« July 2023 | Main | September 2023 »

August 2023

2023.08.31

NIST SP 800-50 Rev. 1(初期公開ドラフト)サイバーセキュリティとプライバシーの学習プログラムの構築

こんにちは、丸山満彦です。

サイバーセキュリティとプライバシーの学習プログラムの構築についてのSP800−50の改訂で、訓練に関する文書であるSP800-16は合わされて廃止されるようですね。。。SP800-16は1998年4月ですので、PDFファイルが渋いですね。。。どうでもいいことですが...

 

NIST - ITL

・2023.08.28 Building a Cybersecurity and Privacy Learning Program: NIST Releases Draft SP 800-50 Rev. 1

Building a Cybersecurity and Privacy Learning Program: NIST Releases Draft SP 800-50 Rev. 1 サイバーセキュリティとプライバシーの学習プログラムを構築する: NIST は SP 800-50 改訂 1 版のドラフトを公開した。
Draft NIST Special Publication (SP) 800-50r1 (Revision 1), Building a Cybersecurity and Privacy Learning Program, is now available for public comment. The document was first published in 2003 as Building an Information Technology Security Awareness and Training Program. The public comment period for this draft is open through October 27, 2023. NIST 特別刊行物(SP)800-50r1(改訂 1)のドラフト版「サイバーセキュリティとプライバシーの学習プログラムの構築」が、現在パブリックコメント用に公開されている。この文書は、2003年に「情報技術セキュリティ意識向上およびトレーニングプログラムの構築」として最初に発行された。このドラフトに対するパブリックコメント期間は2023年10月27日までである。
About NIST SP 800-50r1: NIST SP 800-50r1 について:
Cybersecurity awareness and training resources, methodologies, and requirements have evolved since NIST SP 800-50 was introduced in 2003. New guidance from the National Defense Authorization Act (NDAA) for FY2021 and the Cybersecurity Enhancement Act of 2014 have informed this revision. In addition, the 2016 update to Office of Management and Budget (OMB) Circular A-130 emphasizes the role of both privacy and security in the federal information life cycle and requires agencies to have both security and privacy awareness and training programs. Additionally, the NICE Workforce Framework for Cybersecurity (NICE Framework), which was published as NIST SP 800-181 in 2017 and revised in 2020, further informed the development of the draft of SP 800-50. サイバーセキュリティ意識向上およびトレーニングのリソース、方法論、および要件は、2003 年に NIST SP 800-50 が発表されて以来、進化してきた。2021年度の国防権限法(NDAA)と2014年のサイバーセキュリティ強化法からの新しいガイダンスが今回の改訂に反映されている。さらに、行政管理予算局(OMB)回覧 A-130の2016年の更新は、連邦情報のライフサイクルにおけるプライバシーとセキュリティの両方の役割を強調し、セキュリティとプライバシーの両方の意識向上およびトレーニングプログラムを持つことを機関に要求している。さらに、2017年にNIST SP 800-181として公表され、2020年に改訂されたサイバーセキュリティのためのNICEワークフォースフレームワーク(NICE Framework)は、SP 800-50のドラフトの開発にさらに影響を与えた。
Work on a companion guide — NIST SP 800-16r3, Information Technology Security Training Requirements: A Role- and Performance-Based Model — will cease and the original NIST SP 800-16 (1998) will be withdrawn with the final publication of NIST SP 800-50r1. 関連ガイドであるNIST SP 800-16r3「情報技術セキュリティ訓練要件」の作業も行われた: NIST SP 800-16(1998)は、NIST SP 800-50r1の最終発行をもって廃止される。

 

・2023.08.28 NIST SP 800-50 Rev. 1 (Initial Public Draft) Building a Cybersecurity and Privacy Learning Program

NIST SP 800-50 Rev. 1 (Initial Public Draft) Building a Cybersecurity and Privacy Learning Program NIST SP 800-50 Rev. 1(初期公開ドラフト)サイバーセキュリティとプライバシーの学習プログラムの構築
Announcement 発表
Cybersecurity awareness and training resources, methodologies, and requirements have evolved since NIST SP 800-50 was introduced in 2003. New guidance from the National Defense Authorization Act (NDAA) for FY2021 and the Cybersecurity Enhancement Act of 2014 have informed this revision. In addition, the 2016 update to Office of Management and Budget (OMB) Circular A-130 emphasizes the role of both privacy and security in the federal information life cycle and requires agencies to have both security and privacy awareness and training programs. Additionally, the NICE Workforce Framework for Cybersecurity (NICE Framework), which was published as NIST SP 800-181 in 2017 and revised in 2020, further informed the development of the draft of SP 800-50. 2003年にNIST SP 800-50が導入されて以来、サイバーセキュリティ意識向上およびトレーニングのリソース、方法論、および要件は進化してきた。2021年度の国防権限法(NDAA)と2014年のサイバーセキュリティ強化法からの新しいガイダンスは、この改訂に影響を与えた。さらに、行政管理予算局(OMB)回覧 A-130の2016年の更新は、連邦情報のライフサイクルにおけるプライバシーとセキュリティの両方の役割を強調し、セキュリティとプライバシーの両方の意識向上およびトレーニングプログラムを持つことを機関に要求している。さらに、2017年にNIST SP 800-181として公表され、2020年に改訂されたサイバーセキュリティのためのNICEワークフォースフレームワーク(NICE Framework)は、SP 800-50のドラフトの開発にさらに影響を与えた。
Work on a companion guide — NIST SP 800-16r3, Information Technology Security Training Requirements: A Role- and Performance-Based Model — will cease and the original NIST SP 800-16 (1998) will be withdrawn with the final publication of NIST SP 800-50r1. 関連ガイドであるNIST SP 800-16r3「情報技術セキュリティ訓練要件」の作業も行われた: NIST SP 800-16(1998)は、NIST SP 800-50r1の最終発行をもって廃止される。
Goals of this update: この更新の目標
Integrate privacy with cybersecurity in the development of organization-wide learning programs 組織全体の学習プログラムの開発において、プライバシーとサイバーセキュリティを統合する。
Introduce a life cycle model that allows for ongoing, iterative improvements and changes to accommodate cybersecurity, privacy, and organization-specific events サイバーセキュリティ、プライバシー、組織固有の事象に対応するために、継続的かつ反復的な改善と変更を可能にするライフサイクルモデルを導入する。
Introduce a learning program concept that incorporates language found in other NIST documents NIST の他の文書に見られる文言を取り入れた学習プログラムの概念を導入する。
Leverage current NIST guidance and terminology in reference documents, such as the NICE Workforce Framework for Cybersecurity, the NIST Cybersecurity Framework, the NIST Privacy Framework, and the NIST Risk Management Framework NICE Workforce Framework for Cybersecurity」、「NIST Cybersecurity Framework」、「NIST Privacy Framework」、「NIST Risk Management Framework」などの参考文書にある現行の NIST のガイダンスや用語を活用する。
Propose an employee-focused cybersecurity and privacy culture for organizations 組織の従業員に焦点を当てたサイバーセキュリティとプライバシーの文化を提案する。
Integrate learning programs with organizational goals to manage cybersecurity and privacy risks サイバーセキュリティとプライバシーのリスクを管理するために、学習プログラムを組織の目標と統合する。
Address the challenge of measuring the impacts of cybersecurity and privacy learning programs サイバーセキュリティとプライバシーの学習プログラムの影響を測定するという課題に取り組む。
... ...
Abstract 概要
This publication provides guidance for federal agencies and organizations to develop and manage a lifecycle approach to building a cybersecurity and privacy learning program (hereafter referred to as CPLP). The approach is intended to address the needs of large and small organizations as well as those building an entirely new program. The information leverages broadly accepted standards, regulations, legislation, and best practices. The recommendations are customizable and may be implemented as part of an organization-wide process that manages awareness, training, and education programs for a diverse set of employee audiences. The guidance also includes suggested metrics and evaluation methods in order that the program be regularly improved and updated as needs will evolve. 本書は、連邦政府機関および組織が、サイバーセキュリティおよびプライバシー学習プログラム(以下、CPLP)を構築するためのライフサイクルアプローチを開発および管理するためのガイダンスを提供する。本アプローチは、大規模な組織や小規模な組織、まったく新しいプログラムを構築する組織のニーズに対応することを意図している。情報は、広く受け入れられている標準、規制、法律、ベストプラクティスを活用している。提言はカスタマイズ可能であり、多様な従業員を対象とした意識向上およびトレーニングプログラムを管理する組織全体のプロセスの一部として実施することができる。また、本ガイダンスには、ニーズの変化に応じてプログラムを定期的に改善・更新できるよう、指標や評価方法の提案も含まれている。

 

・[PDF] NIST.SP.800-50r1

20230831-163710

 

目次...

Executive Summary 要旨
1.  Introduction 1.  序文
1.1.  Purpose 1.1.  目的
1.2.  Scope 1.2.  適用範囲
1.3.  The CPLP Life Cycle 1.3.  CPLPのライフサイクル
1.4.  Developing a Cybersecurity and Privacy Culture 1.4.  サイバーセキュリティとプライバシー文化の発展
1.5.  Relationship Between Cybersecurity and Privacy 1.5.  サイバーセキュリティとプライバシーの関係
1.6.  Privacy Risk Management Concepts to Emphasize 1.6.  重視すべきプライバシーリスク・マネジメントの概念
1.7.   Coordinating Cybersecurity and Privacy Learning Efforts 1.7.   サイバーセキュリティとプライバシーの学習努力の調整
1.8.  Roles and Responsibility 1.8.  役割と責任
1.8.1. Organization Head 1.8.1. 組織の長
1.8.2. Senior Leadership 1.8.2. シニア・リーダーシップ
1.8.3. Learning Program Manager 1.8.3. 学習プログラムマネージャー
1.8.4. Managers 1.8.4. マネージャー
2.  The CPLP Plan and Strategy 2.  CPLP計画と戦略
2.1.  Building the Strategic Plan 2.1.  戦略計画の構築
2.2.  Develop CPLP Policies and Procedures 2.2.  CPLPの方針と手順を策定する
2.3.  Aligning Strategies, Goals, Objectives, and Tactics 2.3.  戦略、目標、目的、戦術の調整
2.4.  Determining CPLP Measurements and Metrics 2.4.  CPLPの評価指標を決める
2.5.  Learning Program Participants 2.5.  学習プログラムの参加者
2.5.1. All Users 2.5.1. 全ユーザー
2.5.2. Privileged Users 2.5.2. 特権ユーザー
2.5.3. Staff with Significant Cybersecurity or Privacy Responsibilities 2.5.3. サイバーセキュリティまたはプライバシーに重大な責任を持つスタッフ
2.5.4. Determining Who Has Significant Cybersecurity and Privacy Responsibilities 2.5.4. 誰がサイバーセキュリティ及びプライバシーの重要な責任を有するかの決定
2.6.  Determining Scope and Complexity 2.6.  範囲と複雑さの決定
2.7.  The CPLP Elements 2.7.  CPLP の要素
2.7.1. Awareness Activities 2.7.1. 啓蒙活動
2.7.2. Practical Exercises 2.7.2. 実践的エクササイズ
2.7.3. Training 2.7.3. トレーニング
2.8.  Establishing the CPLP Plan Priorities 2.8.  CPLP計画の優先順位の確立
2.9.  Developing the CPLP Plan 2.9.  CPLP計画の策定
2.10.  CPLP Resources 2.10.  CPLPリソース
2.10.1. Establishing a CPLP Budget 2.10.1. CPLP予算の設定
2.10.2. CPLP Staff and Locations 2.10.2. CPLPのスタッフと場所
2.11.  Communicating the Strategic Plan and Program Performance 2.11.  戦略計画とプログラム実績のコミュニケーション
3.  Analysis and Design of the CPLP 3.  CPLPの分析と設計
3.1.  Analysis Phase 3.1.  分析段階
3.1.1. The Importance of the Analysis Phase 3.1.1. 分析フェーズの重要性
3.1.2. The Steps of the Analysis Phase 3.1.2. 分析フェーズのステップ
3.2.  Designing the CPLP 3.2.  CPLPの設計
3.2.1. The Steps of the Design Phase 3.2.1. 設計段階のステップ
3.2.2. Design Document 3.2.2. 設計文書
3.3.  Conduct an Environmental Scan of Available Training 3.3.  利用可能なトレーニングの環境スキャンを行う
3.3.1. External Sources of CPLP Material 3.3.1. CPLP教材の外部情報源
3.3.2. Internal Sources of CPLP Material 3.3.2. CPLP教材の内部情報源
3.4.  Identify Learning Objectives: From Analysis to Design 3.4.  学習目標を識別する: 分析から設計へ
3.4.1. Examples of Identifying Learning Objectives 3.4.1. 学習目標の識別の例
3.5.  Summarize CPLP or Element Requirements 3.5.  CPLPまたは要素の要件をまとめる
4.  Development and Implementation of the CPLP 4.  CPLPの開発と実施
4.1.  Developing CPLP Material 4.1.  CPLP資料を作成する
4.1.1. Create a Requirements Document for Sourcing New Material 4.1.1. 新しい教材を調達するための要求文書を作成する
4.1.2. Developing the All User Learning Program 4.1.2. 全ユーザー学習プログラムを開発する
4.1.3. Developing a Privileged Users Learning Program 4.1.3. 特権ユーザー学習プログラムの開発
4.1.4. Developing a Learning Program for Those With Significant Cybersecurity and Privacy Responsibilities 4.1.4. サイバーセキュリティとプライバシーに重大な責任を持つ者のための学習プログラムの開発
4.2.  Implementing New CPLP Elements 4.2.  新しい CPLP 要素の実装
4.2.1. Steps for Implementing a new CPLP Element 4.2.1. 新しい CPLP 要素を実施するためのステップ
4.3.  Communicating the CPLP Implementation 4.3.  CPLPの実施をコミュニケーションする
4.4.  Establishing Reporting and Metrics Requirements for CPLP Elements 4.4.  CPLP要素に対する報告および測定基準の要件を確立する
4.5.  Building a CPLP Schedule 4.5.  CPLPスケジュールを立てる
4.6.  Determining Post-Implementation Activities 4.6.  実施後の活動の決定
5.  Assessment and Improvement of the CPLP 5.  CPLPの評価と改善
5.1.  Steps for Assessing and Improving the CPLP 5.1.  CPLPの評価と改善のステップ
5.2.  Create a CPLP Assessment Report 5.2.  CPLP評価報告書を作成する
5.2.1. Compliance Reporting 5.2.1. コンプライアンス報告
5.3.  Evaluating CPLP Effectiveness 5.3.  CPLPの効果を評価する
5.3.1. Instructor Evaluation 5.3.1. インストラクターの評価
5.3.2. Learner Performance and Feedback 5.3.2. 学習者のパフォーマンスとフィードバック
5.3.3. Review of the CPLP Assessment Report With Senior Leadership 5.3.3. シニアリーダーシップによるCPLP評価報告書のレビュー
5.4.  Continuous Monitoring and Improvement 5.4.  継続的なモニタリングと改善
References 参考文献
Appendix A. Examples of Cybersecurity and Privacy Learning Program Maturity Levels 附属書 A. サイバーセキュリティとプライバシーの学習プログラムの成熟度レベルの例
Appendix B. Glossary 附属書 B. 用語集

 

要旨(エグゼクティブサマリー)

Executive Summary  要旨 
Ensuring that an organization’s workforce is aware of and prepared to respond appropriately and effectively to cybersecurity and privacy risk is an important effort that requires a strategic approach based on thoughtful planning, resource considerations, and leadership-driven decision making. This long-awaited update to the 2003 NIST Special Publication (SP) 800-50, Building an Information Technology Security Awareness and Training Program, provides guidance that includes awareness, role-based training, and education programs. These programs combine to create an overall Cybersecurity and Privacy Learning Program (CPLP) that supports federal requirements and incorporates industry-recognized best practices for risk management.   組織の従業員がサイバーセキュリティとプライバシーのリスクを認識し、適切かつ効果的に対応できるよう準備することは、綿密な計画、リソースの考慮、リーダーシップ主導の意思決定に基づく戦略的アプローチを必要とする重要な取り組みである。2003年のNIST特別刊行物(SP)800-50「情報技術セキュリティ意識向上およびトレーニングプログラムの構築」の待望の更新版である本書は、意識向上、役割に応じたトレーニング、教育プログラムを含むガイダンスを提供する。これらのプログラムを組み合わせることで、連合要件をサポートし、業界で認知されたリスクマネジメントのベストプラクティスを取り入れた、全体的なサイバーセキュリティとプライバシーの学習プログラム(CPLP)が構築される。 
Legislative authority for the creation and maintenance of this Special Publication is derived from the National Defense Authorization Act of 2021 (NDAA) [2] この特別刊行物の作成と保守のための立法権限は、2021 年国防権限法(NDAA)に由来する[2]。
In addition to the statutory responsibilities under FISMA, this Special Publication supports the  FISMAの下での法的責任に加えて、本特別出版物は以下をサポートする。
National Defense Authorization Act of 2021 (NDAA) [2], Development of Standards and Guidelines for Improving Cybersecurity Workforce of Federal Agencies to “publish standards and guidelines for improving cybersecurity awareness of employees and contractors of Federal agencies”[1] Including privacy as a foundational element in this Program reflects the guidance found in the 2016 update to OMB’s Circular A-130:   2021 年国防授権法(NDAA)[2]、「連邦政府機関の職員および請負業者のサイバーセキュリティ意識を改善するための標準およびガイドラインを公表する」ための連邦政府機関のサイバーセキュリティ人材改善のための標準およびガイドラインの開発[1] このプログラムの基礎要素としてプライバシーを含めることは、OMB のサーキュラー A-130 の 2016 年更新に見られるガイダンスを反映している:  
…it also emphasizes the role of both privacy and security in the federal information life cycle. Importantly, the inclusion of privacy represents a shift from viewing security and privacy requirements as merely compliance exercises to understanding security and privacy as crucial and related elements of a comprehensive, strategic, and continuous riskbased program at federal agencies. [1]  また、連邦政府の情報ライフサイクルにおけるプライバシーとセキュリティの両方の役割を強調している。重要なことは、プライバシーを含めることで、セキュリティとプライバシーの要件を単なるコンプライアンスとして捉えるのではなく、セキュリティとプライバシーを連邦政府機関における包括的、戦略的、継続的なリスクベースプログラムの重要かつ関連する要素として理解するようにシフトしたことである。[1] 
Additionally, this update includes elements previously found in NIST SP 800-16, Information Technology Security Training Requirements: A Role- and Performance-Based Model [6]. Previously, NIST SP 800-16 [6] identified the federal agency and organizational work roles that required specialized training for cybersecurity tasks and skills. The relevant content from NIST SP 800-16 has been incorporated into this publication or has been included in NIST SP 800181r1 [3]. As a result, NIST SP 800-16 will be withdrawn upon the release of this publication  さらに、この更新には、以前 NIST SP 800-16「情報技術セキュリティ訓練要件」にあった要素も含まれている: A Role- and Performance-Based Model [6]」にある要素も含まれている。従来、NIST SP 800-16 [6]は、サイバーセキュリティのタスクやスキルに特化した訓練を必要とする連邦機関や組織のワーク・ロールを特定していた。NIST SP 800-16 の関連内容は、本書に組み込まれ、あるいは NIST SP 800181r1 [3]に含まれている。その結果、NIST SP 800-16 は本書のリリースと同時に廃止される。
Everyone in an organization has a role to play in the success of an effective cybersecurity and privacy program. For those whose information technology, cybersecurity, or cybersecurityrelated job responsibilities require additional or specific training, the NICE Workforce Framework for Cybersecurity (NICE Framework)[2] [3] identifies the specific knowledge and skills necessary to perform tasks associated with work roles in these areas.[3]  効果的なサイバーセキュリティとプライバシープログラムの成功には、組織の全員が役割を担っている。情報技術、サイバーセキュリティ、またはサイバーセキュリティに関連する職責を担う人々が、追加的な、または特定の訓練を必要とする場合、NICE Workforce Framework for Cybersecurity(NICE フレームワーク)[2] [3]は、これらの分野の職務に関連するタスクを実行するために必要な特定の知識とスキルを特定する[3]。
Users of this publication will find guidance on the steps necessary to:  本書の利用者は、以下のために必要なステップに関するガイダンスを見つけることができる: 
• Build an effective CPLP for all organizational personnel, including employees and contractors   ・従業員及び請負業者を含むすべての組織要員を対象とした効果的な CPLP を構築する。
• Identify personnel who require advanced training   ・高度な訓練を必要とする要員を識別する。
• Create a methodology for evaluating the program   ・プログラムを評価するための方法を作成する
• Engage in ongoing improvement to the program  ・プログラムの継続的な改善に取り組む
Throughout each section, there are recommendations to enable a program to continually evolve and improve, thereby minimizing risks to the organization.  各セクションを通じて、プログラムが継続的に進化・改善し、組織のリスクを最小化するための推奨事項が記載されている。
This document identifies the phases in the management of a CPLP and is organized as follows:  本書は、CPLP の管理における段階を特定し、以下のように構成されている: 
• Section 1: Introduction  ・セクション1:序文
• Section 2: The CPLP Strategy and Planning Process  ・セクション2:CPLP戦略と計画プロセス
• Section 3: Analyzing and Designing the CPLP   ・セクション3:CPLPの分析と設計
• Section 4: Development and Implementation of the CPLP   ・第4節 CPLPの開発と実施
Section 5: Assessing and Improving the CPLP  第5節:CPLPの評価と改善 
[1] Section 9402 of FY 21 NDAA, Development of Standards and Guidelines for Improving Cybersecurity Workforce of Federal Agencies, amends the NIST Act as follows: “(b): PUBLICATION OF STANDARDS AND GUIDELINES ON CYBERSECURITY AWARENESS. Not later than three years after the date of the enactment of this Act, the Director of the National Institute of Standards and Technology shall publish standards and guidelines for improving cybersecurity awareness of employees and contractors of federal agencies.”  [1] 21 年度 NDAA の第 9402 条「連邦省庁のサイバーセキュリティ人材改善のための標準と ガイドラインの開発」は、NIST 法を以下のように改正する: "(b): (b):サイバーセキュリティ意識に関する標準とガイドラインの公表。(b):サイバーセキュリティ意識に関する標準およびガイドラインの公表。"この法律の制定日から 3 年以内に、国立標準技術研究所所長は、連邦機関の職員および請負業者のサイバーセキュリティ意識を改善するための標準お よびガイドラインを公表するものとする。
[2] National Initiative for Cybersecurity Education (NICE) is led by NIST in the US Department of Commerce.   [2] サイバーセキュリティ教育のための国家イニシアティブ(NICE)は、米国商務省のNISTが主導している。 
[3] As of the time of development of this publication, NIST is in the process of a privacy workforce development effort to create a privacy companion to NICE.  [3] 本書の作成時点では、NIST は NICE のプライバシー関連資料を作成するために、プライバシー人材育成の取り組みを進めている。

 

 

 

 


関連...

OMB関連

OMB Circular A-130

 

SP800関連

・1998.04.01 NIST SP 800-16 Information Technology Security Training Requirements: a Role- and Performance-Based Model

・・[PDF] NIST.SP.800-16

20230831-171146

 

・202.11.16 NIST SP 800-181 Rev. 1  Workforce Framework for Cybersecurity (NICE Framework)

・[PDF] NIST.SP.800-181r1

20230831-171740

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.06.24 NIST NISTIR 8355 NICE フレームワーク能力領域: 即戦力となる人材の準備

・2021.12.16 NISTIR 8355 (Draft) NICE Framework Competencies: Assessing Learners for Cybersecurity Work (2nd Draft)

・2021.03.19 NISTIR 8355 (Draft) NICE Framework Competencies: Assessing Learners for Cybersecurity Work

・2020.11.17 NIST SP 800-181 Rev. 1 Workforce Framework for Cybersecurity (NICE Framework)

・2020.07.17 NIST SP 800-181 Rev. 1 (Draft) Workforce Framework for Cybersecurity (NICE Framework)

・2016.11.15 NIST SP800-181 NICE Cybersecurity Workforce Framework (NCWF)

 

 

 

| | Comments (0)

NATO CCDCoE 国家CERT/CSIRT - 権限と組織に関する文書

こんにちは、丸山満彦です。

NATOのCCDCoEが、国家CERT/CSIRT - 権能と組織に関する文書を公表していますね。。。

興味深いので、読んでみますかね。。

National CERT/CCと軍のCERTとの協力とか。。。アンケートによる回答があまり得られていない、いろんなガバナンスモデルがあるので一概には言えないが、一定の協力関係があるという感じですかね。。。

    Yes No N/A
1 あなたの国は、国の CERT/CSIRTsと軍隊の各チーム(該当する場合、情報部門を含む)の間で締結された協力協定または MoU があるか 9 5 1
2 どのようなトピックを取り上げているか      
(1) 脅威情報共有 9 3 1
(2) IoC共有 9 3 1
(3) インシデントハンドリング 9 2 2
(4) 能力構築 6 4 5
(5) 共同訓練・演習 9 2 2
(6) その他 5 3 7

 

NATO - CCDCoE

・2023.08.29 National CERT/CSIRT – Mandate and Organisation paper

National CERT/CSIRT – Mandate and Organisation paper 国家 CERT/CSIRT - 権限と組織に関するペーパー
This study explores the regulatory frameworks governing the functioning of national CERT/CSIRT capabilities across NATO countries. Special focus has been given to civilian/military cooperation and the incorporation of military capabilities into national crisis management mechanisms. The conclusions are based on desk research complemented by outcomes of a questionnaire-based survey among the member states of the NATO CCDCOE. Further information has been acquired through informal interviews with national representatives during the research period. The interest of the research was in peacetime situations and cyber operations under the threshold of use of force. この研究は、NATO 諸国における国家 CERT/CSIRT 能力の機能を統治する規制の枠組みを探 るものである。特に、文民/軍事の協力と、国家危機管理メカニズムへの軍事能力の組み込みに重点を置いている。結論は、NATOのCCDCOE加盟国を対象としたアンケート調査の結果を補完した机上調査に基づいている。さらなる情報は、調査期間中に各国代表者との非公式なインタビューを通じて得たものである。調査の対象は平時の状況と武力行使の閾値の下でのサイバー作戦である。
The report contains three substantive sections. First, it looks in general at the cyber security governance frameworks in the target countries, identifying their main responsibilities and competent authorities, and further discusses the role of civilian and military CERT/CSIRTs in terms of their constituencies and their place in national crisis management mechanisms. The second section explores examples of civilian-military cooperation at both national and international levels. Mindful of the sensitivity, our primary aim was to determine whether such cooperation existed and, if so, then what categories of activity were covered in general. The paper presents the results as an aggregate and does not necessarily make country-specific attributions. The final section of the report seeks to formulate recommendations for better crisis management and cyber security that might stem from the parallel existence of CERT/CSIRT capabilities across national civilian and military environments. 報告書には3つの実質的なセクションがある。第一に、対象国のサイバーセキュリティガバナンスの枠組みを概観し、その主な責任と所管官庁を特定し、さらに文民および軍CERT/CSIRTの役割について、その構成員と国家危機管理メカニズムにおける位置づけの観点から論じている。第 2 章では、国内および国際レベルでの文民軍協力の事例を探る。このような協力が存在するのかどうか、また存在するとすればどのようなカテゴリーが一般的な活動なのかを明らかにすることが第一の目的である。本報告書では、結果を総体として示し、必ずしも国別の帰属を示すものではない。報告書の最後のセクションは、各国の文民・軍事環境を横断する CERT/CSIRT 能力の並列的な存在に起因すると思われる、より良い危機管理とサイバーセキュリティのための提言を策定することを目的としている。
Our research shows that all responding states have civil-military digital/cyber cooperation established at the national level, either by law or under specific agreements and arrangements, confirm that these states are not working within a cyber security vacuum and will collaborate as or when needed or required. Nevertheless, the cooperation frameworks appear to largely reflect the traditional model of the deployment of armed forces on home soil in peacetime, i.e., in a limited supportive role when dealing with large scale emergencies. That, however, often implies specific legal procedures, such as declaring a state of emergency, a state of war or other formal approval procedures ascending to the highest executive or legislative levels. Such structures of governance might prove cumbersome, if not outright counterproductive, in a cyber context. 我々の調査によると、すべての対応国は、法律または特定の協定や取り決めによって、国家レベルで文民・軍事のデジタル/サイバー協力を確立しており、これらの国がサイバーセキュリティの真空地帯で活動しているわけではなく、必要なとき、または必要とされるときに協力することが確認された。とはいえ、こうした協力の枠組みは、平時における軍隊の自国への配備、すなわち大規模な緊急事態に対処する際の限定的な支援という、伝統的なモデルを大きく反映しているように見える。しかし、そのためには、緊急事態や戦争状態の宣言、あるいは行政や立法の最高レベルまでの正式な承認手続きなど、特定の法的手続きが必要となることが多い。このようなガバナンスの仕組みは、サイバーコンテキストにおいては、逆効果とまではいかなくても、面倒なものになるかもしれない。
The collaborative aspect of civilian authorities and their military counterparts indicates potential nonetheless, particularly when taking into account the limited human and financial resources states available in the context of cyber security. It is notable that many states also have international cooperation arrangements, be they bilateral or multilateral, serving as yet further confirmation of the borderless nature of cyberspace and the threats it enables to spread. それにもかかわらず、文民当局と軍事当局の協力体制は、特にサイバー・セキュリティの文脈で国家が利用できる人的・財政的資源が限られていることを考慮すると、その可能性を示している。また、多くの国家が、二国間であれ多国間であれ、国際協力の取り決めを行っていることは注目に値する。これは、サイバースペースのボーダーレスな性質と、それによって広がる脅威をさらに裏付けるものである。
Based on the findings, a set of recommendations is made for a further strengthening of civil/military cooperation within national cyber incident response capabilities. 調査結果に基づき、各国のサイバーインシデント対応能力における文民・軍事の協力をさらに強化するための一連の提言がなされている。

 

 

・[PDF]

20230831-55245

・[DOCX] 仮訳

 

 

1.  Abstract 1. 概要
2.  Introduction 2. 序文
3.  National cyber security governance 3. 政府のサイバーセキュリティ・ガバナンス
3.1  Who is responsible for cyber security? 3.1 誰がサイバーセキュリティに責任を持つのか?
3.2  National CERTs/CSIRTs as the pillars of critical information infrastructure protection 3.2 重要情報インフラ保護の柱としての国家CERTs/CSIRTs
3.3  Armed forces and the place of their incident response teams in the national cyber security governance structure 3.3 国家サイバーセキュリティ・ガバナンス構造における軍隊とそのインシデント対応チームの位置づけ
4.  CIV/MIL cooperation in cyber security 4.  サイバーセキュリティにおける CIV/MIL 協力
4.1  National cooperation 4.1 国内協力
4.2  International cooperation 4.2 国際協力
5.  Conclusions – gaps, opportunities and recommendations 5. 結論 - ギャップ、機会、提言
6.  References 6. 参考文献
7. Annex – Survey questions 7. 附属書-アンケートの質問事項

 

 

| | Comments (0)

2023.08.30

日本ネットワークセキュリティ協会 (JNSA) 「日本におけるソフトウェアサプライチェーンとSBOMのこれから」「ゼロトラストと標準化」

こんにちは、丸山満彦です。

JNSAが、「日本におけるソフトウェアサプライチェーンとSBOMのこれから」「ゼロトラストと標準化」という2つのセミナーの資料を公開してくれていますね。。。

参考になる部分も多いと思います!

 

SBOMもゼロトラストもキーポイントは自動化です。数多くの攻撃から組織を守るためには、自動化が欠かせないということで、手動管理ではなく、自動化です。

 

 

1_20230830060301

 

日本ネットワークセキュリティ協会 (JNSA)

 

SBOM関係調査研究部会 IoTセキュリティワーキンググループ (2023.08.25開催)

2023.8.28 日本におけるソフトウェアサプライチェーンとSBOMのこれから

ざっとこんな感じ...


 

・・経済産業省 商務情報政策局 サイバーセキュリティ課 課長補佐
  飯塚 智氏

・[PDF] SBOMに関する国内外の最新動向および日本の取組について

20230830-60711

  • SBOMに関する国内外の最新動向、経済産業省におけるOSSを含むソフトウェアのセキュリティ確保に向けた取組等

 

・・一般社団法人 Japan Automotive ISAC 技術委員会 委員長 
  マツダ(株)MDI&IT本部 主査(グローバルセキュリティ担当)
  山﨑 雅史氏

・[PDF] クルマのソフトウェア化に伴う、セキュリティ要件と求められる対応

20230830-60724

  • クルマのソフトウェア化に伴う「規制・標準」の各国動向
  • 継続的サイバーセキュリティ活動の重要性とその中でのSBOMの活用に向けて業界としての課題と今後

 

・・一般般社団法人 電子情報技術産業協会 ヘルスケアインダストリ部会 医療用ソフトウェア専門委員会 委員長
  日本光電工業(株) 技術戦略本部 
  松元 恒一郎氏

・[PDF] 医療機器におけるサイバーセキュリティ対策とSBOMの活用

20230830-60752

  • 医療機器規制の国際調和を目指すIMDRFから「医療機器サイバーセキュリティの原則と実践」に関するガイダンスが2020年発行され、日本でも薬機法による規制にこのガイダンスを取り入れ、2023年3月付けで通知されました。この中でSBOMについても言及され、機器に実装される商用、オープンソース及び市販のソフトウェア部品のサイバーセキュリティに関する情報及びサポートの重要性も示されています。

 

・・Software ISAC OSS委員会 副委員長 
  鈴木 康弘氏(株式会社アシュアード)

・[PDF] SBOMの継続的な運用フローとリスク管理手法

20230830-60808

  • 継続的可能な運用フローの構築や、SBOMを活用したリスク管理手法を解説


 

ゼロトラスト関係 - 標準化部会(2023.08.23開催)

・2023.08.25 ゼロトラストと標準化

 


・・デジタル庁 戦略・組織グループ セキュリティ危機管理チーム セキュリティアーキテクト
  満塩 尚史氏 

・[PDF] デジタル庁におけるゼロトラストアーキテクチャへの取り組み

20230830-60833

  • ガイドラインや技術レポートを紹介
  • デジタル庁におけるゼロトラストアーキテクチャを推進する取組(ゼロトラストアーキテクチャ適用方針、常時リスク診断・対処、属性ベースアクセス制御等の)について紹介

 

・・JNSA 標準化部会 副部会長 
  松本 泰(セコム株式会社)

・[PDF] ゼロトラストと標準化部会の活動の関係について

20230830-60841

  • JNSAの標準化部会の4つのワーキンググループの活動の概観を説明

 

・・日本ISMSユーザグループ リーダー:
  魚脇 雅晴(エヌ・ティ・ティ・コミュニケーションズ株式会社)

・[PDF] ゼロトラストとISMS

20230830-60900

  • 本講演ではゼロトラストの歴史
  • ISMS(マネジメントシステム)との関係(技術とマネジメントシステムという両輪)について解説

 

・・デジタルアイデンティティワーキンググループ リーダー:
  宮川 晃一(日本電気株式会社)

・[PDF] ゼロトラスト環境実現に必要なIGA(アイデンティティガバナンス管理)とPBAC(ポリシーベースアクセス制御)について

20230830-60919

  • アイデンティティ情報を高度に管理するためのIGA(アイデンティティガバナンス管理)
  • 動的に適切なアクセス制御を実現するための方法(PBAC(ポリシーベースアクセス制御))を紹介

 

・・電子署名ワーキンググループ リーダー:
  宮崎 一哉(三菱電機株式会社)

・[PDF] ゼロトラストにとってのデジタル署名 vs. 電子署名にとってのデジタル署名

20230830-60925

  • 「トラスト」の相違とそこに起因するPKIやデジタル署名といった要素技術への要求の違いを紹介

 

・・PKI相互運用技術ワーキンググループ リーダー:
  松本 泰(セコム株式会社)

・[PDF] Always Verifyの実装となるリモートアテステーション

20230830-60932

  • ratsを中心に、進化するゼロトラストアーキテクチャの今後について説明

 

 

 

まるちゃんの情報セキュリティ気まぐれ日記

SBOM関係...

・2023.08.15 ドイツ SBOMの要件...技術ガイドライン TR-03183:製造業者および製品に対するサイバーレジリエンス要件 (2023.08.04)

・2023.08.13 総務省 「ICTサイバーセキュリティ総合対策2023」(案)に対する意見募集の結果及び「ICTサイバーセキュリティ総合対策2023」の公表

・2023.08.01 経済産業省 ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引

・2023.07.15 米国 ホワイトハウス サイバーセキュリティ戦略実施計画

・2023.07.07 総務省 「ICTサイバーセキュリティ総合対策2023」(案)に対する意見募集

・2023.07.03 OWASP SBOMガイダンス CycloneDX v1.5 (2023.06.23)

・2023.04.25 米国 CISA SBOM関連の二文書

・2023.04.18 国際医療機器規制当局フォーラム 「レガシー医療機器のサイバーセキュリティのための原則と慣行」「医療機器サイバーセキュリティのためのSBOMの原則と実践」 (2023.04.11, 04.13)

・2023.03.04 米国 国家サイバーセキュリティ戦略を発表

・2023.02.21 英国 NCSC サプライチェーン・マッピングのガイダンスを公表しています。。。(2023.02.16)

・2023.02.05 ソフトウェアサプライチェーンリスクの軽減策について...

・2022.11.12 NIST ホワイトペーパー【プロジェクト概要】ソフトウェアサプライチェーンとDevOpsのセキュリティ実践:リスクベースアプローチによるDevSecOpsの実践

・2022.10.06 米国 CISA 拘束的運用指令23-01 - 連邦ネットワークにおける資産の可視化と脆弱性検出の改善

・2022.09.18 米国 行政管理予算局 (0MB) ソフトウェアサプライチェーンのセキュリティ強化 を公表

・2022.07.26 NIST White Paper (Draft) [プロジェクト概要] ソフトウェアサプライチェーンとDevOpsセキュリティの実践:リスクベースアプローチによるDevSecOpsの実践

・2022.07.16 経済産業省 令和3年度委託調査報告書(サイバーセキュリティ関係) 2022.07.14現在

・2022.06.25 NIST SP 1800-34 (ドラフト) コンピューティングデバイスの完全性の検証

・2022.05.08 NIST SP 800-161 Rev. 1 システムと組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントの実践

・2022.02.06 NIST ホワイトペーパー: 大統領令14028条第4e項に基づくソフトウェア・サプライチェーン・セキュリティ・ガイダンス

・2021.12.13 Apache Log4j 2 の脆弱性 (CVE-2021-44228)+ ソフトウェアの管理 + 脆弱性情報の管理

・2021.11.22 英国 サプライチェーンとマネージドサービスプロバイダーのサイバーセキュリティについての質問に対する回答 at 2021.11.15

・2021.10.30 NIST SP 800-161 Rev. 1 (Draft) システムと組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントの実践(第2次ドラフト)

・2021.09.03 NIST SP 1800-34B (ドラフト) コンピューティングデバイスの完全性の検証(初期ドラフト)

・2021.06.27 NIST ソフトウェアサプライチェーンにおける「クリティカル・ソフトウェア」の定義:大統領令14028に応えて...

・2021.06.02 米国 国家のサイバーセキュリティ向上に関する大統領令 (EO 14028) に基づくソフトウェアサプライチェーン管理に関係して。。。

・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令

・2021.05.01 NIST SP 800-161 Rev. 1 (ドラフト) システムと組織のためのサイバー・サプライチェーン・リスク管理の実践

・2020.02.05 NISTがサプライチェーンセキュリティの実践資料のドラフトを公開していますね。。。

 

 

ゼロトラスト(SP1800-35, SP800-207関係)...

まるちゃんの情報セキュリティ気まぐれ日記

1800-35...

・2023.08.24 NIST SP 1800-35(第3次初期ドラフト) ゼロトラストアーキテクチャの実装 Vol.D 機能デモ

・2023.07.23 NIST SP 1800-35(第2次初期ドラフト) ゼロトラストアーキテクチャの実装 (Vol. B, C)

・2022.08.10 NIST SP 1800-35 (ドラフト) ゼロトラストアーキテクチャの実装(初期ドラフト)(Vol. C, D)

・2022.07.09 NIST SP 1800-35 (ドラフト) ゼロトラストアーキテクチャの実装(初期ドラフト)(Vol. B)

・2022.06.07 NIST SP 1800-35 (ドラフト) ゼロトラストアーキテクチャの実装(初期ドラフト)(Vol. A)

 

800-207他

・2023.04.23 NIST SP 800-207A(ドラフト)マルチクラウド環境におけるクラウドネイティブ・アプリケーションにおけるアクセス制御のためのゼロトラストアーキテクチャモデル

・2022.12.12 カナダ サイバーセキュリティセンター 「ゼロトラスト・セキュリティモデル - ITSAP.10.008」

・2022.05.08 NIST ホワイトペーパー CSWP 20 ゼロトラストアーキテクチャのための計画:連邦政府管理者向け計画策定ガイド

・2022.03.15 米国 CISA 意見募集 ゼロトラスト原則のエンタープライズ・モビリティへの適用 (2022.03.07)

・2021.09.09 米国 CISA 意見募集 ゼロトラスト成熟度モデル

・2021.06.30 金融庁 「ゼロトラストの現状調査と事例分析に関する調査報告書」の公表

・2021.03.01 米国国家安全保障局 (NSA) ゼロトラストセキュリティモデルに関するガイダンス

・2020.12.14 PwC Japanが「NIST SP800-207 「ゼロトラスト・アーキテクチャ」の解説と日本語訳」を公表していますね。。。

・2020.08.14 NIST SP 800-207 Zero Trust Architecture

・2020.02.14 NIST SP 800-207(Draft) Zero Trust Architecture (2nd Draft)

 

| | Comments (0)

2023.08.29

米国 ピュー研究所 過半数の米国民はAIに懸念を感じている?そして、ChatGPTを使ったことがある米国民は1/4?

こんにちは、丸山満彦です。

米国のシンクタンクであるピュー研究所 (Pew Reserch Center) [wikipedia] が米国民のAIに関する意識調査をしていますが、ChatGPTに代表される生成的AIが話題になったからか、2022年から2023年にかけて、AIに対する懸念が増加し、ワクワク感が減少しているかのように見えます。。。

一方、ChatGPTを利用したことがある国民は約1/4です。で、若い人はそれなりに使ったことがあるけど、年齢層が高くなると、あまり使ったことがないという感じですね(この傾向も文化には関係ないのかも知れませんねん。。。)

ちなみに、年齢、学歴、性差、支持政党の違いについては昨年に調査しています。。。

 

まずは、AIに関する意識調査...

Pew Reserch Center

・2023.08.28 Growing public concern about the role of artificial intelligence in daily life

 

生成的AIの利用については、

・リコメンデーション機能、自動運転、健康、顧客サービスに期待し、

・プライバシーについては、否定的。警察の利用については拮抗というかんじですかね。。。

学歴が高い層ほど、ほとんどの利用シーンにといて生成的AIにより期待し(例外はプライバシー)ていますね。。。

 

次にChatGPTの利用に関する調査

 

・2023.08.28 Most Americans haven’t used ChatGPT; few think it will have a major impact on their job

 

 

 

ちなみに、昨年実施した、AI全般についての調査(10ウェブページあります)...

・2022.03.17 AI and Human Enhancement: Americans’ Openness Is Tempered by a Range of Concerns

 

 

| | Comments (0)

2023.08.28

米国 CISA 脆弱性情報開示方針プラットフォーム2022年版年次報告書

こんにちは、丸山満彦です。

脆弱性情報開示方針プラットフォーム2022年版年次報告書を公表していますね。。

VDPを導入すると、脆弱性報告件数が劇的に向上したようですね。。。

平均では、導入前の四半期で3件が、導入後は67件に...

 

提出された脆弱性:4,091
トリアージチームがレビューした一意の脆弱性:1,330
トリアージチームが検証した一意の脆弱性:1,119

改善に要した平均日数は平均38日
レビューした脆弱性の84%が改善された

レビューした一意の脆弱性:1,330のうち、

低い/ 情報提供:299
中程度:757
重度:82
重大:192

 

CISA

・2023.08.25 CISA’s VDP Platform 2022 Annual Report Showcases Success

CISA’s VDP Platform 2022 Annual Report Showcases Success CISAのVDPプラットフォーム2022年次報告書が成功を示す
Today, the Cybersecurity and Infrastructure Security Agency (CISA) released its inaugural Vulnerability Disclosure Policy (VDP) Platform 2022 Annual Report, highlighting the service’s progress supporting vulnerability awareness and remediation across the Federal Civilian Executive Branch (FCEB). This report showcases how agencies have used the VDP Platform—launched in July 2021—to safeguard the FCEB and support risk reduction. The VDP platform gives federal agencies a single, user-friendly interface to intake vulnerability information and to collaborate with the public researcher community for vulnerability awareness and remediation. サイバーセキュリティ・インフラセキュリティ庁(CISA)は本日、脆弱性情報開示方針(VDP)プラットフォーム2022年版年次報告書を発表し、連邦文民行政機関(FCEB)全体の脆弱性認識と修復を支援する同サービスの進捗状況を紹介した。この報告書では、2021年7月に開始されたVDPプラットフォームを連邦政府機関がどのように利用し、FCEBを保護し、リスク削減を支援してきたかが紹介されている。VDPプラットフォームは、脆弱性情報を取り込み、脆弱性の認識と是正のために公的研究者コミュニティと協力するための、単一の使いやすいインタフェースを連邦機関に提供する。
CISA urges FCEB agencies to review the VDP Platform 2022 Annual Report and encourages use of the platform to promote good-faith security research if they are not already doing so. By promoting an agency’s VDP to the public security researcher community, the platform benefits users by harnessing researchers’ expertise to search for and detect vulnerabilities that traditional scanning technology might not find. CISAは、FCEB機関に対し、VDPプラットフォーム2022年版年次報告書を確認するよう促し、まだ実施していない場合は、善意のセキュリティ研究を促進するために同プラットフォームを利用するよう奨励する。公的セキュリティ研究者コミュニティに機関のVDPを促進することで、従来のスキャン技術では発見できないような脆弱性を研究者の専門知識を活用して検索・検出することができ、プラットフォームは利用者に利益をもたらす。
CISA is actively seeking to enhance future collaborations with the public security researcher community and welcomes participation and partnership. CISAは、公共セキュリティ研究者コミュニティとの今後の協力関係の強化を積極的に模索しており、参加とパートナーシップを歓迎している。

 

Vulnerability Disclosure Policy (VDP) Platform

Vulnerability Disclosure Policy (VDP) Platform 脆弱性開示ポリシー(VDP)プラットフォーム
Description 説明
Every day, security researchers find and enable remediation of vulnerabilities in products and assets around the world. CISA launched the Vulnerability Disclosure Policy (VDP) Platform in July 2021 to ensure that federal civilian executive branch agencies benefit from the expertise of the research community and effectively implement Binding Operational Directive 20-01, Develop and Publish a Vulnerability Disclosure Policy. The VDP Platform promotes good-faith security research for improved security and coordinated vulnerability disclosure across the Federal Civilian Executive Branch (FCEB). セキュリティ研究者は毎日、世界中の製品や資産の脆弱性を発見し、その改善を可能にしている。CISAは、連邦文民行政機関が研究コミュニティの専門知識の恩恵を受け、拘束的運用指令20-01「脆弱性開示方針の策定と公表」を効果的に実施できるようにするため、2021年7月に脆弱性開示方針(VDP)プラットフォームを立ち上げた。VDPプラットフォームは、連邦文民行政機関(FCEB)全体のセキュリティ改善と協調的な脆弱性開示のための誠実なセキュリティ研究を促進する。
CISA’s VDP Platform helps agencies streamline day-to-day operations when disclosing and managing cyber vulnerabilities. The Platform serves as the primary point of entry for receiving, triaging, and routing vulnerabilities disclosed by public researchers. The VDP Platform enhances information-sharing across the FCEB by improving how agencies receive, track, analyze, report, manage, and communicate potential vulnerabilities. Agencies use the VDP Platform to receive actionable vulnerability information and collaborate with the public to improve the security of their internet-accessible systems. CISAのVDPプラットフォームは、各省庁がサイバー脆弱性を開示・管理する際の日常業務の合理化を支援する。同プラットフォームは、一般研究者が開示した脆弱性の受信、トリアージ、ルーティングを行うための主要な入口として機能する。VDPプラットフォームは、各機関が潜在的脆弱性を受信、追跡、分析、報告、管理、コミュニケーションする方法を改善することで、FCEB全体の情報共有を強化する。各省庁はVDPプラットフォームを利用して、実用的な脆弱性情報を入手し、インターネットにアクセス可能なシステムのセキュリティ改善のために一般ユーザーと協力する。
On Aug 25, 2023, CISA published its inaugural report, VDP Platform 2022 Annual Report, highlighting the agency's progress supporting vulnerability awareness and remediation across the federal enterprise. We are actively seeking to enhance future collaborations with the public security researcher community and welcome participation and partnership. CISA looks forward to the continued improvement and growth of the VDP Platform through 2023 and beyond.  2023年8月25日、CISAは、連邦エンタープライズ全体の脆弱性認識と是正を支援する同機関の進捗状況を紹介する、設立報告書「VDP Platform 2022 Annual Report」を発表した。われわれは、公的セキュリティ研究者コミュニティとの今後の協力関係の強化を積極的に模索しており、参加とパートナーシップを歓迎する。CISAは、2023年以降もVDPプラットフォームの継続的な改善と成長を期待している。
Any agency interested in participating or receiving additional information should contact CISA’s Cybersecurity Shared Services Office VDP Platform Team at [mail] 参加または追加情報の入手に関心のある機関は、CISAのサイバーセキュリティ・シェアードサービス・オフィスVDPプラットフォーム・チーム[mail]
まで連絡されたい。
For more information on the VDP Platform, please reference the following resources. VDPプラットフォームの詳細については、以下のリソースを参照されたい。
VDP Platform Resources VDPプラットフォームのリソース
VDP PLATFORM FACT SHEET ・VDPプラットフォーム・ファクトシート
VDP PLATFORM ANNUAL REPORT ・VDPプラットフォーム年次報告書
Links リンク
VDP PLATFORM 2022 ANNUAL REPORT SHOWCASES PLATFORM'S SUCCESS  ・VDPプラットフォーム2022年次報告書:プラットフォームの成功を紹介する 
VIDEO: VULNERABILITY DISCLOSURE POLICY (VDP) PLATFORM 101  ・ビデオ 脆弱性開示ポリシー(VDP)プラットフォーム101 
CISA ANNOUNCES VULNERABILITY DISCLOSURE POLICY (VDP) PLATFORM  ・CISAは脆弱性開示ポリシー(VDP)プラットフォームを発表した。

 

・[PDF] Fact Sheet

VULNERABILITY DISCLOSURE POLICY PLATFORM FACT SHEET 脆弱性開示方針プラットフォームのファクトシート
BACKGROUND  背景 
The Cybersecurity and Infrastructure Security Agency (CISA) established the Vulnerability Disclosure Policy (VDP) Platform to improve the security of federal agencies’ internet-accessible systems through a centrally managed vulnerability intake system. The VDP Platform was fully authorized to operate in March 2022 and has since furthered:   サイバーセキュリティ・インフラ・セキュリティ庁(CISA)は、一元管理された脆弱性インテーク・システムを通じて連邦政府機関のインターネットにアクセス可能なシステムのセキュリティを改善するため、脆弱性開示ポリシー(VDP)プラットフォームを設立した。VDPプラットフォームは、2022年3月に完全に運用が許可され、それ以来さらに強化されている:  
•   Binding Operational Directive (BOD) 20-01, which requires agencies to develop and publish a VDP;   ・ 拘束的運用指令(BOD)20-01は、各機関にVDPの策定と公開を義務付けている;  
•   BOD 22-01, which focuses on reducing the risk of known exploited vulnerabilities (KEVs); and   ・ BOD 22-01は、既知の脆弱性(KEV)のリスク軽減に重点を置いている。 
•   Executive Order (EO) 14028, “Improving the Nation’s Cybersecurity,” which seeks to improve agency vulnerability management capabilities, among other goals.   ・ 大統領令(EO)14028「国のサイバーセキュリティの改善」は、特に省庁の脆弱性管理能力の向上を目指している。 
PURPOSE  目的 
The VDP Platform promotes good faith security research to achieve improved security and coordinated disclosure across the federal civilian enterprise. The VDP Platform also improves vulnerability detection on federal networks by enabling participating agencies to benefit from timely reporting that, in turn, facilitates prompt remediation. Finally, the VDP Platform helps agencies comply with EO 14028 by generating greater agency user awareness of existing vulnerabilities.    VDP プラットフォームは、誠実なセキュリティ研究を促進し、連邦政府民間エンタープライズ全体 のセキュリティ改善と協調的な情報公開を実現する。また、VDP プラットフォームは、参加機関がタイムリーな報告を受けることで、連邦政府ネットワーク上の脆弱性検知を改善し、迅速な是正を促進する。最後に、VDP プラットフォームは、既存の脆弱性に関するユーザーの認識を高めることで、EO 14028 の遵守を支援する。  
FUNCTIONALITY  機能 
CISA’s VDP Platform provides a primary entry point for vulnerability reporters and alerts participating agencies to potential issues on federal information systems. At a high level, the service:  CISAのVDPプラットフォームは、脆弱性報告者のための主要なエントリー・ポイントを提供し、参加機関に連邦情報システム上の潜在的な問題を警告する。高レベルでは、このサービスは以下のことを行う: 
•   Screens spam and performs base-level validation on submitted reports.  ・スパムを選別し,提出された報告に対して基本レベルの検証を行う。
•   Flags vulnerabilities and links reports that are related by vulnerability type, reporter, and more.  ・ 脆弱性にフラグを付け、脆弱性の種類や報告者などに関連する報告をリンクする。
•   Provides a web-based communication mechanism between reporter and agency.  ・報告者と機関間のウェブベースのコミュニケーション・メカニズムを提供する。
•   Allows users to create and manage role-based accounts for their organization and suborganizations.  ・ユーザが組織およびサブ組織の役割ベースのアカウントを作成および管理できるようにする。
•   Offers an application programming interface to take various actions on vulnerability reports, such as pulling reports into agency ticketing systems.  ・ アプリケーション・プログラミング・インタフェースを提供し、脆弱性レポートに対するさまざまなアクション(レポートを機関の発券システムに取り込むなど)を実行できる。
•   Delivers reporting metrics, minimizing agency burden in complying with BOD 20-01’s requirements.  ・ BOD 20-01の要件に準拠する際の機関の負担を最小化する報告指標を提供する。
•   Alerts reporter and agency users on updates from CISA, based on events of interest and metrics approaching or hitting defined thresholds.  ・関心のあるイベントや,定義されたしきい値に近づいたり当たったりするメトリクスに基づいて,CISAからの更新を報告者や機関のユーザーに警告する。
VALUE 価値
CISA’s VDP Platform offers several benefits for its users, including:  CISAのVDPプラットフォームは、ユーザーに以下のようなメリットを提供する: 
•   Compliance With Federal Requirements: CISA centrally manages the VDP Platform, ensuring compliance with government-wide standards, policy, and business requirements.  連邦要件への準拠: CISAがVDPプラットフォームを一元管理し,政府全体の標準,ポリシー,ビジネス要件へのコンプライアンスを確保する。
•   Reduced Agency Burden: CISA hosts the VDP Platform, manages administrative responsibilities, and provides user management and support. The service includes initial triaging related to validity, which assists with timely validation of reports.  省庁の負担軽減: CISAはVDPプラットフォームをホストし,管理責任を管理し,ユーザー管理とサポートを提供する。このサービスには,有効性に関する初期トリアージが含まれ,レポートのタイムリーな検証を支援する。
•   Improved Information Sharing Across Federal Civilian Enterprise: By enabling CISA to maintain insight into disclosure activities, the VDP Platform improves information sharing across the federal civilian enterprise. Data from the platform has now been incorporated into CISA’s vulnerability management products, such as its Insights reports.   連邦民間エンタープライズ全体の情報共有の改善: CISAが情報開示活動を把握できるようにすることで、VDPプラットフォームは連邦民間エンタープライズ全体の情報共有を改善する。同プラットフォームからのデータは現在、CISAの脆弱性管理製品(Insightsレポートなど)に組み込まれている。 
•   Automated KEVs Support: The VDP Platform facilitates agency compliance with BOD 22-01 by providing automated support to help agencies match submissions with KEVs in the CISA-managed Known Exploited Vulnerabilities Catalog.   自動KEVsサポート: VDPプラットフォームは、CISAが管理するKnown Exploited Vulnerabilities Catalog(既知の脆弱性カタログ)のKEVsと提出書類の照合を支援する自動化されたサポートを提供することで、BOD 22-01への準拠を促進している。 
•   Centralized Access Point for Researchers: Participating agencies can choose to host their VDP on the vendor’s website, generating increased visibility and public researcher engagement opportunities.   研究者のための集中型アクセス・ポイント: 参加機関は,VDPをベンダーのWebサイトでホストすることを選択でき,可視性の向上と一般研究者の参加機会を創出する。
•   Automated Metrics and Reports: The VDP Platform automatically generates reporting metrics to satisfy BOD 20-01 requirements and submits these on behalf of the agency. The service further alleviates reporting burdens by automatically generating the following metrics: 
自動化されたメトリクスとレポート: VDPプラットフォームは、BOD 20-01の要件を満たす報告指標を自動生成し、代理で提出する。このサービスでは、以下の評価指標を自動生成することで、報告の負担をさらに軽減している。
ー  Number of valid reports  ー 有効な報告数
ー  Number of currently open and valid reported vulnerabilities  ー 現在オープンかつ有効な脆弱性の報告数
ー  Median age of open and valid reported vulnerabilities  ー オープンかつ有効な脆弱性報告の年齢中央値
ー Median age of reports older than 90 days  ー 90 日以上経過したレポートの中央値 
ー  Number of currently open and valid vulnerabilities older than 90 days from report receipt  ー レポート受領から 90 日以上経過した、現在オープンかつ有効な脆弱性の数 
ー  Number of all reports older than 90 days, sorted by risk/priority level  ー リスク/優先度レベル別に分類した、90 日以上経過した全報告の件数 
ー  Time needed to validate and mitigate submitted vulnerabilities and reports  ー 提出された脆弱性及びレポートの妥当性確認と低減に要した時間
ー  Time needed to initially respond to the reporter  ー 報告者への初期対応に要する時間
ROLES AND RESPONSIBILITIES  役割と責任 
CISA’s VDP Platform is a software-as-a-service application designed to alert participating agencies about issues on their internet-accessible systems. However, vulnerability remediation on federal information systems will remain the responsibility of the agencies operating those networks. A breakdown of roles is as follows:  CISAのVDPプラットフォームは、インターネットにアクセス可能なシステム上の問題について参加機関に警告するよう設計された、サービスとしてのソフトウェア・アプリケーションである。しかし、連邦政府の情報システムにおける脆弱性の修復は、それらのネットワークを運用する機関の責任に留まる。役割の内訳は以下の通りである: 
•   Vulnerability Reporters: Utilize the VDP Platform as a central place to report vulnerabilities in federal systems of participating agencies.  脆弱性報告者: 参加省庁の連邦システムの脆弱性を報告する中心的な場所として,VDPプラットフォームを活用する。
•   Platform Vendor (EnDyna/Bugcrowd): Provides screening and initial triage to validate vulnerabilities.  プラットフォーム・ベンダー(EnDyna/Bugcrowd): 脆弱性を検証するためのスクリーニングと初期トリアージをプロバイダとして提供する。
•   CISA: Maintains insight into disclosure activities but does not actively participate in disclosure remediation processes. (CISA will have read-only access to all agency reports to view aggregate statistical data and reports.)  CISA: CISA:情報開示活動に対する洞察を維持するが、情報開示の是正プロセスには積極的に参加しない。(CISAは、統計データおよびレポートの集計を閲覧するために、全機関のレポートへの読み取り専用アクセス権を有する)。
•   User Agency: Maintains a separate profile in the VDP Platform. By logging into the platform’s interface, users can see an agency dashboard with a list of submissions and general statistics.  ユーザー機関: VDP プラットフォームで個別のプロファイルを維持する。同プラットフォームのインターフェイスにログインすることで,ユーザは,提出書類のリストおよび一般的な統計情報を含むエージェンシー・ダッシュボードを見ることができる。
SIGN-UP サインアップ
CISA will fund all costs associated with the platform through February 2025. The platform is free to all federal civilian executive branch agencies that fall under CISA’s authorities. CISA will work with agencies to configure VDP Platform service in response to their requests. Any agency interested in participating or receiving additional information should contact [mail]
CISAは2025年2月まで、プラットフォームに関連するすべての費用を負担する。このプラットフォームは、CISAの権限下にある連邦文民行政機関すべてに無料で提供される。CISAは各省庁と協力し、各省庁の要望に応じてVDPプラットフォーム・サービスを構成する。参加または追加情報の入手に関心のある機関は、[mail]

 

・[PDF] VDP PLATFORM ANNUAL REPORT

20230828-144025

 

EXECUTIVE SUMMARY 要旨
The Cybersecurity and Infrastructure Security Agency (CISA) leads the national effort to understand, manage, and reduce risk to our cyber and physical infrastructure. We connect our stakeholders in industry and government to each other and to resources, analyses, and tools to help them build their own cyber, communications, and physical security and resilience, in turn helping to ensure a secure and resilient infrastructure for the American people. サイバーセキュリティ・インフラセキュリティ庁(CISA)は、サイバーおよび物理インフラに対するリスクを理解、マネジメント、低減するための国家的取り組みを主導している。CISAは、産業界と政府の利害関係者を相互に結びつけ、リソース、分析、ツールを提供することで、各自のサイバー、コミュニケーション、物理的セキュリティとレジリエンスの構築を支援し、ひいては米国民のために安全で回復力のあるインフラを確保することに貢献している。
CISA is excited to share the progress achieved by its Vulnerability Disclosure Policy (VDP) Platform that was developed to support vulnerability awareness and remediation across the federal enterprise. The VDP Platform launched in July 2021, and it has since supported the Executive Order on Improving the Nation’s Cybersecurity signed by President Biden on May 12, 2021. The Executive Order tasks federal agencies with rapidly boosting their capability to identify, deter, and respond to the increasingly sophisticated cyber campaigns and malicious actors that threaten the security of public and private systems and data. In collaboration with other CISA services and teams, the VDP Platform aligns to these national cybersecurity priorities by providing a modern, user-friendly interface that strengthens the federal vulnerability management process; increases insight into individual agency vulnerability disclosures; reduces the administrative, triage and reporting burdens agencies face; and, due to CISA’s central visibility throughout the VDP Platform, enhances the sharing of cyber threat intelligence information and best practices. As the first cybersecurity service launched by CISA’s Cybersecurity Shared Services Office (CSSO), the VDP Platform has onboarded 40 agency programs and has received over 1,300 valid disclosures, approximately 85% of which have been remediated. Working across CISA and through collaboration and partnership, the VDP Platform improves vulnerability management and compliance reporting for the federal enterprise. The VDP Platform provides agencies with an ease of access to a worldwide community of public security researchers whose skills and perspectives the agencies may leverage. CISAは、連邦エンタープライズ全体の脆弱性認識と是正を支援するために開発された脆弱性開示方針(VDP)プラットフォームが達成した進展を共有できることをうれしく思う。VDPプラットフォームは2021年7月に開始され、それ以来、2021年5月12日にバイデン大統領が署名した「国家のサイバーセキュリティ改善に関する大統領令」をサポートしてきた。大統領令は、公共および民間のシステムやデータのセキュリティを脅かす、ますます巧妙化するサイバーキャンペーンや悪意ある行為者を特定し、抑止し、対応する能力を迅速に高めることを連邦機関に課している。VDPプラットフォームは、CISAの他のサービスやチームと連携して、連邦政府の脆弱性管理プロセスを強化し、各機関の脆弱性開示に対する洞察を深め、各機関が直面する管理、トリアージ、報告の負担を軽減し、VDPプラットフォーム全体でCISAが一元的に可視化されることにより、サイバー脅威インテリジェンス情報とベストプラクティスの共有を強化する、最新の使いやすいインターフェイスをプロバイダとして提供することで、こうした国家的サイバーセキュリティの優先事項に沿ったものとなっている。CISAのサイバーセキュリティ・シェアード・サービス・オフィス(CSSO)が開始した最初のサイバーセキュリティ・サービスとして、VDPプラットフォームは40の省庁のプログラムに導入され、1,300件以上の有効な情報開示を受け、そのうち約85%は改善されている。VDPプラットフォームは、CISAの枠を超え、協力とパートナーシップを通じて、連邦エンタープライズの脆弱性管理とコンプライアンス報告を改善する。VDPプラットフォームは、公共セキュリティ研究者の世界的コミュニティへのアクセスを容易にするプロバイダであり、そのスキルや視点を活用することができる。

 

目次...

Executive Summary エグゼクティブサマリー
VDP Platform Overview VDPプラットフォームの概要
Background: Why are VDPs Important? 背景 なぜVDPが重要なのか?
Binding Operational Directive 20-01  拘束的運用指令20-01 
The VDP Platform  VDPプラットフォーム 
How the VDP Platform Supports Agencies  VDPプラットフォームはどのようにエージェンシーをサポートするか 
 Strategic Functions  戦略的機能 
VDP Platform Insights   VDPプラットフォームの洞察  
VDP Platform Timeline and Milestones  VDPプラットフォームのタイムラインとマイルストーン 
Potential Cost Savings Estimates   コスト削減の可能性  
Impact and Severity of the Top Vulnerability Types  上位脆弱性タイプの影響度と深刻度 
Success Story Spotlights: Agencies and Researcher Communities  サクセスストーリーのスポットライト 機関および研究者コミュニティ 
VDP Platform’s Bug Bounty Capability   VDPプラットフォームのバグ報奨金機能  
What is a Bug Bounty? 7 バグ報奨金とは何か?7
How the VDP Platform Supports Bug Bounties  VDPプラットフォームがバグ報奨金をサポートする仕組み 
The VDP Platform Bug Bounty Pilot  VDPプラットフォームのバグ報奨金パイロット 
Bug Bounty Metrics バグ報奨金の指標

 

| | Comments (0)

BRICs拡大 現在の5カ国に加え、新たにアルゼンチン、エジプト、エチオピア、イラン、サウジアラビア、アラブ首長国連邦も...

こんにちは、丸山満彦です。

情報セキュリティとは直接関係ないのですが、サイバーセキュリティ=>安全保障=>地政学...という繋がりで。。。

おそらくは、先進国のこれからの投資先有望国ということで、2000年ごろに注目した、ブラジル、ロシア、インド、中国の頭文字をとって、BRICs [wikipedia]。それが、その国同士の活動がはじまり、経済中心とはいえ地政学的なブロックとして活動を強化するようになってきていますよね。。。G7に対するような感じで...

で、この8月に第15回BRICs首脳会談が開催され、2024年1月から新たにアルゼンチン、エジプト、エチオピア、イラン、サウジアラビア、アラブ首長国連邦が加わる見通しとなりましたね。。。

南米、アフリカ(2カ国)、中東(3カ国)という状況ですね。。。宗派対立にあったサウジアラビアとイランが中国の仲介もあって2月に国交を再開したこともあり、中東の雄の2カ国と経済的に豊かなUAEが参加という感じですね。。。

ちなみに、現在の5カ国でいえば、すべてG20参加国です。また、2024年1月から参加する予定の国の中では、アルゼンチン、サウジアラビアがG20参加国となりますね。。。

 

JETROのページがわかりやすい...

JETRO

・2023.08.25 BRICS拡大、6カ国の新規加盟に合意

 

ちなみに中国の仲介によるサウジアラビアとイランの国交再開については、防衛研究所の説明がわかりやすい...

防衛省 防衛研究所

・2023.08.01 [PDF] サウジアラビア・イラン国交回復における中国の仲介的役割について

 

BRICs...

1_20230828032201

出典:wikipedia

 

G20

1_20230828031901

出典:wikipedia

 

 

| | Comments (0)

経済産業省 航空機宇宙産業小委員会 中間整理 (2023.08.23)

こんにちは、丸山満彦です。

経済産業省の産業構造審議会製造産業分科会航空機宇宙産業小委員会すが、中間整理 が公表されていますね。。。宇宙とはついていますが、航空の話ばかりです。。。

2016年に第1回が開催されて、2023年6月に第2回が開催されていますが、2023年2月に国産完成旅客ジェット機の開発中止をうけてのことかなぁ...と思ったりします。

この業界の状況というのは、ひょっとするとクラウド事業等にも似たところがあるかも知れないと思いながら、眺めてみることにしていました。。。でも、まてよと。。。航空事業は、機体の一部、エンジン等については日本製、共同開発等もあるが、クラウド事業においては、SaaS部分と、データセンタ施設くらいしか国産はないし、データセンタ施設も他国のサービスを受け入れているような感じはしないし、SaaS部分で国産があるとしても海外展開できていないのかも...と思ったり...より、深刻?な状況かもしれませんね。。。

 

● 経済産業省 産業構造審議会 - 製造産業分科会 - 航空機宇宙産業小委員会

・2023.08.23 中間整理

・[PDF

20230828-23323

2016.12.26 第1

2023.06.06 第2

2023.07.03 第3

2023.07.20 第4

2023.08.02 第5

 

| | Comments (0)

2023.08.27

参議院常任委員会調査室・特別調査室:セキュリティ・クリアランス制度導入の方向性と主な論点 ~技術流出の防止等による国力向上を目指した制度構築に向けて~

こんにちは、丸山満彦です。

参議院の「経済のプリズム」の2023年8月号で「セキュリティ・クリアランス制度導入の方向性と主な論点」が掲載されていますね。。。

中間論点整理

 

参議院 - 調査室作成資料 - 経済のプリズム - 各号別索引(バックナンバーリスト)

・第226号(令和5年8月)

20230827-70442

 

高市大臣の記者会見要旨

ポイント...

2023.02.14

高市経済安全保障担当大臣は、令和5年2月 14 日の記者会見で「特定秘密保護法の場合、国防関係、外交、スパイ活動、テロリズムの4分野に限定されているが、これから作り上げていこうとしているものは、いわゆる『産業版』であり、日本企業が海外の政府調達や、また海外の企業との取引、また共同研究から排除されない環境を作っていくためのものである」旨を述べている(https://www.cao.go.jp/minister/2208_s_takaichi/kaiken/20230214kaiken.html)。

 

 




まるちゃんの情報セキュリティ気まぐれ日記

・2023.06.08 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議 中間論点整理

・2023.04.11 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議 第4回会議 (2023.04.07)

・2023.04.08 自民党 セキュリティ・クリアランスで法整備を経済安保推進本部・安全保障調査会・サイバーセキュリティ対策本部・デジタル社会推進本部が提言

・2023.02.27 内閣官房 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議


 

| | Comments (0)

中国 国家標準「情報セキュリティ技術:データセキュリティのリスクアセスメント手法」の公開と意見募集 (2023.08.21)

こんにちは、丸山満彦です。

情報セキュリティのリスクマネジメント手法については、かつてはGMITS (ISO/IEC TR 13335) というISOから発行されているTRがあったのですが、廃止されていまはなく、情報セキュリティのリスクマネジメントについてのISOとしてISO/IEC 27005:2022 Information security, cybersecurity and privacy protection — Guidance on managing information security risksがあります。

これに近い中国の標準としては、GB/T 20984-2022:信息安全技术 信息安全风险评估方法 (preview)があります。

今回、中国のいわゆるTC260が提案している「情報セキュリティ技術:データセキュリティのリスクアセスメント手法」は、データセキュリティに集中しているように見えますね。。。という意味では、中国独特のもののようですね。。

 

● 全国信息安全标准化技术委员会

・2023.08.21 关于国家标准《信息安全技术 数据安全风险评估方法》征求意见稿征求意见的通知

 

標準案

・[PDF] 信息安全技术数据安全风险评估方法

20230827-23039

・[DOCX] 仮訳

 

 

説明

・[PDF] 信息安全技术 数据安全风险评估方法-编制说明

国家标准《信息安全技术数据安全风险评估方法》(征求意见稿)编制说明 国家標準「情報セキュリティ技術:データセキュリティリスクアセスメント手法」(公開草案) 説明
一、工作简况  I. 概要
1.1 任务来源 1.1 業務所管
根据国家标准化管理委员会2023年下达的国家标准制修订计划,《信息安全技术 数据安全风险评估方法》由中国电子技术标准化研究院负责承办,并联合国家信息技术安全研究中心、国家计算机网络应急技术处理协调中心等单位编制,计划号:20230257-T-469。本标准由全国信息安全标准化技术委员会归口管理。 国家標準化管理委員会が2023年に発布した国家標準作成・改正計画によると、「情報セキュリティ技術データセキュリティリスクアセスメント方法」は中国国家電子技術標準化研究院(CNISET)が請け負い、国家情報技術セキュリティ研究センター(NITSRC)、国家コンピュータネットワーク緊急対応技術処理調整センター(NCCERTH)及びその他の単位が計画番号第20230257-T-469号に基づいて共同で作成する。 本標準は、国家情報セキュリティ標準化専門委員会によって管理される。
1.2 制定背景 1.2 背景
2022年3月6日,全国信息安全标准化技术委员会发布《关于发布2022年度网络安全国家标准需求的通知》(信安秘字〔2022〕47号),在附件《2022年网络安全国家标准需求清单》中明确了有关需求“支撑《数据安全法》第十八条、第三十条对数据安全风险评估相关规定的落地实施。 ” 2022年3月6日、国家情報セキュリティ標準化技術委員会は、「2022年サイバーセキュリティ要求事項国家標準の公開に関する通知」(新安密言[2022]第47号)を発表し、附属書「2022年サイバーセキュリティ要求事項国家標準一覧」の中で、関連する要求事項として「データセキュリティ法第18条及び第30条のデータセキュリティリスク評価に関する関連規定の実施支援」を明確に定義した。 データセキュリティリスクアセスメントに関連する規定の実施を支援する。"
我国高度重视数据安全工作,先后出台《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规。与此同时,数据安全风险和违法违规问题依然严峻,国家数据安全、企业商业秘密和公民个人信息安全防护需求迫切。为了规范数据处理活动,保障数据安全,《数据安全法》明确提出建立数据安全风险评估机制要求。数据安全风险评估,主要针对数据处理者的数据和数据处理活动进行风险评估,旨在掌握数据安全总体状况,发现存在的数据处理不合理、缺少有效的数据安全措施等风险隐患,为进一步健全数据安全管理制度和技术措施,提高数据安全治理能力奠定基础。 中国はデータセキュリティを非常に重視しており、「中華人民共和国データセキュリティ法」や「中華人民共和国個人情報保護法」などの法規を導入している。 その一方で、データセキュリティのリスクや法律違反は依然として深刻であり、国家データセキュリティ、企業の営業秘密、国民の個人情報のセキュリティ保護が急務となっている。 データ処理活動を規制し、データセキュリティーを保護するため、データセキュリティー法はデータセキュリティーリスクアセスメントメカニズムの確立を明確に打ち出している。 データセキュリティリスクアセスメントは、主にデータ処理者のデータとデータ処理活動を対象にリスクアセスメントを実施し、データセキュリティの全体状況を把握し、不合理なデータ処理の存在、効果的なデータセキュリティ対策の欠如などのリスクや隠れた危険を発見し、データセキュリティ管理体制と技術対策をさらに改善し、データセキュリティガバナンス能力を向上させ、基礎を築くことを目的としている。
本标准给出了数据安全风险评估的基本概念、要素关系、分析原理、实施流程、评估内容、分析与评价方法等,明确了数据安全风险评估各阶段的实施要点和工作方法。适用于指导数据处理者、第三方评估机构开展数据安全风险评估,也可供有关主管监管部门实施数据安全检查评估时参考。 本基準は、データセキュリティリスク評価の基本概念、要素関係、分析原則、実施プロセス、評価内容、分析評価方法などを示し、データセキュリティリスク評価の各段階の実施ポイントと作業方法を規定している。 本書はデータ処理者及び第三者評価機関がデータセキュリティリスク評価を実施する際の指導に適しており、関連主管監督機関がデータセキュリティ検査及びアセスメントを実施する際の参考資料としても利用できる。
1.3 起草过程 2022年3月,成立编制工作组,启动标准编制工作,形成标准草案,同步编制研究报告、实施应用方案。 1.3 起草プロセス 2022年3月、準備作業部会が設立され、規格の準備を開始し、規格草案を作成し、調査報告書と実施・適用プログラムを同時に作成した。
2022年4月,在信安标委标准会议周的WG7工作组内进行立项汇报,通过工作组立项投票。 2022年4月、情報セキュリティ標準化委員会の標準化会議の週のWG7作業部会で、作業部会プロジェクト投票を経て、プロジェクト報告書を提出する。
2022年5-10月。组织多次研讨会,起草组先后完成3次标准草案的修改,形成《数据安全风险评估研究报告》、《<信息安全技术 数据安全风险评估方法> 实施应用方案》。 2022年5月~10月 数回のワークショップを開催し、起草グループは3回の規格案の改訂を完了し、データセキュリティリスクアセスメントに関する研究報告書と<情報セキュリティ技術データセキュリティリスクアセスメント手法>の実施と応用プログラムを形成した。
2022年6月,在信安标委标准会议周的WG7工作组内进行立项汇报,通过立项专家评审。 2022年6月、情報セキュリティ標準化委員会の標準化会議の週のWG7作業部会で報告され、プロジェクトの専門家の評価に合格した。
2022年11月2日,信安标委发布标准立项通知,标准获得信安标委立项。 2022年11月2日、情報セキュリティ標準委員会(ISSC)は標準プロジェクト通知を発行し、標準はISSCからプロジェクトを授与された。
2022年11月16日至11月30日,标准公开征集参编单位。 2022年11月16日から11月30日まで、規格は参加ユニットを公募した。
2022年11月-12月,召开编制组会议,对标准草案进行完善。 2022年11月~12月、準備グループ会議を開催し、規格案を改善した。
2022年11月25日,参与国标委标准项目立项答辩,回应了专家质询。 2022年11月25日、国家標準委員会の標準プロジェクトの弁明に参加し、専門家の質問に答えた。
2022年12月6日,在信安标委会议周的WG7工作组对标准工作进展进行了汇报,通过工作组投票,建议将本标准推进至征求意见稿。 2022年12月6日、SINOSEC会議の週のWG7作業部会は、標準作業の進捗状況を報告し、作業部会の投票を通じて、この標準は、コメントのためのドラフトに進めることが推奨された。
2022年12月至2023年2月,针对会议周专家意见,完善标准内容。 2022年12月から2023年2月にかけて、会議週の専門家の意見を受け、規格の内容を改善した。
2023年3月27日,参加秘书处组织的征求意见稿专家审查会,评审专家对标准提出38条意见。 2023年3月27日、事務局主催の暴露ドラフト専門家レビュー会議に参加し、規格のレビュー専門家が38のコメントを提出した。
2023年4月-5月,处理专家意见,完善标准内容。 2023年4月~5月、専門家の意見に対処し、規格の内容を改善する。
2023年6月1日,在信安标委会议周的WG7工作组对标准工作进展进行了汇报,收集42条意见。 2023年6月1日、SGSEC会議の週のWG7ワーキンググループは、標準作業の進捗状況を報告し、42のコメントを収集した。
2023年6月-8月,处理专家意见,完善标准内容。 2023年6月~8月、専門家の意見に対処し、標準の内容を改善する。
二、标准编制原则、主要内容及其确定依据 II. 標準作成の原則、主な内容とその決定根拠である。
2.1 标准编制原则本标准在编制过程中遵循了问题导向原则、协调性原则。 2.1 標準作成の原則 本標準は、作成過程において、問題志向と協調の原則に従う。
2.2 主要内容及其确定依据 2.2 主な内容とその根拠
本标准为支撑《数据安全法》第十八条、第三十条对数据安全风险评估相关规定落实,贯彻《个人信息保护法》《网络数据安全管理条例(征求意见稿)》有关要求,建设数据安全风险评估的协作和统一管理机制,发现国家、重点行业领域和地方区域的数据安全风险,理清数据安全建设方向,针对性提升我国数据安全能力水平。 本標準は、データセキュリティリスクアセスメントに関する「データセキュリティ法」第18条及び第30条の実施を支持し、「個人情報保護法」及び「ネットワークデータセキュリティ管理条例(意見公募案)」の関連要求を実施し、データセキュリティリスクアセスメントのための協調的かつ統一的な管理メカニズムを構築し、国家、主要産業分野及び地方のデータセキュリティリスクを発見し、データセキュリティ構築の方向性を明らかにする。 中国のデータセキュリティ能力レベルの向上を目標とする。
本文件提出了数据安全风险评估的基本概念、要素关系、分析原理、实施流 本書は、データセキュリティリスク評価の基本概念、要素関係、分析原則、実施フロー及びアセスメント内容を提示する。
程、评估内容,明确了数据安全风险评估各阶段的实施要点和工作方法,包括: 本書は、データセキュリティリスク評価の基本概念、要素間の関係、分析原則、実施フロー、アセスメント内容を提示し、データセキュリティリスク評価の各段階の実施ポイントと作業方法を規定する:
1) 评估要素间关系; 1) アセスメント要素間の関係;
2) 风险分析原理;  2) リスク分析の原則; 
3) 评估适用情形;  3) 該当状況のアセスメント; 
4) 评估实施流程;  4) アセスメントの実施プロセス 
5) 评估内容框架; 5) アセスメント内容の枠組み;
6) 评估方法; 6) アセスメントの方法論
7) 数据安全风险评估准备; 7) データセキュリティリスク評価の準備
8) 数据和数据处理活动识别; 8) データ及びデータ処理活動の特定
9) 数据安全风险识别; 9) データセキュリティリスクの特定
10)数据安全风险分析与评价; 10) データセキュリティリスクの分析と評価
11)评估总结; 11) アセスメントの概要
12)数据安全风险评估报告模板。 12) データセキュリティリスクアセスメント報告書のテンプレート
三、 试验验证的分析、综述报告,技术经济论证,预期的经济效益、社会效益和生态效益 III. 試験検証、技術的・経済的正当性、期待される経済的・社会的・生態学的便益の分析と総合 報告書
3.1 试验验证的分析、综述报告将根据下一步标准试点工作开展情况而定。 3.1 試験検証の分析と統合報告書は、標準パイロット事業の次のステップに基づく。
3.2 技术经济论证将根据下一步标准试点工作开展情况而定。 3.2 技術的・経済的妥当性確認は、標準パイロット試験の次のステップに基づく。
3.3 预期的经济效益、社会效益和生态效益 3.3 期待される経済的、社会的、生態学的利益
通过研究提出统一的数据安全风险评估方法,明确数据安全风险评估的实施流程、内容、风险分析原理,给出数据安全风险评价方法和风险处置方法。支撑国家数据安全相关制度、工作,以及数据安全风险评估要求更好地在各行业领域落地,指导数据处理者开展数据安全风险评估工作,提高我国数据安全保护水平。 研究を通じて、統一的なデータセキュリティリスク評価方法を提案し、データセキュリティリスク評価の実施プロセス、内容、リスク分析原則を明確にし、データセキュリティリスク評価方法とリスク処理方法を与える。 国家データセキュリティ関連制度と作業をサポートし、データセキュリティリスク評価要求が各産業分野でよりよく着地できるようにし、データ処理者がデータセキュリティリスク評価作業を実施するよう指導し、中国のデータセキュリティ保護レベルを向上させる。
四、 与国际、国外同类标准技术内容的对比情况,或者与测试的国外样品、样机的有关数据对比情况 IV. 国際及び外国の同類標準の技術内容との比較、または海外のテスト済みサンプル及びプロトタイプの関連データとの比較
当前,国外数据安全和个人信息保护方面的评估认证,主要有数据保护影响评估(DPIA)、受控非密信息安全评估、ISO/IEC 27000系列管理体系认证、信息技术产品安全评估(CC)等。20世纪80年代,美国、加拿大等发达国家就已经开始建立以信息安全风险评估为基础的信息安全风险管理体系,制定了相关标准、评估方法和相关技术。当前尚缺少数据安全风险评估相关的国际标准。,主要在信息安全、产品安全等标准中引入隐私保护要求。 現在、外国のデータセキュリティと個人情報保護のアセスメントと認証は、主にデータ保護影響評価(DPIA)、管理された未分類の情報セキュリティアセスメント、ISO/IEC 27000シリーズの管理システム認証、情報技術製品のセキュリティアセスメント(CC)などである。 情報セキュリティリスク管理システムを構築し、関連規格、アセスメント方法、関連技術を開発した。 現在、データセキュリティリスク評価に関する国際標準は不足している。 また、プライバシー保護要件は主に情報セキュリティ、製品セキュリティ、その他の規格に導入されている。
ISO/IEC 27000信息安全管理体系认证,扩展到隐私信息管理体系认证。目前,信息安全管理体系认证已形成比较成熟的一套体系认证机制,同时随着 ISO/IEC 27000系列信息安全管理标准不断完善,已经出台针对个人信息保护的管理体系标准,例如提出隐私信息管理体系的ISO/IEC 27701《扩展的ISO/IEC 27001和ISO/IEC 27002 隐私信息管理要求和指南》、提出个人信息保护控制措施集合的ISO/IEC 29151《个人可识别信息保护实践指南》、适用于公有云个人信息保护的ISO/IEC 27018《公有云作为个人信息处理者保护可识别个人信息的实践指南》,这些标准也常被用于进行管理体系认证。 ISO/IEC 27000情報セキュリティマネジメントシステム認証は、プライバシー情報マネジメントシステム認証に拡張された。 現在、情報セキュリティマネジメントシステム認証は、システム認証メカニズムの比較的成熟したセットを形成していると同時に、情報セキュリティマネジメント規格のISO / IEC 27000シリーズの継続的な改善に伴い、個人情報管理システム規格の保護のために導入されている、例えば、提案されたプライバシー情報管理システムISO / IEC 27701は、"拡張ISO / IEC 27001およびISO / IEC 27002の要求事項およびガイドライン。27002 プライバシー情報管理のための要求事項及びガイドライン」、個人情報保護のための管理策集を提案するISO/IEC 29151「個人識別情報保護のための実践的ガイドライン」、パブリッククラウドにおける個人情報保護に適用するISO/IEC 27018「個人情報の処理者としてのパブリッククラウドにおける識別可能な個人情報の保護のための実践的ガイドライン」などがあり、これらの規格はマネジメントシステム認証の実施に利用されることが多い。 認証に用いられることが多い。
此外,信息技术产品安全评估正在增加产品的隐私保护功能评估。信息技术产品安全评估(简称CC)按照ISO/IEC15408《信息技术安全评估通用准则》对信息技术产品,尤其是信息安全产品的安全保障级别进行评估。目前CC作为国际常用的产品安全测评方式,已形成一套完整的测评方法论。同时,ISO/IEC 15408系列标准也正在修订,增加了隐私保护等产品安全功能组件,例如CC中涉及数据安全的安全功能组件,主要包括用户数据保护、隐私两大功能组件,其中用户数据保护涉及访问控制、数据鉴别、数据完整性、数据输入、数据机密性、内部传输、信息流控制、数据输出、残余信息保护等,隐私组件,包括匿名化、假名化、不可链接性、不可观测性等。 また、情報技術製品セキュリティアセスメントは、製品のプライバシー保護機能のアセスメントを追加するものである。 情報技術製品セキュリティアセスメント(略してCC)は、ISO/IEC 15408「情報技術セキュリティアセスメントのための一般ガイドライン」に従って、情報技術製品、特に情報セキュリティ製品のセキュリティレベルを評価するものである。 現在、CCは国際的な共通製品セキュリティ評価手法として、完全な評価方法論を形成している。 同時に、ISO/IEC 15408シリーズもプライバシー保護などの製品セキュリティ機能コンポーネントを追加するために改訂されている。 例えば、CCのデータセキュリティに関わるセキュリティ機能コンポーネントには、主にユーザーデータ保護とプライバシーの2つの主要な機能コンポーネントが含まれ、ユーザーデータ保護には、アクセス制御、データ認証、データ完全性、データ入力、データ機密性、内部送信、情報フロー制御が含まれる、 プライバシーの構成要素には、匿名化、仮名化、リンク不可能性、監視不可能性などが含まれる。
五、 以国际标准为基础的起草情况,以及是否合规引用或者采用国际国外标准,并说明未采用国际标准的原因 V. 国際規格に基づく起草、国際規格や外国規格の引用や準拠の有無、国際規格を採用しない理由。
无。 ない。
六、 与有关法律、行政法规及相关标准的关系 VI.関連法規、行政法規、関連基準との関係
本标准与现行法律、法规以及国家标准不存在冲突与矛盾,与其他标准属于配套衔接关系。 本規格と既存の法律、行政法規、国内規格との間に矛盾や抵触はなく、他の規格も支持関係に属する。
法律方面,《中华人民共和国数据安全法》中提出“国家支持有关部门、行业组织、企业、教育和科研机构、有关专业机构等在数据安全风险评估、防范、处置等方面开展协作。”“国家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制。”“重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。”的要求。 法律面では、「中華人民共和国データセキュリティ法」は、"国家は、データセキュリ ティリスクのアセスメント、予防、廃棄の分野において、関連部門、産業組織、企業、教育・ 科学研究機関、関連専門組織間の協力を支援する。"と提案している。 "国は、データ・セキュリティ・リスクの評価、報告、情報共有、監視、早期警戒のための、集中的、統一的、効率的、権威あるメカニズムを確立する。" "重要データの処理者は、規則に従い、データ処理活動のリスクアセスメントを定期的に実施し、リスクアセスメント報告書を関係主管庁に提出する。" の要求事項がある。
国家标准方面,GB/T 20984-2022《信息安全技术 信息安全风险评估方法》 国家標準としては、GB/T 20984-2022「情報セキュリティ技術情報セキュリティリスク評価方法」がある。
给出了信息安全风险评估的框架、流程和实施方法,本标准充分借鉴信息安全风险评估的评估模型、工作流程、评估模式,结合数据和数据处理活动的特点,从管理、数据处理活动、技术等方面,结合核心数据、重要数据、个人信息、一般数据安全特点及保护要求,从监管要求、安全需求等方面识别数据安全风险。GB/T 37988—2019《信息安全技术 数据安全能力成熟度模型》提供了多维度的数据安全能力评估模型和安全要求,GB/T 35273—2020《信息安全技术 个人信息安全规范》提出了个人信息安全保护要求。行业标准方面,JR/T 0223-2021 《金融数据安全 数据生命周期安全规范》给出了金融行业数据安全保护要求。本标准充分借鉴和参考上述标准,且与相关国家标准协调配套。 GB/T20984-2022「情報セキュリティ技術情報セキュリティリスク評価方法」は、情報セキュリティリスク評価の枠組み、プロセス及び実施方法を示し、情報セキュリティリスク評価のアセスメントモデル、ワークフロー及びアセスメント方式を全面的に採用し、管理、データ処理活動、技術などの側面からデータ及びデータ処理活動の特性、コアデータ、重要データ、個人情報及び一般的なデータセキュリティの特性及び保護要求、規制要求、セキュリティニーズなどの側面を組み合わせている。 GB/T 37988-2019「情報セキュリティ技術データセキュリティ能力成熟度モデル」は多次元データセキュリティ能力アセスメントモデルとセキュリティ要求事項を提供し、GB/T 35273-2020「情報セキュリティ技術個人情報セキュリティ仕様」は個人情報セキュリティ要求事項を提示する。 要求事項を提示している。 業界標準の面では、JR/T 0223-2021「金融データセキュリティデータライフサイクルセキュリティ仕様」が金融業界におけるデータセキュリティ保護の要件を規定している。 この規格は、上記の規格を全面的に活用・参照し、関連する国内規格と連携している。
七、 重大分歧意见的处理经过和依据无。 VII. 主な意見の相違の処理とその根拠は公開されていない。
八、 涉及专利的有关说明 VIII. 特許の関与に関する説明
本文件不涉及专利等知识产权。 本文書は、特許及びその他の知的財産権には関与しない。
九、 实施国家标准的要求,以及组织措施、技术措施、过渡期和实施日期的建议等措施建议 IX.国家規格の実施要件、並びに勧告等の提案措置の組織的措置、技術的措置、移行期間及び実施期日
无。 ない。
十、 其他应当说明的事项无。 X. その他明確にすべき事項 該当事項はない。
《信息安全技术 数据安全风险评估方法》编制工作组 情報セキュリティ技術データセキュリティリスクアセスメント手法作成ワーキンググループ
2023年8月20日 2023年8月20日

 

 

| | Comments (0)

2023.08.26

中国 国家標準「情報セキュリティ技術:個人情報に基づく自動意思決定セキュリティ要求事項」の公開と意見募集 (2023.08.16)

こんにちは、丸山満彦です。


個人情報に基づく自動判定(自動意思決定)についての国家標準案ですね。。。他国では考えていないので、中国独自ということになりますね。。。本当にそれをしてもよいのか?という話もありますが、この標準案は興味深いです。

まず、「自動意思決定」を、「特徴生成」と「意思決定」にわけていますね。この考え方はなるほど。。。と思いました。。。

 

● 全国信息安全标准化技术委员会

・2023.08.16 关于国家标准《信息安全技术 基于个人信息的自动化决策安全要求》征求意见稿征求意见的通知

標準案

・[DOCX] 信息安全技术 基于个人信息的自动化决策安全要求-标准文本

20230826-63707

 

信息安全技术 基于个人信息的自动化决策安全要求 情報セキュリティ技術 - 個人情報に基づく自動意思決定のためのセキュリティ要件
Information security technology — Security requirements for Automated decision making based on personal information Information security technology — Security requirements for Automated decision making based on personal information
(征求意见稿) (公開草案)
(本稿完成时间:2023年8月13日) (本草案の完成:2023年8月13日)
在提交反馈意见时,请将您知道的相关专利连同支持性文件一并附上。 ご意見をお寄せいただく際には、あなたがご存知の関連特許を添付していただきたい。
目  次 目次
前言 前文
1 范围 1 適用範囲
2 规范性引用文件 2 引用規格
3 术语和定义 3 用語と定義
4 缩略语 4 略語
5 概述 5 概要
5.1 自动化决策行为的环节 5.1 自動意思決定行動の区分
5.2 自动化决策使用的计算机程序和算法 5.2 自動意思決定に用いられるコンピュータプログラムおよびアルゴリズム
5.3 自动化决策活动处理信息的范围 5.3 自動意思決定活動によって処理される情報の範囲
5.4 自动化决策活动的安全风险 5.4 自動意思決定活動のセキュリティリスク
5.5 自动化决策活动的总体安全策略 5.5 自動意思決定活動の全体的なセキュリティ戦略
6 基本安全原则 6 セキュリティの基本原則
7 基本安全要求 7 基本的なセキュリティ要件
8 自动化决策算法的安全要求 8 自動意思決定アルゴリズムのセキュリティ要件
8.1 一般性要求 8.1 一般要件
8.2 算法影响评估 8.2 アルゴリズムの影響評価
8.3 算法安全的技术原则 8.3 アルゴリズムのセキュリティの技術的原則
8.4 算法安全的逻辑原则 8.4 アルゴリズムのセキュリティの論理的原則
8.5 算法安全的人工介入要求 8.5 アルゴリズムの安全性のための人的介入要件
8.6 算法安全的训练和测试数据要求 8.6 アルゴリズムの安全性に関する訓練及び試験データの要件
8.7 算法开发的技术文档要求 8.7 アルゴリズム開発における技術文書の要件
8.8 算法安全的运行要求 8.8 アルゴリズムの安全性に関する運用上の要件
9 特征生成的安全要求 9 特徴生成に関するセキュリティ要件
9.1 特征生成的个人信息处理要求 9.1 特徴生成における個人情報処理に関する要求事項
9.2 特征生成的计算安全要求 9.2 特徴生成の計算セキュリティ要件
10 决策的安全要求 10 意思決定に関するセキュリティ要件
10.1 决策的基本安全要求 10.1 意思決定に関する基本的セキュリティ要件
10.2 决策的告知要求 10.2 意思決定情報に関する要求事項
10.3 决策中的个人权益保障要求 10.3 意思決定における個人の権利利益保護のための要件
11 对个人权益有重大影响的自动化决策典型场景特殊要求 11 個人の権利と利益に重大な影響を及ぼす自動意思決定の典型的シナリオに対する特別な要件
11.1 教育或职业机会 11.1 教育またはキャリアの機会
11.2 信用贷款或保险评估 11.2 信用評価または保険評価
11.3 社会福利资格等公共治理领域 11.3 社会福祉の適格性などの公的統治分野
11.4 特殊群体的自动化决策场景安全要求 11.4 特別な集団に対する自動意思決定シナリオのセキュリティ要件
12 其他典型的自动化决策场景特殊要求 12 その他の典型的な自動意思決定シナリオの特別要件
12.1 信息推送、商业营销 12.1 情報プッシュ、商業マーケティング
12.2 商业交易 12.2 商取引
13 风险管理要求 13 リスク管理要件
参考文献 参考文献
前  言 序文
本文件按照GB/T 1.1—2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定起草。 本文書はGB/T 1.1-2020 Guidelines for Standardisation Work Part 1: Structure and Drafting Rules for Standardisation Documentsの規定に基づき作成した。
本文件由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。 本文書は国家情報セキュリティ標準化技術委員会(SAC/TC260)により提案された。
本文件起草单位: 北京理工大学、中国信息通信研究院、中国网络安全审查技术与认证中心、上海交通大学、北京字节跳动科技有限公司、北京百度网讯科技有限公司、下一代互联网国家工程中心、北京尚隐科技有限公司、北京小桔科技有限公司、北京三快在线科技有限公司、公安部第一研究所、北京小米移动软件有限公司、携程旅游信息技术(上海)有限公司、华为技术有限公司、北京汉华飞天信安科技有限公司、贝壳找房(北京)科技有限公司、阿里巴巴(北京)软件服务有限公司、北京快手科技有限公司、蚂蚁科技集团股份有限公司、北京腾云天下科技有限公司、杉涌律师事务所、竞天公诚律师事务所、中伦律师事务所、云从科技集团股份有限公司等。 この文書の起草者は、北京工科大学、中国情報通信技術研究院、中国ネットワークセキュリティ審査技術認証センター、上海交通大学、Beijing ByteDance Technology Co. Ltd.、Beijing Xiaomi Mobile Software Company Limited、Ctrip Travel Information Technology (Shanghai) Company Limited、Huawei Technology Company Limited、Beijing Hanhua Feitian Xin'an Technology Company Limited、Shell Housing (Beijing) Technology Company Limited、Alibaba (Beijing) Software Services Company Limited、Beijing Racer Technology Company Limited、Ant Science and Technology Group Company Limited、Beijing TengYunTian Technology Co. Ltd.、杉忠法律事務所、景天恭城法律事務所、中倫法律事務所、クラウド・テクノロジー・グループ有限公司、アリババ(北京)ソフトウェア・サービス有限公司、北京レーサー・テクノロジー有限公司、蟻科技集団有限公司、北京騰雲天科技有限公司
本文件主要起草人:洪延青、田申、葛鑫、彭诚信、刘笑岑、李杭敏、彭根、臧雷、余方、张仁卓、樊华、王海棠、张朝、陈湉、何延哲、赵冉冉、薛晶、葛梦莹、王敬周、落红卫、刘东、徐全全、黄晓林、张娜、孙铁、许锐、邱少林、韩煜、李军、裴轶、王磊、李昳婧、刘榕、刘瑾、顾伟、郭建领、康天娇、张曜、史波良、袁立志、吴佳蔚、呼娜英、付艳艳、白晓媛、石玉珍、赵晓娜等。 本文書の主な起草者:洪延慶、田沈、葛新、彭承信、劉暁前、李漢民、彭元、蔵磊、余芳、張仁柱、范華、王海棠、張超、陳麗、何燕澤、趙蘭蘭、薛静、葛孟英、王靖州、洛宏偉、劉東、徐全権、黄暁林、張娜、孫鉄、徐瑞、邱少林、韓愈、李俊、沛亦志、王磊、李仙鼎、劉栄、劉金、顧維、 郭建凌、康天象、張耀、石博良、袁麗嗣、呉家偉、胡寧、傅燕燕、白暁源、石宇鎮、趙暁娜などである。
信息安全技术 基于个人信息的自动化决策安全要求 情報セキュリティ技術 個人情報に基づく自動意思決定におけるセキュリティ要件
1 范围 1 適用範囲
本文件规定了个人信息处理者进行自动化决策处理活动时,在数据处理及自动化决策相关典型应用场景下的数据安全和个人信息保护义务、自动化决策的透明度、决策结果公平公正、保障个人合法权益等方面的要求。 本文書は、個人情報取扱事業者が自動意思決定処理活動を行う際の、データ処理および自動意思決定に関連する典型的な適用シナリオにおける、データセキュリティおよび個人情報保護義務、自動意思決定の透明性、意思決定結果の公正性および公平性、ならびに個人の正当な権利および利益の保護に関する要求事項を規定する。
本文件适用于开展自动化决策活动的个人信息处理者规范其个人信息处理和决策活动,也适用于监管部门、第三方评估机构对自动化决策处理活动进行监督、管理、评估时参考。 この文書は、自動意思決定活動を行う個人情報処理者が、その個人情報処理および意思決定活動を規制するために適用され、また、自動意思決定処理活動を監督、管理、評価する際に参照するために、監督当局および第三者評価機関にも適用される。
2 规范性引用文件 2 参考となる規範
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 以下の文書の内容は、本文中の規範的参照を通じて、本文書の必須規定を構成する。 その中で、日付のある引用文書の日付に対応するバージョンのみが本文書に適用され、日付のない引用文書の最新バージョン(すべての修正シートを含む)が本文書に適用される。
GB/T 25069—2010 信息安全技术 术语 GB/T 25069-2010 情報セキュリティ技術用語集
GB/T 35273—2020 信息安全技术 个人信息安全规范 GB/T 35273-2020 情報セキュリティ技術 個人情報セキュリティ規定
GB/T 41479—2022 信息安全技术 网络数据处理安全规范 GB/T 41479-2022 情報セキュリティ技術 ネットワークデータ処理セキュリティ規定
GB/T 41391—2022  信息安全技术 移动互联网应用(App)收集个人信息基本规范 GB/T 41391-2022 情報セキュリティ技術 モバイルインターネットアプリケーション(アプリ)による個人情報収集に関する基本規範
3 术语和定义 3 用語と定義
GB/T 35273—2020界定的以及下列术语和定义适用于本文件。 GB/T 35273-2020 で定義された用語と定義、及び以下の用語と定義が本文書に適用される。
3.1 3.1
自动化决策 automated decision-making 自動意思決定 
通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策的活动。 コンピュータプログラムを通じて、個人の行動習慣、興味、または経済、健康、信用状態を自動的に分析・評価し、意思決定を行う活動。
[来源:《中华人民共和国个人信息保护法》第七十三条第(二)款] [出典:中華人民共和国個人情報保護法第73条第2項)。
注:自动化决策可进一步分解为特征生成和决策两个环节。 注:自動意思決定はさらに、特徴生成と意思決定の2つのセグメントに分けることができる。
3.2 3.2
计算机程序 computer Program コンピュータプログラム
符合特定编程语言规则的语法单元,由解决特定功能、任务或问题所需的声明和语句或指令组成。 特定のプログラミング言語の規則に準拠し、特定の機能、タスク、または問題を解決するために必要な宣言および文または命令からなる構文単位。
3.3 3.3
算法 algorithm アルゴリズム
用于解决问题的有限有序规则集。 ある問題を解くための、順序付けられた規則の有限集合。
3.4 3.4
特征生成 特徴生成
通过计算机程序自动处理个人信息,经过个人特征提取、特征选择、特征计算、特征输出等步骤,生成开展针对个人决策所需的输入信息的过程。 個人の特徴抽出、特徴選択、特徴計算、特徴出力のステップを通じて、個人の意思決定を行うために必要な入力情報を生成するコンピュータプログラムを通じて、個人情報を自動的に処理するプロセス。
3.5 3.5
决策 decision-making 意思決定
以生成的个人特征信息为输入,作出针对个人将采取具体行动的决定。 生成された個人特徴情報を入力として、個人が取るべき具体的な行動について意思決定が行われる。
注:具体行动包括但不限于雇佣或解聘特定个人、授予特定个人贷款、针对个人开展特定的信息推送和商业营销、针对服务提供报价等能够对个人人身财产状态、行为、意识等产生影响的动作。 注:具体的な行動には、特定の個人の雇用や解雇、特定の個人への融資、特定の個人への情報提供や商業マーケティングの実施、サービスの見積もりの提供、その他個人の個人的・財産的状態、行動、意識に影響を与える行動が含まれるが、これらに限定されない。
3.6 3.6
对个人权益有重大影响的决定 decision with significant impact on individual’s rights and interests 個人の権利や利益に重大な影響を及ぼす決定
对个人法定权益的实现造成法律影响以及对个人其他权益造成类似显著影响的决定。 個人の法的権利および利益の実現に法的影響を及ぼす決定、ならびに個人のその他の権利および利益に同様の重大な影響を及ぼす決定をいう。
注1:影响可以是正向的也可以是负向的。 注1:影響は、肯定的である場合も否定的である場合もある。
注2:法律影响包括但不限于:被赋予享有或被剥夺享有一种法律上的特定权益,如子女抚养或房产权益;被剥夺或限制行动自由;拒绝进入边境或特定区域;被有关执法机构强制增加安全或监管措施等。 注2:法的影響には、児童扶養や財産権など、法的に定義された利益へのアクセスを認められたり拒否されたりすること、移動の自由が否定されたり制限されたりすること、国境や特定の地域へのアクセスが拒否されたりすること、関連する法執行機関による追加的な保安措置や規制措置が課されたりすることなどが含まれるが、これらに限定されない。
注3:类似显著影响包括但不限于:对个人不合理的排斥或歧视行为、对个人可能产生长期或永久影响的决策行为、以及其他对个人的处境、行为或选择产生普遍认知方面的重大影响。 注3:同様に重大な影響には、個人に対する不当な排除又は差別、個人に長期的又は永続的な影響を及ぼす可能性のある意思決定行動、及び個人の状況、行動又は選択に対する一般的な認識の観点からのその他の重大な影響が含まれるが、これらに限定されない。
3.7 3.7
个人特征信息 individual characteristics 個人の特性
个人偏好以及个人职业、经济、健康、教育、信用情况等可以对特定自然人形象加以描绘,并分析、预测个人行为的信息类型。 個人の職業、経済、健康、教育、信用状況など、特定の自然人を描写し、個人の行動を分析・予測するために使用できる情報の種類。
3.8 3.8
不合理的差别待遇 unreasonable differential treatment 不合理な差別待遇
通过收集、分析作为交易相对方的用户的交易信息、浏览内容及次数、交易时使用的终端设备品牌及价值等情况,对交易条件相同的交易相对方不合理地提供不同交易条件的行为。 利用者の取引情報、閲覧セッションの内容や回数、取引に使用した端末機器のブランドや価値などを収集・分析することにより、同じ取引条件である相手方に対して不合理な差別待遇を与える行為。
3.9 3.9
个人信息保护影响评估 personal information protection impact assessment 個人情報保護影響評価
针对个人信息处理活动,检验其合法合规程度,判断其对个人信息主体合法权益造成损害的各种风险,以及评估用于保护个人信息主体的各项措施有效性的过程。 個人情報処理活動に関する法令遵守の程度を検討し、個人情報主体の正当な権利利益を害する様々なリスクを判断し、個人情報主体を保護するために用いられる様々な措置の有効性を評価するプロセス。
4 缩略语 4 略語
下列缩略语适用于本文件。 本文書では、以下の略語を使用する。
App:移动互联网应用程序(mobile internet application) アプリ:モバイルインターネットアプリケーション
5 概述 5 概要
5.1 自动化决策行为的环节 5.1 自動意思決定行動の区分
自动化决策行为可以分为两个环节:特征生成和决策。如图1所示。 自動意思決定行動は、特徴生成と意思決定の2つのセグメントに分けることができる。 図1に示すとおりである。
特征生成是为实现特定业务目的,选定和收集特定的个人信息,并通过计算机程序自动分析、评估、预测特定个人的行为习惯、兴趣爱好等个人特征,以及作为决策输入用于针对个人的具体决策之中。一般来说,特征生成的过程包括特征提取、特征选择、特征计算、特征输出等步骤。特征提取是指从原始的个人信息中提取出有价值信息的过程。特征选择是指从提取的特征中选择就特定业务目的来说最有用的特征的过程。它的目的是降低维度,减少计算量,并避免过拟合。特征计算是指基于选择的特征计算新的特征或修改现有特征的过程。特征输出是指将处理好的特征信息作为输入,以支持针对个人的决策作出。得益于目前大数据和人工智能技术的发展,上述步骤主要由计算机程序自动开展,无需人工参与。 特徴生成とは、特定のビジネス目的のために特定の個人情報を選択・収集し、コンピュータプログラムを通じて、特定の個人の行動習慣、興味、その他の個人的特徴を自動的に分析、評価、予測し、また、個人の特定の意思決定のための意思決定入力として使用するプロセスである。 一般に、特徴生成のプロセスには、特徴抽出、特徴選択、特徴計算、特徴出力のステップが含まれる。 特徴抽出とは、元の個人情報から価値ある情報を抽出するプロセスを指す。 特徴選択とは、抽出された特徴から特定のビジネス目的に最も有用な特徴を選択するプロセスである。 その目的は、次元を減らし、計算を減らし、オーバーフィッティングを避けることである。 特徴計算とは、選択された特徴に基づいて新しい特徴を計算したり、既存の特徴を修正したりするプロセスである。 特徴出力は、個人の意思決定をサポートするための入力として処理された特徴情報である。 現在のビッグデータと人工知能技術の発展により、上記のステップは主に、人間が関与することなくコンピュータプログラムによって自動的に実行される。
决策是在特征生成环节所提供的个人特征信息的参与下,对个人采取具体行动。决策活动可以由不同程度的人工参与,例如特征生成环节所提供的个人特征信息是人工决策的唯一依据,或者特征生成环节所提供的信息仅仅是人工决策所依赖的依据之一。决策活动也可以无需人工参与,完全由计算机程序作出具体决定。 意思決定とは、特徴生成セッションによって提供された個人の特徴に関する情報を関与させながら、個人に対して具体的な行動を起こすことである。 意思決定活動は、例えば、特徴生成プロセスによって提供される個人の特性に関する情報が、人間の意思決定の唯一の根拠である場合、又は、特徴生成プロセスによって提供される情報が、人間の意思決定の基礎となる根拠の一つに過ぎない場合など、様々な程度の人間の関与の下で実施することができる。 意思決定活動は、コンピュータプログラムが特定の意思決定を行うことで、人間が関与することなく実施することもできる。
1_20230826065401
图 1 自动化决策流程 図1 自動意思決定プロセス
5.2 自动化决策使用的计算机程序和算法 5.2 自動意思決定のためのコンピュータ・プログラムとアルゴリズム
我国现行法律法规对自动化决策的界定中强调“对个人的行为习惯、兴趣爱好或者经济、健康、信用状况等”的“分析、评估”应是通过计算机程序自动完成,意在突出个人信息处理者为了实现特定的目的而事先自行开发并部署(或使用第三方开发的)特定的计算机程序。例如为了完成精准广告投放,个人信息处理者有意识地通过在网站或App页面上“埋点”收集个人的点击或浏览等行为信息,并通过预设的特征模型计算出特定个人的特征信息。 中国の現行法規は、自動意思決定を、個人の行動習慣、関心、または経済、健康、信用状態などの「分析と評価」がコンピュータプログラムによって自動的に行われることを強調する形で定義しており、個人情報の処理者が次のような事実を強調する意図がある。 特定の目的のために、あらかじめ特定のコンピュータ・プログラムを開発し、配備する(または第三者が開発したものを使用する)こと。 例えば、正確な広告を完成させるために、個人情報処理者が意識的にウェブサイトやアプリページのクリックや閲覧などの行動情報を収集し、あらかじめ定義された特性モデルによって特定個人の特性情報を算出する。
除了特征生成由计算机程序完成之外,决策也可以由计算机程序辅助人工完成,或完全由计算机程序根据特征生成形成的个人特征信息而作出。 コンピュータプログラムによる特徴生成に加えて、特徴生成によって形成された個人の特徴に関する情報に基づいて、コンピュータプログラムによって意思決定を支援したり、完全にコンピュータプログラムによって意思決定を行ったりすることもできる。
    计算机程序是具体的指令序列,而算法是对计算机上执行的指令序列背后的计算过程的具体描述。因此完成特征生成的或用于决策的算法,在很大程度上决定了自动化决策过程的透明性和自动化决策结果的公平公正性等。     コンピュータプログラムとは特定の命令列であり、アルゴリズムとはコンピュータ上で実行される命令列の背後にある計算プロセスの具体的な記述である。 したがって、特徴生成を完成させるアルゴリズム、又は意思決定に使用されるアルゴリズムは、とりわけ、自動意思決定プロセスの透明性、及び自動意思決定結果の公正性及び公平性を大きく左右する。
5.3 自动化决策活动处理信息的范围 5.3 自動意思決定活動によって処理される情報の範囲
自动化决策活动所处理的个人信息包括:1)个人主动提供的个人信息;2)个人信息处理者自动收集的个人信息;3)个人信息处理者从第三方获得的个人信息;4)以前述三类个人信息为处理对象,经由计算机程序分析形成的衍生信息(如与个人相关的标签、参数等)。 自動意思決定活動によって処理される個人情報には、1)個人が自発的に提供した個人情報、2)個人情報処理機関によって自動的に収集された個人情報、3)個人情報処理機関によって第三者から取得された個人情報、4)前述の3種類の個人情報を処理対象として分析された後、コンピュータプログラムによって形成された派生情報(個人に関連するラベル、パラメータなど)が含まれる。
5.4   自动化决策活动的安全风险 5.4 自動意思決定活動のセキュリティリスク
自动化决策活动的安全风险包括但不限于: 自動意思決定活動のセキュリティリスクには、以下のものが含まれるが、これらに限定されるものではない:
a)       为开展特征生成,个人信息处理者违法违规或过度收集用户个人信息、未充分告知处理目的; a) 機能生成を行うために、個人情報処理者が法律に違反したり、ユーザーから過剰な個人情報を収集したり、処理の目的を適切に通知しなかったりする;
b)      在特征生成过程中,个人信息处理者在不具备合法性基础前提下(如超出用户明确授权范围)对个人信息过度分析或挖掘,侵犯用户隐私或造成用户焦虑恐慌; b) 機能を生成する過程で、個人情報処理業者が合法性の根拠なく(例えば、利用者の明示的な許可の範囲を超えて)個人情報を過剰に分析またはマイニングし、利用者のプライバシーを侵害したり、利用者に不安やパニックを感じさせたりする場合;
c)       对计算机程序开展特征生成背后的算法逻辑或模型等,无法解释或解释不清; c) コンピュータプログラムによって実行される特徴生成の背後にあるアルゴリズム論理やモデルが説明できないか、明確に説明されていない;
d)      特征生成所得出的个人特征与客观情况不符,或不准确; d) 特徴生成から得られる個人的特徴が、客観的状況に対応していない、または不正確である;
e)       特征生成所得出的个人特征包含淫秽、色情、赌博、迷信、恐怖、暴力等内容,或表达对民族、种族、宗教、残疾、疾病等歧视的内容 e) 特徴生成から得られる個人的特徴に、わいせつ、ポルノ、ギャンブル、迷信、テロリズム、暴力などの内容や、民族、人種、宗教、障害、疾病などに対する差別を表す内容が含まれている。
f)       未经合适的评估,完全根据特征生成所提供的信息而对个人开展决策; f) 個人に関する決定が、適切な評価なしに、プロフィール作成によって提供された情報のみに基づいて行われる;
g)      未根据自动化决策造成个人合法权益影响的程度,适当地设置人工介入、干预、修正决策结果的机制; g) 自動化された意思決定が個人の正当な権利と利益に影響を与える程度に応じて、適切な形で、自動化された意思決定の結果に対する人間の介入、干渉、修正のための仕組みを導入していない;
h)      未向个人披露开展自动化决策的具体方式或范围,损害个人的知情权、选择权、拒绝权等。 h) 情報、選択、拒否などに関する個人の権利を害するために、自動意思決定が実施される具体的な方法または範囲を本人に開示しないこと。
i)       在开展自动化决策之前,未开展事前评估而造成不公平或不公正的决策结果,或决策结果对个人权益影响过大且无法修正。 i) 不公正もしくは不当な意思決定結果、または個人の権利および利益に不釣り合いな影響を及ぼし、是正することができない意思決定結果をもたらす、自動意思決定を実施する前の事前評価の不履行。
5.5   自动化决策活动的总体安全策略 5.5 自動意思決定活動の全体的なセキュリティ戦略
针对5.5提出的自动化决策活动的安全风险,开展自动化决策活动的个人信息处理者应根据图1所示的自动化决策流程中的各个环节,实施相应的安全控制措施。 5.5で示した自動意思決定活動のセキュリティリスクに対応し、自動意思決定活動を行う個人情報取扱事業者は、図1に示す自動意思決定プロセスの各段階に基づき、適切なセキュリティ管理措置を実施すべきである。
注:根据图1所示的自动化决策流程中的各个环节,本标准8、9、10章提出了相应的安全要求。 注:図1に示す自動意思決定プロセスの様々なリンクに従って、本基準の第8章、第9章及び第10章は、対応するセキュリティ要件を提案している。
6 基本安全原则 6 セキュリティ基本原則
个人信息处理者应基于以下原则开展自动化决策处理活动: 個人情報処理者は、以下の原則に基づき、自動意思決定処理活動を実施しなければならない:
a)       合法正当原则——应符合相关法律法规规定,不应以欺诈、诱骗、误导的方式进行处理; a) 適法性および正当性の原則 - 関連する法令を遵守し、詐欺的、誘引的、または誤解を招くような方法で処理してはならない;
注:开展自动化决策处理活动的合法性基础包括充分告知,取得同意或为订立/履行个人作为一方当事人的合同所必需或履行法定职责或法定义务所必需等; 注:自動化された意思決定処理活動を実施するための正当な根拠には、特に、十分な情報提供を受けていること、同意を得ていること、または個人が当事者である契約を締結/履行するために必要であること、法的義務もしくは法的義務を履行するために必要であることが含まれる;
b)      公开透明原则——应以明确、易懂和合理的方式向用户公开自动化决策处理活动的方式、范围、逻辑、目的、规则等; b) 公開性と透明性の原則 - 自動化された意思決定処理活動の方法、範囲、論理、目的、規則などは、明確で理解しやすく、合理的な方法で利用者に開示されなければならない;
c)       公平公正原则——应遵循维护社会公平、道德伦理的精神进行处理活动,自动化决策的结果应公平、公正,不应造成不合理的差别待遇; c) 公平・公平の原則 - 処理活動は、社会的公正、道徳、倫理を維持する精神で実施されなければならず、自動意思決定の結果は公正かつ公平でなければならず、不合理な差別的取り扱いをもたらすものであってはならない;
d)      主体参与原则——应向用户提供关于自动化决策的选择、解释、拒绝、投诉等方法。 d) 主体参加の原則-利用者は、自動化された意思決定に関して、選択、解釈、拒否、苦情等の方法を提供されるべきである。
e)       确保数据质量原则——自动化决策应当保证所处理的个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响。 e) データの品質確保の原則 - 自動的意思決定は、処理される個人情報の品質を確保し、不正確で不完全な個人情報によって個人の権利と利益に悪影響が及ぶことを回避しなければならない。
7 基本安全要求 7 基本的なセキュリティ要件
个人信息处理者应满足以下基本要求: 個人情報処理者は、以下の基本要件を満たさなければならない:
a)       自动化决策相关的数据处理活动应符合GB/T 41479—2022要求; a) 自動化された意思決定に関連する情報処理活動は、GB/T 41479-2022 の要求事項を満たさなければならない;
b)      自动化决策相关的个人信息处理活动应符合GB/T 35273—2020要求,如系通过App开展自动化决策处理行为,还应符合GB/T 41391—2022要求; b) 自動意思決定に関連する個人情報処理活動は、GB/T 35273-2020 の要件を満たすものとし、自動意思決定処理がアプリを通じて行われる場合は、GB/T 41391-2022 の要件も満たすものとする;
8 自动化决策算法的安全要求 8 自動意思決定アルゴリズムのセキュリティ要件
8.1 一般性要求 8.1 一般要件
自动化决策算法,包括特征生成中所使用的算法,以及决策中所使用的算法,均应符合本章的要求。如果使用的是机器学习算法,还应满足《信息安全技术 机器学习算法安全评估规范》的要求。 自動意思決定アルゴリズムは、特徴生成に使用されるアルゴリズム及び意思決定に使用されるアルゴリズ ムを含め、本章の要件に準拠しなければならない。 機械学習アルゴリズムを使用する場合は、「機械学習アルゴリズムのセキュリ ティ評価のための情報セキュリティ技術仕様」の要件も満たすものとする。
8.2 算法影响评估 8.2 アルゴリズムの影響評価
个人信息处理者或算法开发方在自动化决策算法开发前应: 個人情報取扱者又はアルゴリズム開発者は、自動意思決定アルゴリズムの開発に先立ち、以下のことを行わなければならない:
a)   明确自动化决策算法所用于的目的或场景,包括但不限于: a) 自動意思決定アルゴリズムが使用される目的またはシナリオを定義する:
1)   使用自算法的产品或服务所属的行业或领域,以及其所满足的具体用户需求 1) アルゴリズムが使用される製品またはサービスの業種または分野、およびそれが満たす特定のユーザーニーズ
2)   使用算法的产品或服务与对象人群的互动方式; 2) アルゴリズムが使用される製品またはサービスが対象集団と相互作用する方法;
3)   算法所适用的对象人群的基本情况和一般期待。 3) アルゴリズムが適用される対象集団の基本プロファイルと一般的な期待。
b)   明确自动化决策算法就所用于的目的或场景来说所支持的具体任务,例如计算价格、信息内容推荐等; b) 自動意思決定アルゴリズムが使用される目的またはシナリオ(例えば、価格計算、情報コンテンツの推奨など)において、そのアルゴリズムがサポートする具体的なタスクを特定する;
c)   开展自动化决策算法影响评估。评估内容包括但不限于: c) 自動意思決定アルゴリズムの影響評価を実施する。 評価には以下が含まれるが、これらに限定されない:
1)   预期的自动化决策算法的行为表现及相应的效率或收益的提升; 1) 自動意思決定アルゴリズムの期待される行動性能と、それに対応する効率または収益の利益;
2)   明确非预期或错误的自动化决策算法的行为表现及相应的成本; 2) 意図しない又は誤った自動意思決定アルゴリズムの行動実績及び対応するコストの特定;
3)   根据预期的自动化决策算法的使用情况、过去在类似情况下对自动化决策算法的使用、事件报告或其他数据,了解自动化决策算法可能产生负面影响的风险,特别是对个人权益的影响。 3) 自動意思決定アルゴリズムの意図された使用、類似の状況における自動意思決定アルゴリズムの過去の使用、事故報告又はその他のデータに基づく、特に個人の権利及び利益に対する、自動意思決定アルゴリズムの起こりうる負の影響のリスクの理解。
d)   在自动化决策算法可能对个人权益造成重大影响时,通过独立第三方或组建专家委员会开展自动化决策算法影响评估; d) 自動意思決定アルゴリズムが個人の権利・利益に重大な影響を及ぼす可能性がある場合、独立した第三者を通じて、または専門家委員会を組織して、自動意思決定アルゴリズム影響評価を実施する;
e)   根据自动化决策算法影响评估的结果,明确与算法支持的具体任务相适配的算法安全目标,包括但不限于算法安全的技术特征要求、逻辑特征要求、人工介入、训练和测试数据要求。 e) 自動意思決定アルゴリズム影響評価の結果に基づき、アルゴリズムセキュリティの技術的機能要件、論理的機能要件、人の介入、訓練及びテストデータ要件を含むがこれらに限定されない、アルゴリズムがサポートする特定のタスクに適切なアルゴリズムセキュリティ目標を特定する。
8.3 算法安全的技术原则 8.3 アルゴリズム・セキュリティの技術的原則
个人信息处理者或算法开发方应根据算法影响评估结果,确保用于自动化决策算法具备符合其所支持的具体任务所需的: 個人情報処理機関またはアルゴリズム開発者は、自動意思決定に使用されるアルゴリズムが、アルゴリズム影響評価の結果に基づき、それらがサポートする特定のタスクを満たすために必要な要件を備えていることを保証しなければならない:
a)   准确度,即算法能正确捕捉训练数据中存在的相关或因果关系; a) 正確性:アルゴリズムが訓練データに存在する相関関係又は因果関係を正しく捉えていること;
b)   可靠性,即算法能在可接受的统计误差范围内持续产生相同的结果; b) 信頼性:アルゴリズムが許容可能な統計的誤差の範囲内で、一貫し て同じ結果を出すこと;
c)   稳健性,即算法对不可控因素的变化具有最小的敏感性; c) 堅牢性:アルゴリズムが制御不能な要因の変化に対して最小限の感度を持つこと;
d)   复原力,即算法能够抵御对抗性攻击。 d) 弾力性:アルゴリズムが敵の攻撃に耐えることができる。
8.4 算法安全的逻辑原则 8.4 アルゴリズムセキュリティの論理原則
个人信息处理者或算法开发方应根据算法影响评估结果,确保用于自动化决策算法具备符合其所支持的具体任务所需的: 個人情報取扱事業者またはアルゴリズム開発者は、アルゴリズム影響評価の結果に基づき、自動化された意思決定に使用されるアルゴリズムが、それらがサポートする特定のタスクを満たすために必要なものを有していることを保証すべきである:
a)   可解释性,即个人信息处理者能够提供一个关于算法分析或评估结果如何产生的程序性或因果性的描述; a) 解釈可能性:個人情報処理者が、アルゴリズムによる分析または評価の結果がどのように生成されたかについて、手続き上または原因上の説明を提供できること;
b)   可理解性,即算法分析或评估结果就其所用于的目的或场景来说具有能被人所认识的含义; b) 理解可能性:アルゴリズムによる分析または評価の結果が、それらが使用される目的またはシナリオに関連して、人間が認識できる意味を持つこと;
c)   隐私性,即算法对个人私密空间、私密活动、私密信息的侵扰可度量和可控制; c) プライバシー:個人の私的空間、私的活動、私的情報へのアルゴリズ ムの侵入が測定可能であり、制御可能であること;
d)   非歧视性,即算法基于具有人群代表性的数据开展训练,以及算法设计中避免人为歧视性观念; d) 非差別的:アルゴリズムは母集団を代表するデータに基づいて訓練され、またアルゴリズムは人為的な差別的認識を避けるように設計されている;
e)   公平性,即算法应一致地适用于就起所用于的目的或场景来说条件相同的个人。 e) 公平性:アルゴリズムが使用される目的またはシナリオに関して同質である個人に一貫して適用されるべきである。
8.5 算法安全的人工介入要求 8.5 アルゴリズムのセキュリティのための人的介入要件
个人信息处理者或算法开发方应: 個人情報処理機関またはアルゴリズム開発者は、以下のことを行わなければならない:
a)   开发支持人机交互的界面和工具,以便自然人能够有效监督自动化决策算法及其计算机程序在运行过程中持续符合算法安全的技术特征要求和逻辑特征要求; a) 自動意思決定アルゴリズム及びそのコンピュータ・プログラムが、その運用中、アルゴリズム・セキュリティの技術的機能要件及び論理的機能要件を一貫して満たしていることを、自然人が効果的に監督できるように、人間とコンピュータの対話をサポートするインターフェース及びツールを開発する;
b)   确保所开发的支持人机交互的界面和工具能够让自然人: b) 人とコンピュータのインタラクションを支援するために開発されたインタ フェースとツールにより、自然人が以下を行うことができるようにす る:
1)   了解自动化决策算法的能力和限制,并监测其运行状况,以便尽快检测并解决运作异常、功能失调和突发问题; 1) 自動意思決定アルゴリズムの能力と限界を理解し、その運用を監視することで、運用上の異常、誤動作、予期せぬ問題を可能な限り迅速に検知し、解決できるようにする;
2)   正确解释自动化决策算法的输出; 2) 自動意思決定アルゴリズムの出力を正しく解釈する;
3)   在任何特定情况下决定不使用自动化决策算法及其计算机程序,或忽略、推翻或撤销自动化决策算法的输出; 3) どのような状況においても、自動意思決定アルゴリズムとそのコンピュータプログラムを使用しないこと、または自動意思決定アルゴリズムの出力を無視、上書き、取り消すことを決定すること;
4)   能够干预自动化决策算法及其计算机程序的运行,尤其是中断其运行。 4) 自動意思決定アルゴリズム及びそのコンピュータプログラムの操作に、特にその操作を中断することによって介入できるようにすること。
8.6 算法安全的训练和测试数据要求 8.6 アルゴリズムのセキュリティのための訓練及びテストデータの要件
个人信息处理者或算法开发方应确保用于训练和测试算法的数据: 個人情報処理者またはアルゴリズム開発者は、アルゴリズムの訓練およびテストに使用されるデータが以下のものであることを保証しなければならない。
a)   准确性、均衡性、相关性、充分性、可靠性、规范程度符合要求; a) 正確性、バランス、関連性、妥当性、信頼性、標準化のレベルが要求事項を満たしている;
b)   相关数据在最初选择、标注等环节不存在缺乏公平、包含偏见与歧视或者范围是否与算法目标相匹配的问题; b) 関連データが公正さを欠いたり、偏りや差別を含んでいたり、最初の選択、ラベリング等においてアルゴリズムの目標と範囲が一致していない;
c)   不存在被攻击或污染的情况; c) 攻撃や汚染を受けていない;
d)   在用于训练和测试时具备合适的合法性基础,如样本数据采集和标注、测试数据进行模型测试、算法模型收敛且可用于生成个人信息(例如使用训练好的算法模型对个人进行信用评分或者偏好预测)等阶段。 d) サンプルデータの収集とラベリング、テストデータによるモデルテスト、アルゴリズミックモデルの収束の段階など、トレーニングやテストに使用され、個人情報を生成するために使用できる場合(例えば、トレーニングされたアルゴリズミックモデルを使用した信用スコアリングや個人の嗜好予測など)に、適切な正当性の根拠がある。
注:对于预处理(向量化)的数据,也可能会构成个人信息,若确实有证据可证明无法直接或间接根据在模型训练过程中所涉及的数据用于关联或识别个人,即相关数据进行了匿名化处理,此类数据不再构成个人信息。 注:前処理された(ベクトル化された)データも個人情報を構成する可能性があるが、モデルの訓練に関係するデータに基づいて、直接又は間接的に個人を関連付け又は識別することが不可能であるという証拠がある場合、すなわち当該データが匿名化されている場合、当該データはもはや個人情報を構成しない。
8.7 算法开发的技术文档要求 8.7 アルゴリズム開発のための技術文書要件
开发自动化决策算法应当形成配套的技术文档以供相关方查阅。技术文档的内容包括但不限于: 自動意思決定アルゴリズムの開発には、関係者が利用できる技術文書を添付しなければならない。 技術文書の内容は以下を含むが、これに限定されない。
a)   对自动化决策算法的一般描述,包括: a) 自動意思決定アルゴリズムの一般的な説明:
1)   预期支持的具体任务、系统开发人员和日期、系统版本; 1) サポートが期待される具体的なタスク、システム開発者および日付、 システムのバージョン;
2)   自动化决策算法与系统外的硬件或软件交互方式; 2) 自動意思決定アルゴリズムがシステム外のハードウェアまたはソフトウェアとどのように相互作用するか;
3)   相关计算机程序或固件的版本以及所有版本更新要求; 3) 関連するコンピュータプログラムまたはファームウェアのバージョンおよびすべてのバージョン更新要件;
4)   对自动化决策算法投入使用的所有形式的说明; 4) 自動意思決定アルゴリズムが使用されるすべての形態の説明;
5)   对搭载自动化决策算法的硬件的描述; 5) 自動意思決定アルゴリズムのベースとなるハードウェアの説明;
6)   搭载自动化决策算法的产品的外部特征展示照片或插图、标记和内部布局; 6) 自動意思決定アルゴリズムを組み込んだ製品の外形的特徴、マーキング、内部レイアウトの写真またはイラスト;
7)   使用说明或安装指南。 7) 使用説明書または設置ガイド
b)   对自动化决策算法的要素及其开发流程的详细说明,包括: b) 自動意思決定アルゴリズムの要素とその開発プロセスの詳細な説明:
1)   为开发自动化决策算法所采取的方法和步骤,包括使用第三方提供的预训练系统或工具以及提供方使用、集成或修改这些系统或工具的方式; 1) 自動意思決定アルゴリズムを開発するために取られた方法論と手順(第三者によって提供される事前訓練システムまたはツールの使用、およびプロバイダがそれらのシステムまたはツールを使用、統合、または修正する方法を含む。
2)   自动化决策算法的设计规范,即通用逻辑、关键设计选择(包括所作的理由和假设,也涉及该系统拟针对的个人或群体)、主要分类选择、算法旨在优化的内容,以及不同参数的相关性; 2) 自動意思決定アルゴリズムの設計仕様、すなわち、一般的なロジック、主要な設計上の 選択(根拠及び仮定を含むが、システムが対象とする個人又は個人のグループとの関連も 含む)、主要な分類の選択、アルゴリズムが最適化することを意図するもの、及び異なるパラメー タの関連性;
3)   为实现算法的技术特征要求和逻辑特征要求而采用的技术解决方案相关的任何可能的权衡决定; 3) アルゴリズムの技術的・論理的特性化要件を実現するために使用する技術的解決策に関連する、トレードオフの決定が可能なもの;
4)   对计算机程序架构的描述,说明程序组件如何相互依赖或相互输入并集成到整体处理中; 4) コンピュータプログラムのアーキテクチャの説明。プログラムの構成要素が、どのように互いに依存し、または互いに影響し合い、全体的な処理に統合されているかを示す。
5)   用于开发、训练、测试和验证自动化决策算法的计算资源。 5) 自動意思決定アルゴリズムの開発、訓練、試験、検証に使用した計算資源。
c)   对自动化决策算法训练过程的记录,特别是对训练方法和技术以及使用的训练数据集进行描述(包括:数据集的来源、范围和主要特征、获取和选择数据的方式、标签程序、数据清理方法等) c) 自動意思決定アルゴリズムの訓練プロセスの文書、特に訓練方法と技法及び使用した訓練データセットの説明(データセットの出所、範囲及び主な特徴、データの取得と選択の方法、ラベリング手順、データクリーニングの方法などを含む。)
d)   使用的验证和测试程序的相关信息,包括: d) 使用した検証および試験手順に関する情報(以下を含む):
1)   所用验证和测试数据及其主要特征的信息; 1) 使用した検証・試験データとその主な特徴に関する情報;
2)   用于衡量对算法技术特征要求和逻辑特征要求的符合性的指标; 2) アルゴリズムの技術的特性要件及び論理的特性要件への準拠を測定するために使用された測定基準;
3)   测试日志以及所有由责任人注明日期并签名的测试报告。 3) 責任者が署名した日付入りの試験記録及びすべての試験報告書。
e)   对为符合人工介入要求所采取措施的评估情况。 e) 人の介在に関する要求事項を遵守するために講じられた措置の評価。
8.8 算法安全的运行要求 8.8 アルゴリズムのセキュリティに関する運用上の要求事項
为持续监测在算法影响评估中所确定的负面影响的相关情况,决定部署自动化决策算法及其计算机程序的个人信息处理者应: アルゴリズムによる影響評価で特定された負の影響に関連する状況を継続的に監視するため、自動意思決定アルゴリズム及びそのコンピュータプログラムの導入を決定した個人情報処理者は、以下の事項を実施しなければならない:
a)   明确针对技术特征、逻辑特征、人工介入要求的定量或定性监测指标和监测方法; a) 技術的特徴、論理的特徴及び人的介入要件に対応する定量的又は定性的な監視指標及び監視方法を規定する;
b)   明确对应各个负面影响的定量或定性监测指标和监测方法,例如用户反馈、投诉、事件舆情等; b) ユーザーのフィードバック、苦情、イベント世論など、個別の負の影響に対応する定量的または定性的な監視指標および監視方法を規定する;
c)   建立有效的影响追踪机制,在必要的情况下,通过外部人员协助监测自动化决策算法及其计算机程序与预期行为表现的偏差,例如功能蠕变; c) 自動意思決定アルゴリズム及びそのコンピュータプログラムの、期待される行動性能からの逸脱、例えばファンクションクリープを監視するための効果的な影響追跡メカニズムを、必要に応じて外部の支援を通じて確立する;
d)   基于监测结果定期开展算法影响评估。对个人权益有重大影响的自动化决策算法应每半年开展一次算法影响评估; d) モニタリング結果に基づき、アルゴリズムによる影響評価を定期的に実施する。 個人の権利や利益に重大な影響を与える自動意思決定アルゴリズムは、6ヶ月ごとにアルゴリズム影響評価を実施する;
e)   根据算法影响评估结果采取减轻负面影响的措施; e) アルゴリズム影響評価の結果に基づき、負の影響を緩和するための措置を講じる;
f)   事先建立负面影响应对方案和机制,以更新、替代或停用与其预期行为表现不一致的自动化决策算法及其计算机程序。 f) 自動意思決定アルゴリズムおよびそのコンピュータプログラムが期待される行動性能と矛盾する場合、更新、交換、または無効化するための負の影響対応プログラムおよびメカニズムを事前に確立する。
9 特征生成的安全要求 9 特徴生成のためのセキュリティ要件
9.1 特征生成的个人信息处理要求 9.1 特徴生成における個人情報の取り扱いに関する要求事項
9.1.1 个人信息处理的基本要求 9.1.1 個人情報処理の基本要件
个人信息处理者应选择和收集与特定业务目的相匹配的个人信息类型,并同时符合9.1.2至9.1.4的要求。 個人情報処理者は、特定の事業目的に合致した個人情報の種類を選択し収集すると同時に、9.1.2 から 9.1.4 の要求事項を遵守しなければならない。
9.1.2 个人信息收集的真实性要求 9.1.2 個人情報収集の真正性に関する要求事項
个人信息处理者应确保所收集的个人信息的真实性,包括但不限于: 個人情報処理者は、収集した個人情報の真正性を確保しなければならない:
a)   确保个人信息来源真实,即保障个人信息来自原始、可靠的数据源,而非虚构或伪造的来源; a) 個人情報の出所が真正であることを保証すること、すなわち、個人情報が、架空または改ざんされた出所からではなく、オリジナルで信頼できるデータ出所から提供されたものであることを保証すること;
b)   确保个人信息未经篡改,即保障个人信息在收集、处理和传输的过程中保持了原始状态,没有受到恶意篡改、损坏或删除; b) 個人情報が改ざんされていないことを保証すること、すなわち、個人情報が収集、処理、送信の間、元の状態に維持され、悪意による改ざん、損傷、削除が行われていないことを保護すること;
c)   必要的情况下开展身份验证,即保障个人信息提供者或收集者的身份是否经过验证,其身份情况是否能够保障个人信息的真实性和准确性; c) 必要に応じて本人確認を行うこと、すなわち、個人情報の提供者または収集者の身元を確認し、その身元が個人情報の真実性および正確性を保証する状態にあることを保護すること;
d)   确保个人信息收集的透明度,即保障个人信息收集和清洗的过程透明,以及可审查和可验证,以确保个人信息的真实性。 d) 個人情報の収集における透明性の確保、すなわち、個人情報の収集および浄化のプロセスが透明であり、個人情報の真正性を確保するためにレビュー可能で検証可能であることを保護する。
9.1.3 个人信息收集的准确性要求 9.1.3 個人情報収集の正確性に関する要求事項
个人信息处理者应确保所收集的个人信息的准确性,包括但不限于: 個人情報処理者は、収集した個人情報の正確性を確保するものとする:
a)   确认所收集的个人信息类型应能反映个人信息主体的实际情况; a) 収集する個人情報の種類が、個人情報の主体の実態を反映していることを確認すること;
注:必要时可采取相关措施对个人信息的客观性进行验证。 注)必要に応じて、個人情報の客観性を確認するための措置を講じることがある。
b)   确认所收集的个人信息的相关性与典型性; b) 収集する個人情報の関連性及び典型性を確認すること;
c)   确认所收集的个人信息为最新状态,避免因信息过时而影响个人信息的准确性。 c)古い情報により個人情報の正確性が損なわれないよう、収集した個人情報が最新のものであることを確認すること。
注:如果数据不准确或过时,依赖于此的特征生成也可能由于建立在过期的数据或带有错误解释的外部数据基础之上。 注:データが不正確または古い場合、それに依拠する機能生成もまた、古いデータまたは不正確な解釈を伴う外部データに基づいている可能性がある。
9.1.4 个人信息收集的合法性要求 9.1.4 個人情報の収集に関する正当性の要件
个人信息处理者应确保收集个人信息的合法性,包括但不限于: 個人情報の処理者は、以下を含むがこれに限定されない、個人情報の収集の合法性を確保しな ければならない:
a)   根据收集个人信息的不同阶段以及不同场景考虑选择适当的合法性基础,包括但不限于: a) 個人情報収集の様々な段階及び様々なシナリオに基づいて、適切な合法性の根拠を選 択することを検討する:
1)   基于同意时,提供充分清楚且全面的信息确保个人信息主体理解其同意的内容,引入颗粒化同意流程,提供简单的路径为不同目的的数据处理获取同意并提供便捷的撤回同意机制; 1) 同意に基づく場合、個人情報の主体が同意の内容を理解できるよう十分明確で 包括的な情報を提供し、きめ細かな同意プロセスを導入し、異なるデータ処理 目的について同意を得るための簡単な経路を提供し、同意を撤回するための便利なメ カニズムを提供する;
2)   基于履行合同之必要时,根据具体场景下的合同或服务目的的必要性和正当性适用,且客观上已衡量过其他的方式后谨慎采用; 2) 契約の履行に必要な場合、特定のシナリオにおける契約またはサービスの目的の必要性と正当性に従って適用し、代替方法を客観的に比較検討した上で慎重に採用する;
3)   基于履行法定义务时,仅在出于公共利益、风险防控或者确保个人信息处理者提供服务的安全性和可靠性等目的,并制定适当的措施保障用户的权利与正当利益后开展,例如预防欺诈、反作弊策略以及反洗钱等情形。 3) 法的義務の履行に基づく場合、公益、リスクの予防および管理、または個人情報の処理者が提供するサービスの安全性および信頼性を確保する目的のためにのみ実施され、詐欺防止、不正行為対策、マネーロンダリング対策の場合など、利用者の権利および正当な利益を保護するための適切な措置が講じられた後に実施される。
b)   在最小范围和数量内收集为实现特征生成所必需的具有直接关联的个人信息; b) 機能の生成に必要な個人情報に直接関連する個人情報を、最小限の範囲と量で収集する;
c)   确保公开透明,通过清晰易懂的方式主动披露存在特征生成的动作,并宜事先告知处理逻辑。 c) 明確かつ理解しやすい方法で、特徴生成の行為の存在を積極的に開示し、適切な 場合には処理ロジックを事前に通知することにより、公開性と透明性を確保する。
9.2 特征生成的计算安全要求 9.2 特徴生成に関する計算セキュリティ要件
9.2.1 一般安全要求 9.2.1 一般的なセキュリティ要件
利用计算机程序开展特征提取、特征选择、特征计算、特征输出时,个人信息处理者应确保计算机程序及其算法满足第8章的要求,并同时符合9.2.2至9.2.4的要求。 コンピュータプログラムを使用して特徴抽出、特徴選択、特徴計算及び特徴出力を行う場合、 個人情報処理組織は、コンピュータプログラム及びそのアルゴリズムが第8章の要求事項を満たし、 同時に9.2.2~9.2.4の要求事項を満たすことを保証しなければならない。
9.2.2 特征提取的要求 9.2.2 特徴抽出に関する要求事項
个人信息处理者应: 個人情報処理者は、次のことを行わなければならない:
a)   预先对所收集的个人信息进行有效的预处理,包括数据清洗与特征工程等; a) 収集した個人情報を、データクレンジング、特徴工学を含む効果的な前処理を行う;
b)   排查所收集的个人信息的缺失值、异常值、重复值,规范个人信息的格式、结构、类型等要素; b) 収集した個人情報の欠損値、異常値、重複を検査し、個人情報のフォーマット、構造、型、その他の要素を標準化する;
c)   确保提取的数据特征的一致性、有效性和可用性; c) 抽出されたデータ特徴の一貫性、妥当性、使いやすさを確保する;
d)   确保所提取的特征不存在不公平、偏见的情形。 d) 抽出された特徴が不公平または偏ったものでないことを確認する。
9.2.3 特征选择和特征计算的要求 9.2.3 特徴の選択及び特徴の計算に関する要求事項
个人信息处理者应: 個人情報処理事業者は、次のことを行わなければならない:
a)   选择对实现特定业务目的最有预测能力的特征; a) 特定のビジネス目的を達成するために最も予測力のある特徴を選択する;
b)   考虑到选择的特征之间的相关性,避免过多的相关性冗余; b) 選択された特徴間の相関を考慮することにより、関連性の過度の冗長性を避ける;
c)   避免选择可能引入不公平或歧视性待遇的特征; c) 不公平または差別的取り扱いをもたらす可能性のある特徴を選択しないこと;
d)   确保选择数据特征时的平衡性,避免因偏重或缺失某一类型的个人信息导致特征计算和输出存在错误的情形; d) データ特徴の選択がバランスよく行われ、特定の種類の個人情報が優先されたり欠落 したりすることにより、特徴の計算や出力に誤りが生じるような状況を回避す る;
e)   开展进一步的特征计算,如发现选取的数据特征与实现特定业务目标之间存在不足关系时。  e) 選択されたデータ特徴と特定のビジネス目的の達成との間に不十分な関係が見出された場 合、さらなる特徴計算を行うこと。
9.2.4 特征输出的安全要求 9.2.4 特徴出力のセキュリティ要件
个人信息处理者应: 個人情報処理機関は、次のことを行わなければならない:
a)   确保输出的对个人信息主体特征的描述不应表达对性别、民族、种族、年龄、宗教、残疾、疾病、性取向歧视的内容; a) 個人情報の対象者の特徴に関する記述の出力が、性別、民族性、人種、年齢、宗教、障 害、疾病、または性的指向に対する差別を表現しないことを保証する;
b)   对特征生成所使用计算机程序中的函数机制、网络结构机制、数据机制、模型评价机制等进行审慎评估与测试,并采用特定的机制削弱程序输出可能带来的偏见与歧视,保障输出的准确性、适当性与公平性 b) 特徴生成に使用するコンピュータプログラムの機能メカニズム、ネットワーク構造メカニズム、データメカニズム、モデル評価メカニズムなどを慎重に評価・テストし、プログラムの出力によってもたらされる可能性のある偏りや差別を弱めるための具体的なメカニズムを採用し、出力の正確性、適切性、公正性を保証する。
10 决策的安全要求 10 意思決定に必要なセキュリティ要件
10.1 决策的基本安全要求 10.1 意思決定に関する基本的なセキュリティ要件
个人信息处理者基于特征生成进行针对个人的决策时: 個人情報処理機関が特徴生成に基づき個人固有の意思決定を行う場合
a)   不应侵害公民、法人和其他组织的合法权益; a) 国民、法人、その他の組織の正当な権利と利益を侵害してはならない;
b)   不应危害国家安全、荣誉和利益,煽动颠覆国家政权、推翻社会主义制度,煽动分裂国家、破坏国家统一,宣扬恐怖主义、极端主义,宣扬民族仇恨、民族歧视; b) 国家の安全、名誉、利益を危険にさらし、国家権力の転覆と社会主義体制の転覆を扇動し、国家の分離独立を扇動し、国民団結を損ない、テロリズムと過激主義を助長し、民族憎悪と民族差別を助長してはならない;
c)   不应传播暴力、淫秽色情信息,编造、传播虚假信息扰乱经济秩序和社会秩序。 c) 暴力的、わいせつ、ポルノ的な情報を流布し、経済・社会秩序を乱す虚偽の情報を捏造・流布してはならない。
10.2 决策的告知要求 10.2 意思決定のための情報提供要件
个人信息处理者应向个人提供关于自动化决策的相关信息: 個人情報取扱者は、自動的な意思決定に関する関連情報を個人に提供しなければならない:
a)   易于理解的自动化决策处理说明指引,包括但不限于: a) 以下を含むがこれに限定されない、自動意思決定処理指示のための分かりやすいガイドライン:
1)   自动化决策处理动作所基于的个人信息; 1) 自動化された意思決定処理の根拠となる個人情報;
2)   自动化决策处理的逻辑; 2) 自動化された意思決定処理の論理
b)   个人对自动化决策行为及结果享有的权利以及行使方式; b) 自動化された意思決定行為とその結果に関する個人の権利、およびその行使方法;
c)   便捷有效的反馈渠道与机制。 c) 便利で効果的なフィードバックの経路と仕組み
10.3 决策中的个人权益保障要求 10.3 意思決定における個人の権利および利益の保護に関する要件
    个人信息处理者应基于特定的自动化决策场景情形为个人提供权益保障,包括但不限于:     個人情報処理機関は、特定の自動意思決定シナリオに基づき、以下の事項を含むがこれに限定されない、個人の権利および利益の保護を提供しなければならない:
a)   响应解释请求。面对个人对自动化决策的解释请求,针对提出解释请求的个人的基本情况,适当地说明决策逻辑、价值权重、个人数据利用情况等; a) 説明要求への対応。 自動化された意思決定に関する説明を求める個人の要求に直面した場合、説明要求を行う個人の基本的な状況に関して、意思決定の論理、価値の重み付け、個人データの利用などを適切に説明しなければならない;
b)   响应干预请求,包括但不限于: b) 介入要請に対応する:
1)   向个人提供选择或者删除用于算法推荐服务的针对其个人特征的标签的机制; 1) アルゴリズムによる推薦サービスで使用するために、個人の特性に特化したラベルを選択または削除する仕組みを個人に提供する;
2)   在通过自动化决策方式向个人进行信息推送、商业营销时,向个人提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式; 2) 自動化された意思決定手法や商業マーケティングを通じて情報が個人に押し付けられる場合、個人特性を対象としない選択肢を個人に提供する、または、それを拒否する便利な方法を個人に提供する;
3)   向个人提供拒绝个人信息处理者仅通过自动化决策的方式作出决定的机制。 3) 自動化された意思決定のみによって個人情報の処理者が行う決定を拒否する仕組みを個人に提供すること。
11 对个人权益有重大影响的自动化决策典型场景特殊要求 11 個人の権利および利益に重大な影響を及ぼす自動意思決定の典型的なシナリオに関する特別な要件
11.1 教育或职业机会 11.1 教育またはキャリアの機会
在教育、工作机会推荐或候选人评估过程中通过计算机程序自动分析人选特征,并根据特定特征指标完成筛选匹配时,个人信息处理者: 教育、就職機会の推薦または候補者評価の過程で、コンピュータプログラムを通じて候補者の特性を自動的に分析し、特定の特性指標に基づくスクリーニングマッチを完了する場合、個人情報処理機関は以下のことを行う:
a)   不应设置歧视性或者偏见性用户标签并据此设定筛选策略,例如仅在通过行为分析推测候选人为中年已育女性的情况下,直接将该候选人筛出面试名单,或设置为其匹配高薪主管岗位的机会远低于同等情况下的男性候选人的系统策略等; a)差別的または偏った利用者ラベルを設定し、それに応じてスクリーニング戦略を設定してはならない。例えば、候補者が中年で出産経験のある女性であると行動分析によって推定される場合にのみ、面接リストから候補者を直接スクリーニングしたり、同じ状況にある男性候補者よりも高給の監督職とマッチングする確率が大幅に低くなるような体系的戦略を設定したりする等である;
b)   应为用户提供拒绝个人信息处理者仅通过自动化决策的方式作出决定的机制。 b) 利用者は、自動化された意思決定のみによる個人情報処理者による決定を拒否する仕組みを提供されるべきである。
11.2 信用贷款或保险评估 11.2 与信枠または保険の評価
在判定是否向某位申请人发放贷款或通过某项保险险种申请、确定贷款发放额度等场景下,通过计算机程序自动分析人选行为特征推断其信用、健康情况作出决定时,个人信息处理者: 申込者に対する融資の可否、保険契約による申込の可否、融資額の決定等において、申込者の行動特性を自動的に分析し、申込者の信用や健康状態を推測するコンピュータ・プログラムによって決定が行われる場合、個人情報処理機関は、次のことを行う:
a)   不应在用户不知情且未获得用户授权或具备其他合法性基础前提下,仅通过对该用户的App浏览行为习惯等间接指标,甚至与该用户具有同类特征的一类用户的情况间接推断对该用户进行信用评分,未直接基于其信用记录情况下,作出不通过其前述申请的决定; a) 利用者が知らないうちに、また、利用者の承認やその他の合法性の根拠を得ずに、利用者のアプリ閲覧習慣などの間接的な指標のみに基づいて、あるいは、利用者と類似した特性を持つ利用者のカテゴリーの状況を間接的に推測して、利用者の申請を承認しない決定を下してはならない;
b)   不应设置歧视性或者偏见性用户标签,例如残疾、患有恶疾等标签内容,如评估行为所必须,仅得如实、客观、准确该用户身体特征及疾病情况; b) 障害者、悪性疾患に罹患しているなどの差別的・偏見的な利用者レッテルを設定してはならず、審査行動に必要な場合のみ、利用者の身体的特徴や病気について真実かつ客観的で正確でなければならない;
c)   应为用户提供拒绝个人信息处理者仅通过自动化决策的方式作出决定的机制。 c)利用者が、自動化された意思決定のみによって個人情報処理者が行う決定を拒否できる仕組みを提供すべきである。
11.3 社会福利资格等公共治理领域 11.3 社会福祉資格などの公的ガバナンス分野
通过自动化决策在行政管理活动中作出例如给予或不给予行政许可或审批等决定的行为时,个人信息处理者应: 行政上の許認可を与えるか与えないかといった行政活動において、例えば自動化された意思決定によって意思決定を行う行為を行う場合、個人情報処理者は以下のことを行わなければならない:
a)   考虑到决策行为可能对个人产生极为重大的影响,并提供便捷有效的方式为个人提供申诉渠道,及时对个人诉求予以处理; a) 意思決定行為が個人に極めて重大な影響を及ぼす可能性があることを考慮し、個人に不服申し立ての手段を提供し、個人の主張を適時に処理するための便利で効果的な方法を提供する。
b)   建立安全可行的公示方式,在合理范围内确保公众知情权,接受公众监督; b) 国民の知る権利を合理的な範囲内で確保し、国民の監視を受けるために、安全かつ実行可能な公開手段を確立する;
a)       为个人提供拒绝个人信息处理者仅通过自动化决策的方式作出决定的机制。 a) 自動化された意思決定のみによって個人情報取扱事業者が行う決定を、個人が拒否できる仕組みを提供する。
11.4 特殊群体的自动化决策场景安全要求 11.4 特別な集団に対する自動意思決定シナリオのセキュリティ要件
11.4.1 儿童 11.4.1 子ども
针对儿童进行自动化决策处理时,个人信息处理者: 自動化された意思決定処理が子どものために行われる場合、個人情報処理者は、以下のことを行う:
a)   除有充分事由且考虑了儿童的最大利益、并采取适当措施保护儿童免受有害影响外,原则上不应对儿童开展自动化决策处理: a) 原則として、正当な理由があり、子どもの最善の利益が考慮され、子どもを有害な影響から保護するための適切な措置が講じられていない限り、子どもに対して自動意思決定処理を実施すべきではない:
b)   如需对儿童进行自动化决策(例如为了保护儿童的福利),需要提供适合该年龄段理解的信息,说明儿童个人数据会怎么处理以及潜在风险,并采取适当的保障措施确保有效保护儿童的权利和合法利益; b) 自動化された意思決定が子どもに対して必要な場合(子どもの福祉を守るためなど)、子どもの個人データがどのように処理されるのか、また潜在的なリスクについて、その年齢層の理解に適した情報を提供する必要があり、子どもの権利と正当な利益が効果的に保護されるよう、適切な保護措置を講じる必要がある;
c)   不应利用算法推荐服务诱导未成年人沉迷网络; c) アルゴリズムによる推奨サービスは、未成年者をインターネット中毒にさせるために使用すべきではない;
d)   不应出于营销目的对儿童进行特征生成分析并开展相应个性化营销服务。 d) マーケティング目的のために子どもをプロファイリングすべきではなく、それに応じてパーソナライズされたマーケティングサービスを実施すべきではない。
11.4.2 老年人 11.4.2 高齢者
针对老年人进行自动化决策处理时,个人信息处理者应在自动化决策算法设计中做好针对老年人的适老化改造,避免将老年人排除于自动化决策之外。 高齢者を対象とした自動意思決定処理を行う場合、個人情報取扱事業者は、自動意思決定から高齢者を排除しないよう、自動意思決定アルゴリズムの設計において、高齢者のために年齢に応じた適応を行うべきである。
11.4.3 劳动者 11.4.3 労働者
针对劳动者进行自动化决策处理时,个人信息处理者: 労働者を自動意思決定処理の対象とする場合、個人情報処理機関は以下のことを行う:
a)   不应利用自动化决策算法对劳动者进行压榨与操纵; a) 労働者を抑圧し、操作するために自動意思決定アルゴリズムを使用してはならない;
b)   不应侵害法律法规所规定的劳动者合法权益; b) 法律および規制で定義されている労働者の正当な権利および利益を侵害してはならない;
c)   利用算法进行绩效管理、人事管理时,应在算法设计层面引入劳动权益保护考量;  c) 業績管理および人事管理のためにアルゴリズムを使用する場合、労働者の権 利および利益の保護に対する配慮をアルゴリズム設計のレベルで導入す べきである; 
d)   向劳动者提供工作调度功能时(劳动报酬、休息休假,订单分配、工作时间、奖惩措施等功能),应为劳动者设立便捷明晰的意见反馈与投诉处理机制。 d) 労働者に作業スケジュール機能(報酬、休憩、休暇、命令割当、労働時間、褒賞、懲罰など)を提供する場合、労働者にとって便利で明確なフィードバックおよび苦情処理メカニズムを設定すべきである。
12 其他典型的自动化决策场景特殊要求 12 その他の典型的な自動意思決定シナリオに関する特別要件
12.1 信息推送、商业营销 12.1 情報プッシュ、商業マーケティング
利用特定个人或其所在群体相关的个人信息通过弹窗等形式向个人进行信息精准分发或向其发送商业广告时,个人信处理者: 特定の個人または集団に関連する個人情報を使用して、ポップアップウィンドウやその他のフォームを通じて、情報を正確に配信したり、商業広告を個人に送信したりする場合、個人情報処理機関は以下のことを行う:
a)   不应利用用户标签进行诱导营销与过度推荐; a) 餌マーケティングや過度の推薦のためにユーザータグを使用してはならない;
b)   不应包含拜金炫富、色情低俗类的信息关键词记入用户标签,并向其推送类似信息; b) ユーザータグに、拝金主義、富の拡大、ポルノ、下品なカテゴリーの情報キーワードを含め、同様の情報をプッシュしてはならない;
c)   不应以违法和不良信息关键词对用户贴标签、归类并针对性推送信息; c) 違法で好ましくない情報キーワードを、ラベル付け、分類、ユーザーへのプッシュ情報のターゲットに使用してはならない;
d)   不应设置歧视性或者偏见性用户标签; d) 差別的または偏ったユーザーラベルを設定すべきではない;
e)   不应算法屏蔽信息、过度推荐、操纵榜单及控制热搜等可能造成信息茧房的操纵行为; e) アルゴリズム的に情報をブロックしたり、過剰に推薦したり、リストを操作したり、ホットサーチを制御したり、情報のコクーニングをもたらす可能性のあるその他の操作的行動を行うべきではない;
f)   应向个人提供动态调整的推荐比例选项。 f) 個人には、推薦比率を動的に調整するオプションを提供すべきである。
12.2 商业交易 12.2 商取引
利用特定个人或其所在群体相关的个人信息向个人进行商品、产品服务营销推荐时,个人信息处理者: 特定の個人またはそのグループに関連する個人情報を使用して、商品および製品サービスのマーケティングのために個人への推薦を行う場合、個人情報取扱事業者は、次のことを行うものとする:
a)   不应开展任何可能造成交易价格、交易机会、交易条件等实际差别待遇的行为; a) 取引価格、取引機会、取引条件において、実質的な待遇差を生じさせるような行為をしてはならない。
b)   不应实施虚构原价、虚假优惠折价等不正当价格行为; b) 架空の元値、虚偽の優待割引など、不公正な価格設定を行ってはならない;
c)   不应对消费者收取未予以标明的费用; c) 表示されていない手数料を消費者に請求してはならない;
d)   不应通过利用算法操纵中奖概率、中奖结果、中奖人员等欺骗方式进行有奖销售; d) アルゴリズムを使用して当選確率、当選結果、当選者を操作するなど、欺瞞的な手段による懸賞販売をしてはならない;
e)   不应滥用市场支配地位,利用算法在无正当理由的情况下操纵价格,排除、限制市场竞争。 e) 正当な理由なく、アルゴリズムを使用して価格を操作することにより、市場における支配的地位を乱用し、市場における競争を排除または制限してはならない。
13 风险管理要求 13 リスク管理要件
个人信息处理者应: 個人情報取扱事業者は、次のことを行わなければならない:
a)   加强个人信息处理全生命周期保护,在开展自动化决策处理动作前开展个人信息保护影响评估,并对处理情况进行记录,确保日志记录支持事件溯源与处置; a) 個人情報処理の全ライフサイクル保護を強化し、自動化された意思決定処理行為を実施する前に個人情報保護影響評価を実施し、インシデントのトレーサビリティと廃棄をサポートするログ記録を確保するために処理を記録する;
b)   定期自行或委托外部机构对自动化决策处理行为进行合规审计; b) 自ら、または外部機関に委託して、自動化された意思決定処理行為のコンプライアンス監査を定期的に実施する;
c)   采取加密等方式实现自动化决策开展所涉及的个人信息从生产环境到开发环境,再到线上运行的安全传输,并在处理活动中对所涉及的敏感信息进行脱敏处理; c) 自動意思決定に関わる個人情報を、本番環境から開発環境、そしてオンライン運用へと安全に伝送するために、暗号化およびその他の手段を採用し、処理活動に関わる機密情報を減感させる;
d)   建立完整的对画像标签等数据访问权限的申请、审批、授权、回收的权限生命周期管控; d) 似顔絵ラベルなどのデータへのアクセス権の申請、承認、認可、回復の完全なライフサイクル管理を確立する;
e)   为用户提供便捷明晰的意见反馈渠道,并设置专门责任人跟进处置响应。 e) 利用者に便利で明確なフィードバック・チャンネルを提供し、廃棄対応をフォローする特別な責任者を設置する。
参 考 文 献 参考文献

 

説明

・[DOCX] 信息安全技术 基于个人信息的自动化决策安全要求-编制说明

国家标准《信息安全技术 基于个人信息的自动化决策安全要求》 国家標準「個人情報に基づく自動的な意思決定に係る情報セキュリティ技術の安全確保措置に関する要求事項」(公開草案
(征求意见稿)编制说明 (公開草案)説明
一、工作简况 I. 概要
1.1任务来源 1.1 課題の出所
根据国家标准化管理委员会2023年下达的国家标准制修订计划,《信息安全技术 基于个人信息的自动化决策安全要求》由北京理工大学负责承办,计划号:20230253-T-469。该标准由全国信息安全标准化技术委员会归口管理。 国家標準化管理委員会が2023年に発布した国家標準作成・改正計画によると、「個人情報に基づく自動意思決定のための情報セキュリティ技術セキュリティ要求事項」は、国家情報セキュリティ標準化技術委員会(NTCIS)の管理下にある計画番号20230253-T-469の下、北京理工学院(BIT)が担当している。
1.2 制定背景 1.2 開発の背景
2021年8月,我国《个人信息保护法》正式颁布,并于2021年11月正式实施。其中,第二十四条有关“自动化决策”条款备受关注。2022年3月,全国信息安全标准化技术委员会发布《关于发布2022年度网络安全国家标准需求的通知》,将本标准纳入2022年网络安全国家安全标准需求项目。 2021年8月、中国の個人情報保護法が正式に公布され、2021年11月に正式に施行された。 2022年3月、国家情報セキュリティ標準化技術委員会は「2022年サイバーセキュリティ国家標準要求事項の公表に関する通知」を発表し、本標準は2022年サイバーセキュリティ国家標準要求事項プロジェクトに含まれた。
2022年10月,全国信息安全标准化技术委员会发布《关于2022年网络安全国家标准项目立项的通知》,明确本标准由北京理工作为项目牵头单位负责标准编制工作。 2022年10月、国家情報セキュリティ標準化専門委員会は「2022年サイバーセキュリティ国家標準プロジェクト設立に関する通知」を発表し、本標準は北京工業技術院(BIT)が標準作成作業を担当するプロジェクトの主管部門として作成されることを明らかにした。
1.3 起草过程 1.3 起草プロセス
1、2022年2月,北京理工大学牵头组建标准前期研究工作小组,小组对基于个人信息的自动化决策要求有关的国内外法律法规、标准等进行详细调研,形成相应标准草案,并准备申报材料。 1、2022年2月、北京理工学院が主体となって標準事前研究ワーキンググループを設置し、個人情報に基づく自動意思決定要件に関連する国内外の法律法規、標準等について詳細な調査を行い、対応する標準草案を形成し、宣言資料を作成した。
2、2022年4月,北京理工大学编制组在全国信息安全标准化技术委员会进行标准申报汇报。 2、2022年4月、BITの準備チームは国家情報セキュリティ標準化技術委員会で標準宣言を報告した。
3、2022年10月,全国信息安全标准化技术委员会发布《关于2022年网络安全国家标准项目立项的通知》,同意本标准由北京理工大学作为项目牵头单位负责标准编制工作。 3、2022年10月、国家情報セキュリティ標準化技術委員会は「2022年サイバーセキュリティ国家標準化プロジェクト設立に関する通知」を発表し、BITがプロジェクトリーダーとして本標準の作成に責任を持つことに同意した。
4、2022年11月-12月,北京理工大学对外公开征集标准参编单位,正式成立标准编制组,召开第一次工作组组内会议,并就标准草案内容向标准编制组内部征求意见,对标准内容进行更新完善。 4、2022年11月~12月、北京工業大学は外部から規格参加単位を公募し、正式に規格準備グループを設立し、作業グループ内で第一回会議を開催し、規格準備グループ内から規格草案の内容に対する意見を募集し、規格内容を更新・改善した。
5、2022年12月,标准编制组在2022年标准周大数据工作组上进行汇报,通过组内成员单位投票。标准编制组根据意见进行认真修改后形成征求意见稿。 5、2022年12月、標準準備グループは、2022年標準週間ビッグデータワーキンググループの報告書は、グループのメンバー単位の投票を通じて。 標準準備グループは、コメントのための草案の形成後の慎重な修正のためのコメントに応じて。
6、2023年4月,召开编制组会议,就标准内容和文本进行研讨、完善。 6、2023年4月、標準の内容とテキストを議論し、改善するために準備グループの会議を開催した。
8、2023年6月,标准编制组在2023年全国信息安全标准化技术委员会标准周大数据工作组进行汇报。根据意见进行认真修改。 8、2023年6月、標準準備グループは、2023年国家情報セキュリティ標準化技術委員会標準週間ビッグデータワーキンググループで報告した。 慎重な修正のためのコメントによると。
9、2023年7月,参加征求意见稿专家审查会,经评审专家投票一致通过,同意该标准面向社会发起公开征求意见。 9、2023年7月、コメントのための草案の専門家のレビュー会議に参加するために、レビューの専門家は、全会一致で投票し、コミュニティのための標準は、パブリックコンサルテーションを開始することに合意した。
二、标准编制原则、主要内容及其确定依据 II. 規格作成の原則、主な内容とその決定根拠である。
2.1 标准编制原则 2.1 規格作成の原則
本标准的编制遵循以下原则:  本基準の作成は、以下の原則に従っている: 
(1) 先进性:标准反映当前《个人信息保护法》等最新法律要求以及个人信息保护的先进技术水平; (1) 先進性:現行の個人情報保護法等の最新の法的要求事項及び個人情報保護の高度な技術水準を反映する;
(2) 开放性:标准的编制、评审与使用具有开放性; (2)公開性:本基準の作成、評価、利用は公開される;
(3) 适应性:标准结合我国国情; (3)適応性:基準は中国の国情に合わせる;
(4) 简明性:标准易于理解、实现和应用; (4)簡潔性:基準は理解しやすく、実現しやすく、適用しやすい;
(5) 中立性:公正、中立,不与任何利益攸关方发生关联; (5) 中立性:公平性、中立性、いかなる利害関係者とも関係がない;
(6) 一致性:术语与国内外标准所用术语最大程度保持一致。 (6) 一貫性:用語は、可能な限り、国内外の基準で使用されている用語と一致している。
本标准通过“数据安全”和“服务安全”两个维度,对个人信息处理者自动化决策活动开展过程中涉及的数据处理环节安全保护要求作出明确规范,同时对自动化决策在实践应用层面如何充分保障用户权利、避免侵害用户权利作出指导,以实现明确个人信息处理者在进行自动化决策及相关应用的典型场景中数据安全和个人信息保护义务要求的整体目的。 この標準は、"データセキュリティ "と "サービスセキュリティ "の2つの次元を通じて、個人情報処理機関の自動意思決定活動は、データ処理リンクのセキュリティ保護要件の過程で明確な仕様を作成すると同時に、どのようにレベルの実用的なアプリケーションで自動意思決定に関する。 同時に、自動意思決定の実務応用において、ユーザーの権利を十分に保護し、ユーザーの権利侵害を回避する方法について指導を行い、自動意思決定及び関連応用の典型的なシナリオにおいて、個人情報処理者のデータセキュリティ及び個人情報保護義務の要求を明確にするという全体的な目的を実現する。
2.2 主要内容及其确定依据 2.2 主な内容と決定根拠
本项目旨在于支撑《个人信息保护法》第二十四条对利用个人信息进行自动化决策的要求的落地实施,试图明确个人信息处理者在进行自动化决策及相关应用的典型场景中数据安全和个人信息保护义务要求,并解决自动化决策开展过程中存在的不透明性、决策责任人缺失导致结果准确性不足、对个人权益造成显著影响等问题。 本事業は、個人情報の自動的な意思決定への利用に関する個人情報保護法第24条の要求事項の実施を支援することを目的とし、自動的な意思決定及び関連するアプリケーションの典型的なシナリオにおける個人情報取扱事業者のデータセキュリティ及び個人情報保護義務の要求事項を明確化するとともに、自動的な意思決定における透明性の欠如、意思決定責任者の不在による結果の正確性の欠如、個人の権利及び利益への重大な影響等の問題を解決しようとするものである。 個人の権利と利益など
三、试验验证的分析、综述报告,技术经济论证,预期的经济效益、社会效益、生态效益 III. 試験検証、技術的・経済的正当性、期待される経済的・社会的・生態学的便益の分析と統合報告書
3.1 试验验证的分析、综述报告 3.1 試験検証の分析と統合報告書
标准在编制过程中,参与标准编制的各单位积极使用标准进行了试验应用,标准适用的对象为受《个人信息保护法》管辖的个人信息处理者。具体来说,个人信息处理者“通过计算机程序自动分析、评估个人的行为习惯、兴趣爱好或者经济、健康、信用状况等,并进行决策”时,应遵守本标准中提出的安全要求。在试验验证本标准时,个人信息处理者将本标准的要求分项落实到合规、法务、业务等部门之中,并最终由法务部门来评估对个人合法权益造成损害风险的大小。根据风险大小,法务部门联合技术部门做出了关于特定产品、服务、功能等上线与否或做出何种修改的决定。在试验应用过程中对自动化决策安全要求的落地实践方式进行探索,最后将实施经验转化为标准的具体内容,以增加标准的实用性。 本標準の作成期間中、本標準の作成に関与した部門は、本標準を積極的に使用して実験的な応用を実施し、本標準は個人情報保護法が適用される個人情報処理事業者に適用される。 具体的には、個人情報取扱事業者は、「コンピュータプログラムを通じて、個人の行動習慣、興味、または経済、健康、信用状態などを自動的に分析・評価し、意思決定を行う」場合、本基準に定めるセキュリティ要求事項を遵守しなければならない。 個人情報取扱事業者は、本基準のテスト及び検証に際し、本基準の要求事項をコンプライアンス部門、法務部門及び業務部門に実施し、法務部門は、個人の法的権利利益を毀損するリスクを評価する。 リスクの程度に基づき、法務部門は技術部門と連携して、特定の製品、サービス、機能の発売または変更の可否を決定する。 自動意思決定セキュリティ要求事項の着地方法は、試行適用の過程で検討され、最終的に、実施経験は、規格の実用性を高めるために、規格の具体的な内容に変換される。
3.2 技术经济论证 3.2 技術的・経済的正当性
虽然落实本标准提出的安全要求,在短期内给个人信息处理者增加了经济成本,包括但不限于:新增合规人员的成本、调整算法模型和计算机程序开发过程的成本、安全风险自评估的成本等,但这些安全要求能够有效地增加具有自动化决策功能的新产品、新应用、新业务在个人信息主体、服务群体整体以及公众舆论方面的接受度乃至认可度,降低个人信息处理者处理纠纷、争议等方面的成本。总的来说,该技术标准给企业带来正面的经济效应。 本基準で提案するセキュリティ要求事項の実施により、短期的には、個人情報処 理者の経済的コストが増加する。追加的なコンプライアンス要員のコスト、アルゴリズ ムモデルとコンピュータプログラム開発プロセスの調整コスト、セキュリティリス クの自己評価コストなどであるが、これらに限定されない。 また、個人情報処理者が紛争や論争を処理するコストを削減することができる。 全体として、技術標準は企業にプラスの経済効果をもたらす。
3.3 预期的经济效益、社会效益和生态效益 3.3 期待される経済的、社会的及び生態学的利益
该标准的社会效益在于保护具有自动化决策功能的新产品、新应用、新业务所服务的个人、群体的合法权益,确保各个个人信息处理者拉齐合规基线,并在此基础上促进商业方面的良性竞争。 本基準の社会的便益は、自動意思決定機能を持つ新製品、アプリケーションおよびビジネスによってサービスを受ける個人および集団の正当な権利と利益を保護すること、個々の個人情報取扱事業者が整合されたコンプライアンス・ベースラインを有することを保証すること、およびこれを基礎としたビジネスにおける健全な競争を促進することである。
该标准不涉及生态效益。 本基準は環境効率には関与しない。
四、与国际、国外同类标准技术内容的对比情况,或者与测试的国外样品、样机的有关数据对比情况 IV. 同種の国際及び外国標準の技術内容との比較、または試験された外国サンプル及びプロトタイプの関連データとの比較
目前基于个人信息的自动化决策安全要求不存在对应的国际标准,也未见其他国家制定了对应的技术标准。 現在のところ、個人情報に基づく自動意思決定のセキュリティ要件に対応する国際基準はなく、また、諸外国が策定した対応する技術基準も見られない。
五、以国际标准为基础的起草情况,以及是否合规引用或者采用国际国外标准,并说明未采用国际标准的原因 V.  国際規格に基づく起草、準拠する国際規格及び外国規格の引用又は採用の有無、国際規格を採用しない理由
当前,国际标准并没有对基于个人信息的自动化决策安全要求开展标准化工作,其他国家也没有制定对应的技术标准,因此本标准制定工作中没有采用国际标准或国外标准。 現在、国際標準は個人情報に基づく自動意思決定のセキュリティ要求事項に関する標準化作業を行っておらず、諸外国も対応する技術標準を策定していないため、本基準の策定において国際標準や外国標準を採用していない。
六、与现行相关法律、法规、规章及相关标准的协调性 VI. 既存の関連法規、規則及び関連標準との調整
本标准与现行法律、法规以及国家标准不存在冲突与矛盾。 本規格と既存の法律、規則、国家規格との間に矛盾や齟齬はない。
本标准为《个人信息保护法》等法律法规的落地实施提供支撑,建议与国家标准《信息安全技术 个人信息安全规范》(GB/T 35273-2020)等配套使用。 本標準は、個人情報保護法及びその他の法規の実施を支援するものであり、国家標準である「個人情報セキュリティのための情報セキュリティ技術仕様」(GB/T 35273-2020)と合わせて使用することを推奨する。
七、重大分歧意见的处理经过和依据 VII. 重大な意見の相違の処理とその根拠
无。 なし。
八、涉及专利的有关说明 VIII. 特許に関する説明
无。 なし。
九、实施国家标准的要求,以及组织措施、技术措施、过渡期和实施日期的建议等措施建议 IX. 国内規格の実施要件、並びに提案された勧告及びその他の措置の組織的措置、技術的措置、移行期 間及び実施日
 建议本标准作为推荐性国家标准发布实施。同时建议个人信息处理者建立专门的合规工作组,根据本标准的要求制定相应的内部规范作为合规基线。在上线具有自动化决策的新功能或新应用前,基于合规基线开展内部的安全风险自评估。在具有自动化决策功能的新产品、新应用、新业务上线后,每一年开展一次安全风险自评估。建议本标准在正式发布后的六个月后开始实施。  本規格を推奨される国家規格として発行し、実施することが提案される。 また、個人情報処理機関は、特別なコンプライアンス・ワーキンググループを設置し、本基準の要求事項に基づき、コンプライアンス・ベースラインとして対応する内部仕様を策定することが推奨される。 自動意思決定を伴う新たな機能またはアプリケーションを立ち上げる前に、コンプライアンス・ベースラインに基づいて社内のセキュリティリスク自己評価を実施する。 自動意思決定機能を有する新しい製品、アプリケーション及び事業がオンライン化された後、1年に1回、セキュリティリスクの自己評価を実施する。 本基準は、正式リリースから6ヵ月後に実施することが推奨される。
十、其他应当说明的事项 X. その他説明すべき事項
无。 なし。
《信息安全技术 基于个人信息的自动化决策安全要求》 個人情報に基づく自動意思決定のための情報セキュリティ技術セキュリティ要件
国家标准编制组 国家標準準備グループ
2023年8月13日 2023年8月13日

 

 

| | Comments (0)

2023.08.25

警察庁 サイバー警察局便りVol.14「ログ、保存していますか?」

こんにちは、丸山満彦です。

サイバー警察局が不定期?に、サイバー警察局だよりを発行していますが、Vol.14は、ログの保存の話です。。。

 

・[PDF]

20230825-135512

 

「攻撃者はログを削除・暗号化します!」ですよね。。。

2023.08.25 Vol.14 ログ、保存していますか?
2023.08.21 Vol.13 ネットオークションのトラブル多発!
2023.08.08 Vol.12 フィッシングの被害拡大中!!
2023.07.18 Vol.11 DMARCでフィッシングメール対策!
2023.07.14 Vol.10 Fortinet社製品を利用している皆様へ
2023.06.26 Vol.9 フィルタリングを設定しましょう!
2023.06.14 Vol.8 Fortinet社製品を利用している皆様へ
2023.06.12 Vol.7 御社のウェブサイトが狙われています!
2023.05.08 Vol.6 御社のウェブサイト改ざんされていませんか?
2023.04.24 Vol.5 偽ショッピングサイトにご用心!!
2023.04.19 Vol.4 サイバー犯罪被害に遭った場合は警察への通報・相談を!!」
2023.04.05 Vol.3 ランサムウェア感染拡大中!!
2023.03.22 Vol.2 Fortinet社製品を利用している方へ
2023.03.22 Vol.1 サイバー空間の脅威の情勢:極めて深刻

一度このサイバー警察局便りって、まとめてみたかったんですよね。。。

だからってどうってことはないのですが...

 

| | Comments (0)

米国 NIST パブコメ FIPS 203 モジュール・ラティス・ベースの鍵カプセル化メカニズム標準, FIPS 204 モジュール-格子ベース電子署名標準, FIPS 205 ステートレス・ハッシュベース・デジタル署名標準

こんにちは、丸山満彦です。

NISTが、次についての初期ドラフトを公表し、意見募集をしていますね。。。

  • FIPS 203 モジュール・ラティス・ベースの鍵カプセル化メカニズム標準
  • FIPS 204 モジュール-格子ベース電子署名標準
  • FIPS 205 ステートレス・ハッシュベース・デジタル署名標準

 

NIST - ITL

・2023.08.24 Comments Requested on Three Draft FIPS for Post-Quantum Cryptography

 

NIST requests comments on the initial public drafts of three Federal Information Processing Standards (FIPS): NISTは、3つの連邦情報処理標準(FIPS)の初期公開ドラフトに対する意見を要求する:
FIPS 203, Module-Lattice-Based Key-Encapsulation Mechanism Standard FIPS 203、モジュール-格子ベースの鍵カプセル化機構標準
FIPS 204, Module-Lattice-Based Digital Signature Standard FIPS 204、モジュール-格子ベースの電子署名標準
FIPS 205, Stateless Hash-Based Digital Signature Standard FIPS 205、ステートレスハッシュベースデジタル署名標準
These proposed standards specify key establishment and digital signature schemes that are designed to resist future attacks by quantum computers, which threaten the security of current standards. The three algorithms specified in these standards are each derived from different submissions to the NIST Post-Quantum Cryptography Standardization Project.  これらの標準規格は、量子コンピュータによる将来的な攻撃に耐えるように設計されており、現在の標準規格の安全性を脅かすものである。これらの標準に規定されている3つのアルゴリズムは、それぞれNISTポスト量子暗号標準化プロジェクトに提出された異なるアルゴリズムから派生したものである。 
The public comment period for these three drafts is open through November 22, 2023. See the publication details (linked above) to download the drafts and for information on submitting comments. これら3つのドラフトに対するパブリックコメント期間は、2023年11月22日までとなっている。 ドラフトをダウンロードし、コメントを提出するための情報については、出版物の詳細(上記リンク)を参照のこと。
*** ***
Draft FIPS 203 specifies a cryptographic scheme called the Module-Lattice-Based Key-Encapsulation Mechanism Standard which is derived from the CRYSTALS-KYBER submission. A key encapsulation mechanism (KEM) is a particular type of key establishment scheme that can be used to establish a shared secret key between two parties communicating over a public channel. Current NIST-approved key establishment schemes are specified in NIST Special Publication (SP) 800-56A, Recommendation for Pair-Wise Key-Establishment Schemes Using Discrete Logarithm-Based Cryptography, and SP 800-56B, Recommendation for Pair-Wise Key Establishment Schemes Using Integer Factorization Cryptography.  ドラフトFIPS 203は、CRYSTALS-KYBERから派生したModule-Lattice-Based Key-Encapsulation Mechanism Standardと呼ばれる暗号方式を規定している。鍵カプセル化機構(KEM)は、特定のタイプの鍵確立スキームであり、公開チャネル上でコミュニ ケーションを行う2つの当事者間で共有秘密鍵を確立するために使用できる。現在NISTが承認している鍵確立方式は、NIST特別刊行物(SP)800-56A「離散対数ベース暗号を使用する ペアワイズ鍵確立方式の推奨」およびSP800-56B「整数化暗号を使用するペアワイズ鍵確立方式の推奨」に規定されている。 
The drafts of FIPS 204 and 205 each specify digital signature schemes, which are used to detect unauthorized modifications to data and to authenticate the identity of the signatory. FIPS 204 specifies the Module-Lattice-Based Digital Signature Standard, which is derived from CRYSTALS-Dilithium submission. FIPS 205 specifies the Stateless Hash-Based Digital Signature Standard derived from the SPHINCS+ submission. Current NIST-approved digital signature schemes are specified in FIPS 186-5, Digital Signature Standard, and SP 800-208, Recommendation for Stateful Hash-based Signature Schemes. NIST is also developing a FIPS that specifies a digital signature algorithm derived from FALCON as an additional alternative to these standards. FIPS 204 および 205 のドラフトは、それぞれデジタル署名方式を規定している。デジタル署名方式は、 データに対する不正な変更を検知し、署名者の本人認証を行うために使用される。FIPS 204 は、CRYSTALS-Dilithium Submission から派生した Module-Lattice-Based Digital Signature Standard を規定している。FIPS 205 は、SPHINCS+ から派生したステートレスハッシュベースデジタル署名標準を規定している。現在NISTが承認しているデジタル署名方式は、FIPS 186-5「デジタル署名標準」とSP 800-208「ステートフルハッシュベース署名方式の推奨」で規定されている。NISTは、これらの標準に代わるものとして、FALCONから派生したデジタル署名アルゴ リズムを規定するFIPSも開発している。

 

 

Announcement 発表
NIST requests comments on three draft Federal Information Processing Standards (FIPS): NIST は、3 つの連邦情報処理標準(FIPS)ドラフトに対する意見を要求する:
FIPS 203, Module-Lattice-Based Key-Encapsulation Mechanism Standard ・FIPS 203 モジュール-格子ベースの鍵カプセル化機構標準
FIPS 204, Module-Lattice-Based Digital Signature Standard  ・FIPS 204 モジュール-格子ベースのデジタル署名標準 
FIPS 205, Stateless Hash-Based Digital Signature Standard ・FIPS 205 ステートレスハッシュベースデジタル署名標準
These proposed standards specify key establishment and digital signature schemes that are designed to resist future attacks by quantum computers, which threaten the security of current standards. The three algorithms specified in these standards are each derived from different submissions to the NIST Post-Quantum Cryptography Standardization Project. これらの標準規格は、量子コンピュータによる将来的な攻撃に耐えるように設計されており、現在の標準規格の安全性を脅かすものである。これらの標準に規定された3つのアルゴリズムは、それぞれNISTポスト量子暗号標準化プロジェクトに提出された異なるアルゴリズムから派生したものである。

 

FIPS 203

・2023.08.24 FIPS 203 (Initial Public Draft) Module-Lattice-Based Key-Encapsulation Mechanism Standard

Note to Reviewers 査読者への注記
This draft FIPS specifies a key encapsulation mechanism (KEM) called ML-KEM. A KEM is a particular type of key establishment scheme. While NIST has previously published standards for key establishment schemes (see SP-800-56A and SP-800-56B), this will be the first NIST standard for key establishment using a KEM. As a result, NIST will specify both the particulars of the ML-KEM scheme and the general properties of KEMs in FIPS 203 and SP 800-227, respectively. このドラフトFIPSは、ML-KEMと呼ばれる鍵カプセル化機構(KEM)を規定する。KEMは、特定のタイプの鍵確立スキームである。NISTはこれまでにも鍵確立方式に関する標準を公表している(SP-800-56AおよびSP-800-56Bを参照)が、 KEMを使用した鍵確立に関するNIST標準はこれが初めてとなる。その結果、NISTは、FIPS 203とSP 800-227において、それぞれML-KEMスキームの特殊性と KEMの一般的な特性の両方を規定することになる。
The scope of FIPS 203 (this document) is limited to specifying only the ML-KEM algorithms (for key generation, encapsulation, and decapsulation) and the associated ML-KEM parameter sets. It aims to provide sufficient information for implementing ML-KEM in a manner that can pass validation through the Cryptographic Module Validation Program (CMVP). FIPS 203(本文書)の範囲は、ML-KEM アルゴリズム(鍵生成、カプセル化、カプセル化解除)および関連する ML-KEM パラメータセットのみを規定することに限定される。この文書は、暗号モジュール検証プログラム(CMVP)による検証に合格できる方法で ML-KEM を実装するための十分な情報を提供することを目的としている。
SP 800-227 is forthcoming and will discuss the general properties of KEMs in detail. This will include basic definitions, security properties, and requirements for the use of KEMs in secure applications. These topics will not be discussed in detail in the FIPS 203 draft. NIST welcomes comments from reviewers regarding the planned content of SP 800-227. SP 800-227 は近日中に発表される予定で、KEM の一般的な特性について詳細に論じる予定である。これには、基本的な定義、セキュリティ特性、および安全なアプリケーションにおける KEM の使用に関する要件が含まれる。これらのトピックは、FIPS 203 ドラフトでは詳述されない。NIST は、SP 800-227 の予定内容について、査読者からのコメントを歓迎する。
Abstract 概要
A key-encapsulation mechanism (or KEM) is a set of algorithms that, under certain conditions, can be used by two parties to establish a shared secret key over a public channel. A shared secret key that is securely established using a KEM can then be used with symmetric-key cryptographic algorithms to perform basic tasks in secure communications, such as encryption and authentication. 鍵カプセル化メカニズム(または KEM)は、特定の条件下で、2 つの当事者が公開チャネルを介し て共有秘密鍵を確立するために使用できる一連のアルゴリズムである。KEMを使用して安全に確立された共有秘密鍵は、対称鍵暗号アルゴリズムと併用することで、暗号化や本人認証など、安全なコミュニケーションにおける基本的なタスクを実行することができる。
This standard specifes a key-encapsulation mechanism called ML-KEM. The security of ML-KEM is related to the computational diffculty of the so-called Module Learning with Errors problem. At present, ML-KEM is believed to be secure even against adversaries who possess a quantum computer. この標準は、ML-KEMと呼ばれる鍵カプセル化メカニズムを規定している。ML-KEMの安全性は、いわゆるエラー付きモジュール学習問題の計算難易度に関係している。現在のところ、ML-KEMは量子コンピュータを持つ敵に対しても安全であると考えられている。
This standard specifes three parameter sets for ML-KEM. In order of increasing security strength (and decreasing performance), these parameter sets are ML-KEM-512, ML-KEM-768, and ML-KEM-1024. この標準では、ML-KEMのパラメータを3つ規定している。セキュリティ強度が高い(性能が低い)順に、ML-KEM-512、ML-KEM-768、ML-KEM-1024 である。

 

・[PDF] https://doi.org/10.6028/NIST.FIPS.203.ipd

20230825-113704

 

 

FIPS 204

・2023.08.24 FIPS 204 (Initial Public Draft) Module-Lattice-Based Digital Signature Standard</>

Abstract< 概要
Digital signatures are used to detect unauthorized modifications to data and to authenticate the identity of the signatory. In addition, the recipient of signed data can use a digital signature as evidence in demonstrating to a third party that the signature was, in fact, generated by the claimed signatory. This is known as non-repudiation since the signatory cannot easily repudiate the signature at a later time.  デジタル署名は、データに対する不正な変更を検知し、署名者の本人認証を行うために使用される。さらに、署名されたデータの取得者は、その署名が実際に署名者によって生成されたものであることをサードパーティに証明するための証拠としてデジタル署名を使用することができる。これは否認防止として知られており、署名者は後で簡単に署名を否認することができないからである。 
This standard specifies ML-DSA, a set of algorithms that can be used to generate and verify digital signatures. ML-DSA is believed to be secure even against adversaries in possession of a large-scale quantum computer. この標準は、デジタル署名の生成と検証に使用できる一連のアルゴリズムであるML-DSAを規定している。ML-DSAは、大規模量子コンピュータを所有する敵対者に対しても安全であると考えられている。

 

・[PDF] https://doi.org/10.6028/NIST.FIPS.204.ipd

20230825-113715

 

 

 

FIPS 205

・2023.08.24 FIPS 205 (Initial Public Draft) Stateless Hash-Based Digital Signature Standard

Abstract 概要
This standard specifies the stateless hash-based digital signature algorithm (SLH-DSA). Digital signatures are used to detect unauthorized modifications to data and to authenticate the identity of the signatory. In addition, the recipient of signed data can use a digital signature as evidence in demonstrating to a third party that the signature was, in fact, generated by the claimed signatory. This is known as non-repudiation since the signatory cannot easily repudiate the signature at a later time. SLH-DSA is based on SPHINCS+, which was selected for standardization as part of the NIST Post-Quantum Cryptography Standardization process. 本標準はステートレスハッシュベースのデジタル署名アルゴリズム(SLH-DSA)を規定する。デジタル署名は、データに対する不正な変更を検知し、署名者の本人認証を行うために使用される。さらに、署名されたデータの取得者は、その署名が実際に署名者によって生成されたものであることをサードパーティに証明するための証拠としてデジタル署名を使用することができる。これは否認防止と呼ばれるもので、署名者が後でその署名を簡単に否認することはできないからである。SLH-DSAはSPHINCS+に基づいており、NISTのポスト量子暗号標準化プロセスの一環として標準化に選ばれた。

 

・[PDF] https://doi.org/10.6028/NIST.FIPS.205.ipd

20230825-113722

 

| | Comments (0)

英国 会計検査院 不確実の管理:不確実な環境下で意思決定者が問うべき質問

こんにちは、丸山満彦です。

英国の会計監査院は、よい報告書を出すことが多いのですが、今回の報告書は興味深いですね。。。

不確実 (Uncertain) の管理...です。

 

National Auidt Office; NAO

・2023.08.22 Managing uncertainty: Questions for decision-makers to ask in an uncertain environment

Managing uncertainty: Questions for decision-makers to ask in an uncertain environment 不確実性を管理する: 不確実な環境で意思決定者が問われる質問
On this page このページ
Background to the guide ガイドの背景
Scope of the guide ガイドの範囲
Downloads ダウンロード
Related work 関連業務
Background to the guide ガイドの背景
Uncertainties have the potential to have major consequences for a project, programme, portfolio or policy intervention (collectively referred to in this guide as ‘programmes’) meeting its objectives. 不確実性は、プロジェクト、プログラム、ポートフォリオ、政策介入(本ガイドでは「プログラム」と総称する)がその目的を達成する上で大きな影響を及ぼす可能性がある。
Dealing with uncertainties is an inherent part of delivering the sorts of complex, long-term and innovative programmes for which government is responsible. Decision-makers still need to make value for money decisions in this uncertain context. 不確実性に対処することは、政府が責任を負う複雑で長期的かつ革新的なプログラムを実施する上で不可欠である。意思決定者は、このような不確実な状況下でも、バリュー・フォー・マネーの意思決定を行う必要がある。
We have found that, in planning and delivering programmes, decision-makers and teams do not always take time to understand and consider wider uncertainties or can underestimate their impact. 計画の立案や実施に当たって、意思決定者やチームは必ずしも広範な不確実性を理解し検討する時間を取らないか、あるいはその影響を過小評価することがある。
As a result, options and plans may not sufficiently take account of the underlying uncertainties, providing a false sense of certainty or making plans insufficiently resilient to change. In these cases, it is less likely that the programme will deliver its intended objectives or be able to respond to opportunities and, ultimately, public trust in government’s ability to deliver programmes is more likely to be eroded. その結果、選択肢や計画が根本的な不確実性を十分に考慮せず、誤った確実性を提供したり、変化に対するレジリエンスが不十分な計画になったりすることがある。このような場合、プログラムが意図した目標を達成したり、機会に対応できたりする可能性は低くなり、最終的には、プログラムを実施する政府の能力に対する国民の信頼が損なわれる可能性が高くなる。
To secure the benefits of innovative approaches and to address complex challenges, government needs to be more comfortable working with uncertainty. 革新的なアプローチによる利益を確保し、複雑な課題に対処するためには、政府は不確実性ともっとうまく付き合っていく必要がある。
Scope of the guide ガイドの範囲
This guide is aimed at decision-makers who need to make value for money decisions in the face of uncertainty that is hard to anticipate or mitigate. 本ガイドは、予測や低減が困難な不確実性に直面しながらも、バリュー・フォー・マネーの意思決定を行う必要のある意思決定者を対象としている。
This guide aims to help you to work with uncertainty. It covers: 本ガイドは、不確実性とうまく付き合うための一助となることを目的としている。本ガイドでは、以下を取り上げる:
・identifying uncertainty ・不確実性の識別
・analysing uncertainty ・不確実性の分析
・planning for uncertainty ・不確実性に対する計画を立てる
It is based on NAO insights from reports across a wide range of government programmes, as well as government guidance relating to risk and uncertainty. 本ガイドブックは、幅広い政府プログラムにわたる報告書からのNAOの洞察、およびリスクと不確実性に関連する政府ガイダンスに基づいている。
Downloads ダウンロード
Good practice guide - Managing uncertainty: Questions for decision-makers to ask in an uncertain environment  グッド・プラクティス・ガイド-不確実性の管理 不確実な環境で意思決定者が行うべき質問 
Related work 関連業務
The DECA: Understanding challenges in delivering project objectives DECA:プロジェクト目標の達成における課題を理解する
Resetting major programmes 主要プログラムのリセット
Evaluating government spending 政府の支出を評価する
Delivering programmes at speed スピード感を持ってプログラムを実施する

 

・[PDF]

20230825-104101

 

 

| | Comments (0)

英国 AIサミットは11月1日2日にブレッチリー・パークで開催

こんにちは、丸山満彦です。

Bletchley Park [wikipedia] は、第二次世界大戦中、アラン・チューリング [wikipedia] たちが、エニグマ暗号、ローレンツ暗号を解読していた場所ですよね。。。この話は、戦後しばらく公開されていませんでしたね。。。そして、The Imitation Game [wikipedia] という映画になりましたね。。。

ヘルスケア推しのところはありますね。。。

 

GOV.UK

・2023.08.24 Iconic Bletchley Park to host UK AI Safety Summit in early November

Iconic Bletchley Park to host UK AI Safety Summit in early November 象徴的なブレッチリー・パークで11月初旬に英国AI安全サミットが開催される
Major global event to take place on the 1st and 2nd of November. 11月1日と2日に開催される大規模な世界的イベント
UK to host world first summit on artificial intelligence safety in November 英国が11月に人工知能の安全性に関する世界初のサミットを開催する。
Talks will explore and build consensus on rapid, international action to advance safety at the frontier of AI technology AI技術の最前線における安全性を向上させるための迅速で国際的な行動を模索し、コンセンサスを形成する。
Bletchley Park, one of the birthplaces of computer science, to host the summit コンピューター科学発祥の地のひとつであるブレッチリー・パークがサミットを主催する。
International governments, leading AI companies and experts in research will unite for crucial talks in November on the safe development and use of frontier AI technology, as the UK Government announces Bletchley Park as the location for the UK summit. 英国政府が英国サミットの開催地としてブレッチリー・パークを発表したことで、国際的なガバナンス、主要なAI企業、研究の専門家は11月、AI技術のフロンティアの安全な開発と使用に関する重要な協議のために団結することになる。
The major global event will take place on the 1st and 2nd November to consider the risks of AI, especially at the frontier of development, and discuss how they can be mitigated through internationally coordinated action. Frontier AI models hold enormous potential to power economic growth, drive scientific progress and wider public benefits, while also posing potential safety risks if not developed responsibly. この主要な世界的イベントは11月1日と2日に開催され、特に開発のフロンティアにおけるAIのリスクを検討し、国際的に協調した行動を通じて、どのようにそのリスクを低減できるかを議論する。AIのフロンティアモデルは、経済成長の原動力となり、科学の進歩やより広範な公共の利益をもたらす大きな可能性を秘めているが、一方で、責任を持って開発されなければ、潜在的な安全リスクももたらす。
To be hosted at Bletchley Park in Buckinghamshire, a significant location in the history of computer science development and once the home of British Enigma codebreaking – it will see coordinated action to agree a set of rapid, targeted measures for furthering safety in global AI use. バッキンガムシャーのブレッチリー・パークで開催されるこのサミットは、コンピュータサイエンスの発展の歴史において重要な場所であり、かつて英国のエニグマ暗号解読の本拠地でもあった。
Preparations for the summit are already in full flow, with Matt Clifford and Jonathan Black recently appointed as the Prime Minister’s Representatives. Together they’ll spearhead talks and negotiations, as they rally leading AI nations and experts over the next three months to ensure the summit provides a platform for countries to work together on further developing a shared approach to agree the safety measures needed to mitigate the risks of AI. サミットの準備はすでに本格化しており、マット・クリフォードとジョナサン・ブラックが最近、首相代表者に任命された。サミットが、AIのリスクを軽減するために必要な安全対策に合意するための共有アプローチをさらに発展させるために、各国が協力するためのプラットフォームを提供することを確実にするために、彼らは今後3ヶ月間、AIをリードする国々と専門家を集め、協議と交渉の先頭に立つ。
Prime Minister Rishi Sunak said: リシ・スナック首相は次のように述べた:
The UK has long been home to the transformative technologies of the future, so there is no better place to host the first ever global AI safety summit than at Bletchley Park this November. 英国は長い間、未来の変革技術の本拠地であった。従って、今年11月にブレッチリー・パークで開催される世界初のAI安全サミットにとって、これ以上の場所はない。
To fully embrace the extraordinary opportunities of artificial intelligence, we must grip and tackle the risks to ensure it develops safely in the years ahead. 人工知能の素晴らしい機会を完全に受け入れるためには、今後数年間、人工知能が安全に発展するためのリスクを把握し、取り組まなければならない。
With the combined strength of our international partners, thriving AI industry and expert academic community, we can secure the rapid international action we need for the safe and responsible development of AI around the world. 私たちの国際的なパートナー、繁栄するAI産業、そして専門的な学術コミュニティが力を合わせれば、世界中のAIの安全で責任ある発展のために必要な迅速な国際的行動を確保することができる。
Technology Secretary Michelle Donelan said: ミシェル・ドネラン技術長官は次のように述べた:
International collaboration is the cornerstone of our approach to AI regulation, and we want the summit to result in leading nations and experts agreeing on a shared approach to its safe use. 国際協力は、AI規制に対する我々のアプローチの礎石であり、我々は、このサミットが、主要な国々と専門家が、AIの安全な使用に対する共通のアプローチに合意する結果となることを望んでいる。
The UK is consistently recognised as a world leader in AI and we are well placed to lead these discussions. The location of Bletchley Park as the backdrop will reaffirm our historic leadership in overseeing the development of new technologies. 英国は常にAIの世界的リーダーとして認められており、このような議論をリードする立場にある。背景となるブレッチリー・パークの立地は、新技術の開発を監督する上での英国の歴史的リーダーシップを再確認することになるだろう。
AI is already improving lives from new innovations in healthcare to supporting efforts to tackle climate change, and November’s summit will make sure we can all realise the technology’s huge benefits safely and securely for decades to come. AIは、ヘルスケアにおける新たな革新から気候変動への取り組みの支援まで、すでに人々の生活を向上させており、11月のサミットでは、今後数十年にわたり、私たち全員がこの技術の大きな恩恵を安全かつ確実に享受できるようにする。
The summit will also build on ongoing work at international forums including the OECD, Global Partnership on AI, Council of Europe, and the UN and standards-development organisations, as well as the recently agreed G7 Hiroshima AI Process. このサミットはまた、OECD、AIに関するグローバル・パートナーシップ、欧州評議会、国連、標準開発機関などの国際的なフォーラムや、最近合意されたG7広島AIプロセスなどでの継続的な活動を基礎とする。
The UK boasts strong credentials as a world leader in AI. The technology employs over 50,000 people, directly supports one of the Prime Minister’s five priorities by contributing £3.7 billion to the economy, and is the birthplace of leading AI companies such as Google DeepMind. It has also invested more on AI safety research than any other nation, backing the creation of the Foundation Model Taskforce with an initial £100 million. 英国はAIの世界的リーダーとして高い信頼性を誇っている。この技術は5万人以上を雇用し、37億ポンドを経済に貢献することで首相の5つの優先事項のひとつを直接支えており、グーグルディープマインドなどの大手AI企業の発祥地でもある。また、他のどの国よりもAIの安全性研究に投資しており、最初の1億ポンドで財団モデル・タスクフォースの設立を支援している。
Foreign Secretary James Cleverly said: ジェームズ・クレバリー外務大臣は次のように述べた:
No country will be untouched by AI, and no country alone will solve the challenges posed by this technology. In our interconnected world, we must have an international approach. どの国もAIと無縁ではなく、どの国も単独でこの技術がもたらす課題を解決することはできない。相互接続された世界では、国際的なアプローチが必要だ。
The origins of modern AI can be traced back to Bletchley Park. Now, it will also be home to the global effort to shape the responsible use of AI. 現代のAIの起源はブレッチリー・パークに遡ることができる。 そして今、ブレッチリー・パークは、AIの責任ある利用を形成するための世界的な取り組みの拠点でもある。
Bletchley Park’s role in hosting the summit reflects the UK’s proud tradition of being at the frontier of new technology advancements. Since Alan Turing’s celebrated work some eight decades ago, computing and computer science have become fundamental pillars of life both in the UK and across the globe. サミット開催におけるブレッチリー・パークの役割は、新技術の進歩の最前線にいるという英国の誇り高き伝統を反映している。約80年前のアラン・チューリングの名高い研究以来、コンピューティングとコンピューター・サイエンスは、英国および世界中の生活の基本的な柱となっている。
Iain Standen, CEO of the Bletchley Park Trust, said: ブレッチリー・パーク・トラストのCEOであるイアン・スタンデンは、次のように述べている:
Bletchley Park Trust is immensely privileged to have been chosen as the venue for the first major international summit on AI safety this November, and we look forward to welcoming the world to our historic site. ブレッチリー・パーク・トラストは、今年11月に開催されるAIの安全性に関する初の主要な国際サミットの開催地として選ばれたことを大変光栄に思っており、この歴史的な場所に世界を迎えることを楽しみにしている。
It is fitting that the very spot where leading minds harnessed emerging technologies to influence the successful outcome of World War Two will, once again, be the crucible for international co-ordinated action. 第二次世界大戦の成功に影響を与えるために、一流の頭脳が新たなテクノロジーを活用したまさにその場所が、再び国際的な協調行動の坩堝となることは、ふさわしいことである。
“We are incredibly excited to be providing the stage for discussions on global safety standards, which will help everyone manage and monitor the risks of artificial intelligence.” 「私たちは、人工知能のリスクを管理・監視するための世界的な安全標準に関する議論の場を提供できることを大変うれしく思っている。
The roots of AI can be traced back to the leading minds who worked at Bletchley during the Second World War, with codebreakers Jack Good and Donald Michie among those who went on to write extensive works on the technology. In November, it will once again take centre stage as the international community comes together to agree on important guardrails which ensure the opportunities of AI can be realised, and its risks safely managed. AIのルーツは、第二次世界大戦中にブレッチリーで働いた一流の頭脳にまで遡ることができる。暗号解読者のジャック・グッドとドナルド・ミッチーは、この技術に関する広範な著作を書き残した人物である。11月には、国際社会が一丸となって、AIの機会を確実に実現し、そのリスクを安全に管理するための重要なガードレールについて合意するため、再びAIが主役となる。
The announcement follows the UK Government allocating £13 million to revolutionise healthcare research through AI, unveiled last week. The funding supports a raft of new projects including transformations to brain tumour surgeries, new approaches to treating chronic nerve pain, and a system to predict a patient’s risk of developing future health problems based on existing conditions. 今回の発表は、英国政府が先週発表した、AIによるヘルスケア研究に革命を起こすための1300万ポンドの割り当てに続くものだ。この資金援助は、脳腫瘍手術の変革、慢性神経痛の治療への新たなアプローチ、既存の症状から患者の将来の健康問題発生リスクを予測するシステムなど、一連の新規プロジェクトを支援するものである。
Notes to Editors 編集後記
Details of confirmed attendees and media accreditation arrangements will be announced in due course. 確定した出席者の詳細および報道関係者登録の手配については、追って発表される。

 

1_20230825095001

 

 

 

| | Comments (0)

シンガポール CSR 大統領選に向け立候補者、有権者、それぞれに向けてサイバー関連の注意喚起

こんにちは、丸山満彦です。

シンガポールでは9月1日の大統領選に向けて大詰めというところでしょう。

最近の選挙は、国外からの干渉や、選挙にかこつけたフィッシング等の問題もあるので、シンガポールのサイバーセキュリティ庁 (Cyber Security Agency) が、立候補者及び有権者に向けて注意喚起をしていますね。。。

米国では、選挙業務は重要インフラになっていますしね。。。

日本の選挙でも、こういう注意喚起をしてもよいかもですが、どうなんでしょうかね。。。言われなくてもわかっているんですかね。。。

 

Cyber Security Agency; CSA

有権者に向けたフィッシング等についての注意喚起

・2023.08.22 Advisory on Cybersecurity during Elections for Voters

Advisory on Cybersecurity during Elections for Voters 有権者のための選挙中のサイバーセキュリティに関するアドバイザリー
Introduction 序文
With the widespread adoption of digital usage, many activities that were traditionally conducted in person have shifted to the digital space or transformed into a hybrid format. Election campaigning is one such example, with election candidates conducting campaign activities online to expand their reach to the electorate. Some examples include the use of social media to hold online rallies or leveraging Zoom to host Q&A sessions. デジタルの普及に伴い、従来は対面で行われていた多くの活動がデジタル空間に移行したり、ハイブリッド形式に変化したりしている。選挙運動もその一例であり、選挙候補者は選挙民へのリーチを拡大するためにオンラインで選挙活動を行う。ソーシャルメディアを活用してオンライン集会を開いたり、Zoomを活用して質疑応答セッションを開いたりする例もある。
However, this shift to the digital space provides cyber threat actors with more opportunities to conduct cyber-attacks against unsuspecting victims. This advisory provides voters with information on potential cyber threats and the measures that can be taken to mitigate or reduce the risk of falling victim. しかし、このようなデジタル空間への移行は、サイバー脅威行為者に、無防備な被害者に対してサイバー攻撃を行う機会を与えることになる。本アドバイザリーでは、潜在的なサイバー脅威に関する情報と、被害に遭うリスクを軽減・低減するための対策を有権者に提供する。
Potential Cyber Threats サイバー脅威の可能性
During an election, threat actors may take advantage of election fervour and incorporate election-based themes in their attacks to increase their chances of success. Some of these potential cyber threats include: 選挙期間中、脅威行為者は選挙熱を利用し、成功の可能性を高めるために選挙に基づいたテーマを攻撃に組み込む可能性がある。このような潜在的サイバー脅威には、以下のようなものがある:
Phishing フィッシング
Threat actors may compromise the social media accounts of election candidates and political parties or create fake social media accounts to launch phishing attacks. Threat actors could also create websites that mimic the content of official campaign websites to carry out social engineering attacks. During such attacks, unsuspecting victims may inadvertently provide sensitive information or perform financial transactions at the behest of the threat actor impersonating the election candidate or political party as a gesture of support. 脅威行為者は、選挙候補者や政党のソーシャルメディアのアカウントを侵害したり、偽のソーシャルメディアのアカウントを作成してフィッシング攻撃を仕掛ける可能性がある。脅威行為者はまた、ソーシャル・エンジニアリング攻撃を実行するために、選挙運動の公式ウェブサイトのコンテンツを模倣したウェブサイトを作成する可能性もある。このような攻撃では、疑うことを知らない被害者が、選挙候補者や政党になりすました脅威行為者の指示により、支援の意思表示として、不用意に機密情報を提供したり、金融取引を実行したりする可能性がある。
Malware Distribution/Infection マルウェアの配布/感染
Threat actors may attempt to trick voters or members of public into downloading malware masquerading as legitimate software widely used during the election campaign. Such software may include video conferencing applications (apps) that election candidates and political parties use to conduct their campaign activities online. When downloaded and installed onto the victim’s device, the malware could potentially lead to unauthorised access, data breaches or other malicious activities. 脅威行為者は、有権者や一般市民を騙して、選挙キャンペーン中に広く使用されている正規のソフトウェアを装ったマルウェアをダウンロードさせようとする可能性がある。このようなソフトウェアには、選挙候補者や政党がキャンペーン活動をオンラインで行う際に使用するビデオ会議アプリケーション(アプリ)が含まれる可能性がある。ダウンロードされ、被害者のデバイスにインストールされると、マルウェアは不正アクセス、データ侵害、その他の悪質な行為につながる可能性がある。
Cyber Hygiene Measures for Voters 有権者のためのサイバー衛生対策
To better defend against such cyber threats, voters and members of public should adopt the following cyber hygiene measures: このようなサイバー脅威から身を守るために、有権者や一般市民は以下のようなサイバー衛生対策をとるべきである:
Download Software from Official Sources ソフトウェアは公式ソースからダウンロードする
Download apps only from official sources and pay attention to the security permissions required by the app and/or its privacy policy. Be particularly wary of apps that request for unnecessary permissions on your device that may not be necessary for the app to function. アプリは公式ソースからのみダウンロードし、アプリやプライバシー・ポリシーが要求するセキュリティ許可に注意を払うこと。特に、アプリが機能するために必要でないかもしれない不必要なパーミッションをデバイスに要求するアプリには注意すること。
Be Vigilant Against Phishing Attempts フィッシング詐欺に注意する
Be vigilant when receiving emails and messages, particularly those asking for sensitive information or requests for financial payments. This stance should not change even if the purported sender of the email or message is from an election candidate or political party. To check if the email or message is authentic, voters and members of public should: 電子メールやメッセージ、特に機密情報や金銭的な支払いを要求するようなものを受け取る際には用心すること。この姿勢は、メールやメッセージの差出人が選挙候補者や政党であっても変わらない。メールやメッセージが本物かどうかを確認するために、有権者や一般市民は以下のことを行うべきである:
・Closely examine the URL link(s), if any, to check that the website is legitimate before clicking on the link. ・リンクをクリックする前に、URLリンク(もしあれば)をよく調べ、そのウェブサイトが正当なものであることを確認する。
・Refrain from clicking on URL links in unsolicited emails and messages. ・迷惑メールやメッセージのURLリンクをクリックしない。
・Always verify the authenticity of the information with official websites or sources. ・情報の真偽は必ず公式サイトや情報源で確認すること。
・Never disclose any sensitive or financial information. ・機密情報や金銭的な情報は決して開示しないこと。
It is crucial for voters and other members of the public to exercise discernment when encountering information requests on social media platforms, messaging platforms and websites during the election period. By being vigilant and critically assessing the information received, you can safeguard yourself from potential monetary losses and protect your devices from malware infection.  選挙期間中、ソーシャルメディア、メッセージング・プラットフォーム、ウェブサイト上で情報要求に遭遇した場合、有権者やその他の一般市民が識別力を発揮することが極めて重要である。用心深く、受け取った情報を批判的に評価することで、潜在的な金銭的損失から身を守り、マルウェア感染からデバイスを保護することができる。 

 

立候補者向けの海外からの干渉についての注意喚起

・2023.08.15 MHA-CSA-ELD Joint News Release: Advisory to Presidential Election Candidates about the Threat of Foreign Interference and Cybersecurity Risks

MHA-CSA-ELD Joint News Release: Advisory to Presidential Election Candidates about the Threat of Foreign Interference and Cybersecurity Risks MHA-CSA-ELD 共同ニュースリリース: 外患誘致の脅威とサイバーセキュリティリスクに関する大統領選挙候補者への勧告
The Ministry of Home Affairs, the Cyber Security Agency of Singapore and the Elections Department would like to advise Presidential Election candidates about the threat of foreign interference in elections and cybersecurity risks. 内務省、シンガポール・サイバーセキュリティ庁および選挙管理局は、大統領選挙立候補者に対し、外国による選挙干渉の脅威とサイバーセキュリティリスクについて助言する。
Foreign Interference in Elections 選挙への外国からの干渉
2. Foreign interference includes attempts by foreign actors to manipulate domestic politics through covert and deceptive means, which undermines political sovereignty and harms social cohesion. In the last few years, there have been reports of alleged foreign interference in the elections of other countries, e.g. United States Presidential Election (2020), United States Mid-Term Elections (2018), French Presidential Elections (2017).   2. 外国からの干渉には、外国の主体が秘密裏かつ欺瞞的な手段で国内政治を操作しようとする試みが含まれ、政治主権を損ない、社会的結束を害する。ここ数年、米国大統領選挙(2020年)、米国中間選挙(2018年)、フランス大統領選挙(2017年)など、他国の選挙に対する外国からの干渉の疑いが報告されている。  
3. Singapore is not immune. Singapore’s politics should be decided by Singaporeans alone.  We should do all we can to safeguard the integrity of our electoral processes.   3. シンガポールも無関係ではない。シンガポールの政治はシンガポール人だけで決めるべきだ。  我々は、選挙プロセスの完全性を守るために全力を尽くすべきである。  
4. The Elections Department’s webpage on Foreign Interference in Domestic Politics provides information on some methods used by foreign actors to interfere in elections, and precautions Presidential Election candidates can take to mitigate the risks of becoming a target of foreign interference, or unwittingly facilitating it. The Singapore Government too, will be on alert for foreign interference. 4. 選挙管理局の「国内政治への外国からの干渉」に関するウェブページでは、外国人による選挙干渉の手法や、大統領選候補者が外国からの干渉の標的になったり、知らず知らずのうちにそれを助長したりするリスクを軽減するために取るべき予防策についての情報が提供されている。シンガポール政府も外国からの干渉を警戒している。
Cybersecurity Risks サイバーセキュリティのリスク
5. There have been instances of malicious cyber activity such as disruption, defacement, or data theft during the elections of other countries, which have affected their electorates’ confidence in the election processes. As a highly digitally-connected nation, Singapore must guard against attempts to (i) disrupt the election processes; or (ii) cast doubts on the integrity of the Presidential Election. The Advisory on Cybersecurity for Elections in Singapore provides Presidential Election candidates with information on potential cyber threats to their activities and the preventive measures they can take to mitigate the risks. 5. 他国の選挙では、混乱、改ざん、データ窃盗などの悪質なサイバー行為が行われ、選挙プロセスに対する有権者の信頼に影響を与えた例がある。高度にデジタル接続された国家として、シンガポールは(i)選挙プロセスを混乱させる試み、(ii)大統領選挙の完全性に疑念を抱かせる試みを警戒しなければならない。シンガポールの選挙のためのサイバーセキュリティに関するアドバイザリーは、大統領選挙の候補者に、候補者の活動に対する潜在的なサイバー脅威と、リスクを軽減するための予防策に関する情報を提供する。
Role of Presidential Election Candidates 大統領選挙候補者の役割
6. Presidential Election candidates play an important role in safeguarding the integrity of the election. They should enhance their understanding of the threat of foreign interference, and their cybersecurity posture. Candidates should find out more about the precautionary measures they can take to protect their information technology infrastructure, online and social media accounts, as well as the storage and management of their data. They are also advised to stay vigilant by monitoring their platforms for suspicious activity and not re-share posts or tweets of suspicious provenance. 6. 大統領選挙の候補者は、選挙の完全性を守る上で重要な役割を果たす。候補者は、外国からの干渉の脅威とサイバーセキュリティ態勢についての理解を深めるべきである。候補者は、情報技術インフラ、オンラインアカウント、ソーシャルメディアアカウント、データの保存と管理を保護するための予防措置について詳しく知るべきである。また、不審な動きがないかプラットフォームを監視し、疑わしい出所の投稿やツイートを再共有しないなど、警戒を怠らないよう助言される。
7. Presidential Election candidates should make a Police report immediately, and keep the Elections Department informed, if they detect or suspect foreign interference in the election, or that their account(s) or system(s) have been compromised or misused. 7. 大統領選挙の候補者は、選挙に対する外国からの干渉、あるいはアカウントやシステムが侵害されたり悪用されたりしたことを検知したり疑ったりした場合、直ちに警察に通報し、選挙管理局に報告すること。

 

ウェブページ

FOREIGN INTERFERENCE

FOREIGN INTERFERENCE IN DOMESTIC POLITICS 国内政治への外国からの干渉
Foreign interference includes attempts by foreign actors to manipulate domestic politics through covert and deceptive means, which undermines political sovereignty and harms social cohesion. 外国からの干渉とは、政治主権を弱体化させ、社会的結束を害するような、外国の主体による隠密かつ欺瞞的な手段による国内政治操作の試みを含む。
In the last few years, there have been many reports of alleged foreign interference in the elections of other countries, e.g. United States Presidential Election (2020), United States Mid-Term Elections (2018), French Presidential Elections (2017). Singapore is not immune. There is a need to guard against foreign actors who seek to manipulate Singapore’s domestic politics and interfere with elections outcomes. Singapore’s politics should be decided by Singaporeans alone. ここ数年、米国大統領選挙(2020年)、米国中間選挙(2018年)、フランス大統領選挙(2017年)など、他国の選挙に外国が干渉したとされる事例が数多く報告されている。シンガポールも無縁ではない。シンガポールの国内政治を操作し、選挙結果に干渉しようとする外国のアクターを警戒する必要がある。シンガポールの政治はシンガポール人だけで決めるべきだ。
SOME METHODS OF FOREIGN INTERFERENCE IN ELECTIONS 外国人による選挙干渉の手口
Generally, the objective of foreign actors interfering in elections is to shape the sentiment and voting behaviour of the electorate in a manner consistent with the desired outcome of the foreign actor. It is often done through the coordinated use of covert and subversive means, including the following: 一般に、外国勢力が選挙に介入する目的は、外国勢力が望む結果に一致するように有権者の感情や投票行動を形成することである。それは多くの場合、以下のような隠密かつ破壊的な手段を協調的に用いることによって行われる:
Disinformation 偽情報
Disinformation refers to false information with intent to mislead, and often takes the form of deliberately distorted or fabricated news content. In the context of an election, disinformation could involve: (a) the manipulation of public opinion through misleading narratives about electoral processes; (b) attempts to confuse the public about electoral regulations and their enforcement; and (c) narratives that undermine trust in politics and institutions. Disinformation could also seek to stir up the electorate on socially divisive issues or developments of significant public interest, so as to sway public opinion about a candidate or affect a candidate’s electoral chances. 偽情報とは、誤解を招くことを意図した虚偽の情報を指し、多くの場合、意図的に歪曲または捏造されたニュース内容の形をとる。選挙の文脈では、偽情報には、(a)選挙プロセスに関する誤解を招くような叙述による世論操作、(b)選挙規則とその施行について国民を混乱させようとする試み、(c)政治や機構に対する信頼を損なうような叙述が含まれる。偽情報はまた、候補者に関する世論を揺さぶったり、候補者の選挙チャンスに影響を与えたりするために、社会的に分裂している問題や、社会的に大きな関心を集めている出来事について、選挙民をかき乱そうとすることもある。
Sentiment amplification 感情の増幅
Sentiment amplification refers to the deliberate attempt to artificially inflate the spread and prominence of narratives which are useful for the foreign actor’s agenda. Such amplification could involve the coordinated use of fake accounts, cyber armies, trolls and bots. In the context of an election, the narratives inflated to prominence could consist of disinformation or false impressions of public opinion about political parties, candidates or campaign policies. The narratives could also contain inflammatory material which could result in impact on a candidate’s electoral chances, or even social division and polarisation, and public order and security risks. 感情の増幅とは、外国のアクターのアジェンダにとって有益なナラティブの広がりや注目を人為的に高めようとする意図的な試みを指す。このような増幅には、偽アカウント、サイバー軍、トロール、ボットの協調的利用が含まれる。選挙の文脈では、目立つように増幅されたナラティブは、政党、候補者、選挙政策に関する偽情報や世論の誤った印象で構成される可能性がある。ナラティブには扇動的な内容も含まれる可能性があり、その結果、候補者の選挙チャンスに影響を与えたり、社会分裂や分極化、公序良俗や治安のリスクにつながる可能性もある。
Identity falsification アイデンティティの改ざん
Identity falsification is the creation of fake online identities for false-front interaction with target audiences. The objective is to create the impression of authentic behaviours and personas, so as to build a network of followers who could eventually become the vectors or targets of the foreign actor’s interference campaign. アイデンティティの改ざんとは、ターゲットとするオーディエンスとの偽の交流のために、偽のオンライン・アイデンティティを作成することである。その目的は、本物の行動やペルソナのような印象を与えることであり、最終的に外国人行為者の干渉キャンペーンのベクトルやターゲットとなりうるフォロワーのネットワークを構築することである。
Party or campaign financing 政党や選挙運動の資金調達
The funding of a candidate’s election campaign by foreign actors, whether directly or through a proxy, is an attempt to support and increase the chances of the party or candidate to be elected to power, which the foreign actor assesses to be in its interests. 外国のアクターによる候補者の選挙運動への資金提供は、直接であれ代理人を通じてであれ、外国のアクターが自国の利益になると評価する政党や候補者を支援し、政権に選出される可能性を高めようとするものである。
Cultivation of political entities 政治事業体の育成
This refers to a foreign actor’s covert cultivation of favourable relationships with particular electoral candidate(s). It could entail promises of business incentives (or the threat to withhold such), donations or titles, under the guise of purported legitimate platforms (e.g. academic titles, institutional linkages). これは、外国アクターが特定の選挙候補者と有利な関係を秘密裏に構築することを指す。これは、合法的な基盤(例:学術的肩書き、機構とのつながり)を装って、ビジネス上のインセンティブ(またはそれを差し控えるという脅し)、献金、肩書きを約束することを伴う。
PRECAUTIONARY MEASURES 予防措置
All Singaporeans should exercise individual vigilance, to safeguard the integrity of elections. すべてのシンガポール国民は、選挙の完全性を守るため、各自警戒を怠らないこと。
Candidates have a responsibility to raise their awareness of potential foreign interference threats, improve digital literacy, and be on the alert for suspicious behaviours and hidden agendas. They are also recommended to take the following precautions: 候補者には、外国からの干渉の脅威に対する意識を高め、デジタルリテラシーを向上させ、不審な行動や隠された意図を警戒する責任がある。また、以下のような予防策を講じることも推奨される:
a. fact-check information received to ensure that it is accurate and/or authentic, or from a credible source, before sharing or reacting to it in the context of their election campaign; a. 選挙運動の文脈で情報を共有したり反応したりする前に、受け取った情報が正確かどうか、あるいは本人認証されているかどうか、あるいは信頼できる情報源からのものであるかどうかを、事実確認すること;
b. monitor their own social media platforms for suspicious or anomalous activity; and b. 自身のソーシャルメディア・プラットフォームを監視し、不審な動きや異常な動きがないか確認する。
fc. amiliarise with and abide by the Foreign Interference (Countermeasures) Act 2021 and the Political Donations Act 2000. c. 2021年外国人干渉(対策)法と2000年政治献金法を熟知し、遵守すること。
Should any candidate suspect that they are the target of foreign interference activities, they should make a police report and keep the Elections Department informed. For further information on foreign interference, visit the Ministry of Home Affairs' Introduction to Foreign Interference (Countermeasures) Act (FICA) webpage. 万が一、候補者が外患誘致活動の標的になっていると疑われる場合は、警察に通報し、選挙管理局に報告すること。外国人干渉に関する詳細は、内務省の外国人干渉(対策)法の序文(FICA)のウェブページを参照のこと。

 

 

 

 

勧告...

・[PDF] ADVISORY ON CYBERSECURITY FOR ELECTIONS IN SINGAPORE

20230825-22159

 

 

ADVISORY ON CYBERSECURITY FOR ELECTIONS IN SINGAPORE  シンガポールにおける選挙のサイバーセキュリティに関する勧告 
Introduction  序文 
Election campaigns were traditionally conducted physically. As the world rapidly digitalised, election campaign activities are increasingly being conducted online or in hybrid format. While the transition online has made it more convenient for election candidates and political parties while increasing the reach to the voters, the IT systems underpinning such activities are susceptible to cyber-attacks.   選挙運動は従来、物理的に行われてきた。世界が急速にデジタル化するにつれ、選挙運動はオンラインまたはハイブリッド形式で行われることが多くなっている。オンライン化によって選挙候補者や政党の利便性が向上し、有権者へのリーチが広がる一方で、こうした活動を支えるITシステムはサイバー攻撃の影響を受けやすくなっている。 
Examples of online campaign activities range from holding online rallies on social media platforms like Facebook to organising Q&A sessions on video conference platforms such as Zoom. To ensure that all online campaign activities are protected from cyber threats, election candidates and political parties should take appropriate precautionary measures to protect their digital assets. These assets include smartphones, computers, storage devices and online websites and accounts.  オンライン・キャンペーン活動の例としては、フェイスブックなどのソーシャルメディア・プラットフォームでのオンライン集会の開催から、Zoomなどのビデオ会議プラットフォームでの質疑応答セッションの開催まで、多岐にわたる。すべてのオンライン選挙活動をサイバー脅威から確実に守るために、選挙候補者と政党は、デジタル資産を保護するための適切な予防措置を講じるべきである。これらの資産には、スマートフォン、コンピューター、ストレージデバイス、オンラインウェブサイトやアカウントが含まれる。
The purpose of this advisory is to provide election candidates and political parties with information on potential cyber threats to their activities and the preventive measures they can take to mitigate the risk of cyber incidents disrupting their activities.   この勧告の目的は、選挙候補者と政党に、彼らの活動に対する潜在的なサイバー脅威と、彼らの活動を妨害するサイバーインシデントのリスクを軽減するために講じることができる予防措置に関する情報を提供することである。 
Potential Cyber Threats  サイバー脅威の可能性 
There have been reports from several countries of cyber-attacks that use a variety of techniques to target political parties, elected parliamentarians and election candidates. These attacks may be part of a wider intent to influence voters, undermine public confidence in the election process or disrupt campaign efforts. Some potential cyber threats may include:  政党、選挙で選ばれた国会議員、選挙候補者を標的に、さまざまな手法を用いてサイバー攻撃を仕掛けていることが、いくつかの国から報告されている。こうした攻撃は、有権者に影響を与えたり、選挙プロセスに対する国民の信頼を損なったり、選挙活動を妨害したりする、より広範な意図の一部である可能性がある。サイバー脅威には以下のようなものがある: 
Data Theft / Breaches  データ盗難/漏洩 
A data breach occurs when a threat actor successfully infiltrates a data source and extracts sensitive information. These assets can be compromised via various attack vectors, including social engineering, exploitation of software vulnerabilities or malware infection. Data that was exfiltrated could be published or sold, potentially damaging the credibility or reputation of the party or candidate. If the stolen data included account credentials, the threat actor could also leverage that information to launch further attacks on related IT systems, which may disrupt campaign efforts.  データ侵害は、脅威行為者がデータソースへの侵入に成功し、機密情報を抜き取ることで発生する。これらの資産は、ソーシャル・エンジニアリング、ソフトウェアの脆弱性の悪用、マルウェア感染など、さまざまな攻撃ベクトルによって侵害される可能性がある。流出したデータは公表または販売される可能性があり、政党や候補者の信頼性や評判を損なう可能性がある。窃取されたデータにアカウント情報が含まれていた場合、脅威行為者はその情報を活用して関連するITシステムにさらなる攻撃を仕掛け、選挙活動を妨害する可能性もある。
Website Defacement  ウェブサイトの改ざん 
Website defacement takes place when a threat actor gains unauthorised access to a website and changes its visual appearance. The defacement may be performed on the homepage or the sub-pages. Disturbing or graphic images or messages expressing a certain point of view may be left on the website, potentially damaging the credibility or reputation of the party or candidate. The threat actor could also delete website content to disrupt access or publish misleading information that could affect the party or candidate’s reputation.   ウェブサイトの改ざんは、脅威行為者がウェブサイトに不正アクセスし、その外観を変更することで行われる。改ざんはホームページやサブページで行われることがある。不穏当な、あるいはグラフィックな画像や、特定の視点を表現するメッセージがウェブサイトに残され、政党や候補者の信頼性や評判が損なわれる可能性がある。脅威行為者はまた、アクセスを妨害するためにウェブサイトのコンテンツを削除したり、政党や候補者の評判に影響を与えるような誤解を招く情報を公開したりする可能性もある。 
Distributed Denial of Service (DDoS)  分散型サービス拒否(DDoS) 
A DDoS attack is a malicious attempt to make an online service unavailable to legitimate users by flooding the victim’s network with traffic from various sources. Such attacks use multiple compromised internet-connected devices to exhaust the capacity of the victim’s network to handle multiple requests or connections. This could result in potential voters being unable to access online services and information, and potentially undermining the effectiveness of campaigning by the party or candidate.  DDoS攻撃は、様々なソースからのトラフィックで被害者のネットワークをフラッディングすることで、正規のユーザーがオンラインサービスを利用できないようにする悪意のある試みである。このような攻撃は、複数の侵害されたインターネット接続デバイスを使用して、被害者のネットワークが複数の要求や接続を処理する能力を使い果たす。その結果、潜在的な有権者がオンラインサービスや情報にアクセスできなくなり、政党や候補者によるキャンペーンの効果が損なわれる可能性がある。
Ransomware  ランサムウェア 
Ransomware is a type of malware designed to encrypt files stored in a compromised system until a ransom is paid. All affected (encrypted) files are not recoverable unless a decryption key is available. Some ransomware variants may also perform lateral movement to encrypt files stored in shared or network drives, including backups connected to the compromised network. There is no guarantee that victims will get the decryption key or recover their data after paying the ransom.  ランサムウェアは、身代金が支払われるまで、侵害されたシステムに保存されているファイルを暗号化するように設計されたマルウェアの一種である。影響を受けた(暗号化された)ファイルはすべて、復号化キーが入手できない限り復元できない。ランサムウェアの亜種の中には、侵害されたネットワークに接続されたバックアップを含む共有ドライブやネットワークドライブに保存されたファイルを暗号化するために、横方向の移動を行うものもある。身代金を支払っても、被害者が復号鍵を入手したり、データを回復したりできるという保証はない。
A ransomware attack is typically carried out via phishing emails that contain malicious attachments or links. Users’ devices could get infected when they click on these attachments or links. It could also occur when unsuspecting victims unknowingly visit an infected website that downloads and installs the malware onto their device. The inability to access encrypted files may disrupt campaigning by the party or candidates.  ランサムウェア攻撃は通常、悪意のある添付ファイルやリンクを含むフィッシングメールを介して行われる。ユーザーがこれらの添付ファイルやリンクをクリックすると、デバイスが感染する可能性がある。また、疑うことを知らない被害者が感染したウェブサイトを訪問し、マルウェアをダウンロードしてデバイスにインストールした場合にも発生する可能性がある。暗号化されたファイルにアクセスできなくなることで、政党や候補者による選挙活動が妨害される可能性がある。
Exploitation of Vulnerabilities  脆弱性の悪用 
Vulnerabilities in IT systems refer to flaws in the code or design that creates a potential point of compromise for a computer or network. When successfully exploited, it can lead to unauthorised access to the IT system, allowing the threat actor to steal, modify, or delete data. This could potentially disrupt campaign activities.  ITシステムにおける脆弱性とは、コードや設計に欠陥があり、コンピュータやネットワークが危険にさらされる可能性があることを指す。悪用に成功すると、ITシステムへの不正アクセスにつながり、脅威行為者がデータを盗んだり、修正したり、削除したりできるようになる。これにより、キャンペーン活動が妨害される可能性がある。
Compromised/Fake Social Media Accounts  侵害された/偽のソーシャルメディアアカウント 
Threat actors could compromise social media accounts belonging to election candidates or political parties to spread misleading information. Impersonation accounts mimicking legitimate candidates or parties may also be created on various social media platforms for the same purpose. Where possible, candidates are advised to get their social media accounts verified.  脅威行為者は、選挙候補者や政党のソーシャルメディアアカウントを侵害し、誤解を招く情報を拡散させる可能性がある。合法的な候補者や政党を模倣したなりすましアカウントも、同じ目的でさまざまなソーシャルメディア・プラットフォーム上に作成される可能性がある。可能であれば、候補者はソーシャルメディアのアカウントを確認することをお勧めする。
Insider Threats  内部者の脅威 
Insider threats refer to threats that come from someone inside the organisation who has authorised access to a network. He may wittingly or unwittingly use such access to harm the network. A malicious insider within an election campaign may intentionally steal sensitive information or degrade the network’s security to allow unauthorised access from external sources. Data that may be exfiltrated as a result could potentially damage the reputation or credibility of the party or candidate.   内部者の脅威とは、ネットワークへのアクセスを許可された組織内部の人物からもたらされる脅威を指す。故意に、あるいは無意識のうちに、そのようなアクセスを利用してネットワークに危害を加える可能性がある。選挙運動中の悪意ある内部関係者は、意図的に機密情報を盗んだり、ネットワークのセキュリティを低下させて外部からの不正アクセスを許すかもしれない。その結果流出したデータは、政党や候補者の評判や信用を損なう可能性がある。 
Social Engineering  ソーシャル・エンジニアリング 
Social engineering is a manipulation technique that exploits human error to gain confidential information, access, or valuables. There are several types of social engineering attacks, including phishing, vishing, or baiting. All these types of attacks rely on human errors to successfully attain information, gain access, or reap monetary gains. Successful exfiltration of data could potentially damage the credibility or reputation of the party or candidate.  ソーシャル・エンジニアリングは、機密情報、アクセス、または貴重品を得るために人為的ミスを悪用する操作技術である。ソーシャル・エンジニアリング攻撃には、フィッシング、ビッシン グ、おとりなどいくつかの種類がある。これらのタイプの攻撃はすべて、情報の取得、アクセス権の獲得、金銭的利益の獲得に成功するためのヒューマンエラーに依存している。データの流出が成功すれば、政党や候補者の信用や評判を損なう可能性がある。
Precautionary Measures for Election Candidates and Political Parties  選挙候補者と政党のための予防策 
Various IT equipment and systems may be used to support election candidates or political parties’ campaigns. The use of such technologies may introduce potential cyber threats highlighted in the previous section. Election candidates and political parties need to be responsible for their own cybersecurity and are advised to take precautionary measures to safeguard their digital assets.   選挙候補者や政党のキャンペーンを支援するために、さまざまなIT機器やシステムが使用される可能性がある。そのような技術の使用は、前節で強調した潜在的なサイバー脅威をもたらす可能性がある。選挙候補者や政党は、自らのサイバーセキュリティに責任を持つ必要があり、デジタル資産を保護するための予防措置を講じることが推奨される。 
Election candidates and political parties should appoint a responsible person to take charge of their campaign’s cybersecurity matters. Due consideration should also be placed on engaging a cybersecurity vendor to review and manage the cybersecurity posture of the election campaign systems as well as to respond to any cybersecurity incident.   選挙候補者や政党は、選挙運動のサイバーセキュリティに関する事項を担当する責任者を任命すべきである。また、選挙運動システムのサイバーセキュリティ態勢を検討・管理し、サイバーセキュリティインシデントに対応するために、サイバーセキュリティベンダーを雇うことも十分に考慮すべきである。 
Some precautionary measures that can be implemented by election candidates and political parties to safeguard their cybersecurity are provided below. Please note that the measures provided are not exhaustive.   選挙候補者や政党がサイバーセキュリティを守るために実施できる予防策を以下に示す。なお、プロバイダが提供する対策はすべてを網羅しているわけではない。 
Establish Strict Access Control  厳格なアクセス・コントロールを確立する 
- Perform a stock take of all digital assets owned and used by the election campaign. For example, there should be clear awareness of what, where and how data is stored in each device.  ・選挙キャンペーンが所有・使用するすべてのデジタル資産の棚卸しを行う。例えば,各デバイスに何が,どこに,どのようにデータが保存されているかを明確に認識する。
- Institute strict control over administrator and remote access privileges to digital assets. The principle of least privileges should be followed as much as possible.  ・デジタル資産への管理者権限やリモートアクセス権限を厳格に管理する。最小権限の原則にできるだけ従うべきである。
- Establish a whitelist of applications that are allowed to run on device(s) used for campaign purposes especially those containing or processing sensitive data. All other applications should be disallowed.  ・キャンペーン目的で使用されるデバイス,特に機密データを含む,または処理するデバイスで実行が許可されるアプリケーションのホワイトリストを確立する。その他のアプリケーションはすべて許可しない。
Enforce Strong Password Management  強固なパスワード管理を実施する 
- Institute minimum password lengths and complexities for campaign and campaignrelated accounts. A strong password would generally comprise at least 12 characters with a mix of upper- and lower-case letters, numbers, and special characters.  ・キャンペーンおよびキャンペーン関連のアカウントについて,最小限のパスワードの長さと複雑さを設定する。強力なパスワードは一般的に,大文字と小文字,数字,特殊文字を組み合わせた少なくとも12文字で構成される。
- Implement multi-factor authentication (MFA) to further secure online accounts.  ・多要素認証(MFA)を導入し、オンラインアカウントの安全性を高める。
- Raise awareness amongst account holders on safeguarding account credentials (e.g. do not share the credentials with anyone and do not write the password down on paper).  ・アカウント保有者の間で、アカウント認証情報の保護に関する意識 を高める(認証情報を誰とも共有しない、パスワードを紙に書 き出さないなど)。
Perform Regular Software Updates   ソフトウェアのアップデートを定期的に行う  
- Firmware and software should always be updated promptly to protect campaign devices from known vulnerabilities.  ・キャンペーン・デバイスを既知の脆弱性から守るため,ファームウェアとソフトウエアは常に迅速に更新する。
- Set automatic updates where feasible.  ・可能であれば自動アップデートを設定する。
Regularly Backup Important Data  重要なデータを定期的にバックアップする 
- Regularly backup important data on devices to ensure data integrity and availability in the event of a cybersecurity incident such as ransomware. Backups should be stored disconnected from the organisation’s network and kept offline, so as to prevent threat actors from being able to compromise both the primary system as well as the backup system in the same attack.  ・ランサムウェアのようなサイバーセキュリティインシデントが発生した場合にデータの完全性と可用性を確保するために,デバイス上の重要なデータを定期的にバックアップする。脅威行為者が同じ攻撃でプライマリ・システムとバックアップ・システムの両方を侵害できないように,バックアップは組織のネットワークから切り離してオフラインの状態で保存する。
Raise Cybersecurity Awareness Amongst Campaign Staff  選挙スタッフのサイバーセキュリティ意識を高める 
- Educate campaign staff on common cybersecurity threats such as phishing.  ・フィッシングなどの一般的なサイバーセキュリティの脅威についてキャンペーンスタッフを教育する。
- Remind them that they should practice good cyber hygiene and implement preventive measures.  ・適切なサイバー衛生を実践し,予防策を実施すべきであることを再認識させる。
- Establish clear lines of communication for incident reporting. Campaign staff should also be encouraged to report near-miss incidents.  ・インシデント報告のための明確なコミュニケーションラインを確立する。選挙スタッフにもインシデントのニアミスを報告するよう促す。
- Train campaign staff to spot signs of compromise (e.g. not able to login using original password, receiving a ransom message, sudden presence of unknown applications installed in device, or inexplicable activities detected on their device(s)).  ・選挙スタッフが侵害の兆候(元のパスワードでログインできない、身代金要求メッセージを受信した、デバイスに未知のアプリケーションが突然インストールされた、デバイスで不可解なアクティビティが検出されたなど)を発見できるよう検知訓練を行う。
Develop Cybersecurity Monitoring and Incident Response Capabilities  サイバーセキュリティのモニタリングとインシデント対応能力を開発する。
- Establish cybersecurity monitoring capabilities to detect breaches or breach attempts. Such capabilities can take the form of installed technologies such as Endpoint Detection and Response (EDR).  ・侵害または侵害の試みを検知するためのサイバーセキュリティ監視能力を確立する。このような能力は、EDR(Endpoint Detection and Response:エンドポイント検知・応答)のような導入済みテクノロジーの形をとることができる。
- Perform regular security assessments on election campaign related websites using reputable tools such as SSL Labs, MxToolbox, or the Cyber Security Agency of Singapore’s Internet Hygiene Portal to identify possible flaws for remediation.  ・SSL Labs、MxToolbox、Cyber Security Agency of Singapore's Internet Hygiene Portal などの評判の良いツールを使用して、選挙キャンペーン関連のウェブサイトのセキュリティ評価を定期的に実施し、改善の可能性がある欠陥を特定する。
- Enable loggings of network traffic and security events. Logs should be retained for a suitable period (e.g. 6 months) to facilitate any investigations in the event of a cybersecurity incident.  ・ネットワーク・トラフィックとセキュリティ・イベントのロギングを有効にする。サイバーセキュリティインシデントが発生した場合の調査を容易にするため、ログを適切な期間(6 カ月など)保持する。
- Develop an incident response and management plan to ensure that all stakeholders know their role. The following checklist developed by SingCERT may be useful when developing an incident response plan for your campaign: https://www.csa.gov.sg/TipsResources/Resources/singcert/Incident-Response-Checklist.   ・インシデント対応・管理計画を策定し、すべての関係者が自分の役割を把握できるようにする。キャンペーンのインシデント対応計画を策定する際には、SingCERT が作成した以下のチェックリストが有用である。https://www.csa.gov.sg/TipsResources/Resources/singcert/Incident-Response-Checklist.  
Steps to Take in the Event of a (Suspected) Cybersecurity Incident  サイバーセキュリティインシデント(の疑い)が発生した場合の手順 
If election candidates, political parties or campaign staff suspect that a cybersecurity incident may have occurred, they should:  選挙候補者、政党、選挙運動スタッフが、サイバーセキュリティ・インシデントが発生した可能性があると疑われる場合、次のことを行うべきである: 
- Lodge a police report immediately, and keep the Elections Department (ELD) informed.  ・直ちに警察に被害届を提出し、選挙管理局(ELD)に報告する。
To respond to the incident:  インシデントに対応する: 
- Contact the relevant email and social media platform providers for issues related to your email or social media accounts. For immediate self-help, please refer to the section Useful Links for Email Providers and Social Media Platforms.  ・電子メールやソーシャルメディアのアカウントに関する問題については,関連する電子メールやソーシャルメディアのプロバイダに連絡する。早急な自助努力については,「電子メールプロバイダーおよびソーシャル・メディア・プラットフォームのための有用なリンク」のセクションを参照すること。
Contact your appointed cybersecurity vendor if there is a compromise in your IT system. A non-exhaustive list of cybersecurity vendors is provided under the section Cybersecurity Service Providers. For immediate self-help, you may also wish to visit [web].   ITシステムに侵害があった場合は、指定されたサイバーセキュリティ・ベンダーに連絡する。サイバーセキュリティ・ベンダーの非網羅的リストは、「サイバーセキュリティ・サービス・プロバイダー」のセクションに記載されている。早急なセルフヘルプについては、[web]。 
Additional Resources  その他のリソース 
For additional information on the potential cyber threats mentioned in this advisory and other references on cybersecurity tips and good practices, please refer to section Useful References.  この勧告で言及されている潜在的なサイバー脅威に関する追加情報、およびサイバーセキュリティに関するヒントやグッドプラクティスに関するその他の参考情報については、「有用な参考情報」のセクションを参照されたい。
For clarifications on the advisory, please send an email to SingCERT at singcert@csa.gov.sg   この勧告に関する明確な情報については、SingCERT(singcert@csa.gov.sg)まで電子メールで問い合わせること。 
Useful Links for Email Providers and Social Media Platforms  電子メールプロバイダーおよびソーシャルメディアプラットフォームのための有用なリンク 
The following table provides account retrieval details for popular email providers:  以下の表は、一般的な電子メール・プロバイダのアカウント検索の詳細を示している: 
Email Provider Email Contact
Gmail Compromised Account
https://support.google.com/accounts/answer/6294825
Outlook or Hotmail Compromised Account
https://support.microsoft.com/en-hk/help/10494/microsoft-accounthow-to-access-a-compromised-account
The following table provides details for account verification, and account retrieval and impersonation profile reporting for popular social media platforms: 以下の表は、一般的なソーシャル・メディア・プラットフォームのアカウント検証、アカウント検索、なりすましプロファイル報告の詳細を示している:
Social Media Platform Contact Information
Facebook Verify Account
https://www.facebook.com/help/1288173394636262
Compromised Account
https://www.facebook.com/hacked
Impersonation Account https://www.facebook.com/help/174210519303259/
Twitter Verify Account
https://help.twitter.com/en/managing-your-account/about-twitterverified-accounts
Compromised Account
https://help.twitter.com/en/safety-and-security/twitter-accountcompromised
Impersonation Account
https://help.twitter.com/forms/impersonation
Instagram Verify Account
https://help.instagram.com/854227311295302
Compromised Account

https://help.instagram.com/368191326593075
Impersonation Account
https://help.instagram.com/446663175382270
YouTube Verify Account
https://support.google.com/youtube/answer/3046484?hl=en
Compromised Account

https://support.google.com/youtube/answer/76187?hl=en
Impersonation Account

https://support.google.com/youtube/answer/2801947?hl=en
LinkedIn Compromised Account
https://www.linkedin.com/help/linkedin/answer/56363/reporting-ahacked-account?lang=en Impersonation Account
https://safety.linkedin.com/identifying-abuse#profiles

Snapchat
Compromised Account
https://support.snapchat.com/en-US/a/hacked-howto
Impersonation Account
https://support.snapchat.com/en-US/i-need-help
TikTok Verify Account
https://support.tiktok.com/en/using-tiktok/growing-youraudience/how-to-tell-if-an-account-is-verified-on-tiktok
Compromised Account

https://support.tiktok.com/en/log-in-troubleshoot/log-in/myaccount-has-been-hacked
Impersonation Account
https://support.tiktok.com/en/safety-hc/report-a-problem/report-auser
WhatsApp Compromised Account
https://faq.whatsapp.com/1131652977717250

Cybersecurity Service Providers

To review and manage your campaign’s cybersecurity posture or to seek incident response services, you can refer to the following link for CREST-accredited incident response companies with a presence in Singapore: 

https://www.crest-approved.org/members/?filter_accredited_services_10717=Cyber%20Security%20Incident %20Response&filter_offices_10717=Singapore  

Useful References

For more information on potential cyber threats to your campaign and possible preventive measures you can take to secure your IT systems, please visit the following websites:

Data Theft / Breach

Social Engineering

Exploitation of Vulnerabilities

Website Defacement

Distributed Denial of Service (DDoS)

Ransomware

Insider Threats

Incident Response

 

 

| | Comments (0)

2023.08.24

NIST SP 1800-35(第3次初期ドラフト) ゼロトラストアーキテクチャの実装 Vol.D 機能デモ

こんにちは、丸山満彦です。

実装ガイドライン全5巻(Vol.A 〜 Vol.E)のうちVol.D 機能デモのドラフトとなりますね。。。

SP 1800-35A Executive Summary  エグゼクティブサマリー 2nd Preliminary Draft
SP 1800-35B Approach, Architecture, and Security Characteristics  アプローチ、アーキテクチャ、セキュリティ特性 3rd Preliminary Draft
SP 1800-35C How-To Guides ハウツーガイド 3rd Preliminary Draft
SP 1800-35D Functional Demonstrations 機能デモ 3rd Preliminary Draft
SP 1800-35E Risk and Compliance Management リスクとコンプライアンスマネジメント Preliminary Draft

 

・2023.08.22 NIST SP 1800-35 (3rd Preliminary Draft) Implementing a Zero Trust Architecture

NIST SP 1800-35 (3rd Preliminary Draft) Implementing a Zero Trust Architecture NIST SP 1800-35(第3次初期ドラフト) ゼロトラストアーキテクチャの実装
Announcement 発表
The Zero Trust Architecture (ZTA) team at NIST's National Cybersecurity Center of Excellence (NCCoE) has published the third version of volume D of a preliminary draft practice guide titled "Implementing a Zero Trust Architecture” and is seeking the public's comments on its contents. NISTの国立サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)のゼロトラストアーキテクチャ(ZTA)チームは、「ゼロトラストアーキテクチャの実装」と題する初期ドラフト実践ガイドの第3版D巻を公表し、その内容に関する一般からのコメントを求めている。
This guide summarizes how the NCCoE and its collaborators are using commercially available technology to build interoperable, open standards-based ZTA example implementations that align to the concepts and principles in NIST Special Publication (SP) 800-207, Zero Trust Architecture このガイドは、NCCoEとその協力者が、NIST特別刊行物(SP)800-207「ゼロ・トラスト・アーキテクチャ」の概念と原則に沿った、相互運用可能なオープン標準ベースのZTA実装例を構築するために、市販の技術をどのように利用しているかをまとめたものである。 
Volume D provides a functional demonstration plan and the updated version includes demonstration results for ten builds. We will continue to update the volumes of NIST SP 1800-35 appropriately as needed as we make significant progress on the project. D巻は機能実証計画を提供し、更新版には10回の構築の実証結果が含まれる。 NIST SP 1800-35の各巻は、プロジェクトが大きく進展するにつれて、必要に応じて適切に更新していく予定である。
As an enterprise’s data and resources have become distributed across the on-premises environment and multiple clouds, protecting them has become increasingly challenging. Many users need access from anywhere, at any time, from any device. The NCCoE is addressing these challenges by collaborating with industry participants to demonstrate several approaches to a zero trust architecture applied to a conventional, general-purpose enterprise IT infrastructure on-premises and in the cloud. エンタープライズのデータやリソースがオンプレミス環境や複数のクラウドに分散するようになり、それらを防御することはますます困難になっている。多くのユーザーは、いつでも、どこからでも、どのデバイスからでもアクセスする必要がある。NCCoEは、業界参加者と協力し、オンプレミスおよびクラウド上の従来の汎用エンタープライズITインフラに適用されるゼロトラスト・アーキテクチャへのいくつかのアプローチを実証することで、これらの課題に取り組んでいる。
Abstract 概要
A zero trust architecture (ZTA) focuses on protecting data and resources. It enables secure authorized access to enterprise resources that are distributed across on-premises and multiple cloud environments, while enabling a hybrid workforce and partners to access resources from anywhere, at any time, from any device in support of the organization’s mission. Each access request is evaluated by verifying the context available at access time, including criteria such as the requester’s identity and role, the requesting device’s health and credentials, the sensitivity of the resource, user location, and user behavior consistency. If the enterprise’s defined access policy is met, a secure session is created to protect all information transferred to and from the resource. A real-time and continuous policy-driven, risk-based assessment is performed to establish and maintain the access. In this project, the NCCoE and its collaborators use commercially available technology to build interoperable, open, standards-based ZTA implementations that align to the concepts and principles in NIST Special Publication (SP) 800-207, Zero Trust Architecture. This NIST Cybersecurity Practice Guide explains how commercially available technology can be integrated and used to build various ZTAs. ゼロ・トラスト・アーキテクチャー(ZTA)は、データとリソースの保護に重点を置く。ZTAは、オンプレミスや複数のクラウド環境に分散しているエンタープライズ・リソースへのセキュアな認証アクセスを可能にする一方で、ハイブリッドな従業員やパートナーが、組織のミッションをサポートするために、いつでも、どこからでも、どのデバイスからでもリソースにアクセスできるようにする。各アクセス・リクエストは、アクセス時に利用可能なコンテキストを検証することで評価される。これには、リクエスト元のアイデンティティや役割、リクエスト元のデバイスの状態や認証情報、リソースの機密性、ユーザーの場所、ユーザーの行動の一貫性などの基準が含まれる。エンタープライズで定義されたアクセス・ポリシーに合致する場合、リソースとの間で転送されるすべての情報を保護するためのセキュアなセッションが作成される。リアルタイムかつ継続的なポリシー駆動型のリスクベースのアセスメントが実行され、アクセスが確立・維持される。このプロジェクトでは、NCCoE とその協力者は、市販の技術を使用して、NIST 特別刊行物(SP)800-207「Zero Trust Architecture」の概念と原則に沿った、相互運用可能でオープンな標準ベースの ZTA 実装を構築する。この NIST サイバーセキュリティ実践ガイドでは、さまざまな ZTA を構築するために、市販の技術をどのように統合し、使用できるかを説明する。

 

・[PDF]

20230824-60006

 

 

 

NIST - NCCoE

アナウンス

・2022.08.22 The Zero Trust Architecture (ZTA) Team Releases Preliminary Draft Practice Guide (Vol D)

The Zero Trust Architecture (ZTA) Team Releases Preliminary Draft Practice Guide (Vol D) ゼロ・トラスト・アーキテクチャー(ZTA)チーム、実践ガイド初期ドラフト(Vol.D)を発表
The Zero Trust Architecture (ZTA) team at NIST’s National Cybersecurity Center of Excellence (NCCoE) has published the third version of volume D of a preliminary draft practice guide titled “Implementing a Zero Trust Architecture” and is seeking the public’s comments on its contents. NISTの国立サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)のZero Trust Architecture(ZTA)チームは、「Implementing a Zero Trust Architecture」と題する初期ドラフト実践ガイドの第3版(Volume D)を公開し、その内容に対する一般からのコメントを求めている。
This guide summarizes how the NCCoE and its collaborators are using commercially available technology to build interoperable, open standards-based ZTA example implementations that align to the concepts and principles in NIST Special Publication (SP) 800-207, Zero Trust Architecture. Volume D provides a functional demonstration plan, and the updated version includes demonstration results for ten builds. このガイドは、NCCoEとその協力者が、NIST特別刊行物(SP)800-207「Zero Trust Architecture」の概念と原則に沿った、相互運用可能なオープン標準ベースのZTA実装例を構築するために、市販の技術をどのように利用しているかをまとめたものである。D巻は機能実証計画を提供し、更新版には10回の構築の実証結果が含まれている。
As an enterprise’s data and resources have become distributed across the on-premises environment and multiple clouds, protecting them has become increasingly challenging. Many users need access from anywhere, at any time, from any device. The NCCoE is addressing these challenges by collaborating with industry participants to demonstrate several approaches to a zero trust architecture applied to a conventional, general-purpose enterprise IT infrastructure on-premises and in the cloud. エンタープライズのデータやリソースがオンプレミス環境や複数のクラウドに分散されるようになり、それらの防御はますます困難になっている。多くのユーザーは、いつでも、どこからでも、どのデバイスからでもアクセスする必要がある。NCCoEは、業界参加者と協力し、オンプレミスおよびクラウド上の従来の汎用エンタープライズITインフラに適用されるゼロトラスト・アーキテクチャへのいくつかのアプローチを実証することで、こうした課題に取り組んでいる。
The NCCoE is making volume D available as a preliminary draft for public comment while work continues on the project. Review the preliminary draft and submit comments online on or before October 9th, 2023. Visit the ZTA page to download the volume and feedback form. NCCoEは、このプロジェクトの作業を継続する間、パブリックコメント用の初期ドラフトとしてボリュームDを公開している。初期ドラフトを確認し、2023年10月9日までにオンラインでコメントを提出できる。また、ZTAのページで、それぞれの巻とフィードバックフォームをダウンロードできる。

 

Implementing a Zero Trust Architecture

Implementing a Zero Trust Architecture ゼロ・トラスト・アーキテクチャの実装
Conventional network security has focused on perimeter defenses, but many organizations no longer have a clearly-defined perimeter. To protect a modern digital enterprise, organizations need a comprehensive strategy for secure “anytime, anywhere” access to their corporate resources (e.g., applications, legacy systems, data, and devices) regardless of where they are located. 従来のネットワーク・セキュリティは境界防御に重点を置いてきたが、多くの組織ではもはや境界が明確に定義されていない。 現代のデジタル・エンタープライズを防御するためには、企業リソース(アプリケーション、レガシー・システム、データ、デバイスなど)への「いつでも、どこからでも」安全にアクセスできる包括的な戦略が必要である。
End-to-end zero trust architecture implementations to help industry and government reduce the risk of cyber attack エンド・ツー・エンドのゼロ・トラスト・アーキテクチャの実装により、産業界と政府はサイバー攻撃のリスクを軽減できる。
The National Cybersecurity Center of Excellence (NCCoE) aims to remove the shroud of complexity around designing for zero trust with “how to” guides and example approaches to implementing a zero trust architecture for several common business cases. 国立サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)は、いくつかの一般的なビジネスケースに対応したゼロトラスト・アーキテクチャを実装するための「ハウツー」ガイドとアプローチ例により、ゼロトラスト設計にまつわる複雑な覆いを取り除くことを目指す。

 

・[PDF] Fact Sheet: IMPLEMENTING A ZERO TRUST ARCHITECTURE

20230824-61016

 

IMPLEMENTING A ZERO TRUST ARCHITECTURE  ゼロトラストアーキテクチャの実装 
The National Cybersecurity Center of Excellence (NCCoE) is addressing the challenge of implementing a zero trust architecture (ZTA) through collaborative efforts with industry and the information technology (IT) community, including cybersecurity solutions providers. This fact sheet provides an overview of the Implementing a Zero Trust Architecture project, including background, goal, potential benefits, and project collaborators.  国立サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)は、サイバーセキュリティ・ソリューション・プロバイダを含む産業界や情報技術(IT)コミュニティとの協力を通じて、ゼロ・トラスト・アーキテクチャ(ZTA)の実装という課題に取り組んでいる。このファクト・シートでは、背景、目標、潜在的なメリット、プロジェクトの協力者など、「ゼロ・トラスト・アーキテクチャの実装」プロジェクトの概要を説明する。
BACKGROUND  背景 
The conventional security approach has focused on perimeter defenses. Once inside the network perimeter, users are “trusted” and often given broad access to many corporate resources. But malicious actors can come from inside or outside the perimeter, and several high-profile cyberattacks in recent years have undermined the case for the perimeter- based model. Moreover, the perimeter is becoming less relevant due to several factors, including the growth of cloud computing and mobility, and changes in the modern workforce.  従来のセキュリティ・アプローチは、境界防御に焦点を当ててきた。ネットワーク境界の内側に入ると、ユーザーは「信頼」され、多くの企業リソースへの広範なアクセスが与えられることが多い。しかし、悪意のある行為者は、境界の内外から侵入する可能性があり、近年、いくつかの有名なサイバー攻撃によって、境界をベースとしたモデルの根拠が崩れつつある。さらに、クラウド・コンピューティングやモビリティの拡大、現代の労働力の変化など、いくつかの要因により、境界はあまり意味を持たなくなってきている。
Zero trust is a cybersecurity strategy that focuses on moving perimeter-based defenses from wide, static perimeters to narrow dynamic and risk-based access control for enterprise resources regardless of where they are located. Zero trust access control is based on a number of attributes such as identity and endpoint health.  ゼロ・トラストとは、サイバーセキュリティ戦略であり、境界ベースの防御を広く静的な境界から、エンタープライズ・リソースの所在に関係なく、狭く動的でリスクに基づくアクセス制御へと移行することに重点を置いている。ゼロトラスト・アクセス制御は、IDやエンドポイントの健全性など、多くの属性に基づいている。
CHALLENGE  課題 
The challenges to implementing a ZTA include:  ZTAの導入には、以下のような課題がある: 
Leveraging existing investments and balancing priorities while making progress toward a ZTA via modernization initiatives  既存の投資を活用し、優先順位のバランスを取りながら、近代化イニシアチブを介してZTAに向けて前進する。
Integrating various types of commercially available technologies of varying maturities, assessing capabilities, and identifying technology gaps to build a complete ZTA  完全なZTAを構築するために、成熟度の異なるさまざまなタイプの市販技術を統合し、能力を評価し、技術ギャップを特定すること。
Concern that ZTA might negatively impact the operation of the environment or end-user experience  ZTAが環境の運用やエンドユーザー・エクスペリエンスに悪影響を及ぼすのではないかという懸念 
Lack of common understanding of ZTA across the organization, gauging the organization’s ZTA maturity, determining which ZTA approach is most suitable for the business, and developing an implementation plan  組織全体のZTAに対する共通理解が不足しており、組織のZTA成熟度を測定し、どのZTAアプローチがビジネスに最も適しているかを判断し、実施計画を策定する。
GOALS  目標 
The goal of this NCCoE project is to demonstrate several example ZTA solutions—applied to a conventional, general- purpose enterprise IT infrastructure—that are designed and deployed according to the concepts and tenets documented in NIST Special Publication (SP) 800207, Zero Trust Architecture.  このNCCoEプロジェクトの目標は、NIST特別刊行物(SP)800207「Zero Trust Architecture」に記載されているコンセプトと原則に従って設計・導入された、従来の汎用エンタープライズITインフラに適用されるZTAソリューションの例をいくつか実証することである。
BENEFITS  利点 
The potential business benefits of the example solutions include:  例示したソリューションの潜在的なビジネス上のメリットは以下のとおりである: 
Support user access to resources regardless of user location or user device (managed or unmanaged)  ユーザーの場所やデバイス(管理型、非管理型)に関係なく、ユーザーのリソースへのアクセスをサポートする。
Protect business assets and processes regardless of their location (on-premises or cloud-based)  場所(オンプレミスまたはクラウドベース)に関係なく、ビジネス資産とプロセスを防御する。
Limit the insider threat (insiders—both users and nonperson entities—are not automatically trusted)  インサイダーの脅威を制限する(インサイダー(ユーザーと非事業体の両方)は自動的に信頼されるわけではない 
Limit breaches (reduce attackers’ ability to move laterally and escalate privilege within the environment)  侵害を制限する(攻撃者が環境内で横方向に移動し、権限をエスカレートする能力を低下させる) 
Protect sensitive corporate information with data security solutions  データセキュリティ・ソリューションで企業の機密情報を防御する。
Improve visibility into the inventory of resources, what configurations and controls are implemented, all communications and their specific flows, and how resources are accessed and protected, and then use this understanding to formulate and enforce a useful and complete security policy  リソースのインベントリ、どのような構成と制御が実装されているか、すべてのコミュニケーションとその具体的なフロー、リソースがどのようにアクセスされ、保護されているかについての可視性を改善し、この理解を利用して有用かつ完全なセキュリティポリシーを策定し、実施する 
Perform real-time and continuous monitoring and logging, and policy-driven, risk-based assessment and enforcement of resource access policy  リアルタイムかつ継続的なモニタリングとロギングを行い、ポリシー駆動型のリスクベースの評価とリソース・アクセス・ポリシーの実施を行う。
HIGH-LEVEL ARCHITECTURE   ハイレベルアーキテクチャ  
A ZTA is designed for secure access to enterprise resources. Shown here is a high-level, notional architecture of the core components of a ZTA build for a typical IT enterprise and the functional components to support it. A detailed explanation of each component can be found within the practice guide and project description at [web] ZTAはエンタープライズリソースへの安全なアクセスのために設計されている。ここに示すのは、典型的なITエンタープライズ向けに構築されたZTAのコアコンポーネントと、それをサポートする機能コンポーネントのハイレベルな想定アーキテクチャである。各コンポーネントの詳細な説明は、[web] の実践ガイドとプロジェクトの説明の中にある。
1_20230824062801

TECHNOLOGY COLLABORATORS  技術協力者 
The technology vendors participating in this project submitted their capabilities in response to an open call in the Federal  このプロジェクトに参加する技術ベンダーは、連邦官報に掲載された公募に応じ て、その能力を提出した。
Register. Companies with relevant security capabilities were invited to sign a Cooperative Research and Development Agreement with the National Institute of Standards and Technology (NIST), allowing them to participate in a consortium to build this example solution.  登録された。関連するセキュ リティ機構を持つ企業は、国立標準技術研究所(NIST)と協力研究開発契約を締結するよう招 待され、このソリューション例を構築するコンソーシアムへの参加が認められた。
Appgate  Appgate 
AWS  AWS 
Broadcom Software  Broadcom Software 
Cisco  Cisco 
DigiCert DigiCert
F5  F5 
Forescout  Forescout 
Google Cloud  Google Cloud 
IBM  IBM 
Ivanti Ivanti
Lookout  Lookout 
Mandiant  Mandiant 
Microsoft  Microsoft 
Okta  Okta 
Palo Alto Networks Palo Alto Networks
PC Matic  PC Matic 
Ping Identity  Ping Identity 
Radiant Logic  Radiant Logic 
SailPoint  SailPoint 
Tenable Tenable
Trellix  Trellix 
VMware  VMware 
Zimperium  Zimperium 
Zscaler  Zscaler 
Certain commercial entities, equipment, products, or materials may be identified by name or company logo or other insignia to acknowledge their participation in this collaboration or to describe an experimental procedure or concept adequately. Such identification is not intended to imply special status or relationship with NIST or recommendation or endorsement by NIST or the NCCoE; neither is it intended to imply that the entities, equipment, products, or materials are necessarily the best available.  特定の営利事業体、機器、製品、または材料は、本協業への参加を認めるため、または実験手順やコンセプトを適切に説明するために、名称や企業ロゴ、その他の記章によって識別される場合がある。このような識別は、NIST との特別な地位や関係、あるいは NIST や NCCoE による推奨や支持を意味するものではなく、事業体、機器、製品、または材料が必ずしも入手可能な最良のものであることを意味するものでもない。
The National Cybersecurity Center of Excellence (NCCoE), a part of the National Institute of Standards and Technology (NIST), is a collaborative hub where industry organizations, government agencies, and academic institutions work together to address businesses’ most pressing cybersecurity challenges. Through this collaboration, the NCCoE develops modular, easily adaptable example cybersecurity solutions demonstrating how to apply standards and best practices using commercially available technology.  国立標準技術研究所(NIST)の一部門である国立サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)は、産業組織、政府機関、学術機関が協力して、企業の最も差し迫ったサイバーセキュリティの課題に取り組む共同拠点である。このコラボレーションを通じて、NCCoEは、市販の技術を使用して標準とベスト・プラクティスを適用する方法を実証する、モジュール式で容易に適応可能なサイバーセキュリティ・ソリューションの例を開発している。
LEARN MORE  詳細はこちら 
For more information about this project, visit:  [web] このプロジェクトの詳細については、以下を参照のこと:  [web]

 


 

まるちゃんの情報セキュリティ気まぐれ日記

1800-35...

・2023.07.23 NIST SP 1800-35(第2次初期ドラフト) ゼロトラストアーキテクチャの実装 (Vol. B, C)

・2022.08.10 NIST SP 1800-35 (ドラフト) ゼロトラストアーキテクチャの実装(初期ドラフト)(Vol. C, D)

・2022.07.09 NIST SP 1800-35 (ドラフト) ゼロトラストアーキテクチャの実装(初期ドラフト)(Vol. B)

・2022.06.07 NIST SP 1800-35 (ドラフト) ゼロトラストアーキテクチャの実装(初期ドラフト)(Vol. A)

 

800-207他

・2023.04.23 NIST SP 800-207A(ドラフト)マルチクラウド環境におけるクラウドネイティブ・アプリケーションにおけるアクセス制御のためのゼロトラストアーキテクチャモデル

・2022.12.12 カナダ サイバーセキュリティセンター 「ゼロトラスト・セキュリティモデル - ITSAP.10.008」

・2022.05.08 NIST ホワイトペーパー CSWP 20 ゼロトラストアーキテクチャのための計画:連邦政府管理者向け計画策定ガイド

・2022.03.15 米国 CISA 意見募集 ゼロトラスト原則のエンタープライズ・モビリティへの適用 (2022.03.07)

・2021.09.09 米国 CISA 意見募集 ゼロトラスト成熟度モデル

・2021.06.30 金融庁 「ゼロトラストの現状調査と事例分析に関する調査報告書」の公表

・2021.03.01 米国国家安全保障局 (NSA) ゼロトラストセキュリティモデルに関するガイダンス

・2020.12.14 PwC Japanが「NIST SP800-207 「ゼロトラスト・アーキテクチャ」の解説と日本語訳」を公表していますね。。。

・2020.08.14 NIST SP 800-207 Zero Trust Architecture

・2020.02.14 NIST SP 800-207(Draft) Zero Trust Architecture (2nd Draft)

| | Comments (0)

2023.08.23

インド デジタル個人データ保護法成立(2023年)(2023.08.11)

こんにちは、丸山満彦です。

インドのデジタル個人データ保護法案が議会で承認され、大統領による承認も終わったので、正式に成立しました。。。施行がいつになるのかはまだ見えてないようですが...

Parliament of India

・[PDF

20230823-152106

基本はGDPRに近いと言われています。。。

対象は、デジタル個人データ。。。

そして、個人的、家族内での利用のものは対象外、公開情報も対象外となっています。。。

で、要配慮、機微といった、区別もないですね。。。ただ、児童のデータの取り扱いについてはある...

匿名、仮名もない。。。

日本の個人情報保護法ができたときに近いかも。。。まずは、シンプルに導入し、必要に応じてアレンジ...

ただ、

漏えいの時の報告義務、越境移転の話はありますね。。。

罰金の最高額は25億ルピー(約44億円)というのは大きいですかね。。。世界売上のX%といわないのは、良心的?ですね。。。

 


 

MINISTRY OF LAW AND JUSTICE 法務省
(Legislative Department) (法制局)
New Delhi, the 11th August, 2023/Sravana 20, 1945  (Saka) ニューデリー、2023年8月11日/スラバナ1945年(サカ)20日
The following Act of Parliament received the assent of the President on the 11th August, 2023 and is hereby published for general information:— 以下の国会法は2023年8月11日に大統領の同意を得たので、一般情報としてここに公表する。
THE DIGITAL PERSONAL DATA PROTECTION ACT, 2023 2023年デジタル個人データ保護法
(NO. 22 OF 2023) (2023年第22号)
[11th August, 2023.] [2023年8月11日]
An Act to provide for the processing of digital personal data in a manner that recognises both the right of individuals to protect their personal data and the need to process such personal data for lawful purposes and for matters connected therewith or incidental thereto. 個人データを保護する個人の権利と、そのような個人データを合法的な目的のために処理する必要性、およびそれに関連または付随する事項の両方を認識する方法で、デジタル個人データの処理について規定する法律。
BE it enacted by Parliament in the Seventy-fourth Year of the Republic of India as follows:–– インド共和国第74年国会は、以下の通り制定する。
CHAPTER I  第1章 
PRELIMINARY 序文
(Short title and commencement.) (略称および開始)
1. (1) This Act may be called the Digital Personal Data Protection Act, 2023.  1. (1)本法は、2023年デジタル個人データ保護法と称することができる。
(2) It shall come into force on such date as the Central Government may, by notification in the Official Gazette, appoint and different dates may be appointed for different provisions of this Act and any reference in any such provision to the commencement of this Act shall be construed as a reference to the coming into force of that provision. (2) この法律は、中央政府が官報の通達により指定する日に施行されるものとし、この法律の異なる規定については異なる日を指定することができる。
(Definitions.) (定義)
2. In this Act, unless the context otherwise requires,— 2. 本法において、 文脈上別段の定めがある場合を除き、 以下をいう。
(a) “Appellate Tribunal” means the Telecom Disputes Settlement and  Appellate Tribunal established under section 14 of the Telecom Regulatory Authority of India Act, 1997 (24 of 1997.);  (a) 「上訴審判所」とは、1997年インド電気通信規制庁法(1997年第24号)第14条に基づき設立された電気通信紛争解決上訴審判所をいう; 
(b) “automated” means any digital process capable of operating automatically in response to instructions given or otherwise for the purpose of processing data; (b) 「自動化」とは、データ処理を目的として、与えられた指示に応答して、またはその他の方法で自動的に動作することが可能なデジタル処理をいう;
(c) “Board” means the Data Protection Board of India established by the Central Government under section 18; (c)「委員会」とは、第18条に基づき中央政府によって設立されたインドデータ保護委員会を意味する;
(d) “certain legitimate uses” means the uses referred to in section 7; (d) 「特定の合法的使用」とは、第7条に規定される使用を意味する;
(e) “Chairperson” means the Chairperson of the Board; (e) 「委員長」とは、委員会の委員長を意味する;
(f) “child” means an individual who has not completed the age of eighteen years; (f) 「児童」とは、18歳未満の個人をいう;
(g) “Consent Manager” means a person registered with the Board, who acts as a single point of contact to enable a Data Principal to give, manage, review and withdraw her consent through an accessible, transparent and interoperable platform; (g) 「同意管理者」とは、委員会に登録された者をいい、データ主体が、アクセス可能で透明性のあ る相互運用可能なプラットフォームを通じて、同意を与え、管理し、見直し、撤回できるようにするた めの単一の窓口として機能する;
(h) “data” means a representation of information, facts, concepts, opinions or instructions in a manner suitable for communication, interpretation or processing by human beings or by automated means; (h) 「データ」とは、情報、事実、概念、意見または指示を、人間または自動化された手段によ るコミュニケーション、解釈または処理に適した方法で表現したものをいう;
(i) “Data Fiduciary” means any person who alone or in conjunction with other persons determines the purpose and means of processing of personal data; (i) 「データ受託者」とは、単独で、または他の者と共同で、個人データの処理の目的および 手段を決定する者をいう;
(j) “Data Principal” means the individual to whom the personal data relates and where such individual is— (j) 「データ主体」とは、個人データが関連する個人をいい、当該個人が以下の者である場合は、当該個人をいう。
(i) a child, includes the parents or lawful guardian of such a child; (i) 児童の場合、その両親または正当な後見人を含む;
(ii) a person with disability, includes her lawful guardian, acting on her behalf; (ii)障害者の場合は、障害者に代わって行動する正当な保護者を含む;
(k) “Data Processor” means any person who processes personal data on behalf of a Data Fiduciary; (k) 「データ処理者」とは、データ受託者に代わって個人データを処理する者をいう;
(l) “Data Protection Officer” means an individual appointed by the Significant Data Fiduciary under clause (a) of sub-section (2) of section 10; (l) 「データ保護責任者」とは、第10条第2項(a)に基づき、重要なデータ受託者によって任命された個人を意味する;
(m) “digital office” means an office that adopts an online mechanism wherein the proceedings, from receipt of intimation or complaint or reference or directions or appeal, as the case may be, to the disposal thereof, are conducted in online or digital mode; (m) 「デジタル・オフィス」とは、オンライン・メカニズムを採用し、通知、苦情、照会、指示、上訴の受領から処理まで、場合によってはオンラインまたはデジタル・モードで行われるオフィスを意味する;
(n) “digital personal data” means personal data in digital form;(o) “gain” means— (n) 「デジタル個人データ」とは、デジタル形式の個人データをいう。
(i) a gain in property or supply of services, whether temporary or permanent; or (i) 一時的であるか恒久的であるかを問わず、財産または役務の供給における利益。
(ii) an opportunity to earn remuneration or greater remuneration or to gain a financial advantage otherwise than by way of legitimate remuneration; (ii) 正当な報酬以外の方法で、報酬もしくはそれ以上の報酬を得る機会、または経済的利益を得る機会;
(p) “loss” means— (p) 「損失」とは、以下を意味する。
(i) a loss in property or interruption in supply of services, whether temporary or permanent; or (i) 一時的か永続的かを問わず、財産の損失または役務の提供の中断。
(ii) a loss of opportunity to earn remuneration or greater remuneration or to gain a financial advantage otherwise than by way of legitimate remuneration;  (ii)正当な報酬以外の方法で、報酬もしくはそれ以上の報酬を得る機会、または経済的利益を得る機会を失うこと; 
(q) “Member” means a Member of the Board and includes the Chairperson; (q) 「委員」とは、委員会のメンバーを意味し、委員長を含む;
(r) “notification” means a notification published in the Official Gazette and the expressions “notify” and “notified” shall be construed accordingly;  (r) 「通知」とは、官報に掲載された通知を意味し、「通知する」および「通知された」という表現は、これに従って解釈されるものとする; 
(s) “person” includes— (s) 「個人」には以下が含まれる。
(i) an individual; (i) 個人
(ii) a Hindu undivided family; (ii) ヒンズー教徒の未分割家族
(iii) a company; (iii) 会社
(iv) a firm; (iv) ファーム
(v) an association of persons or a body of individuals, whetherincorporated or not; (v) 法人であるか否かを問わず、人の団体または個人の団体;
(vi) the State; and (vi)  国
(vii) every artificial juristic person, not falling within any of the preceding sub-clauses; (vii) 前各号のいずれにも該当しない人工的な法人;
(t) “personal data” means any data about an individual who is identifiable by or in relation to such data; (t) 「個人データ」とは、個人に関するデータであって、当該データによって、または当該データに関連して識別されるものをいう;
(u) “personal data breach” means any unauthorised processing of personal data or accidental disclosure, acquisition, sharing, use, alteration, destruction or loss of access to personal data, that compromises the confidentiality, integrity or availability of personal data; (u) 「個人データ漏えい」とは、個人データの不正な処理、または個人データへの偶発的な開示、取得、共有、使用、改ざん、破壊もしくはアクセスの喪失であって、個人データの機密性、完全性または可用性を損なうものをいう;
(v) “prescribed” means prescribed by rules made under this Act; (v) 「所定の」とは、この法律に基づいて作成された規則で定められたものをいう;
(w) “proceeding” means any action taken by the Board under the provisions of this Act; (w) 「手続」とは、本法の規定に基づいて委員会が行う措置をいう;
(x) “processing” in relation to personal data, means a wholly or partly automated operation or set of operations performed on digital personal data, and includes operations such as collection, recording, organisation, structuring, storage, adaptation, retrieval, use, alignment or combination, indexing, sharing, disclosure by transmission, dissemination or otherwise making available, restriction, erasure or destruction; (x) 個人データに関する「処理」とは、デジタル個人データに対して行われる全体的または部分的に自動化された操作または一連の操作をいい、収集、記録、整理、構造化、保存、翻案、検索、使用、整列または結合、索引付け、共有、送信による開示、普及またはその他の方法で利用可能にすること、制限、消去または破壊などの操作を含む;
(y) “she” in relation to an individual includes the reference to such individual irrespective of gender; (y) 個人に関する「彼女」には、性別に関係なく当該個人を指す場合が含まれる;
(z) “Significant Data Fiduciary” means any Data Fiduciary or class of Data Fiduciaries as may be notified by the Central Government under section 10; (z) 「重要なデータ受託者」とは、第 10 項に基づき政府が通知するデータ受託者またはデータ 受託者の種類をいう;
(za) “specified purpose” means the purpose mentioned in the notice given by the Data Fiduciary to the Data Principal in accordance with the provisions of this Act and the rules made thereunder; and (za) 「特定目的」とは、本法律および本法律に基づく規則の規定に従い、データ受託者が データ主体に対して行う通知に記載された目的をいう。
(zb) “State” means the State as defined under article 12 of the Constitution. (zb) 「国家」とは、憲法第12条に基づき定義される国家をいう。
(Application of Act.) (法の適用)
3. Subject to the provisions of this Act, it shall—  3. 本法の規定に従い、以下のことを行う。
(a) apply to the processing of digital personal data within the territory of India where the personal data is collected––  (a) 個人データが収集されたインド領域内のデジタル個人データの処理に適用される。
(i) in digital form; or (i) デジタル形式
(ii) in non-digital form and digitised subsequently; (ii) 非デジタル形式で収集され、その後デジタル化された場合;
(b) also apply to processing of digital personal data outside the territory of India, if such processing is in connection with any activity related to offering of goods or services to Data Principals within the territory of India; (b) インド領域外のデジタル個人データの処理にも適用される。当該処理が、インド領域内のデータ主体に対する商品またはサービスの提供に関連する活動に関連している場合;
(c) not apply to— (c) 以下には適用されない。
(i) personal data processed by an individual for any personal or domestic purpose; and (i) 個人または国内目的のために個人によって処理される個人データ。
(ii) personal data that is made or caused to be made publicly available by— (ii)以下によって公にされ、または公にされるようにされた個人データ。
(A) the Data Principal to whom such personal data relates; or (A) 当該個人データに関連するデータ主体。
(B) any other person who is under an obligation under any law for the time being in force in India to make such personal data publicly available. (B) インドで施行されている法律に基づき、当該個人データを公開する義務を負う者。
Illustration.
X, an individual, while blogging her views, has publicly made available her personal data on social media. In such case, the provisions of this Act shall not apply. 個人であるXは、ブログで自分の意見を発信する際に、ソーシャルメディア上で個人データを公開した。この場合、本法の規定は適用されない。
CHAPTER II  第2章 
OBLIGATIONS OF DATA FIDUCIARY データ受託者の義務
(Grounds for processing personal data.)  (個人データの処理事由) 
4. (1) A person may process the personal data of a Data Principal only in accordance with the provisions of this Act and for a lawful purpose,— 4. (1) 何人も、この法律の規定に従い、かつ、合法的な目的のためにのみ、データ主 義人の個人データを処理することができる。
(a) for which the Data Principal has given her consent; or  (a) データ主体が同意した場合。
(b) for certain legitimate uses. (b) 特定の合法的な目的のため。
(2) For the purposes of this section, the expression “lawful purpose” means any purpose which is not expressly forbidden by law. (2) 本条において、「合法的な目的」とは、法律で明示的に禁止されていない目的を意味する。
(Notice.)  (通知) 
5. (1) Every request made to a Data Principal under section 6 for consent shall be accompanied or preceded by a notice given by the Data Fiduciary to the Data Principal, informing her,— 5. (1) 第 6 項に基づきデータ主体に対して行われる同意の要求はすべて、データ受託者が データ主体に対して行う以下の事項を通知する通知を伴うか、またはそれに先立つものとす る。
(i) the personal data and the purpose for which the same is proposed to be processed; (i) 個人データおよびその処理が提案されている目的;
(ii) the manner in which she may exercise her rights under sub-section (4) of section 6 and section 13; and (ii) データ主体が第6条(4)項および第13条に基づく権利を行使する方法。
(iii) the manner in which the Data Principal may make a complaint to the Board, (iii) データ主体が委員会に対して苦情を申し立てる方法、
in such manner and as may be prescribed. (iii)データ主体が委員会に苦情を申し立てる方法。
Illustration.
X, an individual, opens a bank account using the mobile app or website of Y, a bank. To complete the Know-Your-Customer requirements under law for opening of bank account, X opts for processing of her personal data by Y in a live, video-based customer identification process. Y shall accompany or precede the request for the personal data with notice to X, describing the personal data and the purpose of its processing. 個人であるXは、銀行であるYのモバイルアプリまたはウェブサイトを利用して銀行口座を開設した。Xは、銀行口座開設に必要なKnow-Your-Customerの要件を満たすため、Yによるライブビデオによる顧客確認プロセスで個人データを処理することを選択する。Yは、個人データの要求と同時に、個人データとその処理目的をXに通知する。
(2) Where a Data Principal has given her consent for the processing of her personal data before the date of commencement of this Act,— (2) データ主体が、この法律の開始日前に個人データの処理について同意している場合、以下のとおりとする。
(a) the Data Fiduciary shall, as soon as it is reasonably practicable, give to the Data Principal a notice informing her,–– (a) データ受託者は、合理的に実行可能な限り速やかに、データ主体に対して以下の事項を通知する。
(i) the personal data and the purpose for which the same has been processed; (i) 個人データおよびそれが処理された目的;
(ii) the manner in which she may exercise her rights under sub-section (4) of section 6 and section 13; and (ii) データ主体が第6条(4)項および第13条に基づく権利を行使する方法。
(iii) the manner in which the Data Principal may make a complaint to the Board, in such manner and as may be prescribed. (iii) データプ主体が委員会に対して苦情を申し立てる方法については、規定されるも のとする。
(b) the Data Fiduciary may continue to process the personal data until and unless the Data Principal withdraws her consent. (b) データ受託者は、データ主体が同意を撤回するまで、また撤回しない限り、個人データの処 理を継続することができる。
Illustration.
X, an individual, gave her consent to the processing of her personal data for an online shopping app or website operated by Y, an e-commerce service provider, before the commencement of this Act. Upon commencement of the Act, Y shall, as soon as practicable, give through email, in-app notification or other effective method information to X, describing the personal data and the purpose of its processing. 個人であるXは、本法律の開始前に、電子商取引サービスプロバイダであるYが運営するオンラインショッピングアプリまたはウェブサイトにおける個人データの処理に同意した。Yは、本法律が開始されると、実務上可能な限り速やかに、Xに対し、電子メール、アプリ内通知その他の有効な方法を通じて、個人データとその処理目的を説明する情報を提供しなければならない。
(3) The Data Fiduciary shall give the Data Principal the option to access the contents of the notice referred to in sub-sections (1) and (2) in English or any language specified in the Eighth Schedule to the Constitution. (3) データ受託者は、データ主体に対し、第(1)項および第(2)項の通知の内容に、英語または憲法別表第8に定める言語でアクセスする選択肢を与えなければならない。
(Consent.) (同意)
6. (1) The consent given by the Data Principal shall be free, specific, informed, unconditional and unambiguous with a clear affirmative action, and shall signify an agreement to the processing of her personal data for the specified purpose and be limited to such personal data as is necessary for such specified purpose. 6. (1) データ主体によって与えられる同意は、自由、具体的、情報に基づいた、無条件かつ明瞭なものでなければならず、また、明確な肯定的行動を伴うものでなければならず、特定された目的のために個人データを処理することに同意することを意味し、当該特定された目的に必要な個人データに限定されなければならない。
Illustration.
X, an individual, downloads Y, a telemedicine app. Y requests the consent of X for (i) the processing of her personal data for making available telemedicine services, and (ii) accessing her mobile phone contact list, and X signifies her consent to both. Since phone contact list is not necessary for making available telemedicine services, her consent shall be limited to the processing of her personal data for making available telemedicine services. Xが遠隔医療アプリYをダウンロードした。Yは、Xに対し、(i)遠隔医療サービスを提供するための個人データの処理、及び(ii)携帯電話の連絡先リストへのアクセスについて同意を求め、Xはその両方について同意を表明する。電話連絡先リストは遠隔医療サービスの提供には必要ないため、Xの同意は遠隔医療サービスの提供のための個人データ処理に限定される。
(2) Any part of consent referred in sub-section (1) which constitutes an infringement of the provisions of this Act or the rules made thereunder or any other law for the time being in force shall be invalid to the extent of such infringement. (2) (1)項の同意のうち、本法またはその下で制定された規則、あるいは当分の間有効な他の法律の規定を侵害する部分は、その侵害の範囲内で無効とする。
Illustration.
X, an individual, buys an insurance policy using the mobile app or website of Y, an insurer. She gives to Y her consent for (i) the processing of her personal data by Y for the purpose of issuing the policy, and (ii) waiving her right to file a complaint to the Data Protection Board of India. Part (ii) of the consent, relating to waiver of her right to file a complaint, shall be invalid. 個人であるXは、保険会社であるYのモバイルアプリまたはウェブサイトを利用して保険契約を購入する。XはYに対し、(i)保険証券の発行を目的としたYによる個人データの処理、および(ii)インドデータ保護委員会に苦情を申し立てる権利の放棄について同意する。苦情を申し立てる権利の放棄に関する同意の(ii)の部分は無効とする。
(3) Every request for consent under the provisions of this Act or the rules made thereunder shall be presented to the Data Principal in a clear and plain language, giving her the option to access such request in English or any language specified in the Eighth Schedule to the Constitution and providing the contact details of a Data Protection Officer, where applicable, or of any other person authorised by the Data Fiduciary to respond to any communication from the Data Principal for the purpose of exercise of  her rights under the provisions of this Act. (3) 本法律またはそれに基づく規則の規定に基づく同意の要求はすべて、明確かつ平易な言 葉でデータ本人に提示されるものとし、英語または憲法第 8 条別表に指定された言 語で当該要求にアクセスする選択肢をデータ本人に与え、該当する場合はデータ保護責任 者、または本法律の規定に基づくデータ本人の権利行使のためにデータ本人からのコ ミュニケーションに対応する権限をデータ受託者が付与したその他の者の連絡先を提 供するものとする。
(4) Where consent given by the Data Principal is the basis of processing of personal data, such Data Principal shall have the right to withdraw her consent at any time, with the ease of doing so being comparable to the ease with which such consent was given. (4) データ主体によって与えられた同意が個人データの処理の基礎である場合、当該データ主体 は、いつでもその同意を撤回する権利を有し、その撤回が容易であることは、当該同意が与えられ た容易さと同等である。
(5) The consequences of the withdrawal referred to in sub-section (4) shall be borne by the Data Principal, and such withdrawal shall not affect the legality of processing of the personal data based on consent before its withdrawal. (5) (4)項の撤回の結果は、データ主体が負担するものとし、その撤回は、撤回前の同意に基づく個人データの処理の合法性に影響を与えないものとする。
Illustration.
X, an individual, is the user of an online shopping app or website operated by Y, an e-commerce service provider. X consents to the processing of her personal data by Y for the purpose of fulfilling her supply order and places an order for supply of a good while making payment for the same. If X withdraws her consent, Y may stop enabling X to use the app or website for placing orders, but may not stop the processing for supply of the goods already ordered and paid for by X. 個人であるXは、電子商取引サービスプロバイダであるYが運営するオンラインショッピングアプリまたはウェブサイトの利用者である。Xは、Yによる個人データ処理に同意し、商品購入の注文を行い、代金を支払った。Xが同意を撤回した場合、Yは、Xがアプリまたはウェブサイトを使用して注文を行うことを停止することができるが、Xが既に注文し代金を支払った商品の供給のための処理を停止することはできない。
(6) If a Data Principal withdraws her consent to the processing of personal data undersub-section (5), the Data Fiduciary shall, within a reasonable time, cease and cause its Data Processors to cease processing the personal data of such Data Principal unless such processing without her consent is required or authorised under the provisions of this Act or the rules made thereunder or any other law for the time being in force in India. (6) データ受託者は、データ主体が第(5)項以下の個人データ処理に対する同意を撤回した場合、本法もしくはこれに基づく規則、またはインドで施行されているその他の法律の規定により、データ主体の同意を得ずに個人データを処理することが要求または許可されている場合を除き、合理的な期間内に、データ処理者による当該データ主体の個人データの処理を停止し、また停止させるものとする。
Illustration.
X, a telecom service provider, enters into a contract with Y, a Data Processor, for emailing telephone bills to the customers of X. Z, a customer of X, who had earlier given her consent to X for the processing of her personal data for emailing of bills, downloads the mobile app of X and opts to receive bills only on the app. X shall itself cease, and shall cause Y to cease, the processing of the personal data of Z for emailing bills. 電気通信サービスプロバイダであるXは、データ処理者であるYと、Xの顧客に対して電話料金の請求書を電子メールで送信する契約を締結した。Xは、請求書電子送信のためのZの個人データ処理を自ら停止し、Yに停止させるものとする。
(7) The Data Principal may give, manage, review or withdraw her consent to the Data Fiduciary through a Consent Manager. (7) データ本人は、「同意管理者」を通じて、データ受託者に対する同意の付与、管理、見直し、撤回を行うことができる。
(8) The Consent Manager shall be accountable to the Data Principal and shall act on her behalf in such manner and subject to such obligations as may be prescribed. (8) 「同意管理者」は、「データ主体」に対して説明責任を負うものとし、「データ主体」に代わ って、所定の方法で、所定の義務に従って行動するものとする。
(9) Every Consent Manager shall be registered with the Board in such manner and subject to such technical, operational, financial and other conditions as may be prescribed. (9) すべての「同意」管理者は、委員会に登録されるものとし、委員会が規定する技術的、運営上、 財務上およびその他の条件に従うものとする。
(10) Where a consent given by the Data Principal is the basis of processing of personal data and a question arises in this regard in a proceeding, the Data Fiduciary shall be obliged to prove that a notice was given by her to the Data Principal and consent was given by such Data Principal to the Data Fiduciary in accordance with the provisions of this Act and the rules made thereunder. (10) データ主体によって与えられた同意が個人データの処理の基礎であり、訴訟手続においてこの点に疑義が生じた場合、データ受託者は、この法律およびそれに基づく規則の規定に従って、データ主体に対して通知がなされ、データ主体からデータ受託者に対して同意が与えられたことを証明する義務を負うものとする。
(Certain legitimate uses.)  (一定の合法的利用) 
7. A Data Fiduciary may process personal data of a Data Principal for any of following uses, namely:— 7. データ受託者は、以下のいずれかの目的のためにデータ主体の個人データを処理すること ができる。
(a) for the specified purpose for which the Data Principal has voluntarily provided her personal data to the Data Fiduciary, and in respect of which she has not indicated to the Data Fiduciary that she does not consent to the use of her personal data. (a) データ主体が自発的に個人データをデータ受託者に提供し、データ主体が個人データの使用に同意 しないことをデータ受託者に示していない特定の目的のため。
Illustrations.
(I) X, an individual, makes a purchase at Y, a pharmacy. She voluntarily provides Y her personal data and requests Y to acknowledge receipt of the payment made for the purchase by sending a message to her mobile phone. Y may process the personal data of X for the purpose of sending the receipt. (I) 個人であるXが薬局であるYで買い物をする。Xは自らの意思でYに個人データを提供し、YがXの携帯電話にメッセージを送信して購入代金を受領したことを確認するよう要求する。Yは、受領書を送信する目的でXの個人データを処理することができる。
(II) X, an individual, electronically messages Y, a real estate broker, requesting Y to help identify a suitable rented accommodation for her and shares her personal data for this purpose. Y may process her personal data to identify and intimate to her the details of accommodation available on rent. Subsequently, X informs Y that X no longer needs help from Y. Y shall cease to process the personal data of X; (II) 個人であるXが、不動産仲介業者であるYに電子メッセージを送信し、自分のために適切な賃貸住宅を探す手伝いをYに依頼し、そのためにXの個人データを共有する。YはXの個人データを処理し、賃貸可能な住居の詳細を特定し、Xに知らせることができる。その後、XはYに対して、XがもはやYからの援助を必要としないことを通知した;
(b) for the State and any of its instrumentalities to provide or issue to the Data Principal such subsidy, benefit, service, certificate, licence or permit as may be prescribed, where–– (b) 国およびその機関が、データ・主体に補助金、給付金、サービス、証明書、許認可を提供する場合。
(i) she has previously consented to the processing of her personal data by the State or any of its instrumentalities for any subsidy, benefit, service, certificate, licence or permit; or (i) データ主体が、補助金、便益、サービス、証明書、免許証又は許可証のために、国又はその機 関が個人データを処理することに同意している場合。
(ii) such personal data is available in digital form in, or in non-digital form and digitised subsequently from, any database, register, book or other document which is maintained by the State or any of its instrumentalities and is notified by the Central Government, subject to standards followed for processing being in accordance with the policy issued by the Central Government or any law for the time being in force for governance of personal data. (ii) 当該個人データは、国又はその機関によって維持され、中央政府によって通知されたデータベース、登録簿、帳簿又はその他の文書においてデジタル形式で利用可能であるか、又はデジタル形式でない状態で利用可能であり、その後デジタル化されたものであり、処理の標準が中央政府によって発行された方針又は個人データの管理について効力を有する法律に従っていることを条件とする。

Illustration.
X. a pregnant woman, enrols herself on an app or website to avail of government’s maternity benefits programme, while consenting to provide her personal data for the purpose of availing of such benefits. Government may process the personal data of X processing to determine her eligibility to receive any other prescribed benefit from the government; 妊娠中の女性Xは、政府の出産給付プログラムを利用するために、アプリまたはウェブサイトに登録し、当該給付を利用する目的で個人データを提供することに同意した。ガバナンスは、政府から他の所定の給付を受ける資格を決定するために、X の個人データを処理することができる;
(c) for the performance by the State or any of its instrumentalities of any function under any law for the time being in force in India or in the interest of sovereignty and integrity of India or security of the State; (c) インドで施行されている法律に基づき、またはインドの主権と一体性、国家の安全保障のために、国またはその機関が機能を遂行するため;
(d) for fulfilling any obligation under any law for the time being in force in India on any person to disclose any information to the State or any of its instrumentalities, subject to such processing being in accordance with the provisions regarding disclosure of such information in any other law for the time being in force; (d) インドで施行されている法律に基づき、何人かが国またはその機関に情報を開示する義務を履行するため、ただし、当該処理が、施行されている他の法律の当該情報の開示に関する規定に従って行われることを条件とする;
(e) for compliance with any judgment or decree or order issued under any law for the time being in force in India, or any judgment or order relating to claims of a contractual or civil nature under any law for the time being in force outside India; (e) インド国内で施行されている法律に基づいて下された判決、命令、またはインド国外で施行されている法律に基づいて下された契約上もしくは民事上の請求に関する判決、命令を遵守するため;
(f) for responding to a medical emergency involving a threat to the life or immediate threat to the health of the Data Principal or any other individual; (f) データ主体またはその他の個人の生命または健康に差し迫った脅威を伴う医療緊急事態に対応するため;
(g) for taking measures to provide medical treatment or health services to any individual during an epidemic, outbreak of disease, or any other threat to public health; (g) 伝染病、疾病の発生、または公衆衛生に対するその他の脅威がある場合に、医療または保健サービスを個人に提供するための措置を講じること;
(h) for taking measures to ensure safety of, or provide assistance or services to, any individual during any disaster, or any breakdown of public order. (53 of 2005.) (h) 災害時や治安崩壊時に、個人の安全を確保し、援助やサービスを提供するための措置をとること。(2005年53号)
Explanation.—For the purposes of this clause, the expression “disaster” shall have the same meaning as assigned to it in clause (d) of section 2 of the Disaster Management Act, 2005; or  解説:この条項において、「災害」という表現は、2005年災害管理法第2条(d)に規定されている意味と同じ意味を持つものとする。
(i) for the purposes of employment or those related to safeguarding the employer from loss or liability, such as prevention of corporate espionage, maintenance of confidentiality of trade secrets, intellectual property, classified information or provision of any service or benefit sought by a Data Principal who is an employee. (i) 雇用の目的、または企業スパイの防止、企業秘密、知的財産、機密情報の保守、従業員であるデータ主体が求めるサービスや利益の提供など、雇用主を損失や責任から守ることに関連する目的。
(General obligations of Data Fiduciary.)  (データ受託者の一般的義務) 
8. (1) A Data Fiduciary shall, irrespective of any agreement to the contrary or failure of a Data Principal to carry out the duties provided under this Act, be responsible for complying with the provisions of this Act and the rules made thereunder in respect of any processing undertaken by it or on its behalf by a Data Processor. 8. (1) データ受託者は、これに反する合意またはデータ主体が本法に規定された義務を履行しな かった場合にかかわらず、自己または自己のためにデータ処理者が行う処理に関して、本 法の規定およびこれに基づく規則を遵守する責任を負うものとする。
(2) A Data Fiduciary may engage, appoint, use or otherwise involve a Data Processor to process personal data on its behalf for any activity related to offering of goods or services to Data Principals only under a valid contract. (2) データ受託者は、有効な契約に基づいてのみ、データ主体に対する商品またはサービスの提供に関連する活動のために、データ処理者を自己に代わって個人データを処理するために従事させ、任命し、使用し、またはその他の方法で関与させることができる。
(3) Where personal data processed by a Data Fiduciary is likely to be— (3) データ受託者が処理する個人データが以下の目的で使用される可能性がある場合。
(a) used to make a decision that affects the Data Principal; or (a) データ主体に影響を与える決定を行うために使用される。
(b) disclosed to another Data Fiduciary, the Data Fiduciary processing such personal data shall ensure its completeness, accuracy and consistency. (b) 他の「データ受託者」に開示される可能性がある場合、「データ受託者」は当該個人デー タの完全性、正確性、一貫性を保証しなければならない。
(4) A Data Fiduciary shall implement appropriate technical and organisational measures to ensure effective observance of the provisions of this Act and the rules made thereunder. (4) データ受託者は、この法律およびこれに基づく規則の規定を効果的に遵守するために、適切な 技術的および組織的措置を講じなければならない。
(5) A Data Fiduciary shall protect personal data in its possession or under its control, including in respect of any processing undertaken by it or on its behalf by a Data Processor, by taking reasonable security safeguards to prevent personal data breach. (5) データ受託者は、個人データ漏えいを防止するために合理的なセキュリティ保護措置を講じることにより、自己が所有し、または自己の管理下にある個人データを保護しなければならない。
(6) In the event of a personal data breach, the Data Fiduciary sh(6) In the event of a personal data breach, the Data Fiduciary shall give the Board and each affected Data Principal, intimation of such breach in such form and manner as may be prescribed.  (6) 個人データ漏えいが発生した場合、データ受託者は、委員会および影響を受ける各デー タ主体に対し、所定の書式および方法で当該漏えいの通知を行うものとする。
(7) A Data Fiduciary shall, unless retention is necessary for compliance with any law for the time being in force,— (7) データ受託者は、当分の間有効な法律に準拠するために保管が必要な場合を除き、以下のことを 行わなければならない。
(a) erase personal data, upon the Data Principal withdrawing her consent or as soon as it is reasonable to assume that the specified purpose is no longer being served, whichever is earlier; and (a) データ主体が同意を撤回した時点、または特定された目的がもはや果たされていないと見なすことが合理的である時点のいずれか早い時点で、個人データを消去する。
(b) cause its Data Processor to erase any personal data that was made available by the Data Fiduciary for processing to such Data Processor. (b) データ受託者がデータ処理者に処理させるために提供した個人データを、データ処理者に消去させる。
Illustrations.
(I) X, an individual, registers herself on an online marketplace operated by Y, an ecommerce service provider. X gives her consent to Y for the processing of her personal data for selling her used car. The online marketplace helps conclude the sale. Y shall no longer retain her personal data. (I) 個人であるXは、eコマースサービスプロバイダであるYが運営するオンラインマーケットプレイスに登録する。Xは、中古車売却のための個人データ処理についてYに同意する。オンラインマーケットプレイスは、売却の成立を支援する。YはもはやXの個人データを保持しない。
(II) X, an individual, decides to close her savings account with Y, a bank. Y is required by law applicable to banks to maintain the record of the identity of its clients for a period of ten years beyond closing of accounts. Since retention is necessary for compliance with law, Y shall retain X’s personal data for the said period. (II) 個人であるXは、銀行であるYの普通預金口座を解約することにした。Yは、銀行に適用される法により、口座閉鎖後10年間、顧客の身元に関する記録を保持することが義務付けられている。Yは、法令遵守のためにXの個人データを当該期間保存する必要がある。
(8) The purpose referred to in clause (a) of sub-section (7) shall be deemed to no longer be served, if the Data Principal does not–– (8) データ主体が以下のことを行わない場合、第(7)項第(a)号に記載された目的はもはや果たされないものとみなす。
(a) approach the Data Fiduciary for the performance of the specified purpose; and (a) 指定された目的の遂行のためにデータ受託者に接触すること。
(b) exercise any of her rights in relation to such processing, (b) 当該処理に関して自己の権利を行使する、
for such time period as may be prescribed, and different time periods may be prescribed for different classes of Data Fiduciaries and for different purposes. また、データ受託者のクラスおよび目的ごとに異なる期間を定めることができる。
(9) A Data Fiduciary shall publish, in such manner as may be prescribed, the businesscontact information of a Data Protection Officer, if applicable, or a person who is able to answer on behalf of the Data Fiduciary, the questions, if any, raised by the Data Principal about the processing of her personal data. (9) データ受託者は、個人データの処理に関してデータ主体が提起した質問について、データ保 護責任者(該当する場合)、またはデータ受託者に代わって回答できる者の業務連絡先 を、所定の方法で公表しなければならない。
(10) A Data Fiduciary shall establish an effective mechanism to redress the grievancesof Data Principals. (10) データ受託者は、データ主体の苦情を解決するための効果的なメカニズムを確立 しなければならない。
(11) For the purposes of this section, it is hereby clarified that a Data Principal shall beconsidered as not having approached the Data Fiduciary for the performance of the specified purpose, in any period during which she has not initiated contact with the Data Fiduciary for such performance, in person or by way of communication in electronic or physical form. (11) 本セクションの目的上、データ主体がデータ受託者と直接または電子的もしくは物理的な 形態でのコミュニケーションにより、特定目的の実行のための接触を開始しなかった期間 は、データ主体がデータ受託者に接触しなかったものとみなすことをここに明確にする。
(Processing of personal data of children.)  (児童の個人データの処理) 
9. (1) The Data Fiduciary shall, before processing any personal data of a child or a person with disability who has a lawful guardian obtain verifiable consent of the parent of such child or the lawful guardian, as the case may be, in such manner as may be prescribed. Explanation.—For the purpose of this sub-section, the expression “consent of the parent” includes the consent of lawful guardian, wherever applicable. 9. (1) データ受託者は、児童または正当な保護者を持つ障害者の個人データを処理する前に、当該児童の親または正当な保護者の検証可能な同意を、場合により、所定の方法で取得しなければならない。解説:本款の目的上、「親の同意」という表現には、適用法であれば、正当な保護者の同意が含まれる。
(2) A Data Fiduciary shall not undertake such processing of personal data that islikely to cause any detrimental effect on the well-being of a child. (2) データ受託者は、児童の幸福に有害な影響を及ぼす可能性のある個人データの処理 を行ってはならない。
(3) A Data Fiduciary shall not undertake tracking or behavioural monitoring of childrenor targeted advertising directed at children. (3) データ受託者は、児童の追跡または行動監視、または児童を対象とした広告を行わないものとする。
(4) The provisions of sub-sections (1) and (3) shall not be applicable to processing of personal data of a child by such classes of Data Fiduciaries or for such purposes, and subject to such conditions, as may be prescribed. (4) 第(1)項および第(3)項の規定は、データ受託者の種類によって、またはそのような目的のために、およびそのような条件に従って、児童の個人データを処理する場合には適用されないものとする。
(5) The Central Government may, if satisfied that a Data Fiduciary has ensured that itsprocessing of personal data of children is done in a manner that is verifiably safe, notify for such processing by such Data Fiduciary the age above which that Data Fiduciary shall be exempt from the applicability of all or any of the obligations under sub-sections (1) and (3) in respect of processing by that Data Fiduciary as the notification may specify. (5) 中央政府は、データ受託者が児童の個人データの処理を検証可能な安全な方法で行っていることを確認した場合、当該データ受託者による処理について、当該データ受託者による処理に関する第(1)号および第(3)号に基づく義務の全部または一部の適用が免除される年齢を、通知で指定することができる。
(Additional obligations of Significant Data Fiduciary.)  (重要なデータ受託者の追加義務) 
10. (1) The Central Government may notify any Data Fiduciary or class of Data Fiduciaries as Significant Data Fiduciary, on the basis of an assessment of such relevant factors as it may determine, including— 10. (1) 中央政府は、以下を含む、政府が決定する関連要因の評価に基づいて、データ受託 者またはデータ受託者のクラスを「重要なデータ受託者」として通知することができる。
(a) the volume and sensitivity of personal data processed; (a) 処理される個人データの量と機密性
(b) risk to the rights of  Data Principal; (b) データ主体者の権利に対するリスク
(c) potential impact on the sovereignty and integrity of India; (c) インドの主権と完全性への潜在的影響
(d) risk to electoral democracy; (d) 選挙民主主義に対するリスク
(e) security of the State; and (e) 国家の安全、
(f) public order. (f) 公共秩序。
(2) The Significant Data Fiduciary shall— (2) 重要なデータ受託者は以下のことを行わなければならない。
(a) appoint a Data Protection Officer who shall— (a) データ保護責任者を任命する。
(i) represent the Significant Data Fiduciary under the provisions of thisAct; (i) 本法の規定に基づいて、重要なデータ受託者を代表する;
(ii) be based in India; (ii) インドを拠点とすること;
(iii) be an individual responsible to the Board of Directors or similargoverning body of the Significant Data Fiduciary; and (iii) 重要なデータ受託者の取締役会または同様の団体に責任を負う個人であること。
(iv) be the point of contact for the grievance redressal mechanism underthe provisions of this Act; (iv) 本法の規定に基づく苦情処理機構の窓口となる;
(b) appoint an independent data auditor to carry out data audit, who shallevaluate the compliance of the Significant Data Fiduciary in accordance with the provisions of this Act; and (b) データ監査を実施する独立データ監査人を任命し、この監査人は、本法の規定に従っ て重要データ受託者のコンプライアンスを評価する。
(c) undertake the following other measures, namely:— (c) 以下のその他の措置を講じる。
(i) periodic Data Protection Impact Assessment, which shall be a processcomprising a description of the rights of Data Principals and the purpose of processing of their personal data, assessment and management of the risk to the rights of the Data Principals, and such other matters regarding such process as may be prescribed; (i) 定期的なデータ保護アセスメント。これは、データ主体の権利および個人データの処理目的の説明、データ主体の権利に対するリスクの評価およびマネジメント、ならびに当該プロセスに関するその他の事項で規定されるものを含むプロセスとする;
(ii) periodic audit; and (ii) 定期的な監査
(iii) such other measures, consistent with the provisions of this Act, asmay be prescribed. (iii) 本法の規定に合致する、規定されるその他の措置。
CHAPTER III  第3章 
RIGHTS AND DUTIES OF DATA PRINCIPAL データ主体の権利および義務
(Right to access information about personal data)  (個人データに関する情報にアクセスする権利) 
11. (1) The Data Principal shall have the right to obtain from the Data Fiduciary to whom she has previously given consent, including consent as referred to in clause (a) of section 7 (hereinafter referred to as the said Data Fiduciary), for processing of personal data, upon making to it a request in such manner as may be prescribed,— 11. (1) データ主体は、第7条(a)に定める同意を含む、個人データの処理について以前に同意を与えたデータ受託者(以下、当該データ受託者という)に対し、所定の方法で要求することにより、当該データ受託者から以下の情報を取得する権利を有する。
(a) a summary of personal data which is being processed by such Data Fiduciaryand the processing activities undertaken by that Data Fiduciary with respect to such personal data; (a) 当該データ受託者が処理する個人データの概要および当該個人データに関して当該データ受託者が行う処理活動
(b) the identities of all other Data Fiduciaries and Data Processors with whomthe personal data has been shared by such Data Fiduciary, along with a description of the personal data so shared; and (b) 当該データ受託者が個人データを共同利用する他の全てのデータ受託者及びデータ処理者の身元、並びに共同利用される個人データの説明。
(c) any other information related to the personal data of such Data Principal andits processing, as may be prescribed. (c) 当該データ主体者の個人データ及びその処理に関連するその他の情報。
(2) Nothing contained in clause (b) or clause (c) of sub-section (1) shall apply in respect of the sharing of any personal data by the said Data Fiduciary with any other Data Fiduciary authorised by law to obtain such personal data, where such sharing is pursuant to a request made in writing by such other Data Fiduciary for the purpose of prevention or detection or investigation of offences or cyber incidents, or for prosecution or punishment of offences. (2) 第(1)項第(b)号または第(c)号に含まれるいかなる規定も、当該データ受託者が、犯罪もしくはサイバーインシデントの予防もしくは検知もしくは調査、または犯罪の訴追もしくは処罰を目的として、当該データ受託者から書面でなされた要請に従って、当該個人データを取得する権限を有する他のデータ受託者と当該個人データを共有する場合には、適用されないものとする。
(Right to correction and erasure of personal data)  (個人データの訂正および消去の権利) 
12. (1) A Data Principal shall have the right to correction, completion, updating and erasure of her personal data for the processing of which she has previously given consent, including consent as referred to in clause (a) of section 7, in accordance with any requirement or procedure under any law for the time being in force. 12. (1) データ主体は、第7条(a)に定める同意を含む、過去に同意を与えた個人データの処理について、当分の間有効な法律に基づく要求または手続きに従って、訂正、補完、更新および消去を受ける権利を有する。
(2) A Data Fiduciary shall, upon receiving a request for correction, completion orupdating from a Data Principal,— (2) データ受託者は、データ主体から訂正、完了または更新の要求を受けた場合、以下のことを 行わなければならない。
(a) correct the inaccurate or misleading personal data; (a) 不正確または誤解を招くような個人データを訂正する;
(b) complete the incomplete personal data; and(c) update the personal data. (c) 個人データを更新する。
(3) A Data Principal shall make a request in such manner as may be prescribed to theData Fiduciary for erasure of her personal data, and upon receipt of such a request, the Data Fiduciary shall erase her personal data unless retention of the same is necessary for the specified purpose or for compliance with any law for the time being in force. (3) データ主体は、データ受託者に対し、所定の方法で個人データの消去を要求するものとし、 データ受託者は、かかる要求を受領した場合、特定の目的または当分の間効力を有する法令に 準拠するために個人データの保持が必要でない限り、かかる個人データを消去するものとする。
(Right of grievance redressal.)  (苦情救済権) 
13. (1) A Data Principal shall have the right to have readily available means of grievance redressal provided by a Data Fiduciary or Consent Manager in respect of any act or omission of such Data Fiduciary or Consent Manager regarding the performance of its obligations in relation to the personal data of such Data Principal or the exercise of her rights under the provisions of this Act and the rules made thereunder. 13. (1) データ主体は、データ受託者または同意管理者による、当該データ主体の個 人データに関する義務の履行またはこの法律およびこれに基づく規則の規定に基づく権利の行使に関 する作為または不作為に関して、容易に利用可能な苦情処理手段をプロバイダから提供される権利を有する。
(2) The Data Fiduciary or Consent Manager shall respond to any grievances referredto in sub-section (1) within such period as may be prescribed from the date of its receipt for all or any class of Data Fiduciaries. (2) データ受託者または同意管理者は、第(1)項に規定される苦情に対して、データ受託者の全部また は任意のクラスについて、その苦情を受領した日から定められた期間内に対応しなければならな い。
(3) The Data Principal shall exhaust the opportunity of redressing her grievanceunder this section before approaching the Board. (3) データ主体は、委員会に訴える前に、本項に基づく苦情を解決する機会を尽くさなければならな い。
(Right to nominate.)  (指名権) 
14. (1) A Data Principal shall have the right to nominate, in such manner as may be prescribed, any other individual, who shall, in the event of death or incapacity of the Data Principal, exercise the rights of the Data Principal in accordance with the provisions of this Act and the rules made thereunder. 14. (1) データ主体は、データ主体が死亡した場合、またはデータ主体に能力 がない場合、この法律およびそれに基づく規則の規定に従ってデータ主体の権利を行使 する他の個人を、規定された方法で指名する権利を有する。
(2) For the purposes of this section, the expression “incapacity” means inability to exercise the rights of the Data Principal under the provisions of this Act or the rules made thereunder due to unsoundness of mind or infirmity of  body. (2) 本条において、「無能力」とは、精神または身体の障害により、この法律またはこれに基づく規則の規定に基づいてデータ主体の権利を行使できないことを意味する。
(Duties of Data Principal.) (データ主体の義務)
15. A Data Principal shall perform the following duties, namely:— 15. データ主体は,以下の義務を履行しなければならない。
(a) comply with the provisions of all applicable laws for the time being in forcewhile exercising rights under the provisions of this Act; (a) この法律の規定に基づいて権利を行使する間、当分の間効力を有するすべての適用法の規定を遵守すること;
(b) to ensure not to impersonate another person while providing her personal data for a specified purpose; (b) 特定の目的のために個人データをプロバイダに提供する際に、他人になりすまさな いことを保証すること;
(c) to ensure not to suppress any material information while providing herpersonal data for any document, unique identifier, proof of identity or proof of address issued by the State or any of its instrumentalities; (c) 国またはその機関が発行する文書、固有の識別子、身元確認または住所証明のために個人情報を提供する際に、いかなる重要な情報も隠蔽しないことを確認すること;
(d) to ensure not to register a false or frivolous grievance or complaint with aData Fiduciary or the Board; and (d) データ受託者または委員会に対して、虚偽または軽薄な苦情や苦情を登録しないこと。
(e) to furnish only such information as is verifiably authentic, while exercising the right to correction or erasure under the provisions of this Act or the rules made thereunder. (e) 本法律またはこれに基づく規則の規定に基づいて訂正または抹消の権利を行使する場合、 確実に本人認証された情報のみを提供すること。
CHAPTER IV  第4章 
SPECIAL PROVISIONS 特別規定
(Processing of personal data outside India.)  (インド国外における個人データの処理) 
16. (1) The Central Government may, by notification, restrict the transfer of personal data by a Data Fiduciary for processing to such country or territory outside India as may be so notified.  16. (1) 中央政府は、通達により、データ受託者による個人データのインド国外への転送を制限することができる。
(2) Nothing contained in this section shall restrict the applicability of any law for the time being in force in India that provides for a higher degree of protection for or restriction on transfer of personal data by a Data Fiduciary outside India in relation to any personal data or Data Fiduciary or class thereof. (2) 本条に含まれるいかなる規定も、個人データ、データ受託者またはそのクラスに関して、データ受託者によるインド国外への個人データの移転についてより高度な保護または制限を規定する、インドで施行中の法律の適用を制限するものではない。
(Exemptions.)  (適用除外) 
17. (1) The provisions of Chapter II, except sub-sections (1) and (5) of section 8, and those of Chapter III and section 16 shall not apply where— 17. (1) 第 8 項第(1)号および第(5)号を除く第 2章の規定、ならびに第3章および第 16 項の規定は、以下の場合には適用されない。
(a) the processing of personal data is necessary for enforcing any legal right or claim; (a) 個人データの処理が、法的権利または請求を行使するために必要である場合;
(b) the processing of personal data by any court or tribunal or any other body in India which is entrusted by law with the performance of any judicial or quasi-judicial or regulatory or supervisory function, where such processing is necessary for the performance of such function; (b) 司法、準司法、規制、監督機能の遂行を法律で委託されたインド国内の裁判所、法廷、その他の団体による個人データの処理が、当該機能の遂行に必要な場合;
(c) personal data is processed in the interest of prevention, detection, investigation or prosecution of any offence or contravention of any law for the time being in force in India; (c) インドで施行されている法律の違反の防止、検知、調査、訴追のために個人データを処理する場合;
(d) personal data of Data Principals not within the territory of India is processed pursuant to any contract entered into with any person outside the territory of India by any person based in India; (d) インドに拠点を置く者が、インド領域外の者との間で締結した契約に従って、インド領 域内にいないデータ・主体の個人データを処理する場合;
(e) the processing is necessary for a scheme of compromise or arrangement or merger or amalgamation of two or more companies or a reconstruction by way of demerger or otherwise of a company, or transfer of undertaking of one or more company to another company, or involving division of one or more companies, approved by a court or tribunal or other authority competent to do so by any law for the time being in force; and (e) 当該処理が、裁判所、法廷、または現行法によって権限を有するその他の当局によって承認された、2つ以上の会社の和解、整理、合併、合併、会社分割などによる再建、または1つ以上の会社の事業の他の会社への移転、または1つ以上の会社の分割のために必要である場合。
(f) the processing is for the purpose of ascertaining the financial information and assets and liabilities of any person who has defaulted in payment due on account of a loan or advance taken from a financial institution, subject to such processing being in accordance with the provisions regarding disclosure of information or data in any other law for the time being in force. (f) 金融機関から借り入れたローンや前金の支払を怠った個人の財務情報、資産および負債を確認するための処理であり、当該処理が有効な他の法律における情報またはデータの開示に関する機構に従うことを条件とする。
Explanation.—For the purposes of this clause, the expressions “default” and 説明:本条において、「債務不履行」および「金融機関」という表現は、以下の意味を有するものとする。
“financial institution” shall have the meanings respectively assigned to them in  sub-sections (12) and (14) of section 3 of the Insolvency and Bankruptcy Code, 2016.  「金融機関」という表現は、2016年倒産法第3条(12)および(14)においてそれぞれ付与された意味を有するものとする。
Illustration.
X, an individual, takes a loan from Y, a bank.  X defaults in paying her monthly loan repayment instalment on the date on which it falls due. Y may process the personal data of X for ascertaining her financial information and assets and liabilities. 個人であるXは、銀行であるYから融資を受けている。 Xは、毎月のローン返済期日における支払いを怠った。Yは、Xの財務情報、資産・負債を把握するために、Xの個人データを処理することができる。
(2) The provisions of this Act shall not apply in respect of the processing of personal data— (2) 個人データの処理に関しては、本法の規定は適用されない。
(a) by such instrumentality of the State as the Central Government may notify, in the interests of sovereignty and integrity of India, security of the State, friendly relations with foreign States, maintenance of public order or preventing incitement to any cognizable offence relating to any of these, and the processing by the Central Government of any personal data that such instrumentality may furnish to it; and  (a) インドの主権および一体性、国家の安全、外国との友好関係、公序の保守、またはこれらのいずれかに関連する認知可能な犯罪の扇動の防止のために、中央政府が通知することができる国家の機関が行う個人データの処理、および当該機関が中央政府に提供することができる個人データの中央政府による処理。
(b) necessary for research, archiving or statistical purposes if the personal data is not to be used to take any decision specific to a Data Principal and such processing is carried on in accordance with such standards as may be prescribed. (b) 個人データがデータ主体固有の決定を行うために使用されるものではなく、かつ、当該処理が規定される標準に従って行われる場合には、調査、保管または統計目的のために必要なもの。
(3) The Central Government may, having regard to the volume and nature of personal data processed, notify certain Data Fiduciaries or class of Data Fiduciaries, including startups, as Data Fiduciaries to whom the provisions of section 5, sub-sections (3) and (7) of section 8 and sections 10 and 11 shall not apply. (3) 中央政府は、処理される個人データの量および性質を考慮して、第5条、第8条第(3)項および第(7)項、第10条および第11条の規定が適用されないデータ受託者として、スタートアップを含む特定のデータ受託者またはデータ受託者の種類を通知することができる。
Explanation.—For the purposes of this sub-section, the term “startup” means a private limited company or a partnership firm or a limited liability partnership incorporated in India, which is eligible to be and is recognised as such in accordance with the criteria and process notified by the department to which matters relating to startups are allocated in the Central Government. 説明:本条において、「新興企業」とは、インドで設立された私的有限責任会社、パートナーシップ会社、有限責任パートナーシップ会社を意味し、中央政府において新興企業に関する事項が割り当てられる部門が通知する基準およびプロセスに従って、そのような企業となる資格を有し、かつそのような企業として認識される。
(4) In respect of processing by the State or any instrumentality of the State, the provisions of sub-section (7) of section 8 and sub-section (3) of section 12 and, where such processing is for a purpose that does not include making of a decision that affects the Data Principal, sub-section (2) of section 12 shall not apply. (4) 国または国の機関による処理に関しては、第 8 項第(7)節および第 12 項第(3)節の規定、ならびに当該処理がデータ主体に影響を及ぼす決定の実施を含まない目的のためのものである場合には、第 12 項第(2)節の規定は適用されない。
(5) The Central Government may, before expiry of five years from the date of commencement of this Act, by notification, declare that any provision of this Act shall not apply to such Data Fiduciary or classes of Data Fiduciaries for such period as may be specified in the notification. (5) 中央政府は、この法律の開始の日から5年を経過する前に、通達により、この法律のいかなる規定も、通達で指定される期間、当該データ受託者またはデータ受託者のクラスには適用されないことを宣言することができる。
CHAPTER V  第5章 
DATA PROTECTION BOARD OF INDIA インドデータ保護委員会
(Establishment of Board.)  (委員会の設立) 
18. (1) With effect from such date as the Central Government may, by notification, appoint, there shall be established, for the purposes of this Act, a Board to be called the Data Protection Board of India. 18. (1) 本法の目的のため、中央政府が通達により指定する日から、インドデータ保護委員会と称する委員会を設置する。
(2) The Board shall be a body corporate by the name aforesaid, having perpetualsuccession and a common seal, with power, subject to the provisions of this Act, to acquire, hold and dispose of property, both movable and immovable, and to contract and shall, by the said name, sue or be sued. (2) 委員会は、前述の名称の団体であり、永久継承権および公印を有し、本法の規定に従って、動産および不動産を取得、保有および処分し、契約する権限を有し、当該名称により、訴訟を提起しまたは提起されるものとする。
(3) The headquarters of the Board shall be at such place as the Central Governmentmay notify. (3) 委員会の本部は、中央政府が通知する場所に置く。
(Composition and qualifications for appointment of Chairperson and Members.)  (委員長および委員の構成および任命資格) 
19. (1) The Board shall consist of a Chairperson and such number of other Members as the Central Government may notify. 19 (1) 委員会は、中央政府が通知する数の委員長およびその他の委員で構成される。
(2) The Chairperson and other Members shall be appointed by the Central Governmentin such manner as may be prescribed. (2) 委員長およびその他の委員は、中央政府が定める方法で任命する。
(3) The Chairperson and other Members shall be a person of ability, integrity andstanding who possesses special knowledge or practical experience in the fields of data governance, administration or implementation of laws related to social or consumer protection, dispute resolution, information and communication technology, digital economy, law, regulation or techno-regulation, or in any other field which in the opinion of the Central Government may be useful to the Board, and at least one among them shall be an expert in the field of law. (3) 委員長およびその他の委員は、データガバナンス、社会または消費者保護に関連する法律の管理または実施、紛争解決、情報通信技術、デジタル経済、法律、規制または技術規制の分野、または中央政府の見解において委員会に有用と思われるその他の分野において、特別な知識または実務経験を有する、能力、誠実さおよび卓越性を有する者でなければならず、そのうちの少なくとも1名は法律分野の専門家でなければならない。
(Salary, allowances payable to and term of office.)  (報酬、手当、任期) 
20. (1) The salary, allowances and other terms and conditions of service of the Chairperson and other Members shall be such as may be prescribed, and shall not be varied to their disadvantage after their appointment. 20. (1) 委員長およびその他の委員の給与、手当およびその他の勤務条件は、規定されたとおりとし、任命後に不利益に変更してはならない。
(2) The Chairperson and other Members shall hold office for a term of two years and shall be eligible for re-appointment. (2) 委員長およびその他の委員の任期は2年とし、再任される資格を有する。
(Disqualifications for appointment and continuation as Chairperson and Members of Board)  (委員長および委員の任命および継続の欠格事由) 
21. (1) A person shall be disqualified for being appointed and continued as the 21. (1) 委員長または委員として任命され、継続される資格を失う。
Chairperson or a Member, if she— 以下の場合、その者は、委員長または委員として任命され、継続される資格を失う。
(a) has been adjudged as an insolvent; (a) 破産宣告を受けたことがある;
(b) has been convicted of an offence, which in the opinion of the Central (b) 中央政府の見解において、道義的に問題のある犯罪で有罪判決を受けた。
Government, involves moral turpitude; (b) 中央政府の見解において、道義的に問題のある犯罪で有罪判決を受けた場合;
(c) has become physically or mentally incapable of acting as a Member; (c) 身体的または精神的に会員として行動できなくなった;
(d) has acquired such financial or other interest, as is likely to affect prejudiciallyher functions as a Member; or (d) 会員としての機能に不利な影響を及ぼす可能性のある、金銭的またはその他の利害を得た場合。
(e) has so abused her position as to render her continuance in office prejudicialto the public interest. (e) 公益を害するような地位の濫用があった場合。
(2) The Chairperson or Member shall not be removed from her office by the Central Government unless she has been given an opportunity of being heard in the matter. (2) 委員長または委員は、その問題について意見を聴く機会が与えられない限り、中央政府によって解任されない。
(Resignation by Members and filling of vacancy)  (委員の辞任および欠員の補充) 
22. (1) The Chairperson or any other Member may give notice in writing to the Central Government of resigning from her office, and such resignation shall be effective from the date on which the Central Government permits her to relinquish office, or upon expiry of a period of three months from the date of receipt of such notice, or upon a duly appointed successor entering upon her office, or upon the expiry of the term of her office, whichever is earliest. 22. (1) 委員長またはその他の委員は、中央政府に対して書面で辞任を通告することができ、かかる辞任は、中央政府が辞任を許可した日、またはかかる通告を受理した日から3か月の期間が満了したとき、もしくは正式に任命された後任者が就任したとき、または任期が満了したときのいずれか早い時点から効力を生じる。
(2) A vacancy caused by the resignation or removal or death of the Chairperson orany other Member, or otherwise, shall be filled by fresh appointment in accordance with the provisions of this Act. (2) 委員長または他の委員の辞任、解任、死亡またはその他の事由によって生じた欠員は、この法律の規定に従って新たに任命することによって埋めるものとする。
(3) The Chairperson and any other Member shall not, for a period of one year from thedate on which they cease to hold such office, except with the previous approval of the Central Government, accept any employment, and shall also disclose to the Central Government any subsequent acceptance of employment with any Data Fiduciary against whom proceedings were initiated by or before such Chairperson or other Member. (3) 委員長およびその他の委員は、中央政府の事前の承認がある場合を除き、その職を失った日から1年間、いかなる雇用も受け入れてはならず、また、当該委員長またはその他の委員によって、またはそれ以前に手続が開始されたデータ受託者に対するその後の雇用の受け入れについても、中央政府に開示しなければならない。
(Proceedings of Board)  (委員会の議事) 
23. (1) The Board shall observe such procedure in regard to the holding of and transaction of business at its meetings, including by digital means, and authenticate its orders, directions and instruments in such manner as may be prescribed. 23. (1) 委員会は、その会議の開催および議事の処理に関して、デジタル方式を含め、所定の手続 きを遵守し、所定の方法でその命令、指示および文書を認証するものとする。
(2) No act or proceeding of the Board shall be invalid merely by reason of— (2) 委員会のいかなる行為または手続きも、単に以下の理由によって無効となることはない。
(a) any vacancy in or any defect in the constitution of the Board; (a) 委員会の構成における欠員または欠陥;
(b) any defect in the appointment of a person acting as the Chairperson or other Member of the Board; or (b) 委員会の委員長またはその他の委員として活動する者の任命における不備。
(c) any irregularity in the procedure of the Board, which does not affect the merits of the case. (c) 委員会の手続きに不備があり、それが事案の是非に影響しない場合。
(3) When the Chairperson is unable to discharge her functions owing to absence, illness or any other cause, the senior-most Member shall discharge the functions of the Chairperson until the date on which the Chairperson resumes her duties. (3) 委員長が欠席、病気またはその他の理由によりその職務を遂行できない場合は、最年長の委員が、委員長が職務を再開する日まで、委員長の職務を遂行するものとする。
(Officers and employees of Board) (委員会の役員および職員)
24. The Board may, with previous approval of the Central Government, appoint such officers and employees as it may deem necessary for the efficient discharge of its functions under the provisions of this Act, on such terms and conditions of appointment and service as may be prescribed. 24. 委員会は、中央政府の事前の承認を得て、この法律の規定に基づいてその機能を効率的に果たすために必要と考えられる役員および職員を、規定される任命条件および勤務条件で任命することができる。
(Members and officers to be public servants.) (委員および職員は公務員とする。)
25. The Chairperson, Members, officers and employees of the Board shall be deemed, when acting or purporting to act in pursuance of provisions of this Act, to be public servants within the meaning of section 21 of the Indian Penal Code. (45 of 1860.) 25. 委員会の委員長、委員、役員および職員は、この法律の規定に従って行動するとき、または行動しようとするときは、インド刑法第21条にいう公務員とみなされる。(45 of 1860.)
(Powers of Chairperson) (委員長の権限)
26. The Chairperson shall exercise the following powers, namely:— 26. 委員長は以下の権限を行使する。
(a) general superintendence and giving direction in respect of all administrative matters of the Board; (a) 委員会のすべての運営事項を総括的に監督し、指示を与える;
(b) authorise any officer of the Board to scrutinise any intimation, complaint, reference or correspondence addressed to the Board; and (b) 委員会のいかなる役員に対しても、委員会宛てのあらゆる通知、苦情、照会、通信 文書を精査する権限を与える。
(c) authorise performance of any of the functions of the Board and conduct any of its proceedings, by an individual Member or groups of Members and to allocate proceedings among them. (c) 個々の委員または委員グループによる、委員会の機能の遂行と手続きの実施を許可し、また、委員間で手続きを配分する。
CHAPTER VI  第6章 
POWERS, FUNCTIONS AND PROCEDURE TO BE FOLLOWED BY BOARD 委員会が従うべき権限、機能および手続き
(Powers and functions of Board) (委員会の権限および機能)
27. (1) The Board shall exercise and perform the following powers and functions, namely:— 27. (1) 委員会は、以下の権限および機能を行使し、実施するものとする。
(a) on receipt of an intimation of personal data breach under sub-section (6) of section 8, to direct any urgent remedial or mitigation measures in the event of a personal data breach, and to inquire into such personal data breach and impose penalty as provided in this Act; (a) 第8条(6)項に基づく個人データ漏えいの通知を受領した場合、個人データ漏えいが発生した場合、緊急の是正措置または低減措置を指示し、当該個人データ漏えいについて調査し、本法に定める罰則を課すこと;
(b) on a complaint made by a Data Principal in respect of a personal data breachor a breach in observance by a Data Fiduciary of its obligations in relation to her personal data or the exercise of her rights under the provisions of this Act, or on a reference made to it by the Central Government or a State Government, or in compliance of the directions of any court, to inquire into such breach and impose penalty as provided in this Act; (b) 個人データ漏えい、またはデータ受託者による個人データに関する義務の遵守違反、もしくは本法の規定に基づく権利の行使に関してデータ主体からなされた苦情、または中央政府もしくは州政府からなされた照会、または裁判所の指示に基づき、当該違反を調査し、本法に規定される罰則を課すこと;
(c) on a complaint made by a Data Principal in respect of a breach in observance by a Consent Manager of its obligations in relation to her personal data, to inquire into such breach and impose penalty as provided in this Act; (c) 同意管理者による個人データに関する義務の遵守違反に関してデータ主体から苦情があった場合、当該違反を調査し、本法に定める罰則を課すこと;
(d) on receipt of an intimation of breach of any condition of registration of a Consent Manager, to inquire into such breach and impose penalty as provided in this Act; and (d) コンセントマネージャの登録条件違反の通知を受領した場合、当該違反を調査し、本法の定めに従って罰則を課すこと。
(e) on a reference made by the Central Government in respect of the breach in observance of the provisions of sub-section (2) of section 37 by an intermediary, to inquire into such breach and impose penalty as provided in this Act. (e) 仲介業者による第37条(2)項の規定の遵守違反に関して中央政府から照会を受けた場合、当該違反について調査し、本法に定める罰則を課すこと。
(2) The Board may, for the effective discharge of its functions under the provisions of this Act, after giving the person concerned an opportunity of being heard and after recording reasons in writing, issue such directions as it may consider necessary to such person, who shall be bound to comply with the same. (2) 委員会は、本法の規定に基づくその機能を効果的に果たすため、関係者に聴取の機会を与え、理由を文書で記録した後、当該者に必要と考える指示を出すことができる。
(3) The Board may, on a representation made to it by a person affected by a direction issued under sub-section (1) or sub-section (2), or on a reference made by the Central Government, modify, suspend, withdraw or cancel such direction and, while doing so, impose such conditions as it may deem fit, subject to which the modification, suspension, withdrawal or cancellation shall have effect. (3) 理事会は、第(1)項もしくは第(2)項に基づいて出された指示により影響を受ける者が理事会に対して行った申し立て、または中央政府による照会に基づき、当該指示を修正、一時停止、撤回、または取り消すことができ、その際、修正、一時停止、撤回、または取り消しが効力を有することを条件として、理事会が適切とみなす条件を課すことができる。
(Procedure to be followed by Board. )  (委員会が従うべき手続き) 
28. (1) The Board shall function as an independent body and shall, as far as practicable, function as a digital office, with the receipt of complaints and the allocation, hearing and pronouncement of decisions in respect of the same being digital by design, and adopt such techno-legal measures as may be prescribed. 28. (1) 委員会は、独立団体として機能し、可能な限りデジタルオフィスとして機能するものとし、苦情の受付、およびそれに関する決定の配分、審理、宣告は、設計上デジタル化されたものとし、規定される技術法的措置を採用するものとする。
(2) The Board may, on receipt of an intimation or complaint or reference or directions as referred to in sub-section (1) of section 27, take action in accordance with the provisions of this Act and the rules made thereunder. (2) 委員会は、第27項(1)に規定する通告、苦情、照会、指示を受領した場合、本法およびこれに基づく規則の規定に従って措置を講じることができる。
(3) The Board shall determine whether there are sufficient grounds to proceed with an inquiry. (3) 委員会は、調査を進める十分な根拠があるか否かを判断するものとする。
(4) In case the Board determines that there are insufficient grounds, it may, for reasons to be recorded in writing, close the proceedings. (4) 委員会が十分な根拠がないと判断した場合、委員会は、書面で記録される理由によって、手続を終了することができる。
(5) In case the Board determines that there are sufficient grounds to proceed with inquiry, it may, for reasons to be recorded in writing, inquire into the affairs of any person for ascertaining whether such person is complying with or has complied with the provisions of this Act. (5) 委員会が調査を続行する十分な根拠があると判断した場合、委員会は、書面により記録される理由により、当該者が本法の規定を遵守しているか、または遵守していたかどうかを確認するために、当該者の事務を調査することができる。
(6) The Board shall conduct such inquiry following the principles of natural justice and shall record reasons for its actions during the course of such inquiry. (6) 委員会は、自然正義の原則に従って当該調査を実施し、当該調査の過程で行った措置の理由を記録するものとする。
(7) For the purposes of discharging its functions under this Act, the Board shall have5 of 1908. the same powers as are vested in a civil court under the Code of Civil Procedure, 1908, in respect of matters relating to— (7) 委員会は、本法に基づく職務を遂行するため、1908年民事訴訟法に基づき民事裁判所に与えられている以下の権限と同等の権限を有する。
(a) summoning and enforcing the attendance of any person and examining heron oath; (a) 人を召喚し、出席を強制し、宣誓を審査する;
(b) receiving evidence of affidavit requiring the discovery and production of documents; (b) 文書の発見および提出を要求する宣誓供述書の証拠を受理する;
(c) inspecting any data, book, document, register, books of account or any other document; and (c) データ、帳簿、文書、登記簿、会計帳簿またはその他の文書を検査すること。
(d) such other matters as may be prescribed. (d) その他規定される事項。
(8) The Board or its officers shall not prevent access to any premises or take into custody any equipment or any item that may adversely affect the day-to-day functioning of a person. (8) 委員会またはその役員は、施設への立ち入りを妨げたり、日常機能に悪影響を及ぼす可能性のある設備や物品を預かったりしてはならない。
(9) The Board may require the services of any police officer or any officer of the Central Government or a State Government to assist it for the purposes of this section and it shall be the duty of every such officer to comply with such requisition. (9) 委員会は、本節の目的のために、警察官または中央政府もしくは州政府の役員に、委員会を援助するよう要請することができ、かかる要請を遵守することは、当該役員の義務とする。
(10) During the course of the inquiry, if the Board considers it necessary, it may for reasons to be recorded in writing, issue interim orders after giving the person concerned an opportunity of being heard. (10) 調査の過程において、委員会が必要と認めた場合は、関係者に聴聞の機会を与えた後、書面で記録される理由により、暫定命令を発することができる。
(11) On completion of the inquiry and after giving the person concerned an opportunity of being heard, the Board may for reasons to be recorded in writing, either close the proceedings or proceed in accordance with section 33. (11) 調査が終了し、関係者に聴聞の機会を与えた後、委員会は、書面に記録すべき理由を付して、手続を終結するか、または第33条に従って手続を進めることができる。
(12) At any stage after receipt of a complaint, if the Board is of the opinion that the complaint is false or frivolous, it may issue a warning or impose costs on the complainant. (12) 委員会は、苦情を受理した後のいかなる段階においても、苦情が虚偽または軽薄であると判断した場合、警告を発するか、または苦情申立人に費用を課すことができる。
CHAPTER VII  第7章 
APPEAL AND ALTERNATE DISPUTE RESOLUTION 不服申立ておよび代替紛争解決 
(Appeal to Appellate Tribunal.)  (審判所に対する不服申立て) 
29. (1) Any person aggrieved by an order or direction made by the Board under this Act may prefer an appeal before the Appellate Tribunal. 29. (1) 本法に基づき委員会が下した命令または指示に不服がある者は、 審判所に対して不服を申し立てることができる。
(2) Every appeal under sub-section (1) shall be filed within a period of sixty days from the date of receipt of the order or direction appealed against and it shall be in such form and manner and shall be accompanied by such fee as may be prescribed. (2) 第(1)項に基づくすべての不服申立ては、不服申立てを受けた命令または指示を受理した日から60日以内に行わなければならない。
(3) The Appellate Tribunal may entertain an appeal after the expiry of the period specified in sub-section (2), if it is satisfied that there was sufficient cause for not preferring the appeal within that period. (3) 審判所は、 (2)に規定する期間の経過後であっても、 その期間内に不服申立てをしなかったことについて十分な理由があると認めるときは、 不服申立てを受理することができる。
(4) On receipt of an appeal under sub-section (1), the Appellate Tribunal may, after giving the parties to the appeal, an opportunity of being heard, pass such orders thereon as it thinks fit, confirming, modifying or setting aside the order appealed against. (4) 審判所は、 (1)項の規定による審判を受けたときは、 審判の当事者に聴聞の機会を与えた後、 適当と認める命令を下し、 審判された命令を確認し、 変更し、 または破棄することができる。
(5) The Appellate Tribunal shall send a copy of every order made by it to the Board and to the parties to the appeal. (5) 審判所は、 審判所が下したすべての命令の写しを、 委員会および審判の当事者に送付しなければならない。
(6) The appeal filed before the Appellate Tribunal under sub-section (1) shall be dealt with by it as expeditiously as possible and endeavour shall be made by it to dispose of the appeal finally within six months from the date on which the appeal is presented to it. (6) (1)項に基づき審判所に提出された不服申立ては、 審判所において可能な限り迅速に処理されるものとし、 審判所は、 不服申立てが審判所に提出された日から6ヶ月以内に、 最終的に不服申立てを処理するよう努めなければならない。
(7) Where any appeal under sub-section (6) could not be disposed of within the period of six months, the Appellate Tribunal shall record its reasons in writing for not disposing of the appeal within that period. (7) 第(6)項に基づく不服申立てが6ヶ月以内に処理できなかった場合、 審判所は、 その期間内に不服申立てを処理できなかった理由を書面で記録しなければならない。
(8) Without prejudice to the provisions of section 14A and section 16 of the Telecom Regulatory Authority of India Act, 1997, the Appellate Tribunal shall deal with an appeal under this section in accordance with such procedure as may be prescribed. (8) 1997年インド電気通信規制庁法第14条Aおよび第16条の規定を害することなく、上訴審判所は、本条に基づく上訴を、規定される手続に従って処理しなければならない。
(9) Where an appeal is filed against the orders of the Appellate Tribunal under this Act, the provisions of section 18 of the Telecom Regulatory Authority of India Act, 1997 shall apply. (24 of 1997.) (9) 本法に基づく審判所の命令に対して不服申立てがなされた場合には、1997 年インド電気通信規制庁法第 18 条の規定を適用する。(1997年第24号)
(10) In respect of appeals filed under the provisions of this Act, the Appellate Tribunal shall, as far as practicable, function as a digital office, with the receipt of appeal, hearing and pronouncement of decisions in respect of the same being digital by design. (10) 本法に基づき提起された不服申立てに関し、上訴審判所は、実務上可能な限り、デジタルオフィスとして機能するものとし、これに関する不服申立ての受理、審理および決定の宣告は、設計上デジタル化されるものとする。
(Orders passed by Appellate Tribunal to be executable as decree )  (審判所の下した命令は、判決として執行することができる。) 
30. (1) An order passed by the Appellate Tribunal under this Act shall be executable by it as a decree of civil court, and for this purpose, the Appellate Tribunal shall have all the powers of a civil court. 30. (1) 本法に基づき審判所が下した命令は、 民事裁判所の判決として執行することができる。
(2) Notwithstanding anything contained in sub-section (1), the Appellate Tribunal may transmit any order made by it to a civil court having local jurisdiction and such civil court shall execute the order as if it were a decree made by that court. (2) (1)項の規定にかかわらず、 審判所は、 その下した命令を、 地方裁判管轄を有する民事裁判所に伝達することができ、 当該民事裁判所は、 当該命令を、 当該裁判所が下した判決と同様に執行しなければならない。
(Alternate dispute resolution.) (代替的紛争解決)
31. If the Board is of the opinion that any complaint may be resolved by mediation, it may direct the parties concerned to attempt resolution of the dispute through such mediation by such mediator as the parties may mutually agree upon, or as provided for under any law for the time being in force in India. 31. 委員会は、苦情が調停によって解決される可能性があると判断した場合、当事者が相互に合意した調停者、またはインドで施行されている法律に規定されている調停者により、紛争の解決を試みるよう関係当事者に指示することができる。
(Voluntary undertaking.) (自発的合意)
32. (1) The Board may accept a voluntary undertaking in respect of any matter related to observance of the provisions of this Act from any person at any stage of a proceeding under section 28. 32. (1) 委員会は、第28条に基づく手続のいかなる段階においても、本法の規定の遵守に関連する事項に関して、いかなる者からも自発的な引き受けを受諾することができる。
(2) The voluntary undertaking referred to in sub-section (1) may include an undertaking to take such action within such time as may be determined by the Board, or refrain from taking such action, and or publicising such undertaking. (2) 第(1)項にいう自発的な引き受けには、委員会が定める期間内に当該措置を講じること、または当該措置を講じないこと、および当該措置を公表することを含むことができる。
(3) The Board may, after accepting the voluntary undertaking and with the consent ofthe person who gave the voluntary undertaking vary the terms included in the voluntary undertaking. (3) 委員会は、自発的な引き受けを受諾した後、自発的な引き受けを行った者の同意を得て、自発的な引き受けに含まれる条件を変更することができる。
(4) The acceptance of the voluntary undertaking by the Board shall constitute a baron proceedings under the provisions of this Act as regards the contents of the voluntary undertaking, except in cases covered by sub-section (5). (4) 委員会による自発的引き受けの受諾は、第(5)項に該当する場合を除き、自発的引き受けの内容に関して本法の規定に基づく手続を禁止するものとする。
(5) Where a person fails to adhere to any term of the voluntary undertaking acceptedby the Board, such breach shall be deemed to be breach of the provisions of this Act and the Board may, after giving such person an opportunity of being heard, proceed in accordance with the provisions of section 33. (5) 委員会が受理した任意事業の条件を遵守しない者がいる場合、当該違反は本法の規定違反とみなされ、委員会は、当該者に聴聞の機会を与えた後、第33条の規定に従って手続きを進めることができる。
CHAPTER VIII  第8章 罰則および裁定 
PENALTIES AND ADJUDICATION 罰則および裁定
(Penalties.)  罰則 
33. (1) If the Board determines on conclusion of an inquiry that breach of the provisions of this Act or the rules made thereunder by a person is significant, it may, after giving the person an opportunity of being heard, impose such monetary penalty specified in the Schedule.  33. (1) 委員会は、調査の結果、ある者による本法またはその下で制定された規則の規定違反が重大であると判断した場合、その者に聴聞の機会を与えた後、別表に定める金銭的ペナルティを課すことができる。
(2) While determining the amount of monetary penalty to be imposed under sub-section (1), the Board shall have regard to the following matters, namely:— (2) 委員会は、第(1)項に基づき科すべき金銭処罰の額を決定する際、以下の事項を考慮するものとする。
(a) the nature, gravity and duration of the breach; (a) 違反の性質、重大性、および期間;
(b) the type and nature of the personal data affected by the breach; (b) 違反により影響を受けた個人データの種類および性質;
(c) repetitive nature of the breach; (c) 違反の反復性
(d) whether the person, as a result of the breach, has realised a gain or avoided any loss; (d) 違反の結果、本人が利益を得たか、または損失を回避したか;
(e) whether the person took any action to mitigate the effects and consequences of the breach, and the timeliness and effectiveness of such action; (e) 違反の影響および結果を軽減するための措置を講じたかどうか、および当該措置の適時性および有効性;
(f) whether the monetary penalty to be imposed is proportionate and effective,having regard to the need to secure observance of and deter breach of the provis ions of this Act; and (f) 課される金銭的罰則が、この法律の規定の遵守を確保し、違反を抑止する必要性を考慮し、比例的かつ効果的であるか否か。
(g) the likely impact of the imposition of the monetary penalty on the person. (g) 金銭的罰則の賦課がその者に及ぼすと思われる影響。
(Crediting sums realised by way of penalties to Consolidated Fund of India.)  (罰金によって実現した金額をインド連結基金にクレジットすること)。
34. All sums realised by way of penalties imposed by the Board under this Act, shall be credited to the Consolidated Fund of India. 34. 本法に基づき委員会が課した罰則により実現したすべての金額は、インド連結基金に計上されるものとする。
CHAPTER IX  第9章 雑則 
MISCELLANEOUS 雑則
(Protection of action taken in good faith) (善意による行為の防御)
35. No suit, prosecution or other legal proceedings shall lie against the Central Government, the Board, its Chairperson and any Member, officer or employee thereof for anything which is done or intended to be done in good faith under the provisions of this Act or the rules made thereunder. 35. 本法または本法に基づく規則の規定に基づいて善意で行われ、または行われよ うと意図された行為については、中央政府、委員会、委員長、およびそのメンバー、役員、 職員に対して、訴訟、訴追、その他の法的手続きは成立しない。
(Power to call for information) (情報を求める権限)
36. The Central Government may, for the purposes of this Act, require the Board and any Data Fiduciary or intermediary to furnish such information as it may call for. 36. 中央政府は、本法の目的のため、委員会およびデータ受託者または仲介者に対し、要求する情報の提出を求めることができる。
(Power of Central Government to issue directions.)  (中央政府の指示権限) 
37. (1) The Central Government or any of its officers specially authorised by it in this behalf may, upon receipt of a reference in writing from the Board that— 37. (1) 中央政府または政府から特別に権限を与えられた役員は、委員会から書面による照会 を受けた場合、以下の事項を行うことができる。
(a) intimates the imposition of monetary penalty by the Board on a Data Fiduciaryin two or more instances; and (a) 委員会がデータ受託者に対して 2 例以上の金銭的ペナルティを課すことを通知する。
(b) advises, in the interests of the general public, the blocking for access by thepublic to any information generated, transmitted, received, stored or hosted, in any computer resource that enables such Data Fiduciary to carry on any activity relating to offering of goods or services to Data Principals within the territory of India, (b) 一般公衆の利益のために、データ受託者がインドの領域内でデータ主体への商品または サービスの提供に関する活動を行うことを可能にする、コンピュータリソースで 生成、送信、受信、保存またはホストされている情報への一般公衆のアクセスを遮断 することを勧告する、
after giving an opportunity of being heard to that Data Fiduciary, on being satisfied that it is necessary or expedient so to do, in the interests of the general public, for reasons to be recorded in writing, by order, direct any agency of the Central Government or any intermediary to block for access by the public or cause to be blocked for access by the public any such information. データ受託者に聴取の機会を与えた後、一般公衆の利益のために必要または好都合であると納得した場合、文書に記録される理由により、命令により、中央政府の機関または仲介業者に対し、公衆によるアクセスを遮断するよう、または公衆によるアクセスを遮断させるよう指示する。
(2) Every intermediary who receives a direction issued under sub-section (1) shall be bound to comply with the same. (2) 第(1)項に基づいて発令された指示を受けた仲介者は、これに従う義務を負う。
(3) For the purposes of this section, the expressions “computer resource”, “information” and “intermediary” shall have the meanings respectively assigned to them in the Information Technology Act, 2000. (21 of 2000.) (3) 本節において、「コンピュータ資源」、「情報」および「仲介者」という表現は、2000年情報技術法においてそれぞれ与えられた意味を有するものとする。(2000年第21号)
( Consistency with other laws.)  (他の法律との整合性) 
38. (1) The provisions of this Act shall be in addition to and not in derogation of any other law for the time being in force. 38. (1) この法律の規定は、当分の間、効力を有する他の法律に追加されるものであり、他の法律に抵触するものではない。
(2) In the event of any conflict between a provision of this Act and a provision of any other law for the time being in force, the provision of this Act shall prevail to the extent of such conflict. (2) この法律の規定と施行中の他の法律の規定とが抵触する場合は、抵触する範囲においてこの法律の規定が優先する。
( Bar of jurisdiction) (管轄権)
39. No civil court shall have the jurisdiction to entertain any suit or proceeding in respect of any matter for which the Board is empowered under the provisions of this Act and no injunction shall be granted by any court or other authority in respect of any action taken or to be taken in pursuance of any power under the provisions of this Act. 39. いかなる民事裁判所も、この法律の規定に基づいて委員会が権限を与えられている事項に関して、いかなる訴訟または訴訟手続を受理する管轄権を有さず、また、この法律の規定に基づく権限に従って取られた、または取られるべき措置に関して、いかなる裁判所またはその他の当局も、差止命令を認めてはならない。
( Power to make rules.)  (規則を制定する権限) 
40. (1) The Central Government may, by notification, and subject to the condition of previous publication, make rules not inconsistent with the provisions of this Act, to carry out the purposes of this Act. 40. (1) 中央政府は、本法の目的を遂行するため、通達により、かつ、事前の公表という条件に従い、本法の規定と矛盾しない規則を制定することができる。
(2) In particular and without prejudice to the generality of the foregoing power, such rules may provide for all or any of the following matters, namely:— (2) 特に、前述の権限の一般性を損なうことなく、当該規則は、以下の事項のすべてまたはいずれかについて定めることができる。
(a) the manner in which the notice given by the Data Fiduciary to a Data Principalshall inform her, under sub-section (1) of section 5; (a) 第5条(1)項に基づき、データ受託者がデータ主体に通知する方法;
(b) the manner in which the notice given by the Data Fiduciary to a Data Principal shall inform her, under sub-section (2) of section 5; (b) 第 5 項第(2)節に基づき、データ受託者がデータ主体に対して行う通知の方法;
(c) the manner of accountability and the obligations of Consent Manager undersub-section (8) of section 6; (c) 第6節(8)に基づく、説明責任の方法および同意管理者の義務;
(d) the manner of registration of Consent Manager and the conditions relatingthereto, under sub-section (9) of section 6; (d) 第6条第9項に基づく、同意管理者の登録方法とその条件;
(e) the subsidy, benefit, service, certificate, licence or permit for the provision orissuance of which, personal data may be processed under clause (b) of section 7; (e) 第7条(b)項に基づき、個人データを処理することができる補助金、便益、サービス、証明書、ライセンスまたは許可証;
(f) the form and manner of intimation of personal data breach to the Board undersub-section (6) of section 8; (f) 第8節(6)に規定される、個人データ漏えいに関する委員会への通知の形式および方法;
(g) the time period for the specified purpose to be deemed as no longer being served, under sub-section (8) of section 8; (g)第8条(8)項に基づき、特定の目的がもはや果たされていないとみなされるまでの期間;
(h) the manner of publishing the business contact information of a DataProtection Officer under sub-section (9) of section 8; (h) 第8条(9)項に基づく、データ保護オフィサーの業務連絡先の公表方法;
(i) the manner of obtaining verifiable consent under sub-section (1) of section 9; (i) 第9条(1)項に基づく検証可能な同意の取得方法;
(j) the classes of Data Fiduciaries, the purposes of processing of personal dataof a child and the conditions relating thereto, under sub-section (4) of section 9; (j) 第9条(4)項に基づく、データ受託者のクラス、児童の個人データの処理目的、およびそれに関する条件;
(k) the other matters comprising the process of Data Protection ImpactAssessment under sub-clause (i) of clause (c) of sub-section (2) of section 10; (k) 第10条第2項(c)号(i)に基づくデータ保護影響評価のプロセスを構成するその他の事項;
(l) the other measures that the Significant Data Fiduciary shall undertake undersub-clause (iii) of clause (c) of sub-section (2) of section 10; (l) 第 10 項第(2)節第(c)項第(iii)号に基づき、重要なデータ受託者が実施するその他の措置;
(m) the manner in which a Data Principal shall make a request to the DataFiduciary to obtain information and any other information related to the personal data of such Data Principal and its processing, under sub-section (1) of section 11; (m) 第11条(1)項に基づき、データ主体がデータ受託者に対して、当該データ主体の個人データおよびその処理に関連する情報およびその他の情報の入手を要求する方法;
(n) the manner in which a Data Principal shall make a request to the DataFiduciary for erasure of her personal data under sub-section (3) of section 12; (n) データ主体がデータ受託者に対し、第 12 項第(3)節に基づき個人データの抹消を要求する方法;
(o) the period within which the Data Fiduciary shall respond to any grievancesunder sub-section (2) of section 13; (o) データ受託者が第 13 項第(2)節の苦情に対応する期間;
(p) the manner of nomination of any other individual by the Data Principalunder sub-section (1) of section 14; (p) 第14条(1)項に基づく、データ主体による他の個人の指名方法;
(q) the standards for processing the personal data for exemption under clause (b) of sub-section (2) of section 17; (q) 第17条第(2)項第(b)号に基づき免除される個人データの処理基準;
(r) the manner of appointment of the Chairperson and other Members of theBoard under sub-section (2) of section 19; (r) 第 19 項第(2)節に基づく、委員長およびその他の委員会メンバーの任命方法;
(s) the salary, allowances and other terms and conditions of services of theChairperson and other Members of the Board under sub-section (1) of section 20; (s) 第 20 項第(1)節に基づく、委員長およびその他の委員の給与、手当、その他の勤務条件;
(t) the manner of authentication of orders, directions and instruments undersub-section (1) of section 23; (t) 第23節(1)に基づく命令、指示、文書の本人認証の方法
(u) the terms and conditions of appointment and service of officers andemployees of the Board under section 24; (u) 第 24 項に基づく、委員会の役員および職員の任命条件および勤務条件;
(v) the techno-legal measures to be adopted by the Board under sub-section (1) of section 28; (v) 第28条第1項に基づき、委員会が採用する技術的・法的措置
(w) the other matters under clause (d) of sub-section (7) of section 28; (w) 第 28 項第(7)節第(d)項に基づくその他の事項;
(x) the form, manner and fee for filing an appeal under sub-section (2) of section 29; (x) 第 29 項第(2)節に基づく不服申立ての様式、方法および手数料;
(y) the procedure for dealing an appeal under sub-section (8) of section 29; (y) 第29条第(8)項に基づく不服申立ての処理手続;
(z) any other matter which is to be or may be prescribed or in respect of whichprovision is to be, or may be, made by rules. (z) その他、規則により規定され、または規定される可能性のある事項。
(Laying of rules and certain notifications,) (規則および通達の制定)
41. Every rule made and every notification issued under section 16 and section 42 of this Act shall be laid, as soon as may be after it is made, before each House of Parliament, while it is in session, for a total period of thirty days which may be comprised in one session or in two or more successive sessions, and if before the expiry of the session immediately following the session or the successive sessions aforesaid, both Houses agree in making any modification in the rule or notification or both Houses agree that the rule or notification should not be made or issued, the rule or notification shall thereafter have effect only in such modified form or be of no effect, as the case may be; so, however, that any such modification or annulment shall be without prejudice to the validity of anything previously done under that rule or notification. 41.第16条 この法律の第16条および第42条に基づき作成されたすべての規則およびすべての通達は、作成後できる限り速やかに、国会が会期中、各議院の前に、1会期または2会期以上の会期を通算して30日間置かれなければならない、 前記の会期または連続する会期の直後の会期が満了する前に、両院が規則または通達を修正することに同意した場合、または両院が規則または通達を作成または発布すべきでないことに同意した場合、規則または通達は、その後、その修正された形態でのみ効力を有するか、または場合により効力を有しない; ただし、そのような修正または無効化は、当該規則または通達に基づいて以前に行われたことの有効性を損なうものではないものとする。
(Power to amend Schedule.) (別表を修正する権限)
42. (1) The Central Government may, by notification, amend the Schedule, subject to the restriction that no such notification shall have the effect of increasing any penalty specified therein to more than twice of what was specified in it when this Act was originally enacted. 42. (1) 中央政府は、通達によって別表を修正することができるが、そのような通達は、そこに規定された刑罰を、この法律が最初に制定されたときに規定された刑罰の2倍以上に増加させる効果を有するものであってはならない。
(2) Any amendment notified under sub-section (1) shall have effect as if enacted in this Act and shall come into force on the date of the notification. (2) 第(1)項に基づき通達された改正は、本法において制定されたものと同様の効力を有し、通達の日に発効する。
(Power to remove difficulties. )  (困難を除去する権限) 
43. (1) If any difficulty arises in giving effect to the provisions of this Act, the Central Government may, by order published in the Official Gazette, make such provisions not remove inconsistent with the provisions of this Act as may appear to it to be necessary or expedient for removing the difficulty. 43. (1) この法律の規定を実施することに困難が生じた場合、中央政府は、官報に掲載される命令により、この法律の規定と矛盾しない規定であって、その困難を除去するために必要または好都合と思われる規定を設けることができる。
(2) No order as referred to in sub-section (1) shall be made after the expiry of three years from the date of commencement of this Act. (2) 第(1)項にいう命令は、この法律の開始の日から3年を経過した後は行ってはならない。
(3) Every order made under this section shall be laid, as soon as may be after it ismade, before each House of Parliament. (3) 本条に基づき作成された命令は、作成後できる限り速やかに、国会の各議院に提出されなければならない。
(Amendments to certain Acts. )  (特定の法律の改正) 
44. (1) In section 14 of the Telecom Regulatory Authority of India Act, 1997, in clause (c), for sub-clauses (i) and (ii), the following sub-clauses shall be substituted, namely:— (24 of 1997.)  44. (1) 1997 年インド電気通信規制局法第 14 条第(c)項において、第(i)号および第(ii)号を次のように改める。(1997年第24号) 
“(i) the Appellate Tribunal under the Information Technology Act, 2000; (21 of 2000.)  「(i)2000年情報技術法(2000年第21号)に基づく審判所 
(ii) the Appellate Tribunal under the Airports Economic Regulatory Authority of  India Act, 2008 (27 of 2008) ; and  (ii)2008 年インド空港経済規制庁法(Airports Economic Regulatory Authority of India Act, 2008; 27 of 2008)に基づく審判所。
(iii) the Appellate Tribunal under the Digital Personal Data ProtectionAct, 2023.”. (iii) デジタル個人データ保護法(Digital Personal Data Protection Act, 2023)に基づく審判所。
(2) The Information Technology Act, 2000 (21 of 2000)  shall be amended in the following manner,namely:— (2) 2000年情報技術法(Information Technology Act, 2000, 21 of 2000)を以下のように改正する。
(a) section 43A shall be omitted; (a) 第43条Aを省略する;
(b) in section 81, in the proviso, after the words and figures “the PatentsAct, 1970” (39 of 1970) , the words and figures “or the Digital Personal Data Protection Act, 2023” shall be inserted; and (b) 第81条ただし書の「1970年特許法」(1970年第39号)の後に、「または2023年デジタル個人データ保護法」(Digital Personal Data Protection Act, 2023)を挿入する。
(c) in section 87, in sub-section (2), clause (ob) shall be omitted. (c) 第87条、第(2)節の(ob)を省略する。
(3) In section 8 of the Right to Information Act, 2005 (22 of 2005), in sub-section (1), for clause (j), the following clause shall be substituted, namely:— (3) 2005年情報公開法第8条(2005年第22号)の第1節(j)を次のように改める。
“(j) information which relates to personal information;”. 「(j)個人情報に関連する情報。

 

別表...

No. Breach of provisions of  this Act or rules made thereunder Penalty 番号 本法律またはそれに基づく規則の規定違反 罰則
(1) (2) (3) (1) (2) (3)
1.  Breach in observing the obligation of Data Fiduciary to take reasonable security safeguards to prevent personal data breach under sub-section (5) of section 8. May extend to two hundred and fifty crore rupees. 1.  第8条(5)項に基づく、個人データ漏えいを防止するための合理的なセキュリティ保護措置を講じるデータ受託者の義務の遵守に違反した場合。25億ルピーを上限とする。
2.  Breach in observing the obligation to give the Board or affected Data Principal notice of a personal data breach under sub-section (6) of section 8. May extend to two hundred crore rupees. 2.  第 8 項第(6)節に基づく、理事会または影響を受けるデータ主体に対する個人データ漏えいの通知 義務の不履行。20億ルピーを上限とする。
3.  Breach in observance of additional obligations in relation to children under section 9. May extend to two hundred crore rupees. 3.  第 9 項に基づく、児童に関する追加義務の遵守違反。20億ルピーを上限とする。
4.  Breach in observance of additional obligations of Significant Data Fiduciary under section 10. May extend to two hundred crore rupees. 4.  第 10 項に基づく重要なデータ受託者の追加義務の遵守違反。20億ルピーを上限とする。
5.  Breach in observance of the duties under section 15. May extend to ten thousand rupees. 5.  第 15 項に基づく義務の不履行。10万ルピーを上限とする。
6.  Breach of any term of voluntary undertaking accepted by the Board under section 32. Up to the extent applicable for the breach in respect of which the proceedings under section 28 were instituted. 6.  第 32 項に基づき取締役会が受諾した任意契約の条件違反。第 28 項に基づく手続が開始された違反に適用される範囲までとする。
7.  Breach of any other provision of this Act or the rules made thereunder. May extend to fifty crore rupees. 7.  本法または本法に基づく規則のその他の規定に違反した場合。5億ルピーを上限とする。

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.08.04 インド デジタル個人データ保護法案(2023年)

・2023.01.06 インド デジタル個人情報保護法案 (2022.11.22)

・2022.08.07 インド 個人情報保護法の制定は振り出しに戻る?

・2021.11.24 インド 個人データ保護法が成立しますかね。。。

 

 

| | Comments (0)

個人情報保護委員会 生成AIサービスの利用に関する注意喚起 -個人情報がAIの学習データとして利用されていませんか?-

こんにちは、丸山満彦です。

個人情報保護委員会が、生成AIサービスの利用に関する注意喚起を公表していますね。。。

 

個人情報保護委員会 - 広報資料(出版物・動画)

・2023.08.21 [PDF] 生成AIサービスの利用に関する注意喚起 -個人情報がAIの学習データとして利用されていませんか?-

20230823-61304

 

これだけです。ペラ一。

チラシです・・・

この3月、4月にEUで早速問題になったことですが、広く普及する前に、一発啓発ですかね。。。

 


 

まるちゃんの情報セキュリティ気まぐれ日記

プライバシー関係

・2023.06.01 生成的AIとプライバシー当局(カナダ ニュージーランド)

・2023.05.18 フランス CNIL 人工知能に対する行動計画

・2023.05.04 イタリア データ保護庁 ChatGPTが復活... (2023.04.28)

・2023.04.14 イタリア データ保護庁 ChatGPT復活へ... 4月30日までに改善できれば...

・2023.04.14 スペイン ChatGPTを運営するOpenAI社に対して職権で調査手続きを開始

・2023.04.10 イタリア データ保護庁委員とOpenAI社CEOが会談

・2023.04.02 イタリア データ保護庁がOpenAI社にプライバシー規制を遵守するまでChatGPTがイタリア人ユーザのデータ処理の制限を直ちに命じた...

 

 

AIと倫理、犯罪...

・2023.07.13 欧州委員会 Web4.0と仮想世界に関するEUのイニシアチブ: 次の技術的転換期を先取りする

・2023.07.14 中国 国家サイバースペース管理局他 生成型AIサービス管理暫定弁法 施行は2023.08.15

・2023.07.14 OECD 人工知能における規制のサンドボックス

・2023.07.22 米国 ホワイトハウス 7つの米国AI企業が、バイデン政権とした3つの分野の8つの約束

・2023.06.05 オーストラリア 責任あるAIについての意見募集

・2023.05.19 ドイツ BSI 大規模AI言語モデル - 産業界と公的機関の可能性とリスク (2023.05.10)

・2023.05.15 欧州 CERT-EU 生成的AIの潜在的な影響とリスク

・2023.05.08 米国 ホワイトハウス 「米国人の権利と安全を守る責任あるAIイノベーションを推進する新たな行動」 (2023.05.04)

・2023.05.06 米国 連邦取引委員会 AIと消費者の信頼の工学 (It’s cool to use the computer. Don’t let the computer use you. by Prince in 1999)

・2023.04.29 英国 AIに関する英国政府の発表をいくつか。。。

・2023.04.14 生命未来研究所 AIの研究はちょっと一休みしたらどうか? 2023.04.12

・2023.04.06 OpenAI ブログ AIの安全への取り組み

・2023.04.05 英国 ICO ブログ 生成的人工知能:開発者とユーザーが問うべき8つの質問...

・2023.04.03 欧州 EU外交部 人工知能時代に事実を正しく伝えるために

・2023.03.30 欧州 ユーロポール ChatGPTの犯罪利用-大規模言語モデルに関する注意事項

 

大学...

・2023.04.22 東北大学、東京工業大学の生成的AI利用の留意事項

・2023.04.20 大阪大学 生成AI(Generative AI)の利用について

・2023.04.06 東京大学 生成系AI(ChatGPT, BingAI, Bard, Midjourney, Stable Diffusion等)について

 

| | Comments (0)

2023.08.22

米国 CISA NSA NIST 量子対応:耐量子暗号への移行

こんにちは、丸山満彦です。

CISA NSA NISTが、耐量子暗号への移行についてのファクトシートを公表していますね。。。

来年、2024年には、耐量子暗号の最初のセットがNISTから公表される予定ですよね。。。現在の暗号が今すぐ量子コンピュータによって解読されることはないのだけれども、長期的に守秘する必要がある現在の秘密を今のうちにとって、たとえば8年後に解読し、それを利用するということも考えられますよね。。。ということで、長期的に守秘する必要があるものを優先して、耐量子暗号による暗号化が必要ということになるのだろうと思います。。。

 

CISA

・2023.08.21 CISA, NSA, and NIST Publish Factsheet on Quantum Readiness

CISA, NSA, and NIST Publish Factsheet on Quantum Readiness CISA、NSA、NISTが量子準備に関するファクトシートを発表
Today, the Cybersecurity and Infrastructure Security Agency (CISA), National Security Agency (NSA) and National Institute of Standards and Technology (NIST) released a joint factsheet, Quantum-Readiness: Migration to Post-Quantum Cryptography (PQC), to inform organizations—especially those that support Critical Infrastructure—of the impacts of quantum capabilities, and to encourage the early planning for migration to post-quantum cryptographic standards by developing a Quantum-Readiness Roadmap. 本日、サイバーセキュリティ・インフラセキュリティ庁(CISA)、国家安全保障局(NSA)、国立標準技術研究所(NIST)は、共同ファクトシート「量子対応」を発表した: これは、組織、特に重要インフラをサポートする組織に対して、量子機能の影響を伝えるとともに、量子対応ロードマップを作成することで、ポスト量子暗号標準への移行を早期に計画することを奨励するものである。
CISA, NSA, and NIST urge organizations to review the joint factsheet and to begin preparing now by creating quantum-readiness roadmaps, conducting inventories, applying risk assessments and analysis, and engaging vendors. For more information and resources related to CISA’s PQC work, visit Post-Quantum Cryptography Initiative. CISA、NSA、NISTは、組織が共同ファクトシートを確認し、量子対応ロードマップを作成し、インベントリを実施し、リスクアセスメントと分析を適用し、ベンダーを関与させることによって、今すぐ準備を始めることを強く推奨する。CISAのPQC作業に関する詳細情報およびリソースについては、ポスト量子暗号イニシアティブを参照のこと。

 

・2023.08.21 Quantum-Readiness: Migration to Post-Quantum Cryptography

Quantum-Readiness: Migration to Post-Quantum Cryptography 量子対応: 耐量子暗号への移行
This factsheet was created by CISA, NSA, and NIST to inform organizations, especially those that support critical infrastructure, about the impacts of quantum capabilities. Quantum-Readiness: Migration to Post-Quantum Cryptography (PQC) includes recommendations to establish a Quantum-Readiness Roadmap, steps to prepare a useful cryptographic inventory, considerations for understanding and assessing supply chain, how organizations should engage with their technology vendors to discuss PQC, and responsibilities of technology vendors. このファクトシートは、CISA、NSA、NISTによって作成され、特に重要インフラをサポートする組織に対して、量子能力の影響について情報を提供する。「量子対応: 耐量子暗号(PQC)への移行」には、量子対応ロードマップを策定するための推奨事項、有用な暗号インベントリを準備するための手順、サプライチェーンを理解し評価するための考慮事項、PQCについて議論するために組織が技術ベンダーとどのように関わるべきか、技術ベンダーの責任などが記載されている。

 

・[PDF]

20230822-85217

QUANTUM-READINESS: MIGRATION TO POST-QUANTUM CRYPTOGRAPHY 量子対応:耐量子暗号への移行
BACKGROUND  背景 
The Cybersecurity and Infrastructure Security Agency (CISA), the National Security Agency (NSA), and the National Institute of Standards and Technology (NIST) created this factsheet to inform organizations — especially those that support Critical Infrastructure — about the impacts of quantum capabilities, and to encourage the early planning for migration to postquantum cryptographic standards by developing a Quantum-Readiness Roadmap. NIST is working to publish the first set of post-quantum cryptographic (PQC) standards, to be released in 2024, to protect against future, potentially adversarial, cryptanalytically-relevant quantum computer (CRQC) capabilities. A CRQC would have the potential to break public-key systems (sometimes referred to as asymmetric cryptography) that are used to protect information systems today.  サイバーセキュリティ・インフラセキュリティ庁(CISA)、国家安全保障局(NSA)、国立標準技術研究所(NIST)は、このファクトシートを作成し、特に重要インフラをサポートする機構に量子機能の影響について情報を提供するとともに、量子対応ロードマップを作成することで、耐量子暗号標準への移行計画を早期に策定することを奨励している。NISTは、潜在的に敵対的な、将来の暗号解読に関連する量子コンピュータ(CRQC)能力から保護するために、2024年に公開予定の耐量子暗号(PQC)標準の最初のセットを公開するために取り組んでいる。CRQCは、今日の情報システムを保護するために使用されている公開鍵システム(非対称暗号と呼ばれることもある)を破る可能性がある。
WHY PREPARE NOW?  なぜ今準備するのか?
A successful post-quantum cryptography migration will take time to plan and conduct. CISA, NSA, and NIST urge organizations to begin preparing now by creating quantum-readiness roadmaps, conducting inventories, applying risk assessments and analysis, and engaging vendors. Early planning is necessary as cyber threat actors could be targeting data today that would still require protection in the future (or in other words, has a long secrecy lifetime), using a catch now, break later or harvest now, decrypt later operation. Many of the cryptographic products, protocols, and services used today that rely on public key algorithms (e.g., Rivest-Shamir-Adleman [RSA], Elliptic Curve Diffie-Hellman [ECDH], and Elliptic Curve Digital Signature Algorithm [ECDSA]) will need to be updated, replaced, or significantly altered to employ quantum-resistant PQC algorithms, to protect against this future threat. Organizations are encouraged to proactively prepare for future migration to products implementing the post-quantum cryptographic standards. This includes engaging with vendors around their quantum-readiness roadmap and actively implementing thoughtful, deliberate measures within their organizations to reduce the risks posed by a CRQC.  耐量子暗号の移行を成功させるには、計画と実施に時間がかかる。CISA、NSA、NISTは、量子対応ロードマップの作成、インベントリの実施、リスクアセスメントと分析の適用、ベンダーの関与など、今すぐ準備を始めるよう組織に促している。サイバー脅威行為者は、今捕まえて後で壊す、あるいは今取って後で解読するという作戦で、将来も保護が必要な(言い換えれば、秘密の寿命が長い)データを今狙っている可能性があるため、早期の計画が必要である。現在使用されている公開鍵アルゴリズム(Rivest-Shamir-Adleman [RSA]、Elliptic Curve Diffie-Hellman [ECDH]、Elliptic Curve Digital Signature Algorithm [ECDSA]など)に依存する暗号製品、プロトコル、サービスの多くは、このような将来の脅威から保護するために、耐量子PQCアルゴリズムを採用するように更新、置き換え、または大幅な変更が必要になる。組織は、耐量子暗号標準を実装した製品への将来的な移行に積極的に備えることが推奨される。これには、ベンダーの量子対応ロードマップに関与し、CRQCがもたらすリスクを低減するために、組織内で思慮深く慎重な対策を積極的に実施することが含まれる。
ESTABLISH A QUANTUM-READINESS ROADMAP  量子対応ロードマップを策定する 
While the PQC standards are currently in development, the authoring agencies encourage organizations to create a quantum-readiness roadmap by first establishing a project management team to plan and scope the organization’s migration to PQC. Quantum-readiness project teams should initiate proactive cryptographic discovery activities that identify the organization’s current reliance on quantum-vulnerable cryptography. Systems and assets with quantum vulnerable cryptography include those involved in creating and validating digital signatures, which also incorporates software and firmware updates. Having an inventory of quantum-vulnerable systems and assets enables an organization to begin the quantum risk assessment processes, demonstrating the prioritization of migration. Lead by an organization’s Information Technology (IT) and Operational Technology (OT) procurement experts, the inventory should include engagements with supply chain vendors to identify technologies that need to migrate from quantum-vulnerable cryptography to PQC.   PQC標準は現在策定中であるが、策定機関は、まずPQCへの移行を計画し、そのスコープを作成するプロジェクト管理チームを設置し、量子対応ロードマップを作成することを推奨している。量子対応プロジェクトチームは、組織が現在、量子脆弱暗号に依存していることを特定するための事前予防的な暗号発見活動を開始すべきである。量子脆弱暗号を使用しているシステムや資産には、デジタル署名の作成や検証に関与しているものが含まれ、ソフトウェアやファームウェアのアップデートも含まれる。量子脆弱性のあるシステムや資産のインベントリを作成することで、量子リスクアセスメントのプロセスを開始し、移行の優先順位を示すことができる。組織の情報技術(IT)および運用技術(OT)の調達専門家が中心となり、サプライチェーンベンダーと協力して、量子脆弱暗号からPQCへの移行が必要な技術を特定する。 
Organizations are often unaware of the breadth of application and functional dependencies on public-key cryptography that exist within the products, applications, and services widely deployed within their operational environments, leading to a lack of visibility. The project team should lead the creation of such an inventory. The team should also include the organization’s cybersecurity and privacy risk managers who can prioritize the assets that would be most impacted by a CRQC, and that would expose the organization to greater risk.  各組織は、運用環境に広く導入されている製品、アプリケーション、サービスに存在する公開鍵暗号へのアプリケーションや機能依存の幅広さに気づいていないことが多く、可視性の欠如につながっている。プロジェクトチームは、このようなインベントリの作成を主導すべきである。このチームには、CRQC によって最も影響を受け、組織をより大きなリスクにさらすことになる資産に優先順位をつけることができる、組織のサイバーセキュリティ及びプライバシーのリスクマネジメントも参加させるべきである。
PREPARE A CRYPTOGRAPHIC INVENTORY  暗号インベントリを作成する 
• Having an inventory of quantum-vulnerable technology and associated criticality of the data enables an organization to begin planning for risk assessment processes to prioritize its migration to PQC. This cryptographic inventory will:  • 量子脆弱性技術のインベントリーと関連するデータの重要性を把握することで、組織はPQCへの移行に優先順位をつけるためのリスクアセスメント・プロセスの計画を開始することができる。この暗号インベントリにより、以下のことが可能となる: 
o Help an organization become quantum-ready — a state where a CRQC is not a threat,   o 組織が量子対応可能な状態(CRQCが脅威とならない状態)になることを支援する、  
o  Help an organization prepare a transition to zero trust architecture,   o ゼロトラスト・アーキテクチャへの移行準備に役立つ、  
o  Help identify or correlate outside access to datasets, as those are more exposed and at higher risk, and o データセットへの外部からのアクセスを特定または相関させる。
o  Inform future analysis by identifying what data may be targeted now and decrypted when a CRQC is available.  o CRQCが利用可能になったときに、どのようなデータが現在標的とされ、復号化される可能性があるかを特定することで、将来の分析に役立てる。
• Organizations should create a cryptographic inventory that offers visibility into how the organization leverages cryptography in its IT and OT systems. Cryptographic discovery tools should be used to identify quantumvulnerable algorithms in:  • 組織は暗号インベントリを作成し、組織が IT 及び OT システムでどのように暗号を利用しているか を可視化する必要がある。暗号発見ツールを使用して、量子脆弱性アルゴリズムを特定する: 
o Network protocols, used to identify quantum-vulnerable algorithms in network protocols that allow traceability  o ネットワークプロトコルに含まれる量子脆弱性アルゴリズムを特定し、トレーサビリティを確保する。
o Assets on end user systems and servers, including applications and associated libraries, both within application functionality and for firmware and software updates, and  o アプリケーションや関連ライブラリを含む、エンドユーザーシステムやサーバー上の資産(アプリケーション機能内、ファームウェアやソフトウェアのアップデート)。
o Cryptographic code or dependencies in the continuous integration/continuous delivery development pipeline.  o 継続的インテグレーション/継続的デリバリー開発パイプラインにおける、暗号 コードまたは依存関係。
Note: Discovery tools may not be able to identify embedded cryptography used internally within products, hindering discoverability or documentation. Organizations should ask vendors for lists of embedded cryptography within their products.  注:ディスカバリツールは、製品内部で使用される組込み暗号を識別できない場合があり、発見 可能性や文書化の妨げとなる。組織は、ベンダに製品内の組み込み暗号のリストを求めるべきである。
• Organizations should include in their inventory when and where quantum-vulnerable cryptography is being leveraged to protect the most sensitive and critical datasets and include estimates on length of protection for these datasets. Organizations should:  • 組織は、最も機密性の高い重要なデータセットを防御するために、いつ、どこで、量子脆弱暗号が利用されているかをインベントリに記載し、これらのデータセットの防御期間の見積もりを含めるべきである。組織は以下を行うべきである: 
o Correlate cryptographic inventory with inventories available from existing programs, such as Asset Inventory, Identity, Credential, and Access Management, (ICAM), Identity & Access Management (IdAM), Endpoint Detection and Response (EDR), and Continuous Diagnostics and Mitigation (CDM),  o 暗号インベントリを、資産インベントリ、アイデンティティ・クレデンシャル・アクセス管理(ICAM)、 アイデンティティ&アクセス管理(IdAM)、エンドポイント検知・応答(EDR)、継続的診断・低減 (CDM)などの既存のプログラムから入手可能なインベントリと関連付ける、 
o  Understand which systems and protocols are being used to move or access their most sensitive and critical datasets, and  o 最も機密性の高い重要なデータセットの移動やアクセスに使用されているシステムやプロトコルを把握する。
o Identify quantum-vulnerable cryptography that protects critical processes, especially for Critical Infrastructure.  o 特に重要インフラの重要なプロセスを保護する量子脆弱暗号を特定する。
• Organizations should feed the quantum-vulnerable inventory into their risk assessment process, allowing risk officials to prioritize where to ensure use of PQC as soon as it is available.  • 各組織は、量子脆弱性インベントリをリスクアセスメントプロセスに反映させ、リスク担当者はPQCが利用可能になり次第、どこでPQCを利用するべきか優先順位をつけることができるようにする。
DISCUSS POST-QUANTUM ROADMAPS WITH TECHNOLOGY VENDORS  技術ベンダーとポスト量子ロードマップについて議論する。
CISA and the authoring agencies encourage organizations to start engaging with their technology vendors to learn about vendors’ quantum-readiness roadmaps, including migration. Solidly built roadmaps should describe how vendors plan to migrate to PQC, charting timelines for testing PQC algorithms and integration into products. This applies to both onpremises commercial-off-the-shelf (COTS) and cloud-based products. Ideally, vendors will publish their own PQC roadmap, framing their commitment to implementing post-quantum cryptography. The authoring agencies also urge organizations to proactively plan for necessary changes to existing and future contracts. Considerations should be in place ensuring that new products will be delivered with PQC built-in, and older products will be upgraded with PQC to meet transition timelines.  CISAと作成機関は、各組織がテクノロジーベンダーとの協議を開始し、移行を含む各ベンダーの量子対応ロードマップについて知ることを推奨する。しっかりとしたロードマップには、ベンダーがどのようにPQCへの移行を計画しているのか、PQCアルゴリズムのテストや製品への統合のスケジュールが記載されていなければならない。これは、オンプレミスの商用汎用品(COTS)とクラウドベースの製品の両方に適用される。理想的には、ベンダーが独自のPQCロードマップを公開し、耐量子暗号の実装に対するコミットメントを表明することである。また、作成機関は、組織に対し、既存および将来の契約に必要な変更を積極的に計画するよう促している。新製品はPQCを組み込んで納入され、旧製品は移行スケジュールに合わせてPQCでアップグレードされるような配慮が必要である。
SUPPLY CHAIN QUANTUM-READINESS  サプライチェーンの量子対応 
Organizations should develop an understanding of their reliance/dependencies on quantum-vulnerable cryptography in systems and assets, as well as how the vendors in their supply chain will be migrating to PQC. As noted above, understanding your organization’s dependencies on quantum-vulnerable cryptography involves discovering where quantum-vulnerable algorithms are used in current IT and OT systems and devices (custom-built or COTS) and in the organization’s reliance on cloud services, ensuring that plans will reduce as much quantum risk as feasible and meet the organization’s transition strategy.  組織は、システムや資産における量子脆弱暗号への依存度や、サプライチェーンにおけるベンダーのPQCへの移行状況について理解を深める必要がある。上述したように、量子脆弱暗号への依存度を理解するためには、現在のITおよびOTシステム、機器(カスタムメイドまたはCOTS)、およびクラウドサービスへの依存において、量子脆弱性アルゴリズムが使用されている箇所を特定する必要があり、量子リスクを可能な限り低減し、組織の移行戦略に合致した計画を策定する。
Organizations should also begin to ask their vendors how they are addressing quantum-readiness and supporting migration to PQC. Additional considerations:  組織はまた、ベンダーに対して、量子化への対応やPQCへの移行のサポートについて、どのように取り組んでいるかを尋ね始めるべきである。その他の考慮事項 
• Prioritization should be given to high impact systems, industrial control systems (ICSs), and systems with longterm confidentiality/secrecy needs.  • 影響度の高いシステム、産業用制御システム(ICS)、長期的な機密性・秘匿性が必要なシステムを優先すべきである。
• If an organization discovers quantum-vulnerable cryptography in its custom-built technologies, it should identify the risk to data or functions that rely on those technologies. The organization could either migrate to PQC within those technologies or develop system security upgrades that mitigate the risk of their continued use. Custombuilt products, especially those in older systems, will likely require the most effort to make quantum-resistant.  • 組織がカスタムメイドの技術に量子脆弱暗号を発見した場合、その技術に依存するデータまたは機能に対するリスクを特定する必要がある。その組織は、それらの技術をPQCに移行するか、それらの技術を継続的に使用するリスクを軽減するシステムセキュリティのアップグレードを開発することができる。特注製品、特に旧式のシステムの場合、耐量子化には最も労力を要する可能性が高い。
• For COTS products, engagement with vendors on their PQC roadmap is critical. Migration to PQC should be viewed as an IT/OT modernization effort. An organization’s quantum-readiness roadmap should include details of when and how each COTS vendor plans to deliver updates or upgrades to enable the use of PQC, as well as the expected cost associated with migration to PQC.  • COTS製品については、ベンダーのPQCロードマップに関与することが重要である。PQCへの移行は、IT/OTの近代化の取り組みと見なすべきである。組織の量子対応ロードマップには、各COTSベンダーがPQCの利用を可能にするアップデートやアップグレードをいつ、どのように提供する予定なのか、またPQCへの移行に伴う予想コストなどの詳細を含める必要がある。
• For cloud-hosted products, organizations should engage with their cloud service providers to understand the provider’s quantum-readiness roadmap. Once PQC standards are available, engagements should evolve to focus on how to enable the use of PQC, for example through configuration changes or application updates.  • クラウドホスティング製品の場合、企業はクラウドサービスプロバイダと連携し、プロバイダの量子対応ロードマップを理解する必要がある。PQC標準が利用可能になった後は、設定の変更やアプリケーションのアップデートなどを通じて、PQCの利用を可能にする方法に焦点を当てるよう、エンゲージメントを発展させるべきである。
TECHNOLOGY VENDOR RESPONSIBILITIES  技術ベンダーの責任 
Technology manufacturers and vendors whose products support the use of quantum-vulnerable cryptography should begin planning and testing for integration. CISA, NSA, and NIST encourage vendors to review the NIST-published draft PQC standards, which contain algorithms, with the understanding that final implementation specifics for these algorithms are incomplete. Ensuring that products use post-quantum cryptographic algorithms is emblematic of Secure by Design principles. Vendors should prepare themselves to support PQC as soon as possible after NIST finalizes its standards. 量子脆弱暗号の使用をサポートする技術メーカーやベンダーは、統合に向けた計画とテストを開始すべきである。CISA、NSA、NISTは、ベンダーに対し、アルゴリズムを含むNISTが公表したPQC標準のドラフトを、これらのアルゴリズムの最終的な実装仕様が未完成であることを理解した上でレビューすることを推奨する。製品が耐量子暗号アルゴリズムを確実に使用することは、セキュア・バイ・デ ザインの原則を象徴するものである。ベンダーは、NISTが標準を確定した後、できるだけ早くPQCをサポートする準備をすべきである。

 

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.06.09 NIST SP 800-225 2022年度サイバーセキュリティ・プライバシー年次報告書 (2023.05.30)

・2023.04.26 米国 NIST SP 1800-38A「耐量子暗号への移行」の初期ドラフト

・2023.04.14 オランダ 耐量子暗号への移行等に関するハンドブック

・2023.02.04 NIST SP 800-186 離散対数ベースの暗号に関する推奨事項:楕円曲線ドメインパラメータ

・2023.02.04 NIST FIPS 186-5 デジタル署名標準(DSS)

・2022.12.21 NIST FIPS 197「高度暗号化標準」の更新提案

・2022.10.21 ENISA ポスト量子暗号 - 統合研究

・2022.10.20 IPA 「NSA 商用国家安全保障アルゴリズムスイート2.0」「NSA 商用国家安全保障アルゴリズムスイート2.0及び量子コンピュータに関するFAQ」の和訳 (2022.10.12)

・2022.10.02 NISTIR 8413 NIST耐量子暗号標準化プロセス第3ラウンドの現状報告(参考文献の追加)

・2022.07.07 NISTIR 8413 NIST耐量子暗号標準化プロセス第3ラウンドの現状報告

・2022.05.05 米国 国家量子推進諮問委員会の強化に関する大統領令

・2022.03.05 NATO サイバーセキュリティセンター 量子コンピュータの攻撃に耐えられるセキュアネットワークの実験に成功

・2022.01.24 米国 国家安全保障、国防総省、および情報コミュニティのシステムのサイバーセキュリティ向上に関する覚書

・2021.12.20 ドイツ BSI 量子セキュア暗号の現状に関するガイドライン

・2021.10.06 米国 DHS CISA 量子コンピューティングの進展に伴うセキュリティリスクを軽減するためのガイダンス

・2021.04.29 NIST White Paper ポスト量子暗号への備え:ポスト量子暗号アルゴリズムの採用と使用に関連する課題の調査

・2021.02.10 ENISA 暗号に関する2つの報告書 「ポスト量子暗号:現状と量子緩和」と「暗号資産:デジタル通貨と分散型台帳技術の概要」

 

 

 

| | Comments (0)

中国 TC260 国家標準「機微な個人情報の処理に関するセキュリティ要件」公開草案 (2023.08.09)

こんにちは、丸山満彦です。

中国の国家情報セキュリティ標準化技術委員会(全国信息安全标准化技术委员会, National Information Security Standardization Technical Committee, いわゆるTC260)が、「機微な個人情報の処理に関するセキュリティ要件」についての国家標準案を公表し、意見募集をしていました...

機微な個人情報をさらに次のように分類していますね。。。

类别 種別 典型例
生物识别信息 生体情報 個人の遺伝子、指紋、声紋、掌紋、眼紋、耳紋、虹彩、顔認識機能、歩行など。
宗教信仰信息 宗教に関する情報 信仰宗教、宗教団体の会員、宗教団体での地位、宗教活動への参加、特別な宗教的慣習など。
特定身份信息 特定身元個人情報 犯罪者識別情報、障害者識別情報、職務固有情報(軍隊、警察など)、識別番号など。
医疗健康信息 医療・健康情報 病気、病院の記録、医療指示、検査報告書、検査報告書、手術・麻酔記録、看護記録、投薬記録、出生情報、家族病歴、感染症歴など。
金融账户信息 金融口座情報 銀行、証券、ファンド、保険、プロビデントファンドの口座番号およびパスワード、プロビデントファンドの共同口座番号、支払口座番号、銀行カードの磁気チャネルデータ(またはチップに相当する情報)、口座情報に基づいて生成された支払マーキング情報など。
行踪轨迹信息 居場所経路情報 リアルタイムの正確な位置情報、GPS車両追跡情報、航空券情報、特定宿泊施設情報など。
不满十四周岁未成年人个人信息 14歳未満の未成年者の個人情報 14歳未満の未成年者の個人情報
身份鉴别信息 識別情報 ログインパスワード、支払いパスワード、口座照会パスワード、取引パスワード、動的パスワード、パスワード保護回答など。
其他敏感个人信息 その他の機微な個人情報 ウェブ閲覧情報、婚姻歴、性的指向、通信内容、信用情報、未公表の犯罪歴など。

 

実務において、参考になる点も多くありそうですね。。。

 

● 全国信息安全标准化技术委员会

・2023.08.09 关于国家标准《信息安全技术 敏感个人信息处理安全要求》征求意见稿征求意见的通知

 

信息安全技术 敏感个人信息处理安全要求-标准文本.pdf

20230822-64604

・[DOCX] 仮訳

 

信息安全技术 敏感个人信息处理安全要求-编制说明.docx

 

 

| | Comments (0)

2023.08.21

日米韓 首脳会談 キャンプ・デービッド原則

こんにちは、丸山満彦です。

8月17日−8月19日で日米韓の首脳会談が米国キャンプ・デービッドという大統領の保養地で行われましたね。。。

アジアの安全保障を考える上では、米国からみれば、日韓が仲良くしておかないといけないですからね。。。

1_20230821184501

敵対的な国から見れば、日韓がケンカしてくれていると助かる...

さて、

外務省のウェブページに

キャンプ・デービッド原則」[PDF] 原文  [PDF] 仮訳

20230821-184859

・「日米韓首脳共同声明」[PDF] 原文 /[PDF] 仮訳

20230821-185014

 

・「日本、米国及び韓国間の協議するとのコミットメント」[PDF] 原文 /[PDF] 仮訳

20230821-185057

 

を公表していますね。。。

首脳レベルだけでなく、外務大臣、防衛大臣、安全保障局長の3カ国会議を毎年1回は開催し、さらに財務大臣会議、経済産業大臣の会議も開催する予定だそうです。

そして、偽情報についての対策についても協力していくと...

もちろん、グローバルサプライチェーンも...

宇宙も、AIも...

女性の活躍も...

クリーンエネルギーも...

 

外務省

岸田総理大臣の日米韓首脳会合出席(令和5年8月17日~19日)

日米韓首脳会合及びワーキング・ランチ

日韓首脳会談

日米首脳会談

 

● U.S. White House

・2023.08.18 Camp David Principles

・2023.08.18 The Spirit of Camp David: Joint Statement of Japan, the Republic of Korea, and the United States

・2023.08.18 FACT SHEET: The Trilateral Leaders’ Summit at Camp David

・2023.08.18 Readout of President Biden’s Meeting with Prime Minister Kishida of Japan

・2023.08.18 Remarks by President Biden, President Yoon Suk Yeol of the Republic of Korea, and Prime Minister Kishida Fumio of Japan in Joint Press Conference | Camp David, MD

Remarks by President Biden, President Yoon Suk Yeol of the Republic of Korea, and Prime Minister Kishida Fumio of Japan in Joint Press Conference | Camp David, MD バイデン大統領、韓国の尹錫烈大統領、日本の岸田文雄首相の共同記者会見での発言|キャンプ・デービッド、メリーランド州
Commanding Officers Loop 司令官ループ
Camp David, Maryland メリーランド州キャンプ・デービッド
3:14 P.M. EDT 3:14 P.M. 東部夏時間
PRESIDENT BIDEN:  Good afternoon, everyone, and welcome to Camp David. バイデン大統領:皆さん、こんにちは。
If I seem like I’m happy, it’s because I am.  (Laughter.)  This has been a great, great meeting. 私が幸せそうに見えるなら、それはそうだからだ(笑)。  実に素晴らしい会談だった。
Mr. President, Mr. Prime Minister, I — we meet in this historic place to make a historic moment.  And I believe that to be true.  The — this is a new era in partnership between Japan, the Republic of Korea, and the United States — our new Camp David trilat.  (Laughs.)  That’s what we have here. 大統領、首相、我々はこの歴史的な場所で、歴史的な瞬間を作るために会っている。  そして、私はそれが真実だと信じている。  これは、日本、大韓民国、米国のパートナーシップにおける新しい時代であり、我々の新しいキャンプ・デービッド・トリラットである (笑)。それがここにある。
And — but before we dive into the progress we’ve made today — if you excuse, we used to say in the Senate, “a point of personal privilege” — I want to start by expressing my appreciation for the contribution that your countries have made toward the relief following the devastating wildfires in Hawaii.  I want to thank you both on behalf of the American people. そして、しかし、今日の進展に入る前に、失礼ながら、我々は上院で「個人的な特権」とよく言ったものだが、まず、ハワイの壊滅的な山火事の救援のためにあなた方の国がしてくれた貢献に対して感謝の意を表したいと思う。  アメリカ国民を代表して、お二人にお礼を申し上げたい。
I also want to note that my team is closely monitoring Hurricane Hilary, which is — has the potential to bring significant rain and flooding to southern California.  FEMA has pre-positioned personnel and supplies in the region, and they’re ready to respond as needed.  I urge everyone — everyone in the path of this storm to take precautions and listen to the guidance from state and local officials.  ハリケーン・ヒラリーは、カリフォルニア州南部に大雨と洪水をもたらす可能性がある。  FEMAはこの地域に人員と物資をあらかじめ配置しており、必要に応じて対応する準備ができている。  私は、この暴風雨の進路上にいるすべての人に、用心し、州や地方当局の指導に耳を傾けることを強く勧める。 
And you’ve heard me say it before: The Republic of Korea and Japan are capable and indispensable allies.  また、以前にも申し上げたことがある: 大韓民国と日本は有能で不可欠な同盟国である。 
Now, to the purpose of why we’re here. さて、我々がなぜここにいるのかという目的だ。
America’s commitment to both countries is ironclad, and my personal commitment to bringing these three nations together was real from the very beginning.   アメリカの両国に対するコミットメントは揺るぎないものであり、この3カ国をひとつにまとめるという私の個人的なコミットメントは、当初から本物であった。  
Since last summer, we’ve met on the margins of the NATO Summit in Spain, the ASEAN Summit in Cambodia, and the G7 Summit in Japan.  And today, we’ve made history with the first-ever standalone summit between the leaders of our three countries, as well as our commitment to meet together on the leader level annually and to have all of our relative Cabinet-member people meet on a regular basis for — from this point on; not just this year, not next year — forever.  That’s the i- — that’s the intention. 昨年の夏以来、我々はスペインでのNATO首脳会議、カンボジアでのASEAN首脳会議、そして日本でのG7首脳会議の縁の下で会談してきた。  そして今日、われわれは3カ国の首脳が初めて単独で首脳会談を行ったという歴史を作った。また、毎年首脳レベルで会談を行い、今年だけでなく来年も、いや永遠に、相対する閣僚全員が定期的に会談を行うと約束した。  それが私の意図だ。
And so, I want to recognize the important work that both of you have done and the political courage — and I mean this sincerely — the political courage that you’ve both demonstrated to resolve difficult issues that would’ve stood in the way for a long time of a close relationship between Japan and Korea and with the United States.  そして、日韓、米国との緊密な関係を長い間阻んできたであろう困難な問題を解決するために、お二人が行ってきた重要な仕事、そして政治的勇気を評価したい。 心からそう思っている。 
Your leadership, with the full support of the United States, has brought us here, because each of you understands that our world stands at an inflection point — a point where we’re called to lead in new ways: to work together, to stand together.  And today, I’m proud to say our nations are answering that call.   米国の全面的な支援のもと、あなた方のリーダーシップが我々をここに導いてくれた。なぜなら、あなた方一人ひとりが、我々の世界が変曲点に立っていることを理解しているからだ。  そして今日、我々の国がその呼びかけに応えていることを誇りに思う。  
First, we’re elevating our trilateral defense collaboration to deliver in the Indo-Pacific region.  That includes launching annual multidomain military exercises, bringing our trilateral defense cooperation to an unprecedented levels.  第一に、我々はインド太平洋地域で成果を上げるため、三国間の防衛協力を強化している。  これには、年次多地域合同軍事演習の開始も含まれ、日中韓の防衛協力は前例のないレベルに達している。 
We’re doubling down on information sharing, including on the DPRK’s missile launches and cyber activities, strengthening our ballistic missile defense cooperation.  我々は、朝鮮民主主義人民共和国のミサイル発射やサイバー活動を含む情報共有を倍増させ、弾道ミサイル防衛協力を強化している。 
And, critically — critically, we’ve all committed to swiftly consult with each other in response to threats to any one of our countries from whatever source it occurs.  That means we’ll have a hotline to share information and coordinate our responses whenever there is a crisis in the region or affecting any one of our countries. そして決定的に重要なのは、我々の国のいずれかに脅威が発生した場合、その発生源が何であれ、迅速に協議することを約束したことだ。  つまり、この地域で危機が発生したり、いずれかの国に影響が及んだりした場合には、いつでも情報を共有し、対応を調整するためのホットラインを設けるということだ。
And today, we’ve reaffirmed — all reaffirmed our shared commitment to maintaining peace and stability in the Taiwan Strait and addressing ec- — and addressing economic coercion.   そして今日、我々は、台湾海峡の平和と安定を維持し、経済強要に対処するという共通のコミットメントを再確認した。  
We’re going to continue to counter threats from the DPRK, including cryptocurrency money laundering to the tune of billions of dollars; potential arms transfer in support of Russia’s brutal war against Ukraine. 我々は、数十億ドル規模の暗号通貨マネーロンダリングや、ロシアのウクライナに対する残虐な戦争を支援するための潜在的な武器移転など、朝鮮民主主義人民共和国からの脅威に対抗し続けるつもりだ。
And together — together, we’re going to stand up for international law, freedom of navigation, and the peaceful resolution of disputes in the South China Sea.   そして共に、国際法、航行の自由、南シナ海における紛争の平和的解決のために立ち上がる。  
Second, we’re expanding our economic cooperation to build an Ino — an Indo-Pacific that is peaceful and prosperous.  第2に、我々は、平和で豊かなインド太平洋を構築するために、経済協力を拡大する。 
Today, we’ve committed to launch a new — what we call a “Supply Chain Early Warning System” — excuse me, a Supply Chain Early Warning System Pilot and — which will alert our nations to disruptions of certain products and materials, like critical minerals or batteries, so we can get ahead of the issues as we — they appear with the experience — that we’ve experienced in — during the pandemic.  本日、我々はサプライチェーン早期警戒システムの試験運用を開始することを約束した。-これは、重要な鉱物やバッテリーのような特定のや資材の途絶を各国に警告するものである。そのため、パンデミック(世界的大流行)の際に経験したように、このような問題が顕在化すれば、我々はその問題に先手を打つことができる。
(Referring to a piece of audio equipment.)  Excuse me, this is falling off.  There you go. (オーディオ機器を指して)すみません、これ落ちてるよ。はいどうぞ。
And — and building on the G7-led Partnership for Global Infrastructure and Investment, we’re deepening cooperation between our development finance institutions to mobilize more financing for quality infrastructure and secure communications technology to help low-income and middle-income countries throughout the region take on the challenges that matter most to their people.   また、G7主導の「グローバル・インフラと投資のためのパートナーシップ」に基づき、我々は開発金融機構間の協力を深め、質の高いインフラや安全なコミュニケーション技術への資金をより多く動員し、地域全体の低所得国や中所得国が自国民にとって最も重要な課題に取り組めるよう支援している。  
And finally, our partnership is about building a better future for our people.  That’s why we’re deepening our cooperation on global health and launching a trilateral expert exchange in support of the U.S. Cancer Moonshot initiative.  That’s going to, I believe, change cancer as we know it. そして最後に、我々のパートナーシップは、人々のより良い未来を築くためのものである。  だからこそ、我々はグローバル・ヘルスに関する協力を深め、米国の「キャンサー・ムーンショット」イニシアチブを支援するために3カ国間の専門家交流を開始するのだ。  それは、我々が知っているがんを変えることになると私は信じている。
It matters a great deal to me and to families all across our three countries.  In the United States, we are revolutionizing the way we do cancer research.  And together, the three of us, I am confident we can harness our shared spirit of innovation and end cancer as we know it.  それは私にとって、そして我々3カ国の家族にとって非常に重要なことだ。  米国では、がん研究の方法に革命を起こそうとしている。  そして我々3人が力を合わせれば、我々が共有する革新の精神を活用し、我々が知っているがんを終わらせることができると確信している。 
We’re also launching a new collaboration between our National Laboratories and advance our science knowledge and technological capabilities together.  As we do, we’ll work in lockstep to set the standards for safe, secure, and trustworthy emerging technology, including artificial intelligence, which a lot of work has to be done on.   我々はまた、国立研究所間の新たな協力関係を立ち上げ、科学的知識と技術的能力を共に向上させる。  そうすることで、我々は、人工知能を含む、安全、安心、信頼できる新技術の標準を設定するために、足並みを揃えて取り組んでいく。  
Let me close with this.  Mr. President, Mr. Prime Minister, this is the first summit I’ve hosted at Camp David as President.  I can think of no more fitting location to begin the next era — our next era of cooperation — a place that has long symbolized the power of new beginnings and new possibilities.  最後に言わせてほしい。  大統領、首相、これは私が大統領として初めてキャンプ・デービッドで主催したサミットだ。  次の時代、つまり我々の次の協力の時代を始めるのに、これほどふさわしい場所はない。この場所は、長い間、新しい始まりと新しい可能性の力を象徴してきた。 
In the months and years ahead, we’re going to continue to seize those possibilities together — unwavering in our unity and unmatched in our resolve.  This is not about a day, a week, or month.  This is about decades and decades of relationships that we’re building. これからの数カ月、そして数年間、我々は結束を揺るぎないものにし、比類なき決意をもって、ともにその可能性をつかみ続けていく。  これは1日、1週間、1ヶ月の話ではない。  何十年、何十年という関係を築いていくためのものなのだ。
Mr. Prime Minister and Mr. President, I want to thank you for your leader, and I — leadership — and I say it again — for your courage that brought us together.  And I look forward to working with you both of you ahead. 首相、そして大統領、私はあなた方のリーダー、そしてリーダーシップに感謝したい。  そして、これからお二人と一緒に仕事をすることを楽しみにしている。
Now I yield to — who am I yielding to?   さて、私は誰にまかせたらよいですか?  
MODERATOR:  Distinguished guests — 司会者:賓客の皆さん
PRESIDENT BIDEN:  There you go. バイデン大統領:どうぞ。
MODERATOR:  — the President of the Republic of Korea. 司会者:大韓民国の大統領です。
PRESIDENT BIDEN:  We needed the voice of God to tell us that.  (Laughter.) バイデン大統領:神の声が必要だった。  (笑)。
PRESIDENT YOON:  (As interpreted.)  First of all, I’d like to thank President Biden for his warm hospitality.  It is a great pleasure to visit Camp David along with Prime Minister Kishida.  Camp David is a site that bears historical significance where important diplomatic decisions were made at critical junctures of modern history.  ユン大統領:まず最初に、バイデン大統領の温かいもてなしに感謝したい。  岸田首相とともにキャンプ・デービッドを訪問できたことを大変うれしく思う。  キャンプ・デービッドは、近代史の重要な局面で重要な外交的決定がなされた歴史的意義のある場所だ。 
In order to respond to today’s unprecedented polycrisis, the ties between our three countries, which are the most advanced liberal democracies in the region and major economies leading advanced technology and scientific innovation, are more important than ever.  今日の未曾有の多発危機に対応するためには、この地域で最も進んだ自由民主主義国家であり、先端技術と科学革新をリードする主要経済国である我々3カ国の結びつきは、これまで以上に重要である。 
From this moment on, Camp David will be remembered as a historic place where the Republic of Korea, the United States, and Japan proclaimed that we will bolster the rules-based international order and play key roles to enhance regional security and prosperity based on our shared values of freedom, human rights, and rule of law.  この瞬間から、キャンプ・デービッドは、韓国、米国、日本がルールに基づく国際秩序を強化し、自由、人権、法の支配という共通の価値観に基づき、地域の安全と繁栄を高めるために重要な役割を果たすことを宣言した歴史的な場所として記憶されるだろう。 
Today, we, the three leaders, held the very first standalone trilateral summit marking a new chapter in our trilateral cooperation.  Today, we have agreed on the Camp David principles that will function as the enduring guidelines for our trilateral cooperation.  In addition, we have developed the Spirit of Camp David, which is a document embodying the vision of our trilateral cooperation and ways to translate our will to cooperate into action.  本日、我々3首脳は、日中韓協力の新たな章を示す、初めての単独での日中韓首脳会談を開催した。  本日、我々は日中韓協力の永続的な指針として機能するキャンプ・デービッド原則に合意した。  さらに、我々は「キャンプ・デービッドの精神」を策定した。これは、日中韓協力のビジョンと、協力の意志を行動に移す方法を具体化した文書である。 
First of all, to facilitate the stable development of our trilateral cooperation, we have built the institutional basis for the trilateral cooperation at multiple levels and sectors.  In addition to making our trilateral summit regular, we have agreed to have our governments’ personnel at all levels — including foreign ministers, defense ministers, and national security advisors — meet every year to closely coordinate our trilateral cooperation.  第一に、日中韓協力の安定的な発展を促進するため、我々は様々なレベルや分野において日中韓協力のための機構基盤を構築してきた。  日中韓首脳会談を定期的に開催することに加え、日中韓の協力を緊密に調整するため、外相、国防相、国家安全保障担当顧問など、あらゆるレベルの政府関係者が毎年会合を開くことで合意した。 
In particular, we, the three leaders, have agreed to establish a communication channel so we can swiftly coordinate and respond together in case an urgent issue occurs in the region.  特に、我々3首脳は、地域で緊急の問題が発生した場合に、迅速に連携し、共に対応できるよう、コミュニケーション・チャンネルを確立することに合意した。 
Furthermore, to bolster our trilateral strategic cooperation in the Indo-Pacific, our three countries will establish the ROK, U.S., Japan Indo-Pacific dialogue, which will discover new areas of cooperation.  Also, along with the economic security dialogue led by our three countries’ NSCs, we have agreed to found a consultative body for development policy coordination and also build cooperation frameworks in various sectors including global health and women empowerment.  さらに、インド太平洋における日中韓の戦略的協力を強化するため、日中韓は新たな協力分野を発見する韓米日インド太平洋対話を設立する。  また、我々は、日米韓のNSCが主導する経済安全保障対話とともに、開発政策調整のための協議機関を設立し、グローバルヘルスや女性のエンパワーメントを含む様々な分野での協力枠組みを構築することに合意した。 
We have also decided to hold our ROK, U.S., and Japan Global Leadership Youth Summit to strengthen ties between our future generations.  また、我々は、将来の世代間の絆を強化するため、韓米日グローバル・リーダーシップ・ユース・サミットを開催することを決定した。 
Second, we have agreed to step up our security cooperation to ensure our people’s safety and peace in the region based on the now institutionalized Cooperation Framework.  第二に、我々は、現在制度化されている協力枠組みに基づき、国民の安全と地域の平和を確保するため、安全保障協力を強化することに合意した。 
First of all, to this end, we have consulted on practical ways to cooperate, aimed at improving our joint response capabilities to North Korea’s nuclear and missile threats, which have become sophisticated more than ever.  The real-time sharing of DPRK missile warning data, which was agreed upon during the Phnom Penh summit last November, will be activated within this year.  And this will make a significant progress in strengthening our three nations’ capabilities to detect and track North Korea’s missiles.  まず、この目的のために、我々は、これまで以上に巧妙化した北朝鮮の核・ミサイルの脅威に対する共同対応能力の改善を目的とした、現実的な協力方法について協議した。  昨年11月のプノンペン・サミットで合意された、北朝鮮のミサイル警報データのリアルタイム共有は、今年中に開始される予定である。  そしてこれは、北朝鮮のミサイルを検知・追跡する3カ国の能力を強化する上で、大きな進展をもたらすだろう。 
In countering the DPRK’s nuclear and missile threats, we concurred the trilateral defense exercises were crucial.  As such, annual plans will be established for the ROK, U.S., Japan drills we committed to.  北朝鮮の核とミサイルの脅威に対抗する上で、3カ国による防衛演習は極めて重要であるとの認識で一致した。  そのため、我々が約束した韓米日防衛演習の年次計画が策定される予定である。 
In the meantime, as North Korea funds its nuclear and missile programs by exploiting labor and human rights, efforts to monitor and stem such activities will be redoubled.  To deter the DPRK’s illicit funding activities, a new trilateral working group on DPRK cyber activities will be established.  一方、北朝鮮は労働と人権を搾取することで核・ミサイル開発資金を調達しているため、こうした活動を監視し阻止するための努力はさらに強化されるだろう。  北朝鮮の不正な資金活動を抑止するため、北朝鮮のサイバー活動に関する日中韓の新たな作業部会が設置される。 
Moreover, Korea, the U.S., and Japan, in their pursuit of Indo-Pacific strategies, oppose any unilateral attempts to change the status quo by force. さらに、韓国、米国、日本は、インド太平洋戦略の追求において、力による現状変更のいかなる一方的な試みにも反対する。
Respect for sovereignty, territorial integrity, the peaceful settlement of disputes, among others, undergird a rules-based international order that we resolve to safeguard by intensifying our collaboration.  主権、領土保全、紛争の平和的解決などを尊重することは、ルールに基づく国際秩序を支えるものであり、われわれは協力を強化することによってこれを守ることを決意する。 
As part of such endeavors, our three nations agreed to support ASEAN and Pacific Island countries with their maritime security capacity-building efforts.  このような努力の一環として、日中韓3カ国は、ASEANと太平洋島嶼国の海洋安全保障能力構築の努力を支援することに合意した。 
Furthermore, to help Ukrainians regain freedom and pursue reconstruction, we are determined to increase our three-way coordination.  さらに、ウクライナの人々が自由を取り戻し、復興を追求するのを支援するため、我々は、三者間の連携を強化する決意である。 
Next, we, the three leaders, discussed how to work together to promote shared prosperity and future growth.  First of all, in the field of economic security directly linked to our national economies of the three countries, we will work to expand our strategic partnership.  次に、我々3首脳は、共通の繁栄と将来の成長を促進するために、どのように協力していくかを話し合った。  まず、3カ国の国民経済に直結する経済安全保障の分野において、我々は戦略的パートナーシップの拡大に努める。 
To ensure global supply chain resilience and energy security, we pledged to bolster our trilateral cooperation.  To manage global supply chain risks, an early warning system will be established together.  グローバルなサプライチェーンのレジリエンスとエネルギー安全保障を確保するため、我々は日中韓の協力を強化することを約束した。  グローバルなサプライチェーンのリスクをマネジメントするため、早期警戒システムを共に構築する。 
In addition, we decided to broaden our collaboration in the field of cutting-edge technologies to secure future growth engines.  Specifically, in AI, quantum, bio, and next-generation telecommunications and space sectors, cooperation among our three countries will deliver powerful synergies.  さらに、我々は、将来の成長エンジンを確保するため、最先端技術分野での協力を拡大することを決定した。  具体的には、AI、量子、バイオ、次世代通信・宇宙分野において、日米韓3カ国の協力は強力な相乗効果をもたらすだろう。 
Korea, the U.S., and Japan committed to have their national laboratories expand joint R&D and personnel exchanges, providing a cornerstone for the three countries’ leadership in science and technology innovation.  韓国、米国、日本は、それぞれの国立研究所が共同研究開発と人的交流を拡大することを約束し、科学技術革新における3カ国のリーダーシップの礎を提供する。 
Moreover, for the sake of shared prosperity in the Asia Pacific, in line with the needs of ASEAN and Pacific Island countries, effective support measures will be sought and implemented collectively.  さらに、アジア太平洋の共栄のため、ASEANおよび太平洋島嶼国のニーズに沿って、効果的な支援策を模索し、集団的に実施する。 
Today, we, the three leaders, affirmed our commitment to the trilateral partnership towards a new era and possibilities thereof. 本日、我々3首脳は、新たな時代とその可能性に向けた日中韓パートナーシップへのコミットメントを確認した。
Grounded in the core values of freedom, human rights, and the rule of law, a strong alliance of values among Korea, the U.S., and Japan will help build a world that’s more peaceful and prosperous by serving as a sturdy foundation.  自由、人権、法の支配という核心的価値観に根ざした韓米日の強固な価値観の同盟は、より平和で豊かな世界を築くための強固な土台となるだろう。 
Mr. President, I thank you once again for your hospitality.  Next time, I hope that we will be reunited in the Republic of Korea.  大統領、あなたの歓待に改めて感謝する。  次回は、大韓民国で再会できることを願っている。 
Thank you.  (Applause.) ありがとう。  (拍手)。
MODERATOR:  Distinguished guests, the Prime Minister of Japan. 司会者:来賓の方々、日本の総理大臣。
PRESIDENT BIDEN:  President. バイデン大統領:大統領。
PRIME MINISTER KISHIDA:  (As interpreted.)  Thank you.  First of all, in Maui, Hawaii, wildfires caused devastating damage.  I express my sympathy, and I really pray for the peace of those who have lost their lives.  岸田首相:(通訳)ありがとう。  まず最初に、ハワイのマウイ島で山火事が発生し、壊滅的な被害をもたらした。  お見舞い申し上げるとともに、亡くなられた方々のご冥福を心よりお祈り申し上げる。 
In order to offer support, a total of $2 million worth of support by our country has been decided.  And the full — the relief for the affected people and for the earliest recovery of the affected areas, Japan will proactively do our contribution.  支援のため、我が国から総額200万ドル相当の支援が決定した。  そして、被災された方々の救援と被災地の一日も早い復興のために、日本も積極的に貢献していく。 
Today, I have visited Camp David, and the three of us have spent a truly meaningful time.  I expressed my heartfelt gratitude to Joe for the kind invitation.  今日、私はキャンプ・デービッドを訪れ、3人で実に有意義な時間を過ごした。  お招きいただいたジョーには心から感謝の意を表した。 
Together with Joe and President Yoon, this has been a precious opportunity for myself to further deepen the relationship of trust and confidence.  For the first time ever, instead of in the sidelines of multilateral conferences, we have held the trilateral summit on a standalone basis.  ジョーとユン大統領とともに、信頼関係をさらに深める貴重な機会となった。  今回初めて、多国間会議の傍流ではなく、日中韓首脳会談を単独で開催した。 
Here at Camp David, numerous historical meetings have taken place.  And it is a huge honor to have printed a fresh page in its history with this meeting.  ここキャンプ・デービッドでは、数々の歴史的な会談が行われてきた。  そして、今回の会議でその歴史に新たな1ページを刻むことができ、大変光栄に思う。 
The foundation of the trilateral collaboration are the solid, firm, bilateral relationships.  The three of us have understood this more than anyone else and have executed our understanding in practice.  日中韓の協力関係の基盤は、堅固で強固な二国間関係である。  我々3人はこのことを誰よりも理解し、実践してきた。 
In January of this year, I visited the United States, and later, President Yoon visited Japan in March and then to the U.S. in April.  And in May, I myself traveled to South Korea, and we have bolstered our mutual relationship. 今年1月、私は米国を訪問し、その後、ユン大統領が3月に日本を訪問し、4月に米国を訪問した。  そして5月には私自身も韓国を訪れ、相互関係を強化してきた。
At the moment, the free and open international order, based on the rule of law, is in crisis.  Due to Russia’s aggression of Ukraine, the international order is shaken from its foundation.  The unilateral attempt to change the status quo by force in the East and South China Seas are continuing.  And the nuclear and missile threat of North Korea is only becoming ever larger. 現在、法の支配に基づく自由で開かれた国際秩序は危機に瀕している。  ロシアのウクライナ侵略により、国際秩序はその土台から揺らいでいる。  東シナ海や南シナ海では、力によって現状を変えようとする一方的な試みが続いている。  北朝鮮の核とミサイルの脅威は、ますます大きくなるばかりだ。
Under such circumstances, to make our trilateral strategic collaboration blossom and bloom is only logical and almost inevitable and is required in this era.  このような状況下において、日中韓の戦略的協力を花開かせることは、理にかなったことであり、ほとんど必然的なことであり、この時代に求められていることである。 
The three of us here today declare our determination to pioneer the new era of Japan, U.S., ROK partnership.  本日ここにいる3人は、日米韓パートナーシップの新時代を切り開く決意を表明する。 
How we will advance the cooperation of our three countries going forward, I will discuss from three perspectives. 今後、日米韓の協力をどのように進めていくのか、3つの観点からお話ししたい。
Firstly, the coordination between the Japan-U.S. and the U.S.-ROK alliances will be reinforced, and trilateral security cooperation will be brought to a new height.  第一に、日米同盟と米韓同盟の連携を強化し、日米韓の安全保障協力を新たな高みに引き上げる。 
At this meeting, we agreed to hold the Japan-U.S.-ROK multidomain joint exercises on an annual basis.  Furthermore, regarding the real-time sharing of North Korea’s missile warning information that we agreed last November, the initial steps have been implemented and an important first step has been advanced towards the launch of the mechanism by the end of the year.  今回の会談では、日米韓マルチドメイン共同演習を毎年実施することで合意した。  さらに、昨年11月に合意した北朝鮮のミサイル警戒情報のリアルタイム共有については、初期段階が実施され、年内のメカニズム開始に向けて重要な第一歩を踏み出した。 
We also agreed on the establishment of the working group on North Korea cyber activities, considered to be the source of finance for nuclear and missile development and on other matters.  また、核・ミサイル開発の資金源とされる北朝鮮のサイバー活動に関する作業部会の設置などについても合意した。 
The second point is the promotion of cooperation between the United States, Japan, and South Korea and the expansion of their areas of cooperation regarding the response to North Korea.  2点目は、米国、日本、韓国の北朝鮮対応に関する協力の推進と協力分野の拡大である。 
In addition to strengthening regional deterrence and response capabilities, the three countries agreed to strengthen cooperation for the full implementation of sanctions and to work closely together in the U.N. Security Council, where all three countries will be members in 2024.  地域の抑止力と対応能力の強化に加え、制裁の完全実施に向けた協力の強化や、2024年に3カ国すべてがメンバーとなる国連安全保障理事会での緊密な連携に合意した。 
At the same time, we shared our recognition that the way is open for dialogue with North Korea.  I then stated that the abduction issue is a humanitarian issue with time constraints and once again received the strong support of Joe and President Yoon for the immediate resolution of this matter.  同時に、北朝鮮との対話の道は開かれているとの認識を共有した。  そして私は、拉致問題は時間的制約のある人道的な問題であると述べ、この問題の即時解決に向けてジョーとユン大統領から強い支持を再び得た。 
We also agreed to work together through the Indo-Pacific dialogue and the development cooperation to realize a free and open Indo-Pacific and, in particular, to coordinate capacity-building support in the domain of maritime security, particularly with regard to ASEAN and Pacific Island countries.  また、自由で開かれたインド太平洋を実現するため、インド太平洋対話と開発協力を通じて協力し、特にASEANと太平洋島嶼国に関して、海洋安全保障の分野における能力構築支援を調整することに合意した。 
Furthermore, we agreed to promote cooperation in the field of economic security, including critical and emerging technologies and supply chain resilience.  さらに、我々は、重要技術や新興技術、サプライチェーンのレジリエンスを含む経済安全保障分野での協力を推進することに合意した。 
Third, developing a framework for trilateral cooperation.  This will create a foundation for continuous and stable enhancement of coordination among the three countries.  第三に、三国間協力の枠組みを構築することである。  これにより、3カ国間の連携を継続的かつ安定的に強化するための基盤を構築する。 
After confirming that the three countries will promote multi-layered cooperation at all levels, it was agreed that the trilateral summit meeting will be held at least once a year.  日中韓があらゆるレベルで多層的な協力を推進することを確認した後、日中韓首脳会談を少なくとも年1回開催することで合意した。 
And likewise, the ministers of foreign affairs, defense, and national security advisors will each also meet at least once a year.  And the financial minister, as well as the industry and commerce ministers, will be meeting.  同様に、外務大臣、国防大臣、国家安全保障アドバイザーもそれぞれ少なくとも年に1回は会合を開く。  そして、財務大臣、産業大臣、通商大臣も会合する。 
We will consider the Camp David principles issued today at a historic turning point for the international community to be a new compass for trilateral cooperation, and we will vigorously implement the concrete cooperation outlined in the Camp David statement of Japan, ROK, and U.S. on our partnership.  我々は、国際社会にとって歴史的な転換点である本日発表されたキャンプ・デービッド原則を、日中韓協力の新たな羅針盤と考え、日韓米のパートナーシップに関するキャンプ・デービッド声明に示された具体的な協力を強力に実行していく。 
Together with Joe and President Yoon, we will continue to work to further strengthen the strategic partnership between the three countries in order to safeguard a free and open international order based on the rule of law.  法の支配に基づく自由で開かれた国際秩序を守るため、ジョー大統領、ユン大統領とともに、3国間の戦略的パートナーシップのさらなる強化に努めていく。 
Thank you.  (Applause.) ありがとう。  (拍手)。
MS. JEAN-PIERRE:  Thank you.  Now we have time for questions.  President Biden, please select your reporter first. ジーン・ピエール女史:ありがとう。ジャン=ピエール:ありがとう。  では、質問の時間を設けよう。  バイデン大統領、まずレポーターを選んでいただきたい。
PRESIDENT BIDEN:  Aamer, with the AP. バイデン大統領:AP通信のエイマーだ。
Q Thank you, Mr. President.  I have a question for each of the leaders.  They will be brief and — but related.  Q ありがとう、大統領。  各首脳に質問がある。  手短に、しかし関連性のある質問をする。 
President Biden, first for you: How confident should Asia be about a robust American commitment to a nuclear umbrella when the Compa- — Commander-in-Chief who preceded you and is looking to succeed you spoke openly about reducing the U.S. footprint in the Korean Peninsula? まずバイデン大統領から: あなたの前任者であり、あなたの後を継ごうとしている最高司令官が、朝鮮半島における米国の足跡を減らすことを公然と口にしたとき、アジアは、核の傘に対する米国の強固なコミットメントについて、どの程度の確信を持つべきなのか。
President Yoon, how much confidence can Japan and the U.S. have about Seoul’s long-term commitment to rapprochement when polls show the solid majority of Korea disapproves of your handling and mending of the forced labor issue? ユン大統領、世論調査によれば、韓国国民の大多数があなたの強制労働問題への対応と修復に否定的だというのに、日米はソウルの長期的な和解へのコミットメントにどれほどの信頼を寄せることができるだろうか?
And, Prime Minister Kishida, what assurances can you give to your country’s citizens who fear bolstering your security cooperation in this matter could lead to — the country into an economic cold war with China? そして岸田首相、この問題で安全保障上の協力を強化することが、中国との経済冷戦につながることを恐れる国民に、あなたはどのような保証を与えることができるだろうか?
And if you’ll indulge me, Mr. President, on a domestic matter: What is your reaction to the Special Counsel appointment last week into your son? そして、大統領、国内的な問題だが、お許しいただけるだろうか: 先週、特別顧問があなたの息子に任命されたが、それについてどう思うか?
Thank you.  ありがとう。 
PRESIDENT BIDEN:  (Laughs.)  Well, first of all, look, there’s not much, if anything, I agree on with my predecessor on foreign policy.  His America First policy, walking away from the rest of the world, has made us weaker, not stronger. バイデン大統領:(笑)まず第一に、外交政策に関して前任者と同意することは、ほとんどない。  彼のアメリカ・ファースト政策は、他の国々から離れ、我々を強くするどころか弱体化させた。
America is strong with our allies and our alliances, and that’s why we will endure.  And it’s a strength that — quite frankly, that increases all the — three of our strengths. アメリカは同盟国や同盟関係とともに強い国であり、だからこそ我々は生き残ることができる。  そしてそれは、率直に言って、我々の3つの強みをすべて高めてくれる。
This is just about one summit.  What makes today different is it actually launches a series of initiatives that are actually institutional changes in how we deal with one another — in security cooperation, economic cooperation, technology cooperation, development cooperation, consultation exercises.  And all of this will create (inaudible) momentum, I believe, year by year, month by month, to make the relationship stronger and more certain to remain to be in place.  これはひとつのサミットに過ぎない。  今日のサミットが他と違うのは、安全保障協力、経済協力、技術協力、開発協力、協議演習など、我々がお互いにどのように対処するかについて、実際に機構を変えるような一連のイニシアティブを開始することだ。  そしてこれらすべてが、1年ごとに、1カ月ごとに、この関係をより強固で確実なものにしていく勢いを生み出すと私は信じている。 
And with regard — on these esult- — results, I think you’re going to keep it going.  And I think you’re going to benefit all our countries.  そして、このような結果に関しても、このまま続けていくつもりだろう。  そして、我々すべての国に利益をもたらすことになると思う。 
And with regard to the second question, I make — I have no comment on any investigation that’s going on.  That’s up to the Justice Department, and that’s all I have to say.  二つ目の質問については、現在進行中の捜査については何もコメントできない。  それは司法省次第であり、私が言うべきことはそれだけだ。 
PRESIDENT YOON:  (As interpreted.)  To the question that was directed to me, I would like to say that the treaty made between Korea and Japan that was made in 1965 and the following measures by the government and the Supreme Court’s ruling in 2015 have some differences.  But we have already implemented measures to bridge the gaps among them.  ユン大統領:(通訳)私に向けられた質問に対しては、1965年に結ばれた韓日間の条約と、その後の政府の措置、そして2015年の最高裁の判決にはいくつかの相違点があると申し上げたい。  しかし、我々はすでにそのギャップを埋めるための措置を実施している。 
And in South Korea, of course, there is public opinion that is opposed to the government’s measures like that.  However, from a perspective that’s forward-looking, strengthening ties and improving relationships between Korea and Japan are important and there is a shared understanding that this matters to our bilateral relationship, as well as our future.  And this is something we need to continue working on.  そして韓国ではもちろん、政府のそのような措置に反対する世論もある。  しかし、将来を見据えた視点に立てば、韓国と日本の結びつきを強化し、関係を改善することは重要であり、それが二国間関係や我々の将来にとって重要であるという共通認識がある。  そして、これは我々が引き続き取り組むべきことである。 
PRIME MINISTER KISHIDA:  (As interpreted.)  Thank you for the question.  First of all, at today’s meeting, the rules-based international order and activities inconsistent to such rule-based international order and activities. Other concerns have been shared, and the rule-based, free and open international order must be defended.  And going forward, the U.S., Japan, ROK strategic collaboration will be reinforced even further.  Such endeavors will continue going forward. 岸田首相:(通訳)ご質問ありがとう。  まず、本日の会議では、ルールに基づく国際秩序や活動に矛盾する。その他の懸念も共有され、ルールに基づく自由で開かれた国際秩序は守られなければならない。  そして今後、日米韓の戦略的協力関係はさらに強化されるだろう。  このような努力は今後も続くだろう。
Our country and for the surrounding countries, the response capabilities, as well as defense capabilities, will be bolstered.  And by doing so, the lives and livelihood of our population will be protected and the sense of assurance must be raised.  These are the important activities.  わが国と周辺諸国にとって、防衛力だけでなく対応能力も強化されるだろう。  そうすることで、国民の生命と生活を守り、安心感を高めていく。  これが重要な活動である。 
Having said that, with regard to China, last year, in November, there was the Japan-China Leaders Summit, and there was a positive momentum.  By maintaining the positive momentum, what has to be asserted will be asserted.  And we shall strongly request responsible conduct.  And we will continue an accumulative conversation about multiple issues.  We will cooperate with regard to common challenges.  Such constructive and stable relationship will be established by mutual effort.  とはいえ、中国に関しては、昨年11月に日中首脳会談が行われ、ポジティブなモメンタムがあった。  その勢いを維持することで、主張すべきことは主張していく。  そして、責任ある行動を強く求めていく。  そして、複数の問題についての対話を積み重ねていく。  共通の課題については協力していく。  そうした建設的で安定した関係は、相互の努力によって築かれる。 
That is my administration’s consistent policy.  Based on this perception towards regional stability, our efforts will continue.  それが私の政権の一貫した方針である。  このような地域の安定に向けた認識に基づき、我々の努力は継続していく。 
Thank you.  ありがとう。 
MS. JEAN-PIERRE:  President Yoon, next question, please.  MS. ジーン・ピエール女史:ユン大統領、次の質問をどうぞ。 
PRESIDENT YOON:  (As interpreted.)  Please go ahead and ask a question.  The reporter from Money Today — reporter named Jongjin Park.  Please go ahead with your question. ユン大統領:(通訳)どうぞ、ご質問を。  マネー・トゥデイのパク・ジョンジン記者だ。  質問をどうぞ。
Q    (As interpreted.)  Hi, I’m Jongjin Park of Money Today.  First of all, I would like to ask a question to President Yoon Suk Yeol of the Republic of Korea.  I heard that you said that a new chapter has opened in our trilateral cooperation with the two countries.  Compared to the previous summits, what would be the most significant outcome that you gained through this summit? Q (通訳しながら)こんにちは、マネー・トゥデイのパク・ジョンジンだ。  まず、韓国のユン・ソクヨル大統領に質問したい。  日中韓の協力関係において新たな章が開かれたとおっしゃったと聞いている。  これまでの首脳会談と比べて、今回の首脳会談で得られた最も大きな成果は何だろうか?
And also, from the perspective of our people, what would be the benefit that the people of Korea would feel from these strengthening of ties? また、我々国民の立場からすると、このような関係強化によって韓国国民が感じるメリットは何だろうか?
And now my question goes to President Biden.  During this summit, the issues of detainees or prisoners of wars — and you mentioned that there will be further cooperation in these human rights issues.  And you also said you will support the free and peaceful Korean Peninsula in the region.  And what kind of shift would there be in your policy?  And what kind of specific solutions do you have in this regard? 次にバイデン大統領に質問する。  今回の首脳会談では、抑留者や捕虜の問題について、あなたはこれらの人権問題においてさらなる協力があると述べた。  また、この地域における自由で平和な朝鮮半島を支持すると述べた。  あなたの政策にどのような変化があるのか?  また、具体的にどのような解決策をお持ちなのか。
Lastly, I would like to direct my question to Prime Minister Kishida.  Today, we had a historic trilateral summit.  However, there was much backlash and many concerns in Korea.  However, President Yoon showed his political courage to do so.  That’s the international community’s evaluation.  最後に、岸田首相に質問したい。  今日、歴史的な日中韓首脳会談が行われた。  しかし、韓国では多くの反発や懸念があった。  しかし、ユン大統領は政治的勇気を示した。  それが国際社会の評価だ。 
However, there are still concerns that Japan is making very passive efforts to resolve our issues that still remain.  And also, how would you be able to show your truthful willingness to resolve and improve our bilateral relations going forward? しかし、日本はまだ残っている問題を解決するために非常に消極的な努力をしているという懸念がある。  また、今後両国関係を解決し改善するために、どのように真実の意思を示すことができるだろうか?
PRESIDENT YOON:  (As interpreted.)  First of all, this trilateral cooperation amongst our three countries has opened a new chapter, and we made that announcement today to talk about the differences from the past cooperation.  ユン大統領:(通訳として)まず第一に、この3国間の協力は新たな章を開き、そして我々は今日、これまでの協力との違いについて話すために、この発表を行った。 

For instance, in the past, it was about individual issues that we sought cooperation among ourselves.  But now, as we have opened a new chapter in our cooperation for security, economy, science and technology, and development cooperation for the Global South, health, and women — across all of these issues, our three countries decided to closely work together.  So it’s much more comprehensive in nature.  例えば、以前は個々の問題に対して、我々は協力を求めていた。  しかし今、安全保障、経済、科学技術、そしてグローバル・サウス、保健、女性のための開発協力など、これらすべての問題において、我々3カ国は緊密に協力することを決めた。  つまり、より包括的な協力ということだ。 
Such comprehensive cooperation has been launched by us today because currently we face complicated crisis and the threat from the DPRK.  And across the world, we believe that we can together make a contribution to freedom and peace around the world.  このような包括的な協力が今日、我々によって開始されたのは、現在、我々が複雑な危機と北朝鮮の脅威に直面しているからである。  そして世界中で、我々は共に世界の自由と平和に貢献できると信じている。 
So that is our foundational understanding and our common and shared interests of the three countries.  And not just for exclusionary interests of ourselves.  Our interests are well aligned with the universal interests of the members of the global community.  That’s where we find our shared interests lie.  これが我々の基本的な理解であり、3カ国の共通の利益である。  そして、我々自身の排他的な利益のためだけではない。  我々の利益は、国際社会の構成員の普遍的な利益とよく一致している。  そこに我々の共通の利益がある。 
And at the same time, this framework of comprehensive cooperation among our three countries will contribute to global supply chain resilience, global financial market stability, cooperation in the frontier technology sectors and science.  そして同時に、この3カ国間の包括的な協力の枠組みは、世界のサプライチェーンのレジリエンス、世界の金融市場の安定、フロンティア技術分野での協力、そして科学に貢献するだろう。 
Our three countries together have the best-in-class expertise in science and technology.  And we are the ones who are implementing liberal democracies.  我々3カ国は共に、科学技術においてトップクラスの専門知識を有している。  そして、我々は自由民主主義を実践している国である。 
Naturally, progress in science and technologies will bring benefits — tangible benefits to our people, not just in terms of security, but also in terms of economy and science and technology.  当然ながら、科学技術の進歩は、安全保障の面だけでなく、経済や科学技術の面でも、我々の国民に利益、つまり目に見える利益をもたらすだろう。 
But what is most important here is not about our own interests only.  When we put our forces together, I believe that we can make a contribution to the advancement of freedom and peace in the world.  And that’s exactly where our interests are aligned.  しかし、ここで最も重要なことは、自分たちだけの利益についてではない。  我々が力を合わせれば、世界の自由と平和の発展に貢献できると信じている。  そして、それこそが我々の利害が一致するところなのだ。 
PRESIDENT BIDEN:  I — look, back in May of 2022, I met with the families of the Japanese abductees during my visit, heard their stories, and empathized with them and got a sense of the pain they’re feeling.  It’s real.  バイデン大統領:私は......いいか、2022年の5月に、私は訪問中に日本人拉致被害者の家族に会い、彼らの話を聞き、共感し、彼らが感じている痛みを感じた。  それは現実だ。 
We know there are many families out there who still wait and worry and wonder.  We’re not going to forget about them or their loved ones.  今も待ち続け、心配し、不思議に思っている家族が大勢いることを我々は知っている。  我々は彼らや彼らの愛する人のことを忘れるつもりはない。 
And there’s clear language on this on our joint statement.  The bottom line is this: that we share a common position.  We’re committed to working together to see the return of all prisoners of war and — and those who’ve been abducted and detained.  我々の共同声明には、このことに関する明確な文言がある。  要するに、我々は共通の立場を共有しているということだ。  我々は、すべての戦争捕虜と拉致・拘束された人々の帰還を実現するために協力することを約束する。 
And by the way, one of the things we get asked many times — and it wasn’t directly asked, but implied — is what makes us think any of this is positive.  ところで、我々が何度も聞かれることのひとつに--直接は聞かれなかったが、暗にそう言っていた--、なぜこのようなことが肯定的なことだと思うのか、ということがある。 
Success brings success.  When other nations see cooperation in the region, they make judgments about: Would they be better off if they made commitments?  Will they move? 成功は成功をもたらす。  他国がこの地域での協力を目にしたとき、彼らはこう判断する: もし約束をすれば、自分たちはより良くなるのだろうか?  彼らは動くだろうか?
Think about — as students of history, all of you — and you are — think about how many times successes have generated other successes when you don’t anticipate it.  歴史の学習者である皆さんは、予期していなかった成功が他の成功を生み出したことが何度もある。 
And so, I — I just think this is a — we’re not going to forget, we’re not giving up, and we’re going to continue to make the case for the freedom of all of those detainees.  だから、我々は忘れないし、あきらめないし、拘束されている人たち全員の自由のために訴え続けるつもりだ。 
PRIME MINISTER KISHIDA:  (As interpreted.)  With regard to your question for me, first of all, I have strong feelings about strengthening bilateral relationships between the ROK and Japan.  I share that with President Yoon.  The two countries, in dealing with international challenges, should cooperate.  We’re both important neighboring countries.  And so, friendship with President Yoon and a relationship of trust, based on this, both countries as partners should open up a new era.  And that is my thinking.  岸田首相:(通訳として)まず、私への質問についてだが、私は韓日関係の強化について強い思いを持っている。  それはユン大統領とも共有している。  国際的な課題に対処する上で、両国は協力すべきだ。  我々はともに重要な隣国だ。  そして、ユン大統領との友好関係、信頼関係、それに基づいたパートナーとしての両国が新しい時代を切り開くべきだ。  それが私の考えだ。 
This year, President Yoon came to Japan, and I visited the ROK.  At international fora, we have repeated meetings — we have had repeated meetings.  And between our two countries, including the economy and security, we’ve had forward-looking and concrete approaches which were started.  It’s already in motion, dynamically.  今年、ユン大統領が来日し、私も韓国を訪問した。  国際的な場では、我々は繰り返し会合を重ねてきた。  そして両国間では、経済や安全保障を含め、前向きで具体的なアプローチが始まっている。  すでにダイナミックに動き出している。 
Economic security dialogue was started — or it has been decided on.  In the area of export control, there have been progress.  And also financial ministers and defense ministers have had meetings.  経済安全保障対話が始まった。  輸出管理の分野でも進展があった。  また、財務相と国防相の会合も開かれた。 
And so, we’ve had this very positive, forward-looking developments.  And these are seen not only in the public sector.  Also in the private sector, we see a slate of developments, human exchanges, and exchanges between business circles.  We’re seeing very active developments in all of these areas, and that is a reality. このように、我々は非常に前向きで前向きな動きを見せている。  これは公共部門だけでなく、民間部門でも見られることだ。  民間部門でも、さまざまな進展、人的交流、ビジネス界同士の交流が見られる。  これらすべての分野で非常に活発な動きが見られる。
Going forward, we hope to accumulate these approaches along with President Yoon to strengthen our bilateral relations even further.  By generating results, we hope that people will understand Japan’s feelings towards our bilateral relations.  And we’d like to continue such efforts.  今後、ユン大統領とともにこうした取り組みを積み重ね、両国関係をより強固なものにしていきたい。  結果を出すことで、二国間関係に対する日本の気持ちを理解してもらいたい。 そして、そうした努力を続けていきたい。 
Thank you.  ありがとう。 
Thank you very much.  Then, let me see.  From Kyodo — Tajiri-san, Kyodo News. ありがとう。  では、見せてもらおう。  共同通信の田尻さんから。
Q    (As interpreted.)  Tajiri, Kyodo News.  At Camp David with history.  I do have a question to each of the leaders. Q 共同通信の田尻さん。  キャンプ・デービッドで歴史と共にある。  各首脳に質問がある。
President Biden, it was mentioned at this summit meeting that Russia’s aggression of Ukraine is continuing.  So, what role do you expect of Japan?  バイデン大統領、今回の首脳会談でロシアのウクライナへの侵略が続いていると言及された。  では、日本にどのような役割を期待しているのか? 
Prime Minister Kishida has mentioned that as China’s threat in Asia is rising, Ukraine may be East Asia tomorrow.  What do you think about this comment, President Biden? 岸田首相は、アジアにおける中国の脅威が高まる中、ウクライナが明日の東アジアになるかもしれないと発言した。  バイデン大統領、この発言をどう考えるか?
And the situation in Asia, where China’s threat is rising — what is the meaning and significance of the trilateral relationship with Japan, U.S., ROK becoming stronger in multiple layers? また、中国の脅威が高まっているアジア情勢、日米韓の三国関係が重層的に強くなっていることの意味と意義は何か。
President Yoon Suk Yeol, I have a question to Your Excellency.  North Korea’s nuclear missile development is a major security threat to Japan, South Korea, and the U.S.  As North Korea’s provocations continue to escalate, what is the meaning and significance of the three countries declaring a new era of partnership? ユン・ソクヨル大統領 閣下に質問がある。  北朝鮮の核ミサイル開発は、日本、韓国、米国にとって安全保障上の大きな脅威である。北朝鮮の挑発がエスカレートし続ける中、日米韓3カ国が新時代のパートナーシップを宣言する意味と意義は何か。
Regarding the release of treated water at Fukushima Daiichi nuclear power plant, did Prime Minister Kishida explain the matter at the trilateral or the bilateral summit today? 福島第一原発の処理水放出について、岸田首相は今日の日中韓首脳会談、あるいは二国間首脳会談で説明したのか。
To the recent Japan-ROK summit meeting, Your Excellency, you expressed your intent to respect the IAEA report despite the strong domestic opposition.  Why do you demonstrate your understanding for the policy of Kishida administration?  I ask for that reason. 先日の日韓首脳会談で、閣下は国内の強い反対にもかかわらず、IAEAの報告書を尊重する意向を示された。  なぜ岸田内閣の方針に理解を示すのか。  その理由を伺いたい。
And to Prime Minister Kishida, this is the first time that a trilateral summit is held on a standalone basis rather than on the sidelines of international meetings.  You have said that the trilateral cooperation will be raised to new heights for the security environment in East Asia.  And without the resolution of abduction, North Korea is continuing nuclear missile development.  What is the meaning for North Korea? また、岸田首相に対して、日中韓サミットが国際会議の傍らではなく、単独で開催されるのは初めてのことだ。  あなたは、東アジアの安全保障環境のために日中韓の協力を新たな高みに引き上げると言った。  また、拉致問題の解決なしに北朝鮮は核ミサイル開発を続けている。  北朝鮮にとってどのような意味があるのか。
And in eastern South China Seas, by maritime advancement, China is continuing unilateral attempts to change the status quo.  What is the meaning for China? そして南シナ海東部では、海洋進出によって中国が一方的に現状を変えようとしている。  中国にとってどのような意味があるのか。
PRESIDENT BIDEN:  And you have a great imagination.  One question ends up being six.  But, thank you.  I’ll try to answer all of it.  (Laughter.)  I’m glad I didn’t have you as my law professor when he said “one question.”  (Laughs.)  At any rate, they’re all legitimate questions.  バイデン大統領:そしてあなたは素晴らしい想像力を持っている。  ひとつの質問が6つになってしまう。  しかし、ありがとう。  全部答えるようにするよ(笑)。  (法学部の教授が "1つの質問 "と言ったとき、あなたが教授じゃなくてよかった。  (笑)とにかく、どれも正当な質問だ。 
Look, on Ukraine, I and my country and the leadership of my country in both parties are very grateful for everything Japan is helping to deal with in Ukraine.  And I mean that sincerely.  You’ve showed strong leadership through the G7 as well and contributed to a significant amount of financial and humanitarian assistance to Ukraine, as well as nonlethal military equipment.  まずは、ウクライナについてだが、私や私の国、そして両党の指導者たちは、日本がウクライナへの対処を助けてくれていることすべてにとても感謝している。  心から感謝している。  あなたはG7を通じても強いリーダーシップを発揮し、ウクライナへの多額の資金援助と人道支援、そして非致死的な軍事装備に貢献した。 
And, you know — and they joined so many other nations in holding Russia accountable through their international sanctions.  そして、多くの国々とともに、国際的な制裁を通じてロシアの責任を追及した。 
If my memory serves me well — and I think it does, Mr.  Prime Minister — we found ourselves in a circumstance where, when I called you about Ukraine, I didn’t have to convince you of anything.  I started off to make the case that Ukraine was a circumstance where — to think, in the first quarter of the 20th century, another country would amass over 150,000 forces on the border of another country — or 150,000 forces and invade that country — invade that country without any rationale other than — if you read Putin’s speech after he invaded, he talked about Kyiv being the motherland.  You know, I mean, it just was ridiculous, I think.  And he talked about being Peter the Great.  It was — 私の記憶が正しければ、首相、私の記憶が正しければ、ウクライナのことであなたに電話したとき、私はあなたを説得する必要がなかった。  私はまず、ウクライナが、20世紀の最初の四半世紀に、他国が他国の国境に15万人以上の軍隊を集結させ、あるいは15万人の軍隊を率いてその国に侵攻し、それ以外に何の根拠もなく-侵攻後のプーチンの演説を読めばわかるが、彼はキエフを祖国だと語っている。  彼はキエフを祖国だと言った。  彼はピョートル大帝のようだと言った。  あれは......。
Just imagine if we had done nothing.  Imagine if we had done nothing.  もし我々が何もしなかったらと想像してみてほしい。
And the point was immediately recognized, if I’m not mistaken, by you, Mr. Prime Minister, that we’re そして、私が間違っていなければ、首相はすぐに、我々はどこででも起こりうる状況にあることを認識した。
in a situation where it could happen anywhere.  If we stand — if we had stood still, what signal would that send to China about Taiwan?  What signal would that send around the world if nations weren’t powerful on borders? どこででも起こりうる状況なのだ。  もし我々が立ち止まっていたら、台湾について中国にどんなシグナルを送ることになるだろうか?  国家が国境で力を持たないとしたら、それは世界中にどんなシグナルを送ることになるだろうか?
But here’s the deal.  You contributed significantly to what, I think, is already the — しかし、ここからが問題だ。  あなたは、私が思うに、すでに......に大きく貢献した。
Let me put it this way.  Russia has already lost.  It cannot meet its original objective which it stated.  It’s not possible.  こう言おう。  ロシアはすでに負けている。  ロシアが表明した当初の目的を達成することはできない。  不可能だ。 
But — and they’ve joined so many other nations in holding Russia accountable for international sanctions.  But Japan’s leadership, from day one, it has been critical for making it clear that the consequences for war extend well beyond Europe — well beyond Europe. しかし、ロシアは他の多くの国々と一緒になって、国際的な制裁の責任を追及している。  しかし、日本のリーダーシップは、初日から、戦争がもたらす結果がヨーロッパをはるかに超えたところにまで及ぶことを明確にするために極めて重要だった。
I say it in reverse.  What would happen if an Asian country with 150,000 troops invaded another?  You think that would not affect the interests, the economy, and — and the foreign policy of nations in Europe and Latin America all across the world?  It would have profound impact. 私は逆に言いたい。  15万人の軍隊を擁するアジアの国が他の国を侵略したらどうなるだろうか?  それがヨーロッパ諸国やラテンアメリカ諸国の利益や経済、外交政策に影響を与えないと思うのか?  大きな影響を与えるだろう。
And with Japan’s leadership, from day one, it has been critical to making clear the consequences of this will extend well beyond Europe — well beyond Europe.  It’s a global issue that has impacts everywhere.  And the Prime Minister’s comments at Shangri La capture that.  そして、日本のリーダーシップは、初日から、この事態がもたらす影響がヨーロッパをはるかに超えるものであることを明確にするために極めて重要であった。  これは世界的な問題であり、あらゆるところに影響を及ぼす。  シャングリラでの首相の発言はそれをよく表している。 
And by the way, you know, we talked about this being an inflection point.  The world is changing.  The world is changing.  And about every six or seven generations, it makes significant change.  And there’s a lot happening.  ところで、我々は今が変曲点だと話している。  世界は変わりつつある。  世界は変化している。  そして、およそ6、7世代ごとに大きな変化が起きている。  多くのことが起こっている。 
And the idea that we’re going to sit down, the rest of the world, and say, “Well, that’s only a European problem.”  There hasn’t been that kind of invasion since World War Two.  そして、我々や他の国々が腰を落ち着けて、"それはヨーロッパだけの問題だ "と言うという考え方もある。  第2次世界大戦以来、このような侵略はなかった。 
And so — as for peace, we all want that, of course.  Ukrainians want it most of all.  And my team has been working very closely with the — President Zelenskyy’s team and further peace formula, noting that “nothing about Ukraine without Ukraine.” そして、平和に関しては、もちろん我々全員がそれを望んでいる。  ウクライナ人は何よりもそれを望んでいる。  そして私のチームは、ゼレンスキー大統領のチームと非常に緊密に協力し、「ウクライナ抜きでウクライナを語ることはできない」と指摘しながら、さらなる和平の方式を模索している。
But nonetheless, we’re meeting with them constantly — constantly.  しかし、それにもかかわらず、我々は彼らと絶えず会っている。 
And your other two questions about China — I’ll just say this: This summit was not about China.  That was not the purpose of the meeting.  But it did come — China obviously came up.  Not to say we don’t share concerns about the economic coercion or heightened tensions caused by China, but this summit was really about our relationship with each other and deepening cooperation across an entire range of issues that went well beyond just the immediate issues we raised.  中国に関する他の2つの質問については、これだけ言っておこう: 今回のサミットは中国についてではなかった。  それは会議の目的ではなかった。  しかし、中国の話題が出たのは明らかだ。  中国による経済的強制や緊張の高まりに対する懸念を共有していないわけではないが、今回の首脳会談は、我々が提起した当面の問題だけでなく、あらゆる問題にわたって我々の関係を深め、協力を深めていくことが目的だった。 
It was about more peaceful and prosperous Indo-Pacific — a region, quite frankly, that would benefit everyone living there and around the world if we get it right.  It’s not just here.  It has a phenomenal impact.  それは、より平和で繁栄したインド太平洋地域についてであり、率直に言って、この地域は、我々がうまくやれば、そこに住むすべての人々、そして世界中の人々に利益をもたらすだろう。  それはここだけの話ではない。  それは驚異的な影響力を持つ。 
Think about what’s — at any rate, I won’t get going.  I’ll take too long.  とにかく、私は話を続けるつもりはない。  時間がかかりすぎる。 
But as you’ve seen from the initiatives we’re announcing here, today is just how committed we are to see this vision take place.  And I think this relationship that we put together and I think we’re going to — you’re going to see it expand.  It’s not merely what we did today.  This is a historic meeting.  しかし、今日ここで発表する構想からお分かりのように、我々はこのビジョンの実現にどれだけ尽力しているかということだ。  そして、我々が築き上げたこの関係は、これから拡大していくと思う。  単に今日我々が何をしたかということではない。  これは歴史的な会談だ。 
But we’re about to — we’ve laid in place a long-term structure for a relationship that will last and have a phenomenal impact not just in Asia, but around the world.  アジアだけでなく、世界中に驚異的な影響を与える長期的な関係を築こうとしている。 
Someone once said in a different context that — about a health- — a healthcare provision in my country a while ago: This is a big deal.  This is a big deal.  以前、ある人が別の文脈で、私の国での医療提供についてこう言った: これは大変なことだ。  これは大事件だ。 
Thank you.  ありがとう。 
Q    President Biden, how soon do you anticipate meeting with President Xi — Q バイデン大統領、習主席との会談はいつ頃になると思われるか?
PRESIDENT BIDEN:  They have to answer their questions. バイデン大統領:質問に答えなければならない。
PRESIDENT YOON:  (As interpreted.)  Yes, let me address the questions directed to me.  私に向けられた質問に答えよう。 
First, as to North Korea’s nuclear and missile provocations and the threats that are posed and how we plan to counter those threats together among our three countries, let me address that question.  まず、北朝鮮の核・ミサイルによる挑発行為とその脅威について、そして我々3カ国がどのようにその脅威に対抗していくのかについてだ。 
Of the cooperative frameworks among our three countries is the most — what is most symbolic out of those is our cooperation in defense area.  Any provocations or attacks against any one of our three countries will trigger a decision-making process of this trilateral framework, and our solidarity will become even stronger and harder.  日米韓3カ国の協力体制の中で最も象徴的なのは、防衛分野での協力だ。  我々3カ国のいずれかに対する挑発や攻撃は、この3カ国の枠組みの意思決定プロセスを引き起こすことになり、我々の連帯はさらに強く、硬くなる。 
And at the same time, missile information will be shared in a real-time basis, and systematic training and drills will be implemented in accordance with systematic annual schedules, regular schedules, and regular trainings that we plan to carry out together against the DPRK’s missile provocations.  That will be our response.  そして同時に、ミサイル情報はリアルタイムで共有され、体系的な年間スケジュール、定期的なスケジュール、定期的な訓練に基づき、北朝鮮のミサイル挑発に対して我々が共に実施する計画に従って、体系的な訓練やトレーニングが実施される。  それが我々の対応となる。 
And at the same time, regarding your question concerning the water release from the Fukushima plant, as a matter of fact, that issue was not addressed during our summit because it was not on the agenda.  同時に、福島原発からの汚染水放出に関するご質問だが、実のところ、この問題は我々の首脳会談では議題に上らなかったため、取り上げられなかった。 
But still, let me try to address that question.  The Fukushima plant’s treated water, if it’s going to have some type of impact, it would flow through the entire Pacific Ocean having an impact not just on our three countries, but all countries around the world.  しかし、それでも、その質問に答えてみよう。  福島原発の処理水が何らかの影響を及ぼすとすれば、それは太平洋全体を流れ、我々3カ国だけでなく、世界中の国々に影響を及ぼすことになる。 
As such, for the sake of safety and health of the people of our three countries and all members of the international community, that should be something that we need to place the highest priority on.  そのため、我々3カ国の国民と国際社会のすべてのメンバーの安全と健康のために、最優先で取り組むべきことである。 
Regarding this treated water, based on scientific principles, all of the processing should be carried out accordingly.  And at the same time, internationally recognized and reliable IAEA’s investigation results are something that we can trust.  この処理水については、科学的な原則に基づき、すべての処理が行われるべきである。  そして同時に、国際的に認知され信頼できるIAEAの調査結果は、我々が信頼できるものである。 
And I would like to make sure that everything is conducted and carried out in accordance with the procedures established by the IAEA.  Together with the international community and also together with the Koreans, transparent data disclosure would be necessary, in my opinion.  そして私は、すべてがIAEAによって確立された手順に従って実施され、実行されることを確認したい。  国際社会とともに、また韓国側とともに、透明性のあるデータ開示が必要だと思う。 
PRIME MINISTER KISHIDA:  (As interpreted.)  Thank you.  The question to myself.  As you mentioned, nuclear and missile development by North Korea or unilateral attempts to change the status quo in the East and South China Seas are ongoing.  And the security environment surrounding our three countries, it has becoming increasingly harsh day after day.  岸田首相:(通訳)ありがとう。  私への質問だ。  ご指摘のとおり、北朝鮮による核・ミサイル開発、あるいは東シナ海や南シナ海における一方的な現状変更の試みは現在進行中である。  そして、我々3カ国を取り巻く安全保障環境は、日に日に厳しさを増している。 
Under this backdrop, on this occasion, we agreed to enhance the coordination between the U.S.-Japan and the U.S.-ROK alliances and to bring the trilateral security cooperation to new heights.  このような背景の下、今回我々は、日米同盟と米韓同盟の連携を強化し、日米韓の安全保障協力を新たな高みへと引き上げることで合意した。 
This is indeed the requirement of this era.  And by this summit, I am sure that the trilateral security cooperation will further advance and reinforce the regional peace and stability. これはまさにこの時代の要請である。  そして今回の首脳会談によって、日米韓の安全保障協力がさらに前進し、地域の平和と安定が強化されることを確信している。
In particular, with regard to North Korea, we were able to put forward concrete results, such as the implementation of annual Japan, U.S, ROK multidomain and joint exercises and the establishment of a working group to address North Korea’s cyber activities.  特に北朝鮮に関しては、日米韓のマルチドメイン演習や合同演習の毎年実施、北朝鮮のサイバー活動に対処するための作業部会の設置など、具体的な成果を打ち出すことができた。 
I also stated that the abduction issue is a humanitarian issue with time constraints.  And Joe and President Yoon reiterated their strong support for the immediate resolution of this matter.  私はまた、拉致問題は時間的制約のある人道的問題であると述べた。  そしてジョーとユン大統領は、この問題の即時解決への強い支持を改めて表明した。 
We also shared our recognition that the path to dialogue with North Korea is open.  また、北朝鮮との対話の道は開かれているとの認識を共有した。 
Furthermore, once again, the presidents of both countries aligned with me in strongly opposing unilateral changes to the status quo through the use of force. さらに、武力行使による一方的な現状変更に強く反対するという点で、両国の大統領は再び私と足並みを揃えた。
We will continue our efforts to further strengthen the strategic partnership among the three countries in order to defend the free, open, and international order based on the rule of law. 我々は、法の支配に基づく自由で開かれた国際秩序を守るため、3カ国間の戦略的パートナーシップをさらに強化する努力を続けていく。
That is all.  Thank you. 以上である。  ありがとう。
MS. JEAN-PIERRE:  This concludes — MS. ジャン=ピエール:以上で、日米首脳会談を終了する。
PRESIDENT BIDEN:  To answer your question, I expect and hope to follow up on our conversation on Bali this fall.  That’s my expectation.  Thank you. ビデン大統領:あなたの質問に答えるなら、私はこの秋にバリでの会話をフォローアップすることを期待しているし、そうしたい。  それが私の期待だ。  ありがとう。
MS. JEAN-PIERRE:  This concludes our press conference. Please — please stay seated as the — the leaders depart, please.  Please stay seated. ありがとう。これにて記者会見を終了する。首脳が退席されますので、着席をお願いします。  着席をお願いする。
Q    Mr. President, are you winning the competition with China? Q 大統領、中国との競争に勝っているか?
PRESIDENT BIDEN:  We’re winning all the competition. ビデン大統領:すべての競争に勝っている。
4:08 P.M. EDT 4:08 P.M. 東部夏時間

 

・2023.08.18 Remarks by President Biden, President Yoon Suk Yeol of the Republic of Korea, and Prime Minister Kishida Fumio of Japan Before Trilateral Meeting | Camp David, MD

 

 

国防総省も...

Department of Defense

・2023.08.18 Japan, South Korea, U.S. Strengthen Trilateral Cooperation

・2023.08.18 Statement from Secretary of Defense Lloyd J. Austin III on United States Trilateral Summit with Japan and the Republic of Korea

 

 


 

中国側の反応

1_20210612030101

開始前の反応...外交部の定例記者会見で共同の記者が質問をしていますね。。。

● 外交部

・2023.08.18 外交部发言人汪文斌主持例行记者会

共同社记者:美日韩首脑会议今天将在美国举行,预计三方将同意加强安全方面合作,中方对此有何回应? 共同通信:本日、米国で日米韓首脳会談が開催され、安全保障面での協力強化で合意すると予想されるが、中国の対応は。
汪文斌:面对变乱交织的国际安全形势,各方应当秉持安全共同体理念,坚持真正的多边主义,协力应对各种安全挑战。任何国家都不应以牺牲他国安全利益、损害地区和平稳定为代价,谋求自身安全。究竟是谁在制造矛盾、加剧紧张,国际社会自有公论。亚太地区是和平发展的高地、合作发展的热土,绝不能再成为地缘争夺的角斗场。拼凑各种排他性“小圈子”“小集团”,将阵营对抗和军事集团带入亚太的企图不得人心,势必招致地区国家的警惕和反对。 王文彬:混迷する国際安全保障情勢を前に、すべての当事者は安全保障共同体の概念を堅持し、真の多国間主義を堅持し、さまざまな安全保障上の課題に対処するために一致団結して努力すべきである。 いかなる国も、他国の安全保障上の利益を犠牲にし、地域の平和と安定を犠牲にして自国の安全保障を追求すべきではない。 国際社会は、誰が矛盾を生み出し、緊張を高めているのかについて独自の判断を持っている。 アジア太平洋地域は平和と発展のための高台であり、協力と発展のためのホットスポットであり、二度と地政学的対立の戦場になってはならない。 さまざまな排他的な「小さなサークル」や「小さなグループ」をまとめ、アジア太平洋地域に対立や軍事ブロックを持ち込もうとする試みは不人気であり、この地域の国々の警戒と反発を招くことは必至である。

 

発表後...ブルームバーグの記者が2回質問していますね。。。

・2023.08.21 外交部发言人汪文斌主持例行记者会

彭博社记者:上周末,日本、韩国和美国发表联合声明,批评“中国近期在南海采取危险、强势行为以支持其非法海洋主张”,并强调台海和平稳定是国际社会安全繁荣不可或缺的要素。外交部对此有何回应? ブルームバーグ:週末、日本、韓国、米国は共同声明を発表し、「中国が最近、南シナ海で不法な海洋権益の主張を支持する危険で攻撃的な行動をとっている」と批判し、台湾海峡の平和と安定が国際社会の安全と繁栄に不可欠であると強調した。 外務省の反応はどうか。
汪文斌:美日韩三国领导人戴维营会晤在台湾、涉海等问题上对中方进行抹黑攻击,粗暴干涉中国内政,蓄意挑拨中国与周边国家关系,严重违背国际关系基本准则,中方表示强烈不满和坚决反对,已向有关方面提出严正交涉。我们也注意到美方表示美日韩伙伴关系不针对任何国家。中方敦促美方言行一致,将“不寻求强化同盟关系反对中国”的表态落到实处,停止抹黑中方形象、损害中方利益,停止制造分裂对抗、损害地区和平稳定。 王文彬:日米韓の首脳によるキャンプデービッド会議は、台湾、海に関する問題で中国を中傷し、攻撃し、中国の内政に重大な干渉を加え、中国と近隣諸国との関係を故意に挑発したものであり、国際関係の基本的規範に対する重大な違反であり、中国はこの会議に強い不満と断固とした反対を表明し、関係者に厳粛な申し入れを行った。 また、米国が日米韓のパートナーシップはいかなる国も対象にしていないと表明していることにも留意した。 中国は米国に対し、その言動に一貫性を持たせ、中国に対抗する同盟関係の強化を図らないという声明を実践し、中国のイメージを傷つけ、その利益を損なうとともに、分裂と対立を生み出し、地域の平和と安定を損なうことをやめるよう求める。
当前,亚太地区呈现两种趋势。一种是以《区域全面经济伙伴关系协定》、全面与进步跨太平洋伙伴关系协定为代表的地区国家加强团结合作、推动地区经济一体化建设的努力。另一种是以美英澳、美日韩、美日印澳等各式封闭排他的“小圈子”为代表的煽动分裂对抗、企图复活冷战思维的行径。令人遗憾的是,前者看不到美国的身影,后者却都以华盛顿为轴心。 現在、アジア太平洋地域には2つの傾向が見られる。 ひとつは、地域包括的経済連携協定や包括的かつ先進的な環太平洋パートナーシップ協定に代表されるように、地域諸国が連帯と協力を強化し、地域経済統合の構築を推進しようとしていることである。 もうひとつは、さまざまな閉鎖的で排他的な「小さなサークル」に代表される、分断と対立を煽り、冷戦時代のメンタリティを復活させようとする米国、英国、オーストラリア、日本、韓国、米国、日本、インド、オーストラリアの行動である。 遺憾なことに、前者では米国の姿はどこにも見えず、後者ではワシントンが軸となっている。
亚太是和平发展的高地,不应成为大国角力的拳击场,更不应成为冷战、热战的战场。一切在亚太挑动“新冷战”的企图都将遭到地区国家和人民的坚决抵制,一切在亚太建立和维护霸权的行径都注定以失败告终。我们奉劝有关国家不要逆流而动,不要试图在亚太复制阵营对抗模式,不要以牺牲他国战略安全利益与亚太人民福祉为代价维护一己私利。 アジア太平洋地域は平和的発展のための高台であり、冷戦と熱戦の舞台はおろか、大国のボクシングのリングにもなってはならない。 アジア太平洋地域で「新たな冷戦」を引き起こそうとするすべての試みは、この地域の国々と人々によって断固として抵抗されるであろうし、アジア太平洋地域で覇権を確立し維持しようとするすべての試みは失敗に終わる運命にある。 我々は、関係諸国に対し、時流に逆らわず、アジア太平洋地域における対立モデルを再現しようとせず、他国の戦略的安全保障上の利益とアジア太平洋地域の人々の幸福を犠牲にして自国の利己的利益を守ろうとしないよう忠告する。
台湾问题纯属中国内政,解决台湾问题是中国自己的事。中方坚持以最大诚意、尽最大努力争取两岸和平统一的前景,但绝不接受任何人、任何势力打着和平的幌子干涉中国内政。当前台海和平的最大威胁是“台独”分裂行径和外部势力对其纵容支持。有关国家如果真的关心台海和平稳定,就应该恪守一个中国原则,停止纵容支持“台独”分裂势力及其分裂活动,以实际行动维护地区和平稳定。任何人都不要低估中国人民捍卫国家主权和领土完整的坚强决心、坚定意志和强大能力。 台湾問題は純粋に中国の内政問題であり、解決は中国自身の問題である。 中国は、最大限の誠意と努力をもって台湾海峡の平和的統一の実現に努力することを主張するが、平和を名目にしたいかなる人物、いかなる勢力による中国の内政干渉も決して受け入れない。 現在、台湾海峡の平和に対する最大の脅威は、「台湾独立」という分離主義的行動と、それに対する外部勢力の共謀と支援である。 もし関係諸国が台湾海峡の平和と安定を真に憂慮しているのであれば、一帯一路の原則を守り、「台湾独立」の分離主義勢力とその分離主義的活動に加担し、支援することを止め、地域の平和と安定を守るために実際的な行動を取るべきである。 国家主権と領土保全を守る中国人民の強い決意、固い意志、強い能力を過小評価してはならない。
我还要指出的是,中国对南海诸岛及其附近海域拥有无可争辩的主权。中方在本国领土上开展建设活动,中国海警船在中国管辖海域进行维权执法活动,合理合法,无可非议。中国作为《联合国海洋法公约》缔约国,一贯忠实履行包括《公约》在内的国际法,不接受、不承认南海仲裁案非法裁决。近年来,美国极力插手介入南海问题,怂恿、支持个别国家海上侵权,挑拨地区国家关系,是地区秩序的搅局者和破坏者。美国还纠集盟友在包括南海在内的中国周边海域频繁开展军事演习和抵近侦察,耀武扬威,加剧地区局势紧张,已成为地区和平稳定的最大威胁和挑战。中方将继续坚定维护自身主权和安全利益,并同东盟国家一道,全面有效落实《南海各方行为宣言》,积极推进“南海行为准则”磋商,开展涉海务实合作,坚定维护地区和平与稳定,努力推动地区繁荣与发展。 私はまた、中国が南シナ海の島々とその隣接海域に対して議論の余地のない主権を有していることを指摘したい。 中国側が自国の領土で建設活動を行い、中国の海洋警察船が中国の管轄海域で権利保護と法執行活動を行っていることは、合理的で合法的であり、議論の余地のないことである。 中国は国連海洋法条約の締約国として、同条約を含む国際法を常に忠実に履行しており、南シナ海仲裁裁判の違法判決を受け入れることも認めることもない。 近年、米国は南シナ海問題に精力的に介入し、海洋権益を侵害する各国を奨励・支援し、域内諸国の関係をかき乱し、地域秩序のスポイラー、破壊者として振る舞っている。 米国はまた、同盟国を集めて南シナ海を含む中国の近隣海域で頻繁に軍事演習や近接偵察を行い、武力と傲慢さを誇示しているが、これは地域の緊張を悪化させ、地域の平和と安定に対する最大の脅威と挑戦となっている。 中国は、自国の主権と安全保障上の利益を断固として守り続け、ASEAN諸国とともに、南シナ海における締約国の行動に関する宣言を包括的かつ効果的な方法で実施し、南シナ海における行動規範に関する協議を積極的に推進し、海洋関連事項における実際的な協力を行い、地域の平和と安定を断固として守り、地域の繁栄と発展を促進するために努力する。

 

彭博社记者:上周末,美日韩领导人在戴维营表示,三方有意在2023年底前实现对朝鲜导弹预警数据的实时共享。中方是否认为这打破了韩方2017年同中方达成的“三不”共识?中方将做出何种回应? ブルームバーグ:週末のキャンプ・デービッドで、日米韓の首脳は、2023年末までに北朝鮮のミサイルに関する早期警戒データのリアルタイム共有を実現する意向を示した。 中国は、これが2017年に韓国が中国と結んだ「3つのノー」のコンセンサスを破るものだと考えているのだろうか? 中国はどのような対応を取るのか?
汪文斌:首先我要说的是,有关方执迷于搞“小圈子”,以半岛问题为借口加强军事合作、谋求地缘私利,只会加剧地区阵营对抗风险,破坏各方本就脆弱的互信,损害他国战略安全利益。中方敦促有关国家摒弃冷战思维,正视半岛问题症结,停止对抗施压,通过有意义的对话均衡解决各自合理关切,维护半岛和平稳定。 王文彬:まず申し上げたいのは、関係国が「小さなサークル」に拘泥し、半島問題を口実に軍事協力を強化し、地政学的な自己利益を追求することは、地域陣営間の対立リスクを悪化させ、関係国の脆弱な相互信頼を損ない、他国の戦略的安全保障上の利益を害するだけだということだ。 中国は関係国に対し、冷戦の考え方を捨て、半島問題の本質を直視し、対立と圧力をやめ、半島の平和と安定を維持するために、意味のある対話と均衡を通じて、彼らの正当な懸念に対処するよう求める。
你还提到涉“萨德”相关问题,我要告诉大家的是,我们在相关问题上的立场和关切韩方是清楚的,双方一直就此保持着沟通。我们希望韩方按照双方有关共识继续妥善处理这一问题。 また、SADに関する問題についても言及されたが、韓国側はこの問題に関する我々の立場と懸念について明確であり、双方はこの問題について意思疎通を図っていることをお伝えしたい。 我々は、韓国側が双方の関連するコンセンサスに従って、この問題に適切に対処し続けることを望んでいる。

 

 


 

日韓...

まるちゃんの情報セキュリティ気まぐれ日記

・2023.06.06 各国の防衛大臣との共同声明、会談等について

 この時は、日中もしていますよね。。。

 

日付 概要 米国 韓国 オーストラリア 中国 フィリピン ウクライナ
2023/6/4 日ウクライナ防衛相会談について          
2023/6/4 日韓防衛相会談(結果概要)          
2023/6/4 日豪防衛相会談共同声明(2023年6月4日)(仮訳)          
2023/6/3 日中防衛相会談について          
2023/6/3 日米豪比防衛相会談について      
2023/6/3 日米豪防衛相会談共同声明(仮訳)        
2023/6/3 日米韓防衛相会談の開催について        
2023/6/3 日米韓防衛相会談共同声明(2023年6月3日)(仮訳)        
2023/6/1 日米防衛相会談の概要          

 

米国の国防総省のウェブページを見ればわかりますが。。。

米国は、この他にも、ファイブアイズシンガポール東南アジア(ブルネイ、カンボジア、インドネシア、ラオス、マレーシア、フィリピン、シンガポール、タイ、東ティモール)とも話をしていますね。。。

 


・2023.05.20 米国 ホワイトハウス G7 バイデン大統領と岸田総理大臣との会談

G7に先立った会談で...

  • 防衛投資
  • インド太平洋(クアッド含む)
  • クリーンエネルギー
  • 重要鉱物
  • 量子コンピュータ
  • 半導体
  • 日米企業・大学のパートナーシップ
  • 日韓関係の改善

 


・2022.12.18 国家安全保障戦略が閣議決定されましたね。。。(2022.12.16) 対英訳付き...

国家安全保障戦略にも竹島問題にふれつつも日韓関係の重要性が書かれていますね。。。

 

Ⅵ 我が国が優先する戦略的なアプローチ

2 戦略的なアプローチとそれを構成する主な方策 

ウ 我が国周辺国・地域との外交、領土問題を含む諸懸案の解決に向けた取組の強化 

...

韓国は、地政学的にも我が国の安全保障にとっても極めて重要な隣国である。北朝鮮への対応等を念頭に、安全保障面を含め、日韓・日米韓の戦略的連携を強化していく。そのためにも、1965 年の国交正常化以来築いてきた日韓の友好協力関係の基盤に基づき日韓関係を発展させていくべく、韓国側と緊密に意思疎通を図っていく。二国間の諸懸案については、我が国の一貫した立場に基づいて然るべく対応していく。我が国固有の領土である竹島の領有権に関する問題については、我が国の一貫した立場に基づき毅然と対応しつつ、国際法にのっとり、平和的に紛争を解決するとの方針に基づき、粘り強く外交努力を行う。

...

 


 

・2022.09.27 米国 White House ハリス副大統領、岸田首相との会談

ハリス副大統領が日韓関係の重要性について触れていますね。。。

副大統領は、地域的・世界的な問題に対する日本のリーダーシップについて、首相に謝意を表明した。副大統領と首相は、ロシアのウクライナ侵攻に関する最近の動向を検討し、副大統領は、ロシアの責任追及を確保するための首相の果断な行動を認識した。両者は、東南アジア、太平洋諸島およびラテンアメリカにおける協力強化の重要性を強調した。副大統領は、安全保障上の懸念を共有する日米韓3カ国協力の利点を強調し、日韓2国間関係の緊密化に向けた前進を歓迎した。

 

| | Comments (0)

米国 NIST 重要なハイテク産業における米国の競争力に関する報告書

こんにちは、丸山満彦です。

NISTが重要なハイテク産業における米国の競争力に関する報告書を公表していますね。。。

652ページあるので、少し読むのは骨が折れそうです。。。

 

NIST - ITL

・2023.08.17 NIST Delivers Report on American Competitiveness in Critical High-Tech Industries

NIST Delivers Report on American Competitiveness in Critical High-Tech Industries NIST、重要なハイテク産業における米国の競争力に関する報告書を提出
The National Institute of Standards and Technology (NIST) has delivered to the U.S. Congress a report on several technologies that are critical to the global competitiveness, economic growth and national security of the United States. The American COMPETE Act report analyzes economic impact, supply chain vulnerabilities, and policy recommendations for each of the following technologies: 国立標準技術研究所(NIST)は、米国の国際競争力、経済成長、国家安全保障に不可欠ないくつかの技術に関する報告書を米国議会に提出した。米国COMPETE法報告書は、以下の各技術について、経済的影響、サプライチェーンの脆弱性、政策提言を分析している:
・Artificial intelligence ・人工知能
・Internet of Things and Internet of Things in manufacturing ・IoTと製造業におけるIoT
・Quantum computing ・量子コンピューティング
・Blockchain technology ・ブロックチェーン技術
・New and advanced materials ・新素材と先端素材
・Unmanned delivery services ・無人配送サービス
・Additive manufacturing ・積層造形
In delivering this report, NIST has fulfilled a requirement of the American COMPETE Act of 2021, which directed the secretary of commerce, in coordination with the Federal Trade Commission and other agencies, to report on these technologies. The secretary of commerce assigned the task to NIST, which has existing research programs and deep expertise in these areas. この報告書を提出するにあたり、NISTは2021年米国COMPETE法の要件を満たした。同法は、連邦取引委員会およびその他の機関と連携し、これらの技術について報告するよう商務長官に指示した。商務長官は、これらの分野で既存の研究プログラムを持ち、深い専門知識を持つNISTにこの任務を割り当てた。
“This report provides a critical analysis of where we are and where we need to go with these technologies that are crucial to the future of our nation,” said Under Secretary of Commerce for Standards and Technology and NIST Director Laurie E. Locascio. “The strategies identified in this report will help us grow our economy, strengthen our competitiveness and build the skilled workforce we need to maintain our position of global technological leadership.” 標準技術担当商務次官兼NISTディレクターのローリー・E・ロカシオ氏は、次のように述べている。「この報告書は、わが国の将来にとって極めて重要なこれらの技術について、われわれが現在どの段階にあり、今後どのような方向に進むべきかについての重要な分析を提供するものである。この報告書で特定された戦略は、わが国の経済を成長させ、競争力を強化し、世界的な技術リーダーシップの地位を維持するために必要な熟練労働力を構築するのに役立つだろう。」
For each technology, the report includes a snapshot of current research activities, public-private partnerships and standards development activities, as well as a review of economic impacts, supply chain risks and workforce needs. The report is based on publicly available literature, input from relevant federal agencies, and interviews with experts in the public and private sectors. It also includes material submitted in response to a request for information that NIST published in the Federal Register in November 2022, titled “Study to Advance a More Productive Tech Economy. 各技術について、現在の研究活動、官民パートナーシップ、標準開発活動のスナップショット、経済的影響、サプライチェーンリスク、労働力ニーズのレビューが含まれている。報告書は、一般に公開されている文献、連邦政府関連機関からの情報、官民の専門家へのインタビューに基づいている。また、NISTが2022年11月に連邦官報に掲載した情報提供要請(「より生産性の高い技術経済を推進するための研究」)に応えて提出された資料も含まれている。
Some of the technology areas covered in this report, such as quantum computing, are still in the research phase. Others, such as additive manufacturing, are already integrated into many areas of the economy. However, several common themes emerged, including the importance of: 本報告で取り上げられている技術分野の中には、量子コンピューティングのようにまだ研究段階にあるものもある。また、積層造形のように、すでに経済の多くの分野に組み込まれているものもある。しかし、以下のようないくつかの共通テーマが浮かび上がった:
・Continued federal support for facilities with cutting-edge research infrastructure and instrumentation; ・最先端の研究インフラや機器を備えた施設に対する連邦政府の継続的支援;
・Public-private partnerships that accelerate the transition of technologies from lab to market; ・研究室から市場への技術移行を加速させる官民パートナーシップ;
・Standards developed through collaboration of government, industry and consumer and civil society organizations; and ・政府、産業界、消費者団体、市民団体の協力によって開発された標準。
・A ready and capable workforce. ・準備の整った有能な労働力
NIST produced this report with contracted support from the Institute for Defense Analyses Science and Technology Policy Institute. The Quantum Economic Development Consortium contributed to the report, and the FTC reviewed sections dealing with consumer protection and competition. More information about the report is available on the NIST website. NISTは、Institute for Defense Analyses Science and Technology Policy Instituteからの委託支援を受けて本報告書を作成した。量子経済開発コンソーシアムは報告書に貢献し、FTCは消費者保護と競争に関するセクションのレビューを行った。本報告書の詳細については、NISTのウェブサイトを参照されたい。

 

・[PDF]

20230821-65137

 

目次...

Table of Contents 目次
Artificial Intelligence 人工知能
1. Artificial Intelligence 1. 人工知能
1.1. Overview 1.1. 概要
1.1.1. Definition of “Artificial Intelligence” 1.1.1. 人工知能の定義
1.1.2. Industry Sectors and Public-Private Partnerships 1.1.2. 産業分野と官民パートナーシップ
1.1.3. Industry-Based Standards 1.1.3. 業界標準
1.1.4. Federal Government Standards and Regulations 1.1.4. 連邦政府の標準とガバナンス
1.1.5. Interagency Activities 1.1.5. 省庁間の活動
1.1.6. Federal Government Resources 1.1.6. 連邦政府のリソース
1.1.7. Risks to the AI Supply Chain and Marketplace 1.1.7. AIサプライチェーンと市場に対するリスク
1.1.8. Risks to the American Public’s Civil Rights, Civil Liberties, and Privacy 1.1.8. アメリカ国民の市民権、市民的自由、プライバシーに対するリスク
1.1.9. Risks to the National Security, Including Economic Security, of the United States 1.1.9. 米国の国家安全保障(経済安全保障を含む)に対するリスク
1.1.10. Other Emerging Risks and Long-term Trends 1.1.10. その他の新たなリスクと長期的傾向
1.1.11. Recommendations 1.1.11. 提言
1.2. Background 1.2. 背景
1.2.1. Purpose and Structure of This Chapter 1.2.1. 本章の目的と構成
1.2.2. Context on Artificial Intelligence Technologies 1.2.2. 人工知能技術の背景
1.3. Observations 1.3. 考察
1.3.1. Industry 1.3.1. 産業
1.3.1.1. Industry Sectors That Implement, Develop and Promote the Use of Artificial Intelligence. 1.3.1.1. 人工知能の実装、開発、利用を推進する産業部門。
1.3.1.2. Public-Private Partnerships Focused on Promoting the Adoption and Use of Artificial Intelligence 1.3.1.2. 人工知能の採用と利用の促進に焦点を当てた官民パートナーシップ
1.3.1.3. Industry-Based Bodies that Develop Technical Standards for Artificial Intelligence. 1.3.1.3. 人工知能の技術標準を策定する業界ベースの団体。
1.3.1.4. Sector Specific Industry Entities Pursuing Standards for AI Development 1.3.1.4. AI 開発の標準を追求する分野別事業体
1.3.1.5. Nonprofit Industry Entities and Coalitions Supporting Development of Standards and Practices for AI Deployment 1.3.1.5. AI 展開のための標準と実践の開発を支援する非営利の事業体および連合体
1.3.1.6. Status of SDO Standards Focused on AI 1.3.1.6. AIに焦点を当てたSDO標準の状況
1.3.1.7. Description of Ways that Entities or Industry Sectors Develop, Implement, and Promote the Use of Artificial Intelligence 1.3.1.7. 事業体または産業部門が人工知能を開発、実施、利用促進する方法の説明
1.3.2. Federal Agencies with Jurisdiction 1.3.2. 管轄の連邦政府機関
1.3.3. Interaction of Federal Agencies with Industry Sectors 1.3.3. 連邦機関と産業部門との相互関係
1.3.4. U.S. Federal Government Interagency Activities 1.3.4. 米国連邦政府の省庁間活動
1.3.4.1. National Science and Technology Council (NSTC) Groups 1.3.4.1. 国家科学技術会議(NSTC)グループ
1.3.4.2. Other Interagency Coordination Mechanisms through the Executive Office of the President  1.3.4.2. 大統領府を通じたその他の省庁間調整メカニズム 
1.3.4.3. Other Interagency Coordination Activities 1.3.4.3. その他の省庁間調整活動
1.3.5. Regulations, Guidelines, and Other Policies Implemented by Federal Agencies 1.3.5. 連邦政府機関が実施する規則、ガイドライン、その他の方針
1.3.5.1. Non-Federal Use of AI 1.3.5.1. 連邦政府以外によるAIの利用
1.3.5.2. Federal Use of and Efforts in AI 1.3.5.2. 連邦政府によるAIの利用と取り組み
1.3.5.3. International Coordination, Guidance, and Policies on AI 1.3.5.3. AIに関する国際的な調整、指導、政策
1.3.6. Federal Government Resources for Consumers and Small Businesses to Evaluate the Use of Artificial Intelligence 1.3.6. 消費者および中小企業が人工知能の利用を評価するための連邦政府リソース
1.4. marketplace and Supply Chain 1.4. 市場とサプライチェーン
1.4.1. Risks Posed to the Supply Chain and Marketplace 1.4.1. サプライチェーンと市場にもたらされるリスク
1.4.1.1. Supply Chain Risks 1.4.1.1. サプライチェーンのリスク
1.4.1.2. Marketplace Risks 1.4.1.2. マーケットプレイスのリスク
1.4.2. Risks to the American Public’s Privacy, Civil Rights, and Civil Liberties 1.4.2. アメリカ国民のプライバシー、市民権、市民的自由に対するリスク
1.4.3. Risks to the National Security, Including Economic Security, of the United States 1.4.3. 米国の経済的安全保障を含む国家安全保障に対するリスク
1.4.4. Emerging Risks and Long-Term Trends in the Marketplace and Supply Chain 1.4.4. 市場とサプライチェーンにおける新たなリスクと長期的傾向
1.5. References 1.5. 参考文献
Appendix A. Abbreviations 附属書A. 略語
Appendix B. ACA Specifications for This Study 附属書B. 本試験のACA仕様
Appendix C. North American Industrial Classification Systems (NAICS) Sectors 附属書C. 北米産業分類システム(NAICS)セクター
Internet of Things IoT
2. Internet of Things 2. IoT
2.1. Overview 2.1. 概要
2.1.1. Definition of the “Internet of Things” 2.1.1. 「IoT」の定義
2.1.2. IoT and IoT in Manufacturing 2.1.2. 製造業におけるIoTとIoT
2.1.3. Brief History of IoT 2.1.3. IoTの簡単な歴史
2.1.4. Organization of the Chapter 2.1.4. 本章の構成
2.2 Background 2.2 背景
2.2.1. Objectives and Scope 2.2.1. 目的と範囲
2.2.2. IoT Industry Sectors 2.2.2. IoT産業セクター
2.2.3. Non-Government Entities That Support IoT Adoption 2.2.3. IoT導入を支援する非政府事業体
2.2.4. U.S. Federal Government Support for IoT 2.2.4. IoTに対する米国連邦政府のサポート
2.2.5. U.S. Federal Government Engagement with Industry 2.2.5. 米国連邦政府と産業界とのガバナンス
2.2.6. Market Trends in IoT Use in Manufacturing 2.2.6. 製造業におけるIoT利用の市場動向
2.2.7. Risks Posed by IoT Technologies 2.2.7. IoT技術がもたらすリスク
2.3. Observations 2.3. 考察
2.3.1. Industry Sectors That Develop, Implement, and Promote the Use of the Internet of Things  2.3.1. IoTを開発、導入、利用促進する産業部門 
2.3.2. Public-Private Partnerships Focused on Promoting the Adoption and Use of the Internet of Things 2.3.2. IoTの採用と利用の促進に焦点を当てた官民パートナーシップ
2.3.3. Industry-Based Bodies That Develop Mandatory or Voluntary Standards for the Internet of Things 2.3.3. IoTに関する標準または自主基準を策定する業界団体
2.3.3.1. Industry Consortia and Associations. 2.3.3.1. 業界コンソーシアムおよび団体
2.3.3.2. Standards Development Organizations 2.3.3.2. 標準開発組織
2.3.3.3. Open-Source Foundations (OSF) 2.3.3.3. オープンソース財団(OSF)
2.3.3.4. Industry Alliances 2.3.3.4. 業界アライアンス
2.3.3.5. Cybersecurity Guidance Organizations 2.3.3.5. サイバーセキュリティ指導機関
2.3.4. Status of Industry-Based Mandatory or Voluntary Standards. 2.3.4. 業界ベースの標準または自主基準の状況
2.3.5. Description of the Ways Entities of Industry Sectors Develop, Implement, and Promote the Use of the Internet of Things 2.3.5. 産業分野の事業体がIoTの利用を開発、実施、促進する方法の説明
2.3.6. Federal Agencies with Jurisdiction. 2.3.6. 管轄権を有する連邦機関
2.3.6.1. Federal Agencies with Cross-Sector Jurisdiction over IoT 2.3.6.1. IoT を横断的に管轄する連邦政府機関
2.3.6.2. Federal Agencies with Cross-Sector Responsibilities under Recent Executive Orders 2.3.6.2. 最近の大統領令の下で、分野横断的な責任を有する連邦政府機関
2.3.6.3. Federal Agencies with Sector-Specific Jurisdiction over IoT 2.3.6.3. IoT に関して分野別管轄権を有する連邦政府機関
2.3.7. Interaction of Federal Agencies with Industry Sectors 2.3.7. 連邦政府と産業部門との相互関係
2.3.8. Interagency Activities. 2.3.8. 省庁間の活動
2.3.9. Regulations, Guidelines, Mandatory Standards, Voluntary Standards, and Other Policies Implemented by Federal Agencies 2.3.9. 連邦政府機関が実施する規制、ガイドライン、標準規格、自主規格、その他の政策
2.3.9.1. Federal IoT Laws 2.3.9.1. 連邦IoT法
2.3.9.2. NIST Guidance 2.3.9.2. NIST ガイダンス
2.3.9.3. Guidance from Other Agencies 2.3.9.3. 他省庁からのガイダンス
2.3.10. Guidelines, Mandatory Standards, Voluntary Standards, and Other Policies Implemented by Industry-Based Bodies 2.3.10. 業界団体が実施するガイドライン、標準規格、自主規格、その他の方針
2.3.11. Federal Government Resources for Consumers and Small Businesses to Evaluate the Use of Internet of Things 2.3.11. 消費者および中小企業がIoTの利用を評価するための連邦政府リソース
2.4. IoT Use in Manufacturing: Marketplace and Supply CHain 2.4. 製造業における IoT の利用: 市場とサプライチェーン
2.4.1. Market Overview 2.4.1. 市場の概要
2.4.2. Risks Posed to the Marketplace and Supply Chain 2.4.2. マーケットプレイスとサプライチェーンにもたらされるリスク
2.4.3. Risks to the National Security of the United States 2.4.3. 米国の国家安全保障に対するリスク
2.4.4. Harms to Rights, Opportunities, and Access to Critical Resources and Services 2.4.4. 権利、機会、重要な資源やサービスへのアクセスに対する損害
2.4.5. Emerging Risks and Long-Term Trends in the Marketplace and Supply Chain 2.4.5. 市場とサプライチェーンにおける新たなリスクと長期的傾向
2.5. Recommendations 2.5. 提言
References 参考文献
Appendix D. Abbreviations 附属書D. 略語
Appendix E. World of IoT 附属書E. IoTの世界
Appendix F. Additional Organizations Involved in IoT 附属書F. IoTに関わるその他の組織
Appendix G. Mandatory or Voluntary Standards Technology Design Considerations 附属書G. 標準または自主規格 技術設計上の考慮事項
Quantum Computing 量子コンピューティング
3. Quantum Computing 3. 量子コンピューティング
3.1. Overview 3.1. 概要
3.1.1. Industry Sectors and Public-Private Partnerships 3.1.1. 産業セクターと官民パートナーシップ
3.1.2. Industry-Based Standards 3.1.2. 業界ベースの標準
3.1.3. Federal Government Standards and Regulations 3.1.3. 連邦政府の標準とガバナンス
3.1.4. Interagency Coordination 3.1.4. 省庁間調整
3.1.5. Federal Government Resources 3.1.5. 連邦政府のリソース
3.1.6. Risks to the QC Supply Chain and Marketplace 3.1.6. QCサプライチェーンと市場に対するリスク
3.1.7. Risks to the National Security, Including Economic Security, of the United States 3.1.7. 米国の経済的安全保障を含む国家安全保障に対するリスク
3.1.8. Recommendations 3.1.8. 提言
3.2. Background 3.2. 背景
3.2.1. Introduction to Quantum Computing 3.2.1. 量子コンピューティング序文
3.2.1. QC Technologies Are in Early Stages of R&D 3.2.1. QC技術は研究開発の初期段階にある
3.2.2. Support for QC R&D 3.2.2. QC研究開発への支援
3.3. Observations 3.3. 考察
3.3.1. Industry Sectors That Develop, Implement, and Promote the Use of Quantum Computing 3.3.1. 量子コンピューティングを開発、実装、利用促進する産業部門
3.3.2. Public-Private Partnerships Focused on Promoting the Adoption and Use of Quantum Computing 3.3.2. 量子コンピューティングの導入と利用促進に注力する官民パートナーシップ
3.3.2.1. QED-C 3.3.2.1. QED-C
3.3.2.2. NIST Research Partnerships 3.3.2.2. NIST 研究パートナーシップ
3.3.2.2.1. JILA 3.3.2.2.1. JILA
3.3.2.2.2. JQI 3.3.2.2.2. JQI
3.3.2.3. National Science Foundation Partnerships 3.3.2.3. 全米科学財団パートナーシップ
3.3.2.3.1. Quantum Leap Challenge Institutes 3.3.2.3.1. 量子飛躍チャレンジ機構
3.3.2.3.2. Dear Colleague Letter for Cloud-Based Access to Quantum Computing Resources. 3.3.2.3.2. 量子コンピューティングリソースへのクラウドベースアクセスのための親愛なる同僚書簡
3.3.2.4. Department of Energy National Quantum Information Science Research Centers 3.3.2.4. エネルギー省国立量子情報科学研究センター
3.3.2.5. DoD QC Partnerships 3.3.2.5. 国防総省量子情報科学パートナーシップ
3.3.2.5.1. Innovare Advancement Center 3.3.2.5.1. イノベア・アドバンスメント・センター
3.3.2.5.2. DoD Quantum Technology Center 3.3.2.5.2. 国防総省量子技術センター
3.3.2.5.3. LPS Qubit Collaboratory 3.3.2.5.3. LPSキュービットコラボラトリー
3.3.2.6. National Q-12 Education Partnership 3.3.2.6. 全米Q-12教育パートナーシップ
3.3.2.7. QIS Public-Private Partnerships in Other Regions and Nations 3.3.2.7. 他地域・他国におけるQIS官民パートナーシップ
3.3.3. Industry-Based Bodies That Develop Mandatory or Voluntary Standards for Quantum Computing 3.3.3. 量子コンピューティングの標準規格を策定する業界団体
3.3.3.1. SDO Entities Developing QC Standards 3.3.3.1. QC 標準を策定する SDO 事業体
3.3.3.2. Informal or De Facto Standards 3.3.3.2. 非公式またはデファクト標準
3.3.3.3. Status of Industry-based Mandatory or Voluntary Standards 3.3.3.3. 業界ベースの標準または自主的標準の状況
3.3.4. Federal Agencies with Jurisdiction. 3.3.4. 管轄の連邦機関
3.3.5. Interaction of Federal Agencies with Industry Sectors 3.3.5. 連邦政府と産業部門との相互関係
3.3.6. Interagency Activities. 3.3.6. 省庁間の活動
3.3.7. Regulations, Guidelines, Mandatory Standards, Voluntary Standards, and Other Policies Implemented by Federal Agencies 3.3.7. 連邦政府機関が実施する規制、ガイドライン、標準規格、自主規格、その他の政策
3.3.8. Federal Government Resources for Consumers and Small Businesses to Evaluate the Use of Quantum Computing 3.3.8. 消費者および中小企業が量子コンピューティングの利用を評価するための連邦政府リソース
3.4. Marketplace and Supply Chain Risks 3.4. 市場とサプライチェーンのリスク
3.5. Risks to U.S. National Security, Including Economic Security 3.5. 経済的安全保障を含む米国の国家安全保障に対するリスク
3.6. Recommendations 3.6. 提言
References 参考文献
Appendix H. Abbreviations 附属書H. 略語
Appendix I. American COMPETE ACT Quantum Computing Text 附属書 I.米国COMPETE ACT量子コンピューティングテキスト
Appendix J. Quantum Consortia 附属書J. 量子コンソーシアム
Appendix K. Quantum Computing Marketplace and Supply Chin Survey Results 附属書K. 量子コンピューティング市場とサプライチェーンに関する調査結果
Blockchain ブロックチェーン
4. Blockchain 4. ブロックチェーン
4.1. Overview 4.1. 概要
4.1.1. Definition of “Blockchain” and Related Concepts 4.1.1. ブロックチェーン」の定義と関連概念
4.1.2. Properties of Blockchain Technology 4.1.2. ブロックチェーン技術の特性
4.2. Background 4.2. 背景
4.2.1. Key Technologies That Underpin Blockchain Technology 4.2.1. ブロックチェーン技術を支える主要技術
4.2.1.1. Public-Key Cryptography 4.2.1.1. 公開鍵暗号
4.2.1.2. Cryptographic Hash Algorithms 4.2.1.2. 暗号ハッシュアルゴリズム
4.2.1.3. Distributed Systems 4.2.1.3. 分散システム
4.2.1.4. Consensus Mechanisms 4.2.1.4. 合意メカニズム
4.2.2. Services Provided by Blockchain Technology 4.2.2. ブロックチェーン技術が提供するサービス
4.2.3. Application Areas of Blockchain Technology 4.2.3. ブロックチェーン技術の応用分野
4.2.3.1. Cryptocurrency 4.2.3.1. 暗号通貨
4.2.3.2. U.S. Central Bank Digital Currency 4.2.3.2. 米国中央銀行のデジタル通貨
4.2.3.3. Decentralized Finance 4.2.3.3. 分散型金融
4.2.3.4. Transaction Data Management as Asset Management 4.2.3.4. 資産管理としての取引データ管理
4.2.3.5. Supply Chains 4.2.3.5. サプライチェーン
4.2.3.6. Auditing of Regulated Industries 4.2.3.6. 規制産業の監査
4.2.3.7. Provenance and Traceability of Natural Resources 4.2.3.7. 天然資源の証明とトレーサビリティ
4.2.3.8. Personal Data and Identity Management 4.2.3.8. 個人データとアイデンティティ管理
4.2.4. Key Risks, Challenges, and Uncertainty Related to Blockchain Technology 4.2.4. ブロックチェーン技術に関する主なリスク、課題、不確実性
4.3. Observations 4.3. 考察
4.3.1. Industry Sectors That Develop, Implement, and Promote the Use of Blockchain 4.3.1. ブロックチェーンの開発、導入、利用を推進する産業セクター
4.3.1.1. Public-Private Partnerships Focuses on Promoting the Adoption and Use of Blockchain 4.3.1.1. 官民パートナーシップはブロックチェーンの導入・利用促進に注力している
4.3.1.2. Industry-Based Bodies that Develop Voluntary Standards for Blockchain 4.3.1.2. ブロックチェーンの自主標準を策定する業界団体
4.3.1.3. Description of the Ways Entities or Industry Sectors Develop, Implement, and Promote the Use of Blockchain 4.3.1.3. 事業体や業界セクターがブロックチェーンの開発、導入、利用を促進する方法の説明
4.3.2. Federal Agency Roles 4.3.2. 連邦機関の役割
4.3.2.1. Cross-Cutting Blockchain Issues 4.3.2.1. 横断的なブロックチェーン問題
4.3.2.2. Existing or Emerging Blockchain Use Cases 4.3.2.2. 既存または新たなブロックチェーンユースケース
4.3.3. Interaction of Federal Agencies with Industry Sectors 4.3.3. 連邦政府機関と産業セクターとの相互作用
4.3.4. Interagency Activities. 4.3.4. 省庁間の活動
4.3.5. Regulations, Guidelines, Mandatory Standards, Voluntary Standards, and Other Policies Implemented by Federal Agencies 4.3.5. 連邦政府機関が実施する規制、ガイドライン、標準規格、自主規格、その他の政策
4.3.6. Guidelines, Mandatory Standards, Voluntary Standards, and Other Policies Implemented by Industry-Based Bodies 4.3.6. 業界団体によって実施されるガイドライン、標準、自主基準、その他の方針
4.3.7. Federal Government Resources for Consumers and Small Businesses to Evaluate the Use of Blockchain 4.3.7. 消費者と中小企業がブロックチェーンの利用を評価するための連邦政府リソース
4.3.8. Building a Blockchain Workforce 4.3.8. ブロックチェーン人材の育成
4.4. Marketplace and Supply Chain 4.4. マーケットプレイスとサプライチェーン
4.4.1. Risks Posed to the Marketplace and Supply Chain 4.4.1. マーケットプレイスとサプライチェーンにもたらされるリスク
4.4.2. Risks to the National Security, including the Economic Security, of the United States   4.4.2. 米国の経済的安全保障を含む国家安全保障に対するリスク  
4.4.3. Emerging Risks and Long-Term Trends in the Marketplace and Supply Chain 4.4.3. 市場とサプライチェーンにおける新たなリスクと長期的傾向
4.5. Recommendations 4.5. 提言
References 参考文献
Appendix L. Abbreviations 附属書L 略語
New and Advanced Materials 新素材と先端素材
5. New and Advanced Materials 5. 新素材と先端材料
5.1. Overview 5.1. 概要
5.1.1. Definition of “New and Advanced Materials” 5.1.1. "新素材・先端材料 "の定義
5.1.2. Federal Prioritization of New and Advanced Materials 5.1.2. 新素材と先端材料の連邦優先順位
5.2. Background 5.2. 背景
5.3. Observations 5.3. 考察
5.3.1. Industry 5.3.1. 産業
5.3.1.1. NAMs in Industry 5.3.1.1. 業界におけるNAM
5.3.1.2. Industry Sectors that Develop, Implement, and Promote the Use of NAMs 5.3.1.2. NAMを開発、実施、利用促進する産業部門
5.3.1.3. Public-Private Partnerships Focused on Promoting the Adoption and Use of NAMs 5.3.1.3. NAM の採用と使用の促進に焦点を当てた官民パートナーシップ
5.3.1.4. Industry-Based Bodies that Develop Mandatory or Voluntary Standards for NAMs 5.3.1.4. NAMの標準または自主基準を策定する業界団体
5.3.1.5. Status of Industry-Based Mandatory or Voluntary Standards 5.3.1.5. 業界ベースの標準または自主的標準の状況
5.3.1.6. Description of the Ways Entities Develop, Implement, and Promote the Use of NAMs 5.3.1.6. 事業体がNAMを開発、実施、利用促進する方法の説明
5.3.2. Federal Agencies with Jurisdiction. 5.3.2. 所管連邦機関
5.3.3. Interaction of Federal Agencies with Industry Sectors 5.3.3. 連邦政府と産業部門との相互関係
5.3.3.1. Bureau of Industry and Security (BIS) 5.3.3.1. 産業安全保障局(BIS)
5.3.3.2. Department of Defense (DoD) 5.3.3.2. 国防総省(DoD)
5.3.3.3. Department of Energy (DOE) 5.3.3.3. エネルギー省(DOE)
5.3.3.4. Department of State (DOS) 5.3.3.4. 国務省(DOS)
5.3.3.5. Food and Drug Administration (FDA) 5.3.3.5. 食品医薬品局(FDA)
5.3.3.6. Federal Aviation Administration (FAA) 5.3.3.6. 連邦航空局(FAA)
5.3.3.7. National Aeronautics and Space Administration (NASA) 5.3.3.7. 米航空宇宙局(NASA)
5.3.3.8. National Institutes of Health (NIH) 5.3.3.8. 国立衛生研究所(NIH)
5.3.3.9. National Institute of Standards and Technology (NIST) 5.3.3.9. 国立標準技術研究所(NIST)
5.3.3.10. National Science Foundation (NSF) 5.3.3.10. 全米科学財団(NSF)
5.3.3.11. Nuclear Regulatory Commission (NRC) 5.3.3.11. 原子力規制委員会(NRC)
5.3.3.12. U.S. Geological Survey (USGS) 5.3.3.12. 米国地質調査所(USGS)
5.3.4. U.S. Federal Government Interagency Activities 5.3.4. 米国連邦政府の省庁間活動
5.3.4.1. The Materials Genome Initiative (MGI) 5.3.4.1. マテリアル・ゲノム・イニシアティブ(MGI)
5.3.4.2. The National Nanotechnology Initiative (NNI) 5.3.4.2. 国家ナノテクノロジー推進計画(NNI)
5.3.4.3. The National Quantum Initiative (NQI) 5.3.4.3. 国家量子イニシアチブ(NQI)
5.3.4.4. Other Federal Interagency Efforts 5.3.4.4. その他の連邦省庁間の取り組み
5.3.5. Regulations, Guidelines, Mandatory Standards, Voluntary Standards, and Other Policies Implemented by Federal Agencies 5.3.5. 連邦政府機関が実施する規制、ガイドライン、標準規格、自主規格、その他の政策
5.3.5.1. BIS 5.3.5.1. BIS
5.3.5.2. DoD 5.3.5.2. 国防総省
5.3.5.3. DOE 5.3.5.3. DOE
5.3.5.4. DOS 5.3.5.4. DOS
5.3.5.5. EPA 5.3.5.5. EPA
5.3.5.6. FAA 5.3.5.6. 連邦航空局
5.3.5.7. FDA 5.3.5.7. FDA
5.3.5.8. NASA 5.3.5.8. NASA
5.3.5.9. NIH 5.3.5.9. NIH
5.3.5.10. NSF 5.3.5.10. NSF
5.3.6. Guidelines, Mandatory Standards, Voluntary Standards, and Other Policies Implemented by Industry-Based Bodies 5.3.6. 業界団体が実施するガイドライン、標準規格、自主規格、その他の方針
5.3.6.1. ASTM 5.3.6.1. ASTM
5.3.6.2. IEEE 5.3.6.2. IEEE
5.3.6.3. VAMAS 5.3.6.3. VAMAS
5.3.6.4. Manufacturing USA Institutes 5.3.6.4. 米国製造機構
5.3.7. Federal Government Resources for Consumers and Small Businesses to Evaluate the Use of NAMs 5.3.7. 消費者および中小企業がNAMの使用を評価するための連邦政府リソース
5.3.7.1. Documents, Data, and Informational Resources 5.3.7.1. 文書、データ、情報資源
5.3.7.2. Department of Energy National Laboratory User Facilities 5.3.7.2. エネルギー省国立研究所ユーザー施設
5.3.7.3. National Science Foundation Materials Research Science and Engineering Centers (MRSECs) 5.3.7.3. 全米科学財団材料研究科学工学センター(MRSECs)
5.3.7.4. NSF National Nanotechnology Coordinated Infrastructure 5.3.7.4. NSF ナショナル・ナノテクノロジー連携基盤
5.3.7.5. NSF Science and Technology Centers (STCs) 5.3.7.5. NSF 科学技術センター(STC)
5.3.7.6. NIST and NSF Center for High Resolution Neutron Scattering (CHRNS) 5.3.7.6. NIST および NSF 高分解能中性子散乱センター(CHRNS)
5.3.7.7. NIST Center for Nanoscale Science and Technology (CNST) 5.3.7.7. NISTナノスケール科学技術センター(CNST)
5.3.7.8. Department of Defense-Supported Facilities 5.3.7.8. 国防総省支援施設
5.3.7.9. Computational Materials Science Centers (CMSCs) and the Network for Computational Nanotechnology 5.3.7.9. 計算材料科学センター(CMSC)と計算ナノテクノロジー・ネットワーク
5.4. Marketplace and Supply Chain 5.4. 市場とサプライチェーン
5.4.1. Risks to the NAMs Supply Chain and Marketplace 5.4.1. NAMs のサプライチェーンとマーケットプレイスに対するリスク
5.4.1.1. Critical Minerals 5.4.1.1. 重要鉱物
5.4.2. Risks by Materials Category 5.4.2. カテゴリー別のリスク
5.4.2.1. Supply Chain Risks 5.4.2.1. サプライチェーンリスク
5.4.2.2. Marketplace Risks 5.4.2.2. 市場リスク
5.4.3. Risks to the National Security, Including Economic Security, of the United States 5.4.3. 米国の経済的安全保障を含む国家安全保障に対するリスク
5.4.3.1. Critical Minerals 5.4.3.1. 重要鉱物
5.4.3.2. International Efforts 5.4.3.2. 国際的な取り組み
5.4.4. Emerging Risks and Long-Term Trends in the Marketplace and Supply Chain 5.4.4. 市場とサプライチェーンにおける新たなリスクと長期的傾向
5.4.4.1. Supply Chain Evolution and Sustainability 5.4.4.1. サプライチェーンの進化と持続可能性
5.4.4.2. NAMs Workforce Development 5.4.4.2. NAMの労働力開発
5.5. Recommendations 5.5. 提言
References 参考文献
Appendix M. Abbreviations 附属書 M. 略語
Appendix N. NAMs and ACA Technologies 附属書N NAMとACA技術
N.1. Additive Manufacturing N.1. 付加製造
N.2. Artificial Intelligence / Machine Learning (AI/ML) N.2. 人工知能/機械学習(AI/ML)
N.3. Internet of Things (IoT) N.3. IoT(IoT)
N.4. Blockchain N.4. ブロックチェーン
N.5. Quantum Computing N.5. 量子コンピューティング
N.6. Unmanned Delivery Services  N.6. 無人配送サービス 
Unmanned Delivery Services 無人配送サービス
6. Unmanned Delivery Services 6. 無人配送サービス
6.1. Overview 6.1. 概要
6.1.1. Definition of “Unmanned Delivery Services” 6.1.1. "無人配送サービス "の定義
6.2. Approach 6.2. アプローチ
6.2.1. Approach 6.2.1. アプローチ
6.2.1.1. Aerial UDS 6.2.1.1. 空中UDS
6.2.1.2. Ground UDS 6.2.1.2. 地上UDS
6.3. Observations 6.3. 考察
6.3.1. Industry Sectors That Develop, Build, Implement, and Use UDS 6.3.1. UDSを開発、構築、導入、使用する産業部門
6.3.2. Current Uses of UDS 6.3.2. UDSの現在の用途
6.3.3. Future Applications of UDS 6.3.3. UDSの将来の用途
6.3.4. Challenges to Development of UDS 6.3.4. UDS開発への課題
6.3.4.1. Challenges for Aerial UDS 6.3.4.1. 空中UDSの課題
6.3.4.2. Challenges for Ground UDS 6.3.4.2. 地上UDSの課題
6.3.5. Challenges to Adoption of UDS 6.3.5. UDS導入の課題
6.3.5.1. UDS-specific Infrastructure and Logistics 6.3.5.1. UDS特有のインフラとロジスティクス
6.3.5.2. Test Methods and Standards to Assess Safety and Security 6.3.5.2. 安全性とセキュリティを評価する試験方法と標準
6.3.5.3. Harms to People, and Associated Harms to Trust 6.3.5.3. 人への危害、およびそれに伴う信頼への危害
6.3.5.4. Regulatory Frameworks that Affect UDS Operations 6.3.5.4. UDSの運用に影響を与える規制の枠組み
6.3.6. Safety Risks Associated with the Adoption of UDS 6.3.6. UDSの採用に伴う安全リスク
6.3.6.1. In the Air 6.3.6.1. 航空
6.3.6.2. On the Road 6.3.6.2. 路上
6.3.7. Effect of UDS on Traffic Safety and Congestion 6.3.7. 交通安全と渋滞に対するUDSの効果
6.3.7.1. Air 6.3.7.1. 航空
6.3.7.2. Ground 6.3.7.2. 地上
6.3.8. United States Development and Manufacture of Software, Technology, Infrastructure for UDS 6.3.8. 米国 UDS用ソフトウェア、技術、インフラの開発・製造
6.3.8.1. Air 6.3.8.1. 航空
6.3.8.2. Ground 6.3.8.2. 地上
6.3.9. Effects of UDS on the Workforce 6.3.9. UDSの労働力への影響
6.3.9.1. Potential Job Losses 6.3.9.1. 潜在的な雇用喪失
6.3.9.2. Potential Job Creation 6.3.9.2. 潜在的な雇用創出
6.3.9.3. Potential Changes to Existing Jobs 6.3.9.3. 既存雇用の潜在的変化
6.3.9.4. Potential Effects on Job Quality 6.3.9.4. 雇用の質に対する潜在的影響
6.3.10. Federal Activity Related to UDS 6.3.10. UDSに関連する連邦政府の活動
6.3.10.1. Federal Agencies with Jurisdiction 6.3.10.1. 管轄連邦政府機関
6.3.10.2. Interagency Activities – Research and Development 6.3.10.2. 省庁間活動-研究開発
6.3.10.3. Interagency Activities - Federal Coordination and Informal Collaboration 6.3.10.3. 省庁間活動-連邦政府の調整と非公式の協力
6.3.10.4. Other Federal Activities 6.3.10.4. その他の連邦活動
6.4. Marketplace and Supply Chain 6.4. 市場とサプライチェーン
6.4.1. Risks Posed to the Marketplace and Supply Chain 6.4.1. 市場とサプライチェーンにもたらされるリスク
6.4.2. Risks to the National Security, Including Economic Security, of the United States 6.4.2. 米国の経済的安全保障を含む国家安全保障に対するリスク
6.4.3. Emerging Risks and Long-term Trends in the Marketplace and Supply Chain 6.4.3. 市場とサプライチェーンにおける新たなリスクと長期的傾向
6.5. Recommendation 6.5. 提言
References 参考文献
Additive Manufacturing & Three-Dimensional Printing 積層造形と三次元印刷
7. Additive Manufacturing & Three-Dimensional Printing 7. 積層造形と三次元印刷
7.1. Overview 7.1. 概要
7.1.1. Definition of “Additive Manufacturing” 7.1.1. "積層造形 "の定義
7.2. Background 7.2. 背景
7.3. Observations 7.3. 考察
7.3.1. Industry Sectors that Implement and Promote the Use of AM 7.3.1. AMを導入・推進する産業部門
7.3.2. Cross-Sectoral AM 7.3.2. 部門を超えたAM
7.3.2.1. AM Public-Private Partnerships and Consortia (Cross-Sectoral) 7.3.2.1. AMの官民パートナーシップとコンソーシアム(分野横断的)
7.3.2.2. AM Standards Bodies and Current State of Industry-Based Standards (Cross-Sectoral) 7.3.2.2. AM 標準団体と業界ベースの標準の現状(分野横断的)
7.3.2.3. Status of Industry-Based Mandatory or Voluntary Standards (Cross-Sectoral) 7.3.2.3. 業界ベースの標準または自主的標準の状況(分野横断的)
7.3.3. Aerospace 7.3.3. 航空宇宙
7.3.3.1. Development, Implementation, and Promotion of AM (Aerospace) 7.3.3.1. AMの開発、実施、推進(航空宇宙分野)
7.3.3.2. AM Public-Private Partnerships and Consortia (Aerospace) 7.3.3.2. AMの官民パートナーシップとコンソーシアム(航空宇宙分野)
7.3.3.3. AM Standards Bodies and Current State of Industry-Based Standards(Aerospace) 7.3.3.3. AM標準団体と業界ベースの標準の現状(航空宇宙分野)
7.3.4. Automotive 7.3.4. 自動車
7.3.4.1. Development, Implementation, and Promotion of AM (Automotive) 7.3.4.1. AMの開発、実施、促進(自動車)
7.3.4.2. AM Public-Private Partnerships (Automotive) 7.3.4.2. AM官民パートナーシップ(自動車)
7.3.4.3. AM Standards Bodies and Current State of Industry-Based Standards (Automotive) 7.3.4.3. 自動車業界標準化団体と業界標準化の現状(自動車業界)
7.3.5. Biomedicine 7.3.5. バイオ医薬
7.3.5.1. Development, Implementation, and Promotion of AM (Biomedicine) 7.3.5.1. AMの開発、実施、促進(生物医学)
7.3.5.2. AM Public-Private Partnerships (Biomedicine) 7.3.5.2. AM官民パートナーシップ(生物医学)
7.3.5.3. AM Standards Bodies and Current State of Industry-Based Standards (Biomedicine) 7.3.5.3. AM標準団体と業界ベースの標準の現状(生物医学)
7.3.6. Consumer Products 7.3.6. 消費者製品
7.3.6.1. Development, Implementation, and Promotion of AM (Consumer Products) 7.3.6.1. AMの開発、実施、促進(消費者製品)
7.3.6.2. AM Public-Private Partnerships (Consumer Products) 7.3.6.2. AM官民パートナーシップ(消費者製品)
7.3.6.3. AM Standards Bodies and Current State of Industry-Based Standards (Consumer Products) 7.3.6.3. AM標準団体と業界ベースの標準の現状(消費者製品)
7.3.7. Energy 7.3.7. エネルギー
7.3.7.1. Development, Implementation, and Promotion of AM (Energy) 7.3.7.1. AMの開発、実施、促進(エネルギー)
7.3.7.2. AM Public-Private Partnerships (Energy) 7.3.7.2. AM官民パートナーシップ(エネルギー)
7.3.7.3. AM Standards Bodies and Current State of Industry-Based Standards (Energy) 7.3.7.3. AM標準団体と業界ベースの標準の現状(エネルギー)
7.3.8. Printed Electronics 7.3.8. プリンテッドエレクトロニクス
7.3.8.1. Development, Implementation, and Promotion of AM (Printed Electronics) 7.3.8.1. AMの開発、実施、促進(プリンテッドエレクトロニクス)
7.3.8.2. AM Public-Private Partnerships (Printed Electronics) 7.3.8.2. AMの官民パートナーシップ(プリンテッドエレクトロニクス)
7.3.8.3. AM Standards Bodies and Current State of Industry-Based Standards (Printed Electronics) 7.3.8.3. AM 標準団体と業界ベースの標準の現状(プリンテッドエレクトロニクス)
7.3.9. Construction 7.3.9. 建設
7.3.9.1. Development, Implementation, and Promotion of AM (Construction) 7.3.9.1. AMの開発、実施、促進(建設)
7.3.9.2. AM Public-Private Partnerships (Construction) 7.3.9.2. AM官民パートナーシップ(建設)
7.3.9.3. AM Standards Bodies and Current State of Industry-Based Standards (Construction) 7.3.9.3. AM標準団体と業界ベースの標準の現状(建設業)
7.3.10. Heavy Equipment 7.3.10. 重機
7.3.10.1. Development, Implementation, and Promotion of AM (Heavy Equipment) 7.3.10.1. AMの開発、実施、促進(重機)
7.3.10.2. AM Public-Private Partnerships (Heavy Equipment) 7.3.10.2. AM の官民パートナーシップ(重機)
7.3.10.3. AM Standards Bodies and Current State of Industry-Based Standards (Heavy Equipment) 7.3.10.3. AM標準団体と業界ベースの標準の現状(重機)
7.4. Federal Agencies with Jurisdiction 7.4. 管轄の連邦政府機関
7.4.1. Aerospace 7.4.1. 航空宇宙
7.4.2. Automotive 7.4.2. 自動車
7.4.3. Biomedicine 7.4.3. バイオ医薬
7.4.4. Consumer Products 7.4.4. 消費者製品
7.4.5. Energy 7.4.5. エネルギー
7.4.6. Printed Electronics 7.4.6. プリンテッドエレクトロニクス
7.4.7. Construction 7.4.7. 建設
7.4.8. Heavy Equipment 7.4.8. 重機
7.5.Interaction of Federal Agencies with Industry Sectors 7.5.連邦政府と産業部門との相互関係
7.5.1. National Institute of Standards and Technology (NIST) 7.5.1. 国立標準技術研究所(NIST)
7.5.2. Food and Drug Administration (FDA) 7.5.2. 食品医薬品局(FDA)
7.5.3. Department of Defense (DoD) 7.5.3. 国防総省(DoD)
7.5.4. Federal Aviation Administration (FAA) 7.5.4. 連邦航空局(FAA)
7.5.5. National Highway Traffic Safety Administration (NHTSA) 7.5.5. 国家道路交通安全局(NHTSA)
7.5.6. Federal Motor Carrier Safety Administration (FMCSA) 7.5.6. 連邦自動車運送安全局(FMCSA)
7.5.7. Centers for Disease Control (CDC) 7.5.7. 疾病対策センター(CDC)
7.5.8. National Aeronautics and Space Administration (NASA) 7.5.8. アメリカ航空宇宙局(NASA)
7.5.9. Department of Energy (DOE) 7.5.9. エネルギー省(DOE)
7.5.10. National Science Foundation (NSF) 7.5.10. 全米科学財団(NSF)
7.5.11. Nuclear Regulatory Commission (NRC) 7.5.11. 原子力規制委員会(NRC)
7.5.12. Environmental Protection Agency (EPA) 7.5.12. 環境保護庁(EPA)
7.5.13. Consumer Products Safety Commission (CPSC) 7.5.13. 消費者製品安全委員会(CPSC)
7.5.14. Bureau of Industry and Security (BIS) 7.5.14. 産業安全保障局(BIS)
7.5.15. Department of Veterans Affairs (VA) 7.5.15. 退役軍人省(VA)
7.6. Interagency Activities 7.6. 省庁間活動
7.6.1. Informal Interagency Activities 7.6.1. 非公式な省庁間活動
7.6.2. Formal Interagency Activities 7.6.2. 正式な省庁間活動
7.6.2.1. Interagency Writing Team on Performance and Reliability of Advanced Manufactured Parts (IWT-PRAM) 7.6.2.1. 先進製造部品の性能と信頼性に関する省庁間執筆チーム(IWT-PRAM)
7.6.2.2. 4D Bio3 7.6.2.2. 4Dバイオ3
7.6.2.3. Materials Genome Initiative 7.6.2.3. 材料ゲノム・イニシアティブ
7.6.2.4. Joint Metal Additive Database Definition (JMADD) 7.6.2.4. 共同金属添加物データベース定義(JMADD)
7.6.2.5. Formal Collaborations at NRC 7.6.2.5. NRC における正式な共同研究
7.6.2.6. Joint Incentive Fund Between VA and DoD 7.6.2.6. VA と国防総省の共同奨励基金
7.6.2.7. Memorandum of Understanding: Streamlining Emerging Technology Medical Device Development Through Regulatory Tools 7.6.2.7. 覚書 規制ツールによる新技術医療機器開発の合理化
7.7. Regulations, Guidelines, Mandatory Standards, Voluntary Standards, and Other Policies Implemented by Federal Agencies 7.7. 連邦政府機関が実施する規制、ガイドライン、標準規格、任意規格、その他の政策
7.8. Guidelines, Mandatory Standards, Voluntary Standards, and Other Policies implemented by industry-Based Bodies 7.8. 業界団体により実施されるガイドライン、標準規格、自主規格、その他の政策
7.9. Federal Government Resources for Small Businesses to Evaluate the Use of Additive Manufacturing 7.9. 付加製造の使用を評価するための中小企業向け連邦政府リソース
7.9.1. Small Business Innovation Research (SBIR) and Small Business Technology Transfer (STTR) 7.9.1. 小規模企業技術革新研究(SBIR)および小規模企業技術移転(STTR)
7.9.2. Manufacturing USA Institutes 7.9.2. Manufacturing USA 機構
7.9.2.1. America Makes 7.9.2.1. アメリカ・メイクス
7.9.2.2. BioFabUSA 7.9.2.2. バイオファブUSA
7.9.2.3. Institute for Advanced Composites Manufacturing Innovation (IACMI) 7.9.2.3. 先進複合材料製造イノベーション機構(IACMI)
7.9.2.4. LIFT. 7.9.2.4. LIFT.
7.9.2.5. MxD (Manufacturing x Digital) 7.9.2.5. MxD(マニュファクチャリング×デジタル)
7.9.2.6. National Institute for Innovation in Manufacturing Biopharmaceuticals (NIIMBL 7.9.2.6. バイオ医薬品製造支援機構(NIIMBL
7.9.3. Manufacturing Extension Partnership (MEP) 7.9.3. マニュファクチャリング・エクステンション・パートナーシップ(MEP)
7.9.4. Additive Manufacturing Materials Database (AMMD) 7.9.4. 積層造形材料データベース(AMMD)
7.9.5. Government-Supported User Facilities 7.9.5. 政府支援ユーザー施設
7.10. Marketplace and Supply Chain 7.10. マーケットプレイスとサプライチェーン
7.10.1. Risks Posed to the Marketplace and Supply Chain 7.10.1. 市場およびサプライチェーンにもたらされるリスク
7.10.2. AM Systems Supply Chain 7.10.2. AMシステムのサプライチェーン
7.10.2.1. Industrial AM Systems 7.10.2.1. 産業用AMシステム
7.10.2.2. Desktop AM Systems 7.10.2.2. 卓上型AMシステム
7.10.3. AM Materials Supply Chain 7.10.3. AM材料のサプライチェーン
7.10.3.1. Polymers 7.10.3.1. ポリマー
7.10.3.2. Metals 7.10.3.2. 金属
7.11. Marketplace 7.11. 市場
7.11.1. Intellectual Property Issues and Considerations for AM 7.11.1. AMにおける知的財産の問題と考察
7.11.1.1. Options for Protecting AM IP 7.11.1.1. AMの知的財産を防御するための選択肢
7.12. Risks to the National Security, Including Economic Security, of the United States 7.12. 米国の国家安全保障(経済安全保障を含む)に対するリスク
7.12.1. Economic Threats 7.12.1. 経済的脅威
7.12.2. Defense and Homeland Security Impacts and Risks 7.12.2. 国防と国土安全保障への影響とリスク
7.12.3. Export Controls 7.12.3. 輸出規制
7.13. Emerging Risks to and Long-tem Trends in the Marketplace and Supply Chin of Additive Manufacturing 7.13. 付加製造の市場とサプライチェーンにおける新たなリスクと長期的傾向
7.14. Recommendations 7.14. 提言
7.14.1. Ensure that AM is Fully Integrated into the Modern Digital Manufacturing Environment 7.14.1. AM が現代のデジタル製造環境に完全に統合されるようにする
7.14.2. Identify and Mitigate Vulnerabilities in the Supply Chain of AM Feedstock 7.14.2. AM原料のサプライチェーンにおける脆弱性を識別し、低減する。
7.14.3. Coordinate and Support Investment in AM Research and Development Across the Federal Government 7.14.3. 連邦政府全体でAM研究開発への投資を調整・支援する。
7.14.4. Support the Expansion of AM by Manufacturers Across Industrial Sectors and the Adoption of AM by Small Businesses and Manufacturers 7.14.4. 産業部門を超えた製造業者によるAMの拡大と、中小企業および製造業者によるAMの採用を支援する。
7.14.5. Expand Technical Training and Workforce Development in AM 7.14.5. AMの技術訓練と労働力開発を拡大する。
References 参考文献
Appendix P. Abbreviations 附属書P. 略語

 

 

| | Comments (0)

2023.08.20

英国 人工知能にゲームをさせることからの学び

こんにちは、丸山満彦です。

戦争に人工知能を使うことの是非はあるでしょうが、禁止してもそれを明確に取り締まる運用と技術がなければ、なし崩し的に進められてしまうでしょうね。。。

もうこうなったら、人間が戦争をしなくても良いように、シミュレーションで決めればよいのにね。。。とか思いながら...

 

GOV.UK

・2023.08.18 Learning from artificial intelligence with gaming

 

Learning from artificial intelligence with gaming 人工知能にゲームをさせることからの学び
Dstl (Defence Science and Technology Laboratory) took part in a recent 2-day workshop run by the Machine Speed Command and Control (MSC2) project on artificial intelligence (AI). 防衛科学技術研究所は先日、人工知能(AI)に関するMSC2(機械速度コマンド&コントロール)プロジェクトが実施した2日間のワークショップに参加した。
The innovative workshop was run by one of the MSC2 partners, Cambridge Consultants. It combined multiple industry participants with the aim of building a common understanding of the opportunities and challenges of AI across this wider team.  この革新的なワークショップは、MSC2のパートナーの1つであるケンブリッジ・コンサルタントによって運営された。このワークショップは、AIの機会と課題について、より幅広いチーム全体で共通の理解を築くことを目的に、複数の業界関係者を集めて開催された。 
Much of this shared understanding was explored through practical exercises, and commercial gaming technologies were used as a theme. They showcased the project’s novel AI approaches to Command and Control (C2) via gaming. この共通理解の多くは、実践的な演習を通じて探求され、商業的なゲーム技術がテーマとして使用された。参加者は、ゲームを通じて、コマンド&コントロール(C2)に対するプロジェクトの斬新なAIアプローチを紹介した。
Participants built ‘banana classifiers’ as part of the workshop - a simple AI tool to classify the ripeness of bananas from photos. 参加者はワークショップの一環として、写真からバナナの熟度を分類する簡単なAIツール「バナナ分類器」を作った。
The MSC2 project seeks to show ways to improve and transform C2. It achieves this by aiming to deliver faster and better C2 activities that can prepare for and adapt quicker than those of adversaries. MSC2プロジェクトは、C2を改善し、変革する方法を示すことを目指している。MSC2プロジェクトは、敵国よりも迅速かつ優れたC2活動を提供し、敵国よりも迅速に準備・適応できるようにすることを目標としている。
The focus is broadly around the application of AI to C2 as realised in the enabling context of a Human Agent Collective (HAC). This C2 HAC combines human insight with machine-speed agents based on shared digital artefacts. その焦点は、ヒューマン・エージェント・コレクティブ(HAC)の実現という文脈で実現されるC2へのAIの応用にある。このC2 HACは、人間の洞察力と、共有されたデジタル成果物に基づく機械速度のエージェントを組み合わせたものである。
This workshop was set up to not only raise collective understanding of AI as applied to the C2 domain, but to also examine commercial games like StarCraft II. このワークショップは、C2領域に適用されるAIの集団的理解を高めるだけでなく、StarCraft IIのような商用ゲームについても検討するために設置された。
This is a commercial game which is used extensively for AI research by academia and industry. It has a programming interface available to support AI research and there’s also a strong esports community, which means that large amounts of human generated data and expertise exists. これは、学界や産業界でAI研究に広く利用されている商用ゲームである。AI研究をサポートするためのプログラミング・インターフェースが用意されており、強力な専門家コミュニティも存在する。
StarCraft II made the news in 2019 when Deepmind’s AlphaStar AI was able to beat the majority of professional human players; a task significantly more challenging than previous game AI milestones, such as Chess or Go. StarCraft IIは2019年、ディープマインドのAI「AlphaStar」が人間のプロプレイヤーの大半を打ち負かしたことで話題となった; これは、チェスや囲碁など、これまでのゲームAIのマイルストーンよりもはるかに困難な課題であった。
The MSC2 project is using StarCraft II to investigate the potential of gaming AI to support military C2-like problems. MSC2プロジェクトは、StarCraft IIを使用して、軍事C2のような問題をサポートするゲームAIの可能性を調査している。
Furthermore, the work around StarCraft II is being projected into a number of Dstl’s International Research Collaborations, looking at using AI to support C2 in a multinational context. さらに、StarCraft IIをめぐる研究は、Dstlの国際共同研究の多くに投影され、多国籍状況におけるC2をサポートするためのAIの利用が検討されている。
Dstl’s technical authority for MSC2, Dr Stephen Helsdon said: DstlのMSC2担当技術責任者であるスティーブン・ヘルスドン博士は次のように述べている:
“The MSC2 project has been running for about 2 years now. This line of work has shown that we can relate AI in games like Starcraft II to military C2-like problems. These games allow us to investigate adversarial scenarios based on incomplete and uncertain information. 「MSC2プロジェクトは2年ほど前から実施されている。この研究により、スタークラフトIIのようなゲームのAIを軍事C2のような問題に関連付けることができることがわかった。これらのゲームでは、不完全で不確実な情報に基づく敵対的なシナリオを調査することができる。」
“Our AI enables the user to predict the location and type of red forces in real time based on incomplete data about the battlespace and shines a light through the fog of war. It empowers the user to understand the thinking of the AI by explaining how it produces its predictions and so the trust between the human and the AI is advanced to a higher level. 「我々のAIは、戦場に関する不完全なデータに基づいて、リアルタイムで赤軍の位置と種類を予測することを可能にし、戦争の霧の中に光を照らす。AIがどのように予測を行うかを説明することで、ユーザーはAIの思考を理解することができる。」
“Going forward, this gaming-centric research will continue with a focus on better explaining aspects of live human AI interaction. It will also look at inferring strategy based on observed behaviours. The workshop itself generated a number of interesting technical questions which we will follow up.” 「今後、このゲーム中心の研究は、生きた人間とAIの相互作用の側面をよりよく説明することに焦点を当てて継続される。また、観察された行動から戦略を推測することも検討する。 ワークショップ自体から、興味深い技術的な質問がいくつも出たので、それを追っていきたい。」

 

1_20230628012501

 

| | Comments (0)

CISA 官民サイバー防衛共同体 (JCDC) による「遠隔監視・管理 (RMM) システムのサイバー防衛計画」

こんにちは、丸山満彦です。

米国のCISAが、統合サイバー防衛共同体(JCDC)による、「遠隔監視・管理 (RMM) システムのサイバー防衛計画」を公表していますね。

中小企業等の資源の制約から、いわゆるSOC事業者のサービスを利用することが通常であるが、そこがサイバー被害に遭えば、そのユーザーも被害に遭うだろうということで、そこをどう守るべきか?という話になってきますよね。。。

これを読んでみて思ったこと2つ。。。

(1)政府機関もユーザーの一つ

政府機関は、規制の執行機関としての役割と同時に、インターネットユーザーという状況ももっていますよね。規制当局であり、ユーザー。。。

政府機関もインターネットを利用した業務をしている限り、インターネットユーザーであり、民間企業と同様にサイバー攻撃の被害者となりうる。米国連邦政府の場合は、SolarWinds事件が大きな事件であったでしょう。

そういう意味では、官民連携、つまりインターネットユーザー同士という意味での官民連携は重要ですよね。。。特に重要インフラ・基幹インフラ分野では...

そういう活動をもっと政府機関は積極的にやっていくべきですよね。。。(その時は、規制当局としての政府機関とは内部で線をひいいておいて欲しいですよね。。民間企業が協力しにくくなるから...)

 

(2)集中しているところはリスクが大きい (集中リスク、システミックリスクへの対応)

レジリエンスを考える上で重要となるのが、単一点(シングルポイント)の保護になるわけですが、本当の一つにならなくても、それなりに社会的に集中している機能は、それを保護しなければ影響が広範囲に及びますよね。。。

ビジネス的にいえば、独占、寡占、独占的競争という状況の場合、その事業が倒れると社会的な影響が大きくなるわけですよね。。。事業的には規模の経済が働き、初期投資が大きく参入障壁が高い事業というのは、独占的競争状態になりやすいので、そういう事業というのは注意が必要ですよね。。。サイバーいうとSOC事業とかは、設備投資、人的資源への投資、オペレーションの習熟といった参入障壁が高い事業といえるので、事業者が少なくなっていきますよね。。。

そういう事業では社会的にレジリエンスが重要となりますよね。。。システミックリスクへの対応ということですね。。。

 

● CISA

発表...

・2023.08.16 CISA Publishes JCDC Remote Monitoring and Management Systems Cyber Defense Plan

CISA Publishes JCDC Remote Monitoring and Management Systems Cyber Defense Plan CISA、JCDC 遠隔監視・管理システムのサイバー防衛計画を発表
JCDC plan provides a roadmap to address systemic risks by advancing security and resilience of the RMM ecosystem JCDC計画は、RMMエコシステムのセキュリティとレジリエンスを向上させることで、システムリスクに対処するロードマップを提供する。
WASHINGTON – The Cybersecurity and Infrastructure Security Agency (CISA) published the Cyber Defense Plan for Remote Monitoring and Management (RMM), the first proactive Plan developed by industry and government partners through the Joint Cyber Defense Collaborative (JCDC) as part of our 2023 Planning Agenda. This Plan provides a clear roadmap to advance security and resilience of the RMM ecosystem and further specific lines of effort in the National Cyber Strategy to scale public-private collaboration and in the CISA Cybersecurity Strategic Plan to drive adoption of the most impactful security measures. ワシントン発 - サイバーセキュリティ・インフラセキュリティ庁(CISA)は、2023年計画アジェンダの一環として、統合サイバー防衛共同体(JCDC)を通じて産業界と政府のパートナーによって策定された初のプロアクティブな計画である、遠隔監視・管理(RMM)のサイバー防衛計画を発表した。この計画は、RMMエコシステムのセキュリティとレジリエンスを向上させるための明確なロードマップを提供し、官民協力の規模を拡大するための国家サイバーセキュリティ戦略や、最も影響力のあるセキュリティ対策の採用を推進するためのCISAサイバーセキュリティ戦略計画における具体的な取り組みをさらに推し進めるものである。
Organizations across sectors leverage RMM products to gain efficiencies and benefit from scalable services. These same benefits, however, are increasingly targeted by adversaries – from ransomware actors to nation-states – to compromise large numbers of downstream customer organizations. By targeting RMM products, threat actors attempt to evade detection and maintain persistent access, a technique known as living off the land. さまざまな分野の組織がRMM製品を活用することで、効率性を高め、拡張性のあるサービスから利益を得ている。しかし、このような利点は、ランサムウェアの実行者から国家に至るまで、敵対勢力に狙われることが多くなっている。脅威行為者は、RMM製品を標的にすることで、検知を回避し、持続的なアクセスを維持しようとしている。
Part of our 2023 Planning Agenda, the RMM Cyber Defense Plan provides a clear roadmap to advance security and resilience of this critical ecosystem, including RMM vendors, managed service providers (MSPs), managed security service providers (MSSPs), small and medium sized businesses (SMBs), and critical infrastructure operators. This Plan was developed through a multi-month process that leveraged deep expertise by vendors, operators, agencies, and other stakeholders, and has already resulted in a significant deliverable with publication of our joint advisory on Protecting Against Malicious Use of Remote Monitoring and Management Software. 2023年計画アジェンダの一部であるRMMサイバー防衛計画は、RMMベンダー、マネージド・サービス・プロバイダー(MSP)、マネージド・セキュリティ・サービス・プロバイダー(MSSP)、中小企業(SMB)、重要インフラ事業者など、この重要なエコシステムのセキュリティとレジリエンスを推進するための明確なロードマップを提供する。この計画は、ベンダー、事業者、政府機関、その他の利害関係者による深い専門知識を活用した数カ月にわたるプロセスを通じて策定され、すでに「遠隔監視・管理ソフトウェアの悪意ある使用に対する防御」に関する共同勧告の発表という重要な成果物を生み出している。
The RMM Cyber Defense Plan is built on two foundational pillars, operational collaboration and cyber defense guidance, and contains four subordinate lines of effort: RMMサイバー防衛計画は、運用上の協力とサイバー防衛ガイダンスという2つの基礎的な柱を基に構築されており、4つの下位努力ラインを含んでいる:
(1) Cyber Threat and Vulnerability Information Sharing: Expand the sharing of cyber threat and vulnerability information between U.S. government and RMM ecosystem stakeholders. (1) サイバー脅威と脆弱性情報の共有: サイバー脅威と脆弱性情報の共有:米国政府とRMMエコシステムの利害関係者間のサイバー脅威と脆弱性情報の共有を拡大する。
(2) Enduring RMM Operational Community: Implement mechanisms for an enduring RMM operational community that will continue to mature scaled security efforts. (2) 永続的な RMM 運用コミュニティ: 拡張されたセキュリティの取り組みを成熟させ続ける、永続的な RMM 運用コミュニティのための仕組みを導入する。
(3) End-User Education: Develop and enhance end-user education and cybersecurity guidance to advance adoption of strong best practices, a collaborative effort by CISA, interagency partners and other RMM ecosystem stakeholders. (3) エンドユーザー教育:強力なベストプラクティスの採用を促進するために、CISA、省庁間パートナ ー、その他の RMM エコシステム利害関係者が協力して、エンドユーザー教育及びサイ バーセキュリティガイダンスを開発・強化する。
(4) Amplification: Leverage available lines of communication to amplify relevant advisories and alerts within the RMM ecosystem. (4) 拡大: 利用可能なコミュニケーション・ラインを活用し、RMM エコシステム内で関連するアドバイザリやアラートを増幅する。
“As envisioned by Congress and the Cyberspace Solarium Commission, JCDC Cyber Defense Plans are intended to bring together diverse stakeholders across the cybersecurity ecosystem to understand systemic risks and develop shared, actionable solutions. The RMM Cyber Defense Plan demonstrates the criticality of this work and the importance of both deep partnership and proactive planning in addressing systemic risks facing our country,” said Eric Goldstein,CISA Executive Assistant Director for Cybersecurity. “These planning efforts are dependent on trusted collaboration with our partners, and this Plan was a true partnership with the RMM community, industry and interagency partners that contributed time and effort towards this important work. The collaboration established to develop this plan has already achieved several accomplishments for RMM stakeholders and ecosystem. As the JCDC leads the execution of this plan, we are confident that this public-private collaboration in the RMM ecosystem will further reduce risk to our nation’s critical infrastructure.” CISAサイバーセキュリティ担当エグゼクティブ・アシスタント・ディレクターのエリック・ゴールドスタインは次のように述べた。「米国議会とサイバースペース・ソラリウム委員会が想定しているように、JCDC サイバー防衛計画は、サイバーセキュリティ・エコシステム全体の多様な利害関係者を集め、体系的なリスクを理解し、共有された実行可能な解決策を策定することを目的としている。RMMのサイバー防衛計画は、この作業の重要性と、わが国が直面するシステミックリスクに対処するための深いパートナーシップと積極的な計画の両方の重要性を示している。この計画は、この重要な作業に向けて時間と労力を提供してくれたRMMコミュニティ、産業界、省庁間パートナーとの真のパートナーシップであった。この計画を策定するために築かれた協力関係は、RMMのステークホルダーとエコシステムのために、すでにいくつかの成果を達成している。JCDCがこの計画の実行を主導する中で、RMMエコシステムにおけるこの官民協力が、わが国の重要インフラに対するリスクをさらに低減することを確信している。」
The JCDC 2023 Planning Agenda is a forward-looking effort that is bringing together government and the private sector to develop and execute cyber defense plans that achieve specific risk reduction goals and enable more focused collaboration. To learn more about the JCDC, visit CISA.gov/JCDC.   JCDC 2023計画アジェンダは、政府と民間セクターを結びつけ、具体的なリスク削減目標を達成し、より集中的な協力を可能にするサイバー防衛計画を策定・実行するための前向きな取り組みである。JCDCの詳細については、CISA.gov/JCDCを参照のこと。 

 

 

・2023.08.16 JCDC Remote Monitoring and Management Cyber Defense Plan

JCDC Remote Monitoring and Management Cyber Defense Plan JCDC 遠隔監視・管理 サイバー防衛計画
Remote Monitoring and Management (RMM) is software that is installed on an endpoint to continuously monitor a machine or system’s health and status, as well as enabling remote unattended administration functions. As ransomware threat actors continue to use RMM tools in their attacks, exploitation of RMM platforms presents a growing risk to small and medium-sized organizations that support national critical functions.  遠隔監視・管理(RMM)とは、エンドポイントにインストールされ、マシンやシステムの健全性や状態を継続的に監視し、遠隔無人管理機能を実現するソフトウェアである。ランサムウェアの脅威行為者が攻撃にRMMツールを使い続ける中、RMMプラットフォームの悪用は、国家の重要機能をサポートする中小組織にとってリスクが高まっている。 
The Joint Cyber Defense Collaborative (JCDC) Remote Monitoring and Management Cyber Defense Plan provides cyber defense leaders in government and industry a collective plan for mitigating threats to the RMM ecosystem. Authored by JCDC and its partners, this plan addresses issues facing the top-down exploitation of RMM software, through which cyber threat actors gain footholds into managed service provider servers and, by extension, into thousands of customer networks 統合サイバー防衛共同体(JCDC)の遠隔監視・管理 (RMM) サイバー防衛計画は、政府と産業界のサイバー防衛リーダーに、RMMエコシステムへの脅威を低減するための集合的な計画を提供する。JCDCとそのパートナーによって作成されたこの計画は、サイバー脅威行為者がマネージド・サービス・プロバイダーのサーバー、ひいては何千もの顧客ネットワークへの足がかりを得るRMMソフトウェアのトップダウンの悪用が直面する問題に対処している。 
The JCDC RMM Cyber Defense Plan outlines implementation across two foundational pillars and four lines of effort (LOEs).  JCDC RMMサイバー防衛計画は、2つの基本的な柱と4つの取り組み方針(LOE)にわたる実施概要を示している。 
・Pillar 1: Operational Collaboration, encourages collective action across the RMM community to enhance information sharing, increase visibility, and fuel creative cybersecurity solutions. Lines of effort aligned with this pillar include 1) Cyber Threat and Vulnerability Information and 2) Enduring RMM Operational Community.  ・柱1:運用上の協力は、RMMコミュニティ全体の集団行動を奨励し、情報共有を強化し、可視性を高め、創造的なサイバーセキュリティ・ソリューションを促進する。この柱に沿った取り組みには、1)サイバー脅威と脆弱性情報、2)RMM運用コミュニティの存続が含まれる。 
・Pillar 2: Cyber Defense Guidance, focuses on educating RMM end-user organizations of the dangers and risk to the RMM infrastructure upon which they rely today, and how they can help promote security best practices moving forward. Lines of effort aligned under this pillar address 3) End-User Education and 4) Amplification. ・柱 2:「サイバー防衛ガイダンス」は、RMM のエンドユーザー組織に対して、現在依存している RMM インフラストラクチャーの危険性とリスクについて、また、今後どのようにセキュリティのベストプラクティスを推進すればよいかを教育することに重点を置いている。この柱の下で、3) エンドユーザー教育、4) 拡大に取り組んでいる。
The JCDC RMM Cyber Defense Plan builds off of the priorities in the JCDC 2023 Planning Agenda for the mitigation of systemic cybersecurity risks and supports JCDC’s three core functions: JCDC RMM サイバーディフェンスプランは、JCDC 2023 計画アジェンダの優先事項である体系的なサイバーセキュリティリスクの低減を基礎とし、JCDC の 3 つの中核機能を支援するものである:
・Developing and coordinating plans for cyber defense operations and supporting execution of those plans, ・サイバー防衛作戦の計画を策定・調整し、その実行を支援する、
・Driving operational collaboration and cybersecurity information fusion between public and private sectors, for the benefit of the broader ecosystem, and   ・より広範なエコシステムの利益のために、官民間の運用協力とサイバーセキュリティ情報の融合を推進する。 
・Producing and disseminating cyber defense guidance across all stakeholder communities. ・すべての利害関係者コミュニティにサイバー防衛ガイダンスを作成し、普及させる。

 

 

2023 JCDC Planning Agenda

2023 JCDC Planning Agenda 2023 JCDC 計画アジェンダ
The Joint Cyber Defense Collaborative (JCDC) is proud to announce its 2023 Planning Agenda—a major milestone in the collaborative’s continued evolution and maturation. Economic prosperity, national defense, and public health and safety depend on interconnected digital technologies. Widespread security flaws and configuration missteps in these technologies create opportunities for malicious actors to steal information, destroy valuable data, and cut off access to critical goods and services. JCDC’s planning agenda addresses these important and complex security challenges. 統合サイバー防衛共同体(JCDC)は、2023年計画アジェンダを発表することを誇りに思う。経済的繁栄、国防、公衆衛生と安全は、相互接続されたデジタル技術に依存している。これらの技術に広範なセキュリティ上の欠陥や設定のミステイクが存在することで、悪意ある行為者が情報を盗んだり、貴重なデータを破壊したり、重要な商品やサービスへのアクセスを遮断したりする機会が生まれている。JCDCの計画課題は、このような重要かつ複雑なセキュリティ上の課題に対処することである。
Charged with staying ahead of and confronting cyber risk and cyber threats to the nation’s critical infrastructure, CISA brought together experts across government and the private sector to develop a collaborative cyber planning agenda. No single entity has the complete knowledge, capabilities, and legal authorities to defend the entire digital ecosystem against advanced persistent threat (APT) actors. By combining the capabilities of key industry partners with the unique insights of government agencies, JCDC can create common, shoulder-to-shoulder approaches to confront malicious actors and significant cyber risks. CISAは、国家の重要インフラに対するサイバーリスクとサイバー脅威を先取りし、それに立ち向かうことを使命とし、政府と民間セクターの専門家を集め、共同でサイバー計画アジェンダを策定した。高度持続的脅威(APT)行為者からデジタル・エコシステム全体を守るための完全な知識、能力、法的権限を持つ事業体はない。JCDCは、主要産業パートナーの能力と政府機関のユニークな洞察力を組み合わせることで、悪意のある行為者と重大なサイバーリスクに立ち向かうための共通の肩を並べたアプローチを作り出すことができる。
The agenda’s priorities represent proactive planning and persistent collaboration, which means having the right groups ready to engage in real-time collaboration in a rapidly changing risk environment. JCDC’s new multidirectional real-time information sharing initiative—which is built on trust and a willingness to work together—is a fundamentally different collaboration model that will enable us to accomplish the agenda priorities. このアジェンダの優先事項は、積極的な計画と持続的な協力関係を代表するものであり、急速に変化するリスク環境において、適切なグループがリアルタイムで協力関係を築けるようにすることを意味する。JCDCの新しい多方向リアルタイム情報共有イニシアチブは、信頼と協力の意志の上に構築され、アジェンダの優先事項を達成することを可能にする根本的に異なる協力モデルである。
In 2023, JCDC will work on joint cyber defense plans focused on three areas: systemic risk, collective cyber response, and high-risk communities. We will also maintain flexibility to undertake urgent planning efforts as the risk environment changes, recognizing that agility is foundational to our shared success.   2023年、JCDCは、システミックリスク、集団的サイバー対応、高リスクコミュニティの3つの分野に焦点を当てた共同サイバー防衛計画に取り組む。また、リスク環境の変化に応じて緊急の計画策定に取り組む柔軟性も維持し、俊敏性が共通の成功の基盤であることを認識する。 
(1) Systemic risk: Malicious actors know how to work smarter, not harder, by targeting single points of failure in critical infrastructure. Targeting of software, hardware, and services that are widely used across sectors or compromises of lifeline functions like electrical and water that underpin virtually every organization could result in cascading impacts and severe impacts to our national critical functions.  (1) システミックリスク: 悪意ある行為者は、重要インフラの単一障害点を標的にすることで、より賢く、より効率的に活動する方法を知っている。セクターを超えて広く使用されているソフトウェア、ハードウェア、サービスを標的にしたり、事実上すべての組織を支えている電気や水道のようなライフライン機能を侵害したりすると、影響が連鎖し、国家の重要機能に深刻な影響が及ぶ可能性がある。 
The 2023 Planning Agenda includes efforts to address the following risk topic areas:  2023年計画アジェンダには、以下のリスクトピック分野への取り組みが含まれている: 
・Open-Source Software: Understand and mitigate risks potentially posed by open source software (OSS) used in industrial control systems.  オープンソースソフトウェア: 産業用制御システムで使用されるオープンソースソフトウェア(OSS)が潜在的にもたらすリスクを理解し、低減する。 
・Remote Monitoring and Management Vendors, Managed Service Providers, and Managed Security Service Providers: Advance cybersecurity and reduce supply chain risk for small and medium critical infrastructure entities through collaboration with remote monitoring and management (RMM), managed service providers (MSPs), and managed security service providers (MSSPs)
.
遠隔監視・管理ベンダー、マネージド・サービス・プロバイダー、マネージド・セキュリティ・サービス・プロバイダー: 遠隔監視・管理(RMM)、マネージド・サービス・プロバイダ(MSP)、マネージド・セキュリティ・サービス・プロバイダ(MSSP)との連携を通じて、中小の重要インフラ事業体のサイバーセキュリティを推進し、サプライチェーンのリスクを低減する。
Energy: Deepen operational collaboration and integration with the Energy Sector, in partnership with the Department of Energy. エネルギー:エネルギー省と連携し、エネルギー部門との業務協力と統合を深める。
Water: Identify approach to enhance security and resilience of edge devices for the water sector.  水:水分野におけるエッジデバイスのセキュリティとレジリエンスを強化するアプローチを特定する。 
(2) Collective cyber response: As a nation, we must anticipate that malicious cyber actors will at times circumvent our combined defenses. At the same time, the American people rightly expect the U.S. government to plan for a coordinated public-private response to minimize impacts and quickly recover.  (2) 集団的サイバー対応:国家として、我々は、悪意のあるサイバー行為者が時として我々の統合された防御を回避することを予期しなければならない。同時に、米国民は、米政府が官民一体となった対応を計画し、影響を最小限に抑え、迅速に復旧することを当然期待している。 
The 2023 Planning Agenda identifies an effort to:  2023年計画アジェンダでは、以下の取り組みを特定している: 
・Update the National Cyber Incident Response Plan (NCIRP): Over the past several years, government and the private sector have significantly advanced our processes and approaches for incident response, but our plans and doctrine have not kept up. JCDC will lead an effort to update the National Cyber Incident Response Plan, in close coordination with interagency partners. The update will include incorporate changes and lessons learned since the release of the 2016 NCIRP, articulating specific roles for non-federal entities in organizing and executing national incident response activities
・国家サイバーインシデント対応計画(NCIRP)の更新: 過去数年間、政府と民間部門はインシデント対応のプロセスとアプローチを大幅に進歩させてきたが、我々の計画と教義は追いついていない。JCDCは、省庁間のパートナーとの緊密な連携のもと、国家サイバーインシデント対応計画を更新する取り組みを主導する。更新には、2016年NCIRPの発表以来の変更と学習が盛り込まれ、国家インシデント対応活動の組織化と実行における非連邦事業体の具体的役割が明確にされる。 
(3) High-risk communities: Malicious cyber actors do not only target critical infrastructure or businesses; to the contrary, we know that adversaries—seeking to undermine American values and interests—routinely target high-risk communities, such as civil society organizations that support journalists and cybersecurity researchers.  (3) リスクの高いコミュニティ: 悪意のあるサイバー・アクターは、重要インフラや企業だけを標的にしているわけではない:米国の価値観や利益を損なおうとする敵対勢力は、ジャーナリストやサイバーセキュリティ研究者を支援する市民社会組織など、リスクの高いコミュニティを日常的に標的にしていることがわかっている。 
The 2023 Planning Agenda outlines an effort to:  2023年計画アジェンダでは、次のような取り組みを概説している: 
・Strengthen protection of civil society organizations who are at higher risk of being targeted by foreign state actors through collaborative planning with key government and industry stakeholders. ・政府や産業界の主要な利害関係者との共同計画を通じて、外国の国家行為者に標的にされるリスクが高い市民社会組織の防御を強化する。

 

・[PDF]

20230820-53946

JCDC 統合サイバー防衛共同体
REMOTE MONITORING & MANAGEMENT 遠隔監視・管理
CYBER DEFENSE PLAN サイバー防衛計画
   
CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY (CISA)  サイバーセキュリティ・インフラセキュリティ庁(CISA) 
The Cybersecurity & Infrastructure Security Agency (CISA) spearheads the national effort to defend against cyber threat actors that target U.S. critical infrastructure, federal and state, local, tribal, and territorial (SLTT) governments, the private sector, and the American people. While CISA serves a foundational and essential role in this effort, cybersecurity is a shared responsibility, and the Nation must work collectively to manage and reduce cyber risk. Close collaboration between government, industry, international, and other partners is needed to reduce the prevalence and impact of damaging intrusions today to achieve a more secure future.  サイバーセキュリティ・インフラセキュリティ庁(CISA)は、米国の重要インフラ、連邦政府、州政府、地方政府、部族政府、地域政府(SLTT)、民間セクター、米国民を標的とするサイバー脅威行為者を防御する国家的取り組みの先頭に立つ。CISAはこの取り組みにおいて基礎的かつ不可欠な役割を果たしているが、サイバーセキュリティは共有の責任であり、国家はサイバー・リスクのマネジメントと削減に一丸となって取り組まなければならない。より安全な未来を実現するために、今日、有害な侵入の蔓延と影響を減らすためには、政府、産業界、国際機関、その他のパートナー間の緊密な協力が必要である。
THE JOINT CYBER DEFENSE COLLABORATIVE (JCDC)  統合サイバー防衛共同体(JCDC) 
In 2021, pursuant to new authority from Congress, CISA created a new kind of partnership—the Joint Cyber Defense Collaborative (JCDC)—to mature CISA’s traditional public-private partnerships into real-time private- public operational collaboration with a focus on proactive planning and mitigation. JCDC combines the visibility, insight, and innovation of the private sector with the capabilities and authorities of the federal cyber ecosystem to enable partners to collectively drive down cyber risk to the Nation at scale. Through JCDC, CISA unifies and synchronizes the collective cyber defense of federal agencies, SLTT entities, international allies, private sector entities, and other partners.  2021年、CISAは議会からの新たな権限に基づき、CISAの伝統的な官民パートナーシップを、事前予防的な計画と低減に焦点を当てたリアルタイムの官民運用協力へと成熟させるため、新たな種類のパートナーシップ-統合サイバー防衛共同体(JCDC)-を創設した。JCDCは、民間セクターの可視性、洞察力、革新性を連邦政府のサイバーエコシステムの能力と権限と組み合わせることで、パートナーが共同で国家に対するサイバーリスクを大規模に低減することを可能にする。JCDCを通じて、CISAは連邦政府機関、SLTT事業体、国際同盟国、民間企業、その他のパートナーの集団的サイバー防衛を統合し、同期化する。
THE 2023 JCDC PLANNING AGENDA  2023年JCDC計画アジェンダ 
CISA and partners were proud to announce the JCDC’s 2023 Planning Agenda in January 2023 to advance this critical aspect of our work. This agenda is a forward-looking effort that is bringing together government and CISAとパートナーは、2023年1月にJCDCの2023年計画アジェンダを発表し、我々の活動のこの重要な側面を前進させることができた。このアジェンダは、政府と民間セクターが一体となった将来を見据えた取り組みである。
the private sector to develop and execute cyber defense plans that achieve specific risk reduction goals and enable more focused collaboration. CISA will continue to expand the breadth and depth of this partnership to maximize both the completeness and impact of these planning efforts. Through a rigorous process that includes input from subject matter experts and government and private sector partners, CISA developed a Planning Agenda focused on three topic areas: systemic risk, collective cyber response, and high-risk communities. CISA is currently using this same process to develop the 2024 JCDC Planning Agenda.  このアジェンダは、具体的なリスク削減目標を達成し、より焦点を絞った協力を可能にするサイバー防衛計画を策定・実行するために、政府と民間部門を結集する前向きな取り組みである。CISAは、このパートナーシップの幅と奥行きを拡大し、これらの計画策定作業の完全性と影響力の両方を最大化していく。CISAは、対象分野の専門家や政府・民間部門のパートナーからの意見を含む厳格なプロセスを通じて、システミックリスク、集団的サイバー対応計画、高リスク地域社会という3つのトピック分野に焦点を当てた「計画アジェンダ」を策定した。CISAは現在、これと同じプロセスで2024年JCDC計画アジェンダを策定している。
REMOTE MONITORING & MANAGEMENT (RMM) PLANNING EFFORT  遠隔監視・管理(RMM)計画の取り組み 
JCDC’s 2023 Planning Agenda prioritizes the mitigation of systemic cybersecurity risks. In working with partners across government and the private sector, CISA identified that exploitation of RMM software presents a systemic risk to organizations across sectors. By exploiting RMM products, cyber threat actors can gain footholds into managed service provider (MSP) servers and, by extension, into thousands of small and medium-sized business (SMB) customer networks that employ MSPs. The use of RMM software or MSPs that use RMM software introduces an attack surface that can result in compromises, particularly affecting end-user organizations with limited cybersecurity expertise. Exploited vulnerabilities in RMM services can have cascading impacts across the globe and impact industries that collectively make up more than 40% of all private sector payroll in the United States. For instance, ransomware threat actors continue to use RMM tools in their attacks, presenting a growing risk to SMBs that support national critical functions. To reduce these types of risk at scale, JCDC convened key partners and authored the JCDC RMM Cyber Defense Plan, which sets forth a collective plan for cyber defense leaders in government and the private sector to mitigate threats to the RMM ecosystem. Through the 2023 planning effort, JCDC aims to build and leverage relationships with this strategic ecosystem of RMM vendors, MSPs, and MSSPs, to address a maturing and evolving threat to U.S. critical infrastructure by creating enduring partnerships centered on operational engagement, information sharing, and education across the cyber ecosystem.  JCDCの2023年計画アジェンダは、システム的サイバーセキュリティリスクの低減を優先している。CISA は、政府および民間セクターのパートナーとの協力の中で、RMM ソフトウェアの悪用が、セクタ ー横断的な組織にとってのシステミック・リスクであることを特定した。RMM 製品を悪用することで、サイバー脅威行為者は、マネージド・サービス・プロバイダー(MSP) のサーバー、ひいては MSP を採用している何千もの中小企業(SMB)の顧客ネットワークへの足がかりを得ることができる。RMM ソフトウェアの使用、または RMM ソフトウェアを使用する MSP は、特にサイバーセキュリティの専門知識が乏しいエンドユーザー組織に影響を及ぼす可能性のある攻撃対象領域をもたらす。RMMサービスの脆弱性が悪用されると、世界中に連鎖的な影響を及ぼす可能性があり、米国の民間企業の給与総額の40%以上を占める産業にも影響を及ぼす。例えば、ランサムウェアの脅威行為者は攻撃にRMMツールを使い続けており、国家の重要な機能を支える中小企業へのリスクが高まっている。このようなリスクを大規模に低減するため、JCDCは主要パートナーを招集し、JCDC RMMサイバー防衛計画を策定した。この計画は、RMMエコシステムに対する脅威を軽減するため、政府と民間部門のサイバー防衛リーダーのための集合的な計画を定めたものである。JCDCは、2023年の計画策定作業を通じて、RMMベンダー、MSP、MSSPからなるこの戦略的エコシステムとの関係を構築・活用し、サイバーエコシステム全体における業務関与、情報共有、教育を中心とした永続的なパートナーシップを構築することで、成熟・進化しつつある米国の重要インフラへの脅威に対処することを目指している。
REMOTE ADMINISTRATION SOLUTION:  遠隔管理ソリューション: 
Software that grants a remote entity remote access to an endpoint’s applications and network access; This software can also grant unattended, possibly transparent, administrative control to a device remotely.  エンドポイントのアプリケーションやネットワーク・アクセスへの遠隔アクセスを遠隔事業体に許可するソフトウェア。このソフトウェアは、デバイスへの無人、場合によっては透過的な管理制御を遠隔で許可することもできる。
REMOTE MONITORING AND MANAGEMENT:  遠隔監視・管理: 
Software installed on an endpoint to continuously monitor a machine or system’s health and status, as well as enabling remote unattended administration functions including unattended modification to the endpoint’s security configuration, installed applications, and local accounts.  エンドポイントにインストールされ、マシンやシステムの健全性やステータスを継続的な監視を行うとともに、エンドポイントのセキュリティ設定、インストール済みアプリケーション、ローカルアカウントに対する無人の変更を含む、遠隔無人管理機能を可能にするソフトウェア。
TECHNOLOGY AND RISK ENVIRONMENT  テクノロジーとリスク環境 
According to a 2022 report, approximately 90% of U.S.-based small and medium-sized businesses (SMBs), to include critical infrastructure entities, rely on MSPs to supplement their own information technology (IT) , operational technology (OT) and industrial control systems (ICS) capabilities, and scale network environments without having to develop and manage these capabilities internally. Many MSPs and managed security service providers (MSSPs) in turn rely on RMM vendors for software deployment, account management, and other software tools. The structure of the RMM ecosystem (Figure 1) presents an opportunity to advance cybersecurity and reduce supply chain risk at scale for small and medium critical infrastructure entities.  2022年の報告書によると、米国を拠点とする中小企業(SMB)の約90%(重要インフラ事業体を含む)は、自社の情報技術(IT)、運用技術(OT)、産業制御システム(ICS)の能力を補完し、これらの能力を社内で開発・管理することなくネットワーク環境を拡張するために、MSPに依存している。多くのMSPやマネージド・セキュリティ・サービス・プロバイダー(MSSP)は、ソフトウェアの導入、アカウント管理、その他のソフトウェア・ツールについて、RMMベンダーに依存している。RMMエコシステムの構造(図1)は、中小の重要インフラ事業体にとって、サイバーセキュリティを向上させ、サプライチェーンのリスクを大規模に低減する機会を示している。
RMM software allows IT service providers to remotely monitor and operate devices and systems, as well as attain heightened permissions, enabling MSPs or IT help desks to monitor multiple devices and networks simultaneously. These capabilities can be exploited by malicious cyber actors who leverage them to establish network connections through cloud-hosted infrastructure while evading detection. These types of intrusions are also known as living off the land (LOTL) attacks, where adversaries no longer have to rely on inherently malicious files, codes, and scripts, and instead use tools already present in the environment to enable their malicious activity. This form of intrusion makes businesses even more vulnerable to service provider supply chain compromises, exploitation, or malicious use of remote capabilities.  RMMソフトウェアによって、ITサービス・プロバイダはデバイスやシステムを遠隔で監視・操作できるようになり、また、MSPやITヘルプデスクが複数のデバイスやネットワークを同時に監視できるようになるなど、より高度な権限も得られるようになる。これらの機能は、悪意のあるサイバー行為者によって悪用される可能性があり、悪意のあるサイバー行為者は、検知を回避しながら、クラウドホスティングのインフラを通じてネットワーク接続を確立するために、これらの機能を利用する。このようなタイプの侵入は、LOTL(現地調達)攻撃とも呼ばれ、敵対者は本来悪意のあるファイルやコード、スクリプトに頼る必要がなくなり、代わりに環境に既に存在するツールを利用して悪意のある活動を可能にする。このような侵入形態は、サービス・プロバイダのサプライ・チェーンの侵害、搾取、遠隔機能の悪意ある使用に対して、企業をさらに脆弱にする。
The CISA product Guide to Securing Remote Access Software, released on June 6, 2023 as part of this Cyber Defense Plan, identifies how remote access software is particularly appealing to threat actors because the software:  このサイバー防衛計画の一環として2023年6月6日に発表されたCISA製品「遠隔アクセス・ソフトウェアのセキュリティ確保ガイド」は、遠隔アクセス・ソフトウェアが脅威行為者にとって特に魅力的である理由を次のように特定している: 
·       Does not always trigger security tools,  ・常にセキュリティ・ツールを起動するわけではない、 
·       does not require extensive capabilities development,  ・大規模な機能開発を必要としない、 
·       may allow actors to bypass software management control policies,  ・行為者がソフトウェア管理制御ポリシーを迂回できる可能性がある、 
·       could allow actors to bypass firewall rules, and  ・ファイアウォールのルールを迂回することができる。
·       can facilitate multiple cyber intrusions.  ・複数のサイバー侵入を容易にする可能性がある。
Reflecting the risk LOTL attacks pose to U.S. critical infrastructure, CISA released a recent joint Cybersecurity Advisory (CSA) that provides insight on how a People’s Republic of China (PRC) state-sponsored cyber actor, also known as Volt Typhoon, is leveraging LOTL attacks as one of its primary tactics, techniques, and procedures (TTPs). Private sector partners have identified that this activity affects networks across U.S. critical infrastructure sectors, and the authoring agencies believe the actor could apply the same techniques against these and other sectors worldwide.  CISA は、LOTL 攻撃が米国の重要インフラにもたらすリスクを反映し、中華人民共和国(PRC) が国家に支援されたサイバー行為者(別名 Volt Typhoon)が、その主要な戦術、技術、手順(TTP)の 1 つとして LOTL 攻撃をどのように活用しているかについての洞察を提供する共同サイバーセキュリティ勧告(CSA)を最近発表した。民間セクターのパートナーは、この活動が米国の重要なインフラ・セクターのネットワークに影響を及ぼしていることを確認しており、作成機関は、この行為者がこれらのセクターや世界中の他のセクターに対して同じ手法を適用する可能性があると考えている。
MANAGED SERVICE PROVIDER (MSP): A business entity who, in whole or in part, provides IT related services or application management for another organization.  マネージド・サービス・プロバイダー(MSP): 全体的または部分的に、他の組織に IT 関連サービスまたはアプリケーション管理を提供する事業体。
MANAGED SECURITY SERVICE PROVIDER (MSSP): A business entity who solely provides information security services and applications to another organization.  マネージド・セキュリティ・サービス・プロバイダ(MSSP): 他の組織に情報セキュリティサービスやアプリケーションのみを提供する事業体。
   
FIGURE 1: RMM Ecosystem  図 1: RMM エコシステム 
JCDC RMM CYBER DEFENSE PLAN OVERVIEW  JCDC RMM サイバー防衛計画の概要 
The JCDC RMM Cyber Defense Plan aligns with the priorities outlined in the CISA Strategic Plan 2023–2025 and highlights specific lines of effort addressed in the National Cyber Strategy 2023. Per the National Cybersecurity Strategy, JCDC has a responsibility to integrate cyber defense planning and operations across the Federal Government and with the private sector. To support the CISA Strategic Plan, the JCDC RMM Cyber Defense Plan identifies a path forward to reduce risks to—and strengthen the resilience of—America’s critical infrastructure organizations that are dependent upon RMM products.  JCDC RMM サイバー防衛計画は、CISA 戦略計画 2023-2025 に概説されている優先事項に沿い、国家サイ バー戦略 2023 で取り上げられている具体的な取り組みラインを強調している。国家サイバーセキュリティ戦略により、JCDCは連邦政府全体および民間セクターとのサイバー防衛計画と運用を統合する責任を負っている。CISA戦略計画を支援するため、JCDC RMMサイバー防衛計画は、RMM製品に依存する米国の重要インフラ組織のリスクを低減し、そのレジリエンスを強化するための道筋を明らかにしている。
The JCDC RMM Cyber Defense Plan was developed by a core planning team, led by the JCDC Planning Office, and included representation from other divisions across CISA, the Federal interagency, and private industry. The components of the JCDC RMM Cyber Defense Plan provide leaders in the RMM ecosystem with necessary ways and means for sustained, effective cyber defense at scale (as identified in Figure 2 and Table 1).  JCDC RMM サイバー防衛計画は、JCDC 計画室が中心となり、CISA の他部門、連邦省庁間、民間企業の代表が参加した中心的な計画チームによって策定された。JCDC RMMサイバー防衛計画の構成要素は、RMMエコシステムのリーダーに、規模に応じた持続的で効果的なサイバー防衛に必要な方法と手段を提供する(図2と表1で識別)。
Central to the JCDC RMM Cyber Defense Plan is an operational community founded on trust and collaboration to drive joint cyber defense operations. This community ultimately aims to reduce the frequency and impact of cybersecurity incidents across the RMM ecosystem and leverage the prevalence of RMM software across critical infrastructure to scale cyber defense operations. JCDC places a heavy emphasis on fostering this culture of cooperation and looks to indicators like the number of actively participating organizations, the volume and quality of information shared, and the development and subsequent adoption of shared information, as measures of success and indication of a growing recognition of threats, cybersecurity challenges, and opportunities in this space.  JCDC RMM サイバー防衛計画の中心は、共同サイバー防衛作戦を推進するための信頼と協力に 基づく作戦コミュニティである。このコミュニティは最終的に、RMMエコシステム全体におけるサイバーセキュリティインシデントの頻度と影響を低減し、重要インフラにおけるRMMソフトウェアの普及を活用してサイバー防衛活動を拡大することを目指している。JCDCは、このような協力文化の醸成に重点を置き、積極的に参加する組織の数、共有される情報の量と質、共有情報の開発とその後の採用といった指標を、成功の尺度として、またこの分野における脅威、サイバーセキュリティ上の課題、機会に対する認識の高まりを示すものとして注目している。
----- -----
“ We must build new and innovative capabilities that allow the owners and operators of critical infrastructure, federal agencies, product vendors and service providers, and other stakeholders to effectively collaborate with each other at speed and scale. ”   重要インフラの所有者や運営者、連邦政府機関、製品ベンダーやサービスプロバイダー、その他の利害関係者が、スピードとスケールにおいて効果的に協力し合えるような、新しく革新的な機能を構築しなければならない。 
National Cybersecurity Strategy, March 2023  2023年3月 国家サイバーセキュリティ戦略 
VISION  ビジョン 
A secure and hardened RMM ecosystem.  安全で強固なRMMエコシステム 
MISSION  ミッション 
JCDC’s RMM Cyber Defense Plan provides cyber defense leaders in government and industry with a collaborative proposal for mitigating threats to the RMM ecosystem.  JCDCのRMMサイバー防衛計画は、政府と産業界のサイバー防衛リーダーに、RMMエコシステムへの脅威を低減するための共同提案を提供する。
GOALS  目標 
1.      Understand how RMM vendors can help improve cybersecurity at scale and across critical infrastructure sectors.  1.      RMM ベンダーがどのようにサイバーセキュリティの改善に貢献できるかを理解する。
2.      Identify mechanisms to sustain cybersecurity collaboration between USG stakeholders and RMM vendors into the future.  2.      米国政府関係者と RMM ベンダーのサイバーセキュリティ協業を将来にわたって維持するためのメカニズムを特定する。
PILLAR 1: OPERATIONAL COLLABORATION 
柱 1:運用協力 
“Establish enduring capabilities for persistent collaboration in which participants continuously exchange, enrich, and act on cybersecurity information with the necessary agility to stay ahead of our adversaries.”  「敵の先を行くために必要な機敏性をもって、参加者が継続的にサイバーセキュリティ情報を交換し、充実させ、行動するための永続的な協力体制を確立する。
LOE 1: Cyber Threat and Vulnerability Information Sharing  LOE 1: サイバー脅威と脆弱性情報の共有 
LOE 2: Enduring RMM Operational Community  LOE 2:永続的なRMM運用コミュニティ 
PILLAR 2: END-USER EDUCATION 
柱2:エンドユーザー教育 
“Joint enrichment and development of timely cybersecurity advisories and alerts to benefit the broader community.”  より広範なコミュニティに役立つよう、タイムリーなサイバーセキュリティアドバイザリやアラートを共同で充実させ、開発する 
LOE 3: End-User Education  LOE 3:エンドユーザー教育 
LOE 4: Amplification  LOE 4: 拡大 
FIGURE 2: JCDC RMM Cyber Defense Plan Vision, Mission, and Goals
図2:JCDC RMMサイバー防衛計画のビジョン、ミッション、目標
----- -----
PILLAR 1: OPERATIONAL COLLABORATION  柱 1: 運用面での協力 
Effective partnerships and collaboration between the government and private sector are the foundation 政府と民間セクターの効果的なパートナーシップと協力は、国家の重要インフラを守るための我々の総合的な努力の基盤である。
of our collective effort to protect the nation’s critical infrastructure. Major RMM vendors have highlighted their willingness and desire to work with the USG; however, available partnerships or forums for sustained collaboration may not always be available or leveraged. JCDC aims to drive collective action across the RMM community to enhance information sharing, increase visibility, and fuel creative cybersecurity solutions.  国の重要インフラを保護するための総合的な取り組みの基盤である。主要なRMMベンダーは、米国政府との協力に意欲的であることを強調している。しかし、持続的な協力のためのパートナーシップやフォーラムは、必ずしも利用できるとは限らない。JCDC は、RMM コミュニティ全体で情報共有を強化し、可視性を高め、独創的なサイバーセキュリティ ソリューションを促進するために、集団的な行動を促進することを目的としている。
LOE 1: CYBER THREAT AND VULNERABILITY INFORMATION SHARING  LOE 1: サイバー脅威と脆弱性情報の共有 
Expanding the sharing of cyber threat and vulnerability information between USG and RMM ecosystem stakeholders to increase reach speed, and effectiveness of RMM cybersecurity.  米軍と RMM エコシステムの利害関係者の間でサイバー脅威と脆弱性情報の共有を拡大し、RMM サイバーセキュリティの到達速度と有効性を高める。
LOE 2: ENDURING RMM OPERATIONAL COMMUNITY  LOE 2:RMM 運用コミュニティの永続化 
Institutionalize mechanisms that promote and facilitate long-term communication and collaboration amongst the RMM ecosystem stakeholders to continue scaled security efforts after the formal JCDC RMM planning effort has concluded.  正式な JCDC RMM 計画の取り組みが終了した後も、RMM エコシステムの利害関係者間の長期的なコミュニケーショ ンと協力を促進・促進するメカニズムを制度化し、規模を拡大したセキュリティの取り組みを継続する。
PILLAR 2: CYBER DEFENSE GUIDANCE  柱 2: サイバー防衛ガイダンス 
At the base of the RMM ecosystem, SMBs account for 6.5 million business and over 40% of U.S. gross domestic product (GDP). Although CISA will continue to implement “top-down” initiatives, i.e. RMM stakeholder engagement, it is imperative to improve “bottom-up” visibility of CISA resources and guidance RMM エコシステムの基盤である中小企業は、650 万の事業と米国の国内総生産(GDP)の 40%以上を占めている。CISAは、RMM関係者の参画など「トップダウン」のイニシアチブを実施し続けるが、エンドユーザーレベルでCISAのリソースとガイダンスの「ボトムアップ」の可視性を改善することが不可欠である。
at the end-user level. According to a 2021 U.S. Telecom cyber survey, only 13% of small and medium-sized critical infrastructures entities are aware of and/or follow CISA guidance. To improve cybersecurity in the RMM ecosystem at scale, CISA must address fundamental gaps in target audience awareness. This pillar focuses on educating RMM end-user of the dangers and risk to their RMM infrastructure today, and how they can help promote security best practices moving forward.  エンドユーザーレベルでの 2021年のU.S. Telecomのサイバー調査によると、中小規模の重要インフラ事業体のうち、CISAガイダンスを認識し、かつ/またはそれに従っているのはわずか13%に過ぎない。RMMエコシステムにおけるサイバーセキュリティを大規模に改善するために、CISAは対象者の意識における根本的なギャップに対処しなければならない。この柱は、RMMインフラに対する今日の危険性とリスクについてRMMエンドユーザを教育し、今後セキュリティのベストプラクティスを推進するためにどのように支援できるかを教育することに重点を置く。
LOE 3: END-USER EDUCATION  LOE 3:エンドユーザー教育 
CISA, Interagency partners, and other RMM ecosystem stakeholders will work together to develop and enhance cybersecurity guidance to RMM end-users.  CISA、省庁間パートナー、その他の RMM エコシステムの利害関係者が協力して、RMM エンドユーザーに対するサイバーセキュリティガイダンスを策定し、強化する。
LOE 4: AMPLIFICATION  LOE 4: 拡大 
Currently CISA publishes certain products, such as advisories and/or alerts on its website for public consumption, to include by critical infrastructure operators of the RMM community. RMM ecosystem stakeholders use a combination of conventional and novel lines of communication to share information. The goal of amplification is to leverage all available lines of communication within the RMM ecosystem to amplify high-fidelity CISA advisories and alerts.  現在 CISA は、RMM コミュニティの重要インフラ運用者が利用できるよう、一般消費者向け に、アドバイザリやアラートなど特定の製品を CISA のウェブサイトで公表している。RMMエコシステムの利害関係者は、情報を共有するために、従来のコミュニケーションラインと新しいコミュニケーションラインを組み合わせて使用している。増幅の目標は、RMMエコシステム内で利用可能なあらゆるコミュニケーション手段を活用して、忠実度の高いCISA勧告・警報を増幅することである。
ACCOMPLISHMENTS TO DATE  これまでの成果 
JCDC has already capitalized on the momentum of collaboration established through this planning effort and have advanced protections through this unique and strategic partnership. The enduring partnership provides a proven forum to drive industry-informed objectives aimed at mitigating risk to downstream SMBs and critical infrastructure operators. The actions below highlight efforts achieved to date.  JCDCはすでに、この計画策定作業を通じて確立した協力の勢いを活用し、このユニークで戦略的なパートナーシップを通じて防御を進めてきた。この永続的なパートナーシップは、川下の中小企業や重要インフラ事業者のリスク低減を目的とした、業界に精通した目標を推進するための実績あるフォーラムを提供するものである。以下のアクションは、現在までに達成された努力のハイライトである。
·       EXPANDING THE PARTNERSHIP. JCDC has expanded participation in operational collaboration fora to include strategic partners from across the RMM ecosystem. Through this relationship, RMM stakeholders will be able to maintain access to JCDC partner coordination channels that support real time information sharing, routinize coordination efforts in advance of and response to cyber incidents, and optimize communication. Likewise, through this new strategic partnership, RMM stakeholders are providing new avenues to amplify CISA services, cybersecurity guidance, and vulnerability and threat information across the RMM ecosystem, including to downstream SMBs and critical infrastructure operators. ・パートナーシップの拡大 JCDCは、RMMエコシステム全体からの戦略的パートナーを加えるため、業務協力フォーラムへの参加を拡大した。この関係を通じて、RMM関係者は、リアルタイムの情報共有をサポートし、サイバーインシデントの事前および対応における調整作業を日常化し、コミュニケーションを最適化するJCDCパートナーの調整チャネルへのアクセスを維持することができる。同様に、この新たな戦略的パートナーシップを通じて、RMM関係者は、川下の中小企業や重要インフラ事業者を含むRMMエコシステム全体で、CISAサービス、サイバーセキュリティ・ガイダンス、脆弱性と脅威情報を増幅する新たな手段を提供する。
·       WHOLE-OF-NATION CYBER DEFENSE PLANNING EFFORTS. No single entity has the complete knowledge, capabilities, and legal authorities to defend the entire digital ecosystem against advanced persistent threat actors. Through this Cyber Defense Plan, RMM stakeholders were able to identify and develop future planning topics to help strengthen the cybersecurity posture of RMM end user organizations. JCDC will leverage momentum with this strategic operational community to identify priority areas for addressing systemic risk across the RMM ecosystem and to develop well-informed and impactful cyber defense plans to combat those significant systemic cyber risks and malicious actors. The ability to continue to expand and leverage the expertise of this strategic operational community will have positive downstream effects within the RMM ecosystem.  ・国を挙げてのサイバー防衛計画の取り組み。高度な持続的脅威行為者からデジタル・エコシステム全体を防衛するための完全な知識、能力、法的権限を持つ事業体はない。このサイバー防衛計画を通じて、RMM関係者は、RMMエンドユーザー組織のサイバーセキュリティ態勢を強化するのに役立つ将来の計画テーマを特定し、策定することができた。JCDCは、この戦略的運用コミュニティとの勢いを活用し、RMMエコシステム全体のシステミックリスクに対処するための優先分野を特定し、それらの重大なシステミックサイバーリスクと悪意のある行為者に対抗するための十分な情報と影響力のあるサイバー防衛計画を策定する。この戦略的運用コミュニティの専門知識を継続的に拡大・活用する能力は、RMMエコシステム内で下流にプラスの効果をもたらす。
·       USING CYBERSECURITY SERVICES. Through this planning effort RMM stakeholders have been introduced to the full suite of CISA cybersecurity services. RMM stakeholders will continue to have access to CISA’s services that can help identify vulnerabilities they can remediate before a cyber threat actor has the chance to exploit them, including participation in CISA Ransomware Vulnerability Warning Pilot and Pre-Ransomware Notification Initiative. This partnership will create the opportunity for RMM stakeholders and CISA to coordinate more closely to identify and implement security improvements that will improve the security posture of the overall RMM ecosystem, from RMM vendors to SMBs and critical infrastructure operators.  ・サイバーセキュリティ・サービスを利用する。この計画策定作業を通じて、RMMの利害関係者はCISAのサイバーセキュリティ・サービス一式を利用できるようになった。RMMの関係者は、CISAランサムウェア脆弱性警告パイロットやランサムウェア事前通知イニシアティブへの参加など、サイバー脅威行為者に悪用される前に修正できる脆弱性を特定するのに役立つCISAのサービスを引き続き利用できるようになる。このパートナーシップにより、RMM関係者とCISAは、RMMベンダーから中小企業、重要インフラ事業者に至るまで、RMMエコシステム全体のセキュリティ態勢を改善するセキュリティ改善を特定・実施するため、より緊密に連携する機会が生まれる。
·       PRODUCTS AND COMMUNICATION. In partnership with RMM stakeholders, CISA will continue to provide guidance to help organizations address the risk of adversary targeting across the RMM ecosystem. Most recently, CISA released the following two resources to help defend against RMM targeting.  ・製品とコミュニケーションを提供する。CISAは、RMMの利害関係者と連携して、組織がRMMエコシステム全体で敵に狙われるリスクに対処できるよう、引き続きガイダンスを提供していく。直近では、CISAはRMMの標的からの防御に役立つ以下の2つのリソースを発表した。
·       People’s Republic of China State-Sponsored Cyber Actor Living off the Land to Evade Detection, released on May 24, 2023. This advisory highlights how a PRC cyber actor is living off the land using built-in network administration tools to evade detection while compromising networks and conducting malicious activity. This tactic enables the actor to evade detection by blending in with normal Windows system and network activities, avoid endpoint detection and response (EDR) products, and limit the amount of activity that is captured in default logging configurations. This advisory will help organization’s network defenders hunt for this activity on their systems. It provides many network and host artifacts associated with the activity occurring after the network has been initially compromised, with a focus on command lines used by the cyber actor.  ○2023年5月24日にリリースされたアドバイザリー「中華人民共和国の国家支援サイバー攻撃者は検知を逃れるために現地調達型対応をする」では、中華人民共和国のサイバー行為者が、ネットワークを侵害し悪意のある活動を行う一方で、検知を回避するために内蔵のネットワーク管理ツールを使用して現地調達していることを紹介している。この手口は、通常のWindowsシステムやネットワーク活動に紛れ込むことで検知を回避し、エンドポイント検知・応答(EDR)製品を回避し、デフォルトのロギング設定でキャプチャされる活動量を制限することを可能にする。この勧告は、組織のネットワーク防御担当者がシステム上のこのアクティビティを探し出すのに役立つ。この勧告は、ネットワークが最初に侵害された後に発生した活動に関連する多くのネットワークとホストのアーティファクトを、サイバー行為者によって使用されたコマンドラインに焦点を当てて提供する。
·       °Guide to Securing Remote Access Software, which provides an overview of common exploitations and associated tactics, techniques, and procedures. It also includes recommendations to IT/OT and ICS professionals and organizations on best practices for using remote capabilities and how to detect and defend against malicious actors abusing this software.  ○遠隔アクセス・ソフトウェアの安全性確保ガイド」は、一般的なエクスプロイトと関連する戦術、技術、手順の概要を提供する。また、IT/OT、ICS の専門家や組織に対する、遠隔機能を使用するためのベストプラクティスや、このソフトウェアを悪用する悪意のある行為者を検知し防御する方法についての推奨も含まれている。
·       ADVANCING SECURE BY DESIGN/DEFAULT. CISA is focused on the development of secure by design/default into all information technology products. Through this planning effort, RMM stakeholders identified that they have an important role to play alongside the government in driving to improve security by design across their products. RMM stakeholders along with CISA will continue to work closely to identifying secure by design/default RMM principles to strengthen the RMM ecosystem.  ・セキュア・バイ・デザイン/デフォルトを推進する。CISA は、すべての情報技術製品へのセキュア・バイ・デザイン/デフォルトの開発に重点を置いている。この計画策定作業を通じて、RMM 関係者は、製品全体のセキュ リティ・バイ・デザインの改善を推進する上で、政府とともに果たすべき重要な役割があることを確認した。RMM関係者は、CISAとともに、セキュア・バイ・デザイン/デフォルトのRMM原則を特定し、RMMエコシステムを強化するために、引き続き緊密に協力していく。
CONCLUSION  結論 
The ubiquity of RMM software, coupled with the sizable market share of several key RMM stakeholders, positions JCDC to facilitate systemic positive impacts across the cyber domain. Enhancing the cyber resilience and threat awareness of RMM stakeholders can provide downstream benefit to end-users, including SMB owners and critical infrastructure operators. The JCDC RMM Cyber Defense Plan presents a foundation from which leaders across CISA, Interagency partners, and industry partners can suitably align and delineate their respective lines of effort to accomplish key objectives. JCDC will continue to lead the execution of the JCDC RMM Cyber Defense Plan, relying on external stakeholders both within and outside of CISA. Public-private collaboration in the RMM ecosystem is, and will remain, a vital component of CISA’s mission to understand, manage, and reduce risk to our nation’s critical infrastructure.  RMMソフトウェアのユビキタス性は、いくつかの主要なRMM利害関係者の大きな市場シェアと相まって、JCDCをサイバー領域全体に体系的な好影響を促進する立場に置いている。RMM 利害関係者のサイバー レジリエンスと脅威に対する認識を高めることは、中小企業のオーナーや重要インフラ運用者を含むエンドユー ザーに下流の利益をもたらすことができる。JCDCのRMMサイバー防衛計画は、CISA、省庁間パートナー、産業界のパートナーにまたがるリーダーたちが、重要な目標を達成するためにそれぞれの努力ラインを適切に調整し、明確にするための基盤を示すものである。JCDCは、CISA内外の外部利害関係者に依存しながら、JCDC RMMサイバー防衛計画の実行を引き続き主導する。RMMエコシステムにおける官民協力は、わが国の重要インフラに対するリスクを理解し、マネジメントし、低減するというCISAのミッションにとって不可欠な要素であり、今後もそうあり続けるだろう。

 

 


 

 

まるちゃんの情報セキュリティ気まぐれ日記

CISAのサイバーセキュリティ戦略...

・2023.08.06 米国 CISA サイバーセキュリティ戦略 FY2024-2026

・2023.03.04 米国 国家サイバーセキュリティ戦略を発表

 

Living off the Land

・2023.06.11 Five Eyes 中華人民共和国の国家支援サイバー攻撃者は検知を逃れるために現地調達型対応をする (2023.05.24)

 

 

| | Comments (0)

2023.08.19

ロシア 科学技術センター :新たなサイバーセキュリティの脅威

こんにちは、丸山満彦です。

ロシアの科学技術センター(Научно-технический центр)のブログで、「新たなサイバーセキュリティの脅威」という記事が公開されていますね。。。

Научно-технический центрについては、こちら。。。

 

議論のもとになっているデータについては、Forresterや英国のAzTechですね。。。このニュース?ブログ?のページはAIも含めて興味深いものが多いです。

 

Научно-технический центр

・2023.08.17 Новые угрозы кибербезопасности

Новые угрозы кибербезопасности 新たなサイバーセキュリティの脅威
Цифровизация корпораций, компаний, правительств и общества в целом предполагает управление деятельностью за счет компьютеризированных систем. Однако постоянное развитие технологий изменяет характер кибератак и, соответственно, тенденций в развитии кибербезопасности. 企業、会社、政府、そして社会全体のデジタル化には、コンピュータ化されたシステムを通じて活動を管理することが含まれる。しかし、テクノロジーの絶え間ない進化は、サイバー攻撃の性質、ひいてはサイバーセキュリティの傾向を変化させている。
Искусственный интеллект, облачные технологии и геополитическая нестабильность активно используются злоумышленниками для осуществления кибератак. Здесь ключевые области защиты касаются данных и предотвращения несанкционированного доступа в те сферы деятельности, которые не могут долгое время работать в оффлайн режиме (например цепочки поставок или медицинские учреждения). 人工知能、クラウド技術、地政学的不安定性は、サイバー攻撃を行うために攻撃者によって積極的に利用されている。ここで、重要な保護領域は、データと、長期間オフラインで運用できないビジネス領域(例えば、サプライチェーンや医療施設)への不正アクセスの防止に関するものである。
В частности, по данным Forrester, в 2022 году 35 крупнейших нарушений безопасности раскрыли 1,2 миллиарда данных, и 34% этих атак были направлены на государственный сектор и организации здравоохранения, за ними идут СМИ, индустрия развлечений и финансовый сектор. В тоже время, новая угроза в области ИИ относится к отравлению данных, которые обучают модели
.
具体的には、フォレスターによると、上位35件のセキュリティ侵害により、2022年には12億件のデータが流出し、これらの攻撃の34%が公共部門と医療機関を標的としており、メディア、エンターテインメント、金融部門がこれに続く。同時に、AIにおける新たな脅威は、モデルを訓練するデータの汚染に言及している。
По данным британской компании AzTech, увеличиться количество платформ Ransomware-as-a-Service (RaaS), В 2023 году можно ожидать, что появление платформ Ransomware-as-a-Service (RaaS)1станет более распространенным. Так, согласно IBM, в среднем на обнаружение атаки Ransomware уходит 49 дней и, по данным Statista, 71% процент компаний подверглись этой атаке в 2022 году. 英国を拠点とするAzTechによると、2023年には、Ransomware-as-a-Service(RaaS)1プラットフォームの台頭が予想される。例えば、IBMによると、ランサムウェア攻撃を検知するのに平均49日かかり、Statistaによると、2022年には71%の割合の企業がこの攻撃を経験しているという。
Кроме этого, среди ключевых тенденций в области кибератак ожидается генерирование ИИ реалистичных фишинговых писем с целью обмана пользователей, разработка ПО для обхода программ обнаружения. Например, ИИ может генерировать реалистичные фишинговые электронные письма, которые могут легко обмануть пользователей, или создавать вредоносное ПО, которое может адаптировать свое поведение, чтобы избежать обнаружения программным обеспечением безопасности. В равной степени увеличивается количество атак на цепочки поставок с целью получения доступа к системам данных клиентов. Здесь необходимо внедрять строгий контроль доступа к данным партнеров. Кроме этого, стоит ожидать развития дипфейков и синтетических медиа, создаваемых ИИ. Например, в компании AzTech ожидают увеличения фейков в области видео и аудиоконтента для манипулирования ценами на акции и влияния на общественное мнение. Развитие облачные технологий и перенос данных и инфраструктур в облако несет угрозу несанкционированного доступа к облачной инфраструктуре и использование для получения финансовой выгоды. В компании AzTech также уверены, что необходимо уделять больше внимания внутренним угрозам, которые связаны, в том числе, с удаленной работой сотрудников, имеющих доступ к конфиденциальной информации. Еще одна область для формирования угроз кибербезопасности относится к развитию сетей 5G и Интернета вещей. Увеличение подключенных устройств приводят к их уязвимостям и возможности атак на критически важную инфраструктуру. さらに、サイバー攻撃の主要トレンドの中で、AIはユーザーを欺くためにリアルなフィッシングメールを生成し、検知プログラムを回避するソフトウェアを開発すると予想されている。例えば、AIはユーザーを簡単に騙すことができるリアルなフィッシングメールを生成したり、セキュリティソフトウェアによる検知を回避するために挙動を適応させることができるマルウェアを作成したりすることができる。同様に、顧客データシステムへのアクセスを目的としたサプライチェーンへの攻撃も増加している。この場合、パートナー・データに対する厳格なアクセス制御を実施する必要がある。さらに、AIによって作られたディップフェイクや合成メディアの開発も予想される。例えば、株価を操作したり世論に影響を与えたりするための偽の動画や音声コンテンツが増加するとアズテックは予想している。クラウド技術の発展やデータやインフラのクラウドへの移行は、クラウドインフラへの不正アクセスや金銭的利益のための利用の脅威をもたらす。AzTechはまた、リモートで働き、機密情報にアクセスできる従業員を含むインサイダーの脅威にもっと注意を払う必要があると考えている。サイバーセキュリティの脅威を形成するもう一つの分野は、5Gネットワークとモノのインターネットの発展に関連している。接続されたデバイスの増加は、それらの脆弱性と重要インフラへの攻撃の可能性につながる。
Таким образом, совершенствование злоумышленниками методов и тактик требуют новых подходов к кибербезопасности. Например, безопасность API позволяет защитить библиотеки с открытым исходным кодом и снизить потенциальные риски. Кроме этого, широкое применение получает анализ состава программного обеспечения, который становится полноценным инструментом обеспечения безопасности приложений. Он позволяет провести всесторонний анализ зависимостей с открытым исходным кодом и сторонних разработчиков, помогая организациям выявлять и устранять уязвимости. Кроме этого, наблюдается рост роли разработчиков. Разработчикам доверяют окончательное решение по технологиям безопасности приложений. Это позволит легко интегрировать меры безопасности в процесс разработки. そのため、攻撃者の手法や戦術の向上により、サイバーセキュリティに対する新たなアプローチが必要となる。例えば、APIセキュリティはオープンソースライブラリを保護し、潜在的なリスクを軽減することができる。さらに、ソフトウェア構成分析が広く使われるようになり、本格的なアプリケーション・セキュリティ・ツールになりつつある。このツールは、オープンソースとサードパーティの依存関係を包括的に分析し、組織が脆弱性を特定して修正するのを支援する。これに加えて、開発者の役割も増加している。開発者は、アプリケーション・セキュリティ技術の最終決定を任されている。これにより、セキュリティ対策を開発プロセスに統合することが容易になる。

20230819-70206

 

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.05.10 ロシア 科学技術センター 国が優先的に取り組むべき人工知能の12の応用分野 (2023.04.25)

・2023.05.10 ロシア 科学技術センター 大規模言語モデル:認知的な視点

・2023.05.09 ロシア 科学技術センターによる中国の生成型AI規制の方向感についての評価 (2023.04.13)

・2023.03.07 ロシア 科学技術センター 認知作戦・心理作戦の理論的・概念的側面

 

| | Comments (0)

米国 NIST IR 8477(初公開ドラフト):文書標準、規制、フレームワーク、ガイドライン間の関係をマッピングする: サイバーセキュリティとプライバシーの概念マッピングの開発

こんにちは、丸山満彦です。

 

・2023.08.17 Cybersecurity and Privacy Mapping Guide: Draft NIST IR 8477 Available for Comment

Cybersecurity and Privacy Mapping Guide: Draft NIST IR 8477 Available for Comment サイバーセキュリティとプライバシーのマッピングガイド: NIST IR 8477ドラフト、コメント募集中
NIST has released the initial public draft (ipd) of a new report for public comment: NIST Internal Report (IR) 8477 ipd, Mapping Relationships Between Documentary Standards, Regulations, Frameworks, and Guidelines: Developing Cybersecurity and Privacy Concept Mappings. NISTは、新しい報告書の初公開ドラフト(ipd)を公開し、パブリックコメントを求めている: NIST内部報告 (IR) 8477 ipd: サイバーセキュリティとプライバシーの概念マッピングを開発する。
Understanding how the elements of diverse sources of cybersecurity and privacy content are related to each other is an ongoing challenge for people in nearly every organization. This document explains NIST’s proposed approach for identifying and documenting relationships between concepts such as controls, requirements, recommendations, outcomes, technologies, functions, processes, techniques, roles, and skills. サイバーセキュリティとプライバシーの内容の多様な情報源の要素が互いにどのように関連しているかを理解することは、ほとんどすべての組織の人々にとって継続的な課題である。この文書では、コントロール、要求事項、勧告、成果、技術、機能、プロセス、技術、役割、スキルなどの概念間の関係を特定し、文書化するための NIST の提案するアプローチを説明する。
NIST intends for the approach to be used for mapping relationships involving NIST cybersecurity and privacy publications that will be submitted to NIST’s National Online Informative References (OLIR) Program for hosting in NIST’s online Cybersecurity and Privacy Reference Tool (CPRT). This will include mapping the equivalent of the NIST Cybersecurity Framework’s (CSF) 1.1 Informative References in support of CSF 2.0. NIST は、NIST のオンラインサイバーセキュリティ・プライバシー参照ツール(CPRT)に掲載するために、NIST の全国オンライン情報参考文献(OLIR)プログラムに提出される NIST のサイバーセキュリティおよびプライバシーに関する出版物に関係する関係をマッピングするために、このアプローチを使用することを意図している。これには、NIST のサイバーセキュリティフレームワーク(CSF)1.1 に相当する参考文献を CSF2.0 に対応させることも含まれる。
By following this approach, NIST and others in the cybersecurity and privacy standards community can jointly establish a single concept system over time that links cybersecurity and privacy concepts from many sources into a cohesive, consistent set of relationship mappings. The mappings can then be used by different audiences to better describe the interrelated aspects of the global cybersecurity and privacy corpus. このアプローチに従うことで、NIST とサイバーセキュリティとプライバシーの標準コミュニティの他の人々は、多くのソースからのサイバーセキュリティとプライバシーの概念を、まとまりのある一貫した一連の関係マッピングに結びつける単一の概念体系を、時間をかけて共同で確立することができる。このマッピングは、グローバルなサイバーセキュリティとプライバシーのコーパスの相互に関連する側面をよりよく記述するために、さまざまな想定読者が使用することができる。

 

 

 ・2023.08.17 NIST IR 8477 (Initial Public Draft) Mapping Relationships Between Documentary Standards, Regulations, Frameworks, and Guidelines: Developing Cybersecurity and Privacy Concept Mappings

NIST IR 8477 (Initial Public Draft) : Mapping Relationships Between Documentary Standards, Regulations, Frameworks, and Guidelines: Developing Cybersecurity and Privacy Concept Mappings NIST IR 8477(初公開ドラフト):文書標準、規制、フレームワーク、ガイドライン間の関係をマッピングする: サイバーセキュリティとプライバシーの概念マッピングの開発
Announcement 発表
Understanding how the elements of diverse sources of cybersecurity and privacy content are related to each other is an ongoing challenge for people in nearly every organization. This document explains NIST’s proposed approach for identifying and documenting relationships between concepts such as controls, requirements, recommendations, outcomes, technologies, functions, processes, techniques, roles, and skills. サイバーセキュリティとプライバシーに関する多様な情報源の要素が互いにどのように関連しているかを理解することは、ほとんどすべての組織の人々にとって継続的な課題である。この文書では、コントロール、要求事項、勧告、成果、技術、機能、プロセス、技術、役割、スキルなどの概念間の関係を特定し、文書化するための NIST の提案するアプローチを説明する。
NIST intends for the approach to be used for mapping relationships involving NIST cybersecurity and privacy publications that will be submitted to NIST’s National Online Informative References (OLIR) Program for hosting in NIST’s online Cybersecurity and Privacy Reference Tool (CPRT). This will include mapping the equivalent of the NIST Cybersecurity Framework’s (CSF) 1.1 Informative References in support of CSF 2.0. NIST は、NIST のオンラインサイバーセキュリティ・プライバシー参照ツール(CPRT)に掲載するために、NIST の オンライン情報参考文献(OLIR)プログラムに提出される NIST のサイバーセキュリティおよびプライバシーに関する出版物に関係する関係をマッピングするために、このアプローチを使用することを意図している。これには、NIST のサイバーセキュリティフレームワーク(CSF)1.1 に相当する参考文献を CSF2.0 に対応させることも含まれる。
By following this approach, NIST and others in the cybersecurity and privacy standards community can jointly establish a single concept system over time that links cybersecurity and privacy concepts from many sources into a cohesive, consistent set of relationship mappings. The mappings can then be used by different audiences to better describe the interrelated aspects of the global cybersecurity and privacy corpus. このアプローチに従うことで、NIST とサイバーセキュリティとプライバシーの標準コミュニティの他の人々は、多くのソースからのサイバーセキュリティとプライバシーの概念を、まとまりのある一貫した一連の関係マッピングに結びつける単一の概念体系を、時間をかけて共同で確立することができる。このマッピングは、グローバルなサイバーセキュリティとプライバシーのコーパスの相互に関連する側面をよりよく記述するために、さまざまな想定読者が使用することができる。
Abstract 概要
This document describes an approach that NIST would use and other parties could use for mapping the elements of documentary standards, regulations, frameworks, and guidelines to NIST publications, such as CSF Subcategories or SP 800-53r5 controls. NIST intends for this approach to be used for future mappings involving NIST cybersecurity and privacy publications that will be submitted via the NIST National Online Informative References (OLIR) process for hosting on NIST’s online Cybersecurity and Privacy Reference Tool (CPRT). By following this approach, NIST and others in the cybersecurity and privacy standards community can jointly establish a single concept system over time that links cybersecurity and privacy concepts from many sources into a cohesive, consistent set of relationship mappings within the NIST CPRT. The approach is informed by concept system and terminology standards, as well as experience with what information the cybersecurity and privacy community would find most valuable. 本文書は、文書化された標準、規制、フレームワーク、およびガイドラインの要素を、CSF サブカテゴリーや SP 800-53r5 コントロールのような NIST の出版物にマッピングするために、NIST が使用し、他の関係者が使用できるアプローチについて記述している。NIST は、NIST 全国オンライン情報参考文献(OLIR)プロセスを通じて提出され、NIST のオンライン・サイバーセキュリティ・プライバシー・リファレンス・ツール(CPRT)でホストされる NIST のサイバーセキュリティとプライバシーの出版物を含む将来のマッピングに、このアプローチが使用されることを意図している。このアプローチに従うことで、NIST とサイバーセキュリティとプライバシーの標準化コミュニティの他の関係者は、多くの情報源からのサイバーセキュリティとプライバシーの概念を NIST CPRT 内のまとまりのある一貫した一連の関係マッピングにリンクさせる単一の概念体系を、時間をかけて共同で確立することができる。このアプローチは、概念体系と用語の標準に加え、サイバーセキュリティとプライバシーのコミュニティがどのような情報に最も価値を見出すかについての経験に基づいている。

 

・[PDF] NIST.IR.8477.ipd

20230819-54337

目次と表...

Executive Summary エグゼクティブサマリー
1. Introduction 1. 序文
1.1. Purpose and Scope 1.1. 目的と範囲
1.2. Related Work 1.2. 関連作業
1.3. Publication Structure 1.3. 出版構成
2. Concept Mapping Approach Overview 2. 概念マッピング・アプローチの概要
3. Identify and Document Use Cases for the Mapping 3. マッピングのユースケースの識別と文書化
4. Choose a Concept Relationship Style 4. 概念関係のスタイルを選択する
4.1. Concept Crosswalk 4.1. 概念クロスウォーク
4.2. Supportive Relationship Mapping 4.2. サポート関係マッピング
4.3. Set Theory Relationship Mapping 4.3. セットセオリー関係マッピング
4.4. Structural Relationship Mapping 4.4. 構造的関係マッピング
4.5. Custom 4.5. カスタム
4.6. Using Mappings With Different Relationship Styles 4.6. 異なるリレーションシップスタイルでマッピングを使用する
5. Evaluate Concept Pairs and Document Their Relationships 5. 概念ペアを評価し、その関係を文書化する
6. Next Steps 6. 次のステップ
References 参考文献
Appendix A. Glossary 附属書A. 用語集
List of Tables
Table 1. Notional documentation of assumptions 表1. 前提条件の想定文書
Table 2. Concept relationship styles 表2. 概念関係のスタイル
Table 3. Supportive relationship mapping examples from SP 1800-36 Vol. E 表3. SP 1800-36 Vol.Eからの支援関係マッピングの例
Table 4. Supportive relationship mapping examples from SP 1800-35 Vol. E 表4. SP 1800-35 Vol.Eからの支援関係マッピング例
Table 5. Set theory relationship mapping example from OLIR repository 表5. OLIRリポジトリからの集合論的関係マッピング例
Table 6. Notional example of parent-child relationships 表6. 親子関係の想定例
Table 7. Converting set theory relationships to supportive relationships 表7. 集合論の関係を支持関係に変換する

 

エグゼクティブサマリー...

Executive Summary  エグゼクティブサマリー
Understanding how the elements of diverse cybersecurity and privacy standards, regulations, frameworks, guidelines, and other content are related to each other is an ongoing challenge for people at nearly every organization. It can be time-consuming and difficult to answer questions like:  多様なサイバーセキュリティとプライバシーの標準、規制、フレームワーク、ガイドライン、その他のコンテンツの要素が互いにどのように関連しているかを理解することは、ほとんどすべての組織の人々にとって継続的な課題である。次のような質問に答えるには、時間がかかり、困難な場合がある: 
•       How does conforming to one standard help the organization conform to another standard? What parts of the second standard does the first standard fail to address?  ・ある標準に適合することは、その組織が別の標準に適合することにどのように役立つのか?ある標準に適合することは、その組織が別の標準に適合することにどのように役立つのか?
•       Where can we find more information on how to satisfy a particular requirement in a guideline? What types of technologies can we use, and what types of skills do the implementers need to have?  ・あるガイドラインの特定の要求事項を満たす方法について,詳しい情報はどこにあるのか?どのような種類の技術を使うことができ,実装者にはどのような種類のスキルが必要なのか?
•       If we want to conform to a particular standard, what types of cybersecurity capabilities do our technology product and service providers need to support?  ・特定の標準に適合させたいのであれば、どのような種類のサイバーセキュリティ機能 を,当社の技術製品及びサービスプロバイダがサポートする必要があるのか。
•       If we perform a particular security assessment methodology, what requirements will be sufficiently validated across our compliance portfolio?  ・特定のセキュリティ評価手法を実施する場合、どのような要件が当社のコンプライ アンス・ポートフォリオ全体で十分に検証されることになるのか。
•       What recommendations substantially changed from a guideline’s previous version to its current version?  ・ガイドラインの旧版と現行版とで、どのような推奨事項が大幅に変更されたのか。
•       What security and privacy controls must be in place before we adopt a new technology?  ・新しい技術を採用する前に、どのようなセキュリティ管理及びプライバシー管理を実施しなければならないか。
This document explains NIST’s proposed approach for identifying and documenting the relationships between concepts in cybersecurity and privacy, such as how the concepts of a NIST or third-party standard or guideline relate to the concepts of a foundational NIST publication like the Cybersecurity Framework (CSF) or NIST Special Publication (SP) 800-53. There are many possible concept types, including controls, requirements, recommendations, outcomes, technologies, functions, processes, techniques, roles, and skills. NIST intends to use this approach for mapping relationships involving NIST cybersecurity and privacy publications that will be submitted via NIST’s National Online Informative References (OLIR) Program for hosting in NIST’s online Cybersecurity and Privacy Reference Tool (CPRT). This will include mapping the equivalent of CSF 1.1’s Informative References in support of CSF 2.0. Third parties choosing to contribute mappings to OLIR for CPRT hosting would also need to use the approach in the future.  この文書では、サイバーセキュリティとプライバシーの概念間の関係を特定し、文書化するための NIST の提案アプローチを説明する。例えば、NIST やサードパーティの標準やガイドラインの概念が、サイバーセキュリティフレームワーク(CSF)や NIST 特別刊行物(SP)800-53 のような NIST の基本的な刊行物の概念とどのように関連しているかなどである。概念には、管理、要件、推奨、成果、技術、機能、プロセス、技術、役割、スキルなど、多くの種類が考えられる。NIST は、NIST のオンライン・サイバーセキュリティ・プライバシー・リファレンス・ツール(CPRT)に掲載するために、NIST の全国オンライン情報参照(OLIR)プログラムを通じて提出される NIST のサイバーセキュリティとプライバシーの出版物に関係する関係をマッピングするために、このアプローチを使用する予定である。これには、CSF 2.0 をサポートするために、CSF 1.1 の参考情報に相当するマッピングが含まれる。CPRT ホスティングのために OLIR にマッピングを提供することを選択したサードパーティも、将来はこのアプローチを使用する必要がある。
By following this approach, NIST and others in the cybersecurity and privacy standards community can jointly establish a single concept system over time that links cybersecurity and privacy concepts from many sources into a cohesive, consistent set of relationship mappings within the NIST CPRT. The mappings can then be used by different audiences to better describe the interrelated aspects of the global cybersecurity and privacy corpus.  このアプローチに従うことにより、NIST 及びサイバーセキュリティとプライバシーの標準コミュニティの他の関係者は、NIST CPRT 内で、多くの情報源からのサイバーセキュリティとプライバ シーの概念を首尾一貫した一連の関係マッピングにリンクする単一の概念体系を、長期にわたっ て共同で確立することができる。このマッピングは、グローバルなサイバーセキュリティとプライバシーのコーパスの相互に関連する側面をよりよく記述するために、さまざまな想定読者が使用することができる。

 

 


 

 

参考

● NIST

全国オンライン情報参考文献 (OLIR)プログラム

National Online Informative References Program OLIR

 

PDFからの解放...

サイバーセキュリティとプライバシーリファレンスツール CPRT

Cybersecurity and Privacy Reference Tool CPRT

| | Comments (0)

米国 NIST サイバーセキュリティフレームワーク 2.0リファレンスツール

こんにちは、丸山満彦です。

NISTのサイバーセキュリティフレームワークのVer2.0案は2023.11.04までパブリックコメントを受け付けていますね。。。そんな中ですが、サイバーセキュリティフレームワーク2.0のリランレンスツールが公開されていますね。。。

実装例や参照文献は、頻繁に更新されていくことが想定されることから、オンラインによる更新になるようですね。。。これからは、PDFによる更新は、基準のような幹の部分で、利用のためのガイダンスや、ユースケース、参照情報といった頻繁な変更が必要なものは、オンラインにより、随時必要な情報が更新され、利用する組織側でも、連携して必要な変更等をしていくことになるのでしょうね。。。

 

NIST - ITL

・2023.08.15 Introducing the NIST Cybersecurity Framework 2.0 Reference Tool!

Introducing the NIST Cybersecurity Framework 2.0 Reference Tool! < NISTサイバーセキュリティフレームワーク2.0リファレンスツールのご紹介!
Today, NIST is officially unveiling our new Cybersecurity Framework (CSF) 2.0 Reference Tool. This resource allows users to explore the Draft CSF 2.0 Core (Functions, Categories, Subcategories, Implementation Examples) and offers human and machine-readable versions of the draft Core (in both JSON and Excel formats). Currently, the tool allows users to view and export portions of the Core using key search terms. This tool will ultimately enable users to create their own version of the CSF 2.0 Core with selected Informative References and will provide a simple and streamlined way for users to explore different aspects of the CSF Core.  本日、NISTは新しいサイバーセキュリティフレームワーク(CSF)2.0リファレンス・ツールを正式に発表する。このリソースは、ドラフトCSF 2.0のコア(機能、カテゴリー、サブカテゴリー、実装例)を探索することを可能にし、ドラフトコアの人間および機械可読バージョン(JSONおよびExcel形式の両方)を提供する。現在、このツールは、ユーザーが検索キーワードを使ってCoreの一部を閲覧したり、エクスポートしたりすることを可能にしている。このツールは、最終的に、選択した参考情報(Informative References)を含む独自の CSF 2.0 Core を作成することを可能にし、ユーザが CSF Core のさまざまな側面を調査するためのシンプルで合理的な方法を提供する。 
NIST will continue to add additional features to the CSF 2.0 Reference Tool in the coming months (for example, Informative References will be added once CSF 2.0 is finalized in early 2024, which will help to show the connection between the CSF and other cybersecurity frameworks, standards, guidelines, and resources). NIST は、今後も CSF 2.0 リファレンス・ツールに機能を追加していく予定である(例えば、2024 年初めに CSF 2.0 が最終化された時点で、CSF と他のサイバーセキュリティのフレームワーク、標準、ガイドライン、リソースとの関連性を示すのに役立つ情報参照(Informative References)が追加される予定である)。
Other Important News: その他の重要なニュース
・Last week, NIST released a Draft of the NIST Cybersecurity Framework 2.0. The CSF 2.0 draft reflects several major changes, including: an expanded scope, the addition of a sixth function, Govern, and improved and expanded guidance on implementing the CSF—especially for creating profiles. Public comments will be accepted via [mail] until Friday, November 4, 2023 . ・先週、NISTはNISTサイバーセキュリティフレームワーク2.0のドラフトを発表した。CSF 2.0 のドラフトには、範囲の拡大、第6の機能であるガバナンスの追加、CSF の実施に関するガイダンスの改善・拡大(特にプロファイルの作成)、などいくつかの大きな変更が反映されている。パブリック・コメントは、[mail] を通じて、2023 年 11 月 4 日(金)まで受け付ける。
・NIST also released a separate discussion draft of the Implementation Examples included in the CSF 2.0 Draft Core. Public comments will be accepted via [mail] until Friday, November 4, 2023. ・NIST は、CSF 2.0 ドラフト・コアに含まれる実装例のディスカッション・ドラフトも別途公表した。 パブリックコメントは、[mail] を通じて、2023 年 11 月 4 日(金)まで受け付ける。
・Save the Date: A hybrid Fall workshop will be held on September 19-20, 2023—and will include options for virtual and in-person attendance—at the NIST National Cybersecurity Center of Excellece (registration will open soon).The workshop will serve as another opportunity for the public to provide feedback and comment . 予定を入れてください: 秋のハイブリッド・ワークショップ(このワークショップは、一般市民がフィードバックやコメントを提供するもう一つの機会となる)は、2023年9月19日から20日にかけて、NIST国立サイバーセキュリティ・センター・オブ・エクセレンスで開催される予定である。
Thank you for sharing in our excitement and for being such an important part of this process. As always, please continue to visit our Journey to CSF 2.0 website for important news, updates, and documents in the coming months—and follow us on X via @NISTcybe . 我々の興奮を分かち合い、このプロセスの重要な一部となってくださったことに感謝する。今後数ヶ月間、重要なニュース、最新情報、文書については、CSF 2.0への旅ウェブサイトを引き続き参照のこと。

 

で、リファレンスツール...

 

Cybersecurity Framework CSF

 

Cybersecurity Framework CSF サイバーセキュリティフレームワーク CSF
This NIST Cybersecurity Framework (CSF) 2.0 Reference Tool allows users to explore the Draft CSF 2.0 Core (Functions, Categories, Subcategories, Implementation Examples). The Tool offers human and machine-readable versions of the draft Core (in JSON and Excel). It also allows users to view and export portions of the Core using key search terms. このNISTサイバーセキュリティフレームワーク(CSF)2.0リファレンス・ツールを使用すると、ドラフトCSF2.0コア(機能、カテゴリー、サブカテゴリー、実装例)を調べることができる。このツールは、ドラフト・コアの人間および機械可読バージョン(JSON および Excel)を提供する。また、主要な検索語を使用して、Coreの一部を表示し、エクスポートすることができる。
Aspects related to the presentation and functionality of this Tool are still under development. Informative References will be added once CSF 2.0 is finalized in early 2024, which will help to show the connection between the CSF and other cybersecurity frameworks, standards, guidelines, and resources. Since CSF 2.0 Implementation Examples and Informative References will be updated more frequently than the rest of the Core, they will be published and maintained online only. このツールの表示と機能に関する側面は、まだ開発中である。参考文献は、CSF 2.0 が 2024 年初めに最終化された時点で追加される予定であり、CSF と他のサイバーセキュリティフレームワーク、標準、ガイドライン、リソースとの関連を示すのに役立つ。CSF 2.0 の実施例と参考文献は、コアの他の部分よりも頻繁に更新されるため、オンラインのみで公開・管理される。
Future versions will enable users to create their own version of the CSF 2.0 Core with selected Informative References. As the CSF is designed to be used with other cybersecurity resources, this planned functionality to downselect Informative References will help organizations in building Profiles to implement the CSF. NIST encourages feedback on this tool be sent to cprt@nist.gov. 将来のバージョンでは、選択した参考情報とともに、 CSF 2.0 中核の独自のバージョンを作成できるようになる予定である。CSF は他のサイバーセキュリティリソースとともに使用されるように設計されているため、この Informative References を選択する機能は、組織が CSF を実施するためのプロファイルを構築する際に役立つ。NIST は、このツールに関するフィードバックを cprt@nist.gov に送ることを推奨する。
Note: This tool leverages the NIST Cybersecurity and Privacy Reference Tool (CPRT) where users can view information across many of NIST's cybersecurity and privacy resources. 注:このツールは NIST Cybersecurity and Privacy Reference Tool(CPRT)を活用している。

 

1_20230811085501

更新等については。。。

Updating the NIST Cybersecurity Framework – Journey To CSF 2.0

 

CSF 2.0 TImeline

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.08.11 米国 NIST サイバーセキュリティフレームワーク 2.0案

・2023.08.10 米国 NISTサイバーセキュリティフレームワーク2.0コアと実装例のディスカッションドラフト

・2023.04.26 米国 NIST ホワイトペーパー(案) 「NIST サイバーセキュリティフレームワーク 2.0 コア」のディスカッションドラフト

・2023.01.21 米国 NIST サイバーセキュリティフレームワークの改訂の方向性(CSF2.0に向けて...)

・2022.10.07 米国 NIST 国際的活動に関する最新情報:CSF2.0アップデートワークショップなど (2022.09.30)

 

 

| | Comments (0)

2023.08.18

防衛省 認知領域を含む情報戦への対応

こんにちは、丸山満彦です。

防衛省が、「認知領域を含む情報戦への対応」を公表していますね。。。

インターネットが発展してSNS等で情報発信ができるようになり、さらにその拡散が簡単になり、情報戦のやり方はかわりましたね。。。

そして、生成AIで、もっともらしい画像、音声、動画が簡単に作られるようになり、また大きく変わる節目を迎えているかもしれません。。。

 

防衛省

・2023.08.17 認知領域を含む情報戦への対応

・[PDF]

20230818-23903

 

アメリカでは選挙が情報戦の影響を受ける可能性が高いと警戒されていますね。。。日本はどうなんでしょうね。。。

 

 

| | Comments (0)

内閣官房 内閣サイバーセキュリティセンターの電子メール関連システムからのメールデータの漏えいの可能性について(2023.08.04)

こんにちは、丸山満彦です。

個別に連絡が来ましたが...いろいろと情報がありますね。。。

 

内閣官房サイバーセキュリティセンター

・2023.08.04 内閣サイバーセキュリティセンターの電子メール関連システムからのメールデータの漏えいの可能性について

 


今般、内閣サイバーセキュリティセンター(NISC)の電子メール関連システムに対し、不正通信があり、個人情報を含むメールデータの一部が外部に漏えいした可能性があることが判明しました。
これは、メーカーにおいて確認できていなかった電子メール関連システムに係る機器の脆弱性を原因とするものであると考えられ、同様の事案は国外においても確認されています。

NISCにおける本事案の経緯及び講じた措置は以下のとおりです。
・6月13日 電子メール関連システムに係る不正通信の痕跡を発見。
・6月14~15日 当該システムの状況を確認するため、速やかに運用を停止。不正通信の原因と疑われる機器を交換するとともに、他の機器等に異常がないことの確認や、内部監視の強化等の対策を実施の上で、当該システムを再稼働。
・6月21日 保守運用事業者の調査により、不正通信が当該機器の脆弱性を原因とするものであることを示す証跡を発見(本事案について個人情報保護委員会に報告)。

これを受けて、外部専門機関等による調査を行った結果、現時点までに、NISCが令和4年10月上旬から令和5年6月中旬までの間にインターネット経由で送受信した個人情報を含むメールデータの一部が外部に漏えいした可能性があることが判明したところです。

NISCにおいては、本事案により、メールアドレス等の個人情報が漏えいした可能性を排除できない方に対して個別に通知するとともに、事案の公表を行うこととしたところです。関係者の皆様には、ご迷惑をおかけすることになり、お詫び申し上げます。

なお、現時点で、具体的な個人情報の漏えい等は不明であり、個人情報の悪用等の被害は確認されていませんが、今後NISCを装った不審なメールが送付される等の可能性は否定できませんので、ご注意ください。

NISCでは、引き続きセキュリティ対策の強化に努めるとともに、セキュリティ関係機関等とも連携しながら、一層の状況把握に努めてまいります。

【お問い合わせ先】
   内閣サイバーセキュリティセンター
    ○本事案の概要について
      基本戦略第1グループ:電話番号03-6910-0365
    ○本事案による個人情報の漏えいの可能性に係るご不明点等について
      基本戦略総括グループ:電話番号03-3581-3768


 

公表資料

・[PDF] 内閣サイバーセキュリティセンターの電子メール関連システムからのメールデータの漏えいの可能性について (downloaded)

20230818-13535

 

こういう時にわかりやすいのは、

● piyolog

・2023.08.07 NISCと気象庁が使用していたメール関連機器へのサイバー攻撃についてまとめてみた

 

ところで、攻撃者に関する情報は2022.10.10に公開しているMandiantが初めて気づていたようです。。。既存の攻撃者に割り当てられず新しくUNC4841名前をつけたようです。。。

 

Mandiant - Blog

・2023.06.15 中国との関連が疑われる攻撃的、かつ高度なスキルを持つ攻撃者が Barracuda ESGのゼロデイ脆弱性(CVE-2023-2868)を悪用

 

NIST

・2023.05.24 CVE-2023-2868 Detail

製品は、

Barracuda Email Security Gateway

のようですね。。。

 

あと、

JPCERT/CC - blog

・2023.08.07 なぜ被害公表時に原因を明示するのか/しないのか~個別被害公表と事案全体のコーディネーションの観点から~

 

なお、内閣官房サイバーセキュリティセンターが公表している、[PDF] サイバー攻撃被害に係る情報の共有・公表ガイダンスはこのページから...

 

内閣官房サイバーセキュリティセンター

・2023.05.08 [PDF] サイバー攻撃被害に係る情報の共有・公表ガイダンス(本文)

 

 

こちらも...

● ScanNetSecurity

・2023.08.17 NISCのメール関連システムへの不正アクセス、JPCERT/CCへの影響

 

 

 

| | Comments (0)

2023.08.17

米国 悪質なデータ・ブローカー行為から米国人を守るためのホワイトハウス円卓会議抄録

こんにちは、丸山満彦です。

この火曜日にホワイトハウスで、悪質なデータ・ブローカー行為から米国人を守るための円卓会議が開催されたようですね。。。抄録がウェブで公開されていますね。。。


参加者は、データブローカーがいかにして、地理位置情報や健康情報など、人々に関する非常に詳細なデータを大量に、しかもしばしば本人の認識や同意なしに購入・取得しているかを説明した。

参加者はまた、最近の人工知能の進歩により、データブローカーが個人のライフスタイルや願望、弱点について推論する能力が急速に拡大し、データ収集の横行がデータブローカーの発展に拍車をかけていると警告した。

参加者はさらに、ブローカーがデータを販売する相手には、広告主、金融機構、雇用主、家主、詐欺師などさまざまな相手がいること、そしてそれらの販売が個人や地域社会にもたらした被害についても議論した。

不正確なデータ、古いデータ、目的にそぐわないデータなど、その人に関するセンシティブな情報をブローカーが購入したことで、クレジットや住宅への申し込みが拒否された人々のエピソードが多く語られた。

参加者は、データブローカー経済が、信用引受、保険、住宅、雇用、広告における差別的慣行をいかに可能にし、十分なサービスを受けていない脆弱なグループに不釣り合いな被害を与える排除のパターンをいかに継続させているかを強調した。

参加者はまた、データ・ブローカーが地理的位置情報を、女性のストーカー行為や嫌がらせに利用したり、女性の医療へのアクセスを妨害したりする人々に販売してきたことを説明した。


ちょっと聞いてみたかったですね。。。

 

U.S. White House

・2023.08.16 Readout of White House Roundtable on Protecting Americans from Harmful Data Broker Practices

Readout of White House Roundtable on Protecting Americans from Harmful Data Broker Practices 悪質なデータ・ブローカー行為から米国人を守るためのホワイトハウス円卓会議抄録
On Tuesday, the White House convened a roundtable with civil society leaders, researchers, and policymakers on how the data broker industry monetizes personal information and actions the Administration is taking to address potential  harms to American consumers. The session was hosted by the White House Office of Science and Technology Policy, the National Economic Council, the Consumer Financial Protection Bureau, the Federal Trade Commission, and the Department of Justice. 火曜日、ホワイトハウスは、市民社会のリーダー、研究者、政策立案者を集め、データブローカー業界がどのように個人情報を収益化しているか、また、米国の消費者に潜在的な損害を与える可能性に対処するために行政がとっている行動についての円卓会議を開催した。このセッションは、ホワイトハウスの米国科学技術政策局、国家経済会議、消費者金融保護局、連邦取引委員会、司法省が主催した。
Earlier that day, the CFPB announced that it plans to propose rules to ensure all data companies comply with the law and prevent brokers from selling certain data, limit the disclosure of sensitive “credit header” contact information, and give consumers the right to obtain data about themselves from brokers and dispute inaccuracies. Administration officials pledged in Tuesday’s session to continue using their authorities to subject data brokers to greater regulation and oversight, and to curb the harms they cause. 同日に先立って、消費者金融保護局 (CFPB) は、すべてのデータ会社が法律を遵守し、ブローカーが特定のデータを販売することを防ぐための規則を提案する予定であることを発表した。政府高官は火曜日のセッションで、データブローカーをより厳しい規制と監視の対象とし、彼らが引き起こす害を抑制するために、権限を行使し続けることを約束した。
Participants shared stories, insights, and concerns about the harms and risks that data brokers’ practices create for everyday Americans. Issues raised include the surreptitious collection, use and sale of detailed sensitive data; data-driven scoring that limits access to housing and economic opportunities for Black and brown communities; predatory scams targeting individuals with cognitive vulnerabilities; increased risks to personal safety, including gender-based violence; and insufficient oversight of brokers under existing law. 参加者たちは、データブローカーが日常的に行っていることが米国人にもたらす損害やリスクについて、体験談や洞察、懸念を共有した。提起された問題には、詳細な機密データの密かな収集、使用、販売、黒人や褐色人種のコミュニティの住宅や経済的機会へのアクセスを制限するデータ主導のスコアリング、認知的脆弱性を持つ個人をターゲットにした略奪的詐欺、ジェンダーに基づく暴力を含む個人的安全へのリスクの増大、現行法の下でのブローカーの不十分な監督などが含まれる。
Participants explained how data brokers purchase or acquire large volumes of exceedingly detailed data about people including geolocation and health information—often without their knowledge or consent. Recent advancements in artificial intelligence, attendees cautioned, have rapidly expanded data brokers’ abilities to draw inferences about individuals’ lifestyles, desires, and weaknesses, and are incentivizing rampant data collection to fuel their development. Participants also discussed the many different parties to whom brokers sell data—including advertisers, financial institutions, employers, landlords, and fraudsters—and the harms those sales have caused individuals and communities. Many shared stories of people who saw applications for credit and housing denied after reviewers purchased sensitive information about them—including data that was inaccurate, outdated, or not fit for purpose. Participants underscored how the data broker economy enables discriminatory practices in credit underwriting, insurance, housing, employment, and advertising, continuing patterns of exclusion that disproportionately harm underserved and vulnerable groups. Participants also described how data brokers have sold geolocation data to people who have used it to stalk and harass women, and interfere with women’s access to healthcare. 参加者は、データブローカーがいかにして、地理位置情報や健康情報など、人々に関する非常に詳細なデータを大量に、しかもしばしば本人の認識や同意なしに購入・取得しているかを説明した。参加者はまた、最近の人工知能の進歩により、データブローカーが個人のライフスタイルや願望、弱点について推論する能力が急速に拡大し、データ収集の横行がデータブローカーの発展に拍車をかけていると警告した。参加者はさらに、ブローカーがデータを販売する相手には、広告主、金融機構、雇用主、家主、詐欺師などさまざまな相手がいること、そしてそれらの販売が個人や地域社会にもたらした被害についても議論した。不正確なデータ、古いデータ、目的にそぐわないデータなど、その人に関するセンシティブな情報をブローカーが購入したことで、クレジットや住宅への申し込みが拒否された人々のエピソードが多く語られた。参加者は、データブローカー経済が、信用引受、保険、住宅、雇用、広告における差別的慣行をいかに可能にし、十分なサービスを受けていない脆弱なグループに不釣り合いな被害を与える排除のパターンをいかに継続させているかを強調した。参加者はまた、データ・ブローカーが地理的位置情報を、女性のストーカー行為や嫌がらせに利用したり、女性の医療へのアクセスを妨害したりする人々に販売してきたことを説明した。

 

参加者...

Civil Society Participants 市民社会参加者
Opening Speakers オープニングスピーカー
Dayanira Del Rio, New Economy Project ダヤニラ・デル・リオ、ニューエコノミー・プロジェクト
Yeshimabeit Milner, Data for Black Lives イェシマベイト・ミルナー、Data for Black Lives
Justin Sherman, Duke University ジャスティン・シャーマン、デューク大学
Matt Schwartz, Consumer Reports マット・シュワルツ、コンシューマー・レポート
Participants 参加者
David Certner, AARP デービッド・サートナー、AARP
Andrew Lewis, Aspen Institute アンドリュー・ルイス、アスペン研究所
Cameron Kerry, Brookings キャメロン・ケリー、ブルッキングス
Ridhi Shetty, Center for Democracy and Technology リディ・シェティ、民主主義とテクノロジーセンター
Richard Anthony, Public Citizen リチャード・アンソニー(パブリック・シチズン
Ruth Susswein, Consumer Action ルース・サスワイン、コンシューマー・アクション
Susan Weinstock, Consumer Federation of America スーザン・ワインストック(米国消費者連盟
Ben Winters, Electronic Privacy Information Center ベン・ウィンタース、電子プライバシー情報センター
Julie Mao, Just Futures Law ジュリー・マオ、ジャスト・フューチャーズ・ロー
Alex Ault, Lawyers Committee アレックス・オルト、弁護士委員会
Jonathan Walter, Leadership Conference ジョナサン・ウォルター、リーダーシップ会議
Kim Shalloo, National Association of County Veterans Service Officers キム・シャルー、全米郡退役軍人サービス・オフィサー協会
Nicole Cabañez, National Consumer Law Center ニコール・カバニェス、全米消費者法センター
Chad Sniffen, National Network to End Domestic Violence チャド・スニッフェン、ドメスティック・バイオレンス終結全国ネットワーク
Bob Gellman, Privacy and Information Policy Consultant ボブ・ゲルマン、プライバシー・情報政策コンサルタント
Natasha Duarte, Upturn ナターシャ・ドゥアルテ、Upturn
Quandrea Patterson, Veterans of Foreign Wars クアンドレア・パターソン、外国戦争退役軍人会
Bradley Hazell, Veterans of Foreign Wars ブラッドリー・ヘイゼル、外国戦争退役軍人会
Pam Dixon, World Privacy Forum パム・ディクソン、ワールド・プライバシー・フォーラム
Government Participants 政府参加者
Opening Speakers オープニングスピーカー
Arati Prabhakar, Assistant to the President for Science and Technology and Director of the Office of Science and Technology Policy アラティ・プラバカー、科学技術担当大統領補佐官兼米国科学技術政策局局長
Lael Brainard, Assistant to the President and Director of the National Economic Council ラエル・ブレイナード、大統領補佐官兼国家経済会議局長
Rohit Chopra, Director of the Consumer Financial Protection Bureau ロヒト・チョプラ、消費者金融保護局局長
Lina Khan, Chair of the Federal Trade Commission リナ・カーン 連邦取引委員会委員長
Brian Boynton, Principal Deputy Assistant Attorney General, Civil Division, Department of Justice ブライアン・ボイントン司法省民事局主席副司法次官補
Participants 参加者
Deirdre K. Mulligan, Principal Deputy Chief Technology Officer of the United States ディアドレ・K・マリガン 米国最高技術責任者(CTO)首席副補佐官
Elizabeth Kelly, Special Assistant to the President for Economic Policy エリザベス・ケリー、大統領特別補佐官(経済政策担当
Dominique Duval-Diop, Chief Data Scientist of the United States ドミニク・デュヴァル=ディオップ、米国チーフ・データ・サイエンティスト
Arun Rao, Deputy Assistant Attorney General, Consumer Protection Branch, Department of Justice アルン・ラオ、司法省消費者保護局副司法次官補
Stephanie Nguyen, Chief Technology Officer of the Federal Trade Commission ステファニー・グエン、連邦取引委員会最高技術責任者
Kevin Moriarty, Attorney-Advisor, Federal Trade Commission ケビン・モリアーティ、連邦取引委員会弁護士顧問
Erie Meyer, Chief Technologist of the Consumer Financial Protection Bureau エリー・マイヤー、消費者金融保護局チーフ・テクノロジスト

 

 

Fig1_20210802074601

 

 

| | Comments (0)

英国 国家サイバー戦略 2022 の進捗報告 (2022-2023)

こんにちは、丸山満彦です。

英国の国家サイバー戦略の進捗報告が公表されていますね。。。

英国の国家サイバー戦略は2021年12月に発表されてわけですが、1年半ほどの進捗報告ですね。。。

ちなみに、英国の国家サイバー戦略2022は日本語版もあるんですよね。。。

 

● Gov U.K.

・2023.08.14 National Cyber Strategy 2022 Annual Progress Report 2022-2023

・[HTML]

目次...

Ministerial foreword 大臣まえがき
Introduction 序文
Key achievements 主な実績
Strategic context 戦略的背景
Pillar 1: Strengthening the UK cyber ecosystem 柱1:英国のサイバー・エコシステムの強化
Pillar 2: Building a resilient and prosperous digital UK 柱2:レジリエンスと繁栄のデジタル英国を構築する
Pillar 3: Taking the lead in the technologies vital to cyber power 柱3:サイバーパワーに不可欠な技術で主導権を握る
Pillar 4: Advancing UK global leadership and influence 柱4:英国のグローバルなリーダーシップと影響力を推進する
Pillar 5: Detecting, disrupting and deterring our adversaries 柱5: 敵対勢力を検知、混乱させ、抑止する

 

主な実績

Key achievements 主な実績
since publication of the National Cyber Strategy 2022 国家サイバー戦略2022の発表以降
Cyber ecosystem サイバーエコシステム
Engaged over 2,000 schools, 2,500 teachers and 41,000 young people through Cyber Explorers サイバー・エクスプローラーを通じて、2,000以上の学校、2,500人の教師、41,000人の若者を巻き込んだ。
Established the National Cyber Advisory Board (NCAB). 国家サイバー諮問委員会(NCAB)を設立した。
Supported over 160 companies and entrepreneurs via Cyber Runway. サイバー・ランウェイを通じて160以上の企業や起業家を支援した。
The cyber sector has generated 5,300 new jobs in the past year, with an increase in total annual revenue of 3%, up to £10.5 billion.[footnote 1] サイバーセクターは過去1年間で5,300人の新規雇用を創出し、年間総収入は3%増の105億ポンドに達した[脚注1]。
Technology advantage テクノロジーの優位性
Published the world’s first App Store Privacy and Security Code of Practice, being implemented by all 13 major app store operators 世界初の「アプリストアのプライバシーとセキュリティに関する規範」を発表し、主要アプリストア運営会社13社すべてで実施されている。
Launched the Artificial Intelligence (AI) standards hub 人工知能(AI)標準ハブを立ち上げた。
Published the Secure Connected Places Playbook in collaboration with 6 local authorities 6つの地方自治体と共同で「Secure Connected Places Playbook」を発行。
Elected to the governing Council of the International Telecommunication Union (ITU) 国際電気通信連合(ITU)のガバナンス理事会に選出される。
Resilience レジリエンス
Announced plans to strengthen the UK’s cyber resilience legislation (the Security of Network & Information Systems Regulations) 英国のサイバーレジリエンス法(ネットワークと情報システムのセキュリティ規制)を強化する計画を発表した。
Responded to Russia’s invasion of Ukraine with support to industry and CNI operators on the heightened cyber threat ロシアのウクライナ侵攻に対応し、サイバー脅威の高まりについて産業界やCNI事業者を支援した。
12,000 small businesses used National Cyber Security Centre’s Cyber Action Plan and over 15,000 used the new ‘check your cyber security’ tool 12,000社の中小企業がNational Cyber Security CentreのCyber Action Planを利用し、15,000社以上が新しい「check your cyber security」ツールを利用した。
Over 27,000 organisations certified to either Cyber Essentials or Cyber Essentials Plus 27,000以上の組織がCyber EssentialsまたはCyber Essentials Plusの認定を受けた。
Global leadership グローバルなリーダーシップ
Provided £7.3m in cyber support to Ukraine since the start of the invasion 侵攻開始以来、ウクライナに730万ポンドのサイバー支援を提供した。
Set up formal cyber dialogues with more than 10 countries across the world as well as the EU EUだけでなく、世界10カ国以上と正式なサイバー対話の場を設けた。
Stepped up collaboration with international partners through the Counter Ransomware Initiative ランサムウェア対策イニシアチブを通じ、国際的なパートナーとの連携を強化した。
Announced a partnership with France and signed a joint statement with the US and 11 other countries on countering cyber proliferation including co-chairing the policy pillar with Singapore フランスとのパートナーシップを発表し、米国および他の11カ国とサイバー拡散への対抗に関する共同声明に署名した。
Countering threats 脅威への対抗
Took down the GENESIS marketplace, a go-to service for cyber-criminals サイバー犯罪者の御用達サービスであるGENESISマーケットプレイスを閉鎖した。
Sanctioned seven Russian cyber criminals through coordinated action with the US 米国との協調行動により、ロシアのサイバー犯罪者7人を制裁した。
Published ‘Responsible Cyber Power in Practice’, setting out how the National Cyber Force’s use of its cyber capabilities aligns with our values as a responsible cyber power. Published advice and guidance, including on the threat from commercial cyber proliferation and state-aligned groups sympathetic to Russia’s invasion of Ukraine 「責任あるサイバーパワーの実践」を発表し、国家サイバー軍のサイバー能力の活用が、責任あるサイバーパワーとしての我々の価値観にどのように合致するかを示した。商業的なサイバー拡散や、ロシアのウクライナ侵攻に同調する国家と連携したグループによる脅威などに関する助言やガイダンスを発表した。
   
Published ‘Responsible Cyber Power in Practice’, setting out how the National Cyber Force’s use of its cyber capabilities aligns with our values as a responsible cyber power. 責任あるサイバーパワーの実践」を発表し、国家サイバー軍のサイバー能力の活用が、責任あるサイバーパワーとしての我々の価値観にどのように合致するかを示した。

[footnote] Cyber Security sectoral analysis 2023

 

・[PDF]

20230817-70017

 


 

参考...

Gov.U.K Policy paper

・2022.12.09 Code of practice for app store operators and app developers

Check your cyber security

Secure connected places playbook

 

サイバーエッセンシャルズ... [wikipedia]

NSCS

Cyber Essentials

 

AI標準ハブ

● AI Standards Hub

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.12.17 英国 国家サイバー戦略

 

| | Comments (0)

中国 「未成年者向けモバイルインターネットモデル構築ガイドライン(意見募集案)」 (2023.08.02)

こんにちは、丸山満彦です。

見逃していたみたいです...(^^;;

未成年がスマフォ等を通じてインターネットに接続し、アプリを使う時間を制限するということで、端末、アプリ、配信プラットフォームの3つを連携させて制限をしようとするようですね。。。

で、未成年の区分は5段階です。。。

  1. 3歳未満
  2. 3歳以上8歳未満
  3. 8歳以上12歳未満
  4. 12歳以上16歳未満
  5. 16歳以上18歳未満
年齢 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 ...
区分 1 2 3 4 5  
利用時間 40分以内 1時間 2時間  
連続利用 未成年者が30分以上連続して携帯情報端末を使用する場合、携帯情報端末は休息通知を発すること
 
時間帯 22:00から翌日6:00までの間、携帯情報端末は未成年者に対してサービスを提供することができない
 
推奨コンテンツ 童謡、啓蒙教育などの親子連れの番組を推奨コンテンツとし、音声を重視することを推奨する 啓蒙教育、興味と識字、一般教育などの番組を推奨する 一般教育、科学の知識と普及、ライフスキル、積極的な指導を伴う娯楽コンテンツ、この年齢層の認知能力に適したニュースや情報など 一般教育、教科教育、科学の知識と普及、ライフスキル、積極的な指導による娯楽コンテンツ、この年齢層の認知能力に適したニュースや情報 この年齢層の認知能力に適した、健康で上向きの情報コンテンツを推奨する  
アプリダウンロード 未成年者向けゾーンでアプリケーションをダウンロードおよびインストールするには保護者の同意が必要であり、保護者は未成年者が未成年者向けゾーン外でアプリケーションをダウンロードすることを許可する一定の免除権限を有する 未成年者向けゾーンでアプリケーションをダウンロードおよびインストールするには保護者の同意が必要であり、保護者は未成年者が未成年者向けゾーン外でアプリケーションをダウンロードすることを許可する一定の免除権限を有する  

 

これ以外には、未成年モードではゲーム、ソーシャルネットワーク、コンテンツ、広告等についての規制がありますね。。。

 

こういうことを国が決めようとするのが、中国っぽい感じなんですかね。。。昭和なおじさん、おばさんの中にもこういうアプローチが好きな人が多いのかもしれません...知らんけど...

 

● 中央网安全和信息化委公室 (Cyberspace Administration of China: CAC)

・2023.08.02 国家互联网信息办公室关于《移动互联网未成年人模式建设指南(征求意见稿)》公开征求意见的通知

国家互联网信息办公室关于《移动互联网未成年人模式建设指南(征求意见稿)》公开征求意见的通知 国家サイバースペース管理局が「未成年者向けモバイルインターネットモデル構築ガイドライン(意見募集案)」の公開協議に関する通知
为切实强化未成年人网络保护,近年来,国家网信办指导网站平台持续推进青少年模式建设,扩大覆盖范围,优化功能设置,丰富适龄内容。模式自上线以来,普及率稳步提升,在帮助未成年人减少网络沉迷和不良信息影响方面发挥了积极作用。 インターネットにおける未成年者の保護を効果的に強化するため、近年、国家サイバースペース管理局は、ウェブサイトプラットフォームに対し、青少年モードの構築を継続的に推進し、カバー範囲を拡大し、機能設定を最適化し、年齢相応のコンテンツを充実させるよう指導してきた。 開始以来、このモデルの人気は着実に高まり、未成年者がインターネット中毒や好ましくない情報の影響を軽減する上で積極的な役割を果たしている。
为进一步提升模式效能,立足未成年人网络保护新形势新要求,国家网信办研究起草了《移动互联网未成年人模式建设指南(征求意见稿)》,将全面升级“青少年模式”为“未成年人模式”,推动模式覆盖范围由APP扩大到移动智能终端、应用商店,实现软硬件三方联动,方便用户一键进入模式,为未成年人营造安全健康的网络环境。现面向社会公开征求意见建议,欢迎社会各界积极参与。公众可通过以下途径和方式提出反馈意见: 同モードの有効性をさらに高めるため、国家サイバースペース管理局は、未成年者のネットワーク保護に関する新たな情勢と要求に基づき、「青少年モード」を「未成年者モード」に全面的にアップグレードし、同モードのカバー範囲を促進する「未成年者向けモバイルインターネットモデル構築ガイドライン(意見募集案)」を起草した。 「青少年モード」を「未成年者モード」に全面的にアップグレードし、APPからモバイルスマート端末、アプリケーションショップまで、モードのカバー範囲を拡大し、ソフトウェアとハードウェアの三位一体の連携を実現することで、ユーザーがワンクリックでモードに入ることができ、未成年者にとって安全で健全なネットワーク環境を構築する。 我々は現在、一般からの意見や提案を公募しており、コミュニティーの各界からの積極的な参加を歓迎している。 一般の方は、以下の方法・手段で意見を提出することができる:
... ...
国家互联网信息办公室 国家サイバースペース管理局
2023年8月2日 2023年8月2日
移动互联网未成年人模式建设指南 モバイルインターネット未成年者モード構築ガイドライン
(征求意见稿) (意見募集案)
一、目的依据 I. 目的及び根拠
为了更好发挥互联网积极作用,营造良好网络环境,预防和干预未成年人网络沉迷问题,引导未成年人形成良好的网络使用习惯,按照《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《中华人民共和国未成年人保护法》等法律、行政法规,以及未成年人网络保护有关规定,制定本指南。 中華人民共和国ネットワーク安全法」、「中華人民共和国個人情報保護法」、「中華人民共和国未成年者保護法」及びその他の法律、行政法規、並びに未成年者のインターネット保護に関する関連規定に基づき、インターネットの積極的な役割をよりよく発揮させ、良好なネットワーク環境を構築し、未成年者のインターネット中毒の問題を予防・介入し、未成年者がインターネットを利用する良い習慣を形成するよう指導するために、本ガイドラインを策定する。 本ガイドラインを策定する。
二、适用范围 II. 適用範囲
本指南规定了各类移动智能终端、移动互联网应用程序(以下简称“应用程序”)、移动互联网应用程序分发服务平台(以下简称“应用程序分发平台”)的未成年人模式应满足的基本要求、功能要求和管理要求,适用于移动智能终端提供者、应用程序提供者以及应用程序分发平台提供者等相关主体开展未成年人模式的研发和应用。 本ガイドラインは、各種モバイルインテリジェント端末、モバイルインターネットアプリケーション(以下「アプリケーション」という)及びモバイルインターネットアプリケーション配信サービスプラットフォーム(以下「アプリケーション配信プラットフォーム」という)が未成年者モードに関して満たすべき基本要件、機能要件及び管理要件を規定する。 各種モバイルインテリジェント端末、モバイルインターネットアプリケーション(以下「アプリケーショ ン」という)及びモバイルインターネットアプリケーション配信サービスプラットフォーム(以下「アプリケーショ ン配信プラットフォーム」という)の未成年者モードについて、基本要求、機能要求及び管理要求を満たすこと。
三、通用规范 III. 一般仕様
(一)三方联动 (1)三者連携
移动智能终端、应用程序和应用程序分发平台之间应实现联动: モバイルインテリジェント端末、アプリケーション及びアプリケーション配信プラットフォームは連携するものとする:
1.未成年人模式应具备自动切换功能。在移动智能终端一键启动未成年人模式后,应用程序、应用程序分发平台应自动切换到未成年人模式界面;在移动智能终端退出未成年人模式后,应用程序、应用程序分发平台应自动切换到普通模式界面。 1. 未成年モードは自動切替機能を有すること。 モバイルインテリジェント端末が1つのキーで未成年モードを起動した後、アプリケーションとアプリケーション配信プラットフォームは自動的に未成年モードインターフェースに切り替わり、モバイルインテリジェント端末が未成年モードを終了した後、アプリケーションとアプリケーション配信プラットフォームは自動的に通常モードインターフェースに切り替わる。
2.未成年人模式应支持家长或未成年人用户通过账号在多移动智能终端(包括同一厂家的相同类型或不同类型的多个移动智能终端)进行统一设置。用户通过登录统一账号,自动将该账号下其他移动智能终端的已有配置复制到本地并开启。 2. 未成年モードは、親または未成年ユーザーがアカウントを通じて複数のモバイルインテリジェント端末(同一メーカーの同一タイプまたは異なるタイプの複数のモバイルインテリジェント端末を含む)の統一設定を行うことをサポートする。 統一アカウントにログインすることで、ユーザーは自動的にアカウント下の他のモバイルインテリジェント端末の既存の設定をローカルにコピーし、それらを開く。
3.移动智能终端、应用程序、应用程序分发平台之间应提供必要接口和数据共享,满足未成年人防沉迷提醒、家长监督管理等功能。 3. 未成年者の反盗撮リマインダー機能及び保護者の監督管理機能を満たすため、モバイルスマート端末、アプリケーション及びアプリケーション配信プラットフォーム間で必要なインターフェース及びデータ共有が提供されなければならない。
(二)便捷使用 (2)利便性
1.为保护未成年人个人信息权益,鼓励家长为未成年人启动未成年人模式,移动智能终端、应用程序、应用程序分发平台应为家长管理提供便捷功能和服务,便于家长履行监护职责,引导未成年人形成良好上网习惯。 1. 未成年者の個人情報の権益を保護し、保護者に未成年者モードを起動させるよう促すため、モバイルスマート端末、アプリケーション及びアプリケーション配信プラットフォームは、保護者管理のための便利な機能及びサービスを提供し、保護者の保護責任の履行を促進し、未成年者が良好なオンライン習慣を形成するよう導かなければならない。
2.移动智能终端、应用程序、应用程序分发平台应当坚持最有利于未成年人的原则,提供有效识别违法信息和可能影响未成年人身心健康的信息、预防未成年人沉迷网络等功能,加强对未成年人的网络保护。 2. モバイルインテリジェント端末、アプリケーションおよびアプリケーション配信プラットフォームは、未成年者にとって最も好ましいという原則を堅持し、違法情報や未成年者の心身の健康に影響を与える可能性のある情報を効果的に識別し、未成年者のインターネット中毒を防止するなどの機能を提供し、インターネットにおける未成年者の保護を強化しなければならない。
3.移动智能终端、应用程序、应用程序分发平台应在未成年人模式下建立便捷、合理、有效的投诉、举报渠道,及时受理处置涉未成年人投诉举报。 3. モバイルインテリジェント端末、アプリケーションおよびアプリケーション配信プラットフォームは、未成年者モードの下で、便利で合理的かつ効果的な苦情・通報ルートを確立し、未成年者が関わる苦情・通報を速やかに受理・処理しなければならない。
(三)分龄原则 (3)年齢別原則
移动智能终端、应用程序以及应用程序分发平台应根据不同年龄阶段的未成年人身心发展特点,通过评估产品的类型、内容与功能等要素,为不同年龄阶段用户提供适合其身心发展的信息和服务。分龄化设计根据以下5个年龄区间划分: モバイルインテリジェント端末、アプリケーションおよびアプリケーション配信プラットフォームは、年齢の異なる未成年者の身体的・精神的発達の特性に合わせて製品等の種類、内容、機能を評価し、年齢の異なる利用者の身体的・精神的発達に適した情報およびサービスを提供しなければならない。 年齢別デザインは、以下の5つの年齢ゾーンに基づいている:
1.不满3周岁; 1. 3歳未満
2.3周岁以上不满8周岁; 2. 3歳以上8歳未満;
3.8周岁以上不满12周岁; 3. 8歳以上12歳未満;
4.12周岁以上不满16周岁; 4. 12歳以上16歳未満;
5.16周岁以上不满18周岁。 5. 16歳以上18歳未満。
四、移动智能终端未成年人模式要求 IV. モバイルインテリジェント端末未成年モードの要件
(一)基本要求 (1)基本条件
1.未成年人模式入口 1. 未成年モードの入口
未成年人模式的入口设置应确保最简化原则。用户可通过开机提醒、桌面图标、系统设置等至少3种方式进入未成年人模式。模式入口应在固定位置、便捷易寻,满足家长和未成年人用户一键进入或切换。 未成年モードの入口設定は、最も簡単な原則を確保すること。 ユーザーは、ブートリマインダー、デスクトップアイコン、システム設定など、少なくとも3つの方法で未成年モードに入ることができる。 未成年者モードの入口は、親や未成年者がワンクリックで未成年者モードに入ったり切り替えたりできるように、便利で見つけやすい、固定された場所にあるべきである。
用户在首次登录未成年人模式时,移动智能终端应在入口提供设置生日、选择年龄或年龄区间等多种方式供用户自行选择,并允许设置多个未成年人信息。 利用者が初めて未成年者モードにログインする場合、モバイルインテリジェント端末は、誕生日の設定、年齢または年齢範囲の選択など、利用者が選択できる複数の方法を提供し、複数の未成年者情報を設定できるようにする。
用户可在首次开机或系统设置选择不需要未成年人模式,系统将不再出现相关提醒。 ユーザーは、初回起動時またはシステム設定時に、未成年モードを必要としないことを選択でき、システムは関連するリマインダーを表示しなくなる。
2.未成年人模式退出 2. 未成年モードからの退出
从未成年人模式退出时,需要家长进行验证同意,家长可基于现有移动智能终端认证机制,自行选择密码、指纹、人脸等识别方式进行单一或复合验证。 未成年モードから退出する際、保護者の同意確認が必要であり、保護者はモバイルインテリジェント端末の既存の認証メカニズムに基づき、パスワード、指紋、顔などの認証方式を選択し、単一認証または複合認証を行うことができる。
(二)使用时长管理 (2)利用時間管理
1.移动智能终端应为不同年龄段的未成年人用户提供差异化使用时长管理服务。当超过每日使用时限,移动智能终端应自动关闭除特定必要应用程序和家长自定义豁免的应用程序之外的其他应用程序: 1. モバイルインテリジェント端末は、年齢層の異なる未成年者の利用者に対して、差別化された利用時間管理サービスを提供しなければならない。 モバイルインテリジェント端末は、1日の利用制限時間を超過した場合、特定必要アプリケーション及び保護者カスタマイズ対象外アプリケーション以外のアプリケーションを自動的に終了する:
(1)在面向不满8周岁用户的未成年人模式中,移动智能终端应支持默认使用总时长不超过40分钟,同时提供家长豁免操作; (1) 8歳未満の未成年者向けのモードでは、モバイルインテリジェント端末は、デフォルトの合計利用時間が40分を超えないようにサポートし、同時に保護者免除操作を提供すること;
(2)在面向8周岁以上不满16周岁用户的未成年人模式中,移动智能终端应支持默认使用总时长不超过1小时,同时提供家长豁免操作; (2) 8歳以上16歳未満の未成年者向けモードでは、モバイルインテリジェント端末は、デフォルトの総使用時間が1時間を超えないようにサポートし、同時に保護者免除操作を提供すること;
(3)在面向16周岁以上不满18周岁用户的未成年人模式中,移动智能终端应支持默认使用总时长不超过2小时,同时提供家长豁免操作; (3) 16歳以上18歳未満の未成年者モードでは、携帯情報端末はデフォルトの総使用時間を2時間以内とし、同時に保護者免除操作を提供すること;
(4)在未成年人模式下,当未成年人用户连续使用移动智能终端时长超过30分钟,移动智能终端应发出休息提醒; (4) 未成年者モードでは、未成年者が30分以上連続して携帯情報端末を使用する場合、携帯情報端末は休息通知を発すること;
(5)在未成年人模式下,移动智能终端每日22时至次日6时期间禁止向未成年人提供服务; (5) 未成年者モードでは、毎日22:00から翌日6:00までの間、携帯情報端末は未成年者に対してサービスを提供することができない;
(6)以下应用程序和业务不受上述使用时长和时间段限制: (6) 以下のアプリケーションおよびサービスは、上記の利用時間および期間の制限を受けない:
①应急类:用于保障未成年人人身安全的产品和服务,包括紧急呼叫业务及移动智能终端自定义的用于保障未成年人的人身安全的应用程序; ① 緊急カテゴリ:未成年者の身の安全を守るために使用される製品およびサービス。緊急通報サービス、未成年者の身の安全を守るためにモバイルインテリジェント端末によってカスタマイズされたアプリケーションを含む;
②教育类:在有关主管部门备案的,为未成年人提供网课等教育服务的产品和服务; ② 教育カテゴリ:関係当局に申請し、未成年者にオンライン授業やその他の教育サービス製品およびサービスを提供する;
③适合未成年人使用的工具类:经应用程序分发平台认证的,适合未成年人身心发展的产品和服务,如部分图像处理、计算测量应用程序等; ③ 未成年者に適したツール:一部の画像処理、計算・計測アプリケーションなど、未成年者の心身の発達に適したアプリケーション配信プラットフォームが認定した製品・サービス;
④家长自定义设置可被豁免的应用程序。 ④ 保護者のカスタマイズ設定により免除可能なアプリ。
2.在移动智能终端的未成年人模式中,家长使用时间管控功能应至少满足如下功能: 2. モバイルインテリジェント端末の未成年モードにおいて、保護者による利用時間制御機能は、少なくとも以下の機能を満たさなければならない:
(1)设置移动智能终端整机使用时长; (1) モバイルインテリジェント端末の全使用時間を設定する;
(2)设置移动智能终端整机使用时间段,可根据具体需要,设置某个或者多个使用时间段; (2) モバイルインテリジェント端末の全使用時間帯を設定し、特定のニーズに応じて1つ以上の使用時間帯を設定できる;
(3)设置指定应用程序使用时间; (3) 指定アプリケーションの使用時間を設定する;
(4)禁止未成年人修改移动智能终端的系统日期和时间。 (4) 未成年者がモバイルインテリジェント端末のシステム日時を変更することを禁止する。
(三)防绕过要求 (3)バイパス防止要件
1.移动智能终端应具备防绕过功能。在进入未成年人模式后,移动智能终端应在家长验证并确认后才能执行退出未成年人模式或恢复出厂设置等操作。 1. モバイルインテリジェント端末は、バイパス防止機能を有すること。 モバイルインテリジェント端末は、未成年者モードに移行した後、保護者が確認した後、未成年者モードを終了したり、工場出荷時の設定に戻したりする操作を行うこと。
2.开启未成年人模式的移动智能终端应确保提供未成年人模式服务功能的图标始终保持在桌面一级页面,不被卸载、冻结和隐藏,进程不被强制结束。 2. 未成年モードを有効にしたモバイルインテリジェント端末は、未成年モードのサービス機能を提供するアイコンが常にデスクトップレベルのページに留まり、アンインストール、フリーズ、非表示にならず、プロセスが強制終了されないようにしなければならない。
3.在未成年人模式下,如需启动开发者模式,应经家长验证并确认。 3 .未成年モードで開発者モードを有効にする必要がある場合は、保護者による確認・検証を行うこと。
(四)补充要求 (4)追加要件
1.由于未成年人的视觉、听觉等生理和心理尚未发育成熟,鼓励移动智能终端利用技术手段降低或消除未成年人在使用移动智能终端过程中可能出现的危害。 1. 未成年者は視覚、聴覚などの生理的、心理的発達が未熟であるため、未成年者がモバイルインテリジェント端末を使用する際に発生する可能性のある危険を低減または除去するための技術的手段を利用することが奨励される。
2.移动智能终端应提供未成年人用户紧急向关联的家长用户终端发送位置和进行呼叫的服务。 2. モバイルインテリジェント端末は、未成年者が緊急時に、関連する親ユーザー端末に位置情報を送信したり、電話をかけたりするサービスを提供しなければならない。
3.儿童智能手表、早教机、智能音箱等儿童智能设备,及虚拟现实/增强现实(VR/AR)可穿戴设备在为未成年人提供服务时,应遵守本规定中的相关条款,确保信息内容安全可控,防范未成年人产生网络沉迷或接触可能影响身心健康的信息。 3. 児童用スマートウォッチ、早期学習機、スマートスピーカー、VR/ARウェアラブルデバイスなどの児童用知能端末は、未成年者にサービスを提供する場合、本規定の関連規定を遵守し、情報内容の安全性と制御性を確保し、未成年者がインターネット中毒になったり、心身の健康に影響を及ぼす可能性のある情報に接触したりすることを防止しなければならない。
4.现有应用程序中的青少年模式,应在移动智能终端普通模式下予以保留,并按照本指南的有关要求进行升级改造,为未成年人在普通模式下使用现有应用程序提供安全防护。 4 .既存アプリケーションの青少年モードは、モバイルインテリジェント端末の通常モードで維持し、本ガイドラインの関連要件に従ってアップグレードし、通常モードで既存アプリケーションを使用する未成年者のセキュリティ保護を提供する。
五、移动互联网应用程序未成年人模式要求 V. モバイルインターネットアプリケーションの未成年者モードに関する要求事項
(一)基本要求 (1)基本要件
在未成年人模式下移动互联网信息服务提供者应为未成年人提供分龄内容服务,并打造专属内容池。适龄推荐内容如下: モバイルインターネット情報サービス提供者は、未成年者モードにおいて、未成年に適したコンテンツサービスを提供し、専用のコンテンツプールを作成しなければならない。 年齢相応の推奨コンテンツは以下の通りである:
1.不满3周岁:推荐儿歌、启蒙教育等亲子陪伴类节目内容,建议以音频为主; 1. 3歳未満:童謡、啓蒙教育などの親子連れの番組を推奨コンテンツとし、音声を重視することを推奨する;
2.3周岁以上不满8周岁:推荐启蒙教育、兴趣素养、通识教育等节目内容; 2. 3歳以上8歳未満:啓蒙教育、興味と識字、一般教育などの番組を推奨する;
3.8周岁以上不满12周岁:推荐通识教育、知识科普、生活技能、具有正向引导意义的娱乐性内容和适合本年龄段认知能力的新闻资讯等; 3. 8歳以上12歳未満:一般教育、科学の知識と普及、ライフスキル、積極的な指導を伴う娯楽コンテンツ、この年齢層の認知能力に適したニュースや情報など;
4.12周岁以上不满16周岁:推荐通识教育、学科教育、知识科普、生活技能、具有正向引导意义的娱乐性内容和适合本年龄段认知能力的新闻资讯等。 4. 12歳以上16歳未満:一般教育、教科教育、科学の知識と普及、ライフスキル、積極的な指導による娯楽コンテンツ、この年齢層の認知能力に適したニュースや情報。
5.16周岁以上不满18周岁:推荐适合本年龄段认知能力、健康向上的信息内容。 5. 16歳以上18歳未満:この年齢層の認知能力に適した、健康で上向きの情報コンテンツを推奨する。
鼓励移动互联网信息服务提供者根据分龄要求对未成年人专属内容池中的内容进行适龄推荐标注。 モバイルインターネット情報サービス提供者は、年齢別要件に従い、未成年者専用コンテンツプールのコンテンツについて、年齢に適した推奨ラベルを作成することが奨励される。
(二)内容安全要求 (2)コンテンツの安全性要件
在未成年人模式下移动互联网信息服务提供者应履行主体责任,保障未成年人接触的信息内容安全: 未成年者モードにおいて、モバイルインターネット情報サービス提供者は、未成年者がアクセスできる情報コンテンツの安全性を確保する主な責任を果たさなければならない:
1.在未成年人模式下移动互联网信息服务提供者应积极开展未成年人内容池建设。制作、复制、发布、传播弘扬社会主义核心价值观和社会主义先进文化、革命文化、中华优秀传统文化,铸牢中华民族共同体意识,培养未成年人家国情怀和良好品德,引导未成年人养成良好生活习惯和行为习惯等的网络信息,营造有利于未成年人健康成长的清朗网络空间和良好网络生态。 1. 未成年者モードのモバイルインターネット情報サービス提供者は、未成年者向けコンテンツプールの構築を積極的に実施しなければならない。 社会主義の核心的価値観と先進的な社会主義文化、革命文化、優れた中国伝統文化を促進し、中華民族の共同体意識を鍛え、未成年者の家族意識と国家意識、善良な風紀を養い、未成年者が良い生活習慣と行動習慣を身につけるよう導くネットワーク情報などを制作、コピー、出版、普及し、未成年者の健全な成長に資する明確なサイバースペースと良好なネットワーク生態を創造する。
2.移动互联网信息服务提供者应履行主体责任,在未成年人模式下不应出现任何形式向未成年人用户提供诱导其沉迷或不利于其身心健康的相关产品和服务: 2. モバイルインターネット情報サービス提供者は、その主な責任を果たすものとし、未成年者モードの下で、いかなる形であれ、未成年者の中毒を誘発したり、心身の健康を害したりするような関連商品やサービスを未成年者の利用者に提供してはならない:
(1)禁止利用网络制作、复制、发布、传播含有危害未成年人身心健康内容的信息,禁止向未成年人发送含有危害或者可能影响未成年人身心健康内容的信息; (1)未成年者の心身の健康に有害な内容を含む情報を作成、複製、出版、流布するためにネットワークを使用することを禁止し、未成年者の心身の健康に有害な、または影響を与える可能性のある内容を含む情報を未成年者に送信することを禁止する;
(2)禁止制作、复制、发布、传播或者持有有关未成年人的淫秽色情网络信息,禁止诱骗、强迫未成年人制作、复制、发布、传播可能暴露其个人隐私的文字、图片、音视频; (2) 未成年者に関するわいせつ・ポルノ的なインターネット情報を作成、コピー、出版、流布、所持することを禁止し、未成年者が個人のプライバシーを暴露する可能性のある文章、写真、音声、映像を作成、コピー、出版、流布するよう誘引または強制することを禁止する;
(3)禁止制作、复制、发布、传播可能引发或者诱导未成年人模仿不安全行为、实施违反社会公德行为、产生不良情绪、养成不良嗜好等可能影响未成年人身心健康的信息。 (3) 未成年者が危険な行為を模倣したり、社会道徳に反する行為をしたり、悪い感情を抱いたり、悪い趣味を持つなど、未成年者の心身の健康に影響を与える可能性のある情報を作成、複製、公表、流布することを禁止する。
(三)功能限制要求 (3)機能制限要件
在未成年人模式下移动互联网信息服务提供者应限制未成年人用户使用可能危害其身心健康的产品和服务: 未成年者向け携帯インターネット情報サービス事業者は、未成年者の心身の健康を損なうおそれのある商品・サービスの利用を制限しなければならない:
1.网络直播、网络音视频、网络社交等网络服务提供者应针对未成年人使用其服务设置相应的时间管理、权限管理、消费管理等功能。 1. ウェブキャスティング、ネットワークオーディオ・ビデオ、ネットワークソーシャルネットワーキングサービス提供者は、未成年者がサービスを利用する際に、時間管理、権限管理、消費管理などの機能を設けなければならない。
2.网络直播、网络音视频、网络社交等网络服务提供者应采取措施,合理限制未成年人在使用网络产品和服务中的单次消费数额和单日累计消费数额,不得向未成年人提供与其民事行为能力不符的付费服务。 2. ウェブキャスティング、ネットワークオーディオ・ビデオ、ネットワークソーシャルネットワーキングおよびその他のネットワークサービスの提供者は、未成年者によるネットワーク製品およびサービスの利用において、1回の消費量および1日の累積消費量を合理的に制限する措置を講じなければならず、未成年者の市民的行動能力にそぐわない有料サービスを提供してはならない。
3.未成年人模式下不得设置以应援集资、投票打榜、刷量控评等为主题的网络社区、群组、话题,不得利用泛娱乐化功能和内容诱导未成年人沉迷网络。 3. 未成年者モードで、支援・募金、投票・ランキング、ブラッシュボリューム、コメント制御などをテーマとするオンラインコミュニティ、グループ、トピックを設置してはならず、汎用の娯楽機能やコンテンツを利用して未成年者のインターネット中毒を誘発してはならない。
4.网络游戏的防沉迷要求应遵守相关管理规定。 4. オンラインゲームの中毒防止要求は、関連管理規定に従う。
5.在线教育网络产品和服务不得插入网络游戏链接,不得推送广告等与教学无关的信息。 5. オンライン教育ネットワーク製品およびサービスは、オンラインゲームへのリンクを挿入してはならず、教育と無関係な広告およびその他の情報をプッシュしてはならない。
6.算法推荐服务提供者不得向未成年人推送可能引发未成年人模仿不安全行为和违反社会公德行为、诱导未成年人不良嗜好等可能影响未成年人身心健康的信息,不得利用算法推荐服务诱导未成年人沉迷网络。 6. アルゴリズム推薦サービス提供者は、未成年者に安全でない行動を模倣させ、社会道徳に違反する可能性のある情報、未成年者に悪い習慣を誘発させる可能性のある情報、その他未成年者の心身の健康に影響を与える可能性のある情報を未成年者にプッシュしてはならず、アルゴリズム推薦サービスを利用して未成年者のインターネット中毒を誘発してはならない。
7.鼓励应用程序开发者遵照相关法律法规,开发适应未成年人身心健康发展规律和特点的应用程序,帮助未成年人培养良好网络素养。 7. アプリケーション開発者は、関連法令を遵守し、未成年者の心身の健康発達の法令や特性に適応したアプリケーションを開発し、未成年者が良好なネットワークリテラシーを培うことを支援することが奨励される。
(四)社交管理要求 (4)ソーシャル管理要件
1.应用程序应为未成年人及家长提供社交管理权限,允许关注或屏蔽特定用户,限定特定信息的公开范围。 1. アプリは、未成年者とその保護者にソーシャル管理権を提供し、特定のユーザーに注目したり、ブロックしたり、特定の情報の公開範囲を制限したりできるようにしなければならない。
2.社交类应用程序不应在未成年人模式中为容易产生网络沉迷或使未成年人接触不利于其身心健康的互联网信息提供外链。 2. ソーシャルアプリケーションは、未成年者モードにおいて、インターネット中毒を生じさせたり、未成年者の心身の健康を害するような情報に触れさせる可能性のあるインターネット情報への外部リンクを提供してはならない。
3.除即时通讯工具以外的应用程序,在未成年人模式下应关闭陌生人私信功能。 3. インスタントメッセンジャー以外のアプリケーションは、未成年者向けモードにおいて、見知らぬ人からのプライベートメッセージの機能を閉じるべきである。
六、移动互联网应用程序分发服务平台未成年人模式要求 VI. モバイルインターネットアプリケーション配信サービスプラットフォームの未成年モードに関する要件
(一)基本要求 (1)基本要件
1.应用程序分发平台应提供未成年人应用专区,便利未成年人获取有益身心健康的平台内产品或者服务; 1. アプリケーション配信プラットフォームは、未成年者がプラットフォーム内の心身の健康に有益な製品またはサービスにアクセスすることを容易にするために、未成年者向けの特別ゾーンを提供しなければならない;
2.应用程序分发平台应根据不同年龄段未成年人的身心特点和认知水平,标注应用程序的推荐年龄,提供适宜不同年龄段未成年人的应用程序。 2. アプリケーション配信プラットフォームは、異なる年齢層の未成年者の心身の特性及び認知レベルに応じて、アプリケーションの推奨年齢を表示し、異なる年齢層の未成年者に適したアプリケーションを提供すること。
(二)未成年人专区建设要求 (2)未成年者専用エリアの構築要件
应用程序分发平台应根据相关管理要求,加强未成年人专区建设: アプリケーション配信プラットフォームは、関連する管理要件に従い、未成年者専用エリアの構築を強化しなければならない:
1.应用程序提供者应当坚持最有利于未成年人的原则,关注未成年人健康成长,履行未成年人网络保护各项义务,严格落实未成年人用户账号实名注册和登录要求,不得以任何形式向未成年人用户提供诱导其沉迷的相关产品和服务。 1. アプリケーション提供者は、未成年者にとって最も好ましいという原則を堅持し、未成年者の健全な成長に配慮し、インターネット上の未成年者保護に関するすべての義務を履行し、未成年者のユーザーアカウントに対する実名登録およびログインの要件を厳格に履行し、未成年者が当該製品およびサービスに依存するよう誘導するいかなる形態でも、未成年者に関連製品およびサービスを提供してはならない。
2.鼓励教育、益智、科普、读书、音乐、体育等有利于未成年人身心健康的应用程序在未成年人专区中上架。 2. 教育、教養、大衆科学、読書、音楽、スポーツアプリケーションなど、未成年者の心身の健康に資するアプリケーションは、未成年者向けの特別エリアにアップロードするよう奨励すること。
3.有关部门针对各年龄段特点明确禁用的应用程序,不得在未成年人模式下的应用程序分发平台上架。 3. 各年齢層の特性上、関連部門が明確に禁止しているアプリは、未成年者モードのアプリ配信プラットフォームに棚上げしてはならない。
(三)下载安全 (3)ダウンロードの安全性
应用程序分发平台应根据有关法律法规对各类网络应用程序和服务准入未成年人模式进行审核和处置: アプリ配信プラットフォームは、関連法規に従い、未成年者モードにアクセスする各種ネットワークアプリとサービスを審査・処分しなければならない:
1.明确产品所适合的未成年人用户年龄阶段,并在用户下载、注册、登录界面等位置显著提示。 1. 未成年者の年齢段階を定義し、製品のダウンロード、登録、ログインのインターフェースおよびその他の場所に明示する。
2.应用程序分发平台应根据未成年人的年龄特点,为未成年人用户提供差异化下载服务,并确保家长可以对未成年人模式下的应用程序下载和安装进行审核或豁免: 2. アプリケーション配信プラットフォームは、未成年者の年齢特性に応じて、未成年者向けの差別化されたダウンロードサービスを提供し、保護者が未成年者モードでのアプリケーションのダウンロードおよびインストールを審査または免除できるようにすること:
(1)不满12周岁的未成年人用户下载、安装未成年人专区中的应用程序时,需经家长同意;家长具备一定的豁免权力,允许未成年人下载未成年人专区以外的应用程序; (1)12歳未満の未成年者が未成年者向けゾーンでアプリケーションをダウンロードおよびインストールするには保護者の同意が必要であり、保護者は未成年者が未成年者向けゾーン外でアプリケーションをダウンロードすることを許可する一定の免除権限を有する;
(2)12周岁以上不满16周岁的未成年人用户可自行下载、安装未成年人专区中的应用程序,家长具备一定的豁免权力,允许未成年人下载未成年人专区以外的应用程序。 (2)12歳以上16歳未満の未成年者は、未成年者向けゾーンのアプリケーションを自らダウンロード・インストールすることができ、保護者は一定の免責権限を有し、未成年者向けゾーンの外で未成年者にアプリケーションをダウンロードさせることができる。
3.禁止通过外链下载应用程序,家长审核并豁免的除外。 3. 保護者が審査し、免除したものを除き、外部リンクを通じたアプリケーションのダウンロードは禁止する。
4.应用程序分发平台应建立相关举报机制,加强用户对未成年人模式中的信息内容与服务进行监督,必要时根据相关管理要求对有关应用程序予以下架处理。 4. アプリケーション配信プラットフォームは、未成年者モードにおける情報コンテンツおよびサービスに対するユーザーの監督を強化するため、関連する報告メカニズムを構築し、必要に応じて、関連する管理要件に従い、関連するアプリケーションを削除しなければならない。
七、家长管理 VII. 保護者管理
(一)基本要求 (1)基本要件
未成年人模式下,移动智能终端、应用程序、应用程序分发平台应为家长提供管理权限,保障家长能够对指定的未成年人用户进行日常和应急状态管理,更好监督引导未成年人用户上网行为: 未成年者モードにおいて、モバイルスマート端末、アプリケーションおよびアプリケーション配信プラットフォームは、保護者に管理権限を提供し、保護者が指定された未成年者の利用者の日常管理および緊急管理を実施できるようにし、未成年者の利用者のオンライン行動をよりよく監督・指導しなければならない:
1.移动智能终端、应用程序、应用程序分发平台应为家长提供对未成年人使用时长、信息服务接收、应用程序下载安装等方面的管理权限,满足家长对未成年人用户的监督、豁免和审核需求。 1. モバイルスマート端末、アプリケーション及びアプリケーション配信プラットフォームは、未成年者の利用期間、情報サービスの受信及びアプリケーションのダウンロードとインストールに関して、保護者に管理権限を提供し、未成年者の利用者に対する監督、免除及び監査に関する保護者のニーズを満足させなければならない。
2.移动智能终端应为未成年人账号提供至少1个亲情号绑定作为家长账号,该账号可满足家长与未成年人同终端和异终端使用,并可同时关联应用程序和应用程序分发平台。 2. モバイルスマート端末は、未成年者のアカウントを保護者のアカウントとしてバインドするために、少なくとも1つの親和番号を提供しなければならず、これは、保護者と未成年者が同じ端末および異なる端末を使用するニーズを満たすことができ、同時にアプリケーションおよびアプリケーション配信プラットフォームと関連付けることができる。
(二)家长对未成年人移动智能终端使用时间的管理 (2)未成年者のモバイルインテリジェント端末利用時間の保護者管理
移动智能终端和应用程序应为未成年人及其家长提供防沉迷提醒,允许家长对未成年人移动智能终端的使用时间进行监督指导: モバイルインテリジェント端末及びアプリケーションは、未成年者及びその保護者に対し、不注意防止のリマインダーを提供し、保護者が未成年者のモバイルインテリジェント端末の利用時間を監督・指導できるようにしなければならない:
1.移动智能终端应定期向家长提供未成年人用户在未成年人模式下的使用时长、各应用程序使用时长、上网时长等概览报告,协助家长对未成年人网络行为进行监督。 1. モバイルインテリジェント端末は、未成年者の未成年者モードでの利用時間、各アプリケーションの利用時間、インターネット利用時間の概要報告を定期的に保護者に提供し、保護者が未成年者のオンライン行動を監督できるように支援する。
2.当未成年人用户的使用时长超过本规定所建议的时间限制时,可由未成年人用户向关联的家长用户发出豁免申请。 2. 未成年ユーザーの利用時間が本規定で提示された制限時間を超える場合、未成年ユーザーから関連する親ユーザーに免除申請を送ることができる。
(三)家长对未成年人信息服务内容的管理 (3)未成年者向け情報サービスのコンテンツの保護者による管理
家长可以使用关联账号对未成年人模式下的信息内容提供审核和豁免功能: 保護者は、関連アカウントを使用して、未成年者モード下の情報コンテンツの監査および免除機能を提供することができる:
1.家长可对非专属内容池的信息进行豁免,加入到指定未成年人用户的内容池中。 1. 保護者は、非排他的コンテンツプールから情報を除外し、指定された未成年ユーザーのコンテンツプールに追加することができる。
2.鼓励家长对非专属内容池的内容进行标注和建议,为平台丰富专属内容池建设提供依据。 2. 保護者は、非排他的コンテンツプールのコンテンツをマークし、提案することができ、プラットフォームが排他的コンテンツプールの構築を充実させる基礎となる。
(四)家长对未成年人应用程序使用的管理 (4)未成年者によるアプリ使用の保護者管理
家长可以使用关联账号对未成年人模式下的应用程序下载进行审核,豁免或禁止用户下载及安装特定应用程序。包括: 保護者は関連アカウントを使用して、未成年者モードでのアプリケーションのダウンロードを確認し、特定のアプリケーションのダウンロードとインストールを免除または禁止することができる。 以下を含む:
1.为特定应用程序开放始终豁免的权限,如对辅助教育类应用程序开放未成年人长期使用权限。 1. 補助教育アプリの未成年者向け長期使用許可など、特定のアプリの常時免除権限を開放する。
2.为特定应用程序开放限时使用权限,如根据需要,对适合未成年人身心发展的工具类应用程序开放特定时间段内使用的权限。 2. 未成年者の心身の発達に適したツールについて、特定の期間内の利用を許可するなど、特定のアプリについて、必要に応じて期間限定の利用許可を開放する。
3.将特定应用程序和功能设置为始终禁止使用,期间相关应用程序不得弹出通知,不得被调取使用。 3. 特定のアプリや機能を常時利用禁止に設定し、その間は当該アプリの通知ポップアップを禁止し、アクセスしても利用できないようにすること。
4.相关法规明令禁止未成年人使用的应用程序和服务,不得被豁免。 4. 関連法規で未成年者の利用が明示的に禁止されているアプリやサービスは適用除外としない。
八、管理要求 VIII. 管理要件
(一)移动智能终端、应用程序、应用程序分发平台应积极配合有关管理部门开展的监督检查,提供必要的技术、数据等支持和协助。 (1)モバイルインテリジェント端末、アプリケーションおよびアプリケーション配信プラットフォームは、関連管理部門が実施する監督検査に積極的に協力し、必要な技術、データおよびその他のサポートと支援を提供しなければならない。
(二)向未成年人用户提供服务的移动智能终端、应用程序、应用程序分发平台,应定期开展未成年人网络保护影响评估。 (2)未成年の利用者にサービスを提供するモバイルインテリジェント端末、アプリケーションおよびアプリケーション配信プラットフォームは、未成年のネットワーク保護に関する影響評価を定期的に実施しなければならない。
(三)向未成年人用户提供服务的移动智能终端、应用程序、应用程序分发平台,应建立必要应急响应机制,确保保护未成年人用户人身安全的应急类业务不被屏蔽。 (3)未成年者にサービスを提供するモバイルインテリジェント端末、アプリケーション及びアプリケーション配信プラットフォームは、未成年者の身の安全を守るための緊急型サービスが遮断されないよう、必要な緊急対応メカニズムを構築しなければならない。
(四)在未成年人模式下移动互联网信息服务提供者应依照相关法律法规提供服务,不应超范围收集用户数据。 (4)未成年者モードのモバイルインターネット情報サービス提供者は、関連法規に従っ てサービスを提供し、その範囲を超えて利用者データを収集してはならない。
附录 术语和定义 付録 用語と定義
(1)未成年人模式 (1)未成年者モード
本《指南》所称未成年人模式,是指适应未成年人身心健康发展规律和特点,专门面向未成年人使用,覆盖移动智能终端、移动互联网应用程序和移动互联网应用程序分发平台的网络保护模式。 本ガイドでいう未成年者モードとは、未成年者の心身の健康発達に関する法律及び特性に適応し、特に未成年者の利用を指向するネットワーク保護モードを指し、モバイルインテリジェント端末、モバイルインターネットアプリケーション及びモバイルインターネットアプリケーション配信プラットフォームを対象とする。
(2)移动智能终端 (2)モバイルインテリジェント端末
移动智能终端是指接入公众移动通信网络、具有操作系统、可由用户自行安装运行和卸载应用程序的移动终端产品,包括智能手机、平板电脑、儿童智能手表、早教机等智能终端和智能可穿戴设备。 モバイルインテリジェント端末とは、公衆移動通信網に接続され、オペレーティングシステムを持ち、ユーザーがインストール、実行、アンインストールできるモバイル端末製品を指し、スマートフォン、タブレットPC、子供用スマートウォッチ、幼児教育機、その他のインテリジェント端末、インテリジェントウェアラブルデバイスを含む。
(3)移动互联网应用程序 (3)モバイルインターネットアプリケーション
移动互联网应用程序指通过应用程序向用户提供文字、图片、音频、视频等信息制作、复制、发布、传播等服务的软件。 モバイルインターネットアプリケーションとは、アプリケーションを通じて、テキスト、画像、音声、映像、その他の情報の制作、複製、配信、普及などのサービスをユーザーに提供するソフトウェアを指す。
(4)移动互联网应用程序分发服务平台 (4)モバイルインターネットアプリケーション配信サービスプラットフォーム
移动互联网应用程序分发服务平台指通过互联网提供应用程序发布、下载、动态加载等服务的平台,包括应用商店、应用中心、互联网小程序平台等。 モバイルインターネットアプリケーション配信サービスプラットフォームとは、アプリケーションショップ、アプリケーションセンター、インターネットアプレットプラットフォームなど、インターネットを通じてアプリケーションのリリース、ダウンロード、ダイナミックローディングなどのサービスを提供するプラットフォームを指す。

 

1_20210612030101

 


 

JETROの説明がわかりやすいかもです。。。

JETRO

・2023.08.15 スマートフォン経由での未成年者のインターネット利用時間を制限へ

 


 

| | Comments (0)

2023.08.16

Atlantic Council:現代の軍隊はどのようにAIを活用しているか

こんにちは、丸山満彦です。

Atlantic Council [wikipedia] が、「現代の軍隊はどのようにAIを活用しているか」という文書を公表していますね。。。

AIは人間の生活を豊かにする道具なので、それをどのように活用するかが重要なわけなのですが、人間に近い能力のある道具なので、その利用に迷いが生じるのかもしれませんが、道具と割り切れば、わりと単純な話かもしれません。要は、最後は人間が責任をもってうまく使うということだと思います。。。

Human Machine Teaming; HTMは、人間とともにAIや自律システムを採用することで、人間、機会、相互作用、インターフェースからなるもののようです。。。

 

Atlantic Council

・2023.08.14 How modern militaries are leveraging AI

目次的...

How modern militaries are leveraging AI 現代の軍隊はどのようにAIを活用しているか
The importance of human-machine teaming and key insights 人間と機械のチーミングの重要性と重要な洞察
Applications of human-machine teaming ヒューマン・マシン・チーミングの応用
Demonstrating advantage through use cases ユースケースを通じて優位性を示す
Pathways to HMT adoption at scale and pace スケールとペースを伴ったHMT導入への道筋
Summary of recommendations and conclusion 提言のまとめと結論
Acknowledgements 謝辞
About the authors 著者について

 

著者が伝えたいこと...

Key takeaways 要点
Looking through the lens of three military applications for HMT, the authors arrive at the following conclusions. HMTの3つの軍事的応用例を通して、著者らは次のような結論に達した。
・HMT has the potential to change warfare and solve key operational challenges: AI and HMT could potentially transform conflict and noncombat operations by increasing situational awareness, improving decision-making, extending the range and lethality of human operators, and gaining and maintaining advantage across the multi-domain fight. HMT can also drive efficiencies in many supporting functions such as logistics, sustainment, and back-office administration, reducing the costs and timelines of these processes and freeing up humans to carry out higher-value tasks within these mission areas. ・HMTは戦争を変え、作戦上の重要な課題を解決する可能性がある: AIとHMTは、状況認識を高め、意思決定を改善し、人間のオペレーターの射程距離と致死性を拡大し、マルチドメインな戦いにおいて優位性を獲得・維持することで、紛争や非戦闘作戦を変革する可能性がある。HMTはまた、兵站、維持、後方事務など多くの支援機能の効率化を促進し、これらのプロセスにかかるコストとスケジュールを削減し、これらの任務分野でより価値の高い業務を遂行するために人間を解放することができる。
・DOD must expand its definitions for HMT: Definitions of HMT should be expanded to include the breadth of human interactions with autonomous uncrewed systems and AI agents, including those that have no physical form (e.g., decision support software). Extending the definition beyond interactions between humans and robots allows DOD to realize the wide-ranging use cases for HMT—ranging from the use of lethal weapon systems and drone swarms in high-intensity warfare to leveraging algorithms to fuse data and realize virtual connections in the information domain. ・DODはHMTの定義を拡大しなければならない。HMTの定義は、物理的な形を持たないもの(意思決定支援ソフトウェアなど)を含め、自律型無人システムやAIエージェントと人間の相互作用の幅を含むように拡大すべきである。HMTの定義を人間とロボットの相互作用だけでなく、高強度戦争における殺傷力のある武器システムやドローン群の使用から、情報領域におけるデータの融合や仮想的な接続を実現するアルゴリズムの活用まで、DODはHMTの幅広いユースケースを実現することができる。
・HMT development and employment must prioritize human-centric teaming: AI development is moving at an impressive pace, driving potential leaps ahead in machine capability and placing a premium on ensuring the safety, reliability, and trustworthiness of AI agents. As much attention must be dedicated to developing the competencies, comfort levels, and trust of human operators to effectively exploit the value of HMT and ensure humans stay at the center of human-machine teams. ・HMTの開発と採用は、人間中心のチーム編成を優先しなければならない: AIの開発は目覚ましいスピードで進んでおり、機械能力を飛躍的に向上させる可能性がある。また、AIエージェントの安全性、信頼性、信用性を確保することが重要視されている。HMTの価値を効果的に活用し、人間が人間-機械チームの中心にいることを確実にするためには、人間のオペレーターの能力、快適さ、信頼の育成に同じぐらい注意を払わなければならない。
・DOD must move from the conceptual to the practical: HMT as a concept is gaining momentum within some elements of the DOD enterprise. Still, advocates for increased AI and HMT adoption stress the need to move the conversation from the conceptual to the practical—transitioning capability development into the real-time testing and employment of HMT capabilities, as has been demonstrated by the Navy’s experimentation with AI through Task Force 59—to better articulate and demonstrate the operational advantages HMT can deliver. ・DODは概念的なものから実用的なものへと移行しなければならない。概念としてのHMTは、DODエンタープライズの一部の要素で勢いを増している。しかし、AIとHMTの採用拡大を提唱する人々は、HMTがもたらす作戦上の利点をより明確にし、実証するために、概念的な話から実用的な話へと移行する必要性を強調している。HMTの能力開発は、タスクフォース59を通じた海軍のAI実験によって実証されているように、リアルタイムのテストと採用へと移行する。
・Experimentation is crucial to building trust: Iterative, real-world experimentation in which humans develop new operational concepts, test the limits of their machine teammates, and better understand their breaking points, strengths, and weaknesses of machines in a range of environments will play a key role in speeding HMT adoption. This awareness is also essential to human operators as they develop the trust in their AI teammates required to effectively capitalize on the potential of HMT. ・信頼構築には実験が不可欠である: 人間が新たな作戦コンセプトを開発し、機械のチームメイトの限界をテストし、さまざまな環境における機械の限界点、長所、短所をよりよく理解するための反復的な実世界実験は、HMTの採用を加速させる上で重要な役割を果たす。この認識は、HMTの可能性を効果的に活用するために必要なAIチームメイトとの信頼関係を構築する人間のオペレーターにとっても不可欠である。
・DOD must address bureaucratic challenges to AI adoption: DOD’s risk-averse culture and siloed bureaucracy is slowing acquisition, experimentation, and adoption of HMT concepts and capabilities. Increasing the agility and flexibility of the acquisition process for HMT capabilities, iterative experimentation, incentives to take on risks, and digital literacy across the force are necessary to overcome these adoption challenges. ・国防総省は、AI 導入に対する官僚的な課題に取り組まなければならない: DOD のリスク回避文化や縦割り官僚主義が、HMT のコンセプトや能力の獲得、実験、採用を遅らせている。HMT 能力の獲得プロセスの機敏性と柔軟性を高め、反復的な実験を行い、リスクを取るインセンティブを与え、部隊全体のデジタルリテラシーを高めることが、こうした導入の課題を克服するために必要である。

 

Human Machine Teamingの定義と構成要素(人、機会、相互作用、インターフェース)...

 

Definitions and components of HMT HMTの定義と構成要素
HMT refers to the employment of AI and autonomous systems alongside human decision-makers, analysts, operators, and watchkeepers. HMT combines the capabilities of intelligent humans and machines in concert to achieve a military outcome. At its core, HMT is a relationship with four equally important elements: HMTとは、人間の意思決定者、分析者、オペレーター、監視員とともにAIや自律システムを採用することを指す。HMTは、軍事的成果を達成するために、知的な人間と機械の能力を協調させて組み合わせる。HMTの核心は、4つの同様に重要な要素を持つ関係である:
Human(s): An operator (or operators) that provides inputs for and tests machines, as well as leverages their outputs; 人間: 人間:機械にインプットを提供し、テストし、そのアウトプットを活用するオペレーター;
Machine(s): Ranging from an AI and machine learning (ML) algorithm to a drone swarm, the machine holds a degree of agency to make determinations and supports a specified mission; and 機械:AIや機械学習(ML)アルゴリズムからドローンの群れに至るまで、機械は決定を下し、指定されたミッションをサポートするある程度の権限を持つ。
Interaction(s): The way in which the human(s) and machine(s) interface to meet a shared mission. 相互作用:人間と機械が、共有されたミッションを達成するためにどのようにインターフェースをとるか。
Interface(s): The mechanisms and displays through which humans interact with machines. インターフェース: 人間が機械と相互作用するための仕組みや表示。

 

1_20230816072101

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.02.18 米国 国務省 人工知能の責任ある軍事利用と自律性に関する政治宣言

 

| | Comments (0)

米国 国立科学財団 量子科学と量子工学の研究機関に総額3800万ドル(55億円超)の支援

こんにちは、丸山満彦です。

米国の国立科学財団 (National Science Fundation; NSF) [wikipedia] が量子科学と量子工学の研究機関に総額3800万ドル(55億円超)の支援をすると発表していますね。。。

Expanding Capacity in Quantum Information Science and Engineering (ExpandQISE)プログラムというプログラムのようですね。。。22の研究機関等が参加しているようです。。。

 

トラック1:QISEの豊富な経験を持つ研究機関と共同研究を行う個人研究者を対象とし、受賞者には3年間で最高80万ドルが支援される。

トラック2:QISEでの研究経験が豊富な外部研究協力者とペアを組んだ5人以内のチームが対象となる。受賞者には、5年間で最高500万ドルが支援される。

 

Track 1    トラック1   
Quantum molecular dynamics on quantum computers Marquette University.  量子コンピュータ上での量子分子動力学 マーケット大学 
Development of Er-doped semiconductor nanophotonics to realize optoelectronic capabilities for quantum information applications at telecom wavelengths West Chester University.  Erドープ半導体ナノフォトニクスの開発により、通信波長での量子情報アプリケーションのための光電子機能の実現 ウェストチェスター大学 
Scalable quantum gravimeters with large-momentum-transfer atom interferometry Rutgers University-Newark.  大運動量原子干渉計を用いたスケーラブルな量子重力計の開発 ラトガース大学-ニューアーク 
A deep-dive into the materials science of alpha-Ta growth on oxides for superconducting resonator development Miami University.  超伝導共振器開発のための酸化物上でのα-Ta成長の材料科学を深く掘り下げる マイアミ大学 
Quantum@MTSU: Building QISE research and education in middle Tennessee Middle Tennessee State University.  Quantum@MTSU: テネシー州中部でQISEの研究と教育を構築する ミドルテネシー州立大学 
Investigating biomass pretreatment with nanodiamond quantum sensors Southern Illinois University at Edwardsville.  ナノダイヤモンド量子センサーによるバイオマス前処理の研究 南イリノイ大学エドワーズビル校
Analog quantum simulation of non-Markovian dynamics of multi-qubit systems New York Institute of Technology.  多量子ビット系の非マルコフ型ダイナミクスのアナログ量子シミュレーション ニューヨーク工科大学
Collaborative optimization and management for iterative and parallel quantum computing Fordham University.  反復並列量子コンピューティングのための共同最適化と管理 フォーダム大学 
Harnessing anti-hermiticity and symmetries to probe exceptional entanglement transition and supersensitive quantum sensing Kennesaw State University Research and Service Foundation  反温和性と対称性を利用して、例外的なエンタングルメント転移と超高感度量子センシングの調査 ケネソー州立大学研究・奉仕財団 
Harnessing a scalable platform to demonstrate multipartite quantum effects under strict conditions University of New Orleans.  スケーラブルなプラットフォームを利用し、厳しい条件下で多粒子量子効果の実証 ニューオーリンズ大学 
Understanding and controlling decoherence in hybrid spin qubit-magnon systems for advancing education and building workforce in emerging quantum technologies Wichita State University  ハイブリッド・スピン・クビット・マグノン系におけるデコヒーレンスを理解し制御することによる新たな量子技術の教育と人材育成の推進 ウィチタ州立大学 
Development of quantum information science programs at an undergraduate institution through research in 2D qubit systems University of Northern Iowa.  2次元量子ビット系の研究を通じた学部教育機関における量子情報科学プログラムの開発 北アイオワ大学 
Prairie View A&M University - Virginia Tech partnership in quantum science & engineering research and education Prairie View A&M University.  プレーリービューA&M大学とバージニア工科大学による量子科学・工学の研究と教育においてパートナーシップ プレーリービューA&M大学 
Light-controlled magnetism in Floquet-Bloch systems New Mexico Institute of Mining and Technology  フローケ・ブロッホ系における光制御磁性 ニューメキシコ鉱山技術大学 
A Quantum Good Network Protocol (QGP) and implementation for security-enhanced network authentication Morgan State University.  セキュリティを強化したネットワーク認証のための量子グッドネットワークプロトコル(QGP)とその実装 モーガン州立大学 
Ferroelectric ordering and polarization-coupled transport properties in 2D van der Waals materials South Dakota School of Mines and Technology.  2次元ファンデルワールス物質における強誘電秩序と分極結合輸送特性 サウスダコタ鉱山技術学校 
Micron scale solid state quantum sensors optimized through machine learning Morgan State University.  機械学習によって最適化されたミクロンスケールの固体量子センサー モーガン州立大学 
Track 2    トラック 2   
EQUIP-UMB-Expand quantum information programs at UMass Boston University of Massachusetts Boston.  EQUIP-UMB-ボストン大学における量子情報プログラムの拡大 マサチューセッツ大学ボストン校 
Leveraging synthetic degrees of freedom for quantum state engineering in photonic chips City College of New York.  フォトニックチップにおける量子状態工学のための合成自由度の活用 シティ・カレッジ・オブ・ニューヨーク 
A quantum science education and research program for HBCUs: Exotic physics and applications of solid-state qubits Howard University.  HBCUのための量子科学教育研究プログラム 固体量子ビットのエキゾチックな物理と応用 ハワード大学。 
Expanding quantum research and education at Winston-Salem State University with research on hybrid microwave-optical quantum devices Winston-Salem State University.  ウィンストン・セーラム州立大学におけるハイブリッドマイクロ波-光量子デバイスの研究による量子研究と教育の拡大 ウィンストン・セーラム州立大学 
NC A&T QISE research workforce development programs North Carolina Agricultural & Technical State University.  NC A&T QISE 研究人材育成プログラム ノースカロライナ農業工科州立大学。 

 

 

National Science Fundation; NSF

・2023.08.15 More institutions to participate in quantum science and engineering with $38M from NSF

 

1_20230816055201

 

 

 

 

| | Comments (0)

2023.08.15

CSA ChatGPTのセキュリティへの影響 (2023.08.02) 日本語版へのリンクを追加

こんにちは、丸山満彦です。

CSAがChatGPTによるセキュリティへの影響を公表しています。。。

 

AIとセキュリティの整理のパターンである。

  1. AIの利用
    1. AIを利用した攻撃
    2. AIを利用した防御
  2. AIに対する攻撃

の3つに分けていますね。。。

AI一般とサイバーとの関係ですが、私が2020年にサイバー犯罪に関する白浜シンポジウムで説明した[PDF] スマートサイバーと同じ整理ですね。。。

機械学習一般については、

  • 回帰
  • 分類
  • クラスタリング
  • 相関ルールの学習
  • 生成モデル

などがありますね。。。

ChatGPTのセキュリティについては、このうちの生成モデルで、生成するものは文章(文字列)ということになりますね。。。

 

攻撃:リスクについての評価...

3. How malicious actors can use it to improve their toolset 3.悪意ある行為者がツールセットを改善するためにそれをどのように利用できるか。 リスク 影響 可能性
3.1 Enumeration 3.1 列挙
3.2 Foothold assistance 3.2 足場固め支援
3.3 Reconnaissance 3.3 偵察
3.4 Phishing 3.4 フィッシング
3.5 “Polymorphic” code 3.5 "ポリモーフィック"コード
3.6 Social Engineering 3.6 ソーシャル・エンジニアリング      

 

防御:対策の効果

4. How can defenders use it within cybersecurity programs 4.守備側はサイバーセキュリティ・プログラムの中でどのように活用できるか。 対策の有効性
4.1 Filter out Security Vulnerabilities (GitHub Copilot) 4.1 セキュリティ脆弱性のフィルタリング (GitHub Copilot)  
4.2 Generate Security Code  (ChatGPT - Codex) 4.2 セキュリティコードの生成 (ChatGPT - Codex)  
4.3 Transfer Security Code (ChatGPT - Codex) 4.3 セキュリティコードの転換(ChatGPT - Codex)  
4.4 Vulnerability Scanner (ChatGPT - Codex) 4.4 脆弱性スキャナ (ChatGPT - Codex)  
4.5 Detect generative AI text 4.5 AI生成を検出するテキスト  
4.6 Find the solution to Cyber Security problems 4.6 サイバーセキュリティ問題の解決策を探す  
4.7 Integration with SIEM/SOAR 4.7 SIEM/SOARとの連携  
4.8 Convert Technical code/files into English 4.8 技術コード/ファイルを英語に変換する  
4.9 Explaining security patches and ChangeLogs 4.9 セキュリティパッチの説明とChangeLog
4.10 Creation of scripts and conversion of programming languages 4.10 スクリプトの作成、プログラミングの変換言語
4.11 Read and explain scripts and configuration files 4.11 スクリプトやコンフィギュレーションファイルを読んで説明する
4.12 ChatGPT for fuzzing and testing code 4.12 ファジングとテストのためのChatGPT
4.13 Creating queries, such as YARA or KQL 4.13 YARAやKQLなどのクエリを作成する
4.14 Identity and Access Management or Administration 4.14 アイデンティティとアクセス管理、アドミニストレーション  

 

 

さて、CSAの資料はこちら...

⚫︎Cloud Security Alliance

・2023.08.02 Security Implications of ChatGPT

 

20230815-150851

 

<2023.08.22 追記>

日本語版の正式なものが公表されたので...

日本語版

・2023.08.18 [PDF] ChatGPTのセキュリティへの影響


20230822-50940


 

 

 

目次...

1. Introduction 1 はじめに
2. What is ChatGPT 2 ChatGPTとは
2.1 Machine Learning Models 2.1 マシンラーニングモデル
2.2 Limitations of ChatGPT 2.2 ChatGPTの制限事項
2.3 Terms of Use for ChatGPT 2.3 ChatGPTの利用規約
  2.4 ベンチマーク
2.4 Past examples of tools changing the security world 2.5 セキュリティの世界を変えたツールの過去の例
3. How malicious actors can use it to improve their toolset 3. 悪意あるアクターがChatGPTを利用してどのようにツールセットを改善するか
3.1 Enumeration 3.1 エニュメレーション
3.2 Foothold assistance 3.2 攻撃の足がかり支援
3.3 Reconnaissance 3.3 偵察
3.4 Phishing 3.4 フィッシング
3.5 “Polymorphic” code 3.5 "ポリモーフィック"コード
3.6 Social Engineering 3.6 ソーシャル・エンジニアリング
4. How can defenders use it within cybersecurity programs 4. サイバーセキュリティプログラムの中で防衛側はどのように活用できるか。
4.1 Filter out Security Vulnerabilities (GitHub Copilot) 4.1 セキュリティ脆弱性のフィルタリング (GitHub Copilot)
4.2 Generate Security Code  (ChatGPT - Codex) 4.2 セキュリティコードの生成 (ChatGPT - Codex)
4.3 Transfer Security Code (ChatGPT - Codex) 4.3 セキュリティコードの変換(ChatGPT - Codex)
4.4 Vulnerability Scanner (ChatGPT - Codex) 4.4 脆弱性スキャナー (ChatGPT - Codex)
4.5 Detect generative AI text 4.5 AI生成を検出するテキスト
4.6 Find the solution to Cyber Security problems 4.6 サイバーセキュリティ問題の解決策を探す
4.7 Integration with SIEM/SOAR 4.7 SIEM/SOARとの連携
4.8 Convert Technical code/files into English 4.8 技術コード/ファイルを英語に変換する
4.9 Explaining security patches and ChangeLogs 4.9 セキュリティパッチの説明とChangeLog
4.10 Creation of scripts and conversion of programming languages 4.10 スクリプトの作成とプログラミングの変換言語
4.11 Read and explain scripts and configuration files 4.11 スクリプトやコンフィギュレーションファイルを読んで説明する
4.12 ChatGPT for fuzzing and testing code 4.12 ファジングとテストのためのChatGPT
4.13 Creating queries, such as YARA or KQL 4.13 YARAやKQLなどのクエリを作成する
4.14 Identity and Access Management or Administration 4.14 アイデンティティとアクセス管理、アドミニストレーション
5. Attacking ChatGPT by Malicious Prompts 5. 悪意のあるプロンプトによるChatGPTへの攻撃
5.1 Illustrated Points of Attack 5.1 攻撃のポイントの図解
5.2 Establishing a connection between the user and ChatGPT 5.2 ユーザーとChatGPT間の接続の確立
5.3 Selecting an existing conversation or starting a new one 5.3 新しい会話の開始または既存の会話の選択
5.4 User input 5.4 ユーザー入力
6. How to enable business to use ChatGPT securely 6.ChatGPTを安全にビジネス利用できるようにする方法
6.1 ChatGPT 6.1 ChatGPT
6.2 New Bing 6.2 New Bing
6.3 Azure OpenAI Service 6.3 Azure OpenAI Service
7. Limitations and quirks of generative AI technology 7.生成AI技術の限界とクセ
8. Future attacks and concerns 8. 将来の攻撃と懸念
9. Conclusion 9. 結論
10. References 10. 参考文献
11. Appendix - formats 11. 付録 - フォーマット
11.1 Risk Table 11.1 リスク表
11.2 Heat Map 11.2 ヒートマップ

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2020.10.25 『スマートサイバー AI活用時代のサイバーリスク管理』第24回 サイバー犯罪に関する白浜シンポジウムの発表資料

・[PDF] スマートサイバー AI活用時代のサイバーリスク管理(配布用)

Title

 

| | Comments (0)

NPO日本システム監査人協会 システム監査・管理ガイドライン (2023.08.10)

こんにちは、丸山満彦です。

NPO日本システム監査人協会がシステム監査・管理ガイドラインを策定し、公表していますね。。。

基準は経産省、ガイドラインはNPOで作成するという役割分担になりましたからね。。。

 

 ● システム監査・管理ガイドラインについて

20230815-104702

   1.1.1 システム監査基準Ver1(前文・システム監査の意義と目的・監査人の倫理)

 1.1.2 システム監査基準及びガイドラインVer1 

20230815-104943

 1.2.1    システム管理基準Ver1(前文・ガイドラインの活用にあたって) 

   1.2.2    ITガバナンス編基準及びガイドラインVer1 

 1.2.3    ITマネジメント編基準及びガイドラインVer1 

 

1.3  用語集・参考文献 Ver1 

20230815-105100

 

 


 

ちなみに、経済産業省のウェブページ

経済産業省

システム監査制度について

 

このブログ...

まるちゃんの情報セキュリティ気まぐれ日記

・2023.05.01 経済産業省 「システム監査基準」及び「システム管理基準」の改訂 (2023.04.26)

・2023.01.30 経済産業省 「システム監査基準(案)」及び「システム管理基準(案)」に対する意見募集について

 

・2010.01.18 保証型システム監査 (藤野先生)

・2005.11.30 予備調査って言い方はわかりにくい

 

 

| | Comments (0)

ドイツ SBOMの要件...技術ガイドライン TR-03183:製造業者および製品に対するサイバーレジリエンス要件 (2023.08.04)

こんにちは、丸山満彦です。

オープンソースのセキュリティリスクへの対応、サプライチェーンリスクとも言えますかね。。。についての回答として、SBOMが注目されていますが、ドイツのSBOMに関する技術ガイドライン、TR-03183の紹介...

 

Bundesamt für Sicherheit in der Informationstechnik: BSI

・2023.08.04 SBOM-Anforderungen: TR-03183-2 stärkt Sicherheit in der Software-Lieferkette

SBOM-Anforderungen: TR-03183-2 stärkt Sicherheit in der Software-Lieferkette SBOM 要件 TR-03183-2がソフトウェア・サプライチェーンのセキュリティを強化する
Am 4. August hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) Teil 2 der Technischen Richtlinie TR-03183 „Cyber-Resilienz-Anforderungen“ veröffentlicht. Das Dokument definiert formelle und fachliche Vorgaben für Software-Stücklisten (SBOM). Damit bietet das BSI Softwareherstellern eine Empfehlung zur Gestaltung von SBOMs, die der Erhöhung der Sicherheit in der Software-Lieferkette (Software Supply Chain Security) dienen. ドイツ連邦情報セキュリティ局(BSI)は8月4日、技術ガイドラインTR-03183「サイバーレジリエンス要件」のパート2を発表した。この文書は、ソフトウェア部品表(SBOM)の形式的・技術的要件を定義している。これにより、BSIはソフトウェアメーカーに対し、ソフトウェアサプライチェーンにおけるセキュリティ(ソフトウェアサプライチェーンセキュリティ)の向上に役立つSBOMの設計に関する推奨事項を提示している。
Eine „Software Bill of Materials“ (SBOM) dokumentiert, welche kommerziellen und freien Software-Bestandteile in Software-Produkten enthalten sind. Sie macht Abhängigkeiten zu Komponenten Dritter transparent und hilft damit Herstellern, Sicherheitsforschenden sowie professionellen Anwenderinnen und Anwendern beim Monitoring von Schwachstellen. ソフトウェア部品表」(SBOM)は、ソフトウェア製品に含まれる商用および無償のソフトウェア・コンポーネントを文書化したものである。これにより、サードパーティのコンポーネントへの依存関係が透明化されるため、製造業者、セキュリティ研究者、プロのユーザーが脆弱性を監視するのに役立つ。

 

 

BSI TR-03183 Cyber-Resilienz-Anforderungen

Software-Stücklisten (SBOM) gehören zu den zentralen Forderungen des europäischen Cyber Resilience Act (CRA). Dieser liegt seit September 2022 als Entwurf der EU-Kommission vor und befindet sich derzeit im Gesetzgebungsverfahren. ソフトウェアパーツリスト(SBOM)は、欧州サイバーレジリエンス法(CRA)の中心的な要件のひとつである。これは、2022年9月からEU委員会から草案として入手可能であり、現在立法過程にある。
BSI TR-03183 Cyber-Resilienz-Anforderungen BSI TR-03183 サイバーレジリエンス要件
Die Technische Richtlinie TR-03183: Cyber-Resilienz-Anforderungen an Hersteller und Produkte hat zum Ziel, Herstellern schon vorab die Art der Anforderungen, die mit dem künftigen Cyber Resilience Act (CRA) auf sie zukommen, zugänglich zu machen. Der CRA wurde als Entwurf der EU-Kommission im September 2022 veröffentlicht und befindet sich derzeit im Gesetzgebungsverfahren. Im Nachgang möglicher Änderungen am CRA im Vergleich zum Entwurfstext kann auch die Technische Richtlinie aktualisiert werden. テクニカルガイドラインTR-03183: Cyber Resilience Requirements for Manufacturers and Productsは、将来のサイバーレジリエンス法(CRA)が製造業者に課すことになる要求事項の種類を事前に入手できるようにすることを目的としている。CRAは2022年9月にEU委員会から草案として公表され、現在、立法過程にある。草案と比較してCRAが変更される可能性があるため、技術ガイドラインも更新される可能性がある。
In Teil 1 "Allgemeine Anforderungen" werden Anforderungen an Hersteller und Produkte in Anlehnung an die Anforderungen aus Artikeln und Anhang des CRA zusammengestellt. 第 1 部「一般要求事項」では、CRA の条文および付属書の要求事項に基づき、製造業者および製品に対する要求事項がまとめられている。
In Teil 2 "Software Bill of Materials (SBOM)" werden formelle und fachliche Vorgaben für SBOMs beschrieben, die u. a. in Teil 1 der TR-03183 gefordert werden. 第2部 "ソフトウェア部品表(SBOM)"では、特にTR-03183の第1部で要求されているSBOMの形式的及び技術的要求事項を記述している。

 

・[PDF]

20230815-95640

 

・[DOCX] 仮訳

 


 

参考 SBOM関連

まるちゃんの情報セキュリティ気まぐれ日記

・2023.08.13 総務省 「ICTサイバーセキュリティ総合対策2023」(案)に対する意見募集の結果及び「ICTサイバーセキュリティ総合対策2023」の公表

・2023.08.01 経済産業省 ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引

・2023.07.15 米国 ホワイトハウス サイバーセキュリティ戦略実施計画

・2023.07.07 総務省 「ICTサイバーセキュリティ総合対策2023」(案)に対する意見募集

・2023.07.03 OWASP SBOMガイダンス CycloneDX v1.5 (2023.06.23)

・2023.04.25 米国 CISA SBOM関連の二文書

・2023.04.18 国際医療機器規制当局フォーラム 「レガシー医療機器のサイバーセキュリティのための原則と慣行」「医療機器サイバーセキュリティのためのSBOMの原則と実践」 (2023.04.11, 04.13)

・2023.03.04 米国 国家サイバーセキュリティ戦略を発表

・2023.02.21 英国 NCSC サプライチェーン・マッピングのガイダンスを公表しています。。。(2023.02.16)

・2023.02.05 ソフトウェアサプライチェーンリスクの軽減策について...

・2022.11.12 NIST ホワイトペーパー【プロジェクト概要】ソフトウェアサプライチェーンとDevOpsのセキュリティ実践:リスクベースアプローチによるDevSecOpsの実践

・2022.10.06 米国 CISA 拘束的運用指令23-01 - 連邦ネットワークにおける資産の可視化と脆弱性検出の改善

・2022.09.18 米国 行政管理予算局 (0MB) ソフトウェアサプライチェーンのセキュリティ強化 を公表

・2022.07.26 NIST White Paper (Draft) [プロジェクト概要] ソフトウェアサプライチェーンとDevOpsセキュリティの実践:リスクベースアプローチによるDevSecOpsの実践

・2022.07.16 経済産業省 令和3年度委託調査報告書(サイバーセキュリティ関係) 2022.07.14現在

・2022.06.25 NIST SP 1800-34 (ドラフト) コンピューティングデバイスの完全性の検証

・2022.05.08 NIST SP 800-161 Rev. 1 システムと組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントの実践

・2022.02.06 NIST ホワイトペーパー: 大統領令14028条第4e項に基づくソフトウェア・サプライチェーン・セキュリティ・ガイダンス

・2021.12.13 Apache Log4j 2 の脆弱性 (CVE-2021-44228)+ ソフトウェアの管理 + 脆弱性情報の管理

・2021.11.22 英国 サプライチェーンとマネージドサービスプロバイダーのサイバーセキュリティについての質問に対する回答 at 2021.11.15

・2021.10.30 NIST SP 800-161 Rev. 1 (Draft) システムと組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントの実践(第2次ドラフト)

・2021.09.03 NIST SP 1800-34B (ドラフト) コンピューティングデバイスの完全性の検証(初期ドラフト)

・2021.06.27 NIST ソフトウェアサプライチェーンにおける「クリティカル・ソフトウェア」の定義:大統領令14028に応えて...

・2021.06.02 米国 国家のサイバーセキュリティ向上に関する大統領令 (EO 14028) に基づくソフトウェアサプライチェーン管理に関係して。。。

・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令

・2021.05.01 NIST SP 800-161 Rev. 1 (ドラフト) システムと組織のためのサイバー・サプライチェーン・リスク管理の実践

・2020.02.05 NISTがサプライチェーンセキュリティの実践資料のドラフトを公開していますね。。。

 

| | Comments (0)

英国 年内のAI安全サミットに向けて陣頭指揮をとる2名を任命し、Aiヘルスケア研究に1300万£(約24億円)を拠出... (2023.08.10)

こんにちは、丸山満彦です。

英国は強い意志をもって、AIによる産業変革により、世界をリードし、国家の繁栄の礎にしようとしていますよね。。。ある意味AIに賭けているところがありますよね。。。

このAIの発展のためには、技術と国際連携が重要となるわけですが、この二人のリーダーがこの2つの側面を意識して選定されているようですね。。。

一人は、Matt Cliffordで、Entrepreneur First社のCo-Funder/CEOのようです。もう一人は、Jonathan Blackで、Heywood Fellow at the Blavatnik School of Government at the University of Oxfordで、G7, G20にも関与し、国家安全保障副顧問でもあるようです。。。


賢い国だと思います。本当に。。。

 

Gov.UK

・2023.08.10 Experts to lead AI Safety Summit preparations as new funding announced to modernise healthcare

 

そもそも年内に開催されようとしているこのAI安全サミットは、6月にスナック首相が訪米した時にホワイトハウスで発表した内容です。。。

・2023.06.07 UK to host first global summit on Artificial Intelligence

 

この発表の時は、次世代の安全なAIの構築と採用を支援する専門家タスクフォースを立ち上げ、1億ポンドの資金援助と、英国内のエクサスケール・スーパーコンピューターを含む計算能力開発に9億ポンドを費やすと発表していますね。。。

 

1_20230815043001

 

 

 

| | Comments (0)

2023.08.14

米国 K-12(幼稚園から高校まで)の学校のサイバーセキュリティを強化する新たな取り組みを開始 (2023.08.07)

こんにちは、丸山満彦です。

米国のK-12(幼稚園から高校まで)の学校のサイバーセキュリティを強化する取り組み...

日本ではどうなっているのか、あまり最近きいていない。。。

極論、細かいこと考えずにとりあえず、米国と同じことやることにしてもよいかもですね。。。あわないところはとりあえず修正して...

もちろん、日本の教育制度に合わせてするのがベストでしょうが、一から考えると、内容をきめるにも、進め方を決めるにも時間がかかるから、何も進まない。それよりは、まし...という感じですかね。。。

 

U.S. White House

・2023.08.07 Biden-Harris Administration Launches New Efforts to Strengthen America’s K-12 Schools’ Cybersecurity

Biden-⁠Harris Administration Launches New Efforts to Strengthen America’s K-12 Schools’ Cybersecurity バイデン-ハリス政権、アメリカの幼稚園から高校までの学校のサイバーセキュリティを強化する新たな取り組みを開始
Biden-Harris Administration is announcing new actions and private commitments to bolster the nation’s cyber defense at schools and protect hard-working American families バイデン-ハリス政権は、学校における国家のサイバー防御を強化し、勤勉なアメリカ人家庭を守るための新たな行動と民間のコミットメントを発表する。
Administration leaders, school administrators, educators, and education technology providers will convene at the White House to discuss how to strengthen the nation’s schools’ cybersecurity amidst growing ransomware attacks ランサムウェア攻撃が増加する中、行政指導者、学校管理者、教育者、教育技術プロバイダがホワイトハウスに集まり、国の学校のサイバーセキュリティを強化する方法について話し合う。
The United States has experienced an increase in cyberattacks that have targeted the nation’s schools in recent years.  In the 2022-23 academic year alone, at least eight K-12 school districts throughout the country were impacted by significant cyberattacks – four of which left schools having to cancel classes or close completely.  Not only have these attacks disrupted school operations, but they also have impacted students, their families, teachers, and administrators.  Sensitive personal information – including, student grades, medical records, documented home issues, behavioral information, and financial information – of students and employees were stolen and publicly disclosed. Additionally, sensitive information about school security systems was leaked online as a result of these attacks. Today, Secretary of Education Miguel Cardona and Secretary of Homeland Security Alejandro Mayorkas, joined First Lady Jill Biden, to convene school administrators, educators and private sector companies to discuss best practices and new resources available to strengthen our schools’ cybersecurity, protect American families and schools, and prevent cyberattacks from disrupting our classrooms. 米国では近年、国内の学校を狙ったサイバー攻撃が増加している。  2022-23年度だけでも、全米の少なくとも8つの幼稚園から高校までの学区が、重大なサイバー攻撃の影響を受け、そのうち4つの学校は授業をキャンセルするか、完全に休校せざるを得なくなった。  これらの攻撃は学校運営を混乱させただけでなく、生徒やその家族、教師、管理者にも影響を与えた。  生徒の成績、医療記録、記録された家庭問題、行動情報、財務情報など、生徒や従業員の機微な個人情報が盗まれ、一般に公開された。さらに、これらの攻撃の結果、学校のセキュリティシステムに関する機密情報がオンライン上に流出した。 本日、ミゲル・カルドナ教育省長官とアレハンドロ・マヨルカス国土安全保障省長官は、ジル・バイデン大統領夫人とともに、学校管理者、教育者、民間企業を招集し、学校のサイバーセキュリティを強化し、米国の家庭と学校を守り、サイバー攻撃による授業妨害を防ぐためのベストプラクティスと利用可能な新しいリソースについて話し合った。
According to a 2022 U.S. Government Accountability Office report, the loss of learning following a cyberattack ranged from three days to three weeks, and recovery time can take anywhere from two to nine months.  Further, the monetary losses to school districts following a cyber incident ranged from $50,000 to $1 million. That is why the Biden-Harris Administration has had a relentless focus on securing our nation’s critical infrastructure since day one, and continues to work tirelessly to provide resources that enable the U.S.’s more than 13,000 school districts to better protect and defend their students and employees against cyberattacks. 2022年の米国政府アカウンタビリティ室の報告書によると、サイバー攻撃後の学習損失は3日から3週間で、復旧には2カ月から9カ月かかるという。  さらに、サイバーインシデント後の学区の金銭的損失は、5万ドルから100万ドルであった。だからこそ、バイデン-ハリス政権は初日から、わが国の重要インフラの安全確保に執拗なまでに力を注いできたのであり、米国の1万3,000を超える学区がサイバー攻撃から生徒や従業員をよりよく保護・防御できるようなリソースを提供するために、たゆまぬ努力を続けているのである。
The Administration is taking additional action and committing resources to strengthen the cybersecurity of the nation’s K-12 school systems, including:  同政権は、全米の幼稚園から高校までの学校システムのサイバーセキュリティを強化するため、以下のような追加措置と資源投入を行っている: 
Federal Communications Commission Chairwoman Jessica Rosenworcel is proposing establishing a pilot program under the Universal Service Fund to provide up to $200 million over three years to strengthen cyber defenses in K-12 schools and libraries in tandem with other federal agencies that have deep expertise in cybersecurity. ・連邦コミュニケーション委員会のジェシカ・ローゼンウォーセル委員長は、ユニバーサル・サービス基金の下で、サイバーセキュリティに深い専門知識を持つ他の連邦機関と連携して、幼稚園から高校までの学校と図書館のサイバー防御を強化するため、3年間で最大2億ドルを提供するパイロット・プログラムの設立を提案している。
The U.S. Department of Education will establish a Government Coordinating Council (GCC) that will coordinate activities, policy, and communications between, and amongst, federal, state, local, tribal, and territorial education leaders to strengthen the cyber defenses and resilience of K-12 schools. By facilitating formal, ongoing collaboration between all levels of government and the education sector, the GCC will be a key first step in the Department’s strategy to protect schools and districts from cybersecurity threats and for supporting districts in preparing for, responding to, and recovering from cybersecurity attacks. ・米国教育省は、幼稚園から高校までの学校のサイバー防御とレジリエンスを強化するため、連邦政府、州政府、地方政府、部族政府、準州政府の教育指導者間の活動、政策、コミュニケーションを調整する政府調整評議会(GCC)を設立する。あらゆるレベルの政府と教育部門との間の公式かつ継続的な協力関係を促進することで、GCCは、サイバーセキュリティの脅威から学校と地区を保護し、サイバーセキュリティ攻撃に対する準備、対応、回復において地区を支援するための、米国教育省の戦略における重要な第一歩となる。
The U.S. Department of Education and the Cybersecurity and Infrastructure Security Agency (CISA) jointly released K-12 Digital Infrastructure Brief: Defensible & Resilient, the second in a series of guidance documents to assist educational leaders in building and sustaining core digital infrastructure for learning.  Additional briefs released by the U.S. Department of Education include Adequate and Future-Proof and Privacy-Enhancing, Interoperable and Useful. ・米教育省とサイバーセキュリティ・インフラ・セキュリティ庁(CISA)は共同で、「K-12 Digital Infrastructure Brief」を発表した: これは、教育の指導者が学習のための中核的なデジタルインフラを構築し、維持するのを支援するためのガイダンス文書シリーズの第2弾である。 米国教育省が発表したその他のブリーフには、「Adequate and Future-Proof」と「Privacy-Enhancing, Interoperable and Useful」がある。
・CISA is committing to providing tailored assessments, facilitating exercises, and delivering cybersecurity training for 300 new K-12 entities over the coming school year.  CISA plans to conduct 12 K-12 cyber exercises this year, averaging one per month, and is currently soliciting exercise requests from government and critical infrastructure partners, including the K-12 community. ・CISAは来年度、新たに300の幼稚園から高校までの事業体に対して、ニーズに合わせた評価をプロバイダとして提供し、演習を促進し、サイバーセキュリティ・トレーニングを実施することを約束している。  CISAは今年、12回のK-12サイバー演習(平均月1回)を実施する予定で、現在、K-12コミュニティを含む政府および重要インフラ・パートナーからの演習依頼を募っている。
・The Federal Bureau of Investigation (FBI) and the National Guard Bureau are releasing updated resource guides to ensure state government and education officials know how to report cybersecurity incidents and can leverage the federal government’s cyber defense capabilities. ・連邦捜査局(FBI)と国家警備局は、州政府や教育関係者がサイバーセキュリティ・インシデントの報告方法を知り、連邦政府のサイバー防衛能力を活用できるようにするため、最新のリソース・ガイドを発表している。
Additionally, several education technology providers are committing to providing free and low-cost resources to school districts, including: さらに、いくつかの教育テクノロジープロバイダーは、学区に無料または低コストのリソースを提供することを約束している:
・Amazon Web Services (AWS) is committing the following: $20 million for a K-12 cyber grant program available to all school districts and state departments of education; free security training offerings tailored to K-12 IT staff delivered through AWS Skill Builder; and no-cost cyber incident response assistance through its Customer Incident Response Team in the event a school district experiences a cyberattack.  AWS will also provide free well-architected security reviews to U.S. education technology companies providing mission-critical applications to the K-12 community. ・アマゾン・ウェブ・サービス(AWS)は、以下を約束している: すべての学区と州教育省が利用できるK-12サイバー助成金プログラムに2000万ドル、AWS Skill Builderを通じて提供されるK-12のITスタッフに合わせた無料のセキュリティ・トレーニング、学区がサイバー攻撃を受けた場合のカスタマー・インシデント・レスポンス・チームによる無償のサイバー・インシデント対応支援などである。 また、AWSは、K-12コミュニティにミッションクリティカルなアプリケーションを提供する米国の教育テクノロジー企業に対し、適切に構築されたセキュリティレビューを無償で提供する。
・Cloudflare, through its Project Cybersafe Schools, will offer a suite of free Zero Trust cybersecurity solutions to public school districts under 2,500 students, to give small school districts faster, safer Internet browsing and email security.・ ・Cloudflareは、Project Cybersafe Schoolsを通じて、生徒数2500人以下の公立学区に、Zero Trustサイバーセキュリティ・ソリューション一式を無償で提供し、小規模学区に、より高速で安全なインターネット閲覧や電子メールのセキュリティを提供する。
・PowerSchool, a provider of cloud-based K-12 software in the United States for 80% of school districts, will provide new free and subsidized “security as a service” courses, training, tools and resources to all U.S. schools and districts. ・米国で80%の学区にクラウドベースのK-12ソフトウェアをプロバイダしているPowerSchoolは、新たに「サービスとしてのセキュリティ」コース、トレーニング、ツール、リソースを米国のすべての学校と学区に無料および補助金付きで提供する。
・Google released an updated “K-12 Cybersecurity Guidebook” for schools on the most effective and impactful steps education systems can take to ensure the security of their Google hardware and software applications. ・グーグルは、グーグルのハードウェアとソフトウェア・アプリケーションのセキュリティを確保するために、教育システムが取ることのできる最も効果的でインパクトのある手順について、学校向けに最新の「K-12サイバーセキュリティ・ガイドブック」を発表した。
・D2L, a learning platform company, is committing to: providing access to new cybersecurity courses in collaboration with trusted third-parties; extending its information security review for the core D2L integration partners; and pursuing additional third-party validation of D2L compliance with security standards. ・学習プラットフォーム企業のD2Lは、信頼できるサードパーティと協力して新しいサイバーセキュリティ・コースへのアクセスを提供すること、D2Lの中核的な統合パートナーに対する情報セキュリティ・レビューを拡大すること、D2Lがセキュリティ標準に準拠していることをサードパーティがさらに検証することを約束する。
The commitments made today will help ensure the nation’s schools are in the best position to secure their networks to keep their students, educators, and employees safe. This is the latest example of President Biden’s commitment to ease the everyday concerns facing Americans – from strengthening confidence in the safety of the devices brought into homes and classrooms to securing the cyber infrastructure of our nation’s schools 本日のコミットメントは、生徒、教育関係者、従業員の安全を守るため、国内の学校がネットワークの安全性を確保する上で最善の立場にあることを保証するものである。これは、家庭や教室に持ち込まれる機器の安全性に対する信頼強化から、わが国の学校のサイバーインフラの安全確保まで、米国人が直面する日常的な懸念を和らげるためのバイデン大統領のコミットメントの最新の例である。 

 

CISANews

・2023.08.10 Back to School Month: Let’s Step Towards a Stronger and More Secure future for Our Nation’s Schools

 

Back to School Month: Let’s Step Towards a Stronger and More Secure future for Our Nation’s Schools 学校へ戻ろう月間: 我が国の学校のより強固で安全な未来に向けて一歩を踏み出そう
At the beginning of every August, I reflect on how fast our summer has gone and find it hard to believe that it’s back to school time for so many of our children. While some have already begun their new academic year, others are finishing up (or just starting) their summer reading and math packets. Many parents are rushing to get school supplies and required health forms filled out while others are sending their kids off to college. We know how busy this time of year is, but it’s also a reminder for K-12 administrators and communities to ensure they have identified ways to enhance the cybersecurity that protects students’ and their families’ sensitive information as well as the online platforms that our children rely on every day for their learning. Whether we are educators, administrators, have children in school or are employers who count on having graduates in our workforce, we all rely on our K-12 school systems having strong cybersecurity measures in place. 毎年8月が始まると、夏がいかに早く過ぎたかを振り返り、多くの子供たちが学校に戻る時期であることを信じがたく思う。すでに新学年が始まっている子もいれば、夏休みの読書や算数のパックを終えている(あるいは始めたばかりの)子もいる。学用品や必要な健康診断書の記入を急いでいる親も多いが、子供を大学に送り出す親もいる。この時期がいかに忙しいかは承知しているが、K-12の管理者や地域社会にとっては、生徒やその家族の機密情報を保護するサイバーセキュリティを強化する方法や、子どもたちが毎日学習に利用しているオンライン・プラットフォームを確実に保護する方法を確認するための注意喚起でもある。私たちが教育者であれ、管理者であれ、学校に通う子供を持つ者であれ、卒業生を労働力として期待する雇用主であれ、私たちは皆、K-12学校システムが強力なサイバーセキュリティ対策を導入していることを頼りにしている。
Schools are a target for cyberattacks because they hold valuable information such as staff and student personal data, but school districts often lack resources to build a comprehensive cybersecurity program. The recent expansion of school networks that was essential to providing remote learning during COVID-19 has left many K-12 schools “target rich, cyber poor.”   学校は職員や生徒の個人データなど貴重な情報を保持しているため、サイバー攻撃の標的となっているが、学区では包括的なサイバーセキュリティ・プログラムを構築するためのリソースが不足していることが多い。COVID-19での遠隔学習のプロバイダに不可欠であった学校ネットワークの最近の拡張は、多くのK-12学校を "ターゲット・リッチ、サイバー・プア "の状態にしている。  
With August’s back-to-school theme and yesterday’s White House event, “Back to School Safely: Cybersecurity for K-12 Schools,” the Cybersecurity and Infrastructure Agency (CISA) is working hard to make K-12 administrators and communities aware of the current cybersecurity threat environment facing schools while promoting resources schools can use to help protect against those threats. The recently published K-12 campaign page: Cybersecurity for K-12 Education | CISA centralizes many no to low-cost resources and identifies actions that school districts can take to improve their cybersecurity. It includes our Partnering to Safeguard K-12 Organizations from Cybersecurity Threats report, which identifies cybersecurity risks facing elementary and secondary schools, along with recommendations, cybersecurity guidelines, and a toolkit designed to help schools address these risks. You will also find links to several ransomware resources for K-12.   8月のバック・トゥ・スクールのテーマと、昨日のホワイトハウスのイベント「安全に学校に戻ろう: サイバーセキュリティ・インフラストラクチャ庁(CISA)は、学校が直面しているサイバーセキュリティの脅威環境の現状をK-12学校の管理者や地域社会に認識させるとともに、学校がこれらの脅威から身を守るために利用できるリソースの普及に努めている。最近公開された K-12 キャンペーンページ K-12教育のためのサイバーセキュリティ|CISA」は、低コストで利用できる多くのリソースを一元化し、学区がサイバーセキュリティを改善するために取るべき行動を特定している。これには、初等・中等教育機関が直面するサイバーセキュリティ・リスクを識別し、推奨事項、サイバーセキュリティ・ガイドライン、および学校がこれらのリスクに対処するために設計されたツールキットとともに、「サイバーセキュリティの脅威からK-12組織を守るための提携」レポートが含まれている。また、小中高校向けのランサムウェアに関するリソースへのリンクも掲載されている。  
We’re also working to apply Secure by Design principles to the K-12 sector. Consistent with the National Cybersecurity Strategy’s direction to shift the burden for cybersecurity onto those most capable, we want to ensure that education technology vendors take responsibility for the security outcomes of the customers. To that end, this week we convened education technology manufacturers for a Secure by Design workshop, where we discussed Secure by Design principles and tactics with company leadership and explored what unique challenges exist within the K-12 space. We look forward to further collaboration with these companies to help protect K-12 communities. Additionally, to better enable schools to evaluate products on the basis of security, we published guidance to K-12 organizations to help ensure that products they buy are Secure by Design. 我々はまた、セキュア・バイ・デザインの原則をK-12分野に適用することにも取り組んでいる。サイバーセキュリティのための負担を最も能力のある人々にシフトするという国家サイバーセキュリティ戦略の方向性と一致し、我々は教育技術ベンダーが顧客のセキュリティ成果に責任を持つことを保証したい。このため、今週、教育技術メーカーを集めてセキュア・バイ・デザインのワークショップを開催し、セキュア・バイ・デザインの原則と戦術について各社のリーダーと話し合い、幼稚園から高校までの領域でどのような独自の課題が存在するかを探った。我々は、K-12コミュニティの保護に貢献するため、これらの企業とのさらなる協力を期待している。さらに、学校がセキュリティの観点から製品を評価できるようにするため、K-12組織が購入する製品がセキュア・バイ・デザインであることを確認するためのガイダンスを発表した。
Let’s use August to expand the conversations, build the relationships, and take the next steps in making our K-12 schools more secure. Explore and widely share these resources, using them as building blocks as we work together to effectively cybersecure our K-12 schools. 8月を利用して、会話を広げ、関係を築き、K-12学校をより安全なものにするための次のステップを踏み出そう。K-12学校を効果的にサイバーセキュリティで保護するために協力するためのビルディング・ブロックとして、これらのリソースを探索し、広く共有しよう。

 

K-12のセキュリティのウェブページ...

といえば、まずここ...

Cybersecurity for K-12 Education

Protecting Our Future - Partnering to Safeguard K-12 Organizations from Cybersecurity Threats

 

K-12向けのランサムウェア対策のウェブページ

Stop Ransomware

 

子供向けの対策

・[PDF] CYBERSECURITY GUIDANCE FOR K-12 TECHNOLOGY ACQUISITIONS

20230814-133559

CYBERSECURITY GUIDANCE FOR K-12 TECHNOLOGY ACQUISITIONS 幼稚園児から高校生までの技術取得のためのサイバーセキュリティ・ガイダンス
BACKGROUND  背景 
The President’s National Cybersecurity Strategy outlines the need to shift the burden of security from customers to manufacturers. In line with this strategy, in April 2023, the Cybersecurity and Infrastructure Security Agency (CISA) and nine US and international agencies co-authored a whitepaper titled “Shifting the Balance of Cybersecurity Risk: Principles and Approaches for Security-by-Design and -Default.” CISA continues to engage the ecosystem on both the demand and supply sides to make a fundamental shift in addressing chronic and systemic problems in software products. This guidance is intended to help the K-12 education community acquire products that are “Secure by Design.”  大統領の国家サイバーセキュリティ戦略は、セキュリティの負担を顧客からメーカーに移す必要性を概説している。この戦略に沿って、2023年4月、サイバーセキュリティ・インフラセキュリティ庁(CISA)と米国および国際的な9つの機関が "Shifting the Balance of Cybersecurity Risk: Principles and Approaches for Security-by-Design and -Default "と題するホワイトペーパーを共同執筆した。CISAは、ソフトウェア製品における慢性的かつ体系的な問題に対処するための根本的な転換を図るため、需要側と供給側双方のエコシステムに関与し続けている。このガイダンスは、K-12 教育コミュニティが "セキュア・バイ・デザイン" の製品を取得するのを支援することを意図している。
CYBERSECURITY CHALLENGES FACING THE K12 COMMUNITY  K12 コミュニティが直面するサイバーセキュリティの課題 
As described in our report, Protecting Our Future: Partnering to Safeguard K-12 Organizations from Cybersecurity, the K12 education community faces a wide range of challenges: a dizzying number of vendors and technology products, diverse stakeholders from staff to students to families, constrained resources and expertise, an increasing numbers of devices, and large amounts of sensitive data to maintain. Leaders across the K-12 education community understand these risks and work every day to make progress. Despite these efforts, students and educators remain vulnerable to cyber threats and technology disruptions, which can have devastating effects, especially in the wake of the COVID-19 pandemic.  我々の報告書「未来を守る: サイバーセキュリティからK-12組織を守るためのパートナーシップ 」にあるように、K12の教育コミュニティは様々な課題に直面している。非常に多くのベンダーとテクノロジー製品、職員から生徒、家族まで多様な利害関係者、限られたリソースと専門知識、増加するデバイス数、 大量の機密データを管理しなければならない。K-12教育界の指導者たちは、こうしたリスクを理解し、日々進歩に努めている。こうした努力にもかかわらず、生徒や教育関係者は依然としてサイバー脅威やテクノロジーの混乱に脆弱であり、特にCOVID-19パンデミックの後では、壊滅的な影響をもたらす可能性がある。 
Schools, school districts, and families are at the mercy of vendors’ security and business decisions. However, every K-12 organization can help begin to shift the market together through technology contracting and purchasing decisions. The key is knowing that software can and should be designed securely and come with standard security features “out of the box.”  学校、学区、家庭は、ベンダーのセキュリティやビジネス上の決断に翻弄されている。しかし、すべてのK-12組織は、テクノロジー契約と購入の決定を通じて、市場を共にシフトし始める手助けをすることができる。重要なのは、ソフトウェアが安全に設計され、標準的なセキュリティ機能が "箱から出してすぐに "使えることを知ることである。
SECURE BY DESIGN PRINCIPLES  セキュア・バイ・デザインの原則 
There are three core principles to guide software manufacturers in building software security into their design processes prior to developing, configuring, and shipping their products.  ソフトウェア・メーカーが製品を開発、構成、出荷する前の設計プロセスにソフトウェア・セキュリティを組み込む際の指針となる3つの基本原則がある。
1.     Take ownership of customer security outcomes. Software manufacturers should measure their progress not merely on their efforts or investments to improve security, but the results of those efforts in customer environments. 1.     顧客のセキュリティ成果を所有する。ソフトウエアメーカは、セキュリティ改善のための努力や投資だけでなく、顧客環 境におけるそれらの努力の結果についても進捗を測定する必要がある。
2.     Embrace radical transparency and accountability. Software manufacturers should pride themselves in delivering safe and secure products, as well as differentiating themselves among the rest of the manufacturer community based on their ability to do so. 2.     抜本的な透明性と説明責任を受け入れる。ソフトウエアメーカーは、安全でセキュアな製品を提供することに誇りを持つととも に、その能力によって他のメーカーとの差別化を図るべきである。
3.     Build organizational structure and leadership to achieve these goals. While technical expertise is critical to product security, senior executives are the primary decision makers for implementing change in an organization. 3.     これらの目標を達成するための組織構造とリーダーシップを構築する。製品セキュリティにとって技術的な専門知識は不可欠であるが、上級管理職は、組織における変革を実施するための主要な意思決定者である。
CONSIDERATIONS FOR TECHNOLOGY VENDORS  テクノロジー・ベンダーにとっての考慮事項 
Below are key cybersecurity considerations that CISA recommends K12 Education organizations incorporate in strategic acquisitions, upgrades, and/or improvements to their technology environment.  These represent general considerations that CISA recommends education organizations address in negotiations with vendors and adapt to the unique specifications of the software product or service in procurement.   以下は、CISA が K12 Education 組織に対して、テクノロジー環境の戦略的な取得、アップグレード、および/または改善において組み込むことを推奨する、サイバーセキュリティに関する主な考慮事項である。 これらは、CISA が教育機関に対し、ベンダーとの交渉において対処し、調達するソフトウェア製品またはサービスの固有の仕様に適合させることを推奨する一般的な考慮事項を表している。 
1.     Many intrusions occur because a product has not been patched, a problem that can be most effectively addressed if the product has automatic security updates enabled by default. K-12 education entities should require all products to provide automatic security updates. 1.     侵入の多くは、製品にパッチが適用されていないために発生する。この問題は、製品がデフォルトで自動セキュリティ更新を有効にしていれば、最も効果的に対処できる。K-12教育事業体は、すべての製品に自動セキュリティアップデートの提供を義務付けるべきである。
2.     Many products do not come with the ability to collect and store information necessary to detect cyber threats. K12 education entities should ensure that all products collect, aggregate, and analyze high-quality security logs without additional cost. 2.     多くの製品には、サイバー脅威の検知に必要な情報を収集・保存する機能がついていない。K12教育事業体は、すべての製品が追加コストなしに高品質のセキュリティログを収集、集計、分析できるようにすべきである。
3.     Multifactor authentication, particularly using approaches that are resistant to phishing attacks, is the single most effective measure to prevent cyber intrusions. K-12 education entities should require all products to enable multifactor authentication as a default setting without additional charge. 3.     多要素認証、特にフィッシング攻撃に耐性のあるアプローチを使用することは、サイバー侵入を防ぐための唯一で最も効果的な対策である。K-12教育事業体は、すべての製品に対して、追加料金なしでデフォルト設定として多要素認証を有効にすることを義務付けるべきである。
4.     Threat actors frequently look for and compromise networks using default passwords. K-12 education entities should require all products to cease the use of default passwords. Some examples include implementing randomly generated passwords or requiring a password change immediately upon deployment. 4.     脅威行為者は、デフォルトのパスワードを使用したネットワークを頻繁に探し、侵害する。K-12 教育事業体は、すべての製品に対し、デフォルト・パスワードの使用を中止するよう求めるべきである。例としては、ランダムに生成されるパスワードの実装や、導入時に直ちにパスワードの変更を要求することなどがある。
5.     Once a threat actor compromises a network, they often seek to compromise administrative or privileged users. K12 education entities should require all products to come with role-based access control (RBAC) that minimizes the number of individuals with elevated privileges. 5.     脅威行為者がネットワークに侵入すると、多くの場合、管理者や特権ユーザーを侵害しようとする。K12教育事業体は、すべての製品に役割ベースのアクセス制御(RBAC)を搭載し、昇格した権限を持つ個人の数を最小限に抑えることを義務付けるべきである。
6.     Many vulnerabilities that result in damaging intrusions can be addressed by designing software more securely. K12 education entities should require all product vendors to establish a Secure by Design roadmap to fully implement the National Institute for Standards and Technology (NIST)’s Secure Software Development Framework (SSDF). 6.     有害な侵入につながる脆弱性の多くは、ソフトウェアをより安全に設計することで対処できる。K12 教育事業体は、すべての製品ベンダーに対し、国立標準技術研究所(NIST)のセキュアソフトウェア開発フレームワーク(SSDF)を完全に実装するためのセキュア・バイ・デザイン(Secure by Design)ロードマップを確立するよう求めるべきである。
7.     Many vulnerabilities can be found and fixed before a product is sold to customers. K-12 education entities should require all product vendors to establish a program to test software and detect and fix vulnerabilities prior to customer deployment. 7.     多くの脆弱性は、製品が顧客に販売される前に発見し、修正することができる。K-12教育事業体は、すべての製品ベンダーに対し、顧客に配備する前にソフトウェアをテストし、脆弱性を検出して修正するプログラムを確立するよう求めるべきである。
8.     Finally, some vulnerabilities are likely to persist even for vendors with strong security programs. It is essential that these vulnerabilities are found before they can be exploited by a malicious actor. K-12 education entities should require all product vendors to establish a vulnerability disclosure program providing authorization for security researchers to test for and report vulnerabilities. 8.     最後に、一部の脆弱性は、強力なセキュリティプログラムを持つベンダーであっても、存続する可能性が高い。これらの脆弱性は、悪意ある行為者に悪用される前に発見することが不可欠である。K-12教育事業体は、すべての製品ベンダーに対し、セキュリティ研究者が脆弱性をテストし、報告する権限を提供する脆弱性開示プログラムの確立を要求すべきである。
WHERE TO GO FOR FURTHER INFORMATION  さらに詳しい情報を得るには 
These considerations are a start on your journey toward generating demand for more secure technology products in the K-12 education community. これらの検討事項は、K-12教育コミュニティにおいて、より安全なテクノロジー製品への需要を喚起するための出発点である。
For more information, we encourage you to read the Secure by Design white paper, the forthcoming Principles and Evidence, and future publications from CISA and the Secure by Design team. Additional information can be found at cisa.gov/SecureByDesign. We also encourage you to engage with your regional Cyber Security Advisor (more information at cisa.gov/about/regions)  and email us at SecureByDesign@cisa.dhs.gov.  詳細については、Secure by Designホワイトペーパー、近刊予定のPrinciples and Evidence、およびCISAとSecure by Designチームによる今後の出版物を読むことをお勧めする。追加情報は、cisa.gov/SecureByDesignに掲載されている。また、各地域のサイバーセキュリティ・アドバイザー(詳細はcisa.gov/about/regionsを参照)やSecureByDesign@cisa.dhs.gov。

 

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.08.13 米国 FBI 生徒と携帯電話の安全のためにデジタル保護の構築 (2023.08.08)

・2022.12.03 米国 GAO K-12(幼稚園から高校まで)の学校へのサイバー攻撃が増加している...その対応は?

・2023.08.02 米国 国家サイバー人材・教育戦略

・2022.10.22 米国 GAO 重要インフラの防御:K-12サイバーセキュリティを強化するためには、連邦政府のさらなる調整が必要である。

・2021.10.12 米国 K-12サイバーセキュリティ法2012

・2021.01.24 CISA ランサムウェアのリスクを低減するためのキャンペーンを開始し、ランサムウェア対策のサイトを立ち上げていますね。。。

 

| | Comments (0)

米国 CISA他 情報提供依頼: オープンソースソフトウェア・セキュリティ: 長期的な重点分野と優先順位付け

こんにちは、丸山満彦です。

オープンソースは、公共財という考えのもと、オープンソース・ソフトウェア・セキュリティ・イニシアティブ (Open-Source Software Security Initiative; OS3I) を立ち上げ、公共財のセキュリティを確保することは、国として重要であろうということで、国家サイバー長官室(ONCD)、サイバーセキュリティ・インフラセキュリティ保障局(CISA)、米国科学財団(NSF)、国防高等研究計画局(DARPA)、行政管理予算局(OMB)がオープンソース・ソフトウェア・セキュリティの長期的な重点分野と優先順位付けについての意見募集(情報提供依頼 RFI)をしていますね。。。

ここに至るには、SolarWinds、Log4jの事件の影響は大きかったでしょうね。。。

ちなみに想定している重点分野等...

Potential Areas of Focus 想定される重点分野
• Area: Secure Open-Source Software Foundations • 分野:セキュアなオープンソースソフトウェアの基盤
○ Sub-area: Fostering the adoption of memory safe programming languages ○ サブ分野:メモリ安全プログラミング言語の採用の促進
○ Sub-Area: Reducing entire classes of vulnerabilities at scale ○ サブ分野:脆弱性のクラス全体の大規模な削減
○ Sub-Area: Strengthening the software supply chain ○ サブ分野:ソフトウェアのサプライチェーンの強化
○ Sub-Area: Developer education ○ サブ分野:開発者教育
• Area: Sustaining Open-Source Software Communities and Governance • 分野: オープンソースソフトウェアコミュニティとガバナンスの維持
• Area: Behavioral and Economic Incentives to Secure the Open-Source Software cosystem • 分野:オープンソースソフトウェアのコシステムを保護するための行動的・経済的インセンティブ
• Area: R&D/Innovation • 分野:研究開発/イノベーション
• Area: International Collaboration • 分野:国際協力

 

Regulation.gov

・2023.08.10 Request for Information: Open-Source Software Security: Areas of Long-Term Focus and Prioritization

Request for Information: Open-Source Software Security: Areas of Long-Term Focus and Prioritization 情報提供依頼: オープンソースソフトウェア・セキュリティ: 長期的な重点分野と優先順位付け
Action 行動
Request for information (RFI). 情報提供要請(RFI)。
Summary 概要
The Office of the National Cyber Director (ONCD), the Cybersecurity Infrastructure Security Agency (CISA), the National Science Foundation (NSF), the Defense Advanced Research Projects Agency (DARPA), and the Office of Management and Budget (OMB) invite public comments on areas of long-term focus and prioritization on open-source software security. 国家サイバー長官室(ONCD)、サイバーセキュリティ・インフラセキュリティ保障局(CISA)、米国科学財団(NSF)、国防高等研究計画局(DARPA)、および行政管理予算局(OMB)は、オープンソースソフトウェアのセキュリティに関する長期的な重点分野と優先順位付けに関するパブリックコメントを募集する。
Supplementary Information 補足情報
As highlighted in the National Cybersecurity Strategy, and its Implementation Plan Initiative 4.2.1, the ONCD has established an Open-Source Software Security Initiative (OS3I) to champion the adoption of memory safe programming languages and open-source software security. The security and resiliency of open-source software is a national security, economic, and a technology innovation imperative. Because open-source software plays a vital and ubiquitous role across the Federal Government and critical infrastructure, (1) vulnerabilities in open-source software components may cause widespread downstream detrimental effects. The Federal Government recognizes the immense benefits of open-source software, which enables software development at an incredible pace and fosters significant innovation and collaboration. In light of these factors, as well as the status of open-source software as a free public good, it may be appropriate to make open-source software a national public priority to help ensure the security, sustainability, and health of the open-source software ecosystem. 国家サイバーセキュリティ戦略およびその実施計画イニシアティブ4.2.1で強調されているように、ONCDは、メモリ安全プログラミング言語とオープンソースソフトウェアセキュリティの採用を支持するために、オープンソースソフトウェアセキュリティイニシアティブ(OS3I)を設立した。オープンソースソフトウェアのセキュリティとレジリエンスは、国家安全保障、経済、そして技術革新の急務である。オープンソースソフトウェアは、連邦政府および重要なインフラにおいて重要かつユビキタスな役割を果たしているため、(1) オープンソースソフトウェアコンポーネントの脆弱性は、下流に広く悪影響を及ぼす可能性がある。連邦政府は、オープンソースソフトウェアの多大な利点を認識している。オープンソースソフトウェアは、驚異的なスピードでソフトウェア開発を可能にし、多大なイノベーションとコラボレーションを促進する。これらの要因に加え、オープンソースソフトウェアが無償の公共財であることを考慮すると、オープンソースソフトウェアのエコシステムの安全性、持続可能性、健全性を確保するために、オープンソースソフトウェアを国家公共優先事項とすることが適切であろう。
In 2021, following the aftermath of the Log4Shell vulnerability, ONCD in collaboration with the Office of Management and Budget's (OMB) Office of the Federal Chief Information Officer (OFCIO), established the Open-Source Software Security Initiative (OS3I) interagency working group with the goal of channeling government resources to foster greater open-source software security. Since then, OS3I has welcomed many other interagency partners, including the Cybersecurity Infrastructure Security Agency (CISA), the National Science Foundation (NSF), Defense Advanced Research Projects Agency (DARPA), National Institute of Standards and Technology (NIST), Center for Medicare & Medicaid Services (CMS), and Lawrence Livermore National Laboratory (LLNL) in order to identify open-source software security priorities and implement policy solutions. 2021年、Log4Shellの脆弱性の余波を受け、ONCDは、政府管理予算局(OMB)の連邦最高情報責任者室(OFCIO)と共同で、オープンソースソフトウェアのセキュリティを強化するために政府のリソースを活用することを目的に、オープンソースソフトウェアセキュリティイニシアティブ(OS3I)省庁間ワーキンググループを設立した。それ以来、OS3I は、オープンソースソフトウェアセキュリティの優先事項を特定し、政策的解決策を実施するために、サイバーセキュリティ・インフラセキュリティ庁(CISA)、国家科学財団(NSF)、国防高等研究計画局(DARPA)、国立標準技術研究所(NIST)、メディケア&メディケイドサービスセンター(CMS)、ローレンス・リバモア国立研究所(LLNL)など、多くの省庁間パートナーを迎えてきた。
Over the past year, OS3I identified several focus areas, including: (1) reducing the proliferation of memory unsafe programming languages; (2) designing implementation requirements for secure and privacy-preserving security attestations; and (3) identifying new focus areas for prioritization. 過去1年間で、OS3Iは、(1)メモリが安全でないプログラミング言語の拡散を減らすこと、(2)安全でプライバシーを保護するセキュリティ証明の実装要件を設計すること、(3)優先順位をつけるための新しい重点分野を特定すること、を含むいくつかの重点分野を特定した。
This Request for Information (RFI) aims to further the work of OS3I by identifying areas most appropriate to focus government priorities, and addressing critical questions such as: この情報提供要請書(RFI)は、政府の優先事項に最も適した分野を特定し、次のような重要な問題に取り組むことにより、OS3Iの活動を促進することを目的としている:
How should the Federal Government contribute to driving down the most important systemic risks in open-source software? 連邦政府は、オープンソースソフトウェアにおける最も重要なシステミック・リスクの低減にどのように貢献すべきか?
How can the Federal Government help foster the long-term sustainability of open-source software communities? 連邦政府は、オープンソースソフトウェアコミュニティの長期的な持続可能性の促進にどのように貢献できるか?
How should open-source software security solutions be implemented from a technical and resourcing perspective? オープンソースソフトウェアのセキュリティソリューションは、技術的・人材的観点からどのように実装されるべきか?
This RFI represents a continuation of OS3I's efforts to gather input from a broad array of stakeholders. このRFIは、幅広い利害関係者から意見を集めるというOS3Iの努力の継続を意味する。
Three-Phase RFI Approach 三段階のRFIのアプローチ
For this RFI, the Government intends to engage with interested parties in three phases: 本RFIにおいて、政府は3つのフェーズで関係者に関与することを意図している:
Phase I—Addressing Respondent Questions About this RFI 第1段階-本RFIに関する対応者の質問への対応
• If you have any questions about the context of the Government's RFI, the processes described, or the numbered topics below, you may send them to OS3IRFI@ncd.eop.gov by August 18, 2023. • 政府のRFIの背景、説明されているプロセス、または以下の番号付けされたトピックについて質問 がある場合は、2023年8月18日までにOS3IRFI@ncd.eop.gov。
• By August 28, 2023, the Government will post responses to select questions on www.regulations.gov, as appropriate. • 政府は、2023 年 8 月 28 日までに、一部の質問に対する回答を www.regulations.gov に掲載する。
Phase II—Submittal of Responses to the RFI by Interested Respondents フェーズⅡ-関心のある対応者によるRFIへの回答の提出
• By October 9, 2023, all interested respondents should submit a written RFI response, in MS Word or PDF format, focusing on questions for which they have expertise and insights for the Government (no longer than 10 pages typed, size eleven font) to OS3IRFI@ncd.eop.gov with the email subject header “Open-Source Software Security RFI Response” and your organization's name. • 2023年10月9日までに、関心のあるすべての回答者は、MSワードまたはPDF形式で、専門知識と洞察力を政府に提供する質問に焦点を当てたRFI回答書(タイプ10ページ以内、フォントサイズ11)を、電子メールの件名ヘッダ「オープンソースソフトウェアセキュリティRFI対応」と組織名を添えて、OS3IRFI@ncd.eop.gov。
Title page, cover letter, table of contents, and appendix are not included within the 10-page limit. In the body of the email, also include contact information for your organization (POC Name, Title, Phone, Email, Organization Name, and Organization Address). タイトルページ、カバーレター、目次、附属書は10ページの制限に含まれない。メール本文には、所属組織の連絡先情報(POC名、役職、電話、Eメール、組織名、組織住所)も記載すること。
Phase III—Government Review 第III段階-ガバナンスレビュー
The Government reviews and publishes the RFI responses submitted during Phase II. The Government may select respondents to engage with the RFI project team to elaborate on their response to the RFI. 政府は、第Ⅱ段階で提出されたRFI回答を審査し、公表する。政府は、RFIプロジェクトチームと連携し、RFIへの対応について詳しく説明する回答 者を選定する場合がある。
Participation, or lack thereof, in this RFI process has no bearing on a party's ability or option to choose to participate in or receive an award for any future solicitation or procurement resulting from this or any other activity. 本RFIプロセスへの参加または不参加は、本活動またはその他の活動から生じる将来の募集ま たは調達に参加すること、または賞を受けることを選択する当事者の能力または選択肢に影響を与えない。
Questions for Respondents 対応者への質問
We are seeking insights and recommendations as to how the Federal Government can lead, assist, or encourage other key stakeholders to advance progress in the potential areas of focus described below. 我々は、連邦政府が以下に記載される潜在的な重点分野において前進するために、他の主要な利害関係者 をどのように先導し、支援し、奨励することができるかについての洞察と提言を求めている。
Please consider providing input on these areas by addressing the questions below: 以下の質問に答えることで、これらの分野について意見を提供することを検討されたい:
Which of the potential areas and sub-areas of focus described below should be prioritized for any potential action? Please describe specific policy solutions and estimated budget and timeline required for implementation. 以下の重点分野のうち、どの分野に優先的に取り組むべきか。具体的な政策解決策と、実施に必要な予算と時期の見積もりを説明してほしい。
What areas of focus are the most time-sensitive or should be developed first? どの重点分野が最も時間的制約が大きいか、あるいは最初に開発されるべきか。
What technical, policy or economic challenges must the Government consider when implementing these solutions? 政府がこれらの解決策を実施する際に考慮すべき技術的、政策的、経済的課題は何か。
Which of the potential areas and sub-areas of focus described below should be applied to other domains? How might your policy solutions differ? 以下に述べる潜在的な重点分野や小分野のうち、他の領域にも適用すべきものはどれか。あなたの政策解決策はどのように異なる可能性があるか?
Respondents are not required to respond to every topic and are encouraged to focus on specific areas that meet their specialized expertise. 回答者は、すべてのトピックに回答する必要はなく、各自の専門性を満たす特定の分野に重点を置くことが奨励される。
Potential Areas of Focus 想定される重点分野
• Area: Secure Open-Source Software Foundations • 分野:セキュアなオープンソースソフトウェアの基盤
○ Sub-area: Fostering the adoption of memory safe programming languages ○ サブ分野:メモリ安全プログラミング言語の採用の促進
 ・Supporting rewrites of critical open-source software components in memory safe languages  ・重要なオープンソースソフトウェアコンポーネントのメモリ安全言語への書き換えを支援する。
 ・Addressing software, hardware, and database interdependencies when refactoring open-source software to memory safe languages  ・オープンソースソフトウェアをメモリ安全な言語にリファクタリングする際に、ソフトウェア、ハードウェ ア、データベースの相互依存性に対処する。
 ・Developing tools to automate and accelerate the refactoring of open-source software components to memory safe languages, including code verification techniques  ・オープンソースソフトウェアコンポーネントのメモリ安全言語へのリファクタリングを自動化・高速化するツールの開発(コード検証技術を含む
 ・Other solutions to support this sub-area  ・このサブ分野をサポートするその他の解決策
○ Sub-Area: Reducing entire classes of vulnerabilities at scale ○ サブ分野:脆弱性のクラス全体の大規模な削減
 ・Increasing secure by default configurations for open-source software development  ・オープンソースソフトウェア開発におけるセキュアなデフォルト設定の増加
 ・Fostering open-source software development best practices, including but not limited to input validation practices  ・オープンソースソフトウェア開発のベストプラクティスを育成する。
 ・Identifying methods to incentivize scalable monitoring and verification efforts of open-source software by voluntary communities and/or public-private partnerships  ・自主的なコミュニティ及び/又は官民パートナーシップによる、オープンソースソフトウェアのスケーラブルな監視及び検証の取り組みを奨励する方法を識別する。
 ・Other solutions to support this sub-area ・このサブ分野を支援するその他の解決策
○ Sub-Area: Strengthening the software supply chain ○ サブ分野:ソフトウェアのサプライチェーンの強化
 ・Designing tools to enable secure, privacy-preserving security attestations from software vendors, including their suppliers and open-source software maintainers  ・サプライヤやオープンソースソフトウェアのメンテナを含むソフトウエアベンダーによる、安全でプライバシーを保持したセキュリ ティ証明を可能にするツールを設計する。
 ・Detection and mitigation of vulnerable and malicious software development operations and behaviors  ・脆弱性及び悪意のあるソフトウ ェアの開発作業や挙動を検知 し、低減する
 ・Incorporating automated tracking and updates of complex code dependencies  ・複雑なコード依存関係の自動追跡と更新を組み込む
 ・Incorporating zero trust architecture into the open-source software ecosystem  ・ゼロ・トラスト・アーキテクチャをオープンソースソフトウェアのエコシステムに組み込む。
 ・Other solutions to support this sub-area  ・このサブ分野をサポートするその他の解決策
○ Sub-Area: Developer education ○ サブ分野:開発者教育
 ・Integrating security and open-source software education into computer science and software development curricula  ・セキュリティとオープンソースソフトウェアに関する教育をコンピュータサイエンスとソフトウエア開発のカリキュラムに組み込む
 ・Training software developers on security best practices  ・セキュリティのベストプラクティスについてソフト ウェア開発者を訓練する
 ・Training software developers on memory safe programming languages  ・ソフトウエア開発者にメモリ安全 プログラミング言語を教育する
 ・Other solutions to support this sub-area  ・このサブ分野をサポートするその他の解決策
• Area: Sustaining Open-Source Software Communities and Governance • 分野: オープンソースソフトウェアコミュニティとガバナンスの維持
○ Sustaining the open-source software ecosystem (including developer communities, non-profit investors, and academia) to ensure that critical open-source software components have robust maintenance plans and governance structures ○ オープンソースソフトウェアのエコシステム(開発者コミュニティ、非営利投資家、アカデミアを含む)を維持し、重要なオープンソースソフトウェアコンポーネントの強固な保守計画とガバナンス体制を確保する。
○ Other solutions to support this sub-area ○ このサブ分野をサポートするその他の解決策
• Area: Behavioral and Economic Incentives to Secure the Open-Source Software cosystem • 分野:オープンソースソフトウェアのコシステムを保護するための行動的・経済的インセンティブ
○ Frameworks and models for software developer compensation that incentivize secure software development practices ○ 安全なソフトウェア開発の実践を奨励する、ソフトウェア開発者報酬のフレームワークとモデル
○ Applications of cybersecurity insurance and appropriately-tailored software liability as mechanisms to incentivize secure software development and operational environment practices ○ 安全なソフトウェア開発と運用環境の実践を動機付ける仕組みとして、サイバーセキュリティ保険と適切に調整されたソフトウ ェア賠償責任を適用する。
○ Other solutions to support this sub-area ○ このサブ分野を支援するその他の解決策
• Area: R&D/Innovation • 分野:研究開発/イノベーション
○ Application of artificial intelligence and machine learning techniques to enhance and accelerate cybersecurity best practices with respect to secure software development ○ 安全なソフトウエア開発に関するサイバーセキュリティのベストプラクティスを強化・加速するための人工知能と機械学習技 術の応用
○ Other solutions to support this sub-area ○ このサブ分野を支援するその他の解決策
• Area: International Collaboration • 分野:国際協力
○ Methods for identifying and harmonizing shared international priorities and dependencies ○ 国際的に共有される優先事項や依存関係を識別し、調和させるための手法
○ Structures for intergovernmental collaboration and collaboration with various open-source software communities ○ 政府間連携やオープンソースソフトウェアの各種コミュニティとの連携のための仕組み
○ Other solutions to support this sub-area ○ このサブ分野を支援するその他の解決策
This RFI seeks public input as the Federal Government develops its strategy and action plan to strengthen the open-source software ecosystem. We hope that potential respondents will view this RFI as a civic opportunity to help shape the government's thinking about open-source software security. このRFIは、連邦政府がオープンソースソフトウェアのエコシステムを強化するための戦略と行動計画を策定するにあたり、一般からの意見を求めるものである。回答者候補には、このRFIを、オープンソースソフトウェアのセキュリティに関する政府の考え方を形成する一助となる市民的な機会として捉えていただきたい。
Comments must be received no later than 5:00 p.m. ET October 9, 2023. 意見は、2023年10月9日午後5時(米国東部時間)までに提出されなければならない。
By October 9, 2023, all interested respondents should submit a written RFI response, in MS Word or PDF format, with their answers to questions on which they have expertise and insights for the Government through www.regulations.gov. 2023年10月9日までに、関心のあるすべての回答者は、www.regulations.gov、専門知識と洞察力を政府に提供する質問に対する回答を、MS WordまたはPDF形式でRFI対応文書として提出すること。
The written RFI response should address ONLY the topics for which the respondent has expertise. Inputs that meet most of the following criteria will be considered most valuable: RFI回答書は、回答者が専門知識を有するトピックのみを扱うものとする。以下の基準のほとんどを満たすものは、最も価値があるとみなされる:
Easy for executives to review and understand: Content that is modularly organized and presented in such a fashion that it can be readily lifted (by topic area) and shared with relevant executive stakeholders in an easily consumable format. 経営幹部が確認し理解しやすい: モジュール化されたコンテンツは、(トピックエリアごとに)容易に持ち出すことができ、消費しやすいフォーマットで関連する経営幹部の利害関係者と共有できるように提示される。
• Expert: The Government, through this effort, is seeking insights to understand current best practices and approaches applicable to the above topics, as well as new and emerging solutions. The written RFI response should address ONLY the topics for which the respondent has knowledge or expertise. 専門家:ガバナンス政府は,この取り組みを通じて,上記のトピックに適用可能な現在のベストプラクティスやアプローチ,また新しいソリューションや新たなソリューションを理解するための見識を求めている。RFI の回答書は,回答者が知識または専門性を有するトピックのみを取り上げること。
• Clearly worded/not vague: Clear, descriptive, and concise language is appreciated. Please avoid generalities and vague statements. 明確な表現/曖昧でないこと: 明確、説明的、簡潔な表現が望まれる。一般論や曖昧な表現は避けること。
 Actionable: Please provide enough high-level detail so that we can understand how to apply the information you provide. Wherever possible, please provide credible data and specific examples to support your views. If you cite academic or other studies, they should be publicly available to be considered. 実行可能であること: 提供された情報をどのように適用するかを理解できるよう、十分なレベルの詳細を提供すること。可能な限り、信頼できるデータと具体的な例を示し、あなたの意見を支持すること。学術的な研究などを引用する場合は、公開されているものであることが望ましい。
• Cost effective & impactful: Respondents should consider whether their suggestions have a clear return on investment that can be articulated to secure funding and support. 費用対効果が高く、インパクトがある: 対応者は、その提案が、資金や支援を確保するために明示できる明確な投資対効果を持つかどうかを検討すべきである。
• “Gordian Knot” solutions and ideas: Occasionally, challenges that seem to be intractable and overwhelmingly complex can be resolved with a change in perspective that unlocks hidden opportunities and aligns stakeholder interests. We welcome these ideas as well. ゴルディアスの結び目」の解決策とアイデア: 時には、難解で圧倒的に複雑に見える課題も、視点を変えることで隠れた機会を引き出し、利害関係者の利害を一致させることで解決できることがある。このようなアイデアも歓迎する。
• All submissions are public records and may be published on www.regulations.gov. Do NOT submit sensitive, confidential, or personally identifiable information. • 提出されたものはすべて公文書となり、www.regulations.gov に掲載される可能性がある。 機微情報、機密情報、個人を特定できる情報は提出しないこと。
An additional appendix of no more than 5 pages long may also be included. This section should only include additional context about you or your organization. 5ページ以内の附属書を添付することもできる。このセクションには、あなたまたはあなたの組織に関する追加情報のみを記載すること。
Privacy Act Statement 個人情報保護法に関する声明
Submission of comments is voluntary. The information will be used to determine focus and priority areas for open-source software security and memory-safety. Please note that all comments received in response to this notice will be posted in their entirety to http://www.regulations.gov, including any personal and business confidential information provided. Do not include any information you would not like to be made publicly available. コメントの提出は任意である。この情報は、オープンソースソフトウェアのセキュリティとメモリ安全性についての焦点と優先分野を決定するために使用される。この通知に対して寄せられたコメントはすべて、提供された個人情報および企業機密情報を含め、その全体が http://www.regulations.gov に掲載されることに留意されたい。公開されたくない情報は含めないこと。
Kemba E. Walden, ケンバ・E・ウォルデン
Acting National Cyber Director. 国家サイバー長官代理
[FR Doc. 2023–17239 Filed 8–9–23; 8:45 am] [FR Doc. 2023-17239 Filed 8-9-23; 8:45 am].
BILLING CODE 3340–D3–P 請求コード 3340-D3-P
Footnotes 脚注
(1)  “2023 Open-Source Security and Risk Analysis Report,” Synopsys, February 22, 2023, ( [web] ). (1) 「2023 年オープンソース・セキュリティ・リスク分析レポート」、シノプシス、2023 年 2 月 22 日、( [web] ).

 

 


 

CISAのブログ...

CISANews

・2023.08.10 We Want Your Input to Help Secure Open Source Software

We Want Your Input to Help Secure Open Source Software オープンソースソフトウェアの安全性を確保するためにあなたの意見を聞きたい
By: Eric Goldstein, Executive Assistant Director of Cybersecurity at the Cybersecurity and Infrastructure Security Agency (CISA), and Camille Stewart Gloster, Deputy National Cyber Director for Technology and Ecosystem Security at the White House Office of the National Cyber Director (ONCD) 発表者:サイバーセキュリティ・インフラ保障局(CISA)サイバーセキリティ担当エグゼクティブ・アシスタント・ディレクター エリック・ゴールドスタイン、ホワイトハウス国家サイバー局長室(ONCD)技術・エコシステムセキュリティ担当副国家サイバー局長 カミーユ・スチュワート・グロスター両氏
Today, the Cybersecurity and Infrastructure Security Agency (CISA)the Office of the National Cyber Director (ONCD), the National Science Foundation (NSF), the Defense Advanced Research Projects Agency (DARPA), and the Office of Management and Budget (OMB) are announcing a request for information (RFI) to receive your input on where the government should focus areas for prioritization to secure open source software. This represents a continuation of the National Cybersecurity Strategy’s focus on open source software security and CISA’s related Secure by Design work. If you are a member of the open source software community or work to secure open source software, we want to hear from you.   本日、サイバーセキュリティ・インフラセキュリティ庁(CISA)、国家サイバー局長室(ONCD)、全米科学財団(NSF)、国防高等研究計画局(DARPA)、および行政管理予算局(OMB)は、オープンソースソフトウェアの安全性を確保するために政府が優先的に取り組むべき分野について、皆様からご意見をいただくための情報提供要請(RFI)を発表する。これは、国家サイバーセキュリティ戦略がオープンソースソフトウェアのセキュリティに焦点を当てたことと、CISAが関連するSecure by Designの作業を継続することを意味する。オープンソースソフトウェアコミュニティのメンバー、またはオープンソースソフトウェアのセキュリティ確保に取り組んでいる方は、ぜひご連絡いただきたい。  
Open source software is the foundation for much of the technology that serves as a backbone of our world. CISA, ONCD, and our federal partners are on a mission to ensure that open source software is as safe, secure, and sustainable as it is open. Open source refers to software that is made freely available for anyone to access, modify, utilize and redistribute. Providing the foundation for 96% of the world’s software, open source software is a public good enabling a software ecosystem that includes the open source community, federal government, critical infrastructure, private industry and civil society to innovate, collaborate and develop at speed オープンソースソフトウェアは、我々の世界のバックボーンとして機能する多くの技術の基盤である。CISA、ONCD、そして連邦政府のパートナーは、オープンソース・ソフトウェアがオープンであるのと同様に安全で、セキュアで、持続可能であることを保証する使命を担っている。オープンソースとは、誰でも自由にアクセス、変更、利用、再配布できるようにしたソフトウェアのことである。世界のソフトウェアの96%の基礎を提供するオープンソースソフトウェアは、オープンソースコミュニティ、連邦政府、重要インフラ、民間産業、市民社会を含むソフトウェア・エコシステムが革新、協力、そしてスピードある開発を行うことを可能にする公共財である。 
We can only fully realize the benefits of open source software when everyone – including the federal government – plays their part in supporting the ecosystem. The federal government is one of the largest users of open source software in the world, and we must do our part to help secure it. This requires widescale efforts to help uplift the level of security in the open source ecosystem 連邦政府を含むすべての人々が、エコシステムのサポートにそれぞれの役割を果たすことで、初めてオープンソースソフトウェアの恩恵を十分に享受することができる。 連邦政府は、オープンソースソフトウェアの世界最大のユーザーのひとつであり、その安全性を確保するために、われわれもその役割を果たさなければならない。そのためには、オープンソースのエコシステムのセキュリティレベルを向上させるための広範な取り組みが必要である。 
Such instances of once-in-a-generation government investment are not unprecedented. In 1956, President Eisenhower signed the Federal Aid Highway Act of 1956 into law, authorizing $25 billion to build 41,000 miles of highways over a decade. In the decades following the legislation, the investment yielded profound dividends for the United States: one report found that every $1 spent returned more than $6 in economic productivity. Further, the highway system has led to dramatic safety improvements, with the fatality rate of the highway system significantly lower than that of the average road, and nearly one-tenth of the national fatality rate in 1956 このような一世代に一度の政府投資は、前例がないわけではない。1956年、アイゼンハワー大統領は、10年間で41,000マイルの高速道路を建設するために250億ドルを承認する1956年連邦補助道路法に署名した。ある報告書によれば、1ドルの支出につき6ドル以上の経済生産性がもたらされたという。さらに、ハイウェイ・システムは劇的な安全性改善をもたらし、ハイウェイ・システムの死亡率は平均的な道路の死亡率よりも大幅に低く、1956年の国の死亡率のほぼ10分の1であった。 
While the scale of investment in the highway system may be different than what’s needed with our digital infrastructure, the first step is understanding what kinds of investment need to be made. What might a potential digital public works program for open source software infrastructure look like? Perhaps it would include rewriting critical open-source components in memory-safe languages, ensuring that security is a core part of all software development education, or helping build sustainable governance models in open source communities. We want to hear from you around what areas should be prioritized for fostering greater open source software security.  高速道路システムに対する投資の規模は、デジタル・インフラに必要なものとは異なるかもしれないが、まずはどのような投資が必要かを理解することから始まる。オープンソースソフトウェア・インフラストラクチャのためのデジタル公共事業プログラムとはどのようなものだろうか?おそらく、重要なオープンソース・コンポーネントをメモリ・セーフな言語で書き直すことや、すべてのソフトウェア開発教育の中核にセキュリティを据えること、あるいはオープンソースコミュニティにおける持続可能なガバナンス・モデルの構築を支援することなどが含まれるだろう。オープンソースソフトウェアのセキュリティを強化するために、どのような分野に優先的に取り組むべきか、皆さんのご意見をお聞かせいただきたい。 
Securing open source software is critical for achieving a software ecosystem that exemplifies Secure by Design principles. We envision an ecosystem in which creating secure open source code and regularly assessing the security of existing open source code is the norm rather than an added burden. As part of this, software manufacturers that consume open source software should contribute back to the security of the open source software they depend upon オープンソースソフトウェアのセキュリティ確保は、セキュア・バイ・デザインの原則を模範とするソフトウェア・エコシステムを実現するために不可欠である。私たちは、安全なオープンソース・コードを作成し、既存のオープンソース・コードのセキュリティを定期的に評価することが、負担を増やすのではなく、当たり前のエコシステムを構想している。その一環として、オープンソースソフトウェアを利用するソフトウェアメーカーは、依存するオープンソースソフトウェアのセキュリティに貢献すべきである。 
CISA and ONCD will continue our work to secure the open-source software ecosystem. ONCD has established the Open Source Software Security Initiative (OS3I) interagency working group to convene key agencies involved in open source security. In the coming months, CISA will publish our open source security strategy, outlining how, in line with the National Cybersecurity Strategy, CISA is working to both secure the federal government’s usage of open source software and foster greater ecosystem security.  CISAとONCDは、オープンソースソフトウェアのエコシステムの安全性を確保するための活動を継続する。ONCDは、オープンソースソフトウェアセキュリティに関わる主要機関を招集するため、オープンソースソフトウェアセキュリティイニシアティブ(OS3I)省庁間ワーキンググループを設立した。今後数ヶ月のうちに、CISAはオープンソースセキュリティ戦略を発表する予定であり、国家サイバーセキュリティ戦略に沿って、CISAがどのように連邦政府によるオープンソースソフトウェアの利用を安全なものとし、より大きなエコシステムのセキュリティを促進するために取り組んでいるかを概説する。 
We look forward to receiving your input to help shape government’s efforts in open-source software security and resilience. The RFI can be found here, and responses are due by 5:00 p.m. EDT on October 9th, 2023.   オープンソースソフトウェアのセキュリティとレジリエンスにおける政府の取り組みを形成する一助となるよう、皆様のご意見をお待ちしている。 RFIはここにあり、回答期限は日本時間2023年10月9日午後5時までとなっている。  

 

1_20230814105701

 

 

 

| | Comments (0)

米国 特定の国家安全保障技術および製品への米国投資に関する大統領令 (2023.08.09)

こんにちは、丸山満彦です。

特定の国家安全保障技術および製品への米国投資に関する大統領令について...

特定の国家安全保障技術及び製品は、

  1. 半導体・マイクロエレクトロニクス、
  2. 量子情報技術、
  3. 人工知能

の3つで、

  • 機密性の高い技術および製品が対象となる。。。

懸念国は、

  • 中華人民共和国(香港特別行政区とマカオ特別行政区を含む)

ですね。

small yard, high fence” 「小さな庭、高いフェンス」アプローチ

ですね。。。

対象となる技術及び製品については、規則案事前通知(ANPRM)に記載されていて、意見募集中です..

 

U.S. White House

・2023.08.09 President Biden Signs Executive Order on Addressing United States Investments In Certain National Security Technologies And Products In Countries Of Concern

President Biden Signs Executive Order on Addressing United States Investments In Certain National Security Technologies And Products In Countries Of Concern バイデン大統領は、特定の国家安全保障技術および製品への米国投資に関する大統領令に署名する。
The Biden-Harris Administration is committed to keeping America safe and defending America’s national security by protecting technologies that are critical to the next generation of military innovation. バイデン-ハリス政権は、次世代の軍事技術革新に不可欠な技術を保護することにより、米国の安全を維持し、米国の国家安全保障を守ることを約束する。
Today, President Joe Biden signed an Executive Order on Addressing United States Investments In Certain National Security Technologies And Products In Countries Of Concernthat authorizes the Secretary of the Treasury to regulate certain U.S. investments into countries of concern in entities engaged in activities involving sensitive technologies critical to national security in three sectors: semiconductors and microelectronics, quantum information technologies, and artificial intelligence. In an Annex to the E.O., the President identified the People’s Republic of China (PRC), including the Special Administrative Region of Hong Kong and the Special Administrative Region of Macau, as a country of concern.  本日、ジョー・バイデン大統領は、「懸念国における特定の国家安全保障技術および製品への米国投資への対応に関する大統領令」に署名した。この大統領令は、財務長官に対し、3つの分野、すなわち半導体・マイクロエレクトロニクス、量子情報技術、人工知能の各分野における国家安全保障に重要な機密技術に関与する事業体への、懸念国への特定の米国投資を規制する権限を与えるものである。大統領は大統領令の附属書で、香港特別行政区とマカオ特別行政区を含む中華人民共和国(PRC)を懸念国として特定した。 
The Department of the Treasury simultaneously released an Advanced Notice of Proposed Rulemaking (ANPRM), with proposed definitions to elaborate the scope of the program, which will be subject to public notice and comment, before it goes into effect. 財務省は同時に、同プログラムの適用範囲を詳しく説明するための定義案を盛り込んだ規則案作成予告(ANPRM)を発表した。これは、発効前に公示とコメントの対象となる。
Cross-border investment flows have long contributed to U.S. economic vitality. We are committed to taking narrowly targeted actions to protect our national security while maintaining our longstanding commitment to open investment.  This program will seek to prevent foreign countries of concern from exploiting U.S. investment in this narrow set of technologies that are critical to support their development of military, intelligence, surveillance, and cyber-enabled capabilities that risk U.S. national security.  国境を越えた投資の流れは長い間、米国経済の活力に貢献してきた。 我々は、投資の開放に対する長年のコミットメントを維持しつつ、国家安全保障を守るために的を絞った行動を取ることを約束する。  このプログラムは、米国の国家安全保障をリスクとする軍事、諜報、監視、サイバー対応能力の開発を支援するために重要な、この狭い範囲の技術に対する米国の投資を、懸念のある外国が悪用するのを防ぐことを目指すものである。 
The program complements the United States’ existing export control and inbound screening tools with a “small yard, high fence” approach to address the national security threat posed by countries of concern advancing such sensitive technologies. Specifically, it will prohibit certain investments in entities that engage in specific activities related to these technology areas that pose the most acute national security risks, and require notification for other sensitive investments. このプログラムは、米国の既存の輸出管理・入国審査手段を補完し、「小さな庭、高いフェンス」というアプローチで、このような機密技術を進める懸念国がもたらす国家安全保障上の脅威に対処するものである。具体的には、最も深刻な国家安全保障リスクをもたらすこれらの技術分野に関連する特定の活動に従事する事業体への特定の投資を禁止し、その他の機密性の高い投資については通知を義務付ける。
President Biden signed this Executive Order following extensive and thorough consultations with hundreds of stakeholders, industry members, and foreign allies and partners. Those engagements will continue as part of the notice-and-comment period to solicit additional public feedback to make any needed adjustments before the rule goes into effect. バイデン大統領は、何百人もの利害関係者、業界関係者、外国の同盟国やパートナーとの広範かつ徹底的な協議の後、この大統領令に署名した。これらの協議は、規則の発効前に必要な調整を行うため、追加的な国民の意見を求める通知・意見募集期間の一環として継続される。
Read the Executive Order here. 大統領令はこちら。
Read Treasury’s fact sheet on the program here. このプログラムに関する財務省のファクトシートはこちら。
Read Treasury’s press release on the ANPRM here. ANPRMに関する財務省のプレスリリースはこちら。

 

・2023.08.09 

Executive Order on Addressing United States Investments in Certain National Security Technologies and Products in Countries of Concern 懸念国における特定の国家安全保障技術および製品への米国投資への対応に関する大統領令
By the authority vested in me as President by the Constitution and the laws of the United States of America, including the International Emergency Economic Powers Act (50 U.S.C. 1701 et seq.) (IEEPA), the National Emergencies Act (50 U.S.C. 1601 et seq.) (NEA), and section 301 of title 3, United States Code, 国際緊急経済権限法(50 U.S.C. 1701 et seqq)(IEEPA)、国家緊急事態法(50 U.S.C. 1601 et seqq)(NEA)、米国法典第3編301節を含む、憲法および米国法により、大統領として私に与えられた権限による、
     I, JOSEPH R. BIDEN JR., President of the United States of America, find that countries of concern are engaged in comprehensive, long-term strategies that direct, facilitate, or otherwise support advancements in sensitive technologies and products that are critical to such countries’ military, intelligence, surveillance, or cyber-enabled capabilities.  Moreover, these countries eliminate barriers between civilian and commercial sectors and military and defense industrial sectors, not just through research and development, but also by acquiring and diverting the world’s cutting-edge technologies, for the purposes of achieving military dominance.  Rapid advancement in semiconductors and microelectronics, quantum information technologies, and artificial intelligence capabilities by these countries significantly enhances their ability to conduct activities that threaten the national security of the United States.  Advancements in sensitive technologies and products in these sectors will accelerate the development of advanced computational capabilities that will enable new applications that pose significant national security risks, such as the development of more sophisticated weapons systems, breaking of cryptographic codes, and other applications that could provide these countries with military advantages.       私、米国大統領JOSEPH R. BIDEN JR.は、懸念される国々が、そのような国々の軍事、諜報、監視、あるいはサイバー対応能力に不可欠な機密技術や製品の進歩を指示、促進、あるいは支援する包括的かつ長期的な戦略に従事していることに気づいている。さらに、これらの国々は、研究開発だけでなく、軍事的優位性を獲得する目的で、世界の最先端技術を獲得・転用することによって、民間・商業部門と軍事・防衛産業部門との間の障壁をなくしている。これらの国々による半導体やマイクロエレクトロニクス、量子情報技術、人工知能能力の急速な進歩は、米国の国家安全保障を脅かす活動を行う能力を著しく高めている。 これらの分野における機密技術や製品の進歩は、高度な計算能力の開発を加速させ、より高度な兵器システムの開発や暗号解読など、国家安全保障に重大なリスクをもたらす新たな応用を可能にし、これらの国に軍事的優位をもたらす可能性がある。
     As part of this strategy of advancing the development of these sensitive technologies and products, countries of concern are exploiting or have the ability to exploit certain United States outbound investments, including certain intangible benefits that often accompany United States investments and that help companies succeed, such as enhanced standing and prominence, managerial assistance, investment and talent networks, market access, and enhanced access to additional financing.  The commitment of the United States to open investment is a cornerstone of our economic policy and provides the United States with substantial benefits.  Open global capital flows create valuable economic opportunities and promote competitiveness, innovation, and productivity, and the United States supports cross-border investment, where not inconsistent with the protection of United States national security interests.  However, certain United States investments may accelerate and increase the success of the development of sensitive technologies and products in countries that develop them to counter United States and allied capabilities.      このような機密技術や製品の開発を促進する戦略の一環として、懸念諸国は、米国の投資にしばしば付随し、企業の成功に役立つ特定の無形の利益(地位の向上や著名性、経営支援、投資および人材ネットワーク、市場アクセス、追加融資へのアクセス強化など)を含む、米国の特定の対外投資を利用しているか、利用する能力を持っている。  開かれた投資に対する米国のコミットメントは、わが国の経済政要であり、米国に多大な利益をもたらしている。  開かれたグローバルな資本フローは貴重な経済機会を創出し、競争力、革新性、生産性を促進する。米国は、米国の国家安全保障上の利益の保護と矛盾しない限り、国境を越えた投資を支援する。  しかし、米国の特定の投資は、米国および同盟国の能力に対抗するために機密技術や製品を開発する国において、その開発を加速させ、成功率を高める可能性がある。
     I therefore find that advancement by countries of concern in sensitive technologies and products critical for the military, intelligence, surveillance, or cyber-enabled capabilities of such countries constitutes an unusual and extraordinary threat to the national security of the United States, which has its source in whole or substantial part outside the United States, and that certain United States investments risk exacerbating this threat.  I hereby declare a national emergency to deal with this threat.      従って、私は、軍事、諜報、監視、あるいはサイバー対応能力にとって重要な機密技術や製品を懸念国が開発することは、米国の国家安全保障に対する異常かつ並外れた脅威であり、その出所の全部または大部分が米国外にあること、そして米国の特定の投資はこの脅威を悪化させるリスクがあることを認める。  この脅威に対処するため、私はここに国家非常事態を宣言する。
     Accordingly, I hereby order:      よって、私はここに命令する:
     Section 1.  Notifiable and Prohibited Transactions.       第1項  通知可能かつ禁止される取引  
     (a)  To assist in addressing the national emergency declared in this order, the Secretary of the Treasury (Secretary), in consultation with the Secretary of Commerce and, as appropriate, the heads of other relevant executive departments and agencies (agencies), shall issue, subject to public notice and comment, regulations that require United States persons to provide notification of information relative to certain transactions involving covered foreign persons (notifiable transactions) and that prohibit United States persons from engaging in certain other transactions involving covered foreign persons (prohibited transactions).      (a) 本命令で宣言された国家非常事態への対処を支援するため、財務長官(長官)は、商務長官および必要に応じて他の関係省庁(庁)の長と協議の上、米国人に対し、対象となる外国人が関与する特定の取引(通知可能な取引)に関する情報の通知を義務付け、米国人が対象となる外国人が関与する他の特定の取引(禁止された取引)に関与することを禁止する規則を、公示および意見公募を経て発行する。 
     (b)  The regulations issued under this section shall identify categories of notifiable transactions that involve covered national security technologies and products that the Secretary, in consultation with the Secretary of Commerce and, as appropriate, the heads of other relevant agencies, determines may contribute to the threat to the national security of the United States identified in this order.  The regulations shall require United States persons to notify the Department of the Treasury of each such transaction and include relevant information on the transaction in each such notification.      (b)本条に基づき発行される規則は、商務長官および必要に応じて他の関係省庁の長官と協議の上、長官が本命令で特定された米国の国家安全保障に対する脅威に寄与する可能性があると判断した、対象となる国家安全保障技術および製品に関わる通知可能な取引のカテゴリーを特定するものとする。  規則は、米国人に対し、そのような取引の都度、財務省に通知し、そのような通知の都度、取引に関する関連情報を含めることを求めるものとする。
     (c)  The regulations issued under this section shall identify categories of prohibited transactions that involve covered national security technologies and products that the Secretary, in consultation with the Secretary of Commerce and, as appropriate, the heads of other relevant agencies, determines pose a particularly acute national security threat because of their potential to significantly advance the military, intelligence, surveillance, or cyber-enabled capabilities of countries of concern.  The regulations shall prohibit United States persons from engaging, directly or indirectly, in such transactions.       (c)本条に基づき発行される規則は、商務長官および必要に応じて他の関係省庁の長と協議の上、長官が、懸念国の軍事、情報、監視、またはサイバー対応能力を著しく向上させる可能性があるため、特に深刻な国家安全保障上の脅威をもたらすと判断した、対象となる国家安全保障技術および製品に関わる禁止取引のカテゴリーを特定するものとする。 同規則は、米国人が直接的または間接的にかかる取引に関与することを禁止する。 
     Sec. 2.  Duties of the Secretary.  In carrying out this order, the Secretary shall, as appropriate:      第2項  長官の任務。 本命令を実施するにあたり、長官は適宜以下のことを行う:
     (a)  communicate with the Congress and the public with respect to the implementation of this order;      (a) 本命令の実施に関して、連邦議会および国民とコミュニケーションする;
     (b)  consult with the Secretary of Commerce on industry engagement and analysis of notified transactions;      (b) 業界の関与および通知された取引の分析について、商務長官と協議する;
     (c)  consult with the Secretary of State, the Secretary of Defense, the Secretary of Commerce, the Secretary of Energy, and the Director of National Intelligence on the implications for military, intelligence, surveillance, or cyber-enabled capabilities of covered national security technologies and products and potential covered national security technologies and products;      (c)対象となる国家安全保障技術および製品、ならびに対象となる可能性のある国家安全保障技術および製品の軍事、情報、監視、またはサイバー対応能力への影響について、国務長官、国防長官、商務長官、エネルギー長官、および国家情報長官と協議する;
     (d)  engage, together with the Secretary of State and the Secretary of Commerce, with allies and partners regarding the national security risks posed by countries of concern advancing covered national security technologies and products;      (d) 国務長官および商務長官とともに、国家安全保障の対象となる技術および製品を推進する懸念国がもたらす国家安全保障上のリスクについて、同盟国およびパートナーに働きかける;
     (e)  consult with the Secretary of State on foreign policy considerations related to the implementation of this order, including but not limited to the issuance and amendment of regulations; and      (e) 規則の発行や改正を含むがこれに限定されない、本命令の実施に関連する外交政策上の考慮事項について、国務長官と協議する。
     (f)  investigate, in consultation with the heads of relevant agencies, as appropriate, violations of this order or the regulations issued under this order and pursue available civil penalties for such violations.      (f) 必要に応じて、関係省庁の長と協議の上、本命令または本命令に基づき発布された規則の違反を調査し、かかる違反に対して利用可能な民事罰を追求する。
     Sec. 3.  Program Development.        第3項  プログラムの開発。 
     Within 1 year of the effective date of the regulations issued under section 1 of this order, the Secretary, in consultation with the Secretary of Commerce and, as appropriate, the heads of other relevant agencies, shall assess whether to amend the regulations, including whether to adjust the definition of “covered national security technologies and products” to add or remove technologies and products in the semiconductors and microelectronics, quantum information technologies, and artificial intelligence sectors.  The Secretary, in consultation with the Secretary of Commerce and, as appropriate, the heads of other relevant agencies, shall periodically review the effectiveness of the regulations thereafter.      本命令第1条に基づき発布された規則の発効日から1年以内に、長官は、商務長官および必要に応じて他の関係省庁の長と協議の上、「対象となる国家安全保障技術・製品」の定義を調整し、半導体・マイクロエレクトロニクス、量子情報技術、人工知能分野の技術・製品を追加または削除するかどうかを含め、規則を改正するかどうかを評価するものとする。  長官は、商務長官および必要に応じて他の関係省庁の長と協議の上、その後も定期的に規則の有効性を見直すものとする。
     Sec. 4.  Reports to the President.      第4項  大統領への報告  
     Within 1 year of the effective date of the regulations issued under section 1 of this order and, as appropriate but no less than annually thereafter, the Secretary, in coordination with the Secretary of Commerce and in consultation with the heads of other relevant agencies and the Director of the Office of Management and Budget, as appropriate, shall provide the President, through the Assistant to the President for National Security Affairs:      本命令第 1 項に基づき発布された規則の発効日から 1 年以内、および、その後、適宜、毎年、商務長官と連携し、他の関係省庁の長および行政管理予算局長と協議の上、長官は、国家安全保障局大統領補佐官を通じて、大統領に以下の事項を提供するものとする:
     (a)  to the extent practicable, an assessment of the effectiveness of the measures imposed under this order in addressing threats to the national security of the United States described in this order; advancements by the countries of concern in covered national security technologies and products critical for such countries’ military, intelligence, surveillance, or cyber-enabled capabilities; aggregate sector trends evident in notifiable transactions and related capital flows in covered national security technologies and products, drawing on analysis provided by the Secretary of Commerce, the Director of National Intelligence, and the heads of other relevant agencies, as appropriate; and other relevant information obtained through the implementation of this order; and      (a) 実行可能な範囲で、本命令に基づき課された措置が、本命令に記載された米国の国家安全保障に対する脅威に対処する上で有効であるかどうかの評価、当該国の軍事、諜報、監視、またはサイバー対応能力にとって重要な、対象となる国家安全保障技術および製品における当該国の進歩; 商務長官、国家安全保障長官、その他の関係省庁の長から適宜提供される分析に基づき、対象となる国家安全保障技術及び製品における通知可能な取引及び関連する資本の流れに見られるセクターの総体的傾向、並びに本命令の実施を通じて得られるその他の関連情報。
     (b)  recommendations, as appropriate, regarding:      (b) 必要に応じて、以下に関する勧告を行う:
     (i)   modifications to this order, including the addition or removal of identified sectors or countries of concern, and any other modifications to avoid circumvention of this order and enhance its effectiveness; and      (i) 特定された懸念分野または懸念国の追加または削除を含む本命令の修正、および本命令の迂回を回避し、その実効性を高めるためのその他の修正。
     (ii)  the establishment or expansion of other Federal programs relevant to the covered national security technologies and products, including with respect to whether any existing legal authorities should be used or new action should be taken to address the threat to the national security of the United States identified in this order.      (ii) 本命令で特定された米国の国家安全保障に対する脅威に対処するために、既存の法的権限を使用すべきか、または新たな措置を取るべきかどうかに関しても含め、対象となる国家安全保障技術および製品に関連する他の連邦プログラムの確立または拡大。
     Sec. 5.  Reports to the Congress.        第5項  議会への報告。 
    The Secretary is authorized to submit recurring and final reports to the Congress on the national emergency declared in this order, consistent with section 40l(c) of the NEA (50 U.S.C. 1641(c)) and section 204(c) of IEEPA (50 U.S.C. 1703(c)).      長官は、NEA第40l条(c)(合衆国法典第50編第1641条(c))およびIEEPA第204条(c)(合衆国法典第50編第1703条(c))に基づき、本命令で宣言された国家非常事態に関する定期報告書および最終報告書を議会に提出する権限を有する。 
     Sec. 6.  Official United States Government Business.        第6項  米国ガバナンスの公務。 
    Nothing in this order or the regulations issued under this order shall prohibit transactions for the conduct of the official business of the United States Government by employees, grantees, or contractors thereof.      本命令または本命令に基づき発行される規則のいかなる規定も、米国政府の職員、被助成者、または請負業者による米国政府の公務遂行のための取引を禁止するものではない。
     Sec. 7.  Confidentiality.      第7項  機密保持。 
     The regulations issued by the Secretary under this order shall address the confidentiality of information or documentary material submitted pursuant to this order, consistent with applicable law.     本命令に基づき長官が発行する規則は、適用法に従い、本命令に従って提出された情報または文書資料の秘密保持に対処するものとする。
     Sec. 8.  Additional Notifications and Prohibitions.        第8項 追加の通知および禁止事項。 
     (a)  Any conspiracy formed to violate any regulation issued under this order is prohibited.      (a) 本命令に基づき発行された規則に違反するために形成された共謀は禁止される。
     (b)  Subject to the regulations issued under this order, any action that evades or avoids, has the purpose of evading or avoiding, causes a violation of, or attempts to violate any of the prohibitions set forth in this order or any regulation issued under this order is prohibited.      (b) 本命令に基づき発行された規則に従い、本命令または本命令に基づき発行された規則に規定された禁止事項を回避または回避する行為、回避または回避を目的とする行為、違反を引き起こす行為、または違反を試みる行為は禁止される。
     (c)  In the regulations issued under this order, the Secretary may prohibit United States persons from knowingly directing transactions if such transactions would be prohibited transactions pursuant to this order if engaged in by a United States person.        (c) 本命令に基づき発行される規則において、長官は、米国人が取引を行った場合、当該取引が本命令に基づき禁止されている取引となる場合、米国人が故意に取引を指示することを禁止することができる。  
     (d)  In the regulations issued under this order, the Secretary may require United States persons to:      (d) 本命令に基づき発行される規則において、長官は、米国人に対し、以下を要求することができる:
     (i)   provide notification to the Department of the Treasury of any transaction by a foreign entity controlled by such United States person that would be a notifiable transaction if engaged in by a United States person; and      (i) 当該米国人が支配する外国事業体による取引で、米国人が行った場合には通知可能な取引となるものについて、財務省に通知すること。
     (ii)  take all reasonable steps to prohibit and prevent any transaction by a foreign entity controlled by such United States person that would be a prohibited transaction if engaged in by a United States person.      (ii) 米国人が行った場合に禁止取引となる、当該米国人が支配する事業体による取引を禁止し、防止するためのあらゆる合理的な措置を講じる。
     Sec. 9.  Definitions.        第9項  定義。  
    For purposes of this order:     本命令の目的上、以下が定義される:
     (a)  the term “country of concern” means a country or territory listed in the Annex to this order that the President has identified to be engaging in a comprehensive, long-term strategy that directs, facilitates, or otherwise supports advancements in sensitive technologies and products that are critical to such country’s military, intelligence, surveillance, or cyber-enabled capabilities to counter United States capabilities in a way that threatens the national security of the United States;      (a) 「懸念国」とは、本命令の附属書に記載されている国または地域を意味し、大統領が、米国の国家安全保障を脅かすような方法で米国の能力に対抗するために、当該国の軍事、識別、監視、またはサイバー対応能力に不可欠な機密技術および製品の進歩を指示、促進、またはその他の方法で支援する包括的かつ長期的な戦略に関与していると認定した国を意味する;
     (b)  the term “covered foreign person” means a person of a country of concern who or that is engaged in activities, as identified in the regulations issued under this order, involving one or more covered national security technologies and products;      (b) 「対象外国人」とは、本命令に基づき発行される規則で識別される、1つ以上の対象となる国家安全保障技術および製品に関わる活動に従事している、または従事している懸念国の人物を意味する;
     (c)  the term “covered national security technologies and products” means sensitive technologies and products in the semiconductors and microelectronics, quantum information technologies, and artificial intelligence sectors that are critical for the military, intelligence, surveillance, or cyber-enabled capabilities of a country of concern, as determined by the Secretary in consultation with the Secretary of Commerce and, as appropriate, the heads of other relevant agencies.  Where applicable, “covered national security technologies and products” may be limited by reference to certain end-uses of those technologies or products;      (c) 「対象となる国家安全保障技術・製品」とは、半導体・マイクロエレクトロニクス、量子情報技術、人工知能の各分野における機密性の高い技術・製品であって、懸念国の軍事、諜報、監視、サイバー対応能力にとって重要なものを意味する。 該当する場合、「対象となる国家安全保障技術および製品」は、それらの技術または製品の特定の最終用途に言及することにより限定することができる;
     (d)  the term “entity” means a partnership, association, trust, joint venture, corporation, group, subgroup, or other organization;      (d) 「事業体」とは、パートナーシップ、団体、信託、合弁事業、企業、グループ、サブグループ、その他の組織をいう;
     (e)  the term “person of a country of concern” means:      (e) 「懸念国の人」とは、以下を意味する:
     (i)    any individual that is not a United States person and is a citizen or permanent resident of a country of concern;      (i)米国人以外の個人で、関係国の国民または永住者である;
     (ii)   any entity organized under the laws of a country of concern or with a principal place of business in a country of concern;      (ii) 関係国の法律に基づいて組織され、または関係国に主たる事業所を有する事業体;
     (iii)  the government of each country of concern, including any political subdivision, political party, agency, or instrumentality thereof, or any person owned, controlled, or directed by, or acting for or on behalf of the government of such country of concern; or      (iii) 各懸念国の政府(その政治的下部組織、政党、機関、もしくは団体、または当該懸念国政府によって所有、支配、もしくは指示される者、または当該懸念国政府のためにもしくは当該懸念国政府のために行動する者を含む)。
     (iv)   any entity owned by a person identified in subsections (e)(i) through (e)(iii) of this section;      (iv) 本項(e)(i)から(e)(iii)で特定される者が所有する事業体;
     (f)  the term “person” means an individual or entity;      (f) 「個人」とは、個人または事業体をいう;
     (g)  the term “relevant agencies” includes the Departments of State, Defense, Justice, Commerce, Energy, and Homeland Security, the Office of the United States Trade Representative, the Office of Science and Technology Policy, the Office of the Director of National Intelligence, the Office of the National Cyber Director, and any other department, agency, or office the Secretary determines appropriate; and      (g) 「関連機関」とは、国務省、防衛省、司法省、商務省、エネルギー省、国土安全保障省、米国通商代表部、米国科学技術政策局、国家情報長官室、国家サイバー長官室、および長官が適切と判断するその他の部局、機関、または事務所を含む。
     (h)  the term “United States person” means any United States citizen, lawful permanent resident, entity organized under the laws of the United States or any jurisdiction within the United States, including any foreign branches of any such entity, and any person in the United States.      (h)「米国人」とは、米国市民、合法的永住権保持者、米国法または米国内の司法管轄権に基づき組織された事業体(かかる事業体の海外支店を含む)、および米国内のあらゆる人を指す。
     Sec. 10.  General Provisions.        第10項  一般規定。 
     (a)  The Secretary is authorized to take such actions and to employ all powers granted to the President by IEEPA as may be necessary to carry out the purposes of this order, including to:     (a) 長官は、IEEPAにより大統領に付与された、本命令の目的を遂行するために必要なすべての権限を行使する権限を持つ:
     (i)    promulgate rules and regulations, including elaborating upon the definitions contained in section 9 of this order for purposes of the regulations issued under this order and further prescribing definitions of other terms as necessary to implement this order;      (i) 規則および規定を公布する。これには、本命令に基づき発行される規則の目的上、本命令第9条に含まれる定義を詳しく説明し、本命令の実施に必要なその他の用語の定義をさらに規定することが含まれる;
     (ii)   investigate and make requests for information relative to notifiable or prohibited transactions from parties to such transactions or other relevant persons at any time, including through the use of civil administrative subpoenas as appropriate;      (ii) 適宜、民事行政召喚令状を使用することを含め、通知または禁止された取引に関連する情報を調査し、当該取引の当事者またはその他の関係者に随時要請すること;
     (iii)  nullify, void, or otherwise compel the divestment of any prohibited transaction entered into after the effective date of the regulations issued under this order; and      (iii) 本命令に基づき発行された規制の発効日以降に締結された禁止取引を無効化、無効化、またはその他の方法で強制的に売却する。
     (iv)   refer potential criminal violations of this order or the regulations issued under this order to the Attorney General.      (iv) 本命令または本命令に基づき発行された規制に対する刑事違反の可能性を司法長官に照会する。
     (b)  Notwithstanding any other provision of this order, the Secretary is authorized to exempt from applicable prohibitions or notification requirements any transaction or transactions determined by the Secretary, in consultation with the heads of relevant agencies, as appropriate, to be in the national interest of the United States.      (b) 本命令の他のいかなる規定にもかかわらず、長官は、必要に応じて関係省庁の長と協議の上、米国の国益にかなうと判断した取引について、適用される禁止事項または通知義務を免除する権限を有する。
     (c)  To the extent consistent with applicable law, the Secretary may redelegate any functions authorized hereunder within the Department of the Treasury.  All agencies of the United States Government shall take all appropriate measures within their authority to carry out the provisions of this order.      (c)適用法と矛盾しない範囲で、長官は財務省内で本法に基づき認められた機能を再委任することができる。 米国政府のすべての機関は、この命令の規定を実施するために、その権限の範囲内であらゆる適切な措置を講じなければならない。
     (d)  If any provision of this order, or the application of any provision of this order to any person or circumstance, is held to be invalid, the remainder of this order and its application to any other person or circumstance shall not be affected thereby.      (d) 本命令のいずれかの条項、またはいずれかの人もしくは状況に対する本命令のいずれかの条項の適用が無効とされた場合であっても、本命令の残りの部分および他の人もしくは状況に対するその適用は、その影響を受けないものとする。
     (e)  Nothing in this order shall be construed to impair or otherwise affect:      (e) 本命令のいかなる規定も、以下を損ない、またはその他の影響を及ぼすものと解釈されない:
     (i)   the authority granted by law to an executive department or agency, or the head thereof; or      (i) 行政機関またはその長に法律で与えられた権限。
     (ii)  the functions of the Director of the Office of Management and Budget relating to budgetary, administrative, or legislative proposals.      (ii) 予算案、行政案、立法案に関する行政管理予算局長の機能。
     (f)  This order shall be implemented consistent with applicable law and subject to the availability of appropriations.      (f) 本命令は、適用法に従い、充当可能な予算の範囲内で実施されるものとする。
     (g)  This order is not intended to, and does not, create any right or benefit, substantive or procedural, enforceable at law or in equity by any party against the United States, its departments, agencies, or entities, its officers, employees, or agents, or any other person.      (g) 本命令は、米国、その省庁、事業体、その役員、職員、代理人、その他いかなる者に対しても、法律上または衡平法上執行可能な、実体的または手続き上の権利または利益を創出することを意図したものではなく、また創出するものでもない。
                             JOSEPH R. BIDEN JR.                              ジョセフ・R・ビデン・ジュニア
THE WHITE HOUSE, ホワイトハウス
  August 9, 2023.   2023年8月9日
Annex 附属書
The People’s Republic of China 中華人民共和国
     The Special Administrative Region of Hong Kong      香港特別行政区
     The Special Administrative Region of Macau      マカオ特別行政区

 

財務省の発表...

U.S. Department of the Treasury 

・2023.08.09 [PDF] FACT SHEET: President Biden Issues Executive Order Addressing United States Investments in Certain National Security Technologies and Products in Countries of Concern; Treasury Department Issues Advance Notice of Proposed Rulemaking to Enhance Transparency and Clarity and Solicit Comments on Scope of New Program

20230814-30136

FACT SHEET: President Biden Issues Executive Order Addressing United States Investments in Certain National Security Technologies and Products in Countries of Concern; Treasury Department Issues Advance Notice of Proposed Rulemaking to Enhance Transparency and Clarity and Solicit Comments on Scope of New Program  ファクトシート:バイデン大統領は、懸念される国における特定の国家安全保障技術および製品への米国投資に対処する大統領令を発表、財務省は、透明性と明確性を強化し、新たなプログラムの範囲に関する意見を募集するために、提案された規則制定の事前通知を発行した。
On August 9, 2023, President Biden issued an Executive Order (E.O.) to address the national security threat to the United States posed by countries of concern that seek to develop and exploit sensitive or advanced technologies and products critical for military, intelligence, surveillance, or cyber-enabled capabilities.   2023年8月9日、バイデン大統領は、軍事、諜報、監視、サイバー対応能力にとって重要な機密または先端技術・製品を開発・利用しようとする懸念国が米国にもたらす国家安全保障上の脅威に対処するための大統領令(大統領令)を発布した。 
The Biden-Harris Administration is committed to keeping America safe and defending America’s national security by protecting technologies that are critical to the next generation of military innovation. Cross-border investment flows have long contributed to U.S. economic vitality.  The E.O. is a narrowly targeted action to protect national security while maintaining our longstanding commitment to open investment.    バイデン-ハリス政権は、次世代の軍事技術革新に不可欠な技術を防御することで、米国の安全を守り、米国の国家安全保障を守ることを約束する。国境を越えた投資の流れは、長い間米国の経済活力に貢献してきた。 大統領令は、オープンな投資に対する長年のコミットメントを維持しつつ、国家安全保障を守るための的を絞った行動である。  
The E.O. provides for the establishment of a new and targeted national security program to be implemented and administered by the U.S. Department of the Treasury (Treasury), in consultation with other agencies, including the U.S. Department of Commerce.  The program would, pursuant to implementing regulations: (1) require U.S. persons to notify Treasury of certain transactions, and (2) prohibit U.S. persons from undertaking certain other transactions, in either case involving certain entities engaged in activities related to narrow sub-sets of three advanced technology areas identified in the E.O.    大統領令は、米国商務省を含む他省庁と協議の上、米国財務省(Treasury)が実施・管理する新たな的を絞った国家安全保障プログラムの設立をプロバイダとして規定している。 このプログラムは、施行規則に従い、(1)米国人に対し、特定の取引を財務省に通知することを義務付け、(2)米国人に対し、大統領令で特定された3つの先端技術分野の狭いサブセットに関連する活動に従事する特定の事業体が関与する、その他の特定の取引を禁止する。  
In an Annex to the E.O., the President identified the People’s Republic of China (PRC)[1] as a country of concern.  As part of a comprehensive, long-term strategy to advance the development of sensitive technologies and products, the PRC is exploiting, or has the ability to exploit, U.S. investments to further its ability to produce a narrow set of sensitive technologies critical to military modernization.  Such U.S. investments are often accompanied by certain intangible benefits that help companies succeed, such as managerial assistance, investment and talent networks, and market access.   大統領は大統領令の附属書で、懸念国として中華人民共和国(PRC)[1]を挙げている。 機密性の高い技術や製品の開発を進める包括的かつ長期的な戦略の一環として、PRCは軍事的近代化に不可欠な機密性の高い技術を生産する能力を高めるために、米国の投資を利用している、あるいは利用する能力を持っている。 このような米国投資は、経営支援、投資・人材ネットワーク、市場アクセスなど、企業の成功を助ける特定の無形の利益を伴うことが多い。 
The United States already prohibits or restricts the export to the PRC of many of the technologies and products under consideration for the new program.  This new program would prevent U.S. investments from helping accelerate the indigenization of these technologies in the PRC, which undermines the effectiveness of our existing export controls and inbound investment screening programs which also seek to protect U.S. national security.    米国はすでに、新プログラムの対象として検討されている技術や製品の多くについて、中国への輸出を禁止または制限している。 この新プログラムは、米国の投資が中国におけるこれらの技術の土着化を促進するのを妨げるものであり、米国の国家安全保障を守るための既存の輸出規制と対内投資審査プログラムの効果を損なうものである。  
Also on August 9, 2023, alongside the E.O., Treasury issued an Advance Notice of Proposed Rulemaking (ANPRM) to provide transparency and clarity about the intended scope of the program and solicit input from the public on the implementation of the E.O. and the scope of the program before it goes into effect.  また2023年8月9日、財務省は大統領令と並行して、プログラムの意図する範囲について透明性と明確性を提供し、大統領令発効前に大統領令の実施とプログラムの範囲について一般からの意見を求めるために、規則制定提案事前通知(ANPRM)を発表した。
In developing the E.O. and ANPRM, the Biden-Harris Administration engaged with U.S. allies and partners regarding its important national security goals, and will continue coordinating closely with them to advance these goals. The E.O. and ANPRM reflect discussions with the G7 and other ally and partner engagements. The Biden-Harris Administration also engaged with industry stakeholders regarding the initiative and its goals, and we look forward to continuing to receive and consider public input through the rulemaking process.  大統領令およびANPRMの策定にあたり、バイデン-ハリス政権は米国の同盟国やパートナーと、その重要な国家安全保障目標について意見を交わした。大統領令とANPRMはG7やその他の同盟国やパートナーとの話し合いを反映している。バイデン-ハリス政権はまた、このイニシアティブとその目標に関して、業界の利害関係者とも関わりを持った。
Executive Order  大統領令 
President Biden issued the E.O. under the authority vested in the President, including to regulate international commerce under the International Emergency Economic Powers Act.  In the E.O., the President directs the Secretary of the Treasury (the Secretary) to issue regulations that:  バイデン大統領は、国際緊急経済権限法に基づく国際商取引の規制など、大統領に与えられた権限に基づき、大統領令を発行した。 大統領令では、大統領は財務長官(長官)に対し、以下のような規制を行うよう指示している: 
• Prohibit U.S. persons from undertaking particular transactions involving certain entities located in or subject to the jurisdiction of a country of concern, and certain other entities owned by persons of a country of concern, engaged in activities related to defined subsets of technologies and products; and  ・特定された技術および製品に関連する活動に従事する、懸念国に所在する、または懸念国の管轄下にある特定の事業体、および懸念国の人物が所有する他の特定の事業体が関与する特定の取引を米国人が行うことを禁止する。
• Require notification by U.S. persons to Treasury regarding particular transactions involving certain entities located in or subject to the jurisdiction of a country of concern, and certain other entities owned by persons of a country of concern, engaged in activities related to other defined technologies and products.   ・その他の定義された技術および製品に関連する活動に従事する、懸念国に所在する、または懸念国の管轄下にある特定の事業体、および懸念国の人物が所有する他の特定の事業体が関与する特定の取引について、米国人による財務省への届け出を義務付ける。
The E.O. identifies three categories of national security technologies and products for the new program.  These were selected due to their critical role in accelerating the development of advanced military, intelligence, surveillance, and cyber-enabled capabilities:   大統領令は、新プログラムの対象となる国家安全保障技術・製品を3つのカテゴリーに分類している。 これらは、高度な軍事、情報、監視、サイバー対応能力の開発を加速させる上で重要な役割を果たすことから選ばれた:  
• Semiconductors and microelectronics;   ・半導体とマイクロエレクトロニクス;  
• Quantum information technologies; and   ・量子情報技術
• Certain artificial intelligence systems.   ・特定の人工知能システム
The E.O. instructs the Secretary to further define sensitive technologies and products in these categories for purposes of the prohibition and the notification requirement, and to consult, as appropriate, with other relevant executive departments and agencies in this process.    大統領令は長官に対し、禁止と通知義務の目的で、これらのカテゴリーにおける機密性の高い技術や製品をさらに定義し、このプロセスにおいて適切であれば他の関連省庁とも協議するよう指示している。  
The E.O. also provides the Secretary with the authority to investigate, as appropriate, violations of the E.O. and accompanying regulations, and pursue available penalties for such violations.   大統領令はまた、大統領令および付随規則に違反した場合、適切な調査を行い、そのような違反に対して利用可能な罰則を追求する権限を長官に与えている。 
Advance Notice of Proposed Rulemaking   規則案の事前通知  
Concurrent with the issuance of the E.O. and in furtherance of the authorities delegated to it in the E.O., Treasury is issuing the ANPRM to provide transparency and clarity about the intended scope of the program, and as a vehicle for obtaining early stakeholder participation in the rulemaking process.  The ANPRM does not itself implement the E.O. and is not draft regulatory text.  Rather, it is a means for Treasury to share with the public some of its initial considerations and views with respect to definitions and other elements of the program that are central to its implementation.  The ANPRM will be followed by draft regulations at a later stage in the process.  大統領令の発行と同時に、また大統領令において財務省に委ねられた権限を推進するため、財務省はANPRMを発行し、このプログラムの意図する範囲について透明性と明瞭性を提供し、また規則制定プロセスへの関係者の早期参加を得るためのプロバイダとしている。 ANPRMはそれ自体が大統領令を実施するものではなく、またドラフトでもない。 ANPRMは、大統領令そのものを実施するものではなく、また規制案の草案でもない。むしろ、このプログラムの実施に中心的な役割を果たす定義やその他の要素に関して、財務省が最初に検討した事項や見解を一般に公開するための手段である。 このANPRMに続き、後日ドラフトが公表される予定である。
The ANPRM reflects the framework that Treasury anticipates proposing for implementation of the program, namely:  ANPRMは、財務省が本プログラムの実施のために提案すると予想される枠組みを反映している: 
• Requirements on U.S. persons: The program anticipates that U.S. persons, wherever they are located, will be responsible for adhering to the prohibition and the notification requirement.  A U.S. person includes any U.S. citizen, lawful permanent resident, entity organized under the laws of the United States or any jurisdiction within the United States, including any foreign branches of any such entity, and any person in the United States. Under the E.O., the Secretary may also place certain obligations on U.S. persons with respect to foreign entities that they control and in certain situations where U.S. persons knowingly direct transactions by non-U.S. persons.   ・米国人に対する要件 米国人に対する要件: このプログラムでは、米国人がその所在を問わず、禁止事項および通知要件を遵守する責任を負うことを想定している。 米国人とは、米国市民、合法的永住権保持者、米国法または米国内の司法管轄権に基づき組織された事業体(かかる事業体の海外支店を含む)、および米国内の個人を含む。大統領令に基づき、長官は、米国人が支配する外国事業体に関して、また米国人が非米国人による取引を故意に指示する特定の状況において、米国人に一定の義務を課すこともできる。
• Specific categories of covered transactions: The program is anticipated to focus on U.S. persons undertaking certain types of transactions that could convey intangible benefits, specifically: acquisition of equity interests (e.g., via mergers and acquisitions, private equity, venture capital, and other arrangements); greenfield investments; joint ventures; and certain debt financing transactions that are convertible to equity.     ・対象となる取引のカテゴリー: 具体的には、(M&A、プライベート・エクイティ、ベンチャー・キャピタル、その他のアレンジメントを通じた)持分取得、グリーンフィールド投資、ジョイント・ベンチャー、株式に転換可能な特定の負債による資金調達取引などである。   
• Involving covered foreign persons: The restrictions are anticipated to apply to investments in entities that are engaged in activities related to defined sub-sets of technologies and products, and that are organized under the laws of a country of concern, have a principal place of business in a country of concern, or are majority-owned by country of concern individuals or entities.  Presently the E.O. lists the PRC as a country of concern.     ・対象となる外国人を含む: この規制は、定義された技術や製品のサブセットに関連する活動に従事し、懸念国の法律に基づいて組織され、懸念国に主たる事業所を有し、または懸念国の個人もしくは団体によって過半数が所有されている事業体への投資に適用されると予想される。 現在、大統領令は中国を懸念国として挙げている。
• Deliberate approach to excepted transactions: Treasury is considering creating an exception for certain types of passive and other investments that may pose a lower likelihood of conveying intangible benefits or in an effort to minimize unintended consequences.  For example, Treasury is considering excepting from the program’s coverage certain U.S. investments into publicly-traded securities, index funds, mutual funds, exchange-traded funds, certain investments made as a limited partner, committed but uncalled capital investments, and intracompany transfers of funds from a U.S. parent company to its subsidiary.  The scope and nature of each of these potential exceptions is under consideration as detailed in the ANPRM.  ・例外取引への慎重なアプローチ: 財務省は、無形便益をもたらす可能性が低い、あるいは意図しない結果を最小化するために、ある種の受動的な投資やその他の投資について例外を設けることを検討している。 例えば、財務省は、公募証券、インデックスファンド、ミューチュアルファンド、上場投信、リミテッド・パートナーとしての一定の投資、コミットされたがコールされていない資本投資、米国の親会社から子会社への企業内資金移動などをプログラムの対象から除外することを検討している。 これらの潜在的な例外のそれぞれの範囲と性質は、ANPRMで詳細に検討されている。
The ANPRM provides initial details on the sub-sets of technologies and products within the three categories identified in the E.O.:  ANPRMは、大統領令で特定された3つのカテゴリーに含まれる技術および製品のサブセットに関する初期の詳細を提供している: 
• Semiconductors and microelectronics: Treasury is considering prohibiting U.S. investments in PRC entities engaged in the development of electronic design automation software or semiconductor manufacturing equipment; the design, fabrication, or packaging of advanced integrated circuits; and the installation or sale of supercomputers.  Treasury is also considering requiring notification for U.S. investments in PRC entities engaged in the design, fabrication, and packaging of less advanced integrated circuits.   ・半導体とマイクロエレクトロニクスである: 半導体・マイクロエレクトロニクス:財務省は、電子設計自動化ソフトウェアや半導体製造装置の開発、先端集積回路の設計・製造・パッケージング、スーパーコンピューターの設置・販売に携わるPRC事業体への米国投資を禁止することを検討している。 財務省はまた、それほど高度でない集積回路の設計、製造、パッケージングに従事する中国事業体に対する米国投資についても届け出を義務付けることを検討している。
• Quantum information technologies: Treasury is considering prohibiting U.S. investments in PRC entities engaged in the production of quantum computers and certain components; the development of certain quantum sensors; and the development of quantum networking and quantum communication systems.  Treasury is not currently considering a separate notification requirement for quantum information technologies.  ・量子情報技術: 財務省は、量子コンピュータおよび特定の部品の製造、特定の量子センサーの開発、量子ネットワーキングおよび量子コミュニケーションシステムの開発に従事する中国事業体に対する米国投資を禁止することを検討している。 財務省は現在、量子情報技術に関する個別の届出義務を検討していない。
• Certain artificial intelligence systems: Treasury is considering requiring notification for U.S. investments in PRC entities engaged in activities related to software that incorporates an artificial intelligence (AI) system and is designed for certain end-uses that may have military or intelligence applications and pose a national security risk.  Treasury is also requesting comments on how to shape a prohibition on U.S. investments in PRC entities engaged in a narrow set of activities related to software that incorporates an AI system and is designed for particular end uses with national security implications, e.g., military surveillance end uses.  Treasury particularly welcomes feedback on the definitions in this category and their potential implications on scope, and seeks to ensure these measures are appropriately tailored in the final regulations.  ・特定の人工知能システム 財務省は、人工知能(AI)システムを組み込んだソフトウエアに関連する活動を行う中国事業体への米国投資で、軍事・諜報用途で国家安全保障リスクをもたらす可能性のある特定の最終用途向けに設計されたものについては、届出を義務付けることを検討している。 財務省はまた、人工知能(AI)システムを組み込み、国家安全保障に関わる特定の最終用途(例えば軍事監視の最終用途)向けに設計されたソフトウェアに関連する狭い範囲の活動に従事する中国事業体に対する米国投資の禁止をどのように形成するかについても意見を要求している。 財務省は特に、このカテゴリーにおける定義とその範囲への潜在的な影響に関するフィードバックを歓迎し、最終規制においてこれらの措置が適切に調整されるよう努める。
The ANPRM also seeks public comment on a range of related definitions and elements of the program.  The public will have 45 days after the ANPRM’s publication in the Federal Register in which to provide comments that will inform Treasury’s development of draft regulatory text.  ANPRMはまた、関連する様々な定義やプログラムの要素に関するパブリックコメントも求めている。 パブリックコメントは、ANPRMが連邦官報に掲載されてから45日以内に提出され、財務省による規制案の作成に反映される。
[1] The Annex to the E.O. identifies the PRC, along with the Special Administrative Region of Hong Kong and the Special Administrative Region of Macau, as a country of concern.  [1] 大統領令の附属書には、香港特別行政区、マカオ特別行政区とともに中国が懸念国として明記されている。

 

財務省のプレス...

・2023.08.09 Treasury Seeks Public Comment on Implementation of Executive Order Addressing U.S. Investments in Certain National Security Technologies and Products in Countries of Concern

Treasury Seeks Public Comment on Implementation of Executive Order Addressing U.S. Investments in Certain National Security Technologies and Products in Countries of Concern 財務省は、懸念国における特定の国家安全保障技術および製品への米国投資に対処する大統領令の実施に関するパブリックコメントを募集している。
WASHINGTON — The U.S. Department of the Treasury (Treasury) today issued an Advance Notice of Proposed Rulemaking (ANPRM) seeking public comment related to the implementation of the Executive Order of August 9, “Addressing United States Investments in Certain National Security Technologies and Products in Countries of Concern” (the E.O.).  In the E.O., the President identified the People’s Republic of China, along with the Special Administrative Region of Hong Kong and the Special Administrative Region of Macau, as a country of concern.  ワシントン ・米財務省は本日、8月9日付の大統領令「懸念国における特定の国家安全保障技術および製品への米国投資への対応」(大統領令)の実施に関するパブリックコメントを求める規則制定提案事前通知(ANPRM)を発表した。  この大統領令では、大統領は中華人民共和国と香港特別行政区、マカオ特別行政区を懸念国としている。 
The Biden Administration is committed to keeping America safe and defending America’s national security through appropriately protecting technologies that are critical to the next generation of military innovation.  The E.O. provides for the establishment of a new and targeted national security program to be implemented and administered by Treasury, in consultation with other relevant executive departments and agencies.  This narrowly targeted action will complement our existing export control and inbound investment screening tools, and protect our national security while maintaining our longstanding commitment to open investment.  バイデン政権は、次世代の軍事技術革新に不可欠な技術を適切に防御することで、米国の安全を守り、米国の国家安全保障を守ることを約束する。  大統領令は、他の関連省庁との協議のもと、財務省が実施・管理する新たな的を絞った国家安全保障プログラムの設立を規定している。  この的を絞った措置は、既存の輸出管理および対内投資審査手段を補完するものであり、開かれた投資への長年のコミットメントを維持しつつ、国家安全保障を保護するものである。 
The E.O. also directs the Secretary of the Treasury (the Secretary) to issue regulations that (1) prohibit U.S. persons from engaging in certain transactions involving certain technologies and products that pose a particularly acute national security threat to the United States and (2) require U.S. persons to notify Treasury of certain other transactions involving certain technologies and products that may contribute to the threat to the national security of the United States.  The E.O. identifies three categories of national security technologies and products to be covered by the program: semiconductors and microelectronics; quantum information technologies; and artificial intelligence.  大統領令はまた、財務省長官(長官)に対し、(1)米国にとって特に深刻な国家安全保障上の脅威となる特定の技術や製品に関わる特定の取引に米国人が関与することを禁止し、(2)米国の国家安全保障上の脅威につながる可能性のある特定の技術や製品に関わる他の特定の取引について、米国人が財務省に通知することを義務付ける規制を発行するよう指示している。  大統領令は、このプログラムの対象となる国家安全保障技術・製品のカテゴリーとして、半導体・マイクロエレクトロニクス、量子情報技術、人工知能の3つを挙げている。 
In implementing the E.O., Treasury is taking the optional step of issuing an ANPRM to seek early stakeholder participation in the rulemaking process.  The public is invited to offer comments, including providing data and other information, that may be useful to inform the development of the program.  While the ANPRM does not itself implement the E.O., it offers additional clarity and transparency, and provides the public an opportunity to contribute to the formulation of the new program.  Specifically, the ANPRM provides initial details on key terms and aspects of the program’s implementation.  Among other things, Treasury seeks input on the sub-sets of national security technologies and products related to semiconductors, quantum information technology, and artificial intelligence systems described in the ANPRM. この大統領令を実施するにあたり、財務省はANPRMを発行し、規則策定プロセスへの関係者の早期参加を求めるという任意のステップを踏んでいる。  一般市民は、プログラム策定に有益と思われるデータやその他の情報を提供することも含め、意見を述べることができる。  ANPRMはそれ自体が大統領令を実施するものではないが、さらなる明確性と透明性を提供し、一般市民が新プログラムの策定に貢献する機会を提供するものである。  具体的には、ANPRMはプログラム実施の主要な条件や側面に関する最初の詳細を提供している。  特に財務省は、ANPRMに記載されている半導体、量子情報技術、人工知能システムに関連する国家安全保障技術・製品のサブセットに関する意見を求めている。
The United States benefits from an open investment climate and this new program will not change that.  It is narrowly targeted at investments in highly sensitive technologies and products for the purposes of protecting U.S. national security.  Treasury anticipates excepting certain transactions, including potentially those in publicly-traded instruments and intracompany transfers from U.S. parents to subsidiaries.  米国はオープンな投資環境から恩恵を受けており、この新プログラムがそれを変えることはない。  このプログラムは、米国の国家安全保障を保護する目的で、機密性の高い技術や製品への投資に限定している。  財務省は、上場商品への投資や、米国の親会社から子会社への企業内移転の可能性を含め、特定の取引を除外することを想定している。 
Treasury welcomes comments and views from a wide range of stakeholders on all aspects of how the Secretary should implement this new program.  Treasury will take this input into account as it develops draft regulations, including refining the definitions of key terms, setting forth the notification requirements, and establishing the penalty and enforcement processes for violations, among other things.  財務省は、長官がこの新たなプログラムをどのように実施すべきかについて、幅広い利害関係者からの意見や見解を歓迎する。  財務省は、主要な用語の定義の見直し、届出要件の設定、違反に対する罰則および執行手続の設定などを含むドラフト規制を策定する際に、これらの意見を考慮する予定である。 
Written comments on the ANPRM may be submitted within 45 days here. The ANPRM will be followed by draft regulations at a later date.  ANPRMに対する意見書は45日以内にこちらから提出できる。 ANPRMに続き、後日ドラフト規則が発表される予定である。 
Click here for additional information. その他の情報はこちら。

 

プログラム...

Outbound Investment Program

 

 

規則案事前通知(ANPRM)

・2023.08.14 Provisions Pertaining to U.S. Investments in Certain National Security Technologies and Products in Countries of Concern

 

補足情報の部分のみ...

SUPPLEMENTARY INFORMATION: 補足情報
I. Background I. 背景
On August 9, 2023, the President issued the Order pursuant to his authority under the Constitution and the laws of the United States, including the International Emergency Economic Powers Act (IEEPA), the National Emergencies Act, and section 301 of Title 3, United States Code. In the Order, the President declared a national emergency and determined the need for action due to the policies and actions of countries of concern which seek to, among other things, exploit U.S. outbound investments to develop sensitive technologies and products critical for military, intelligence, surveillance, and cyber-enabled capabilities. In an Annex to the Order, the President identified one country, the People's Republic of China (PRC), along with the Special Administrative Region of Hong Kong and the Special Administrative Region of Macau, as a country of concern. The President may modify the Annex to the Order and update the list of countries of concern in the future. 2023年8月9日、大統領は憲法および国際緊急経済権限法(IEEPA)、国家緊急事態法、米国法典第3編301条を含む米国法に基づく権限に基づき、大統領令を発令した。 大統領令の中で、大統領は国家非常事態を宣言し、特に軍事、諜報、監視、サイバー対応能力にとって重要な機密技術や製品を開発するために、米国の対外投資を悪用しようとする懸念国の政策や行動に起因する行動の必要性を決定した。大統領令の附属書において、大統領は中華人民共和国(PRC)、香港特別行政区、マカオ特別行政区を懸念国として特定した。大統領は今後、附属書を修正し、懸念国リストを更新する可能性がある。
Advanced technologies and products that are increasingly developed and financed by the private sector form the basis of next-generation military, intelligence, surveillance, and cyber-enabled capabilities. For example, certain advanced semiconductors and microelectronics, quantum information technologies, and artificial intelligence (AI) systems will underpin military innovations that improve the speed and accuracy of military decision-making, planning, and logistics; enable the compromise of encryption and other cybersecurity controls; and advance mass surveillance capabilities. The potential military, intelligence, surveillance, and cyber-enabled applications of these technologies and products pose risks to U.S. national security particularly when developed by a country of concern such as the PRC in which the government seeks to (1) direct entities to obtain technologies to achieve national security objectives; and (2) compel entities to share or transfer these technologies to the government's military, intelligence, surveillance, and security apparatuses. The PRC government explicitly seeks to advance these technologies and to ensure that new innovations simultaneously benefit its military and commercial aims. The PRC government is aggressively pursuing these objectives to confer a decisive advantage to its military, intelligence, surveillance, and cyber-enabled services. The PRC government is also encouraging a growing number of PRC entities to undertake military research and development, including weapons production, which exploit private investments in pursuit of this goal. 民間部門によって開発され、資金提供されるようになっている先端技術や製品は、次世代の軍事、情報、監視、サイバー対応能力の基礎を形成している。例えば、ある種の先端半導体やマイクロエレクトロニクス、量子情報技術、人工知能(AI)システムは、軍事的な意思決定、計画、兵站のスピードと精度を向上させ、暗号化やその他のサイバーセキュリティ管理の妥協を可能にし、大規模な監視能力を向上させる軍事技術革新を支えることになる。これらの技術や製品の潜在的な軍事、諜報、監視、サイバー対応アプリケーションは、特に中国のような、政府が(1)国家安全保障の目的を達成するために技術を取得するよう事業体に指示し、(2)これらの技術を政府の軍事、諜報、監視、セキュリティ組織と共有または移転するよう事業体に強制するような懸念のある国によって開発された場合、米国の国家安全保障にリスクをもたらす。中国政府は、これらの技術を進歩させ、新たな技術革新が軍事と商業の目的に同時に役立つようにすることを明確に求めている。中国政府は、軍事、諜報、監視、サイバー対応サービスに決定的な優位性を与えるため、これらの目標を積極的に追求している。中国政府はまた、兵器製造を含む軍事研究開発を行う事業体の数を増やしており、この目標を追求するために民間投資を活用している。
U.S. investments are often more valuable than capital alone because they can also include the transfer of intangible benefits. Investors from the United States often lend support to the companies in which they invest, and these could include PRC entities that are developing technology with military end uses. Intangible benefits that often accompany U.S. investments and help companies succeed include enhanced standing and prominence, managerial assistance, access to investment and talent networks, market access, and enhanced access to additional financing. Certain investments from the United States into a country of concern can be exploited to accelerate the development of sensitive technologies or products in ways that negatively impact the strategic military position of the United States. Such investments, therefore, risk exacerbating this threat to U.S. national security. 米国の投資は、無形の利益の移転も含むことがあるため、資本だけよりも価値がある場合が多い。米国からの投資家は投資先企業を支援することが多く、その中には軍事的な最終用途を持つ技術を開発している中国の事業体も含まれる可能性がある。米国からの投資に付随し、企業の成功を支援する無形的利益には、地位の向上や知名度の向上、経営支援、投資・人材ネットワークへのアクセス、市場アクセス、追加融資へのアクセス強化などが含まれることが多い。米国から懸念国への特定の投資は、米国の戦略的軍事的立場に悪影響を与えるような形で、機密技術や製品の開発を加速させるために悪用される可能性がある。したがって、こうした投資は、米国の国家安全保障に対する脅威を悪化させるリスクがある。
Cross-border investment creates valuable economic opportunities and promotes competitiveness, innovation, and productivity. For these reasons, the United States has and will continue to champion open and rules-based investment. 国境を越えた投資は貴重な経済機会を創出し、競争力、革新性、生産性を促進する。こうした理由から、米国は開放的でルールに基づく投資を支持し、今後も支持していく。
The United States has undertaken efforts to enhance existing policy tools and develop new policy initiatives aimed at maintaining U.S. leadership in technologies critical to national security, while preventing the exploitation of our open economic ecosystem in ways that could undermine our national security. Nevertheless, there remain instances where the risks presented by U.S. investments enabling countries of concern to develop critical military, intelligence, surveillance, or cyber-enabled capabilities are not sufficiently addressed by existing tools. Accordingly, the Order directs the Secretary to establish a program to prohibit or require notification concerning certain types of outbound investments by United States persons into certain entities located in or subject to the jurisdiction of a country of concern, and certain other entities owned by persons of a country of concern, involved in discrete categories of advanced technologies and products. 米国は既存の政策手段を強化し、新たな政策イニシアチブを開発する努力を行ってきた。その目的は、国家安全保障に不可欠な技術における米国のリーダーシップを維持する一方で、国家安全保障を損なう可能性のある形で、開かれた経済エコシステムが悪用されるのを防ぐことにある。とはいえ、重要な軍事、諜報、監視、サイバー対応能力の開発を懸念国に可能にする米国の投資がもたらすリスクが、既存の手段では十分に対処できない場合もある。従って、この指令は、米国人による、懸念国に所在する、または懸念国の管轄下にある特定の事業体、および懸念国の人物が所有する他の特定の事業体への、先端技術や製品の個別カテゴリーに関わる特定の種類の対外投資について、禁止または通告を義務付けるプログラムを確立するよう長官に指示するものである。
The Order has two primary components that serve different objectives with respect to the relevant technologies and products. The first component requires the Secretary to prohibit certain types of investment by a United States person in a covered foreign person whose business involves certain categories of advanced technologies and products. The second component requires notification to the Secretary regarding certain types of investments by a United States person in a covered foreign person whose business involves other categories of technologies and products. The focus of both components is on investments that could enhance a country of concern's military, intelligence, surveillance, or cyber-enabled capabilities through the advancement of technologies and products in particularly sensitive areas. この命令には2つの主要な構成要素があり、関連する技術や製品に関して異なる目的を果たす。第一のカテゴリーは、米国人による、特定のカテゴリーの先端技術・製品に関連する事業を行う外国人への投資を禁止するものである。第二のカテゴリーは、米国人による、他のカテゴリーの技術や製品に関連する事業を行う外国人への特定のタイプの投資について、長官に通知することを義務付けている。両構成要素の焦点は、特にセンシティブな分野における技術や製品の進歩を通じて、懸念国の軍事、諜報、監視、サイバー対応能力を強化する可能性のある投資にある。
II. Program Overview II. プログラムの概要
The Treasury Department is considering implementation of the Order through the establishment of a program that would (1) prohibit certain types of investment by United States persons into certain entities located in or subject to the jurisdiction of a country of concern, and certain other entities owned by persons of a country of concern, with capabilities or activities related to defined technologies and products; and (2) require submission of a notification to the Secretary by United States persons for certain types of investment into certain entities located in or subject to the jurisdiction of a country of concern, and certain other entities owned by persons of a country of concern, with capabilities or activities related to defined technologies and products. The Treasury Department does not contemplate that the program will entail a case-by-case review of U.S. outbound investments. Rather, the Treasury Department expects that the transaction parties will have the obligation to determine whether a given transaction is prohibited, subject to notification, or permissible without notification. 財務省は、(1)米国人による、懸念国に所在する、または懸念国の管轄下にある特定の事業体、および懸念国の人物が所有する、定義された技術や製品に関連する能力または活動を持つ他の特定の事業体への特定の種類の投資を禁止するプログラムの設立を通じて、同令の実施を検討している; (2) 米国人が、懸念国に所在する、または懸念国の管轄下にある特定の事業体、および懸念国の人物が所有する、定義された技術および製品に関連する能力または活動を持つ他の特定の事業体に対して、特定の種類の投資を行う場合、長官への届出書の提出を義務付ける。財務省は、このプログラムが米国の対外投資をケース・バイ・ケースで審査することを想定していない。むしろ財務省は、取引当事者はある取引が禁止されているか、届出が必要か、届出なしで許されるかを判断する義務を負うと予想している。
Importantly, the program is not intended to impede all U.S. investments into a country of concern or impose sector-wide restrictions on United States person activity. The high-level categories of the technologies and products that are the focus of the program, as enumerated in the Order, are: (1) semiconductors and microelectronics, for which the Treasury Department is considering a prohibition on transactions related to certain advanced technologies and products, and considering a notification requirement related to other technologies and products; (2) quantum information technologies, for which the Treasury Department is considering a prohibition on transactions related to certain technologies and products; and (3) AI systems, for which the Treasury Department is considering a notification requirement for transactions related to certain technologies and products with specific end uses and is considering a prohibition in certain other cases, as discussed herein. 重要なことは、このプログラムは、懸念国へのすべての米国投資を阻害したり、米国人の活動にセクター全体の制限を課すことを意図していないことである。命令で列挙された、プログラムの焦点となる技術および製品のハイレベル・カテゴリーは以下の通りである: (1)半導体・マイクロエレクトロニクス。財務省は特定の先端技術・製品に関連する取引の禁止を検討しており、その他の技術・製品に関連する届出義務を検討している。(2)量子情報技術。財務省は特定の技術・製品に関連する取引の禁止を検討している。(3)AIシステム。財務省は特定の最終用途を持つ特定の技術・製品に関連する取引について届出義務を検討しており、本明細書で述べるように、その他の特定のケースにおける禁止を検討している。
The Treasury Department anticipates that transactions covered by the program would include certain acquisitions of equity interests ( e.g., mergers and acquisitions, private equity, and venture capital), greenfield, joint ventures, and certain debt financing transactions by United States persons. Given the focus on transactions that could aid in the development of technological advances that pose a risk to U.S. national security, the Treasury Department expects to create a carveout or exception for specific types of transactions, such as certain investments into publicly-traded securities or into exchange-traded funds. 財務省は、このプログラムの対象となる取引には、米国人による特定の持分取得(M&A、プライベート・エクイティ、ベンチャー・キャピタルなど)、グリーンフィールド、ジョイント・ベンチャー、特定の債務融資取引が含まれると予想している。米国の国家安全保障にリスクをもたらすような技術進歩の発展を助ける可能性のある取引に重点を置くことから、財務省は、特定の種類の取引、例えば公開証券への投資や上場ファンドへの投資などについては、カーブアウトまたは例外を設けることを想定している。
It is not proposed that the program provide for retroactive application of the provisions related to the prohibition of certain transactions and the notification of others. However, the Treasury Department may, after the effective date of the regulations, request information about transactions by United States persons that were completed or agreed to after the date of the issuance of the Order to better inform the development and implementation of the program. このプログラムでは、特定の取引の禁止とその他の取引の届出に関する規定の遡及適用は提案されていない。ただし、財務省は規則の発効日以降、本プログラムの開発・実施により良い情報を提供するため、米国人による取引で、令の発布日以降に完了または合意された取引に関する情報を要求することができる。
The Treasury Department, in consultation with the Department of Commerce and, as appropriate, other executive departments and agencies, will evaluate the program after an initial period of no longer than one year following the effective date of the implementing regulations to consider whether adjustments to the program are warranted. 財務省は、商務省および必要に応じて他の行政省庁と協議の上、施行規則の発効日から1年を超えない最初の期間の後にプログラムを評価し、プログラムの調整が正当化されるかどうかを検討する。
III. Issues for Comment III. 意見募集
The Treasury Department welcomes comments and views from a wide range of stakeholders on all aspects of how the Secretary should implement this new program under the Order. The Treasury Department is particularly interested in obtaining information on the topics discussed below. 財務省は、長官が本政令に基づきこの新プログラムをどのように実施すべきかについて、あらゆる側面から広範な利害関係者からの意見および見解を歓迎する。財務省は特に、以下に述べるトピックに関する情報を得たいと考えている。
Note that this ANPRM does not necessarily identify the full scope of potential approaches the Treasury Department might ultimately undertake in regulations to implement the Order. なお、本 ANPRM は、財務省が同令を実施するための規制において最終的に実施する可能性のある手法の全容を 必ずしも明らかにするものではない。
A. Overview A. 概要
The Order frames the key terms that will be developed through rulemaking. Accordingly, United States persons may either be required to notify the Treasury Department of, or be prohibited from undertaking, a transaction with a “covered foreign person”—that is, a “person of a country of concern” (per the President's designation of a country of concern in the Annex to the Order) that is engaged in certain defined activities involving “covered national security technologies and products” that may contribute to the threat to the national security of the United States. These requirements would not apply to a United States person engaged in an “excepted transaction.” Definitions under consideration for these and related terms are discussed below, along with questions on which the Treasury Department seeks comment. 本規則は、規則制定を通じて策定される主要な用語を枠で囲んでいる。従って、米国人は、「対象外国人」、すなわち、米国の国家安全保障に対する脅威につながる可能性のある「対象国家安全保障技術および製品」に関わる特定の定義された活動に従事している「懸念国の人」(令の附属書で大統領が懸念国を指定している)と取引を行う場合、財務省に通知することが義務付けられるか、取引を行うことが禁止される可能性がある。これらの要件は、「除外取引」に従事する米国人には適用されない。これらおよび関連する用語について検討されている定義については、財務省がコメントを求める質問とともに後述する。
B. U.S. Person B. 米国人
The Order authorizes the Secretary to prohibit or require notification of instances where a “United States person” engages in a covered transaction. The Order defines a “United States person” as any United States citizen, lawful permanent resident, entity organized under the laws of the United States or any jurisdiction within the United States, including any foreign branches of any such entity, and any person in the United States. 同令は、「米国人」が対象取引に関与した場合、その取引を禁止したり、通知を要求したりする権限を長官に与えている。米国人」とは、米国市民、合法的永住権保持者、米国法または米国内の司法管轄権に基づき組織された事業体(かかる事業体の外国支店を含む)、および米国内の個人を指す。
The Treasury Department is considering adopting the Order's definition of the term “United States person” without elaboration or amendment and referring to it as a “U.S. person.” The Treasury Department expects the regulations to apply to U.S. persons wherever they are located. 財務省は、"米国人 "という用語について、詳細な説明や修正を加えることなく令の定義を採用し、"U.S. person "と呼ぶことを検討している。財務省は、本規制が米国人の所在地がどこであろうと適用されることを期待している。
The ANPRM seeks comment on this topic including: ANPRMはこのテーマについて、以下のようなコメントを求めている:
1. In what ways, if any, should the Treasury Department elaborate or amend the definition of “U.S. person” to enhance clarity or close any loopholes? What, if any, unintended consequences could result from the definition under consideration? 1. 財務省は、「米国人」の定義をより明確にするため、あるいは抜け穴を塞ぐために、どのような点 で詳細化または修正すべきか。もしあるとすれば、現在検討されている定義により、どのような意図せざる結果が生じ得るか。
2. Are there additional factors that the Treasury Department should consider when determining whether an individual or entity is a “U.S. person”? Please explain. 2. ある個人又は事業体が「米国人」であるか否かを判断する際に、財務省が考慮すべき追加的な 要素はあるか。説明のこと。
C. Covered Foreign Person; Person of a Country of Concern C. 対象外国人;懸念国の人物
The Order requires the Treasury Department to prohibit or require notification of certain transactions by a U.S. person into a “covered foreign person.” The Treasury Department is considering elaborating upon the definition of a “covered foreign person” in the Order to mean (1) a person of a country of concern that is engaged in, or a person of a country of concern that a U.S. person knows or should know will be engaged in, an identified activity with respect to a covered national security technology or product; or (2) a person whose direct or indirect subsidiaries or branches are referenced in item (1) and which, individually or in the aggregate, comprise more than 50 percent of that person's consolidated revenue, net income, capital expenditure, or operating expenses. (For more information on the knowledge standard under consideration, see subsection J below.) 本指令は、財務省に対し、米国人による「対象外国人」への特定の取引を禁止または届出制にすることを求めている。財務省は、同令における "対象外国人 "の定義をより詳細にし、(1)米国人が関与している懸念国の人物、または(2)米国人が関与すると知っている、もしくは知るべき懸念国の人物を意味するものとすることを検討している。(2)(1)で言及された直接または間接の子会社または支店を持ち、個別または合計で、その者の連結収益、純利益、資本支出、営業費用の50%以上を占める者。(検討中の知識標準の詳細については、下記J項を参照のこと)。
Further, the Treasury Department is considering elaborating upon the definition for the term “person of a country of concern” mentioned in the Order to mean (1) any individual that is not a U.S. citizen or lawful permanent resident of the United States and is a citizen or permanent resident of a country of concern; (2) an entity with a principal place of business in, or an entity incorporated in or otherwise organized under the laws of a country of concern; (3) the government of a country of concern, including any political subdivision, political party, agency, or instrumentality thereof, or any person owned, controlled, or directed by, or acting for or on behalf of the government of such country of concern; or (4) any entity in which a person or persons identified in items (1) through (3) holds individually or in the aggregate, directly or indirectly, an ownership interest equal to or greater than 50 percent. さらに、財務省は、令で言及された「懸念国の人物」という用語の定義を、(1)米国市民またはその国の合法的永住者でない個人を意味するものとして、より詳しく検討することを検討している。(2)関係国に主たる事業所を有する事業体、または関係国の法律に基づき法人化もしくは組織化された事業体; (3) 懸念国の政府(その政治的下部組織、政党、機関、団体を含む)、または当該懸念国政府が所有、管理、指揮する者、または当該懸念国政府のために行動する者、または当該懸念国政府のために行動する者、(4) (1)から(3)で特定される者または者が、個人として、または合計して、直接的または間接的に、50%以上の持分を保有する事業体。
The Treasury Department intends that the definitions of “covered foreign person” and “person of a country of concern” together provide clarity and predictability within the scope of the authorities granted by the Order while avoiding major loopholes and unintended consequences. For example, item (2) of the definition of “covered foreign person” is intended to capture parent companies whose subsidiaries and branches engage in activities related to a covered national security technology or product. (Meanwhile, item (1) would capture such subsidiaries and branches themselves as covered foreign persons.) In addition, item (4) of the definition of “person of a country of concern” is intended to capture entities located outside of a country of concern that are majority-owned by persons of a country of concern. 財務省は、「対象外国人」および「懸念国の人物」の定義が、大きな抜け穴や意図せざる結果を回避しつつ、令が認める権限の範囲内で明確性と予測可能性を提供することを意図している。例えば、「対象外国人」の定義の(2)の項目は、子会社や支店が対象となる国家安全保障技術や製品に関連する活動に従事する親会社を捕捉することを意図している。(一方、(1)の項目は、そのような子会社や支店そのものを対象外国人として捕らえるものである)。また、「懸念国の人物」の定義の(4)は、懸念国以外に所在し、懸念国の人物が過半数を所有する事業体を捕捉することを意図している。
The ANPRM seeks comment on this topic including: ANPRM は、このトピックについて、以下のようなコメントを求めている:
3. Should the Treasury Department further elaborate in any way on the definitions of “covered foreign person” and “person of a country of concern” to enhance clarity or close any loopholes? 3. 財務省は、「対象外国人」及び「懸念国人物」の定義について、明確性を高めるため、又は抜け穴 を塞ぐために、何らかの方法で更に詳しく説明すべきか。
4. What additional information would be helpful for U.S. persons to ascertain whether a transaction involves a “covered foreign person” as defined in section III.C? 4. 米国人が、ある取引が第 III.C 項に定義される「対象外国人」を含むかどうかを確認するために、 どのような追加情報が有用か。
5. What, if any, unintended consequences could result from the definitions under consideration? What is the likely impact on U.S. persons and U.S. investment flows? What is the likely impact on persons and investment flows from third countries or economies? If you believe there will be impacts on U.S. persons, U.S. investment flows, third-country persons, or third-country investment flows, please provide specific examples or data. 5. 検討中の定義により、意図せざる結果が生じるとすればどのようなことか。米国人及び米国の投資フローにどのような影響があるか。第三国又はエコノミーからの個人及び投資の流れにはどのような影響があるか。米国の個人、米国の投資フロー、第三国の個人、第三国の投資フローに影響があると考える 場合、具体的な例やデータを示していただきたい。
6. What could be the specific impacts of item (2) of the definition of “covered foreign person”? What could be the consequences of setting a specific threshold of 50 percent in the categories of consolidated revenue, net income, capital expenditures, and operating expenses? Are there other approaches that should be considered with respect to U.S. person transactions into companies whose subsidiaries and branches engage in the identified activity with respect to a covered national security technology or product? 6. 対象外国人」の定義の(2)の具体的な影響はどのようなものか。連結収益、純利益、資本的支出、営業費用のカテゴリーにおいて、50%という具体的な閾値を設定した場合、どのような影響が考えられるか。対象となる国家安全保障技術や製品に関して識別された活動を行う子会社や支店を有する企業に対する米国人の取引に関して検討すべき他のアプローチはあるか。
7. What analysis or due diligence would a U.S. person anticipate undertaking to ascertain whether they are investing in a covered foreign person? What challenges could arise in this process for the investor and what clarification in the regulations would be helpful? How would U.S. persons anticipate handling instances where they attempt to ascertain needed information but are unable to, or receive information they have doubts about? What contractual or other methods might a U.S. person employ to enhance certainty that a transaction they are undertaking is not a covered transaction? 7. 対象外国人に投資しているかどうかを確認するために、米国人はどのような分析又はデューディリ ジェンスを行うことを想定しているか。このプロセスにおいて、投資家にとってどのような課題が生じうるか。また、規制のどのような明確化が有用か。米国人は、必要な情報を確認しようとしたができなかったり、疑わしい情報を受け取ったりした場 合、どのように対処することを想定しているか。U.S. Person が行う取引が対象取引でないことの確実性を高めるために、どのような契約上 の方法やその他の方法を採用できるか。
8. What other recommendations do you have on how to enhance clarity or refine the definitions, given the overall objectives of the program? 8. 本プログラムの全体的な目的に照らして、定義をより明確化し、又は洗練させる方法 について、他にどのような提言があるか。
D. Covered Transactions D. 対象取引
The Order requires the Secretary to promulgate regulations defining “prohibited transactions” and “notifiable transactions.” These are distinct concepts and the scope of each is discussed below in connection with specific “covered national security technologies and products.” 令は、長官に対し、"禁止取引 "及び "通知可能取引 "を定義する規制を公布するよう求めている。これらは異なる概念であり、それぞれの範囲については、特定の「対象となる国家安全保障技術・製品」との関連で後述する。
The Treasury Department is considering using a single term, “covered transaction,” that would apply to the definition of both prohibited and notifiable transactions. Specifically, the Treasury Department is considering defining the term “covered transaction” to mean a U.S. person's direct or indirect (1) acquisition of an equity interest or contingent equity interest in a covered foreign person; (2) provision of debt financing to a covered foreign person where such debt financing is convertible to an equity interest; (3) greenfield investment that could result in the establishment of a covered foreign person; or (4) establishment of a joint venture, wherever located, that is formed with a covered foreign person or could result in the establishment of a covered foreign person. The Treasury Department intends this definition to be forward-looking, and not to cover transactions and the fulfillment of uncalled, binding capital commitments with cancellation consequences made prior to the issuance of the Order. The Treasury Department may, after the effective date of the regulations, request information about transactions by U.S. persons that were completed or agreed to after the date of the issuance of the Order to better inform the development and implementation of the program. 財務省は、禁止取引と通知可能取引の両方の定義に適用される「対象取引」という単一の用語を使用することを検討している。具体的には、米国人による直接的または間接的な(1)対象外国人に対する持分または偶発的持分の取得、(2)対象外国人に対する負債融資の提供(当該負債融資が持分への転換可能な場合)、(3)対象外国人の設立につながる可能性のあるグリーンフィールド投資、(4)対象外国人との合弁事業の設立(所在地は問わない)、または対象外国人の設立につながる可能性のある合弁事業の設立を「対象取引」と定義することを検討している。財務省は、この定義は将来を見据えたものであり、令の発布以前に行われた取引や、解約の結果を伴う未償還の拘束力のある資本コミットメントの履行は対象外とする意向である。財務省は規制の発効日以降、プログラムの開発・実施により良い情報を提供するため、令の発布日以降に完了または合意された米国人による取引に関する情報を要求することができる。
The Treasury Department is considering including “indirect” transactions as “covered transactions” in order to close loopholes that would otherwise result, and to clarify that attempts to evade prohibitions on certain transactions cannot find safe harbor in the use of intermediary entities that are not “U.S. persons” or “covered foreign persons,” as defined. Examples of such conduct could include, but would not be limited to, a U.S. person knowingly investing in a third-country entity that will use the investment to undertake a transaction with a covered foreign person that would be subject to the program if engaged in by a U.S. person directly. 財務省は、「間接的な」取引を「対象取引」に含めることを検討しているが、これは、そうしなければ生じる抜け穴を塞ぐためであり、また、特定の取引に関する禁止事項を回避しようとする試みが、定義どおり「米国人」または「対象外国人」ではない仲介事業体を利用することでセーフハーバーを見出すことはできないことを明確にするためである。そのような行為の例としては、米国人が第三国の事業体に故意に投資し、その事業体がその投資を用いて、米国人が直接行った場合にはプログラムの対象となる対象外国人との取引を行う場合などが考えられるが、これらに限定されるものではない。
The Treasury Department does not intend the definition of “covered transaction” under consideration to apply to the following activities, so long as they do not involve any of the definitional elements of a “covered transaction” and are not undertaken as part of an effort to evade these rules: university-to-university research collaborations; contractual arrangements or the procurement of material inputs for any of the covered national security technologies or products (such as raw materials); intellectual property licensing arrangements; bank lending; the processing, clearing, or sending of payments by a bank; underwriting services; debt rating services; prime brokerage; global custody; equity research or analysis; or other services secondary to a transaction. 財務省は、「対象取引」の定義要素に該当せず、本規則を回避するための努力の一環として行われない限り、以下の行為に「対象取引」の定義を適用することを意図していない: 大学間の研究協力、対象となる国家安全保障技術または製品(原材料など)の契約上の取り決めまたは材料投入の調達、知的財産のライセンス取り決め、銀行融資、銀行による支払の処理、清算または送付、引受サービス、債務格付けサービス、プライム・ブローカレッジ、グローバル・カストディ、株式調査または分析、または取引に付随するその他のサービス。
The definition of “covered transaction” under consideration would also exclude “excepted transactions,” as discussed in this ANPRM. 検討中の「対象取引」の定義は、本ANPRMで議論されているように、「除外取引」も除外する。
The Order describes additional activities that are, or may be, prohibited. In particular, any conspiracy formed to violate the regulations and any action that evades, has the purpose of evading, causes a violation of, or attempts to violate the Order or any regulation issued thereunder is prohibited. 同令は、禁止される、または禁止される可能性のある追加的な行為について記述している。特に、規制に違反するために形成された共謀や、命令やそれに基づき発行された規制を回避したり、回避する目的を持ったり、違反を引き起こしたり、違反を試みたりする行為は禁止されている。
In addition, the Order provides authority to the Secretary to prohibit U.S. persons from “knowingly directing transactions” that would be prohibited transactions pursuant to the Order if engaged in by a U.S. person. さらに、同令は、米国人が行えば同令に基づく禁止取引となるような取引を「故意に指示」することを禁止する権限を長官に与えている。
The Order also provides authority to the Secretary to require U.S. persons to “take all reasonable steps to prohibit and prevent any transaction by a foreign entity controlled by such United States person that would be a prohibited transaction if engaged in by a United States person.” With respect to notifiable transactions, the Order provides authority to the Secretary to require U.S. persons to provide notification of “any transaction by a foreign entity controlled by such United States person that would be a notifiable transaction if engaged in by a United States person.” (For more information on the obligations of U.S. persons with respect to controlled foreign entities, see subsection M below.) 同令はまた、米国人に対し、「当該米国人が支配する外国事業体による、米国人が行えば禁止取引となるような取引を禁止し、防止するためにあらゆる合理的な措置を講じる」ことを要求する権限も与えている。届出可能な取引に関しては、同令は、米国人に対し、「当該米国人が支配する事業体による取引で、米国人が行った場合には届出可能な取引となるもの」の届出を求める権限を長官に与えている。(被支配外国事業体に関する米国人の義務の詳細については、下記M項を参照のこと)。
The ANPRM seeks comment on this topic including: ANPRM は、このトピックについて、以下のようなコメントを求めている:
9. What modifications, if any, should be made to the definition of “covered transaction” under consideration to enhance clarity or close any loopholes? 9. 検討中の「対象取引」の定義について、明確性を高めたり、抜け穴を塞いだりするために、 修正があるとすれば、どのような修正を加えるべきか。
10. What additional information would be helpful for U.S. persons to ascertain whether a transaction is a “covered transaction” as defined in section III.D? 10. ある取引が III.D 項に定義される「対象取引」に該当するかどうかを確認するために、 U.S. Person にとってどのような追加情報が有用か。
11. What, if any, unintended consequences could result from the definition of “covered transaction” under consideration? What is the likely impact on U.S. persons and U.S. investment flows? What is the likely impact on persons and investment flows from third countries or economies? If you believe there will be impacts on U.S. persons, U.S. investment flows, third-country persons, or third-country investment flows, please provide specific examples or data. 11. 検討中の「対象取引」の定義により、意図せざる結果が生じる可能性があるとすれば、 どのようなものか。米国人及び米国の投資フローにどのような影響があるか。第三国又はエコノミーからの個人及び投資フローにどのような影響があるか。米国の個人、米国の投資フロー、第三国の個人、第三国の投資フローに影響があると考える 場合は、具体的な例やデータを示していただきたい。
12. How, if at all, should the inclusion of “debt financing to a covered foreign person where such debt financing is convertible to an equity interest” be further refined? What would be the consequences of including additional debt financing transactions in the definition of “covered transaction”? 12. 対象となる外国人に対する負債性資金調達であって、当該負債性資金調達が持 分に転換可能であるもの」を含めることを、もし可能であれば、さらにどのように すべきか。対象取引」の定義に追加の負債性資金調達取引を含めると、どのような影響があるか。
13. The Treasury Department is considering how to treat follow-on transactions into a covered foreign person and a covered national security technology or product when the original transaction relates to an investment that occurred prior to the effective date of the implementing regulations. What would be the consequences of covering such follow-on transactions? If you believe certain follow-on transactions should or should not be covered, please provide examples and information to support that position. 13. 財務省は、当初の取引が施行規則の発効日前に行われた投資に関連する場合、対象となる外国人と対象となる国家安全保障技術又は製品との間のフォローオン取引をどのように取り扱うかを検討している。このようなフォローオン取引を対象とした場合、どのような影響があるか。特定のフォローオン取引を対象とすべきか、あるいは対象とすべきでないと考えるのであれば、その立場を裏付ける例と情報を提供していただきたい。
14. How could the Treasury Department provide clarity on the definition of an “indirect” covered transaction? What are particular categories that should or should not be covered as “indirect” covered transactions, and why? 14. 財務省は、「間接的な」対象取引の定義をどのように明確にすることができるか。また、「間接的な」対象取引としてカバーすべき、あるいはカバーすべきでない特定のカテゴリーは何か。
15. How could prongs (3) and (4) of the “covered transaction” definition under consideration be clarified in rulemaking such that a U.S. person can ascertain whether a greenfield or joint venture investment “could result” in the establishment of a covered foreign person? What are the impacts and consequences if a knowledge standard, actual or constructive, is used as part of these prongs? What are the impacts and consequences if a foreseeability standard is used as part of these prongs? (For more information on the knowledge standard under consideration, see subsection J below.) 15. 検討されている「対象取引」の定義の(3)及び(4)は、グリーンフィールド投資やジョイント・ベンチャー投 資が対象外国人の設立に「つながる可能性がある」かどうかを米国人が確認できるようなルール作りにおい て、どのように明確化できるか。これらの条項の一部として、知識標準(実際的か推定的かを問わない)が使用された場合、 どのような影響や結果になるか?これらの条項の一部として予見可能性標準が使用された場合、どのような影響と結果が生じるか?(検討されている知識標準の詳細については、下記J項を参照のこと)。
16. Please specify whether and how any of the following could fall within the considered definition of “covered transaction” such that additional clarity would be beneficial given the policy intent of this program is not to implicate these activities unless undertaken as part of an effort to evade these rules: 16. 本プログラムの政策意図が、本規則を回避する努力の一環として実施されない限り、これらの活動に関与しないことであることを踏まえ、以下のいずれかが、「対象となる取引」の考慮された定義に該当する可能性があるかどうか、また、どのように該当する可能性があるかについて、明確にしていただきたい:
University-to-university research collaborations; 大学間の研究協力;
Contractual arrangements or the procurement of material inputs for any of the covered national security technologies or products; 対象となる国家安全保障技術や製品に関する契約上の取 り決めや材料投入の調達;
Intellectual property licensing arrangements; 知的財産のライセンス契約
Bank lending; 銀行融資;
The processing, clearing, or sending of payments by a bank; 銀行による支払処理、清算、または送金;
Underwriting services; 引受業務
Debt rating services; 債務格付けサービス
Prime brokerage; プライム・ブローカー業務
Global custody; and グローバル・カストディ
Equity research or analysis. 株式調査または分析
17. Are there other secondary or intermediary services incident to a transaction where there may be questions about whether they fall within the definition of “covered transaction”? What are these situations and what are the reasons they should or should not be within the definition of a “covered transaction”? 17. 取引に付随する他のセカンダリーサービスや仲介サービスで、「対象取引」の定義に入るかど うか疑問があるものはあるか。このような状況とはどのようなものか、また、それらが「対象取引」の定義に含まれるべき、あ るいは含まれるべきではない理由は何か。
E. Excepted Transactions E. 例外取引
Certain transactions may fall within the definition of “covered transaction” as set forth in section III.D but, due to the nature of the transaction, present a lower likelihood of concern. With an interest in minimizing unintended consequences and focusing on transactions that present a higher risk, the Treasury Department is considering a category of transactions that would be “excepted transactions” and thus excluded from the definition of “covered transaction.” The definition under consideration for “excepted transaction” is: ある種の取引は、III.D.節に定める "対象取引 "の定義に含まれるかもしれないが、取引の性質上、懸念される可能性は低い。意図せざる結果を最小限に抑え、より高いリスクをもたらす取引に焦点を当てるという観点から、財務省は、"対象取引 "の定義から除外される "除外取引 "となるカテゴリーを検討している。検討されている "対象外取引 "の定義は以下の通りである:
1.a. An investment: 1.a. 投資:
i. into a publicly traded security, with “security” defined as set forth in section 3(a)(10) of the Securities Exchange Act of 1934; or i. 1934年証券取引所法第3条(a)(10)に規定される「証券」を意味する、公開証券への投資。
ii. into an index fund, mutual fund, exchange-traded fund, or a similar instrument (including associated derivatives) offered by an investment company as defined in the section 3(a)(1) of the Investment Company Act of 1940 or by a private investment fund; or ii.1940年投資会社法第3条(a)(1)に定義される投資会社、または私募投資ファンドが提供するインデックスファンド、ミューチュアルファンド、上場ファンド、または類似商品(関連デリバティブを含む)への投資。
iii. made as a limited partner into a venture capital fund, private equity fund, fund of funds, or other pooled investment funds, in each case where iii. ベンチャー・キャピタル・ファンド、プライベート・エクイティ・ファンド、ファンド・オブ・ファンズ、その他のプール型投資ファンドにリミテッド・パートナーとして出資する。
A. the limited partner's contribution is solely capital into a limited partnership structure and the limited partner cannot make managerial decisions, is not responsible for any debts beyond its investment, and does not have the ability (formally or informally) to influence or participate in the fund's or a covered foreign person's decision making or operations and A. リミテッド・パートナーの出資は、リミテッド・パートナーシップ構造への資本のみであり、リミテッド・パートナーは経営上の意思決定を行うことができず、出資額以上の負債に対して責任を負わず、ファンドまたは対象外国人の意思決定や運営に影響を与えたり、参加したりする能力(公式または非公式)を有していない。
B. the investment is below a de minimis threshold to be determined by the Secretary. B. 投資額が、長官が定める最低基準額以下である。
1.b. Notwithstanding a., any investment that affords the U.S. person rights beyond those reasonably considered to be standard minority shareholder protections will not constitute an “excepted transaction;” such rights include, but are not limited to: 1.b. a.にかかわらず、標準的な少数株主の保護と合理的に考えられる以上の権利を米国人に与える投資は、「除外された取引」には該当しない:
i. Membership or observer rights on, or the right to nominate an individual to a position on, the board of directors or an equivalent governing body of the covered foreign person; or i. i.対象外国人の取締役会または同等のガバナンス団体における会員権もしくはオブザーバー権、ま たは役職に個人を指名する権利。
ii. Any other involvement, beyond the voting of shares, in substantive business decisions, management, or strategy of the covered foreign person. or ii. 株式の議決権を超えて、対象外国人の実質的な事業決定、経営、または戦略に関与すること。
2. The acquisition of the equity or other interest owned or held by a covered foreign person in an entity or assets located outside of a country of concern where the U.S. person is acquiring all interests in the entity or assets held by covered foreign persons; or 2. 米国人が、対象外国人が保有する事業体または資産のすべての持分を取得する懸念国以外に所在する事業体または資産において、対象外国人が所有または保有する持分またはその他の持分を取得すること。
3. An intracompany transfer of funds from a U.S. parent company to a subsidiary located in a country of concern; or 3. 米国の親会社から関係国に所在する子会社への企業内資金移動。
4. A transaction made pursuant to a binding, uncalled capital commitment entered into before the date of the Order. 4. 令の施行日前に締結された拘束力のある無担保資本コミットメントに従って行われた取引。
The objective of item 1. of the definition of “excepted transaction” under consideration is to carve out certain transactions that are unlikely to involve the transfer of both capital and additional benefits to a covered foreign person. With respect to item 1.a.iii, the Treasury Department is considering whether the exception should only apply to investors or investments into funds beneath a defined threshold, based on one or more benchmarks such as the size of the limited partner's investment in the fund or the size of the limited partner itself. The rationale for this approach is that transactions above a threshold are more likely to involve the conveyance of intangible benefits such as those often associated with larger institutional investors, including standing and prominence, managerial assistance, and enhanced access to additional financing. 現在検討されている「除外取引」の定義の1.の目的は、対象となる外国人に対する資本と追加的便益の両方の移転を伴う可能性が低い特定の取引を除外することである。項目1.a.iiiに関して、財務省は、リミテッド・パートナーのファンドへの投資規模やリミテッド・パートナー自体の規模など、1つ以上のベンチマークに基づき、定義された閾値以下のファンドへの投資家または出資にのみ例外を適用すべきかどうかを検討している。このアプローチの根拠は、閾値以上の取引は、地位や知名度、経営支援、追加融資へのアクセス強化など、大口機関投資家にしばしば関連するような無形の便益の伝達を伴う可能性が高いからである。
The objective of item 2. under consideration is to carve out buyouts of country of concern ownership, which eliminates the opportunity and incentive for a U.S. person to lend support to a covered foreign person. The objective of item 3. is to avoid unintended interference with the ongoing operation of a U.S. subsidiary in a country of concern when that U.S. subsidiary meets the definition of a covered foreign person, although the Treasury Department anticipates that the definition of a “covered transaction” under consideration would not apply to most routine intracompany actions such as the sale or purchase of inventory or fixed assets, the provision of paid services, the licensing of technology, or the provision of loans, guarantees, or other obligations. (The subsidiary, as a covered foreign person, would still be covered by the relevant provisions as it relates to other U.S. persons, and the U.S. parent would have other obligations as related to an entity that it controls—see subsection M for more information.) The objective of item 4. is to avoid penalizing U.S. persons who have entered into binding agreements prior to the date of the Order. 検討されている項目2.の目的は、対象外国人に対する米国人による支援の機会やインセンティブを排除するため、対象国の所有権に関するバイアウトを除外することである。検討されている「対象取引」の定義は、在庫や固定資産の売買、有償サービスの提供、技術のライセンス供与、融資、保証、その他の債務の提供など、ほとんどの日常的な企業内行為には適用されないと財務省は予想しているが、項目3.の目的は、当該国の米国子会社が対象外国人の定義に該当する場合、その継続的な運営に対する意図せざる干渉を回避することである。(子会社は、対象外国人として、他の米国人に関連する関連条項の適用を受け、米国の親会社は、支配する事業体に関連する他の義務を負うことになる。) 4.の目的は、令日前に拘束力のある契約を締結した米国人に対するペナルティを避けることである。
The ANPRM seeks comment on this topic including: ANPRMは、このトピックについて以下のようなコメントを求めている:
18. What modifications, if any, should be made to the definition of “excepted transaction” under consideration to enhance clarity or close any loopholes? 18. 検討中の「除外取引」の定義について、明確性を高めたり、抜け穴を塞いだりするために、 修正があるとすれば、どのような修正を加えるべきか。
19. What information would a U.S. person need to obtain to ascertain whether a transaction is an “excepted transaction” as defined in section III.E? 19. ある取引が III.E 項で定義される「除外取引」に該当するかどうかを確認するために、 U.S. Person はどのような情報を入手する必要があるか。
20. What, if any, unintended consequences could result from the definition under consideration? What is the definition's likely impact on U.S. persons and U.S. investment flows? What is the likely impact on persons and investment flows from third countries or economies? If you believe there will be impacts on U.S. persons, U.S. investment flows, third-country persons, or third-country investment flows, please provide specific examples or data. 20. 検討中の定義により、意図せざる結果が生じるとすればどのようなことか。当該定義が U.S. Person 及び U.S. Investment Flow に与える影響はどのようなものか。第三国又はエコノミーからの個人及び投資の流れにはどのような影響があるか。U.S. Person、U.S. Investment Flow、第三国の Person、または第三国の Investment Flow に影響があると考える場合には、具体的な例やデータを提示していただきたい。
21. What other types of investments, if any, should be considered “excepted transactions” and why? Are there any transactions included in the definition under consideration that should not be considered “excepted transactions,” and if so, why? 21. その他に「除外される取引」とみなされるべき投資の種類があれば、その理由を教えてく ださい。検討中の定義に含まれる取引で、「除外取引」と見なすべきではないものがあるか。
22. The Treasury Department is considering the appropriate scope of item 1.a.iii of “excepted transaction,” which carves out from program coverage certain transactions by U.S. persons made as a limited partner where the investment is below a de minimis threshold. The goal of the qualifier in item 1.a.iii.B is to exclude from the “excepted transaction” carveout those transactions in excess of a set threshold, which would be set at a high level, where there is a greater likelihood of additional benefits being conveyed, and the U.S. limited partner knows or should have known that the venture capital fund, private equity fund, fund of funds, or other pooled investment fund into which the U.S. person is investing as a limited partner, itself invests in one or more covered foreign persons. The Treasury Department is considering defining such a threshold with respect to one or more factors such as the size of the U.S. limited partner's transaction, and/or the total assets under management of the U.S. limited partner. The concern is the enhanced standing and prominence that may be associated with the size of the transaction or the investor, and increased likelihood of the conveyance of intangible benefits to the covered foreign person. What are the considerations as to the impact of this potential limitation on U.S. investors, and in particular, categories of U.S. investors that may invest in this manner as limited partners? If the Treasury Department includes a threshold based on the size of the U.S. limited partner's investment in the fund, what should this threshold be, and why? If the Treasury Department includes a threshold based on assets under management, what should this threshold be, and why? What are the costs and benefits to either of these approaches? What other approaches should the Treasury Department consider in creating a threshold, above which the “excepted transaction” exception would not apply—for example, what would be the considerations if the threshold size was with respect to the limited partner's investment as a percentage of the fund's total capital? 22. 財務省は、1.a.iii "excepted transaction "の適切な適用範囲について検討している。項目1.a.iii.Bにある限定詞の目的は、高水準に設定される閾値を超える取引で、追加的な便益が伝達される可能性が高く、かつ、米国人がリミテッド・パートナーとして投資しているベンチャー・キャピタル・ファンド、プライベート・エクイティ・ファンド、ファンド・オブ・ファンズ、その他のプールされた投資ファンドが、それ自体、1人以上の対象外国人に投資していることを米国人リミテッド・パートナーが知っているか、知るべきであった場合、「除外取引」の対象から除外することである。財務省は、米国人リミテッド・パートナーの取引規模や、米国人リミテッド・パートナーの運用資産総額など、1つ以上の要素に関して、このような閾値を定義することを検討している。懸念されるのは、取引や投資家の規模が大きくなればなるほど、その地位や知名度が向上し、対象外国人に無形の利益が移転する可能性が高まることである。この潜在的な制限が米国の投資家、特にリミテッド・パートナーとしてこのような方法で投資する可能性のある米国の投資家のカテゴリーに与える影響について、どのように考えるか?財務省が、米国リミテッド・パートナーのファンドへの投資規模に基づく閾値を設ける場合、 その閾値はどのようにすべきか、またその理由は何か。財務省が資産管理に基づく閾値を設ける場合、その閾値はいくらにすべきか、またその理由は何か。これらのアプローチのコストとメリットは何か。例えば、ファンドの総資本に占めるリミテッド・パートナーの投資額の割合を閾値とす る場合、どのような検討が必要か。
23. When investing as a limited partner into a financing vehicle that involves the pooling of funds from multiple investors with the intent to engage in multiple transactions—such as a venture capital or private equity fund—what, if any, covenants, contracts, or other limitations could a U.S. investor attach to their capital contribution to ensure the U.S. investor's capital is not invested in a covered transaction, even if the fund continues to invest in covered transactions? What burdens would this create for U.S. investors? If such limitations existed or were required, how might investment firms change how they raise capital from U.S. investors, if at all? 23. ベンチャーキャピタルやプライベート・エクイティ・ファンドのように、複数の取引を行 う目的で複数の投資家からの資金をプールする資金調達ビークルにリミテッド・ パートナーとして出資する場合、ファンドが対象取引への出資を継続するとしても、 米国人投資家の資本が対象取引に投資されないようにするために、米国人投資家が出資 に付すことができる特約、契約、その他の制限があるとすれば、どのようなものか。その場合、米国の投資家にどのような負担が生じるか。仮にそのような制限が存在する、あるいは必要であるとした場合、投資会社は米 国投資家からの資金調達方法をどのように変更する可能性があるか。
24. With respect to item 3. of “excepted transaction,” regarding intracompany transfers of funds from a U.S. parent company to a subsidiary located in a country of concern, the Treasury Department is interested in understanding how frequently such intracompany transfers would meet the definition of a “covered transaction.” What would be the impact if the exception were applicable only to relevant subsidiaries that were established as a subsidiary of the U.S. parent before the date of the Order versus also including subsidiaries established at any time in the future? Note that an exception for intracompany transfers from the parent company would not change the status of the subsidiary as a covered foreign person for purposes of receiving investments from other U.S. persons. 24. 例外となる取引」の 3.のうち、米国の親会社から懸念国に所在する子会社への会社 内送金に関して、財務省は、そのような会社内送金がどの程度の頻度で「対象となる取 引」の定義に合致するかを理解したいと考えている。仮に、この例外措置が、令日以前に米国親会社の子会社として設立された関連子会社にのみ適用されるのであれば、将来の任意の時点で設立された子会社も含まれることになるが、どのような影響があるのか。親会社からの企業内移転の例外は、他の U.S. Person から投資を受けるという目的上、当該子会 社の適格外国人としての地位を変更するものではないことに注意されたい。
25. Additionally with respect to item 3., the Treasury Department is considering defining the parent-subsidiary relationship as one in which a U.S. person's ownership interest is equal to or greater than 50 percent. What are the costs and benefits to this approach? 25. さらに、3.に関して、財務省は親子関係を米国人の持分が50%以上であるものと定義することを検討している。このアプローチのコストとメリットは何か。
F. Covered National Security Technologies and Products: Overview F. 対象となる国家安全保障技術・製品 概要
As discussed in section III.D, the Treasury Department is considering defining the term “covered transaction” based on an investment by a U.S. person in or resulting in a covered foreign person. The Order directs the Treasury Department to focus on transactions that include certain covered national security technologies or products. Accordingly, the Treasury Department is considering defining the term “covered foreign person” using a further reference to an identified activity with respect to a designated covered national security technology or product. Thus, the Treasury Department is interested in developing clearly defined and well understood definitions with respect to each designated covered national security technology and product as well as the identified activity linking the foreign person to the technology or product. III.D.で述べたように、財務省は、米国人による対象外国人への投資、またはその結果生じるものに基づき、「対象取引」という用語を定義することを検討している。同令は、特定の国家安全保障技術や製品を含む取引に焦点を当てるよう財務省に指示している。従って、財務省は、指定された国家安全保障上の技術または製品に関して特定された活動へのさらなる言及を用いて、「対象外国人」という用語を定義することを検討している。このように、財務省は、指定された国家安全保障技術や製品、および外国人とその技術や製品を結びつける識別された活動に関して、明確に定義され、よく理解される定義を作成することに関心を抱いている。
The Order defines the term “covered national security technologies and products” to mean sensitive technologies and products in the semiconductors and microelectronics, quantum information technologies, and artificial intelligence sectors that are critical for the military, intelligence, surveillance, or cyber-enabled capabilities of a country of concern, as determined by the Secretary in consultation with the Secretary of Commerce and, as appropriate, the heads of other relevant agencies. Where applicable, “covered national security technologies and products” may be limited by reference to certain end uses of those technologies or products. 同令は、「対象となる国家安全保障技術・製品」を、半導体・マイクロエレクトロニクス、量子情報技術、人工知能分野の機密技術・製品のうち、懸念国の軍事、諜報、監視、サイバー対応能力にとって機微な技術及び製品を意味すると定義している。該当する場合、「対象となる国家安全保障技術・製品」は、それらの技術・製品の特定の最終用途に言及することで限定することができる。
The Treasury Department is considering regulations that would define specific covered national security technologies and products for purposes of notifiable transactions and prohibited transactions based on a description of the technology or product and the relevant activities, capabilities, or end uses of such technology or product, as applicable. U.S. persons undertaking a transaction with a covered foreign person engaged in activities with respect to the technology or product based on the definition would be subject to the program. 財務省は、通知可能な取引および禁止された取引の目的上、特定の国家安全保障技術および製品を、該当する場合には、当該技術または製品および当該技術または製品の関連する活動、能力、または最終用途の説明に基づいて定義する規制を検討している。この定義に基づき、技術や製品に関する活動に従事する対象外国人と取引を行う米国人は、このプログラムの対象となる。
The notification requirement will increase the U.S. Government's visibility into U.S. person transactions involving the defined technologies and products that may contribute to the threat to the national security of the United States. The notifications will be helpful in highlighting trends with respect to related capital flows as well as inform future policy development. The definitions under consideration were crafted with these objectives in mind. この届出義務により、米国政府は、米国の国家安全保障に対する脅威に寄与する可能性のある、定義された技術や製品に関わる米国人の取引を可視化することができる。届出は、関連する資金の流れに関する傾向を明らかにし、将来の政策立案に役立てることができる。現在検討されている定義は、このような目的を念頭に置いて作成された。
The prohibitions under consideration would be narrowly tailored restrictions on specific, identified areas to prevent U.S. persons from investing in the development of technologies and products that pose a particularly acute national security threat. 検討されている禁止事項は、米国人が特に深刻な国家安全保障上の脅威をもたらす技術や製品の開発に投資することを防止するため、特定の識別された分野に対する狭義の制限である。
G. Covered National Security Technology or Product: Semiconductors and Microelectronics G. 対象となる国家安全保障技術・製品 半導体およびマイクロエレクトロニクス
Consistent with the Order, the Treasury Department is considering a prohibition on U.S. persons undertaking certain transactions involving covered foreign persons engaged in activities involving sub-sets of advanced semiconductor and microelectronic technologies and products. Additionally, the Treasury Department is considering requiring notification by U.S. persons for certain other transactions involving covered foreign persons engaged in other semiconductor and microelectronic technologies and products. 同指令に基づき、財務省は、先進的な半導体およびマイクロエレクトロニクス技術・製品のサブセットに関わる活動に従事する対象外国人に対し、米国人が特定の取引を行うことを禁止することを検討している。さらに財務省は、その他の半導体・マイクロエレクトロニクス技術および製品に携わる対象外国人が関与するその他の特定の取引について、米国人による届出を義務付けることを検討している。
The U.S. Government is concerned with the development of semiconductor and microelectronic technology, equipment, and capabilities that will enable the production and certain uses of integrated circuits that will underpin military innovations that improve the speed and accuracy of military decision-making, planning, and logistics, among other things. The prohibition under consideration is focused on three concerns: (i) specific technology, equipment, and capabilities that enable the design and production of advanced integrated circuits or enhance their performance; (ii) advanced integrated circuit design, fabrication, and packaging capabilities; and (iii) the installation or sale to third-party customers of certain supercomputers, which are enabled by advanced integrated circuits. The Treasury Department is also considering a notification requirement for design, fabrication, and packaging of other integrated circuits. The notification requirement is intended to increase the U.S. Government's visibility into the volume and nature of investments and inform future policy decisions. 米国政府は、特に軍事的意思決定、計画、ロジスティクスのスピードと精度を向上させる軍事技術革新を支える集積回路の生産と特定の用途を可能にする半導体およびマイクロエレクトロニクス技術、機器、能力の開発を懸念している。(i)高度集積回路の設計・製造を可能にし、またはその性能を向上させる特定の技術、設備、能力、(ii)高度集積回路の設計、製造、パッケージング能力、(iii)高度集積回路によって実現される特定のスーパーコンピュータのサードパーティ顧客への設置または販売。財務省はまた、その他の集積回路の設計、製造、パッケージングに関する届出義務も検討している。この届出義務は、米国政府による投資の量と性質の可視性を高め、将来の政策決定に役立てることを意図している。
Specifically, the Treasury Department is considering a prohibition on U.S. persons undertaking a transaction with a covered foreign person engaged in activities involving: 具体的には、財務省は、米国人が以下のような活動に従事する対象外国人と取引を行うことを禁止することを検討している:
Technologies that Enable Advanced Integrated Circuits 高度集積回路を可能にする技術
• Software for Electronic Design Automation: The development or production of electronic design automation software designed to be exclusively used for integrated circuit design. • 電子設計自動化のためのソフトウェア: 電子設計自動化ソフトウェア:集積回路設計専用に設計された電子設計自動化ソフトウェアの開発または製造。
• Integrated Circuit Manufacturing Equipment: The development or production of front-end semiconductor fabrication equipment designed to be exclusively used for the volume fabrication of integrated circuits. • 集積回路製造装置: 集積回路製造装置:集積回路の大量生産にのみ使用されるように設計された前工程半導体製造装置の開発または製造。
Advanced Integrated Circuit Design and Production 高度集積回路設計・製造
• Advanced Integrated Circuit Design: The design of integrated circuits that exceed the thresholds in Export Control Classification Number (ECCN) 3A090 in supplement No. 1 to 15 CFR part 774 of the Export Administration Regulations (EAR), or integrated circuits designed for operation at or below 4.5 Kelvin. • 高度集積回路設計: 高度集積回路設計:輸出管理規則(EAR)15CFRパート774の補足No.1の輸出管理分類番号(ECCN)3A090の閾値を超える集積回路、または4.5ケルビン以下で動作するように設計された集積回路の設計。
• Advanced Integrated Circuit Fabrication: The fabrication of integrated circuits that meet any of the following criteria: (i) logic integrated circuits using a non-planar transistor architecture or with a technology node of 16/14 nanometers or less, including but not limited to fully depleted silicon-on-insulator (FDSOI) integrated circuits; (ii) NOT–AND (NAND) memory integrated circuits with 128 layers or more; (iii) dynamic random-access memory (DRAM) integrated circuits using a technology node of 18 nanometer half-pitch or less; (iv) integrated circuits manufactured from a gallium-based compound semiconductor; (v) integrated circuits using graphene transistors or carbon nanotubes; or (vi) integrated circuits designed for operation at or below 4.5 Kelvin. • 高度集積回路製造: 高度集積回路製造:以下の基準のいずれかを満たす集積回路の製造: (i)非平面型トランジスタ・アーキテクチャを使用する論理集積回路、または完全空乏型シリコン・オン・インシュレータ(FDSOI)集積回路を含むがこれに限定されない16/14ナノメートル以下の技術ノードを有する集積回路、(ii)128層以上のNOT-AND(NAND)メモリ集積回路; (iii) ハーフピッチ18ナノメートル以下の技術ノードを使用するダイナミック・ランダム・アクセス・メモリ(DRAM)集積回路、(iv) ガリウム系化合物半導体から製造される集積回路、(v) グラフェン・トランジスタまたはカーボン・ナノチューブを使用する集積回路、(vi) 4.5ケルビン以下で動作するように設計された集積回路。 5 ケルビン以下で動作するように設計された集積回路。
○ “Fabrication of integrated circuits” is defined as the process of forming devices such as transistors, poly capacitors, non-metal resistors, and diodes, on a wafer of semiconductor material.
「集積回路の製造」とは、半導体材料のウェハー上にトランジスタ、ポリキャパシタ、非金属抵抗、ダイオードなどのデバイスを形成する工程と定義される。
• Advanced Integrated Circuit Packaging: The packaging of integrated circuits that support the three-dimensional integration of integrated circuits, using silicon vias or through mold vias. • 高度集積回路パッケージング: 集積回路の 3 次元集積をサポートするパッケージで、シリコン・ビアまたはスルー・モールド・ビアを使用する。
○ “Packaging of integrated circuits” is defined as the assembly of various components, such as the integrated circuit die, lead frames, interconnects, and substrate materials, to form a complete package that safeguards the semiconductor device and provides electrical connections between different parts of the die.
「集積回路のパッケージング」とは、集積回路のダイ、リードフレーム、相互接続、基板材料などのさまざまなコンポーネントを組み立て、半導体デバイスを保護し、ダイのさまざまな部分間の電気的接続を提供する完全なパッケージを形成することと定義される。
Supercomputers スーパーコンピュータ
• Supercomputers: The installation or sale to third-party customers of a supercomputer, which are enabled by advanced integrated circuits, that can provide a theoretical compute capacity of 100 or more double-precision (64-bit) petaflops or 200 or more single-precision (32-bit) petaflops of processing power within a 41,600 cubic foot or smaller envelope. • スーパーコンピュータ: 41,600立方フィートまたはそれ以下の外囲器内に、100以上の倍精度(64ビット)ペタフロップスまたは200以上の単精度(32ビット)ペタフロップスの処理能力を理論的に提供できる、高度集積回路によって実現されるスーパーコンピュータの設置またはサードパーティ顧客への販売。
In addition, the Treasury Department is considering a requirement for U.S. persons to notify the Treasury Department if undertaking a transaction with a covered foreign person engaged in activities involving any of the below: さらに財務省は、以下のいずれかに関与する活動を行う対象外国人と取引を行う場合、米国人が財務省に通知することを義務付けることを検討している:
• Integrated Circuit Design: The design of integrated circuits for which transactions involving U.S. persons are not otherwise prohibited in section III.G. • 集積回路の設計: 集積回路設計:米国人が関与する取引がIII.G.項で禁止されていない集積回路の設計。
• Integrated Circuit Fabrication: The fabrication of integrated circuits for which transactions involving U.S. persons are not otherwise prohibited in section III.G. • 集積回路の製造: 集積回路の製造:米国人が関与する取引がIII.G.項で禁止されていない集積回路の製造。
• Integrated Circuit Packaging: The packaging of integrated circuits for which transactions involving U.S. persons are not otherwise prohibited in section III.G. • 集積回路パッケージング: 集積回路のパッケージング:III.G.項において,米国人が関与する取引が禁止されていない集積回路のパッケージング。
The ANPRM seeks comment on this topic including: ANPRM は、このトピックについて、以下を含むコメントを求めている:
26. Where possible, please provide empirical data about trends in U.S. investment into country of concern entities engaged in the activities described in section III.G. Based on this data, are there emerging trends with respect to U.S. outbound investments in semiconductors and microelectronics in countries of concern that would not be captured by the definitions in section III.G? If so, what are they?  26. 可能であれば、III.G.項に記載された活動に従事する懸念国事業体への米国投資の傾向に関する実証デー タを提供してほしい。このデータに基づき、III.G.項の定義では捕捉されない懸念国における半導体及 びマイクロエレクトロニクスへの米国の対外投資に関して新たな傾向はあるか。あるとすれば、それは何か。
27. Please identify any areas within this category where investments by U.S. persons in countries of concern may provide a strategic benefit to the United States, such that continuing such investment would benefit, and not impair, U.S. national security. Please also identify any key factors that affect the size of these benefits ( e.g., do these benefits differ in size depending on the application of the technology or product at issue?). Please be specific and where possible, provide supporting material, including empirical data, findings, and analysis in reports or studies by established organizations or research institutions and indicate material that is business confidential per the instructions at the beginning of this ANPRM. 27. このカテゴリーにおいて、懸念国への米国人による投資が米国に戦略的便益をもたらす可能性があり、 そのような投資を継続することが米国の国家安全保障に便益をもたらし、損なわないような分野を特定 していただきたい。また、このような便益の大きさに影響する重要な要因(例えば、問題となっている技術や製品の用途によって、このような便益の大きさは異なるのか?) 具体的に記述し、可能であれば、実証的データ、知見、既 存の組織や研究機構による報告書や研究における分析を含む裏付け資料を提 供し、本ANPRMの冒頭の指示に従い、企業秘密であることを示すこと。
28. What modifications, if any, should be made to the definitions under consideration to enhance clarity or close any loopholes? Please provide supporting rationale(s) and data, as applicable, for any such proposed modification. 28. 明確性を高めるため、または抜け穴を塞ぐために、検討中の定義にどのような修正を加えるべき か。そのような修正案について、根拠となる根拠とデータを、該当する場合、提示してくださ い。
29. With respect to the definition of “Electronic Design Automation Software,” would incorporation of a definition, including one found in the EAR, be beneficial? If so, how? Practically speaking, how would a focus on software for the design of particular integrated circuits— e.g., fin field-effect transistors (FinFET) or gate-all-around field effect transistors (GAAFET)—be beneficial? If so, how could such a focus be incorporated into the definition? 29. 電子設計自動化ソフトウェア」の定義に関して、EAR にある定義を含む定義を組み込むことは有益か。もしそうなら、どのようにか。実際的に言えば、特定の集積回路(例えば、FinFET(Fin Field-Effect Transistor)や GAAFET(Gate-All-AroundField-Effect Transistor))の設計用ソフトウェアに焦点を当てることは、どのように有益か。もしそうなら、そのような焦点をどのように定義に組み込むことができるか。
30. Should the Treasury Department consider additional existing definitions from other U.S. Government regulations or programs? Should the Treasury Department consider any industry definitions that may be relevant? If so, please note any additional specific definitions, with citations, that the Treasury Department should consider in this category. 30. 財務省は、他の米国政府の規制や制度から既存の定義を追加して検討すべきか。財務省は、関連すると思われる業界の定義を検討すべきか。もしそうであれば、財務省がこのカテゴリーで検討すべき追加の具体的な定義があれば、引用を付して記 載していただきたい。
31. How might the Treasury Department further clarify when transactions into entities engaged in activities involving semiconductors and microelectronics in countries of concern would be prohibited, and when they would be allowed but require notification? 31. 財務省は、懸念国において半導体及びマイクロエレクトロニクスに関わる活動を行う事業体への取 引がどのような場合に禁止され、どのような場合に許可されるが届出が必要となるかを更にどの ように明確にすることができるか。
32. In what ways could the definition of “Supercomputer” be clarified? Are there any alternative ways to focus this definition on a threshold of computing power without using the volume metric, such that it would distinguish supercomputers from data centers, including how to distinguish between low latency high-performance computers and large datacenters with disparate computing clusters? Are there any other activities relevant to such supercomputers other than the installation or sale of systems that should be captured? 32. スーパーコンピュータ」の定義をどのような方法で明確にできるか。低遅延の高性能コンピュータと異種の計算クラスターを有する大規模データセンターを区別する方法を含め、スーパーコンピュータとデータセンターを区別するような、体積尺度を使用せずに計算能力の閾値にこの定義に焦点を当てる代替方法はあるか?システムの設置や販売以外に、このようなスーパーコンピュータに関連する活動で、捕捉すべきものはあるか。
H. Covered National Security Technology or Product: Quantum Information Technologies H. 対象となる国家安全保障技術又は製品 量子情報技術
The Order states that the regulations will define “covered national security technologies and products” to include sensitive technologies and products in the quantum information technologies category. 本政令は、規制が「対象となる国家安全保障技術・製品」を定義し、量子情報技術カテゴリの機密技術・製品を含めるとしている。
The U.S. Government is concerned with the development and production of quantum information technologies and products that enable capabilities that could compromise encryption and other cybersecurity controls and jeopardize military communications, among other things. To address these concerns, the Treasury Department is considering a prohibition that would focus on specific and advanced quantum information technologies and products, or with respect to end uses. In the case of quantum sensors, the end-use provisions seek to distinguish from use cases in civilian fields such as medicine and geology, and in the case of quantum networking systems, they seek to avoid capturing quantum systems with no relevance to secure communications or systems related to classical encryption. The Treasury Department is currently not considering a separate notification requirement for quantum information technologies. 米国政府は、特に暗号化やその他のサイバーセキュリティ管理を侵害し、軍事コミュニケーションを危険にさらす可能性のある機能を可能にする量子情報技術や製品の開発・生産に懸念を抱いている。こうした懸念に対処するため、財務省は特定の高度な量子情報技術や製品、あるいは最終用途に焦点を当てた禁止措置を検討している。量子センサーの場合、最終用途の規定は、医学や地質学などの民間分野での使用例と区別することを求めており、量子ネットワークシステムの場合、安全なコミュニケーションと関連性のない量子システムや、古典的な暗号化に関連するシステムの捕捉を避けようとしている。財務省は現在、量子情報技術に関する個別の届出義務を検討していない。
The Treasury Department is considering a prohibition on U.S. persons undertaking a transaction with a covered foreign person engaged in activities involving: 財務省は、米国人が対象となる外国人と取引を行うことを禁止することを検討している:
• Quantum Computers and Components: The production of a quantum computer, dilution refrigerator, or two-stage pulse tube cryocooler. • 量子コンピューターとその部品: 量子コンピュータとその部品:量子コンピュータ、希釈冷凍機、2段パルス管冷凍機の製造。
○ “Quantum computer” is defined as a computer that performs computations that harness the collective properties of quantum states, such as superposition, interference, or entanglement.
量子コンピュータ」とは、重ね合わせ、干渉、もつれなどの量子状態の集合的性質を利用した計算を行うコンピュータと定義される。
• Quantum Sensors: The development of a quantum sensing platform designed to be exclusively used for military end uses, government intelligence, or mass-surveillance end uses. • 量子センサー: 軍事用途,政府情報,または大量監視用途に特化した量子センシングプラットフォームの開発。
• Quantum Networking and Quantum Communication Systems: The development of a quantum network or quantum communication system designed to be exclusively used for secure communications, such as quantum key distribution. • 量子ネットワークと量子コミュニケーションシステム: 量子ネットワークや量子通信システムを開発し,量子鍵配布などのセキュアなコミュニケーションに利用する。
The ANPRM seeks comment on this topic including: ANPRM は、このトピックについて、以下のようなコメントを求めている:
33. Where possible, please provide empirical data about trends in U.S. investment into country of concern entities engaged in quantum information technologies as described in section III.H. Please identify any technologies notable for the high volume or frequency of outbound investment activity or for the low volume or frequency of outbound investment activity. Based on this data, are there U.S. outbound investment trends in quantum information technologies in countries of concern that would not be captured by the definitions in section III.H? If so, what are they? 33. 可能であれば、III.H.項に記載されている量子情報技術に従事する懸念国事業体に対する米国からの投 資の傾向に関する実証データを提供していただきたい。本データに基づき、III.H.項の定義では捕捉できない懸念国における量子情報技術への米国の対外投資動向はあるか。あるとすれば、それは何か。
34. Please identify any areas within this category where investments by U.S. persons in countries of concern may provide a strategic benefit to the United States, such that continuing such investment would benefit, and not impair, U.S. national security. Please also identify any key factors that affect the size of these benefits ( e.g., do these benefits differ in size depending on the application of the technology or product at issue?). Please be specific and where possible, provide supporting material, including empirical data, findings, and analysis in reports or studies by established organizations or research institutions, and indicate material that is business confidential per the instructions at the beginning of this ANPRM. 34. このカテゴリーにおいて、懸念国への米国人による投資が米国に戦略的利益をもたらす可能性があり、そのような投資を継続することが米国の国家安全保障に利益をもたらし、損なわないような分野を特定してほしい。また、このような便益の大きさに影響する重要な要因(例えば、問題となっている技術や製品の用途によって、このような便益の大きさは異なるのか?) 具体的に記述し、可能であれば、実証的データ、知見、既 存の組織や研究機構による報告書や研究における分析など、裏付けとなる資料を提 供し、本ANPRMの冒頭の指示に従い、業務上の機密であることを示すこと。
35. With respect to the definition of “Quantum Computers and Components,” would any further specificity be beneficial and, if so, what, and why? Are there existing definitions from other U.S. Government regulations or programs that are not reflected in section III.H and should be considered? Please provide specificity. 35. 量子コンピュータ及び量子コンポーネント」の定義について、さらに具体的にすることは有益か。III.H.節に反映されておらず、検討すべき他の米国政府の規制やプログラムによる既存の定義があるか。具体的に示すこと。
36. In defining “Quantum Sensors,” the policy objective is to avoid covering quantum sensors designed for commercial uses such as medical and geological applications. As such, the definition under consideration references certain end uses that have national security implications. What are the costs and benefits or unintended consequences with this approach? What alternative frameworks or definitions, if any, should the Treasury Department consider, and why? 36. 量子センサー」の定義において、政策目的は、医療や地質学的応用のような商業的用途の ために設計された量子センサーを対象とすることを避けることである。そのため、現在検討されている定義では、国家安全保障に関わる特定の最終用途に言及している。このアプローチにはどのようなコストとベネフィットがあるのか。また、財務省はどのような代替的な枠組みや定義を検討すべきか。
37. With respect to “Quantum Sensors” and “Quantum Networking and Quantum Communication Systems,” what could be the impact of the language “designed to be exclusively used”? How would the alternative formulation “designed to be primarily used” change the scope? Is there another approach that should be considered? 37. 量子センサー」及び「量子ネットワーキング及び量子コミュニケーションシステム」に関し て、「独占的に使用されるように設計された」という文言はどのような影響を与え得るか?主に使用されるよう設計されている」という代替表現は、範囲をどのように変えるか?検討すべき別のアプローチはあるか?
38. Additionally, with respect to “Quantum Networking and Quantum Communications Systems,” the definition is intended to cover quantum cryptography. Are there other clarifications or enhancements that should be made to this definition? What might inadvertently be captured that was not intended as noted in section III.H? 38. さらに、「量子ネットワーキング及び量子コミュニケーションシステム」に関して、定義は量子 暗号を対象とすることを意図している。この定義について、他に明確化または強化すべき点はあるか。III.H.項に記載されているように、意図していないものが不注意に捕捉される可能性はあるか。
39. Are there other areas of quantum information technologies that should be considered as an addition or alternative to the definitions in section III.H? 39. 量子情報技術に関して、III.H.項の定義に追加または代替することを検討すべき分野はあるか。
Please be specific and where possible, provide supporting material, including empirical data, findings, and analysis in reports or studies by established organizations or research institutions. 具体的に記述し、可能であれば、実証データ、知見、実証機関や研究機構による報告書や研究での分析など、裏付けとなる資料を提示していただきたい。
I. Covered National Security Technology and Product: AI Systems I. 対象となる国家安全保障技術・製品 AIシステム
The Order states that the regulations will define “covered national security technologies and products” to include sensitive technologies and products in the AI systems category. 命令では、規制が「対象となる国家安全保障技術・製品」を定義し、AIシステムのカテゴリーに含まれる機密技術・製品を含めるとしている。
The U.S. Government is concerned with the development of AI systems that enable the military modernization of countries of concern—including weapons, intelligence, and surveillance capabilities—and that have applications in areas such as cybersecurity and robotics. The policy objective is to cover U.S. investment into entities that develop AI systems that have applications that pose significant national security risks without broadly capturing entities that develop AI systems intended only for consumer applications or other civilian end uses that do not have national security consequences. To address these concerns, the Treasury Department is considering a notification requirement and a potential prohibition. 米国政府は、兵器、情報、監視能力など、懸念国の軍事的近代化を可能にし、サイバーセキュリティやロボット工学などの分野に応用されるAIシステムの開発に懸念を抱いている。この政策目的は、国家安全保障に重大なリスクをもたらすアプリケーションを持つAIシステムを開発する事業体への米国投資をカバーすることであり、消費者向けアプリケーションや国家安全保障に影響を与えない他の民間最終用途のみを意図したAIシステムを開発する事業体を広く捕捉することではない。こうした懸念に対処するため、財務省は届出制と禁止制の可能性を検討している。
Whether for purposes of a notification or prohibition, the Treasury Department is considering defining “AI system” as an engineered or machine-based system that can, for a given set of objectives, generate outputs such as predictions, recommendations, or decisions influencing real or virtual environments. AI systems are designed to operate with varying levels of autonomy. Covered foreign persons engaging in the development of software that incorporates an AI system with certain applications or end uses would be within scope. 財務省は、届出制にせよ禁止制にせよ、「AIシステム」の定義を、与えられた目的に対して、現実または仮想環境に影響を与える予測、推奨、決定などの出力を生成することができる工学的または機械ベースのシステムとすることを検討している。AIシステムは、様々なレベルの自律性で動作するように設計されている。特定の用途や最終用途を持つAIシステムを組み込んだソフトウェアの開発に従事する対象外国人は、その範囲に含まれることになる。
If the Treasury Department were to pursue a prohibition in this category, a potential approach is to focus on U.S. investments into covered foreign persons engaged in the development of software that incorporates an AI system and is designed to be exclusively used for military, government intelligence, or mass-surveillance end uses. Alternatively, “primarily used” could take the place of “exclusively used.” 財務省がこのカテゴリーでの禁止を追求する場合、考えられるアプローチは、AIシステムを組み込み、軍事、政府情報、または大量監視の最終用途に独占的に使用されるように設計されたソフトウェアの開発に従事する対象外国人への米国投資に焦点を当てることである。あるいは、"専ら使用される "の代わりに "主として使用される "とすることもできる。
The Treasury Department is considering a requirement for U.S. persons to notify the Treasury Department if undertaking a transaction with a covered foreign person engaged in the development of software that incorporates an artificial intelligence system and is designed to be exclusively used for: cybersecurity applications, digital forensics tools, and penetration testing tools; the control of robotic systems; surreptitious listening devices that can intercept live conversations without the consent of the parties involved; non-cooperative location tracking (including international mobile subscriber identity (IMSI) Catchers and automatic license plate readers); or facial recognition. Alternatively, “primarily used” could take the place of “exclusively used.” 財務省は、米国人に対し、米国で開発されたシステムを使用する場合は財務省に届け出るよう求めることを検討している。財務省は、人工知能システムを組み込み、サイバーセキュリティ・アプリケーション、デジタル・フォレンジック・ツール、侵入テスト・ツール、ロボット・システムの制御、当事者の同意なしに生の会話を傍受できる盗聴装置、非協力的な位置追跡(国際携帯電話加入者識別番号(IMSI)キャッチャーや自動ナンバープレート・リーダーを含む)、顔認識などに独占的に使用されるよう設計されたソフトウェアの開発に携わる対象外国人と取引を行う場合、米国人が財務省に通知することを義務付けることを検討している。あるいは、"専ら使用される "の代わりに "主に使用される "とすることもできる。
AI is a fast-changing technology area with novel aspects. The Treasury Department welcomes comments on this category, including specific suggestions for additional approaches or definitions that should be considered in light of the national security concerns stated in section III.I. AIは斬新な側面を持つ変化の早い技術分野である。財務省は、III.I.項で述べた国家安全保障上の懸念に照らして検討すべき追加的なアプローチや定義に関する具体的な提案を含め、このカテゴリーに関するコメントを歓迎する。
The ANPRM seeks comment on this topic including: ANPRMは、このトピックについて以下のようなコメントを求めている:
40. Where possible, please provide empirical data about trends in U.S. investment into country of concern entities engaged in AI systems as described in section III.I. Please identify any technologies notable for the high volume or frequency of outbound investment activity or for the low volume or frequency of outbound investment activity. Based on this data, are there U.S. outbound investment trends in software that incorporates an AI system in countries of concern that would not be captured by the definitions in section III.I? If so, what are they? 40. 可能であれば、III.I.項に記載されているAIシステムに従事する懸念国事業体への米国投資の傾向に関する実証データを提供していただきたい。また、対外投資活動の量又は頻度が多い、又は対外投資活動の量又は頻度が少ないことで注目される技術を特定していただきたい。このデータに基づき、懸念国におけるAIシステムを組み込んだソフトウェアにおいて、III.I節の定義では捉えられないような米国の対外投資の傾向はあるか。あるとすれば、それは何か。
41. Please identify any areas within this category where investments by U.S. persons in countries of concern may provide a strategic benefit to the United States, such that continuing such investment would benefit, and not impair, U.S. national security. Please also identify any key factors that affect the size of these benefits ( e.g., do these benefits differ in size depending on the application of the technology or product at issue?). Please be specific and where possible, provide supporting material, including empirical data, findings, and analysis in reports or studies by established organizations or research institutions and indicate material that is business confidential per the instructions at the beginning of this ANPRM. 41. このカテゴリーにおいて、懸念国への米国人による投資が米国に戦略的利益をもたらす可能性があり、そのような投資を継続することが米国の国家安全保障に利益をもたらし、損なわないような分野を特定してほしい。また、このような便益の大きさに影響する重要な要因(例えば、問題となっている技術や製品の用途によって、このような便益の大きさは異なるのか?) 具体的に記述し、可能であれば、実証的データ、知見、既 存の組織や研究機構による報告書や研究における分析を含む裏付け資料を提 供し、本ANPRMの冒頭の指示に従い、企業秘密であることを示すこと。
42. As stated in section III.I, the Treasury Department is considering a single definition of an “AI system” whether for purposes of a notification or prohibition. Are there any changes or clarifications that should be made to the definition of “AI system”? What are the consequences and impacts of such a definition? Please provide supporting rationale(s) and data, as applicable, for any such proposed modification. 42. III.I.項で述べたとおり、財務省は、届出目的であれ禁止目的であれ、「AIシステム」の定義を一本化することを検討している。AIシステム」の定義について、変更または明確化すべき点はあるか。そのような定義がもたらす結果や影響は何か。そのような修正案の根拠となる根拠とデータを、該当する場合、提示していただきたい。
43. Given the nature of AI, the Treasury Department is considering the scope of transactions subject to notification and a prohibition by reference to certain end uses of the technologies or products that have national security implications. What are the general policy and practical considerations with an approach related to AI systems designed to be used for specific end uses? What alternative frameworks, if any, should the Treasury Department consider, and why? 43. AIの性質に鑑み、財務省は通告の対象となる取引の範囲や、国家安全保障に影響を及ぼす技術や製品の特定の最終用途を参照した禁止を検討している。特定の最終用途に使用されるよう設計されたAIシステムに関するアプローチについて、一般的な政策上・実務上の留意点は何か。財務省は、代替的な枠組みがあれば、どのようなものを検討すべきか。
44. With respect to AI systems designed to be used for specific end uses, what are the impacts or consequences of including the following end uses: 44. 特定の最終用途に使用されるよう設計されたAIシステムに関して、以下の最終用途を含めることの影響や帰結は何か:
・Military; ・軍事;
・Government intelligence; ・政府情報;
・Mass-surveillance; ・大量監視;
・Cybersecurity applications; ・サイバーセキュリティ用途;
・Digital forensics tools; ・デジタル・フォレンジック・ツール
・Penetration testing tools; ・侵入テストツール
・Control of robotic systems; ・ロボットシステムの制御
・Surreptitious listening devices that can intercept live conversations without the consent of the parties involved; ・当事者の同意なしに生の会話を傍受できる盗聴装置;
・Non-cooperative location tracking (including IMSI catchers and automatic license plate readers); or ・非協力的な位置追跡(IMSIキャッチャーや自動ナンバープレート・リーダーを含む)。
・Facial recognition? ・顔認識
Should any of these items be clarified? Are there other end uses that should be considered? これらの項目のいずれかを明確にすべきか。他に考慮すべき最終用途はあるか。
45. To make sure the development of the software that incorporates an AI system is sufficiently tied to the end use, two primary alternatives are under consideration: “designed to be exclusively used” and “designed to be primarily used.” What are the considerations regarding each approach? Is there another approach that should be considered? 45. AIシステムを組み込んだソフトウェアの開発が最終用途と十分に結びついていることを確認するため、2つの主要な選択肢が検討されている: 「専ら使用されるように設計されたもの」と「主に使用されるように設計されたもの」である。それぞれのアプローチについて、どのような点が考慮されるのか?また、他に考慮すべきアプローチはあるか?
46. The Treasury Department is interested in ways to structure this element of the program that may increase efficiency for U.S. persons in evaluating covered transactions. One approach may be to focus on transactions involving entities engaged in the development of software incorporating AI systems that are also identified on an existing list under a different U.S. Government program that has similar national security underpinnings. What are the considerations as to whether such an approach would be beneficial or not and why? What list or lists, if any, should the Treasury Department consider? 46. 財務省は、米国人が対象取引を評価する際の効率性を高めるようなプログラムのこの 要素を構成する方法に関心を持っている。一つのアプローチは、AI システムを組み込んだソフトウエアの開発に従事する事業体 が関与する取引に焦点を当てることであり、その事業体は、同様の国家安全保障上の裏付けを持 つ別の米国政府プログラムの下で、既存のリストにも特定されている。このようなアプローチが有益か否か、またその理由は何か。もしあるとすれば、財務省はどのようなリストを検討すべきか。
47. What analysis or considerations would a U.S. person anticipate undertaking to ascertain whether investments in this category are covered? In what manner would the investor approach this via due diligence with the target? What challenges could arise in this process for the investor and what clarification in the regulations would be helpful? How would U.S. persons anticipate handling instances where they attempt to ascertain the information but are unable to, or receive information they have doubts about? 47. このカテゴリーへの投資が対象となるかどうかを確認するために、米国人はどのような分析又は検討を行うことが予想されるか。投資家は、投資先とのデューディリジェンスを通じて、どのような方法でアプローチするか。このプロセスにおいて、投資家にとってどのような課題が生じ得るか、また、規 制上どのような明確化が有用か。U.S. Person は、情報を確認しようとしてもできない場合、あるいは疑わしい情報を受け取った場 合、どのように対処すると考えるか。
48. What, if any, additional considerations not discussed in section III.I should the Treasury Department be aware of in considering a prohibition and notification framework as it relates to AI systems? What if any alternate frameworks should the Treasury Department consider, and why? 48. セクションⅢ.Ⅰで議論されていない追加的な検討事項があるとすれば、財務省は AI システムに関連する禁止・通知の枠組みを検討する際にどのような点に留意すべきか。財務省が検討すべき代替的な枠組みがあるとすれば、それは何か。
J. Knowledge Standard J. 知識標準
The Treasury Department is considering regulations that condition a person's obligations on that person's knowledge of relevant circumstances— e.g., where the U.S. person has actual or constructive knowledge that the covered foreign person is engaged in, or will foreseeably be engaged in, certain activity regarding the technology or product. One approach under consideration is to adopt a definition similar to that found in the EAR at 15 CFR 772.1, where “knowledge” means knowledge of a circumstance (including variations such as “know,” “reason to know,” or “reason to believe”) including not only positive knowledge that the circumstance exists or is substantially certain to occur, but also an awareness of a high probability of its existence or future occurrence. Such awareness is inferred from evidence of a person's conscious disregard of facts known to that person and is also inferred from a person's willful avoidance of facts. 例えば、米国人が、対象となる外国人が技術や製品に関する特定の活動に従事していること、または予見可能な範囲で従事することを実際に知っている場合、または予見可能な範囲で知っている場合などである。ここで、「知識」とは、ある状況(「知っている」、「知る理由」、「信じる理由」などのバリエーションを含む)に関する知識を意味し、その状況が存在すること、または発生することが実質的に確実であるという積極的な知識だけでなく、その状況の存在または将来発生する可能性が高いという認識も含まれる。このような認識は、人がその人に知られている事実を意識的に無視した証拠から推測され、また人が故意に事実を回避したことからも推測される。
The Treasury Department is considering adopting this knowledge standard across this program as described herein. This would mean that to be covered by the regulations, a U.S. person would need to know, or reasonably should know based on publicly available information and other information available through a reasonable and appropriate amount of due diligence, that it is undertaking a transaction involving a covered foreign person and that the transaction is a covered transaction. This knowledge standard would also apply to end uses as applicable to some of the definitions of covered national security technologies and products. 財務省は、ここに記載されているように、このプログラム全体にこの知識標準を採用することを検討している。つまり、本規制の対象となるためには、米国人は、対象となる外国人が関与する取引を行おうとしていること、およびその取引が対象となる取引であることを、公表されている情報および合理的かつ適切なデューディリジェンスにより入手可能なその他の情報に基づいて知っている、または合理的に知るべきであると知っている必要があるということである。この知識標準は、対象となる国家安全保障技術・製品の定義の一部に適用されるように、最終用途にも適用される。
The ANPRM seeks comment on this topic including: ANPRM は、このトピックについて、以下のようなコメントを求めている:
49. How could this standard be clarified for the purposes of this program? What, if any, alternatives should be considered? 49. 本プログラムの目的のために、この標準をどのように明確化できるか。代替案があるとすれば、どのようなものを検討すべきか。
50. Is this due diligence already being done by U.S. persons in connection with transactions that would be covered transactions— e.g., for other regulatory purposes, prudential purposes, or otherwise? If so, please explain. What, if any, third-party services are used to perform due diligence as it relates to transactions involving the country of concern or more generally? 50. このデューディリジェンスは、対象取引となる取引に関連して、例えば、他の規制目的、プル デンシャル目的、その他の目的で、既に U.S. Person によって行われているか。もしそうなら、説明してほしい。もしあるのであれば、どのようなサードパーティ・サービスを、対象国またはより一般的な 取引に関連するデューディリジェンスを行うために使用しているか。
51. What are the practicalities of complying with this standard? What, if any, changes to the way that U.S. persons undertake due diligence in a country of concern would be required because of this standard? What might be the cost to U.S. persons of undertaking such due diligence? Please be specific. 51. この標準を遵守するための実務上の課題は何か。この標準のために、U.S. Person が懸念国においてデューディリジェンスを実施する方法に 変更があるとすれば、それはどのようなものか。そのようなデューディリジェンスを行うために、米国人が負担するコストはどの程度か。具体的に教えてほしい。
K. Notification Requirements; Form, Content, and Timing K. 通知要件、形式、内容、タイミング
The Order states that the regulations shall identify categories of notifiable transactions that may contribute to the threat to the national security of the United States identified under the Order and require U.S. persons to notify the Treasury Department of each such transaction. 通達は、通達に基づき特定された米国の国家安全保障に対する脅威に寄与する可能性のある通 知対象取引のカテゴリーを規則で特定し、そのような取引のそれぞれについて米国人が財務省に通 知することを義務付けるとしている。
The Treasury Department is considering requiring U.S. persons to furnish information in the form of a notification for applicable covered transactions in semiconductors and microelectronics and AI systems that includes, but is not limited to: (i) The identity of the person(s) engaged in the transaction and nationality (for individuals) or place of incorporation or other legal organization (for entities); (ii) basic business information about the parties to the transaction, including name, location(s), business identifiers, key personnel, and beneficial ownership; (iii) the relevant or expected date of the transaction; (iv) the nature of the transaction, including how it will be effectuated, the value, and a brief statement of business rationale; (v) a description of the basis for determining that the transaction is a covered transaction—including identifying the covered national security technologies and products of the covered foreign person; (vi) additional transaction information including transaction documents, any agreements or options to undertake future transactions, partnership agreements, integration agreements, or other side agreements relating to the transaction with the covered foreign person and a description of rights or other involvement afforded to the U.S. person(s); (vii) additional detailed information about the covered foreign person, which could include products, services, research and development, business plans, and commercial and government relationships with a country of concern; (viii) a description of due diligence conducted regarding the investment; (ix) information about previous transactions made by the U.S. person into the covered foreign person that is the subject of the notification, as well as planned or contemplated future investments into such covered foreign person; and (x) additional details and information about the U.S. person, such as its primary business activities and plans for growth. 財務省は、半導体・マイクロエレクトロニクスおよびAIシステムに関する該当する対象取引について、米国人に対し、以下を含むがこれに限定されない情報を届出書の形で提供することを義務付けることを検討している: (i) 取引に従事する者の身元及び国籍(個人の場合)又は法人設立地その他の法的組織(事業体の場 合)、(ii) 名称、所在地、事業識別できる情報、主要な人員及び実質的所有者を含む取引当事者に関する基 本的な事業情報、(iii) 取引の関連日又は予定日、(iv) 取引の性質(取引の実行方法、金額及び事業合理性の簡単な説明を含む); (v)対象外国人の対象となる国家安全保障技術及び製品の特定を含む、当該取引が対象取引であると判断する根拠の説明 (vi)取引文書、対象外国人との取引に関する将来の取引を行うための合意又はオプション、パートナーシップ契約、統合契約、その他のサイド・アグリーメント、及び米国人に与えられる権利又はその他の関与の説明を含む、追加の取引情報。 (viii)投資に関して実施されたデューディリジェンスの記述 (ix)米国人が以前に行った対象外国人に対する取引に関する情報 (viii)対象外国人に関する追加的な詳細情報(製品、サービス、研究開発、事業計画、懸念国との商業上および政府との関係を含む) (viii)投資に関して実施されたデューディリジェンスの記述。 (ix)通告の対象となっている対象外国人に対して米国人が過去に行った取引に関する情報、および当該対象外国人に対して計画または予定されている将来的な投資に関する情報、(x)米国人の主要な事業活動や成長計画など、当該米国人に関する追加的な詳細および情報。
With regard to the time frame in which U.S. persons must file notifications, the Treasury Department is considering requiring that notifications be filed no later than 30 days following the closing of a covered transaction. 米国人が届出書を提出しなければならない期間について、財務省は、対象取引の完了後30日以内に届出書を提出することを義務付けることを検討している。
Information would be collected via a portal hosted on the Treasury Department's website to allow U.S. persons to electronically file notifications. The Treasury Department is considering the appropriate confidentiality requirements and restrictions around the disclosure of any information or documentary material submitted or filed with the Treasury Department pursuant to the implementing regulations. The Treasury Department is considering an approach whereby any information or documentary material submitted or filed would not be made public unless required by law, except that the following could be disclosed: (i) Information relevant to any administrative or judicial action or proceeding, including the issuance of any penalties; (ii) information to Congress or to any duly authorized committee or subcommittee of Congress; (iii) information important to the national security analysis or actions of the Treasury Department to any domestic government entity, or to any foreign governmental entity of a United States ally or partner, under the exclusive direction and authorization of the Secretary, only to the extent necessary for national security purposes, and subject to appropriate confidentiality and classification requirements; (iv) information relevant to any enforcement action under the Order and implementing regulations; and (v) information that the parties have consented to be disclosed to third parties. 米国人が電子的に届出書を提出できるよう、財務省のウェブサイトに設置されるポータルを通じて情報が収集されることになる。財務省は、施行規則に従って財務省に提出または提出された情報や文書資料の開示に関する適切な守秘義務や制限について検討している。財務省は、提出または提出されたいかなる情報または文書資料も、法律で要求されない限り公開されないというアプローチを検討しているが、以下のものは開示される可能性がある: (i)罰則の発布を含む、行政または司法の措置または手続きに関連する情報 (ii)連邦議会または連邦議会の正当に権限を与えられた委員会または小委員会への情報; (iii)財務省の国家安全保障上の分析または行動にとって重要な情報を、長官の独占的な指示と承認の下、国家安全保障上必要な範囲に限り、適切な機密保持および分類要件に従って、国内政府事業体、または米国の同盟国もしくはパートナーの外国政府事業体に開示する。
The ANPRM seeks comment on this topic including: ANPRMは、このトピックについて、以下のようなコメントを求めている:
52. How could the categories of information requested be clarified? Where might there be anticipated challenges or difficulties in furnishing the requested information? Please be specific and explain why. 52. 要求される情報のカテゴリーをどのように明確化できるか。要求された情報を提供する上で、どのような課題や困難が予想されるか。その理由を具体的に説明のこと。
53. What additional information, if any, should the Treasury Department collect in support of the objectives of this program and informing future policy development? 53. 財務省は、本プログラムの目的を支援し、将来の政策策定に情報を提供するために、追加的にどのような情報を収集すべきか(もしあれば)。
54. If there are multiple U.S. persons involved in a transaction, would there be benefit to a process that allows a combined notification or should each U.S. person be required to make a separate notification? 54. 一つの取引に複数の U.S. Person が関与している場合、複数の U.S. Person をまとめて通告する プロセスは有益か、それとも各 U.S. Person は個別に通告する必要があるか。
55. What are the considerations with respect to a certification requirement as to the accuracy of the information based on the knowledge of the U.S. person? 55. U.S. person の知識に基づく情報の正確性に関する証明要件に関して、どのような点を考慮す るか。
56. The Treasury Department is considering encouraging joint filings by the relevant U.S. person and covered foreign person. How might joint filings enhance the fidelity of the information provided? What practicalities should be considered? 56. 財務省は、関連する U.S. Person と対象外国人による共同申告を奨励することを検討している。共同提出により、提供される情報の忠実性をどのように高めることができるか。実務上どのような点を考慮すべきか。
57. Should the Treasury Department require prior notification of a covered transaction ( i.e., pre-closing) or permit post-closing notification within a specified period, such as 30 days? What are the anticipated consequences and impacts of these alternatives? Should the notification period be shorter or longer, and why? 57. 財務省は、対象取引の事前届出(すなわち、クロージング前)を要求すべきか、又はクロージング後 の届出(例えば、30 日以内)を認めるべきか。これらの選択肢の結果及び影響はどのようなものが予想されるか。また、その理由は何か。
58. How could the specific information requirements affect transaction activity, if at all? Please be specific. 58. 具体的な情報要件は、取引活動にどのような影響を与える可能性があるか。具体的に示されたい。
59. How should the Treasury Department address the scenario where a transaction for which notification was provided was actually a prohibited transaction? How should the Treasury Department consider options such as ordering divestment and/or the issuance of civil monetary penalties? 59. 届出が行われた取引が実際には禁止されている取引であった場合、財務省はどのように対処すべきか。財務省は事業売却を命じたり、民事上の罰則を科すなどの選択肢をどのように考えるべきか。
60. How should the Treasury Department address the scenario where a U.S. person is unable to gain the knowledge necessary to meaningfully respond to the information requirements? What might a U.S. person do in such a circumstance? 60. 財務省は、米国人が情報要件に適切に対応するために必要な知識を得ることができない場 合、どのように対処すべきか。そのような状況において、米国人は何をしうるか。
61. Would U.S. persons ordinarily rely on legal counsel to assemble and submit the required information for notification? What factors might inform parties' decision as to whether to engage legal counsel? 61. 米国人 は、通常、法律顧問に頼って、届出のために必要な情報を収集し、提出するか。法律顧問を雇うかどうかについて、当事者はどのような要素から判断するのか。
L. Knowingly Directing Transactions L. 故意に取引を指示する
The Order states that “the Secretary [of the Treasury] may prohibit United States persons from knowingly directing transactions if such transactions would be prohibited transactions pursuant to this order if engaged in by a United States person.” Pursuant to this authority, the Treasury Department is considering defining “knowingly” for purposes of this provision in the Order to mean that the U.S. person had actual knowledge, or should have known, about the conduct, the circumstance, or the result. And the Treasury Department is considering defining “directing” to mean that a U.S. person orders, decides, approves, or otherwise causes to be performed a transaction that would be prohibited under these regulations if engaged in by a U.S. person. The Treasury Department is considering excluding from this definition certain identified conduct that is attenuated from the risks to U.S. national security identified in the Order, including the provision of a secondary, wraparound, or intermediary service or services such as third-party investment advisory services, underwriting, debt rating, prime brokerage, global custody, or the processing, clearing, or sending of payments by a bank, or legal, investigatory, or insurance services. 同令は、「(財務省)長官は、米国人が取引を行った場合、当該取引が本令に基づき禁止される取引となる場合、米国人が故意に取引を指示することを禁止することができる」と述べている。この権限に従い、財務省は本令のこの条項における「故意に」の定義を、米国人がその行為、状況、結果について実際に知っていたか、知るべきであったことを意味するものとすることを検討している。また財務省は、「指示する」とは、米国人が行った場合には本規制で禁止される取引を、米国人が命令、決定、承認、またはその他の方法で実行させることを意味すると定義することを検討している。財務省は、この定義から、サードパーティによる投資助言サービス、引受、債務格付け、プライム・ブローカレッジ、グローバル・カストディ、銀行による決済処理、清算、送金、法律、調査、保険サービスなどのセカンダリーサービス、ラップアラウンドサービス、仲介サービスの提供など、同令で特定された米国の国家安全保障に対するリスクから減衰する特定の特定行為を除外することを検討している。
This approach is narrower than the authority afforded to the Treasury Department under the Order. The Treasury Department intends to use the authority to tailor the regulations to prevent loopholes and target the identified national security threat by prohibiting U.S. person activity such as: このアプローチは、同令により財務省に与えられた権限よりも狭いものである。財務省は、抜け穴を防ぎ、識別された国家安全保障上の脅威に的を絞るために、この権限を用いて、以下のような米国人の活動を禁止する規制を行うつもりである:
• Scenario 1: A U.S. person General Partner manages a foreign fund that undertakes a transaction that would be prohibited if performed by a U.S. person. • シナリオ1:米国人ゼネラル・パートナーが外国ファンドを運用し,米国人であれば禁止されている取引を行う。
• Scenario 2: A U.S. person is an officer, senior manager, or equivalent senior-level employee at a foreign fund that undertakes a transaction at that U.S. person's direction when the transaction would be prohibited if performed by a U.S. person. • シナリオ 2:ある U.S. Person が外国ファンドの役員、上級管理職、又は同等の上級レベルの従業 員であり、その U.S. Person の指示により、U.S. Person が行った場合には禁止される取引を行う。
• Scenario 3: Several U.S. person venture partners launch a non-U.S. fund focused on undertaking transactions that would be prohibited if performed by a U.S. person. • シナリオ 3:複数の米国人ベンチャー・パートナーが、米国人であれば禁止されている 取引を行うことを目的とした米国外ファンドを設立する。
By contrast, the Treasury Department currently does not intend “knowingly directing” transactions to cover scenarios such as those described below, and is considering explicitly excluding them from this prohibition: これとは対照的に、財務省は現在のところ、「故意に指示する」取引を以下のようなシナリオに適用することを意図しておらず、明示的にこの禁止事項から除外することを検討している:
• Scenario 4: A U.S. bank processes a payment from a U.S. person into a covered foreign person as part of that U.S. person's engagement in a prohibited transaction. (Note, while the U.S. bank's activity would not be prohibited, the U.S. person's would be.) • シナリオ4:米国の銀行が,米国人が禁止されている取引に関与する一環として,米国人から対象外国人への支払いを処理する。(米国の銀行の行為は禁止されないが,米国人の行為は禁止される。)
• Scenario 5: A U.S. person employed at a foreign fund signs paperwork approving the foreign fund's procurement of real estate for its operations. The same fund invests into a person of a country of concern that would be a prohibited transaction if performed by a U.S. person. • シナリオ 5:外国のファンドに雇用されている米国人が、外国のファンドがその運用のために不動産を 調達することを承認する書類に署名する。同じファンドが、米国人が行えば禁止取引となる懸念国の人物に投資する。
• Scenario 6: A U.S. person serves on the management committee at a foreign fund, which makes an investment into a person of a country of concern that would be a prohibited transaction if performed by a U.S. person. While the management committee reviews and approves all investments made by the fund, the U.S. person has recused themself from the particular investment. • シナリオ 6:ある米国人が外国のファンドの運用委員会の委員を務めており、そのファンドが、 米国人が行った場合には禁止取引となる懸念国の人物への投資を行う。運用委員会はファンドが行うすべての投資を検討・承認するが、米国人は特定の投資から身を引いている。
The ANPRM seeks comment on this topic including: ANPRM は、このトピックについて、以下のようなコメントを求めている:
62. What modifications, if any, should be made to the proposed definition of “knowingly directing” to enhance clarity or close any loopholes? 62. 提案されている「故意に指示する」の定義に、明確性を高めたり、抜け穴を塞いだりするために、 修正があるとすれば、どのような修正を加えるべきか。
63. What, if any, unintended consequences could result from the proposed definition? What is the proposed definition's likely impact on U.S. persons and U.S. investment flows? If you believe there will be impacts on U.S. persons and U.S. investment flows, please provide specific examples or data. 63. 提案されている定義から意図せざる結果が生じるとすれば、それはどのようなものか。提案されている定義が U.S. Person 及び U.S. Investment Flow に与える影響はどのようなも のか。U.S. Person や U.S. Investment Flow に影響があると考える場合には、具体的な例やデータを提 供していただきたい。
64. What, if any, alternate approaches should the Treasury Department consider in order to prevent the conduct enumerated in scenarios 1, 2, and 3 in section III.L? 64. 財務省は、III.L.節のシナリオ 1、2、3 に列挙されている行為を防止するために、別のア プローチがあるとすれば、どのようなものを検討すべきか。
65. If you believe any additional secondary or intermediate services not discussed in section III.L should be explicitly excluded from consideration, please explain why a given service should be excluded. 65. III.L.節で議論されていない追加的な二次的又は中間的サービスを検討対象から 明示的に除外すべきと考える場合、当該サービスを除外すべき理由を説明のこと。
66. Are there other advisory or other similar services provided in the context of foreign investment into a country of concern in the technology and product areas described in this ANPRM that may pose a threat to U.S. national security and should therefore be considered? 66. 本ANPRMに記載されている技術及び製品分野において、懸念国への外国投資の文脈において提供され、米国の国家安全保障に脅威をもたらす可能性があり、したがって考慮されるべき、他の助言又は他の類似のサービスはあるか。
M. Controlled Foreign Entities—Obligations of U.S. Persons M. 管理対象外国事業体-米国人の義務
The Order states that the Secretary may require U.S. persons to: (1) “provide notification to the Department of the Treasury of any transaction by a foreign entity controlled by such United States person that would be a notifiable transaction if engaged in by a United States person”; and (2) “take all reasonable steps to prohibit and prevent any transaction by a foreign entity controlled by such United States person that would be a prohibited transaction if engaged in by a United States person.” (1)「当該米国人が支配する事業体による取引であって、米国人が行った場合には通知可能な取引となるものについて、財務省に通知すること」、(2)「当該米国人が支配する事業体による取引であって、米国人が行った場合には禁止取引となるものを禁止し、防止するためにあらゆる合理的な措置を講じること」。
These two components serve different objectives, but they are implemented using a similar mechanism that places responsibility with the U.S. parent, and they share certain definitions and concepts. Pursuant to this authority, the Treasury Department is considering rules that would place certain obligations on U.S. persons related to foreign entities that they control. The Treasury Department is considering defining a “controlled foreign entity” as a foreign entity in which a U.S. person owns, directly or indirectly, a 50 percent or greater interest. これら2つの構成要素は目的は異なるが、米国の親会社に責任を負わせる同様の仕組みで実施され、一定の定義と概念を共有している。この権限に従い、財務省は、米国人が支配する外国事業体に関連する米国人に一定の義務を課す規則を検討している。財務省は、米国人が直接または間接的に50%以上の持分を所有する外国事業体を「支配外国事業体」と定義することを検討している。
Further, the Treasury Department is considering whether and how to define “all reasonable steps.” These could include factors such as (i) relevant binding agreements between a U.S. person and the relevant controlled foreign entity or entities; (ii) relevant internal policies, procedures, or guidelines that are periodically reviewed internally; (iii) implementation of periodic training and internal reporting requirements; (iv) implementation of effective internal controls; (v) a testing and auditing function; and (vi) the exercise of governance or shareholder rights, where applicable. さらに、財務省は "全ての合理的な措置 "をどのように定義するかについても検討している。これには、(i)米国人と関連する被支配外国事業体との間の関連する拘束力のある契約、(ii)内部で定期的に見直される関連する内部方針、手続、またはガイドライン、(iii)定期的な研修や内部報告要件の実施、(iv)効果的な内部統制の実施、(v)テストおよび監査機能、(vi)該当する場合にはガバナンスまたは株主権の行使、などの機能が含まれる可能性がある。
The ANPRM seeks comment on this topic including: ANPRMは、このトピックについて、以下のようなコメントを求めている:
67. What are the considerations as to whether a foreign entity is a “controlled foreign entity” of a U.S. person, as the Treasury Department is considering defining it? What if any changes should be made to the definition of “controlled foreign entity” to make its scope and application clearer? Why? What, if any, changes should be made to broaden or narrow it? Why? 67. 財務省が定義を検討しているように、外国事業体が米国人の「支配外国事業体」に該当するかどうかにつ いて、どのような点が考慮されるか。その範囲と適用をより明確にするために、「支配外国事業体」の定義に変更を加えるべきとし ては、どのようなものがあるか?なぜか。定義を広げたり狭めたりする変更があるとすれば、どのような変更が必要か?その理由は何か。
68. What, if any, changes should be made to the factors informing “all reasonable steps” in order to make its scope and application clearer? Why? What would be the consequences and impacts of adopting these factors? 68. すべての合理的な措置」の範囲と適用をより明確にするために、「すべての合理的な措置」 を示す要素に変更があるとすれば、どのような変更を行うべきか。その理由は何か。これらの要素を採用した場合、どのような結果と影響があるか。
N. National Interest Exemption N. 国家利益の免除
The Order authorizes the Secretary to “exempt from applicable prohibitions or notification requirements any transaction or transactions determined by the Secretary, in consultation with the heads of relevant agencies, as appropriate, to be in the national interest of the United States.” 同令は長官に対し、「適切な場合、関係省庁の長と協議の上、米国の国益に適うと長官が判断した取引について、適用される禁止事項や届出義務を免除する」権限を与えている。
While the Treasury Department is not considering a case-by-case determination on an individual transaction basis as to whether the transaction is prohibited, must be notified, or is not subject to the program, the Treasury Department likely would need to review the facts and circumstances of the individual transaction subject to consideration for a national interest exemption. 財務省は、その取引が禁止されているのか、届出が必要なのか、あるいはプログラムの対象外なのかについて、個々の取引ごとに判断することは考えていないが、国益免除の検討対象となる個々の取引の事実と状況を検討する必要があると思われる。
The Treasury Department is considering exempting from prohibition certain transactions in exceptional circumstances where the Secretary determines, in consultation with the heads of relevant departments and agencies, as appropriate, and in her sole discretion, that a particular transaction that would otherwise be a prohibited transaction should be permitted because it either (i) provides an extraordinary benefit to U.S. national security; or (ii) provides an extraordinary benefit to the U.S. national interest in a way that overwhelmingly outweighs relevant U.S. national security concerns. 財務省は、例外的な状況において、長官が適切な関係省庁の長と協議の上、独自の裁量で、(i)米国の国家安全保障に特別な便益をもたらす、または(ii)米国の国家安全保障上の懸念を圧倒的に上回る形で米国の国益に特別な便益をもたらす、という理由により、本来禁止取引となる特定の取引を許可すべきと判断した場合、その取引を禁止から除外することを検討している。
The Secretary may request detailed documentation from the relevant U.S. person(s) involved in such proposed transaction(s) in order to consider whether to grant an exemption. The Treasury Department is not considering granting retroactive waivers or exemptions ( i.e., waivers or exemptions after a prohibited transaction has been completed). 長官は、免除を認めるかどうかを検討するために、当該取引案に関係する米国人に対し詳細な書類を要求することができる。財務省は、遡及的な免除(すなわち、禁止されている取引が完了した後の免除)を認めることは考えていない。
The ANPRM seeks comment on this topic including: ANPRM はこのトピックについて、以下のようなコメントを求めている:
69. What would be the consequences and impacts of allowing for exemptions for certain transactions that ordinarily would be prohibited? What, if any, additional or alternate criteria should be enumerated for an exemption? 69. 通常禁止される特定の取引について免除を認めることは、どのような結果と影響をもたらすか。免除のための追加的または代替的な基準がある場合、どのような基準を列挙すべきか。
70. What should the Treasury Department require from the U.S. person to substantiate the need for an exemption from the prohibition? 70. 財務省は、禁止の免除の必要性を立証するために、米国人に何を要求すべきか。
O. Compliance; Record-Keeping O. コンプライアンス、記録保持
The Treasury Department wishes to achieve widespread compliance, and to gather the information necessary to administer and enforce the program, without unduly burdening U.S. persons or discouraging transactions the program is not intended to address. The Treasury Department therefore seeks comment on the compliance and record-keeping controls that may be put in place under the program. 財務省は、米国人に過度の負担を強いることなく、また、本プログラムが意図していない取引を抑制することなく、広くコンプライアンスを達成し、本プログラムの管理・執行に必要な情報を収集したいと考えている。そのため財務省は、本プログラムの下で実施される可能性のあるコンプライアンスおよび記録保持管理についてコメントを求めている。
The ANPRM seeks comment on this topic including: ANPRM では、このトピックについて以下のようなコメントを求めている:
71. What new compliance and recordkeeping controls will U.S. persons anticipate needing to comply with the program as described in this ANPRM? To what extent would existing controls for compliance with other U.S. Government laws and regulations be useful for compliance with this program? 71. 本 ANPRM に記載されているプログラムを遵守するために、米国人は新たにどのような遵守管理・記 録管理が必要になると予想されるか。他の米国政府の法令を遵守するための既存の管理は、本プログラムの遵守にどの程度有用か。
72. What additional information will U.S. persons need to collect for compliance purposes as a result of this program? 72. 本プログラムの結果、米国人はコンプライアンス目的でどのような追加情報を収集す る必要があるか。
P. Penalties P. 罰則
The Order requires the Secretary to investigate, in consultation with the heads of relevant agencies, as appropriate, violations of the Order or the regulations and pursue available civil penalties for such violations. The Order also explicitly prohibits “any conspiracy formed to violate” the Order or implementing regulations as well as “any action that evades, has the purpose of evading, causes a violation of, or attempts to violate” the Order or implementing regulations. It authorizes the Secretary to “refer potential criminal violations of this order or the regulations issued under this order to the Attorney General.” 命令は、長官に対し、必要に応じて関係省庁の長と協議の上、命令または規則の違反を調査し、そのような違反に対して利用可能な民事罰を追求するよう求めている。また、同令は、同令または施行規則を「違反するために形成されたあらゆる謀議」、および同令または施行規則を「回避する、回避する目的を持つ、違反を引き起こす、または違反を試みるあらゆる行為」を明確に禁止している。また、長官は「この命令またはこの命令に基づいて発布された規則に対する刑事違反の可能性を司法長官に照会する」権限を有する。
Further, under the Order, consistent with IEEPA, the Secretary can “nullify, void, or otherwise compel the divestment of any prohibited transaction entered into after the effective date” of the implementing regulations. The Treasury Department would not use this authority to unwind a transaction that was not prohibited at the time it was completed. さらに、この命令では、IEEPAと一致して、長官は施行規則の「発効日以降に締結された禁止された取引の無効化、無効化、その他の方法による強制的な売却」を行うことができる。財務省はこの権限を、取引が完了した時点では禁止されていなかった取引を取り消すために使うことはないだろう。
The Treasury Department is considering penalizing the following with a civil penalty up to the maximum allowed under IEEPA: (i) material misstatements made in or material omissions from information or documentary material submitted or filed with the Treasury Department; (ii) the undertaking of a prohibited transaction; or (iii) the failure to timely notify a transaction for which notification is required. 財務省は、(i)財務省に提出または提出された情報または文書資料における重大な虚偽記載、または重大な記載漏れ、(ii)禁止された取引の引き受け、(iii)届出が必要な取引について適時に届出を行わなかった場合、IEEPAで認められている最大限の民事罰を科すことを検討している。
The ANPRM seeks comment on this topic including: ANPRM はこのトピックについて、以下のようなコメントを求めている:
73. How, if at all, should penalties and other enforcement mechanisms (such as ordering the divestment of a prohibited transaction) be tailored to the size, type, or sophistication of the U.S. person or to the nature of the violation? 73. 罰則及びその他の執行メカニズム(禁止取引の売却命令など)は、U.S. person の規模、種類、洗練度、又は違反の性質に応じて、どのように調整すべきか。
74. What factors should the Treasury Department analyze when determining whether to impose a civil penalty, as well as the amount? 74. 財務省は、民事罰を科すかどうか及び金額を決定する際に、どのような要素を分析す べきであるか?
75. What transaction data sources should the Treasury Department use to monitor compliance with this program? 75. 財務省は、本プログラムの遵守状況を監視するために、どのような取引データソースを 使用すべきか。
76. What process should the Treasury Department institute in the event of a required divestment order? 76. 売却命令が出された場合、財務省はどのような手続をとるべきか?
Q. Overarching and Additional Inquiries Q. 包括的・追加的質問
The Treasury Department welcomes comments and views from a wide range of stakeholders on all aspects of how the Secretary should implement the Order. A non-exclusive list of overarching and additional questions for comment is below: 財務省は、長官が本指令をどのように実施すべきかに関するあらゆる側面について、幅広い利害関係者からの意見・見解を歓迎する。包括的・追加的な質問の非排他的リストは以下の通りである:
77. The Order identifies semiconductors and microelectronics, quantum information technologies, and AI systems as technologies and products covered by this program because of their critical role in enhancing the military, intelligence, surveillance, or cyber-enabled capabilities of countries of concern in ways that threaten the national security of the United States. Are there questions about why and how these categories fit into the objectives of the program? Are there specific technologies and products that should be considered and not already discussed in this ANPRM? 77. 本政令は、半導体・マイクロエレクトロニクス、量子情報技術、AI システムを、米国の国家安全保障を脅かす形で懸念国の軍事、諜報、監視、サイバー対応能力を強化する上で極めて重要な役割を果たすため、本プログラムの対象となる技術・製品としている。これらのカテゴリーが本プログラムの目的に適合する理由と方法について疑問はないか?本 ANPRM でまだ議論されていない、検討すべき特定の技術や製品があるか。
78. In light of the Order, what structural features should this program include that are not already previewed in this ANPRM, and why? 78. 本政令に照らして、本プログラムはどのような構造的特徴を含むべきであり、本 ANPRM ではまだプレビューされていないが、その理由は何か。
79. What would be the major risks or obstacles to the effective operation of the program, as proposed? Where possible, please provide supporting material, including empirical data, findings, and analysis in reports or studies by established organizations or research institutions, to illustrate these risks. 79. 提案されている本プログラムの効果的な運用に対する主なリスクや障害は何か。可能であれば、これらのリスクを説明するために、実証的なデータ、知見、定評のある組織や研究機構による報告書や研究における分析など、裏付けとなる資料を提供していただきたい。
80. How significant are the anticipated costs and burdens of the regulations the Treasury Department is proposing? What types of U.S. businesses or firms ( e.g., small businesses) would be particularly burdened by the program? How can such burdens be alleviated, consistent with the stated objectives of the program? 80. 財務省が提案している規制の予想されるコストと負担はどの程度か。どのようなタイプの米国企業(例えば、中小企業)がこのプログラムによって特に負担を強いられるか。また、そのような負担をどのように軽減することができるか。
81. The Treasury Department is interested in exploring public insights and supporting literature associated with outbound investment, to complement our own research to date. Have researchers (including in the fields of political science, international relations, national security law, economics, corporate finance, and other related fields) studied the national security costs and benefits of U.S. investment in countries of concern? Please provide any insights (and supporting literature) that characterize these costs and benefits and/or provides conclusions about net effects. 81. 財務省は、これまでの独自の調査を補完するため、対外投資に関連する一般的な見識や裏付けとなる文献を調査することに関心がある。政治学、国際関係、国家安全保障法、経済学、企業財務、その他関連分野の研究者は、懸念国への米国投資の国家安全保障上のコストと便益について研究しているか。これらの費用と便益を特徴づける、あるいは正味の効果に関する結論を提供する見識(およびそれを裏付ける文献)があれば提示してほしい。
82. How might firms approach compliance related to regulations issued under this Order? What types of requirements would lead to higher compliance costs for firms? What alternatives would result in lower compliance costs? Are there any baseline costs that firms would face regardless of choices the Treasury Department makes during rulemaking? Where possible, please quantify these costs (rough estimates or ranges are helpful as well). 82. この政令に基づく規制に関連するコンプライアンスについて、企業はどのようなアプローチをとる可能性があるか。どのような種類の要件が、企業にとってより高い遵守コストにつながるか。どのような代替案が、より低い遵守コストにつながるか。財務省が規則制定中に行う選択にかかわらず、企業が直面するベースラインコストはあるか。可能であれば、これらのコストを定量化していただきたい(大まかな見積もりや範囲も有用である)。
83. The Treasury Department is interested in understanding the risks of evasion and avoidance; how might U.S. persons or investment targets evade or avoid these regulations, and how should the Treasury Department account for these possible behaviors in the design of the program? 83. 財務省は脱法・回避のリスクを理解することに関心があるが、米国人または投資対象がどのよう にこれらの規制を脱法・回避する可能性があるのか、また、財務省はプログラムの設計にお いて、このような可能性のある行動をどのように考慮すべきか。
Paul M. Rosen, ポール・M・ローゼン
Assistant Secretary for Investment Security. 投資安全保障担当次官補
[FR Doc. 2023–17164 Filed 8–9–23; 4:15 pm] [FR Doc. 2023-17164 Filed 8-9-23; 4:15 pm].
BILLING CODE 4810–AK–P 請求コード 4810-ak-p

 

 

一方、中国は外国資本の投資を誘致...

中華人民共和国政府

・2023.08.13 国务院关于进一步优化外商投资环境 加大吸引外商投资力度的意见

 

どっちが共産国か資本主義国か???

みたいな...

 

 


 

Continue reading "米国 特定の国家安全保障技術および製品への米国投資に関する大統領令 (2023.08.09)"

| | Comments (0)

2023.08.13

中国 国家サイバースペース管理局 企業に関わるネットワーク侵害情報の通報を受理・処理するための実施規範

こんにちは、丸山満彦です。

中国の国家サイバースペース管理局が、起業に対する偽情報等による中傷等の被害を防ぐための届出制度を始めるようですね。。。多分...。中国語と日本語の両方が理解できる人にぜひ、解説をしてもらいたいです。。。

 

中央网信办发布

・2023.08.10 中央网信办印发《网站平台受理处置涉企网络侵权信息举报工作规范》

 

中央网信办印发《网站平台受理处置涉企网络侵权信息举报工作规范》 国家サイバースペース管理局 ウェブサイト・プラットフォームが企業に関わるオンライン侵害情報の通報を受理・処理するための実施規範を発表
为更好维护保障企业和企业家网络合法权益,建立“优化营商网络环境”长效工作机制,近日,中央网信办印发《网站平台受理处置涉企网络侵权信息举报工作规范》。 より良い保護と企業や起業家の合法的な権利と利益を保護するためにネットワーク、"ビジネスネットワーク環境の最適化 "の長期的な作業メカニズムを確立するために、最近、中央インターネット情報オフィスは、"受け入れと企業のネットワークに関連する情報の侵害報告の処分を受け入れるためのウェブサイト・プラットフォームは、規範を作業 "を発行した。
《工作规范》全文如下。 規範の全文は以下の通りである。
第一条 为规范境内网站平台受理处置涉企网络侵权信息举报工作,更好维护企业和企业家网络合法权益,根据《民法典》《网络安全法》《网络信息内容生态治理规定》《互联网用户账号信息管理规定》等法律法规和国家有关规定,结合举报工作实际,制定本规范。 第1条 国内のウェブサイト・プラットフォームの企業関連ネットワーク侵害情報通報業務の受理と廃棄を規制し、企業と事業家ネットワークの合法的な権益をよりよく保護するため、「民法」、「ネットワーク安全法」、「ネットワーク情報コンテンツ生態ガバナンス規定」、「インターネットユーザー口座情報管理規定」などの法律法規と国家の関連規定に基づき、実際の通報業務と結合し、規定を発展させる。
第二条 境内网站平台受理处置涉企网络侵权信息举报,适用本规范。 第2条 国内ウェブサイト・プラットフォームは、企業関連ネットワーク侵害情報報告を受理し、処理し、本規定を適用する。
第三条 网站平台应当按照依法依约、分级分类、限时办结的原则,快速准确受理处置涉企网络侵权信息举报。 第3条 ウェブサイト・プラットフォームは、法律に従い、等級、分類、期限を原則とし、迅速かつ正確に企業関連ネットワーク侵害情報の報告を受理し、処理しなければならない。
第四条 网站平台应当重点受理处置以下涉企网络侵权信息举报: 第4条 ウェブサイト・プラットフォームは、企業が関係する次のようなネットワーク侵害情報の通報の受理と処理に重点を置かなければならない:
(一)混淆企业主体身份的仿冒性信息; (1)事業体の身元を詐称する偽情報;
(二)影响公众公正评判的误导性信息; (2)公正な公的判断に影響を与える誤解を招く情報;
(三)不符合企业客观实际的谣言性信息; (3)企業の客観的な現実と一致しない噂に基づく情報;
(四)贬损丑化企业或企业家的侮辱性信息; (4)企業や事業家を貶め、中傷する情報;
(五)侵害企业家个人隐私的泄密性信息; (5)起業家のプライバシーを侵害するリーク情報;
(六)其他恶意干扰企业正常经营发展的信息。 (6)その他、企業の正常な事業展開を妨げる悪意のある情報。
第五条 涉企网络侵权信息举报满足以下条件的,网站平台应当予以受理: 第5条 ウェブサイトプラットフォームは、以下の条件を満たした企業ネットワーク侵害情報報告書を受け入れるべきである:
(一)提交能够充分陈述举报事项、阐明举报理由的文字举报; (1)報告書の主題を適切に説明し、その理由を説明した報告書を提出すること。
(二)提交企业营业执照、组织机构代码证或企业家身份证明等权利主体资格证明材料;如委托举报的,需提供举报代理人身份证明和授权委托书; (2)ビジネスライセンス、組織コード証明書や起業家の身分証明書やその他の権利の対象資格資料の提出すること。そのような報告を委託する場合、報告代理人の身元と委任状を提出する必要がある;
(三)提交举报人姓名、联系方式; (3)通報者の氏名、連絡先を提出すること;
(四)提交请求采取必要措施的具体网络地址或者足以准确定位侵权内容的相关信息; (4)特定のネットワークアドレスまたは関連情報の侵害内容を正確に特定するのに十分な措置を講じるために必要な要求を提出すること;
(五)提交能够证明举报内容侵权的初步证据材料; (5)侵害の予備的証拠の内容を証明することができる報告書を提出すること;
(六)提交申明举报真实性、合法性的文字保证。 (6)報告書の信憑性、テキスト保証の正当性を確認するために提出すること;。
第六条 网站平台应当及时处理以下仿冒性信息: 第6条 ウェブサイト・プラットフォームは、速やかに次の偽情報に対処しなければならない:
(一)在名称、头像、简介等网络账号名称信息中,违规使用与企业相同或相似的名称标识或企业家姓名肖像的; (1)名前、アバター、プロフィールやその他のネットワークアカウント名の情報では、企業名のロゴや起業家の名前の肖像画と同じまたは類似の違法使用;
(二)假借企业或企业家名义发布信息的; (2)企業名または起業家名を偽って情報を公開すること;
(三)非法镜像企业官方网站、APP,或冒用盗用企业官方网站、APP备案注册信息或其他显著要素特征的; (3)企業の公式ウェブサイトまたはアプリの違法なミラーリング、または企業の公式ウェブサイト、アプリの届出登録情報またはその他の顕著な要素の特徴の不正な流用;
(四)其他引发公众混淆企业主体身份的信息。 (4)その他、公衆が企業主体の身元を混同するきっかけとなる情報。
第七条 网站平台审核仿冒性信息举报,除企业或企业家和举报代理人身份证明外,原则上不再要求其他证据材料。存在依据身份证明难以识别的特殊情形,应当允许企业提供的证据材料包括但不限于: 第7条 ウェブサイト・プラットフォーム監査偽情報報告書は、企業や起業家、報告エージェントの識別に加えて、原則として、もはや他の証拠を必要としない。 識別に基づいて特別な状況の存在を特定することは困難である、企業が証拠資料を提供できるようにする必要があるが、これらに限定されない:
(一)官方网站备案查询证明; (1)公式ウェブサイトの記録検索証明;
(二)官方账号持有证明; (2)公式アカウントの証拠を保持する;
(三)有关部门颁发的权属证书; (3)関連部門が発行した所有権証明書;
(四)企业对外公告声明。 (4)企業の対外発表声明。
第八条 网站平台应当及时处理以下误导性信息: 第8条 ウェブサイト・プラットフォームは、次のような誤解を招く情報を適時に処理しなければならない:
(一)通过增删信息、改变顺序、调整结构等方式,曲解新闻原意的; (1)情報の追加や削除、順序の変更、構成の調整などにより、ニュースの本来の意味を誤認させる行為;
(二)有关部门、新闻媒体等纠正或撤销的过期信息; (2)関連部門、ニュースメディア、その他の古い情報を訂正または撤回する;
(三)删减旧闻旧事发生时间、地点和处理结果,重新发布的; (3)古いニュースや出来事の時間、場所、結果を削除し、再発表する;
(四)使用与内容严重不符的夸张标题的; (4)内容と著しく矛盾する誇張された見出しを使用すること;
(五)强调不利事实,回避有利事实,以偏概全的; (5)不利な事実を強調し、有利な事実を避け、一般化すること;
(六)断章取义企业家或企业代表过往言论的; (6)起業家や企業代表者の過去の発言を脈絡なく引用すること;
(七)片面解读企业各类对外公告的; (7)企業の様々な種類の外部発表を1方的に解釈すること;
(八)其他引发公众误解误读的信息。 (H)その他、大衆の誤解や誤認を誘発する情報。
第九条 网站平台审核误导性信息举报,应当允许企业提供的初步证据材料包括但不限于: 第9条 誤解を招くような情報の報告を審査するウェブサイト・プラットフォームは、企業が以下を含むがこれに限定されない一応の証拠資料を提供することを認めるべきである:
(一)源发新闻稿件; (1)報道機関からのプレスリリース;
(二)具有新闻采编资质的源发媒体的撤稿函; (2)報道資格を有する情報源となるメディアからの撤回書簡;
(三)有关部门依职权制作的文书或出具的证明; (3)関連部門が職権で作成または文書または証明書;
(四)有关部门公开实施的职权行为信息; (4)関係部門が公の場で行った権限行為に関する情報;
(五)有关部门网上信息公示查询结果; (5)関連部門によるオンライン情報開示照会の結果;
(六)企业历史档案记录; (6)企業の歴史的記録;
(七)企业对外公告全文。 (7)企業の対外発表の全文。
第十条 网站平台应当及时处理以下谣言类信息: 第10条 ウェブサイト・プラットフォームは、次の風説に基づく情報を適時に処理しなければならない:
(一)虚构企业家隐私生活的; (1)架空の事業家の私生活;
(二)编造企业违法犯罪或违规生产经营的; (2)企業犯罪または生産管理違反の捏造;
(三)杜撰企业家或企业员工违法犯罪或道德失范的; (3)事業家または企業従業員の法律違反または道徳違反の捏造;
(四)夸大企业或企业家生产经营困难的; (4)企業や事業家の生産と経営の困難の誇張;
(五)歪曲企业或企业家正常生产经营和投资活动的; (5)企業または事業家の正常な生産と経営、投資活動の歪曲;
(六)诋毁企业产品服务质量的; (6)企業の製品とサービスの品質の貶め;
(七)抹黑企业科技创新能力的; (7)企業の科学技術革新能力の貶め;
(八)其他与企业客观实际情况不符的信息。 (8)企業の客観的な現実と矛盾するその他の情報。
第十一条 网站平台审核谣言性信息举报,应当允许企业提供的初步证据材料包括但不限于: 第11条 噂に基づく情報の報告を審査するウェブサイト・プラットフォームは、企業が以下を含むがこれに限定されない資料の1応の証拠を提供できるようにすべきである。
(一)权威辟谣信息; (1)権威のある噂情報;
(二)有关部门依职权制作的文书或出具的证明; (2)関連部門が職権で作成した文書または発行した証明書;
(三)有关部门公开实施的职权行为信息; (3)関連部門が公的に行なった権限行為に関する情報;
(四)有关部门网上信息公示查询结果; (4)関連部門によるオンライン情報公開調査の結果;
(五)有关部门颁发的专业资质证明; (5)関連部門が発行した専門資格証明書;
(六)具有特定资质的第三方机构出具的证明; (6)特定の資格を有する第三者機関が発行した証明書;
(七)国家标准、行业标准、团体标准; (7)国家標準、業界標準、団体標準;
(八)当事双方订立的合同协议。 (8)双方が締結した契約書。
第十二条 网站平台应当及时处理以下侮辱性信息: 第12条 ウェブサイト・プラットフォームは、以下の侮辱的な情報を速やかに処理しなければならない:
(一)攻击谩骂企业或企业家的; (1)企業または事業家への攻撃、罵倒;
(二)涂抹恶搞企业家肖像照片的; (2)なりすまし事業家の肖像の中傷;
(三)与色情低俗话题恶意关联的; (3)ポルノ、下品な話題との悪意ある関連付け;
(四)其他违反公序良俗丑化企业或企业家的信息。 (4)その他公序良俗に反する企業や起業家のスキャンダル情報。
第十三条 网站平台审核侮辱性信息举报,除企业或企业家和举报代理人身份证明外,原则上不再要求其他证据材料。 第13条 ウェブサイト・プラットフォームは、企業や起業家、報告エージェントの識別に加えて、侮辱的な情報の報告を確認するために、原則として、もはや他の証拠資料を必要としない。
第十四条 网站平台应当及时处理以下泄密性信息: 第14条ウェブサイト・プラットフォームは、速やかに次の漏えい情報に対処しなければならない:
(一)违规披露企业家身份证、护照、社保卡、户籍档案等个人身份信息的; (1)事業家の身分証明書、パスポート、社会保障カード、戸籍謄本などの個人識別情報の違反開示;
(二)违规披露企业家家庭住址、电话号码、电子邮箱等个人联系信息的; (2)起業家の自宅住所、電話番号、電子メールアドレスなどの個人連絡情報の違法開示;
(三)其他法律法规禁止披露的隐私信息。 (3)その他の法律法規が禁止している個人情報の開示。
第十五条 网站平台审核泄密性信息举报,除企业或企业家和举报代理人身份证明外,原则上不要求其他证据材料。 第15条 ウェブサイト・プラットフォームが漏えい情報報告を監査する場合、原則として、企業または起業家と報告代理人の身元を確認する以外、その他の証拠資料を必要としない。
第十六条 网站平台应当及时处理以下恶意干扰企业正常生产经营的信息,包括但不限于: 第16条 ウェブサイト・プラットフォームは、速やかに企業情報の正常な生産と運用を含むが、これらに限定されない次の悪意のある干渉に対処しなければならない:
(一)以舆论监督名义进行敲诈勒索的; (1)世論を監視する名目での強要;
(二)恶意集纳企业负面信息的; (2)企業のネガティブ情報の悪意ある収集;
(三)以谋取非法利益为目的,发布企业负面报道评论的; (2)不法利益を得る目的による、企業のネガティブレポート・レビューの掲載;
(四)蹭炒涉企热点事件进行恶意营销的; (4)悪意のある企業のホットな事案への関与;
(五)操纵跨平台账号、关联账号或矩阵账号密集发帖恶意攻击企业或企业家的; (5)クロスプラットフォーム・アカウント、関連アカウント、マトリックス・アカウントを操作して、企業や事業家に対する悪意ある攻撃を集中的に投稿すること;
(六)利用自身信息发布便利,以及技术、流量、影响力优势,攻击抹黑竞争对手的; (6)自社の情報公開の利便性、技術、トラフィック、影響力の優位性を利用した、競合他社への攻撃、信用失墜;
(七)提供涉企业、企业家虚假不实信息推荐词的。 (7)企業や事業家の証言に関わる虚偽で不正確な情報の提供。
第十七条 网站平台审核恶意干扰企业正常生产经营信息举报,应当允许企业提供的初步证据材料包括但不限于: 第17条 ウェブサイト・プラットフォームは、通常の生産と企業の情報レポートの操作の悪意のある干渉を確認するには、企業が一応の証拠資料を提供できるようにする必要があるが、これらに限定されない:
(一)有关部门依职权制作的文书或出具的证明; (1)関連部門が職権で発行した文書または証明書;
(二)有关部门公开实施的职权行为信息; (2)関連部門の権限行為の公的実施に関する情報;
(三)企业自行收集的其他证明证据。 (3)企業自体が他に収集した証拠。
第十八条 伪造证明证据举报、灌水举报等恶意举报的,网站平台可以拒绝处理。 第18条 ウェブサイト・プラットフォームは、偽造された証拠や洪水の報告など、悪質な報告の処理を拒否することができる。
第十九条 网站平台应当综合考虑涉企网络侵权信息的严重程度、发布频次、舆论影响以及社会危害程度等因素,按照宽严相济、统一标准的原则,分级分类、规范准确处置涉企网络侵权信息举报。 第19条 ウェブサイト・プラットフォームは、ネットワークに関連する情報の侵害の深刻さ、リリースの頻度、世論の影響と社会的危害の程度やその他の要因を考慮する必要がある、ネットワークに関連する情報の侵害の寛大さ、統1基準、階層的な分類、標準化された正確な処理の原則に従って報告する。
第二十条 针对事实清楚、举证充分的涉企网络侵权信息举报,网站平台应当采取删除或同等效果的处置措施。 第20条 インターネット上で企業が関与する情報の侵害が報告された明確な事実と十分な証拠に対応し、ウェブサイト・プラットフォームは、削除または同等の処分措置の効果を取るべきである。
第二十一条 针对举报理由充分,但短时间内难以充分举证,且存在以下情形的涉企网络侵权信息举报,网站平台应当采取“限时加私”措施: 第21条 報告する理由は、しかし、短期間内に、完全に証明することが困難であり、企業ネットワーク侵害情報の報告に関連する以下の状況がある場合、ウェブサイト・プラットフォームは、「制限時間プラスプライベート」の措置を取るべきである:
(一)被举报信息刊发于企业生产经营发展关键节点的; (1)企業の生産と運営において、発展の重要な時点で公表された報告情報;
(二)被举报信息涉及事项已被有关部门正式立案调查的; (2)報告された情報は、関連部門によって正式に調査された事項を含む;
(三)其他不及时处置可能给企业造成较大负面影响的。 (3)その他の時機を失した処分は、企業に大きな悪影響を引き起こす可能性がある。
第二十二条 针对举报理由充分,但短时间内难以充分举证,且存在以下情形的涉企网络侵权信息举报,网站平台应当设置争议标记或提供澄清回应服务: 第22条 報告する理由は、しかし、短い期間内に、完全に証明することは困難であり、次のような状況がある企業ネットワーク侵害情報の報告に関連して、ウェブサイト・プラットフォームは、マークを争うか、または説明と応答サービスを提供するために設定する必要がある:
(一)企业与被举报主体存在劳资、合同、股权、产权、债务、消费等纠纷的; (1)企業と報告された労働、契約、持分、財産権、債務、消費者の紛争;
(二)企业与被举报主体属于利益相关方或存在竞争关系的; (2)企業と報告された対象が利害関係者または競争者である;
(三)企业已就被举报信息涉及事项启动起诉、报案等司法行政程序的; (3)起訴、報告、その他の司法・行政手続きを開始するための情報に関連する事項について、企業が報告されている;
(四)被举报信息涉及事项无法得到有关部门证实的; (4)報告された情報が、関連部門が確認できない事項に関するものである;
(五)其他不及时处置可能引发公众较大误解的。 (5)その他の時期尚早な処分は、国民の誤解を拡大する恐れがある。
第二十三条 针对事实清楚、举证充分,且存在以下情形的涉企网络侵权信息举报,网站平台应当依法依约对网络账号采取处置措施: 第23条 事実が明らかであり、証拠が十分であり、通報された企業ネットワーク侵害情報に関連する次のような事情がある場合、ウェブサイト・プラットフォームは、法律に従い、ネットワークアカウントを処分する措置を講じなければならない:
(一)假冒仿冒的; (1)偽造、模倣;
(二)持续发布涉企侵权信息,屡罚屡犯的; (2)企業関連の侵害情報を継続的に公開し、繰り返し違反した場合、繰り返し処罰する;
(三)恶意首发首转、多发多转涉企侵权信息的; (3)悪意を持って、最初のターン、企業関連の侵害情報をより多くのターン;
(四)恶意集纳企业负面信息或发布涉企负面信息,进行敲诈勒索的; (4)悪質な企業ネガティブ情報の収集、または恐喝のための企業ネガティブ情報の公開;
(五)其他情节严重的。 (5)その他の重大な事件。
第二十四条 被举报主体对处置措施提出异议的,网站平台应当要求被举报主体提供不侵权的相关证明,并依据双方举证综合判断、视情处置。 第24条 処分措置に対して異議が報告された場合、ウェブサイト・プラットフォームは、報告された対象者に非侵害の証拠を提出させ、双方の証拠に基づいて総合的に判断し、処分を決定する。
第二十五条 网站平台受理涉股东、高管、子公司、业务合作伙伴等企业利益相关方的网络侵权信息举报,研判认为有必要采取相应处置措施的,应当报请省级网信部门审核。对重大事项,报中央网信办相关司局审核。 第25条 ウェブサイト・プラットフォームは、株主、役員、子会社、ビジネスパートナーおよびその他の利害関係者の情報報告、調査および判断のネットワーク侵害に対処するために適切な措置を講じる必要があることを受け入れ、見直しのために省インターネット情報部門に報告する必要がある。 主要な事項については、見直しのための関連部門や局の中央インターネット情報局。
第二十六条 网站平台及相关从业人员不得滥用举报处置权利,严禁实施有偿删帖、人情删帖等违法违规行为,严禁利用举报处置权利谋取不正当利益。 第26条 ウェブサイト・プラットフォームと関連する実務家は、不適切な利益を求めるために処分を報告する権利の使用を禁止し、投稿やその他の違法行為の削除、有料削除の実装を禁止し、処分を報告する権利を乱用してはならない。
第二十七条 网站平台应当建立健全规章制度,严格工作流程,规范层级把关,强化内部监督,确保依法依规受理处置涉企网络侵权信息举报。 第27条 ウェブサイト・プラットフォームを確立し、規則や規制、厳格なワークフローを改善し、ゲートキーピングのレベルを標準化し、内部監視を強化し、法律や規制に基づき、受け入れ、企業ネットワークに関連する情報の侵害の報告を処分することを確認する必要がある。
第二十八条 网站平台应当建立工作台账,如实记录涉企网络侵权信息举报受理处置全过程,留存全量数据不少于六个月,并在网信部门依法查询时,予以提供。相关账号处置情况,定期报送中央网信办相关司局。 第28条 ウェブサイト・プラットフォームは、作業アカウントを確立する必要がある、正直に受け入れ、企業ネットワークに関連する侵害情報の報告の処分のプロセス全体を記録し、6ヶ月以上のデータの完全な量を保持し、ネットレター部門では、提供するために、法律に従って問い合わせる。 関連するアカウントの処分は、定期的に関連部門や局の中央インターネット情報局に報告した。
第二十九条 各级网信举报部门应当建立健全日常检查和专项检查相结合的工作制度,依法依规对属地网站平台涉企网络侵权信息举报受理处置工作实施监督管理。 第29条 すべてのレベルのネットコムの報告部門は、監督と管理の実装の受け入れと処分を報告企業関連のネットワーク侵害情報のためのローカルウェブサイト・プラットフォームの法律や規則に従って、毎日の検査と作業システムの組み合わせの特別な検査を確立し、改善すべきである。

 

1_20210612030101

| | Comments (0)

米国 国防総省 CDAOが国防総省の新しい生成的AIタスクフォース(タスクフォース・リマ)の指揮を執る

こんにちは、丸山満彦です。

米国の国防総省が、タスクフォース・リマという生成的AIタスクフォースを立ち上げ、国防総省の最高データ・AIオフィサー (CDAO) が 全体をリードすると発表していますね。。。

Department of Defense; DoD

・2023.08.10 DOD Announces Establishment of Generative AI Task Force

 

DOD Announces Establishment of Generative AI Task Force 米国防総省、生成的AIタスクフォースの設立を発表
Today, the Department of Defense (DoD) announced the establishment of a generative artificial intelligence (AI) task force, an initiative that reflects the DoD's commitment to harnessing the power of artificial intelligence in a responsible and strategic manner. 国防総省は本日、生成的人工知能(AI)タスクフォースの設立を発表した。これは、責任ある戦略的な方法で人工知能の力を活用するという国防総省のコミットメントを反映した取り組みである。
Deputy Secretary of Defense Dr. Kathleen Hicks directed the organization of Task Force Lima; it will play a pivotal role in analyzing and integrating generative AI tools, such as large language models (LLMs), across the DoD. キャスリーン・ヒックス国防副長官は、タスクフォース・リマの組織化を指示した。タスクフォース・リマは、大規模言語モデル(LLM)などの生成的AIツールの分析と統合において、国防総省全体で極めて重要な役割を果たすことになる。
"The establishment of Task Force Lima underlines the Department of Defense's unwavering commitment to leading the charge in AI innovation," Hicks said. "As we navigate the transformative power of generative AI, our focus remains steadfast on ensuring national security, minimizing risks, and responsibly integrating these technologies. The future of defense is not just about adopting cutting-edge technologies, but doing so with foresight, responsibility, and a deep understanding of the broader implications for our nation." 「タスクフォース・リマ」の設立は、国防総省がAIイノベーションを主導するという揺るぎないコミットメントを強調するものだ。「私たちが生成的AIの変革力をナビゲートするとき、私たちの焦点は、国家安全保障を確保し、リスクを最小限に抑え、責任を持ってこれらの技術を統合することに変わりはない。国防の未来とは、単に最先端技術を採用することではなく、先見性、責任感、そして我が国に対するより広範な影響を深く理解した上でそうすることである」。
Led by the Chief Digital and Artificial Intelligence Office (CDAO), Task Force Lima will assess, synchronize, and employ generative AI capabilities across the DoD, ensuring the Department remains at the forefront of cutting-edge technologies while safeguarding national security.  最高デジタル・人工知能室(CDAO)が率いるタスクフォース・リマは、国防総省全体で生成的AI能力を評価、同期化、採用し、国防総省が国家安全保障を守りながら最先端技術の最前線に立ち続けることを確実にする。 
"The DoD has an imperative to responsibly pursue the adoption of generative AI models while identifying proper protective measures and mitigating national security risks that may result from issues such as poorly managed training data," said Dr. Craig Martell, the DoD Chief Digital and Artificial Intelligence Officer. "We must also consider the extent to which our adversaries will employ this technology and seek to disrupt our own use of AI-based solutions." 「国防総省は、生成的AIモデルの採用を責任を持って追求する一方で、適切な防御策を特定し、不適切に管理された訓練データなどの問題から生じる可能性のある国家安全保障上のリスクを軽減することが急務である」と、国防総省の最高デジタル・人工知能責任者であるクレイグ・マーテル博士は述べた。「我々はまた、敵対勢力がどの程度この技術を採用し、我々自身のAIベースのソリューションの利用を妨害しようとするかも考慮しなければならない。
Leveraging partnerships across the Department, Intelligence Community and other government agencies, the task force will help minimize risk and redundancy while pursuing generative AI initiatives across the Department.  国防総省、情報ガバナンス・コミュニティ、その他の政府機関を横断するパートナーシップを活用することで、タスクフォースは、国防総省全体で生成的AIイニシアチブを追求しながら、リスクと冗長性を最小限に抑えるのに役立つだろう。 
Artificial intelligence has emerged as a transformative technology with the potential to revolutionize various sectors, including defense. By leveraging generative AI models, which can use vast datasets to train algorithms and generate products efficiently, the Department aims to enhance its operations in areas such as warfighting, business affairs, health, readiness, and policy. 人工知能は、国防を含む様々な分野に革命をもたらす可能性を秘めた変革的技術として浮上している。膨大なデータセットを使ってアルゴリズムを訓練し、効率的に製品を生成できる生成的AIモデルを活用することで、国防総省は戦闘、業務、健康、即応性、政策などの分野で業務を強化することを目指している。
"The adoption of artificial intelligence in defense is not solely about innovative technology but also about enhancing national security," said U.S. Navy Capt. M. Xavier Lugo, Task Force Lima mission commander and member of the CDAO's Algorithmic Warfare Directorate. "The DoD recognizes the potential of generative AI to significantly improve intelligence, operational planning, and administrative and business processes. However, responsible implementation is key to managing associated risks effectively." タスクフォース・リマのミッション司令官であり、CDAOのアルゴリズム戦争部門のメンバーであるM・ザビエル・ルゴ米海軍少佐は次のように述べた。「国防における人工知能の導入は、革新的な技術だけでなく、国家安全保障の強化にもつながる。国防総省は、生成的AIが諜報活動、作戦計画、管理・業務プロセスを大幅に改善する可能性を認識している。しかし、関連リスクを効果的にマネジメントするためには、責任ある導入が鍵となる。」
The CDAO became operational in June 2022 and is dedicated to integrating and optimizing artificial intelligence capabilities across the DoD. The office is responsible for accelerating the DoD's adoption of data, analytics, and AI, enabling the Department's digital infrastructure and policy adoption to deliver scalable AI-driven solutions for enterprise and joint use cases, safeguarding the nation against current and emerging threats. CDAOは2022年6月に運用を開始し、国防総省全体の人工知能能力の統合と最適化に取り組んでいる。CDAOは、国防総省のデータ、アナリティクス、AIの採用を加速させ、国防総省のデジタル・インフラと政策採用を可能にし、エンタープライズと共同使用のケースに拡張可能なAI主導のソリューションを提供し、現在および新たな脅威から国家を守る責任を負う。

 

・2023.08.10 [PDF] MEMORANDUM FOR SENIOR PENTAGON LEADERSHIP - COMMANDERS OF THE COMBATANT COMMANDS DEFENSE AGENCY AND DOD FIELD ACTIVITY DIRECTORS 

20230813-101633

 

DEPUTY SECRETARY OF DEFENSE  国防副長官 
1010 DEFENSE PENTAGON WASHINGTON, DC 20301-1010  1010 国防総省 ワシントン D.C. 20301-1010 
AUG 10 2023  2023年8月10日
MEMORANDUM FOR SENIOR PENTAGON LEADERSHIP  国防総省幹部向け覚書 
COMMANDERS OF THE COMBATANT COMMANDS DEFENSE AGENCY AND DOD FIELD ACTIVITY DIRECTORS  国防総省戦闘司令部司令官および国防総省現場活動部長向け覚書 
SUBJECT: Establishment of Chief Digital and Artificial Intelligence Officer Generative Artificial Intelligence and Large Language Models Task Force, Task Force Lima  件名 生成的人工知能および大規模言語モデル・タスクフォース、タスクフォース・リマの設置について 
Generative artificial intelligence (AI) capabilities, such as Large Language Models (LLM), are growing in popularity, capability, and impact around the globe. These capabilities are trained on massive datasets in order to generate content at a level of detail and apparent coherence that would have previously required human authorship. These capabilities unlock new opportunities, just as they pose significant new risks. The DoD faces an imperative to explore the use of this technology and the potential of these models' scale, speed, and interactive capabilities to improve the Department's mission effectiveness while simultaneously identifying proper protection measures and mitigating a variety of related risks.  大規模言語モデル(LLM)のような生成的人工知能(AI)能力は、世界中で人気、能力、影響力を増している。これらの能力は、膨大なデータセットで訓練され、以前であれば人間が作成する必要があったような詳細で見かけの一貫性のあるレベルのコンテンツを生成する。このような能力は、新たなリスクをもたらすと同時に、新たなチャンスを解き放つ。国防総省は、適切な保護手段を特定し、さまざまな関連リスクを軽減すると同時に、国防総省の任務の有効性を改善するために、この技術の活用と、これらのモデルの規模、速度、対話能力の可能性を探る必要性に直面している。
Accordingly, I chartered the Generative AI and LLM Task Force, Task Force Lima, to focus the Department's exploration and responsible fielding of generative AI capabilities, including LLMs. Consistent with the Chief Digital and Artificial Intelligence Officer's (CDAO) mission and authorities, Task Force Lima will develop, evaluate, recommend, and monitor the implementation of generative AI technologies across DoD to ensure the Department is able to  そこで私は、LLMを含む生成的AI能力の調査および責任ある実戦配備に重点を置くため、生成的AIおよびLLMタスクフォース(タスクフォース・リマ)を発足させた。チーフデジタル・人工知能オフィサー(CDAO)の使命と権限に基づき、タスクフォース・リマは、国防総省全体における生成的AI技術の開発、評価、勧告、実施を監視し、国防総省が以下を確実に行えるようにする。
design, deploy, and use generative AI technologies responsibly and securely. The Task Force will provide guidance and make recommendations for the relevant policy-making bodies to address. The CDAO will lead Task Force Lima; specific roles and responsibilities for governance are discussed in the attached Charter and Generative Artificial Intelligence Coordination and Governance Plan.  生成的AI技術を責任を持って安全に設計、配備、使用できるようにする。タスクフォースは、ガイダンスを提供し、関連する政策決定団体が取り組むべき勧告を行う。CDAO がタスクフォース・リマを主導する。ガバナンスのための具体的な役割と責任は、添付の憲章と生成的人工知能調整・ガバナンス計画に記載されている。
The CDAO, through its Algorithmic Warfare Directorate, will chair Task Force Lima in close collaboration with other Principal Staff Assistants that maintain key roles and responsibilities in AI adoption across the Department. This includes the Offices of the Under Secretary of Defense for Policy (OUSD(P)), the Under Secretary of Defense for Research and Engineering (OUSD(R&E)), the Under Secretary of Defense for Acquisition and Sustainment (OUSD(A&S)), the Under Secretary of Defense for Intelligence and Security (OUSD(I&S)), and the DoD Chief Information Officer (DoD CIO). Key roles and responsibilities include but are not limited to:  CDAOは、そのアルゴリズム戦争局を通じて、省内のAI採用において重要な役割と責任を担う他の首席補佐官と緊密に連携しながら、タスクフォース・リマの議長を務める。これには、政策担当国防次官(OUSD(P))、研究・技術担当国防次官(OUSD(R&E))、取得・維持担当国防次官(OUSD(A&S))、情報・安全保障担当国防次官(OUSD(I&S))、国防総省最高情報責任者(DoD CIO)が含まれる。主な役割と責任は以下の通りであるが、これらに限定されるものではない: 
•      USD(P) is responsible for national security, defense strategy and policy, bilateral, multilateral, and interagency engagement; ・USD(P)は、国家安全保障、防衛戦略・政策、二国間、多国間、省庁間の関与に責任を負う;
•      USD(R&E) is responsible for technology and innovation strategy and research through prototyping; ・米国農務省(R&E)は、技術・イノベーション戦略とプロトタイピングまでの研究に責任を負う;
•      USD(A&S) is responsible for oversight of acquisition strategies, industry engagement, and coordination of major technology sharing agreements; ・米国農務省(A&S)は、取得戦略の監督、産業界の関与、主要技術共有協定の調整に責任を負う;
•      USD(I&S) is responsible for intelligence, counterintelligence, security and sensitive activities; and ・米国防総省(I&S)は情報、防諜、安全保障、機密活動を担当する。
•      CIO is responsible for the DoD information enterprise to include communications, information systems, cybersecurity, and command and control. ・CIOは、コミュニケーション、情報システム、サイバーセキュリティ、指揮統制を含む国防総省の情報エンタープライズに責任を負う。
The Task Force's lessons learned will be provided to the Responsible AI (RAI) Working Council, where all OSD and DoD Components will leverage shared learning to inform their initiatives and policy developments. DoD activities related to generative AI will be coordinated and synchronized via the RAI Working Council and raised through the CDAO Council to the Deputy's Management Action Group as appropriate.  タスクフォースの教訓は、責任あるAI(RAI)作業協議会に提供され、すべてのOSDと国防総省の構成機関は、共有された教訓を活用して、それぞれの取り組みや政策展開に情報を提供する。生成的AIに関連する国防総省の活動は、RAI作業協議会を通じて調整・同期化され、必要に応じてCDAO協議会を通じて副官の管理行動グループに提起される。
To advance a unified approach to responsible adoption and use of this technology, Task Force Lima will provide the framework and initiative for DoD to:  この技術の責任ある採用と使用に対する統一的なアプローチを進めるため、タスクフォース・リマは、国防総省に以下のような枠組みとイニシアチブを提供する: 
•      Accelerate promising generative AI initiatives and joint solutions; ・有望な生成的AIイニシアティブと共同ソリューションを加速させる;
•      Federate disparate developmental and research efforts into a DoD community of practice to accelerate innovation and implementation; ・異種の開発・研究努力を国防総省の実践コミュニティに統合し、技術革新と実装を加速する;
•      Evaluate solutions across Doctrine, Organization, Training, Materiel, Leadership, Personnel, Facilities, and Policy; ・ドクトリン、組織、訓練、資材、リーダーシップ、人事、施設、政策にわたるソリューションを評価する;
•      Drive education and build a culture of responsible implementation and use; and, ・教育を推進し、責任ある実施と使用の文化を構築する、
•      Ensure coordinated DoD engagement with interagency, international, educational, civil society, and industry partners regarding responsible development and use of generative AI. ・生成的AIの責任ある開発と使用に関して、省庁間、国際機関、教育機関、市民社会、産業界のパートナーとの連携した国防総省の関与を確保する。
Task Force Lima will build strong partnerships across OSD and DoD Components, ensuring we collectively learn, responsibly adopt, and diligently advance the security and safety of generative AI. I ask all Components to partner with the Task Force and empower their RAI leads to incorporate its lessons. This technology has the potential to be transformative. We must leverage it to advance our Nation's security, in a responsible manner consistent with our values.  タスクフォース・リマは、OSDと国防総省の各部門にまたがる強力なパートナーシップを構築し、生成的AIの安全性と安全性を集団的に学び、責任を持って採用し、真摯に前進させることを確実にする。私はすべての構成員に、タスクフォースと提携し、その教訓を取り入れるためにRAIのリーダーに権限を与えるよう要請する。このテクノロジーは変革をもたらす可能性を秘めている。われわれは、われわれの価値観に合致した責任ある方法で、国の安全保障を前進させるためにこの技術を活用しなければならない。
Attachments:  添付ファイル 
As stated  記載の通り 
Attachment 1 添付1
Generative Artificial Intelligence and Large Language Model Task Force, Task Force Lima Charter  生成的人工知能および大規模言語モデルタスクフォース、タスクフォース・リマ憲章 
Establishment: Generative artificial intelligence (Al) capabilities such as Large Language Models (LLMs) are growing in popularity, capability, and impact around the globe. These capabilities are trained on massive datasets to generate content at a near-instantaneous speed to a level of detail and apparent coherence which would have previously required human authorship. These capabilities unlock new opportunities, just as they pose significant new and enduring risks. The Department of Defense (DoD) must explore the use of this technology to take advantage of these models' scale, speed, and interactive capabilities to improve the Department's mission effectiveness while identifying proper protection measures, including safeguarding individuals' privacy and civil liberties, and mitigating risks. The Chief Digital and Artificial Intelligence Officer (CDA0) [1] Generative AI and LLM Task Force, Task Force Lima, will focus the Department's exploration and responsible fielding of generative AI capabilities within and across the DoD, providing guidance and making recommendations for the relevant policy-making bodies to address.  制定: 大規模言語モデル(LLM)のような生成的人工知能(Al)能力は、世界中で人気、能力、影響力を増している。これらの能力は、膨大なデータセットで訓練され、以前なら人間が作成しなければならなかったような詳細で見かけの一貫性のあるレベルのコンテンツを、ほぼ瞬時のスピードで生成する。このような能力は、新たなリスクをもたらすと同時に、新たな機会をももたらす。国防省(DoD)は、個人のプライバシーと市民的自由の保護、リスクの軽減を含む適切な防御策を特定しながら、国防省の任務の有効性を向上させるために、これらのモデルの規模、スピード、対話能力を活用するために、この技術の利用を検討しなければならない。デジタル・人工知能最高責任者(CDA0)[1]の生成的AIおよびLLMタスクフォース、タスクフォース・リマは、国防総省内および国防総省全体における生成的AI能力の探求と責任ある実戦配備に重点を置き、ガイダンスを提供し、関連する政策決定団体が取り組むべき勧告を行う。
Mission: Under the guidance of the CDAO Council and in accordance with the Department's AI Ethical Principles,[2] Task Force Lima develops, evaluates, recommends, and monitors the implementation of generative AI technologies across the DoD to ensure the Department is postured to responsibly use, and defend against adversary or other malicious actor's use of generative AI capabilities. Specifically, Task Force Lima will provide the framework and initiative for the DoD to:  任務:CDAO評議会の指導の下、国防総省のAI倫理原則[2]に従い、タスクフォース・リマは、国防総省全体における生成的AI技術の導入の開発、評価、勧告、監視を行い、国防総省が責任を持って生成的AI能力を使用し、敵対者やその他の悪意ある行為者の使用から防衛する態勢を確保する。具体的には、タスクフォース・リマは、国防総省に以下のような枠組みとイニシアチブを提供する: 
· Accelerate innovation and implementation of promising generative AI initiatives and joint solutions ;  ・有望な生成的AIイニシアチブと共同ソリューションのイノベーションと実装を加速する; 
· Federate disparate mission adoption efforts into a DoD community of practice;  ・国防総省の実践共同体(Community of Practice)に、分散している任務採用の取り組みを統合する; 
· Evaluate solutions across Doctrine, Organization, Training, Material, Leadership, Personnel, Facilities, and Policy;  ・教義、組織、訓練、資材、指導力、人事、施設、政策にわたるソリューションを評価する; 
· Drive education and build a culture of responsible implementation and use; and  ・教育を推進し、責任ある導入と利用の文化を構築する。
· Ensure Coordinated DoD engagement with interagency, international, educational, civil society, and industry regarding responsible development and use of generative AI  ・生成的AIの責任ある開発と使用に関して、省庁間、国際機関、教育機関、市民社会、産業界と国防総省の協調的な関与を確保する。
Goals: Task Force Lima will:  目標:タスクフォース・リマは以下を行う: 
· Identify and inventory ongoing research, development, fielding, and use of LLMs andgenerative AI across the DoD;  ・国防総省全体で進行中のLLMと生成AIの研究、開発、実地、使用を特定し、目録を作成する; 
· Develop quantitative and qualitative metrics of performance and effectiveness, including bias and unintended behavior or consequences, to support the assessment of LLM and generative AI-based capabilities and risks;  ・LLMと生成的AIに基づく能力とリスクのアセスメントを支援するため、バイアスや意図しない行動や結果を含む、パフォーマンスと有効性の定量的・定性的指標を開発する; 
· Develop Human-Machine Teaming guidance and metrics for LLM and generative AI- enabled capabilities;  ・LLMと生成的AIを活用した能力について、ヒューマン・マシン・チーミングのガイダンスと評価指標を開発する; 
· Identify, assess, and prioritize mission areas, workflows, and use cases for LLMs and generative AI based on associated feasibility, limitations, effectiveness, and risks;  ・実現可能性、限界、有効性、リスクに基づき、LLMと生成的AIのミッション分野、ワークフロー、ユースケースを特定し、評価し、優先順位をつける; 
· Identify mission areas and workflows where use of LLMs and generative AI is inadvisable due to undue risk or other considerations, and recommend limitations or prohibitions on the Department's use ofgenerative AI where appropriate;  ・過度のリスクやその他の考慮事項により、LLMや生成的AIの使用が望ましくない任務分野やワークフローを特定し、適切な場合には、同省による生成的AIの使用に制限や禁止を勧告する; 
· Support development and demonstration of prototypes of LLM and generative AI-based solutions for these identified use cases through exercises and experiments;  ・演習や実験を通じて、これらの特定されたユースケースに対するLLMや生成的AIベースのソリューションのプロトタイプの開発と実証を支援する; 
· Develop recommendations for DoD on the integration of LLMs and generative AI into workflows and appropriate risk mitigation;  ・LLMと生成的AIのワークフローへの統合と適切なリスク軽減に関する国防総省への提言を作成する; 
· Oversee the integration of LLM and generative AI enhanced workflows/mission threads into joint exercises and experiments such as the CDAO-led Global Information Dominance Experiment series;  ・LLMと生成的AIによって強化されたワークフロー/ミッションスレッドを、CDAO主導のグローバル情報支配実験シリーズなどの合同演習や実験に統合することを監督する; 
· Recommend a long-term DoD governance plan for the development and use of LLMs and generative AI;  ・LLMと生成的AIの開発と使用のための長期的な国防総省ガバナンス計画を提言する; 
· Assess and estimate DoD resourcing needs required to develop, implement, and operationalize the use of LLMs and generative AI at scale across the Department;  ・LLMと生成的AIの利用を国防総省全体で大規模に開発、実施、運用するために必要な国防総省のリソースを評価、見積もる; 
· Support DoD engagement with interagency, international, and industry as well as civil society regarding responsible development and use of LLMs and generative AI; and  ・LLMと生成的AIの責任ある開発と使用に関して、省庁間、国際機関、産業界、市民社会とのDoDの関与を支援する。
· Define risk categories and associated organizational risk to tolerance levels for LLMs and generative AI  ・LLMと生成的AIのリスクカテゴリーと、それに関連する組織のリスク許容度を定義する。
Deliverables: 成果物
· Create a reach back mechanism that connects DoD users with Task Force Lima Subject Matter Experts to field immediate questions and concerns on LLMs and generative AI (Within 14 Days);  ・LLM と生成的 AI に関する緊急の質問と懸念に対応するため、国防総省のユーザーをタスクフォース・リマ の主題専門家につなぐリーチバック・メカニズムを構築する(14 日以内); 
· Interim public affairs and strategic messaging guidance (Within 45 days);  ・広報と戦略的メッセージングの暫定ガイダンス(45 日以内); 
· International engagement plan (Within 60 days);  ・国際的な関与計画(60日以内); 
· Interagency engagement plan (Within 60 days);  ・省庁間の関与計画(60日以内); 
· Provide interim guidance to DoD on the current risks, challenges, and best practices for the use of LLMs and generative AI (Within 45 days);  ・LLMと生成的AIの使用に関する現在のリスク、課題、ベストプラクティスに関する暫定ガイダンスを国防総省に提供する(45日以内); 
· Inventory ofcurrent/planned LLM and generative AI efforts across DoD (FY24 Q1);  ・国防総省全体におけるLLMと生成的AIの取り組みの現状/計画の棚卸し(FY24 Q1); 
· Metrics for LLM and generative AI performance assessment and workflow impacts (FY24 Ql);  ・LLMと生成的AIの性能評価とワークフローへの影響の指標(FY24 Ql); 
· Engagement and messaging strategy for LLM and generative AI Industry Developers (FY24 Ql);  ・LLMと生成的AIの業界開発者に対する関与とメッセージ戦略(FY24 Ql); 
· DoD environment for rapid LLM and generative AI experimentation and iteration (FY24 Q2) ;  ・LLMと生成的AIの迅速な実験と反復のための国防総省環境(FY24 Q2); 
· Assessment and recommendations of LLM and generative AI use cases (FY24 Q2);  ・LLMと生成的AIのユースケースの評価と推奨(FY24 Q2); 
· Guardrails/policies for responsible implementation and use (FY24 Q2);  ・責任ある実装と利用のためのガードレール/ポリシー(FY24 Q2)
· Security and countermeasure assessment and recommendations for generative AI (FY24 Q2);  ・生成的AIのセキュリティと対策に関する評価と提言(FY24 Q2); 
· Recommended prioritized investments and requirements for DoD development and fielding of LLM and generative AI capabilities, to include enabling scaffolding (FY24 Q3);  ・LLM及び生成的AI能力の国防総省による開発及び実戦配備のための優先順位付けされた投資及び要件を提言し、これを可能にする足場を含める(FY24 Q3); 
· Plan for LLM/generative AI governance and oversight (FY24 Q3); and,  ・LLM/生成的AIのガバナンスと監督に関する計画(FY24 Q3)、 
· List o f key topics and issues for use in training (FY24 Q3).  ・訓練で使用するための主要トピックと課題のリスト(FY24 Q3)。
Leadership: The CDAO, through its Algorithmic Warfare Directorate, will chair Task Force Lima リーダーシップ: CDAO は、そのアルゴリズム戦争部門を通じて、タスクフォース・リマの議長を務める。
· Organization: Task Force Lima will be composed of representatives and data leads from across OSD and DoD Components as described in the Memo (TAB A), with participation from the Intelligence Community and interagency partners as appropriate.  ・組織 タスクフォース・リマは、メモ(TAB A)に記載されているように、OSD および国防総省の各部門の代表者お よびデータリードで構成され、必要に応じて情報コミュニティおよび省庁間パートナーの参加も得る。
· Working Groups may be created as required, and in compliance with Department and Federal regulations, to support focus on specific mission areas such as strategy, intelligence, operations, planning, logistics, business processes, and other areas.  ・戦略、情報、作戦、計画、後方支援、ビジネス・プロセス、その他の分野など、特定の任務分野に焦点を当てるため、必要に応じ、また国防総省および連邦の規則に従って、作業部会を設けることができる。
· All members of Task Force Lima or its working groups must be full-time or permanent part- time Federal civilian officers or employees, or active duty members ofthe Armed Forces.  ・タスクフォース・リマまたはその作業部会の全メンバーは、常勤または非常勤の連邦文官、職員、または現役の軍属でなければならない。
Termination: The CDAO is delegated the authority to terminate Task Force Lima in writing and cancel the Deputy Secretary ofDefense memorandum that established it. 終了: CDAO には、タスクフォース・リマを文書で終了させ、タスクフォース・リマを設置した国防副長官の覚書を取り消す権限が委譲されている。
[1] Deputy Secretary of Defense memorandum, "Full Operating Capability of the Chief Digital and Artificial Intelligence Officer," June 8, 2022, found at [web] [1] 国防副長官覚書、「最高デジタル・人工知能責任者の完全運用能力」、2022年6月8日、[web]
[2] US DoD Responsible Artificial Intelligence Strategy and Implementation Pathway, June 2022, found at [web] and [pdf] [2] 米国防総省の責任ある人工知能戦略と導入の道筋, June 2022, at [web] and [pdf]
Attachment 2 添付2
OcoAo  OcoAo 
Chief Digital & Artificial Intelligence Office  チーフ・デジタル&人工知能事務局
9010 DEFENSE PENTAGON, ROOM 3A268  国防総省ペンタゴン9010、ルーム3A268 
WASHINGTON, D.C. 20301-1600  ワシントン D.C. 20301-1600 
Generative Artificial Intelligence Coordination and Governance Plan  生成的人工知能の調整とガバナンス計画 
Generative artificial intelligence (AI) capabilities such as Large-Language Models (LLMs) are growing in popularity, capability, and impact around the globe. These capabilities are trained on massive datasets to generate content to a level of detail and semantic coherence that mimics human authorship. These capabilities unlock new opportunities, just as they pose significant new and enduring risks. Within this rapidly evolving space, it will be critical to coordinate experimentation, findings, guidance, and messaging across the Department. The Chief Digital and Artificial Intelligence Officer (CDAO) Council will serve as the focal point for Department of Defense (DoD)-wide coordination and synchronization of generative AI related materiel and non-materiel issues. The Council will guide and prioritize the activities of Task Force Lima and disseminate Task Force findings related to technical integration and use. Recognizing the rapid innovation in foundational and multi-modal models, the CDAO Council's oversight, as well as experiments organized by Task Force Lima, will maintain a broad technical approach in their evaluation of generative AI capabilities and applications. It will not focus exclusively on LLMs.  大規模言語モデル(LLM)などの生成的人工知能(AI)能力は、世界中で人気、能力、影響力を増している。これらの能力は、膨大なデータセットで訓練され、人間の作者を模倣した詳細で意味的な一貫性のあるレベルのコンテンツを生成する。このような能力は、新たなリスクをもたらすと同時に、新たなチャンスをももたらす。この急速に進化する領域では、実験、調査結果、ガイダンス、メッセージングを省全体で調整することが重要になる。デジタル・人工知能最高責任者(CDAO)評議会は、国防総省(DoD)全体の生成的AI関連の資材および非資材問題の調整と同期の中心的な役割を果たす。協議会は、タスクフォース・リマの活動を指導し、優先順位を付け、技術的統合と使用に関連するタスクフォースの調査結果を普及させる。基礎モデルとマルチモーダルモデルにおける急速な技術革新を認識し、CDAO評議会の監督とタスクフォース・リマによって組織された実験は、生成的AIの能力と応用の評価において幅広い技術的アプローチを維持する。LLMだけに焦点を当てることはない。
Operating under the CDAO Council, the Responsible AI (RAJ) Working Council will serve as the 0-6 level forum to coordinate across OSD and DoD components. Task Force Lima will brief the RAI Working Council on.plans and results from generative AI-related experiments. The Task Force will also leverage the Working Council to solicit and prioritize requirements, seeking to address common enterprise gaps and risks. Informed by Task Force activities and led by the Principal Staff Assistant (PSA) with primary responsibility, the Working Council will regularly synchronize across the range of issues outlined below. Deliverables related to these topics will be released periodically, as prioritized by the responsible PSA.  CDAO評議会の下で運営される責任あるAI(RAJ)作業評議会は、OSDと国防総省の各部門を横断的に調整する0~6レベルのフォーラムとして機能する。タスクフォース・リマは、生成的AI関連実験の計画と結果について、RAI作業評議会に説明する。タスクフォースはまた、作業協議会を活用して、エンタープライズ共通のギャップやリスクに対処するための要件を募集し、優先順位をつける。タスクフォースの活動から情報を得て、主担当の首席補佐官(PSA)が率いる作業協議会は、以下に概説する様々な問題に対して定期的に同期をとる。これらのトピックに関連する成果物は、担当の PSA が優先順位を決定し、定期的に発表される。
Guidance Development  ガイダンスの開発 
• Responsible use and integration guidance (CDAO) ・責任ある利用と統合ガイダンス(CDAO)
• Privacy, civil liberties, and transparency implications (OATSD(PCLT)) ・プライバシー、市民的自由、透明性に関するガイダンス(OATSD(PCLT)
• Responsible use guidance regarding information & operational security (OUSD(I&S)) ・情報及び運用セキュリティに関する責任ある使用ガイダンス(OUSD(I&S)
• Cybersecurity guidance related to implementation and use of generated code (DoD CIO) ・生成されたコードの実装と使用に関するサイバーセキュリティガイダンス(DoD CIO)
Research Best Practices  研究のベストプラクティス 
• Prioritization of research gaps, advancing trusted & resilient capabilities (OUSD(R&E)) ・研究ギャップの優先順位付け、信頼されたレジリエンス能力の向上(OUSD(R&E)
• Standardized requirements and contract language (OUSD(A&S)) ・要件と契約言語の標準化(OUSD(A&S)
• Sharing of lessons-learned from the Intelligence Community (CDAO) ・情報コミュニティから学んだ教訓の共有(CDAO)
Legal Implications and Policy Development  法的影響と政策展開 
•  Legal implications, including, e.g., intellectual property and information law (DoD OGC)  ・知的財産権や情報法などの法的影響(DoD OGC)
• Interagency and international policy on development, technical implementation, use, and other relevant guidance on LLMs and generative AL (OUSD(P) in coordination with CDAO)  ・LLMおよび生成的ALに関する開発、技術的実施、使用、その他の関連ガイダンスに関する省庁間および国際的な政策(CDAOと連携したOUSD(P) 
• Strategic Messaging (OUSD(P))  ・戦略的メッセージング(OUSD(P) 
Inventory Development & Scaling  インベントリの開発とスケーリング 
• DoD-wide generative AI project inventory (CDAO)  ・国防総省全体の生成的AIプロジェクト目録(CDAO)
• Guidance on prioritization of appropriate LLM use cases and applications (CDAO)  ・適切なLLMユースケースとアプリケーションの優先順位付けに関するガイダンス(CDAO)
• Recommendations for scalable technical implementation (CDAO)  ・スケーラブルな技術的実装のための提言(CDAO)
Communication and Outreach  コミュニケーションと対外関与
• External engagement strategy, including public affairs guidance (OSD(PA))  ・コミュニケーション・ガイダンスを含む対外的関与戦略(OSD(PA) 
• Department-wide talent and workforce development (OUSD(P&R)) ・国防総省全体の人材と労働力の開発(OUSD(P&R))

 

 

・CDAO のブログ...

AI in Defense - DoD’s Artificial Intelligence Blog

・ 2023.08.10 The CDAO Is at the Helm of the DoD’s New Generative AI Task Force

The CDAO Is at the Helm of the DoD’s New Generative AI Task Force CDAOは国防総省の新しい生成的AIタスクフォースの指揮を執る
The Department of Defense (DoD) has established Task Force Lima, a Department-wide initiative to examine generative artificial intelligence (AI) and develop recommendations on how to use these powerful tools in a responsible manner. At the direction of Deputy Secretary of Defense Dr. Kathleen Hicks, Task Force Lima will develop, evaluate, recommend, and monitor the implementation of generative AI capabilities across the DoD to ensure the department is ready to implement, adopt, and appropriately protect against generative AI technologies, such as large language models (LLMs). With AI at the forefront of tech advancements and public discourse, the DoD will enhance its operations in areas such as warfighting, business affairs, health, readiness, and policy with the implementation of generative AI. Task Force Lima will assess, synchronize, and employ generative AI capabilities across the Department, ensuring the military remains at the forefront of cutting-edge technological advancements while safeguarding national security. U.S. Navy Capt. M. Xavier Lugo, Task Force Lima mission commander and member of the CDAO’s Algorithmic Warfare Directorate, is leading a team comprised of OSD Principal Staff Assistants, Joint Staff, the Services, other DoD agencies, and the Intelligence Community. Industry and academia will also participate, serving as subject matter experts. “The Services and Combatant Commands are actively seeking to leverage the benefits and manage the risks of generative AI capabilities and LLMs across multiple mission areas, including intelligence, operational planning, programmatic and business processes,” says Capt. Lugo. “By prioritizing efforts, reducing duplication, and providing enabling AI scaffolding, Task Force Lima will be able to shape the effective and responsible implementation of LLMs throughout the DoD.” Task Force Lima is actively accepting and encouraging use case submissions from across the DoD and the federal government. Authorized personnel can create an account to access the task force portal for more information and submit prospective use cases here.  国防総省(DoD)は、生成的人工知能(AI)を検討し、これらの強力なツールを責任ある方法で使用する方法に関する提言を作成するための国防総省全体のイニシアチブであるタスクフォース・リマを設立した。キャスリーン・ヒックス国防副長官の指示のもと、タスクフォース・リマは国防総省全体で生成的AI能力の開発、評価、推奨、監視を行い、国防総省が大規模言語モデル(LLM)などの生成的AI技術を導入、採用し、適切に防御できるようにする。AIが技術の進歩や世論の最前線にある中、国防総省は生成的AIを導入することで、戦闘、業務、健康、即応性、政策などの分野での業務を強化する。タスクフォース・リマは、国防総省全体で生成的AI能力を評価し、同期させ、採用することで、国家安全保障を守りつつ、軍が最先端技術の進歩の最前線にとどまることを確実にする。タスクフォース・リマ・ミッションの司令官であり、CDAOのアルゴリズム戦争部門に所属するM・ザビエル・ルゴ米海軍少佐は、OSD主席補佐官、統合幕僚監部、軍、他の国防総省機関、情報コミュニティで構成されるチームを率いている。また、産業界と学界も主題専門家として参加する。「サービスや戦闘司令部は、情報、作戦計画、プログラム、ビジネス・プロセスなど、複数のミッション分野で生成的AI能力やLLMのメリットを活用し、リスクをマネジメントすることを積極的に模索している。「努力の優先順位をつけ、重複を減らし、AIの足場を可能にするプロバイダを提供することで、タスクフォース・リマは、国防総省全体でLLMの効果的かつ責任ある導入を形作ることができるだろう。タスクフォース・リマは、国防総省および連邦政府全体からのユースケースの提出を積極的に受け入れ、奨励している。タスクフォース・リマは、国防総省および連邦政府全体からのユースケースの提出を積極的に受け入れ、奨励している。

(https://www.trmc.osd.mil/wiki/x/EZEKDg)

 

 

| | Comments (0)

総務省 「ICTサイバーセキュリティ総合対策2023」(案)に対する意見募集の結果及び「ICTサイバーセキュリティ総合対策2023」の公表

こんにちは、丸山満彦です。

総務省が、意見募集をしていた「ICTサイバーセキュリティ総合対策2023」(案)に対する意見募集の結果の公表と、それを受けた「ICTサイバーセキュリティ総合対策2023」の確定版を公表していますね。。。

 

総務省

・2023.08.10 「ICTサイバーセキュリティ総合対策2023」(案)に対する意見募集の結果及び「ICTサイバーセキュリティ総合対策2023」の公表

・[PDF] ICTサイバーセキュリティ総合対策2023

20230813-83046

本文目次...

はじめに

I サイバーセキュリティを巡る最近の動向

1. サイバーセキュリティに関する政策動向
2. サイバーセキュリティ全般を巡る動向

II 「ICTサイバーセキュリティ総合対策2023」として今後取り組むべき施策

1. 情報通信ネットワークの安全性信頼性の確保
(1)
総合的な IoT ボットネット対策の推進
(2)
その他情報通信ネットワークにおけるサイバーセキュリティ対策の推進
 ア. 電気通信事業者による積極的サイバーセキュリティ対策の推進
 イ. 情報通信分野におけるサプライチェーンリスク対策
 ウ. Beyond 5G6Gに向けたサイバーセキュリティの検討
 エ. クラウドサービスにおけるサイバーセキュリティの確保
 オ. スマートシティにおけるサイバーセキュリティの確保
 カ. ICT-ISAC を通じた情報共有
 キ. 放送設備におけるサイバーセキュリティ対策

(3)
トラストサービスの普及

2. サイバー攻撃への自律的な対処能力の向上
(1)CYNEX(
サイバーセキュリティ統合知的人材育成基盤)CYXROSS 等の推 進
(2)
研究開発の推進
 ア. CRYPTREC の取組の推進
 イ. NICT における研究開発の推進
 ウ. 大学や民間企業における研究開発の支援等

(3)
人材育成の推進
 ア. 実践的サイバー防御演習(CYDER)の実施
 イ. 万博向けサイバー防御講習(CIDLE)の実施
 ウ. SecHack365 の実施
 エ. 地域人材エコシステムの形成

3. 国際連携の推進
(1)
有志国との二国間連携の強化
(2)
多国間会合を通じた有志国との連携の強化
(3)ISAC
間を通じた民間分野での国際連携の促進
(4)
インド太平洋地域等における開発途上国に対する能力構築支援
 ア. AJCCBC
 イ. 大洋州島しょ国への展開
 ウ. 国際機関との連携

(5)
国際標準化機関における日本の取組の発信及び各国からの提案への対処
(6)
国内企業の国際展開への支援

4. 普及啓発の推進
(1)
事業者向けの普及啓発
 ア. テレワークにおけるサイバーセキュリティの確保
 イ. 地域セキュリティコミュニティの強化
 ウ. サイバー攻撃被害に係る情報の共有公表の適切な推進
 エ. サイバーセキュリティ対策に係る情報開示の促進
 オ. サイバーセキュリティに関する功績の表彰を通じたモチベーション向上策

(2)
個人向けの普及啓発
 ア. 無線 LAN におけるサイバーセキュリティの確保
 イ. 国民のためのサイバーセキュリティサイトを通じた普及啓発
 ウ. こどもや高齢者等に向けた普及啓発

II 今後の進め方

付録1 「サイバーセキュリティタスクフォース」開催要綱
付録2 これまでのサイバーセキュリティタスクフォースにおける検討状況
付録3 本文に記載した総務省作成ガイドラインの一覧
付録4 情報通信ネットワークにおけるサイバーセキュリティ対策分科会とり まとめ()

はじめに
1.
情報通信ネットワークにおけるサイバーセキュリティを巡る現状
2.
端末側における対策(NOTICE)
3.
ネットワーク側その他における対策
4.
今後の進め方


参考

昨年との比較

2022年 2023年
はじめに はじめに
   
Ⅰ サイバーセキュリティを巡る最近の動向 I サイバーセキュリティを巡る最近の動向
1. サイバーセキュリティに関する政策動向 1. サイバーセキュリティに関する政策動向
2. サイバーセキュリティ全般を巡る動向 2. サイバーセキュリティ全般を巡る動向
   
Ⅱ 「ICT サイバーセキュリティ総合対策 2022」として今後取り組むべき施策 II 「ICTサイバーセキュリティ総合対策2023」として今後取り組むべき施策
1. 情報通信ネットワークの安全性・信頼性の確保 1. 情報通信ネットワークの安全性信頼性の確保
  (1)総合的な IoT ボットネット対策の推進
(1)情報通信ネットワークのサイバーセキュリティ対策の推進 (2)その他情報通信ネットワークにおけるサイバーセキュリティ対策の推進
ア. 電気通信事業者による積極的サイバーセキュリティ対策の推進  ア. 電気通信事業者による積極的サイバーセキュリティ対策の推進
イ. 情報通信分野におけるサプライチェーンリスク対策  イ. 情報通信分野におけるサプライチェーンリスク対策
ウ. IoTにおけるサイバーセキュリティの確保  ウ. Beyond 5G6Gに向けたサイバーセキュリティの検討
エ. クラウドサービスにおけるサイバーセキュリティの確保  エ. クラウドサービスにおけるサイバーセキュリティの確保
オ. スマートシティにおけるサイバーセキュリティの確保  オ. スマートシティにおけるサイバーセキュリティの確保
カ. ICT-ISACを通じた情報共有  カ. ICT-ISAC を通じた情報共有
キ. 放送設備におけるサイバーセキュリティ対策  キ. 放送設備におけるサイバーセキュリティ対策
ク. Beyond 5G・6Gに向けたサイバーセキュリティの検討  
(2)トラストサービスの普及 (3)トラストサービスの普及
2. サイバー攻撃への自律的な対処能力の向上 2. サイバー攻撃への自律的な対処能力の向上
(1) CYNEX(サイバーセキュリティ統合知的・人材育成基盤)等の推進 (1)CYNEX(サイバーセキュリティ統合知的人材育成基盤)、CYXROSS 等の推 進
(2) 研究開発の推進 (2)研究開発の推進
   ア. CRYPTREC の取組の推進
   イ. NICT における研究開発の推進
   ウ. 大学や民間企業における研究開発の支援等
(3) 人材育成の推進 (3)人材育成の推進
ア. 実践的サイバー防御演習(CYDER)の実施  ア. 実践的サイバー防御演習(CYDER)の実施
イ. 大規模イベント向け実践的サイバー演習の実施  イ. 万博向けサイバー防御講習(CIDLE)の実施
ウ. SecHack365の実施  ウ. SecHack365 の実施
エ. 地域人材エコシステムの形成  エ. 地域人材エコシステムの形成
3. 国際連携の推進 3. 国際連携の推進
ア. 有志国との二国間連携の強化 (1)有志国との二国間連携の強化
イ. 多国間会合を通じた有志国との連携の強化 (2)多国間会合を通じた有志国との連携の強化
ウ. ISAC間を通じた民間分野での国際連携の促進 (3)ISAC 間を通じた民間分野での国際連携の促進
エ. インド太平洋地域における開発途上国に対する能力構築支援 (4)インド太平洋地域等における開発途上国に対する能力構築支援
   ア. AJCCBC
   イ. 大洋州島しょ国への展開
   ウ. 国際機関との連携
オ. 国際標準化機関における日本の取組の発信及び各国からの提案への対処 (5)国際標準化機関における日本の取組の発信及び各国からの提案への対処
カ. 国内企業のASEAN地域等に向けた国際展開への支援 (6)国内企業の国際展開への支援
4. 普及啓発の推進 4. 普及啓発の推進
(1) 事業者向けの普及啓発 (1)事業者向けの普及啓発
ア. テレワークにおけるサイバーセキュリティの確保  ア. テレワークにおけるサイバーセキュリティの確保
イ. 地域セキュリティコミュニティの強化  イ. 地域セキュリティコミュニティの強化
ウ. サイバー攻撃被害に係る情報の共有・公表の適切な推進  ウ. サイバー攻撃被害に係る情報の共有公表の適切な推進
エ. サイバーセキュリティ対策に係る情報開示の促進  エ. サイバーセキュリティ対策に係る情報開示の促進
オ. サイバーセキュリティに関する功績の表彰を通じたモチベーション向上策  オ. サイバーセキュリティに関する功績の表彰を通じたモチベーション向上策
(2) 個人向けの普及啓発 . (2)個人向けの普及啓発
ア. 無線LANにおけるサイバーセキュリティの確保  ア. 無線 LAN におけるサイバーセキュリティの確保
イ. 国民のためのサイバーセキュリティサイトを通じた普及啓発  イ. 国民のためのサイバーセキュリティサイトを通じた普及啓発
ウ. こどもや高齢者等に向けた普及啓発  ウ. こどもや高齢者等に向けた普及啓発
   
 Ⅲ 今後の進め方 II 今後の進め方
   
付録1 「サイバーセキュリティタスクフォース」開催要綱 付録1 「サイバーセキュリティタスクフォース」開催要綱
付録2 これまでのサイバーセキュリティタスクフォースにおける検討状況 付録2 これまでのサイバーセキュリティタスクフォースにおける検討状況
付録3 本文に記載した総務省作成ガイドラインの一覧 付録3 本文に記載した総務省作成ガイドラインの一覧
  付録4 情報通信ネットワークにおけるサイバーセキュリティ対策分科会とり まとめ(案)

 

・[PDF] 提出された意見及びその意見に対する同タスクフォースの考え方

 

ちなみに、SBOMは「情報通信分野におけるサプライチェーンリスク対策」で振れられていますね。。。


 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.07.07 総務省 「ICTサイバーセキュリティ総合対策2023」(案)に対する意見募集

・2022.08.13 総務省 「ICTサイバーセキュリティ総合対策2022」(案)に対する意見募集の結果及び「ICTサイバーセキュリティ総合対策2022」の公表

・2021.07.31 総務省 「ICTサイバーセキュリティ総合対策2021」(案)に対する意見募集の結果及び「ICTサイバーセキュリティ総合対策2021」の公表

・2020.07.20 総務省 「IoT・5Gセキュリティ総合対策2020(案)」に対する意見募集の結果及び「IoT・5Gセキュリティ総合対策2020」の公表

・2020.06.07 総務省 「IoT・5Gセキュリティ総合対策2020(案)」に対する意見募集

・2020.05.23 総務省 IoT・5Gセキュリティ総合対策 プログレスレポート2020」の公表

 

| | Comments (0)

米国 FBI 生徒と携帯電話の安全のためにデジタル保護の構築 (2023.08.08)

こんにちは、丸山満彦です。

米国では8月下旬から学校が始まるところが多いですが、それに向けてのFBIからのリマインドという感じですかね。。。 日本でも参考になることがあるでしょうね。。。

 

Federal Bureau of Investigation; FBI

・2023.08.08 FBI Tech Tuesday: Building a Digital Defense for School Kids and Cell Phone Safety

 

FBI Tech Tuesday: Building a Digital Defense for School Kids and Cell Phone Safety FBIテック・チューズデー:生徒と携帯電話の安全のためにデジタル保護の構築
EL PASO, TX—Summer break is over, and it’s time to pack up the backpacks and lunch bags for another school year. Many students are headed back to class with cell phones in their pockets. More and more kids are getting phones by the time they enter middle school—and some are toting their phones through elementary school hallways. エルパソ(テキサス州)- 夏休みも終わり、新学期に向けてバックパックやランチバッグを準備する時期になった。多くの生徒が、ポケットに携帯電話を入れて教室に戻ろうとしている。中学生になる頃には携帯電話を持つ子供が増えており、小学校の廊下で携帯電話を持ち歩く子供もいる。
Cell phones are a great way for parents to keep in touch with their children. But parents and kids alike need to recognize the risks that come bundled with that device. From scams to cyber bullies—if your child is old enough to have and carry a phone, then it’s also time to have a conversation with him or her about potential risks. 携帯電話は、親が子供と連絡を取り合うための素晴らしい手段である。しかし、親も子供も同様に、そのデバイスがもたらすリスクを認識する必要がある。詐欺からネットいじめまで、子どもが携帯電話を持つ年齢になったのなら、潜在的なリスクについて子どもと話し合う時期でもある。
Here are 10 basic phone/computer tips to help keep your child safe: ここでは、子どもの安全を守るための、携帯電話やコンピューターに関する10の基本的な対策のヒントを紹介しよう:
01. The phone should default to a locked setting. The only people who should have that access code are the child and the parent. 01. 携帯電話はロックされた設定にする。アクセスコードを持っているのは、子供と親だけにする。
02. Parents should know every password to every device and every password to every app on that device. Sure you want your kids to have some privacy as they grow up, but they are still kids. You pay the bill, and as long as that child is a child, he or she is your responsibility. 02. 親は、すべてのデバイスのすべてのパスワードと、そのデバイス上のすべてのアプリのパスワードを知っているべきである。子供が成長するにつれて、プライバシーが守られることを望むのは当然だが、子供はまだ子供だ。代金を支払うのはあなたであり、子供が子供である限り、その子はあなたの責任である。
03. Check those accounts—as well as instant messaging programs and texts—for disturbing content on a regular basis. You and your kids should have a non-negotiable understanding that this access is a requirement for continued phone use. 03. インスタント・メッセージやメールだけでなく、それらのアカウントに不穏なコンテンツがないか、定期的にチェックする。あなたと子供は、このアクセスが携帯電話を使い続けるための条件であることを、譲れないものとして理解しておくべきである。
04. Parents should make sure their child is using appropriate screen names. “Babygirl2005” and “sweet16” may sound cute and innocent, but they can be a beacon to predators. 04. 親は、子供が適切なスクリーンネームを使っていることを確認すべきである。「Babygirl2005」や 「sweet16」は、かわいくて無邪気な名前に聞こえるかもしれないが、略奪者の目印になりかねない。
05. Check the privacy and security settings on the phone and the apps. Check regularly to make sure they are up-to-date. 05. 携帯電話やアプリのプライバシーとセキュリティの設定を確認する。定期的にチェックし、最新であることを確認する。
06. Learn about how photos are geo-tagged. Even if you are discreet about what you post, your photos could be tagged in the meta-data with your child’s exact location. Do you want just anybody to know what school your child goes to or what field his team uses for soccer practice? You should be able to turn this feature off in settings. 06. 写真にどのようにジオタグがつけられているかを知る。たとえあなたが投稿する内容に慎重であったとしても、あなたの写真はメタデータにあなたの子供の正確な位置情報がタグ付けされる可能性がある。子供がどこの学校に通っているのか、サッカーチームがどこのグラウンドで練習しているのか、誰にでも知られたくはないだろう?この機能は設定でオフにできるはずだ。
07. Teach your kids to never respond to calls, texts, or emails from unknown numbers or people. Scam artists and predators will victimize anyone, regardless of age. 07. 知らない番号や人からの電話、メール、電子メールには決して応答しないように子供に教える。詐欺師や略奪者は年齢に関係なく、誰でも被害に遭う。
08. Talk early and often to your child about the dangers that they may find on the other end of the line. If your child is old enough to carry a phone to school, he is old enough to have a frank discussion with you. Be open and responsive. If your child does encounter a bully or other disturbing content, you want him to feel like he can come to you for help. 08. 電話の向こうに潜む危険について、早くからよく子供に話しておく。子どもが学校に携帯電話を持ち運べる年齢なら、あなたと率直な話し合いができる年齢だ。心を開いて対応する。子どもがいじめやその他の不穏な内容に遭遇した場合、あなたに助けを求めに来ることができるようにしておく。
09. Talk to your kids about what constitutes appropriate language and photos. One sexually explicit photo can change a life forever. It is crucial that they understand that just because something starts out as a private communication between two people does not mean that it can't be shared with thousands of people in mere seconds. 09. 適切な言葉や写真とは何か、子供と話し合う。たった1枚の性的な写真が、人生を永遠に変えてしまうこともある。最初は2人だけのコミュニケーションだったとしても、ほんの数秒で何千人もの人と共有される可能性があることを理解させることが重要だ。
10. Teach your children to program the privacy settings on social media feeds to the highest level and to reject any “friend requests” from those they don't know and trust in a face-to-face relationship. Parents should also consider forbidding any new “friend requests” by their kids, without parent approval. 10. 子供たちには、ソーシャルメディアフィードのプライバシー設定を最高レベルに設定し、直接顔を合わせて信頼関係を築いていない人からの「友達リクエスト」を拒否するよう教える。また、親の承認がない限り、子供からの新たな「友達リクエスト」を禁止することも検討すべきである。

 

1_20230813081201

| | Comments (0)

2023.08.12

米国 国土安全保障省サイバー安全審査会 第3回の調査はクラウドセキュリティの予定

こんにちは、丸山満彦です。

国土安全保障サイバー安全審査会は、2021年のEO14028に基づいて設置された審査会で、第1回報告書は、Log4jに関する報告で、第2回報告書は昨日発表された「Lapsus$」に関する報告...

そして、これから行われるのは、政府、産業界、クラウド・サービス・プロバイダー(CSP)がクラウドにおけるID管理と認証を強化するために採用すべきアプローチのようです。。。

 

Department of Homeland Security

・2023.08.11 Department of Homeland Security’s Cyber Safety Review Board to Conduct Review on Cloud Security 

Department of Homeland Security’s Cyber Safety Review Board to Conduct Review on Cloud Security  国土安全保障省のサイバー安全審査会がクラウドセキュリティに関する審査を実施する 
CSRB’s Third Review Will Provide Recommendations to Help Organizations Protect Against Malicious Access to Cloud-Based Accounts   CSRBの第3回レビューでは、組織がクラウドベースのアカウントへの悪意あるアクセスから保護するための推奨事項を提供する  
WASHINGTON – Today, Secretary of Homeland Security Alejandro N. Mayorkas announced that the Cyber Safety Review Board (CSRB) will conduct its next review on the malicious targeting of cloud computing environments. The review will focus on approaches government, industry, and Cloud Service Providers (CSPs) should employ to strengthen identity management and authentication in the cloud. The CSRB will assess the recent Microsoft Exchange Online intrusion, initially reported in July 2023, and conduct a broader review of issues relating to cloud-based identity and authentication infrastructure affecting applicable CSPs and their customers. The Department began considering whether this incident would be an appropriate subject of the Board’s next review immediately upon learning of the incident in July. The Board will develop actionable recommendations that will advance cybersecurity practices for both cloud computing customers and CSPs themselves. Once concluded, the report will be transmitted to President Joseph R. Biden, Jr. through Secretary Mayorkas and Cybersecurity and Infrastructure Security Agency (CISA) Director Jen Easterly.  ワシントン - 本日、アレハンドロ・N・マヨルカス国土安全保障長官は、Cyber Safety Review Board(CSRB)がクラウド・コンピューティング環境の悪意ある標的化に関する次回のレビューを実施することを発表した。このレビューでは、政府、産業界、クラウド・サービス・プロバイダ(CSPs)がクラウドにおけるID管理と本人認証を強化するために採用すべきアプローチに焦点が当てられる。CSRB は、2023 年 7 月に最初に報告された最近の Microsoft Exchange Online への侵入を評価し、該当する CSP とその顧客に影響を与えるクラウドベースの ID および認証インフラに関連する問題について、より広範なレビューを実施する。同省は、7 月にインシデントが発生したことを知った直後から、このインシデントが理事会の次回のレビュー の対象として適切かどうかの検討を開始した。理事会は、クラウド・コンピューティングの顧客とCSP自身の双方にとってサイバーセキュリティの実践を前進させるための実行可能な勧告を策定する予定である。この報告書は、マヨルカス長官およびサイバーセキュリティ・インフラセキュリティ庁(CISA)のジェン・イースタリー長官を通じて、ジョセフ・R・バイデンJr.大統領に提出される。 
“Organizations of all kinds are increasingly reliant on cloud computing to deliver services to the American people, which makes it imperative that we understand the vulnerabilities of that technology,” said Secretary of Homeland Security Alejandro N. Mayorkas. “Cloud security is the backbone of some of our most critical systems, from our e-commerce platforms to our communication tools to our critical infrastructure. In its reviews of the Log4j vulnerabilities and activities associated with Lapsus$, the CSRB has proven itself to be ready to tackle and examine critical and timely issues like this one. Actionable recommendations from the CSRB will help all organizations better secure their data and further cyber resilience.”   「国土安全保障省のアレハンドロ・N・マヨルカス長官は、「あらゆる組織が米国民にサービスを提供するためにクラウド・コンピューティングへの依存度を高めており、その技術の脆弱性を理解することが不可欠だ。「クラウドのセキュリティは、電子商取引のプラットフォームからコミュニケーションツール、重要なインフラに至るまで、最も重要なシステムのバックボーンとなっている。Log4jの脆弱性とLapsus$に関連する活動のレビューにおいて、CSRBは、このような重要かつタイムリーな問題に取り組み、検討する準備ができていることを証明した。CSRBからの実行可能な提言は、すべての組織がデータの安全性を高め、サイバーレジリエンスを向上させるのに役立つだろう。"  
The CSRB is an unprecedented public-private initiative that brings together government and industry leaders to deepen our understanding of significant cybersecurity events, including the root causes, mitigations, and responses, and to issue recommendations, based on this fact-finding in the wake of those events. The CSRB’s first review focused on vulnerabilities discovered in late 2021 in the widely used Log4j open-source software library. Its second review, released yesterday, examined the recent attacks associated with Lapsus$, a global extortion-focused hacker group. The CSRB found that Lapsus$ leveraged simple techniques to evade industry-standard securitytools that are a lynchpin of many corporate cybersecurity programs and outlined 10 actionable recommendations for how government, companies, and civil society can better protect against Lapsus$ and similar groups .    CSRBは、政府と業界のリーダーを結集し、サイバーセキュリティに関する重大な事象について、その根本原因、低減策、対応策を含めて理解を深め、事象発生後の事実調査に基づき、提言を発表する前例のない官民イニシアチブである。CSRBの最初のレビューは、2021年後半に発見された、広く使用されているオープンソースソフトウェア・ライブラリ「Log4j」の脆弱性に焦点を当てたものだった。昨日発表された2回目のレビューでは、世界的な恐喝に特化したハッカー集団であるLapsus$に関連する最近の攻撃を調査した。CSRBは、Lapsus$が多くの企業のサイバーセキュリティ・プログラムの主軸である業界標準のセキュリティ・ツールを回避するために単純なテクニックを活用していることを発見し、政府、企業、市民社会がLapsus$や同様のグループからよりよく保護するための10の実行可能な勧告をまとめた。   
“We must as a country acknowledge the increasing criticality of cloud infrastructure in our daily lives and identify the best ways to secure that infrastructure and the many businesses and consumers that rely on it,” said CSRB Chair and DHS Under Secretary for Policy Rob Silvers. “The Cyber Safety Review Board is designed to assess significant incidents and ecosystem vulnerabilities and make recommendations based on the lessons learned. To do this work, we bring together the best expertise from industry and government. The Board will undertake a thorough review.”  「私たちの日常生活においてクラウドインフラの重要性が増していることを国として認識し、そのインフラとそれに依存する多くの企業や消費者を保護する最善の方法を特定しなければならない」と、CSRB議長でDHS政策担当のロブ・シルバース次官は述べた。「サイバーセーフティレビュー委員会は、重要なインシデントやエコシステムの脆弱性を評価し、得られた教訓に基づいて提言を行うことを目的としている。この作業を行うために、我々は産業界と政府から最高の専門家を集めている。委員会は徹底的なレビューを行う。 
“An effective shared responsibility model requires a persistent focus on potential systemic risks in cloud environments. Organizations around the world place trust in secure identity management and authentication infrastructure to provide essential functions and protect sensitive data,” said CISA Director Jen Easterly. “The Board’s findings and recommendations from this assessment will advance cybersecurity practices across cloud environments and ensure that we can collectively maintain trust in these critical systems.”  「効果的な責任共有モデルには、クラウド環境における潜在的なシステムリスクに持続的に焦点を当てることが必要である。世界中の組織が、重要な機能を提供し、機密データを保護するために、安全なID管理と認証インフラを信頼している。「この評価から得られた理事会の知見と提言は、クラウド環境全体におけるサイバーセキュリティの実践を促進し、これらの重要なシステムに対する信頼を集団として維持できるようにするものである。 
The CSRB does not have regulatory powers and is not an enforcement authority. Its purpose is to identify relevant lessons learned to inform future improvements and better protect our communities.    CSRBは規制権限を持たず、執行機関でもない。その目的は、将来の改善に役立つ関連する教訓を特定し、地域社会をより良く保護することである。   

 

サイバー安全審査会

Cyber Safety Review Board (CSRB)

 

報告書

第2回...

・2023.08.10 Cyber Safety Review Board Releases Report on Activities of Global Extortion-Focused Hacker Group Lapsus$

Cyber Safety Review Board Releases Report on Activities of Global Extortion-Focused Hacker Group Lapsus$ サイバーセーフティ検討委員会、世界的な恐喝に特化したハッカーグループ「Lapsus$」の活動に関する報告書を発表
Report Includes 10 Specific Recommendations for Government and Industry 報告書には政府と産業界に対する10の具体的な提言が含まれる
WASHINGTON – Today, the U.S. Department of Homeland Security (DHS) released the Cyber Safety Review Board’s (CSRB) report summarizing the findings of its review into the activities associated with a threat actor group known as Lapsus$. The CSRB found that Lapsus$ leveraged simple techniques to evade industry-standard security tools that are a lynchpin of many corporate cybersecurity programs and outlined 10 actionable recommendations for how government, companies, and civil society can better protect against Lapsus$ and similar groups. The report was delivered to President Joseph R. Biden, Jr. through Secretary of Homeland Security Alejandro N. Mayorkas. ワシントン発 - 本日、米国国土安全保障省(DHS)は、サイバー安全審査委員会(CSRB)による、Lapsus$として知られる脅威行為者の活動に関する審査結果をまとめた報告書を公表した。CSRBは、Lapsus$が多くの企業のサイバーセキュリティ・プログラムの要である業界標準のセキュリティ・ツールを回避するために単純なテクニックを活用していることを発見し、政府、企業、市民社会がLapsus$や類似のグループからよりよく保護するための10の実行可能な勧告をまとめた。この報告書は、アレハンドロ・N・マヨルカス国土安全保障長官を通じて、ジョセフ・R・バイデン・ジュニア大統領に提出された。
“Our ability to protect Americans from cyber vulnerabilities has never been stronger thanks to the community we are building through the Cyber Safety Review Board,” said Secretary of Homeland Security Alejandro N. Mayorkas. “As our threat environment evolves, so too must our detection and prevention capabilities. We must also evolve our ability to deploy those capabilities. The CSRB’s findings are not only timely, they are actionable and written with the guidance of real-world practitioners in the private sector.” 「国土安全保障省のアレハンドロ・N・マヨルカス長官は、「サイバー安全審査会を通じて構築しているコミュニティのおかげで、米国人をサイバー脆弱性から守る我々の能力はかつてないほど強化された。「脅威環境が進化するにつれ、検知・防止能力も進化しなければならない。また、それらの能力を展開する能力も進化させなければならない。CSRBの調査結果は時宜を得たものであるだけでなく、実行可能なものであり、民間部門の実際の実務者の指導に基づいて書かれている。
Beginning in late 2021 and late into 2022, Lapsus$ reportedly employed techniques to bypass a range of commonly used security controls and successfully infiltrated dozens of well-resourced organizations. The CSRB engaged with nearly 40 organizations and individuals — including representatives from threat intelligence firms, incident response firms, targeted organizations, international law enforcement organizations, as well as individual researchers and subject matter experts, and companies targeted in the attacks — to better understand the incidents and recommend safety improvements for the future. 2021年後半から2022年後半にかけて、Lapsus$は一般的に使用されている様々なセキュリティ管理を迂回するテクニックを駆使し、十分なリソースを持つ数十の組織への侵入に成功したと報告されている。CSRBは、脅威インテリジェンス企業、インシデント対応企業、標的組織、国際的な法執行機関、研究者や専門家、攻撃の標的となった企業の代表者を含む約40の組織や個人と協力し、インシデントの理解を深め、今後の安全性の改善を提言した。
The CSRB found that Lapsus$ and related threat actors used primarily simple techniques, like stealing cell phone numbers and phishing employees, to gain access to companies and their proprietary data. Among its findings, the Board saw a collective failure across organizations to account for the risks associated with using text messaging and voice calls for multi-factor authentication. It calls for organizations to immediately switch to more secure, easy-to-use, password-less solutions by design. The report also includes recommendations for cell phone carriers to better protect their customers by implementing stringent authentication methods, and for the Federal Communications Commission (FCC) and Federal Trade Commission (FTC) to mandate and standardize best practices to combat SIM swapping. CSRBは、Lapsus$と関連する脅威行為者は、主に携帯電話番号の窃盗や従業員へのフィッシングといった単純なテクニックを用いて、企業やその専有データにアクセスしていたことを明らかにした。調査結果の中でCSRBは、多要素認証にテキストメッセージや音声通話を使用することに関連するリスクについて、組織全体が考慮していないことを指摘した。同報告書は、組織に対し、より安全で使いやすく、パスワード不要のソリューションに設計上直ちに切り替えるよう求めている。報告書はまた、携帯電話会社に対して、厳格な認証方法を導入することで顧客をよりよく保護すること、連邦コミュニケーション委員会(FCC)と連邦取引委員会(FTC)に対して、SIMスワッピングに対抗するためのベスト・プラクティスを義務付け、標準化することを提言している。
“The Board examined how a loosely organized group of hackers, some of them teenagers, were consistently able to break into the most well-defended companies in the world,” said CSRB Chair and DHS Under Secretary for Policy Robert Silvers. “We uncovered deficiencies in how companies ensure the security of their vendors; how cell phone carriers protect their customers from SIM swapping; and how organizations authenticate users on their systems. The Board put forward specific recommendations to address these issues and more, in line with the Board’s mandate to conduct comprehensive after-action reviews of the most significant cyber incidents.” 「CSRB委員長兼DHS政策担当次官のロバート・シルヴァース氏は、「当委員会は、緩く組織化されたハッカー集団(その中には10代の若者もいる)が、世界で最も防御体制の整った企業に一貫して侵入できた理由を調査した。「われわれは、企業がベンダーのセキュリティをどのように確保しているか、携帯電話キャリアがSIMスワッピングから顧客をどのように保護しているか、組織がシステム上のユーザーをどのように認証しているか、などの不備を明らかにした。委員会は、最も重大なサイバーインシデントの包括的な事後レビューを行うという委員会の使命に沿って、これらの問題やその他の問題に対処するための具体的な提言を行った。
“The Cyber Safety Review Board took on this review to better understand Lapsus$’s tactics and help organizations protect themselves,” said CSRB Deputy Chair Heather Adkins. “Our findings noted the weaknesses with many current methods of authentication, and we provide timely and actionable recommendations for all organizations to put stronger defenses in place.” 「CSRBのヘザー・アドキンス副委員長は、「サイバー安全審査委員会は、Lapsus$の手口をよりよく理解し、組織が自らを守るのを助けるために、この審査を引き受けた。「我々の調査結果は、現在の多くの本人認証方法の弱点を指摘し、すべての組織がより強固な防御を導入できるよう、タイムリーで実行可能な提言を行うものである。
“The CSRB’s latest report reinforces the need for all organizations to take urgent steps to increase their cyber resilience, including the implementation of phishing-resistant multi-factor authentication,” said Cybersecurity and Infrastructure Security Agency (CISA) Director Jen Easterly. “I look forward to working with our federal and industry partners to act on the CSRB’s recommendations, to include continuing our secure-by-design work with technology manufacturers to ensure that necessary security features are provided to customers without additional cost.” 「サイバーセキュリティ・インフラセキュリティ庁(CISA)のジェン・イースタリー長官は、「CSRBの最新報告書は、すべての組織がフィッシングに強い多要素認証の導入を含め、サイバーレジリエンスを高めるための緊急措置を講じる必要性を強化している。「必要なセキュリティ機能が追加コストなしに顧客に提供されるよう、技術メーカーとセキュア・バイ・デザイン作業を継続することを含め、CSRBの勧告を実行するため、連邦政府および業界のパートナーと協力することを楽しみにしている。
As directed by President Biden through Executive Order 14028 Improving the Nation’s Cybersecurity, Secretary Mayorkas established the CSRB in February 2022. The CSRB provides a unique forum for leading government and industry experts to review significant cybersecurity events and provide recommendations to better protect our nation. DHS and the CSRB are committed to transparency and will, whenever possible, release public versions of CSRB reports, consistent with applicable law and the need to protect sensitive information from disclosure. 大統領令14028「国家のサイバーセキュリティ改善」を通じたバイデン大統領の指示により、マヨルカス長官は2022年2月にCSRBを設立した。CSRBは、政府と業界の一流の専門家がサイバーセキュリティに関する重要な出来事を検討し、わが国をより良く保護するための提言を行うユニークなフォーラムを提供する。DHSとCSRBは透明性を重視しており、適用法や機密情報保護の必要性に応じて、可能な限りCSRB報告書を公開する。

 

・[PDF]

20230812-130328

 

第1回

・2022.07.11

・[PDF]

20230812-130649

 

 

 

 

| | Comments (0)

経済安全保障関連の政省令のパブリックコメントの結果...

こんにちは、丸山満彦です。

経済安全保障関連の政省令のパブリックコメントの結果...

 

・2023.08.09 ●●●省関係経済施策を一体的に講ずることによる安全保障の確保の推進に関する法律に基づく特定社会基盤事業者等に関する省令

意見募集は、2023.06.15

募集結果は、2023.08.09

 

● e-Govのページ...

  意見募集 募集結果
画面 政省令案 画面 概要 別紙
政令 X X 結果 別紙
総務省 X X 結果  
内閣府・財務省・農林水産省 X X 結果 1
2
金融・保険 X 1 X 結果 1
2 2
3 3
4 4
5 5
6 6
  7
国土交通省 X 概要 X 結果  
厚生労働省 X 概要 X 結果  
経済産業省 X 概要 X 結果 X
[docx]
基本指針

 

 

 

銀行等は、以下...

・2023.08.09 「経済施策を一体的に講ずることによる安全保障の確保の推進に関する法律に基づく特定社会基盤事業者の指定等に関する内閣府令(案)」等に対するパブリックコメントの結果等について

別紙2:経済施策を一体的に講ずることによる安全保障の確保の推進に関する法律に基づく特定社会基盤事業者の指定等に関する内閣府令


(特定社会基盤事業者の指定基準)

第二条 法第五十条第一項の主務省令で定める基準は、次の各号に掲げる特定社会基盤事業については、当該各号に定めるとおりとする。

一 銀行業 その事業を行う者が次のいずれかに該当する者であること。

  • 直近の三事業年度の末日における預金残高の平均が十兆円以上である者
  • 直近の三事業年度の末日における預金口座(別段預金に係るものを除く。)の数の平均が千万口座以上である者
  • 直近の三事業年度の末日における国内に設置している現金自動支払機及び現金自動預入払出兼用機の数の平均が一万台以上である者
  • 信用金庫法第五十四条第一項及び第二項の規定に基づき行うもの その事業を行う者であること。
  • 中小企業等協同組合法第九条の九第一項及び第六項の規定に基づき行うもの 同条第一項第一号の事業を行う者であること。
  • 資金移動業 その事業を行う者が次のいずれにも該当する者であること。
  • 直近の三事業年度の末日における利用者の数の平均が千万人以上である者
  • 直近の三事業年度において為替取引により移動させた資金の合計額の平均が四千億円以上である者
    • 保険業 その事業を行う者が次のいずれかに該当する者であること。
    • 直近の三事業年度における損益計算書に計上すべき保険金等支払金の額から損益計算書に計上すべき再保険料の額を控除した額の平均が一兆五千億円以上である者
    • 直近の三事業年度の末日における生命保険業務(保険業法第二条第二十九項に規定する生命保険業務をいう。)に係る保険契約の件数の平均が二千万件以上である者
    • 直近の三事業年度における損害保険業務(保険業法第二条第三十項に規定する損害保険業務をいう。ニにおいて同じ。)に係る元受正味保険金の額の平均が一兆円以上である者
    • 直近の三事業年度の末日における損害保険業務に係る保険契約の件数の平均が二千万件以上である者
  • 取引所金融商品市場の開設の業務を行う事業 その事業を行う者(直近の三事業年度において行われたその開設する取引所金融商品市場における有価証券の売買に係る総売買代金の平均が七十五兆円未満である者を除く。)であること。
  • 金融商品債務引受業 金融商品取引法第百五十六条の二の免許又は同法第百五十六条の十九第一項の承認を受けてその事業を行う者であること。
  • 第一種金融商品取引業 金融商品取引法第二十九条の登録を受けてその事業を行う者が次のいずれかに該当する者であること。
    • 直近の三事業年度の末日における顧客から預託を受けた金銭、有価証券その他の財産の残高の平均が三十兆円以上である者
    • 直近の三事業年度の末日における顧客が有価証券の取引又はデリバティブ取引を行うための口座の数の平均が五百万口座以上である者
  • 信託業 その事業を行う者が直近の三事業年度の末日におけるその受託する信託財産(管理を第三者に委託しているものを除く。)の残高の平均が三百兆円以上である者であること。
  • 資金清算業 資金決済に関する法律第六十四条第一項の免許を受けてその事業を行う者であること。
  • 第三者型前払式支払手段の発行の業務を行う事業 その事業を行う者が次のいずれにも該当する者であること。
    • 直近の三事業年度の末日におけるその発行する第三者型前払式支払手段を使用することができる加盟店(資金決済に関する法律第十条第一項第四号に規定する加盟店をいう。)の数の平均が一万店以上である者
    • 直近の三事業年度において発行した第三者型前払式支払手段の発行額の平均が一兆円以上である者

 

1_20230812101901

 

 

 

| | Comments (0)

世界経済フォーラム (WEF) デジタル安全設計の介入と革新のためのツールキット: オンライン上の危害の類型

こんにちは、丸山満彦です。

世界経済フォーラム (WEF)が、「デジタル安全設計の介入と革新のためのツールキット: オンライン上の危害の類型」という報告書を公表していますね。。。

オンライン上の危害 (harm) を類型化していますね。。。対策をより効果的にするためには、統計等を取る上ことも必要ですし、こういうことの標準化ということも重要ですね。。。共通言語 (common language) ですね。。。

 

World Economic Forum - Report

・2023.08.04 Toolkit for Digital Safety Design Interventions and Innovations: Typology of Online Harms

Toolkit for Digital Safety Design Interventions and Innovations: Typology of Online Harms デジタル安全設計の介入と革新のためのツールキット: オンライン上の危害の類型
The increasing interconnectedness of the world through digital means brings both unparalleled opportunities and challenges. As the digital landscape encompasses more than 5 billion users, it is evident that a shared understanding of online harms is imperative. デジタル手段を通じた世界の相互接続性の高まりは、比類ない機会と課題の両方をもたらしている。デジタルを取り巻く環境が50億人以上のユーザーを包含するようになった今、オンライン上の危害に関する理解の共有が不可欠であることは明らかである。
The increasing interconnectedness of the world through digital means brings both unparalleled opportunities and challenges. As the digital landscape encompasses more than 5 billion users, it is evident that a shared understanding of online harms is imperative. デジタル手段を通じた世界の相互接続性の高まりは、比類ない機会と課題の両方をもたらす。デジタルを取り巻く環境が50億人以上のユーザーを包含する中、オンライン上の危害に対する理解の共有が不可欠であることは明らかである。
The World Economic Forum’s Global Coalition for Digital Safety introduces the Typology of Online Harms, aiming to harmonize universal perceptions of online threats. From cyberbullying to hate speech, the varied interpretations of such issues have fragmented efforts to combat them. This typology seeks to bridge the gap, categorizing harms into content, contact and conduct risks, laying the groundwork for unified action. Rooted in fundamental human rights principles, the framework is neither prescriptive nor regulatory but provides instead a foundational common language to enable global multistakeholder cooperation. 世界経済フォーラムのデジタル・セーフティ世界連合は、オンライン上の脅威に関する普遍的な認識の調和を目指し、オンライン上の危害の類型を紹介している。ネットいじめからヘイトスピーチまで、このような問題の解釈は多様であるため、対策への取り組みが分断されている。この類型論はこのギャップを埋めようとするもので、被害をコンテンツ、接触、行為のリスクに分類し、統一的な行動をとるための土台を築くものである。基本的人権の原則に根ざしたこのフレームワークは、規定的でも規制的でもないが、その代わりに、グローバルなマルチステークホルダーによる協力を可能にする基礎となる共通言語を提供するものである。
As online threats continue to evolve, the typology presents a vital step forward in achieving a collaborative, rights-respecting approach to digital safety. オンライン上の脅威が進化し続ける中、この類型は、デジタル・セーフティに対する権利を尊重した協力的なアプローチを実現するための重要な一歩を示すものである。

 

・[PDF]

20230812-51259

目次的なもの...

Foreword まえがき
Executive summary 要旨
The Typology of Online Harms aims to provide a foundational common language, facilitating multistakeholder and cross-jurisdictional discussions to advance digital safety. オンライン被害の類型論」は、デジタルセーフティを推進するために、複数の利害関係者や司法管轄権を超えた議論を促進する、基盤となる共通言語をプロバイダとして提供することを目的としている。
1 Introduction 1 序文
The Typology of Online Harms serves as a foundation to build a common terminology and shared understanding of the diverse range of risks that arise online, including in the production, distribution and consumption of content. オンライン被害の類型論」は、コンテンツの制作、流通、消費を含むオンライン上で生じる多様なリスクについて、共通の用語と共通の理解を構築するための基礎となるものである。
2 Typology of Online Harms 2 オンライン上の被害の類型
The typology recognizes the complex and interconnected nature of online safety, encompassing content, contact and conduct risks. この類型論は、コンテンツ、接触、行為のリスクを包含する、オンライン上の安全性の複雑かつ相互関連的な性質を認識するものである。
2.1 Threats to personal and community safety 2.1 個人とコミュニティの安全に対する脅威
a. Content risks a. 内容リスク
1. Child sexual abuse material (CSAM) 1. 児童性的虐待題材(CSAM)
2. Child sexual exploitation material (CSEM) 2. 児童性的搾取題材(CSEM)
3. Pro-terror material 3. プロテロ題材
4. Content that praises, promotes, glorifies or supports extremist organizations or individuals 4. 過激な組織や個人を賞賛、促進、賛美、支援する内容
5. Violent graphic content 5. 暴力的な映像の内容
6. Content that incites, promotes or facilitates violence 6. 暴力を扇動、促進、助長する内容
7. Content that promotes, incites or instructs in dangerous physical behaviour 7. 危険な身体的行動を促進、扇動、指示する内容
b. Contact risks b. 接触リスク
1. Grooming for sexual abuse 1. 性的虐待を目的としたグルーミング
2. Recruitment and radicalization 2. 勧誘と過激化
c. Conduct risks c. 行為リスク
1. Technology-facilitated abuse (TFA) 1. テクノロジーを利用した虐待(TFA)
2. Technology-facilitated gender-based violence 2. テクノロジーが助長するジェンダーに基づく暴力
d. Content/contact/conduct risks d. 内容/接触/行為リスク
1. Child sexual exploitation and abuse (CSEA) 1. 児童の性的搾取と虐待(CSEA)
2.2 Harm to health and well-being 2.2 健康と幸福への害
a. Content risks a. 内容リスク
1. Material that promotes suicide, self-harm and disordered eating 1. 自殺、自傷行為、乱れた食生活を助長するもの
2. Developmentally inappropriate content 2. 発達段階に不適切な内容
2.3 Hate and discrimination 2.3 ヘイトと差別
a. Content risks a. 内容リスク
1. Hate speech 1. ヘイトスピーチ
b. Conduct risks b. 行為リスク
1. Algorithmic discrimination 1. アルゴリズムによる差別
2.4 Violation of dignity 2.4 尊厳の侵害
a. Conduct risks a. 行為リスク
1. Online bullying and harassment  1. ネット上でのいじめや嫌がらせ 
b. Contact risks b. 接触リスク
1. Sexual extortion 1. 性的恐喝
2.5 Invasion of privacy 2.5 プライバシーの侵害
a. Conduct risks a. 行為リスク
1. Doxxing 1. ドクシング
2. Image-based abuse 2. イメージに基づく悪用
2.6 Deception and manipulation 2.6 欺瞞と操作
a. Content risks a. 内容リスク
1. Disinformation and misinformation 1. 偽情報と誤報
2. Deceptive synthetic media 2. 欺瞞的な合成メディア
b. Conduct risks b. 行為リスク
1. Impersonation 1. なりすまし
2. Scams 2. 詐欺
3. Phishing 3. フィッシング
4. Catfishing 4. キャットフィッシング
3 Conclusion 3 結論
The Typology of Online Harms provides a comprehensive framework for understanding and categorizing various types of online harm through a human rights lens. オンライン被害の類型化」は、人権というレンズを通して、様々なタイプのオンライン被害を理解し、分類するための包括的なフレームワークを提供する。
Appendix: Resources 附属書 リソース
Contributors 協力者
Endnote 巻末資料

 

 

 

 

 

 

 

| | Comments (0)

2023.08.11

ロシア 情報セキュリティセンターの設立に約33億ルーブル(約50億円)の予算をつける

こんにちは、丸山満彦です。

ロシア連邦政府が、情報セキュリティセンターの設立に3,370,739,000ルーブル(約50億円)をつけることを承認したようですね。。。

政府が利用する情報セキュリティ製品の開発等のためのようです。。。

 

Правительство России

・2022.08.10 Правительство выделило более 3,3 млрд рублей на создание центра информационной безопасности

Правительство выделило более 3,3 млрд рублей на создание центра информационной безопасности 政府は情報セキュリティセンター設立に33億ルーブル以上を割り当てる
Распоряжение от 10 августа 2023 года №2170-р 2023年8月10日付命令第2170-r号
В России появится отраслевой центр информационной безопасности. Распоряжение о выделении на его создание и функционирование более 3,3 млрд рублей подписал Председатель Правительства Михаил Мишустин. ロシアに情報セキュリティ産業センターが設立される。その設立と機能のために33億ルーブル以上を割り当てるという命令は、ミハイル・ミシュスチン首相によって署名された。
«У нас должны появиться собственные решения, повышающие защищённость цифровых систем, пользовательских данных и учётных записей граждан», – отметил Михаил Мишустин на заседании Правительства 10 августа. ミハイル・ミシュスチン首相は8月10日の政府会議で、「我々は、デジタルシステム、ユーザーデータ、市民アカウントのセキュリティを高める独自のソリューションを持たなければならない」と述べた。
Выделенные средства позволят сформировать инфраструктуру и лаборатории, необходимые для проведения научно-исследовательских и опытно-конструкторских работ в области информационной безопасности, а также для разработки ИТ-технологий с криптографическими алгоритмами и протоколами защиты информации. 割り当てられた資金により、情報セキュリティ分野の研究開発、暗号アルゴリズムや情報保護プロトコルを用いたIT技術の開発に必要なインフラや研究所が形成される。
Центр будет функционировать в структуре автономной некоммерческой организации «Национальный технологический центр цифровой криптографии». Его создание позволит ускорить массовое внедрение российских ИТ-технологий с интегрированными механизмами обеспечения информационной безопасности. Такие технологии необходимы при развитии цифровых сервисов, информационных систем и телекоммуникационных сетей связи. 同センターは、自律的な非営利組織である国立デジタル暗号技術センターの組織内で機能する。このセンターの設立により、情報セキュリティ・メカニズムを統合したロシアのIT技術の大量導入が加速される。このような技術は、デジタルサービス、情報システム、電気通信ネットワークの開発に必要である。

 

・[PDF]

20230811-203207

ПРАВИТЕЛЬСТВО РОССИЙСКОЙ ФЕДЕРАЦИИ  ロシア連邦政府 
Р А С П О Р Я Ж Е Н И Е  決議 
от 10 августа 2023 г. № 2170-р  2023年8月10日付 第2170-r号 
МОСКВА  モスクワ 
1. Выделить из резервного фонда Правительства Российской Федерации в 2023 году бюджетные ассигнования в размере  3370739 тыс. рублей Минцифры России на предоставление субсидии автономной некоммерческой организации "Национальный технологический центр цифровой криптографии" (далее - организация)  на создание и обеспечение функционирования отраслевого центра информационной безопасности цифровой экономики (далее - центр)  в структуре организации в следующих целях:  1. ロシア連邦政府の予備費から、ロシア連邦デジタル暗号省に3370739千ルーブルの予算を割り当て、ロシア連邦デジタル暗号省自治非営利団体「デジタル暗号国家技術センター」(以下、「当団体」)に補助金を支給し、当団体の組織内にデジタル経済の情報セキュリティ部門センター(以下、「センター」)を以下の目的のために設立し、その機能を確保する: 
проведение научно-исследовательских и опытно-конструкторских работ, направленных на решение отраслевых задач в области обеспечения информационной безопасности, имея в виду достижение организацией в 2023 году результата - проведены 9 научно-исследовательских  и опытно-конструкторских работ; проектирование, разработка (создание), подготовка к практической реализации и обеспечение эксплуатации доверенных отечественных решений в области информационных технологий с внедренными механизмами обеспечения информационной безопасности (в том числе путем встраивания механизмов криптографической защиты информации, определенных национальными документами Российской Федерации  по стандартизации), имея в виду достижение организацией в 2023 году результата - разработаны (созданы) и подготовлены к практической реализации 7 доверенных отечественных решений в области информационных технологий с внедренными механизмами обеспечения информационной безопасности;  情報セキュリティ分野における業界固有の課題を解決することを目的とした研究開発業務、すなわち、2023年に組織が達成する成果:9件の研究開発業務、情報セキュリティの仕組みが実装された情報技術分野における信頼される国産ソリューションの設計・開発(創出)・実用化準備・運用の確保(情報セキュリティの仕組みの統合によるものを含む)、情報セキュリティの仕組みが実装された情報技術分野における信頼される国産ソリューションの設計・開発(創出)・実用化準備・運用の確保(情報セキュリティの仕組みの統合によるものを含む)。
поставка оборудования, создание, развитие и обеспечение функционирования научно-практических и технологических лабораторий и информационно-телекоммуникационной инфраструктуры центра,  имея в виду достижение организацией в 2023 году результата -  начато создание первой очереди многопрофильного масштабируемого высокопроизводительного вычислительного комплекса, предназначенного для проведения удаленными пользователями открытых экспериментальных, в том числе криптографических, исследований  в области информационной безопасности для решения фундаментальных  и прикладных задач, требующих больших объемов вычислений,  в различных областях науки и техники, в том числе в области информационной безопасности.  当組織が2023年に達成することを視野に入れ、当センターの科学技術研究所、情報通信インフラの設備納入、構築、開発、保守を行う。当センターは、当財団が抱える問題を解決するための情報セキュリティ分野のオープン実験的研究(暗号を含む)を遠隔地のユーザーが実施できるように設計された、学際的なスケーラブル・ハイパフォーマンス・コンピューティング複合施設の第一段階を構築する。
2. Минцифры России осуществлять контроль за целевым и эффективным использованием указанных в пункте 1 настоящего распоряжения бюджетных ассигнований с представлением доклада  в Правительство Российской Федерации до 1 февраля 2024 г.  2. ロシア連邦デジタル化省は、2024年2月1日までにロシア連邦政府に報告書を提出することで、本令第1項に規定された予算の的を絞った効率的な使用を管理する。
Председатель Правительства    ロシア連邦政府議長   
Российской Федерации    М.Мишустин ロシア連邦政府議長 M. Mishustin

 

 

| | Comments (0)

米国 国家情報戦略 2023

こんにちは、丸山満彦です。

国家情報長官室が国家情報戦略2023を公表していますね。。。国家安全戦略 (National Security Strategy) 、国家防衛戦略 (National Defense Strategy) の下位戦略という位置付けですね。。。国家情報戦略は、過去には、2019年2014年2005年に策定されています。

目標を6つ挙げています。

GOAL 1: Position the IC for Intensifying Strategic Competition 目標1:激化する戦略的競争にICを位置づける。
GOAL 2: Recruit, Develop, and Retain a Talented and Diverse Workforce that Operates as a United Community 目標2: 一体となった共同体として活動する有能で多様な人材を採用、育成、維持する。
GOAL 3: Deliver Interoperable and Innovative Solutions at Scale  目標3:相互運用可能で革新的なソリューションを大規模に提供する。
GOAL 4: Diversify, Expand, and Strengthen Partnerships  目標4:パートナーシップの多様化、拡大、強化 
GOAL 5: Expand IC Capabilities and Expertise on Transnational Challenges 目標5:国境を越えた課題に対するICの能力と専門知識を拡大する。
GOAL 6: Enhance Resilience 目標6:レジリエンスの強化

 

・2023.08.09 2023 National Intelligence Strategy

 ・[PDF] downloaded

20230811-164335

 

National Intelligence Strategy 2023 国家情報戦略2023
From the Director of National Intelligence 国家情報長官より
Following the attacks of September 11, 2001, and in the wake of the Intelligence  2001年9月11日の同時多発テロを受け、また2004年に議会で可決された情報改革・テロ防止法を受け、国家情報長官は2023年の国家情報戦略を策定した。
Reform and Terrorism Prevention Act passed by Congress in 2004, Director of  2004年に議会で可決された情報改革・テロ防止法を受け、ジョン・D・ネグロポンテ国家情報長官は 
National Intelligence John D. Negroponte signed out the Intelligence Community’s (IC) first National Intelligence Strategy. The strategy explained that the Intelligence Community’s clear charge was to: ジョン・D・ネグロポンテ国家情報長官は、情報コミュニティ(IC)初の国家情報戦略に署名した。この戦略では、情報コミュニティの明確な任務が次のように説明されている:
• Integrate the domestic and foreign dimensions of U.S. intelligence so that  there are no gaps in our understanding of threats to our national security; ・ 国家安全保障に対する脅威の理解にギャップが生じないように、米国のインテリジェンスを国内と国外の次元で統合する;
• Bring more depth and accuracy to intelligence analysis; and ・情報分析をより深く正確にする。
• Ensure that U.S. intelligence resources generate future capabilities  as well as present results. ・米国の情報資源が、現在の成果だけでなく将来の能力も生み出すようにする。
Now, almost twenty years after our first strategy was issued, the Intelligence Community’s charge remains just as clear, even as the strategic environment has changed dramatically. The United States faces an increasingly complex and interconnected threat environment characterized by strategic competition between the United States, the People’s Republic of China (PRC), and the Russian Federation, felt perhaps most immediately in Russia’s ongoing aggression in Ukraine. In addition to states, sub-national and non-state actors—from multinational corporations to transnational social movements—are increasingly able to create influence, compete for information, and secure or deny political and security outcomes, which provides opportunities for new partnerships as well as new challenges to U.S. interests. In addition, shared global challenges, including climate change, human and health security, as well as emerging and disruptive technological advances, are converging in ways that produce significant consequences that are often difficult to predict. 最初の戦略が発表されてから20年近くが経過した現在、戦略的環境が劇的に変化しているにもかかわらず、情報コミュニティの責任は依然として明確である。米国は、米国、中華人民共和国(PRC)、ロシア連邦の戦略的競合を特徴とする、ますます複雑化し相互に結びついた脅威環境に直面している。それは、ロシアがウクライナに侵攻を続けていることに最も端的に表れている。国家だけでなく、多国籍企業から国境を越えた社会運動まで、国家や国家以外のアクターが影響力を行使し、情報を奪い合い、政治的・安全保障上の成果を確保したり否定したりする能力が高まっている。加えて、気候変動、人間の安全保障、健康安全保障、新興の破壊的な技術進歩など、共通のグローバルな課題が、しばしば予測困難な重大な結果をもたらす形で収束しつつある。
As Director of National Intelligence, I have the privilege of leading an Intelligence Community that provides decision-makers and citizens crucial insights on this diverse and complex landscape. Our support to policymakers, operators, and warfighters is critically dependent on our ability to look beyond the immediate horizon to ensure the Intelligence Community is well postured to address emerging threats, promote national resilience and innovation, defend our competitive advantage, and promote shared prosperity. This National Intelligence Strategy, therefore, lays out the Intelligence Community’s role in supporting the priorities outlined in the President’s National Security Strategy and serves as the Community’s direction for the next four years as we seek to better serve the Nation. 私は国家情報長官として、この多様で複雑な情勢に関する重要な洞察を意思決定者や国民に提供する情報コミュニティを率いる特権を与えられている。政策立案者、作戦担当者、戦闘員への支援は、情報コミュニティが新たな脅威に対処し、国家のレジリエンスとイノベーションを促進し、競争上の優位性を守り、繁栄を共有するための態勢を整えるために、目先のことにとらわれない我々の能力にかかっている。したがって、この国家情報戦略は、大統領の国家安全保障戦略に示された優先事項を支援する上での情報コミュニティの役割を示すものであり、今後4年間、国家により良いサービスを提供することを目指す情報コミュニティの方向性を示すものである。
The six goals outlined in this National Intelligence Strategy have emerged as our understanding of the kinds of information, technology, and relationships needed to be effective in the future has expanded. Whether we are successful in achieving these goals will depend on whether we can maintain a talented and diverse workforce, and whether we can adapt, increase resilience, and sustain our focus on overcoming the challenges of a rapidly changing environment. I believe we have the capacity, will, and talent to do so.  この国家情報戦略に概説されている6つの目標は、今後効果的な活動を行うために必要とされる情報、技術、人間関係について、われわれの理解が深まるにつれて浮かび上がってきたものである。これらの目標の達成に成功するかどうかは、優秀で多様な人材を維持できるかどうか、そして、急速に変化する環境に適応し、レジリエンスを高め、その課題を克服することに集中し続けられるかどうかにかかっている。私たちにはそのための能力、意志、才能があると信じている。
Avril D. Haines アヴリル D. ヘインズ
Director of National Intelligence 国家情報長官
The National Intelligence Strategy  of the United States of America 米国の国家情報戦略
IC Vision ICビジョン
An Intelligence Community that embodies America’s values and is sufficiently agile, integrated, innovative, and resilient to inform national security and foreign policy decisions, resulting in a Nation that is secure and prosperous. 米国の価値観を体現し、国家安全保障と外交政策の決定に十分な情報を提供できる機動性、統合性、革新性、レジリエンスを備えた情報コミュニティであり、その結果、安全で繁栄する国家を実現する。
IC Mission ICの使命
The U.S. Intelligence Community provides timely, rigorous,  apolitical, and insightful intelligence and support to inform  national security decisions and protect our Nation and its interests. 米国情報コミュニティは、国家安全保障の意思決定に情報を提供し、わが国とその利益を守るために、タイムリーで、厳密で、非政治的で、洞察に満ちた情報と支援を提供する。
Our success as a Community is measured as much by our defense of America’s values as it is by the execution of our intelligence mission. The 2023 National Intelligence Strategy recognizes that a purposeful and clear set of ethics serves as a cornerstone of the United States Intelligence Community’s mission. 情報コミュニティとしての成功は、情報任務の遂行と同様に、米国の価値観の防衛によって測られる。2023年国家情報戦略は、目的意識と明確な倫理観が米国情報コミュニティの使命の礎石となることを認識している。
Principles of Professional Ethics  for the Intelligence Community 情報コミュニティにおける職業倫理の原則
As members of the intelligence profession, we conduct ourselves in accordance with certain basic principles. These principles are stated below, and reflect the standard of ethical conduct expected of all Intelligence Community personnel, regardless of individual role or agency affiliation. Many of these principles are also reflected in other documents that we look to for guidance, such as statements of core values, and the Code of Conduct: Principles of Ethical Conduct for Government Officers and Employees; it is nonetheless important for the Intelligence Community to set forth in a single statement the fundamental ethical principles that unite us—and distinguish us—as intelligence professionals. 情報専門家の一員として、私たちは特定の基本原則に従って行動する。これらの原則は以下のとおりであり、個人の役割や所属機関に関係なく、すべての情報コミュニティ要員に期待される倫理的行動の標準を反映している。これらの原則の多くは、中核的価値観の表明や行動規範など、私たちが指針としている他の文書にも反映されている: しかし、情報コミュニティにとって重要なのは、情報専門家として私たちを団結させ、私たち を際立たせる基本的な倫理原則を、一つの声明にまとめることである。
 ■ Mission   使命 
We serve the American people, and understand that our mission requires selfless dedication to the security of our Nation.  われわれは米国民に奉仕し、その使命は国家の安全保障のために無私の献身を必要とすることを理解する。
 ■ Truth   真実 
We seek the truth; speak truth to power; and obtain, analyze, and  provide intelligence objectively.  真実を追求し、権力に対して真実を語り、客観的に情報を入手、分析、提供する。
 ■ Lawfulness   合法性 
We support and defend the Constitution, and comply with the laws of the United States, ensuring that we carry out our mission in a manner that respects privacy, civil liberties, and human rights obligations.  憲法を支持・擁護し、米国の法律を遵守する。プライバシー、市民の自由、人権を尊重した方法で任務を遂行する。
 ■ Integrity   誠実さ 
We demonstrate integrity in our conduct, mindful that all our actions, whether public or not, should reflect positively on the Intelligence Community at large.  私たちは、公の場であるか否かを問わず、私たちのすべての行動が情報コミュニティ全体に良い影響を与えることを念頭に置き、誠実な行動をとる。
 ■ Stewardship   管理責任 
We are responsible stewards of the public trust; we use intelligence authorities  and resources prudently, protect intelligence sources and methods diligently, report wrongdoing through appropriate channels; and remain accountable to ourselves, our oversight institutions, and through those institutions, ultimately to the American people. 私たちは、国民の信頼を預かる責任ある管理者である。私たちは、情報権限と資源を慎重に使用し、情報源と情報手法を真摯に保護し、適切なルートを通じて不正行為を報告し、私たち自身、私たちの監督機構、そしてそれらの機構を通じて、最終的には米国民に対して説明責任を果たす。
 ■ Excellence   卓越性 
We seek to improve our performance and our craft continuously, share information responsibly, collaborate with our colleagues, and demonstrate innovation and agility when meeting new challenges.  私たちは、自らのパフォーマンスと技術を継続的に改善し、責任を持って情報を共有し、同僚と協力し、新たな課題に取り組む際には革新性と機敏性を発揮する。
 ■ Diversity   多様性 
We embrace the diversity of our Nation, promote diversity and inclusion  in our workforce, and encourage diversity in our thinking. 私たちは、国家の多様性を受け入れ、労働力の多様性と包摂を推進し、思考の多様性を奨励する。
GOAL 1: Position the IC for Intensifying Strategic Competition 目標1:激化する戦略的競争にICを位置づける。
Strategic competition from powers that layer authoritarian governance with a revisionist foreign policy is a principal challenge to a free, open, secure, and prosperous world. The PRC is the only U.S. competitor with both the intent to reshape the international order and, increasingly, the economic, diplomatic, military, and technological power to do so. Russia poses an immediate and ongoing threat to the regional security order in Europe and Eurasia and is a source of disruption and instability globally, but it lacks the across-thespectrum capabilities of the PRC.  権威主義的ガバナンスと修正主義的外交政策を重ねる国々との戦略的競争は、自由で開かれた、安全で豊かな世界への主要な挑戦である。中国は、国際秩序を再構築する意図を持ち、ますますそのための経済力、外交力、軍事力、技術力を持つ唯一の米国の競争相手である。ロシアは、ヨーロッパとユーラシアの地域安全保障秩序に直接的かつ継続的な脅威をもたらし、世界的な混乱と不安定化の原因となっているが、中国のような総合的な能力を欠いている。
Leadership in technology and innovation has long underpinned our economic prosperity and military strength, and will be critical to outcompeting our rivals, advancing our interests, and safeguarding democracy. The United States must be able to identify the applications and implications of emerging technologies, understand supply chains, and use economic statecraft tools—in coordination with our allies and partners—to ensure strategic competitors are not able to undermine our competitiveness and national security.  テクノロジーとイノベーションにおけるリーダーシップは、長い間、米国の経済的繁栄と軍事力を支えてきた。米国は、新興技術の用途と意味を識別し、サプライチェーンを理解し、同盟国やパートナーと連携して経済的な国家戦略を駆使し、戦略的競争相手が米国の競争力と国家安全保障を損なうことがないようにしなければならない。
The IC must deepen and expand its expertise, strengthen its collection and analytic capabilities, and embrace new partnerships and external perspectives to address policymaker needs in this more competitive environment. The IC will invest in developing innovative methods and cultivating new sources, and work more systematically with allies and partners and public and private sector partners to facilitate a common understanding of technological and other risks and how to address them. Given the global nature of strategic competition, the IC will establish methods and systems that promote greater interoperability and understanding across traditional and distinct geographic and functional areas. These efforts are essential to the IC’s success as a key element of national power in this competition. ICは、専門知識を深め、拡大し、収集・分析能力を強化し、新たなパートナーシップや外部の視点を取り入れて、このような競争激化の環境における政策立案者のニーズに対応しなければならない。ICは、革新的な手法の開発や新たな情報源の開拓に投資し、同盟国やパートナー、官民のパートナーとより体系的に協力し、技術的リスクやその他のリスクとその対処方法についての共通理解を促進する。戦略的競争のグローバルな性質を考慮し、ICは、従来の異なる地理的・機能的領域を超えて、より大きな相互運用性と理解を促進する方法とシステムを確立する。このような努力は、この競争における国力の重要な要素としてICが成功するために不可欠である。
The IC will improve its ability to provide timely and accurate insights into competitor intentions, capabilities, and actions by strengthening capabilities in language, technical, and cultural expertise and harnessing open source, “big data,” artificial intelligence, and advanced analytics. The IC also must enhance its ability to understand how countries in every region of the world perceive, are implicated by, and seek to navigate this new landscape, and assess their opportunities to enhance strategic relationships with the United States. At the same time, the IC will improve its understanding of how non-state actors might use their growing resources and capacity to exert unilateral and collective influence in a way that could support or undermine U.S. national security. And above all else, the IC will use its authorities and capabilities in ways that strengthen our democratic foundations and principles as we seek to counter increasingly autocratic competitors. ICは、言語、技術、文化に関する専門知識を強化し、オープンソース、「ビッグデータ」、人工知能、高度な分析を活用することで、競争相手の意図、能力、行動に関するタイムリーで正確な洞察を提供する能力を改善する。ICはまた、世界のあらゆる地域の国々が、この新たな状況をどのように認識し、どのような影響を受け、どのように乗り切ろうとしているかを理解し、米国との戦略的関係を強化する機会を評価する能力を強化しなければならない。同時にICは、非国家主体がその増大する資源と能力を利用して、米国の国家安全保障を支援したり損なったりするような形で、一方的・集団的影響力を行使する可能性について理解を深める。そして何よりも、独裁的な競争相手の増加に対抗するため、民主主義の基盤と原則を強化する方法で、ICはその権限と能力を行使する。
GOAL 2: Recruit, Develop, and Retain a Talented and Diverse Workforce that Operates as a United Community 目標2: 一体となった共同体として活動する有能で多様な人材を採用、育成、維持する。
The IC’s future success depends on its ability to attract and retain a highly technical and talented workforce that draws on one of our country’s unmatched reservoirs of strength: our diversity. Varied backgrounds, perspectives, and experiences strengthen our workforce, our ability to deliver on our Mission,  and the trust of the American public.  ICの将来の成功は、わが国の比類なき強さの源泉の一つである多様性を活用した、高度な技術を持つ有能な人材を惹きつけ、維持できるかどうかにかかっている。多様な背景、視点、経験は、労働力、任務を遂行する能力、米国民の信頼を強化する。
The Community must overcome long-standing cultural, structural, bureaucratic, technical, and security challenges to reimagine and deliver  the IC workforce of the future. 地域社会は、長年の文化的、構造的、官僚的、技術的、安全保障上の課題を克服し、将来の情報通信研究所の労働力を再構築し、提供しなければならない。
The IC will modernize recruiting, hiring, and vetting processes to ensure its ability to competitively and rapidly recruit and onboard a diverse, trusted, agile, and expert IC workforce. The IC will also build on efforts to implement continuous monitoring and security clearance reciprocity so the Community can operate in new ways, rapidly redistributing and better integrating expertise where and when it is most needed, taking advantage of greater workplace flexibilities, and leveraging skills from across the Community regardless of organizational affiliation.  ICは、募集、採用、審査プロセスを近代化し、多様で、信頼され、機敏で、専門的なICの人材を競争的かつ迅速に募集し、採用する能力を確保する。ICはまた、継続的なモニタリングとセキュリティ・クリアランスの相互利用を実施する努力を積み重ね、コミュニティが新しい方法で活動できるようにし、最も必要とされる場所で、最も必要とされる時に、専門知識を迅速に再配分し、よりよく統合し、より大きな職場の柔軟性を活用し、組織の所属に関係なくコミュニティ全体のスキルを活用できるようにする。
Enhanced professional development opportunities at every level of the workforce are critical to building a shared strategic awareness of the IC’s full capabilities, its missions, and its challenges and ensuring greater literacy and expertise in emerging disciplines and fields. The IC must also incentivize, reward, and offer opportunities for regular joint duty rotations to produce officers more capable of formulating holistic and integrated solutions to intelligence problems.  ICの全能力、ミッション、課題に対する戦略的認識を共有し、新たな分野や領域におけるリテラシーと専門性を高めるためには、労働力のあらゆるレベルにおいて専門能力開発の機会を充実させることが不可欠である。ICはまた、情報問題に対する総合的かつ統合的な解決策を策定する能力を備えた将校を育成するため、定期的な合同任務ローテーションを奨励し、報奨を与え、その機会を提供しなければならない。
Diversity, equity, inclusion, accessibility, and other human capital initiatives will only succeed if they are subjected to rigorous and continuous analysis, evaluation, transparency, and learning. These efforts will build a workforce that fosters a shared commitment to U.S. national security and enhance its resilience. 多様性、公平性、インクルージョン、アクセシビリティ、その他の人的資本イニシアティブは、厳密かつ継続的な分析、評価、透明性、学習が行われて初めて成功する。このような取り組みにより、米国の国家安全保障へのコミットメントを共有できる人材を育成し、そのレジリエンスを高めることができる。
GOAL 3: Deliver Interoperable and Innovative Solutions at Scale  目標3:相互運用可能で革新的なソリューションを大規模に提供する。
Promoting technical and tradecraft competitiveness and innovation for the Intelligence Community requires sustained investment and rapid adaptation of interoperable solutions at scale.  情報コミュニティの技術的・技能的競争力と革新性を促進するには、持続的な投資と相互運用可能なソリューションの迅速な適応が必要である。
The Community will remove barriers by establishing unified IC procurement authorities, centralized solicitation systems, and a Community-wide contracting system, all bolstered by automation tools. A Community-wide, data-centric approach based on common standards is crucial to realizing the full promise of new capabilities. In response to changing mission needs, the IC will foster a culture that embraces innovation and the application of tools, data, processes, and standards necessary to transform labor- and time-intensive work into more efficient and productive human-machine partnerships. These efforts will include initiatives to improve the discoverability, accessibility, and standardization of our data. 共同体は、自動化ツールによって強化された、統一されたIC調達権限、一元化された募集システム、共同体全体の契約システムを確立することにより、障壁を取り除く。共通標準に基づく、地域全体のデータ中心的アプローチは、新能力の約束を完全に実現する上で極めて重要である。変化するミッション・ニーズに対応するため、ICは、労働集約的で時間のかかる作業を、より効率的で生産性の高い人間と機械のパートナーシップに転換するために必要なツール、データ、プロセス、標準の革新と適用を受け入れる文化を醸成する。これらの取り組みには、データの発見可能性、アクセス可能性、標準化を改善する取り組みも含まれる。
The IC will also pursue complementary efforts to anticipate adversaries’ over-the-horizon plans, capabilities, and intentions to inform Community research and development initiatives, guide capability development decisions, and avoid strategic surprise. The IC will also maximize the chances for technical breakthroughs and enhanced mission effectiveness by sustaining predictable funding for the research and development of new capabilities. This will require enhanced integration between the Community’s science and technology enterprise and its collection and analysis communities to optimize resource allocation through coordinated investments. ICはまた、敵対者のオーバー・ザ・ホライズンの計画、能力、意図を予測し、コミュニティーの研究開発イニシアチブに情報を提供し、能力開発の決定を導き、戦略的奇襲を回避するための補完的努力も追求する。ICはまた、新能力の研究開発のための予測可能な資金を維持することにより、技術的ブレークスルーの可能性を最大化し、ミッションの有効性を高める。そのためには、共同体の科学技術エンタープライズと収集・分析コミュニティとの統合を強化し、協調的投資を通じて資源配分を最適化する必要がある。
The IC’s emphasis on enterprise-wide solutions will benefit from expanded and diversified partnerships that the Community will leverage to develop and implement solutions that identify and anticipate capability gaps. These relationships will also allow the IC to harness state-of-the-art technology deliberately, lawfully, and ethically, in service of the Nation’s security. エンタープライズ全体のソリューションに重点を置く識別 IC は、能力のギャップを特定し予測するソリューショ ンを開発し実施するためにコミュニティが活用する、拡大し多様化したパートナーシップから恩恵を受ける。また、このような関係により、IC は、国家の安全保障のために、合法的かつ倫理的に、計画的に最先端技術を活用することができるようになる。
GOAL 4: Diversify, Expand, and Strengthen Partnerships  目標4:パートナーシップの多様化、拡大、強化 
Our unmatched network of alliances and partnerships around the world is our most important strategic asset—and a force multiplier for our intelligence mission. Our ability to leverage and work in concert with a broad set of partners enhances our operational capabilities, sharpens our insights, and strengthens the foundation for strategic relationships and common action between our governments.  世界中に張り巡らされた同盟とパートナーシップの比類なきネットワークは、わが国の最も重要な戦略的資産であり、わが国の諜報任務にとって戦力増強要因である。広範なパートナーを活用し、協調して活動する能力は、われわれの作戦能力を高め、洞察力を鋭敏にし、政府間の戦略的関係と共通の行動の基盤を強化する。
That is why the Intelligence Community, like other members of the national security community, is committed to reaffirming, expanding, and enhancing our alliances and partnerships across regions and issues to meet the challenges and seize the opportunities of the future. だからこそ情報コミュニティは、国家安全保障コミュニティの他のメンバーと同様、将来の課題に対応し、機会をつかむために、地域や問題を超えた同盟関係やパートナーシップを再確認し、拡大し、強化することに全力を傾けているのである。
The IC has traditionally been organized and postured to understand the plans, intentions, and impacts of nation states and, following the 9/11 attacks, asymmetric threats from terrorist organizations. The series of interconnected and transnational threats facing the United States and its allies and partners requires a greater and more synchronized effort to enhance intelligence sharing across a broader swathe of issues and with a more diverse array of regional and local partners. ICは伝統的に、国家の計画、意図、影響、そして9.11テロ以降はテロ組織による非対称の脅威を理解するために組織され、態勢を整えてきた。米国とその同盟国やパートナーが直面する、相互に結びついた国境を越えた一連の脅威に対しては、より広範な問題や、より多様な地域や地域のパートナーとの情報共有を強化し、より同期化した取り組みが必要である。
Even as we continue to invest in existing partnerships like those with our Five-Eyes partners and forge new ones, the evolving set of challenges—from cyberattacks and climate change to pandemics and foreign malign influence— also require investing in new and more diverse partnerships, especially with non-state and sub-national actors. From companies to cities to civil society organizations, these actors’ ideas, innovations, resources, and actions increasingly shape our societal, technological, and economic futures.  ファイブ・アイズ・パートナーとのような既存のパートナーシップに投資し続け、新たなパートナーシップを構築するとしても、サイバー攻撃や気候変動からパンデミックや外国の影響に至るまで、進化する一連の課題には、特に非国家主体やサブナショナル主体との、より多様な新たなパートナーシップへの投資も必要である。企業から都市、市民社会組織に至るまで、こうしたアクターのアイデア、イノベーション、リソース、行動は、社会、技術、経済の未来をますます形作るようになっている。
The IC must rethink its approach to exchanging information and insights with non-state actors that either have the responsibility to act or are the entities best postured to do so in defense of U.S. national security interests. This is especially true of non-state actors positioned to detect and defend against cyber threats to critical infrastructure. The IC must adopt new approaches that take full advantage of non-state actor expertise and insights that are necessary for the Community to fulfill its mission. To these ends, the IC must build new and restructure existing collaborative mechanisms with non-state actors and find ways to enhance the flow of information to and from these actors in ways that safeguard our national security and prosperity. ICは、米国の国家安全保障上の利益を守るために、行動する責任を負っているか、あるいは行動するのに最適な事業体である非国家主体との情報や見識の交換に対するアプローチを再考しなければならない。これは特に、重要インフラに対するサイバー脅威を検知・防御する立場にある非国家主体に当てはまる。ICは、コミュニティがその使命を果たすために必要な非国家主体の専門知識や見識を最大限に活用する新たなアプローチを採用しなければならない。これらの目的のために、IC は非国家主体との新たな協力メカニズムを構築し、また既存の協力メカニズムを再構築し、わが国の国家安全保障と繁栄を守る方法で、これらの主体との情報の流れを強化する方法を見つけなければならない。
GOAL 5: Expand IC Capabilities and Expertise on Transnational Challenges 目標5:国境を越えた課題に対するICの能力と専門知識を拡大する。
A highly connected and complex world means that transnational and transboundary challenges are having increasingly broad implications for U.S. interests in every region and in multiple domains. The world is facing more frequent and intense crises due to the effects of climate change, narcotics trafficking, financial crises, supply chain disruptions, corruption, new and recurring diseases, and emerging and disruptive technologies. Moreover, these cross-border challenges are increasingly interacting with and compounding traditional state-based political, economic, and security challenges with unexpected second consequences, from food and energy insecurity to irregular migration, and civil unrest to conflict.  高度に結びついた複雑な世界とは、国境を越えた課題が、あらゆる地域や複数の領域において、米国の利益にますます広範な影響を及ぼすようになっていることを意味する。世界は、気候変動、麻薬取引、金融危機、サプライチェーンの混乱、汚職、新型・再発性の疾病、新興・破壊的テクノロジーの影響により、より頻繁で激しい危機に直面している。さらに、こうした国境を越えた課題は、食糧やエネルギーの不安から不規則な移民、内乱から紛争に至るまで、従来の国家を基盤とした政治、経済、安全保障上の課題とますます相互作用し、複合的に影響し合うようになっている。
The National Security Strategy makes it clear that these intensifying transnational challenges are at the core of national and international security. Accordingly, the IC is determined to improve its ability to understand, anticipate, and provide early warning about transnational threats, as well as identify opportunities for the United States, its allies, and partners. The IC will recruit, develop, and integrate expertise across a range of disciplines, such as climate and environmental security, global public health, biosecurity, science, and technology, to ensure it provides decision-makers actionable strategic foresight.  国家安全保障戦略は、こうした国境を越えた課題の激化が、国内および国際的な安全保障の核心であることを明確にしている。したがって、国際安全保障局(IC)は、国境を越えた脅威を理解し、予測し、早期に警告を発する能力を向上させるとともに、米国やその同盟国、パートナーにとっての機会を特定する決意である。ICは、気候・環境安全保障、グローバルな公衆衛生、バイオセキュリティ、科学、技術など、さまざまな分野の専門家を採用、開発、統合し、意思決定者に実用的な戦略的先見性を提供できるようにする。
The IC must work across organizational boundaries and collaborate with other government agencies—both federal and local—to better integrate research, expertise, and data, and build the capacity to model and forecast potential cascading effects of these transnational challenges. The IC will build enduring partnerships with foreign partners, the private sector, academia, and others to leverage their unique capabilities and expertise and to augment its own ability to identify and prepare for challenges in both the near and long terms. The IC will leverage and enhance the tools, techniques, and procedures developed for other missions, such as counterterrorism, and apply lessons learned and best practices from these areas to evolving, transnational issues. 国際安全保障局(IC)は、研究、専門知識、データをよりよく統合し、これらの国境を越えた課題の潜在的な連鎖的影響をモデル化し予測する能力を構築するために、組織の境界を越えて、連邦政府、地方政府を問わず、他の政府機関と協力しなければならない。識別情報センターは、海外パートナー、民間部門、学界、その他との永続的なパートナーシップを構築し、彼ら独自の能力と専門知識を活用するとともに、近い将来および長期的な課題を特定し、それに備える能力を強化する。ICは、テロ対策など、他のミッションのために開発されたツール、技術、手順を活用、強化し、これらの分野から得られた教訓やベストプラクティスを、進化する国境を越えた問題に適用する。
GOAL 6: Enhance Resilience
目標6:レジリエンスの強化
The IC has an expanding role in supporting the resilience of the Nation, its allies, and its partners, particularly in a world still emerging from the COVID-19 pandemic. In this increasingly complex environment, risk assumed by one is effectively assumed by all, resulting in the need for a multifaceted, layered, and distributed approach that adapts as the threat evolves. Protecting the IC’s and the Nation’s critical infrastructure from complex threats requires a deeper understanding of the implications of destabilizing trends, and improved early warning to improve the Nation’s recovery and response.
IC は、特に COVID-19 パンデミックからいまだ抜け出せない世界において、国家、同盟国、パートナー のレジリエンスを支援する役割を拡大している。このますます複雑化する環境では、1 人が引き受けたリスクは事実上すべての人が引き受けることになり、その結果、脅威の進展に合わせて適応する多面的、重層的、分散的なアプローチが必要となる。複雑な脅威から国家安全保障局と国家の重要インフラを防御するには、不安定化する傾向の意味をより深く理解し、国家の復旧と対応を改善するための早期警戒を改善する必要がある。
Resilience also includes defending the Nation’s economic security and prosperity. That is why the IC is expanding its role in understanding threats and vulnerabilities to supply chains and helping to mitigate threats to government and industry partners’ infrastructure. And it is why the Community will enhance transparency with federal, state, local, tribal, and territorial governments; non-state actors; and allies with a stake in the Nation’s critical infrastructure. The Community will normalize information exchanges and research and development collaboration with governmental and non-state actors responsible for safeguarding critical infrastructure and systems that are vital to the Nation’s prosperity.
レジリエンスには、国家の経済的安全と繁栄を守ることも含まれる。ICがサプライチェーンに対する脅威と脆弱性を理解し、政府と産業界のパートナーのインフラに対する脅威を緩和するのを支援する役割を拡大しているのはそのためである。また、連邦政府、州政府、地方政府、部族政府、地域政府、非国家主体、そして国家の重要インフラに利害関係のある同盟国との透明性を高めるのもそのためである。コミュニティは、国家の繁栄に不可欠な重要インフラやシステムの保護に責任を負う政府や非国家主体との情報交換や研究開発協力を正常化する。
The IC’s resilience will be supported through modernization and hardening of its own infrastructure for adaptability, durability, redundancy, and interoperability. These efforts will ensure the Community has a continued ability to accomplish its mission and sustain its focus on the most important long-term threats in the face of inevitable crises such as pandemics, cyberattacks, climate shocks, and terrorist attacks. Equally important, the IC must sustain its counterintelligence capabilities and expertise against espionage and other damaging intelligence activities conducted by our foreign adversaries. Resilience will also involve safeguarding the IC workforce and upholding our sacred obligation to protect and care for officers and their families in harm’s way.
ICのレジリエンスは、適応性、耐久性、冗長性、相互運用性を備えたインフラの近代化と強化を通じて支援される。このような取り組みにより、パンデミック、サイバー攻撃、気候変動、テロ攻撃など、不可避の危機に直面しても、情報コミュニティがその使命を達成し、最も重要な長期的脅威に焦点を当て続けることができるようになる。同様に重要なこととして、ICは、外国の敵対者が行うスパイ活動やその他の有害な情報活動に対する防諜能力と専門知識を維持しなければならない。レジリエンスには、ICの職員を守り、危険にさらされている職員とその家族を保護し、ケアする神聖な義務を守ることも含まれる。

 

 

いわゆるインテリジェンス・コミュニティ (IC) は18部署あるんですよね。。。

予算は全体で約10兆円...

The IC is Comprised of the Following 18 Elements: ICは以下の18の要素で構成される:
TWO INDEPENDENT AGENCIES 2つの独立機関
1. The Office of the Director of National Intelligence (ODNI) 1. 国家情報長官室(ODNI)
2. The Central Intelligence Agency (CIA) 2. 中央情報局(CIA)
NINE DEPARTMENT OF DEFENSE ELEMENTS 国防総省の9部門
The following elements also receive guidance and oversight from the Under Secretary of Defense for Intelligence and Security (USD I&S)— 以下の部門も、国防次官補(USD I&S)から指導と監督を受けている。
1. The Defense Intelligence Agency (DIA) 1. 防衛情報局(DIA)
2. The National Security Agency (NSA) 2. 国家安全保障局(NSA)
3. The National Geospatial-Intelligence Agency (NGA) 3. 国家地理空間情報局(NGA)
4. The National Reconnaissance Office (NRO) 4. 国家偵察局(NRO)
5. U.S. Air Force Intelligence 5. 米国空軍情報部
6. U.S. Navy Intelligence 6. 米国海軍情報部
7. U.S. Army Intelligence 7. 米国陸軍情報部
8. U.S. Marine Corps Intelligence 8. 米国海兵隊情報部
9. U.S. Space Force Intelligence 9. 米国宇宙軍情報部
SEVEN ELEMENTS OF OTHER
DEPARTMENTS AND AGENCIES
その他の7省庁
1. The Department of Energy’s Office of Intelligence and Counterintelligence 1. エネルギー省情報防諜局
2. The Department of Homeland Security’s Office of Intelligence and Analysis and 2. 国土安全保障省の諜報・分析省
3. The intelligence and counterintelligence elements of the U.S. Coast Guard 3. 米国沿岸警備隊の諜報・防諜部門
4. The Department of Justice’s Federal Bureau of Investigation and 4. 司法省連邦捜査局(FBI)
5. The Drug Enforcement Administration’s Office of National Security Intelligence 5. 麻薬取締局国家安全保障情報局
6. The Department of State’s Bureau of Intelligence and Research 6. 国務省情報調査局
7. The Department of the Treasury’s Office of Intelligence and Analysis 7. 財務省情報分析局

 

 

20231022-131947

 

 


 

2019年版

・2019.01.22 2019 National Intelligence Strategy

・[PDF] downloaded

20230811-164357

 

2014年版

・2014.09.18 DNI UNVEILS 2014 NATIONAL INTELLIGENCE STRATEGY

・[PDFdownloaded

20230811-164409

 

2005年版

・2005.10.25 National Intelligence Strategy

・[PDF] downloaded

20230811-164540

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.08.09 米国 国防総省 サイバー従事能力戦略実施計画

・2023.08.06 米国 CISA サイバーセキュリティ戦略 FY2024-2026

・2023.08.02 米国 国家サイバー人材・教育戦略

・2023.07.21 米国 国家情報長官室 情報コミュニティのデータ戦略 2023-2025

・2023.07.15 米国 ホワイトハウス サイバーセキュリティ戦略実施計画

・2023.07.09 米国 OMB 2025 年度予算における政権のサイバーセキュリティ優先事項 (2023.06.27)

・2023.07.02 米国 GAO サイバーセキュリティ:国家サイバーセキュリティ戦略の立ち上げと実施

・2023.03.04 米国 国家サイバーセキュリティ戦略を発表

・2022.10.29 米国 国家防衛戦略

・2022.10.14 米国 国家安全保障戦略

 

 


報告書一覧

2023.08.10 Director of National Intelligence Avril D. Haines Releases the 2023 National Intelligence Strategy for the Intelligence Community アヴリルD.ヘインズ国家情報長官、情報コミュニティのための2023年国家情報戦略を発表
2023.08.09 2023 National Intelligence Strategy 2023年国家情報戦略
2023.07.17 IC Data Strategy 2023–2025 2023-2025年ICデータ戦略
2023.07.10 Iran's Nuclear Weapons Capability and Terrorism Monitoring Act of 2022 2022年イランの核兵器能力とテロリズム監視法
2023.06.23 The Potential Links Between the Wuhan Institute of Virology and the Origin of the COVID-19 Pandemic 武漢ウイルス研究所とCOVID-19パンデミックの発生機構との関連性
2023.06.22 North Korea: Scenarios for Leveraging Nuclear Weapons Through 2030 北朝鮮 2030年までの核兵器活用のシナリオ
2023.06.20 Prospects for al-Qa'ida in Afghanistan and Globally Through 2024 2024年までのアフガニスタンと世界におけるアルカイダの展望
2023.06.09 ODNI Senior Advisory Group Panel Declassified Report on Commercially Available Information ODNI上級諮問グループ・パネル、商業的に入手可能な情報に関する機密解除報告書
2023.06.05 Implications of the Russia-Ukraine Conflict for the Changing Character of War ロシア・ウクライナ紛争の意味する戦争の性格の変化
2023.05.10 Digital Repression Growing Globally, Threatening Freedoms デジタル抑圧は世界的に拡大し、自由を脅かす
2023.04.27 Annual Statistical Transparency Report Regarding National Security Authorities Calendar Year 2022 2022年暦年 国家安全保障当局に関する年次統計透明性報告書
2023.03.08 2023 Annual Threat Assessment of the U.S. Intelligence Community 2023年 米国情報コミュニティの年次脅威評価
2023.03.01 Updated Assessment of Anomalous Health Incidents 健康異常インシデントの最新評価
2023.03.01 FISA Section 702 Resources FISA第702条の資料
2023.02.03 Economic and National Security Implications of the COVID-19 Pandemic Through 2026 2026年までのCOVID-19パンデミックの経済・国家安全保障への影響
2023.01.12 2022 Annual Report on Unidentified Aerial Phenomena 2022年 未確認航空現象に関する年次報告書
2022.12.16 Afghanistan: Implications of Taliban Rule アフガニスタン タリバン支配の影響
2022.10.25 Cyber Operations Enabling Expansive Digital Authoritarianism 拡大するデジタル権威主義を可能にするサイバー作戦
2022.10.04 Chinese Space Activities Will Increasingly Challenge U.S. Interests Through 2030 2030年まで、中国の宇宙活動は米国の利益にますます挑戦的になる
2022.09.08 ISIS Core Rebuilding, Poised to Grow Globally Through 2021 ISISの中核は再建され、2021年まで世界的に拡大する構え
2022.07.22 Unclassified Assessment on Russian Filtration Camps ロシアの濾過収容所に関する未公表の評価
2022.08.08 Summary of the Reengagement of Detainees Formerly Held at Guantanamo Bay, Cuba キューバ・グアンタナモ湾の元拘留者再拘束の概要
2022.08.04 Africa Economic Growth Challenged by Pandemic and Insecurity パンデミックと治安の悪化がアフリカの経済成長を阻む
2022.08.04 Africa Increasing Weight in the Global Arena 世界の舞台で重みを増すアフリカ
2022.05.31 ODNI Report on Best Practices to Protect Privacy, Civil Liberties, and Civil Rights of Americans of Chinese Descent in the Conduct of U.S. Intelligence Activities 米国の諜報活動において中国系アメリカ人のプライバシー、市民的自由、市民的権利を保護するためのベストプラクティスに関するODNI報告書
2022.04.28 Statistical Transparency Report Regarding National Security Authorities Calendar Year 2021 2021暦年 国家安全保障当局に関する統計透明性報告書
2022.03.08 2022 Annual Threat Assessment of the U.S. Intelligence Community 2022年 米国情報コミュニティの年次脅威評価
2022.02.02 Complementary Efforts on Anomalous Health Incidents 健康異常インシデントに関する補完的取り組み
2021.10.29 Declassified Assessment on COVID-19 Origins COVID-19の起源に関する機密解除評価
2021.10.21 National Intelligence Estimate on Climate Change 気候変動に関する国家情報評価
2021.08.26 Unclassified Summary of Assessment on COVID-19 Origins COVID-19の起源に関する評価の非機密扱い要約
2021.06.25 Preliminary Assessment: Unidentified Aerial Phenomena 予備評価 未確認航空現象
2021.05.10 Unclassified Assessment of Conditions of Women in Afghanistan アフガニスタンの女性の状況に関する未公表の評価
2021.04.29 Statistical Transparency Report Regarding National Security Authorities Calendar Year 2020 2020年暦年 国家安全保障当局に関する統計透明性報告書
2021.04.13 2021 Annual Threat Assessment of the U.S. Intelligence Community 2021年 米国情報コミュニティの年間脅威評価
2021.04.05 Summary of the Reengagement of Detainees Formerly Held at Guantanamo Bay, Cuba キューバのグアンタナモ湾にかつて収容されていた抑留者の再拘束の概要
2021.03.17 Unclassified Summary of Assessment on Domestic Violent Extremism 国内の暴力的過激主義に関する評価の非機密要約
2021.03.16 Intelligence Community Assessment on Foreign Threats to the 2020 U.S. Federal Elections 2020年米国連邦選挙に対する外国の脅威に関する情報コミュニティの評価
2021.02.25 Assessing the Saudi Government's Role in the Killing of Jamal Khashoggi ジャマル・カショギ氏殺害におけるサウジ政府の役割を評価する
2020.07.23 Principles of Artificial Intelligence Ethics for the Intelligence Community 情報コミュニティのための人工知能倫理原則
2020.04.29 Statistical Transparency Report Regarding National Security Authorities Calendar Year 2019 国家安全保障当局に関する統計透明性報告暦年2019
2019.11.26 Summary of the Reengagement of Detainees Formerly Held at Guantanamo Bay, Cuba キューバのグアンタナモ湾にかつて収容されていた抑留者の再拘束の概要
2019.06.05 Annual Demographic Report: Hiring and Retention of Minorities, Women, and Persons with Disabilities in the United States Intelligence Community Fiscal Year 2018 年次人口統計報告書 米国情報コミュニティにおけるマイノリティ、女性、障害者の雇用と定着 2018年度
2019.06.05 Annual Demographic Report: Hiring and Retention of Minorities, Women, and Persons with Disabilities in the United States Intelligence Community Fiscal Year 2017 年次人口統計報告書 米国情報コミュニティにおけるマイノリティ、女性、障害者の雇用と定着 2017年度
2019.06.03 Summary of the Reengagement of Detainees Formerly Held at Guantanamo Bay (GTMO), Cuba キューバのグアンタナモ湾(GTMO)にかつて収容されていた抑留者の再拘束の概要
2019.05.01 Statistical Transparency Report Regarding National Security Authorities Calendar Year 2018 国家安全保障当局に関する統計透明性報告書 2018暦年
2019.01.22 2019 National Intelligence Strategy 2019年 国家情報戦略
2018.09.13 Summary of the Reengagement of Detainees Formerly Held at Guantanamo Bay (GTMO), Cuba キューバのグアンタナモ湾(GTMO)にかつて収容されていた抑留者の再拘束の概要
2018.03.28 2016 Report on Security Clearance Determinations 2016年 セキュリティ・クリアランス決定に関する報告書
2018.03.09 Summary of the Reengagement of Detainees Formerly Held at Guantanamo Bay (GTMO), Cuba キューバのグアンタナモ湾(GTMO)にかつて収容されていた抑留者の再拘束の概要
2018.03.01 Status Report on the Implementation of Executive Order 13698 Hostage Recovery Activities 大統領令13698人質奪還活動の実施状況報告書
2017.10.13 Summary of the Reengagement of Detainees Formerly Held at Guantanamo Bay, Cuba キューバのグアンタナモ湾にかつて収容されていた被拘禁者の再拘束の概要
2017.08.08 Fundamental Classification Guidance Review (FCGR) for fiscal year (FY) 2017 2017会計年度の基本分類ガイダンス・レビュー(FCGR
2017.08.01 Annual Demographic Report: Hiring and Retention of Minorities, Women, and Persons with Disabilities in the United States Intelligence Community Fiscal Year 2016 年次人口統計報告書 米国情報コミュニティにおけるマイノリティ、女性、障害者の雇用と定着 2016年度
2017.04.04 The Principles of Classification Management for the Intelligence Community 情報コミュニティにおける分類管理の原則
2017.03.31 IC IG, DHS, and DOJ OIGs Release Joint Report on the Domestic Sharing of Counterterrorism Information IC IG、DHS、司法省のOIGがテロ対策情報の国内共有に関する共同報告書を発表
2017.03.07 Summary of the Reengagement of Detainees Formerly Held at Guantanamo Bay, Cuba キューバのグアンタナモ湾にかつて収容されていた抑留者の再拘束に関するまとめ
2017.01.19 Summary of Information Regarding U.S. Counterterrorism Strikes Outside Areas of Active Hostilities 活発な敵対行為の地域外における米国の対テロ攻撃に関する情報の概要
2017.01.19 DNI Letter to IC Leadership on Promoting Diversity and Inclusion within the U.S. Intelligence Community 米国情報コミュニティにおける多様性と包摂の促進に関するIC指導部へのDNI書簡
2017.01.19 Domestic Approach to National Intelligence 国家情報に対する国内的アプローチ
2017.01.11 IC IG Issues Reports on Review of Crimes Reporting Process of Admissions of Potential Crimes During Polygraph Exams IC IGは、ポリグラフ検査における潜在的犯罪の認否に関する犯罪報告プロセスの見直しに関する報告書を発行した。
2017.01.10 Improving the Intelligence Community’s Declassification Process and the Community’s Support to the National Declassification Center 情報コミュニティの機密解除プロセスと国家機密解除センターに対する情報コミュニティの支援の改善
2016.09.30 Status Report on the Implementation of Executive Order 13698 Hostage Recovery Activities 大統領令13698号人質奪還活動の実施状況報告書
2016.09.21 Implications for US National Security of Anticipated Climate Change 予測される気候変動が米国の国家安全保障に与える影響
2016.09.19 Global Implications of Illegal, Unreported, and Unregulated (IUU) Fishing 違法・無報告・無規制(IUU)漁業の世界的な影響
2016.09.14 Summary of the Reengagement of Detainees Formerly Held at Guantanamo Bay, Cuba キューバのグアンタナモ湾にかつて収容されていた抑留者の再拘束の概要
2016.07.01 Summary of Information Regarding U.S. Counterterrorism Strikes Outside Areas of Active Hostilities 活発な敵対行為の地域外における米国の対テロ攻撃に関する情報の概要
2016.06.28 2015 Annual Report on Security Clearance Determinations 2015年セキュリティ・クリアランス決定に関する年次報告書
2016.04.06 DNI Clapper Signs IC Transparency Council Charter クラッパー国防長官、IC透明性評議会憲章に署名する
2016.03.14 IC Members at SXSW for First Look at GT2035 and America’s LGBT Spies Panels SXSWでICメンバーがGT2035とアメリカのLGBTスパイのパネルを初公開
2016.03.14 PDDNI at SXSW IC Panels: Spying the Future & America’s LGBT Spies PDDNI at SXSW ICパネル: 未来のスパイとアメリカのLGBTスパイ
2016.03.14 PDDNI at SXSW IC Panels: Spying the Future & America’s LGBT Spies PDDNI at SXSW ICパネル: 未来のスパイとアメリカのLGBTスパイ
2016.03.14 PDDNI at SXSW IC Panels: Spying the Future & America’s LGBT Spies PDDNI at SXSW ICパネル: 未来のスパイとアメリカのLGBTスパイ
2016.03.07 Summary of the Reengagement of Detainees Formerly Held at Guantanamo Bay, Cuba キューバのグアンタナモ湾にかつて収容されていた抑留者の再拘束の概要
2016.02.25 Intelligence Community Virtual Career Fair 情報コミュニティ・バーチャルキャリアフェア
2016.02.25 Meet the Intelligence Community Online オンラインで情報コミュニティに会おう
2016.02.19 Tumblr #AnswerTime with DNI Clapper クラッパー国防長官とのTumblr #AnswerTime
2015.10.27 Principles of Intelligence Transparency Implementation Plan インテリジェンス透明性の原則実施計画
2015.10.14 Global Food Security Intelligence Community Assessment 世界食糧安全保障情報コミュニティ評価
2015.10.14 Global Food Security ICA Technologies Matrix グローバル食糧安全保障ICA技術マトリックス
2015.09.03 Summary of the Reengagement of Detainees Formerly Held at Guantanamo Bay, Cuba キューバのグアンタナモ湾にかつて収容されていた抑留者の再拘束の概要
2015.04.23 2014 Report on Security Clearance Determinations セキュリティ・クリアランス決定に関する2014年報告書
2015.03.04 Summary of the Reengagement of Detainees Formerly Held at Guantanamo Bay, Cuba キューバのグアンタナモ湾にかつて収容されていた抑留者の再拘束の概要
2014.12.30 IC IG Releases the Evaluation of ODNI Under the Reducing Over-Classification Act IC IG、過剰分類削減法に基づくODNIの評価を発表
2014.10.17 Interim Progress Report on Implementing PPD-28 PPD-28実施に関する中間進捗報告書
2014.10.01 Federal Agency Data Mining Report 2013 連邦政府機関データマイニング報告書2013
2014.09.17 DNI Unveils 2014 National Intelligence Strategy DNI 2014年国家情報戦略を発表
2014.09.05 Summary of the Reengagement of Detainees Formerly Held at Guantanamo Bay, Cuba キューバのグアンタナモ湾にかつて収容されていた抑留者の再拘束の概要
2014.07.11 Civil Liberties and Privacy Guidance for Intelligence Community Professionals 情報コミュニティ専門家のための市民的自由とプライバシーに関するガイダンス
2014.04.21 DNI presents National Intelligence Superior Service Medal (2) DNI、国家情報優秀功労章を授与する(2)
2014.04.10 Unclassified Summary of Information Handling and Sharing Prior to the April 15, 2013 Boston Marathon Bombings 2013年4月15日のボストンマラソン爆弾テロ事件以前の情報の取り扱いと共有に関する未公表の概要
2014.03.31 NIU expands graduate intelligence offerings to Quantico NIUがクアンティコに大学院情報学部の提供を拡大する
2014.03.05 Summary of the Reengagement of Detainees Formerly Held at Guantanamo Bay, Cuba キューバのグアンタナモ湾にかつて収容されていた抑留者の再拘束の概要
2013.10.04 Read DNI Clapper's Message to Furloughed IC Employees クラッパー国防長官から一時帰休中の情報局職員へのメッセージを読む
2013.10.04 A Message to Intelligence Community Employees from Director Clapper クラッパー長官から情報コミュニティ職員へのメッセージ
2013.10.01 ODNI is Operating at a Reduced Capacity ODNIは縮小された能力で運営されている
2013.09.05 Summary of the Reengagement of Detainees Formerly Held at Guantanamo Bay, Cuba キューバ・グアンタナモ湾にかつて収容されていた抑留者の再拘束の概要
2013.09.04 ISE Releases 2013 Annual Report to Congress ISE、2013年の年次報告書を議会に提出
2013.04.12 Federal Agency Data Mining Report 2012 連邦政府機関データマイニング報告書2012
2013.04.12 2012 Report on Security Clearance Determinations セキュリティ・クリアランス判定に関する2012年報告書
2013.04.09 U.S. National Intelligence - An Overview 2013 - Sponsored by the Intelligence Community Information Sharing Executive 米国国家情報 - 概要 2013 - 情報コミュニティ情報共有エグゼクティブ主催
2013.04.09 Data Mining Report データマイニング報告書
2013.03.04 Summary of the Reengagement of Detainees Formerly Held at Guantanamo Bay, Cuba キューバのグアンタナモ湾にかつて収容されていた抑留者の再拘束の概要
2013.03.04 Summary of the Reengagement of Detainees Formerly Held at Guantanamo Bay, Cuba (2) キューバ、グアンタナモ湾にかつて収容されていた抑留者の再拘束の概要(2)
2012.12.21 NORAD Santa NORADサンタ
2012.12.21 NORAD Tracks Santa for Children All Over the World NORADは世界中の子供たちのためにサンタを追跡する
2012.12.07 Public Release of “Global Trends 2030: Alternative Worlds (2) グローバル・トレンド2030:オルタナティブ・ワールド(2)」の一般公開について
2012.10.26 NRO Readies Open Source Cloud For Launch (2) NRO、オープンソース・クラウドを準備中 (2)
2012.10.16 ODNI overview brochure ODNIの概要パンフレット
2012.09.20 Happy Birthday, Air Force 空軍、誕生日おめでとう
2012.09.05 Summary of the Reengagement of Detainees Formerly Held at Guantanamo Bay, Cuba キューバ・グアンタナモ湾にかつて収容されていた抑留者の再拘束の概要
2012.08.31 U.S. Intelligence Agencies Seek A Private Cloud OS (2) 米情報機関がプライベート・クラウドOSを求める (2)
2012.08.31 NASA Radiation Probes Carry NRO Instruments into Space NASAの放射線プローブがNROの機器を宇宙へ運ぶ
2012.08.10 Data Mining Report データマイニング報告書
2012.07.24 2012 ISE Annual Report to the Congress 2012年ISE年次報告書
2012.07.19 Report on Security Clearance Determinations セキュリティ・クリアランス判定に関する報告書
2012.03.01 Summary of the Reengagement of Detainees Formerly Held at Guantanamo Bay, Cuba キューバのグアンタナモ湾にかつて収容されていた抑留者の再拘束の概要
2012.02.06 Unclassified 721 Report 機密扱いでない721報告書
2012.01.02 2012 IC Legal Reference Book 2012年IC法律参考書
2011.11.03 ONCIX: Foreign Spies Stealing US Economic Secrets in Cyberspace ONCIX サイバースペースで米国の経済機密を盗む外国のスパイ
2011.09.19 Report on Security Clearance Determinations for FY 2010 2010年度のセキュリティ・クリアランス決定に関する報告書
2011.08.01 Strategic Intent for Information Sharing 情報共有の戦略的意図
2011.05.28 National Intelligence, A Consumer's Guide 国家情報、消費者ガイド
2011.04.01 Data Mining Report データマイニング報告書
2011.02.15 IRTPA Title III Annual Report IRTPAタイトルIII年次報告書
2011.02.08 Unclassified 721 Report 非機密の721報告書
2011.01.03 National Security Space Strategy 国家安全保障宇宙戦略
2010.12.07 Summary of the Reengagement of Detainees Formerly Held at Guantanamo Bay, Cuba キューバのグアンタナモ湾にかつて収容されていた抑留者の再拘束の概要
2010.04.01 Data Mining Report データマイニング報告書
2010.02.08 Unclassified 721 Report 非機密721報告書
2009.09.24 2009 IC Legal Reference Book 2009年IC法律参考書
2009.09.24 2009 IC Legal Reference Book 2009年IC法律参考書
2009.08.10 2009 National Counterintelligence Strategy 2009年国家対情報戦略
2009.07.13 Report on the President's Surveillance Program 大統領の監視プログラムに関する報告書
2009.05.28 National Intelligence, A Consumer's Guide 国家情報、消費者ガイド
2009.03.01 Data Mining Report データマイニング報告書
2009.02.08 Unclassified 721 Report 非機密721報告書
2009.01.16 An Overview of the U.S. Intelligence Community for the 111th Congress 第111議会のための米国情報コミュニティの概要
2009.01.01 IC Survey Results IC調査結果
2008.11.20 Global Trends 2025 Report グローバル・トレンド2025報告書
2008.07.22 Vision 2015 ビジョン2015
2008.06.11 2007 IC Legal Reference Book 2007年IC法律参考書
2008.02.22 IC Information Sharing Strategy Report IC情報共有戦略報告書
2008.02.15 Data Mining Report データマイニング報告書
2008.02.08 Unclassified 721 Report 非機密721報告書
2008.01.01 IC Survey Results IC調査結果
2007.12.03 NIE: Iran: Nuclear Intentions and Capabilities NIE:イラン: 核開発意図と能力
2007.08.10 2007 National Counterintelligence Strategy 2007年国家対情報戦略
2007.07.17 NIE: Terrorist Threat to the US Homeland NIE:米国本土に対するテロリストの脅威
2007.06.19 Overhauling Intelligence インテリジェンスの総点検
2007.05.02 IC Survey Results IC調査結果
2007.04.11 100 Day Plan 100日計画
2007.02.08 Unclassified 721 Report 非機密721報告書
2007.02.05 2006 Annual Report of the US Intelligence Community 2006年米国情報コミュニティ年次報告書
2007.02.02 NIE: Prospects for Iraq's Stability NIE:イラク安定の見通し
2007.01.01 An Overview of the US Intelligence Community 米国情報コミュニティの概要
2006.12.04 Privacy Guidelines for the Information Sharing Environment 情報共有環境のためのプライバシー・ガイドライン
2006.10.18 IC Strategic Human Capital Plan IC戦略的人的資本計画
2006.07.27 ODNI Progress Report - WMD Commission Recommendations ODNI進捗報告-大量破壊兵器委員会の勧告
2006.05.17 Implementing IRTPA IRTPAの実施
2006.05.01 IC Survey Results IC調査結果
2006.02.08 Unclassified 721 Report 非機密721報告書
2005.10.25 National Intelligence Strategy 国家情報戦略
2005.02.08 Unclassified 721 Report 未機密721報告書

 

 

| | Comments (0)

米国 AIサイバーチャレンジ DEF CON32-33 (2024-2025) by DARPA (2023.08.08)

こんにちは、丸山満彦です。

DEF CONに合わせて、米国のホワイトハウスから、AIサイバーチャレンジ (AIxCC) の案内がでていますね。。。DARPAが主導するようです。。。

2024年春の選考で上位20チームが残り、の2024年のDEF CONに招待され、上位5チームが賞金を獲得し、2025年のDEF CONに進み、上位3位にはさらに賞金が渡されるようです。賞金総額は20百万ドル(約30億円)。さらに中小企業の支援に7百万ドル(約10億円)の補助がでるようですね。。。

さらに、Anthropic、Google、Microsoft、OpenAIといったAI企業が知識を提供する。。。(昨年8つの約束をしていますからね。。。)

 

U.S. The White House

・2023.08.09 Biden-Harris Administration Launches Artificial Intelligence Cyber Challenge to Protect America’s Critical Software

Biden-⁠Harris Administration Launches Artificial Intelligence Cyber Challenge to Protect America’s Critical Software バイデン-ハリス政権、米国の重要ソフトウェアを保護する人工知能サイバーチャレンジを開始
Several leading AI companies – Anthropic, Google, Microsoft, and OpenAI – to partner with DARPA in major competition to make software more secure Anthropic、Google、Microsoft、OpenAIの大手AI企業数社が、ソフトウェアの安全性を高めるための大規模なコンペティションでDARPAと提携する。
The Biden-Harris Administration today launched a major two-year competition that will use artificial intelligence (AI) to protect the United States’ most important software, such as code that helps run the internet and our critical infrastructure.  The “AI Cyber Challenge” (AIxCC) will challenge competitors across the United States, to identify and fix software vulnerabilities using AI. Led by the Defense Advanced Research Projects Agency (DARPA), this competition will include collaboration with several top AI companies – Anthropic, Google, Microsoft, and OpenAI – who are lending their expertise and making their cutting-edge technology available for this challenge. This competition, which will feature almost $20 million in prizes, will drive the creation of new technologies to rapidly improve the security of computer code, one of cybersecurity’s most pressing challenges. It marks the latest step by the Biden-Harris Administration to ensure the responsible advancement of emerging technologies and protect Americans. バイデン-ハリス政権は本日、人工知能(AI)を利用して、インターネットや重要なインフラを動かすためのコードなど、米国の最も重要なソフトウェアを保護する2年間の大規模なコンペティションを開始した。  AIサイバー・チャレンジ」(AIxCC)は、AIを使用してソフトウェアの脆弱性を特定し修正するために、米国内の競合他社に挑戦する。国防高等研究計画局(DARPA)が主導するこのコンペティションには、Anthropic、Google、Microsoft、OpenAIなど、このチャレンジのために専門知識を提供し、最先端技術を利用できるようにしている複数のトップAI企業との協力が含まれる。賞金約2000万ドルのこのコンペティションは、サイバーセキュリティの最も差し迫った課題のひとつであるコンピューターコードのセキュリティを迅速に改善する新技術の創出を促進する。これは、バイデン-ハリス政権による、新興技術の責任ある進歩とアメリカ人の保護を確実にするための最新の一歩である。
The Biden-Harris Administration announced AIxCC at the Black Hat USA Conference in Las Vegas, Nevada, the nation’s largest hacking conference, which for decades has produced many cybersecurity innovations. By finding and fixing vulnerabilities in an automated and scalable way, AIxCC fits into this tradition. It will demonstrate the potential benefits of AI to help secure software used across the internet and throughout society, from the electric grids that power America to the transportation systems that drive daily life. バイデン=ハリス政権は、ネバダ州ラスベガスで開催されたブラックハットUSAカンファレンスでAIxCCを発表した。このカンファレンスは全米最大のハッキング・カンファレンスであり、何十年もの間、多くのサイバーセキュリティの革新を生み出してきた。自動化されたスケーラブルな方法で脆弱性を発見し修正することで、AIxCCはこの伝統に適合する。AIxCCは、アメリカの電力を供給する電力網から日常生活を動かす交通システムに至るまで、インターネットや社会全体で使用されるソフトウェアの安全確保を支援するAIの潜在的な利点を実証するものである。
DARPA will host an open competition in which the competitor that best secures vital software will win millions of dollars in prizes. AI companies will make their cutting-edge technology—some of the most powerful AI systems in the world—available for competitors to use in designing new cybersecurity solutions. To ensure broad participation and a level playing field for AIxCC, DARPA will also make available $7 million to small businesses who want to compete. DARPAはオープン・コンペティションを開催し、重要なソフトウェアを最も安全に保護した企業が数百万ドルの賞金を獲得する。AI企業は、その最先端技術(世界で最も強力なAIシステムの一部)を、競合他社が新しいサイバーセキュリティ・ソリューションを設計する際に利用できるようにする。AIxCCへの幅広い参加と公平な競争の場を確保するため、DARPAは競争を希望する中小企業にも700万ドルを提供する。
Teams will participate in a qualifying event in Spring 2024, where the top scoring teams (up to 20) will be invited to participate in the semifinal competition at DEF CON 2024, one of the world’s top cybersecurity conferences. Of these, the top scoring teams (up to five) will receive monetary prizes and continue to the final phase of the competition, to be held at DEF CON 2025. The top three scoring competitors in the final competition will receive additional monetary prizes. チームは2024年春の予選イベントに参加し、得点上位チーム(最大20チーム)は、世界トップクラスのサイバーセキュリティ・カンファレンスであるDEF CON 2024の準決勝大会に招待される。このうち、得点上位チーム(最大5チーム)には賞金が授与され、DEF CON 2025で開催されるコンペティションの最終段階に進むことができる。最終コンペティションの得点上位3名には、さらに賞金が授与される。
The top competitors will make a meaningful difference in cybersecurity for America and the world. The Open Source Security Foundation (OpenSSF), a project of the Linux Foundation, will serve as a challenge advisor. It will also help ensure that the winning software code is put to use right away protecting America’s most vital software and keeping the American people safe. 上位の競技者は、アメリカと世界のサイバーセキュリティに有意義な変化をもたらすだろう。リナックス・ファウンデーションのプロジェクトであるオープンソース・セキュリティ・ファウンデーション(OpenSSF)は、チャレンジ・アドバイザーを務める。また、受賞したソフトウェア・コードが直ちに実用化され、アメリカの最も重要なソフトウェアを保護し、アメリカ国民の安全を守ることができるよう支援する。
Today’s announcement is part of a broader commitment by the Biden-Harris Administration to ensure that the power of AI is harnessed to address the nation’s great challenges, and that AI is developed safely and responsibly to protect Americans from harm and discrimination. Last month, the Biden-Harris Administration announced it had secured voluntary commitments from seven leading AI companies to manage the risks posed by the technology. Earlier this year, the Administration announced a commitment from several AI companies to participate in an independent, public evaluation of large language models (LLMs)—consistent with responsible disclosure principles—at DEF CON 2023. This exercise, which starts later this week and is the first-ever public assessment of multiple LLMs, will help advance safer, more secure and more transparent AI development. 本日の発表は、バイデン-ハリス政権による、AIの力を国家の大きな課題に取り組むために活用し、米国人を危害や差別から守るためにAIが安全かつ責任を持って開発されることを確実にするという、より広範なコミットメントの一環である。先月、バイデン=ハリス政権は、AI技術がもたらすリスクを管理するために、大手AI企業7社から自発的な約束を取り付けたと発表した。今年初め、同政権は、DEF CON 2023において、大規模言語モデル(LLM)の独立した公開評価(責任ある情報開示の原則に沿ったもの)に参加することを、AI企業数社が約束したことを発表した。今週末に開始されるこの演習は、複数のLLMの初めての公開評価であり、より安全で、よりセキュアで、より透明性の高いAI開発を促進するのに役立つだろう。
In addition, the Biden-Harris Administration is currently developing an executive order and will pursue bipartisan legislation to help America lead the way in responsible AI innovation. さらに、バイデン-ハリス政権は現在大統領令を策定中であり、米国が責任あるAIイノベーションを先導できるよう、超党派の法案を追求する予定である。

 

 

DARPA - AI Cyber Challenge; AIxCC

・2023.08.09 DARPA AI Cyber Challenge Aims to Secure Nation’s Most Critical Software

1_20230826055301

DARPA AI Cyber Challenge Aims to Secure Nation’s Most Critical Software DARPA AIサイバーチャレンジは国家の最も重要なソフトウェアの安全確保を目指す
New competition challenges the nation’s top AI and cybersecurity talent to automatically find and fix software vulnerabilities, defend critical infrastructure from cyberattacks 新しいコンペティションは、ソフトウェアの脆弱性を自動的に見つけて修正し、サイバー攻撃から重要なインフラを守るために、全米のトップAIとサイバーセキュリティの才能に挑戦する。
At Black Hat USA 2023, DARPA issued a call to top computer scientists, AI experts, software developers, and beyond to participate in the AI Cyber Challenge (AIxCC) – a two-year competition aimed at driving innovation at the nexus of AI and cybersecurity to create a new generation of cybersecurity tools. DARPAはBlack Hat USA 2023において、AIサイバー・チャレンジ(AIxCC)への参加をトップレベルのコンピューター科学者、AI専門家、ソフトウェア開発者、そしてそれ以外の人々に呼びかけた。
In an increasingly interconnected world, software undergirds everything from financial systems to public utilities. As software enables modern life and drives productivity, it also creates an expanding attack surface for malicious actors. 相互接続が進む世界では、ソフトウェアは金融システムから公共事業まであらゆるものを支えている。ソフトウェアが現代の生活を可能にし、生産性を向上させる一方で、悪意ある行為者の攻撃対象領域も拡大している。
This surface includes critical infrastructure, which DARPA experts say is especially vulnerable to cyberattacks given the lack of tools capable of securing systems at scale. Recent years have exposed the threats posed to society by malicious cyber actors exploiting this state of affairs, and have made plain the daunting attack surface cyber defenders are tasked to protect. Despite these vulnerabilities, advances in modern technology may provide a path towards solving them. この攻撃対象には重要インフラも含まれ、DARPAの専門家は、大規模なシステムを保護できるツールが不足しているため、サイバー攻撃に対して特に脆弱であると指摘している。近年、このような状況を悪用する悪意あるサイバー行為者が社会にもたらす脅威が露呈し、サイバー防衛者が守るべき攻撃対象がいかに困難なものであるかが明らかになった。このような脆弱性にもかかわらず、現代技術の進歩は、脆弱性解決への道筋を示すかもしれない。
“AIxCC represents a first-of-its-kind collaboration between top AI companies, led by DARPA, to create AI-driven systems to help address one of society’s greatest challenges – cybersecurity,” said Perri Adams, DARPA’s AIxCC program manager. “In the past decade, we've seen the development of promising new AI-enabled capabilities. When used responsibly, we see significant potential for this technology to be applied to key cybersecurity issues. By automatically defending critical software at scale, we can have the greatest impact for cybersecurity across the country, and the world.” DARPAのAIxCCプログラム・マネージャーであるペリ・アダムス氏は、「AIxCCは、DARPAが主導する一流のAI企業が、社会最大の課題のひとつであるサイバーセキュリティに対処するためのAI駆動型システムを開発する、世界初の共同研究を象徴するものです」と語る。「過去10年間、我々は有望な新しいAI対応能力の開発を見てきた。この技術が責任を持って使用されれば、サイバーセキュリティの重要な問題に応用できる大きな可能性がある。重要なソフトウェアを大規模に自動防御することで、我々は国内、そして世界のサイバーセキュリティに最大の影響を与えることができる。"
AIxCC will allow two tracks for participation: the Funded Track and the Open Track. Funded Track competitors will be selected from proposals submitted to a Small Business Innovation Research solicitation. Up to seven small businesses will receive funding to participate. Open Track competitors will register with DARPA via the competition website and will proceed without DARPA funding. AIxCCは、Funded TrackとOpen Trackの2つの参加コースを設ける。Funded Trackの競争相手は、Small Business Innovation Researchの募集に提出された提案から選ばれる。最大7社の中小企業が参加資金を得ることができる。オープン・トラックの競技者は、コンペティションのウェブサイトを通じてDARPAに登録し、DARPAの資金援助を受けずに競技を進める。
Teams on all tracks will participate in a qualifying event during the semifinal phase, where the top scoring teams (up to 20) will be invited to participate in the semifinal competition. Of these, the top scoring teams (up to five) will receive monetary prizes and continue to the final phase and competition. The top three scoring competitors in the final competition will receive additional monetary prizes. 全トラックのチームは準決勝段階で予選イベントに参加し、そこで得点上位チーム(最大20チーム)が準決勝大会に招待される。このうち、得点上位チーム(最大5チーム)には賞金が授与され、決勝段階と競技に進むことができる。決勝大会の得点上位3チームには、さらに賞金が授与される。
AIxCC brings together leading AI companies that will work with DARPA to make their cutting-edge technology and expertise available to challenge competitors. Anthropic, Google, Microsoft, and OpenAI will collaborate with DARPA to enable competitors to develop state-of-the-art cybersecurity systems. AIxCCには、DARPAと協力して最先端の技術と専門知識を競技者に提供する大手AI企業が集結する。Anthropic、Google、Microsoft、OpenAIはDARPAと協力し、競技者が最先端のサイバーセキュリティ・システムを開発できるようにする。
The Open Source Security Foundation (OpenSSF), a project of the Linux Foundation, will serve as a challenge advisor to guide teams in creating AI systems capable of addressing vital cybersecurity issues, such as the security of our critical infrastructure and software supply chains. Most software, and thus most of the code needing of protection, is open-source software, often developed by community-driven volunteers. According to the Linux Foundation, open-source software is part of roughly 80% of modern software stacks that comprise everything from phones and cars, to electrical grids, manufacturing plants, etc.1 リナックス財団のプロジェクトであるオープンソースセキュリティ財団(OpenSSF)は、重要インフラやソフトウェアサプライチェーンのセキュリティなど、サイバーセキュリティの重要な問題に対処できるAIシステムを開発するチームを指導するチャレンジアドバイザーの役割を果たす。ほとんどのソフトウェア、つまり保護が必要なコードのほとんどはオープンソースソフトウェアであり、コミュニティ主導のボランティアによって開発されていることが多い。リナックス・ファウンデーションによると、オープンソースソフトウェアは、携帯電話や自動車、電力網、製造工場など、あらゆるものを構成する現代のソフトウェアスタックの約80%に含まれている1。
Finally, AIxCC competitions will be held at DEF CON with additional events at Black Hat USA, both of which are internationally recognized cybersecurity conferences that draw tens of thousands of experts, practitioners, and spectators from around the world to Las Vegas every August. AIxCC will consist of two phases: the semifinal phase and the final phase. The semifinal competition and the final competition will be held at DEF CON in Las Vegas in 2024 and 2025. AIxCCの大会はDEF CONで開催され、Black Hat USAでも追加イベントが開催される。この2つのカンファレンスは国際的に認知されたサイバーセキュリティ・カンファレンスであり、毎年8月に世界中から何万人もの専門家、実務者、観客がラスベガスに集まる。AIxCCは、準決勝と決勝の2つのフェーズで構成される。準決勝と決勝は、2024年と2025年にラスベガスのDEF CONで開催される。
“If successful, AIxCC will not only produce the next generation of cybersecurity tools, but will show how AI can be used to better society by defending its critical underpinnings,” said Adams. 「もし成功すれば、AIxCCは次世代のサイバーセキュリティ・ツールを生み出すだけでなく、その重要な基盤を守ることで、社会をより良くするためにAIをどのように活用できるかを示すことになるだろう」とアダムスは語った。
For complete details about the competition, including the timeline to register, eligibility information, rules and more, visit [web] 登録スケジュール、参加資格、ルールなど、大会の詳細については、[web] を参照のこと。




 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.07.22 米国 ホワイトハウス 7つの米国AI企業が、バイデン政権とした3つの分野の8つの約束

 

| | Comments (0)

米国 CISA ブログ レジリエンスの力 - ウクライナのパートナーからアメリカが学べること

こんにちは、丸山満彦です。

レジリエンス (resilience) は今の時代のキーワードの一つですよね。。。欧州でもサイバーレジリエンス法が制定されたり。。。金融でもレジリエンスと言われていますよね(例えば私のブログでも、これこれこれ、とか...)。。。

(ただ、むかーし、10年以上前だと思うのですが、所属している組織の名前が、Security Privacy and Resilience, 通称SPRと言っていた時代がありましたね。。。日本のリーダーをしていました。。。)

Resilience ということばは、日本語に訳すのが難しい言葉の一つかと思います。ぴったりの用語がないというか、、、Resilienceが幅広い概念なので、文脈に合わせて日本語を変えないと通じにくいというか。。。

語源的には想像通りラテン語で、


「resiliens」「resilire(跳ね返る)」である。「re逆に)」「salire(跳ねる)」の要素から成る。「salient顕著な突出した)」や「result結果)」も同じ語源である。

出典:weblio


ということらしいです。

英語の辞書では、



1. the ability to be happy, successful, etc. again after something difficult or bad has happened:

Trauma researchers emphasize the resilience of the human psyche.
These are habits that can break down the resiliency you'll need to help you through difficult times.

2. the ability of a substance to return to its usual shape after being bent, stretched, or pressed:

Theplantfibrehasincrediblestrengthand resilience.
These newmaterialshaveadditionalresiliency andelasticityproperties, as well asgreatstrength.
出典:Cambridge

という感じで...

日本語では、


  1. 〔病気・不幸・困難・苦境などからの〕回復力、立ち直る力、復活力【同】buoyancy・Resilience is the key to success. : レジリエンスが成功への鍵です。◆困難や苦境から迅速に回復・復元・復活する力がどの程度あるかによって、成功するか否かが決まる。
  2. 〔変形された物が元の形に戻る〕復元力、弾力(性)◆【類】elasticity

出典:英辞郎


というように、

「回復力」、「復活力」、「復元力」、「弾力性」とか言われますが、軍事的な場面では「堪性」という意味となりますかね。。。ちなみに物理でよくでてきた、バネとかが戻る時は日本語では弾性といって (elastic) という用語を使いますね。。。

私は、竹が強風でしなっても、また元に戻るようなイメージを持っています。。。違うかもですが。。。

さて、そのResilienceについてのCISAのブログ...

 

CISA - news

・2023.08.09 The Power of Resilience - What America can learn from our partners in Ukraine

The Power of Resilience レジリエンスの力
What America can learn from our partners in Ukraine アメリカがウクライナのパートナーから学べること
Jen Easterly, Director Cybersecurity and Infrastructure Security Agency ジェン・イースタリー、サイバーセキュリティ・インフラセキュリティ庁長官
Victor Zhora, Deputy Chairman and Chief Digital Transformation Officer of the State Service of Special Communication and Information Protection ビクター・ゾラ、国家特別コミュニケーション・情報保護局副会長兼デジタル変革最高責任者
In the late afternoon of December 23, 2015, residents in the Ivano-Frankivsk region of Western Ukraine were wrapping up their workdays and getting ready to head out into the frigid winter streets on their way to the warmth of their homes. But on this day, as one worker at the Prykarpattyaoblenergo control center was organizing his papers, he suddenly noticed that the cursor on his computer started moving quickly across the screen, completely on its own, manipulating the circuit breakers at a power substation in the region. 2015年12月23日の午後遅く、ウクライナ西部のイヴァノ・フランキフスク地方の住民たちは、仕事を終え、暖かい家へ向かうために厳冬の街へ繰り出す準備をしていた。しかしこの日、プリカルパチャオブレーナーゴのコントロールセンターで働く一人の作業員が書類を整理していると、突然、彼のパソコンのカーソルが画面上を素早く動き出し、完全に独力でこの地域の変電所のサーキットブレーカーを操作していることに気づいた。
As he tried desperately to regain control of his computer, he was suddenly logged out. The attackers had changed his password, preventing him from logging in again. 彼は必死でコンピューターを操作し直そうとしたが、突然ログアウトされてしまった。攻撃者は彼のパスワードを変更し、再びログインできないようにしていたのだ。
The attackers didn’t stop there. At the same time, they struck two other power distribution centers, leaving more than 230,000 Ukrainians in the dark. They had not been ready for a cyberattack of this magnitude. 攻撃者はそれだけにとどまらなかった。同時に、彼らは他の2つの配電センターを攻撃し、23万人以上のウクライナ人を暗闇の中に置き去りにした。これほど大規模なサイバー攻撃への備えはできていなかった。
But in the days, months, and years that followed, Ukraine took concrete steps to build resilience into the fabric of the country. In 2016, Ukraine launched their National Cyber Strategy, and Ukrainian cybersecurity organizations continuously evolved to defend themselves from Russian campaigns. しかし、その後数日、数カ月、数年の間に、ウクライナはレジリエンスを構築するための具体的な措置を講じた。2016年、ウクライナは国家サイバーセキュリティ戦略を開始し、ウクライナのサイバーセキュリティ組織はロシアのキャンペーンから身を守るために継続的に進化していった。
Fast forward to 2022 and Ukraine would not be unprepared again. Prior to the expected Russian invasion, the private sector in Ukraine joined together with the government, as well international allies, to be ready.   2022年になれば、ウクライナは再び備えを怠ることはないだろう。予想されるロシアの侵攻に先立ち、ウクライナの民間セクターは政府だけでなく、国際的な同盟国とも協力して準備を整えた。 
Groups like the Cyber Defense Assistance Consortium brought companies together “to help Ukraine cyber defenders secure networks, hunt for and expel malicious cyber intruders, improve attack surface monitoring, and provide cyber threat intelligence to protect critical infrastructure.” サイバー防衛支援コンソーシアムのようなグループは、「ウクライナのサイバー防衛担当者がネットワークを保護し、悪意のあるサイバー侵入者を探し出して追い出し、攻撃表面の監視を改善し、重要インフラを保護するためのサイバー脅威インテリジェンスを提供するのを支援する」ために、企業を結集させた。
This is resilience: Doing the work up front to prepare for a disruption, anticipating that it will in fact happen, and exercising not just for response but with a deliberate focus on continuity and recovery, improving the ability to operate in a degraded state and significantly reducing downtime when an incident occurs. これがレジリエンスだ: 混乱に備え、実際に混乱が起こることを予測し、対応だけでなく、継続と回復に意図的に焦点を当てた訓練を前もって行い、劣化した状態での運用能力を向上させ、インシデント発生時のダウンタイムを大幅に削減することである。
The courage and tenacity of the Ukrainian people in the years since 2015 and today exemplify what resilience looks like in practice, bravely demonstrating resilience every day. 2015年から今日までのウクライナの人々の勇気と粘り強さは、レジリエンスが実際にどのようなものかを例証しており、毎日勇敢にレジリエンスを実証している。
The United States must follow suit and take a page out of Ukraine’s cyber playbook and build its resiliency now. This goes beyond cyber resilience and the capability to swiftly recover from an extensive barrage of cyber-attacks. It also involves strengthening fundamental operational resilience to withstand both cyber assaults and other forms of aggressive physical attacks. Ukraine has demonstrated an impressive ability to quickly respond to, and effectively restore its critical infrastructure, despite facing barbaric kinetic attacks. It is critical for the United States to take inspiration from Ukraine's successes and proactively fortify its defenses and improve its response and recovery mechanisms.   米国もこれに倣い、ウクライナのサイバー・プレイブックを見習って、今すぐレジリエンスを構築しなければならない。これは、サイバーレジリエンスや、広範なサイバー攻撃の嵐から迅速に回復する能力にとどまらない。また、サイバー攻撃と他の形態の攻撃的な物理的攻撃の両方に耐えられるよう、基本的な運用面でのレジリエンスを強化することも含まれる。ウクライナは、野蛮な運動的攻撃に直面しているにもかかわらず、重要インフラに迅速に対応し、効果的に復旧させる素晴らしい能力を示している。米国はウクライナの成功からヒントを得て、積極的に防御を強化し、対応と復旧のメカニズムを改善することが重要である。 
This will require a major shift in approach, with a deliberate focus on three key elements: risk assessment, resilience planning, and continuous improvement and adaption. そのためには、リスクアセスメント、レジリエンス計画、継続的改善と適応という3つの重要な要素に意図的に焦点を当て、アプローチを大きく転換する必要がある。
First, organizations must identify their most critical functions and assets, define dependencies that enable the continuity of these functions, and consider the full range of threats that could undermine functional continuity. 第一に、組織は、最も重要な機能と資産を特定し、これらの機能の継続を可能にする依存関係を 定義し、機能の継続性を損なう可能性のあるあらゆる脅威を検討しなければならない。
Second, organizations must perform dedicated resilience planning, determining the maximum downtime acceptable for customers, developing recovery plans to regain functional capabilities within the maximum downtime, and testing those plans under real-life conditions. 第二に、組織は、専用のレジリエンス計画を策定し、顧客が許容できる最大ダウンタイムを決定 し、最大ダウンタイム内に機能能力を回復するための復旧計画を策定し、それらの計画を実際の 状況下でテストしなければならない。
Finally, organizations must be prepared to regularly adapt to changing conditions and threats. This starts with fostering a culture of continuous improvement, based on lessons learned and evolving cross-sector risks. 最後に、組織は、変化する状況や脅威に定期的に適応できるように準備しなければならない。これは、学んだ教訓と進化するセクター横断的リスクに基づき、継続的に改善する文化を醸成することから始まる。
The world has watched the incredible unity of the Ukrainian people to fight on, towards victory, in the face of enormous adversity. It is our hope that in 5 years, global citizens will be able to look back and see the way our nations, our companies, and our people have worked together to learn from each other and improved our collective ability to respond to, recover, and learn from the full range of threats to our nations. We must prepare now for future attacks that we know may be coming. 世界は、ウクライナの人々が巨大な逆境に直面しながらも、勝利に向かって闘い続ける驚くべき団結力を見てきた。5年後、世界の市民が振り返り、私たちの国、私たちの企業、そして私たちの国民が、互いに学び合い、私たちの国に対するあらゆる脅威への対応、回復、そしてそこから学ぶための総合的な能力を向上させるために協力した方法を見ることができるようになることが、私たちの望みである。私たちは、今後起こるかもしれないと分かっている攻撃に対して、今すぐ備えなければならない。
The question is: Will we be ready? 問題は、我々は準備ができているかということである。

 

 

| | Comments (0)

米国 NIST サイバーセキュリティフレームワーク 2.0案

こんにちは、丸山満彦です。

NISTのサイバーセキュリティフレームワーク 2.0の公開草案が公開されています。コメントは2023.11.04までです。。。

 

構成はこんなふうに変わる感じ...

 

CSF 2.0 Function  CSF 2.0機能  CSF 2.0 Category  CSF 2.0カテゴリー  CSF 2.0 カテゴリー識別子
Govern
(GV) 
統治
 (GV)
Organizational Context 組織的な背景  GV.OC
Risk Management Strategy リスクマネジメント戦略  GV.RM
Roles and Responsibilities 役割と責任  GV.RR
Policies and Procedures 方針と手順  GV.PO
Identify
(ID) 
識別
(ID)
Asset Management アセットマネジメント  ID.AM
Risk Assessment リスクアセスメント  ID.RA
Supply Chain Risk Management サプライチェーンリスクマネジメント  ID.SC
Improvement 改善  ID.IM
Protect
(PR) 
防御
(PR)
Identity Management, Authentication, and Access Control アイデンティティ管理、認証、アクセス制御  PR.AA
Awareness and Training 意識向上とトレーニング  PR.AT
Data Security データセキュリティ  PR.DS
Platform Security プラットフォーム・セキュリティ  PR.PS
Technology Infrastructure Resilience 技術基盤の強靭化  PR.IR
Detect
(DE) 
検知
(DE) 
Adverse Event Analysis  有害事象の解析   DE.AN
Continuous Monitoring  継続的なモニタリング   DE.AM
Respond
(RS) 
対応
(RS)
Incident Management インシデントマネジメント  RS.AM
Incident Analysis インシデント分析  RS.AN
Incident Response Reporting and Communication インシデント対応の報告・連絡  RS.CO
Incident Mitigation インシデント低減  RS.MI
Recover
(RC) 
復旧
(RC) 
Incident Recovery Plan Execution インシデント復旧計画の実行  RC.RP
Incident Recovery Communication インシデント復旧コミュニケーション  RC.CO

 

 

NIST - ITL 

・2023.08.08 NIST CSWP 29 (Initial Public Draft) The NIST Cybersecurity Framework 2.0

NIST CSWP 29 (Initial Public Draft) The NIST Cybersecurity Framework 2.0 NIST CSWP 29(初期公開ドラフト) NIST サイバーセキュリティフレームワーク 2.0
Announcement 発表
This is the public draft of the NIST Cybersecurity Framework (CSF or Framework) 2.0. これは、NIST サイバーセキュリティフレームワーク(CSF またはフレームワーク)2.0 の公開草案である。
The Framework has been used widely to reduce cybersecurity risks since its initial publication in 2014. Many organizations have told NIST that CSF 1.1 remains an effective framework for addressing cybersecurity risks. There is also widespread agreement that changes are warranted to address current and future cybersecurity challenges and to make it easier for organizations to use the Framework. NIST is working with the community to ensure that CSF 2.0 is effective for the future while fulfilling the CSF’s original goals and objectives. このフレームワークは、2014年の初版発行以来、サイバーセキュリティのリスクを低減するために広く利用されてきた。多くの組織がNISTに対して、CSF 1.1はサイバーセキュリティリスクに対処するための効果的なフレームワークであり続けていると述べている。また、現在および将来のサイバーセキュリティ上の課題に対処し、組織がフレームワークをより使いやすくするために、変更が必要であるとの意見も広まっている。NIST は、CSF 2.0 が、CSF の当初の目標と目的を達成しつつ、将来にわたって有効なものとなるよう、コミュニティと協働している。
NIST seeks feedback on whether this draft revision addresses organizations’ current and anticipated future cybersecurity challenges, is aligned with leading practices and guidance resources, and reflects comments received so far. In addition, NIST requests ideas on the best way to present the modifications from CSF 1.1 to CSF 2.0 to support transition. NIST encourages concrete suggestions for improvements to the draft, including revisions to the narrative and Core. NIST は、この改訂ドラフトが組織の現在および将来予想されるサイバーセキュリティの課題に対応し、先進的なプラクティスやガイダンス・リソースと整合し、これまでに寄せられたコメントを反映しているかどうかについてのフィードバックを求めている。さらに、NIST は、CSF 1.1 から CSF 2.0 への移行を支援するために、CSF 1.1 から CSF 2.0 への修正を提示する最良の方法に関するアイデアを求めている。NIST は、説明文や Core の改訂を含め、ドラフトに対する具体的な改善提案を奨励している。
This draft includes an updated version of the CSF Core, reflecting feedback on the April discussion draft. This publication does not contain Implementation Examples or Informative References of the CSF 2.0 Core, given the need to frequently update them. Draft, initial Implementation Examples have been released under separate cover for public comment. NIST seeks feedback on what types of Examples would be most beneficial to Framework users, as well as what existing sources of implementation guidance might be readily adopted as sources of Examples (such as the NICE Framework Tasks, for example). NIST also seeks feedback on how often Implementation Examples should be updated and whether and how to accept Implementation Examples developed by the community. 本ドラフトには、4 月のディスカッション・ドラフトに対するフィードバックを反映した、更新版の CSF コアが含まれている。CSF 2.0 コアは頻繁に更新する必要があるため、本書には実装例や参考文献は含まれていない。初期の実装例のドラフトは、パブリックコメント用に別カバーで公表されている。NIST は、どのような種類の実施例がフレームワークの利用者にとって最も有益であるか、また、どのような既存の実施ガイダンスの情報源が実施例の情報源として容易に採用され得るか(例えば、NICE フレームワークのタスクなど)についてのフィードバックを求めている。NIST はまた、どの程度の頻度で実施例を更新すべきか、コミュニティが開発した実施 例を受け入れるかどうか、どのように受け入れるかについての意見も求めている。
As the CSF 2.0 is finalized, the updated Implementation Examples and Informative References will be maintained online on the NIST Cybersecurity Framework website, leveraging the NIST Cybersecurity and Privacy Reference Tool (CPRT). Resource owners and authors who are interested in mapping their resources to the final CSF 2.0 to create Informative References should reach out to NIST. CSF 2.0 が最終化されると、更新された実施例と参考文献は、NIST Cybersecurity and Privacy Reference Tool(CPRT)を活用して、NIST サイバーセキュリティフレームワークのウェブサイト上でオンライン管理される。自分たちのリソースを最終的な CSF 2.0 にマッピングして参考文献を作成することに関心のあるリソー スの所有者や作成者は、NIST に連絡すること。
..... .....
This draft will be discussed at the third CSF workshop, which will be held this fall. NIST does not plan to release another draft of CSF 2.0 for comment. Feedback on this draft will inform development of the final CSF 2.0 to be published in early 2024. このドラフトは、今秋開催される第 3 回 CSF ワークショップで議論される予定である。 NIST は、CSF 2.0 のドラフトを再度公表してコメントを求める予定はない。このドラフトに対するフィードバックは、2024 年初めに公表される最終的な CSF 2.0 の開発に反映される。
The modifications between Version 1.1 and this version are based on community input through: バージョン 1.1 と本バージョンの間の修正は、コミュニティからのインプットに基づいている:
The 57 responses to the Discussion Draft of the NIST Cybersecurity Framework 2.0 Core ・NIST サイバーセキュリティフレームワーク 2.0 コア」のディスカッション・ドラフトに対する 57 件の回答。
The 92 written responses to the January 2023 CSF 2.0 Concept Paper ・2023 年 1 月の CSF 2.0 コンセプト・ペーパーに対する 92 件の書面による回答
・The February 2023 In-Person Working Sessions (attended by approximately 250 participants) ・2023 年 2 月に開催された対面式ワーキング・セッション(約 250 名が参加)
・The “Journey to the NIST Cybersecurity Framework 2.0” February 2023 Workshop #2 (attended virtually by more than 2,000 participants from 69 countries) ・2023 年 2 月「NIST サイバーセキュリティフレームワーク 2.0 への旅」ワークショップ#2(69 カ国から 2,000 人以上の参加者がバーチャルに参加した。)
・The “Journey to the NIST Cybersecurity Framework 2.0” August 2022 Workshop #1 (attended virtually by approximately 4,000 participants from 100 countries) ・NISTサイバーセキュリティフレームワーク2.0への旅」2022年8月ワークショップ#1(100カ国から約4,000人が仮想参加した。)
The 134 written responses to the February 2022 NIST Cybersecurity RFi ・2022年2月のNISTサイバーセキュリティRFIに対する134件の書面による回答
・Feedback from organizations that have leveraged the CSF over the years ・長年にわたり CSF を活用してきた組織からのフィードバック
・NIST participation at conferences, webinars, roundtables, and meetings around the world ・世界中の会議、ウェビナー、円卓会議、会合への NIST の参加
See the full Note to Reviewers at the beginning of the draft for more details summarizing changes between CSF 1.1 and this draft. CSF 1.1 と本ドラフトとの変更点の詳細については、ドラフト冒頭の「レビュアーへの注記」を参照のこと。
Abstract 概要
The NIST Cybersecurity Framework 2.0 provides guidance to industry, government agencies, and other organizations to reduce cybersecurity risks. It offers a taxonomy of high-level cybersecurity outcomes that can be used by any organization — regardless of its size, sector, or maturity — to better understand, assess, prioritize, and communicate its cybersecurity efforts. The Framework does not prescribe how outcomes should be achieved. Rather, it maps to resources that provide additional guidance on practices and controls that could be used to achieve those outcomes. This document explains Cybersecurity Framework 2.0 and its components and describes some of the many ways that it can be used. NIST サイバーセキュリティフレームワーク 2.0 は、サイバーセキュリティのリスクを低減するためのガイダンスを、産業界、政府機関、その他の組織に提供するものである。このフレームワークは、サイバーセキュリティの取り組みをよりよく理解し、評価し、優先順位を付け、コミュニケーションするために、規模や業種、成熟度に関係なく、あらゆる組織が利用できるハイレベルなサイバーセキュリティの成果の分類法を提供するものである。フレームワークは、成果をどのように達成すべきかを規定するものではない。むしろ、そのような成果を達成するために使用できる実践や管理に関する追加ガイダンスを提供するリソースにマッピングしている。この文書では、サイバーセキュリティフレームワーク 2.0 とその構成要素について説明し、その活用方法のいくつかを説明する。

 

・[PDF]

20230810-202921

 ・[DOCX] 仮訳

 

 

1_20230811085501

 

 

目次...

1. Introduction 1. 序文
1.1. Audience 1.1. 想定読者
1.2. Document Structure 1.2. 文書の構造
2. Understanding the Framework Core 2. フレームワーク・コアを理解する
2.1. Functions, Categories, and Subcategories 2.1. 機能、カテゴリー、サブカテゴリー
2.2. Implementation Examples and Informative References 2.2. 実施例と参考文献
3. Using the Framework 3. フレームワークを使う
3.1. Creating and Using Framework Profiles to Understand, Assess, Prioritize, and Communicate 3.1. 理解、評価、優先順位付け、コミュニケーションのためのフレームワークプロファイルの作成と使用
3.2. Assessing and Prioritizing Cybersecurity Outcomes With the Framework 3.2. フレームワークによるサイバーセキュリティ成果の評価と優先順位付け
3.3. Improving Communication With Internal and External Stakeholders Using the Framework 3.3. フレームワークを活用した社内外の利害関係者とのコミュニケーション改善
3.4. Managing Cybersecurity Risk in Supply Chains With the Framework 3.4. フレームワークを活用したサプライチェーンにおけるサイバーセキュリティリスクマネジメント
4. Integrating Cybersecurity Risk Management With Other Risk Management Domains Using the Framework 4. フレームワークを活用したサイバーセキュリティリスクマネジメントと他のリスクマネジメント領域との統合
4.1. Integrating the Cybersecurity Framework With the Privacy Framework 4.1. サイバーセキュリティフレームワークとプライバシーフレームワークとの統合
4.2. Integrating the Cybersecurity Framework With Enterprise Risk Management 4.2. サイバーセキュリティフレームワークとエンタープライズリスクマネジメントとの統合
5. Next Steps 5. 次のステップ
Appendix A. Templates for Profiles and Action Plans 附属書 A. プロファイルとアクションプランのテンプレート
A.1. Notional Organizational Profile Template A.1. 組織プロファイルのテンプレート
A.2. Notional Action Plan Template A.2. 想定アクションプランのテンプレート
Appendix B. Framework Tier Descriptions 附属書 B. フレームワーク層の説明
Appendix C. Framework Core 附属書 C. フレームワーク・コア

 

 

 

 

 

プレス...

・2023.08.08 NIST Drafts Major Update to Its Widely Used Cybersecurity Framework - NIST has revised the framework to help benefit all sectors, not just critical infrastructure.



NIST Drafts Major Update to Its Widely Used Cybersecurity Framework NIST、広く利用されているサイバーセキュリティフレームワークの大幅な更新をドラフトする
NIST has revised the framework to help benefit all sectors, not just critical infrastructure. NISTは、重要インフラだけでなく、すべてのセクターに役立つようにフレームワークを改訂した。
The world’s leading cybersecurity guidance is getting its first complete makeover since its release nearly a decade ago.  世界有数のサイバーセキュリティ・ガイダンスが、10年近く前に発表されて以来初めて全面的に刷新される。 
After considering more than a year’s worth of community feedback, the National Institute of Standards and Technology (NIST) has released a draft version of the Cybersecurity Framework (CSF) 2.0, a new version of a tool it first released in 2014 to help organizations understand, reduce and communicate about cybersecurity risk. The draft update, which NIST has released for public comment, reflects changes in the cybersecurity landscape and makes it easier to put the CSF into practice — for all organizations 国立標準技術研究所(NIST)は、1年以上にわたるコミュニティからのフィードバックを検討した結果、サイバーセキュリティフレームワーク(CSF)2.0のドラフト版を発表した。このツールは、機構がサイバーセキュリティ・リスクを理解し、低減し、コミュニケーションすることを支援するために2014年に初めてリリースされたツールの新バージョンである。NISTがパブリックコメントのために公開したドラフト更新版は、サイバーセキュリティの状況の変化を反映し、すべての組織にとって、CSFの実践をより容易にするものである。 
“With this update, we are trying to reflect current usage of the Cybersecurity Framework, and to anticipate future usage as well,” said NIST’s Cherilyn Pascoe, the framework’s lead developer. “The CSF was developed for critical infrastructure like the banking and energy industries, but it has proved useful everywhere from schools and small businesses to local and foreign governments. We want to make sure that it is a tool that’s useful to all sectors, not just those designated as critical.” 「今回の更新では、サイバーセキュリティフレームワークの現在の利用状況を反映し、将来の利用状況も予測しようとしている。「CSFは銀行やエネルギー産業などの重要インフラ向けに開発されたが、学校や中小企業から地方自治体や外国政府まで、あらゆる場所で有用であることが証明されている。CSFは、銀行やエネルギー産業のような重要インフラ向けに開発されたが、学校や中小企業から地方自治体や外国政府まで、あらゆる場所で役立つことが証明されている。
NIST is accepting public comment on the draft framework until Nov. 4, 2023. NIST does not plan to release another draft. A workshop planned for the fall will be announced shortly and will serve as another opportunity for the public to provide feedback and comments on the draft. The developers plan to publish the final version of CSF 2.0 in early 2024.  NISTは2023年11月4日まで、ドラフトフレームワークに対するパブリックコメントを受け付けている。NISTは次のドラフトを発表する予定はない。秋に予定されているワークショップは間もなく発表され、一般市民がドラフトに対するフィードバックやコメントを提供するもうひとつの機会となる。開発者は、2024 年初めに CSF 2.0 の最終版を公表する予定である。 
The CSF provides high-level guidance, including a common language and a systematic methodology for managing cybersecurity risk across sectors and aiding communication between technical and nontechnical staff. It includes activities that can be incorporated into cybersecurity programs and tailored to meet an organization’s particular needs. In the decade since it was first published, the CSF has been downloaded more than two million times by users across more than 185 countries and has been translated into at least nine languages. CSF は、セクターを横断してサイバーセキュリティ・リスクをマネジメントし、技術スタッフと非技術スタッフ間のコミュニケーションを支援するための共通言語や体系的な手法など、ハイレベルなガイダンスを提供する。サイバーセキュリティ・プログラムに組み込んだり、組織の特定のニーズに合わせて調整したりできる活動も含まれている。CSF が最初に公表されて以来 10 年間で、185 カ国以上のユーザーから 200 万回以上ダウンロードされ、少なくとも 9 カ国語に翻訳されている。
While responses to NIST’s February 2022 request for information about the CSF indicated that the framework remains an effective tool for reducing cybersecurity risk, many respondents also suggested that an update could help users adjust to technological innovation as well as a rapidly evolving threat landscape NISTが2022年2月に行ったCSFに関する情報提供の要請に対する回答は、このフレームワークが依然としてサイバーセキュリティ・リスクを低減するための効果的なツールであることを示す一方で、多くの回答者は、技術革新だけでなく急速に進化する脅威の状況にもユーザが適応できるよう、アップデートを提案した。 
“Many commenters said that we should maintain and build on the key attributes of the CSF, including its flexible and voluntary nature,” Pascoe said. “At the same time, a lot of them requested more guidance on implementing the CSF and making sure it could address emerging cybersecurity issues, such as supply chain risks and the widespread threat of ransomware. Because these issues affect lots of organizations, including small businesses, we realized we had to up our game.” 「多くのコメント提供者は、柔軟性や自発的な性質など、CSFの主要な特性を維持し、その上に構築すべきだと述べた。「同時に、CSFの実施に関するガイダンスを充実させ、サプライチェーンリスクやランサムウェアの脅威など、サイバーセキュリティの新たな課題に対応できるようにすることを求める意見も多かった。このような問題は、中小企業を含む多くの組織に影響を与えるため、われわれは、さらにレベルアップする必要があると認識した」。
The CSF 2.0 draft reflects a number of major changes, including:  CSF 2.0ドラフトは、以下を含む多くの大きな変更を反映している: 
・The framework’s scope has expanded — explicitly — from protecting critical infrastructure, such as hospitals and power plants, to providing cybersecurity for all organizations regardless of type or size. This difference is reflected in the CSF’s official title, which has changed to “The Cybersecurity Framework,” its colloquial name, from the more limiting “Framework for Improving Critical Infrastructure Cybersecurity.”  ・フレームワークの適用範囲は、病院や発電所などの重要インフラの防御から、種類や規模に関係なくすべての組織にサイバーセキュリティを提供することへと、明確に拡大された。この違いはCSFの正式名称にも反映されており、より限定的な「重要インフラのサイバーセキュリティ改善のためのフレームワーク」から、口語的な名称である「サイバーセキュリティフレームワーク」に変更されている。 
Until now, the CSF has described the main pillars of a successful and holistic cybersecurity program using five main functions: identify, protect, detect, respond and recover. To these, NIST now has added a sixth, the govern function, which covers how an organization can make and execute its own internal decisions to support its cybersecurity strategy. It emphasizes that cybersecurity is a major source of enterprise risk, ranking alongside legal, financial and other risks as considerations for senior leadership ・これまでCSFは、「識別」「防御」「検知」「対応」「復旧」という5つの主要機能を用いて、成功する全体的なサイバーセキュリティ・プログラムの柱を説明してきた。NISTは今回、これらに6つ目の機能として、組織がサイバーセキュリティ戦略をサポートするために、どのように内部で意思決定を行い、実行できるかをカバーするガバナンス機能を追加した。NISTは、サイバーセキュリティがエンタープライズ・リスクの主要な要因であり、法務、財務、その他のリスクと並んで、シニア・リーダーシップにとっての懸念事項であることを強調している。 
The draft provides improved and expanded guidance on implementing the CSF, especially for creating profiles, which tailor the CSF for particular situations. The cybersecurity community has requested assistance in using it for specific economic sectors and use cases, where profiles can help. Importantly, the draft now includes implementation examples for each function’s subcategories to help organizations, especially smaller firms, to use the framework effectively. ・このドラフトでは、CSF の実施に関するガイダンスが改善・拡充されており、特に特定の状況に合わせて CSF を調整するプロファイルの作成に関するガイダンスが提供されている。サイバーセキュリティのコミュニティは、特定の経済分野やユースケースに CSF を使用する際の支援を求めており、プロファイルがその助けとなる。重要な点として、ドラフトには、各機能のサブカテゴリーについて、組織、特に中小企業がフレームワークを効果的に使用できるようにするための実施例が含まれている。
A major goal of CSF 2.0 is to explain how organizations can leverage other technology frameworks, standards and guidelines, from NIST and elsewhere, to implement the CSF. Bolstering this last effort will be the launch of a CSF 2.0 reference tool, which NIST plans to release in a few weeks. This online resource will allow users to browse, search and export the CSF Core data in human-consumable and machine-readable formats. In the future, this tool will provide “Informative References” to show the relationships between the CSF and other resources to make it easier to use the framework together with other guidance to manage cybersecurity risk. CSF2.0の主な目標は、組織がCSFを実施するために、NISTやその他の機関が提供する他の技術フレームワーク、標準、ガイドラインをどのように活用できるかを説明することである。この最後の取り組みを強化するのが、NISTが数週間以内にリリースを予定しているCSF 2.0リファレンスツールの立ち上げである。このオンライン・リソースにより、ユーザーはCSFコア・データをブラウズ、検索、エクスポートすることができる。将来的には、このツールは「参考文献」を提供し、CSF と他のリソースとの関係を示すことで、サイバーセキュリティ・リスクを管理するために他のガイダンスとフレームワークを併用することを容易にする。
Pascoe said the development team is encouraging anyone with recommendations about the updated CSF to respond with comments by the Nov. 4 deadline.  Pascoe 氏によると、開発チームは、更新された CSF に関する推奨事項があれば、11 月 4 日の期限までにコメントで対応するよう呼びかけている。 
“This is an opportunity for users to weigh in on the draft of CSF 2.0,” she said. “Now is the time to get involved if you’re not already.” 「これは、CSF 2.0のドラフトについてユーザが意見を述べる機会である。まだ参加していないのであれば、今がその時である。」

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.08.10 米国 NISTサイバーセキュリティフレームワーク2.0コアと実装例のディスカッションドラフト

・2023.04.26 米国 NIST ホワイトペーパー(案) 「NIST サイバーセキュリティフレームワーク 2.0 コア」のディスカッションドラフト

・2023.01.21 米国 NIST サイバーセキュリティフレームワークの改訂の方向性(CSF2.0に向けて...)

・2022.10.07 米国 NIST 国際的活動に関する最新情報:CSF2.0アップデートワークショップなど (2022.09.30)

 

 

| | Comments (0)

2023.08.10

米国 NISTサイバーセキュリティフレームワーク2.0コアと実装例のディスカッションドラフト

こんにちは、丸山満彦です。

NISTのサイバーセキュリティフレームワーク2.0のコアが2023.04.24にパブリックコメントが発表されたのに続き、実装例のディスカッションドラフトが公開されていますね。。。これから、意見を取り入れながら、ドラフトを重ねて最終化するという感じなんでしょうね。。。

コアについても引き続き意見募集中です...

 

NIST - ITL

・2023.08.08 Other Discussion Draft (Initial Public Draft) Discussion Draft of the NIST Cybersecurity Framework 2.0 Core with Implementation Examples

  • 事例が適切なレベルで具体的に書かれているか?
  • 多様な組織にとって有用であるか?
  • どのような事例が有益か?
  • 更新の頻度とか
  • 、、、

についてコメントを求めているような感じですね。。。

・[PDF]

20230810-101802

 

参考資料

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.04.26 米国 NIST ホワイトペーパー(案) 「NIST サイバーセキュリティフレームワーク 2.0 コア」のディスカッションドラフト

・2023.01.21 米国 NIST サイバーセキュリティフレームワークの改訂の方向性(CSF2.0に向けて...)

・2022.10.07 米国 NIST 国際的活動に関する最新情報:CSF2.0アップデートワークショップなど (2022.09.30)

 

 

| | Comments (0)

日本 インドネシア Interpol 国際的な捜査活動でフィッシング・プラットフォームを閉鎖し、容疑者を逮捕

こんにちは、丸山満彦です。

(2023.08.10 05:00現在では 警察庁、トレンドマイクロ、サイバーディフェンス研究所のウェブページには公表されていませんが、、、)

日本の警察がサイバー領域で国際協力をし、16shopというPhishing-as-a-serviceを閉鎖に追い込み、容疑者を日本で逮捕したとInterpolで公表されています。(日本での逮捕自体は昨年8月に大阪府警が行なっていて、12月に大阪地裁で有罪判決がでているようです...)

民間からは、トレンドマイクロ、サイバーディフェンス研究所が協力したと公表されています。

国際連携、官民連携...とても素晴らしいことだと思います!!!

 

Interpol

・2023.08.08  Notorious phishing platform shut down, arrests in international police operation

Notorious phishing platform shut down, arrests in international police operation 悪名高いフィッシング・プラットフォームが閉鎖され、国際的な捜査活動で犯人を逮捕した
The platform sold hacking tools to more than 70,000 users in 43 countries プラットフォームは43カ国の7万人以上のユーザーにハッキングツールを販売していた
SINGAPORE – A notorious ‘phishing-as-a-service’ (PaaS) platform known as ‘16shop' has been shut down in a global investigation coordinated by INTERPOL, with Indonesian authorities arresting its operator and one of its facilitators, with another arrested in Japan. シンガポール - 「16shop」として知られる悪名高い「フィッシング・アズ・ア・サービス(PaaS)」プラットフォームが、国際刑事警察機構(INTERPOL)の世界的な捜査により閉鎖された。
The three arrests, which concluded with actions against a suspect last month, was made possible due to the intensive intelligence-sharing between the INTERPOL General Secretariat’s cybercrime directorate, national law enforcement in Indonesia, Japan and the United States and private sector partners including Cyber Defense Institute, Group-IB, Palo Alto Networks Unit 42 and Trend Micro, with added support from Cybertoolbelt. この3件の逮捕は、INTERPOL事務局のサイバー犯罪部門、インドネシア、日本、米国の法執行機関、サイバーディフェンス研究所、Group-IB、パロアルトネットワークス42部隊、トレンドマイクロを含む民間セクターのパートナーとの間で集中的な情報共有が行われ、さらにCybertoolbeltの支援により、先月、容疑者の逮捕に至った。
The PaaS platform sold ‘phishing kits’ to hackers seeking to defraud Internet users through email scams where victims typically receive an email with a pdf file or link that redirects to a site requesting the victims’ credit card or other personally identifiable information. This information is then stolen and used to extract money from the victims. このPaaSプラットフォームは、電子メール詐欺を通じてインターネット・ユーザーを騙そうとするハッカーに「フィッシング・キット」を販売していた。フィッシング・キットでは、通常、被害者がPDFファイルや、被害者のクレジットカードやその他の個人を特定できる情報を要求するサイトにリダイレクトするリンクを含む電子メールを受け取る。この情報は盗まれ、被害者から金銭を引き出すために使われる。
Phishing is considered the most prevalent cyber threat in the world, and it is estimated that up to 90 per cent of data breaches are linked to successful phishing attacks, making it a major source of stolen credentials and information. フィッシングは世界で最も普及しているサイバー脅威と考えられており、データ漏洩の最大90%がフィッシング攻撃の成功に関連していると推定されている。
“Cyberattacks such as phishing may be borderless and virtual in nature, but their impact on victims is real and devastating.”Bernardo Pillot, INTERPOL’s Assistant Director of Cybercrime Operations 「フィッシングのようなサイバー攻撃はボーダーレスでバーチャルなものかもしれないが、被害者に与える影響は現実的で壊滅的である。
“In recent years, we have seen an unprecedented increase in both the number of cyber threats and their sophistication, with attacks becoming more tailored as criminals aim for maximum impact, and maximum profit,” added Assistant Director Pillot. 「近年、サイバー脅威の数とその巧妙さの両方がかつてないほど増加しており、犯罪者は最大の影響と最大の利益を目指しているため、攻撃はより巧妙になっている。
 Luxury vehicles  高級車
 The PaaS platform was flagged by analysts in INTERPOL’s cybercrime division during an ongoing project researching cyber threats in the ASEAN region, supported by Japan’s National Police Agency.  PaaSプラットフォームは、日本の警察庁が支援するASEAN地域のサイバー脅威を調査する進行中のプロジェクトにおいて、国際刑事警察機構のサイバー犯罪部門のアナリストによって注目された。
Assisted with information from an array of private sector partners, the INTERPOL team was soon able to determine the identity and probable location of the platform’s administrator. As the platform’s registration indicated, he was based in Indonesia. 様々な民間セクターのパートナーからの情報に助けられ、INTERPOLのチームはすぐにプラットフォームの管理者の身元と所在を突き止めることができた。プラットフォームの登録が示すように、彼はインドネシアに拠点を置いていた。
Because the platform’s servers were hosted by a company based in the United States, analysts liaised with the INTERPOL National Central Bureau in Washington and the Federal Bureau of Investigation to secure key information for Indonesian investigators. プラットフォームのサーバーは米国を拠点とする企業によってホストされていたため、アナリストはワシントンの国際刑事警察機構国家中央局および連邦捜査局と連絡を取り、インドネシアの捜査当局のために重要な情報を確保した。
The INTERPOL team compiled and dispatched a criminal intelligence report to the Indonesian National Police’s Directorate of Cyber Crimes, which allowed national law enforcement to arrest the administrator, a 21-year-old man, seizing electronic items and several luxury vehicles in the process. 国際刑事警察機構のチームは、インドネシア国家警察のサイバー犯罪局長に犯罪情報報告書を作成・送付し、これにより国家警察は管理者である21歳の男を逮捕し、その過程で電子アイテムと高級車数台を押収した。
Following the successful apprehension of the administrator, further information was shared between the National Police Agency of Japan and the Indonesian National Police resulting in the identification and arrest of two facilitators. 管理者の逮捕に成功した後、日本の警察庁とインドネシア国家警察の間でさらなる情報が共有され、その結果、2人の促進者が特定され、逮捕された。
“Phishing isn't a new phenomenon, but when the crime-ware is being offer widely on subscription and to automate phishing campaigns, it enables any person to leverage this type of service to launch a phishing attack with a few clicks,” said Brigadier General Adi Vivid Agustiadi Bachtiar, Director of the Indonesian National Police’s Cyber Crime Investigation. 「フィッシングは今に始まったことではないが、フィッシング・キャンペーンを自動化する犯罪ソフトウェアが広く提供されるようになると、誰でもこの種のサービスを活用し、数回クリックするだけでフィッシング攻撃を仕掛けることができるようになる」とインドネシア国家警察のサイバー犯罪捜査局長であるアディ・ビビッド・アグスティアディ・バクティアール准将は述べた。
“This operation is only successful as we work closely with various stakeholders from the law enforcement community as well as the private sectors, to uproot the root problem to stop the crime-ware being offered as a service and also stopping more people from falling victim to phishing attacks,” added Brigadier General Adi Vivid Agustiadi Bachtiar. 「この作戦が成功するのは、法執行機関だけでなく民間セクターのさまざまな利害関係者と緊密に協力し、サービスとして提供される犯罪ソフトウェアを阻止するために根本的な問題を根こそぎ解決し、さらに多くの人々がフィッシング攻撃の犠牲になるのを阻止するためです」とアディ・ビビッド・アグスティアディ・バクティアール准将は付け加えた。
INTERPOL’s cybercrime directorate brings together cyber experts from law enforcement and industry to gather and analyze all available information on criminal activities in cyberspace to provide countries with coherent, actionable intelligence. 国際刑事警察機構のサイバー犯罪部門は、法執行機関と産業界からサイバー専門家を集め、サイバー空間における犯罪活動に関するあらゆる入手可能な情報を収集・分析し、首尾一貫した実行可能なインテリジェンスを各国に提供している。

 

1_20230810065401

 

警察庁では、金融庁と一緒にフィッシングについての警告をしています...

発表資料のグラフをみると酷いことになっています...

 

● 警察庁

・2023.08.08 [PDF] フィッシングによるものとみられるインターネットバンキングに係る不正送金被害の急増について(注意喚起) 


20230810-65920

 

● 金融庁

・2023.08.08 フィッシングによるものとみられるインターネットバンキングによる預金の不正送金被害が急増しています。

・[PDF] フィッシングによるものとみられるインターネットバンキングに係る不正送金被害の急増について(注意喚起)

 

 

NHK等のニュースにはありますね。。。

● NHK

・2023.08.09 フィッシングで情報盗み不正購入か インドネシア人容疑者逮捕


偽サイトに誘導する「フィッシング」の手口でクレジットカード情報を盗み不正に商品を購入したとして、警察庁はインドネシア国家警察との共同捜査で、インドネシア人の40歳の容疑者を逮捕したと発表しました。

逮捕されたのは、インドネシア在住のデア・カリスナ容疑者(40)です。

警察庁によりますと、4年前の2019年、偽サイトに誘導する「フィッシング」の手口で不正に入手した日本人のクレジットカード情報を使って、通信販売サイトで電化製品を購入するなどした疑いが持たれています。

インドネシア国家警察が、国内法に違反したとして先月逮捕しました。

容疑者は「16shop」と呼ばれるソフトを使って、ショッピングサイトの偽サイトをつくり、クレジットカード番号などを不正に入手して購入した商品を、日本に住む別のインドネシア人の男がオークションサイトで売っていたということです。

インドネシア国家警察の調べでは、容疑者が関わる詐欺の被害はおよそ1500万円に上るとみられています。

日本国内では、インターネットバンキングに関するフィッシング詐欺の被害額がことし6月までの半年間で30億円と急増していて、警察庁は金融庁などとともに注意を呼びかけています。




 

● 朝日新聞

・2023.08.09 16SHOP「43カ国7万人以上に販売」 ICPOが国際捜査発表


...

「16SHOP」事件をめぐる動き

2020年1月 日本の事業者への不正アクセス大阪府警が把握、捜査開始

21年3月 ICPOから警察庁に16SHOP被害の情報提供要請

21年11月 ICPOとインドネシア国家警察が開発者のリスワンダ受刑者を逮捕

21年12月 警察庁がインドネシア警察と捜査会議を開始

22年4月 警察庁サイバー特別捜査隊が発足

22年8月 大阪府警が神奈川県在住のインドネシア人の男を逮捕

22年12月 大阪地裁が男に懲役2年執行猶予3年の有罪判決

23年4月 サイバー特捜隊と大阪府警が合同捜査本部

23年7月 インドネシア警察捜査官が来日。関係者の事情聴取など

     日本警察と国際共同捜査でインドネシア警察がデア容疑者を逮捕

8月8日 両国警察が捜査結果を発表

(警察庁や捜査関係者への取材から)


 

 

 

| | Comments (0)

2023.08.09

ロシア デジタル・ルーブルのロゴ

こんにちは、丸山満彦です。

このブログでも書きましたが、、、ロシアが進めている、デジタル・ルーブルのプラットフォーム...

ロシア中央銀行の理事会で、デジタル・ルーブルのロゴが承認されたようです。。。

 

Банка России

・2023.08.03 У цифрового рубля появился логотип

У цифрового рубля появился логотип デジタル・ルーブルのロゴが決定
Совет директоров Банка России одобрил логотип национальной цифровой валюты — цифрового рубля. Он состоит из двух связанных между собой элементов: знака рубля и обрамляющей его окружности, которая, с одной стороны, повторяет форму традиционной монеты, а с другой — перекликается с логотипом Банка России. ロシア中央銀行の取締役会は、国家デジタル通貨「デジタル・ルーブル」のロゴを承認した。このロゴは、ルーブル記号とそれを囲む円の2つの要素で構成されており、一方では伝統的な硬貨の形状を繰り返し、他方ではロシア銀行のロゴと呼応している。
Логотип будет интегрирован в банковские мобильные приложения, через которые пользователи смогут открывать цифровые кошельки и проводить операции с цифровыми рублями. このロゴは銀行のモバイル・アプリケーションに統合され、ユーザーはデジタル・ウォレットを開設し、デジタル・ルーブルで取引を行うことができるようになる。
Основные цвета логотипа — кораллово-алый (оттенок красного) и белый: белое изображение на красном фоне и наоборот. ロゴのメインカラーは、コーラルスカーレット(赤の色合い)と白である。
Цифровой рубль — это третья форма национальной валюты, которая будет выпускаться в дополнение к уже существующим наличным и безналичным средствам. Он станет еще одним средством платежей и переводов. Граждане и компании будут выбирать по своему усмотрению, какой формой рубля пользоваться в том или ином случае. デジタル・ルーブルは、既存の現金および非現金手段に加えて発行される第3の国家通貨である。これは、決済や送金のもうひとつの手段となる。市民や企業は、特定のケースでどのルーブルを使用するか、それぞれの裁量で選択することになる。
Банк России начал работу по созданию цифрового рубля в 2021 году. В августе этого года планируется старт пилотирования операций с реальными цифровыми рублями с привлечением ограниченного круга клиентов 13 банков. ロシア銀行は2021年にデジタル・ルーブルの創設に着手した。今年8月には、13の銀行の限られた顧客が参加して、本物のデジタル・ルーブルを使った取引の試験運用を開始する予定である。

 

ロゴ...

Фирменный стиль

1_20230809070801

 

デジタル・ルーブル...

Цифровой рубль

 

Цифровой рубль — это цифровая форма российской национальной валюты, которую Банк России планирует выпускать в дополнение к существующим формам денег. デジタル・ルーブルとは、ロシア中銀が既存の通貨形態に加えて発行を計画している、ロシアの国家通貨のデジタル形態である。
У рубля будет три формы: наличная, безналичная и цифровая. Они равноценны: один наличный рубль равен одному безналичному, а также одному цифровому рублю. ルーブルには、現金、非現金、デジタルの3種類がある。これらは等価であり、1現金ルーブルは1非現金ルーブルに等しく、1デジタルルーブルにも等しい。
Преимущества цифрового рубля デジタル・ルーブルの利点
Для граждан и бизнеса 市民と企業にとって
1. Доступ к кошельку через любой банк, в котором обслуживается клиент 1. どの銀行からでもウォレットにアクセスできる。
2. Операции с цифровым рублем будут проходить по единым тарифам, что позволит снизить издержки на их проведение 2. デジタル・ルーブルでの取引は統一料金で行われるため、取引コストが削減される。
3. Возможность использования без доступа к Интернету 3. インターネットアクセスがなくても利用できる
4. Высокий уровень сохранности и безопасности средств 4. 資金の高い安全性とセキュリティ
5. Расширение линейки инновационных продуктов и сервисов 5. 革新的な商品やサービスの拡充
6. Улучшение условий клиентского обслуживания 6. 顧客サービス条件の改善
Для финансового рынка 金融市場向け
1. Повышение конкуренции на финансовом рынке 1. 金融市場における競争の激化
2. Создание инновационных финансовых продуктов и сервисов (смарт-контракты) 2. 革新的な金融商品・サービスの創出(スマートコントラクト)
3. Развитие новой платежной инфраструктуры 3. 新たな決済インフラの開発
Для государства 国家向け
1. Снижение издержек на администрирование бюджетных платежей 1. 予算支払いの管理コストの削減
2. Потенциал для упрощения проведения трансграничных платежей 2. 国境を越えた決済の簡素化の可能性
В августе 2023 года Совет директоров Банка России одобрил логотип цифрового рубля. 2023年8月、ロシア銀行理事会はデジタル・ルーブルのロゴを承認した。
После широкого общественного обсуждения инициативы создания национальной цифровой валюты Банк России подготовил концепцию, которая предусматривает использование двухуровневой розничной модели. 国家デジタル通貨を創設する構想について広く国民が議論した結果、ロシア銀行は2層の小売モデルを想定したコンセプトを作成した。
Ключевые аспекты модели モデルの主な側面
・Эмитентом цифрового рубля является Банк России ・デジタル・ルーブルの発行者はロシア銀行である。
・Цифровой рубль — обязательство Банка России ・デジタル・ルーブルはロシア銀行の義務である。
・Банк России открывает кошельки банкам и Федеральному казначейству, а также кошельки физическим и юридическим лицам по их поручению через банки ・ロシア銀行は銀行と連邦財務省にウォレットを開設し、銀行を通じて個人や法人にもウォレットを開設する。
・Клиентам, банкам и Федеральному казначейству открывается только один кошелек в цифровых рублях ・顧客、銀行、連邦財務省のために開設されるデジタル・ルーブルのウォレットは1つだけである。
・На размещенные в кошельках цифровые рубли не начисляется процентный доход на остаток ・ウォレットに置かれたデジタル・ルーブルは、残高に金利収入を生じない。
・Средства на кошельке доступны клиенту через любой банк, где он обслуживается ・ウォレット上の資金は、顧客がサービスを受けるどの銀行を通じても利用できる。
Схема двухуровневой розничной модели цифрового рубля デジタル・ルーブルの2層リテール・モデルのスキーム
   
Этапы реализации проекта プロジェクトの実現段階
・Декабрь 2021 года — создание прототипа платформы цифрового рубля. 2・021年12月 - デジタル・ルーブル・プラットフォームのプロトタイプを作成する。
・2022 год — тестирование прототипа платформы цифрового рубля и разработка дорожной карты по внедрению с учетом результатов тестирования. 2・022年 - デジタル・ルーブル・プラットフォームのプロトタイプのテストと、テスト結果を考慮した実装のためのロードマップの作成。
・2022 год — разработка законодательства для внедрения цифрового рубля. ・2022年 - デジタル・ルーブルを導入するための法律が制定される。
・2023 год — пилотирование операций с реальными цифровыми рублями с привлечением узкого круга клиентов некоторых банков из пилотной группы. ・2023年 - パイロット・グループの一部銀行の狭い範囲の顧客を対象とした、実際のデジタル・ルーブルによる取引の試験的実施。

 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.07.13 ロシア デジタル・ルーブル

・2023.07.04 世界経済フォーラム (WEF) 中央銀行デジタル通貨 (CBDC) グローバル相互運用性原則

・2023.07.01 欧州委員会 デジタルユーロの立法案

・2022.04.04 米国 デジタル・ドルができる? H.R. 7231 電子通貨および安全なハードウェア(ECASH)法案

・2021.12.13 中国 第14次5カ年計画 デジタル経済開発計画

・2021.07.15 国際決済銀行 (BIS) ・国際通貨基金 (IMF) ・世界銀行 国際決済のための中央銀行デジタル通貨 (CBDC) に関するG20への報告書

| | Comments (0)

米国 国防総省 サイバー従事能力戦略実施計画

こんにちは、丸山満彦です。

国防総省は、2023.03.01 にDoD サイバー従事能力戦略 2023-2027 ([PDF] DOD CYBER WORKFORCE STRATEGY 2023-2027
)  を公表しましたが、その実施計画、DoD サイバー従事能力戦略実施計画 2023-2027 が公表されています。。。

人材育成はどの分野でも課題ですよね。。。特に、需要が急激に増加している分野では。。。

日本でもサイバー人材の不足は以前から言われています(確か、2005年頃くらいから言われているような気がしますが...)が、どうなっているのでしょうかね。。。KPIとかの設定とかしてたのかしら...

 

ところで、Cyber Workforce (ここでは、サイバー従事能力と変換しています)の範囲は...

20230525-60435

 

 

 

U.S. Departmento of Defense

・2023.08.03 DOD Releases Plan for Implementing Cyber Workforce Strategy

 

DOD Releases Plan for Implementing Cyber Workforce Strategy 国防総省はサイバー実施能力戦略の実施計画を発表した。
In February, Deputy Defense Secretary Kathleen H. Hicks signed the DOD Cyber Workforce Strategy, which sets the foundation for how DOD will foster a cyber workforce capable of executing the department's complex and varied cyber missions. キャスリーン・H・ヒックス国防副長官は2月、国防総省のサイバー人材戦略に署名した。この戦略は、国防総省が複雑で多様なサイバー任務を遂行できるサイバー人材をどのように育成していくかの基礎を定めるものである。
"The strategy provides a roadmap for the advancement and unified management of the cyber workforce, comprised of about 225,000 highly trained civilians, military and contractor personnel," said Mark Gorak, the principal director for resources and analysis for DOD's chief information officer.  国防総省の最高情報責任者(CIO)のリソース・分析担当主席ディレクターであるマーク・ゴラク氏は次のように述べた。「この戦略は、高度な訓練を受けた民間人、軍人、請負業者からなる約22万5000人のサイバー労働力を高度化し、統一的に管理するためのロードマップを提供するものだ」
Today, the department released a plan for how it will go about implementing that strategy — the "DOD Cyber Workforce Strategy Implementation Plan." 本日、国防総省はこの戦略をどのように実施するかについての計画、すなわち「DODサイバー実施能力戦略実施計画」を発表した。 
"[This] is a comprehensive and proactive approach that will further assist the department in advancing talent management initiatives aimed at cultivating an agile, flexible and responsive cyber workforce," Gorak said. "The implementation plan sets the foundation for how the department will successively execute the 22 objectives and 38 initiatives tied to the four goals in the Cyber Workforce Strategy."  「これは包括的かつ積極的なアプローチであり、俊敏で柔軟、かつ即応性のあるサイバー人材を育成することを目的とした人材管理イニシアチブを進める上で、国防総省をさらに支援するものである。「この実施計画は、サイバー実施能力戦略の4つの目標に関連する22の目標と38のイニシアチブを、同省がどのように順次実行していくかの土台となる。 
Four Goals in the Cyber Workforce Strategy サイバー実施能力戦略の4つの目標
・Executing consistent capability assessment and analysis processes to stay ahead of force needs ・一貫した能力評価と分析プロセスを実行し、兵力のニーズを先取りする。
・Establishing an enterprise-wide talent management program to better align force capabilities with current and future requirements ・全省的な人材管理プログラムを確立し、部隊の能力を現在および将来の要件とより適切に調整する。
・Facilitating a cultural shift to optimize department-wide personnel management activities ・省全体の人事管理活動を最適化するための文化的転換を促進する。
・Fostering collaboration and partnerships to enhance capability development, operational effectiveness and career broadening experiences ・能力開発、作戦の有効性、キャリアの幅を広げる経験を強化するために、協力とパートナーシップを促進する。
"To realize the success of these goals and objectives, we will measure and monitor progress on a set battle rhythm, holding ourselves and our executing organizations accountable," Gorak said of the implementation plan. "To recruit and retain the most talented workforce we must advance our institutional culture and reform the way we do business. We are breaking the mold of the past and changing the way we identify, recruit, develop and retain our cyber talent." 「これらの目標と目的を達成するために、私たちは決められた戦闘リズムで進捗状況を測定・監視し、私たち自身と実行組織に責任を負わせる」と、ゴラクは実施計画について述べた。「最も優秀な人材を採用し、維持するためには、機構文化を前進させ、ビジネスのやり方を改革しなければならない。我々は過去の型を破り、サイバー人材を識別し、採用し、育成し、維持する方法を変えようとしている。
Spotlight: Engineering in the DOD スポットライト:DODにおけるエンジニアリング
The DOD's cyber workforce plays a prominent role in safeguarding the nation against current and future cyber threats. The DOD Cyber Workforce Strategy will ensure the continued strength of that agile, capable and ready cyber workforce, while the DOD Cyber Workforce Strategy Implementation Plan that was released today will ensure that strategy is successfully implemented.  国防総省のサイバー人材は、現在および将来のサイバー脅威から国家を守る上で重要な役割を果たしている。国防総省のサイバー実施能力戦略は、機敏で有能かつ即応態勢の整ったサイバー人材の継続的な強化を保証するものであり、本日発表された国防総省のサイバー実施能力戦略実施計画は、その戦略が成功裏に実施されることを保証するものである。 
"The threats to our nation don't sleep," Gorak said. "They are watching our every move. Imminent cyberattacks are just around the corner. And the calling to defend and protect our nation, today's digital battlefield, is more important now than ever before." ゴークは次のように述べている。「我が国に対する脅威は眠らない。彼らは我々の一挙手一投足を見張っている。差し迫ったサイバー攻撃はすぐそこまで来ている。そして、今日のデジタルの戦場である我が国を防衛し、保護するという呼びかけは、かつてないほど重要になっている」。
Spotlight: Science & Tech  スポットライト:科学技術 

 

国防総省 サイバー従事能力戦略実施計画

・[PDF]

20230809-61919

 

目次...

Introduction 序文
Summary – CWF Strategy Focus 要約 - CWF戦略の焦点
Implementation Plan Purpose 実施計画の目的
Future Action Planning 今後の行動計画
Implementation Plan Elements 実施計画の要素
Human Capital Pillar Alignment 人的資本の柱との整合性
Implementation Plan Initiatives, Roles and Responsibilities, and Measurement 実施計画 取り組み、役割と対応計画、および測定
 Goal 1 Initiatives  目標1の取り組み
 Goal 2 Initiatives  目標2の取り組み
 Goal 3 Initiatives  目標3の取り組み
 Goal 4 Initiatives  目標4の取り組み
Way-ahead: Action Planning その先:行動計画
Closing Summary クロージング・サマリー
Appendices 附属書
 Appendix A: Initiative and Pillar Crosswalk  附属書A:イニシアティブと柱のクロスウォーク
 Appendix B: Action Planning Template  附属書B:行動計画のテンプレート
 Appendix C: Acronyms  附属書C:略語

 

図1:CWF戦略実施計画の焦点

1_20230809063601

 

目標と目的

GOAL #1  目標 #1 
・Executing consistent capability assessment and analysis processes to stay ahead of force needs ・一貫した能力評価と分析プロセスを実行し、兵力のニーズを先取りする。
OBJECTIVES  目的
1.1 Implement a repeatable capability and workforce requirement review process to ensure identified needs reflect environmental demands.  1.1 特定されたニーズが環境上の要求を反映していることを確実にするために、反復可能な能力および労働力の要件レビュープロセスを導入する。
1.2 Expand and refine frameworks to better support requirements identification.  1.2 要件特定をよりよく支援するために、フレームワークを拡張し、改良する。
1.3 Utilize advanced analytic capabilities to increase the speed, accuracy and efficiency of capability and requirement reviews.  1.3 高度な分析能力を活用し、能力および要件のレビューのスピード、精度、および効率を向上させる。
1.4 Establish a repository of organizations with known capabilities to better identify partnership.  1.4 パートナーシップをよりよく識別するために、既知の能力を有する組織のリポジトリを確立する。
GOAL #2  目標2 
・Establishing an enterprise-wide talent management program to better align force capabilities with current and future requirements ・全省的な人材管理プログラムを確立し、部隊の能力を現在および将来の要件とより適切に調整する。
OBJECTIVES  目的
2.1 Develop and implement assessments to align talent with development programs and training pipelines for the roles best suited.  2.1 人材を、最適な役割のための開発プログラムおよびトレーニングパイプラインと整合させるための評価を開発し、実施する。
2.2 Develop enhanced guidance for talent acquisition to include previously untapped or under-represented sources of talent.  2.2 人材獲得のためのガイダンスを強化し、これまで未開拓であった、または代表者の少ない人材源を含める。
2.3 Manage as a unified functional community. Compel development, employment and resourcing decisions with a whole of community perspective.  2.3 統一された機能コミュニティとして管理する。コミュニティ全体を視野に入れた開発、雇用、人材確保の意思決定を行う。
2.4 Drive continuous development to foster capability advancement across all proficiency and experience levels.  2.4 あらゆる習熟度と経験レベルにわたって能力向上を促進するために、継続的な能力開発を推進する。
2.5 Improve and expand new employee development programs as a part of talent management.  2.5 タレントマネジメントの一環として、新たな従業員開発プログラムを改善・拡大する。
2.6 Include changing mission requirements in development pipelines to match talent management to mission.  2.6 タレントマネジメントをミッションに合致させるため、開発パイプラインにミッション要件の変化を含める。
2.7 Evaluate capability demonstration programs, including performance- based assessments to maximize reach and effectiveness.  2.7 成果に基づく評価を含む能力実証プログラムを評価し、その範囲と効果を最大化する。
GOAL #3  目標3 
・Facilitating a cultural shift to optimize department-wide personnel management activities ・省全体の人事管理活動を最適化するための文化的転換を促進する。
OBJECTIVES  目的
3.1 Establish a Cyber Workforce Development Fund to accelerate implementation activities and enable training throughout to match demand.  3.1 サイバー作戦能力開発基金を設立し、実施活動を加速させ、需要に見合った訓練全体を可能にする。
3.2 Champion remote work flexibilities and policies to expand opportunities across the cyber workforce.  3.2 サイバー作戦能力全体に機会を拡大するために、リモートワークの柔軟性と政策を支持する。
3.3 Review the application of existing authorities to include and attract a broader pool of talent.  3.3 より幅広い人材を取り込み、惹きつけるために、既存の権限の適用を見直す。
3.4 Apply security clearance requirements appropriately for cyber positions, billets and personnel to increase positional flexibility.  3.4 職務の柔軟性を高めるため、サイバー職、配属、人員に対して、セキュリティクリアランス要件を適切に適用する。
3.5 Establish a mechanism for part-time surge support based on emergent mission need.  3.5 緊急ミッションの必要性に基づき、パートタイムのピーク支援を行うメカニズムを確立する。
3.6 Expand Cyber Excepted Service (CES) authorities to optimize program capabilities and increase attractiveness for talent.  3.6 プログラム能力を最適化し、人材の魅力を高めるため、サイバー例外サービス (CES)権限を拡大する。
GOAL #4  目標4 
・Fostering collaboration and partnerships to enhance capability development, operational effectiveness and career broadening experiences ・能力開発、作戦の有効性、キャリアの幅を広げる経験を強化するために、協力とパートナーシップを促進する。
OBJECTIVES  目的
4.1 Pilot an apprenticeship program to develop dedicated employment exchanges with the private sector.  4.1 見習いプログラムを試験的に導入し、民間部門との専用雇用交流を発展させる。
4.2 Leverage talent exchanges to attract experienced talent and provide career broadening opportunities for existing cyber workforce members.  4.2 人材交流を活用し、経験豊富な人材を惹きつけ、既存のサイバー人材にキャリアの幅を広げる機会を提供する。
4.3 Enhance collaboration with academia to cultivate a talent pipeline and support important areas of research.  4.3 人材パイプラインを育成し、重要な研究分野を支援するために、学界との連携を強化する。
4.4 Strengthen partnerships with federal agencies, specifically partnerships focused on career broadening opportunities, cross- training and information sharing.  4.4 連邦政府機関とのパートナーシップ、特にキャリア拡大の機会、相互訓練、情報共有に重点を置いたパート ナーシップを強化する。
4.5 Leverage partnerships with allies and partner nations to strengthen force development capabilities and interoperability.  4.5 戦力開発能力と相互運用性を強化するため、同盟国やパートナー国とのパートナーシップを活用する。

 

 

ちなみに、サイバー従事能力戦略 2023-2027 

⚫︎Cyber Exchange Public

・2023.03.01 [PDF] DOD CYBER WORKFORCE STRATEGY 2023-2027 

20230525-52424

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.05.25 紹介 米国 国防総省 Cyber Exchange Public (サイバー従事能力戦略 2023-2027、マニュアル 8140.03 サイバースペース従事能力資格および管理プログラム)

 

関連...

・2023.08.06 米国 CISA サイバーセキュリティ戦略 FY2024-2026

・2023.08.02 米国 国家サイバー人材・教育戦略

・2023.07.15 米国 ホワイトハウス サイバーセキュリティ戦略実施計画

・2023.07.09 米国 OMB 2025 年度予算における政権のサイバーセキュリティ優先事項 (2023.06.27)

・2023.07.02 米国 GAO サイバーセキュリティ:国家サイバーセキュリティ戦略の立ち上げと実施

・2023.03.04 米国 国家サイバーセキュリティ戦略を発表

・2022.10.29 米国 国家防衛戦略

・2022.10.14 米国 国家安全保障戦略

 

 

| | Comments (0)

IPA 米CISA発行 Cross-Sector Cybersecurity Performance Goals Ver.1.0.1(2023-03)の翻訳 (分野横断的なサイバーセキュリティパフォーマンス目標)

こんにちは、丸山満彦です。

IPAが、米国のCISA発行が2023.03.21に発行した、Cross-Sector Cybersecurity Performance Goals Ver.1.0.1(2023-03)の翻訳版を分野横断的なサイバーセキュリティパフォーマンス目標として公表していますね。。。

数あるCISAの文書の中からこれを選んだのは興味深いですね。。。米国の重要インフラ16分野のための文書だからですかね。。。日本の基幹インフラ向けに。。。という意味も込めて???

 

IPA

・2023.08.07 米CISA発行 Cross-Sector Cybersecurity Performance Goals Ver.1.0.1(2023-03)の翻訳

 


Cross-Sector Cybersecurity Performance Goals Ver.1.0.1(2023-03)とは

「Cross-Sector Cybersecurity Performance Goals Ver.1.0.1(2023-03)」は、特に、中小規模の重要インフラ事業者がサイバーセキュリティの確保の取り組みを始める際の助けとなることを目指した基本的なサイバーセキュリティ対策の共通項を目標として提供するものです。

「Cross-Sector Cybersecurity Performance Goals Ver.1.0.1(2023-03)」は、重要インフラの所有者および運用者が、既知のリスクや敵の手法の可能性と影響を低減するために実施可能な、情報技術(IT)と制御・運用技術(OT)のサイバーセキュリティ対策として優先的に実施すべき事項を示しています。

Cross-Sector Cybersecurity Performance Goalsの初版は2022年10月に公開され、今回公開した翻訳は、その更新版です。本更新版では、米NISTのサイバーセキュリティフレームワーク(CSF)の機能である識別、防御、検知、対応、復旧に従って編成されています。又、本目標は米国が定義する重要インフラの16分野に渡る横断的な共通項目としています。


 

| | Comments (0)

2023.08.08

公認会計士協会 「財務報告内部統制監査基準報告書第1号「財務報告に係る内部統制の監査」の改正」及び「公開草案に対するコメントの概要及び対応」の公表について

こんにちは、丸山満彦です。

2023.04.07に企業会計審議会から公表された「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)」(以下「意見書」という。)を受けて、公認会計士協会が、財務報告内部統制監査基準報告書第1号「財務報告に係る内部統制の監査」の改正」及び「公開草案に対するコメントの概要及び対応」を公表しましたね。。。

日本公認会計士協会

・2023.08.04 財務報告内部統制監査基準報告書第1号「財務報告に係る内部統制の監査」の改正」及び「公開草案に対するコメントの概要及び対応」の公表について

 

・[PDF] 本文

20230808-105714

 

・[PDF] 本文(修正履歴付き)

・[PDF] コメント対応表

・[PDF] 参考資料(改正の概要)

20230808-105847

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.04.08 金融庁 「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について(意見書)」の公表について

・2022.12.09 金融庁 財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について...



 

| | Comments (0)

経済産業省 「経済安全保障」を切り口とした産業政策の検討体制を強化します

丸山満彦です。

経済産業省が、「「経済安全保障」を切り口とした産業政策の検討体制を強化します」をいっていますね。。。2023.08.04に開催された第32回 産業構造審議会総会を踏まえて、、、ということなのでしょうね。。。

 

経済産業省

・2023.08.07 「経済安全保障」を切り口とした産業政策の検討体制を強化します


不安定化する世界情勢の中で、各国において「経済安全保障」という概念が注目され、各種施策に活用しようとする動きが広がっています。経済産業省としても、有志国・地域との連携や産業界との対話を重視しながら、「経済安全保障」を切り口とした全省的な取組を強化してまいります。
  • 昨年5月、我が国は世界に先駆け、平和と安全、経済的な繁栄等の国益を経済上の措置を通じて確保することを目的とした経済安全保障法を成立させ、自律性の向上、技術等に関する優位性・不可欠性の確保等に向けた諸施策を講じています。

  • 昨今、諸外国においても、「経済安全保障」の名の下で、現下の地政学的な変化、破壊的な技術革新に対応する各種施策を展開しています(たとえば、本年6月には、EUが「経済安全保障戦略」を打ち出しました)。

  • 経済産業省としては、大臣官房経済安全保障室を中心とした省内体制を構築し、世界的な動きを踏まえつつ、有志国・地域との連携や産業界との対話を重視しながら、「経済安全保障」を切り口とした取組を強化してまいります。

  • 具体的な取組の内容については、今後、随時発信してまいります。


 

国家戦略を考える上でよく言われるのが、DIME(外交、情報収集分析、軍事、経済)ですが、「経済的な繁栄等の国益を経済上の措置を通じて確保」ということですね。。。

半導体推しとかですね。。。

1_20230808063201

 


 

● 内閣府

経済施策を一体的に講ずることによる安全保障の確保の推進に関する法律(経済安全保障推進法)(令和4年法律第43号)

 

主要な施策


(1) 重要物資の安定的な供給の確保、

(2) 基幹インフラ役務の安定的な提供の確保、

(3) 先端的な重要技術の開発支援、

(4) 特許出願の非公開

 

経済安全保障推進法の概要・条文・施行令

 

 

 

 


 

内閣官房

経済安全保障推進会議

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.08.07 経済産業省 第32回 産業構造審議会総会

・2023.07.01 米国 ホワイトハウス バイデノミクスは機能している: 大統領の計画はトップダウンではなくミドルアウトとボトムアップから経済を成長させる

・2023.06.26 EU 欧州経済安全保障戦略

 

| | Comments (0)

2023.08.07

Five Eyes 2022年 日常的に悪用される脆弱性トップ12

こんにちは、丸山満彦です。

Fice Eyesのサイバーセキュリティ関連機関が

• United States: The Cybersecurity and Infrastructure Security Agency (CISA), National Security Agency (NSA), and Federal Bureau of Investigation (FBI) 米国: サイバーセキュリティ・インフラセキュリティ庁(CISA),国家安全保障局(NSA),連邦捜査局(FBI)
• Australia: Australian Signals Directorate’s Australian Cyber Security Centre (ACSC) オーストラリア:オーストラリア信号総局のオーストラリア・サイバーセキュリティ・センター(ACSC)
• Canada: Canadian Centre for Cyber Security (CCCS) カナダ:カナダ・サイバーセキュリティ・センター(CCCS)
• New Zealand: New Zealand National Cyber Security Centre (NCSC-NZ) and Computer Emergency Response Team New Zealand (CERT NZ) ニュージーランド:ニュージーランド国家サイバーセキュリティセンター(NCSC-NZ)、コンピュータ緊急対応チームニュージーランド(CERT NZ)
• United Kingdom: National Cyber Security Centre (NCSC-UK) 英国:国家サイバーセキュリティセンター(NCSC-UK)

共同で、2022年に日常的に悪用された脆弱性トップ12を公表していますね。。。脆弱性対応の優先度を考える上でも参考になりますね。。。

今となっては少し古い情報となるのですが、対応されていない脆弱性があれば、要注意ですね。。。

 

 

IC3

・2023.08.03 [PDF] 2022 Top Routinely Exploited Vulnerabilities 

20230807-52712

 

 

CVE-2018-13379. This vulnerability, affecting Fortinet SSL VPNs, was also routinely exploited in 2020 and 2021. The continued exploitation indicates that many organizations failed to patch software in a timely manner and remain vulnerable to malicious cyber actors. - CVE-2018-13379. フォーティネットのSSL VPNに影響を及ぼすこの脆弱性は、2020年と2021年にも日常的に悪用されていた。悪用が続いていることは、多くの組織がタイムリーにソフトウェアにパッチを適用できず、悪意のあるサイバー行為者に対して脆弱性が残っていることを示している。
CVE-2021-34473, CVE-2021-31207, CVE-2021-34523. These vulnerabilities, known as ProxyShell, affect Microsoft Exchange email servers. In combination, successful exploitation enables a remote actor to execute arbitrary code. These vulnerabilities reside within the Microsoft Client Access Service (CAS), which typically runs on port 443 in Microsoft Internet Information Services (IIS) (e.g., Microsoft’s web server). CAS is commonly exposed to the internet to enable users to access their email via mobile devices and web browsers. - CVE-2021-34473、CVE-2021-31207、CVE-2021-34523。ProxyShellとして知られるこれらの脆弱性は、Microsoft Exchangeメールサーバーに影響する。これらの脆弱性は、Microsoft Exchangeメールサーバーに存在し、ProxyShellとして知られている。これらの脆弱性は、Microsoft Client Access Service (CAS)内に存在する。CASは通常、Microsoft Internet Information Services (IIS)(MicrosoftのWebサーバーなど)の443番ポートで実行される。CASは、ユーザーがモバイル機器やウェブ・ブラウザから電子メールにアクセスするために、一般的にインターネットに公開されている。
CVE-2021-40539. This vulnerability enables unauthenticated remote code execution (RCE) in Zoho ManageEngine ADSelfService Plus and was linked to the usage of an outdated third-party dependency. Initial exploitation of this vulnerability began in late 2021 and continued throughout 2022. - CVE-2021-40539 この脆弱性は、Zoho ManageEngine ADSelfService Plus において、認証されていないリモート・コード実行(RCE)を可能にするものであり、古いサードパーティ依存関係の使用に関連している。この脆弱性の最初の悪用は 2021 年後半に始まり、2022 年を通して継続した。
CVE-2021-26084. This vulnerability, affecting Atlassian Confluence Server and Data Center (a web-based collaboration tool used by governments and private companies) could enable an unauthenticated cyber actor to execute arbitrary code on vulnerable systems. This vulnerability quickly became one of the most routinely exploited vulnerabilities after a PoC was released within a week of its disclosure. Attempted mass exploitation of this vulnerability was observed in September 2021. - CVE-2021-26084. この脆弱性は、Atlassian Confluence Server and Data Center(政府や民間企業で使用されているウェブベースのコラボレーション・ツール)に影響し、認証されていないサイバー行為者が脆弱なシステム上で任意のコードを実行できる可能性がある。この脆弱性は、公開から1週間以内にPoCが公開された後、最も日常的に悪用される脆弱性の1つとなった。この脆弱性の大量悪用の試みは、2021年9月に観測されている。
CVE-2021- 44228. This vulnerability, known as Log4Shell, affects Apache’s Log4j library, an open-source logging framework incorporated into thousands of products worldwide. An actor can exploit this vulnerability by submitting a specially crafted request to a vulnerable system, causing the execution of arbitrary code. The request allows a cyber actor to take full control of a system. The actor can then steal information, launch ransomware, or conduct other malicious activity.[1] Malicious cyber actors began exploiting the vulnerability after it was publicly disclosed in December 2021, and continued to show high interest in CVE-2021- 44228 through the first half of 2022. - CVE-2021- 44228. Log4Shell として知られるこの脆弱性は、Apache の Log4j ライブラリに影響するもので、オープンソースのロギング・フレームワークであり、世界中の何千もの製品に組み込まれている。行為者は、特別に細工されたリクエストを脆弱なシステムに送信することで、この脆弱性を悪用し、任意のコードを実行させることができる。このリクエストにより、サイバー攻撃者はシステムを完全に制御できるようになる。悪意のあるサイバー・アクターは、2021年12月にこの脆弱性が公表された後に悪用を開始し、2022年前半までCVE-2021- 44228に高い関心を示し続けた。
CVE-2022-22954, CVE-2022-22960. These vulnerabilities allow RCE, privilege escalation, and authentication bypass in VMware Workspace ONE Access, Identity Manager, and other VMware products. A malicious cyber actor with network access could trigger a server-side template injection that may result in remote code execution. Exploitation of CVE-2022-22954 and CVE-2022-22960 began in early 2022 and attempts continued throughout the remainder of the year. - CVE-2022-22954、CVE-2022-22960。これらの脆弱性は、VMware Workspace ONE Access、Identity Manager、およびその他のVMware製品において、RCE、特権の昇格、本人認証のバイパスを可能にする。ネットワークにアクセスできる悪意のあるサイバーアクターは、リモートでコードが実行される可能性のあるサーバー側のテンプレートインジェクションを引き起こす可能性がある。CVE-2022-22954およびCVE-2022-22960の悪用は、2022年初頭に開始され、今年いっぱい試行が続いた。
CVE-2022-1388. This vulnerability allows unauthenticated malicious cyber actors to bypass iControl REST authentication on F5 BIG-IP application delivery and security software. - CVE-2022-1388. この脆弱性は、認証されていない悪意のあるサイバー行為者が、F5 BIG-IP アプリケーションデリバリおよびセキュリティソフトウェアの iControl REST 認証をバイパスすることを可能にする。
CVE-2022-30190. This vulnerability impacts the Microsoft Support Diagnostic Tool (MSDT) in Windows. A remote, unauthenticated cyber actor could exploit this vulnerability to take control of an affected system. - CVE-2022-30190. この脆弱性は、Windows の Microsoft Support Diagnostic Tool (MSDT) に影響します。リモートの認証されていないサイバー行為者が、この脆弱性を悪用することで、影響を受けるシステムを制御できる可能性があります。
CVE-2022-26134. This critical RCE vulnerability affects Atlassian Confluence and Data Center. The vulnerability, which was likely initially exploited as a zero-day before public disclosure in June 2022, is related to an older Confluence vulnerability (CVE-2021-26084), which cyber actors also exploited in 2022. - CVE-2022-26134. このクリティカルな RCE 脆弱性は、Atlassian Confluence と Data Center に影響します。この脆弱性は、2022年6月に公開される前にゼロデイとして悪用された可能性が高く、サイバー行為者が2022年にも悪用した古いConfluenceの脆弱性(CVE-2021-26084)に関連している。

 

CVE Vendor Product Type CWE
CVE-201813379 Fortinet FortiOS and FortiProxy SSL VPN credential exposure CWE-22 Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal')
CVE-2021-34473 (Proxy Shell) Microsoft Exchange Server RCE CWE-918 Server-Side Request Forgery (SSRF)
CVE-2021-31207
(Proxy Shell)
Microsoft Exchange Server Security Feature Bypass CWE-22 Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal')
CVE-2021-34523
(Proxy Shell)
Microsoft Exchange Server Elevation of Privilege CWE-287 Improper Authentication
CVE-202140539 Zoho ManageEngine ADSelfService Plus RCE/ Authentication Bypass CWE-287 Improper Authentication
CVE-202126084 Atlassian Confluence Server and Data Center Arbitrary code execution CWE-74 Improper Neutralization of Special Elements in Output Used by a Downstream Component ('Injection')
CVE-2021-44228
(Log4Shell)
Apache Log4j2 RCE CWE-917 Improper Neutralization of Special Elements used in an Expression Language Statement ('Expression Language Injection')

CWE-20 Improper Input Validation

CWE-400 Uncontrolled Resource Consumption

CWE-502 Deserialization of Untrusted Data

CVE-202222954 VMware Workspace ONE Access and Identity Manager RCE CWE-94 Improper Control of Generation of Code ('Code Injection')
CVE-202222960 VMware Workspace ONE Access, Identity Manager, and vRealize Automation Improper Privilege Management CWE-269 Improper Privilege Management
CVE-20221388 F5 Networks BIG-IP Missing Authentication Vulnerability CWE-306 Missing Authentication for Critical Function
CVE-202230190 Microsoft Multiple Products RCE None Listed
CVE-202226134 Atlassian Confluence Server and Data Center RCE CWE-74 Improper Neutralization of Special Elements in Output Used by a Downstream Component ('Injection')

 

 

| | Comments (0)

米国 MITRE グローバル民主主義への脅威

こんにちは、丸山満彦です。

米国のMITREが、米国のグローバル民主主義への脅威にそなえるために、情報コミュニティーの強化が必要という意見を公表していますね。。。選挙への介入等、いろいろと状況がありますからね。。。

日本で民主主義に対して、ここまで強い意志をもって対応をすることを考えるか???といわれるとどうなんでしょうかね。。。

 

MITRE

・2023.07.31 Intelligence After Next: The IC's Opportunity to Bolster Democracy—Strengthening Integration and Supporting Whole-of-Government Strategy

Intelligence After Next: The IC's Opportunity to Bolster Democracy—Strengthening Integration and Supporting Whole-of-Government Strategy インテリジェンス・アフター・ネクスト 民主主義を強化するICの機会-統合を強化し、政府全体の戦略を支援する
The Intelligence Community (IC) has opportunity to strengthen its support of U.S. government strategy to confront transnational threats against democracy. A range of options exist, including replicating existing models for interagency integration within ODNI and individual IC components. 情報コミュニティ(IC)には、民主主義に対する国境を越えた脅威に立ち向かう米国政府の戦略に対する支援を強化する機会がある。ODNIやICの各部門における既存の省庁間統合モデルの再現など、さまざまな選択肢が存在する。
The Intelligence Community (IC), in tandem with other U.S. Government partners, has a key role to play in supporting democracy and confronting global authoritarianism. Policymakers will look to the IC to bolster its collection, analysis, and information sharing as it relates to transnational actors who threaten democracy. Because this issue transcends clear regional and functional boundaries, such a task cannot be the sole responsibility of just one IC component. Instead, the IC should strive to enhance its integration posture as it relates to this topic. IC leadership should consider: 情報コミュニティ(IC)は、他の米国政府のパートナーとともに、民主主義を支援し、グローバルな権威主義に立ち向かう上で重要な役割を担っている。政策立案者は、民主主義を脅かす国境を越えた行為者に関連する情報収集、分析、情報共有を強化するために、ICに期待するだろう。この問題は明確な地域や機能の境界を越えているため、このような任務はICの一部門だけの責任ではありえない。むしろ、ICはこのテーマに関する統合態勢の強化に努めるべきである。ICの指導部は、次のことを検討すべきである:
Elevating global democracy issues to the National Intelligence Management Council and National Intelligence Council by creating both a NIM and NIO for Global Democracy グローバル民主主義担当の国家情報管理評議会 (NIM) と国家情報会議 (NIO) の両方を創設することで、グローバル民主主義の問題を国家情報管理評議会と国家情報会議に昇格させる。
・Creating an IC Executive Coordinator for Global Democracy ・グローバル民主主義担当のICエグゼクティブ・コーディネーターを設置する。
・Establishing a Global Democracy Intelligence Committee within the NIC ・NICにグローバル民主主義情報委員会を設置する。
・Standing up a Democracy Information Unit within State Department’s Bureau of Intelligence and Research  ・米国国務省情報調査局に民主主義情報ユニットを設置する。 

 

・[PDF]

20230807-43123

 

INTELLIGENCE AFTER NEXT インテリジェンス・アフター・ネクスト
THE IC’S OPPORTUNITY TO BOLSTER GLOBAL DEMOCRACY: 世界の民主主義を強化するICの機会:
STRENGTHENING INTEGRATION AND SUPPORTING WHOLE-OF-GOVERNMENT   統合の強化と政府全体の支援  
Threats to Global Democracy グローバル民主主義への脅威
Speaking at the March 2023 Summit for Democracy, Director of National Intelligence (DNI) Avril Haines called attention to the Intelligence Community’s increasing focus on the challenge of global 国家情報長官(DNI)のアヴリル・ヘインズは、3月の2023年民主主義サミットで、情報コミュニティが世界的な権威主義という課題にますます焦点を当てていることに注意を喚起した。
authoritarianism. In her annual threat assessment, she noted that the IC for the first time included a section analyzing “trends in digital authoritarianism and malign influence” across the globe.1 Importantly, DNI Haines also underscored the transnational nature of this threat, discussing the dozens of regimes that have reached across borders to suppress democratic rights.2  ヘインズ長官は、情報コミュニティが世界的な権威主義という課題に焦点を当てつつあることに注意を喚起した。ヘインズ国家情報長官はまた、この脅威の国境を越えた性質を強調し、民主的権利を抑圧するために国境を越えて進出している数十の政権について論じた2。
In the face of these challenges, the DNI’s speech highlights a significant opportunity for the IC to strengthen its posture as it relates to confronting transnational threats to democracy. To improve its capacity to support whole-of-government strategy implementation on this topic, the IC should consider establishing integrative mechanisms dedicated to countering authoritarianism. To do so, the IC possesses a range of options, including the opportunity to replicate existing models for interagency integration within both ODNI and individual IC components. このような課題に直面し、ヘインズ国防長官のスピーチは、民主主義に対する国境を越えた脅威に立ち向かうため、国際司法裁判所(IC)がその態勢を強化する重要な機会を浮き彫りにした。このテーマに関する政府全体の戦略実行を支援する能力を改善するために、ICは権威主義への対抗に特化した統合的メカニズムの設立を検討すべきである。そのために、国際司法裁判所(IC)には、ODNIや個々のICの構成機関内で、既存の省庁間統合モデルを複製する機会など、さまざまな選択肢がある。
While these courses of action do not provide a comprehensive path forward for U.S. government action on democracy—domestic challenges fall outside the scope of this paper3—they nonetheless offer concrete options to help the IC integrate its efforts, realign its priorities, and advance strategic-level national security interests. これらの行動指針は、民主主義に関する米政府の行動を包括的に前進させる道筋を示すものではないが、国内の課題は本稿の範囲外である3 。とはいえ、ICがその努力を統合し、優先順位を再調整し、戦略レベルの国家安全保障上の利益を促進するのに役立つ具体的な選択肢を提示している。
The Current Challenge 現在の課題
The global growth of anti-democratic movements presents an urgent challenge to U.S. security and national interests.4 For two decades, notes Freedom House, “democracy’s opponents have labored persistently to dismantle this international order and the restraints it imposed on their [authoritarian] ambitions.”5 And while authoritarian movements are often primarily driven by internal factors,6 transnational actors have no doubt exacerbated democratic backsliding. Indeed, antidemocratic actors are increasingly coordinating across borders to express solidarity, share best practices, and enhance their effectiveness.7 European actors, for example, have forged ties with India’s Hindu nationalist movement, particularly surrounding the anti-democratic crackdowns in the Kashmir region that have severely curtailed Muslim citizens’ rights.8 This type of collaboration can facilitate the adoption of increasingly extreme positions and help “build a repertoire of practices [for international allies] to draw from,” increasing their likelihood of success.9 Researchers have likewise observed an uptick in transnational repression, occurring most often via the “co-optation of or cooperation with authorities in the host country.”10 All the while, transnational financial flows help to bolster antidemocratic movements, shielding authoritarian actors from criticism and legal accountability for corrupt practices.11 反民主主義運動の世界的な高まりは、米国の安全保障と国益に対する喫緊の課題となっている4。フリーダムハウスは、20年間にわたり、「民主主義の反対勢力は、この国際秩序と、彼らの(権威主義的な)野心に課された抑制を解体するために、執拗な努力を続けてきた」と指摘している5。そして、権威主義運動は主に内的要因によって引き起こされることが多いが6、国境を越えたアクターが民主主義の後退を悪化させていることは間違いない。実際、反民主主義的なアクターは、連帯を表明し、ベストプラクティスを共有し、その有効性を高めるために、国境を越えた連携を強めている7。例えば、ヨーロッパのアクターは、特にカシミール地方における反民主主義的な弾圧をめぐって、インドのヒンドゥー民族主義運動と結びつきを強め、ムスリム市民の権利を著しく制限している8。このような協力関係は、ますます極端な立場の採用を促進し、「(国際的な盟友が)引き出せる実践のレパートリーを構築」するのに役立ち、彼らの成功の可能性を高めることになる9。研究者たちも同様に、国境を越えた弾圧の増加を観察しており、その多くは「ホスト国の当局との共闘や協力」を通じて生じている10。その一方で、国境を越えた資金の流れは反民主主義運動を強化するのに役立ち、権威主義的行為者を批判や腐敗行為に対する法的説明責任から守っている11。
Compounding these challenges, this resurgence of authoritarian political activity coincides—and in some cases overlaps—with a rising threat of violence perpetrated by anti-democratic actors and movements.12 こうした課題をさらに深刻にしているのが、権威主義的な政治活動の復活と、反民主主義的な活動家や運動によって引き起こされる暴力の脅威の高まりが重なることだ12。
• In Germany, a recently disrupted plot to overthrow the government implicated a former parliamentarian and two other members of the Alternative für Deutschland party.13 These arrests followed an attempted storming of the German parliament building just two years earlier.14 ・ドイツでは最近、政府転覆を企てた元国会議員と「ドイツのための選択肢」党員2名が逮捕された13。これらの逮捕は、ちょうど2年前に起きたドイツ国会議事堂襲撃未遂事件に続くものだった14。
• More recently, Brazil also faced the threat of a violent, anti-democratic mob seeking to challenge the results of an election that unseated former President Jair Bolsonaro. In the wake of this incident, experts have questioned the willingness of security services to address these threats.15 ・より最近では,ブラジルでもジャイル・ボルソナロ前大統領を失脚させた選挙結果に異議を唱えようとする暴力的で反民主主義的な暴徒の脅威に直面した。このインシデントを受け,専門家たちは,こうした脅威に対処する治安サービスの意欲を疑問視している15。
• In India, vigilante violence against Muslims and other minority communities often occurs in the context of tacit acceptance—and even the active instigation— from state officials and others associated with the ruling Bharatiya Janata Party.16 ・インドでは,イスラム教徒やその他のマイノリティ・コミュニティに対する自警団の暴力が,国家公務員や与党バラティヤ・ヤナタ党の関係者らによる黙認,さらには積極的な扇動という状況の中でしばしば発生している16。
To confront this transnational challenge, the U.S. government has highlighted the protection of global democracy as a priority objective in recent strategy documents. Further action from the IC can help implement these plans. この国境を越えた挑戦に立ち向かうため、米国政府は最近の戦略文書で、グローバルな民主主義の保護を優先目標として強調している。ICのさらなる行動は、これらの計画の実行を助けることができる。
U.S. Government Strategy on Global Democracy グローバル民主主義に関する米国政府の戦略
The current National Security Strategy (NSS), released in October 2022, situates “a resurgence of authoritarianism” as a key threat to livelihoods and stability across the globe.17 The NSS makes clear that the threat emerges both “from powers that layer authoritarian governance with a revisionist foreign policy,”18 as well as smaller states that nonetheless play a crucial role in the geopolitical order.19 To address this challenge, the NSS suggests that the U.S. government “will continually update [its] range of tools to advance democracy and counter authoritarianism.”20 2022年10月に発表された現行の国家安全保障戦略(NSS)は、「権威主義の復活」を世界中の生活と安定に対する重要な脅威として位置づけている17。NSSは、この脅威が「権威主義的ガバナンスと修正主義的外交政策を重ねる大国」18と、それにもかかわらず地政学的秩序で重要な役割を果たしている小国の両方から生じていることを明らかにしている19。この課題に対処するため、NSSは米国政府が「民主主義を前進させ、権威主義に対抗するための(その)手段の幅を継続的に更新していく」ことを示唆している20。
As policy documents increasingly emphasize democracy issues as central to U.S. national security, the demand for IC support to this strategic interest has likewise increased. Complementing the NSS, the White House also released a Strategy on Countering Corruption, which again focuses squarely on threats to global democracy. Kleptocrats and corrupt actors, it notes, “harness the international financial system to stash illicit wealth abroad and abuse democratic institutions to advance anti-democratic aims.”21 To mitigate these trends, the document explicitly highlights the role of the IC through a call to increase “intelligence prioritization, collection and analysis on corruption, corrupt actors, and their networks,” and bolster “information sharing between the Intelligence Community and law enforcement.”22 Strategies at the department level have also emerged, including the U.S. Agency for International Development’s publicly outlined plan to address autocracy.23  政策文書が民主主義問題を米国の国家安全保障の中心としてますます強調するようになるにつれ、この戦略的関心に対するICの支援に対する要求も同様に高まっている。NSSを補完する形で、ホワイトハウスは「腐敗に対抗する戦略」も発表した。この戦略でもまた、世界の民主主義に対する脅威に焦点が当てられている。汚職集団や汚職行為者は、「国際金融システムを利用して海外に不正蓄財し、民主主義機構を悪用して反民主主義的な目的を推進している」と、同戦略は指摘している。21 「このような傾向を緩和するために、同文書は、「汚職、腐敗行為者、およびそのネットワークに関する情報の優先順位付け、収集、分析」を強化し、「情報コミュニティと法執行機関との情報共有」を強化するよう呼びかけ、情報センターの役割を明確に強調している」22。独裁政治に対処するための米国際開発庁の公開された計画など、省庁レベルでの戦略も浮上している23 。
Collectively, these efforts help advance the broader Presidential Initiative for Democratic Renewal, first announced in December 2021.24 Outside of government, a 2021 bipartisan task force on supporting democracy and countering authoritarianism emphasized the role of the IC in providing baseline analysis, sharing financial intelligence, and developing impact assessments for relevant programs.25 これらの取り組みは、2021年12月に初めて発表された「民主主義再生のための大統領イニシアティブ」の推進に役立つものである24 、 政府外では、2021年の民主主義支援と権威主義への対抗に関する超党派のタスクフォースが、ベースライン分析のプロバイダ、財務情報の共有、関連プログラムの影響評価の開発におけるICの役割を強調している25。
Although the most recent National Intelligence Strategy (NIS) does not focus on issues of global democracy and authoritarianism, the IC has taken notable steps in recent years to adapt in response to emerging threats. Perhaps most consequentially, ODNI has moved to confront “hostile foreign actors seeking to influence the U.S. Government, state and local governments, or public opinion and behaviors through overt or covert means” via the recent creation of the Foreign Malign Influence Center.26 最新の国家情報戦略(NIS)は、グローバルな民主主義と権威主義の問題に焦点を当てていないが、ICは近年、新たな脅威に対応するために注目すべき措置を講じている。おそらく最も重要なのは、ODNIが「外国の悪意ある影響センター(Foreign Malign Influence Center)」を設立し、「米国政府、州政府、地方政府、あるいは世論や行動に、公然または秘密裏の手段で影響を与えようとする敵対的な外国の行為者」に立ち向かおうとしていることである26。
IN THE WAKE OF DEMOCRATIC DECLINE ACROSS THE GLOBE, THE IC SHOULD DEFINE THE SCOPE OF THE PROBLEM, ESTABLISH A SET OF PRIORITIES, AND INSTITUTIONALIZE ITS SUPPORT TO WHOLE-OF-GOVERNMENT INITIATIVES 世界的な民主主義の衰退を受け、ICは問題の範囲を明確にし、優先順位を定め、政府全体のイニシアティブに対する支援を制度化すべきである。
These recent developments offer a strong foundation for more a comprehensive intelligence approach to the threat of authoritarianism—an approach that will require attention to a broader range of anti-democratic trends perpetrated by both state and non-state actors. In short, the IC should look beyond just influence campaigns and toward other topics such as autocrats’ administrative maneuvers to consolidate power, the social cleavages that breed instability, and the threat of violence by anti-democratic actors.27 How might the IC pursue this objective? こうした最近の動きは、権威主義の脅威に対するより包括的なインテリジェンス・アプローチ、つまり国家と非国家主体双方によって引き起こされる、より広範な反民主主義的傾向への注意を必要とするアプローチへの強力な基盤を提供している。つまり、ICは単なる影響力キャンペーンにとどまらず、権力を強化するための独裁者の行政工作、不安定を生む社会的亀裂、反民主主義的行為者による暴力の脅威など、他のテーマにも目を向けるべきなのである27。ICはどのようにこの目的を追求するのだろうか。
Available Policy Options to Improve Intelligence Integration 情報統合を改善するために利用可能な政策オプション
The IC, in tandem with other U.S. government partners, has a key role to play in supporting democracy and confronting global authoritarianism.28 As highlighted above, policymakers will look to the IC to bolster its collection, analysis, and information sharing elate to transnational actors who threaten democracy. Because this issue transcends clear regional and functional boundaries,29 such a task cannot be the sole responsibility of just one IC component. Instead, the IC should strive to enhance its integration posture on this topic. Such an approach would enable the IC to engage its “diverse set of tools” and to harness “specialized knowledge and skillsets from each [IC] component.”30 Moreover, the focus on collaborating across components could help the IC address “nonobvious issues that implicate multiple department and agency equities.”31 In a time of shifting budgets and priorities, strengthening integrative mechanisms would also “embed [current national-level priorities] in decision-making structures” in a way that supports the implementation of long-term goals.32 ICは、他の米国政府パートナーと連携して、民主主義を支援し、グローバルな権威主義に立ち向かう上で重要な役割を担っている28。上述したように、政策立案者は、民主主義を脅かす国際的なアクターに関する情報収集、分析、情報共有を強化するために、ICに期待するだろう。この問題は明確な地域や機能の境界を越えているため29 、このような任務はICの一部門だけの責任ではありえない。むしろ、ICはこのテーマに関する統合態勢の強化に努めるべきである。そのようなアプローチによって、ICは「多様なツール」を活用し、「(ICの)各部門の専門的な知識とスキルセット」30 を活用することができる。さらに、部門を超えた協力に焦点を当てることで、ICは「複数の省庁の公平性に関わる、明白ではない問題」に取り組むことができる31 。予算や優先順位が変化する中で、統合的なメカニズムを強化することは、長期的な目標の実施を支援する形で、「(現在の国家レベルの優先事項を)意思決定構造に組み込む」ことにもなる32。
ODNI possesses a wide range of options to pursue this objective, particularly given the role of the Mission Integration directorate (ODNI/MI), which “integrates mission capabilities, informs enterprise resource and policy decisions and ensures the timely delivery of intelligence.”33 That said, the onus lies not just on ODNI, but the interagency more broadly. Regardless of the route chosen, the IC should ensure that policymakers and other customers have a clear channel to engage the Community on this topic and leverage its expertise as appropriate. ODNIはこの目的を追求するための幅広い選択肢を有しており、特に「ミッション能力を統合し、エンタープライズ・リソースと政策決定に情報を提供し、インテリジェンスのタイムリーな提供を確保する」ミッション統合局(ODNI/MI)の役割は大きい33 。どのような経路を選択するにせよ、情報通信研究機構(IC)は、政策立案者やその他の顧客が、このトピックに関して情報通信研究機構に関与するための明確な経路を確保し、必要に応じてその専門知識を活用できるようにすべきである。
Accordingly, IC leadership should consider: 従って、ICの指導部は以下を検討すべきである:
Elevating Global Democracy issues to the NIMC and National Intelligence Council by creating both a National Intelligence Manager (NIM) and a National Intelligence Officer (NIO) for Global Democracy.  グローバル民主主義担当の国家情報管理者(NIM)と国家情報担当官(NIO)の両方を設置することで、グローバル民主主義の問題をNIMCと国家情報会議に昇格させる。
• Housed within ODNI/MI, the National Intelligence Management Council (NIMC) comprises “the DNI’s principal substantive advisors within and across specific regions and functional issues.”34,35 By driving resource discussions and guiding intelligence collection across the IC, a NIM for Global Democracy could help shape a posture that strengthens the IC’s understanding of the transnational nature of this issue.36 ・ODNI/MI内に設置された国家情報管理会議(NIMC)は、「特定の地域および機能的問題 の内と外におけるDNIの主要な実質的アドバイザー」34,35 から構成される。グローバル民主主義担当NIM は、資源に関する議論を推進し、情報収集をIC 全体に指導することで、この問題の国境を越えた性質に対するIC の理解を強化する態勢を形成するのに役立つであろう36 。
• The National Intelligence Council (NIC), meanwhile, “consists of the most senior and expert intelligence analysts supporting the Director of National Intelligence.”37 Within this construct, NIOs help draft National Intelligence Estimates, IC coordinated assessments, and Sense of the Community Memoranda.38 The creation of a NIO for Global Democracy would therefore improve the IC’s capacity to produce strategic-level analysis that informs the work of senior policymakers.39 ・一方、国家情報会議(NIC)は、「国家情報長官を支援する最も上級で専門的な情報アナリストで構成される」37 。この構成の中で、NIO は国家情報評価、IC 協調評価、および情報コミュニティ覚書の起草を支援している38 。したがって、グローバル民主主義担当NIO を設置すれば、上級政策立案者の作業に情報を提供する戦略レベルの分析を行うIC の能力を向上させることができる39 。
Creating an IC Executive Coordinator for Global Democracy グローバル民主主義担当IC執行コーディネーターの創設
• Short of elevation to the NIMC, ODNI might consider borrowing the model of the Election Threats Executive (ETE) to create an IC Executive Coordinator for Global Democracy. This coordinator could help synchronize efforts across IC components and serve as an “entry point to the IC” for its customers.40 ・NIMC への昇格を回避するために、ODNI は選挙脅威エグゼクティブ (ETE)のモデルを借用して、グローバル・デモクラシーのための IC エグゼクティブ・コーディネーターを創設することを検討するかもしれない。このコーディネーターは、IC の各部門にまたがる取り組みの同期化を支援し、IC の顧客にとっての「IC への入口」としての役割を果たすことができるだろう40。
• Though this Executive may not match a NIM’s seniority, the creation of the role could nonetheless serve as a pilot for IC integration on this topic and set the stage for further growth in the future. Indeed, the Foreign Malign Influence Center has grown out of the ETE, demonstrating the potential for expansion.41 ・このエグゼクティブはNIMの上級職には及ばないかもしれないが、それでもこの役割の創設は、このテーマに関するIC統合の試験的な役割を果たし、将来のさらなる成長のための舞台を整えることができる。実際、外国の悪意ある影響センターは ETE から発展し、拡大の可能性を示している41 。
Establishing a Global Democracy Intelligence Committee within the NIC NICにグローバル民主主義・インテリジェンス委員会を設置する。
• Rather than designating a single official to serve as the principal advisor for lobal democracy, ODNI might instead create a Technical Production Committee within the NIC, building on the longstanding model of committees for Joint Atomic Energy Weapon and Space Systems, and Scientific and Technical Intelligence.42 Under the guidance of the NIC Chair, these Intelligence Committees help coordinate IC assessments, facilitate information sharing, and promote the efficient use of IC resources.43  ・ODNI は、グローバル民主主義の主要アドバイザーを一人の官僚に指定するのではなく、原子力兵器・宇宙システム合同委員会や科学技術情報委員会の長年のモデルを基に、NIC 内に技術生産委員会を設置することも考えられる。42NIC委員長の指導の下、これらの情報委員会は、ICの評価を調整し、情報共有を促進し、IC資源の効率的利用を促進する。43
Standing Up a Democracy Information Unit with the State Department’s Bureau of Intelligence and Research (INR) 米国国務省情報調査局(INR)に民主主義情報ユニットを設置する。
• Given the key role of the State Department in bolstering democratic institutions across the globe, INR may be a particularly appropriate IC component to lead such an effort. Such an institution could directly support State’s Coordinator for Global Democratic Renewal, and co-location within the Department could facilitate collaboration between the IC and policy community.44 ・国務省情報調査局(INR)が民主化情報ユニットを立ち上げる。国務省が世界各地の民主的機構を強化する上で重要な役割を担っていることを考えれば、INRはこのような取り組みを主導するIC部門として特に適切であろう。このような機関は、国務省の世界民主化再生調整官を直接支援することができ、また国務省内に設置されることで、情報機関と政策コミュニティとの協力関係を促進することができる44 。
• The INR-based Humanitarian Information Unit (HIU) could offer a useful model for an agency driven integration mechanism for intelligence related to democracy and authoritarianism. ・INRを拠点とする人道情報ユニット(HIU)は、民主主義と権威主義に関 連する情報を機関主導で統合するメカニズムとして、有用なモデルを提供 できるだろう。
○ HIU, which consists of both IC and non-IC personnel, serves as an “interagency center to identify, collect, analyze, and disseminate all source information critical to U.S. government decision-makers and partners in preparation for and response to humanitarian emergencies worldwide.”45 HIUは、識別情報局(IC)と非識別情報局(IC)の職員で構成され、「世界各地の人道的緊急事態に備え、またそれに対応するため、米国政府の意思決定者およびパートナーにとって重要なあらゆる情報源情報を特定、収集、分析、発信するための省庁間センター」として機能している45 。
Envisioning Support for Foundational Mission Objectives 基本的なミッション目標への支援を構想する
To meet the ambitious objectives set out in national-level strategy documents, the IC will likely need to strengthen its posture for each of its three foundational mission objectives: strategic intelligence, anticipatory intelligence, and current operations intelligence.46 Consequently, the following sections outline how the creation of a new institution dedicated to integration could enhance the IC’s approach to each of these objectives. 国家レベルの戦略文書に示された野心的な目標を達成するために、情報通信研究機構(IC)は、その3つの基本的な任務目標、すなわち戦略情報、予測情報、および現在の作戦情報それぞれに対する態勢を強化する必要があろう。46 そのため、以下のセクションでは、統合を専門とする新機関を設立することで、これらの目標それぞれに対するICのアプローチをどのように強化できるかを概説する。
Strategic Intelligence: the context, knowledge, and understanding of the strategic environment required to support U.S. national security policy and planning decisions. 戦略的インテリジェンス:米国の国家安全保障政策と計画立案の意思決定を支援するために必要な、戦略的環境の背景、知識、理解である。
• The elevation of this issue to the NIMC or another IC component would facilitate strategic-level policy de-confliction efforts—a key component of effective IC mission management.47 ・この問題を NIMC または他の IC 部 門に昇格させることで、効果的な IC ミッション管理の重要な要素である戦略レ ベルの政策不一致解消努力が促進される47 。
○ For example, the presence of a democracy focused advisor could help guide planning for security assistance packages through the lens of how such policies could embolden autocrats or otherwise undermine democracy.48 例えば、民主主義に焦点を絞ったアドバイザ ーが存在すれば、そのような政策がどのように独裁 政権を煽動し、民主主義を弱体化させるかという観 点から、安全保障支援パッケージの計画立案に役立 つだろう48 。
• A clearer understanding of the strategic environment related to global democracy could inform a more efficient allocation of resources related to this topic—including through a “triage approach” to democracy support or a focus on democratic “bright spots.”49 A NIM or Executive Coordinator, in particular, would also serve as valuable advocate in budget debates, helping to drive resources towards priority areas. ・グローバルな民主主義に関連する戦略的環境をより明確に理解することで、民主主義支援への「トリアージ・アプローチ」や民主主義の「ブライト・スポット」に焦点を当てることを含め、このテーマに関する資源をより効率的に配分することができる。49 特にNIMまたはエグゼクティブ・コーディネー ターは、予算審議の場で貴重な擁護者としての役 割も果たし、優先分野に資源を振り向けるのに役立つで あろう。
• Scholars have warned that “important steps for conserving liberalism, even defensive ones, will generate pushback against the liberal order,” noting that “in advancing liberal rights, policymakers have to navigate significant tradeoffs, inconsistencies, and contention.”50 Improved analytic efforts may help mitigate this concern by improving strategic insight into how foreign actors may react to U.S. efforts to counter democratic backsliding. ・学者たちは、「自由主義を維持するための重要な措置は、たとえ防衛的なものであっても、自由主義秩序に対する反発を生む」と警告しており、「自由主義的権利を推進する上で、政策立案者は重要なトレードオフ、矛盾、争いを乗り越えなければならない」と指摘している50 。分析努力の改善は、民主主義の後退に対抗する米国の努力に対して外国の主体がどのような反応を示すかについての戦略的洞察力を向上させることによって、この懸念を軽減するのに役立つであろう。
Anticipatory Intelligence: information to identify emerging trends, changing conditions, and undervalued developments. 予見的インテリジェンス:新たな傾向、状況の変化、過小評価されている動向を識別するための情報である。
• The “cross-disciplinary approach” typically associated with anticipatory intelligence underscores the value of an IC mechanism charged with coordinating efforts across a range of intelligence domains. 51 Anticipatory intelligence “explores the potential for cascading events or activities to reinforce, amplify, or accelerate conflict,”52 and stands out as particularly important to help the IC foresee authoritarian power grabs, emerging alliances among autocrats, and violent mobilization by anti-democratic actors. ・予見的インテリジェンスに典型的に見られる「分野横断的アプローチ」は、さまざまな情報領域にわたる取り組みを調整することを任務とするICのメカニズムの価値を強調するものである。51 予測的インテリジェンスは、「連鎖的な出来事や活動が紛争を強化、増幅、加速させる可能性を探る」ものであり、権威主義的な権力の掌握、独裁者間の新たな同盟関係、反民主主義的なアクターによる暴力的な動員を予見する上で、特に重要である。
○ The U.S. government could replicate anticipatory intelligence successes observed in the lead-up to Russia’s invasion of Ukraine by preemptively exposing planned anti-democratic activity to deter such behavior and shore up international cooperation.53  ⚪︎ 米国政府は、ロシアによるウクライナ侵攻に先立ち、反民主主義的な行動を抑止し、国際協力を強化するために計画された活動を先制的に暴露することで、先読みインテリジェンスの成功を再現することができる。
Current Operations Intelligence: the collection, analysis, operations, and planning support that IC elements conduct to support the needs of military, diplomatic, homeland security, and policy customers. 現在の作戦インテリジェンス:軍事、外交、国土安全保障、政策の顧客のニーズを支援するために、ICの各要素が行う収集、分析、作戦、計画支援である。
• To implement key national-level strategies, the U.S. government will increasingly look to the IC to provide timely support to enable its activity related to confronting authoritarianism and supporting global democracy. As highlighted in the Strategy on Countering Corruption, a democracy-focused institution in the IC could help guide policy prioritization for addressing the key actors who facilitate the financial, ideological, material, and logistical support for anti-democratic repression, corruption, and violence.54
・重要な国家レベルの戦略を実施するため、米国政府は権威主義に立ち向かい、グローバルな民主主義を支援する活動を可能にするタイムリーな支援を提供するため、ICにますます期待するようになるだろう。腐敗に対抗する戦略」で強調されているように、IC に民主主義に特化した機関を設置することで、反民主主義的な抑圧、腐敗、暴力を資金的、イデオロギー的、物質的、後方支援的に促進する主要な機構に対処するための政策の優先順位付けを支援することができる54 。
○ Timely intelligence support could enable targeted sanctions on transnational repressors and other enablers,55 and also help development officials understand whether specific assistance programs “may be manipulated to serve autocratic interests.”56 ○ 適時の情報支援は、国際的な抑圧者やその他の支援者55 に的を絞った制裁を可能にし、また、開発担当者が特定の支援プログラムが「独裁的な利益のために操作されているかもしれない」56 かどうかを理解する助けにもなる。
• More broadly, democracy-focused intelligence efforts could help provide the nuance necessary to avoid a “one-size-fits all” approach to diplomatic engagement with countries experiencing democratic backsliding.57 ・より広範に言えば,民主主義に焦点を絞った情報活動は,民主主義の後退を経験している国々との外交的関与において,「画一的な」アプローチを避けるために必要なニュアンスを提供するのに役立つだろう57。
With these benefits in mind, it is also worth preemptively addressing concerns about this paper’s recommendations to clarify how they could facilitate an efficient and responsible use of IC resources in support of U.S. government priorities. このような利点を念頭に置きながら、本稿の提言に対す る懸念に先手を打って対処し、米国政府の優先事項を支援す るために、いかにして情報機関の資源を効率的かつ責任あ る形で活用するかを明らかにすることも価値がある。
Opportunities to Share Burden and Shape Policy 負担を分かち合い、政策を形成する機会
Avoiding NIM-CT Mission Creep and Overburden  NIM-CTミッションのクリープと過重負担を避ける 
Because this paper has frequently discussed trends in foreign anti-democratic violence, it is worth directly addressing why this distinct form of violence should fall within the purview of a newly established IC institution. Some observers may be tempted to expand the remit of National Intelligence Manager for Counterterrorism (NIM-CT) and the counterterrorism community more broadly to address the totality of this challenge.58 本稿では、外国の反民主主義的暴力の傾向についてたびたび論じてきたため、この独特な形態の暴力が、なぜ新設された情報通信研究機構(IC)の権限に属するべきなのかについて、直接論じる価値がある。テロ対策担当国家情報管理官(NIM-CT)やテロ対策コミュニティの権限をより広範に拡大し、この課題の全体像に取り組むことを望む向きもあろう58。
To be certain, the IC’s recent work on the transnational aspects of racially or ethnically motivated violent extremism (REMVE) marks a positive step toward addressing the totality of terrorist movements that threaten U.S. interests.59 The counterterrorism community should absolutely continue to address terrorist threats beyond just the jihadist violence that has dominated the U.S. government’s attention for the past two decades. Though largely decentralized, REMVEs clearly constitute a terrorist threat, and their propensity for premeditated, mass casualty attacks align well with the definition of terrorism as articulated in title 22 of the U.S. Code and adopted by key U.S. government agencies.60 Similarly, where anti-government violent extremism presents a clear terrorist threat, the counterterrorism community should similarly take on this issue without hesitation.61 確かに、人種的・民族的に動機づけられた暴力的過激主義(REMVE)の国境を越えた側面に関するICの最近の取り組みは、米国の利益を脅かすテロ運動の総体への対処に向けた前向きな一歩である59。テロ対策コミュニティは、過去20年間、米国政府の関心を独占してきたジハード主義者の暴力だけでなく、テロリストの脅威にも絶対に対処し続けるべきである。大部分が分散化しているとはいえ、REMVEがテロの脅威を構成していることは明らかであり、計画的な大量殺傷攻撃を行う彼らの傾向は、米国法典第22条に明記され、米国の主要政府機関が採用しているテロの定義によく合致している60。同様に、反政府的な暴力的過激主義が明確なテロの脅威となる場合、テロ対策コミュニティも同様に、躊躇することなくこの問題に取り組むべきである61。
That said, the IC should consider that: とはいえ、ICは次のことを考慮すべきである:
• Not all foreign anti-democratic violence fits the definition of terrorism.62 ・外国の反民主主義的暴力のすべてがテロの定義に当てはまるわけではない62 。
• Other forms of foreign anti-democratic violence can nonetheless exacerbate democratic decline, embolden autocrats, and threaten U.S. national security.63 ・外国の反民主的な暴力は,民主主義の衰退を悪化させ,独裁者を増長させ,米国の国家安全保障を脅かす可能性がある。63
Perhaps most consequentially, the definition of international terrorism apparently adopted by the State Department and National Counterterrorism Center (whose leadership is dual-hatted as NIM-CT) implies a terrorist act must be politically motivated and premeditated.64 A considerable portion of anti-democratic violence, however, occurs spontaneously and therefore arguably outside the purview of the U.S. government counterterrorism enterprise.65  おそらく最も結果的なことだが、国務省と国家テロ対策センター(その指導部はNIM-CTと兼任)が採用している国際テロの定義は、テロ行為が政治的動機に基づく計画的なものでなければならないことを示唆している64。しかし、反民主主義的暴力のかなりの部分は自然発生的なものであり、したがって間違いなく米国政府のテロ対策エンタープライズの管轄外である65。
Thus, while CT officials focus their efforts on terrorism as defined by the U.S. Code, a democracy-focused IC body could address a wider range of violent activity across the globe, including its connection to broader authoritarian movements. This new role, for example, could explore the relationship between violence abroad in the form hate crimes or pogroms and the policy platforms of illiberal political parties.66 Similarly, the IC could help calibrate the U.S. government’s response to the full spectrum of attacks on press freedom, ranging from legal repression to targeted violence.67 And whereas the counterterrorism enterprise may be hamstrung in assessing certain forms of foreign anti-democratic electoral violence and harassment, the broader IC could help fill this gap.68 このように、CT当局が米国法典で定義されたテロリズムに力を注ぐ一方で、民主主義に焦点を絞ったIC団体は、より広範な権威主義運動との関連も含め、世界各地の暴力的活動を幅広く取り上げることができる。例えば、この新しい役割は、ヘイトクライムやポグロムといった形での海外での暴力と、非自由主義的な政党の政策綱領との関係を探ることができる66 。同様に、ICは、法的抑圧から標的を絞った暴力に至るまで、報道の自由に対するあらゆる攻撃に対する米国政府の対応を調整するのに役立つだろう67 。また、テロ対策エンタープライズが、ある種の海外での反民主的な選挙暴力や嫌がらせを評価する上で足かせとなっている可能性があるのに対し、より広範なICはこのギャップを埋めるのに役立つだろう68 。
Beyond these definitional concerns, there are practical reasons for exercising caution about expanding the scope of violence covered by the U.S. government counterterrorism enterprise.69 For one, the intrusive intelligence collection methods associated with the counterterrorism enterprise could generate backlash and cause significant damage to relationships with partners experiencing various stages of democratic decline.70 Equally important, it is worth emphasizing that the center of gravity of U.S. national security policy has clearly shifted away from counterterrorism.71 An attempt to direct additional resources toward a waning mission function would almost certainly meet resistance. こうした定義上の懸念だけでなく、米国政府のテロ対策エンタープライズが対象とする暴力の範囲を拡大することに慎重を期す現実的な理由もある69 。ひとつには、テロ対策エンタープライズに関連する侵入的な情報収集方法が反発を生み、民主主義のさまざまな衰退段階を経験しているパートナーとの関係に大きなダメージを与える可能性がある70。同様に重要なこととして、米国の国家安全保障政策の重心がテロ対策から明らかにシフトしていることを強調する価値がある71 。衰退しつつある任務機能に追加的な資源を振り向けようとする試みは、ほぼ間違いなく抵抗に遭うだろう。
The incorporation of non-terrorist anti-democratic violence within the purview of a new IC institution, on the other hand, would enable the Community to take advantage of existing regional expertise and simultaneously examine the nexus of this violence to broader political movements. The combination of regional perspectives, diplomatic reporting, and open-source intelligence may offer a strong base for strategic intelligence and early warning against spikes in foreign anti-democratic violence.72 一方、テロ以外の反民主主義的暴力を新たな国際安全保障機 関の管轄範囲に組み入れることで、共同体は既存の地域的専門知 識を活用し、同時に、この暴力と広範な政治運動との関連性を検 証することができる。地域的視点、外交報告、オープンソース・インテリジェンスを組み合わせることで、戦略的インテリジェンスの強力な基盤を提供し、外国の反民主的暴力の急増に対する早期警告を行うことができるだろう72。
The IC needs a mechanism to approach the forms of anti-democratic violence that do not fit neatly into its counterterrorism framework. Rather than expanding the authorities and the budget of the NIM-CT, should seek to address this threat within the context of the transnational spread of anti-democratic movements more broadly. A new IC mechanism should strive to outline these concepts in more detail in a Unifying Intelligence Strategy (UIS) or similar strategic guidance, including opportunities to coordinate with NIM-CT when appropriate. 国際情報局(IC)は、テロ対策の枠組みにうまく当てはまらない形の反民主的暴力にアプローチするメカニズムを必要としている。NIM-CTの権限や予算を拡大するのではなく、反民主主義運動の国境を越えた広がりという文脈の中で、この脅威に広く対処することを模索すべきである。ICの新機構は、統一インテリジェンス戦略(UIS)または同様の戦略ガイダンスの中で、適切な場合にはNIM-CTと連携する機会も含め、これらの概念をより詳細に概説するよう努めるべきである。
Addressing Risks  リスクへの対応 
Despite the benefits outlined above, it is worth recognizing that these courses of action may prompt concern among those worried about both strategic overreach and IC authorities. Memory of previous U.S. government efforts to advance democracy—particularly through so-called nation-building projects73—may deter support for any of the above measures. These options, however, would not expand the power of the IC or suggest an increase in operational activity related to this topic. To the contrary, these courses of action may help re-focus IC efforts on strategic-level analysis and reverse the dominance of “intelligence for action.”74 上記のような利点があるにもかかわらず、これらの行動方針が、戦略的越権行為と IC の権限の双方を懸念する人々の間で懸念を呼び起こす可能性があることを認識する価値はある。また、民主主義を推進するための米政府の過去の取り組み、特にいわゆる国家建設プロジェクト73 の記憶が、上記のいずれの手段に対する支持も妨げる可能性がある。しかし、これらの選択肢は、情報システムの権限を拡大したり、このテーマに関する作戦活動の増加を示唆したりするものではない。それどころか、これらの行動方針は、ICの努力を戦略レベルの分析に再び集中させ、「行動のための情報」74 の優位性を逆転させるのに役立つかもしれない。
In addition to these concerns, critics of the great power competition (GPC) paradigm might also worry that the elevation of global democracy as a functional focus could imply or endorse the view that China serves as the singular “harbinger of rising authoritarianism worldwide.”75 Instead, a more robust intelligence approach to the broader issue of global democracy may help elucidate the perspective that “the more proximate roots of democratic backsliding in most countries are domestic.”76  こうした懸念に加え、大国間競争(GPC)パラダイムを批判する人々は、グローバル民主主義を機能的な焦点として取り上げることで、中国が「世界的に権威主義が台頭する前触れ」であるという見方を示唆または是認することになるのではないかとも懸念している75。むしろ、グローバル民主主義という広範な問題に対するより強固なインテリジェンス・アプローチは、「ほとんどの国で民主主義が後退しているのにより近接した根源は国内にある」という視点を解明するのに役立つかもしれない76。
Moreover, an IC integrative mechanism could inform a harm mitigation approach to help prevent the U.S. government from exacerbating democratic decay abroad. As previously noted, this mechanism could provide strategic insight into how certain forms of security assistance and intelligence cooperation could bolster autocrats or enable transnational repression.77 That is, an intelligence advisor charged with focusing on the protection of global democracy could help guard against the implementation of reflexive—and potentially counterproductive—policies in the name of GPC.78 さらに、ICの統合的メカニズムは、米国政府が海外の民主主義の衰退を悪化させることを防ぐための被害軽減アプローチに役立つ。前述したように、このメカニズムは、ある種の安全保障支援や情報協力がいかに独裁政権を強化し、あるいは国境を越えた抑圧を可能にしうるかについて、戦略的洞察を提供することができる77 。つまり、グローバル民主主義の保護に焦点を当てることを任務とする情報顧問は、GPCの名の下に反射的な、そして潜在的に逆効果となりうる政策が実施されるのを防ぐのに役立つであろう78 。
To fully address these concerns and guard against overreach, a new official should codify such perspectives in a resulting UIS or internal strategy guidance. このような懸念に完全に対処し、行き過ぎを防止するために、新政府高官はこのような観点をUISや内部戦略ガイダンスに成文化すべきである。
The IC’s Imperative ICの責務
In the wake of democratic decline across the globe, the U.S. government has chosen to highlight the issue of democracy in the NSS, as well as the functional strategies that guide the interagency on key functional issues. Now, the IC should define the scope of the problem, establish a set of priorities, and institutionalize its support to these whole-of-government initiatives. At the very least, the next NIS should aim to align itself with the NSS and highlight the role of intelligence in addressing the challenge of global democratic decline. Institutionalizing integration efforts would go one step further to elevate this issue and strengthen the IC’s posture. 世界中で民主主義が衰退していることを受け、米国政府はNSSの中で民主主義の問題を強調し、また重要な機能的問題について省庁間の指針となる機能戦略を選択した。今、ICは問題の範囲を明確にし、優先順位を定め、こうした政府全体のイニシアティブに対する支援を制度化すべきである。少なくとも、次期NISはNSSとの整合性を図り、世界的な民主主義の衰退という課題に取り組む上でのインテリジェンスの役割を強調すべきである。統合の取り組みを制度化することは、この問題をさらに一歩進め、ICの態勢を強化することになる。
This issue demands specialized attention specifically because of its multifaceted nature. Rachel Kleinfeld, a senior fellow at the Carnegie Endowment for International Peace, notes that “Democracy support must have different theories of change crafted to meet the challenges of autocratization in consolidated democracies, backsliding in newer but once-solid democracies, coups in some of the least consolidated democracies, and the unique difficulties presented by China and Russia.”79 Without an empowered intelligence authority to help tailor its approach this complex challenge, the IC may struggle to unify its efforts and implement established national security objectives.  この問題は多面的であるため、特に専門的な注意が必要である。カーネギー国際平和財団のレイチェル・クラインフェルド上級研究員は、次のように指摘している79。「民主主義支援は、統合された民主主義国家における独裁化、新しいがかつて強固であった民主主義国家における後退、最も統合されていない民主主義国家におけるクーデター、中国とロシアがもたらす独特の困難といった課題に対応するために、さまざまな変革理論を持たなければならない。この複雑な課題へのアプローチを調整するのに役立つ権限を与えられた情報当局がなければ、ICはその努力を統一し、確立された国家安全保障目標を実施するのに苦労するかもしれない。_

 

 

 

| | Comments (0)

経済産業省 第32回 産業構造審議会総会

 こんにちは、丸山満彦です。

2023.08.03 に第32回 産業構造審議会総会が開催され、[PDF] 令和6年度経済産業政策の重点(案)も示されていますが、なんかこう、重点政策と言いながら、いろいろな利害関係者へ配慮した結果、「いろいろと話題になっていることは、もらさず記載していますよ。最近急に話題になってきた生成AIについてもふれているし...」みたいなものになっているような気がして、これで世界に通用する産業が成長していく感じを受けないというか、、、なんだろうね、、、わくわくしないというか。。。

ちょうど、[PDF] 経済産業政策の新機軸第2次中間整理についての4ページに米欧中の「課題」と「対応」がコンパクトにまとめられているのですが、このレベルでの日本の政策をわかりやすく説明すれば、国民も理解がすすみ、政策の実現がしやすくなるのではないかと思ったりもします。。。

そういう意味では、バイデンさんの2023.06.28の発表はわかりやすい方針なのかもしれませんね。。。

 

経済産業省

・2023.08.04 第32回 産業構造審議会総会

20230807-11518

20230807-11531

20230807-11545

動画...

動画

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.07.01 米国 ホワイトハウス バイデノミクスは機能している: 大統領の計画はトップダウンではなくミドルアウトとボトムアップから経済を成長させる

・2023.06.26 EU 欧州経済安全保障戦略

 

| | Comments (0)

2023.08.06

米国 CISA サイバーセキュリティ戦略 FY2024-2026

こんにちは、丸山満彦です。

CISAが、サイバーセキュリティ戦略 FY2024-2026 を公表していますね。。。

2022.10に発表した「国家サイバーセキュリティ戦略」(このブログ)と、2022.09の「CISA 戦略計画 2023-2025」(このブログ)の下位文書ということになりますね。。。

3つの目標 (GOAL) に対してそれぞれ3つずつ、合計9つの目的 (OBJECTIVE) がセットされていますね。。。

 

GOAL 1. ADDRESS IMMEDIATE THREATS 目標1:差し迫った脅威に対処する
1.1. Increase visibility into, and ability to mitigate, cybersecurity threats and campaigns 1.1. サイバーセキュリティの脅威とキャンペーンを可視化し、低減する能力を高める。
1.2. Coordinate disclosure of, hunt for, and drive mitigation of critical and exploitable vulnerabilities 1.2. 重要かつ悪用可能な脆弱性の開示、探索、低減を調整する。
1.3. Plan for, exercise, and execute joint cyber defense operations and coordinate the response to significant cybersecurity incidents 1.3. 合同サイバー防衛作戦を計画、演習、実行し、重大なサイバーセキュリティインシデントへの対応を調整する。
GOAL 2. HARDEN THE TERRAIN 目標2:地形を固める
2.1. Understand how attacks really occur — and how to stop them 2.1. 攻撃が実際にどのように発生し、どのように阻止するかを理解する。
2.2. Drive implementation of measurably effective cybersecurity investments 2.2. 効果測定可能なサイバーセキュリティ投資の実施を推進する。
2.3. Provide cybersecurity capabilities and services that fill gaps and help measure progress 2.3. ギャップを埋め、進捗を測定するのに役立つサイバーセキュリティの能力とサービスを提供する。
GOAL 3. DRIVE SECURITY AT SCALE 目標 3. セキュリティを大規模に推進する
3.1. Drive development of trustworthy technology products 3.1. 信頼できる技術製品の開発を推進する
3.2. Understand and reduce cybersecurity risks posed by emergent technologies 3.2. 新たな技術がもたらすサイバーセキュリティリスクを理解し、低減する。
3.3. Contribute to efforts to build a national cyber workforce 3.3. 国のサイバー人材育成の取り組みに貢献する。

 

CISA 

・2023.08.04 CISA Cybersecurity Strategic Plan

CISA Cybersecurity Strategic Plan CISA サイバーセキュリティ戦略計画
The FY2024-2026 Cybersecurity Strategic Plan guides CISA’s efforts in pursuit of a new vision for cybersecurity: a vision grounded in collaboration, in innovation, and in accountability.   2024~2026年度サイバーセキュリティ戦略計画は、サイバーセキュリティの新たなビジョン、すなわち協調、革新、説明責任に基づくビジョンを追求するCISAの取り組みの指針である。 
Aligned with the National Cybersecurity Strategy and nested under CISA’s 2023–2025 Strategic Plan, the Cybersecurity Strategic Plan provides a blueprint for how the agency will pursue a future in which damaging cyber intrusions are a shocking anomaly, organizations are secure and resilient, and technology products are secure by design and default. To this end, the Strategic Plan outlines three enduring goals:  サイバーセキュリティ戦略計画は、国家サイバーセキュリティ戦略に沿い、CISAの2023-2025年戦略計画の下に位置づけられ、サイバー侵入が衝撃的な異常事態となり、組織が安全でレジリエンスに富み、技術製品が設計上もデフォルトでも安全であるような未来を、CISAがどのように追求していくかの青写真を示すものである。この目的のために、戦略計画は3つの永続的な目標を概説している: 
・Address Immediate Threats by making it increasingly difficult for our adversaries to achieve their goals by targeting American and allied networks;  ・米国および同盟国のネットワークを標的とすることで、敵対勢力が目標を達成することをますます困難にすることで、差し迫った脅威に対処する; 
・Harden the Terrain by adopting strong practices for security and resilience that measurably reduce the likelihood of damaging intrusions; and  ・有害な侵入の可能性を大幅に低減するセキュリティとレジリエンスのための強力なプラクティスを採用し、地形を固める。 
Drive Security at Scale by prioritizing cybersecurity as a fundamental safety issue and ask more of technology providers to build security into products throughout their lifecycle, ship products with secure defaults, and foster radical transparency into their security practices so that customers clearly understand the risks they are accepting by using each product.  ・サイバーセキュリティを基本的な安全問題として優先させ、技術プロバイダに対して、ライフサイクル全体を通じて製品にセキュリティを組み込むこと、安全なデフォルト設定で製品を出荷すること、セキュリティ対策に抜本的な透明性を持たせることで、顧客が各製品を使用することで受け入れるリスクを明確に理解できるようにすることで、規模に応じたセキュリティを推進する。 
Importantly, this Strategic Plan also has a unique focus on outcome-based measures of effectiveness to ensure CISA’s efforts have a measurable impact in reducing cybersecurity risk.  重要なことは、この戦略計画は、CISAの取り組みがサイバーセキュリティリスクの低減に測定可能な効果をもたらすことを確実にするために、成果に基づく効果測定に独自の重点を置いていることである。 
Cybersecurity is a shared journey and a shared challenge that the entire nation must address together. As America’s Cyber Defense Agency, CISA serves a foundational role in the global cybersecurity community, but true and lasting security in cyberspace can only be achieved collaboratively. Government at all levels, industry, technology providers, the global community of cyber defenders, individual citizens, and others must all work together to achieve a secure cyber future.  サイバーセキュリティは、国家全体で取り組むべき共通の旅であり、共通の課題である。米国のサイバー防衛機関として、CISAはグローバルなサイバーセキュリティ・コミュニティにおいて基礎的な役割を果たしているが、サイバー空間における真の永続的なセキュリティは、協力してしか達成できない。あらゆるレベルのガバナンス、産業界、技術プロバイダ、サイバー防衛のグローバル・コミュニティ、個々の市民、その他が、安全なサイバーの未来を実現するために協力しなければならない。 

 

・2023.08.04 (Alert) CISA Releases its Cybersecurity Strategic Plan

 

・[PDF]

20230806-42520

 

EXECUTIVE SUMMARY 要旨
Our nation is at a moment of opportunity. The 2023 U.S. National Cybersecurity Strategy outlines a new vision for cybersecurity, a vision grounded in collaboration, in innovation, and in accountability. Now is the moment where our country has a choice: to invest in a future where collaboration is a default rather than an exception; where innovation in defense and resilience dramatically outpaces that of those seeking to do us harm; and where the burden of cybersecurity is allocated toward those who are most able to bear it. We must be clear-eyed about the future we seek, one in which damaging cyber intrusions are a shocking anomaly, in which organizations are secure and resilient, in which technology products are safe and secure by design and default. This is a shared journey and a shared challenge, and CISA, as America’s cyber defense agency, is privileged to serve a foundational role in the global cybersecurity community as we achieve measurable progress to our shared end state.  わが国は今、チャンスの時を迎えている。2023年米国国家サイバーセキュリティ戦略は、サイバーセキュリティの新たなビジョンの概要を示している。このビジョンは、協力、イノベーション、アカウンタビリティに基づくものである。今こそ、わが国は選択を迫られている。協調が例外ではなく既定路線となる未来に投資するか、防衛とレジリエンスにおけるイノベーションが、わが国に危害を加えようとする者たちのそれを劇的に上回るようにするか、サイバーセキュリティの負担を最も負担能力のある者たちに割り当てるか、である。我々は、我々が求める未来について明確な目を持たなければならない。それは、サイバー侵入による被害が衝撃的な異常事態であり、組織が安全でレジリエンスに富み、テクノロジー製品が設計上もデフォルトでも安全でセキュアであるような未来である。CISAは、米国のサイバー防衛機関として、我々が共有する最終状態への測定可能な進展を達成するために、世界のサイバーセキュリティ・コミュニティにおいて基礎的な役割を果たすことを光栄に思う。
We know that the stakes are high. Our nation relies on connected technologies every hour of every day to enable essential services, from drinking water to electricity to financial systems. In recent years, this dependence has deepened even further, as many Americans now rely on connectivity for most aspects of their daily lives. Malicious cyber actors recognize our dependence on technology and constantly attempt to exploit this reliance for financial or strategic gain. Too often, they succeed. Their success is enabled by an environment of insecurity, in which our enterprises are too difficult to defend, and our technology products are too vulnerable to protect.  我々は、利害関係が大きいことを知っている。我が国は、飲料水から電気、金融システムに至るまで、必要不可欠なサービスを実現するために、毎日毎時、コネクテッド・テクノロジーに依存している。近年、多くのアメリカ人が日常生活の大半をコネクテッド・テクノロジーに依存しているため、この依存はさらに深まっている。悪意のあるサイバー・アクターは、我々のテクノロジーへの依存を認識し、経済的または戦略的利益のためにこの依存を常に利用しようとする。しばしば、彼らは成功する。彼らの成功は、我々のエンタープライズを防御することがあまりにも困難であり、我々のテクノロジー製品を保護することがあまりにも脆弱であるという、安全でない環境によって可能となる。
But we also know the steps to take. We must change how we design and develop technology products, such that exploitable conditions are uncommon and secure controls are enabled before products reach the market. We must quickly detect adversaries, incidents, and vulnerabilities, and enable timely mitigation before harm occurs. We must help organizations, particularly those that are “target rich, resource poor,” take the fewest possible steps to drive the most security impact. Recognizing that we will not prevent every intrusion, we must ensure that our most essential services are resilient under all conditions, with particular focus on under-resourced communities where loss of key services can have the greatest impact. Most importantly, we must do it together, recognizing that true collaboration is the only path toward a more secure future.  しかし、我々は取るべき手段も知っている。テクノロジー製品の設計・開発方法を変え、悪用されやすい状況をなくし、製品が市場に出回る前に安全な制御が可能になるようにしなければならない。敵対者、インシデント、脆弱性を迅速に検知し、被害が発生する前にタイムリーな低減を可能にしなければならない。特に「ターゲットが豊富でリソースが乏しい」組織が、可能な限り少ない手順で最大のセキュリティ効果を得られるよう支援しなければならない。すべての侵入を防げるわけではないことを認識した上で、最も重要なサービスをあらゆる状況下でレジリエンス(回復力)あるものにしなければならない。最も重要なことは、真の協力関係こそが、より安全な未来に向けた唯一の道であることを認識し、共に行動することである。
GOAL 1: ADDRESS IMMEDIATE THREATS. We will make it increasingly difficult for our adversaries to achieve their goals by targeting American and allied networks. We will work with partners to gain visibility into the breadth of intrusions targeting our country, enable the disruption of threat actor campaigns, ensure that adversaries are rapidly evicted when intrusions occur, and accelerate mitigation of exploitable conditions that adversaries recurringly exploit.  目標1:差し迫った脅威に対処する。米国および同盟国のネットワークを標的とすることで、敵対勢力による目標達成をますます困難にする。わが国を標的とする侵入の範囲を可視化し、脅威行為者のキャンペーンを妨害できるようにし、侵入が発生した場合には敵対者を迅速に退去させ、敵対者が繰り返し悪用する悪用可能な状況の低減を加速するために、パートナーと協力する。
GOAL 2: HARDEN THE TERRAIN. We will catalyze, support, and measure adoption of strong practices for security and resilience that measurably reduce the likelihood of damaging intrusions. We will provide actionable and usable guidance and direction that helps organizations prioritize the most effective security investments first and leverage scalable assessments to evaluate progress by organizations, critical infrastructure sectors, and the nation.  目標2:地形を固める。有害な侵入の可能性を大幅に低減するような、セキュリティとレジリエンスのための強力なプラクティスの導入を促進し、支援し、測定する。組織が最も効果的なセキュリティ投資に優先順位を付け、組織、重要インフラ部門、国の進捗状況を評価するためのスケーラブルな評価を活用できるような、実用的で実行可能な指針と指示を提供する。
GOAL 3: DRIVE SECURITY AT SCALE. We will drive prioritization of cybersecurity as a fundamental safety issue and ask more of technology providers to build security into products throughout their lifecycle, ship products with secure defaults, and foster radical transparency into their security practices so that customers clearly understand the risks they are accepting by using each product. Even as we confront the challenge of unsafe technology products, we must ensure that the future is more secure than the present—including by looking ahead to reduce the risks and fully leverage the benefits posed by artificial intelligence and the advance of quantum-relevant computing. Recognizing that a secure future is dependent first on our people, we will do our part to build a national cybersecurity workforce that can address the threats of tomorrow and reflects the diversity of our country.  目標 3:セキュリティを大規模に推進する。サイバーセキュリティを基本的な安全問題として優先させ、ライフサイクル全体を通じて製品にセキュリティを組み込むこと、安全なデフォルト設定で製品を出荷すること、セキュリティ対策に抜本的な透明性を持たせることをプロバイダに求め、顧客が各製品の使用によって受け入れるリスクを明確に理解できるようにする。我々は、安全でないテクノロジー製品という課題に直面しながらも、人工知能や量子関連コンピューティングの進歩がもたらすリスクを軽減し、その利点を十分に活用するために将来を見据えることも含め、現在よりも安全な未来を確保しなければならない。安全な未来は、まずわれわれの人材にかかっていることを認識し、われわれは、明日の脅威に対処でき、わが国の多様性を反映したサイバーセキュリティ人材を育成するために、その一翼を担っていく。
As we progress toward these goals, we must embody the hacker spirit, thinking creatively and innovating in every aspect of our work. The ongoing work of CISA’s workforce—our threat hunters, vulnerability analysts, operational planners, regionally deployed cybersecurity advisors, and others—epitomize this collaborative spirit.  これらの目標に向かって前進するとき、我々はハッカー精神を体現し、仕事のあらゆる面で創造的に考え、革新的でなければならない。脅威ハンター、脆弱性アナリスト、作戦立案者、各地域に配置されたサイバーセキュリティ・アドバイザーなど、CISAの従業員たちの継続的な活動は、この協調精神を象徴している。
Each day, our team members work shoulder to shoulder with the cybersecurity community to address our most pressing cyber risks. We know we cannot achieve lasting security without close, persistent collaboration among government, industry, security researchers, the international community, and others. Even as we are accountable for national cybersecurity, we must align accountability across the ecosystem, such that cybersecurity is considered a foundational business risk at every organization and technology manufacturers prioritize product safety. Cyber incidents have caused too much harm to too many American organizations. Working together, we can change this course. Working together, we can create a new model. We know the path and we’ve collectively begun the right steps. Now is the time to focus, prioritize, and accelerate—recognizing that our adversaries are not going to wait.  我々のチームメンバーは日々、サイバーセキュリティ・コミュニティと肩を並べて、最も差し迫ったサイバーリスクに取り組んでいる。我々は、政府、産業界、セキュリティ研究者、国際社会などの緊密で粘り強い協力なしには、永続的なセキュリティを達成できないことを知っている。サイバーセキュリティがすべての組織において基礎的なビジネスリスクとみなされ、テクノロジー・メーカーが製品の安全性を優先するようにするためである。サイバーインシデントによって、あまりにも多くのアメリカの組織が被害を被っている。力を合わせれば、この流れを変えることができる。力を合わせれば、新しいモデルを生み出すことができる。我々は道を知っており、集団として正しいステップを踏み始めている。今こそ集中し、優先順位をつけ、加速させる時である。敵は待ってはくれない。

 

 

 

 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.08.02 米国 国家サイバー人材・教育戦略

・2023.07.15 米国 ホワイトハウス サイバーセキュリティ戦略実施計画

・2023.07.09 米国 OMB 2025 年度予算における政権のサイバーセキュリティ優先事項 (2023.06.27)

・2023.07.02 米国 GAO サイバーセキュリティ:国家サイバーセキュリティ戦略の立ち上げと実施

・2023.03.04 米国 国家サイバーセキュリティ戦略を発表

・2022.10.29 米国 国家防衛戦略

・2022.10.14 米国 国家安全保障戦略

 

・2022.09.21 米国 CISA 戦略計画 2023-2025

 

 

| | Comments (0)

2023.08.05

米国 連邦取引委員会 (FTC) ブログ 健康情報のプライバシー保護: FTCの事例から得られる13の教訓 (2023.07.25)

こんにちは、丸山満彦です。

高齢化時代、健康に関する事業が注目されていると思います。また、ビッグデータ、AI等を活用して課題を解決できるだろうと思う人も多いと思います。

日本でも、いろいろとチャレンジしようという企業もあると思いますが、

「Smartに対応して、俺Coolだろう」ではなく、「Wisely」に行動することが重要かもですね。。。FTCのブログ記事を読むとそんな感じを受けました。。。

 

  Health Privacy: The Basics 健康プライバシー: 基本
1 Understand the breadth of “health information.”   「健康情報」の広さを理解する
2 Your obligation to protect the privacy of health information is a given. tions. 健康情報のプライバシーを保護する義務は、当然のことである。
3 Don’t use behind-the-scenes tracking technologies that contradict your privacy promises or otherwise harm consumers.  プライバシーの約束に反する、あるいは消費者に害を与えるような裏側の追跡技術を使わない。
4 Don’t share consumers’ health information improperly – and don’t receive it either. 消費者の健康情報を不適切に共有してはならない。
5 Insist your technology people and compliance staff communicate about your company’s privacy practices.  テクノロジー担当者とコンプライアンス担当者が、自社のプライバシー慣行についてコミュニケーションするよう主張すること。
  HIPAA-related claims HIPAA関連の主張
6 “HIPAA Compliant,” “HIPAA Secure,” and similar claims may deceive consumers.   「HIPAA準拠」、「HIPAAセキュア」、および同様の主張は、消費者を欺く可能性がある。
7 Companies that provide HIPAA seals and certifications also may be liable for deceptive claims.  HIPAAシールや認証を提供する企業も、欺瞞的な主張に対して責任を負う可能性がある。 
  Other Health Privacy Practices その他の医療プライバシー慣行
8 Reserving the right to make big changes to your privacy policy isn’t real consent.  プライバシーポリシーを大きく変更する権利を留保することは、本当の同意ではない。
9 Hidden euphemisms don’t cut it. 隠された婉曲表現は通用しない
10 You may be liable under the FTC Act for what you say and for what you don’t say.   FTC法では、言ったことにも言わないことにも責任を負う可能性がある。
  Health privacy: A top priority for the FTC – and for your company 健康プライバシー: FTCにとって、そして貴社にとって最優先事項である。
11 The FTC Act protects biometric data.  FTC法は生体データを保護している。
12 Reproductive information should be protected from prying eyes.  保護情報は詮索好きな目から守られるべきである。
13 There’s a lot at stake.  多くの問題がある。

 

法体系や環境がちがうのでしょうが、日本でも参考になることは多いと思います。。。

 

Federal Trade Commission; FTC

・2023.07.25 Protecting the privacy of health information: A baker’s dozen takeaways from FTC cases

Protecting the privacy of health information: A baker’s dozen takeaways from FTC cases 健康情報のプライバシー保護: FTCの事例から得られる12の教訓
In the past few months, the FTC has announced case after case involving consumers’ sensitive health data, alleging violations of both Section 5 of the FTC Act and the FTC’s Health Breach Notification Rule. The privacy of health information is top of mind for consumers – and so it’s top of mind for the FTC. Companies collecting or using health data, listen up. There are a number of key messages from BetterHelpGoodRxPremomVitagene, and other FTC matters that you need to hear. ここ数ヶ月の間に、FTCは消費者のデリケートな健康データに関わるケースを次々と発表し、FTC法第5条とFTCの健康情報漏えい通知規則の両方に対する違反を主張している。健康情報のプライバシーは消費者にとって最重要事項であり、FTCにとっても最重要事項である。健康データを収集または使用している企業はよく聞いてほしい。BetterHelp、GoodRx、Premom、Vitagene、そしてその他のFTC事項から、あなたが聞くべき重要なメッセージがいくつかある。
Health Privacy: The Basics 健康プライバシー: 基本
Understand the breadth of “health information.”  Health information isn’t just about medications, procedures, and diagnoses. Rather, it’s anything that conveys information – or enables an inference – about a consumer’s health. Indeed, PremomBetterHelpGoodRx, and Flo Health make clear that the fact that a consumer is using a particular health-related app or website – one related to mental health or fertility, for example – or how they interact with that app (say, turning “pregnancy mode” on or off) may itself be health information. Our guidance on health and location highlights the fact that location data can convey health information. For example, repeated trips to a cancer treatment facility may convey highly sensitive information about an individual’s health. To stay on the right side of the FTC Act, take a broad view of what constitutes health data and protect it accordingly. 「健康情報」の広さを理解する。  健康情報とは、投薬、処置、診断に関するものだけではない。むしろ、消費者の健康に関する情報を伝えるもの、あるいは推論を可能にするものすべてを指す。実際、Premom、BetterHelp、GoodRx、Flo Healthは、消費者が特定の健康関連のアプリやウェブサイト(例えば、メンタルヘルスや不妊に関連するもの)を利用しているという事実や、そのアプリとどのようにやりとりするか(例えば、「妊娠モード」のオン・オフ)自体が健康情報である可能性があることを明らかにしている。健康と位置情報に関する我々のガイダンスは、位置情報が健康情報を伝える可能性があることを強調している。例えば、がん治療施設に何度も通うことは、個人の健康状態に関する非常にセンシティブな情報を伝える可能性がある。FTC法を遵守するためには、何が健康データであるかを幅広く捉え、それに従って保護することである。
Your obligation to protect the privacy of health information is a given.  The need for privacy-by-design is (or should be!) axiomatic at this point, especially when it comes to sensitive personal information. If you’re collecting or using consumers’ health data, assess and document the risks to that data and implement robust safeguards to protect it, such as a written privacy program, privacy training and supervision, and data retention, purpose, and use limitations. Even if you don’t think that’s necessary, the FTC may say otherwise, as the complaints in BetterHelp and GoodRx show. In those actions, the FTC specifically alleged that the companies’ failure to have appropriate privacy policies and procedures contributed to the alleged unfair privacy practices. To comply with the law, interweave your tech decisions with privacy considerations. 健康情報のプライバシーを保護する義務は、当然のことである。  プライバシー・バイ・デザインの必要性は、特に機密性の高い個人情報に関しては、この時点で自明のことである(あるいはそうあるべきである!)。消費者の健康データを収集または使用している場合は、そのデータに対するリスクをアセスメントして文書化し、書面によるプライバシープログラム、プライバシーのトレーニングと監督、データの保持、目的、使用の制限など、データを保護するための強固なセーフガードを実施すること。たとえあなたがその必要がないと思っても、BetterHelpとGoodRxにおける苦情が示すように、FTCはそうでないと言うかもしれない。これらの訴訟において、FTCは特に、企業が適切なプライバシーポリシーと手続きを持たなかったことが、不公正なプライバシー慣行の一因であると主張している。法律を遵守するためには、技術的な決定とプライバシーへの配慮を織り交ぜること。
Don’t use behind-the-scenes tracking technologies that contradict your privacy promises or otherwise harm consumers.  In today’s surveillance economy, the consumer is often the product. Consumer data powers the advertising machine that goes right back to the consumer. But when companies use consumers’ sensitive health data for marketing and advertising purposes, such as by sending that data to marketing firms via tracking pixels on websites or software development kits on apps, watch out. BetterHelpGoodRxPremom, and Flo make clear that practices like that may run afoul the FTC Act if they violate privacy promises or if the company fails to get consumers’ affirmative express consent for the disclosure of sensitive health information. GoodRx and Premom underscore that this conduct may also violate the Health Breach Notification Rule, which requires notification to consumers, the FTC, and, in some cases, the media, of disclosures of health information without consumers’ authorization. Need to understand more about the implications of tracking? Check out FTC guidance on pixel tracking and FTC-HHS joint letters to hospitals and telehealth providers for more information on tracking-related privacy concerns. プライバシーの約束に反する、あるいは消費者に害を与えるような裏側の追跡技術を使わない。  今日の監視経済では、消費者が商品であることが多い。消費者データは広告マシンの原動力となり、消費者に還元される。しかし、企業がマーケティングや広告の目的で消費者の機密性の高い健康データを使用する場合、例えばウェブサイト上のトラッキングピクセルやアプリ上のソフトウェア開発キットを通じてマーケティング会社にデータを送信する場合は、注意が必要だ。 BetterHelp、GoodRx、Premom、そしてFloは、このような行為がプライバシーに関する約束に違反する場合、あるいは機密性の高い健康情報の開示について消費者の積極的な明示的同意を得られなかった場合、FTC法に抵触する可能性があることを明らかにしている。 GoodRxとPremomは、このような行為は、消費者の承認なしに健康情報が開示された場合、消費者、FTC、そして場合によってはメディアへの通知を義務付ける健康情報漏洩通知規則にも違反する可能性があることを強調している。トラッキングの意味についてもっと理解する必要があるか?トラッキング関連のプライバシーに関する懸念については、ピクセルトラッキングに関するFTCのガイダンスや、病院や遠隔医療プロバイダに対するFTCとHHSの共同書簡をチェックしよう。
Don’t share consumers’ health information improperly – and don’t receive it either.  After cases like BetterHelp, GoodRx, Premom, and Flo, it’s pretty clear that unauthorized disclosure of consumers’ health information to other companies can land the sender of that data in hot water. But, depending on the facts, the recipient of that data could also face liability under Section 5. If you receive information from other companies for advertising or marketing purposes (for example), you may have a responsibility under Section 5 to take steps (such as procedural and technical measures) to ensure you don’t engage in the unauthorized receipt, use, or onward disclosure of sensitive information. Merely using a standard, out-of-the-box contract or terms of use to prohibit sending certain information may not be enough. 消費者の健康情報を不適切に共有してはならない。  BetterHelp、GoodRx、Premom、そしてFloのような事例を経て、消費者の健康情報を他社に不正に開示すると、そのデータの送信者が窮地に陥る可能性があることは明らかだ。しかし、事実関係によっては、データの取得者も第5条の責任を問われる可能性がある。広告やマーケティング目的で他社から情報を受け取る場合(例えば)、第5条に基づき、機密情報の不正な受領、使用、または外部への開示に関与しないようにするための措置(手続き的、技術的措置など)を講じる責任があるかもしれない。標準的な契約書や利用規約で特定の情報の送信を禁止するだけでは不十分かもしれない。
Insist your technology people and compliance staff communicate about your company’s privacy practices.  Does the right hand know what the left hand is doing? Companies using tracking technologies sometimes protest that their technical staff used pixels or software development kits without letting their compliance folks know. A key to compliance is to understand all of your data flows, regardless of which department or staff is in charge of the data. Start by mapping how data comes into your company and how it moves once it’s there. What are all of the sources of the personal information in your company’s possession? How are you using and disclosing it? Are your privacy safeguards keeping up with the data flows? Are your promises to consumers consistent with how your business actually uses their information? テクノロジー担当者とコンプライアンス担当者が、自社のプライバシー慣行についてコミュニケーションするよう主張する。右手は左手が何をしているか知っているか?トラッキング技術を使用している企業は、技術スタッフがコンプライアンス担当者に知らせずにピクセルやソフトウェア開発キットを使用したと抗議することがある。コンプライアンスの鍵は、どの部署やスタッフがデータを担当しているかにかかわらず、すべてのデータの流れを理解することである。まず、データが社内にどのように入ってきて、社内に入った後どのように移動するかをマッピングすることから始めよう。貴社が保有する個人情報のソースは何か?それをどのように使用し、開示しているのか?プライバシー保護措置はデータの流れに対応しているか?消費者への約束と、貴社による実際の情報使用方法は一致しているか?
HIPAA-related claims HIPAA関連の主張
“HIPAA Compliant,” “HIPAA Secure,” and similar claims may deceive consumers.  Compliance with HIPAA, the national law protecting the privacy of certain health information, has become a shorthand among patients and providers alike for health privacy protection. (Of course, businesses should keep in mind that Section 5 of the FTC Act also applies to most entities covered by HIPAA and requires companies to protect the privacy and security of consumers’ health information.) Not surprisingly, companies offering health-related products and services often want to tout HIPAA compliance to give consumers comfort – even if these companies aren’t actually covered by HIPAA or aren’t actually complying with HIPAA. FTC enforcement actions like GoodRxBetterHelpHenry Schein, and SkyMed make clear that HIPAA claims like that may deceive consumers, whether those consumers are health care providers (like the dentists in Henry Schein) or regular people (like the therapy patients in BetterHelp). Also, keep in mind that only one government agency – the Department of Health & Human Services’ Office for Civil Rights (OCR) – can determine if a company is compliant with HIPAA. Be careful about loose language suggesting some government imprimatur that doesn’t exist. Falsely conveying that kind of approval expressly or by implication violates the FTC Act. 「HIPAA準拠」、「HIPAAセキュア」、および同様の主張は、消費者を欺く可能性がある。  特定の医療情報のプライバシーを保護する国内法であるHIPAAへの準拠は、患者やプロバイダの間で、医療プライバシー保護の略語となっている。(もちろん、企業はFTC法第5条もHIPAAの対象となるほとんどの事業体に適用され、消費者の健康情報のプライバシーとセキュリティの保護を企業に求めていることを念頭に置くべきである)。当然のことながら、健康関連の製品やサービスを提供する企業は、消費者に安心感を与えるために、しばしばHIPAAに準拠していることを誇示したがる。たとえ、これらの企業が実際にはHIPAAの適用を受けていなかったり、HIPAAを遵守していなかったりしても、である。GoodRx、BetterHelp、Henry Schein、SkyMedのようなFTCの強制措置は、消費者が医療プロバイダ(Henry Scheinの歯科医のような)であろうと一般人(BetterHelpのセラピー患者のような)であろうと、このようなHIPAAクレームが消費者を欺く可能性があることを明らかにしている。また、企業がHIPAAを遵守しているかどうかを判断できるのは、厚生省市民権局(OCR)というたった一つの政府機関だけであることも覚えておこう。存在しない政府のお墨付きを示唆するような緩い表現には注意すること。その種の承認を明示的または暗示的に偽って伝えることは、FTC法に違反する。
Companies that provide HIPAA seals and certifications also may be liable for deceptive claims. Companies that provide certifications and seals about HIPAA compliance to other businesses should be aware of FTC precedent holding purported certifiers liable for deceptive representations. For example, in Tested Green, the FTC alleged that the seller of “green” seals and certifications provided other companies with the means to deceive consumers, because those seals weren’t backed up with evidence about real environmental practices. In ECM, the FTC proved in court that a company that gave its business customers labels and certificates bearing false claims about biodegradability had provided “the means and instrumentalities” to deceive downstream consumers. The same principles apply in the health context. If a company provides a health-related seal or certification to others that falsely implies that the recipient is covered by HIPAA, is complying with HIPAA, has been reviewed by a government agency, or has received government approval, both the certifier and the user of that false certification could be subject to FTC enforcement action. HIPAAシールや認証を提供する企業も、欺瞞的な主張に対して責任を負う可能性がある。 HIPAAコンプライアンスに関する認証やシールを他の企業に提供する企業は、認証者と称する者が欺瞞的表示に対して責任を負うとしたFTCの判例に注意すべきである。例えば、Tested Greenでは、FTCは、「グリーン」シールや認証の販売者が、それらのシールが実際の環境慣行に関する証拠に裏付けられていないため、消費者を欺く手段を他社に提供したと主張した。ECMでは、FTCは、生分解性に関して虚偽の主張が記載されたラベルや証明書を企業顧客に与えた企業が、川下の消費者を欺く「手段と手段」を提供したことを法廷で証明した。同じ原則が健康面でも適用される。取得者がHIPAAの対象である、HIPAAを遵守している、政府機関の審査を受けている、政府の承認を受けている、などと偽った健康関連のシールや証明書を企業が他人に提供した場合、証明者とその偽の証明書の使用者の両方がFTCの強制措置の対象となる可能性がある。
Other Health Privacy Practices その他の医療プライバシー慣行
Reserving the right to make big changes to your privacy policy isn’t real consent.  It may be tempting to use your privacy policy to reserve the right to change your health data practices, so that any continued use of your service constitutes “consent” to the changes. Not so fast. The FTC’s action in Vitagene makes clear that’s not a lawful means for obtaining consent for material retroactive privacy policy changes. Importantly, the Vitagene complaint, which builds on (and goes beyond) the Gateway Learning and Facebook complaints, says the company’s material retroactive changes were unfair even though the company had not yet implemented them. Vitagene underscores that announcing future broad data-sharing practices in that way can create a likelihood of substantial injury to consumers who never agreed to that sharing. Remember that a touchstone of FTC Act compliance is that consumers – not you – should be in control of their data and empowered to make real decisions about it. プライバシーポリシーを大きく変更する権利を留保することは、本当の同意ではない。 プライバシー・ポリシーを利用して、健康データ慣行を変更する権利を留保し、サービスの継続的な利用がその変更に対する「同意」となるようにすることは、魅力的かもしれない。そうはいかない。VitageneにおけるFTCの措置は、重要な遡及的プライバシーポリシーの変更に対する同意を得るための合法的な手段ではないことを明確にしている。重要なのは、ゲートウェイ・ラーニングとフェイスブックの訴えを基礎とする(そしてそれを超える)Vitageneの訴えは、同社がまだ実施していないにもかかわらず、同社の重大な遡及的変更が不公正であるとしていることだ。 Vitagene社は、このような形で将来の広範なデータ共有慣行を発表することは、その共有に同意していない消費者に実質的な損害を与える可能性があることを強調している。FTC法遵守の試金石は、消費者-あなたではなく-が自分のデータを管理し、それについて真の決定を下す権限を与えられるべきであるということであることを忘れてはならない。
Hidden euphemisms don’t cut it.  Rather than living up to their legal obligation to tell consumers the whole truth, some companies hide key terms about data practices in dense privacy policies or terms of service filled with ambiguous language that cloaks how they really use consumers’ health information. For example, too many companies make enigmatic references in privacy policies to the “disclosure of information about the use of the services” when they should be laying their cards on the table by saying prominently (think front-and-center on the home page) “We share your health information with third-party advertising companies so that we can target you with ads.” Euphemisms hidden in privacy policies can be unfair and deceptive. Even if you slip one past consumers, the FTC isn’t fooled. The orders in our recent health privacy cases uniformly require affirmative express consent – consent that can be obtained only following a clear and conspicuous disclosure of all material facts. Hiding the ball and “clear and conspicuous” don’t mesh. 隠された婉曲表現は通用しない。  消費者に真実をすべて伝えるという法的義務を果たすどころか、一部の企業は、消費者の健康情報を実際にどのように利用しているかを隠蔽する曖昧な表現で埋め尽くされた緻密なプライバシーポリシーや利用規約の中に、データ実務に関する重要な用語を隠している。例えば、プライバシーポリシーの中で、"サービスの利用に関する情報の開示 "という謎めいた表現をしている企業が多すぎる。本来であれば、"あなたの健康情報をサードパーティーの広告会社と共有します。プライバシーポリシーに隠された婉曲表現は、不公正で欺瞞的なものになりかねない。たとえ消費者の目をすり抜けたとしても、FTCは騙されない。最近の健康プライバシーに関する訴訟における命令は、一様に肯定的な明示的同意を要求している。同意は、すべての重要な事実について明確かつ目立つように開示された後にのみ得ることができる。ボールを隠すことと「明確かつ目立つ」ことはかみ合わない。
You may be liable under the FTC Act for what you say and for what you don’t say.  You may think the FTC won’t come your way because you aren’t saying anything wrong, so there’s no “deception.” Not necessarily so. The FTC’s complaints against BetterHelpPractice Fusion, and PaymentsMD make clear that you may be deceiving consumers not only by what you say, but also by what you fail to say. It’s crucial to disclose all material information to consumers about how you’re using and disclosing their sensitive health information. And BetterHelp, Premom, and GoodRx make clear that if your practices harm consumers, you may face FTC enforcement action, regardless of who said what. FTC法では、言ったことにも言わないことにも責任を負う可能性がある。  間違ったことは言っていないから、「欺瞞」はないのだから、FTCがあなたのところに来ることはないと思うかもしれない。必ずしもそうではない。BetterHelp、Practice Fusion、PaymentsMDに対するFTCの苦情は、あなたが言ったことだけでなく、言わなかったことでも消費者を欺いている可能性があることを明らかにしている。消費者に対し、機密性の高い医療情報をどのように使用し、開示しているかについて、すべての重要な情報を開示することは極めて重要である。そして、BetterHelp、Premom、GoodRxは、消費者に危害を加えるような行為を行った場合、誰が何を言ったかに関係なく、FTCの強制措置に直面する可能性があることを明らかにしている。
Health privacy: A top priority for the FTC – and for your company 健康プライバシー: FTCにとって、そして貴社にとって最優先事項である。
The FTC Act protects biometric data.  Since announcing its Biometric Policy Statement in May, the FTC has brought enforcement actions about voice data (Amazon/Alexa), video data (Ring), and DNA information (Vitagene). DNA data is particularly sensitive because it conveys information not only about you, but also people you’re related to. The FTC has also issued guidance about selling genetic testing kits, and Vitagene shows that the FTC will back guidance up with enforcement action. As these cases demonstrate, it’s of paramount importance that companies collecting this sensitive data keep it safe. FTC法は生体データを保護している。  5月に生体データに関する政策声明を発表して以来、FTCは音声データ(Amazon/Alexa)、ビデオデータ(Ring)、DNA情報(Vitagene)について強制措置を取っている。DNAデータは、あなた自身に関する情報だけでなく、あなたの血縁関係のある人々に関する情報でもあるため、特に注意が必要だ。FTCは遺伝子検査キットの販売に関するガイダンスも発表しており、VitageneはFTCがガイダンスを強制措置でバックアップすることを示している。これらの事例が示すように、このようなセンシティブなデータを収集する企業は、その安全を守ることが最も重要である。
Reproductive information should be protected from prying eyes.  It’s no coincidence that the FTC has brought two actions focused on fertility apps (Premom and Flo) and issued guidance on reproductive privacy (among other issues). This is an area of crucial importance to consumers – and so it’s of crucial importance to us. Companies dealing with this data are on notice that half-measures to protect privacy and security aren’t enough. 保護情報は詮索好きな目から守られるべきである。  FTCが不妊治療アプリ(PremomとFlo)に焦点を当てた2つの訴訟を起こし、生殖に関するプライバシーに関するガイダンス(他の問題の中で)を発表したのは偶然ではない。これは消費者にとって極めて重要な分野であり、我々にとっても極めて重要である。このデータを扱う企業は、プライバシーとセキュリティを保護するための中途半端な対策では不十分であることに気づいている。
There’s a lot at stake. There’s always been a lot at stake for consumers whose health data is exposed or misused. But some stakeholders have said there hasn’t been enough at stake for the companies responsible. That argument doesn’t hold water in the wake of the FTC’s recent series of health and other cases. The BetterHelpGoodRx, and Premom orders banned those companies from disclosing health data for advertising purposes – a sea change in the current advertising ecosystem. Recent orders have also required companies to pony up major money – from tens of thousands to millions of dollars in consumer redress (BetterHelp, Vitagene) or civil penalties (GoodRx, PreMom) – and to instruct recipients to delete data (BetterHelpGoodRxPremomFlo) or DNA specimens (Vitagene). Other orders have held individuals liable for their companies’ security practices (Drizly) or required companies to delete models and algorithms based on ill-gotten data (Amazon/AlexaRingWeight Watchers/Kurbo). The upshot? Violating the law can be an expensive proposition for your company. Think twice (or thrice or more) before making decisions that could harm your customers and land you in legal hot water. 多くの問題がある。 健康データが流出したり悪用されたりする消費者にとっては、常に多くの問題がある。しかし、一部の利害関係者は、責任を負う企業には十分な危機がないと述べてきた。FTCの最近の一連の健康事件やその他の事件を受けて、その主張は通用しない。ベターヘルプ(BetterHelp)、グッドレックス(GoodRx)、プレモム(Premom)の各命令は、これらの企業が広告目的で健康データを開示することを禁止した。最近の命令はまた、企業に対し、数万ドルから数百万ドルの消費者救済金(ベターヘルプ、ビタジーン)や民事罰(グッドレックス、プレママ)、データの削除(ベターヘルプ、グッドレックス、プレママ、フロ)やDNA検体(ビタジーン)を取得者に指示するよう求めている。その他の命令では、企業のセキュリティ慣行について個人に責任を負わせたり(Drizly)、不正に入手したデータに基づくモデルやアルゴリズムを削除するよう企業に求めたり(Amazon/Alexa、Ring、Weight Watchers/Kurbo)している。結局のところ?法律に違反することは、企業にとって高くつく可能性がある。顧客に危害を加え、法的な問題に発展する可能性のある決定を下す前に、二度(あるいは三度以上)考えることだ。

 

1_20230805072101

 

| | Comments (0)

中国 国家サイバースペース管理局「個人情報保護遵守監査管理弁法(意見募集案) 」

こんにちは、丸山満彦です。

中国の個人情報保護は、さらに規制が強化されるんですかね。。。監査ですよ。。。

  • 100万人以上の個人情報を取り扱う個人情報処理事業者は、少なくとも1年に1回
  • その他の個人情報処理事業者は、少なくとも2年に1回

監査をすることになるようですね。。。

 

● 中央网安全和信息化委公室 (Cyberspace Administration of China: CAC)

・2023.08.03 国家互联网信息办公室关于《个人信息保护合规审计管理办法(征求意见稿)》公开征求意见的通知

个人信息保护合规审计管理办法 個人情報保護遵守監査管理弁法
(征求意见稿) (意見募集案) 
第一条 为指导、规范个人信息保护合规审计活动,提高个人信息处理活动合规水平,保护个人信息权益,根据《中华人民共和国个人信息保护法》等法律、行政法规和国家有关规定,制定本办法。 第1条 本弁法は、中華人民共和国個人情報保護法及びその他の法律、行政法規、関連国家法規に基づき制定され、個人情報保護遵守監査活動を指導、規制し、個人情報処理活動の遵守レベルを向上させ、個人情報の権益を保護することを目的とする。
第二条 个人信息处理者定期开展个人信息保护合规审计,或者按照履行个人信息保护职责的部门要求委托专业机构对其个人信息处理活动进行合规审计,以及对个人信息保护合规审计活动的监督管理适用本办法。 第2条 本措置は、個人情報保護実施主管部門の要求に基づき、個人情報保護遵守監査を定期的に実施し、または専門機関に委託して個人情報処理活動の遵守監査を実施する個人情報取扱事業者、および個人情報保護遵守監査活動の監督・管理に適用する。
第三条 本办法所称个人信息保护合规审计,是指对个人信息处理者的个人信息处理活动是否遵守法律、行政法规的情况进行审查和评价的监督活动。 第3条 本施策にいう個人情報保護遵守監査とは、個人情報取扱事業者の個人情報取扱活動が法令及び行政法規に適合しているかどうかを調査・評価する監督活動である。
第四条 处理超过100万人个人信息的个人信息处理者,应当每年至少开展一次个人信息保护合规审计;其他个人信息处理者应当每二年至少开展一次个人信息保护合规审计。 第4条 100万人以上の個人情報を取り扱う個人情報処理事業者は、少なくとも1年に1回、その他の個人情報処理事業者は、少なくとも2年に1回、個人情報保護遵守監査を実施しなければならない。
第五条 个人信息处理者自行开展个人信息保护合规审计,可根据实际情况,由本组织内部机构或者委托专业机构按照本办法要求开展。 第5条 個人情報取扱事業者は、自ら個人情報保護遵守監査を実施しなければならないが、実情に応じて、本措置の要求に従い、組織の内部組織で実施し、又は専門機関に委託して実施することができる。
第六条 履行个人信息保护职责的部门在履行职责中,发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。 第6条 個人情報保護責任部門は、その職務を遂行する過程において、個人情報処理活動においてより高いリスクがあると認めた場合、または個人情報セキュリティインシデントが発生したと認めた場合、個人情報処理事業者に対し、その個人情報処理活動に関する遵守監査の実施を専門機関に委託するよう要求することができる。
第七条 个人信息处理者按照履行个人信息保护职责的部门要求开展个人信息保护合规审计的,应当在收到通知后尽快按照要求选定专业机构进行个人信息保护合规审计。 第7条 個人情報処理事業者は、個人情報保護業務を行う部門からの求めに応じて個人情報保護遵守監査を実施する必要がある場合には、その通知を受けた後、速やかに、その求めに応じて個人情報保護遵守監査を実施する専門機関を選定しなければならない。
第八条 个人信息处理者按照履行个人信息保护职责的部门要求委托专业机构开展个人信息保护合规审计的,应当保证专业机构能够正常行使下列权限: 第8条 個人情報取扱事業者は、個人情報保護主管部署の求めに応じて専門機関に個人情報保護遵守監査を委託する場合、当該専門機関が次に掲げる権限を適切に行使できるようにしなければならない:
(一)要求提供或者协助查阅相关文件或资料; (1) 関連文書または情報へのアクセスを要求し、またはその提供を支援すること;
(二)进入个人信息处理活动相关场所; (2) 個人情報処理活動に関連する施設に立ち入ること;
(三)观察场所内发生的个人信息处理活动; (3) 構内で行われている個人情報処理活動を観察すること;
(四)调查相关业务活动及所依赖的信息系统; (4) 関連する事業活動およびそれらが依拠する情報システムを調査すること;
(五)检查、测试个人信息处理活动相关设备设施; (5) 個人情報処理活動に関連する機器及び設備を検査し、試験すること;
(六)调取、查阅个人信息处理活动相关数据或信息; (6) 個人情報処理活動に関連するデータ又は情報にアクセスし、これを閲覧すること;
(七)访谈与个人信息处理活动有关的人员; (7) 個人情報処理活動に関係する者から事情を聴くこと;
(八)就相关问题进行调查、质询和取证; (8) 関連事項について調査し、質問し、及び証拠調べをすること;
(九)其他开展合规审计工作所必需的权限。 (9) その他適合性監査に必要な権限を有すること。
第九条 个人信息处理者按照履行个人信息保护职责部门要求委托专业机构开展个人信息保护合规审计的,应当在90个工作日内完成个人信息保护合规审计;情况复杂的,报经履行个人信息保护职责的部门批准后可适当延长。 第9条 個人情報処理者は、個人情報保護責任部門の要求に従い、専門機関に個人情報保護遵守監査を委託する場合、90営業日以内に個人情報保護遵守監査を完了しなければならない。
第十条 个人信息处理者按照履行个人信息保护职责部门要求委托专业机构开展个人信息保护合规审计的,应当按照本办法要求组织实施个人信息保护合规审计,在实施必要合规审计程序后,及时将专业机构出具的个人信息保护合规审计报告报送履行个人信息保护职责的部门。个人信息保护合规审计报告应当由合规审计负责人、专业机构负责人签字并加盖专业机构公章。 第10条 個人情報処理機関は、個人情報保護実施責任部門の要求に従い、専門機関に個人情報保護遵守監査の実施を委託し、本弁法の要求に従い、個人情報保護遵守監査を組織し、実施し、必要な遵守監査手続きを実施した後、専門機関が発行した個人情報保護遵守監査報告書を速やかに個人情報保護実施責任部門に提出しなければならない。 個人情報保護遵守監査報告書には、遵守監査責任者、専門機関の責任者が署名し、専門機関の公印を押さなければならない。
第十一条 个人信息处理者按照履行个人信息保护职责的部门要求委托专业机构开展个人信息保护合规审计的,应当按照专业机构给出的整改建议进行整改,经专业机构复核后将整改情况报送履行个人信息保护职责的部门。 第11条 個人情報取扱事業者は、個人情報保護責任部門の要請により、専門機関に個人情報保護遵守監査を委託した場合、専門機関が提示した是正案に従って是正を行い、専門機関の審査を経て、個人情報保護責任部門に是正状況を報告しなければならない。
第十二条 执行个人信息保护合规审计的专业机构应当保持独立性和客观性,连续为同一审计对象开展个人信息保护合规审计不得超过三次。 第12条 個人情報保護遵守監査を実施する専門機関は、独立性と客観性を維持しなければならず、同一の被監査者に対して、連続して3回以上個人情報保護遵守監査を実施してはならない。
第十三条 国家网信部门会同公安机关等国务院有关部门按照统筹规划、合理布局、择优推荐的原则建立个人信息保护合规审计专业机构推荐目录,每年组织开展个人信息保护合规审计专业机构评估评价,并根据评估评价情况动态调整个人信息保护合规审计专业机构推荐目录。 第13条 国家インターネット情報部門は、国務院の公安機関及びその他の関連部門と協力し、総合的な計画、合理的な配置、最良の推薦の原則に基づき、個人情報保護遵守監査専門機関の推薦名簿を制定し、毎年個人情報保護遵守監査専門機関の評価・査定を組織し、評価・査定の状況に応じて、個人情報保護遵守監査専門機関の推薦名簿を動的に調整する。
鼓励个人信息处理者优先选择推荐目录中的专业机构开展个人信息保护合规审计活动。 個人情報取扱事業者に対し、推奨名簿の専門機関を優先的に選定し、個人情報保護遵守監査活動を行うよう奨励する。
第十四条 专业机构在从事个人信息保护合规审计活动时,应当诚信正直,公正客观地作出合规审计职业判断。 第14条 専門機関は、個人情報保護遵守監査活動に従事する際、誠実かつ高潔でなければならず、公正かつ客観的に遵守監査の専門的判断を行わなければならない。
专业机构不得转包委托第三方开展个人信息保护合规审计。 専門機関は、個人情報保護遵守監査の実施を第三者に再委託してはならない。
专业机构在履行个人信息保护合规审计职责中获得的信息,只能用于个人信息保护合规审计的需要,不得用于其他用途;专业机构应当对获得的信息承担保密责任;专业机构应当采取相应技术措施和其他必要措施,保障数据安全。 専門機関は、個人情報保護遵守監査の業務遂行上知り得た情報は、個人情報保護遵守監査の必要性のみに使用し、他の目的に使用してはならない。専門機関は、知り得た情報の秘密保持責任を負い、専門機関は、データの安全保護のために適切な技術的措置及びその他の必要な措置を講じなければならない。
专业机构在履行个人信息保护合规审计职责时不得恶意干扰个人信息处理者的正常经营活动。 専門機関は、個人情報保護遵守監査の職務を遂行する際、個人情報取扱事業者の正常な事業活動を悪意を持って妨害してはならない。
专业机构有出具虚假、失实报告等违规行为的,个人信息处理者及相关方可向履行个人信息保护职责的部门进行投诉,经履行个人信息保护职责的部门核实的,永久禁止列入个人信息保护合规审计专业机构推荐目录。 専門機関が虚偽または不正確な報告、その他の不正行為を行った場合、個人情報処理機関と関係者は個人情報保護実施責任部門に告発することができ、個人情報保護実施責任部門が確認した場合、個人情報保護遵守監査専門機関の推薦目録に永久に掲載することを禁止する。
第十五条 违反本办法规定的,依据《中华人民共和国个人信息保护法》等法律法规处理;构成犯罪的,依法追究刑事责任。 第15条 本弁法の規定に違反した場合、中華人民共和国個人情報保護法及びその他の法律法規に基づいて処理し、犯罪に該当する場合は、法律に基づいて刑事責任を追及する。
第十六条 本办法由国家互联网信息办公室负责解释,自 年 月 日起施行。 第16条 本弁法は国家インターネット情報弁公室が解釈し、X年X月X日から施行する。
附件:个人信息保护合规审计参考要点 附属書:個人情報保護遵守監査の参考事項
个人信息保护合规审计参考要点 個人情報保護遵守監査の参考事項
第一条 本要点依据《中华人民共和国个人信息保护法》等法律、行政法规和国家标准的强制性要求制定,为开展个人信息保护合规审计提供参考。 第1条 本要点は、「中華人民共和国個人情報保護法」及びその他の法律、行政法規、国家標準の強制要求に基づいて制定され、個人情報保護遵守監査実施の参考となる。
第二条 个人信息保护合规审计应当首先审查个人信息处理活动的合法性基础条件,重点审查下列事项: 第2条 個人情報保護遵守監査は、まず個人情報処理活動の合法性基礎条件を審査し、次の事項を重点的に審査する:
(一)处理个人信息是否取得个人同意,该同意是否在个人信息主体充分知情的前提下自愿、明确作出; (1) 個人情報の取扱いについて本人の同意が得られているかどうか、及びその同意が、個人情報の主体に関する十分な情報の提供を前提として、自主的かつ明確に行われているかどうか;
(二)基于个人同意处理个人信息,个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,是否重新取得个人同意; (2) 個人情報の取扱いに関する本人の同意に基づき、個人情報の取扱いの目的、取扱い方法又は取扱う個人情報の種類が変更された場合において、改めて本人の同意が得られているか;
(三)基于个人同意处理个人信息,是否为个人提供便捷的撤回同意的方式; (3) 本人の同意に基づく個人情報の取扱いに関する同意を撤回することができる便宜が図られているか;
(四)基于个人同意处理个人信息,是否对个人同意的操作进行记录; (4) 本人の同意に基づく個人情報の取扱いに関する記録の有無
(五)基于个人同意处理个人信息,是否存在以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务的情况;处理个人信息属于提供产品或者服务所必需的除外; (5) 本人の同意に基づく個人情報の取扱いについては、商品又は役務の提供に必要な場合を除き、本人が同意しないこと又は同意を撤回したことを理由として、商品又は役務の提供を拒むことがないか;
(六)处理个人信息未取得个人同意,是否属于法律、行政法规规定不需取得个人同意的情形。 (6) 本人の同意を得ないで個人情報を取り扱うことは、法令又は行政規則で本人の同意を要しないこととされている場合であるか。
第三条 对个人信息处理规则进行审计时,应当重点审查下列事项: 第3条 個人情報取扱規程の監査にあたっては、次に掲げる事項を重点的に監査するものとする:
(一)是否真实、准确、完整地告知个人信息处理者的名称或者姓名和联系方式; (1) 個人情報取扱事業者の氏名又は名称及び連絡先が、真実、正確かつ完全に伝達されているか;
(二)是否以清单形式列明所收集的个人信息及其处理目的、方式、范围; (2) 収集した個人情報並びにその処理の目的、方法及び範囲が一覧表形式により定められているか;
(三)是否明确个人信息存储期限或者存储期限的确定方法、到期后的处理方式,以及确保存储期限为实现处理目的所必要的最短时间; (3) 個人情報の保存期間又は保存期間の決定方法、保存期間満了時の処理方法及び保存期間が処理目的の達成に必要な最小限度の期間であることを定めているか;
(四)是否明确个人查阅、复制、加工、转移、更正、补充、删除、公开、限制处理个人信息以及注销账号、撤回同意的途径和方法; (4) 個人情報へのアクセス、複写、加工、転送、訂正、補足、削除、開示、取扱いの制限、利用停止、同意の撤回等の手段及び方法が特定されているか;
(五)向第三方提供个人信息的,是否明确向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,是否取得个人的单独同意; (5) 個人情報を第三者に提供する場合には、提供先の氏名又は名称、連絡先、利用目的、処理方法、個人情報の種類を明確に通知し、本人の同意を得ること;
(六)法律、行政法规规定的其他事项。 (6) その他法令で定める事項
第四条 个人信息处理者处理个人信息应当履行告知义务,审计时应当重点审查下列事项: 第4条 個人情報取扱事業者は、個人情報の取扱いに際して通知義務を履行するものとし、監査においては、次に掲げる事項を重点的に審査するものとする:
(一)个人信息处理者在处理个人信息前,是否以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息处理规则; (1) 個人情報取扱事業者が、個人情報を取り扱う前に、個人情報の取扱いに関する規程等を、見やすい方法で、理解しやすい言語により、真実、正確かつ完全な形で、本人に通知しているかどうか;
(二)告知文本的大小、字体和颜色是否便于个人完整阅读告知事项; (2) 届出の文字の大きさ、字体及び色彩が、本人が当該届出を完全に読むことを容易にするものであるかどうか;
(三)线下告知是否通过标注、说明等多种方式向个人履行告知义务; (3) オフラインの通知が、表示や説明など様々な方法で個人への通知義務を果たしているか;
(四)在线告知是否提供文本信息或者通过适当方式向个人履行告知义务; (4) オンライン通知が、文字情報を提供するか、または適切な手段によって個人に対する通知義務を果たしているかどうか;
(五)个人信息处理规则发生变更的,是否将变更内容及时告知个人。 (5) 個人情報処理のルールに変更があった場合、その変更が適時に本人に通知されているかどうか。
第五条 个人信息处理者存在与他人共同处理个人信息情形的,应当重点审查下列事项: 第5条 個人情報取扱事業者は、個人情報を共同して取扱う場合には、次に掲げる事項について重点的に検討しなければならない:
(一)是否约定各自的权利义务; (1) 各当事者の権利義務関係が合意されているか;
(二)各方采取的个人信息保护措施; (2) 各当事者の個人情報保護措置の内容
(三)个人信息权益保护机制; (3) 個人情報の権利利益保護の仕組み
(四)个人信息安全事件报告机制; (4) 個人情報セキュリティインシデントの報告の仕組み
(五)侵害个人信息权益造成损害的,各方应当承担的责任; (5) 個人情報の権利利益の侵害により損害が生じた場合の各当事者の責任
(六)其他法律、行政法规规定需要约定的权利和义务。 (6) その他法令及び行政規則で定める権利義務であって、合意を必要とするもの
第六条 个人信息处理者存在委托处理个人信息情形的,应当重点审查下列事项: 第6条 個人情報処理事業者は、個人情報の取扱いを委託した場合には、次に掲げる事項について重点的に審査しなければならない:
(一)个人信息处理者在委托处理个人信息前,是否开展个人信息保护影响评估; (1) 個人情報処理事業者が、個人情報の取扱いを委託する前に、個人情報保護影響評価を実施しているかどうか;
(二)个人信息处理者与受托人签订的合同,是否约定了委托处理的目的、期限、方式及个人信息的种类、受托人应当采取的技术措施和管理措施、双方的权利义务等; (2) 個人情報処理事業者と委託先との間で締結された契約において、処理の委託を受ける個人情報の利用目的、期間、方法及び種類、委託先が講ずべき技術的及び管理的な措置並びに双方の権利及び義務について定められているか;
(三)个人信息处理者是否采取定期检查等方式,对受托人的个人信息处理活动进行监督,以确保委托处理个人信息的活动符合法律规定; (3) 委託を受けた個人情報の処理が法令の定めるところに従って行われていることを確保するため、個人情報処理事業者が委託者の個人情報の処理について定期的な検査その他の方法により監督を行っているか;
(四)受托人是否严格按照委托合同的约定处理个人信息,是否存在超出约定的处理目的、处理方式处理个人信息的情况; (4) 委託者が委託契約の合意事項に従って個人情報を厳正に取り扱っているか、また、合意された利用目的及び取扱方法を超えて個人情報を取り扱っている場合がないか;
(五)当委托合同不生效、无效、被撤销或者终止时,受托人是否将个人信息返还个人信息处理者或者予以删除; (5) 委託契約が不成立、無効、取消し、解除された場合に、委託先が個人情報を個人情報処理事業者に返還し、又は消去しているか;
(六)受托人是否存在转委托他人处理个人信息的情况,是否得到个人信息处理者的同意。 (6) 個人情報の取扱いの委託の有無及び個人情報処理事業者の同意の有無
第七条 个人信息处理者存在因合并、重组、分立、解散、被宣告破产等原因需要转移个人信息情形的,应当重点审查下列事项: 第7条 個人情報処理事業者は、合併、再編、分割、解散、破産等により個人情報を移転する必要が生じた場合には、次に掲げる事項について重点的に検討を行うものとする:
(一)个人信息处理者是否向个人告知接收方的名称或者姓名和联系方式; (1) 個人情報取扱事業者が、提供を受ける者の氏名又は名称及び連絡先を本人に通知しているか;
(二)接收方是否继续履行个人信息处理者的义务; (2) 個人情報取扱事業者の義務を引き続き履行しているか;
(三)接收方变更原先处理目的、处理方式的,是否依照法律、行政法规有关规定重新取得个人同意。 (3) 提供を受ける者が当初の処理目的及び処理方法を変更する場合には、法令等の定めに従い、改めて本人の同意を得るか。
第八条 个人信息处理者存在向其他个人信息处理者提供其处理的个人信息的,应当重点审查下列事项: 第8条 個人情報処理事業者は、その処理した個人情報を他の個人情報処理事業者に提供する場合には、次に掲げる事項について重点的に検討しなければならない:
(一)是否取得个人的单独同意; (1) 別途本人の同意を得ること;
(二)是否向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类; (2) 提供を受ける者の氏名又は名称、連絡先、利用目的、処理の方法及び個人情報の種類を本人に通知しているか;
(三)接收方是否在双方约定的处理目的、处理方式和个人信息的种类等范围内处理个人信息; (3) 提供先が、双方が同意した利用目的、処理の方法、個人情報の種類の範囲内で個人情報を取り扱っているか;
(四)变更处理目的、处理方式的,是否依照法律、行政法规规定重新取得个人同意; (4) 処理の目的及び態様を変更する場合には、法令等の定めに従い、改めて本人の同意を得ることとしているか;
(五)是否事前进行个人信息保护影响评估。 (5) 個人情報保護に与える影響をあらかじめ評価しているか。
第九条 个人信息处理者利用自动化决策处理个人信息的,审计时应当重点评价自动化决策的透明度和结果的公平性、公正性: 第9条 個人情報の処理者が自動意思決定を用いて個人情報を処理する場合、監査は、自動意思決定の透明性、結果の公正性及び公平性の評価に重点を置かなければならない:
(一)是否事前主动告知个人自动化决策处理个人信息的种类及可能带来的影响; (1) 自動的意思決定によって処理される個人情報の種類およびその影響の可能性について、個人が事前に主体的に知らされているかどうか;
(二)是否事前对算法模型进行安全评估,并按国家相关规定进行备案,以尽可能减少自动化决策算法模型存在的缺陷,当应用场景和主要功能发生变化时,是否对算法模型重新进行评估; (2) 自動意思決定のためのアルゴリズムモデルの欠陥を最小化するために、アルゴリズムモデルの安全性が事前に評価され、関連する国の規制に従って提出されているか、また、適用シナリオや主な機能が変更された場合にアルゴリズムモデルが再評価されているか;
(三)是否事前对算法模型进行科技伦理审查; (3) アルゴリズムモデルの科学技術倫理審査が事前に行われているかどうか;
(四)是否事前进行个人信息保护影响评估; (4) 個人情報保護影響評価を事前に実施しているか;
(五)是否向用户提供保障机制,以便用户可以通过便捷方式拒绝通过自动化决策方式作出对个人权益有重大影响的决定,或要求个人信息处理者就应用自动化决策方式作出对用户个人权益有重大影响的决定予以说明; (5) 自動意思決定により個人の権利利益に重大な影響を与える意思決定を行うことを、利用者が簡便な方法で拒否できるようなセーフガードメカニズムが提供されているかどうか、または、個人の権利利益に重大な影響を与える意思決定を行うための自動意思決定の適用について、個人情報の処理者が説明を提供することが義務付けられているかどうか;
(六)是否向用户提供删除或者修改用于自动化决策服务的针对其个人特征的用户标签功能; (6) 利用者の個人的特徴に特化した自動意思決定サービスで使用される利用者ラベルを削除または修正する機能を利用者に提供するかどうか;
(七)是否采取必要措施对算法和参数模型进行保护; (7) アルゴリズムおよびパラメータモデルを保護するために必要な措置が講じられているかどうか;
(八)是否对个人信息处理、标签管理、模型训练等自动化决策过程中的人工操作进行记录,防范人为恶意操纵自动化决策信息和结果; (8) 自動意思決定の過程における個人情報の処理、ラベルの管理、モデルの訓練などの手作業について、人による自動意思決定の情報や結果の悪意ある操作を防止するための記録が残されているかどうか;
(九)向个人进行信息推送、商业营销时,是否同时提供不针对个人特征的选项,或者提供便捷的拒绝自动化决策服务的方式; (9) 情報や商業マーケティングを個人にプッシュする際、個人的特徴をターゲットにしないという選択肢が同時に提供されているか、または自動意思決定サービスを拒否する便利な方法が提供されているかどうか;
(十)是否采取了有效措施,防止自动化决策根据消费者的偏好、交易习惯等对个人在交易条件上实行不合理的差别待遇; (10) 自動意思決定が、消費者の嗜好や取引習慣等に基づく取引条件について、個人に対して不合理な差別的取扱いを適用することを防止するための効果的な措置が講じられているかどうか;
(十一)其他可能影响自动化决策的透明度和结果公平、公正的事项。 (11) その他、自動意思決定の透明性及び結果の公正性・公平性に影響を及ぼすおそれのある事項
第十条 个人信息处理者存在公开其处理的个人信息情形的,应当重点审查下列事项: 第10条 個人情報処理事業者は、その取り扱う個人情報を公表する場合には、次に掲げる事項について重点的に審査しなければならない:
(一)个人信息处理者公开其处理的个人信息前是否取得个人单独同意,该授权是否真实、有效,是否存在违背个人意愿将个人信息予以公开的情况; (1) 個人情報処理事業者が取り扱う個人情報を開示する前に、当該個人情報処理事業者が別途本人の同意を得ているかどうか、その同意が真実かつ有効なものであるかどうか、本人の意思に反して個人情報が開示される事態が発生していないかどうか;
(二)个人信息处理者公开个人信息前,是否进行了个人信息保护影响评估。 (2) 個人情報処理事業者が、個人情報を開示する前に、個人情報保護影響評価を行ったかどうか。
第十一条 个人信息处理者在公共场所安装图像采集、个人身份识别设备的,应当重点对其安装图像采集、个人信息身份识别设备的合法性及所收集个人信息的用途进行审查。审查内容包括但不限于: 第11条 個人情報処理事業者は、公共の場所に撮像装置及び個人認証装置を設置する場合、撮像装置及び個人認証装置の設置の適法性及び収集した個人情報の利用について重点的に検討しなければならない。 審査には以下が含まれるが、これに限定されるものではない:
(一)是否为维护公共安全所必需,是否存在为商业目的处理所采集信息的情况; (1) 公共の安全の維持のために必要かどうか、収集された情報の処理に商業的目的があるかどうか;
(二)是否设置了显著的提示标志; (2) 目立つ注意書きが設置されているかどうか;
(三)若个人信息处理者所收集的个人图像、身份识别信息用于维护公共安全以外用途的,是否取得个人单独同意。 (3) 個人情報処理事業者が収集した個人画像及び個人識別情報を公共の安全の維持以外の目的のために利用する場合には、本人の同意が得られているかどうか。
第十二条 个人信息处理者处理已公开个人信息的,审计时应当重点审查个人信息处理者是否存在下列违规行为: 第12条 個人情報取扱事業者が、公開個人情報を取り扱う場合、監査は、当該個人情報取扱事業者が次の各号のいずれかに該当するか否かに重点を置いて行わなければならない:
(一)向已公开个人信息中的电子邮箱、手机号等发送与其公开目的无关的信息; (1) 開示対象個人情報に含まれる電子メールアドレス、携帯電話番号等に、開示の目的とは関係のない情報を送信すること;
(二)利用已公开的个人信息从事网络暴力活动; (2) 開示対象個人情報を利用してサイバー暴力を行うこと;
(三)处理个人明确拒绝处理的已公开个人信息; (3) 本人が明示的に拒否した開示個人情報を処理すること;
(四)未取得个人同意处理已公开的个人信息对个人权益造成重大影响。 (4) 本人の同意を得ないで、本人の権利利益に重大な影響を及ぼす開示個人情報を処理すること。
第十三条 个人信息处理者处理敏感个人信息的,审计时应当重点审查下列事项: 第13条 個人情報処理事業者が機微な個人情報を取り扱う場合、監査は、次に掲げる事項を重点的に審査するものとする:
(一)处理生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感个人信息的,是否事前取得个人的单独同意; (1) バイオメトリクス、信教、特定個人情報、医療・保健、金融口座、所在・軌跡等の機微な個人情報の取扱いについて、あらかじめ本人の個別の同意を得ているか;
(二)处理不满十四周岁未成年人的个人信息,是否事前取得未成年人的父母或者其他监护人的同意; (2) 14歳未満の未成年者の個人情報を取り扱うことについて、あらかじめ、その保護者の同意を得ているか;
(三)处理敏感个人信息的目的、方式是否合法、正当、必要; (3) 機微な個人情報を取り扱う目的及び方法が適法、適法かつ必要なものであるか;
(四)敏感个人信息处理是否与提供商品或者服务、履行法定职责或者法定义务等特定的目的密切相关,是否以非必要不处理为原则; (4) 機微な個人情報の取扱いが、商品又はサービスの提供、法的義務又は法的義務の履行その他特定の目的に密接に関連し、かつ、必要な場合を除き取り扱わないという原則に基づいているかどうか;
(五)是否在事前进行个人信息保护影响评估,并向个人告知处理敏感个人信息的必要性以及对个人权益的影响; (5) 事前に個人情報保護に与える影響の評価を行い、機微な個人情報の取扱いの必要性及び本人の権利利益に与える影響を本人に周知しているか;
(六)法律、行政法规规定应当取得书面同意的,是否取得书面同意; (6) 法令及び行政規則で書面による同意を得ることが定められている場合には、書面による同意を得ているか;
(七)是否对处理敏感个人信息的过程进行了记录,以保障处理敏感个人信息流程合法合规。 (7) 機微な個人情報の取扱いが適法かつ適正なものであることを確保するため、機微な個人情報の取扱いの過程を記録しているか。
第十四条 个人信息处理者业务涉及处理不满十四周岁未成年人个人信息的,审计时应当重点审查下列事项: 第14条 個人情報処理事業者の業務において、14歳未満の未成年者の個人情報を取り扱う場合には、次に掲げる事項を重点的に監査するものとする:
(一)是否制定专门的未成年人个人信息处理规则; (1) 未成年者の個人情報の取扱いに関する特別の規程が定められているか;
(二)是否向未成年人及其监护人告知未成年人个人信息的处理目的、处理方式、处理必要性及处理个人信息的种类、所采取的保护措施等; (2) 未成年者及びその保護者に対し、未成年者個人情報の取扱いの目的、取扱い方法、取扱いの必要性、取扱う個人情報の種類及び保護措置について周知しているか;
(三)是否存在强制要求未成年人或者其监护人同意非必要的个人信息处理的行为。 (3) 未成年者又はその保護者に対し、必要性のない個人情報の取扱いに同意させる行為の有無
第十五条 个人信息处理者存在向境外提供个人信息情形的,应当重点审查下列事项: 第15条 個人情報処理事業者は、個人情報を国外に提供する場合には、次に掲げる事項について重点的に審査しなければならない:
(一)关键信息基础设施运营者和处理100万人以上个人信息的个人信息处理者向境外提供个人信息是否经过国家网信部门组织的安全评估; (1) 国外に個人情報を提供する100万人以上の個人情報を取り扱う重要情報インフラ事業者及び個人情報取扱事業者は、国家ネット情報部門が主催するセキュリティ評価を受けているかどうか;
(二)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的个人信息处理者向境外提供个人信息是否经过国家网信部门组织的安全评估; (2) 前年1月1日以降、累計で10万人分の個人情報または1万人分の機微な個人情報を提供した個人情報処理業者が、外国に個人情報を提供する場合、国家ネット情報部門が組織したセキュリティ評価を受けたかどうか;
(三)是否存在向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息的情形,若有,是否经过中华人民共和国主管机关批准; (3) 中華人民共和国に保存されている個人情報を外国の司法機関または法執行機関に提供する事例があるかどうか、提供する事例がある場合、中華人民共和国の主管機関の許可を得ているかどうか;
(四)中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的,是否按照其规定执行; (4) 中華人民共和国が締結または参加した国際条約および協定に、中華人民共和国の領域外における個人情報の提供条件が規定されている場合、その規定に従って履行されているかどうか;
(五)是否按照国家网信部门的规定,经专业机构进行个人信息保护认证或者按照国家网信部门制定的标准合同与境外接收方签订合同,或者符合法律、行政法规、国家网信部门规定的其他条件; (5) 国家インターネット情報サービスの規定に基づき、個人情報保護の専門機関の認証を受けたか、または国家インターネット情報サービスが制定した標準契約に基づき、海外の受取人と契約を締結したか、または法律、行政法規または国家インターネット情報サービスが規定したその他の条件を遵守したかどうか;
(六)是否了解境外接收方所在国家或者地区的个人信息保护政策和网络安全环境对出境个人信息的影响; (6) 海外受信者が所在する国または地域の個人情報保護政策およびネットワークセキュリティ環境が送信個人情報に与える影響を理解しているかどうか;
(七)是否存在违规向被列入限制或者禁止个人信息提供清单的组织和个人提供个人信息的情形。 (7) 個人情報提供制限または禁止リストに含まれる組織および個人に対して、個人情報を提供することに違反がないか。
第十六条 个人信息处理者向境外提供个人信息,应当采取必要措施,保障境外接收方处理个人信息的活动达到《中华人民共和国个人信息保护法》规定的个人信息保护标准。审计时应当重点审查个人信息处理者对境外接收方采取监督措施的有效性,包括但不限于: 第16条 自国の領域外で個人情報を提供する個人情報処理者は、自国の領域外における受領者の個人情報の取扱い活動が、中華人民共和国の「個人情報の保護に関する法律」に規定された個人情報保護基準に合致していることを確認するために、必要な措置を講じなければならない。 監査は、個人情報取扱事業者が国外の受領者に関して講じた監督措置の有効性を審査することに重点を置くものとし、以下を含むがこれに限定されない:
(一)是否了解和掌握境外接收方的情况,特别是接收方是否具备必要的个人信息保护能力; (1) 当該海外提供先の状況、特に当該海外提供先が必要な個人情報保護能力を有しているか否かを把握・理解しているか;
(二)是否向境外接收方告知我国法律、行政法规对个人信息保护的要求,并要求境外接收方采取相应的保护措施; (2) 個人情報保護に関する中国の法律および行政法規の要求をオフショア受領者に通知し、オフショア受領者に対応する保護措置を講じるよう要求しているかどうか;
(三)是否采取签订协议、定期核查等方式,督促境外接收方切实履行个人信息保护义务。 (3) 協定を締結し、定期的に確認するなどの方式を採用し、海外の受益者が個人情報保護義務を効果的に履行するよう促しているかどうか。
第十七条 对个人信息删除权保障情况进行审计时,应当重点审查下列情形个人信息删除的情况: 第17条 個人情報の削除権の保護を監査する場合、監査は、次に掲げる場合における個人情報の削除について重点的に検討するものとする:
(一)个人信息处理目的已实现、无法实现或者为实现处理目的不再必要; (1) 個人情報の処理目的が達成されたこと、達成することができなくなったこと又は処理目的の達成に必要でなくなったこと;
(二)停止提供产品或者服务,或者个人注销账号; (2) 商品またはサービスの提供の停止、または個人による口座の解約;
(三)达到与个人约定的存储期限; (3) 個人と合意した保管期間に達した場合;
(四)个人撤回同意; (4) 本人が同意を撤回する;
(五)因使用自动化采集技术等,无法避免采集到非必要个人信息或者未经同意的个人信息; (5) 自動収集技術の利用等により、必要性のない個人情報や同意のない個人情報の収集が避けられない場合;
(六)个人信息处理者违反法律、行政法规或者违反约定处理个人信息。 (6) 個人情報取扱事業者が、法令又は行政法規に違反し、又は契約に違反して個人情報を取り扱うとき。
法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者应当停止除存储和采取必要的安全措施之外的处理。 個人情報の処理者は、法令に定める保存期間を経過していない場合、または個人情報の削除が技術的に困難な場合には、保存および必要な安全措置を講じる以外の処理を中止するものとする。
第十八条 个人信息处理者应当保障个人行使个人信息权益的权利,审计时应当重点审查下列事项: 第18条 個人情報取扱事業者は、個人情報に関する個人の権利利益を保護し、監査の際には、次に掲げる事項について重点的に検討しなければならない:
(一)是否建立个人行使权利的申请受理机制; (1) 個人の権利行使の申込みを受け付ける仕組みの整備の有無
(二)是否向个人提供便捷的查阅、复制、转移、更正、补充、删除个人信息的方法; (2) 個人情報の照会、複写、移転、訂正、追加又は削除について、個人の便宜を図っているか;
(三)是否及时响应个人行使权利的申请,是否及时、完整、准确告知处理意见或者执行结果。 (3) 個人の権利行使の申請に対して適時に対応し、処理意見又は実施結果を適時、完全かつ正確に通知しているかどうか。
第十九条 个人信息处理者应当响应个人申请,对其个人信息处理规则进行解释说明,审计时应当重点对下列内容进行评价: 第19条 個人情報処理事業者は、本人からの申請に応じ、個人情報処理規程を説明するものとし、監査は、次に掲げる事項を重点的に評価するものとする:
(一)个人信息处理者是否提供便捷的方式和途径,接受、处理个人关于个人信息处理规则解释说明的要求; (1) 個人情報処理事業者が、本人からの個人情報処理規程の説明及び明示の求めに応じ、これを処理するための便宜を図る方法及び手段を提供しているか;
(二)接到个人的要求后,个人信息处理者是否在合理的时间内,使用通俗易懂的语言对其个人信息处理规则作出解释说明。 (2) 個人情報処理事業者は、本人からの求めに応じ、個人情報処理規程について、合理的な期間内に、分かりやすい言葉で説明しているか。
第二十条 个人信息处理者对个人信息保护承担主体责任,审计时应当重点对个人信息处理者履行主体责任情况进行评价,包括但不限于下列事项: 第20条 個人情報処理事業者は、個人情報の保護について主たる責任を負うものであり、監査は、個人情報処理事業者がその主たる責任を果たしているかどうかについて、次に掲げる事項を中心に行うものとする:
(一)个人信息保护制度制定、组织架构、管理程序与处理个人信息的性质、规模、复杂程度、风险程度的适应性; (1) 個人情報保護体制の策定、組織体制、管理手順及び個人情報の取扱いの性質、規模、複雑性及びリスクの程度への適合性;
(二)个人信息保护职责分工是否合理、职责是否明确、报告关系是否清晰; (2) 個人情報保護に関する責任分担が合理的であるか、職務分掌が明確であるか、報告関係が明確であるか;
(三)个人信息处理者为个人信息保护提供的人、财、物保障与企业业务规模、运营计划、个人信息合规风险管理的匹配性。 (3) 個人情報処理者が個人情報保護のために提供する個人的、財政的、物質的保護措置が、企業の事業規模、運営計画、個人情報遵守に関するリスク管理に適合しているかどうか。
第二十一条 个人信息处理者应当依照法律、行政法规的规定制定内部管理制度和操作规程,明确组织架构、岗位职责,建立工作流程、完善内控制度,保障个人信息处理合规与安全。审计时,应当重点对个人信息处理者个人信息保护内部管理制度和操作规程进行审查,包括但不限于: 第21条 個人情報処理者は、法令及び行政法規に基づき、内部管理体制及び業務手順を策定し、組織体制及び職責を明確にし、業務フローを確立し、内部管理体制を整備し、個人情報処理の遵守及び安全性を保護しなければならない。 監査に際しては、個人情報処理事業者の個人情報保護に関する内部管理体制及び業務手順について、次の事項を含むがこれに限定されない:
(一)个人信息保护工作的方针、目标、原则是否符合法律、行政法规规定; (1) 個人情報保護に関する指針、目的及び原則が法令及び行政法規に適合しているか;
(二)个人信息保护组织架构、人员配备、行为规范、管理责任是否与应当履行的个人信息保护责任相适应; (2) 個人情報保護に関する組織体制、人員、行動規範及び管理責任が、果たすべき個人情報保護の責務に適合しているか;
(三)是否根据个人信息的种类、来源、敏感程度、用途等,对个人信息进行分类,并采取有针对性的管理或者安全技术措施; (3) 個人情報の種類、出所、機微性及び利用目的に応じて個人情報が分類され、重点的な管理又は安全技術措置が講じられているか;
(四)是否建立个人信息安全事件应急响应机制; (4) 個人情報セキュリティインシデント発生時の緊急対応体制の整備の有無
(五)是否建立个人信息保护影响评估、合规审计制度; (5) 個人情報保護影響評価及び適合性監査体制の整備の有無
(六)是否建立畅通的个人信息保护投诉举报受理流程; (6) 個人情報保護に関する苦情及び相談を円滑に受け付ける体制を整備するかどうか;
(七)是否制定实施个人信息保护安全教育和培训计划; (7) 個人情報保護安全教育訓練プログラムを策定し、実施するかどうか;
(八)是否建立个人信息保护负责人及相关人员履职评价制度; (8) 個人情報保護管理者及び関係者の業績を評価する制度を設けるかどうか;
(九)是否建立针对个人信息处理相关人员的个人信息违规处置或者违规行为责任制度,并有效实施; (9) 個人情報取扱関係者の個人情報違反及び責任体制違反に対する措置を策定し、これを実効あるものとするか;
(十)法律、行政法规规定的其他内容。 (10) その他法令及び行政規則で定める内容
第二十二条 个人信息处理者应当采取与所处理个人信息规模、类型相适应的安全技术措施,并对个人信息处理者采取的技术措施的有效性进行评价,评价内容包括但不限于: 第22条 個人情報取扱事業者は、取り扱う個人情報の規模及び種類に応じ、適切な安全技術措置を講じるとともに、個人情報取扱事業者が講じた技術的措置の有効性を評価しなければならない:
(一)是否参照有关国家标准或者技术要求,采取相应安全技术措施实现个人信息的保密性、完整性、可用性; (1) 個人情報の機密性、完全性及び可用性を実現するために、関連する国の基準又は技術的要求事項を参照して、対応する安全技術措置を講じているかどうか;
(二)是否采取加密、去标识化等安全技术措施,确保在不借助额外信息的情况下,消除或者降低个人信息的可识别性; (2) 暗号化や非識別化のようなセキュリティ技術的措置が、個人情報の識別可能性を排除し、又は追加情報の助けなしに低減することを保証するために講じられているかどうか;
(三)采取的安全技术措施能否合理确定有关人员查阅、复制、传输等个人信息的操作权限,减少个人信息在处理过程中未经授权的访问和滥用风险。 (3) 講じられた安全技術措置が、個人情報へのアクセス、複写、送信その他の個人情報に関する関係者の操作権限を合理的に決定し、処理過程における個人情報への無権限アクセス及び個人情報の誤用のリスクを低減できるかどうか。
第二十三条 对个人信息处理者教育培训计划的制定和实施情况进行审计时,应当重点对下列事项进行评价: 第23条 個人情報取扱者の教育訓練計画の策定及び実施状況の監査に当たっては、次に掲げる事項を重点的に評価するものとする:
(一)是否按计划对管理人员、技术人员、操作人员、全员开展相应的安全教育和培训,是否对相应人员的个人信息保护意识和技能进行考核; (1) 管理者、技術者、作業者及び職員全体に対する対応する安全教育訓練が計画に沿って実施され、対応する職員の個人情報保護に関する意識及び技能が評価されているか;
(二)培训内容、培训方式、培训对象、培训频率等能否满足个人信息保护需要。 (2) 教育内容、教育方法、教育目標、教育頻度等が個人情報保護の必要性に適合しているか。
第二十四条 处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,对个人信息处理活动的合规性负责。审计时,应当重点审查下列事项: 第24条 個人情報の取扱いが国家ネット情報部門の規定数量に達した個人情報取扱者は、個人情報保護責任者を定め、個人情報取扱活動の遵守に責任を持たなければならない。 監査の際、次の事項を重点的に審査する:
(一)个人信息保护负责人是否具有相关的工作经历和专业知识,熟悉个人信息保护相关法律、行政法规; (1) 個人情報保護責任者が関連実務経験と専門知識を有し、個人情報保護に関する法律と行政法規を熟知しているかどうか;
(二)个人信息保护负责人是否具有明确清晰的职责,是否被赋予充分的权限协调组织内个人信息处理相关部门与人员; (2) 個人情報保護管理者が明確な責任を有し、組織内の個人情報の取扱いに関する部門及び人員を調整するために十分な権限を与えられているか;
(三)个人信息保护负责人是否有权提名个人信息保护团队负责人,并与其保持顺畅的沟通和联系; (3) 個人情報保護責任者は、個人情報保護チームの責任者を指名する権限を有し、その責任者と円滑な連絡・調整を図っているか;
(四)个人信息保护负责人在个人信息处理重大事项决策前是否有权提出相关意见和建议; (4) 個人情報保護責任者は、個人情報の取扱いに関する重要事項を決定する前に、適切な意見及び提案を行う権利を有しているか;
(五)个人信息保护负责人是否有权对组织内部个人信息处理的不合规操作进行制止和采取必要的纠正措施; (5) 個人情報保護管理者は、組織内の個人情報の取扱いに関する違反行為を停止し、必要な是正措置を講ずる権利を有しているか;
(六)个人信息处理者是否公开个人信息保护负责人的联系方式,并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。 (6) 個人情報取扱事業者が、個人情報保護管理者の連絡先を開示し、個人情報保護管理者の氏名又は名称及び連絡先を個人情報保護の業務を行う部門に報告しているか。
第二十五条 对个人信息处理者开展个人信息保护影响评估情况进行审计时,应当重点对影响评估开展情况和评估内容进行审查: 第25条 個人情報取扱事業者が実施する個人情報保護の影響評価について監査を行う場合は、影響評価の実施状況及び評価内容の確認を中心に行うものとする:
(一)是否依照法律、行政法规的规定,在进行对个人权益具有重大影响的个人信息处理活动前通过个人信息保护影响评估; (1) 個人の権利利益に重大な影響を及ぼす個人情報処理行為を行う前に、法令及び行政法規の規定に従い、個人情報保護の影響評価を実施しているか;
(二)是否对个人处理活动的合法性、正当性和必要性进行了分析评估,是否存在过度收集个人信息的情况; (2) 個人情報処理活動の合法性、正当性、必要性が分析、評価され、個人情報の過剰収集がないかどうか;
(三)是否对限制个人自主决定权、引发差别性待遇、导致个人名誉受损或者遭受精神压力、造成人身财产受损等安全风险进行了分析评估; (3) 個人の自律的決定権の制限、差別待遇の誘発、個人の名誉や精神的ストレスの損害、個人の財産の損害などの安全上のリスクを評価するための分析が行われているかどうか;
(四)是否对所采取的保护措施的合法性、有效性、适应性进行了分析评估; (4) 採られた保護措置の合法性、有効性、適応性が分析・評価されているか;
(五)个人信息保护影响评估报告和处理记录是否至少保存三年。 (5) 個人情報保護に関する影響評価報告書および処理記録が少なくとも3年間保存されているかどうか。
第二十六条 个人信息处理者应当制定个人信息安全事件应急预案。审计时,应当对应急预案的全面性、有效性、可执行性作出评价,包括但不限于下列内容: 第26条 個人情報の処理者は、個人情報のセキュリティ事故に対する緊急対応計画を策定しなければならない。 監査時には、緊急時対応計画の包括性、有効性、実施可能性を評価しなければならない:
(一)是否结合业务实际,对面临的个人信息安全风险作出了系统评估和预测; (1) 直面する個人情報セキュリティリスクについて、事業の実態に即した体系的な評価・予測が行われているか;
(二)指导思想、基本策略,组织机构、人员,技术、物资保障及指挥处置程序、应急和支持措施等是否足以应对预测的风险; (2) 指導理念、基本戦略、組織構造、要員、技術、物質セキュリティ、指揮命令及び廃棄手順、緊急時対応及び支援措置が、予測されるリスクに対処するのに十分であるかどうか;
(三)是否对相关人员进行应急预案培训,定期对应急预案进行演练。 (3) 関係者が緊急事態対応計画の訓練を受け、緊急事態対応計画が定期的にリハーサルされているかどうか。
第二十七条 对个人信息处理者个人信息安全事件应急响应处置情况进行评价时,应当重点考虑下列因素: 第27条 個人情報取扱事業者の個人情報セキュリティ事故に対する緊急対応及び廃棄を評価する場合、次の要素を重視しなければならない:
(一)是否按照应急预案、操作规程及时查明个人信息安全事件的影响、范围和可能造成的危害,分析、确定事件发生的原因,提出防止危害扩大的措施方案; (1) 緊急事態応急対策計画に基づき、個人情報セキュリティインシデントの影響、インシデントが発生した原因の分析及び特定により生じ得る被害の範囲及び被害を適時に把握し、被害の拡大を防止するための措置を講じるための業務手順が整備されているかどうか;
(二)是否建立通报渠道,能否在事件发生后72小时内通知履行个人信息保护职责的部门和个人; (2) 通知ルートを確立し、インシデント発生後72時間以内に個人情報保護の責任を果たす部門及び個人に通知できるかどうか;
(三)是否采取相应措施将个人信息安全事件可能造成的损失和可能产生的危害风险降低到最小。 (3) 個人情報セキュリティインシデントから発生する可能性のある損失や被害のリスクを最小化するための適切な措置を講じるかどうか。
第二十八条 大型互联网平台运营者应当成立主要由外部成员组成的独立机构对个人信息保护情况进行监督。审计时,应当对独立机构的独立性、履职能力、监督作用等进行评价。 第28条 大規模インターネットプラットフォームの運営者は、個人情報保護を監督するため、外部委員を中心に構成された独立機関を設置しなければならない。 監査に際しては、当該独立機関の独立性、職務遂行能力及び監督的役割を評価しなければならない。
(一)评价独立机构对个人信息保护情况进行监督的独立性,重点审查外部成员与个人信息处理者及其主要股东是否存在可能妨碍其进行独立客观判断的关系; (1) 個人情報保護監督独立機関の独立性の評価 外部委員が、個人情報取扱事業者及びその主要株主と独立した客観的な判断を妨げ るような関係にないかどうかを中心に評価する;
(二)评价外部成员的履职能力,重点审查外部成员是否具备相应的专业知识、能力和经验,能否对个人信息处理者的个人信息保护情况进行监督、指导,发表客观公正的意见建议; (2) 社外委員が、個人情報保護に関して個人情報処理事業者を監督指導し、客観的かつ公平な意見及び勧告を行うに足りる適切な専門的知識、能力及び経験を有するかどうかを中心に、社外委員の職務遂行能力の評価を行うこと;
(三)评价独立机构的监督作用,重点审查独立机构在个人信息处理者合规制度体系建设、平台规则制定、重大个人信息安全事件处置、督促企业履行社会责任等方面发挥的作用。 (3) 個人情報取扱事業者の遵守体制システムの構築、プラットフォームルールの制定、重大な個人情報セキュリティインシデントの処理、企業の社会的責任履行の監督において、独立組織が果たす役割を重点的に審査し、独立組織の監督的役割を評価する。
第二十九条 针对大型互联网平台规则,应当重点审计下列事项: 第29条 監査は、大規模インターネットプラットフォーム規程について、次の事項を中心に行う:
(一)评价平台规则的合法合规性,是否存在与法律、行政法规相抵触的情况; (1) プラットフォーム規約の合法性を評価し、法律および行政法規との抵触の有無を評価する;
(二)评价平台规则的公平公正性,是否存在恶意竞争、影响消费者权益等违反公平竞争原则、诚实信用原则、公序良俗的内容; (2) プラットフォームルールの公正・公平性を評価し、悪質な競争、消費者の権利・利益に影響を与える行為、その他公正競争原則、誠実・信用原則、公序良俗に違反する行為がないかどうかを評価する;
(三)评价平台规则个人信息保护条款的有效性,是否合理界定了平台、平台内产品或者服务提供者的个人信息保护权利和义务,是否对平台内经营者处理个人信息行为进行规范,平台内经营者的个人信息保护义务是否明确; (3) プラットフォーム及びプラットフォーム内の製品・サービス提供者の個人情報保護の権利及び義務が合理的に定義されているか、プラットフォーム運営者の個人情報の取り扱いに関する行動が規制されているか、プラットフォーム運営者の個人情報保護義務が明確であるかなど、プラットフォーム規則の個人情報保護規定の有効性を評価すること;
(四)检查平台规则的执行情况,通过抽样等方式验证平台规则是否被有效执行。 (4) プラットフォームルールの実施状況を確認し、サンプリング等を通じてプラットフォームルールが効果的に実施されているかどうかを検証すること。
第三十条 大型互联网平台运营者应当对其平台内产品或者服务提供者的个人信息处理活动进行监督。审计时,应当重点审查下列事项: 第30条 大規模インターネットプラットフォームの運営者は、プラットフォーム内の製品またはサービス提供者の個人情報取扱行為を監督しなければならない。 監査にあたっては、以下の事項を重点的に検討するものとする:
(一)是否定期审核平台内产品或者服务提供者个人信息处理规则的合法性、合理性; (1) 当該プラットフォームにおける商品・サービス提供者の個人情報取扱規程の適法性・合理性について、定期的に監査を行うかどうか;
(二)是否定期对平台内产品或者服务提供者处理个人信息遵守法律、行政法规情况进行审核; (2) プラットフォーム内の商品・サービス提供者の個人情報の取扱いに関する法令及び行政法規の遵守状況を定期的に監査するかどうか;
(三)对于严重违反法律、行政法规处理个人信息的产品或者服务提供者,平台是否及时停止向其提供服务。 (3) 個人情報の取扱いに関する法令及び行政規則に著しく違反する商品及びサービス提供者に対して、サービスの提供を停止するかどうか。
第三十一条 大型互联网平台运营者应当每年发布个人信息保护社会责任报告。审计时,应当重点审查社会责任报告下列内容的披露情况: 第31条 大規模インターネットプラットフォームの運営者は、個人情報保護に関する社会的責任報告書を毎年発行しなければならない。 監査にあたっては、社会的責任報告書の以下の内容の開示を重点的に審査する:
(一)个人信息保护组织架构和内部管理情况; (1) 個人情報保護の組織構造と内部管理;
(二)个人信息保护能力建设情况; (2) 個人情報保護の能力開発
(三)个人信息保护措施和成效; (3) 個人情報保護施策とその効果
(四)个人行使权利的申请受理情况; (4) 本人による権利行使の申込みの受付
(五)独立监督机构履职情况; (5) 独立した監督機関による職務の遂行
(六)重大个人信息安全事件处理情况; (6) 重大な個人情報セキュリティインシデントへの対応
(七)法律、行政法规规定的其他情况。 (7) その他法令及び行政規則に定める場合

 

1_20210612030101

 

 

 

| | Comments (0)

2023.08.04

インド デジタル個人データ保護法案(2023年)

こんにちは、丸山満彦です。

これで何度目かですが、インドのデジタル個人データ保護法案が内閣で承認され、議会にかけられることになったようですね。。。

Parliament of India

・[PDF] THE DIGITAL PERSONAL DATA PROTECTION BILL, 2023


20230804-75936

 

目次...

THE DIGITAL PERSONAL DATA PROTECTION BILL, 2023 2023 年デジタル個人データ保護法案
CHAPTER I PRELIMINARY CLAUSES 第1章 予備条項
1. Short title and commencement. 1. 略称および開始
2. Definitions. 2. 定義
3. Application of Act. 3. 法の適用
CHAPTER II OBLIGATIONS OF DATA FIDUCIARY 第2章 データ受託者の義務
4. Grounds for processing personal data. 4. 個人データ処理の根拠
5. Notice. 5. 通知
6. Consent. 6. 同意
7. Certain legitimate uses. 7. 特定の合法的使用
8. General obligations of Data Fiduciary. 8. データ受託者の一般的義務
9. Processing of personal data of children. 9. 児童の個人データの処理
10. Additional obligations of Significant Data Fiduciary. 10. 重要なデータ受託者の追加義務
CHAPTER III RIGHTS AND DUTIES OF DATA PRINCIPAL 第3章 データ本人の権利および義務
11. Right to access information about personal data. 11. 個人データに関する情報にアクセスする権利
12. Right to correction and erasure of personal data. 12. 個人データの訂正および消去を受ける権利
13. Right of grievance redressal. 13. 苦情解決の権利
14. Right to nominate. 14. 指名権
15. Duties of Data Principal. 15. データプリンシパルの義務
CHAPTER IV SPECIAL PROVISIONS 第4章 特別規定
16. Processing of personal data outside India. 16. インド国外における個人データの処理
17. Exemptions. 17. 適用除外
CHAPTER V DATA PROTECTION BOARD OF INDIA 第5章 インドデータ保護委員会
18. Establishment of Board. 18. 委員会の設立
19. Composition and qualifications for appointment of Chairperson and Members. 19. 委員長および委員会メンバーの構成および任命資格
20. Salary, allowances payable to and term of office. 20. 報酬、手当および任期
21. Disqualifications for appointment and continuation as Chairperson and Members of Board. 21. 委員長および委員会メンバーの任命および継続のための欠格事項
22. Resignation by Members and filling of vacancy. 22. 委員の辞任および欠員の補充
23. Proceedings of Board. 23. 委員会の議事
24. Officers and employees of Board. 24. 委員会の役員および職員
25. Members and officers to be public servants. 25. 委員会メンバーおよび役員は公務員とする。
26. Powers of Chairperson. 26. 委員長の権限
CHAPTER VI POWERS, FUNCTIONS AND PROCEDURE TO BE FOLLOWED BY BOARD 第6章 理事会が従うべき権限、機能および手続き
27. Powers and functions of Board. 27. 理事会の権限および機能
28. Procedure to be followed by Board. 28. 理事会が従うべき手続き
CHAPTER VII APPEAL AND ALTERNATE DISPUTE RESOLUTION 第7章 上訴および代替紛争解決
29. Appeal to Appellate Tribunal. 29. 上訴審判所への上訴
30. Orders passed by Appellate Tribunal to be executable as decree. 30. 審判所が下した大統領令は、判決として執行可能である。
31. Alternate dispute resolution. 31. 代替的紛争解決
32. Voluntary undertaking. 32. 任意事業
CHAPTER VIII PENALTIES AND ADJUDICATION 第8章 罰則および裁定
33. Penalties. 33. 罰則
34. Crediting sums realised by way of penalties to Consolidated Fund of India. 34. 罰金によって実現した金額をインド連結基金にクレジットする
CHAPTER IX MISCELLANEOUS 第9章 雑則
35. Protection of action taken in good faith. 35. 善意で行われた行為の防御
36. Power to call for information. 36. 情報を求める権限
37. Power of Central Government to issue directions. 37. 中央政府が指示を出す権限
38. Consistency with other laws. 38. 他の法律との整合性
39. Bar of jurisdiction. 39. 管轄権の禁止
40. Power to make rules. 40. 規則を制定する権限
41. Laying of rules and certain notifications. 41. 規則の制定および特定の通達
42. Power to amend Schedule. 42. 別表を修正する権限
43. Power to remove difficulties. 43. 困難を取り除く権限
44. Amendments to certain Acts. 44. 特定の法律の改正
THE SCHEDULE. 別表

 

 

| | Comments (0)

米国 国防総省監察官室 米軍情報センターおよび米サイバー軍による分析標準の適用に関する統制の評価 (+情報コミュニティ指令203 分析標準)

こんにちは、丸山満彦です。

米国連邦政府の場合、国防に関連する組織、インテリジェンス組織という国家安全保障に関連するために秘密が多いような部門であっても、国民のための政府であるから、当然に法律に基づき内部監査が実施され、その結果は秘密に該当しなければ公開されます。秘密の指定期間がすぎれば、すべて公開されるということになります。また、GAOによる監査(省庁から見ると第三者機関)も行われます。これらの仕組みと活動が、国民と政府の信頼のもとになっていると思いますね。。。

さて、国防総省監察官室が、国家情報分析の作成と評価を統制する情報コミュニティー (Intelligence Community; IC) の分析標準である「情報コミュニティ指令203号:分析標準 (INTELLIGENCE COMMUNITY DIRECTIVE NUMBER 203: ANALYTIC STANDARDS) に基づく監査を実施し、その結果を公表していますね。。。 

これは、インテリジェンスの成果物  (products) の品質を担保するための分析標準にしたがって成果物をだしているかの監査です。。。 



Department of Defense Office of Inspector General

・2023.08.02 Evaluation of Controls over the Application of Analytic Standards by the Service Intelligence Centers and U.S. Cyber Command (DODIG-2023-100)

Evaluation of Controls over the Application of Analytic Standards by the Service Intelligence Centers and U.S. Cyber Command (DODIG-2023-100) 米軍情報センターおよび米サイバー軍による分析標準の適用に関する統制の評価(DODIG-2023-100)
Evaluations 評価
Publicly Released: August 2, 2023 公開日: 2023年8月2日
Objective 目的
The objective of this evaluation was to determine the extent to which the Service intelligence centers and U.S. Cyber Command (USCYBERCOM) trained and operationalized Intelligence Community Directive 203 (ICD 203). In addition, we determined whether ICD 203 processes changed because of the coronavirus disease–2019 (COVID-19) pandemic. Our scope included the Army’s National Ground Intelligence Center (NGIC), the Marine Corps Intelligence Activity (MCIA), the Navy’s Office of Naval Intelligence (ONI), and USCYBERCOM. We did not evaluate the Air Force’s Service intelligence center. この評価の目的は、各軍情報センターと米サイバー軍(USCYBERCOM)が情報コミュニティ指令203(ICD 203)をどの程度訓練し、運用しているかを判断することであった。さらに、コロナウイルス感染症-2019(COVID-19)の大流行により、ICD 203のプロセスが変更されたかどうかを判断した。われわれの調査範囲には、陸軍の国家陸上情報センター(NGIC)、海兵隊情報活動部(MCIA)、海軍の海軍情報部(ONI)、およびUSCYBERCOMが含まれた。空軍の情報センターについては評価しなかった。
Background 背景
The Office of the Director of National Intelligence (ODNI) establishes analytic tradecraft standards across the Intelligence Community. ICD 203 is an ODNI directive that establishes standards for the Intelligence Community that govern the production and evaluation of finished all-source intelligence products and standards for excellence and integrity in those products. 国家情報長官室(ODNI)は情報コミュニティ全体の分析技術標準を制定している。ICD203はODNIの指令であり、完成した全情報源の情報製品の作成と評価、およびそれらの情報製品の卓越性と完全性の基準をガバナンスする情報コミュニティの標準を定めている。
Findings 発見事項
NGIC, the MCIA, the ONI, and USCYBERCOM each had programs to operationalize ICD 203; however, each of the commands modified portions of their analytic standards and tradecraft programs because of the COVID-19 pandemic. NGIC、MCIA、ONI、USCYBERCOMは、それぞれICD 203を運用するためのプログラムを持っていたが、COVID-19のパンデミックのため、各司令部は分析標準と技術プログラムの一部を変更した。
NGIC, MCIA, and ONI personnel conducted tradecraft evaluation boards as required by ICD 203. Although USCYBERCOM is not required to conduct tradecraft evaluation boards, and did so voluntarily, USCYBERCOM personnel had not conducted a tradecraft evaluation board since March 2020 due to the COVID-19 pandemic. USCYBERCOM officials told us that COVID-19 protocols required reduced staffing and operational adjustments. NGIC、MCIA、およびONIの要員は、ICD203で義務付けられている通り、技術評価委員会を実施した。USCYBERCOMは訓練評価会を実施する義務はなく、自主的に実施していたが、USCYBERCOM職員はCOVID-19パンデミックのため、2020年3月以降訓練評価会を実施していなかった。USCYBERCOMの職員は、COVID-19のプロトコルは人員削減と作戦調整を必要としたと語った。
There was no formal DoD requirement for combatant commands such as USCYBERCOM to conduct tradecraft evaluation boards; however, USCYBERCOM planned to reestablish a tradecraft evaluation board in FY 2023. As a result, USCYBERCOM did not have an internal program of review and evaluation of analytic intelligence products that sought to improve materials and programs for education and training. USCYBERCOMのような戦闘司令部に対して、正式な国防総省の要求事項として、技術評価委員会を実施することはなかったが、USCYBERCOMは2023年度に技術評価委員会を再設置する予定であった。その結果、USCYBERCOMには、教育訓練のための教材やプログラムの改善を目指す、分析情報製品のレビューと評価の内部プログラムがなかった。
In addition, during the COVID-19 pandemic, newly hired analysts and military analysts at NGIC, the MCIA, the ONI, and USCYBERCOM were not trained on ICD 203 analytic tradecraft standards, for a variety of reasons. さらに、COVID-19パンデミックの際、NGIC、MCIA、ONI、USCYBERCOMで新たに採用されたアナリストや軍事アナリストは、さまざまな理由から、ICD203分析トレードクラフト標準の訓練を受けていなかった。
As a result of the lack of initial ICD 203 training for new analysts, some all-source intelligence analysts may be unfamiliar with analytic tradecraft standards. As stated by the respondents to a Defense Analytic Tradecraft Council survey, gaps in analytic tradecraft training were the top analytic tradecraft challenge, and created the potential for inconsistent application of analytic tradecraft standards. This increases the risk of inconsistent approaches to objectivity, bias, politicization, or other challenges in analytic products across the DoD. 新人分析官に対するICD203の初期トレーニングが行われなかった結果、全情報源の情報分析官の中には、分析技術標準に不慣れな者もいるかもしれない。国防分析技術評議会(Defense Analytic Tradecraft Council)の調査の回答者が述べているように、分析技術訓練におけるギャップが分析技術上の最大の課題であり、分析技術基準の適用に一貫性がない可能性を生み出している。このことは、国防総省全体における分析成果物の客観性、バイアス、政治化、その他の課題に対するアプローチに一貫性がないリスクを増大させる。
Recommendations 勧告
We recommend that the Under Secretary of Defense for Intelligence and Security (USD[I&S]), through the Defense Intelligence Enterprise Manager for Analysis, provide guidance for the combatant commands and the Defense Intelligence Enterprise on the requirement for a tradecraft evaluation program. 国防総省情報安全保障次官(USD[I&S])が、国防情報企業の分析担当エ ンタープライズ・マネジャーを通じて、戦闘司令部および国防情報企業のために、 技術評価プログラムの要件に関するガイダンスを提供することを勧告する。
We recommend that the Defense Intelligence Agency (DIA) Director, through the Defense Intelligence Enterprise Manager for Analysis, conduct an assistance visit to USCYBERCOM to provide mentorship, advice, training, and best practices as USCYBERCOM seeks to restart its tradecraft evaluation program. 我々は、防衛情報局(DIA)長官が分析担当エンタープライズ・マネジャーを通じて、USCYBERCOMを訪問し、USCYBERCOMが技術評価プログラムの再開を目指す際に、指導、助言、訓練、ベストプラクティスを提供することを勧告する。
Additionally, we recommend that the USD(I&S) issue policy guidance to ensure that the Service intelligence centers and combatant command Joint Intelligence Operations Centers provide ICD 203 training to their respective command’s senior analysts and staff members responsible for analytical and editorial review of junior analysts’ production items. さらに、米国防総省情報センターと戦闘司令部統合情報作戦センターが、各司令部の上級アナリストと、若手アナリストの作成した分析・編集項目のレビューを担当するスタッフに、ICD203のトレーニングを提供するよう、米国防総省に政策指針を出すよう勧告する。
Also, we observed that current ICD 203 training initiatives may not be currently sufficiently resourced, and would benefit from resourcing review in order to ensure their success. また、現在のICD 203トレーニング・イニシアチブは、現在十分な資金が提供されていない可能性があり、その成功を確実にするためには、資金を見直すことが有益である。
Management Comments and Our Response マネジメント・コメントと我々の回答
OUSD(I&S) and DIA officials agreed with the recommendations and plan to take actions that will fully address the recommendations. Therefore, the recommendations are resolved, but will remain open until we verify that the actions were taken. The Deputy USD(I&S), responding on behalf of the USD(I&S), agreed and stated that the OUSD(I&S) is consolidating eight DoD instructions on defense intelligence and security training into a single instruction with an estimated publication date in early FY 2024. The Deputy USD(I&S) anticipated that this instruction would state that the DIA, as the Defense Intelligence Enterprise Manager for Analysis, would be responsible for training the Defense Intelligence Enterprise all-source analytic workforce. OUSD(I&S)およびDIAのマネジメントは勧告に同意し、勧告に完全に対処する行動を取る予定である。従って、勧告は解決されたが、我々がその行動が取られたことを確認するまで、未解決のままである。米国防総省(USD(I&S))を代表して回答した米国防総省(USD(I&S))副長官は、これに同意し、OUSD(I&S) は国防情報・安全保障訓練に関する8つの国防総省(DoD)指示を、2024年度初頭に発行予定 の1つの指示に統合していると述べた。同副SDU(I&S)は、この教書にはDIAが国防情報エンタープライズの分析担当マネジャーとして、国防情報エンタープライズの全情報分析要員の訓練に責任を持つことが明記されるだろう。
This report is a result of Project No. D2022-DEV0SI-0129.000. 本報告書はプロジェクト番号 D2022-DEV0SI-0129.000 の成果である。

 

・[PDF]

20230803-172324

目次...

 

(U) Contents (U) 目次
(U) Introduction (U) 序文
(U) Objective (U) 目的
(U) Background (U) 背景
(U) Finding. The Service Intelligence Centers and USCYBERCOM Had Programs to Operationalize Analytic Standards, but Faced Tradecraft Evaluation and Training Challenges (U) 調査結果 サービスインテリジェンスセンターとUSCYBERCOMは分析標準を運用化するプログラムを実施していたが、トラデクラフトの評価と訓練に課題を抱えていた。
(U) The Service Intelligence Centers and USCYBERCOM Had Programs to Operationalize Analytic Standards, but Encountered Tradecraft Evaluation and Training Challenges (U) 米軍情報センターとUSCYBERCOMは、分析標準を運用するためのプログラムを実施していた が、戦術の評価と訓練に課題を抱えていた。
(U) Pandemic Restrictions, Policy Gaps, and Resource Constraints Limited How the Service Intelligence Centers and USCYBERCOM Applied Controls over Analytic Standards (U) パンデミック(世界的大流行)による制約、政策ギャップ、資源制約により、各情報センターと USCYBERCOM が分析標準に関する統制を適用する方法は限られていた。
(U) Recommendations, Management Comments and Our Response (U) 勧告、マネジメント・コメントと我々の回答
(U) Appendixes (U) 附属書
(U) Appendix A. Scope and Methodology (U) 附属書A. 範囲と方法論
(U) Use of Computer-Processed Data (U) コンピュータ処理データの使用
(U) Prior Coverage (U) 過去の調査範囲
(U) Appendix B. ICD 203 Analytic Standards and Analytic Tradecraft Standards (U) 附属書B. ICD 203 分析標準および分析技術標準
(U) Management Comments (U) マネジメント・コメント
(U) Under Secretary of Defense for Intelligence and Security (U) 国防次官(情報・安全保障担当)
(U) Defense Intelligence Agency Director (U) 防衛情報局長官
(U) Office of Naval Intelligence (U) 海軍情報局
(U) Acronyms and Abbreviations (U) 頭字語および略語

 

 

クライテリアとなる、ICD203の原則の要約...

 

(U) ICD 203 Analytic Standards and Analytic Tradecraft Standards  (U) ICD 203 分析標準と分析技術標準 
(U)   (U)  
ICD 203 Analytic Standard ICD 203 分析標準
Objective Analysts must perform their functions with objectivity and with awareness of their own assumptions and reasoning.  They must employ reasoning techniques and practical mechanisms that reveal and mitigate bias.  Analysts should be alert to influence by existing analytic positions or judgments and must consider alternative perspectives and contrary information.  Analysis should not be unduly constrained by previous judgments when new developments indicate a modification is necessary. 客観性 分析者は、客観性を持ち、自分自身の思い込みや推論を意識しながら、その機能を果たさなければならない。 分析者は、バイアスを明らかにし、軽減する推論技術や実践的なメカニズムを用いなければならない。 分析者は、既存の分析的立場や判断による影響を警戒し、代替的視点や反対情報を考慮しなければならない。 新たな進展が修正の必要性を示している場合、分析は過去の判断に過度に拘束されるべきではない。
Independent of political consideration Analytic assessments must not be distorted by, nor shaped for, advocacy of a particular audience, agenda, or policy viewpoint.  Analytic judgments must not be influenced by the force of preference for a particular policy.   政治的状況からの独立 分析的評価は、特定の聴衆、議題、政策的観点の擁護によって歪められてはならず、またそのために形成されてはならない。 分析的判断は、特定の政策への嗜好に影響されてはならない。 
Timely Analysis must be disseminated in time for it to be actionable by customers.  Analytic elements have the responsibility to be continually aware of events of intelligence interest, of customer activities and schedules, and of intelligence requirements and priorities, in order to provide useful analysis at the right time. 適時性 分析は、顧客によって実行可能な時間内に普及されなければならない。 分析部門には、適切な時期に有用な分析を提供するために、情報上関心のある出来事、顧客の活動やスケジュール、情報要件や優先事項を常に把握しておく責任がある。
Based on all available sources of intelligence information Analysis should be informed by all relevant information available.  All-source intelligence elements should identify and address critical information gaps and work with collection activities and data providers to develop access and collection strategies.   利用可能な入手可能な全ての情報源に基づく  分析は、入手可能なすべての関連情報に基づくべきである。 識別情報部門は、重要な情報ギャップを特定し、それに対処し、収集活動やデータ・プロバイダーと協力して、アクセス戦略や収集戦略を策定すべきである。 
ICD 203 Analytic Tradecraft Standard ICD 203 分析技術標準
Sourcing Properly describes quality and credibility of underlying sources, data, and methodologies. ソーシング 基礎となる情報源、データ、および方法論の質と信頼性を適切に説明する。
Uncertainty Properly expresses and explains uncertainties associated with major analytic judgments. 不確実性 主要な分析判断に関連する不確実性を適切に表現し、説明する。
Distinctions Properly distinguishes between underlying intelligence information and analysts’ assumptions and judgments. 区別 基礎となるインテリジェンス情報とアナリストの仮定や判断を適切に区別する。
Alternatives Incorporates analysis of alternatives. 代替案 代替案の分析を取り入れる。
Relevance Demonstrates customer relevance and addresses implications. 関連性 顧客との関連性を示し、その意味を説明する。
Argumentation Uses clear and logical argumentation. 論証 明確で論理的な論証を行う
Analytic line Explains change to or consistency of analytic judgments. 分析ライン 分析判断の変更や一貫性を説明する。
Accuracy Expresses judgments as clearly and precisely as possible, reducing ambiguity by addressing the likelihood, timing, and nature of the outcome or development. 正確さ 可能な限り明確かつ正確に判断を表現し、結果や展開の可能性、時期、性質に言及することで曖昧さを減らす。
Visualization Incorporates effective visual information. 視覚化 効果的な視覚情報を取り入れる
  (U)   (U)
(U) Source:  ICD 203, “Analytic Standards,” January 2, 2015. (U)出典  ICD203「分析標準」2015年01月02日

 

 


 

参考

・2015.01.02 [PDF] INTELLIGENCE COMMUNITY DIRECTIVE 203

20230804-70839

 

 

INTELLIGENCE COMMUNITY DIRECTIVE 203 情報コミュニティ指令203号
Analytic Standards 分析標準
A. AUTHORITY A. 権限
The National Security Act of 1947, as amended; the Intelligence Reform and Terrorism Prevention Act of 2004; Executive Order 12333, as amended; Presidential Policy Directive/PPD-28; and other applicable provisions of law.  1947 年国家安全保障法(改正後)、2004 年情報改革・テロ防止法、大統領令 12333(改正後)、大統領政策指令/PPD-28、その他適用法。
B. PURPOSE B. 目的
l. This Intelligence Community Directive (ICD) establishes the Intelligence Community (IC) Analytic Standards that govern the production and evaluation of analytic products; articulates the responsibility of intelligence analysts to strive for excellence, integrity, and rigor in their analytic thinking and work practices; and delineates the role of the Office of the Director of National Intelligence (ODNI) Analytic Ombudsman. 1. この情報コミュニティ指令(ICD)は、分析成果物の作成と評価を統制する情報コミュニティ(IC)分析標準を制定し、分析的思考と作業の実践において卓越性、誠実さ、厳格さを追求する情報分析者の責任を明確にし、国家情報長官室(ODNI)分析監察官の役割を明確にするものである。。
2. This Directive supersedes ICD 203, Analytic Standards, dated 21 June 2007, and rescinds ICPM 2006-200-2, Role of the Office of the Director of National Intelligence Analytic Ombudsman. 2. 本指令は、2007 年 6 月 21 日付の ICD 203「分析標準」に取って代わり、ICPM 2006-200-2 「国家情報長官室分析監察官の役割」を取り消す。
C. APPLICABILITY C. 適用範囲
1. This ICD applies to the IC, as defined by the National Security Act of 1947, as amended; and to such elements of any other department or agency as may be designated an element of the IC by the President, or jointly by the Director of National Intelligence (DNI) and the head of the department or agency concerned. 1. 本 ICD は,1947 年国家安全保障局法(改正後)により定義された IC,および,大統領により,または国家情報長官(DNI) と関係省庁の長との連名により IC の構成要素として指定された他の省庁の構成要素に適用される。
2. This Directive does not apply to purely law enforcement information. When law enforcement information also contains intelligence or intelligence-related information, this Directive shall apply only to the intelligence or intelligence-related information and analysis contained therein.  2. 本指令は、純粋な法執行情報には適用されない。法執行情報がインテリジェンスまたはインテリジェンス関連情報を含む場合、本指令は、そこに含まれるインテリジェンスまたはインテリジェンス関連情報および分析にのみ適用されるものとする。
D. POLICY D. 方針
l. The IC Analytic Standards are the core principles of intelligence analysis and are to be applied across the IC. IC Analytic Standards shall be applied in each analytic product in a manner appropriate to its purpose, the type and scope of its underlying source information, its production timeline, and its customers. IC elements may create supplemental analytic standards that are tailored to their particular missions. 1. IC 分析標準は情報分析の基本原則であり、IC 全体に適用される。IC 分析標準は、各分析成果物において、その目的、基礎となる情報源 の種類と範囲、作成スケジュール、及び顧客に適した方法で適用されるも のとする。IC の各要素は、その特定の任務に合わせて補足的な分析標準を作成することができる。
2. The IC Analytic Standards are the foundational assessment criteria for a regular program of review of IC analytic products. Each IC element shall maintain a program of product evaluation using the IC Analytic Standards as the core elements for assessment criteria. 2. IC 分析基準は、IC 分析成果物の定期的なレビュープログラムの基礎となる評 価基準である。IC の各要素は、IC 分析基準を評価基準の中核要素として使用する成果物評価プログラ ムを維持しなければならない。
3. The IC Analytic Standards serve as a common IC foundation for developing education and training in analytic skills. The results of analytic product evaluations will be used to improve materials and programs for education and training in analytic knowledge, skills, abilities, and tradecraft. 3. IC 分析基準は、分析スキルの教育と訓練を開発するための IC 共通の基礎となる。分析成果物評価の結果は、分析知識、技能、能力、および技術に関する教育および訓練 のための教材およびプログラムの改善に使用される。
4. The Standards also promote a common ethic for achieving analytic rigor and excellence, and for personal integrity in analytic practice. Adherence to IC Analytic Standards is safeguarded by the ODNI Analytic Ombuds, who addresses concerns regarding lack of objectivity, bias, politicization, or other issues in Standards application in analytic products. 4. 標準はまた、分析上の厳密さと卓越性を達成するための共通の倫理観と、分析実務にお ける個人の誠実さを促進する。IC 分析標準の遵守は、ODNI 分析オンブズによって保護されており、このオンブズは、客観性 の欠如、バイアス、政治化、または分析成果物における標準の適用におけるその他の問題に 関する懸念に対処する。
5. The Standards promote the protection of privacy and civil liberties by ensuring the objectivity, timeliness, relevance, and accuracy of personally identifiable information (PII) used in analytic products. Analysts should include PII in products only as it relates to a specific analytic purpose (e.g., necessary to understand the foreign intelligence or counterintelligence information or assess its importance), consistent with IC element mission and in compliance with IC element regulation and policy, including procedures to prevent, identify, and correct errors in Pll.  5. 標準は、分析成果物に使用される個人を特定できる情報(PII)の客観性、適時性、妥当性、正確 性を確保することにより、プライバシーと市民的自由の保護を促進する。分析者は、特定の分析目的(例えば、対外情報または防諜情報を理解するため、あるいはその重要性を評価するために必要である)に関連する場合に限り、IC 要素の使命に合致し、Pll の誤りを防止し、識別し、修正するための手順を含む IC 要素の規則および方針に従って、PII を成果物に含めるべきである。
6. The IC Analytic Standards guide analysis and analytic production. All IC analytic products shall be consistent with the following five Analytic Standards, including the nine Analytic Tradecraft Standards. 6. IC 分析標準は、分析と分析成果物の指針となる。すべての IC の分析成果物は、9 つの分析技術標準を含む、次の 5 つの分析標準に合致していなけれ ばならない。
a. Objective: Analysts must perform their functions with objectivity and with awareness of their own assumptions and reasoning. They must employ reasoning techniques and practical mechanisms that reveal and mitigate bias. Analysts should be alert to influence by existing analytic positions or judgments and must consider alternative perspectives and contrary information. Analysis should not be unduly constrained by previous judgments when new developments indicate a modification is necessary.  a. 客観性:分析者は、客観性を持ち、自らの仮定と推論を認識した上で、その機能を遂行しなければならない。分析者は、バイアスを明らかにし、軽減する推論技法と実際的なメカニズムを用いなければならない。分析者は、既存の分析的立場や判断による影響に注意深くなければならず、代替的な視点や反対情報を考慮しなければならない。新たな進展が修正の必要性を示している場合、分析は過去の判断に過度に拘束されるべきではない。
b. Independent of political consideration: Analytic assessments must not be distorted by, nor shaped for, advocacy of a particular audience, agenda, or policy viewpoint. Analytic judgments must not be influenced by the force of preference for a particular policy. b. 政治的状況からの独立: 分析的評価は、特定の聴衆、アジェンダ、または政策的観点の擁護によって歪められてはならず、またそのために形作られてはならない。分析的判断は、特定の政策に対する嗜好の力によって影響されてはならない。
c. Timely: Analysis must be disseminated In time for it to be actionable by customers. Analytic elements have the responsibility to be continually aware of events of intelligence interest, of customer activities and schedules, and of intelligence requirements and priorities, in order to provide useful analysis at the right time. c. 適時性: 分析は、顧客によって実行可能な時間内に普及されなければならない。分析部門は、適切な時期に有用な分析を提供するために、情報上関心のある出来事、顧客の活動やスケジュール、情報要件や優先順位を常に把握しておく責任がある。
d. Based on all available sources of intelligence information: Analysis should be informed by all relevant information available. Analytic elements should identify and address critical information gaps and work with collection activities and data providers to develop access and collection strategies. d. 利用可能なすべての情報源に基づく: 分析は、入手可能なすべての関連情報に基づくべきである。分析部門は、重要な情報ギャップを特定し、それに対処し、収集活動やデータプロバイダーと協力して、アクセス戦略や収集戦略を策定すべきである。
e. Implements and exhibits Analytic Tradecraft Standards, specifically:  e. 分析技術標準を実施し,これを示す: 
(1) Properly describes quality and credibility of underlying sources, data, and methodologies: Analytic products should identify underlying sources and methodologies upon which judgments are based, and use source descriptors in accordance with ICD 206, Sourcing Requirements for Disseminated Analytic Products, to describe factors affecting source quality and credibility. Such factors can include accuracy and completeness, possible denial and deception, age and continued currency of information, and technical elements of collection as well as source access, validation, motivation, possible bias, or expertise. Source summarystatements, described in [CD 206, are strongly encouraged and should be used to provide a holistic assessment of the strengths or weaknesses in the source base and explain which sources are most important to key analytic judgments. (1) 基礎となる情報源、データ、方法論の質と信頼性を適切に説明する: 分析成果物は、判断の基礎となる情報源及び方法論を特定し、情報源の質及び信頼性に影響する要 因を記述するために、識別番号206「普及した分析成果物のための情報源要件」に従った情報源記述子を使用す べきである。このような要因には、正確性および完全性、否定および欺瞞の可能性、情報の古さお よび継続的最新性、情報収集の技術的要素、ならびに情報源へのアクセス、検証、動機、 バイアスの可能性、または専門知識が含まれる。CD206]に記載されている情報源要約は、強く推奨され、情報源ベースの長所または短所の全体的な評価を提供し、どの情報源が重要な分析判断にとって最も重要であるかを説明するために使用されるべきである。
(2) Properly expresses and explains uncertainties associated with major analytic judgments: Analytic products should indicate and explain the basis for the uncertainties associated with major analytic judgments, specifically the likelihood of occurrence of an event or development, and the analyst's confidence in the basis for this judgment. Degrees of likelihood encompass a full spectrum from remote to nearly certain. Analysts' confidence in an assessment or judgment may be based on the logic and evidentiary base that underpin it, including the quantity and quality of source material, and their understanding of the topic. Analytic products should note causes of uncertainty (e.g., type, currency, and amount of information, knowledge gaps, and the nature of the issue) and explain how uncertainties affect analysis (e.g., to what degree and how a judgment depends on assumptions). As appropriate, products should identify indicators that would alter the levels of uncertainty for major analytic judgments. Consistency in the terms used and the supporting information and logic advanced is critical to success in expressing uncertainty, regardless of whether likelihood or confidence expressions are used.  (2) 主要な分析判断に関連する不確実性を適切に表現し、説明する: 分析成果物は、主要な分析判断に関連する不確実性の根拠、具体的には、事象や展開の発生可能性、およびこの判断の根拠に対する分析者の確信を示し、説明すべきである。尤度の程度は、遠隔からほぼ確実までの全範囲を包含する。ある評価や判断に対する分析者の確信は、ソース資料の量や質、トピックに対する理解など、それを支える論理や証拠基盤に基づいている場合がある。分析成果物は、不確実性の原因(情報の種類、最新性、量、知識のギャップ、問題の性質など)を指摘し、不確実性が分析にどのように影響するか(どの程度、どのように判断が仮定に依存するかなど)を説明すべきである。適切であれば、主要な分析判断の不確実 性のレベルを変化させる指標を特定する。尤度表現と確信度表現のいずれが使用され ているかに関わらず、不確実性の表現に成功す るためには、使用される用語、裏付けとなる情報、お よび論理の一貫性が重要である。
(a) For expressions of likelihood or probability, an analytic product must use one of the following sets of terms: (a)可能性または確率の表現では、分析成果物は以下の用語セットのいずれかを使用しなければならない:
almost no chance : remote : 01-05% ほとんど可能性がない:ほぼない:01~05%
very unlikely : highly improbable : 05-20% 非常に可能性が低い : 確率が非常に低い : 05~20%
unlikely :improbable (improbably) : 20-45% 可能性が低い :確率が低い : 20-45%
roughly even chance : roughly even odds : 45-55% ほぼ互角 : ほぼ互角の確率 : 45-55%
likely : probable (probably) : 55-80% 可能性が高い : 確率が高い(おそらく): 55-80%
very likely : highly probable : 80-95% 非常に可能性が高い : 確率が非常に高い : 80-95%
almost certain(ly) : nearly certain : 95-99% ほとんど確実 : ほぼ確実 : 95-99%
Analysts are strongly encouraged not to mix terms from different rows. Products that do mix terms must include a disclaimer clearly noting the terms indicate the same assessment of probability. 分析者には、異なる行の用語を混在させないことが強く推奨される。用語が混在している成果物については、これらの用語が同じ確率の評価を示していることを明記した免責事項を含めなければならない。
(b) To avoid confusion, products that express an analyst's confidence in an assessment or judgment using a "confidence level" (e.g., "high confidence") must not combine a confidence level and a degree of likelihood, which refers to an event or development, in the same sentence. (b) 混乱を避けるため、分析者の評価や判断に対する確信度を「確信度」(例:「高信頼度」)で 表している成果物は、ある事象や展開に言及する確信度と可能性の程度を同じ文の中で組み合わせてはならない
(3) Properly distinguishes between underlying intelligence information and analysts' assumptions and judgments: Analytic products should clearly distinguish statements that convey underlying intelligence information used in analysis from statements that convey assumptions or judgments, Assumptions are defined as suppositions used to frame or support an argument; assumptions affect analytic interpretation of underlying intelligence information. Judgments are defined as conclusions based on underlying intelligence information, analysis, and assumptions. Products should state assumptions explicitly when they serve as the linchpin of an argument or when they bridge key information gaps. Products should explain the implications for judgments if assumptions prove to be incorrect. Products also should, as appropriate, identify indicators that, if detected, would alter judgments. (3) 情報の基礎となる情報と分析者の仮定や判断を適切に区別する: 分析成果物は、分析に使用される基本的なインテリジェンス情報を伝える記述と、仮定や判断を伝える記述とを明確に区別すべきである。仮定とは、議論の枠組みや裏付けに使用される仮定と定義される。仮定は、基本的なインテリジェンス情報の分析的解釈に影響を与える。判断とは、基礎となる情報、分析、仮定に基づく結論と定義される。成果物では、仮定が議論の要となる場合、または重要な情報ギャップを埋める場合には、仮定を明示すべきである。成果物は、仮定が正しくないことが判明した場合の判断への影響を説明すべきである。また、必要に応じて、もし検知された場合、判断を変えるような指標を示すべきである。
(4) Incorporates analysis of alternatives: Analysis of alternatives is the systematic evaluation of differing hypotheses to explain events or phenomena, explore near-term outcomes, and imagine possible futures to mitigate surprise and risk. Analytic products should identify and assess plausible alternative hypotheses. This is particularly important when major judgments must contend with significant uncertainties, or complexity (e.g., forecasting future trends), or when low probability events could produce high-impact results. In discussing alternatives, products should address factors such as associated assumptions, likelihood, or implications related to U.S. interests. Products also should identify indicators that, if detected, would affect the likelihood of identified alternatives.  (4) 代替案の分析を含む: 代替案の分析とは、出来事や現象を説明し、近い将来の結果を探り、驚きやリスクを軽減するために起こりうる未来を想像するために、異なる仮説を体系的に評価することである。分析成果物は、もっともらしい代替仮説を特定し、評価しなければならない。これは、重大な判断が重大な不確実性や複雑性(将来のトレンド予測など)と闘わなければならない場合や、確率の低い事象が大きな影響を与える結果をもたらす可能性がある場合に、特に重要である。代替案について議論する際、報告書は、関連する仮定、可能性、または米国の利益に関連する影響などの要素に言及すべきである。また、成果物は、もし検知された場合、特定された代替案の可能性に影響を与えるであろう指標を特定すべきである。
(5) Demonstrates customer relevance and addresses implications: Analytic products should provide information and insight on issues relevant to the customers of U.S. intelligence and address the implications of the information and analysis they provide. Products should add value by addressing prospects, context, threats, or factors affecting opportunities for action. (5) 顧客との関連性を示し、その影響に対処する: 分析成果物は、米国の情報機関の顧客に関連する問題についての情報と洞察を提供し、提供する情報と分析が持つ意味合いに対処すべきである。成果物は、見通し、状況、脅威、または行動の機会に影響を与える要因に対処することで、付加価値を与えるものでなければならない。
(6) Uses clear and logical argumentation: Analytic products should present a clear main analytic message up front. Products containing multiple judgments should have a main analytic message that is drawn collectively from those judgments. All analytic judgments should be effectively supported by relevant intelligence information and coherent reasoning. Language and syntax should convey meaning unambiguously. Products should be internally consistent and acknowledge significant supporting and contrary information affecting judgments. (6) 明確で論理的な論述を用いる: 分析成果物は、主要な分析メッセージを明確に示すべきである。複数の判断を含む成果物は、それらの判断から総合的に導き出される主要な分析的メッセージを持つべきである。すべての分析的判断は、関連するインテリジェンス情報と首尾一貫した推論によって効果的にサポートされるべきである。言語と構文は意味を明確に伝えるべきである。作成物は内部的に一貫性があり、判断に影響を与える重要な裏付け情報や反対情報を認めるべきである。
(7) Explains change to or consistency of analytic judgments: Analytic products should state how their major judgments on a topic are consistent with or represent a change from those in previously published analysis, or represent initial coverage of a topic. Products need not be lengthy or detailed in explaining change or consistency. They should avoid using boilerplate language, however, and should make clear how new information or different reasoning led to the judgments expressed in them. Recurrent products such as daily crisis reports should note any changes in judgments; absent changes, recurrent products need not confirm consistency with previous editions. Significant differences in analytic judgment, such as between two IC analytic elements, should be fully considered and brought to the attention of customers. (7) 分析的判断の変更または一貫性を説明する: 分析成果物は、そのトピックに関する主要な判断が、過去に発表された分析成果物とどのように整合しているか、またはそれからの変更を代表者としているか、あるいはそのトピックの最初の報道を代表するものであるかを明記すべきである。変更点や一貫性を説明するために、分析報告書が長くなったり、詳細になったりする必要はない。しかし、定型的な表現を使うことは避けるべきであり、新しい情報や異なる推論が、どのようにその判断につながったかを明確にすべきである。危機管理日報のようなリカレント・プロダクツでは、判断に変更があった場合はその旨を明記すべきである。変更がなければ、リカレント・プロダクツで前回との整合性を確認する必要はない。2つのICの分析要素間のような、分析判断における重大な相違は、十分に検討し、顧客の注意を喚起すべきである。
(8) Makes accurate judgments and assessments: Analytic products should apply expertise and logic to make the most accurate judgments and assessments possible, based on the information available and known information gaps. In doing so, analytic products should present all judgments that would be useful to customers, and should not avoid difficult judgments in order to minimize the risk of being wrong. Inherent to the concept of accuracy is that the analytic message a customer receives should be the one the analyst intended to send. Therefore, analytic products should express judgments as clearly and precisely as possible, reducing ambiguity by addressing the likelihood, timing, and nature of the outcome or development. Clarity of meaning permits assessment for accuracy when all necessary information is available.  (8) 正確な判断と評価を行う: 分析成果物は、入手可能な情報と既知の情報ギャップに基づき、可能な限り正確な判断と評価を行うために、専門知識と論理を適用すべきである。その際、分析成果物は、顧客にとって有用なすべての判断を提示すべきであり、間違いのリスクを最小化するために困難な判断を回避すべきではない。正確さの概念に内在するのは、顧客が受け取る分析メッセージは、分析者が意図したものであるべきだということである。したがって、分析成果物は、可能な限り明確かつ正確に判断を表現し、結果や展開の可能性、時期、性質に言及することで曖昧さを減らすべきである。意味が明確であれば、必要な情報がすべて入手可能な場合、正確性を評価することができる。
(9) Incorporates effective visual information where appropriate: Analytic products should incorporate visual information to clarify an analytic message and to complement or enhance the presentation of data and analysis. In particular, visual presentations should be used when information or concepts (e.g., spatial or temporal relationships) can be conveyed better in graphic form (e.g., tables, flow charts, images) than in written text. Visual information may range from plain presentation of intelligence information to interactive displays for complex information and analytic concepts. All of the content in an analytic product may be presented visually. Visual information should always be clear and pertinent to the product's subject. Analytic content in visual information should also adhere to other analytic tradecraft standards. (9) 適切な場合には、効果的な視覚情報を取り入れる: 分析成果物は、分析メッセージを明確にし、データと分析のプレゼンテーションを補完または強化するために、視覚情報を取り入れるべきである。特に、情報や概念(空間的関係や時間的関係など)が、文章よりも図式(表、フローチャート、画像など)の方がよく伝わる場合には、視覚的な表現を用いるべきである。視覚的情報には、インテリジェンス情報の平易な表示から、複雑な情報や分析コンセプトのインタラクティブな表示まで、さまざまなものがある。分析成果物のすべての内容が視覚的に提示されることもある。視覚情報は常に明確で、成果物の主題に関連したものでなければならない。視覚情報における分析内容は、他の分析技術標準にも準拠すべきである。
E. RESPONSIBILITIES E. 責任
l . The Deputy DNI for Intelligence Integration (DDNI/II) shall: 1. 情報統合担当副DNI(DDNI/II)は以下を行う:
a. Confirm and direct the application of these Analytic Standards by IC elements in analytic intelligence products; a. IC の各要素が分析情報成果物に本基準を適用することを確認し、指示する;
b. Conduct an IC-wide program of periodic review and evaluation of analytic intelligence products, guided by the annual identification of functional or geographical areas of analysis for specific review:  b. IC 全体を対象とした分析情報プロダクトの定期的な見直しと評価のプログラ ムを実施し、特に見直すべき分析機能分野または地理的分野を毎年特定す る: 
(l) Disseminate ODNI Analytic Tradecraft Standards Evaluation Rating Criteria to IC elements; (1) ODNI 分析技術標準の評価基準を IC の各要素に周知する;
(2) Prepare findings of analytic intelligence product reviews for reporting to Congress and relevant IC elements; (2) 分析情報成果物レビューの結果を作成し、議会及び関連する IC 要素に報告する;
(3) Develop lessons learned and identify exemplary products for use by IC elements in training; (3) 教訓を作成し、IC の各要素が訓練で使用する模範的な成果物を識別する;
(4) Refine the IC-wide program of periodic review and evaluation based on new lessons learned and best practices identified. (4) 新たに学んだ教訓や特定されたベストプラクティスに基づいて、IC 全体の定期的なレビューと評価のプログラムを改良する。
c. Assist IC elements in effective application of the Analytic Standards; and c. IC の諸要素が分析標準を効果的に適用できるよう支援する。
d. Oversee analytic product evaluation programs in individual IC elements to ensure standards and practices are compatible with the IC-wide program. d. 個々の IC 要素における分析成果物評価プログラムを監督し、標準と実務が IC 全体のプロ グラムに適合していることを確認する。
2. The Chief, Analytic Integrity and Standards Group, within the Office of the DDNI/II, is designated as the ODNI Analytic Ombuds and shall:  2. DDNI/II 部の分析完全性・標準化グループ長は、ODNI 分析オンブズとして指名され、以下を行う: 
a. Be available to ODNI analysts who wish to raise concerns about adherence to analytic standards (including tradecraft standards) in analytic products;  a. ODNI 分析官が、分析成果物における分析標準(技術標準を含む)の遵守について懸念 を表明する場合に利用できるようにする; 
b. Respond to concerns raised by Commumty analysts, as appropriate, with fact finding, problem solving, conflict resolution, counseling, and recommendations: b. 委員会の分析者が提起した懸念に対し、必要に応じて、事実確認、問題解決、 紛争解決、カウンセリング、勧告などの対応を行う:
(l) Analysts in IC elements other than the ODNI must first use existing administrative procedures within their own IC element to raise concerns about adherence to analytic standards; (1) ODNI 以外の IC 部隊に所属する分析官は、分析標準の遵守に関する懸念を提起するた めには、まず所属する IC 部隊内の既存の管理手続を使用しなければならない;
(2) When these internal administrative procedures have been exhausted, or when an analyst believes that those procedures will not preserve confidentiality, the analyst may bring these concerns to the ()DNI Analytic Ombuds; (2) これらの内部的な管理手続を使い果たした場合、またはこれらの手続では機密保 持が守られないと分析官が考える場合、その分析官は、()DNI 分析オンブズ に懸念を申し出ることができる;
(3) In such instances, the ODNI Analytic Ombuds will carry out responsibilities in the same manner as if responding to an ODNI analyst's concerns. The ODNI Analytic Ombuds may address concerns that span more than one IC element; and  (3) このような場合、ODNI分析オンブズは、ODNI分析官の懸念に対応する場合と同様の方法で責務を遂行する。ODNI 分析オンブッドは、複数の IC 要素にまたがる懸念に対応することができる。
c. Perform all responsibilities confidentially so that analysts may raise concerns without fear of reprisal. However, confidentiality will not extend to significant misconduct, to violations of law or ethics, or when otherwise precluded by law. c. 分析者が報復を恐れることなく懸念を表明できるよう、すべての責務を内密に行う。ただし、重大な不正行為、法律または倫理に違反した場合、あるいは法律により除外されている場合には、守秘義務は適用されない。
3. Heads of IC elements shall: 3. IC 部隊の長は、次のことを行う:
a. Ensure that analytic intelligence products produced and disseminated by their element properly apply the IC Analytic Standards; a. 自部隊が作成し、流布する分析情報成果物が、IC 分析標準を適切に適用 していることを確認する;
b. Designate an individual or office responsible for responding to concerns raised by the element's analysts about adherence to analytic standards (including tradecraft standards) in analytic products; b. 分析成果物の分析標準(技術標準を含む)の遵守について、当該機関の 分析官が提起した懸念に対応する責任を負う個人または事務所を指名する;
c. Conduct internal programs of review and evaluation of analytic intelligence products utilizing the IC Analytic Standards as the core criteria, and provide annual status reporting to the DDNI/II according to DDNI/II guidelines; and c. IC 分析基準を中核的基準として、分析情報成果物のレビューと評価の内部プロ グラムを実施し、DDNI/II のガイドラインに従って、DDNI/II に年次状況報告を行う。
d. Ensure that the IC Analytic Standards are properly addressed in their elements' education and training programs.  d. 各部隊の教育・訓練プログラムにおいて、IC 分析標準が適切に扱われていることを確認する。
F. EFECTIVE DATE: This Directive becomes effective on the date of signature. F. 発効日:本指令は署名日に発効する。
Date: 2015.01.02 日付:2015.01.02

 

 

この前のバージョン

・2007.06.21 [PDF] INTELLIGENCE COMMUNITY DIRECTIVE 203

20230804-71130

 


 

一応参考...

この内部監査のきっかけ...

Department of Defense Office of Inspector General

・2022.04.25 Evaluation of the Services and U.S. Cyber Command Application of Analytic Standards (Project No. D2022-DEV0SI-0129.000) 

20230804-72605

 

 

| | Comments (0)

2023.08.03

米国 次の国家サイバー長官は実に素敵な人 (a genuinely lovely human being) ?

こんにちは、丸山満彦です。

2012会計年度国家授権法[wikipedia]に基づき、 大統領府に設置された国家サイバー長官は、2023.02.15に初代長官のJohn C. Inglis氏 [wikipadia] が退任した後、空席 (Kemba Walden氏が [wikipedia] 代理) になっていましたが、2023.07.25にHarry Coker氏 [wikipedia] が指名されたようですね。。。議会の承認が通れば確定ですね。。。

国家情報長官室 (; ODNI) の発表によると実に素敵な人とのことです。。。

 

国家サイバー長官室のウェブページ...

Office of the National Cyber Director;ONCD

いまのところ空っぽです...

 

プレスは国家情報長官室から...

; ODNI

1_20230803073401

・2023.07.27 DNI Haines Statement on the President’s Intent to Nominate Harry Coker Jr. as the National Cyber Director

DNI Haines Statement on the President’s Intent to Nominate ヘインズ国防長官、ハリー・コーカー・ジュニアを国家サイバー局長に指名する意向を表明
Harry Coker Jr. as the National Cyber Director ハリー・コーカー・ジュニアを国家サイバー局長に指名する意向について
WASHINGTON, D.C. – Director of National Intelligence Avril D. Haines today issued the following statement: ワシントン D.C. - アブリル D. ヘインズ国家情報長官は本日、以下の声明を発表した:
“Harry Coker Jr. is an absolutely excellent choice for National Cyber Director, with years of critical national security experience in a variety of roles, which have provided him with a wealth of knowledge on cybersecurity issues. Harry started in the Navy but over the years he has worked in so many different corners of the Intelligence Community on our hardest missions, including as a leader of the open source enterprise and in digital innovation. He has held senior roles at the Central Intelligence Agency and the National Security Agency, and continued to hone his cyber expertise as a senior fellow at Auburn University's McCrary Institute for Cyber and Critical Infrastructure Security. 「ハリー・コーカー・ジュニアは、国家サイバー局長に最適な人物であり、国家安全保障に関わる重要な職務に長年携わり、サイバーセキュリティに関する豊富な知識を有している。ハリーは海軍からスタートしたが、長年にわたり、オープンソース・エンタープライズやデジタル・イノベーションのリーダーなど、情報コミュニティのさまざまな場所で、我々の最も困難なミッションに取り組んできた。中央情報局(CIA)や国家安全保障局(NSA)で要職を歴任し、オーバーン大学サイバー・重要インフラセキュリティ研究所(McCrary Institute for Cyber and Critical Infrastructure Security)の上級研究員としてサイバーに関する専門知識を磨き続けてきた。
"In short, Harry has the right expertise, is a great leader, and a genuinely lovely human being — I have no doubt he will be as successful in this new role, if confirmed, as he has been in all of his prior roles." 「つまり、ハリーは適切な専門知識を持ち、偉大なリーダーであり、実に素敵な人物なのだ。彼がこの新しい役割で成功することは間違いない。

 

 

国家サイバー長官の役割2021会計年度国家授権法の「TITLE XVII--CYBERSPACE-RELATED MATTERS」「Sec. 1752. National Cyber Director.」に

● Sec. 1752. National Cyber Director.

SEC. 1752. <<NOTE: 6 USC 1500.>> NATIONAL CYBER DIRECTOR. SEC. 1752. <<注:6 USC 1500.>>国家サイバー長官。
(a) Establishment. --There is established, within the Executive Office of the President, the Office of the National Cyber Director (in this section referred to as the ``Office''). (a) 設置。--大統領府内に国家サイバー長官室(本項では「長官室」と呼ぶ) を設置する。
(b) National Cyber Director. -- (b) 国家サイバー長官 --
(1) <<NOTE: President.>> In general. --The Office shall be headed by the National Cyber Director (in this section referred to as the ``Director'') who shall be appointed by the President, by and with the advice and consent of the Senate. (1) <<注:大統領>> 一般的には、以下の通りである。--この長官は、上院の助言と同意により、大統領によって任命される。
(2) Position. --The Director shall hold office at the pleasure of the President. (2) 役職。--長官は大統領の意向で就任する。
(3) Pay and allowances. --The Director shall be entitled to receive the same pay and allowances as are provided for level II of the Executive Schedule under section 5313 of title 5, United States Code. (3) 給与および手当。--長官は、米国法典第5編第5313条に基づく行政官日程のレベルIIと同じ給与と手当を受ける権利を有する。
(c) Duties of the National Cyber Director. -- (c) 国家サイバー長官の任務 --
(1) In general. --Subject to the authority, direction, and control of the President, the Director shall -- (1) 一般的に。--大統領の権限、指示、統制に従い、長官は以下を行う。
(A) serve as the principal advisor to the President on cybersecurity policy and strategy relating to the coordination of -- (A) 以下の調整に関するサイバーセキュリティ政策と戦略について、大統領の主席顧問を務める。
(i) information security and data protection; (i) 情報セキュリティとデータ保護;
(ii) programs and policies intended to improve the cybersecurity posture of the United States; (ii) 米国のサイバーセキュリティ態勢の改善を意図したプログラムおよび政策;
(iii) efforts to understand and deter malicious cyber activity; (iii) 悪質なサイバー活動を理解し、抑止するための努力;
(iv) efforts to increase the security of information and communications technology and services and to promote national supply chain risk management and vendor security; (iv) 情報通信技術およびサービスのセキュリティを向上させ、国家サプライチェーンリスクマネジメントおよびベンダーセキュリティを促進するための努力;
(v) diplomatic and other efforts to develop norms and international consensus around responsible state behavior in cyberspace; (v) サイバースペースにおける国家の責任ある行動に関する規範と国際的なコンセンサスを発展させるための外交的その他の努力;
(vi) awareness and adoption of emerging technology that may enhance, augment, or degrade the cybersecurity posture of the United States; and (vi) 米国のサイバーセキュリティ態勢を強化、増強、劣化させる可能性のある新技術の認識と採用。
(vii) such other cybersecurity matters as the President considers appropriate; (vii) その他、大統領が適切と考えるサイバーセキュリティに関する事項;
(B) offer advice and consultation to the National Security Council and its staff, the Homeland Security Council and its staff, and relevant Federal departments and agencies, for their consideration, relating to the development and coordination of national cyber policy and strategy, including the National Cyber Strategy; (B) 国家安全保障会議およびそのスタッフ、国土安全保障会議およびそのスタッフ、ならびに関連する連邦省庁に対し、国家サイバー戦略を含む国家サイバー政策および戦略の策定および調整に関する助言および協議を行い、それらの検討の対象とする;
(C) lead the coordination of implementation of national cyber policy and strategy, including the National Cyber Strategy, by -- (C) 国家サイバー戦略を含む国家サイバー政策および戦略の実施の調整を、以下により主導する。
(i) in coordination with the heads of relevant Federal departments or agencies, monitoring and assessing the effectiveness, including cost-effectiveness, of the implementation of such national cyber policy and strategy by Federal departments and agencies; (i) 関連する連邦省庁の長と連携して、連邦省庁による当該国家サイバー政策・戦略の実施の費用対効果を含む効果を監視・評価する;
(ii) making recommendations, relevant to changes in the organization, personnel, and resource allocation and to policies of Federal departments and agencies, to the heads of relevant Federal departments and agencies in order to implement such national cyber policy and strategy; (ii) 当該国家サイバー政策および戦略を実施するため、連邦省庁の組織、人員、資源配分および政策の変更に関連する勧告を、関連する連邦省庁の長に対して行う;
(iii) reviewing the annual budget proposals for relevant Federal departments and agencies and advising the heads of such departments and agencies whether such proposals are consistent with such national cyber policy and strategy; (iii) 関連する連邦省庁の年次予算案を検討し、当該予算案が当該国家サイバー政策および戦略に合致しているかどうかを当該省庁の長に助言する;
(iv) continuously assessing and making relevant recommendations to the President on the appropriate level of integration and interoperability across the Federal cyber centers; (iv) 連邦サイバーセンター間の統合と相互運用性の適切なレベルを継続的に評価し、大統領に関連勧告を行う;
(v) coordinating with the Attorney General, the Federal Chief Information Officer, the Director of the Office of Management and Budget, the Director of National Intelligence, and the Director of the Cybersecurity and Infrastructure Security Agency, on the streamlining of Federal policies and guidelines, including with respect to implementation of subchapter II of chapter 35 of title 44, United States Code, and, as appropriate or applicable, regulations relating to cybersecurity; (v) 司法長官、連邦最高情報責任者、行政管理予算室長官、国家情報長官、サイバーセキュリティ・インフラセキュリティ庁長官と、米国法典第 44 編第 35 章第 II 章の実施、および適切または該当する場合にはサイバーセキュリティに関する規制を含む、連邦政策およびガイドラインの合理化について調整する;
(vi) reporting annually to the President, the Assistant to the President for National Security Affairs, and Congress on the state of the cybersecurity posture of the United States, the effectiveness of such national cyber policy and strategy, and the status of the implementation of such national cyber policy and strategy by Federal departments and agencies; and (vi) 米国のサイバーセキュリティ態勢、国家サイバーセキュリティ政策・戦略の有効性、連邦省庁による国家サイバーセキュリティ政策・戦略の実施状況について、大統領、国家安全保障局大統領補佐官、議会に毎年報告すること。
(vii) such other activity as the President considers appropriate to further such national cyber policy and strategy; (vii) 国家サイバー政策・戦略を推進するために大統領が適切と考えるその他の活動;
(D) lead coordination of the development and ensuring implementation by the Federal Government of integrated incident response to cyberattacks and cyber campaigns of significant consequence, including -- (D) 重大な結果をもたらすサイバー攻撃およびサイバー・キャンペーンに対する統合的インシデント対応の開発および連邦政府による確実な実施のための調整を主導する。
(i) ensuring and facilitating coordination among relevant Federal departments and agencies in the development of integrated operational plans, processes, and playbooks, including for incident response, that feature -- (i) インシデント対応を含む統合運用計画、プロセス、プレイブックの策定において、関連する連邦省庁間の協調を確保し、促進する。
(I) clear lines of authority and lines of effort across the Federal Government; (I) 連邦政府全体にわたる明確な権限線と努力線;
(II) authorities that have been delegated to an appropriate level to facilitate effective operational responses across the Federal Government; and (II) 連邦政府全体の効果的な運用対応を促進するために、適切なレベルに委譲された権限。
(III) support for the integration of defensive cyber plans and capabilities with offensive cyber plans and capabilities in a manner consistent with improving the cybersecurity posture of the United States; (III) 米国のサイバーセキュリティ態勢の改善と整合的な方法で、防御的サイバー計画・能力と攻撃的サイバー計画・能力との統合を支援すること;
(ii) ensuring the exercising of defensive operational plans, processes, and playbooks for incident response; (ii) インシデント対応のための防御的運用計画、プロセス、プレイブックの演習を確保する;
(iii) ensuring the updating of defensive operational plans, processes, and playbooks for incident response as needed to keep them updated; and (iii) インシデント対応のための防御的運用計画、プロセス、およびプレイブックを常に最新の状態に保つために、必要に応じて確実に更新すること。
(iv) reviewing and ensuring that defensive operational plans, processes, and playbooks improve coordination with relevant private sector entities, as appropriate; (iv) 防御運用計画、プロセス、およびプレイブックを見直し、必要に応じて、関連する民間事業体との連携を改善することを確保すること;
(E) preparing the response by the Federal Government to cyberattacks and cyber campaigns of significant consequence across Federal departments and agencies with responsibilities pertaining to cybersecurity and with the relevant private sector entities, including -- (E) サイバーセキュリティに関連する責任を有する連邦省庁全体、および関連する民間事業体とともに、重大な結果をもたらすサイバー攻撃およびサイバーキャンペーンに対する連邦政府による対応を準備する。
(i) developing for the approval of the President, in coordination with the Assistant to the President for National Security Affairs and the heads of relevant Federal departments and agencies, operational priorities, requirements, and plans; (i) 国家安全保障問題担当大統領補佐官および関連する連邦省庁の長と連携して、作戦の優先順位、要件、および計画を策定し、大統領の承認を得る;
(ii) ensuring incident response is executed consistent with the plans described in clause (i); and (ii) (i) に記載された計画に沿ったインシデント対応を確実に実施する。
(iii) ensuring relevant Federal department and agency consultation with relevant private sector entities in incident response; (iii) インシデント対応において、関連する連邦省庁が関連する民間事業体と協議することを確保すること;
(F) coordinate and consult with private sector leaders on cybersecurity and emerging technology issues in support of, and in coordination with, the Director of the Cybersecurity and Infrastructure Security Agency, the Director of National Intelligence, and the heads of other Federal departments and agencies, as appropriate; (F) サイバーセキュリティ・インフラセキュリティ庁長官、国家安全保障長官官、および他の連邦省庁の長を支援し、適宜、これらと連携して、サイバーセキュリティおよび新興技術の問題について民間部門のリーダーと調整し、協議する;
(G) annually report to Congress on cybersecurity threats and issues facing the United States, including any new or emerging technologies that may affect national security, economic prosperity, or enforcing the rule of law; and (G) 米国が直面するサイバーセキュリティの脅威と問題(国家安全保障、経済的繁栄、法の支配の実施に影響する可能性のある新技術または新技術を含む) について、毎年議会に報告する。
(H) be responsible for such other functions as the President may direct. (H) 大統領が指示するその他の機能を担当する。
(2) Delegation of authority.— (2) 権限の委譲
(A) The Director may -- (A) 長官は以下を行うことができる。
(i) serve as the senior representative to any organization that the President may establish for the purpose of providing the President advice on cybersecurity; (i) サイバーセキュリティに関する助言を大統領に提供する目的で大統領が設立する組織の上級代表者を務める;
(ii) subject to subparagraph (B), be included as a participant in preparations for and, when appropriate, the execution of domestic and international summits and other international meetings at which cybersecurity is a major topic; (ii) (B) 号に従い、サイバーセキュリティが主要な議題となる国内および国際サミッ ト、その他の国際会議の準備、および適切な場合にはその実行に参加する;
(iii) delegate any of the Director's functions, powers, and duties to such officers and employees of the Office as the Director considers appropriate; and (iii) 長官の機能、権限、職務のいずれかを、長官が適切と考える本局の役職員に委譲する。
(iv) authorize such successive re-delegations of such functions, powers, and duties to such officers and employees of the Office as the Director considers appropriate. (iv) 長官が適切と考える、当該機能、権限、および職務の、当該局の役職員への逐次的な再委任を許可する。
(B) In acting under subparagraph (A)(ii) in the case of a summit or a meeting with an international partner, the Director shall act in coordination with the Secretary of State. (B) サミットまたは国際パートナーとの会合の場合、(A) (ii) 号に基づき行動する際、長官は国務長官と協調して行動するものとする。
(d) Attendance and Participation in National Security Council Meetings. --Section 101(c)(2) of the National Security Act of 1947 (50 U.S.C. 3021(c)(2)) is amended by striking ``and the Chairman of the Joint Chiefs of Staff'' and inserting ``the Chairman of the Joint Chiefs of Staff, and the National Cyber Director''. (d) 国家安全保障会議への出席および参加。--1947年国家安全保障法(50 U.S.C. 3021(c) (2) ) 第101条(c) (2) は、「及び統合参謀本部議長」を削除し、「統合参謀本部議長及び国家サイバー長官」を挿入することにより改正される。
(e) Powers of the Director. --The Director may, for the purposes of carrying out the functions of the Director under this section -- (e) 長官の権限。--長官は、本節に基づく長官の機能を遂行するために、次のことを行うことができる。
(1) subject to the civil service and classification laws, select, appoint, employ, and fix the compensation of such officers and employees as are necessary and prescribe their duties, except that not more than 75 individuals may be employed without regard to any provision of law regulating the employment or compensation at rates not to exceed the basic rate of basic pay payable for level IV of the Executive Schedule under section 5315 of title 5, United States Code; (1) 公務員法および職業分類法に従い、必要な役職員を選出し、任命し、雇用し、報酬を定め、その職務を規定する。ただし、雇用または報酬を規制する法律の規定にかかわらず、米国法典第5編第5315条に基づく行政官別表のレベルIVに支払われる基本給を超えない率で、75人以下の個人を雇用することができる;
(2) employ experts and consultants in accordance with section 3109 of title 5, United States Code, and compensate individuals so employed for each day (including travel time) at rates not in excess of the maximum rate of basic pay for grade GS-15 as provided in section 5332 of such title, and while such experts and consultants are so serving away from their homes or regular place of business, to pay such employees travel expenses and per diem in lieu of subsistence at rates authorized by section 5703 of such title 5 for persons in Federal Government service employed intermittently; (2) 米国コード第5編第3109条に従い、専門家およびコンサルタントを雇用し、雇用された個人に対し、同編第5332条に規定されるGS-15等級の基本給の最高賃金を超えない率で、各日(移動時間を含む) の給与を支給し、専門家およびコンサルタントが自宅または通常の勤務地を離れて勤務している間は、断続的に雇用される連邦政府職員に対し、同編第5編第5703条で認められた率で、旅費および日当を支給する;
(3) promulgate such rules and regulations as may be necessary to carry out the functions, powers, and duties vested in the Director; (3) 長官に与えられた機能、権限、職務を遂行するために必要な規則や規定を公布する;
(4) utilize, with their consent, the services, personnel, and facilities of other Federal agencies; (4) 同意を得た上で、他の連邦機関のサービス、職員、施設を利用する;
(5) enter into and perform such contracts, leases, cooperative agreements, or other transactions as may be necessary in the conduct of the work of the Office and on such terms as the Director may determine appropriate, with any Federal agency, or with any public or private person or entity; (5) 局の業務遂行に必要な契約、リース、協力協定、その他の取引を、長官が適切と判断する条件で、連邦機関、官民の個人または事業体と締結し、実施する;
(6) accept voluntary and uncompensated services, notwithstanding the provisions of section 1342 of title 31, United States Code; (6) 米国法典第31編第1342条の規定にかかわらず、自発的で報酬のない役務を引き受ける;
(7) adopt an official seal, which shall be judicially noticed; and (7) 公印を採用する。
(8) provide, where authorized by law, copies of documents to persons at cost, except that any funds so received shall be credited to, and be available for use from, the account from which expenditures relating thereto were made. (8) 法律で認められている場合、費用の負担で文書の写しを人にプロバイダする。ただし、受領した資金は、その文書に関連する支出が行われた口座に入金され、その口座から使用できるものとする。
(f) Rules of Construction. --Nothing in this section may be construed as -- (f) 施行規則。--本節のいかなる規定も、次のように解釈してはならない。
(1) modifying any authority or responsibility, including any operational authority or responsibility of any head of a Federal department or agency; (1) 連邦省庁の長の運営権限や責任を含め、いかなる権限や責任も修正してはならない;
(2) authorizing the Director or any person acting under the authority of the Director to interfere with or to direct a criminal or national security investigation, arrest, search, seizure, or disruption operation; (2) 長官または長官の権限に基づき行動する者が、犯罪または国家安全保障に関わる捜査、逮捕、捜索、押収、破壊活動を妨害または指示する権限を与えること;
(3) amending a legal restriction that was in effect on the day before the date of the enactment of this Act that requires a law enforcement agency to keep confidential information learned in the course of a criminal or national security investigation; (3) 犯罪捜査または国家安全保障捜査の過程で知り得た情報を秘密にしておくことを法執行機関に要求する、本法制定日の前日に有効であった法的制限を改正すること;
(4) authorizing the Director or any person acting under the authority of the Director to interfere with or to direct a military operation; (4) 長官または長官の権限に基づいて行動する者に、軍事作戦を妨害または指示する権限を与えること;
(5) authorizing the Director or any person acting under the authority of the Director to interfere with or to direct any diplomatic or consular activity; (5) 長官または長官の権限下に行動する者に、外交活動または領事活動を妨害し、 または指示する権限を与えること;
(6) authorizing the Director or any person acting under the authority of the Director to interfere with or to direct an intelligence activity, resource, or operation; or (6) 情報活動、資源、または作戦を妨害または指示する権限を、長官または長官の権限に基づき行動する者に与えること。
(7) authorizing the Director or any person acting under the authority of the Director to modify the classification of intelligence information. (7) 情報情報の分類を変更する権限を、長官または長官の権限に基づいて行動する者に与えること。
(g) Definitions. --In this section: (g) 定義 --本項では、次のように定義する:
(1) The term ``cybersecurity posture'' means the ability to identify, to protect against, to detect, to respond to, and to recover from an intrusion in an information system the compromise of which could constitute a cyber attack or cyber campaign of significant consequence. (1) 「サイバーセキュリティ態勢」という用語は、重大な結果をもたらすサイバー攻撃またはサイ バー・キャンペーンを構成する可能性のある情報システムへの侵入を識別し、防御し、検知し、 対応し、回復する能力を意味する。
(2) The term ``cyber attack and cyber campaign of significant consequence'' means an incident or series of incidents that has the purpose or effect of -- (2) 「重大な結果をもたらすサイバー攻撃およびサイバーキャンペーン」とは、以下の目的または効果を有するインシデントまたは一連のインシデントをいう。
(A) causing a significant disruption to the confidentiality, integrity, or availability of a Federal information system; (A) 連邦情報システムの機密性、完全性、または可用性に重大な混乱を引き起こす;
(B) harming, or otherwise significantly compromising the provision of service by, a computer or network of computers that support one or more entities in a critical infrastructure sector; (B) 重要インフラ部門の1つまたは複数の事業体をサポートするコンピュータまたはコンピュータ・ネットワークに危害を加え、またはサービスの提供を著しく損なう;
(C) significantly compromising the provision of services by one or more entities in a critical infrastructure sector; (C) 重要インフラ部門の1つ以上の事業体によるサービスの提供を著しく損なうこと;
(D) causing a significant misappropriation of funds or economic resources, trade secrets, personal identifiers, or financial information for commercial or competitive advantage or private financial gain; or (D) 資金または経済資源、企業秘密、個人を特定できる情報、または財務情報を、商業上または競争上の優位性もしくは私的な金銭的利益のために著しく不正利用すること。
(E) otherwise constituting a significant threat to the national security, foreign policy, or economic health or financial stability of the United States. (E) その他、米国の国家安全保障、外交政策、経済的健全性、財政的安定性に対する重大な脅威となる。
(3) The term ``incident'' has the meaning given such term in section 3552 of title 44, United States Code. (3) 「インシデント」という用語は、米国法典第44編第3552条においてその用語に与えられている意味を有する。
(4) The term ``incident response'' means a government or private sector activity that detects, mitigates, or recovers from a cyber attack or cyber campaign of significant consequence. (4) 「インシデント対応」とは、重大な結果をもたらすサイバー攻撃またはサイバーキャンペーンを検知、低減、回復する政府または民間部門の活動をいう。
(5) The term ``information security'' has the meaning given such term in section 3552 of title 44, United States Code. (5) 「情報セキュリティ」という用語は、米国法典第44編第3552節に規定される意味を有する。
(6) The term ``intelligence'' has the meaning given such term in section 3 of the National Security Act of 1947 (50 U.S.C. 3003). (6) 「インテリジェンス」という用語は、1947 年国家安全保障法第 3 条(50 U.S.C. 3003) に規定される意味を有する。

 

・[DOCX] 2021 sec.1752. national cyber director.

 

| | Comments (0)

NIST FIPS-202「SHA-3 標準」、 SP 800-185「SHA-3 派生関数」についてのパブリックコメント募集 (2023.07.27)

こんにちは、丸山満彦です。

NISTが、2015年に発行した FIPS-202「SHA-3 標準」と、2016年に発行したSP 800-185「SHA-3 派生関数」についてのパブリックコメントを募集していますね。。。2023.10.27までです。。。

NIST - ITL

・2023.07.27 NIST Requests Public Comments on FIPS 202, "SHA-3 Standard," and SP 800-185, "SHA-3 Derived Functions"

 

FIPS 202 SHA-3のほう。。。

・2014.08.04 FIPS 202 SHA-3 Standard: Permutation-Based Hash and Extendable-Output Functions

・[PDF]

20230803-55439

 

 

SP 800-185 SHA-3 派生関数のほう...

・2016.12.22 NIST SP 800-185 SHA-3 Derived Functions: cSHAKE, KMAC, TupleHash, and ParallelHash

・[PDF

20230803-55512

 


 

関連文書

ITL Bulletin

・2012.11.12 IR 7896 Third-Round Report of the SHA-3 Cryptographic Hash Algorithm Competition

・2011.02.23 IR 7764 Status Report on the Second Round of the SHA-3 Cryptographic Hash Algorithm Competition

・2009.09.23 IR 7620 Status Report on the First Round of the SHA-3 Cryptographic Hash Algorithm Competition



| | Comments (0)

公認会計士協会 公認会計士事務所に対する情報セキュリティ実務指針及び実務ガイダンスの改正

こんにちは、丸山満彦です。

日本公認会計士協会が、公認会計士事務所に対する情報セキュリティ実務指針及び実務ガイダンスの改正を公表していますね。。。

ただし、改正は体系的な整理が目的で実質的な変更はないということのようですね。。。ただ、見た目はすごく変わっています。。。

公認会計士事務所には、さまざま企業や政府に関する様々な機微な情報がある場合もありそうなので、情報セキュリティ対策は重要ですよね。。。

情報の取扱いについての信頼がなければ、情報の提供も難しくなり、適切な業務ができなくなる。なので、機微な情報を取り扱うことが前提となるような業務については、適切な情報セキュリティ対策がされていることを信頼されることが前提となりますよね。。。弁護士事務所も同じだろうと思います。このような特殊な情報を扱える団体に対する情報セキュリティ対策は、今後ますます重要となってくるでしょうね。。。

 

日本公認会計士協会

・2023.07.31 「品質管理基準報告書第1号実務指針第1号「公認会計士業務における情報セキュリティの指針」及び品質管理基準報告書第1号実務ガイダンス第2号「公認会計士業務における情報セキュリティの指針に係るQ&A(実務ガイダンス)」の改正」の公表について

 

・[PDF] 参考資料(改正の概要)

20230803-51901

 

・[PDF] 監査・保証基準委員会実務指針第5号

・[PDF] 監査・保証基準委員会研究報告第1号

・[PDF] 監査・保証基準委員会実務指針第5号(履歴付き)

・[PDF] 監査・保証基準委員会研究報告第1号(履歴付き)

 

 

 

| | Comments (0)

英国 RUSI サイバー保険とランサムウェア...身代金を払わないというのは最適解か?

こんにちは、丸山満彦です。

英国のRoyal United Services Institute; RUSI [wikipedia ] がランサムウェアによる身代金要求に対しする解決策として最善の解決策とはどういうものかを検討したという報告書を出しています。身代金を支払わないというのが最適であるという(ある意味根拠がない)考えではなく、フラットに考えてどのような方法が(社会にとって)最適なのだろうかというのを考えているのだろうと思います。サイバー保険から身代金を出すなというよりも、身代金をはらうこともオプションとして考えられるならば、どのような制度を整備すべきかという観点での検討かと思います。

身代金の支払交渉をする会社を免許制にし、その交渉過程を保険会社に適時報告する。決済会社はマネーロンダリング防止法等の対策をした金融当局に登録した会社であること。その際に暗号資産を使う場合は、免許を得た会社であること。

個人的には、当初より、身代金の支払いはやめた方が良いという意見ですが、それが社会的にベストな解決策かどうかは分かりませんね。ただ、身代金を安易に支払すぎる(保険を使う使わないに関わらず)と、ランサムウェアの攻撃を社会的にも増加しそうだと思うこと、その犯罪収益が他の犯罪も含めた犯罪の資金源になりかねないこと、身代金を払っても復号鍵を提供してもらえない可能性があること、復号鍵を入手できても適切にシステムが復号できるとは限らないこと、実際の誘拐事案と異なり人命が直接に危険にされされていないことなど、総合的に勘案して、まあ、払わないことを原則にすべきと思ったわけですけどね。。。もう少し、細い条件にわけて最適解を考えるということはできますね。。。

検討の価値がある。。。

 

Royal United Services Institute; RUSI

・2023.07.31 Cyber Insurance and the Ransomware Challenge

Cyber Insurance and the Ransomware Challenge サイバー保険とランサムウェアの課題
A study examining the role of cyber insurance in addressing the threats posed by ransomware. ランサムウェアがもたらす脅威に対処するためのサイバー保険の役割を検証する。
Executive Summary 要旨
The cyber insurance industry has been heavily criticised for providing coverage for ransom payments. A frequent accusation, which has become close to perceived wisdom in policymaking and cyber security discussions on ransomware, is that cyber insurance has incentivised victims to pay a ransom following a cyber incident, rather than seek alternative remediation options. Over a 12-month research project, researchers from RUSI, the University of Kent, De Montfort University and Oxford Brookes University conducted a series of expert interviews and workshops to explore the relationship between cyber insurance and ransomware in depth. This paper argues that there is, in fact, no compelling evidence that victims with cyber insurance are much more likely to pay ransoms than those without. サイバー保険業界は、身代金支払いに対する補償をプロバイダとして提供していることで激しい批判を受けている。ランサムウェアに関する政策立案やサイバーセキュリティの議論において、常識に近いと思われる非難が頻繁になされているが、それは、サイバー保険が、サイバーインシデントが発生した後、被害者が代替的な修復方法を模索するのではなく、身代金を支払うように仕向けたというものである。RUSI、ケント大学、デ・モントフォート大学、オックスフォード・ブルックス大学の研究者は、12ヶ月に及ぶ研究プロジェクトにおいて、サイバー保険とランサムウェアの関係を詳細に調査するため、一連の専門家インタビューとワークショップを実施した。本稿では、サイバー保険に加入している被害者が加入していない被害者よりも身代金を支払う可能性が高いという説得力のある証拠は、実際には存在しないと論じている。
Ransomware remains one of the most persistent cyber threats facing the UK. Despite a range of government, law enforcement and even military cyber unit initiatives, ransomware remains lucrative for criminals. During this research, we identified three main drivers that ensure its continued success: ランサムウェアは依然として、英国が直面する最も根強いサイバー脅威の一つである。政府、法執行機関、さらには軍のサイバー部隊によるさまざまな取り組みにもかかわらず、ランサムウェアは依然として犯罪者にとって有利なままである。今回の調査で、我々はランサムウェアの継続的な成功を確実なものにしている3つの主な要因を特定した:
・A profitable business model that continues to find innovative ways to extort victims. ・被害者を恐喝する革新的な方法を見つけ続ける収益性の高いビジネスモデル。
・Challenges around securing organisations of all sizes. ・あらゆる規模の組織の安全確保に関する課題。
・The low costs and risks for cybercriminals involved in the ransomware ecosystem, both in terms of the barriers to entry and the prospect of punishment. ・ランサムウェアのエコシステムに関与するサイバー犯罪者にとって、参入障壁と処罰の見込みの両面で、コストとリスクが低いこと。
Despite this perfect storm of factors, the cyber insurance industry has been singled out for criticism with the claim that it is funding organised cybercrime by covering ransom payments. In reality, cyber insurance’s influence on victim decision-making is considerably more nuanced than the public debate has captured so far. While there is evidence that cyber insurance policies exfiltrated during attacks are used as leverage in negotiations and to set higher ransom demands, the conclusion that ransomware operators are deliberately targeting organisations with insurance has been overstated. このような完璧な要因の嵐にもかかわらず、サイバー保険業界は、身代金の支払いをカバーすることで組織的なサイバー犯罪に資金を提供しているとの批判にさらされている。実際には、サイバー保険が被害者の意思決定に与える影響は、これまでの一般的な議論よりもかなり微妙である。攻撃中に流出したサイバー保険証書が交渉のテコとして使われたり、より高い身代金要求を設定するために使われているという証拠はあるが、ランサムウェアの運営者が意図的に保険に加入している組織を標的にしているという結論は誇張されすぎている。
However, the insurance industry could do much more to instil discipline in both insureds and the ransomware response ecosystem in relation to ransom payments to reduce cybercriminals’ profits. Insurers’ role as convenors of incident response services gives them considerable power to reward firms that drive best practices and only guide victims towards payment as a last resort. But the lack of clearly defined negotiation protocols and the challenges around learning from incidents make it difficult to develop a sense of collective responsibility and shared best practices around ransomware response. This has not been helped by the UK government’s black-and-white position on ransom payments, which has created a vacuum of assurance and advice on best practices for ransom negotiations and payments. しかし、保険業界は、サイバー犯罪者の利益を減らすために、身代金の支払いに関して被保険者とランサムウェア対応のエコシステムの双方に規律を浸透させるために、もっと多くのことができるはずだ。保険会社はインシデント対応サービスの招集者としての役割を担っているため、ベストプラクティスを推進し、被害者を最後の手段としてのみ支払いに誘導する会社に報酬を与える大きな力を有している。しかし、交渉プロトコルが明確に定義されていないことや、インシデントから学ぶことをめぐる課題によって、ランサムウェア対応に関する集団的責任感やベストプラクティスの共有が困難になっている。英国政府が身代金の支払いに関して白黒をはっきりさせる姿勢を示していることも、この状況を助長していない。そのため、身代金の交渉や支払いに関するベストプラクティスに関する保証やアドバイスが空白になっている。
This paper does not advocate for an outright ban on ransom payments or for stopping insurers from providing coverage for them. Instead, it makes the case for interventions that would improve market-wide ransom discipline so that fewer victims pay ransoms, or pay lower demands. Ultimately, this involves creating more pathways for victims that do not result in ransom payments. Beyond ransom payments, cyber insurance has a growing role in raising cyber security standards, which could make it more difficult to successfully compromise victims and increase costs for ransomware operators. Successive years of losses from ransomware have led to more stringent security requirements and risk selection by underwriters. Although the overall effect of this on the frequency and severity of ransomware attacks remains to be seen, by linking improvements in security practices to coverage, cyber insurance is currently one of the few market-based levers for incentivising organisations to implement security controls and resilience measures. However, continued challenges around collecting and assessing reliable cyber risk and forensic claims data continue to place limits on the market’s effectiveness as a mechanism for reducing ransomware risk. This, along with cyber insurance’s low market penetration, makes clear that cyber insurance should not be treated as a substitute for the legislation and regulation required to improve minimum cyber security standards and resilience. Insurers are also commercial entities that primarily exist to help organisations transfer risk, rather than to improve national security and societal cyber resilience. 本稿は、身代金支払いを全面的に禁止することや、保険会社が身代金支払いを補償することを止めることを主張するものではない。その代わりに、身代金を支払う被害者が少なくなるように、あるいは身代金の要求額が低くなるように、市場全体の身代金規律を改善するような介入を主張する。最終的には、身代金の支払いに至らないような被害者の道筋を増やすことが必要である。身代金の支払いだけでなく、サイバー保険はサイバーセキュリティの標準を向上させる役割を担っており、これによって被害者を危険にさらすことが難しくなり、ランサムウェアの運営者のコストが増加する可能性がある。ランサムウェアによる損害が何年も続いているため、引受保険会社によるセキュリティ要件やリスク選択がより厳しくなっている。このことがランサムウェア攻撃の頻度と深刻度に及ぼす全体的な影響はまだ分からないが、セキュリティ対策の改善を補償に結びつけることで、サイバー保険は現在、組織にセキュリティ管理とレジリエンス対策を実施するインセンティブを与える数少ない市場ベースの手段の一つとなっている。しかし、信頼できるサイバーリスクとフォレンジック請求データの収集と評価に関する継続的な課題により、ランサムウェアのリスクを軽減するメカニズムとしての市場の有効性には限界がある。このことは、サイバー保険の市場浸透率の低さとともに、サイバー保険が最低限のサイバーセキュリティ標準とレジリエンスを改善するために必要な法律や規制の代用品として扱われるべきではないことを明確にしている。また、保険会社は、国家安全保障や社会的なサイバー・レジリエンスを改善するためというよりは、主に組織のリスク移転を支援するために存在する事業体である。
The cyber insurance industry could be a valuable partner for the UK government through increased ransomware attack and payment reporting, sharing aggregated claims data, and distributing National Cyber Security Centre (NCSC) guidance and intelligence to organisations. However, the government has not made a compelling enough case to insurers and insureds about the benefits of doing so. Instead, it has relied on appealing to their general sense of altruism. While insurers will benefit if governments are able to generate more accurate and actionable data on ransomware, albeit indirectly, this needs to be sold to the industry in a more convincing way. サイバー保険業界は、ランサムウェア攻撃と支払いの報告の増加、集約されたクレームデータの共有、国家サイバーセキュリティセンター(NCSC)のガイダンスとインテリジェンスの組織への配布を通じて、英国政府にとって貴重なパートナーとなりうる。しかし、政府は保険会社や被保険者に対して、そうすることのメリットについて十分に説得力のある説明を行っていない。その代わりに、一般的な利他主義に訴えることに頼っている。間接的とはいえ、政府がランサムウェアに関するより正確で実用的なデータを作成できれば、保険会社は恩恵を受けることになるが、このことをもっと説得力のある方法で保険業界に売り込む必要がある。
Some principles and recommendations for both the insurance industry and the UK government are listed below. These are not designed to solve all the challenges of the cyber insurance market, nor do they present wide-ranging solutions to the ransomware challenge. Instead, they focus on where the cyber insurance industry can have the most impact on key ransomware drivers. This reflects the fact that disrupting the ransomware economy involves applying pressure from different angles in a whole-of-society approach. The recommendations also start from the position that the UK government’s light-touch approach is unsustainable and requires more intervention in private markets that are involved in ransomware prevention and response. While they are specifically aimed at UK policymakers, regulators and insurers, they may be applicable to other national contexts. 保険業界と英国政府双方に対するいくつかの原則と提言を以下に挙げる。これらはサイバー保険市場のすべての課題を解決するためのものではなく、ランサムウェアの課題に対する広範な解決策を提示するものでもない。その代わりに、サイバー保険業界がランサムウェアの主要な推進要因に対して最もインパクトを与えることができる部分に焦点を当てている。これは、ランサムウェア経済を破壊するには、社会全体からのアプローチで様々な角度から圧力をかける必要があるという事実を反映している。提言はまた、英国政府のライトタッチのアプローチは持続不可能であり、ランサムウェアの予防と対応に関わる民間市場への介入を強化する必要があるという立場から出発している。これらは特に英国の政策立案者、規制当局、保険会社を対象としているが、他の国の状況にも適用できる可能性がある。
Recommendations 提言
Recommendation 1: To increase oversight of ransomware response, insurers should use policy language to require that insureds and incident response firms provide written evidence of negotiation strategies and outcomes. 提言1:ランサムウェアへの対応に対する監視を強化するため、保険会社は保険契約上の文言を用いて、保険会社やインシデント対応会社に対し、交渉戦略とその結果について書面で証拠を提出するよう求めるべきである。
Recommendation 2: To develop and drive ransomware response best practices across the market, insurers should select specialist ransomware response firms for panels that meet a set of pre-defined minimum requirements. These should include: A proven track record of both regularly achieving outcomes that do not result in ransom payments, and of operational relationships with law enforcement and cyber security agencies. Conducting sanctions risk assessments. Compliance with anti-money laundering laws and FATF (Financial Action Task Force) standards. Ensuring payment firms that make payments on behalf of UK victims are registered with relevant financial authorities in the UK. 提言2:ランサムウェア対応のベストプラクティスを開発し、市場全体に浸透させるために、保険会社はランサムウェア対応の専門会社を、あらかじめ定義された最低要件を満たすパネルに選定すべきである。これには以下が含まれる: 身代金の支払いに至らない成果を定期的に達成し、法執行機関やサイバーセキュリティ機関と業務上の関係を築いてきた実績があること。制裁リスクアセスメントの実施。マネーロンダリング防止法および FATF(金融活動作業部会)の標準を遵守すること。英国の被害者に代わって支払いを行う決済会社が、英国の関連金融当局に登録されていることを確認する。
Recommendation 3: The UK government should commission a study to improve its understanding of specialist ransomware response firms. This should aim to identify common best practices and key market players, and create a framework for benchmarking the quality of their services and products. These findings can be distributed to trusted partners in the insurance industry. To drive best practices in ransomware response and create more oversight of the incident response ecosystem, the NCSC, National Crime Agency (NCA) and international partners should also explore the feasibility and potential implications of creating a dedicated assurance scheme for firms that provide specialist ransomware services such as decryption, recovery, negotiations and payments. 提言3英国政府は、ランサムウェア対応の専門企業に対する理解を深めるための調査を委託すべきである。これは、共通のベストプラクティスと主要な市場プレイヤーを特定し、サービスや製品の品質をベンチマークするための枠組みを作成することを目的とすべきである。これらの調査結果は、保険業界の信頼できるパートナーに配布することができる。ランサムウェア対応のベストプラクティスを推進し、インシデント対応のエコシステムに対する監視を強化するために、NCSC、国家犯罪対策庁(NCA)、および国際的なパートナーは、復号化、復旧、交渉、支払いなどのランサムウェア専門サービスを提供する企業に対して専用の保証スキームを設けることの実現可能性と潜在的な意味合いについても検討すべきである。
Recommendation 4: To increase reporting of ransom payments, the UK government and international partners should explore creating a dedicated licensing regime for firms that facilitate cryptocurrency payments on behalf of ransomware victims. In the short-term, the UK government should follow the example set by the US government and also ensure that ransomware response firms that facilitate payments are registered as money service businesses in the UK and therefore subject to national financial crime reporting requirements. 提言4:身代金支払いの報告を増加させるため、英国政府と国際的パートナーは、ランサムウェア被害者に代わって暗号通貨による支払いを促進する企業に対する専用のライセンス制度の創設を検討すべきである。短期的には、英国政府は米国政府が示した例に倣い、支払いを促進するランサムウェア対応企業が英国でマネーサービス事業者として登録され、国の金融犯罪報告要件の対象となることも確認すべきである。
Recommendation 5: To reach a market-wide consensus on what constitutes a reasonable last resort before a ransom payment is made, insurers should agree on a set of minimum conditions and obligations in ransomware coverage to ensure alternatives are explored first. These should include sanctions due diligence, a requirement to notify law enforcement and written evidence that all options have been exhausted. 提言5:身代金の支払いが行われる前に、何が合理的な最後の手段を構成するかについて市場全体のコンセンサスを得るために、保険会社はランサムウェアの補償における最低限の条件と義務について合意し、最初に代替手段が検討されるようにすべきである。これには、制裁措置のデューディリジェンス、法執行機関への通知要件、あらゆる選択肢が尽くされたことの書面による証拠などが含まれるべきである。
Recommendation 6: To increase ransomware reporting and ensure victims are able to access any relevant law enforcement and NCSC support, insurers should specify that any ransomware coverage must contain a requirement for policyholders to notify Action Fraud (the UK’s national centre for reporting fraud and cybercrime) and the NCSC before a ransom is paid. If there is no progress on this recommendation without intervention, then regulators should intervene to compel insurers to include this obligation in coverage. However, this recommendation also depends on the implementation of long-promised but delayed reforms to Action Fraud. These should include creating a dedicated category for reporting ransomware. Law enforcement and the NCSC must also provide assurances to insurers that they have the capabilities to support victims during incidents and that reporting leads to actual outcomes against ransomware actors, such as cryptocurrency seizures, arrests or offensive cyber operations. 提言6:ランサムウェアの報告を増加させ、被害者が関連する法執行機関やNCSCの支援にアクセスできるようにするため、保険会社はランサムウェアの補償に、身代金が支払われる前に保険契約者がAction Fraud(詐欺やサイバー犯罪を報告するための英国のナショナルセンター)やNCSCに通知する要件を含めることを明記すべきである。介入なしにこの提言に進展がないのであれば、規制当局が介入して保険会社にこの義務を補償に含めるよう強制すべきである。しかし、この提言は、長い間約束されながら遅れているAction Fraudの改革の実施にもかかっている。これには、ランサムウェアを報告するための専用カテゴリーを設けることも含まれるべきである。また、法執行機関とNCSCは、インシデント発生時に被害者を支援する能力を有していること、および通報が暗号通貨の押収、逮捕、攻撃的なサイバー作戦など、ランサムウェアの行為者に対する実際の成果につながることを保険会社に保証しなければならない。
Recommendation 7: The NCSC and a UK insurer should trial integrating the NCSC’s Early Warning service into their ongoing assessments of policyholders. This would enable the insurer to distribute intelligence from Early Warning at scale and notify policyholders of potential ransomware attacks. The NCSC should also explore whether Early Warning will need to be expanded and adapted to meet the requirements of insurers and policyholders. 提言7:NCSCと英国の保険会社は、NCSCのEarly Warningサービスを保険契約者の継続的な評価に統合する試みを行うべきである。これにより、保険会社はEarly Warningからの情報を大規模に配信し、保険契約者にランサムウェア攻撃の可能性を通知できるようになる。またNCSCは、保険会社と保険契約者の要件を満たすために、早期警報の拡張と適応が必要かどうかも検討すべきである。
Recommendation 8: To deepen operational collaboration with the insurance industry, the NCSC should seek to recruit secondees from the cyber insurance industry into the Industry 100 cyber security secondment scheme. This should include identifying specific tasks and roles for underwriters, claims managers and incident response professionals working for UK insurers. 提言8:保険業界との業務協力を深めるため、NCSCはサイバー保険業界からインダストリー100サイバーセキュリティ出向者制度に出向者を採用するよう努めるべきである。これには、英国の保険会社に勤務するアンダーライタークレームマネジャーインシデント対応の専門家の具体的な業務や役割を特定することも含まれるべきである。
Recommendation 9: To increase reporting of ransom payments, the Home Office and NCA should ensure that existing financial crime reporting mechanisms – specifically, suspicious activity reports (SARs) – are fit for reporting ransom payments or money laundering linked to ransomware. Concurrently, the UK government should also identify ways to encourage cyber insurers to report ransom payments as SARs or through more informal channels.   提言9:身代金支払いの報告を増加させるため、内務省とNCAは、既存の金融犯罪報告メカニズム(特に疑わしい活動報告(SAR))が、ランサムウェアに関連した身代金支払いやマネーロンダリングの報告に適していることを確認すべきである。同時に英国政府は、サイバー保険会社が身代金支払いをSARとして、またはより非公式なルートを通じて報告することを奨励する方法を特定すべきである。 

 

・[PDF]

20230802-185213

 

 

 

| | Comments (0)

2023.08.02

米国 国家サイバー人材・教育戦略

こんにちは、丸山満彦です。

米国が国家サイバー人材・教育戦略が公表されていますね。。。

4つの柱。。。

サポートする団体がすごいですね。。。

 

U.S. White House

・2023.07.31 FACT SHEET: Biden-Harris Administration Announces National Cyber Workforce and Education Strategy, Unleashing America’s Cyber Talent

FACT SHEET: Biden-⁠Harris Administration Announces National Cyber Workforce and Education Strategy, Unleashing America’s Cyber Talent< ファクトシート:バイデン-ハリス政権が国家サイバー人材・教育戦略を発表、アメリカのサイバー人材を解き放つ
Read the full strategy here  戦略全文はこちら 
Today, the Biden-Harris Administration unveiled the National Cyber Workforce and Education  Strategy (NCWES), a first-of-its-kind comprehensive approach aimed at addressing both  immediate and long-term cyber workforce needs. Filling the hundreds of thousands of cyber job  vacancies across our nation is a national security imperative and the Administration is making  generational investments to prepare our country to lead in the digital economy. The NCWES is  positioned to empower every American seeking to participate in our digital ecosystem and  underscores the critical need to fill a vast number of vacant cyber jobs.  本日、バイデン-ハリス政権は、国家サイバー人材・教育戦略(NCWES)を発表した。これは、緊急かつ長期的なサイバー人材ニーズに対処することを目的とした、他に類を見ない包括的なアプローチである。これは、緊急かつ長期的なサイバー人材ニーズに対応することを目的とした、他に類を見ない包括的なアプローチである。全米で数十万人いるサイバー職の欠員を埋めることは、国家安全保障上の急務であり、政権は、デジタル経済をリードするために、わが国を準備するための世代的な投資を行っている。NCWESは、デジタル・エコシステムに参加しようとするすべての米国人に力を与えるものであり、膨大な数のサイバー職の欠員を埋めることが極めて重要であることを強調するものである。 
The approaches outlined in the NCWES will supplement the Administration’s ongoing efforts to  grow and strengthen middle class working families, including through the Bipartisan  Infrastructure Law, CHIPS and Science Act, and the Inflation Reduction Act. With the release of  the NCWES, the Biden-Harris Administration is working to fill good paying, middle class jobs.   NCWESで概説されているアプローチは、超党派インフラ法、CHIPSおよび科学法、インフレ削減法などを通じて、中産階級の労働者家庭を成長させ、強化するための政権の継続的な取り組みを補足するものである。NCWESの発表により、バイデン-ハリス政権は、高賃金の中産階級の雇用の充足に取り組んでいる。  
Many communities currently underrepresented in the cyber workforce do not envision  themselves in cyber jobs or are not aware of the tremendous opportunity to join this important  and growing workforce. The NCWES focuses on empowering Americans to pursue these career  paths in cyber. Many of these jobs are attainable with a certificate or community college degree,  and available now in your local community and across the country.  現在、サイバー労働力として十分な存在感を示していない多くのコミュニティは、自分たちがサイバー職に就いていることを想像していなかったり、この重要で成長中の労働力に加わる絶好の機会があることに気づいていなかったりする。NCWESは、米国人がサイバー分野のキャリアパスを追求できるようにすることに重点を置いている。これらの仕事の多くは、修了証やコミュニティ・カレッジの学位で達成可能であり、今すぐ地元や全国で利用可能である。 
The NCWES follows the release of the President’s National Cybersecurity Strategy, which  established a vision for the development of digital environment that is values-aligned and well resourced to address today’s complex threat environment. The NCWES envisions a skills-based  digital future where workers have access to good-paying, middle-class cyber jobs within their  communities. In addition, educators are enabled to continuously upskill the public, and  employers can expand and diversify their workforce. The NCWES was developed in  consultation with non-governmental stakeholder groups, including private industry, academia,  non-profits, government partners, and more.  NCWESは、大統領の国家サイバーセキュリティ戦略の発表に続くもので、今日の複雑な脅威環境に対処するために、価値観が一致し、十分なリソースを備えたデジタル環境の開発に関するビジョンを確立した。NCWESは、労働者が地域社会で高賃金の中流階級のサイバー職に就くことができるような、スキルに基づくデジタルの未来を描いている。さらに、教育者は一般市民を継続的にスキルアップさせることができ、雇用者は労働力を拡大し多様化させることができる。NCWESは、民間企業、学術界、非営利団体、政府パートナーなど、政府以外のステークホルダー・グループとの協議により開発された。 
GUIDING IMPERATIVES   指針  
The NCWES emphasizes that no one actor can alone affect the needed change at scale. This  means all stakeholders – including educators, industry, government, and more – must all execute  on the objectives set forth in this Strategy.  NCWESは、必要とされる変革の規模を拡大するためには、いかなる主体も単独では影響力を持ち得ないことを強調している。つまり、教育関係者、産業界、政府などを含むすべてのステークホルダーが、この戦略に掲げた目標を実行に移さなければならないのである。 
Together, with our partners, the Biden-Harris Administration will:  バイデン-ハリス政権は、パートナーとともに、次のことを行う: 
• Leverage adaptable ecosystems to effect change at scale: The NCWES represents a  whole-of-nation effort to spark, support, and scale local ecosystems for cyber education  and workforce development.  - 適応可能なエコシステムを活用し、大規模な変化をもたらす: NCWESは、サイバー教育と人材育成のための地域のエコシステムを喚起し、支援し、拡大するための全国的な取り組みを代表するものである。 
• Enable the lifelong development of cyber skills: All Americans should be equipped  with foundational cyber skills that are needed to navigate daily life. Those in every sector  of the workforce should be prepared with industry-specific or occupation-specific cyber  skills. Further, people who are in the cyber workforce should be equipped with specialized cyber skills that will change over the course of their careers.   - サイバー・スキルの生涯開発を可能にする: すべてのアメリカ人は、日常生活に必要な基礎的なサイバー・スキルを身につけるべきである。労働力のあらゆる部門の人々は、産業別または職業別のサイバー・スキルを備えるべきである。さらに、サイバー労働力に従事する人々は、キャリアの過程で変化する専門的なサイバー・スキルを備えるべきである。  
• Grow and enhance the cyber workforce through improving its diversity and  inclusion: A diverse workforce is a key strategic advantage. It increases the pool of  eligible workers and which provides novel ways to solve problems and develop  innovative solutions to our most complex challenges. The NCWES charts a course for providing all Americans with access to the good-paying jobs of the future.   - 多様性と包括性の改善を通じて、サイバー労働力を成長させ、強化する: 多様な労働力は重要な戦略的優位性である。それは、適格な労働者のプールを増加させ、問題を解決し、最も複雑な課題に対する革新的な解決策を開発する斬新な方法を提供する。NCWESは、すべての米国人が将来の高賃金の仕事にアクセスできるようにするための道筋を描く。  
APPROACH  アプローチ 
The NCWES seeks to build and enhance collaboration around four pillars:  NCWESは、4つの柱を中心に協力関係を構築し、強化することを目指している: 
1. Equip Every American with Foundational Cyber Skills – enable everyone to enjoy the  full benefits of our interconnected society:  1. すべての米国人に基礎的なサイバー・スキルを身につけさせる - 相互接続された社会の恩恵をすべての人が享受できるようにする: 
o Make foundational cyber skill learning opportunities available to all;  o 基礎的なサイバースキル学習の機会をすべての人に提供する 
o Promote the pursuit of foundational cyber skills and cyber careers; and,  o 基礎的なサイバースキルとサイバーキャリアの追求を促進する
o Foster global progress in foundational cyber skills.  o 基礎的なサイバースキルの世界的進歩を促進する
2. Transform Cyber Education – address the immediate demand for a skilled cyber  workforce while also preparing learners to meet the future needs of a dynamic  technological environment:  2. サイバー教育の変革 - 熟練したサイバー労働力に対する当面の需要に対応すると同時に、ダイナミックな技術環境の将来のニーズに対応できるように学習者を準備する: 
o Build and leverage ecosystems to improve cyber education, from K-12 education,  to higher education, community colleges, and technical schools;  o K-12教育から高等教育、コミュニティカレッジ、専門学校に至るまで、サイバー教育を改善するためのエコシステムを構築し、活用する; 
o Expand competency-based cyber education;   o コンピテンシーベースのサイバー教育の拡大
o Invest in educators and improving cyber education systems; and,  o 教育者への投資とサイバー教育システムの改善 
o Make cyber education and training more affordable and accessible.  o サイバー教育とトレーニングをより手頃な価格で利用しやすくする。 
3. Expand and Enhance the National Cyber Workforce – collaborate with a wide range  of stakeholders, adopt a skills-based approach to recruitment and development, and  increase access to cyber jobs for all Americans, including underserved and  underrepresented groups:  3. 米国のサイバー人材の拡大と強化 - 幅広い利害関係者と協力し、採用・育成にスキルベースのアプローチを採用し、十分なサービスを受けていない人々や社会的地位の低い人々を含むすべてのアメリカ人のサイバー職へのアクセスを増加させる: 
o Grow the cyber workforce by proliferating and strengthening ecosystems; o エコシステムの拡散と強化によりサイバー人材を育成する
o Promote skills-based hiring and workforce development;   o スキルベースの雇用と労働力開発を促進する 
o Leverage the diversity of America to strengthen the cyber workforce; and, o 米国の多様性を活用しサイバー人材を強化する
o Enhance international engagements.  o 国際的関与の強化
4. Strengthen the Federal Cyber Workforce – communicate the benefits of careers in  public service amongst both job seekers and current employees and lower the barriers  associated with hiring and onboarding:  4. 連邦政府のサイバー人材の強化 - 求職者と現職者の双方に公務員としてのキャリアの利点をコミュニケーションし、雇用と入社に関連する障壁を下げる: 
o Drive sustained progress through greater federal collaboration;   o 連邦政府との協力強化を通じて持続的な進展を促進する  
o Attract and hire a qualified and diverse federal cyber workforce;   o 有能で多様な連邦サイバー人材を惹きつけ雇用する
o Improve career pathways in the federal cyber workforce; and,  o 連邦政府のサイバー人材におけるキャリアパスを改善する 
o Invest in human resources capabilities and personnel.  o 人材と能力への投資
COMMITMENTS   コミットメント  
Many of our stakeholders– including educators, industry, and government– have already  demonstrated their commitment to the NCWES through their actions and partnerships:   教育者、産業界、政府を含む多くのステークホルダーは、すでに行動やパートナーシップを通じてNCWESへのコミットメントを示している:  
National Science Foundation (NSF)  全米科学財団(NSF) 
NSF will invest over $24M in CyberCorps®: Scholarship for Service (SFS) awards over the next  four years. These awards will support the development of a robust and resilient cybersecurity  workforce by addressing the unique challenges around recruiting and retaining cybersecurity  professionals for careers serving federal, local, state, or tribal governments. Awards will be made  to: 1) University of Alabama at Birmingham; 2) California State University; Sacramento; 3)  University of Tennessee Chattanooga; 4) Tuskegee University; 5) State University of New York  at Buffalo; 6) Mississippi State University; and 7) Idaho State University.  NSF は CyberCorps® に 2,400 万ドル以上を投資する: この賞は、今後4年間にわたり、CyberCorps®: Scholarship for Service (SFS) 賞に2,400万ドル以上を投資する。これらの賞は、連邦政府、地方政府、州政府、または部族政府に奉仕するサイバーセキュリティの専門家を採用し、維持するための独自の課題に取り組むことで、強固でレジリエンスに優れたサイバーセキュリティ人材の育成を支援する。助成先は以下の通りである: 1) アラバマ大学バーミンガム校、2) カリフォルニア州立大学サクラメント校、3) テネシー大学チャタヌーガ校、4) タスキーギー大学、5) ニューヨーク州立大学バッファロー校、6) ミシシッピ州立大学、7) アイダホ州立大学。 
National Security Agency (NSA)  国家安全保障局(NSA) 
The National Security Agency’s (NSA) National Center of Academic Excellence in  Cybersecurity (NCAE-C) program will release four grants to support a pilot initiative to develop four new Cyber Clinics at accredited U.S. colleges and universities in Nevada, Minnesota,  Louisiana and Virginia. The Cyber Clinics will support communities and small governments  that would otherwise not have access to cyber risk assessment and planning assistance and  provide an opportunity for over 200 students to develop competencies while in a supervised  learning environment. NSA also expects to increase the number of NCAE-C designated  institutions to 460 by the end of 2024, which will serve a projected 174,000 students annually.  NSA also sponsors GenCyber summer camps each year, with a goal of at least 100 camps across  the country, serving 2,800 students and 600 teachers.  国家安全保障局(NSA)の国立サイバーセキュリティ・センター・オブ・エクセレンス(NCAE-C)プログラムは、ネバダ州、ミネソタ州、ルイジアナ州、バージニア州の認定された米国の大学で4つの新しいサイバー・クリニックを開発する試験的イニシアチブを支援する4つの助成金を発表する。サイバー・クリニックは、サイバー・リスクのアセスメントやプランニングの支援を受けることができない地域社会や小規模政府を支援し、200人以上の学生が監視された学習環境の中で能力を開発する機会を提供する。NSA はまた、2024 年末までに NCAE-C 指定機構を 460 に増やし、年間 174,000 人の学生にサービスを提供する見込みである。  NSA はまた、毎年 GenCyber サマーキャンプを主催しており、全国で少なくとも 100 のキャンプを開催し、2,800 人の生徒と 600 人の教師にサービスを提供することを目標としている。 
Office of the National Cyber Director (ONCD)  国家サイバー局長室(ONCD) 
ONCD is committed to greater diversity among internship applicants through increased recruitment and outreach to underrepresented communities, such as women, people of color, and people with disabilities. ONCD will identify unique outreach channels with a focus on reaching underrepresented communities and will create dedicated recruitment materials by the Summer 2024 intern application season. ONCDは、女性、有色人種、障がい者など、代表的でないコミュニティへの採用やアウトリーチを増やすことで、インターンシップ応募者の多様性を高めることに尽力している。ONCDは、2024年夏のインターン募集時期までに、代表的でないコミュニティへのアプローチに焦点を当てた独自のアウトリーチ・チャンネルを特定し、専用の募集資料を作成する。
National Institute of Standards and Technology (NIST)  国立標準技術研究所(NIST) 
NIST will award up to $3,600,000 for Regional Alliances and Multistakeholder Partnerships to  Stimulate (RAMPS) cybersecurity education and workforce development projects. The Notice of  Funding Opportunity for RAMPS is open to organizations that will bring together employers and  educators to develop a skilled workforce to meet industry needs within a local or regional  economy. NIST may fund up to 18 RAMPS awards. Additionally, in cooperation with Katzcy, a  digital marketing firm, NIST supports the US Cyber Games to recruit, train, and develop the  team representing the United States in international cybersecurity competitions. This program  engages with over 2,000 individuals in the yearly U.S. Cyber Open and annually trains over 150  students though months-long U.S. Cyber Combine and Pipeline programs.  NISTは、サイバーセキュリティ教育・人材育成プロジェクト(RAMPS)に対し、最高360万ドルを授与する。RAMPSへの資金提供の機会告知は、雇用者と教育者を結びつけ、地域または地方経済における産業界のニーズを満たす熟練労働力を育成する組織を対象としている。NISTは最大18件のRAMPSに資金を提供することができる。さらにNISTは、デジタルマーケティング会社Katzcyと協力して、サイバーセキュリティの国際大会で米国を代表するチームの募集、訓練、育成を行うUS Cyber Gamesを支援している。このプログラムは、毎年開催されるU.S. Cyber Openで2,000人以上の個人と関わり、毎年150人以上の学生を数カ月にわたるU.S. Cyber CombineとPipelineプログラムで訓練している。 
Department of Labor (DOL)  労働省(DOL) 
The Department of Labor announced a $65 million award in formula and competitive grants to  45 states and territories to develop and scale registered apprenticeship programs in cybersecurity  and other critical sectors. Seven of these states and territories identified cybersecurity as one of  their targeted sectors. DOL also made a competitive award to Utah to support the expansion of  Registered Apprenticeship Programs for cybersecurity and other sectors. The Department also announced a new Registered Apprenticeship industry intermediary, Safal Partners LLC, that will  specifically focus on launching, promoting, and expanding Registered Apprenticeship programs  in cybersecurity.   労働省は、サイバーセキュリティやその他の重要な分野における登録見習いプログラムを開発・拡大するため、45の州・準州に6,500万ドルの補助金を交付すると発表した。このうち7つの州と地域は、サイバーセキュリティを対象分野の1つとしている。DOLはまた、サイバーセキュリティやその他の分野の登録見習いプログラムの拡大を支援するため、ユタ州にも競争的資金を提供した。同省はまた、サイバーセキュリティ分野の登録徒弟制度の立ち上げ、促進、拡大に特に注力する新しい登録徒弟制度業界仲介機関Safal Partners LLCを発表した。  
Office of Personnel Management (OPM)  人事管理局(OPM) 
OPM will partner with federal agencies, the Chief Human Capital Officer (CHCO) Council  Recruitment and Outreach Working Group, and external, good-government groups to host a  second Tech to Gov Job Fair by Q2 of FY2024. Further, OPM is conducting an occupational  study to establish or update one or more occupational series covering Federal government  positions in the fields of software development, software engineering, data science, and data  management. OPM will explore Digital Career work in the Federal government to determine  workforce needs and policy requirements supporting a Federal Digital Careers workforce. This  study will identify the nature and scope of digital careers work and the skills needed to perform  this work governmentwide. The results of the study will affect how Federal agencies attract, hire,  and retain Digital Career professionals governmentwide. OPM’s Tech to Gov Working Group is  also partnering with the US Digital Service to support tech hiring across government and  cultivate a pipeline of skilled tech talent recruitment representatives, regardless of their job  series.   OPMは、連邦政府機関、CHCO(Chief Human Capital Officer:最高人的資本責任者)評議会の採用・アウトリーチ・ワーキンググループ、外部の善政グループと連携し、2024年度第2四半期までに第2回Tech to Govジョブフェアを開催する。さらに、OPMは、ソフトウェア開発、ソフトウェア・エンジニアリング、データ・サイエンス、データ管理の分野における連邦政府の職種をカバーする1つ以上の職業シリーズを確立または更新するための職業調査を実施している。OPMは、連邦政府におけるデジタル・キャリアの仕事を調査し、連邦デジタル・キャリアの労働力を支援する労働力ニーズと政策要件を決定する。この調査では、デジタル・キャリア業務の性質と範囲、およびこの業務を政府全体で遂行するために必要なスキルを特定する。この調査結果は、連邦政府機関が政府全体のデジタル・キャリア専門家を引き付け、雇用し、維持する方法に影響を与える。OPMのTech to Govワーキンググループは、USデジタルサービスとも提携し、政府全体で技術者採用を支援し、職種に関係なく熟練した技術者採用代表者のパイプラインを育成している。  
Department of Veterans Affairs (VA)  退役軍人省(VA) 
VA announced a Cybersecurity Apprenticeship Program for Veterans: a two-year developmental  program within the VA Cybersecurity Operations Center (CSOC) to provide a unique, hands-on  learning and development experience for cybersecurity apprentices, and to encourage a career in   VAは、退役軍人のためのサイバーセキュリティ見習いプログラムを発表した。これは、VAサイバーセキュリティ・オペレーション・センター(CSOC)内の2年間の育成プログラムで、サイバーセキュリティ見習いにユニークで実践的な学習と育成の経験を提供し、連邦政府のサイバーセキュリティ人材としてのキャリアを奨励するものである。  
the federal cybersecurity workforce. Program Apprentices will develop cyber knowledge and  experience through mentoring, on-the-job training, and leading-edge training courses. The  program is a registered apprenticeship with the Department of Labor and will begin recruiting  のキャリアを奨励する。プログラム実習生は、指導、実地訓練、最先端の訓練コースを通じて、サイバーに関する知識と経験を身につける。このプログラムは、労働省に登録された実習制度であり、最初のサイバーセキュリティ実習生の募集と受け入れが開始される。 
and onboarding its first cybersecurity apprenticeship cohort in Q1 FY2024. The first cohort will  consist of approximately five transitioning veterans coming from tech-specific Military  Occupational Specialties (MOS), with the hopes of increasing capacity to 10. In addition, VA  authorized a Special Salary Rate (SSR) for its technology and cybersecurity personnel in the  2210, 1550, and 0854 occupational series. This is an important step towards closing the growing  gap between industry and Federal Government salary rates for technology and cybersecurity  roles. The SSR represents an average increase of 17% in basic pay for VA’s highly skilled  technical workforce who are dedicated to providing veterans and their families with the world class benefits they have earned.  最初のサイバーセキュリティ技能実習生は、2024年度第1四半期に募集を開始する予定である。最初の実習生は、技術に特化した軍事職業専門職(MOS)から移行してくる退役軍人約5名で構成され、定員を10名に増やす予定である。さらに、VAは2210、1550、0854の職種シリーズにおけるテクノロジーとサイバーセキュリティ要員の特別給与率(SSR)を承認した。これは、テクノロジーとサイバーセキュリティの職務における、産業界と連邦政府の給与水準の間に広がるギャップを埋めるための重要な一歩である。SSRは、退役軍人とその家族が獲得した世界クラスの給付金を提供するために献身する、VAの高度に熟練した技術職の基本給の平均17%増を意味する。 
Cybersecurity and Infrastructure Security Agency (CISA)  サイバーセキュリティ・インフラセキュリティ庁(CISA) 
Each October, CISA’s Cybersecurity Awareness Month offers a focused opportunity to engage  the public, businesses and other national and international organizations in learning essential  cybersecurity tips and providing information, tools, public engagement opportunities and more  for audiences at all levels. In 2022, Cybersecurity Awareness Month garnered more than 1,400  media mentions and included more than 120 CISA-wide speaking engagements—35 from CISA  leadership—six regional trips, 111 social media posts with more than one million impressions,  7,300 downloads of the Partner Amplification Toolkit, and 108,000 page views of the 2022  landing page. Throughout the year, CISA encourages diversity in the current and future cyber  workforce, expose young people to seek careers in cybersecurity, and bridge the current cyber  gap with women in cybersecurity and tech through partnerships with groups like Girl Scouts of  the USA, Girls Who Code, and Women in CyberSecurity (WiCyS). CISA also manages a  Federal Cyber Defense Skilling Academy to help civilian federal employees develop cyber  defense skills through training in the baseline knowledge, skills, and abilities of a Cyber Defense  Analyst (CDA).  毎年10月、CISAのサイバーセキュリティ意識向上月間は、一般市民、企業、その他国内外の組織に対し、サイバーセキュリティに関する重要なヒントを学び、あらゆるレベルの聴衆に情報、ツール、一般参加の機会などを提供する集中的な機会を提供する。2022年のサイバーセキュリティ啓発月間は、1,400件以上のメディアで取り上げられ、120件以上のCISA全体での講演(CISAのリーダーから35件)、6件の地方出張、111件のソーシャルメディアへの投稿(100万回以上のインプレッション)、7,300件のパートナー増幅ツールキットのダウンロード、10万8,000件の2022年ランディングページのページビューを記録した。CISAは年間を通じて、現在および将来のサイバー労働力の多様性を奨励し、サイバーセキュリティのキャリアを模索する若者に機会を与え、ガールスカウト・オブ・ザ・USA、Girls Who Code、Women in CyberSecurity(WiCyS)などのグループとのパートナーシップを通じて、サイバーセキュリティや技術分野における女性との現在のサイバーギャップを埋めている。CISAはまた、民間連邦職員がサイバー防衛アナリスト(CDA)の基本的な知識、スキル、能力の訓練を通じてサイバー防衛スキルを身につけるのを支援する連邦サイバー防衛スキリングアカデミーも運営している。 
Department of Housing and Urban Development (HUD)  住宅都市開発省(HUD) 
HUD joined the Cyber Talent Initiative in July 2023 and partnered with the Partnership for  Public Service to increase early career talent pipeline and recruitment effort. HUD’s Office of the  Chief Information Security Officer (OCISO) is collaborating across all HUD Program Offices to  get at least 50 placements in the next fiscal year. This initiative with enable participants a  cybersecurity and information technology pathway into HUD by removing as many socio economic barriers as possible. Participants will be provided opportunities to gain federal  employment and hands-on job experience in an immersive environment while learning HUD’s  mission, operations, and culture.   HUDは、2023年7月にサイバー人材イニシアティブに参加し、パートナーシップ・フォー・パブリック・サービスと提携して、早期キャリア人材のパイプラインと採用活動を強化した。HUDの最高情報セキュリティ責任者室(OCISO)は、HUDの全プログラムオフィスと協力し、来年度中に少なくとも50人の配置を獲得する。このイニシアティブは、社会的経済的障壁を可能な限り取り除くことで、参加者がサイバーセキュリティと情報技術でHUDに就職できるようにするものである。参加者は、HUDの使命、運営、文化を学びながら、没頭できる環境で連邦政府の雇用と実践的な職業経験を得る機会が提供される。  
craig newmark philanthropies  クレイグ・ニューマーク・フィランソロピー 
craig newmark philanthropies will provide an update on its $100 million commitment towards its  Cyber Civil Defense Initiative. In 2023, it doubled its $50 million commitment to cybersecurity  causes. It has also issued 11 grants totaling over $12 million to non-profit organizations with  programs that are well-aligned to many of the workforce strategy’s key objectives, including  cyber capacity building; applied learning opportunities; diversity, equity, and inclusion; digital  literacy; and more. This builds on the $48+ million craig newmark philanthropies had already  delivered to organizations focused on cybersecurity workforce development, education, tools,  and services. クレイグ・ニューマーク・フィランソロピーは、サイバー民間防衛イニシアチブに対する1億ドルのコミットメントに関する最新情報を提供する。2023年には、サイバーセキュリティイニシアチブへの5,000万ドルのコミットメントを倍増させた。また、サイバー・キャパシティ・ビルディング、応用学習機会、多様性、公平性、インクルージョン、デジタル・リテラシーなど、ワークフォース戦略の主要目標の多くに合致するプログラムを持つ非営利団体に対し、11件、総額1200万ドルを超える助成金を発行した。これは、クレイグ・ニューマーク・フィランソロピーが、サイバーセキュリティの人材育成、教育、ツール、サービスに特化した団体に既に提供した4,800万ドル以上の資金を基盤としている。
Women in CyberSecurity (WiCyS)  ウーマン・イン・サイバーセキュリティ(WiCyS) 
WiCyS is committed to mobilizing its network to underscore the importance of diverse and  highly skilled cybersecurity professionals to support the National Cyber Workforce and  Education Strategy through four commitments: 1) create cybersecurity career accessibility and  opportunities for upskilling and reskilling underrepresented groups; 2) continue the WiCyS  Security Training Scholarship program by working with a multi-organization approach to invest  in the talent pipeline; and 3) mobilize U.S. regions through WiCyS’s 60 professional affiliates  and 220 student chapters with increased opportunity via conferences, events, and hosted  engagements; and 4) build a cybersecurity ecosystem through industry engagement. Through  these commitments, WiCyS expects to reach over 10,000 individuals.  WiCySは、4つのコミットメントを通じて、多様で高度なスキルを持つサイバーセキュリティ専門家の重要性を強調し、国家サイバー人材・教育戦略を支援するために、ネットワークを動員することにコミットしている: 1)サイバーセキュリティ・キャリアへのアクセスしやすさと、スキルアップや再スキルアップの機会を創出する。2)人材パイプラインに投資するため、複数の組織と協力してWiCySセキュリティ・トレーニング奨学金プログラムを継続する。これらのコミットメントを通じて、WiCySは10,000人以上の個人へのリーチを期待している。 
Cybersafe Foundation   サイバーセーフ財団  
Cybersafe Foundation will develop a cybersecurity ecosystem playbook specifically designed for  the African continent based on the vision laid out in the National Cybersecurity Cyber  Workforce and Education Strategy and the 2023 National Cybersecurity Strategy. The playbook  will promote diversity and inclusion and include lessons learned and best practices that support  cyber workforce development. Cybersafe intends to use it to create opportunities for women and  girls to excel in the cybersecurity field.   Cybersafe Foundationは、国家サイバーセキュリティ人材・教育戦略および2023年国家サイバーセキュリティ戦略に示されたビジョンに基づき、アフリカ大陸向けに特別に設計されたサイバーセキュリティ・エコシステム・プレイブックを開発する。プレイブックは、多様性と包括性を促進し、サイバー人材育成を支援する教訓とベストプラクティスを盛り込む。サイバーセキュリティは、女性や女児がサイバーセキュリティ分野で活躍する機会を創出するために、このプレイブックを活用する意向だ。  
SANS Institute  SANS協会
Over the last year, SANS and the National Cyber Scholarship Foundation (NCSF) expanded  their partnership for CyberStart America and Cyber FastTrack, programs to inspire high school  and college students across the United States to develop foundational cyber skills. In CyberStart,  students utilize a transformative cyber education platform to solve challenges tied to real-world  scenarios and build their core skills and knowledge, discovering a passion for cybersecurity in  the process. For 2023-24, SANS and NCSF plan to engage over 50,000 students in gamified  learning, with up to 5,000 receiving training and certification scholarships. Also, working with  its non-profit, Government, and private sector partners, SANS plans to broaden, diversify, and  strengthen the national cyber workforce through reskilling for career changers. These reskilling  programs will provide over $9.2 million in training and certification scholarships to 500+  individuals, driving increased diversity, equity, inclusion, and accessibility in cybersecurity  across the nation.  昨年、SANSとNational Cyber Scholarship Foundation(NCSF)は、CyberStart AmericaとCyber FastTrackのパートナーシップを拡大した。CyberStartは、米国全土の高校生と大学生にサイバースキルの基礎を身につけさせるプログラムである。CyberStartでは、生徒たちは革新的なサイバー教育プラットフォームを活用し、実社会のシナリオに結びついた課題を解決して中核的なスキルと知識を身につけ、その過程でサイバーセキュリティへの情熱を発見する。2023年から24年にかけて、SANSとNCSFは50,000人以上の学生をゲーミフィケーション学習に参加させ、最大5,000人にトレーニングと資格取得のための奨学金を支給する予定である。また、SANSは、非営利団体、政府、民間セクターのパートナーと協力し、転職者の再教育を通じて、国のサイバー人材の幅を広げ、多様化し、強化することを計画している。これらのリスキリングプログラムは、500人以上の個人に920万ドル以上のトレーニングと認定奨学金を提供し、全米のサイバーセキュリティにおける多様性、公平性、包括性、アクセシビリティの向上を推進する。 
Cyber Readiness Institute (CRI) and the Center on Cyber and Technology Innovation  (CCTI)  サイバー準備機構(CRI)とサイバー技術革新センター(CCTI) 
In August 2023, CRI and CCTI will launch the Phased Critical Infrastructure Pilot: Resiliency  for Water Utilities, providing up to 200 small water utilities with basic cybersecurity training and  promoting a culture of cyber readiness. Microsoft is sponsoring this initiative to help address the  challenge of securing the nation’s water infrastructure from cyber threats. The pilot is based on  the CRI’s Cyber Readiness Program, which is designed to assist small- and medium-sized  businesses improve their cybersecurity risk management and their ability to respond and recover  from a cybersecurity incident. CRI and CCTI will also use the initiative to create a better  understanding of the level of cyber readiness across water utilities. 2023年8月、CRIとCCTIは、段階的重要インフラ試験(Phased Critical Infrastructure Pilot)を開始する: 最大200の小規模水道事業者にサイバーセキュリティの基礎訓練をプロバイダとして提供し、サイバーへの備えの文化を促進する。マイクロソフトは、サイバー脅威から国の水道インフラを保護するという課題に取り組むため、このイニシアチブを後援している。この試験的プログラムは、中小企業のサイバーセキュリティ・リスクマネジメントと、サイバーセキュリティ・インシデントへの対応・復旧能力の向上を支援することを目的としたCRIのサイバー対応プログラムに基づいている。CRIとCCTIはまた、水道事業体全体のサイバー準備のレベルをよりよく理解するために、このイニシアチブを使用する予定である。
Girl Security  ガール・セキュリティ 
Girl Security will unveil a new portfolio called All Secure, which includes the first  comprehensive national security curriculum designed for dual enrollment for high schools and  community colleges. As part of All Secure, Girl Security also launched the Workforce Futures  Alliance, which will join youth alongside industry leaders to design strategies and outputs to  develop the security workforce talent to its fullest potential. Over the next three years, the  organization will expand current programming and implement new programs designed to  activate 1500 new mentees, 1200 workforce fellows, and 10 million US learners through a  targeted engagement strategy with more than 20,000 dual-enrollment high schools and 935  community colleges nationwide.  Girl Securityは、All Secureと呼ばれる新しいポートフォリオを発表する。All Secureには、高校とコミュニティ・カレッジのデュアル登録用に設計された初の包括的な国家セキュリティ・カリキュラムが含まれる。オール・セキュア」の一環として、Girl Securityは「ワークフォース・フューチャーズ・アライアンス」も発足させた。このアライアンスは、業界のリーダーとともに青少年を参加させ、セキュリティ人材の潜在能力を最大限に伸ばすための戦略とアウトプットを策定する。今後3年間で、全国2万校以上の高校と935校のコミュニティ・カレッジを対象としたエンゲージメント戦略を通じて、1500人の新しいメンティー、1200人の労働力フェロー、そして1000万人の米国の学習者を活性化させるよう、現在のプログラムを拡大し、新しいプログラムを実施する予定である。 
Trellix  トレリックス 
Trellix is committed to hiring 300 interns over the next two years. Trellix will also leverage  career growth platform Gotara to advance the careers of 50 of Trellix’s high-performing women  and is committed to offering roles to 12 employees via the Hispanic Alliance for Career  Enhancement (HACE).  Trellixは今後2年間で300人のインターンを雇用することを約束している。Trellixはまた、キャリア成長プラットフォームGotaraを活用し、Trellixの高業績女性50人のキャリアアップを図り、Hispanic Alliance for Career Enhancement (HACE)を通じて12人の社員に役割を提供することを約束している。 
The Society for Human Resource Management (SHRM)  人的資源管理協会(SHRM) 
SHRM is the foremost expert, convener and thought leader on issues impacting today’s evolving  workplaces. With nearly 325,000 members in 165 countries, SHRM impacts the lives of more  than 235 million workers and families globally. SHRM has committed to offering free cyber  training content for HR professionals and aims to provide the training to at least 15,000 users,  projecting that these users would lead to the hiring of up to 75,000 cyber professionals.  SHRM は、今日の進化する職場に影響を与える諸問題に関する第一人者であり、コンビーナーであり、ソートリーダーである。165カ国に約325,000人の会員を擁するSHRMは、全世界で2億3,500万人以上の労働者とその家族の生活に影響を与えている。SHRMは、人事専門家向けに無料のサイバー・トレーニング・コンテンツを提供することを約束し、少なくとも15,000人のユーザーにトレーニングを提供することを目標としており、これらのユーザーが最大75,000人のサイバー専門家の雇用につながると予測している。 
Omidyar Network  オミダイヤー・ネットワーク 
Omidyar Network is a self-styled “philanthropic investment firm,” composed of a foundation and  an impact investment firm. It has committed $5 million dollars to support and expand  cybersecurity and open-source security ecosystems, including work to ensure the next generation  is informed and activated to engage across these technologies.  オミダイヤー・ネットワークは自称「慈善投資会社」で、財団とインパクト投資会社で構成されている。サイバーセキュリティとオープンソースセキュリティのエコシステムを支援・拡大するために500万ドルを拠出している。 
NPower  NPower 
NPower is a workforce development non-profit. The organization commits to embedding cyber  skills across all of its courses, primarily reaching young adults and military-affiliated individuals.  NPower’s curriculum routinely includes digital literacy to advance skills in cloud computing,  cybersecurity, software development, and network infrastructure. NPower also commits to  training over 6000 individuals during the next three years and offering multiple on- and off ramps to continued learning and fulltime employment, including through apprenticeships.   NPowerは労働力開発の非営利団体である。同団体は、主に若年層と軍関係者を対象に、すべてのコースにサイバー・スキルを組み込むことに取り組んでいる。  NPowerのカリキュラムには、クラウド・コンピューティング、サイバーセキュリティ、ソフトウェア開発、ネットワーク・インフラストラクチャのスキルを向上させるためのデジタル・リテラシーが日常的に含まれている。NPowerはまた、今後3年間で6,000人以上の個人を訓練し、見習い制度を含め、継続的な学習や正規雇用への複数のオン・オフ・ランプを提供することを約束している。  
Task Force Movement (TFM)  タスクフォース・ムーブメント(TFM) 
TFM will be awarding cybersecurity scholarships to transitioning service members/Veterans  and/or Military Spouses. TFM will fund 50 award recipients in the next year to pursue quality  certification courses for career pathway entry in the cybersecurity ecosystem, with plans to  expand the program in future years. TFM will also align the award recipients with employer  partners who are committed to hiring the award recipients upon completion of the course. TFMは、サイバーセキュリティ奨学金を、移行期の軍人・退役軍人および/または軍人配偶者に授与する。TFMは、サイバーセキュリティ・エコシステムにおけるキャリアパス進出のための質の高い認定コースを追求するために、来年度50人の取得者に資金を提供し、将来的にはプログラムを拡大する計画である。TFM はまた、コース修了後に受賞者の雇用を約束する雇用主パートナーとの連携を図る。
Check Point Software Technologies  チェック・ポイント・ソフトウェア・テクノロジーズ 
Check Point Software committed to training one million individuals in cybersecurity skills by  2028 through its MIND Cyber Security Training Program, which offers free training kits to all  educational organizations in the United States. In addition, the MIND Cyber Security Training  Program will include training for instructors and teachers through the SecureAcademy program.   チェック・ポイント・ソフトウェアは、米国内のすべての教育機関にトレーニング・キットを無償提供する MIND Cyber Security Training Program を通じて、2028年までに100万人にサイバーセキュリティ・スキルを習得させることを約束した。さらに、MIND Cyber Security Training Program には、SecureAcademy プログラムを通じた講師や教師向けのトレーニングも含まれる。  
Black Tech Street  ブラック・テック・ストリート 
Microsoft and Black Tech Street have announced an unprecedented long-term alliance for  Historic Greenwood, the neighborhood in Tulsa, Oklahoma given the moniker “Black Wall  Street” by Booker T. Washington for its abundance of affluent Black entrepreneurs. Dubbed  “The Digital Transformation of Black Wall Street to Black Tech Street,” this long-term   マイクロソフトとブラック・テック・ストリートは、オクラホマ州タルサにあるヒストリック・グリーンウッド(裕福な黒人起業家が多く住むことからブッカー・T・ワシントンによって「ブラック・ウォール・ストリート」と呼ばれた地区)において、前例のない長期的提携を発表した。ブラック・ウォール・ストリートからブラック・テック・ストリートへのデジタル変革」と名付けられたこの長期的提携は、グリーンウッドを回復させることを目的としている。  
alliance aims to restore Greenwood’s position as a national hub for Black talent and innovation  with an initial focus on Cyber.  この長期的な提携は、グリーンウッドを黒人の才能とイノベーションの全国的なハブとして復活させることを目的としており、当初はサイバーに焦点を当てる。 
MassBay Community College  マスベイ・コミュニティ・カレッジ 
MassBay Community college plans to announce an increase in the number of cybersecurity  professors, allowing an expected increase in MassBay cybersecurity enrollment by more than 40  students, and strengthening its cybersecurity program through the addition of a cyber range.  Learners (on an annual basis) will include 45 students from a consortium of colleges, 60 high  school students, and 135 employees from businesses, municipalities, school systems, and non profit organizations from the Greater Boston region. NSF grant funding will assist the school in  increasing the diversity of the cybersecurity workforce. The school is also applying for funding  to build a Cybersecurity Center, to include the range, a Security Operations Center, and abundant  space where college and high school students and employees from businesses, municipalities,  school systems, and non-profit groups from the Greater Boston region can strengthen their  cybersecurity skills.  マスベイ・コミュニティー・カレッジは、サイバーセキュリティーの教授陣の増員を発表し、マスベイのサイバーセキュリティーの登録者数を40人以上増加させ、サイバーレンジを追加してサイバーセキュリティープログラムを強化する予定である。  学習者(年間ベース)には、大学コンソーシアムの学生45名、高校生60名、グレーターボストン地域の企業、自治体、学校システム、非営利団体の従業員135名が含まれる。NSFの助成金により、同校はサイバーセキュリティ人材の多様性を高めることができる。同校はまた、グレーター・ボストン地域の大学生や高校生、企業、自治体、学校システム、非営利団体の従業員がサイバーセキュリティ・スキルを強化できるよう、研究室、セキュリティ・オペレーション・センター、豊富なスペースを含むサイバーセキュリティ・センターを建設するための資金も申請している。 
Accenture & Immersive Labs  アクセンチュアとイマーシブ・ラボ 
Accenture is a global professional services company committed to reducing traditional barriers to  employment and finding ways to increase pathways into cybersecurity roles. Accenture and  Immersive Labs are partnering to fill one million entry-level jobs in the next decade by providing  a free, robust cybersecurity platform that not only trains participants but also engages them in  reality-based exercises to prove their skills, which unlocks jobs with hiring organizations within  the platform. Recognizing the need for all people to have cyber skills regardless of their roles,  Accenture will provide cybersecurity training to more than 700,000 of Accenture’s people in the  next year. Accenture has met its goal to fill 20% of entry-level roles from its apprenticeship  program and is on track to achieve a gender-balanced workforce by its 2025 goal.  アクセンチュアは世界的なプロフェッショナル・サービス企業であり、従来の雇用障壁を減らし、サイバーセキュリティの役割への道を増やす方法を見つけることに尽力している。アクセンチュアとImmersive Labsは、今後10年間で100万人の初級レベルの雇用を創出するため、無料の強固なサイバーセキュリティ・プラットフォームをプロバイダとして提携している。アクセンチュアは、役割に関係なくすべての人がサイバー・スキルを持つ必要性を認識し、今後1年間で70万人以上のアクセンチュア社員にサイバーセキュリティ・トレーニングを提供する。アクセンチュアは、徒弟制度から初級職の20%を充足するという目標を達成し、2025年の目標までに男女バランスの取れた労働力を実現する予定だ。 
National Cybersecurity Alliance (NCA)  全米サイバーセキュリティ・アライアンス(NCA) 
NCA is kicking off the 2nd year of the Historically Black Colleges and Universities (HBCUs)  Cybersecurity Career Program “See Yourself In Cyber.” “See Yourself In Cyber” aims to change  the narrative around cybersecurity careers by showing students that there is a role in security for  everyone and multiple pathways to a successful career. NCA is committed to raising awareness  about cybersecurity careers and increasing opportunities for underrepresented students. In its first  year, the program connected over 1,000 students with recruiters and professionals at on-campus  events across nine schools, and 142 students have been paired with cybersecurity mentors. This  NCAは、歴史的黒人大学(HBCUs)のサイバーセキュリティ・キャリア・プログラム "See Yourself In Cyber "の2年目を開始する。"See Yourself In Cyber "は、すべての人にセキュリティの役割があり、成功するキャリアへの道が複数あることを学生に示すことで、サイバーセキュリティのキャリアをめぐる物語を変えることを目的としている。NCAは、サイバーセキュリティのキャリアに関する認識を高め、社会的地位の低い学生の機会を増やすことに力を注いでいる。初年度のプログラムでは、9校の学内イベントで1,000人以上の学生を採用担当者や専門家と結びつけ、142人の学生がサイバーセキュリティのメンターとペアを組んだ。この秋 
fall, NCA will hold events at five HBCUs in September and November. Each event will feature  both public and private sector employers, guest speakers and recruiters, as well as local law  enforcement departments to show students the variety of career paths offered in cyber as well as  opportunities available in their own communities.  この秋、NCAは9月と11月に5つのHBCUでイベントを開催する。各イベントには、公共部門と民間部門の雇用主、ゲストスピーカー、リクルーター、地元の法執行部門が参加し、学生にサイバー分野で提供されるさまざまなキャリアパスと、自分たちのコミュニティで得られる機会を紹介する。 
Aspen Institute’s Cybersecurity Program  アスペン研究所のサイバーセキュリティ・プログラム 
The Aspen Institute’s Cybersecurity Program plans to make three commitments to coincide with  the release of the strategy: 1) for cybersecurity education – Aspen will work with American  University on a summary of openly availably government-issued cybersecurity resources; 2) for  cybersecurity workforce development – Aspen plans to publish a guidebook on best practices  for cybersecurity employee development and retention; and 3) for digital literacy – it will host  the Aspen Cyber Summit in November in New York City and online to energize practitioners,  students, and the public about cybersecurity issues, policy, opportunities, and more.   アスペン研究所のサイバーセキュリティ・プログラムは、戦略の発表に合わせて3つのコミットメントを行う予定である: 1)サイバーセキュリティ教育:アスペン研究所は、アメリカン大学と協力して、政府発行のサイバーセキュリティリソースの概要を公開する。2)サイバーセキュリティ人材育成:アスペン研究所は、サイバーセキュリティ従業員の育成と維持に関するベストプラクティスに関するガイドブックを出版する予定である。  
Dakota State University (DSU)  ダコタ州立大学(DSU) 
Dakota State University (DSU) in Sioux Falls, SD is enabling high school students in South  Dakota to take as many as 30 credits of university-level computer science coursework as dual  credit through the Governor’s Cyber Academy program. Given the rural population in South  Dakota, the courses will be offered online and at high schools across the state to serve students at  public, private, and tribal schools as well as those who are home-schooled. DSU anticipates 40  students will enroll in the Academy this fall, with the goal of 250 students annually by 2027. In  addition, 83 South Dakota small businesses, including minority owned, veteran owned, rural and  urban businesses, have enrolled in CyberSafe SD, a cybersecurity initiative sponsored by the U.S  Small Business Administration designed to empower small businesses to safeguard against cyber  threats. The businesses range from boutique single person businesses, to larger 300 employee  businesses from sectors include manufacturing, healthcare, law, telecommunications, agriculture,  education, entertainment, biotech, construction, retail, and tourism. Last, DSU is participating in  CyberSkils2Work, which focuses on training military personnel and first responders in the  domains of open-source intelligence and dark web investigations. The program has achieved  remarkable success, surpassing projected enrollment by training over 300 learners to date, and  plan to train 200 more participants this coming academic year. Its impact and effectiveness have  been widely recognized, leading to securing additional funds to cater to the growing demand for  such critical training.  サウスダコタ州スーフォールズにあるダコタ州立大学(DSU)は、州知事のサイバーアカデミープログラムを通じて、サウスダコタ州の高校生が大学レベルのコンピュータサイエンス科目を30単位も履修できるようにしている。サウスダコタ州は田舎町が多いため、このコースは公立、私立、部族の学校、家庭で勉強している生徒のために、オンラインと州内の高校で提供される。DSUでは、今秋40人の学生がアカデミーの登録し、2027年までに年間250人の登録を目指している。さらに、サウスダコタ州のマイノリティ企業、退役軍人が経営する企業、農村部や都市部の企業を含む83の中小企業が、サイバーセキュリティ・イニシアチブであるサイバーセーフSDに登録した。参加企業は、製造業、医療、法律、電気通信、農業、教育、エンターテイメント、バイオテクノロジー、建設、小売、観光など、1人経営の小規模企業から従業員300人規模の大企業まで多岐にわたる。最後に、DSUはCyberSkils2Workに参加しており、オープンソースインテリジェンスとダークウェブ調査の分野で、軍人と初動対応者の訓練に重点を置いている。このプログラムは目覚ましい成功を収めており、現在までに300人以上の受講者を養成し、登録予想を上回る成果を上げている。その影響力と効果は広く認められており、このような重要なトレーニングに対する需要の高まりに応えるため、追加資金を確保するに至った。 
Information Technology Senior Management Forum (ITSMF)  情報技術シニア・マネジメント・フォーラム(ITSMF) 
ITSMF aims to raise the number of Black CISOs by 10% by 2026 and increase the cybersecurity  workforce pipeline by the same percentage. The impact of ITSMF’s efforts results in industry  innovation, growth, and thought leadership through increased representation of talented Black  professionals in cyber and risk management at senior levels.  ITSMFは、2026年までに黒人CISOの数を10%増やし、サイバーセキュリティ人材のパイプラインを同率で増やすことを目指している。ITSMFの努力は、サイバーとリスクマネジメントの上級レベルの有能な黒人専門家の代表を増やすことで、業界の革新、成長、ソートリーダーシップをもたらす。 
Mastercard  マスターカード 
Mastercard is doubling down on its long-standing efforts to build the cyber workforce and drive  security for our shared digital ecosystem. Mastercard will align its cybersecurity roles to the  NICE Career Navigation structure to simplify career growth and develop a robust skillset across  many cybersecurity domains. To support its own talent development, Mastercard will also create  upskilling pathways for junior professionals mapped to this same NICE structure by 2024.  Mastercardは、サイバー人材を育成し、共有するデジタル・エコシステムのセキュリティを推進するための長年の取り組みをさらに強化する。Mastercardは、サイバーセキュリティの役割をNICEのキャリアナビゲーション構造に合わせることで、キャリアアップを簡素化し、多くのサイバーセキュリティ領域にわたって強固なスキルセットを育成する。また、自社の人材育成を支援するため、Mastercardは2024年までに、同じNICE構造にマッピングされた若手プロフェッショナルのスキルアップ経路を構築する。 
Additionally, Mastercard will further its support of equipping American girls with foundational  cyber skills through its commitment to educate 5 million students by 2025 with its flagship  STEM education program, Girls4Tech™. Mastercard will also support access to free  cybersecurity education, trainings, and resources for up to 10 million micro, small and medium  businesses by 2025. The security of these businesses is critical and these resources, combined  with our ongoing substantial investment, will help protect their ecosystem and our nation’s  economy.   さらに、Mastercardは、主力プログラムであるSTEM教育プログラム「Girls4Tech™」で2025年までに500万人の生徒を教育するというコミットメントを通じて、米国の女児に基礎的なサイバー・スキルを身につけさせる支援をさらに強化する。Mastercardはまた、2025年までに最大1,000万社の零細・中小企業に対し、サイバーセキュリティ教育、トレーニング、リソースの無償提供を支援する。これらの企業のセキュリティは極めて重要であり、これらのリソースと当社の継続的な多額の投資を組み合わせることで、企業のエコシステムと我が国の経済を保護することができる。  
iKeepSafe  iKeepSafe 
iKeepSafe will host online trainings for educators reaching 400 educators each month over the  next year, utilizing the online training content found at no cost on the iKeepSafe website–Data  Privacy in Education – an iKeepSafe Educator Training Course. This training will provide  educators at all levels – teachers, administration, and support staff – with the necessary  information to understand their role in helping to keep students and student data safe in an  increasingly online learning environment.   iKeepSafeは、iKeepSafeのウェブサイト-教育におけるデータ・プライバシー-iKeepSafe教育者トレーニング・コースに無料で掲載されているオンライン・トレーニング・コンテンツを利用して、教育者向けのオンライン・トレーニングを開催し、今後1年間で毎月400人の教育者に提供する。このトレーニングは、教師、管理者、サポートスタッフなど、あらゆるレベルの教育者に、オンライン学習環境が進む中、生徒と生徒のデータの安全を守るための役割を理解するために必要な情報を提供する。  
Lightcast  ライトキャスト 
Lightcast will provide quarterly data announcements on the size of the cyber talent needs,  providing a more comprehensive, up-to-date picture of the cyber labor market. In addition,  Lightcast will develop a skills-based hiring toolkit for employers to help companies implement  skills-based hiring best practices in developing their cyber workforce. In addition, Lightcast is on  track to get up to 900,000 unique users on the CyberSeek website this year.  ライトキャストは、サイバー人材ニーズの規模に関するデータを四半期ごとに発表し、サイバー労働市場のより包括的で最新の姿を提供する。さらに、Lightcastは雇用主向けにスキルベースの採用ツールキットを開発し、企業がサイバー人材の育成においてスキルベースの採用のベストプラクティスを実施できるようにする。さらに、ライトキャストは今年、サイバーシーク・ウェブサイトのユニーク・ユーザーを90万人にまで増やす予定である。 
The International Information System Security Certification Consortium (ISC)² (ISC)² achieved a significant milestone in its current pledge for one million individuals to receive  (ISC)²’s new “Certified in Cybersecurity” certification. To date, over 265,000 people have  enrolled and more than 27,000 individuals achieved this entry-level certification in less than 10  months.  国際情報システムセキュリティ認定コンソーシアム(ISC)²は、(ISC)²の新しい「サイバーセキュリティ認定」資格の取得者100万人という現在の公約において、重要なマイルストーンを達成した。現在までに26万5,000人以上が登録し、2万7,000人以上が10カ月足らずでこの初級認定を取得した。 
Google  グーグル 
In collaboration with the Consortium of Cybersecurity Clinics, Google.org has committed more  than $20 million to help thousands of students receive hands-on experience in cybersecurity.  This funding will support the creation and expansion of cybersecurity clinics at 20 higher  education institutions across the U.S., and follows the launch of the Google Cybersecurity  Certificate focused on preparing people for entry-level jobs in cybersecurity. For cyber clinics  across the country, Google.org commits to providing expert Googlers as volunteers to serve as  student mentors in collaboration with the Consortium of Cybersecurity Clinics and select  universities. In addition to volunteers, the cyber clinics will receive access to the Google  Cybersecurity Certificate, Google Titan security keys, and student mentorship opportunities from  Google at no cost.   Google.org は、Consortium of Cybersecurity Clinics と協力して、何千人もの学生がサイバーセキュリティの実習を受けられるよう、2,000 万ドル以上を拠出している。  この資金は、全米20の高等教育機関におけるサイバーセキュリティ・クリニックの設立と拡大を支援するもので、サイバーセキュリティの初級職に就くための準備に焦点を当てたGoogle Cybersecurity Certificateの立ち上げに続くものである。全米のサイバークリニックでは、Google.orgがConsortium of Cybersecurity Clinics(サイバーセキュリティ・クリニック・コンソーシアム)や特定の大学と協力し、学生のメンターとなる専門家のグーグラーをボランティアとして提供する。ボランティアに加え、サイバークリニックは Google サイバーセキュリティ認定証、Google Titan セキュリティキー、学生の指導の機会を Google から無償で受けることができる。  
CrowdStrike  クラウドストライク 
CrowdStrike will fill 300+ internship positions, fund ten $10,000 scholarships, expand upon its  successful SkillBridge apprenticeship program, and continue to offer its “return-to-work”  program focused on caregivers by Q1 2025. Crowdstrike is also committed to making training  materials and resources more broadly accessible to help upskill users. Further, CrowdStrike  クラウドストライクは、2025年第1四半期までに、300人以上のインターンシップのポジションを満たし、10,000ドルの奨学金を提供し、成功したSkillBridge実習プログラムを拡大し、介護者に焦点を当てた「職場復帰」プログラムを提供し続ける。クラウドストライクはまた、ユーザーのスキルアップを支援するため、トレーニング教材やリソースをより広く利用できるようにすることにも尽力している。さらに、クラウドストライクは 
continues the development of a Next Generation Leaders Program initially announced at  ONCD’s roundtable on “The State of Cybersecurity in the Black Community” earlier this year,  with an anticipated launch during the Spring academic semester.  は、今年初めの「黒人コミュニティにおけるサイバーセキュリティの現状」に関するONCDの円卓会議で発表された次世代リーダーズプログラムの開発を継続し、春の学期中に開始する予定である。 
Microsoft  マイクロソフト 
Microsoft is partnering with Last Mile Education Fund, Whatcom Community College, and the  American Association of Community Colleges to achieve its 2021 goal of helping skill and  recruit into the cybersecurity workforce 250,000 people by 2025. To date, this effort has  supported over 379 community colleges in 48 out of 50 states (nearly a third of all community  colleges in the United States). This includes $1,177,000 in direct scholarship support to 2,378  students; $93,000 in additional voucher assistance; 50 faculty supported through capacity  building community of practice; 28 academic/workforce professionals trained; and support over  60 cybersecurity classes in the upcoming 2023-24 school year, with content from curriculum  partners CYBER.ORG and CodeHS.  マイクロソフトは、Last Mile Education Fund、Whatcom Community College、American Association of Community Collegesと提携し、2025年までに25万人のサイバーセキュリティ人材の育成と採用を支援するという2021年の目標を達成しようとしている。現在までに、この取り組みは50州中48州の379以上のコミュニティ・カレッジ(米国内のコミュニティ・カレッジのほぼ3分の1)を支援している。これには、2,378人の学生に対する1,177,000ドルの直接奨学金支援、93,000ドルの追加バウチャー支援、実践能力開発コミュニティを通じて支援された50人の教員、28人の教育・労働専門家、カリキュラム・パートナーであるCYBER.ORGとCodeHSのコンテンツを使用した2023-24学年度の60以上のサイバーセキュリティ・クラスの支援が含まれる。 
SAP   SAP  
SAP – the world’s largest enterprise software provider – will further its commitment to help  close the cybersecurity skills gap by expanding its Global Security Early Talent program. This  two-year program is designed for high-performing early career professionals, with little to no  professional experience, who have a basic understanding of information technology and security  topics. This builds on SAP’s ambitious digital skills initiative goal to upskill two million learners  worldwide with technology skills by the end of 2025.  世界最大のエンタープライズソフトウェアプロバイダーであるSAPは、グローバルセキュリティ・アーリータレントプログラムを拡大することで、サイバーセキュリティのスキルギャップを解消する支援にさらに取り組む。この2年間のプログラムは、情報技術やセキュリティのトピックについて基本的な理解を持ち、実務経験がほとんどない、キャリアの浅い優秀なプロフェッショナルを対象としている。これは、2025年末までに全世界で200万人の学習者にテクノロジースキルを習得させるというSAPの野心的なデジタル・スキル・イニシアチブの目標に基づくものである。 
ConSol USA  コンソルUSA 
ConSol USA has innovated a demand-led, “ecosystem of ecosytems” model that engages under utilized talent (such as non-degreed, veterans, women, people of color) in underserved  communities, in line with the imperatives of the National Cyber Workforce and Education  Strategy. ConSol USA has executed initial agreements, and is negotiating with other  organizations, reaching a range of academic stakeholders including the University of Texas at  San Antonio, George Washington University, and the University of California at Davis. ConSol  USA is also engaged with USAA to reach military, veterans and their families. Through these  efforts, ConSol USA is committed to directly hire and deploy a minimum of 11,000 cyber  technologists nationally by 2027.  ConSol USAは、国家サイバー人材・教育戦略の要請に沿い、十分なサービスを受けていないコミュニティで十分に活用されていない人材(学位を持っていない、退役軍人、女性、有色人種など)を巻き込む、需要主導型の「エコシステム・オブ・エコシステム」モデルを革新した。ConSol USAは、テキサス大学サンアントニオ校、ジョージ・ワシントン大学、カリフォルニア大学デービス校を含む様々な学術関係者と初期契約を締結し、他の組織とも交渉している。また、コンソルUSAはUSAAと提携し、軍人や退役軍人、その家族にも働きかけている。これらの取り組みを通じて、ConSol USAは2027年までに全国で最低11,000人のサイバー技術者を直接雇用し、配備することを約束している。 
American University アメリカン大学
American University (AU) is committed to strengthening the cybersecurity workforce by continuing to expand access to hands-on cybersecurity training opportunities to all students, regardless of discipline. Through the newly launched Shahal M. Khan Institute for Cyber and Economic Security, and in collaboration with our global technology partner Cyber Range Solutions, AU is transforming cyber education by grounding technical cyber exercises in the context of national security and economic policy. In addition, AU announced its commitment to helping equip every American with foundational cyber skills. アメリカン大学(AU)は、分野を問わずすべての学生にサイバーセキュリティの実践的なトレーニングの機会を提供し続けることで、サイバーセキュリティ人材の強化に取り組んでいる。新たに設立されたシャハール・M・カーン研究所(Shahal M. Khan Institute for Cyber and Economic Security)を通じて、またグローバル・テクノロジー・パートナーであるサイバー・レンジ・ソリューションズ(Cyber Range Solutions)との協力により、AUは国家安全保障と経済政策の文脈にサイバー技術演習を位置づけることで、サイバー教育に変革をもたらそうとしている。 さらにAUは、すべてのアメリカ人が基礎的なサイバー・スキルを身につけられるよう支援することを発表した。
Coordinated by the Office of the National Cyber Director, the Administration’s implementation  of this Strategy is already underway.   国家サイバー長官室によって調整され、この戦略の実行はすでに始まっている。  
To learn more about the strategy and ongoing efforts by our stakeholders – including educators,  industry, and government – visit WhiteHouse.gov/cyberworkforce.  この戦略や、教育者、産業界、政府を含む関係者による現在進行中の取り組みについての詳細は、WhiteHouse.gov/cyberworkforceを参照のこと。 

 

・[PDF]

20230802-64122

・[DOCX] [PDF] 仮訳

 

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.07.15 米国 ホワイトハウス サイバーセキュリティ戦略実施計画

・2023.07.09 米国 OMB 2025 年度予算における政権のサイバーセキュリティ優先事項 (2023.06.27)

・2023.07.02 米国 GAO サイバーセキュリティ:国家サイバーセキュリティ戦略の立ち上げと実施

・2023.03.04 米国 国家サイバーセキュリティ戦略を発表

・2022.10.29 米国 国家防衛戦略

・2022.10.14 米国 国家安全保障戦略

 

 

 

 

 

 

 

 

| | Comments (0)

IPA スマート工場化でのシステムセキュリティ対策事例 調査報告書

こんにちは、丸山満彦です。

IPAが、「スマート工場化でのシステムセキュリティ対策事例 調査報告書」を公表していますね。。。

 

● IPA

・2023.07.31 スマート工場化でのシステムセキュリティ対策事例 調査報告書

・[PDF]

20230802-33811

 

システムセキュリティのシステムをどう読むかという問題もあるかもしれませんが、「平常、インシデント時も含めた製造という運用全体を含むシステム」という意味と、「情報技術・運用技術に関するシステム(IT, OTシステム)」という意味の二つがあるとは思いますが、今回の対策事例は後者の色が強いように感じますね。。。

本来的な目的を考えると、平常時、インシデント時を含めた製造という運用全体を考えた対策事例にするべきであったかもしれないですね。。。

昔(2011年)に書いたこの書籍「「想定外」に強い事業継続計画のすすめ―BS25999で高める危機対応力」に書いたような気がするんですけどね。。。これは最近でいう、「オールハザード型BCP/BCM」について書いた本です。。。

 

この対策事例集のベースになっているはずの、「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン Ver1.0」に遡ってみても、やはり、平常時が中心すぎますね。。。これは経済産業省の政策としては、改善が必要かもです。。。

重要インフラに限定されていませんが、生産システムは業務全体としての可用性をもっと考慮する必要があると思うのですが、それがこの調査報告書では重要視されているように見えないです。。。

まず、2つにわけて考えるところからスタートしていないのが、まずいです。

1:平常時

2:インシデント時

ガバナンス、全体的な統制としては共通的に作る必要があるのですが、プロセスは別れます。なので、それぞれについてのプロセスの設計をしていかないといけないのですが、平常時中心で、インシデント時については、おまけ的に作られている感じです。。。

次に、平常時中心になっているので、平常時の運用のシステムライフサイクルにそって作られていますが、これが2つ目にまずい部分です。この枠組みだと、予防的な対策が中心になりすぎます。なぜなら、システムが止まった時の話は、システムライフサイクルの埒外になってしまうからです。。。本来であれば、これに合わせて、サイバーセキュリティフレームワークの枠組みを入れればよかったかもです。。。

 

工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン Ver1.0を改定するときに、全体を見直したほうがよいですね。。。(インシデント対応は今は現場でできるからということで問題はないでしょうが、より高度な対応をするためには、もう少しガイドを拡充することが重要ですね。。。)

レジリエンスということになると思うのですが、その際には、

NIST SP 800-160 Vol. 1 Rev. 1 Engineering Trustworthy Secure Systems

NIST SP 800-160 Vol. 2 Rev. 1 Developing Cyber-Resilient Systems: A Systems Security Engineering Approach

 

をもっと参照してもよいかもです。

それから、レジリエンスという意味では、生産系システムとは違いますが、金融機関での取り組みが絶対に参考になります。なので、バーゼル、FSB、米国SEC、英国健全性監督機構(RPA)、もちろん金融庁などのオペレーショナルレジリエンス、サイバーレジリエンスに関する資料等も参考にしたほうがよいと思います。

私のブログの

・2023.04.29 金融庁 オペレーショナル・レジリエンス確保に向けた基本的な考え方

がとっかかりとしては良いかもです。。。



オペレーショナルレジリエンスということで、ちゃんと枠組みを作った方が良いかもですね。。。

NISCの重要インフラのサイバーセキュリティに係る安全基準等策定指針と重要インフラのサイバーセキュリティ部門におけるリスクマネジメント等手引書もありますが、これも予防的な観点が強いですからね。。。

ということは、統一基準自体も、レジリエンス対応が弱いということですね。。。統一基準はもともと政府機関の情報セキュリティ対策を基本的なレベルまで引き上げるためにつくったものですから、ディザスターリカバリーまでしか範囲にしませんでしたからね。。。オペレーショナルレジリエンスは範囲外。。。(それは業務側の責任という割り切りでしたからね。。。)

 

という課題意識をもって、読んでもよいかもですね。。。

 


 

まるちゃんの情報セキュリティ気まぐれ日記

 

オペレーショナルレジリエンス/サイバーレジリエンス関係...

 

・2023.07.06 内閣官房 (NISC) 重要インフラのサイバーセキュリティ部門におけるリスクマネジメント等手引書

重要インフラのサイバーセキュリティ部門におけるリスクマネジメント等手引書

20230706-110609

 

・2023.07.06 内閣官房 NISC サイバーセキュリティ戦略本部 第36回会合

・[PDF] 重要インフラのサイバーセキュリティに係る安全基準等策定指針

20230706-103549

 

・2023.04.29 金融庁 オペレーショナル・レジリエンス確保に向けた基本的な考え方

20230629-151807

 

● BIS

プレス・リリース

・2020.08.06 Basel Committee releases consultative documents on principles for operational risk and operational resilience

市中協議文書「オペレーショナル・レジリエンスのための諸原則」

・[PDF]  Consultative Document Principles for operational resilience

20230629-152856

・[DOCX] 仮訳

 

市中協議文書「健全なオペレーショナル・リスク管理のための諸原則の改訂」

・[PDF] Consultative Document Revisions to the principles for the sound management of operational risk

20230629-153105

・[DOCX] 仮訳

 

 

・2022.12.10 NIST SP 800-160 Vol. 2 Rev. 1 サイバーレジリエントなシステムの開発:システムセキュリティ・エンジニアリング・アプローチ

・[PDF] SP 800-160 Vol. 2 Rev. 1

20230709-105126



 

 

・2022.11.20 NIST SP 800-160 Vol.1 Rev.1 信頼性の高い安全なシステムのエンジニアリング (2022.11.16)

・[PDF] SP 800-160 Vol. 1 Rev. 1

20221120-54329

 

 

工場セキュリティ関係

・2022.12.24 NIST ホワイトペーパー 【プロジェクト概要】サイバー攻撃への対応と回復:製造業のためのサイバーセキュリティ(改訂1版)

・2022.11.21 経済産業省 「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン Ver 1.0」

・2022.11.07 NIST ホワイトペーパー 【プロジェクト概要】サイバー攻撃への対応と回復:製造業のためのサイバーセキュリティ

・2022.05.01 経済産業省 「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン(案)」に対する意見募集

・2022.02.24 半導体製造業界:SEMI E187 - ファブ装置のサイバーセキュリティに関する仕様 ・ SEMI E188 - マルウェアフリー機器統合のための仕様

・2020.06.10 EKANS / Snake - 工場やプラントのセキュリティ

 

| | Comments (0)

2023.08.01

デジタル庁 安全保障等の機微な情報等に係る政府情報システムの取扱いに関する申合せ

こんにちは、丸山満彦です。

デジタル庁が、「安全保障等の機微な情報等に係る政府情報システムの取扱いに関する申合せ」を公表しています。。。ただし、文書自体は、2023.07.19時点ですね。。。

20230801-161442_20230801161501

 

 

デジタル庁

・2023.08.01 安全保障等の機微な情報等に係る政府情報システムの取扱いに関する申合せを掲載しました

・[PDF] 安全保障等の機微な情報等に係る政府情報システムの取扱いに関する申合せ


20230801-161522

 

機密指定とかのルールも明確にしないとね。。。一番しっかりしていると思われるのは、米国連邦政府ですかね。。。

1行1行にCUIかCIかを区別していますね。。。で、わりと開示している。

英国もそれなりに開示している。

 

そんな感じですね。。。

 


 

まるちゃんの情報セキュリティ気まぐれ日記

英国の例 インテリジェンス組織の議会向けレポートの公表版

・2023.08.01 英国 国家安全保障委員会 中国に関する報告書 (2023.07.13)

・報告書 [PDF] China

 

米国の例 国防総省の内部監査報告書の公表版

・2022.10.01 国防総省 監察官室 国防総省内部関係者脅威管理・分析センターへの国防総省構成機関の内部関係者の脅威報告に関する監査

・報告書[PDF] (U) Audit of the DoD Component Insider Threat Reporting to the DoD Insider Threat Management and Analysis Center

 

 

| | Comments (0)

NPO デジタル・フォレンジック研究会のコラム by 丸山満彦 - 「「国家安全保障戦略 ― 何をだれから守るのか? 国益 (National Interests) とは何か?」

こんにちは、丸山満彦です。

デジタル・フォレンジック研究会にコラムを載せました。

 IDF - Column

・2023.07.31 第780号コラム:「「国家安全保障戦略 ― 何をだれから守るのか? 国益 (National Interests) とは何か?」

安全保障戦略が公表され、安全保障のための手法に広がりをみせているので、そちらのほうに興味がいっていますが、本質的には、だれから何を守るのかというのが前提にあり、それが重要ということで、少しコラムにしてみました。。。

 


私が書いた「NPO デジタル・フォレンジック研究会」の「コラム」の一覧

 

No Date Title
29 780 2023.07.31 国家安全保障戦略 ― 何をだれから守るのか? 国益 (National Interests) とは何か?
28 754 2023.01.31 「木を見て森を見ず」にならず、「神は細部に宿る」を忘れない
27 731 2022.08.22 サイバー空間の安全に向けて: All for one, One for all
26 702 2022.01.31 サイバーセキュリティは空気のように社会全体に拡がる
25 678 2021.08.16 ティラノサウルスとスズメ
24 650 2021.02.01 データを科学的に分析する
23 627 2020.08.17 若者のサイバー犯罪を無くしたい。。。
22 600 2020.02.03 デジタルフォレンジックスと多様性
21 578 2019.08.26 未来を考えようと思うとき、人は過去を振り返る
20 551 2019.02.11 とらわれずに物事をみつめる
19 521 2018.07.09 AIは科学捜査を騙せるか?
18 493 2017.12.18 セキュリティ・デバイド?
17 474 2017.08.07 『デジタル・フォレンジック』という言葉を今更考える
16 451 2017.02.20 相手を知ることが重要
15 425 2016.08.15 本質を理解する
14 383 2015.10.12 名ばかりCSIRTで良いのか?
13 357 2015.04.13 IoT時代は明るいか暗いか
12 335 2014.11.03 頭を下げるのは社長です
11 308 2014.04.30 標的型攻撃には内部不正対応が重要?
10 286 2013.11.14 セキュリティガバナンスはできる範囲だけやればよいのか?
09 261 2013.05.23 セキュリティの基本はずっとかわっていない
08 240 2012.12.25 さらに組織化が進むサイバー攻撃集団
07 207 2012.05.10 外部から侵入されている想定で情報セキュリティを考える
06 173 2011.09.08 想定外に対応するのが危機管理ではないか
05 139 2011.01.13 データ分析を使った不正発見手法
04 131 2010.11.11 発見的統制の重要性
03 084 2009.12.10 クラウドコンピューティングがもたらす光と影
02 058 2009.06.11 不正をさせない
01 021 2008.09.25 ニーズとシーズ、目的と手段

| | Comments (0)

経済産業省 ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引

こんにちは、丸山満彦です。

SBOM関係ですね。。。米国では、

ソフトウェアに含まれている脆弱性をより効果的に発見し、対処できるようにするための仕組みとして、米国では2021.05.12に大統領令14028 国家のサイバーセキュリティ向上に関する大統領令 [このブログ] でソフトウェアの部品表をつくることになり、2023.03.02 に公表された国家サイバーセキュリティ戦略 [このブログ] の「戦略目標 3.3: 安全でないソフトウェア製品とサービスに対する責任の転換」に挙げられ、2023.07.13 に公表された「国家サイバーセキュリティ戦略実施計画」[このブログ] では、戦略3.3の一部のイニシアティブ番号3.3.2でSBOMが記載され、実行に移されていますね。


イニシアティブ番号:3.3.2

イニシアティブのタイトル:ソフトウェア部品表(SBOM)を推進し、未サポートソフトウェアのリスクを軽減する

イニシアティブの内容 

重要インフラにおけるサポート対象外ソフトウェアの使用状況に関するデータを収集するため、サイバーセキュリティ・インフラセキュリティ庁は、SRMAを含む主要な利害関係者と協力して、SBOMの規模および実施におけるギャップを特定し、削減する。  CISA はまた、使用済み/サポート終了ソフトウェアに関する世界的にアクセス可能なデータベースの要件を検討し、SBOM に関する国際的なスタッフレベルの作業部会を招集する。

NCSリファレンス 

行政は......SBOMのさらなる開発を促進し、広く使用されている、あるいは重要インフラをサポートする未サポートのソフトウェアがもたらすリスクを特定し、軽減するためのプロセスを開発する。 

責任機関:CISA

完了時期:25年度第2四半期


 

で、ここに至る前までに、NITAが最小要件を公表したり、NISTが2022.02.04に白書 [このブログ] を公表したり、2022.11.09に プロジェクトの概要 [このブログ] を公表していますね。。。

CISAも2023年になってから、2023.04.21に文書 [このブログ] を出してきていますよね。。。

つい最近 (2023.06.23) に、OWASPがSBOM関連の文書 [このブログ] を公表していますね。。。

 

さて、ここからが本題ですが、、、日本では、経済産業省が、このたび、SBOMの導入手引きを公開していますね。。。

具体的につくられていて、かなり分かりやすくなっていると思います。

参考文献のリストもちゃんとあって、分かりやすいです。。。

 

経済産業省

・2023.07.28「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引」を策定しました


2.手引の概要

本手引は、SBOMを導入するメリットやSBOMに関する誤解と事実などSBOMに関する基本的な情報を提供するとともに、SBOMを実際に導入するにあたって認識・実施すべきポイントを、(1)環境構築・体制整備フェーズ、(2)SBOM作成・共有フェーズ、(3)SBOM運用・管理フェーズと、フェーズごとに示しております。
本手引の読者として、主に、パッケージソフトウェアや組込みソフトウェアに関するソフトウェアサプライヤーを対象としております。もちろん、ソフトウェアを調達して利用するユーザー企業においても、本手引を活用していただくことが可能です。具体的には、ソフトウェアにおける脆弱性管理に課題を抱えている組織や、SBOMという用語やSBOM導入の必要性は認識しているもののその具体的なメリットや導入方法を把握できていない組織などにとって、ソフトウェアの管理の一手法としてSBOMの導入等を検討する際に役に立つ手引となっています


 

法を把握できていない組織などにとって、ソフトウェアの管理の一手法としてSBOMの導入等を検討する際に役に立つ手引となっています。

関連資料

・[PDF] ソフトウェア管理に向けたSBOMの導入に関する手引 Ver1.0

20230801-142338

 

目次...

1. 背景と目的
1.1.
背景
1.2.
目的
1.3.
主な対象読者
1.4.
主な対象ソフトウェア
1.5.
活用方法
1.6.
本手引のサマリー

2. SBOM の概要
2.1. SBOM
とは
2.2. SBOM
導入のメリット
2.3. SBOM
の「最小要素」
2.4. SBOM
フォーマットの例
2.5. SBOM
に関する誤解と事実

3. SBOM 導入に関する基本指針・全体像
3.1. SBOM
導入における基本指針
3.2. SBOM
導入プロセス

4. 環境構築・体制整備フェーズにおける実施事項・認識しておくべきポイント
4.1. SBOM
適用範囲の明確化
4.2. SBOM
ツールの選定
4.3. SBOM
ツールの導入・設定
4.4. SBOM
ツールに関する学習

5. SBOM 作成・共有フェーズにおける実施事項・認識しておくべきポイント
5.1.
コンポーネントの解析
5.2. SBOM
の作成
5.3. SBOM
の共有

6. SBOM 運用・管理フェーズにおける実施事項・認識しておくべきポイント
6.1. SBOM
に基づく脆弱性管理、ライセンス管理等の実施
6.2. SBOM
情報の管理

7. 付録︓チェックリスト・用語集等
7.1. SBOM
導入に向けた実施事項チェックリスト
7.2.
用語集
7.3.
参考情報

・[PDF] 「ソフトウェア管理に向けたSBOMの導入に関する手引」 概要資料

20230801-142504

 

・[XLSX] 「ソフトウェア管理に向けたSBOMの導入に関する手引」付録 チェックリスト

 

 

関連リンク

サイバー・フィジカル・セキュリティ確保に向けたソフトウェア管理手法等検討タスクフォース

・[PDF] OSS の利活用及びそのセキュリティ確保に向けた管理手法に関する事例集

20230801-142405

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.07.15 米国 ホワイトハウス サイバーセキュリティ戦略実施計画

・2023.07.07 総務省 「ICTサイバーセキュリティ総合対策2023」(案)に対する意見募集

・2023.07.03 OWASP SBOMガイダンス CycloneDX v1.5 (2023.06.23)

・2023.04.25 米国 CISA SBOM関連の二文書

・2023.04.18 国際医療機器規制当局フォーラム 「レガシー医療機器のサイバーセキュリティのための原則と慣行」「医療機器サイバーセキュリティのためのSBOMの原則と実践」 (2023.04.11, 04.13)

・2023.03.04 米国 国家サイバーセキュリティ戦略を発表

・2023.02.21 英国 NCSC サプライチェーン・マッピングのガイダンスを公表しています。。。(2023.02.16)

・2023.02.05 ソフトウェアサプライチェーンリスクの軽減策について...

・2022.11.12 NIST ホワイトペーパー【プロジェクト概要】ソフトウェアサプライチェーンとDevOpsのセキュリティ実践:リスクベースアプローチによるDevSecOpsの実践

・2022.10.06 米国 CISA 拘束的運用指令23-01 - 連邦ネットワークにおける資産の可視化と脆弱性検出の改善

・2022.09.18 米国 行政管理予算局 (0MB) ソフトウェアサプライチェーンのセキュリティ強化 を公表

・2022.07.26 NIST White Paper (Draft) [プロジェクト概要] ソフトウェアサプライチェーンとDevOpsセキュリティの実践:リスクベースアプローチによるDevSecOpsの実践

・2022.07.16 経済産業省 令和3年度委託調査報告書(サイバーセキュリティ関係) 2022.07.14現在

・2022.06.25 NIST SP 1800-34 (ドラフト) コンピューティングデバイスの完全性の検証

・2022.05.08 NIST SP 800-161 Rev. 1 システムと組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントの実践

・2022.02.06 NIST ホワイトペーパー: 大統領令14028条第4e項に基づくソフトウェア・サプライチェーン・セキュリティ・ガイダンス

・2021.12.13 Apache Log4j 2 の脆弱性 (CVE-2021-44228)+ ソフトウェアの管理 + 脆弱性情報の管理

・2021.11.22 英国 サプライチェーンとマネージドサービスプロバイダーのサイバーセキュリティについての質問に対する回答 at 2021.11.15

・2021.10.30 NIST SP 800-161 Rev. 1 (Draft) システムと組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントの実践(第2次ドラフト)

・2021.09.03 NIST SP 1800-34B (ドラフト) コンピューティングデバイスの完全性の検証(初期ドラフト)

・2021.06.27 NIST ソフトウェアサプライチェーンにおける「クリティカル・ソフトウェア」の定義:大統領令14028に応えて...

・2021.06.02 米国 国家のサイバーセキュリティ向上に関する大統領令 (EO 14028) に基づくソフトウェアサプライチェーン管理に関係して。。。

・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令

・2021.05.01 NIST SP 800-161 Rev. 1 (ドラフト) システムと組織のためのサイバー・サプライチェーン・リスク管理の実践

・2020.02.05 NISTがサプライチェーンセキュリティの実践資料のドラフトを公開していますね。。。

 

 

| | Comments (0)

NIST NIST IR 8270 商業衛星運用のためのサイバーセキュリティ入門

こんにちは、丸山満彦です。

NISTが、NIST IR 8270 商業衛星運用のためのサイバーセキュリティ入門を公表していますね。。。

 

NIST - ITL

・2023.07.25 NIST IR 8270 Introduction to Cybersecurity for Commercial Satellite Operations

NIST IR 8270 Introduction to Cybersecurity for Commercial Satellite Operations NIST IR 8270 商業衛星運用のためのサイバーセキュリティ入門
Abstract 概要
Space is a newly emerging commercial critical infrastructure sector that is no longer the domain of only national government authorities. Space is an inherently risky environment in which to operate, so cybersecurity risks involving commercial space – including those affecting commercial satellite vehicles – need to be understood and managed alongside other types of risks to ensure safe and successful operations. This report provides a general introduction to cybersecurity risk management for the commercial satellite industry as they seek to start managing cybersecurity risks in space. This document is by no means comprehensive in terms of addressing all of the cybersecurity risks to commercial satellite infrastructure, nor does it explore risks to satellite vehicles, which may be introduced through the implementation of cybersecurity controls. The intent is to present basic concepts, generate discussions, and provide sample references for additional information on pertinent cybersecurity risk management models. 宇宙は新たに台頭してきた商業的な重要インフラ分野であり、もはや政府当局だけの領域ではない。宇宙は本質的にリスクの高い環境であるため、商業衛星に影響を及ぼすものを含め、商業宇宙が関与するサイバーセキュリティリスクは、安全で成功する運用を確保するために、他の種類のリスクとともに理解し、マネジメントする必要がある。本レポートは、商業衛星業界が宇宙におけるサイバーセキュリティ・リスクマネジメントを開始しようとする際に、サイバーセキュリティ・リスクマネジメントの一般的な序文を提供するものである。本書は、商業衛星インフラに対するすべてのサイバーセキュリティ・リスクに対応するという点で、決して包括的なものではない。また、サイバーセキュリティ管理の実施によってもたらされる可能性のある衛星搭載機に対するリスクについても検討するものではない。意図するところは、基本的な概念を提示し、議論を喚起し、関連するサイバーセキュリティ・リスクマネジメント・モデルに関する追加情報のための参考文献のサンプルを提供することである。

 

・[PDF] NIST IR 8270

20230801-92220

 

 

Executive Summary 要旨
1. Introduction 1. 序文
1.1. Purpose and Scope 1.1. 目的と範囲
1.2. Report Structure 1.2. 報告書の構成
2. Conceptual High-Level Architecture of Satellite Operations 2. 衛星運用の概念的ハイレベル・アーキテクチャ
2.1. Space Architecture Segments 2.1. 宇宙アーキテクチャのセグメント
2.1.1. Space Segment: 2.1.1. 宇宙セグメント
2.1.2. Key Considerations and Communications 2.1.2. 主な検討事項とコミュニケーション
2.1.3. Other Space Architecture Segments 2.1.3. その他のスペース・アーキテクチャ・セグメント
2.2. Spacecraft Vehicle Life Cycle Phases 2.2. 宇宙船のライフサイクル・フェーズ
2.2.1. Operational Phase 2.2.1. 運用フェーズ
2.2.2. Other Phases 2.2.2. その他のフェーズ
3. An Introduction to the Cybersecurity Framework 3. サイバーセキュリティフレームワークの序文
4. Creating a Cybersecurity Program for Space Operations 4. 宇宙事業のためのサイバーセキュリティ・プログラムの作成
4.1. Using the Cybersecurity Framework to Develop a Profile 4.1. サイバーセキュリティフレームワークを使ってプロファイルを作成する
4.2. Case Study Example 4.2. ケーススタディの例
4.2.1. Scenario Background 4.2.1. シナリオの背景
4.3. Conclusion 4.3. 結論
References 参考文献
Appendix A. Examples of Relevant Regulations 附属書A. 関連規則の例
Appendix B. List of Symbols, Abbreviations, and Acronyms 附属書B. 記号、略語、頭字語のリスト
Appendix C. Glossary 附属書C. 用語集

 

 

Executive Summary  要旨 
As stated in the September 2018 United States National Cyber Strategy, the U.S. Government considers unfettered access to and freedom to operate in space vital to advancing the security, economic prosperity, and scientific knowledge of the Nation. Space Policy Directive 5 (SPD-5) was released in 2020 to address the need for cybersecurity in space systems and directed federal agencies to work with non-government space operators to define and establish cybersecurityinformed norms for space systems. This profile is part of the effort of the National Institute of Standards and Technology (NIST) to support SPD-5 and its goals for securing space.  2018年9月の米国国家サイバー戦略に記載されているように、米国政府は、国家の安全保障、経済的繁栄、科学的知識を促進するために、宇宙への自由なアクセスと宇宙での活動の自由が不可欠であると考えている。宇宙システムにおけるサイバーセキュリティの必要性に対処するため、宇宙政策指令5(SPD-5)が2020年に発表され、連邦政府機関に対し、政府以外の宇宙事業者と協力して宇宙システムのサイバーセキュリティに配慮した規範を定義・確立するよう指示した。この標準プロファイルは、SPD-5 とその宇宙安全確保目標を支援するための国立標準技術研究所(NIST)の取り組みの一環である。
Cyber-related threats to space assets (e.g., commercial satellites) and supporting infrastructure pose increasing risk to this economic promise and commercial space emerging markets. Commercial satellite operations occur in an inherently risky environment. Physical risks to these operations are generally quantifiable and have the most likely potential to adversely impact the businesses that operate commercial satellites, usually in low-earth orbit. While this is the primary risk consideration for satellite operations, continued growth in this new commercial infrastructure allows for opportunities to address cybersecurity risks along with other risk elements.[1]  宇宙資産(商業衛星など)やそれを支えるインフラに対するサイバー関連の脅威は、この経済的有望性と商業宇宙新興市場に対して増大するリスクをもたらす。商業衛星の運用は、本質的にリスクの高い環境で行われている。これらの事業に対する物理的リスクは一般的に定量化可能であり、通常、地球低軌道で商業衛星を運用する事業に悪影響を及ぼす可能性が最も高い。これは衛星運用の主要なリスク検討事項であるが、この新しい商業インフラストラクチャの継続的成長により、他のリスク要素とともにサイバーセキュリティリスクに対処する機会が与えられる[1]。
Methods for the creation, maintenance, and implementation of a cybersecurity program for many commercial and international markets include products in national and international standardsetting organizations (SSOs), as well as the use of risk management guidance from NIST. NIST risk management guidance includes specific technical references, cybersecurity control catalogues, the Information Technology Risk Management Framework, and the Cybersecurity Framework (CSF).   多くの商業市場や国際市場向けのサイバーセキュリティプログラムの作成、保守、実施のための手法には、国内外の標準化団体(SSO)の製品や、NISTのリスクマネジメントガイダンスの利用がある。NIST のリスクマネジメントガイダンスには、特定の技術仕様、サイバーセキュリティコントロールカタログ、情報技術リスクマネジメントフレームワーク、サイバーセキュリティフレームワーク(CSF)などがある。 
The intent of this document is to introduce the CSF to commercial space businesses. This includes describing a specific method for applying the CSF to a small portion of commercial satellite operations (e.g., a small sensing satellite), creating an example CSF set of desired security outcomes based on missions and anticipated threats, and describing an abstracted set of cybersecurity outcomes, requirements, and suggested cybersecurity controls.  この文書の意図は、民間宇宙事業者に CSF を紹介することである。これには、CSF を商業衛星運用のごく一部(例えば、小型のセンシング衛星)に適用する具体的な方法の説明、ミッションと予想される脅威に基づく望ましいセキュリティ成果の CSF セットの例の作成、サイバーセキュリティ成果、要求事項、及び推奨されるサイバーセキュリティ管理の抽象化されたセットの説明が含まれる。
NIST asks the commercial satellite operations community to use this document as an informative reference to assist in managing cybersecurity risks and to consider how cybersecurity requirements might coexist within space vehicle system requirements. The example requirements listed in this document could be used to create an initial baseline. However, NIST recommends that organizations use this document in coordination with NIST references and applicable SSO materials to create customized cybersecurity outcomes, requirements, and controls to support an organization’s particular business needs and address its individual threat models.  NIST は商業衛星運用コミュニティに対して、サイバーセキュリティリスクマネジメントを支援し、宇宙機システム要件の中でサイバーセキュリティ要件がどのように共存するかを検討するための参考資料として、この文書を使用するよう求めている。この文書に記載されている要件例は、最初のベースラインを作成するために使用することができる。しかし、NIST は、組織が特定のビジネス・ニーズをサポートし、個々の脅威モデルに対処するために、サイバーセキュリティの成果、要件、及び管理策をカスタマイズして作成するために、NIST の参考文献及び適用可能な SSO の資料と連携して本文書を使用することを推奨する [1]。
[1] These can include but are not limited to physical risks, EMI/EMC, financial risks, and supplier and customer risks.  [1] これには、物理的リスク、EMI/EMC、財務リスク、サプライヤリスク、顧客リスクなどが含まれるが、これらに限定されるものではない。

 

1_20230801100201

Fig. 1. Major parts of the conceptual high-level architecture of space operations  図1. 宇宙事業の概念的ハイレベル・アーキテクチャの主要部分 

 

2_20230801100201

Fig. 2. Major communication links used in space systems  図2. 宇宙システムで使用される主なコミュニケーション・リンク 

 

 

3_20230801100201

Fig. 3. Phases of operations 図3. 運用のフェーズ

 

 


 

⚫︎ まるちゃんの情報セキュリティ気まぐれ日記

サイバーセキュリティフレームワーク2.0関係

・2023.04.26 米国 NIST ホワイトペーパー(案) 「NIST サイバーセキュリティフレームワーク 2.0 コア」のディスカッションドラフト

・2023.01.21 米国 NIST サイバーセキュリティフレームワークの改訂の方向性(CSF2.0に向けて...)

・2022.10.07 米国 NIST 国際的活動に関する最新情報:CSF2.0アップデートワークショップなど (2022.09.30)

 

衛星関係...

・2023.06.10 NIST NISTIR 8441(ドラフト)ハイブリッド衛星ネットワークのためのサイバーセキュリティフレームワークプロファイル (2023.06.06)

・2023.05.31 ENISA 海底ケーブルから低軌道衛星通信までのセキュリティの確保 (2023.05.24)

・2023.01.08 NISTIR 8401 衛星地上セグメント:衛星の指揮・統制を保証するためのサイバーセキュリティフレームワークの適用 (2022.12.30)

・2022.11.06 NIST ホワイトペーパー NIST CSWP 27:ハイブリッド衛星ネットワーク (HSN) 用サイバーセキュリティフレームワーク・プロファイル:注釈付きアウトライン最終版

・2022.08.05 ドイツ BSI 宇宙インフラのためのサイバーセキュリティ

・2022.07.16 経済産業省 令和3年度委託調査報告書(サイバーセキュリティ関係) 2022.07.14現在

・2022.07.14 NIST NCCoE ハイブリッド衛星ネットワーク(HSN)サイバーセキュリティ(ドラフト)

・2022.07.06 NISTIR 8323 Rev. 1 (ドラフト) 基礎的な PNT プロファイル:測位・航法・計時(PNT)サービスの責任ある使用のためのサイバーセキュリティフレームワークの適用 (2022.06.29)

・2022.04.21 NISTIR 8401 (ドラフト) 衛星地上セグメント:衛星の指揮・統制を保証するためのサイバーセキュリティフレームワークの適用

・2022.02.28 NISTIR 8270(ドラフト)商用衛星運用のためのサイバーセキュリティ入門(第2稿)

・2022.02.27 経済産業省 意見募集 「民間宇宙システムにおけるサイバーセキュリティ対策ガイドラインβ版」

・2021.07.02 NISTIR 8270(ドラフト)商用衛星運用のためのサイバーセキュリティ入門

・2021.05.23 GPSの二重化は現在のところ経済効率的ではないようですね。。。

・2021.04.16 U.S. Rand研究所 衛星インターネットサービスは独裁者にとって吉?凶?

・2021.04.12 宇宙経済をサイバー攻撃から守り抜くために by The Center for Security Studies at ETH Zürich at 2021.01.07

・2021.02.13 NIST NISTIR 8323 基本的なPNTプロファイル:測位・航法・計時(PNT)サービスの責任ある使用のためのサイバーセキュリティフレームワークの適用

・2020.11.21 MITREがサイバーセキュリティを含む宇宙関連の5つの技術報告書を公開していますね。。。

・2020.10.23 NISTが測位・航法・計時(PNT)に関連するサービスに関連したセキュリティプロファイルに関する文書(NISTIR 8323)のパブコメを募集していますね。

・2020.09.21 イランのハッカー3名が衛星会社から知財を盗んだ理由等により起訴されていますね。。。

 

 

 

| | Comments (0)

米国 NIST SP800-140C Rev. 2 CMVP 承認されたセキュリティ機能、 SP800-140D Rev.2 CMVP 承認された機密セキュリティー・パラメーターの生成及び確立方法

こんにちは、丸山満彦です。

NISTが、「NIST SP 800-140C 改訂 2 版 暗号モジュール検証プログラム(CMVP)-承認されたセキュリティ機能: ISO/IEC 24759 に対する CMVP 検証機関の更新」と、「NIST SP 800-140D 改訂 2 版 暗号モジュール検証プログラム(CMVP)-承認された機密セキュリティー・パラメーターの生成及び確立方法: ISO/IEC 24759 に対する CMVP 検証機関の更新」を公表していますね。。。

まだ、SP 800-140B 

 

NIST - ITL

・2023.07.25 NIST SP 800-140C Rev. 2 Cryptographic Module Validation Program (CMVP)-Approved Security Functions: CMVP Validation Authority Updates to ISO/IEC 24759

NIST SP 800-140C Rev. 2 NIST SP 800-140C 改訂 2 版
Cryptographic Module Validation Program (CMVP)-Approved Security Functions: CMVP Validation Authority Updates to ISO/IEC 24759 暗号モジュール検証プログラム(CMVP)-承認されたセキュリティ機能: ISO/IEC 24759 に対する CMVP 検証機関の更新
Abstract 概要
The approved security functions listed in this publication replace the ones listed in International Organization for Standardization/International Electrotechnical Commission (ISO/IEC) 19790 Annex C and ISO/IEC 24759 6.15, within the context of the Cryptographic Module Validation Program (CMVP). As a validation authority, the CMVP may supersede Annex C in its entirety.  This document also supersedes SP 800-140Cr1. 本書に記載されている承認済みセキュリティ機能は、暗号モジュール検証プログラム(CMVP)の中で、国際標準化機構/国際電気標準会議(ISO/IEC)19790 附属書 C 及び ISO/IEC 24759 6.15 に記載されているものに取って代わるものである。検証機関として、CMVP は附属書 C 全体に優先することができる。  本文書は SP 800-140Cr1 に優先する。

 

・[PDF] SP.800-140Cr2

20230801-62055

目次...

1. Scope 1. 適用範囲
2. Normative references 2. 参考文献
3. Terms and definitions 3. 用語と定義
4. Symbols and abbreviated terms 4. 記号および略語
5. Document organization 5. 文書の構成
5.1. General 5.1. 一般事項
5.2. Modification 5.2. 修正
6. CMVP-approved security function requirements 6. CMVP承認のセキュリティ機能要求事項
6.1. Purpose 6.1. 目的
6.2. Approved security functions 6.2. 承認されたセキュリティ機能
Appendix A. Document Revisions 附属書 A. 文書の改訂

 

 

 

・2023.07.25 NIST SP 800-140D Rev. 2 Cryptographic Module Validation Program (CMVP)-Approved Sensitive Security Parameter Generation and Establishment Methods: CMVP Validation Authority Updates to ISO/IEC 24759

 

NIST SP 800-140D Rev. 2 NIST SP 800-140D 改訂 2 版
Cryptographic Module Validation Program (CMVP)-Approved Sensitive Security Parameter Generation and Establishment Methods: CMVP Validation Authority Updates to ISO/IEC 24759 暗号モジュール検証プログラム(CMVP)-承認された機密セキュリティー・パラメーターの生成及び確立方法: ISO/IEC 24759 に対する CMVP 検証機関の更新
Abstract 概要
The approved sensitive security parameter generation and establishment methods listed in this publication replace the ones listed in International Organization for Standardization/International Electrotechnical Commission (ISO/IEC) 19790 Annex D and ISO/IEC 24759 paragraph 6.16, within the context of the Cryptographic Module Validation Program (CMVP). As a validation authority, the CMVP may supersede Annex D in its entirety.  This document also supersedes SP 800-140Dr1. 本書に記載されている承認されたセンシティブセキュリティパラメータ生成および確立方法は、暗号モジュール検証プログラム(CMVP)の文脈において、国際標準化機構/国際電気標準会議(ISO/IEC)19790附属書DおよびISO/IEC 24759第6.16項に記載されているものに取って代わるものである。検証機関として、CMVP は附属書 D 全体に優先することができる。  本文書は SP 800-140Dr1 に優先する。

 

・[PDF] SP.800-140Dr2

20230801-62105

 

・目次...

1. Scope 1. 適用範囲
2. Normative references 2. 参考文献
3. Terms and definitions 3. 用語と定義
4. Symbols and abbreviated terms 4. 記号および略語
5. Document organization 5. 文書の構成
5.1. General 5.1. 一般事項
5.2. Modification 5.2. 修正
6. CMVP-approved sensitive security parameter generation and establishment requirements 6. CMVP承認センシティブ・セキュリティ・パラメータの生成と確立に関する要求事項
6.1. Purpose 6.1. 目的
6.2. Sensitive security parameter generation and establishment methods 6.2. センシティブ・セキュリティ・パラメータの生成および確立方法
Appendix A. Document Revisions 附属書 A. 文書の改訂

 

 


まるちゃんの情報セキュリティ気まぐれ日記

・2022.10.25 NIST SP 800-140B Rev. 1 (Draft) CMVP セキュリティポリシー要求事項 ISO/IEC 24759 および ISO/IEC 19790 附属書 B に対する CMVP 検証権限の更新(第2次公開草案)

・2022.05.25 NIST SP 800-140C Rev.1 CMVP 承認されたセキュリティ機能:ISO/IEC 24759 に対する CMVP 検証機関に関する更新、SP 800-140D Rev.1 CMVP 承認のセンシティブパラメーター生成及び確立方法:ISO/IEC 24759 に対する CMVP 検証機関の更新

 ・2022.05.14 NIST SP 800-140B Rev.1(ドラフト)CMVP セキュリティポリシー要件:ISO/IEC 24759 及び ISO/IEC 19790 附属書Bに対する CMVP検証権限の更新

・2022.02.12 NIST SP 800-140D Rev.1(ドラフト)CMVP認定済みのセンシティブパラメータ生成・確立方法:ISO/IEC 24759に対するCMVP検証機関のアップデート(第2稿)

・2022.02.12 NIST SP 800-140C Rev.1(ドラフト)CMVP認定済みのセキュリティ機能: ISO/IEC 24759に対するCMVP検証機関の更新(第2稿)

・2020.03.21 NIST SP 800-140 FIPS 140-3 Derived Test Requirements (DTR): CMVP Validation Authority Updates to ISO/IEC 24759

 

| | Comments (0)

英国 国家安全保障委員会 中国に関する報告書 (2023.07.13)

こんにちは、丸山満彦です。

英国の国家安全保障委員会が中国に関する報告書を発表していますね。。。

中国による国家安全保障上の脅威についての全体像と、3つの特定分野(学術、産業・技術、民間原子力)について、記載していますね。。。中国の諜報活動は、それに携わる人の数という意味では、世界最大とも言われているので、それへの対応というのは難しいでしょうね。。。

機密指定で削除されている部分もありますが、参考になりますね。。。

 

GOV.UK -  Intelligence and Security Committee of Parliament (ISC) - News

・2023.07.13

報告書

[PDF] China

20230801-53057

・[DOCX] 仮訳

 

 

目次...

CONTENTS 目次
OVERVIEW 概要
China’s interest in the UK 中国の英国への関心
The Inquiry 問い合わせ
The ‘whole-of-state’ threat 「国家ぐるみ」の脅威
Protecting the UK 英国を守る
PART ONE: THREAT AND RESPONSE パート1:脅威と対応
THE NATIONAL SECURITY THREAT TO THE UK 英国にとっての国家安全保障上の脅威
CHINA: AIMS AND AMBITIONS 中国:狙いと野心
What does China want from the UK?  中国は英国に何を望んでいるのか?
WHAT IS CHINA SEEKING IN THE UK? 中国は英国に何を求めているのか?
Political influence 政治的影響力
Economic advantage 経済的優位性
THE CHINESE INTELLIGENCE SERVICES 中国情報機関
Scale スケール
A broad remit 幅広い任務
‘Whole-of-state’ approach 「国家全体」アプローチ
ESPIONAGE エスピオナージ
Gathering human intelligence ヒューマン・インテリジェンスによる情報収集
Cyber operations サイバー作戦
INTERFERENCE  干渉
Government  政府
Interference in elections 選挙への干渉
Media メディア
The Chinese diaspora in the UK 英国の中国系ディアスポラ
HOW IS THE UK RESPONDING?  英国の反応は?
HMG’S BALANCING ACT HMGのバランス感覚
Conflicting priorities  相反する優先順位
A joined-up approach 連携したアプローチ
THE ‘STRATEGY’: FRAMEWORKS, PLANS AND PILLARS 戦略:フレームワーク、計画、柱
The China Senior Responsible Owner and National Strategy Implementation Group 中国上級責任者と国家戦略実施グループ
The China Framework 中国の枠組み
The Intelligence Outcomes Prioritisation process インテリジェンス成果の優先順位決定プロセス
The tri-Agency approach 三機関アプローチ
HMG Hostile State Activity Strategy HMG敵対的国家活動戦略
HMG RESOURCING HMG リソース提供
SIS SIS
GCHQ GCHQ
MI5 MI5
JIO JIO
Other organisations その他の組織
Potential for increase in resourcing 人員増強の可能性
DEFENDING THE UK 英国を守る
Responsibility 責任
Focus and coverage 焦点とカバー範囲
Protective role: CPNI and NCSC 保護する役割CPNIとNCSC
A new approach 新しいアプローチ
Challenges in tackling Chinese spying  中国のスパイ活動に取り組む上での課題
Challenges in countering Chinese interference operations 中国の妨害工作に対抗するための課題
ON THE ‘OFFENSIVE’ 「攻撃的」に
Allocation of effort 努力の配分
Requirements 要件
Coverage カバレッジ
Effects 効果
Are SIS and GCHQ ‘achieving’? SISとGCHQは「達成」しているのか?
SIS and GCHQ challenges in operating against China  対中工作におけるSISとGCHQの課題
WORKING WITH OUR ALLIES 同盟国との協力
Five Eyes  ファイブ・アイズ
Other partners その他のパートナー
LEGISLATION 法律
The need for new legislation on Hostile State Activity 敵対的な国家活動に関する新しい法律の必要性
PART TWO: CASE STUDIES パート2  ケーススタディ
CASE STUDY: ACADEMIA ケーススタディ:学術界
CHINESE INTERFERENCE IN UK ACADEMIA 中国による英国学術界への干渉
Influence and interference 影響と干渉
Economic advantage 経済的優位性
THE GOVERNMENT RESPONSE 政府の対応
Who: Taking responsibility for tackling influence and interference 誰が:影響力と妨害への取り組みに責任を持つ
How: Taking action on influence and interference  方法:影響と妨害に対して行動を起こす
What: Understanding the threat from theft and subversion  内容:窃盗と破壊工作の脅威を理解する
How: Taking action on economic advantage どのように:経済的優位性から行動を起こす
CASE STUDY: INDUSTRY AND TECHNOLOGY ケーススタディ:産業と技術
CHINA’S APPROACH TO TECHNOLOGY 中国の技術へのアプローチ
Why the UK? なぜ英国なのか?
What does China target in the UK? 中国は英国で何を狙っているのか?
METHODOLOGY: OVERT  方法論:公然
Licensing agreements ライセンス契約
Foreign Direct Investment  海外直接投資
Inward investment into China 対中投資
Standards-setting bodies 基準設定機関
METHODOLOGY: COVERT 方法論:隠密
Human intelligence ヒューマン・インテリジェンス
Cyber サイバー
THE UK GOVERNMENT RESPONSE 英国政府の対応
Understanding the task 課題を理解する
Foreign investment and national security 外国投資と国家安全保障
Disrupting activity 妨害活動
CASE STUDY: CIVIL NUCLEAR ENERGY ケーススタディ:民間原子力
CHINESE INTEREST AND INVESTMENTS 中国の利権と投資
China’s interest in the UK Civil Nuclear sector 英国の民間原子力部門に対する中国の関心
Chinese investments  中国の投資
Linked investments 連動投資
ESPIONAGE AND INFLUENCE スパイ活動
Espionage: Incentive and opportunity スパイ活動動機と機会
Influence: Leverage and disruption 影響力レバレッジと破壊
The position of the United States 米国の立場
THE GOVERNMENT RESPONSE 政府の対応
Cross-government scrutiny of foreign investment 外資に対する政府横断的な精査
Regulation 規制
Intervention: The ‘special share’  介入特別シェア
Advice to Industry  産業界へのアドバイス
Wider UK Intelligence Community efforts 英国諜報機関全体の取り組み
ANNEX A: COVID-19 附属書A:COVID-19
China’s initial response 発生地調査
Disinformation 中国の初期対応
Vaccine development and medical espionage 偽情報
Debt leverage 負債レバレッジ
Capitalising on the pandemic パンデミックを利用する
Impact on the UK Intelligence Community 英国諜報機関への影響
ANNEX B: FULL LIST OF CONCLUSIONS AND RECOMMENDATIONS 附属書B:結論と勧告の全リスト
ANNEX C: CODE WORDS 附属書C:コード・ワード
ANNEX D: LIST OF WITNESSES 附属書D:証人リスト
Officials オフィシャル
External Expert witnesses 外部専門家証人

 

・プレス

・[PDF] 'China' Press release

20230801-53210

 

プレス...

仮対訳...

INTELLIGENCE AND SECURITY COMMITTEE OF PARLIAMENT  国会情報安全保障委員会 
PRESS NOTICE  報道発表 
The Intelligence and Security Committee of Parliament published its Report on China today.   国会情報・安全保障委員会は本日、中国に関する報告書を発表した。 
The Chairman of the ISC, the Rt Hon. Sir Julian Lewis MP, said:  ISCの議長であるジュリアン・ルイス議員は、次のように述べた: 
“This Report considers the nature of the national security threat from China broadly, as well as in relation to three specific areas (Academia, Industry and Technology, and Civil Nuclear Energy). It is the result of an extensive Inquiry by present and past Committees, and we would like to take this opportunity to thank past Members of the ISC for all of their work.”  「本報告書は、中国による国家安全保障上の脅威の本質を、広範に、また3つの特定分野(学術、産業・技術、民間原子力)との関連において考察するものである。この報告書は、現在の委員会と過去の委員会による広範な調査の結果であり、この場を借りて、ISCの歴代委員に感謝の意を表したい」と述べた。
The Chairman set out the Committee’s key findings on each of the key aspects of the Report:  委員長は、報告書の各主要点について、委員会の主な調査結果を述べた: 
On the National Security Threat to the UK:  英国に対する国家安全保障上の脅威について 
● The UK is of significant interest to China when it comes to espionage and interference, given our close relationship with the United States, membership of international bodies and the perception of the UK as an opinion-former. This would appear to place the UK just below China’s top priority targets, as it seeks to build support for its current ‘core interests’ – to mute international criticism and gain economically.   米国との緊密な関係、国際団体のメンバーであること、英国がオピニオン形成者であるという認識から、スパイ活動や干渉に関して、英国は中国にとって大きな関心事である。国際的な批判を封じ、経済的な利益を得るという現在の「核心的利益」に対する支持を築こうとする中国にとって、英国は最優先ターゲットのすぐ下に位置しているように見える。 
● The fact that China is a strategic threat is not news. It is China’s global ambition to become a technological and economic superpower, on which other countries are reliant, that represents the greatest risk to the UK. China seeks to influence elites and decision-makers, to acquire information and Intellectual Property using covert and overt methods, and to gain technological supremacy.   中国が戦略的脅威であるという事実はニュースではない。他国が依存する技術的・経済的超大国になるという中国の世界的野心こそが、英国にとっての最大のリスクなのだ。中国はエリートや意思決定者に影響を及ぼし、秘密裏の方法とあからさまな方法を駆使して情報や知的財産を獲得し、技術的優位に立とうとしている。 
● China’s state intelligence apparatus – almost certainly the largest in the world, with hundreds of thousands of civil intelligence officers (leaving aside their military capability) – targets the UK and its interests prolifically and aggressively, and presents a challenge for our Agencies to cover. China’s human intelligence collection is prolific, and it has a highly capable and increasingly sophisticated cyber-espionage operation.  中国の国家情報機構は、(軍事力は別として)数十万人の民間情報担当官を擁する世界最大のものであることはほぼ間違いなく、英国およびその利益を多用かつ積極的に標的としており、わが国の諜報機関にとってカバーすべき課題となっている。中国の人的情報収集は盛んであり、非常に有能でますます洗練されたサイバースパイ活動を展開している。
The Chair of the Joint Intelligence Committee told the ISC that:  “there is effectively a global values struggle going on in which China is determined to assert itself as a world power … China is increasingly thinking of a future in which it could be the world power and that means that – if you think of UK interests as being in favour of good governance and transparency and good economic management, which … serve our national interest because it helps with trade, investment, prosperity and stability and so forth – then I think that China represents a risk on a pretty wide scale.”   合同情報委員会の委員長はISCで次のように述べた:  「事実上、世界的な価値観の闘争が進行しており、その中で中国は世界の大国として自らを主張しようとしている......中国はますます世界の大国となりうる未来を考えており、それはつまり......貿易、投資、繁栄、安定などに役立つため、英国の国益に資するグッド・ガバナンスや透明性、優れた経済マネジメントを支持することを英国の利益と考えるのであれば、中国はかなり広範な規模のリスクを代表すると思う  
On the ‘Whole-of-State’ Approach:  国家全体』アプローチについて: 
● The problem is compounded by China’s ‘whole-of-state’ approach. Chinese stateowned and non-state-owned companies, as well as academic and cultural establishments and ordinary Chinese citizens, are liable to be (willingly or unwillingly) co-opted into espionage and interference operations overseas.   中国の "国家全体 "のアプローチによって、問題はさらに複雑になっている。中国の国有・非国有企業、学術・文化機関、一般の中国国民は、(喜んで、あるいは嫌々ながら)海外でのスパイ活動や干渉活動に協力させられる可能性がある。 
● Much of the impact which China has on the UK’s national security is overt – through its economic might, its takeovers and mergers, and its interaction with Academia and Industry. China’s size, ambition and capability have enabled it to successfully penetrate every sector of the UK’s economy.   中国が英国の国家安全保障に与える影響の多くは、その経済力、買収や合併、学界や産業界との交流など、あからさまなものである。中国はその規模、野心、能力によって、英国経済のあらゆる部門に入り込むことに成功している。 
● China is similarly aggressive in its interference activities: while seeking to exert influence is legitimate, China oversteps the boundary. It has been particularly effective at using its money and influence to penetrate or buy Academia in order to ensure its international narrative is advanced and criticism suppressed.   中国は干渉活動においても同様に積極的である。影響力を行使しようとすることは合法的であるが、中国はその境界線を踏み越えている。中国が特に効果的なのは、資金と影響力を使って学界に入り込み、あるいは買収することで、自国の国際的な物語を確実に進展させ、批判を抑圧することである。 
● China’s attempts to influence the international narrative can also be seen clearly in its response to the pandemic, sowing seeds of doubt about the origins of the virus and greatly exaggerating its work to counter it. China has positioned itself to capitalise on the damage to world economies and may well emerge from the pandemic stronger than before.  国際的な物語に影響を与えようとする中国の試みは、パンデミックへの対応にもはっきりと見ることができる。中国は、世界経済への打撃を利用し、パンデミックから以前より強く立ち上がる可能性がある。
The Director General of MI5 told the ISC that:  “the challenge of the rise of China absolutely raises huge questions for the future of the Western alliance … none of us can give a confident long-term answer to exactly how the balance of power plays out globally across the next few decades but it is clear for all of us that this is, I think, the central intelligence challenge for us across the next decade.”   MI5の事務局長はISCで次のように語った:  「中国の台頭という挑戦は、西側同盟の将来にとって非常に大きな問題を提起している......今後数十年にわたって世界的なパワーバランスがどのように変化していくのか、私たちの誰も長期的な確信に満ちた答えを出すことはできない。 
On Protecting the UK:  英国の防御について 
● The Government told the Committee that its response to the threat is “robust” and “clear-eyed”. China experts were rather less complimentary, concluding that the Government has no strategy on China, let alone an effective one, and that it was singularly failing to deploy a ‘whole-of-Government’ approach – a damning appraisal indeed.  政府は委員会に対し、脅威への対応は「堅固」で「明晰な」ものであると述べた。中国の専門家はむしろ褒めがたく、政府は中国に関する戦略を持っておらず、効果的な戦略はおろか、「政府全体」のアプローチを展開することにも失敗していると結論づけた。
● We found that the level of resource dedicated to tackling the threat posed by China’s ‘whole-of-state’ approach has been completely inadequate, and the slow speed at which strategies and policies are developed and implemented leaves a lot to be desired.   中国の "国家全体 "アプローチによる脅威への取り組みに割かれるリソースのレベルはまったく不十分であり、戦略や政策が策定され、実施されるスピードの遅さには不満が残る。 
● The nature of China’s engagement, influence and interference activity may be difficult to detect, but even more concerning is the fact that the Government may not previously have been looking for it.   中国の関与、影響力、干渉活動の性質を検知することは難しいかもしれないが、それ以上に懸念されるのは、政府がこれまでそれを探していなかったかもしれないという事実である。 
● The UK Intelligence Community has been open with the Committee about the challenges of detecting Chinese interference operations (overt or covert activities which involve deceptive, coercive, corruptive or threatening actions). However, until recently, our Agencies did not even recognise that they had any responsibility for countering Chinese interference activity in the UK, instead focusing their efforts on China’s ‘covert’ activity, as resources were diverted to tackling the terrorist threat.   英国情報コミュニティは委員会に対し、中国の干渉活動(欺瞞的、強制的、腐敗的、威嚇的な行動を伴う公然または秘密の活動)を検知することの難しさについて率直に語ってきた。しかし、つい最近まで、わが国の諜報機関は、英国における中国の干渉活動に対抗する責任があることすら認識しておらず、その代わりに、リソースをテロリストの脅威への対処に振り向け、中国の「秘密」活動に労力を注いでいた。 
● Yet the security community, and Government in general, were aware of many of these issues several years ago and we are surprised at how long it has taken for a process to be put in place to identify and protect UK assets, based on the UK’s sovereign interests: this is a serious failure and one that the UK may feel the consequences of for years to come.   しかし、安全保障コミュニティと政府一般は、数年前からこうした問題の多くに気づいていた。英国の主権的利益に基づき、英国の資産を特定し保護するためのプロセスを導入するのに、これほど時間がかかったことに驚いている。 
● Responsibility for addressing the more overt aspects of the threat seems to rest with Whitehall policy departments: however, there is no evidence that those departments have the necessary resources, expertise or knowledge of the threat to counter China’s approach. The UK is now playing catch-up and the whole of Government has its work cut out to understand and counter the threat from China.   脅威のより露骨な側面に対処する責任は、ホワイトホールの政策部門にあるようだが、それらの部門が中国のアプローチに対抗するために必要なリソース、専門知識、脅威に関する知識を有している証拠はない。英国はいまやキャッチアップしているのであり、政府全体が中国の脅威を理解し、対抗するための仕事をしなければならない。 
● Yet the Government’s focus is still dominated by short-term or acute threats. It has consistently failed to think long-term – unlike China, which has historically been able to take advantage of this. The Government must adopt a longer-term planning cycle in regards to the future security of the UK if it is to face Chinese ambitions which are not reset every political cycle. This is something which will likely require Opposition support – but the danger posed by doing too little, too late, in this area is too significant with which to play politics. The UK is severely handicapped by the short-termist approach currently being taken.  しかし、ガバナンスの焦点は依然として短期的な脅威や急迫した脅威に向けられている。歴史的にこれを利用してきた中国とは異なり、英国は一貫して長期的な思考を怠ってきた。ガバナンスは、政治サイクルごとにリセットされない中国の野心に立ち向かうためには、英国の将来の安全保障に関して長期的な計画サイクルを採用しなければならない。これは野党の支持を必要とする可能性が高いが、この分野での手遅れや遅すぎる行動がもたらす危険は、政治的駆け引きを行うにはあまりに重大である。英国は、現在取られている短期主義的アプローチによって大きなハンディキャップを背負っている。
In evidence, Charles Parton of the Royal United Services Institute told the ISC that:  “There is no unified voice within Government about what our China strategy is … not only do you need a strategy but you actually need people to know what the strategy is and to follow it, and you need the Chinese to know what your strategy is – and none of that applies.”  その証拠に、英国王立サービス研究所のチャールズ・パートンはISCに次のように語っている:  「政府内には、中国戦略のあり方について統一された声はない。戦略が必要なだけでなく、戦略の内容を知り、それに従う人々が実際に必要であり、中国側にも戦略の内容を知ってもらう必要がある。
On Security vs. Prosperity:  安全保障と繁栄について 
● It is clear that China has taken advantage of the policy of successive British Governments to boost economic ties between the UK and China, which has enabled it to advance its commercial, science and technology and industrial goals in order to gain a strategic advantage. China has been buying-up and seeking to control or influence the UK’s Industry and Energy sectors and – until the Covid-19 pandemic – Chinese money was readily accepted by HMG with few questions asked.   中国が歴代英国政府の政策を利用して英中間の経済関係を強化し、戦略的優位を得るために商業、科学技術、産業の目標を前進させることを可能にしたことは明らかだ。中国は英国の産業とエネルギー部門を買収し、支配したり影響を与えようとしてきた。コヴィド-19のパンデミックが起こるまでは、中国の資金はほとんど質問されることなく、英国政府によって容易に受け入れられていた。 
● China’s economic power cannot be ignored when formulating the UK’s policy: the balance between security and prosperity requires dexterity and we understand that there are a number of difficult trade-offs involved. However, the Government needs to ensure that it has its house in order such that security concerns are not constantly trumped by economic interest.  安全保障と繁栄のバランスには器用さが必要であり、多くの難しいトレードオフがあることは理解している。しかし、ガバナンスは、安全保障上の懸念が常に経済的利益に優先されることのないよう、政府内の秩序を確保する必要がある。
On Avoiding Democratic Oversight:  民主主義の監視を避けることについて 
● Our predecessor Committee sounded the alarm about Russia, warning that too many politicians could not take a decision on an investment case because they had taken money from those concerned. We know that China invests in political influence and we question therefore whether similar problems might be arising in relation to China.   私たちの前任の委員会はロシアについて警鐘を鳴らし、関係者から金を受け取っているために投資案件の決定を下せない政治家が多すぎると警告した。我々は、中国が政治的影響力に投資していることを知っており、中国に関しても同様の問題が生じているのではないかと疑問を呈している。 
● We are reassured that, belatedly, security aspects are now being given prominence: the Government has, finally, put in place legislation (the National Security and Investment Act 2021) to consider investment decisions and factor in security – eight years after this Committee warned them to do so. However, there is still no effective independent oversight of the decisions being made under the NSI Act. We cannot therefore be confident that security is actually being taken into account or if, for Ministers drawn to the siren call of investment, that is still regarded as a trade-off.  当委員会がそうするよう警告してから8年後、政府はようやく投資決定を検討し、安全保障を考慮するための法律(2021年国家安全保障投資法)を整備した。しかし、NSI法のもとで行われている決定に対する効果的な独立監視はまだ行われていない。したがって、安全保障が実際に考慮されているのか、あるいは、投資というサイレンの音に引き寄せられた閣僚にとって、安全保障が依然としてトレードオフとみなされているのか、確信が持てない。
● The fact that the Government does not want there to be any meaningful scrutiny of sensitive investment deals, and therefore deliberately chose not to extend the ISC’s oversight remit to cover the Investment Security Unit, is of serious concern. Effective Parliamentary oversight is not some kind of ‘optional extra’ – it is a vital safeguard in any functioning Parliamentary democracy.   ガバナンスは、機密性の高い投資案件について意味のある精査が行われることを望んでおらず、それゆえISCの監督権限を投資安全保障ユニットまで拡大することを意図的に選択しなかったという事実は、深刻な懸念である。効果的な議会の監視は、ある種の「オプション的な追加」ではなく、議会制民主主義が機能する上で不可欠なセーフガードである。 
● It is essential that there is effective scrutiny and oversight of the ISU – particularly important in this case, given the length of time that Chinese investment has gone unchecked – and that can only be undertaken by this Committee. This will have a significant impact on national security, and upon the trust placed by the public in Ministers who are charged with weighing-up fundamental interests behind closed doors.  ISUに対する効果的な精査と監視が不可欠であり、中国からの投資が野放しになっている期間を考えると、この場合は特に重要である。このことは、国家の安全保障に重大な影響を与え、また、密室で基本的な利害を検討する責務を負う閣僚に対する国民の信頼にも影響を与えることになる。
On Interference in, and Advantage from, UK Academia:  英国の学術界への干渉とそこからの利益について 
● The UK’s academic institutions provide a rich feeding ground for China to achieve political influence in the UK and economic advantage over the UK.   英国の学術機構は、中国が英国で政治的影響力を獲得し、英国に対して経済的優位に立つための豊富な餌場を提供している。 
● In order to control the narrative of debate, China exerts influence over institutions by leveraging fees and funding, over individual UK academics through inducements and intimidation, over Chinese students by monitoring and controlling, and over think tanks through coercion. Yet Government has shown very little interest in warnings from Academia: at the time of drafting there was no point of contact in Government for them to seek advice on these issues.  議論のシナリオをコントロールするために、中国は手数料や資金を活用することで機構に、誘引や脅迫によって英国の学者個人に、監視や統制によって中国人留学生に、強制によってシンクタンクに影響力を行使している。しかし、ガバナンスは学術界からの警告にほとんど関心を示していない。ドラフト時点では、これらの問題について助言を求める窓口が政府にはなかった。
● In seeking economic advantage, China often acts in plain sight – directing, funding and collaborating on academic research for its own ends. In particular, it seeks to benefit the Chinese military through research on dual-use techniques. There is a question as to whether academic institutions are sufficiently alive to this threat, particularly given that they often accept the transfer of Information Data and Intellectual Property as a condition of funding. While some have expressed concern, others seem to be turning a blind eye, happy simply to take the money.  中国は、経済的な優位性を求めるあまり、しばしば目に見えるところで行動している。特に、デュアルユース技術の研究を通じて中国軍に利益をもたらそうとしている。特に、学術機関が資金提供の条件として情報データや知的財産の移転をしばしば受け入れていることを考えると、学術機関がこの脅威を十分に認識しているかどうか疑問が残る。懸念を表明する者がいる一方で、見て見ぬふりをし、単に資金を受け取ることに満足している者もいるようだ。
● Academia is also an ‘easy option’ when it comes to theft of Intellectual Property, with China taking advantage of collaborative projects to steal information which may be less protected. At present, HMG still seem to be trying to understand the threat: there is still no comprehensive list of the areas of sensitive UK research which need protecting. Identifying these key areas of research must be a priority – they must be communicated to Academia as a matter of urgency so that protective action can be taken. Unless and until this is done then the UK is handing China a clear economic advantage over the UK.  学術界は知的財産の窃盗に関しても「容易な選択肢」であり、中国は保護が緩い情報を盗むために共同プロジェクトを利用している。現在のところ、HMGはまだ脅威を理解しようとしているように見える。保護が必要な機密性の高い英国の研究分野の包括的なリストはまだない。このような重要な研究分野を特定することが優先されなければならない。これが実行されない限り、また実行されるまでは、英国は中国に英国より明らかに経済的に優位な立場を渡すことになる。
● Tackling the threat in relation to Academia could have been an example of the Fusion Doctrine working seamlessly – with each part of Government clearly contributing to an overall goal. But, as in so many areas, the devolution of responsibility for security to policy departments means that the ball is being dropped on security. Policy departments still do not have the understanding needed and no plan to tackle it. And in the meantime China is on hand to collect – and exploit – the achievements of the UK’s best and brightest, as the UK knowingly lets this fall between the cracks.  学術界に関する脅威への取り組みは、フュージョン・ドクトリンがシームレスに機能する例であったかもしれない。しかし、多くの分野でそうであるように、安全保障の責任が政策部門に委譲されたことで、安全保障に関してボールが落とされている。政策部門はいまだに安全保障に必要な理解もなく、取り組む計画もない。その一方で、中国は英国の優秀な人材の功績を収集し、それを利用しようとしている。
On Targeting of Industry and Technology:  産業と技術の標的について 
● China is seeking technological dominance over the West and is targeting the acquisition of Intellectual Property and data in ten key industrial sectors – many of which are fields in which the UK has particular expertise.  中国は西側諸国に対する技術的優位性を求めており、10の主要産業分野における知的財産とデータの取得を狙っている。
● The West is already over-reliant on Chinese technology. As the role of technology in everyday life increases exponentially, so the UK will be at an increasing disadvantage compared to China – with all the attendant risks for our security and our prosperity. British technology and innovation are therefore critical and must be robustly protected.  欧米はすでに中国の技術に過度に依存している。日常生活におけるテクノロジーの役割が飛躍的に増大するにつれて、英国は中国と比較してますます不利な立場に置かれることになり、それに伴い、安全保障と繁栄にとってあらゆるリスクが伴うことになる。したがって、英国の技術とイノベーションは極めて重要であり、強固に保護されなければならない。
● China uses all possible legitimate routes to acquire UK technology, Intellectual Property and data – from buy-in at the ‘front end’ via Academia, to actual buyingin through licensing agreements and Foreign Direct Investment, and the exertion of control over inward investments and standard-setting bodies. The cumulative threat can now be clearly seen.  中国は、学術界を通じた「フロントエンド」での買収から、ライセンス契約や海外直接投資を通じた実際の買収、対内投資や標準設定団体に対する支配権の行使に至るまで、英国の技術、知的財産、データを獲得するために、ありとあらゆる合法的なルートを用いている。累積的な脅威は、今やはっきりと見ることができる。
● However, such overt acquisition routes have been welcomed by HMG for economic reasons, regardless of the risks to national security, and the threat to future prosperity and independence was discounted in favour of current investment.   しかし、このようなあからさまな買収ルートは、国家安全保障上のリスクとは関係なく、経済的な理由からHMGに歓迎され、将来の繁栄と独立に対する脅威は、現在の投資を優先して割り引かれてきた。 
● Without swift and decisive action, we are on a trajectory for the nightmare scenario where China steals blueprints, sets standards, and builds products, exerting political and economic influence at every step. This presents a serious commercial challenge, but also has the potential to pose an existential threat to liberal democratic systems.  迅速かつ断固とした行動をとらなければ、中国が設計図を盗み、標準を設定し、製品を製造し、あらゆる段階で政治的・経済的影響力を行使するという悪夢のシナリオへの軌道をたどることになる。これは深刻な商業的課題であると同時に、自由民主主義体制に存亡の危機をもたらす可能性を秘めている。
On Investment in Civil Nuclear Energy:  民間原子力エネルギーへの投資について 
● China’s use of the UK as a home for Chinese investment can be seen from the China General Nuclear Power Group’s involvement in the UK Civil Nuclear sector. The scale of its investments –– and its willingness to undergo expensive and lengthy regulatory approval processes – demonstrates China’s determination to become a permanent and significant player in the UK Civil Nuclear Sector, as a stepping stone in its bid to become a global supplier.   中国が英国を中国投資の本拠地として利用していることは、中国核電集団(China General Nuclear Power Group)が英国の民生原子力部門に関与していることからもわかる。その投資規模、および高価で長い規制当局の承認プロセ スを受ける意欲は、グローバル・サプライヤーになるための足がかりとして、中国が英国の民生用原子力部門で恒久的かつ重要なプレーヤーになるという決意を示している。 
● The question is to what extent the Government is prepared to let China invest in such a sensitive sector, for the sake of investment, and whether the security risks have been clearly communicated to, and understood by, Ministers. The Government would be naïve to assume that allowing Chinese companies to exert influence over the UK’s Civil Nuclear and Energy sectors is not ceding control to the Chinese Communist Party.   問題は、政府がこのようなセンシティブな分野に、投資のために中国をどの程度まで投資させる用意があるのか、また、安全保障上のリスクが大臣に明確に伝えられ、理解されているのかということである。政府は、中国企業が英国の民間原子力・エネルギー部門に影響力を行使することを認めることが、中国共産党に支配権を譲ることではないと考えるのはナイーブだろう。 
● It is therefore unacceptable for the Government still to be considering Chinese involvement in the UK’s Critical National Infrastructure at a granular level, taking each case in isolation. It is alarming that the then Department for Business, Energy and Industrial Strategy (BEIS) considered that foreign investment in the UK’s Civil Nuclear sector did not need to be looked at in the round. We question how any department can consider that a foreign country single-handedly running our nuclear power stations shouldn’t give pause for thought: this demonstrates that they do not have the expertise to be responsible for such sensitive security matters.     したがって、政府がいまだに英国の重要な国家インフラへの中国の関与を、それぞれのケースを切り離して細かいレベルで検討していることは容認できない。当時のビジネス・エネルギー・産業戦略省(BEIS)が、英国の民生用原子力部門への外資を全体的に見る必要はないと考えていたことは憂慮すべきことである。外国が単独で私たちの原子力発電所を運営することを、どのような部局が一考の余地がないと考えることができるのか、私たちは疑問に思う。これは、彼らがこのような機密性の高い安全保障問題を担当する専門知識を持っていないことを示している。   
● We have serious concerns about the incentive and opportunity for espionage that Chinese involvement in the UK’s Civil Nuclear sector provides. While we recognise that the threat of disruption is less likely, the threat of leverage is very real.   英国の民間原子力部門に中国が関与することで、スパイの誘因と機会がもたらされることに深刻な懸念を抱いている。混乱を招く可能性は低いと認識しているが、影響力の脅威は非常に現実的である。 
● China’s ability to exert some control over the UK’s Critical National Infrastructure will complicate the Government’s calculations in its broader approach to China: in other words, it may not be possible to separate the Civil Nuclear industry from wider geopolitical and diplomatic considerations.  中国が英国の重要な国家インフラをある程度管理できるようになることで、中国に対するより広範なアプローチにおけるガバナンスの計算が複雑になる。言い換えれば、民生用原子力産業をより広範な地政学的および外交的な検討事項から切り離すことはできないかもしれない。
On Capitalising on Covid-19:  Covid-19に付け込んで: 
● Now is not the time to try to reach conclusions about Chinese intent or actions over the origins and development of the pandemic. It is still too soon as it is likely that more information will come to light about Covid-19 as investigations continue. Initial work does appear to support the World Health Organization and the US Intelligence Community’s public statements that the virus was not man-made and China did not deliberately let it spread – even though a reluctance to pass bad news up the chain appears to have hindered the response.  今は、パンデミックの発生と進展に関する中国の意図や行動について結論を出そうとする時期ではない。調査が進めば、Covid-19についてさらに多くの情報が明らかになるだろうからだ。最初の調査は、このウイルスは人為的なものではなく、中国が意図的に蔓延させたものではないという世界保健機関(WHO)と米国情報コミュニティの公式見解を支持するものである。
● The key issue for the future is the extent to which China will now capitalise on the pandemic as other countries suffer its effects – and how the UK Intelligence Community and its allies will stop this growing threat.  今後の重要な課題は、他国がパンデミックの影響を受ける中、中国がどの程度までパンデミックを利用するか、そして英国情報コミュニティとその同盟国がこの脅威の拡大をどのように食い止めるかである。
NOTES TO EDITORS   編集後記  
1. The Intelligence and Security Committee of Parliament (ISC) is a statutory committee of Parliament that has responsibility for oversight of the UK Intelligence Community. The Committee was originally established by the Intelligence Services Act 1994, and was reformed, and its powers reinforced, by the Justice and Security Act 2013.  1. 議会情報・安全保障委員会(ISC)は、英国情報コミュニティの監督責任を負う議会の法定委員会である。委員会はもともと1994年の情報サービス法によって設立され、2013年の司法・安全保障法によって改革され、権限が強化された。
2. The Committee oversees the intelligence and security activities of the UK, including the policies, expenditure, administration and operations of MI5, MI6 (the Secret Intelligence Service or SIS) and the Government Communications Headquarters (GCHQ), and the work of the other parts of the Intelligence Community, including the Joint Intelligence Organisation and the National Security Secretariat in the Cabinet Office; Defence  2. 委員会は、MI5、MI6(秘密情報局、SIS)、政府コミュニケーション本部(GCHQ)の政策、支出、管理、運営、および内閣府の統合情報機構と国家安全保障事務局、国防省の国防情報局を含む情報コミュニティの他の部分の活動を含む、英国の情報・安全保障活動を監督する。
Intelligence in the Ministry of Defence; and Homeland Security Group in the Home Office.   国防省の国防情報部、内務省の国土安全保障グループなどである。 
3. The Committee consists of nine members drawn from both Houses of Parliament, and appointed by Parliament. The Chair is elected by its Members. The Members of the Committee are subject to Section 1(l)(b) of the Official Secrets Act 1989 and are routinely given access to highly classified material in carrying out their duties.   3. 委員会は、国会両院から選出された9名の委員で構成され、国会によって任命される。委員長は委員によって選出される。委員会のメンバーは、1989年公文書秘密法第1条(l)(b)の適用を受け、その職務を遂行する上で、日常的に極秘資料へのアクセスが与えられている。 
4. This Report reflects the work of the current Committee who are:   4. 本報告書は、現在の委員会の活動を反映したものである:  
The Rt Hon. Sir Julian Lewis MP (Chairman)   ジュリアン・ルイス議員(議長)  
The Rt Hon. Sir John Hayes CBE MP   サー・ジョン・ヘイズ CBE 議員  
Owen Thompson MP   オーウェン・トンプソン議員  
The Rt Hon. Sir Jeremy Wright KC MP   サー・ジェレミー・ライト KC 議員  
The Rt Hon. Kevan Jones MP   ケヴァン・ジョーンズ議員  
The Rt Hon. Maria Eagle MP   マリア・イーグル議員  
Colonel The Rt Hon. Bob Stewart DSO MP   ボブ・スチュワート大佐殿  
Admiral The Rt Hon. Lord West of Spithead GCB DSC PC The Rt Hon. Theresa Villiers MP   ウェスト・オブ・スピットヘッド提督殿 GCB DSC PC テレサ・ヴィリアーズ議員殿  
0. The Committee sets its own agenda and work programme. It takes evidence from Government Ministers, the Heads of the intelligence and security Agencies, officials from across the UK Intelligence Community, and other witnesses as required. The Committee makes an Annual Report on the discharge of its functions and also produces Reports on specific issues.   0. 委員会は独自の議題と作業計画を設定する。同委員会は、政府ガバメント、情報・安全保障機関の長、英国情報コミュニティ全体の関係者、および必要に 応じてその他の証人から証拠を入手する。委員会は、その機能の遂行に関する年次報告書を作成するほか、特定の問題に関する報告書も作成する。 
0.  The Committee's dedicated Press Officer can be reached at: Wayne.Bontoft@cabinetoffice.gov.uk or 07858 923590.  0.  同委員会の専任報道官の連絡先は以下の通りである: Wayne.Bontoft@cabinetoffice.gov.uk または 07858 923590 まで。

 

| | Comments (0)

« July 2023 | Main | September 2023 »