« October 2023 | Main | December 2023 »

November 2023

2023.11.30

公認会計士協会 「循環取引に対応する内部統制に関する共同研究報告」(公開草案)

こんにちは、丸山満彦です。

日本公認会計士協会が、日本監査役協会、日本内部監査協会と協力して、「循環取引に対応する内部統制に関する共同研究報告」(公開草案)を公表し、意見募集をしていますね。。。

循環取引は、複数の組織が共謀して商品の転売や役務の提供を繰り返し、取引が存在するかのように仮装し、売上や、ある期間における利益を過大に計上することになり、適切な会計ではありませんね。。。

パターンとしては、報告書案では、


・ スルー取引
自社が受けた注文について、物理的・機能的に付加価値の増加を伴わず他社へそのまま回し、帳簿上通過するだけの取引をいう。複数の企業が共謀して売上を水増しするために実施されることが多い。

・ Uターン取引(回し取引)
商品・製品等が、最終的に起点となった企業に戻ってくる取引をいう。複数の企業を経由する間に手数料等が上乗せされた状態で、商品・製品等が起点となった企業へ還流される。還流している、すなわち、循環しているという意味で、狭義の循環取引ということがある。

・ クロス取引(バーター取引)
複数の企業が互いに商品・製品等を販売し、当該相手方の商品・製品等を在庫として保有し合う、又はある企業が在庫せずに他の複数の企業に対し相互にスルーする取引をいう。取引相手と共謀して自社の商品・製品等を高い価格で販売する代わりに、実需に基づかない相手の商品・製品等についても通常価格よりも上乗せした価格にて購入することで、互いに売上を良く見せようとすることが多い。


ただ、これが複雑なスキームでくまれていると、循環取引を見つけることが難しいので、監査上はしばしば問題になってきました。。。

私が会計士として監査をしていたのは、だいぶ前になりますが、それでも、食品関係、工事関係、コンピュータ関係の売買の循環取引を見つけたことがありますから昔から多くあった話です。。。

では、どのような取引において循環取引がおこりやすいかというと、報告書案にあるように、モノが動かないのに売上が立つようなものは、確かに私がみたのもそういうのもありましたから、一つありますね。。。


《③ 循環取引のリスクが高い取引》

70.自社倉庫等を経由せずに販売する直送取引や、ある商流の間に入るだけの取引等、商流の上流からエンドユーザーへの納品が把握しづらい取引も現物の把握が困難であることや帳簿だけの取引となるため、循環取引のリスクが相対的に高いとされる取引形態の一つである。

71.また、担当者以外の知識や経験が少ないため関係者が制限される専門性の高い取引や、担当者以外の関係者が取引に関与する機会が著しく制限される秘匿性の高い取引等、一部の関係者のみで実行され他者の目に触れる機会が少ない取引も、循環取引のリスクが相対的に高いとされる取引形態である。


 

発覚の経緯が事例として載っていますが、、、

  • 税務調査の過程で、一部取引について納品の事実が確認できない疑義があるとの指摘を受けたことから調査委員会を設置し、調査の結果、発覚に至った。

  • 多額の売掛金の滞留が存在していることに対して親会社が内部監査を実施したところ、不適切な売上計上が発見されたことから調査委員会を設置し、調査の結果、発覚に至った。

  • 当時担当していた会計監査人に対して、取引先より通報が入ったことから調査委員会が設置され、調査の結果、発覚に至った。

もっと、事例をたくさん記載し、発覚の経緯についても多くの種類を載せるとよいと思います。。。

 

ちなみに、私が、ものが動かない直取引のようなもので、発見の経緯は、

・ある部門の売上、利益率の期間比較で、直近2年で売上が急に増えたにも関わらず、利益率が急激に下がっていた

というところからですね。。。売上が多い企業と仕入れが多い企業を調べ、その期間推移を作りました。そして、それらが特定の部署で行われていたので、サンプル調査という口実で、ヒアリングに行き、関連書類(契約書等)を入手し、いろいろと確認したところ、ほぼスルー取引ということがわかりました。。。内部監査部門、監査役も交えて調査をした結果、売上先と仕入先が資本関係はないものの、同一グループの企業でしたね。。。

推移を見て分かったのは、分析期間中に循環取引が生じたからですが、それでなくても、部署ごとサービスごとの売上、利益率の比較をすればわかりやすいかもしれません。モノがある場合は、在庫回転率なども参考になるかもしれませんね。。。

循環ではないスルー取引の場合は、売買取引に仮装した金融取引(運転資金の貸付)という場合もありますね。。。これも、売上高と利益率の推移等をみれば発見できました。。。

今はデータ監査がやりやすいので、そういうのを活用するのは重要かもしれませんね。。。

AIを使った循環取引などの不正会計を見つけるという取り組みも監査法人単位では進んでいると思うので、AIの活用も含めて監査の高度化というのは重要なテーマになりますね。。。

 

日本公認会計士協会

・2023.11.27 「循環取引に対応する内部統制に関する共同研究報告」(公開草案)の公表について

・[PDF

20231130-61158

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.09.05 証券取引等監視委員会 開示検査事例集(令和3事務年度)

・2020.03.13 ネットワンシステムズ 「納品実体のない取引に関する調査 最終報告書(開示版)」

・2020.01.28 循環取引

 

・2011.10.24 公認会計士協会 確定 IT委員会研究報告「ITに対応した監査手続事例~事例で学ぶよくわかるITに対応した監査~」

・2011.07.10 公認会計士協会 パブコメ IT委員会研究報告「ITに対応した監査手続事例~事例で学ぶよくわかるITに対応した監査~」

・2008.07.28 監査提言集から読み取る内部統制の文書化の限界・・・

・2008.07.22 JICPA 監査提言集

・2007.07.15 東証 加ト吉の改善報告書

・2007.04.25 加ト吉 「不適切な取引行為に関する報告等」

 

| | Comments (0)

米国 取引委員会 AIを利用した音声クローンの害を防ぐためアイデア募集 賞金総額35,000ドル(約500万円) (2023.11.17)

こんにちは、丸山満彦です。

連邦取引委員会が、AIを利用した音声クローンの害を防ぐためのアイデアを募集していますね。。。

日本でもオレオレ詐欺は問題になっていますよね(警察庁 特殊詐欺認知・検挙状況等について)。。。

米国では、この先AIを利用した音声クローンによりさらにオレオレ詐欺被害が増えるとみて、その対策のためのアイデアを国民から広く募集していますね。。。賞金付きで。。。

賞金は、優勝 25,000ドル、準優勝 4,000ドル、佳作 2,000ドル(3名まで)だそうです。

審査基準は、

  • 管理可能性と実行可能性: そのアイデアが実際にどの程度機能し、管理可能で実行可能か。

  • 企業の責任を高め、消費者の負担を軽減する:  川上の関係者が実施する場合、そのアイデアはどのように企業に責任と義務を負わせ、消費者の負担を最小化するか。責任と義務の割り当てが、関連する主体の資源、情報、権力に見合うようにするにはどうすればよいか。リスクを発生源で軽減し、あるいは被害が発生する前に戦略的に上流に介入するにはどうすればよいか。消費者による実施が求められる場合、消費者にとってどの程度利用しやすいか。

  • レジリエンス: その考え方は、急速な技術変化やビジネス慣行の進化に対して、どのようにレジリエンシーがあるか。音声クローン技術が改善された場合、そのアプローチはどの程度容易に維持・適応可能か。そのアイデアは、それ自体がもたらす可能性のある追加的な安全・セキュリティリスクをどのように回避・軽減するかを含む。

日本政府でもこのような懸賞付きのチャレンジをやっていますが、もっと活用してもよいかもですね。。。金額もね。。。

 

Federal Trade Commission: FTC

・2023.11.17 The FTC Voice Cloning Challenge

 

The FTC Voice Cloning Challenge FTCの音声クローニング・チャレンジ
Voice cloning technology is becoming increasing sophisticated due to improving text-to-speech AI. The technology offers promise, including medical assistance for people who may have lost their voices due to accident or illness. It also poses significant risk: families and small businesses can be targeted with fraudulent extortion scams; creative professionals, such as voice artists, can have their voices appropriated in ways that threaten their livelihoods and deceive the public. 音声合成AIの改善により、音声クローン技術はますます洗練されてきている。この技術は、事故や病気で声を失った人々の医療支援など、将来性のあるものである。家族や中小企業が詐欺的な恐喝詐欺の標的にされたり、音声アーティストのようなクリエイティブな専門家が、彼らの生活を脅かし、公衆を欺くような方法で声を流用されたりする可能性がある。
The FTC is running an exploratory challenge to encourage the development of multidisciplinary approaches—from products to policies to procedures—aimed at protecting consumers from AI-enabled voice cloning harms, such as fraud and the broader misuse of biometric data and creative content. The goal of the Challenge is to foster breakthrough ideas on preventing, monitoring, and evaluating malicious voice cloning. FTCは、詐欺や生体データおよびクリエイティブ・コンテンツの広範な悪用など、AIを利用した音声クローニングの被害から消費者を保護することを目的とした、製品から政策、手続きに至るまで、学際的なアプローチの開発を奨励するため、探索的なチャレンジを実施している。このチャレンジの目標は、悪意のある音声クローニングの防止、監視、評価に関する画期的なアイデアを育成することである。
This effort may help push forward ideas to mitigate risks upstream—shielding consumers, creative professionals, and small businesses against the harms of voice cloning before the harm reaches a consumer. It also may help advance ideas to mitigate risks at the consumer level. And if viable ideas do not emerge, this will send a critical and early warning to policymakers that they should consider stricter limits on the use of this technology, given the challenge in preventing harmful development of applications in the marketplace. この取り組みは、消費者に被害が及ぶ前に、消費者、クリエイティブな専門家、中小企業を音声クローニングの被害から守り、上流のリスクを軽減するアイデアを推進するのに役立つだろう。また、消費者レベルでリスクを軽減するアイデアを前進させるのにも役立つだろう。そして、もし実行可能なアイディアが生まれなかった場合、市場における有害なアプリケーションの開発を防ぐという課題を考えると、この技術の使用に対するより厳しい制限を検討すべきであるという重大かつ早期の警告を政策立案者に送ることになる。
The Voice Cloning Challenge is one part of a larger strategy. The risks posed by voice cloning and other AI technology cannot be addressed by technology alone. It is also clear that policymakers cannot count on self-regulation alone to protect the public. At the FTC, we will be using all of our tools—including enforcement, rulemaking, and public challenges like this one—to ensure that the promise of AI can be realized for the benefit, rather than to the detriment of, consumers and fair competition. 音声クローニング・チャレンジは、より大きな戦略の一部である。音声クローニングやその他のAI技術がもたらすリスクは、技術だけでは対処できない。また、政策立案者が国民を保護するために、自主規制だけに頼ることができないことも明らかである。FTCでは、エンフォースメント、ルールメイキング、そして今回のようなパブリック・チャレンジなど、あらゆる手段を駆使して、AIの有望性が消費者や公正な競争を害することなく、むしろ利益のために実現されることを保証していく。
Submit to the Challenge チャレンジに応募する
Submissions should contain these components: 提出物には以下の要素を含めること:
An Abstract—an overview / summary of your Submission; no more than one page; アブストラクト-提出物の概要/要約;
A Detailed Explanation—a detailed written description of your Submission that enables Judges to evaluate how it meets the assessment criteria set out in the Challenge Rules, no more than ten pages; 詳細な説明-提出物がチャレンジルールに規定された評価基準をどのように満たしているかを審査員が評価できるような、提出物の詳細な書面による説明;
Optional: A Video describing and/or demonstrating how your Submission would function. 任意: 提出物の機能を説明および/または実演するビデオ。
The online submission portal will be open here from January 2, 2024 to January 12, 2024. オンライン提出ポータルは、2024年1月2日から2024年1月12日まで、ここで開設される。
Subscribe for Updates アップデートを購読する
Timeline タイムライン
November 16, 2023: Voice Cloning Challenge launch—participants can start developing their ideas! 2023年11月16日 音声クローニング・チャレンジ開始-参加者はアイデアの開発を開始できる!
January 2 to 12, 2024: The online submission portal will be open on this page. 2024年1月2日から12日まで: オンライン投稿ポータルがこのページにオープンする。
January 12, 2024 at 8:00pm EST: Challenge closes. 2024年1月12日午後8時(東部標準時): チャレンジは終了する。
Early 2024: Announcement of challenge results. 2024年初頭 チャレンジの結果を発表する。
Scope & Judging Criteria 範囲と審査基準
The Voice Cloning Challenge is open to multidisciplinary submissions that address fraudulent and/or unauthorized use of AI-based voice cloning systems. Submissions will be judged on criteria in three areas: 音声クローニング・チャレンジは、AIベースの音声クローニング・システムの不正および/または無許可の使用に対処する学際的な提出物を対象とする。提出物は3つの分野の基準で審査される:
Administrability and Feasibility to Execute: How well might the idea  work in practice and be administrable and feasible to execute? 管理可能性と実行可能性: そのアイデアが実際にどの程度機能し、管理可能で実行可能か。
Increased Company Responsibility, Reduced Consumer Burden:  If implemented by upstream actors, how does the idea place liability and responsibility on companies and minimize burden on consumers? How do we ensure that the assignment of liability and responsibility matches the resources, information, and power of the relevant actors? How does this mitigate risks at their source or otherwise strategically intervene upstream before harms occur? If required to be implemented by consumers, how easy is it for consumers to use? 企業の責任を高め、消費者の負担を軽減する:  川上の関係者が実施する場合、そのアイデアはどのように企業に責任と義務を負わせ、消費者の負担を最小化するか。責任と義務の割り当てが、関連する主体の資源、情報、権力に見合うようにするにはどうすればよいか。リスクを発生源で軽減し、あるいは被害が発生する前に戦略的に上流に介入するにはどうすればよいか。消費者による実施が求められる場合、消費者にとってどの程度利用しやすいか。
Resilience: How is the idea resilient to rapid technological change and evolving business practices? How easily can the approach be sustained and adapted as voice cloning technology improves, including how the idea will avoid or mitigate any additional safety and security risks that it itself might introduce? レジリエンス: その考え方は、急速な技術変化やビジネス慣行の進化に対して、どのようにレジリエンシーがあるか。音声クローン技術が改善された場合、そのアプローチはどの程度容易に維持・適応可能か。そのアイデアは、それ自体がもたらす可能性のある追加的な安全・セキュリティリスクをどのように回避・軽減するかを含む。

 

プレス

・2023.11.17 FTC Announces Exploratory Challenge to Prevent the Harms of AI-enabled Voice Cloning

FTC Announces Exploratory Challenge to Prevent the Harms of AI-enabled Voice Cloning FTCは、AIを利用した音声クローニングの害を防ぐための探索的チャレンジを発表した。
Voice Cloning Challenge seeks submissions that can help protect consumers from the use of AI-enabled voice cloning for fraud and other harms 音声クローニング・チャレンジでは、AIを利用した音声クローニングによる詐欺やその他の被害から消費者を保護するのに役立つ投稿を募集している。
The Federal Trade Commission is announcing the Voice Cloning Challenge to help promote the development of ideas to protect consumers from the misuse of artificial intelligence-enabled voice cloning for fraud and other harms. 米連邦取引委員会は、人工知能を利用した音声クローニングによる詐欺などの悪用から消費者を守るアイデアの開発を促進するため、「音声クローニング・チャレンジ」を発表する。
"We will use every tool to prevent harm to the public stemming from abuses of voice cloning technology,” said Samuel Levine, Director of the FTC’s Bureau of Consumer Protection. “We want to address harms before they hit the marketplace, and enforce the law when they do.” FTC消費者保護局のサミュエル・レバイン局長は、「我々は、音声クローニング技術の悪用に起因する一般消費者への危害を防止するため、あらゆる手段を駆使する」と述べた。「市場に出回る前に被害に対処し、被害が発生した際には法律を執行したい。
“This exploratory challenge leverages one of our many tools at the FTC,” added Stephanie T. Nguyen, the FTC’s Chief Technology Officer. “The challenge is crafted in a way that ensures companies are responsible for the first- and second-order effects of the products they release.” 「FTCの最高技術責任者(CTO)であるステファニー・T・グエンは、次のように付け加えた。「この挑戦状は、企業が発売する製品の一次的、二次的影響に責任を持つことを確実にするように作られている。
Voice cloning technology has grown more sophisticated as text-to-speech AI technology has improved. The technology holds promise for consumers, such as medical assistance for those who may have lost their voices due to accident or illness. At the same time, the FTC has raised concerns about ways that voice cloning technology could be used to harm consumers. For example, it could make it easier for scammers to impersonate family, friends, or business executives; it could also enable fraudsters to deceive consumers by appropriating the voices of creative professionals. Earlier this year, the FTC warned consumers about the use of voice cloning to impersonate others to try to get consumers to give scammers money or personal information. And the FTC held a workshop in early 2020 that examined various issues related to voice cloning technology. 音声合成AIの技術が改善されるにつれて、音声クローン技術はより洗練されてきた。この技術は、事故や病気で声を失った人の医療補助など、消費者にとって有望なものだ。同時にFTCは、音声クローン技術が消費者に危害を加えるために使用される可能性について懸念を示している。例えば、詐欺師が家族や友人、企業幹部になりすますことが容易になる可能性がある。また、詐欺師がクリエイティブな専門家の声を流用することで消費者を欺くことが可能になる可能性もある。今年初め、FTCは、他人になりすまして詐欺師に金銭や個人情報を提供させようとする音声クローニングの利用について消費者に警告した。また、FTCは2020年初頭にワークショップを開催し、音声クローン技術に関する様々な問題を検討した。
The FTC has and will continue to use its enforcement authority to target companies that misuse technology to harm consumers and competition. The challenge the FTC is launching today is focused on promoting the development of breakthrough ideas aimed at preventing, monitoring, and evaluating malicious use of voice cloning technology, whether it is a product, policy, or procedure. FTCは、これまでも、そしてこれからも、消費者や競争に害を与えるために技術を悪用する企業を標的にするために、その執行権限を行使していく。FTCが本日開始するチャレンジは、製品、政策、手順を問わず、音声クローニング技術の悪意ある使用を防止、監視、評価することを目的とした画期的なアイデアの開発を促進することに重点を置いている。
Challenge submissions must address at least one of these intervention points: チャレンジの提出は、これらの介入ポイントのうち少なくとも1つに対処する必要がある:
・Prevention or authentication: It must provide a way to limit the use or application of voice cloning software by unauthorized users; ・予防または本人認証: 権限のないユーザーによる音声クローニングソフトウェアの使用または適用を制限する方法を提供しなければならない;
・Real-time detection or monitoring: It must provide a way to detect cloned voices or the use of voice cloning technology; or ・リアルタイム検知または監視: リアルタイム検知または監視:クローン音声または音声クローン技術の使用を検知する方法を提供しなければならない。
・Post-use evaluation: It must provide a way to check if an audio clip contains cloned voices. ・後からの評価: オーディオクリップにクローン音声が含まれているかどうかをチェックする方法を提供すること。
The FTC will accept submissions online from January 2 to January 12, 2024. Information on how to submit a proposal for the challenge as well as complete challenge rules can be found on the challenge website The challenge will offer $25,000 to the winner. FTCは1月2日から2024年1月12日までオンラインで提出を受け付ける。このチャレンジへの提案書の提出方法や、チャレンジの完全なルールに関する情報は、チャレンジのウェブサイトに掲載されている。このチャレンジでは、優勝者に25,000ドルが提供される。
The Voice Cloning Challenge is the FTC fifth challenge issued pursuant to the America Competes act. The goal of these challenges is to spur the development of tools to address consumer problems, including one in 2012 aimed at tackling robocalls and a 2017 challenge focused on addressing security vulnerabilities related to Internet of Things devices. 音声クローニング・チャレンジは、アメリカ競争法に基づきFTCが実施する5番目のチャレンジである。これらのチャレンジの目的は、消費者問題に対処するツールの開発に拍車をかけることであり、2012年にはロボコールへの対処を目的としたチャレンジ、2017年にはモノのインターネット機器に関連するセキュリティ脆弱性への対処に焦点を当てたチャレンジが実施されている。
The lead FTC staffers on this matter are James Evans and Christine Barker from the FTC’s Bureau of Consumer Protection and Amritha Jayanti from the FTC’s Office of Technology. この件に関するFTCの主任スタッフは、FTC消費者保護局のジェームズ・エバンスとクリスティン・バーカー、およびFTC技術局のアムリタ・ジャヤンティである。
The Federal Trade Commission works to promote competition and protect and educate consumers. Learn more about consumer topics at [web], or report fraud, scams, and bad business practices at [web]. Follow the FTC on social media, read consumer alerts and the business blog, and sign up to get the latest FTC news and alerts. 連邦取引委員会は競争を促進し、消費者を保護・教育するために活動している。消費者に関するトピックについては[web], で、詐欺や悪質商法については[web] で報告する。ソーシャルメディアでFTCをフォローし、消費者警告やビジネスブログを読み、FTCの最新ニュースや警告を受け取るために登録する。

 

ビジネスブログ

・2023.11.17 FTC announces challenge to prevent harms of AI-enabled voice cloning

FTC announces challenge to prevent harms of AI-enabled voice cloning FTCは、AIを利用した音声クローンの害を防ぐための挑戦を発表した。
As text-to-speech AI has improved, so has voice cloning technology. The prospects could be promising, but from the FTC’s perspective, voice cloning also presents serious consumer protection concerns. The FTC is committed to using a wide range of tools to prevent harm to the public. That’s the reason for the just-announced Voice Cloning Challenge. 音声合成AIの改善とともに、音声クローン技術も進歩している。防御は有望かもしれないが、FTCの観点からすると、音声クローニングは深刻な消費者保護の懸念をもたらしている。FTCは、公衆への危害を防止するために幅広い手段を用いることを約束する。それが、今回発表された「音声クローニング・チャレンジ」の理由である。
While voice cloning technology holds out hope for some people – for example, those who have lost their voices to accident or illness – the FTC has called attention to the ways that fraudsters are adding AI to their arsenal of artifice. You’ve probably heard about family emergency scams where a person gets a call supposedly from a panicked relative who’s been jailed or hospitalized and needs money immediately. Until recently, scammers had to come up with excuses for why the voice might not sound quite right. But enter artificial intelligence and the crook on the other end could use voice cloning technology to impersonate the family member. 音声クローン技術は、例えば事故や病気で声を失った人々など、一部の人々には希望をもたらすものだが、FTCは詐欺師がAIを術中にはめる方法に注意を喚起している。刑務所や入院でパニックに陥った親族からと思われる電話がかかってきて、すぐにお金が必要だという家族の緊急詐欺について聞いたことがあるだろう。つい最近まで、詐欺師はその声が正しくないかもしれないという言い訳を考え出さなければならなかった。しかし、人工知能が登場すれば、詐欺師は音声クローン技術を使って家族になりすますことができるようになる。
This will be fifth challenge the FTC has sponsored under the America Competes Act, which allows agencies to create challenges to promote technology development and innovation. For example, other challenges spurred the creation of new tools to reduce illegal robocalls and address security vulnerabilities related to Internet of Things devices. Submit the best approach to protect people from the harms caused by the misuse of AI-enabled voice cloning – everything from imposter fraud to the misappropriation of someone’s voice to create music. The top prize for the Voice Cloning Challenge is $25,000. Read the FTC Voice Cloning Challenge page for more information about participating. これはFTCがアメリカ競争法の下で主催する5つ目のチャレンジとなる。例えば、他のチャレンジでは、違法なロボコールを減らすための新しいツールの作成や、IoT機器に関するセキュリティの脆弱性に対処することに拍車がかかった。AIを利用した音声クローニングの悪用によって引き起こされる被害(偽者詐欺から音楽制作のための誰かの声の流用まで)から人々を守るための最善のアプローチを提出する。ボイス・クローニング・チャレンジの最高賞金は25,000ドルである。参加についての詳細は、FTC音声クローニング・チャレンジのページを参照のこと。
We’ll start accepting submissions on January 2, 2024. But now is the time to get the genius gears cranking to consider potential solutions at various intervention points, including: 応募の受付は2024年1月2日から開始する。しかし、今こそ天才的なギアを回転させ、以下のような様々な介入ポイントにおける潜在的な解決策を検討する時である:
・Prevention or authentication, including limiting the use of voice cloning software to authorized users; ・音声クローニング・ソフトウェアの使用を認可されたユーザーに限定することを含む、予防または本人認証;
・Detection and monitoring to alert consumers if their voice has been cloned without their knowledge or if they’re speaking to a cloned voice, and/or to block phone calls using cloned voices; and ・自分の声が知らないうちにクローン化されていた場合、あるいはクローン化された声と話している場合に消費者に警告を発する検知と監視、および/またはクローン化された声を使った電話をブロックする。
・Evaluation resources, systems, or tools that help consumers or businesses check if audio clips contain cloned voices. ・音声クリップにクローン音声が含まれているかどうかを消費者や企業が確認するのに役立つ評価リソース、システム、ツール。

Those are just a few possibilities, but to quote Thomas Edison, “There’s a way to do it better. Now find it.”

 

これらはいくつかの可能性に過ぎないが、トーマス・エジソンの言葉を借りれば、「もっとうまくやる方法がある。さあ、それを見つけよう。

 

関連記事

詐欺師が緊急事態を装ってお金を盗む

Scammers Use Fake Emergencies To Steal Your Money

 

詐欺師はAIを悪用して「家族が大変!」というやり方をより巧妙にする

・2023.03.20 Scammers use AI to enhance their family emergency schemes

1_20231130051301

 

 

 

| | Comments (0)

2023.11.29

米国 国防総省 AI導入戦略 (2023.11.02)

こんにちは、丸山満彦です。

米国の国防総省が責任あるAIの利用という方針に基づいて、AIの導入戦略について発表していましたね。。。

軍事領域でAIをどのように活用するのか?責任あるAIの利用、AI倫理とかを考えた場合に、境界線をどこにおくのか難しい話ですよね。。。

2月に国務省が発表した「人工知能と自律システムの責任ある軍事利用に関する政治宣言」も参考に...

 

U.S. Department of Defense

プレス

・2023.11.02 Deputy Secretary of Defense Kathleen Hicks Announces Publication of Data, Analytics and AI Adoption Strategy

Deputy Secretary of Defense Kathleen Hicks Announces Publication of Data, Analytics and AI Adoption Strategy キャスリーン・ヒックス国防副長官、データ、アナリティクス、AI導入戦略の公表を発表
Deputy Secretary of Defense Kathleen Hicks announced the release of the 2023 DOD Data, Analytics, and AI Adoption Strategy. The document was developed by the Chief Digital and AI Office (CDAO) and unifies previous strategic guidance to scale advanced capabilities across the enterprise. The announcement was made today during a press event hosted by Deputy Secretary Hicks on 'The State of AI in the Department of Defense.' キャスリーン・ヒックス国防副長官は、「2023年国防総省データ・分析・AI導入戦略」を発表した。この文書はChief Digital and AI Office (CDAO)によって作成され、エンタープライズ全体に高度な能力を拡大するためのこれまでの戦略的指針を統一したものである。この発表は本日、ヒックス副長官主催の『国防総省におけるAIの現状』に関するプレスイベントで行われた。
"We've worked tirelessly, for over a decade, to be a global leader in the fast and responsible development and use of AI technologies in the military sphere, creating policies appropriate for their specific uses." said Deputy Secretary Hicks. "As we've focused on integrating AI into our operations responsibly and at speed, our main reason for doing so has been straightforward: because it gives us even better decision advantage than we already have today." 「ヒックス副長官は、「われわれは10年以上にわたって、軍事分野におけるAI技術の迅速かつ責任ある開発と利用において世界的なリーダーとなるべく、その特定の用途に適した政策を策定し、たゆまぬ努力を続けてきた。私たちは、責任を持って迅速にAIを作戦に組み込むことに重点を置いてきたが、その主な理由は単純明快だ。"AIは、私たちに現在よりもさらに優れた意思決定の優位性を与えてくれるからだ"
The first DOD AI Strategy, published in 2018, and revised DOD Data Strategy, published in 2020, are two foundational documents that matured the Department's data-centric structures to increase the efficacy of fielding modern AI-enabled capabilities.    2018年に発表された最初のDOD AI戦略と、2020年に発表された改訂版DODデータ戦略は、最新のAI対応能力の実戦投入の有効性を高めるために、国防総省のデータ中心構造を成熟させた2つの基礎文書である。  
Since these strategies were published, industry has produced tools, platforms, and services, enabling effective, decentralized data management, and analytics and AI development.   This updated 2023 Strategy focuses on how the Department will accelerate adoption of data, analytics and AI in a manner that is repeatable by all DoD Components.     これらの戦略が発表されて以来、産業界はツール、プラットフォーム、サービスを生み出し、効果的で分散化されたデータ管理、アナリティクス、AI開発を可能にしてきた。  この更新された2023年戦略は、国防総省がデータ、アナリティクス、AIの採用を、すべての国防総省構成機関によって再現可能な方法でどのように加速させるかに焦点を当てている。   
"Accelerating the adoption of advanced data, analytics, and artificial intelligence technologies presents an unprecedented opportunity to equip Department leaders, at all levels, with the data they need, to make better decisions faster, from the boardroom to the battlefield," said the Chief Digital and AI Officer, Craig Martell. "Our strategic approach prioritizes an agile approach to adoption by focusing on the fundamentals of speed, agility, responsibility, and learning." 「高度なデータ、アナリティクス、人工知能技術の採用を加速することは、国防総省のあらゆるレベルの指導者が、役員室から戦場まで、より良い意思決定をより迅速に行うために必要なデータを装備する、かつてない機会を提供する」と、クレイグ・マーテル最高デジタル・AI担当官は述べた。「我々の戦略的アプローチは、スピード、敏捷性、責任、学習という基本に焦点を当てることで、導入への機敏なアプローチを優先する。
The CDAO worked closely with offices across the DoD to develop the 2023 Data, Analytics, and AI Adoption Strategy. Implementation will ensure that Department has stronger alignment and synchronization to scale advanced capabilities for use across the enterprise.   CDAOは国防総省の各局と緊密に連携し、2023年データ・分析・AI導入戦略を策定した。この戦略の実施により、国防総省はエンタープライズ全体で利用できる高度な能力を拡大するため、より強力な連携と同期を確保することになる。  
The CDAO became operational in June 2022 and is dedicated to integrating and optimizing artificial intelligence capabilities across DOD. The office is responsible for accelerating DOD's adoption of data, analytics, and AI, enabling the Department's digital infrastructure and policy adoption to deliver scalable AI-driven solutions for enterprise and joint use cases, safeguarding the nation against current and emerging threats CDAOは2022年6月に運用を開始し、国防総省全体の人工知能能力の統合と最適化に専念している。CDAOはDODのデータ、アナリティクス、AIの採用を加速させ、DODのデジタル・インフラと政策の採用を可能にし、エンタープライズと共同使用のケースに拡張可能なAI主導のソリューションを提供し、現在および新たな脅威から国家を守る責任を負う。

 

・[PDF] 2023 Data, Analytics and Artificial Intelligence Adoption Strategy

20231129-53122

・[PDF] 2023 Data, Analytics and Artificial Intelligence Adoption Strategy Fact Sheet

20231129-53131

 

Strateging Goal

DOD AI Hierarchy of Needs(国防総省のAIニーズの階層構造)

1_20231129060001

 

 

ニュース

・2023.11.02 DOD Releases AI Adoption Strategy

DOD Releases AI Adoption Strategy 国防総省がAI導入戦略を発表
The Defense Department today released its strategy to accelerate the adoption of advanced artificial intelligence capabilities to ensure U.S. warfighters maintain decision superiority on the battlefield for years to come. 国防総省は本日、米国の戦闘員が今後何年にもわたって戦場での意思決定の優位性を維持できるよう、高度な人工知能能力の採用を加速するための戦略を発表した。
The Pentagon's 2023 Data, Analytics and Artificial Intelligence Adoption Strategy builds upon years of DOD leadership in the development of AI and further solidifies the United States' competitive advantage in fielding the emerging technology, defense officials said. 国防総省の2023年データ・分析・人工知能導入戦略は、AIの開発における国防総省の長年にわたるリーダーシップに基づくものであり、新たな技術の導入における米国の競争上の優位性をさらに強固なものにするものである、と国防当局者は述べた。 
"As we focused on integrating AI into our operations responsibly and at speed, our main reason for doing so has been straight forward: because it improves our decision advantage," Deputy Defense Secretary Kathleen Hicks said while unveiling the strategy at the Pentagon. 国防総省のキャスリーン・ヒックス副長官は、次のように述べた。「国防総省でこの戦略を発表する際に、われわれは、AIをわれわれの作戦に責任を持って迅速に統合することに重点を置いているが、その主な理由は単純明快だ。」
"From the standpoint of deterring and defending against aggression, AI-enabled systems can help accelerate the speed of commanders' decisions and improve the quality and accuracy of those decisions, which can be decisive in deterring a fight and winning in a fight," she said.   「侵略の抑止と防御の観点から、AI対応システムは指揮官の決断のスピードを速め、決断の質と精度を改善するのに役立つ、これは、戦闘を抑止し、戦闘に勝利する上で決定的なものとなりうるからである。」
The latest blueprint, which was developed by the Chief Digital and AI Office, builds upon and supersedes the 2018 DOD AI Strategy and revised DOD Data Strategy, published in 2020, which have laid the groundwork for the department's approach to fielding AI-enabled capabilities.   チーフ・デジタル・AIオフィスが策定した最新の青写真は、AI対応能力の実戦配備に向けた同省のアプローチの基礎を築いた、2020年に発表された2018年のDOD AI戦略と改訂版DODデータ戦略を基礎とし、それに取って代わるものだ。 
The new document aims to provide a foundation from which the DOD can continue to leverage emerging AI capabilities well into the future. この新しい文書は、DODが将来にわたって新たなAI能力を活用し続けるための基盤を提供することを目的としている。
"Technologies evolve. Things are going to change next week, next year, next decade. And what wins today might not win tomorrow," said DOD Chief Digital and AI Officer Craig Martell.  「テクノロジーは進化する。テクノロジーは進化する。そして、今日勝つものが明日勝つとは限らない」と、DODのクレイグ・マーテル最高デジタル・AI担当官は言う。
"Rather than identify a handful of AI-enabled warfighting capabilities that will beat our adversaries, our strategy outlines the approach to strengthening the organizational environment within which our people can continuously deploy data analytics and AI capabilities for enduring decision advantage," he said.   「我々の戦略は、敵に打ち勝つ一握りのAI対応戦闘能力を特定するのではなく、永続的な意思決定の優位性のためにデータ分析とAI能力を継続的に展開できる組織環境を強化するためのアプローチを概説している。 
The strategy prescribes an agile approach to AI development and application, emphasizing speed of delivery and adoption at scale leading to five specific decision advantage outcomes:  この戦略では、AIの開発と応用に対するアジャイル・アプローチを規定し、5つの具体的な意思決定の優位性につながる、提供のスピードと規模での採用を強調している: 
・Superior battlespace awareness and understanding ・優れた戦場認識と理解
・Adaptive force planning and application ・適応的な戦力計画と適用
・Fast, precise and resilient kill chains ・迅速、正確かつレジリエンスに優れたキルチェーン
・Resilient sustainment support ・レジリエンス・サステインメント・サポート
・Efficient enterprise business operations ・エンタープライズ業務の効率化
The blueprint also trains the department's focus on several data, analytics and AI-related goals: 青写真はまた、データ、アナリティクス、AIに関連するいくつかの目標に重点を置いている:
・Invest in interoperable, federated infrastructure ・相互運用可能な連携インフラへの投資
・Advance the data, analytics and AI ecosystem ・データ、アナリティクス、AIのエコシステムを推進する
・Expand digital talent management ・デジタル人材管理の拡大
・Improve foundational data management ・基盤となるデータ管理の改善
・Deliver capabilities for the enterprise business and joint warfighting impact ・エンタープライズビジネスと共同戦力のための能力を提供する。
・Strengthen governance and remove policy barriers ・ガバナンスを強化し、政策の障壁を取り除く
Taken together, those goals will support the "DOD AI Hierarchy of Needs" which the strategy defines as: quality data, governance, insightful analytics and metrics, assurance and responsible AI. これらの目標は、「DOD AI Hierarchy of Needs(国防総省のAIニーズの階層構造)」をサポートするもので、同戦略では、質の高いデータ、ガバナンス、洞察に満ちたアナリティクスと測定基準、保証、責任あるAIと定義している。
Spotlight: Science & Tech スポットライト 科学技術
In unveiling the strategy, Hicks emphasized the Pentagon's commitment to safety and responsibility while forging the AI frontier.   この戦略を発表したヒックス氏は、AIのフロンティアを開拓する一方で、安全性と責任に対する国防総省のコミットメントを強調した。 
"We've worked tirelessly for over a decade to be a global leader in the in the fast and responsible development and use of AI technologies in the military sphere, creating policies appropriate for their specific use," Hicks said. "Safety is critical because unsafe systems are ineffective systems."  「我々は、軍事分野におけるAI技術の迅速かつ責任ある開発と使用におけるグローバルリーダーとなるため、10年以上たゆまぬ努力を続けてきた。「安全でないシステムは効果のないシステムであるため、安全性は非常に重要である。
In January, the Defense Department updated its 2012 directive that governs the responsible development of autonomous weapon systems to the standards aligned with the advances in artificial intelligence.      国防総省は1月、自律型兵器システムの責任ある開発をガバナンスする2012年の指令を、人工知能の進歩に沿った標準に更新した。    
The U.S. has also introduced a political declaration on the responsible military use of artificial intelligence, which further seeks to codify norms for the responsible use of the technology.  米国はまた、人工知能の責任ある軍事利用に関する政治宣言を提出し、人工知能技術の責任ある利用に関する規範をさらに成文化しようとしている。
Hicks said the U.S. will continue to lead in the responsible and ethical use of AI, while remaining mindful of the potential dangers associated with the technology. ヒックス氏は、米国は人工知能に関連する潜在的な危険性に留意しながらも、責任ある倫理的な人工知能の使用をリードしていくと述べた。
Spotlight: Engineering in the DOD スポットライト 国防総省におけるエンジニアリング
"By putting our values first and playing to our strengths, the greatest of which is our people, we've taken a responsible approach to AI that will ensure America continues to come out ahead," she said. "Meanwhile, as commercial tech companies and others continue to push forward the frontiers of AI, we're making sure we stay at the cutting edge with foresight, responsibility and a deep understanding of the broader implications for our nation."  「我々の価値観を最優先し、我々の強みを発揮することで、我々の最大の強みは人材であり、我々はAIに対して責任あるアプローチをとってきた。「一方、営利目的のハイテク企業などがAIの最前線を押し進め続ける中、我々は、先見性、責任感、そして我が国に対するより広範な影響に対する深い理解をもって、最先端に留まることを確認している。
Related Links 関連リンク
TRANSCRIPT: Chief Digital and AI Officer Craig Martell Holds a Press Briefing to Discuss DOD's 2023 Data, Analytics and AI Adoption Strategy TRANSCRIPT: クレイグ・マーテル最高デジタル・AI担当官が、国防総省の2023年データ・分析・AI導入戦略についてプレスブリーフィングを行った。
PUBLICATION: 2023 Data, Analytics and Artificial Intelligence Adoption Strategy 発行:2023年データ、アナリティクス、人工知能導入戦略
PUBLICATION: 2023 Data, Analytics and Artificial Intelligence Adoption Strategy Fact Sheet 発行:2023年データ、アナリティクス、人工知能導入戦略ファクトシート
NEWS RELEASE: Deputy Secretary of Defense Kathleen Hicks Announces Publication of Data, Analytics and AI Adoption Strategy ニュースリリース キャスリーン・ヒックス国防副長官、データ、アナリティクス、AI導入戦略の公表を発表
SPEECH: Remarks by Deputy Secretary of Defense Kathleen H. Hicks on 'The State of AI in the Department of Defense' (As Delivered) スピーチ:キャスリーン・H・ヒックス国防副長官による「国防総省におけるAIの現状」に関するスピーチ(英語)
TRANSCRIPT: Deputy Defense Secretary Kathleen Hicks Holds a Press Briefing to Discuss the State of A.I. in the Defense Department TRANSCRIPT:キャスリーン・ヒックス国防副長官、国防総省におけるAIの現状について記者ブリーフィングを行う

 

 

・2023.11.22 U.S. Endorses Responsible AI Measures for Global Militaries

U.S. Endorses Responsible AI Measures for Global 米国はグローバルな責任あるAI対策を支持する
The United States government is leading global efforts to build strong norms that will promote the responsible military use of artificial intelligence and autonomous systems. Last week, the State Department announced that 47 states have now endorsed the "Political Declaration on Responsible Military Use of Artificial Intelligence and Autonomy" that the government first launched at The Hauge on Feb. 16.  米国政府は、人工知能と自律システムの責任ある軍事利用を促進する強固な規範を構築するための世界的な取り組みを主導している。先週、国務省は、政府が2月16日にThe Haugeで初めて発表した「人工知能と自律システムの責任ある軍事利用に関する政治宣言」に47カ国が賛同したと発表した。
AI refers to the ability of machines to perform tasks that would otherwise require human intelligence, such as recognizing patterns, learning from experience, drawing conclusions, making predictions or generating recommendations.  AIとは、パターンの認識、経験からの学習、結論の導出、予測、推奨事項の生成など、人間の知性を必要とするタスクを実行する機械の能力を指す。
Military AI capabilities includes not only weapons but also decision support systems that help defense leaders at all levels make better and more timely decisions, from the battlefield to the boardroom, and systems relating to everything from finance, payroll, and accounting, to the recruiting, retention, and promotion of personnel, to collection and fusion of intelligence, surveillance, and reconnaissance data.  軍用AIの能力には、兵器だけでなく、戦場から役員室に至るまで、あらゆるレベルの国防指導者がより適切でタイムリーな意思決定を行うための意思決定支援システムや、財務、給与、会計から、人員の採用、維持、昇進、情報、監視、偵察データの収集と融合に至るまで、あらゆるものに関連するシステムも含まれる。
"The United States has been a global leader in responsible military use of AI and autonomy, with the Department of Defense championing ethical AI principles and policies on autonomy in weapon systems for over a decade. The political declaration builds on these efforts. It advances international norms on responsible military use of AI and autonomy, provides a basis for building common understanding, and creates a community for all states to exchange best practices," said Sasha Baker, under secretary of defense for policy.  「米国は、AIと自律性の責任ある軍事利用における世界的リーダーであり、国防総省は10年以上にわたって、兵器システムにおける自律性に関する倫理的なAI原則と政策を支持してきた。今回の政治宣言は、こうした努力の上に成り立っている。この政治宣言は、AIと自律性の責任ある軍事利用に関する国際規範を前進させ、共通の理解を構築するための基礎を提供し、すべての国家がベストプラクティスを交換するためのコミュニティを創設するものである」と、国防総省のサーシャ・ベイカー政策担当次官は述べた。
The Defense Department has led the world through publishing a series of policies on military AI and autonomy, most recently the Data, Analytics, and AI Adoption Strategy released on November 2.  国防総省は、軍事AIと自律性に関する一連の政策を発表し、世界をリードしてきた。最近では、11月2日に発表された「データ、アナリティクス、AI導入戦略」がある。
The declaration consists of a series of non-legally binding guidelines describing best practices for responsible military use of AI. These guidelines include ensuring that military AI systems are auditable, have explicit and well-defined uses, are subject to rigorous testing and evaluation across their lifecycle, have the ability to detect and avoid unintended behaviors, and that high-consequence applications undergo senior-level review.   この宣言は、AIの責任ある軍事利用のためのベストプラクティスを記述した一連の法的拘束力のないガイドラインで構成されている。これらのガイドラインには、軍用AIシステムが監査可能であること、用途が明確かつ十分に定義されていること、ライフサイクル全体にわたって厳格なテストと評価が行われること、意図しない行動を検知・回避する能力があること、重大な影響を及ぼすアプリケーションは上級レベルの審査を受けることなどが含まれている。 
As the State Department's press release on November 13 states: "This groundbreaking initiative contains 10 concrete measures to guide the responsible development and use of military applications of AI and autonomy. The declaration and the measures it outlines, are an important step in building an international framework of responsibility to allow states to harness the benefits of AI while mitigating the risks. The U.S. is committed to working together with other endorsing states to build on this important development."    国務省が11月13日に発表したプレスリリースにはこうある: 「この画期的なイニシアチブには、AIと自律性の軍事的応用の責任ある開発と使用を導くための10の具体的な方策が含まれている。この宣言とそれが示す措置は、国家がリスクを低減しながらAIの利点を活用できるようにするための国際的な責任枠組みを構築するための重要な一歩である。米国は、この重要な発展を築くために、他の賛同国と協力していくことを約束する。 
The 10 measures are: 10の措置は以下の通りである:
01. States should ensure their military organizations adopt and implement these principles for the responsible development, deployment, and use of AI capabilities. 01. 国家は、自国の軍事組織がAI能力の責任ある開発、配備、使用のために、これらの原則を採用し、実施することを保証すべきである。
02. States should take appropriate steps, such as legal reviews, to ensure that their military AI capabilities will be used consistent with their respective obligations under international law, in particular international humanitarian law. States should also consider how to use military AI capabilities to enhance their implementation of international humanitarian law and to improve the protection of civilians and civilian objects in armed conflict. 02. 国家は、軍事AI能力が国際法、特に国際人道法の下でのそれぞれの義務に一致して使用されることを確実にするため、法的検討などの適切な措置をとるべきである。また、各国は、国際人道法の履行を強化し、武力紛争における文民および文民の物体の保護を改善するために、軍事AI能力をどのように使用するかを検討すべきである。
03. States should ensure that senior officials effectively and appropriately oversee the development and deployment of military AI capabilities with high-consequence applications, including, but not limited to, such weapon systems. 03. 国家は、高官が、そのような兵器システムを含むがこれに限定されない、重大な影響を及ぼす軍事AI能力の開発と配備を効果的かつ適切に監督することを確保すべきである。
04. States should take proactive steps to minimize unintended bias in military AI capabilities. 04. 国家は、軍事AI能力における意図せざるバイアスを最小化するための積極的な措置を講じるべきである。
05. States should ensure that relevant personnel exercise appropriate care in the development, deployment, and use of military AI capabilities, including weapon systems incorporating such capabilities. 05. 国家は、そのような能力を組み込んだ兵器システムを含め、軍事用AI能力の開発、配備、使用において、関係者が適切な注意を払うことを確保すべきである。
06. States should ensure that military AI capabilities are developed with methodologies, data sources, design procedures, and documentation that are transparent to and auditable by their relevant defense personnel. 06. 国家は、軍事 AI 能力が、関連する防衛要員に透明で監査可能な方法論、データソース、設計手順、および文書によって開発されることを確保すべきである。
07. States should ensure that personnel who use or approve the use of military AI capabilities are trained so they sufficiently understand the capabilities and limitations of those systems in order to make appropriate context-informed judgments on the use of those systems and to mitigate the risk of automation bias. 07. 国家は、軍事 AI 能力の使用または使用を承認する要員が、それらのシステムの使用に関して適切な文脈に基づいた判断を下し、自動化バイアスのリスクを軽減するために、それらのシステムの能力と限界を十分に理解するよう訓練されていることを確保すべきである。
08. States should ensure that military AI capabilities have explicit, well-defined uses and that they are designed and engineered to fulfill those intended functions. 08. 国家は、軍事 AI 能力が明確かつ十分に定義された用途を有し、それらの意図された機能を果たすよう設計・設計されていることを保証すべきである。
09. States should ensure that the safety, security, and effectiveness of military AI capabilities are subject to appropriate and rigorous testing and assurance within their well-defined uses and across their entire life-cycles. For self-learning or continuously updating military AI capabilities, States should ensure that critical safety features have not been degraded, through processes such as monitoring. 09. 国家は、軍用AI能力の安全性、安全保障、有効性が、その明確に定義された用途の範囲内において、またそのライフサイクル全体にわたって、適切かつ厳格なテストと保証の対象となることを確保すべきである。自己学習または継続的に更新される軍事用AI能力については、国家は、モニタリングなどのプロセスを通じて、重要な安全機能が低下していないことを保証すべきである。
10. States should implement appropriate safeguards to mitigate risks of failures in military AI capabilities, such as the ability to detect and avoid unintended consequences and the ability to respond, for example by disengaging or deactivating deployed systems, when such systems demonstrate unintended behavior.  10. 国家は、軍事AI能力における失敗のリスクを軽減するために、意図しない結果を検知して回避する能力、および、そのようなシステムが意図しない挙動を示した場合に、配備されたシステムを解除または非活性化するなどして対応する能力など、適切なセーフガードを導入すべきである。

 

 

国務省が2月に発表した人工知能と自律システムの責任ある軍事利用に関する政治宣言

● Department of States - Artificial Intelligence (AI)

・ 2023.02.16 Political Declaration on Responsible Military Use of Artificial Intelligence and Autonomy

 


 

こちらも参照。。。

まるちゃんの情報セキュリティ気まぐれ日記

・2023.02.18 米国 国務省 人工知能と自律システムの責任ある軍事利用に関する政治宣言

 

| | Comments (0)

2023.11.28

米国 CISA 英国 NCSC 安全なAIシステム開発のための共同ガイドライン

こんにちは、丸山満彦です。

どうも、AIに関しては日本の出る幕はほとんどないのかもしれませんね。。。

 

CISA

・2023.11.26 DHS CISA and UK NCSC Release Joint Guidelines for Secure AI System Development

 

NCSC

・2023.11.27 UK and US develop new global guidelines for AI security

 

ドイツのBSIもプレスしていますね。。。

Bundesamt für Sicherheit in der Informationstechnik: BSI 

・2023.11.27 Internationale Cybersicherheitsbehörden veröffentlichen Leitfaden zur Entwicklung sicherer KI-Systeme

 

日本のNISCもプレスしていますね。。。

内閣官房サイバーセキュリティセンター (NISC)

報道発表

・2023.11.28 [PDF] セキュア AI システム開発ガイドラインについて

仮訳

・2023.11.28 [PDF] セキュアな AI システム開発のためのガイドライン

 

 

ガイダンス

・[PDF]

20231128-61347

Guidelines for secure AI system development

 

Guidelines for secure AI system development 安全なAIシステム開発のためのガイドライン
Introduction はじめに
Guidelines  ガイドライン
 Secure design  セキュアな設計
 Secure development  セキュアな開発
 Secure deployment  セキュアな実装
 Secure operation and maintenance  安全な運用と保守
Further reading さらに読む
About this document この文書について

 

参考

NCSC

Secure development and deployment guidance

 

NIST

Secure Software Development Framework SSDF

 

CISA

Secure by Design

 

 

 


 

CISA

・2023.11.26 DHS CISA and UK NCSC Release Joint Guidelines for Secure AI System Development

DHS CISA and UK NCSC Release Joint Guidelines for Secure AI System Development DHS CISAと英国NCSC、安全なAIシステム開発のための共同ガイドラインを発表
WASHINGTON – Taking a significant step forward in addressing the intersection of artificial intelligence (AI) and cybersecurity, the U.S. Department of Homeland Security’s (DHS) Cybersecurity and Infrastructure Security Agency (CISA) and the United Kingdom’s National Cyber Security Centre (NCSC) today jointly released Guidelines for Secure AI System Development to help developers of any systems that use AI make informed cybersecurity decisions at every stage of the development process.  The guidelines were formulated in cooperation with 21 other agencies and ministries from across the world – including all members of the Group of 7 major industrial economies -- and are the first of their kind to be agreed to globally. ワシントン発 - 人工知能(AI)とサイバーセキュリティの接点に取り組む上で重要な一歩を踏み出した米国国土安全保障省(DHS)のサイバーセキュリティ・インフラ・セキュリティ局(CISA)と英国国家サイバーセキュリティセンター(NCSC)は本日、AIを利用するあらゆるシステムの開発者が開発プロセスの各段階で十分な情報に基づいたサイバーセキュリティ上の意思決定を行えるよう、「安全なAIシステム開発のためのガイドライン」を共同で発表した。 このガイドラインは、主要先進7カ国(G7)加盟国を含む世界21の省庁との協力により策定されたもので、世界的に合意された初めてのものである。
“We are at an inflection point in the development of artificial intelligence, which may well be the most consequential technology of our time. Cybersecurity is key to building AI systems that are safe, secure, and trustworthy,” said Secretary of Homeland Security Alejandro N. Mayorkas.  “The guidelines jointly issued today by CISA, NCSC, and our other international partners, provide a commonsense path to designing, developing, deploying, and operating AI with cybersecurity at its core. By integrating ‘secure by design’ principles, these guidelines represent an historic agreement that developers must invest in, protecting customers at each step of a system’s design and development.  Through global action like these guidelines, we can lead the world in harnessing the benefits while addressing the potential harms of this pioneering technology.” 「人工知能は、現代において最も重要な技術かもしれない。安全、安心、信頼できるAIシステムを構築するためには、サイバーセキュリティが鍵となる」と国土安全保障省のアレハンドロ・N・マヨルカス長官は述べた。 「CISA、NCSC、その他の国際的パートナーが本日共同で発表したガイドラインは、サイバーセキュリティを核としたAIの設計、開発、導入、運用に向けた常識的な道筋を示すものだ。セキュア・バイ・デザイン』の原則を統合することで、これらのガイドラインは、システムの設計と開発の各段階で顧客を保護し、開発者が投資しなければならない歴史的な合意を示すものだ。 このガイドラインのようなグローバルな行動を通じて、我々は、この先駆的な技術の潜在的な害に対処しながら、その利点を活用することで世界をリードすることができる。
The guidelines provide essential recommendations for AI system development and emphasize the importance of adhering to Secure by Design principles that CISA has long championed. このガイドラインは、AIシステム開発に不可欠な推奨事項を提供し、CISAが長年支持してきたセキュア・バイ・デザインの原則を遵守することの重要性を強調している。
“The release of the Guidelines for Secure AI System Development marks a key milestone in our collective commitment—by governments across the world—to ensure the development and deployment of artificial intelligence capabilities that are secure by design,” said CISA Director Jen Easterly. “As nations and organizations embrace the transformative power of AI, this international collaboration, led by CISA and NCSC, underscores the global dedication to fostering transparency, accountability, and secure practices. The domestic and international unity in advancing secure by design principles and cultivating a resilient foundation for the safe development of AI systems worldwide could not come at a more important time in our shared technology revolution. This joint effort reaffirms our mission to protect critical infrastructure and reinforces the importance of international partnership in securing our digital future.” 「セキュアなAIシステム開発のためのガイドラインのリリースは、セキュア・バイ・デザインである人工知能機能の開発と配備を確実にするために、世界中の政府が一丸となって取り組む重要なマイルストーンとなる」と、CISAディレクターのジェン・イースタリーは述べた。「CISAとNCSCが主導するこの国際協力は、透明性、説明責任、安全な実践を促進するための世界的な取り組みを強調するものだ。セキュア・バイ・デザインの原則を推進し、世界中でAIシステムを安全に開発するための強靭な基盤を培うという国内外での団結は、われわれが共有する技術革命においてこれ以上重要な時期はない。この共同努力は、重要インフラを保護するという我々の使命を再確認し、デジタルの未来の安全確保における国際的パートナーシップの重要性を強化するものである。"
The guidelines are broken down into four key areas within the AI system development lifecycle: secure design, secure development, secure deployment, and secure operation and maintenance.  Each section highlights considerations and mitigations that will help reduce the cybersecurity risk to an organizational AI system development process. ガイドラインは、AIシステム開発のライフサイクルの中で、セキュアな設計、セキュアな開発、セキュアな配備、セキュアな運用と保守という4つの主要分野に分かれている。 各セクションは、組織のAIシステム開発プロセスにおけるサイバーセキュリティ・リスクを軽減するのに役立つ考慮事項と緩和策を強調している。
“We know that AI is developing at a phenomenal pace and there is a need for concerted international action, across governments and industry, to keep up,” said NCSC CEO Lindy Cameron. “These Guidelines mark a significant step in shaping a truly global, common understanding of the cyber risks and mitigation strategies around AI to ensure that security is not a postscript to development but a core requirement throughout. I’m proud that the NCSC is leading crucial efforts to raise the AI cyber security bar: a more secure global cyber space will help us all to safely and confidently realize this technology’s wonderful opportunities.” 「NCSCのリンディ・キャメロン最高経営責任者(CEO)は、「我々は、AIが驚異的なスピードで発展していることを知っている。「このガイドラインは、AIにまつわるサイバーリスクと緩和策について、真にグローバルで共通の理解を形成する上で重要な一歩であり、セキュリティが開発の後付けではなく、全体を通して中核的な要件となることを保証するものである。私は、NCSCがAIのサイバーセキュリティの水準を高める重要な取り組みを主導していることを誇りに思う。"より安全なグローバルなサイバー空間は、私たち全員がこの技術の素晴らしい機会を安全かつ自信を持って実現するのに役立つだろう。
“I believe the UK is an international standard bearer on the safe use of AI,” said UK Secretary of State for Science, Innovation and Technology Michelle Donelan. “The NCSC’s publication of these new guidelines will put cyber security at the heart of AI development at every stage so protecting against risk is considered throughout.” 「ミシェル・ドネラン英国科学・イノベーション・技術担当国務長官は、「英国はAIの安全な利用に関する国際的な旗手であると信じている。「NCSCがこの新しいガイドラインを発表したことで、AI開発のあらゆる段階でサイバーセキュリティが中心に据えられ、リスクからの保護が全体を通して考慮されることになる。
These guidelines are the latest effort across the U.S.’s body of work supporting safe and secure AI technology development and deployment. In October, President Biden issued an Executive Order that directed DHS to promote the adoption of AI safety standards globally, protect U.S. networks and critical infrastructure, reduce the risks that AI can be used to create weapons of mass destruction, combat AI-related intellectual property theft, and help the United States attract and retain skilled talent, among other missions.  このガイドラインは、安全でセキュアなAI技術の開発と展開を支援する米国の一連の取り組みの中でも最新のものである。バイデン大統領は10月、DHSに対し、AI安全基準の世界的な普及促進、米国のネットワークと重要インフラの保護、AIが大量破壊兵器の製造に使用されるリスクの低減、AI関連の知的財産の窃盗との闘い、米国が熟練した人材を惹きつけ、維持するための支援などを指示する大統領令を発布した。
Earlier this month, CISA released its Roadmap for Artificial Intelligence, a whole-of-agency plan aligned with national strategy to address our efforts to promote the beneficial uses of AI to enhance cybersecurity capabilities, ensure AI systems are protected from cyber-based threats, and deter the malicious use of AI capabilities to threaten the critical infrastructure Americans rely on every day. Learn more about CISA’s AI work. 今月初め、CISAは「人工知能のためのロードマップ」を発表した。これは、国家戦略に沿った全省庁的な計画で、AIの有益な利用を促進してサイバーセキュリティ能力を強化し、AIシステムをサイバーベースの脅威から確実に保護し、米国人が日々依存している重要インフラを脅かすAI能力の悪意ある利用を抑止するための取り組みに取り組むものである。CISAのAI活動の詳細はこちら。

 

 


 

NCSC

・2023.11.27 UK and US develop new global guidelines for AI security

UK and US develop new global guidelines for AI security 英米がAIセキュリティの新グローバルガイドラインを策定
New guidelines for secure AI system development will help developers of any systems that use AI make informed cyber security decisions at every stage of the development process. 安全なAIシステム開発のための新ガイドラインは、AIを使用するあらゆるシステムの開発者が、開発プロセスの各段階において、十分な情報に基づいたサイバーセキュリティ上の意思決定を行うことを支援する。
・Agencies from 18 countries, including the US, endorse new UK-developed guidelines on AI cyber security ・米国を含む18カ国の機関が、英国が開発したAIのサイバーセキュリティに関する新ガイドラインを承認した。
・Guidelines for Secure AI System Development, led by GCHQ’s National Cyber Security Centre and developed with US’s Cybersecurity and Infrastructure Security Agency, build on AI Safety Summit to establish global collaboration on AI ・GCHQのNational Cyber Security Centreが主導し、米国のCybersecurity and Infrastructure Security Agencyと共同で開発された「安全なAIシステム開発のためのガイドライン」は、AIに関する世界的な協力体制を確立するためのAI Safety Summitに基づくものである。
・Written in partnership with industry, guidelines advise developers on the security of AI systems ・産業界との協力により作成されたこのガイドラインは、AIシステムのセキュリティについて開発者に助言するものである。
THE UK has today (Monday) published the first global guidelines to ensure the secure development of AI technology. 英国は本日(月曜日)、AI技術の安全な開発を確保するための世界初のガイドラインを発表した。
In testament to the UK’s leadership in AI safety, agencies from 17 other countries have confirmed they will endorse and co-seal the new guidelines. 英国がAIの安全性においてリーダーシップを発揮していることの証しとして、他の17カ国の政府機関もこの新しいガイドラインを支持し、共同承認することを確認した。
The guidelines aim to raise the cyber security levels of artificial intelligence and help ensure that it is designed, developed, and deployed securely. このガイドラインは、人工知能のサイバーセキュリティレベルを向上させ、人工知能が安全に設計、開発、導入されるよう支援することを目的としている。
The Guidelines for Secure AI System Development have been developed by the UK’s National Cyber Security Centre (NCSC), a part of GCHQ, and the US’s Cybersecurity and Infrastructure Security Agency (CISA) in cooperation with industry experts and 21 other international agencies and ministries from across the world – including those from all members of the G7 group of nations and from the Global South. 安全なAIシステム開発のためのガイドラインは、GCHQの一部である英国のナショナル・サイバー・セキュリティ・センター(NCSC)と米国のサイバーセキュリティ・インフラ・セキュリティ庁(CISA)が、業界の専門家や、G7の全メンバー国やグローバル・サウスを含む世界中の21の国際機関や省庁の協力を得て策定した。
The new UK-led guidelines are the first of their kind to be agreed globally. They will help developers of any systems that use AI make informed cyber security decisions at every stage of the development process – whether those systems have been created from scratch or built on top of tools and service provided by others. 英国が主導するこの新しいガイドラインは、世界的に合意された初めてのものである。このガイドラインは、AIを使用するあらゆるシステムの開発者が、開発プロセスのあらゆる段階で、ゼロから作成されたシステムであろうと、他社が提供するツールやサービスの上に構築されたシステムであろうと、十分な情報に基づいたサイバーセキュリティ上の決定を下す助けとなる。
The guidelines help developers ensure that cyber security is both an essential pre-condition of AI system safety and integral to the development process from the outset and throughout, known as a ‘secure by design’ approach. このガイドラインは、開発者がサイバーセキュリティをAIシステムの安全性の必須条件とし、「セキュア・バイ・デザイン」アプローチとして知られる開発プロセスの最初から最後まで不可欠なものとすることを支援する。
The product will be officially launched this afternoon at an event hosted by the NCSC, at which 100 key industry, government and international partners will gather for a panel discussion on the shared challenge of securing AI. Panellists include Microsoft, the Alan Turing Institute and UK, American, Canadian, and German cyber security agencies. この製品は本日午後、NCSC主催のイベントで正式に発表される。このイベントでは、主要な産業界、政府、国際的なパートナー100社が集まり、AIの安全確保という共通の課題についてパネルディスカッションを行う。パネリストには、マイクロソフト、アラン・チューリング研究所、英国、米国、カナダ、ドイツのサイバーセキュリティ機関が含まれる。
NCSC CEO Lindy Cameron said: NCSCのリンディ・キャメロンCEOは、次のように述べた:
We know that AI is developing at a phenomenal pace and there is a need for concerted international action, across governments and industry, to keep up. 我々は、AIが驚異的なスピードで発展していることを知っており、それに遅れを取らないためには、政府と産業界が一体となった国際的な行動が必要である。
These guidelines mark a significant step in shaping a truly global, common understanding of the cyber risks and mitigation strategies around AI to ensure that security is not a postscript to development but a core requirement throughout. このガイドラインは、AIにまつわるサイバーリスクと緩和策について、真にグローバルで共通の理解を形成する上で重要な一歩となる。
I’m proud that the NCSC is leading crucial efforts to raise the AI cyber security bar: a more secure global cyber space will help us all to safely and confidently realise this technology’s wonderful opportunities. 私は、NCSCがAIサイバーセキュリティの水準を高めるための重要な取り組みを主導していることを誇りに思う。より安全なグローバル・サイバー空間は、私たち全員がこの技術の素晴らしい機会を安全かつ自信を持って実現するのに役立つだろう。
In a keynote speech at Chatham House in June, NCSC CEO Lindy Cameron warned about the perils of retrofitting security into AI systems in years to come, stressing the need to bake security into AI systems as they are developed, and not as an afterthought. 6月にチャタムハウスで行われた基調講演で、NCSCのリンディ・キャメロン最高経営責任者(CEO)は、今後数年のうちにAIシステムにセキュリティを後付けすることの危険性について警告し、後付けではなく、AIシステムを開発する際にセキュリティを組み込む必要性を強調した。
These guidelines are intended as a global, multi-stakeholder effort to address that issue, building on the UK Government’s AI Safety Summit’s legacy of sustained international cooperation on AI risks. このガイドラインは、英国政府のAI安全サミットの遺産であるAIリスクに関する持続的な国際協力に基づき、この問題に対処するためのグローバルでマルチステークホルダーな取り組みとして意図されている。
CISA Director Jen Easterly said: CISAディレクターのジェン・イースタリーは、次のように述べた:
The release of the Guidelines for Secure AI System Development marks a key milestone in our collective commitment—by governments across the world—to ensure the development and deployment of artificial intelligence capabilities that are secure by design. 安全なAIシステム開発のためのガイドラインの公表は、設計上安全な人工知能能力の開発と配備を確実にするために、世界中の政府が一丸となって取り組む重要なマイルストーンとなる。
As nations and organizations embrace the transformative power of AI, this international collaboration, led by CISA and NCSC, underscores the global dedication to fostering transparency, accountability, and secure practices. The domestic and international unity in advancing secure by design principles and cultivating a resilient foundation for the safe development of AI systems worldwide could not come at a more important time in our shared technology revolution. CISAとNCSCが主導するこの国際協力は、国家や組織がAIの変革力を受け入れる中で、透明性、説明責任、安全な実践を促進するための世界的な献身を強調するものである。セキュア・バイ・デザインの原則を推進し、世界中でAIシステムを安全に開発するための強靭な基盤を培うという国内および国際的な団結は、われわれが共有するテクノロジー革命においてこれ以上重要な時期はない。
This joint effort reaffirms our mission to protect critical infrastructure and reinforces the importance of international partnership in securing our digital future. この共同努力は、重要インフラを保護するという我々の使命を再確認し、デジタルの未来の安全確保における国際的パートナーシップの重要性を強化するものである。
Science and Technology Secretary Michelle Donelan, said: ミシェル・ドネラン科学技術長官は、次のように述べた:
I believe the UK is an international standard bearer on the safe use of AI. The NCSC's publication of these new guidelines will put cyber security at the heart of AI development at every stage so protecting against risk is considered throughout. 私は、英国がAIの安全な使用に関する国際的な旗手であると信じている。NCSCがこの新しいガイドラインを発表したことで、AI開発のあらゆる段階でサイバーセキュリティが中心に据えられ、リスクからの保護が全体を通して考慮されることになる。
Just weeks after we brought world-leaders together at Bletchley Park to reach the first international agreement on safe and responsible AI, we are once again uniting nations and companies in this truly global effort. ブレッチリー・パークで世界のリーダーたちを集め、安全で責任あるAIに関する初の国際合意に達したわずか数週間後、我々は再び、この真にグローバルな取り組みで国や企業を団結させようとしている。
In doing so, we are driving forward in our mission to harness this decade-defining technology and seize its potential to transform our NHS, revolutionise our public services and create the new, high-skilled, high-paid jobs of the future. そうすることで、我々は、この10年を定義する技術を活用し、NHSを変革し、公共サービスに革命をもたらし、未来の新しい高スキルで高賃金の雇用を創出する可能性をつかむという使命を推進している。
Secretary of Homeland Security Alejandro Mayorkas said: アレハンドロ・マヨルカス国土安全保障長官は、次のように述べた:
We are at an inflection point in the development of artificial intelligence, which may well be the most consequential technology of our time. Cyber security is key to building AI systems that are safe, secure, and trustworthy. 人工知能は、我々の時代において最も重要な技術になるかもしれない。サイバーセキュリティは、安全、安心、信頼できるAIシステムを構築するための鍵となる。
The guidelines jointly issued today by CISA, NCSC, and our other international partners, provide a common sense path to designing, developing, deploying, and operating AI with cyber security at its core. By integrating ‘secure by design’ principles, these guidelines represent an historic agreement that developers must invest in, protecting customers at each step of a system’s design and development. CISA、NCSC、その他の国際的パートナーが本日共同で発表したガイドラインは、サイバーセキュリティを核としたAIの設計、開発、配備、運用への常識的な道筋を示すものである。セキュア・バイ・デザイン」の原則を統合することで、これらのガイドラインは、システムの設計と開発の各段階で顧客を保護し、開発者が投資しなければならない歴史的な合意を示すものである。
Through global action like these guidelines, we can lead the world in harnessing the benefits while addressing the potential harms of this pioneering technology. このガイドラインのような世界的な行動を通じて、我々は、この先駆的な技術の潜在的な害に対処しつつ、その利点を活用することで世界をリードすることができる。
The guidelines are broken down into four key areas – secure design, secure development, secure deployment, and secure operation and maintenance – complete with suggested behaviours to help improve security. このガイドラインは、セキュアな設計、セキュアな開発、セキュアな配備、セキュアな運用と保守という4つの主要分野に分けられ、セキュリティーを向上させるための推奨行動も示されている。
The guidelines can be accessed on the NCSC website, alongside a blog later in the day (Monday) from key NCSC officials who worked on the product. ガイドラインは、NCSCのウェブサイトからアクセスでき、後日(月曜日)、この製品に携わったNCSCの主要関係者によるブログも掲載される。
A full list of international signatories is below: 国際署名者のリストは以下の通り:
Australia – Australian Signals Directorate’s Australian Cyber Security Centre (ACSC) オーストラリア-オーストラリア信号総局のオーストラリア・サイバー・セキュリティ・センター(ACSC)
Canada – Canadian Centre for Cyber Security (CCCS)  カナダ - カナダ・サイバーセキュリティセンター(CCCS) 
Chile - Chile’s Government CSIRT チリ - チリ政府CSIRT
Czechia - Czechia’s National Cyber and Information Security Agency (NUKIB) チェコ - チェコ国家サイバー情報セキュリティ庁(NUKIB)
Estonia - Information System Authority of Estonia (RIA) and National Cyber Security Centre of Estonia (NCSC-EE) エストニア - エストニア情報システム局(RIA)およびエストニア国家サイバーセキュリティセンター(NCSC-EE)
France - French Cybersecurity Agency (ANSSI) フランス - フランス・サイバーセキュリティ庁(ANSSI)
Germany - Germany’s Federal Office for Information Security (BSI) ドイツ - ドイツ連邦情報セキュリティ局(BSI)
Israel - Israeli National Cyber Directorate (INCD) イスラエル - イスラエル国家サイバー総局(INCD)
Italy - Italian National Cybersecurity Agency (ACN) イタリア - イタリア国家サイバーセキュリティ局(ACN)
Japan - Japan’s National Center of Incident Readiness and Strategy for Cybersecurity (NISC; Japan’s Secretariat of Science, Technology and Innovation Policy, Cabinet Office 日本 - サイバーセキュリティ総合対策センター(NISC、内閣府総合科学技術・イノベーション推進事務局
New Zealand - New Zealand National Cyber Security Centre ニュージーランド - ニュージーランド国家サイバーセキュリティセンター
Nigeria - Nigeria’s National Information Technology Development Agency (NITDA) ナイジェリア - ナイジェリア国家情報技術開発庁(NITDA)
Norway - Norwegian National Cyber Security Centre (NCSC-NO) ノルウェー - ノルウェー国家サイバーセキュリティセンター(NCSC-NO)
Poland - Poland’s NASK National Research Institute (NASK) ポーランド - ポーランド国立研究所(NASK)
Republic of Korea - Republic of Korea National Intelligence Service (NIS) 韓国 - 韓国国家情報院(NIS)
Singapore - Cyber Security Agency of Singapore (CSA) シンガポール - シンガポール・サイバーセキュリティ庁(CSA)
United Kingdom of Great Britain and Northern Ireland – National Cyber Security Centre (NCSC) グレートブリテンおよび北アイルランド連合王国 - 国家サイバーセキュリティセンター(NCSC)
United States of America – Cybersecurity and Infrastructure Agency (CISA); National Security Agency (NSA; Federal Bureau of Investigations (FBI) アメリカ合衆国 - サイバーセキュリティ・インフラストラクチャ庁(CISA)、国家安全保障局(NSA)、連邦捜査局(FBI)

 

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.11.28 米国 CISA AI導入のロードマップ (2023.11.14)

・2023.11.21 EDPS 説明可能な人工知能

・2023.11.17 米国 連邦CIO室 意見募集 政府機関における人工知能活用のためのガバナンス、イノベーション、リスクマネジメントの推進 (2023.11.01)

・2023.11.07 OECD OECDのAI原則の4年後の実施状況 (2023.10.27)

・2023.11.07 EDPS AI法に関するEDPS最終提言 (2023.10.24)

・2023.11.02 英国 AI安全サミット出席国によるブレッチリー宣言

・2023.10.31 外務省 G7 広島AIプロセスに関するG7首脳声明

・2023.10.31 米国 人工知能の安全、安心、信頼できる開発と利用に関する大統領令

・2023.10.30 中国 グローバルAIガバナンス・イニシアティブ (2023.10.19)

・2023.10.30 経団連 AI活用戦略Ⅱ -わが国のAI-Powered化に向けて- (2023.10.17)

・2023.10.25 インド AIに関する専門家の報告書「インディアAI 2023」を公表 (2023.10.14)

| | Comments (0)

米国 CISA AI導入のロードマップ (2023.11.14)

こんにちは、丸山満彦です。

CISAがAIに関する大統領令 EO 14110 Safe, Secure, and Trustworthy Development and Use of Artificial Intelligenceに沿ったAI導入のロードマップを公表していました。。。

CISA 

・2023.11.14 CISA Releases Roadmap for Artificial Intelligence Adoption

・[PDF

20231128-30206

 

目次...

INTRODUCTION はじめに
VISION ビジョン
CISA'S ROLE IN SECURING AI AIの安全確保におけるCISAの役割
FIVE LINES OF EFFORT 5つの取り組み
LINE OF EFFORT 1: Responsibly Use AI to Support our Mission 取り組み1:ミッションをサポートするためにAIを責任を持って使用する
LINE OF EFFORT 2: Assure AI Systems 取り組み2:AIシステムを保証する
LINE OF EFFORT 3: Protect Critical Infrastructure From Malicious Use of AI 取り組み3: AIの悪意ある利用から重要インフラを守る
LINE OF EFFORT 4: Collaborate with and Communicate on Key AI Efforts with the Interagency, International Partners, and the Public 取り組み4:省庁間、国際的なパートナー、一般市民と協力し、AIの重要な取組に関してコミュニケーションを図る。
LINE OF EFFORT 5: Expand AI Expertise in our Workforce 取り組み5:労働力におけるAIの専門知識の拡大
CONCLUSION 結論
KEY DEFINITIONS 主な定義
Artificial Intelligence (AI) 人工知能(AI)
AI Assurance AI保証
AI Security AIセキュリティ
Red Teaming レッドチーム
Adversarial Machine Learning 敵対的機械学習
APPENDIX Recent U .SEfforts on AI Policy 附属書 AI政策に関する米国の最近の取り組み

 

内容...

VISION ビジョン 
We envision a future in which AI systems advance our nation’s cyber defense, where our critical infrastructure is resilient and protected from malicious use of AI, and where AI developers prioritize the security of their products as a core business requirement. 私たちは、AIシステムが我が国のサイバー防衛を推進し、重要なインフラがAIの悪意ある利用から弾力的に保護され、AI開発者が製品のセキュリティをビジネスの中核要件として優先させる未来を描いている。
CISA'S ROLE IN SECURING AI  AIの安全確保におけるCISAの役割 
CISA’s Strategic Plan 2023–2025 underpins CISA’s adaptation to these technologies and each of CISA's four strategic goals are relevant to and impacted by AI:  CISAの戦略計画2023-2025は、CISAがこれらの技術に適応するための基礎となっており、CISAの4つの戦略目標はそれぞれAIに関連し、AIから影響を受けている: 
GOAL 1 | CYBER DEFENSE.  目標1|サイバー防衛。
AI tools can help defend cyberspace against traditional threats, as well as emerging AIdriven threats. However, AI-based software systems are also software systems that require securing and necessitate cyber defense for AI.  AIツールは、従来の脅威だけでなく、AI主導の新たな脅威からもサイバー空間を防衛するのに役立つ。しかし、AIベースのソフトウェアシステムは、安全確保を必要とするソフトウェアシステムでもあり、AIのためのサイバー防衛が必要である。
GOAL 2 | RISK REDUCTION AND RESILIENCE.  目標2|リスク削減と回復力。
Critical infrastructure organizations increasingly use AI systems to maintain and improve resilience. CISA will guide and support responsible and risk-aware adoption of AI-based software systems that are secure by design.  重要インフラ組織は、レジリエンスを維持・向上させるために、AIシステムをますます利用するようになっている。CISAは、設計上安全なAIベースのソフトウェア・システムの責任あるリスクを考慮した採用を指導・支援する。
GOAL 3 | OPERATIONAL COLLABORATION.  目標3|業務連携。
As AI contributes to a rapidly changing threat landscape, CISA will communicate threat and risk information to the U.S. public, including critical infrastructure sectors. Furthermore, AI companies and AI use cases may be subject to targeted threats and may require specific services and protections in response.  AIが急速に変化する脅威の状況に貢献する中、CISAは重要インフラ部門を含む米国民に脅威とリスク情報を伝達する。さらに、AI企業やAIのユースケースは標的型脅威の対象となる可能性があり、それに対する特定のサービスや保護が必要となる可能性がある。
GOAL 4 | AGENCY UNIFICATION.  目標4|機関の統合。
CISA will responsibly integrate AI software systems across the agency, as well as recruit and develop a workforce capable of optimally harnessing AI software systems to carry out CISA’s mission CISAは、全庁的にAIソフトウェア・システムを責任を持って統合するとともに、CISAの使命を遂行するためにAIソフトウェア・システムを最適に活用できる人材を採用・育成する。
FIVE LINES OF EFFORT 5つの取り組み
LINE OF EFFORT 1: Responsibly Use AI to Support our Mission 取り組み1:ミッションをサポートするためにAIを責任を持って使用する
CISA will use AI-enabled software tools to strengthen cyber defense and support our critical infrastructure mission . CISA’s adoption of AI will ensure responsible, ethical, and safe use—consistent with the Constitution and all applicable laws and policies, including those addressing federal procurement, privacy, civil rights, and civil liberties. CISAは、サイバー防衛を強化し、重要インフラの使命を支援するために、AI対応のソフトウェア・ツールを使用する。CISAによるAIの採用は、連邦調達、プライバシー、市民権、市民的自由を扱うものを含め、憲法および適用されるすべての法律と政策に合致した、責任ある倫理的で安全な使用を保証する。
REPRESENTATIVE OUTCOMES  主な成果
1 | CISA assesses our cybersecurity programs for potential uses of AI and provides the resources, requirements, and oversight to incorporate AI where appropriate .  1|CISAは、AIを利用する可能性のあるサイバーセキュリティ・プログラムを評価し、適切な場合にはAIを組み込むためのリソース、要件、監督を提供する。
2 | Through the responsible use of AI tools, CISA network defenders proactively mitigate threats to critical networks before damaging intrusions occur .  2|AIツールの責任ある使用を通じて、CISAのネットワーク防御担当者は、有害な侵入が発生する前に、重要なネットワークに対する脅威を積極的に緩和する。
MEASUREMENT APPROACH  測定方法 
Increased responsible uses of AI software tools across CISA workflows. CISAのワークフロー全体にわたって、AIソフトウェア・ツールの責任ある使用が増加する。
OBJECTIVE 1.1 | Establish governance and oversight processes for CISA’s use of AI.  目標1.1|CISAのAI利用のためのガバナンスと監視のプロセスを確立する。
CISA will establish robust AI governance processes to coordinate actions across the agency . This will include developing ethical and safety oversight processes as well as legal, procurement, privacy, civil rights, and civil liberties considerations . Responsible use will be central to our application of AI .  CISAは、機関全体の行動を調整するための強固なAIガバナンス・プロセスを確立する。これには、法律、調達、プライバシー、市民権、市民的自由への配慮に加え、倫理的で安全な監視プロセスの開発も含まれる。責任ある利用は、AIの応用の中心となる。
To promote responsible AI use, CISA will:  責任あるAI利用を促進するため、CISAは以下を行う: 
• Create our own NIST AI Risk Management Framework (RMF) profile to help develop and implement security and privacy controls for AI;  ・独自のNIST AIリスク管理フレームワーク(RMF)プロファイルを作成し、AIのセキュリティとプライバシー管理の開発と実装を支援する; 
• Implement a programmatic structure for AI adoption within cyber defense missions;  ・サイバー防衛任務におけるAI採用のためのプログラム構造を導入する; 
• Review active AI use cases;  ・積極的なAIの使用事例を検討する; 
• Develop workplace guidance for generative technologies; and,  ・ジェネレーティブ・テクノロジーのための職場ガイダンスを策定する、 
• Address AI data requirements and uses .  ・AIデータの要件と用途に対処する。
OBJECTIVE 1.2 | Collect, review, and prioritize AI use cases to support CISA missions.  目標1.2|CISAのミッションを支援するためのAIユースケースの収集、レビュー、優先順位付けを行う。
CISA will create an agency AI Use Case Inventory to collect, review, and prioritize AI use cases supporting our missions . This inventory will encompass improvements to existing IT systems, collaboration tools, workflows, critical infrastructure defense programs, and proposed data collections for training AI models CISAは、機関AIユースケース・インベントリを作成し、ミッションを支援するAIユースケースを収集、レビュー、優先順位付けする。この目録には、既存のITシステムの改善、コラボレーション・ツール、ワークフロー、重要インフラ防衛プログラム、AIモデルを訓練するためのデータ収集案が含まれる。
OBJECTIVE 1.3 | Develop an adoption strategy for the next generation of AI-enabled technologies.  目標1.3|次世代のAI対応技術の採用戦略を策定する。
To stay ahead of the adoption curve while ensuring privacy and civil rights protections, CISA will closely coordinate AI-related research and development efforts to target gaps in mission needs . These initiatives include the identification of baseline responsible practices for AI to protect safety and rights, the creation of a safe and secure AI testbed, and the development of technical requirements for cybersecurity use cases.  プライバシーと公民権保護を確保しつつ採用曲線の先を行くために、CISAはAI関連の研究開発努力を緊密に調整し、ミッション・ニーズのギャップを対象とする。これらの取り組みには、安全性と権利を保護するためのAIの基本的責任規範の特定、安全でセキュアなAIのテストベッドの構築、サイバーセキュリティのユースケースに関する技術要件の策定などが含まれる。
OBJECTIVE 1.4 | Incorporate cyber defense, incident management, and redress procedures into AI systems and processes.  目標1.4|サイバー防御、インシデント管理、救済手続きをAIのシステムとプロセスに組み込む。
CISA will establish incident response capabilities for AI usage, including remedy and redress procedures when necessary . In addition, CISA will adopt an approach for continuous evaluation of AI models while reviewing IT security practices to securely integrate AI technology.  CISAは、必要な場合の是正・救済手続を含め、AI利用のためのインシデント対応能力を確立する。さらに、CISAは、AI技術を安全に統合するためにITセキュリティの慣行を見直しながら、AIモデルを継続的に評価するアプローチを採用する。
OBJECTIVE 1.5 | Examine holistic approaches to limiting bias in AI use at CISA.  目標1.5|CISAにおけるAI利用の偏りを抑制するための全体論的アプローチを検討する。
CISA will explore holistic approaches to limit bias in AI use, identifying potential bias points in the development, testing, implementation, and maintenance processes in order to build in fairness. Beyond exploring bias and mitigation strategies, CISA will develop a quality assessment for training data and public notice of our AI Use Case Inventory.  CISAは、公正さを構築するために、開発、テスト、実装、保守の各プロセスにおける潜在的な偏りのポイントを特定し、AIの使用における偏りを制限するための全体的なアプローチを検討する。CISAは、バイアスと緩和戦略を探求するだけでなく、訓練データの品質評価を開発し、AI使用事例目録を公表する。
OBJECTIVE 1.6 | Responsibly and securely deploy AI systems to support CISA’s cybersecurity mission.  目標1.6|CISAのサイバーセキュリティ使命を支援するために、責任を持って安全にAIシステムを導入する。
Responsible and secure AI deployment aligns with CISA’s core cybersecurity mission. To help ensure this, CISA will explore the identification, testing, evaluation, and deployment of AI capabilities for cyber defense, including detection of vulnerabilities in critical U.S. government software, systems, and networks, and we will document the lessons learned. 責任ある安全なAIの配備は、CISAの中核的なサイバーセキュリティの使命と一致する。これを確実にするため、CISAは、重要な米国政府のソフトウェア、システム、ネットワークにおける脆弱性の検出を含め、サイバー防衛のためのAI能力の特定、テスト、評価、配備を検討し、得られた教訓を文書化する。
LINE OF EFFORT 2: Assure AI Systems 取り組み2:AIシステムを保証する
CISA will assess and assist secure by design AI-based software adoption across a diverse array of stakeholders, including federal civilian government agencies; private sector companies; and state, local, tribal, and territorial (SLTT) governments through the development of best practices and guidance for secure and resilient AI software development and implementation. CISAは、安全で弾力性のあるAIソフトウェアの開発と実装のためのベストプラクティスとガイダンスの開発を通じて、連邦民間政府機関、民間企業、州・地方・部族・準州(SLTT)政府を含む多様な利害関係者の間で、セキュア・バイ・デザインのAIベースのソフトウェア採用を評価し、支援する。
REPRESENTATIVE OUTCOMES  主な成果
1 | CISA identifies cybersecurity risks and security resilience challenges as early as possible during AI adoption to mitigate threats to critical infrastructure.  1|CISAは、重要インフラへの脅威を緩和するため、AI導入の可能な限り早期にサイバーセキュリティリスクとセキュリティ回復力の課題を特定する。
2 | CISA adapts existing security guidance and service offerings to AI software systems, including best practices for red teaming AI systems and for making AI software that is secure by design.  2|CISA は、AI システムをレッドチーム化するためのベストプラクティスや、設計上安全な AI ソフトウェアを作成するためのベストプラクティスなど、既存のセキュリティ指針とサービス提供を AI ソフトウェアシステムに適合させる。
3 | Stakeholders understand how AI-specific vulnerabilities fit into the existing coordinated vulnerability disclosure process. MEASUREMENT APPROACH Increased adherence to CISA risk guidance and best practices for AI software deployment, including guidance on red teaming and vulnerability mangement. 3|AI 固有の脆弱性が、既存の調整された脆弱性開示プロセスにどのように適合するかを関係者が理解する。測定方法 レッドチーム編成と脆弱性管理に関するガイダンスを含め、CISA リスクガイダンスと AI ソフトウェア展開のベストプラクティスの遵守率が向上する。
MEASUREMENT APPROACH 測定方法
 Increased adherence to CISA risk guidance and best practices for AI software deployment, including guidance on red teaming and vulnerability mangement.  レッドチームや脆弱性管理に関するガイダンスを含め、CISAリスクガイダンスやAIソフトウェア導入のベストプラクティスの順守を強化する。
OBJECTIVE 2.1 | Assess cybersecurity risks of AI adoption in critical infrastructure sectors.  目標2.1|重要インフラ分野における AI 導入のサイバーセキュリティリスクを評価する。
CISA will assess potential risks related to the use of AI in critical infrastructure sectors, including ways in which deploying AI may make critical infrastructure systems more vulnerable to critical failures, physical attacks, and cyberattacks. CISA will then consider ways to mitigate these vulnerabilities. Additionally, CISA will incorporate the NIST AI Risk Management Framework (AI RMF 1.0), as well as other appropriate security guidance, into relevant safety and security guidelines and best practices for use by critical infrastructure owners and operators.  CISAは、AIの導入が重要インフラ・システムを重大な障害、物理的攻撃、サイバー攻撃に対してより脆弱にする可能性がある方法を含め、重要インフラ部門でのAIの使用に関連する潜在的リスクを評価する。CISAはその後、これらの脆弱性を緩和する方法を検討する。さらに、CISAは、NIST AIリスク管理フレームワーク(AI RMF 1.0)、および他の適切なセキュリティ・ガイダンスを、重要インフラの所有者および運用者が使用するための関連する安全・セキュリティ・ガイドラインおよびベストプラクティスに組み込む。
OBJECTIVE 2.2 | Engage critical infrastructure stakeholders to determine security and resilience challenges of AI adoption.  目標2.2|重要インフラの利害関係者を関与させ、AI導入のセキュリティと回復力の課題を明らかにする。
CISA will engage with critical infrastructure stakeholders to assess and address the use of AI across critical infrastructure sectors.  CISAは、重要インフラの利害関係者を関与させ、重要インフラ部門全体にわたるAIの利用を評価し、対処する。
OBJECTIVE 2.3 | Capture the breadth of AI systems used across the federal enterprise.  目標2.3|連邦企業全体で使用されているAIシステムの幅を把握する。
CISA will evaluate Software Bill of Materials (SBOM) toolchains, including SBOM format standards and automated SBOM collection and translation software, to confirm coverage of AI software. CISAは、ソフトウェア部品表(SBOM)ツールチェーン(SBOMフォーマット標準、自動SBOM収集・翻訳ソフトウェアを含む)を評価し、AIソフトウェアの適用範囲を確認する。
OBJECTIVE 2.4 | Develop best practices and guidance for acquisition, development, and operation of secure AI systems.  目標2.4:安全なAIシステムの取得、開発、運用のためのベストプラクティスとガイダンスを策定する。
CISA will develop best practices and guidance for the acquisition, development, and operation of secure AI systems. We will also provide guidance for the secure use of AI technologies and will integrate this guidance into the Cybersecurity Performance Goals pertaining to AI and related systems.  CISAは、安全なAIシステムの取得、開発、運用のためのベストプラクティスとガイダンスを開発する。また、AI技術の安全な利用のためのガイダンスを提供し、このガイダンスをAIと関連システムに関するサイバーセキュリティ・パフォーマンス・ゴールに統合する。
OBJECTIVE 2.5 | Drive adoption of strong vulnerability management practices for AI systems.  目標2.5|AIシステムに対する強力な脆弱性管理手法の採用を推進する。
CISA will develop tools and techniques to harden and test AI systems, as well as incorporate appropriate outputs of adversarial ML processes and AI system vulnerabilities into the National Vulnerability Database. This includes conducting an operational test of an AI vulnerability in the Coordinated Vulnerability Disclosure (CVD) process, as well as writing strategic guidance for security testing and red teaming AI systems and software, particularly Open Source Software.  CISAは、AIシステムを強化しテストするためのツールと技術を開発するとともに、敵対的MLプロセスとAIシステムの脆弱性の適切なアウトプットを国家脆弱性データベースに組み込む。これには、CVD(Coordinated Vulnerability Disclosure)プロセスにおけるAIの脆弱性の運用テストの実施や、AIシステムおよびソフトウェア(特にオープンソースソフトウェア)のセキュリティテストとレッドチーム化のための戦略的ガイダンスの作成が含まれる。
OBJECTIVE 2.6 | Incorporate AI systems into Secure by Design initiative. 目標2.6|AIシステムをセキュアバイデザインの取り組みに組み込む。
 CISA champions a secure by design approach to developing and manufacturing technology products, ensuring manufacturers design products with security in mind at the onset, so consumers receive products that are secure right out of the box. To encourage a secure by design approach to AI software and products, CISA will integrate AI security into the Secure by Design program and will develop a research pipeline to continually understand and project ways to support AI systems security.  CISAは、技術製品の開発・製造におけるセキュア・バイ・デザイン・アプローチを提唱し、メーカーが当初からセキュリティを念頭に製品を設計し、消費者が箱から出してすぐに安全な製品を受け取れるようにする。AIソフトウェアと製品へのセキュア・バイ・デザイン・アプローチを奨励するため、CISAはAIセキュリティをセキュア・バイ・デザイン・プログラムに統合し、AIシステムのセキュリティをサポートする方法を継続的に理解し、プロジェクト化するための研究パイプラインを開発する。
LINE OF EFFORT 3: Protect Critical Infrastructure From Malicious Use of AI 取り組み3: AIの悪意ある利用から重要インフラを守る
CISA will assess and recommend mitigation of AI threats against our nation’s critical infrastructure in partnership with other government agencies and industry partners that develop, test, and evaluate AI tools. CISAは、AIツールを開発、テスト、評価する他の政府機関や産業界のパートナーと連携して、わが国の重要インフラに対するAIの脅威を評価し、緩和策を提言する。
REPRESENTATIVE OUTCOMES  主な成果
1 | Through engagement with stakeholders, including tabletop exercises focused on AI-enhanced attacks, CISA protects AI systems from adversarial manipulation or abuse.  1|AIを強化した攻撃に焦点を当てた卓上演習を含む利害関係者との関与を通じて、CISAはAIシステムを敵対的な操作や悪用から保護する。
2 | CISA supports the advancement of AI risk management practices across the critical infrastructure community through the publication and dissemination of decision support materials, such as a risk management guide for AI risks to critical infrastructure.  2|CISAは、重要インフラに対するAIリスクのリスク管理ガイドなどの意思決定支援資料の出版・普及を通じて、重要インフラ・コミュニティ全体でAIのリスク管理実務の進展を支援する。
MEASUREMENT APPROACH:  測定方法 
Number of publications and engagements that support shared awareness of emerging AI-related risks and advances in AI risk management practices. 新たなAI関連リスク及びAIリスク管理手法の進歩に関する認識の共有を支援する出版物及び関与の数。
OBJECTIVE 3.1 | Regularly engage industry stakeholder partners that are developing AI tools to assess and address security concerns to critical infrastructure and evaluate methods for educating partners and stakeholders.  目標3.1|重要インフラに対するセキュリティ上の懸念を評価し対処するためのAIツールを開発している業界の利害関係者パートナーを定期的に関与させ、パートナーや利害関係者を教育する方法を評価する。
CISA will build on existing structures to advance industry collaboration and coordination around AI security. The Information Technology Sector Coordinating Council’s AI Working Group, which was established in March 2023, will continue to provide advice on AI security challenges and feedback on agency AI initiatives.  CISAは、AIセキュリティに係る業界の協力・協調を推進するため、既存の体制を構築する。2023年3月に設立された情報技術部門調整協議会のAI作業部会は、引き続きAIセキュリティの課題に関する助言と省庁のAIイニシアティブに関するフィードバックを提供する。
CISA will also stand up an operational effort in the Joint Cyber Defense Collaborative (JCDC), JCDC.AI, to catalyze focused collaboration around threats, vulnerabilities, and mitigations affecting AI systems. The JCDC effort will also explore potential operational planning efforts that bring together AI providers and critical infrastructure operators to address specific risks. CISAはまた、AIシステムに影響を及ぼす脅威、脆弱性、緩和策に関する集中的な協力を促進するため、Joint Cyber Defense Collaborative (JCDC)のJCDC.AIという運用努力も立ち上げる。また、JCDCの取り組みは、AIプロバイダーと重要インフラ事業者が特定のリスクに対処するために結集する運用計画努力の可能性を探る。
OBJECTIVE 3.2 | Use CISA partnerships and working groups to share information on AI-driven threats.  目標3.2|CISAのパートナーシップと作業部会を利用して、AI主導の脅威に関する情報を共有する。
CISA will use agency partnerships and working groups, including JCDC.AI, to share information on AI-driven threats. The agency will engage industry, federal, and international partners to understand emerging threats and share them with the broader commuity.  CISAは、JCDC.AIを含む機関のパートナーシップやワーキング・グループを活用して、AI主導の脅威に関する情報を共有する。CISAは、新たな脅威を理解し、より広範な社会と共有するために、産業界、連邦政府、および国際的なパートナーを関与させる。
OBJECTIVE 3.3 | Assess AI risks to critical infrastructure. Each critical infrastructure sector has a unique set of needs and capabilities.  目標3.3|重要インフラに対するAIリスクを評価する。各重要インフラ部門には、固有のニーズと能力がある。
As adversaries adopt AI-enabled software systems and as AI expands the cyber threat landscape, CISA will publish materials to raise awareness of emerging risks. CISA will also evaluate risk management approaches and methodologies to determine the appropriate analytical framework for the assessment and treatment of AI risks and will identify necessary enhancements. 敵対者がAI対応ソフトウェア・システムを採用し、AIがサイバー脅威の状況を拡大するにつれて、CISAは新たなリスクに対する認識を高めるための資料を公表する。CISAはまた、AIリスクの評価と処置のための適切な分析枠組みを決定するために、リスク管理アプローチと方法論を評価し、必要な強化を特定する。
LINE OF EFFORT 4: Collaborate with and Communicate on Key AI Efforts with the Interagency, International Partners, and the Public 取り組み4:省庁間、国際的なパートナー、一般市民と協力し、AIの重要な取組に関してコミュニケーションを図る。
CISA will contribute to DHS-led and interagency processes on AI-enabled software. This LOE includes developing policy approaches for the U.S. government’s overall national strategy on AI and supporting a whole-of-DHS approach on AI-based-software policy issues. This LOE also includes coordinating with international partners to advance global AI best practices and principles. CISAは、AI対応ソフトウェアに関するDHS主導の省庁間プロセスに貢献する。このLOEには、AIに関する米国政府の全体的な国家戦略のための政策アプローチを策定することや、AIベースのソフトウェア政策に関するDHS全体のアプローチを支援することが含まれる。また、このLOEには、世界的なAIのベストプラクティスと原則を推進するための国際パートナーとの調整も含まれる。
REPRESENTATIVE OUTCOMES  主な成果
1 | CISA stakeholders are aligned around clear guidance for AI security. 1|CISAの利害関係者が、AIセキュリティに関する明確なガイダンスを中心に足並みを揃える。
MEASUREMENT APPROACH  測定方法 
Proportion of AI-focused guidance and policy documents developed in collaboration with U.S. interagency and international partners. AIに焦点を当てたガイダンス及び政策文書のうち、米国の省庁間及び国際的なパートナーと協力して作成されたものの割合。
OBJECTIVE 4.1 | Support the development of a whole-of-DHS approach on AI policy issues.  目標4.1|AI政策課題に関する国土安全保障省全体のアプローチの策定を支援する。
CISA will support the development of a whole-of-DHS approach to AI policy issues. As CISA develops our agency-specific AI efforts, we will closely coordinate with DHS entities, including the DHS AI Task Force.  CISAは、AI政策課題に対する国土安全保障省全体のアプローチの開発を支援する。CISAが機関固有のAI取り組みを展開する際には、DHS AIタスクフォースなどのDHS機関と緊密に連携する。
OBJECTIVE 4.2 | Participate in interagency policy meetings and interagency working groups on AI.  目標4.2|AIに関する省庁間政策会議や省庁間作業部会に参加する。
CISA will attend interagency meetings to foster coherent and collaborative approaches to federal government AI policy CISAは、連邦政府のAI政策に対する首尾一貫した協調的アプローチを促進するため、省庁間会議に出席する。
OBJECTIVE 4.3 | Develop CISA policy positions that take a strategic, national level perspective for AI policy documents, such as memoranda and other products.  目標4.3|覚書等のAI政策文書について、戦略的で国家レベルの視点を持つCISA政策ポジションを策定する。
CISA will develop policy positions that take a strategic, national level perspective for AI policy documents and ensure alignment of CISA strategies, priorities, and policies with interagency doctrine. CISA will drive policy decisions to support critical infrastructure equities and integrate national strategic level perspectives in key AI policy documents. Additionally, to increase public awareness about AI assurance, CISA will develop AI assurance publications. CISAは、AI政策文書について戦略的、国家レベルの視点を持つ政策ポジションを策定し、CISAの戦略、優先事項、政策と省庁間のドクトリンとの整合性を確保する。CISAは、重要インフラの公平性を支える政策決定を推進し、主要なAI政策文書に国家戦略レベルの視点を統合する。さらに、AI保証に関する国民の認識を高めるため、CISAはAI保証に関する出版物を作成する。
OBJECTIVE 4.4 | Ensure CISA strategy, priorities, and policy framework align with interagency policies and strategy.  目標4.4|CISAの戦略、優先事項、政策枠組みが省庁間の政策や戦略と整合するようにする。
CISA will work across the interagency to ensure CISA policies and strategies align with the whole-of-government approach to AI.  CISAは、CISAの方針及び戦略がAIに対する政府全体のアプローチと整合するよう、省庁間で連携する。
OBJECTIVE 4.5 | Engage with international partners surrounding global AI security.  目標4.5|グローバルなAIの安全保障をめぐる国際的パートナーと連携する。
CISA will co-develop and co-seal guidance for AI security with other federal agencies and international partners. CISA will engage with international partners surrounding global AI security and encourage the adoption of international best practices for secure AI. CISAは、他の連邦政府機関や国際的パートナーとAIセキュリティに関するガイダンスを共同開発し、共同承認する。CISAは、グローバルなAIセキュリティを取り巻く国際的なパートナーと関わり、安全なAIのための国際的なベスト・プラクティスの採用を奨励する。
LINE OF EFFORT 5: Expand AI Expertise in our Workforce 取り組み5:労働力におけるAIの専門知識の拡大
CISA will continue to educate our workforce on AI software systems and techniques, and the agency will continue to actively recruit interns, fellows, and future employees with AI expertise. CISA will ensure that internal training reflects—and new recruits understand—the legal, ethical, and policy aspects of AI-based software systems in addition to the technical aspects. CISAは、AIソフトウェア・システムと技術に関する従業員の教育を継続し、AIに精通したインターン、フェロー、将来の従業員を積極的に採用し続ける。CISAは、技術的側面に加え、AIベースのソフトウェア・システムの法的、倫理的、政策的側面を内部研修に反映させ、新入社員が理解するようにする。
REPRESENTATIVE OUTCOMES  主な成果
1 | CISA hires, trains, and retains a workforce with AI expertise. 1|CISAは、AIの専門知識を有する労働力を雇用し、訓練し、維持する。
MEASUREMENT APPROACH  測定方法 
Increased AI expertise in the CISA workforce. CISAの労働力におけるAIの専門知識が増加する。
OBJECTIVE 5.1 | Connect and amplify AI expertise that already exists in CISA’s workforce.  目標5.1|CISAの労働力に既に存在するAIの専門知識を結び付け、増幅する。
As the nation’s cyber defense agency, the CISA team includes a strong workforce of cybersecurity experts. The agency will identify and leverage existing AI expertise across CISA. We will also develop an AI community of practice for engagement across the agency, as well as maintain key points of contact from each division leading AI activities, positioning the agency for a collaborative and cohesive approach to expanding our AI capabilities.  国のサイバー防衛機関として、CISAチームにはサイバーセキュリティ専門家の強力な労働力が含まれている。CISAは、CISA全体に存在するAIの専門知識を特定し、活用する。また、AI能力を拡大するための協力的で結束力のあるアプローチのために、AI活動を主導する各部門の主要な窓口を維持するだけでなく、機関全体が関与するためのAI実践コミュニティを開発する。
OBJECTIVE 5.2 | Recruit interns, fellows, and staff with AI expertise.  目標5.2|AIに精通したインターン、フェロー、スタッフを採用する。
CISA will recruit interns, fellows, and staff with AI expertise. CISA will use a variety of pathways, including the Cyber Talent Management System (CTMS), for recruiting, developing, and maintaining our AI workforce. CISAは、AIの専門知識を有するインターン、フェロー、職員を採用する。CISAは、AI人材の採用、育成、維持のために、サイバー人材管理システム(CTMS)を含む様々な経路を利用する。
OBJECTIVE 5.3 | Educate CISA's workforce on AI.  目標5.3|AIについてCISAの労働力を教育する。
CISA will provide training and education opportunities for employees on an ongoing basis as part of our plan to help our workforce have the knowledge and skills to engage, innovate, and apply appropriately the current and emerging capabilities afforded by AI.  CISAは、従業員がAIに従事し、革新し、AIによってもたらされる現在および新たな能力を適切に適用するための知識と技能を持つことを支援する計画の一環として、従業員に対して継続的に研修・教育の機会を提供する。
OBJECTIVE 5.4 | Ensure internal training not only reflects technical expertise, but also incorporates legal, ethical, and policy considerations of AI implementation across all aspects of CISA’s work.  目標5.4|社内研修に技術的な専門知識を反映させるだけでなく、CISAの業務のあらゆる側面にAI導入の法的、倫理的、政策的な考慮事項を盛り込むようにする。
CISA will provide access to training that includes objectives on legal, ethical, and policy aspects of implementing AI. CISAは、AI導入の法的、倫理的、政策的側面に関する目標を含む研修へのアクセスを提供する。
CONCLUSION 結論
A whole-of-government approach is needed to fully harness the benefits and mitigate the risks of AI. Through the initiatives outlined in this roadmap, CISA strives toward our vision of a nation in which AI systems advance our nation’s cyber defense, where our critical infrastructure is resilient and protected from malicious use of AI, and where AI developers prioritize the security of their products as a core business requirement. AIの恩恵を十分に活用し、リスクを軽減するためには、政府全体のアプローチが必要である。CISAは、このロードマップに示された取り組みを通じて、AIシステムがわが国のサイバー防衛を推進し、重要インフラがAIの悪意ある利用から弾力的に保護され、AI開発者が自社製品のセキュリティをビジネスの中核要件として優先させるような国家というビジョンに向けて邁進する。

 

 

このリストは参考になります。。。

RECENT U.S. EFFORTS ON AI POLICY AI政策に関する米国の最近の取り組み
Recent actions taken by the U .S . government’s executive and legislative branches related to AI-based software systems reflect the need to marshal a national effort to defend critical infrastructure and government networks and assets, work with partners across government and industry, and expand existing services and programs for federal civilian agencies and critical infrastructure owners and operators . The following recent efforts guide CISA’s actions in this plan: AIベースのソフトウェア・システムに関連する米国政府の行政府および立法府による最近の動きは、重要インフラおよび政府のネットワークと資産を防衛するための国家的な努力を結集し、政府および産業界のパートナーと協力し、連邦民間機関および重要インフラの所有者および運用者のための既存のサービスおよびプログラムを拡大する必要性を反映している。本計画におけるCISAの行動の指針となっているのは、以下の最近の取り組みである:
Executive Order 14110 “Safe, Secure, And Trustworthy Development and Use of Artificial Intelligence (AI)." (October 2023)  大統領令第14110号 "人工知能(AI)の安全、安全、信頼できる開発と利用"。(2023年10月) 
This EO focuses on ensuring that AI is safe and secure . This will require robust, reliable, repeatable, and standardized evaluations of AI systems, as well as policies, institutions, and mechanisms to test, understand, and mitigate risks from these systems before they are put to use . このEOは、AIを安全かつ確実にすることに焦点を当てている。そのためには、AIシステムの強固で信頼性の高い、反復可能で標準化された評価と、これらのシステムが使用される前にテストし、理解し、リスクを軽減するための政策、制度、メカニズムが必要となる。
Voluntary Commitments from Leading Artificial Intelligence Companies to Manage the Risks Posed by AI. (Updated September 2023)  AIがもたらすリスクを管理するための大手人工知能企業の自主的コミットメント。(2023年9月更新) 
The Biden-Harris administration has secured voluntary commitments from leading AI companies to help move toward safe, secure, and transparent development of the AI technology . These commitments include ensuring products are safe before introducing them to the public, building systems that put security first, and earning the public’s trust . バイデン-ハリス政権は、AI技術の安全、安心、透明な開発に向けて、大手AI企業から自発的なコミットメントを確保した。これらのコミットメントには、一般に導入する前に製品の安全性を確保すること、セキュリティを最優先するシステムを構築すること、国民の信頼を得ることなどが含まれる。
DHS Policy Statement 139-06 Acquisition and Use of Artificial Intelligence and Machine Learning by DHS Components. (August 2023)  DHS政策声明139-06 DHS構成機関による人工知能と機械学習の取得と使用。(2023年8月) 
This policy statement provides that DHS will acquire and use AI only in a manner that is consistent with the Constitution and all other applicable laws and policies .  この方針声明は、DHSがAIを取得し使用するのは、憲法および他のすべての適用法および方針と矛盾しない方法のみであることを規定している。
New National Science Foundation Funding. (May 2023)  新しい全米科学財団の資金援助。(2023年5月) 
This dedicated $140 million will launch seven new National AI Research Institutes to promote responsible innovation, bolster America’s AI research and development (R&D) infrastructure and support the development of a diverse AI workforce . この1億4,000万ドルの資金により、責任あるイノベーションを促進し、米国のAI研究開発(R&D)インフラを強化し、多様なAI人材の育成を支援する7つの国立AI研究機関が新たに設立される。
AI Risk Management Framework (RMF). (January 2023)  AIリスク管理フレームワーク(RMF)。(2023年1月) 
In collaboration with the private and public sectors, the National Institute of Standards and Technology (NIST) developed this framework to better manage risks—to individuals, organizations, and society—that are uniquely associated with AI . The NIST AI RMF, intended for voluntary use, aims to improve the ability to incorporate trustworthiness considerations into the design, development, use, and evaluation of AI products, services, and systems .  米国国立標準技術研究所(NIST)は、AIに特有の個人、組織、社会に対するリスクをより適切に管理するため、官民の協力を得て、このフレームワークを開発した。NIST AI RMFは自主的な使用を目的としており、AI製品、サービス、システムの設計、開発、使用、評価に信頼性への配慮を組み込む能力を向上させることを目的としている。
Blueprint for an AI Bill of Rights. (October 2022)  AI権利章典の青写真。(2022年10月) 
This framework is a set of five principles— identified by the White House Office of Science and Technology Policy—that should guide the design, use, and deployment of automated systems to protect the American public in the  age of AI .  この枠組みは、ホワイトハウスの科学技術政策室によって特定された5つの原則であり、AIの時代に米国民を保護するための自動化システムの設計、使用、展開の指針となるべきものである。
2021 Final Report of the National Security Commission on Artificial Intelligence. (March 2021)  2021 人工知能に関する国家安全保障委員会の最終報告書。(2021年3月) 
This report presented an integrated national strategy to reorganize the government, reorient the nation, and rally our closest allies and partners to defend and compete in the coming era of AI-accelerated competition and conflict .  この報告書は、政府を再編成し、国家を再編成し、最も緊密な同盟国やパートナーを結集して、AIが加速する来るべき競争と紛争の時代を防衛し、競争するための統合国家戦略を提示した。
National Artificial Intelligence Initiative (NAII) Act of 2020 (Division E of the National Defense Authorization Act for Fiscal Year 2021). (January 2021)  2020年国家人工知能イニシアチブ(NAII)法(2021会計年度国防授権法E部門)。(2021年1月) 
Among other things, this act established direction and authority to coordinate AI research, development, and demonstration activities among civilian agencies, the Department of Defense, and the intelligence community to ensure that each informs the work of the others .  この法律は、特に、民間機関、国防総省、情報機関の間でAIの研究、開発、実証活動を調整し、それぞれが他の機関の活動に確実に情報を提供するための方向性と権限を確立した。
AI in Government Act of 2020 (Title I of Division U of the Consolidated Appropriations Act, 2021). (December 2020)  2020年政府におけるAI法(2021年連結歳出法U部門タイトルI)。(2020年12月) 
This act created the AI Center of Excellence within the General Services Administration and directed the Office of Management and Budget (OMB) to issue a memorandum informing federal agencies of policies for acquisition and application of AI and identifying best practices for mitigating risks .  この法律は、AI Center of ExcellenceをGeneral Services Administration内に設立し、管理予算局(OMB)に対し、AIの取得と適用に関する方針を連邦政府機関に通知し、リスクを軽減するためのベストプラクティスを特定する覚書を発行するよう指示した。
Department of Homeland Security 2020 Artificial Intelligence Strategy. (December 2020)  国土安全保障省の2020年人工知能戦略。(2020年12月) 
This strategy set out to enhance DHS’s capability to safeguard the American people, our homeland, and our values through the responsible integration of AI into DHS’s activities and the mitigation of new risks posed by AI .   この戦略は、DHSの活動にAIを責任を持って統合し、AIがもたらす新たなリスクを軽減することで、米国民、国土、我々の価値を守るDHSの能力を強化することを目的としている。 
EO 13960: Promoting the Use of Trustworthy AI in the Federal Government. (December 2020)  EO 13960 連邦政府における信頼できるAIの利用を促進する。(2020年12月) 
This executive order required federal agencies to inventory their AI use cases and share their inventories with other government agencies and the public .   この大統領令は、連邦政府機関に対し、AIのユースケースを目録化し、その目録を他の政府機関や一般市民と共有することを求めた。 
EO 13859: Maintaining American Leadership in AI. (February 2019)  EO 13859: AIにおけるアメリカのリーダーシップを維持する。(2019年2月) 
This executive order established federal principles and strategies to strengthen the nation's capabilities in AI to promote scientific discovery, economic competitiveness, and national security .  この大統領令は、科学的発見、経済競争力、国家安全保障を促進するために、AIにおける国家の能力を強化するための連邦政府の原則と戦略を定めた。

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.10.31 米国 人工知能の安全、安心、信頼できる開発と利用に関する大統領令

・2023.01.27 NIST AIリスクフレームワーク

・2022.10.07 米国 科学技術政策局 AI権利章典の青写真

・2021.05.10 米国連邦政府 人工知能イニシアティブ

2021.01.06 米国 2021年度 National Defense Authorization Act (NDAA) (国防授権法)成立 サイバー関係も・・・

・2020.11.30 米国 OMBが「人工知能アプリケーション規制のためのガイダンス」を発行

 

| | Comments (0)

2023.11.27

経済産業省 産業サイバーセキュリティ研究会「サイバー攻撃による被害に関する情報共有の促進に向けた検討会」の最終報告書

こんにちは、丸山満彦です。

経済産業省 産業サイバーセキュリティ研究会「サイバー攻撃による被害に関する情報共有の促進に向けた検討会」の最終報告書が公表されていますね。。。


サイバー攻撃が高度化する中、攻撃の全容の把握や被害の拡大を防止する等の観点から、被害組織を直接支援する専門組織を通じたサイバー被害に係る情報の速やかな共有が効果的です。この観点から、経済産業省では、2023年5月より「サイバー攻撃による被害に関する情報共有の促進に向けた検討会」を開催し、今回、最終報告書等を取りまとめました。


で、背景・趣旨


1.背景・趣旨

サイバー攻撃が高度化する中、単独組織による攻撃の全容解明は困難となっており、攻撃の全容の把握や被害の拡大を防止する等の観点からサイバー攻撃に関する情報共有は極めて重要です。このため、経済産業省では、関係省庁と連携して、サイバー攻撃を受けた被害組織がサイバーセキュリティ関係組織とサイバー攻撃被害に係る情報を共有する際の実務上の参考となるガイダンス(「サイバー攻撃被害に係る情報の共有・公表ガイダンス」)を今年3月に策定・公表したところです。

他方で、被害組織自らによる情報共有には、被害組織側に自らが受けられる情報共有メリット以上の調整コストが発生する等の課題があります。そこで、被害組織を直接支援する専門組織を通じた速やかな情報共有の促進が重要となりますが、専門組織を通じた情報共有を促進するためには、①秘密保持契約による情報共有への制約、②非秘密情報からの被害組織の特定・推測の可能性の課題に対応する必要があります。

こうした課題に対応するため、経済産業省では、「サイバー攻撃による被害に関する情報共有の促進に向けた検討会」を開催し、被害組織自身による情報共有ではなく、被害拡大防止に資する専門組織を通じた情報共有を促進するための必要事項の検討を行い、今般取りまとめを行いました。


 

とのことです。。。

米国の場合は、多くの情報をもっている連邦政府が国益を考え、民間部門に広く情報を提供することにより、国全体のセキュリティを向上しようという方向ですよね。。。そして、それを法定している。。。もちろん、重要インフラについては事故等の情報を政府に報告する必要はありますが、その情報から得られた知見も民に共有されていくことになりますよね。。。

こちらの提案は、主に民のセキュリティインシデント等の情報を例えば、SOCベンダーなどのセキュリティベンダーを媒介に共有しようという感じに見られますね。。。

おそらく、本来的には被害組織が情報を提供するモデルを想定していたが、被害組織にとっては情報を非特定化するなどのクレンジング作業にコストがかかるのにメリットがないということで、情報提供をしないだろう、であれば、例えばSOCベンダーのようなセキュリティベンダーにそれを負担させよう(なぜなら、ベンダーはその情報をもとに他の組織への同種の攻撃の防御にも使える等のメリットがありそうだから。。。)ということになっているのかな。。。と思いました。

SOCベンダーがA社の機器の監視をしていて攻撃を検知し、対応をしたとしても、その情報はA社の情報なので、これから攻撃を受けそうなB社に対して先手をうった防御(アクティブディフェンス)には利用できていないですよね。。。それを解消できればよいのに。。。というのが一つのパターンなんでしょうね。。。

幅広い情報をセキュリティベンダーが非特定化して利用することになるというのであれば、一般の組織は抵抗があるでしょうから、共有する情報はわかりやすい情報(攻撃元のIPアドレス等、マルウェアの検体等)に限定するような契約書の記載がよいのではないでしょうかね。。。まずは、、、

あと気になるのは、これを普及させるために、SOCベンダーが、情報共有NDA条項を標準契約の中に入れてしまうのではないかということですね。。。本来的なサービスはこの条項がなくても成立しているので、これを抱き合わせしまうのは、どうなんだろうか、、、という意見がでてきそうですね。。。この情報共有NDA条項を受け入れた組織だけが、他の攻撃情報等の共有を受けられるというのはありですかね。。。

公益的な目的が社会のコンセンサスになっているのであれば、法律にしてしまえばよいのですけどね。。。そうなっていないから、今はガイドラインで、、、ということなのでしょうね。。。

ガイドラインの普及啓発をしながら、社会に必要性を訴求していくことが必要かもしれませんね。。。その結果、法律まではいらんやろ。。。ということになるかもしれませんが、議論を深めることは重要だろうと思います。。。

ということで、

については、パブリックコメントを12月22日まで受け付けているようですので、是非。。。

 

経済産業省

・2023.11.22 産業サイバーセキュリティ研究会「サイバー攻撃による被害に関する情報共有の促進に向けた検討会」の最終報告書等を取りまとめました

 

・[PDF] サイバー攻撃による被害に関する情報共有の促進に向けた検討会最終報告書概要

20231127-32608

 

・[PDF] サイバー攻撃による被害に関する情報共有の促進に向けた検討会最終報告書

20231127-32723

 

 

・[PDF] 攻撃技術情報の取扱い・活用手引き(案)

20231127-32859

 

・[PDF] 秘密保持契約に盛り込むべき攻撃技術情報等の取扱いに関するモデル条文案

20231127-32951

 

 


検討会

サイバー攻撃による被害に関する情報共有の促進に向けた検討会

 

2023.11.22 報告書等 サイバー攻撃による被害に関する情報共有の促進に向けた検討会最終報告書概要
サイバー攻撃による被害に関する情報共有の促進に向けた検討会最終報告書
攻撃技術情報の取扱い・活用手引き(案)
秘密保持契約に盛り込むべき攻撃技術情報等の取扱いに関するモデル条文(案)
2023.11.13 第6回 議事次第
資料1-1 サイバー攻撃による被害に関する情報共有の促進に向けた検討会最終報告書概要案 ※非公開
資料1-2 サイバー攻撃による被害に関する情報共有の促進に向けた検討会最終報告書案 ※非公開
資料2 秘密保持契約に盛り込むべき攻撃技術情報等の取扱いに関するモデル条文案 ※非公開
資料3 攻撃技術情報の取扱い・活用手引き案 ※非公開
補足説明資料 「専門組織」のクラリファイ問題
資料 JPCERT/CC「「サイバー攻撃による被害に関する情報共有の促進に向けた検討会」各成果物の展開に向けた意見」
議事要旨(後掲)
2023.09.26 第5回 議事要旨
2023.07.21 第4回 議事次第
資料1 事務局説明資料(一部非公開)
議事要旨
2023.06.26 第3回 資料1 事務局説明資料
資料2 関係者からの説明資料(非公表)
議事要旨
2023.05.29 第2回 資料1 事務局説明資料
資料2 関係者からの説明資料(非公表)
議事要旨
2023.05.15 第1回 議事次第
資料1-1 サイバー攻撃による被害に関する情報共有の促進に向けた検討会について
資料1-2 サイバー攻撃による被害に関する情報共有の促進に向けた検討会運営要領(案)
資料2-1 事務局説明資料
資料2-2 JPCERT/CC 説明資料
議事要旨

 

サイバー攻撃被害に係る情報の共有・公表ガイダンス

・2023.03.08 「サイバー攻撃被害に係る情報の共有・公表ガイダンス(案)」に対する意見募集の結果及び「サイバー攻撃被害に係る情報の共有・公表ガイダンス」の公表

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.10.05 米国 GAO 重要インフラ保護:国家サイバーセキュリティ戦略は情報共有のパフォーマンス指標と方法に取り組む必要がある

 

・2023.03.09 総務省 経済産業省 警察庁、内閣官房 「サイバー攻撃被害に係る情報の共有・公表ガイダンス」を公表

・2022.12.27 総務省 経済産業省 警察庁、内閣官房 「サイバー攻撃被害に係る情報の共有・公表ガイダンス(案)」に関する意見募集

・2022.04.21 総務省 経済産業省 警察庁、内閣官房 サイバー攻撃被害に係る情報の共有・公表ガイダンス検討会の開催

 

こちらも是非参考に...

連邦政府の情報共有ガイダンスも紹介しています。。。

・2022.08.18 米国 国土安全保障省 内部監察官室 2015年サイバーセキュリティ情報共有法の下、情報共有の改善に向けてさらなる進展が必要

 

 

| | Comments (0)

NIST TN 2276 NIST Phish Scale ユーザーガイド

こんにちは、丸山満彦です。

米国国立標準技術研究所(NIST)の人間中心のサイバーセキュリティ・プログラムが、NIST Phish Scaleユーザーガイドを発表していますね。。

フィッシングメールから、いろいろな事案につながることが多いので、ここである程度防げると、すこしばかり被害が減らせることもありますかね。。。

このガイドは実務者向けに作成されたもので、フィッシングに関する意識向上トレーニング・プログラムにおけるPhish Scaleの適用方法について、説明しているもので、

  • 背景
  • 構成要素
  • 詳細なキューの説明
  • Phish Scaleの結果の解釈
  • フィッシングメールにPhish Scaleを適用するためのインタラクティブなNIST Phish Scaleワークシート

が記載されていますね。。。

Phish Scaleは、メールのフィッシング検知の難易度を評価するために考案された手法とのことで、フィッシングの認知度を高めるためのトレーニング・プログラムに追加的な指標を提供するために、世界中の組織で採用されているとのことです。

フィッシング・トレーニングの実施者は、このPhish Scaleを使って、クリック率やフィッシング演習の結果を報告するようです。

 

NIST - ITL

プレス

・2023.11.20 The NIST Phish Scale User Guide is Now Available!

文書

・2023.11.20 NIST TN 2276 NIST Phish Scale User Guide

NIST TN 2276 NIST Phish Scale User Guide NIST TN 2276 NIST Phish Scale ユーザーガイド
Abstract 概要
Phishing cyber threats impact private and public sectors both in the United States and internationally. Embedded phishing awareness training programs, in which simulated phishing emails are sent to employees, are designed to prepare employees in these organizations to combat real-world phishing scenarios. Cybersecurity and phishing awareness training implementers and practitioners use the results of these programs, in part, to assess the security risk of their organization. The NIST Phish Scale is a method created for these implementers to rate an email’s human phishing detection difficulty as part of their cybersecurity awareness and phishing training programs. This User Guide outlines the Phish Scale in its entirety while providing instructional steps on how to apply it to phishing emails. Further, appendices include 1) worksheets to assist training implementers in applying the Phish Scale and 2) detailed information regarding email properties and associated research in the literature. フィッシングのサイバー脅威は、米国内外の民間企業や公的機関に影響を与えている。模擬フィッシングメールが従業員に送信される組み込み型フィッシング認識トレーニングプログラムは、これらの組織の従業員が実際のフィッシングシナリオに対抗できるように準備するために設計されている。サイバーセキュリティとフィッシング・アウェアネス・トレーニングの実施者や実務者は、組織のセキュリティ・リスクを評価するために、これらのプログラムの結果を一部利用している。NIST Phish Scale はこのような実施者がサイバーセキュリティ意識向上やフィッシングトレーニングプログラムの一環として、電子メールの人間によるフィッシング検知の難易度を評価するために作成された方法である。このユーザーガイドでは、Phish Scale の概要を説明し、フィッシング・メールに適用する方法を解説している。さらに、附属書として、1) Phish Scaleの適用に関するトレーニング実施者を支援するワークシート、2) 電子メールの特性に関する詳細な情報および文献における関連研究が含まれている。

 

・[PDF] NIST.TN.2276

20231126-140521

・[DOCX] 仮訳

 

 

 

 

| | Comments (0)

2023.11.26

英国 AI規制法案 上院で審議開始

こんにちは、丸山満彦です。

AI規制法案が上院のリッチモンド・ホームズ卿 [web][web][X][wikipedia]がスポンサーになって議案と上がっていて、上院で第2回の読み合わせがおわっていますね。。。ということでまだまだですが、参考までに。。。

リッチモンド・ホームズ卿(男爵)は遺伝病で失明したパラリンピック金メダリストなんですね。。。

引退後は、弁護士を務め、その後議員となり、金融関連の法案を提出したりしているようですね。。。

さて、法案...

EUのAI法案とは雰囲気が違いますね。。。

 

・AIを統合的に規制する官庁をつくり、そこで総合的な調整をすることを想定しているようですね。。。

規制は、AI規制庁、AIを開発・運用する企業

まずは、AI規制庁

(1) The AI Authority must have regard to the principles that—  (1) AI規制庁は、以下の原則に留意しなければならない。
(a) regulation of AI should deliver—  (a) AIに対する規制は,以下を実現すべきである。
(i) safety, security and robustness;  (i) 安全,セキュリティ及び堅牢性 
(ii) appropriate transparency and explainability;  (ii) 適切な透明性と説明可能性 
(iii) fairness;  (iii) 公平性 
(iv) accountability and governance; (iv) 説明責任とガバナンス
(v) contestability and redress;  (v) 競争可能性と救済 

企業に対しては...

(b) any business which develops, deploys or uses AI should—  (b) AIを開発、導入、利用する企業は、以下を行うべきである。
(i) be transparent about it;  (i) 透明性を確保する; 
(ii) test it thoroughly and transparently;  (ii) 徹底的かつ透明性をもってテストする; 
(iii) comply with applicable laws, including in relation to data protection, privacy and intellectual property;  (iii) データ保護、プライバシー、知的財産を含む適用法を遵守する; 

 

そしてAIについての監査も含まれていますね。。。

おそらくISO的な監査を想定しているのだろうと思います。

 

これは通るかどうかわからないので、参考まで。。。

 

ということで、

UK Parliament

・2023.11.23 Artificial Intelligence (Regulation) Bill [HL]

・[PDF]

20231125-65654_20231126063001

・[HTML]

 

 

目次...

1 The AI Authority  1 AI規制庁
2 Regulatory principles  2 規制の原則 
3 Regulatory sandboxes  3 規制のサンドボックス 
4 AI responsible officers  4 AI責任者 
5 Transparency, IP obligations and labelling  5 透明性、知的財産義務、ラベリング 
6 Public engagement  6 公的関与 
7 Interpretation  7 解釈 
8 Regulations  8 規則 
9 Extent, commencement and short title  9 範囲、開始および略称 

 

 

 

Artificial Intelligence (Regulation) Bill [HL]  人工知能(規制)法案[HL] 
CONTENTS  目次 
1 The AI Authority  1 AI規制庁
2 Regulatory principles  2 規制の原則 
3 Regulatory sandboxes  3 規制のサンドボックス 
4 AI responsible officers  4 AI責任者 
5 Transparency, IP obligations and labelling  5 透明性、知的財産義務、ラベリング 
6 Public engagement  6 公的関与 
7 Interpretation  7 解釈 
8 Regulations  8 規則 
9 Extent, commencement and short title  9 範囲、開始および略称 
   
A BILL TO 以下の法案を提出する。
Make provision for the regulation of artificial intelligence; and for connected purposes.  人工知能の規制に関する規定、およびそれに関連する目的を定める。
BE IT ENACTED by the King’s most Excellent Majesty, by and with the advice and consent of the Lords Spiritual and Temporal, and Commons, in this present Parliament assembled, and by the authority of the same, as follows:—  国王陛下は、本国会において、霊的・時間的諸侯およびコモンズの助言と同意を得て、またその権限により、以下のとおり制定される。
1  The AI Authority  1 AI規制庁
(1) The Secretary of State must by regulations make provision to create a body called the AI Authority.  (1) 閣内大臣は、規則により、AI規制庁と呼ばれる機関を設置する規定を設けなければならない。
(2) The functions of the AI Authority are to—  (2) AI規制庁の機能は以下のとおりである。
(a) ensure that relevant regulators take account of AI;  (a) 関連する規制当局がAIを考慮することを確保する; 
(b) ensure alignment of approach across relevant regulators in respect of AI;  (b) AIに関して、関連規制当局間のアプローチの整合性を確保する; 
(c) undertake a gap analysis of regulatory responsibilities in respect of AI;  (c) AIに関する規制当局の責任のギャップ分析を行う; 
(d) coordinate a review of relevant legislation, including product safety, privacy and consumer protection, to assess its suitability to address the challenges and opportunities presented by AI;  (d) AIがもたらす課題と機会に対処するための適切性を評価するため、製品安全、プライバシー、消費者保護を含む関連法令の見直しを調整する; 
(e) monitor and evaluate the overall regulatory framework’s effectiveness and the implementation of the principles in section 2, including the extent to which they support innovation;  (e) 規制の枠組み全体の有効性と、イノベーションを支援する程度を含む第2項の原則の実施状況を監視・評価する; 
(f) assess and monitor risks across the economy arising from AI;  (f) AIから生じる経済全体のリスクを評価・監視する; 
(g) conduct horizon-scanning, including by consulting the AI industry, to inform a coherent response to emerging AI technology trends;  (g) 新たなAI技術動向への首尾一貫した対応を知らせるため、AI業界との協議を含め、ホライズンスキャンニングを実施する; 
(h) support testbeds and sandbox initiatives (see section 3) to help AI innovators get new technologies to market;  (h) AIイノベーターが新技術を市場に投入するのを支援するため、テストベッドとサンドボックス・イニシアチブ(第3項参照)を支援する; 
(i) accredit independent AI auditors (see section 5(1)(a)(iv));  (i) 独立したAI監査人を認定する(第5節(1)(a)(iv)参照); 
(j) provide education and awareness to give clarity to businesses and to empower individuals to express views as part of the iteration of the framework;  (j) 枠組みの反復の一環として、企業に明確性を与え、個人が意見を表明できるようにするための教育と認識を提供する; 
(k) promote interoperability with international regulatory frameworks.  (k) 国際的な規制の枠組みとの相互運用性を促進する。
(3) The Secretary of State may by regulations amend the functions in subsection (2), and may dissolve the AI Authority, following consultation with such persons as he or she considers appropriate.  (3) 閣内大臣は、規則により(2)項の機能を修正することができ、また、適切と考える者との協議の後、AI規制庁を解散することができる。
2  Regulatory principles  2 規制原則 
(1) The AI Authority must have regard to the principles that—  (1) AI規制庁は、以下の原則に留意しなければならない。
(a) regulation of AI should deliver—  (a) AIに対する規制は,以下を実現すべきである。
(i) safety, security and robustness;  (i) 安全,セキュリティ及び堅牢性 
(ii) appropriate transparency and explainability;  (ii) 適切な透明性と説明可能性 
(iii) fairness;  (iii) 公平性 
(iv) accountability and governance; (iv) 説明責任とガバナンス
(v) contestability and redress;  (v) 競争可能性と救済 
(b) any business which develops, deploys or uses AI should—  (b) AIを開発、導入、利用する企業は、以下を行うべきである。
(i) be transparent about it;  (i) 透明性を確保する; 
(ii) test it thoroughly and transparently;  (ii) 徹底的かつ透明性をもってテストする; 
(iii) comply with applicable laws, including in relation to data protection, privacy and intellectual property;  (iii) データ保護、プライバシー、知的財産を含む適用法を遵守する; 
(c) AI and its applications should—  (c) AIとその応用は以下のようにすべきである。
(i) comply with equalities legislation;  (i) 平等法を遵守する; 
(ii) be inclusive by design;  (ii) 設計上、包括的であること; 
(iii) be designed so as neither to discriminate unlawfully among individuals nor, so far as reasonably practicable, to perpetuate unlawful discrimination arising in input data;  (iii) 個人間で違法な差別をしないように、また、合理的に実行可能な限り、入力データに起因する違法な差別を永続させないように設計する; 
(iv) meet the needs of those from lower socio-economic groups, older people and disabled people;  (iv) 社会経済的低所得者層、高齢者、障害者のニーズを満たす; 
(v) generate data that are findable, accessible, interoperable and  reusable;  (v) 検索可能、アクセス可能、相互運用可能、再利用可能なデータを生成すること; 
(d) a burden or restriction which is imposed on a person, or on the carrying on of an activity, in respect of AI should be proportionate to the benefits, taking into consideration the nature of the service or product being delivered, the nature of risk to consumers and others, whether the cost of implementation is proportionate to that level of risk and whether the burden or restriction enhances UK international competitiveness.  (d) AIに関して個人または活動の実施に課される負担または制限は、提供されるサービスまたは製品の性質、消費者等に対するリスクの性質、実施コストがそのリスクの程度に見合うかどうか、負担または制限が英国の国際競争力を高めるかどうかを考慮し、便益に見合うものでなければならない。
(2) The Secretary of State may by regulations amend the principles in subsection (1), following consultation with such persons as he or she considers appropriate.  (2) 閣内大臣は、適切と考える関係者との協議を経て、規則により(1)の原則を修正することができる。
3  Regulatory sandboxes  3 規制のサンドボックス 
(1) The AI Authority must collaborate with relevant regulators to construct regulatory sandboxes for AI.  (1) AI規制庁は、AIに関する規制のサンドボックスを構築するために、関連する規制当局と協力しなければならない。
(2) In this section a “regulatory sandbox” is an arrangement by one or more regulators which—  (2) 本条において「規制のサンドボックス」とは、1つ以上の規制当局による以下のような取り決めをいう。
(a) allows businesses to test innovative propositions in the market with real consumers;  (a) 事業者が実際の消費者とともに革新的な提案を市場でテストすることを可能にする; 
(b) is open to authorised firms, unauthorised firms that require authorisation and technology firms partnering with, or providing services to, UK firms doing regulated activities;  (b) 認可企業、認可を必要とする未認可企業、規制対象活動を行う英国企業と提携する、または英国企業にサービスを提供するテクノロジー企業に開放される; 
(c) provides firms with support in identifying appropriate consumer protection safeguards;  (c) 適切な消費者保護セーフガードを特定するための支援を企業に提供する; 
(d) requires tests to have a clear objective and to be conducted on a small scale;  (d) 明確な目的を持ち、小規模で実施される試験を要求する; 
(e) requires firms which want to test products or services which are regulated activities to be authorised by or registered with the relevant regulator before starting the test.  (e) 規制対象活動である製品またはサービスのテストを希望する企業に対し、テスト開始前に、関連する規制当局の認可または登録を受けることを求める。
(3) The Secretary of State may by regulations amend the description in subsection (2), following consultation with such persons as he or she considers appropriate.  (3) 閣内大臣は、適切と考える者との協議に基づき、規則により(2)の記述を修正することができる。
4  AI responsible officers  4 AI 責任者 
(1) The Secretary of State, after consulting the AI Authority and such other persons as he or she considers appropriate, must by regulations provide that any business which develops, deploys or uses AI must have a designated AI officer, with duties—  (1) 閣内大臣は,AI規制庁及び長官が適切と考えるその他の者と協議した後,規則により,AIを開発,配備又は使用する事業者は,次の職務を有する指名されたAI責任者を置かなければならないことを規定しなければならない。
(a) to ensure the safe, ethical, unbiased and non-discriminatory use of AI by the business;  (a) 事業者によるAIの安全、倫理的、公平かつ非差別的な利用を確保すること; 
(b) to ensure, so far as reasonably practicable, that data used by the business in any AI technology is unbiased (see section 2(1)(c)(iii)).  (b) 合理的に実行可能な限り、事業者がAI技術で使用するデータが偏りのないものであることを保証すること(第2条(1)(c)(iii)参照)。
(2) In the Companies Act 2006, section 414C(7)(b), after paragraph (iii) insert—  (2) 2006年会社法第414C条(7)(b)において、(iii)項の後に以下を挿入する。
“(iv) any development, deployment or use of AI by the company, and the name and activities of the AI officer designated under the Artificial Intelligence (Regulation) Act 2024,”.  「(iv)会社によるAIの開発、展開または使用、ならびに2024年人工知能(規制)法に基づいて指定されたAI担当官の氏名および活動」。
(3) The Secretary of State may by regulations amend the duties in subsection (1) and the text inserted by section (2), following consultation with such persons as he or she considers appropriate.  (3) 閣内大臣は、適切と考える者との協議を経て、規則により、第(1)項の義務及び第(2)項により挿入された文章を修正することができる。
5  Transparency, IP obligations and labelling  5 透明性、知的財産義務およびラベリング
(1) The Secretary of State, after consulting the AI Authority and such other persons as he or she considers appropriate, must by regulations provide that—   (1) 閣内大臣は、AI機関及びその他適切と考える者と協議した後、規則により以下の事項を規定しなければならない。 
(a)  any person involved in training AI must—  (a) AIの訓練に関与する者は、以下のことを行わなければならない。
(i) supply to the AI Authority a record of all third-party data and intellectual property (“IP”) used in that training; and  (i) 当該訓練において使用された全ての第三者のデータ及び知的財産(「IP」)の記録をAI規制庁に提出すること。
(ii) assure the AI Authority that—  (ii) AI規制庁に対し、以下を保証すること。
(A)  they use all such data and IP by informed consent;  and  (A) インフォームド・コンセントに基づき、当該データおよび知的財産を全て使用すること。
(B)  they comply with all applicable IP and copyright obligations;  (B) 適用されるすべての知的財産および著作権の義務を遵守すること; 
(iii) any person supplying a product or service involving AI must give customers clear and unambiguous health warnings, labelling and opportunities to give or withhold informed consent in advance; and  (iii) AIを含む製品又はサービスを供給する者は、顧客に対し、明確かつ曖昧さのない健康上の警告、表示、及びインフォームド・コンセントを事前に与える又は保留する機会を与えなければならない。
(iv) any business which develops, deploys or uses AI must allow independent third parties accredited by the AI Authority to audit its processes and systems.  (iv) AIを開発、配備又は使用する事業者は、AI規制庁の認定を受けた独立した第三者がそのプロセス及びシステムを監査することを認めなければならない。
(2) Regulations under this section may provide for informed consent to be express (opt-in) or implied (opt-out) and may make different provision for different cases.  (2) 本条に基づく規則は、インフォームド・コンセントが明示的(オプトイン)又は黙示的(オプトアウト)であることを規定することができ、異なるケースについて異なる規定を設けることができる。
6  Public engagement  6 公的関与 
The AI Authority must—  AI規制庁は,次のことを行わなければならない。
(a) implement a programme for meaningful, long-term public engagement about the opportunities and risks presented by AI; and  (a) AIがもたらす機会とリスクについて,有意義で長期的な一般市民参加のためのプログラムを実施する。
(b) consult the general public and such persons as it considers appropriate as to the most effective frameworks for public engagement, having regard to international comparators.  (b)国際的な比較対象を考慮し、一般市民及び適切と思われる者に、公的関与のための最も効果的な枠組みについて相談すること。
7  Interpretation  7 解釈 
(1) In this Act “artificial intelligence” and “AI” mean technology enabling the programming or training of a device or software to—  (1) 本法において、「人工知能」および「AI」とは、以下のことを行う装置またはソフトウェアのプログラミングまたはトレーニングを可能にする技術を意味する。
(a) perceive environments through the use of data;  (a) データを利用して環境を認識する; 
(b) interpret data using automated processing designed to approximat cognitive abilities; and  (b) 認知能力に近似するように設計された自動処理を使用してデータを解釈する。
(c) make recommendations, predictions or decisions; with a view to achieving a specific objective.  (c) 特定の目的を達成するために、推奨、予測、決定を行う。
(2) AI includes generative AI, meaning deep or large language models able to generate text and other content based on the data on which they were trained.  (2)AIには生成的AIが含まれ、学習されたデータに基づいてテキストやその他のコンテンツを生成できる深層または大規模な言語モデルを意味する。
8  Regulations  8 規制 
(1) Regulations under this Act are made by statutory instrument.  (1) 本法に基づく規則は、法的文書によって制定される。
(2) Regulations under this Act may create offences and require payment of fees, penalties and fines.  (2) 本法に基づく規則は、犯罪を創設し、手数料、罰則および罰金の支払いを要求することができる。
(3) A statutory instrument containing regulations under section 1 or 2 or regulations covered by subsection (2) may not be made unless a draft of the   instrument has been laid before and approved by resolution of both Houses of Parliament.  (3) 第1項もしくは第2項の規定または第(2)項に該当する規定を含む法定文書は、その文書の草案が国会両院の前に置かれ、その決議によって承認されない限り、作成することができない。
(4) A statutory instrument containing only regulations not covered by subsection (3) is subject to annulment in pursuance of a resolution of either House of Parliament.  (4) 第(3)項に該当しない規則のみを含む法定文書は、 国会のいずれかの議院の決議により無効とされる。
(5) A statutory instrument containing regulations applying to Wales, Scotland or Northern Ireland must be laid before Senedd Cymru, the Scottish Parliament or the Northern Ireland Assembly respectively before being made.  (5) ウェールズ、スコットランドまたは北アイルランドに適用される規則を含む法定文書は、作成前に、それぞれセネダード・サイムル、スコットランド議会または北アイルランド議会に提出されなければならない。
9  Extent, commencement and short title  9 適用範囲、開始および略称 
(1) This Act extends to England and Wales, Scotland and Northern Ireland.  (1) 本法は、イングランドおよびウェールズ、スコットランド、北アイルランドに適用される。
(2) This Act comes into force on the day on which it is passed.  (2) 本法は、成立の日に施行される。
(3) This Act may be cited as the Artificial Intelligence (Regulation) Act 2024.  (3) この法律は、人工知能(規制)法2024として引用することができる。

 

 

 

■ 参考

EUのAI法

・2021.04.21 Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL - LAYING DOWN HARMONISED RULES ON ARTIFICIAL INTELLIGENCE (ARTIFICIAL INTELLIGENCE ACT) AND AMENDING CERTAIN UNION LEGISLATIVE ACTS

 

 

 

OECDの「人工知能に関する理事会勧告」

 OECD

OECD AI Principles overview

・2019.05.22 [PDF] Recommendation of the Council on Artificial Intelligence

20220824-21538

 

総務省による仮訳

・2019.05.22 [PDF] 人工知能に関する理事会勧告

20220824-21652

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.11.16 OECD 主要国でのプライバシー・ガイドラインの実施状況

・2023.11.07 OECD OECDのAI原則の4年後の実施状況 (2023.10.27)

・2023.11.02 英国 AI安全サミット出席国によるブレッチリー宣言

・2023.10.31 外務省 G7 広島AIプロセスに関するG7首脳声明

 

2023.10.31 米国 人工知能の安全、安心、信頼できる開発と利用に関する大統領令

 

・2023.10.30 英国 科学技術革新省 フロンティアAI:その能力とリスク - ディスカッション・ペーパー

 

・2023.10.30 中国 グローバルAIガバナンス・イニシアティブ (2023.10.19)

・2023.09.24 OECD 生成的人工知能のための初期政策検討

・2023.09.13 OECD 生成的人工知能(AI)に関するG7広島プロセス (2023.09.07)

・2023.08.25 英国 AIサミットは11月1日2日にブレッチリー・パークで開催

 

・2023.04.29 英国 AIに関する英国政府の発表をいくつか。。。

 

・2023.07.20 国連安全保障理事会の人工知能に関するセッションが初開催される

・2023.07.14 OECD 人工知能における規制のサンドボックス

・2023.06.18 英国 科学技術省データ倫理・イノベーションセンター AI保証事例集 (2023.06.07)

・2023.06.06 個人情報保護委員会 生成 AI サービスの利用に関する注意喚起等について (2023.06.02)

・2023.06.01 生成的AIとプライバシー当局(カナダ ニュージーランド)

・2023.05.19 ドイツ BSI 大規模AI言語モデル - 産業界と公的機関の可能性とリスク (2023.05.10)

・2023.05.02 デジタル庁 G7群馬高崎デジタル・技術大臣会合の開催結果

・2023.05.01 米国 国家人工知能諮問委員会1年間の活動報告書

・2023.04.29 英国 AIに関する英国政府の発表をいくつか。。。

・2023.04.05 英国 ICO ブログ 生成的人工知能:開発者とユーザーが問うべき8つの質問...

 

・2023.04.01 英国 意見募集 AI規制白書

 

・2023.03.30 欧州 ユーロポール ChatGPTの犯罪利用-大規模言語モデルに関する注意事項

・2023.03.23 OECD 人工知能のための国家的な計算能力構築のための青写真 (2023.02.28)

・2023.03.23 OECD AIにおけるアカウンタビリティの高度化 (2023.02.23)

・2023.03.14 米国商工会議所 人工知能報告書

・2023.03.10 英国 ICO Blog 国際女性デーに向けて...AIによる差別への対処が重要な理由

・2022.12.10 英国 データ倫理・イノベーションセンター「業界温度チェック:AI保証の障壁と実現要因」

・2022.11.11 NIST ホワイトペーパー 【プロジェクト概要】コンテキストにおけるAI/MLバイアスの緩和

・2022.11.06 英国 データ倫理・イノベーションセンター データおよびAIに対する国民の意識:トラッカー調査(第2回)

 

・2022.09.30 欧州委員会 AI責任指令案

 

・2022.09.20 米国 ITI AIシステムの透明性を実現するためのグローバルな政策原則 (2022.09.15)

・2022.08.24 NIST 意見募集 AIリスクマネジメントフレームワーク(第2ドラフト)とそのプレイブック

・2022.03.22 NIST 意見募集 AIリスクマネジメントフレームワーク(初期ドラフト)

・2022.02.24 OECD AIシステム分類のためのOECDフレームワーク

 

・2021.12.05 欧州理事会 AI法改正案を欧州議会に提出

 

・2021.08.08 EU議会 BRIEFING 人工知能法 at 2021.07.26

・2021.05.10 米国連邦政府 人工知能イニシアティブ

・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね

・2020.03.31 AI 倫理指針の動向とパーソナル AI エージェント by 中川裕志先生   AI 原則は機能するか?―非拘束的原則から普遍的原則への道筋 by 新保史生先生

 

| | Comments (0)

2023.11.25

英国 データ保護とデジタル情報法政府案が下院で審議中

こんにちは、丸山満彦です。

EUから分離したので、英国はEUとは別に個人データ保護法を設計できるようになっているので、英国なりの視点でデータ保護法を検討していますね。。。

 

GOV.UK

・2023.11.23 Changes to data protection laws to unlock post-Brexit opportunity

Changes to data protection laws to unlock post-Brexit opportunity データ保護法の改正がブレグジット後の機会を解き放つ
Common sense changes to the Data Protection and Digital Information Bill will safeguard the public, prevent fraud, and unlock post-Brexit opportunities. データ保護およびデジタル情報法案への常識的な変更は、国民を保護し、詐欺を防止し、ブレグジット後の機会を解き放つ。
・Data Protection and Digital Information Bill amendments tabled to further improve data security, bolster national security and prevent fraud データ保護・デジタル情報法案の修正案が提出され、データセキュリティのさらなる改善、国家安全保障の強化、不正行為の防止が図られる。
・changes include better use of data to identify fraud - tackling benefits cheats intent on ripping off the taxpayer 納税者から金をむしり取ろうとする不正受給者に対処するため、不正を特定するためのデータ活用の改善を含む。
・new measures also brought forward around preserving the data of deceased children, supporting bereaved families and coroner investigations また、死亡した子どものデータ保全、遺族支援、検視官調査に関する新たな措置も打ち出された。
A raft of common-sense changes to the Data Protection and Digital Information Bill will build an innovative data protection regime in the UK, crack down on benefit fraud cheats, and allow the country to realise new post-Brexit freedoms which are expected to deliver new economic opportunities to the tune of at least £4 billion. Data Protection and Digital Information Bill(データ防御およびデジタル情報法案)に対する常識的な変更の数々は、英国における革新的なデータ保護体制を構築し、給付金詐欺を取り締まり、少なくとも40億ポンド規模の新たな経済機会をもたらすと期待されるブレグジット後の新たな自由を実現することを可能にする。
The changes include new powers to require data from third parties, particularly banks and financial organisations, to help the UK government reduce benefit fraud and save the taxpayer up to £600 million over the next five years. Currently, Department for Work and Pensions (DWP) can only undertake fraud checks on a claimant on an individual basis, where there is already a suspicion of fraud.  ガバナンスの変更には、英国政府が給付金詐欺を減らし、今後5年間で納税者を最大6億ポンド節約するために、サードパーティ、特に銀行や金融組織からデータを要求する新しい権限が含まれている。現在、労働年金省(DWP)は、すでに不正の疑いがある場合にのみ、個別に受給者の不正チェックを行うことができる。
The new proposals would allow regular checks to be carried out on the bank accounts held by benefit claimants to spot increases in their savings which push them over the benefit eligibility threshold, or when people send more time overseas than the benefit rules allow for. This will help identify fraud take action more quickly. To make sure that privacy concerns are at the heart of these new measures, only a minimum amount of data will be accessed and only in instances which show a potential risk of fraud and error. 新提案では、給付金請求者の銀行口座を定期的にチェックし、給付金の受給資格を超えるような貯蓄の増加や、給付規則で認められている以上に海外に滞在している場合などを発見できるようになる。これにより、不正行為をより迅速に特定することができる。プライバシーへの配慮がこれらの新しい措置の中心にあることを確認するため、必要最小限のデータのみがアクセスされ、不正やエラーの潜在的リスクを示す場合にのみアクセスされる。
Another measure offers vital reassurance and support to families as they grieve the loss of a child. In cases where a child has died through suicide, a proposed ‘data preservation process’ would require social media companies to keep any relevant personal data which could then be used in subsequent investigations or inquests. もうひとつの対策は、子供を失った悲しみに暮れる家族に、重要な安心感とサポートを提供するものだ。子供が自殺で死亡した場合、「データ保全プロセス」が提案され、ソーシャルメディア企業は関連する個人データを保管することが義務づけられる。
Current rules mean that social media companies aren’t obliged to hold onto this data for longer than is needed, meaning that data which could prove vital to coroner investigations could be deleted as part of a platform’s routine maintenance. The change tabled today represents an important step for families coming to terms with the loss of a loved one, and takes further steps to help ensure harmful content has no place online. 現行の規則では、ソーシャルメディア企業は必要以上にデータを保持する義務はないため、検視官の調査に不可欠となりうるデータが、プラットフォームの定期保守の一環として削除されてしまう可能性がある。本日上程された変更は、愛する人を失った遺族にとって重要な一歩であり、有害なコンテンツがオンライン上に存在しないことを保証するためのさらなる措置である。
The use of biometric data, such as fingerprints, to strengthen national security is also covered by the amendments, with the ability of Counter Terrorism Police to hold onto the biometrics of individuals who pose a potential threat, and which are supplied by organisations such as Interpol, being bolstered. 国家セキュリティを強化するための指紋などの生体データの使用も改正の対象となり、潜在的な脅威をもたらす個人の生体情報を保持するテロ対策警察の能力が強化される。
This would see officers being able to retain biometric data for as long as an INTERPOL notice is in force, matching this process up with INTERPOL’s own retention rules. The amendments will also ensure that where an individual has a foreign conviction, their biometrics will be able to be retained indefinitely in the same way as is already possible for individuals with UK convictions – this is particularly important where foreign nationals may have existing convictions for serious offences, including terrorist offences. これにより、国際刑事警察機構(INTERPOL)の通達が有効である限り、警察官は生体データを保持することができるようになり、このプロセスはINTERPOL独自の保持規則と一致することになる。この改正はまた、個人が外国で有罪判決を受けた場合、英国で有罪判決を受けた個人と同様に、バイオメトリクスを無期限に保持できるようにするものである。これは、外国人がテロ犯罪を含む重大犯罪の前科を持つ可能性がある場合に特に重要である。
Maintaining the UK’s high standards of data protection is central to both the wider Bill and the proposed amendments which have been laid today. 英国の高水準のデータ保護を維持することは、より広範な法案と、本日提出された修正案の双方にとって重要である。
Secretary of State for Science, Innovation and Technology, Michelle Donelan, said: ミシェル・ドネラン科学・イノベーション・技術担当国務長官は、次のように述べた:
”Britain has seized a key Brexit opportunity – boosting small businesses, protecting consumers and cracking down on criminal enterprises like nuisance calling and benefit fraud. 「英国はブレグジットの重要なチャンスをつかんだ。中小企業を後押しし、消費者を保護し、迷惑電話や給付金詐欺のような犯罪エンタープライズを取り締まる。」
"These changes protect our privacy and data while also injecting common sense into the system - whether it is cracking down on cookies, scrapping pointless paperwork which stifles productivity, tackling benefit fraud or making it easier to protect our citizens from criminals. 「クッキーの取り締まりであれ、生産性を阻害する無意味なペーパーワークの廃止であれ、給付金詐欺への取り組みであれ、犯罪者から市民を守ることを容易にすることであれ、これらの変更は、我々のプライバシーとデータを保護すると同時に、システムに常識を注入するものである。」
"These changes help to establish the UK as a world-leading data economy; one that puts consumers and businesses at the centre and removes the ‘one-size-fits-all’ barriers that have held many British businesses back. 「これらの変更は、英国を世界をリードするデータエコノミーとして確立するのに役立つ。消費者と企業を中心に置き、多くの英国企業の足かせとなってきた "画一的な "障壁を取り除くものである。」
The Bill’s focus is to create an innovative and flexible data protection regime which will maintain the UK’s high standards of data protection, streamline processes for companies, strengthen national security, and support grieving families. Making it easier to use personal data which will improve efficiency, lead to better public services, and enable new innovations across science, innovation, and technology.  法案の焦点は、英国の高いデータ保護標準を維持し、企業のプロセスを合理化し、国家セキュリティを強化し、悲しむ家族を支援する、革新的で柔軟なデータ保護体制を構築することである。個人データの利用を容易にすることで、効率性を改善し、より良い公共サービスを実現し、科学、イノベーション、テクノロジーにおける新たなイノベーションを可能にする。
Secretary of State for Work and Pensions, Mel Stride MP, said: メル・ストライド労働年金担当国務長官は、次のように述べた:
" new powers send a very clear message to benefit fraudsters – we won’t stand for it. These people are taking the taxpayer for a ride and it is right that we do all we can to bring them to justice. 「新たな権限は、給付金詐欺師に対して非常に明確なメッセージを送るものだ。このような輩は納税者を乗っ取っており、彼らを裁くために全力を尽くすことは正しいことだ。」
"These powers will be used proportionately, ensuring claimants’ data is safely protected while rooting out fraudsters at the earliest possible opportunity. 「これらの権力は比例して行使され、不正受給者のデータが安全に保護されることを保証すると同時に、可能な限り早い機会に不正受給者を根絶する。」
Home Secretary, James Cleverly, said: ジェームズ・クレバリー内務大臣は次のように述べた:
"My priority is to continue cutting crime and ensuring the public is protected from security threats. Law enforcement and our security partners must have access to the best possible tools and data, including biometrics, to continue to keep us safe. 「私の最優先事項は、犯罪を削減し続け、国民を安全保障上の脅威から確実に守ることだ。法執行機関と私たちのセキュリティ・パートナーは、私たちの安全を守り続けるために、生体認証を含む最善のツールとデータにアクセスできなければならない。」
"This Bill will improve the efficiency of data protection for our security and policing partners—encouraging better use of personal information and ensuring appropriate safeguards for privacy. 「この法案は、私たちのセキュリティと警察活動のパートナーのために、データ保護の効率を改善し、個人情報のより良い利用を促し、プライバシーのための適切な保護措置を確保するものである。」
The amendments tabled today show the practical steps being taken by the UK government to improve how the nation uses and accesses personal data, capitalising on the UK’s departure from the European Union to introduce measures which will protect the public purse, strengthen national security, and offer important support to grieving families. 本日提出された修正案は、国家が個人データをどのように利用し、アクセスするかを改善するために英国政府がとっている実際的な措置を示すものであり、英国のEU離脱を活かして、財政を保護し、国家安全保障を強化し、悲嘆に暮れる家族に重要な支援を提供する措置を導入するものである。
These amendments will also help the Bill realise its ambition of bulldozing burdens for businesses and removing restrictions for researchers, ensuring new advances in science, innovation, and technology can be fuelled by more practical ways to access data. これらの修正案はまた、企業の負担をブルドーザーで取り除き、研究者の制限をなくすという法案の野望を実現する助けとなり、科学、イノベーション、テクノロジーの新たな進歩が、データへのアクセスのより実用的な方法によって促進されることを保証する。
Further Information 詳細情報
Full list of amendments tabled can be found here. 提出された修正案の全リストはこちらを参照のこと。
These amendments will be considered by the House of Commons at Report next Wednesday (29 November). これらの修正案は、来週水曜日(11月29日)の下院報告会で審議される。
Further information on the Data Protection and Digital Information Bill can be found here. データ保護およびデジタル情報法案に関する詳細はこちらを参照のこと。

 

政府案

英国議会 - 議会 (https://publications.parliament.uk/)

・2023.11.23 [PDF] Data Protection and Digital Information Bill (Amendment Paper) 

20231125-64332

 

議会(法案)

・2023.11.23 Data Protection and Digital Information Bill (Government Bill)

・[PDF] Data Protection and Digital Information Bill 

20231125-65505

 

Data Protection and Digital Information Bill  データ保護およびデジタル情報法案 
CONTENTS  目次 
PART 1 DATA PROTECTION  第1部 データ保護 
Definitions  定義 
1 Information relating to an identifiable living individual  1 識別可能な生存する個人に関する情報 
2 Meaning of research and statistical purposes  2 研究および統計目的の意味 
3 Consent to processing for the purposes of scientific research  3 科学的調査目的の処理に対する同意 
4 Consent to law enforcement processing  4 法執行処理に対する同意 
Data protection principles  データ保護の原則 
5 Lawfulness of processing  5 情報処理の合法性 
6 The purpose limitation  6 目的の制限 
Special categories of personal data  特別カテゴリーの個人データ 
7 Elected representatives responding to requests  7 要求に応じる選挙代理人 
Data subjects’ rights  データ主体の権利 
8 Vexatious or excessive requests by data subjects  8 データ主体による執拗または過剰な要求 
9 Time limits for responding to requests by data subjects  9 データ主体による要求に応じる期限 
10 Information to be provided to data subjects  10 データ当事者に提供されるべき情報 
11 Data subjects’ rights to information: legal professional privilege exemption  11 情報に対するデータ主体の権利:法律専門家特権の免除 
Automated decision-making  自動化された意思決定 
12 Automated decision-making  12 自動的意思決定 
Obligations of controllers and processors  管理者および処理者の義務 
13 General obligations  13 一般的義務 
14 Removal of requirement for representatives for controllers etc outside the UK  14 英国外の管理者等に対する代理人要件の撤廃 
15 Senior responsible individual  15 上級責任者 
16 Duty to keep records  16 記録の保存義務 
17 Logging of law enforcement processing  17 法執行処理の記録 
18 Assessment of high risk processing 18 高リスク処理の評価
19 Consulting the Commissioner prior to processing  19 処理前のコミッショナーへの相談 
20 General processing and codes of conduct  20 一般的な処理と行動規範 
21 Law enforcement processing and codes of conduct  21 法執行処理と行動規範 
22 Obligations of controllers and processors: consequential amendments  22 管理者および処理者の義務:結果的改正 
International transfers of personal data  個人データの国際移転 
23 Transfers of personal data to third countries and international organisations  23 第三国および国際機関への個人データの移転 
Safeguards for processing for research etc purposes  研究等の目的で処理する場合の保護措置 
24 Safeguards for processing for research etc purposes  24 研究等の目的で処理する場合の保護措置 
25 Section 24: consequential provision  25 第24条:結果規定 
National security  国家安全保障 
26 National security exemption  26 国家安全保障の適用除外 
Intelligence services  情報機関 
27 Joint processing by intelligence services and competent authorities  27 情報機関および管轄当局による共同処理 
28 Joint processing: consequential amendments  28 共同処理:結果的修正 
Information Commissioner’s role  情報コミッショナーの役割 
29 Duties of the Commissioner in carrying out functions  29 機能の遂行における情報コミッショナーの義務 
30 Strategic priorities  30 戦略的優先事項 
31 Codes of practice for the processing of personal data  31 個人データ処理に関する実施規範 
32 Codes of practice: panels and impact assessments  32 実施規範:委員会と影響評価 
33 Codes of practice: approval by the Secretary of State  33 実施規範:国務長官の承認 
34 Vexatious or excessive requests made to the Commissioner  34 委員会に対する執拗または過剰な要求 
35 Analysis of performance  35 実績の分析 
Enforcement  施行 
36 Power of the Commissioner to require documents  36 委員会の文書要求権 
37 Power of the Commissioner to require a report  37 報告書を要求する委員会の権限 
38 Interview notices  38 面談通知 
39 Penalty notices  39 違約金通知 
40 Annual report on regulatory action  40 規制措置に関する年次報告 
41 Complaints to controllers  41 管理者に対する苦情 
42 Power of the Commissioner to refuse to act on certain complaints  42 特定の苦情への対応を拒否する権限 
43 Complaints: minor and consequential amendments  43 苦情:小改正および結果的改正 
44 Consequential amendments to the EITSET Regulations  44 EITSET規則の結果的改正 
Protection of prohibitions, restrictions and data subject’s rights  禁止、制限および情報主体の権利の保護 
45 Protection of prohibitions, restrictions and data subject’s rights  45 禁止、制限および情報主体の権利の保護 
Miscellaneous  その他 
46 Regulations under the UK GDPR  46 英国GDPRに基づく規制 
47 Minor amendments  47 軽微な修正 
PART 2 DIGITAL VERIFICATION SERVICES 
第2部 デジタル検証サービス
Introductory  はじめに
48 Introductory  48 はじめに
DVS trust framework  DVS信頼の枠組み 
49 DVS trust framework  49 DVS信頼の枠組み
DVS register  DVS 登録 
50 DVS register  50 DVS登録 
51 Applications for registration  51 登録申請 
52 Fees for registration  52 登録料 
53 Duty to remove person from the DVS register  53 DVS登録から削除する義務 
54 Power to remove person from the DVS register  54 DVS登録から個人を削除する権限 
55 Revising the DVS trust framework: top-up certificates  55 DVS信頼の枠組みの改訂:トップアップ証明書 
Information gateway  情報ゲートウェイ 
56 Power of public authority to disclose information to registered person  56 公的機関が登録者に情報を開示する権限 
57 Information disclosed by the Revenue and Customs  57 税関歳入庁が開示する情報 
58 Information disclosed by the Welsh Revenue Authority  58 Welsh Revenue Authority が開示する情報 
59 Information disclosed by Revenue Scotland  59 Scotland歳入庁が開示する情報 
60 Code of practice about the disclosure of information  60 情報開示に関する実施規範 
Trust mark  トラストマーク 
61 Trust mark for use by registered persons  61 登録者が使用するトラストマーク 
Supplementary  補足 
62 Power of Secretary of State to require information  62 国務長官が情報を要求する権限 
63 Arrangements for third party to exercise functions  63 第三者による機能行使の取り決め 
64 Report on the operation of this Part  64 本編の運用に関する報告 
PART 3 CUSTOMER DATA AND BUSINESS DATA
第3部 顧客データおよび事業データ 
Introductory  はじめに 
65  Customer data and business data  65 顧客データおよび業務データ 
Data regulations  データ規制 
66  Power to make provision in connection with customer data  66 顧客データに関して規定する権限 
67  Customer data: supplementary  67 顧客データ:補足 
68 Power to make provision in connection with business data  68 事業データに関して規定する権限 
69 Business data: supplementary  69 事業データ:補足 
70 Decision-makers  70 意思決定者 
Enforcement  施行 
71 Enforcement of data regulations  71 データ規制の施行 
72 Restrictions on powers of investigation etc  72 調査権限等の制限 
73 Financial penalties  73 罰則 
Fees etc and financial assistance  手数料等および補助金
74 Fees  74 手数料 
75 Levy  75 課徴金 
76 Financial assistance  76 補助金
Supplementary  補足 
77 Restrictions on processing and data protection  77 処理の制限およびデータ保護 
78 Regulations under this Part  78 本編に基づく規制 
79 Duty to review regulations  79 規則を見直す義務 
80 Repeal of provisions relating to supply of customer data  80 顧客データの提供に関する規定の廃止 
81 Interpretation of this Part  81 本編の解釈 
PART 4 OTHER PROVISION ABOUT DIGITAL INFORMATION 
第4部 デジタル情報に関するその他の規定 
Privacy and electronic communications  プライバシーおよび電子通信 
82 The PEC Regulations  82 PEC規則 
83 Storing information in the terminal equipment of a subscriber or user  83 加入者または利用者の端末機器における情報の保存 
84 Unreceived communications  84 未受信の通信 
85 Meaning of “direct marketing”  85 「ダイレクトマーケティング」の意味 
86 Use of electronic mail for direct marketing purposes  86 ダイレクトマーケティング目的の電子メールの使用 
87 Direct marketing for the purposes of democratic engagement  87 民主的関与を目的とするダイレクトマーケティング 
88 Meaning of expressions in section 87  88 第87条における表現の意味 
89 Duty to notify the Commissioner of unlawful direct marketing  89 違法なダイレクト・マーケティングを委員会に通知する義務 
90 Commissioner’s enforcement powers  90 欧州委員会の執行権限 
91 Codes of conduct  91 行動規範 
92 Pre-commencement consultation  92 開始前のコンサルテーション 
Trust services  トラストサービス 
93 The eIDAS Regulation  93 eIDAS規則 
94 Recognition of EU conformity assessment bodies  94 EU適合性評価機関の承認 
95 Removal of recognition of EU standards etc  95 EU規格等の承認の廃止 
96 Recognition of overseas trust products  96 海外の信託商品の承認 
97 Co-operation between supervisory authority and overseas authorities  97 監督当局と海外当局の協力 
Data Protection and Digital Information Bill  v  データ保護・デジタル情報法案 
Sharing of information  情報の共有 
98 Disclosure of information to improve public service delivery to undertakings  98 事業者への公共サービス提供向上のための情報開示 
99 Implementation of law enforcement information-sharing agreements  99 法執行情報共有協定の実施 
100 Meaning of “appropriate national authority”  100 「適切な国家機関」の意味 
Registers of births and deaths  出生・死亡登録 
101 Form in which registers of births and deaths are to be kept  101 出生及び死亡の登録の保管形態 
102 Provision of equipment and facilities by local authorities  102 地方自治体による設備及び施設の提供 
103 Requirements to sign register  103 登録簿への署名要件 
104 Treatment of existing registers and records  104 既存の登録および記録の取り扱い 
105 Minor and consequential amendments  105 軽微かつ結果的な修正 
Information standards for health and social care  医療および社会福祉に関する情報基準 
106 Information standards for health and adult social care in England  106 イングランドにおける保健および成人福祉ケアのための情報基準 
PART 5 REGULATION AND OVERSIGHT  第5部 規制および監督 
Information Commission  情報委員会 
107 The Information Commission  107 情報委員会 
108 Abolition of the office of Information Commissioner  108 情報委員会の廃止 
109 Transfer of functions to the Information Commission  109 情報委員会への機能移転 
110 Transfer of property etc to the Information Commission  110 財産等の情報委員会への移管 
Oversight of biometric data  バイオメトリックデータの監視 
111 Oversight of retention and use of biometric material  111 バイオメトリック資料の保持と使用の監督 
112 Removal of provision for regulation of CCTV etc  112 CCTV等の規制に関する規定の削除 
113 Oversight of biometrics databases  113 バイオメトリクス・データベースの監視 
PART 6 FINAL PROVISIONS 
第6部 最終規定 
114 Power to make consequential amendments  114 結果的修正を行う権限 
115 Regulations  115 規則 
116 Interpretation  116 解釈 
117 Financial provision  117 財務規定 
118 Extent  118 範囲 
119 Commencement  119 開始 
120 Transitional, transitory and saving provision  120 経過的、一時的および保存的規定 
121 Short title  121 短称 
   
Schedule 1 —  Lawfulness of processing: recognised legitimate interests  別表1 - 処理の適法性:認識された正当な利益 
Schedule 2 —  Purpose limitation: processing to be treated as compatible with original purpose  別表2 - 目的の制限:当初の目的に適合するものとして取り扱われるべき処理 
Schedule 3 —  Automated decision-making: consequential amendments  別表3 - 自動意思決定:結果的修正 
Schedule 4 —  Obligations of controllers and processors: consequential amendments  別表4 - 管理者および処理者の義務:結果的修正 
Schedule 5 —  Transfers of personal data to third countries etc: general processing  別表5 - 「個人データの第三国等への移転:一般的な処理 
Schedule 6 —  Transfers of personal data to third countries etc: law enforcement processing  別表6 - 第三国等への個人データの移転:法執行処理 
Schedule 7 —  Transfers of personal data to third countries etc: consequential and transitional provision  別表7 - 第三国等への個人データの移転:結果的および経過的規定 
Part 1 —  Consequential provision  第1部 - 結果的規定 
Part 2 —  Transitional provision  第2部 - 経過規定 
Schedule 8 —  Complaints: minor and consequential amendments  別表8 - 苦情処理:小修正および結果的修正 
Schedule 9 —  Data protection: minor amendments  別表9 - データ保護:若干の修正 
Schedule 10 —  Privacy and electronic communications: Commissioner’s enforcement powers  別表10 - プライバシーおよび電子通信 コミッショナーの執行権限 
Schedule 11 —  Registers of births and deaths: minor and consequential amendments  別表11 - 出生および死亡の登録簿:小修正および結果的修正 
Part 1 —  Amendments of the Births and Deaths Registration Act 1953  第1部 - 1953年出生・死亡登録法の改正 
Part 2 —  Amendments of other legislation  第2部 - その他の法律の改正 
Schedule 12 —  Information standards for health and adult social care in England  別表12 - イングランドにおける医療および成人社会ケアの情報基準 
Schedule 13 —  The Information Commission  別表13 - 情報委員会 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.11.02 英国 AI安全サミット出席国によるブレッチリー宣言

 

・2023.09.20 英国 ICO 子供を守るための情報共有のための10ステップガイド (2023.09.14)

 

・2023.06.28 英国 ICO 金融、医療、研究、中央・地方政府で大規模な個人データセットを使用しているデータ保護担当者などを対象とした新しいPETsガイダンスを作成 (2023.06.19)

・2023.05.23 英国 NCSCとICOの共同ブログ サイバーインシデント報告...

・2023.04.05 英国 ICO ブログ 生成的人工知能:開発者とユーザーが問うべき8つの質問...

・2023.04.01 英国 意見募集 AI規制白書

・2023.03.27 英国 ICO 「チルドレンズ・コード」の文脈における「アクセスされる可能性が高い」についてのガイダンスとその影響評価についての意見募集

・2023.03.20 英国 イノベーションを促進する技術規制の見直し:デジタルテクノロジー

 

・2023.03.15 英国 英国版GDPR新版の審議始まる (2023.03.08)

 

・2023.02.19 英国 情報コミッショナー事務局 (ICO) がゲーム開発者向けに、子どもの保護に関する業界向けのガイダンスを発行

・2022.12.14 英国 デジタル・文化・メディア・スポーツ省 アプリストア運営者及びアプリ開発者のための実践規範

・2022.11.06 英国 データ倫理・イノベーションセンター データおよびAIに対する国民の意識:トラッカー調査(第2回)

・2022.10.29 英国 ICO 雇用慣行とデータ保護:労働者の健康情報案に関するコンサルテーション (2022.10.27)

 

・2022.10.29 英国 ICO 雇用慣行:職場における監視ガイダンスと影響評価案に関するコンサルテーション (2022.10.12)

 

・2022.10.28 英国 ICO 未熟なバイオメトリクス技術は人を差別する可能性がある「バイオメトリクス洞察レポート」「バイオメトリクス予見レポート」

・2022.09.11 英国 ICO プライバシー強化技術に関するガイダンス案を発表

・2022.07.18 英国 情報コミッショナー 新しい戦略計画案 ICO25 を公表し、意見募集をしていますね。。。

・2022.06.15 英国 健康分野のデータ戦略

・2022.05.30 英国 情報コミッショナー 顔認識データベース会社Clearview AI Incに750万ポンド以上の罰金を科し、英国人のデータの削除を命じた

・2022.05.10 英国 意見募集 消費者保護のためにアプリストアへの政府の介入は必要か (2022.05.04)

・2022.01.28 英国 デジタル・文化・メディア・スポーツ省 サイバーセキュリティ長期調査:第1回

・2022.01.26 英国 世界最高レベルのデータ専門家(Google, IBM, Microsoftのメンバーを含む)による国際的なデータ転送に関する政府協議会を設立

・2022.01.19 英国 デジタル・文化・メディア・スポーツ省 ガイダンス:就労権、賃借権、犯罪歴確認のためのデジタルID認証

・2021.12.19 英国 AIバロメータ21 公表

 

・2021.11.27 英国 情報コミッショナーの意見:オンライン広告の提案に対するデータ保護とプライバシーの期待

 

・2021.11.05 英国 デジタル・文化・メディア・スポーツ省の提案に対する、バイオメトリックスコミッショナーおよび監視カメラコミッショナーであるフィッシャー氏の回答

 

・2021.10.28 英国 データ保護局 (ICO) ビデオ会議事業者に期待されるグローバルなプライバシーに関する共同声明

・2021.10.16 英国 ICO(データ保護局)意見募集 「ジャーナリズムの実践規範」案

・2021.09.22 英国 ICO(データ保護局)がデータフローに関するG7会議を開催した理由

・2021.09.17 G7データ保護・プライバシー機関ラウンドテーブル 2021.09

 

・2021.09.07 英国 データ保護局 (ICO) のブログ Cookie承諾の茶番はやめて、そろそろ真面目に考えようとG7の個人データ・プライバシー関連当局に呼びかける...

 

・2021.08.20 英国 意見募集 監視カメラ実施規範改訂案 by 監視カメラコミッショナー at 2021.08.13

 

・2021.07.09 英国 データ保護局 (ICO) 年次報告書を公開していますね。。。


・2021.06.20 英国 情報コミッショナー 公共の場でのライブ顔認識技術の使用に関するプライバシーの懸念

 

・2021.02.17 英国 デジタルID・属性のフレームワーク案の意見募集

・2020.11.03 英国 Information Commissioner's Office (ICO)による罰金

 

・2020.09.13 英国 データ保護委員会 アカウンタビリティ フレームワーク

・2020.05.08 UK-ICO NHSXのコンタクト・トレース・アプリ試用版のデータ保護影響評価に関するメディアからの問い合わせへの声明

・2020.05.05 UK ICO COVID-19 コンタクト・トレーシング:アプリ開発におけるデータ保護の期待

・2020.05.02 英国 NHSX(国民保健サービス・デジタル)はドイツ等と異なりApple-Google APIを使用せず集中管理方式の連絡先追跡システムにする?

 

| | Comments (0)

防衛省 防衛研究所 中国安全保障レポート2024 -中国、ロシア、米国が織りなす新たな戦略環境-

こんにちは、丸山満彦です。

防衛省 防衛研究所が 中国安全保障レポート2024 -中国、ロシア、米国が織りなす新たな戦略環境- を公表していますね。。。

日本語版のみならず、英語版中国語版もあります。。。

 

防衛省 防衛研究所

・2023.11.24 中国安全保障レポート2024

・中国安全保障レポート2024 -中国、ロシア、米国が織りなす新たな戦略環境- 本文·(紙·奥付

20231125-15721

 

目次... 

中国安全保障レポート2024

目次
要約
略語表

序章

第 1 章  既存秩序の変革を目指す中国の戦略
はじめに
1
 協調から対抗へ転換した中国の対米政策
(1)冷戦後の国際秩序に協調姿勢で適応
(2)対米対抗と既存秩序の変革に向けた動き

2
 国際秩序をめぐってロシアとの連携を強める中国
(1)ライバルからパートナーへの転換
(2)既存秩序の変革に向けた協力の深化

3
 米国への軍事的対抗姿勢を強める中国
(1)軍事における対米対抗とロシアとの連携強化
(2)対米抑止力の強化を目指した核戦力の増強

おわりに

第 2 章  ロシア・ウクライナ戦争とプーチン体制の生存戦略
はじめに
1
 プーチン体制の生存戦略
(1) 2020 年憲法改革と「インナー・サークル」の生存戦略
(2)プーチン体制と個人支配化をめぐる議論

2
 ウクライナ戦争下におけるプーチン体制の変容と生存戦略としての対外政策
(1)体制変容のダイナミズム
(2)新たな「対外政策概念」と「狭小な国家グループ」への挑戦
(3)軍事・原子力・北極海における中露の体制間協力
(4)ロシアと「グローバル・サウス」

おわりに

第 3 章  国際秩序の維持に向けた米国の軍事戦略
はじめに
1
 中国、ロシアに対する脅威認識の高まり
(1) 大国間競争の再来
(2)戦略的競争において浮上する 3 つの軍事的課題

2
 新たな軍事的課題に対する米軍の取り組み
(1) 作戦行動に対する認識の変化
(2)将来戦に関する取り組み

3
 将来的な核戦力バランスの変化
(1) 「同格の二大核保有国」問題の浮上
(2)バイデン政権の対応

おわりに

終章



 


要約

第1章 既存秩序の変革を目指す中国の戦略

冷戦終結直後の中国は、米国を共産党に対する脅威と見ており、米国との対立を避けつつ協力を推進することで対米関係の安定化を図った。米国が主導する冷戦後の国際秩序についても基本的に受け入れ、協調を主軸とした国際秩序戦略を推進した。ところが2000年代終わりごろから、西側諸国のパワーが低下し、発展途上国のパワーが増大しているとの情勢認識に至った共産党政権は、既存の国際秩序について力を背景に「核心的利益」を確保することを可能とするとともに、中国共産党による支配体制が脅威にさらされない方向への変革を目指すようになった。

習近平政権は、米国に中国の「核心的利益」を尊重し、中国を対等に扱う「新型大国関係」を受け入れるよう要求した。同時に、普遍的価値とルールに基づいた既存の国際秩序を明確に拒否し、中国を中心とした発展途上国がより大きな発言力を持つ「新型国際関係」と「人類運命共同体」を新たな国際秩序のモデルとして推進するようになった。その中国にとって、ロシアは望ましい国際秩序を共有する重要なパートナーである。国際秩序をめぐる米国や西側諸国との競争において、中国とロシアは相互の支持と協力を強化している。

米国に対抗し、米軍が主導してきた東アジアの安全保障秩序の変革を目指して、中国はA2/AD能力を中心とした軍事力の強化を進めている。中国は周辺地域において、米軍の行動を物理的に妨害するとともに、ロシア軍との共同訓練や連携した行動を強化している。中国は核戦力も急速に強化しており、これは将来の核をめぐる安全保障秩序における中国の発言力を高めるとともに、中国の「核心的利益」に関わる紛争に対して、米国が軍事的に関与するハードルを高めることになるだろう。今後中国は、核を含む軍事力を強化しつつ、望ましい国際秩序を共有するロシアとの戦略的協力を深化させることで、既存の国際秩序の改変を進めていくことになると思われる。

第2章 ロシア・ウクライナ戦争とプーチン体制の生存戦略

2022224日、プーチン体制は、ウクライナへの全面的な軍事侵攻に踏み切り、米欧諸国による厳しい経済制裁と広く国際的な信用の失墜を招いた。既存の国際秩序に対する挑戦者となったプーチン体制の秩序観には、G7諸国が志向する国際秩序への強い対抗意識があり、この点は20233月に改訂された「ロシア連邦対外政策概念」の中で強調されている。こうした対抗意識の根底には、冷戦後国際秩序の再編プロセスに対する不満の蓄積がある。また、プーチン体制には、ロシアの伝統的な精神・道徳的価値観や独自の歴史観を偏重する態度、さらには多様性や包摂性に代表される米欧のリベラルな価値観や市民社会の在り方への嫌悪感が観察要約序章第1章第2章第3章終章4される。特に近年、それらは政治体制の個人支配化の進展とも相まって、プーチン体制の国内的な体制の生存戦略として増幅される傾向にあった。

こうした秩序観は、現代ロシア政治・外交史の多様な文脈の中で生成されたものであるが、その1つとして、市民的自由の制約や立憲主義の不在、個人支配化に象徴されるロシア内政動向との連関も指摘できよう。同じく政治体制として個人支配化の様相を強める中国の習近平体制との親和性は高まる傾向にあり、第2次ロシア・ウクライナ戦争に伴うロシアの対中依存の深まりも影響して、中露の体制間協力は、プーチン体制の対外的な生存戦略として位置付けられている。中露関係は、軍事・原子力・北極圏開発といった政策分野で着実に深まりつつある。

さらに戦時下のプーチン体制は、インドやトルコをはじめとするグローバル・サウスと呼ばれる新興国・途上国との連携強化を目指しており、上海協力機構(SCO)やBRICS加盟国、中東・アフリカ諸国など、政治体制の観点から親和性の高い国々への外交的・軍事的アプローチが積極的に行われている。

第3章 国際秩序の維持に向けた米国の軍事戦略

バイデン政権が最大の挑戦としてとらえているのが中国である。NSS2022は、中国が「米国にとって最も重大な地政学的挑戦」であるとして、中国との競争に打ち勝つという方針を示した。軍事的観点からも、バイデン政権は中国を焦点としており、同国が主要な地域を支配するのを阻止することを最優先課題とした戦略を打ち出している。中国との軍事・外交分野における競争は、経済分野にも波及している。

ロシアに対しては、2014年以降継続しているウクライナへの侵略だけでなく、主要な地域における重大で継続したリスクを突き付ける「深刻な脅威」であるという認識を示している。バイデン政権は、ウクライナ侵略がロシアにとって「戦略的失敗」となることを政策目標として、北大西洋条約機構(NATO)をはじめとする同盟国やパートナー国と連携しながら、ウクライナに対する圧倒的な規模での安全保障支援を行う一方で、ロシアに対して経済制裁を科している。

中露との競争を優位に進めるうえで、米国が直面している軍事的課題とは、武力紛争に至らない段階における活動、米軍の戦力投射・作戦行動、キルチェーンに対する脅威、将来的な核戦力バランスの変化、である。第1の課題に対して米軍は、「航行の自由作戦」や情報・サイバー空間での作戦行動に加え、あらゆる段階で米軍が一定の活動を行うことを示した「競争連続体モデル」という新たな概念枠組みを形成して対応している。第2の軍事的課題であるA2/ADおよび米軍のキルチェーンに対する脅威に関して、米軍は新たなコンセプトの開発を継続させている。第3の、米国と同等の核戦力を保有する中国とロシアに同時に対峙するという、将来的な「同格の二大核保有国」問題に対して、バイデン政権は米国の抑止力の強化と軍備管理による核使用リスクの低減に取り組む姿勢を示している。

バイデン政権は、今後の10年間の取り組みが将来的な国際秩序の姿を左右すると認識しており、中国との競争を優位に進め、ロシアの脅威を抑制することを目標として、積極的に取り組む姿勢を強めている。国際秩序をめぐる中国やロシアとの競争は、今後も継続し激しさを増していくであろう。

終章

ロシアで急激な政治変動が生じない限り、今後10年程度の見通し得る将来において、国際秩序をめぐる米国と中露の対立は加速し、グローバル・サウスも巻き込みながら、米国を中心とした既存秩序の現状維持勢力と、中露を中心とした現状変更勢力の間の対立へと拡大していくだろう。双方が共に競争力を高めていくものと思われるため、帰趨はすぐには決まらず、対立は緊張の度を高めながら長期にわたって続くだろう。今後は偶発的な衝突や予期しないエスカレーションといった不安定要因の顕在化を防止するために、いかに競争を管理していくのかが双方に問われることになる。他方で、より長期的な観点に立った場合、ロシアによるウクライナ侵攻が国際秩序の変更に至る見込みは極めて小さい。一方で中国は、南シナ海や台湾海峡などで現状変更の既成事実を積み重ねている。今後、このような中国の力による一方的な現状変更を防止できるか否かが、国際秩序をめぐる競争の行方を決定づける最も重要な要因であるといえよう。

 


 

 

年度 副題 テーマ
2024


中国、ロシア、米国が織りなす新たな戦略環境


1 既存秩序の変革を目指す中国の戦略
2 ロシア・ウクライナ戦争とプーチン体制の生存戦略
3 国際秩序の維持に向けた米国の軍事戦略
2023


認知領域とグレーゾーン事態の掌握を目指す中国


1 中国の軍事組織再編と非軍事的手段の強化
2 活発化する中国の影響力工作
3 海上で展開される中国のグレーゾーン事態
2022


統合作戦能力の深化を目指す中国人民解放軍
1 中国人民解放軍の統合作戦構想の変遷
2 改編された中国人民解放軍の統合作戦体制
3 軍改革における統合作戦訓練・人材育成体制の発展と党軍関係強化の模索
2021 新時代における中国の軍事戦略 1 情報化戦争の準備を進める中国
2 中国のサイバー戦略
3 中国における宇宙の軍事利用
4 中国の軍民融合発展戦略
2020 ユーラシアに向かう中国 1 中国のユーラシア外交
2 中央アジア・ロシアから見た中国の影響力拡大
3 ユーラシアにおけるエネルギー・アーキテクチャ
2019 アジアの秩序をめぐる戦略とその波紋 1 既存秩序と摩擦を起こす中国の対外戦略
2 中国による地域秩序形成とASEANの対応 ――「台頭」から「中心」へ
3 「一帯一路」と南アジア――不透明さを増す中印関係
4 太平洋島嶼国 ――「一帯一路」の南端
2018 岐路に立つ米中関係 1 中国の対米政策
2 米国の対中政策
3 地域における米中関係の争点
2017 変容を続ける中台関係 1 中国の台湾政策の変遷
2 台湾から見た中台関係
3 米国にとっての台湾問題
4 中台関係の変容と「現状維持」
2016 拡大する人民解放軍の活動範囲とその戦略 1 遠海での作戦能力強化を図る中国海軍
2 空軍の戦略的概念の転換と能力の増大
3 ミサイル戦力の拡充
4 統合的な作戦能力の強化
2014 多様化する人民解放軍・人民武装警察部隊の役割 1 中央国家安全委員会創設とその背景
2 人民武装警察部隊の歴史と将来像
3 人民解放軍による災害救援活動
4 軍事外交としての国連平和維持活動
5 ソマリア沖・アデン湾における海賊対処活動
2013   1 中国の対外危機管理体制
2 中国の危機管理概念
3 危機の中の対外対応
2012   1 「党軍」としての性格を堅持する人民解放軍
2 深化する軍と政府の政策調整
3 軍と政府が連携を深める安全保証政策
4 政策調整の制度化を求める人民解放軍
2011   1 海洋に向かう中国
2 南シナ海で摩擦を起こす中国
3 外洋に進出する中国海軍
4 対外園で発言力を増す人民解放軍
創刊号   1 中国の対外姿勢
2 拡大する活動範囲
3 役割を増す軍事外交
4 進む装備の近代化

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.11.28 防衛省 防衛研究所 中国安全保障レポート2023 ― 認知領域とグレーゾーン事態の掌握を目指す中国 ―

・2021.11.28 防衛省 防衛研究所 中国安全保障レポート2022 ― 統合作戦能力の深化を目指す中国人民解放軍 ―

・2020.11.14 防衛省 防衛研究所 「中国安全保障レポート2021 ― 新時代における中国の軍事戦略 ―」は中国のサイバー戦略についての章がありますね

| | Comments (0)

2023.11.24

証券監督者国際機構(IOSCO)「暗号資産・デジタル資産に関する勧告 最終報告書 (2023.11.16)

こんにちは、丸山満彦です。

証券監督者国際機構(IOSCO)「暗号資産・デジタル資産に関する勧告 最終報告書を公表していますね。。。

 

International Organization of Securities Commissions: IOSCO

プレス

・2023.11.16 [PDF] IOSCO Finalizes its Policy Recommendations for Crypto and Digital Asset Markets

報告書

・2023.11.16 [PDF] Policy Recommendations for Crypto and Digital Asset Markets - Final Report

20231124-132757

・[DOCX] 仮訳

 

 

目次...

  EXECUTIVE SUMMARY  要旨 
  INTRODUCTION  序文 
1 OVERARCHING RECOMMENDATION ADDRESSED TO ALL REGULATORS  すべての規制当局に向けた包括的勧告 
  Preamble: Intent of the Recommendations   前文 提言の意図  
Recommendation 1 – Common Standards of Regulatory Outcomes  勧告1 - 規制成果の共通標準 
2 RECOMMENDATIONS ON GOVERNANCE AND  DISCLOSURE  OF CONFLICTS  ガバナンスとコンフリクトの開示に関する提言 
  Recommendation 2 – Organizational Governance  勧告2 - 組織ガバナンス 
Recommendation 3 – Disclosure of Role, Capacity and Trading conflicts  勧告 3 - 役割、能力および取引上のコンフリクトの開示 
3 RECOMMENDATIONS ON ORDER HANDLING AND TRADE DISCLOSURES (TRADING INTERMEDIARIES VS MARKET OPERATORS) 注文処理と取引の開示に関する勧告(取引仲介業者と市場運営者の比較)
  Recommendation 4 – Order Handling  勧告4 - 注文処理 
Recommendation 5 – Trade Disclosures  勧告5 - 取引の開示 
4 RECOMMENDATIONS IN RELATION TO LISTING OF CRYPTO-ASSETS AND CERTAIN PRIMARY MARKET ACTIVITIES   暗号資産の上場および特定のプライマリーマーケット活動に関する勧告  
  Recommendation 6 – Admission to Trading  勧告6 - 取引への参加許可 
Recommendation 7 – Management of Primary Markets Conflicts  勧告7 - プライマリーマーケットにおけるコンフリクトの管理 
5 RECOMMENDATIONS TO ADDRESS ABUSIVE BEHAVIORS    濫用的行為に対処するための勧告   
  Recommendation 8 – Fraud and Market Abuse  勧告8 - 不正行為と市場濫用 
Recommendation 9 – Market Surveillance  勧告9 - 市場サーベイランス 
Recommendation 10 – Management of Material Non-Public Information  勧告10 - 重要な未公開情報の管理 
6 RECOMMENDATION ON CROSS-BORDER CO-OPERATION  国境を越えた協力に関する勧告 
  Recommendation 11 – Enhanced Regulatory Co-operation  勧告11-規制協力の強化 
7 RECOMMENDATIONS ON CUSTODY OF CLIENT MONIES AND ASSETS   顧客の金銭および資産の保管に関する勧告  
 
 
Recommendation 12 – Overarching Custody Recommendation  勧告12 - 包括的なカストディに関する勧告 
Recommendation 13 – Segregation and Handling of Client Monies and Assets  勧告13 - 顧客の金銭および資産の分別管理および取扱い 
Recommendation 14 – Disclosure of Custody and Safekeeping Arrangements  勧告14 - カストディおよび保管の取り決めの開示 
Recommendation 15 – Client Asset Reconciliation and Independent Assurance  勧告15 - 顧客資産の照合および独立した保証 
Recommendation 16 – Securing Client Money and Assets  勧告16 - 顧客の金銭および資産の保護 
8 RECOMMENDATION TO ADDRESS  OPERATIONAL AND TECHNOLOGICAL RISKS  運用リスクおよび技術的リスクに対処するための勧告
  Recommendation 17 – Management and disclosure of Operational and Technological Risks  勧告17 - オペレーショナルリスクおよびテクノロジーリスクのマネジメントと開示 
9 RECOMMENDATION FOR RETAIL DISTRIBUTION  リテール販売に関する勧告 
  Recommendation 18 – Retail Client Appropriateness and Disclosure  勧告18 - リテール顧客の適正性と開示 
     
Annex A  Glossary of Relevant Terms and Definitions  関連用語集および定義 
Annex B  Feedback Statement  フィードバック・ステートメント 
Annex C  Overview of Stablecoins, their Roles and Uses in Crypto-Asset Markets   ステーブルコインの概要、暗号資産市場における役割と用途  

 

 


 

金融庁

・2023.11.22 証券監督者国際機構(IOSCO)による最終報告書 「暗号資産・デジタル資産に関する勧告」の公表について

 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.07.18 金融安定理事会 (FSB) 暗号資産とステーブルコインに関するグローバルな規制枠組みを最終決定

 

 

| | Comments (0)

四半期報告書が廃止されますね。。。

こんにちは、丸山満彦です。

「金融商品取引法等の一部を改正する法律」が 2023 年 11 月 20 日に成立しましたね。。。

今回の改正では、四半期開示の見直しがなされており、2024 年 4 月 1 日以後に開始する四半期から四半期報告書が廃止され、半期報告書の提出が義務付けられるとともに、四半期開示については、原則として、東京証券取引所の規則に基づく四半期決算短信に一本化されることとなりますね。。。

2006年の金商法の改正で金融のグローバル市場を見据えたルール統一を図る方向から四半期報告書を導入することになったわけですが、英国、フランス、ドイツも半期報告制度、中国もそうですしね。。。日本も。。。ということなのでしょうかね。。。

費用対効果という意味であれば、提出会社(いわゆる親会社単体)の情報は不要でしょうね。。。

 

 

日本取引所グループ

・2023.11.22 四半期開示の見直しに関する実務の方針」の公表について

 ・[PDF] 四半期開示の見直しに関する実務の方針

20231124-125735

 

日本公認会計士協会

 ・[PDF] 四半期開示制度の見直しに関する対応について(お知らせ)

 

 

 

| | Comments (0)

世界経済フォーラム (WEF) 産業用環境におけるサイバー・レジリエンスを明らかにする: 5つの原則

こんにちは、丸山満彦です。

世界経済フォーラム (WEF)が、産業用環境におけるサイバー・レジリエンスを明らかにする: 5つの原則という報告書を公表していますね。。。

産業用システムのセキュリティについては、そのシステムの所管部門が責任をもってセキュリティ対策をすることが重要なわけですが、それをIT部門も技術的な面ではサポートし、経営者が組織全体として最適な運用ができるように設計することが重要ですよね・・・

一番の近道は制御システム等を管理している人がセキュリティを正しく理解することですね。。。

 

ちなみに、この言葉は一般的にあてはまることですが、その通りだと思いました。

Be careful about vendor selection and question the “silver bullet” of the product offering.ベンダーの選択には注意し、製品提供の「銀の弾丸」を疑うこと。

 

World Economic Forum - Report

・2023.11.23 Unlocking Cyber Resilience in Industrial Environments: Five Principles

Unlocking Cyber Resilience in Industrial Environments: Five Principles 産業用環境におけるサイバー・レジリエンスを明らかにする: 5つの原則
This paper provides guidelines to ensure cybersecurity in the operational technology (OT) environment, at a time of increasing digitalization and convergence of the OT and IT (information technology) environments. 本稿は、デジタル化が進み、OT(情報技術)環境とIT(情報技術)環境の融合が進む現在、OT(運用技術)環境におけるサイバーセキュリティを確保するためのガイドラインを提供するものである。
Ensuring OT cybersecurity is fundamental for the continuation of industrial operations, which are essential for keeping global economies and infrastructures running. To this end, the World Economic Forum, in collaboration with partners from the electricity, manufacturing, and oil and gas industries, has developed a list of guiding principles and a set of best practices. These can help cyber leaders safeguard, maintain and monitor their industrial OT environment as well as ensure business continuity. While many organizations may already have some measures in place to ensure a cyber resilient OT environment, shared guidance can help manage cyber risks at the ecosystem level to increase systemic resilience. OTのサイバーセキュリティを確保することは、世界経済とインフラを維持するために不可欠な産業オペレーションを継続するための基本である。この目的のため、世界経済フォーラムは、電力、製造、石油・ガス業界のパートナーと協力して、指導原則とベストプラクティスのリストを作成した。これらは、サイバーリーダーがビジネス継続性を確保するだけでなく、産業用OT環境を保護、維持、監視するのに役立つ。多くの組織では、サイバーレジリエンスを確保するための OT 環境対策がすでに実施されているかもしれないが、ガイダンスを共有することで、エコシステム・レベルでのサイバーリスク管理を支援し、システムレジリエンスを高めることができる。

 

・[PDF]

20231124-62921

 

目次...

Executive summary  要旨 
Introduction  序文 
1 Guiding principles for cyber resilient OT environments  1 サイバーレジリエンス OT 環境のための指針原則 
2 Actionable approaches to implementing OT cybersecurity principles  2 OTサイバーセキュリティ原則を実施するための実行可能なアプローチ 
3 Monitoring the implementation of OT cybersecurity principles  3 OTサイバーセキュリティ原則の実施を監視する 
4 Enabling innovation in OT  4 OTにおけるイノベーションを可能にする 
Conclusion  結論 
Contributors  協力者
Endnotes 注釈

 

Executive summary  要旨 
The digitalization and connectedness of industrial environments is opening up business opportunities and enhancing operational efficiency. At the same time, it exposes organizations to cyberattacks that can offset these gains.  ビジネス環境のデジタル化とコネクテッド化は、ビジネスチャンスを広げ、業務効率を向上させている。その一方で、このような利益を帳消しにするサイバー攻撃に組織がさらされる可能性もある。
Today’s industrial environment consists of operational technologies (OT) which, according to some sources, are largely outdated.1 They have interoperability and connectivity limitations, and weak or no security management capabilities and procedures.2  今日の産業環境は運用技術(OT)で構成されているが、ある情報源によれば、その大部分は時代遅れである1。相互運用性と接続性に制約があり、セキュリティ管理能力と手順が弱いか、まったくない2。
The increased convergence of OT with the traditional IT environment is leading to an increase in inherent vulnerabilities, which are doubling every year.3  OTと従来のIT環境との融合が進むにつれて、固有の脆弱性が増加しており、その数は毎年倍増している3。
The OT environment is fundamental for ensuring the continuation of industrial operations that keep global economies and infrastructures running. To improve OT environment security, the World Economic Forum in collaboration with partners from the electricity, manufacturing, and oil and gas industries, has developed a list of guiding principles. Combined with a set of best practices, these aim to help cyber leaders ensure a cyber resilient OT environment for uninterrupted and efficient business operations.  OT 環境は、世界経済とインフラを維持する産業運営の継続を確保するための基本である。OT環境のセキュリティを改善するため、世界経済フォーラムは、電力、製造、石油・ガス業界のパートナーとの協力のもと、指導原則のリストを作成した。ベストプラクティスと組み合わせることで、サイバーリーダーが、中断のない効率的なビジネス運営のために、サイバーレジリエンスに優れたOT環境を確保できるようにすることを目的としている。
Principle 1: Perform comprehensive risk management of the OT environment.  原則1:OT環境の包括的なリスクマネジメントを行う。
Principle 2: Ensure OT engineers and operators of installations have responsibility for OT cybersecurity.  原則 2: OT エンジニアと設備のオペレータが OT サイバーセキュリティに責任を持つようにする。
Principle 3: Align with top organizational leadership, strategic planning teams and third parties to make security-by-design a reality.  原則 3: セキュリティ・バイ・デザインを実現するために、組織のトップリーダー、戦略立案チーム、サードパーティと連携する。
Principle 4: Make cybersecurity standards and best practices contractually enforceable on partners and vendors to build a cybersecure OT environment.  原則 4:サイバーセキュリティの標準とベストプラクティスをパートナーやベンダーに契約上強制できるようにし、サイバーセキュアな OT 環境を構築する。
Principle 5: Run joint tabletop exercises to ensure preparedness in case of an actual incident.  原則 5: 実際のインシデントに備えて合同机上演習を実施する。
These principles and best practices can help organizations safeguard, maintain and monitor their industrial OT environment as well as ensure business continuity. While many organizations may already have some measures in place to ensure a cyber resilient OT environment, shared guidance can help manage cyber risks at the ecosystem level to increase systemic resilience. これらの原則とベストプラクティスは、組織がビジネス継続性を確保するだけでなく、産業用 OT 環境を保護、維持、監視するのに役立つ。多くの組織は、サイバーレジリエンスに優れた OT 環境を確保するための対策をすでに講じているかもしれないが、ガイダンスを共有することで、エコシステム・レベルでのサイバーリスクマネジメントを支援し、システムレジリエンスを高めることができる。
Introduction  序文 
Why does OT cybersecurity matter?  なぜ OT サイバーセキュリティが重要なのか?
The industrial infrastructure and operations landscapes are undergoing a profound transformation due to technological innovation. A growing convergence of information technology (IT) and operational technology (OT) is driven by the rapid adoption of cutting-edge technologies like big data, digital twins and the industrial internet of things (IIoT). These two domains are expected to become increasingly intricate and interconnected over time. This inexorable shift is exemplified, in part, by the projected IIoT market growth,4 which is expected to surge from approximately $85.5 billion in 2023 to nearly $169.6 billion by 2028.  技術革新により、産業インフラとオペレーション環境は大きな変貌を遂げつつある。ビッグデータ、デジタル・ツイン、モノのインターネット(IIoT)などの最先端技術の急速な導入により、情報技術(IT)と運用技術(OT)の融合が進んでいる。これら2つの領域は、時間の経過とともにますます複雑になり、相互接続が進むと予想される。この避けられないシフトは、2023年の約855億ドルから2028年には約1696億ドルに急増すると予測されているIIoT市場の成長予測4が、その一端を例証している。
What is the difference between IT and OT?  ITとOTの違いは何か?
Information technology refers to technologies including computers and networks that store, process and transmit information, while operational technology encompasses industrial control systems (ICS) that operate, control and monitor industrial equipment and processes.  情報技術とは、情報を保存、処理、伝送するコンピューターやネットワークなどの技術を指し、運用技術には、産業機器やプロセスを操作、制御、監視する産業用制御システム(ICS)が含まれる。
The growing synergy between IT and OT, commonly referred to as IT/OT convergence, presents numerous opportunities for industrial organizations. These include remote control; real-time monitoring; enhanced visibility of machinery, plants and assets; simplification of anomaly detection; improved operational efficiency and productivity; and faster decision-making processes.  一般にIT/OTコンバージェンスと呼ばれるITとOTの相乗効果の高まりは、産業組織に数多くの機会をもたらしている。これには、遠隔制御、リアルタイム監視、機械、プラント、資産の可視性の向上、異常検知の簡素化、業務効率と生産性の向上、意思決定プロセスの迅速化などが含まれる。
However, this newfound connectivity between OT devices and IT networks also expands the cyber risk landscape, introducing both intentional and unintentional cybersecurity threats. Traditionally, the OT environment remained “air-gapped,” meaning it was not connected to the internet, and external hardware and removable media (e.g. USB drives) were the primary cybersecurity concerns. As these two environments merge, cybersecurity breaches can infiltrate from IT to OT through means such as internet malware infection and unauthorized access via mobile devices.  しかし、OT機器とITネットワーク間のこの新たな接続性は、意図的・非意図的なサイバーセキュリティ脅威を導入し、サイバーリスクの状況を拡大する。従来、OT環境は「エアギャップ」、つまりインターネットに接続されておらず、外部ハードウェアやリムーバブル・メディア(USBドライブなど)がサイバーセキュリティ上の主な懸念事項だった。これら2つの環境が融合するにつれ、サイバーセキュリティ侵害は、インターネット・マルウェア感染やモバイル・デバイス経由の不正アクセスなどの手段を通じて、ITからOTに侵入する可能性がある。
Today, OT environments, in large part, rely on legacy technologies built to perform specific tasks and operating on specialized software and proprietary protocols. Often designed without cybersecurity in mind, many of these legacy systems have been produced by now-defunct manufacturers whose software updates are infrequent and difficult to implement, ultimately leaving them exposed to security threats. In fact, a recent study by Microsoft found that 75% of industrial control devices are unpatched and feature high-severity vulnerabilities.5 Other threat factors include improper network segmentation – which, according to Dragos, happens to be the case for 50% of organizations6 – or poor remote-access practices.  今日、OT環境の大部分は、特定のタスクを実行するために構築され、特殊なソフトウェアや独自のプロトコルで動作するレガシー・テクノロジーに依存している。これらのレガシーシステムの多くは、サイバーセキュリティを考慮せずに設計されていることが多く、今はなきメーカーが製造したもので、ソフトウェアのアップデートは頻繁ではなく、実装も困難であるため、最終的にセキュリティの脅威にさらされている。実際、マイクロソフトによる最近の調査では、産業用制御機器の75%にパッチが適用されておらず、深刻度の高い脆弱性が存在することが判明している5。その他の脅威要因としては、不適切なネットワーク・セグメンテーション(ドラゴスによると、組織の50%でこの傾向が見られる6)、あるいは不十分なリモート・アクセス慣行が挙げられる。
Malicious actors do not shy away from exploiting such vulnerabilities. A report by McKinsey shows that OT cyber events have increased by 140% from 2020 to 2021.7 Of those events, 35% sustained physical damage with an estimated impact of $140 million per incident.8 That said, it is important to note that not all industries are equally impacted by OT attacks. For instance, since 2021, 9 the manufacturing sector has been the most targeted, experiencing 61% of cyberattacks. The oil and gas (11%), transportation (10%) and utilities (10%) sectors have been next.  悪意ある行為者は、このような脆弱性を悪用することをためらわない。マッキンゼーのレポートによると、OTのサイバーイベントは2020年から2021年にかけて140%増加している7。そのうち35%が物理的な被害を受け、1インシデントあたり1億4,000万ドルの影響があると推定されている8。例えば、2021年以降、製造業が最も標的とされ、61%のサイバー攻撃を受けている。次いで、石油・ガス(11%)、運輸(10%)、公益事業(10%)の各セクターが続いている。
Organizations in the manufacturing, oil and gas, and electricity industries bore damages amounting to $2.8 million on average in 2021.10 In addition to financial losses (directly from the damage and from related downtime), data and intellectual property theft, and reputation damage, cybersecurity breaches in OT environments can have consequences such as:  製造業、石油・ガス業、電力業界の組織は、2021年に平均280万ドルの損害を被った10。(損害や関連するダウンタイムによる直接的な)金銭的損失、データや知的財産の盗難、評判の低下に加え、OT環境におけるサイバーセキュリティ侵害は、以下のような結果をもたらす可能性がある: 
– Damage to the environment.  ・環境への損害。
– Exposure of people and personnel to dangerous conditions. Gartner predicts that by 2025, malicious actors will be able to weaponize the OT environment to cause harm or loss of life.11  ・人々や人員を危険な状況にさらす。ガートナー社は、2025 年までに悪意のある行為者が OT 環境を武器化し、危害や人命の損失を引き起こすことができるようになると予測している11。
– Reduced availability and quality of essential goods and services including energy, healthcare and transportation; this can trigger behaviours such as panic-buying and stockpiling by consumers.  ・エネルギー,医療,輸送を含む必要不可欠な商品やサービスの利用可能性や質の低下。これは,消費者によるパニック買いや備蓄といった行動を引き起こす可能性がある。
– Legal and regulatory violations resulting in fines, lawsuits and regulatory scrutiny.  ・罰金,訴訟,規制当局の監視につながる法的・規制的違反。
– Implications for national security and public safety, given that OT is a significant component of critical infrastructure, and any level of cybersecurity risk can be considered critical. ・OT は重要インフラの重要な構成要素であり,どのレベルのサイバーセキュリティリスクも重要であると考えられることから,国家安全保障と公共の安全への影響。
FIGURE 1 Cyber incidents in the oil and gas industry 図 1 石油・ガス産業におけるサイバーインシデント
20231124-91001
What are the sources of risks?  リスクの原因は何か?
Cybersecurity risks in the OT environment are amplified by several overarching issues that are not always technical in nature but depend on factors such as corporate culture and governance. These include:  OT 環境におけるサイバーセキュリティリスクは、必ずしも技術的な性質のものではなく、企業文化やガバナンスなどの要因に依存するいくつかの包括的な問題によって増幅される。これらには以下が含まれる: 
Lack of emphasis on cyber issues in operations and shortage of personnel for OT cybersecurity.  運用におけるサイバー問題の重視の欠如と、OTサイバーセキュリティのための人材不足。
Human error – research shows that 79% of OT experts consider human error to be the greatest risk for OT systems.12 Moreover, the current onboarding and training of OT personnel do not sufficiently ensure that they adopt appropriate policies and measures for OT cybersecurity.  ヒューマンエラー - 調査によると、OT 専門家の 79%がヒューマンエラーを OT システムの最大のリスクと考えている12 。さらに、現在の OT 担当者の採用やトレーニングでは、OT サイバーセキュリティのための適切なポリシーや対策を採用することが十分に保証されていない。
Unclear delineation of process ownership and prioritization of risks.  プロセスの所有権の明確化とリスクの優先順位付けが不明確である。
The IT/OT convergence has blurred process ownership, allowing for no clear delineation of responsibilities and obligations between the IT and OT teams. In addition, the two view their priorities differently. From the IT perspective, procedures for data security and privacy are crucial, whereas the OT team places primary focus on physical performance and safety of facilities and equipment.  IT と OT の融合により、プロセスの所有権が曖昧になり、IT チームと OT チームの間で責任と義務が明確に区分されなくなっ ている。さらに、両者の優先順位の見方は異なっている。ITの観点からは、データセキュリティとプライバシーのための手続きが極めて重要であるのに対し、OTチームは施設や機器の物理的性能と安全性に主眼を置いている。
Poor device/asset visibility and rapid introduction of new assets.  デバイス/資産の可視性が低く、新しい資産を迅速に導入できない。
While the creation and maintenance of an asset inventory in the OT environment is regarded as one of the top security controls, according to Dragos,13 as many as 80% of organizations lacked visibility of the OT environment in 2022. Organizations need to have an overview of the devices in their networks – for instance, whether these devices are obsolete or supported, their vulnerabilities and what they are connecting to – both in the IT and OT environments. Organizations should be able to investigate the systems and processes in each zone and provide recommended security controls.  OT環境における資産目録の作成と保守は、最重要セキュリティ管理策の1つとみなされているが、ドラゴス13によると、2022年には80%もの組織がOT環境の可視性を欠いているという。組織は、IT環境とOT環境の両方において、ネットワーク内のデバイスの概要(例えば、これらのデバイスが旧式であるか、サポートされているか、脆弱性、何に接続しているかなど)を把握する必要がある。組織は、各ゾーンのシステムとプロセスを調査し、推奨されるセキュリ ティ対策を提供できるようにすべきである。
Supply chain and third-party risk.  サプライチェーンとサードパーティーのリスク
A study found that 40% of OT cybersecurity practitioners consider supply chain/third party access to the OT environment to be one of the top three cybersecurity risks.14 Whereas such concerns may be motivated by the weaker cybersecurity practices of third parties, OT cybersecurity can also be compromised by deliberate tampering of third-party hardware, software or firmware. This can happen during the manufacturing, distribution or maintenance processes.  ある調査によると、OT サイバーセキュリティ担当者の 40%が、OT 環境へのサプライチェーン/サードパーティからのアクセスをサイバーセキュリティリスクの上位 3 つのうちの 1 つと考えていることがわかった14 。このような懸念は、サードパーティのサイバーセキュリティ対策が脆弱であることが動機となっている可能性があるが、OT サイバーセキュリティは、サードパーティのハードウェア、ソフトウェア、またはファームウェアの意図的な改ざんによっても損なわれる可能性がある。これは製造、流通、保守の過程で起こりうる。
To ensure a strong cybersecurity posture across organizations and industries, robust cybersecurity measures must be developed and implemented to protect both IT and OT environments.  組織や業界全体で強固なサイバーセキュリティ体制を確保するためには、ITとOTの両方の環境を保護するための強固なサイバーセキュリティ対策を開発し、実施する必要がある。
What are the existing cybersecurity frameworks for the OT environment?  OT環境に対する既存のサイバーセキュリティのフレームワークにはどのようなものがあるか?
Organizations are not starting from scratch when it comes to OT cybersecurity. In fact, a number of cybersecurity frameworks have already been developed for the OT environment.  組織は、OTサイバーセキュリティに関してゼロから始めるわけではない。実際、OT環境向けのサイバーセキュリティフレームワークはすでに数多く開発されている。
The International Electrotechnical Commission (IEC) 6244315 is an international series of standards that tackle cybersecurity for industrial automation and control systems. The National Institute of Standards and Technology (NIST) has released SP 800-82 16 – a guide on how to improve the security of OT systems; while the European Joint Research Centre has proposed a framework on Industrial Automation and Controls Systems (IACS) to share practices on IACS products’ cybersecurity certifications.17  国際電気標準会議(IEC)62443 15は、産業オートメーションと制御システムのサイバーセキュリティに取り組む国際標準シリーズである。国立標準技術研究所(NIST)は、OTシステムのセキュリティを改善する方法に関するガイドであるSP 800-82 16を発表した。一方、欧州共同研究センターは、IACS製品のサイバーセキュリティ認証に関するプラクティスを共有するために、産業用自動制御システム(IACS)に関するフレームワークを提案している。17。
Other examples of cybersecurity frameworks applicable to the OT environment and beyond include the NIST Cybersecurity Framework18 as well as the Cybersecurity Capability Maturity Model (C2M2).19 Efforts have also been made at the local level to enhance OT cybersecurity. For instance, Saudi Arabia has developed the Operational Technology Cybersecurity Controls. Similarly, oil and gas companies on the Norwegian continental shelf follow guidelines such as NOG 104, NOG 110 and NOG 123, while in the US, the North American Electric Reliability Corporation’s Critical Infrastructure Protection (NERC CIP) and the American Petroleum Industry Pipeline Security standards are of relevance.  OT 環境に適用可能なサイバーセキュリティフレームワークの他の例としては、NIST サイバーセキュリティフレームワーク18 やサイバーセキュリティ能力成熟度モデル(C2M2)19 がある。例えば、サウジアラビアは、オペレーショナル・テクノロジー・サイバーセキュリティ・コントロールを策定した。同様に、ノルウェー大陸棚の石油・ガス会社は、NOG 104、NOG 110、NOG 123 などのガイドラインに従っており、米国では、北米電気信頼性公社の重要インフラ保護(NERC CIP)や米国石油業界のパイプライン・セキュリティ標準が関連している。
While numerous OT cybersecurity frameworks are available, many of those referenced here are extremely complicated and require a lot of effort to ensure effective implementation, particularly for third-party suppliers and vendors that may struggle to comply due to resource limitations – human or financial. This obligates industrial organizations to ensure that third parties are capable of applying and adhering to these frameworks and standards.  数多くのOTサイバーセキュリティフレームワークが利用可能であるが、ここで言及されているものの多くは非常に複雑であり、効果的な実装を確保するためには多大な労力を必要とする。特にサードパーティであるサプライヤーやベンダーは、人的・金銭的なリソースの制約により、コンプライアンスに苦労する可能性がある。このため、産業組織は、サードパーティがこれらのフレームワークや標準を適用し、遵守できることを保証する義務がある。
No silver bullet exists for successful implementation of OT cybersecurity frameworks and standards. Most of the time, industry players must apply a wide range of frameworks and standards to cover distinct parts of their infrastructure, such as water pumps and utilities.  OTサイバーセキュリティのフレームワークと標準の導入を成功させる特効薬は存在しない。ほとんどの場合、業界関係者は、水ポンプやユーティリティなど、インフラの明確な部分をカバーするために、幅広いフレームワークや標準を適用しなければならない。
A lot of the above-mentioned frameworks are very focused on technical controls. Yet, OT governance, i.e. who is responsible for cybersecurity in OT and how it interlocks with IT, remains a challenge for many organizations. 上記のフレームワークの多くは、技術的なコントロールに非常に重点を置いている。しかし、OTガバナンス、すなわち誰がOTのサイバーセキュリティに責任を持ち、ITとどのように連動させるかは、多くの組織にとって依然として課題である。
1. Guiding principles for cyber resilient OT environments 1. サイバーレジリエンスOT環境のための指針
The action group “Securing the OT environment” convening cyber leaders from the electricity, manufacturing and oil and gas industries around the topic of OT cybersecurity, has developed a set of five guiding principles to help industrial organizations address cyber risks and build resilience as the IT/OT convergence continues. OTサイバーセキュリティをテーマに、電力、製造、石油・ガス業界のサイバーリーダーを招集したアクショングループ「OT環境の確保」は、IT/OTの融合が進む中、産業組織がサイバーリスクに対処し、レジリエンスを構築するのに役立つ5つの指導原則を策定した。
Principle 1: Perform comprehensive risk management of the OT environment 原則 1:OT 環境の包括的なリスクマネジメントを実施する。
Principle 2: Ensure OT engineers and operators of installations have responsibility for OT cybersecurity 原則 2: OT エンジニアと設備のオペレータが OT サイバーセキュリティに責任を持つようにする。
Principle 3: Align with top organizational leadership, strategic planning teams and third parties to make security-by-design a reality 原則 3: セキュリティ・バイ・デザインを実現するために、組織のトップリーダー、戦略立案チーム、サードパーティと連携する。
Principle 4: Make cybersecurity standards and best practices contractually enforceable on partners and vendors to build a cybersecure OT environment 原則 4:サイバーセキュリティの標準とベストプラクティスをパートナーやベンダーに契約上強制できるようにし、サイバーセキュアな OT 環境を構築する。
Principle 5: Run joint tabletop exercises to ensure preparedness in case of an actual incident 原則 5: 実際のインシデントに備えて合同机上演習を実施する
2. Actionable approaches to implementing OT cybersecurity principles 2. OT サイバーセキュリティの原則を実施するための実行可能なアプローチ
To ensure the successful implementation of the identified OT cybersecurity principles, organizations must undertake a number of actions to translate theory into tangible institutional practice. 識別された OT サイバーセキュリティの原則の実施を成功させるために、機構は、理論を具体的な制度的 実践に変換するための多くの行動を実施する必要がある。
Principle 1: Perform comprehensive risk management of the OT environment 原則 1:OT 環境の包括的なリスクマネジメントを実施する。
To increase overall cybersecurity preparedness and reduce the potential and impact of cyberattacks, industrial organizations must take a comprehensive approach to risk management. This comprises risk assessment – identification of vulnerabilities and gaps that expose an organization to an attack, and of risks that could impede recovery and resilience – as well as mitigation and monitoring strategies. For risk management to be robust and complete, it is important that organizations:  全体的なサイバーセキュリティへの備えを強化し、サイバー攻撃の可能性と影響を低減するために、産業組織はリスクマネジメントに包括的なアプローチを取らなければならない。これには、リスクアセスメント(組織が攻撃にさらされる脆弱性とギャップ、回復とレジリエンスを阻害する可能性のあるリスクの特定)、および低減とモニタリング戦略が含まれる。リスクマネジメントを強固で完全なものにするためには、組織は以下のことを行うことが重要である:
– Identify and classify assets on the basis on their criticality, value and sensitivity to the organization’s operations. – Create an inventory of the “crown jewels”  ・組織の業務に対する資産の重要性,価値,及び機密性に基づいて資産を識別し,分類する。- 王冠の宝石」のインベントリを作成する。
– the highest-value assets in their OT environment which, if compromised, could have a major impact. Once the “crown jewels” have been identified, organizations should identify how they connect to the network, data flows, etc. ・OT環境において最も価値の高い資産であり,漏洩した場合,大きな影響を及ぼす可能性のあるものである。王冠の宝石」が識別されたら,組織は,それらがネットワークにどのように接続されているか,データの流れなどを識別する必要がある。
 – Detect security vulnerabilities and threats across the mapped assets and OT environment; identify the consequences that could result if the vulnerabilities are exploited (e.g. in case of unauthorized access, data theft, equipment damage, injury and loss of life, harm to national security, etc.); and prioritize mitigation accordingly.   ・マッピングされた資産と OT 環境全体のセキュリティ脆弱性と脅威を検知し、脆弱 性が悪用された場合に生じ得る結果(不正アクセス、データ盗難、機器の損傷、人命損 害、国家安全保障への被害など)を特定し、それに応じて低減の優先順位を決定する。
– Identify potential threats (including threat events, threat actors, etc.) that could target their OT environment.  ・OT 環境を標的とする可能性のある脅威(脅威事象、脅威行為者などを含む)を識別する。
– Establish an OT cybersecurity strategy aligned with the overall cybersecurity strategy, outlining the prevention, detection and response capabilities. It should be reviewed, evaluated and updated regularly. Organizations should also consider developing guidelines to ensure effective adoption and implementation of the OT cybersecurity strategy. ・全体的なサイバーセキュリティ戦略に沿った OT サイバーセキュリティ戦略を確立し,予防,検知,対応能力の概要を示す。これは定期的に見直し,評価し,更新する必要がある。組織は,OTサイバーセキュリティ戦略の効果的な採用と実施を確保するためのガイドラインの策定も検討すべきである。
Principle 2: Ensure OT engineers and operators of installations have responsibility for OT cybersecurity 原則 2:OT 技術者と設備のオペレータが OT サイバーセキュリティの責任を持つようにする。
Research shows that 95% of organizations20 will place the responsibility for OT cybersecurity under the Chief Information Security Officer (CISO) in the next 12 months. However, considering that cybersecurity is a shared responsibility, the IT team alone cannot have full control of OT cybersecurity; all stakeholders, at all levels of organizational management, need to do their part.  調査によると、95% の組織20 が、今後 12 カ月以内に OT サイバーセキュリティの責任を最高情報セキュリティ責任者(CISO)の下に置くとしている。しかし、サイバーセキュリティが共有責任であることを考慮すると、IT チームだけで OT サイバーセキュリティを完全に掌握することはできない。
This makes it imperative that roles and responsibilities be clearly defined and properly communicated with IT/OT personnel. That said, OT teams do not necessarily have the awareness or knowhow to properly inspect and secure OT networks. In order to share responsibility for OT cybersecurity, OT personnel across industrial organizations need to understand:  このため、役割と責任を明確に定義し、IT/OT 担当者と適切なコミュニケーションを図ることが不可欠である。とはいえ、OT チームは必ずしも OT ネットワークを適切に検査し、セキュリティを確保するための意識やノウハウを持っているわけではない。OTサイバーセキュリティの責任を共有するためには、産業組織全体のOT担当者が理解する必要がある: 
– When, how and why a security breach might occur in the OT environment. Communications on security awareness should be carried out continuously for all OT personnel.  ・OT環境でセキュリティ侵害がいつ,どのように,なぜ発生するのかを理解する必要がある。すべての OT 担当者に対して,セキュリティ意識に関するコミュニケーションを継続的に実施する必要がある。
– Who to contact in case of a security breach or suspicious activity, that is, who to get help from and who to collaborate with for support.Different threat detection technologies used by IT and OT could detect threats in the OT environment. Therefore, cooperation and communication between the IT and OT departments is essential to ensure that all staff have clearly and precisely defined roles and responsibilities for working together on incident response in OT.  ・セキュリティ侵害や不審な活動が発生した場合に誰に連絡すべきか、つまり、誰から支援を受け、誰と協力して支援を受けるべきか。IT部門とOT部門で使用する脅威検知技術が異なれば、OT環境の脅威を検知できる可能性がある。したがって、IT部門とOT部門の間の協力とコミュニケーションは、すべてのスタッフがOTにおけるインシデント対応に協力するための役割と責任を明確かつ正確に定義するために不可欠である。
– The vulnerabilities and risks (including inherited risks) that each connected device in the OT environment brings.  ・OT環境の各接続機器がもたらす脆弱性とリスク(継承されたリスクを含む)。
Principle 3: Align with top organizational leadership, strategic planning teams and third parties to make security-by-design a reality 原則 3: セキュリティ・バイ・デザインを実現するために、組織のトップリーダ、戦略立案チーム、サードパーティと連携する。
Most of the existing OT was not designed with cybersecurity in mind. Security-by-design is a process rather than a one-time “bolt-on” effort and as such should go beyond integration of security during the design and development phase of a product/ service. To enforce a security-by-design approach in the OT environment, organizations should:  既存の OT のほとんどは、サイバーセキュリティを念頭に置いて設計されていない。セキュリティ・バイ・デザインは、一回限りの「ボルトオン」の取り組みではなく、プロセスであるため、製品・サービスの設計・開発段階におけるセキュリティの統合を超えるものでなければならない。OT 環境においてセキュリティ・バイ・デザインのアプローチを実施するために、 組織は次のことを行うべきである: 
– Raise cybersecurity issues and risks to corporate management to ensure that critical OT systems are safeguarded from potential risks and vulnerabilities from the outset by:  ・重要な OT システムを潜在的なリスクや脆弱性から当初から確実に保護するために、サイバーセキュリティ の問題やリスクを経営陣に提起する: 
– – Organizing executive briefings to highlight the impact of OT cyber risks on business operations, finances and reputation.  ・OT のサイバーリスクが事業運営,財務,評判に与える影響を強調するために,経営幹部向けの説明会を開催する。
– – Developing and presenting risk assessments to communicate the interplay between OT cybersecurity breaches, operational downtime and compliance penalties.  ・OT サイバーセキュリティ違反,運用ダウンタイム,コンプライアンス上の罰則の相互関係をコミュニケーショ ンするためのリスクアセスメントを作成し,提示する。
– Sharing case studies illustrating real-world examples of cybersecurity incidents in the OT environment and the consequences experienced by organizations that were caught off-guard.  ・OT 環境におけるサイバーセキュリティインシデントの実例と,不意を突かれた組織が経験した結 果を示すケーススタディを共有する。
– Encouraging the integration of OT cybersecurity into the overall business strategy to ensure competitive advantage by demonstrating commitment to protecting critical OT infrastructure. It can ultimately help foster overall resilience across industry ecosystems.– The role of the Security Operations Centre (SOC), CISO team, etc. OT personnel should also build a relationship with the SOC and CISO teams to ensure transfer of knowledge on security architecture and policies, including on the prevention, detection, analysis and response to cybersecurity incidents. Among the OT personnel, a “Cyber Champion” should be appointed in each facility who can help with cyber issues during crises. ・重要な OT インフラの保護へのコミットメントを示すことで,競争上の優位性を確保するために,OT サイバーセキュリティを全体的なビジネス戦略に統合することを奨励する。これは,最終的には,業界のエコシステム全体にわたるレジリエンスの育成に役立つ。・セキュリティ・オペレーションセンター(SOC),CISO チームなどの役割 OT 担当者は,SOC や CISO チームとも関係を構築し,サイバーセキュリティインシデントの予防,検知,分析,対応など,セキュリティアーキテクチャーやポリシーに関する知識の伝達を確実に行うべきである。OT担当者の中で,各施設に「サイバー・チャンピオン」を任命し,危機発生時にサイバー問題を支援できるようにする。
Principle 4: Make cybersecurity standards and best practices contractually enforceable on partners and vendors to build a cybersecure OT environment 原則4:サイバーセキュリティの標準とベストプラクティスをパートナーやベンダーに対して契約により強制力を持たせ、サイバーセキュリティのOT環境を構築する。
Third-party suppliers and vendors differ in the way they approach cybersecurity. Nevertheless, they have to guarantee the security of their product or service and take responsibility for what is delivered. To build a secure OT environment and ensure successful collaboration with and enforcement of security standards by partners and vendors, industrial organizations should:  サードパーティであるサプライヤーやベンダーは、サイバーセキュリティへの取り組み方が異なる。とはいえ、これらのサプライヤやベンダーは、自社の製品やサービスのセキュリティを保証し、提供されるものに対して責任を負わなければならない。安全な OT 環境を構築し、パートナーやベンダーとの協業とセキュリティ標準の実施を成功させるために、産業組織は以下を行うべきである: 
– Conduct thorough due diligence of both IT and OT cybersecurity posture before collaborating with any third-party vendors and suppliers. The assessment should cover how a cyberattack against a third-party vendor or supplier could impact operations.  ・サードパーティのベンダーやサプライヤと協業する前に,IT と OT の両方のサイバーセキュリティ態勢について徹底的なデューデリジェンスを実施する。この評価では,サードパーティのベンダーやサプライヤに対するサイバー攻撃が業務にどのような影響を及ぼす可能性があるかを網羅する。
– Classify and categorize third parties according to their level and type of risk (compliance, financial, reputation, etc.) before they can access facilities, network and confidential information.  ・サードパーティが施設、ネットワーク、機密情報にアクセスできるようにする前に、サードパーティをリスクのレベルや種類(コンプライアンス、財務、評判など)に応じて分類・分類する。
– Incorporate a list of baseline security requirements for third-party vendors and suppliers with access to facilities, network and confidential information within the security framework mentioned in principle 1. These security requirements should be met before formalization of collaboration. Examples of security requirements include:  ・施設、ネットワーク、機密情報にアクセスするサードパーティベンダーとサプラ イヤーについて、原則1で述べたセキュリティフレームワークの中に、基本的なセ キュリティ要件のリストを組み込む。これらのセキュリティ要件は、協働を正式に開始する前に満たすべきである。セキュリティ要件の例としては、以下が挙げられる: 
– – Implementation of security levels (SL) 3 and 4 of IEC 62443.  ・IEC 62443のセキュリティレベル(SL)3及び4の実施。
– – Application of advanced cybersecurity standards for OT software development.  ・OT ソフトウエア開発における先進的なサイバーセキュリティ標準の適用。
– – Demonstration of proven hands-on expertise in handling cybersecurity events.  ・サイバーセキュリティ事象に対処するための実践的な専門知識が実証されていること。
– Include OT cybersecurity requirements in contracts. OT cybersecurity requirements should cover areas such as secure remote access, use of removable media devices to transfer files, terms and conditions for data protection and processing of sensitive information shared between the organization and the third party, accident/incident notification and reporting, etc.  ・契約に OT サイバーセキュリティ要件を含める。OT サイバーセキュリティ要件は,安全なリモートアクセス,ファイル転送のためのリムーバブルメディアデバイスの使用,組織とサードパーティ間で共有される機密情報のデータ保護と処理に関する条件,事故/インシデントの通知と報告などの分野をカバーすべきである。
– Continuously audit vendor and supplier security performance to ensure they are adhering to previously agreed security controls.  ・ベンダーやサプライヤーのセキュリティパフォーマンスを継続的に監査し,事前に合意したセキュリティ管理が遵守されていることを確認する。
– In case the security controls are not observed, organizations should develop an exit strategy that includes proper oversight over the termination of collaboration with the vendor, return of assets, etc. ・セキュリティ管理が守られない場合、組織は、ベンダーとの協力関係の終了、資産の返却などに関する適切な監視を含む出口戦略を策定する必要がある。
Principle 5: Run joint tabletop exercises to ensure preparedness in case of an actual incident 原則5:実際のインシデントに備えて合同机上演習を実施する。
A tabletop exercise cannot always perfectly replicate every aspect of a real-life scenario or incident response situation. To ensure maximum preparedness and amplify its benefits, the tabletop exercise should include key personnel and should have clearly defined and achievable objectives. Organizations should therefore:  机上演習では、実際のシナリオやインシデント対応状況のあらゆる側面を完全に再現できるとは限らない。最大限の備えを確保し、その効果を増幅させるために、卓上演習には主要な要員を参加させ、明確に定義された達成可能な目標を設定すべきである。したがって、組織は次のことを行うべきである: 
– Use security scenarios based on real events, and leverage and adapt existing crisis management procedures to the cyber context.  ・実際の事象に基づいたセキュリティ・シナリオを使用し,既存の危機管理手順を活用し,サイバーの状況に適応させる。
– Engage the correct stakeholders that go beyond IT and OT personnel. Exercises should include the emergency preparedness group, executive leadership and management, technical staff, third parties, legal counsel as well as psychologists who can evaluate the responses and actions taken by the security incident response team (SIRT).  - IT担当者やOT担当者だけでなく、適切な利害関係者を参加させる。演習には、セキュリティ・インシデント対応チーム(SIRT)の対応と行動を評価できる心理学者だけでなく、緊急事態準備グループ、経営幹部、技術スタッフ、サードパーティ、法律顧問も参加させる。
– Clarify the representation of OT cyber competence in incident response to ensure preparedness when a threat event occurs and explore whether operations can be run in the OT environment without the IT.  ・脅威事象が発生したときの備えを確保するために,インシデント対応における OT のサイバー能力の代表を明確にし,IT なしで OT 環境での運用が可能かどうかを検討する。
– Include OT sites across multiple geographies and consider the legal aspects that may arise.  ・複数の地域にまたがる OT サイトを含め,発生する可能性のある法的側面を検討する。
– Identify weaknesses/gaps in the incident response and include lessons learned in the post-drill analysis reports.  ・インシデント対応の弱点/ギャップを特定し,訓練後の分析レポートに教訓を盛り込む。
– Produce and continuously update the executives’ playbook with lessons learned from such exercises. ・このような訓練から得られた教訓を盛り込んだ幹部用プレイブックを作成し,継続的に更新する。
3. Monitoring the implementation of OT cybersecurity principles 3. OT サイバーセキュリティ原則の実施を監視する。
Implementation of OT cybersecurity principles alone is not enough. Tracking their progress and continuous assessment of impact is key in order to ensure effectiveness of the principles and that organizations are adapting to the new processes. To successfully monitor the implementation of OT cybersecurity principles, organizations should:  OT サイバーセキュリティ原則の実施だけでは十分ではない。原則の有効性を確認し、組織が新しいプロセスに適応していることを確認するためには、その進捗状況を追跡し、影響を継続的に評価することが重要である。OT サイバーセキュリティ原則の実施をうまく監視するために、組織は次のことを行うべきである: 
– Perform regular audits to monitor compliance with the OT cybersecurity principles, including assessments of critical third parties with access to the OT environment.  ・OT 環境にアクセスする重要なサードパーティの評価を含め,OT サイバーセキュリティ原則への準拠を監視するために定期的な監査を実施する。
– Conduct real-time monitoring to discover, identify and assess devices and vulnerabilities within the OT environment. The “now, next and never” approach can help organizations assess vulnerabilities. Gathered information should be kept in a register and reviewed periodically.  ・OT 環境内のデバイスと脆弱性を発見,識別,評価するためのリアルタイム・モニタリングを実施する。今,次,決して」というアプローチは,組織が脆弱性を評価するのに役立つ。収集した情報は登録簿に保管し,定期的にレビューする。
– Develop a strategic roadmap and process for reporting to the corporate board about progress on OT cybersecurity.  ・OT サイバーセキュリティの進捗状況を取締役会に報告するための戦略的ロードマップとプロセスを策定する。
– Send data (e.g. IDS data) regularly to the security operations centre (SOC) to ensure timely detection, investigation and response to security incidents.  - セキュリティ・オペレーション・センター(SOC)にデータ(検知データなど)を定期的に送信し、セキュリティ・インシデントのタイムリーな検知、調査、対応を確実に行う。
Additional measures:  追加の対策 
– Conduct physical walk-throughs and inspections of OT sites.  ・OT サイトの物理的なウォークスルーと検査を実施する。
– Review and define job and role descriptions to ensure cybersecurity roles and responsibilities for OT personnel.  ・OT 要員のサイバーセキュリティ上の役割と責任を確保するために,職務と役割の説明を見直し,定義する。
– Perform periodic benchmarking to assess maturity on OT cybersecurity principles.  ・定期的にベンチマークを実施し,OT サイバーセキュリティ原則の成熟度を評価する。
– Ensure tabletop exercises are a recurrent activity to monitor progress on incident response.  ・机上演習を定期的に実施し,インシデント対応の進捗状況を監視する。
– Carry out threat hunting in OT and proactively seek indicators of potential compromise. ・OT における脅威の探索を実施し,潜在的な侵害の指標を積極的に探索する。
4. Enabling innovation in OT 4. OT におけるイノベーションを可能にする
Discussions on cybersecurity in OT would not be complete without acknowledging the role of innovation across industries. Research from 2023 shows that 45% of industrial manufacturing organizations have started pilots on generative AI.21 Strides towards the employment of new technologies are also being made in the automotive and energy sectors where 68% and 64% of organizations, respectively, have started exploring the potential of generative AI.22  OT におけるサイバーセキュリティの議論は、業界全体のイノベーションの役割を認識することなしには完結しない。2023年の調査によると、製造業の45%の組織が生成的AIのパイロット試験を開始している21。また、自動車業界とエネルギー業界でも新技術の採用に向けて前進しており、それぞれ68%と64%の組織が生成的AIの可能性の探求を開始している22。
In addition to AI and machine learning, industry players are also using several emerging technologies including:  AIや機械学習に加えて、業界各社は以下のような新たなテクノロジーも利用している: 
– Cloud computing  ・クラウド・コンピューティング 
– Edge computing  ・エッジ・コンピューティング
– Internet of things (IoT)  ・モノのインターネット(IoT)
– Secure remote-access software  ・セキュアなリモート・アクセス・ソフトウェア
– 5G  ・5G 
While selecting the technology may be simple, implementing it seamlessly in existing operational environments while ensuring minimal disruption and maximum cybersecurity is a complex task that requires careful planning and rigorous risk assessment. 技術を選択するのは簡単かもしれないが、混乱を最小限に抑え、サイバーセキュリティを最大限に確保しながら、既存の運用環境にシームレスに導入するのは、慎重な計画と厳密なリスクアセスメントを必要とする複雑な作業である。
 In broad terms, new technologies allow for:   大まかに言えば、新技術は以下を可能にする: 
– Automation of decision-making processes.  ・意思決定プロセスの自動化
– Enhanced secure access practices, including for third parties.  ・サードパーティを含む安全なアクセス方法の強化。
– Increased situational awareness fostered by improved visibility of assets, vulnerabilities and threats. – Improved threat hunting, threat intelligence and incident response.  ・資産,脆弱性,脅威の可視性向上による状況認識の改善 - 脅威調査,脅威インテリジェンス,インシデント対応の改善
– Better compliance with regulatory measures.  ・規制措置へのコンプライアンスの向上
– Greater access to production data. However, the deployment and use of new technologies in OT environments also comes at a cybersecurity cost. Often, new devices incorporate cybersecurity vulnerabilities that are not necessarily managed prior to their launch on the market. By introducing additional entry points for cyber threats, these new technologies expand the attack surface. Other cybersecurity challenges can arise from the use of inaccurate or flawed datasets to train algorithms and machine learning models.  ・本番データへのアクセスの向上 しかし,OT環境における新技術の導入と使用には,サイバーセキュリティのコストもかかる。多くの場合,新しいデバイスにはサイバーセキュリティの脆弱性が含まれており,それらは市場に投入される前に必ずしも管理されていない。サイバー脅威の新たな入り口を導入することで,これらの新技術は攻撃対象領域を拡大する。その他のサイバーセキュリティ上の課題は,アルゴリズムや機械学習モデルの訓練に不正確または欠陥のあるデータセットを使用することから生じる可能性がある。
To address these cybersecurity challenges, companies must review and adopt proper governance measures considering that existing cybersecurity controls and standards may not be applicable to the use of new technologies in OT.  これらのサイバーセキュリティの課題に対処するために、企業は、既存のサイバーセキュリティ管理および標準がOTにおける新技術の使用に適用できない可能性があることを考慮し、適切なガバナンス対策を見直し、採用しなければならない。
Finally, the introduction of new technologies needs a skilled talent pool that possesses an understanding of both traditional OT systems and sophisticated new digital solutions.  最後に、新技術の序文には、従来のOTシステムと洗練された新しいデジタルソリューションの両方を理解する熟練した人材が必要である。
Other measures that can help organizations address some of the cybersecurity issues arising from the adoption of new technologies in OT include:  組織が OT における新技術の採用から生じるサイバーセキュリティ上の問題のいくつかに対処するのに役立つその他の対策には、次のようなものがある: 
– Developing a clear change management programme.  ・明確な変更管理プログラムを策定する。
– Introducing network segmentation.  ・ネットワーク・セグメンテーションを導入する。
– Implementing layered security controls to mitigate vulnerabilities.  ・脆弱性を軽減するために,階層的なセキュリティ管理を導入する。
– Having accessible and updated documentation featuring cybersecurity best practices.  ・サイバーセキュリティのベストプラクティスを記載した,アクセス可能で最新の文書を用意する。
The introduction of new security models such as zero trust is becoming increasingly relevant in the context of both old and new cybersecurity threats in OT. Research from 2022 shows that 88% of OT cybersecurity leaders in the US have already taken some steps to adopt zero trust.23 While the intent to deploy zero trust in OT may exist, successful implementation remains somewhat of a challenge due to a lack of internal knowledge, conflicting direction from leadership and lack of resources.  ゼロトラストのような新しいセキュリティモデルの序文は、OTにおける新旧両方のサイバーセキュリティ脅威の文脈で、ますます適切になってきている。2022 年の調査によると、米国の OT サイバーセキュリティリーダーの 88%が、ゼロトラストを採用するための何らかの措置をすでに講じている23 。OT にゼロトラストを導入する意図は存在するかもしれないが、社内の知識不足、リーダーシップからの相反する指示、リソースの不足のために、導入の成功はやや困難なままである。
In certain instances, implementation of zero trust in OT may require organizations to replace legacy technologies. Such an approach can prove expensive and disruptive. However, organizations can also deploy zero trust in such a way that no upgrades to existing technologies are needed. 場合によっては、OT におけるゼロトラストを実施するために、組織はレガシーテクノロジを置き換える必要が あるかもしれない。このようなアプローチは、高価で破壊的であることがわかる。しかし、組織は、既存技術のアップグレードを必要としない方法でゼロトラストを導入することもできる。
To allow for effective application of zero trust across OT environments, organizations need to:  OT 環境全体でゼロトラストを効果的に適用できるようにするために、組織は以下を行う必要がある: 
– Have good awareness of the overall security model and define zero trust practices in OT environments.  ・全体的なセキュリティモデルについて十分な認識を持ち,OT環境におけるゼロトラストの実践を定義する。
– Secure top management approval and sponsorship.  ・トップマネジメントの承認とスポンサーシップを確保する。
– Establish a clearly defined zero trust strategy and roadmap.  ・明確に定義されたゼロトラスト戦略とロードマップを確立する。
– Decide on reasonable zones of zero trust deployment as opposed to total zero trust deployment.  ・全面的なゼロトラスト展開とは対照的に,合理的なゼロトラスト展開ゾーンを決定する。
– Be careful about vendor selection and question the “silver bullet” of the product offering. ・ベンダーの選択には注意し、製品提供の「銀の弾丸」を疑うこと。
Conclusion  結論 
Digitalization is transforming industrial environments in this era of IT/OT convergence. While the new business opportunities are clear, the threat of cyber risk expanding from connected environments and products is growing. Cyber incidents in the industrial ecosystem can have catastrophic economic, safety and environmental consequences.  IT/OT融合の時代において、デジタル化は産業環境を変革している。新たなビジネスチャンスは明らかだが、接続された環境や製品から拡大するサイバーリスクの脅威は増大している。産業エコシステムにおけるサイバーインシデントは、経済、安全、環境に壊滅的な結果をもたらす可能性がある。
With the industrial environment representing the bulk of operations in critical infrastructure organizations, ensuring a secure and cyber resilient OT environment is of paramount importance. Cyber leaders must adapt to the transforming industry as environments become more interconnected, digital and automated.  産業環境は重要インフラ組織におけるオペレーションの大部分を代表するため、安全でサイバーレジリエンスに優れたOT環境を確保することが最も重要である。サイバーリーダーは、環境がより相互接続され、デジタル化され、自動化されるにつれて変化する産業に適応しなければならない。
To improve OT environment security, the World Economic Forum in collaboration with partners from the electricity, manufacturing, and oil and gas industries, has developed a list of guiding principles. The adoption of these principles in the OT environment is imperative to cope with cybersecurity risks and enable the longer-term benefits of the digitalization of the OT environment.  OT環境のセキュリティを改善するために、世界経済フォーラムは、電力、製造、石油・ガス業界のパートナーと協力して、指導原則のリストを作成した。OT環境においてこれらの原則を採用することは、サイバーセキュリティリスクに対処し、OT環境のデジタル化による長期的なメリットを可能にするために不可欠である。
This should not be a plug-and-play exercise. It must be complemented with work in areas already embedded into the industry culture such as safety, and with significant investment in skills and in the workforce. Given the complex ecosystem, close collaboration and commitment from all public and private stakeholders across the industry is essential to ensure cyber resilience in the OT environment. これは、プラグ・アンド・プレイであってはならない。安全性など、すでに業界文化に組み込まれている分野での取り組みや、スキルや労働力への多大な投資によって補完されなければならない。複雑なエコシステムを考えると、OT 環境のサイバーレジリエンスを確保するためには、業界全体の官民すべての利害関係者の緊密な協力とコミットメントが不可欠である。

 

 

Endnotes  注 
1. Microsoft, “Secure your OT and IoT devices with Microsoft Defender for IoT and QuZara CyberTorch.” Microsoft Security Blog, 3 March 2022,  1. Microsoft, "Microsoft Defender for IoT と QuZara CyberTorch で OT デバイスと IoT デバイスを保護しよう". Microsoft Security Blog, 3 March 2022、 
https://www.microsoft.com/en-us/security/blog/2022/03/03/secure-your-ot-and-iot-devices-withmicrosoft-defender-for-iot-and-quzara-cybertorch/. 
2. Ribeiro, Anna, “CISA, DOE warn that hackers are gaining access to various internet-connected UPS devices.” Industrial Cyber, 30 March 2022,  2. Ribeiro, Anna, "CISA, DOE warn that hackers getting access to various internet-connected UPS devices." 2. Industrial Cyber, 30 March 2022、 
https://industrialcyber.co/threats-attacks/cisa-doe-warn-that-hackers-are-gaining-access-tovarious-internet-connected-ups-devices/. 
3. Microsoft, “Secure your OT and IoT devices with Microsoft Defender for IoT and QuZara CyberTorch.” Microsoft Security Blog, 3 March 2022,  3. マイクロソフト、"Microsoft Defender for IoT と QuZara CyberTorch で OT デバイスと IoT デバイスを保護しよう"。Microsoft Security Blog, 3 March 2022、 
https://www.microsoft.com/en-us/security/blog/2022/03/03/secure-your-ot-and-iot-devices-withmicrosoft-defender-for-iot-and-quzara-cybertorch/. 
4. Wood, Laura, “Global Industrial IoT (IIoT) Market Report 2023: Growing Demand for Connected Supply Chains and Operational Efficacy Flexibility Bolsters Sector.” GlobeNewswire, 27 March 2023,  4. Wood, Laura, "Global Industrial IoT (IIoT) Market Report 2023: コネクテッド・サプライ・チェーンに対する需要の高まりと運用効率の柔軟性がこのセクターを強化する。" GlobeNewswire, 27 March 2023、 
https://www.globenewswire.com/en/ news-release/2023/03/27/2634574/28124/en/Global-Industrial-IoT-IIoT-Market-Report-2023-Growing-Demand-forConnected-Supply-Chains-and-Operational-Efficacy-Flexibility-Bolsters-Sector.html. 
5. Microsoft, “Microsoft Releases Its Third Edition of Cyber Signals: Analyzing the Rise in Risks to Critical Infrastructure.” Microsoft News Center, 15 December 2022,  5. マイクロソフト、「マイクロソフト、サイバーシグナル第3版を発表: マイクロソフト、"Microsoft Releases Its Third Edition of Cyber Signals: Analyzing the Rise in Critical Infrastructure". Microsoft News Center, 15 December 2022、 
https://news.microsoft.com/apac/2022/12/15/microsoft-releases-its-thirdedition-of-cyber-signals-analyzing-the-rise-in-risks-to-critical-infrastructure/. 
6. “Everything You Need to Know to Defend Against ICS/OT Cyber Threats in 2023.” Dragos, 2022,  6. "Everything You Need to Know to Defend Against ICS/OT Cyber Threats in 2023". Dragos, 2022、 
https://www.dragos. com/resource/everything-you-need-to-know-to-defend-against-ics-ot-cyber-threats-in-2023/
7. Ayman, Alissa; Bacelar, Duarte; Braga, Duarte; Espirito Santo, Hugo; Boehm, Jim; Candina, Joana; Vieira, Benjamim and Richter, Wolf, “How to Enhance the Cybersecurity of Operational Technology Environments.” McKinsey & Company, 23 March 2023,  7. Ayman, Alissa; Bacelar, Duarte; Braga, Duarte; Espirito Santo, Hugo; Boehm, Jim; Candina, Joana; Vieira, Benjamim and Richter, Wolf, "How to Enhance the Cybersecurity of Operational Technology Environments". マッキンゼー・アンド・カンパニー、2023年3月23日、 
https://www.mckinsey.com/capabilities/risk-and-resilience/our-insights/cybersecurity/how-to-enhancethe-cybersecurity-of-operational-technology-environments. 
8. Ibid.  8. 同上。
9. Alvarez, Michelle; Carruthers, Stephanie; Chung, Joshua; Craig, Scott; Dwayer, John; Eitan, Ari; Emerson, Richard, et al., “X-Force Threat Intelligence Index 2022.” IBM, 2022,  9. Alvarez, Michelle; Carruthers, Stephanie; Chung, Joshua; Craig, Scott; Dwayer, John; Eitan, Ari; Emerson, Richard, et al., "X-Force Threat Intelligence Index 2022". IBM, 2022、 
https://www.ibm.com/downloads/cas/ADLMYLAZ. 
10. “The State of Industrial Cybersecurity.” Trend Micro, 2022,  10. "産業サイバーセキュリティの現状". トレンドマイクロ、2022年、 
https://resources.trendmicro. com/rs/945-CXD-062/images/TR00_ICS_OT_Security_Survey_Report_220525US_web. pdf?mkt_tok=OTQ1LUNYRC0wNjIAAAGGekNqBDAktPQrDV926OIhJmPQxl2MkpwSxgbzWTff_ DQ5VrXKkTemgAFHrdNq9afwHbrYOrq6gsk8AY3w9mV1O6l882ppcgOseLezWIvC2wotTPV_OVNC
11. Gartner, “Gartner Predicts By 2025 Cyber Attackers Will Have Weaponized Operational Technology Environments to Successfully Harm or Kill Humans.” 21 July 2021,  11. Gartner, "Gartner Predicts By 2025 Cyber Attackers Have Weaponized Operational Technology Environments to Successfully Harm or Kill Humans". 2021 年 7 月 21 日、 
https://www.gartner.com/en/newsroom/press-releases/2021-07-21- gartner-predicts-by-2025-cyber-attackers-will-have-we
12. SCADAfence, “SCADAfence Releases Results of Global Survey of IT and OT Cyber Security Professionals.” CISION PR Newswire, 14 July 2022,  12. SCADAfence, "SCADAfence Releases Results of Global Survey of IT and OT Cyber Security Professionals". CISION PR Newswire, 14 July 2022、 
https://www.prnewswire.com/news-releases/scadafence-releases-results-of-global-survey-of-itand-ot-cyber-security-professionals-301586516.html. 
13. “Everything You Need to Know to Defend Against ICS/OT Cyber Threats in 2023.” Dragos, 2022,  13. "Everything You Need to Know to Defend Against ICS/OT Cyber Threats in 2023". Dragos, 2022、 
https://hub.dragos. com/hubfs/312-Year-in-Review/2022/Dragos_Year-In-Review-Infographic-2022.pdf?hsLang=en. 
14. Guha, Debjyoti, “Operational Technology Security Is Compromised by Third-party Risk.” Skybox Security, 31 January 2022,  14. Guha, Debjyoti, "Operational Technology Security Is Compromised by Third-party Risk". Skybox Security, 31 January 2022、 
https://www.skyboxsecurity.com/blog/operational-technology-security-compromised-thirdparty-risk/#:~:text=Research%20discovers%20that%20third%2Dparty,of%20OT%20security%20decision%2- 0makers.&text=A%20research%20study%20by%20Skybox,top%20three%20highest%20security%20risks
15. “Understanding IEC 62443.” IEC, 24 February 2021,  15. "IEC62443を理解する". IEC, 24 February 2021、 
https://www.iec.ch/blog/understanding-iec-62443. 
16. Stouffer, Keith; Suzanne, Lightman; Victoria, Pillitteri; Marshal, Abrams and Adam, Hahn, “Guide to Industrial Control Systems (ICS) Security.” National Institute of Standards and Technology, 6 May 2015,  16. Stouffer, Keith; Suzanne, Lightman; Victoria, Pillitteri; Marshal, Abrams and Adam, Hahn, "Guide to Industrial Control Systems (ICS) Security". 国立標準技術研究所、2015年5月6日、 
https://csrc.nist.gov/pubs/ sp/800/82/r2/final
17. P. Theron and A. Lazari, “The IACS Cybersecurity Certification Framework (ICCF).” Joint Research Centre (JRC), April 2018,  17. P. Theron and A. Lazari, "The IACS Cybersecurity Certification Framework (ICCF)". Joint Research Centre (JRC), April 2018、 
https://erncip-project.jrc.ec.europa.eu/sites/default/files/JRC111611_The_IACS_Cybersecurity_Certification_ Framework.pdf.
18. “NIST Cybersecurity Framework.” National Institute of Standards and Technology, 20 September 2022,  18. "NIST サイバーセキュリティフレームワーク". 国立標準技術研究所、2022 年 9 月 20 日、 
https://www.nist. gov/itl/smallbusinesscyber/planning-guides/nist-cybersecurity-framework
19. “Cybersecurity Capability Maturity Model (C2M2).” Carnegie Mellon University, June 2022,  19. "サイバーセキュリティ能力成熟度モデル(C2M2)". カーネギーメロン大学、2022 年 6 月、 
https://www.energy.gov/sites/ default/files/2022-06/C2M2%20Version%202.1%20June%202022.pdf
20. “Fortinet Global OT and Cybersecurity Survey: 75 percent of organizations experienced at least one unauthorized access to their OT environments in the last year.” Fortinet, 6 June 2023,  20. 「フォーティネットのグローバルOTとサイバーセキュリティに関する調査: 組織の75%が過去1年間にOT環境への不正アクセスを少なくとも1回は経験している。" Fortinet, 6 June 2023、 
https://www.fortinet.com/de/corporate/about-us/ newsroom/press-releases/2023/fortinet-global-report-finds-75-percent-ot-organizations-experienced-intrusion-last-year.
21. “Harnessing the Value of Generative AI.” Capgemini Research Institute, July 2023,  21. "Harnessing the Value of Generative AI". Capgemini Research Institute, July 2023、 
https://prod.ucwe.capgemini.com/ wp-content/uploads/2023/07/Final-Web-Version-Report-Harnessing-the-Value-of-Gen-AI.1.pdf.
22. Ibid.  22. 同上。
23. “Securing Critical Infrastructure: The Journey to Zero Trust.” Xage, July 2022,  23. 「重要インフラの安全確保: ゼロ・トラストへの旅". Xage、2022年7月、 
https://xage.com/wp-content/ uploads/2022/07/Xage-ZeroTrustReport-July-2022.pdf.

| | Comments (0)

世界経済フォーラム (WEF) 電力セクターにおけるサイバー規制のグローバルな相互運用性の促進 (2023.11.17)

こんにちは、丸山満彦です。

世界経済フォーラム (WEF)が、電力セクターにおけるサイバー規制のグローバルな相互運用性の促進に関する報告書を公表していますね。。。

島国の日本というよりも、大陸の国向けの話ですね。。。

ただ、The Systems of Cyber Resilienceの考え方は重要だと思います。。。

 

World Economic Forum - Report

・2023.11.17 Facilitating Global Interoperability of Cyber Regulations in the Electricity Sector

 

Facilitating Global Interoperability of Cyber Regulations in the Electricity Sector 電力セクターにおけるサイバー規制のグローバルな相互運用性の促進
This position paper on cybersecurity in the electricity sector advocates for interoperability among nations to cultivate a secure, resilient and standardized approach globally. 電力セクターにおけるサイバーセキュリティに関する本ポジションペーパーは、安全でレジリエンスに優れ、標準化されたアプローチをグローバルに展開するために、各国間の相互運用性を提唱するものである。
The evolution of technology has reshaped the electricity industry, ushering in smarter grids, integration of renewable energy and improved operational efficiencies. However, a new set of challenges has emerged, particularly in safeguarding these intricate systems from cyber threats. The increasing interdependencies among power systems across borders and the escalating sophistication of cyberattacks underscore the necessity of a harmonized, global approach to cybersecurity regulations in the electricity sector. テクノロジーの進化は電力業界の形を変え、よりスマートな送電網、再生可能エネルギーの統合、業務効率の改善をもたらした。しかし、特にサイバー脅威からこれらの複雑なシステムを守る上で、新たな課題が浮上している。国境を越えた電力システム間の相互依存の高まりと、サイバー攻撃の高度化は、電力セクターにおけるサイバーセキュリティ規制の調和されたグローバルなアプローチの必要性を強調している。
The Systems of Cyber Resilience: Electricity initiative of the World Economic Forum has scrutinized the current landscape of cyber regulations to tackle existing gaps and complexities, and in this paper, proposes collective positions on behalf of the sector to standardize cybersecurity practices across diverse regulatory environments. システムズ・オブ・サイバー・レジリエンス: 世界経済フォーラムの「サイバー・レジリエンスのシステム:電力」イニシアチブは、既存のギャップと複雑性に取り組むため、サイバー規制の現状を精査し、本稿では、多様な規制環境全体でサイバーセキュリティの実践を標準化するため、セクターを代表して集団的な立場を提案する。

 

・[PDF

20231124-41731

 

目次...

Introduction  序文 
1 Current state of affairs 1 現状
2 Importance of global regulatory interoperability 2 グローバルな規制の相互運用性の重要性
3 10 key themes for global regulatory interoperability 3 グローバルな規制の相互運用性に関する 10 の主要テーマ
4 Community position on the key themes 4 主要テーマに関するコミュニティの見解
Conclusion 結論
Contributors 協力者
Annex 1: Related publications 附属書1:関連出版物

 

Introduction 序文
In today’s interconnected world, the electricity sector stands as a cornerstone of societal functioning, powering industries, homes and critical infrastructure. As power systems go through rapid digital transformation, the critical link between cybersecurity and the energy landscape becomes increasingly evident. The need for global interoperability in cyber regulations in the electricity sector has become paramount.  今日の相互接続された世界において、電力部門は社会機能の要として、産業、家庭、重要インフラに電力を供給している。電力システムが急速なデジタル変革を遂げるにつれ、サイバーセキュリティとエネルギー状況の重要な関連性がますます明らかになっている。電力セクターのサイバー規制におけるグローバルな相互運用性の必要性は、最重要となっている。
The evolution of technology has significantly reshaped the electricity industry, ushering in smarter grids, integration of renewable energy and improved operational efficiencies. However, this evolution presents a new set of challenges, particularly in safeguarding these intricate systems from cyber threats. The increasing interdependencies among power systems across borders and the growing sophistication of cyberattacks underscore the importance of a harmonized, global approach to cybersecurity regulations in the electricity sector. テクノロジーの進化は電力業界を大きく変貌させ、よりスマートな送電網、再生可能エネルギーの統合、運用効率の改善をもたらした。しかし、この進化は、特にサイバー脅威からこれらの複雑なシステムを保護する上で、新たな一連の課題を提示している。国境を越えた電力システム間の相互依存の高まりと、サイバー攻撃の巧妙化は、電力セクターにおけるサイバーセキュリティ規制の調和されたグローバルなアプローチの重要性を強調している。
This position paper from the Systems of Cyber Resilience: Electricity (SCRE) initiative aims to consolidate a cohesive stance from the electricity sector on cybersecurity. It advocates for interoperability among nations to cultivate a cybersecure, resilient and standardized approach around the world. By scrutinizing the current landscape of cyber regulations, the paper endeavours to tackle existing gaps and complexities while proposing collective positions to standardize cybersecurity practices across diverse regulatory environments. Its objective is to champion international cooperation, mutual understanding and the adoption of common standards to fortify the electricity sector against emerging cyber threats while encouraging innovation and growth. 本ポジションペーパーは、Systems of Cyber Resilience: 電力(SCRE)イニシアティブのこのポジションペーパーは、サイバーセキュリティに関する電力セクターの一貫した姿勢をまとめることを目的としている。世界中でサイバーセキュリティ、レジリエンス、標準的なアプローチを育成するために、国家間の相互運用性を提唱している。サイバー規制の現状を精査することで、既存のギャップや複雑性に取り組むと同時に、多様な規制環境におけるサイバーセキュリティの実践を標準化するための集団的な立場を提案している。その目的は、イノベーションと成長を促しながら、新たなサイバー脅威に対して電力セクターを強化するために、国際協力、相互理解、共通標準の採用を支持することである。
Ultimately, this position paper strives to contribute to the ongoing discourse on harmonization of regulations to nurture a secure, interoperable and resilient global electricity ecosystem, ensuring a reliable and safe energy supply for the world’s population in an increasingly digitalized world. 最終的に、本ポジションペーパーは、安全で相互運用可能かつレジリエンスに優れた世界的な電力エコシステムを育成し、デジタル化が進む世界において、世界の人々のために信頼性が高く安全なエネルギー供給を確保するための規制の調和に関する現在進行中の議論に貢献することを目指している。
The Systems of Cyber Resilience: Electricity Initiative サイバー・レジリエンスのシステム: 電力イニシアティブ
Since 2018, the World Economic Forum’s Systems of Cyber Resilience: Electricity (SCRE) initiative has brought together representatives of over 60 electricity utilities, energy service providers, regulatory bodies and other pertinent organizations worldwide. Their efforts aim to achieve cooperation and fortify a cyber resilient electricity ecosystem. The SCRE stands out as the only global publicprivate partnership tailored for the electricity industry, where cybersecurity experts collaborate to enhance resilience across the electricity ecosystem. 2018年以来、世界経済フォーラムのSystems of Cyber Resilience: 電力(SCRE)イニシアチブは、世界中の60以上の電力会社、エネルギー・サービス・プロバイダ、規制団体、その他の関連団体の代表者を集めている。彼らの努力は、協力を達成し、サイバーレジリエンスに強い電力エコシステムを強化することを目的としている。SCREは、サイバーセキュリティの専門家が電力エコシステム全体のレジリエンスを強化するために協力する、電力業界向けに調整された唯一のグローバルな官民パートナーシップとして際立っている。
“It is a great opportunity to create a collaborative environment, focused on increasing global cyber resilience, based on the sharing of information, on the development of common initiatives, on the definition of principles and the alignment around them by the main actors of our industry.”  「SCREは、情報の共有、共通のイニシアティブの開発、原則の定義に基づき、電力業界の主要な関係者が連携することで、世界的なサイバーレジリエンスの強化に焦点を当てた協力的な環境を構築する絶好の機会である。
Jesús Sánchez, Head of Global Cybersecurity, Naturgy ヘスス・サンチェス、ナトゥルギー社グローバル・サイバーセキュリティ部門責任者
The Global Regulations Working Group グローバル規制ワーキンググループ
In September 2022, the SCRE community had identified global regulatory interoperability in the electricity sector as one of its key focus areas, and had set up the Global Regulations working group towards this end.  2022年9月、SCREコミュニティは、電力セクターにおけるグローバルな規制の相互運用性を重要な重点分野のひとつと位置づけ、この目的のためにグローバル規制ワーキンググループを立ち上げた。
The working group addresses the intricate global regulatory challenges prevalent throughout the electricity sector, marked by fragmentation, inconsistency and sporadic conflicts. These regulatory barriers impede the attainment of global interoperability, resulting in increased costs, inefficiencies and missed opportunities. Resources are diverted to resolve regulatory issues rather than improving cybersecurity postures specific to the sector and its various organizations. この作業部会は、断片化、矛盾、散発的な対立によって特徴づけられる、電力セクター全体に蔓延する複雑なグローバル規制の課題に取り組んでいる。このような規制上の障壁は、グローバルな相互運用性の達成を妨げ、コスト増、非効率、機会損失をもたらしている。リソースは、セクターやそのさまざまな組織に特有のサイバーセキュリティ態勢の改善よりも、規制上の問題の解決に振り向けられている。
1. Current state of affairs 1. 現状
Regulators and government agencies responsible for establishing cybersecurity requirements in various industries worldwide often adopt different approaches to tackle similar cybersecurity challenges due to the lack of a global consensus. This results in complex, industry-agnostic, fragmented, inconsistent and occasionally conflicting sets of regulations. These regulations not only lack mutual interoperability but actively hinder it. The dynamic nature of cybersecurity threats further compounds the problem as regulators frequently tighten regulations in response. This forces organizations to allocate their limited resources towards compliance rather than concentrating on bolstering their cybersecurity defences.  世界のさまざまな業界でサイバーセキュリティ要件の確立を担当するガバナンスや政府機関は、世界的なコンセンサスがないため、同様のサイバーセキュリティ課題に取り組むために異なるアプローチを採用することが多い。その結果、複雑で、業種にとらわれず、断片的で、一貫性がなく、時には矛盾する規制が生み出される。こうした規制は相互運用性を欠くだけでなく、積極的にそれを妨げている。サイバーセキュリティの脅威の動的な性質は、規制当局がそれに対応して頻繁に規制を強化するため、問題をさらに複雑にしている。このため、組織は限られたリソースをサイバーセキュリティ防御の強化に集中させるのではなく、コンプライアンスに振り向けざるを得なくなる。
Achieving regulatory interoperability may present challenges. Differences in cybersecurity standards, legal systems and national priorities among various jurisdictions can lead to conflicts and inconsistencies, making it difficult to establish and maintain interoperability over time. One notable challenge is the issue of data privacy laws, as different countries have unique data protection regulations tailored to their cultural, economic and political landscapes.  規制の相互運用性を実現するには、課題があるかもしれない。サイバーセキュリティの標準、法制度、国の優先事項がさまざまな法域で異なるため、矛盾や不整合が生じ、相互運用性の確立と長期的な維持が困難になる可能性がある。注目すべき課題の一つはデータプライバシー法の問題であり、国によって文化的、経済的、政治的景観に合わせた独自のデータ保護規制があるからである。
A similar challenge arises in incident reporting laws. For instance, some countries mandate the reporting of all data breaches, regardless of their severity, while others have thresholds for reporting based on the number of affected individuals or the level of harm. These differences can create difficulties in incident response and information sharing, particularly in cases where a breach spans multiple jurisdictions. Creating synergy among these diverse regulations is a complex and intricate process, especially given the rapid pace of digital innovation. This dynamic environment necessitates constant updates and revisions to ensure the regulations remain relevant and effective. インシデント報告法にも同様の課題がある。例えば、重大性に関係なくすべてのデータ漏洩の報告を義務付けている国もあれば、影響を受けた個人の数や被害のレベルに応じて報告のしきい値を設けている国もある。このような違いは、特に情報漏えいが複数の管轄区域にまたがる場合、インシデント対応や情報共有に困難をもたらす可能性がある。これらの多様な規制の間で相乗効果を生み出すことは、特にデジタル革新の急速なペースを考えると、複雑で入り組んだプロセスである。このようなダイナミックな環境では、規制が適切かつ効果的であり続けるよう、常に更新や改定を行う必要がある。
Moreover, there is a pressing concern to ensure that regulatory interoperability does not compromise national security. Nations must strike a balance between the need for a collective cybersecurity front and the need to protect their individual interests and security.  さらに、規制の相互運用性が国家の安全保障を損なわないようにすることも急務である。各国は、集団的なサイバーセキュリティ前線の必要性と、個々の利益と安全保障を守る必要性との間でバランスを取らなければならない。
Despite the obstacles, solutions can be found. Initiatives such as working groups, international forums and collaborative agreements can play a pivotal role in promoting dialogue and establishing robust systems to monitor, evaluate and update regulatory frameworks. These mechanisms not only contribute to a more secure and resilient digital landscape but also foster innovation and growth.  障害はあるが、解決策は見つかる。ワーキンググループ、国際フォーラム、協力協定などのイニシアチブは、対話を促進し、規制の枠組みを監視、評価、更新する強固なシステムを確立する上で極めて重要な役割を果たすことができる。こうした仕組みは、より安全でレジリエンスに優れたデジタル環境の実現に貢献するだけでなく、イノベーションと成長の促進にもつながる。
Many regulators and government agencies have begun to recognize the need for regulatory harmonization and multiple efforts have been put into practice, such as the European Commission’s Cyber Resilience Act (CRA) and the White House Office of the National Cyber Director (ONCD)’s request for information (RFI) on cybersecurity regulatory harmonization.  多くの規制当局や政府機関が規制調和の必要性を認識し始めており、欧州委員会のサイバーレジリエンス法(CRA)やホワイトハウスの国家サイバー長官室(ONCD)のサイバーセキュリティ規制調和に関する情報提供要請(RFI)など、複数の取り組みが実践されている。
Simultaneously, several international dialogues are going on between states, such as the EU-US Cyber Dialogue, US-Japan Cyber Dialogue and FranceUnited Kingdom Cyber Dialogue, in addition to regulatory reciprocity schemes such as the EU-US Data Privacy Framework, Singapore Cybersecurity Labelling Scheme and APEC Cross-Border Privacy Rules (CBPR) system.  同時に、EU-米国サイバーダイアログ、日米サイバーダイアログ、フランス-英国サイバーダイアログなど、国家間の国際対話がいくつか行われており、EU-米国データプライバシーフレームワーク、シンガポールサイバーセキュリティラベル制度、APEC越境プライバシー規則(CBPR)制度などの規制相互主義制度もある。
While these efforts are in the right direction, they are far from achieving global interoperability and much work remains to be done by both the public and private sectors to build a more cyber resilient electricity ecosystem. これらの努力は正しい方向にあるが、グローバルな相互運用性を達成するには程遠く、よりサイバーレジリエンスに強い電力エコシステムを構築するためには、官民両セクターによる多くの作業が残されている。
2. Importance of global regulatory interoperability 2. グローバルな規制の相互運用性の重要性
Aligning cybersecurity regulations globally ensures uniform cybersecurity practices, enabling companies operating across multiple regions to adhere to consistent standards. Harmonization reduces complexity and confusion, simplifying compliance efforts. Moreover, interoperability fosters enhanced collaboration and information sharing among various entities globally, facilitating joint efforts to combat cyber threats and exchange best practices.  サイバーセキュリティ規制をグローバルに整合させることで、統一されたサイバーセキュリティの実践が保証され、複数の地域で事業を展開する企業が一貫した標準を遵守できるようになる。相互運用性により、複雑さと混乱が緩和され、コンプライアンスへの取り組みが簡素化される。さらに、相互運用性により、世界各地のさまざまな事業体間の連携と情報共有が強化され、サイバー脅威との戦いやベストプラクティスの交換に向けた共同の取り組みが促進される。
A unified approach to cybersecurity regulations allows for a comprehensive understanding and management of risks, transcending different regions in the electricity industry. Standardizing regulations minimizes the complexity and costs of compliance for global corporations, eliminating the need to navigate a multitude of divergent regulations.  サイバーセキュリティ規制への統一的なアプローチにより、電力業界のさまざまな地域を超えて、リスクを包括的に理解しマネジメントすることが可能になる。規制を標準化することで、グローバル企業のコンプライアンスの複雑さとコストを最小限に抑え、多数の異なる規制をナビゲートする必要がなくなる。
Global interoperability also leads to more robust defence mechanisms against cyber threats by enabling standardized cybersecurity practices, bolstering overall cyber resilience. A harmonized regulatory landscape fosters a fair playing field, encouraging innovation and the development of new cybersecurity technologies, free from varying compliance requirements.  また、グローバルな相互運用性は、標準化されたサイバーセキュリティの実践を可能にすることで、サイバー脅威に対するより強固な防御メカニズムにつながり、全体的なサイバーレジリエンスを強化する。規制の調和は公平な競争の場を促進し、さまざまなコンプライアンス要件から解放されたサイバーセキュリティ技術の革新と発展を促す。
In a cyber incident with global implications, uniform regulations enable a coordinated and efficient response across multiple jurisdictions, significantly mitigating the impact of such incidents. Given the global spread of supply chains, being able to rely on shared prevention, mitigation, information sharing and incident response practices will lead to a more sustainable, cyber resilient ecosystem worldwide. Ultimately, regulatory interoperability for cybersecurity around the world is imperative to foster a more secure digital and physical environment. It can align standards, promote collaboration, reduce costs and effectively manage and respond to cyber threats worldwide. グローバルな影響を及ぼすサイバーインシデントが発生した場合、統一された規制によって、複数の法域にまたがる協調的かつ効率的な対応が可能になり、そのようなインシデントの影響が大幅に低減される。サプライチェーンがグローバルに広がっていることを考えると、予防、低減、情報共有、インシデント対応のプラクティスを共有できることは、世界的により持続可能で、サイバーレジリエンスの高いエコシステムにつながる。最終的には、世界中のサイバーセキュリティに関する規制の相互運用性は、より安全なデジタルおよび物理的環境を促進するために不可欠である。これにより、標準を合わせ、協力を促進し、コストを削減し、世界中のサイバー脅威を効果的に管理し、対応することができる。
3. 10 key themes for global regulatory interoperability 3. グローバルな規制の相互運用性のための10の主要テーマ
After analysing multiple regulations, the community has identified 10 key global regulatory themes for regulators to consider. 複数の規制を分析した結果、コミュニティは、規制当局が検討すべき10の主要なグローバル規制テーマを特定した。
FIGURE 1. Key themes for facilitating global interoperability of cyber regulations 図 1. サイバー規制のグローバルな相互運用性を促進するための主要テーマ
20231124-45847
1. Compliance and enforcement 1. コンプライアンスと執行
2. Data protection and privacy 2. データ保護とプライバシー
3. Information sharing 3. 情報共有
4. Incident response and reporting 4. インシデント対応と報告
5. Cybersecurity hygiene internal policies and procedures 5. サイバーセキュリティ衛生に関する社内方針と手順
6. Penetration testing 6. 侵入テスト
7. Vulnerability disclosure and management 7. 脆弱性の開示と管理
8. Risk assessment and management 8. リスクアセスメントとマネジメント
9. Third-party risk management 9. サードパーティリスク管理
10. Adoption of existing international standards versus creation of unique, national (or regional) standards 10. 既存の国際標準の採用か、独自の国内(または地域)標準の策定か。
4. Community position on the key themes 4. 主要テーマに関するコミュニティの見解
The SCRE Global Regulations working group has adopted the following positions on the 10 key global regulatory themes: SCRE Global Regulations ワーキンググループは、10 の主要なグローバル規制テーマについて以下の立場を採択した:
1. Compliance and enforcement: Global commitment to prioritize cybersecurity best practices over compliance. This implies a shift in mindset. Instead of merely meeting regulatory requirements, the focus is on prioritizing cybersecurity measures and protocols, sometimes beyond what is mandated. This approach emphasizes a proactive stance in ensuring a high level of cybersecurity rather than just checking the boxes to comply with regulations.  1. コンプライアンスと執行:コンプライアンスよりもサイバーセキュリティのベストプラクティスを優先することを世界的に約束する。これは、考え方の転換を意味する。単に規制要件を満たすのではなく、サイバーセキュリティ対策やプロトコルを優先させることに重点を置く。このアプローチは、規制を遵守するために単にチェックボックスをチェックするのではなく、高いレベルのサイバーセキュリティを確保するための積極的な姿勢を強調するものである。
2. Data protection and privacy: Global commitment to support data protection and privacy regulations such as the General Data Protection Regulation (GDPR) of the European Union (EU). This commitment indicates a recognition of the importance of safeguarding sensitive information. Its ambit includes data privacy, ensuring the confidentiality, integrity and availability of data while aligning with the principles of privacy by design and default.  2. データ保護とプライバシー: 欧州連合(EU)の一般データ保護規則(GDPR)のようなデータ保護とプライバシー規制を支持するグローバルなコミットメント。このコミットメントは、機密情報を保護することの重要性を認識していることを示している。その範囲にはデータプライバシーが含まれ、プライバシー・バイ・デザインとデフォルトの原則に沿いながら、データの機密性、完全性、可用性を確保する。
3. Information sharing: Global commitment to create and use a common information-sharing protocol and taxonomy worldwide, and to support the respective electricity information sharing and analysis centres (ISACs). Establishing a common information-sharing protocol and taxonomy globally is vital. It allows for consistent communication and collaboration among various stakeholders in the electricity sector, enhancing the ability to promptly identify and respond to threats. This commitment extends to supporting ISACs.  3. 情報共有: 世界共通の情報共有プロトコルと分類法を作成・使用し、各電力の情報共有・分析センター(ISAC)を支援することを約束する。世界共通の情報共有プロトコルと分類法を確立することは極めて重要である。これによって、電力セクターのさまざまな利害関係者の間で一貫したコミュニケーションと協力が可能になり、脅威を迅速に特定し対応する能力が強化される。このコミットメントはISACの支援にも及ぶ。
4. Incident response and reporting: Global commitment to adopt a common and efficient international incident reporting taxonomy and requirements. This commitment would ensure a standardized approach to reporting cybersecurity incidents. Such a taxonomy facilitates a better and shared understanding of the nature and impact of incidents, enabling a coordinated and timely response both within and across borders.  4. インシデント対応と報告: 共通かつ効率的な国際的インシデント報告分類法と要件を採用することを世界的に約束する。このコミットメントにより、サイバーセキュリティインシデントを報告するための標準化されたアプローチが確保される。このような分類法は、インシデントの性質と影響に関するより良い共通の理解を促進し、国内および国境を越えた協調的かつタイムリーな対応を可能にする。
5. Cybersecurity hygiene internal policies and procedures: Global commitment to establish basic cyber hygiene principles specific to the electricity sector. This commitment would provide for a foundational level of security across all operations, reducing vulnerabilities, enhancing overall resilience and promoting a cybersecurity culture.  5. サイバーセキュリティ衛生に関する内部の方針と手順: 電力部門に特化したサイバー衛生の基本原則を確立するための世界的なコミットメント。このコミットメントは、すべての業務にわたって基礎的なレベルのセキュリティを提供し、脆弱性を低減し、全体的なレジリエンスを強化し、サイバーセキュリティ文化を促進する。
6. Penetration testing: Global commitment to regular internal penetration testing, which includes operational technology (OT) penetration testing. This allows for identifying and addressing potential weaknesses in systems and infrastructure, fortifying defences against cyber threats.  6. 侵入テスト: 運用技術(OT)侵入テストを含む、定期的な内部侵入テストへのグローバルなコミットメント。これにより、システムやインフラの潜在的な弱点を特定して対処し、サイバー脅威に対する防御を強化することができる。
7. Vulnerability disclosure and management: Global commitment to sectorial vulnerability disclosure among closed groups of sectorspecific, pre-authorized entities. This would foster a secure environment for information sharing within closed groups, allowing for proactive resolution of vulnerabilities without risking widespread exposure.  7. 脆弱性の開示と管理: セクターごとに事前に認可された事業体のクローズドなグループ間で、セクターごとの脆弱性開示に世界的に取り組む。これにより、クローズドなグループ内での情報共有のための安全な環境が醸成され、広範なエクスポージャーのリスクを冒すことなく、脆弱性を事前に解決することが可能となる。
8. Risk assessment and management: Global commitment to applying risk assessment methodology consistently across information technology and operational technology environments. Applying consistent risk assessment methodology across IT and OT environments ensures a comprehensive understanding of potential risks, allowing for better-informed and timely decision-making regarding cybersecurity matters.  8. リスクアセスメントとマネジメント: 情報技術(IT)および業務技術(IT)環境全体で一貫したリスクアセスメント手法の適用にグローバルに取り組む。IT 環境と OT 環境に一貫したリスクアセスメント手法を適用することで、潜在的なリスクを包括的に 理解し、サイバーセキュリティに関する意思決定をより的確かつタイムリーに行うことができる。
9. Third-party risk management: Global commitment that every organization in the supply chain must consider and be responsible for the cybersecurity of its scope of work. This would ensure a comprehensive approach to managing and mitigating risks associated with third-party involvement, securing and embracing ecosystem-wide resilience in the electricity sector.  9. サードパーティリスクマネジメント: サプライチェーン内のすべての組織が、その業務範囲のサイバーセキュリティを検討し、責任を負わなければならないというグローバルなコミットメント。これにより、サードパーティの関与に関連するリスクを管理・低減する包括的なアプローチが確保され、電力セクターにおけるエコシステム全体のレジリエンスが確保され、包含されることになる。
10. Adoption of existing international standards versus creation of unique, national (or regional) standards: Global commitment to adoption of mature existing international standards such as ISO 27001 and the ISA/IEC 62443 series. Adopting existing international standards rather than creating unique regional standards would ensure a more universally accepted and harmonized approach to cybersecurity practices, leveraging established best practices. These standards should be updated when needed to allow for a harmonized approach to global regulations instead of frequent changes trying to account for evolving technologies and threats. 10. 既存の国際標準の採用と、各国(または地域)独自の標準の作成との比較: ISO 27001 や ISA/IEC 62443 シリーズなど、成熟した既存の国際標準の採用に世界的に取り組む。地域ごとに独自の標準を策定するのではなく、既存の国際標準を採用することで、確立されたベストプラクティスを活用したサイバーセキュリティの実践がより普遍的に受け入れられ、調和されたアプローチとなる。これらの標準は、進化する技術や脅威を考慮して頻繁に変更するのではなく、グローバルな規制に調和したアプローチを可能にするために、必要に応じて更新されるべきである。
Conclusion 結論
These collective commitments help regulators and other stakeholders in the electricity sector to share a common vision and understand what the electricity sector deems as important to be cyber resilient. Together, they embody the direction that the global community is heading towards.  これらの集団的なコミットメントは、規制当局と電力セクターの他の利害関係者が共通のビジョンを共有し、電力セクターがサイバーレジリエンスを高めるために何が重要だと考えているかを理解するのに役立つ。これらは共に、国際社会が目指す方向を体現している。
Achieving global interoperability of cybersecurity regulations in the electricity sector demands a significant shift in approach. This transformation involves prioritizing security measures over mere regulatory compliance, taking a proactive stance to bolster cybersecurity standards and ensuring a higher level of protection. It requires the establishment of consistent risk evaluations, uniform standards and shared responsibility throughout the supply chain to strengthen the cybersecurity structure of the sector.  電力セクターにおけるサイバーセキュリティ規制のグローバルな相互運用性を達成するには、アプローチの大幅な転換が必要である。この転換には、単なる規制遵守よりもセキュリティ対策を優先し、サイバーセキュリティ標準を強化するために積極的な姿勢をとり、より高いレベルの保護を確保することが含まれる。そのためには、一貫したリスク評価、標準の統一、サプライチェーン全体での責任分担を確立し、このセクターのサイバーセキュリティ体制を強化する必要がある。
Additionally, the adoption of international standards and the promotion of secure information-sharing environments play a critical role. These actions encourage collaboration, innovation and effective strategies for responding to incidents worldwide. Support for standardized data protection laws, such as GDPR, highlights the commitment to safeguarding sensitive information and ensuring its integrity and confidentiality.  さらに、国際標準の採用と安全な情報共有環境の促進も重要な役割を果たす。これらの行動は、世界的なインシデントに対応するための協力、革新、効果的な戦略を促進する。GDPRのような標準化されたデータ保護法の支持は、機密情報を保護し、その完全性と機密性を確保するというコミットメントを強調するものである。
Ultimately, the journey towards a more secure and robust electricity sector involves aligning regulations, fostering collaboration and streamlining endeavours across diverse jurisdictions. This collective endeavour not only mitigates cyber threats but also promotes innovation and coordinated response mechanisms, thus establishing a resilient and unified global cybersecurity approach within the electricity industry. 最終的に、より安全で堅牢な電力セクターを目指すには、規制を整え、協力を促進し、多様な管轄区域にまたがる努力を合理化する必要がある。この集団的な努力は、サイバー脅威を軽減するだけでなく、イノベーションと協調的な対応メカニズムを促進し、電力業界におけるレジリエンスと統一されたグローバルなサイバーセキュリティ・アプローチを確立する。

 

Annex 1: Related publications  附属書1:関連出版物 
1. Cyber Resilience in the Electricity Ecosystems: Principles and Guidance for Boards  1. 電力エコシステムにおけるサイバーレジリエンス: 理事会のための原則とガイダンス 
https://www3.weforum.org/docs/WEF_Cyber_Resilience_in_the_Electricity_Ecosystem.pdf 
2. Cyber Resilience in the Electricity Industry: Analysis and Recommendations on Regulatory Practices for the Public and Private Sectors  2. 電力業界におけるサイバーレジリエンス: 官民セクターの規制慣行に関する分析と提言 
https://www3.weforum.org/docs/WEF_Cyber_Resilience_in_the_Electricity_Ecosystem_Policy_ makers_2020.pdf 
3. Cyber Resilience in the Electricity Ecosystems: Playbook for Boards and Cybersecurity Officers  3. 電力エコシステムにおけるサイバーレジリエンス: 取締役会とサイバーセキュリティ・オフィサーのためのプレイブック 
https://www3.weforum.org/docs/WEF_Cyber_Resilience_in_the_Electricity_Ecosystem_Playbook_for_ Boards_and_Cybersecurity_Officers_2020.pdf 
4. Cyber Resilience in the Electricity Ecosystems: Securing the Value Chain  4. 電力エコシステムにおけるサイバーレジリエンス: バリューチェーンの確保 
https://www3.weforum.org/docs/WEF_Securing_the_Electricity_Value_Chain_2020.pdf 
5. European Commission’s Cybersecurity Package: Commentary in light of recent sophisticated supply chain attacks  5. 欧州委員会のサイバーセキュリティ・パッケージ: 最近の高度なサプライチェーン攻撃を踏まえた解説 
https://www3.weforum.org/docs/WEF_Commentary_in_light_of_recent_sophisticated_supply_chain_ attacks_2021.pdf 
6. Response to the White House’s Request on Harmonizing Cybersecurity Regulations  6. サイバーセキュリティ規制の調和に関するホワイトハウスの要請への回答 
https://www3. weforum.org/docs/WEF_Response_to_the_White_House%E2%80%99s_Request_on_Harmonizing_ Cybersecurity_Regulations_2023.pdf

| | Comments (0)

2023.11.23

NIST NIST SP 800-140B Rev. 1 暗号モジュール検証プログラム(CMVP)セキュリティポリシー要件: ISO/IEC 24759 及び ISO/IEC 19790 附属書 B に対する CMVP 検証機関

こんにちは、丸山満彦です。

NISTの暗号モジュール検証プログラムのセキュリティポリシー要件についてのSPの改訂です。。。

 

NIST - ITL

・2023.11.17 NIST SP 800-140B Rev. 1 Cryptographic Module Validation Program (CMVP) Security Policy Requirements: CMVP Validation Authority Updates to ISO/IEC 24759 and ISO/IEC 19790 Annex B

 

NIST SP 800-140B Rev. 1 Cryptographic Module Validation Program (CMVP) Security Policy Requirements: CMVP Validation Authority Updates to ISO/IEC 24759 and ISO/IEC 19790 Annex B NIST SP 800-140B Rev. 1 暗号モジュール検証プログラム(CMVP)セキュリティポリシー要件: ISO/IEC 24759 及び ISO/IEC 19790 附属書 B に対する CMVP 検証機関
Abstract 概要
NIST Special Publication (SP) 800-140Br1 is to be used in conjunction with ISO/IEC 19790 Annex B and ISO/IEC 24759 section 6.14. The special publication modifies only those requirements identified in this document. SP 800-140Br1 also specifies the content of the information required in ISO/IEC 19790 Annex B. As a validation authority, the Cryptographic Module Validation Program (CMVP) may modify, add, or delete Vendor Evidence (VE) and/or Test Evidence (TE) specified under paragraph 6.14 of the ISO/IEC 24759 and specify the order of the security policy as specified in ISO/IEC 19790:2012 B.1. NIST 特別刊行物 (SP) 800-140Br1 は、ISO/IEC 19790 附属書 B および ISO/IEC 24759の6.14項 とともに使用される。SP 800-140Br1 は、ISO/IEC 19790 附属書 B 及び ISO/IEC 24759 セクション 6.14 とともに使用される。SP 800-140Br1 は、ISO/IEC 19790 附属書 B で要求される情報の内容も規定している。検証機関として、暗号モジュール検証プログラム(CMVP)は、ISO/IEC 24759 の 6.14 項で規定されるベンダーエビデンス(VE)および/またはテストエビデンス(TE)を修正、追加、または削除し、ISO/IEC 19790:2012 B.1 で規定されるセキュリティポリシーの順序を指定することができる。"

 

・[PDF] SP.800-140Br1

20231123-72149 

 

目次...

1. Introduction  1. 序文 
1.1. Scope 1.1. 適用範囲
1.2. Normative References 1.2. 規範となる参考文献
2. Document Organization 2. 文書の構成
2.1. General 2.1. 一般事項
2.2. Modifications 2.2. 変更点
3. Security Requirements 3. セキュリティ要件
3.1. Changes to ISO/IEC 24759 Section 6.14 and ISO/IEC 19790 Annex B Requirements 3.1. ISO/IEC 24759セクション6.14及びISO/IEC 19790附属書Bの要求事項の変更
3.2. Documentation Requirement Additions 3.2. 文書化要件の追加
3.3. Documentation Input, Structure, and Formatting 3.3. 文書入力、構造、フォーマット
Appendix A. Document Revisions 附属書 A. 文書の改訂
Appendix B. List of Symbols, Abbreviations, and Acronyms 附属書 B. 記号、略語、頭字語のリスト

 

 

SP800-140の現状...

2020.03.20 Final SP800-140 FIPS 140-3 Derived Test Requirements (DTR): CMVP Validation Authority Updates to ISO/IEC 24759 FIPS 140-3 派生テスト要件(DTR): ISO/IEC 24759に対するCMVP検証認可の更新
2020.03.20 Final SP800-140A CMVP Documentation Requirements: CMVP Validation Authority Updates to ISO/IEC 24759 CMVP 文書要件: CMVP 検証権限 ISO/IEC 24759 への更新
2023.11.17 Final SP800-140B Rev. 1 Cryptographic Module Validation Program (CMVP) Security Policy Requirements: CMVP Validation Authority Updates to ISO/IEC 24759 and ISO/IEC 19790 Annex B 暗号モジュール検証プログラム(CMVP)セキュリティポリシー要件:CMVP 検証機関は、ISO/IEC 24759 に更新する: ISO/IEC 24759 及び ISO/IEC 19790 附属書 B に対する CMVP 検証認可の更新
2023.07.25 Final SP800-140C Rev. 2 Cryptographic Module Validation Program (CMVP)-Approved Security Functions: CMVP Validation Authority Updates to ISO/IEC 24759 暗号モジュール検証プログラム(CMVP)承認セキュリティ機能: ISO/IEC 24759 に対する CMVP 検証認可の更新
2023.07.25 Final SP800-140D Rev. 2 Cryptographic Module Validation Program (CMVP)-Approved Sensitive Security Parameter Generation and Establishment Methods: CMVP Validation Authority Updates to ISO/IEC 24759 暗号モジュール検証プログラム(CMVP)-承認されたセンシティブ・セキュリティ・パラメー タ生成及び確立方法: ISO/IEC 24759 に対する CMVP 検証機関の更新情報
2020.03.20 Final SP800-140E CMVP Approved Authentication Mechanisms: CMVP Validation Authority Requirements for ISO/IEC 19790 Annex E and ISO/IEC 24579 Section 6.17 CMVPが承認した本人認証メカニズム: ISO/IEC 19790 附属書 E および ISO/IEC 24579 セクション 6.17 に対する CMVP 検証機関の要件
2020.03.20 Final SP800-140F CMVP Approved Non-Invasive Attack Mitigation Test Metrics: CMVP Validation Authority Updates to ISO/IEC 24759 CMVP承認非侵襲攻撃低減テストメトリクス: ISO/IEC 24759 に対する CMVP 検証機関のアップデート
2021.08.20 Draft SP800-140F Rev. 1 CMVP Approved Non-Invasive Attack Mitigation Test Metrics: CMVP Validation Authority Updates to ISO/IEC 24759 CMVPは、非侵襲的攻撃軽減テスト指標を承認した: CMVP 検証機関の ISO/IEC 24759 への更新

 

 


まるちゃんの情報セキュリティ気まぐれ日記

・2023.08.01 米国 NIST SP800-140C Rev. 2 CMVP 承認されたセキュリティ機能、 SP800-140D Rev.2 CMVP 承認された機密セキュリティー・パラメーターの生成及び確立方法

・2022.10.25 NIST SP 800-140B Rev. 1 (Draft) CMVP セキュリティポリシー要求事項 ISO/IEC 24759 および ISO/IEC 19790 附属書 B に対する CMVP 検証権限の更新(第2次公開草案)

・2022.05.25 NIST SP 800-140C Rev.1 CMVP 承認されたセキュリティ機能:ISO/IEC 24759 に対する CMVP 検証機関に関する更新、SP 800-140D Rev.1 CMVP 承認のセンシティブパラメーター生成及び確立方法:ISO/IEC 24759 に対する CMVP 検証機関の更新

 ・2022.05.14 NIST SP 800-140B Rev.1(ドラフト)CMVP セキュリティポリシー要件:ISO/IEC 24759 及び ISO/IEC 19790 附属書Bに対する CMVP検証権限の更新

・2022.02.12 NIST SP 800-140D Rev.1(ドラフト)CMVP認定済みのセンシティブパラメータ生成・確立方法:ISO/IEC 24759に対するCMVP検証機関のアップデート(第2稿)

・2022.02.12 NIST SP 800-140C Rev.1(ドラフト)CMVP認定済みのセキュリティ機能: ISO/IEC 24759に対するCMVP検証機関の更新(第2稿)

・2020.03.21 NIST SP 800-140 FIPS 140-3 Derived Test Requirements (DTR): CMVP Validation Authority Updates to ISO/IEC 24759

 

| | Comments (0)

米国 財務省 世界最大の仮想通貨取引所バイナンス社に対しマネーロンダリング防止法および制裁法違反で和解 和解額43億ドル()yaku

こんにちは、丸山満彦です。

財務省と世界最大の仮想通貨取引所バイナンス社 [wikipedia] がマネーロンダリング防止法および制裁法違反の件について違反金を約43億ドル(約6,400億円)支払うということで和解したようですね。。。

金融犯罪取締ネットワーク(Financial Crimes Enforcement Network:FinCEN)との和解額は34億ドル。外国資産管理局(Office of Foreign Assets Control:OFAC) の罰金は9億6800万ドル。

 

バイナンス社は、Wikipediaを見ている限り、法律を守らずにやってきた感じですよね。。。創設者で元CEOの趙昌鵬 (Changpeng Zhao) [wikipedia] は中国出身者で今はカナダ国籍のようですね。。。

業界トップがこういう状況では、産業として発展するのは難しいようにおもいますが、今回の件で、業界をリードするくらいの状況になれば、変わる可能性はありますね。。。

ランサムウェアの身代金として得たお金を渡してはならない人にも渡していたようですから、今回の件で、ランサムウェアを含む犯罪が減少することになればより良いですよね。。。

 

財務省のウェブページ

・2023.11.21 U.S. Treasury Announces Largest Settlements in History with World’s Largest Virtual Currency Exchange Binance for Violations of U.S. Anti-Money Laundering and Sanctions Laws

 

金融犯罪取締ネットワーク

Financial Crimes Enforcement Network:FinCEN

enforcement-actions

・[PDF] In the Matter of Binance Holdings Limited, et. al. d/b/a Binance and Binance.com

20231123-10738



外国資産管理局

Office of Foreign Assets Control:OFAC 

和解合意書

・2023.11.21 [PDF] SETTLEMENT AGREEMENT

20231123-11427

 

・2023.11.21 Settlement Agreement between the U.S. Department of the Treasury’s Office of Foreign Assets Control and Binance Holdings, Ltd.

20231123-11751

 

 

司法省

Department of Justice - Deputy Attorney General News

・2023.11.21 VIDEO Binance and CEO Plead Guilty to Federal Charges in $4B Resolution

・2023.11.21 Binance and CEO Plead Guilty to Federal Charges in $4B Resolution

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.07.29 米国 GAO 暗号資産の包括的な監視を確保するために立法と規制措置が必要である (2023.07.23)

・2023.07.18 金融安定理事会 (FSB) 暗号資産とステーブルコインに関するグローバルな規制枠組みを最終決定

・2023.04.27 EU 議会 暗号資産に関する法案を承認

・2023.03.29 米国 司法省 30億ドル以上の違法取引を処理したダークネット暗号通貨ミキサーのテイクダウンに成功 (2023.03.15)

・2023.01.04 世界経済フォーラム (WEF) 暗号通貨の未来はこうなる

・2022.12.03 Interpol サイバー化された金融犯罪:インターポールの世界的な警察活動で1億3,000万米ドル(175億円)を阻止 (2022.11.24)

・2022.10.15 警察庁 金融庁 NISC 北朝鮮当局の下部組織とされるラザルスと呼称されるサイバー攻撃グループによる暗号資産関連事業者等を標的としたサイバー攻撃について(注意喚起)

・2022.10.12 金融安定理事会 (FSB) 暗号資産活動の国際的規制の枠組みの提案

・2022.09.21 米国 デジタル資産の責任ある開発に関する包括的フレームワーク (2022.09.16)

・2022.08.01 金融庁 寄稿 暗号資産交換所ビジネスの現状とモニタリングの方向性(金融財政事情 2022.05.17)

・2022.04.12 金融庁 「マネー・ローンダリング・テロ資金供与・拡散金融対策の現状と課題」(2022年3月)(2022.04.08)

・2022.03.18 米国 FBIが新たに仮想資産課 (VAU) を設立...

・2022.03.10 米国 デジタル資産の責任ある開発を確保するための大統領令

2022.03.03 米国 司法省 タスクフォース KleptoCapture (ロシアの資金源を断つ?)

 


・2023.08.09 ロシア デジタル・ルーブルのロゴ

・2023.07.13 ロシア デジタル・ルーブル

・2023.07.04 世界経済フォーラム (WEF) 中央銀行デジタル通貨 (CBDC) グローバル相互運用性原則

・2023.07.01 欧州委員会 デジタルユーロの立法案

・2022.04.04 米国 デジタル・ドルができる? H.R. 7231 電子通貨および安全なハードウェア(ECASH)法案

・2021.12.13 中国 第14次5カ年計画 デジタル経済開発計画

・2021.07.15 国際決済銀行 (BIS) ・国際通貨基金 (IMF) ・世界銀行 国際決済のための中央銀行デジタル通貨 (CBDC) に関するG20への報告書

 

| | Comments (0)

ENISA 2024年のEU議会議員選挙に向けたサイバー演習

こんにちは、丸山満彦です。

2024年はEU議会議員選挙に向けて、各国およびEUのパートナーは、欧州の選挙に影響を及ぼす可能性のあるサイバーセキュリティ・インシデントに対する危機管理計画と対応策をテストしたようですね。。。

米国でも選挙は重要インフラとして保護の対象となっていますね。。。日本って選挙は基幹インフラに含まれていたっけ???

 

さて、ENISAによる演習では、潜在的なサイバー脅威やインシデントを想定したさまざまなシナリオに基づき、以下のことを実施したようですね。。。

  • 他の利害関係者(政党、選挙運動組織、関連IT機器のサプライヤーなど)の意識レベルの評価も含め、欧州選挙における重要な側面のレベルについて知識を深める;

  • 国家レベルの関連当局(選挙当局、サイバーセキュリティ当局、コンピュータセキュリティインシデント対応チーム(CSIRT)、データ保護当局(DPA)、偽情報問題に対処する当局などのその他の関連機関・機関、およびデジタルサービス法(DSA)の施行を担当する欧州委員会のサービスなどのEUレベルの関連機関・機関を含む)間の協力を強化する;

  • 既存のEU加盟国が、欧州選挙のサイバーセキュリティに関するリスクを適切に評価し、状況認識を迅速に展開し、国民への情報伝達を調整する能力を有していることを検証する;

  • 既存の危機管理計画や、サイバーセキュリティ攻撃や偽情報キャンペーンを含むハイブリッドな脅威を予防、検知、管理、対応するための関連手順をテストする;

  • その他すべての潜在的なギャップを特定し、欧州議会選挙に先駆けて実施すべき適切なリスク軽減策を特定する。

詳細はわかりませんが、偽情報についても触れられているので、そういうことも含めて対応の訓練をしたのかもしれませんね。。。

 

ENISA

・2023.11.21 EU cybersecurity exercise: foster cooperation, secure free and fair EU elections

72e5e7a820334aacbe7720c28af932ca

 

関連情報

 


 

 選挙関係。。。

まるちゃんの情報セキュリティ気まぐれ日記

・2023.11.14 スイス ETH Zürich ハイブリッド戦争の評価:事実と虚構を分ける

・2023.10.26 ENISA 脅威状況2023 - AIによる情報操作の台頭でEUの選挙がリスクにさらされる

・2023.09.20 ENISA 2030の脅威の展望 (2023.09.13)

・2023.08.25 シンガポール CSR 大統領選に向け立候補者、有権者、それぞれに向けてサイバー関連の注意喚起

・2023.08.07 米国 MITRE グローバル民主主義への脅威

・2023.06.07 ドイツ 電子投票システムのプロテクションプロファイル、非政治的な選挙を実施するためのITセキュリティ要件についての技術ガイド

・2023.04.05 米国 政府による監視技術の使用に関する指導原則 権威主義的な政権に対抗するための民主主義を肯定する検閲防止技術を推進するための米国政府官民の呼びかけ (2023.03.30)

・2023.04.04 米国 ファクトシート:「民主主義のための技術の進歩」と「バイデン-ハリス政権の国内外における民主主義の再生への揺るぎないコミットメント」 (2023.03.29)

・2023.04.04 ENISA 先見の明 2030年に向けたサイバーセキュリティの脅威 (2023.03.29)

 

米国のサイバー軍が守る対象の中には、選挙システムがありますね。。。

・2023.03.13 サイバー軍 ポール・M・ナカソネ将軍の姿勢表明

 

米国のサイバー戦略にも選挙はでてきますね。。。

・2023.03.04 米国 国家サイバーセキュリティ戦略を発表

 

米国のCISAにもサイバー軍の成果として選挙の保護がありますね。。。

・2023.01.17 米国 CISA 2022年の振り返り (2023.01.12)

・2023.01.03 米国 サイバー司令部の2022年

 

・2022.10.11 米国 FBI 中間選挙を前にサイバーセキュリティについて議論

・2022.09.21 米国 CISA 戦略計画 2023-2025

・2022.08.27 米国 サイバー司令部:米サイバー軍とNSAは中間選挙をどう守るか。一つのチーム、一つの戦い

 

・2022.08.26 スイス ETH Zürichsで公表されている最近のサイバー作戦、サイバー攻撃等、サイバー関連の最近の記事、論文

 

・2022.08.14 米国 国土安全保障省 監察官室 国土安全保障省は偽情報キャンペーンに対する統一的な戦略が必要

・2022.04.06 第117回米国連邦議会におけるポール・M・ナカソネ米サイバー軍司令官の姿勢表明

・2022.03.03 笹川平和財団 「我が国のサイバー安全保障の確保」事業 政策提言 "外国からのディスインフォメーションに備えを! ~サイバー空間の情報操作の脅威~" (2022.02.07)

・2021.12.16 CISA 新しいサイバーセキュリティ諮問委員会の設立会合を開催(委員長等の選任と5つの小委員会の設立)

 

ドイツのサイバーセキュリティ戦略にも選挙システムは記載されていますね。。。

・2021.09.26 独国 サイバーセキュリティ戦略2021 at 2021.09.08

・2021.05.03 U.S. CISA 偽情報・誤情報の脅威とその対応方法についての(いかにもアメリカンな)漫画

・2021.03.30 NISTIR 8310 (Draft) サイバーセキュリティフレームワーク(CSF) 選挙インフラのプロファイル

・2020.08.20 FBIロサンゼルスは、選挙の安全性と海外の悪質な影響力について市民を教育するための全国メッセージングキャンペーンに参加

| | Comments (0)

2023.11.22

COSO 不正リスク管理ガイド 第2版

こんにちは、丸山満彦です。

COSOが不正リスク管理ガイド 第2版を公表していましたね。。。2016年に初版が公開されて第2版ということになりますね。。。要旨が無料で読めます。。。

個人情報や機密情報漏えいの観点からいえば、組織内部の人が情報漏えいに加担しているケースなどは、不正リスクということも言えますね。特に正式なアクセス権を持っている人がそれを行う場合は、通常の予防的コントロールがあまり効かないので、それ以外の手法、例えば発見的統制、また、それによる抑止効果なども含めて、複層的に考える必要がありますね。。。

この分野は、長い歴史を持つ、公認会計士の経験が生きる分野だろうと思います...

 

COSO

The Fraud Risk Management Guide: 2nd Edition

・[PDF

20231122-40022

 

The Ever-Present Risk of Fraud and its Costs 常に存在する不正のリスクとそのコスト
All organizations are subject to fraud risks. Some organizational leaders may question whether the benefits derived from implementing and maintaining a Fraud Risk Management Program outweigh the costs. This Guide demonstrates why the answer to that question is Yes, and provides help in implementing such a program. すべての組織は不正リスクにさらされている。組織のリーダーの中には、不正リスク管理プログラムを実施・維持することで得られる便益がコストを上回るかどうか疑問に思う人もいるかもしれない。本ガイドは、その疑問に対する答えが「イエス」である理由を示し、そのようなプログラムを実施する際の支援を提供する。
Publicized fraudulent behavior by key executives, other employees, and outsiders repeatedly demonstrate the reality of this ever-present risk and how it negatively impacts reputations, brands, and images of many organizations around the globe. Large frauds have led to the collapse of entire organizations, massive asset losses, significant legal costs, incarceration of key individuals, and erosion of confidence in capital markets, government, and not-for-profit entities. Even relatively small frauds can be devastating to an organization, resulting in: 主要幹部、その他の従業員、部外者による不正行為が公表されるたびに、この常に存在するリスクの現実と、それが世界中の多くの組織の評判、ブランド、イメージにいかに悪影響を及ぼすかが実証されている。大規模な不正行為は、組織全体の崩壊、巨額の資産損失、多額の訴訟費用、重要人物の投獄、資本市場や政府、非営利団体に対する信頼の失墜につながった。比較的小規模な不正行為であっても、組織に壊滅的な打撃を与え、以下のような結果をもたらす:
• Loss of trust in management and the breakdown of teamwork and organizational cohesion ・経営陣の信頼を失い,チームワークと組織の結束が崩壊する。
• Increased scrutiny from law enforcement and regulatory bodies ・法執行機関や規制機関からの監視の強化
• Loss of trust by stakeholders (shareholders, donors, customers, taxpayers, and the public) ・利害関係者(株主、寄付者、顧客、納税者、一般市民)からの信頼の失墜
• Increased employee and management turnover ・従業員や経営陣の離職率の増加
• Reputational damage ・風評被害
• Loss of competitive advantage ・競争上の優位性の喪失
It is impossible and impractical to eliminate all fraud in all organizations. However, effective leaders address fraud risk as they do any risk — they manage it. The Fraud Risk Management Guide provides a blueprint to do just that. It is based on the proven principles of enterprise risk management as published by COSO, most recently in 2017. This Guide gives organizations, whether large or small, government or private, profit or non-profit, the information necessary to design a plan specific to the risks for that entity. There is no “one-size-fits-all approach” to managing fraud risk. But with the right approach, an organization can create a custom-fitted program tailored to its specific needs. 全ての組織において全ての不正を排除することは不可能であり、現実的ではない。しかし、効果的なリーダーは、あらゆるリスクと同じように不正リスクに対処する-管理するのである。不正リスクマネジメントガイドは、まさにそのための青写真を提供するものである。本ガイドは、COSOが2017年に発表したエンタープライズ・リスク・マネジメントの原則に基づいている。本ガイドは、規模の大小、政府・民間、営利・非営利を問わず、各組織のリスクに特化した計画を策定するために必要な情報を提供する。不正リスク管理に「万能なアプローチ」は存在しない。しかし、適切なアプローチを用いれば、組織固有のニーズに合わせたカスタムメイドのプログラムを作成することができる。
A Growing Area of Fraud Risk 拡大する不正リスクの領域
Organizations committed to fraud prevention, detection, and deterrence will address not just internal fraud risks — frauds perpetrated by parties within the organization, but also external fraud risks — fraud perpetrated on the organization by outside parties such as ransomware, data breaches, identity theft, and a wide range of corruption schemes that continue to evolve. 不正行為の防止、検知、抑止に取り組む組織は、内部不正リスク(組織内の関係者によって行われる不正行為)だけでなく、外部不正リスク(ランサムウェア、データ漏洩、個人情報の盗難、進化し続ける幅広い腐敗スキームなど、外部の関係者によって組織に行われる不正行為)にも取り組むことになる。
Fraud Deterrence Now and in the Future 現在と将来の不正抑止策
Implementation of the principles in this Guide will maximize the likelihood that fraud will be prevented or detected in a timely manner and can create a strong fraud deterrence effect. 本ガイドの原則を実施することで、不正を防止または適時に発見できる可能性を最大限に高め、強力な不正抑止効果を生み出すことができる。
COSO’s mission is to help organizations improve performance by developing thought leadership that enhances internal control, risk management, governance and fraud deterrence. The Fraud Risk Management Guide is a key tool for furthering this mission, particularly with respect to fraud deterrence. COSOの使命は、内部統制、リスク管理、ガバナンス、不正抑止を強化するソートリーダーシップを開発することにより、組織の業績向上を支援することである。不正リスク管理ガイドは、特に不正抑止に関して、この使命を推進するための重要なツールである。
As a first step in discussing fraud deterrence, the following practical definition of fraud1 is used in this Guide: 不正抑止について議論する第一歩として、本ガイドでは以下のような不正の実践的定義1 を用いている:
Therefore, to successfully achieve fraud deterrence, organizations will implement policies and procedures that target the prevention and detection of fraud. Organizations that implement a rigorous Fraud Risk Management Program will further strengthen fraud deterrence by making it known that potential fraud perpetrators face a significant likelihood of getting caught and being punished. したがって、不正抑止を成功裏に達成するために、組織は不正の防止と発見を目標とする方針と手続を実施する。厳格な不正リスク管理プログラムを実施する組織は、潜在的な不正加害者が捕まり処罰を受ける可能性が高いことを周知させることで、不正抑止力をさらに強化する。
Deterrence is also supported and enhanced by the knowledge throughout the organization that: 抑止力はまた、次のような組織全体の知識によっても支えられ、強化される:
• Those charged with governance have made a commitment to comprehensive fraud risk management ・ガバナンスを担う者が,包括的な不正リスク管理に取り組んでいる。
• Periodic fraud risk assessments are being conducted and updated as risks change or new information becomes known  ・定期的な不正リスク評価を実施し,リスクの変化や新情報の判明に応じて更新する。
• Fraud preventive and detective control activities, including data analytics — overt and covert — are being conducted  ・公然・非公然を問わず,データ分析を含む不正の予防・発見管理活動が実施されている。
• Suspected frauds are investigated quickly  ・不正の疑いがある場合は迅速に調査している
• Fraud reporting mechanisms are in place  ・不正報告体制が整備されている
• Discovered frauds are remediated thoroughly  ・発見された不正は徹底的に是正される
• Wrongdoing has been appropriately disciplined  ・不正行為が適切に処分されている
• The entire Fraud Risk Management Program is being constantly monitored ・不正リスク管理プログラム全体が常に監視されている
Roles and Responsibilities  役割と責任 
The board of directors2 and top management have responsibility for managing fraud risk. In particular, they are expected to understand how the organization is responding to heightened risks and emerging exposures, as well as public and stakeholder scrutiny; what form of Fraud Risk Management Program the organization has in place; how it identifies fraud risks; what it is doing to better prevent fraud, or at least detect it sooner; and what processes are in place to investigate fraud and take corrective action. Further, personnel at all levels of the organization have a responsibility to understand the effects of fraud and the importance of preventing fraud. This Guide is designed to help address these complex issues. 取締役会2 とトップマネジメントは、不正リスクを管理する責任を負う。特に、組織がリスクの高まりや新たなエクスポージャー、世間や利害関係者の監視にどのように対応しているか、組織がどのような不正リスク管理プログラムを導入しているか、不正リスクをどのように特定しているか、不正をよりよく防止するため、あるいは少なくともより早く発見するために何をしているか、不正を調査し是正措置を講じるためにどのようなプロセスがあるかを理解することが期待されている。さらに、組織のあらゆるレベルの職員には、不正の影響と不正防止の重要性を理解する責任がある。本ガイドは、このような複雑な問題に対処するためのものである。
How it Works  仕組み 
This Guide provides implementation guidance for a Fraud Risk Management Program that defines principles and points of focus for fraud risk management and describes how organizations of various sizes and types can establish their own Fraud Risk Management Programs. The Guide includes examples of key program components and resources that organizations can use as a starting place to develop a Fraud Risk Management Program effectively and efficiently. In addition, and recognizing that no two organizations are the same, the Guide contains references to other sources of guidance to allow for tailoring a Fraud Risk Management Program to a particular industry or to government or not-for-profit organizations. Each organization will assess the degree of emphasis to place on fraud risk management based on its size and circumstances. The Guide also contains valuable information for users who are implementing a Fraud Risk Management Program. This includes addressing fraud risk management roles and responsibilities, fraud risk management considerations for smaller organizations, data analytics, and managing fraud risk in the government environment. 本ガイドは、不正リスク管理プログラムの実施ガイダンスを提供し、不正リスク管理の原則と重点を定め、様々な規模や種類の組織が、どのように独自の不正リスク管理プログラムを確立できるかを説明する。本ガイドには、組織が効果的かつ効率的に不正リスク管理プログラムを策定するための出発点として利用できる、プログラムの主要な構成要素やリソースの例が含まれている。加えて、どの組織も同じではないことを認識し、特定の業種や政府・非営利団体に合わせた不正リスク管理プログラムを作成できるよう、本ガイドには他のガイダンス・ソースへの参照も含まれている。各組織は、その規模や状況に応じて、不正リスク管理にどの程度重点を置くべきかを判断することになる。また、本ガイドには、不正リスクマネジメントプログラムを実施するユーザーにとっても貴重な情報が含まれている。これには、不正リスク管理の役割と責任、小規模組織における不正リスク管理の考慮事項、データ分析、政府環境における不正リスク管理などが含まれる。
What’s New in the 2023 Fraud Risk Management Guide?  2023年不正リスクマネジメントガイドの新機能 
Following publication of the Fraud Risk Management Guide in 2016, it became recognized as containing a widely accepted set of leading practices for anti-fraud professionals and organizations intent on deterring fraud. But, fraud is not static. Accordingly, COSO and ACFE initiated an update process that included reaching out to a broad range of users for recommendations on where the Guide can be improved, and assembled a team to take a refreshed look at the Guide and assess how and where it should be updated. Following are the key changes to this 2023 edition: 2016年に発行された「不正リスクマネジメントガイド」は、不正対策の専門家や不正抑止を目的とする組織にとって、広く受け入れられている主要な慣行が含まれていると認識されるようになった。しかし、不正は静的なものではない。そこで、COSOとACFEは、本ガイドの改善点に関する提言を求めるため、幅広いユーザーへの働きかけを含む更新プロセスを開始し、本ガイドを再点検し、どのように、どこを更新すべきかを評価するチームを編成した。以下は、2023年版の主な変更点である:
Fraud risk management and deterrence. This edition explains how fraud risk management relates to and supports fraud deterrence — a key theme in COSO’s missions.  不正リスク管理と抑止 この版では,不正リスクマネジメントが,COSOのミッションの主要テーマである不正抑止とどのように関連し,どのように支援しているかについて説明している。
Relationships among COSO’s two frameworks and fraud risk management. This edition explains how the COSO 2013 Internal Control — Integrated Framework, the COSO 2017 Enterprise Risk Management — Integrating with Strategy and Performance Framework and the Fraud Risk Management Guide are related and support each other.  COSOの2つのフレームワークと不正リスクマネジメントの関係。この版では、COSO 2013内部統制-統合フレームワーク、COSO 2017エンタープライズ・リスク・マネジメント-戦略及びパフォーマンスとの統合フレームワーク、及び不正リスクマネジメントガイドが、どのように関連し、互いに支援し合っているかを説明している。
Expanded information on data analytics. Data analytics continues to grow in importance as a key tool for the prevention and early detection of fraud. Advanced applications of data analytics may be less familiar to some users than standard tools, such as interviewing and whistleblower systems. Accordingly, this edition includes expanded and updated information on data analytics, while continuing to emphasize the importance of interviewing and whistleblower systems. A data analytics Point of Focus has been added to each of the five fraud risk management principles to demonstrate how the use of data analytics is an integral part of each principle. Further, the data analytics appendix has been updated and expanded. This approach is not meant to downplay the importance of other tools, but rather, to highlight the increasing power of data analytics in managing fraud risk. データアナリティクスに関する情報の拡充。データアナリティクスは,不正の防止と早期発見のための重要なツールとして重要性を増し続けている。データアナリティクスの高度なアプリケーションは,聞き取り調査や内部告発システムといった標準的なツールに比べ,ユーザーによっては馴染みが薄いかもしれない。従って,本版では,データ分析に関する情報を拡充・更新するとともに,引き続き事情聴取や内部通報システムの重要性を強調している。また,不正リスク管理の5つの原則のそれぞれにデータ分析のPoint of Focusが追加され,データ分析の活用が各原則に不可欠な要素であることが示されている。さらに,データ分析の附属書も更新され,拡充された。このアプローチは,他のツールの重要性を軽視することを意図しているのではなく,むしろ不正リスク管理におけるデータ分析の威力が増していることを強調するものである。
Internal control and fraud risk management. This edition explains how internal control and fraud risk management are related and support each other, but are different in some important respects. Examples are provided to show that many “go-to” internal control processes and procedures may be adequate for ensuring accuracy in accounting and financial reporting but may not provide sufficient fraud protection.  内部統制と不正リスク管理 この版では,内部統制と不正リスク管理がどのように関連し,互いに支え合っているのか,しかし重要な点では異なっているのかを説明している。多くの「よくある」内部統制のプロセスや手続きは,会計や財務報告の正確性を確保するためには適切であっても,十分な不正防止策を提供できない場合があることを示すために,事例が示されている。
Assessing the effectiveness of existing control procedures as related to fraud risk. Chapter 2 (Fraud Risk Assessment) provides additional information on this important step in the fraud risk assessment process. It clarifies and emphasizes that assessing control effectiveness involves (a) identifying existing control procedures related to each identified inherent fraud risk, (b) assuring that the controls have been implemented and are working as designed, and (c) assessing whether the controls are adequate to address the fraud risks that have been identified. That last step is in addition to an assessment of the design and operating effectiveness of controls from an internal control over financial reporting perspective. Further, it is the key to identifying residual fraud risk so that additional fraud control activities such as additional data analytics can be applied.  不正リスクに関連する既存の統制手続の有効性を評価する。第2章(不正リスク評価)では、不正リスク評価プロセスにおけるこの重要なステップに関する追加情報を提供している。この章では、統制の有効性の評価には、(a)識別された固有の不正リスクに関連する既存の統制手続を識別すること、(b)統制が実施され、設計通りに機能していることを保証すること、(c)識別された不正リスクに対処するために統制が適切であるかどうかを評価することが含まれることを明確にし、強調している。この最後のステップは、財務報告に係る内部統制の観点からの統制の設計及び運用の有効性の評価に加えて行われる。さらに、データ分析の追加など、追加的な不正管理活動を適用できるよう、残存する不正リスクを特定する鍵となる。
Changes in the legal and regulatory environment. This edition includes updated information with respect to recent legal and regulatory developments in the U.S. pertaining to fraud and fraud risk management, including:  法規制環境の変化 本号では、不正行為及び不正リスク管理に関連する米国における最近の法規制の動向に関して、以下のような最新情報が含まれている: 
- The Department of Justice’s Evaluation of Corporate Compliance Programs  ・司法省による企業コンプライアンス・プログラムの評価
- The Government Accountability Office’s A Framework for Managing Fraud Risks in Federal Programs  ・政府説明責任局の「連邦プログラムにおける不正リスク管理の枠組み
- U.S. Securities and Exchange Commission’s Climate and Environmental, Social, and Governance (ESG) Task Force Reports  ・米国証券取引委員会の気候および環境・社会・ガバナンス(ESG)タスクフォース報告書 
• Fraud reporting systems or hotlines. ACFE research consistently shows that the majority of frauds are discovered through tips, often from employees in an organization. This edition includes updated and expanded information related to the importance of fraud reporting systems in detecting, preventing, and deterring fraud.  不正報告システムまたはホットライン ACFEの調査によると,不正行為の大部分は,組織の従業員からの通報によって発見されることが多い。本版では,不正の発見,防止,抑止における不正報告システムの重要性に関連する情報を更新・拡充している。
• Changes in the external environment and fraud landscape. The fraud landscape is changing rapidly. This edition includes information on this changing environment, including: 外部環境と不正の状況の変化 不正を取り巻く環境は急速に変化している。本号では、このような環境の変化に関する情報を含む:
- Environmental, Social, and Governance (ESG) initiatives and reporting  ・環境・社会・ガバナンス(ESG)への取り組みと報告 
- Cyber fraud  ・サイバー詐欺
- Blockchain, cryptocurrency, and digital assets  ・ブロックチェーン,暗号通貨,デジタル資産
- Ransomware  ・ランサムウェア
- COVID-19 response efforts, the CARES Act (Public Law 116-136) and other related programs  ・COVID-19対応の取り組み、CARES法(公法116-136)およびその他の関連プログラム 
- Remote working and hybrid working environments  ・リモートワークやハイブリッドワーク環境
- Innovative and virtual management tools and accounting procedures  ・革新的かつ仮想的な管理ツールおよび会計手順
• Appendices changes. The 2016 Guide had 19 appendices. This 2023 edition has 7. Several of the 2016 appendices have been moved to ACFE’s Fraud Risk Management Tools web site so that they can be updated as needed. The appendices moved are:  附属書の変更。2016年版ガイドには19の附属書があった。2016年版の附属書のいくつかは、必要に応じて更新できるように、ACFEの不正リスク管理ツールのウェブサイトに移動された。移動された附属書は以下の通りである: 
- Sample Fraud Control Policy Framework (2016 Appendix F-1)  ・サンプル不正管理ポリシーフレームワーク(2016年版附属書F-1) 
- Fraud Risk Management High-Level Assessment (2016 Appendix F-2)  ・不正リスク管理ハイレベル・アセスメント (2016 Appendix F-2) 
- Sample Fraud Policy Responsibility Matrix (2016 Appendix F-3)  ・サンプル不正ポリシー責任マトリックス (2016 Appendix F-3) 
- Sample Fraud Risk Management Policy (2016 Appendix F-4)  ・サンプル不正リスク管理ポリシー (2016年附属書F-4) 
- Sample Fraud Risk Management Survey (2016 Appendix F-5)  ・不正リスク管理調査サンプル(2016年附属書F-5) 
- Fraud Risk Exposures (2016 Appendix G)  ・不正リスクエクスポージャー(2016年附属書G) 
- The five Fraud Risk Management Scorecards (2016 Appendices I-1 through I-5)  ・5つの不正リスク管理スコアカード(2016年附属書I-1~I-5) 
The Appendix, Managing the Risk of Fraud, Waste, and Abuse in the Government Environment, has been updated and expanded, and remains in the Guide as a valuable resource.  附属書「政府環境における不正・浪費・濫用のリスク管理」は更新・拡充され、貴重な資料として引き続きガイドに掲載されている。
Finally, and significantly, the ACFE tools site includes a greatly-expanded list of fraud risk exposures and fraud schemes. Each scheme in the expanded list is hyperlinked to an underlying description of the scheme and how it is carried out. This list contains generic schemes — schemes that can victimize any organization — but also ind ustry-specific schemes (healthcare, financial services, manufacturing, and so forth). Again, through input from users, this resource will continue to expand. These dynamic resources are readily accessible to anti-fraud professionals implementing Fraud Risk Management Programs.  最後に、重要な点として、ACFEのツール・サイトには、不正リスク・エクスポージャーと不正スキームのリストが大幅に拡張されている。拡張されたリストの各スキームは、スキームとその実行方法の基本的な説明にハイパーリンクされている。このリストには、一般的なスキーム(どのような組織でも被害を受ける可能性のあるスキーム)だけでなく、業界特有のスキーム(ヘルスケア、金融サービス、製造業など)も含まれている。繰り返しになるが、ユーザーからの意見によって、このリソースは今後も拡張される予定である。これらのダイナミックなリソースは、不正リスク管理プログラムを実施する不正対策の専門家がすぐに利用できる。
COSO and ACFE are confident that this updated Fraud Risk Management Guide will continue to grow in importance as the set of leading practices for preventing, detecting, and deterring fraud. COSOとACFEは、更新されたこの「不正リスクマネジメントガイド」が、不正を防止、検出、抑止するための一連のリーディングプラクティスとして、今後も重要性を増していくことを確信している。

 

2016年の第1版

・2016 [PDF] Fraud Risk Management Guide

20231122-40039

Executive Summary | Fraud Risk Management 要旨|不正リスクマネジメント
Fraud is any intentional act or omission designed to deceive others, resulting in the victim suffering a loss and/or the perpetrator achieving a gain.[3] 詐欺とは、他者を欺くために意図的に行われる行為や不作為のことであり、その結果、被害者は損失を被り、加害者は利益を得ることになる[3]。
All organizations are subject to fraud risks. It is impossible to eliminate all fraud in all organizations. However, implementation of the principles in this guide will maximize the likelihood that fraud will be prevented or detected in a timely manner and will create a strong fraud deterrence effect.  すべての組織は不正リスクにさらされている。すべての組織において、すべての不正を排除することは不可能である。しかし、本ガイドの原則を実施することで、不正を防止または適時に発見できる可能性を最大化し、強力な不正抑止効果を生み出すことができる。
The board of directors[4] and top management and personnel at all levels of the organization — including every level of management, staff, and internal auditors — have responsibility for managing fraud risk. Particularly, they are expected to understand how the organization is responding to heightened risks and regulations, as well as public and stakeholder scrutiny; what form of Fraud Risk Management Program the organization has in place; how it identifies fraud risks; what it is doing to better prevent fraud, or at least detect it sooner; and what process is in place to investigate fraud and take corrective action. This Fraud Risk Management Guide (guide) is designed to help address these complex issues. 取締役会[4]、トップマネジメント、及び組織の各レベルの人員(経営陣、スタッフ、内部監査人を含む)には、不正リスクを管理する責任がある。特に、組織が高まるリスクや規制、社会や利害関係者の監視にどのように対応しているか、組織がどのような形態の不正リスク管理プログラムを導入しているか、不正リスクをどのように識別しているか、不正をよりよく防止し、少なくともより早く発見するために何をしているか、不正を調査し是正措置を講じるためにどのようなプロセスを導入しているかを理解することが期待されている。この「不正リスク管理ガイド(手引書)」は、このような複雑な問題に対処するために作成された。
This guide recommends ways in which governing boards, senior management, staff at all levels, and internal auditors can deter fraud in their organization. Fraud deterrence is a process of eliminating factors that may cause fraud to occur. Deterrence is achieved when an organization implements a fraud risk management process that: 本ガイドは、理事会、上級管理職、あらゆるレベルの職員、内部監査人が組織内の不正を抑止するための方法を推奨している。不正抑止とは、不正を引き起こす可能性のある要因を排除するプロセスである。不正抑止は、組織が以下のような不正リスク管理プロセスを実施することで達成される:
•  Establishes a visible and rigorous fraud governance process ・目に見える厳格な不正ガバナンス・プロセスを確立する。
•  Creates a transparent and sound anti-fraud culture ・透明で健全な不正防止文化を構築する。
•  Includes a thorough fraud risk assessment periodically ・徹底した不正リスク評価を定期的に実施する
•  Designs, implements, and maintains preventive and detective fraud control processes and procedures ・不正の予防と発見のための管理プロセスと手順を策定し,実施し,維持する
•  Takes swift action in response to allegations of fraud, including, where appropriate, actions against those involved in wrongdoing ・不正行為の申し立てに対し,適切な場合には不正行為に関与した者に対する処分を含め,迅速な行動をとる。
This guide provides implementation guidance that defines principles and points of focus[5] for fraud risk management and describes how organizations of various sizes and types can establish their own Fraud Risk Management Programs. The guide includes examples of key program components and resources that organizations can use as a starting place to develop a Fraud Risk Management Program effectively and efficiently. In addition, the guide contains references to other sources of guidance to allow for tailoring a Fraud Risk Management Program to a particular industry or to government or not-for-profit organizations. Each organization needs to assess the degree of emphasis to place on fraud risk management based on its size and circumstances. 本ガイドラインは、不正リスクマネジメントの原則と着眼点[5]を定義し、様々な規模やタイプの組織がどのように独自の不正リスクマネジメントプログラムを構築できるかを説明する実施ガイダンスを提供する。本ガイドには、組織が不正リスク管理プログラムを効果的かつ効率的に策定するための出発点として利用できる、プログラムの主要な構成要素やリソースの例が含まれている。さらに、本ガイドには、特定の業種や政府機関、非営利団体に合わせた不正リスク管理プログラムを作成できるよう、他のガイダンス・ソースへの参照も含まれている。各組織は、その規模や状況に応じて、不正リスク管理にどの程度重点を置くべきかを判断する必要がある。
The guide also contains valuable information for users who are implementing a fraud risk management process. For example, it addresses fraud risk management roles and responsibilities, fraud risk management considerations for smaller organizations, data analytics employed as a part of fraud risk management, and managing fraud risk in the government environment. また、本ガイドには、不正リスクマネジメントプロセスを実施しようとするユーザーにとっても貴重な情報が含まれている。例えば、不正リスクマネジメントの役割と責任、小規模組織における不正リスクマネジメントの考慮事項、不正リスクマネジメントの一環として採用されるデータ分析、政府環境における不正リスクマネジメントなどが取り上げられている。
   
[3] For purposes of this guide, the authors developed this practical definition. The authors recognize that many other definitions of fraud exist, including those developed by the Auditing Standards Board of the American Institute of Certified Public Accountants, the Public Company Accounting Oversight Board, and the Government Accountability Office. [3] 本ガイドの目的のため、著者らはこの実践的な定義を作成した。著者らは、米国公認会計士協会の監査基準委員会、公開会社会計監視委員会、及び政府説明責任局によって作成されたものを含め、他にも多くの不正の定義が存在することを認識している。
[4] Throughout this guide, the terms board and board of directors refer to the governing or oversight body or those charged with governance of the organization.  [4] 本ガイドブックを通じて、取締役会及び取締役会という用語は、組織の統治機関又は監督機関、又は統治を担う者を指す。
[5] Per COSO’s Internal Control — Integrated Framework (May 2013) (2013 COSO Framework), Relevant Principles represent fundamental concepts associated with components of internal control. Points of Focus are important characteristics of principles. [5] COSOの「内部統制-統合的枠組み(2013年5月)」(2013 COSO Framework)によると、関連原則は内部統制の構成要素に関連する基本的な概念を表している。着眼点は、原則の重要な特徴である。

 

| | Comments (0)

内部監査人協会 COSO『サステナビリティ報告に係る有効な内部統制(ICSR)の実現』の翻訳 (2023.10.04)

こんにちは、丸山満彦です。

内部監査人協会が、COSO(トレッドウェイ委員会支援組織委員会)が2023年3月に公表したガイダンス “Achieving Effective Internal Control over Sustainability Reporting (ICSR)”の日本語訳版 「COSO『サステナビリティ報告に係る有効な内部統制(ICSR)の実現』」を公表していました。。。

 

内部監査人協会

・2023.10.04 COSO『サステナビリティ報告に係る有効な内部統制(ICSR)の実現』

20231122-30437

 

オリジナル...

 

COSO

・2023.03 [PDF] ACHIEVING EFFECTIVE INTERNAL CONTROL OVER SUSTAINABILITY REPORTING (ICSR): Building Trust and Confidence through the COSO Internal Control—Integrated Framework 

20231122-31327

 

 

| | Comments (0)

内部監査財団 リスク・イン・フォーカス 2024

こんにちは、丸山満彦です。

内部監査財団が内部監査人とその関係者が今日のリスク環境を理解し、次年度の監査計画を作成するのに役立つ、データに基づいた実践的な調査である、リスク・イン・フォーカス 2024 です。日本内部監査協会がグローバル版について日本語訳を提供してくれています。

とても参考になりますね。。。

トップリスクのトップはサイバーセキュリティですね。。。しかも、わりとダントツで...

日本の内部監査部門はサイバーセキュリティの監査ってどの程度しているんでしょうね。。。

 

監査分野 全地域平均 アジア太平洋 中南米 アフリカ 北米 中東 欧州
サイバーセキュリティ 73% 66% 75% 58% 85% 70% 84%
人的資本 51% 59% 44% 39% 65% 47% 50%
事業継続 47% 61% 47% 52% 36% 53% 35%
規制等の変更 39% 35% 48% 32% 43% 33% 43%
デジタル化による破壊的変化 34% 30% 38% 33% 36% 32% 33%
財務流動性 32% 21% 33% 47% 28% 38% 26%
市場の変化 32% 47% 26% 21% 41% 26% 30%
地政学的不確実性 30% 28% 42% 25% 28% 16% 43%
ガバナンス/企業報告 27% 24% 18% 36% 16% 45% 22%
サプライチェーン及びアウトソーシング 26% 27% 16% 19% 36% 28% 30%
組織文化 26% 23% 26% 34% 21% 30% 20%
不正 24% 22% 30% 46% 9% 26% 13%
コミュニケーション/評判 21% 18% 22% 27% 21% 28% 12%
気候変動 19% 22% 22% 19% 12% 10% 31%
健康及び安全 11% 12% 8% 10% 17% 9% 13%
合併及び買収 6% 4% 3% 3% 8% 10% 8%

 

The Institute of Internal Auditors

Risk in Focus Today's Global Risk Landscape

 

グローバル 20231122-22540 リスク・イン・フォーカス調査への世界的な参加は、異なる地域間のリスクと監査計画を比較する貴重な機会を提供している。 EN JP
アフリカ 20231122-22650 強力なデジタル化の波は、アフリカの経済と政府システムの変革を後押ししているが、その一方で、組織はサイバー攻撃に対してより脆弱になり、顧客はオンライン詐欺やモバイル詐欺に巻き込まれやすくなっている。 View
アジア太平洋 20231122-22732 内部監査員によれば、アジア太平洋地域のリスクは、同地域の国々が経済的・政治的に高度に相互接続しているため、独特の複雑さを抱えているという。 View
欧州 20231122-23101 マクロ経済の不安定さは、欧州の内部監査員に、同地域で相互に関連する課題に直面するための努力の再調整を促している。 View
中南米 20231122-22819 ラテンアメリカとカリブ海地域のCAEは、組織内および地域内の他の企業や団体との関係構築が不可欠であると述べている。 View
中東 20231122-22906 中東の内部監査員は、長期的な計画とスキル開発により、組織の成熟度を高めることを提唱している。 View
北米 20231122-22957 北米の内部監査人は、利害関係者との緊密な連携を求めており、ミッションクリティカルなプロジェクトにおいて、取締役会や経営陣のアドバイザーとして活動することが多い。 View

 

各地域については、役員向けの「ブリーフィング」と内部監査人向けの「詳細版」がありますね。。。

 

日本内部監査協会

・2023.11.20 内部監査財団より「リスク・イン・フォーカス」レポート公表

 

 

| | Comments (0)

2023.11.21

EDPS 説明可能な人工知能

こんにちは、丸山満彦です。

欧州データ保護監督官 (EUROPEAN DATA PROTECTION SUPERVISOR: EDPS) が説明可能な人工知能 (Explainable Artificial Intelligence) を公表していました。。。

大規模言語モデルなど、データとその解析をするためのパラメータが多く、入力に対してどのような出力をだすのか、わからない、いわゆる関数のブラックボックス化がAIの問題として捉えられることが多いように思います。

関数がブラックボックスになので、バイアス、不正確さ、幻覚などが生じても、生じているかどうかを判定できない場合もあるだろう。。。

ブラックボックスなので、その結果を利用することにより、社会や個人にとって有害な状況が生じるかもしれない。

その結果に対して責任は誰がとるべきなのか?開発者?利用者?その両方?状況次第?

でも考えてみたら当たり前の話ですよね。。。人間を模倣して作ったのだから当然に関数はブラックボックスになる。だって、人間の思考関数はブラックボックスだから。。。

むしろ、人間の思考より再現性が高いくらいだと思います。

私はAIをむしろ人間と同じように捉えて、ブラックボックス、つまり入力値から出力値を正確に予測できないことを前提にいろいろと考えたほうが良いのだろうと思います。

なので、AIが出した結果については、AIの開発者と利用者双方で責任をどのように負うのかということを考えるようにすべきなのではないかと思います。

おそらく次のような考え方がよいのではないかと思っています。

1. 政府等が出荷されるAIについての認定基準をつくり、検査した結果、合格したものだけが社会に提供される制度をつくる

2. AI開発者は認定AIのみを社会に提供する。この認定基準に違反した製品を社会に提供した場合に開発者に責任が問われる。

3. 利用者は認定したAIを調整して利用することができるが、その調整した後、生じた結果については利用者が責任を負うことになる。場合によってはけんさを受けてそれを認定AIとすることもできる。

4. 認定AIの生じた結果による損害は、政府または基金から補償することにする。

細かいことは検討できていないのですが、ざっとそんな感じが社会的にも受け入れやすいのではないかと思いますが、どうでしょうか???

 

ただ、だからといって、透明性、解釈可能性、説明可能性をおろそかにするということではないとは思います。これらを出来うる限り追求するのだけれども、必ずしも完全にはそうできないから、そのできない部分をどうするのか、、、ということだと思います。。。

 

さて、本題...

EUROPEAN DATA PROTECTION SUPERVISOR: EDPS

・2023.11.16 Explainable Artificial Intelligence

・[PDF]

20231121-10010

 

 

| | Comments (0)

EDPS プライバシーおよび個人情報保護の基本的権利の本質に関する研究 (2023.11.08)

こんにちは、丸山満彦です。

欧州データ保護監督官 (EUROPEAN DATA PROTECTION SUPERVISOR: EDPS) がプライバシーおよび個人情報保護の基本的権利の本質に関する研究 (Study on the Essence of the fundamental rights to privacy and to the protection of personal data) を公表していました。。。

この報告書自体は2022年12月のようですね。。。

 

EUROPEAN DATA PROTECTION SUPERVISOR: EDPS

・2023.11.08 Study on the Essence of the fundamental rights to privacy and to the protection of personal data

 

Abstract:  概要 
This background paper explores the requirement of respecting the ‘essence’ of the rights to respect for private life and of right to the protection of personal data whenever these rights are limited under European Union (EU) law. The requirement is explicitly established in Article 52(1) of the Charter of Fundamental Rights of the EU, and currently also mentioned in EU secondary law. With the aim of facilitating further reflection and discussion on the requirement’s application notably when limitations of the right to personal data protection are at stake, the paper reviews current knowledge on the subject and illustrates the significant limitations of existing knowledge. Taking stock of the relevant literature and case law, mainly of the Court of Justice of the EU and of the European Court of Human Rights (ECHR), it also identifies a few key issues deserving further analysis and discussion. The paper concludes by suggesting it can be useful to focus not on speculating about what would be the essence of the rights at stake, but rather on when must a limitation of a right be regarded as a breach of the essence requirement.  本稿では、欧州連合(EU)法の下で私生活の尊重と個人情報保護の権利が制限される場合、その「本質」を尊重するという要件について考察する。この要件は、EU基本権憲章 第52条1項で明確に規定されており、現在EUの二次法でも言及されている。本稿では、特に個人情報保護の権利の制約が問題となっている場合に、この要件の適用に関する考察と議論を促進することを目的として、このテーマに関する現在の知見をレビューし、既存の知見には大きな限界があることを説明する。主にEU司法裁判所と欧州人権裁判所(ECHR)の関連文献と判例を概観し、さらなる分析と議論に値するいくつかの重要な問題を明らかにする。本稿の結論は、問題となっている権利の本質が何であるかを推測することではなく、むしろ、権利の制限が本質要件の違反とみなされるのはどのような場合であるかに焦点を当てることが有益であることを示唆している。

 

・[PDF]

20231120-234931

・[DOCX] 英語

 

 

Executive summary  要旨 
The Charter of Fundamental Rights of the European Union (EU) establishes that the EU fundamental rights to the respect for private life and to the protection of personal data may be limited only if the limitations at stake respect the rights’ essence. The paper reviews current knowledge on this ‘essence requirement’ taking stock of the pertinent case law of Court of Justice of the EU (CJEU), the European Court of Human Rights (ECtHR) and selected national courts, building on the growing literature on the subject.  欧州連合(EU)の基本権憲章は、私生活の尊重と個人データの保護に関するEUの基本権は、その制限が権利の本質を尊重する場合にのみ制限されることを定めている。本稿では、EU司法裁判所(CJEU)、欧州人権裁判所(ECtHR)、および特定の国内裁判所の関連判例を概観しながら、この「本質的要件」に関する現在の知見をレビューし、このテーマに関する増加しつつある文献を紹介する。
The starting point of the contribution is that the interpretation of the essence requirement finds itself at the crossroads of three elusive issues: the very notion of ‘essence’ in EU fundamental rights law, the content of the EU fundamental right to personal data protection, and the oftenambiguous relation between this right and the right to respect for private life. These three issues are discussed in detail.    この寄稿の出発点は、本質的要件の解釈が、3つのとらえどころのない問題の交差点にあるということである: すなわち、EU基本権法における「本質」の概念そのもの、個人データ保護に関するEU基本権の内容、そしてこの権利と私生活尊重の権利との間のしばしば曖昧な関係である。これら3つの問題について詳しく論じる。
The explicit reference in Article 52(1) of the EU Charter to the obligation to respect the essence of rights as a condition for their lawful limitations was formally a novelty, even though the CJEU had previously already referred to the need to respect the very substance of fundamental rights, and the ECtHR had also relied on similar arguments. Similar mechanisms can also be found in national legal frameworks.  EU憲章第52条1項で、権利が合法的に制限されるための条件として、権利の本質を尊重する義務について明確に言及したことは、形式的には斬新なものであったが、それ以前にCJEUはすでに基本的権利の本質を尊重する必要性に言及しており、ECtHRも同様の議論に依拠していた。同様の仕組みは国内法の枠組みにも見られる。
The case law of CJEU reveals that the essence requirement may be applied by the Court without there being a particularly clear delimitation of the essence of a right as such. In this sense, it can be useful to envision the essence requirement not as an imperative imposed on courts to clearly delimit a core area of each right, but rather as a tool put in their hands to declare unlawful certain types of limitations of rights.  CJEUの判例法は、権利の本質が特に明確に規定されていなくても、裁判所が本質要件を適用する可能性があることを明らかにしている。この意味で、本質的要件は、各権利の中核的領域を明確に画定するよう裁判所に課せられた命令ではなく、むしろ、ある種の権利の制限を違法と宣言するために裁判所が手にする道具として想定することが有益である。
Regarding the content of the EU fundamental right to personal data protection, there is currently no consensus on what it comprises exactly. This unsettled status of the content of the EU fundamental right to personal data does not facilitate the identification of what could be its essence. In addition, a certain ambiguity also surrounds the relation between this right and the EU fundamental right to respect for private life. Even though there has been an evolution in the CJEU case law, and the two rights have been progressively recognised as existing independently and detached from each other, they are not necessarily applied in isolation.   個人データ保護に関するEUの基本的権利の内容については、現在のところ、それが具体的にどのようなものであるかについてのコンセンサスは得られていない。このように個人データに関するEUの基本的権利の内容が定まっていない状態は、その本質となりうるものの特定を容易にしていない。さらに、この権利とEUの私生活尊重の基本的権利との関係にも、ある種の曖昧さがつきまとっている。CJEUの判例法には進化があり、この2つの権利は互いに独立し、切り離されて存在するものとして徐々に認められてきたとはいえ、必ずしも切り離して適用されるわけではない。 
The essence requirement has played an important role in the case law of the CJEU about the rights to respect for private life at personal data protection – it has been mentioned in multiple judgments. The cases where a specific right’s limitation was deemed not to respect the essence of a right are nevertheless, comparatively, only a few instances.  本質的要件は、私生活の尊重と個人データ保護の権利に関するCJEUの判例法において重要な役割を果たしており、複数の判決で言及されている。とはいえ、特定の権利の制限が権利の本質を尊重していないと判断されたケースは、比較的少数である。
A recurrent mismatch between what the CJEU has stressed as important elements of the right to personal data protection, on the one hand, and the facets mentioned by the Court when applying the essence requirement, on the other, appears to confirm that the CJEU is not primarily concerned with construing the essence of the right as the core of a well-articulated series of spheres.   日本欧州委員会(CJEU)が個人情報保護の権利の重要な要素として強調してきたことと、裁判所が本質の要件を適用する際に言及した側面との間にミスマッチが繰り返し生じていることは、CJEUが権利の本質を一連の領域の核心として解釈することに主眼を置いていないことを裏付けているように思われる。 
In light of the described landscape can be identified a number of issues deserving further consideration, taking also into account ongoing policy and legislative developments. These issues concern the mentioned connection between the essence requirement and the delimitation of right’s content, the specificity of the right to personal data protection, the criteria to determine that the essence requirement is not respected, and, finally, the surfacing of references to the essence requirement in other instruments of EU data protection law.   以上のような状況に照らして、現在進行中の政策や法制の進展も考慮に入れつつ、さらに検討すべき多くの問題を特定することができる。これらの問題は、本質的要件と権利内容の限定との間に言及された関連性、個人データ保護の権利の特異性、本質的要件が尊重されていないと判断する基準、そして最後に、EUデータ保護法の他の文書における本質的要件への言及の表面化に関するものである。 
As the essence requirement may be applied without a simultaneous clear demarcation by the courts of the content of a right, the content of the right to personal data protection may therefore be, at least to some extent, discussed independently from the limited list of elements highlighted when the essence requirement is at stake in the CJEU case law. The question of which data protection safeguards are part of the content of the right guaranteed under Article 8 of the EU Charter remains in any case open.  エッセンス要件は、裁判所が権利の内容を同時に明確に区分することなく適用される可能性があるため、個人データ保護の権利の内容は、少なくともある程度は、CJEUの判例法においてエッセンス要件が問題となった際に強調された限られた要素のリストとは独立して議論される可能性がある。どのデータ保護保護措置がEU憲章第8条で保障された権利の内容に含まれるのかという問題は、いずれにせよ未解決のままである。
Another important question that remains open is whether the progressive increase in requests for preliminary rulings specifically on the interpretation of the General Data Protection Regulation (GDPR), which refers in its first Recital to Article 8 of the EU Charter but not Article 7, will eventually lead to a clearer focus in the CJEU case law on the singularity of Article 8 of the EU Charter. Future case law should throw further light on the criteria relevant to determining that the essence requirement is not respected.  また、EU憲章第8条には言及しているが第7条には言及していない一般データ保護規則(GDPR)の解釈に関する仮判決の請求が増加していることから、EU憲章第8条の特異性に関してCJEUの判例法がより明確な焦点を当てるようになるかどうかも重要な問題である。今後の判例法は、本質的要件が尊重されていないと判断するための基準についてさらに光を当てるはずである。
In any case, references to the essence requirement are currently not confined to Article 52(1) of the EU Charter - the requirement appears also in provisions of secondary law. Examples of such more recent manifestations are the reference to the essence in Article 25 of Regulation 2018/1725, for instance, or in the Standard Contractual Clauses adopted by the European Commission in June 2021. These developments imply that not only the legislator and the judiciary, but also data controllers and processors, should be able to determine there has been a breach of the requirement to respect the essence of EU fundamental rights, including of the essence of the rights to respect for private life and to personal data protection.  いずれにせよ、本質要件への言及は現在、EU憲章第52条1項に限定されているわけではなく、二次法の規定にも現れている。例えば、規則2018/1725の第25条や、2021年6月に欧州委員会が採択した標準契約条項における本質への言及がその例である。こうした動きは、立法者や司法だけでなく、データ管理者や処理者も、私生活の尊重や個人データ保護の権利の本質を含め、EUの基本的権利の本質を尊重する義務に違反したと判断できるようになることを示唆している。
This study thus situates existing knowledge on the essence requirement insofar as it relates to the EU fundamental right to personal data protection, illustrating the limitations of such knowledge. The numerous cases pending in front of the CJEU which concern data protection law in general could in the upcoming months and years offer more relevant insights on the way in which courts might use this tool to put an end to unacceptable violations of the EU Charter. In the meantime, references to the essence requirement are surfacing in a variety of instruments, including, for instance, Standard Contractual Clauses, obliging actors different from the courts and the legislator to understand how to deal in practice with this still elusive requirement. A pragmatic approach to the current challenges could focus not on speculating on what would be the very essence of the rights at stake, but rather on when must a limitation of a right be regarded as a breach of the essence requirement.  本研究は、このように、個人データ保護に対するEUの基本的権利に関連する限りにおいて、本質的要件に関する既存の知識を位置づけ、そのような知識の限界を説明するものである。データ保護法一般に関わるCJEUで係争中の数多くの事例から、今後数カ月から数年のうちに、裁判所がEU憲章の容認しがたい違反に終止符を打つためにこの手段を用いる方法について、より適切な洞察が得られる可能性がある。その一方で、例えば標準契約条項を含む様々な文書において、本質的要件への言及が表面化しており、裁判所や立法者とは異なる主体が、このまだ捉えどころのない要件に実際にどのように対処すべきかを理解することを義務付けている。現在の課題に対する実際的なアプローチは、問題となっている権利の本質が何であるかを推測することではなく、むしろ、権利の制限が本質要件の違反とみなされるのはどのような場合か、ということに焦点を当てることができるだろう。

 

目次...

1.  Introduction 1.  はじめに
2.  Legal framework 2.  法的枠組み
3.  State of knowledge 3.  知識の現状
3.1.  The essence requirement 3.1.  本質的要件
3.2.  The right to the protection of personal data 3.2.  個人情報保護の権利
3.3.  The right to respect for private life 3.3.  私生活を尊重する権利
4.  Case law on the essence of the rights of Art. 7 and 8 EU Charter 4.  EU憲章第7条および第8条の権利の本質に関する判例法
4.1.  ECtHR 4.1.  ECtHR
4.2.  CJEU 4.2.  CJEU
5.  Key issues 5.  主な争点
5.1.  Link between the essence and the content of rights 5.1.  権利の本質と内容の関連性
5.2.  The specificity of the right to personal data protection 5.2.  個人データ保護の権利の特殊性
5.3.  Criteria for the qualification of the limitation 5.3.  制限の認定基準
5.4.  References to the essence in other instruments 5.4.  他の文書における本質への言及
6.  Concluding remarks 6.  結論
Bibliographical references 参考文献

 

欧州連合基本権憲章

EUR -Lex

Charter of Fundamental Rights of the European Union

CHARTER OF FUNDAMENTAL RIGHTS OF THE EUROPEAN UNION

Article 7 第7条
Respect for private and family life 私生活および家庭生活の尊重
Everyone has the right to respect for his or her private and family life, home and communications. すべての人は、自己の私生活、家庭生活及び通信手段を尊重される権利を有する。
   
Article 8 第8条
Protection of personal data 個人情報の保護
1.   Everyone has the right to the protection of personal data concerning him or her. 1.   すべての人は、自己に関する個人情報を保護される権利を有する。
2.   Such data must be processed fairly for specified purposes and on the basis of the consent of the person concerned or some other legitimate basis laid down by law. Everyone has the right of access to data which has been collected concerning him or her, and the right to have it rectified. 2.   個人情報は、特定された目的のために、本人の同意または法律で定められたその他の正当な根拠に基づいて、公正に処理されなければならない。すべての人は、自分に関して収集されたデータにアクセスする権利、およびそれを修正させる権利を有する。
3.   Compliance with these rules shall be subject to control by an independent authority. 3.   本規則の遵守は、独立機関による管理の対象とする。
   
Article 52 第52条
Scope and interpretation of rights and principles 権利および原則の範囲と解釈
1.   Any limitation on the exercise of the rights and freedoms recognised by this Charter must be provided for by law and respect the essence of those rights and freedoms. Subject to the principle of proportionality, limitations may be made only if they are necessary and genuinely meet objectives of general interest recognised by the Union or the need to protect the rights and freedoms of others. 1.   本憲章によって認められる権利および自由の行使に対するいかなる制限も、法律によって定められ、かつ、これらの権利および自由の本質を尊重しなければならない。比例原則に従い、制限は、それが必要であり、かつ、真に同盟が認める一般的利益の目的または他人の権利および自由を保護する必要を満たす場合に限り、行うことができる。
2.   Rights recognised by this Charter for which provision is made in the Treaties shall be exercised under the conditions and within the limits defined by those Treaties. 2.   本憲章によって認められる権利であって、条約において規定されているものは、条約によって定められた条件および範囲内で行使されるものとする。
3.   In so far as this Charter contains rights which correspond to rights guaranteed by the Convention for the Protection of Human Rights and Fundamental Freedoms, the meaning and scope of those rights shall be the same as those laid down by the said Convention. This provision shall not prevent Union law providing more extensive protection. 3.   本憲章が人権及び基本的自由の保護に関する条約によって保障される権利に対応する権利を含む限りにおいて、これらの権利の意味及び範囲は、同条約が定めるものと同一とする。この規定は、連合法がより広範な保護を提供することを妨げるものではない。
4.   In so far as this Charter recognises fundamental rights as they result from the constitutional traditions common to the Member States, those rights shall be interpreted in harmony with those traditions. 4.   この憲章が、加盟国に共通する憲法の伝統から生じる基本的権利を認める限りにおいて、これらの権利は、これらの伝統と調和して解釈されるものとする。
5.   The provisions of this Charter which contain principles may be implemented by legislative and executive acts taken by institutions, bodies, offices and agencies of the Union, and by acts of Member States when they are implementing Union law, in the exercise of their respective powers. They shall be judicially cognisable only in the interpretation of such acts and in the ruling on their legality. 5.   原則を含むこの憲章の規定は、連合の機関、団体、官庁および機関がそれぞれの権限を行使する際にとる立法行為および行政行為、ならびに加盟国が連合法を実施する際にとる行為によって実施することができる。これらの行為は、当該行為の解釈およびその適法性に関する裁定においてのみ、司法上認められるものとする。
6.   Full account shall be taken of national laws and practices as specified in this Charter. 6.   本憲章に規定された国内法および慣行を十分に考慮しなければならない。
7.   The explanations drawn up as a way of providing guidance in the interpretation of this Charter shall be given due regard by the courts of the Union and of the Member States. 7.   本憲章の解釈の指針として作成された解説は、連合国および加盟国の裁判所において、十分に考慮されるものとする。

 

 

| | Comments (0)

2023.11.20

NIST SP 800-221 情報通信技術リスクのエンタープライズへの影響:エンタープライズリスクポートフォリオにおけるICTリスクプログラムのガバナンスとマネジメント, NIST SP 800-221A 情報通信技術(ICT)リスクの成果: ICTリスクマネジメントプログラムとエンタープライズリスクポートフォリオの統合

こんにちは、丸山満彦です。

NISTがICTリスクとERMを結ぶ、「SP800-221 情報通信技術リスクのエンタープライズへの影響:エンタープライズリスクポートフォリオにおけるICTリスクプログラムのガバナンスとマネジメント」とその補足文書である「NIST SP 800-221A 情報通信技術(ICT)リスクの成果: ICTリスクマネジメントプログラムとエンタープライズリスクポートフォリオの統合」の確定版を公表していますね。。。

2023.03に経済産業省からサイバーセキュリティ経営ガイドライン Ver 3.0公表したのですが、これはNISTのこの流れを踏まえてサイバーセキュリティリスクをERMの一部として考えることにより、経営全体の一部として経営者が取り組みやすいように考えたものなんです。。。

 

NIST - ITL

・2023.11.17 NIST SP 800-221 Enterprise Impact of Information and Communications Technology Risk: Governing and Managing ICT Risk Programs Within an Enterprise Risk Portfolio

 

NIST SP 800-221 Enterprise Impact of Information and Communications Technology Risk: Governing and Managing ICT Risk Programs Within an Enterprise Risk Portfolio NIST SP 800-221 情報通信技術リスクのエンタープライズへの影響:エンタープライズリスクポートフォリオにおけるICTリスクプログラムのガバナンスとマネジメント
Abstract 概要
All enterprises should ensure that information and communications technology (ICT) risk receives appropriate attention within their enterprise risk management (ERM) programs. This document is intended to help individual organizations within an enterprise improve their ICT risk management (ICTRM). This can enable enterprises and their component organizations to better identify, assess, and manage their ICT risks in the context of their broader mission and business objectives. This document explains the value of rolling up and integrating risks that may be addressed at lower system and organizational levels to the broader enterprise level by focusing on the use of ICT risk registers as input to the enterprise risk profile. すべてのエンタープライズは、エンタープライズリスクマネジメント(ERM)プログラムの中で、情報通信技術(ICT)リスクに適切な注意を払うようにすべきである。本文書は、エンタープライズ内の各組織がICTリスクマネジメント(ICTRM)を改善するのを支援することを意図している。これにより、エンタープライズとその構成組織は、より広範なミッションとビジネス目標との関連において、ICTリスクをより適切に識別、アセスメント、管理できるようになる。本文書は、エンタープライズ・リスク・プロファイルへのインプットとしての ICT リスク登録の使用に 焦点を当てることにより、より低いシステム及び組織レベルで対処される可能性のあるリスクを、 より広範なエンタープライズ・レベルにロールアップし統合することの価値を説明する。

 

・[PDF] NIST.SP.800-221

20231120-45140

・[DOCX] 仮訳

 

 

エグゼクティブサマリー...

Executive Summary  エグゼクティブ・サマリー 
All types of organizations, from corporations to federal agencies, face a broad array of risks. For federal agencies, the Office of Management and Budget (OMB) Circular A-11 defines risk as “the effect of uncertainty on objectives” [OMB-A11]. The effect of uncertainty on enterprise mission and business objectives may then be considered an “enterprise risk” that must be similarly managed. An enterprise is an organization that exists at the top level of a hierarchy with unique risk management responsibilities. Managing risks at that level — enterprise risk management (ERM) — calls for understanding the core risks that an enterprise faces, determining how best to address those risks, and ensuring that the necessary actions are taken. In the Federal Government, ERM is considered “an effective agency-wide approach to addressing the full spectrum of the organization’s significant risks by understanding the combined impact of risks as an interrelated portfolio, rather than addressing risks only within silos” [OMB-A11]. OMB Circular A-123 “establishes an expectation for federal agencies to proactively consider and address risks through an integrated…view of events, conditions, or scenarios that impact mission achievement” [OMB-A123].  企業から連邦政府機関まで、あらゆる種類の組織が、広範なリスクに直面している。連邦政府機関については、OMB(Office of Management and Budget)通達A-11が、リスクを「目的に対する不確実性の影響」と定義している[OMB-A11]。そのため、エンタープライズのミッションや事業目標に対する不確実性の影響は、同様に管理されなければならない「エンタープライズリスク」と考えられる。エンタープライズとは、独自のリスクマネジメント責任を持つ階層の最上位に存在する組織である。そのレベルでリスクを管理すること、すなわちエンタープライズ・リスク・マネジメント(ERM)は、エンタープライズが直面する中核的なリスクを理解し、それらのリスクに対処する最善の方法を決定し、必要な措置を確実に講じることを求めている。連邦政府では、ERMは「サイロの中だけでリスクに対処するのではなく、相互に関連するポートフォリオとしてリスクの複合的な影響を理解することにより、組織の重大なリスクの全領域に対処する効果的な全庁的アプローチ」[OMB-A11]と考えられている。OMB通達A-123は、「連邦政府機関が、ミッション達成に影響を与える事象、状況、シナリオを統合的に捉えることにより、リスクを積極的に検討し、対処することを求めている」[OMB-A123]。 
The information and communications technology (ICT) on which an enterprise relies is managed through a broad set of ICT risk disciplines that include privacy, supply chain, and cybersecurity. ICT includes a broad range of information and technology that extends far beyond traditional information technology considerations. For example, a growing number of enterprises rely on operational technology (OT) and IoT (Internet of Things) devices’ sensors or actuators bridging the physical world and the digital world. Increasingly, artificial intelligence (AI) factors into enterprise risk. NIST’s AI Risk Management Framework points out that “AI risk management should be integrated and incorporated into broader enterprise risk management strategies and processes. Treating AI risks along with other critical risks, such as cybersecurity and privacy, will yield a more integrated outcome and organizational efficiencies.”[1]  エンタープライズが依存する情報通信技術(ICT)は、プライバシー、サプライチェー ン、サイバーセキュリティを含む広範なICTリスク分野を通じて管理される。ICTには、従来の情報技術に関する検討事項をはるかに超える広範な情報と技術が含まれる。例えば、物理的世界とデジタル世界の橋渡しをするOT(オペレーション技術)やIoT(モノのインターネット)デバイスのセンサーやアクチュエーターに依存するエンタープライズが増えている。エンタープライズリスクに人工知能(AI)を取り込むケースも増えている。NISTのAIリスクマネジメントフレームワークは、「AIリスクマネジメントは、より広範なエンタープライズリスクマネジメント戦略とプロセスに統合され、組み込まれるべきである」と指摘している。AIリスクをサイバーセキュリティやプライバシーなど他の重要リスクとともに扱うことで、より統合された結果と組織の効率性が得られる」 。 [1]
This publication addresses OMB’s points above for ensuring that ERM considerations and decisions take an ICT portfolio perspective. This publication examines the relationships among ICT risk disciplines and enterprise risk practices. Notably, OMB has stressed the need for enterprise risk considerations and decisions to be based on a portfolio-wide perspective. Individual risk programs have an important role and must integrate activities as part of that enterprise portfolio. Doing so ensures a focus on achieving enterprise objectives and helps identify those risks that will have the most significant impact on the entity’s mission. This publication extends that NIST risk program guidance to recognize that risk extends beyond the boundaries of individual programs. There are extensive ICT risk considerations (e.g., Internet of Things, supply chain, privacy, cybersecurity) as well as risk management frameworks that support the management of a mosaic of interrelated risks. Effectively addressing these ICT risks at the enterprise level requires coordination, communication, and collaboration. This publication examines the relationships between ICT risk disciplines and enterprise risk practices.  本書は、ICTポートフォリオの視点に立ったERMの検討と決定を確保するためのOMBの上記の指摘に対応するものである。本書は、ICTリスク規律とエンタープライズリスク実務の関係を検証している。特にOMBは、エンタープライズ・リスクの検討と決定はポートフォリオ全体の視点に基づく必要性を強調している。個々のリスクプログラムには重要な役割があり、エンタープライズポートフォリオの一部として活動を統合しなければならない。そうすることで、エンタープライズ目標の達成に焦点を絞ることができ、事業体のミッションに最も大きな影響を与えるリスクを特定することができる。本書は、NISTリスクプログラムガイダンスを拡張し、リスクは個々のプログラムの境界を越えて拡大することを認識するものである。広範なICTリスク(モノのインターネット、サプライチェーンリスク、プライバシーリスク、サイバーセキュリティリスクなど)の検討や、相互に関連するモザイク状のリスクのマネジメントを支援するリスクマネジメントフレームワークが存在する。エンタープライズレベルでこれらのICTリスクに効果的に対処するには、調整、コミュニケーション、コラボレーションが必要である。本書では、ICTリスク分野とエンタープライズリスク実務の関係を検証する。 
The broad set of ICT disciplines forms an adaptive system-of-systems composed of many interdependent components and channels. The resulting data represent information, control signals, and sensor readings. As with other complex systems-of-systems, the interconnectedness of these technologies produces system behaviors that cannot be determined by the behavior of individual components. That interconnectedness causes risks that exist between and across multiple risk programs. As systems become more complex, they present exploitable vulnerabilities, emergent risks, and system instabilities that — once triggered — can have a runaway effect with multiple severe and often irreversible consequences. In the contemporary enterprise, emergency and real-time circumstances can turn a relatively minor ICT-based risk into true operational risks that disrupt an organization’s ability to perform mission or business functions. Many organizations have applied traditional fault tolerance and resilience measures to support the availability of essential functions and services. Those measures themselves can introduce fragility and increase attack surface, as can system complexity (e.g., real-time control systems), so the enterprise may need to consider more advanced resilience techniques.  ICT分野の幅広いセットは、相互に依存し合う多くのコンポーネントとチャンネルで構成される適応システム・オブ・システムを形成している。結果として生じるデータは、情報、制御信号、センサーの読み取り値を表す。他の複雑なシステム・オブ・システムと同様に、これらの技術の相互接続性は、個々の構成要素の動作では決定できないシステム動作を生み出す。その相互接続性により、複数のリスクプログラム間、あるいは複数のリスクプログラムにまたがって存在するリスクが発生する。システムが複雑化するにつれて、脆弱性、顕在化リスク、システムの不安定性が顕在化し、一旦それが引き起こされると、複数の深刻でしばしば取り返しのつかない結果をもたらす暴走を引き起こす可能性がある。現代のエンタープライズでは、緊急時やリアルタイムの状況は、比較的軽微なICTベースのリスクを、組織のミッションやビジネス機能の遂行能力を混乱させる真のオペレーションリスクに変える可能性がある。多くの組織は、必要不可欠な機能やサービスの可用性をサポートするために、従来のフォールト・トレ ランスやレジリエンスを適用してきた。このような対策は、システムの複雑さ (たとえば、リアルタイム制御システム) と 同様に、それ自体が脆弱性をもたらし、攻撃サーフェスを増大させる可能性があるため、エンタープライズ は、より高度なレジリエンス技術を検討する必要があるかもしれない。 
This publication supports an interconnected approach to risk frameworks and programs that address ICT risk areas (e.g., cybersecurity, privacy, supply chain) within an enterprise risk portfolio. This publication encourages the practice of aggregating and normalizing ICT risk information. Doing so helps to identify, quantify, and communicate risk scenarios and their consequences to support effective decision-making. This integrated approach ensures that shareholder and stakeholder value is quantified in financial, mission, and reputation metrics similar to those attributed to other (non-technical) enterprise risks, thereby enabling executives and officials to prudently reallocate resources among varied competing risk types.   本書は、エンタープライズリスクポートフォリオの中で ICT リスク分野(例えば、サイバーセキュリティ、 プライバシー、サプライチェーン)に対応するリスクフレームワーク及びプログラムに対する 相互連結的なアプローチを支援するものである。本書は、ICT リスク情報を集約し、正規化することを奨励する。そうすることで、リスクシナリオとその結果を識別、定量化、及びコミュニケー ションすることができ、効果的な意思決定を支援することができる。この統合的アプローチにより、株主及び利害関係者の価値が、他の(非テクニカルな)エ ンタープライズリスクと同様に、財務、ミッション、及びレピュテーションの指標で定量化されるこ とが保証され、それにより、経営幹部及び関係者は、様々な競合するリスクタイプ間で リソースを慎重に再配分することが可能となる。  
While NIST is widely recognized as a source of cybersecurity guidance, cyber is only one portion of a large and complex set of risk types that also include financial, legal, legislative, safety, and strategic risks. As part of an ERM program, senior leaders (e.g., corporate officers, government senior executive staff) often have fiduciary and reporting responsibilities that other organizational stakeholders do not, so they have a unique responsibility to holistically manage the combined set of risks. ERM provides the umbrella under which risks are aggregated and prioritized so that all risks can be evaluated and “stovepiped” risk reporting can be avoided. ERM also provides an opportunity to identify operational risk — a subset of enterprise risks that is so significant that potential losses could jeopardize one or more aspects of operations. Risk managers determine whether a failed internal process (related to enterprise people, processes, technology, or governance) may directly cause a significant operational impact. Some risk response activities directly protect mission operations. Enterprise leaders should define these operational risk parameters as part of enterprise risk strategy.  NISTはサイバーセキュリティに関するガイダンスの情報源として広く認知されているが、サイバーは、財務リスク、法的リスク、立法リスク、安全リスク、戦略リスクなど、大規模かつ複雑なリスク群の一部分に過ぎない。ERMプログラムの一環として、シニアリーダー(例えば、会社役員、政府の上級幹部職員)は、他の組織の利害関係者にはない受託責任や報告責任を負うことが多いため、複合的なリスクを総合的に管理する独自の責任を負う。ERMは、すべてのリスクを評価し、「縦割り」のリスク報告を避けることができるように、リスクを集約し、優先順位をつけるための傘を提供する。ERMはまた、オペレーショナル・リスク(潜在的な損失がオペレーションの1つ以上の側面を危険にさらす可能性があるほど重大なエンタープライズ・リスクのサブセット)を識別する機会も提供する。リスクマネジメントは、社内プロセス(エ ンタープライズの人材、プロセス、テクノロジー、またはガバナンスに関連する)の失敗が、直接的に業務に重大な影響を及ぼすかどうかを判断する。リスク対応活動の中には、ミッション業務を直接的に保護するものもある。エンタープライズリーダーは、エンタープライズリスク戦略の一環として、これらのオペレーショナルリスクパラメータを定義すべきである。
This publication explores the high-level ICT risk management (ICTRM) process illustrated by Fig. 1. Many resources — such as well-known frameworks from the Committee of Sponsoring Organizations (COSO), OMB circulars, and the International Organization for Standardization (ISO) — document ERM frameworks and processes. They generally include similar approaches: identify context, identify risk, analyze risk, estimate risk importance, determine and execute the risk response, and identify and respond to changes over time. The process recognizes that no risk response should occur without understanding stakeholder expectations for managing risk to an acceptable level, as informed by leadership’s risk appetite and risk tolerance statements.  本書では、図1に示すハイレベルのICTリスクマネジメント(ICTRM)プロセスについて検討 する。COSO(Committee of Sponsoring Organizations:支援組織委員会)、OMB通達、ISO(International Organization for Standardization:国際標準化機構)の有名なフレームワークなど、多くのリソースがERMのフレームワークとプロセスを文書化している。これらのフレームワークには一般的に、「コンテキストの特定」、「リスクの特定」、「リスクの分析」、「リスクの重要性の見積もり」、「リスク対応の決定と実行」、「経年変化の特定と対応」という類似のアプローチが含まれている。このプロセスでは、リーダーシップのリスク選好度及びリスク許容度の声明によって知らされる、リスクを許容可能なレベルにマネジメントすることに対する利害関係者の期待を理解することなしに、リスク対応は行われるべきではないことを認識する。
To ensure that leaders can be provided with a composite understanding of the various threats and consequences each organization and enterprise faces, risk information is recorded and shared through risk registers.[2] At higher levels in the enterprise structure, various risk registers (including those related to ICTRM) are aggregated, normalized, and prioritized into risk profiles.  各組織とエンタープライズが直面する様々な脅威とその結果について、リーダーが複合的な 理解を提供できるようにするため、リスク情報はリスク登録簿を通じて記録され、共有される [2] エンタープライズ構造のより高いレベルでは、様々なリスク登録簿(ICTRM に関連するものを含む)が集約され、正規化され、リスクプロファイルに優先順位付けされる。 
1_20231120161501
Fig. 1. ICTRM integration cycle  図1.ICTRM統合サイクル 
While it is critical for an enterprise to address potential negative impacts on mission and business objectives, it is equally critical (and required for federal agencies) that enterprises plan for success. OMB states that “the [Enterprise Risk] profile must identify sources of uncertainty, both positive (opportunities) and negative (threats)” [OMB-A123].   エンタープライズにとって、ミッションや事業目標への潜在的な負の影響に対処することは極めて重要であるが、エンタープライズが成功に向けて計画を立てることも同様に重要である(連邦政府機関にとっては必須である)。OMBは、「[エンタープライズ・リスク]プロフィールは、プラス(機会)とマイナス(脅威)の両方の不確実性の原因を特定しなければならない」と述べている[OMB-A123]。  
Enterprise-level decision makers use the risk profile to choose which enterprise risks to address, allocate resources, and delegate responsibilities to appropriate risk owners. ERM strategy includes defining terminology, formats, criteria, and other guidance for risk inputs from lower levels of the enterprise.  エンタープライズレベルの意思決定者は、リスクプロファイルを用いて、対応すべきエンタープライズリスクを選択し、リソースを配分し、適切なリスク所有者に責任を委譲する。ERM戦略には、用語、形式、基準、及びエンタープライズ下層からのリスクインプットに関するその他のガイダンスを定義することが含まれる。 
Integrating risk management information from throughout the enterprise supports a full-scope enterprise risk register (ERR) and a prioritized enterprise risk profile (ERP). These artifacts enhance ERM deliberations, decisions, and actions. Integrating this information enables the inclusion of ICT risks (including various operational technology, supply chain, privacy, and cybersecurity risks) as part of financial, valuation, mission, and reputation exposure. A comprehensive ERR and ERP support communication and disclosure requirements. The integration of technology-specific risk management activities supports an understanding of exposures related to corporate reporting (e.g., income statements, balance sheets, cash flow) and similar requirements (e.g., reporting for appropriation and oversight authorities) for public-sector entities. The iterative ICTRM process enables adjustments to risk management direction. As leaders receive feedback regarding enterprise progress, strategy can be adjusted to take advantage of an opportunity or to better address negative risks as information is collected and shared.  エンタープライズ全体のリスクマネジメント情報を統合することで、全範囲のエンタープライズリスクレジスター(ERR)と優先順位付けされたエンタープライズリスク・プロファイル(ERP)をサポートする。これらの成果物は、ERMの審議、決定、及び行動を強化する。これらの情報を統合することにより、財務、評価、ミッション、及びレピュテーションのエクスポージャーの一部として、ICTリスク(様々なオペレーショナルテクノロジー、サプライチェーン、プライバシー、及びサイバーセキュリティリスクを含む)を含めることが可能となる。包括的なERRとERPは、コミュニケーションと情報開示の要件をサポートする。技術固有のリスクマネジメント活動の統合は、企業報告(損益計算書、貸借対照表、 キャッシュフロー等)及び公共部門事業体の類似の要求事項(処分及び監督当局への 報告等)に関連するエクスポージャーの理解を支援する。反復的なICTRMプロセスにより、リスクマネジメントの方向性を調整することができる。リーダーがエンタープライズの進捗状況についてフィードバックを受けると、情報が収集され共有されるにつれて、戦略を調整して好機を生かしたり、ネガティブリスクによりよく対処したりすることができる。 
Applying a consistent approach to identify, assess, respond to, and communicate risk throughout the enterprise about the entire portfolio of ICT risk disciplines will help ensure that leaders and executives are accurately informed and able to support effective strategic and tactical decisions. While the methods for managing risk among different disciplines will vary widely, an ICT-wide approach to directing risk management, reporting and monitoring the results, and adjusting to optimize the achievement of enterprise objectives will provide valuable benefits.  ICTリスク分野のポートフォリオ全体について、エンタープライズ全体でリスクを特定、アセスメント、 対応、及びコミュニケーションするための一貫したアプローチを適用することは、リーダー及び経営幹部 が正確な情報を入手し、効果的な戦略的及び戦術的意思決定を支援できるようにするのに役立つ。各分野におけるリスクマネジメントの方法は多岐にわたるが、リスクマネジメントを指揮し、 結果を報告し、監視し、エンタープライズ目標の達成を最適化するために調整するための ICT 全体のアプローチは、価値ある利益をもたらす。

 

[1] The NIST Artificial Intelligence Risk Management Framework (AI RMF 1.0) is available at https://doi.org/10.6028/NIST.AI.100-1.  [1] NIST人工知能リスクマネジメントフレームワーク(AI RMF 1.0)はhttps://doi.org/10.6028/NIST.AI.100-1。 
[2] OMB Circular A-11 defines a risk register as “a repository of risk information including the data understood about risks over time”  [OMB-A11].  [2] OMB通達A-11では、リスク登録簿を「経時的にリスクについて理解されるデータを含むリスク情報のリポジトリ」と定義している[OMB-A11]。 

 

 


 

・2023.11.17 NIST SP 800-221A Information and Communications Technology (ICT) Risk Outcomes: Integrating ICT Risk Management Programs with the Enterprise Risk Portfolio

 

NIST SP 800-221A Information and Communications Technology (ICT) Risk Outcomes: Integrating ICT Risk Management Programs with the Enterprise Risk Portfolio NIST SP 800-221A 情報通信技術(ICT)リスクの成果: ICTリスクマネジメントプログラムとエンタープライズリスクポートフォリオの統合
Abstract 概要
The increasing frequency, creativity, and severity of technology attacks means that all enterprises should ensure that information and communications technology (ICT) risk is receiving appropriate attention within their enterprise risk management (ERM) programs. Specific types of ICT risk include, but are not limited to, cybersecurity, privacy, and supply chain. This document provides a framework of outcomes that applies to all types of ICT risk. It complements NIST Special Publication (SP) 800-221, Enterprise Impact of Information and Communications Technology Risk, which focuses on the use of risk registers to communicate and manage ICT risk.< テクノロジー攻撃の頻度、創造性、及び重大性が増していることから、すべてのエンタープライズは、情報通信技術(ICT)リスクが企業リスクマネジメント(ERM)プログラムの中で適切な注意を払っていることを確認する必要がある。ICTリスクの具体的な種類としては、サイバーセキュリティ、プライバシー、サプライチェーンなどが挙げられるが、これらに限定されるものではない。本文書は、あらゆる種類の ICT リスクに適用される成果のフレームワークを提供する。これは、NIST 特別刊行物(SP)800-221「情報通信技術のリスクのエンタープライズへの影響」を補完するものであり、ICT リスクを伝達しマネジメントするためのリスク登録の使用に焦点を当てている。

 

・[PDF] NIST.SP.800-221A

20231120-45148

 

・[DOCX] 仮訳

 

 

 


 

 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.07.25 NIST SP 800-221 (ドラフト) 情報通信技術リスクのエンタープライズへの影響:エンタープライズ・リスクポートフォリオの中でのICTリスクプログラムの統治と管理 SP 800-221A (ドラフト) 情報通信技術 (ICT) リスクの成果:ICTリスクマネジメントプログラムとエンタープライズリスクポートフォリオの統合

 

経営ガイドライン Veer3.0

・2023.11.09 IPA サイバーセキュリティ経営ガイドライン Ver 3.0実践のためのプラクティス集 (2023.10.31)

 

・2023.03.26 経済産業省 サイバーセキュリティ経営ガイドラインVer 3.0

 

・2022.12.10 経団連 「サイバーセキュリティ経営ガイドライン Ver3.0 (案) 」に対する意見

 

| | Comments (0)

NIST 意見募集 IR8496 NIST IR 8496(初公開ドラフト) データ収集改善のためのデータ格付の概念と考察

こんにちは、丸山満彦です。

組織が情報セキュリティ対策を検討する際に、初期段階では守るべき情報資産の識別 (identify) とその格付け (classification) が重要となるのですが、面倒なので、多くの組織では十分できていないことが多いですよね。。。

格付けの概念は理解できるが、実務上するのは本当に面倒ですよね。。。今まで適当にしてお茶を濁してきていたのですが、経済安全保障関係でクリアランス制度なんかが検討され、場合によっては民間人にも刑事罰?までつこうとしているのであれば、情報資産の識別と格付けは避けては通れなくなるので、面倒ですがやらないといけなくなりますよね。。。

ちなみに日本でも、特定秘密保護法ではすでに実施されていて、その管理の概要は内閣官房のウェブページに公表されていますね。。。

● 内閣官房 - 内閣情報調査室 - 特定秘密保護法関連

特定秘密の指定及びその解除並びに適性評価の実施の状況に関する報告

各行政機関における特定秘密の指定状況等について

 

さて、このIRは米国連邦政府用ですが、その他組織でも参考になりますよね。。。

 

● NIST - NNCoE

・2023.11.15 NCCoE Releases Draft NIST IR 8496 for Data Classification

NIST- ITL

・2023.11.15 NIST IR 8496 (Initial Public Draft) Data Classification Concepts and Considerations for Improving Data Collection

NIST IR 8496 (Initial Public Draft) Data Classification Concepts and Considerations for Improving Data Collection NIST IR 8496(初公開ドラフト) データ収集改善のためのデータ格付の概念と考察
Announcement 発表
Data classification is the process an organization uses to characterize its data assets using persistent labels so those assets can be managed properly. Data classification is vital for protecting an organization’s data at scale because it enables application of cybersecurity and privacy protection requirements to the organization’s data assets. This publication defines basic terminology and explains fundamental concepts in data classification so there is a common language for all to use. It can also help organizations improve the quality and efficiency of their data protection approaches by becoming more aware of data classification considerations and taking them into account in business and mission use cases, such as secure data sharing, compliance reporting and monitoring, zero-trust architecture, and large language models. データ分類とは、組織が永続的なラベルを使用してデータ資産を特徴付け、それらの資産を適切に管理できるようにするプロセスである。データ格付は、組織のデータ資産にサイバーセキュリティとプライバシー保護の要件を適用することを可能にするため、組織のデータを大規模に保護するために不可欠である。本書は、基本的な用語を定義し、データ格付の基本的な概念を説明することで、すべての人が使用できる共通言語を提供する。また、安全なデータ共有、コンプライアンス・レポーティングとモニタリング、ゼロトラスト・アーキテクチャ、大規模言語モデルなどのビジネスやミッションのユースケースにおいて、データ分類の考慮事項をより深く理解し、それらを考慮に入れることで、組織がデータ保護アプローチの質と効率を改善するのにも役立つ。
Abstract 概要
...  (発表と同じなので省略)

 

・[PDF] IR.8496.ipd

20231120-42849

 

 

目次...

1.  Introduction 1.  序文
1.1.  Purpose and Scope 1.1.  目的と範囲
1.2.  Publication Structure 1.2.  出版構成
2.  Background 2.  背景
2.1.  Data Lifecycle 2.1.  データのライフサイクル
2.2.  Structured, Unstructured, and Semi-Structured Data 2.2.  構造化データ、非構造化データ、半構造化データ
2.3.  Data Governance and Data Management 2.3.  データガバナンスとデータ管理
3.  Data Classification Functions 3.  データ格付機能
3.1.  Defining the Data Classification Policy 3.1.  データ格付方針の定義
3.2.  Identifying Data Assets to Classify 3.2.  分類すべきデータ資産の識別
3.3.  Determining Data Classifications for Data Assets 3.3.  データ資産のデータ格付の決定
3.4.  Labeling Data Assets 3.4.  データ資産にラベルを付ける
3.5.  Monitoring Data Assets 3.5.  データ資産の監視
References 参考文献
Appendix A. List of Symbols, Abbreviations, and Acronyms 附属書A. 記号、略語、頭字語のリスト
Appendix B. Glossary 附属書B. 用語集

 

本文...

1. Introduction  1. 序文 
Data are “a representation of information, including digital and non-digital formats.” [NISTPF] A data asset is “an information-based resource” such as a database, document, webpage, or service. [CNSSI4009] This publication uses the term “data asset” throughout to indicate the relative importance of specific data resources, as opposed to data in general. Metadata are information regarding the context of a specific data asset, like who or what created the data asset (i.e., data provenance) and when and where the data asset was collected.   データとは「情報の表現であり、デジタル及び非デジタル形式を含む。[NISTPF] データ資産とは、データベース、文書、ウェブページ、サービスなどの「情報ベースのリソース」である。[CNSSI4009] 本書では、データ全般ではなく、特定のデータリソースの相対的な重要性を示すために、全体を通して「データ資産」という用語を使用する。メタデータとは、特定のデータ資産のコンテキストに関する情報であり、誰が、または何がデータ資産を作成したのか(すなわち、データの出所)、データ資産はいつ、どこで収集されたのか、などである。 
Data classification is the process an organization uses to characterize its data assets using persistent labels so those assets can be managed properly. Examples of possible data classifications include “protected health information (PHI),” “personally identifiable information (PII),” and “financial records.” Applying data classification practices can benefit organizations in:   データ格付とは、組織がデータ資産を適切に管理できるように、永続的なラベルを使用してデータ資産を特徴付けるプロセスである。データ格付の例としては、"保護された医療情報(PHI)"、"個人を特定できる情報(PII)"、"財務記録 "などがある。データ格付の適用により、組織には次のようなメリットがある:  
• enabling application of cybersecurity and privacy protection requirements to the organization’s data assets;  ・組織のデータ資産にサイバーセキュリティとプライバシー保護の要件を適用できるようにする; 
• securely sharing data assets with partners, contractors, and other organizations;  ・データ資産をパートナー、請負業者、その他の組織と安全に共有する; 
• knowing which requirements from laws, regulations, contracts, and other sources apply to a particular data asset;  ・法律、規制、契約、その他の情報源から、どの要件が特定のデータ資産に適用されるかを把握する; 
• maintaining awareness of data assets and the criticality of each asset, which supports implementation of zero-trust architectures and other cybersecurity and privacy technologies;  ・データ資産と各資産の重要性に関する認識を維持し、ゼロトラストアーキテクチャやその他のサイバーセキュリティおよびプライバシー技術の実装を支援する; 
• enforcing restrictions on access to and transfer of an organization’s intellectual property;  ・組織の知的財産へのアクセスと移転の制限を実施する; 
• capturing metadata about the source of data assets consumed by generative artificial intelligence (AI) technologies (e.g., large language models [LLMs]); and  ・生成的人工知能(AI)技術(大規模言語モデル[LLM]など)によって消費されるデータ資産のソースに関するメタデータを取得する。
• identifying and recording metadata for data assets when that metadata might not be needed today but will be needed in the future; an example is for post-quantum readiness and migration planning.  ・データ資産のメタデータを特定し,記録する。そのメタデータが現在は必要ないかもしれないが,将来必要になる場合。
1.1.  Purpose and Scope  1.1.  目的と範囲 
This publication has two purposes. First, it defines basic terminology and explains fundamental concepts in data classification so there is a common language for all to use, thus alleviating existing confusion and ambiguity regarding what particular terms mean. Second, this publication can help organizations improve the quality and efficiency of their data protection approaches by becoming more aware of data classification considerations and taking them into account in business and mission use cases.   本書には2つの目的がある。第一に、基本的な用語を定義し、データ格付の基本的な概念を説明することで、すべての人が使用できる共通言語を確立し、特定の用語の意味するところに関する既存の混乱や曖昧さを緩和することである。第二に、本書は、組織がデータ格付を意識し、ビジネスやミッションのユースケースにおいてデータ格付を考慮することにより、データ保護アプローチの質と効率を向上させるのに役立つ。 
This publication’s terms and concepts will be used throughout the NCCoE’s Special Publication (SP) 1800-39, Implementing Data Classification Practices series of practice guides [SP1800-39], and will also be used by other NIST efforts, including the NCCoE’s Data Security and Zero Trust Architecture projects. This publication also may inform future versions of NIST SP 800-60, Guide for Mapping Types of Information and Information Systems to Security Categories [SP800-60], as well as help organizations with adopting the NIST Cybersecurity Framework [NISTCSF], the NIST Privacy Framework [NISTPF], and other NIST frameworks and guidance.   本書の用語と概念は、NCCoEの特別刊行物(SP)1800-39「データ格付の実施」シリーズの実践ガイド[SP1800-39]全体で使用されるほか、NCCoEのデータセキュリティやゼロトラストアーキテクチャプロジェクトなど、NISTの他の取り組みでも使用される予定である。本書はまた、NIST SP 800-60「情報と情報システムの種類をセキュリティカテゴリーにマッピングするためのガイド」[SP800-60]の将来のバージョンに情報を提供するだけでなく、NISTサイバーセキュリティフレームワーク[NISTCSF]、NISTプライバシーフレームワーク[NISTPF]、その他のNISTフレームワークやガイダンスを組織が採用する際にも役立つ可能性がある。
The scope of this publication is data classification considerations to enable data protection. Details of how technologies enforce data protection requirements are out of scope for this publication.  本書の対象範囲は、データ保護を可能にするためのデータ格付の検討である。データ保護要件を強制する技術の詳細については、本書の対象外である。
This publication applies to any data classifications and data classification schemes that organizations may use, not just those used by the U.S. government or military.  本書は、米国政府や軍で使用されているものだけでなく、組織が使用するあらゆるデータ格付およびデータ分類スキームに適用される。
1.2.  Publication Structure  1.2.  出版物の構成 
The rest of this publication is comprised of the following sections and appendices:  本書の残りの部分は以下のセクションと附属書で構成されている: 
• Section 2 provides background information on the data lifecycle, data governance and management, and types of data.  ・セクション2では,データライフサイクル,データガバナンスと管理,データの種類に関する背景情 報を提供する。
• Section 3 describes the primary practices involved in data classification and discusses considerations that organizations should take into account for their data classification practices.  ・セクション3では,データ格付に関わる主な慣行について説明し,組織がデータ格付を行う際に考慮すべき点について論じている。
• The References section lists the references cited throughout the publication.  ・参考文献の項では,本書の中で引用されている参考文献を列挙している。
• Appendix A lists the acronyms used in the publication.  ・附属書Aは本書で使用されている略語の一覧である。
• Appendix B provides a glossary with definitions of selected terms from the publication.  ・附属書Bは,本書で使用した用語の定義を示した用語集である。
2. Background   2. 背景  
This section defines basic terminology and explains fundamental concepts from data governance and data management as background for understanding the data classification practices and considerations explained in Section 3.  この章では基本的な用語を定義し、データガバナンスとデータマネジメントの基本的な概念を説 明する。
2.1.  Data Lifecycle  2.1.  データライフサイクル 
An organization manages its data assets through the data lifecycle. There are many valid data lifecycles that originate from different technical practices. This publication describes a simple lifecycle that focuses on those high-level phases important to data classification: Identify, Use, Maintain, and Dispose. Not all data lifecycle phases occur for every data asset.  組織はデータライフサイクルを通じてデータ資産を管理する。様々な技術的慣行に由来する多くの有効なデータライフサイクルがある。本書では、データ格付に重要なハイレベルのフェーズに焦点を当てた単純なライフサイクルを説明する: 識別、使用、維持、廃棄である。すべてのデータ資産ですべてのデータ・ライフサイクル・フェーズが発生するわけではない。
• Identify: The organization identifies data assets. Section 3.2 contains more information on methods for identifying data assets.   ・識別する: 組織はデータ資産を識別する。セクション3.2にデータ資産の識別方法の詳細が記載されている。
• Use: The organization accesses, views, shares, and modifies part or all of a data asset. As part of use, new data assets may be created by the aggregation (multiple assets joined into one) or disaggregation (one data asset broken into multiple assets) of existing data assets. Data assets may also be repurposed (i.e., used for a different reason or in a different way than originally intended).  ・使用:組織はデータ資産の一部または全部にアクセスし、閲覧し、共有し、変更する。使用の一環として、既存のデータ資産を集約(複数の資産を1つに結合)または分割(1つのデータ資産を複数の資産に分割)することにより、新しいデータ資産が作成されることがある。また、データ資産が再利用されることもある(すなわち、当初の意図とは異なる理由または異なる方法で使用される)。
• Maintain: The organization preserves data assets over time. This may include converting a data asset to a different format or representation as technologies change so it will continue to be usable.  ・維持する: 組織はデータ資産を長期にわたって保全する。これには、技術の変化に応じてデータ資産を異なる形式や表現に変換し、引き続き使用できるようにすることが含まれる。
• Dispose: The organization disposes of data assets at the end of the data lifecycle. Data assets that are no longer needed are destroyed or otherwise disposed of to free resources and to prevent data from being accessed by unauthorized parties—for example, when storage media is disposed of.   ・廃棄: 組織は、データライフサイクルの終了時にデータ資産を廃棄する。例えば、記憶媒体を廃棄する場合などである。リソースを解放し、不正な第三者によるデータへのアクセスを防止するために、不要になったデータ資産は破棄またはその他の方法で処分する。
2.2.  Structured, Unstructured, and Semi-Structured Data  2.2.  構造化データ、非構造化データ、半構造化データ 
How a data asset is represented can be described in three broad categories: structured, semistructured, and unstructured. Each of these terms describes the degree to which a data asset conforms to a logical or physical data model—a specification for the elements of data contained within a data asset—within the context of a particular business domain.  データ資産の代表者は、構造化、半構造化、非構造化の3つのカテゴリーに大別できる。これらの用語はそれぞれ、データ資産が特定のビジネスドメインのコンテキストにおいて、論理的または物理的データモデル(データ資産に含まれるデータの要素の仕様)に適合する度合いを表す。
• Structured data follow a physical data model that describes in detail how the data are to be represented and how a representation should be interpreted. Structured data may be found in a database or other mechanism that clearly indicates what type of information each data field contains, like customer ID or part number. Structured data can be validated against the data model to ensure their meaningfulness.   ・構造化データは物理的データモデルに従う。物理的データモデルには,データがどのように表現され,表現がどのように解釈されるべきかが詳細に記述されている。構造化データは,顧客IDや部品番号のように,各データフィールドがどのような種類の情報を含んでいるかを明確に示すデータベースやその他の仕組みの中に見出すことができる。構造化データは,データモデルと照らし合わせて検証することで,その意味性を確認することができる。
• Semi-structured data describe their own data model (self-describing). Semi-structured data are expressed in formats like the Extensible Markup Language (XML) and JavaScript Object Notation (JSON) for sharing proprietary data sets, sensitive configurations parameters, and other information.   ・半構造化データは、それ自身のデータモデルを記述する(自己記述型)。半構造化データは、XML(Extensible Markup Language)やJSON(JavaScript Object Notation)のような形式で表現され、独自のデータセットや機密性の高い設定パラメータ、その他の情報を共有することができる。 
• Unstructured data do not follow a detailed data model that is meaningful to a business domain. Examples include documents and videos. Unstructured data might be stored in a specific format, such as a proprietary document format or a standards-based video format. For example, a video could show a patient’s medical procedure, people entering and exiting a facility, or a training course for new employees. A document with unstructured data not only could contain nearly any type of information, but it may also have other types of data embedded within it, such as graphics, videos, and other documents, each containing one or more other instances of data.   ・非構造化データは,ビジネス・ドメインにとって意味のある詳細なデータ・モデルに従っていない。例えば,文書やビデオなどがある。非構造化データは,独自の文書フォーマットや標準ベースのビデオフォーマットなど,特定のフォーマットで保存される場合がある。例えば,ビデオには患者の医療処置,施設に出入りする人々,新入社員向けのトレーニングコースなどを映すことができる。非構造化データを含む文書には,ほぼすべてのタイプの情報が含まれる可能性があるだけでなく,グラフィックス,ビデオ,その他の文書など,他のタイプのデータが埋め込まれている可能性もある。
2.3.  Data Governance and Data Management  2.3.  データガバナンスとデータ管理 
Data governance encompasses the actions an organization needs to perform to ensure that its data assets are managed properly. Aspects of data classification that are particularly important for data governance are defining the organization’s data classification policies and related data protection requirements, and determining how those policies should be implemented and enforced, including roles and responsibilities both within the organization and outside the organization.   データガバナンスは、データ資産が適切に管理されていることを保証するために組織が実行する必要のある行動を包含する。データガバナンスにとって特に重要なデータ格付の側面は、組織のデータ分類方針及び関連するデータ保護要件を定義すること、並びに、組織内外の役割及び責任を含め、それらの方針をどのように実施し執行すべきかを決定することである。 
Data management is the implementation and enforcement of the policies and practices resulting from data governance. Data management should occur for all data assets throughout the data lifecycle. Metadata are a form of data, so metadata also need to be managed. Although explaining data management in detail is outside the scope of this publication, some basic understanding of the following areas of data management is necessary in order to understand data classification’s role as part of data management:  データ管理は、データガバナンスの結果として得られた方針と実務の実施と実施である。データ管理は、データライフサイクル全体を通じて、すべてのデータ資産に対して行われる必要がある。メタデータもデータの一形態であるため、メタデータも管理する必要がある。データ管理について詳細に説明することは本書の範囲外であるが、データ管理の一部としてのデータ格付の役割を理解するためには、データ管理の以下の分野について基本的な理解が必要である: 
• Data definition: In order to manage a data asset, an organization first needs to define it. Data definition varies by data asset, but it usually includes identifying the applicable data type and data model, as well as collecting metadata regarding the origin, nature, purpose, and quality of the data asset (data cataloging). Data definition strives to gather sufficient information about a data asset so that the organization can ascertain its data classifications. The formality and rigor of data definition varies greatly among data assets, but it is typically related to whether the data asset is structured, semi-structured, or unstructured.  ・データの定義: データ定義: データ資産を管理するためには、組織はまずそれを定義する必要がある。データの定義:組織がデータ資産を管理するためには、まずそれを定義する必要がある。データの定義はデータ資産によって異なるが、通常は識別データタイプとデータモデルを特定することと、データ資産の起源、性質、目的、品質に関するメタデータを収集すること(データカタログ化)が含