« June 2023 | Main | August 2023 »

July 2023

2023.07.31

世界経済フォーラム (WEF) CROのリスクの展望 2023.07

こんにちは、丸山満彦です。

世界経済フォーラム (WEF)が、CROのリスクの展望についての文書を公表していますね。。。

この報告書は、経済や社会への複合的なショックに直面する政策立案者やビジネスリーダーが、さらなる行動を起こすための優先事項を特定するために、重大なグローバルリスクに関するリアルタイムの見解を提供するために、世界経済フォーラム(WEF)の新経済社会研究センター内のグローバル・リスク・イニシアティブ(Global Risks Initiative)が、官民両部門の主要なリスク管理責任者(Chief Risk Officer)との協議と調査に基づいて作成したものとのことです。。。調査は2023年6月に実施されたようですね。。。

地政学、低金利政策でいきのこっていたゾンビ企業の動向の影響をうける世界景気、AI・サイバー等の技術的リスク、などが気になるリスクとして上がれていますね。。。

 

World Economic Forum - Report

・2023.07.26 [PDF] Chief Risk Officers Outlook July 2023

20230731-61146

 

目次...

Executive summary 要旨
1. Mid-year outlook 1. 中間期の見通し
Economic headwinds 経済の逆風
Geopolitical fallout 地政学的影響
Politics of risk リスク政治
2. Risk spotlight: AI technologies 2. リスクのスポットライト AI技術
Risky business リスクの高いビジネス
Regulatory shortfalls 規制の不足
Contributors 協力者
Acknowledgements 謝辞

 

 

Executive summary 要旨
This first edition of the Chief Risk Officers Outlook launches against a backdrop of economic instability and political tensions. The aim of the outlook is to provide a midyear pulse check from the perspective of on-the-ground risk practitioners, conducted through a new survey of the World Economic Forum’s community of chief risk officers. チーフ・リスク・オフィサー(最高リスク管理責任者)・アウトルック」第1版は、経済不安と政治的緊張を背景に発行された。本アウトルックの目的は、世界経済フォーラムのチーフ・リスク・オフィサー(最高リスク責任者)コミュニティを対象とした新たな調査を通じて、現場のリスク実務者の視点から年央のパルスチェックを提供することである。
The survey asked chief risk officers to gauge the likely level of global volatility across five broad areas (geopolitical relations, economy, domestic politics, society and technology) and to identify up to five risks that they expect to have a severe impact on their organizations in the remainder of 2023. The results point to a range of global risks with the potential to threaten economic growth, destabilize global markets and disrupt broader business operations over the next six months.  この調査では、チーフ・リスク・オフィサーに対して、5つの幅広い分野(地政学的関係、経済、国内政治、社会、テクノロジー)にわたって、世界的なボラティリティがどの程度になりそうかを評価し、2023年の残り期間に組織に深刻な影響を及ぼすと予想されるリスクを5つまで挙げてもらった。その結果、今後6ヶ月の間に、経済成長を脅かし、世界市場を不安定にし、より広範な事業運営を混乱させる可能性のあるさまざまなグローバルリスクが指摘された。
Chief risk officers are most concerned with continuing volatility in geopolitical and geoeconomic relations between major economies, with the majority anticipating upheavals at a global scale. Over 85% of chief risk officers also expect some level  of continued volatility in economic and financial conditions within and across  major economies. リスク管理責任者が最も懸念しているのは、主要国間の地政学的・地理経済的関係が不安定なまま推移することであり、大多数が世界規模での激変を予想している。また、85%以上のリスク管理責任者が、主要経済圏内および経済圏をまたがる経済・金融情勢についても、ある程度の変動が続くと予想している。
Among the risks that the chief risk officers considered, there are four that predominate, with half or more of respondents stating that the following are highly likely to have a severe impact on their organizations in the next six months.  最高リスク責任者が検討したリスクのうち、半数以上の回答者が、今後6ヵ月間に以下のリスクが組織に深刻な影響を与える可能性が高いと回答している。
–    Macroeconomic indicators: The chief risk officers’ focus on economic risks is in line with gloomy international assessments of the global growth outlook. Headline rates of inflation have begun to fall, but they continue to shape the economic risk landscape, not least through increases in interest rates that have squeezed demand and pushed up borrowing costs. マクロ経済指標: チーフ・リスク・オフィサーが経済リスクに注目しているのは、世界的な成長見通しに対する国際的な暗い評価と一致している。インフレ率は低下し始めたが、需要を圧迫し借入コストを押し上げている金利の上昇などを通じて、引き続き経済リスクの状況を形成している。
–    Pricing and/or supply disruptions of key inputs: Although global supply-chain pressures have eased from the levels recorded over the last two years, many organizations are still grappling with significant uncertainty related to input availability and pricing, particularly for some raw materials. A number of the chief risk officers surveyed believe that further environmental or geopolitical shocks to key inputs – for example, stemming from the return of El Niño conditions or heightened controls on critical industrial inputs – are also a material possibility within the next six months. 主要なインプットの価格設定や供給の混乱: 世界的なサプライチェーンの圧力は、過去2年間に記録された水準から緩和されたとはいえ、多くの企業は、特に一部の原材料について、投入資材の入手可能性と価格に関する重大な不確実性に取り組んでいる。調査対象となった多くのリスク管理責任者は、主要な投入資材に対する更なる環境的・地政学的ショック(例えば、エルニーニョ現象の再来や、重要な産業投入資材に対する規制強化に起因するもの)も、今後6ヵ月以内に重大な可能性があると考えている。
–    Armed conflicts and/or use of weapons: Chief risk officer’s concerns about conflict risks may relate in part to the continuation of the war in Ukraine, as well as indirect disruptions to trade patterns and supply chains. However, numerous organizations worldwide are directly impacted by armed conflicts, with approximately 110 such conflicts currently occurring globally. 武力紛争および/または武器の使用: 紛争リスクに関する最高リスク責任者の懸念は、ウクライナにおける戦争の継続や、貿易パターンやサプライチェーンに対する間接的な混乱に一部関連しているかもしれない。しかし,世界中の数多くの組織が武力紛争の直接的な影響を受けており、そのような紛争は現在世界中で約110件発生している。
–    Regulatory changes, compliance and enforcement: The examples of regulatory risks highlighted by the chief risk officers included trade restrictions and evolving provisions relating to climate change and technology. Respondents also note the growing importance to organizations of ethical and societal risks, which they viewed as more complicated to manage than regulatory compliance.  規制の変更、コンプライアンス、法執行: 最高リスク責任者が強調した規制リスクの例には、貿易制限、気候変動やテクノロジーに関連する規定の進化などが含まれる。回答者は倫理的・社会的リスクの組織にとっての重要性が高まっていることも指摘しており、これらのリスクは規制のコンプライアンスよりも管理が複雑であるとみなしている。
The survey also considered the risks posed by the exponential advances that are being made in AI technologies. Three-quarters of respondents expect volatility in the technology domain over the remainder of 2023, and a similar proportion agrees that AI technologies pose reputational risks to their organization, for example, due to the possibility of sensitive data being breached either inadvertently or due to malicious intent.  調査では、AI技術の飛躍的な進歩がもたらすリスクについても検討した。回答者の4分の3は、2023年の残りの期間にわたってテクノロジー領域が不安定になると予想しており、同様の割合の回答者は、例えば、機密データが不注意または悪意によって侵害される可能性によって、AI技術が組織に風評リスクをもたらすことに同意している。
There was consensus that the development and deployment of AI technologies are outpacing the management of associated risks, and 90% of respondents want to see an acceleration of the introduction of regulations and guardrails. Self-regulation is becoming increasingly important, and more than half of respondents indicate that their organization plans to conduct an AI audit within the next six months. While progress on AI-related regulation has already begun, actions by organizations over the next six months will be critical to help ensure that these rapidly developing technological risks do not cascade into the next global crisis. AI技術の開発と導入が関連リスクのマネジメントを上回っているという点では意見が一致しており、回答者の90%が規制とガードレールの導入加速を望んでいる。自主規制の重要性はますます高まっており、回答者の半数以上が、今後6ヶ月以内にAI監査を実施する予定であると回答している。AI関連規制の進展はすでに始まっているが、急速に発展するこうした技術リスクが次の世界的危機に連鎖しないようにするには、今後6ヶ月間の組織の行動が重要になる。

 

 

 

| | Comments (0)

米国 FBI長官がサイバー脅威サミットで人工知能に対するFBIの姿勢を示す

こんにちは、丸山満彦です。

FBIのレイ長官がサイバー脅威サミットでサイバー犯罪者は人工知能を武器化しつつあり、機械学習モデルの高度化に伴い、その脅威は悪化の一途をたどると警告し、外国情報監視法(FISA)[wikipedia] 第702条によってFBIに付与された権限は、FBIが世界中のサイバー犯罪を取り締まる能力の鍵を握っている。第702条はプライバシー保護等の懸念もあり、2023年末までの時限立法となっていて、継続が審議中ですから、こういう発言もでますね。。。


Federal Breau of Investigation; FBI

・2023.07.26 FBI Director Lays Out Bureau’s Stance on Artificial Intelligence at Cyber Threat Summit - Wray also explained how the FBI’s FISA Section 702 authorities empower cyber efforts

 

FBI Director Lays Out Bureau’s Stance on Artificial Intelligence at Cyber Threat Summit FBI長官、サイバー脅威サミットで人工知能に対するFBIの姿勢を示す
Wray also explained how the FBI’s FISA Section 702 authorities empower cyber efforts レイ長官はまた、FBIのFISA702条権限がサイバー対策にどのような力を与えているかについても説明した。
FBI Director Christopher Wray delivers a keynote address at the 2023 FBI Atlanta Cyber Threat Summit in Atlanta on July 26, 2023. 2023年7月26日、アトランタで開催された2023 FBIアトランタ・サイバー脅威サミットで基調講演を行うクリストファー・レイFBI長官。
Transcript / Visit Video Source 動画ソースを見る
During a July 26 keynote at the FBI Atlanta Cyber Threat Summit, Director Christopher Wray warned that cybercriminals are weaponizing artificial intelligence—and the resulting threat will only worsen as machine-learning models become increasingly sophisticated.  クリストファー・レイFBI長官は7月26日、アトランタで開催された「FBIアトランタ・サイバー脅威サミット」の基調講演で、サイバー犯罪者は人工知能を武器化しつつあり、機械学習モデルの高度化に伴い、その脅威は悪化の一途をたどると警告した。 
Wray also explained that the FBI’s authorities under Section 702 of the Foreign Intelligence Surveillance Act, or FISA, enable our efforts to combat international cybercriminals. He identified 702-powered successes and stressed the urgency of reauthorizing that portion of the federal law.  レイ長官はまた、外国情報監視法(FISA)第702条に基づくFBIの権限が、国際的なサイバー犯罪者との闘いを可能にしていると説明した。同氏は702条を活用した成功例を挙げ、連邦法のこの部分を再承認することの緊急性を強調した。 
Wray also discussed nation-state threats in cyberspace, noting that China, in particular, poses a formidable cyber threat, but Russia is not far behind.  レイ氏はまた、サイバー空間における国家間の脅威についても言及し、特に中国が手ごわいサイバー脅威をもたらしているが、ロシアも引けをとらない指摘した。 
Finally, he underscored the importance of public-private partnerships in securing the American people and economy from cyber threats.  最後に、サイバー脅威から米国民と経済を守るためには、官民パートナーシップが重要であることを強調した。 
“For 115 years (in fact, literally today—today is actually the FBI’s birthday), the Bureau has been charged with protecting the American people and upholding the Constitution," he said. "And the men and women of the FBI work tirelessly every day to fulfill that mission—but we could not do it without partners—without partners like you,” he said.  「今日がFBIの誕生日である)115年間、FBIは米国民を保護し、憲法を守る任務を担ってきた。「FBIの男女は、その使命を果たすために日々たゆまぬ努力を続けていますが、私たちはパートナーなしには、つまり皆さんのようなパートナーなしには、この任務を遂行することはできません」と述べた。 
The Weaponization of Artificial Intelligence   人工知能の兵器化  
Director Wray recently said the FBI is examining ways it can use artificial intelligence to help support its mission, such as by “triaging and prioritizing the mountains of data we collect in our investigations.”  レイ長官は最近、FBIがその任務を支援するために人工知能を利用する方法を検討していると述べた。例えば、「捜査で収集した膨大なデータを選別し、優先順位をつける」などだ。 
But during the summit, he warned that bad actors are exploiting machine-learning models to commit crimes.  しかしサミットでは、悪質な行為者が機械学習モデルを悪用して犯罪を犯していると警告した。 
The same generative AI technologies that can be used to save people time by automating tasks can also be used to “generate deepfakes or malicious code,” he said.  タスクを自動化することで人の時間を節約するために使われる生成的AI技術は、「ディープフェイクや悪意のあるコードを生成する」ためにも使われる可能性があると同氏は述べた。 
As an example, he explained one case in which a darknet user allegedly created malware using a generative AI program. Wray said the user "then instructed other cybercriminals on how to use it to recreate malware strains and techniques based on common variants." 一例として、ダークネットのユーザーが生成的AIプログラムを使ってマルウェアを作成したとされるケースを説明した。レイ氏によると、このユーザーは「その後、一般的な亜種をベースにマルウェアの系統やテクニックを再現するために、その使い方を他のサイバー犯罪者に指示した」という。
"And that’s really just the tip of the iceberg," he continued. "We assess that AI is going to enable threat actors to develop increasingly powerful, sophisticated, customizable, and scalable capabilities—and it's not going to take them long to do it." 「そして、これは本当に氷山の一角に過ぎない」と彼は続けた。「私たちは、AIによって脅威行為者がますます強力で洗練された、カスタマイズ可能で拡張性のある能力を開発できるようになると評価している。」
Wray said that the Chinese government is particularly well-positioned to use the increasing powers of AI and machine learning against the United States, especially in conjunction with data it has stolen from the United States.  レイは、中国政府は特に、米国から盗んだデータと組み合わせて、米国に対してAIと機械学習の増大する力を利用するのに有利な立場にあると述べた。 
FISA Section 702 Reauthorization  FISA702条の再承認 
Director Wray said that the authorities granted to the FBI by Section 702 of the Foreign Intelligence Surveillance Act, or FISA, are key to the Bureau's ability to crack down on cybercrime around the world. レイ長官は、次のように述べた。「外国情報監視法(FISA)第702条によってFBIに付与された権限は、FBIが世界中のサイバー犯罪を取り締まる能力の鍵を握っている。」 
“Section 702 is critical to our ability, in particular, to obtain and action cyber intelligence,” he said. “With 702, we can connect the dots between foreign threats and targets here in the U.S., searching information already lawfully within the government’s holdings so that we can notify victims who may not even know they’ve been compromised, sometimes warning them even before they get hit.”  「702条は、特にサイバー情報を入手し行動する我々の能力にとって極めて重要だ。702条があれば、外国の脅威と米国内の標的との点と点を結ぶことができ、すでに政府が合法的に保有している情報を検索することで、危険にさらされていることすら知らない被害者に通知することができる。」
Wray stressed that the FBI’s Section 702 authorities only let it collect information on foreign targets of intelligence surveillance—and not U.S. citizens.  レイ氏は、FBIの第702条の権限は、情報監視の対象である外国人の情報収集のみを許可するものであり、米国市民の情報収集は許可していないと強調した。 
More than half of the FBI’s data reporting under Section 702 has targeted cybercriminals, Wray said. And the Bureau’s 702 authorities yielded 97% of the Bureau’s "raw technical reporting on cyber actors" in the first half of 2023, he added.  レイ氏によれば、702条に基づいて報告されたFBIのデータの半分以上は、サイバー犯罪者をターゲットにしているという。そして、同局の702条権限により、2023年上半期には、同局の「サイバー犯罪者に関する生の技術報告」の97%が得られた、と彼は付け加えた。 
"That’s all intelligence that we can action through threat alerts and defensive briefings," he said.  「これはすべて、脅威の警告や防御のためのブリーフィングを通じて、私たちが行動できる情報です」と彼は言った。 
Wray said the FBI’s Section 702 authorities also powered cybersecurity wins, including:  レイ氏は、FBIの第702条権限もサイバーセキュリティの勝利に貢献したと述べた: 
・Identifying the perpetuator of the 2021 Colonial Pipeline ransomware attack and recovering most of the $4.4 million ransom the company paid in response.  ・2021年に発生したコロニアル・パイプラインのランサムウェア攻撃の実行者を特定し、同社が支払った身代金440万ドルの大半を回収した。 
・Saving an American nonprofit organization who fell victim to a ransomware attack and recovering their data so they didn’t need to give Iranian cybercriminals a dime.  ・ランサムウェア攻撃の被害に遭ったアメリカの非営利団体を救い、イランのサイバー犯罪者に一銭も渡す必要がないようにデータを復旧させた。 
・Sniffing out attempts by Chinese cybercriminals to hack into an American transportation hub before they could wreak havoc.  ・中国のサイバー犯罪者がアメリカの輸送ハブにハッキングしようとしているのを、大惨事を引き起こす前に察知した。 
"The intelligence we obtain through our 702 authorities is absolutely vital to safeguarding the American public and American businesses," he said. "Now, those of you who know me know that I'm not the kind of guy that is prone to overstatement, so when I say it’s vital—it's not helpful, it's not important, it's vital—you know that I mean it." 「私たちが702権限を通じて入手するインテリジェンスは、アメリカ国民とアメリカ企業の安全を守るために絶対に欠かせないものだ。「さて、私をご存知の方は、私が大げさなことを言うタイプではないことを知っているだろう。だから、私が『極めて重要だ』と言えば、『役に立つ』でも『重要だ』でもなく、『極めて重要だ』なのだ。
“Section 702 is critical to our ability, in particular, to obtain and action cyber intelligence. With 702, we can connect the dots between foreign threats and targets here in the U.S., searching information already lawfully within the government’s holdings so that we can notify victims who may not even know they’ve been compromised, sometimes warning them even before they get hit.”  「702条は、特にサイバーインテリジェンスを入手し行動する我々の能力にとって極めて重要だ。702条があれば、外国の脅威と米国内の標的との点と点を結ぶことができ、すでに合法的に政府が保有している情報を検索することで、危険にさらされていることすら知らない被害者に通知することができ、時には攻撃を受ける前に警告することもできる。 」
Nation-State Threats   国家による脅威  
The FBI is also dealing with cyber threats posed by nation-states, Wray said, though it’s not always obvious when a foreign government is responsible for a cyberattack.  FBIは国家によるサイバー脅威にも対処しているが、外国政府によるサイバー攻撃は必ずしも明らかではないとレイ長官は述べた。 
"It’s becoming increasingly difficult to discern where cybercriminal activity ends and nation-state activity begins, as the line between those two continues to blur," he said. Wray pointed to foreign intelligence agents who moonlight as cybercriminals and hackers who take on state-sponsored assignments on the side as evidence of this trend.  「どこからがサイバー犯罪でどこからが国家によるものなのか、その境界線は曖昧になりつつある。レイ氏は、この傾向の証拠として、サイバー犯罪者として副業する外国情報機関の諜報員や、国家主導の仕事を副業で引き受けるハッカーを挙げた。 
In terms of specific nation-state threats, Wray said China poses the largest-scale threat in cyberspace due to the amount of data it has stolen from the United States and the sheer size of its hacking program.  具体的な国家による脅威という点では、中国は米国から盗んだデータの量とハッキングプログラムの規模から、サイバースペースにおける最大の脅威であるとレイ氏は述べた。 
"If you took every single one of the FBI’s cyber agents and intelligence analysts, and I told them focus only on China—nothing but China—cyber actors from China would still outnumber FBI cyber personnel by at least 50 to 1,” Wray said.  「FBIのサイバー捜査官や情報分析官を一人残らず連れて行き、中国だけに集中するように言ったとしても、中国からのサイバーアクターはFBIのサイバー担当者を少なくとも50対1で上回るだろう」とレイ氏は述べた。 
But, he cautioned, Russia also ranks among our top hostile nation-state threats in cyberspace.  しかし彼は、ロシアもサイバー空間における敵対的国家脅威の上位にランクされていると警告した。 
"Although Russia’s invasion of Ukraine may be taking place on physical battlefields half a world away, we’re seeing the effects of that invasion right here at home," he said. "For instance, we’ve seen Russia conducting reconnaissance on [the] U.S. energy sector. And that’s particularly worrisome because we know that once a cyber actor can establish access, they can switch from using that access to collect information to using it to conduct a destructive attack. And they can do it pretty quickly and without notice." 「ロシアによるウクライナ侵攻は、地球の裏側の物理的な戦場では行われているかもしれないが、我々はその侵攻の影響をこの国内でも目にしている。「例えば、ロシアが米国のエネルギー部門を偵察している。サイバー攻撃者が一旦アクセス権を確立すれば、情報収集のためのアクセスから、破壊的な攻撃を行うためのアクセスに切り替えることができる。そして、彼らはそれをかなり素早く、予告なしに行うことができる。
Importance of Partnerships   パートナーシップの重要性  
Wray said the threat posed by today’s cyber threats is too immense for any single organization to tackle alone—including the FBI.  レイ氏は、今日のサイバー脅威がもたらす脅威は、FBIを含め、いかなる組織も単独で取り組むにはあまりにも巨大であると述べた。 
This is why our cyber partnerships with both public and private sectors are paramount.  そのため、官民両セクターとのサイバーパートナーシップが最も重要である。 
Our public sector partnerships with intelligence, law enforcement, and international agencies give us the power to carry out "joint, sequenced operations," he explained.  情報機関、法執行機関、国際機関などとの公共部門とのパートナーシップは、「合同で順序立てた作戦」を遂行する力を与えてくれる、と同氏は説明する。 
But private sector partnerships with businesses help us preempt cyberattacks with preparedness.  しかし、民間部門と企業とのパートナーシップは、サイバー攻撃を未然に防ぐのに役立つ。 
"We’re doing things like pushing out more and more threat alerts and developing more and more relationships—both on a one-on-one basis and through organizations like InfraGard, like DSAC—the Domestic Security Alliance Council—to expand our engagement with U.S. businesses," Wray said. "We’re providing defensive briefings more often to help you keep your data and networks safe from cyberattacks. And we’re trying wherever we can to declassify and share as much information as possible to keep potential victims informed as the threats continue to evolve." 「我々は、より多くの脅威アラートを発信し、より多くの関係を構築している。1対1の関係でも、InfraGardのような組織、DSAC(Domestic Security Alliance Council)のような組織を通じても、米国企業との関わりを広げている。「サイバー攻撃からデータやネットワークの安全を守るため、防御に関する説明会を頻繁に開催している。そして、脅威が進化し続ける中、潜在的な被害者に情報を提供し続けるために、可能な限り多くの情報を機密解除し、共有しようとしている。
Our partnerships with the business sector also help us better understand what we’re actually up against in cyberspace.  ビジネス・セクターとのパートナーシップは、サイバー空間において我々が実際に直面していることをよりよく理解するのにも役立っている。 
"The reality is, at the FBI, we can’t build a comprehensive picture of the cyber threat landscape alone," he said. "We know that an enormous amount of information about the cyber threat landscape exists on the systems and servers of U.S. businesses. So we're working hard to use the information one company gives us to develop an analysis about who an adversary is, what they're doing, where, why, and how they’re doing it, taking pains in the process to protect that company’s identity, not unlike we do with our confidential human sources." 「FBIでは、サイバー脅威の状況を包括的に把握することはできない。「我々は、サイバー脅威の状況に関する膨大な情報が、米国企業のシステムやサーバー上に存在することを知っている。そこで我々は、敵対者が誰なのか、何をやっているのか、どこで、なぜ、どのようにやっているのかについての分析を展開するために、ある企業から提供された情報を利用するよう努力している。
The FBI then shares that analysis with our domestic and international public-sector partners, sector risk management agencies, and service providers, he said.  FBIはその分析を、国内外の公共セクターのパートナー、セクター・リスクマネジメント機関、プロバイダと共有する。 
"And they use it to provide us with even more information, enhancing our global investigations," Wray said. "And ultimately, that helps us discover malicious infrastructure that we might not have known about before that we can then target, and that means that we can then alert you to new threats so you can better remediate and protect yourselves." 「そして、彼らはさらに多くの情報を我々に提供し、我々のグローバルな捜査を強化してくれる。「そして最終的には、これまで我々が知らなかったような悪意のあるインフラを発見し、それをターゲットにすることができる。
Dismantling the Hive  Hiveを解体する 
Wray also emphasized that the FBI acts on the cyber threat data it receives. He touted the Bureau’s successful effort to disrupt the Hive ransomware group—which he said extorted businesses around the world out of ransom payments totaling over $110 million—as proof レイ氏はまた、FBIが受け取ったサイバー脅威のデータに基づいて行動することも強調した。レイ氏は、世界中の企業から総額1億1,000万ドル以上の身代金を脅し取ったというランサムウェア集団「Hive」の破壊にFBIが成功したことをその証拠として挙げた。 
In July 2022, he recalled, the FBI Tampa Field Office got access to the group’s control panel and used it to help victims—all without tipping off the cybercriminals.  2022年7月、FBIタンパ支局はこのグループのコントロールパネルにアクセスし、被害者救済に利用した。 
"We used our access to identify Hive’s targets and offered more than 1,300 of those victim businesses keys to decrypt their infected networks, saving victims an estimated $130 million in ransom payments," Wray said. "And then, working hand-in-hand with our European partners, we seized control of the servers and websites that Hive had been using to communicate with their members, in effect shutting down Hive’s operation and their ability to attack and extort more victims." 私たちはHiveの標的を特定するために私たちのアクセス権を使用し、それらの被害企業のうち1,300社以上に感染したネットワークを解読するための鍵を提供し、被害者の身代金の支払いを推定1億3,000万ドル節約した」とレイは述べた。「そして、欧州のパートナーと手を携えて、Hiveがメンバーとのコミュニケーションに使用していたサーバーとウェブサイトを掌握し、事実上、Hiveの活動を停止させ、さらに多くの被害者を攻撃し、恐喝する能力を停止させた。
But, he noted, the Bureau’s fight against the ransomware threat is far from over.  しかし、同局のランサムウェアの脅威との戦いはまだ終わっていない。 
"Even as I'm standing here speaking to you, the Bureau is investigating more than 100 different ransomware variants—and that's just ransomware—each one of those variants, with scores of victims, wreaking havoc on business operations, causing devastating financial losses, and targeting everything from hospitals and emergency services to the energy sector to state and local government," he said.  「私がここに立って話している間にも、FBIは100種類以上のランサムウェアの亜種を調査しており、これはランサムウェアに限ったことではないが、これらの亜種はそれぞれ数多くの被害者を出し、企業運営に大混乱をもたらし、壊滅的な金銭的損失をもたらし、病院や救急サービスからエネルギー部門、州や地方政府まで、あらゆるものを標的にしている」と述べた。 

 

Resources

外国情報監視法 第702条について

 

ここでもAIについて触れいています。。。

 

1_20230731053901

 

 

| | Comments (0)

名古屋港運協会 NUTS システム障害の経緯報告 (2023.07.26)

こんにちは、丸山満彦です。

名古屋港運協会が、名古屋港統一ターミナルシステム(NUTS システム)障害の経緯報告を公表していますね。。。

 

ランサムウェアへの感染で、2日ほど港湾システムが停止しましたよね。。。港湾のクレーンが動かないと荷物の出し入れできないので、物流がとまりますよね。。。カーギルなんかはこういう仕組みは昔からよく理解しているように思います。。。最近は中国もそういうことを理解して、一帯一路の関係で、港湾整備の支援にも力をいれているかもですね。。。

今回は、バックアップファイルもウイルス感染したていたようで、その影響もあって、回復に少し時間がかかったようですね。。。

 

名古屋港運協会 

概要

目的 本会は、港湾運送事業の適正な運営と港湾運送に関する秩序を確立し、併せて、会員相互の連絡、親睦を図り、もって事業の健全な発展に寄与することを目的とする。
事業 1.港湾運送事業に関する調査、研究、啓発及び宣伝
2.港湾運送事業に関する情報及び資料の収集、整備並びに頒布
3.官公庁、その他諸機関、港湾運送利用者との連絡及び交渉
4.その他、本会の目的達成に必要な事業

港湾運送に関係する企業等98社からなるようですね。。。(2023.07.31現在)

 ・[PDF] 2022年12月現在のリスト (downloaded) 

さて、経緯等...

・2023.07.05 NUTSシステム障害のお知らせ [PDF] (downloaded)

・2023.07.05 NUTSシステム障害のお知らせ(2) [PDF] (downloaded)

・2023.07.06 NUTSシステム障害のお知らせ(3) [PDF] (downloaded)

・2023.07.06 NUTSシステム障害のお知らせ(4) [PDF] (downloaded)

・2023.07.07 お知らせ)名古屋港統一ターミナルシステムのシステム障害について [PDF] (downloaded)

・2023.07.26 NUTSシステム障害の経緯報告 [PDF] (downloaded)

20230814-162252

 

 


 

参考

 piyolog

ランサムウエアによる名古屋港のシステム障害についてまとめてみた

 

 

| | Comments (0)

2023.07.30

日本公認会計士協会 経営研究調査会研究資料第10号「上場会社等における会計不正の動向(2023年版)」を公表

こんにちは、丸山満彦です。

日本公認会計士協会が、経営研究調査会研究資料第10号「上場会社等における会計不正の動向(2023年版)」を公表していますね。。。

興味深いです!!!

なんか、すごく特徴的な傾向があるかというとそうでもないかもですね。。。

ただ発覚経路は、取引先からの照会や当局の調査が増えている(けど、公認会計士監査は減っているが)ので、内部統制の発見統制が十分ではない可能性はありますね。。。

 

1_20230730052701 2_20230730052701 3_20230730052701 4_20230730052701 5_20230730052701

 

6_20230730061001  7

 

日本公認会計士協会 (JICPA)

・2023.07.28 経営研究調査会研究資料第10号「上場会社等における会計不正の動向(2023年版)」の公表について

・[PDF] 本文

20230730-60237

 

 


今年+過去分

2023.07.28 経営研究調査会研究資料第10号「上場会社等における会計不正の動向(2023年版)」 PDF
2022.06.27  経営研究調査会研究資料第9号「上場会社等における会計不正の動向(2022年版)」 PDF
2021.07.29  経営研究調査会研究資料第8号「上場会社等における会計不正の動向(2021年版)」 PDF
2020.07.17 経営研究調査会研究資料第7号「上場会社等における会計不正の動向(2020年版)」 PDF
2019.06.19  経営研究調査会研究資料第6号「上場会社等における会計不正の動向(2019年版)」 PDF
2018.05.16  経営研究調査会研究資料第5号「上場会社等における会計不正の動向」 PDF

 


 

まるちゃんの情報セキュリティティ日記

・2022.06.27 日本公認会計士協会 経営研究調査会研究資料第9号「上場会社等における会計不正の動向(2022年版)」を公表

・2021.07.31 日本公認会計士協会 経営研究調査会研究資料第8号「上場会社等における会計不正の動向(2021年版)」を公表

・2020.07.20 日本公認会計士協会 経営研究調査会研究資料第7号「上場会社等における会計不正の動向(2020年版)」を公表

 

 

| | Comments (0)

2023.07.29

防衛省 防衛研究所 米軍における情報戦概念の展開

こんにちは、丸山満彦です。

私は民間人で経験もなので、軍、自衛隊の活動について本質的な理解はできないのですが、考え方を理解しようとすることは重要だと思っております。

どこまで正確かはわかりませんが、防衛研究所から「米軍における情報戦概念の展開」という文書が(上)(下)で公表されていますので、備忘録的にこのブログにも載せておきます...

過去の経緯を踏まえて理解しようとすることは重要ですよね。。。

 

 

防衛省 防衛研究所

・2023.07.20 [PDF] 米軍における情報戦概念の展開(上)——ソ連軍「無線電子戦闘」(REC)から「情報環境における作戦」(OIE)へ

20230729-183427

 

 

・2023.07.27 [PDF] 米軍における情報戦概念の展開(下)——米海兵隊「情報」戦闘機能と「21 世紀型の諸兵科連合」

20230729-183436

 

 


 

(参考)

 

Joint Chiefs of Staff

・2022.09.14 Joint Publication 3-04 Information in Joint Operations

20230729-184244

 

空軍のCyber Operation

・2023.02.01 AIR FORCE DOCTRINE PUBLICATION 3-12 CYBERSPACE OPERATIONS

20230729-184403

 

過去の文書

・2018.03.16 Joint Concept for Integrated Campaigning

20230729-184812

 

・2016.10.19 Joint Concept for Human Aspects of Military Operations (JC-HAMO)

20230729-184955

 

・2013.03 Strategic Landpower: Winning the Clash of Wills Strategic Landpower and the Inherently Human Nature of Conflict

20230729-185416

 

 

| | Comments (0)

米国 GAO 暗号資産の包括的な監視を確保するために立法と規制措置が必要である (2023.07.23)

こんにちは、丸山満彦です。

GAOが、「暗号資産の包括的な監視を確保するために立法と規制措置が必要である」として、消費者金融保護局、連邦預金保険公社、全国信用組合管理局、通貨監督庁、米国証券取引委員会に勧告をだしていますね。。。

そして、議会には、ちゃんと利用者保護のための立法をしろと、勧告しています。。。

分散台帳で、中央管理機構が不要で民主的な運営ができるということで、一時は大きく取り上げらていたようにも思いますが、どのようなシステムも現実につかわれているシステムと新しいシステムを繋ぐための関係は必要であり、その関係を有効かつ効率的に行おうとすると、M✖️Nでは効率が悪く、少数の窓口に絞る必要があり、そうするとその窓口がどうしても中央管理的な機能となりますよね。。。ということで、個人的には、分散管理というのは、大規模になればなる(MやNが大きくなる)ほど難しいと思います。。。社会実装しようとするとMやNを大きくするということなので、どうしても中央管理的な機能が必要となっていきますよね。。。技術的には分散できても、社会実装的には集中管理が必要な部分ができる、、、そんな感じなのでしょう。。。

 

U.S. GAO

・2023.07.24 Blockchain in Finance:Legislative and Regulatory Actions Are Needed to Ensure Comprehensive Oversight of Crypto Assets

 

Blockchain in Finance:Legislative and Regulatory Actions Are Needed to Ensure Comprehensive Oversight of Crypto Assets 金融におけるブロックチェーン:暗号資産の包括的な監視を確保するために立法と規制措置が必要である
Fast Facts 速報
Blockchain technology records data and transactions in a shared, tamper-resistant, decentralized digital ledger—offering the promise of faster and cheaper financial transactions with no middlemen. ブロックチェーン技術は、データと取引を、共有され、改ざんされにくく、分散化されたデジタル台帳に記録する。
Recent price crashes, bankruptcies, and fraud involving blockchain-related products and services, such as crypto assets, raised concerns about how much regulation exists now and the risks consumers face. For example, there are gaps in federal regulation of stablecoins—a kind of crypto asset—and trading platforms for crypto assets, leaving consumers and investors subject to harm. 最近の価格暴落、倒産、暗号資産などのブロックチェーン関連商品やサービスに絡む詐欺事件は、現在の規制の存在と消費者が直面するリスクについて懸念を抱かせた。例えば、暗号資産の一種であるステーブルコインや暗号資産の取引プラットフォームに対する連邦政府の規制には隔たりがあり、消費者や投資家が被害に遭う可能性がある。
We recommended that Congress consider legislation to address these risks. 我々は議会に対し、こうしたリスクに対処するための法整備を検討するよう勧告した。
Highlights ハイライト
What GAO Found GAOが発見したこと
Blockchain allows users to conduct and record tamper-resistant transactions that multiple parties make without a central authority, such as a bank, when used for financial transactions. Because of these characteristics, blockchain-related products and services have the potential to produce cost savings, faster transactions, and other benefits over their traditional counterparts. However, these benefits have not been fully realized. Furthermore, the significant risks these products pose have been realized and negatively affected consumers and investors. For example, crypto assets have experienced price volatility. Also, the bankruptcy of FTX Trading Ltd., a prominent crypto asset trading platform, led to the discovery that a substantial portion of the platform's assets might be missing or stolen, according to bankruptcy-related documents. ブロックチェーンは、金融取引に利用される場合、銀行などの中央当局を介さずに、複数の当事者が行う改ざん耐性のある取引を行い、記録することを可能にする。このような特性から、ブロックチェーン関連の製品やサービスは、コスト削減や取引の迅速化など、従来のものと比べてメリットを生み出す可能性がある。しかし、こうしたメリットはまだ十分に実現されていない。さらに、これらの製品がもたらす重大なリスクが顕在化し、消費者や投資家に悪影響を及ぼしている。例えば、暗号資産は価格変動に見舞われている。また、著名な暗号資産取引プラットフォームであるFTX Trading Ltd.の破産により、同プラットフォームの資産の相当部分が行方不明か盗まれている可能性があることが、破産関連文書から判明した。
GAO found gaps in regulatory authority over two blockchain-related products that raise consumer and investor protection and financial stability concerns. GAOは、消費者・投資家保護と金融安定性に懸念を抱かせる2つのブロックチェーン関連商品に対する規制権限にギャップがあることを発見した。
No federal financial regulator has comprehensive authority to regulate the spot market for crypto assets that are not securities. In contrast, platforms that trade crypto asset securities and operate as exchanges as defined by federal securities laws are subject to registration and regulation as national securities exchanges, unless an exemption applies. Several platforms without federal oversight have experienced fraud and trading manipulation. By providing for more comprehensive oversight of these platforms, Congress could better ensure users' protection from unfair and manipulative trading practices. どの連邦金融規制当局も、証券ではない暗号資産のスポット市場を規制する包括的な権限を持っていない。一方、暗号資産証券を取引し、連邦証券法で定義される取引所として運営されるプラットフォームは、免除が適用されない限り、全国証券取引所として登録と規制の対象となる。連邦政府の監視がないいくつかのプラットフォームでは、詐欺や取引操作が発生している。これらのプラットフォームに対するより包括的な監視をプロバイダが提供することで、議会は不公正で操作的な取引慣行からの利用者の保護をより確実にすることができる。
Gaps in regulatory authority exist in the oversight of stablecoins (a crypto asset purported to hold a stable value relative to a fiat currency, such as the U.S. dollar). To keep their value, issuers often state their stablecoins are backed by reserve assets. But no uniform standards exist for reserve levels and risks or for public disclosure of reserves. This increases the risk that a stablecoin may not be able to hold its value and honor user redemption requests. To the extent these stablecoins become more integrated into the financial system, their failures could pose risks to financial stability. By providing for consistent and comprehensive oversight of stablecoins, Congress could better ensure protections for consumers, investors, and the financial system. ステーブルコイン(米ドルなどの不換紙幣と比較して安定した価値を保持するとされる暗号資産)の監視には、規制権限のギャップが存在する。その価値を維持するため、発行者はステーブルコインが準備資産によって裏付けられていると表明することが多い。しかし、準備のレベルやリスク、準備の公開に関する統一基準は存在しない。このため、ステーブルコインがその価値を維持できず、ユーザーの償還要求に応じられないリスクが高まる。このようなステーブルコインが金融システムに統合されればされるほど、その失敗は金融の安定性にリスクをもたらす可能性がある。ステーブルコインに対する一貫した包括的な監視をプロバイダが提供することで、議会は消費者、投資家、金融システムの防御をより確実にすることができる。
Regulators lack an ongoing coordination mechanism for addressing blockchain risks in a timely manner. For example, regulators identified financial stability risks posed by stablecoins in 2019, but they did not identify the need for Congressional action to address the risks until November 2021 (in a report issued through the President's Working Group on Financial Markets). A formal coordination mechanism for addressing blockchain-related risks, which could establish processes or time frames for responding to risks, could help federal financial regulators collectively identify risks and develop timely and appropriate responses. In turn, this could improve protections for consumers and investors, mitigate illicit finance and threats to financial stability, and promote responsible innovation and U.S. competitiveness. 規制当局には、ブロックチェーンのリスクにタイムリーに対処するための継続的な調整メカニズムが欠けている。例えば、規制当局は2019年にステーブルコインがもたらす金融安定リスクを特定したが、2021年11月まで(金融市場に関する大統領作業部会を通じて発表された報告書において)、リスクに対処するための議会措置の必要性を指摘しなかった。ブロックチェーン関連のリスクに対応するための正式な調整メカニズムを設け、リスクへの対応プロセスや時間枠を定めることで、連邦金融規制当局がリスクを集団的に特定し、タイムリーで適切な対応を策定するのに役立つ可能性がある。ひいては、消費者や投資家の防御を改善し、不正金融や金融安定性への脅威を緩和し、責任あるイノベーションと米国の競争力を促進することができる。
Why GAO Did This Study GAOが本調査を実施した理由
Blockchain-related financial products and services have grown substantially in recent years. For example, crypto assets reached a peak market capitalization of nearly $3 trillion in November 2021. However, recent volatility, bankruptcies, and instances of fraud in these markets illustrate the harm consumers and investors may face without adequate protections. Regulators and industry stakeholders are concerned regulatory gaps may limit regulators' ability to address risks these products and services pose. Modernizing the financial regulatory system is on GAO's high-risk list, partly because some entities are not subject to comprehensive regulation. ブロックチェーン関連の金融商品やサービスは近年大きく成長している。例えば、暗号資産の時価総額は2021年11月に約3兆ドルのピークに達した。しかし、こうした市場における最近の変動、倒産、詐欺の事例は、十分な保護がなければ消費者や投資家が直面しかねない危害を物語っている。規制当局や業界関係者は、規制格差がこうした商品やサービスがもたらすリスクに対処する規制当局の能力を制限しかねないと懸念している。金融規制システムの近代化はGAOのハイリスク・リストに入っているが、その理由のひとつは、一部の事業体が包括的な規制の対象になっていないことにある。
GAO was asked to study the regulation of blockchain-related financial products and services. Among other objectives, this report examines regulatory gaps and coordination in regulating these applications. GAO reviewed and analyzed government and industry reports, government guidance and speeches, and laws and regulations. GAO interviewed agency officials and market participants and observers. GAOは、ブロックチェーン関連の金融商品・サービスの規制に関する調査を依頼された。本報告書は、他の目的の中でも、これらのアプリケーションを規制する際の規制のギャップと協調について検証している。GAOは、政府や業界の報告書、政府のガイダンスやスピーチ、法規制を検討・分析した。GAOは政府当局者、市場参加者、オブザーバーにインタビューした。
Recommendations 勧告

GAO recommends Congress consider legislation for federal oversight of nonsecurity crypto asset spot markets and stablecoins. GAO is also making seven recommendations (one to each of seven financial regulators) to establish a (or adapt an existing) coordination mechanism to identify and address blockchain-related risks. One regulator agreed with the recommendation and the others neither agreed nor disagreed.

GAOは議会に対し、非セキュリティ暗号資産スポット市場およびステーブルコインの連邦監督法制化を検討するよう勧告する。GAOはまた、ブロックチェーン関連のリスクを特定し対処するための調整メカニズムを確立(または既存のものを適応)するよう、7つの勧告(7つの金融規制当局にそれぞれ1つずつ)を行っている。1つの規制当局は勧告に同意し、他の規制当局は同意も反対もしていない。
Consumer Financial Protection Bureau 消費者金融保護局
The Director of the Consumer Financial Protection Bureau should jointly establish or adapt an existing formal coordination mechanism with CFTC, FDIC, the Federal Reserve, NCUA, OCC, and SEC for collectively identifying risks posed by blockchain-related products and services and formulating a timely regulatory response. To facilitate these objectives, this mechanism could include formal planning documents that establish the frequency of meetings and processes for identifying risks and responding to them within agreed-upon time frames. (Recommendation 1) 消費者金融保護局の局長は、ブロックチェーン関連商品・サービスがもたらすリスクを集団的に特定し、タイムリーな規制対応を策定するために、CFTC、FDIC、連邦準備制度理事会(FRB)、NCUA、OCC、SECと共同で正式な調整メカニズムを設立するか、既存の調整メカニズムを適応させるべきである。これらの目的を促進するため、このメカニズムには、合意された時間枠内でリスクを特定し対応するための会議の頻度やプロセスを定めた正式な計画文書を含めることができる。(勧告1)
The Chairman of the Commodity Futures Trading Commission should jointly establish or adapt an existing formal coordination mechanism with CFPB, FDIC, the Federal Reserve, NCUA, OCC, and SEC for collectively identifying risks posed by blockchain-related products and services and formulating a timely regulatory response. To facilitate these objectives, this mechanism could include formal planning documents that establish the frequency of meetings and processes for identifying risks and responding to them within agreed-upon time frames. (Recommendation 2) 商品先物取引委員会委員長は、CFPB、FDIC、連邦準備制度理事会(FRB)、NCUA、OCC、SECと共同で、ブロックチェーン関連商品・サービスがもたらすリスクを集団的に特定し、タイムリーな規制対応を策定するための正式な調整メカニズムを構築するか、既存のメカニズムを適応させるべきである。これらの目的を促進するため、このメカニズムには、合意された時間枠内でリスクを特定し対応するための会議の頻度やプロセスを定めた正式な計画文書が含まれる可能性がある。(勧告2)
Federal Deposit Insurance Corporation 連邦預金保険公社
The Chairman of the Federal Deposit Insurance Corporation should jointly establish or adapt an existing formal coordination mechanism with CFPB, CFTC, the Federal Reserve, NCUA, OCC, and SEC for collectively identifying risks posed by blockchain-related products and services and formulating a timely regulatory response. To facilitate these objectives, this mechanism could include formal planning documents that establish the frequency of meetings and processes for identifying risks and responding to them within agreed-upon time frames. (Recommendation 3) 連邦預金保険公社(Federal Deposit Insurance Corporation)の議長は、ブロックチェーン関連の商品・サービスがもたらすリスクを集団的に特定し、タイムリーな規制対応を策定するための正式な調整メカニズムを、CFPB、CFTC、連邦準備制度理事会(Federal Reserve)、NCUA、OCC、SECと共同で構築するか、既存のメカニズムを適応させるべきである。これらの目的を促進するため、このメカニズムには、合意された時間枠内でリスクを特定し対応するための会議の頻度やプロセスを定めた正式な計画文書が含まれる可能性がある。(勧告3)
The Chair of the Board of Governors of the Federal Reserve System should jointly establish or adapt an existing formal coordination mechanism with CFPB, CFTC, FDIC, NCUA, OCC, and SEC for collectively identifying risks posed by blockchain-related products and services and formulating a timely regulatory response. To facilitate these objectives, this mechanism could include formal planning documents that establish the frequency of meetings and processes for identifying risks and responding to them within agreed-upon time frames. (Recommendation 4) 連邦準備制度理事会議長は、ブロックチェーン関連商品・サービスがもたらすリスクを集合的に特定し、タイムリーな規制対応を策定するための正式な調整メカニズムを、CFPB、CFTC、FDIC、NCUA、OCC、SECと共同で構築するか、既存のものを適応させるべきである。これらの目的を促進するため、このメカニズムには、会議の頻度やリスクを特定し、合意された時間枠内で対応するためのプロセスを定めた正式な計画文書を含めることができる。(勧告 4)
National Credit Union Administration 全国信用組合管理局
The Chairman of the National Credit Union Administration should jointly establish or adapt an existing formal coordination mechanism with CFPB, CFTC, FDIC, the Federal Reserve, OCC, and SEC for collectively identifying risks posed by blockchain-related products and services and formulating a timely regulatory response. To facilitate these objectives, this mechanism could include formal planning documents that establish the frequency of meetings and processes for identifying risks and responding to them within agreed-upon time frames. (Recommendation 5) 全国信用組合管理局の局長は、ブロックチェーン関連の商品やサービスがもたらすリスクを集合的に特定し、タイムリーな規制対応を策定するために、CFPB、CFTC、FDIC、連邦準備制度理事会(FRB)、OCC、SECと共同で、または既存の正式な調整メカニズムを構築すべきである。これらの目的を促進するため、このメカニズムには、合意された時間枠内でリスクを特定し対応するための会議の頻度やプロセスを定めた正式な計画文書が含まれる可能性がある。(勧告5)
Office of the Comptroller of the Currency 通貨監督庁
The Comptroller of the Currency should jointly establish or adapt an existing formal coordination mechanism with CFPB, CFTC, FDIC, the Federal Reserve, NCUA, and SEC for collectively identifying risks posed by blockchain-related products and services and formulating a timely regulatory response. To facilitate these objectives, this mechanism could include formal planning documents that establish the frequency of meetings and processes for identifying risks and responding to them within agreed-upon time frames. (Recommendation 6) 通貨監督庁は、ブロックチェーン関連商品・サービスがもたらすリスクを集団的に特定し、タイムリーな規制対応を策定するため、CFPB、CFTC、FDIC、連邦準備制度理事会(FRB)、NCUA、SECと共同で、または既存の正式な調整メカニズムを構築すべきである。これらの目的を促進するため、このメカニズムには、合意された時間枠内でリスクを特定し対応するための会議の頻度やプロセスを定めた正式な計画文書が含まれる可能性がある。(勧告6)
United States Securities and Exchange Commission 米国証券取引委員会
The Chairman of the Securities and Exchange Commission should jointly establish or adapt an existing formal coordination mechanism with CFPB, CFTC, FDIC, the Federal Reserve, NCUA, and OCC for collectively identifying risks posed by blockchain-related products and services and formulating a timely regulatory response. To facilitate these objectives, this mechanism could include formal planning documents that establish the frequency of meetings and processes for identifying risks and responding to them within agreed-upon time frames. (Recommendation 7) 証券取引委員会委員長は、ブロックチェーン関連商品・サービスがもたらすリスクを集合的に特定し、タイムリーな規制対応を策定するための正式な調整メカニズムを、CFPB、CFTC、FDIC、連邦準備制度理事会(FRB)、NCUA、OCCと共同で構築するか、既存のメカニズムを適応させるべきである。これらの目的を促進するため、このメカニズムには、会議の頻度やリスクを特定し、合意された時間枠内で対応するためのプロセスを定めた正式な計画文書が含まれる可能性がある。(勧告7)

 

 

・[PDF]  Full Report

20230729-95515

 

目次...

Letter  手紙 
Background  背景 
Crypto Assets and Related Products Present Significant Risks and Challenges That Limit Potential Benefits  暗号資産と関連商品には、潜在的利益を制限する重大なリスクと課題が存在する。
Regulatory Jurisdiction for Crypto Assets Varies Based on the Intermediary and Activity  暗号資産に対する規制管轄は仲介業者と活動によって異なる 
Regulatory Gaps for Blockchain Products Increase Risks to Investors, Consumers, and Financial Stability  ブロックチェーン商品に対する規制のギャップは、投資家、消費者、金融安定性に対するリスクを増大させる 
Regulators Lack an Ongoing Coordination Mechanism for Addressing Blockchain Risks in a Timely Manner  規制当局は、ブロックチェーンのリスクに適時に対処するための継続的な調整メカニズムを欠いている。
Conclusions  結論 
Matters for Congressional Consideration  議会の検討事項 
Recommendations for Executive Action  行政措置に関する勧告
Agency Comments and Our Evaluation  政府機関のコメントと我々の評価 
Appendix I  Objectives, Scope, and Methodology  附属書 I 目的、範囲、方法論 
Appendix II  Comments from Consumer Financial Protection Bureau  附属書 II 消費者金融保護局からのコメント 
Appendix III  Comments from the Board of Governors of the Federal Reserve  System  附属書 III 連邦準備制度理事会からのコメント 
Appendix IV  Comments from Federal Deposit Insurance Corporation  附属書 IV 連邦預金保険公社からのコメント 
Appendix V  Comments from National Credit Union Administration  附属書 V 全国信用組合管理局からのコメント 
Appendix VI  Comments from the Office of the Comptroller of the Currency  附属書 VI 通貨監督庁からのコメント 
Appendix VII  Comments from Securities and Exchange Commission  附属書 VII 証券取引委員会からのコメント 
Appendix VIII GAO Contact and Staff Acknowledgments 附属書 VIII GAOの連絡先とスタッフの謝辞

 

・[PDF] Highlights Page 


20230729-95555

 

 

 

| | Comments (0)

経済産業省 令和4年度委託調査報告書(サイバーセキュリティ関係) 2023.07.29現在

こんにちは、丸山満彦です。

経済産業省が、令和4年度に委託調査をしたものの報告書一覧がありますが、それが2023.07.27に更新されて、サイバーセキュリティ関連の報告書が公開されていましたので、紹介です。。。

どの課が、どの事業予算で委託し、どの事業者が受託したかがわかります。金額も合わせて一表でわかると良いのにね。。。

そしてなにより、CSVでもよいので、データで提供してくれたらよいのに...

 

経済産業省1_20220705055701

・[PDF] 令和4年度 委託調査報告書 HP掲載一覧

20230729-61240

 

これまでのことろ、サイバーセキュリティに関連しそうな調査報告書は2点です。多分...

 

2023.06.16公表分

システム監査基準、管理基準の改定についての委員会の報告書ですかね。。。

・2023.06.16 [PDF] 令和4年度我が国におけるデータ駆動型社会に係る基盤整備(システム監査制度に関する調査研究)報告書


20230729-61904

目次...

1. 背景と目的 
2. 監査基準及び管理基準の改訂に向けた検討会の開催と改訂案の作成 
(1) システム監査に関する検討会及びワーキンググループの開催
(2)検討チームが作成した資料の確認等
(3)改訂案の作成、編集作業 
3. システム監査制度の中長期的課題に関する関係団体、企業等に対するヒアリング調査 

 

(参考)

経済産業省

システム監査制度について

 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.05.01 経済産業省 「システム監査基準」及び「システム管理基準」の改訂 (2023.04.26)

 


 

2023.05.26公表分

私も委員になっている、サイバーセキュリティ経営ガイドラインの改定のものですね。。。

・2023.05.26 令和4年度サプライチェーン・サイバーセキュリティ対策促進事業(サイバーセキュリティ経営に関する調査)調査報告書

 

20230729-63235

 

目次...

1.調査実施の目的、事業内容等
2.サイバーセキュリティ経営ガイドラインの改訂に向けた調査と改訂案の作成
3.情報セキュリティサービス活用・普及に関する調査
4.まとめ

 

(参考)

● 経済産業省

サイバーセキュリティ経営ガイドラインと支援ツール

 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.03.26 経済産業省 サイバーセキュリティ経営ガイドラインVer 3.0

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.08.30 経済産業省 「サイバーセキュリティ経営に関する調査 調査報告書」「地域SECUNITY形成促進事業 調査報告書」

・2022.07.16 経済産業省 令和3年度委託調査報告書(サイバーセキュリティ関係) 2022.07.14現在

 

 

| | Comments (0)

2023.07.28

防衛白書(2023年) (+ 能動的サイバー防衛...)

こんにちは、丸山満彦です。

防衛省が令和5年、2023年の防衛白書を公表しましたね。。。

戦略三文書の策定後、初めて刊行される白書なので、三文書策定の経緯や概要も記述していますね。。。

 

表紙がいいですね。。。

一昨年は騎馬姿の墨絵で話題になりましたが、今年のもすごくいい。。。まさに白書ですよね。。。

20230728-153942_20230728161601

 

 

防衛省

・2023.07.28 令和5年度版防衛白書を掲載

目次は概要資料の詳細版がわかりやすいですかね。。。

20230728-161223

 

ちなみに...サイバーという用語は本編で492箇所に出てきておりますが、

章でいうと、、、

第I部 わが国を取り巻く安全保障環境
4章 宇宙・サイバー・電磁波の領域や情報戦などをめぐる動向・国際社会の課題など
第3節 サイバー領域をめぐる動向
1 サイバー空間と安全保障
2 サイバー空間における脅威の動向
3 サイバー空間における脅威に対する動向
第4節 電磁波領域をめぐる動向
1 電磁波領域と安全保障
2 電子戦に関する各国の取組

...
第Ⅲ部 防衛目標を実現するための3つのアプローチ
1章 わが国自身の防衛体制
4節 ミサイル攻撃を含むわが国に対する侵攻への対応
5
サイバー領域での対応
6 電磁波領域での対応

...
2章 日米同盟
2節 日米共同の抑止力・対処力の強化
1
宇宙領域やサイバー領域などにおける協力
...
4節 共同対処基盤の強化
1
情報保全及びサイバーセキュリティ
...

のあたりですかね。。。

 

 

 


防衛白書


・[HTML](準備中)

・[PDF] 本編

20230728-153942
 

・[PDF] 資料編

20230728-154002

 

・[PDF] 防衛年表

20230728-154032

 

概要資料

・[PDF] 簡略版

20230728-154301

 

・[PDF] 詳細版

20230728-154316
 

 パンフレット

・[PDF] 日本語版

20230728-153942

 

・[PDF] 英語版

20230728-154109

 

・[PDF] 中国語版

20230728-154116

 


 

あと、「能動的サイバー防御」について、少し整理...

能動的サイバー防御
という言葉は、防衛白書2023では、次の3箇所にでてきています。。。

ーーーーー
P203

II部 わが国の安全保障・防衛政策
第2章 国家安全保障戦略
6 我が国が優先する戦略的なアプローチ
2
戦略的なアプローチとそれを構成する主な方策
4)わが国を全方位でシームレスに守るための取組の強化
①サイバー安全保障
〇 サイバー防御を強化する。能動的サイバー防御の導入及びその実施のために必要な措置の実現に向け検討を進める。これらのために、サイバー安全保障の政策を一元的に総合調整する新たな組織の設置、法制度の整備、運用の強化を図る。


-----
P216

3章 国家防衛戦略
2節 国家防衛戦略の内容
5           
防衛力の抜本的強化にあたって重視する能力(7つの重視分野)
4
 領域横断作戦能力
②サイバー領域では、防衛省・自衛隊において、能動的サイバー防御を含むサイバー安全保障分野における政府全体での取組と連携していく。その際、重要なシステムなどを中心に常時継続的にリスク管理を実施する態勢に移行し、これに対応するサイバー要員を大幅増強する。このため、2027年度までに、サイバー攻撃状況下においても、指揮統制能力及び優先度の高い装備品システムを保全できる態勢を確立し、また防衛産業のサイバー防衛を下支えできる態勢を確立する。今後、おおむね10年後までに、サイバー攻撃状況下においても、指揮統制能力、戦力発揮能力、作戦基盤を保全し任務が遂行できる態勢を確立しつつ、自衛隊以外へのサイバーセキュリティを支援できる態勢を強化する。

-----
P298

第Ⅲ部 防衛目標を実現するための3つのアプローチ
1章 わが国自身の防衛体制
4節 ミサイル攻撃を含むわが国に対する侵攻への対応
5
サイバー領域での対応
2
 防衛省・自衛隊の取組
サイバー領域は、国民生活にとっての基幹インフラであるとともに、わが国の防衛にとっても領域横断作戦を遂行する上で死活的に重要である。防衛省・自衛隊は、能動的サイバー防御を含むサイバー安全保障分野における政府全体での取組と連携していく。その際、重要なシステムなどを中心に常時継続的にリスク管理を実施する態勢に移行し、これに対応するサイバー要員を大幅増強するとともに、特に高度なスキルを有する外部人材を活用することにより、高度なサイバーセキュリティを実現する。高いサイバーセキュリティの能力により、あらゆるサイバー脅威から自ら防護するとともに、その能力を活かしてわが国全体のサイバーセキュリティの強化に取り組んでいくこととする。
このため、2027年度までに、サイバー攻撃状況下においても、指揮統制能力及び優先度の高い装備品システムを保全できる態勢を確立し、また防衛産業のサイバー防衛を下支えできる態勢を確立する。
今後、おおむね10年後までに、サイバー攻撃状況下においても、指揮統制能力、戦力発揮能力、作戦基盤を保全し任務が遂行できる態勢を確立しつつ、自衛隊以外へのサイバーセキュリティを支援できる態勢を強化することとしている。

-----

明確ではないですが、

能動的サイバー防衛の話においては、

P216で、

その際、重要なシステムなどを中心に常時継続的にリスク管理を実施する態勢に移行し、これに対応するサイバー要員を大幅増強する。

P298で、

その際、重要なシステムなどを中心に常時継続的にリスク管理を実施する態勢に移行し、これに対応するサイバー要員を大幅増強するとともに、

となっていて、

常時継続的にリスク管理を実施する態勢というのが、重要なポイントとなっているように思えるのですが、それがまさに、米英でいうActive Cyber Defense (Defence) なので、ひょっとしたら、防衛省・自衛隊の中では、ACDの定義は米英と同じなのかもしれませんね。。。これからだけだとわからないですが...

 

ちなみに、

米国のACDの定義は、防衛総省が2011年に公表した「サイバー空間における国防総省の戦略」によると

・2011.07 [PDF] Department of Defense Strategy for Operating in Cyberspace

As malicious cyber activity continues to grow, DoD has employed active cyber defense to prevent intrusions and defeat adversary activities on DoD networks and systems. Active cyber defense is DoD’s synchronized, real-time capability to discover, detect, analyze, and mitigate threats and vulnerabilities. It builds on traditional approaches to defending DoD networks and systems, supplementing best practices with new operating concepts. It operates at network speed by using sensors, software, and intelligence to detect and stop malicious activity before it can affect DoD networks and systems. As intrusions may not always be stopped at the network boundary, DoD will continue to operate and improve upon its advanced sensors to detect, discover, map, and mitigate malicious activity on DoD networks. 悪質なサイバー活動が増え続ける中、国防総省は国防総省のネットワークやシステムに対する侵入を防ぎ、敵の活動を打ち負かすために積極的なサイバー防衛を採用してきた。積極的なサイバー防衛とは、脅威と脆弱性を発見、検知、分析、低減するための国防総省の同期化されたリアルタイム能力である。これは、国防総省のネットワークとシステムを防衛するための従来のアプローチを基礎とし、新しい運用コンセプトでベストプラクティスを補うものである。国防総省のネットワークやシステムに影響を与える前に、センサー、ソフトウェア、インテリジェンスを使って悪意のある活動を検知し、阻止することで、ネットワークスピードで運用される。国防総省は、国防総省ネットワーク上の悪意ある活動を検知、発見、マッピング、緩和するための高度なセンサーの運用と改善を継続する。

 

英国でのACDの定義的なのは、国家サイバーセキュリティ戦略(2016-2021)に記載があります。。。

・2016.11.01 [PDF] National Cyber Security Strategy 2016 to 2021

5.1. ACTIVE CYBER DEFENCE  5.1. アクティブ・サイバーディフェンス 
5.1.1. Active Cyber Defence (ACD) is the principle of implementing security measures to strengthen a network or system to make it more robust against attack. In a commercial context, Active Cyber Defence normally refers to cyber security analysts developing an understanding of the threats to their networks, and then devising and implementing measures to proactively combat, or defend, against those threats. In the context of this strategy, the Government has chosen to apply the same principle on a larger scale: the Government will use its unique expertise, capabilities and influence to bring about a step-change in national cyber security to respond to cyber threats. The ‘network’ we are attempting to defend is the entire UK cyberspace. The activities proposed represent a defensive action plan, drawing on the expertise of NCSC as the National Technical Authority to respond to cyber threats to the UK at a macro level. 5.1.1. アクティブ・サイバーディフェンス(ACD)とは、ネットワークやシステムを強化するためのセキュリティ対策を実施し、攻撃に対してより堅牢にするという原則である。商業的な文脈では、アクティブ・サイバーディフェンスとは通常、サイバーセキュリティ・アナリス トがネットワークに対する脅威について理解を深め、それらの脅威と積極的に戦う、あるいは防御す るための対策を考案し、実施することを指す。この戦略の文脈において、政府は同じ原則をより大規模に適用することを選択した。政府は、サイバー脅威に対応するために、独自の専門知識、能力、影響力を用いて、国家サイバーセキュリティに一歩進んだ変化をもたらす。我々が守ろうとしている「ネットワーク」とは、英国のサイバースペース全体のことである。提案されている活動は、国家技術機関としてのNCSCの専門知識を活用し、マクロレベルで英国へのサイバー脅威に対応するための防衛行動計画である。

 

詳細は、

まるちゃんの情報セキュリティ気まぐれ日記

・2023.07.17 英国 NCSC アクティブ・サイバーディフェンス第6次報告書 (2023.07.06) そういえばNCSCは「アクティブ・サイバーディフェンスは防御であって攻撃ではない」と言ってました...

 


蛇足かもしれませんが...「反撃能力」についてはP213のコラムに記載がありますね。。。

解説 反撃能力

近年、わが国周辺では、極超音速兵器などのミサイル関連技術と飽和攻撃など実戦的なミサイル運用能力が飛躍的に向上し、質・量ともにミサイル戦力が著しく増強される中、ミサイルの発射も繰り返されるなど、わが国へのミサイル攻撃が現実の脅威となっており、既存のミサイル防衛網だけで完全に対応することは難しくなりつつあります。そのため、反撃能力を保有する必要があります。

反撃能力とは、わが国に対する武力攻撃が発生し、その手段として弾道ミサイル等による攻撃が行われた場合、「武力の行使」の三要件に基づき、そのような攻撃を防ぐのにやむを得ない必要最小限度の自衛の措置として、相手の領域において、わが国が有効な反撃を加えることを可能とする、スタンド・オフ防衛能力等を活用した自衛隊の能力のことを言います。

こうした有効な反撃を加える能力を持つことにより、武力攻撃そのものを抑止し、万一、相手からミサイルが発射される際にも、ミサイル防衛網により、飛来するミサイルを防ぎつつ、反撃能力により相手からの更なる武力攻撃を防ぎ、国民の命や平和な暮らしを守っていきます。

この反撃能力については、1956年2月29日に政府見解※1として、憲法上、「誘導弾等による攻撃を防御するのに、他に手段がないと認められる限り、誘導弾等の基地をたたくことは、法理的には自衛の範囲に含まれ、可能である」としたものの、これまで政策判断として保有することとしてこなかった能力に当たるものです。

この政府見解は、2015年の平和安全法制に際して示された武力の行使の三要件の下で行われる自衛の措置にもそのまま当てはまるものであり、今般保有することとする能力は、この考え方の下で上記三要件を満たす場合に行使しうるものです。

反撃能力の行使の対象について、政府は、従来、法理上は、誘導弾等による攻撃を防ぐのに他に手段がない場合における「やむを得ない必要最小限度の措置」をとることは可能であると説明してきており、いかなる措置が自衛の範囲に含まれるかについては、個別具体的に判断されるものであり、この考え方は、反撃能力においても同様です。他方、どこでも攻撃してよいというものではなく、攻撃を厳格に軍事目標に対するものに限定するといった国際法の遵守を当然の前提とした上で、ミサイル攻撃を防ぐのにやむを得ない必要最小限度の措置の対象を個別具体的な状況に照らして判断していくものです。

また、政府としては、従来から、憲法第9条の下でわが国が保持することが禁じられている戦力とは、自衛のための必要最小限度の実力を超えるものを指すと解されており、これに当たるか否かは、わが国が保持する全体の実力についての問題である一方で、個々の兵器のうちでも、性能上専ら相手国の国土の壊滅的破壊のためにのみ用いられる、いわゆる攻撃的兵器※2を保有することは、これにより直ちに自衛のための必要最小限度の範囲を超えることとなるため、いかなる場合にも許されないと考えてきており、この一貫した見解を変更する考えはありません。

※1政府の統一見解(鳩山内閣総理大臣答弁船田防衛庁長官代読(1956年2月29日)わが国に対して急迫不正の侵害が行われ、その侵害の手段としてわが国土に対し、誘導弾などによる攻撃が行われた場合、座して自滅を待つべしというのが憲法の趣旨とするところだというふうには、どうしても考えられないと思うのです。そういう場合には、そのような攻撃を防ぐのに万やむを得ない必要最小限度の措置をとること、たとえば、誘導弾等による攻撃を防御するのに、他に手段がないと認められる限り、誘導弾などの基地をたたくことは、法理的には自衛の範囲に含まれ、可能であるというべきものと思います。

※2例えばICBM、長距離戦略爆撃機、攻撃型空母

20230728-181506

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.07.26 防衛白書(2022年)

・2021.07.14 日本の防衛白書が初めて台湾周辺情勢の安定の重要性に言及したことについての中国政府の見解

・2021.07.13 防衛白書(2021年)

| | Comments (0)

米国 SEC 上場企業によるサイバーセキュリティリスクマネジメント、戦略、ガバナンス、インシデント開示に関する規則を採択

こんにちは、丸山満彦です。

このブログでも紹介しましたが、、、昨年 (2022.03.09) に公開草案が公表され、意見募集がおこなわれていた、上場企業のサイバーセキュリティに関連するリスク開示について、最終規則になりましたね。。。

投資家に影響を及ぼす内容については、従来から臨時報告書 (Form 8-K, Form 6-K) や年次報告書 (Form 10-k, Form 20-F) に開示することが求められていましたから、従前から開示が行われることにはなっていたわけですが、記載内容やタイミング等についてのルールを明確にすることにより、比較可能性を高めようという考えですね。。。

サイバーセキュリティ事故等によるリスクが高まっていることをうけての話なので、米国に限らず、、、ということで、日本での検討も必要と思いますね。(というか、比較可能性を高めるという話なので、記載内容についての論点だけだから、米国と同じようなルールにすればよいのでは???と思ったりもしますけどね。。。どうでしょう。金融庁さん?)

こんな感じですけど...

  • 新しいForm 8-K Item 1.05では、登録者は、重要であると判断したサイバーセキュリティインシデントを開示し、インシデントの性質、範囲、タイミング、および財務状況や経営成績を含む登録者に対するインシデントの重要な影響または合理的に起こりうる重要な影響を重要な側面から説明することが求められる。

  • 登録者は、インシデントの発見後、不合理な遅延なくインシデントの重要性を判断し、インシデントが重要であると判断された場合、その判断から通常4営業日以内に Item 1.05 Form 8-Kを提出しなければならない。米国司法長官が、即時開示が国家安全保障または公共の安全に対する重大なリスクをもたらすと判断し、そのような判断を書面で委員会に通知した場合は、開示を延期することができる。司法長官がさらなる遅延が必要であると示した場合、委員会は遅延の追加要請を検討し、可能な免除命令によってそのような救済を認めることができる。

  • 新規則 S-K第106号は、サイバーセキュリティの脅威による重大なリスクをアセスメント、識別、マネジメントするためのプロセスがある場合はそのプロセスを説明すること、また、過去のサイバーセキュリティインシデントの結果など、サイバーセキュリティの脅威によるリスクが登録者に重大な影響を及ぼしたか、または及ぼす可能性があるかどうかを説明することを登録者に義務付ける。Item 106はまた、サイバーセキュリティの脅威によるリスクに対する取締役会の監督、およびサイバーセキュリティの脅威による重大なリスクの評価と管理におけるマネジメントの役割と専門知識について説明するよう登録者に要求する。

  • Form 6-Kは、外国の非公開発行体が外国の司法管轄区において公表した、または公表が要求された、あるいはその他の方法で開示した重要なサイバーセキュリティインシデントに関する情報を、証券取引所または証券保有者に提供することを要求するために修正される。Form 20-Fは、外国私募発行体に対し、新しいレギュレーションS-Kの Item 106で要求されているのと同等の定期的な開示を行うことを要求するよう修正される。

 

U.S. Securities Exchange Commission: SEC

・2023.07.26 SEC Adopts Rules on Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure by Public Companies

SEC Adopts Rules on Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure by Public Companies SEC、上場企業によるサイバーセキュリティリスクマネジメント、戦略、ガバナンス、インシデント開示に関する規則を採択
FOR IMMEDIATE RELEASE 2023-139 即時発行 2023-139
Washington D.C., July 26, 2023 — ワシントンD.C.、2023年7月26日
The Securities and Exchange Commission today adopted rules requiring registrants to disclose material cybersecurity incidents they experience and to disclose on an annual basis material information regarding their cybersecurity risk management, strategy, and governance. The Commission also adopted rules requiring foreign private issuers to make comparable disclosures. 米国証券取引委員会(SEC)は本日、サイバーセキュリティに関する重大なインシデントを経験した場合、それを開示し、サイバーセキュリティのリスクマネジメント戦略、ガバナンスに関する重要な情報を年次で開示することを登録企業に義務付ける規則を採択した。同委員会はまた、外国の非公開発行体にも同等の開示を義務付ける規則も採択した。
“Whether a company loses a factory in a fire — or millions of files in a cybersecurity incident — it may be material to investors,” said SEC Chair Gary Gensler. “Currently, many public companies provide cybersecurity disclosure to investors. I think companies and investors alike, however, would benefit if this disclosure were made in a more consistent, comparable, and decision-useful way. Through helping to ensure that companies disclose material cybersecurity information, today’s rules will benefit investors, companies, and the markets connecting them.” SECのゲーリー・ゲンスラー委員長は、次のように述べた。「企業が火事で工場を失おうが、サイバーセキュリティ・インシデントで数百万件のファイルを失おうが、それは投資家にとって重要なことかもしれない。現在、多くの上場企業がサイバーセキュリティに関する開示を投資家に提供している。しかし、この開示がより一貫性があり、比較可能で、意思決定に有用な方法で行われれば、企業も投資家も恩恵を受けると思う。企業がサイバーセキュリティに関する重要な情報を確実に開示することを支援することで、本日の規則は投資家、企業、そしてそれらをつなぐ市場に利益をもたらすだろう。」
The new rules will require registrants to disclose on the new Item 1.05 of Form 8-K any cybersecurity incident they determine to be material and to describe the material aspects of the incident's nature, scope, and timing, as well as its material impact or reasonably likely material impact on the registrant. An Item 1.05 Form 8-K will generally be due four business days after a registrant determines that a cybersecurity incident is material. The disclosure may be delayed if the United States Attorney General determines that immediate disclosure would pose a substantial risk to national security or public safety and notifies the Commission of such determination in writing. 新規則により、登録企業は、重要であると判断したサイバーセキュリティインシデントをForm 8-Kの新しいItem1.05に開示し、インシデントの性質、範囲、時期、および登録企業に対する重要な影響または合理的に起こりうる重要な影響の重要な側面を説明することが義務付けられる。Item1.05 Form 8-Kは通常、サイバーセキュリティインシデントが重要であると登録者が判断してから4営業日後に提出される。米国司法長官が、即時開示が国家安全保障または公共の安全に対する重大なリスクをもたらすと判断し、そのような判断を書面で委員会に通知した場合は、開示を延期することができる。
The new rules also add Regulation S-K Item 106, which will require registrants to describe their processes, if any, for assessing, identifying, and managing material risks from cybersecurity threats, as well as the material effects or reasonably likely material effects of risks from cybersecurity threats and previous cybersecurity incidents. Item 106 will also require registrants to describe the board of directors’ oversight of risks from cybersecurity threats and management’s role and expertise in assessing and managing material risks from cybersecurity threats. These disclosures will be required in a registrant's annual report on Form 10-K. この新しい規則はまた、Regulation S-K Item 106を追加し、サイバーセキュリティの脅威による重大なリスク、サイバーセキュリティの脅威および過去のサイバーセキュリティインシデントによるリスクの重大な影響または合理的に起こりうる重大な影響を評価、特定、管理するためのプロセスがある場合は、そのプロセスを説明することを登録者に義務付ける。また、Item 106では、サイバーセキュリティの脅威によるリスクに対する取締役会の監督、サイバーセキュリティの脅威による重大なリスクの評価と管理におけるマネジメントの役割と専門知識についても説明することが求められる。これらの開示は、登録者の年次報告書(Form 10-K)において要求される。
The rules require comparable disclosures by foreign private issuers on Form 6-K for material cybersecurity incidents and on Form 20-F for cybersecurity risk management, strategy, and governance. 同規則は、外国私募発行体に対して、重要なサイバーセキュリティインシデントについてはForm 6-Kで、サイバーセキュリティリスクマネジメント、戦略、ガバナンスについてはForm 20-Fで、同等の開示を要求している。
The final rules will become effective 30 days following publication of the adopting release in the Federal Register. The Form 10-K and Form 20-F disclosures will be due beginning with annual reports for fiscal years ending on or after December 15, 2023. The Form 8-K and Form 6-K disclosures will be due beginning the later of 90 days after the date of publication in the Federal Register or December 18, 2023. Smaller reporting companies will have an additional 180 days before they must begin providing the Form 8-K disclosure. With respect to compliance with the structured data requirements, all registrants must tag disclosures required under the final rules in Inline XBRL beginning one year after initial compliance with the related disclosure requirement. 最終規則は、連邦官報に採択リリースが掲載されてから30日後に発効する。Form 10-KおよびForm 20-Fの開示は、2023年12月15日以降に終了する会計年度の年次報告書から開始される。Form 8-KおよびForm 6-Kの開示は、連邦官報に掲載された日から90日後、または2023年12月18日のいずれか遅い日から開始される。小規模報告会社は、Form 8-K開示のプロバイダを開始するまでにさらに180日の猶予が与えられる。構造化データ要求事項への準拠に関しては、すべての登録会社は、関連する開示要求事項への最初の準拠から1年後に、最終規則に基づき要求される開示をインラインXBRLでタグ付けしなければならない。

 

ファクトシート

・[PDF] Public Company Cybersecurity Disclosures; Final Rules

20230728-70104

FACT SHEET Public Company Cybersecurity Disclosures; Final Rules ファクトシート 公開企業のサイバーセキュリティ開示、最終規則
The Securities and Exchange Commission adopted final rules requiring disclosure of material cybersecurity incidents on Form 8-K and periodic disclosure of a registrant’s cybersecurity risk management, strategy, and governance in annual reports. 米国証券取引委員会は、重要なサイバーセキュリティインシデントのForm 8-Kでの開示と、年次報告書における登録企業のサイバーセキュリティリスクマネジメント、戦略、ガバナンスの定期的な開示を義務付ける最終規則を採択した。
Background 背景
In March 2022, the Commission proposed new rules, rule amendments, and form amendments to enhance and standardize disclosures regarding cybersecurity risk management, strategy, governance, and material cybersecurity incidents by public companies that are subject to the reporting requirements of the Securities Exchange Act of 1934. The Commission observed that cybersecurity threats and incidents pose an ongoing and escalating risk to public companies, investors, and market participants. It noted that cybersecurity risks have increased alongside the digitalization of registrants’ operations, the growth of remote work, the ability of criminals to monetize cybersecurity incidents, the use of digital payments, and the increasing reliance on third party service providers for information technology services, including cloud computing technology. The Commission also observed that the cost to companies and their investors of cybersecurity incidents is rising and doing so at an increasing rate. All of these trends underscored the need for improved disclosure 2022年3月、委員会は、1934年証券取引法の報告義務の対象となる公開企業によるサイバーセキュリティのリスクマネジメント、戦略、ガバナンス、重要なサイバーセキュリティインシデントに関する開示を強化し標準化するための新規則、規則改正、書式改正を提案した。委員会は、サイバーセキュリティの脅威やインシデントが、公開企業、投資家、市場参加者に継続的かつ深刻化するリスクをもたらしていると指摘した。同委員会は、登録企業の業務のデジタル化、リモートワークの増加、サイバーセキュリティ・インシデントを収益化する犯罪者の能力、デジタル決済の使用、クラウドコンピューティング技術を含む情報技術サービスにおけるサードパーティ・サービス・プロバイダーへの依存の高まりに伴い、サイバーセキュリティ・リスクが増大していると指摘した。委員会はまた、サイバーセキュリティのインシデントが企業やその投資家に与えるコストは増加傾向にあり、その割合も増加していると指摘した。これらの傾向はすべて、情報開示の改善の必要性を強調している。
The proposal followed on interpretive guidance issued by Commission staff in 2011 and by the Commission in 2018 on the application of existing disclosure requirements to cybersecurity risk and incidents. Although registrants’ disclosures of material cybersecurity incidents and cybersecurity risk management and governance have improved since the 2011 and 2018 guidance, disclosure practices are inconsistent, necessitating new rules. The proposal was intended to result in consistent, comparable, and decision-useful disclosures that would allow investors to evaluate registrants’ exposure to material cybersecurity risks and incidents as well as registrants’ ability to manage and mitigate those risks. この提案は、2011年に委員会のスタッフが発表し、2018年に委員会がサイバーセキュリティのリスクとインシデントに対する既存の開示要件の適用について発表した解釈指針を踏襲したものである。2011年と2018年のガイダンス以降、登録者による重要なサイバーセキュリティインシデントとサイバーセキュリティリスクマネジメントおよびガバナンスの開示は改善されたが、開示実務には一貫性がないため、新たな規則が必要となった。この提案は、投資家が登録者の重要なサイバーセキュリティリスクとインシデントへのエクスポージャー、およびそれらのリスクを管理・軽減する登録者の能力を評価できるように、一貫性があり、比較可能で、意思決定に有用な開示をもたらすことを意図している。
What’s Required 要求事項
 New Form 8-K Item 1.05 will require registrants to disclose any cybersecurity incident they determine to be material and describe the material aspects of the nature, scope, and timing of the incident, as well as the material impact or reasonably likely material impact of the incident on the registrant, including its financial condition and results of operations.  新しいForm 8-K Item 1.05では、登録者は、重要であると判断したサイバーセキュリティインシデントを開示し、インシデントの性質、範囲、タイミング、および財務状況や経営成績を含む登録者に対するインシデントの重要な影響または合理的に起こりうる重要な影響を重要な側面から説明することが求められる。
Registrants must determine the materiality of an incident without unreasonable delay following discovery and, if the incident is determined material, file an Item 1.05 Form 8-K generally within four business days of such determination. The disclosure may be delayed if the United States Attorney General determines that immediate disclosure would pose a substantial risk to national security or public safety and notifies the Commission of such determination in writing. If the Attorney General indicates that further delay is necessary, the Commission will consider additional requests for delay and may grant such relief through possible exemptive orders. 登録者は、インシデントの発見後、不合理な遅延なくインシデントの重要性を判断し、インシデントが重要であると判断された場合、その判断から通常4営業日以内に Item 1.05 Form 8-Kを提出しなければならない。米国司法長官が、即時開示が国家安全保障または公共の安全に対する重大なリスクをもたらすと判断し、そのような判断を書面で委員会に通知した場合は、開示を延期することができる。司法長官がさらなる遅延が必要であると示した場合、委員会は遅延の追加要請を検討し、可能な免除命令によってそのような救済を認めることができる。
New Regulation S-K Item 106 will require registrants to describe their processes, if any, for assessing, identifying, and managing material risks from cybersecurity threats, as well as whether any risks from cybersecurity threats, including as a result of any previous cybersecurity incidents, have materially affected or are reasonably likely to materially affect the registrant. Item 106 will also require registrants to describe the board of directors’ oversight of risks from cybersecurity threats and management’s role and expertise in assessing and managing material risks from cybersecurity threats. 新しいRegulation S-K第106号は、サイバーセキュリティの脅威による重大なリスクをアセスメント、識別、マネジメントするためのプロセスがある場合はそのプロセスを説明すること、また、過去のサイバーセキュリティインシデントの結果など、サイバーセキュリティの脅威によるリスクが登録者に重大な影響を及ぼしたか、または及ぼす可能性があるかどうかを説明することを登録者に義務付ける。Item 106はまた、サイバーセキュリティの脅威によるリスクに対する取締役会の監督、およびサイバーセキュリティの脅威による重大なリスクの評価と管理におけるマネジメントの役割と専門知識について説明するよう登録者に要求する。
Form 6-K will be amended to require foreign private issuers to furnish information on material cybersecurity incidents that they make or are required to make public or otherwise disclose in a foreign jurisdiction to any stock exchange or to security holders. Form 20-F will be amended to require that foreign private issuers make periodic disclosure comparable to that required in new Regulation S-K Item 106. Form 6-Kは、外国の非公開発行体が外国の司法管轄区において公表した、または公表が要求された、あるいはその他の方法で開示した重要なサイバーセキュリティインシデントに関する情報を、証券取引所または証券保有者に提供することを要求するために修正される。Form 20-Fは、外国私募発行体に対し、新しいRegulation S-Kの Item 106で要求されているのと同等の定期的な開示を行うことを要求するよう修正される。
What’s Next 今後の予定
The final rules will become effective 30 days following publication of the adopting release in the Federal Register. With respect to Regulation S-K Item 106 and the comparable requirements in Form 20-F, all registrants must provide such disclosures beginning with annual reports for fiscal years ending on or after December 15, 2023. With respect to compliance with the incident disclosure requirements in Form 8-K Item 1.05 and in Form 6- K, all registrants other than smaller reporting companies must begin complying on the later of 90 days after the date of publication in the Federal Register or December 18, 2023. Smaller reporting companies will have an additional 180 days and must begin complying with Form 8-K Item 1.05 on the later of 270 days from the effective date of the rules or June 15, 2024. With respect to compliance with the structured data requirements, all registrants must tag disclosures required under the final rules in Inline XBRL beginning one year after initial compliance with the related disclosure requirement. 最終規則は、連邦官報に採択リリースが掲載されてから30日後に発効する。レギュレーションS-K Item106およびフォーム20-Fにおける同等の要求事項に関しては、すべての登録者は、2023年12月15日以降に終了する会計年度の年次報告書からそのような開示を提供しなければならない。Form 8-K Item 1.05およびForm 6-Kにおけるインシデント開示要件の遵守に関しては、小規模報告会社を除くすべての登録会社は、連邦官報公告日から90日後または2023年12月18日のいずれか遅い日から遵守を開始しなければならない。小規模報告会社にはさらに180日の猶予が与えられ、規則発効日から270日または2024年6月15日のいずれか遅い日にForm 8-K Item 1.05への準拠を開始しなければならない。構造化データ要件への準拠に関しては、すべての登録企業は、関連する開示要件に最初に準拠した1年後から、最終規則に基づき要求される開示をインラインXBRLでタグ付けしなければならない。

 

最終規則

・[PDF] SECURITIES AND EXCHANGE COMMISSION, 17 CFR Parts 229, 232, 239, 240, and 249 [Release Nos. 33-11216; 34-97989; File No. S7-09-22] RIN 3235-AM89 Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure

20230728-70058

・[DOCX] 仮訳

 


 

米国商工会議所は情報漏洩の懸念を表明していますね。。。

 

U.S. Chamber of Commerce Foundation - YouTube

・2023.07.27 U.S. Chamber Raises Concern with Impact, Overreach of New SEC Cybersecurity Rule

U.S. Chamber Raises Concern with Impact, Overreach of New SEC Cybersecurity Rule 米商工会議所、SECサイバーセキュリティ新規則の影響と行き過ぎに懸念を表明
WASHINGTON, D.C. – Christopher Roberti, U.S. Chamber senior vice president for Cyber, Space, and National Security Policy, issued the following statement today regarding the Securities and Exchange Commission adopting rules on cybersecurity risk management, strategy, governance, and incident disclosure by public companies. ワシントンD.C.-米国商工会議所のクリストファー・ロベリ上級副会頭(サイバー・宇宙・国家安全保障政策担当)は本日、証券取引委員会が公開企業によるサイバーセキュリティのリスクマネジメント、戦略、ガバナンス、インシデント開示に関する規則を採択したことについて、以下の声明を発表した。
“The Cyber Incident Reporting for Critical Infrastructure Act of 2022 made it clear that cyber incident reporting to government should occur confidentially and in a protected manner. Yesterday, however, the Securities and Exchange Commission (SEC) finalized a rule that sharply diverges from that mandate and the President’s National Cybersecurity Strategy, jeopardizing a needed confidential reporting strategy and harming cyber incident victims before they can remediate incidents. 「2022年重要インフラ向けサイバーインシデント報告法は、政府へのサイバーインシデント報告は秘密裏に、かつ保護された形で行われるべきであると明確にした。しかし昨日、証券取引委員会(SEC)は、この義務や大統領の国家サイバーセキュリティ戦略から大きく乖離する規則を最終決定し、必要とされる秘密報告戦略を危うくし、インシデントを改善する前にサイバーインシデント被害者に損害を与えることになる。
“The U.S. Chamber has long advocated for a cohesive, aligned, and protected regulatory framework for cyber risk management and continues to have grave concerns about the potential impact of the rule as finalized by the SEC. The Chamber will continue to carefully evaluate the impact of this rule and our options going forward." 「米国商工会議所は、サイバーリスクマネジメントのためのまとまりのある、整合のとれた、保護された規制の枠組みを長年提唱してきたが、SECが最終決定した規則の潜在的な影響について重大な懸念を持ち続けている。米国商工会議所は、この規則の影響と今後の選択肢を慎重に評価し続ける。

 

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

これが、案をだしている段階...

・2022.03.11 米国 SEC 公開企業によるサイバーセキュリティのリスク管理、戦略、ガバナンス、インシデントの開示に関する規則案

その他...

・2020.11.07 民間刑務所施設、更生施設を経営している米国 GEO Groupがランサムウェアの攻撃を受けてForm 8-Kを提出していますね

・2020.07.11 US-GAOの報告書 サイバーセキュリティに関する10-Kの開示は一般的な内容が多くあまり参考にならないので追加の開示を希望している by 年金基金代表者

| | Comments (0)

2023.07.27

米国 GAO 連邦情報システム統制監査マニュアル(FISCAM)2023年公開草案

こんにちは、丸山満彦です。

米国のGAOが連邦情報システム統制監査マニュアル(FISCAM)2023年公開草案を公表し、意見募集をしていますね。。。

基本は政府監査基準にもとづいてつくっているので、公認会計士の監査に近い概念でマニュアルが作られています。そういう意味では、SOXに馴染みがある方には理解がしやすいと思います。

ただ、400ページ以上もありますので、読むのは大変だと思います。。。が、実はNISCが立ち上がる時に政府統一基準に基づいた監査を考える際に、当時のものを読みました。。。しかしながら、レベエルが高すぎるので、採用は諦めました。。。あれから20年たっているので、そろそろ日本の会計検査院、NISCでも、このくらいのレベルの監査ができるようになっていると期待しています(^^)

 

⚫︎ U.S. GAO

・2023.07.20 Federal Information System Controls Audit Manual (FISCAM) 2023 Exposure Draft

 

Federal Information System Controls Audit Manual (FISCAM) 2023 Exposure Draft 連邦情報システム統制監査マニュアル(FISCAM)2023年公開草案
Fast Facts 概要
We are proposing to update our Federal Information System Controls Audit Manual (FISCAM). This update reflects changes in auditing standards, guidance, control criteria, and technology. 連邦情報システム管理監査マニュアル(FISCAM)の更新を提案する。この更新は、監査標準、ガイダンス、統制基準、技術の変化を反映したものである。
We are seeking public comment on the update. Please send written comments using our fillable form to FISCAM@gao.gov no later than Oct. 18, 2023. この更新に関するパブリック・コメントを求めている。2023年10月18日必着で、FISCAM@gao.gov 宛てに、記入可能な書式を用いて書面にてご意見をお寄せいただきたい。
Information in computer systems is essential to practically every aspect of government operations. FISCAM guides auditors in using government standards to evaluate the effectiveness of controls over these systems. Effective controls can help safeguard data, prevent the disruption of government services, and much more. コンピュータシステム内の情報は、実質的に政府運営のあらゆる側面に不可欠である。FISCAMは、監査人が政府標準を使用してこれらのシステムに対するコントロールの有効性を評価する際の指針となっている。効果的なガバナンスは、データを保護し、政府サービスの中断を防ぐなど、多くのことに役立つ。
Highlights ハイライト
GAO invites comments on the proposed changes to the Federal Information System Controls Audit Manual (FISCAM). The FISCAM 2023 exposure draft updates FISCAM to (1) address responses received through focus groups and interviews with internal and external officials, stakeholders, and users and (2) reflect changes in relevant auditing standards, guidance, control criteria, and technology since the last revision. GAOは連邦情報システム統制監査マニュアル(FISCAM)の変更案についてコメントを募集している。FISCAM 2023公開ドラフトは、(1)フォーカス・グループや内外関係者、利害関係者、利用者へのインタビューを通じて得られた回答に対応し、(2)前回改訂以降の関連する監査標準、ガイダンス、管理基準、技術の変化を反映するために、FISCAMを更新するものである。
The FISCAM 2023 exposure draft proposes four sections that include new and existing content from chapters 1 and 2 of extant FISCAM. Section 100, Introduction, provides an overview of the FISCAM methodology. Section 200, Planning Phase, includes auditor requirements, guidance, and procedures for planning an information system (IS) controls assessment, including identifying relevant IS control objectives. Section 300, Testing Phase, includes auditor requirements, guidance, and procedures for identifying IS controls for testing and determining the nature, extent, and timing of IS control tests. Section 400, Reporting Phase, includes auditor requirements and guidance for communicating the results of the IS controls assessment. FISCAM 2023の公開草案では、現行FISCAMの第1章と第2章に含まれる新内容と既存内容を含む4つのセクションが提案されている。セクション100「序文」は、FISCAMの手法の概要を提供している。セクション200「計画フェーズ」では、関連するIS統制の目的の識別を含む、情報システム(IS)統制の評価を計画するための監査人の要求事項、ガイダンス及び手順を記載している。セクション300「テストフェーズ」には、テストするIS統制を識別し、IS統制テストの性質、範囲及び時期を決定するための監査人の要求事項、指針及び手順が含まれる。セックション400「報告フェーズ」には、IS統制アセスメントの結果をコミュニケーションするための監査人の要求事項及びガイダンスが含まれる。
The FISCAM 2023 exposure draft proposes the following three appendixes included as section 500: FISCAM2023のエクスポージャーでは、セクション500として以下の3つの附属書が提案されている:
Appendix 500A, FISCAM Glossary, updates extant FISCAM appendix XI, Glossary. 附属書 500A「FISCAM用語集」は、現行のFISCAM附属書XI「用語集」を更新するものである。
Appendix 500B, FISCAM Framework, updates the tables containing critical elements, control activities, control techniques, and suggested audit procedures from extant FISCAM chapters 3 and 4. 附属書 500B「FISCAM フレームワーク」は、現行の FISCAM 第 3 章及び第 4 章の重要な要素、管理活動、管理技法、及び推奨される監査手続を含む表を更新するものである。
Appendix 500C, FISCAM Assessment Completion Checklist, provides new content that assists auditors with determining whether the FISCAM methodology was followed. 附属書 500C「FISCAM評価完了チェックリスト」は、監査人がFISCAMの手法に従ったか否かを判断する際に役立つ新しい内容を提供している。
A summary of major proposed changes is included in enclosure I of the FISCAM 2023 exposure draft. 主な変更案の概要は、FISCAM 2023年版公開草案の附属書Ⅰに記載されている。

 

・[PDF]

20230727-114504

 

目次...

100 INTRODUCTION1  はじめに
110 Purpose and Applicability  目的と適用性
120 IS Control Concepts  IS統制の概念
130 Overview of the FISCAM Methodology  FISCAM手法の概要
140 Applicable Auditing and Attestation Standards and Requirements  適用される監査及び認証の標準と要求事項
150 Applicable Criteria  適用基準
160 Overview of the FISCAM Framework  FISCAMフレームワークの概要
200 Planning Phase  計画フェーズ
210 Overview of the Planning Phase  計画フェーズの概要
220 Perform Preliminary Engagement Activities  予備的な監査活動の実施
230 Understand the Entity’s Operations, and Identify and Understand Significant Business Processes  事業体の業務を理解し、重要なビジネスプロセスを識別・理解する
240 Identify Areas of Audit Interest and Understand Business Process Controls  監査対象領域を識別し、ビジネスプロセス統制を理解する
250 Understand the Entity’s Information Security Management Program  事業体の情報セキュリティ管理プログラムを理解する
260 Assess IS Risk on a Preliminary Basis  IS のリスクを予備的にアセスメントする
270 Identify Relevant General Control Objectives and Determine Likelihood of Effective General Controls  関連する全般統制目標を識別し、全般統制が有効である可能性を判断する
280 Prepare Planning Phase Documentation  計画フェーズの文書を作成する
300 Testing Phase  テストフェーズ
310 Overview of the Testing Phase  テストフェーズの概要
320 Select IS Control Activities for Testing  テスト対象のIS統制活動を選択する
330 Determine the Nature, Extent, and Timing of IS Control Tests  IS統制テストの性質、範囲、タイミングを決定する
340 Perform IS Control Tests and Evaluate the Results, Including the Significance of IS Control Deficiencies  IS統制テストを実施し、IS統制の不備の重大性を含む結果を評価する
350 Prepare Testing Phase Documentation  テストフェーズの文書作成
400 Reporting Phase  報告フェーズ
410 Overview of the Reporting Phase  報告フェーズの概要
420 Determine Compliance with FISCAM  FISCAMへの準拠の判断
430 Draft Report  ドラフト報告書
440 Prepare Reporting Phase Documentation  報告フェーズ文書の作成
500 ANNEX 附属書
500A  FISCAM Glossary  FISCAM用語集
500B  FISCAM Framework  FISCAMフレームワーク
500C  FISCAM Assessment Completion Checklist  FISCAM評価完了チェックリスト

 

Continue reading "米国 GAO 連邦情報システム統制監査マニュアル(FISCAM)2023年公開草案"

| | Comments (0)

ビッグモーター 特別調査委員会 調査報告書

こんにちは、丸山満彦です。

ビッグモーターの保険金不正請求問題の件は、大きく取り上げられていますが、創業者による非上場企業で急拡大したような企業では、起こりやすい問題だろうと思います。

組織が大きくなると、経営トップも日々、数字に追われるようになり、人の顔が見えなくなってきますからね。。。いつのまにか、経営者の周りの人が、限られた人だけになっていく。。。そして、虎の威を借る狐ではないですが、その限られた周りの人がゲートキーパーになって、社長に本当の情報をあげなくなっていきます。自分も叱責されたくないし。。。そして、もう一つ、親も子供には甘くなりがち...

そして、経営トップはいつの間にか引き返せないところに立っている。。。

創業者の場合、会社というのは我が子のような気持ちになり、とても強い愛着があることが多いと思います。良い子に育ってほしいと思っている場合がほとんどだろうと思います。

経営が拡大していくどこかのタイミングで、適切な真の伴走者がつくことができていたら、ちがった結果になっていたかもしれませんね。。。(上場を考えると、ガバナンスとか内部統制を考えるようになるので、こういう事案は減る(ゼロにはならないけど...)ので、上場をするというのも一つの考え方かもしれません。。。)

過去に不祥事対応の業務をしたことが幾度かありますが、(すべて上場企業であったからかもしれませんが)心底の悪党という感じの人はいませんからね。。。それなりの規模になっているということは、それなりの経営手腕があり、それなりの人間的魅力というのもあるということでしょうから。。。

ただ、会社の風土をつくるのは、経営トップということは間違いない。。。(これは、過去の経験から強くそう思っています)。ある意味真面目で自分に厳しい(厳しかった)経営者だからこそ、こういう事件を起こす会社にしてしまうケースもありますね。。。目標必達、間違いは許せない。。。といった企業風土を作ってしまい、目標を達成したことにする、間違っていなかったことにするために、(言葉ではいってなかったが当たり前の)コンプライアンス意識が弱まり、法令違反等をしてしてしまう。。。

でも、だからこそ、経営者がちゃんと正しい報告になるような企業風土に作り替えようとすれば、かならず良い会社になれるとも言えます。(もちろん、今回の件については、何も知らないので、なんともわかりませんが...)

たくさんの顧客、取引先、従業員等の方がおられますし、誠実で、信頼される企業として再出発できると良いですね。。。

今回の件で、会社が本当に変われれば、良い会社になれると思います。どこまで本気でやれるかですね。。。

 

ビッグモーター

・2023.07.18 当社板金部門における不適切な請求問題に関するお詫びとご報告 

・[DOCX] copyed

 

・[PDF] 調査報告書  [downloaded]

20230727-51843

 

 

記者会見

https://abema.tv/video/episode/89-93_s10_p24674

20230727-53411

 

YouTube

これが全体をとっていますかね。。。

・2025.07.25ビッグモーターが会見】兼重宏行社長と兼重宏一副社長の辞任を発表

20230727-60114

 

ANNnewsCH 

・2025.07.25 ビッグモーター元従業員が怒り「経営陣知らないのあり得ない」 社長が辞任表明(2023年7月25日)

 

 


| | Comments (0)

サイバー攻撃を受けた時、国は誰にエスカレーションする? NATO CCDCOE エスカレーション・ロードマップ 分析ペーパー

こんにちは、丸山満彦です。

サイバー攻撃を受けた場合、その攻撃に対してどのように対応すべきか... 

国からの攻撃か?民間の攻撃か?

武力攻撃のレベルに達しているか?

どのように判断する?

アクティブサイバーディフェンス等の議論をする前の前提の話かもしれませんが、参考まで...

 

NATO CCDCOE

・2023.07 Escalation Roadmap: An analysis paper

Escalation Roadmap: An analysis paper エスカレーション・ロードマップ 分析ペーパー
Discussing the stability of cyberspace to ensure a stable and peaceful cyberspace is an important but leaves open the question of what action nations should take if things go wrong, what cyber activities would constitute a crisis and when nations should inform and involve the United Nations (UN). This analysis tries to create an escalation roadmap that can be used to decide if a malicious cyber activity or attack should lead to the involvement of the UN, European Union (EU) or the North Atlantic Treaty Organization (NATO). サイバースペースの安定と平和を確保するために、サイバースペースの安定について議論することは重要であるが、物事がうまくいかなくなった場合、各国がどのような行動を取るべきか、どのようなサイバー活動が危機を構成するのか、どのような場合に各国が国連(UN)に通知し、関与すべきかという疑問が残る。この分析では、悪意のあるサイバー活動や攻撃が国連、欧州連合(EU)、北大西洋条約機構(NATO)の関与につながるべきかどうかを判断するために使用できるエスカレーション・ロードマップを作成しようとするものである。

 

・[PDF]

20230726-200056

・[DOCX] 仮訳

 

1_20230727034501

 

 

 

| | Comments (0)

2023.07.26

Europol インターネット組織犯罪評価(IOCTA)2023 (2023.07.19)

こんにちは、丸山満彦です。

Europolが、インターネット組織犯罪評価(IOCTA)2023という報告書を公表しています。

「過去2年間のサイバー犯罪についての振り返りです。。。

この後、この報告書のトピックごとのより詳細な報告書となる「サイバー攻撃:サービスとしての犯罪の頂点(IOCTA 2023)」、「オンライン詐欺に関するスポットライト・レポート(IOCTA 2023)」、「児童の性的搾取に関するスポットライト・レポート(IOCTA 2023)」と3つの報告書も公表されるようですね。。。


Europol

・2023.07.19 Internet Organised Crime Assessment (IOCTA) 2023

Internet Organised Crime Assessment (IOCTA) 2023 インターネット組織犯罪評価(IOCTA)2023
Cybercrime, in its various forms, represents an increasing threat to the EU. Cyber-attacks, online child sexual exploitation, and online frauds are highly complex crimes and manifest in diverse typologies. Meanwhile the perpetrators behind these crimes are becoming increasingly agile, exploiting new situations created by geopolitical and technological changes.  サイバー犯罪は、さまざまな形で、EUにとって増大する脅威の代表者となっている。サイバー攻撃、オンラインでの児童の性的搾取、オンライン詐欺は、非常に複雑な犯罪であり、多様な類型で現れている。一方、これらの犯罪の背後にいる加害者は、地政学的・技術的変化によって生まれた新たな状況を利用し、ますます機敏になっている。 
The Internet Organised Crime Assessment (IOCTA) is Europol’s assessment of the cybercrime landscape and how it has changed over the last 24 months.  インターネット組織犯罪アセスメント(IOCTA)は、欧州刑事警察機構によるサイバー犯罪の状況の評価であり、過去24ヶ月間にどのように変化したかを示すものである。 
Accompanying this report will be a series of spotlight reports released later this year, each of which examines a specific crime area relating to cybercrime. この報告書に付随して、今年後半に発表される一連のスポットライト・レポートは、それぞれサイバー犯罪に関連する特定の犯罪分野を検証するものである。

 

・[PDF]

20230726-63416

 


 

今年の後半?に発行されるのは...

 

Cyber-attacks: the apex of crime-as-a-service (IOCTA 2023)

Cyber-attacks: the apex of crime-as-a-service (IOCTA 2023) サイバー攻撃:サービスとしての犯罪の頂点(IOCTA 2023)
Following the publication of the IOCTA 2023, Europol will release a series of spotlight reports that take a closer look at emerging trends in a specific area of cybercrime. The first module, ‘Cyber-attacks: the apex of crime-as-a-service’, examines the developments in cyber-attacks, discussing new methodologies and threats as observed by Europol’s operational analysts. It also outlines the types of criminal structures that are behind cyber-attacks, and how these increasingly professionalised groups are exploiting changes in geopolitics as part of their methodologies. 欧州刑事警察機構は、IOCTA2023の発行に続き、サイバー犯罪の特定分野における新たな傾向を詳しく取り上げた一連のスポットライト・レポートを発表する。最初のモジュールである「サイバー攻撃:サービスとしての犯罪の頂点」は、欧州刑事警察機構のオペレーション・アナリストが観察した新たな手法や脅威を取り上げながら、サイバー攻撃の進展について考察している。また、サイバー攻撃の背後にある犯罪構造の種類や、専門化が進むこれらのグループがその手法の一部として地政学の変化をどのように利用しているかについても概説している。

cyber.jpg

 


 

 

Spotlight report on online fraud (IOCTA 2023)

Spotlight report on online fraud (IOCTA 2023) オンライン詐欺に関するスポットライト・レポート(IOCTA 2023)
Following the publication of the IOCTA 2023, Europol will release a series of spotlight reports that take a closer look at emerging trends in a specific area of cybercrime.  欧州刑事警察機構は、IOCTA2023の発行に続き、サイバー犯罪の特定分野における新たな傾向を詳しく取り上げた一連のスポットライト・レポートを発表する。 
This spotlight report assesses developments in online frauds and the criminal networks that operate them. It includes operational highlights that evidence how law enforcement responds to the threat, and highlights some of the new modi operandi that Europol analysts and EU Member State police forces have uncovered in the last 24 months. 今回のスポットライト・レポートでは、オンライン詐欺とそれを運営する犯罪ネットワークの動向を評価する。また、欧州刑事警察機構(Europol)のアナリストとEU加盟国の警察当局が過去24カ月間に発見した新たな手口を紹介する。

 

Artboard 2.png

 


 

Spotlight report on child sexual exploitation (IOCTA 2023)

Spotlight report on child sexual exploitation (IOCTA 2023) 児童の性的搾取に関するスポットライト・レポート(IOCTA 2023)
Following the publication of the IOCTA 2023, Europol will release a series of spotlight reports that take a closer look at emerging trends in a specific area of cybercrime.  欧州刑事警察機構は、IOCTA 2023の発行に続き、サイバー犯罪の特定分野における新たな傾向を詳しく取り上げた一連のスポットライト・レポートを発表する。 
This spotlight report assesses the threat of online child abuse and child sexual exploitation. As a growing and persistent global problem, this crime area is a priority for police forces both inside and outside Europe. This module of the IOCTA 2023 explains how criminals are operating in this crime area, and what trends have emerged over the last 24 months.   今回のスポットライト・レポートでは、オンライン児童虐待と児童の性的搾取の脅威を評価する。世界的に拡大し、根強く残る問題として、この犯罪分野は欧州内外の警察にとって優先事項となっている。IOCTA 2023のこのモジュールでは、この犯罪分野で犯罪者がどのように活動しているのか、また過去24カ月間にどのような傾向が現れたのかを説明している。 

 

Artboard 1.png

 

 

 

Continue reading "Europol インターネット組織犯罪評価(IOCTA)2023 (2023.07.19)"

| | Comments (0)

CSA ゼロトラスト指針原則 (2023.07.18)

こんにちは、丸山満彦です。

CSAがゼロトラスト指針原則が公表されていますね。。。

実装上のTipsという感じでしょうかね。。。参考になることが多いですね。。。

 

⚫︎Cloud Security Alliance

・2023.07.18 Zero Trust Guiding Principles

 

Zero Trust Guiding Principles ゼロトラスト指針原則
Zero Trust is a strategic mindset that is highly useful for organizations to adopt as part of their digital transformations and other efforts to increase security and resilience. However, despite being based on long-standing principles, Zero Trust is easily misunderstood and over-complicated due to conflicting messaging within the security industry and a lack of established Zero Trust standards. When properly understood, Zero Trust philosophy and strategy are valuable tools that organizations can use to enhance security, increase resilience, and guide digital transformation. ゼロトラストは、セキュリティとレジリエンスを高めるためのデジタル変革やその他の取り組みの一環として、組織が採用するのに非常に有用な戦略的考え方である。しかし、ゼロトラストは、長年の原則に基づいているにもかかわらず、セキュリティ業界内でのメッセージの対立や、確立されたゼロトラスト標準の欠如のために、誤解されやすく、複雑になりすぎている。ゼロ・トラストの理念と戦略は、正しく理解されれば、組織がセキュリティを強化し、レジリエンスを向上させ、デジタルトランスフォーメーションを導くために利用できる貴重なツールとなる。
This document provides a clear understanding of what Zero Trust security is and the guiding principles that any organization can leverage when planning, implementing, and operating Zero Trust. These best practices remain consistent across all Zero Trust pillars, use cases, environments, and products. As expertise and industry knowledge mature, additional authoritative references such as guidance, policies, and legislation may be added. 本書は、ゼロ・トラスト・セキュリティとは何かを明確に理解し、ゼロ・トラストを計画、実装、運用する際にあらゆる組織が活用できる指針となる原則を提供する。これらのベストプラクティスは、すべてのゼロトラストの柱、ユースケース、環境、製品で一貫している。専門知識と業界の知識が成熟するにつれて、ガイダンス、ポリシー、法律などの権威ある参考資料が追加される可能性がある。
Principles Covered: 対象となる原則
・Begin with the end in mind ・終わりを念頭に置いて始める
・Do not overcomplicate ・複雑にしすぎない
・Products are not the priority ・製品が最優先ではない
・Access is a deliberate act ・アクセスは意図的な行為である
・Inside out, not outside in  ・インサイド・アウトであり、アウトサイド・インではない 
・Breaches happen ・違反は起こる
・Understand your risk appetite ・リスク選好度を理解する
・Ensure the tone from the top ・トップからの指示を徹底する
・Instill a Zero Trust culture ・ゼロ・トラスト文化を浸透させる
・Start small and focus on quick wins ・小さく始め、迅速な勝利に集中する
・Continuously monitor ・継続的に監視する

 

本文

・[PDF]

20230721-63646

 

プレゼンテーション

・[PDF]

20230721-64252

 

 

 

| | Comments (0)

2023.07.25

CSA ID およびアクセス管理(IAM)のためのゼロトラストの原則とガイダンス (2023.07.13)

こんにちは、丸山満彦です。

CSAが、ID およびアクセス管理(IAM)のためのゼロトラストの原則とガイダンスを公表していますね。。。

 

⚫︎Cloud Security Alliance

・2023.07.13 Zero Trust Principles and Guidance for Identity and Access Management (IAM)

Zero Trust Principles and Guidance for Identity and Access Management (IAM) ID およびアクセス管理(IAM)のためのゼロトラストの原則とガイダンス
dentity and the ability to consume information about that identity as well as other Zero Trust (ZT) signals (additional attributes about an identity), is one of the key principles of zero trust architecture. A ZT approach aims to reduce the success of cyber-attacks and data breaches through risk-based access requirements, that is, by requiring authentication and authorization prior to granting access to resources (data and/or systems). デンティティと、その ID に関する情報および他のゼロトラスト(ZT)シグナル(ID に関する追加属性)を消費する能力は、ゼロトラスト・アーキテクチャの主要原則の 1 つである。ZT アプローチは、リスクベースのアクセス要件、つまりリソース(データおよび/またはシス テム)へのアクセスを許可する前に本人認証と認可を要求することによって、サイバー攻撃とデー タ侵害の成功を減らすことを目的としている。
In order to meet this requirement, it is important to look at both existing and new identity, access management, and cloud solutions with a ZT lens. この要件を満たすには、既存および新規のアイデンティティ、アクセス管理、クラウド・ソリューションの両方をZTのレンズで見ることが重要である。
ZT is a technology-agnostic guidance framework to bring controls closer to the asset being protected (the protect surface). From an identity and access management perspective, this has the potential to significantly increase the richness of the risk-based decision about granting access and eliminate the granting of access based on the binary trust of a single access control method. ZTは技術にとらわれないガイダンスのフレームワークであり、制御を保護対象の資産(防御面)に近づけるものである。IDおよびアクセスマネジメントの観点からは、これはアクセス許可に関するリスクベースの判断の豊かさを大幅に向上させ、単一のアクセス制御方法の二元的な信頼に基づくアクセス許可を排除する可能性を秘めている。

 

・[PDF]

20230721-63632

 

目次...

Abstract 概要
Target Audience 対象読者
Zero Trust Background and Drivers ゼロ・トラストの背景と推進要因
ZT Implementation Methodology ZTの実施方法
Scope 適用範囲
Introduction 序文
Identification of Entities and Attributes. 事業体と属性の識別。
Identity Proofing and Validation: 身元確認と検証:
Signals for Decision. 意思決定のためのシグナル
Authorization Based on Policy. ポリシーに基づく認可。
Dealing with Failed Policy Decision. 失敗したポリシー決定への対処。
Business Value. ビジネス価値。
Conclusion. 結論。
References. 参考文献
Foundational References 基礎となる参考文献

 

 

・[PDF]

20230721-64244

 

 

 

 

 

 

| | Comments (0)

CSA クラウドの IAM とは何か? (2023.07.12)

こんにちは、丸山満彦です。

システムの管理の基礎として、ID管理、アクセス管理、資産管理がありますよね。。。

英語の第3文型ですよね、SVO、ID管理はSに関連する。アクセス管理はV、資産管理はOに関連してきますよね。。。クラウドになったら、何がかわって、何がかわらないのか、それが理解できれば、それほど難しくない。。。

 

⚫︎Cloud Security Alliance

・2023.07.12 What is IAM for the Cloud?

 

What is IAM for the Cloud? クラウドの IAM とは何か?
The purpose of this document is to provide an understanding of the challenges and considerations involved in managing Identity and Access Management (IAM) in the cloud, as well as the importance of IAM to an organization's overall security strategy. このドキュメントの目的は、クラウドにおけるアイデンティティとアクセス管理(IAM)の管理に関する課題と考慮事項、および組織の全体的なセキュリティ戦略における IAM の重要性を理解することである。
Traditionally, IAM was intended as a general purpose mechanism to restrict and control access to enterprise resources by granting permissions to users or groups or users. The goal was entitlement, not so much control, and access was based entirely on assertions of username and password, coupled with group membership or permissions directly assigned at the resource. This model later evolved to centralize IAM, and access decisions were concentrated centrally at an authority such as a service, server, or Identity infrastructure. The threat landscape has materially changed over the years, and today, IAM is a core component of any digital access model. It evolves to employ ever-increasing visibility, granularity, and control as the nature of users, resources, and systems change. 従来、IAMは、ユーザーまたはグループに権限を付与することで、エンタープライズ・リソースへのアクセスを制限および制御する汎用的なメカニズムとして意図されていた。目的は権限付与であり、制御ではなかった。アクセスは、ユーザ名とパスワードの主張と、グループ・メンバーシップまたはリソースに直接割り当てられた権限に基づいていた。このモデルは後に IAM の集中化へと進化し、アクセス決定は、サービス、サーバー、または ID イン フラストラクチャなどの権限に集中するようになった。脅威の状況は年々大きく変化しており、今日、IAMはあらゆるデジタルアクセスモデルの中核をなす要素となっている。IAMは、ユーザー、リソース、システムの性質が変化するにつれて、可視性、きめ細かさ、および制御がますます向上するように進化する。

 

報告書...

・[PDF]

20230721-63620

 

 目次...

Acknowledgments 謝辞
Lead Authors 主執筆者
 CSA Global Staff  CSAグローバルスタッフ
 Abstract  概要
Introduction 序文
The Differences Between Cloud Environments vs. On-Premises Affecting IAM IAMに影響するクラウド環境とオンプレミス環境の違い
Retrospective analysis of IAM IAMの回顧分析
Where IAM Is Headed IAMの方向性
 IAM for the Cloud Environment  クラウド環境におけるIAM
The Ever-Increasing Significance of IAM in a Multi-cloud/Hybrid Environment マルチクラウド/ハイブリッド環境におけるIAMの重要性がますます高まる
 Importance of IAM to Senior Leadership  シニア・リーダーシップにとってのIAMの重要性
Challenges Organizations Face When Adopting IAM Effectively for the Cloud クラウドにIAMを効果的に導入する際に組織が直面する課題
 Top 10 Challenges in Identity  アイデンティティにおける課題トップ10
Cloud IAM Opportunities クラウドIAMの機会
Considerations and Best Practices for an Effective IAM Program for Cloud Environments クラウド環境の効果的なIAMプログラムのための考慮事項とベストプラクティス
Tips for Security/IAM Leaders and Practitioners on Communicating the Value of IAM .Conclusion IAMの価値をコミュニケーションするためのセキュリティ/IAMリーダーおよび実務者のためのヒント .結論

 

プレゼンテーション

・[PDF]

20230721-64236

 

 

 

 

 

| | Comments (0)

米国 公正取引委員会 保健社会福祉省 病院システムと遠隔医療プロバイダに対し、オンライン追跡技術によるプライバシーとセキュリティのリスクについて警告

こんにちは、丸山満彦です。

米国の公正取引委員会 (FTC)  と保健社会福祉省人権局 (HHS-OCR) が病院システムと遠隔医療プロバイダ、約130組織に対し、オンライン追跡技術によるプライバシーとセキュリティのリスクについて警告する共同書簡を関係する組織に送付したようですね。。。

しらずしらずに第三者提供してしまっているようなこともあるのでしょうかね。。。

 

Federal Trade Comission; FTC

リリース

・2023.07.20 FTC and HHS Warn Hospital Systems and Telehealth Providers about Privacy and Security Risks from Online Tracking Technologies

FTC and HHS Warn Hospital Systems and Telehealth Providers about Privacy and Security Risks from Online Tracking Technologies FTCとHHSは、病院システムと遠隔医療プロバイダに対し、オンライン追跡技術によるプライバシーとセキュリティのリスクについて警告する。
Letters highlight concerns stemming from use of technologies that may share a user’s sensitive health information 書簡は、ユーザーの敏感な健康情報を共有する可能性のある技術の使用から生じる懸念を強調する。
The Federal Trade Commission and the U.S. Department of Health and Human Services' Office for Civil Rights (OCR) are cautioning hospitals and telehealth providers about the privacy and security risks related to the use of online tracking technologies integrated into their websites or mobile apps that may be impermissibly disclosing consumers’ sensitive personal health data to third parties. 米連邦取引委員会(FTC)と米保健社会福祉省人権局(OCR)は、病院や遠隔医療プロバイダに対し、ウェブサイトやモバイルアプリに組み込まれたオンライン追跡技術の使用に関連し、消費者の機密個人健康データを第三者に不当に開示している可能性があるプライバシーとセキュリティのリスクについて警告している。
“When consumers visit a hospital’s website or seek telehealth services, they should not have to worry that their most private and sensitive health information may be disclosed to advertisers and other unnamed, hidden third parties,” said Samuel Levine, Director of the FTC’s Bureau of Consumer Protection. “The FTC is again serving notice that companies need to exercise extreme caution when using online tracking technologies and that we will continue doing everything in our powers to protect consumers’ health information from potential misuse and exploitation.” FTC消費者保護局のサミュエル・レヴィーン局長は、次のように述べている。「消費者が病院のウェブサイトを訪れたり、遠隔医療サービスを受けたりする際、最もプライベートでセンシティブな健康情報が広告主や無名の隠れた第三者に開示されることを心配する必要はない。FTCは、企業がオンライン追跡技術を使用する際には細心の注意を払う必要があること、また、消費者の健康情報を悪用や搾取の可能性から守るため、今後も全力を尽くすことを改めて通告する。」
“Although online tracking technologies can be used for beneficial purposes, patients and others should not have to sacrifice the privacy of their health information when using a hospital’s website,” said Melanie Fontes Rainer, OCR Director. “OCR continues to be concerned about impermissible disclosures of health information to third parties and will use all of its resources to address this issue.” OCRのメラニー・フォンテス・レイナー局長は次のように述べた。「オンライン追跡技術は有益な目的のために使用されることがあるが、患者やその他の人々が病院のウェブサイトを使用する際に健康情報のプライバシーを犠牲にする必要はない。OCRは引き続き、医療情報のサードパーティへの許されない開示について懸念しており、この問題に対処するためにあらゆる資源を投入していく」
The two agencies sent the joint letter to approximately 130 hospital systems and telehealth providers to alert them about the risks and concerns about the use of technologies, such as the Meta/Facebook pixel and Google Analytics, that can track a user’s online activities. These tracking technologies gather identifiable information about users, usually without their knowledge and in ways that are hard for users to avoid, as users interact with a website or mobile app. 両機関は、約130の病院システムと遠隔医療プロバイダーに対し、ユーザーのオンライン活動を追跡できるメタ/フェイスブック・ピクセルやグーグル・アナリティクスなどの技術の使用に関するリスクと懸念について警告するため、共同書簡を送った。 これらのトラッキング技術は、ユーザーがウェブサイトやモバイルアプリを利用する際に、通常ユーザーが知らないうちに、またユーザーが避けることが難しい方法で、ユーザーに関する識別可能な情報を収集する。
In their letter, both agencies reiterated the risks posed by the unauthorized disclosure of an individual’s personal health information to third parties. For example, the disclosure of such information could reveal sensitive information including health conditions, diagnoses, medications, medical treatments, frequency of visits to health care professionals, and where an individual seeks medical treatment. 両機関は書簡の中で、個人の健康情報が第三者へ無許可で開示されることによってもたらされるリスクを改めて強調した。例えば、そのような情報の開示は、健康状態、診断、投薬、治療、医療専門家への受診頻度、個人がどこで治療を受けたかなどの機密情報を明らかにする可能性がある。
HHS highlighted these concerns in a bulletin it issued late last year that reminded entities covered by the  Health Insurance Portability and Accountability Act (HIPAA) of their responsibilities to protect health data from unauthorized disclosure under the law. HHSは、昨年末に発行した「医療保険の相互運用性と説明責任に関する法律(HIPAA)」の適用を受ける事業体に対し、同法に基づく不正な開示から健康データを保護する責任を喚起する通達の中で、こうした懸念を強調している。
Companies not covered by HIPAA still have a responsibility to protect against the unauthorized disclosure of personal health information—even when a third party developed their website or mobile app. Through its recent enforcement actions against BetterHelp, GoodRx and Premom, as well as recent guidance from the FTC’s Office of Technology, the FTC has put companies on notice that they must monitor the flow of health information to third parties that use tracking technologies integrated into websites and apps. The unauthorized disclosure of such  information may violate the FTC Act and could constitute a breach of security under the FTC’s Health Breach Notification Rule. HIPAAの適用を受けない企業は、サードパーティがウェブサイトやモバイルアプリを開発した場合でも、個人健康情報の不正な開示から保護する責任がある。BetterHelp、GoodRx、Premomに対する最近の強制措置や、FTC技術局からの最近のガイダンスを通じて、FTCは、ウェブサイトやアプリに統合された追跡技術を使用するサードパーティへの健康情報の流れを監視しなければならないことを企業に警告している。 このような情報の不正な開示はFTC法に違反する可能性があり、FTCの健康情報漏えい通知規則のセキュリティ違反に該当する可能性がある。

 

共同書簡

・[PDF]

20230725-10901

 

・[DOCX] 仮訳

 

ブログ

・2023.07.20 FTC-HHS joint letter gets to the heart of the risks tracking technologies pose to personal health information

FTC-HHS joint letter gets to the heart of the risks tracking technologies pose to personal health information FTCとHHSの共同書簡は、追跡技術が個人健康情報にもたらすリスクの核心を突いている。
We usually don’t recommend reading other people’s mail, but even if you weren’t one of the approximately 130 companies that received a recent joint letter from the FTC and HHS’ Office for Civil Rights (OCR), anyone in the health arena – hospitals, other HIPAA-covered entities, telehealth providers, health app developers, etc. – should take the letter to heart and consider a privacy and security check-up at their business. 通常、他人の郵便物を読むことは推奨しないが、FTCとHHSの人権局(OCR)からの最近の共同書簡を受け取った約130社のうちの1社でなかったとしても、病院、その他のHIPAAの対象となる事業体、遠隔医療プロバイダ、健康アプリ開発者など、健康分野に携わる人なら誰でも、この書簡を心に留め、事業におけるプライバシーとセキュリティの点検を検討すべきである。
The joint letter alerts recipients to the risks that tracking technologies – including Meta/Facebook pixel and Google Analytics – pose to the privacy and security of consumers’ personal health information. As users interact with websites or mobile apps, technologies are often tracking their online activities and gathering personal data about them. Much of this happens behind the scenes with consumers utterly unaware they’re being tracked and unable to avoid what’s happening.
この共同書簡は、メタ/フェイスブックピクセルやグーグルアナリティクスを含むトラッキング技術が消費者の個人健康情報のプライバシーとセキュリティにもたらすリスクについて取得者に警告している。ユーザーがウェブサイトやモバイルアプリを利用する際、テクノロジーはしばしばユーザーのオンライン活動を追跡し、個人データを収集している。その多くは、消費者が追跡されていることに全く気づかず、何が起きているのかを避けることもできないまま、舞台裏で行われている。
The nature of the data these technologies are gathering without consumers’ consent – for example, health conditions, diagnoses, medications, and visits to healthcare providers – is uniquely confidential. And impermissible disclosure can lead to identity theft, financial loss, discrimination, stigma, mental anguish, and other injurious consequences. これらのテクノロジーが消費者の同意なしに収集しているデータの性質(例えば、健康状態、診断、投薬、医療プロバイダへの訪問など)は、他に類を見ないほど機密性の高いものである。そして、許されない開示は、個人情報の盗難、経済的損失、差別、汚名、精神的苦痛、その他の有害な結果につながる可能性がある。
You’ll want to read the letter for OCR’s perspectives on tracking and personal health information, but here’s a sentence worth highlighting: “HIPAA regulated entities are not permitted to use tracking technologies in a manner that would result in impermissible disclosures of PHI to third parties or any other violations of the HIPAA Rules.” The letter also cites a December 2022 OCR bulletin with an overview about how HIPAA applies to the use of online tracking technologies. 追跡と個人健康情報についてのOCRの見解については書簡を読んでいただきたいが、特筆すべき一文がある: 「HIPAA規制事業体は、PHIのサードパーティへの開示やその他のHIPAA規則違反をもたらすような方法で追跡技術を使用することは許されない。この書簡はまた、オンライン追跡技術の使用にHIPAAがどのように適用されるかについての概要が記載された2022年12月のOCR通達も引用している。
But even if a company isn’t covered by HIPAA, the letter is a reminder that it still has obligations under the FTC Act and the FTC’s Health Breach Notification Rule to protect against the impermissible disclosures of personal health information. Citing recent FTC law enforcement actions against Easy HealthcareBetterHelpGoodRx, and Flo Health, the letter establishes that it's “essential to monitor data flows of health information to third parties via technologies you have integrated into your website or app.” What if you had someone else design your site or app? The compliance buck still stops with you. Furthermore, your company is legally responsible even if you don’t use the data obtained through tracking technologies for marketing purposes. しかし、たとえ企業がHIPAAの適用を受けていないとしても、個人健康情報の許されない開示から保護するために、FTC法およびFTCの健康侵害通知規則の下での義務があることを、この書簡は喚起している。Easy Healthcare、BetterHelp、GoodRx、Flo Healthに対する最近のFTC法執行措置を引き合いに出しながら、この書簡は、「ウェブサイトやアプリに統合した技術を通じて、サードパーティへの健康情報のデータフローを監視することが不可欠」であることを立証している。もし、あなたのサイトやアプリを他の誰かにデザインしてもらったらどうなるだろうか?コンプライアンスの責任は依然としてあなたにある。さらに、トラッキング技術によって得られたデータをマーケティング目的で使用しなくても、法的責任は貴社にある。
In addition to underscoring that both agencies are watching developments in this area, the letter ends with this admonition: “To the extent you are using the tracking technologies described in this letter on your website or app, we strongly encourage you to review the laws cited in this letter and take actions to protect the privacy and security of individuals’ health information.” 両機関がこの分野の動向を注視していることを強調した上で、この書簡は次のような警告で締めくくられている: 「この書簡に記載されているトラッキング技術をウェブサイトやアプリで使用している限りにおいて、この書簡で引用されている法律を確認し、個人の健康情報のプライバシーとセキュリティを保護するための措置を講じることを強く推奨する」。
That’s sound advice for companies that received the joint letter – and for other businesses, too. これは、共同書簡を受け取った企業にとって、そして他の企業にとっても、適切なアドバイスである。
Check out more health privacy resources from the FTC. FTCが提供するその他の医療プライバシーに関するリソースをチェックする。

 

Health and Human Services  - Office for Civil Rights (OCR)

・2023.07.20 HHS Office for Civil Rights and the Federal Trade Commission Warn Hospital Systems and Telehealth Providers about Privacy and Security Risks from Online Tracking Technologies

HHS Office for Civil Rights and the Federal Trade Commission Warn Hospital Systems and Telehealth Providers about Privacy and Security Risks from Online Tracking Technologies HHS市民権局と連邦取引委員会は、オンライン追跡技術によるプライバシーとセキュリティのリスクについて、病院システムと遠隔医療プロバイダに警告を発する。
Letters highlight concerns about use of online tracking technologies such as Google Analytics and Meta Pixel in violation of HIPAA Google AnalyticsやMeta Pixelのようなオンライントラッキング技術のHIPAA違反使用に関する懸念を強調する書簡が出された。
The U.S. Department of Health and Human Services (HHS), Office for Civil Rights (OCR) and the Federal Trade Commission (FTC) are cautioning hospitals and telehealth providers about the privacy and security risks related to the use of online tracking technologies that may be integrated into their websites or mobile apps that may be impermissibly disclosing consumers’ sensitive personal health data to third parties. Tracking technologies are used to collect and analyze information about how users interact with websites or mobile apps. Generally, tracking technologies developed by third parties send information directly to the third parties who developed such technologies and may continue to track users and gather information about them even after they navigate away from the original website to other websites.  米国保健社会福祉省(HHS)、公民権局(OCR)および連邦取引委員会(FTC)は、病院や遠隔医療プロバイダに対し、ウェブサイトやモバイルアプリに組み込まれている可能性のあるオンライン追跡技術の使用に関連するプライバシーおよびセキュリティリスクについて警告している。トラッキング・テクノロジーは、ユーザーがウェブサイトやモバイル・アプリをどのように利用するかについての情報を収集・分析するために使用される。 一般的に、サードパーティによって開発された追跡技術は、そのような技術を開発したサードパーティに直接情報を送信し、ユーザーが元のウェブサイトから他のウェブサイトに移動した後も、ユーザーを追跡し続け、彼らに関する情報を収集する可能性がある。 
OCR administers and enforces the Health Insurance Portability and Accountability Act of 1996 (HIPAA) Privacy, Security and Breach Notification Rules which set minimum privacy and security standards for the protection of certain individually identifiable health information. FTC’s mission is protecting the public from deceptive or unfair business practices and from unfair methods of competition through law enforcement, advocacy, research, and education.  OCRは、1996年医療保険の相互運用性と説明責任に関する法律(HIPAA)のプライバシー、セキュリティ、および侵害通知に関する規則を管理・執行している。FTCの使命は、法の執行、アドボカシー、調査、教育を通じて、欺瞞的または不公正な商行為や不公正な競争方法から国民を守ることである。 
“Although online tracking technologies can be used for beneficial purposes, patients and others should not have to sacrifice the privacy of their health information when using a hospital’s website,” said Melanie Fontes Rainer, OCR Director. “OCR continues to be concerned about impermissible disclosures of health information to third parties and will use all of its resources to address this issue.” OCRのメラニー・フォンテス・レイナー局長は次のように述べた。「オンライン追跡技術は有益な目的で使用されることもあるが、患者やその他の人々が病院のウェブサイトを利用する際に、自分の健康情報のプライバシーを犠牲にする必要はない。OCRは引き続き、医療情報のサードパーティへの許されない開示について懸念しており、この問題に対処するためにあらゆるリソースを駆使していく。」
“When consumers visit a hospital’s website or seek telehealth services, they should not have to worry that their most private and sensitive health information may be disclosed to advertisers and other unnamed, hidden third parties,” said Samuel Levine, Director of the FTC’s Bureau of Consumer Protection. “The FTC is again serving notice that companies need to exercise extreme caution when using online tracking technologies and that we will continue doing everything in our powers to protect consumers’ health information from potential misuse and exploitation.” FTC消費者保護局のサミュエル・レバイン局長は、次のように述べた。「消費者が病院のウェブサイトを訪れたり、遠隔医療サービスを求めたりする際、最もプライベートでセンシティブな健康情報が広告主や無名の隠れた第三者に開示されることを心配する必要はない。「FTCは、企業がオンライン・トラッキング技術を使用する際には細心の注意を払う必要があること、また、消費者の健康情報を悪用や搾取の可能性から守るため、今後も全力を尽くすことを改めて通告する。」
The two agencies sent the joint letter - PDF* to approximately 130 hospital systems and telehealth providers to emphasize the risks and concerns about the use of technologies, such as the Meta/Facebook pixel and Google Analytics, that can track a user’s online activities. These tracking technologies gather identifiable information about users, usually without their knowledge and in ways that are hard for users to avoid, as users interact with a website or mobile app. 両機関は、約130の病院システムや遠隔医療プロバイダーに対し、Meta/FacebookピクセルやGoogleアナリティクスなど、ユーザーのオンライン活動を追跡する技術の使用に関するリスクと懸念を強調するため、共同書簡(PDF*)を送付した。これらのトラッキング技術は、ユーザーがウェブサイトやモバイルアプリとやりとりする際に、通常ユーザーが知らないうちに、またユーザーが避けることが難しい方法で、ユーザーに関する識別可能な情報を収集する。
OCR highlighted these concerns in a bulletin it issued late last year that reminded entities covered by HIPAA of their responsibilities to protect health data from unauthorized disclosure under the law.  Since that time, OCR has confirmed its active investigations nationwide to ensure compliance with HIPAA. OCRは昨年末に発行した通達の中でこれらの懸念を強調し、HIPAAの対象となる事業体に対し、同法に基づく不正な開示から健康データを保護する責任を喚起した。  それ以来、OCRはHIPAAの遵守を確認するため、全国で積極的な調査を行っている。
Companies not covered by HIPAA still have a responsibility to protect against the unauthorized disclosure of personal health information—even when a third party developed their website or mobile app. Through its recent enforcement actions against BetterHelpGoodRx and Premom, as well as recent guidance from the FTC’s Office of Technology, the FTC has put companies on notice that they must monitor the flow of health information to third parties that use tracking technologies integrated into websites and apps. The unauthorized disclosure of such information may violate the FTC Act and could constitute a breach of security under the FTC’s Health Breach Notification Rule. HIPAAの適用を受けていない企業は、サードパーティがウェブサイトやモバイルアプリを開発した場合でも、個人健康情報の不正な開示から保護する責任を負っている。BetterHelp、GoodRx、Premomに対する最近の強制措置や、FTCの技術局からの最近のガイダンスを通じて、FTCは、ウェブサイトやアプリに統合された追跡技術を使用するサードパーティへの健康情報の流れを監視しなければならないことを企業に警告している。このような情報の不正な開示はFTC法に違反する可能性があり、FTCのHealth Breach Notification Ruleに基づくセキュリティ違反となる可能性がある。

 

HIPPAでカバーされる事業者は2022年12月のこちらも...

参考

・2022.12.01 Use of Online Tracking Technologies by HIPAA Covered Entities and Business Associates

 

 

| | Comments (0)

米国 CISAのディレクターが最初の一歩として選んだ4つのセキュリティ対策

こんにちは、丸山満彦です。

CISAもブログをしていますが、ディレクターのEric Goldsteinさんが、「4つの目標でサイバーセキュリティ向上への第一歩を踏み出そう」という記事を書いていますね。。。

なるほど、この4つを選んだか...と

  1. デフォルトパスワードの変更
  2. 多要素認証
  3. ユーザーアカウントと特権アカウントの分離
  4. インシデント対応計画

 

1995年くらいにコンピュータ全般内部統制の評価をすることになったのですが、その際にならったことは今でも役立ちます。

1. Scott といえば Tiger。オラクルのデフォルトユーザのデフォルトパスワードの変更が必要という話です。もちろん、アカウントを使えないようにしてから、パスワードも変えるということをするのですが、Soctt といえば Tigerで、書庫パスワード変更の必要性を覚えることができました。。。

3. UNIXのSUコマンド。一般のユーザーとしてシステムを利用するときと、システム管理者としてシステムにアクセスするときは、アカウントを使い分けろとならいましたね。。。システム管理者としてログイン、ログアウトの管理を確かにするのと、システム管理者の操作ログの取得と検査の重要性を学びました。。。

 

CISA - Blog

・2023.07.21 Take the First Steps Towards Better Cybersecurity With these Four Goals

Take the First Steps Towards Better Cybersecurity With these Four Goals 4つの目標でサイバーセキュリティ向上への第一歩を踏み出そう
Every day, organizations across our country are impacted by cyber intrusions, many of which affect the delivery of essential services. Security professionals and business leaders alike recognize the need to protect their customers, employees, and enterprises against this threat, which raises a simple but challenging question: where to start? 毎日、わが国中の組織がサイバー侵入の影響を受けており、その多くは重要なサービスの提供に影響を及ぼしている。セキュリティの専門家もビジネスリーダーも同様に、顧客、従業員、エンタープライズをこの脅威から守る必要性を認識している。
We know that no organization can adopt every possible cybersecurity measure or solution, but every organization can do something. We also know that some cybersecurity measures are more effective than others in addressing the types of attacks that occur with the greatest frequency and impact. There’s no shortage of guidance, best practices, and standards, but we’ve heard from countless partners about a challenge in prioritization. 私たちは、どの組織も可能な限りのサイバーセキュリティ対策やソリューションを採用できないことを知っているが、どの組織も何かしらできるはずだ。また、サイバーセキュリティ対策の中には、最も高い頻度で発生し、大きな影響を及ぼす攻撃の種類に対処する上で、他のものよりも効果的なものがあることも分かっている。ガイダンス、ベスト・プラクティス、標準には事欠かないが、優先順位付けの難しさについては、数え切れないほどのパートナーから聞かされている。
To address this gap, President Biden’s National Security Memorandum on Improving Cybersecurity for Critical Infrastructure Control Systems required Cybersecurity and Infrastructure Security Agency (CISA) to work with industry and interagency partners to develop a set of voluntary Cross-Sector Cybersecurity Performance Goals (CPGs). We first introduced the CPGs in December 2022 and updated them this March based on initial stakeholder feedback. The CPGs were developed for entities of all sizes and across all sectors and meant to enable rigorous prioritization because being secure shouldn’t mean breaking the budget. In addition, the CPGs can help organizations evaluate their current cyber posture while guiding them on how to achieve a strong cybersecurity foundation for their organization このギャップに対処するため、バイデン大統領の「重要インフラ制御システムのサイバーセキュリティ改善に関する国家安全保障覚書」は、サイバーセキュリティ・インフラセキュリティ庁(CISA)に対し、産業界および省庁間のパートナーと協力して、自主的なセクター横断的サイバーセキュリティ・パフォーマンス目標(CPGs)を策定するよう求めた。CISAは2022年12月にCPGを初めて導入し、利害関係者からの初期的なフィードバックに基づいて今年3月に更新した。CPGは、あらゆる規模、あらゆるセクターの事業体向けに開発され、厳格な優先順位付けを可能にすることを意図している。さらに、CPGは、組織が現在のサイバー態勢を評価するのに役立つと同時に、組織の強固なサイバーセキュリティ基盤を実現する方法を導くものでもある。
We believe that if every organization incorporates fundamental cybersecurity practices that they can materially reduce the risk of intrusions, no matter what sector or what size. As the nation’s Cyber Defense Agency, our goal at CISA is to make it easier for every organization to prioritize the most important cybersecurity practices. We also want to be sure they are clear, easy-to-understand, and when—implemented—lay out tangible steps organizations can take to reduce the risk of cyberattacks and the damage they can wreak. すべての組織が基本的なサイバーセキュリティの実践を取り入れれば、業種や規模を問わず、侵入のリスクを大幅に低減できると信じている。国のサイバー防衛機関として、CISAの目標は、すべての組織が最も重要なサイバーセキュリティの実践に優先順位をつけやすくすることである。また、サイバー攻撃のリスクとその被害を軽減するために組織が取るべき具体的なステップを示す、明確で理解しやすいものでありたいと考えている。
Organized according to the Cybersecurity Framework, the CPGs reflect some of the best thinking gleaned from across the cybersecurity community and draw from extensive input from experts across sectors, public and private, domestic and international. サイバーセキュリティフレームワークに従って整理されたCPGは、サイバーセキュリティ・コミュニティ全体から得られた最良の考え方の一部を反映しており、官民、国内外を問わず、セクターを超えた専門家からの広範なインプットから作成されている。
While the full list of goals may seem long, particularly for small organizations, they are quite achievable. For example, some straightforward and essential practices you can start implementing today are: 目標の全リストは、特に小規模な組織にとっては長く感じられるかもしれないが、かなり達成可能なものである。例えば、今日から実施できる簡単で不可欠なプラクティスをいくつか紹介しよう:
Change default passwords (CPG Goal 2.A): Creating and enforcing an organization-wide policy that requires changing default manufacturer’s passwords prior to putting hardware, software, or firmware on the network can help organizations both prevent initial access by threat actors and hinder lateral movement in the event of a compromise. Many devices, such as smartphones, may prompt new users to set up a new password by default. However, many devices still do not prompt users to take this action, and it should be one of the first steps when deploying any new asset or device. Importantly, no technology product should come with a default password that isn’t reset on first use. When purchasing a product, ask your vendor about their use of default passwords! ・デフォルトのパスワードを変更する(CPG目標2.A): ハードウェア、ソフトウェア、ファームウェアをネットワークに導入する前に、製造元のデフォルトのパスワー ドを変更することを義務付ける組織全体のポリシーを策定し、実施することは、脅威行為者による初期アクセスの防止と、侵害が発生した場合の横の動きの抑制の両方に役立つ。スマートフォンのような多くのデバイスは、デフォルトで新しいパスワードを設定するよう新規ユーザーを促すかもしれない。しかし、多くのデバイスはまだこのアクションをユーザーに促しておらず、新しい資産やデバイスを導入する際の最初のステップの一つであるべきだ。重要なことは、どのようなテクノロジー製品も、初回使用時にリセットされないデフォルトのパスワードが付属すべきではないということである。製品を購入する際には、デフォルト・パスワードの使用についてベンダーに尋ねること!
Implement phishing-resistant multifactor authentication (MFA) (CPG Goal 2.H): Adding a critical, additional layer of security to protect your organizations’ accounts can deny threat actors an initial foothold used to wreak havoc. CISA recommends using hardware-based tokens, such as FIDO or Public Key Infrastructure, for the greatest resistance to exploitation. App-based soft tokens are a good option as well. While better than having no additional security layer, Short Message Service (SMS) should be an organization’s last resort for implementing multifactor authentication. For more information see CISA’s fact sheet on Implementing Phishing Resistant MFA along with other information available on CISA’s More than a Password page. Similarly, to the action above, technology products should come out of the box with MFA enabled as a default, without additional cost. When selecting a technology product, remind your vendor that you expect MFA to be automatically enabled for all users. ・フィッシングに強い多要素認証(MFA)を導入する(CPGゴール2.H): 組織のアカウントを保護するために、重要な追加のセキュリティ・レイヤーを追加することで、脅威行為者が大惨事を引き起こすための最初の足がかりを奪うことができる。CISAは、悪用に対する最大の抵抗力として、FIDOや公開鍵基盤などのハードウェアベースのトークンの使用を推奨している。アプリベースのソフトトークンも良い選択肢だ。セキュリティ・レイヤーを追加しないよりはましだが、ショート・メッセージ・サービス(SMS)は、多要素認証を実装するための組織の最後の手段であるべきだ。詳細については、CISAのファクト・シート「フィッシングに強いMFAの実装」を参照のこと。上記のアクションと同様に、テクノロジー製品は、追加コストなしで、デフォルトで MFA を有効にした状態で出荷されるべきである。テクノロジー製品を選択する際には、MFAがすべてのユーザーに対して自動的に有効になることを期待していることをベンダーに思い出させる。
Separate user and privileged accounts (CPG Goal 2.E): Make it harder for threat actors to gain access or escalate privileges, even if user accounts get compromised, by ensuring no user accounts have administrator-level privileges. Be sure to frequently re-evaluate privileges on a recurring basis to validate need for certain permissions. For example, an employee on the marketing team should likely not have access to company human resources data, as it is not necessary for their daily work.   ・ユーザアカウントと特権アカウントを分離する(CPGゴール2.E): ユーザ・アカウントに管理者レベルの特権を持たせないようにすることで、たとえユーザ・アカウントが侵害されたとしても、脅威行為者がアクセスしたり特権を拡大したりすることを困難にする。定期的に権限を再評価し、特定の権限の必要性を確認する。例えば、マーケティングチームの従業員は、日常業務に必要でないため、会社の人事データにアクセスすべきではないだろう。  
Incident response plans (CPG Goal 2.S): Create, maintain, and exercise cybersecurity response plans, which can help an organization know what needs to be done to quickly address common threat scenarios and recover more quickly. While large organizations may have complex plans, smaller entities may start with a simple plan outlining immediate steps to take in an emergency (such as contacting a service provider for assistance) and improve on the plan over time. CISA recommends organizations practice exercising the plan by drilling realistic scenarios at least annually. Again, for large organizations these may be carefully planned tabletop exercises, but for small teams, approaches such as simple rehearsals or spoken walkthroughs can still provide value. ・インシデント対応計画(CPG 目標 2.S): これは、一般的な脅威シナリオに迅速に対処し、より迅速に復旧するために何が必要かを組織が把握するのに役立つ。大規模な事業体であれば複雑な計画を策定しているかもしれないが、小規模な事業体であれば、緊急時に取るべき緊急措置(プロバイダへの連絡など)をまとめたシンプルな計画から着手し、時間をかけて計画を改善していくこともできる。CISAは、少なくとも年1回、現実的なシナリオを想定し、計画を実践することを推奨している。この場合も、大規模な組織の場合は、入念に計画された机上演習になるかもしれないが、小規模なチームの場合は、簡単なリハーサルや口頭によるウォークスルーなどのアプローチでも価値を提供することができる。
We offer a free CPG assessment to help organizations identify areas for maturation and develop a targeted roadmap. Consider a self-assessment or get in touch with our regional team members in your area to learn more! To learn more about the CPGs, take a look at our brief video and visit www.cisa.gov/cpg. 当庁は、組織が成熟すべき領域を特定し、目標とするロードマップを作成するのに役立つ無料のCPGアセスメントを提供している。セルフ・アセスメントをご検討いただくか、お近くの当社地域チーム・メンバーにお問い合わせいただきたい!CPGの詳細については、簡単なビデオを確認のこと。www.cisa.gov/cpg。

 

Cross-Sector Cybersecurity Performance Goals

ビデオ...

 

 

 

CISA CPG Checklist

・[PDF] CISA CPG Checklist

20230329-182025

 

CPG Report

・[PDF] CPG Report

20230329-175409

Complete CPGs Matrix/Spreadsheet

・[XLSX] Complete CPGs Matrix/Spreadsheet

 

 

1_20230724154102

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.03.30 米国 CISA サイバーセキュリティ・パフォーマンス目標 (CPGs) の更新版を発表 (2023.03.21)

・2022.11.03 米国 国土安全保障省 (DHS) 重要インフラのための新たなサイバーセキュリティ・パフォーマンス目標 (2022.10.27)

 

 

| | Comments (0)

2023.07.24

CSA クラウドとセキュリティ侵害 (C&C): クラウド・セキュリティのゲーム (2023.07.10)

こんにちは、丸山満彦です。

CSAがクラウドとセキュリティ侵害 (C&C): クラウド・セキュリティのゲームを公表していますね。。。

基本レベルと、上級レベルと2つのゲームがあるようですが、、、楽しく学べるようなものなんでしょうか?どうなんでしょうかね。。。

 

⚫︎Cloud Security Alliance

・2023.07.10 Cloud and Compromise (C&C): Gamifying of Cloud Security

 

Cloud and Compromise (C&C): Gamifying of Cloud Security クラウドとセキュリティ侵害(C&C): クラウド・セキュリティのゲーム化
CSA’s Top Threats Working Group works to identify the most significant cloud security threats, vulnerabilities, and weaknesses; analyze major incidents; and evaluate and propose the means to mitigate the root causes of those threats. After their Cloud Threat Modeling publication, this guide is the working group’s next step to deepen the guidance on cloud security gamification. CSA の Top Threats Working Group は、最も重要なクラウドセキュリティの脅威、脆弱性、および弱点を特定し、主要なインシデントを分析し、これらの脅威の根本原因を緩和する手段を評価し、提案することに取り組んでいる。クラウド脅威モデリング」の発表後、クラウドセキュリティゲーミフィケーションに関するガイダンスを深めるために、このワーキンググループは次のステップに進む。
Use this document as your template to conduct a cybersecurity tabletop exercise that familiarizes all participants with the cloud incident response process. Included in the download are instructions on how to play the game, tips and tricks for getting the most out of your tabletop exercise, and game cards to print out. 参加者全員がクラウドのインシデント対応プロセスに慣れるようなサイバーセキュリティ机上演習を実施するために、この文書をテンプレートとして使用する。ダウンロードには、ゲームの進め方、机上演習を最大限に活用するためのヒントとコツ、印刷用のゲームカードが含まれている。
Key Takeaways: 主な要点
・Understand how to build and secure basic cloud architectures  ・基本的なクラウドアーキテクチャを構築し、セキュリティを確保する方法を理解する 
・Understand basic security team roles when building a cybersecurity program  ・サイバーセキュリティ・プログラムを構築する際の基本的なセキュリティ・チームの役割を理解する 
・Identify and protect key assets with cloud security controls and countermeasures  ・クラウドのセキュリティ制御と対策により、重要な資産を識別し、保護する 
・Protect, detect, and respond to cloud threats and threat indicators ・クラウドの脅威と脅威指標を防御、検知、対応する

 

・[ZIP]

・[PDF] 利用説明書

20230724-180250

 

・[PDF] ゲーム用カード

20230724-180221

プレゼンテーション

・[PDF]

20230724-180906

 

 

 

| | Comments (0)

CSA ChatGPTのセキュリティへの影響 (2023.04.23, 06.20)

こんにちは、丸山満彦です。

ChatGPTのセキュリティへの影響についての文書を公表していますね。。。(翻訳も...)

参考になる部分もあると思います。。。

 

⚫︎Cloud Security Alliance

日本語訳

・2023.06.20 Security Implications of ChatGPT - Japanese Translation

20230721-63612

原文

・2023.04.23 Security Implications of ChatGPT

Security Implications of ChatGPT ChatGPTのセキュリティへの影響
This position paper provides analysis across four dimensions: How it can benefit cybersecurity, how it can benefit malicious attackers, how ChatGPT might be attacked directly, and guidelines for responsible usage. The paper provides clarity about managing the risks in leveraging ChatGPT, but what may be surprising to some, it also identifies over a dozen specific use cases for improving cybersecurity within an organization. このポジションペーパーでは、4つの側面から分析を行う: ChatGPTがサイバーセキュリティにどのような利益をもたらすか、悪意のある攻撃者にどのような利益をもたらすか、ChatGPTがどのように直接攻撃される可能性があるか、そして責任ある利用のためのガイドラインである。ChatGPTを活用する上でのリスクマネジメントを明確にしているが、驚くべきことに、組織内のサイバーセキュリティを改善するための具体的なユースケースを10以上特定している。

 

本文

・[PDF]

20230724-164722

 

プレゼンテーション

・[PDF] 

20230724-164519

 

| | Comments (0)

CSA GDPR遵守のためのCSA行動規範のギャップ解決と附属書10

こんにちは、丸山満彦です。

Cloud Security Alliance; CSAが、GDPR遵守のためのCSA行動規範のギャップ解決と附属書10と資料を公表していますね。。。

 

⚫︎Cloud Security Alliance

・2023.06.21 CSA Code of Conduct Gap Resolution and Annex 10 to the CSA Code of Conduct for GDPR Compliance

 

CSA Code of Conduct Gap Resolution and Annex 10 to the CSA Code of Conduct for GDPR Compliance GDPR遵守のためのCSA行動規範のギャップ解決と附属書10
This bundle from the CSA Privacy Level Agreement Working Group includes: CSAプライバシーレベル合意作業部会からのこのバンドルには以下が含まれる:
・CSA Code of Conduct Gap Resolution spreadsheet ・CSA行動規範ギャップ解決スプレッドシート
・Annex 10 to the CSA Code of Conduct for GDPR Compliance report ・GDPR遵守のためのCSA行動規範の附属書10報告書
These documents are the result of a mapping exercise conducted between the California Consumer Privacy Act (CCPA), the EU’s General Data Protection Regulation (GDPR), and CSA’s Code of Conduct for GDPR Compliance (CoC). This mapping exercise singled out some CCPA provisions that were not fully covered by the CoC, which may create obligations for cloud service providers hoping to achieve CCPA compliance.  これらの文書は、カリフォルニア州消費者プライバシー法(CCPA)、EUの一般データ保護規則(GDPR)、およびCSAのGDPR準拠のための行動規範(CoC)の間で実施されたマッピング演習の結果である。このマッピング作業により、CoCで完全にカバーされていないCCPAの条項がいくつか発見され、CCPAのコンプライアンス達成を望むクラウドサービスプロバイダに義務が生じる可能性があることが判明した。 
Together, the CoC Gap Resolution and Annex 10 to the CoC set out additional controls that allow cloud service providers to leverage the CoC as a means to achieve and demonstrate CCPA compliance. Furthermore, in line with the overall goals of the CoC, Annex 10 allows cloud customers to assess cloud service providers’ level of compliance with both the GDPR and the CCPA, allowing them to make informed engagement decisions. CoCギャップ解決策とCoC附属書10は、クラウドサービスプロバイダがCoCを活用してCCPAコンプライアンスを達成・実証できるようにするための追加的な管理策を定めている。さらに、CoCの全体的な目標に沿って、附属書10は、クラウド顧客がクラウドサービスプロバイダのGDPRとCCPAの両方への準拠レベルを評価することを可能にし、クラウド顧客は十分な情報に基づいたエンゲージメントの意思決定を行うことができる。

 

チェックリスト等

・[ZIP]

 

プレゼンテーション

・[PDF]

20230724-172731

 

 

| | Comments (0)

Rand研究所 セキュリティ・クリアランス・プロセスに関するネット上の誤解を評価する(+米国セキュリティクリアランス関連リンク)

こんにちは、丸山満彦です。

Rand研究所 [wikipedia] が米国のセキュリティ・クリアランス・プロセスに関するネット上の誤解を評価した結果の報告書を公表していますね。。。

米国のセキュリティクリアランス制度はそれ自体が、既得権益ビジネスになっている面もあるのかもしれないですが、わかりにくい面もあるようです。

本来であれば、政府がわかりやすく広報をすればよいというのが、今回の提言のポイントのようにも感じます。

ただ、デジタル評価しずらい面もあるのでしょうね。。。

日本もセキュリティ・クリアランスを考えているようですので、制度運用上の参考になるかもですね。。。

 

Rand Corporation

・2023.07 Assessing Misperceptions Online About the Security Clearance Process

Assessing Misperceptions Online About the Security Clearance Process セキュリティ・クリアランス・プロセスに関するネット上の誤解を評価する
The purpose of this report is to describe and analyze information and potential misinformation available online about the security clearance process that could lead to misperceptions about the process. The security clearance process may seem confusing and opaque to the public, leading some people to seek clarity from others about their own experiences. Seeking out this kind of information from acquaintances, friends, and family is nothing new, but access to the internet allows people to search for additional sources that might offer answers to their questions, as well as inquire of a larger number of people on public forums about this process. 本報告書の目的は、セキュリティ・クリアランスのプロセスに関する誤解を招きかねない、オンラインで入手可能な情報と潜在的誤情報を記述・分析することである。セキュリティ・クリアランスのプロセスは、一般の人々には分かりにくく、不透明なものに見えるかもしれない。知人や友人、家族にこの種の情報を求めることは今に始まったことではないが、インターネットを利用すれば、自分の疑問に対する答えを提供してくれそうな情報源をさらに探したり、このプロセスについて公開フォーラムでより多くの人に問い合わせたりすることができる。
Reviewing the questions and content on such forums provides insight into what people are asking — and what answers they are getting — and reveals areas in which there are potential misperceptions about the process. このようなフォーラムでの質問や内容を検討することで、人々が何を質問し、どのような回答を得ているかについての洞察が得られ、このプロセスについて潜在的な誤解がある分野が明らかになる。
Research Questions 調査項目
1. What types of information about the security clearance process are online? 1. セキュリティ・クリアランスのプロセスについて、オンライン上にはどのような情報があるか。
2. Where are opportunities to clarify areas of confusion about the clearance process? 2. クリアランス手続きについて混乱している部分を明らかにする機会はどこにあるのか。
Key Findings 主な調査結果
・Government sources are comprehensive but more difficult to understand versus nongovernment sources. ・政府の情報源は包括的であるが、非政府の情報源に比べて理解しにくい。
・Most nongovernment information online is not necessarily false but could lead to misperceptions. ・ネット上の非政府情報のほとんどは、必ずしも誤りではないが、誤解を招く可能性がある。
・Popular topics discussed in online forums could lead to misperceptions by some users. ・オンライン・フォーラムで議論されている人気のある話題は、一部の利用者の誤解を招く可能性がある。
Recommendations 提言
・The federal government should develop and release more accessible, easy-to-understand content that explains the nuances of the security clearance process and includes explanations about the whole-person concept, risk factors, and factors that may mitigate risks. ・連邦政府は、セキュリティ・クリアランス・プロセスのニュアンスを説明し、全人格概念、リスク要因、リスクを軽減する要因に関する説明を含む、よりアクセスしやすく理解しやすいコンテンツを開発し、公開すべきである。
・The federal government should periodically assess online information about the security clearance process to understand what information and misperceptions should be addressed. ・連邦政府は、セキュリティ・クリアランス・プロセスに関するオンライン情報を定期的に評価し、どのような情報や誤解に対処すべきかを理解すべきである。
・The federal government should consider an effort to conduct targeted outreach on some of these online forums that directs users to more official sources. ・連邦政府は、こうしたオンライン・フォーラムの一部で、利用者をより公式な情報源に誘導するような、的を絞ったアウトリーチを実施する取り組みを検討すべきである。
・The federal government should evaluate the effectiveness of outreach on popular online forums. ・連邦政府は、人気のあるオンライン・フォーラムにおけるアウトリーチの効果を評価すべきである。
Table of Contents 目次
Chapter One: Introduction 第1章:序文
Chapter Two: Analysis of Publicly Available Online Government and Nongovernment Information 第2章:一般に公開されている政府および非政府のオンライン情報の分析
Chapter Three: Analysis of Information Shared in Online Discussions About the Security Clearance Process 第3章:セキュリティ・クリアランス・プロセスに関するオンライン・ディスカッションで共有された情報の分析
Chapter Four: Conclusion and Recommendations 第4章:結論と提言
Appendix A: Methodological Details 附属書A:方法論の詳細
Appendix B: Full Government Source Document Table 附属書B:政府資料全文表

 

・[PDF]

20230724-24025

・[DOCX] 仮訳

 

 

国家安全保障に関する質問票 (SF-86)

U.S. Office of Personnel Management(米国人事管理局)

この標準書式86は136ページありますね...

・2016.11 [PDF] Standard Form 86 - QUESTIONNAIRE FOR NATIONAL SECURITY POSITIONS

20230724-25317

質問項目抜粋...

Section 1 - Full Name セクション1 ・氏名
Section 2 - Date of Birth セクション2 ・生年月日
Section 3 - Place of Birth セクション3 ・出生地
Section 4 - Social Security Number セクション4 ・社会保障番号
Section 6 - Your Identifying Information セクション6 ・あなたの識別情報
Section 7 - Your Contact Information セクション7 ・連絡先情報
Section 8 - U.S. Passport Information セクション8 ・米国パスポート情報
Section 9 – Citizenship セクション9 - 市民権
9.1 Complete the following if you answered that you are a U.S. citizen or national by birth, born to U.S. parent(s) in a foreign country. 9.1 外国で米国の両親から生まれた米国市民または米国籍であると答えた場合は、以下に記入する。
9.2 Complete the following if you answered that you are a naturalized U.S. citizen. 9.2 あなたが帰化した米国市民であると答えた場合は、以下を記入すること。
9.3 Complete the following if you answered that you are a derived U.S. citizen. 9.3 あなたが派生米国市民であると答えた場合、以下を記入すること。
9.4 Complete the following if you answered that you are not a U.S. citizen. 9.4 米国市民でないと答えた場合は、以下の項目を記入すること。
Section 10 - Dual/Multiple Citizenship & Foreign Passport Information セクション10 - 二重/多重国籍および外国パスポート情報
10.1 Do you now or have you EVER held dual/multiple citizenships? 10.1 あなたは現在、または過去に二重/多重国籍を持っていたか?
10.2 Have you EVER been issued a passport (or identity card for travel) by a country other than the U.S.? 10.2 米国以外の国からパスポート(または旅行用のIDカード)を発行されたことがあるか。
Section 11 - Where You Have Lived セクション11 - 住んだことがある場所
Section 12 - Where You Went to School セクション12 - 出身校
Section 13A - Employment Activities セクション13A  - 雇用活動
13A.1 Complete the following if employment type is Active Duty, National Guard/Reserve, or USPHS Commissioned Corps. 13A.1 雇用形態が現役、州兵/予備役、USPHS Commissioned Corps の場合は、以下に記入する。
13A.2 Complete the following if employment type is other federal employment, state government, federal contractor, non-government, or other. 13A.2 雇用形態がその他の連邦政府雇用、州政府、連邦政府請負業者、非政府、その他の場合は、以下の項目を記入する。
13A.3 Complete the following if employment type is self-employment 13A.3 雇用形態が自営業の場合は、以下を記入する。
13A.4 Complete the following if employment type is unemployment. 13A.4 雇用形態が失業である場合は、以下を記入する。
13A.5 Complete the following if employment type is Active Duty, National Guard/Reserve, USPHS Commissioned Corps, Other Federal employment, State Government, Federal Contractor, Non-government employment, Self-Employment, or Other. 13A.5 雇用形態が現役、州兵/予備役、USPHS嘱託、その他の連邦雇用、州政府、連邦請負業者、非政府雇用、自営業、その他の場合は、以下を記入する。
13A.6 Complete the following if employment type is Active Duty, National Guard/Reserve, USPHS Commissioned Corps, Other Federal employment, State Government, Federal Contractor, Non-government employment, Self-Employment, or Other. 13A.6 雇用形態が現役、州兵/予備役、USPHS嘱託兵、その他の連邦雇用、州政府、連邦請負業者、非政府雇用、自営業、その他の場合は、以下を記入する。
Section 14 - Selective Service Record (www.sss.gov) セクション14 - 選択サービス記録 (www.sss.gov)
Section 15 - Military History セクション15 - 軍歴
Section 16 - People Who Know You Well セクション16 - あなたをよく知る人
Section 17 - Marital/Relationship Status セクション17 - 婚姻/交際の状況
Provide three people who know you well and who preferably live in the U.S. They should be friends, peers, colleagues, college roommates, associates, etc., who are collectively aware of your activities outside of your workplace, school, or neighborhood, and whose combined association with you covers at least the last seven (7) years. Do not list your spouse, former spouse (s), other relatives, or anyone listed elsewhere on this form. 友人、仲間、同僚、大学のルームメイト、同僚など、職場、学校、近所以外でのあなたの活動を知っていて、あなたとの付き合いが少なくとも過去7年以上ある人。配偶者、元配偶者、その他の親族、または本書式に別記されている人物は記載しないこと。
17.1 Provide three people who know you well and who preferably live in the U.S. They should be friends, peers, colleagues, college roommates, associates, etc., who are collectively aware of your activities outside of your workplace, school, or neighborhood, and whose combined association with you covers at least the last seven (7) years. Do not list your spouse, former spouse (s), other relatives, or anyone listed elsewhere on this form. 17.1 あなたのことをよく知っていて、できれば米国に住んでいる人を3人記入すること。友人、仲間、同僚、大学のルームメイト、同僚など、職場、学校、近所以外でのあなたの活動を知っていて、あなたとの付き合いが少なくとも過去7年間に及ぶ人であること。配偶者、元配偶者、その他の親族、または本書式に他に記載されている人物は記載しないこと。
17.2 Complete the following if you selected "divorced/dissolved", "annulled", or "widowed". Provide information about any person from whom you are divorced/dissolved, annulled, or widowed. 17.2 「離婚・解消」、「婚約破棄」、「寡婦」を選択した場合は、以下を記入すること。離婚・離縁した人、婚約破棄した人、未亡人となった人に関する情報を記入する。
17.3 Do you presently reside with a person, other than a spouse or legally recognized civil union/domestic partner, with whom you share bonds of affection, obligation, or other commitment, as opposed to a person with whom you live for reasons of convenience (e.g. a roommate)? If so, complete the following. If the person was born outside the U.S., provide citizenship information. 17.3 現在、配偶者または法的に認められたシビル・ユニオン/ドメスティック・パートナー以外の人と同居しているか。もしそうなら、以下を記入すること。その人が米国外で生まれた場合は、市民権情報を記入する。
Section 18 – Relatives セクション18 - 親族
18.1 Complete the following if the relative listed is your Mother, Father, Stepmother, Stepfather, Child (including adopted/foster), Stepchild, Brother, Sister, Stepbrother, Stepsister, Half-brother, Half-sister. 18.1 記載されている親族があなたの母、父、継母、継父、子(養子/里子を含む)、継子、兄弟、姉妹、義兄弟、義姉、異母兄弟、異母姉である場合は、以下を記入すること。
18.2 Complete the following if the relative listed is your Mother, Father, Stepmother, Stepfather, Foster parent, Child (including adopted/foster), Stepchild, Brother, Sister, Stepbrother, Stepsister, Half-brother, Half-sister, Father-in-law, Mother-in-law, Guardian and is not deceased. 18.2 記載されている親族があなたの母、父、継母、継父、里親、子(養子/里親を含む)、継子、兄弟、姉妹、義理の兄、義理の姉、異母兄、異母姉、義理の父、義理の母、後見人であり、かつ死亡していない場合は、以下を記入すること。
18.3 Complete the following if the relative listed is your Mother, Father, Stepmother, Stepfather, Child (including adopted/foster), Stepchild, Brother, Sister, Stepbrother, Stepsister, Half-brother, Half-sister and is a U.S. Citizen, foreign born and is deceased.. OR. Complete the following if the relative listed is your Mother, Father, Stepmother, Stepfather, Foster parent, Child (including adopted/foster), Stepchild, Brother, Sister, Stepbrother, Stepsister, Half-brother, Half-sister, Father-in-law, Mother-in-law, Guardian and is a U.S. Citizen, foreign born and has a U.S. or APO/FPO address. 18.3 記載されている親族があなたの母、父、継母、継父、子(養子/養女を含む)、継子、兄弟、姉妹、義兄弟、義姉、異母兄弟、異母姉であり、米国市民、外国生まれ、かつ死亡している場合は、以下を記入する。または 記載されている親族があなたの母、父、継母、継父、里親、子(養子/里親を含む)、継子、兄弟、姉妹、義兄弟、義妹、異母兄弟、異母姉妹、義父、義母、後見人であり、米国市民、外国生まれで、米国またはAPO/FPOに住所がある場合は、以下を記入する。
18.4 Complete the following if the relative listed is your Mother, Father, Stepmother, Stepfather, Foster parent, Child (including adopted/foster), Stepchild, Brother, Sister, Stepbrother, Stepsister, Half-brother, Half-sister, Father-in-law, Mother-in-law, Guardian and is not a U.S. Citizen, has a U.S. address and is not deceased. 18.4 記載されている親族があなたの母、父、継母、継父、里親、子(養子/里親を含む)、継子、兄弟、姉妹、義兄弟、義妹、異母兄弟、異父姉妹、義父、義母、後見人であり、米国市民でなく、米国に住所があり、死亡していない場合は、以下を記入する。
18.5 Complete the following if the relative listed is your Mother, Father, Stepmother, Stepfather, Foster parent, Child (including adopted/foster), Stepchild, Brother, Sister, Stepbrother, Stepsister, Half-brother, Half-sister, Father-in-law, Mother-in-law, Guardian and is not a U.S. Citizen, has a foreign address and is not deceased. 18.5 記載されている親族があなたの母、父、継母、継父、里親、子(養子/里親を含む)、継子、兄弟、姉妹、義兄弟、義妹、異母兄弟、異父姉妹、義父、義母、後見人であり、米国市民でなく、外国に住所があり、死亡していない場合は、以下を記入する。
Section 19 - Foreign Contacts セクション19 - 外国との接触
Do you have, or have you had, close and/or continuing contact with a foreign national within the last seven (7) years with whom you, or your spouse, or legally recognized civil union/domestic partner, or cohabitant are bound by affection, 過去7年以内に、あなた、あなたの配偶者、法的に認められたシビル・ユニオン/ドメスティック・パートナー、または同居人が愛情によって結ばれている外国籍の人と、親密かつ/または継続的な接触があるか、またはあったことがあるか、
influence, common interests, and/or obligation? Include associates as well as relatives, not previously listed in Section 18. 影響力、共通の利益、および/または義務によって結ばれているか?セクション18に記載されていない親族も含む。
Section 20A - Foreign Activities セクション20A - 国外での活動
20A.1 Have you, your spouse or legally recognized civil union/domestic partner, cohabitant, or dependent children EVER had any foreign financial interests (such as stocks, property, investments, bank accounts, ownership of corporate entities, corporate interests or exchange traded funds (ETFs) held in specific geographical or economic sectors) in which you or they have direct control or direct ownership? (Exclude financial interests in companies or diversified mutual funds or diversified ETFs that are publicly traded on a U.S. exchange.) 20A.1 あなた、あなたの配偶者、法的に認められたシビル・ユニオン/ドメスティック・パートナー、同居人、または扶養している子供が、あなたまたは彼らが直接支配している、または直接所有している外国での金融利益(株式、不動産、投資、銀行口座、事業体の所有権、特定の地理的または経済セクターで保有されている企業利益、上場投資信託(ETF)など)を持っていたことがありますか? (米国の取引所で公開されている企業、分散投資型ミューチュアル・ファンド、分散投資型ETFの金融持分を除く)。
20A.2 Have you, your spouse or legally recognized civil union/domestic partner, cohabitant, or dependent children EVER had any foreign financial interests that someone controlled on your behalf? 20A.2 あなた、あなたの配偶者、法的に認められたシビル・ユニオン/ドメスティック・パートナー、同棲者、または扶養している子供が、あなたの代わりに誰かが管理している外国の金融持分を持ったことが過去にあるか。
20A.3 Have you, your spouse or legally recognized civil union/domestic partner, cohabitant, or dependent children EVER owned, or do you anticipate owning, or plan to purchase real estate in a foreign country? 20A.3 あなた、あなたの配偶者、法的に認められたシビル・ユニオン/ドメスティック・パートナー、同居人、または扶養している子供たちが、これまでに外国で不動産を所有したことがあるか、所有する予定があるか、または購入する予定があるか。
20A.4 As a U.S. citizen, have you, your spouse or legally recognized civil union/domestic partner, cohabitant, or dependent children received in the last seven (7) years, or are eligible to receive in the future, any educational, medical, retirement, social welfare, or other such benefit from a foreign country? 20A.4 米国市民として、あなた、あなたの配偶者、法的に認められたシビル・ユニオン/ドメスティック・パートナー、同居人、または扶養している子供が、過去7年間に外国から教育、医療、退職、社会福祉、またはその他の恩恵を受けたことがあるか、または将来受ける資格があるか。
20A.5 Have you EVER provided financial support for any foreign national? 20A.5 あなたはこれまでに外国人に経済的支援を提供したことがあるか?
Section 20B - Foreign Business, Professional Activities, and Foreign Government Contacts セクション20B - 外国でのビジネス、専門職活動、および外国政府との接触
20B.1 Have you in the last seven (7) years provided advice or support to any individual associated with a foreign business or other foreign organization that you have not previously listed as a former employer? (Answer "No" if all your advice or support was authorized pursuant to official U.S. Government business.) 20B.1 過去7年間に、外国企業またはその他の外国組織に関連する個人に対し、助言または支援を提供したことがあるか。(あなたの助言または支援がすべて米国政府の公務に従って認可されたものである場合は、「いいえ」と答えてください)。
20B.2 Have you, your spouse or legally recognized civil union/domestic partner, cohabitant, or any member of your immediate family in the last seven (7) years been asked to provide advice or serve as a consultant, even informally, by any foreign government official or agency? (Answer 'No' if all the advice or support was authorized pursuant to official U.S. Government business.) 20B.2 過去7年間に、あなた、あなたの配偶者または法的に認められたシビル・ユニオン/ドメスティック・パートナー、同居人、またはあなたの肉親の誰かが、外国政府の役人または機関から、非公式であっても助言を提供したり、コンサルタントを務めるよう求められたことがありますか? (助言または支援がすべて米国政府の公務に基づき認可されたものである場合は、「いいえ」と答えてください)。
20B.3 Has any foreign national in the last seven (7) years offered you a job, asked you to work as a consultant, or consider employment with them? 20B.3 過去7年間に、外国人があなたに仕事を依頼したり、コンサルタントとして働くよう求めたり、彼らとの雇用を検討したことがあるか。
20B.4 Have you in the last seven (7) years been involved in any other type of business venture with a foreign national not described above (own, co-own, serve as business consultant, provide financial support, etc.)? 20B.4 過去7年間に、上記以外のタイプの外国人とのビジネス・ベンチャーに関与したことがあるか(所有、共同所有、ビジネス・コンサルタントを務める、財政的支援を提供するなど)。
20B.5 Have you in the last seven (7) years attended or participated in any conferences, trade shows, seminars, or meetings outside the U.S.? (Do not include those you attended or participated in on official business for the U.S. government.) 20B.5 過去7年間に米国外で開催された会議、見本市、セミナー、会合に出席または参加したことがあるか。(米国政府の公務で参加したものは含めない)。
20B.6 Have you or any member of your immediate family in the last seven (7) years had any contact with a foreign government, its establishment (such as embassy, consulate, agency, military service, intelligence or security service, etc.) or its representatives, whether inside or outside the U.S.? (Answer 'No' if the contact was for routine visa applications and border crossings related to either official U.S. Government travel, foreign travel on a U.S. passport, or as a U.S. military service member in conjunction with a U.S. Government military duty.) 20B.6 過去7年間に、あなたまたはあなたの近親者が、米国内外を問わず、外国政府、その施設(大使館、領事館、政府機関、軍事機関、諜報機関、警備機関など)、またはその代表者と接触したことがありますか? (その接触が、米国政府の公式旅行、米国のパスポートを使用した外国旅行、または米国政府の軍事任務に伴う米軍兵士としての旅行のいずれかに関連した、日常的なビザ申請および国境通過のためのものであった場合は、「いいえ」と答えてください)。
20B.7 Have you in the last seven (7) years sponsored any foreign national to come to the U.S. as a student, for work, or for permanent residence? 20B.7 過去7年間に、学生として、就労のために、または永住のために米国に来る外国人のスポンサーになったことがあるか。
20B.8 Have you EVER held political office in a foreign country? 20B.8 外国で政治職に就いたことがあるか。
20B.9 Have you EVER voted in the election of a foreign country? 20B.9 外国の選挙で投票したことがあるか。
Section 20C - Foreign Travel セクション20C - 外国旅行
Have you traveled outside the U.S. in the last seven (7) years? 過去7年間に米国外に旅行したことがあるか?
Section 21 - Psychological and Emotional Health セクション21 - 心理的・感情的健康
The U.S. government recognizes the critical importance of mental health and advocates proactive management of mental health conditions to support the wellness and recovery of Federal employees and others. Every day individuals with mental health conditions carry out their duties without presenting a security risk. While most individuals with mental health conditions do not present security risks, there may be times when such a condition can affect a person’s eligibility for a security clearance. 米国政府は、メンタルヘルスが極めて重要であることを認識し、連邦職員およびその他の人々のウェルネス と回復を支援するために、メンタルヘルス状態の積極的な管理を提唱している。毎日、精神的健康状態にある個人が、安全保障上のリスクをもたらすことなく職務を遂行している。精神的健康状態にあるほとんどの人は、安全保障上のリスクをもたらすことはないが、そのような状態が、その人の安全保障上の資格に影響を与える場合がある。
Individuals experience a range of reactions to traumatic events. For example, the death of a loved one, divorce, major injury, service in a military combat environment, sexual assault, domestic violence, or other difficult work-related, family, personal, or medical issues may lead to grief, depression, or other responses. The government recognizes that mental health counseling and treatment may provide important support for those who have experienced such events, as well as for those with other mental health conditions. Nothing in this questionnaire is intended to discourage those who might benefit from such treatment from seeking it. トラウマとなるような出来事に対して、個人はさまざまな反応を経験する。例えば、最愛の人の死、離婚、大怪我、軍隊での戦闘環境での勤務、性的暴行、家庭内暴力、またはその他の困難な仕事関連、家族、個人的、または医学的問題は、悲嘆、抑うつ、またはその他の反応につながる可能性がある。プロバイダ政府は、メンタルヘルス・カウンセリングや治療が、そのような出来事を経験した人々や、他のメンタルヘルス疾患を持つ人々にとって、重要なサポートを提供する可能性があることを認識している。本アンケートのいかなる記述も、そのような治療から恩恵を受ける可能性のある人々が、そのような治療を受けることを妨げることを意図したものではない。
Mental health treatment and counseling, in and of itself, is not a reason to revoke or deny eligibility for access to classified information or for holding a sensitive position, suitability or fitness to obtain or retain Federal or contract employment, or eligibility for physical or logical access to federally controlled facilities or information systems. Seeking or receiving mental health care for personal wellness and recovery may contribute favorably to decisions about your eligibility. メンタルヘルスの治療やカウンセリングは、それ自体が、機密情報へのアクセスや、機密職を保持する資格、連邦政府または嘱託の雇用を獲得または保持する適性や適性、連邦政府が管理する施設や情報システムへの物理的または論理的なアクセス資格を剥奪または拒否する理由にはならない。個人的な健康や回復のためにメンタルヘルスケアを求めたり受けたりすることは、資格に関する決定に有利に働く可能性がある。
21A Has a court or administrative agency EVER issued an order declaring you mentally incompetent? 21A 裁判所または行政機関から、あなたを精神的に無能力であるとする命令を受けたことがあるか。
21B Has a court or administrative agency EVER ordered you to consult with a mental health professional (for example, a psychiatrist, psychologist, licensed clinical social worker, etc.)? (An order to a military member by a superior officer is not within the scope of this question, and therefore would not require an affirmative response. An order by a military court would be within the scope of the question and would require an affirmative response.) 21B 裁判所または行政機関から、精神衛生の専門家(例えば、精神科医、心理学者、認定臨床ソーシャルワーカーなど)に相談するよう命じられたことがあるか。(上官による軍人への命令はこの質問の範囲ではないため、肯定的な回答は必要ない。軍法会議による命令はこの質問の範囲内であり、肯定的な回答を必要とする)
21C Have you EVER been hospitalized for a mental health condition? 21C 精神疾患で入院したことがあるか。
21D Have you EVER been diagnosed by a physician or other health professional (for example, a psychiatrist, psychologist, licensed clinical social worker, or nurse practitioner) with psychotic disorder, schizophrenia, schizoaffective disorder, delusional disorder, bipolar mood disorder, borderline personality disorder, or antisocial personality disorder? 21D 医師または他の医療専門家(例えば、精神科医、心理学者、認定臨床ソーシャルワーカー、ナースプラクティショナー)によって、精神病性障害、統合失調症、統合失調感情障害、妄想性障害、双極性気分障害、境界性パーソナリティ障害、または反社会性パーソナリティ障害と診断されたことがあるか?
21D.1 Are you currently in treatment? 21D.1 現在治療を受けているか?
21E Do you have a mental health or other health condition that substantially adversely affects your judgment, reliability, or trustworthiness even if you are not experiencing such symptoms today? 21E 現在そのような症状がなくても、あなたの判断力、信頼性、信用性に実質的に悪影響を及ぼすような精神的健康状態またはその他の健康状態があるか?
(Note: If your judgment, reliability, or trustworthiness is not substantially adversely affected by a mental health or other condition, then you should answer "no" even if you have a mental health or other condition requiring treatment. For example, if you are in need of emotional or mental health counseling as a result of service as a first responder, service in a military combat environment, having been sexually assaulted or a victim of domestic violence, or marital issues, but your judgment, reliability or trustworthiness is not substantially adversely affected, then answer "no.") (注) あなたの判断力、信頼性、信用性が、精神的健康状態またはその他の状態によって実質的に悪影響を受けない場合は、治療を必要とする精神的健康状態またはその他の状態であっても、「いいえ」と答えるべきである。例えば、初動対応者としての勤務、軍隊での戦闘環境での勤務、性的暴行や家庭内暴力の被害者、夫婦間の問題などの結果、感情的または精神的なカウンセリングを必要としているが、判断力、信頼性、信用性に実質的な悪影響がない場合は、「いいえ」と回答すること)。
Section 22 - Police Record セクション22 - 警察記録
22.1 Have any of the following happened? (If 'Yes' you will be asked to provide details for each offense that pertains to the actions 22.1 以下のようなことがありましたか(「はい」の場合、その行為に関連する各犯罪の詳細を記入するよう求められる)。
- In the last seven (7) years have you been issued a summons, citation, or ticket to appear in court in a criminal proceeding against you? (Do not check if all the citations involved traffic infractions where the fine was less than $300 and did not include alcohol or drugs) ・過去7年間に,あなたに対する刑事訴訟手続きで,裁判所への出頭を求める召喚状,警告,切符を発行されたことがあるか。(罰金額が300ドル未満で,アルコールや薬物が含まれていない交通違反の場合はチェックしないこと)
- In the last seven (7) years have you been arrested by any police officer, sheriff, marshal or any other type of law enforcement official? ・過去7年間に,警察官,保安官,連邦保安官,その他の法執行官に逮捕されたことがあるか?
- In the last seven (7) years have you been charged with, convicted of, or sentenced for a crime in any court? (Include all qualifying charges, convictions or sentences in any Federal, state, local, military, or non-U.S. court, even if previously listed on this form). ・過去7年間に、何らかの裁判所において犯罪で起訴され、有罪判決を受け、または判決を受けたことがあるか。(連邦、州、地方、軍、または米国以外の裁判所において、対象となるすべての起訴、有罪判決、または判決を含む。過去にこのフォームに記載されていた場合も含む)。
- In the last seven (7) years have you been or are you currently on probation or parole? ・過去7年間に保護観察中または仮釈放中であったか?
- Are you currently on trial or awaiting a trial on criminal charges? ・現在,刑事責任について裁判中であるか,裁判を待っているか。
22.2 Other than those offenses already listed, have you EVER had the following happen to you? 22.2 既に記載した犯罪以外で、これまでに以下のようなことがあったか?
- Have you EVER been convicted in any court of the United States of a crime, sentenced to imprisonment for a term exceeding 1 year for that crime, and incarcerated as a result of that sentence for not less than 1 year? (Include all qualifying convictions in Federal, state, local, or military court, even if previously listed on this form) ・米国の裁判所で犯罪により有罪判決を受け、その犯罪により1年を超える禁固刑を言い渡され、その結果1年以上収監されたことがあるか?(連邦裁判所、州裁判所、地方裁判所、軍法会議で有罪とされ、1年以上収監されたことがあるか。)
- Have you EVER been charged with any felony offense? (Include those under the Uniform Code of Military Justice and non-military/civilian felony offenses) ・重罪で起訴されたことがあるか?Uniform Code of Military Justice(統一軍事裁判規範)に基づくもの、および非軍事/民間重罪を含む。
- Have you EVER been convicted of an offense involving domestic violence or a crime of violence (such as battery or assault) against your child, dependent, cohabitant, spouse or legally recognized civil union/domestic partner, former spouse or legally recognized civil union/ domestic partner, or someone with whom you share a child in common? ・子供、扶養家族、同居人、配偶者、法的に認められたシビル・ユニオン/ドメスティック・パートナー、元配偶者、法的に認められたシビル・ユニオン/ドメスティック・パートナー、または共通の子供を持つ人に対するドメスティック・バイオレンスまたは暴力犯罪(暴力や暴行など)を含む犯罪で有罪判決を受けたことがある?
- Have you EVER been charged with an offense involving firearms or explosives? ・これまでに銃器や爆発物を含む犯罪で起訴されたことがあるか?
- Have you EVER been charged with an offense involving alcohol or drugs? ・アルコールまたは薬物を含む犯罪で起訴されたことがあるか?
Section 23 - Illegal Use of Drugs and Drug Activity セクション23 - 薬物の違法使用と薬物活動
23.1 In the last seven (7) years, have you illegally used any drugs or controlled substances? Use of a drug or controlled substance includes injecting, snorting, inhaling, swallowing, experimenting with or otherwise consuming any drug or controlled substance. 23.1 過去7年間に、薬物または規制薬物を違法に使用したことがあるか?薬物または規制薬物の使用には、薬物または規制薬物の注射、吸引、嚥下、実験、その他の摂取が含まれる。
23.2 In the last seven (7) years, have you been involved in the illegal purchase, manufacture, cultivation, trafficking, production, transfer, shipping, receiving, handling or sale of any drug or controlled substance? 23.2 過去7年間に、薬物または規制薬物の違法な購入、製造、栽培、密売、生産、譲渡、出荷、受領、取り扱い、または販売に関与したことがあるか?
23.3 Have you EVER illegally used or otherwise been illegally involved with a drug or controlled substance while possessing a security clearance other than previously listed? 23.3 以前に記載した以外のセキュリティ・クリアランスを保有している間に、薬物または規制薬物を違法に使用したこと、またはその他の方法で違法に関与したことがあるか?
23.4 Have you EVER illegally used or otherwise been involved with a drug or controlled substance while employed as a law enforcement officer, prosecutor, or courtroom official; or while in a position directly and immediately affecting the public safety other than previously listed? 23.4 過去に、法執行官、検察官、法廷職員として雇用されている間、または先に列挙した以外の、公共の安全に直接かつ即座に影響を与える職に就いている間に、薬物または規制薬物を違法に使用したことがあるか、またはその他の方法で違法に関与したことがあるか。
23.5 In the last seven (7) years have you intentionally engaged in the misuse of prescription drugs, regardless of whether or not the drugs were prescribed for you or someone else? 23.5 過去7年間において、自分または他人のために処方されたか否かを問わず、処方薬の誤用に意図的に関与したことがあるか。
23.6 Have you EVER been ordered, advised, or asked to seek counseling or treatment as a result of your 23.6 薬物や規制薬物の違法使用の結果、カウンセリングや治療を受けるよう命じられたり、忠告されたり、求められたことがあるか。
illegal use of drugs or controlled substances? 薬物や規制薬物を違法に使用したことがあるか。
23.7 Have you EVER voluntarily sought counseling or treatment as a result of your use of a drug or controlled substance? 23.7 薬物や規制薬物を使用した結果、自発的にカウンセリングや治療を受けたことがあるか?
Section 24 - Use of Alcohol セクション24 - アルコールの使用
24.1 In the last seven (7) years has your use of alcohol had a negative impact on your work performance, your professional or personal relationships, your finances, or resulted in intervention by law enforcement/public safety personnel? 24.1 過去7年間に、アルコールの使用により、仕事の業績、仕事上または個人的な人間関係、金銭面に悪影響が及んだことがあるか、または法執行機関/公安職員による介入を受けたことがあるか。
24.2 Have you EVER been ordered, advised, or asked to seek counseling or treatment as a result of your use of alcohol? 24.2 アルコール使用の結果、カウンセリングや治療を受けるよう命じられたり、助言されたり、求められたことがある?
24.3 Have you EVER voluntarily sought counseling or treatment as a result of your use of alcohol? 24.3 アルコール使用の結果、自発的にカウンセリングや治療を受けたことがあるか。
24.4 Have you EVER received counseling or treatment as a result of your use of alcohol in addition to what you have already listed on this form? 24.4 この用紙にすでに記入した以外に、アルコール使用の結果としてカウンセリングや治療を受けたことがあるか?
Section 25 - Investigations and Clearance Record セクション25 - 調査およびクリアランス記録
25.1 Has the U.S. Government (or a foreign government) EVER investigated your background and/or granted you a security clearance eligibility/access? 25.1 米国政府(または外国政府)は、これまでにあなたの経歴を調査したことがあるか、および/または、セキュリティ・クリアランスの資格/アクセス権を付与したことがあるか。
25.2 Have you EVER had a security clearance eligibility/access authorization denied, suspended, or revoked? (Note: An administrative downgrade or administrative termination of a security clearance is not a revocation.) 25.2 あなたはこれまでに、セキュリティ・クリアランス資格/アクセス認可を拒否された、一時停止された、または取り消されたことがあるか?(注意:管理上の資格の格下げまたは管理上の資格の抹消は取り消しではない)。
25.3 Have you EVER been debarred from government employment? 25.3 政府雇用の資格停止処分を受けたことがある?
Section 26 - Financial Record セクション26 - 財務記録
26.1 In the last seven (7) years have you filed a petition under any chapter of the bankruptcy code? 26.1 過去7年間に、破産法のいずれかの章に基づく申立てを行ったことがあるか。
26.2 Have you EVER experienced financial problems due to gambling? 26.2 ギャンブルが原因で金銭的な問題を起こしたことがあるか。
26.3 In the last seven (7) years have you failed to file or pay Federal, state, or other taxes when required by law or ordinance? 26.3 過去7年間に、連邦税、州税、またはその他の税金を、法律や条例で義務付けられているにもかかわらず、申告または納付しなかったことがあるか。
26.4 In the last seven (7) years have you been counseled, warned, or disciplined for violating the terms of agreement for a travel or credit card provided by your employer? 26.4 過去7年間に、雇用主から提供された旅行カードまたはクレジットカードの契約条件に違反し、助言、警告、または懲戒処分を受けたことがあるか。
26.5 Are you currently utilizing, or seeking assistance from, a credit counseling service or other similar resource to resolve your financial difficulties? 26.5 あなたは現在、経済的困難を解決するために、信用カウンセリング・サービスまたはその他の同様のリソースを利用しているか、またはそのようなリソースからの援助を求めているか?
26.6 Other than previously listed, have any of the following happened to you? (You will be asked to provide details about each financial obligation that pertains to the items identified below) 26.6 前に挙げた以外で、以下のようなことがあなたに起こったことがあるか?(以下に識別される項目に関連する各金銭的債務について詳細を記入するよう求められる)。
- In the last seven (7) years, you have been delinquent on alimony or child support payments. ・過去7年間に,扶養料または養育費を滞納したことがある。
- In the last seven (7) years, you had a judgment entered against you. (Include financial obligations for which you were the sole debtor, as well as those for which you were a cosigner or guarantor). ・過去7年間に、あなたに対して判決が下された。(あなたが単独で債務者であった金融債務、および連帯保証人または保証人であった金融債務を含む)。
- In the last seven (7) years, you had a lien placed against your property for failing to pay taxes or other debts. (Include financial obligations for which you were the sole debtor, as well as those for which you were a cosigner or guarantor). ・過去7年間に、税金やその他の債務の支払いを怠ったために、財産に対して先取特権を設定されたことがある。(あなたが連帯保証人または保証人であった債務だけでなく、あなたが単独で債務者であった債務も含む)。
- You are currently delinquent on any Federal debt. (Include financial obligations for which you are the sole debtor, as well as those for which you are a cosigner or guarantor). ・現在、連邦債務を滞納している。(あなたが唯一の債務者である金融債務、およびあなたが連帯保証人または保証人である金融債務を含む)。
26.7 Other than previously listed, have any of the following happened? 26.7 過去に記載した以外に、以下のようなことがあったか?
- In the last seven (7) years, you had any possessions or property voluntarily or involuntarily repossessed or foreclosed? (Include financial obligations for which you were the sole debtor, as well as those for which you were a cosigner or guarantor). ・過去7年間で、自発的または非自発的に所有物や財産を差し押さえられたか?(あなたが唯一の債務者であった金融債務、およびあなたが連帯保証人または保証人であった金融債務を含む)。
- In the last seven (7) years, you defaulted on any type of loan? (Include financial obligations for which you were the sole debtor, as well as those for which you were a cosigner or guarantor). ・過去7年間に、何らかのローンで債務不履行に陥ったことがあるか(あなたが唯一の債務者であった金融債務だけでなく、あなたが連帯保証人または保証人であった金融債務も含む)。
- In the last seven (7) years, you had bills or debts turned over to a collection agency? (Include financial obligations for which you were the sole debtor, as well as those for which you were a cosigner or guarantor). ・過去7年間で、請求書や債務が債権回収会社に引き渡されたことがあるか?(あなたが唯一の債務者であった金融債務、およびあなたが連帯保証人または保証人であった金融債務を含む)。
- In the last seven (7) years, you had any account or credit card suspended, charged off, or cancelled for failing to pay as agreed? (Include financial obligations for which you were the sole debtor, as well as those for which you were a cosigner or guarantor). ・過去7年間に、口座やクレジットカードの利用停止、チャージオフ、解約を受けたことがあるか。(あなたが唯一の債務者であった金融債務、およびあなたが連帯保証人または保証人であった金融債務を含む)。
- In the last seven (7) years, you were evicted for non-payment? ・過去7年間に,未払いを理由に立ち退きを命じられたことがあるか?
- In the last seven (7) years, you had wages, benefits, or assets garnished or attached for any reason? ・過去7年間に,何らかの理由で給料,給付金,資産を差し押さえられたか?
- In the last seven (7) years, you were over 120 days delinquent on any debt not previously entered? (Include financial obligations for which you were the sole debtor, as well as those for which you were a cosigner or guarantor). ・過去7年間に、未入力の債務を120日以上延滞したか?(あなたが単独で債務者であった金融債務、連帯保証人または保証人であった金融債務を含む)。
- You are currently over 120 days delinquent on any debt? (Include financial obligations for which you are the sole debtor, as well as those for which you are a cosigner or guarantor). ・現在、120日以上滞納している債務があるか(あなたが唯一の債務者である金融債務、およびあなたが連帯保証人または保証人である金融債務を含む)。
Section 27 - Use of Information Technology Systems セクション27 - 情報技術の使用
27.1 In the last seven (7) years have you illegally or without proper authorization accessed or attempted to access any information technology system? 27.1 過去7年間に、不正に、または適切な認可なしに、情報技術システムにアクセスした、またはアクセスを試みたことがあるか?
27.2 In the last seven (7) years have you illegally or without authorization, modified, destroyed, manipulated, or denied others access to information residing on an information technology system or attempted any of the above? 27.2 過去7年間に、不法に、または認可を受けずに、情報技術システム上に存在する情報を修正、破壊、操作、または他者によるアクセスを拒否したことがあるか、または上記のいずれかを試みたことがあるか。
27.3 In the last seven (7) years have you introduced, removed, or used hardware, software, or media in connection with any information technology system without authorization, when specifically prohibited by rules, procedures, guidelines, or regulations or attempted any of the above? 27.3 過去7年間に、規則、手順、ガイドライン、または規制によって特に禁止されている場合に、認可を受けずに、情報技術システムに関連するハードウェア、ソフトウェア、またはメディアを導入、削除、または使用したことがあるか、または上記のいずれかを試みたことがあるか。
Section 28 - Involvement in Non-Criminal Court Actions セクション28-  非刑事裁判への関与
In the last ten (10) years, have you been a party to any public record civil court action not listed elsewhere on this form? 過去10年間に、このフォームの他の箇所に記載されていない、公文書による民事裁判の当事者となったことがあるか。
Section 29 - Association Record セクション29 - 関連記録
29.1 Are you now or have you EVER been a member of an organization dedicated to terrorism, either with an awareness of the organization's dedication to that end, or with the specific intent to further such activities? 29.1 あなたは現在、あるいは過去に一度でも、テロリズムを目的とする組織のメンバーであり、その組織がテロリズムを目的としていることを認識しながら、あるいはそのような活動を推進する具体的な意図を持っていたか?
29.2 Have you EVER knowingly engaged in any acts of terrorism? 29.2 あなたはこれまでに、故意にテロ行為に関与したことがあるか?
29.3 Have you EVER advocated any acts of terrorism or activities designed to overthrow the U.S. Government by force? 29.3 米国政府を武力で転覆させようとするテロ行為や活動を提唱したことがあるか?
29.4 Have you EVER been a member of an organization dedicated to the use of violence or force to overthrow the United States Government, and which engaged in activities to that end with an awareness of the organization's dedication to that end or with the specific intent to further such activities? 29.4 米国政府を転覆させるために暴力や武力を行使することを目的とし、そのような目的に対する組織の献身を意識して、またはそのような活動を推進する具体的な意図をもって、そのような目的に向けた活動に従事する組織の加盟者であったことがあるか。
29.5 Have you EVER been a member of an organization that advocates or practices commission of acts of force or violence to discourage others from exercising their rights under the U.S. Constitution or any state of the United States with the specific intent to further such action? 29.5 あなたはこれまでに、米国憲法または米国のいずれかの州に基づく権利の行使を他者に思いとどまらせるために、そのような行為を助長する具体的な意図をもって、武力行為または暴力行為の実行を提唱または実践する団体の加盟国になったことがあるか。
29.6 Have you EVER knowingly engaged in activities designed to overthrow the U.S. Government by force? 29.6 武力による米国政府の転覆を意図した活動に、故意に関与したことがあるか?
29.7 Have you EVER associated with anyone involved in activities to further terrorism? 29.7 テロリズムを助長する活動に関与する人物と関係を持ったことがあるか?

 

 

国家安全保障裁定ガイドライン

(国家情報長官室)

・ 2017.06.08 [PDF] Security Executive Agent Directive 4; SEAD-4 - National Security Adjudicative Guidelines

20230724-30456

・[DOCX] 仮訳

 

 

Performancece.gov

Performance.gov

Trusted Workforce 2.0

 

 

 

ちなみに、全体をパッと理解するには、有本真由弁護士の資料がわかりやすいかもです...

日本安全保障貿易学会 - 第34回 日本安全保障貿易学会 研究大会終了

第34回研究大会

・2022.09.11 [PDF] テーマセッション パート2 <経済安全保障について> セキュリティクリアランスについて~米国を中心に

20230724-33842

 

| | Comments (0)

2023.07.23

NIST SP 800-219r1 macOSセキュリティ・コンプライアンス・プロジェクト(mSCP)による自動化された安全な構成のガイダンス

こんにちは、丸山満彦です。

NISTがSP 800-219 macOSセキュリティ・コンプライアンス・プロジェクト(mSCP)による自動化された安全な構成のガイダンスの改訂版を公表しています。OSのバージョンアップに合わせて変更していかないといけないので、大変ですね。。。

 

NIST - ITL

・2023.07.23 NIST SP 800-219 Rev. 1 Automated Secure Configuration Guidance from the macOS Security Compliance Project (mSCP)

NIST SP 800-219 Rev. 1 Automated Secure Configuration Guidance from the macOS Security Compliance Project (mSCP) NIST SP 800-219 Rev. 1 macOSセキュリティコンプライアンスプロジェクト(mSCP)による自動化されたセキュアな構成ガイダンス
Abstract 概要
The macOS Security Compliance Project (mSCP) provides resources that system administrators, security professionals, security policy authors, information security officers, and auditors can leverage to secure and assess macOS desktop and laptop system security in an automated way. This publication introduces the mSCP and gives an overview of the resources available from the project’s GitHub site, which is continuously curated and updated to support each new release of macOS. The GitHub site provides practical, actionable recommendations in the form of secure baselines and associated rules. This publication also describes use cases for leveraging the mSCP content. Updates from the previous version of this publication mainly involve the new mSCP capability to create a custom benchmark by tailoring a baseline. macOSセキュリティコンプライアンスプロジェクト(mSCP)は、システム管理者、セキュリティ専門家、セキュリティポリシー作成者、情報セキュリティ担当者、監査人が、macOSデスクトップおよびラップトップシステムのセキュリティを自動化された方法で確保し、評価するために活用できるリソースを提供する。本書では、mSCPを紹介し、プロジェクトのGitHubサイトで利用可能なリソースの概要を説明する。GitHubサイトは、macOSの新しいリリースをサポートするために継続的にキュレーションされ、更新されている。GitHubサイトでは、セキュアなベースラインと関連するルールの形で、実用的で実行可能な推奨事項を提供している。本書では、mSCPのコンテンツを活用するための使用例についても説明する。本書の前バージョンからの更新点は、ベースラインをカスタマイズしてカスタムベンチマークを作成する新しいmSCP機能に関するものである。

 

・[PDF] NIST.SP.800-219r1

20230722-163901

 

目次...

1. Introduction 1. 序文
1.1. Purpose and Scope 1.1. 目的と範囲
1.2. Audience 1.2. オーディエンス
1.3. Relevance to NIST SP 800-70 and the National Checklist Program 1.3. NIST SP 800-70及び国家チェックリスト・プログラムとの関連性
1.4. Document Structure 1.4. 文書構造
2. Project Description 2. プロジェクトの説明
2.1. Project Goals 2.1. プロジェクトの目標
2.2. mSCP Content Use 2.2. mSCPコンテンツの使用
3. mSCP Components 3. mSCPコンポーネント
3.1. Baselines and Benchmarks 3.1. ベースラインとベンチマーク
3.2. ecurity Baseline Files 3.2. セキュリティ・ベースライン・ファイル
3.2.1. Rule File Composition 3.2.1. ルールファイルの構成
3.2.2. Rule File Categories 3.2.2. ルールファイルのカテゴリー
3.3. Configuration Profiles and Scripts 3.3. 構成プロファイルとスクリプト
3.4. Content Generation Scripts 3.4. コンテンツ生成スクリプト
3.4.1. Generate Baseline Script 3.4.1. ベースライン・スクリプトの生成
3.4.2. Generate Guidance Script 3.4.2. ガイダンススクリプトの生成
3.4.3. macOS Security Compliance Tool 3.4.3. macOSセキュリティコンプライアンスツール
3.4.4. SCAP Generation Script 3.4.4. SCAP生成スクリプト
3.4.5. Generate Mapping Script 3.4.5. マッピングスクリプトの生成
3.5. Customization 3.5. カスタマイズ
3.6. Directories 3.6. ディレクトリ
References 参考文献
Appendix A. mSCP User Roles 附属書A mSCPのユーザーロール
Appendix B. Example of mSCP Usage by a Security Professional 附属書 B. セキュリティ専門家による mSCP の使用例
Appendix C. Example of Creating a Benchmark Using ODVs 附属書 C. ODVを使ったベンチマーク作成例
Appendix D. Example of mSCP Usage by an Assessment Tool Vendor 附属書 D. 評価ツールベンダーによる mSCP の使用例
Appendix E. List of Symbols, Abbreviations, and Acronyms 附属書 E. 記号、略語、頭字語のリスト
Appendix F. Change Log 附属書 F. 変更ログ

 


 

関連情報...

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.03.19 NIST SP 800-219r1(ドラフト)macOSセキュリティ・コンプライアンス・プロジェクト(mSCP)による自動化された安全な構成のガイダンス

・2022.02.19 NIST SP 800-219(ドラフト)macOSセキュリティ・コンプライアンス・プロジェクト(mSCP)による自動化された安全な構成のガイダンス

| | Comments (0)

NIST SP 1800-35(第2次初期ドラフト) ゼロトラストアーキテクチャの実装 (Vol. B, C)

こんにちは、丸山満彦です。

米国連邦政府は、Zero Trustの導入をすすめているのですが、規模も大きいですし、大変なようです。

1800-35は1年ぶりにドラフトの更新です。。。

 

NIST - ITL

・2023.07.19 NIST SP 1800-35 (2nd Preliminary Draft) Implementing a Zero Trust Architecture

 

NIST SP 1800-35 (2nd Preliminary Draft) Implementing a Zero Trust Architecture NIST SP 1800-35(第2次初期ドラフト) ゼロ・トラスト・アーキテクチャの実装
Announcement 発表
The Zero Trust Architecture (ZTA) team at NIST's National Cybersecurity Center of Excellence (NCCoE) has published the third version of volumes B and C of a preliminary draft practice guide titled "Implementing a Zero Trust Architecture” and is seeking the public's comments on their contents. NISTの国立サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)のゼロトラスト・アーキテクチャ(ZTA)チームは、「Implementing a Zero Trust Architecture」と題する初期ドラフト実践ガイドのB巻とC巻の第3版を公表し、その内容に関する一般からのコメントを求めている。
This guide summarizes how the NCCoE and its collaborators are using commercially available technology to build interoperable, open standards-based ZTA example implementations that align to the concepts and principles in NIST Special Publication (SP) 800-207, Zero Trust Architecture.  このガイドは、NCCoEとその協力者が、NIST特別刊行物(SP)800-207「ゼロトラスト・アーキテクチャ」の概念と原則に沿った、相互運用可能なオープン標準ベースのZTA実装例を構築するために、市販の技術をどのように利用しているかをまとめたものである。 
The updated versions of volumes B and C describe ten ZTA implementations, demonstrating how blends of commercially available technologies can be integrated and brought into play to build various types of ZTAs. We will continue to update the volumes of NIST SP 1800-35 appropriately as needed as we make significant progress on the project. B巻とC巻の更新版では、10種類のZTA実装について説明し、市販の技術をどのように統合し、さまざまなタイプのZTAを構築できるかを実証している。 NIST SP 1800-35の各巻は、プロジェクトが大きく進展するにつれ、必要に応じて適宜更新していく予定である。
As an enterprise’s data and resources have become distributed across the on-premises environment and multiple clouds, protecting them has become increasingly challenging. Many users need access from anywhere, at any time, from any device. The NCCoE is addressing these challenges by collaborating with industry participants to demonstrate several approaches to a zero trust architecture applied to a conventional, general-purpose enterprise IT infrastructure on-premises and in the cloud. エンタープライズのデータとリソースがオンプレミス環境と複数のクラウドに分散するようになり、それらの保護はますます困難になっている。多くのユーザーは、いつでも、どこからでも、どのデバイスからでもアクセスする必要がある。NCCoEは、業界参加者と協力し、オンプレミスおよびクラウド上の従来の汎用エンタープライズITインフラに適用されるゼロトラスト・アーキテクチャへのいくつかのアプローチを実証することで、これらの課題に取り組んでいる。
Abstract 概要
A zero trust architecture (ZTA) focuses on protecting data and resources. It enables secure authorized access to enterprise resources that are distributed across on-premises and multiple cloud environments, while enabling a hybrid workforce and partners to access resources from anywhere, at any time, from any device in support of the organization’s mission. Each access request is evaluated by verifying the context available at access time, including criteria such as the requester’s identity and role, the requesting device’s health and credentials, the sensitivity of the resource, user location, and user behavior consistency. If the enterprise’s defined access policy is met, a secure session is created to protect all information transferred to and from the resource. A real-time and continuous policy-driven, risk-based assessment is performed to establish and maintain the access. In this project, the NCCoE and its collaborators use commercially available technology to build interoperable, open, standards-based ZTA implementations that align to the concepts and principles in NIST Special Publication (SP) 800-207, Zero Trust Architecture. This NIST Cybersecurity Practice Guide explains how commercially available technology can be integrated and used to build various ZTAs. ゼロトラスト・アーキテクチャ(ZTA)は、データとリソースの保護に重点を置く。オンプレミスや複数のクラウド環境に分散しているエンタープライズリソースへの安全な認証アクセスを可能にし、同時にハイブリッドワーカーやパートナーが、組織のミッションをサポートするために、いつでも、どこからでも、どのデバイスからでもリソースにアクセスできるようにする。各アクセス・リクエストは、アクセス時に利用可能なコンテキストを検証することで評価される。これには、リクエスト元のアイデンティティや役割、リクエスト元のデバイスの状態や認証情報、リソースの機密性、ユーザーの場所、ユーザーの行動の一貫性などの基準が含まれる。エンタープライズで定義されたアクセス・ポリシーに合致する場合、リソースとの間で転送されるすべての情報を保護するためのセキュアなセッションが作成される。リアルタイムかつ継続的なポリシー駆動型のリスクベースのアセスメントが実行され、アクセスが確立・維持される。このプロジェクトでは、NCCoE とその協力者は、市販の技術を使用して、NIST 特別刊行物(SP)800-207「Zero Trust Architecture」の概念と原則に沿った、相互運用可能でオープンな標準ベースの ZTA 実装を構築する。この NIST サイバーセキュリティ実践ガイドでは、さまざまな ZTA を構築するために、市販の技術をどのように統合し、使用できるかを説明する。

 

1800-35B

・[PDF] SP1800-35 Volume B: Approach, Architecture, and Security Characteristics


20230722-155105

 

1800-35C

・[PDF] 1899035 Volume C: How-To Guides

20230722-155530

 

補足情報...

・[PDF] NIST SP 1800-35A 2prd

・[PDF] NIST SP 1800-35D 2prd

NIST SP 1800-35E iprd

Project homepage

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.08.10 NIST SP 1800-35 (ドラフト) ゼロトラストアーキテクチャの実装(初期ドラフト)(Vol. C, D)

・2022.07.09 NIST SP 1800-35 (ドラフト) ゼロトラストアーキテクチャの実装(初期ドラフト)(Vol. B)

・2022.06.07 NIST SP 1800-35 (ドラフト) ゼロトラストアーキテクチャの実装(初期ドラフト)(Vol. A)

 

・2021.03.01 米国国家安全保障局 (NSA) ゼロトラストセキュリティモデルに関するガイダンス

・2020.12.14 PwC Japanが「NIST SP800-207 「ゼロトラスト・アーキテクチャ」の解説と日本語訳」を公表していますね。。。

・2020.10.22 NISTのZero Trust Architecture実装プロジェクトに関する文書

・2020.08.14 NIST SP 800-207 Zero Trust Architecture

・2020.02.14 NIST SP 800-207(Draft) Zero Trust Architecture (2nd Draft)


 

 

Continue reading "NIST SP 1800-35(第2次初期ドラフト) ゼロトラストアーキテクチャの実装 (Vol. B, C)"

| | Comments (0)

2023.07.22

米国 ホワイトハウス 7つの米国AI企業が、バイデン政権とした3つの分野の8つの約束

こんにちは、丸山満彦です。

米国の7つのAI企業が、バイデン政権と大きくいうと3つの分野の8つの約束をしたようですね。。。

Voluntary AI Commitments

という表題が米国流かもですね。。。

7つの米国AI企業

  1. Amazon
  2. Anthropic
  3. Google
  4. Inflection
  5. Meta
  6. Microsoft
  7. OpenAI

3つの分野...

キーワードは、safety, security, trust。 日本語にすると、安全、セキュリティ、信頼...このニュアンスの違いをうまく伝えるのは難しいですね。。。

Ensuring Products are Safe Before Introducing Them to the Public 製品を市場に出す前に、その安全性を確認する。
Building Systems that Put Security First セキュリティ第一のシステム構築
Earning the Public’s Trust 国民の信頼を得る


8つの自主的な約束(コミットメント)...

Safety  安全
1) Commit to internal and external red-teaming of models or systems in areas including misuse, societal risks, and national security concerns, such as bio, cyber, and other safety areas.  1) バイオ、サイバー、その他の安全分野など、誤用、社会的リスク、国家安全保障上の懸念を含む領域において、モデルやシステムの社内外でのレッドチーム化にコミットする。
2) Work toward information sharing among companies and governments regarding trust and safety risks, dangerous or emergent capabilities, and attempts to circumvent safeguards   2) 信頼と安全のリスク、危険な、あるいは出現しつつある能力、セーフガードを回避しようとする試みに関して、企業と政府の間で情報共有に努める。 
Security   セキュリティ  
3) Invest in cybersecurity and insider threat safeguards to protect proprietary and unreleased model weights   3) 独自かつ未公開のモデルウェイトを保護するために、サイバーセキュリティと内部脅威の保護措置に投資する。 
4) Incent third-party discovery and reporting of issues and vulnerabilities  4) サードパーティによる問題や脆弱性の発見と報告を奨励する。
Trust   信頼  
5) Develop and deploy mechanisms that enable users to understand if audio or visual content is AI-generated, including robust provenance, watermarking, or both, for AI-generated audio or visual content  5) AIが生成した音声または映像コンテンツについて、堅牢な証明、電子透かし、またはその両方を含め、利用者が音声または映像コンテンツがAI生成的かどうかを理解できる仕組みを開発し、展開する。
6) Publicly report model or system capabilities, limitations, and domains of appropriate and inappropriate use, including discussion of societal risks, such as effects on fairness and bias   6) 公正性やバイアスへの影響など社会的リスクについての議論を含め、モデルやシステムの能力、限界、適切な使用領域と不適切な使用領域を公に報告する。 
7) Prioritize research on societal risks posed by AI systems, including on avoiding harmful bias and discrimination, and protecting privacy  7) 有害なバイアスや差別の回避、プライバシーの保護など、AIシステムがもたらす社会的リスクに関する研究を防御する。
8) Develop and deploy frontier AI systems to help address society’s greatest challenges  8) フロンティアAIシステムを開発・展開し、社会の最も大きな課題の解決に貢献する。

 

国益のために、こういう国際的に影響力を及ぼすことができる米国企業が結束できるところが強いですね。。。

これから、AIについての国際的なルールが作られていくでしょうが、米国、欧州、英国、中国とそれぞれの思惑があります。もちろん、日本にもあるのでしょう。。。

どう落とすかですね。。。

 

U.S. White House

・2023.07.21 FACT SHEET: Biden-Harris Administration Secures Voluntary Commitments from Leading Artificial Intelligence Companies to Manage the Risks Posed by AI

FACT SHEET: Biden-⁠Harris Administration Secures Voluntary Commitments from Leading Artificial Intelligence Companies to Manage the Risks Posed by AI ファクトシート:バイデン-ハリス政権は、AIがもたらすリスクを管理するため、大手人工知能企業の自主的なコミットメントを確保した。
Voluntary commitments – underscoring safety, security, and trust – mark a critical step toward developing responsible AI 安全、安心、信頼を強調する自主的なコミットメントは、責任あるAIの開発に向けた重要な一歩となる。
Biden-Harris Administration will continue to take decisive action by developing an Executive Order and pursuing bipartisan legislation to keep Americans safe バイデン-ハリス政権は、大統領令を策定し、アメリカ人の安全を守るための超党派の法案を追求することで、断固とした行動を取り続ける。
Since taking office, President Biden, Vice President Harris, and the entire Biden-Harris Administration have moved with urgency to seize the tremendous promise and manage the risks posed by Artificial Intelligence (AI) and to protect Americans’ rights and safety. As part of this commitment, President Biden is convening seven leading AI companies at the White House today – Amazon, Anthropic, Google, Inflection, Meta, Microsoft, and OpenAI – to announce that the Biden-Harris Administration has secured voluntary commitments from these companies to help move toward safe, secure, and transparent development of AI technology.    就任以来、バイデン大統領、ハリス副大統領、そしてバイデン-ハリス政権全体は、人工知能(AI)がもたらす非常に大きな可能性を捉え、リスクをマネジメントし、米国人の権利と安全を守るために緊急に動いてきた。このコミットメントの一環として、バイデン大統領は本日、アマゾン、Anthropic、グーグル、Inflection、Meta、マイクロソフト、OpenAIの大手AI企業7社をホワイトハウスに招集し、バイデン-ハリス政権が、AI技術の安全、安心、透明性のある開発への移行を支援するために、これらの企業から自発的なコミットメントを確保したことを発表する。  
Companies that are developing these emerging technologies have a responsibility to ensure their products are safe. To make the most of AI’s potential, the Biden-Harris Administration is encouraging this industry to uphold the highest standards to ensure that innovation doesn’t come at the expense of Americans’ rights and safety. このような新興技術を開発している企業には、その製品の安全性を確保する責任がある。AIの可能性を最大限に活用するため、バイデン-ハリス政権はこの業界に対し、イノベーションが米国人の権利と安全を犠牲にすることのないよう、最高標準を維持するよう奨励している。
These commitments, which the companies have chosen to undertake immediately, underscore three principles that must be fundamental to the future of AI – safety, security, and trust – and mark a critical step toward developing responsible AI. As the pace of innovation continues to accelerate, the Biden-Harris Administration will continue to remind these companies of their responsibilities and take decisive action to keep Americans safe. 各社が直ぐにに着手することを選択したこれらのコミットメントは、AIの将来にとって基本的でなければならない3つの原則(安全、セキュリティ、信頼)を強調するものであり、責任あるAIの開発に向けた重要な一歩となる。技術革新のペースが加速し続けるなか、バイデン-ハリス政権は、これらの企業にその責任を喚起し、アメリカ人の安全を守るために断固とした行動を取り続ける。
There is much more work underway. The Biden-Harris Administration is currently developing an executive order and will pursue bipartisan legislation to help America lead the way in responsible innovation. 現在進行中の仕事はまだたくさんある。バイデン=ハリス政権は現在、大統領令を策定中であり、米国が責任あるイノベーションを先導できるよう、超党派の法案を追求する予定である。
Today, these seven leading AI companies are committing to: 本日、これら7つの主要AI企業は以下のことを約束する:
Ensuring Products are Safe Before Introducing Them to the Public 製品を市場に出す前に、その安全性を確認する。
・The companies commit to internal and external security testing of their AI systems before their release. This testing, which will be carried out in part by independent experts, guards against some of the most significant sources of AI risks, such as biosecurity and cybersecurity, as well as its broader societal effects. ・各社は、AIシステムのリリース前に社内外のセキュリティ・テストを実施する。 このテストは独立した専門家によって実施され、バイオセキュリティーやサイバーセキュリティーのようなAIの最も重大なリスク源や、より広範な社会的影響から保護する。
・The companies commit to sharing information across the industry and with governments, civil society, and academia on managing AI risks. This includes best practices for safety, information on attempts to circumvent safeguards, and technical collaboration. ・各社は、AIのリスクマネジメントについて、業界全体、政府、市民社会、学界と情報を共有することを約束する。 これには、安全性に関するベストプラクティス、セーフガードを回避しようとする試みに関する情報、技術協力などが含まれる。
Building Systems that Put Security First セキュリティ第一のシステム構築
・The companies commit to investing in cybersecurity and insider threat safeguards to protect proprietary and unreleased model weights. These model weights are the most essential part of an AI system, and the companies agree that it is vital that the model weights be released only when intended and when security risks are considered. ・各社は、独自のモデルウェイトや未発表のモデルウェイトを保護するため、サイバーセキュリティや内部脅威に対するセーフガードに投資することを約束する。 これらのモデルウェイトはAIシステムの最も重要な部分であり、両社は、モデルウェイトは意図された場合にのみ、またセキュリティリスクを考慮した場合にのみ公開されることが不可欠であることに同意する。
・The companies commit to facilitating third-party discovery and reporting of vulnerabilities in their AI systems. Some issues may persist even after an AI system is released and a robust reporting mechanism enables them to be found and fixed quickly. ・両社は、サードパーティによるAIシステムの脆弱性の発見と報告を促進することを約束する。 問題の中には、AIシステムがリリースされた後でも残るものがあり、強固な報告メカニズムがあれば、それらを迅速に発見し、修正することができる。
Earning the Public’s Trust 国民の信頼を得る
・The companies commit to developing robust technical mechanisms to ensure that users know when content is AI generated, such as a watermarking system. This action enables creativity with AI to flourish but reduces the dangers of fraud and deception. ・両社は、電子透かしシステムなど、コンテンツがAIによって生成されたものであることをユーザーに確実に伝えるための強固な技術的メカニズムを開発することを約束する。 この措置は、AIによる創造性を開花させるとともに、詐欺や欺瞞の危険性を低減する。
・The companies commit to publicly reporting their AI systems’ capabilities, limitations, and areas of appropriate and inappropriate use. This report will cover both security risks and societal risks, such as the effects on fairness and bias. ・各社は、自社のAIシステムの能力、限界、適切な使用領域と不適切な使用領域を公に報告することを約束する。 この報告書は、セキュリティリスクと、公平性やバイアスへの影響などの社会的リスクの両方をカバーする。
・The companies commit to prioritizing research on the societal risks that AI systems can pose, including on avoiding harmful bias and discrimination, and protecting privacy. The track record of AI shows the insidiousness and prevalence of these dangers, and the companies commit to rolling out AI that mitigates them.    ・各社は、有害なバイアスや差別の回避、プライバシーの保護など、AIシステムがもたらしうる社会的リスクに関する研究を優先することを約束する。 AIの実績は、これらの危険の狡猾さと蔓延を示しており、両社はこれらを低減するAIを展開することを約束する。  
・The companies commit to develop and deploy advanced AI systems to help address society’s greatest challenges. From cancer prevention to mitigating climate change to so much in between, AI—if properly managed—can contribute enormously to the prosperity, equality, and security of all. ・各社は、社会の最大の課題に対処するための高度なAIシステムを開発し、展開することを約束する。 がんの予防から気候変動の低減まで、AIは適切に管理されれば、すべての人の繁栄、平等、安全保障に大きく貢献することができる。
As we advance this agenda at home, the Administration will work with allies and partners to establish a strong international framework to govern the development and use of AI. It has already consulted on the voluntary commitments with Australia, Brazil, Canada, Chile, France, Germany, India, Israel, Italy, Japan, Kenya, Mexico, the Netherlands, New Zealand, Nigeria, the Philippines, Singapore, South Korea, the UAE, and the UK. The United States seeks to ensure that these commitments support and complement Japan’s leadership of the G-7 Hiroshima Process—as a critical forum for developing shared principles for the governance of AI—as well as the United Kingdom’s leadership in hosting a Summit on AI Safety, and India’s leadership as Chair of the Global Partnership on AI. We also are discussing AI with the UN and Member States in various UN fora. 国内でこのアジェンダを推進すると同時に、政府は同盟国やパートナーと協力し、AIの開発と利用を管理する強力な国際的枠組みを確立する。米国はすでに、オーストラリア、ブラジル、カナダ、チリ、フランス、ドイツ、インド、イスラエル、イタリア、日本、ケニア、メキシコ、オランダ、ニュージーランド、ナイジェリア、フィリピン、シンガポール、韓国、アラブ首長国連邦、英国との自主的な約束について協議している。米国は、これらのコミットメントが、AIガバナンスのための共有原則を策定するための重要なフォーラムであるG7広島プロセスにおける日本のリーダーシップや、AIの安全性に関するサミット開催における英国のリーダーシップ、AIに関するグローバル・パートナーシップの議長としてのインドのリーダーシップを確実に支援し、補完することを目指す。 また、国連の様々な場において、国連や加盟国ともAIについて議論している。
Today’s announcement is part of a broader commitment by the Biden-Harris Administration to ensure AI is developed safely and responsibly, and to protect Americans from harm and discrimination. 本日の発表は、AIが安全かつ責任を持って開発され、米国人を危害や差別から守るための、バイデン-ハリス政権によるより広範なコミットメントの一環である。
Earlier this month, Vice President Harris convened consumer protection, labor, and civil rights leaders to discuss risks related to AI and reaffirm the Biden-Harris Administration’s commitment to protecting the American public from harm and discrimination. ・今月初め、ハリス副大統領は消費者保護、労働、公民権のリーダーを招集し、AIに関連するリスクについて話し合い、アメリカ国民を被害や差別から守るというバイデン=ハリス政権のコミットメントを再確認した。
Last month, President Biden met with top experts and researchers in San Francisco as part of his commitment to seizing the opportunities and managing the risks posed by AI, building on the President’s ongoing engagement with leading AI experts. ・先月、バイデン大統領は、AIがもたらす機会を捉え、リスクをマネジメントするためのコミットメントの一環として、サンフランシスコでトップクラスの専門家や研究者と会談した。
In May, the President and Vice President convened the CEOs of four American companies at the forefront of AI innovation—Google, Anthropic, Microsoft, and OpenAI—to underscore their responsibility and emphasize the importance of driving responsible, trustworthy, and ethical innovation with safeguards that mitigate risks and potential harms to individuals and our society. At the companies’ request, the White House hosted a subsequent meeting focused on cybersecurity threats and best practices. ・大統領と副大統領は5月、AIイノベーションの最前線にいる4つの米国企業(グーグル、Anthropic、マイクロソフト、OpenAI)のCEOを招集し、その責任を強調するとともに、個人と社会に対するリスクと潜在的な危害を軽減するセーフガードを備えた、責任ある、信頼できる、倫理的なイノベーションを推進することの重要性を強調した。各社の要請を受けて、ホワイトハウスはサイバーセキュリティの脅威とベストプラクティスに焦点を当てた会議を開催した。
The Biden-Harris Administration published a landmark Blueprint for an AI Bill of Rights to safeguard Americans’ rights and safety, and U.S. government agencies have ramped up their efforts to protect Americans from the risks posed by AI, including through preventing algorithmic bias in home valuation and leveraging existing enforcement authorities to protect people from unlawful bias, discrimination, and other harmful outcomes. ・バイデン-ハリス政権は、米国人の権利と安全を守るための画期的な「AI権利章典」の青写真を発表した。米国政府機関は、AIがもたらすリスクから米国人を保護するための取り組みを強化しており、これには、家庭評価におけるアルゴリズムによるバイアスを防止し、違法な偏見や差別、その他の有害な結果から人々を守るために既存の執行権限を活用することが含まれる。
President Biden signed an Executive Order that directs federal agencies to root out bias in the design and use of new technologies, including AI, and to protect the public from algorithmic discrimination. ・バイデン大統領は、AIを含む新技術の設計と使用におけるバイアスを根絶し、アルゴリズムによる差別から国民を保護するよう連邦政府機関に指示する大統領令に署名した。
Earlier this year, the National Science Foundation announced a $140 million investment to establish seven new National AI Research Institutes, bringing the total to 25 institutions across the country. ・今年初め、全米科学財団は1億4,000万ドルを投じて7つの国立AI研究機構を新設することを発表し、これにより全米で25の機構が設立されることになった。
The Biden-Harris Administration has also released a National AI R&D Strategic Plan to advance responsible AI. ・バイデン=ハリス政権も、責任あるAIを推進するための国家AI研究開発戦略計画を発表した。
・The Office of Management and Budget will soon release draft policy guidance for federal agencies to ensure the development, procurement, and use of AI systems is centered around safeguarding the American people’s rights and safety. ・行政管理予算局は、AIシステムの開発・調達・利用が米国民の権利と安全を守ることを中心としたものであることを確実にするため、連邦政府機関向けの政策指針案を近く発表する。

 

・[PDF] Ensuring Safe, Secure, and Trustworthy AI

20230722-61659

 

仮対訳は下に...

 

記者発表...

・2023.07.21 [YouTube] President Biden Delivers Remarks on Artificial Intelligence

・2023.07.21 Remarks by President Biden on Artificial Intelligence

Remarks by President Biden on Artificial Intelligence 人工知能に関するバイデン大統領の発言
Roosevelt Room ルーズベルト・ルーム
1:18 P.M. EDT 東部夏時間 午後1時18分
THE PRESIDENT:  I’m the AI.  (Laughter.)  If any of you think I’m Abe Lincoln, blame it on the AI. 大統領:私はAIだ。  (笑)。私がエイブ・リンカーンだと思っている人がいたら、AIのせいにしてくれ。
First of all, thanks.  Thanks for coming.  And I want to thank my colleagues here for taking the time to come back again and again as we try to deal with the — we’re joined by leaders of seven American companies who are driving innovation in artificial intelligence.  And it is astounding.  まずは、ありがとう。  来てくれてありがとう。  そして、このような問題に対処するために、時間を割いて何度も足を運んでくれた同僚たちに感謝したい。今回は、人工知能のイノベーションを推進する7つのアメリカ企業のリーダーが参加している。  それは驚くべきことだ。 
Artificial intelligence or — it promises an enormous — an enormous promise of both risk to our society and our economy and our national security, but also incredible opportunities — incredible opportunities. 人工知能は、私たちの社会、経済、そして国家安全保障に対するリスクであると同時に、信じられないようなチャンスでもある。
Just two months ago, Kamala and I met with these leaders — most of them are here again — to underscore the responsibility of making sure that products that they are producing are safe and — and making them public — what they are and what they aren’t. ちょうど2ヶ月前、カマラ副大統領と私はこれらの指導者たち-彼らのほとんどは再びここにいる-と会い、彼らが生産している製品が安全であることを確認し、それが何であり、何でないかを公表する責任を強調した。
Since then, I’ve met with some of America’s top minds in technology to hear the range of perspectives and possibilities and risk of AI. それ以来、私はアメリカのテクノロジー界のトップたちと会い、AIのさまざまな視点や可能性、リスクについて話を聞いてきた。
Kamala can’t be here because she’s traveling to Florida, but she’s met with civil society leaders to hear their concerns about the impacts on society and ways to protect the rights of Americans. カマラ副大統領はフロリダに出張中のためここには来られないが、市民社会のリーダーたちと会い、社会への影響やアメリカ人の権利を守る方法についての懸念を聞いてきた。
Over the past year, my administration has taken action to guide responsible innovation. この1年間、私の政権は責任あるイノベーションを導くための行動をとってきた。
Last October, we introduced a first-of-its-kind AI Bill of Rights. 昨年10月には、世界で初めてのAI権利章典を導入した。
In February, I signed an executive order to direct agencies to protect the public from algorithms that discriminate. 2月には、差別的なアルゴリズムから国民を守るよう各省庁に指示する大統領令に署名した。
In May, we unveiled a new strategy to establish seven new AI research institutes to help drive breakthroughs in responsible AI innovention [innovation]. 5月には、責任あるAIイノベーション(技術革新)のブレークスルーを促進するために、7つの新しいAI研究機構を設立する新戦略を発表した。
And today, I’m pleased to announce that these seven companies have agreed volun- — to voluntary commitments for responsible innovation.  These commitments, which the companies will implement immediately, underscore three fundamental principles: safety, security, and trust. そして本日、これら7社が責任あるイノベーションのための自発的なコミットメントに合意したことを発表できることを嬉しく思う。  各社が直ちに実施するこれらのコミットメントは、安全セキュリティ信頼という3つの基本原則を強調している。
First, the companies have an obligation to make sure their technology is safe before releasing it to the public.  That means testing the capabilities of their systems, assessing their potential risk, and making the results of these assessments public. 第一に、各社はその技術を市場に出す前に、安全性を確認する義務がある。  つまり、システムの機能をテストし、潜在的なリスクを評価し、その結果を公表することである。
Second, companies must prioritize the security of their systems by safeguarding their models against cyber threats and managing the risks to our national security and sharing the best practices and industry standards that are — that are necessary. 第二に、企業はサイバー脅威から自社モデルを守り、国家安全保障に対するリスクをマネジメントし、必要なベストプラクティスと業界標準を共有することで、システムのセキュリティを優先しなければならない。
Third, the companies have a duty to earn the people’s trust and empower users to make informed decisions — labeling content that has been altered or AI-generated, rooting out bias and discrimination, strengthening privacy protections, and shielding children from harm. 第三に、企業は国民の信頼を獲得し、ユーザーが十分な情報を得た上で意思決定できるようにする義務がある。改ざんされたコンテンツやAIが生成したコンテンツにはラベルを付け、バイアスと差別を根絶し、プライバシー保護を強化し、子どもたちを被害から守るのだ。
And finally, companies have agreed to find ways for AI to help meet society’s greatest challenges — from cancer to climate change — and invest in education and new jobs to help students and workers prosper from the opportunities, and there are enormous opportunities of AI.   そして最後に、企業はAIが癌から気候変動に至るまで、社会の最も大きな課題を解決するのに役立つ方法を見つけ、学生や労働者がAIの機会から繁栄できるよう、教育や新たな仕事に投資することに合意した。  
These commitments are real, and they’re concrete.  They’re going to help fulfill — the industry fulfill its fundamental obligation to Americans to develop safe, secure, and trustworthy technologies that benefit society and uphold our values and our shared values. これらの公約は現実的で具体的だ。  これらのコミットメントは現実的であり、具体的である。これらのコミットメントは、社会に利益をもたらし、我々の価値観と共通の価値観を支持する、安全、安心、信頼できるテクノロジーを開発するという、アメリカ人に対する基本的な義務を果たすことにつながる。
Let me close with this.  We’ll see more technology change in the next 10 years, or even in the next few years, than we’ve seen in the last 50 years.  That has been an astounding revelation to me, quite frankly.  Artificial intelligence is going to transform the lives of people around the world. 最後に言わせてほしい。  我々は今後10年、あるいは数年のうちに、過去50年間に経験した以上のテクノロジーの変化を目の当たりにするだろう。  これは、率直に言って、私にとって驚くべき啓示だった。  人工知能は世界中の人々の生活を一変させるだろう。
The group here will be critical in shepherding that innovation with responsibility and safety by design to earn the trust of Americans.  And, quite frankly, as I met with world leaders, all — all — all our Eur- — all the G7 is focusing on the same thing. ここのグループは、アメリカ人の信頼を得るために、責任とデザインによる安全性をもって、このイノベーションの舵取りをする上で重要な役割を果たすだろう。  そして率直に言って、私が世界の指導者たちと会ったとき、すべての、すべての、すべての我々のEurが、すべてのG7が同じことに焦点を当てていた。
Social media has shown us the harm that powerful technology can do without the right safeguards in place. ソーシャルメディアは、強力なテクノロジーが適切な保護措置を講じることなくもたらす弊害を我々に示している。
And I’ve said at the State of the Union that Congress needs to pass bipartisan legislation to impose strict limits on personal data collection, ban targeted advertisements to kids, require companies to put health and safety first. 私は一般教書演説で、議会は超党派の法案を可決し、個人データ収集に厳格な制限を課し、子供へのターゲット広告を禁止し、企業に健康と安全を最優先させる必要があると述べた。
But we must be clear-eyed and vigilant about the threats emerging — of emerging technologies that can pose — don’t have to, but can pose — to our democracy and our values.   しかし、私たちは、民主主義と私たちの価値観に脅威をもたらす可能性のある(もたらす必要はないが、もたらす可能性のある)新興テクノロジーについて、明確な目を向け、警戒しなければならない。  
Americans are seeing how advanced artificial intelligence and the pace of innovation have the power to disrupt jobs and industries. 高度な人工知能と技術革新のスピードが、いかに雇用と産業を破壊する力を持っているかを、アメリカ国民は目の当たりにしている。
These commitments — these commitments are a promising step, but the — we have a lot more work to do together.  これらの公約は、有望な一歩ではあるが、われわれは共になすべき多くの仕事を抱えている。 
Realizing the promise of AI by managing the risk is going to require some new laws, regulations, and oversight. リスクをマネジメントすることで、AIの有望性を実現するには、いくつかの新しい法律、規制、監視が必要になるだろう。
In the weeks ahead, I’m going to continue to take executive action to help America lead the way toward responsible innovation.  And we’re going to work with both parties to develop appropriate legislation and regulation.  I’m pleased that Leader Schumer and Leader Jeffries and others in the Congress are making this a top bipartisan priority. 今後数週間、私は、米国が責任あるイノベーションへの道をリードできるよう、引き続き行政措置を講じるつもりだ。  そして、適切な法律や規制を策定するために、両党と協力していくつもりだ。  シューマー党首やジェフリーズ党首をはじめとする議会関係者が、これを超党派の最優先課題としていることをうれしく思う。
As we advance the agenda here at home, we’ll lead the work with — we’ll lead work with our allies and partners on a common international framework to govern the development of AI. 国内でアジェンダを進めると同時に、我々は、AI開発をガバナンスするための国際的な共通の枠組みについて、同盟国やパートナーとの作業を主導していく。
I think these leaders and — I thank these leaders that are in the room with me today — (clears throat)  — and their partnership — excuse me — and their commitments that they’re making.  This is a serious responsibility, and we have to get it right.  And there’s enormous, enormous potential upside as well.  私は、今日私と一緒に部屋にいるこれらの指導者たち、そして彼らのパートナーシップ、失礼、そして彼らのコミットメントに感謝している。  これは重大な責任であり、我々はそれを正しく理解しなければならない。  そして、莫大な潜在的なプラス面もある。 
So I want to thank you all.  And they’re about to go down to a meeting, which I’ll catch up with them later. だから、私は皆さんに感謝したい。  彼らはこれからミーティングに行くので、後で追いつくことにする。
So thank you, thank you, thank you. ありがとう、ありがとう、ありがとう。
1:24 P.M. EDT 東部夏時間 午後1時24分

 

 


 

情報技術産業協議会の反応...

ここの関連団体であるINCITSが、ISO/IEC JTC 1/SC 42にも関わっていますからね。。。

1_20230723031401

Information Technology Industry Council; ITI

・2023.07.21 ITI: New White House AI Commitments Can Mitigate Risks, Advance Trust in Technology

 

ITI: New White House AI Commitments Can Mitigate Risks, Advance Trust in Technology ITI:ホワイトハウスの新しいAIコミットメントはリスクを低減し、技術への信頼を前進させることができる
WASHINGTON – Today, global tech trade association ITI’s President and CEO Jason Oxman reacted to the Biden Administration’s voluntary commitment with seven AI companies, including several ITI members, to ensure the safe and responsible deployment of artificial intelligence (AI): ワシントン - 本日、世界的なハイテク業界団体であるITIのジェイソン・オックスマン会長兼CEOは、バイデン政権がITI会員数社を含むAI企業7社と、人工知能(AI)の安全で責任ある展開を確保するための自主的なコミットメントを交わしたことに対応した:
“Safe and responsible AI development and deployment must be grounded in trust, transparency and ethical design, and collaboration between government, industry, civil society, and academia. The voluntary commitments announced by the White House today will advance the tech industry’s ongoing work to make AI safer for all. We’re encouraged that many of the commitments reflect those recommended by ITI and encourage participation in the AI activities of our affiliated standards activities organization INCITS. ITI looks forward to our continued partnership with the Biden Administration and the U.S. Congress to advance strategic and effective AI policy.” 「安全で責任あるAIの開発と導入は、信頼、透明性、倫理的な設計、政府、産業界、市民社会、学界の協力に基づくものでなければならない。ホワイトハウスが本日発表した自主的なコミットメントは、すべての人にとってAIをより安全なものにするためのテック業界の継続的な取り組みを前進させるだろう。ITIが推奨する公約の多くがこの公約に反映されており、ITIの関連標準活動組織であるINCITSのAI活動への参加を奨励するものであることを心強く思う。ITIは、戦略的かつ効果的なAI政策を推進するため、バイデン政権および米国議会との継続的なパートナーシップを期待している。」
ITI’s Global Policy Principles for Enabling Transparency of AI Systems underscore that transparency is a critical part of developing accountable and trustworthy AI systems and avoiding unintended outcomes or other harmful impacts. ITI’s comprehensive Global AI Policy Recommendations are a guide for governments around the world as they consider how to approach AI, and emphasize the importance of private and public sector collaboration as demonstrated in today’s White House announcement. ITI’s affiliated standards development organization INCITS leads and convenes the U.S. standardization program on AI (ISO/IEC JTC 1/SC 42), which can be a voluntary method for companies to measure, assess, and take steps to meet the commitments announced today. AIシステムの透明性を実現するためのITIのグローバル政策原則は、透明性が説明責任を果たし信頼できるAIシステムを開発し、意図しない結果やその他の有害な影響を回避するために重要な部分であることを強調している。ITIの包括的な「グローバルAI政策提言」は、世界各国の政府がAIへのアプローチ方法を検討する際の指針となるもので、本日のホワイトハウスの発表で示されたように、民間と公的セクターの協力の重要性を強調している。ITIの関連標準開発組織であるINCITSは、AIに関する米国の標準化プログラム(ISO/IEC JTC 1/SC 42)を主導し、招集している。このプログラムは、企業が測定、評価、本日発表された公約を満たすための措置を講じるための自主的な方法となりうる。

 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.05.27 米国 国家人工知能研究開発 戦略計画 2023更新 (2023.05.23)

・2023.05.26 米国 ファクトシート:バイデン-ハリス政権、責任ある人工知能の研究・開発・実装を進める新たなステップを導入

・2023.05.08 米国 ホワイトハウス 「米国人の権利と安全を守る責任あるAIイノベーションを推進する新たな行動」 (2023.05.04)

 

・2022.10.07 米国 科学技術政策局 AI権利章典の青写真

5原則...

・Safe and Effective Systems ・安全で効果的なシステム
・Algorithmic Discrimination Protections ・アルゴリズムによる差別に対する保護
・Data Privacy ・データプライバシー
・Notice and Explanation ・通知と説明
・Human Alternatives, Consideration, and Fallback ・人的代替手段、配慮、およびフォールバック

 

  • 安全で効果的なシステム:安全で効果的なシステム:安全でない、あるいは効果的でないシステムから保護されるべきである。

  • アルゴリズムによる差別に対する保護:アルゴリズムによる差別に直面してはいけない。また、システムは公平な方法で使用、設計されるべきである。

  • データプライバシー:ユーザーは、組み込みの保護機能によって乱用的なデータ処理から保護されるべきであり、ユーザーに関するデータがどのように使用されるかについて代理権を持つ必要がある。

  • 通知と説明:自動化されたシステムがいつ使用されているかを知り、それが自分に影響を与える結果にどのように、そしてなぜ寄与しているかを理解する必要がある。

  • 人的代替手段、配慮、およびフォールバック:適切な場合にはオプトアウトが可能であるべきであり、また、あなたが遭遇した問題を迅速に検討し、改善できる担当者にアクセスできるようにすべきである。

 

・2023.04.28 米国 連邦取引委員会 司法省 消費者金融保護局 雇用機会均等委員会 「自動化システムにおける差別やバイアスに対する執行努力に関する共同声明 」

 

中国については、

・2023.07.14 中国 国家サイバースペース管理局他 生成型AIサービス管理暫定弁法 施行は2023.08.15

 

欧州については、

・2022.12.08 EU理事会 AI法に関する見解を採択

 

英国については、

・2023.07.20 英国 Ada Lovelace 協会 英国のAI規制、AIリスクなど4つの報告書

 

と、その下の関連記事を併せて読むと全体がみえてくるかもです。。。

 

 

 

 


 

Ensuring Safe, Secure, and Trustworthy AI 仮対訳...

↓↓↓↓↓↓↓↓↓↓

Continue reading "米国 ホワイトハウス 7つの米国AI企業が、バイデン政権とした3つの分野の8つの約束"

| | Comments (0)

2023.07.21

CSA クラウドの攻撃ベクトルを理解する (2023.06.06)

こんにちは、丸山満彦です。

IaaS/Paasにおけるクラウドベースの攻撃を効果的、効率的に守るためのアイデアといったところですかね。。。CSAのイスラエルが頑張ったようですね。。。

 

⚫︎Cloud Security Alliance

・2023.06.06 Understanding Cloud Attack Vectors

Understanding Cloud Attack Vectors クラウドの攻撃ベクトルを理解する
The goal of the document is to map the various attack vectors that are actually being used during cloud-based attacks in IaaS/PaaS and to map the vectors and their mitigating controls to various resources. The motivation for this document came after we analyzed much research around cloud security and realized that they are listing a combination of risks, threats, attack vectors, vulnerabilities, and concerns. And while there are many risks and threats to IaaS/PaaS platforms and applications, most of the risks are associated with a very specific number of attack vectors. この文書の目的は、IaaS/PaaSにおけるクラウドベースの攻撃で実際に使用されている様々な攻撃ベクトルをマッピングし、そのベクトルとその低減対策を様々なリソースにマッピングすることである。このドキュメントを作成した動機は、クラウドセキュリティに関する多くの研究を分析した結果、リスク、脅威、攻撃ベクトル、脆弱性、懸念事項の組み合わせがリストアップされていることに気づいたからだ。そして、IaaS/PaaSプラットフォームやアプリケーションには多くのリスクや脅威が存在するが、ほとんどのリスクは非常に特定の数の攻撃ベクトルに関連している。

 

・報告書

20230721-63551

 

目次的...

1: Exploitable Workloads 1: 搾取可能なワークロード
2: Workloads with Excessive Permissions 2: 過大な権限を持つ作業負荷 
3: Unsecured Keys, Credentials, and Application Secrets 3: 安全でない鍵、認証情報、アプリケーションシークレット
4: Exploitable Authentication or Authorization 4: 悪用可能な本人認証または認可
5: Unauthorized Access to Object Storage 5: オブジェクト・ストレージへの不正アクセス 
6: Third-Party Cross-Environment/Account Access 6: サードパーティによるクロス環境/アカウントアクセス
7: Unsecured/Unencrypted Snapshots & Backups 7: 安全でない/暗号化されていないスナップショットとバックアップ
8: Compromised Images 8: 危殆化したイメージ

 

・要約

20230721-64052

 

ポイントをしぼって仮対訳...

↓↓↓↓↓↓↓↓↓↓


 

 

 

Continue reading "CSA クラウドの攻撃ベクトルを理解する (2023.06.06)"

| | Comments (0)

CSA クラウドにおける金融サービスの現状 (2023.06.05)

こんにちは、丸山満彦です。

金融業界でも、クラウドは普通につかわれていますよね。。。

金融機関の方と話をしたのですが、その時はすべての金融機関の方がクラウドサービスを利用していましたね。。。

そんな時代ですね。。。

気になる領域は、

  • Zero Trust
  • Cloud Regulation
  • Multi-cloud management
  • Financial Shared responsibility model
  • Confidential Computing

のようですね。。

 

⚫︎Cloud Security Alliance

・2023.06.05 State of Financial Services in Cloud

State of Financial Services in Cloud クラウドにおける金融サービスの現状
Due to this trend, CSA has been conducting surveys to better understand the adoption of cloud computing technology in the finance industry, bringing together a community of contributors from global banks, fintech, payment processors, insurance companies, financial supervisory authorities, data protection authorities, and other national regulatory bodies. Now, with this latest report, we aim to better understand:  このような動向を受け、CSAは金融業界におけるクラウド・コンピューティング技術の採用状況をよりよく理解するため、世界の銀行、フィンテック、データ処理者、保険会社、金融監督当局、データ保護当局、その他各国の規制団体の関係者を集めて調査を実施してきた。この最新報告書では、以下をより深く理解することを目的としている: 
・Financial institutions’ level of adoption of cloud solutions and requirements compared to prior surveys conducted in 2019-2020.  ・2019年から2020年にかけて実施された事前調査と比較した、金融機関のクラウド・ソリューションの導入レベルと要件。 
・Current challenges facing the financial services industry.  ・金融サービス業界が直面している現在の課題。 
・Opportunities for CSA to create guidance on protecting financial data and related assets within secure cloud services. ・CSAが安全なクラウドサービス内で金融データと関連資産を保護するためのガイダンスを作成する機会。
Most evident from this report is that cloud services are becoming well-rooted in all aspects of financial services and are expected to be used for a very long time. No longer is the question as to whether cloud will be adopted, but about the execution of how: how to adopt cloud-native security, how to apply Zero Trust methodologies, and how to educate all relevant stakeholders.  本報告書から最も明らかなことは、クラウドサービスが金融サービスのあらゆる側面に根付きつつあり、非常に長期にわたって利用されることが予想されるということである。クラウドが採用されるかどうかはもはや問題ではなく、クラウド・ネイティブなセキュリティをどのように採用するか、ゼロ・トラストの手法をどのように適用するか、関係するすべての利害関係者をどのように教育するかといった、方法の実行が問われている。 
Key Takeaways: 主な要点
・98% of organizations are using some form of cloud computing, up from 91% in 2020. ・組織の98%が何らかのクラウドコンピューティングを利用しており、2020年の91%から増加している。
・57% of organizations currently use multiple cloud providers for their IaaS/PaaS needs.  ・57%の組織が現在、IaaS/PaaSのニーズに対して複数のクラウドプロバイダーを利用している。 
・59% of organizations store or process regulated banking information within cloud services, with only 25% having no future plans to do so. ・59%の組織が、規制対象となる銀行情報をクラウドサービス内で保存または処理しており、将来的にそのような計画を持たない組織は25%に過ぎない。
・A common pain point is the need for broader awareness of approaches to auditing cloud services by regulators and auditors.  ・共通のペインポイントは、規制当局や監査人によるクラウド・サービスの監査アプローチに対する幅広い認識が必要であることだ。 
65% of organizations use CSA’s CCM and CAIQ to demonstrate adherence to frameworks, establish an internal cloud security controls framework, and establish an internal cloud risk management approach. ・65%の組織が、CSAのCCMとCAIQを利用して、フレームワークへの準拠を実証し、内部クラウドセキュリティ管理フレームワークを確立し、内部クラウドリスクマネジメントアプローチを確立している。

 

報告書

20230721-63542

 

目次...

Acknowledgment 謝辞
Preface 序文
Executive Summary 要旨
Survey Methodology 調査方法
Survey Results 調査結果
Cloud Adoption Continues to Increase クラウドの導入は増加の一途をたどっている
Multi-Cloud is Reality for Financial Services マルチクラウドは金融サービスの現実
Zero Trust Adds Integrity to Access Within Financial Cloud ゼロ・トラストが金融クラウド内のアクセスに完全性を加える
Managing Data Improves in the Cloud クラウドにおけるデータ管理の改善
Business Continuity Crucial for Operations in the Cloud クラウドにおける事業継続は重要である
Meeting Regulatory Requirements in the Cloud クラウドにおける規制要件への対応
Data Privacy, Sovereignty, and Localization データのプライバシー、主権、ローカライゼーション
Regulator Understanding of Auditing Practices for Cloud Services 規制当局によるクラウドサービスの監査実務への理解
CCM Harmonizes Security Approach to Cloud CCMはクラウドに対するセキュリティ・アプローチを調和させる
Cloud HSMs and Confidential Computing Enhance Key Management クラウドHSMと機密コンピューティングが鍵管理を強化する
Skills Gap Still Exists in Cloud Security クラウド・セキュリティにはまだスキル・ギャップがある
Check out Key Management activities from CSA. CSA の鍵管理活動をチェックする。
Cloud Key Management Working Group クラウド鍵管理ワーキンググループ
Confidential Computing Working Group 機密コンピューティング・ワーキング・グループ
Cloud Infrastructure Security Training クラウド・インフラ・セキュリティ・トレーニング
Opportunities in Financial Services and Cloud 金融サービスとクラウドにおける機会
Keeping up with New Technologies and CSP Features 新しい技術と CSP の特徴に対応する
Demonstrating Adequate Assurance Cloud Security for FSI FSIのための十分な保証クラウドセキュリティの実証
People: Maintain relevant knowledge (e.g. platform-specific training, micro trainings) 人 関連知識の維持(プラットフォーム別トレーニング、マイクロトレーニングなど)
Training トレーニング
Process: Mappings to FSI Frameworks, Validating to STAR プロセス: FSIフレームワークへのマッピング、STARへの検証
CCM and Industry Standards CCMと業界標準
Technology: CSPs Supporting FSI with Advancements in Security Technologies 技術: セキュリティ技術の進歩でFSIをサポートするCSP
New Features, Artificial Intelligence Integrations 新機能、人工知能の統合
Enterprise and Cloud Risk Management エンタープライズとクラウドのリスクマネジメント
Threat Intelligence and Context Still Needed in the Cloud クラウドには脅威インテリジェンスとコンテキストがまだ必要である
CSA Financial Services Initiatives CSAの金融サービスへの取り組み
Education 教育
Research リサーチ
Industry Briefings 業界向けブリーフィング
Assurance Framework and Programs 保証フレームワークとプログラム
Conclusion 結論
Demographics 人口統計

 

要旨...

Executive Summary  要旨 
The Financial Services Industry (FSI) adoption of cloud services has grown extensively in recent years and is expected to increase with further adoption and integration of cloud service provider (CSP) functions replacing traditional technology of banking, commerce, and other methods of performing financial transactions and exchanging financial data.  金融サービス業界(FSI)のクラウドサービス導入は近年急速に拡大しており、クラウドサービスプロバイダ(CSP)機能のさらなる導入・統合により、銀行業務、商取引、その他の金融取引や金融データ交換の伝統的な技術に取って代わることが期待されている。
The intention of this report was to evaluate the current state of adoption, compared to the industry’s readiness just three years ago when CSA conducted a similar survey and identify the current issues and opportunities that FSI leaders are addressing in their progression to further utilizing cloud services.  本報告書の意図は、CSAが同様の調査を実施したわずか3年前の業界の準備状況と比較して、導入の現状を評価し、FSIのリーダーがクラウドサービスのさらなる活用に向けて取り組んでいる現在の課題と機会を特定することである。
In interviews associated with this report, CISOs and cloud architects for fintech said that harnessing the scalability and quick- to-market capabilities to bring innovation to market was a much more cost-effective approach than some of their prior practices. Additionally, banking professionals, in part from the COVID pandemic, said leveraging cloud for remote workers or ability to deploy new software services more quickly with dynamic updates were primary reasons along with the ability to harmonize security policies for consistent deployments that met regulation.  本報告書に関連したインタビューでは、フィンテックのCISOやクラウド・アーキテクトが、イノベーションを市場に投入するためにスケーラビリティと迅速な市場投入能力を活用することは、以前の慣行よりもはるかに費用対効果の高いアプローチであると述べている。さらに、銀行関係者は、COVIDの流行もあり、リモートワーカー向けにクラウドを活用することや、ダイナミックアップデートで新しいソフトウェアサービスをより迅速に展開できることが、規制を満たした一貫性のある展開のためにセキュリティポリシーを調和させる能力とともに、主な理由であると述べている。
Regulation was one of the greatest influencing factors from the report. Despite the increase in use of cloud computing to host regulated data, concerns remained on how Cloud Service Providers could understand and demonstrate compliance with global legislation.  規制は、報告書から最も大きな影響を受けた要因の1つである。規制対象データをホストするためにクラウドコンピューティングの利用が増加しているにもかかわらず、クラウド・サービス・プロバイダがグローバルな法規制をどのように理解し、コンプライアンスを実証できるのかという懸念が残っていた。
Still, new approaches create new types of risk and respondents said that while use of cloud services is increasing,  それでも、新たなアプローチは新たなタイプのリスクを生み出し、回答者は、クラウドサービスの利用が増加している一方で、その導入ペースには注意が必要だと述べている、 
the pace of adoption will need to be at the speed at which CSPs and Financial Services can both demonstrate the capabilities to show adherence to regulation and overall data protection and staff are comfortable with managing.  導入のペースは、CSPと金融サービスの双方が、規制とデータ保護全般の遵守を示す能力を実証し、スタッフが管理に納得できるスピードに合わせる必要がある。
Other themes beyond regulation identified in the report include the importance of data management, integrity of access, threat intelligence and good enterprise risk management.  規制以外のテーマとしては、データマネジメントの重要性、アクセスの完全性、脅威インテリジェンス、優れたエンタープライズ・リスク・マネジメントなどが挙げられている。
Most evident from the report is that cloud services are becoming well-rooted into all aspects of financial services and are expected to be used for a very long time. No longer is the question as to whether cloud will be adopted but more about the execution of “how”. How to adopt cloud-native security, how to apply zero trust methodologies, how to educate all relevant stakeholders from staff to regulators to cloud partners.  報告書から最も明らかなのは、クラウドサービスが金融サービスのあらゆる側面に根付きつつあり、非常に長期にわたって利用されることが期待されているということだ。もはやクラウドが採用されるかどうかは問題ではなく、「どのように」採用されるかが重要なのだ。クラウドネイティブ・セキュリティをどのように採用するか、ゼロトラスト手法をどのように適用するか、スタッフから規制当局、クラウドパートナーに至るまで、すべての関係者をどのように教育するか、などである。
The information shared with CSA in this report has helped identify future research, standards requirements, training and education that the CSA community may have interest in developing. At the end of the report, we share some of these suggestions that will be socialized with our FS Leadership Council for consideration.  本報告書でCSAと共有された情報は、CSAコミュニティが開発に関心を持つであろう将来の研究、標準要件、トレーニング、教育の特定に役立った。報告書の最後に、これらの提案のいくつかを紹介し、FS リーダーシップ・カウンシルで検討する予定である。

 

気になる領域...

20230721-161108

 

 

要約

20230721-64045

 

 

 

| | Comments (0)

CSA SaaSセキュリティの現状:2023年調査レポート (2023.06.02)

こんにちは、丸山満彦です。

少し(かなり)古い話なのですが...

SaaSセキュリティの現状:2023年調査レポートが公表していますね。。。

これからどんどん業務アプリケーションもSaaSの利用が進むでしょうね。。。となると。。。

 

⚫︎Cloud Security Alliance

・2023.06.02 State of SaaS Security: 2023 Survey Report

State of SaaS Security: 2023 Survey Report SaaSセキュリティの現状:2023年調査レポート
In today’s digital landscape, SaaS has emerged as a vital lifeline for operations in organizations big and small. As businesses entrust the cloud with their invaluable data, security of these applications and the information they harbor takes center stage. While SaaS applications are secure by design, the way they are configured and governed is what poses a risk. Without robust security measures, these organizations expose themselves to potential data breaches, cyber-attacks, and other security incidents, potentially wreaking financial and reputational havoc. Understanding the state of SaaS security and what steps organizations are taking is therefore essential for organizations to protect themselves from these risks.  It's with this backdrop that this survey returns, delving into the intricacies of SaaS security and offering a follow-up to last year's report. 今日のデジタル環境において、SaaSは大小を問わず組織の業務に不可欠なライフラインとして浮上している。企業が貴重なデータをクラウドに託す中、これらのアプリケーションとそこに格納される情報のセキュリティが重要な課題となっている。SaaSアプリケーションは設計上安全であるが、その構成と政府のあり方こそがリスクをもたらす。強固なセキュリティ対策を講じなければ、これらの組織は潜在的なデータ漏洩、サイバー攻撃、その他のセキュリティ・インシデントにさらされ、財務や評判に大打撃を与える可能性がある。したがって、SaaSセキュリティの現状と、組織がどのような対策を講じているかを理解することは、組織がこうしたリスクから身を守るために不可欠である。  このような背景から、本調査ではSaaSセキュリティの複雑さを掘り下げ、昨年のレポートのフォローアップを行う。

 

報告書

20230721-64002

 

パワーポイント

20230721-64032

 

Key Finding 1: 発見事項1:
SaaS Security Incidents on the Rise SaaSセキュリティ・インシデントが増加傾向にある
● 55% of organizations report experiencing SaaS security incident in past 2 years, up 12% from last year. ・過去2年間にSaaSセキュリティ・インシデントを経験したと回答した組織は55%で、昨年より12%増加した。
● Most common SaaS security incidents ・最も一般的なSaaSセキュリティインシデント
○ data leakage ・・データ漏洩
○ malicious apps ・・悪意のあるアプリ
○ data breach ・・データ漏洩
○ SaaS ransomware ・・SaaS ランサムウェア
Key Finding 2: 発見事項 2:
Current SaaS Security Strategies and Methodologies Don’t Go Far Enough 現在のSaaSセキュリティ戦略と手法は十分ではない
● Average organizations uses over 100 SaaS apps ・平均的な組織では100以上のSaaSアプリを使用している
● 58% of organizations estimate their current SaaS security solutions to cover 50% or less of their SaaS apps ・組織の58%は、現在のSaaSセキュリティ・ソリューションでカバーできるSaaSアプリは50%以下と見積もっている。
● Common methods that fall short include CASBs and manual audits ・CASBや手作業による監査など、一般的な方法では不十分である
Key Finding 3: 発見事項 3:
Stakeholder Spread in Securing SaaS Applications SaaSアプリケーションのセキュリティ確保における関係者の広がり
● Many different, high level titles involved in security of SaaS apps ・SaaS アプリのセキュリティには、さまざまなレベルの高い役職が関与している
● Business are taking SaaS security more seriously ・企業は SaaS セキュリティにより真剣に取り組んでいる
● Makes it challenging to determine who is ultimately responsible ・誰が最終的な責任者かを判断することが困難になる
Key Finding 4: 発見事項 4:
Organization Are prioritizing Policies and Process for Entire SaaS Security Ecosystem 組織は、SaaS セキュリティエコシステム全体のポリシーとプロセスを優先している
● Organizations are prioritizing SaaS stack security through several different domains ・組織は、複数の異なる領域を通じて、SaaS スタックのセキュリティを優先している
○ Misconfiguration Management ・・設定ミスの管理
○ Third-party App Access ・・サードパーティによるアプリアクセス
○ SaaS Identity and Access Governance ・・SaaS アイデンティティとアクセスのガバナンス
○ Monitoring SaaS User Devices ・・SaaS ユーザー・デバイスの監視
○ Threat Detection and Response ・・脅威検知と対応
Key Finding 5: 発見事項 5:
Investment in SaaS and SaaS Security Resources (Still) Increasing SaaSとSaaSセキュリティリソースへの投資は(依然として)増加している
● Increasing Investment across several areas including ・以下を含む複数の分野で投資が増加している
○ Business critical SaaS apps ・・ビジネスクリティカルな SaaS アプリ
○ Security Tools ・・セキュリティツール
○ Hiring or training staff for SaaS security ・・SaaS セキュリティのためのスタッフの雇用やトレーニング
● Increase in use of SSPM - 17% in 2022 to 44% in 2023 ・SSPM の利用が増加 - 2022 年の 17%から 2023 年の 44%へ

 

 


 

情報セキュリティ気まぐれ日記

・2022.04.18 SaaSの設定ミスがセキュリティインシデントの63%に関与している? (Cloud Security Alliance )

 

| | Comments (0)

CSA ハイパフォーマンス・コンピューティング机上演習ガイド

こんにちは、丸山満彦です。

少し古い話なのですが。。。

クラウドセキュリティアライアンスが、高性能コンピューティング(HPC)セキュリティのセキュリティガイドラインを公表していました。。。

HPCシステムは、IT部門以外が管理していることが多く、HPCシステム専任の個人の努力によって管理されている場合が多く、正式なサイバーセキュリティのトレーニング等も受けていないかもしれない。。。

なので、攻撃されたら、うまく対応できないのではないか。。。ということで、サイバー攻撃机上演習(TTX)を開催するために必要なフレームワークを公表することにしたようですね。。。

NISTが、2023年2月にNIST SP 800-223 (ドラフト) 高性能コンピューティング(HPC)セキュリティ:アーキテクチャ、脅威の分析、およびセキュリティ状態が公表されているので、それをベースに作成したということのようです。。。

 

⚫︎Cloud Security Alliance

・2023.05.31 High Performance Computing Tabletop Guide

High Performance Computing Tabletop Guide ハイパフォーマンス・コンピューティング机上演習ガイド
This guide lays out the framework necessary to host a High Performance Computing (HPC)-focused cyberattack tabletop exercise (TTX) so that organizations can begin to have these conversations around HPC security. The guide takes readers through an example tabletop exercise designed to assist stakeholders in discussing HPC security as an incident unfolds and establish common ground on actions that can be taken to improve the security of the HPC systems as well as develop incident response (IR) processes around HPC systems. 本ガイドは、ハイパフォーマンス・コンピューティング(HPC)に焦点を当てたサイバー攻撃机上演習(TTX)を開催するために必要な枠組みを示し、組織がHPCセキュリティに関する話し合いを開始できるようにするものである。このガイドでは、インシデントが発生した際に関係者がHPCセキュリティについて議論し、HPCシステムのセキュリティを改善するために取るべき行動や、HPCシステムに関するインシデント対応(IR)プロセスを策定するための共通基盤を確立するための机上演習の例を紹介する。

 

20230721-145006 

簡単な登録でダウンロードできます...

 

目次...

Acknowledgments 謝辞
1. Introduction 1. 序文
Stakeholders ステークホルダー
2. HPC Architecture 2. HPCアーキテクチャ
 Access Zone  アクセスゾーン
 Management Zone  管理ゾーン
 High-Performance Computing Zone  高性能コンピューティングゾーン
 Data Storage Zone  データ保管ゾーン
3. Overview 3. 概要
Exercise Planning Team 演習計画チーム
4. Start of Tabletop Scenario 4. 机上演習シナリオの開始
References 参考文献

  

1_20230721145701


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.02.08 NIST SP 800-223 (ドラフト) 高性能コンピューティング(HPC)セキュリティ:アーキテクチャ、脅威の分析、およびセキュリティ状態

・2020.05.18 ヨーロッパのスーパーコンピュータが次々とハッキングされた?

| | Comments (0)

国連 地域間犯罪司法研究所 子供のためにより安全に;捜査機関向けのAI研修が開始された

こんにちは、丸山満彦です。

国連の地域間犯罪司法研究所が子供がより安全にインターネットを利用できるようにするために捜査機関向けにAI研修を開始したと公表していますね。。。「より安全な子どものためのAI」イニシアティブの一環のようです。。。

捜査機関がAIを活用して、より効果的、効率的に捜査ができるようになれば、子供が安心して利用できる環境が整えられますよね。。。ということで、捜査機関向けの内容となっているようです。。。

United Nations Interregional Crime and Justice Research Institute

AI for Safer Children: The trainings have commenced!

AI for Safer Children: The trainings have commenced! 子供のためにより安全に:AI研修が開始された!
Three countries trained with three different focuses 3カ国が3つの異なる焦点でトレーニングを実施
In May 2023, under the AI for Safer Children initiative, the United Nations Interregional Crime and Justice Research Institute (UNICRI), through its Centre for Artificial Intelligence (AI) and Robotics, in partnership with the Ministry of Interior of the United Arab Emirates (UAE), commenced its country-specific trainings. 2023年5月、「より安全な子どものためのAI」イニシアティブの下、国連地域間犯罪・司法研究所(UNICRI)は、その人工知能(AI)・ロボット工学センターを通じて、アラブ首長国連邦(UAE)内務省と協力し、国別の研修を開始した。
These trainings are an extension of the AI for Safer Children Global Hub, tailored to each country’s context and needs. They showcase technological tools and techniques available to facilitate each step of child sexual exploitation and abuse investigations, based on the 8-step investigative workflow in the Global Hub’s learning centre, available to all Hub members from, currently, 89 countries. これらの研修は、「より安全な子どものためのAIグローバル・ハブ」の延長線上にあり、各国の状況やニーズに合わせたものである。研修では、グローバル・ハブのラーニング・センターにある8段階の調査ワークフローに基づき、児童の性的搾取や虐待の調査の各段階を促進するために利用可能な技術的ツールやテクニックを紹介する。
The AI for Safer Children trainings, in addition to having experts in forensic analysis going through the workflow, technology provider demonstrations, and UN experts, also feature external stakeholder presentations, all tailored to agencies’ interests.  AI for Safer Childrenのトレーニングでは、法医学分析の専門家によるワークフローの説明、テクノロジープロバイダーのデモンストレーション、国連の専門家による説明に加え、外部関係者によるプレゼンテーションも行われ、すべて各機関の関心に合わせた内容となっている。 
On June 6-7th, the AI for Safer Children team conducted its first in-person, regional training in Singapore which brought together over 80 law enforcement participants from the Singapore Police Force, as well as India, Indonesia and Brunei. It featured open-source intelligence (OSINT) tools and techniques, as per request. 6月6日から7日にかけて、AI for Safer Childrenチームは、シンガポール警察、インド、インドネシア、ブルネイから80人を超える法執行機関の参加者を集め、シンガポールで初の対面式地域トレーニングを実施した。この研修では、要望に応じて、オープンソースインテリジェンス(OSINT)のツールとテクニックが紹介された。
The first training, conducted virtually on May 9-10th for the UAE, featured tools from the Global Hub on victim and suspect identification. On May 30-31st, the training for United Kingdom explored particularly the dark web and deepfake investigations. 最初のトレーニングは、5月9日から10日にかけてUAEを対象にバーチャルで行われ、被害者と容疑者の特定に関するグローバル・ハブのツールが紹介された。5月30日から31日にかけて行われた英国向けのトレーニングでは、特にダークウェブやディープフェイク捜査について探求した。
Testimonials: this ‘could have a massive impact’ on investigations 参加者の声:これは捜査に大きな影響を与えるだろう
Feedback from participants has been overwhelmingly and encouragingly positive: 参加者からのフィードバックは、圧倒的にポジティブで、勇気づけられるものだった:
I wanted to thank you all for your time and amazing organization for the UAE training […] Our attendees were very satisfied with the content and they have learned a lot. ~ Guillaume A. (UAE) アラブ首長国連邦のトレーニングのために時間を割いてくれたこと、そして素晴らしい組織をしてくれたことに感謝したい。 ~ ギヨーム・A(アラブ首長国連邦)
Great effort was made to ensure that the training package fitted our requirements. All elements of the training were interesting and well-delivered by subject matter experts who clearly had great knowledge and expertise. The training program was incredibly useful and very well-constructed. ~ Mike F. (UK)  トレーニングパッケージが私たちの要求に合うよう、多大な努力が払われた。トレーニングのすべての要素が興味深く、明らかに優れた知識と専門知識を持つ専門家によってうまく提供された。トレーニングプログラムは非常に有益で、非常によく構成されていた。 ~ マイク・F(英国) 
‘I truly enjoyed the training’ トレーニングを心から楽しんだ
I truly enjoyed the training and learned a lot from it. I also had the opportunity to explore additional software that will greatly aid in the investigation process, particularly in the identification of victims.” ~ Peh Tian Yi (Singapore) トレーニングを心から楽しみ、多くのことを学んだ。また、捜査プロセス、特に被害者の識別に大いに役立つ追加ソフトウェアを探求する機会にも恵まれた。" ~ ペー・ティアン・イー(シンガポール)
The AI for Safer Children Hub is a very good and useful initiative with lots of tools to support investigations to rescue more victims and arrest more criminals. ~ Yeo Kok Leong (Singapore) AI for Safer Children Hubは、より多くの被害者を救出し、より多くの犯罪者を逮捕するための捜査をサポートするツールがたくさんある、非常に優れた有益な取り組みだ。 ~ ヨウ・コック・レオン(シンガポール)

 

AI for Safer Children

1_20230721050801

 

AI for Safer Children より安全な子どものためのAI
One in five girls and one in thirteen boys globally have been sexually exploited or abused by the age of 18, according to UNICEF, with online interactions featuring in some form in almost all cases of child sexual exploitation and abuse. ユニセフによると、世界全体で女児の5人に1人、男児の13人に1人が18歳までに性的搾取や虐待を受けており、子どもの性的搾取や虐待のほぼすべてのケースで、何らかの形でオンライン上のやりとりが取り上げられている。
In 2020, UNICRI’s Centre for AI and Robotics and the Ministry of Interior of the United Arab Emirates launched the AI for Safer Children initiative in an effort to tackle child sexual exploitation and abuse online through the exploration of new technological solutions, specifically artificial intelligence (AI). 2020年、UNICRIのAI・ロボット工学センターとアラブ首長国連邦内務省は、新しい技術的解決策、特に人工知能(AI)の探求を通じて、オンラインでの児童の性的搾取と虐待に取り組むため、「AI for Safer Children」イニシアティブを立ち上げた。
The initiative strives to support law enforcement agencies to tap into the potential of AI and has designed the AI for Safer Children Global Hub – a unique centralized and secure platform for law enforcement agencies – to support them to do so. The Global Hub contains extensive information on AI tools that could be used to combat child sexual exploitation and abuse and provides guidance on how law enforcement can use it in the course of their work in an ethical and human rights compliant manner. 同イニシアチブは、法執行機関がAIの可能性を活用できるよう支援することに努めており、法執行機関を支援するために、AI for Safer Childrenグローバル・ハブ(法執行機関向けの一元化された安全な独自のプラットフォーム)を設計した。このグローバル・ハブには、児童の性的搾取や虐待と闘うために利用できるAIツールに関する広範な情報が含まれており、法執行機関が倫理的かつ人権に準拠した方法でAIを利用する方法についてのガイダンスが提供されている。
Watch the short video below to learn more about AI for Safer Children. AI for Safer Childrenの詳細については、以下の短いビデオをご覧いただきたい。
AI for Safer Children ultimately seeks to contribute to realizing Target 2 of Goal 16 of the 2030 Agenda for Sustainable Development, which envisages an end to abuse, exploitation, trafficking and all forms of violence and torture against children. AI for Safer Childrenは最終的に、持続可能な開発のための2030アジェンダの目標16のターゲット2の実現に貢献することを目指している。ターゲット2では、子どもに対する虐待、搾取、人身売買、あらゆる形態の暴力や拷問をなくすことを想定している。
The development of the AI for Safer Children initiative follows an ethical and legal process and is guided by a set of seven core principles, which you can find in the related documents section below. AI for Safer Childrenイニシアチブの開発は、倫理的かつ法的なプロセスに従い、7つの基本原則によって導かれている。
Click here to access the AI for Safer Children Global Hub AI for Safer Childrenグローバル・ハブへのアクセスはこちら
Read more about the initiative イニシアチブについてもっと読む

 

AI for Safer Children Global Hub

 

 

| | Comments (0)

米国 国家情報長官室 情報コミュニティのデータ戦略 2023-2025

こんにちは、丸山満彦です。

米国の国家情報長官室が情報コミュニティのデータ戦略2023-2025を公表していますね。。。

4つの戦略的重点分野を示していますが、それが次です...

§  Perform End-to-End Data Management § エンド・ツー・エンドのデータ管理を行う。
§  Deliver Data Interoperability and Analytics at Speed and Scale § データの相互運用性分析スピードとスケールで提供する。
§  Advance All Partnerships for Continued Digital and Data Innovation § デジタルとデータのイノベーションを継続するために、あらゆるパートナーシップを推進する。
§  Transform the IC Workforce to be Data-Driven § ICの人材をデータ主導型に変革する。

当然、AIの活用も...

 

情報コミュニティ[wikipedia]は、複雑ですからね。。。

Organization 組織 所属連邦省庁 設立
Office of Naval Intelligence (ONI) 海軍情報部(ONI) 国防総省 1882
Coast Guard Intelligence (CGI) 沿岸警備隊インテリジェンス(CGI) 国土安全保障省 1915
Bureau of Intelligence and Research (INR) 情報調査局(INR) 国務省 1945
Central Intelligence Agency (CIA) 米国中央情報局(CIA) (独立省庁) 1947
Sixteenth Air Force (16 AF) (USAF ISR Enterprise) 空軍第16部隊 国防総省 1948
National Security Agency (NSA) / Central Security Service (CSS) 米国家安全保障局(NSA)/ 中央セキュリティ・サービス(CSS) 国防総省 1952
National Reconnaissance Office (NRO) 米国偵察局(NRO) 国防総省 1961
Defense Intelligence Agency (DIA) 米国国防情報局(DIA) 国防総省 1961
Military Intelligence Corps (MIC) 米国陸軍情報部(MIC) 国防総省 1977
Office of Intelligence and Counterintelligence (OICI) インテリジェンス・防諜室(OICI) エネルギー省 1977
Marine Corps Intelligence (MCI) 海兵隊情報部(MCI) 国防総省 1978
National Geospatial-Intelligence Agency (NGA) 全米地理情報局(NGA) 国防総省 1996
Office of Intelligence and Analysis (OIA) インテリジェンス&分析事務局(OIA) 財務省 2004
Intelligence Branch (IB) インテリジェンス事務局(IB) FBI 司法省 2005
Office of National Security Intelligence (ONSI) 国家安全保障情報局(ONSI) 司法省 2006
Office of Intelligence and Analysis (I&A) 情報分析室(I&A) CISA 国土安全保障省 2007
National Space Intelligence Center (NSIC) (USSF ISR Enterprise) 米国宇宙情報センター(NSIC) 国防総省 2020

 

 

Office of the Director of National Intelligence; ODNI

・2023.07.17 ODNI RELEASES THE INTELLIGENCE COMMUNITY DATA STRATEGY FOR 2023–2025

ODNI Releases the Intelligence Community Data Strategy for 2023–2025
ODNI、情報コミュニティデータ戦略2023-2025年を発表
WASHINGTON, D.C. – The Office of the Director of National Intelligence (ODNI) today released the Intelligence Community (IC) Data Strategy for 2023–2025. The strategy provides focus areas and actions for all 18 IC elements to accelerate their adoption of common services and efforts to make data more interoperable, discoverable, and artificial intelligence-ready for both people and machines. ワシントンD.C.-国家情報長官室(ODNI)は本日、情報コミュニティ(IC)データ戦略2023-2025年を発表した。同戦略は、ICの全18要素に対し、共通サービスの採用を加速させるための重点分野と行動を提供し、人と機械の両方にとって、データをより相互運用可能にし、発見可能にし、人工知能に対応させる取り組みを行っている。
Since publishing the first data strategy in 2017, the IC has made progress and continues to improve data discoverability, sharing, and usability across the IC and with our national security partners. To keep pace with the increasingly complex and interconnected global security environment, the IC Chief Data Officer (CDO) and IC element CDOs developed the IC Data Strategy to best position the IC now and in the future. 2017年に最初のデータ戦略を発表して以来、ICは進展を遂げ、IC全体および国家安全保障パートナーとのデータの発見性、共有性、使いやすさの改善を続けている。複雑化し相互接続が進むグローバルな安全保障環境に対応するため、ICの最高データ責任者(CDO)とICの各要素CDOは、ICを現在と将来において最適な位置に置くためのICデータ戦略を策定した。
“The IC Data Strategy directs our collective energy towards making data securely accessible and interoperable across boundaries and domains,” said IC CDO Lori Wade. “Our focus areas will expand our ability to securely discover, access, and leverage the IC's data at the speed of mission.” 「ICデータ戦略は、データを安全にアクセスできるようにし、境界や領域を超えて相互運用できるようにするために、我々の総力を結集するものである。「我々の重点分野は、ICのデータを安全に発見し、アクセスし、活用する能力をミッションのスピードに合わせて拡大する。
The strategic focus areas for action are: 戦略的重点分野は以下の通りである:
・Perform end-to-end data management ・エンド・ツー・エンドのデータ管理を行う
・Deliver data interoperability and analytics at speed and scale ・データの相互運用性と分析をスピードとスケールで提供する。
・Advance all partnerships for continued digital and data innovation ・デジタルとデータのイノベーションを継続するために、あらゆるパートナーシップを推進する。
・Transform the IC workforce to be data-driven ・ICの人材をデータ主導型に変革する。

 

・[PDF]

20230721-143029

 

 

1_20230720155601

仮対訳...

↓↓↓↓↓







Continue reading "米国 国家情報長官室 情報コミュニティのデータ戦略 2023-2025"

| | Comments (0)

2023.07.20

国連安全保障理事会の人工知能に関するセッションが初開催される

こんにちは、丸山満彦です。

国連の安全保障理事会で人工知能に関するセッションが初めて開催され、国連事務総長と議長国である英国の外務大臣がスピーチをしていますね。。。

 

国連事務総長のスピーチ

United Nation

・2023.07.18 Secretary-General Urges Security Council to Ensure Transparency, Accountability, Oversight, in First Debate on Artificial Intelligence

Secretary-General Urges Security Council to Ensure Transparency, Accountability, Oversight, in First Debate on Artificial Intelligence 事務総長、安全保障理事会に対し、人工知能に関する初の討議で、透明性、説明責任、監視の確保を促す
Following are UN Secretary-General António Guterres’ remarks to the Security Council debate on artificial intelligence, in New York today: 以下は、本日ニューヨークで行われた人工知能に関する安全保障理事会の討論に対するアントニオ・グテーレス国連事務総長の発言である:
I thank the United Kingdom for convening the first debate on artificial intelligence (AI) ever held in this Council. 安保理で初めて人工知能(AI)に関する討論会を開催してくれた英国に感謝する。
I have been following the development of AI for some time.  Indeed, I told the General Assembly six years ago that AI would have a dramatic impact on sustainable development, the world of work and the social fabric.  But, like everyone here, I have been shocked and impressed by the newest form of AI, generative AI, which is a radical advance in its capabilities. 私はしばらくの間、人工知能の発展を見守ってきた。 実際、私は6年前の総会で、AIは持続可能な開発、仕事の世界、社会構造に劇的な影響を与えるだろうと述べた。  しかし、ここにいる誰もがそうであるように、私はAIの最新形態である生成的AIに衝撃を受け、その能力の根本的な進歩に感銘を受けた。
The speed and reach of this new technology in all its forms are utterly unprecedented.  It has been compared to the introduction of the printing press.  But, while it took more than 50 years for printed books to become widely available across Europe, ChatGPT reached 100 million users in just two months. この新しいテクノロジーのスピードと到達範囲は、そのあらゆる形態において、まったく前例のないものだ。  それは印刷機の序文と比較されてきた。 しかし、印刷された書籍がヨーロッパ全土に広く普及するのに50年以上かかったのに対し、ChatGPTはわずか2ヶ月で1億人のユーザーを獲得した。
The finance industry estimates AI could contribute between $10 and $15 trillion to the global economy by 2030.  Almost every Government, large company and organization in the world is working on an AI strategy. 金融業界は、AIが2030年までに10兆ドルから15兆ドルの世界経済に貢献すると見積もっている。  世界のほぼすべての政府、大企業、組織がAI戦略に取り組んでいる。
But, even its own designers have no idea where their stunning technological breakthrough may lead.  It is clear that AI will have an impact on every area of our lives, including the three pillars of the United Nations.  It has the potential to turbocharge global development, from monitoring the climate crisis to breakthroughs in medical research.  It offers new potential to realize human rights, particularly to health and education.  But, the High Commissioner for Human Rights has expressed alarm over evidence that AI can amplify bias, reinforce discrimination and enable new levels of authoritarian surveillance. しかし、自社の設計者でさえ、その驚くべき技術的飛躍がどこにつながるのか見当もつかない。  AIが国連の3本柱を含む私たちの生活のあらゆる分野に影響を及ぼすことは明らかだ。  気候危機の監視から医学研究のブレークスルーに至るまで、世界の発展を加速させる可能性を秘めている。  人権、特に保健と教育を実現する新たな可能性も秘めている。  しかし、人権高等弁務官は、AIがバイアスを増幅させ、差別を強化し、新たなレベルの権威主義的監視を可能にしうるという証拠に警戒感を表明している。
Today’s debate is an opportunity to consider the impact of artificial intelligence on peace and security — where it is already raising political, legal, ethical and humanitarian concerns.  I urge the Council to approach this technology with a sense of urgency, a global lens, and a learner’s mindset.  Because what we have seen is just the beginning.  Never again will technological innovation move as slow as it is moving today. 本日の討議は、人工知能がすでに政治的、法的、倫理的、人道的な懸念を引き起こしている平和と安全保障に与える影響を検討する機会である。  私は理事会に対し、危機感を持ち、グローバルな視野を持ち、学習者のマインドセットを持って、このテクノロジーに取り組むよう強く求める。  というのも、私たちが目にしたものは、ほんの始まりに過ぎないからだ。  技術革新が今日のようにゆっくりと進むことは二度とないだろう。
AI is being put to work in connection with peace and security, including by the United Nations.  It is increasingly being used to identify patterns of violence, monitor ceasefires and more, helping to strengthen our peacekeeping, mediation and humanitarian efforts. AIは、国連を含め、平和と安全保障に関連して活用されている。  暴力のパターンの特定や停戦の監視などに利用されることが増えており、平和維持、調停、人道支援活動の強化に役立っている。
But, AI tools can also be used by those with malicious intent. AI models can help people to harm themselves and each other, at massive scale.  Let’s be clear:  the malicious use of AI systems for terrorist, criminal or State purposes could cause horrific levels of death and destruction, widespread trauma and deep psychological damage on an unimaginable scale. しかし、AIツールは悪意ある者にも利用される可能性がある。 AIモデルは、大規模に、人々が自分自身やお互いを傷つけるのを助けることができる。  テロリスト、犯罪者、あるいは国家の目的のためにAIシステムを悪意を持って使用すれば、想像を絶する規模の恐ろしいレベルの死と破壊、広範なトラウマ、深い精神的ダメージを引き起こす可能性がある。
AI-enabled cyberattacks are already targeting critical infrastructure and our own peacekeeping and humanitarian operations, causing great human suffering.  The technical and financial barriers to access are low, including for criminals and terrorists.  Both military and non-military applications of AI could have very serious consequences for global peace and security. AIを利用したサイバー攻撃は、すでに重要なインフラや私たち自身の平和維持活動や人道支援活動を標的にし、大きな人的被害をもたらしている。  犯罪者やテロリストを含め、アクセスするための技術的・金銭的障壁は低い。  AIの軍事的、非軍事的な応用は、世界の平和と安全保障にとって非常に深刻な結果をもたらす可能性がある。
The advent of generative AI could be a defining moment for disinformation and hate speech — undermining truth, facts and safety, adding a new dimension to the manipulation of human behaviour and contributing to polarization and instability on a vast scale. 生成的AIの出現は、偽情報やヘイトスピーチの決定的な瞬間となる可能性がある。真実、事実、安全性を損ない、人間の行動操作に新たな次元を加え、大規模な分極化と不安定化を助長する。
Deepfakes are just one new AI-enabled tool that, if unchecked, could have serious implications for peace and stability.  And the unforeseen consequences of some AI-enabled systems could create security risks by accident.  Look no further than social media.  Tools and platforms that were designed to enhance human connection are now used to undermine elections, spread conspiracy theories and incite hatred and violence. ディープフェイクは、AIを活用した新たなツールのひとつに過ぎず、野放しにすれば平和と安定に深刻な影響を及ぼしかねない。  また、一部のAI対応システムが予期せぬ結果をもたらすことで、偶然に安全保障上のリスクが生じる可能性もある。  ソーシャルメディアを見習ってほしい。 人とのつながりを強化するために設計されたツールやプラットフォームが、今では選挙を弱体化させ、陰謀論を広め、憎悪や暴力を扇動するために使われている。
Malfunctioning AI systems are another huge area of concern.  And the interaction between AI and nuclear weapons, biotechnology, neurotechnology and robotics is deeply alarming.  Generative AI has enormous potential for good and evil at scale.  Its creators themselves have warned that much bigger, potentially catastrophic and existential risks lie ahead.  Without action to address these risks, we are derelict in our responsibilities to present and future generations. AIシステムの誤作動もまた、大きな懸念事項だ。  そして、AIと核兵器、バイオテクノロジー、神経技術、ロボット工学との相互作用は、深く憂慮すべきものである。  生成的AIは、規模の大小にかかわらず、善にも悪にも甚大な可能性を秘めている。 その創造者たち自身も、もっと大きな、破滅的で存亡に関わる可能性のあるリスクが待ち受けていると警告している。  これらのリスクに対処するための行動を起こさなければ、我々は現在と未来の世代に対する責任を放棄することになる。
The international community has a long history of responding to new technologies with the potential to disrupt our societies and economies.  We have come together at the United Nations to set new international rules, sign new treaties and establish new global agencies.  While many countries have called for different measures and initiatives around the governance of AI, this requires a universal approach. 国際社会には、社会や経済を混乱させる可能性のある新技術に対応してきた長い歴史がある。  私たちは国連に結集し、新たな国際ルールを定め、新たな条約に署名し、新たなグローバル機関を設立してきた。  多くの国がAIのガバナンスをめぐるさまざまな措置やイニシアチブを求めているが、これには普遍的なアプローチが必要だ。
And questions of governance will be complex for several reasons.  First, powerful AI models are already widely available to the general public.  Second, unlike nuclear material and chemical and biological agents, AI tools can be moved around the world leaving very little trace.  And third, the private sector’s leading role in AI has few parallels in other strategic technologies. ガバナンスの問題は、いくつかの理由から複雑なものとなるだろう。 第一に、強力なAIモデルはすでに広く一般に利用可能となっている。  第二に、核物質や化学・生物兵器とは異なり、AIツールはほとんど痕跡を残さずに世界中を移動できる。 そして第三に、AIにおける民間部門の主導的な役割は、他の戦略的テクノロジーにはほとんど見られない。
But, we already have entry points.  One is the 2018-2019 guiding principles on lethal autonomous weapons systems, agreed through the Convention on Certain Conventional Weapons. I agree with the large number of experts that have recommended the prohibition of lethal autonomous weapons without human control. しかし、私たちにはすでに入り口がある。  ひとつは、特定通常兵器に関する条約を通じて合意された、致死的自律兵器システムに関する2018年から2019年の指導原則である。 私は、人間の制御のない致死的な自律型兵器の禁止を勧告した多くの専門家に同意する。
A second is the 2021 recommendations on the Ethics of Artificial Intelligence agreed through the United Nations Educational, Scientific and Cultural Organization (UNESCO). もうひとつは、国連教育科学文化機関(UNESCO)を通じて合意された人工知能の倫理に関する2021年の勧告である。
The Office of Counter-Terrorism, working with the Interregional Crime and Justice Research Institute, has provided recommendations on how Member States can tackle the potential use of AI for terrorist purposes. テロ対策室は、地域間犯罪司法研究所と協力して、加盟国がテロ目的でAIが使用される可能性にどのように対処できるかについて勧告を出した。
And the AI for Good summits hosted by the International Telecommunications Union (ITU) have brought together experts, the private sector, United Nations agencies and Governments around efforts to ensure that AI serves the common good. また、国際電気通信連合(ITU)主催の「AI for Good」サミットでは、AIが公益に資するよう、専門家、民間セクター、国連機関、ガバナンスが一堂に会した。
The best approach would address existing challenges while also creating the capacity to monitor and respond to future risks.  It should be flexible and adaptable, and consider technical, social and legal questions.  It should integrate the private sector, civil society, independent scientists and all those driving AI innovation. 最善のアプローチは、既存の課題に取り組むと同時に、将来のリスクを監視し対応する能力を生み出すことである。  柔軟性と適応性を備え、技術的、社会的、法的な問題を考慮すべきである。  民間セクター、市民社会、独立した科学者、AIイノベーションを推進するすべての人々を統合すべきである。
The need for global standards and approaches makes the United Nations the ideal place for this to happen.  The Charter of the United Nations’ emphasis on protecting succeeding generations gives us a clear mandate to bring all stakeholders together around the collective mitigation of long-term global risks.  AI poses just such a risk. グローバルな標準とアプローチの必要性から、国連はそのための理想的な場所といえる。  国連憲章は次世代を保護することに重点を置いており、長期的なグローバルリスクの集団的低減に向け、すべての利害関係者を結集させるという明確な使命が与えられている。 AIはまさにそのようなリスクをもたらしている。
I therefore welcome calls from some Member States for the creation of a new United Nations entity to support collective efforts to govern this extraordinary technology, inspired by such models as the International Atomic Energy Agency (IAEA), the International Civil Aviation Organization (ICAO) or the Intergovernmental Panel on Climate Change. そこで私は、国際原子力機関(IAEA)、国際民間航空機関(ICAO)、気候変動に関する政府間パネルなどのモデルにヒントを得て、この驚異的なテクノロジーを統治するための集団的努力を支援する新たな国連事業体の創設を求める加盟国の声を歓迎する。
The overarching goal of this body would be to support countries to maximize the benefits of AI for good, to mitigate existing and potential risks, and to establish and administer internationally-agreed mechanisms of monitoring and governance. この組織の包括的な目標は、各国がAIの恩恵を最大限に享受できるよう支援し、既存および潜在的なリスクを軽減し、国際的に合意された監視とガバナンスのメカニズムを確立・管理することである。
Let’s be honest:  There is a huge skills gap around AI in Governments and other administrative and security structures that must be addressed at the national and global levels.  A new United Nations entity would gather expertise and put it at the disposal of the international community.  And it could support collaboration on the research and development of AI tools to accelerate sustainable development. 正直に言おう。ガバナンスをはじめとする行政・安全保障機構には、AIをめぐる大きなスキル・ギャップがあり、国レベルでも世界レベルでもこれに対処しなければならない。  国連の新たな事業体は、専門知識を集め、国際社会が自由に使えるようにする。 そして、持続可能な開発を促進するためのAIツールの研究開発に関する協力を支援することができる。
As a first step, I am convening a multistakeholder High-Level Advisory Board for Artificial Intelligence that will report back on the options for global AI governance, by the end of this year.  My upcoming Policy Brief on A New Agenda for Peace will also make recommendations on AI governance to Member States. その第一歩として、私は、今年末までにグローバルなAIガバナンスの選択肢について報告する、マルチステークホルダーによる「人工知能に関するハイレベル諮問委員会」を招集する。  平和のための新たなアジェンダ』に関する私の政策ブリーフは、AIガバナンスについても加盟国に勧告する予定である。
First, it will recommend that Member States develop national strategies on the responsible design, development and use of AI, consistent with their obligations under international humanitarian law and human rights law. 第一に、加盟国に対し、国際人道法および人権法の下での義務に合致した、責任あるAIの設計、開発、使用に関する国家戦略を策定するよう勧告する。
Second, it will call on Member States to engage in a multilateral process to develop norms, rules and principles around military applications of AI, while ensuring the engagement of other relevant stakeholders. 第二に、加盟国に対し、他の関係者の関与を確保しつつ、AIの軍事利用をめぐる規範、規則、原則を策定する多国間プロセスに関与するよう求める。
Third, it will call on Member States to agree on a global framework to regulate and strengthen oversight mechanisms for the use of data-driven technology, including artificial intelligence, for counter-terrorism purposes. 第三に、加盟国に対し、テロ対策目的の人工知能を含むデータ駆動型テクノロジーの利用を規制し、監視メカニズムを強化するためのグローバルな枠組みに合意するよう求める。
The Policy Brief on a New Agenda for Peace will also call for negotiations to be concluded by 2026 on a legally binding instrument to prohibit lethal autonomous weapons systems that function without human control or oversight, and which cannot be used in compliance with international humanitarian law. I hope Member States will debate these options and decide on the best course of action to establish the AI governance mechanisms that are so urgently needed. 平和のための新たなアジェンダに関する政策ブリーフ」はまた、人間の制御や監視なしに機能し、国際人道法を遵守して使用することができない致死的な自律型兵器システムを禁止する法的拘束力のある文書について、2026年までに交渉をまとめるよう求める。 私は、加盟国がこれらの選択肢について議論し、緊急に必要とされているAIガバナンスのメカニズムを確立するための最善の行動を決定することを望む。
In addition to the recommendations of the New Agenda for Peace, I urge agreement on the general principle that human agency and control are essential for nuclear weapons and should never be withdrawn.  The Summit of the Future next year will be an ideal opportunity for decisions on many of these inter-related issues. 平和のための新たなアジェンダ」の提言に加え、私は、核兵器には人間の行為と管理が不可欠であり、決して撤廃されるべきではないという一般原則に合意することを強く求める。  来年の未来サミットは、こうした相互に関連する問題の多くについて決定する理想的な機会となる。
I urge this Council to exercise leadership on artificial intelligence and show the way towards common measures for the transparency, accountability, and oversight of AI systems.  We must work together for AI that bridges social, digital and economic divides, not one that pushes us further apart. 私は、この理事会が人工知能に関してリーダーシップを発揮し、AIシステムの透明性、説明責任、監視のための共通の方策への道を示すことを強く求める。  私たちは、社会的、デジタル的、経済的な隔たりを埋めるAIのために協力しなければならない。
I urge you to join forces and build trust for peace and security. We need a race to develop AI for good:  to develop AI that is reliable and safe and that can end poverty, banish hunger, cure cancer and supercharge climate action [and] an AI that propels us towards the Sustainable Development Goals.  That is the race we need, and that is a race that is possible and achievable.  Thank you. 平和と安全のために力を合わせ、信頼を築くことを強く求める。 信頼性と安全性に優れ、貧困をなくし、飢餓をなくし、がんを治し、気候変動対策を促進するAIを開発する。  それこそが私たちに必要な競争であり、可能で達成可能な競争なのだ。  ありがとう。

 

 

1_20230720071701

 

プレス...

・2023.07.18 International Community Must Urgently Confront New Reality of Generative, Artificial Intelligence, Speakers Stress as Security Council Debates Risks, Rewards

International Community Must Urgently Confront New Reality of Generative, Artificial Intelligence, Speakers Stress as Security Council Debates Risks, Rewards 国際情報コミュニティは生成的人工知能の新たな現実に早急に立ち向かわなければならない、安全保障理事会がリスクと報酬について議論する中、発言者たちは強調する。
Secretary-General Points to Potentially ‘Defining Moment for Hate Speech, Disinformation’, as Delegates Call for Ethical, Responsible Governance Framework 事務総長、「ヘイトスピーチと偽情報の決定的瞬間」の可能性を指摘 代議員は倫理的で責任あるガバナンスの枠組みを求める
The international community must urgently confront the new reality of generative and other artificial intelligence (AI), speakers told the Security Council today in its first formal meeting on the subject as the discussion that followed spotlighted the duality of risk and reward inherent in this emerging technology. 国際情報コミュニティは、生成的人工知能(AI)をはじめとする新たな現実と早急に向き合わなければならない、と発言者らは本日、安全保障理事会のこのテーマに関する初の公式会合で語った。
António Guterres, Secretary-General of the United Nations, noting that AI has been compared to the printing press, observed that — while it took more than 50 years for printed books to become widely available across Europe — “ChatGPT reached 100 million users in just two months”.  Despite its potential to turbocharge global development and realize human rights, AI can amplify bias, reinforce discrimination and enable new levels of authoritarian surveillance. アントニオ・グテーレス国際連合事務総長は、AIが印刷機に例えられていると指摘し、印刷された書籍がヨーロッパ全土で広く利用されるようになるまで50年以上かかったのに対し、「ChatGPTはわずか2カ月で1億人のユーザーを獲得した」と述べた。 AIは世界の発展を加速させ、人権を実現する可能性を秘めているにもかかわらず、バイアスを増幅させ、差別を強化し、新たなレベルの権威主義的監視を可能にする可能性がある。
The advent of generative AI “could be a defining moment for disinformation and hate speech”, he observed and, while questions of governance will be complex for several reasons, the international community already has entry points.  The best approach would be to address existing challenges while also creating capacity to respond to future risks, he said, and underlined the need to “work together for AI that bridges social, digital and economic divides — not one that pushes us further apart”. 生成的AIの出現は「偽情報とヘイトスピーチの決定的な瞬間になりうる」とし、ガバナンスの問題はいくつかの理由から複雑になるだろうが、国際社会はすでにエントリーポイントを持っていると述べた。 最良のアプローチは、既存の課題に対処すると同時に、将来のリスクに対応する能力を生み出すことである、と同氏は述べた、 そして、次の必要性を強調した。「社会的、デジタル的、経済的な隔たりを埋めるAIのために協力する必要がある。さらに引き離すものではなく。」
Jack Clark, Co-founder of Anthropic, noted that, although AI can bring huge benefits, it also poses threats to peace, security and global stability due to its potential for misuse and its unpredictability — two essential qualities of AI systems.  For example, while an AI system can improve understanding of biology, it can also be used to construct biological weapons.  Further, once developed and deployed, people identify new and unanticipated uses for such systems. Anthropic社の共同設立者であるジャック・クラーク氏は、AIは大きな利益をもたらす可能性がある一方で、悪用される可能性と予測不可能性というAIシステムの本質的な2つの性質により、平和、安全保障、世界の安定に対する脅威にもなると指摘した。 例えば、AIシステムは生物学の理解を向上させる一方で、生物兵器の製造に利用される可能性もある。 さらに、いったん開発され配備されると、人々はそのようなシステムの新たな、そして予期せぬ用途を特定する。
“We cannot leave the development of artificial intelligence solely to private-sector actors,” he underscored, stating that Governments can keep companies accountable — and companies can earn the world’s trust — by developing robust, reliable evaluation systems.  Without such investment, the international community runs the risk of handing over the future to a narrow set of private-sector actors, he warned. 「人工知能の開発を民間企業だけに任せるわけにはいかない」と強調し、ガバナンスは強固で信頼できる評価システムを開発することで、企業に説明責任を果たさせ、企業は世界の信頼を得ることができると述べた。 このような投資がなければ、国際社会は未来を狭い範囲の民間団体に委ねてしまうリスクがある」と警告した。
Also briefing the Council, Yi Zeng of the Institute of Automation at the Chinese Academy of Sciences pointed out that current AI are information-processing tools that, while seemingly intelligent, are without real understanding.  “This is why they, of course, cannot be trusted as responsible agents that can help humans to make decisions,” he emphasized.  Both near-term and long-term AI will carry a risk of human extinction simply because “we haven’t found a way to protect ourselves from AI’s utilization of human weakness”, he said. また、中国科学院自動化研究所のイ・ツェン氏は、現在のAIは情報処理ツールであり、一見知的に見えるが、真の理解には至っていないと指摘した。 「このため、人間の意思決定を助ける責任あるエージェントとしては、もちろん信頼できない」と強調した。 AIが人間の弱点を利用することから身を守る方法が見つかっていない」だけで、近い将来も長期的にも、AIは人類絶滅のリスクを背負うことになるだろう、と彼は述べた。
In the ensuing debate, Council members alternately highlighted the transformative opportunities AI offers for addressing global challenges and the risks it poses — including its potential to intensify conflict through the spread of misinformation and malicious cyberoperations.  Many, recognizing the technology’s military applications, underscored the imperative to retain the element of human decision-making in autonomous weapons systems.  Members also stressed the need to establish an ethical, responsible framework for international AI governance. その後の討論で、理事会のメンバーは、AIがグローバルな課題に対処するためにもたらす変革の機会と、誤情報や悪意あるサイバー操作の拡散を通じて紛争を激化させる可能性など、AIがもたらすリスクを交互に強調した。 その多くは、この技術が軍事的に応用されることを認識しながらも、自律型兵器システムにおいて人間の意思決定の要素を維持することの必要性を強調した。 政府はまた、国際的なAIガバナンスのための倫理的で責任ある枠組みを確立する必要性を強調した。
On that, Omran Sharaf, Assistant Minister for Advanced Sciences and Technology of the United Arab Emirates, stated that there is a brief window of opportunity, available now, where key stakeholders are willing to unite and consider the guardrails for this technology.  Member States should establish commonly agreed-upon rules “before it is too late”, he stressed, calling for mechanisms to prevent AI tools from promoting hatred, misinformation and disinformation that can fuel extremism and exacerbate conflict. これに関して、米国アラブ首長国連邦のオムラン・シャラフ先端科学技術担当大臣補佐官は、主要な利害関係者が団結してこの技術のガードレールを検討する、今しかない短い機会の窓があると述べた。 加盟国は「手遅れになる前に」、共通に合意されたルールを確立すべきだと強調し、AIツールが過激主義を煽り、紛争を悪化させる憎悪、誤情報、偽情報を助長するのを防ぐメカニズムを求めた。
Ghana’s representative, adding to that, underscored that the international community must “constrain the excesses of individual national ambitions for combative dominance”.  Urging the development of frameworks that would govern AI for peaceful purposes, he spotlighted the deployment of that technology by the United Nations Support Mission in Libya (UNSMIL).  Used to determine the Libyan people’s reaction to policies, it facilitated improvements in that country’s 2022 Global Peace Index, he noted, while also cautioning against AI’s integration into autonomous weapons systems. ガーナの代表者はさらに、国際社会は「戦闘的な支配を目指す各国の野心の行き過ぎを抑制しなければならない」と強調した。 同代表は、平和的な目的のためにAIを管理する枠組みの開発を促し、国連リビア支援団(UNSMIL)によるAI技術の展開に注目した。 リビアの人々の政策に対する反応を判断するために使用され、同国の2022年世界平和指数の改善を促したと指摘する一方、AIが自律型兵器システムに組み込まれることに注意を促した。
The speaker for Ecuador similarly rejected the militarization of AI and reiterated the risk posed by lethal autonomous weapons.  “The robotization of conflict is a great challenge for our disarmament efforts and an existential challenge that this Council ignores at its peril,” he warned.  Adding that AI can either contribute to or undermine peace efforts, he emphasized that “our responsibility is to promote and make the most of technological development as a facilitator of peace”. エクアドルの演説者も同様に、AIの軍事化を否定し、致死的な自律型兵器がもたらすリスクを改めて強調した。 「紛争のロボット化は、我々の軍縮努力にとって大きな挑戦であり、本理事会が危険を顧みず無視する存亡の課題である」と警告した。 また、AIは平和の努力に貢献することもあれば、損なうこともあるとし、「我々の責任は、平和を促進するものとして技術開発を促進し、最大限に活用することだ」と強調した。
China’s representative, noting that AI is a double-edged sword, said that whether it is good or evil depends on how mankind uses and regulates it, and how the balance is struck between scientific development and security.  AI development must ensure safety, risk-awareness, fairness and inclusivity, he stressed, calling on the international community to put ethics first and ensure that technology always benefits humanity. 中国の代表者は、AIは諸刃の剣であると指摘し、それが善か悪かは、人類がAIをどのように利用し、規制するか、そして科学の発展と安全保障のバランスをどのように取るかにかかっていると述べた。 AIの開発は、安全性、リスク認識、公平性、包括性を確保しなければならないと強調し、国際社会に対し、倫理を第一に考え、技術が常に人類に利益をもたらすようにするよう呼びかけた。
James Cleverly, Secretary of State for Foreign, Commonwealth and Development Affairs of the United Kingdom, Council President for July, spoke in his national capacity to point out that AI could enhance or disrupt global strategic stability, challenge fundamental assumptions about defence and deterrence, and pose moral questions about accountability for lethal decisions on the battlefield.  But momentous opportunities lie before the international community, he added, observing:  “There is a tide in the affairs of men, which, taken at the flood, leads to fortune.” ジェームズ・クレバリー英国外務・英連邦・開発問題担当国務長官(7月理事会議長)は、国家的な立場で発言し、AIは世界の戦略的安定を強化することも破壊することもあり得ると指摘し、防衛と抑止に関する基本的な仮定に挑戦し、戦場での致命的な決定に対する説明責任について道徳的な問題を提起した。 しかし、国際社会には重大な機会が待ち受けている:  「人の営みには潮の流れがあり、それを汲み取れば幸運につながる。
Briefings ブリーフィング
ANTÓNIO GUTERRES, Secretary-General of the United Nations, recalled that he told the General Assembly in 2017 that artificial intelligence (AI) “would have a dramatic impact on sustainable development, the world of work and the social fabric”.  Noting that this technology has been compared to the printing press, he observed that — while it took more than 50 years for printed books to become widely available across Europe — “ChatGPT reached 100 million users in just two months”.  The finance industry estimates that AI could contribute up to $15 trillion to the global economy by 2030, and almost every Government, large company and organization in the world is working on an AI strategy.  AI has the potential to turbocharge global development — from monitoring the climate crisis to breakthroughs in medical research — and it offers new potential to realize human rights, particularly in the areas of health and education. アントニオ・グテレス(ANTÓNIO GUTERRES)国連事務総長は、2017年の総会で人工知能(AI)が「持続可能な開発、仕事の世界、社会構造に劇的な影響を与えるだろう」と述べたことを想起した。  この技術が印刷機と比較されていることに触れ、印刷された書籍がヨーロッパ全土に広く普及するのに50年以上かかったのに対し、「ChatGPTはわずか2ヶ月で1億人のユーザーを獲得した」と述べた。  金融業界は、AIが2030年までに世界経済に最大15兆ドル貢献すると見積もっており、世界中のほぼすべての政府、大企業、組織がAI戦略に取り組んでいる。  AIは、気候危機の監視から医学研究のブレークスルーに至るまで、世界の開発を加速させる可能性を秘めており、特に健康と教育の分野において、人権を実現する新たな可能性を提供している。
He pointed out, however, that the High Commissioner for Human Rights has expressed alarm over evidence that AI can amplify bias, reinforce discrimination and enable new levels of authoritarian surveillance.  Urging the Council to approach this technology with a sense of urgency, a global lens and a learner’s mindset, he observed:  “Never again will technological innovation move as slowly as today.”  While AI tools are increasingly being used — including by the United Nations — to identify patterns of violence, monitor ceasefires and help strengthen peacekeeping, mediation and humanitarian efforts, AI models can help people to harm themselves and each other at massive scale.  On that, he said that AI-enabled cyberattacks are already targeting critical infrastructure and peacekeeping operations and that the advent of generative AI “could be a defining moment for disinformation and hate speech”. Outlining other potential consequences, he expressed concern over malfunctioning AI systems and the interaction between AI and nuclear weapons, biotechnology, neurotechnology and robotics. しかし、人権高等弁務官は、AIがバイアスを増幅させ、差別を強化し、新たなレベルの権威主義的監視を可能にするという証拠に警鐘を鳴らしていることを指摘した。  同高等弁務官は理事会に対し、危機感を持ち、グローバルな視野と学習者マインドを持ってこの技術に取り組むよう促し、次のように述べた:  「技術革新が今日ほどゆっくりと進むことは二度とないだろう。  暴力のパターンを特定し、停戦を監視し、平和維持、調停、人道活動の強化に役立てるため、国連を含め、AIツールの利用が進んでいる一方で、AIモデルは大規模に人々が自らを傷つけ、互いに傷つけ合うのを助ける可能性がある。  その上で、AIを活用したサイバー攻撃はすでに重要インフラや平和維持活動を標的にしており、生成的AIの登場は「偽情報やヘイトスピーチの決定的な瞬間になりうる」と述べた。 その他の潜在的な影響については、AIシステムの誤作動や、AIと核兵器、バイオテクノロジー、神経技術、ロボット工学との相互作用に懸念を示した。
“Without action to address these risks, we are derelict in our responsibilities to present and future generations,” he stressed. Questions of governance will be complex for several reasons:  powerful AI models are already widely available; AI tools can be moved around the world leaving very little trace; and the private sector’s leading role in AI has few parallels in other strategic technologies.  However, the international community already has entry points, including the 2018-2019 guiding principles on lethal autonomous weapons systems; the 2021 recommendations on the ethics of AI agreed through the United Nations Educational, Scientific and Cultural Organization (UNESCO); recommendations by the United Nations Office of Counter-Terrorism; and the “AI for Good” summits hosted by the International Telecommunication Union (ITU). 「これらのリスクに対処するための行動を起こさなければ、現在と将来の世代に対する責任を放棄することになる」と強調した。 強力なAIモデルがすでに広く利用可能であること、AIツールはほとんど痕跡を残さずに世界中を移動できること、AIにおける民間部門の主導的役割は他の戦略的テクノロジーにはほとんど類似点がないこと、などである。  しかし、国際社会はすでに、致死的自律兵器システムに関する2018年から2019年の指導原則、国連教育科学文化機関(UNESCO)を通じて合意されたAIの倫理に関する2021年の勧告、国連テロ対策局による勧告、国際電気通信連合(ITU)が主催する「AI for Good」サミットなど、エントリーポイントを持っている。
The best approach, he went on to say, would address existing challenges while also creating the capacity to monitor and respond to future risks.  The need for global standards and approaches makes the United Nations the ideal place for this to happen, and he therefore welcomed calls from some Member States to create a new United Nations entity to support collective efforts to govern this technology.  Such an entity would gather expertise and put it at the international community’s disposal and could support collaboration on the research and development of AI tools to expedite sustainable development.  Urging the Council to show the way towards common measures for the transparency, accountability and oversight of AI systems, he underlined the need to “work together for AI that bridges social, digital and economic divides — not one that pushes us further apart”. 最善のアプローチは、既存の課題に対処すると同時に、将来のリスクを監視し対応する能力を生み出すことである。  グローバルな標準とアプローチの必要性から、国連はこの実現に理想的な場所であるとし、そのため、この技術を管理するための集団的努力を支援する新たな国連事業体の設立を求める一部の加盟国の声を歓迎した。  このような事業体であれば、専門知識を集めて国際社会が自由に使えるようにし、持続可能な開発を促進するAIツールの研究開発に関する協力を支援できる。  同理事会は、AIシステムの透明性、説明責任、監視のための共通の対策への道を示すよう促し、「社会的、デジタル的、経済的な隔たりを埋めるAIのために協力する必要性を強調した。
JACK CLARK, Co-founder, Anthropic, said:  “We cannot leave the development of artificial intelligence solely to private sector actors.  The Governments of the world must come together, develop State capacity and make the development of powerful AI systems a shared endeavour across all parts of society, rather than one dictated solely by a small number of firms competing with one another in the marketplace.”  He recalled that a decade ago the England-based company DeepMind published research that shows how to teach an AI system to play old computer games like Space Invaders.  The same techniques used in that research are now being used to create AI systems that can beat military pilots in air fighting stimulations and even design the components of next-generation semiconductors. Anthropic社の共同設立者であるJACK CLARK氏は、次のように述べた:  「人工知能の開発を民間企業だけに任せるわけにはいきません。 世界中のガバナンスが一丸となり、国家の能力を発展させ、強力なAIシステムの開発を、市場で互いに競争する少数の企業だけに左右されるのではなく、社会のあらゆる部分で共有される取り組みにしなければなりません」。 彼は、10年前にイギリスのディープマインド社が、スペースインベーダーのような古いコンピューターゲームをプレイするようにAIシステムに教える方法を示す研究を発表したことを思い出した。 その研究で使用されたのと同じ技術が、現在、空中戦の刺激で軍用パイロットを打ち負かし、さらには次世代半導体の部品を設計できるAIシステムを作るために使用されている。
Noting that AI models, such as OpenAI, ChatGPT, Google Bard and his own company Anthropic’s Claude are developed by corporate interests, he said that, as private sector actors are the ones that have the sophisticated computers and large pools of data and capital resources to build these systems, they seem likely to continue to define their development.  However, while that will bring huge benefits, it also poses potential threats to peace, security and global stability, which emanate from AI’s potential for misuse and its unpredictability — two essential qualities of AI systems.  For example, on misuse, he said that an AI system that can help in better understanding biology may also be used to construct biological weapons.  On unpredictability, he pointed out that once AI systems are developed and deployed, people identify new uses for them that were unanticipated by their developers or the system itself could later exhibit chaotic or unpredictable behaviour. OpenAI、ChatGPT、Google Bard、そして彼自身の会社Anthropic's ClaudeのようなAIモデルは、企業の利害関係者によって開発されていることを指摘した彼は、これらのシステムを構築するための洗練されたコンピューター、大規模なデータプール、資本資源を持つのは民間企業であるため、今後も民間企業がその開発を定義していく可能性が高いと述べた。 しかし、それは莫大な利益をもたらす一方で、平和、安全保障、世界の安定に対する潜在的な脅威となる。 例えば、悪用については、生物学の理解を深めるのに役立つAIシステムが、生物兵器の製造に使われる可能性があると述べた。 予測不可能性については、AIシステムが開発・導入されると、開発者が予期していなかった新たな用途が見いだされたり、システム自体が後にカオス的で予測不可能な挙動を示す可能性があると指摘した。
“Therefore, we should think very carefully about how to ensure developers of these systems are accountable, so that they build and deploy safe and reliable systems which do not compromise global security,” he urged.  AI as a form of human labour affords immense political leverage and influence, he pointed out, raising such questions about how Governments should regulate this power or who should be the actors that can sell those so-called experts.  The international community must work on developing ways to test for the systems’ capabilities, misuses and potential safety flaws.  For this reason, it has been encouraging to see many countries emphasize the importance of safety testing and evaluation in their various AI policy proposals, he said, naming those of the European Union, China and the United States. 「したがって、これらのシステムの開発者が説明責任を果たし、世界の安全保障を損なわない安全で信頼できるシステムを構築し、配備できるようにする方法について、慎重に考える必要がある」と彼は訴えた。 AIは人間の労働力の一形態であるため、政治的な影響力は絶大であり、政府はこの力をどのように規制すべきか、いわゆる専門家を売り込む主体は誰であるべきか、といった問題を提起している。 国際社会は、システムの能力、誤用、潜在的な安全性の欠陥をテストする方法の開発に取り組まなければならない。 このような理由から、多くの国々が様々なAI政策提案の中で、安全性テストと評価の重要性を強調しているのは心強いことだと、EU、中国、米国の名前を挙げて語った。
Noting the absence of standards or best practices on how to test these systems for things such as discrimination, misuse or safety, he said Governments can keep companies accountable and companies can earn the world’s trust by developing robust and reliable evaluation systems.  Without such an investment, the international community runs the risk of handing over the future to a narrow set of private sector actors, he warned.  “If we can rise to the challenge, however, we can reap the benefits of AI as a global community and ensure there is a balance of power between the developers of AI and the citizens of the world,” he said. また、差別や誤用、安全性など、AIシステムのテスト方法に関する標準やベストプラクティスが存在しないことを指摘し、ガバナンスは企業に説明責任を負わせることができ、企業は強固で信頼できる評価システムを開発することで世界の信頼を得ることができると述べた。 このような投資がなければ、国際社会は狭い範囲の民間企業に未来を委ねてしまうリスクがある、と彼は警告した。 「しかし、私たちがこの課題に立ち向かうことができれば、グローバル・コミュニティとしてAIの恩恵を享受し、AIの開発者と世界の市民との間に力の均衡を確保することができる」と述べた。
YI ZENG, Institute of Automation, Chinese Academy of Sciences, said that there is no doubt that AI is a powerful and enabling technology to push forward global sustainable development.  From the peace and security perspective, efforts should focus on using it to identify disinformation and misunderstanding among countries and political bodies.   AI should be used for network defences, not attacks.  “AI should be used to connect people and cultures, not to disconnect them,” he added.  The current AI, including recent generative AI, are information processing tools that seem to be intelligent, while they are without real understandings, and hence not truly intelligent. 中国科学院自動化機構のYI ZENG氏は、AIが世界の持続可能な発展を推し進めるための強力で実現可能な技術であることは間違いないと述べた。  平和と安全保障の観点からは、各国や政治団体間の偽情報や誤解を識別するためにAIを活用することに焦点を当てるべきだ。   AIは攻撃ではなく、ネットワーク防御に使われるべきである。 「AIは人々や文化をつなぐために使われるべきであり、切り離すために使うべきではない」と付け加えた。 最近の生成的AIを含む現在のAIは、知的であるかのような情報処理ツールであるが、真の理解力を持っていない。
“This is why they, of course, cannot be trusted as responsible agents that can help humans to make decisions,” he emphasized.  AI should not be used for automating diplomacy tasks, especially foreign negotiations among different countries, since it may use and extend human limitations and weaknesses to create bigger or even catastrophic risks.  “AI should never ever pretend to be human,” he said, stressing the need to ensure sufficient, effective and responsible human control for all AI-enabled weapons systems.  Both near-term and long-term AI will include risk of human extinctions simply because “we haven’t found a way to protect ourselves from AI’s utilization of human weakness”.  AI does not “know what we mean by human — [by] death and life”. 「このため、人間の意思決定を助ける責任あるエージェントとしては、もちろん信頼できない」と彼は強調した。 AIは人間の限界や弱点を利用して拡張し、より大きな、あるいは破滅的なリスクを生み出す可能性があるからだ。  「AIは決して人間のふりをすべきではない」と述べ、すべてのAI対応兵器システムに対して、十分かつ効果的で、責任ある人間による制御を確保する必要性を強調した。 AIが人間の弱点を利用することから身を守る方法が見つかっていない」だけで、近い将来も長期的にも、AIには人類が絶滅するリスクが含まれる。  AIは「人間の意味するところ、つまり死と生を知らない」のである。
“In the long term, we haven’t given superintelligence any practical reasons why they should protect humans,” he continued. Proposing the Council consider the possibility of creating a working group on AI for peace and security, he encouraged members to play an increasing role on this important issue.  “Humans should always maintain and be responsible for final decision-making on the use of nuclear weapons,” he emphasized.  The United Nations must play a central role to set up a framework on AI development and governance, to ensure global peace and security. 「長期的に見れば、我々は超知能に人間を守るべき現実的な理由を与えていない」と彼は続けた。 理事会は、平和と安全のためのAIに関する作業部会の設置の可能性を検討するよう提案し、理事長は、この重要な問題に関して、加盟国がより大きな役割を果たすよう促した。 「核兵器の使用に関する最終的な意思決定は、常に人間が維持し、責任を持つべきだ」と強調した。 国連は、世界の平和と安全を確保するため、AIの開発とガバナンスに関する枠組みを構築する中心的な役割を果たさなければならない」と述べた。
Statements 意見
JAMES CLEVERLY, Secretary of State for Foreign, Commonwealth and Development Affairs of the United Kingdom, Council President for July, spoke in his national capacity to note that AI may help the world adapt to climate change, beat corruption, revolutionize education, deliver the Sustainable Development Goals and reduce violent conflict.  “But we are here today because AI will affect the work of the Council,” he observed, pointing out that the technology could enhance or disrupt global strategic stability, challenge fundamental assumptions about defence and deterrence and pose moral questions about accountability for lethal decisions on the battlefield.  Further, AI changes the speed, scale and spread of disinformation — with hugely harmful consequences for democracy and stability — and could aid the reckless quest for weapons of mass destruction by State and non-State actors. ジェームズ・クレバリー英国外務・英連邦・開発問題担当国務長官(7月理事会議長)は、AIが気候変動への適応、汚職の撲滅、教育革命、持続可能な開発目標の達成、暴力的紛争の減少に役立つ可能性があることを指摘し、国家としての立場から発言した。  「しかし、私たちが今日ここにいるのは、AIが理事会の活動に影響を与えるからです」と述べ、この技術が世界戦略の安定性を高めたり、破壊したりする可能性があること、防衛と抑止に関する基本的な仮定に挑戦するものであること、戦場での致命的な決定に対する説明責任について道徳的な問題を提起するものであることを指摘した。  さらに、AIは偽情報のスピード、規模、拡散を変化させ、民主主義と安定に甚大な有害結果をもたらすとともに、国家や非国家主体による大量破壊兵器の無謀な探求を助長する可能性がある。
“That’s why we urgently need to shape the global governance of transformative technologies,” he underscored.  For the United Kingdom, AI should:  support freedom and democracy; be consistent with the rule of law and human rights; be safe and predictable by design; and be trusted by the public.  Noting that his country is home to many of the world’s trail-blazing AI developers and foremost AI safety researchers, he said that the United Kingdom will bring world leaders together for the first major global summit on AI safety in autumn. Momentous opportunities lie before the international community, he added, observing:  “There is a tide in the affairs of men, which, taken at the flood, leads to fortune”. 「だからこそ、変革的テクノロジーのグローバル・ガバナンスを形成することが急務なのです」と強調した。  英国にとってAIは、自由と民主主義を支援し、法の支配と人権に合致し、安全で予測可能な設計であり、国民から信頼されるものでなければならない。  また、英国は世界の先駆的なAI開発者やAI安全性研究の第一人者の出身国であることに触れ、英国は秋にAI安全性に関する初の主要な世界サミットを開催し、世界の指導者を一堂に集める予定であると述べた。 国際社会には大きなチャンスが待ち受けている:  「人の営みには潮の流れがあり、その流れに身を任せれば、幸運に導かれる」。
TAKEI SHUNSUKE, State Minister of Foreign Affairs for Japan, underscored the importance of human-centric and trustworthy AI, noting that the development of AI should be consistent with democratic values and fundamental human rights.  “AI should not be a tool for rulers but should be placed under the rule of law,” he said, stressing that military use of AI should be responsible, transparent and based on international law.  AI can be made more trustworthy by including a wide range of stakeholders in the process, he said, noting that the United Nations’ convening power can bring together wisdom from around the world.  In June, his country hosted a side event at the United Nations with the Office of Counter-Terrorism and United Nations Interregional Crime and Justice Research Institute and led discussions on the misuse of AI by terrorists.  It also launched the Group of Seven (G7) Hiroshima AI Process this year to contribute to the global discussion on generative AI, he added. 日本の武井俊輔外務大臣は、人間中心で信頼できるAIの重要性を強調し、AIの開発は民主主義の価値と基本的人権に合致したものであるべきだと指摘した。 「AIは支配者のための道具ではなく、法の支配下に置かれるべきです」と述べ、AIの軍事利用は責任と透明性を持ち、国際法に基づくものであるべきだと強調した。 AIは、そのプロセスに幅広い利害関係者を参加させることで、より信頼性の高いものとすることができるとし、国連の招集力が世界中の英知を結集させることができると指摘した。  同国は6月、テロ対策局および国連地域間犯罪司法研究所とともに国連でサイドイベントを開催し、テロリストによるAIの悪用に関する議論を主導した。  また、生成的AIに関する世界的な議論に貢献するため、今年G7広島AIプロセスを発足させたと付け加えた。
MANUEL GONÇALVES, Deputy Minister for Foreign Affairs of Mozambique, said that, in full disclosure, his statement was composed solely by humans and not by generative AI tools like ChatGPT.  “We are approaching a point where digital machines can now complete a task that for the majority of human existence was exclusively within the realm of human intelligence,” he continued.  While advancements in AI present immense opportunities, they also pose risks, including the potential of catastrophic outcomes.  “We should take precautions,” he urged, warning that AI is increasingly imitating humans to spread misinformation and conspiracies and carries out numerous other nefarious activities. モザンビーク外務副大臣MANUEL GONÇALVESは、彼の発言はChatGPTのような生成的AIツールではなく、人間のみによって構成されたものであると述べた。  「私たちは、人間の生存の大部分において、人間の知性の範囲内であったタスクを、デジタル・マシンが完了させることができる地点に近づいています」と彼は続けた。  AIの進歩は計り知れないチャンスをもたらす一方で、大惨事を招く可能性を含むリスクももたらす。  「私たちは予防策を講じるべきです」と彼は促し、AIがますます人間を模倣して誤情報や陰謀を広めたり、その他多くの悪質な活動を行っていることに警告を発した。
Turning to AI’s positive impact, he said AI technologies have the potential to transform society — helping to eradicate disease, combat climate change, enhance early warning capabilities and customize mediation efforts.  AI can also be used to enhance data for the benefit of humanity.  Mozambique recognizes the importance of adopting a balanced approach toward AI, he said, while also noting the “credible evidence” indicating that AI poses a real risk.  Therefore, it is crucial to develop an intergovernmental agreement that can govern and monitor the use of AI.  It is important to ensure that all relevant actors, including Governments and the private sector, are provided with the technology tools that can ensure the ethical development and use of AI, he stressed. AIのポジティブな影響に目を向けると、彼は、AI技術は社会を変革する可能性を秘めており、病気の撲滅、気候変動との戦い、早期警戒能力の強化、調停努力のカスタマイズなどに役立つと述べた。  AIはまた、人類の利益のためにデータを強化するために使用することもできる。  モザンビークは、AIに対してバランスの取れたアプローチを採用することの重要性を認識していると述べるとともに、AIが現実のリスクをもたらすことを示す「信頼できる証拠」にも言及した。  したがって、AIの使用をガバナンスし、監視できる政府間協定を策定することが極めて重要である。  政府や民間部門を含むすべての関係者が、AIの倫理的な開発と利用を保証する技術ツールを確実に提供されるようにすることが重要である」と強調した。
OMRAN SHARAF, Assistant Minister for Advanced Sciences and Technology of the United Arab Emirates, underlined the need to establish rules for AI, stating that there is a brief window of opportunity available now where key stakeholders are willing to unite and consider the guardrails for this technology.  Member States should establish commonly agreed-upon rules “before it is too late”, he stressed, which should include mechanisms to prevent AI tools from promoting hatred, misinformation and disinformation that can fuel extremism and exacerbate conflict.  As with other cybertechnologies, the use of AI should be firmly guided by international law, which continues to apply in cyberspace.  He also emphasized that AI should become a tool to promote peacebuilding and the de-escalation of conflicts — not a threat multiplier — and that “the biases of the real world should not be replicated by AI”.  Adding that flexible and agile regulation is needed, he urged avoiding too-rigid rules that can hamper the evolution of this technology. アラブ首長国連邦のオムラン・シャラフ先端科学技術次官補は、AIのルールを確立する必要性を強調し、主要な利害関係者が団結してこの技術のガードレールを検討する、今しかないチャンスがあると述べた。  加盟国は、「手遅れになる前に」共通に合意されたルールを確立すべきであり、そのルールには、AIツールが過激主義を煽り、紛争を悪化させる憎悪、誤情報、偽情報を助長するのを防ぐメカニズムを含めるべきだと強調した。  他のサイバーテクノロジーと同様、AIの使用は、サイバースペースで適用され続ける国際法によってしっかりと導かれるべきである。  また、AIは平和構築と紛争緩和を促進するツールとなるべきであり、脅威を増大させるものではないこと、そして「現実世界のバイアスをAIで再現すべきではない」ことも強調した。  また、柔軟で機敏な規制が必要であるとし、この技術の進化を妨げるような厳しすぎるルールは避けるよう促した。
ZHANG JUN (China), noting that AI is a double-edged sword, said that whether it is good or evil depends on how mankind utilizes and regulates it and balances scientific development with security.  The international community should adhere to putting ethics first and ensure that technology always benefits humanity.  AI development must ensure safety, risk-awareness, fairness and inclusiveness, he stressed.  Leading technology enterprises should clarify the responsible party and avoid developing risky technology that could pose serious negative consequences. Meanwhile, developing countries must enjoy equal access and use of AI technology, products and services.  His country has actively explored AI development and governance in all fields, he said, noting that the Government in 2017 issued the New Generation Artificial Intelligence Development Plan.  In recent years it has continuously improved relevant laws and regulations, ethical norms, intellectual property standards, safety monitoring and evaluation measures to ensure the healthy and orderly development of AI. ZHANG JUN(中国)は、AIは諸刃の剣であると指摘し、それが善か悪かは、人類がどのようにAIを利用し、規制し、科学の発展と安全保障を両立させるかにかかっていると述べた。 国際社会は倫理を第一に考え、技術が常に人類に利益をもたらすようにすべきである。  AIの開発は、安全性、リスク認識、公平性、包括性を確保しなければならないと彼は強調した。  大手テクノロジー・エンタープライズは、責任者を明確にし、深刻な悪影響をもたらしかねない危険な技術の開発を避けるべきである。 一方、発展途上国はAI技術、製品、サービスへの平等なアクセスと利用を享受しなければならない。  同国はあらゆる分野でAIの開発とガバナンスを積極的に模索しているとし、2017年に政府が「新世代人工知能開発計画」を発表したことを指摘した。 近年は、AIの健全かつ秩序ある発展を確保するため、関連法規、倫理規範、知的財産標準、安全監視・評価措置を継続的に改善している。
JEFFREY DELAURENTIS (United States) said that AI offers incredible promise to address global challenges.  Automated systems are already helping to grow food more efficiently, predict storm paths and identify disease in patients.  AI, however, also has the potential to intensify conflict including by spreading misinformation and carrying out malicious cyberoperations.  The United States is committed to working with a range of actors, including Member States, technology companies and civil society actors, he said.  On 4 May, President Joseph R. Biden met with leading AI companies to underscore the responsibility to ensure AI systems are safe and trustworthy.  The United States is also identifying principles to guide the design, use and deployment of automated systems.  Military use of AI must be ethical and responsible.  Earlier this year, the United States proposed a political declaration on the responsible military use of AI, he said, and encouraged all Member States to endorse this declaration. JEFFREY DELAURENTIS(米国)は、AI は世界的な課題に対処するための素晴らしい可能性を秘めている と述べた。  自動化されたシステムはすでに、食料の効率的な栽培、暴風雨の進路予測、患者の病気の特定に役立っている。 しかしAIは、誤情報の拡散や悪意あるサイバー作戦など、紛争を激化させる可能性も秘めている。  米国は加盟国、テクノロジー企業、市民社会など、さまざまなアクターと協力することを約束する」と述べた。  5月4日、ジョセフ・R・バイデン大統領は大手AI企業と会談し、AIシステムの安全性と信頼性を確保する責任を強調した。  米国はまた、自動化システムの設計、使用、配備の指針となる原則を特定している。  AIの軍事利用は倫理的かつ責任あるものでなければならない。  米国は今年初め、AIの責任ある軍事利用に関する政治宣言を提案し、すべての加盟国がこの宣言に賛同するよう促したと述べた。
SÉRGIO FRANÇA DANESE (Brazil) said artificial intelligence is developing so fast that even the best researchers are unable to assess the full scale of the challenges and benefits that these new technologies can provide.  “What we know for sure is that artificial intelligence is not human intelligence,” he said, adding that human oversight is essential to avoid bias and errors.  Even though it has been mostly developed as a civilian application, it can be predicted with certainty that AI applications will be extended to the military field and have a relevant impact on peace and security.  Recalling the concept of “meaningful human control”, he underscored that humans must remain responsible for decisions on the use of weapons systems.  A human element in any autonomous system is essential for the establishment of ethics standards and for full compliance with international humanitarian law.  “There is no replacement for human judgment and accountability,” he asserted. SÉRGIO FRANÇA DANESE(ブラジル)は、人工知能は急速に発展しているため、優れた研究者でさえ、これらの新技術が提供しうる課題と利益の全容を評価することはできないと述べた。 「私たちが確実に知っていることは、人工知能は人間の知能ではないということです」と述べ、バイアスやエラーを避けるためには人間の監視が不可欠であると付け加えた。 人工知能はそのほとんどが民生用として開発されたものだが、今後、軍事分野にも応用され、平和と安全保障に影響を与えることは間違いない。 同氏は、「意味のある人間による制御」という概念を想起し、兵器システムの使用に関する決定には人間が責任を負わなければならないことを強調した。 倫理基準を確立し、国際人道法を完全に遵守するためには、いかなる自律システムにおいても人間の要素が不可欠である。 「人間の判断と説明責任に代わるものはない」と主張した。
PASCALE CHRISTINE BAERISWYL (Switzerland) echoed the words of the robot “Ameca”, speaking to a journalist at the “AI for Good” conference in Geneva:  “I believe it’s only a matter of time before we see thousands of robots like me out there making a difference.”  While a challenge due to its speed and apparent omniscience, AI can and must serve peace.  “It’s in our hands to ensure that AI makes a difference to the benefit and not the detriment of humanity,” she emphasized, adding:  “let’s seize the opportunity to lay the groundwork towards AI for good by working closely with cutting-edge science”.  In this regard, the Swiss Federal Institute of Technology Zurich is developing a prototype of an AI-assisted analysis tool for the United Nations Operations and Crisis Centre which could explore AI’s potential for peacekeeping, particularly for the protection of civilians and peacekeepers.  Additionally, Switzerland recently launched the “Swiss Call for Trust & Transparency initiative”, where academia, private sector and diplomacy jointly seek practical and rapid solutions to AI-related risks. PASCALE CHRISTINE BAERISWYL(スイス)は、ジュネーブで開催された "AI for Good "会議でジャーナリストの取材に応じ、ロボット "Ameca "の言葉を繰り返した:  「私のような何千ものロボットが世の中を変えるのは時間の問題だと思います。  そのスピードと見かけの全知全能性による挑戦ではあるが、AIは平和に貢献できるし、貢献しなければならない。 「AIが人類の利益となり、不利益とならないよう変化をもたらすかどうかは、私たちの手に委ねられているのです」と彼女は強調し、こう付け加えた:  「最先端科学と密接に協力することで、AIを良い方向に導く土台を築く機会をつかみましょう」と付け加えた。  この点に関して、スイス連邦工科大学チューリッヒ校は、国連活動危機管理センター向けにAI支援分析ツールのプロトタイプを開発している。このツールは、平和維持、特に民間人と平和維持要員の保護におけるAIの可能性を探ることができる。 さらにスイスは最近、「信頼と透明性のためのスイス・コール・イニシアチブ」を立ち上げ、学術界、民間企業、外交機関が共同で、AI関連のリスクに対する実践的かつ迅速な解決策を模索している。
HAROLD ADLAI AGYEMAN (Ghana) underscored that the international community must “constrain the excesses of individual national ambitions for combative dominance”, urging the development of frameworks that would govern AI for peaceful purposes.  For Ghana, opportunity lies in developing and applying that technology to identify early warning signs of conflict and to define responses that have a higher rate of success.  AI can also be applied to peace mediation and negotiation efforts, he said, noting that the deployment of that technology by the United Nations Support Mission in Libya (UNSMIL) to determine the Libyan people’s reaction to policies facilitated improvements in that country’s 2022 Global Peace Index.  AI also presents risks — including its integration into autonomous weapons systems – and, on that, he observed:  “The history of our experience with mankind’s mastery in atomic manipulation shows that, should such desires persist, it only generates, in equal measure, efforts by other States to cancel the advantage that such a deterrence seeks to create”. HAROLD ADLAI AGYEMAN (ガーナ)は、国際社会は「戦闘的な支配を目指す各国の野心の行き過ぎを抑制」しなけれ ばならないと強調し、平和的な目的のためのAIを管理する枠組みの開発を促した。  ガーナにとって、紛争の早期警告の兆候を特定し、より高い確率で成功する対応を定義するための技術を開発し、応用することにこそ機会がある。  国連リビア支援団(UNSMIL)が、政策に対するリビア国民の反応を把握するためにこの技術を導入したことで、同国の2022年の世界平和指数が改善されたことを指摘した。  AIはまた、自律型兵器システムへの統合など、リスクもはらんでいる:  「人類が原子操作に熟達した歴史は、そのような欲望が持続する場合、抑止力が生み出そうとする利点を打ち消そうとする努力を他国が等しく生み出すだけであることを示している」と述べた。
NICOLAS DE RIVIÈRE (France) said AI must be a tool for peace, noting that these technologies can contribute to the safety of the blue helmets, improve the protection of civilians, and facilitate the delivery of humanitarian assistance.  However, it also includes risks, he pointed out, noting that AI is liable to heighten cyberthreats and help malicious actors in waging cyberattacks.  At the military level, AI must be modified to reflect the nature of conflict, he said, underscoring the need to develop an applicable framework for autonomous lethal weapons.  Such a framework can help ensure that future conflicts are conducted in a way that respects international humanitarian law, he added.  Affirming his country’s commitment to advancing an ethical and responsible approach for AI, he said that was the aim of the global partnership it launched in 2020, with the European Union and Council of Europe, and which has been working on rules to regulate and support AI development. NICOLAS DE RIVIÈRE(フランス)は、AI は平和のためのツールであるべきだとし、これらの 技術はブルー・ヘルメットの安全確保に貢献し、民間人の保護を改善し、人道支援の提供を容易にす ることができると指摘した。 しかし、AIにはリスクも含まれており、AIはサイバー脅威を増大させ、悪意ある行為者のサイバー攻撃を助長する可能性があると指摘した。 軍事レベルでは、AIは紛争の性質を反映するように修正されなければならないとし、自律型殺傷兵器に適用可能な枠組みを開発する必要性を強調した。 そのような枠組みは、将来の紛争が国際人道法を尊重した形で行われることを保証するのに役立つと付け加えた。  同首相は、AIの倫理的で責任あるアプローチを推進するという自国のコミットメントを確認し、それが欧州連合(EU)および欧州評議会とともに2020年に立ち上げたグローバル・パートナーシップの目的であり、AIの開発を規制し支援するためのルールに取り組んできたと述べた。
HERNÁN PÉREZ LOOSE (Ecuador) said that AI has already developed at “break-neck speed” and will continue to do so.  AI can contribute to peacekeeping and peace efforts, or it can undermine them; prevent conflicts and moderate dialogues in complex situations as was the case during the peak of the COVID-19 pandemic.  AI can improve the security of peacekeeping camps and convoys by monitoring the situation more effectively.  “Our responsibility is to promote and make the most of technological development as a facilitator of peace,” he said.  This can be done only by strictly upholding international human rights law and international humanitarian law.  Ecuador categorically rejects the militarization of AI and reiterates the risk posed by lethal autonomous weapons.  “The robotization of conflict is a great challenge for our disarmament efforts and an existential challenge that this Council ignores at its peril,” he said. HERNÁN PÉREZ LOOSE (エクアドル)は、AIはすでに「猛スピード」で発展しており、今後も発展し続けると述べた。  AIは平和維持や平和への取り組みに貢献することもあれば、それを弱体化させることもある。COVID-19パンデミックのピーク時のように、複雑な状況下で紛争を防止したり、対話を和らげたりすることもできる。  AIは、状況をより効果的に監視することで、平和維持キャンプや輸送隊の安全性を改善することができる。  「私たちの責任は、平和の促進者としての技術開発を促進し、最大限に活用することです。  これは、国際人権法と国際人道法を厳守することによってのみ可能となる。  エクアドルは、AIの軍事化を断固として否定し、致死的な自律型兵器がもたらすリスクを改めて強調する。  「紛争のロボット化は、我々の軍縮努力にとって大きな挑戦であり、この理事会が危険を顧みず無視する存亡の課題である」と述べた。
VANESSA FRAZIER (Malta) said that as AI governance and control practices must be developed at a comparable pace for safeguarding international peace and security, the Council must push for strong AI governance and ensure its inclusive, safe and responsible deployment through the sharing of experiences and governmental frameworks.  Since 2019, her country has been developing an Ethical AI Framework, aligned with the European Ethics Guidelines for Trustworthy AI, she said, further describing Malta’s efforts in the field.  She voiced concern about the use of AI systems in military operations, stressing that machines cannot make human-like decisions involving the legal principles of distinction, proportionality and precaution.  Moreover, lethal autonomous weapons systems currently exploiting AI should be banned and only those weapons systems that are in full respect of international humanitarian law and human rights law should be regulated, she added. VANESSA FRAZIER (マルタ)は、国際的な平和と安全を守るため、AIのガバナンスと管理慣行が同等のペースで開発されなければならないとして、理事会は強力なAIガバナンスを推進し、経験と政府の枠組みの共有を通じて、その包括的で安全かつ責任ある展開を確保しなければならないと述べた。  2019年以降、マルタは「信頼できるAIのための欧州倫理ガイドライン」に沿った「倫理的AIフレームワーク」を策定しており、この分野におけるマルタの取り組みについて述べた。  彼女は、軍事作戦におけるAIシステムの使用について懸念を表明し、機械は区別、比例、予防の法的原則に関わる人間のような判断を下すことはできないと強調した。 さらに、現在AIを利用している致死的な自律型兵器システムは禁止されるべきであり、国際人道法と人権法を完全に尊重した兵器システムのみが規制されるべきであると彼女は付け加えた。
LILLY STELLA NGYEMA NDONG (Gabon) said that AI is increasing the analytical capacity of early warning systems, thereby making it easier to detect emerging threats by analysing vast quantities of data from various sources very quickly.  This has enabled United Nations peacekeeping missions to perform better, particularly in the area of civilian protection.  AI has also contributed to States’ post-conflict reconstruction efforts, along with fostering the implementation of quick-impact projects, employment opportunities for youth and the reintegration of former combatants. She underscored, however, that local communities must take ownership of and absorb these new technologies “to perpetuate their beneficial effects after the withdrawal of international forces” — lest such benefits disappear, and crises resurface. Also stressing the need to bolster transparency, international governance and accountability regarding AI, she called on the United Nations to expand international cooperation to develop a regulatory framework with appropriate control mechanisms and robust security systems. LILLY STELLA NGYEMA NDONG(ガボン)は、AIは早期警戒システムの分析能力を高め、様々な情報源からの膨大なデータを迅速に分析することで、新たな脅威の検知を容易にしていると述べた。  これによ り、国際連合平和維持ミッションは、特に文民保護の分野で、よ り優れたパフォーマンスを発揮できるようになった。  AIはまた、即効性プロジェクトの実施、若者の雇用機会、元戦闘員の社会復帰を促進するとともに、紛争後の復興努力にも貢献してきた。 しかし彼女は、「国際軍の撤退後もその有益な効果を持続させるためには」、地域社会がこれらの新技術を所有し、吸収しなければならないことを強調した。 また、AIに関する透明性、国際ガバナンス、説明責任を強化する必要性を強調し、国連に対し、適切な管理メカニズムと強固なセキュリティ・システムを備えた規制の枠組みを構築するための国際協力を拡大するよう求めた。
FERIT HOXHA (Albania) said AI holds great promise to transform the world like never before, but also poses potential risks that could impact people’s safety, privacy, economy and security.  Some countries continually attempt to deliberately mislead people, distort facts, and interfere in democratic processes of others by misusing digital technologies, he said, underscoring the urgency of establishing the necessary AI safeguards and governance frameworks at the national and international levels.  Clear lines of responsibility and authority are also needed to ensure that AI systems are used appropriately, safely and responsibly for the good of all.  Moreover, AI systems must not infringe on human rights and freedom nor undermine peace and security.  The international community must promote standards for responsible State behaviour and the applicability of international law in the use of AI and its technologies, as well as in the monitoring and assessment of risks and implications, he said, highlighting the Council’s role in that regard. FERIT HOXHA(アルバニア)は、AIはかつてないほど世界を変革する大きな可能性を秘めている一方、人々の安全、プライバシー、経済、セキュリティに影響を与えかねない潜在的なリスクもはらんでいると述べた。  デジタル技術を悪用することで、意図的に人々を欺き、事実を歪曲し、他国の民主的プロセスを妨害しようとする国も後を絶たないとし、国家レベルおよび国際レベルで必要なAIのセーフガードとガバナンスの枠組みを確立することの緊急性を強調した。 また、AIシステムがすべての人の利益のために適切、安全かつ責任を持って使用されることを保証するために、明確な責任と権限の線引きが必要である。 さらに、AIシステムは人権や自由を侵害したり、平和と安全を損なうものであってはならない。 国際社会は、AIとその技術の利用において、またリスクとその影響の監視とアセスメントにおいて、責任ある国家の行動と国際法の適用に関する標準を推進しなければならない」と述べ、この点での理事会の役割を強調した。
DMITRY A. POLYANSKIY (Russian Federation) said that the development of autonomous weapons systems can pose risks to security because such systems can make decisions about the use of force.  AI can also be used in the creation and spread of disinformation and “fake news”, which undermine trust and cause tensions. With respect to lethal autonomous systems, he said that the issue is discussed in the General Assembly and that duplication of such efforts is counterproductive.  “The West has no ethical qualms about knowingly allowing AI to generate misanthropic statements in social networks,” he continued.  Turning to digital inequality, he said that in Europe Internet access is enjoyed by approximately 89 per cent of the population.  In low-income countries, only one quarter of the population enjoys such benefits.  Historically, digital technologies were developed at the private level, and Governments lagged in regulating them.  “This trend needs to be reversed,” he stressed. DMITRY A. POLYANSKIY (ロシア連邦)は、自律型兵器システムの開発は、武力行使に関する意思決定を行えるため、安全保障にリスクをもたらす可能性があると述べた。  AIは偽情報や「フェイクニュース」の作成・拡散にも利用される可能性があり、信頼を損ない、緊張を引き起こす。 致死的な自律システムに関しては、この問題は総会で議論されており、そのような努力の重複は逆効果だと述べた。  「西側諸国は、AIがソーシャルネットワークで人間嫌いの発言をすることを承知の上で許可することに倫理的な問題はない」と続けた。  デジタルの不平等については、ヨーロッパではインターネットへのアクセスは人口の約89%が享受していると述べた。 低所得国では、そのような恩恵を享受しているのは人口の4分の1に過ぎない。  歴史的に、デジタル技術は民間レベルで開発され、政府の規制は遅れていた。  「この傾向を逆転させる必要がある」と強調した。

 

 

 


 

英国の外務大臣のスピーチ

Gov.UK

・2023.07.18 United Nations Security Council session on Artificial Intelligence: Foreign Secretary's speech

United Nations Security Council session on Artificial Intelligence: Foreign Secretary's speech 人工知能に関する国連安全保障理事会セッション: 外務大臣スピーチ
Foreign Secretary James Cleverly gave a speech on Artificial Intelligence (AI) at the United Nations Security Council in New York. ジェームズ・クレバリー外務大臣は、ニューヨークの国連安全保障理事会で人工知能(AI)に関するスピーチを行った。
This is an historic​​ meeting – the first discussion of Artificial Intelligence at the UN ​ Security Council. これは歴史的な会合であり、国連安全保障理事会で初めて人工知能について議論された。
Since the early development of Artificial Intelligence by pioneers like Alan Turing and Christopher Strachey, this technology has advanced with ever greater speed. アラン・チューリングやクリストファー・ストレイシーのような先駆者たちによる初期の人工知能の開発以来、この技術はかつてないスピードで進歩してきた。
​​​​​​​Yet the biggest AI-induced transformations are still to come. Their scale is impossible for us to comprehend fully. But the gains to humanity will surely be immense. しかし、AIによる最大の変革はまだこれからだ。その規模を私たちが完全に理解することは不可能だ。しかし、人類にもたらされる利益は計り知れない。
AI will fundamentally alter every aspect of human life. Ground-breaking discoveries in medicine may be just around the corner. The productivity boost to our economies may be vast. AI may help us adapt to climate change, beat corruption, revolutionise education, deliver the Sustainable Development Goals and reduce violent conflict. AIは人間生活のあらゆる側面を根本的に変えるだろう。医学における画期的な発見はすぐそこまで来ているかもしれない。経済の生産性は飛躍的に向上するかもしれない。AIは、気候変動への適応、汚職の撲滅、教育の革新、持続可能な開発目標の達成、暴力的紛争の減少に役立つかもしれない。
But we are here today because AI will affect the work of this Council. しかし、我々が今日ここにいるのは、AIが本評議会の活動に影響を与えるからである。
It could enhance or disrupt global strategic stability. It challenges our fundamental assumptions about defence and deterrence. It poses moral questions about accountability for lethal decisions on the battlefield. AIは世界の戦略的安定を強化する可能性もあれば、破壊する可能性もある。AIは、防衛と抑止に関する基本的な前提に挑戦している。AIは、戦場における致命的な決定に対する説明責任について、道徳的な問題を提起する。
There can already be no doubt that AI changes the speed, scale and spread of disinformation with hugely harmful consequences for democracy and stability. AI could aid the reckless quest for weapons of mass destruction by state and non-state actors alike. But it could also help us stop proliferation. AIが偽情報のスピード、規模、拡散を変化させ、民主主義と安定に甚大な悪影響を及ぼすことはすでに疑いの余地がない。AIは、国家や非国家主体による大量破壊兵器の無謀な探求を助けるかもしれない。しかし、拡散を食い止める手助けにもなる。
That’s why we urgently need to shape the global governance of transformative technologies. Because AI knows no borders. だからこそ私たちは、変革的テクノロジーのグローバル・ガバナンスを形成することが急務なのだ。AIに国境はないからだ。
The UK’s vision is founded on 4 irreducible principles: 英国のビジョンは、4つの不可逆的原則に基づいている:
open: AI should support freedom and democracy オープンにする: AIは自由と民主主義をサポートすべきである。
responsible: AI should be consistent with the rule of law and human rights 責任を持つ: AIは法の支配と人権と一致すべきである。
secure: AI should be safe and predictable by design; safeguarding property rights, privacy and national security 安全である: 財産権、プライバシー、国家安全保障を守る。
resilient: AI should be trusted by the public and critical systems must be protected レジリエンス: AIは社会から信頼されるべきであり、重要なシステムは保護されなければならない。
​The UK’s approach builds on existing multilateral initiatives, such as the AI for Good Summit in Geneva, or the work of UNESCO, the OECD and the G20. 英国のアプローチは、ジュネーブで開催されたAI for Goodサミットや、ユネスコ、OECD、G20の活動など、既存の多国間イニシアティブを基礎としている。
Institutions like the Global Partnership for AI, the G7’s Hiroshima Process, the Council of Europe, and the International Telecommunication Union are all important partners. AIのためのグローバル・パートナーシップ、G7の広島プロセス、欧州評議会、国際電気通信連合などの機構はすべて重要なパートナーである。
Pioneering AI companies will also need to work with us so we can capture the gains and minimise the risks to humanity. 先駆的なAI企業も我々と協力することで、人類にとっての利益を獲得し、リスクを最小限に抑えることができるだろう。
No country will be untouched by AI, so we must involve and engage the widest coalition of international actors from all sectors. The UK is home to many of the world’s trail-blazing AI developers and foremost AI safety researchers. どの国もAIに無縁ではいられないだろうから、あらゆる分野の国際的な関係者の最も広範な連合体を巻き込み、関与させなければならない。英国は、世界で先駆的なAI開発者やAI安全性研究の第一人者の多くを擁する国である。
So this autumn the UK plans to bring world leaders together for the first major global summit on AI safety. そこで英国は今秋、AI安全性に関する初の大規模なグローバル・サミットのために、世界のリーダーたちを一堂に集めることを計画している。
Our shared goal will be to consider the risks of AI and decide how they can be reduced through coordinated action. 私たちが共有する目標は、AIのリスクを検討し、協調行動を通じてそのリスクを低減する方法を決定することである。
Momentous opportunities, on a scale that we can barely imagine, lie before us. We must seize these opportunities and grasp the challenges of AI – including those for international peace and security – decisively, optimistically and from a position of global unity on essential principles. 私たちの目の前には、想像を絶する規模の重大な機会が横たわっている。私たちは、こうした機会をとらえ、国際的な平和と安全保障を含むAIの課題を、決定的かつ楽観的に、そして本質的な原則に基づく世界的な団結の立場からとらえなければならない。
There is a tide in the affairs of men which, taken at the flood, leads to fortune. 人の営みには流れがあり、その流れに乗れば幸運につながる。
In that spirit, let us work together to ensure peace and security as we pass across the threshold of an unfamiliar world. その精神に則り、平和と安全を確保するために協力し、見知らぬ世界の入り口を通過しよう。

 

 

ブレスリリース

・2023.07.18 Foreign Secretary to call for international cooperation to manage the global implications of Artificial Intelligence

 

 

 

英国は、AIに力をいれていますね。。。。。

 

AI安全性に関するグローバルサミットの開催も計画していますしね。。。

・2023.06.07 UK to host first global summit on Artificial Intelligence

 

 

 


一方中国では、2018年から毎年上海で、世界人工知能大会が開催されていますね。。。今年は7月6日、7日に開催されています。。。

ジェトロのウェブページで完結にまとまっています。。。

 

JETRO

・2023.07.14 2023世界人工知能大会が開催、生成AI技術に注目が高まる

 

その中国が発表した[PDF]2022年各国人工知能イノベーション指数順位表によると、

  順位 国名 得点
第1階層 1 米国 72.23
2 中国 55.20
第2階層 3 英国 46.59
4 ドイツ 44.45
5 シンガポール 44.00
6 カナダ 43.82
7 日本 43.03
8 韓国 41.79
9 イスラエル 39.30
10 スウェーデン 39.19
11 フランス 38.01
12 オーストラリア 37.98
13 オランダ 35.52

 

 

 

| | Comments (0)

英国 Ada Lovelace 協会 英国のAI規制、AIリスクなど4つの報告書

こんにちは、丸山満彦です。

英国 Ada Lovelace 協会は最近AIに関する報告書を公表していますが、今回4本の報告書を公表していますね。。。

Ada Lovelace Institute - Library - Reports

・2023.07.18

Regulating AI in the UK 英国におけるAIの規制
Policy briefing: Regulating AI in the UK 政策ブリーフィング:英国におけるAI規制
AI risk: Ensuring effective assessment and mitigation across the AI lifecycle  AIリスク:AIのライフサイクルを通じた効果的な評価と低減の確保 
Keeping an eye on AI AIから目を離さない

 

 


 

・2023.07.18 Regulating AI in the UK

・[PDF]

20230720-52459

 

Regulating AI in the UK 英国におけるAIの規制
About this report 本報告書について
This report is aimed at policymakers, regulators, journalists, AI practitioners in industry and academia, civil society organisations, and anyone else who is interested in understanding how AI can be regulated in the UK for the benefit of people and society. 本報告書は、政策立案者、規制当局者、ジャーナリスト、産業界や学界のAI実務者、市民社会組織、その他、人々と社会の利益のために英国でAIをどのように規制できるかを理解することに関心のあるすべての人を対象としている。
It contextualises and summarises the UK’s current plans for AI regulation, and sets out recommendations for the Government and the Foundation Model Taskforce. 本書は、AI規制に関する英国の現在の計画を整理・要約し、ガバナンスとファウンデーション・モデル・タスクフォースに対する提言を示している。
Our recommendations are based on extensive desk research, two expert roundtables, independent legal analysis and the results of a nationally representative survey. They also build on previous Ada Lovelace Institute research, including the 2021 report Regulate to innovate1 and extensive analysis and commentary on the EU AI Act.2  For more information on our evidence base, see the sections below on ‘Methodology’ and ‘Further reading’. 我々の提言は、広範な机上調査、2回の専門家懇談会、独立した法的分析、全国代表者調査の結果に基づいている。また、2021年の報告書「Regulate to innovate」1 やEUのAI法に関する広範な分析と解説2 を含む、エイダ・ラブレス研究所の過去の調査にも基づいている。証拠ベースの詳細については、以下の「方法論」と「参考文献」のセクションを参照のこと。
If you would like more information on this report, or if you would like to discuss implementing our recommendations, please contact our policy research team at [mail]. 本報告書に関する詳細、または提言の実施に関するご相談は、政策研究チーム [mail] までご連絡いただきたい。
Executive summary 要旨
It seems as if discussions about artificial intelligence (AI) are everywhere right now – new and emerging uses of AI technologies are appearing across different sectors and are also implicit in every conversation about present and future societies. 今、人工知能(AI)に関する議論は至る所で行われているように思われる。AI技術の新たな用途や新興の用途が様々な分野で登場し、現在と未来の社会に関するあらゆる会話にも暗黙の了解となっている。
The UK Government has laid out its ambition to make the UK an ‘AI superpower’, leveraging the development and proliferation of AI technologies to benefit the UK’s society and economy, and hosting a global summit in autumn 2023. 英国政府は、英国を「AI大国」にするという野望を打ち出し、AI技術の開発と普及を活用して英国の社会と経済に利益をもたらし、2023年秋にはグローバル・サミットを開催するとしている。
This ambition will only materialise with effective domestic regulation, which will provide the platform for the UK’s future AI economy この野望は、効果的な国内規制があって初めて実現するものであり、それが英国の将来のAI経済のプラットフォームを提供することになる
‘Regulating AI’ means addressing issues that could harm public trust in AI and the institutions using them, such as data-driven or algorithmic social scoring, biometric identification and the use of AI systems in law enforcement, education and employment. 「AIを規制する」とは、データ駆動型またはアルゴリズムによる社会的スコアリング、生体データによる識別、法執行、教育、雇用におけるAIシステムの使用など、AIとそれを使用する機構に対する国民の信頼を損ないかねない問題に対処することを意味する。
Regulation will need to ensure that AI systems are trustworthy, that AI risks are mitigated, and that those developing, deploying and using AI technologies can be held accountable when things go wrong. 規制は、AIシステムが信頼に足るものであること、AIのリスクが低減されていること、そしてAI技術を開発・導入・使用する者が、問題が発生した際に説明責任を果たせることを保証する必要がある。
The UK’s approach to AI regulation AI規制に対する英国のアプローチ
While the EU is legislating to implement a rules-based approach to AI governance, the UK is proposing a ‘contextual, sector-based regulatory framework’, anchored in its existing, diffuse network of regulators and laws.3 EUがAIガバナンスにルールベースのアプローチを導入するための法制化を進めているのに対し、英国は、既存の規制当局と法律の拡散したネットワークに支えられた「文脈に基づく、セクターベースの規制枠組み」を提案している3。
The UK approach, set out in the white paper Establishing a pro-innovation approach to AI regulation rests on two main elements: AI principles that existing regulators will be asked to implement, and a set of new ‘central functions’ to support this work.  4 白書「Establishing a pro-innovation approach to AI regulation」で示された英国のアプローチは、主に2つの要素から成り立っている: すなわち、既存の規制当局が実施するよう求められるAIの原則と、この作業をサポートする一連の新しい「中央機能」である。 4
In addition to these elements, the Data Protection and Digital Information Bill currently under consideration by Parliament is likely to impact significantly on the governance of AI in the UK, as will the £100 million Foundation Model Taskforce and AI Safety Summit convened by the UK Government.5 6 7 これらの要素に加え、現在議会で審議中のデータ保護とデジタル情報法案は、英国政府によって招集された1億ポンドの財団モデル・タスクフォースとAI安全サミットと同様に、英国におけるAIのガバナンスに大きな影響を与える可能性が高い5 6 7。
At the Ada Lovelace Institute we have welcomed the allocation of significant Government resource and attention to AI safety, and its commitment to driving AI safety forward at a global level. It will be important that the definition of ‘safety’ adopted by the Government is an expansive one, reflecting the wide variety of harms arising as AI systems become more capable and embedded in society. エイダ・ラブレス協会では、政府がAIの安全性に多大な資源と関心を割り当て、世界レベルでAIの安全性を推進するというコミットメントを表明したことを歓迎している。政府が採用する「安全」の定義は、AIシステムがより高性能になり社会に組み込まれるにつれて生じる多種多様な危害を反映した、広範なものであることが重要であろう。
It is also unlikely that international agreements will be effective in making AI safer and preventing harm, unless they are underpinned by robust domestic regulatory frameworks that can shape corporate incentives and developer behaviour in particular. The credibility of the UK’s AI leadership aspirations therefore rests on getting the domestic regime right. また、特に企業のインセンティブや開発者の行動を形成できる強固な国内規制の枠組みに裏打ちされない限り、国際協定がAIをより安全なものにし、危害を防止する上で効果的である可能性は低い。従って、英国がAIのリーダーを目指すことの信頼性は、国内体制を正しく構築できるかどうかにかかっている。
Regulating AI in the UK: our recommendations 英国におけるAIの規制:我々の提言
Our recommendations fall into three categories, reflecting our three tests for effective AI regulation in the UK: coverage, capability and urgency. 我々の提言は、英国における効果的なAI規制のための3つのテスト、すなわち「適用範囲」、「能力」、「緊急性」を反映し、3つのカテゴリーに分類される。
Coverage 適用範囲
AI is being deployed and used in every sector but the UK’s diffuse legal and regulatory network for AI currently has significant gaps. Clearer rights and new institutions are needed to ensure that safeguards extend across the economy. AIはあらゆる分野で導入・利用されつつあるが、AIに関する英国の拡散した法的・規制的ネットワークには現在、大きなギャップがある。セーフガードを経済全体に広げるためには、より明確な権利と新たな機構が必要である。
Legal rights and protections 課題:法的権利と防御
New legal analysis shows safeguards for AI-assisted decision-making don’t properly protect people. 新たな法的分析によると、AIによる意思決定のセーフガードは人々を適切に保護していない。
Recommendation 1: Rethink the elements of the Data Protection and Digital Information Bill that are likely to undermine the safe development, deployment and use of AI, such as changes to the accountability framework. 提言1:データ保護・デジタル情報法案のうち、AIの安全な開発・配備・利用を損なう可能性の高い要素を再考する、 例えば、説明責任の枠組みの変更などである。
Recommendation 2: Review the rights and protections provided by existing legislation such as the UK General Data Protection Regulation (GDPR) and the Equality Act 2010 and – where necessary – legislate to introduce new rights and protections for people and groups affected by AI to ensure people can achieve adequate redress. 提言2:英国一般データ保護規則(GDPR)や2010年平等法(Equality Act 2010)などの既存の法律が提供する権利と保護を見直し、必要な場合には、AIによって影響を受ける人々やグループが適切な救済を受けられるよう、新たな権利と保護を導入するための立法を行う。
Recommendation 3: Publish a consolidated statement of the rights and protections that people can expect when interacting with AI-based products and services, and organisations providing them. 提言3:AIを利用した製品やサービス、そしてそれらを提供する組織と対話する際に人々が期待できる権利と保護について、統合されたステートメントを公表する。
Routes to redress 課題:救済への道
Even when legal safeguards are in place, accessing redress can be costly and unrealistic for many affected people. 法的な保護措置が講じられていても、被害を受けた多くの人々にとって、救済を受けるには費用がかかり、現実的でない場合がある。
Recommendation 4: Explore the value of establishing an ‘AI ombudsman’ to support people affected by AI and increase regulators’ visibility of AI harms as they occur. 提言4:AIの影響を受ける人々を支援し、AIによる被害が発生した際に規制当局の可視性を高めるために、「AIオンブズマン」を設置する価値を検討する。
Regulatory gaps 課題:規制のギャップ
The Government hasn’t addressed how its proposed AI principles will apply in many sectors. ガバナンスは、提案されているAIの原則が多くの分野でどのように適用されるかを取り上げていない。
Recommendation 5: Set out how the five AI principles will be implemented in domains where there is no specific regulator and/or ‘diffuse’ regulation and also across the public sector. 提言5:AI5原則が、特定の規制当局が存在しない領域や「拡散的」規制、また公共部門全体でどのように実施されるかを明らかにする。
Capability 能力
Regulating AI is resource-intensive and highly technical. Regulators, civil society organisations and other actors need new capabilities to properly carry out their duties. AIの規制は、資源集約的で高度な技術を要する。規制当局、市民社会組織、その他のアクターは、その責務を適切に遂行するために新たな能力を必要としている。
Scope and powers 課題:範囲と権限
Regulator mandates and powers vary greatly, and many will be unable to force AI users and developers to comply with all the principles. 規制当局の権限や職務権限は様々であり、その多くはAIの利用者や開発者にすべての原則の遵守を強制することはできない。
Recommendation 6: Introduce a statutory duty for legislators to have regard to the principles, including strict transparency and accountability obligations. 提言6:厳格な透明性と説明責任の義務を含む、原則に配慮する立法者の法的義務を導入する。
Recommendation 7: Explore the introduction of a common set of powers for regulators and ex ante, developer-focused regulatory capability. 提言7:規制当局に共通の権限と、開発者に焦点を当てた事前規制能力の導入を検討する。
Recommendation 8: Clarify the law around AI liability, to ensure that legal and financial liability for AI risk is distributed proportionately along AI value chains. 提言8:AIリスクに対する法的・金銭的責任がAIバリューチェーンに沿って比例的に配分されるよう、AI責任に関する法律を明確化する。
Resourcing 課題:人材確保
AI is increasingly a core part of our digital infrastructure, and regulators need significantly more resourcing to address it. AIはますますデジタルインフラの中核を担うようになってきており、規制当局はAIに対応するために大幅な人員増を必要としている。
Recommendation 9: Significantly increase the amount of funding available to regulators for responding to AI-related harms, in line with other safety-case based regulatory domains. 提言9:他のセーフティケースに基づく規制領域と同様に、AI関連の危害に対応するために規制当局が利用できる資金量を大幅に増やす。
The regulatory ecosystem 課題:規制のエコシステム
Other actors such as consumer groups, trade unions, charities and assurance providers will need to play a central role in holding AI accountable. 消費者団体、労働組合、慈善団体、保証プロバイダなどの他のアクターは、AIに説明責任を果たさせる上で中心的な役割を果たす必要がある。
Recommendation 10: Create formal channels to allow civil society organisations, particularly those representing vulnerable groups, to meaningfully feed into future regulatory processes, the work of the Foundation Model Taskforce and the AI Safety Summit. 提言10:市民社会組織、特に脆弱性グループの代表者が、将来の規制プロセス、財団モデル・タスクフォースの作業、AI安全サミットに有意義な情報を提供できるよう、正式なチャンネルを設ける。
Recommendation 11: Establish funds and pooled support to enable civil society organisations like consumer groups, trade unions and advisory organisations to hold those deploying and using AI accountable. 提言11:消費者団体、労働組合、諮問機関のような市民社会組織が、AIを配備・使用 する側に説明責任を負わせることができるよう、資金とプールされた支援を確立する。
Recommendation 12: Support the development of non-regulatory tools such as standards and assurance. 提言12:標準や保証などの非規制ツールの開発を支援する。
Urgency 緊急性
The widespread availability of foundation models such as GPT-4 is accelerating AI adoption and risks scaling up existing harms. The Government, regulators and the Foundation Model Taskforce need to take urgent action. GPT-4のような基盤モデルの普及は、AIの導入を加速させ、既存の被害を拡大させるリスクとなっている。ガバナンス、規制当局、ファウンデーションモデル・タスクフォースは、早急に行動を起こす必要がある。
Legislation and enforcement 課題:法整備と施行
New legislation, and more robust enforcement of existing laws, will be necessary to ensure foundation models are safe. 基盤モデルの安全性を確保するためには、新たな法整備と既存法のより強固な執行が必要である。
Recommendation 13: Allocate significant resource and future parliamentary time to enable a robust, legislatively supported approach to foundation model governance as soon as possible. 提言13:財団モデルガバナンスに対する強固で、法制化されたアプローチを早急に実現するために、多大な資源と将来の国会の時間を割く。
Recommendation 14: Review opportunities for and barriers to the enforcement of existing laws – particularly the UK GDPR and the intellectual property (IP) regime – in relation to foundation models and applications built on top of them. 提言14:ファウンデーションモデルとその上に構築されるアプリケーションに関連して、既存法(特に英国のGDPRと知的財産(IP)制度)の執行の機会と障壁を見直す。
Transparency and monitoring 課題:透明性とモニタリング
Too often, foundation models are opaque ‘black boxes’, with limited information available to the Government and regulators. 多くの場合、基盤モデルは不透明な「ブラックボックス」であり、政府や規制当局が利用できる情報は限られている。
Recommendation 15: Invest in pilot projects to improve Government understanding of trends in AI research, development and deployment. 提言15:AIの研究、開発、導入の動向に関する政府の理解を深めるため、パイロット・プロジェクトに投資する。
Recommendation 16: Introduce mandatory reporting requirements for developers of foundation models operating in the UK or selling to UK organisations. 提言16:英国で活動する、あるいは英国の組織に販売する基盤モデルの開発者に対して、報告義務を導入する。
Leadership 課題:リーダーシップ
Priorities for AI development are currently set by a relatively small group of large industry players. AI開発の優先順位は現在、比較的少数の業界大手グループによって決定されている。
Recommendation 17: Ensure the AI Safety Summit reflects diverse voices and an expansive definition of ‘AI safety’. 提言17:AI安全性サミットが多様な声を反映し、「AI安全性」の定義が拡大されるようにする。
Recommendation 18: Consider public investment in, and development of, AI capabilities to steer applications towards generating long-term public benefit. 提言18:長期的な公益を生み出す方向にアプリケーションを誘導するために、AI能力への公共投資とその開発を検討する。

 

・2023.07.18 Policy briefing: Regulating AI in the UK

P+B69:C80olicy briefing: Regulating AI in the UK 政策ブリーフィング 英国におけるAI規制
This briefing examines the UK’s current plans for AI regulation an sets out recommendations for the Government and the Foundation Model Taskforce 本ブリーフィングは、人工知能(AI)規制に関する英国の現行計画を検証し、政府と財団モデル・タスクフォースへの提言を示すものである。
This briefing examines the UK’s current plans for artificial intelligence (AI) regulation as set out in the March 2023 white paper ‘A pro-innovation approach to regulating AI’. It sets out 18 recommendations for the Government and the Foundation Model Taskforce that, if acted on, will help to strengthen the proposed regulatory framework. 本ブリーフィングは、2023年3月の白書「A pro-innovation approach to regulating AI」で示された人工知能(AI)規制に関する英国の現行計画を検証する。本ブリーフィングは、政府とファウンデーション・モデル・タスクフォースに対する18の提言を示しており、これが実行されれば、提案されている規制の枠組みを強化するのに役立つだろう。
It is accompanied by a longer report – Regulating AI in the UK – which further contextualises and summarises the Government’s proposals.1 本報告書には、政府の提案の背景をさらに説明し要約した、より長い報告書「Regulating AI in the UK(英国におけるAIの規制)」も添付されている1。
The Ada Lovelace Institute is an independent research institute with a mission to make data and AI work for people and society. This means making sure that the opportunities, benefits and privileges generated by data and AI are justly and equitably distributed. エイダ・ラブレス研究所は、データとAIを人々と社会のために役立てることを使命とする独立研究機関である。エイダ・ラブレス研究所は、データとAIを人々と社会のために機能させることを使命とする独立研究機関である。これは、データとAIが生み出す機会、利益、特権が公正かつ公平に分配されるようにすることを意味する。
If you would like more information on this policy briefing, or if you would like to discuss implementing our recommendations, please contact our policy research team at [mail]. 本政策ブリーフィングに関する詳細情報をご希望の方、または我々の提言の実施について議論されたい方は、政策研究チーム[mail] までご連絡いただきたい。

 

 

・2023.07.18 AI risk: Ensuring effective assessment and mitigation across the AI lifecycle 

AI risk: Ensuring effective assessment and mitigation across the AI lifecycle  AIリスク:AIのライフサイクルを通じた効果的な評価と低減の確保 
Reducing the risks that AI systems pose to people and society AIシステムが人と社会にもたらすリスクを軽減する
Executive summary 要旨
With the increasing use of AI systems in our everyday lives, it is essential to understand the risks they pose and take necessary steps to mitigate them. Because the risks of AI systems may become manifest at different stages of their deployment, and the specific kinds of risks that may emerge will depend on the contexts in which those systems are being built and deployed, assessing and mitigating risk is a challenging proposition. 日常生活におけるAIシステムの利用が増加する中、AIシステムがもたらすリスクを理解し、それを低減するために必要な措置を講じることが不可欠である。AIシステムのリスクは、その展開のさまざまな段階で顕在化する可能性があり、顕在化する可能性のある具体的なリスクの種類は、システムが構築・展開される状況によって異なるため、リスクのアセスメントと低減は困難な命題である。
Addressing that challenge requires identifying and deploying a range of methods to be used by different actors across the lifecycle of an AI system’s development and deployment.1 By understanding these methods in more detail, policymakers and regulators can support their use by different actors in the UK’s technology sector, and so reduce the risks that AI systems can pose to people and society. この課題に対処するには、AIシステムの開発と展開のライフサイクル全体にわたって、さまざまな関係者が使用するさまざまな手法を特定し、展開する必要がある1。これらの手法をより詳細に理解することで、政策立案者と規制当局は、英国のテクノロジー・セクターのさまざまな関係者によるこれらの手法の使用を支援し、AIシステムが人々と社会にもたらすリスクを低減することができる。
In its March 2023 AI regulation white paper, the UK Government proposed creating a set of central Government functions to support the work of regulators. This included a cross-sectoral risk-assessment function, intended to support regulators in their own risk assessments, to identify and prioritise new and emerging risks, and share risk enforcement best practices. This central function has the potential to help coordinate and standardise the somewhat fragmented risk-assessment landscape identified in this paper, and support the development of a cross-sectoral AI assessment ecosystem in the UK. 英国ガバナンスは、2023年3月のAI規制白書で、規制当局の業務をサポートする一連の中央政府機能の創設を提案した。この機能には、規制当局のリスクアセスメントを支援し、新たなリスクを特定して優先順位を付け、リスク執行のベストプラクティスを共有することを目的とした、分野横断的なリスクアセスメント機能が含まれている。この中央機能は、本稿で明らかにされたやや断片的なリスクアセスメントの状況を調整・標準化し、英国における分野横断的なAIアセスメント・エコシステムの発展を支援する可能性を秘めている。
Key takeaways 主な要点
1. There is not a singular, standardised process for assessing the risks or impacts of AI systems (or a common vocabulary), but there are commonly used components: policymakers, regulators and developers will need to consider how these are delivered and tailored. 1. AIシステムのリスクや影響を評価するための唯一で標準化されたプロセス(または共通の語彙)は存在しないが、一般的に使用される構成要素は存在する:政策立案者、規制当局、開発者は、これらをどのように提供し、調整するかを検討する必要がある。
2. Risk and impact assessment methods typically involve five components: risk identification, risk prioritisation, risk mitigation planning, risk monitoring and communicating risks. The main differences between components are in how they are achieved, the actors involved, the scope of impacts considered and the extent of accountability. 2. リスクと影響のアセスメント手法には、通常5つの要素が含まれる: リスクの特定、リスクの優先順位付け、リスク低減計画、リスクのモニタリング、リスクのコミュニケーションである。構成要素間の主な違いは、その達成方法、関与する主体、考慮する影響の範囲、説明責任の範囲にある。
3. Policymakers globally are incorporating risk and impact assessments in AI governance regimes and legislation, with the EU, USA, Brazil and Canada mandating assessments for various AI systems. Regulators and policymakers face the challenge of ensuring risk consideration is conducted, acted on and monitored over time, highlighting the need for an ecosystem of assessment methods. 3. 世界の政策立案者は、AIのガバナンス体制や法律にリスクアセスメントやインパクトアセスメントを取り入れている、 EU、米国、ブラジル、カナダでは、様々なAIシステムに対して評価を義務付けている。規制当局や政策立案者は、リスクアセスメントが確実に実施され、実施され、長期にわたってモニタリングされるという課題に直面しており、アセスメント手法のエコシステムの必要性が浮き彫りになっている。
4. Identifying and assessing risks alone does not ensure risks are avoided. AI risk management will require an ecosystem of assessment, assurance and audit, including independent auditing, oversight bodies, ethics review committees, safety checklists, model cards, datasheets and transparency registers, which collectively enable monitoring and mitigation of AI-related risks. 4. リスクの識別とアセスメントだけでは、リスクを確実に回避することはできない。 AIのリスクマネジメントには、独立監査、監視団体、倫理審査委員会、安全性チェックリスト、モデルカード、データシート、透明性登録など、評価、保証、監査のエコシステムが必要であり、これらは総体としてAI関連リスクの監視と低減を可能にする。
5. Ensuring this AI assessment ecosystem is effective will require consensus on risk-assessment standards, supported by incentives for assessing societal risks and case studies showcasing risk-assessment methods in practice. Domain-specific guidance, skilled professionals and strong regulatory capacity can further enhance the ecosystem. Third-party assessors, including civil society, academia and commercial services, will be essential for developing and implementing assessment practices at scale. 5. このAIアセスメント・エコシステムが効果的であることを保証するには、リスクアセスメント標準に関するコンセンサスが必要であり、社会的リスクを評価するためのインセンティブや、リスクアセスメント手法の実践事例を紹介するケーススタディに支えられる必要がある。分野に特化したガイダンス、熟練した専門家、強力な規制能力は、エコシステムをさらに強化することができる。市民社会、学術界、商業サービスを含むサードパーティ・アセッサーは、アセスメント手法を開発し、大規模に実施するために不可欠である。
Research questions 研究課題
・What are the broad areas of risks that AI systems can pose in different contexts (particularly from emerging AI technologies)? ・AIシステム(特に新興AI技術)がさまざまな文脈でもたらしうるリスクには、どのようなものがあるか?
・How should regulators or policymakers respond to different kinds of risks? ・規制当局や政策立案者は、さまざまな種類のリスクにどのように対応すべきか。
・What mechanisms and processes can be used to assess different kinds of risks, including the significance of their potential impact and their likelihood? ・潜在的な影響や可能性の重要性を含め、さまざまな種類のリスクを評価するために、どのようなメカニズムやプロセスを用いることができるのか。
・Whose responsibility (e.g. developer, procurer, regulator) is it to conduct these assessments and evaluations? ・これらの評価や査定は誰の責任(開発者、調達者、規制当局など)で行うのか?
・What are methods for checking, monitoring and mitigating risks through the AI lifecycle? ・AIのライフサイクルを通じてリスクをチェックし、監視し、低減する方法にはどのようなものがあるか?
・What might be needed for an effective assessment ecosystem? ・効果的な評価エコシステムには何が必要だろうか?
To answer these questions, this paper surveys approaches for assessing risks that AI systems pose for people and society – both on the ground within AI project teams, and in emerging legislation. The findings of this report are based on a desk-based review and synthesis of grey and academic literature on approaches to assessing AI risk, alongside analysis of draft regulations that contain requirements for anticipating risk or impacts of AI systems. これらの問いに答えるため、本稿では、AIプロジェクトチームの現場と、新たな法規制の両方において、AIシステムが人々や社会にもたらすリスクをアセスメントするためのアプローチを調査する。本報告書の調査結果は、AIシステムのリスクや影響を予測するための要件を含むドラフト規制の分析とともに、AIリスク評価のアプローチに関する灰色文献および学術文献の机上レビューと統合に基づいている。
Key terms 主な用語
Impact assessment: Impact assessments are evaluations of an AI system that use prompts, workshops, documents and discussions with the developers of an AI system and other stakeholders to explore how a particular AI system will affect people or society in positive or negative ways. These tend to occur in the early stages of a system’s development before it is in use, but may occur after a system has been deployed. 影響評価: 影響評価とは、AIシステムの評価であり、プロンプト、ワークショップ、文書、AIシステムの開発者やその他の利害関係者とのディスカッションなどを用いて、特定のAIシステムが人々や社会にどのようなプラスまたはマイナスの影響を与えるかを探るものである。これらは、システムが使用される前の開発の初期段階で行われることが多いが、システムが導入された後に行われることもある。
Risk assessment: Risk assessments are very similar to impact assessments, but look specifically at the likelihood of harmful outcomes occurring from an AI system. These also tend to occur in the early stages of a system’s development before it is in use, but may occur after a system has been deployed. リスクアセスメント: リスクアセスメントはインパクトアセスメントとよく似ているが、特にAIシステムによって有害な結果が生じる可能性を検討するものである。これも、使用前のシステム開発の初期段階で行われる傾向があるが、システムが配備された後に行われることもある。
Algorithmic audit: Algorithmic audits are a form of external scrutiny of an AI system, or the processes around it, which can be conducted as part of a risk or impact assessment. These can be technical audits of the inputs or outputs of a system; compliance audits of whether an AI development team has completed processes or regulatory requirements; regulatory inspections by regulators to monitor behaviour of an AI system over time; or sociotechnical audits that evaluate the ways in which a system is impacting wider societal processes and contexts in which it is operating. Audits usually occur after a system is in use, so can serve as accountability mechanisms to verify whether a system behaves as developers intend or claim. アルゴリズム監査: アルゴリズム監査は、リスクアセスメントや影響度アセスメントの一環として実施される、AIシステムまたはその周辺のプロセスに対する外部からの精査の一形態である。システムのインプットやアウトプットの技術的な監査、AI開発チームがプロセスや規制要件を完了しているかどうかのコンプライアンス監査、AIシステムの挙動を長期的に監視するための規制当局による規制検査、あるいはシステムが動作しているより広範な社会のプロセスやコンテクストにどのような影響を与えているかを評価する社会技術的な監査などがある。監査は通常、システムが使用された後に行われるため、システムが開発者の意図や主張通りに動作するかどうかを検証する説明責任のメカニズムとして機能する。

 

 

・2023.07.18 Keeping an eye on AI

Keeping an eye on AI AIから目を離さない
Approaches to government monitoring of the AI landscape 政府によるAI監視のガバナンス
Executive summary 要旨
The rapid development and deployment of artificial intelligence (AI) systems has the potential to be transformative for society. Whether its effects are beneficial or harmful, AI comes with an array of challenges that policymakers must navigate. To stay ahead of the curve and make well informed strategic decisions, it is essential that the UK Government possesses accurate and timely information about AI systems and their applications. 人工知能(AI)システムの急速な開発と普及は、社会に変革をもたらす可能性を秘めている。その効果が有益なものであれ有害なものであれ、AIには政策立案者が乗り越えなければならない様々な課題が伴う。曲線の先端に立ち、十分な情報に基づいた戦略的決定を行うためには、英国政府がAIシステムとその応用に関する正確でタイムリーな情報を保有することが不可欠である。
Just as governments closely monitor other sectors to inform policy, a similar approach can be adopted for AI. Consider how governments use inflation statistics to guide economic policymaking, or the creation of COVID-19 dashboards for public health decisions. These examples showcase the ability to aggregate complex data and distil it into actionable insights, which can then be used to shape effective policies. 政府が政策に反映させるために他のセクターを注意深く監視しているように、同様のアプローチをAIにも採用することができる。政府が経済政策立案のためにインフレ統計をどのように利用しているか、あるいは公衆衛生の意思決定のためにCOVID-19ダッシュボードをどのように作成しているかを考えてみよう。これらの例は、複雑なデータを集約し、実行可能な洞察に絞り込む能力を示している。
In the context of AI, effective monitoring could provide crucial insights into the impacts, risks and opportunities of AI systems across different sectors and countries. By examining AI’s influence on areas such as employment and recruitment, finance, healthcare and critical infrastructure, the Government could make decisions that maximise benefits and mitigate potential injustices or harms. For instance, monitoring could reveal the need for new regulations to protect affected persons, or investments in safety research for foundation models. AIの文脈では、効果的なモニタリングによって、さまざまな分野や国にわたるAIシステムの影響、リスク、機会について重要な洞察を得ることができる。雇用・採用、金融、医療、重要インフラなどの分野におけるAIの影響力を調査することで、政府は利益を最大化し、潜在的な不正や害を軽減する決定を下すことができる。例えば、モニタリングによって、影響を受ける人々を保護するための新たな規制や、基盤モデルの安全性研究への投資の必要性が明らかになるかもしれない。
Despite the clear need for comprehensive AI monitoring capabilities, the Government currently lacks the necessary infrastructure and tools to effectively track AI developments. By investing in robust AI monitoring systems, both the Government and the public will be better equipped to make informed decisions, based on high-quality data, about whether to use or trust AI systems. This would create a deeper understanding of the societal impact of the use of AI systems and create a robust base for forward-thinking policies. 包括的なAIモニタリング機能の必要性は明らかであるにもかかわらず、政府は現在、AIの発展を効果的に追跡するために必要なインフラやツールを欠いている。強固なAIモニタリング・システムに投資することで、政府も国民も、AIシステムを利用するか信頼するかについて、質の高いデータに基づき、十分な情報に基づいた意思決定を行うことができるようになる。これにより、AIシステムの利用が社会に与える影響についてより深い理解が得られ、将来を見据えた政策のための強固な基盤が構築されるだろう。
The key question of this paper is: 本稿の重要な問いは以下の通りである:
Given the speed of progress and complexity in AI development and deployment, how can Government source, rapidly synthesise and summarise information about technological capabilities, trends, risks and opportunities in order to make informed, strategic policy decisions? AIの開発・導入における進歩の速さと複雑さを考えると、政府はどのようにして、技術的能力、トレンド、リスク、機会に関する情報を入手し、迅速に統合し、要約して、情報に基づいた戦略的な政策決定を行うことができるのか?
Key takeaways 主な要点
1. There are specific properties of AI systems that the Government should consider measuring and monitoring such as their deployment and governance, and their downstream impacts on individuals and society. This information could include: inputs to AI systems; categorical information about the data and model underlying the AI systems; categorical information about processes or operations followed in development and deployment; direct outputs and outcomes of AI systems; and externalities generated by those outputs and outcomes. 1. AIシステムには、その展開やガバナンス、個人や社会に対する下流への影響など、政府が測定・監視を検討すべき特定の特性がある。 この情報には、AIシステムへのインプット、AIシステムの基礎となるデータやモデルに関するカテゴリー情報、開発・展開のプロセスやオペレーションに関するカテゴリー情報、AIシステムの直接的なアウトプットや成果、アウトプットや成果によって生み出される外部性が含まれる。
2. The Government is well placed to address gaps in the existing monitoring ecosystem. This could be through standardised and mandated disclosure of information from companies, g. on compute; voluntary or statutory sharing of commercially sensitive information; and working with other governments on global comparative monitoring efforts. However, not all this information could or should be collected directly by central Government. Sectoral and cross-cutting regulators will have an essential role in providing contextual information during the gathering and interpretation of quantitative or aggregate data on AI capabilities and risks. 2. 政府は、既存のモニタリング・エコシステムにおけるギャップに対処することができる。これは、企業からの情報開示の標準化・義務化(計算機など)、商業上機微な情報の自主的・法定的共有、世界的な比較モニタリングの取り組みにおける他国政府との協力などを通じて行うことができる。しかし、こうした情報のすべてを中央政府が直接収集できるわけではないし、収集すべきでもない。セクターや分野横断的な規制当局は、AIの能力やリスクに関する定量的・集計的データの収集や解釈の際に、文脈に沿った情報をプロバイダとして提供する上で不可欠な役割を担うことになる。
3. Regulators already have a number of existing mechanisms to ensure that information about the AI landscape is identified and shared with them. This information includes new developments, opportunities and risks with a sector or domain. Possible mechanisms are: standards for model cards and datasheets; regulatory sandboxes or multi-agency advisory services, regulatory inspection and audit; whistleblower protections and rewards; incident reporting; and ombudsmen. 3. 規制当局には、AIの状況に関する情報が特定され、共有されるようにするための既存のメカニズムが既にいくつかある。この情報には、分野や領域に関する新たな進展、機会、リスクなどが含まれる。考えられるメカニズムとしては、モデルカードやデータシートの標準、規制当局のサンドボックスや複数機関による助言サービス、規制当局の検査や監査、内部告発者の保護と報奨、インシデント報告、オンブズマンなどがある。
4. Foundation models present unique challenges for cross-sectoral regulation. If and when AI applications in different sectors become more reliant on foundation models, it will not be efficient for individual regulators to each individually assess and monitor these systems and create multiple, overlapping and potentially conflicting demands on the companies deploying them. One option to address this issue is the creation of a centralised AI regulatory function with institutional relationships with the relevant sectoral or cross-cutting regulators and direct monitoring relationships with developers of foundation models. 4. ファウンデーション・モデルは、分野横断的な規制のためのユニークな課題を提示する。 異なるセクターにおけるAIの応用が基盤モデルへの依存度を高めた場合、個々の規制当局がそれぞれ個別にこれらのシステムを評価・監視することは効率的ではなく、導入企業に対して複数の、重複した、そして潜在的に矛盾する要求を生み出すことになる。この問題に対処するための一つの選択肢は、関連するセクターや分野横断的な規制当局と機構的な関係を持ち、基盤モデルの開発者と直接的な監視関係を持つ、一元化されたAI規制機能の創設である。
5. The UK Government should not delay in building out its internal monitoring capabilities, and should immediately initiate small, focused pilot projects responding to policy challenges. This could include establishing a national-level public repository of the harms, failures and unintended negative consequences of AI systems; building on the Review of the Future of Compute; putting in place Government monitoring, aggregating (and potentially publication) of data on broad compute use and demand trends; and requesting to be informed when frontier AI labs begin large-scale training runs of new models. 5. 英国政府は、内部監視能力の構築を遅らせてはならず、政策課題に対応する小規模で集中的なパイロット・プロジェクトを直ちに開始すべきである。 これには、AIシステムの危害、失敗、予期せぬ悪影響に関する国家レベルの公的レポジトリの設立、「コンピ ューターの将来に関するレビュー」の構築、幅広いコンピュート使用と需要の傾向に関するデータの政府による監視、集計(可能であれば 公表)、フロンティアAIラボが新モデルの大規模な訓練を開始する際の情報提供の要請などが含まれる。
Research questions 研究課題
This paper aims to understand how Government can better measure and monitor developments in the AI landscape, addressing the following research questions: 本稿の目的は、政府がAIの動向をより適切に測定・監視する方法を理解することであり、以下の研究課題に取り組むことである:
・What value can monitoring AI developments provide? ・AI開発のモニタリングはどのような価値をプロバイダに提供できるか?
・What aspects of AI research, development and deployment could be measured? ・AIの研究、開発、展開のどのような側面を測定することができるか?
・How could the Government monitor the AI landscape? ・政府はどのようにAIの状況を監視できるか?
・What are the monitoring gaps in the existing ecosystem that the Government is well placed to fill? ・既存のエコシステムにおけるモニタリングのギャップのうち、政府が埋められるものは何か?
・What mechanisms are there for sectoral and cross-cutting monitoring by individual regulators? ・個々の規制当局による分野別・横断的な監視にはどのような仕組みがあるか?
・How can the Government address the challenges of monitoring across development and deployment of AI foundation models? ・政府は、AI基盤モデルの開発・展開を横断的にモニタリングするという課題にどのように対処できるのか?
This paper provides an analysis of approaches to monitoring developments in the AI landscape and outlines elements of AI systems that the Government could monitor. 本稿では、AIの発展を監視するアプローチの分析を行い、政府が監視できるAIシステムの要素を概説する。
It then analyses existing private and intergovernmental initiatives for systematically monitoring AI development and deployment, and identifies several gaps that the Government is uniquely be able to fill. It then examines approaches to monitoring and responsible disclosure in individual sectors, including sandboxes, incident reporting and horizon scanning. Finally, this paper concludes with a discussion of how these approaches could be complicated by the introduction of general-purpose AI systems and future questions that need to be explored. 次に、AIの開発と展開を体系的にモニタリングするための既存の民間および政府間のイニシアティブを分析し、政府が独自に埋めることのできるいくつかのギャップを特定する。続いて、サンドボックス、インシデント報告、ホライズン・スキャンなど、各分野におけるモニタリングと責任ある情報開示へのアプローチを検証する。最後に、これらのアプローチが汎用AIシステムの序文によってどのように複雑化しうるか、また今後検討すべき課題について考察し、本稿を締めくくる。
Key terms 主要用語
Measurement is the collection of information that reduces (expected) uncertainty about a given topic. This requires deciding what information needs to be collected and how to best gather or collect it.1 測定とは、与えられたトピックに関する(予想される)不確実性を低減する情報の収集である。そのためには、どのような情報を収集する必要があるのか、また、どのように収集するのが最適なのかを決定する必要がある1。
Monitoring is the process of operationalising measurement over time and entails systemically and continually gathering measurements in a common format.2 Monitoring  allows for tracking changes over time and for that information to be aggregated and integrated in policymaking. モニタリングは、測定値を長期的に運用するプロセスであり、体系的かつ継続的に共通のフォーマットで測定値を収集することを必要とする2。モニタリングによって経年変化を追跡し、その情報を集約して政策立案に反映させることができる。

Ex ante mechanisms are forward-looking regulatory tools that take effect before an AI system is deployed and impacts users and affected people. Examples of ex-ante mechanisms include regulatory sandboxes which allow companies and regulators to test AI products in a real-world environment before they enter the market. 事前的メカニズムとは、AIシステムが導入され、利用者や影響を受ける人々に影響を与える前に効力を発揮する、将来を見据えた規制手段である。事前規制の例としては、企業や規制当局がAI製品を市場に投入する前に現実の環境でテストすることを可能にする規制のサンドボックスなどがある。
Ex post mechanisms are backwards-looking regulatory tools that take effect after an AI system is deployed. These include regulatory inspection and auditing methods, in which an AI system is evaluated and tested by a regulator for compliance with a particular law or regulation. 事後的メカニズムとは、AIシステムが導入された後に効力を発揮する、後ろ向きの規制ツールである。これには、AIシステムが特定の法律や規制を遵守しているかどうかを規制当局が評価・テストする、規制当局の検査・監査手法が含まれる。

 


 

まるちゃんの情報セキュリティ気まぐれ日記

英国のAI規制...

2023.07.20 英国 Ada Lovelace 協会 英国のAI規制、AIリスクなど4つの報告書

・2023.07.18 英国 科学技術省データ倫理・イノベーションセンターブログ AI保証の専門家が他の領域から学ぶべき6つの教訓 (2023.07.12)

・2023.07.09 英国 著作権と人工知能 (AI) に関する実施規範をつくるようですね。。。(2023.06.29)

・2023.07.07 英国 Ada Lovelace 協会 AIサプライチェーンにおける説明責任の分担 (2023.06.29)

・2023.06.19 英国 科学技術省データ倫理・イノベーションセンター 「AIシステムをより公平にするために、人口統計データへの責任あるアクセスを可能にする」

・2023.06.18 英国 科学技術省データ倫理・イノベーションセンター AI保証事例集 (2023.06.07)

・2023.04.29 英国 AIに関する英国政府の発表をいくつか。。。

 

2023.04.01 英国 意見募集 AI規制白書

 

・2023.03.10 英国 ICO Blog 国際女性デーに向けて...AIによる差別への対処が重要な理由

・2022.12.10 英国 データ倫理・イノベーションセンター「業界温度チェック:AI保証の障壁と実現要因」

 

・2022.11.06 英国 データ倫理・イノベーションセンター データおよびAIに対する国民の意識:トラッカー調査(第2回)

・2022.10.29 英国 ICO 雇用慣行とデータ保護:労働者の健康情報案に関するコンサルテーション (2022.10.27)

・2022.09.25 英国 Ada Lovelace 協会 欧州におけるAI責任:EUのAI責任指令の先取り

・2022.06.18 英国 Ada Lovelace 協会: EUのAI法について説明 (2022.04.11)

・2021.06.22 人工知能技術に芸術と人文科学はどのように貢献できるか? by John Tasioulas(オックスフォード大学のAI倫理研究所所長)

・2020.05.01 (人工知能 AI)ブラックボックスの検証:アルゴリズムシステムを評価するためのツール - アルゴリズムの監査・影響評価のための共通言語の特定

 

| | Comments (0)

IPA 重要情報を扱うシステムの要求策定ガイド

こんにちは、丸山満彦です。

IPAが、経済産業省の要請をうけて、重要情報を扱うシステムの要求策定ガイドを策定し、公表していますね。。。

「管理者が「自律性」と「利便性」の双方を両立したシステムの要求仕様を策定できるようガイドを定めました。」とのことです。。。

レジリエンス (resilience)という言葉がでてきていないですが、世界的な潮流を踏まえて、レジリエンス、、、という言葉はつかっていったほうがよいかもしれません。

 

1_20230720053301

 

利便性の確保と自律性の確保...

利便性の確保
ビジネス :変化し続けるビジネス環境への対応力の確保
技術 :進化し続けるシステム技術環境への対応力の確保

自律性の確保
ガバナンス:国際環境やビジネス環境、技術環境の変化の中で、扱うデータや管理するシステムの安定化に向けた統制力の確保
・・データの機密性・完全性・可用性確保のための項目
・・運用の完全性・可用性確保のための項目
・・ソフトウェアの完全性・可用性確保のための項目
・・ハードウェアの完全性・可用性確保のための項目
・・データセンター・通信の完全性・可用性確保のための項目

 

 

・[PDF] 重要情報を扱うシステムの要求策定ガイド Ver. 1.0

20230720-54047

 

目次...

1.重要情報を扱うシステムの要求策定ガイドについて
1.1 重要情報を扱うシステムに求められること
1.2 本ガイドの目的と位置づけ
1.3 本ガイドの利用シーンとステークホルダー
1.4 要求項目の整理の考え方
1.5 本ガイドのスコープと将来に向けたロードマップ

2.本ガイドの利用方法
2.1 要求項目策定の考え方
 2.1.1 要求項目の策定ステップ
 2.1.2 システムの特性評価方法
 2.1.3 問題・リスクの選定方法
 2.1.4 必要な対策の選定方法
2.2 自律性確保のための要求項目一覧
2.3 利便性確保のための要求項目一覧

3..データ連携における留意点
3.1 データ連携における留意点

4.補足資料
4.1 対象システムの例
4.2 サービスの安定供給を阻害するリスク
4.3 用語一覧

参考資料一覧

 

| | Comments (0)

2023.07.19

米国 消費者向けIoT製品のセキュリティ認証制度、サイバートラスト・マーク (U.S. Cyber Trust Mark) を発表

こんにちは、丸山満彦です。

ついに米国でも大統領令 (EO) 14028ですることになった消費者向けIoT製品のセキュリティ認証制度が始まるようですね。。。

名称は、サイバートラスト・マーク。。。

2024年後半?開始予定のようです。。。

クライテリア (Criteria)  は、NISTが策定することになっていますね。。。

マークはこんな感じのようです。。。上から、

アクア、グリーン、レッド、ブラック、ホワイト...

1_20230719051401

 

 

すでに欧州ではドイツが制度を開始していますよね。。。そして、シンガポール、フィンランド。。。英国も1年後に開始予定。そして、米国も...

日本では、一般社団法人 重要生活機器連携セキュリティ協議会 (CCDS)という民間団体がすでに認証制度を開始していますが、国としての制度設計は今、まさに経済産業省検討中のところ...

グローバルに調和のとれた制度になってほしいですね。。。

 

White House

・2023.07.18 Biden-⁠Harris Administration Announces Cybersecurity Labeling Program for Smart Devices to Protect American Consumers

Biden-⁠Harris Administration Announces Cybersecurity Labeling Program for Smart Devices to Protect American Consumers バイデン-ハリス政権、米国消費者保護のためスマート機器のサイバーセキュリティ表示プログラムを発表
Leading electronics and appliance manufacturers and retailers make voluntary commitments to increase cybersecurity on smart devices, help consumers choose products that are less vulnerable to cyberattacks. 大手電子機器・家電メーカーと小売業者は、スマート・デバイスのサイバーセキュリティを向上させ、消費者がサイバー攻撃に対して脆弱性の少ない製品を選択できるよう、自主的な取り組みを行う。
“U.S. Cyber Trust Mark” is the latest in a series of actions President Biden and the Biden-Harris Administration have taken to protect hard-working families. 米国サイバートラストマーク は、バイデン大統領とバイデン-ハリス政権が勤勉な家庭を守るために取った一連の行動の最新版である。
The Biden-Harris Administration today announced a cybersecurity certification and labeling program to help Americans more easily choose smart devices that are safer and less vulnerable to cyberattacks. The new “U.S. Cyber Trust Mark” program proposed by Federal Communications Commission (FCC) Chairwoman Jessica Rosenworcel would raise the bar for cybersecurity across common devices, including smart refrigerators, smart microwaves, smart televisions, smart climate control systems, smart fitness trackers, and more. This is the latest example of President Biden’s leadership on behalf of hard-working families—from cracking down on hidden junk fees, to strengthening cyber protections and protecting the privacy of people in their own homes.  バイデン-ハリス政権は本日、米国人がより安全でサイバー攻撃に対する脆弱性の少ないスマート機器をより簡単に選択できるよう、サイバーセキュリティ認証とラベリング・プログラムを発表した。連邦通信委員会(FCC)のジェシカ・ローゼンウォーセル委員長が提案した新しい「U.S. Cyber Trust Mark」プログラムは、スマート冷蔵庫、スマート電子レンジ、スマートテレビ、スマート空調システム、スマート・フィットネス・トラッカーなど、一般的な機器のサイバーセキュリティの水準を引き上げるものである。これは、隠れたジャンク料金の取り締まりから、サイバー防御の強化、自宅でのプライバシー保護に至るまで、勤勉な家庭のためにバイデン大統領がリーダーシップを発揮している最新の例である。 
Several major electronics, appliance, and consumer product manufacturers, retailers, and trade associations have made voluntary commitments to increase cybersecurity for the products they sell.  Manufacturers and retailers announcing support and commitments today to further the program include Amazon, Best Buy, Google, LG Electronics U.S.A., Logitech, and Samsung Electronics. Under the proposed new program, consumers would see a newly created “U.S. Cyber Trust Mark” in the form of a distinct shield logo applied to products meeting established cybersecurity criteria. The goal of the program is to provide tools for consumers to make informed decisions about the relative security of products they choose to bring into their homes. いくつかの主要な電子機器、家電製品、消費者製品メーカー、小売業者、業界団体は、販売する製品のサイバーセキュリティを強化するために自主的なコミットメントを行った。  本日、このプログラムを推進することを表明したメーカーや小売業者には、アマゾン、ベスト・バイ、グーグル、LGエレクトロニクスU.S.A.、ロジテック、サムスン電子が含まれる。提案されている新プログラムの下では、消費者は、確立されたサイバーセキュリティ基準を満たす製品に、明確なシールドロゴの形で新たに作成された「U.S. Cyber Trust Mark」を目にすることになる。このプログラムの目的は、消費者が自分の家に持ち込む製品の相対的なセキュリティについて、十分な情報を得た上で決断できるようなツールを提供することである。
Acting under its authorities to regulate wireless communication devices, the FCC is expected to seek public comment on rolling out the proposed voluntary cybersecurity labeling program, which is expected to be up and running in 2024. As proposed, the program would leverage stakeholder-led efforts to certify and label products, based on specific cybersecurity criteria published by the National Institute of Standards and Technology (NIST) that, for example, requires unique and strong default passwords, data protection, software updates, and incident detection capabilities. FCCは、無線通信機器を規制する権限に基づき、サイバーセキュリティに関する自主的なラベル付けプログラムを2024年に開始する予定である。提案されているように、このプログラムは、例えば、ユニークで強力なデフォルトパスワード、データ保護、ソフトウェアアップデート、インシデント検出機能などを要求する国立標準技術研究所(NIST)が公表した特定のサイバーセキュリティ基準に基づいて、製品の認証とラベル付けを行う関係者主導の取り組みを活用するものである。
Today, the FCC is applying to register a national trademark with the U.S. Patent and Trademark Office that would be applied to products meeting the established cybersecurity criteria. The Administration—including the Cybersecurity and Infrastructure Security Agency—would support the FCC in educating consumers to look for the new label when making purchasing decisions, and encouraging major U.S. retailers to prioritize labeled products when placing them on the shelf and online. 今日、FCCは、確立されたサイバーセキュリティ基準を満たす製品に適用される国家商標を米国特許商標庁に登録申請している。サイバーセキュリティ・インフラセキュリティ庁を含む当政権は、消費者が購入を決定する際にこの新しいラベルを探すようFCCを支援し、米国の大手小売業者がラベル付き製品を優先的に棚やオンラインに並べるよう奨励する。
To further enhance transparency and competition: 透明性と競争をさらに強化する:
The FCC intends the use a QR code linking to a national registry of certified devices to provide consumers with specific and comparable security information about these smart products. Working with other regulators and the U.S. Department of Justice, the Commission plans to establish oversight and enforcement safeguards to maintain trust and confidence in the program. FCCは、これらのスマート製品に関する具体的かつ比較可能なセキュリティ情報を消費者に提供するため、認証された機器の全国登録簿にリンクするQRコードを使用する意向である。FCCは、他の規制当局や司法省と協力して、このプログラムに対する信頼と信用を維持するための監視と執行のセーフガードを確立する計画である。
NIST will also immediately undertake an effort to define cybersecurity requirements for consumer-grade routers—a higher-risk type of product that, if compromised, can be used to eavesdrop, steal passwords, and attack other devices and high value networks. NIST will complete this work by the end of 2023, to permit the Commission to consider use of these requirements to expand the labeling program to cover consumer grade routers. NISTはまた、コンシューマーグレードのルーターに対するサイバーセキュリティ要件を定義する作業にも直ちに着手する予定である。この種の製品はリスクが高く、もし侵害されれば、盗聴、パスワードの窃盗、他の機器や高価値ネットワークへの攻撃に利用される可能性がある。NISTはこの作業を2023年末までに完了させ、欧州委員会がこれらの要件を利用して、消費者グレードのルーターを対象とする表示プログラムの拡大を検討できるようにする。
The U.S. Department of Energy today also announced a collaborative initiative with National Labs and industry partners to research and develop cybersecurity labeling requirements for smart meters and power inverters, both essential components of the clean, smart grid of the future. また、米国エネルギー省は本日、将来のクリーンでスマートな送電網に不可欠なスマートメーターと電力インバーターのサイバーセキュリティ表示要件を研究開発するため、国立研究所および業界パートナーとの共同イニシアティブを発表した。
Internationally, the U.S. Department of State is committed to supporting the FCC to engage allies and partners toward harmonizing standards and pursuing mutual recognition of similar labeling efforts. 国際的には、米国務省は、FCCが同盟国やパートナーを巻き込み、標準の調和を図り、同様のラベリング努力の相互承認を追求することを支援することにコミットしている。
This new labeling program would help provide Americans with greater assurances about the cybersecurity of the products they use and rely on in their everyday lives. It would also be beneficial for businesses, as it would help differentiate trustworthy products in the marketplace. この新しいラベリング・プログラムは、米国人が日常生活で使用し、依存している製品のサイバーセキュリティについて、より大きな保証を提供するのに役立つだろう。また、信頼できる製品を市場で差別化することができるため、企業にとっても有益である。
As part of the development of the program, the Biden-Harris Administration and FCC will continue to engage stakeholders, regulators, and Congress to fully implement this program and work together to keep Americans safe. プログラム開発の一環として、バイデン-ハリス政権とFCCは、関係者、規制当局、議会を巻き込み、このプログラムを完全に実施し、米国人の安全を守るために協力していく。
Participants in today’s announcement include: Amazon, Best Buy, Carnegie Mellon University, CyLab, Cisco Systems, Connectivity Standards Alliance, Consumer Reports, Consumer Technology Association, Google, Infineon, the Information Technology Industry Council, IoXT, KeySight, LG Electronics U.S.A., Logitech, OpenPolicy, Qorvo, Qualcomm, Samsung Electronics, UL Solutions, Yale and August U.S. 本日の発表には、以下の企業が参加している: Amazon、Best Buy、Carnegie Mellon University、CyLab、Cisco Systems、Connectivity Standards Alliance、Consumer Reports、Consumer Technology Association、Google、Infineon、Information Technology Industry Council、IoXT、KeySight、LG Electronics U.S.A.、Logitech、OpenPolicy、Qorvo、Qualcomm、Samsung Electronics、UL Solutions、Yale、August U.S. など。

 

ホワイトハウスで実施された、ラウンドテーブル

・[YouTube] Internet of Things Labeling Initiative

20230723-33428

 

Federal Communication Commission; FCC

・2023.07.18 Rosenworcel Announces Cybersecurity Labeling Program for Smart Devices

・[PDF

20230719-54420

CHAIRWOMAN ROSENWORCEL OUTLINES PROPOSED VOLUNTARY CYBERSECURITY LABELING PROGRAM FOR SMART DEVICES ローゼンウォーセル委員長、スマート機器のサイバーセキュリティ自主表示プログラム案の概要を発表
   “U.S. Cyber Trust Mark” Program Would Help Consumers Make Informed Purchasing Decisions and Encourage Manufacturers to Meet Higher Cybersecurity Standards    「米国サイバートラストマーク」プログラムは、消費者が十分な情報を得た上で購入する際の判断材料となり、製造業者により高いサイバーセキュリティ標準を満たすよう促すものである。
WASHINGTON, July 18, 2023—Federal Communications Commission Chairwoman Jessica Rosenworcel debuted a proposal with her fellow Commissioners to create a voluntary cybersecurity labeling program that would provide consumers with clear information about the security of their Internet-enabled devices, commonly called “Internet of Things” or “smart” devices.  The proposed program—where qualifying products would bear a new U.S Cyber Trust Mark—would help consumers make informed purchasing decisions, differentiate trustworthy products in the marketplace, and create incentives for manufacturers to meet higher cybersecurity standards.  ワシントン2023年7月18日】米連邦通信委員会(FCC)のジェシカ・ローゼンウォーセル委員長は、「IoT」または「スマート」デバイスと呼ばれるインターネット対応機器のセキュリティに関する明確な情報を消費者に提供するため、サイバーセキュリティに関する自主的な表示プログラムを創設する案を、同僚委員とともに発表した。 このプログラムでは、対象となる製品に新たに「U.S. Cyber Trust Mark(米国サイバートラストマーク)」を表示することで、消費者が十分な情報を得た上で購入の意思決定を行い、市場で信頼できる製品を差別化し、メーカーがより高いサイバーセキュリティ基準を満たすためのインセンティブを生み出すことができる。
1_20230719054801
[Image: Copy of the logo the FCC filed for a certification mark with the U.S. Patent and Trademark Office] 画像 FCCが米国特許商標庁に認証マークとして申請したロゴのコピー]。
“Smart devices make our lives easier and more efficient—from allowing us to check who is at the front door when we’re away to helping us keep tabs on our health, remotely adjust the thermostat to save energy, work from home more efficiently, and much more,” said Chairwoman Rosenworcel.  “But increased interconnection also brings increased security and privacy risks.  Today I am proposing that the FCC establish a new cybersecurity labeling program so that consumers will know when devices meet widely accepted security standards.  This voluntary program, which would build on work by the National Institute of Standards and Technology, industry, and researchers, would raise awareness of cybersecurity by helping consumers make smart choices about the devices they bring into their homes, just like the Energy Star program did when it was created to bring attention to energy-efficient appliances and encourage more companies to produce them in the marketplace.”   「スマートデバイスは、私たちの生活をより便利で効率的なものにしてくれる。留守中に誰が玄関にいるかを確認したり、健康状態を把握したり、省エネのためにサーモスタットを遠隔操作で調整したり、在宅勤務をより効率的にしたり、その他多くのことを助けてくれる。 「しかし、相互接続の拡大は、セキュリティやプライバシーのリスクも増大させる。 今日私は、FCCが新しいサイバーセキュリティ表示プログラムを設立し、機器が広く受け入れられているセキュリティ標準に適合していることを消費者が知ることができるようにすることを提案する。 この自主的なプログラムは、国立標準技術研究所、産業界、研究者による研究を基礎とするものであり、消費者が家庭に持ち込む機器について賢い選択をする手助けをすることで、サイバーセキュリティに対する認識を高めることができる。 
The draft proposal, called a Notice of Proposed Rulemaking (NPRM), outlines a voluntary cybersecurity labeling program that would be established under the FCC’s authority to regulate wireless communications devices based on cybersecurity criteria developed by the National Institute of Standards and Technology (NIST).  If the proposal is adopted by a vote of the Commission, it would be issued for public comment, and could be up and running by late 2024.   NPRM(Notice of Proposed Rulemaking)と呼ばれるドラフト案は、国立標準技術研究所(NIST)が策定したサイバーセキュリティ基準に基づいて無線通信機器を規制するFCCの権限に基づいて設立される、自主的なサイバーセキュリティ表示プログラムの概要を示している。 この提案が委員会の投票によって採択されれば、パブリックコメントの募集が開始され、2024年後半には運用が開始される可能性がある。 
The proposal seeks input on issues including the scope of devices for sale in the U.S. that should be eligible for inclusion in the labeling program, who should oversee and manage the program, how to develop the security standards that could apply to different types of devices, how to demonstrate compliance with those security standards, how to safeguard the cybersecurity label against unauthorized use, and how to educate consumers about the program.  The Commission today also unveiled the proposed U.S. Cyber Trust Mark logo, which would appear on packaging alongside a QR code that consumer can scan for further information, pending a certification mark approval by the U.S. Patent and Trademark Office.  この提案では、ラベリングプログラムの対象となるべき米国で販売される機器の範囲、プログラムの監督・管理者、さまざまな種類の機器に適用できるセキュリティ標準の策定方法、セキュリティ標準への準拠を証明する方法、不正使用に対するサイバーセキュリティラベルの保護方法、プログラムに関する消費者への教育方法などの問題について意見を求めている。 このマークは、米国特許商標庁による認証マークの認可が下りるまで、消費者がスキャンして詳細情報を得ることができるQRコードとともにパッケージに表示される。
There are a wide range of consumer Internet of Things (or “IoT”) products on the market that communicate over networks.  These products are made up of various devices, and are based on many technologies, each of which presents a set of security challenges.  According to one third party estimate, there were more than 1.5 billion attacks against IoT devices in the first six months of 2021 alone.  Others estimate that there will be more than 25 billion connected IoT devices in operation by 2030.  The proposal announced today builds on the significant public and private sector work already underway on IoT cybersecurity and labeling, emphasizing the importance of continued partnership so that consumers can enjoy the benefits of this technology with greater confidence in and knowledge of their devices’ security.  消費者向けのモノのインターネット(または「IoT」)製品には、ネットワークを介してコミュニケーションするものが幅広く出回っている。 これらの製品は様々なデバイスで構成され、多くの技術に基づいており、それぞれがセキュリティ上の課題を抱えている。 あるサードパーティーの試算によると、IoTデバイスに対する攻撃は、2021年の最初の半年だけで15億件以上あったという。 また、2030年までに250億台以上のコネクテッドIoTデバイスが稼動するとの予測もある。 本日発表された提案は、IoTサイバーセキュリティとラベリングに関してすでに進められている官民の重要な取り組みを基礎とするもので、消費者がデバイスのセキュリティに対するより高い信頼と知識をもってこの技術の恩恵を享受できるよう、継続的なパートナーシップの重要性を強調している。

 

マークのデザイン等は...

・2023.07.18 Certification Mark – U.S. Cybersecurity Labeling Program for Smart Devices

 

委員長の発言...

REMARKS OF CHAIRWOMAN JESSICA ROSENWORCEL FEDERAL COMMUNICATIONS COMMISSION US CYBERSECURITY LABELING PROGRAM FOR SMART DEVICES EISENHOWER EXECUTIVE OFFICE BUILDING WASHINGTON, DC ジェシカ・ローゼンウォーセル連邦通信委員会委員長の発言 アイゼンハワー行政府ワシントンD.C.
18-Jul-23 18-Jul-23
Good morning.  It’s wonderful to be here with security champions in the government and so many industry experts, too.   おはようございます。 政府のセキュリティ・チャンピオンの皆さん、そして多くの業界の専門家の皆さんとご一緒できて光栄です。 
There are now so many new devices—from smart televisions and thermostats to home security cameras, baby monitors, and fitness trackers—that are connected to the internet.  These technologies provide huge benefits because they can make our lives easier and more efficient.  They allow us to do things like check who is at the front door when we are away, keep tabs on our health, and automatically adjust the thermostat, so we save on our energy bills.  スマートテレビやサーモスタットから、ホームセキュリティカメラ、ベビーモニター、フィットネストラッカーに至るまで、インターネットに接続された新しいデバイスが数多く登場しています。 これらのテクノロジーは、私たちの生活をより簡単で効率的なものにするため、大きなメリットをプロバイダにもたらします。 例えば、留守中に誰が玄関にいるかを確認したり、健康状態を把握したり、サーモスタットを自動調節して光熱費を節約したりすることができます。
But this increased interconnection brings more than just convenience.  It brings increased security risk.  After all, every device connected to the internet is a point of entry for the kind of cyberattacks that can take our personal data and compromise our safety.  That is true for the biggest connections to the largest businesses and the smallest connections to the devices in our homes.   しかし、このような相互接続の増加は、利便性だけではありません。 セキュリティ・リスクの増大です。 結局のところ、インターネットに接続されたすべてのデバイスは、個人データを盗み出し、私たちの安全を脅かすサイバー攻撃の侵入口となるのです。 これは、大企業への最大の接続でも、家庭内の機器への最小の接続でも同じです。 
Let me give you an example.  This is from a story about cybercrime told by the author Misha Glenn.  It involves a bank, which like most institutions in the modern economy, understood the vulnerabilities of digital age activity.  In fact, they spared no expense when it came to cybersecurity.  They carefully assessed the risks of their operation and spent liberally to ensure the secure transfer of funds.  In the process, they convinced themselves that their comprehensive efforts had made them just about invincible.  Of course, pride often comes just before the fall.  Because despite their best efforts, it didn’t take long for a hacker to find a vulnerability.  It wasn’t in the bank’s systems for transactions, deposits, or accounts.  It was in a vending machine at headquarters that was filled with chocolate bars.  The vending machine had its own IP address.  But the bank neglected to put it on the system for automated software patching updates.  After all, when you plan for security updates, the machine where you drop your spare coins for something sweet to keep you going when working late is unlikely to be the focus of your efforts.  But that was all it took for this bank to be penetrated.  A single vending machine packed with chocolate. 例を挙げましょう。 これは、作家のミーシャ・グレンが語ったサイバー犯罪に関する話です。 現代経済におけるほとんどの機構がそうであるように、銀行もデジタル時代の活動の脆弱性を理解していました。 実際、サイバーセキュリティに関しては、出費を惜しみませんでした。 慎重にリスクをアセスメントし、安全な資金移動のために惜しみなく資金を投入しました。 その過程で、彼らは自分たちの包括的な努力によって無敵に近い状態になったと確信したのです。 もちろん、慢心はしばしば転落の直前に訪れるもの。 なぜなら、彼らの最善の努力にもかかわらず、ハッカーが脆弱性を見つけるのに時間はかからなかったからです。 それは銀行の取引、預金、口座のシステムにはありませんでした。 本部にあるチョコレート・バーの自動販売機にあったのです。 その自動販売機には独自のIPアドレスがありました。 しかし、銀行は自動ソフトウェア・パッチ・アップデートのシステムにその自動販売機を入れるのを怠っていたのです。 結局のところ、セキュリティ・アップデートを計画する際、残業中に甘いものを買うために小銭を入れる自動販売機が、その取り組みの焦点になることはまずないのです。 しかし、この銀行が侵入されるのに必要だったのはそれだけだったのです。 チョコレートが詰まった一台の自動販売機。
I love this story because it is a reminder that so much is now connected in our lives.  This is true in businesses—like banks—but it is increasingly true for all of us at home, too.  All of those new home security cameras, connected thermostats, and fitness trackers add up.  In fact, right now there are an estimated 17 billion smart devices in the world.  And we are just getting started.  Because the number of smart devices is growing fast.  In fact, we expect to see 25 billion smart devices by the end of the decade.  And cyberattacks on these devices are growing.  They can make us wary of bringing smart devices into our lives, and missing out on the convenience and opportunity they provide. この話が好きなのは、私たちの生活の中で多くのことがつながっていることを思い出させてくれるからです。 これは銀行のようなビジネスにおいても言えることですが、家庭においてもますますそうなってきています。 新しい家庭用セキュリティカメラ、コネクテッド・サーモスタット、フィットネス・トラッカーなど、すべてがつながっています。 実際、現在世界には推定170億台のスマート・デバイスがあります。 そして、私たちはまだ始まったばかりです。 なぜなら、スマート・デバイスの数は急速に増えているからです。 実際、10年後までには250億台のスマートデバイスが登場すると予想されています。 そして、これらのデバイスに対するサイバー攻撃は増加の一途をたどっています。 このようなサイバー攻撃は、私たちの生活にスマートデバイスを持ち込むことを躊躇させ、スマートデバイスが提供する利便性やチャンスを逃すことになりかねません。
But it doesn’t have to be this way.  Because we can do more to make internet of things devices secure and help consumers make good choices about what they bring into their homes and businesses.   しかし、このようになる必要はありません。 なぜなら、モノのインターネット・デバイスを安全にし、消費者が家庭やビジネスに持ち込むものを適切に選択できるようにするために、私たちはもっとできることがあるからです。 
In fact, a lot of people here today have been hard at work developing solutions.  For years, my colleagues at NIST have been developing security criteria for smart devices.  And last year, I had the opportunity to join many of you, along with NIST, for a discussion at the White House about how we can come together to improve security for smart devices and help consumers understand what they are purchasing.   実際、今日ここにいる多くの人々が、懸命にソリューションを開発してきました。 何年もの間、NISTの同僚たちはスマート・デバイスのセキュリティ基準を開発してきました。 そして昨年、私はNISTとともにホワイトハウスで、スマート・デバイスのセキュリティを改善し、消費者が何を購入しようとしているのかを理解できるようにするために私たちがどのように協力できるかについて、多くの皆さんと議論する機会を得ました。 
I left that conversation energized.  So now I want to tell you how we are going to turn that energy into action.   私はこの話し合いで元気をもらいました。 そこで今、私たちがそのエネルギーをどのように行動に移していくかをお話ししたいと思います。 
Today, I put before my colleagues at the Federal Communications Commission a proposal to put in place the first-ever voluntary cybersecurity labeling program for connected smart devices.  We are calling it the U.S. Cyber Trust Mark.  And just like the “Energy Star” logo helps consumers know what devices are energy efficient, the Cyber Trust Mark will help consumers make more informed purchasing decisions about device privacy and security.  So when you need a baby monitor or new home appliance, you will be able to look for the Cyber Trust Mark and shop with greater confidence.  What’s more, because we know devices and services are not static, we are proposing that along with the mark we will have a QR code that provides up-to-date information on that device.   本日、私は連邦コミュニケーション委員会の同僚たちに、接続されたスマート・デバイスのための、史上初の自主的サイバーセキュリティ表示プログラムを導入する提案を行いました。 私たちはこれを「米国サイバートラストマーク」と呼んでいます。 エナジースター」のロゴが、消費者がどの機器がエネルギー効率に優れているかを知るのに役立つように、サイバートラストマークは、消費者が機器のプライバシーとセキュリティについて、より多くの情報を得た上で購入を決定するのに役立ちます。 そのため、ベビーモニターや新しい家電製品が必要になったとき、サイバートラストマークを探して、より安心して買い物をすることができるようになります。 さらに、私たちはデバイスやサービスが固定的なものではないことを知っているため、マークとともに、そのデバイスに関する最新情報を提供するQRコードを用意することをプロバイダに提案しています。 
This proposal builds on good work already done by government and industry because we will rely on the NIST-recommended criteria for cybersecurity to set the Cyber Trust Mark program up.  That means we will use criteria device manufacturers already know, and, when they choose to meet these standards, they will be able to showcase privacy and security in the marketplace by displaying this mark.  Over time, we hope more companies will use it—and more consumers will demand it.   この提案は、政府と産業界がすでに行っている優れた取り組みの上に成り立っています。というのも、私たちはサイバートラストマークプログラムを立ち上げるにあたり、NISTが推奨するサイバーセキュリティの基準に依拠するからです。 つまり、デバイスメーカーがすでに知っている標準を使用し、これらの標準を満たすことを選択した場合、このマークを表示することで、プライバシーとセキュリティを市場でアピールすることができます。 やがて、より多くの企業がこのマークを使用するようになり、より多くの消費者がこのマークを求めるようになることを願っています。 
So let’s talk next steps.  If adopted by my colleagues at the agency, we will seek public comment on this proposal.  We will ask for input on how best to establish this voluntary labeling program, the scope of eligible devices, the mechanics of managing this program, how to further develop standards that could apply to different kinds of devices, how to demonstrate compliance with those standards, and how best to educate consumers.   それでは、次のステップについてお話ししましょう。 私の同僚がこの提案を採用した場合、私たちはパブリックコメントを求める予定です。 この自主的な表示プログラムを確立する最善の方法、対象となる機器の範囲、このプログラムを管理する仕組み、さまざまな種類の機器に適用できる標準をさらに開発する方法、その標準への準拠を証明する方法、そして消費者を教育する最善の方法について意見を求めます。 
That is not a small task.  But it’s worth it.  Because the future of smart devices is big.  And even bigger is the opportunity for us to ensure that every consumer, business, and every bank with a vending machine can make smart choices about the connected devices they use.  So let’s get to it. これは小さな仕事ではありません。 しかし、それだけの価値はあります。 なぜなら、スマート・デバイスの未来は大きいからです。 そしてさらに大きなチャンスは、すべての消費者、企業、自動販売機のあるすべての銀行が、使用するコネクテッド・デバイスについて賢い選択ができるようにすることです。 さあ、始めましょう。

 

 


 

情報技術産業協議会の反応...

1_20230723031401

IoTのセキュリティに対しても積極的に取り組んできたし、政策提言もしていましたからね。。。

 

Information Technology Industry Council; ITI

・2023.07.18 ITI: U.S. Cyber Trust Mark is Key to a Safe and Resilient Global IoT Ecosystem

ITI: U.S. Cyber Trust Mark is Key to a Safe and Resilient Global IoT Ecosystem ITI:米国のサイバートラストマークは安全でレジリエンスなグローバルIoTエコシステムの鍵である
WASHINGTON – Today, global tech trade association ITI welcomed the Biden Administration’s unveiling of the U.S. Cyber Trust Mark, a voluntary cybersecurity certification and labeling program designed to make smart devices more secure and less vulnerable to cyberattacks. ITI’s President and CEO Jason Oxman will echo the tech industry’s support of the effort during a roundtable event at the White House today. ワシントン発 - 世界的なハイテク業界団体であるITIは本日、バイデン政権が米国サイバートラストマークを発表したことを歓迎した。このマークは、スマートデバイスの安全性を高め、サイバー攻撃に対する脆弱性を軽減することを目的とした任意のサイバーセキュリティ認証・表示プログラムである。ITIのジェイソン・オックスマン会長兼最高経営責任者(CEO)は、本日ホワイトハウスで開催された円卓会議で、この取り組みに対するハイテク業界の支持を表明した。
Governments around the world are considering adopting cybersecurity labeling as a mechanism to better understand and communicate security features in ICT products and services to facilitate confidence, assurance, and trust in such products and services. Providing end-users with clear information about companies’ adherence to cybersecurity standards and discrete topics such as the security features/functionality in devices or services can foster market competition based on security, build trust, and help end-users fulfill their role in maintaining security. 世界中の政府は、ICT製品やサービスのセキュリティ機能をよりよく理解し、伝えるための仕組みとして、サイバーセキュリティラベルの採用を検討している。企業がサイバーセキュリティ標準を遵守していることや、機器やサービスにおけるセキュリティ機能・特徴といった個別のトピックに関する明確な情報をエンドユーザに提供することは、セキュリティに基づく市場競争を促進し、トラストを構築し、エンドユーザがセキュリティの維持に果たす役割を支援することにつながる。
“As cyberattacks become more sophisticated and dynamic, cybersecurity labels can provide consumers with clear information about the cybersecurity of smart devices ,” said ITI President and CEO Jason Oxman. “The administration’s new U.S. Cyber Trust Mark will play an important role in equipping consumers with the tools necessary to protect themselves while helping to facilitate greater confidence and trust. ITI and our member companies look forward to working with the administration and other stakeholders to promote consumer awareness and foster adoption of the label and advance a safe and resilient Internet of Things (IoT) ecosystem for all consumers.” ITI会長兼CEOのジェイソン・オックスマンは、次のように述べた。「サイバー攻撃がより巧妙でダイナミックになるにつれ、サイバーセキュリティのラベルは、スマート機器のサイバーセキュリティに関する明確な情報を消費者に提供することができる。米国政府の新しいサイバートラストマークは、消費者が自分自身を守るために必要なツールを身につける上で重要な役割を果たすと同時に、より大きな信頼と信用を促進するのに役立つだろう。ITIと会員企業は、消費者の認識を促進し、ラベルの採用を促進し、すべての消費者にとって安全でレジリエンスの高いモノのインターネット(IoT)エコシステムを促進するために、行政やその他の関係者と協力することを楽しみにしている。」
ITI has long been a cybersecurity policy leader worldwide. IoT security, including that of smart devices, and cybersecurity certification and labeling have been top priorities for several years. In recent years, ITI issued three sets of first-of-their-kind policy documents designed to help policymakers and stakeholders better ensure the security of the IoT ecosystem, and how to smartly employ tools such as certification and labeling to advance cybersecurity: IoT Security Policy PrinciplesPolicy Principles for Cybersecurity Certification, and Cybersecurity Labeling: A Guide for Policymakers
.
ITIは長年にわたり、世界のサイバーセキュリティ政策をリードしてきた。スマートデバイスを含むIoTセキュリティとサイバーセキュリティ認証およびラベリングは、数年前から最優先事項となっている。近年、ITIは、政策立案者や利害関係者がIoTエコシステムのセキュリティをより確実にし、サイバーセキュリティを向上させるために認証やラベリングなどのツールを賢く採用する方法を支援することを目的とした、他に類を見ない3組の政策文書を発行した:「 IoTセキュリティ政策原則」、「サイバーセキュリティ認証のための政策原則」、「サイバーセキュリティのラベリング」である: 政策立案者のためのガイド

 

過去の政策提言等

・2021.04.21 ITI Releases First-of-its-Kind Global Policy Recommendations for Cybersecurity Labeling

・2020.09.01 ITI Unveils Policy Principles for Cybersecurity Certification for Global Policymakers

・2020.02.05 ITI Issues Policy Principles to Help Secure and Fortify the Internet of Things

 


 

まるちゃんの情報セキュリティ気まぐれ日記

米国...

・2022.09.24 NIST NISTIR 8425 消費者向けIoT製品のIoTコアベースラインのプロファイル、NISTIR 8431 「NIST基礎の上に築く:IoTセキュリティの次のステップ」ワークショップ概要報告書

・2022.06.19 NISTIR 8425 (ドラフト) 消費者向けIoT製品のIoTコアベースラインのプロファイル

・2022.02.07 NIST ホワイトペーパー :消費者向けソフトウェアのサイバーセキュリティラベルの推奨規準

・2022.02.06 NIST ホワイトペーパー :消費者向けIoT製品のサイバーセキュリティラベルの推奨規準

・2021.11.04 NIST 消費者向けソフトウェアのサイバーセキュリティに関するラベリングについての意見募集

・2021.09.02 NIST ホワイトペーパー(ドラフト):消費者向けIoTデバイスのベースライン・セキュリティ基準

・2021.08.29 NISTIR 8259B IoT非技術的支援能力コアベースライン

・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令

・2020.12.17 NIST SP 800-213 (Draft) 連邦政府向け「 IoTデバイスサイバーセキュリティ要件の確立」、NISTIR 8259B、8259C、8259D

・2020.05.30 NIST IoT機器製造者向けセキュリティの実践資料 NISTIR 8259 Foundational Cybersecurity Activities for IoT Device Manufacturers, NISTIR 8259A IoT Device Cybersecurity Capability Core Baseline

・2020.02.06 NISTがIoT機器製造者向けセキュリティの実践資料のドラフト(Ver.2)を公開していますね。。。

 

EU

・2023.05.31 ENISA 新技術に対応したEUサイバーセキュリティ認証の実現可能性を探る

・2023.03.21 ENISA サイバーセキュリティ認証のウェブページを開設

・2023.03.01 IPA 欧州規格 ETSI EN 303 645 V2.1.1 (2020-06)の翻訳の公開

・2023.02.02 ドイツ スペースネットAG社のサービスにITセキュリティラベルを渡す

・2022.12.15 ドイツ フランス IT製品のセキュリティ認証に関する共同文書を発行 (固定時間制認証制度)

・2022.10.31 ドイツ シンガポール 消費者向けIoT製品のサイバーセキュリティ・ラベルの相互承認 (2022.10.20)

・2022.05.09 ドイツ ITセキュリティラベル for 消費者向けスマート製品

・2022.02.03 ドイツ BSI Mail.deの電子メールサービスにITセキュリティラベルを付与

・2021.07.18 独国 BSIがITセキュリティラベルについてのウェブページを公開していますね。。。

 

英国

・2023.05.04 英国 インターネットに接続するすべての消費者向け製品に適用される最低セキュリティ基準制度が1年後にはじまりますよ〜 (2023.04.29)

・2023.04.25 Five Eyesの国々が安全なスマートシティを作るための共同ガイダンスを発表 (2023.04.20)

・2022.01.27 英国 スマートデバイスのサイバーセキュリティ新法に一歩近づくと発表

・2021.12.09 英国 製品セキュリティおよび電気通信インフラストラクチャ(PSTI)法案 at 2021.11.24

 

中国

・2022.02.15 中国 国家サイバースペース管理局 専門家の解説 ネットワーク重要機器のセキュリティ認証とセキュリティテストによるネットワークセキュリティの基本ディスクの維持

 

日本

・2023.05.17 経済産業省 産業サイバーセキュリティ研究会 WG3 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会 中間とりまとめ

・2022.11.04 経済産業省 第1回 産業サイバーセキュリティ研究会 ワーキンググループ3 IoT製品に対するセキュリティ適合性評価制度構築に向けた検討会

 

 

| | Comments (0)

世界経済フォーラム (WEF) メタバースにおけるプライバシーと安全性

こんにちは、丸山満彦です。

世界経済フォーラム (WEF) が「メタバースにおけるプライバシーと安全性」を公表していますね。。。

この報告書でのメタバースのイメージは、「リアルタイムの交流や活動のための共有デジタル空間の集合体、つまりデジタル世界と物理世界を融合させた連続体」という感じのようです。。。

「2次元(2D)や3次元(3D)の物理的・デジタル的な世界や、臨場感をもって体験できる(半)没入型の環境が相互に接続されたネットワークのこと」と定義していますね。。。

今のところは、ゴーグルといわれているデバイスにより、より深い体験ができるようになっていますが、視覚と聴覚に限られていますね。。。おそらく将来的には、脳に直接信号をおくることにより体験できる世界ということになるでしょうから、そうなると、プライバシーや安全性はより重要となるでしょうね。。。物理的な安全というよりも、精神的な安全。。。

いまは、メタバースへの入り口にたったにすぎない。。。

仮想世界の映画としては、マトリックス[wikipedia]が有名ですが、、、バニラ・スカイ[wikipedia]という映画もありましたね。。。個人的にはかなり後味の悪かった映画で、いまでもこうして思い出してしまいます...(^^;; すでに両方とも20年以上も前の映画なのにね。。。

 

 ● World Economic Forum - Report

・2023.07.17 Privacy and Safety in the Metaverse

Privacy and Safety in the Metaverse メタバースにおけるプライバシーと安全性
The metaverse is expected to reach a value of $1 trillion in the next three years, driven by rapid uptake and technologies like generative AI. メタバースは、急速な普及と生成的AIのような技術に牽引され、今後3年間で1兆ドルの価値に達すると予想されている。
The metaverse is expected to reach a value of $1 trillion in the next three years, driven by rapid uptake and technologies like generative AI. メタバースは、急速な普及と生成的AIのような技術によって、今後3年間で1兆ドルの価値に達すると予想されている。
This report is published under the Defining and Building the Metaverse Initiative, whose goal is to bring together major stakeholders from academia, civil society, government and business to advance consensus and create a metaverse that is economically viable, interoperable, safe, equitable and inclusive. The initiative is divided into two workstreams: governance and economic and social value creation. 本レポートは、学術界、市民社会、政府、ビジネス界から主要なステークホルダーを集め、コンセンサスを促進し、経済的に実行可能で、相互運用可能で、安全で、公平で、包括的なメタバースを創造することを目的とした「メタバースの定義と構築イニシアチブ」のもとで発表された。このイニシアティブは、ガバナンスと経済的・社会的価値創造の2つのワークストリームに分かれている。
In this report, the governance workstream emphasizes the need for worldwide collaboration among various stakeholders, including academics, regulators, policy-makers and design teams, to nurture understanding of the metaverse and establish protective measures. The paper highlights the importance of privacy, responsible data handling and inclusive design. It encourages stakeholders to start discussions about the ethical navigation of the metaverse. 本報告書では、ガバナンスのワークストリームにおいて、メタバースに対する理解を深め、保護手段を確立するために、学者、規制当局、政策立案者、デザインチームなど、さまざまなステークホルダーが世界規模で協力する必要性を強調している。この論文は、プライバシー、責任あるデータの取り扱い、包括的なデザインの重要性を強調している。関係者がメタバースの倫理的なナビゲーションについて議論を始めるよう促している。
An accompanying release from the social value creation workstream presents a holistic understanding of the implications of metaverse adoption on individuals, economies and societies. 社会価値創造ワークストリームからの付随リリースでは、メタバース導入が個人、経済、社会に与える影響について全体的な理解を示している。

 

・[PDF]

20230719-24616

 

目次

Foreword  まえがき 
Executive summary 要旨
Introduction 序文
Key concepts 主要概念
1 New realities 1 新たな現実
2 Privacy and data processing 2 プライバシーとデータ処理
3 Engaging safely 3 安全に関与する
4 Literacy and empowerment 4 リテラシーとエンパワーメント
5 Future technology considerations 5 将来のテクノロジーに関する考察
Conclusion おわりに
Appendices 附属書
Contributors 協力者
Endnotes 巻末資料

 

前書きから主要概念...

Foreword まえがき
The metaverse – a term used for the next iteration of the internet – continues to garner research, development, and investment interest around the world. Recent findings from Accenture indicate that the projected value of the metaverse is expected to reach $1 trillion in the next three years, suggesting that the metaverse is already experiencing wide adoption. Furthermore, recent developments in generative AI will accelerate metaverse creation and growth, with the metaverse, in turn, providing a way for AI to reach consumers. While AI and metaverse announcements may compete for media attention, they are, in fact, partners in this digital evolution.  メタバース(インターネットの次の世代を意味する言葉)は、世界中で研究、開発、投資の関心を集め続けている。アクセンチュアの最近の調査結果によると、メタバースの予測価値は今後3年間で1兆ドルに達すると予想されており、メタバースがすでに広く普及しつつあることを示唆している。さらに、生成的AIにおける最近の開発は、メタバースの創造と成長を加速させ、メタバースは、AIが消費者に到達するための手段を提供する。AIとメタバースの発表はメディアの注目を集めるために競合するかもしれないが、実際には、このデジタル進化におけるパートナーである。
The need to foster international dialogue and develop directional guidance is now more relevant than ever. The previous era of technology taught us that while innovation can be a powerful force for good, it can also exacerbate existing problems and create new ones. Building upon the lessons learned from the development of the early internet, the World Economic Forum convenes thought leaders from the public and private sectors to collaboratively develop insights, strategies, and frameworks to help ensure that the metaverse contributes to economic and social progress while protecting individual rights.  国際的な対話を促進し、方向性を示す指針を策定する必要性は、かつてないほど高まっている。前時代のテクノロジーは、イノベーションが善をもたらす強力な力になる一方で、既存の問題を悪化させ、新たな問題を生み出す可能性もあることを教えてくれた。世界経済フォーラムは、初期のインターネット開発から学んだ教訓に基づき、官民のオピニオンリーダーを招集し、メタバースが個人の権利を保護しつつ、経済的・社会的進歩に確実に貢献するための洞察、戦略、フレームワークを共同で開発している。
This paper is a continuation of the World Economic Forum’s Defining and Building the Metaverse Initiative. In collaboration with Accenture, past outputs from this initiative have delved into the concepts of Interoperability in the Metaverse and Demystifying the Consumer Metaverse.  本稿は、世界経済フォーラムの「メタバースの定義と構築」イニシアティブの続編である。アクセンチュアとの協力の下、このイニシアチブの過去のアウトプットは「メタバースにおける相互運用性」と「消費者メタバースの解明」の概念を掘り下げてきた。
We are pleased to present this second output from the governance track: Metaverse Privacy and Safety. It emphasizes key conversation areas so that the metaverse may be built with human rights, safety and privacy at its core. By presenting these insights, decision-makers are empowered to create a metaverse based on human-first principles that will positively impact individuals and society at large.  我々は、ガバナンス・トラックからの2番目のアウトプットを発表できることを嬉しく思う: メタバースのプライバシーと安全性である。メタバースが人権、安全性、プライバシーを中核として構築されるよう、主要な会話領域を強調している。これらの洞察を提示することで、意思決定者は、個人と社会全体にポジティブな影響を与える人間第一の原則に基づくメタバースを創造する力を与えられる。
Simultaneously, the value creation track of this project has released its second output: Social Implications of the Metaverse. It highlights the potential consequences and new opportunities of metaverse adoption and usage on individuals. These insights should help decision-makers think about technology development from a holistic lens and incentivize outcomes for a thriving and healthy society.  同時に、このプロジェクトの価値創造トラックは2番目のアウトプットを発表した: 「メタバースの社会的意義」である。これは、メタバースの採用と利用が個人にもたらす潜在的な影響と新たな機会を浮き彫りにしている。これらの洞察は、意思決定者が総合的なレンズから技術開発について考え、繁栄した健全な社会のための成果にインセンティブを与えるのに役立つずである。
Creating a metaverse that is not only economically viable, but also equitable, accessible, inclusive, and safe requires consideration of human rights, equality, and sustainability. These two publications are based on the inputs of a global, multistakeholder working group of more than 150 experts from academia, civil society, government, technology and business. The lessons from this process are informing global efforts to help realize the benefits, and mitigate the risks, of the metaverse.  経済的に実行可能であるだけでなく、公平で、利用しやすく、包括的で、安全なメタバースを創造するには、人権、平等、持続可能性を考慮する必要がある。これら2つの出版物は、学界、市民社会、ガバナンス、政府、テクノロジー、ビジネス界から150人以上の専門家が参加した、グローバルなマルチステークホルダー・ワーキンググループのインプットに基づいている。このプロセスから得られた教訓は、メタバースの恩恵を実現し、リスクを軽減するための世界的な取り組みに反映されている。
Executive summary 要旨
The metaverse, a dynamic and interconnected digital realm, holds immense potential to reshape the way we live, work, and interact. As the convergence of augmented reality (AR), virtual reality (VR) and mixed reality (MR) blur the boundaries between physical and (semi-)virtual spaces, it becomes imperative to address privacy and safety concerns to ensure a secure and inclusive metaverse for all participants. This paper serves as a catalyst for stakeholders, promoting dialogue and action in navigating the complexities of privacy and safety in this blended world. ダイナミックで相互接続されたデジタル領域であるメタバースは、私たちの生活、仕事、交流のあり方を再構築する計り知れない可能性を秘めている。拡張現実(AR)、仮想現実(VR)、複合現実(MR)が融合し、物理的空間と(半)仮想空間の境界が曖昧になるにつれ、すべての参加者にとって安全で包括的なメタバースを確保するために、プライバシーと安全性への懸念に対処することが不可欠になっている。本論文は、この融合された世界におけるプライバシーと安全性の複雑さを乗り越えるための対話と行動を促進し、利害関係者の触媒となるものである。
This paper emphasizes the importance of designing human-first experiences that prioritize the privacy and safety of all participants across the following domains: 本稿では、以下の領域にわたって、すべての参加者のプライバシーと安全を優先する人間優先の体験をデザインすることの重要性を強調する:
Blending worlds: Stakeholders should consider the nuances of real-world and online experiences–such as the meaning of real-world privacy vs data privacy, given the power metaverse technologies have in blending reality with digital spaces. This encompasses aspects such as rights, harms, crimes, inclusion and diversity within the metaverse environment. 融合する世界:メタバース・テクノロジーが現実とデジタル空間を融合させる力を持っていることから、関係者は現実世界とオンライン体験のニュアンス、例えば現実世界のプライバシーとデータ・プライバシーの意味などを考慮する必要がある。これは、メタバース環境における権利、危害、犯罪、包摂、多様性といった側面を包含する。
Experience and environment design: Choices made today regarding platform/organizational structure, permissions levels and forum type will shape privacy practices and safety measures of participants in the metaverse. エクスペリエンスと環境デザイン: プラットフォーム/組織構造、権限レベル、フォーラムのタイプに関して現在行われている選択は、メタバースにおける参加者のプライバシー慣行と安全対策を形成する。
Data processing and data privacy measures: Privacy decisions regarding the front and back end of system design play a pivotal role in cultivating trust among its users. Adequate privacy protections must be in place to ensure that individuals feel confident engaging in spatial interactions. Without robust data privacy measures, users may be reluctant to fully embrace the metaverse as a platform for social interaction, commerce and entertainment. データ処理とデータプライバシー対策: システム設計のフロントエンドとバックエンドに関するプライバシーの決定は、ユーザー間の信頼を培う上で極めて重要な役割を果たす。個人が安心して空間的なインタラクションに参加できるようにするためには、適切なプライバシー保護が行われなければならない。強固なデータプライバシー対策がなければ、ユーザーは社会的交流、商取引、娯楽のプラットフォームとしてメタバースを完全に受け入れることに消極的になるかもしれない。
Accessing, onboarding and engaging in metaverse environments and experiences: Carefully architecting how participants access, onboard and engage is essential to delivering privacy by design (PbD) and safety by design (SbD); integral to PbD and SbD, stakeholders must consider inclusivity, accessibility and literacy design specifications. メタバース環境と体験へのアクセス、オンボーディング、エンゲージメント: 参加者がどのようにアクセスし、乗り込み、エンゲージするかを注意深く設計することは、プライバシー・バイ・デザイン(PbD)とセーフティ・バイ・デザイン(SbD)を実現する上で不可欠である。PbDとSbDに不可欠な要素として、関係者は包括性、アクセシビリティ、リテラシー設計仕様を考慮しなければならない。
Spotlight: protecting children in the metaverse: Vulnerable groups deserve special consideration – particularly children. It is imperative to address the unique needs of children to foster a positive and enriching metaverse experience. For example, stakeholders should consider how, when and where children’s interests are supported by parental controls to promote autonomy as they grow by learning, playing and creating online. スポットライト:メタバースにおける子どもの保護: 脆弱性グループ、特に子どもは特別な配慮に値する。ポジティブで豊かなメタバース体験を育むためには、子ども特有のニーズに対応することが不可欠である。例えば関係者は、オンラインで学び、遊び、創造することで成長する子どもの自主性を促進するために、いつ、どこで、どのようにペアレンタルコントロールによって子どもの興味をサポートするかを検討すべきである。
Empowering individuals and communities with metaverse literacy: Establishing and enabling metaverse literacy is fundamental for putting human-first design principles into practice. Literacy efforts should target different education levels, be omnichannel in delivery and be customized to be persona- or demographic- specific to best empower all individuals. メタバース・リテラシーで個人とコミュニティに力を与える: メタバース・リテラシーを確立し可能にすることは、人間優先の設計原則を実践するための基本である。リテラシー向上への取り組みは、さまざまな教育レベルを対象とし、オムニチャネルで提供され、すべての個人に最適な力を与えるために、ペルソナやデモグラフィックに合わせてカスタマイズされるべきである。
Future technology considerations: While reliance on generative AI could build efficiency in populating the metaverse with infrastructure, buildings, art, personas and other objects, there is a safety risk inherent in building parts of the metaverse without responsible AI practices. 将来のテクノロジーに関する考察: 生成的AIに頼ることで、インフラ、建物、アート、ペルソナ、その他のオブジェクトをメタバースに投入する際の効率性を構築できるかもしれないが、責任あるAIの実践なしにメタバースの一部を構築することには、安全性のリスクが内在している。
This paper highlights the importance of global cooperation and collaboration among academics, policy-makers, product design teams and regulators. It calls for a collective effort to establish metaverse literacy programmes and comprehensive frameworks that safeguard the privacy, security and rights of individuals in this dynamic digital environment. 本稿では、学者、政策立案者、製品設計チーム、規制当局の世界的な協力と連携の重要性を強調する。このダイナミックなデジタル環境における個人のプライバシー、セキュリティ、権利を保護するメタバース・リテラシー・プログラムと包括的なフレームワークを確立するための集団的努力を求めるものである。
By highlighting