ENISA AIにおけるサイバーセキュリティとプライバシー - 電力網の需要予測 (2023.06.07)
こんにちは、丸山満彦です。
ENISAが AIにおけるサイバーセキュリティとプライバシー - 電力網の需要予測を公表していますね。。。
電力需要予測はプライバシーとも関係してくるので、適切な対応が重要となりますよね。。。
● ENISA
・2023.06.07 Cybersecurity and privacy in AI – Forecasting demand on electricity grids
| Cybersecurity and privacy in AI - Forecasting demand on electricity grids | AIにおけるサイバーセキュリティとプライバシー - 電力網の需要予測 |
| This report allows better assessment of the reality that artificial intelligence brings its own set of threats, which consequently insists on the search for new security measures to counter them. Finally, it should be noted that this guide strongly emphasises privacy issues in the same way as cybersecurity issues, privacy being one of the most important challenges facing society today. Security and privacy are intimately related, but both equally important, and a balance must be made specific to each use. As a result, as seen in this report, efforts to optimise security and privacy can often come at the expense of system performance | 本報告書では、人工知能が独自の脅威をもたらすという現実をよりよく評価することができ、その結果、その脅威に対抗するための新たなセキュリティ対策の模索が必要であることを強調している。最後に、本ガイドでは、サイバーセキュリティと同様に、プライバシーの問題を強く意識している。セキュリティとプライバシーは密接に関係しているが、どちらも同様に重要であり、それぞれの用途に応じてバランスを取る必要がある。その結果、本報告書に見られるように、セキュリティとプライバシーを最適化する努力は、しばしばシステムの性能を犠牲にすることになりかねない。 |
・[PDF]
| 1. INTRODUCTION | 1. 序文 |
| 1.1 STUDY OBJECTIVES | 1.1 調査目的 |
| 1.2 METHODOLOGY | 1.2 方法論 |
| 1.2.1 Description of the scenario | 1.2.1 シナリオの説明 |
| 1.2.2 Identification of cybersecurity and privacy threats and vulnerabilities | 1.2.2 サイバーセキュリティとプライバシーの脅威と脆弱性の特定 |
| 1.2.3 Identification of cybersecurity and privacy controls | 1.2.3 サイバーセキュリティとプライバシーのコントロールの特定 |
| 1.3 TARGET AUDIENCE | 1.3 対象者 |
| 1.4 USING THIS DOCUMENT | 1.4 本文書の使用 |
| 2. SCENARIO DESCRIPTION | 2. シナリオの説明 |
| 2.1 PURPOSE AND CONTEXT | 2.1 目的と背景 |
| 2.2 HIGH-LEVEL DESCRIPTION | 2.2 ハイレベルな記述 |
| 2.3 ACTORS AND ROLES | 2.3 アクターと役割 |
| 2.4 PROCESSED DATA | 2.4 処理されたデータ |
| 2.5 MACHINE LEARNING ALGORITHMS | 2.5 機械学習アルゴリズム |
| 2.6 ASSETS | 2.6 アセット(資産 |
| 2.7 OVERALL PROCESS | 2.7 プロセス全体 |
| 2.8 PRIVACY AND CYBERSECURITY REQUIREMENTS | 2.8 プライバシーとサイバーセキュリティの要件 |
| 3. SECURITY AND PRIVACY THREATS AND VULNERABILITIES | 3. セキュリティとプライバシーの脅威と脆弱性 |
| 3.1 THREAT CONTEXTUALISATION | 3.1 脅威の文脈の把握 |
| 3.1.1 Compromise of ML application components | 3.1.1 MLアプリケーションのコンポーネントの危殆化 |
| 3.1.2 Poisoning | 3.1.2 ポイズニング |
| 3.1.3 Human error | 3.1.3 ヒューマンエラー |
| 3.1.4 Data disclosure | 3.1.4 データ開示 |
| 3.1.5 Unlawful Processing | 3.1.5 不正な処理 |
| 3.1.6 Unfair processing | 3.1.6 不当な処理 |
| 3.1.7 Lack of transparency | 3.1.7 透明性の欠如 |
| 3.1.8 Diversion of purpose | 3.1.8 目的の逸脱 |
| 3.1.9 No respect of data minimisation | 3.1.9 データ最小化の不徹底 |
| 3.1.10 No respect of storage limitation | 3.1.10 保存制限の不徹底 |
| 3.1.11 Synthesis of possible impacts and associated threats | 3.1.11 想定される影響と関連する脅威の統合 |
| 3.2 VULNERABILITIES ASSOCIATED TO THREATS AND AFFECTED ASSETS | 3.2 脅威と影響を受ける資産に関連する脆弱性 |
| 4. CYBERSECURITY AND PRIVACY CONTROLS | 4. サイバーセキュリティとプライバシーの管理 |
| 4.1 IMPLEMENT A SECURITY BY DESIGN PROCESS | 4.1 セキュリティ・バイ・デザインプロセスを実施する |
| 4.2 DOCUMENT THE ELECTRICAL FORECAST SYSTEM | 4.2 電気予報システムを文書化する |
| 4.3 CHECK THE VULNERABILITIES OF THE ML COMPONENTS AND IMPLEMENT PROCESSES TO MAINTAIN THEIR SECURITY LEVELS OVER TIME | 4.3 ML コンポーネントの脆弱性を確認し、そのセキュリティレベルを長期的に維持するためのプロセスを実装する。 |
| 4.4 CHOOSE AND DEFINE A MORE RESILIENT MODEL DESIGN | 4.4 よりレジリエンスに優れたモデル設計を選択し定義する |
| 4.5 INTEGRATE POISONING CONTROL IN THE TRAINING DATASET | 4.5 トレーニングデータセットに中毒制御を組み込む |
| 4.6 ENLARGE THE TRAINING DATASET | 4.6 トレーニングデータセットの拡大 |
| 4.7 SECURE THE TRANSIT OF THE COLLECTED DATA | 4.7 収集したデータの転送を保護する |
| 4.8 CONTROL ALL DATA USED BY THE ML MODEL | 4.8 MLモデルで使用されるすべてのデータを管理する。 |
| 4.9 ENSURE RELIABLE SOURCES ARE USED | 4.9 信頼できるソースが使用されていることを確認する |
| 4.10 IMPLEMENT ACCESS RIGHT MANAGEMENT PROCESS | 4.10 アクセス権管理プロセスを実施する |
| 4.11 ENSURE ALL SYSTEMS AND DEVICES COMPLY WITH AUTHENTICATION, AND ACCESS CONTROL POLICIES | 4.11 すべてのシステムおよびデバイスが本人認証およびアクセス制御ポリシーに準拠していることを確認する。 |
| 4.12 REDUCE THE AVAILABLE INFORMATION ABOUT THE MODEL | 4.12 モデルに関する利用可能な情報を削減する。 |
| 4.13 IDENTIFY A DATA CONTROLLER FOR THE ENERGY CONSUMPTION ANTICIPATION DATA PROCESSING | 4.13 エネルギー消費予測データ処理に関するデータ管理者を特定する。 |
| 4.14 PROPERLY COLLECT AND MAINTAIN USER CONSENT WHEN NEEDED FOR DETAILED ENERGY CONSUMPTION USAGE | 4.14 エネルギー消費量の詳細な使用方法について、必要に応じてユーザーの同意を適切に収集し、維持する。 |
| 4.15 ANONYMIZE DATA COMING FROM THE CONCENTRATOR | 4.15 コンセントレータから来るデータを匿名化する |
| 4.16 GENERATE LOGS AND PERFORM INTERNAL AUDIT | 4.16 ログの生成と内部監査の実施 |
| 4.17 PERFORM A PRIVACY IMPACT ASSESSMENT | 4.17 プライバシー影響評価を実施する |
| 4.18 DEFINE AND IMPLEMENT A DATA RETENTION POLICY | 4.18 データ保持ポリシーの定義と実施 |
| 4.19 STUDY ON DATA FIELDS NECESSITY AND JUSTIFICATION IN THE PRIVACY POLICY | 4.19 プライバシーポリシーにおけるデータフィールドの必要性と正当化に関する研究 |
| 4.20 FORMALISE A LIA (LEGITIMATE INTEREST ASSESSMENT) | 4.20 LIA(正当な利益評価)の正式な実施 |
| 4.21 MINIMISE DATA AT EACH STEP OF THE PROCESSING; COLLECT ONLY WHAT IS NEEDED WHEN NEEDED | 4.21 処理の各段階でデータを最小化する;必要な時に必要なものだけを収集する |
| 4.22 IMPLEMENT A PRIVACY BY DESIGN PROCESS | 4.22 プライバシー・バイ・デザイン・プロセスを実施する |
| 4.23 RAISE AWARENESS OF SECURITY AND PRIVACY ISSUES AMONG ALL STAKEHOLDERS | 4.23 すべての利害関係者の間でセキュリティとプライバシーの問題に対する認識を高める |
| 4.24 SUMMARY | 4.24 まとめ |
| 5. CONCLUSION | 5. 結語 |
| ANNEX I: SECURITY AND PRIVACY SCALES AND REQUIREMENTS | 附属書 I: セキュリティとプライバシーの尺度及び要求事項 |
| A.1 CYBERSECURITY AND PRIVACY SEVERITY SCALES | A.1 サイバーセキュリティとプライバシーの重大性の尺度 |
| A.2 CYBERSECURITY SCALE OF IMPACT | A.2 サイバーセキュリティの影響の大きさ |
| A.3 PRIVACY SCALE OF IMPACT | A.3 プライバシーに関する影響度 |
| A.4 PRIVACY REQUIREMENTS CRITERIA | A.4 プライバシー要件基準 |
エグゼクティブサマリー...
| EXECUTIVE SUMMARY | エグゼクティブサマリー |
| Given the great influence of artificial intelligence (AI) in people's daily lives due to the key role it plays in digital transformation through its automated decision-making capabilities, ENISA aims to raise awareness of cybersecurity and privacy threats related to various scenarios using artificial intelligence. To this end, ENISA, with the support of the Ad-Hoc Working Group on Artificial Intelligence Cybersecurity, has published two reports in the last two years: Cybersecurity Challenges of Artificial Intelligence[1] and Securing Machine Learning Algorithms[2]. | 人工知能(AI)が自動意思決定機能を通じてデジタル変革に果たす重要な役割により、人々の日常生活に大きな影響を与えていることを踏まえ、ENISAは、人工知能を用いた様々なシナリオに関連するサイバーセキュリティとプライバシーの脅威に対する認識を高めることを目的としている。このため、ENISAは、人工知能のサイバーセキュリティに関するアドホック・ワーキンググループの支援を受けて、過去2年間に2つの報告書を発行している: 人工知能のサイバーセキュリティの課題[1]」と「機械学習アルゴリズムの安全化[2]」である。 |
| ENISA continues its momentum with a new report on cybersecurity and privacy in forecasting demand on electricity grids. An in-depth study of the scenario has been conducted by identifying first the assets, the actors and their roles, relevant processes, the AI algorithms used, as well as the requirements in terms of cybersecurity and privacy needed for it. Building upon previous ENISA work such as the “Securing Machine Learning Algorithms” report cited above, in addition to legislation such as GDPR and literature searches, this report has identified cybersecurity and privacy threats and vulnerabilities that can be exploited in the examined scenario. While focus is on ML-related threats and vulnerabilities, broader AI considerations were also taken into account. Lastly, corresponding cybersecurity and privacy controls that consider the context of the scenario and the impact of the associated threats/vulnerabilities were defined. The specificities within the implementation of these controls are described, including possible tradeoffs between cybersecurity, privacy, and performance. Each control is classified as a cybersecurity control, a privacy control, or a mixture of both, depending on the threats it mitigates and their associated impacts (cybersecurity impacts, privacy impacts, or both). | ENISAはその流れで、電力網の需要予測におけるサイバーセキュリティとプライバシーに関する新しい報告書を発表した。まず資産、アクターとその役割、関連するプロセス、使用されるAIアルゴリズム、さらにそれに必要なサイバーセキュリティとプライバシーの観点からの要件を特定することにより、シナリオの詳細な調査が行われた。GDPRなどの法規制や文献検索に加え、上で引用した「機械学習アルゴリズムの安全化」報告書などのENISAの過去の作業を基に、本報告書では、検討シナリオで悪用され得るサイバーセキュリティとプライバシーの脅威と脆弱性を特定した。ML関連の脅威と脆弱性に焦点を当てているが、より広範なAIに関する考慮も行っている。最後に、シナリオの文脈と関連する脅威/脆弱性の影響を考慮した、対応するサイバーセキュリティとプライバシーの管理策を定義した。サイバーセキュリティ、プライバシー、パフォーマンス間のトレードオフの可能性を含め、これらの制御の実装における特異性を説明する。各制御は、緩和する脅威と関連する影響(サイバーセキュリティへの影響、プライバシーへの影響、またはその両方)に応じて、サイバーセキュリティ制御、プライバシー制御、またはその混合として分類される。 |
| This report allows better assessment of the reality that artificial intelligence brings its own set of threats, which consequently insists on the search for new security measures to counter them. Finally, it should be noted that this guide strongly emphasises privacy issues in the same way as cybersecurity issues, privacy being one of the most important challenges facing society today. Security and privacy are intimately related, but both equally important, and a balance must be made specific to each use. As a result, as seen in this report, efforts to optimise security and privacy can often come at the expense of system performance. | 本報告書では、人工知能が独自の脅威をもたらすという現実をよりよく評価することができ、その結果、それらに対抗するための新たなセキュリティ対策を模索することが求められているのである。最後に、本ガイドでは、サイバーセキュリティの問題と同様に、プライバシーの問題を強く強調していることに留意する必要がある。セキュリティとプライバシーは密接に関係しているが、どちらも同様に重要であり、それぞれの用途に応じてバランスを取る必要がある。その結果、本報告書に見られるように、セキュリティとプライバシーを最適化する努力は、しばしばシステムの性能を犠牲にすることになりかねない。 |
[1] See https://www.enisa.europa.eu/publications/artificial-intelligence-cybersecurity-challenges
[2] See https://www.enisa.europa.eu/publications/securing-machine-learning-algorithms
● まるちゃんの情報セキュリティ気まぐれ日記
・2023.06.12 ENISA AIとセキュリティに関する4つの報告書を公表していますね。。。(2023.06.07)
・2023.06.12 ENISA AIに適したサイバーセキュリティの実践のための多層フレームワーク (2023.06.07)
・2023.06.12 ENISA AIにおけるサイバーセキュリティとプライバシー - 電力網の需要予測 (2023.06.07)
・2023.06.12 ENISA AIにおけるサイバーセキュリティとプライバシー -医療用画像診断 (2023.06.07)
・2023.06.12 ENISA 人工知能とサイバーセキュリティの研究 (2023.06.07)
« ENISA AIに適したサイバーセキュリティの実践のための多層フレームワーク (2023.06.07) | Main | ENISA AIにおけるサイバーセキュリティとプライバシー -医療用画像診断 (2023.06.07) »
Comments