, along with the related challenges and opportunities. トラストサービスをクラウドに移行することは、一歩一歩進めなければならない継続的なプロセスとして理解する必要がある。署名の検証、登録デリバリー、タイムスタンプ、署名の保存など、すぐに移行できるサービスもあれば、証明書の発行や署名装置のリモートコントロールなど、綿密な分析と準備が必要なサービスもある。クラウドへのデータ移行は常に安全でなければならず、最良のケースでは、TSPのデータセンター内に留まらなければならない。サービスによっては、クラウド上での運用に適さない場合もある。本報告書では、このような移行に取り組むべき課題を、関連する課題と機会とともに詳しく解説している。

 

欧州のトラストサービスに関しては、昨年7月に[PDF] 報告書を出して終了した、「トラストを確保したDX推進サブワーキンググループ」の議論でつかわれた、

第4回 資料3 濱口氏提出資料(欧州eIDAS規則におけるアシュアランスレベル)

第5回 資料2 手塚氏提出資料(トラストサービスのアシュアランスレベルの考え方)

第7回 資料2 濱口氏提出資料(eIDAS2.0とEUDIW)

の資料がまとまっているように思います。。。

 

 

| | Comments (0)

2023.06.13

NATO COE 書籍紹介:NATOの集団防錆を可能にする:重要インフラとレジリエンス

こんにちは、丸山満彦です。

米国陸軍士官学校出版部から、NATOの集団防錆を可能にする:重要インフラとレジリエンスが、昨年の11月に発刊されていましたね。。。

これ、参考になる部分も多くあるような気がします。。。サマリーしか読んでいませんが。。。

 

⚫︎United States Army War College Press

・2022.11.15 Enabling NATO’s Collective Defense: Critical Infrastructure Security and Resiliency (NATO COE-DAT Handbook 1)

 

Enabling NATO’s Collective Defense: Critical Infrastructure Security and Resiliency (NATO COE-DAT Handbook 1) NATOの集団的防衛を可能にする: 重要インフラのセキュリティとレジリエンス (NATO COE-DAT Handbook 1)
In 2014 NATO’s Centre of Excellence-Defence Against Terrorism (COE-DAT) launched the inaugural course on “Critical Infrastructure Protection Against Terrorist Attacks.” As this course garnered increased attendance and interest, the core lecturer team felt the need to update the course in critical infrastructure (CI) taking into account the shift from an emphasis on “protection” of CI assets to “security and resiliency.” What was lacking in the fields of academe, emergency management, and the industry practitioner community was a handbook that leveraged the collective subject matter expertise of the core lecturer team, a handbook that could serve to educate government leaders, state and private-sector owners and operators of critical infrastructure, academicians, and policymakers in NATO and partner countries. Enabling NATO’s Collective Defense: Critical Infrastructure Security and Resiliency is the culmination of such an effort, the first major collaborative research project under a Memorandum of Understanding between the US Army War College Strategic Studies Institute (SSI), and NATO COE-DAT. 2014年、NATOの対テロ卓越防衛センター(COE-DAT)は、"テロ攻撃に対する重要インフラの保護 "に関する初回コースを開始した。このコースが受講者と関心を集めるにつれ、中心的な講師陣は、重要インフラ(CI)のコースを、CI資産の "保護 "の強調から "セキュリティとレジリエンス "へのシフトを考慮して更新する必要性を感じている。学術界、緊急事態管理、業界の実務家コミュニティに欠けていたのは、中核講師陣の専門知識を結集したハンドブックであり、NATOやパートナー国の政府指導者、国や民間企業の重要インフラ所有者や運営者、学術関係者、政策立案者を教育するのに役立つハンドブックであった。NATOの集団的防衛を可能にする: 重要インフラのセキュリティとレジリエンスはそのような努力の集大成であり、米国陸軍士官学校戦略研究所(SSI)とNATO COE-DATとの間の覚書に基づく最初の大規模共同研究プロジェクトである。
The research project began in October 2020 with a series of four workshops hosted by SSI. The draft chapters for the book were completed in late January 2022. Little did the research team envision the Russian invasion of Ukraine in February this year. The Russian occupation of the Zaporizhzhya nuclear power plant, successive missile attacks against Ukraine’s electric generation and distribution facilities, rail transport, and cyberattacks against almost every sector of the country’s critical infrastructure have been on world display. Russian use of its gas supplies as a means of economic warfare against Europe—designed to undermine NATO unity and support for Ukraine—is another timely example of why adversaries, nation-states, and terrorists alike target critical infrastructure. Hence, the need for public-private sector partnerships to secure that infrastructure and build the resiliency to sustain it when attacked. Ukraine also highlights the need for NATO allies to understand where vulnerabilities exist in host nation infrastructure that will undermine collective defense and give more urgency to redressing and mitigating those fissures. 研究プロジェクトは2020年10月、SSIが主催する4つのワークショップシリーズから始まった。書籍のドラフトは、2022年1月下旬に完成した。研究チームは、今年2月のロシアのウクライナ侵攻をほとんど想定していなかった。ロシアによるザポリツィヤ原子力発電所の占拠、ウクライナの発電・配電施設や鉄道輸送に対する相次ぐミサイル攻撃、同国の重要インフラのほぼすべての部門に対するサイバー攻撃は、世界にその存在を知らしめた。また、ロシアがNATOの結束とウクライナへの支援を弱めるために、ガス供給を欧州に対する経済戦争の手段として利用したことも、敵対する国家やテロリストが重要インフラを狙う理由を示すタイムリーな例である。そのため、重要インフラを保護し、攻撃されてもそれを維持できるレジリエンスを構築するために、官民のパートナーシップが必要なのである。ウクライナはまた、NATO同盟国がホスト国のインフラに存在する集団防衛を損なう脆弱性を理解し、その亀裂の是正と緩和をより緊急に行う必要性を強調している。

 

・[PDF]  26MB

20230613-190518

 

・[PDF] Executive Summary 

20230613-192517

 

・[mp3] Conversations on Strategy (14 min.)

 

目次...

Preface 序文
Acknowledgments 謝辞
Executive Summary エグゼクティブサマリー
Chapter 1  – Understanding Critical Infrastructure 第1章 重要インフラを理解する
What Is Critical Infrastructure? クリティカル・インフラストラクチャーとは何か?
Why Is Critical Infrastructure Important? なぜ重要インフラが重要なのか?
What Is the Difference between CIP and CISR? CIPとCISRは何が違うのか?
Key Work Streams in CISR Planning and Operations CISRの計画・運用における主要なワークストリーム
Looking Back and Looking Ahead 振り返りと先読み
Chapter 2 – Physical Threats to Critical Infrastructure 第2章 重要インフラに対する物理的脅威
Natural Threats 自然の脅威
Man-made Threats 人為的な脅威
Case Study: In Amenas, Algeria ケーススタディ アルジェリア、アメナスにて
Insider Threat インサイダーの脅威
CBRNE Threat CBRNE(核兵器)の脅威
Drone Threat ドローンの脅威
Threats of Precision Strike Weapons 精密打撃兵器の脅威
Electromagnetic Pulse Threat 電磁パルスの脅威
Accidents and Technical Threats 事故と技術的脅威
More to Consider: Threats to Port Facilities さらに考慮すべきこと 港湾施設に対する脅威
Increasing Sophistication and Outsourcing of Physical Threats 物理的脅威の高度化とアウトソーシングの進展
Nexus between Threat and Risk 脅威とリスクの関連性
Conclusion まとめ
Chapter 3 – Cyber Threats to Critical Infrastructure 第3章 重要インフラへのサイバー脅威
Technical Layers and Structures in Critical Infrastructure 重要インフラにおける技術的な層と構造
Connectedness and Technical Complexity 連結性と技術的複雑性
Layers of Technology: Information Technology, Operational Technology, and the Industrial Internet of Things 技術のレイヤー 情報技術、運用技術、産業用インターネットオブシングス
Social Complexity and Socio-technical Structures 社会的複雑性と社会技術的構造
Seeking Gaps in the Organization and Business Management Levels 組織・経営管理レベルのギャップを求める
 Human Capital, Culture, and Security  人的資本、文化、セキュリティ
 Business Management and Coordination in Critical Infrastructure  重要インフラにおけるビジネスマネジメントとコーディネーション
Mindsets and Threat Actors マインドセットと脅威の主体
 A Difference in Mentality: Attackers and Defenders  メンタリティの違い 攻撃者と防御者
 Threat Actors  脅威の担い手
Current and Emerging Cyber Threats 現在のサイバー脅威と新たな脅威
Ransomware ランサムウェア
Business E-mail Compromise (BEC) ビジネスメール詐欺(BEC)
Credential Stuffing クレデンシャル・スタッフィング
Supply Chain Attacks サプライチェーン攻撃
Conclusion まとめ
Chapter 4 – Hybrid Threats to US and NATO Critical Infrastructure 第4章 米国とNATOの重要インフラに対するハイブリッドの脅威
Kinetic-Cyber-Hybrid Threats to Critical Infrastructure 重要インフラに対するキネティック・サイバー・ハイブリッドの脅威
Prepping the Battlespace: Weaponizing Critical Infrastructure  to Challenge US and NATO Military Supremacy 戦場への準備 米国とNATOの軍事的優位に挑戦する重要インフラの兵器化
Hybrid Threats to the US Homeland and Warfighting Capabilities 米国の国土と戦闘能力に対するハイブリッドな脅威
Hybrid Threats to US and NATO Mobility and Sustainment Operations 米国とNATOの機動性と持続性作戦に対するハイブリッドな脅威
Hybrid Threats from the People’s Republic of China 中華人民共和国からのハイブリッドな脅威
Hybrid Threats to the US and European Defense Industrial Bases 米国と欧州の防衛産業基盤に対するハイブリッドな脅威
NATO Measures to Redress Vulnerabilities from Hybrid Threats ハイブリッド脅威による脆弱性を是正するためのNATOの対策
Conclusion おわりに
Chapter 5 – European Energy and the Case of Ukraine 第5章 欧州のエネルギーとウクライナのケース
Brief History of European Energy Security Concerns 欧州のエネルギー安全保障問題の簡単な歴史
The Case of Ukraine ウクライナの事例
Setting the Ukrainian Context: Early Energy Conflict ウクライナのコンテクストを設定する 初期のエネルギー紛争
The Russo-Ukraine War Begins ロシア・ウクライナ戦争が始まる
The Cyber War Begins (BlackEnergy and KillDisk) サイバー戦争が始まる(BlackEnergyとKillDisk)
The Cyber War Escalates (CrashOverride) 激化するサイバー戦争(CrashOverride)
Collateral Damage: A Cyberattack on the Ukrainian Economy (NotPetya) 巻き添え被害: ウクライナ経済へのサイバー攻撃(NotPetya)
Attribution Evolves アトリビューションの進化
Learning from Ukraine: Improving Infrastructure Safeguards . ウクライナから学ぶ: インフラストラクチャーのセーフガードを改善する .
Improving Ukraine: Vulnerabilities ウクライナを改善する: 脆弱性 .
Cyber Vulnerabilities サイバー脆弱性 .
Nuclear Vulnerabilities  核の脆弱性 
Improving Ukraine: Assistance  ウクライナの改善: 支援 
A Key Vulnerability Persists  重要な脆弱性が残っている 
Conclusion 結論
Epilogue . エピローグ
Chapter 6 – Civil Aviation 第6章 民間航空
Understanding the Civil Aviation Industry 民間航空業界を理解する
National and Global Critical Infrastructure 国家と世界の重要インフラ
A Volatile Industry 不安定な産業
An Attractive Target 魅力的なターゲット
The Aviation Industry Remains Vulnerable 航空産業は依然として脆弱である
Aviation Security Is Rigid 航空セキュリティは厳格である
Aviation Security Is Highly Predictable 航空セキュリティは予測可能性が高い
Aviation Security Has Often Struggled to Keep Up with the Threat 航空セキュリティは、しばしば脅威への対応に苦慮してきた。
Case Studies: AVSEC Responses and Lessons to Learn ケーススタディ AVSECの対応と学ぶべき教訓
Thwarted Liquids Plot, United Kingdom (2006) 英国で発生した液体テロ事件の阻止 (2006)
 Liquids Plot: Insights and Analyses  液体テロ事件:洞察と分析
Compliance or Threat-oriented Aviation Security Systems? コンプライアンス重視の航空保安システムか、脅威重視の航空保安システムか?
Need for Improved Physical Security Measures in Airport Public Areas 空港の公共エリアにおける物理的なセキュリティ対策強化の必要性
Recommendations and Best Practices to Reduce Vulnerability 脆弱性を軽減するための推奨事項とベストプラクティス
Develop a More Risk-based AVSEC Screening System よりリスクベースのAVSECスクリーニング・システムの開発
Develop and Implement Threat Definitions Aligned to Adversary Capabilities 敵の能力に合わせた脅威の定義の策定と導入
Utilize Airline Passenger Travel Data for Risk-based  Screening Purposes リスクベースのスクリーニングを目的とした航空旅客の旅行データの活用
Integrate Behavioral Detection Programs 行動検知プログラムの統合
Design and Implement Airport Community Security Programs 空港コミュニティセキュリティプログラムの設計と実施
Harden Airport Perimeters 空港の周辺を固める
Improve Regulation of the Airport’s Public Areas 空港の公共エリアに対する規制を強化する。
Avoid Over-reliance on Indications and Warning Intelligence 表示や警告情報に過度に依存しないようにする
Prioritize the Human Factor: Recruitment and Training ヒューマンファクターを優先させる: 採用およびトレーニング
Conclusion おわりに .
Chapter 7 – Mass Transit Railway Operations . 第7章 大衆交通機関である鉄道の運用 .
Railways Are Vulnerable by Design 鉄道は設計上脆弱である
Inherent Vulnerability and the Strategic Assessment of Risk . 内在する脆弱性とリスクの戦略的評価 .
Target of Choice or Opportunity? 選択の対象か、それとも機会か?
Multifaceted Nature of Railways 鉄道の多面的な性質
Complexity 複雑性
Regulation and Political Direction 規制と政治的方向性
Policing and Security 警察とセキュリティ
Media Impact メディアへの影響
Plausible Methods of Attack (MoA) in the Rail Environment 鉄道環境における攻撃方法(MoA)の可能性
Fear of Terrorism テロリズムへの恐怖
Exemplar 1: Exploding E-cigarette on the London Underground (2014) 例1:ロンドン地下鉄での電子タバコの爆発(2014年)
Sabotage and Attacks against the Line of Route (LoR) 路線(LoR)に対する妨害行為と攻撃
Exemplar 2: Specter of the Jihadi Derailer 例2:ジハード脱線犯の妖しさ
Exemplar 3: British Experience of LoR Attacks 例3:英国におけるLoR攻撃の経験
Physical Assaults against People 人に対する物理的な攻撃
Exemplar 4: UK Incident (2018) 例4:イギリスの事件(2018年)
Exemplar 5: French Incident (2017) 例5:フランスの事件(2017年)
Exemplars 6 and 7: German Incidents (2016) 例6、7:ドイツの事件(2016年)
Improvised Explosive Devices (IEDs) 即席爆発物(IED)
Exemplar 8: Low-level/Low-sophistication IED, London (2016) 例8:低レベル/低精巧なIED、ロンドン(2016年)
Exemplar 9: Expansive Attack, London (2005) 例9:拡大攻撃(ロンドン)(2005年
Exemplar 10: Expansive Attack, Madrid (2004) 例10:拡張型攻撃、マドリード(2004年)
Quick-acting Noxious Hazard 即効性のある有害なハザード
Exemplar 11: Tokyo Metro (1995) 例11:東京メトロ(1995年)
Firearms 火器類
Exemplar 12: Thalys Train Attack, Belgium and France (2015) 例12:タリス列車襲撃事件(ベルギー・フランス)(2015年
Social Engineering ソーシャルエンジニアリング
Exemplar 13: IRA Binary Terrorism, United Kingdom 模範13:IRAバイナリーテロ(イギリス
Mixed-methods Attacks ミックスメソッドによる攻撃
Exemplar 14: Adjacent to London Bridge Station (2017) 例14:ロンドン橋駅隣接(2017年)
Exemplar 15: Central Mumbai Station (2008) 例15:ムンバイ中央駅(2008年)
Developing the Lessons Available 利用可能な教訓を発展させる
Conclusion 結論
Chapter 8 – Water Sector Resilience and the Metropolitan Washington Case 第8章 水部門のレジリエンスとメトロポリタン・ワシントンの事例
Understanding the Water Sector . 水セクターの理解 .
Risks and Threats to the Water Sector . 水セクターのリスクと脅威 .
Water Sector Approaches to Resilience Planning 水セクターのレジリエンス計画へのアプローチ .
Metropolitan Washington Region Case Study メトロポリタン・ワシントン地域のケーススタディ
Background and Goals 背景と目標
Risk Assessment and Modeling リスクアセスメントとモデル化
 Step 1: Develop System Inventory  ステップ1:システムインベントリの作成
 Step 2: Define Levels of Service (LOS)  ステップ2: サービスレベル(LOS)の定義
 Step 3: Identify Failure Modes  ステップ3: 故障モードの特定
 Step 4: Define Likelihood of Occurrence (LOO)  ステップ4:発生可能性(LOO)の定義
 Step 5: Define Consequence of Occurrence (COO) to Meet Level of Service .  ステップ5:サービスレベルを満たすための発生結果(COO)の定義
 Step 6: Identify and Validate Feasible Alternatives  ステップ6: 実現可能な代替案の特定と妥当性確認
 Results  結果
Recommendations and Actions for Consideration  検討すべき推奨事項および行動 
Chapter 9 – Communications Resilience 第9章 通信のレジリエンス
Communications Sector Overview  通信セクターの概要 
Critical for National Security and Emergency Preparedness  国家安全保障と緊急事態への備えとして重要な役割を果たす 
Common Sector Characteristics  一般的なセクターの特徴 
Communications Industry Segments 通信産業セグメント
Threats to Communications 通信を脅かすもの
Natural Disasters 自然災害
Physical Attacks 物理的な攻撃
Cyberattacks サイバー攻撃
Case Studies ケーススタディ
Physical Attack: Bombing of a Central Office,  Nashville, United States  物理的な攻撃 米国ナッシュビル、セントラルオフィス爆破事件 
Physical Accident and Attack: Egyptian Undersea Cable Outages  (2008 and 2013)  物理的な事故と攻撃 エジプト海底ケーブル障害(2008年、2013年) 
Natural Disaster: 2017 US Hurricane Season 自然災害:2017年米国ハリケーンシーズン
Cyberattack on Communication Systems: TV5 Monde . 通信システムに対するサイバー攻撃 TV5 Monde .
Distributed Denial of Service (DDoS): Mirai Botnet 分散型サービス拒否(DDoS): Miraiボットネット
Conclusion まとめ
Blue-sky Coordination and Relationship Building 青空の下での調整と関係構築
Identification of Risks and Appropriate Mitigation Strategies リスクの特定と適切な緩和策
Communications Sector Resilience Enablers  通信セクターのレジリエンスを実現するもの 
Chapter 10 – Comparing Policy Frameworks: CISR in the United States and the European Union 第10章 政策の枠組みを比較する: 米国と欧州連合におけるCISR
US CISR Framework . 米国CISRのフレームワーク
What Guides US CISR Policy? 米国のCISR政策を導くものは何か?
Adopting a Sound Risk Management Framework 健全なリスクマネジメントのフレームワークの採用
A New Approach: Managing Cross-sector Risk to Critical Infrastructure 新しいアプローチ: 重要インフラに対するセクターを超えたリスクマネジメント
Who Is Responsible for CISR Efforts? 誰がCISRの取り組みに責任を持つのか?
Effective CISR: Built on Collaboration and Information Sharing . 効果的なCISR:コラボレーションと情報共有の上に成り立つ.
Moving Forward: Sustaining CISR Success for the Long Term 前進する: CISRの成功を長期的に維持するために
EU CISR Policy Framework EU CISR政策の枠組み
2004: Embryonic Stage Motivated by Fight against Terrorism 2004: テロとの闘いを動機とした萌芽的段階
2005: From the Fight against Terrorism to an All-hazards Approach 2005: テロとの闘いからオールハザード・アプローチへ
2006: EU Formally Creates EPCIP 2006: EU、EPCIPを正式に設立
2008: Identifying, Designating, and Protecting ECI 2008: ECIの特定、指定、保護
2013: EPCIP 2.0—A New Approach . 2013: EPCIP 2.0-新たなアプローチ.
2016: Directive on Network and Information Security . 2016: ネットワークと情報セキュリティに関する指令 .
2020: Proposal for Directive on Resilience of Critical Entities . 2020: 重要な事業体のレジリエンスに関する指令の提案.
EU’s Future: Continuous Improvement and Adapting  to New Threats  EUの未来: 継続的な改善と新たな脅威への適応 
Chapter 11 – Information and Intelligence Sharing 第11章 情報とインテリジェンスの共有
Information-sharing Foundational Concepts 情報共有の基礎的な概念
Value-added Partnerships 付加価値の高いパートナーシップ
Importance of Trusted Relationships 信頼関係の重要性
Multidirectional Sharing 多方向の共有
Timely Information to Those Who Can Act 行動できる人へのタイムリーな情報提供
Information-sharing Disincentives 情報共有の阻害要因
Information-sharing Subcategories 情報共有のサブカテゴリー
Cybersecurity. サイバーセキュリティ.
Physical Security . 物理的セキュリティ.
Risk Analysis and Mitigation  リスク分析および軽減 
Information-sharing Regimes and Programs  情報共有のための制度とプログラム 
Case Studies: Information Sharing in Action  ケーススタディ 情報共有の実践 
Cyber Health Working Group: Public-Private Information Sharing サイバーヘルスワーキンググループ 官民の情報共有
If You See Something, Say Something® . 何かを見たら、何か言え® .
Attack on the US Capitol: An Information-sharing Failure?  米国連邦議会議事堂への攻撃: 情報共有の失敗?
National Terrorism Advisory System  国家テロリズム諮問システム
National Special Security Events and Special Event Assessment Rating 国家特別安全保障イベントと特別イベント評価格付け
Summary and Actions for Consideration まとめと検討のための行動
Chapter 12 – Critical Infrastructure Interdependency Modeling and Analysis: Enhancing Resilience Management Strategies  第12章 重要インフラ相互依存のモデリングと分析: レジリエンス管理戦略の強化 
Risk, Resilience, and Interdependencies リスク、レジリエンス、相互依存性
Critical Infrastructure Interdependency Taxonomies and Concepts 重要インフラ相互依存の分類と概念
Critical Infrastructure Modeling 重要インフラストラクチャーのモデリング
Critical Infrastructure Interdependency Analysis Framework . 重要インフラ相互依存性分析フレームワーク.
Identification of Key Stakeholders’ Needs . 主要ステークホルダーのニーズの特定 .
Identification of Major Assets and Systems 主要な資産とシステムの特定
Data Collection データ収集
Infrastructure Analysis インフラ分析
Definition of Resilience Strategies レジリエンス戦略の定義
Operationalization of Critical Infrastructure Interdependencies 重要インフラ相互依存の運用化
Conclusion まとめ
Chapter 13 – Security Risk Assessment and Management . 第13章 セキュリティリスクの評価とマネジメント .
Defining Security Risk Management セキュリティリスクマネジメントの定義
Risk Management Frameworks リスクマネジメントのフレームワーク
National Risk Programs 国家リスクプログラム
Managing Security Risks . セキュリティリスクのマネジメント .
Building from the Bottom Up . ボトムアップで構築する .
Building a Common Understanding of Risks . リスクに関する共通理解の構築 .
Necessary Characteristics of High-quality Risk Programs 質の高いリスクプログラムに必要な特性
Transparency 透明性の確保
Risk Communication リスクコミュニケーション
Risk Governance リスクガバナンス
Chapter 14 – Enhancing Cybersecurity of Industrial Control Systems 第14章 産業用制御システムのサイバーセキュリティを強化する 
An Overview of Industrial Control Systems (ICS) 産業用制御システム(ICS)の概要
Security Concerns in ICS  ICSにおけるセキュリティ上の懸念 
Vulnerabilities in ICS Components ICSコンポーネントの脆弱性
ICS Components Exposed to the Internet インターネットに公開されたICSコンポーネント
Connection with Business Systems  業務システムとの接続 
Outdated Components  老朽化した部品 
Remote Access to Control Networks  制御ネットワークへのリモートアクセス 
Insecure Nature of ICS Protocols  ICSプロトコルの安全性の低さ 
Major Cyber Incidents 主なサイバーインシデント
Stuxnet (2010)  Stuxnet (2010) 
BlackEnergy (2011)  BlackEnergy (2011) 
Havex (2013) ハベックス (2013年)
German Steel Mill (2014) ドイツ製鉄所(2014年)
Ukraine Blackout (2015) ウクライナのブラックアウト(2015年)
RWE’s Nuclear Power Plant, Germany (2016) ドイツ・RWE社原子力発電所(2016年)
CrashOverride (2016)  クラッシュオーバーライド(2016年) 
TRITON (2017)  トリトン(2017年)
Water Treatment Plant, United States (2021) 米国・水処理プラント(2021年)
Colonial Pipeline (2021) コロニアルパイプライン(2021年)
Security Recommendations for ICS  ICSに対するセキュリティの推奨 
Basic Cyber Hygiene Practices サイバー衛生の基本的な実践
Essential Cybersecurity Measures Specific to ICS ICSに特化したサイバーセキュリティの必須対策
Risk Management for ICS Cybersecurity ICSサイバーセキュリティのためのリスクマネジメント
Risk Assessment Methodology for ICS ICSのリスクアセスメント方法論
Detailed Risk Assessment Approach 詳細なリスク評価アプローチ
Scenario-based Approach for Security Baseline セキュリティベースラインのためのシナリオベースアプローチ
Defending against Cyberattacks: Looking to the Future サイバー攻撃からの防御 未来への展望
National-level Efforts for CISR. CISRの国家レベルでの取り組み
International-level Efforts for CISR CISRのための国際的な取り組み
Conclusion おわりに
Chapter 15 – Crisis Management and Response 第15章 危機管理・対応
Critical Infrastructure  重要なインフラストラクチャー 
Why Is Crisis Management and Response Important? . なぜ危機管理と対応が重要なのか?
Incidents, Emergencies, and Crises: What Is the Difference? インシデント、エマージェンシー、クライシス: 何が違うのか?
Developing Crisis Management Capability . 危機管理能力の開発 .
Anticipate and Assess 予見と評価
Prepare 準備する
Response and Recovery 対応と復旧
Crisis Management Team and Leadership 危機管理チームとリーダーシップ
Training, Exercising, and Learning from Crises 訓練、演習、そして危機からの学習
NATO and Crisis Management NATOと危機管理
Developments in Crisis Management and Resilience 危機管理とレジリエンスの発展
Summary and Conclusion  まとめと結論 
About the Contributors 貢献者について



 

 

| | Comments (0)

NATO CCDCOE サプライチェーンのサイバーセキュリティに対する国の取り組み: リスクの高いベンダーに対してより制限的なスタンスをとる (2023.05)

こんにちは、丸山満彦です。

安全保障上の重要な物資のサプライチェーン全体をサイバー空間を通じても競合から防御する必要があるということで、各国が取り組み始めていますが、フィンランド、日本、英国、米国について簡単にまとめているかんじですかね。。。

日本についても触れられているので興味深いですね。。。

気になるサプライチェーン上のサイバーセキュリティに関連するリスクには、次のようなものがあるかもですね。。。

・事業継続に関する事項:生活に重要な社会システムのサプライチェーンがサイバー攻撃を受けて停止し、社会生活に影響を受ける場合。コロニアルパイプラインがその例(結果的にでしたが...)ですかね。。。

・競争に関する事項:他国との競争上に重要な物資、システム等の製造、運用等に関連するサプライチェーンがサイバー攻撃を受けて、重要な情報が窃取され、他国との競争上の有利が減少するような自体。最新の半導体、医療技術等に関する情報がサイバー攻撃により盗まれるような場合がそうなのでしょうかね。。。

・安全に関する事項:危険な物質等の管理に関係するシステムのサプライチェーンがサイバー攻撃を受け予期せぬ行動をとり、安全に影響が出る場合。(一般的にはシステムにフェイルセーフ機能がついていたり、他の手段の方が容易なので、あまりないかも知れません)

要は、従来、企業単位でみていたリスクを組織(企業等)を跨いで、プロセス全体でみるということですよね。。。

企業内のように権限による統制が効かない中で、どのようにして組織を跨いでプロセス全体の安全を図るかということですよね(例えば、ソフトウェアの品質を確保するという意味では、SBOMのようなもの。運用の品質を確保するという意味では、ISMAP、FedRAMPのような制度)。。。で、それは組織利益ではなく、国民全体の利益に関係するということですから、企業内が規程で守るのであれば、社会全体は法律等により守るというのが、実は良いのかもしれませんね。。。国民の同意の上で。。。

次の文章が、Abstractの3paraの冒頭にありますね。。。

Despite a lack of binding agreements, all four countries reviewed in this paper have some domestic legislation or documents to regulate the supply chain and safeguard national security and foreign policy interests. Except for Japan, they passed laws addressing various cybersecurity issues.

 

NATO CCDCOE

・2023.05 National approaches to the supply chain cybersecurity: Taking a more restrictive stance against high-risk vendors.

National approaches to the supply chain cybersecurity: Taking a more restrictive stance against high-risk vendors. サプライチェーンのサイバーセキュリティに対する国の取り組み: リスクの高いベンダーに対してより制限的なスタンスをとる。
Supply chain attacks are among the most significant security concerns to nations. There are a variety of options to mitigate supply chain cybersecurity risks, yet none is perfect, especially for state-sponsored cyber threats. This paper focuses on preventative approaches and intends to give an overview of national practices in selected countries: Finland, Japan, the United Kingdom, and the United States. サプライチェーンの攻撃は、国家にとって最も重大なセキュリティ上の懸念事項の一つである。サプライチェーンのサイバーセキュリティリスクを軽減するための様々なオプションがあるが、特に国家が支援するサイバー脅威に対しては、完璧なものは存在しない。本稿では、予防的なアプローチに焦点を当て、特定の国における国内実践の概要を説明することを意図している: フィンランド、日本、英国、米国。

 

・[PDF]

20230613-55308

・[DOCX] 仮訳

 

 

目次...

Acknowledgements 謝辞
Abbreviations  略語
Abstract 要旨
1. Introduction 1. 序文
2. United States´ ‘Clean Network’ Initiative for 5G 2. 米国における5Gのための「クリーンネットワーク」構想
3. EU 3. EU
4. Four National Approaches to Controlling the Supply Chain Cybersecurity 4. サプライチェーンのサイバーセキュリティを制御するための4つの国のアプローチ
4.1 Finland 4.1 フィンランド
4.2 Japan 4.2 日本
4.3 United Kingdom 4.3 英国
4.4 United States 4.4 米国
5. United Nations 5. 国際連合
6. Conclusions 6. 結論
7. References 7. 参考文献

 

要旨と序文...

Abstract  要旨 
Supply chain attacks are among the most significant security concerns to nations. There are a variety of options to mitigate supply chain cybersecurity risks, yet none is perfect, especially for state-sponsored cyber threats. This paper focuses on preventative approaches and intends to give an overview of national practices in selected countries: Finland, Japan, the United Kingdom, and the United States.  サプライチェーンへの攻撃は、国家にとって最も重大なセキュリティ上の懸念事項の一つである。サプライチェーンのサイバーセキュリティリスクを軽減するための様々なオプションがあるが、特に国家が支援するサイバー脅威に対しては、完璧なものはない。本稿では、予防的なアプローチに焦点を当て、特定の国における実践を概観することを意図している: フィンランド、日本、英国、米国である。
There are no international legally binding rules or principles in the cybersecurity of the supply chain and a growing number of states perceive the need for national frameworks and mechanisms for ensuring the cybersecurity of the supply chain and globally common rules, as shown in some discussions ongoing at the UN. Western countries have developed frameworks at the regional and national levels based on their commonly shared perception that the supply chain is vulnerable to threats from adversarial foreign countries and that these threats must be effectively addressed by strengthening national regulations.  サプライチェーンのサイバーセキュリティに関する国際的な法的拘束力のあるルールや原則はなく、国連で行われている議論に見られるように、サプライチェーンのサイバーセキュリティを確保するための国内的な枠組みやメカニズム、世界共通のルールの必要性を認識する国が増加している。欧米諸国は、サプライチェーンが敵対的な外国からの脅威に対して脆弱であり、これらの脅威は国内規制を強化することで効果的に対処しなければならないという共通認識に基づいて、地域レベルや国家レベルで枠組みを構築している。
Despite a lack of binding agreements, all four countries reviewed in this paper have some domestic legislation or documents to regulate the supply chain and safeguard national security and foreign policy interests. Except for Japan, they passed laws addressing various cybersecurity issues. In the defence arena, all but Finland are comprehensive in covering almost all products and services, at least from the publicly available information. Finland’s regulations appear more limited in scope as they only focus on ‘the most critical parts of the communication network.’ The UK and the US are explicit in targeting high-risk vendors such as Huawei and particular countries such as China and Russia (in the case of the US) and strict requirements are imposed on domestic providers to remove these risk vendors from their network systems. Finland and Japan are implicit in this regard. However, all four nations have come to a similar practice by excluding or refraining from acquiring certain products and services made by certain countries.   拘束力のある協定はないものの、本稿で検討した4カ国はいずれも、サプライチェーンを規制し、国家安全保障や外交政策の利益を守るための何らかの国内法または文書を持っている。日本を除いては、サイバーセキュリティの諸問題に対処する法律を成立させている。防衛分野では、フィンランドを除くすべての国が、少なくとも公開されている情報からは、ほぼすべての製品・サービスを対象とする包括的なものである。フィンランドの規制は、「通信ネットワークの最も重要な部分」にのみ焦点を当てているため、より限定的な範囲に見える。英国と米国は、ファーウェイなどの高リスクベンダーや、中国やロシアなどの特定の国(米国の場合)をターゲットにすることを明示しており、国内のプロバイダーには、これらのリスクベンダーをネットワークシステムから排除する厳しい要件が課せられている。この点ではフィンランドと日本が暗黙の了解となっている。しかし、4カ国とも、特定の国によって作られた特定の製品やサービスの取得を除外したり、控えたりすることで、同様の慣行に至っている。 
National practices on the topic of the cybersecurity of the supply chain and the threat perceptions behind these practices vary between countries, including across the EU and NATO making it even more difficult to develop common international rules and standards. However, there is a pressing need to address the threats ahead of actual incidents since no country is exempt from supply chain cyberattacks and further exchange of good practices between countries is recommended in the UN GGE 2021 Report (para. 57 (b)). Transparency, objectivity and impartiality of these national approaches are key to success, as proposed in the UN GGE Report (para. 57 (a)).  サプライチェーンのサイバーセキュリティというテーマに関する各国の慣行と、その背景にある脅威認識は、EUやNATOを含めて国によって異なるため、共通の国際ルールや基準を策定することはさらに困難である。しかし、サプライチェーンのサイバー攻撃から免れる国はないため、実際の事件に先立ち脅威に対処することが急務であり、国連GGE2021報告書では、各国間のグッドプラクティスのさらなる交換を推奨している(para. 57 (b)). これらの各国のアプローチの透明性、客観性、公平性が成功の鍵であり、国連GGE報告書で提案されている(para. 57 (a)). 
1. Introduction  1. 序文 
Supply chain attacks are significant security concerns to nations. The European Union Agency for Cybersecurity (ENISA) reported that there were 24 confirmed supply chain attacks between January 2020 and early July 2021 and more than 50% of these attacks were attributed to well-known state-sponsored cybercriminal groups.[1] While analysis of these past cases and attribution is important from a law enforcement perspective, this paper focuses on preventative approaches and intends to give an overview of national practices in Finland, Japan, the United Kingdom, and the United States.  サプライチェーンの攻撃は、国家にとって重大な安全保障上の問題である。欧州連合サイバーセキュリティ機関(ENISA)は、2020年1月から2021年7月初旬までに24件のサプライチェーン攻撃が確認され、これらの攻撃の50%以上が有名な国家支援型サイバー犯罪集団に起因すると報告した[1]。 これらの過去の事例と起因の分析は法執行の観点から重要であるが、本稿では予防的アプローチに焦点を当て、フィンランド、日本、英国、米国における各国の実践を概観する。
Concern about cyber threats in the supply chain is not new, but a perception as to what constitutes cyber threats to supply chain security may vary by country. There are also a variety of options to mitigate supply chain cybersecurity risks but none of these is perfect, especially for state-sponsored cyber threats. Think of an ICT company headquartered in a state where that company has close ties with authorities and its software products are widely used for critical infrastructure around the globe. Other scenarios may include gaining unauthorised access to a closed network and inserting backdoors to a victim's computer terminal by perpetrators who may not even be in the country. In such cases, it is far from easy to arrest and punish criminals. What the US Congress did to Kaspersky products in 2017 was to remove them from government procurement, even though it was fully certified under the US government-run validation programme. Other countries are taking a similar approach.   サプライチェーンにおけるサイバー脅威への懸念は新しいものではないが、サプライチェーンのセキュリティに対するサイバー脅威を構成するものについての認識は、国によって異なる可能性がある。また、サプライチェーンのサイバーセキュリティリスクを軽減するための様々なオプションがありますが、特に国家がスポンサーとなるサイバー脅威に対しては、どれも完璧ではない。ある国に本社を置くICT企業が当局と密接な関係を持ち、そのソフトウェア製品が世界中の重要なインフラに広く使用されている場合を考えてみるとよい。また、国内にいない犯人によって、閉ざされたネットワークに不正にアクセスされたり、被害者のコンピューター端末にバックドアを挿入されたりするケースも考えられる。このような場合、犯人を逮捕し、処罰することは容易ではない。2017年に米国議会がカスペルスキー製品に対して行ったことは、米国政府が運営する検証プログラムの下で完全な認証を受けていたにもかかわらず、政府調達から外すというものでした。他の国も同様の方法をとっている。 
With such national security interests in mind, this paper starts with frameworks at the regional level: the US-led Clean Network Initiative for 5G and the EU Toolbox of risk mitigating measures (Chapters 2 and 3). Chapter 4 explores what regulatory measures are in place in these countries and whether the measures are removing particular vendors or countries from the defence arena. To this date, there is no binding international agreement on this matter and only diplomatic negotiations at the UN provide a norm that is distinct from legally binding rules and principles. Chapter 5 confirms what has been agreed upon and what has yet to be agreed upon at the UN. With growing numbers of similar national approaches, more and more countries will become aware of the problem and this will help to shape international agreement. Chapter 6 seeks commonalities of the threat perception and measures in place with a view to looking for more legislative moves at regional and multilateral fora.   このような国家安全保障上の利益を念頭に置き、本稿ではまず地域レベルの枠組みとして、米国主導の5GのためのClean Network InitiativeとEUのリスク軽減措置のToolboxを紹介する(第2章と第3章)。第4章では、これらの国々でどのような規制措置がとられているのか、またその措置が特定のベンダーや国を防衛の場から排除しているのかどうかを調査している。現在までのところ、この件に関する拘束力のある国際合意はなく、国連での外交交渉のみが、法的拘束力のある規則や原則とは異なる規範を提供している。第5章では、国連で何が合意され、何がまだ合意されていないのかを確認している。同じような国のアプローチが増えることで、より多くの国が問題意識を持ち、それが国際的な合意を形成することにつながる。第6章では、地域や多国間の場での立法化を視野に入れながら、脅威の認識や対策の共通点を探っている。 
This report is written by Keiko Kono overall, and Chapter 3 is written in part by Samuele De Tomas Colatin. Legislative efforts in respective nations and international organisations are ongoing and this paper thus is not conclusive and definitive but a study, hoping to be followed by further analysis in the future.  本報告書は、全体を河野恵子が、第3章をSamuele De Tomas Colatinが一部執筆している。各国や国際機関における法整備は現在も進行中であり、本稿は決定的なものではなく、今後のさらなる分析に期待する研究である。

 

 

| | Comments (0)

2023.06.12

ENISA 人工知能とサイバーセキュリティの研究 (2023.06.07)

こんにちは、丸山満彦です。

ENISAが、人工知能とサイバーセキュリティの研究についての報告書を公表していますね。。。

いろいろな整理をするときに参考になりますね。。。

 

● ENISA

・2023.06.07 Artificial Intelligence and Cybersecurity Research 

Artificial Intelligence and Cybersecurity Research 人工知能とサイバーセキュリティの研究
The aim of this study is to identify needs for research on AI for cybersecurity and on securing AI, as part of ENISA’s work in fulfilling its mandate under Article 11 of the Cybersecurity Act . This report is one of the outputs of this task. In it we present the results of the work carried out in 2021 and subsequently validated in 2022 and 2023 with stakeholders, experts and community members such as the ENISA AHWG on Artificial Intelligence . ENISA will make its contribution through the identification of five key research needs that will be shared and discussed with stakeholders as proposals for future policy and funding initiatives at the level of the EU and Member States. この研究の目的は、サイバーセキュリティ法第11条に基づくENISAの任務を果たすための作業の一環として、サイバーセキュリティのためのAIおよびAIの安全性に関する研究のニーズを明らかにすることである。本報告書は、このタスクのアウトプットの1つである。この報告書では、2021年に実施され、その後2022年と2023年にステークホルダー、専門家、ENISA AHWG on Artificial Intelligenceなどのコミュニティメンバーとともに検証された作業の結果を紹介している。ENISAは、EUおよび加盟国レベルでの将来の政策および資金調達のイニシアティブの提案として、利害関係者と共有し議論する5つの主要な研究ニーズの特定を通じて貢献する。

 

・[PDF]

20230612-94003

・[DOCX] 仮訳

 

 

5つの分野...

 

1_20230612114901

 

EXECUTIVE SUMMARY  エグゼクティブサマリー 
TOP 5 RESEARCH NEEDS FOR AI AND CYBERSECURITY  AIとサイバーセキュリティに関する研究ニーズトップ5 
DEFINITION OF TERMS AND ABBREVIATIONS  用語と略語の定義 
KEY AI CONCEPTS AND FEATURES  主要なAIの概念と特徴 
1.1 TRADITIONAL ML  1.1 伝統的なML 
1.1.1 Decision Trees (DT)  1.1.1 決定木(DT) 
1.1.2 Support vector machines (SVM)  1.1.2 支援ベクターマシン(SVM) 
1.1.3 Naive Bayes’ classifier (NB)  1.1.3 ナイーブベイズ分類器(NB) 
1.1.4 K-means clustering (Clustering)  1.1.4 K-meansクラスタリング(Clustering) 
1.1.5 Hidden Markov Model (HMM)  1.1.5 隠れマルコフモデル(HMM) 
1.1.6 Genetic algorithms (GA)  1.1.6 遺伝的アルゴリズム(GA) 
1.2 NEURAL NETWORKS  1.2 ニューラルネットワーク 
1.2.1 Artificial neural Networks (ANNs)  1.2.1 人工ニューラルネットワーク(ANN) 
1.2.2 Convolutional Neural Networks (CNNs)  1.2.2 畳み込みニューラルネットワーク(CNN) 
1.2.3 Recurrent Neural Networks (RNNs)  1.2.3 リカレントニューラルネットワーク(RNN) 
1.2.4 Autoencoders  1.2.4 オートエンコーダー 
1.2.5 Siamese Neural Networks (SNN)  1.2.5 シャムニューラルネットワーク(SNN) 
1.2.6 Ensemble methods  1.2.6 アンサンブル手法 
1.3 RELEVANCE OF DEEP LEARNING (DL)-BASED APPROACHES  1.3 深層学習(DL)ベースのアプローチとの関連性 
1.4 COMMONLY-USED CYBERSECURITY DATA SETS  1.4 一般的に使用されているサイバーセキュリティのデータセット 
AI IN CYBERSECURITY  サイバーセキュリティにおけるAI 
1.5 EXAMPLES OF USE-CASES  1.5 ユースケースの例 
1.5.1 Prevention  1.5.1 防止 
1.5.2 Detection  1.5.2 検出 
SECURING AI  AIを保護する 
1.6 AI SECURITY  1.6 AIのセキュリティ 
1.7 AI-POWERED CYBERATTACKS  1.7 AIを利用したサイバー攻撃 
1.8 DEFENDING AI-BASED MECHANISMS  1.8 AIを利用したメカニズムの防御 
SELECTED CASE STUDIES  ケーススタディ 
1.9 NEXT GENERATION OF TELCOMMUNICATIONS  1.9 次世代テレコミュニケーション 
1.10  INTERNET OF THINGS (IOT) AND INTERNET OF EVERYTHING (IOE)  1.10 モノのインターネット(IoT)およびすべてのモノのインターネット(IoE) 
1.11  CYBERSECURITY IN CYBER-PHYSICAL SYSTEMS (CPS)  1.11 サイバーフィジカルシステム(CPS)におけるサイバーセキュリティ 
1.12  CYBER BIOSECURITY  1.12 サイバーバイオセキュリティ 
AI IN CYBERSECURITY - RESEARCH GAPS AND NEEDS  サイバーセキュリティにおけるAI - 研究ギャップとニーズ 
1.13  OPEN ISSUES AND CHALLENGES  1.13 オープンイシューと課題 
1.14  RESEARCH GAPS  1.14 リサーチギャップ 
1.15  RESEARCH NEEDS  1.15 研究の必要性 
CONCLUSIONS AND NEXT STEPS  結論と次のステップ 

 

 

エグゼクティブサマリー...

EXECUTIVE SUMMARY  エグゼクティブサマリー 
Artificial Intelligence (AI) is a typical dual-use technology, where malicious actors and innovators are constantly trying to best each other’s work. This is a common situation with technologies used to prepare strategic intelligence and support decision making in critical areas. Malicious actors are learning how to make their attacks more efficient by using this technology to find and exploit vulnerabilities in ICT systems.   人工知能(AI)は典型的なデュアルユーステクノロジーであり、悪意のあるアクターとイノベーターが常に互いの仕事をベストにしようと試みているところである。これは、戦略的な情報を準備し、重要な分野での意思決定を支援するために使用される技術に共通する状況である。悪意ある行為者は、この技術を利用してICTシステムの脆弱性を見つけ、それを突くことによって、攻撃をより効率的にする方法を学んでいる。 
Taking one step further in clarifying this initial statement: with the help of AI, malicious actors can introduce new capabilities that can prolong or even expand cyber threat practises that have been in existence already for a long time. With AI, these capabilities are gradually becoming automated and harder to detect. This study explores some of these capabilities from a research perspective.  AIの助けを借りて、悪意のある行為者は、すでに長い間存在していたサイバー脅威の実践を長引かせ、あるいは拡大することができる新しい能力を導入することができる。AIによって、これらの能力は徐々に自動化され、検出が難しくなってきている。本研究では、研究の観点からこれらの能力のいくつかを探求する。
In this study, two dimensions of AI have been considered (categorisation explained in Section 4): (a) ensuring a secure and trustworthy AI and preventing its malicious use ('AI-as-a-crime-service' or ‘AI to harm’) and (b) the use of AI in cybersecurity ('AI use cases' or ‘AI to protect’).   本研究では、AIの2つの次元を考慮した(分類はセクション4で説明): (a)安全で信頼できるAIを確保し、悪意のある利用を防ぐ(「AI-as-a-crime-service」または「AI to harm」)、および(b)サイバーセキュリティにおけるAIの使用(「AI use cases」または「AI to protect」)。 
The use cases of AI in cybersecurity are numerous and growing. Listing them exhaustively is beyond the scope of this study, as research in this area is constantly evolving. However, we present examples of some of these use cases throughout the report to better explain ongoing research efforts in this technology and explore areas where further research is needed.  サイバーセキュリティにおけるAIの使用例は多数あり、増加傾向にある。この分野の研究は常に進化しているため、それらを網羅的に列挙することは、この研究の範囲を超えている。しかし、この技術における現在進行中の研究努力をよりよく説明し、さらなる研究が必要な領域を探るために、報告書全体を通してこれらの使用例の一部を紹介する。
The aim of this study is to identify needs for research on AI for cybersecurity and on securing AI, as part of ENISA’s work in fulfilling its mandate under Article 11 of the Cybersecurity Act[1]. This report is one of the outputs of this task. In it we present the results of the work carried out in 2021[2] and subsequently validated in 2022 and 2023 with stakeholders, experts and community members such as the ENISA AHWG on Artificial Intelligence3. ENISA will make its contribution through the identification of five key research needs that will be shared and discussed with stakeholders as proposals for future policy and funding initiatives at the level of the EU and Member States.   この研究の目的は、サイバーセキュリティ法[1]の第11条に基づく任務を果たすENISAの作業の一環として、サイバーセキュリティのためのAIとAIの安全性に関する研究のニーズを特定することである。本報告書は、このタスクのアウトプットの1つである。この報告書では、2021年に実施され[2]、その後2022年と2023年にステークホルダー、専門家、ENISA AHWG on Artificial Intelligence3などのコミュニティメンバーとともに検証された作業の結果を示している。ENISAは、5つの主要な研究ニーズの特定を通じて貢献し、EUおよび加盟国レベルでの将来の政策および資金調達のイニシアティブの提案としてステークホルダーと共有・議論する予定である。 
No prioritisation of research needs is presented in this report. ENISA conducts its annual prioritisation exercise taking into account the overall status of cybersecurity research and innovation in the EU, policy and funding initiatives for cybersecurity research and innovation in the Union and technical analysis on specific topics and technologies. The priorities for 2022 can be found in the ENISA Research and Innovation Brief Report.  本報告書では、研究ニーズの優先順位は示されていない。ENISAは、EUにおけるサイバーセキュリティの研究とイノベーションの全体的な状況、EUにおけるサイバーセキュリティの研究とイノベーションのための政策と資金提供の取り組み、特定のテーマや技術に関する技術分析を考慮して、毎年優先順位を決定している。2022年の優先順位は、ENISA 研究・イノベーション概要報告で確認することができる。
Furthermore, in 2022, ENISA conducted a study reviewing the work of 44 research projects, programmes and initiatives on cybersecurity and AI, which were for the most part funded by the EU's framework programmes over the period 2014 to 2027. The importance of this inventory relates to the specific role played by AI in the cybersecurity research field, given the continuous and intensifying interplay with other technology families. The fundamental question driving this study was whether investments in cybersecurity R&I on AI have enabled Europe to make progress in this area, especially those backed by EU funds. The findings of this study can also be found in the ENISA Research and Innovation Brief Report 2022.  さらに、2022年、ENISAは、2014年から2027年までの期間にEUの枠組みプログラムによって大部分が資金提供されたサイバーセキュリティとAIに関する44の研究プロジェクト、プログラム、イニシアティブの活動を見直す調査を実施した。この目録の重要性は、サイバーセキュリティの研究分野においてAIが果たす特定の役割に関連しており、他の技術群との相互作用が継続的かつ激化していることを考慮している。本研究の基本的な問いは、AIに関するサイバーセキュリティR&Iへの投資によって、欧州がこの分野で進歩できたかどうか、特にEU資金の支援を受けたものであるかどうかということである。本調査の結果は、ENISA 研究・イノベーション概要報告 2022にも掲載されている。
While we recognise the immense potential in AI for innovation in cybersecurity and the many requirements needed to improve its security, we also acknowledge that there is still much work to be done to fully uncover and describe these requirements. This report is only an initial assessment of where we stand and where we need to look further in these two important facets of this technology.   我々は、サイバーセキュリティにおけるイノベーションのためのAIの計り知れない可能性と、そのセキュリティを向上させるために必要な多くの要件を認識しているが、これらの要件を完全に明らかにし記述するためには、まだ多くの作業が必要であることも認識している。本報告書は、この技術の重要な2つの側面において、私たちがどのような状況にあり、さらにどこを見る必要があるのかについての初期評価に過ぎない。 
Furthermore, according to the results of the ENISA study on EU-funded research projects on cybersecurity and AI mentioned earlier, the majority of the projects reviewed focused on machine learning techniques. This can be interpreted in two ways: as a sign that the market for such solutions is particularly appreciative of the potential benefits of ML compared to other fields of AI or that, for some reason, research and development in the other fields of AI is not being adequately considered by public funders despite their recognised potential. In this study, we also highlight the need to further explore the use of ML in cybersecurity but also to investigate other AI concepts.  さらに、先に述べたサイバーセキュリティとAIに関するEU出資の研究プロジェクトに関するENISAの調査結果によると、レビューされたプロジェクトの大半は、機械学習技術に焦点を当てていた。これは、他のAI分野と比較して、機械学習がもたらす潜在的なメリットを、こうしたソリューションの市場が特に高く評価していることの表れである、あるいは、何らかの理由で、他のAI分野の研究開発が、その可能性が認められているにもかかわらず、公的資金提供者によって十分に検討されていない、という2通りの解釈が可能である。この研究では、サイバーセキュリティにおけるMLの利用をさらに検討するだけでなく、他のAI概念についても調査する必要性を強調している。
ENISA has followed the steps outlined in the following list to identify the research needs presented in chapter 7.2 of this report.  ENISAは、本報告書の7.2章で提示する研究ニーズを特定するために、以下のリストで説明するステップを踏んだ。
•       Identification from existing research papers of functions and use cases where AI is being used to support cybersecurity activities, presented in chapter 3.  ・3章で紹介した、サイバーセキュリティ活動を支援するためにAIが使用されている機能およびユースケースを既存の研究論文から特定した。
•       Identification from existing research papers of areas where cybersecurity is needed to secure AI, presented in chapter 4.  ・4章では、AIを保護するためにサイバーセキュリティが必要とされる領域を既存の研究論文から特定した。
•       Review of AI use cases, presented in chapter 5.  ・5章では、AIの使用事例をレビューした
•       Analysis of open issues, challenges and gaps, presented in chapter 6.  ・6章では、未解決の問題、課題、ギャップを分析した
•       Identification of areas where further knowledge is required.  ・さらなる知見が必要とされる分野を特定した
These steps were carried out by experts who contributed to this report mainly through desk research, and the results were validated by members of the R&I community.  これらのステップは、主に机上調査を通じて本報告書に貢献した専門家によって実施され、その結果はR&Iコミュニティのメンバーによって検証された。
ENISA prepares these studies with the aim of using them as a tool to develop advice on cybersecurity R&I and present it to stakeholders. These stakeholders are the main target audience of this report and include members of the wider R&I community (academics, researchers and innovators), industry, the European Commission (EC), the European Cyber Security Competence Centre (ECCC) and the National Coordination Centres (NCCs).  ENISA は、サイバーセキュリティ R&I に関する助言を作成し、利害関係者に提示するためのツールとして使用することを目的として、これらの研究を準備している。これらの利害関係者は本報告書の主な対象者であり、幅広いR&Iコミュニティのメンバー(学者、研究者、革新者)、産業界、欧州委員会(EC)、欧州サイバーセキュリティ能力センター(ECCC)、国家調整センター(NCCs)などが含まれる。

[1] https://digital-strategy.ec.europa.eu/en/policies/cybersecurity-act, last accessed January 2023

[2] The considerations in this study are the result of literature review, including of ENISA’s prior work on AI, for instance “Securing Machine Learning Algorithms”: https://www.enisa.europa.eu/publications/securing-machine-learning-algorithms

[3] Ad-Hoc Working Group on Artificial Intelligence Cybersecurity — ENISA (europa.eu).

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.06.12 ENISA AIとセキュリティに関する4つの報告書を公表していますね。。。(2023.06.07)

・2023.06.12 ENISA AIに適したサイバーセキュリティの実践のための多層フレームワーク (2023.06.07)

・2023.06.12 ENISA AIにおけるサイバーセキュリティとプライバシー - 電力網の需要予測 (2023.06.07)

・2023.06.12 ENISA AIにおけるサイバーセキュリティとプライバシー -医療用画像診断 (2023.06.07)

・2023.06.12 ENISA 人工知能とサイバーセキュリティの研究 (2023.06.07)

 

 

| | Comments (0)

ENISA AIにおけるサイバーセキュリティとプライバシー -医療用画像診断 (2023.06.07)

こんにちは、丸山満彦です。

ENISAが、AIにおけるサイバーセキュリティとプライバシー -医療用画像診断を公表していますね。。。

画像診断にAIを活用することは、人間の目では見逃していたものを発見できたりと、可能性が広がる分野でもあり、注目されていたりしますよね。。。

 

● ENISA

・2023.06.07 Cybersecurity and privacy in AI – Medical imaging diagnosis 

 

Cybersecurity and privacy in AI - Medical imaging diagnosis AIにおけるサイバーセキュリティとプライバシー -医療用画像診断
This report allows better assessment of the reality that artificial intelligence brings its own set of threats, which consequently insists on the search for new security measures to counter them. Finally, it should be noted that this guide strongly emphasises privacy issues in the same way as cybersecurity issues, privacy being one of the most important challenges facing society today. Security and privacy are intimately related, but both equally important, and a balance must be made specific to each use. As a result, as seen in this report, efforts to optimise security and privacy can often come at the expense of system performance. 本報告書では、人工知能が独自の脅威をもたらすという現実をよりよく評価することができ、その結果、それらに対抗するための新たなセキュリティ対策の模索が必要であることを強調している。最後に、本書ではサイバーセキュリティと同様にプライバシーも重要視しており、プライバシーは今日の社会が直面する最も重要な課題の一つであることを指摘しておきたい。セキュリティとプライバシーは密接に関係しているが、どちらも同様に重要であり、それぞれの用途に応じてバランスを取る必要がある。その結果、本報告書に見られるように、セキュリティとプライバシーを最適化する努力は、しばしばシステムの性能を犠牲にすることになりかねない。

 

・[PDF]

20230612-93957

 

1. INTRODUCTION 1. 序文
1.1 STUDY OBJECTIVES 1.1 調査目的
1.2 METHODOLOGY 1.2 方法論
1.2.1 Description of the scenario 1.2.1 シナリオの説明
1.2.2 Identification of cybersecurity and privacy threats and vulnerabilities 1.2.2 サイバーセキュリティとプライバシーの脅威と脆弱性の特定
1.2.3 Identification of cybersecurity and privacy controls 1.2.3 サイバーセキュリティとプライバシーのコントロールの特定
1.3 TARGET AUDIENCE 1.3 対象者
1.4 USING THIS DOCUMENT 1.4 本文書の使用
2. SCENARIO DESCRIPTION 2. シナリオの説明
2.1 PURPOSE AND CONTEXT 2.1 目的と背景
2.2 HIGH-LEVEL DESCRIPTION 2.2 ハイレベルな記述
2.3 ACTORS AND ROLES 2.3 アクターと役割
2.4 PROCESSED DATA 2.4 処理されたデータ
2.5 MACHINE LEARNING ALGORITHMS 2.5 機械学習アルゴリズム
2.6 ASSETS 2.6 アセット(資産
2.7 OVERALL PROCESS 2.7 プロセス全体
2.8 PRIVACY AND CYBERSECURITY REQUIREMENTS 2.8 プライバシーとサイバーセキュリティの要件
3. SECURITY AND PRIVACY THREATS AND VULNERABILITIES 3. セキュリティとプライバシーの脅威と脆弱性
3.1 THREAT CONTEXTUALISATION 3.1 脅威の文脈の把握
3.1.1 Compromise of diagnostic system components 3.1.1 診断システムコンポーネントの危殆化
3.1.2 Evasion 3.1.2 回避
3.1.3 Human error 3.1.3 ヒューマンエラー
3.1.4 Data disclosure 3.1.4 データ開示
3.1.5 Poisoning (by label modification) 3.1.5 ポイズニング(ラベル改変によるもの)
3.1.6 Unlawful Processing 3.1.6 不正な処理
3.1.7 Unfair processing 3.1.7 不当な処理
3.1.8 Lack of transparency 3.1.8 透明性の欠如
3.1.9 Diversion of purpose 3.1.9 目的の逸脱
3.1.10 No respect of data minimisation 3.1.10 データ最小化の不徹底
3.1.11 No respect of accuracy 3.1.11 正確性の不徹底
3.1.12 No respect of storage limitation 3.1.12 保存制限の不徹底
3.1.13 No respect of compliance of the training model 3.1.13 トレーニングモデルの遵守の不徹底
3.1.14 Synthesis of possible impacts and associated threats 3.1.14 想定される影響と関連する脅威の統合
3.2 VULNERABILITIES ASSOCIATED TO THREATS AND AFFECTED ASSETS 3.2 脅威及び影響を受ける資産に関連する脆弱性
4. CYBERSECURITY AND PRIVACY CONTROLS 4. サイバーセキュリティとプライバシーの管理
4.1 IMPLEMENT A SECURITY BY DESIGN PROCESS 4.1 セキュリティバイデザインプロセスを実施する
4.2 DOCUMENT THE DIAGNOSTIC SYSTEM 4.2 診断システムを文書化する
4.3 CHECK THE VULNERABILITIES OF THE COMPONENTS USED AND IMPLEMENT PROCESSES  TO MAINTAIN SECURITY LEVELS OF ML COMPONENTS OVER TIME 4.3 使用されているコンポーネントの脆弱性をチェックし、経時的に MLコンポーネントのセキュリティレベルを維持するためのプロセスを実装する。
4.4 ADD SOME ADVERSARIAL EXAMPLES TO THE DATASET 4.4 データセットに敵対的な事例を追加する
4.5 CHOOSE AND DEFINE A MORE RESILIENT MODEL DESIGN 4.5 よりレジリエンスに優れたモデル設計を選択し、定義する。
4.6 INTEGRATE POISONING CONTROL IN THE TRAINING DATASET 4.6 トレーニングデータセットにポイズニングコントロールを統合する。
4.7 ENLARGE THE TRAINING DATASET 4.7 トレーニングデータセットの拡大
4.8 SECURE THE TRANSIT OF THE COLLECTED DATA 4.8 収集したデータの転送を安全にする
4.9 CONTROL ALL DATA USED BY THE ML MODEL 4.9 MLモデルで使用されるすべてのデータを管理する。
4.10  IMPLEMENT ACCESS RIGHT MANAGEMENT PROCESS 4.10 アクセス権管理プロセスの実施
4.11  ENSURE ALL SYSTEMS AND DEVICES COMPLY WITH AUTHENTICATION, AND ACCESS  CONTROL POLICIES 4.11 すべてのシステムおよびデバイスが本人認証およびアクセス制御ポリシーに準拠していることを確認する。
4.12  MONITOR THE PERFORMANCE OF THE MODEL 4.12 モデルの性能を監視する
4.13  REDUCE THE AVAILABLE INFORMATION ABOUT THE MODEL 4.13 モデルに関する利用可能な情報を減らす
4.14  IDENTIFY A DATA CONTROLLER FOR THE MEDICAL DATA PROCESSING 4.14 医療データ処理のためのデータ管理者を特定する。
4.15  PSEUDONYMISE DATA COMING FROM THE HISTORICAL PATIENT 4.15 過去の患者から得たデータを仮名化する。
4.16  GENERATE LOGS AND PERFORM INTERNAL AUDIT 4.16 ログの生成と内部監査の実施
4.17 IDENTIFY ALL THE DATA PROCESSORS FOR THE MEDICAL DATA PROCESSING AND PERFORM THE  CONTROL ACTIONS NECESSARY TO GIVE REASONABLE ASSURANCE THAT THEY ARE COMPLIANT 4.17 医療データ処理のデータ処理者をすべて特定し、それらが準拠していることを合理的に保証するために必要な管理措置を実行する。
4.18  PERFORM A PRIVACY IMPACT ASSESSMENT 4.18 プライバシー影響評価を実施する
4.19  DEFINE AND IMPLEMENT A DATA RETENTION POLICY 4.19 データ保持ポリシーを定義し、実施する。
4.20  STUDY ON DATA FIELDS NECESSITY AND JUSTIFICATION IN THE PRIVACY POLICY 4.20 プライバシーポリシーにおけるデータフィールドの必要性と正当化に関する研究
4.21  FORMALIZE A LIA (LEGITIMATE INTEREST ASSESSMENT) 4.21 LIA(正当な利益評価)の正式化
4.22  MINIMISE DATA AT EACH STEP OF THE PROCESSING; COLLECT ONLY WHAT IS NEEDED  WHEN NEEDED 4.22 処理の各段階でデータを最小化する;必要な時に必要なものだけを収集する
4.23  IMPLEMENT A PRIVACY BY DESIGN PROCESS 4.23 プライバシー・バイ・デザイン・プロセスを実施する
4.24  CALL ON ETHICAL COMMITTEE AND EXTERNAL AUDITS 4.24 倫理委員会および外部監査を要請する。
4.25  DEFINE ACCURACY CRITERIA 4.25 精度の基準を定める
4.26  ENSURE THAT THE MODEL IS SUFFICIENTLY RESILIENT TO THE ENVIRONMENT   4.26 モデルが運用される環境に対して十分なレジリエンスがあることを確認する。 
IN WHICH IT WILL OPERATE るようにする。
4.27  RAISE AWARENESS OF SECURITY AND PRIVACY ISSUES AMONG ALL STAKEHOLDERS 4.27 すべての利害関係者の間でセキュリティとプライバシーの問題に対する認識を高める
4.28  USE RELIABLE SOURCES TO LABEL DATA 4.28 データのラベル付けに信頼できる情報源を使用する
4.29  ENSURE THAT MODELS ARE UNBIASED 4.29 モデルがバイアスがないことを保証する
4.30  SUMMARY 4.30 まとめ
5. CONCLUSION 5. 結論
A ANNEX: SECURITY AND PRIVACY SCALES AND REQUIREMENTS 附属書:セキュリティとプライバシーの尺度と要求事項
A.1 CYBERSECURITY AND PRIVACY SEVERITY SCALES A.1 サイバーセキュリティとプライバシーの重大性の尺度
A.2 CYBERSECURITY SCALE OF IMPACT A.2 サイバーセキュリティの影響の大きさ
A.3 PRIVACY SCALE OF IMPACT A.3 プライバシーに関する影響度
A.4 PRIVACY REQUIREMENTS CRITERIA A.4 プライバシー要件基準

 

エグゼクティブサマリー

EXECUTIVE SUMMARY  エグゼクティブサマリー 
Given the great influence of artificial intelligence (AI) in people's daily lives due to the key role it plays in digital transformation through its automated decision-making capabilities, ENISA aims to raise awareness of cybersecurity and privacy threats related to various scenarios using artificial intelligence. To this end, ENISA, with the support of the Ad-Hoc Working Group on Artificial Intelligence Cybersecurity, has published two reports in the last two years: Cybersecurity Challenges of Artificial Intelligence[1] and Securing Machine Learning Algorithms[2].   人工知能(AI)が自動意思決定機能を通じてデジタル変革に果たす重要な役割により、人々の日常生活に大きな影響を与えていることを踏まえ、ENISAは、人工知能を用いた様々なシナリオに関連するサイバーセキュリティとプライバシーの脅威に対する認識を高めることを目的としている。このため、ENISAは、人工知能のサイバーセキュリティに関するアドホック・ワーキンググループの支援を受けて、過去2年間に2つの報告書を発行している: 人工知能のサイバーセキュリティの課題[1]」と「機械学習アルゴリズムのセキュリティ確保[2]」である。 
ENISA continues its momentum with a new report on cybersecurity and privacy in medical imaging diagnosis, which is supported by AI. An in-depth study of the scenario has been conducted by identifying first the assets, the actors and their roles, relevant processes, the AI algorithms used, as well as the requirements in terms of cybersecurity and privacy needed for it. Building upon previous ENISA work such as the “Securing Machine Learning Algorithms” report cited above, in addition to legislation such as GDPR and literature searches, this report has identified cybersecurity and privacy threats and vulnerabilities that can be exploited in the examined scenario. While focus is on ML-related threats and vulnerabilities, broader AI considerations were also taken into account. Lastly, corresponding cybersecurity and privacy controls that consider the context of the scenario and the impact of the associated threats/vulnerabilities were defined. The specificities within the implementation of these controls are described, including possible trade-offs between cybersecurity, privacy, and performance. Each control is classified as a cybersecurity control, a privacy control, or a mixture of both, depending on the threats it mitigates and their associated impacts (cybersecurity impacts, privacy impacts, or both).  ENISAはその流れで、AIが支援する医療画像診断におけるサイバーセキュリティとプライバシーに関する新しい報告書を発表した。まず資産、行為者とその役割、関連するプロセス、使用されるAIアルゴリズム、さらにそれに必要なサイバーセキュリティとプライバシーの観点からの要件を特定することにより、シナリオの詳細な調査が行われた。GDPRなどの法規制や文献検索に加え、上で引用した「機械学習アルゴリズムの安全化」報告書などのENISAの過去の作業を基に、本報告書では、検討シナリオで悪用され得るサイバーセキュリティとプライバシーの脅威と脆弱性を特定した。ML関連の脅威と脆弱性に焦点を当てているが、より広範なAIに関する考慮も行っている。最後に、シナリオの文脈と関連する脅威/脆弱性の影響を考慮した、対応するサイバーセキュリティとプライバシーの管理策を定義した。サイバーセキュリティ、プライバシー、パフォーマンス間のトレードオフの可能性を含め、これらのコントロールの実装における特異性を説明する。各制御は、緩和する脅威と関連する影響(サイバーセキュリティへの影響、プライバシーへの影響、またはその両方)に応じて、サイバーセキュリティ制御、プライバシー制御、またはその混合として分類される。
This report allows better assessment of the reality that artificial intelligence brings its own set of threats, which consequently insists on the search for new security measures to counter them. Finally, it should be noted that this guide strongly emphasises privacy issues in the same way as cybersecurity issues, privacy being one of the most important challenges facing society today. Security and privacy are intimately related, but both equally important, and a balance must be made specific to each use. As a result, as seen in this report, efforts to optimise security and privacy can often come at the expense of system performance.  本報告書では、人工知能が独自の脅威をもたらすという現実をよりよく評価することができ、その結果、それらに対抗するための新たなセキュリティ対策の模索が必要となっている。最後に、本ガイドでは、サイバーセキュリティの問題と同様に、プライバシーの問題を強く強調していることに留意する必要がある。セキュリティとプライバシーは密接に関係しているが、どちらも同様に重要であり、それぞれの用途に応じてバランスを取る必要がある。その結果、本報告書に見られるように、セキュリティとプライバシーを最適化する努力は、しばしばシステム性能を犠牲にすることになりかねない。

[1] See https://www.enisa.europa.eu/publications/artificial-intelligence-cybersecurity-challenges

[2] See https://www.enisa.europa.eu/publications/securing-machine-learning-algorithms

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.06.12 ENISA AIとセキュリティに関する4つの報告書を公表していますね。。。(2023.06.07)

・2023.06.12 ENISA AIに適したサイバーセキュリティの実践のための多層フレームワーク (2023.06.07)

・2023.06.12 ENISA AIにおけるサイバーセキュリティとプライバシー - 電力網の需要予測 (2023.06.07)

・2023.06.12 ENISA AIにおけるサイバーセキュリティとプライバシー -医療用画像診断 (2023.06.07)

・2023.06.12 ENISA 人工知能とサイバーセキュリティの研究 (2023.06.07)

 

| | Comments (0)

ENISA AIにおけるサイバーセキュリティとプライバシー - 電力網の需要予測 (2023.06.07)

こんにちは、丸山満彦です。

ENISAが AIにおけるサイバーセキュリティとプライバシー - 電力網の需要予測を公表していますね。。。

電力需要予測はプライバシーとも関係してくるので、適切な対応が重要となりますよね。。。

 

● ENISA

・2023.06.07 Cybersecurity and privacy in AI – Forecasting demand on electricity grids 

 

Cybersecurity and privacy in AI - Forecasting demand on electricity grids AIにおけるサイバーセキュリティとプライバシー - 電力網の需要予測
This report allows better assessment of the reality that artificial intelligence brings its own set of threats, which consequently insists on the search for new security measures to counter them. Finally, it should be noted that this guide strongly emphasises privacy issues in the same way as cybersecurity issues, privacy being one of the most important challenges facing society today. Security and privacy are intimately related, but both equally important, and a balance must be made specific to each use. As a result, as seen in this report, efforts to optimise security and privacy can often come at the expense of system performance 本報告書では、人工知能が独自の脅威をもたらすという現実をよりよく評価することができ、その結果、その脅威に対抗するための新たなセキュリティ対策の模索が必要であることを強調している。最後に、本ガイドでは、サイバーセキュリティと同様に、プライバシーの問題を強く意識している。セキュリティとプライバシーは密接に関係しているが、どちらも同様に重要であり、それぞれの用途に応じてバランスを取る必要がある。その結果、本報告書に見られるように、セキュリティとプライバシーを最適化する努力は、しばしばシステムの性能を犠牲にすることになりかねない。

 

・[PDF]

20230612-93951

 

1. INTRODUCTION 1. 序文
1.1 STUDY OBJECTIVES 1.1 調査目的
1.2 METHODOLOGY 1.2 方法論
1.2.1 Description of the scenario 1.2.1 シナリオの説明
1.2.2 Identification of cybersecurity and privacy threats and vulnerabilities 1.2.2 サイバーセキュリティとプライバシーの脅威と脆弱性の特定
1.2.3 Identification of cybersecurity and privacy controls 1.2.3 サイバーセキュリティとプライバシーのコントロールの特定
1.3 TARGET AUDIENCE 1.3 対象者
1.4 USING THIS DOCUMENT 1.4 本文書の使用
2. SCENARIO DESCRIPTION 2. シナリオの説明
2.1 PURPOSE AND CONTEXT 2.1 目的と背景
2.2 HIGH-LEVEL DESCRIPTION 2.2 ハイレベルな記述
2.3 ACTORS AND ROLES 2.3 アクターと役割
2.4 PROCESSED DATA 2.4 処理されたデータ
2.5 MACHINE LEARNING ALGORITHMS 2.5 機械学習アルゴリズム
2.6 ASSETS 2.6 アセット(資産
2.7 OVERALL PROCESS 2.7 プロセス全体
2.8 PRIVACY AND CYBERSECURITY REQUIREMENTS 2.8 プライバシーとサイバーセキュリティの要件
3. SECURITY AND PRIVACY THREATS AND VULNERABILITIES 3. セキュリティとプライバシーの脅威と脆弱性
3.1 THREAT CONTEXTUALISATION 3.1 脅威の文脈の把握
3.1.1 Compromise of ML application components 3.1.1 MLアプリケーションのコンポーネントの危殆化
3.1.2 Poisoning 3.1.2 ポイズニング
3.1.3 Human error 3.1.3 ヒューマンエラー
3.1.4 Data disclosure 3.1.4 データ開示
3.1.5 Unlawful Processing 3.1.5 不正な処理
3.1.6 Unfair processing 3.1.6 不当な処理
3.1.7 Lack of transparency 3.1.7 透明性の欠如
3.1.8 Diversion of purpose 3.1.8 目的の逸脱
3.1.9 No respect of data minimisation 3.1.9 データ最小化の不徹底
3.1.10 No respect of storage limitation 3.1.10 保存制限の不徹底
3.1.11 Synthesis of possible impacts and associated threats 3.1.11 想定される影響と関連する脅威の統合
3.2 VULNERABILITIES ASSOCIATED TO THREATS AND AFFECTED ASSETS 3.2 脅威と影響を受ける資産に関連する脆弱性
4. CYBERSECURITY AND PRIVACY CONTROLS 4. サイバーセキュリティとプライバシーの管理
4.1 IMPLEMENT A SECURITY BY DESIGN PROCESS 4.1 セキュリティ・バイ・デザインプロセスを実施する
4.2 DOCUMENT THE ELECTRICAL FORECAST SYSTEM 4.2 電気予報システムを文書化する
4.3 CHECK THE VULNERABILITIES OF THE ML COMPONENTS AND IMPLEMENT PROCESSES  TO MAINTAIN THEIR SECURITY LEVELS OVER TIME 4.3 ML コンポーネントの脆弱性を確認し、そのセキュリティレベルを長期的に維持するためのプロセスを実装する。
4.4 CHOOSE AND DEFINE A MORE RESILIENT MODEL DESIGN 4.4 よりレジリエンスに優れたモデル設計を選択し定義する
4.5 INTEGRATE POISONING CONTROL IN THE TRAINING DATASET 4.5 トレーニングデータセットに中毒制御を組み込む
4.6 ENLARGE THE TRAINING DATASET 4.6 トレーニングデータセットの拡大
4.7 SECURE THE TRANSIT OF THE COLLECTED DATA 4.7 収集したデータの転送を保護する
4.8 CONTROL ALL DATA USED BY THE ML MODEL 4.8 MLモデルで使用されるすべてのデータを管理する。
4.9 ENSURE RELIABLE SOURCES ARE USED 4.9 信頼できるソースが使用されていることを確認する
4.10 IMPLEMENT ACCESS RIGHT MANAGEMENT PROCESS 4.10 アクセス権管理プロセスを実施する
4.11 ENSURE ALL SYSTEMS AND DEVICES COMPLY WITH AUTHENTICATION, AND ACCESS  CONTROL POLICIES 4.11 すべてのシステムおよびデバイスが本人認証およびアクセス制御ポリシーに準拠していることを確認する。
4.12  REDUCE THE AVAILABLE INFORMATION ABOUT THE MODEL 4.12 モデルに関する利用可能な情報を削減する。
4.13  IDENTIFY A DATA CONTROLLER FOR THE ENERGY CONSUMPTION ANTICIPATION  DATA PROCESSING 4.13 エネルギー消費予測データ処理に関するデータ管理者を特定する。
4.14  PROPERLY COLLECT AND MAINTAIN USER CONSENT WHEN NEEDED  FOR DETAILED ENERGY CONSUMPTION USAGE 4.14 エネルギー消費量の詳細な使用方法について、必要に応じてユーザーの同意を適切に収集し、維持する。
4.15 ANONYMIZE DATA COMING FROM THE CONCENTRATOR 4.15 コンセントレータから来るデータを匿名化する
4.16  GENERATE LOGS AND PERFORM INTERNAL AUDIT 4.16 ログの生成と内部監査の実施
4.17 PERFORM A PRIVACY IMPACT ASSESSMENT 4.17 プライバシー影響評価を実施する
4.18 DEFINE AND IMPLEMENT A DATA RETENTION POLICY 4.18 データ保持ポリシーの定義と実施
4.19 STUDY ON DATA FIELDS NECESSITY AND JUSTIFICATION IN THE PRIVACY POLICY 4.19 プライバシーポリシーにおけるデータフィールドの必要性と正当化に関する研究
4.20 FORMALISE A LIA (LEGITIMATE INTEREST ASSESSMENT) 4.20 LIA(正当な利益評価)の正式な実施
4.21 MINIMISE DATA AT EACH STEP OF THE PROCESSING; COLLECT ONLY WHAT IS NEEDED  WHEN NEEDED 4.21 処理の各段階でデータを最小化する;必要な時に必要なものだけを収集する
4.22 IMPLEMENT A PRIVACY BY DESIGN PROCESS 4.22 プライバシー・バイ・デザイン・プロセスを実施する
4.23  RAISE AWARENESS OF SECURITY AND PRIVACY ISSUES AMONG ALL STAKEHOLDERS 4.23 すべての利害関係者の間でセキュリティとプライバシーの問題に対する認識を高める
4.24 SUMMARY 4.24 まとめ
5. CONCLUSION 5. 結語
ANNEX I: SECURITY AND PRIVACY SCALES AND REQUIREMENTS 附属書 I: セキュリティとプライバシーの尺度及び要求事項
A.1 CYBERSECURITY AND PRIVACY SEVERITY SCALES A.1 サイバーセキュリティとプライバシーの重大性の尺度
A.2 CYBERSECURITY SCALE OF IMPACT A.2 サイバーセキュリティの影響の大きさ
A.3 PRIVACY SCALE OF IMPACT A.3 プライバシーに関する影響度
A.4 PRIVACY REQUIREMENTS CRITERIA A.4 プライバシー要件基準

 

エグゼクティブサマリー...

EXECUTIVE SUMMARY  エグゼクティブサマリー 
Given the great influence of artificial intelligence (AI) in people's daily lives due to the key role it plays in digital transformation through its automated decision-making capabilities, ENISA aims to raise awareness of cybersecurity and privacy threats related to various scenarios using artificial intelligence. To this end, ENISA, with the support of the Ad-Hoc Working Group on Artificial Intelligence Cybersecurity, has published two reports in the last two years: Cybersecurity Challenges of Artificial Intelligence[1] and Securing Machine Learning Algorithms[2].   人工知能(AI)が自動意思決定機能を通じてデジタル変革に果たす重要な役割により、人々の日常生活に大きな影響を与えていることを踏まえ、ENISAは、人工知能を用いた様々なシナリオに関連するサイバーセキュリティとプライバシーの脅威に対する認識を高めることを目的としている。このため、ENISAは、人工知能のサイバーセキュリティに関するアドホック・ワーキンググループの支援を受けて、過去2年間に2つの報告書を発行している: 人工知能のサイバーセキュリティの課題[1]」と「機械学習アルゴリズムの安全化[2]」である。 
ENISA continues its momentum with a new report on cybersecurity and privacy in forecasting demand on electricity grids. An in-depth study of the scenario has been conducted by identifying first the assets, the actors and their roles, relevant processes, the AI algorithms used, as well as the requirements in terms of cybersecurity and privacy needed for it. Building upon previous ENISA work such as the “Securing Machine Learning Algorithms” report cited above, in addition to legislation such as GDPR and literature searches, this report has identified cybersecurity and privacy threats and vulnerabilities that can be exploited in the examined scenario. While focus is on ML-related threats and vulnerabilities, broader AI considerations were also taken into account. Lastly, corresponding cybersecurity and privacy controls that consider the context of the scenario and the impact of the associated threats/vulnerabilities were defined. The specificities within the implementation of these controls are described, including possible tradeoffs between cybersecurity, privacy, and performance. Each control is classified as a cybersecurity control, a privacy control, or a mixture of both, depending on the threats it mitigates and their associated impacts (cybersecurity impacts, privacy impacts, or both).  ENISAはその流れで、電力網の需要予測におけるサイバーセキュリティとプライバシーに関する新しい報告書を発表した。まず資産、アクターとその役割、関連するプロセス、使用されるAIアルゴリズム、さらにそれに必要なサイバーセキュリティとプライバシーの観点からの要件を特定することにより、シナリオの詳細な調査が行われた。GDPRなどの法規制や文献検索に加え、上で引用した「機械学習アルゴリズムの安全化」報告書などのENISAの過去の作業を基に、本報告書では、検討シナリオで悪用され得るサイバーセキュリティとプライバシーの脅威と脆弱性を特定した。ML関連の脅威と脆弱性に焦点を当てているが、より広範なAIに関する考慮も行っている。最後に、シナリオの文脈と関連する脅威/脆弱性の影響を考慮した、対応するサイバーセキュリティとプライバシーの管理策を定義した。サイバーセキュリティ、プライバシー、パフォーマンス間のトレードオフの可能性を含め、これらの制御の実装における特異性を説明する。各制御は、緩和する脅威と関連する影響(サイバーセキュリティへの影響、プライバシーへの影響、またはその両方)に応じて、サイバーセキュリティ制御、プライバシー制御、またはその混合として分類される。
This report allows better assessment of the reality that artificial intelligence brings its own set of threats, which consequently insists on the search for new security measures to counter them. Finally, it should be noted that this guide strongly emphasises privacy issues in the same way as cybersecurity issues, privacy being one of the most important challenges facing society today. Security and privacy are intimately related, but both equally important, and a balance must be made specific to each use. As a result, as seen in this report, efforts to optimise security and privacy can often come at the expense of system performance.  本報告書では、人工知能が独自の脅威をもたらすという現実をよりよく評価することができ、その結果、それらに対抗するための新たなセキュリティ対策を模索することが求められているのである。最後に、本ガイドでは、サイバーセキュリティの問題と同様に、プライバシーの問題を強く強調していることに留意する必要がある。セキュリティとプライバシーは密接に関係しているが、どちらも同様に重要であり、それぞれの用途に応じてバランスを取る必要がある。その結果、本報告書に見られるように、セキュリティとプライバシーを最適化する努力は、しばしばシステムの性能を犠牲にすることになりかねない。

[1] See https://www.enisa.europa.eu/publications/artificial-intelligence-cybersecurity-challenges

[2] See https://www.enisa.europa.eu/publications/securing-machine-learning-algorithms

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.06.12 ENISA AIとセキュリティに関する4つの報告書を公表していますね。。。(2023.06.07)

・2023.06.12 ENISA AIに適したサイバーセキュリティの実践のための多層フレームワーク (2023.06.07)

・2023.06.12 ENISA AIにおけるサイバーセキュリティとプライバシー - 電力網の需要予測 (2023.06.07)

・2023.06.12 ENISA AIにおけるサイバーセキュリティとプライバシー -医療用画像診断 (2023.06.07)

・2023.06.12 ENISA 人工知能とサイバーセキュリティの研究 (2023.06.07)

 

| | Comments (0)

ENISA AIに適したサイバーセキュリティの実践のための多層フレームワーク (2023.06.07)

こんにちは、丸山満彦です。

ENISAが、AIに適したサイバーセキュリティの実践のための多層フレームワークを公表していますね。。。

多層といっていますが、三層ですかね。。。

1. cybersecurity foundations 1. サイバーセキュリティの基礎
2. AI-specific cybersecurity 2. AI固有のサイバーセキュリティ
3. sector-specific cybersecurity for AI 3. AIのためのセクター固有のサイバーセキュリティ

という構造にして、

セキュリティ ⊃ AI固有のサイバーセキュリティ ⊃ AIのためのセクター固有のサイバーセキュリティ

という構造を整理して、セクター固有のAI×サイバーセキュリティを議論するということですかね。。。

 

● ENISA

・2023.06.07 Multilayer framework for good cybersecurity practices for AI

Multilayer Framework for Good Cybersecurity Practices for AI AIに適したサイバーセキュリティの実践のための多層フレームワーク
In this report, we present a scalable framework to guide NCAs and AI stakeholders on the steps they need to follow to secure their AI systems, operations and processes by using existing knowledge and best practices and identifying missing elements. The framework consists of three layers (cybersecurity foundations, AI-specific cybersecurity and sector-specific cybersecurity for AI) and aims to provide a step-by-step approach on following good cybersecurity practices in order to build trustworthiness in their AI activities. 本報告書では、既存の知識やベストプラクティスを活用し、不足している要素を特定することで、NCAやAI関係者がAIシステム、運用、プロセスを安全にするために踏むべきステップをガイドする拡張性のあるフレームワークを提示する。このフレームワークは、3つの層(サイバーセキュリティの基礎、AI固有のサイバーセキュリティ、AIのためのセクター固有のサイバーセキュリティ)で構成され、AI活動における信頼性を構築するために、優れたサイバーセキュリティの実践に従うことについてのステップバイステップのアプローチを提供することを目的としている。

 

・[PDF

20230612-93944

 

1. INTRODUCTION 1. 序文
1.1. AIMS AND OBJECTIVES 1.1. 狙いと目的
1.2. BENEFITS AND BENEFICIARIES 1.2. 利益と受益者
1.3. METHODOLOGY 1.3. 方法論
2. FRAMEWORK FOR GOOD CYBERSECURITY PRACTICES FOR AI 2. AIのための優れたサイバーセキュリティの実践のためのフレームワーク
2.1. LAYER I – CYBERSECURITY FOUNDATIONS 2.1. レイヤーI - サイバーセキュリティの基礎
2.2. LAYER II – AI FUNDAMENTALS AND CYBERSECURITY 2.2. レイヤーII - AIの基礎とサイバーセキュリティ
2.3. LAYER III – SECTOR-SPECIFIC CYBERSECURITY GOOD PRACTICES 2.3. レイヤーIII - 分野別のサイバーセキュリティのグッドプラクティス
3. SURVEY ANALYSIS 3. 調査分析
3.1. METHODOLOGY 3.1. 調査方法
3.2. SURVEY ANALYSIS 3.2. 調査分析
3.3. SURVEY CONCLUSIONS 3.3. 調査結果
4. CONCLUSIONS AND THE WAY FORWARD 4. 結論と今後の進め方
ANNEX I: QUESTIONNAIRE 附属書 I: 質問票
ANNEX II: AI-RELATED STANDARDS 附属書 Ⅱ:Ai関連規格
A.1 AI SECURITY-RELATED STANDARDS A.1 AIセキュリティ関連規格
A.2 DESIGN-RELATED STANDARDS A.2 デザイン関連規格
ANNEX III: LIST OF ABBREVIATIONS 附属書 III:略語リスト

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.06.12 ENISA AIとセキュリティに関する4つの報告書を公表していますね。。。(2023.06.07)

・2023.06.12 ENISA AIに適したサイバーセキュリティの実践のための多層フレームワーク (2023.06.07)

・2023.06.12 ENISA AIにおけるサイバーセキュリティとプライバシー - 電力網の需要予測 (2023.06.07)

・2023.06.12 ENISA AIにおけるサイバーセキュリティとプライバシー -医療用画像診断 (2023.06.07)

・2023.06.12 ENISA 人工知能とサイバーセキュリティの研究 (2023.06.07)

 

| | Comments (0)

ENISA AIとセキュリティに関する4つの報告書を公表していますね。。。(2023.06.07)

こんにちは、丸山満彦です。

ENISAが、AIとセキュリティに関する4つの報告書を公表したと発表していますね。。。

4つの報告書は、、、

Multilayer framework for good cybersecurity practices for AI ・AIに適したサイバーセキュリティの実践のための多層フレームワーク
Cybersecurity and privacy in AI – Forecasting demand on electricity grids ・AIにおけるサイバーセキュリティとプライバシー - 電力網の需要予測
Cybersecurity and privacy in AI – Medical imaging diagnosis ・AIにおけるサイバーセキュリティとプライバシー -医療用画像診断
Artificial Intelligence and Cybersecurity Research  ・人工知能とサイバーセキュリティの研究

です。。。

1_20230612094401

 

 

ENISA

・2023.06.07 Is Secure and Trusted AI Possible? The EU Leads the Way

Is Secure and Trusted AI Possible? The EU Leads the Way 安全で信頼されるAIは可能か?EUが道を切り開く
The European Union Agency for Cybersecurity (ENISA) releases 4 reports on the most far-reaching challenges in artificial intelligence (AI) on the occasion of the conference on the supervision of secure and trustworthy AI. 欧州連合サイバーセキュリティ機関(ENISA)は、安全で信頼できるAIの監督に関する会議に際し、人工知能(AI)における最も遠大な課題に関する4つの報告書を発表した。
Recent developments in Artificial Intelligence (AI) systems have drawn the world’s attention to the most important aspects of cybersecurity associated with them. The AI Cybersecurity conference aimed to provide a platform for the wider community to share their experiences and to discuss the challenges and opportunities. It promoted cooperation within the AI cybersecurity community in order to reflect upon the proposal for an EU regulation on AI. The proposal could allow the EU to become a pioneer in regulating AI. 人工知能(AI)システムの最近の発展は、それに関連するサイバーセキュリティの最も重要な側面に世界の注目を浴びている。AIサイバーセキュリティ会議は、より広いコミュニティが経験を共有し、課題と機会について議論するためのプラットフォームを提供することを目的としたものである。また、AIに関するEU規制の提案に反映させるため、AIサイバーセキュリティ・コミュニティ内の協力を促進した。この提案により、EUはAIを規制するパイオニアとなる可能性がある。
Juhan Lepassaar, Executive Director of the EU Agency for Cybersecurity, said: “If we want to both secure AI systems and also ensure privacy, we need to scrutinise how these systems work. ENISA is looking into the technical complexity of AI to best mitigate the cybersecurity risks. We also need to strike the right balance between security and system performance. The conference today will allow to brainstorm on such challenges to envisage all possible measures such as the security by design approach. With generative AI fast developing, we are ready to get up to speed to best support policy makers as we entered this new phase of the AI revolution.” EUサイバーセキュリティ機関のエグゼクティブ・ディレクターであるJuhan Lepassaarは、次のように述べている: 「AIシステムの安全性とプライバシーの確保を両立させたいのであれば、これらのシステムがどのように機能するのかを精査する必要がある。ENISAは、サイバーセキュリティのリスクを最も軽減するために、AIの技術的な複雑さを調べている。また、セキュリティとシステム性能の適切なバランスを取る必要がある。今日の会議では、このような課題についてブレインストーミングを行い、セキュリティ・バイ・デザイン・アプローチなど、あらゆる可能な対策を想定することができる。生成的AIが急速に発展する中、AI革命の新たな局面を迎えた政策立案者を最適に支援するため、私たちはスピードアップする準備が整っている。」
The key questions on the tables テーブルの上の重要な質問
The 4 panels at today’s conference addressed the cybersecurity technical challenges of AI chatbots, the research and innovation needs, and the security considerations for the cybersecurity certification of AI systems. Supporting policy makers including national authorities with guidance on best practices and user cases while at the same time advancing EU-wide rules gives the EU an opportunity to lead globally in creating a secure and trustworthy AI.  本日のカンファレンスでは、4つのパネルで、AIチャットボットのサイバーセキュリティ技術的課題、研究とイノベーションの必要性、AIシステムのサイバーセキュリティ認証のためのセキュリティ上の考慮事項が取り上げられました。ベストプラクティスやユーザーケースに関するガイダンスで各国当局を含む政策立案者を支援すると同時に、EU全体のルールを進めることは、EUが安全で信頼できるAIを作る上で世界をリードする機会となる。 
Speeches from high-level speakers focused on generative AI, on the legal and policy perspective of the upcoming AI Act and on the measures already taken by the German Cybersecurity Agency, BSI. ハイレベルなスピーカーによる講演は、生成的AI、来るべきAI法の法的・政策的観点、ドイツのサイバーセキュリティ機関であるBSIが既に講じている対策に焦点を当てたものでした。
About the new AI reports: 新しいAI報告書について
・Setting good cybersecurity practices for AI: ・AIのためのサイバーセキュリティのグッドプラクティスを設定する:
The report stands as a scalable framework to guide national cybersecurity authorities (NCAs) and the AI community in order to secure AI systems, operations and processes. The framework consists of three layers (cybersecurity foundations, AI-specific cybersecurity and sector-specific cybersecurity for AI) and aims to provide a step-by-step approach on following good cybersecurity practices in order to ensure the trustworthiness of AI systems. 本報告書は、AIシステム、オペレーション、プロセスの安全性を確保するために、各国のサイバーセキュリティ当局(NCA)とAIコミュニティを導く拡張可能なフレームワークとして位置づけられている。 このフレームワークは、3つの層(サイバーセキュリティの基礎、AI固有のサイバーセキュリティ、AIのためのセクター固有のサイバーセキュリティ)で構成され、AIシステムの信頼性を確保するために、優れたサイバーセキュリティの実践に従うためのステップバイステップのアプローチを提供することを目的としている。
・Cybersecurity and privacy in AI: two use cases: forecasting demands on electricity grids and medical imaging diagnosis ・AIにおけるサイバーセキュリティとプライバシー:2つのユースケース:電力網の需要予測と医療画像診断
Both reports outline cybersecurity and privacy threats as well as vulnerabilities that can be exploited in each use case. The analysis focused on machine learning related threats and vulnerabilities, while taking into account broader AI considerations. However, the focus of the work is on privacy issues, as these have now become one of the most important challenges facing society today. Security and privacy being intimately related, and both equally important, a balance must be found to meet related requirements. The report reveals though that the efforts to optimise security and privacy can often come at the expense of system performance.  両報告書は、サイバーセキュリティとプライバシーの脅威、および各ユースケースで悪用される可能性のある脆弱性の概要を説明している。分析では、より広範なAIに関する考察を考慮しつつ、機械学習関連の脅威と脆弱性に焦点を当てた。しかし、プライバシー問題は、現在、社会が直面する最も重要な課題の一つとなっているため、本研究では、プライバシー問題に焦点をあてている。セキュリティとプライバシーは密接に関連しており、どちらも同様に重要であるため、関連する要件を満たすためにバランスを取る必要がある。しかし、セキュリティとプライバシーを最適化するための努力は、しばしばシステムの性能を犠牲にすることがあることを、本報告書は明らかにしている。 
・AI and cybersecurity research: ・AIとサイバーセキュリティの研究
The report identifies 5 key research needs for further research on AI for cybersecurity and on securing AI for future EU policy developments and funding initiatives. Such needs include the development of penetration testing tools to identify security vulnerabilities or the development of standardised frameworks to assess privacy and confidentiality among others. 報告書は、サイバーセキュリティのためのAIに関するさらなる研究、および将来のEUの政策展開や資金調達のためのAI確保に関する5つの主要な研究ニーズを明らかにしている。このようなニーズには、セキュリティの脆弱性を特定するための侵入テストツールの開発や、プライバシーと機密性を評価するための標準化されたフレームワークの開発などが含まれる。
Target audience 想定読者
Private or public entities including the cybersecurity and privacy community: to support risk analysis, identification of cybersecurity and privacy threats and selecting of the most adequate security and privacy controls; サイバーセキュリティとプライバシーのコミュニティを含む民間または公的機関:リスク分析、サイバーセキュリティとプライバシーの脅威の特定、最も適切なセキュリティとプライバシーコントロールの選択を支援する;
AI technical community, AI cybersecurity and privacy experts and AI experts with an interest in developing secure solutions and adding security and privacy by design to their solutions. AI技術コミュニティ、AIサイバーセキュリティ・プライバシー専門家、AI専門家で、安全なソリューションの開発やソリューションにセキュリティとプライバシー・バイ・デザインを追加することに関心のある方。
Further Information 詳しい情報
Multilayer framework for good cybersecurity practices for AI – ENISA report 2023 AIに適したサイバーセキュリティの実践のための多層フレームワーク - ENISA報告書2023年版
Cybersecurity and privacy in AI – Forecasting demand on electricity grids – ENISA report 2023 AIにおけるサイバーセキュリティとプライバシー - 電力網の需要予測 - ENISA報告書2023年版
Cybersecurity and privacy in AI – Medical imaging diagnosis – ENISA report 2023 AIにおけるサイバーセキュリティとプライバシー -医療用画像診断- ENISA報告書2023年版
Artificial Intelligence and Cybersecurity Research – ENISA report 2023 人工知能とサイバーセキュリティの研究 - ENISA報告書2023年版
Cybersecurity of AI and standardisation – ENISA report March 2023 AIのサイバーセキュリティと標準化 - ENISA報告書2023年3月号
Mind the Gap in Standardisation of Cybersecurity for Artificial Intelligence – ENISA Press Release 人工知能のサイバーセキュリティの標準化におけるギャップに留意せよ - ENISAプレスリリース
Securing Machine Learning Algorithms – ENISA report 2021 機械学習アルゴリズムの安全性 - ENISA報告書2021年版
ENISA topic – Artificial Intelligence ENISAのトピック - 人工知能
The proposal AI Act AI法の提案
The proposal Cyber Resilience Act サイバーレジリエンス法の提案

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.06.12 ENISA AIとセキュリティに関する4つの報告書を公表していますね。。。(2023.06.07)

・2023.06.12 ENISA AIに適したサイバーセキュリティの実践のための多層フレームワーク (2023.06.07)

・2023.06.12 ENISA AIにおけるサイバーセキュリティとプライバシー - 電力網の需要予測 (2023.06.07)

・2023.06.12 ENISA AIにおけるサイバーセキュリティとプライバシー -医療用画像診断 (2023.06.07)

・2023.06.12 ENISA 人工知能とサイバーセキュリティの研究 (2023.06.07)

 

 

| | Comments (0)

米国 CISA FBI NSA イスラエル リモートアクセスソフトウェアのセキュリティ確保のためのガイド (2023.06.06)

こんにちは、丸山満彦です。

CISA、連邦捜査局(FBI)、国家安全保障局(NSA)、複数国家情報共有分析センター(MS-ISAC)、イスラエル国家サイバー総局(INCD)が、「リモートアクセスソフトウェアのセキュリティ確保のためのガイド」を発表していますね。。。。

リモートアクセスソフトウェアの

・適正な使用方法の概要

・一般的な悪用や関連する戦術、技術、手順(TTP)、

・このソフトウェアを悪用する悪意ある行為者の

・・検出と

・・防御方法

を提供するものですね。。。

 

CISA

・2023.06.06 CISA and Partners Release Joint Guide to Securing Remote Access Software

CISA and Partners Release Joint Guide to Securing Remote Access Software CISAとパートナーが、リモートアクセスソフトウェアのセキュリティ確保のための共同ガイドを発表
Today, CISA, Federal Bureau of Investigation (FBI), the National Security Agency (NSA), Multi-State Information Sharing and Analysis Center (MS-ISAC), and the Israel National Cyber Directorate (INCD) released the Guide to Securing Remote Access Software. This new joint guide is the result of a collaborative effort to provide an overview of legitimate uses of remote access software, as well as common exploitations and associated tactics, techniques, and procedures (TTPs), and how to detect and defend against malicious actors abusing this software.  本日、CISA、連邦捜査局(FBI)、国家安全保障局(NSA)、複数国家情報共有分析センター(MS-ISAC)、イスラエル国家サイバー総局(INCD)は、「リモートアクセスソフトウェアのセキュリティ確保のためのガイド」を発表した。この新しい共同ガイドは、リモートアクセスソフトウェアの合法的な使用方法の概要、一般的な悪用や関連する戦術、技術、手順(TTP)、このソフトウェアを悪用する悪意ある行為者の検出と防御方法を提供するための共同作業の結果である。 
Remote access software provides organizations with a broad array of capabilities to maintain and improve information technology (IT), operational technology (OT), and industrial control system (ICS) services; however, malicious actors often exploit this software for easy and broad access to victim systems.  リモート・アクセス・ソフトウェアは、情報技術(IT)、運用技術(OT)、産業制御システム(ICS)のサービスを維持・改善するための幅広い機能を組織に提供するが、悪意のある行為者は、このソフトウェアを悪用して被害者のシステムに容易かつ広範囲にアクセスすることがよくある。 
CISA encourages organizations to review this joint guide for recommendations and best practices to implement in alignment with their specific cybersecurity requirements to better detect and defend against exploitation. Additionally, please refer to the additional information below on guidance for MSPs and small- and mid-sized businesses and on malicious use of remote monitoring and management software in using remote software and implementing mitigations. CISAは、悪用されることをよりよく検知し防御するために、各組織のサイバーセキュリティ要件に合わせて実施すべき推奨事項とベストプラクティスについて、この共同ガイドを検討することを推奨する。また、MSPや中小企業向けのガイダンス、リモートソフトウェアの使用や緩和策の実施におけるリモート監視・管理ソフトウェアの悪意のある使用については、以下の追加情報を参照すること。

 

・2023.06.06 Guide to Securing Remote Access Software

Guide to Securing Remote Access Software リモートアクセスソフトウェアのセキュリティ確保のためのガイド
This document, the Guide to Securing Remote Access Software, provides organizations with a remote access software overview, including the malicious use of remote access software, detection methods, and recommendations for all organizations. Remote access software provides a proactive and flexible approach for organizations to internally oversee networks, computers, and other devices; however, cyber threat actors increasingly co-opt these tools for access to victim systems. 本書「リモートアクセスソフトウェアのセキュリティ確保のためのガイド」は、リモートアクセスソフトウェアの悪意のある使用、検出方法、すべての組織に対する推奨事項など、リモートアクセスソフトウェアの概要を組織に提供するものである。リモートアクセスソフトウェアは、組織がネットワーク、コンピュータ、およびその他のデバイスを内部的に監視するための積極的かつ柔軟なアプローチを提供するが、サイバー脅威者は、被害者システムへのアクセスにこれらのツールを利用することが増えている。

 

・[PDF] GUIDE TO SECURING REMOTE ACCESS SOFTWARE

20230612-35226

 

OVERVIEW: REMOTE ACCESS SOFTWARE 概要 リモートアクセスソフトウェア
Remote access software and tools comprise a broad array of capabilities used to maintain and improve IT, operational technology (OT), and industrial control systems (ICS) services; they allow a proactive and flexible approach for organizations to remotely oversee networks, computers, and other devices. Remote access software, including remote administration solutions and remote monitoring and management (RMM), enables managed service providers (MSPs), software-as-a-service (SaaS) providers, IT help desks, and other network administrators to remotely perform several functions, including gathering data on network and device health, automating maintenance, PC setup and configuration, remote recovery and backup, and patch management. リモートアクセスソフトウェアとツールは、IT、運用技術(OT)、産業制御システム(ICS)のサービスを維持・改善するための幅広い機能を備えており、組織がネットワーク、コンピュータ、その他のデバイスをリモートで監視するためのプロアクティブかつ柔軟なアプローチを可能にする。遠隔管理ソリューションや遠隔監視・管理(RMM)を含むリモートアクセスソフトウェアは、マネージドサービスプロバイダー(MSP)やSaaSプロバイダー、ITヘルプであるクなどのネットワーク管理者が、ネットワークや機器の健全性に関するデータの収集、メンテナンスの自動化、PCの設定・構成、リモート復旧・バックアップ、パッチマネジメントなどの機能をリモートで実行できるようにする。
・Remote access software enables a user to connect to and access a computer, server, or network remotely. ・リモートアクセスソフトウェアは、コンピュータ、サーバー、ネットワークにリモートで接続し、アクセスすることを可能にする。
・・Remote administration solution is software that grants network and application access and administrative control to a device remotely. ・・リモート管理ソリューションとは、遠隔地から機器へのネットワークやアプリケーションのアクセスや管理制御を可能にするソフトウェアである。
・・Remote monitoring and management is an agent that is installed on an endpoint to continuously monitor a machine or system’s health and status, as well as enabling administration functions. ・・リモート監視・管理とは、エンドポイントにインストールされ、機械やシステムの健康状態や状態を継続的に監視し、管理機能を実現するエージェントをいう。
Legitimate use of remote access software enables efficiency within IT/OT management—allowing MSPs, IT help desks, and other providers to maintain multiple networks or devices from a distance. It also serves as a critical component for many business environments, both small and large empowering IT, OT, and ICS professionals to troubleshoot issues and play a significant role in business continuity plans and disaster recovery strategies. [1] However, many of the beneficial features of remote access software make it an easy and powerful tool for malicious actors to leverage, thereby rendering these businesses vulnerable. リモートアクセスソフトウェアを合法的に使用することで、MSPやITヘルプであるクなどのプロバイダーが、離れた場所から複数のネットワークやデバイスを管理することができ、IT/OT管理の効率化につながる。また、IT、OT、ICSの専門家が問題のトラブルシューティングを行い、事業継続計画や災害復旧戦略において重要な役割を果たすなど、大小問わず多くのビジネス環境において重要なコンポーネントとして機能している。[しかし、リモートアクセスソフトウェアの有益な機能の多くは、悪意ある行為者にとって容易かつ強力なツールであり、その結果、これらのビジネスを脆弱なものにしている。
This guide, authored by the Cybersecurity and Infrastructure Security Agency (CISA), National Security Agency (NSA), Federal Bureau of Investigation (FBI), Multi-State Information Sharing & Analysis Center (MS-ISAC), and Israel National Cyber Directorate (INCD), with contributions from private sector partners listed on page 10, provides an overview of common exploitations and associated tactics, techniques, and procedures (TTPs). It also includes recommendations to IT/ OT and ICS professionals and organizations on best practices for using remote capabilities and how to detect and defend against malicious actors abusing this software. 本書は、サイバーセキュリティおよびインフラセキュリティ局(CISA)、国家安全保障局(NSA)、連邦捜査局(FBI)、複数州情報共有・分析センター(MS-ISAC)、イスラエル国家サイバー局(INCD)が執筆し、10ページに掲載されている民間企業のパートナーからの寄稿もあり、よくある悪用の概要と関連の戦術、技術、手順(TTP)を説明している。また、IT/OT、ICSの専門家や組織に対して、リモート機能を利用するためのベストプラクティスや、このソフトウェアを悪用する悪意ある行為者を検出し防御する方法についての提言も含まれている。

[1] https://www .ninjaone .com/blog/what-is-remote-access-software-guide-2023/

 

 

 

 

| | Comments (0)

2023.06.11

Five Eyes 中華人民共和国の国家支援サイバー攻撃者は検知を逃れるために現地調達型対応をする (2023.05.24)

こんにちは、丸山満彦です。

米国 (CISA, NSA, FBI等) 、英国 (NCSC) 、オーストラリア (ACSC) 、カナダ (CCCS) 、ニュージーランド (NCSC-NZ) が連携して、中華人民共和国が支援していると思われるサイバー行為者(Volt Typhoon)に関連する注意喚起をしていますね。。。米国の重要インフラを対象としているようですが、それ以外の国の同様の組織も対象とされているような気がします。。。現地されにくくするために、”Living off the Land” (現地調達)という手法を使っているようですね。。。

 


U.S.

Cybersecurity and Infrastructure Security Agency; CISA

ALERT

・2023.05.24 CISA and Partners Release Cybersecurity Advisory Guidance detailing PRC state-sponsored actors evading detection by “Living off the Land”

CISA and Partners Release Cybersecurity Advisory Guidance detailing PRC state-sponsored actors evading detection by “Living off the Land” CISAとパートナーは、「現地調達」によって検知を回避する中華人民共和国の国家支援行為者の詳細について、サイバーセキュリティ勧告ガイダンスを発表した。
Today, CISA joined the National Security Agency (NSA), the Federal Bureau of Investigation (FBI), and international partners in releasing a joint cybersecurity advisory highlighting recently discovered activities conducted by a People’s Republic of China (PRC) state-sponsored cyber threat actor.  本日、CISAは、国家安全保障局(NSA)、連邦捜査局(FBI)、および国際的なパートナーとともに、中華人民共和国(PRC)の国家が支援するサイバー脅威行為者が最近発見した活動に焦点を当てた共同サイバーセキュリティ勧告を公開した。 
This advisory highlights how PRC cyber actors use techniques called “living off the land” to evade detection by using built-in networking administration tools to compromise networks and conduct malicious activity. This enables the cyber actor to blend in with routine Windows system and network activities, limit activity and data captured in default logging configurations, and avoid endpoint detection and response (EDR) products that could alert to the introduction of third-party applications on the host or network. Private sector partners have identified that this activity affects networks across U.S. critical infrastructure sectors, and the authoring agencies believe the actor could apply the same techniques against these and other sectors worldwide. この勧告では、PRCのサイバーアクターが「現地調達」と呼ばれる技術を使用して、内蔵のネットワーク管理ツールを使用して検出を回避し、ネットワークを侵害し、悪意のある活動を行う方法を紹介している。これにより、サイバー行為者は、Windowsシステムやネットワークの日常的な活動に紛れ込み、デフォルトのロギング設定で取得される活動やデータを制限し、ホストまたはネットワーク上のサードパーティ製アプリケーションの導入を警告する可能性のあるエンドポイント検出および応答(EDR)製品を回避することができる。民間企業のパートナーは、この活動が米国の重要なインフラストラクチャー部門のネットワークに影響を及ぼすことを確認しており、作成者は、この行為者がこれらの部門や世界中の他の部門に対して同じ技術を適用する可能性があると考えている。
The authoring agencies have identified potential indicators associated with these techniques. To hunt for this activity, CISA and partners encourage network defenders to use the actor’s commands and detection signatures provided in this advisory. CISA and partners further encourage network defenders to view the indicators of compromise (IOCs) and mitigations summaries to detect this activity. 作成機関は、これらの技術に関連する潜在的な指標を特定した。この活動を監視するために、CISAとパートナーは、ネットワーク防御者がこの勧告で提供される行為者のコマンドと検出シグネチャを使用することを推奨する。CISAとパートナーはさらに、この活動を検出するために、ネットワーク防御者が侵害の指標(IOC)と緩和策のサマリーを表示することを推奨する。

 

 

CYBERSECURITY ADVISORY

・2023.05.24 People's Republic of China State-Sponsored Cyber Actor Living off the Land to Evade Detection

Summary  概要 
The United States and international cybersecurity authorities are issuing this joint Cybersecurity Advisory (CSA) to highlight a recently discovered cluster of activity of interest associated with a People’s Republic of China (PRC) state-sponsored cyber actor, also known as Volt Typhoon. Private sector partners have identified that this activity affects networks across U.S. critical infrastructure sectors, and the authoring agencies believe the actor could apply the same techniques against these and other sectors worldwide.   米国および国際的なサイバーセキュリティ当局は、最近発見された中華人民共和国(PRC)国家支援型サイバー行為者(Volt Typhoonとしても知られる)に関連する注目すべき活動群を強調するために、本共同サイバーセキュリティ勧告(CSA)を発行する。民間企業のパートナーは、この活動が米国の重要インフラ部門のネットワークに影響を及ぼすことを確認しており、作成者は、この行為者がこれらの部門や世界中の他の部門に対して同じ技術を適用する可能性があると考えている。 
This advisory from the United States National Security Agency (NSA), the U.S. Cybersecurity and Infrastructure Security Agency (CISA), the U.S. Federal Bureau of Investigation (FBI), the Australian Signals Directorate’s Australian Cyber Security Centre (ACSC), the Communications Security Establishment’s Canadian Centre for Cyber Security (CCCS), the New Zealand National Cyber Security Centre (NCSC-NZ), and the United Kingdom National Cyber Security Centre (NCSC-UK) (hereafter referred to as the “authoring agencies”) provides an overview of hunting guidance and associated best practices to detect this activity.  この勧告は、米国国家安全保障局(NSA)、米国サイバーセキュリティおよびインフラストラクチャ・セキュリティ局(CISA)、米国連邦捜査局(FBI)のものである。米国連邦捜査局(FBI)、オーストラリア信号局オーストラリア・サイバーセキュリティセンター(ACSC)、通信安全保障局カナダ・サイバーセキュリティセンター(CCCS)、ニュージーランド国家サイバーセキュリティセンター(NCSC-NZ)、英国国家サイバーセキュリティセンター(NCSC-UK)(以下「作成機関」といいる)は、この活動を検知するための捕捉指導と関連ベストプラクティスを概観する。
One of the actor’s primary tactics, techniques, and procedures (TTPs) is living off the land, which uses built-in network administration tools to perform their objectives. This TTP allows the actor to evade detection by blending in with normal Windows system and network activities, avoid endpoint detection and response (EDR) products that would alert on the introduction of third-party applications to the host, and limit the amount of activity that is captured in default logging configurations. Some of the built-in tools this actor uses are: wmic, ntdsutil, netsh, and PowerShell. The advisory provides examples of the actor’s commands along with detection signatures to aid network defenders in hunting for this activity. Many of the behavioral indicators included can also be legitimate system administration commands that appear in benign activity. Care should be taken not to assume that findings are malicious without further investigation or other indications of compromise.  行為者の主な戦術、技術、手順(TTP)の1つは、内蔵のネットワーク管理ツールを使って目的を遂行する、現地調達型である。このTTPにより、行為者は通常のWindowsシステムおよびネットワークの活動に紛れ込むことで検知を回避し、ホストへのサードパーティ製アプリケーションの導入について警告するエンドポイント検知・応答(EDR)製品を回避し、デフォルトのロギング構成で捕捉される活動量を制限することができる。この行為者が使用する組み込みツールには、wmic、ntdsutil、netsh、およびPowerShellがある。この勧告では、この行為者のコマンドの例と検出シグネチャを提供しており、ネットワーク防御者がこの活動を発見するのに役立つようになっている。この勧告に含まれる行動指標の多くは、良性の活動に現れる正当なシステム管理コマンドである可能性もある。さらなる調査や侵害の兆候がない限り、発見されたものが悪意あるものであると決めつけないように注意する必要がある。

 

・[PDF] People's Republic of China State-Sponsored Cyber Actor Living off the Land to Evade Detection

20230611-182154

 

1_20230611183301

 


 

U.K.

National Cyber Security Centre; NCSC

・2023.05.24 NCSC joins partners to issue warning about China state-sponsored cyber activity targeting CNI networks

 

NCSC joins partners to issue warning about China state-sponsored cyber activity targeting CNI networks NCSCはパートナーと共に、CNIネットワークを標的とした中国国家主催のサイバー活動に関する警告を発表した。
The advisory provides technical indicators of compromise and examples of techniques deployed by the actor to help network defenders identify malicious activity. この勧告では、ネットワーク防御者が悪意のある活動を特定できるように、侵害の技術的指標と行為者が展開する技術の例を示している。
The UK and agencies in the US, Australia, Canada and New Zealand have issued new advice today (Wednesday) to help organisations detect China state-sponsored activity being carried out against critical national infrastructure networks. 英国および米国、オーストラリア、カナダ、ニュージーランドの機関は、本日(水曜日)、重要な国家インフラネットワークに対して行われている中国の国家支援活動を組織が検知するための新しいアドバイスを発表した。
In the new joint advisory the National Cyber Security Centre – a part of GCHQ – alongside international partners highlight how recent activity has targeted networks across critical infrastructure sectors in the US and how the same techniques could be applied worldwide. GCHQの一部である国立サイバー・セキュリティ・センターは、国際的なパートナーとともに、新しい共同勧告の中で、最近の活動が米国の重要インフラ部門のネットワークを標的にしていること、同じ手法が世界中で適用されうることを強調している。
The actor has been observed taking advantage of built-in network administration tools on targets’ systems to evade detection after an initial compromise. この行為者は、最初の侵害の後、検出を回避するために、標的のシステムに組み込まれたネットワーク管理ツールを利用することが観察されている。
The advisory provides technical indicators of compromise and examples of techniques deployed by the actor to help network defenders identify the malicious activity. この勧告では、ネットワーク防御者が悪意のある活動を特定できるように、侵害の技術的指標と行為者が展開した技術の例を示している。
Paul Chichester, NCSC Director of Operations, said: NCSCのオペレーションディレクターであるPaul Chichesterは、次のように述べている:
“It is vital that operators of critical national infrastructure take action to prevent attackers hiding on their systems, as described in this joint advisory with our international partners. 「重要な国家インフラの運用者は、国際的なパートナーとの共同勧告に記載されているように、攻撃者がシステムに潜伏するのを防ぐための行動を取ることが極めて重要である。」
“We strongly encourage providers of UK essential services to follow our guidance to help detect this malicious activity and prevent persistent compromise.” 「この悪意のある活動を検知し、持続的な侵害を防ぐために、英国の重要なサービスを提供するプロバイダーが我々の指針に従うことを強く推奨する。」
The advisory has been jointly issued by the NCSC, the US National Security Agency (NSA), the US Cybersecurity and Infrastructure Security Agency (CISA), the US Federal Bureau of Investigation (FBI), the Australian Signals Directorate’s Australian Cyber Security Centre (ACSC), the Communications Security Establishment’s Canadian Centre for Cyber Security (CCCS), and the New Zealand National Cyber Security Centre (NCSC-NZ). この勧告は、NCSC、米国国家安全保障局(NSA)、米国サイバーセキュリティ・基盤セキュリティ局(CISA)、米国連邦捜査局(FBI)、オーストラリア信号局(ACSC)、通信セキュリティ確立局(CCCS)、ニュージーランド国家サイバーセキュリティセンター(NCSC-NZ)によって共同発表されている。
The advisory can be found on the NSA's website. この勧告は、NSAのウェブサイトで見ることができる。
The NCSC has published a range of guidance to help critical national infrastructure organisations protect themselves online. This includes the Cyber Assessment Framework (CAF), which is designed to help organisations effectively manage cyber risk. NCSCは、重要な国家インフラ組織がオンラインで自らを保護するためのさまざまなガイダンスを発表している。これには、組織がサイバーリスクを効果的に管理できるように設計されたサイバーアセスメントフレームワーク(CAF)が含まれている。

 

1_20230611190001

 


 

Australia

Australian Cyber Security Centre; ACSC

・2023.05.25 People’s Republic of China (PRC) State-Sponsored Cyber Actor Living Off the Land to Evade Detection

People’s Republic of China (PRC) State-Sponsored Cyber Actor Living Off the Land to Evade Detection 中華人民共和国(PRC)の国家支援型サイバーアクター、探知を逃れるために現地調達活動をおこなっている。
Background / What has happened? 背景/何が起こったのか?
In May 2023, the Australian Signals Directorate’s Australian Cyber Security Centre (ACSC) , in conjunction with the US NSA, the US Cybersecurity and Infrastructure Security Agency (CISA), the US Federal Bureau of Investigation (FBI), the Communications Security Establishment’s Canadian Centre for Cyber Security (CCCS), the New Zealand National Cyber Security Centre (NCSC-NZ) and the United Kingdom National Cyber Security Centre (NCSC-UK), released the Cybersecurity Advisory “People’s Republic of China State-Sponsored Cyber Actor Living Off the Land to Evade Detection”. 2023年5月、オーストラリア信号総局のオーストラリア・サイバーセキュリティセンター(ACSC)は、米国NSA、米国サイバーセキュリティ・インフラセキュリティ局(CISA)、米国連邦捜査局(FBI)、通信セキュリティ確立のカナダサイバーセキュリティセンター(CCCS)と連携している、 ニュージーランド国家サイバーセキュリティセンター(NCSC-NZ)および英国国家サイバーセキュリティセンター(NCSC-UK)は、サイバーセキュリティ勧告「中華人民共和国 国家支援型サイバーアクターは探知を逃れるために現地調達型対応をする」を発表した。
This advisory highlights a recently-discovered cluster of activity affecting networks across US critical infrastructure sectors, and provides threat hunting advice and best practices for network defenders to detect related activity. 本勧告は、最近発見された米国の重要インフラ部門のネットワークに影響を与える活動群を取り上げ、ネットワーク防御者が関連活動を検出するための脅威捕捉のアドバイスとベストプラクティスを提供する。
The advisory details the tactics, techniques and procedures (TTPs) employed by the threat actor, which primarily involve the use of built-in Windows tools on compromised hosts to achieve their objectives. This is known as “living off the land”, and allows the actor to evade detection by blending in with normal Windows system and network activity, and avoid triggering security alerts by installing new tools. この勧告では、脅威行為者が採用した戦術、技術、手順(TTPs)について詳述しており、その主な内容は、目的を達成するために侵害したホスト上のWindows内蔵ツールを使用することである。これは「現地調達」と呼ばれ、通常のWindowsシステムおよびネットワークの活動に紛れ込むことで検知を回避し、新しいツールをインストールすることでセキュリティ警告の発生を回避することが可能である。
The authoring agencies assess there is significant risk these TTPs could be employed by the actor against CI and other sectors worldwide. 作成者は、これらのTTPが、世界中のCIおよびその他のセクターに対して行為者によって使用される可能性があるという重大なリスクがあると評価している。
Mitigation / How do I stay secure? 緩和策/安全性を保つにはどうすればよいか?
Given the potential threat to CI sectors outside the US, the ACSC strongly encourages Australian organisations to review the advisory, reported TTPs and indicators of compromise (IOCs) and investigate their networks for signs of potential malicious activity. By design, “living off the land” is intended to resemble legitimate system and network activity, so any findings should not be assumed malicious without further investigation. 米国外の情報通信部門に対する潜在的な脅威を考慮し、ACSCはオーストラリアの組織に対し、勧告、報告されたTTPおよび侵害の指標(IOC)を確認し、潜在的な悪意のある活動の兆候がないかネットワークを調査することを強く推奨している。この「現地調達」は、設計上、正当なシステムやネットワークの活動に似せることを意図しているため、発見した場合は、さらなる調査なしに悪意があると判断してはならない。
To maximise opportunities to detect malicious activity, the ACSC recommends Australian organisations review and optimise their logging configurations. Advice to support both the detection and investigation of malicious activity is available at Windows Event Logging and Forwarding. 悪意のある活動を検知する機会を最大限に増やすため、ACSCはオーストラリアの組織がロギング設定を見直し、最適化することを推奨している。悪意のある活動の検出と調査の両方をサポートするアドバイスは、Windows Event Logging and Forwardingで入手できる。
For further information, please see: 詳細については、こちらを参照のこと:
People's Republic of China State-Sponsored Cyber Actor Living off the Land to Evade Detection advisory ・中華人民共和国の国家支援によるサイバーアクターは、探知を逃れるために現地調達型対応をする。
Volt Typhoon targets US critical infrastructure with living-off-the-land techniques ・Volt Typhoon、現地調達技術で米国の重要インフラを狙う
Assistance / Where can I go for help? アシスタンス/どこに相談すればいいのか?
In addition to reviewing the advisory, which contains an overview of actor TTPs, and detection and mitigation recommendations, the ACSC also recommends that all Australian critical infrastructure entities remain vigilant and continue to secure and monitor their networks for evidence of targeting or compromise. ACSCは、行為者のTTPの概要、検知と緩和の推奨事項を含む勧告を確認することに加え、オーストラリアのすべての重要インフラ事業体が警戒を怠らず、標的や侵害の証拠がないかネットワークの安全確保と監視を継続することを推奨している。
The ACSC is monitoring the situation and is able to provide advice and assistance as required. If you find evidence of targeting or compromise, please report it to the ACSC via 1300 CYBER1 (1300 292 371), or [web] ACSCは状況を監視しており、必要に応じてアドバイスや支援を提供することが可能である。標的型攻撃や侵害の証拠を見つけた場合は、1300 CYBER1(1300 292 371)または[web]
、ACSCにご報告ください。

 

1_20230611190803

 


 

Canada

Canadian Centre for Cyber Security; CCCS

・2023.05.24 Alert - People's Republic of China state-sponsored cyber actor living off the land to evade detection - Joint cybersecurity advisory

Alert - People's Republic of China state-sponsored cyber actor living off the land to evade detection - Joint cybersecurity advisory 注意喚起 - 中華人民共和国の国家支援によるサイバーアクターは、探知を逃れるために現地調達型対応をしている - 共同サイバーセキュリティ勧告
Audience 想定読者
This Alert is intended for IT professionals and managers of notified organizations. この注意喚起は、IT専門家および通知された組織の管理者を対象としている。
Purpose 目的
An Alert is used to raise awareness of a recently identified cyber threat  that may impact cyber information assets, and to provide additional detection  and mitigation advice to recipients. The Canadian Centre for Cyber Security  ("Cyber Centre") is also available to provide additional assistance regarding the content of this Alert to recipients as requested. 注意喚起は、サイバー情報資産に影響を与える可能性のある最近確認されたサイバー脅威に対する認識を高め、取得者に追加の検知および軽減の勧告を提供するために使用されます。また、カナダ・サイバーセキュリティセンター(以下、「サイバーセンター」)は、取得者の要望に応じて、本注意喚起の内容に関する追加支援を提供することができる。
Details 詳細
On May 24, 2023, the Canadian Centre for Cyber Security joined cyber security partners from US agencies, the Australian Cyber Security Centre (ACSC), New Zealand’s National Cyber Security Centre (NCSC-NZ) and the United Kingdom’s National Cyber Security Centre (NCSC-UK) to publish a joint Cybersecurity Advisory (CSA) providing an overview of activity by a People’s Republic of China state-sponsored cyber actor. Footnote1 2023年5月24日、カナダ・サイバーセキュリティセンターは、米国機関、オーストラリア・サイバーセキュリティセンター(ACSC)、ニュージーランド国家安全保障センター(NCSC-NZ)、英国国家サイバーセキュリティセンター(NCSC-UK)のサイバーセキュリティパートナーと共同で、中国人民共和国の国家支援によるサイバー行為者の活動概要を示すサイバーセキュリティ勧告(CSA)を公表した。 脚注1
The Cyber Centre is highlighting the advisory as it provides detection and mitigation recommendations for system owners and operators to better protect themselves from this cyber actor. サイバーセンターは、この勧告が、システム所有者と運用者がこのサイバー行為者からよりよく身を守るための検出と緩和の推奨事項を提供していることから、この勧告を強調している。
Should activity matching the content of this alert be discovered, recipients are encouraged to report via the My Cyber Portal, or email [mail]. この勧告の内容と一致する活動を発見した場合、取得者はMy Cyber Portalを通じて報告するか、電子メール(mail)で報告することが推奨される。
References 参考資料
Footnote 1 脚注1
People's Republic of China state-sponsored cyber actor living off the land to evade detection - Joint cybersecurity advisory (PDF)  中華人民共和国の国家が支援するサイバーアクターは、検出を逃れるために現地調達型対応をする - 共同サイバーセキュリティ勧告 (PDF) 

1_20230611191901


 

New Zealand

National Cyber Security Centre - New Zealand; NCSC-NZ

・2023.05.25 Joint Advisory: PRC cyber actor targeting US critical infrastructure – Guidance to assist detection

 

Joint Advisory: PRC cyber actor targeting US critical infrastructure – Guidance to assist detection 共同勧告 米国の重要インフラを狙うPRCのサイバーアクター - 検出を支援するガイダンス
The National Cyber Security Centre (NCSC) has joined international partners in publishing a technical advisory to highlight malicious cyber activity associated with a People’s Republic of China (PRC) state-sponsored cyber actor. 国立サイバー・セキュリティ・センター(NCSC)は、国際的なパートナーとともに、中華人民共和国(PRC)の国家に支援されたサイバー行為者に関連する悪質なサイバー活動を強調する技術勧告を発表した。
The activity has been observed affecting networks across United States critical infrastructure sectors and the techniques described could be used to impact other sectors. この活動は、米国の重要なインフラストラクチャー分野のネットワークに影響を与えることが確認されており、説明されている技術は、他の分野への影響にも使用される可能性があります。
One of the actor’s primary tactics, techniques, and procedures (TTPs) is living off the land, which uses a systems built-in network administration tools to achieve malicious objectives while avoiding detection. この行為者の主な戦術、技術、手順(TTP)の1つは、システム内蔵のネットワーク管理ツールを使用して、検知を回避しながら悪意のある目的を達成する「現地調達」である。
The NCSC had published this advisory to provide New Zealand critical infrastructure operators and cyber defenders with information that will enable them to detect this activity. NCSCは、ニュージーランドの重要インフラ事業者やサイバー防衛者がこの活動を検出できるようにするための情報を提供するために、この勧告を発表した。
The NCSC will also be using its own cyber defence resources, including its Malware Free Networks capability, to support New Zealand organisations’ efforts to detect and disrupt this activity. また、NCSCは、マルウェアフリーネットワークス機能を含む独自のサイバー防衛リソースを使用して、この活動を検出し破壊するためのニュージーランド組織の努力を支援する予定である。
If organisations identify malicious activity as a result of reviewing the information in this advisory, they should contact the National Cyber Security Centre. この勧告の情報を検討した結果、組織が悪意のある活動を発見した場合は、国立サイバー・セキュリティ・センターに連絡する必要があります。
Joint Cybersecurity Advisory: PRC State-Sponsored Cyber Actor Living off the Land to Evade Detection [PDF, 723 KB] サイバーセキュリティに関する共同勧告 検出を逃れるために現地調達をするPRC国家支援型サイバーアクター [PDF, 723 KB].

 

1_20230611192601

 

 

 

| | Comments (0)

米国 FedRAMP Rev. 5 Baselinesを公表、そして認定は300を超えている... (2023.05.30)

こんにちは、丸山満彦です。

米国のFedRAMPがRev. 5 Baselinesを公表していますね。。。

2020年に更新されたNIST SP 800-53 Rev.5に対応するための変更ということですね。。。

 

RedRAMPの認定をうけたサービス等は、308と300を超えていて、100以上が現在もプロセス中ということです(2023.06.11現在)。

もちろん、Google, Amazon, Microsoft, Oracle, IBM等の多くのサービスは認定を受けています。。。高中低の三段階ありますね。。。

ちなみに制度が始まったのは、2011.12.08の覚書からで、、、200を超えたのは、2020年9月ですね。。。

 

● FedRAMP - Blog

・2023.05.30 Rev. 5 Baselines Have Been Approved and Released!

 

Rev.5 はこちら・・・

・[ELSX] Rev. 5 Baselines

 

Rev.4 との差分はこちら...

・[ELSX] Rev. 4 To Rev. 5 Baseline Comparison Summary

 

移行について...

・[PDF] Cloud Service Provider (CSP) Transition Plan

 

20230611-65415

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.05.30 米国 GAO クラウドセキュリティ: 選択された省庁は主要なプラクティスを完全に実装する必要がある (2023.05.18)

・2022.01.21 米国 FedRAMP クラウド・サービス・プロバイダー認証プレイブック Ver. 2.0

・2021.09.09 米国 CISA 意見募集 政府機関のクラウドへの移行を支援する

・2021.07.16 FedRAMP 意見募集 境界に関するガイダンス Ver2.0案

・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令

・2021.04.16 FedRAMP インシデント・コミュニケーション手順4.0の公表

・2020.09.18 FedRAMP認定クラウドサービスオファリング(CSO)が200を超えたようですね!

・2020.09.02 米国GAO - FedRAMP-連邦政府機関によるクラウドコンピューティングの安全な利用の確保

・2020.08.16 FedRAMP パブコメ コンテナの展開と使用のための脆弱性スキャン要件

 

2012年にFedRAMPについてふれています。。。

・2012.02.26 FedRAMP (クラウドサービスのセキュリティ評価の標準アプローチ)

 

 

 

| | Comments (0)

経済産業省 「ASM(Attack Surface Management)導入ガイダンス~外部から把握出来る情報を用いて自組織のIT資産を発見し管理する~」(2023.05.29)

こんにちは、丸山満彦です。

経済産業省が、「ASM(Attack Surface Management)導入ガイダンス~外部から把握出来る情報を用いて自組織のIT資産を発見し管理する~」を公表していますね。。。

NISTのキャッチアップがおわったので、経済産業省のASM導入ガイダンスの紹介です。。。

 

⚫︎経済産業省

・2023.05.29 「ASM(Attack Surface Management)導入ガイダンス~外部から把握出来る情報を用いて自組織のIT資産を発見し管理する~」を取りまとめました

 

この報告書では、ASMは、

組織の外部(インターネット)からアクセス可能な IT 資産を発⾒し、それらに存在する脆弱性などのリスクを継続的に検出・評価する⼀連のプロセス

と定義されていますが、要は、外部攻撃者の目線にたってネット越しにアクセス可能なIT資産の脆弱性やそのリスク等を見つけて、評価して、対応すると言う一連の管理手順という感じですかね。。。

Attack Surface自体は外部から、内部からという話ではないのですが、本書では外部に絞っているようです。。。

 

経済産業省のウェブの図解

1_20230611055901

 

あれも、これもセキュリティ対策をしろといわんばかりと思われるかもしれませんが、、、

収益をあげるために、ビジネスのインターネットへの依存度が高めれば(例えばDXを推進するなど)、それだけ、その守りを向上させる必要があるわけです。

[インターネットを含む技術の活用による収益の向上] > [サイバー対策] とならないと意味がないわけですが、収益性の観点も加えると、

      [インターネットを含む技術の活用による収益の向上] 
α = -----------------------------------------------------
                           [サイバー対策]

のαが期待収益を上回るようなものでなければならないし、できれば最大化するポイントにできればよいということになりますね。。。

 

・[PDF] 

20230611-60848

 

 

目次...

1 章 はじめに

2 章 ASM(Attack Surface Management)とは
2.1 ASM
の定義
2.2 ASM
のプロセス
2.3 ASM
の特徴
2.4 ASM
と脆弱性管理

3 章 ASM の実施
3.1
実施計画の策定
3.2
攻撃面の調査と評価
 3.2.1
事前準備
 3.2.2 ASM ツール
 3.2.3 必要となる知識・スキル
 3.2.4 注意すべき事項
 3.2.5 ASM サービス

3.3
継続的な対応

4 章 事例
4.1
事例-A
4.2
事例-B

5 章 おわりに

6 章 付録
6.1
用語集
6.2
参考情報


 

| | Comments (0)

NIST NISTIR 8406 液化天然ガス向けサイバーセキュリティフレームワークプロファイル

こんにちは、丸山満彦です。

NISTが、NISTIR 8406 液化天然ガス向けサイバーセキュリティフレームワークプロファイル公表していますね。。。

海上輸送、港湾システムは国にとって重要なシステムですから、そのサイバーセキュリティ対策は、重要ですよね。。。

 

 

⚫︎ NIST - ITL

・2023.06.08 NISTIR 8406 Cybersecurity Framework Profile for Liquefied Natural Gas

NISTIR 8406 Cybersecurity Framework Profile for Liquefied Natural Gas NISTIR 8406 液化天然ガス向けサイバーセキュリティフレームワークプロファイル
Abstract 概要
This document is the Cybersecurity Framework Profile developed for the Liquefied Natural Gas (LNG) industry and the subsidiary functions that support the overarching liquefaction process, transport, and distribution of LNG. The LNG Cybersecurity Framework Profile can be used by liquefaction facilities, LNG vessels, and other supporting entities of the LNG lifecycle so that cybersecurity risks associated with these critical processes and systems can be minimized. The LNG Profile provides a voluntary, risk-based approach for managing cybersecurity activities and reducing cyber risk to the overall LNG process. The Cybersecurity Framework LNG Profile is meant to supplement but not replace current cybersecurity standards, regulations, and industry guidelines that are already being used by the Liquefied Natural Gas industry. 本書は、液化天然ガス(LNG)産業と、LNGの液化プロセス、輸送、流通を包括的に支援する補助的な機能のために開発されたサイバーセキュリティフレームワークプロファイルである。LNGサイバーセキュリティフレームワークプロファイルは、液化施設、LNG船、およびLNGライフサイクルを支える他の事業体が使用することができ、これらの重要なプロセスやシステムに関連するサイバーセキュリティリスクを最小化することができるようにする。LNGプロファイルは、サイバーセキュリティ活動をマネジメントし、LNGプロセス全体に対するサイバーリスクを低減するための自主的でリスクベースのアプローチを提供する。サイバーセキュリティフレームワーク LNG プロファイルは、液化天然ガス業界で既に使用されている現行のサイバーセキュリティ基準、規制、および業界ガイドラインを補完することを意図しているが、それに代わるものではない。

 

・[PDF] NISTIR 8406 (DOI)

20230611-43817

 

目次...

1. Introduction 1. 序文
1.1.  Purpose and Scope 1.1. 目的及び範囲
1.1.Audience 1.1. 想定読者
1.2. Document Structure 1.2. 文書構成
2. The Liquefied Natural Gas Industry 2. 液化天然ガス産業
2.1.  Liquefied Natural Gas 2.1.  液化天然ガス
2.2.  Components of the Liquefied Natural Gas Industry 2.2.  液化天然ガス産業の構成要素
 2.2.1. Liquefaction Facilities  2.2.1. 液化設備
 2.2.2. Liquefied Natural Gas Vessels and the Marine Transportation System  2.2.2. 液化天然ガス船と海上輸送システム
 2.2.3. Liquefied Natural Gas LNG Export and Import Terminals  2.2.3. 液化天然ガスLNG輸出入ターミナル
2.3.  Liquefied Natural Gas Safety 2.3.  液化天然ガスの安全性
3. Overview of the Cybersecurity Framework 3. サイバーセキュリティフレームワークの概要
3.1. The Cybersecurity Framework Core 3.1. サイバーセキュリティフレームワークの中核
3.2. Cybersecurity Framework Profiles 3.2. サイバーセキュリティフレームワーク・プロファイル
4. Cybersecurity Profile Development Methodology 4. サイバーセキュリティプロファイル開発手法
4.1. Stakeholder Workshops 4.1. ステークホルダーワークショップ
 4.1.1. Workshop 1: Establishing Mission Objectives  4.1.1. ワークショップ 1:ミッション目標の設定
 4.1.2. Workshop 2: Prioritizing Mission Objectives  4.1.2. ワークショップ 2:ミッション目標の優先順位付け
 4.1.3. Workshop 3: Prioritizing CSF Categories for Mission Objectives  4.1.3. ワークショップ 3: ミッション目標のCSF分類の優先順位付け
4.2. Subcategory Scoring 4.2. サブカテゴリのスコアリング
5. Marine Transportation System Liquefied Natural Gas Mission Objectives 5. 海上輸送システム液化天然ガスミッション目標
5.1. Mission Objective-1: Maintain Safe and Secure Operations 5.1. ミッション目標-1: 安全・安心な操業の維持
5.2. Mission Objective-2: Ensure Operational Integrity of Plant Systems and Processes 5.2. ミッション目標-2: プラントのシステム及びプロセスの操作上の完全性を確保すること
5.3. Mission Objective-3: Control Operational and Enterprise Security and Access 5.3. ミッション目標-3: 運用上及びエンタープライズ上のセキュリティとアクセスを管理する。
5.4. Mission Objective-4: Monitor, Detect, and Respond to Anomalous Behavior 5.4. ミッション目標-4: 異常な動作の監視、検出、及び対応
5.5. Mission Objective-5: Safeguard the Environment 5.5. ミッション目標-5: 環境の保護
5.6. Mission Objective-6: Define Policy and Governance Actions that Capture/Protect the Mission 5.6. ミッション目標-6: ミッション目標を達成し、保護するための方針とガバナンスの明確化
5.7. Mission Objective-7: Maintain Regulatory Compliance 5.7. ミッション目標-7: 法規制の遵守の維持
5.8. Mission Objective-8: Continuously Optimize and Maintain Current Operational State by Establishing Baselines and Measures 5.8. ミッション目標-8: ベースライン及び手段を確立することによる、現在の運用状態の継続的な最適化及び維持
5.9. Mission Objective-9: Validate and Optimize the Supply Chain 5.9. ミッション目標-9: サプライチェーンの検証と最適化
6. Category Prioritization Summary 6. カテゴリーの優先順位付けの概要
6.1. Prioritized Cybersecurity Framework Categories by Mission Objective 6.1. サイバーセキュリティフレームワークのミッション目標別優先順位付けカテゴリー
6.2. Summary Table 6.2. 総括表
7. Priority Cybersecurity Framework Subcategories by Mission Objective 7. ミッション目的別優先順位付けされたサイバーセキュリティフレームワークのサブカテゴリー
7.1. Cybersecurity Framework Subcategory Priority Chart 7.1. サイバーセキュリティフレームワークサブカテゴリーの優先順位表
7.2. Subcategory Implementation Considerations 7.2. サブカテゴリの実装に関する検討事項
References 参考文献
Appendix A.  List of Symbols, Abbreviations, and Acronyms 附属書A.記号、略語、および頭字語のリスト
Appendix B.  Glossary 附属書B.  用語集

 

 

20221025-04816

 

⚫︎ National Cybersecurity Center of Excellence

発表...

・2023.06.08 NCCoE Publishes Final NIST IR 8406, Cybersecurity Framework Profile for Liquefied Natural Gas

 

NCCoE Publishes Final NIST IR 8406, Cybersecurity Framework Profile for Liquefied Natural Gas NCCoE、液化天然ガス向けサイバーセキュリティフレームワークプロファイル「NIST IR 8406」の最終版を公開
The National Cybersecurity Center of Excellence (NCCoE) has published the final version of NIST Interagency Report (NIST IR) 8406, Cybersecurity Framework Profile for Liquefied Natural Gas.  ナショナル・サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)は、NIST 内部機関報告(NIST IR)8406, 液化天然ガス向けサイバーセキュリティフレームワークプロファイルの最終版を公開した。 
Overview 概要
This publication was developed for the Liquefied Natural Gas (LNG) industry and the subsidiary functions that support the overarching liquefaction process, transport, and distribution of LNG. The LNG Cybersecurity Framework Profile can be used by entities who are part of the LNG industry to address and mitigate cybersecurity risks associated with LNG processes and systems. 本書は、液化天然ガス(LNG)業界と、LNGの包括的な液化プロセス、輸送、流通をサポートする補助的な機能を対象に開発された。LNG Cybersecurity Framework Profile は、LNG 業界に属する事業者が、LNG プロセスやシステムに関連するサイバーセキュリティリスクに対処し緩和するために使用することができる。
This Profile: このプロファイルは
・Can help organizations identify opportunities for managing cybersecurity risks in the LNG lifecycle; ・LNGのライフサイクルにおけるサイバーセキュリティリスクマネジメントの機会を組織が特定するのに役立つ;
・Provides a baseline of the Mission objectives for LNG operations that were identified and prioritized by LNG industry stakeholders; ・LNG業界のステークホルダーが特定し、優先順位をつけたLNG事業のミッション目標のベースラインを提供する;
・Builds on the identified Mission objectives to develop a prioritized list of Cybersecurity Framework (CSF) Categories; and ・特定されたミッション目標を基に、サイバーセキュリティフレームワーク(CSF)カテゴリの優先順位リストを作成する。
・Includes a table of prioritized CSF Subcategories based on identified CSF Categories. These prioritizations of Mission objectives, CSF Categories, and CSF Subcategories may serve as a useful starting point to identify cybersecurity activities and outcomes that may be important to members of the LNG industry. Additionally, prioritizations can be tailored to account for specific mission objectives or operational considerations.  ・特定された CSF カテゴリーに基づき、優先順位付けされた CSF サブカテゴリーの表が含まれている。ミッション目標、CSF カテゴリー及び CSF サブカテゴリーのこれらの優先順位付けは、LNG 業界のメンバーにとって重要なサイバーセキュリティ活動及び成果を特定するための有用な出発点として役立つであろう。さらに、優先順位付けは、特定のミッション目標や運用上の考慮事項を考慮するために調整することができる。 
The LNG Cybersecurity Framework Profile is not intended to replace any existing cybersecurity guidance or policy, but rather to complement existing best practices by helping stakeholders prioritize the recommendations provided by LNG organizations.  LNG サイバーセキュリティフレームワークプロファイルは、既存のサイバーセキュリティガイダンスや政策に取って代わるものではなく、むしろ LNG 組織が提供する推奨事項に利害関係者が優先順位をつけるのを支援することによって、既存のベストプラクティスを補完することを意図している。 
This publication was prepared for the U.S. Department of Energy’s Office of Cybersecurity, Energy Security, and Emergency Response (CESER) as part of an inter-agency agreement with the U.S. Department of Commerce’s National Institute of Standards and Technology (NIST) to research and develop tools and practices that will strengthen the cybersecurity of maritime transportation systems within the Nation’s energy sector, focusing on Liquefied Natural Gas (LNG). CESER and NIST developed this Profile through a collaborative process, driven by LNG industry stakeholders, which resulted in tailored guidance for the LNG industry to implement the NIST Cybersecurity Framework. 本書は、米国エネルギー省のサイバーセキュリティ・エネルギーセキュリティ・緊急対応局(CESER)が、米国商務省の国立標準技術研究所(NIST)との省庁間協定の一環として、液化天然ガス(LNG)を中心に、米国のエネルギー部門における海上輸送システムのサイバーセキュリティを強化するツールや実践を研究・開発したものである。CESERとNISTは、LNG業界の関係者が主導する共同プロセスを通じてこのプロファイルを開発し、LNG業界がNISTサイバーセキュリティフレームワークを実施するためのカスタマイズされたガイダンスを生み出した。
What is a Cybersecurity Framework Profile? サイバーセキュリティフレームワークプロファイルとは?
A Cybersecurity Framework Profile represents the outcomes based on business needs that an organization has selected from the NIST Cybersecurity Framework (CSF) Categories and Subcategories. Profiles offer a prioritization of NIST CSF Categories and Subcategories based on the mission and operational considerations common to a specific group, such as the LNG sector with the MTS. Profiles serve as a useful starting point for identifying cybersecurity activities and outcomes that may be important to the selected group. Profiles can be used to identify opportunities for improving cybersecurity posture by comparing a “Current” Profile (the “as is” state) with a “Target” Profile (the “to be” state). They also offer an organization a consistent way to discuss cybersecurity objectives across organizational roles—from senior leadership to technical implementors—using common terminology. Individuals within the organization can use the Profile to prioritize the allocation of resources to cybersecurity improvements or to areas of particular concern. サイバーセキュリティフレームワークプロファイルは、NISTサイバーセキュリティフレームワーク(CSF)のカテゴリとサブカテゴリから組織が選択したビジネスニーズに基づく成果を表す。プロファイルは、MTS の LNG セクターなど、特定のグループに共通するミッションと運用上の考慮事項に基づいて、NIST CSF カテゴリーとサブカテゴリーに優先順位を付けるものである。プロファイルは、選択したグループにとって重要なサイバーセキュリティ活動や成果を特定するための有効な出発点として機能する。プロファイルは、「現在」のプロファイル(「現状」の状態)と「目標」のプロファイル(「あるべき姿」の状態)を比較することにより、サイバーセキュリティ態勢を改善する機会を特定するために使用することができる。また、シニアリーダーから技術的な実装者まで、組織の役割分担を越えて、共通の用語を使ってサイバーセキュリティの目標を議論する一貫した方法を組織に提供する。組織内の個人は、サイバーセキュリティの改善や特に懸念される分野へのリソースの割り当てに優先順位をつけるために、このプロファイルを利用することができる。
This document is one such Profile, an application of the CSF to LNG industry. 本書は、そのようなプロファイルの一つであり、CSF を LNG 産業に適用したものである。

 

・2023.06.08 Cybersecurity Framework Profile for Liquefied Natural Gas

Cybersecurity Framework Profile for Liquefied Natural Gas 液化天然ガス向けサイバーセキュリティフレームワーク・プロファイル
Liquefied natural gas, or LNG, is natural gas that is supercooled to liquid form and shipped in specialized tankers to terminals and ports throughout the world. From the liquefaction facilities to the marine transportation systems, vessels, and LNG terminals, the production and transport of LNG relies on complex, interconnected, and interdependent IT, OT, and communications networks. A cybersecurity incident involving any aspect of the LNG lifecycle has the potential to affect the safety of the crews, vessels, cargo, and ports. 液化天然ガス(LNG)は、天然ガスを過冷却して液体にし、専用のタンカーで世界中のターミナルや港に輸送するものである。液化施設から海上輸送システム、船舶、LNGターミナルに至るまで、LNGの生産と輸送は、複雑で相互接続され、相互に依存するIT、OT、通信ネットワークに依存している。LNGライフサイクルのあらゆる側面に関わるサイバーセキュリティインシデントは、乗組員、船舶、貨物、港の安全性に影響を与える可能性がある。
A risk-based approach to help the LNG industry prioritize their cybersecurity activities LNG業界のサイバーセキュリティ活動の優先順位付けを支援するリスクベースのアプローチ
The Cybersecurity Framework Profile for LNG (Profile) provides a voluntary, risk-based approach for managing cybersecurity activities and reducing cyber risk to the overall LNG process. The Profile is a supplement to current cybersecurity standards, regulations, and industry guidelines that are already being used by the LNG industry. Cybersecurity Framework Profile for LNG(プロファイル)は、サイバーセキュリティ活動をマネジメントし、LNGプロセス全体に対するサイバーリスクを低減するための自主的でリスクベースのアプローチを提供する。本プロファイルは、LNG業界が既に使用している現行のサイバーセキュリティ基準、規制、業界ガイドラインを補完するものである。
STATUS: FINALIZED GUIDANCE ステータス 確定ガイダンス
This publication was developed for the Liquefied Natural Gas (LNG) industry and the subsidiary functions that support the overarching liquefaction process, transport, and distribution of LNG. The LNG Cybersecurity Framework Profile can be used by entities who are part of the LNG industry to address and mitigate cybersecurity risks associated with LNG processes and systems. 本書は、液化天然ガス(LNG)産業と、LNGの包括的な液化プロセス、輸送、流通をサポートする補助的な機能のために開発された。LNG Cybersecurity Framework Profile は、LNG 業界に属する事業者が、LNG プロセスとシステムに関連するサイバーセキュリティリスクに対処し緩和するために使用することができる。
LNG is natural gas that has been cooled to a liquid state—at about -260° Fahrenheit—for shipping and storage. Liquefying natural gas makes it possible to transport natural gas to places where pipelines cannot reach. LNGは、輸送や貯蔵のために華氏約-260度の液体状態にまで冷却された天然ガスである。天然ガスを液化することで、パイプラインが届かない場所にも天然ガスを輸送することが可能になる。
This Profile will help identify opportunities for managing cybersecurity risks in the LNG lifecycle. LNG systems may be vulnerable to cyber-attacks due to intrinsic system risks, which include remotely managed third-party systems and vulnerable onboard technologies (e.g., Programmable Logic Controllers (PLCs), Global Positioning System (GPS), and Automatic Identification System (AIS)). This could lead to overflowing fuel tanks, accidental release of LNG, and other risks that make LNG inaccessible, or cause serious impacts when returned to its gaseous state. このプロファイルは、LNGのライフサイクルにおけるサイバーセキュリティリスクマネジメントの機会を特定するのに役立ちます。LNGシステムは、遠隔管理される第三者システムや脆弱な船内技術(プログラマブルロジックコントローラ(PLC)、全地球測位システム(GPS)、自動認識システム(AIS)など)を含むシステム固有のリスクにより、サイバー攻撃に対して脆弱な場合がある。これにより、燃料タンクのオーバーフロー、LNGの偶発的な放出、その他のリスクにより、LNGにアクセスできなくなったり、気体の状態に戻したときに深刻な影響を及ぼす可能性がある。
To help jurisdictions across the United States safeguard LNG, the NCCoE together with industry stakeholders developed the Profile around high-level, mission-oriented goals (“Mission Objectives”) of LNG infrastructure. These Mission Objectives do not address every technical aspect of the LNG process since technical components of LNG systems vary widely and cannot be captured in their entirety within a single Profile. However, the Profile will help the LNG sector focus on critical operations that require attention and leave the individual stakeholders to implement specific cybersecurity controls that are best suited for their circumstances. 米国内の司法当局がLNGを保護するために、NCCoEは業界関係者とともに、LNGインフラのハイレベルでミッション指向の目標(「ミッション・オブジェクティブ」)を中心にプロファイルを開発した。LNGシステムの技術的構成要素は多岐にわたるため、1つのプロファイルでその全体を把握することはできない。しかし、このプロファイルは、LNGセクターが注意を要する重要な業務に焦点を当て、個々の関係者がそれぞれの状況に最も適した特定のサイバーセキュリティ対策を実施するのに役立つ。
To help LNG organizations across the United States provide cybersecurity for their systems, the NCCoE working with industry stakeholders developed a CSF Profile to help the LNG Industry manage its cybersecurity based on prioritized mission objectives. 米国内の LNG 組織がシステムのサイバーセキュリティを提供できるよう、NCCoE は業界関係者と協力して CSF Profile を開発し、LNG 産業が優先順位を付けたミッション目標に基づいてサイバーセキュリティを管理できるようにした。

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.10.25 NIST NISTIR 8406 (ドラフト) 液化天然ガス向けサイバーセキュリティフレームワークプロファイル (2022.10.17)

 

Cybersecurity Framework Profile

液化天然ガス

・2023.06.11 NIST NISTIR 8406 液化天然ガス向けサイバーセキュリティフレームワークプロファイル

・2022.10.25 NIST NISTIR 8406 (ドラフト) 液化天然ガス向けサイバーセキュリティフレームワークプロファイル (2022.10.17)

 

ハイブリッド衛星ネットワーク

・2023.06.10 NIST NISTIR 8441(ドラフト)ハイブリッド衛星ネットワークのためのサイバーセキュリティフレームワークプロファイル (2023.06.06)

・2022.11.06 NIST ホワイトペーパー NIST CSWP 27:ハイブリッド衛星ネットワーク (HSN) 用サイバーセキュリティ・フレームワーク・プロファイル:注釈付きアウトライン最終版

 

ランサムウェア

・2022.02.26 NISTIR 8374 ランサムウェア・リスク管理のためのサイバーセキュリティ・フレームワーク・プロファイル

・2021.09.10 NISTIR 8374 (Draft) ランサムウェア・リスク管理のためのサイバーセキュリティ・フレームワーク・プロファイル

・2021.06.11 NISTIR 8374 (Draft) ランサムウェア・リスク管理のためのサイバーセキュリティ・フレームワーク・プロファイル(初期ドラフト)

| | Comments (0)

2023.06.10

NIST SP 1800-40(ドラフト)NIST暗号モジュール検証プログラムの自動化(初期ドラフト)

こんにちは、丸山満彦です。

NISTがSP 1800-40 (ドラフト) NIST暗号モジュール検証プログラムの自動化(初期ドラフト)を公表し、意見募集をしています。。。

 

⚫︎ NIST - ITL

・2023.06.07 SP 1800-40 (Draft) Automation of the NIST Cryptographic Module Validation Program (Preliminary Draft)

 

SP 1800-40 (Draft) Automation of the NIST Cryptographic Module Validation Program (Preliminary Draft) SP 1800-40(ドラフト)NIST暗号モジュール検証プログラムの自動化(初期ドラフト)
Announcement 発表内容
Since the beginning of the Cryptographic Module Validation Program (CMVP), demands for the latest technology, cryptographic module fixes, and patch releases have outpaced NIST’s validation model. Today, NIST is working to reduce the length of the validation cycle, while maintaining and improving assurance levels. The goals of this practice guide are to support NIST with shortening the validation cycle and to keep the CMVP community informed of any proposed approaches and/or changes to the CMVP. 暗号モジュール検証プログラム(CMVP)の開始以来、最新技術、暗号モジュールの修正、およびパッチリリースに対する要求は、NISTの検証モデルを上回っている。今日、NISTは、保証レベルを維持・向上させながら、バリデーションサイクルの期間を短縮することに取り組んでいる。この実践ガイドの目標は、バリデーションサイクルを短縮するために NIST を支援すること、および CMVP コミュニティに提案されたアプローチやCMVPへの変更について情報を提供し続けることである。
This project will result in a publicly available NIST Cybersecurity Practice Guide in the Special Publication 1800 series, which contains practical steps and guidance to implement our cybersecurity reference designs. このプロジェクトは、Special Publication 1800 シリーズで一般公開される NIST サイバーセキュリティ実践ガイドとなり、サイバーセキュリティ参照設計を実装するための実践的な手順とガイダンスが含まれている。

 

・[PDF] NIST SP 1800-40A iprd

20230609-55234

 

Executive Summary  エグゼクティブサマリー 
NIST established the Cryptographic Module Validation Program (CMVP) to ensure that hardware and software cryptographic implementations conform to specified standard security requirements. This is a joint program with the Government of Canada. Since its start, the volume, complexity, and speed-tomarket of modules to be tested and validated has steadily increased. The rapid pace of industry innovation, release cycle of cloud services, and cryptographic module fixes and patch releases now outstrips available human resources for product vendors, labs, and validators.   NIST は、ハードウェアおよびソフトウェアの暗号実装が指定された標準的なセキュリティ要件に適合していることを確認するために、暗号モジュール検証プログラム(CMVP)を設立した。これは、カナダ政府との共同プログラムである。開始以来、テストと検証の対象となるモジュールの量、複雑さ、市場投入のスピードは着実に増加している。業界のイノベーション、クラウドサービスのリリースサイクル、暗号モジュールの修正とパッチリリースの急速なペースは、製品ベンダー、ラボ、バリデーターが利用できる人的資源を上回るようになった。 
We also live in times of unprecedented levels of threats and exploits that require deploying the latest technology and frequent product updates to fix defects and remove security vulnerabilities--that doesn’t fit in the current CMVP workflows and processes.  また、前例のないレベルの脅威や悪用の時代であるため、最新の技術を導入し、欠陥の修正やセキュリティ脆弱性の除去のために頻繁に製品を更新する必要があるが、これは現在のCMVPのワークフローやプロセスには当てはまらない。
This limits product options for many organizations required to use validated cryptography, especially federal agencies. NIST has started a broad effort to modernize and automate all aspects of the CMVP.    このため、検証済みの暗号を使用する必要がある多くの組織(特に連邦政府機関)では、製品の選択肢が限られてしまう。NISTは、CMVPのあらゆる側面を近代化し、自動化するための幅広い取り組みを開始した。  
This guide summarizes how the National Cybersecurity Center of Excellence (NCCoE) and its collaborators are developing a schema, protocols, and technology to create standardized tests and mechanisms for test evidence submission as part of automation of CMVP. As the project progresses, this preliminary draft will be updated, and additional volumes will also be released for comment.   このガイドでは、CMVP の自動化の一環として、ナショナル・サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)とその協力者が、標準化されたテストとテストエビデンス提出のメカニズムを作成するためのスキーマ、プロトコル、技術を開発する方法をまとめている。プロジェクトの進行に伴い、この初期ドラフトは更新され、コメントのための追加ボリュームも公開される予定である。 
The primary goal of the completed guide will be to integrate the developed application, process, and protocols into the NIST CMVP to help the test labs, technology producers, and validation authorities leverage this modern approach to shorten the validation cycle while maintaining and improving the level of assurance. The guide will help the CMVP community to stay informed and understand the approaches and changes that will be made to the program.  完成したガイドの主な目標は、開発したアプリケーション、プロセス、プロトコルをNIST CMVPに統合し、テストラボ、技術者、検証当局がこの最新のアプローチを活用して、保証レベルを維持・向上させながら検証サイクルを短縮できるようにすることである。このガイドは、CMVPコミュニティが情報を入手し、プログラムに加えられるアプローチと変更点を理解するのに役立つ。
CHALLENGE  課題 
The CMVP validates first and third party test laboratory assertions that cryptographic module implementations satisfy the requirements of Federal Information Processing Standards (FIPS) Publication 140-3, Security Requirements for Cryptographic Modules. Module testing and reporting is conducted in accordance with International Organization for Standardization (ISO)/International Electrotechnical Commission (IEC) 24759 as specified and constrained by the NIST Special Publication 800-140 series, and combines reporting of both functional and nonfunctional security requirements. Current industry cryptographic product development, production, and maintenance processes place significant emphasis on time-to-market efficiency while also striving to deliver quality and security. A number of elements of the test and validation process are manual in nature and use nonstandard tests and test evidence, and the period required for laboratory testing and government validation of cryptographic modules is often incompatible with industry and customer requirements. This process can take up to two years; industry may have several innovative releases in that time frame that are backlogged for validation due to the current process.  CMVP は、暗号モジュールの実装が連邦情報処理標準(FIPS)出版物 140-3, 暗号モジュールに求められるセキュリティ要件 の要件を満たしているという第一および第三のテストラボの主張を検証する。モジュールのテストと報告は、NIST 特別出版物 800-140 シリーズで規定され制約されている国際標準化機構(ISO)/国際電気標準会議(IEC)24759に従って行われ、機能的および非機能的なセキュリティ要件の報告を兼ねている。現在の業界における暗号製品の開発、製造、保守のプロセスは、品質とセキュリティの実現に努めつつ、市場投入までの時間を効率化することに大きな重点を置いている。テスト・検証プロセスの多くの要素が手作業で行われ、非標準的なテストやテストエビデンスが使用されており、暗号モジュールのラボテストや政府の検証に必要な期間は、業界や顧客の要件と相容れないことが多い。このプロセスには最大で2年かかることがある。業界では、この期間にいくつかの革新的なリリースがあり、現在のプロセスのために検証のためにバックログになっている可能性がある。
OUTCOME  成果 
The outcome of this project is to develop a proof of concept to include a CMVP test and validation service; a set of structured tests, schema, and protocols for evidence submission; a repeatable approach for testing, including cloud-based testing; and corresponding computing infrastructure to automate the validation of FIPS 140-3 security requirements for cryptographic modules. The developed code, schema and protocol specifications, supporting documentation, and findings will be published in this practice guide, a NIST Special Publication (SP) 1800 that is composed of multiple volumes.  このプロジェクトの成果は、CMVPテストおよび検証サービス、構造化されたテスト、スキーマ、および証拠提出のためのプロトコルのセット、クラウドベースのテストを含むテストのための反復可能なアプローチ、および暗号モジュールのFIPS 140-3セキュリティ要件の検証を自動化するための対応するコンピュータインフラを含む概念実証を開発することである。開発されたコード、スキーマおよびプロトコルの仕様、サポート文書、および調査結果は、複数の巻からなる NIST Special Publication (SP) 1800 である本実践ガイドとして公開される予定である。
This preliminary practice guide can help your enterprise organization, e.g., Federal Agencies:  この初期実践ガイドは、エンタープライズ組織(例:連邦政府機関)に役立つものである: 
§  understand the value and practicality of automation to improve the efficiency and timeliness of CMVP operation and processes  § CMVP の運用とプロセスの効率と適時性を向上させるための自動化の価値と実用性を理解する。
§  understand the considerations associated with decisions regarding a potential future ability to perform first-party testing, such as with product/service providers  § 製品/サービスプロバイダなど、将来的にファーストパーティテストを実施する可能性がある場合、その決定に関連する考慮事項を理解する。
This preliminary practice guide can help CMVP test labs and vendors:  この初期実践ガイドは、CMVPテストラボおよびベンダーを支援するものである: 
§  understand the value and practicality of automation to improve the efficiency and timeliness of CMVP operation and processes  § CMVP の運用とプロセスの効率と適時性を向上させるための自動化の価値と実用性を理解する。
§  learn about the automation of the test report format and protocols for exchanging test evidence  § テストレポートフォーマットおよびテストエビデンスの交換プロトコルの自動化について学ぶ。
§  leverage sample code to develop their own client to interface with the developed test server  § サンプルコードを活用して、開発されたテストサーバーとのインターフェイスを持つ独自のクライアントを開発する。
§  replicate and host their own test environment using the architecture and supporting content 
§ アーキテクチャーとサポートコンテンツを使用して、独自のテスト環境を複製し、ホストする。
SOLUTION  解決方法 
NCCoE is currently collaborating with technology providers on finalizing the demonstration architecture to show the value and practicality of automation for improving the efficiency and timeliness of CMVP operation and processes. This effort is the complement to the automated Cryptographic Algorithm Validation Program (CAVP). The ultimate goal of this initiative is to provide mechanisms for testing by National Voluntary Laboratory Accreditation Program (NVLAP) accredited parties, to include first parties such as product/service providers and third parties such as independent testing laboratories. Ideally, the project would lead to standardized tests and a schema for test evidence submission where feasible for each of the test requirements found in ISO/IEC 24759 at all four security levels.   NCCoEは現在、CMVPの運用とプロセスの効率と適時性を向上させるための自動化の価値と実用性を示すために、技術プロバイダと協力して実証アーキテクチャを確定している。この取り組みは、自動化された暗号アルゴリズム検証プログラム(CAVP)を補完するものである。この取り組みの最終的な目標は、製品/サービスプロバイダなどのファーストパーティや独立試験所などのサードパーティを含む、NVLAP(National Voluntary Laboratory Accreditation Program)認定者によるテストのためのメカニズムを提供することである。理想的には、このプロジェクトは、ISO/IEC 24759に見られる各テスト要件について、4つのセキュリティレベルすべてにおいて、標準化されたテストとテストエビデンス提出のためのスキーマを実現可能な範囲で提供することである。 
Because of the large range of the technologies and the corresponding security requirements the CMVP covers, this project will be executed in phases. The initial project phase is for software module validation at security level 1, which is foundational and will inform future phases. This activity demonstrates an evidence catalog that maps test evidence (TE) references to specific TEs and a schema for standardized evidence submission for the validation testing of cryptographic software modules. The demonstration includes a suite of tools for modernizing and automating manual review processes in support of existing policy and efforts, including technical acceptance testing. The demonstration also includes a cloudbased approach to automate the manual review processes.  CMVPが対象とする技術および対応するセキュリティ要件は多岐にわたるため、このプロジェクトは段階的に実施される。最初のプロジェクトフェーズは、セキュリティレベル1におけるソフトウェアモジュールの検証であり、これは基礎的なもので、将来のフェーズに情報を提供するものである。この活動では、暗号ソフトウェアモジュールの妥当性確認試験のために、テストエビデンス(TE)参照を特定のTEにマッピングするエビデンスカタログと、標準化されたエビデンス提出用のスキーマを実証する。このデモには、技術的な受け入れテストを含む既存のポリシーや取り組みをサポートするために、手動レビュープロセスを近代化および自動化するためのツール一式が含まれている。また、このデモには、手動レビュープロセスを自動化するためのクラウドベースのアプローチも含まれている。
These automated tools integrate in common vendor/manufacturer testing processes that permit organizations to test their cryptographic products according to the requirements of FIPS 140-3, then directly report the results to the NIST validation server using appropriate protocols and obtain certificates of compliance. Participating organizations will identify personnel and organizational structures needed to perform this testing and report results to the CMVP to comply with the laboratory requirements for testing programs established by NVLAP under NIST Handbook (HB) 150-17. The accreditation requirements in HB 150-17 are hierarchical and compositional in nature so that organizations can tailor the scope of accreditation according to their specific product/service portfolio.  これらの自動化ツールは、一般的なベンダー/メーカーのテストプロセスに統合され、組織はFIPS 140-3の要件に従って暗号製品をテストし、適切なプロトコルを使用して結果をNIST検証サーバに直接報告し、準拠証明書を取得することができる。参加組織は、NISTハンドブック(HB)150-17に基づきNVLAPが制定したテストプログラムのラボ要件に準拠するため、このテストの実施とCMVPへの結果報告に必要な人員と組織構造を特定する。HB 150-17の認定要件は、組織が特定の製品/サービスポートフォリオに応じて認定範囲を調整できるように、階層的かつ構成的な性質を持っている。
Collaborators 協力者
Acumen Security アキュメン・セキュリティ
atsec アットセック
AEGISOLVE AEGISOLVE
Amazon Web Services (AWS) アマゾン ウェブ サービス(AWS)
Apple アップル
Cisco シスコ
Cloudflare クラウドフレア
Lightship Security ライトシップセキュリティ
Microsoft Corporation  マイクロソフト株式会社 
NXP Semiconductors  NXPセミコンダクターズ 
SUSE  SUSE 
While the NCCoE will use a suite of commercial and open source products to address this challenge, this guide does not endorse particular products, nor does it guarantee compliance with any regulatory initiatives. Your organization's information security experts should identify the products that will best integrate with your existing tools and IT system infrastructure. Your organization can adopt this solution or one that adheres to these guidelines in whole, or you can use this guide as a starting point for tailoring and implementing parts of a solution. 


NCCoEは、この課題に対処するために一連の商用およびオープンソース製品を使用するが、本ガイドは特定の製品を推奨するものではなく、またいかなる規制イニシアチブへの準拠も保証するものでもない。組織の情報セキュリティ専門家は、既存のツールやITシステムインフラと最もよく統合できる製品を特定する必要がある。また、このガイドを出発点として、ソリューションの一部をカスタマイズして実装することも可能である。
HOW TO USE THIS GUIDE  このガイドの使用方法 
Depending on your role in your organization, you might use this guide in different ways:  組織におけるあなたの役割に応じて、このガイドをさまざまな方法で使用することができる: 
Business decision makers, including chief information security officers, product managers, test 77 laboratory managers, and technology officers can use this part of the guide, NIST SP 1800-40A: 78 Executive Summary, to understand the drivers for the guide, the cybersecurity challenge we address, our approach to solving this challenge, and how the solution could benefit your organization.  最高情報セキュリティ責任者、製品管理者、試験所管理者、技術責任者などのビジネス意思決定者は、本書のこの部分、NIST SP 1800-40A: 78 Executive Summary を使用して、本書の目的、当社が取り組むサイバーセキュリティ上の課題、この課題解決への当社のアプローチ、およびソリューションが組織にもたらすメリットについて理解できる。
Other roles including technology, security, and privacy program managers and architects and software  技術、セキュリティ、プライバシーのプログラムマネージャやアーキテクト、ソフトウェア開発者、エンジニア、IT 専門家など、他の役割もある。
developers, engineers, and IT professionals may find value in this Executive Summary, as well as future releases of this publication which will include greater details about the approach and technical implementation information.  また、本書の今後のリリースでは、アプローチの詳細や技術的な実装情報を掲載する予定である。
SHARE YOUR FEEDBACK  ご意見をお聞かせください 
You can view or download the preliminary draft guide at the Automation of the NIST Cryptographic Module Validation Program project page. NIST follows an agile process to publish this content. Each volume is made available as soon as possible rather than delaying release until all volumes are completed. Work continues on designing and implementing the example solution and developing other parts of the content. As a preliminary draft, this volume will have at least one additional draft released for public comment before it is finalized. 



NIST Cryptographic Module Validation ProgramプロジェクトページのAutomation of the NISTで、初期ドラフトガイドを閲覧またはダウンロードすることができる。NISTは、このコンテンツを公開するためにアジャイルプロセスを採用している。各巻は、すべての巻が完了するまで発行を延期するのではなく、できるだけ早く利用できるようにする。例題ソリューションの設計と実装、およびコンテンツの他の部分の開発作業が続いている。初期ドラフトとして、この巻は、最終決定する前に、パブリックコメントのために少なくとも1つの追加ドラフトを公開する予定である。 
Help the NCCoE make this guide better by sharing your thoughts with us as you read the guide. Once the example implementation is developed, you can adopt this solution for your own organization. If you do, please share your experience and advice with us. We recognize that technical solutions alone will not fully enable the benefits of our solution, so we encourage organizations to share lessons learned and recommended practices for transforming the processes associated with implementing this guide.   NCCoEがこのガイドをより良いものにするために、ガイドについて意見をお願いする。実装例が開発されたら、このソリューションを自身の組織に採用することができる。その場合、あなたの経験や助言を私たちと共有してください。技術的な解決策だけでは、本ソリューションのメリットを十分に発揮できないことを認識しているので、本ガイドの実施に関連するプロセスを変革するための教訓や推奨される実践方法を組織で共有することを勧める。 
To provide comments or join the CMVP Automation community of interest, contact the NCCoE at mail.   コメントの提供やCMVP Automationの関心コミュニティーへの参加は、NCCoE(mail)まで連絡すること
COLLABORATORS  共同研究者 
Collaborators participating in this project submitted their capabilities in response to an open call in the Federal Register for all sources of relevant security capabilities from academia and industry (vendors and integrators). Those respondents with relevant capabilities or product components signed a Cooperative Research and Development Agreement (CRADA) to collaborate with NIST in a consortium to build this example solution.   このプロジェクトに参加する共同研究者は、連邦官報に掲載された、学術界および産業界(ベンダーおよびインテグレーター)からの関連するセキュリティ能力のすべてのソースの公募に応じて、能力を提出した。関連する能力または製品コンポーネントを持つ回答者は、この例のソリューションを構築するためにコンソーシアムでNISTと協力するための協力研究開発契約(CRADA)に署名した。 
Certain commercial entities, equipment, products, or materials may be identified by name or company logo or other insignia in order to acknowledge their participation in this collaboration or to describe an experimental procedure or concept adequately. Such identification is not intended to imply special status or relationship with NIST or recommendation or endorsement by NIST or NCCoE; neither is it intended to imply that the entities, equipment, products, or materials are necessarily the best available for the purpose.  この共同研究への参加を認めるため、または実験手順やコンセプトを適切に説明するために、特定の商業団体、機器、製品、または材料が名前または会社のロゴまたはその他の記章で特定される場合がある。このような識別は、NISTとの特別な地位や関係、NISTやNCCoEによる推奨や推薦を意味するものではなく、また、その団体、機器、製品、材料が必ずしも目的のために利用できる最良のものであることを意味するものでもない。

 

プロジェクトのページ...

Project homepage (web)

 

 

| | Comments (0)

NIST NISTIR 8441(ドラフト)ハイブリッド衛星ネットワークのためのサイバーセキュリティフレームワークプロファイル (2023.06.06)

こんにちは、丸山満彦です。

NISTが、NIST IR 8441(ドラフト)ハイブリッド衛星ネットワークのためのサイバーセキュリティフレームワークプロファイルについての意見募集をしていますね。。。

商業用衛生ビジネスが、垂直統合的なビジネスモデルから、コンポーネンツ毎に関係する事業者が異なるようなハイブリッド状況でどのようにセキュリティを担保するかを、サイバーセキュリティフレームワーク(改訂中ですが...)に従って、検討しているものですね。。。

 

⚫︎ NIST

プレス...

・2023.06.06 Open for Public Comment: Draft NIST IR 8441, Cybersecurity Framework Profile for Hybrid Satellite Networks

 

文書...

・2023.06.06 NISTIR 8441 (Draft) Cybersecurity Framework Profile for Hybrid Satellite Networks (HSN)

NISTIR 8441 (Draft) Cybersecurity Framework Profile for Hybrid Satellite Networks (HSN) NISTIR 8441(ドラフト) ハイブリッド衛星ネットワーク(HSN)向けサイバーセキュリティフレームワークプロファイル
Announcement 発表内容
The HSN Cybersecurity Framework (CSF) Profile, informed by an active community of interested stakeholders, provides a practical tool for organizations engaged in the design, acquisition, and operation of satellite buses or payloads involving HSN. Its primary intent is to help those organizations better understand the attack surface, incorporate security, and achieve greater resilience for space systems that may be leveraged by critical infrastructure owners and operators, the DoD, or other government missions, in a manner that is consistent with the sponsor organization’s risk tolerance. HSNサイバーセキュリティ・フレームワーク(CSF)プロファイルは、関心のある利害関係者の活発なコミュニティから情報を得て、HSNを含む衛星バスまたはペイロードの設計、取得、運用に携わる組織に対して実用的なツールを提供する。その主な目的は、重要なインフラの所有者や運営者、国防総省、その他の政府ミッションによって活用される可能性のある宇宙システムに対して、スポンサー組織のリスク許容度に合致した方法で、攻撃対象領域をよりよく理解し、セキュリティを組み込み、より高いレジリエンスを達成することを支援することである。
The HSN Profile will help organizations: HSNプロファイルは、組織にとって次のような助けとなる:
・Identify systems, assets, data, and risks from the CSF that pertain to HSN. ・システム、資産、データ、およびHSNに関連するCSFのリスクを特定する。
・Protect HSN services by utilizing cybersecurity principles and self-assessment. ・サイバーセキュリティの原則と自己評価を活用し、HSN サービスを保護する。
・Detect cybersecurity-related disturbances or corruption of HSN services and data. ・サイバーセキュリティに関連する HSN サービスおよびデータの妨害または破損を検出する。
・Respond to HSN service or data anomalies in a timely, effective, and resilient manner. ・HSNのサービスやデータの異常に、タイムリーかつ効果的でレジリエンスに富んだ方法で対応する。
・Recover the HSN to proper working order at the conclusion of a cybersecurity incident. ・サイバーセキュリティインシデントの終了時に、HSNを正常な動作状態に回復させる。
As the space sector is transitioning away from traditional vertically integrated entities and towards an aggregation of independently-owned and operated segments, it is becoming more critical for all stakeholders to share a common understanding of the risks and how they can be mitigated. We appreciate your help. If you have expertise in Commercial Space capabilities, please help shape this important Profile. 宇宙分野は、従来の垂直統合型事業体から独立した所有・運営セグメントの集合体へと移行しつつあり、すべての利害関係者がリスクとその軽減方法について共通の理解を持つことがより重要になってきている。皆様のご協力をお願いする。商業宇宙に関する専門知識を持っている方は、この重要なプロフィールを作成するために、ぜひ協力をお願いする。
Abstract 概要
The space sector is transitioning away from traditional vertically-integrated entities and towards Hybrid Satellite Networks (HSN) which is an aggregation of independently owned and operated terminals, antennas, satellites, payloads, or other components that comprise a satellite system. The elements of an HSN may have varying levels of assurance. 宇宙分野は、従来の垂直統合型の事業体から、ハイブリッド衛星ネットワーク(HSN)へと移行しつつある。HSNとは、衛星システムを構成する独立所有・運営の端末、アンテナ、衛星、ペイロード、その他のコンポーネントの集合体である。HSN の各要素は、様々なレベルの保証を持つことができる。 
HSNs may interact with government systems and critical infrastructure (as defined by the Department of Homeland Security). A framework is required to assess the security posture of the individual components while still enabling the HSN to provide its function. This report applies the NIST Cybersecurity Framework to HSNs with an emphasis on the interfaces between the participants of the HSN.  HSN は、政府システム及び重要インフラ(国土安全保障省が定義)と相互作用する場合がある。HSN がその機能を提供できるようにしつつ、個々の構成要素のセキュリティ姿勢を評価するためのフレームワークが必要である。本報告書では、HSN の参加者間のインタフェースに重点を置いて、NIST サイバーセキュリティフレームワークを HSN に適用している。 
In collaboration with subject matter experts including satellite builders, consultants, acquisition authorities, operators (commercial and government), academia, and other interested parties, the National Institute of Standards and Technology (NIST) has developed the HSN Cybersecurity Framework CSF Profile (HSN Profile) to guide space stakeholders. The resulting profile provides a starting point for stakeholders who are assessing the cybersecurity posture of their HSN. 米国国立標準技術研究所(NIST)は、衛星製造者、コンサルタント、取得当局、運用者(商業および政府)、学界、およびその他の関係者を含む主題専門家と協力して、宇宙関係者の指針となる HSN サイバーセキュリティフレームワーク CSF プロフィール(HSN プロフィール)を開発しました。得られたプロファイルは、HSNのサイバーセキュリティ態勢を評価する関係者に出発点を提供するものである。

 

・[PDF] NISTIR 8441 (Draft)

20230609-55225

 

目次...

 

Table of Contents 目次
1. Introduction 1. 序文
1.1. Purpose and Objectives 1.1. 目的及び目標
1.2. Scope 1.2. 対象範囲
1.3. Audience 1.3. 対象者
2. Intended Use 2. 使用目的
3. Overview 3. 概要
3.1. Risk Management Overview 3.1. リスクマネジメントの概要
3.2. Cybersecurity Framework Overview 3.2. サイバーセキュリティフレームワークの概要
4. The HSN CSF Profile 4. HSN CSFプロファイル
4.1. Identify 4.1. 識別
 4.1.1. Asset Management Category  4.1.1. 資産管理カテゴリー
 4.1.2. Business Environment Category  4.1.2. ビジネス環境カテゴリー
 4.1.3. Governance Category  4.1.3. ガバナンスカテゴリー
 4.1.4. Risk Assessment Category  4.1.4. リスクアセスメントカテゴリー
 4.1.5. Risk Management Category  4.1.5. リスクマネジメントカテゴリー
 4.1.6. Supply Chain Risk Management  4.1.6. サプライチェーンリスクマネジメント
4.2. Protect 4.2. 防御
 4.2.1. Protect: Identity Management, Authentication, and Access Control  4.2.1. 防御:アイデンティティ管理、認証、アクセス制御
 4.2.2. Protect: Awareness and Trainings Category  4.2.2. 防御:意識向上およびトレーニングカテゴリー
 4.2.3. Protect: Data Security Category  4.2.3. 防御:データセキュリティカテゴリー
 4.2.4. Protect: Information Protection Processes and Procedures Category  4.2.4. 防御:情報を保護するプロセスおよび手順カテゴリー
 4.2.5. Protect: Maintenance Category  4.2.5. 防御:保守カテゴリー
 4.2.6. Protect: Protective Technology Category  4.2.6. 防御:保護技術カテゴリー
4.3. Detect 4.3. 検知
 4.3.1. Detect: Anomalies and Event Category  4.3.1. 検知:異常とイベントカテゴリー
 4.3.2. Detect: Security Continuous Monitoring Category  4.3.2. 検知:セキュリティの継続的なモニタリングカテゴリー
 4.3.3. Detect: Detection Processes Category  4.3.3. 検知:検知プロセスカテゴリー
4.4. Respond 4.4. 対応
 4.4.1. Respond: Response Planning Category  4.4.1. 対応:対応計画カテゴリー
 4.4.2. Respond: Communications Category  4.4.2. 対応:コミュニケーションカテゴリー
 4.4.3. Respond: Analysis Category  4.4.3. 対応:分析カテゴリー
 4.4.4. Respond: Mitigation Category  4.4.4. 対応:低減カテゴリー
 4.4.5. Respond: Improvements Category  4.4.5. 対応:改善カテゴリー
4.5. Recover 4.5. 復旧
 4.5.1. Recovery Planning Category  4.5.1. 復旧計画カテゴリー
 4.5.2. Improvements Category  4.5.2. 改善カテゴリー
 4.5.3. Communications Category  4.5.3. コミュニケーションカテゴリー
References 参考資料
Appendix A. List of Acronyms 附属書 A. 頭字語一覧
Appendix B. Glossary 附属書 B. 用語集

 

1_20230610054201

図1:シンプルなHSNアーキテクチャの例

 

 

2_20230610054201

図2:仮想化されたコンポーネントを持つHSNの例

 

 

3_20230610054201

図3:より複雑なHSNアーキテクチャの例

 


 

⚫︎ まるちゃんの情報セキュリティ気まぐれ日記

サイバーセキュリティフレームワーク2.0関係

・2023.04.26 米国 NIST ホワイトペーパー(案) 「NIST サイバーセキュリティ・フレームワーク 2.0 コア」のディスカッションドラフト

・2023.01.21 米国 NIST サイバーセキュリティフレームワークの改訂の方向性(CSF2.0に向けて...)

・2022.10.07 米国 NIST 国際的活動に関する最新情報:CSF2.0アップデートワークショップなど (2022.09.30)

 

衛星関係...

・2023.05.31 ENISA 海底ケーブルから低軌道衛星通信までのセキュリティの確保 (2023.05.24)

・2023.01.08 NISTIR 8401 衛星地上セグメント:衛星の指揮・統制を保証するためのサイバーセキュリティフレームワークの適用 (2022.12.30)

・2022.11.06 NIST ホワイトペーパー NIST CSWP 27:ハイブリッド衛星ネットワーク (HSN) 用サイバーセキュリティ・フレームワーク・プロファイル:注釈付きアウトライン最終版

・2022.08.05 ドイツ BSI 宇宙インフラのためのサイバーセキュリティ

・2022.07.16 経済産業省 令和3年度委託調査報告書(サイバーセキュリティ関係) 2022.07.14現在

・2022.07.14 NIST NCCoE ハイブリッド衛星ネットワーク(HSN)サイバーセキュリティ(ドラフト)

・2022.07.06 NISTIR 8323 Rev. 1 (ドラフト) 基礎的な PNT プロファイル:測位・航法・計時(PNT)サービスの責任ある使用のためのサイバーセキュリティフレームワークの適用 (2022.06.29)

・2022.04.21 NISTIR 8401 (ドラフト) 衛星地上セグメント:衛星の指揮・統制を保証するためのサイバーセキュリティフレームワークの適用

・2022.02.28 NISTIR 8270(ドラフト)商用衛星運用のためのサイバーセキュリティ入門(第2稿)

・2022.02.27 経済産業省 意見募集 「民間宇宙システムにおけるサイバーセキュリティ対策ガイドラインβ版」

・2021.07.02 NISTIR 8270(ドラフト)商用衛星運用のためのサイバーセキュリティ入門

・2021.05.23 GPSの二重化は現在のところ経済効率的ではないようですね。。。

・2021.04.16 U.S. Rand研究所 衛星インターネットサービスは独裁者にとって吉?凶?

・2021.04.12 宇宙経済をサイバー攻撃から守り抜くために by The Center for Security Studies at ETH Zürich at 2021.01.07

・2021.02.13 NIST NISTIR 8323 基本的なPNTプロファイル:測位・航法・計時(PNT)サービスの責任ある使用のためのサイバーセキュリティフレームワークの適用

・2020.11.21 MITREがサイバーセキュリティを含む宇宙関連の5つの技術報告書を公開していますね。。。

・2020.10.23 NISTが測位・航法・計時(PNT)に関連するサービスに関連したセキュリティプロファイルに関する文書(NISTIR 8323)のパブコメを募集していますね。

・2020.09.21 イランのハッカー3名が衛星会社から知財を盗んだ理由等により起訴されていますね。。。

 

 

| | Comments (0)

NIST mDL モバイル端末に運転免許証... (2023.06.01)

こんにちは、丸山満彦です。

NISTがホワイトペーパー [プロジェクト説明】 モバイルデバイスにおけるデジタルアイデンティティの導入を加速させる: アイデンティティ・マネジメントを公開しています。

mDLのユースケース、mDL実装のための実践ガイドなどが記載されていますね。。。カードにではなく、モバイル端末に免許証が入る方がよいですね。海外では、例えば韓国では、モバイル免許証が実用化されていますよね。。。

 

⚫︎ NIST - ITL

・2023.06.01 White Paper [Project Description] Accelerate Adoption of Digital Identities on Mobile Devices: Identity Management

White Paper Project Description] Accelerate Adoption of Digital Identities on Mobile Devices: Identity Management ホワイトペーパー [プロジェクト説明】 モバイルデバイスにおけるデジタルアイデンティティの導入を加速させる: アイデンティティ・マネジメント
Abstract 概要
There are several new digital credentials-based standards emerging and they are all silos operating in specific environments and written for specific contexts.  As such, there is a lack of foundational, strongly verifiable, and trustable digital credentials available to make transition to today’s mobile device platforms. NCCoE cybersecurity experts will address this challenge through collaboration with Issuing Authorities, digital identity solutions providers, Verifiers (also known as Relying Parties), and third-party trust service providers. This effort will enable participants to jointly demonstrate how solutions based on ISO/IEC 18013-5 and ISO/IEC 18013-7 can address specific real-world transactions, by disparate stakeholders, requiring digital identity. This effort will also enable more equitable, secure, and convenient commerce along with easier access to government services. デジタル・クレデンシャルに基づく新しい標準がいくつか登場しているが、それらはすべて特定の環境で動作し、特定のコンテキスト向けに書かれたサイロである。  そのため、今日のモバイル・デバイス・プラットフォームへの移行に利用できる、基礎的で強く検証可能な、信頼できるデジタル・クレデンシャルが不足しています。NCCoE のサイバーセキュリティ専門家は、発行機関、デジタル ID ソリューション・プロバイダ、検証者(信頼当事者とも呼ばれる)、および第三者信頼サービス・プロバイダとの協力を通じてこの課題に対処する予定です。この取り組みにより、参加者は ISO/IEC 18013-5 および ISO/IEC 18013-7 に基づくソリューションが、デジタル ID を必要とする異種の利害関係者による特定の実世界の取引にどのように対応できるかを共同で実証することができます。この取り組みにより、より公平で安全かつ便利な商取引が可能になり、政府サービスへのアクセスも容易になります。
The NCCoE, in cooperation with industry / government agencies / academic institutions, will study, evaluate, implement, and test interoperability and security claims of the international standards, ISO/IEC 18013-5 (published), ISO/IEC 18013-7 (currently a working draft), and the ecosystem surrounding these standards. Specific outcomes of this project will be: NCCoE は、産業界/政府機関/学術機関と協力して、国際規格 ISO/IEC 18013-5 (発行済み)、ISO/IEC 18013-7 (現在ワーキングドラフト)、およびこれらの規格を取り巻くエコシステムの相互運用性とセキュリティに関する主張を研究、評価、実装、およびテストする。このプロジェクトの具体的な成果は以下の通りです:
 ・An open-source reader reference implementation ・オープンソースのリーダーリファレンス実装
・Demonstrations of mDL use cases ・mDLのユースケースのデモンストレーション
・Practice guide for implementing mDLs ・mDL実装のための実践ガイド
Furthermore, there will be an Outreach and Engagement (O&E) effort that will champion, socialize, and help to spread the word externally with the goal of getting as much involvement as possible. さらに、可能な限り多くの参加者を得ることを目標に、外部への働きかけ、社会化、普及を支援するOutreach and Engagement (O&E)の取り組みが行われます。

 

・[PDF] White Paper [Project Description] Accelerate Adoption of Digital Identities on Mobile Devices: Identity Management

20230609-55209

・[DOCX] 仮訳

 

プロジェクトのウェブページ...

Digital Identities - Mobile Driver's License (mDL)

 

mDL クレデンシャルライフサイクル...

 

1_20230610045301

 

参考

⚫︎ ISO

ISO/IEC 18013-5:2021 Personal identification — ISO-compliant driving licence — Part 5: Mobile driving licence (mDL) application

ISO/IEC CD TS 18013-7 Personal identification — ISO-compliant driving licence — Part 7: Mobile driving licence (mDL) add-on functions

 

⚫︎NIST - ITL

・[html] SP 800-63-3 Digital Identity Guidelines

 

 

| | Comments (0)

2023.06.09

NIST SP 800-225 2022年度サイバーセキュリティ・プライバシー年次報告書 (2023.05.30)

こんにちは、丸山満彦です。

NISTが2022年度(2021年10月1日から2022年9月30日)のサイバーセキュリティとプライバシー年次報告書を公表していますね。。。毎年、1年後の9月末に公表していたのが、3ヶ月ほど早くなりましたね。。。

今年は、、、

1 Cryptography 暗号
2 Education, Training & Workforce Development 教育、トレーニング、人材開発
3 Identity & Access Management アイデンティティとアクセス管理
4 Privacy プライバシー
5 Risk Management & Measurement リスクマネジメントと計測
6 Trustworthy Networks & Platforms 信頼できるネットワークとプラットフォーム
7 Usable Cybersecurity 利用可能なサイバーセキュリティ

 

NIST - ITL

・2023.05.30 SP 800-225  Fiscal Year 2022 Cybersecurity and Privacy Annual Report

 

SP 800-225 Fiscal Year 2022 Cybersecurity and Privacy Annual Report SP 800-225 2022年度サイバーセキュリティ・プライバシー年次報告書
Abstract 概要
During Fiscal Year 2022 (FY 2022) – from October 1, 2021, through September 30, 2022 – the NIST Information Technology Laboratory (ITL) Cybersecurity and Privacy Program successfully responded to numerous challenges and opportunities in security and privacy. This Annual Report highlights the FY 2022 research activities for the ITL Cybersecurity and Privacy Program, including: the ongoing participation and development of international standards; research and practical applications in several key priority areas (e.g., Post Quantum Cryptography, updating the NIST Cybersecurity Framework (CSF 2.0) and some new CSF profiles); accomplishments in the area of improving software and supply chain cybersecurity; IoT cybersecurity guidelines work; National Cybersecurity Center of Excellence (NCCoE) projects, and setting up a new comment site for NIST’s Risk Management Framework work. NIST also celebrated a 50th anniversary in cybersecurity and the NCCoE celebrated a 10-year anniversary since inception. 2022会計年度(2021年10月1日から2022年9月30日まで)、NIST情報技術研究所(ITL)のサイバーセキュリティ・プライバシープログラムは、セキュリティとプライバシーに関する多くの課題と機会にうまく対応することができた。本年次報告書では、ITLサイバーセキュリティ・プライバシープログラムの2022年度の研究活動を紹介する:国際標準への継続的な参加と開発、いくつかの主要優先分野での研究と実用化(例.耐量子暗号、NISTサイバーセキュリティフレームワーク(CSF 2.0)の更新といくつかの新しいCSFプロファイル)、ソフトウェアとサプライチェーンのサイバーセキュリティの改善分野での成果、IoTサイバーセキュリティのガイドライン作業、National Cybersecurity Center of Excellence(NCCoE)プロジェクト、NISTのリスクマネジメントフレームワークの新しいコメントサイトの立ち上げ。また、NISTはサイバーセキュリティの分野で50周年を迎え、NCCoEは発足から10周年を迎えた。

 

・[PDF] SP 800-225

20230609-55141

 

 

 過去のものを横に並べてみると。。。

 

2022 2021 2020 2019 2018 2017
SP800-225 SP 800-220 SP 800-214 SP 800-211 SP 800-206  SP 800-203
暗号 暗号の標準と検証 サイバーセキュリティの啓発と教育  サイバーセキュリティとプライバシーの標準化の進化 サイバーセキュリティとプライバシー基準の推進 国際ITセキュリティ標準へのITLの関与
教育、トレーニング、人材開発 サイバーセキュリティの測定 アイデンティティとアクセス管理 リスク管理の強化 リスクマネジメントの強化 リスク管理
アイデンティティとアクセス管理 教育と労働力 測定基準と測定 暗号標準と検証の強化 暗号の標準と検証の強化 バイオメトリクス標準と関連する適合性評価試験ツール
プライバシー アイデンティティとアクセス管理 リスクマネジメント 先端サイバーセキュリティ研究・応用開発 サイバーセキュリティの研究・応用開発の推進 サイバーセキュリティアプリケーション
リスクマネジメントと計測 プライバシーエンジニアリング プライバシーエンジニアリング  サイバーセキュリティについての意識向上、トレーニング、教育、人材育成 サイバーセキュリティの意識向上、トレーニング、教育、人材開発 ソフトウェアの保証と品質
信頼できるネットワークとプラットフォーム リスクマネジメント 新規技術 アイデンティティとアクセス管理の強化 アイデンティティとアクセス管理の強化 連邦サイバーセキュリティ調査研究
利用可能なサイバーセキュリティ 信頼できるネットワーク 暗号の標準化と検証 通信・インフラ保護の強化 必インフラストラクチャの保護強化  コンピュータ・フォレンジック
  信頼できるプラットフォーム 信頼性の高いネットワーク 新技術の確保 新規技術の保護 サイバーセキュリティに関する知識・訓練・教育・アウトリーチ
    信頼性の高いプラットフォーム セキュリティテストと測定ツールの進化 セキュリティのテストと測定ツールの推進 暗号標準化プログラム
          バリデーションプログラム
          ID ・アクセス管理
          新規技術の研究
          ナショナル・サイバーセキュリティ・センター・オブ・エクセレンス (NCCoE)
          インターネットインフラ保護
          高度なセキュリティ試験と測定
          技術的な安全性の指標
          利便性とセキュリティ

 

 

・2022.09.26 SP 800-220 Fiscal Year 2021 Cybersecurity and Privacy Annual Report

・[PDF] SP 800-220

Focus Area 1: Cryptographic Standards and Validation 重点分野 1 : 暗号の標準と検証
Focus Area 2: Cybersecurity Measurement 重点分野 2 : サイバーセキュリティの測定
Focus Area 3: Education and Workforce 重点分野 3 : 教育と労働力
Focus Area 4: Identity and Access Management 重点分野 4 : アイデンティティとアクセス管理
Focus Area 5: Privacy Engineering 重点分野 5 : プライバシーエンジニアリング
Focus Area 6: Risk Management 重点分野 6 : リスクマネジメント
Focus Area 7: Trustworthy Networks 重点分野 7 : 信頼できるネットワーク
Focus Area 8: Trustworthy Platforms 重点分野 8 : 信頼できるプラットフォーム

 

 

・2021.09.28 SP 800-214 2020 Cybersecurity and Privacy Annual Report

・[PDF] SP 800-214

1 Cybersecurity Awareness and Education  サイバーセキュリティの啓発と教育 
2 Identity and Access Management アイデンティティとアクセス管理
3 Metrics and Measurement 測定基準と測定
4 Risk Management リスクマネジメント
5 Privacy Engineering  プライバシーエンジニアリング 
6 Emerging Technologies 新規技術
7 Cryptographic Standards and Validation 暗号の標準化と検証
8 Trustworthy Networks 信頼性の高いネットワーク
9 Trustworthy Platforms 信頼性の高いプラットフォーム

 

・2020.08.24 SP 800-211 2019 NIST / ITL Cyber​​security Program Annual Report

・[PDF] SP 800-211

1 Advancing Cybersecurity and Privacy Standards サイバーセキュリティとプライバシーの標準化の進化
2 Enhancing Risk Management リスク管理の強化
3 Strengthening Cryptographic Standards and Validation 暗号標準と検証の強化
4 Advanced Cybersecurity Research & Applications Development 先端サイバーセキュリティ研究・応用開発
5 Improving Cybersecurity Awareness, Training, and Education and Workforce Development サイバーセキュリティについての意識向上、トレーニング、教育、人材育成
6 Enhancing Identity and Access Management アイデンティティとアクセス管理の強化
7 Bolstering Communications and Infrastructure Protection 通信・インフラ保護の強化
8 Securing Emerging Technologies 新技術の確保
9 Advancing Security Test and Measurement Tools セキュリティテストと測定ツールの進化

 

・2020.03.13 SP 800-206 Annual Report 2018: NIST/ITL Cybersecurity Program

・[PDF] SP 800-206 

Introduction はじめに
Imperative 1 – Advancing Cybersecurity and Privacy Standards 必須事項 1 - サイバーセキュリティとプライバシー基準の推進
Imperative 2 – Enhancing Risk Management 必須事項 2 - リスクマネジメントの強化
Imperative 3 – Strengthening Cryptographic Standards and Validation 必須事項 3 - 暗号の標準と検証の強化
Imperative 4 – Advancing Cybersecurity Research and Applications Development 必須事項 4 - サイバーセキュリティの研究・応用開発の推進
Imperative 5 – Improving Cybersecurity Awareness, Training, Education, and Workforce Development 必須事項 5 - サイバーセキュリティの意識向上、トレーニング、教育、人材開発
Imperative 6 – Enhancing Identity and Access Management 必須事項 6 - アイデンティティとアクセス管理の強化
Imperative 7 – Bolstering Infrastructure Protection  必須事項 7 - インフラストラクチャの保護強化 
Imperative 8 – Securing Emerging Technologies 必須事項 8 - 新規技術の保護
Imperative 9 – Advancing Security Test and Measurement Tools 必須事項 9 - セキュリティのテストと測定ツールの推進

 

・2018.07.02 SP 800-203 2017 NIST/ITL Cybersecurity Program Annual Report

・[PDF] SP 800-203

1 ITL INVOLVEMENT WITH INTERNATIONAL IT SECURITY STANDARDS 国際ITセキュリティ標準へのITLの関与
2 RISK MANAGEMENT リスク管理
3 BIOMETRIC STANDARDS AND ASSOCIATED CONFORMITY ASSESSMENT TESTING TOOLS バイオメトリクス標準と関連する適合性評価試験ツール
4 CYBERSECURITY APPLICATIONS サイバーセキュリティアプリケーション
5 SOFTWARE ASSURANCE & QUALITY ソフトウェアの保証と品質
6 FEDERAL CYBERSECURITY RESEARCH AND DEVELOPMENT (R&D) 連邦サイバーセキュリティ調査研究
7 COMPUTER FORENSICS コンピュータ・フォレンジック
8 CYBERSECURITY AWARENESS, TRAINING, EDUCATION, AND OUTREACH サイバーセキュリティに関する知識・訓練・教育・アウトリーチ
9 CRYPTOGRAPHIC STANDARDS PROGRAM 暗号標準化プログラム
10 VALIDATION PROGRAMS バリデーションプログラム
11 IDENTITY AND ACCESS MANAGEMENT ID ・アクセス管理
12 RESEARCH IN EMERGING TECHNOLOGIES 新規技術の研究
13 NATIONAL CYBERSECURITY CENTER OF EXCELLENCE (NCCoE) ナショナル・サイバーセキュリティ・センター・オブ・エクセレンス (NCCoE)
14 INTERNET INFRASTRUCTURE PROTECTION インターネットインフラ保護
15 ADVANCED SECURITY TESTING AND MEASUREMENTS 高度なセキュリティ試験と測定
16 TECHNICAL SECURITY METRICS 技術的な安全性の指標
17 USABILITY AND SECURITY 利便性とセキュリティ

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.10.02 NIST SP 800-220 2021年度サイバーセキュリティ・プライバシー年次報告書 (2022.09.26)

・2021.10.01 NIST SP 800-214 2020年度サイバーセキュリティ・プライバシー年次報告書

・2020.08.26 NIST/ITLのサイバーセキュリティプログラム年次報告書2019

・2020.03.15 NIST SP 800-206 Annual Report 2018: NIST/ITL Cybersecurity Program

 


 

仮対訳...

↓↓↓

Continue reading "NIST SP 800-225 2022年度サイバーセキュリティ・プライバシー年次報告書 (2023.05.30)"

| | Comments (0)

NIST SP 800-216 連邦脆弱性情報公開ガイドラインの推奨事項 (2023.05.24)

こんにちは、丸山満彦です。

SP 800-216 連邦脆弱性情報公開ガイドラインの推奨事項が最終化され、公開されていますね。。。

これは、IoT Cybersecurity Improvement Act of 2020に基づいて整備されているもので、ISO/IEC 29147:2018  Vulnerability disclosureや、ISO/IEC 30111:2019 Vulnerability handling processesを参照しつつ、作成されているものですね。。。

 

NIST - ITL

・2023.05.24 SP 800-216 Recommendations for Federal Vulnerability Disclosure Guidelines

SP 800-216 Recommendations for Federal Vulnerability Disclosure Guidelines SP 800-216 連邦脆弱性情報公開ガイドラインの推奨事項
Abstract 概要
Receiving reports on suspected security vulnerabilities in information systems is one of the best ways for developers and services to become aware of issues. Formalizing actions to accept, assess, and manage vulnerability disclosure reports can help reduce known security vulnerabilities. This document recommends guidance for establishing a federal vulnerability disclosure framework, properly handling vulnerability reports, and communicating the mitigation and/or remediation of vulnerabilities. The framework allows for local resolution support while providing federal oversight and should be applied to all software, hardware, and digital services under federal control. 情報システムのセキュリティ脆弱性の疑いに関する報告を受けることは、開発者やサービスが問題を認識するための最良の方法の 1 つである。脆弱性報告書を受け入れ、評価し、管理するための行動を公式化することで、既知のセキュリティ脆弱性を減らすことができる。この文書では、連邦政府の脆弱性開示の枠組みを確立し、脆弱性報告を適切に取り扱い、脆弱性の緩和や修復を伝えるための指針を推奨している。この枠組みは、連邦政府の監督を受けながら、ローカルな解決支援を可能にし、連邦政府の管理下にあるすべてのソフトウェア、ハードウェア、およびデジタルサービスに適用されるべきものである。

 

・[PDF] SP 800-216

20230609-55129

・[DOCX] 仮訳

 

 

目次...

Executive Summary エグゼクティブサマリー
1. U.S. Government Vulnerability Disclosure 1. 米国政府による脆弱性情報の開示
1.1. Usage of Document Terminology 1.1. 用語の使い方
2. Federal Vulnerability Disclosure Coordination Body 2. 連邦脆弱性情報開示調整機関
2.1 Preparation 2.1 準備
2.1.1. Create Source Vulnerability Report Receipt Capability 2.1.1. ソース脆弱性報告受理機能の作成
2.1.2. Determine Scope and Obtain Contacts 2.1.2. 範囲の決定と連絡先の取得
2.1.3. Develop Technical Analysis Capability 2.1.3. 技術分析能力の開発
2.2 Receive Source Vulnerability Report 2.2 ソース脆弱性報告の受理
2.3. Triage and Prioritize Source Vulnerability Report 2.3. ソース脆弱性報告のトリアージと優先順位付け
2.4. Determine the Reported Vulnerable System 2.4. 報告された脆弱なシステムの決定
2.5. Identify the Reported Vulnerable Software 2.5. 報告された脆弱なソフトウェアの特定
2.6. Verify and Remediate Vulnerability 2.6. 脆弱性の確認と修復
2.7. Determine Whether to Publish an Advisory 2.7. 勧告発行の可否の決定
2.7.1. Determine Whether Public Disclosure is Warranted 2.7.1. 公開の必要性の有無の判断
2.7.2. Produce Advisory 2.7.2. 勧告の作成
2.7.3. Government Advisory Services 2.7.3. 政府のアドバイザリーサービス
2.8. Stakeholders in Federal Vulnerability Disclosure Coordination 2.8. 連邦脆弱性情報開示調整における利害関係者
2.9. Technical Approaches and Resources 2.9. 技術的アプローチとリソース
3. Vulnerability Disclosure Program Offices 3. 脆弱性開示プログラム事務局
3.1 Vulnerability Disclosure Program Office Description 3.1 脆弱性情報開示プログラム事務局の説明
3.2. Vulnerability Disclosure Program Office Structural Requirements 3.2. 脆弱性開示プログラム事務局の構造的要件
3.2.1. Development of Source Vulnerability Report Acceptance Policies 3.2.1. ソース脆弱性報告書受理方針の策定
3.2.2. Monitoring of Source Vulnerability Reports 3.2.2. ソース脆弱性報告書の監視
3.2.3. Processing and Resolution of Source Vulnerability Reports 3.2.3. ソース脆弱性報告書の処理と解決
3.2.4. Development of Vulnerability Disclosure Handling Procedures 3.2.4. 脆弱性情報開示の取り扱い手順の策定
3.2.5. Vulnerability Disclosure Program Office Operational Duties 3.2.5. 脆弱性開示プログラム事務局の運営業務
3.3. Management Considerations 3.3. 管理上の留意点
3.3.1. Leadership Support 3.3.1. リーダーシップの支援
3.3.2. Staffing Needs 3.3.2. スタッフの必要性
3.3.3. Leveraging Existing Processes 3.3.3. 既存のプロセスの活用
3.3.4. Integration of Contractor Support into the VDPO 3.3.4. コントラクター支援のVDPOへの統合
3.3.5. Customer Support and Public Relations 3.3.5. カスタマー支援とパブリックリレーション
References 参考資料
Appendix A. List of Symbols, Abbreviations, and Acronyms 附属書 A.記号・略語・頭字語リスト
Appendix B. Glossary 附属書 B. 用語集
Appendix C. Examples and Resources for Federal Vulnerability Disclosure Programs and Policies 附属書 C. 連邦政府の脆弱性情報開示プログラムおよびポリシーの例とリソース

 

エグゼクティブサマリー...

Executive Summary エグゼクティブサマリー 
This document provides a guideline for managing vulnerability disclosure for information systems within the Federal Government. The document follows the IoT Cybersecurity Improvement Act of 2020, Public Law 116-207, Section 5 [CYB_IMPR_ACT], which directs NIST to provide guidelines:  この文書は、連邦政府内の情報システムの脆弱性開示を管理するためのガイドラインを提供するものである。この文書は、NISTにガイドラインを提供するよう指示する2020年IoTサイバーセキュリティ改善法(公法116-207、第5項[CYB_IMPR_ACT])に従っている: 
(1)  for the reporting, coordinating, publishing, and receiving information about –   (1) 以下の情報の報告、調整、公表、および受理のために, 
a.     a security vulnerability relating to information systems owned or controlled by an agency (including Internet of Things devices owned or controlled by an agency); and   a. 機関が所有または管理する情報システム(機関が所有または管理するIoT機器を含む)に関連するセキュリティの脆弱性。 
b.     the resolution of such security vulnerability; and   b. 当該セキュリティ脆弱性の解決。 
(2)  for a contractor providing to an agency an information system (including an Internet of Things device) and any subcontractor thereof at any tier providing such information system to such contractor, on –   (2) 情報システム(IoT装置を含む)を機関に提供する請負業者および当該請負業者に当該情報システムを提供するあらゆる階層のその下請業者については、以下について 
a.     receiving information about a potential security vulnerability relating to the information system; and   a. 当該情報システムに関連する潜在的なセキュリティ脆弱性に関する情報を受領すること。 
b.     disseminating information about the resolution of a security vulnerability relating to the information system.  b. 情報システムに関するセキュリティの脆弱性の解消に関する情報を発信すること。
The guidelines published under subsection (a) shall –  第(a)項に基づき公表されるガイドラインは、以下のとおりとする。
(1)  to the maximum extent practicable, be aligned with industry best practices and Standards 29147 and 30111 of the International Standards Organization (or any successor standard) or any other appropriate, relevant, and widely-used standard;   (1) 実現可能な最大限の範囲において、業界のベストプラクティス、国際標準化機構の標準29147及び30111(又はその後継規格)又は他の適切、関連、及び広く使用されている規格と整合させる;  
(2)  incorporate guidelines on –  (2) 以下に関するガイドラインを組み込むこと。
a.     receiving information about a potential security vulnerability relating to an information system owned or controlled by an agency (including an Internet of Things device); and  a. 機関が所有又は管理する情報システム(IoT装置を含む)に関連する潜在的なセキュリティ脆弱性に関する情報を受け取ること。
b.     disseminating information about the resolution of a security vulnerability relating to an information system owned or controlled by an agency (including an Internet of Things device); and  b. 省庁が所有又は管理する情報システム(IoT装置を含む)に関するセキュリティ脆弱性の解決に関する情報を普及させること。
(3)  be consistent with the policies and procedures produced under section 2009(m) of the Homeland Security Act of 2002 (6 U.S.C. 659(m)).  (3) 2002 年国土安全保障法 2009(m)項(6 U.S.C. 659(m))に基づいて作成された方針及び手続と一致すること。
This document defines the Federal Coordination Body (FCB) as the primary interface for vulnerability disclosure reporting and oversight. It also defines Vulnerability Disclosure Program Offices (VDPOs), which should be part of the information technology security offices (ITSOs) closest to the products and services provided. The FCB and VDPOs work together to address vulnerability disclosure in the Federal Government.  この文書では、脆弱性開示の報告および監視のための主要なインタフェースとして、連邦調整機関(FCB)を定義している。また、脆弱性開示プログラムオフィス(VDPO)を定義しており、提供される製品やサービスに最も近い情報技術セキュリティオフィス(ITSO)の一部とする必要がある。FCBとVDPOは、連邦政府における脆弱性開示に対応するために協力する。 

 

 

 


 

 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.06.09 NIST SP 800-216 (ドラフト) 連邦政府の脆弱性情報開示ガイドラインの推奨事項

| | Comments (0)

NIST SP 800-124 Rev.2 エンタープライズにおけるモバイルデバイスセキュリティ管理ガイドライン (2023.05.17)

こんにちは、丸山満彦です。

ぼちぼち、キャッチアップしていきますね。。。

NISTが、エンタープライズにおけるモバイルデバイスセキュリティ管理ガイドラインを公表していますね。。。

日本政府、多くの自治体、企業でスマホを業務に利用するようになっているので、こういうガイドラインは重要だろうと思いますね。。。日本政府、自治体、企業でも参考になるところが多いのではないかと思います。。。

  • モバイルデバイスおよびモバイルデバイスからアクセスされる情報システムの脅威分析を実施する。
  • エンタープライズモビリティ管理、モバイル脅威防御、モバイルアプリケーション審査、その他該当するエンタープライズモバイルセキュリティ技術を採用する。
  • モバイルデバイスソリューションのパイロット版を実装し、テストしてから本番に投入する。
  • 組織のシステムや情報へのアクセスを許可する前に、組織から支給された各モバイルデバイスのセキュリティを完全に確保する。
  • モバイルのOSやアプリを常にアップデートする。
  • モバイル端末のセキュリティを定期的に監視・維持する。

が重要なこととなっていますが、どのくらいの日本政府や企業が脅威分析をしているのでしょうかね。。。

 

NIST - ITL

・2023.05.17 SP 800-124 Rev. 2 Guidelines for Managing the Security of Mobile Devices in the Enterprise


SP 800-124 Rev. 2 Guidelines for Managing the Security of Mobile Devices in the Enterprise SP 800-124 Rev.2 エンタープライズにおけるモバイルデバイスセキュリティ管理ガイドライン
Abstract 概要
Mobile devices were initially personal consumer communication devices but they are now permanent fixtures in enterprises and are used to access modern networks and systems to process sensitive data. This publication assists organizations in managing and securing these devices by describing available technologies and strategies. Security concerns inherent to the usage of mobile devices are explored alongside mitigations and countermeasures. Recommendations are provided for deployment, use and disposal of devices throughout the mobile-device lifecycle. The scope of this publication includes mobile devices, centralized device management and endpoint protection「PDF] technologies, while including both organization-provided and personally owned deployment scenarios. モバイルデバイスは、当初は消費者向けの個人用通信機器であったが、現在ではエンタープライズで常設され、最新のネットワークやシステムにアクセスして機密データを処理するために使用されている。本書は、利用可能なテクノロジーと戦略について説明することで、組織がこれらのデバイスを管理し、保護することを支援するものである。モバイルデバイスの使用に固有のセキュリティ上の懸念事項については、緩和策や対策とともに解説している。また、モバイルデバイスのライフサイクルを通じて、デバイスの配備、使用、廃棄に関する推奨事項を記載している。本書では、モバイルデバイス、集中デバイス管理、およびエンドポイント保護技術を対象としており、組織から提供される場合と個人で所有する場合の両方の導入シナリオを含んでいる。

 

・[PDF] SP 800-124 Rev. 2

20230609-55111

・[DOCX] 仮訳

 

目次...

Executive Summary エグゼクティブサマリー
1. Introduction 1. 序文
1.1. Purpose 1.1. 目的
1.2. Scope 1.2. 適用範囲
1.3. Audience 1.3. 対象者
1.4. Document Structure 1.4. 文書の構成
1.5. Document Conventions 1.5. 文書の決まりごと
2. Overview of Mobile Devices 2. モバイルデバイスの概要
2.1. Mobile Device Definition 2.1. モバイルデバイスの定義
2.2 Mobile Device Characteristics 2.2 モバイルデバイスの特性
2.3. Mobile Device Components 2.3. モバイルデバイスの構成要素
2.4. Mobile Communication Mechanisms and Other Common Mobile Components 2.4. モバイル通信機構とその他の共通モバイルコンポーネント
3. Threats to the Mobile Enterprise 3. モバイルエンタープライズの脅威
3.1. Threats to Enterprise Use of Mobile Devices 3.1. エンタープライズにおけるモバイルデバイスの使用に対する脅威
 3.1.1. Exploitation of Underlying Vulnerabilities in Devices  3.1.1. 端末に内在する脆弱性の悪用
 3.1.2. Device Loss and Theft  3.1.2. 端末の紛失・盗難
 3.1.3. Exploitation of Supply Chain Vulnerabilities  3.1.3. サプライチェーンにおける脆弱性の悪用
 3.1.4. Accessing Enterprise Resources Via a Misconfigured Device  3.1.4. 設定ミスしたデバイスを経由したエンタープライズリソースへのアクセス
 3.1.5. Credential Theft Via Phishing  3.1.5. フィッシングによるクレデンシャルの窃取
 3.1.6. Installation of Unauthorized Certificates  3.1.6. 未認証の証明書のインストール
 3.1.7. Use of Untrusted Mobile Devices  3.1.7. 信頼されていないモバイルデバイスの使用
 3.1.8. Wireless Eavesdropping  3.1.8. 無線による盗聴
 3.1.9. Mobile Malware  3.1.9. モバイルマルウェア
 3.1.10. Information Loss Due to Insecure Lock Screen Configuration  3.1.10. 安全でないロック画面設定による情報損失
 3.1.11. User Privacy Violations  3.1.11. ユーザーのプライバシー侵害
 3.1.12. Data Loss via Synchronization  3.1.12. 同期によるデータ消失
 3.1.13. Shadow IT Usage  3.1.13. シャドーITの利用
3.2. Threats to Device Management Systems 3.2. デバイス管理システムに対する脅威
 3.2.1. Exploitation of Vulnerabilities within the Underlying EMM Platform  3.2.1. EMMプラットフォーム内の脆弱性を利用したもの
 3.2.2. EMM Administrator Credential Theft  3.2.2. EMM 管理者クレデンシャルの窃取
 3.2.3. Insider Threat  3.2.3. インサイダー脅威
 3.2.4. Installation of Malicious Developer and EMM Profiles  3.2.4. 悪意のある開発者及び EMM プロファイルのインストール
4. Overview of Mobile Security Technologies 4. モバイルセキュリティ技術の概要
4.1 Device-Side Management and Security Technologies 4.1 デバイスサイドの管理・セキュリティ技術
 4.1.1. Hardware-Backed Processing and Storage  4.1.1. ハードウェアに裏打ちされた処理とストレージ
 4.1.2. Data Isolation Mechanisms  4.1.2. データ分離の仕組み
 4.1.3. Platform Management APIs  4.1.3. プラットフォーム管理API
 4.1.4. VPN Support  4.1.4. VPN支援
 4.1.5. Authentication Mechanisms  4.1.5. 本人認証機構
4.2. Enterprise Mobile Security Technologies 4.2. エンタープライズ・モバイル・セキュリティ技術
 4.2.1. Enterprise Mobility Management  4.2.1. エンタープライズモビリティ管理
 4.2.2. Mobile Application Management  4.2.2. モバイルアプリケーション管理
 4.2.3. Mobile Threat Defense  4.2.3. モバイル脅威防御
 4.2.4. Mobile App Vetting  4.2.4. モバイルアプリの審査
 4.2.5. Virtual Mobile Infrastructure  4.2.5. 仮想モバイルインフラ
 4.2.6. Application Wrapping  4.2.6. アプリケーションのラッピング
 4.2.7. Secure Containers  4.2.7. セキュアコンテナ
4.3. Recommended Mitigations and Countermeasures 4.3. 推奨される緩和策と対策
 4.3.1. EMM Technologies  4.3.1. EMM技術
 4.3.2. Cybersecurity Recommended Practices  4.3.2. サイバーセキュリティの推奨プラクティス
 4.3.3. Remote/Secure Wipe  4.3.3. リモートワイプ/セキュアワイプ
 4.3.4. Security-Focused Device Selection  4.3.4. セキュリティに重点を置いたデバイスの選択
 4.3.5. Use Secure Connections to Resources  4.3.5. リソースへの安全な接続の使用
 4.3.6. Rapid Adoption of Software Updates  4.3.6. ソフトウェアアップデートの迅速な導入
 4.3.7. OS and Application Isolation  4.3.7. OSとアプリケーションの分離
 4.3.8. Mobile Application Vetting  4.3.8. モバイルアプリケーションの審査
 4.3.9. Mobile Threat Defense  4.3.9. モバイル脅威の防御
 4.3.10. User Education  4.3.10. ユーザー教育
 4.3.11. Mobile Device Security Policies  4.3.11. モバイルデバイスセキュリティポリシー
 4.3.12. Notification and Revocation of Enterprise Access  4.3.12. エンタープライズアクセスの通知と取り消し
 4.3.13. Strong Authentication  4.3.13. 強固な本人認証
5. Enterprise Mobile Device Deployment Life Cycle 5. エンタープライズモバイルデバイス導入のライフサイクル
5.1. Identify Mobile Requirements 5.1. モバイル要件の特定
 5.1.1. Explore Mobile Use Cases  5.1.1. モバイルのユースケースの探索
 5.1.2. Survey Current Inventory  5.1.2. 現在の在庫を調査する
 5.1.3. Choose Deployment Model  5.1.3. 展開モデルの選択
 5.1.4. Select Devices  5.1.4. デバイスの選択
 5.1.5. Determine EMM Capabilities  5.1.5. EMM 機能の決定
5.2. Perform Risk Assessment 5.2. リスクアセスメントの実施
5.3. Implement Enterprise Mobility Strategy 5.3. エンタープライズモビリティ戦略の実施
 5.3.1. Select and Install Mobile Technology  5.3.1. モバイルテクノロジーの選択と導入
 5.3.2. Integration of EMM into the Enterprise Service Infrastructure  5.3.2. エンタープライズサービスインフラへのEMMの統合
 5.3.3. Set Policy, Device Configuration, and Provision  5.3.3. ポリシーの設定、デバイスの構成、およびプロビジョニング
 5.3.4. Define EMM Policy  5.3.4. EMM ポリシーを定義する
 5.3.5. Verification Testing  5.3.5. 検証テスト
 5.3.6. Deployment Testing  5.3.6. デプロイメントテスト
5.4. Operate and Maintain 5.4. 運用・保守
 5.4.1. Auditing  5.4.1. 監査
 5.4.2. Device Usage  5.4.2. デバイスの使用状況
5.5. Dispose of and/or Reuse Device 5.5. デバイスの廃棄および再利用
References  参考文献 
Appendix A. Change Log 附属書 A. 変更履歴

 

エグゼクティブサマリー...

Executive Summary  要旨 
Modern mobile devices, which are essentially general-purpose computing platforms capable of performing tasks far beyond the voice and text capabilities of legacy mobile devices, are widespread within modern enterprise networks. Mobility has transformed how enterprises deliver information technology (IT) services and accomplish their missions. Targeted toward consumers for on-demand personal access to communications, information, and services, these devices are not configured by default for business use. As mobile devices perform everyday enterprise tasks, they regularly process, modify, and store sensitive data. While organizations understand that using mobile devices and mobile applications for anytime, anywhere access can increase employee productivity and enhance decision making and situational awareness, these devices bring unique threats to the enterprise.   最新のモバイルデバイスは、基本的に汎用的なコンピューティングプラットフォームであり、従来のモバイルデバイスの音声やテキスト機能をはるかに超えるタスクを実行できるため、現代のエンタープライズネットワークに広く普及している。モビリティは、エンタープライズが情報技術(IT)サービスを提供し、その使命を達成する方法を変えた。通信、情報、サービスへのオンデマンドな個人アクセスを目的とした消費者向けのデバイスは、デフォルトではビジネス用途に設定されていない。モバイルデバイスは、エンタープライズで日常的に使用されるため、機密データを定期的に処理、変更、保存する。企業は、モバイルデバイスとモバイルアプリケーションを使用していつでもどこでもアクセスできるようにすることで、従業員の生産性を高め、意思決定と状況認識を強化できることを理解しているが、これらのデバイスは、企業に独自の脅威をもたらす。
As consumers and enterprise organizations have increased their adoption and use of mobile technologies, the mobile threat landscape has also shifted. This includes an increase in mobile malware and vulnerabilities that span the device (e.g., operating system, firmware, the baseband processor used to access cellular networks), mobile apps, networks, and management infrastructure. The diversity and complexity of the mobile ecosystem and the rapid pace of change challenge the selection, integration, and management of mobile technologies in enterprise IT environments. To reduce the risk to sensitive data and systems, enterprises need to institute appropriate policies and infrastructure to manage and secure mobile devices, applications, content, and access.   消費者やエンタープライズ企業がモバイルテクノロジーの導入と利用を拡大するにつれて、モバイル脅威の状況も変化している。これには、モバイル端末(オペレーティングシステム、ファームウェア、携帯電話ネットワークにアクセスするためのベースバンドプロセッサなど)、モバイルアプリ、ネットワーク、管理インフラにまたがるモバイルマルウェアや脆弱性が増加している。モバイルエコシステムの多様性と複雑性、そして変化の速さは、エンタープライズIT環境におけるモバイルテクノロジーの選択、統合、管理という課題に直面している。機密データやシステムに対するリスクを低減するために、エンタープライズは、モバイルデバイス、アプリケーション、コンテンツ、アクセスを管理し、保護するための適切なポリシーとインフラを確立する必要がある。 
Mobile devices often need additional protections as a result of their portability, small size, and common use outside of an organization’s network, which generally places them at higher exposure to threats than other endpoint devices. Laptops are excluded from the scope of this publication. Although some laptop/desktop management technologies are converging with mobile device management technologies, the security capabilities currently available for laptops are different than those available for smartphones, tablets, and other mobile device types. Furthermore, mobile devices contain features that are not generally available in laptops (e.g., multiple wireless network interfaces, Global Positioning System, numerous sensors, built-in mobile apps). Devices with minimal computing capability, such as the most basic cell phones and general Internet of Things (IoT) devices, are also out of scope because they typically do not have a full-fledged operating system (OS), and their functionality and available security options are limited.   モバイルデバイスは、その携帯性、小型化、組織のネットワーク外での一般的な使用により、他のエンドポイントデバイスよりも脅威へのエクスポージャーが高くなるため、追加の保護が必要になることが多い。ノートパソコンは、本書の対象から除外されている。ノートパソコン/であるクトップ管理技術の一部は、モバイルデバイス管理技術と融合しつつあるが、現在ノートパソコンで利用できるセキュリティ機能は、スマートフォン、タブレット、その他のモバイルデバイスで利用できる機能とは異なっている。さらに、モバイルデバイスには、ノートパソコンでは一般的に利用できない機能(複数の無線ネットワークインターフェース、全地球測位システム、多数のセンサー、内蔵モバイルアプリなど)がある。最も基本的な携帯電話や一般的なモノのインターネット(IoT)デバイスなど、最小限のコンピューティング能力を持つデバイスも、一般的に本格的なオペレーティングシステム(OS)を持たず、その機能性や利用できるセキュリティオプションが限られているため、対象外である。 
Organizations can use the Enterprise Mobile Device Deployment Life Cycle (Fig. 1) to improve the security of their mobile devices.  組織は、エンタープライズモバイルデバイス導入ライフサイクル(図1)を利用して、モバイルデバイスのセキュリティを向上させることができる。
1_20230609060701
Fig. 1. Enterprise Mobile Device Lifecycle  図1.エンタープライズモバイルデバイスライフサイクル 
Organizations can implement the following to build and maintain the security of their mobile device deployment:  組織は、モバイルデバイス展開のセキュリティを構築し、維持するために、以下を実施することができる: 
• Conduct a threat analysis for mobile devices and any information systems accessed from mobile devices.  • モバイルデバイスおよびモバイルデバイスからアクセスされる情報システムの脅威分析を実施する。 
• Employ enterprise mobility management, mobile threat defense, mobile application vetting, and other applicable enterprise mobile technologies.  • エンタープライズモビリティ管理、モバイル脅威防御、モバイルアプリケーション審査、その他該当するエンタープライズモバイルセキュリティ技術を採用する。 
• Implement and test a pilot of a mobile device solution before putting the solution into production.  • モバイルデバイスソリューションのパイロット版を実装し、テストしてから本番に投入する。 
• Fully secure each organization-issued mobile device before allowing a user to access the organization’s systems or information.  • 組織のシステムや情報へのアクセスを許可する前に、組織から支給された各モバイルデバイスのセキュリティを完全に確保する。 
• Keep mobile operating systems and apps updated.  • モバイルのOSやアプリを常にアップデートする。 
• Regularly monitor and maintain mobile device security.  • モバイル端末のセキュリティを定期的に監視・維持する。

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.07.25 NIST NISTIR 8235 モバイル・ウェアラブル機器の初動対応者のためのセキュリティガイダンス

・2020.09.11 NISTがSP 800-46 企業向けテレワークセキュリティのガイドの改訂に向けたアイデア募集していますね。。。

・2020.05.16 NISTIR 8196 Security Analysis of First Responder Mobile and Wearable Devices

 

この文書のドラフト前のバージョン

・2020.03.25 NIST SP 800-124 Rev. 2(Draft) Guidelines for Managing the Security of Mobile Devices in the Enterprise

・2012.07.22 NIST DRAFT SP 800-124 Revision 1, Guide to Enterprise Telework and Remote Access Security

 

| | Comments (0)

2023.06.08

公安調査庁 サイバー空間における脅威の概況2023 (2023.05.25)

こんにちは、丸山満彦です。

こちら、見逃していました。。。最近毎年発行しています。。。

 

● 公安調査庁

・2023.05.25 「サイバー空間における脅威の概況2023」を公開いたしました。  

・[PDF] [downloaded]

20230607-120722

目次はついていないのですが、目次的なものをつくると...

はしがき
サイバー空間における脅威の増大

2022年におけるサイバー脅威の概況
1 多様化する非国家主体の活動
2 我が国内外でランサムウェア攻撃が多数発生
3 偽情報の拡散がもたらす脅威
特集 宇宙・海洋分野に対するサイバー攻撃

サイバー空間における不正な活動
1 情報窃取・サイバー諜報
2 情報システムの破壊・機能妨害
3 不正な金銭獲得
4 影響工作(オンライン上のインフルエンス・オペレーション)

サイバー空間における脅威主体とアトリビューション
1 中国
2 ロシア
3 北朝鮮

サイバー攻撃の手法と対策
サイバー 攻撃の手法
 システムの弱点を突いた攻撃
 人の心の隙を突いた攻撃
サイバーセキュリティ 対策の例
 システムに対する攻撃への対策
 人間の心の隙に対する対策

公安調査庁のサイバー関連調査
公安調査庁の役割
サイバー関連調査の推進

 


まるちゃんの情報セキュリティ気まぐれ日記

・2023.04.14 米国 FBI 2022年インターネット犯罪レポート (2023.03.22)

・2023.03.17 警察庁 令和4年におけるサイバー空間をめぐる脅威の情勢等について

・2022.12.20 公安調査庁 令和5年「内外情勢の回顧と展望」

・2022.07.01 公安調査庁 国際テロリズム要覧2022

・2022.06.30 公安調査庁 「公安調査局長・公安調査事務所長会議」における公安調査庁長官訓示(2022.06.23)

・2022.05.28 公安調査庁 経済安全保障の確保に向けて2022~技術・データ・製品等の流出防止~

2022.04.17 公安調査庁 サイバー空間における脅威の概況2022

・2022.03.09 公安調査庁 経済安全保障関連調査及びサイバー関連調査の取組強化について

・2022.02.24 公安調査庁 経済安全保障に関する啓発のためにYouTube広告を配信します

・2021.12.20 公安調査庁 内外情勢の回顧と展望(令和4年版)

2021.03.25 公安調査庁 サイバーパンフレット「サイバー空間における脅威の概況2021」at 2021.03.05

2020.06.30 公安調査庁 サイバーパンフレット「サイバー攻撃の現状2020」

 

 

| | Comments (0)

経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議 中間論点整理

こんにちは、丸山満彦です。

経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議 中間論点整理が公表されていますね。。。

 

内閣官房 - 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議

 

・[PDF] 中間論点整理(骨子)

・[PDF] 中間論点整理

20230827-73227

中間論点目次...

1 はじめに

2 セキュリティ・クリアランス制度に関する必要性
(1) セキュリティ・クリアランス制度に関する国としての必要性
(2) 企業からのニーズ

3 新たな制度の方向性
(1) CIを念頭に置いた制度
(2) 主要国との間で通用する実効性のある制度、必要となる国際的な枠組み
(3) 政府横断的・分野横断的な制度の検討

4 具体的な方向性
(1) 情報指定の範囲
(2) 信頼性の確認(評価)とそのための調査
(3) 産業保全(民間事業者等に対する情報保全)
(4) プライバシー等との関係
(5) 情報保全を適切に実施するための官民の体制整備

5 その他
(1) CI以外の重要な情報の取扱い
(2) 信頼性の確認に係る理解の促進
(参考1)経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議構成員
(参考2)経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議開催実績
(参考3)経済安全保障分野におけるセキュリティ・クリアランス制度等について .

 

2023.02.22 第1回 議事次第
資料1 事務局 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議の開催について
資料2 事務局 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議運営要領
資料3 事務局 経済安全保障分野における
セキュリティ・クリアランス制度等に関する有識者会議
議事要旨    
2023.03.14 第2回 議事次第
資料1 事務局 第1回会議の議論の整理(主なポイント)
資料2 事務局 情報の区分(イメージ)
資料3 電機メーカー・A社 セキュリティ・クリアランス制度への期待
資料4 電機メーカー・B社 セキュリティクリアランス制度に対する要望
議事要旨    
2023.03.27 第3回 議事次第
資料1 事務局 第2回会議の議論の整理(主なポイント)
資料2 事務局 諸外国における情報保全制度の比較
資料3 電機メーカー・C社 セキュリティ・クリアランス制度について~期待と要望~
資料4 永野秀雄委員 米国におけるセキュリティクリアランス制度の基本情報
議事要旨    
2023.04.07 第4回 議事次第
資料1 事務局 第3回会議の議論の整理(主なポイント)
資料2 重要インフラ事業者 セキュリティクリアランス制度に対する要望
資料3   セキュリティ・クリアランス制度について
議事要旨    
2023.04.25 第5回 議事次第
資料1 事務局 第4回会議の議論の整理(主なポイント)
資料2 事務局 スタートアップとの意見交換結果
資料3 内閣情報調査室 特定秘密保護法概要
資料4 防衛装備庁 防衛産業保全について
議事要旨    
2023.05.29 第6回 議事次第
資料 事務局 中間論点整理(骨子案)
議事要旨    
2023.06.06 中間論点整理  
    中間論点整理(骨子)
    中間論点整理

 

 

 




まるちゃんの情報セキュリティ気まぐれ日記

・2023.04.11 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議 第4回会議 (2023.04.07)

・2023.04.08 自民党 セキュリティ・クリアランスで法整備を経済安保推進本部・安全保障調査会・サイバーセキュリティ対策本部・デジタル社会推進本部が提言

・2023.02.27 内閣官房 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議

| | Comments (0)

2023.06.07

ドイツ 電子投票システムのプロテクションプロファイル、非政治的な選挙を実施するためのITセキュリティ要件についての技術ガイド

こんにちは、丸山満彦です。

ドイツのBSIが電子投票システムのプロテクション・プロファイル、非政治的な選挙を実施するためのITセキュリティ要件についての技術ガイド、最終報告書 プロジェクト MaSiGov - 電子政府アプリとウェブポータルのセキュリティのための市場と脆弱性分析を公表していますね。。。

日本では選挙の電子投票システムは可児市の選挙の一件で一気に下火になりましたが、、、

株主総会、理事会、いろいろな場面で投票ということはあるので、電子投票システムというのは、これからもいろいろと重要だろうと思いますが、どうなんでしょうね。。。

 

Bundesamt für Sicherheit in der Informationstechnik: BSI

・2023.05.30 Veröffentlichung von Dokumenten zur Sicherheit von Online-Wahlen

Veröffentlichung von Dokumenten zur Sicherheit von Online-Wahlen オンライン選挙のセキュリティに関する文書の公開について
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat das neue BSI-CC-PP-0121 Protection Profile for e-voting systems sowie die Technische Richtlinie 03169 IT-sicherheitstechnische Anforderungen zur Durchführung von nicht-politischen Wahlen zur Kommentierung veröffentlicht. Die Dokumente können bis 30. Juni 2023 kommentiert werden. Hierzu hat das BSI ein Kommentierungsformular bereitgestellt, das ausgefüllt an online-wahlen@bsi.bund.de gesendet werden kann. ドイツ連邦情報セキュリティ局(BSI)は、電子投票システムの新しいBSI-CC-PP-0121 プロテクション・プロファイルと、技術ガイドライン03169 非政治的な選挙を実施するためのITセキュリティ要件を公開し、コメントを求めている。この文書は、2023年6月30日までコメントすることができます。このため、BSIはコメントフォームを用意しており、必要事項を記入して online-wahlen@bsi.bund.de に送付することができる。
Nicht nur durch die Corona-Pandemie ist der Bedarf nach Alternativen zu Brief- und Präsenzwahlen gestiegen. Neben einer entsprechenden rechtlichen Grundlage benötigen Wahlverantwortliche Unterstützung, um Online-Wahlen so sicher wie möglich umzusetzen. Um Rahmenbedingungen und Mindestanforderungen für den sich noch entwickelnden Markt zu schaffen und Hilfestellungen für die Durchführung von Online-Wahlen zu bieten, hat das BSI ein neues Schutzprofil für Online-Wahlprodukte nach Common Criteria und eine Technische Richtlinie zur Durchführung von Online-Wahlen erstellt. Diese Dokumente hat das BSI auf Grundlage eines Projektes zur Markt- und Schwachstellenanalyse zur Sicherheit von Online-Wahlprodukten (MaSiOWa) erarbeitet. Im Rahmen des Projektes wurde eine Marktübersicht über Online-Wahlprodukte erstellt, bei der unter anderem Daten zu Hersteller, Firmensitz, Produktname, Art der Wahlen oder Abstimmungen und zur Nutzung kryptografischer Wahlverfahren ermittelt wurden. Anschließend fanden im Einvernehmen mit Produktverantwortlichen Schwachstellenanalysen von fünf Online-Wahlprodukten statt. 郵便や対面式選挙に代わる選挙の必要性を高めているのは、コロナパンデミックだけではない。適切な法的根拠に加え、選挙管理者はオンライン選挙を可能な限り安全に実施するためのサポートを必要としています。BSIは、まだ発展途上の市場に枠組み条件と最低要件を設け、オンライン選挙の実施に向けた支援を提供するため、コモンクライテリアに準拠したオンライン選挙製品の新しい保護プロファイルとオンライン選挙の実施に関する技術ガイドラインを作成しました。BSIは、オンライン選挙製品のセキュリティに関する市場・脆弱性分析プロジェクト(MaSiOWa)に基づいて、これらの文書を作成しました。このプロジェクトの一環として、オンライン投票製品の市場概要が作成され、メーカー、本社、製品名、選挙や投票の種類、暗号化された投票手順の使用に関するデータが含まれました。その後、5つのオンライン投票製品の脆弱性分析を、製品管理者と協議しながら実施した。
Das Protection Profile liegt in der Version 0.9 vor, die sich aktuell in der Evaluierung zur Nutzung nach Common Criteria befindet. Es richtet sich an Produktverantwortliche, die eine Zertifizierung ihres Online-Wahlproduktes nach Common Criteria anstreben. プロテクションプロファイルはバージョン0.9で提供されており、現在コモンクライテリアに基づく使用評価が行われている。コモンクライテリアに準拠したオンライン投票製品の認定を希望する製品管理者を対象としている。
Die Technische Richtlinie liegt in der Version 0.7 vor. Sie richtet sich an Wahlverantwortliche und soll diesen bei der Planung und Durchführung einer Online-Wahl als Unterstützung dienen. Hierfür sind unter anderem auch Vorlagen und Beispiele für die Erstellung eines IT-Sicherheitskonzeptes nach BSI-IT-Grundschutz enthalten. 技術ガイドラインは、バージョン0.7で利用可能です。これは選挙管理者を対象としており、オンライン選挙の計画と実施を支援することを目的としている。また、BSI IT-Grundschutzに準拠したITセキュリティコンセプトの作成に必要なテンプレートや例も含まれている。
Weitere Informationen 詳細情報
Download BSI TR-03169: Online-Wahlen (PDF) BSI TR-03169: オンライン選挙 (PDF)
Download BSI-CC-PP-0121 Protection Profile for e-voting systems (PDF) BSI-CC-PP-0121 電子投票システム用プロテクション・プロファイル (PDF)
Download Abschlussbericht Projekt MaSiGov – Markt- und Schwachstellenanalyse zur Sicherheit von E-Government-Apps und Webportalen (PDF) 最終報告書 プロジェクト MaSiGov - 電子政府アプリとウェブポータルのセキュリティのための市場と脆弱性分析 (PDF)

 

・[PDF] BSI TR-03169: Online-Wahlen

20230607-53405

Technische Richtlinie TR-03169 技術ガイドライン TR-03169
IT-sicherheitstechnische Anforderungen zur Durchführung von nichtpolitischen Online-Wahlen und -Abstimmungen Version 0.7 Entwurf 非政治的オンライン選挙・投票実施のためのITセキュリティ要件 0.7版(案)
1  Einleitung 1 はじめに
1.1  Zielgruppe 1.1 対象者
1.2  Geltungsbereich 1.2 対象範囲
1.3  Zielsetzung 1.3 目的
1.4  Formalia 1.4 形式的なもの
2  Regulatorisches und gesetzliches Umfeld 2 規制と法的環境
2.1  Verschiedene Kontexte von Wahlen 2.1 選挙のさまざまな文脈
2.2  Angreifermodelle 2.2 攻撃のモデル
2.3  Schutzbedarf 2.3 保護の必要性
2.4  Risiken 2.4 リスク
2.5  Einordnung des Schutzprofils BSI-CC-PP-0121 2.5 保護プロファイルの分類 BSI-CC-PP-0121
3  Online-Wahl 3 オンライン選挙
3.1  Allgemeiner Ablauf einer Wahl 3.1 選挙の一般的な手順
3.2  Vorbereitungsphase 3.2 準備段階
3.2.1  Aspekte der Vorbereitungsphase 3.2.1 準備段階の側面
3.2.2  Anforderungen an die Vorbereitungsphase 3.2.2 準備段階における要求事項
3.3  Durchführungsphase 3.3 実施段階
3.3.1  Aspekte der Durchführungsphase 3.3.1 実施フェーズの側面
3.3.2  Anforderungen an die Durchführungsphase 3.3.2 実施段階での要求事項
3.4  Auswertungsphase 3.4 評価フェーズ
3.4.1  Aspekte der Auswertungsphase 3.4.1 評価フェーズの側面
3.4.2  Anforderungen an die Auswertungsphase 3.4.2 評価フェーズの要求事項
3.5  Nachbereitungsphase 3.5 フォローアップ段階
3.5.1  Aspekte der Nachbereitungsphase 3.5.1 フォローアップフェーズの側面
3.5.2  Anforderungen an die Nachbereitungsphase 3.5.2 フォローアップフェーズの要求事項
4  Schlusswort 4 まとめ
5  Anhang 5 附属書
5.1  Umsetzungshinweise zum BSI IT-Grundschutz 5.1 BSI IT-Grundschutzの実施要領
5.1.1  Durchführung von BSI IT-Grundschutz 5.1.1 BSI IT-Grundschutzの実施について
5.1.2  Notfallmanagement 5.1.2 緊急事態管理
6 Glossar 6 用語集

 

 

・[PDF] BSI-CC-PP-0121 Protection Profile for e-voting systems

20230607-53416

 

Protection Profile for E-Voting Systems for non-political Elections  非政治的選挙における電子投票システムの保護プロファイル
1 Protection Profile Introduction 1 プロテクションプロファイル序文
1.1 Protection Profile Reference 1.1 プロテクションプロファイルの参照
1.2 TOE overview 1.2 TOE 概要
1.2.1 TOE Type 1.2.1 TOE タイプ
1.2.2 Usage and major Security Features of the TOE 1.2.2 TOEの使用方法と主なセキュリティ機能
1.2.3 Non-TOE Hardware/Software/Firmware 1.2.3 非TOEのハードウェア/ソフトウェア/ファームウェア
1.3 Terms and Definitions 1.3 用語と定義
2 Conformance Claim 2 適合主張
2.1 CC Conformance Claim 2.1 CC 適合主張
2.2 PP Claim and Package Claim 2.2 PP主張及びパッケージ主張
2.3 PP Conformance Statement 2.3 PP適合宣言書
3 Security Problem Definition 3 セキュリティ問題の定義
3.1 Introduction 3.1 序文
3.1.1 Assets 3.1.1 資産
3.1.2 Users and Subjects 3.1.2 ユーザとサブジェクト
3.1.3 Security Attributes 3.1.3 セキュリティ属性
3.2 Threats 3.2 脅威
3.3 Organizational Security Policies 3.3 組織的なセキュリティポリシー
3.4 Assumptions 3.4 想定事項
4 Security Objectives 4 セキュリティ目標
4.1 Security Objectives for the TOE 4.1 TOE セキュリティ目標
4.2 Security Objectives for the Operational Environment 4.2 運用環境に対するセキュリティ目標
4.3 Security Objectives Rationale 4.3 セキュリティ目標の根拠
5 Extended Component Definition 5 拡張コンポーネントの定義
5.1 External cryptographic Operation (FCS_ECO) 5.1 外部暗号操作(FCS_ECO)
5.1.1 Family Behaviour 5.1.1 ファミリーの動作
5.1.2 Components Leveling and Description 5.1.2 コンポーネントのレベル分けと説明
5.1.3 Management of FCS_ECO.1 5.1.3 FCS_ECO.1 の管理
5.1.4 Audit of FCS_ECO.1 5.1.4 FCS_ECO.1の監査
5.1.5 FCS_ECO.1 External cryptographic Operation 5.1.5 FCS_ECO.1 の外部暗号化操作
6 Security Requirements 6 セキュリティ要求事項
6.1 Security Functional Requirements (SFRs) 6.1 セキュリティ機能要件(SFR)
6.1.1 User Identification and Authentication 6.1.1 ユーザーの識別と認証
6.1.2 Access Control 6.1.2 アクセス制御
6.1.3 User Data Import and Export 6.1.3 ユーザーデータのインポート及びエクスポート
6.1.4 Secure Communication 6.1.4 安全な通信

 

 

・[PDF] Abschlussbericht Projekt MaSiGov – Markt- und Schwachstellenanalyse zur Sicherheit von E-Government-Apps und Webportalen

20230607-53423

 

 

1 Einleitung 1 はじめに
1.1 Ausgangslage und Hintergrund 1.1 初期状況および背景
1.2 Zielsetzung und Aufbau der Studie 1.2 研究の目的と構成
2 Projektauftrag 2 プロジェクトの任務
2.1 Vorgehen 2.1 手続き
2.2 Definitionen 2.2 定義
2.2.1 Definition Portal 2.2.1 ポータルの定義
2.2.2 Definition App 2.2.2 定義 アプリ
2.3 Projektteam 2.3 プロジェクトチーム
3 Marktübersicht 3 市場の概要
3.1 Produktkategorie Apps 3.1 製品カテゴリー Apps
3.1.1 Internet-Recherche 3.1.1 インターネットリサーチ
3.1.2 Direktkontakte 3.1.2 直接コンタクト
3.1.3 Ergebnis 3.1.3 リザルト
3.2 Produktkategorie Webportale 3.2 製品カテゴリー ウェブポータル
3.2.1 Internet-Recherche und Fragebogen 3.2.1 インターネット調査・アンケート
3.2.2 OZG-Dashboard 3.2.2 OZGダッシュボード
3.2.3 Direktkontakte 3.2.3 ダイレクトコンタクト
3.2.4 Auswahlkriterien 3.2.4 選定基準
3.2.5 Auswahl der Portale 3.2.5 ポータルの選定
4 Angriffs- und Durchführungskatalog 4 攻撃と実行のカタログ
4.1 Risiko-Identifikation und Risiko-Analyse 4.1 リスクの特定とリスク分析
4.2 Angriffskatalog 4.2 アタックカタログ
4.3 Durchführungskatalog 4.3 インプリメンテーションカタログ
5 Durchführung der Schwachstellenanalysen 5 脆弱性解析の実施
5.1 Vorgehensweise analog zum Durchführungskonzept Penetrationstests 5.1 ペネトレーションテストの実施概念に準じた手順
5.2 Ablauf der Schwachstellenanalysen 5.2 脆弱性診断の実施手順
5.2.1 Erstellung Leistungsschein und Scope-Definition 5.2.1 サービス仕様書の作成とスコープ定義
5.2.2 Terminabstimmung und Kickoff 5.2.2 日程の調整とキックオフ
5.2.3 Testdurchführung, fachliche Qualitätssicherung und Lektorat 5.2.3 テスト実施、技術的品質保証、校正
5.2.4 Abschlussbesprechungen 5.2.4 最終打ち合わせ
5.2.5 Nachtest 5.2.5 テスト終了後
5.3 Kategorisierung der Ergebnisse 5.3 結果の分類
5.4 Schwachstellenbewertung 5.4 脆弱性評価
6 Erkenntnisse und Statistik 6 調査結果および統計
6.1 Schwachstellen auf Systemebene 6.1 システムレベルの脆弱性
6.2 Schwachstellen auf Anwendungsebene 6.2 アプリケーションレベルの脆弱性
6.2.1 Schwachstellen im Kontext eingesetzter Software 6.2.1 配備されたソフトウェアに関連する脆弱性
6.2.2 Schwachstellen im Kontext der Upload-Funktionen 6.2.2 アップロード機能に関する脆弱性
6.2.3 Denial-of-Service durch zwischengespeicherte Anträge 6.2.3 キャッシュされたリクエストによるサービス拒否
6.2.4 Unsichere Weiterleitung beim Login 6.2.4 ログイン時の安全でないフォワーディング
6.2.5 Umgang mit sensiblen Informationen 6.2.5 機密情報の取り扱い
6.2.6 Secure-Merkmal im Cookie fehlt 6.2.6 Cookie の欠落における安全な機能
6.2.7 Identifizierte Sicherheitshinweise 6.2.7 特定されたセキュリティ情報
7 Fazit und Ausblick 7 まとめと展望
8 Anhang: Fragebogen 8 附属書:アンケート
Abkürzungsverzeichnis 略語の一覧
Glossar 用語集
Literaturverzeichnis 参考情報

 

 

 

 


 

選挙も含めて電子投票関係。。。

まるちゃんの情報セキュリティ気まぐれ日記

電子投票

 

・2021.03.30 NISTIR 8310 (Draft) サイバーセキュリティフレームワーク(CSF) 選挙インフラのプロファイル

・2020.05.14 COVID-19でオンライン投票は普及するのか?

 

少し遡って

・2007.12.19 国政選挙でも電子投票ができるようになる?

・2007.01.08 総務省 「電子投票システムの技術的条件の適合確認等について」の公表

・2006.11.12 電子投票 参院選の導入見送り

・2006.10.17 自民党 電子投票促進へ交付金?

・2006.02.11 総務省試算 電子投票を全面導入すると国費負担1400億円

・2005.11.15 総務省 電子投票システム調査検討会発足

・2005.07.19 総務省 電子投票の普及促進 有識者検討会設置

・2005.07.10 可児市市議選 選挙無効確定!

・2005.03.11 名古屋高裁 可児市電子投票 無効!

・2005.02.26 電子投票 韓国は2008年から国選選挙でインターネット投票

 

| | Comments (0)

2023.06.06

各国の防衛大臣との共同声明、会談等について

こんにちは、丸山満彦です。

浜田防衛大臣が、シンガポールで開催される、第20回IISS(英国国際戦略研究所)アジア安全保障会議(シャングリラ会合)出席のために、シンガポールを訪問し、積極的に会談をしていますね。。。

 

防衛省お知らせ

1_20230606033301

日付 概要 米国 韓国 オーストラリア 中国 フィリピン ウクライナ
2023/6/4 日ウクライナ防衛相会談について          
2023/6/4 日韓防衛相会談(結果概要)          
2023/6/4 日豪防衛相会談共同声明(2023年6月4日)(仮訳)          
2023/6/3 日中防衛相会談について          
2023/6/3 日米豪比防衛相会談について      
2023/6/3 日米豪防衛相会談共同声明(仮訳)        
2023/6/3 日米韓防衛相会談の開催について        
2023/6/3 日米韓防衛相会談共同声明(2023年6月3日)(仮訳)        
2023/6/1 日米防衛相会談の概要          

 

米国の国防総省のウェブページを見ればわかりますが。。。

米国は、この他にも、ファイブアイズシンガポール東南アジア(ブルネイ、カンボジア、インドネシア、ラオス、マレーシア、フィリピン、シンガポール、タイ、東ティモール)とも話をしていますね。。。

 

| | Comments (0)

個人情報保護委員会 生成 AI サービスの利用に関する注意喚起等について (2023.06.02)

こんにちは、丸山満彦です。

個人情報保護委員会が生成 AI サービスの利用に関する注意喚起等を公表していますね。。。

2部構成で、

  • 利用者側の注意点(【別添1】生成 AI サービスの利用に関する注意喚起等)と
  • OpenAI社への注意喚起(【別添1】生成 AI サービスの利用に関する注意喚起等)

注意喚起って...しかも、特定の1社に対して...

 

⚫︎個人情報保護委員会

・2023.06.02 [PDF] 生成AIサービスの利用に関する注意喚起等について

20230606-13236

利用者への注意喚起...


(1)個人情報取扱事業者における注意点

  • 個人情報取扱事業者が生成AIサービスに個人情報を含むプロンプトを入力する場合には、特定された当該個人情報の利用目的を達成するために必要な範囲内であることを十分に確認すること。
  • 個人情報取扱事業者が、あらかじめ本人の同意を得ることなく生成AIサービスに個人データを含むプロンプトを入力し、当該個人データが当該プロンプトに対する応答結果の出力以外の目的で取り扱われる場合、当該個人情報取扱事業者は個人情報保護法の規定に違反することとなる可能性がある。そのため、このようなプロンプトの入力を行う場合には、当該生成AIサービスを提供する事業者が、当該個人データを機械学習に利用しないこと等を十分に確認すること。

 (2)行政機関等における注意点

  • 行政機関等が生成AIサービスに個人情報を含むプロンプトを入力する場合には、特定された当該個人情報の利用目的のための必要最小限の利用又は提供であることを十分に確認すること。
  • 行政機関等が、生成 AI サービスに保有個人情報を含むプロンプトを入力し、当該保有個人情報が当該プロンプトに対する応答結果の出力以外の目的で取り扱われる場合、当該行政機関等は個人情報保護法の規定に違反することとなる可能性がある。そのため、このようなプロンプトの入力を行う場合には、当該生成AIサービスを提供する事業者が、当該保有個人情報を機械学習に利用しないこと等を十分に確認すること。

 (3)一般の利用者における留意点

  • 生成 AI サービスでは、入力された個人情報が、生成 AI の機械学習に利用されることがあり、他の情報と統計的に結びついた上で、また、正確又は不正確な内容で、生成AIサービスから出力されるリスクがある。そのため、生成AI サービスに個人情報を入力等する際には、このようなリスクを踏まえた上で適切に判断すること。
  • 生成AIサービスでは、入力されたプロンプトに対する応答結果に不正確な内容が含まれることがある。例えば、生成AIサービスの中には、応答結果として自然な文章を出力することができるものもあるが、当該文章は確率的な相関関係に基づいて生成されるため、その応答結果には不正確な内容の個人情報が含まれるリスクがある。そのため、生成AIサービスを利用して個人情報を取り扱う際には、このようなリスクを踏まえた上で適切に判断すること。
  • 生成 AI サービスの利用者においては、生成 AI サービスを提供する事業者の利用規約やプライバシーポリシー等を十分に確認し、入力する情報の内容等を踏まえ、生成AIサービスの利用について適切に判断すること。

 

OpenAI社への注意喚起...


1 要配慮個人情報の取得
あらかじめ本人の同意を得ないで、ChatGPTの利用者(以下「利用者」という。)及び利用者以外の者を本人とする要配慮個人情報を取得しないこと(法第20条第2項各号に該当する場合を除く。)。
特に、以下の事項を遵守すること。

(1) 機械学習のために情報を収集することに関して、以下の4点を実施すること。
収集する情報に要配慮個人情報が含まれないよう必要な取組を行うこと。
情報の収集後できる限り即時に、収集した情報に含まれ得る要配慮個人情報をできる限り減少させるための措置を講ずること。
上記①及び②の措置を講じてもなお収集した情報に要配慮個人情報が含まれていることが発覚した場合には、できる限り即時に、かつ、学習用データセットに加工する前に、当該要配慮個人情報を削除する又は特定の個人を識別できないようにするための措置を講ずること。
本人又は個人情報保護委員会等が、特定のサイト又は第三者から要配慮個人情報を収集しないよう要請又は指示した場合には、拒否する正当な理由がない限り、当該要請又は指示に従うこと。

(2) 利用者が機械学習に利用されないことを選択してプロンプトに入力した要配慮個人情報について、正当な理由がない限り、取り扱わないこと。

利用目的の通知等利用者及び利用者以外の者を本人とする個人情報の利用目的について、日本語を用いて、利用者及び利用者以外の個人の双方に対して通知し又は公表すること。


 

 


 

⚫︎まるちゃんの情報セキュリティ気まぐれ日記

・2023.06.05 オーストラリア 責任あるAIについての意見募集

・2023.06.01 生成的AIとプライバシー当局(カナダ ニュージーランド)

・2023.05.27 米国 国家人工知能研究開発 戦略計画 2023更新 (2023.05.23)

・2023.05.19 ドイツ BSI 大規模AI言語モデル - 産業界と公的機関の可能性とリスク (2023.05.10)

・2023.05.18 フランス CNIL 人工知能に対する行動計画

・2023.05.15 欧州 CERT-EU 生成的AIの潜在的な影響とリスク

・2023.05.10 ロシア 科学技術センター 大規模言語モデル:認知的な視点

・2023.05.08 米国 ホワイトハウス 「米国人の権利と安全を守る責任あるAIイノベーションを推進する新たな行動」 (2023.05.04)

・2023.05.06 米国 連邦取引委員会 AIと消費者の信頼の工学 (It’s cool to use the computer. Don’t let the computer use you. by Prince in 1999)

・2023.05.04 イタリア データ保護庁 ChatGPTが復活... (2023.04.28)

・2023.05.01 米国 国家人工知能諮問委員会1年間の活動報告書

・2023.04.29 英国 AIに関する英国政府の発表をいくつか。。。

・2023.04.22 東北大学、東京工業大学の生成的AI利用の留意事項

・2023.04.20 大阪大学 生成AI(Generative AI)の利用について

・2023.04.14 EDPB Metaによる米国への個人データ転送に関する紛争解決、Chat GPTに関するタスクフォースを設置

・2023.04.14 スペイン ChatGPTを運営するOpenAI社に対して職権で調査手続きを開始

・2023.04.14 イタリア データ保護庁 ChatGPT復活へ... 4月30日までに改善できれば...

・2023.04.10 イタリア データ保護庁委員とOpenAI社CEOが会談

・2023.04.06 OpenAI ブログ AIの安全への取り組み

・2023.04.06 カナダ プライバシーコミッショナー ChatGPTに対する調査を開始

・2023.04.06 東京大学 生成系AI(ChatGPT, BingAI, Bard, Midjourney, Stable Diffusion等)について

・2023.04.05 英国 ICO ブログ 生成的人工知能:開発者とユーザーが問うべき8つの質問...

・2023.04.03 欧州 EU外交部 人工知能時代に事実を正しく伝えるために

・2023.04.02 イタリア データ保護庁がOpenAI社にプライバシー規制を遵守するまでChatGPTがイタリア人ユーザのデータ処理の制限を直ちに命じた...

・2023.04.01 英国 意見募集 AI規制白書

・2023.03.30 欧州 ユーロポール ChatGPTの犯罪利用-大規模言語モデルに関する注意事項

・2023.03.21 米国 FTCのブログ チャットボット、ディープフェイク、ボイスクローン:AIによるインチキを売り物にする

・2023.03.20 英国 イノベーションを促進する技術規制の見直し:デジタルテクノロジー

 

| | Comments (0)

2023.06.05

自民党 原因はいずれも人為的ミス → マイナカード、国民の不安解消へ努める 人が介在する機会を減らし対策

こんにちは、丸山満彦です。

マイナンバーカード関係では、コンビニ交付サービスで他人の証明書が出力されるなどの誤交付が発生したり、健康保険証利用において、別の人の資格情報にひも付けらる事案が発生したりしていますね。。。

人為的な理由で単発ミスが重なったと言うことですが、このままデジタル化すると、人為的な理由でシステム的なミスにつながると、より大きな問題になったりして。。。

人為的な部分がなくなるわけではないので、そこでミスが起こりにくいようにすることは、より重要となりますよね。。。

 

なお、コンビニ交付サービスの件については、piyologさんが少し前にまとめてくれています。。。

⚫︎ piyolog

・2023.05.22 富士通JapanのMICJETで相次ぎ発生した証明書誤交付についてまとめてみた

 

さて、自民党のウェブページにおいても(機関紙「自由民主」インターネット版)で意見がでていますね。。。

 

⚫︎ 自由民主党

・2023.06.05 マイナカード、国民の不安解消へ努める - 人が介在する機会を減らし対策

 


・・・

いずれも人為的ミス

公金受取口座の誤登録とマイナポイントのひも付け誤りは、各自治体が実施している支援窓口で発生しました。
要因は、支援窓口の端末操作において、先に登録作業を行っていた人がマイナポータルやマイナポイント申込サイトからログアウトするのを忘れ、次に同じ端末で登録を行った人が自身の預貯金口座や、決済サービスを登録してしまったことによるものです。
また、マイナポイントについては、ログアウト漏れによるもの以外に支援窓口の現場において決済サービスIDを誤って入力したため、別人に紐づくという事案も確認されております。

・・・

マイナンバーカードの健康保険証利用については、本来の事務処理とは異なる方法で事務処理を行ったことにより、別の人の資格情報にひも付けられた事案が発生しています。
保険証の切り替えが必要な時は、新たな医療保険者が被保険者の情報をシステムに登録します。
その際、届け出書類にマイナンバーの記載がなく、一部情報のみが一致するだけで登録したり、複数の候補者(同姓同名で生年月日・性別が同じ等)が掲示された時にそれぞれの候補者の内容をしっかりと確認せずにひも付けたりしてしまったものが誤りにつながりました。本来は、氏名・生年月日・性別・住所の一致を確認する必要があるものでした。

・・・

人為的なミスのリスクを低減させるため、人が介在する機会を減らすデジタル化を推進するとしています。


 

1_20230605182201

 

 

| | Comments (0)

自民党 「経済財政運営と改革の基本方針 2023」に向けた提言 (2023.05.31)

こんにちは、丸山満彦です。

自由民主党 政務調査会 経済安全保障推進本部が、「経済財政運営と改革の基本方針 2023」に向けた提言を公表していますね。。。

 

 

⚫︎自民党

・2023.05.31 骨太方針に経済安全保障上の課題明記を経済安全保障推進本部が岸田総理に提言

 

・2023.05.23 [PDF] 「経済財政運営と改革の基本方針 2023」に向けた提言

20230605-143350

 

 

-----

Ⅲ.経済安全保障上の課題への対応

(1) セキュリティ・クリアランス制度の創設
わが国の情報保全の強化や国際共同研究開発の推進の観点から、安全保障上重要な情報にアクセスする者に資格を付与するセキュリティ・クリアランス制度について、本年2月に政府は経済安全保障推進会議を開催し、有識者会議において具体的な検討が進められている。
制度の創設に際しては、政府が保有する CI 情報(Classified Information)を中心として CUI 情報(Controlled Unclassified Information)を含む情報区分、同盟国・同志国の情報保全のレベル、産業界等からのニーズ、実質的同等性等を考慮して、速やかに検討し結論を得た上で、法整備・体制整備等を行うべきである。

(2) 経済インテリジェンスの強化
安全保障の裾野が経済分野に拡大するなか、官民が国内外に保有する経済インテリジェンスを収集・分析・共有する必要性が格段に高まっている。
経済安全保障分野のインテリジェンス能力の抜本的強化に向けて、政策部門と情報部門によるインテリジェンス・サイクルの強化、情報関心の提示等を行う政策部門の強化、内閣情報調査室や各省庁の情報収集分析機能の強化、官民連携及び国際連携のための情報共有メカニズムの構築等に速やかに取り組むため、必要となる予算を十分に確保すべきである。

(3) サイバー・セキュリティの確保
昨今のサイバー攻撃は手法が複雑化・多様化し、その規模・烈度は劇的に増大している。攻撃側が圧倒的に有利であり、平時有事の境界線が曖昧なサイバー攻撃から、わが国の経済安全保障を確保するためには、民間セクターのサイバー・セキュリティの強化やアクティブ・サイバー・ディフェンス(ACD)を含む包括的な対策が必要となる。政府は、この包括的な対策の推進に向け、体制の整備や制度の検討を早急に進め、実施にあたって必要となる予算を十分に確保すべきである。

(4) 経済的威圧への対応
経済的威圧は、自国の政治目的の達成のため、貿易措置などによる経済的損失を相手国に与えることをはじめ、様々な手段が講じられていると言われる。経済的威圧に対する WTO の紛争解決プロセスは必ずしも迅速に対応ができないといった指摘もある中、欧米では相手国への対抗措置や貿易パートナー国への支援措置を含む法的枠組みの議論が行われている。
法の支配に基づく自由で開かれた国際秩序を強化するため、同盟国・同志国等との
連携を図りつつ、わが国においても効果的な対応策を検討すべきである。

(5)機微技術情報の流出防止
自律性の向上や優位性・不可欠性の獲得のためには、技術情報の保全・流出防止は一層重要な課題である。これまで政府においては、安全保障貿易管理におけるみなし輸出管理の運用明確化や研究インテグリティの確保のほか、対内直接投資の審査対象に特定重要物資関連業種を追加するなどの対策を講じている。新たな安全保障貿易管理の枠組みや投資審査における地方支分部局も含めた情報収集・分析・モニタリングの強化や指定業種のあり方の検討等、政府一体となって、引き続き機微技術の流出防止に努めるべきである。

(6) DFFT
データの流通や利活用が重要とされる時代において、わが国は DFFT(Data Free Flow with Trust)を提唱し、G7 をはじめとする場での国際的な議論を主導して、その具体化に取り組んできた。今般 G7 で合意に達した DFFT 具体化のための国際枠組みである IAP(Institutional Arrangement for Partnership)を通じた政府と民間の協働をさらに進めるとともに、国内においても関係省庁が緊密に連携し、データの保護を巡る環境の変化に留意しつつ、国際秩序の形成に資する取組の検討をさらに進めるべきである。

(7) 偽情報の拡散への対応
ロシアによるウクライナ侵攻で明らかな通り、偽情報の拡散は普遍的価値に対する脅威であり、国家の分断や世論操作といった悪影響が懸念される。わが国においても、内閣情報調査室、官邸国際広報室、国家安全保障局による体制が先般整備されたところであり、関係省庁との連携とともに、正確な情報の対外発信を含む対処能力を強化すべきである。その際、偽情報対策の効果的な実施にあたって、必要な予算を十分に確保すべきである。


 

 

| | Comments (0)

オーストラリア 責任あるAIについての意見募集

こんにちは、丸山満彦です。

オーストラリアは2019年にAIに関するガイダンスを発行しているのですが、大規模言語モデルを利用した機械学習等によるサービスが手軽に利用できるようになってきて、新たに国民の意見を聞こうと言う感じですかね。。。

各国(日本はないけど...)のAIに関する規制等についても触れられているので参考になるかもです...

 

⚫︎ Ausutralia Department of Industry, Science and Resources

・2023.06.01 Responsible AI in Australia: have your say

 

Responsible AI in Australia: have your say オーストラリアにおける責任あるAI:意見募集
We want to hear your views on how the Australian Government can support the safe and responsible use of AI. Submissions close 26 July 2023. オーストラリア政府がAIの安全で責任ある利用を支援する方法について、皆様の意見を求める。提出期限は2023年7月26日。
From streaming recommendations to predicting bushfires, AI is already part of our lives. These technologies are getting more powerful and popular all the time, as shown by the impact of ChatGPT over the past 6 months. おすすめ商品のストリーミングから山火事の予測まで、AIはすでに我々の生活の一部となっている。過去6ヶ月間のChatGPTの影響力が示すように、これらのテクノロジーは常に強力になり、普及している。
While new AI technologies can grow our economy and improve our lives, they may also have risks. Australians need to be able to trust that AI will be used ethically, safely and responsibly. 新しいAI技術は、我々の経済を成長させ、生活を向上させることができる一方で、リスクもある可能性がある。オーストラリア国民は、AIが倫理的、安全かつ責任を持って使用されることを信頼できるようになる必要がある。
There are strong foundations for Australia to be a leader in responsible AI. In 2019 we were one of the earliest countries to adopt an Artificial Intelligence Ethics Framework. The framework has voluntary ethics principles to ensure AI applications are safe, secure and reliable. We tested these principles with some of Australia’s biggest businesses, including the Commonwealth Bank, NAB, Microsoft and Telstra. オーストラリアが責任あるAIのリーダーになるための強力な基盤がある。2019年、我々は人工知能倫理フレームワークを最も早く採用した国のひとつである。このフレームワークには、AIアプリケーションの安全、安心、信頼性を確保するための自主的な倫理原則がある。我々は、コモンウェルス銀行、NAB、マイクロソフト、テルストラなど、オーストラリアの大企業とこの原則をテストした。
But as AI innovation speeds up, we need to make sure we can keep taking advantage of AI while protecting Australians. しかし、AIのイノベーションが加速する中、オーストラリア国民を守りながらAIの利点を生かし続けることができるようにする必要がある。
Many other countries are already looking at new governance arrangements to ensure AI is used responsibly. 他の多くの国では、AIが責任を持って使用されることを保証するために、新しいガバナンスの仕組みをすでに検討している。
That’s why we want your views on what else the Australian Government can do to support the safe and responsible use of AI. That could be through either or both: そこで、オーストラリア政府がAIの安全で責任ある利用を支援するために、他にどのようなことができるのか、皆さんのご意見をお聞かせください。それは、以下のいずれか、または両方を通じて行うことができる:
voluntary approaches, like tools, frameworks and principles ツール、フレームワーク、原則のような自主的アプローチ
enforceable regulatory approaches, like laws and mandatory standards. 法律や強制的な基準のような強制力のある規制的なアプローチ。
We will use your feedback to inform consideration across government on any appropriate regulatory and policy responses. These will build on the government’s existing multimillion investment in responsible AI through the 2023–24 Budget. 我々は、適切な規制や政策対応について政府全体で検討するために、皆様からのご意見を参考にさせていただきます。これらは、2023-24年度予算による責任あるAIへの政府の既存の数百万ドルの投資を基礎とするものである。
The right governance measures will ensure the public has trust in AI and Australia can realise the benefits of these technologies. 適切なガバナンス対策は、国民がAIを信頼し、オーストラリアがこれらの技術の恩恵を享受できることを保証するものである。
Have your say on our consultation hub. Submissions close 26 July 2023.   我々のコンサルテーション・ハブで意見をお願いする。提出期限は2023年7月26日。 
More information 詳細情報
The minister announced the consultation on 1 June 2023 大臣によるこのコンサルテーションの発表。2023年6月1日
Read the National Science and Technology Council's report on generative AI 生成的AIに関する全米科学技術評議会の報告書
>See how we’re ensuring all Australians share the benefits of AI すべてのオーストラリア国民がAIの恩恵を享受できるようにするために、我々が行っている取り組み
Read Australia’s Artificial Intelligence Ethics Framework オーストラリアの人工知能の倫理フレームワーク
We consulted on automated decision making and AI regulation in 2022 under the previous government 前政権下の2022年に自動意思決定とAI規制について協議したことがある

 

・2023.06.01 Supporting responsible AI: discussion paper

Supporting responsible AI: discussion paper 責任あるAIを支援する:ディスカッションペーパー
Overview 概要
We want your views on how the Australian Government can mitigate any potential risks of AI and support safe and responsible AI practices. オーストラリア政府がAIの潜在的なリスクを軽減し、安全で責任あるAIの実践を支援する方法について、皆様のご意見をお聞かせください。
AI is already improving many aspects of our lives. But the speed of innovation in AI could pose new risks, which creates uncertainty and gives rise to public concerns. AIはすでに我々の生活の多くの側面を向上させている。しかし、AIのイノベーションのスピードは新たなリスクをもたらす可能性があり、それが不確実性を生み、国民の懸念を生んでいる。
Australia has strong foundations to be a leader in responsible AI. We have world-leading AI research capabilities and are early movers in the trusted use of digital technologies. Australia established the world’s first eSafety Commissioner in 2015 to safeguard Australian citizens online and was one of the earliest countries to adopt a national set of AI Ethics Principles. This consultation will help ensure Australia continues to support responsible AI practices to increase community trust and confidence. オーストラリアには、責任あるAIのリーダーになるための強力な基盤がある。我々は世界をリードするAI研究能力を持ち、デジタル技術の信頼できる使用において早くから取り組んでいる。オーストラリアは、2015年に世界で初めてeSafety Commissionerを設置し、オーストラリア国民のオンライン上の安全を守り、AI倫理原則を国内で最も早く採用した国の1つである。今回の協議は、オーストラリアがコミュニティの信頼と信用を高めるために、責任あるAIの実践を支援し続けることを保証するものである。
Australia is not the only country looking at ways to mitigate any emerging risks of technologies such as AI. Some jurisdictions favour voluntary approaches, while others are pursuing more rigorous regulations. AIなどの技術がもたらす新たなリスクを軽減する方法を検討している国は、オーストラリアだけではありません。自主的なアプローチを支持する国もあれば、より厳格な規制を追求する国もある。
This discussion paper focuses on governance mechanisms to ensure AI is developed and used safely and responsibly in Australia. These mechanisms can include regulations, standards, tools, frameworks, principles and business practices. The paper builds on the recent Rapid Research Report on Generative AI delivered by the government’s National Science and Technology Council. 本ディスカッションペーパーでは、オーストラリアでAIが安全かつ責任を持って開発・使用されることを保証するためのガバナンスメカニズムに焦点を当てている。これらのメカニズムには、規制、基準、ツール、フレームワーク、原則、ビジネスプラクティスが含まれることがある。このペーパーは、政府の国家科学技術会議が最近発表した「生成的AIに関する迅速な研究報告書」に基づいている。
We will use your feedback to inform consideration across government on any appropriate regulatory and policy responses. These will build on the government’s multimillion investment in responsible AI through the 2023–24 Budget. The right measures will foster the public trust Australia needs to fully realise the benefits of AI. 我々は、適切な規制や政策対応について政府全体で検討するために、皆様のご意見を参考にさせていただきます。これらは、2023-24年予算を通じて政府が責任あるAIに数百万ドルを投資したことを基礎とするものである。適切な対策を講じることで、オーストラリアがAIの恩恵を十分に享受するために必要な国民の信頼を醸成することができる。
Consultation documents コンサルテーション文書
Safe and responsible AI in Australia [1.8MB PDF] [1.75MB DOCX] オーストラリアにおける安全で責任あるAI [1.8MB PDF] [1.75MB DOCX)
Have your say ご意見をお聞かせください
Have your say on this discussion paper by answering some or all of the 20 questions in our online survey. You can also upload a separate submission if needed. オンライン・アンケートで20の質問の一部または全部に答えて、このディスカッション・ペーパーについてご意見をお聞かせください。また、必要に応じて、別途提出書類をアップロードすることも可能である。
Make a submission 提出書類を作成する

 

・[PDF] Safe and responsible AI in Australia

20230605-42403

・[DOCX] Safe and responsible AI in Australia

・[DOCX] 仮訳

 

 

・2023.06.01 Rapid Response Information Report: Generative AI

Rapid Response Information Report: Generative AI 迅速な対応情報報告 生成的AIについて
There is significant public conversation about the role AI should have in Australian society. オーストラリア社会でAIが果たすべき役割について、世間では大きな話題となっている。
This report was commissioned by Australia’s National Science and Technology Council at the request of the Minister for Industry and Science, the Hon Ed Husic MP in February 2023. 本報告書は、2023年2月に産業・科学大臣であるエド・ヒューシック議員の要請により、オーストラリア国家科学技術評議会が委託したものである。
This Generative AI research report, delivered in March 2023, responds to the questions: 2023年3月に納品されたこの生成的AI研究報告書は、次のような問いに応えるものである:
What are the opportunities and risks of applying large language models (LLMs) and multimodal foundation models (MFMs) learning technologies over the next two, five and ten years? 今後2年、5年、10年の間に、大規模言語モデル(LLM)およびマルチモーダル基礎モデル(MFM)学習技術を適用する機会とリスクは何か?

 

・[PDF] Rapid Response Information Report - Generative AI: Language models and multimodal foundation models

20230605-140044

 


 

 過去の参考ウェブページ...

⚫︎ Ausutralia Department of Industry, Science and Resources - Artificial intelligence

・2022.05.20 Positioning Australia as a leader in digital economy regulation (automated decision making and AI regulation): issues paper

・2019.11.07 Australia’s Artificial Intelligence Ethics Framework

 

| | Comments (0)

2023.06.04

中国 TC260 19のセキュリティ標準等を発行へ

こんにちは、丸山満彦です。

中国の国家情報セキュリティ標準化技術委員会(全国信息安全标准化技术委员会, National Information Security Standardization Technical Committee, いわゆるTC260)が19の標準等を発行していますね。施行はいずれも2023.12.01からです。。。

すごい勢いですよね。。。国力ありますね。。。

 

⚫︎ 全国信息安全标准化技术委员会

1_20230604034601

2023.05.31 19项网络安全国家标准获批发布

 

標準番号 標準名:原題 標準名:仮訳 代替標準番号
1 GB/T 20945-2023 信息安全技术 网络安全审计产品技术规范 情報セキュリティ技術 ネットワークセキュリティ監査製品に関する技術仕様 GB/T 20945-2013
2 GB/T 20986-2023 信息安全技术 网络安全事件分类分级指南 情報セキュリティ技術 ネットワークセキュリティインシデントの分類と評定ガイド GB/Z 20986-2007
3 GB/T 24364-2023 信息安全技术 信息安全风险管理实施指南 情報セキュリティ技術 情報セキュリティリスク管理実施ガイド GB/Z 24364-2009
4 GB/T 28451-2023 信息安全技术 网络入侵防御产品技术规范 情報セキュリティ技術 ネットワーク侵入防止製品技術仕様 GB/T 28451-2012
5 GB/T 30282-2023 信息安全技术 反垃圾邮件产品技术规范 情報セキュリティ技術 アンチスパム製品の技術仕様 GB/T 30282-2013
6 GB/T 31167-2023 信息安全技术 云计算服务安全指南 情報セキュリティ技術 クラウドコンピューティングサービスセキュリティガイド GB/T 31167-2014
7 GB/T 31168-2023 信息安全技术 云计算服务安全能力要求 情報セキュリティ技術 クラウドコンピューティングサービスにおけるセキュリティ能力要件 GB/T 31168-2014
8 GB/T 31496-2023 信息技术 安全技术 信息安全管理体系 指南 情報セキュリティ技術 セキュリティ技術 情報セキュリティマネジメントシステムガイド GB/T 31496-2015
9 GB/T 32920-2023 信息安全技术 行业问和组织间通信的信息安全管理 情報セキュリティ技術 業界からの問い合わせや組織間通信のための情報セキュリティ管理 GB/T 32920-2016
10 GB/T 35282-2023 信息安全技术 电子政务移动办公系统安全技术规范 情報セキュリティ技術 電子政府モバイルオフィスシステムのためのセキュリティ技術仕様 GB/T 35282-2017
11 GB/T 42564-2023 信息安全技术 边缘计算安全技术要求 情報セキュリティ技術 エッジコンピューティングセキュリティ技術要件  
12 GB/T 42570-2023 信息安全技术 区块链技术安全框架 情報セキュリティ技術 ブロックチェーン技術セキュリティーフレームワーク  
13 GB/T 42571-2023 信息安全技术 区块链信息服务安全规范 情報セキュリティ技術 ブロックチェーン情報サービスセキュリティ仕様  
14 GB/T 42572-2023 信息安全技术 可信执行环境服务规范 情報セキュリティ技術 信頼性ある実行環境サービス仕様  
15 GB/T 42573-2023 信息安全技术 网络身份服务安全技术要求 情報セキュリティ技術 ネットワークアイデンティティサービスのためのセキュリティ技術要件  
16 GB/T 42574-2023 信息安全技术 个人信息处理中告知和同意的实施指南 情報セキュリティ技術 個人情報処理における通知と同意のための実施ガイド  
17 GB/T 42582-2023 信息安全技术 移动互联网应用程序(App)个人信息安全测评规范 情報セキュリティ技術 モバイルインターネットアプリケーション(アプリ)個人情報セキュリティ測定仕様  
18 GB/T 42583-2023 信息安全技术 政务网络安全监测平台技术规范 情報セキュリティ技術 政府ネットワークセキュリティ監視基盤技術仕様  
19 GB/T 42589-2023 信息安全技术 电子凭据服务安全规范 情報セキュリティ技術 電子クレデンシャルサービスに関するセキュリティ仕様  

 


 

⚫︎まるちゃんの情報セキュリティ気まぐれ日記

全国信息安全标准化技术委员会関係...

・2023.05.14 中国 意見募集 国家標準 情報セキュリティ技術 - 端末型コンピュータの一般的なセキュリティ技術仕様 (2023.05.05)

・2022.10.22 中国 TC260 14のセキュリティ関連の標準を決定

・2022.10.10 中国 習近平総書記が中国のサイバーセキュリティ活動を指導 (2022.09.28)

・2022.06.27 中国 TC260 個人情報の国際的な処理活動に関するセキュリティ認証仕様

・2022.05.31 中国 意見募集 国家標準案 情報セキュリティ技術- インターネットプラットフォーム及び製品サービスにおけるプライバシーポリシー要求事項

・2021.10.22 中国 意見募集 国家標準案「情報セキュリティ技術 自動車収集データに関するセキュリティ要件 」

・2021.10.13 中国 TC260 15のセキュリティ関連の標準を決定

・2021.10.04 中国 意見募集 ネットワークセキュリティ基準実施要領-データ分類・等級付けガイドライン(案)

・2021.08.30 中国 2021年のサイバーセキュリティに関する国家標準プロジェクトリスト 

・2021.08.13 中国 意見募集 「機械学習アルゴリズムのセキュリティ評価に関する情報セキュリティ技術仕様書」案を発表し、意見募集していますね。。。 at 2021.08.04

・2021.08.13 中国 意見募集 「情報セキュリティ技術ブロックチェーン技術セキュリティフレームワーク」案を発表し、意見募集していますね。。。 at 2021.08.02

・2021.05.13 中国 意見募集 顔認識、歩行認識、音声認識に続けて、遺伝子認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。

・2021.05.03 中国 意見募集 顔認識に続けて、歩行認識、音声認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。

・2021.04.28 中国 意見募集 スマホアプリによる個人情報保護管理に関する暫定規定

・2021.01.27 中国 TC260 パブコメ ブロックチェーン情報サービスのセキュリティ仕様他

・2020.11.12 中国 TC260 パブコメ オンライン車予約サービスのデータセキュリティに関するガイド案

・2020.11.10 中国 TC260 パブコメ AI倫理に関するガイドライン案

・2020.11.10 中国 TC260 ネットワークセキュリティ状況認識技術の標準化に関する白書

・2020.02.22 中国サイバーセキュリティ関連組織・・・

・2020.02.04 中国が情報セキュリティ関連の国家標準のパブコメを18件出していました・・・

| | Comments (0)

2023.06.03

米国 韓国 北朝鮮のサイバー部隊がシンクタンク、学術機関、ニュースメディア部門を標的にした攻撃をしていると注意喚起

こんにちは、丸山満彦です。

米国のNSA, 国務省、司法省と、韓国のインテリジェンス組織、外務省等が北朝鮮のサイバー部隊が、シンクタンク、学術機関、ニュースメディア部門を標的にした攻撃をしていると注意喚起していますね。。。ソーシャルエンジニアリングを行っているということのようですね。。。

⚫︎ National Security Agency

・2023.06.01 U.S., ROK Agencies Alert: DPRK Cyber Actors Impersonating Targets to Collect Intelligence

U.S., ROK Agencies Alert: DPRK Cyber Actors Impersonating Targets to Collect Intelligence 米韓の関係機関が注意喚起:DPRK のサイバー工作員がターゲットになりすまして情報収集
FORT MEADE, Md. - The National Security Agency (NSA) is partnering with several organizations to highlight the Democratic People’s Republic of Korea’s (DPRK) use of social engineering and malware to target think tanks, academia, and news media sectors. 米国マサチューセッツ州フォートミード - 米国家安全保障局(NSA)は、複数の組織と連携し、朝鮮民主主義人民共和国(DPRK)がソーシャルエンジニアリングやマルウェアを用いてシンクタンク、学術機関、ニュースメディア部門を標的にしていることを強調している。
To help protect against these DPRK attacks, NSA and partners are publicly releasing the Cybersecurity Advisory (CSA), “North Korea Using Social Engineering to Enable Hacking of Think Tanks, Academia, and Media.” こうしたDPRKの攻撃から身を守るため、NSAとパートナーは、サイバーセキュリティアドバイザリー(CSA)"North Korea Using Social Engineering to Enable Hacking of Think Tanks, Academia, and Media "を一般に公開することにした。
“DPRK state-sponsored cyber actors continue to impersonate trusted sources to collect sensitive information,” said Rob Joyce, NSA director of Cybersecurity. “Education and awareness are the first line of defense against these social engineering attacks.” NSAサイバーセキュリティ担当ディレクターのロブ・ジョイスは次のように述べている。「北朝鮮が国家を支援するサイバーアクターは、信頼できる情報源になりすまして機密情報を収集し続けている 教育と意識向上は、こうしたソーシャル・エンジニアリング攻撃に対する防御の第一線である。」
The agencies — the Federal Bureau of Investigation (FBI), U.S. Department of State, and the Republic of Korea’s (ROK) National Intelligence Service, National Policy Agency, and Ministry of Foreign Affairs — have observed sustained information gathering efforts originating from a specific set of DPRK cyber actors known collectively as Kimsuky, THALLIUM, or VELVETCHOLLIMA. 米連邦捜査局(FBI)、米国務省、大韓民国(韓国)の国家情報院、国家政策院、外務省の各機関は、キムスキー、タリウム、ベルベットコリマと総称される北朝鮮の特定のサイバー行為者から発信される持続的な情報収集活動を観測している。
The advisory details how North Korea relies heavily on intelligence gained from these spearphishing campaigns. Successful compromises of the targeted individuals enable Kimsuky actors to craft more credible and effective spearphishing emails that can be leveraged against sensitive, high-value targets. 勧告では、北朝鮮がこれらのスピアフィッシング・キャンペーンから得た情報をいかに重要視しているかを詳述している。キムスキーは、標的の個人を危険にさらすことで、より信頼性が高く効果的なスピアフィッシングメールを作成し、機密性の高い価値の高い標的に対して活用できるようにする。
“These cyber actors are strategically impersonating legitimate sources to collect intelligence on geopolitical events, foreign policy strategies, and security developments of interest to the DPRK on the Korean Peninsula,” said Joyce. ジョイスはまた、次のように述べている。「これらのサイバーアクターは、戦略的に合法的な情報源になりすまし、朝鮮半島で北朝鮮が関心を持つ地政学的な出来事、外交政策戦略、安全保障の進展に関する情報を収集している。」
Kimsuky is administratively subordinate to an element within North Korea’s Reconnaissance General Bureau (RGB). The RGB is primarily responsible for this network of cyber actors and activities. Data stolen by Kimsuky is shared with other DPRK cyber actors in support of the RGB’s objectives. キムスキーは、北朝鮮の偵察総局(RGB)内のある要素に管理上従属する。RGBは、このサイバーアクターと活動のネットワークに主に責任を負っている。Kimsukyによって盗まれたデータは、RGBの目的をサポートするために、他の北朝鮮のサイバーアクターと共有される。
NSA and its partners encourage individuals and U.S. entities to implement the mitigations listed in the CSA to protect against DPRK actors’ cyber operations, and to report spearphishing examples to www.ic3.gov with a reference to “#KimsukyCSA” in the incident description. NSAとそのパートナーは、個人と米国事業体に対し、DPRKアクターのサイバー活動から保護するためにCSAに記載されている緩和策を実施し、インシデント説明に「#KimsukyCSA」を参照しながらスピアフィッシング事例を www.ic3.gov に報告するよう奨励している。
Read the full report here. 報告書の全文はこちらから
Visit our full library for more cybersecurity information and technical guidance. サイバーセキュリティに関する情報や技術ガイダンスについては、当局のフルライブラリまで。

 

20230603-61059

 

⚫︎U.S. Department of State

・2023.06.01 U.S. and ROK Agencies Cybersecurity Alert: The Democratic People’s Republic of Korea (DPRK) Social Engineering Campaigns Targeting Think Tanks, Academia, and News Media

U.S. and ROK Agencies Cybersecurity Alert: The Democratic People’s Republic of Korea (DPRK) Social Engineering Campaigns Targeting Think Tanks, Academia, and News Media 米国および韓国政府機関のサイバーセキュリティに関する警告:朝鮮民主主義人民共和国(DPRK)のシンクタンク、アカデミア、ニュースメディアを対象としたソーシャルエンジニアリングキャンペーンについて
Today the U.S. Department of State, the Federal Bureau of Investigation, and the National Security Agency together with partners from the Republic of Korea Ministry of Foreign Affairs, National Police Agency, and National Intelligence Service are releasing a Cybersecurity Advisory  on social engineering and hacking threats posed by the DPRK cyber group known as Kimsuky. This Advisory is collaborative effort between our two governments and a concrete outcome of the U.S.-ROK Working Group on DPRK Cyber Threats. 本日、米国国務省、連邦捜査局、国家安全保障局は、韓国外務省、警察庁、国家情報院のパートナーとともに、キムスキーと呼ばれる北朝鮮のサイバーグループがもたらすソーシャルエンジニアリングとハッキングの脅威に関するサイバーセキュリティアドバイザリーを発表しました。この勧告は、日米両政府の共同作業であり、北朝鮮のサイバー脅威に関する米韓ワーキンググループの具体的な成果である。
Kimsuky, a set of DPRK cyber actors, conducts large-scale social engineering campaigns in which victims at think tanks, academic institutions, and news outlets are manipulated and compromised for the purpose of intelligence gathering. キムスキーは、北朝鮮のサイバーアクターで構成され、シンクタンク、学術機関、報道機関の被害者を情報収集の目的で操り、危険にさらす大規模なソーシャル・エンジニアリング・キャンペーンを行っている。
This joint Cybersecurity Advisory provides detailed information on how Kimsuky actors operate, warning signs of spearphishing campaigns, and mitigation measures that can be implemented to enhance network security against Kimsuky operations. この共同サイバーセキュリティ勧告では、キムスキーの攻撃者がどのように活動しているか、スピアフィッシングキャンペーンの警告サイン、キムスキーの活動に対するネットワークセキュリティを強化するために実施可能な緩和策に関する詳細情報を提供する。
If you believe you’ve been targeted by a DPRK spearphishing campaign by Kimsuky actors, please report the incident to www.ic3.gov  and reference #KimsukyCSA in the description. KimsukyアクターによるDPRKスピアフィッシングキャンペーンの標的にされたと思われる場合は、www.ic3.gov、説明文の中で#KimsukyCSAを参照してインシデントを報告してください。

 

 

| | Comments (0)

欧州 年次プライバシーフォーラム2023 at リヨン

こんにちは、丸山満彦です。

6月1日、2日にフランスのリヨンで年次プライバシーフォーラム2023が開催されたようです。。。ENISA、欧州委員会等がオーガナイザーです。。。昨年はワルシャワで開催されています...

  • 個人データ保護のための最新テクノロジー
  • 機械学習と個人データ処理
  • 欧州データ戦略に基づく個人データの共有
  • GDPR 準拠とデータ主体の権利の促進

などについての議論がされたようですね。。。

Annual Privacy Forum 2022

⚫︎ Annual Privacy Forum

以下が、主なセッション。(Key noteとNetworkセッションをのぞいています。。。)

Programme

 

Paper Session I:  Emerging Technologies and Protection of Personal data 新しいテクノロジーと個人情報保護
A Universal Data Model for Data Sharing under the European Data Strategy 欧州データ戦略におけるデータ共有のためのユニバーサルデータモデル
A Decision-Making Process to Implement the 'Right to be Forgotten' in Machine Learning 機械学習における「忘れられる権利」を実装するための意思決定プロセス
Invited Talk Re-AI-dy, Set, Go: The role of legal and tech in US AI regulation Re-AI-dy, Set, Go: 米国AI規制における法務と技術の役割
Panel Session I:  Foresight on Data Protection Engineering Challenges データ保護エンジニアリングの課題に関する先見性
Paper Session II:  Data Protection Principles and Data Subject Rights データ保護原則とデータ主体権
A data protection-compliant framework for Wi-Fi-based location tracking (in law enforcement) Wi-Fiベースの位置情報追跡のためのデータ保護に準拠したフレームワーク(法執行機関において)
Past and Present: A Case Study of Twitter's Responses to GDPR Data Requests 過去と現在: GDPRデータ要求に対するTwitterの対応のケーススタディ
Invited Talk Zero Knowledge Proofs 知識ゼロの証明
Panel Session II: The role of DPAs in the AI regulation AI規制におけるDPAの役割
Paper Session III:  Perceptions of Privacy プライバシーに対する認識
No Children in the Metaverse? The Privacy & Safety Risks of Virtual Worlds (and How to Deal with Them) メタバースに子どもはいない?バーチャルワールドのプライバシーと安全性のリスク(とその対処法)
Home alone? Exploring the geographies of digitally-mediated privacy practices at home during the COVID-19 pandemic ホームアローン?COVID-19パンデミック時の自宅におけるデジタル媒介のプライバシー実践の地理的特性を探る
Panel Session III:  Processing Health Data: Challenges and Way Forward 健康データの処理: 課題と前進の道
Discussion Data Protection Competences and the European Cybersecurity Skills Framework データ保護コンピテンスと欧州サイバーセキュリティ・スキルフレームワーク
Paper Session IV:  Modelling data protection and privacy データ保護とプライバシーのモデル化
From Dark Patterns to Fair Patterns? Usable Taxonomy to Contribute Solving the Issue with Countermeasures  ダークパターンからフェアパターンへ?利用可能な分類法で貢献する 対策で問題を解決する 
A singular approach to address privacy issues by the Data Protection and Privacy Relationships Model (DAPPREMO) データ保護とプライバシーの関係モデル(DAPPREMO)によるプライバシー問題に対処するための特異なアプローチ

 

⚫︎ ENISA

・2023.06.01 Securing Personal Data in the Wake of AI

 

関連リンク...

Relevant ENISA publications: ENISAの関連出版物
Engineering Personal Data Sharing – ENISA report 2023 パーソナルデータ共有のエンジニアリング - ENISAレポート2023年版
Data Protection Engineering – ENISA report 2022 データ保護エンジニアリング - ENISAレポート2022
Deploying pseudonymisation techniques 仮名化技術の導入
Data Pseudonymisation: Advanced Techniques and Use Cases データの仮名化: 高度なテクニックと使用例
Pseudonymisation techniques and best practices 仮名化のテクニックとベストプラクティス
ENISA topic – Data Protection ENISA トピック - データ保護
Other information: その他の情報
Event website イベントウェブサイト
General Data Protection Regulation 一般データ保護規則
Cybersecurity Act サイバーセキュリティ法
ePrivacy Regulation Proposal ePrivacy規則案
Artificial Intelligence Act Proposal 人工知能法 案
European Digital Identity Regulation Proposal 欧州デジタルアイデンティティ規制案
Directive on a high common level of cybersecurity across the Union (NIS2) 連邦全体におけるサイバーセキュリティの高い共通レベルに関する指令(NIS2)

 


 

⚫︎まるちゃんの情報セキュリティ気まぐれ日記

・2022.07.01 ENISA 年次プライバシーフォーラム (APF) 2022 in Warsaw (2022.06.24)

 

| | Comments (0)

米国 情報コミュニティ監察官室 半期報告書 (2022-2023.04)

こんにちは、丸山満彦です。

情報コミュニティ監察総監室(IC IG)が、2022年10月1日から2023年3月31日までの半期報告書を国家情報長官(DNI)、議会に公表していますね。。。1947年国家安全保障法(改正)により、IC IGは、直前の6カ月間のIC IGの業務を要約した報告書を作成し、DNIに提出することが定められています。。。

このブログでは取り上げていませんでしたが、
過去からずっと行われてきています...

インテリジェンス組織の信頼性を担保するための、重要な活動の一つだろうと思います。特に米国の場合は、情報収集・分析のみならず、情報工作の一部もインテリジェンス組織が行うので、国民監視の仕組みは重要なのだろうと思います。

この点、日本ではあまり議論されていないように思いますが、重要な観点だと思います。

また、内部通報制度についても重要だろうと思います。。。

 

⚫︎ Oversight.Gov

・2023.06.01 The Office of the Inspector General of the Intelligence Community Releases Its Semiannual Report (Oct 2022 - Mar 2023) to Congress

 

報告書...

・[PDF]

20230603-35813

 

目次...

MESSAGE FROM THE INSPECTOR GENERAL 監察官からのメッセージ
ABOUT US 我々について
Authority, Mission, Vision and Values 権限、ミッション、ビジョン、バリュー
Statement of Independence and Statutory Requirements 独立性に関する声明と法定要件
Organizational Structure 組織構造
Strategic Plan and Goals 戦略的計画と目標
Promoting Accountability Through Cooperation 協力による説明責任の推進
Intelligence Community Management Challenges インテリジェンス・コミュニティの管理上の課題
PRODUCTS 報告事項
Audit Division 監査部門
Inspections and Evaluations 検査・評価
Investigations Division 調査部門
Mission Support Division ミッション支援部門
Center for Protected Disclosures 保護された情報開示のためのセンター
IC IG Hotline Metrics IC IG ホットラインの評価
Counsel to the Inspector General 監察官への助言
PARTNERSHIPS パートナーシップ
IC IG Management Advisory Committee IC IGマネジメントアドバイザリー委員会
Intelligence Community Inspectors General Forum 情報コミュニティ監察官フォーラム
IC IG Forum Meeting Summaries IC IGフォーラム会議サマリー
Committees, Subcommittees, and Working Groups 委員会、分科会、作業部会
Peer Reviews ピアレビュー
Five Eyes Intelligence and Oversight Review Council ファイブアイズ情報監視審査委員会(FIORC
The Inspector General Community 監察官コミュニティ
STATISTICAL DATA 統計データ
Recommendations 推奨事項
ABBREVIATIONS AND ACRONYMS 略語と頭字語

 

過去の報告書...(機密指定されていない報告書は義務化されていないので、すべてにあるわけではない...)

公表日 From To 報告書名 報告書
06/01/2023 2022.10 2023.03 The Office of the Inspector General of the Intelligence Community Releases Its Semiannual Report (Oct 2022 - Mar 2023) to Congress PDF
12/12/2022 2022.04 2022.09 Office of the Inspector General of the Intelligence Community Semiannual Report, April 2022-September 2022 PDF
06/01/2022 2021.10 2022.03 The Office of the Inspector General of the Intelligence Community Releases Its Semiannual Report to Congress PDF
11/30/2021 2021.04 2021.09 Semiannual Report, Office of the Inspector General of the Intelligence Community, April 2021 - September 2021 PDF
05/18/2021 2020.10 2021.03 Semiannual Report, Office of the Inspector General of the Intelligence Community, October 2020 - March 2021 PDF
11/05/2020 2020.04 2020.09 Semiannual Report, Office of the Inspector General of the Intelligence Community, April 2020 - September 2020 PDF
09/16/2020 2019.10 2020.03 Semiannual Report, Office of the Inspector General of the Intelligence Community, October 2019 - March 2020 PDF
11/25/2019 2019.04 2019.09 Semiannual Report, Office of the Inspector General of the Intelligence Community, April 2019 - September 2019 PDF
05/31/2019 2018.10 2019.03 Office of the Inspector General of the Intelligence Community Semiannual Report, October 2018-March 2019 PDF
11/27/2018 2018.04 2018.09 Office of the Inspector General of the intelligence Community Semiannual Report, April 2018-September 2018 PDF
06/18/2018 2017.10 2018.03 IC IG Semiannual Report October 2017 - March 2018 PDF
02/07/2018 2017.04 2017.09 IC IG Semiannual Report to Congress April 2017 - September 2017 PDF
10/01/2015 2015.04 2015.09 IC IG Semiannual Report April 2015 - September 2015 PDF
04/01/2014 2013.10 2014.03 IC IG Semiannual Report October 2013 - March 2014 PDF
10/01/2013 2013.04 2013.09 IC IG Semiannual Report April 2013 - September 2013 PDF
04/01/2013 2012.07 2013.03 IC IG Semiannual Report July 2012 - March 2013 PDF

 

 

| | Comments (0)

2023.06.02

個人情報保護委員会 マイナンバーカード等に係る各種事案に対する個人情報保護委員会の対応方針(案)

こんにちは、丸山満彦です。

第244回個人情報保護委員会で、昨今発生したマイナンバー関連の事故についての対応方針案が議論されたようですね。。。

ほぼ丸投げ開発の委託先に対する監督をしなさい、、、みたいなことを繰り返しいうのも、仕方がないとはいえ、なんか本質的な解決につながらないような気がして、つらいですよね。。。言う方も、言われる方も...

一番最初のガイドラインとなった経済産業省ガイドラインを作るときから言われていましたが...

 

⚫︎ 個人情報保護委員会

1_20230602050001

・2023.05.31 第244回個人情報保護委員会を開催しました。

・[PDF] 資料3 マイナンバーカード等に係る各種事案に対する個人情報保護委員会の対応方針

20230602-45359



Continue reading "個人情報保護委員会 マイナンバーカード等に係る各種事案に対する個人情報保護委員会の対応方針(案)"

| | Comments (0)

カナダ プライバシーコミッショナー 職場におけるプライバシーガイダンス

こんにちは、丸山満彦です。

カナダのプライバシーコミッショナーが職場におけるプライバシーガイダンスを改定し、公表していますね。。。

従業員のモニタリング(例えば、社用車の位置情報など)についても触れられています。。。が、具体的なことを書いているわけではなく、ガイダンスです。。。

 

ガイダンスで触れられている8つの実践的なヒント

Eight practical tips for employers 雇用者のための8つの実践的なヒント
1. Examine all relevant legal obligations and authorities 1. 関連するすべての法的義務や権限の調査
2. Map out what employee information is being collected, used, and disclosed 2. 従業員情報の収集、利用、および開示状況の把握
3. Conduct Privacy Impact Assessments (PIAs) 3. プライバシー影響評価(PIA)の実施
4. Test your proposed employee management information practices 4. 従業員管理情報の取り扱いに関する提案のテスト
6. Be transparent and open 6. 透明性と開放性の確保
7. Respect key privacy principles 7. プライバシーに関する主要な原則の尊重
8. Be aware of inappropriate practices/no-go zones 8. 不適切な慣行や立ち入るべきでない領域の認識

 

⚫︎ Office of the Privacy Commissioner of Canada

プレス...

・2023.05.29 OPC launches new guidance on workplace privacy

 

ガイダンス...

Privacy in the Workplace

 

1_20230602043801

 

 

 

| | Comments (0)

2023.06.01

中国 国家サイバースペース管理局「個人情報の越境移転に関する標準契約条項(第一版)」

こんにちは、丸山満彦です。

中国の国家サイバースペース管理局が「個人情報の越境移転に関する標準契約条項(第一版)」を公表していますね。。。昨年の6月末に意見募集をしたものが確定したということですかね。。。

本日2023.06.01から施行されます...

中国国外の受取人と個人情報移転標準契約を締結して中国国外で個人情報を提供する個人情報処理者は、「個人情報移転標準契約」の規定に基づき、提出ガイドラインに従って、所在地の省インターネット情報部門に記録を提出しなければならない。ことになりますね。。。ただし、この標準契約が使えるのは、重要インフラ事業者ではない事業者が、年間100万人の個人情報を海外に移転する場合ということですかね。。。

 

国家互联网信息办公室(国家サイバースペース管理局)

・2023.05.30 国家互联网信息办公室发布《个人信息出境标准合同备案指南(第一版)》

 ・[DOC] 附件:《个人信息出境标准合同备案指南(第一版)》

 

 

1_20210612030101

 


 

⚫︎まるちゃんの情報セキュリティ気まぐれ日記

・2023.03.01 中国 個人情報越境移転標準契約弁法 (2023.02.24)

・2023.01.18 中国 サイバー法制白書 2022 (2023.01.12)

・2022.07.02 中国 国家サイバースペース管理局「個人情報の越境移転に関する標準契約条項(意見募集案)」

 

 

Continue reading "中国 国家サイバースペース管理局「個人情報の越境移転に関する標準契約条項(第一版)」"

| | Comments (0)

生成的AIとプライバシー当局(カナダ ニュージーランド)

こんにちは、丸山満彦です。

生成的AIは、その学習の過程で、いろいろな情報を収集することになるのですが、その際にプライバシーに関連する情報、知的財産権で保護されている情報等もまとめて収集してしまう場合があります。収集する際に、本人からの同意がとれていなかったり、使う際に知的財産権で保護されている情報と認識されることなく利用してしまうなどの問題が起こりうるわけですが、このような問題をどのように解決していくか。。。

規制当局も色々と悩ましいのでしょうね。。。。

カナダのプライバシー保護当局(連邦と地方)が合同でChatGPTを調査するといっていますし、、、ニュージーランドのプライバシー・コミッショナーが、AI利用についての留意点を公表していますね。。。。

 

まずは、カナダ...

⚫︎ Office of the Privacy Commissioner of Canada

・2023.05.23 OPC to investigate ChatGPT jointly with provincial privacy authorities

OPC to investigate ChatGPT jointly with provincial privacy authorities OPC、ChatGPTを各州の個人情報保護当局と合同で調査へ
The privacy authorities for Canada, Québec, British Columbia and Alberta will jointly investigate the company behind artificial intelligence-powered chatbot ChatGPT. カナダ、ケベック州、ブリティッシュコロンビア州、アルバータ州のプライバシー当局が、人工知能を搭載したチャットボットChatGPTの開発会社を共同で調査することになった。
The Office of the Privacy Commissioner of Canada (OPC), the Office of the Information and Privacy Commissioner for British Columbia, the Commission d’accès à l’information du Québec, and the Office of the Information and Privacy Commissioner of Alberta will carry out the investigation into OpenAI’s ChatGPT. カナダのプライバシーコミッショナー事務所(OPC)、ブリティッシュコロンビア州の情報・プライバシーコミッショナー事務所、ケベック州の情報アクセス委員会、アルバータ州の情報・プライバシーコミッショナー事務所が、OpenAIのChatGPTに関する調査を実施する。
The OPC announced in April that it had launched an investigation into OpenAI in response to a complaint alleging the collection, use and disclosure of personal information without consent. OPCは4月に、同意なしに個人情報を収集、使用、開示したという苦情を受けて、OpenAIに対する調査を開始したことを発表した。
Given the broad scope and significant privacy impact of artificial intelligence and its relevance to all Canadians, the 4 offices have decided to jointly investigate the matter. Through collaboration, the offices will be able to leverage their combined resources and expertise to more effectively and efficiently enforce privacy laws. This joint investigation reflects the strong collaboration between privacy authorities in Canada in dealing with key issues that impact Canadians. 人工知能の広範な範囲とプライバシーへの重大な影響、そしてすべてのカナダ人に関連することを考慮し、4つのオフィスは共同でこの問題を調査することを決定した。協力を通じて、各オフィスは、それぞれのリソースと専門知識を活用し、より効果的かつ効率的にプライバシー法を執行することができるようになる。今回の共同調査は、カナダ国民に影響を与える重要な問題に対処するための、カナダにおけるプライバシー当局間の強力な協力関係を反映している。
The privacy authorities will investigate whether OpenAI: プライバシー当局は、OpenAIが、
・has obtained valid and meaningful consent for the collection, use and disclosure of the personal information of individuals based in Canada via ChatGPT; ・ChatGPTを通じてカナダに住む個人の個人情報を収集、使用、開示することについて、有効かつ意味のある同意を得たかどうか;
・has respected its obligations with respect to openness and transparency, access, accuracy, and accountability; and オープン性、透明性、アクセス、正確性、説明責任に関する義務を遵守しているか。
・has collected, used and/or disclosed personal information for purposes that a reasonable person would consider appropriate, reasonable or legitimate in the circumstances, and whether this collection is limited to information that is necessary for these purposes. ・合理的な人がその状況において適切、合理的、または合法的と考える目的のために個人情報を収集、使用、および/または開示しており、この収集がこれらの目的に必要な情報に限定されているかどうか、を確認する。
“AI technology and its effects on privacy are global issues and key focus areas for privacy authorities in Canada and around the world,” said Philippe Dufresne, Privacy Commissioner of Canada. “As regulators, we need to keep up with – and stay ahead of – fast-moving technological advances in order to protect the fundamental privacy rights of Canadians.” AI技術とそのプライバシーへの影響は、世界的な問題であり、カナダおよび世界中のプライバシー当局にとって重要な重点分野である。とカナダプライバシーコミッショナーのフィリップ・デュフレスヌは述べている。"規制当局として、カナダ人の基本的なプライバシー権を保護するために、動きの速い技術の進歩に対応し、その先を行く必要がある。"
Privacy legislation in Québec, British Columbia and Alberta has been declared substantially similar to federal laws, and the privacy authorities frequently work together on matters with a national impact. Each office will investigate compliance with the law which it oversees. ケベック州、ブリティッシュ・コロンビア州、アルバータ州のプライバシー法は、連邦法と実質的に類似していると宣言されており、プライバシー当局は、全国的に影響を与える事柄について頻繁に協力し合っている。各局は、自らが監督する法律の遵守状況を調査する。
As this is an active investigation, no additional details are available at this time. これは活発な調査であるため、現時点では追加の詳細は得られていない。

 

つぎに、ニュージーランド...

⚫︎ Privacy Commissioner

・2023.05.25 Privacy Commissioner outlines expectations around AI use

Privacy Commissioner outlines expectations around AI use プライバシーコミッショナー、AI利用に関する期待事項を概説
Privacy Commissioner Michael Webster has today outlined his expectations around New Zealand agencies, businesses, and organisations using generative artificial intelligence (AI).  マイケル・ウェブスター・プライバシーコミッショナーは、ニュージーランドの機関、企業、組織が生成的人工知能(AI)を使用する際の期待について、本日概要を述べた。 
“I would expect all agencies using systems that can take the personal information of New Zealanders to create new content to be thinking about the consequences of using generative AI before they start”, he says. 「私は、新しいコンテンツを作成するためにニュージーランド人の個人情報を取得できるシステムを使用するすべての機関が、開始する前に、生成的AIを使用することの結果について考えていることを期待する」と彼は述べている。
AI’s use of New Zealanders’ personal information is regulated under the Privacy Act 2020. AIによるニュージーランド人の個人情報の利用は、プライバシー法2020の下で規制されている。
It’s the Commissioner’s role to ensure New Zealanders privacy rights are protected, which is why he is calling for businesses and organisations to check their obligations around generative AI use before they begin. ニュージーランド人のプライバシー権を確実に保護するのがコミッショナーの役割であり、だからこそ、企業や組織に対して、ジェネレーティブAIの利用をめぐる義務を事前に確認するよう呼びかけている。
Mr Webster has outlined seven points of advice to help businesses and organisations engage with the potential of AI in a way that respects people’s privacy rights. ウェブスター氏は、企業や組織が人々のプライバシー権を尊重する形でAIの可能性に取り組むためのアドバイスとして、7つのポイントを紹介している。
1. Have senior leadership approval 1. シニアリーダーの承認を得る
Businesses and organisations must involve their senior leaders and privacy officer in deciding whether or how to implement a generative AI system. 企業や組織は、ジェネレーティブAIシステムを導入するかどうか、あるいはどのように導入するかを決定する際に、シニアリーダーやプライバシーオフィサーを巻き込む必要がある。
2. Review whether a generative AI tool is necessary and proportionate 2. 生成的AIツールが必要かつ適切かどうかを検討する。
Given the potential privacy implications, review whether it is necessary and proportionate to use a generative AI tool or whether an alternative approach could be taken. 潜在的なプライバシーへの影響を考慮し、生成的AIツールを使用することが必要かつ適切であるか、または別のアプローチを取ることができるかどうかを検討する。
3. Conduct a Privacy Impact Assessment 3. プライバシー影響評価の実施
Assess the privacy impacts before implementing any system. This should include seeking feedback from impacted communities and groups including Māori. Ask the provider to clarify how information and evidence about how privacy protections have been designed into the system.  システムを実装する前に、プライバシーへの影響を評価する。これには、マオリ族を含む影響を受けるコミュニティやグループからのフィードバックを求めることが含まれる。プライバシー保護がどのようにシステムに設計されているか、その情報や証拠を明確にするようプロバイダーに求める。 
4. Be transparent 4. 透明性を保つ
Be clear and upfront when you tell your customers and clients that you’re using generative AI and how you are managing the associated privacy risks. Generative AI is a new technology, and many people will be uncomfortable with its use or don’t understand the risks for them. Giving them information about the generative AI system you’re using in plain language will be essential to maintain consumer trust and your organisation’s social licence to use AI. 顧客やクライアントに、生成的AIを使用していること、関連するプライバシーリスクをどのようにマネジメントしているかを伝える際には、明確かつ率直であること。ジェネレーティブAIは新しい技術であり、多くの人がその使用に抵抗があったり、自分にとってのリスクを理解していないでしょう。消費者の信頼とAIを使用する組織の社会的ライセンスを維持するためには、使用しているジェネレーティブAIシステムに関する情報を平易な言葉で伝えることが不可欠となる。
5. Develop procedures about accuracy and access by individuals 5. 正確性と個人によるアクセスに関する手順を策定する
Develop procedures for how your agency will take reasonable steps to ensure that the information is accurate before use or disclosure and how you will respond to requests from individuals to access and correct their personal information. 利用や開示の前に情報が正確であることを保証するために、あなたの機関がどのように合理的な手段を講じるか、また、個人からの個人情報へのアクセスや訂正の要求にどのように対応するかについての手順を作成する。
6. Ensure human review prior to acting 6. 行動する前に人間によるレビューを確保する
Having a human review the outputs of a generative AI tool prior to your agency taking any action because of that output will mitigate the risk of acting based on inaccurate information. Any review of output data should also assess the risk of re-identification of the inputted information. 生成的AIツールの出力に起因する行動を起こす前に、人間がその出力を確認することで、不正確な情報に基づいて行動するリスクを軽減することができます。出力データのレビューは、入力された情報の再識別のリスクも評価する必要がある。
7. Ensure that personal or confidential information is not retained or disclosed by the generative AI tool 7. 個人情報または機密情報が生成的AIツールによって保持または開示されないことを確認する。
Do not input into a generative AI tool personal or confidential information, unless it has been explicitly confirmed that inputted information is not retained or disclosed by the provider. An alternative could be stripping input data of any information that enables re-identification. We would strongly caution against using sensitive or confidential data for training purposes. 入力された情報が提供者によって保持または開示されないことが明示的に確認されない限り、生成的AIツールに個人情報または機密情報を入力しないこと。また、入力データから、再識別を可能にする情報を取り除くことも考えられる。私たちは、トレーニングの目的で機密データを使用することに強く注意を促する。
“I would expect agencies to do their due diligence and privacy analysis to assess how they comply with the law before stepping into using generative AI,” says Mr Webster. ウェブスター氏は、以下のように述べた。「生成的AIの使用に踏み切る前に、各省庁がデューデリジェンスとプライバシー分析を行い、法律をどのように遵守しているかを評価することを期待する。
“Generative AI is covered by the Privacy Act 2020 and my Office will be working to ensure that is being complied with; including investigating where appropriate." 生成的AIはプライバシー法2020の対象であり、私の事務局は、それが遵守されていることを確認するために働き、適切な場合には調査をする。」
The Commissioner has previously sent a letter to government agencies outlining his caution around prematurely jumping into using generative AI without a proper assessment and signalling the need for a whole-of-government response to the growing challenges posed by this tool.  同長官は以前、政府機関に書簡を送り、適切な評価なしに早急に生成的AIの使用に踏み切ることへの注意を促し、このツールがもたらす増大する課題への政府全体の対応の必要性を示唆している。 

 

・2023.05.25 Generative Artificial Intelligence

Generative Artificial Intelligence ジェネレーティブ・アーティフィシャル・インテリジェンス
This page sets out the expectations of the Office of Privacy Commissioner with respect to the use of generative Artificial Intelligence (AI) by agencies. The evolving nature of generative AI is such that the material on this page is subject to change as we continue to review the situation. It was updated on 25 May 2023. このページでは、機関による生成的人工知能(AI)の使用に関して、プライバシーコミッショナー室が期待することを説明する。生成的人工知能は進化しているため、状況を確認し続ける中で、このページの資料が変更される可能性がある。(2023年5月25日更新)
Generative AI are tools and apps that have recently been prominent in the media. These tools use large amounts of information (including personal information) to transform and generate a variety of content, including human-like conversations, writing essays, creating images or videos, and computer code. 生成的AIは、最近メディアで目立つようになったツールやアプリである。これらのツールは、大量の情報(個人情報を含む)を使って、人間のような会話、エッセイの作成、画像や動画の作成、コンピュータコードなど、さまざまなコンテンツを変換・生成する。
Prominent generative AI tools include: 著名な生成的AIツールには、以下のようなものがある:
・OpenAI’s ‘ChatGPT’, which is an app leveraging their GPT-3 / GPT-4 large language models ・OpenAIの「ChatGPT」は、同社のGPT-3 / GPT-4大規模言語モデルを活用したアプリである。
・Microsoft’s Bing search or Copilot products, which leverages GPT-4, and ・マイクロソフト社のBing検索Copilot製品は、GPT-4を活用している。
・Google’s Bard. ・GoogleのBard
Generative AI tools, capabilities, and their impact are rapidly evolving. Regulators across the world are actively reviewing the situation, and the Privacy Commissioner has called for New Zealand regulators to come together to determine how best to protect the rights of New Zealanders. 生成的AIのツール、能力、そしてその影響は急速に進化している。世界中の規制当局が積極的に検討しており、プライバシーコミッショナーは、ニュージーランドの規制当局が集まって、ニュージーランド人の権利を保護するための最善の方法を決定するよう呼びかけている。
Potential privacy risks associated with generative AI tools 生成的AIツールに関連する潜在的なプライバシーリスク
Agencies considering whether to use a generative AI tool need to be aware of potential privacy risks that have been associated with these tools. These risks include: 生成的AIツールを使用するかどうかを検討している機関は、これらのツールに関連する潜在的なプライバシーリスクを認識する必要がある。これらのリスクは以下の通りである:
・The training data used by the generative AI ・生成的AIが使用するトレーニングデータ
Generative AI models are trained on vast amounts of information, some of which is personal information. This presents various privacy risks, including around how personal information has been collected, whether there is sufficient transparency and whether the information is accurate or contains bias. 生成的AIのモデルは、膨大な量の情報に基づいて学習され、その中には個人情報も含まれます。このため、個人情報がどのように収集されたか、十分な透明性があるか、情報が正確かバイアスを含んでいるかなど、さまざまなプライバシーリスクが存在する。
 We would strongly caution against using sensitive or confidential data for training purposes.  私たちは、機密性の高いデータや機密性の高いデータをトレーニングの目的に使用しないよう、強く注意を促する。
・Confidentiality of information your agency will enter into a generative AI ・あなたの機関が生成的AIに入力する情報の機密性
Generative AI tools require a prompt for them to undertake their activities. This prompt could be a few words or a large amount of data and could include personal and confidential business information. There is a risk that personal information entered into the generative AI is retained or disclosed by the provider of the generative AI tool and used to continue training the model. 生成的AIツールは、その活動を行うためにプロンプトを必要とする。このプロンプトは、数語または大量のデータであり、個人情報やビジネスの機密情報を含む可能性がある。生成的AIに入力された個人情報が、生成的 AIツールの提供者によって保持または開示され、モデルのトレーニングを継続するために使用されるリスクがある。
・Accuracy of information created by the generative AI ・生成的AIが作成する情報の正確性
Generative AI tools often produce very confident errors of fact or logic and can perpetuate bias and discrimination. Do not rely on the output of generative AI tools without first taking appropriate steps to fact check and ensure the accuracy of the output. 生成的AIツールは、しばしば非常に確信犯的な事実や論理の誤りを生み出し、バイアスや差別を永続させる可能性がある。最初に事実確認と出力の正確性を確保するための適切な手順を踏まずに、生成的AIツールの出力に依存しないようにしてください。
・Access and correction to personal information ・個人情報へのアクセスおよび訂正
The Privacy Act provides individuals with a right to access and correct personal information held by an agency. Generative AI tools may not always be compatible with such rights.  個人情報保護法は、機関が保有する個人情報にアクセスし、訂正する権利を個人に与えている。生成的AIツールは、このような権利に必ずしも適合するとは限りません。 
OPC position on generative AI tools 生成的AIツールに関するOPCの見解
The responsibility of complying with the requirements of the Privacy Act lies with agencies (whether in the public, private, or not-for-profit sectors). The Privacy Act is technology-neutral and takes a principle-based approach, meaning the same privacy rights and protections apply to generative AI tools that apply to other activities that use personal information (such as collecting and using personal information via paper or computer). 個人情報保護法の要件を遵守する責任は、(公共、民間、非営利のいずれの部門であっても)機関にある。プライバシー法は技術に中立的であり、原則に基づくアプローチをとっているため、個人情報を使用する他の活動(紙やコンピュータによる個人情報の収集や使用など)に適用されるのと同じプライバシー権や保護が生成的AIツールに適用されることを意味する。
The Office of the Privacy Commissioner expects that agencies considering implementing a generative AI tool will: プライバシーコミッショナー事務局は、生成的AIツールの導入を検討している機関が以下を行うことを期待している:
1. Have senior leadership approval 1. 上級指導者の承認があること
Ensure that senior leadership has given full consideration of the risks and mitigations of adopting a generative AI tool and explicitly approved its use. 上級指導者が、生成的AIツールを採用するリスクと緩和策を十分に考慮し、その使用を明確に承認していることを確認する。
2. Review whether a generative AI tool is necessary and proportionate 2. 生成的AIツールが必要かつ適切であるかどうかを検討する。
Given the potential privacy implications, review whether it is necessary and proportionate to use a generative AI tool or whether an alternative approach could be taken. プライバシーへの影響を考慮し、生成的AIツールの使用が必要かつ適切であるか、または別のアプローチが可能であるかを検討する。
3. Conduct a Privacy Impact Assessment 3. プライバシー影響評価を実施する
Only use a generative AI tool after conducting a Privacy Impact Assessment (and/or Algorithmic Impact Assessment) to help identify and mitigate privacy and wider risks. This should include seeking feedback from impacted communities and groups, including Māori. Confirm if the provider of the generative AI tool has published any information about how privacy has been designed into the tool and undertake due diligence on the potential risks of using the generative AI tool. プライバシーやより広範なリスクの特定と軽減に役立つプライバシー影響評価(および/またはアルゴリズム影響評価)を実施した後にのみ、生成的AIツールを使用する。これには、マオリ族を含む、影響を受けるコミュニティやグループからのフィードバックを求めることも含まれるはずである。生成的AIツールの提供者が、プライバシーがツールにどのように設計されているかについての情報を公開しているかどうかを確認し、生成的AIツールを使用することの潜在的リスクに関するデューデリジェンスを実施する。
4. Be transparent 4. 透明性を確保する
If the generative AI tool will be used in a way likely to impact customers and clients and their personal information, they must be told how, when, and why the generative AI tool is being used and how potential privacy risks are being addressed. This must be explained in plain language so that people understand the potential impacts for them before any information is collected from them. Particular care must be taken with children. 生成的AIツールが、顧客や取引先とその個人情報に影響を与える可能性のある方法で使用される場合、顧客は、生成的AIツールがどのように、いつ、なぜ使用されるのか、潜在的なプライバシーリスクにどのように対処されているのかを知る必要がある。これは、情報が収集される前に、人々が自分への潜在的な影響を理解できるように、分かりやすい言葉で説明されなければなりません。特に子供には注意が必要である。
5. Develop procedures about accuracy and access by individuals 5. 正確さと個人によるアクセスに関する手順の開発
If the generative AI tool will involve the collection of personal information of customers or clients, develop procedures for how your agency will take reasonable steps to ensure that the information is accurate before use or disclosure, and for responding to requests from individuals to access and correct their personal information. 生成的AIツールが顧客やクライアントの個人情報の収集を伴う場合は、使用または開示前に情報が正確であることを保証するために機関が合理的な手段を講じる方法、および個人からの個人情報へのアクセスや訂正の要求への対応に関する手順を策定する。
6. Ensure human review prior to acting 6. 行動する前に人間によるレビューを確保する
Having a human review the outputs of a generative AI tool prior to your agency taking any action because of that output can help mitigate the risk of acting on the basis of inaccurate or biased information. Review of output data should also assess the risk of re-identification of inputted information. 生成的AIツールの出力に起因する行動を起こす前に、人間がその出力をレビューすることは、不正確な情報やバイアスに基づいて行動するリスクを軽減するのに役立ちます。出力データのレビューでは、入力された情報が再識別されるリスクも評価する必要がある。
7. Ensure that personal or confidential information is not retained or disclosed by the generative AI tool 7. 個人情報または機密情報が生成的AIツールによって保持または開示されないことを確認する。
Do not input into a generative AI tool personal or confidential information, unless it has been explicitly confirmed that inputted information is not retained or disclosed by the tool provider. An alternative could be stripping input data of any information that enables re-identification. We would strongly caution against using sensitive or confidential data for training purposes 入力された情報がツール提供者によって保持または開示されないことが明示的に確認されていない限り、生成的AIツールに個人情報または機密情報を入力しないこと。また、入力データから、再識別を可能にする情報を取り除くことも考えられる。私たちは、機密性の高いデータを学習目的で使用することに強く注意を払いる。
We recognise that generative AI is an evolving technology and will continue monitoring its developments in this area. Further updates to this guidance will be provided soon. 我々は、生成的AIが進化する技術であることを認識し、この分野での発展を監視し続ける。このガイダンスのさらなる更新は、近日中に提供される予定である。
Making a privacy complaint about generative AI tools 生成的AIツールに関するプライバシーに関する苦情の申し立て
Generative AI is covered by the Privacy Act 2020, which means that New Zealanders can complain to us if they think their privacy has been breached. 生成的AIは、プライバシー法2020の対象であり、ニュージーランド人は、プライバシーが侵害されたと思う場合、私たちに苦情を言うことができることを意味する。
Organisations reporting a privacy breach  use the NotifyUs tool here プライバシー侵害を報告する組織は、NotifyUsのツールを使用してください。
Individuals wanted to make a complaint use the complaint form here  個人からの苦情は、苦情フォームをご利用ください。 
New Zealand resources relating to Artificial Intelligence 人工知能に関連するニュージーランドのリソース
Privacy Impact Assessment Toolkit ・プライバシー影響評価ツールキット
Principles for the Safe and Effective Use of Data and Analytics ・データおよびアナリティクスの安全かつ効果的な使用のための原則
Government Chief Data Steward ・政府のチーフデータスチュワード
Government algorithm transparency and accountability ・政府アルゴリズムの透明性と説明責任
AI Forum - Trustworthy AI in Aotearoa - the AI Principles ・AIフォーラム - アオテアロアの信頼できるAI - AI原則
International Association of Privacy Professionals AI Governance Centre ・国際プライバシー・プロフェッショナル協会 AIガバナンス・センター
International resources 国際的なリソース
UK Information Commissioner's Office - Guidance on AI and data protection ・英国情報コミッショナー事務所 - AIとデータ保護に関するガイダンス
UK Government White Paper: AI Regulation: A Pro-Innovation Approach ・英国政府白書 AI規制: イノベーションを促進するアプローチ
Pan-Canadian Artificial Intelligence Strategy Overview ・全カナダ人工知能戦略概要
European Commission: Regulatory Framework Proposal On Artificial Intelligence ・欧州委員会 人工知能に関する規制枠組み案

 

1_20230601044201

 

 


 

⚫︎ まるちゃんの情報セキュリティ気まぐれ日記

・2023.05.27 米国 国家人工知能研究開発 戦略計画 2023更新 (2023.05.23)

・2023.05.19 ドイツ BSI 大規模AI言語モデル - 産業界と公的機関の可能性とリスク (2023.05.10)

・2023.05.18 フランス CNIL 人工知能に対する行動計画

・2023.05.15 欧州 CERT-EU 生成的AIの潜在的な影響とリスク

・2023.05.10 ロシア 科学技術センター 大規模言語モデル:認知的な視点

・2023.05.08 米国 ホワイトハウス 「米国人の権利と安全を守る責任あるAIイノベーションを推進する新たな行動」 (2023.05.04)

・2023.05.06 米国 連邦取引委員会 AIと消費者の信頼の工学 (It’s cool to use the computer. Don’t let the computer use you. by Prince in 1999)

・2023.05.04 イタリア データ保護庁 ChatGPTが復活... (2023.04.28)

・2023.05.01 米国 国家人工知能諮問委員会1年間の活動報告書

・2023.04.29 英国 AIに関する英国政府の発表をいくつか。。。

・2023.04.22 東北大学、東京工業大学の生成的AI利用の留意事項

・2023.04.20 大阪大学 生成AI(Generative AI)の利用について

・2023.04.14 EDPB Metaによる米国への個人データ転送に関する紛争解決、Chat GPTに関するタスクフォースを設置

・2023.04.14 スペイン ChatGPTを運営するOpenAI社に対して職権で調査手続きを開始

・2023.04.14 イタリア データ保護庁 ChatGPT復活へ... 4月30日までに改善できれば...

・2023.04.10 イタリア データ保護庁委員とOpenAI社CEOが会談

・2023.04.06 OpenAI ブログ AIの安全への取り組み

・2023.04.06 カナダ プライバシーコミッショナー ChatGPTに対する調査を開始

・2023.04.06 東京大学 生成系AI(ChatGPT, BingAI, Bard, Midjourney, Stable Diffusion等)について

・2023.04.05 英国 ICO ブログ 生成的人工知能:開発者とユーザーが問うべき8つの質問...

・2023.04.03 欧州 EU外交部 人工知能時代に事実を正しく伝えるために

・2023.04.02 イタリア データ保護庁がOpenAI社にプライバシー規制を遵守するまでChatGPTがイタリア人ユーザのデータ処理の制限を直ちに命じた...

・2023.04.01 英国 意見募集 AI規制白書

・2023.03.30 欧州 ユーロポール ChatGPTの犯罪利用-大規模言語モデルに関する注意事項

・2023.03.21 米国 FTCのブログ チャットボット、ディープフェイク、ボイスクローン:AIによるインチキを売り物にする

・2023.03.20 英国 イノベーションを促進する技術規制の見直し:デジタルテクノロジー

 

 

| | Comments (0)

« May 2023 | Main | July 2023 »