まるちゃんの情報セキュリティ気まぐれ日記

・2023.10.30 中国グローバルAIガバナンス・イニシアティブ (2023.10.19)

・2023.10.30 経団連 AI活用戦略Ⅱ －わが国のAI-Powered化に向けて－　(2023.10.17)

・2023.10.25 インド AIに関する専門家の報告書「インディアAI 2023」を公表 (2023.10.14)

2023.11.28 06:14 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 内部統制 / リスクマネジメント, in AI/Deep Learning | Permalink | Comments (0)
Tweet

米国 CISA AI導入のロードマップ (2023.11.14)

こんにちは、丸山満彦です。

CISAがAIに関する大統領令 EO 14110 Safe, Secure, and Trustworthy Development and Use of Artificial Intelligenceに沿ったAI導入のロードマップを公表していました。。。

● CISA

・2023.11.14 CISA Releases Roadmap for Artificial Intelligence Adoption

・[PDF]

目次...

INTRODUCTION	はじめに
VISION	ビジョン
CISA'S ROLE IN SECURING AI	AIの安全確保におけるCISAの役割
FIVE LINES OF EFFORT	5つの取り組み
LINE OF EFFORT 1: Responsibly Use AI to Support our Mission	取り組み1：ミッションをサポートするためにAIを責任を持って使用する
LINE OF EFFORT 2: Assure AI Systems	取り組み2：AIシステムを保証する
LINE OF EFFORT 3: Protect Critical Infrastructure From Malicious Use of AI	取り組み3： AIの悪意ある利用から重要インフラを守る
LINE OF EFFORT 4: Collaborate with and Communicate on Key AI Efforts with the Interagency, International Partners, and the Public	取り組み4：省庁間、国際的なパートナー、一般市民と協力し、AIの重要な取組に関してコミュニケーションを図る。
LINE OF EFFORT 5: Expand AI Expertise in our Workforce	取り組み5：労働力におけるAIの専門知識の拡大
CONCLUSION	結論
KEY DEFINITIONS	主な定義
Artificial Intelligence (AI)	人工知能（AI）
AI Assurance	AI保証
AI Security	AIセキュリティ
Red Teaming	レッドチーム
Adversarial Machine Learning	敵対的機械学習
APPENDIX Recent U .SEfforts on AI Policy	附属書 AI政策に関する米国の最近の取り組み

内容...

VISION	ビジョン
We envision a future in which AI systems advance our nation’s cyber defense, where our critical infrastructure is resilient and protected from malicious use of AI, and where AI developers prioritize the security of their products as a core business requirement.	私たちは、AIシステムが我が国のサイバー防衛を推進し、重要なインフラがAIの悪意ある利用から弾力的に保護され、AI開発者が製品のセキュリティをビジネスの中核要件として優先させる未来を描いている。
CISA'S ROLE IN SECURING AI	AIの安全確保におけるCISAの役割
CISA’s Strategic Plan 2023–2025 underpins CISA’s adaptation to these technologies and each of CISA's four strategic goals are relevant to and impacted by AI:	CISAの戦略計画2023-2025は、CISAがこれらの技術に適応するための基礎となっており、CISAの4つの戦略目標はそれぞれAIに関連し、AIから影響を受けている：
GOAL 1 \| CYBER DEFENSE.	目標1｜サイバー防衛。
AI tools can help defend cyberspace against traditional threats, as well as emerging AIdriven threats. However, AI-based software systems are also software systems that require securing and necessitate cyber defense for AI.	AIツールは、従来の脅威だけでなく、AI主導の新たな脅威からもサイバー空間を防衛するのに役立つ。しかし、AIベースのソフトウェアシステムは、安全確保を必要とするソフトウェアシステムでもあり、AIのためのサイバー防衛が必要である。
GOAL 2 \| RISK REDUCTION AND RESILIENCE.	目標2｜リスク削減と回復力。
Critical infrastructure organizations increasingly use AI systems to maintain and improve resilience. CISA will guide and support responsible and risk-aware adoption of AI-based software systems that are secure by design.	重要インフラ組織は、レジリエンスを維持・向上させるために、AIシステムをますます利用するようになっている。CISAは、設計上安全なAIベースのソフトウェア・システムの責任あるリスクを考慮した採用を指導・支援する。
GOAL 3 \| OPERATIONAL COLLABORATION.	目標3｜業務連携。
As AI contributes to a rapidly changing threat landscape, CISA will communicate threat and risk information to the U.S. public, including critical infrastructure sectors. Furthermore, AI companies and AI use cases may be subject to targeted threats and may require specific services and protections in response.	AIが急速に変化する脅威の状況に貢献する中、CISAは重要インフラ部門を含む米国民に脅威とリスク情報を伝達する。さらに、AI企業やAIのユースケースは標的型脅威の対象となる可能性があり、それに対する特定のサービスや保護が必要となる可能性がある。
GOAL 4 \| AGENCY UNIFICATION.	目標4｜機関の統合。
CISA will responsibly integrate AI software systems across the agency, as well as recruit and develop a workforce capable of optimally harnessing AI software systems to carry out CISA’s mission	CISAは、全庁的にAIソフトウェア・システムを責任を持って統合するとともに、CISAの使命を遂行するためにAIソフトウェア・システムを最適に活用できる人材を採用・育成する。
FIVE LINES OF EFFORT	5つの取り組み
LINE OF EFFORT 1: Responsibly Use AI to Support our Mission	取り組み1：ミッションをサポートするためにAIを責任を持って使用する
CISA will use AI-enabled software tools to strengthen cyber defense and support our critical infrastructure mission . CISA’s adoption of AI will ensure responsible, ethical, and safe use—consistent with the Constitution and all applicable laws and policies, including those addressing federal procurement, privacy, civil rights, and civil liberties.	CISAは、サイバー防衛を強化し、重要インフラの使命を支援するために、AI対応のソフトウェア・ツールを使用する。CISAによるAIの採用は、連邦調達、プライバシー、市民権、市民的自由を扱うものを含め、憲法および適用されるすべての法律と政策に合致した、責任ある倫理的で安全な使用を保証する。
REPRESENTATIVE OUTCOMES	主な成果
1 \| CISA assesses our cybersecurity programs for potential uses of AI and provides the resources, requirements, and oversight to incorporate AI where appropriate .	1｜CISAは、AIを利用する可能性のあるサイバーセキュリティ・プログラムを評価し、適切な場合にはAIを組み込むためのリソース、要件、監督を提供する。
2 \| Through the responsible use of AI tools, CISA network defenders proactively mitigate threats to critical networks before damaging intrusions occur .	2｜AIツールの責任ある使用を通じて、CISAのネットワーク防御担当者は、有害な侵入が発生する前に、重要なネットワークに対する脅威を積極的に緩和する。
MEASUREMENT APPROACH	測定方法
Increased responsible uses of AI software tools across CISA workflows.	CISAのワークフロー全体にわたって、AIソフトウェア・ツールの責任ある使用が増加する。
OBJECTIVE 1.1 \| Establish governance and oversight processes for CISA’s use of AI.	目標1.1｜CISAのAI利用のためのガバナンスと監視のプロセスを確立する。
CISA will establish robust AI governance processes to coordinate actions across the agency . This will include developing ethical and safety oversight processes as well as legal, procurement, privacy, civil rights, and civil liberties considerations . Responsible use will be central to our application of AI .	CISAは、機関全体の行動を調整するための強固なAIガバナンス・プロセスを確立する。これには、法律、調達、プライバシー、市民権、市民的自由への配慮に加え、倫理的で安全な監視プロセスの開発も含まれる。責任ある利用は、AIの応用の中心となる。
To promote responsible AI use, CISA will:	責任あるAI利用を促進するため、CISAは以下を行う：
• Create our own NIST AI Risk Management Framework (RMF) profile to help develop and implement security and privacy controls for AI;	・独自のNIST AIリスク管理フレームワーク（RMF）プロファイルを作成し、AIのセキュリティとプライバシー管理の開発と実装を支援する；
• Implement a programmatic structure for AI adoption within cyber defense missions;	・サイバー防衛任務におけるAI採用のためのプログラム構造を導入する；
• Review active AI use cases;	・積極的なAIの使用事例を検討する；
• Develop workplace guidance for generative technologies; and,	・ジェネレーティブ・テクノロジーのための職場ガイダンスを策定する、
• Address AI data requirements and uses .	・AIデータの要件と用途に対処する。
OBJECTIVE 1.2 \| Collect, review, and prioritize AI use cases to support CISA missions.	目標1.2｜CISAのミッションを支援するためのAIユースケースの収集、レビュー、優先順位付けを行う。
CISA will create an agency AI Use Case Inventory to collect, review, and prioritize AI use cases supporting our missions . This inventory will encompass improvements to existing IT systems, collaboration tools, workflows, critical infrastructure defense programs, and proposed data collections for training AI models	CISAは、機関AIユースケース・インベントリを作成し、ミッションを支援するAIユースケースを収集、レビュー、優先順位付けする。この目録には、既存のITシステムの改善、コラボレーション・ツール、ワークフロー、重要インフラ防衛プログラム、AIモデルを訓練するためのデータ収集案が含まれる。
OBJECTIVE 1.3 \| Develop an adoption strategy for the next generation of AI-enabled technologies.	目標1.3｜次世代のAI対応技術の採用戦略を策定する。
To stay ahead of the adoption curve while ensuring privacy and civil rights protections, CISA will closely coordinate AI-related research and development efforts to target gaps in mission needs . These initiatives include the identification of baseline responsible practices for AI to protect safety and rights, the creation of a safe and secure AI testbed, and the development of technical requirements for cybersecurity use cases.	プライバシーと公民権保護を確保しつつ採用曲線の先を行くために、CISAはAI関連の研究開発努力を緊密に調整し、ミッション・ニーズのギャップを対象とする。これらの取り組みには、安全性と権利を保護するためのAIの基本的責任規範の特定、安全でセキュアなAIのテストベッドの構築、サイバーセキュリティのユースケースに関する技術要件の策定などが含まれる。
OBJECTIVE 1.4 \| Incorporate cyber defense, incident management, and redress procedures into AI systems and processes.	目標1.4｜サイバー防御、インシデント管理、救済手続きをAIのシステムとプロセスに組み込む。
CISA will establish incident response capabilities for AI usage, including remedy and redress procedures when necessary . In addition, CISA will adopt an approach for continuous evaluation of AI models while reviewing IT security practices to securely integrate AI technology.	CISAは、必要な場合の是正・救済手続を含め、AI利用のためのインシデント対応能力を確立する。さらに、CISAは、AI技術を安全に統合するためにITセキュリティの慣行を見直しながら、AIモデルを継続的に評価するアプローチを採用する。
OBJECTIVE 1.5 \| Examine holistic approaches to limiting bias in AI use at CISA.	目標1.5｜CISAにおけるAI利用の偏りを抑制するための全体論的アプローチを検討する。
CISA will explore holistic approaches to limit bias in AI use, identifying potential bias points in the development, testing, implementation, and maintenance processes in order to build in fairness. Beyond exploring bias and mitigation strategies, CISA will develop a quality assessment for training data and public notice of our AI Use Case Inventory.	CISAは、公正さを構築するために、開発、テスト、実装、保守の各プロセスにおける潜在的な偏りのポイントを特定し、AIの使用における偏りを制限するための全体的なアプローチを検討する。CISAは、バイアスと緩和戦略を探求するだけでなく、訓練データの品質評価を開発し、AI使用事例目録を公表する。
OBJECTIVE 1.6 \| Responsibly and securely deploy AI systems to support CISA’s cybersecurity mission.	目標1.6｜CISAのサイバーセキュリティ使命を支援するために、責任を持って安全にAIシステムを導入する。
Responsible and secure AI deployment aligns with CISA’s core cybersecurity mission. To help ensure this, CISA will explore the identification, testing, evaluation, and deployment of AI capabilities for cyber defense, including detection of vulnerabilities in critical U.S. government software, systems, and networks, and we will document the lessons learned.	責任ある安全なAIの配備は、CISAの中核的なサイバーセキュリティの使命と一致する。これを確実にするため、CISAは、重要な米国政府のソフトウェア、システム、ネットワークにおける脆弱性の検出を含め、サイバー防衛のためのAI能力の特定、テスト、評価、配備を検討し、得られた教訓を文書化する。
LINE OF EFFORT 2: Assure AI Systems	取り組み2：AIシステムを保証する
CISA will assess and assist secure by design AI-based software adoption across a diverse array of stakeholders, including federal civilian government agencies; private sector companies; and state, local, tribal, and territorial (SLTT) governments through the development of best practices and guidance for secure and resilient AI software development and implementation.	CISAは、安全で弾力性のあるAIソフトウェアの開発と実装のためのベストプラクティスとガイダンスの開発を通じて、連邦民間政府機関、民間企業、州・地方・部族・準州（SLTT）政府を含む多様な利害関係者の間で、セキュア・バイ・デザインのAIベースのソフトウェア採用を評価し、支援する。
REPRESENTATIVE OUTCOMES	主な成果
1 \| CISA identifies cybersecurity risks and security resilience challenges as early as possible during AI adoption to mitigate threats to critical infrastructure.	1｜CISAは、重要インフラへの脅威を緩和するため、AI導入の可能な限り早期にサイバーセキュリティリスクとセキュリティ回復力の課題を特定する。
2 \| CISA adapts existing security guidance and service offerings to AI software systems, including best practices for red teaming AI systems and for making AI software that is secure by design.	2｜CISA は、AI システムをレッドチーム化するためのベストプラクティスや、設計上安全な AI ソフトウェアを作成するためのベストプラクティスなど、既存のセキュリティ指針とサービス提供を AI ソフトウェアシステムに適合させる。
3 \| Stakeholders understand how AI-specific vulnerabilities fit into the existing coordinated vulnerability disclosure process. MEASUREMENT APPROACH Increased adherence to CISA risk guidance and best practices for AI software deployment, including guidance on red teaming and vulnerability mangement.	3｜AI 固有の脆弱性が、既存の調整された脆弱性開示プロセスにどのように適合するかを関係者が理解する。測定方法レッドチーム編成と脆弱性管理に関するガイダンスを含め、CISA リスクガイダンスと AI ソフトウェア展開のベストプラクティスの遵守率が向上する。
MEASUREMENT APPROACH	測定方法
Increased adherence to CISA risk guidance and best practices for AI software deployment, including guidance on red teaming and vulnerability mangement.	レッドチームや脆弱性管理に関するガイダンスを含め、CISAリスクガイダンスやAIソフトウェア導入のベストプラクティスの順守を強化する。
OBJECTIVE 2.1 \| Assess cybersecurity risks of AI adoption in critical infrastructure sectors.	目標2.1｜重要インフラ分野における AI 導入のサイバーセキュリティリスクを評価する。
CISA will assess potential risks related to the use of AI in critical infrastructure sectors, including ways in which deploying AI may make critical infrastructure systems more vulnerable to critical failures, physical attacks, and cyberattacks. CISA will then consider ways to mitigate these vulnerabilities. Additionally, CISA will incorporate the NIST AI Risk Management Framework (AI RMF 1.0), as well as other appropriate security guidance, into relevant safety and security guidelines and best practices for use by critical infrastructure owners and operators.	CISAは、AIの導入が重要インフラ・システムを重大な障害、物理的攻撃、サイバー攻撃に対してより脆弱にする可能性がある方法を含め、重要インフラ部門でのAIの使用に関連する潜在的リスクを評価する。CISAはその後、これらの脆弱性を緩和する方法を検討する。さらに、CISAは、NIST AIリスク管理フレームワーク（AI RMF 1.0）、および他の適切なセキュリティ・ガイダンスを、重要インフラの所有者および運用者が使用するための関連する安全・セキュリティ・ガイドラインおよびベストプラクティスに組み込む。
OBJECTIVE 2.2 \| Engage critical infrastructure stakeholders to determine security and resilience challenges of AI adoption.	目標2.2｜重要インフラの利害関係者を関与させ、AI導入のセキュリティと回復力の課題を明らかにする。
CISA will engage with critical infrastructure stakeholders to assess and address the use of AI across critical infrastructure sectors.	CISAは、重要インフラの利害関係者を関与させ、重要インフラ部門全体にわたるAIの利用を評価し、対処する。
OBJECTIVE 2.3 \| Capture the breadth of AI systems used across the federal enterprise.	目標2.3｜連邦企業全体で使用されているAIシステムの幅を把握する。
CISA will evaluate Software Bill of Materials (SBOM) toolchains, including SBOM format standards and automated SBOM collection and translation software, to confirm coverage of AI software.	CISAは、ソフトウェア部品表（SBOM）ツールチェーン（SBOMフォーマット標準、自動SBOM収集・翻訳ソフトウェアを含む）を評価し、AIソフトウェアの適用範囲を確認する。
OBJECTIVE 2.4 \| Develop best practices and guidance for acquisition, development, and operation of secure AI systems.	目標2.4：安全なAIシステムの取得、開発、運用のためのベストプラクティスとガイダンスを策定する。
CISA will develop best practices and guidance for the acquisition, development, and operation of secure AI systems. We will also provide guidance for the secure use of AI technologies and will integrate this guidance into the Cybersecurity Performance Goals pertaining to AI and related systems.	CISAは、安全なAIシステムの取得、開発、運用のためのベストプラクティスとガイダンスを開発する。また、AI技術の安全な利用のためのガイダンスを提供し、このガイダンスをAIと関連システムに関するサイバーセキュリティ・パフォーマンス・ゴールに統合する。
OBJECTIVE 2.5 \| Drive adoption of strong vulnerability management practices for AI systems.	目標2.5｜AIシステムに対する強力な脆弱性管理手法の採用を推進する。
CISA will develop tools and techniques to harden and test AI systems, as well as incorporate appropriate outputs of adversarial ML processes and AI system vulnerabilities into the National Vulnerability Database. This includes conducting an operational test of an AI vulnerability in the Coordinated Vulnerability Disclosure (CVD) process, as well as writing strategic guidance for security testing and red teaming AI systems and software, particularly Open Source Software.	CISAは、AIシステムを強化しテストするためのツールと技術を開発するとともに、敵対的MLプロセスとAIシステムの脆弱性の適切なアウトプットを国家脆弱性データベースに組み込む。これには、CVD（Coordinated Vulnerability Disclosure）プロセスにおけるAIの脆弱性の運用テストの実施や、AIシステムおよびソフトウェア（特にオープンソースソフトウェア）のセキュリティテストとレッドチーム化のための戦略的ガイダンスの作成が含まれる。
OBJECTIVE 2.6 \| Incorporate AI systems into Secure by Design initiative.	目標2.6｜AIシステムをセキュアバイデザインの取り組みに組み込む。
CISA champions a secure by design approach to developing and manufacturing technology products, ensuring manufacturers design products with security in mind at the onset, so consumers receive products that are secure right out of the box. To encourage a secure by design approach to AI software and products, CISA will integrate AI security into the Secure by Design program and will develop a research pipeline to continually understand and project ways to support AI systems security.	CISAは、技術製品の開発・製造におけるセキュア・バイ・デザイン・アプローチを提唱し、メーカーが当初からセキュリティを念頭に製品を設計し、消費者が箱から出してすぐに安全な製品を受け取れるようにする。AIソフトウェアと製品へのセキュア・バイ・デザイン・アプローチを奨励するため、CISAはAIセキュリティをセキュア・バイ・デザイン・プログラムに統合し、AIシステムのセキュリティをサポートする方法を継続的に理解し、プロジェクト化するための研究パイプラインを開発する。
LINE OF EFFORT 3: Protect Critical Infrastructure From Malicious Use of AI	取り組み3： AIの悪意ある利用から重要インフラを守る
CISA will assess and recommend mitigation of AI threats against our nation’s critical infrastructure in partnership with other government agencies and industry partners that develop, test, and evaluate AI tools.	CISAは、AIツールを開発、テスト、評価する他の政府機関や産業界のパートナーと連携して、わが国の重要インフラに対するAIの脅威を評価し、緩和策を提言する。
REPRESENTATIVE OUTCOMES	主な成果
1 \| Through engagement with stakeholders, including tabletop exercises focused on AI-enhanced attacks, CISA protects AI systems from adversarial manipulation or abuse.	1｜AIを強化した攻撃に焦点を当てた卓上演習を含む利害関係者との関与を通じて、CISAはAIシステムを敵対的な操作や悪用から保護する。
2 \| CISA supports the advancement of AI risk management practices across the critical infrastructure community through the publication and dissemination of decision support materials, such as a risk management guide for AI risks to critical infrastructure.	2｜CISAは、重要インフラに対するAIリスクのリスク管理ガイドなどの意思決定支援資料の出版・普及を通じて、重要インフラ・コミュニティ全体でAIのリスク管理実務の進展を支援する。
MEASUREMENT APPROACH:	測定方法
Number of publications and engagements that support shared awareness of emerging AI-related risks and advances in AI risk management practices.	新たなAI関連リスク及びAIリスク管理手法の進歩に関する認識の共有を支援する出版物及び関与の数。
OBJECTIVE 3.1 \| Regularly engage industry stakeholder partners that are developing AI tools to assess and address security concerns to critical infrastructure and evaluate methods for educating partners and stakeholders.	目標3.1｜重要インフラに対するセキュリティ上の懸念を評価し対処するためのAIツールを開発している業界の利害関係者パートナーを定期的に関与させ、パートナーや利害関係者を教育する方法を評価する。
CISA will build on existing structures to advance industry collaboration and coordination around AI security. The Information Technology Sector Coordinating Council’s AI Working Group, which was established in March 2023, will continue to provide advice on AI security challenges and feedback on agency AI initiatives.	CISAは、AIセキュリティに係る業界の協力・協調を推進するため、既存の体制を構築する。2023年3月に設立された情報技術部門調整協議会のAI作業部会は、引き続きAIセキュリティの課題に関する助言と省庁のAIイニシアティブに関するフィードバックを提供する。
CISA will also stand up an operational effort in the Joint Cyber Defense Collaborative (JCDC), JCDC.AI, to catalyze focused collaboration around threats, vulnerabilities, and mitigations affecting AI systems. The JCDC effort will also explore potential operational planning efforts that bring together AI providers and critical infrastructure operators to address specific risks.	CISAはまた、AIシステムに影響を及ぼす脅威、脆弱性、緩和策に関する集中的な協力を促進するため、Joint Cyber Defense Collaborative (JCDC)のJCDC.AIという運用努力も立ち上げる。また、JCDCの取り組みは、AIプロバイダーと重要インフラ事業者が特定のリスクに対処するために結集する運用計画努力の可能性を探る。
OBJECTIVE 3.2 \| Use CISA partnerships and working groups to share information on AI-driven threats.	目標3.2｜CISAのパートナーシップと作業部会を利用して、AI主導の脅威に関する情報を共有する。
CISA will use agency partnerships and working groups, including JCDC.AI, to share information on AI-driven threats. The agency will engage industry, federal, and international partners to understand emerging threats and share them with the broader commuity.	CISAは、JCDC.AIを含む機関のパートナーシップやワーキング・グループを活用して、AI主導の脅威に関する情報を共有する。CISAは、新たな脅威を理解し、より広範な社会と共有するために、産業界、連邦政府、および国際的なパートナーを関与させる。
OBJECTIVE 3.3 \| Assess AI risks to critical infrastructure. Each critical infrastructure sector has a unique set of needs and capabilities.	目標3.3｜重要インフラに対するAIリスクを評価する。各重要インフラ部門には、固有のニーズと能力がある。
As adversaries adopt AI-enabled software systems and as AI expands the cyber threat landscape, CISA will publish materials to raise awareness of emerging risks. CISA will also evaluate risk management approaches and methodologies to determine the appropriate analytical framework for the assessment and treatment of AI risks and will identify necessary enhancements.	敵対者がAI対応ソフトウェア・システムを採用し、AIがサイバー脅威の状況を拡大するにつれて、CISAは新たなリスクに対する認識を高めるための資料を公表する。CISAはまた、AIリスクの評価と処置のための適切な分析枠組みを決定するために、リスク管理アプローチと方法論を評価し、必要な強化を特定する。
LINE OF EFFORT 4: Collaborate with and Communicate on Key AI Efforts with the Interagency, International Partners, and the Public	取り組み4：省庁間、国際的なパートナー、一般市民と協力し、AIの重要な取組に関してコミュニケーションを図る。
CISA will contribute to DHS-led and interagency processes on AI-enabled software. This LOE includes developing policy approaches for the U.S. government’s overall national strategy on AI and supporting a whole-of-DHS approach on AI-based-software policy issues. This LOE also includes coordinating with international partners to advance global AI best practices and principles.	CISAは、AI対応ソフトウェアに関するDHS主導の省庁間プロセスに貢献する。このLOEには、AIに関する米国政府の全体的な国家戦略のための政策アプローチを策定することや、AIベースのソフトウェア政策に関するDHS全体のアプローチを支援することが含まれる。また、このLOEには、世界的なAIのベストプラクティスと原則を推進するための国際パートナーとの調整も含まれる。
REPRESENTATIVE OUTCOMES	主な成果
1 \| CISA stakeholders are aligned around clear guidance for AI security.	1｜CISAの利害関係者が、AIセキュリティに関する明確なガイダンスを中心に足並みを揃える。
MEASUREMENT APPROACH	測定方法
Proportion of AI-focused guidance and policy documents developed in collaboration with U.S. interagency and international partners.	AIに焦点を当てたガイダンス及び政策文書のうち、米国の省庁間及び国際的なパートナーと協力して作成されたものの割合。
OBJECTIVE 4.1 \| Support the development of a whole-of-DHS approach on AI policy issues.	目標4.1｜AI政策課題に関する国土安全保障省全体のアプローチの策定を支援する。
CISA will support the development of a whole-of-DHS approach to AI policy issues. As CISA develops our agency-specific AI efforts, we will closely coordinate with DHS entities, including the DHS AI Task Force.	CISAは、AI政策課題に対する国土安全保障省全体のアプローチの開発を支援する。CISAが機関固有のAI取り組みを展開する際には、DHS AIタスクフォースなどのDHS機関と緊密に連携する。
OBJECTIVE 4.2 \| Participate in interagency policy meetings and interagency working groups on AI.	目標4.2｜AIに関する省庁間政策会議や省庁間作業部会に参加する。
CISA will attend interagency meetings to foster coherent and collaborative approaches to federal government AI policy	CISAは、連邦政府のAI政策に対する首尾一貫した協調的アプローチを促進するため、省庁間会議に出席する。
OBJECTIVE 4.3 \| Develop CISA policy positions that take a strategic, national level perspective for AI policy documents, such as memoranda and other products.	目標4.3｜覚書等のAI政策文書について、戦略的で国家レベルの視点を持つCISA政策ポジションを策定する。
CISA will develop policy positions that take a strategic, national level perspective for AI policy documents and ensure alignment of CISA strategies, priorities, and policies with interagency doctrine. CISA will drive policy decisions to support critical infrastructure equities and integrate national strategic level perspectives in key AI policy documents. Additionally, to increase public awareness about AI assurance, CISA will develop AI assurance publications.	CISAは、AI政策文書について戦略的、国家レベルの視点を持つ政策ポジションを策定し、CISAの戦略、優先事項、政策と省庁間のドクトリンとの整合性を確保する。CISAは、重要インフラの公平性を支える政策決定を推進し、主要なAI政策文書に国家戦略レベルの視点を統合する。さらに、AI保証に関する国民の認識を高めるため、CISAはAI保証に関する出版物を作成する。
OBJECTIVE 4.4 \| Ensure CISA strategy, priorities, and policy framework align with interagency policies and strategy.	目標4.4｜CISAの戦略、優先事項、政策枠組みが省庁間の政策や戦略と整合するようにする。
CISA will work across the interagency to ensure CISA policies and strategies align with the whole-of-government approach to AI.	CISAは、CISAの方針及び戦略がAIに対する政府全体のアプローチと整合するよう、省庁間で連携する。
OBJECTIVE 4.5 \| Engage with international partners surrounding global AI security.	目標4.5｜グローバルなAIの安全保障をめぐる国際的パートナーと連携する。
CISA will co-develop and co-seal guidance for AI security with other federal agencies and international partners. CISA will engage with international partners surrounding global AI security and encourage the adoption of international best practices for secure AI.	CISAは、他の連邦政府機関や国際的パートナーとAIセキュリティに関するガイダンスを共同開発し、共同承認する。CISAは、グローバルなAIセキュリティを取り巻く国際的なパートナーと関わり、安全なAIのための国際的なベスト・プラクティスの採用を奨励する。
LINE OF EFFORT 5: Expand AI Expertise in our Workforce	取り組み5：労働力におけるAIの専門知識の拡大
CISA will continue to educate our workforce on AI software systems and techniques, and the agency will continue to actively recruit interns, fellows, and future employees with AI expertise. CISA will ensure that internal training reflects—and new recruits understand—the legal, ethical, and policy aspects of AI-based software systems in addition to the technical aspects.	CISAは、AIソフトウェア・システムと技術に関する従業員の教育を継続し、AIに精通したインターン、フェロー、将来の従業員を積極的に採用し続ける。CISAは、技術的側面に加え、AIベースのソフトウェア・システムの法的、倫理的、政策的側面を内部研修に反映させ、新入社員が理解するようにする。
REPRESENTATIVE OUTCOMES	主な成果
1 \| CISA hires, trains, and retains a workforce with AI expertise.	1｜CISAは、AIの専門知識を有する労働力を雇用し、訓練し、維持する。
MEASUREMENT APPROACH	測定方法
Increased AI expertise in the CISA workforce.	CISAの労働力におけるAIの専門知識が増加する。
OBJECTIVE 5.1 \| Connect and amplify AI expertise that already exists in CISA’s workforce.	目標5.1｜CISAの労働力に既に存在するAIの専門知識を結び付け、増幅する。
As the nation’s cyber defense agency, the CISA team includes a strong workforce of cybersecurity experts. The agency will identify and leverage existing AI expertise across CISA. We will also develop an AI community of practice for engagement across the agency, as well as maintain key points of contact from each division leading AI activities, positioning the agency for a collaborative and cohesive approach to expanding our AI capabilities.	国のサイバー防衛機関として、CISAチームにはサイバーセキュリティ専門家の強力な労働力が含まれている。CISAは、CISA全体に存在するAIの専門知識を特定し、活用する。また、AI能力を拡大するための協力的で結束力のあるアプローチのために、AI活動を主導する各部門の主要な窓口を維持するだけでなく、機関全体が関与するためのAI実践コミュニティを開発する。
OBJECTIVE 5.2 \| Recruit interns, fellows, and staff with AI expertise.	目標5.2｜AIに精通したインターン、フェロー、スタッフを採用する。
CISA will recruit interns, fellows, and staff with AI expertise. CISA will use a variety of pathways, including the Cyber Talent Management System (CTMS), for recruiting, developing, and maintaining our AI workforce.	CISAは、AIの専門知識を有するインターン、フェロー、職員を採用する。CISAは、AI人材の採用、育成、維持のために、サイバー人材管理システム（CTMS）を含む様々な経路を利用する。
OBJECTIVE 5.3 \| Educate CISA's workforce on AI.	目標5.3｜AIについてCISAの労働力を教育する。
CISA will provide training and education opportunities for employees on an ongoing basis as part of our plan to help our workforce have the knowledge and skills to engage, innovate, and apply appropriately the current and emerging capabilities afforded by AI.	CISAは、従業員がAIに従事し、革新し、AIによってもたらされる現在および新たな能力を適切に適用するための知識と技能を持つことを支援する計画の一環として、従業員に対して継続的に研修・教育の機会を提供する。
OBJECTIVE 5.4 \| Ensure internal training not only reflects technical expertise, but also incorporates legal, ethical, and policy considerations of AI implementation across all aspects of CISA’s work.	目標5.4｜社内研修に技術的な専門知識を反映させるだけでなく、CISAの業務のあらゆる側面にAI導入の法的、倫理的、政策的な考慮事項を盛り込むようにする。
CISA will provide access to training that includes objectives on legal, ethical, and policy aspects of implementing AI.	CISAは、AI導入の法的、倫理的、政策的側面に関する目標を含む研修へのアクセスを提供する。
CONCLUSION	結論
A whole-of-government approach is needed to fully harness the benefits and mitigate the risks of AI. Through the initiatives outlined in this roadmap, CISA strives toward our vision of a nation in which AI systems advance our nation’s cyber defense, where our critical infrastructure is resilient and protected from malicious use of AI, and where AI developers prioritize the security of their products as a core business requirement.	AIの恩恵を十分に活用し、リスクを軽減するためには、政府全体のアプローチが必要である。CISAは、このロードマップに示された取り組みを通じて、AIシステムがわが国のサイバー防衛を推進し、重要インフラがAIの悪意ある利用から弾力的に保護され、AI開発者が自社製品のセキュリティをビジネスの中核要件として優先させるような国家というビジョンに向けて邁進する。

このリストは参考になります。。。

RECENT U.S. EFFORTS ON AI POLICY	AI政策に関する米国の最近の取り組み
Recent actions taken by the U .S . government’s executive and legislative branches related to AI-based software systems reflect the need to marshal a national effort to defend critical infrastructure and government networks and assets, work with partners across government and industry, and expand existing services and programs for federal civilian agencies and critical infrastructure owners and operators . The following recent efforts guide CISA’s actions in this plan:	AIベースのソフトウェア・システムに関連する米国政府の行政府および立法府による最近の動きは、重要インフラおよび政府のネットワークと資産を防衛するための国家的な努力を結集し、政府および産業界のパートナーと協力し、連邦民間機関および重要インフラの所有者および運用者のための既存のサービスおよびプログラムを拡大する必要性を反映している。本計画におけるCISAの行動の指針となっているのは、以下の最近の取り組みである：
Executive Order 14110 “Safe, Secure, And Trustworthy Development and Use of Artificial Intelligence (AI)." (October 2023)	大統領令第14110号 "人工知能（AI）の安全、安全、信頼できる開発と利用"。(2023年10月）
This EO focuses on ensuring that AI is safe and secure . This will require robust, reliable, repeatable, and standardized evaluations of AI systems, as well as policies, institutions, and mechanisms to test, understand, and mitigate risks from these systems before they are put to use .	このEOは、AIを安全かつ確実にすることに焦点を当てている。そのためには、AIシステムの強固で信頼性の高い、反復可能で標準化された評価と、これらのシステムが使用される前にテストし、理解し、リスクを軽減するための政策、制度、メカニズムが必要となる。
Voluntary Commitments from Leading Artificial Intelligence Companies to Manage the Risks Posed by AI. (Updated September 2023)	AIがもたらすリスクを管理するための大手人工知能企業の自主的コミットメント。(2023年9月更新）
The Biden-Harris administration has secured voluntary commitments from leading AI companies to help move toward safe, secure, and transparent development of the AI technology . These commitments include ensuring products are safe before introducing them to the public, building systems that put security first, and earning the public’s trust .	バイデン-ハリス政権は、AI技術の安全、安心、透明な開発に向けて、大手AI企業から自発的なコミットメントを確保した。これらのコミットメントには、一般に導入する前に製品の安全性を確保すること、セキュリティを最優先するシステムを構築すること、国民の信頼を得ることなどが含まれる。
DHS Policy Statement 139-06 Acquisition and Use of Artificial Intelligence and Machine Learning by DHS Components. (August 2023)	DHS政策声明139-06 DHS構成機関による人工知能と機械学習の取得と使用。(2023年8月）
This policy statement provides that DHS will acquire and use AI only in a manner that is consistent with the Constitution and all other applicable laws and policies .	この方針声明は、DHSがAIを取得し使用するのは、憲法および他のすべての適用法および方針と矛盾しない方法のみであることを規定している。
New National Science Foundation Funding. (May 2023)	新しい全米科学財団の資金援助。(2023年5月)
This dedicated $140 million will launch seven new National AI Research Institutes to promote responsible innovation, bolster America’s AI research and development (R&D) infrastructure and support the development of a diverse AI workforce .	この1億4,000万ドルの資金により、責任あるイノベーションを促進し、米国のAI研究開発（R&D）インフラを強化し、多様なAI人材の育成を支援する7つの国立AI研究機関が新たに設立される。
AI Risk Management Framework (RMF). (January 2023)	AIリスク管理フレームワーク（RMF）。(2023年1月）
In collaboration with the private and public sectors, the National Institute of Standards and Technology (NIST) developed this framework to better manage risks—to individuals, organizations, and society—that are uniquely associated with AI . The NIST AI RMF, intended for voluntary use, aims to improve the ability to incorporate trustworthiness considerations into the design, development, use, and evaluation of AI products, services, and systems .	米国国立標準技術研究所（NIST）は、AIに特有の個人、組織、社会に対するリスクをより適切に管理するため、官民の協力を得て、このフレームワークを開発した。NIST AI RMFは自主的な使用を目的としており、AI製品、サービス、システムの設計、開発、使用、評価に信頼性への配慮を組み込む能力を向上させることを目的としている。
Blueprint for an AI Bill of Rights. (October 2022)	AI権利章典の青写真。(2022年10月）
This framework is a set of five principles— identified by the White House Office of Science and Technology Policy—that should guide the design, use, and deployment of automated systems to protect the American public in the age of AI .	この枠組みは、ホワイトハウスの科学技術政策室によって特定された5つの原則であり、AIの時代に米国民を保護するための自動化システムの設計、使用、展開の指針となるべきものである。
2021 Final Report of the National Security Commission on Artificial Intelligence. (March 2021)	2021 人工知能に関する国家安全保障委員会の最終報告書。(2021年3月）
This report presented an integrated national strategy to reorganize the government, reorient the nation, and rally our closest allies and partners to defend and compete in the coming era of AI-accelerated competition and conflict .	この報告書は、政府を再編成し、国家を再編成し、最も緊密な同盟国やパートナーを結集して、AIが加速する来るべき競争と紛争の時代を防衛し、競争するための統合国家戦略を提示した。
National Artificial Intelligence Initiative (NAII) Act of 2020 (Division E of the National Defense Authorization Act for Fiscal Year 2021). (January 2021)	2020年国家人工知能イニシアチブ（NAII）法（2021会計年度国防授権法E部門）。(2021年1月）
Among other things, this act established direction and authority to coordinate AI research, development, and demonstration activities among civilian agencies, the Department of Defense, and the intelligence community to ensure that each informs the work of the others .	この法律は、特に、民間機関、国防総省、情報機関の間でAIの研究、開発、実証活動を調整し、それぞれが他の機関の活動に確実に情報を提供するための方向性と権限を確立した。
AI in Government Act of 2020 (Title I of Division U of the Consolidated Appropriations Act, 2021). (December 2020)	2020年政府におけるAI法（2021年連結歳出法U部門タイトルI）。(2020年12月）
This act created the AI Center of Excellence within the General Services Administration and directed the Office of Management and Budget (OMB) to issue a memorandum informing federal agencies of policies for acquisition and application of AI and identifying best practices for mitigating risks .	この法律は、AI Center of ExcellenceをGeneral Services Administration内に設立し、管理予算局（OMB）に対し、AIの取得と適用に関する方針を連邦政府機関に通知し、リスクを軽減するためのベストプラクティスを特定する覚書を発行するよう指示した。
Department of Homeland Security 2020 Artificial Intelligence Strategy. (December 2020)	国土安全保障省の2020年人工知能戦略。(2020年12月）
This strategy set out to enhance DHS’s capability to safeguard the American people, our homeland, and our values through the responsible integration of AI into DHS’s activities and the mitigation of new risks posed by AI .	この戦略は、DHSの活動にAIを責任を持って統合し、AIがもたらす新たなリスクを軽減することで、米国民、国土、我々の価値を守るDHSの能力を強化することを目的としている。
EO 13960: Promoting the Use of Trustworthy AI in the Federal Government. (December 2020)	EO 13960 連邦政府における信頼できるAIの利用を促進する。(2020年12月）
This executive order required federal agencies to inventory their AI use cases and share their inventories with other government agencies and the public .	この大統領令は、連邦政府機関に対し、AIのユースケースを目録化し、その目録を他の政府機関や一般市民と共有することを求めた。
EO 13859: Maintaining American Leadership in AI. (February 2019)	EO 13859： AIにおけるアメリカのリーダーシップを維持する。(2019年2月）
This executive order established federal principles and strategies to strengthen the nation's capabilities in AI to promote scientific discovery, economic competitiveness, and national security .	この大統領令は、科学的発見、経済競争力、国家安全保障を促進するために、AIにおける国家の能力を強化するための連邦政府の原則と戦略を定めた。

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.11.22 産業サイバーセキュリティ研究会「サイバー攻撃による被害に関する情報共有の促進に向けた検討会」の最終報告書等を取りまとめました

・2023.01.27 NIST AIリスクフレームワーク

・2022.10.07 米国科学技術政策局 AI権利章典の青写真

・2021.05.10 米国連邦政府人工知能イニシアティブ

・2021.01.06 米国 2021年度 National Defense Authorization Act (NDAA) （国防授権法）成立　サイバー関係も・・・

・2020.11.30 米国 OMBが「人工知能アプリケーション規制のためのガイダンス」を発行

2023.11.28 04:52 in 情報セキュリティ / サイバーセキュリティ, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in AI/Deep Learning | Permalink | Comments (0)
Tweet

2023.11.27

経済産業省産業サイバーセキュリティ研究会「サイバー攻撃による被害に関する情報共有の促進に向けた検討会」の最終報告書

こんにちは、丸山満彦です。

経済産業省産業サイバーセキュリティ研究会「サイバー攻撃による被害に関する情報共有の促進に向けた検討会」の最終報告書が公表されていますね。。。

サイバー攻撃が高度化する中、攻撃の全容の把握や被害の拡大を防止する等の観点から、被害組織を直接支援する専門組織を通じたサイバー被害に係る情報の速やかな共有が効果的です。この観点から、経済産業省では、2023年5月より「サイバー攻撃による被害に関する情報共有の促進に向けた検討会」を開催し、今回、最終報告書等を取りまとめました。

で、背景・趣旨

1．背景・趣旨

サイバー攻撃が高度化する中、単独組織による攻撃の全容解明は困難となっており、攻撃の全容の把握や被害の拡大を防止する等の観点からサイバー攻撃に関する情報共有は極めて重要です。このため、経済産業省では、関係省庁と連携して、サイバー攻撃を受けた被害組織がサイバーセキュリティ関係組織とサイバー攻撃被害に係る情報を共有する際の実務上の参考となるガイダンス（「サイバー攻撃被害に係る情報の共有・公表ガイダンス」）を今年3月に策定・公表したところです。

他方で、被害組織自らによる情報共有には、被害組織側に自らが受けられる情報共有メリット以上の調整コストが発生する等の課題があります。そこで、被害組織を直接支援する専門組織を通じた速やかな情報共有の促進が重要となりますが、専門組織を通じた情報共有を促進するためには、①秘密保持契約による情報共有への制約、②非秘密情報からの被害組織の特定・推測の可能性の課題に対応する必要があります。

こうした課題に対応するため、経済産業省では、「サイバー攻撃による被害に関する情報共有の促進に向けた検討会」を開催し、被害組織自身による情報共有ではなく、被害拡大防止に資する専門組織を通じた情報共有を促進するための必要事項の検討を行い、今般取りまとめを行いました。

とのことです。。。

米国の場合は、多くの情報をもっている連邦政府が国益を考え、民間部門に広く情報を提供することにより、国全体のセキュリティを向上しようという方向ですよね。。。そして、それを法定している。。。もちろん、重要インフラについては事故等の情報を政府に報告する必要はありますが、その情報から得られた知見も民に共有されていくことになりますよね。。。

こちらの提案は、主に民のセキュリティインシデント等の情報を例えば、SOCベンダーなどのセキュリティベンダーを媒介に共有しようという感じに見られますね。。。

おそらく、本来的には被害組織が情報を提供するモデルを想定していたが、被害組織にとっては情報を非特定化するなどのクレンジング作業にコストがかかるのにメリットがないということで、情報提供をしないだろう、であれば、例えばSOCベンダーのようなセキュリティベンダーにそれを負担させよう（なぜなら、ベンダーはその情報をもとに他の組織への同種の攻撃の防御にも使える等のメリットがありそうだから。。。）ということになっているのかな。。。と思いました。

SOCベンダーがA社の機器の監視をしていて攻撃を検知し、対応をしたとしても、その情報はA社の情報なので、これから攻撃を受けそうなB社に対して先手をうった防御（アクティブディフェンス）には利用できていないですよね。。。それを解消できればよいのに。。。というのが一つのパターンなんでしょうね。。。

幅広い情報をセキュリティベンダーが非特定化して利用することになるというのであれば、一般の組織は抵抗があるでしょうから、共有する情報はわかりやすい情報（攻撃元のIPアドレス等、マルウェアの検体等）に限定するような契約書の記載がよいのではないでしょうかね。。。まずは、、、

あと気になるのは、これを普及させるために、SOCベンダーが、情報共有NDA条項を標準契約の中に入れてしまうのではないかということですね。。。本来的なサービスはこの条項がなくても成立しているので、これを抱き合わせしまうのは、どうなんだろうか、、、という意見がでてきそうですね。。。この情報共有NDA条項を受け入れた組織だけが、他の攻撃情報等の共有を受けられるというのはありですかね。。。

公益的な目的が社会のコンセンサスになっているのであれば、法律にしてしまえばよいのですけどね。。。そうなっていないから、今はガイドラインで、、、ということなのでしょうね。。。

ガイドラインの普及啓発をしながら、社会に必要性を訴求していくことが必要かもしれませんね。。。その結果、法律まではいらんやろ。。。ということになるかもしれませんが、議論を深めることは重要だろうと思います。。。

ということで、

については、パブリックコメントを12月22日まで受け付けているようですので、是非。。。

● 経済産業省

・[PDF] サイバー攻撃による被害に関する情報共有の促進に向けた検討会最終報告書概要

・[PDF] サイバー攻撃による被害に関する情報共有の促進に向けた検討会最終報告書

・[PDF] 攻撃技術情報の取扱い・活用手引き（案）

・[PDF] 秘密保持契約に盛り込むべき攻撃技術情報等の取扱いに関するモデル条文案

検討会

・サイバー攻撃による被害に関する情報共有の促進に向けた検討会

2023.11.22	報告書等	サイバー攻撃による被害に関する情報共有の促進に向けた検討会最終報告書概要
		サイバー攻撃による被害に関する情報共有の促進に向けた検討会最終報告書
		攻撃技術情報の取扱い・活用手引き（案）
		秘密保持契約に盛り込むべき攻撃技術情報等の取扱いに関するモデル条文（案）
2023.11.13	第6回	議事次第
		資料1-1　サイバー攻撃による被害に関する情報共有の促進に向けた検討会最終報告書概要案 ※非公開
		資料1-2　サイバー攻撃による被害に関する情報共有の促進に向けた検討会最終報告書案 ※非公開
		資料2　秘密保持契約に盛り込むべき攻撃技術情報等の取扱いに関するモデル条文案 ※非公開
		資料3　攻撃技術情報の取扱い・活用手引き案 ※非公開
		補足説明資料　「専門組織」のクラリファイ問題
		資料　JPCERT／CC「「サイバー攻撃による被害に関する情報共有の促進に向けた検討会」各成果物の展開に向けた意見」
		議事要旨（後掲）
2023.09.26	第5回	議事要旨
2023.07.21	第4回	議事次第
		資料1　事務局説明資料（一部非公開）
		議事要旨
2023.06.26	第3回	資料1　事務局説明資料
		資料2　関係者からの説明資料（非公表）
		議事要旨
2023.05.29	第2回	資料1　事務局説明資料
		資料2　関係者からの説明資料（非公表）
		議事要旨
2023.05.15	第1回	議事次第
		資料1-1　サイバー攻撃による被害に関する情報共有の促進に向けた検討会について
		資料1-2　サイバー攻撃による被害に関する情報共有の促進に向けた検討会運営要領（案）
		資料2-1　事務局説明資料
		資料2-2　JPCERT／CC 説明資料
		議事要旨

サイバー攻撃被害に係る情報の共有・公表ガイダンス

・2023.03.08 「サイバー攻撃被害に係る情報の共有・公表ガイダンス（案）」に対する意見募集の結果及び「サイバー攻撃被害に係る情報の共有・公表ガイダンス」の公表

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.10.05 米国 GAO 重要インフラ保護：国家サイバーセキュリティ戦略は情報共有のパフォーマンス指標と方法に取り組む必要がある

・2023.03.09 総務省経済産業省警察庁、内閣官房「サイバー攻撃被害に係る情報の共有・公表ガイダンス」を公表

・2022.12.27 総務省経済産業省警察庁、内閣官房「サイバー攻撃被害に係る情報の共有・公表ガイダンス（案）」に関する意見募集

・2022.04.21 総務省経済産業省警察庁、内閣官房サイバー攻撃被害に係る情報の共有・公表ガイダンス検討会の開催

こちらも是非参考に...

連邦政府の情報共有ガイダンスも紹介しています。。。

・2022.08.18 米国国土安全保障省内部監察官室 2015年サイバーセキュリティ情報共有法の下、情報共有の改善に向けてさらなる進展が必要

2023.11.27 03:56 in 情報セキュリティ / サイバーセキュリティ, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in パブコメ, in 安全保障 | Permalink | Comments (0)
Tweet

NIST TN 2276 NIST Phish Scale ユーザーガイド

こんにちは、丸山満彦です。

米国国立標準技術研究所（NIST）の人間中心のサイバーセキュリティ・プログラムが、NIST Phish Scaleユーザーガイドを発表していますね。。。

フィッシングメールから、いろいろな事案につながることが多いので、ここである程度防げると、すこしばかり被害が減らせることもありますかね。。。

このガイドは実務者向けに作成されたもので、フィッシングに関する意識向上トレーニング・プログラムにおけるPhish Scaleの適用方法について、説明しているもので、

背景
構成要素
詳細なキューの説明
Phish Scaleの結果の解釈
フィッシングメールにPhish Scaleを適用するためのインタラクティブなNIST Phish Scaleワークシート

が記載されていますね。。。

Phish Scaleは、メールのフィッシング検知の難易度を評価するために考案された手法とのことで、フィッシングの認知度を高めるためのトレーニング・プログラムに追加的な指標を提供するために、世界中の組織で採用されているとのことです。

フィッシング・トレーニングの実施者は、このPhish Scaleを使って、クリック率やフィッシング演習の結果を報告するようです。

● NIST - ITL

プレス

・2023.11.20 The NIST Phish Scale User Guide is Now Available!

文書

・2023.11.20 NIST TN 2276 NIST Phish Scale User Guide

NIST TN 2276 NIST Phish Scale User Guide	NIST TN 2276 NIST Phish Scale ユーザーガイド
Abstract	概要
Phishing cyber threats impact private and public sectors both in the United States and internationally. Embedded phishing awareness training programs, in which simulated phishing emails are sent to employees, are designed to prepare employees in these organizations to combat real-world phishing scenarios. Cybersecurity and phishing awareness training implementers and practitioners use the results of these programs, in part, to assess the security risk of their organization. The NIST Phish Scale is a method created for these implementers to rate an email’s human phishing detection difficulty as part of their cybersecurity awareness and phishing training programs. This User Guide outlines the Phish Scale in its entirety while providing instructional steps on how to apply it to phishing emails. Further, appendices include 1) worksheets to assist training implementers in applying the Phish Scale and 2) detailed information regarding email properties and associated research in the literature.	フィッシングのサイバー脅威は、米国内外の民間企業や公的機関に影響を与えている。模擬フィッシングメールが従業員に送信される組み込み型フィッシング認識トレーニングプログラムは、これらの組織の従業員が実際のフィッシングシナリオに対抗できるように準備するために設計されている。サイバーセキュリティとフィッシング・アウェアネス・トレーニングの実施者や実務者は、組織のセキュリティ・リスクを評価するために、これらのプログラムの結果を一部利用している。NIST Phish Scale はこのような実施者がサイバーセキュリティ意識向上やフィッシングトレーニングプログラムの一環として、電子メールの人間によるフィッシング検知の難易度を評価するために作成された方法である。このユーザーガイドでは、Phish Scale の概要を説明し、フィッシング・メールに適用する方法を解説している。さらに、附属書として、1) Phish Scaleの適用に関するトレーニング実施者を支援するワークシート、2) 電子メールの特性に関する詳細な情報および文献における関連研究が含まれている。

・[PDF] NIST.TN.2276

・[DOCX] 仮訳

2023.11.27 00:00 in 情報セキュリティ / サイバーセキュリティ, in フィッシング, in 危機管理 / 事業継続 | Permalink | Comments (0)
Tweet

2023.11.26

英国 AI規制法案上院で審議開始

こんにちは、丸山満彦です。

AI規制法案が上院のリッチモンド・ホームズ卿 [web][web][X][wikipedia]がスポンサーになって議案と上がっていて、上院で第2回の読み合わせがおわっていますね。。。ということでまだまだですが、参考までに。。。

リッチモンド・ホームズ卿（男爵）は遺伝病で失明したパラリンピック金メダリストなんですね。。。

引退後は、弁護士を務め、その後議員となり、金融関連の法案を提出したりしているようですね。。。

さて、法案...

EUのAI法案とは雰囲気が違いますね。。。

・AIを統合的に規制する官庁をつくり、そこで総合的な調整をすることを想定しているようですね。。。

規制は、AI規制庁、AIを開発・運用する企業

まずは、AI規制庁

(1) The AI Authority must have regard to the principles that—	(1) AI規制庁は、以下の原則に留意しなければならない。
(a) regulation of AI should deliver—	(a) AIに対する規制は，以下を実現すべきである。
(i) safety, security and robustness;	(i) 安全，セキュリティ及び堅牢性
(ii) appropriate transparency and explainability;	(ii) 適切な透明性と説明可能性
(iii) fairness;	(iii) 公平性
(iv) accountability and governance;	(iv) 説明責任とガバナンス
(v) contestability and redress;	(v) 競争可能性と救済

企業に対しては...

(b) any business which develops, deploys or uses AI should—	(b) AIを開発、導入、利用する企業は、以下を行うべきである。
(i) be transparent about it;	(i) 透明性を確保する；
(ii) test it thoroughly and transparently;	(ii) 徹底的かつ透明性をもってテストする；
(iii) comply with applicable laws, including in relation to data protection, privacy and intellectual property;	(iii) データ保護、プライバシー、知的財産を含む適用法を遵守する；

そしてAIについての監査も含まれていますね。。。

おそらくISO的な監査を想定しているのだろうと思います。

これは通るかどうかわからないので、参考まで。。。

ということで、

● UK Parliament

・2023.11.23 Artificial Intelligence (Regulation) Bill [HL]

・[PDF]

・[HTML]

目次...

1 The AI Authority	1 AI規制庁
2 Regulatory principles	2 規制の原則
3 Regulatory sandboxes	3 規制のサンドボックス
4 AI responsible officers	4 AI責任者
5 Transparency, IP obligations and labelling	5 透明性、知的財産義務、ラベリング
6 Public engagement	6 公的関与
7 Interpretation	7 解釈
8 Regulations	8 規則
9 Extent, commencement and short title	9 範囲、開始および略称

Artificial Intelligence (Regulation) Bill [HL]	人工知能（規制）法案［HL］
CONTENTS	目次
1 The AI Authority	1 AI規制庁
2 Regulatory principles	2 規制の原則
3 Regulatory sandboxes	3 規制のサンドボックス
4 AI responsible officers	4 AI責任者
5 Transparency, IP obligations and labelling	5 透明性、知的財産義務、ラベリング
6 Public engagement	6 公的関与
7 Interpretation	7 解釈
8 Regulations	8 規則
9 Extent, commencement and short title	9 範囲、開始および略称

A BILL TO	以下の法案を提出する。
Make provision for the regulation of artificial intelligence; and for connected purposes.	人工知能の規制に関する規定、およびそれに関連する目的を定める。
BE IT ENACTED by the King’s most Excellent Majesty, by and with the advice and consent of the Lords Spiritual and Temporal, and Commons, in this present Parliament assembled, and by the authority of the same, as follows:—	国王陛下は、本国会において、霊的・時間的諸侯およびコモンズの助言と同意を得て、またその権限により、以下のとおり制定される。
1 The AI Authority	1 AI規制庁
(1) The Secretary of State must by regulations make provision to create a body called the AI Authority.	(1) 閣内大臣は、規則により、AI規制庁と呼ばれる機関を設置する規定を設けなければならない。
(2) The functions of the AI Authority are to—	(2) AI規制庁の機能は以下のとおりである。
(a) ensure that relevant regulators take account of AI;	(a) 関連する規制当局がAIを考慮することを確保する；
(b) ensure alignment of approach across relevant regulators in respect of AI;	(b) AIに関して、関連規制当局間のアプローチの整合性を確保する；
(c) undertake a gap analysis of regulatory responsibilities in respect of AI;	(c) AIに関する規制当局の責任のギャップ分析を行う；
(d) coordinate a review of relevant legislation, including product safety, privacy and consumer protection, to assess its suitability to address the challenges and opportunities presented by AI;	(d) AIがもたらす課題と機会に対処するための適切性を評価するため、製品安全、プライバシー、消費者保護を含む関連法令の見直しを調整する；
(e) monitor and evaluate the overall regulatory framework’s effectiveness and the implementation of the principles in section 2, including the extent to which they support innovation;	(e) 規制の枠組み全体の有効性と、イノベーションを支援する程度を含む第2項の原則の実施状況を監視・評価する；
(f) assess and monitor risks across the economy arising from AI;	(f) AIから生じる経済全体のリスクを評価・監視する；
(g) conduct horizon-scanning, including by consulting the AI industry, to inform a coherent response to emerging AI technology trends;	(g) 新たなAI技術動向への首尾一貫した対応を知らせるため、AI業界との協議を含め、ホライズンスキャンニングを実施する；
(h) support testbeds and sandbox initiatives (see section 3) to help AI innovators get new technologies to market;	(h) AIイノベーターが新技術を市場に投入するのを支援するため、テストベッドとサンドボックス・イニシアチブ（第3項参照）を支援する；
(i) accredit independent AI auditors (see section 5(1)(a)(iv));	(i) 独立したAI監査人を認定する（第5節(1)(a)(iv)参照）；
(j) provide education and awareness to give clarity to businesses and to empower individuals to express views as part of the iteration of the framework;	(j) 枠組みの反復の一環として、企業に明確性を与え、個人が意見を表明できるようにするための教育と認識を提供する；
(k) promote interoperability with international regulatory frameworks.	(k) 国際的な規制の枠組みとの相互運用性を促進する。
(3) The Secretary of State may by regulations amend the functions in subsection (2), and may dissolve the AI Authority, following consultation with such persons as he or she considers appropriate.	(3) 閣内大臣は、規則により(2)項の機能を修正することができ、また、適切と考える者との協議の後、AI規制庁を解散することができる。
2 Regulatory principles	2 規制原則
(1) The AI Authority must have regard to the principles that—	(1) AI規制庁は、以下の原則に留意しなければならない。
(a) regulation of AI should deliver—	(a) AIに対する規制は，以下を実現すべきである。
(i) safety, security and robustness;	(i) 安全，セキュリティ及び堅牢性
(ii) appropriate transparency and explainability;	(ii) 適切な透明性と説明可能性
(iii) fairness;	(iii) 公平性
(iv) accountability and governance;	(iv) 説明責任とガバナンス
(v) contestability and redress;	(v) 競争可能性と救済
(b) any business which develops, deploys or uses AI should—	(b) AIを開発、導入、利用する企業は、以下を行うべきである。
(i) be transparent about it;	(i) 透明性を確保する；
(ii) test it thoroughly and transparently;	(ii) 徹底的かつ透明性をもってテストする；
(iii) comply with applicable laws, including in relation to data protection, privacy and intellectual property;	(iii) データ保護、プライバシー、知的財産を含む適用法を遵守する；
(c) AI and its applications should—	(c) AIとその応用は以下のようにすべきである。
(i) comply with equalities legislation;	(i) 平等法を遵守する；
(ii) be inclusive by design;	(ii) 設計上、包括的であること；
(iii) be designed so as neither to discriminate unlawfully among individuals nor, so far as reasonably practicable, to perpetuate unlawful discrimination arising in input data;	(iii) 個人間で違法な差別をしないように、また、合理的に実行可能な限り、入力データに起因する違法な差別を永続させないように設計する；
(iv) meet the needs of those from lower socio-economic groups, older people and disabled people;	(iv) 社会経済的低所得者層、高齢者、障害者のニーズを満たす；
(v) generate data that are findable, accessible, interoperable and reusable;	(v) 検索可能、アクセス可能、相互運用可能、再利用可能なデータを生成すること；
(d) a burden or restriction which is imposed on a person, or on the carrying on of an activity, in respect of AI should be proportionate to the benefits, taking into consideration the nature of the service or product being delivered, the nature of risk to consumers and others, whether the cost of implementation is proportionate to that level of risk and whether the burden or restriction enhances UK international competitiveness.	(d) AIに関して個人または活動の実施に課される負担または制限は、提供されるサービスまたは製品の性質、消費者等に対するリスクの性質、実施コストがそのリスクの程度に見合うかどうか、負担または制限が英国の国際競争力を高めるかどうかを考慮し、便益に見合うものでなければならない。
(2) The Secretary of State may by regulations amend the principles in subsection (1), following consultation with such persons as he or she considers appropriate.	(2) 閣内大臣は、適切と考える関係者との協議を経て、規則により(1)の原則を修正することができる。
3 Regulatory sandboxes	3 規制のサンドボックス
(1) The AI Authority must collaborate with relevant regulators to construct regulatory sandboxes for AI.	(1) AI規制庁は、AIに関する規制のサンドボックスを構築するために、関連する規制当局と協力しなければならない。
(2) In this section a “regulatory sandbox” is an arrangement by one or more regulators which—	(2) 本条において「規制のサンドボックス」とは、1つ以上の規制当局による以下のような取り決めをいう。
(a) allows businesses to test innovative propositions in the market with real consumers;	(a) 事業者が実際の消費者とともに革新的な提案を市場でテストすることを可能にする；
(b) is open to authorised firms, unauthorised firms that require authorisation and technology firms partnering with, or providing services to, UK firms doing regulated activities;	(b) 認可企業、認可を必要とする未認可企業、規制対象活動を行う英国企業と提携する、または英国企業にサービスを提供するテクノロジー企業に開放される；
(c) provides firms with support in identifying appropriate consumer protection safeguards;	(c) 適切な消費者保護セーフガードを特定するための支援を企業に提供する；
(d) requires tests to have a clear objective and to be conducted on a small scale;	(d) 明確な目的を持ち、小規模で実施される試験を要求する；
(e) requires firms which want to test products or services which are regulated activities to be authorised by or registered with the relevant regulator before starting the test.	(e) 規制対象活動である製品またはサービスのテストを希望する企業に対し、テスト開始前に、関連する規制当局の認可または登録を受けることを求める。
(3) The Secretary of State may by regulations amend the description in subsection (2), following consultation with such persons as he or she considers appropriate.	(3) 閣内大臣は、適切と考える者との協議に基づき、規則により(2)の記述を修正することができる。
4 AI responsible officers	4 AI 責任者
(1) The Secretary of State, after consulting the AI Authority and such other persons as he or she considers appropriate, must by regulations provide that any business which develops, deploys or uses AI must have a designated AI officer, with duties—	(1) 閣内大臣は，AI規制庁及び長官が適切と考えるその他の者と協議した後，規則により，AIを開発，配備又は使用する事業者は，次の職務を有する指名されたAI責任者を置かなければならないことを規定しなければならない。
(a) to ensure the safe, ethical, unbiased and non-discriminatory use of AI by the business;	(a) 事業者によるAIの安全、倫理的、公平かつ非差別的な利用を確保すること；
(b) to ensure, so far as reasonably practicable, that data used by the business in any AI technology is unbiased (see section 2(1)(c)(iii)).	(b) 合理的に実行可能な限り、事業者がAI技術で使用するデータが偏りのないものであることを保証すること（第2条(1)(c)(iii)参照）。
(2) In the Companies Act 2006, section 414C(7)(b), after paragraph (iii) insert—	(2) 2006年会社法第414C条(7)(b)において、(iii)項の後に以下を挿入する。
“(iv) any development, deployment or use of AI by the company, and the name and activities of the AI officer designated under the Artificial Intelligence (Regulation) Act 2024,”.	「(iv)会社によるAIの開発、展開または使用、ならびに2024年人工知能（規制）法に基づいて指定されたAI担当官の氏名および活動」。
(3) The Secretary of State may by regulations amend the duties in subsection (1) and the text inserted by section (2), following consultation with such persons as he or she considers appropriate.	(3) 閣内大臣は、適切と考える者との協議を経て、規則により、第(1)項の義務及び第(2)項により挿入された文章を修正することができる。
5 Transparency, IP obligations and labelling	5 透明性、知的財産義務およびラベリング
(1) The Secretary of State, after consulting the AI Authority and such other persons as he or she considers appropriate, must by regulations provide that—	(1) 閣内大臣は、AI機関及びその他適切と考える者と協議した後、規則により以下の事項を規定しなければならない。
(a) any person involved in training AI must—	(a) AIの訓練に関与する者は、以下のことを行わなければならない。
(i) supply to the AI Authority a record of all third-party data and intellectual property (“IP”) used in that training; and	(i) 当該訓練において使用された全ての第三者のデータ及び知的財産（「IP」）の記録をAI規制庁に提出すること。
(ii) assure the AI Authority that—	(ii) AI規制庁に対し、以下を保証すること。
(A) they use all such data and IP by informed consent; and	(A) インフォームド・コンセントに基づき、当該データおよび知的財産を全て使用すること。
(B) they comply with all applicable IP and copyright obligations;	(B) 適用されるすべての知的財産および著作権の義務を遵守すること；
(iii) any person supplying a product or service involving AI must give customers clear and unambiguous health warnings, labelling and opportunities to give or withhold informed consent in advance; and	(iii) AIを含む製品又はサービスを供給する者は、顧客に対し、明確かつ曖昧さのない健康上の警告、表示、及びインフォームド・コンセントを事前に与える又は保留する機会を与えなければならない。
(iv) any business which develops, deploys or uses AI must allow independent third parties accredited by the AI Authority to audit its processes and systems.	(iv) AIを開発、配備又は使用する事業者は、AI規制庁の認定を受けた独立した第三者がそのプロセス及びシステムを監査することを認めなければならない。
(2) Regulations under this section may provide for informed consent to be express (opt-in) or implied (opt-out) and may make different provision for different cases.	(2) 本条に基づく規則は、インフォームド・コンセントが明示的（オプトイン）又は黙示的（オプトアウト）であることを規定することができ、異なるケースについて異なる規定を設けることができる。
6 Public engagement	6 公的関与
The AI Authority must—	AI規制庁は，次のことを行わなければならない。
(a) implement a programme for meaningful, long-term public engagement about the opportunities and risks presented by AI; and	(a) AIがもたらす機会とリスクについて，有意義で長期的な一般市民参加のためのプログラムを実施する。
(b) consult the general public and such persons as it considers appropriate as to the most effective frameworks for public engagement, having regard to international comparators.	(b)国際的な比較対象を考慮し、一般市民及び適切と思われる者に、公的関与のための最も効果的な枠組みについて相談すること。
7 Interpretation	7 解釈
(1) In this Act “artificial intelligence” and “AI” mean technology enabling the programming or training of a device or software to—	(1) 本法において、「人工知能」および「AI」とは、以下のことを行う装置またはソフトウェアのプログラミングまたはトレーニングを可能にする技術を意味する。
(a) perceive environments through the use of data;	(a) データを利用して環境を認識する；
(b) interpret data using automated processing designed to approximat cognitive abilities; and	(b) 認知能力に近似するように設計された自動処理を使用してデータを解釈する。
(c) make recommendations, predictions or decisions; with a view to achieving a specific objective.	(c) 特定の目的を達成するために、推奨、予測、決定を行う。
(2) AI includes generative AI, meaning deep or large language models able to generate text and other content based on the data on which they were trained.	(2)AIには生成的AIが含まれ、学習されたデータに基づいてテキストやその他のコンテンツを生成できる深層または大規模な言語モデルを意味する。
8 Regulations	8 規制
(1) Regulations under this Act are made by statutory instrument.	(1) 本法に基づく規則は、法的文書によって制定される。
(2) Regulations under this Act may create offences and require payment of fees, penalties and fines.	(2) 本法に基づく規則は、犯罪を創設し、手数料、罰則および罰金の支払いを要求することができる。
(3) A statutory instrument containing regulations under section 1 or 2 or regulations covered by subsection (2) may not be made unless a draft of the instrument has been laid before and approved by resolution of both Houses of Parliament.	(3) 第1項もしくは第2項の規定または第(2)項に該当する規定を含む法定文書は、その文書の草案が国会両院の前に置かれ、その決議によって承認されない限り、作成することができない。
(4) A statutory instrument containing only regulations not covered by subsection (3) is subject to annulment in pursuance of a resolution of either House of Parliament.	(4) 第(3)項に該当しない規則のみを含む法定文書は、国会のいずれかの議院の決議により無効とされる。
(5) A statutory instrument containing regulations applying to Wales, Scotland or Northern Ireland must be laid before Senedd Cymru, the Scottish Parliament or the Northern Ireland Assembly respectively before being made.	(5) ウェールズ、スコットランドまたは北アイルランドに適用される規則を含む法定文書は、作成前に、それぞれセネダード・サイムル、スコットランド議会または北アイルランド議会に提出されなければならない。
9 Extent, commencement and short title	9 適用範囲、開始および略称
(1) This Act extends to England and Wales, Scotland and Northern Ireland.	(1) 本法は、イングランドおよびウェールズ、スコットランド、北アイルランドに適用される。
(2) This Act comes into force on the day on which it is passed.	(2) 本法は、成立の日に施行される。
(3) This Act may be cited as the Artificial Intelligence (Regulation) Act 2024.	(3) この法律は、人工知能（規制）法2024として引用することができる。

■ 参考

EUのAI法

・2021.04.21 Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL - LAYING DOWN HARMONISED RULES ON ARTIFICIAL INTELLIGENCE (ARTIFICIAL INTELLIGENCE ACT) AND AMENDING CERTAIN UNION LEGISLATIVE ACTS

OECDの「人工知能に関する理事会勧告」

● OECD

・OECD AI Principles overview

・2019.05.22 [PDF] Recommendation of the Council on Artificial Intelligence

総務省による仮訳

・2019.05.22 [PDF] 人工知能に関する理事会勧告

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.11.16 OECD 主要国でのプライバシー・ガイドラインの実施状況

・2023.11.07 OECD OECDのAI原則の4年後の実施状況 (2023.10.27)

・2023.10.30 英国科学技術革新省フロンティアAI：その能力とリスク - ディスカッション・ペーパー

・2023.10.30 中国グローバルAIガバナンス・イニシアティブ (2023.10.19)

・2023.09.24 OECD 生成的人工知能のための初期政策検討

・2023.09.13 OECD 生成的人工知能（AI）に関するG7広島プロセス (2023.09.07)

・2023.08.25 英国 AIサミットは11月1日2日にブレッチリー・パークで開催

・2023.07.20 国連安全保障理事会の人工知能に関するセッションが初開催される

・2023.07.14 OECD 人工知能における規制のサンドボックス

・2023.06.18 英国科学技術省データ倫理・イノベーションセンター AI保証事例集 (2023.06.07)

・2023.06.06 個人情報保護委員会生成 AI サービスの利用に関する注意喚起等について (2023.06.02)

・2023.06.01 生成的AIとプライバシー当局（カナダ　ニュージーランド）

・2023.05.19 ドイツ BSI 大規模AI言語モデル - 産業界と公的機関の可能性とリスク (2023.05.10)

・2023.05.02 デジタル庁 G7群馬高崎デジタル・技術大臣会合の開催結果

・2023.05.01 米国国家人工知能諮問委員会1年間の活動報告書

・2023.03.30 欧州ユーロポール ChatGPTの犯罪利用-大規模言語モデルに関する注意事項

・2023.04.05 英国 ICO ブログ生成的人工知能：開発者とユーザーが問うべき８つの質問...

・2023.04.01 英国意見募集 AI規制白書

・2023.03.23 OECD 人工知能のための国家的な計算能力構築のための青写真 (2023.02.28)

・2023.03.23 OECD AIにおけるアカウンタビリティの高度化 (2023.02.23)

・2023.03.14 米国商工会議所人工知能報告書

・2023.03.10 英国 ICO Blog 国際女性デーに向けて...AIによる差別への対処が重要な理由

・2022.12.10 英国データ倫理・イノベーションセンター「業界温度チェック：AI保証の障壁と実現要因」

・2022.11.11 NIST ホワイトペーパー【プロジェクト概要】コンテキストにおけるAI/MLバイアスの緩和

・2022.11.06 英国データ倫理・イノベーションセンターデータおよびAIに対する国民の意識：トラッカー調査（第2回）

・2022.09.30 欧州委員会 AI責任指令案

・2022.09.20 米国 ITI AIシステムの透明性を実現するためのグローバルな政策原則 (2022.09.15)

・2022.08.24 NIST 意見募集 AIリスクマネジメントフレームワーク（第２ドラフト）とそのプレイブック

・2022.03.22 NIST 意見募集 AIリスクマネジメントフレームワーク（初期ドラフト）

・2022.02.24 OECD AIシステム分類のためのOECDフレームワーク

・2021.12.05 欧州理事会 AI法改正案を欧州議会に提出

・2021.08.08 EU議会 BRIEFING 人工知能法 at 2021.07.26

・2021.05.10 米国連邦政府人工知能イニシアティブ

・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね

・2020.03.31 AI 倫理指針の動向とパーソナル AI エージェント by 中川裕志先生　　 AI 原則は機能するか？―非拘束的原則から普遍的原則への道筋 by 新保史生先生

2023.11.26 07:14 in 個人情報保護 / プライバシー, in 法律 / 犯罪, in 監査 / 認証, in AI/Deep Learning | Permalink | Comments (0)
Tweet

2023.11.25

英国データ保護とデジタル情報法政府案が下院で審議中

こんにちは、丸山満彦です。

EUから分離したので、英国はEUとは別に個人データ保護法を設計できるようになっているので、英国なりの視点でデータ保護法を検討していますね。。。

● GOV.UK

・2023.11.23 Changes to data protection laws to unlock post-Brexit opportunity

Changes to data protection laws to unlock post-Brexit opportunity	データ保護法の改正がブレグジット後の機会を解き放つ
Common sense changes to the Data Protection and Digital Information Bill will safeguard the public, prevent fraud, and unlock post-Brexit opportunities.	データ保護およびデジタル情報法案への常識的な変更は、国民を保護し、詐欺を防止し、ブレグジット後の機会を解き放つ。
・Data Protection and Digital Information Bill amendments tabled to further improve data security, bolster national security and prevent fraud	データ保護・デジタル情報法案の修正案が提出され、データセキュリティのさらなる改善、国家安全保障の強化、不正行為の防止が図られる。
・changes include better use of data to identify fraud - tackling benefits cheats intent on ripping off the taxpayer	納税者から金をむしり取ろうとする不正受給者に対処するため、不正を特定するためのデータ活用の改善を含む。
・new measures also brought forward around preserving the data of deceased children, supporting bereaved families and coroner investigations	また、死亡した子どものデータ保全、遺族支援、検視官調査に関する新たな措置も打ち出された。
A raft of common-sense changes to the Data Protection and Digital Information Bill will build an innovative data protection regime in the UK, crack down on benefit fraud cheats, and allow the country to realise new post-Brexit freedoms which are expected to deliver new economic opportunities to the tune of at least £4 billion.	Data Protection and Digital Information Bill（データ防御およびデジタル情報法案）に対する常識的な変更の数々は、英国における革新的なデータ保護体制を構築し、給付金詐欺を取り締まり、少なくとも40億ポンド規模の新たな経済機会をもたらすと期待されるブレグジット後の新たな自由を実現することを可能にする。
The changes include new powers to require data from third parties, particularly banks and financial organisations, to help the UK government reduce benefit fraud and save the taxpayer up to £600 million over the next five years. Currently, Department for Work and Pensions (DWP) can only undertake fraud checks on a claimant on an individual basis, where there is already a suspicion of fraud.	ガバナンスの変更には、英国政府が給付金詐欺を減らし、今後5年間で納税者を最大6億ポンド節約するために、サードパーティ、特に銀行や金融組織からデータを要求する新しい権限が含まれている。現在、労働年金省（DWP）は、すでに不正の疑いがある場合にのみ、個別に受給者の不正チェックを行うことができる。
The new proposals would allow regular checks to be carried out on the bank accounts held by benefit claimants to spot increases in their savings which push them over the benefit eligibility threshold, or when people send more time overseas than the benefit rules allow for. This will help identify fraud take action more quickly. To make sure that privacy concerns are at the heart of these new measures, only a minimum amount of data will be accessed and only in instances which show a potential risk of fraud and error.	新提案では、給付金請求者の銀行口座を定期的にチェックし、給付金の受給資格を超えるような貯蓄の増加や、給付規則で認められている以上に海外に滞在している場合などを発見できるようになる。これにより、不正行為をより迅速に特定することができる。プライバシーへの配慮がこれらの新しい措置の中心にあることを確認するため、必要最小限のデータのみがアクセスされ、不正やエラーの潜在的リスクを示す場合にのみアクセスされる。
Another measure offers vital reassurance and support to families as they grieve the loss of a child. In cases where a child has died through suicide, a proposed ‘data preservation process’ would require social media companies to keep any relevant personal data which could then be used in subsequent investigations or inquests.	もうひとつの対策は、子供を失った悲しみに暮れる家族に、重要な安心感とサポートを提供するものだ。子供が自殺で死亡した場合、「データ保全プロセス」が提案され、ソーシャルメディア企業は関連する個人データを保管することが義務づけられる。
Current rules mean that social media companies aren’t obliged to hold onto this data for longer than is needed, meaning that data which could prove vital to coroner investigations could be deleted as part of a platform’s routine maintenance. The change tabled today represents an important step for families coming to terms with the loss of a loved one, and takes further steps to help ensure harmful content has no place online.	現行の規則では、ソーシャルメディア企業は必要以上にデータを保持する義務はないため、検視官の調査に不可欠となりうるデータが、プラットフォームの定期保守の一環として削除されてしまう可能性がある。本日上程された変更は、愛する人を失った遺族にとって重要な一歩であり、有害なコンテンツがオンライン上に存在しないことを保証するためのさらなる措置である。
The use of biometric data, such as fingerprints, to strengthen national security is also covered by the amendments, with the ability of Counter Terrorism Police to hold onto the biometrics of individuals who pose a potential threat, and which are supplied by organisations such as Interpol, being bolstered.	国家セキュリティを強化するための指紋などの生体データの使用も改正の対象となり、潜在的な脅威をもたらす個人の生体情報を保持するテロ対策警察の能力が強化される。
This would see officers being able to retain biometric data for as long as an INTERPOL notice is in force, matching this process up with INTERPOL’s own retention rules. The amendments will also ensure that where an individual has a foreign conviction, their biometrics will be able to be retained indefinitely in the same way as is already possible for individuals with UK convictions – this is particularly important where foreign nationals may have existing convictions for serious offences, including terrorist offences.	これにより、国際刑事警察機構（INTERPOL）の通達が有効である限り、警察官は生体データを保持することができるようになり、このプロセスはINTERPOL独自の保持規則と一致することになる。この改正はまた、個人が外国で有罪判決を受けた場合、英国で有罪判決を受けた個人と同様に、バイオメトリクスを無期限に保持できるようにするものである。これは、外国人がテロ犯罪を含む重大犯罪の前科を持つ可能性がある場合に特に重要である。
Maintaining the UK’s high standards of data protection is central to both the wider Bill and the proposed amendments which have been laid today.	英国の高水準のデータ保護を維持することは、より広範な法案と、本日提出された修正案の双方にとって重要である。
Secretary of State for Science, Innovation and Technology, Michelle Donelan, said:	ミシェル・ドネラン科学・イノベーション・技術担当国務長官は、次のように述べた：
”Britain has seized a key Brexit opportunity – boosting small businesses, protecting consumers and cracking down on criminal enterprises like nuisance calling and benefit fraud.	「英国はブレグジットの重要なチャンスをつかんだ。中小企業を後押しし、消費者を保護し、迷惑電話や給付金詐欺のような犯罪エンタープライズを取り締まる。」
"These changes protect our privacy and data while also injecting common sense into the system - whether it is cracking down on cookies, scrapping pointless paperwork which stifles productivity, tackling benefit fraud or making it easier to protect our citizens from criminals.	「クッキーの取り締まりであれ、生産性を阻害する無意味なペーパーワークの廃止であれ、給付金詐欺への取り組みであれ、犯罪者から市民を守ることを容易にすることであれ、これらの変更は、我々のプライバシーとデータを保護すると同時に、システムに常識を注入するものである。」
"These changes help to establish the UK as a world-leading data economy; one that puts consumers and businesses at the centre and removes the ‘one-size-fits-all’ barriers that have held many British businesses back.	「これらの変更は、英国を世界をリードするデータエコノミーとして確立するのに役立つ。消費者と企業を中心に置き、多くの英国企業の足かせとなってきた "画一的な "障壁を取り除くものである。」
The Bill’s focus is to create an innovative and flexible data protection regime which will maintain the UK’s high standards of data protection, streamline processes for companies, strengthen national security, and support grieving families. Making it easier to use personal data which will improve efficiency, lead to better public services, and enable new innovations across science, innovation, and technology.	法案の焦点は、英国の高いデータ保護標準を維持し、企業のプロセスを合理化し、国家セキュリティを強化し、悲しむ家族を支援する、革新的で柔軟なデータ保護体制を構築することである。個人データの利用を容易にすることで、効率性を改善し、より良い公共サービスを実現し、科学、イノベーション、テクノロジーにおける新たなイノベーションを可能にする。
Secretary of State for Work and Pensions, Mel Stride MP, said:	メル・ストライド労働年金担当国務長官は、次のように述べた：
" new powers send a very clear message to benefit fraudsters – we won’t stand for it. These people are taking the taxpayer for a ride and it is right that we do all we can to bring them to justice.	「新たな権限は、給付金詐欺師に対して非常に明確なメッセージを送るものだ。このような輩は納税者を乗っ取っており、彼らを裁くために全力を尽くすことは正しいことだ。」
"These powers will be used proportionately, ensuring claimants’ data is safely protected while rooting out fraudsters at the earliest possible opportunity.	「これらの権力は比例して行使され、不正受給者のデータが安全に保護されることを保証すると同時に、可能な限り早い機会に不正受給者を根絶する。」
Home Secretary, James Cleverly, said:	ジェームズ・クレバリー内務大臣は次のように述べた：
"My priority is to continue cutting crime and ensuring the public is protected from security threats. Law enforcement and our security partners must have access to the best possible tools and data, including biometrics, to continue to keep us safe.	「私の最優先事項は、犯罪を削減し続け、国民を安全保障上の脅威から確実に守ることだ。法執行機関と私たちのセキュリティ・パートナーは、私たちの安全を守り続けるために、生体認証を含む最善のツールとデータにアクセスできなければならない。」
"This Bill will improve the efficiency of data protection for our security and policing partners—encouraging better use of personal information and ensuring appropriate safeguards for privacy.	「この法案は、私たちのセキュリティと警察活動のパートナーのために、データ保護の効率を改善し、個人情報のより良い利用を促し、プライバシーのための適切な保護措置を確保するものである。」
The amendments tabled today show the practical steps being taken by the UK government to improve how the nation uses and accesses personal data, capitalising on the UK’s departure from the European Union to introduce measures which will protect the public purse, strengthen national security, and offer important support to grieving families.	本日提出された修正案は、国家が個人データをどのように利用し、アクセスするかを改善するために英国政府がとっている実際的な措置を示すものであり、英国のEU離脱を活かして、財政を保護し、国家安全保障を強化し、悲嘆に暮れる家族に重要な支援を提供する措置を導入するものである。
These amendments will also help the Bill realise its ambition of bulldozing burdens for businesses and removing restrictions for researchers, ensuring new advances in science, innovation, and technology can be fuelled by more practical ways to access data.	これらの修正案はまた、企業の負担をブルドーザーで取り除き、研究者の制限をなくすという法案の野望を実現する助けとなり、科学、イノベーション、テクノロジーの新たな進歩が、データへのアクセスのより実用的な方法によって促進されることを保証する。
Further Information	詳細情報
Full list of amendments tabled can be found here.	提出された修正案の全リストはこちらを参照のこと。
These amendments will be considered by the House of Commons at Report next Wednesday (29 November).	これらの修正案は、来週水曜日（11月29日）の下院報告会で審議される。
Further information on the Data Protection and Digital Information Bill can be found here.	データ保護およびデジタル情報法案に関する詳細はこちらを参照のこと。

政府案

● 英国議会 - 議会 (https://publications.parliament.uk/)

・2023.11.23 [PDF] Data Protection and Digital Information Bill (Amendment Paper)

● 議会（法案）

・2023.11.23 Data Protection and Digital Information Bill (Government Bill)

・[PDF] Data Protection and Digital Information Bill

Data Protection and Digital Information Bill	データ保護およびデジタル情報法案
CONTENTS	目次
PART 1 DATA PROTECTION	第1部データ保護
Definitions	定義
1 Information relating to an identifiable living individual	1 識別可能な生存する個人に関する情報
2 Meaning of research and statistical purposes	2 研究および統計目的の意味
3 Consent to processing for the purposes of scientific research	3 科学的調査目的の処理に対する同意
4 Consent to law enforcement processing	4 法執行処理に対する同意
Data protection principles	データ保護の原則
5 Lawfulness of processing	5 情報処理の合法性
6 The purpose limitation	6 目的の制限
Special categories of personal data	特別カテゴリーの個人データ
7 Elected representatives responding to requests	7 要求に応じる選挙代理人
Data subjects’ rights	データ主体の権利
8 Vexatious or excessive requests by data subjects	8 データ主体による執拗または過剰な要求
9 Time limits for responding to requests by data subjects	9 データ主体による要求に応じる期限
10 Information to be provided to data subjects	10 データ当事者に提供されるべき情報
11 Data subjects’ rights to information: legal professional privilege exemption	11 情報に対するデータ主体の権利：法律専門家特権の免除
Automated decision-making	自動化された意思決定
12 Automated decision-making	12 自動的意思決定
Obligations of controllers and processors	管理者および処理者の義務
13 General obligations	13 一般的義務
14 Removal of requirement for representatives for controllers etc outside the UK	14 英国外の管理者等に対する代理人要件の撤廃
15 Senior responsible individual	15 上級責任者
16 Duty to keep records	16 記録の保存義務
17 Logging of law enforcement processing	17 法執行処理の記録
18 Assessment of high risk processing	18 高リスク処理の評価
19 Consulting the Commissioner prior to processing	19 処理前のコミッショナーへの相談
20 General processing and codes of conduct	20 一般的な処理と行動規範
21 Law enforcement processing and codes of conduct	21 法執行処理と行動規範
22 Obligations of controllers and processors: consequential amendments	22 管理者および処理者の義務：結果的改正
International transfers of personal data	個人データの国際移転
23 Transfers of personal data to third countries and international organisations	23 第三国および国際機関への個人データの移転
Safeguards for processing for research etc purposes	研究等の目的で処理する場合の保護措置
24 Safeguards for processing for research etc purposes	24 研究等の目的で処理する場合の保護措置
25 Section 24: consequential provision	25 第24条：結果規定
National security	国家安全保障
26 National security exemption	26 国家安全保障の適用除外
Intelligence services	情報機関
27 Joint processing by intelligence services and competent authorities	27 情報機関および管轄当局による共同処理
28 Joint processing: consequential amendments	28 共同処理：結果的修正
Information Commissioner’s role	情報コミッショナーの役割
29 Duties of the Commissioner in carrying out functions	29 機能の遂行における情報コミッショナーの義務
30 Strategic priorities	30 戦略的優先事項
31 Codes of practice for the processing of personal data	31 個人データ処理に関する実施規範
32 Codes of practice: panels and impact assessments	32 実施規範：委員会と影響評価
33 Codes of practice: approval by the Secretary of State	33 実施規範：国務長官の承認
34 Vexatious or excessive requests made to the Commissioner	34 委員会に対する執拗または過剰な要求
35 Analysis of performance	35 実績の分析
Enforcement	施行
36 Power of the Commissioner to require documents	36 委員会の文書要求権
37 Power of the Commissioner to require a report	37 報告書を要求する委員会の権限
38 Interview notices	38 面談通知
39 Penalty notices	39 違約金通知
40 Annual report on regulatory action	40 規制措置に関する年次報告
41 Complaints to controllers	41 管理者に対する苦情
42 Power of the Commissioner to refuse to act on certain complaints	42 特定の苦情への対応を拒否する権限
43 Complaints: minor and consequential amendments	43 苦情：小改正および結果的改正
44 Consequential amendments to the EITSET Regulations	44 EITSET規則の結果的改正
Protection of prohibitions, restrictions and data subject’s rights	禁止、制限および情報主体の権利の保護
45 Protection of prohibitions, restrictions and data subject’s rights	45 禁止、制限および情報主体の権利の保護
Miscellaneous	その他
46 Regulations under the UK GDPR	46 英国GDPRに基づく規制
47 Minor amendments	47 軽微な修正
PART 2 DIGITAL VERIFICATION SERVICES	第2部デジタル検証サービス
Introductory	はじめに
48 Introductory	48 はじめに
DVS trust framework	DVS信頼の枠組み
49 DVS trust framework	49 DVS信頼の枠組み
DVS register	DVS 登録
50 DVS register	50 DVS登録
51 Applications for registration	51 登録申請
52 Fees for registration	52 登録料
53 Duty to remove person from the DVS register	53 DVS登録から削除する義務
54 Power to remove person from the DVS register	54 DVS登録から個人を削除する権限
55 Revising the DVS trust framework: top-up certificates	55 DVS信頼の枠組みの改訂：トップアップ証明書
Information gateway	情報ゲートウェイ
56 Power of public authority to disclose information to registered person	56 公的機関が登録者に情報を開示する権限
57 Information disclosed by the Revenue and Customs	57 税関歳入庁が開示する情報
58 Information disclosed by the Welsh Revenue Authority	58 Welsh Revenue Authority が開示する情報
59 Information disclosed by Revenue Scotland	59 Scotland歳入庁が開示する情報
60 Code of practice about the disclosure of information	60 情報開示に関する実施規範
Trust mark	トラストマーク
61 Trust mark for use by registered persons	61 登録者が使用するトラストマーク
Supplementary	補足
62 Power of Secretary of State to require information	62 国務長官が情報を要求する権限
63 Arrangements for third party to exercise functions	63 第三者による機能行使の取り決め
64 Report on the operation of this Part	64 本編の運用に関する報告
PART 3 CUSTOMER DATA AND BUSINESS DATA	第3部顧客データおよび事業データ
Introductory	はじめに
65 Customer data and business data	65 顧客データおよび業務データ
Data regulations	データ規制
66 Power to make provision in connection with customer data	66 顧客データに関して規定する権限
67 Customer data: supplementary	67 顧客データ：補足
68 Power to make provision in connection with business data	68 事業データに関して規定する権限
69 Business data: supplementary	69 事業データ：補足
70 Decision-makers	70 意思決定者
Enforcement	施行
71 Enforcement of data regulations	71 データ規制の施行
72 Restrictions on powers of investigation etc	72 調査権限等の制限
73 Financial penalties	73 罰則
Fees etc and financial assistance	手数料等および補助金
74 Fees	74 手数料
75 Levy	75 課徴金
76 Financial assistance	76 補助金
Supplementary	補足
77 Restrictions on processing and data protection	77 処理の制限およびデータ保護
78 Regulations under this Part	78 本編に基づく規制
79 Duty to review regulations	79 規則を見直す義務
80 Repeal of provisions relating to supply of customer data	80 顧客データの提供に関する規定の廃止
81 Interpretation of this Part	81 本編の解釈
PART 4 OTHER PROVISION ABOUT DIGITAL INFORMATION	第4部デジタル情報に関するその他の規定
Privacy and electronic communications	プライバシーおよび電子通信
82 The PEC Regulations	82 PEC規則
83 Storing information in the terminal equipment of a subscriber or user	83 加入者または利用者の端末機器における情報の保存
84 Unreceived communications	84 未受信の通信
85 Meaning of “direct marketing”	85 「ダイレクトマーケティング」の意味
86 Use of electronic mail for direct marketing purposes	86 ダイレクトマーケティング目的の電子メールの使用
87 Direct marketing for the purposes of democratic engagement	87 民主的関与を目的とするダイレクトマーケティング
88 Meaning of expressions in section 87	88 第87条における表現の意味
89 Duty to notify the Commissioner of unlawful direct marketing	89 違法なダイレクト・マーケティングを委員会に通知する義務
90 Commissioner’s enforcement powers	90 欧州委員会の執行権限
91 Codes of conduct	91 行動規範
92 Pre-commencement consultation	92 開始前のコンサルテーション
Trust services	トラストサービス
93 The eIDAS Regulation	93 eIDAS規則
94 Recognition of EU conformity assessment bodies	94 EU適合性評価機関の承認
95 Removal of recognition of EU standards etc	95 EU規格等の承認の廃止
96 Recognition of overseas trust products	96 海外の信託商品の承認
97 Co-operation between supervisory authority and overseas authorities	97 監督当局と海外当局の協力
Data Protection and Digital Information Bill v	データ保護・デジタル情報法案
Sharing of information	情報の共有
98 Disclosure of information to improve public service delivery to undertakings	98 事業者への公共サービス提供向上のための情報開示
99 Implementation of law enforcement information-sharing agreements	99 法執行情報共有協定の実施
100 Meaning of “appropriate national authority”	100 「適切な国家機関」の意味
Registers of births and deaths	出生・死亡登録
101 Form in which registers of births and deaths are to be kept	101 出生及び死亡の登録の保管形態
102 Provision of equipment and facilities by local authorities	102 地方自治体による設備及び施設の提供
103 Requirements to sign register	103 登録簿への署名要件
104 Treatment of existing registers and records	104 既存の登録および記録の取り扱い
105 Minor and consequential amendments	105 軽微かつ結果的な修正
Information standards for health and social care	医療および社会福祉に関する情報基準
106 Information standards for health and adult social care in England	106 イングランドにおける保健および成人福祉ケアのための情報基準
PART 5 REGULATION AND OVERSIGHT	第5部規制および監督
Information Commission	情報委員会
107 The Information Commission	107 情報委員会
108 Abolition of the office of Information Commissioner	108 情報委員会の廃止
109 Transfer of functions to the Information Commission	109 情報委員会への機能移転
110 Transfer of property etc to the Information Commission	110 財産等の情報委員会への移管
Oversight of biometric data	バイオメトリックデータの監視
111 Oversight of retention and use of biometric material	111 バイオメトリック資料の保持と使用の監督
112 Removal of provision for regulation of CCTV etc	112 CCTV等の規制に関する規定の削除
113 Oversight of biometrics databases	113 バイオメトリクス・データベースの監視
PART 6 FINAL PROVISIONS	第6部最終規定
114 Power to make consequential amendments	114 結果的修正を行う権限
115 Regulations	115 規則
116 Interpretation	116 解釈
117 Financial provision	117 財務規定
118 Extent	118 範囲
119 Commencement	119 開始
120 Transitional, transitory and saving provision	120 経過的、一時的および保存的規定
121 Short title	121 短称

Schedule 1 — Lawfulness of processing: recognised legitimate interests	別表1 - 処理の適法性：認識された正当な利益
Schedule 2 — Purpose limitation: processing to be treated as compatible with original purpose	別表2 - 目的の制限：当初の目的に適合するものとして取り扱われるべき処理
Schedule 3 — Automated decision-making: consequential amendments	別表3 - 自動意思決定：結果的修正
Schedule 4 — Obligations of controllers and processors: consequential amendments	別表4 - 管理者および処理者の義務：結果的修正
Schedule 5 — Transfers of personal data to third countries etc: general processing	別表5 - 「個人データの第三国等への移転：一般的な処理
Schedule 6 — Transfers of personal data to third countries etc: law enforcement processing	別表6 - 第三国等への個人データの移転：法執行処理
Schedule 7 — Transfers of personal data to third countries etc: consequential and transitional provision	別表7 - 第三国等への個人データの移転：結果的および経過的規定
Part 1 — Consequential provision	第1部 - 結果的規定
Part 2 — Transitional provision	第2部 - 経過規定
Schedule 8 — Complaints: minor and consequential amendments	別表8 - 苦情処理：小修正および結果的修正
Schedule 9 — Data protection: minor amendments	別表9 - データ保護：若干の修正
Schedule 10 — Privacy and electronic communications: Commissioner’s enforcement powers	別表10 - プライバシーおよび電子通信コミッショナーの執行権限
Schedule 11 — Registers of births and deaths: minor and consequential amendments	別表11 - 出生および死亡の登録簿：小修正および結果的修正
Part 1 — Amendments of the Births and Deaths Registration Act 1953	第1部 - 1953年出生・死亡登録法の改正
Part 2 — Amendments of other legislation	第2部 - その他の法律の改正
Schedule 12 — Information standards for health and adult social care in England	別表12 - イングランドにおける医療および成人社会ケアの情報基準
Schedule 13 — The Information Commission	別表13 - 情報委員会

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.06.28 英国 ICO 金融、医療、研究、中央・地方政府で大規模な個人データセットを使用しているデータ保護担当者などを対象とした新しいPETsガイダンスを作成 (2023.06.19)

・2023.09.20 英国 ICO 子供を守るための情報共有のための10ステップガイド (2023.09.14)

・2023.05.23 英国 NCSCとICOの共同ブログサイバーインシデント報告...

・2023.04.05 英国 ICO ブログ生成的人工知能：開発者とユーザーが問うべき８つの質問...

・2023.04.01 英国意見募集 AI規制白書

・2023.03.27 英国 ICO 「チルドレンズ・コード」の文脈における「アクセスされる可能性が高い」についてのガイダンスとその影響評価についての意見募集

・2023.03.20 英国イノベーションを促進する技術規制の見直し：デジタルテクノロジー

・2023.03.15 英国英国版GDPR新版の審議始まる (2023.03.08)

・2023.02.19 英国情報コミッショナー事務局 (ICO) がゲーム開発者向けに、子どもの保護に関する業界向けのガイダンスを発行

・2022.12.14 英国デジタル・文化・メディア・スポーツ省アプリストア運営者及びアプリ開発者のための実践規範

・2022.11.06 英国データ倫理・イノベーションセンターデータおよびAIに対する国民の意識：トラッカー調査（第2回）

・2022.10.29 英国 ICO 雇用慣行とデータ保護：労働者の健康情報案に関するコンサルテーション (2022.10.27)

・2022.10.29 英国 ICO 雇用慣行：職場における監視ガイダンスと影響評価案に関するコンサルテーション (2022.10.12)

・2022.10.28 英国 ICO 未熟なバイオメトリクス技術は人を差別する可能性がある「バイオメトリクス洞察レポート」「バイオメトリクス予見レポート」

・2022.09.11 英国 ICO プライバシー強化技術に関するガイダンス案を発表

・2022.07.18 英国情報コミッショナー新しい戦略計画案 ICO25 を公表し、意見募集をしていますね。。。

・2022.06.15 英国健康分野のデータ戦略

・2022.05.30 英国情報コミッショナー顔認識データベース会社Clearview AI Incに750万ポンド以上の罰金を科し、英国人のデータの削除を命じた

・2022.05.10 英国意見募集消費者保護のためにアプリストアへの政府の介入は必要か (2022.05.04)

・2022.01.28 英国デジタル・文化・メディア・スポーツ省サイバーセキュリティ長期調査：第1回

・2022.01.26 英国世界最高レベルのデータ専門家（Google, IBM, Microsoftのメンバーを含む）による国際的なデータ転送に関する政府協議会を設立

・2022.01.19 英国デジタル・文化・メディア・スポーツ省ガイダンス：就労権、賃借権、犯罪歴確認のためのデジタルID認証

・2021.12.19 英国 AIバロメータ21 公表

・2021.11.27 英国情報コミッショナーの意見：オンライン広告の提案に対するデータ保護とプライバシーの期待

・2021.11.05 英国デジタル・文化・メディア・スポーツ省の提案に対する、バイオメトリックスコミッショナーおよび監視カメラコミッショナーであるフィッシャー氏の回答

・2021.10.28 英国データ保護局 (ICO) ビデオ会議事業者に期待されるグローバルなプライバシーに関する共同声明

・2021.10.16 英国 ICO（データ保護局）意見募集「ジャーナリズムの実践規範」案

・2021.09.22 英国 ICO（データ保護局）がデータフローに関するG7会議を開催した理由

・2021.09.17 Ｇ７データ保護・プライバシー機関ラウンドテーブル 2021.09

・2021.09.07 英国データ保護局 (ICO) のブログ Cookie承諾の茶番はやめて、そろそろ真面目に考えようとG7の個人データ・プライバシー関連当局に呼びかける...

・2021.08.20 英国意見募集監視カメラ実施規範改訂案 by 監視カメラコミッショナー at 2021.08.13

・2021.07.09 英国データ保護局 (ICO) 年次報告書を公開していますね。。。

・2021.06.20 英国情報コミッショナー公共の場でのライブ顔認識技術の使用に関するプライバシーの懸念

・2021.02.17 英国デジタルID・属性のフレームワーク案の意見募集

・2020.11.03 英国 Information Commissioner's Office (ICO)による罰金

・2020.09.13 英国データ保護委員会アカウンタビリティフレームワーク

・2020.05.08 UK-ICO NHSXのコンタクト・トレース・アプリ試用版のデータ保護影響評価に関するメディアからの問い合わせへの声明

・2020.05.05 UK ICO COVID-19 コンタクト・トレーシング：アプリ開発におけるデータ保護の期待

・2020.05.02 英国 NHSX（国民保健サービス・デジタル）はドイツ等と異なりApple-Google APIを使用せず集中管理方式の連絡先追跡システムにする？

2023.11.25 06:56 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 法律 / 犯罪, in 内部統制 / リスクマネジメント | Permalink | Comments (0)
Tweet

防衛省防衛研究所中国安全保障レポート2024 －中国、ロシア、米国が織りなす新たな戦略環境－

こんにちは、丸山満彦です。

防衛省防衛研究所が 中国安全保障レポート2024 －中国、ロシア、米国が織りなす新たな戦略環境－ を公表していますね。。。

日本語版のみならず、英語版、中国語版もあります。。。

● 防衛省防衛研究所

・2023.11.24 中国安全保障レポート2024

・中国安全保障レポート2024 －中国、ロシア、米国が織りなす新たな戦略環境－ （本文）·（表紙·奥付）

目次...

中国安全保障レポート2024

目次
要約
略語表

序章

第 1 章　既存秩序の変革を目指す中国の戦略
はじめに
1　協調から対抗へ転換した中国の対米政策
（1）冷戦後の国際秩序に協調姿勢で適応
（2）対米対抗と既存秩序の変革に向けた動き
2　国際秩序をめぐってロシアとの連携を強める中国
（1）ライバルからパートナーへの転換
（2）既存秩序の変革に向けた協力の深化
3　米国への軍事的対抗姿勢を強める中国
（1）軍事における対米対抗とロシアとの連携強化
（2）対米抑止力の強化を目指した核戦力の増強
おわりに

第 2 章　ロシア・ウクライナ戦争とプーチン体制の生存戦略
はじめに
1　プーチン体制の生存戦略
（1） 2020 年憲法改革と「インナー・サークル」の生存戦略
（2）プーチン体制と個人支配化をめぐる議論
2　ウクライナ戦争下におけるプーチン体制の変容と生存戦略としての対外政策
（1）体制変容のダイナミズム
（2）新たな「対外政策概念」と「狭小な国家グループ」への挑戦
（3）軍事・原子力・北極海における中露の体制間協力
（4）ロシアと「グローバル・サウス」
おわりに

第 3 章　国際秩序の維持に向けた米国の軍事戦略
はじめに
1　中国、ロシアに対する脅威認識の高まり
（1）大国間競争の再来
（2）戦略的競争において浮上する 3 つの軍事的課題
2　新たな軍事的課題に対する米軍の取り組み
（1）作戦行動に対する認識の変化
（2）将来戦に関する取り組み
3　将来的な核戦力バランスの変化
（1）「同格の二大核保有国」問題の浮上
（2）バイデン政権の対応
おわりに

終章

注

要約

第1章　既存秩序の変革を目指す中国の戦略

冷戦終結直後の中国は、米国を共産党に対する脅威と見ており、米国との対立を避けつつ協力を推進することで対米関係の安定化を図った。米国が主導する冷戦後の国際秩序についても基本的に受け入れ、協調を主軸とした国際秩序戦略を推進した。ところが2000年代終わりごろから、西側諸国のパワーが低下し、発展途上国のパワーが増大しているとの情勢認識に至った共産党政権は、既存の国際秩序について力を背景に「核心的利益」を確保することを可能とするとともに、中国共産党による支配体制が脅威にさらされない方向への変革を目指すようになった。

習近平政権は、米国に中国の「核心的利益」を尊重し、中国を対等に扱う「新型大国関係」を受け入れるよう要求した。同時に、普遍的価値とルールに基づいた既存の国際秩序を明確に拒否し、中国を中心とした発展途上国がより大きな発言力を持つ「新型国際関係」と「人類運命共同体」を新たな国際秩序のモデルとして推進するようになった。その中国にとって、ロシアは望ましい国際秩序を共有する重要なパートナーである。国際秩序をめぐる米国や西側諸国との競争において、中国とロシアは相互の支持と協力を強化している。

米国に対抗し、米軍が主導してきた東アジアの安全保障秩序の変革を目指して、中国はA2/AD能力を中心とした軍事力の強化を進めている。中国は周辺地域において、米軍の行動を物理的に妨害するとともに、ロシア軍との共同訓練や連携した行動を強化している。中国は核戦力も急速に強化しており、これは将来の核をめぐる安全保障秩序における中国の発言力を高めるとともに、中国の「核心的利益」に関わる紛争に対して、米国が軍事的に関与するハードルを高めることになるだろう。今後中国は、核を含む軍事力を強化しつつ、望ましい国際秩序を共有するロシアとの戦略的協力を深化させることで、既存の国際秩序の改変を進めていくことになると思われる。

第2章　ロシア・ウクライナ戦争とプーチン体制の生存戦略

2022年2月24日、プーチン体制は、ウクライナへの全面的な軍事侵攻に踏み切り、米欧諸国による厳しい経済制裁と広く国際的な信用の失墜を招いた。既存の国際秩序に対する挑戦者となったプーチン体制の秩序観には、G7諸国が志向する国際秩序への強い対抗意識があり、この点は2023年3月に改訂された「ロシア連邦対外政策概念」の中で強調されている。こうした対抗意識の根底には、冷戦後国際秩序の再編プロセスに対する不満の蓄積がある。また、プーチン体制には、ロシアの伝統的な精神・道徳的価値観や独自の歴史観を偏重する態度、さらには多様性や包摂性に代表される米欧のリベラルな価値観や市民社会の在り方への嫌悪感が観察要約序章第1章第2章第3章終章4される。特に近年、それらは政治体制の個人支配化の進展とも相まって、プーチン体制の国内的な体制の生存戦略として増幅される傾向にあった。

こうした秩序観は、現代ロシア政治・外交史の多様な文脈の中で生成されたものであるが、その1つとして、市民的自由の制約や立憲主義の不在、個人支配化に象徴されるロシア内政動向との連関も指摘できよう。同じく政治体制として個人支配化の様相を強める中国の習近平体制との親和性は高まる傾向にあり、第2次ロシア・ウクライナ戦争に伴うロシアの対中依存の深まりも影響して、中露の体制間協力は、プーチン体制の対外的な生存戦略として位置付けられている。中露関係は、軍事・原子力・北極圏開発といった政策分野で着実に深まりつつある。

さらに戦時下のプーチン体制は、インドやトルコをはじめとするグローバル・サウスと呼ばれる新興国・途上国との連携強化を目指しており、上海協力機構（SCO）やBRICS加盟国、中東・アフリカ諸国など、政治体制の観点から親和性の高い国々への外交的・軍事的アプローチが積極的に行われている。

第3章　国際秩序の維持に向けた米国の軍事戦略

バイデン政権が最大の挑戦としてとらえているのが中国である。NSS2022は、中国が「米国にとって最も重大な地政学的挑戦」であるとして、中国との競争に打ち勝つという方針を示した。軍事的観点からも、バイデン政権は中国を焦点としており、同国が主要な地域を支配するのを阻止することを最優先課題とした戦略を打ち出している。中国との軍事・外交分野における競争は、経済分野にも波及している。

ロシアに対しては、2014年以降継続しているウクライナへの侵略だけでなく、主要な地域における重大で継続したリスクを突き付ける「深刻な脅威」であるという認識を示している。バイデン政権は、ウクライナ侵略がロシアにとって「戦略的失敗」となることを政策目標として、北大西洋条約機構（NATO）をはじめとする同盟国やパートナー国と連携しながら、ウクライナに対する圧倒的な規模での安全保障支援を行う一方で、ロシアに対して経済制裁を科している。

中露との競争を優位に進めるうえで、米国が直面している軍事的課題とは、①武力紛争に至らない段階における活動、②米軍の戦力投射・作戦行動、キルチェーンに対する脅威、③将来的な核戦力バランスの変化、である。第１の課題に対して米軍は、「航行の自由作戦」や情報・サイバー空間での作戦行動に加え、あらゆる段階で米軍が一定の活動を行うことを示した「競争連続体モデル」という新たな概念枠組みを形成して対応している。第2の軍事的課題であるA2/ADおよび米軍のキルチェーンに対する脅威に関して、米軍は新たなコンセプトの開発を継続させている。第3の、米国と同等の核戦力を保有する中国とロシアに同時に対峙するという、将来的な「同格の二大核保有国」問題に対して、バイデン政権は米国の抑止力の強化と軍備管理による核使用リスクの低減に取り組む姿勢を示している。

バイデン政権は、今後の10年間の取り組みが将来的な国際秩序の姿を左右すると認識しており、中国との競争を優位に進め、ロシアの脅威を抑制することを目標として、積極的に取り組む姿勢を強めている。国際秩序をめぐる中国やロシアとの競争は、今後も継続し激しさを増していくであろう。

終章

ロシアで急激な政治変動が生じない限り、今後10年程度の見通し得る将来において、国際秩序をめぐる米国と中露の対立は加速し、グローバル・サウスも巻き込みながら、米国を中心とした既存秩序の現状維持勢力と、中露を中心とした現状変更勢力の間の対立へと拡大していくだろう。双方が共に競争力を高めていくものと思われるため、帰趨はすぐには決まらず、対立は緊張の度を高めながら長期にわたって続くだろう。今後は偶発的な衝突や予期しないエスカレーションといった不安定要因の顕在化を防止するために、いかに競争を管理していくのかが双方に問われることになる。他方で、より長期的な観点に立った場合、ロシアによるウクライナ侵攻が国際秩序の変更に至る見込みは極めて小さい。一方で中国は、南シナ海や台湾海峡などで現状変更の既成事実を積み重ねている。今後、このような中国の力による一方的な現状変更を防止できるか否かが、国際秩序をめぐる競争の行方を決定づける最も重要な要因であるといえよう。

年度	副題	章	テーマ
2024	中国、ロシア、米国が織りなす新たな戦略環境	1	既存秩序の変革を目指す中国の戦略
		2	ロシア・ウクライナ戦争とプーチン体制の生存戦略
		3	国際秩序の維持に向けた米国の軍事戦略
2023	認知領域とグレーゾーン事態の掌握を目指す中国	1	中国の軍事組織再編と非軍事的手段の強化
		2	活発化する中国の影響力工作
		3	海上で展開される中国のグレーゾーン事態
2022	統合作戦能力の深化を目指す中国人民解放軍	1	中国人民解放軍の統合作戦構想の変遷
		2	改編された中国人民解放軍の統合作戦体制
		3	軍改革における統合作戦訓練・人材育成体制の発展と党軍関係強化の模索
2021	新時代における中国の軍事戦略	1	情報化戦争の準備を進める中国
		2	中国のサイバー戦略
		3	中国における宇宙の軍事利用
		4	中国の軍民融合発展戦略
2020	ユーラシアに向かう中国	1	中国のユーラシア外交
		2	中央アジア・ロシアから見た中国の影響力拡大
		3	ユーラシアにおけるエネルギー・アーキテクチャ
2019	アジアの秩序をめぐる戦略とその波紋	1	既存秩序と摩擦を起こす中国の対外戦略
		2	中国による地域秩序形成とASEANの対応 ――「台頭」から「中心」へ
		3	「一帯一路」と南アジア――不透明さを増す中印関係
		4	太平洋島嶼国 ――「一帯一路」の南端
2018	岐路に立つ米中関係	1	中国の対米政策
		2	米国の対中政策
		3	地域における米中関係の争点
2017	変容を続ける中台関係	1	中国の台湾政策の変遷
		2	台湾から見た中台関係
		3	米国にとっての台湾問題
		4	中台関係の変容と「現状維持」
2016	拡大する人民解放軍の活動範囲とその戦略	1	遠海での作戦能力強化を図る中国海軍
		2	空軍の戦略的概念の転換と能力の増大
		3	ミサイル戦力の拡充
		4	統合的な作戦能力の強化
2014	多様化する人民解放軍・人民武装警察部隊の役割	1	中央国家安全委員会創設とその背景
		2	人民武装警察部隊の歴史と将来像
		3	人民解放軍による災害救援活動
		4	軍事外交としての国連平和維持活動
		5	ソマリア沖・アデン湾における海賊対処活動
2013		1	中国の対外危機管理体制
		2	中国の危機管理概念
		3	危機の中の対外対応
2012		1	「党軍」としての性格を堅持する人民解放軍
		2	深化する軍と政府の政策調整
		3	軍と政府が連携を深める安全保証政策
		4	政策調整の制度化を求める人民解放軍
2011		1	海洋に向かう中国
		2	南シナ海で摩擦を起こす中国
		3	外洋に進出する中国海軍
		4	対外園で発言力を増す人民解放軍
創刊号		1	中国の対外姿勢
		2	拡大する活動範囲
		3	役割を増す軍事外交
		4	進む装備の近代化

● まるちゃんの情報セキュリティ気まぐれ日記

・2022.11.28 防衛省防衛研究所中国安全保障レポート2023　― 認知領域とグレーゾーン事態の掌握を目指す中国 ―

・2021.11.28 防衛省防衛研究所中国安全保障レポート2022 ― 統合作戦能力の深化を目指す中国人民解放軍 ―

・2020.11.14 防衛省防衛研究所「中国安全保障レポート2021 ― 新時代における中国の軍事戦略 ―」は中国のサイバー戦略についての章がありますね

2023.11.25 02:21 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in 安全保障 | Permalink | Comments (0)
Tweet

2023.11.24

証券監督者国際機構（IOSCO）「暗号資産・デジタル資産に関する勧告最終報告書 (2023.11.16)

こんにちは、丸山満彦です。

証券監督者国際機構（IOSCO）「暗号資産・デジタル資産に関する勧告最終報告書を公表していますね。。。

● International Organization of Securities Commissions: IOSCO

プレス

・2023.11.16 [PDF] IOSCO Finalizes its Policy Recommendations for Crypto and Digital Asset Markets

報告書

・2023.11.16 [PDF] Policy Recommendations for Crypto and Digital Asset Markets - Final Report

・[DOCX] 仮訳

目次...

	EXECUTIVE SUMMARY	要旨
	INTRODUCTION	序文
1	OVERARCHING RECOMMENDATION ADDRESSED TO ALL REGULATORS	すべての規制当局に向けた包括的勧告
	Preamble: Intent of the Recommendations	前文提言の意図
	Recommendation 1 – Common Standards of Regulatory Outcomes	勧告1 - 規制成果の共通標準
2	RECOMMENDATIONS ON GOVERNANCE AND DISCLOSURE OF CONFLICTS	ガバナンスとコンフリクトの開示に関する提言
	Recommendation 2 – Organizational Governance	勧告2 - 組織ガバナンス
	Recommendation 3 – Disclosure of Role, Capacity and Trading conflicts	勧告 3 - 役割、能力および取引上のコンフリクトの開示
3	RECOMMENDATIONS ON ORDER HANDLING AND TRADE DISCLOSURES (TRADING INTERMEDIARIES VS MARKET OPERATORS)	注文処理と取引の開示に関する勧告（取引仲介業者と市場運営者の比較）
	Recommendation 4 – Order Handling	勧告4 - 注文処理
	Recommendation 5 – Trade Disclosures	勧告5 - 取引の開示
4	RECOMMENDATIONS IN RELATION TO LISTING OF CRYPTO-ASSETS AND CERTAIN PRIMARY MARKET ACTIVITIES	暗号資産の上場および特定のプライマリーマーケット活動に関する勧告
	Recommendation 6 – Admission to Trading	勧告6 - 取引への参加許可
	Recommendation 7 – Management of Primary Markets Conflicts	勧告7 - プライマリーマーケットにおけるコンフリクトの管理
5	RECOMMENDATIONS TO ADDRESS ABUSIVE BEHAVIORS	濫用的行為に対処するための勧告
	Recommendation 8 – Fraud and Market Abuse	勧告8 - 不正行為と市場濫用
	Recommendation 9 – Market Surveillance	勧告9 - 市場サーベイランス
	Recommendation 10 – Management of Material Non-Public Information	勧告10 - 重要な未公開情報の管理
6	RECOMMENDATION ON CROSS-BORDER CO-OPERATION	国境を越えた協力に関する勧告
	Recommendation 11 – Enhanced Regulatory Co-operation	勧告11-規制協力の強化
7	RECOMMENDATIONS ON CUSTODY OF CLIENT MONIES AND ASSETS	顧客の金銭および資産の保管に関する勧告
	Recommendation 12 – Overarching Custody Recommendation	勧告12 - 包括的なカストディに関する勧告
	Recommendation 13 – Segregation and Handling of Client Monies and Assets	勧告13 - 顧客の金銭および資産の分別管理および取扱い
	Recommendation 14 – Disclosure of Custody and Safekeeping Arrangements	勧告14 - カストディおよび保管の取り決めの開示
	Recommendation 15 – Client Asset Reconciliation and Independent Assurance	勧告15 - 顧客資産の照合および独立した保証
	Recommendation 16 – Securing Client Money and Assets	勧告16 - 顧客の金銭および資産の保護
8	RECOMMENDATION TO ADDRESS OPERATIONAL AND TECHNOLOGICAL RISKS	運用リスクおよび技術的リスクに対処するための勧告
	Recommendation 17 – Management and disclosure of Operational and Technological Risks	勧告17 - オペレーショナルリスクおよびテクノロジーリスクのマネジメントと開示
9	RECOMMENDATION FOR RETAIL DISTRIBUTION	リテール販売に関する勧告
	Recommendation 18 – Retail Client Appropriateness and Disclosure	勧告18 - リテール顧客の適正性と開示

Annex A	Glossary of Relevant Terms and Definitions	関連用語集および定義
Annex B	Feedback Statement	フィードバック・ステートメント
Annex C	Overview of Stablecoins, their Roles and Uses in Crypto-Asset Markets	ステーブルコインの概要、暗号資産市場における役割と用途

● 金融庁

・2023.11.22 証券監督者国際機構（IOSCO）による最終報告書「暗号資産・デジタル資産に関する勧告」の公表について

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.07.18 金融安定理事会 (FSB) 暗号資産とステーブルコインに関するグローバルな規制枠組みを最終決定

2023.11.24 13:56 in 情報セキュリティ / サイバーセキュリティ, in 内部統制 / リスクマネジメント, in 暗号 / 電子署名 / ブロックチェーン | Permalink | Comments (0)
Tweet

四半期報告書が廃止されますね。。。

こんにちは、丸山満彦です。

「金融商品取引法等の一部を改正する法律」が 2023 年 11 月 20 日に成立しましたね。。。

今回の改正では、四半期開示の見直しがなされており、2024 年 4 月 1 日以後に開始する四半期から四半期報告書が廃止され、半期報告書の提出が義務付けられるとともに、四半期開示については、原則として、東京証券取引所の規則に基づく四半期決算短信に一本化されることとなりますね。。。

2006年の金商法の改正で金融のグローバル市場を見据えたルール統一を図る方向から四半期報告書を導入することになったわけですが、英国、フランス、ドイツも半期報告制度、中国もそうですしね。。。日本も。。。ということなのでしょうかね。。。

費用対効果という意味であれば、提出会社（いわゆる親会社単体）の情報は不要でしょうね。。。

● 日本取引所グループ

・2023.11.22 「四半期開示の見直しに関する実務の方針」の公表について

　・[PDF] 四半期開示の見直しに関する実務の方針

● 日本公認会計士協会

・2023.11.22 四半期開示の見直しに伴う監査及び四半期レビュー契約書への影響について

　・[PDF] 四半期開示の見直しに伴う監査及び四半期レビュー契約書への影響について

・2023.11.22 東京証券取引所「四半期開示の見直しに関する実務の方針」の公表について(お知らせ)

　・[PDF] 本文

・2023.11.22 四半期開示制度の見直しに関する対応について(お知らせ)

　・[PDF] 四半期開示制度の見直しに関する対応について（お知らせ）

2023.11.24 12:55 in 法律 / 犯罪, in 監査 / 認証, in 内部統制 / リスクマネジメント | Permalink | Comments (0)
Tweet

世界経済フォーラム (WEF) 産業用環境におけるサイバー・レジリエンスを明らかにする： 5つの原則

こんにちは、丸山満彦です。

世界経済フォーラム (WEF)が、産業用環境におけるサイバー・レジリエンスを明らかにする： 5つの原則という報告書を公表していますね。。。

産業用システムのセキュリティについては、そのシステムの所管部門が責任をもってセキュリティ対策をすることが重要なわけですが、それをIT部門も技術的な面ではサポートし、経営者が組織全体として最適な運用ができるように設計することが重要ですよね・・・

一番の近道は制御システム等を管理している人がセキュリティを正しく理解することですね。。。

ちなみに、この言葉は一般的にあてはまることですが、その通りだと思いました。

Be careful about vendor selection and question the “silver bullet” of the product offering. （ベンダーの選択には注意し、製品提供の「銀の弾丸」を疑うこと。）

・2023.11.23 Unlocking Cyber Resilience in Industrial Environments: Five Principles

Unlocking Cyber Resilience in Industrial Environments: Five Principles	産業用環境におけるサイバー・レジリエンスを明らかにする： 5つの原則
This paper provides guidelines to ensure cybersecurity in the operational technology (OT) environment, at a time of increasing digitalization and convergence of the OT and IT (information technology) environments.	本稿は、デジタル化が進み、OT（情報技術）環境とIT（情報技術）環境の融合が進む現在、OT（運用技術）環境におけるサイバーセキュリティを確保するためのガイドラインを提供するものである。
Ensuring OT cybersecurity is fundamental for the continuation of industrial operations, which are essential for keeping global economies and infrastructures running. To this end, the World Economic Forum, in collaboration with partners from the electricity, manufacturing, and oil and gas industries, has developed a list of guiding principles and a set of best practices. These can help cyber leaders safeguard, maintain and monitor their industrial OT environment as well as ensure business continuity. While many organizations may already have some measures in place to ensure a cyber resilient OT environment, shared guidance can help manage cyber risks at the ecosystem level to increase systemic resilience.	OTのサイバーセキュリティを確保することは、世界経済とインフラを維持するために不可欠な産業オペレーションを継続するための基本である。この目的のため、世界経済フォーラムは、電力、製造、石油・ガス業界のパートナーと協力して、指導原則とベストプラクティスのリストを作成した。これらは、サイバーリーダーがビジネス継続性を確保するだけでなく、産業用OT環境を保護、維持、監視するのに役立つ。多くの組織では、サイバーレジリエンスを確保するための OT 環境対策がすでに実施されているかもしれないが、ガイダンスを共有することで、エコシステム・レベルでのサイバーリスク管理を支援し、システムレジリエンスを高めることができる。

・[PDF]

目次...

Executive summary	要旨
Introduction	序文
1 Guiding principles for cyber resilient OT environments	1 サイバーレジリエンス OT 環境のための指針原則
2 Actionable approaches to implementing OT cybersecurity principles	2 OTサイバーセキュリティ原則を実施するための実行可能なアプローチ
3 Monitoring the implementation of OT cybersecurity principles	3 OTサイバーセキュリティ原則の実施を監視する
4 Enabling innovation in OT	4 OTにおけるイノベーションを可能にする
Conclusion	結論
Contributors	協力者
Endnotes	注釈

Executive summary	要旨
The digitalization and connectedness of industrial environments is opening up business opportunities and enhancing operational efficiency. At the same time, it exposes organizations to cyberattacks that can offset these gains.	ビジネス環境のデジタル化とコネクテッド化は、ビジネスチャンスを広げ、業務効率を向上させている。その一方で、このような利益を帳消しにするサイバー攻撃に組織がさらされる可能性もある。
Today’s industrial environment consists of operational technologies (OT) which, according to some sources, are largely outdated.1 They have interoperability and connectivity limitations, and weak or no security management capabilities and procedures.2	今日の産業環境は運用技術（OT）で構成されているが、ある情報源によれば、その大部分は時代遅れである1。相互運用性と接続性に制約があり、セキュリティ管理能力と手順が弱いか、まったくない2。
The increased convergence of OT with the traditional IT environment is leading to an increase in inherent vulnerabilities, which are doubling every year.3	OTと従来のIT環境との融合が進むにつれて、固有の脆弱性が増加しており、その数は毎年倍増している3。
The OT environment is fundamental for ensuring the continuation of industrial operations that keep global economies and infrastructures running. To improve OT environment security, the World Economic Forum in collaboration with partners from the electricity, manufacturing, and oil and gas industries, has developed a list of guiding principles. Combined with a set of best practices, these aim to help cyber leaders ensure a cyber resilient OT environment for uninterrupted and efficient business operations.	OT 環境は、世界経済とインフラを維持する産業運営の継続を確保するための基本である。OT環境のセキュリティを改善するため、世界経済フォーラムは、電力、製造、石油・ガス業界のパートナーとの協力のもと、指導原則のリストを作成した。ベストプラクティスと組み合わせることで、サイバーリーダーが、中断のない効率的なビジネス運営のために、サイバーレジリエンスに優れたOT環境を確保できるようにすることを目的としている。
Principle 1: Perform comprehensive risk management of the OT environment.	原則1：OT環境の包括的なリスクマネジメントを行う。
Principle 2: Ensure OT engineers and operators of installations have responsibility for OT cybersecurity.	原則 2: OT エンジニアと設備のオペレータが OT サイバーセキュリティに責任を持つようにする。
Principle 3: Align with top organizational leadership, strategic planning teams and third parties to make security-by-design a reality.	原則 3：セキュリティ・バイ・デザインを実現するために、組織のトップリーダー、戦略立案チーム、サードパーティと連携する。
Principle 4: Make cybersecurity standards and best practices contractually enforceable on partners and vendors to build a cybersecure OT environment.	原則 4：サイバーセキュリティの標準とベストプラクティスをパートナーやベンダーに契約上強制できるようにし、サイバーセキュアな OT 環境を構築する。
Principle 5: Run joint tabletop exercises to ensure preparedness in case of an actual incident.	原則 5：実際のインシデントに備えて合同机上演習を実施する。
These principles and best practices can help organizations safeguard, maintain and monitor their industrial OT environment as well as ensure business continuity. While many organizations may already have some measures in place to ensure a cyber resilient OT environment, shared guidance can help manage cyber risks at the ecosystem level to increase systemic resilience.	これらの原則とベストプラクティスは、組織がビジネス継続性を確保するだけでなく、産業用 OT 環境を保護、維持、監視するのに役立つ。多くの組織は、サイバーレジリエンスに優れた OT 環境を確保するための対策をすでに講じているかもしれないが、ガイダンスを共有することで、エコシステム・レベルでのサイバーリスクマネジメントを支援し、システムレジリエンスを高めることができる。
Introduction	序文
Why does OT cybersecurity matter?	なぜ OT サイバーセキュリティが重要なのか？
The industrial infrastructure and operations landscapes are undergoing a profound transformation due to technological innovation. A growing convergence of information technology (IT) and operational technology (OT) is driven by the rapid adoption of cutting-edge technologies like big data, digital twins and the industrial internet of things (IIoT). These two domains are expected to become increasingly intricate and interconnected over time. This inexorable shift is exemplified, in part, by the projected IIoT market growth,4 which is expected to surge from approximately $85.5 billion in 2023 to nearly $169.6 billion by 2028.	技術革新により、産業インフラとオペレーション環境は大きな変貌を遂げつつある。ビッグデータ、デジタル・ツイン、モノのインターネット（IIoT）などの最先端技術の急速な導入により、情報技術（IT）と運用技術（OT）の融合が進んでいる。これら2つの領域は、時間の経過とともにますます複雑になり、相互接続が進むと予想される。この避けられないシフトは、2023年の約855億ドルから2028年には約1696億ドルに急増すると予測されているIIoT市場の成長予測4が、その一端を例証している。
What is the difference between IT and OT?	ITとOTの違いは何か？
Information technology refers to technologies including computers and networks that store, process and transmit information, while operational technology encompasses industrial control systems (ICS) that operate, control and monitor industrial equipment and processes.	情報技術とは、情報を保存、処理、伝送するコンピューターやネットワークなどの技術を指し、運用技術には、産業機器やプロセスを操作、制御、監視する産業用制御システム（ICS）が含まれる。
The growing synergy between IT and OT, commonly referred to as IT/OT convergence, presents numerous opportunities for industrial organizations. These include remote control; real-time monitoring; enhanced visibility of machinery, plants and assets; simplification of anomaly detection; improved operational efficiency and productivity; and faster decision-making processes.	一般にIT/OTコンバージェンスと呼ばれるITとOTの相乗効果の高まりは、産業組織に数多くの機会をもたらしている。これには、遠隔制御、リアルタイム監視、機械、プラント、資産の可視性の向上、異常検知の簡素化、業務効率と生産性の向上、意思決定プロセスの迅速化などが含まれる。
However, this newfound connectivity between OT devices and IT networks also expands the cyber risk landscape, introducing both intentional and unintentional cybersecurity threats. Traditionally, the OT environment remained “air-gapped,” meaning it was not connected to the internet, and external hardware and removable media (e.g. USB drives) were the primary cybersecurity concerns. As these two environments merge, cybersecurity breaches can infiltrate from IT to OT through means such as internet malware infection and unauthorized access via mobile devices.	しかし、OT機器とITネットワーク間のこの新たな接続性は、意図的・非意図的なサイバーセキュリティ脅威を導入し、サイバーリスクの状況を拡大する。従来、OT環境は「エアギャップ」、つまりインターネットに接続されておらず、外部ハードウェアやリムーバブル・メディア（USBドライブなど）がサイバーセキュリティ上の主な懸念事項だった。これら2つの環境が融合するにつれ、サイバーセキュリティ侵害は、インターネット・マルウェア感染やモバイル・デバイス経由の不正アクセスなどの手段を通じて、ITからOTに侵入する可能性がある。
Today, OT environments, in large part, rely on legacy technologies built to perform specific tasks and operating on specialized software and proprietary protocols. Often designed without cybersecurity in mind, many of these legacy systems have been produced by now-defunct manufacturers whose software updates are infrequent and difficult to implement, ultimately leaving them exposed to security threats. In fact, a recent study by Microsoft found that 75% of industrial control devices are unpatched and feature high-severity vulnerabilities.5 Other threat factors include improper network segmentation – which, according to Dragos, happens to be the case for 50% of organizations6 – or poor remote-access practices.	今日、OT環境の大部分は、特定のタスクを実行するために構築され、特殊なソフトウェアや独自のプロトコルで動作するレガシー・テクノロジーに依存している。これらのレガシーシステムの多くは、サイバーセキュリティを考慮せずに設計されていることが多く、今はなきメーカーが製造したもので、ソフトウェアのアップデートは頻繁ではなく、実装も困難であるため、最終的にセキュリティの脅威にさらされている。実際、マイクロソフトによる最近の調査では、産業用制御機器の75%にパッチが適用されておらず、深刻度の高い脆弱性が存在することが判明している5。その他の脅威要因としては、不適切なネットワーク・セグメンテーション（ドラゴスによると、組織の50%でこの傾向が見られる6）、あるいは不十分なリモート・アクセス慣行が挙げられる。
Malicious actors do not shy away from exploiting such vulnerabilities. A report by McKinsey shows that OT cyber events have increased by 140% from 2020 to 2021.7 Of those events, 35% sustained physical damage with an estimated impact of $140 million per incident.8 That said, it is important to note that not all industries are equally impacted by OT attacks. For instance, since 2021, 9 the manufacturing sector has been the most targeted, experiencing 61% of cyberattacks. The oil and gas (11%), transportation (10%) and utilities (10%) sectors have been next.	悪意ある行為者は、このような脆弱性を悪用することをためらわない。マッキンゼーのレポートによると、OTのサイバーイベントは2020年から2021年にかけて140％増加している7。そのうち35％が物理的な被害を受け、1インシデントあたり1億4,000万ドルの影響があると推定されている8。例えば、2021年以降、製造業が最も標的とされ、61％のサイバー攻撃を受けている。次いで、石油・ガス（11％）、運輸（10％）、公益事業（10％）の各セクターが続いている。
Organizations in the manufacturing, oil and gas, and electricity industries bore damages amounting to $2.8 million on average in 2021.10 In addition to financial losses (directly from the damage and from related downtime), data and intellectual property theft, and reputation damage, cybersecurity breaches in OT environments can have consequences such as:	製造業、石油・ガス業、電力業界の組織は、2021年に平均280万ドルの損害を被った10。（損害や関連するダウンタイムによる直接的な）金銭的損失、データや知的財産の盗難、評判の低下に加え、OT環境におけるサイバーセキュリティ侵害は、以下のような結果をもたらす可能性がある：
– Damage to the environment.	・環境への損害。
– Exposure of people and personnel to dangerous conditions. Gartner predicts that by 2025, malicious actors will be able to weaponize the OT environment to cause harm or loss of life.11	・人々や人員を危険な状況にさらす。ガートナー社は、2025 年までに悪意のある行為者が OT 環境を武器化し、危害や人命の損失を引き起こすことができるようになると予測している11。
– Reduced availability and quality of essential goods and services including energy, healthcare and transportation; this can trigger behaviours such as panic-buying and stockpiling by consumers.	・エネルギー,医療,輸送を含む必要不可欠な商品やサービスの利用可能性や質の低下。これは,消費者によるパニック買いや備蓄といった行動を引き起こす可能性がある。
– Legal and regulatory violations resulting in fines, lawsuits and regulatory scrutiny.	・罰金,訴訟,規制当局の監視につながる法的・規制的違反。
– Implications for national security and public safety, given that OT is a significant component of critical infrastructure, and any level of cybersecurity risk can be considered critical.	・OT は重要インフラの重要な構成要素であり,どのレベルのサイバーセキュリティリスクも重要であると考えられることから,国家安全保障と公共の安全への影響。
FIGURE 1 Cyber incidents in the oil and gas industry	図 1 石油・ガス産業におけるサイバーインシデント

What are the sources of risks?	リスクの原因は何か？
Cybersecurity risks in the OT environment are amplified by several overarching issues that are not always technical in nature but depend on factors such as corporate culture and governance. These include:	OT 環境におけるサイバーセキュリティリスクは、必ずしも技術的な性質のものではなく、企業文化やガバナンスなどの要因に依存するいくつかの包括的な問題によって増幅される。これらには以下が含まれる：
Lack of emphasis on cyber issues in operations and shortage of personnel for OT cybersecurity.	運用におけるサイバー問題の重視の欠如と、OTサイバーセキュリティのための人材不足。
Human error – research shows that 79% of OT experts consider human error to be the greatest risk for OT systems.12 Moreover, the current onboarding and training of OT personnel do not sufficiently ensure that they adopt appropriate policies and measures for OT cybersecurity.	ヒューマンエラー - 調査によると、OT 専門家の 79%がヒューマンエラーを OT システムの最大のリスクと考えている12 。さらに、現在の OT 担当者の採用やトレーニングでは、OT サイバーセキュリティのための適切なポリシーや対策を採用することが十分に保証されていない。
Unclear delineation of process ownership and prioritization of risks.	プロセスの所有権の明確化とリスクの優先順位付けが不明確である。
The IT/OT convergence has blurred process ownership, allowing for no clear delineation of responsibilities and obligations between the IT and OT teams. In addition, the two view their priorities differently. From the IT perspective, procedures for data security and privacy are crucial, whereas the OT team places primary focus on physical performance and safety of facilities and equipment.	IT と OT の融合により、プロセスの所有権が曖昧になり、IT チームと OT チームの間で責任と義務が明確に区分されなくなっている。さらに、両者の優先順位の見方は異なっている。ITの観点からは、データセキュリティとプライバシーのための手続きが極めて重要であるのに対し、OTチームは施設や機器の物理的性能と安全性に主眼を置いている。
Poor device/asset visibility and rapid introduction of new assets.	デバイス／資産の可視性が低く、新しい資産を迅速に導入できない。
While the creation and maintenance of an asset inventory in the OT environment is regarded as one of the top security controls, according to Dragos,13 as many as 80% of organizations lacked visibility of the OT environment in 2022. Organizations need to have an overview of the devices in their networks – for instance, whether these devices are obsolete or supported, their vulnerabilities and what they are connecting to – both in the IT and OT environments. Organizations should be able to investigate the systems and processes in each zone and provide recommended security controls.	OT環境における資産目録の作成と保守は、最重要セキュリティ管理策の1つとみなされているが、ドラゴス13によると、2022年には80%もの組織がOT環境の可視性を欠いているという。組織は、IT環境とOT環境の両方において、ネットワーク内のデバイスの概要（例えば、これらのデバイスが旧式であるか、サポートされているか、脆弱性、何に接続しているかなど）を把握する必要がある。組織は、各ゾーンのシステムとプロセスを調査し、推奨されるセキュリティ対策を提供できるようにすべきである。
Supply chain and third-party risk.	サプライチェーンとサードパーティーのリスク
A study found that 40% of OT cybersecurity practitioners consider supply chain/third party access to the OT environment to be one of the top three cybersecurity risks.14 Whereas such concerns may be motivated by the weaker cybersecurity practices of third parties, OT cybersecurity can also be compromised by deliberate tampering of third-party hardware, software or firmware. This can happen during the manufacturing, distribution or maintenance processes.	ある調査によると、OT サイバーセキュリティ担当者の 40%が、OT 環境へのサプライチェーン／サードパーティからのアクセスをサイバーセキュリティリスクの上位 3 つのうちの 1 つと考えていることがわかった14 。このような懸念は、サードパーティのサイバーセキュリティ対策が脆弱であることが動機となっている可能性があるが、OT サイバーセキュリティは、サードパーティのハードウェア、ソフトウェア、またはファームウェアの意図的な改ざんによっても損なわれる可能性がある。これは製造、流通、保守の過程で起こりうる。
To ensure a strong cybersecurity posture across organizations and industries, robust cybersecurity measures must be developed and implemented to protect both IT and OT environments.	組織や業界全体で強固なサイバーセキュリティ体制を確保するためには、ITとOTの両方の環境を保護するための強固なサイバーセキュリティ対策を開発し、実施する必要がある。
What are the existing cybersecurity frameworks for the OT environment?	OT環境に対する既存のサイバーセキュリティのフレームワークにはどのようなものがあるか？
Organizations are not starting from scratch when it comes to OT cybersecurity. In fact, a number of cybersecurity frameworks have already been developed for the OT environment.	組織は、OTサイバーセキュリティに関してゼロから始めるわけではない。実際、OT環境向けのサイバーセキュリティフレームワークはすでに数多く開発されている。
The International Electrotechnical Commission (IEC) 6244315 is an international series of standards that tackle cybersecurity for industrial automation and control systems. The National Institute of Standards and Technology (NIST) has released SP 800-82 16 – a guide on how to improve the security of OT systems; while the European Joint Research Centre has proposed a framework on Industrial Automation and Controls Systems (IACS) to share practices on IACS products’ cybersecurity certifications.17	国際電気標準会議（IEC）62443 15は、産業オートメーションと制御システムのサイバーセキュリティに取り組む国際標準シリーズである。国立標準技術研究所（NIST）は、OTシステムのセキュリティを改善する方法に関するガイドであるSP 800-82 16を発表した。一方、欧州共同研究センターは、IACS製品のサイバーセキュリティ認証に関するプラクティスを共有するために、産業用自動制御システム（IACS）に関するフレームワークを提案している。17。
Other examples of cybersecurity frameworks applicable to the OT environment and beyond include the NIST Cybersecurity Framework18 as well as the Cybersecurity Capability Maturity Model (C2M2).19 Efforts have also been made at the local level to enhance OT cybersecurity. For instance, Saudi Arabia has developed the Operational Technology Cybersecurity Controls. Similarly, oil and gas companies on the Norwegian continental shelf follow guidelines such as NOG 104, NOG 110 and NOG 123, while in the US, the North American Electric Reliability Corporation’s Critical Infrastructure Protection (NERC CIP) and the American Petroleum Industry Pipeline Security standards are of relevance.	OT 環境に適用可能なサイバーセキュリティフレームワークの他の例としては、NIST サイバーセキュリティフレームワーク18 やサイバーセキュリティ能力成熟度モデル（C2M2）19 がある。例えば、サウジアラビアは、オペレーショナル・テクノロジー・サイバーセキュリティ・コントロールを策定した。同様に、ノルウェー大陸棚の石油・ガス会社は、NOG 104、NOG 110、NOG 123 などのガイドラインに従っており、米国では、北米電気信頼性公社の重要インフラ保護（NERC CIP）や米国石油業界のパイプライン・セキュリティ標準が関連している。
While numerous OT cybersecurity frameworks are available, many of those referenced here are extremely complicated and require a lot of effort to ensure effective implementation, particularly for third-party suppliers and vendors that may struggle to comply due to resource limitations – human or financial. This obligates industrial organizations to ensure that third parties are capable of applying and adhering to these frameworks and standards.	数多くのOTサイバーセキュリティフレームワークが利用可能であるが、ここで言及されているものの多くは非常に複雑であり、効果的な実装を確保するためには多大な労力を必要とする。特にサードパーティであるサプライヤーやベンダーは、人的・金銭的なリソースの制約により、コンプライアンスに苦労する可能性がある。このため、産業組織は、サードパーティがこれらのフレームワークや標準を適用し、遵守できることを保証する義務がある。
No silver bullet exists for successful implementation of OT cybersecurity frameworks and standards. Most of the time, industry players must apply a wide range of frameworks and standards to cover distinct parts of their infrastructure, such as water pumps and utilities.	OTサイバーセキュリティのフレームワークと標準の導入を成功させる特効薬は存在しない。ほとんどの場合、業界関係者は、水ポンプやユーティリティなど、インフラの明確な部分をカバーするために、幅広いフレームワークや標準を適用しなければならない。
A lot of the above-mentioned frameworks are very focused on technical controls. Yet, OT governance, i.e. who is responsible for cybersecurity in OT and how it interlocks with IT, remains a challenge for many organizations.	上記のフレームワークの多くは、技術的なコントロールに非常に重点を置いている。しかし、OTガバナンス、すなわち誰がOTのサイバーセキュリティに責任を持ち、ITとどのように連動させるかは、多くの組織にとって依然として課題である。
1. Guiding principles for cyber resilient OT environments	1. サイバーレジリエンスOT環境のための指針
The action group “Securing the OT environment” convening cyber leaders from the electricity, manufacturing and oil and gas industries around the topic of OT cybersecurity, has developed a set of five guiding principles to help industrial organizations address cyber risks and build resilience as the IT/OT convergence continues.	OTサイバーセキュリティをテーマに、電力、製造、石油・ガス業界のサイバーリーダーを招集したアクショングループ「OT環境の確保」は、IT/OTの融合が進む中、産業組織がサイバーリスクに対処し、レジリエンスを構築するのに役立つ5つの指導原則を策定した。
Principle 1: Perform comprehensive risk management of the OT environment	原則 1：OT 環境の包括的なリスクマネジメントを実施する。
Principle 2: Ensure OT engineers and operators of installations have responsibility for OT cybersecurity	原則 2: OT エンジニアと設備のオペレータが OT サイバーセキュリティに責任を持つようにする。
Principle 3: Align with top organizational leadership, strategic planning teams and third parties to make security-by-design a reality	原則 3：セキュリティ・バイ・デザインを実現するために、組織のトップリーダー、戦略立案チーム、サードパーティと連携する。
Principle 4: Make cybersecurity standards and best practices contractually enforceable on partners and vendors to build a cybersecure OT environment	原則 4：サイバーセキュリティの標準とベストプラクティスをパートナーやベンダーに契約上強制できるようにし、サイバーセキュアな OT 環境を構築する。
Principle 5: Run joint tabletop exercises to ensure preparedness in case of an actual incident	原則 5: 実際のインシデントに備えて合同机上演習を実施する
2. Actionable approaches to implementing OT cybersecurity principles	2. OT サイバーセキュリティの原則を実施するための実行可能なアプローチ
To ensure the successful implementation of the identified OT cybersecurity principles, organizations must undertake a number of actions to translate theory into tangible institutional practice.	識別された OT サイバーセキュリティの原則の実施を成功させるために、機構は、理論を具体的な制度的実践に変換するための多くの行動を実施する必要がある。
Principle 1: Perform comprehensive risk management of the OT environment	原則 1：OT 環境の包括的なリスクマネジメントを実施する。
To increase overall cybersecurity preparedness and reduce the potential and impact of cyberattacks, industrial organizations must take a comprehensive approach to risk management. This comprises risk assessment – identification of vulnerabilities and gaps that expose an organization to an attack, and of risks that could impede recovery and resilience – as well as mitigation and monitoring strategies. For risk management to be robust and complete, it is important that organizations:	全体的なサイバーセキュリティへの備えを強化し、サイバー攻撃の可能性と影響を低減するために、産業組織はリスクマネジメントに包括的なアプローチを取らなければならない。これには、リスクアセスメント（組織が攻撃にさらされる脆弱性とギャップ、回復とレジリエンスを阻害する可能性のあるリスクの特定）、および低減とモニタリング戦略が含まれる。リスクマネジメントを強固で完全なものにするためには、組織は以下のことを行うことが重要である：
– Identify and classify assets on the basis on their criticality, value and sensitivity to the organization’s operations. – Create an inventory of the “crown jewels”	・組織の業務に対する資産の重要性,価値,及び機密性に基づいて資産を識別し,分類する。- 王冠の宝石」のインベントリを作成する。
– the highest-value assets in their OT environment which, if compromised, could have a major impact. Once the “crown jewels” have been identified, organizations should identify how they connect to the network, data flows, etc.	・OT環境において最も価値の高い資産であり,漏洩した場合,大きな影響を及ぼす可能性のあるものである。王冠の宝石」が識別されたら,組織は,それらがネットワークにどのように接続されているか,データの流れなどを識別する必要がある。
– Detect security vulnerabilities and threats across the mapped assets and OT environment; identify the consequences that could result if the vulnerabilities are exploited (e.g. in case of unauthorized access, data theft, equipment damage, injury and loss of life, harm to national security, etc.); and prioritize mitigation accordingly.	・マッピングされた資産と OT 環境全体のセキュリティ脆弱性と脅威を検知し、脆弱性が悪用された場合に生じ得る結果（不正アクセス、データ盗難、機器の損傷、人命損害、国家安全保障への被害など）を特定し、それに応じて低減の優先順位を決定する。
– Identify potential threats (including threat events, threat actors, etc.) that could target their OT environment.	・OT 環境を標的とする可能性のある脅威（脅威事象、脅威行為者などを含む）を識別する。
– Establish an OT cybersecurity strategy aligned with the overall cybersecurity strategy, outlining the prevention, detection and response capabilities. It should be reviewed, evaluated and updated regularly. Organizations should also consider developing guidelines to ensure effective adoption and implementation of the OT cybersecurity strategy.	・全体的なサイバーセキュリティ戦略に沿った OT サイバーセキュリティ戦略を確立し,予防,検知,対応能力の概要を示す。これは定期的に見直し,評価し,更新する必要がある。組織は,OTサイバーセキュリティ戦略の効果的な採用と実施を確保するためのガイドラインの策定も検討すべきである。
Principle 2: Ensure OT engineers and operators of installations have responsibility for OT cybersecurity	原則 2：OT 技術者と設備のオペレータが OT サイバーセキュリティの責任を持つようにする。
Research shows that 95% of organizations20 will place the responsibility for OT cybersecurity under the Chief Information Security Officer (CISO) in the next 12 months. However, considering that cybersecurity is a shared responsibility, the IT team alone cannot have full control of OT cybersecurity; all stakeholders, at all levels of organizational management, need to do their part.	調査によると、95% の組織20 が、今後 12 カ月以内に OT サイバーセキュリティの責任を最高情報セキュリティ責任者（CISO）の下に置くとしている。しかし、サイバーセキュリティが共有責任であることを考慮すると、IT チームだけで OT サイバーセキュリティを完全に掌握することはできない。
This makes it imperative that roles and responsibilities be clearly defined and properly communicated with IT/OT personnel. That said, OT teams do not necessarily have the awareness or knowhow to properly inspect and secure OT networks. In order to share responsibility for OT cybersecurity, OT personnel across industrial organizations need to understand:	このため、役割と責任を明確に定義し、IT/OT 担当者と適切なコミュニケーションを図ることが不可欠である。とはいえ、OT チームは必ずしも OT ネットワークを適切に検査し、セキュリティを確保するための意識やノウハウを持っているわけではない。OTサイバーセキュリティの責任を共有するためには、産業組織全体のOT担当者が理解する必要がある：
– When, how and why a security breach might occur in the OT environment. Communications on security awareness should be carried out continuously for all OT personnel.	・OT環境でセキュリティ侵害がいつ,どのように,なぜ発生するのかを理解する必要がある。すべての OT 担当者に対して,セキュリティ意識に関するコミュニケーションを継続的に実施する必要がある。
– Who to contact in case of a security breach or suspicious activity, that is, who to get help from and who to collaborate with for support.Different threat detection technologies used by IT and OT could detect threats in the OT environment. Therefore, cooperation and communication between the IT and OT departments is essential to ensure that all staff have clearly and precisely defined roles and responsibilities for working together on incident response in OT.	・セキュリティ侵害や不審な活動が発生した場合に誰に連絡すべきか、つまり、誰から支援を受け、誰と協力して支援を受けるべきか。IT部門とOT部門で使用する脅威検知技術が異なれば、OT環境の脅威を検知できる可能性がある。したがって、IT部門とOT部門の間の協力とコミュニケーションは、すべてのスタッフがOTにおけるインシデント対応に協力するための役割と責任を明確かつ正確に定義するために不可欠である。
– The vulnerabilities and risks (including inherited risks) that each connected device in the OT environment brings.	・OT環境の各接続機器がもたらす脆弱性とリスク（継承されたリスクを含む）。
Principle 3: Align with top organizational leadership, strategic planning teams and third parties to make security-by-design a reality	原則 3：セキュリティ・バイ・デザインを実現するために、組織のトップリーダ、戦略立案チーム、サードパーティと連携する。
Most of the existing OT was not designed with cybersecurity in mind. Security-by-design is a process rather than a one-time “bolt-on” effort and as such should go beyond integration of security during the design and development phase of a product/ service. To enforce a security-by-design approach in the OT environment, organizations should:	既存の OT のほとんどは、サイバーセキュリティを念頭に置いて設計されていない。セキュリティ・バイ・デザインは、一回限りの「ボルトオン」の取り組みではなく、プロセスであるため、製品・サービスの設計・開発段階におけるセキュリティの統合を超えるものでなければならない。OT 環境においてセキュリティ・バイ・デザインのアプローチを実施するために、組織は次のことを行うべきである：
– Raise cybersecurity issues and risks to corporate management to ensure that critical OT systems are safeguarded from potential risks and vulnerabilities from the outset by:	・重要な OT システムを潜在的なリスクや脆弱性から当初から確実に保護するために、サイバーセキュリティの問題やリスクを経営陣に提起する：
– – Organizing executive briefings to highlight the impact of OT cyber risks on business operations, finances and reputation.	・OT のサイバーリスクが事業運営,財務,評判に与える影響を強調するために,経営幹部向けの説明会を開催する。
– – Developing and presenting risk assessments to communicate the interplay between OT cybersecurity breaches, operational downtime and compliance penalties.	・OT サイバーセキュリティ違反,運用ダウンタイム,コンプライアンス上の罰則の相互関係をコミュニケーションするためのリスクアセスメントを作成し,提示する。
– Sharing case studies illustrating real-world examples of cybersecurity incidents in the OT environment and the consequences experienced by organizations that were caught off-guard.	・OT 環境におけるサイバーセキュリティインシデントの実例と,不意を突かれた組織が経験した結果を示すケーススタディを共有する。
– Encouraging the integration of OT cybersecurity into the overall business strategy to ensure competitive advantage by demonstrating commitment to protecting critical OT infrastructure. It can ultimately help foster overall resilience across industry ecosystems.– The role of the Security Operations Centre (SOC), CISO team, etc. OT personnel should also build a relationship with the SOC and CISO teams to ensure transfer of knowledge on security architecture and policies, including on the prevention, detection, analysis and response to cybersecurity incidents. Among the OT personnel, a “Cyber Champion” should be appointed in each facility who can help with cyber issues during crises.	・重要な OT インフラの保護へのコミットメントを示すことで,競争上の優位性を確保するために,OT サイバーセキュリティを全体的なビジネス戦略に統合することを奨励する。これは,最終的には,業界のエコシステム全体にわたるレジリエンスの育成に役立つ。・セキュリティ・オペレーションセンター(SOC),CISO チームなどの役割 OT 担当者は,SOC や CISO チームとも関係を構築し,サイバーセキュリティインシデントの予防,検知,分析,対応など,セキュリティアーキテクチャーやポリシーに関する知識の伝達を確実に行うべきである。OT担当者の中で,各施設に「サイバー・チャンピオン」を任命し,危機発生時にサイバー問題を支援できるようにする。
Principle 4: Make cybersecurity standards and best practices contractually enforceable on partners and vendors to build a cybersecure OT environment	原則4：サイバーセキュリティの標準とベストプラクティスをパートナーやベンダーに対して契約により強制力を持たせ、サイバーセキュリティのOT環境を構築する。
Third-party suppliers and vendors differ in the way they approach cybersecurity. Nevertheless, they have to guarantee the security of their product or service and take responsibility for what is delivered. To build a secure OT environment and ensure successful collaboration with and enforcement of security standards by partners and vendors, industrial organizations should:	サードパーティであるサプライヤーやベンダーは、サイバーセキュリティへの取り組み方が異なる。とはいえ、これらのサプライヤやベンダーは、自社の製品やサービスのセキュリティを保証し、提供されるものに対して責任を負わなければならない。安全な OT 環境を構築し、パートナーやベンダーとの協業とセキュリティ標準の実施を成功させるために、産業組織は以下を行うべきである：
– Conduct thorough due diligence of both IT and OT cybersecurity posture before collaborating with any third-party vendors and suppliers. The assessment should cover how a cyberattack against a third-party vendor or supplier could impact operations.	・サードパーティのベンダーやサプライヤと協業する前に,IT と OT の両方のサイバーセキュリティ態勢について徹底的なデューデリジェンスを実施する。この評価では,サードパーティのベンダーやサプライヤに対するサイバー攻撃が業務にどのような影響を及ぼす可能性があるかを網羅する。
– Classify and categorize third parties according to their level and type of risk (compliance, financial, reputation, etc.) before they can access facilities, network and confidential information.	・サードパーティが施設、ネットワーク、機密情報にアクセスできるようにする前に、サードパーティをリスクのレベルや種類（コンプライアンス、財務、評判など）に応じて分類・分類する。
– Incorporate a list of baseline security requirements for third-party vendors and suppliers with access to facilities, network and confidential information within the security framework mentioned in principle 1. These security requirements should be met before formalization of collaboration. Examples of security requirements include:	・施設、ネットワーク、機密情報にアクセスするサードパーティベンダーとサプライヤーについて、原則1で述べたセキュリティフレームワークの中に、基本的なセキュリティ要件のリストを組み込む。これらのセキュリティ要件は、協働を正式に開始する前に満たすべきである。セキュリティ要件の例としては、以下が挙げられる：
– – Implementation of security levels (SL) 3 and 4 of IEC 62443.	・IEC 62443のセキュリティレベル（SL）3及び4の実施。
– – Application of advanced cybersecurity standards for OT software development.	・OT ソフトウエア開発における先進的なサイバーセキュリティ標準の適用。
– – Demonstration of proven hands-on expertise in handling cybersecurity events.	・サイバーセキュリティ事象に対処するための実践的な専門知識が実証されていること。
– Include OT cybersecurity requirements in contracts. OT cybersecurity requirements should cover areas such as secure remote access, use of removable media devices to transfer files, terms and conditions for data protection and processing of sensitive information shared between the organization and the third party, accident/incident notification and reporting, etc.	・契約に OT サイバーセキュリティ要件を含める。OT サイバーセキュリティ要件は,安全なリモートアクセス,ファイル転送のためのリムーバブルメディアデバイスの使用,組織とサードパーティ間で共有される機密情報のデータ保護と処理に関する条件,事故/インシデントの通知と報告などの分野をカバーすべきである。
– Continuously audit vendor and supplier security performance to ensure they are adhering to previously agreed security controls.	・ベンダーやサプライヤーのセキュリティパフォーマンスを継続的に監査し,事前に合意したセキュリティ管理が遵守されていることを確認する。
– In case the security controls are not observed, organizations should develop an exit strategy that includes proper oversight over the termination of collaboration with the vendor, return of assets, etc.	・セキュリティ管理が守られない場合、組織は、ベンダーとの協力関係の終了、資産の返却などに関する適切な監視を含む出口戦略を策定する必要がある。
Principle 5: Run joint tabletop exercises to ensure preparedness in case of an actual incident	原則5：実際のインシデントに備えて合同机上演習を実施する。
A tabletop exercise cannot always perfectly replicate every aspect of a real-life scenario or incident response situation. To ensure maximum preparedness and amplify its benefits, the tabletop exercise should include key personnel and should have clearly defined and achievable objectives. Organizations should therefore:	机上演習では、実際のシナリオやインシデント対応状況のあらゆる側面を完全に再現できるとは限らない。最大限の備えを確保し、その効果を増幅させるために、卓上演習には主要な要員を参加させ、明確に定義された達成可能な目標を設定すべきである。したがって、組織は次のことを行うべきである：
– Use security scenarios based on real events, and leverage and adapt existing crisis management procedures to the cyber context.	・実際の事象に基づいたセキュリティ・シナリオを使用し,既存の危機管理手順を活用し,サイバーの状況に適応させる。
– Engage the correct stakeholders that go beyond IT and OT personnel. Exercises should include the emergency preparedness group, executive leadership and management, technical staff, third parties, legal counsel as well as psychologists who can evaluate the responses and actions taken by the security incident response team (SIRT).	- IT担当者やOT担当者だけでなく、適切な利害関係者を参加させる。演習には、セキュリティ・インシデント対応チーム（SIRT）の対応と行動を評価できる心理学者だけでなく、緊急事態準備グループ、経営幹部、技術スタッフ、サードパーティ、法律顧問も参加させる。
– Clarify the representation of OT cyber competence in incident response to ensure preparedness when a threat event occurs and explore whether operations can be run in the OT environment without the IT.	・脅威事象が発生したときの備えを確保するために,インシデント対応における OT のサイバー能力の代表を明確にし,IT なしで OT 環境での運用が可能かどうかを検討する。
– Include OT sites across multiple geographies and consider the legal aspects that may arise.	・複数の地域にまたがる OT サイトを含め,発生する可能性のある法的側面を検討する。
– Identify weaknesses/gaps in the incident response and include lessons learned in the post-drill analysis reports.	・インシデント対応の弱点/ギャップを特定し,訓練後の分析レポートに教訓を盛り込む。
– Produce and continuously update the executives’ playbook with lessons learned from such exercises.	・このような訓練から得られた教訓を盛り込んだ幹部用プレイブックを作成し,継続的に更新する。
3. Monitoring the implementation of OT cybersecurity principles	3. OT サイバーセキュリティ原則の実施を監視する。
Implementation of OT cybersecurity principles alone is not enough. Tracking their progress and continuous assessment of impact is key in order to ensure effectiveness of the principles and that organizations are adapting to the new processes. To successfully monitor the implementation of OT cybersecurity principles, organizations should:	OT サイバーセキュリティ原則の実施だけでは十分ではない。原則の有効性を確認し、組織が新しいプロセスに適応していることを確認するためには、その進捗状況を追跡し、影響を継続的に評価することが重要である。OT サイバーセキュリティ原則の実施をうまく監視するために、組織は次のことを行うべきである：
– Perform regular audits to monitor compliance with the OT cybersecurity principles, including assessments of critical third parties with access to the OT environment.	・OT 環境にアクセスする重要なサードパーティの評価を含め,OT サイバーセキュリティ原則への準拠を監視するために定期的な監査を実施する。
– Conduct real-time monitoring to discover, identify and assess devices and vulnerabilities within the OT environment. The “now, next and never” approach can help organizations assess vulnerabilities. Gathered information should be kept in a register and reviewed periodically.	・OT 環境内のデバイスと脆弱性を発見,識別,評価するためのリアルタイム・モニタリングを実施する。今,次,決して」というアプローチは,組織が脆弱性を評価するのに役立つ。収集した情報は登録簿に保管し,定期的にレビューする。
– Develop a strategic roadmap and process for reporting to the corporate board about progress on OT cybersecurity.	・OT サイバーセキュリティの進捗状況を取締役会に報告するための戦略的ロードマップとプロセスを策定する。
– Send data (e.g. IDS data) regularly to the security operations centre (SOC) to ensure timely detection, investigation and response to security incidents.	- セキュリティ・オペレーション・センター（SOC）にデータ（検知データなど）を定期的に送信し、セキュリティ・インシデントのタイムリーな検知、調査、対応を確実に行う。
Additional measures:	追加の対策
– Conduct physical walk-throughs and inspections of OT sites.	・OT サイトの物理的なウォークスルーと検査を実施する。
– Review and define job and role descriptions to ensure cybersecurity roles and responsibilities for OT personnel.	・OT 要員のサイバーセキュリティ上の役割と責任を確保するために,職務と役割の説明を見直し,定義する。
– Perform periodic benchmarking to assess maturity on OT cybersecurity principles.	・定期的にベンチマークを実施し,OT サイバーセキュリティ原則の成熟度を評価する。
– Ensure tabletop exercises are a recurrent activity to monitor progress on incident response.	・机上演習を定期的に実施し,インシデント対応の進捗状況を監視する。
– Carry out threat hunting in OT and proactively seek indicators of potential compromise.	・OT における脅威の探索を実施し,潜在的な侵害の指標を積極的に探索する。
4. Enabling innovation in OT	4. OT におけるイノベーションを可能にする
Discussions on cybersecurity in OT would not be complete without acknowledging the role of innovation across industries. Research from 2023 shows that 45% of industrial manufacturing organizations have started pilots on generative AI.21 Strides towards the employment of new technologies are also being made in the automotive and energy sectors where 68% and 64% of organizations, respectively, have started exploring the potential of generative AI.22	OT におけるサイバーセキュリティの議論は、業界全体のイノベーションの役割を認識することなしには完結しない。2023年の調査によると、製造業の45%の組織が生成的AIのパイロット試験を開始している21。また、自動車業界とエネルギー業界でも新技術の採用に向けて前進しており、それぞれ68%と64%の組織が生成的AIの可能性の探求を開始している22。
In addition to AI and machine learning, industry players are also using several emerging technologies including:	AIや機械学習に加えて、業界各社は以下のような新たなテクノロジーも利用している：
– Cloud computing	・クラウド・コンピューティング
– Edge computing	・エッジ・コンピューティング
– Internet of things (IoT)	・モノのインターネット(IoT)
– Secure remote-access software	・セキュアなリモート・アクセス・ソフトウェア
– 5G	・5G
While selecting the technology may be simple, implementing it seamlessly in existing operational environments while ensuring minimal disruption and maximum cybersecurity is a complex task that requires careful planning and rigorous risk assessment.	技術を選択するのは簡単かもしれないが、混乱を最小限に抑え、サイバーセキュリティを最大限に確保しながら、既存の運用環境にシームレスに導入するのは、慎重な計画と厳密なリスクアセスメントを必要とする複雑な作業である。
In broad terms, new technologies allow for:	大まかに言えば、新技術は以下を可能にする：
– Automation of decision-making processes.	・意思決定プロセスの自動化
– Enhanced secure access practices, including for third parties.	・サードパーティを含む安全なアクセス方法の強化。
– Increased situational awareness fostered by improved visibility of assets, vulnerabilities and threats. – Improved threat hunting, threat intelligence and incident response.	・資産,脆弱性,脅威の可視性向上による状況認識の改善 - 脅威調査,脅威インテリジェンス,インシデント対応の改善
– Better compliance with regulatory measures.	・規制措置へのコンプライアンスの向上
– Greater access to production data. However, the deployment and use of new technologies in OT environments also comes at a cybersecurity cost. Often, new devices incorporate cybersecurity vulnerabilities that are not necessarily managed prior to their launch on the market. By introducing additional entry points for cyber threats, these new technologies expand the attack surface. Other cybersecurity challenges can arise from the use of inaccurate or flawed datasets to train algorithms and machine learning models.	・本番データへのアクセスの向上しかし,OT環境における新技術の導入と使用には,サイバーセキュリティのコストもかかる。多くの場合,新しいデバイスにはサイバーセキュリティの脆弱性が含まれており,それらは市場に投入される前に必ずしも管理されていない。サイバー脅威の新たな入り口を導入することで,これらの新技術は攻撃対象領域を拡大する。その他のサイバーセキュリティ上の課題は,アルゴリズムや機械学習モデルの訓練に不正確または欠陥のあるデータセットを使用することから生じる可能性がある。
To address these cybersecurity challenges, companies must review and adopt proper governance measures considering that existing cybersecurity controls and standards may not be applicable to the use of new technologies in OT.	これらのサイバーセキュリティの課題に対処するために、企業は、既存のサイバーセキュリティ管理および標準がOTにおける新技術の使用に適用できない可能性があることを考慮し、適切なガバナンス対策を見直し、採用しなければならない。
Finally, the introduction of new technologies needs a skilled talent pool that possesses an understanding of both traditional OT systems and sophisticated new digital solutions.	最後に、新技術の序文には、従来のOTシステムと洗練された新しいデジタルソリューションの両方を理解する熟練した人材が必要である。
Other measures that can help organizations address some of the cybersecurity issues arising from the adoption of new technologies in OT include:	組織が OT における新技術の採用から生じるサイバーセキュリティ上の問題のいくつかに対処するのに役立つその他の対策には、次のようなものがある：
– Developing a clear change management programme.	・明確な変更管理プログラムを策定する。
– Introducing network segmentation.	・ネットワーク・セグメンテーションを導入する。
– Implementing layered security controls to mitigate vulnerabilities.	・脆弱性を軽減するために,階層的なセキュリティ管理を導入する。
– Having accessible and updated documentation featuring cybersecurity best practices.	・サイバーセキュリティのベストプラクティスを記載した,アクセス可能で最新の文書を用意する。
The introduction of new security models such as zero trust is becoming increasingly relevant in the context of both old and new cybersecurity threats in OT. Research from 2022 shows that 88% of OT cybersecurity leaders in the US have already taken some steps to adopt zero trust.23 While the intent to deploy zero trust in OT may exist, successful implementation remains somewhat of a challenge due to a lack of internal knowledge, conflicting direction from leadership and lack of resources.	ゼロトラストのような新しいセキュリティモデルの序文は、OTにおける新旧両方のサイバーセキュリティ脅威の文脈で、ますます適切になってきている。2022 年の調査によると、米国の OT サイバーセキュリティリーダーの 88%が、ゼロトラストを採用するための何らかの措置をすでに講じている23 。OT にゼロトラストを導入する意図は存在するかもしれないが、社内の知識不足、リーダーシップからの相反する指示、リソースの不足のために、導入の成功はやや困難なままである。
In certain instances, implementation of zero trust in OT may require organizations to replace legacy technologies. Such an approach can prove expensive and disruptive. However, organizations can also deploy zero trust in such a way that no upgrades to existing technologies are needed.	場合によっては、OT におけるゼロトラストを実施するために、組織はレガシーテクノロジを置き換える必要があるかもしれない。このようなアプローチは、高価で破壊的であることがわかる。しかし、組織は、既存技術のアップグレードを必要としない方法でゼロトラストを導入することもできる。
To allow for effective application of zero trust across OT environments, organizations need to:	OT 環境全体でゼロトラストを効果的に適用できるようにするために、組織は以下を行う必要がある：
– Have good awareness of the overall security model and define zero trust practices in OT environments.	・全体的なセキュリティモデルについて十分な認識を持ち,OT環境におけるゼロトラストの実践を定義する。
– Secure top management approval and sponsorship.	・トップマネジメントの承認とスポンサーシップを確保する。
– Establish a clearly defined zero trust strategy and roadmap.	・明確に定義されたゼロトラスト戦略とロードマップを確立する。
– Decide on reasonable zones of zero trust deployment as opposed to total zero trust deployment.	・全面的なゼロトラスト展開とは対照的に,合理的なゼロトラスト展開ゾーンを決定する。
– Be careful about vendor selection and question the “silver bullet” of the product offering.	・ベンダーの選択には注意し、製品提供の「銀の弾丸」を疑うこと。
Conclusion	結論
Digitalization is transforming industrial environments in this era of IT/OT convergence. While the new business opportunities are clear, the threat of cyber risk expanding from connected environments and products is growing. Cyber incidents in the industrial ecosystem can have catastrophic economic, safety and environmental consequences.	IT/OT融合の時代において、デジタル化は産業環境を変革している。新たなビジネスチャンスは明らかだが、接続された環境や製品から拡大するサイバーリスクの脅威は増大している。産業エコシステムにおけるサイバーインシデントは、経済、安全、環境に壊滅的な結果をもたらす可能性がある。
With the industrial environment representing the bulk of operations in critical infrastructure organizations, ensuring a secure and cyber resilient OT environment is of paramount importance. Cyber leaders must adapt to the transforming industry as environments become more interconnected, digital and automated.	産業環境は重要インフラ組織におけるオペレーションの大部分を代表するため、安全でサイバーレジリエンスに優れたOT環境を確保することが最も重要である。サイバーリーダーは、環境がより相互接続され、デジタル化され、自動化されるにつれて変化する産業に適応しなければならない。
To improve OT environment security, the World Economic Forum in collaboration with partners from the electricity, manufacturing, and oil and gas industries, has developed a list of guiding principles. The adoption of these principles in the OT environment is imperative to cope with cybersecurity risks and enable the longer-term benefits of the digitalization of the OT environment.	OT環境のセキュリティを改善するために、世界経済フォーラムは、電力、製造、石油・ガス業界のパートナーと協力して、指導原則のリストを作成した。OT環境においてこれらの原則を採用することは、サイバーセキュリティリスクに対処し、OT環境のデジタル化による長期的なメリットを可能にするために不可欠である。
This should not be a plug-and-play exercise. It must be complemented with work in areas already embedded into the industry culture such as safety, and with significant investment in skills and in the workforce. Given the complex ecosystem, close collaboration and commitment from all public and private stakeholders across the industry is essential to ensure cyber resilience in the OT environment.	これは、プラグ・アンド・プレイであってはならない。安全性など、すでに業界文化に組み込まれている分野での取り組みや、スキルや労働力への多大な投資によって補完されなければならない。複雑なエコシステムを考えると、OT 環境のサイバーレジリエンスを確保するためには、業界全体の官民すべての利害関係者の緊密な協力とコミットメントが不可欠である。

Endnotes	注
1. Microsoft, “Secure your OT and IoT devices with Microsoft Defender for IoT and QuZara CyberTorch.” Microsoft Security Blog, 3 March 2022,	1. Microsoft, "Microsoft Defender for IoT と QuZara CyberTorch で OT デバイスと IoT デバイスを保護しよう". Microsoft Security Blog, 3 March 2022、
https://www.microsoft.com/en-us/security/blog/2022/03/03/secure-your-ot-and-iot-devices-withmicrosoft-defender-for-iot-and-quzara-cybertorch/.
2. Ribeiro, Anna, “CISA, DOE warn that hackers are gaining access to various internet-connected UPS devices.” Industrial Cyber, 30 March 2022,	2. Ribeiro, Anna, "CISA, DOE warn that hackers getting access to various internet-connected UPS devices." 2. Industrial Cyber, 30 March 2022、
https://industrialcyber.co/threats-attacks/cisa-doe-warn-that-hackers-are-gaining-access-tovarious-internet-connected-ups-devices/.
3. Microsoft, “Secure your OT and IoT devices with Microsoft Defender for IoT and QuZara CyberTorch.” Microsoft Security Blog, 3 March 2022,	3. マイクロソフト、"Microsoft Defender for IoT と QuZara CyberTorch で OT デバイスと IoT デバイスを保護しよう"。Microsoft Security Blog, 3 March 2022、
https://www.microsoft.com/en-us/security/blog/2022/03/03/secure-your-ot-and-iot-devices-withmicrosoft-defender-for-iot-and-quzara-cybertorch/.
4. Wood, Laura, “Global Industrial IoT (IIoT) Market Report 2023: Growing Demand for Connected Supply Chains and Operational Efficacy Flexibility Bolsters Sector.” GlobeNewswire, 27 March 2023,	4. Wood, Laura, "Global Industrial IoT (IIoT) Market Report 2023：コネクテッド・サプライ・チェーンに対する需要の高まりと運用効率の柔軟性がこのセクターを強化する。" GlobeNewswire, 27 March 2023、
https://www.globenewswire.com/en/ news-release/2023/03/27/2634574/28124/en/Global-Industrial-IoT-IIoT-Market-Report-2023-Growing-Demand-forConnected-Supply-Chains-and-Operational-Efficacy-Flexibility-Bolsters-Sector.html.
5. Microsoft, “Microsoft Releases Its Third Edition of Cyber Signals: Analyzing the Rise in Risks to Critical Infrastructure.” Microsoft News Center, 15 December 2022,	5. マイクロソフト、「マイクロソフト、サイバーシグナル第3版を発表：マイクロソフト、"Microsoft Releases Its Third Edition of Cyber Signals: Analyzing the Rise in Critical Infrastructure". Microsoft News Center, 15 December 2022、
https://news.microsoft.com/apac/2022/12/15/microsoft-releases-its-thirdedition-of-cyber-signals-analyzing-the-rise-in-risks-to-critical-infrastructure/.
6. “Everything You Need to Know to Defend Against ICS/OT Cyber Threats in 2023.” Dragos, 2022,	6. "Everything You Need to Know to Defend Against ICS/OT Cyber Threats in 2023". Dragos, 2022、
https://www.dragos. com/resource/everything-you-need-to-know-to-defend-against-ics-ot-cyber-threats-in-2023/.
7. Ayman, Alissa; Bacelar, Duarte; Braga, Duarte; Espirito Santo, Hugo; Boehm, Jim; Candina, Joana; Vieira, Benjamim and Richter, Wolf, “How to Enhance the Cybersecurity of Operational Technology Environments.” McKinsey & Company, 23 March 2023,	7. Ayman, Alissa; Bacelar, Duarte; Braga, Duarte; Espirito Santo, Hugo; Boehm, Jim; Candina, Joana; Vieira, Benjamim and Richter, Wolf, "How to Enhance the Cybersecurity of Operational Technology Environments". マッキンゼー・アンド・カンパニー、2023年3月23日、
https://www.mckinsey.com/capabilities/risk-and-resilience/our-insights/cybersecurity/how-to-enhancethe-cybersecurity-of-operational-technology-environments.
8. Ibid.	8. 同上。
9. Alvarez, Michelle; Carruthers, Stephanie; Chung, Joshua; Craig, Scott; Dwayer, John; Eitan, Ari; Emerson, Richard, et al., “X-Force Threat Intelligence Index 2022.” IBM, 2022,	9. Alvarez, Michelle; Carruthers, Stephanie; Chung, Joshua; Craig, Scott; Dwayer, John; Eitan, Ari; Emerson, Richard, et al., "X-Force Threat Intelligence Index 2022". IBM, 2022、
https://www.ibm.com/downloads/cas/ADLMYLAZ.
10. “The State of Industrial Cybersecurity.” Trend Micro, 2022,	10. "産業サイバーセキュリティの現状". トレンドマイクロ、2022年、
https://resources.trendmicro. com/rs/945-CXD-062/images/TR00_ICS_OT_Security_Survey_Report_220525US_web. pdf?mkt_tok=OTQ1LUNYRC0wNjIAAAGGekNqBDAktPQrDV926OIhJmPQxl2MkpwSxgbzWTff_ DQ5VrXKkTemgAFHrdNq9afwHbrYOrq6gsk8AY3w9mV1O6l882ppcgOseLezWIvC2wotTPV_OVNC.
11. Gartner, “Gartner Predicts By 2025 Cyber Attackers Will Have Weaponized Operational Technology Environments to Successfully Harm or Kill Humans.” 21 July 2021,	11. Gartner, "Gartner Predicts By 2025 Cyber Attackers Have Weaponized Operational Technology Environments to Successfully Harm or Kill Humans". 2021 年 7 月 21 日、
https://www.gartner.com/en/newsroom/press-releases/2021-07-21- gartner-predicts-by-2025-cyber-attackers-will-have-we.
12. SCADAfence, “SCADAfence Releases Results of Global Survey of IT and OT Cyber Security Professionals.” CISION PR Newswire, 14 July 2022,	12. SCADAfence, "SCADAfence Releases Results of Global Survey of IT and OT Cyber Security Professionals". CISION PR Newswire, 14 July 2022、
https://www.prnewswire.com/news-releases/scadafence-releases-results-of-global-survey-of-itand-ot-cyber-security-professionals-301586516.html.
13. “Everything You Need to Know to Defend Against ICS/OT Cyber Threats in 2023.” Dragos, 2022,	13. "Everything You Need to Know to Defend Against ICS/OT Cyber Threats in 2023". Dragos, 2022、
https://hub.dragos. com/hubfs/312-Year-in-Review/2022/Dragos_Year-In-Review-Infographic-2022.pdf?hsLang=en.
14. Guha, Debjyoti, “Operational Technology Security Is Compromised by Third-party Risk.” Skybox Security, 31 January 2022,	14. Guha, Debjyoti, "Operational Technology Security Is Compromised by Third-party Risk". Skybox Security, 31 January 2022、
https://www.skyboxsecurity.com/blog/operational-technology-security-compromised-thirdparty-risk/#:~:text=Research%20discovers%20that%20third%2Dparty,of%20OT%20security%20decision%2- 0makers.&text=A%20research%20study%20by%20Skybox,top%20three%20highest%20security%20risks.
15. “Understanding IEC 62443.” IEC, 24 February 2021,	15. "IEC62443を理解する". IEC, 24 February 2021、
https://www.iec.ch/blog/understanding-iec-62443.
16. Stouffer, Keith; Suzanne, Lightman; Victoria, Pillitteri; Marshal, Abrams and Adam, Hahn, “Guide to Industrial Control Systems (ICS) Security.” National Institute of Standards and Technology, 6 May 2015,	16. Stouffer, Keith; Suzanne, Lightman; Victoria, Pillitteri; Marshal, Abrams and Adam, Hahn, "Guide to Industrial Control Systems (ICS) Security". 国立標準技術研究所、2015年5月6日、
https://csrc.nist.gov/pubs/ sp/800/82/r2/final.
17. P. Theron and A. Lazari, “The IACS Cybersecurity Certification Framework (ICCF).” Joint Research Centre (JRC), April 2018,	17. P. Theron and A. Lazari, "The IACS Cybersecurity Certification Framework (ICCF)". Joint Research Centre (JRC), April 2018、
https://erncip-project.jrc.ec.europa.eu/sites/default/files/JRC111611_The_IACS_Cybersecurity_Certification_ Framework.pdf.
18. “NIST Cybersecurity Framework.” National Institute of Standards and Technology, 20 September 2022,	18. "NIST サイバーセキュリティフレームワーク". 国立標準技術研究所、2022 年 9 月 20 日、
https://www.nist. gov/itl/smallbusinesscyber/planning-guides/nist-cybersecurity-framework.
19. “Cybersecurity Capability Maturity Model (C2M2).” Carnegie Mellon University, June 2022,	19. "サイバーセキュリティ能力成熟度モデル（C2M2）". カーネギーメロン大学、2022 年 6 月、
https://www.energy.gov/sites/ default/files/2022-06/C2M2%20Version%202.1%20June%202022.pdf.
20. “Fortinet Global OT and Cybersecurity Survey: 75 percent of organizations experienced at least one unauthorized access to their OT environments in the last year.” Fortinet, 6 June 2023,	20. 「フォーティネットのグローバルOTとサイバーセキュリティに関する調査：組織の75%が過去1年間にOT環境への不正アクセスを少なくとも1回は経験している。" Fortinet, 6 June 2023、
https://www.fortinet.com/de/corporate/about-us/ newsroom/press-releases/2023/fortinet-global-report-finds-75-percent-ot-organizations-experienced-intrusion-last-year.
21. “Harnessing the Value of Generative AI.” Capgemini Research Institute, July 2023,	21. "Harnessing the Value of Generative AI". Capgemini Research Institute, July 2023、
https://prod.ucwe.capgemini.com/ wp-content/uploads/2023/07/Final-Web-Version-Report-Harnessing-the-Value-of-Gen-AI.1.pdf.
22. Ibid.	22. 同上。
23. “Securing Critical Infrastructure: The Journey to Zero Trust.” Xage, July 2022,	23. 「重要インフラの安全確保：ゼロ・トラストへの旅". Xage、2022年7月、
https://xage.com/wp-content/ uploads/2022/07/Xage-ZeroTrustReport-July-2022.pdf.

2023.11.24 09:11 in 情報セキュリティ / サイバーセキュリティ, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in 安全保障 | Permalink | Comments (0)
Tweet

世界経済フォーラム (WEF) 電力セクターにおけるサイバー規制のグローバルな相互運用性の促進 (2023.11.17)

こんにちは、丸山満彦です。

世界経済フォーラム (WEF)が、電力セクターにおけるサイバー規制のグローバルな相互運用性の促進に関する報告書を公表していますね。。。

島国の日本というよりも、大陸の国向けの話ですね。。。

ただ、The Systems of Cyber Resilienceの考え方は重要だと思います。。。

・2023-2030 Australian Cyber Security Strategy

・2023.11.17 Facilitating Global Interoperability of Cyber Regulations in the Electricity Sector

Facilitating Global Interoperability of Cyber Regulations in the Electricity Sector	電力セクターにおけるサイバー規制のグローバルな相互運用性の促進
This position paper on cybersecurity in the electricity sector advocates for interoperability among nations to cultivate a secure, resilient and standardized approach globally.	電力セクターにおけるサイバーセキュリティに関する本ポジションペーパーは、安全でレジリエンスに優れ、標準化されたアプローチをグローバルに展開するために、各国間の相互運用性を提唱するものである。
The evolution of technology has reshaped the electricity industry, ushering in smarter grids, integration of renewable energy and improved operational efficiencies. However, a new set of challenges has emerged, particularly in safeguarding these intricate systems from cyber threats. The increasing interdependencies among power systems across borders and the escalating sophistication of cyberattacks underscore the necessity of a harmonized, global approach to cybersecurity regulations in the electricity sector.	テクノロジーの進化は電力業界の形を変え、よりスマートな送電網、再生可能エネルギーの統合、業務効率の改善をもたらした。しかし、特にサイバー脅威からこれらの複雑なシステムを守る上で、新たな課題が浮上している。国境を越えた電力システム間の相互依存の高まりと、サイバー攻撃の高度化は、電力セクターにおけるサイバーセキュリティ規制の調和されたグローバルなアプローチの必要性を強調している。
The Systems of Cyber Resilience: Electricity initiative of the World Economic Forum has scrutinized the current landscape of cyber regulations to tackle existing gaps and complexities, and in this paper, proposes collective positions on behalf of the sector to standardize cybersecurity practices across diverse regulatory environments.	システムズ・オブ・サイバー・レジリエンス：世界経済フォーラムの「サイバー・レジリエンスのシステム：電力」イニシアチブは、既存のギャップと複雑性に取り組むため、サイバー規制の現状を精査し、本稿では、多様な規制環境全体でサイバーセキュリティの実践を標準化するため、セクターを代表して集団的な立場を提案する。

・[PDF]

目次...

Introduction	序文
1 Current state of affairs	1 現状
2 Importance of global regulatory interoperability	2 グローバルな規制の相互運用性の重要性
3 10 key themes for global regulatory interoperability	3 グローバルな規制の相互運用性に関する 10 の主要テーマ
4 Community position on the key themes	4 主要テーマに関するコミュニティの見解
Conclusion	結論
Contributors	協力者
Annex 1: Related publications	附属書1：関連出版物

Introduction	序文
In today’s interconnected world, the electricity sector stands as a cornerstone of societal functioning, powering industries, homes and critical infrastructure. As power systems go through rapid digital transformation, the critical link between cybersecurity and the energy landscape becomes increasingly evident. The need for global interoperability in cyber regulations in the electricity sector has become paramount.	今日の相互接続された世界において、電力部門は社会機能の要として、産業、家庭、重要インフラに電力を供給している。電力システムが急速なデジタル変革を遂げるにつれ、サイバーセキュリティとエネルギー状況の重要な関連性がますます明らかになっている。電力セクターのサイバー規制におけるグローバルな相互運用性の必要性は、最重要となっている。
The evolution of technology has significantly reshaped the electricity industry, ushering in smarter grids, integration of renewable energy and improved operational efficiencies. However, this evolution presents a new set of challenges, particularly in safeguarding these intricate systems from cyber threats. The increasing interdependencies among power systems across borders and the growing sophistication of cyberattacks underscore the importance of a harmonized, global approach to cybersecurity regulations in the electricity sector.	テクノロジーの進化は電力業界を大きく変貌させ、よりスマートな送電網、再生可能エネルギーの統合、運用効率の改善をもたらした。しかし、この進化は、特にサイバー脅威からこれらの複雑なシステムを保護する上で、新たな一連の課題を提示している。国境を越えた電力システム間の相互依存の高まりと、サイバー攻撃の巧妙化は、電力セクターにおけるサイバーセキュリティ規制の調和されたグローバルなアプローチの重要性を強調している。
This position paper from the Systems of Cyber Resilience: Electricity (SCRE) initiative aims to consolidate a cohesive stance from the electricity sector on cybersecurity. It advocates for interoperability among nations to cultivate a cybersecure, resilient and standardized approach around the world. By scrutinizing the current landscape of cyber regulations, the paper endeavours to tackle existing gaps and complexities while proposing collective positions to standardize cybersecurity practices across diverse regulatory environments. Its objective is to champion international cooperation, mutual understanding and the adoption of common standards to fortify the electricity sector against emerging cyber threats while encouraging innovation and growth.	本ポジションペーパーは、Systems of Cyber Resilience：電力（SCRE）イニシアティブのこのポジションペーパーは、サイバーセキュリティに関する電力セクターの一貫した姿勢をまとめることを目的としている。世界中でサイバーセキュリティ、レジリエンス、標準的なアプローチを育成するために、国家間の相互運用性を提唱している。サイバー規制の現状を精査することで、既存のギャップや複雑性に取り組むと同時に、多様な規制環境におけるサイバーセキュリティの実践を標準化するための集団的な立場を提案している。その目的は、イノベーションと成長を促しながら、新たなサイバー脅威に対して電力セクターを強化するために、国際協力、相互理解、共通標準の採用を支持することである。
Ultimately, this position paper strives to contribute to the ongoing discourse on harmonization of regulations to nurture a secure, interoperable and resilient global electricity ecosystem, ensuring a reliable and safe energy supply for the world’s population in an increasingly digitalized world.	最終的に、本ポジションペーパーは、安全で相互運用可能かつレジリエンスに優れた世界的な電力エコシステムを育成し、デジタル化が進む世界において、世界の人々のために信頼性が高く安全なエネルギー供給を確保するための規制の調和に関する現在進行中の議論に貢献することを目指している。
The Systems of Cyber Resilience: Electricity Initiative	サイバー・レジリエンスのシステム：電力イニシアティブ
Since 2018, the World Economic Forum’s Systems of Cyber Resilience: Electricity (SCRE) initiative has brought together representatives of over 60 electricity utilities, energy service providers, regulatory bodies and other pertinent organizations worldwide. Their efforts aim to achieve cooperation and fortify a cyber resilient electricity ecosystem. The SCRE stands out as the only global publicprivate partnership tailored for the electricity industry, where cybersecurity experts collaborate to enhance resilience across the electricity ecosystem.	2018年以来、世界経済フォーラムのSystems of Cyber Resilience：電力（SCRE）イニシアチブは、世界中の60以上の電力会社、エネルギー・サービス・プロバイダ、規制団体、その他の関連団体の代表者を集めている。彼らの努力は、協力を達成し、サイバーレジリエンスに強い電力エコシステムを強化することを目的としている。SCREは、サイバーセキュリティの専門家が電力エコシステム全体のレジリエンスを強化するために協力する、電力業界向けに調整された唯一のグローバルな官民パートナーシップとして際立っている。
“It is a great opportunity to create a collaborative environment, focused on increasing global cyber resilience, based on the sharing of information, on the development of common initiatives, on the definition of principles and the alignment around them by the main actors of our industry.”	「SCREは、情報の共有、共通のイニシアティブの開発、原則の定義に基づき、電力業界の主要な関係者が連携することで、世界的なサイバーレジリエンスの強化に焦点を当てた協力的な環境を構築する絶好の機会である。
Jesús Sánchez, Head of Global Cybersecurity, Naturgy	ヘスス・サンチェス、ナトゥルギー社グローバル・サイバーセキュリティ部門責任者
The Global Regulations Working Group	グローバル規制ワーキンググループ
In September 2022, the SCRE community had identified global regulatory interoperability in the electricity sector as one of its key focus areas, and had set up the Global Regulations working group towards this end.	2022年9月、SCREコミュニティは、電力セクターにおけるグローバルな規制の相互運用性を重要な重点分野のひとつと位置づけ、この目的のためにグローバル規制ワーキンググループを立ち上げた。
The working group addresses the intricate global regulatory challenges prevalent throughout the electricity sector, marked by fragmentation, inconsistency and sporadic conflicts. These regulatory barriers impede the attainment of global interoperability, resulting in increased costs, inefficiencies and missed opportunities. Resources are diverted to resolve regulatory issues rather than improving cybersecurity postures specific to the sector and its various organizations.	この作業部会は、断片化、矛盾、散発的な対立によって特徴づけられる、電力セクター全体に蔓延する複雑なグローバル規制の課題に取り組んでいる。このような規制上の障壁は、グローバルな相互運用性の達成を妨げ、コスト増、非効率、機会損失をもたらしている。リソースは、セクターやそのさまざまな組織に特有のサイバーセキュリティ態勢の改善よりも、規制上の問題の解決に振り向けられている。
1. Current state of affairs	1. 現状
Regulators and government agencies responsible for establishing cybersecurity requirements in various industries worldwide often adopt different approaches to tackle similar cybersecurity challenges due to the lack of a global consensus. This results in complex, industry-agnostic, fragmented, inconsistent and occasionally conflicting sets of regulations. These regulations not only lack mutual interoperability but actively hinder it. The dynamic nature of cybersecurity threats further compounds the problem as regulators frequently tighten regulations in response. This forces organizations to allocate their limited resources towards compliance rather than concentrating on bolstering their cybersecurity defences.	世界のさまざまな業界でサイバーセキュリティ要件の確立を担当するガバナンスや政府機関は、世界的なコンセンサスがないため、同様のサイバーセキュリティ課題に取り組むために異なるアプローチを採用することが多い。その結果、複雑で、業種にとらわれず、断片的で、一貫性がなく、時には矛盾する規制が生み出される。こうした規制は相互運用性を欠くだけでなく、積極的にそれを妨げている。サイバーセキュリティの脅威の動的な性質は、規制当局がそれに対応して頻繁に規制を強化するため、問題をさらに複雑にしている。このため、組織は限られたリソースをサイバーセキュリティ防御の強化に集中させるのではなく、コンプライアンスに振り向けざるを得なくなる。
Achieving regulatory interoperability may present challenges. Differences in cybersecurity standards, legal systems and national priorities among various jurisdictions can lead to conflicts and inconsistencies, making it difficult to establish and maintain interoperability over time. One notable challenge is the issue of data privacy laws, as different countries have unique data protection regulations tailored to their cultural, economic and political landscapes.	規制の相互運用性を実現するには、課題があるかもしれない。サイバーセキュリティの標準、法制度、国の優先事項がさまざまな法域で異なるため、矛盾や不整合が生じ、相互運用性の確立と長期的な維持が困難になる可能性がある。注目すべき課題の一つはデータプライバシー法の問題であり、国によって文化的、経済的、政治的景観に合わせた独自のデータ保護規制があるからである。
A similar challenge arises in incident reporting laws. For instance, some countries mandate the reporting of all data breaches, regardless of their severity, while others have thresholds for reporting based on the number of affected individuals or the level of harm. These differences can create difficulties in incident response and information sharing, particularly in cases where a breach spans multiple jurisdictions. Creating synergy among these diverse regulations is a complex and intricate process, especially given the rapid pace of digital innovation. This dynamic environment necessitates constant updates and revisions to ensure the regulations remain relevant and effective.	インシデント報告法にも同様の課題がある。例えば、重大性に関係なくすべてのデータ漏洩の報告を義務付けている国もあれば、影響を受けた個人の数や被害のレベルに応じて報告のしきい値を設けている国もある。このような違いは、特に情報漏えいが複数の管轄区域にまたがる場合、インシデント対応や情報共有に困難をもたらす可能性がある。これらの多様な規制の間で相乗効果を生み出すことは、特にデジタル革新の急速なペースを考えると、複雑で入り組んだプロセスである。このようなダイナミックな環境では、規制が適切かつ効果的であり続けるよう、常に更新や改定を行う必要がある。
Moreover, there is a pressing concern to ensure that regulatory interoperability does not compromise national security. Nations must strike a balance between the need for a collective cybersecurity front and the need to protect their individual interests and security.	さらに、規制の相互運用性が国家の安全保障を損なわないようにすることも急務である。各国は、集団的なサイバーセキュリティ前線の必要性と、個々の利益と安全保障を守る必要性との間でバランスを取らなければならない。
Despite the obstacles, solutions can be found. Initiatives such as working groups, international forums and collaborative agreements can play a pivotal role in promoting dialogue and establishing robust systems to monitor, evaluate and update regulatory frameworks. These mechanisms not only contribute to a more secure and resilient digital landscape but also foster innovation and growth.	障害はあるが、解決策は見つかる。ワーキンググループ、国際フォーラム、協力協定などのイニシアチブは、対話を促進し、規制の枠組みを監視、評価、更新する強固なシステムを確立する上で極めて重要な役割を果たすことができる。こうした仕組みは、より安全でレジリエンスに優れたデジタル環境の実現に貢献するだけでなく、イノベーションと成長の促進にもつながる。
Many regulators and government agencies have begun to recognize the need for regulatory harmonization and multiple efforts have been put into practice, such as the European Commission’s Cyber Resilience Act (CRA) and the White House Office of the National Cyber Director (ONCD)’s request for information (RFI) on cybersecurity regulatory harmonization.	多くの規制当局や政府機関が規制調和の必要性を認識し始めており、欧州委員会のサイバーレジリエンス法（CRA）やホワイトハウスの国家サイバー長官室（ONCD）のサイバーセキュリティ規制調和に関する情報提供要請（RFI）など、複数の取り組みが実践されている。
Simultaneously, several international dialogues are going on between states, such as the EU-US Cyber Dialogue, US-Japan Cyber Dialogue and FranceUnited Kingdom Cyber Dialogue, in addition to regulatory reciprocity schemes such as the EU-US Data Privacy Framework, Singapore Cybersecurity Labelling Scheme and APEC Cross-Border Privacy Rules (CBPR) system.	同時に、EU-米国サイバーダイアログ、日米サイバーダイアログ、フランス-英国サイバーダイアログなど、国家間の国際対話がいくつか行われており、EU-米国データプライバシーフレームワーク、シンガポールサイバーセキュリティラベル制度、APEC越境プライバシー規則（CBPR）制度などの規制相互主義制度もある。
While these efforts are in the right direction, they are far from achieving global interoperability and much work remains to be done by both the public and private sectors to build a more cyber resilient electricity ecosystem.	これらの努力は正しい方向にあるが、グローバルな相互運用性を達成するには程遠く、よりサイバーレジリエンスに強い電力エコシステムを構築するためには、官民両セクターによる多くの作業が残されている。
2. Importance of global regulatory interoperability	2. グローバルな規制の相互運用性の重要性
Aligning cybersecurity regulations globally ensures uniform cybersecurity practices, enabling companies operating across multiple regions to adhere to consistent standards. Harmonization reduces complexity and confusion, simplifying compliance efforts. Moreover, interoperability fosters enhanced collaboration and information sharing among various entities globally, facilitating joint efforts to combat cyber threats and exchange best practices.	サイバーセキュリティ規制をグローバルに整合させることで、統一されたサイバーセキュリティの実践が保証され、複数の地域で事業を展開する企業が一貫した標準を遵守できるようになる。相互運用性により、複雑さと混乱が緩和され、コンプライアンスへの取り組みが簡素化される。さらに、相互運用性により、世界各地のさまざまな事業体間の連携と情報共有が強化され、サイバー脅威との戦いやベストプラクティスの交換に向けた共同の取り組みが促進される。
A unified approach to cybersecurity regulations allows for a comprehensive understanding and management of risks, transcending different regions in the electricity industry. Standardizing regulations minimizes the complexity and costs of compliance for global corporations, eliminating the need to navigate a multitude of divergent regulations.	サイバーセキュリティ規制への統一的なアプローチにより、電力業界のさまざまな地域を超えて、リスクを包括的に理解しマネジメントすることが可能になる。規制を標準化することで、グローバル企業のコンプライアンスの複雑さとコストを最小限に抑え、多数の異なる規制をナビゲートする必要がなくなる。
Global interoperability also leads to more robust defence mechanisms against cyber threats by enabling standardized cybersecurity practices, bolstering overall cyber resilience. A harmonized regulatory landscape fosters a fair playing field, encouraging innovation and the development of new cybersecurity technologies, free from varying compliance requirements.	また、グローバルな相互運用性は、標準化されたサイバーセキュリティの実践を可能にすることで、サイバー脅威に対するより強固な防御メカニズムにつながり、全体的なサイバーレジリエンスを強化する。規制の調和は公平な競争の場を促進し、さまざまなコンプライアンス要件から解放されたサイバーセキュリティ技術の革新と発展を促す。
In a cyber incident with global implications, uniform regulations enable a coordinated and efficient response across multiple jurisdictions, significantly mitigating the impact of such incidents. Given the global spread of supply chains, being able to rely on shared prevention, mitigation, information sharing and incident response practices will lead to a more sustainable, cyber resilient ecosystem worldwide. Ultimately, regulatory interoperability for cybersecurity around the world is imperative to foster a more secure digital and physical environment. It can align standards, promote collaboration, reduce costs and effectively manage and respond to cyber threats worldwide.	グローバルな影響を及ぼすサイバーインシデントが発生した場合、統一された規制によって、複数の法域にまたがる協調的かつ効率的な対応が可能になり、そのようなインシデントの影響が大幅に低減される。サプライチェーンがグローバルに広がっていることを考えると、予防、低減、情報共有、インシデント対応のプラクティスを共有できることは、世界的により持続可能で、サイバーレジリエンスの高いエコシステムにつながる。最終的には、世界中のサイバーセキュリティに関する規制の相互運用性は、より安全なデジタルおよび物理的環境を促進するために不可欠である。これにより、標準を合わせ、協力を促進し、コストを削減し、世界中のサイバー脅威を効果的に管理し、対応することができる。
3. 10 key themes for global regulatory interoperability	3. グローバルな規制の相互運用性のための10の主要テーマ
After analysing multiple regulations, the community has identified 10 key global regulatory themes for regulators to consider.	複数の規制を分析した結果、コミュニティは、規制当局が検討すべき10の主要なグローバル規制テーマを特定した。
FIGURE 1. Key themes for facilitating global interoperability of cyber regulations	図 1. サイバー規制のグローバルな相互運用性を促進するための主要テーマ

1. Compliance and enforcement	1. コンプライアンスと執行
2. Data protection and privacy	2. データ保護とプライバシー
3. Information sharing	3. 情報共有
4. Incident response and reporting	4. インシデント対応と報告
5. Cybersecurity hygiene internal policies and procedures	5. サイバーセキュリティ衛生に関する社内方針と手順
6. Penetration testing	6. 侵入テスト
7. Vulnerability disclosure and management	7. 脆弱性の開示と管理
8. Risk assessment and management	8. リスクアセスメントとマネジメント
9. Third-party risk management	9. サードパーティリスク管理
10. Adoption of existing international standards versus creation of unique, national (or regional) standards	10. 既存の国際標準の採用か、独自の国内（または地域）標準の策定か。
4. Community position on the key themes	4. 主要テーマに関するコミュニティの見解
The SCRE Global Regulations working group has adopted the following positions on the 10 key global regulatory themes:	SCRE Global Regulations ワーキンググループは、10 の主要なグローバル規制テーマについて以下の立場を採択した：
1. Compliance and enforcement: Global commitment to prioritize cybersecurity best practices over compliance. This implies a shift in mindset. Instead of merely meeting regulatory requirements, the focus is on prioritizing cybersecurity measures and protocols, sometimes beyond what is mandated. This approach emphasizes a proactive stance in ensuring a high level of cybersecurity rather than just checking the boxes to comply with regulations.	1. コンプライアンスと執行：コンプライアンスよりもサイバーセキュリティのベストプラクティスを優先することを世界的に約束する。これは、考え方の転換を意味する。単に規制要件を満たすのではなく、サイバーセキュリティ対策やプロトコルを優先させることに重点を置く。このアプローチは、規制を遵守するために単にチェックボックスをチェックするのではなく、高いレベルのサイバーセキュリティを確保するための積極的な姿勢を強調するものである。
2. Data protection and privacy: Global commitment to support data protection and privacy regulations such as the General Data Protection Regulation (GDPR) of the European Union (EU). This commitment indicates a recognition of the importance of safeguarding sensitive information. Its ambit includes data privacy, ensuring the confidentiality, integrity and availability of data while aligning with the principles of privacy by design and default.	2. データ保護とプライバシー：欧州連合（EU）の一般データ保護規則（GDPR）のようなデータ保護とプライバシー規制を支持するグローバルなコミットメント。このコミットメントは、機密情報を保護することの重要性を認識していることを示している。その範囲にはデータプライバシーが含まれ、プライバシー・バイ・デザインとデフォルトの原則に沿いながら、データの機密性、完全性、可用性を確保する。
3. Information sharing: Global commitment to create and use a common information-sharing protocol and taxonomy worldwide, and to support the respective electricity information sharing and analysis centres (ISACs). Establishing a common information-sharing protocol and taxonomy globally is vital. It allows for consistent communication and collaboration among various stakeholders in the electricity sector, enhancing the ability to promptly identify and respond to threats. This commitment extends to supporting ISACs.	3. 情報共有：世界共通の情報共有プロトコルと分類法を作成・使用し、各電力の情報共有・分析センター（ISAC）を支援することを約束する。世界共通の情報共有プロトコルと分類法を確立することは極めて重要である。これによって、電力セクターのさまざまな利害関係者の間で一貫したコミュニケーションと協力が可能になり、脅威を迅速に特定し対応する能力が強化される。このコミットメントはISACの支援にも及ぶ。
4. Incident response and reporting: Global commitment to adopt a common and efficient international incident reporting taxonomy and requirements. This commitment would ensure a standardized approach to reporting cybersecurity incidents. Such a taxonomy facilitates a better and shared understanding of the nature and impact of incidents, enabling a coordinated and timely response both within and across borders.	4. インシデント対応と報告：共通かつ効率的な国際的インシデント報告分類法と要件を採用することを世界的に約束する。このコミットメントにより、サイバーセキュリティインシデントを報告するための標準化されたアプローチが確保される。このような分類法は、インシデントの性質と影響に関するより良い共通の理解を促進し、国内および国境を越えた協調的かつタイムリーな対応を可能にする。
5. Cybersecurity hygiene internal policies and procedures: Global commitment to establish basic cyber hygiene principles specific to the electricity sector. This commitment would provide for a foundational level of security across all operations, reducing vulnerabilities, enhancing overall resilience and promoting a cybersecurity culture.	5. サイバーセキュリティ衛生に関する内部の方針と手順：電力部門に特化したサイバー衛生の基本原則を確立するための世界的なコミットメント。このコミットメントは、すべての業務にわたって基礎的なレベルのセキュリティを提供し、脆弱性を低減し、全体的なレジリエンスを強化し、サイバーセキュリティ文化を促進する。
6. Penetration testing: Global commitment to regular internal penetration testing, which includes operational technology (OT) penetration testing. This allows for identifying and addressing potential weaknesses in systems and infrastructure, fortifying defences against cyber threats.	6. 侵入テスト：運用技術（OT）侵入テストを含む、定期的な内部侵入テストへのグローバルなコミットメント。これにより、システムやインフラの潜在的な弱点を特定して対処し、サイバー脅威に対する防御を強化することができる。
7. Vulnerability disclosure and management: Global commitment to sectorial vulnerability disclosure among closed groups of sectorspecific, pre-authorized entities. This would foster a secure environment for information sharing within closed groups, allowing for proactive resolution of vulnerabilities without risking widespread exposure.	7. 脆弱性の開示と管理：セクターごとに事前に認可された事業体のクローズドなグループ間で、セクターごとの脆弱性開示に世界的に取り組む。これにより、クローズドなグループ内での情報共有のための安全な環境が醸成され、広範なエクスポージャーのリスクを冒すことなく、脆弱性を事前に解決することが可能となる。
8. Risk assessment and management: Global commitment to applying risk assessment methodology consistently across information technology and operational technology environments. Applying consistent risk assessment methodology across IT and OT environments ensures a comprehensive understanding of potential risks, allowing for better-informed and timely decision-making regarding cybersecurity matters.	8. リスクアセスメントとマネジメント：情報技術（IT）および業務技術（IT）環境全体で一貫したリスクアセスメント手法の適用にグローバルに取り組む。IT 環境と OT 環境に一貫したリスクアセスメント手法を適用することで、潜在的なリスクを包括的に理解し、サイバーセキュリティに関する意思決定をより的確かつタイムリーに行うことができる。
9. Third-party risk management: Global commitment that every organization in the supply chain must consider and be responsible for the cybersecurity of its scope of work. This would ensure a comprehensive approach to managing and mitigating risks associated with third-party involvement, securing and embracing ecosystem-wide resilience in the electricity sector.	9. サードパーティリスクマネジメント：サプライチェーン内のすべての組織が、その業務範囲のサイバーセキュリティを検討し、責任を負わなければならないというグローバルなコミットメント。これにより、サードパーティの関与に関連するリスクを管理・低減する包括的なアプローチが確保され、電力セクターにおけるエコシステム全体のレジリエンスが確保され、包含されることになる。
10. Adoption of existing international standards versus creation of unique, national (or regional) standards: Global commitment to adoption of mature existing international standards such as ISO 27001 and the ISA/IEC 62443 series. Adopting existing international standards rather than creating unique regional standards would ensure a more universally accepted and harmonized approach to cybersecurity practices, leveraging established best practices. These standards should be updated when needed to allow for a harmonized approach to global regulations instead of frequent changes trying to account for evolving technologies and threats.	10. 既存の国際標準の採用と、各国（または地域）独自の標準の作成との比較： ISO 27001 や ISA/IEC 62443 シリーズなど、成熟した既存の国際標準の採用に世界的に取り組む。地域ごとに独自の標準を策定するのではなく、既存の国際標準を採用することで、確立されたベストプラクティスを活用したサイバーセキュリティの実践がより普遍的に受け入れられ、調和されたアプローチとなる。これらの標準は、進化する技術や脅威を考慮して頻繁に変更するのではなく、グローバルな規制に調和したアプローチを可能にするために、必要に応じて更新されるべきである。
Conclusion	結論
These collective commitments help regulators and other stakeholders in the electricity sector to share a common vision and understand what the electricity sector deems as important to be cyber resilient. Together, they embody the direction that the global community is heading towards.	これらの集団的なコミットメントは、規制当局と電力セクターの他の利害関係者が共通のビジョンを共有し、電力セクターがサイバーレジリエンスを高めるために何が重要だと考えているかを理解するのに役立つ。これらは共に、国際社会が目指す方向を体現している。
Achieving global interoperability of cybersecurity regulations in the electricity sector demands a significant shift in approach. This transformation involves prioritizing security measures over mere regulatory compliance, taking a proactive stance to bolster cybersecurity standards and ensuring a higher level of protection. It requires the establishment of consistent risk evaluations, uniform standards and shared responsibility throughout the supply chain to strengthen the cybersecurity structure of the sector.	電力セクターにおけるサイバーセキュリティ規制のグローバルな相互運用性を達成するには、アプローチの大幅な転換が必要である。この転換には、単なる規制遵守よりもセキュリティ対策を優先し、サイバーセキュリティ標準を強化するために積極的な姿勢をとり、より高いレベルの保護を確保することが含まれる。そのためには、一貫したリスク評価、標準の統一、サプライチェーン全体での責任分担を確立し、このセクターのサイバーセキュリティ体制を強化する必要がある。
Additionally, the adoption of international standards and the promotion of secure information-sharing environments play a critical role. These actions encourage collaboration, innovation and effective strategies for responding to incidents worldwide. Support for standardized data protection laws, such as GDPR, highlights the commitment to safeguarding sensitive information and ensuring its integrity and confidentiality.	さらに、国際標準の採用と安全な情報共有環境の促進も重要な役割を果たす。これらの行動は、世界的なインシデントに対応するための協力、革新、効果的な戦略を促進する。GDPRのような標準化されたデータ保護法の支持は、機密情報を保護し、その完全性と機密性を確保するというコミットメントを強調するものである。
Ultimately, the journey towards a more secure and robust electricity sector involves aligning regulations, fostering collaboration and streamlining endeavours across diverse jurisdictions. This collective endeavour not only mitigates cyber threats but also promotes innovation and coordinated response mechanisms, thus establishing a resilient and unified global cybersecurity approach within the electricity industry.	最終的に、より安全で堅牢な電力セクターを目指すには、規制を整え、協力を促進し、多様な管轄区域にまたがる努力を合理化する必要がある。この集団的な努力は、サイバー脅威を軽減するだけでなく、イノベーションと協調的な対応メカニズムを促進し、電力業界におけるレジリエンスと統一されたグローバルなサイバーセキュリティ・アプローチを確立する。

Annex 1: Related publications	附属書1：関連出版物
1. Cyber Resilience in the Electricity Ecosystems: Principles and Guidance for Boards	1. 電力エコシステムにおけるサイバーレジリエンス：理事会のための原則とガイダンス
https://www3.weforum.org/docs/WEF_Cyber_Resilience_in_the_Electricity_Ecosystem.pdf
2. Cyber Resilience in the Electricity Industry: Analysis and Recommendations on Regulatory Practices for the Public and Private Sectors	2. 電力業界におけるサイバーレジリエンス：官民セクターの規制慣行に関する分析と提言
https://www3.weforum.org/docs/WEF_Cyber_Resilience_in_the_Electricity_Ecosystem_Policy_ makers_2020.pdf
3. Cyber Resilience in the Electricity Ecosystems: Playbook for Boards and Cybersecurity Officers	3. 電力エコシステムにおけるサイバーレジリエンス：取締役会とサイバーセキュリティ・オフィサーのためのプレイブック
https://www3.weforum.org/docs/WEF_Cyber_Resilience_in_the_Electricity_Ecosystem_Playbook_for_ Boards_and_Cybersecurity_Officers_2020.pdf
4. Cyber Resilience in the Electricity Ecosystems: Securing the Value Chain	4. 電力エコシステムにおけるサイバーレジリエンス：バリューチェーンの確保
https://www3.weforum.org/docs/WEF_Securing_the_Electricity_Value_Chain_2020.pdf
5. European Commission’s Cybersecurity Package: Commentary in light of recent sophisticated supply chain attacks	5. 欧州委員会のサイバーセキュリティ・パッケージ：最近の高度なサプライチェーン攻撃を踏まえた解説
https://www3.weforum.org/docs/WEF_Commentary_in_light_of_recent_sophisticated_supply_chain_ attacks_2021.pdf
6. Response to the White House’s Request on Harmonizing Cybersecurity Regulations	6. サイバーセキュリティ規制の調和に関するホワイトハウスの要請への回答
https://www3. weforum.org/docs/WEF_Response_to_the_White_House%E2%80%99s_Request_on_Harmonizing_ Cybersecurity_Regulations_2023.pdf

2023.11.24 05:25 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in 安全保障 | Permalink | Comments (0)
Tweet

オーストラリア内務省 2023-2030 オーストラリアサイバーセキュリティ戦略と実行計画 (2023.11.22)

こんにちは、丸山満彦です。

オーストラリア政府の内務省 (Department of Home Affairs)が「2023-2030 オーストラリアサイバーセキュリティ戦略」を公表していますね...

この春に方針を公表し、意見募集をしていましたので、それを踏まえてまとめたものですね...

● Department of Home Affairs

プレス...

・2023.11.22 Discover the 2023-2030 Australian Cyber Security Strategy

Discover the 2023-2030 Australian Cyber Security Strategy	2023-2030年オーストラリア・サイバーセキュリティ戦略を知る
By 2030, Australia will be a world leader in cyber security.	2030年までに、オーストラリアはサイバーセキュリティの世界的リーダーになる。
We envisage a future where stronger cyber protections enable our citizens and businesses to prosper, and to bounce back quickly following a cyber attack.	私たちは、より強固なサイバー防御により、国民と企業が繁栄し、サイバー攻撃を受けても迅速に立ち直ることができる未来を描いている。
The new 2023-2030 Australian Cyber Security Strategy is the roadmap that will help realise this vision to improve our cyber security, manage cyber risks and better support citizens and small businesses to manage the cyber environment around them.	新しい「2023-2030年オーストラリア・サイバーセキュリティ戦略」は、このビジョンを実現するためのロードマップであり、サイバーセキュリティを改善し、サイバーリスクをマネジメントし、市民や中小企業が自分たちを取り巻くサイバー環境を管理するための支援を強化するためのものである。
The Strategy is game-changing for Australia’s cyber security.	この戦略は、オーストラリアのサイバーセキュリティを大きく変えるものである。
We are shifting cyber from a technical topic to a whole-of-nation endeavour, focusing on providing better support to civilians and industry. We are delivering tangible action on the cyber security issues that matter most to Australian communities and businesses. And we are harnessing the whole country to tackle cyber problems, enabled by stronger public-private partnerships.	我々は、サイバーを技術的なトピックから国全体の取り組みへとシフトさせ、民間人や産業界へのより良いサポートのプロバイダに焦点を当てている。我々は、豪州の地域社会や企業にとって最も重要なサイバーセキュリティ問題に対して具体的な行動を起こしている。また、官民パートナーシップの強化により、国を挙げてサイバー問題に取り組んでいる。
To achieve this vision, we need to protect Australians. We will do this with six cyber shields:	このビジョンを達成するためには、オーストラリア国民を保護する必要がある。我々は、6つのサイバー・シールドでこれを実現する：
1. Strong businesses and citizens	1. 強力な企業と市民
2. Safe technology	2. 安全なテクノロジー
3. World-class threat sharing and blocking	3. 世界レベルの脅威の共有と遮断
4. Protected critical infrastructure	4. 防御された重要インフラ
5. Sovereign capabilities	5. 主権的能力
6. Resilient region and global leadership.	6. レジリエンス地域とグローバル・リーダーシップ
The Australian Government and industry will work together to enhance the cyber shields and build our national cyber resilience.	オーストラリア政府と産業界は協力してサイバーシールドを強化し、国家のサイバーレジリエンスを構築する。
The Strategy and its Action Plan are now available at 2023-2030 Australian Cyber Security Strategy.	本戦略とその行動計画は、2023-2030年オーストラリア・サイバーセキュリティ戦略に掲載されている。

2023-2030 Australian Cyber Security Strategy	2023-2030年オーストラリア・サイバーセキュリティ戦略
On 22 November 2023, the Australian Government released the 2023-2030 Australian Cyber Security Strategy (13MB PDF) (the Strategy).	2023年11月22日、オーストラリア政府は2023-2030年オーストラリア・サイバーセキュリティ戦略（13MB PDF）（戦略）を発表した。
The Strategy is the roadmap that will help realise the Australian Government’s vision of becoming a world leader in cyber security by 2030.	同戦略は、2030年までにサイバーセキュリティで世界のリーダーになるというオーストラリア政府のビジョンを実現するためのロードマップである。
To achieve this vision, we need to protect Australians. Through the Strategy we seek to improve our cyber security, manage cyber risks and better support citizens and Australian businesses to manage the cyber environment around them. We will do this with six cyber shields.	このビジョンを達成するためには、オーストラリア国民を保護する必要がある。この戦略を通じて、我々はサイバーセキュリティを改善し、サイバーリスクをマネジメントし、市民とオーストラリアビジネスが自分たちを取り巻くサイバー環境を管理できるよう、よりよくサポートすることを目指している。我々はこれを6つのサイバー・シールドによって実現する。
Each shield provides an additional layer of defence against cyber threats and places Australian citizens and businesses at its core:	各シールドは、サイバー脅威に対する防御の追加レイヤーを提供し、オーストラリア国民と企業をその中核に据える：
1. Strong businesses and citizens	1. 強固な企業と市民
2. Safe technology	2. 安全なテクノロジー
3. World-class threat sharing and blocking	3. 世界レベルの脅威の共有と遮断
4. Protected critical infrastructure	4. 重要インフラの防御
5. Sovereign capabilities	5. 主権的能力
6. Resilient region and global leadership.	6. レジリエンスとグローバル・リーダーシップ
We envisage a future where stronger cyber protections enable our citizens and businesses to prosper, and to bounce back quickly following a cyber attack.	我々は、より強固なサイバー防御により、国民と企業が繁栄し、サイバー攻撃を受けても迅速に立ち直ることができる未来を描いている。
The Strategy is game-changing for Australia’s cyber security:	この戦略は、オーストラリアのサイバーセキュリティを大きく変えるものである：
・We are shifting cyber from a technical topic to whole-of-nation endeavour, focusing on providing better support to civilians and industry.	・私たちは、サイバーを技術的な話題から国家全体の取り組みへとシフトさせ、民間人や産業界へのより良いサポートのプロバイダに重点を置いている。
・We are delivering tangible action on the cyber security issues that matter most to Australian communities and businesses.	・豪州の地域社会や企業にとって最も重要なサイバーセキュリティ問題に対して、具体的な行動を起こしている。
・We are harnessing the whole country to tackle cyber problems, enabled by stronger public private partnerships.	・官民パートナーシップの強化により、国を挙げてサイバー問題に取り組む。
The 2023-2030 Australian Cyber Security Action Plan (2MB PDF) (the Action Plan) supplements the Strategy, and details the key initiatives that will commence over the next two years to put us on a path to achieving our vision.	2023-2030年オーストラリア・サイバーセキュリティ実行計画（PDF 2MB）（実行計画）は、戦略を補足するものであり、今後2年間に開始される主要な取り組みについて詳述し、我々のビジョン達成への道筋をつけるものである。
To implement the measures put forth in the Strategy, the Action Plan has been developed detailing the key initiatives that will commence across government over the next two years.	戦略で打ち出された対策を実施するため、アクションプランは、今後2年間に政府全体で開始される主要なイニシアチブを詳述して策定された。
Horizon 1, which focuses on strengthening Australia’s cyber security foundations, will address the critical gaps in Australia’s cyber shields to build strong businesses and citizens through deep partnerships across industry and government.	オーストラリアのサイバーセキュリティ基盤の強化に重点を置くホライズン1では、産業界と政府間の深いパートナーシップを通じて、オーストラリアのサイバーシールドにおける重大なギャップに対処し、強力な企業と市民を構築する。
The Australian Government and industry will work together to enhance the cyber shields and build our national cyber resilience.	オーストラリア政府と産業界は協力してサイバーシールドを強化し、国家のサイバーレジリエンスを構築する。
Consultation paper	コンサルテーション・ペーパー
Alongside the Strategy and Action Plan, Government has released a Consultation Paper to work directly with industry to inform proposed legislative reform on:	ガバナンスは、戦略および行動計画と並行して、産業界と直接協力し、以下のような法改正案について情報を提供するためのコンサルテーション・ペーパーを発表した：
・new initiatives to address gaps in existing laws	・既存の法律のギャップに対処するための新たな取り組み
・amendments to the Security of Critical Infrastructure Act 2018 to strengthen protections for critical infrastructure.	・重要インフラの防御を強化するための重要インフラ安全保障法（Security of Critical Infrastructure Act 2018）の改正。
This consultation is a clear step towards the Australian Government’s commitment to shepherding a new era of genuine public-private co-leadership to enhance Australia’s cyber security and resilience.	このコンサルテーションは、オーストラリアのサイバーセキュリティとレジリエンスを強化するための真の官民共同リーダーシップの新時代を先導するというオーストラリア政府のコミットメントに向けた明確な一歩である。
The consultation period will run until March 2024.	協議期間は2024年3月までである。
Public consultation on the Strategy	戦略に関する公開協議
The Strategy discussion paper, released 27 February 2023, sought your views on the future of Australian cyber security. Submissions to the discussion paper closed on 15 April 2023. During public consultation on the Strategy, the Government consulted over 700 stakeholders and received over 330 submissions to the Discussion Paper to inform the development of the Strategy.	2023年2月27日に発表された戦略ディスカッションペーパーでは、オーストラリアのサイバーセキュリティの将来について意見を求めた。ディスカッション・ペーパーへの提出は2023年4月15日に締め切られた。戦略に関するパブリックコンサルテーションの期間中、政府は700を超えるステークホルダーと協議し、戦略の策定に役立てるため、ディスカッションペーパーに対して330を超える提出を受けた。
To view the discussion paper and public submissions, see 2023-2030 Australian Cyber Security Strategy Discussion Paper.	ディスカッション・ペーパーと一般からの提出物は、2023-2030年オーストラリア・サイバーセキュリティ戦略ディスカッション・ペーパーを参照のこと。

戦略

・[PDF]

・[DOCX][PDF] 仮訳

実行計画

・[PDF]

参考各国のサイバーセキュリティ戦略

■ EUの場合

● European Commission

・2020.12.16 The EU’s Cybersecurity Strategy for the Digital Decade

・[PDF] JOINT COMMUNICATION TO THE EUROPEAN PARLIAMENT AND THE COUNCIL - The EU's Cybersecurity Strategy for the Digital Decade

・2020.12.16 The EU's Cybersecurity Strategy in the Digital Decade

・[PDF] Factsheet

■ ドイツの場合

● Bundesministerium des Innern, für Bau und Heimat

プレス

・2021.09.08 (press) Cybersicherheitsstrategie für Deutschland 2021 beschlossen

戦略本文

・[PDF] Cybersicherheitsstrategie für Deutschland 2021

■ オランダの場合

・2022.10.10 Kabinet presenteert nieuwe cybersecuritystrategie

● 戦略

・2022.10.10 Nederlandse Cybersecuritystrategie 2022 - 2028

・[PDF]

● 活動計画 2022-2023

・2022.10.10 Actieplan Nederlandse Cybersecuritystrategie 2022 - 2023

・[PDF]

■ UKの場合

● National Cyber Security Centre

・2021.12.15 (news) Government publishes blueprint to protect UK from cyber threats

・2021.12.15 Policy paper National Cyber Strategy 2022

・[heml] National Cyber Strategy 2022

・[PDF] National Cyber Strategy 2022

・日本語訳 [Downloded]

■ U.S. の場合

・2023.03.02 FACT SHEET: Biden-⁠Harris Administration Announces National Cybersecurity Strategy

・[PDF] National Cybersecurity Strategy

・2018.09.20 President Trump Unveils America’s First Cybersecurity Strategy in 15 Years

・[PDF] NATIONAL CYBER STRATEGY of the United States of America

・仮訳 [DOCX]

■ 日本の場合

● 内閣官房 - サイバーセキュリティセンター - サイバーセキュリティ戦略本部

・2021.09.28 [PDF] サイバーセキュリティ戦略

・2023.07.04 サイバーセキュリティ戦略本部第３６回会合

[PDF] サイバーセキュリティ2023

・2022.06.17 サイバーセキュリティ戦略本部第３４回会合

・2021.09.27 第31回会合

[PDF] 報道発表資料
[PDF] サイバーセキュリティ2021

🔳オーストラリアの場合

● AU - Department of Home Affairs - Cyber security - Strategy

・2023.11.22 [PDF]

実行計画

・2023.11.22 [PDF]

・2020.08.06 [PDF] AUSTRALIA’S CYBER SECURITY STRATEGY 2020

2016年の前回のバージョン

・[PDF] Australia's Cyber Security Strategy」

■ 中国の場合

● 中央网络安全和信息化委员会办公室 (Cyberspace Administration of China)

プレス発表

戦略全文

・2016.12.27 国家网络空间安全战略

・英語訳

　・2016.12.27 National Cyberspace Security Strategy

■ ロシアの場合（NATO CCDCOEの論文）

● NATO CCDCOE

・2020 [PDF] The Past, Present, and Future of Russia’s Cyber Strategy and Forces by Bilyana Lilly and Joe Cheravitch

■ インドの場合

● Data Security Council of India

・2020.08.15 [PDF] National Cyber Security Strategy 2020

■ シンガポールの場合

● Cyber Security Agency of Singapore

・2021.10.05 Singapore Updates National Cybersecurity Strategy

・The Singapore Cybersecurity Strategy 2021

・[PDF]

◾️ 韓国

2019年の国家サイバーセキュリティ戦略

・韓国語 [PDF] 국가사이버안보전략

・英語 [PDF] National Cyberseuciry Strategy

● まるちゃんの情報セキュリティきまぐれ日記

・2023.05.21 オーストラリア情報保護室による「2023-2030年サイバーセキュリティ戦略ディスカッションペーパー」への意見提出

2023.11.24 00:00 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 法律 / 犯罪, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in 安全保障 | Permalink | Comments (0)
Tweet

2023.11.23

NIST NIST SP 800-140B Rev. 1 暗号モジュール検証プログラム（CMVP）セキュリティポリシー要件： ISO/IEC 24759 及び ISO/IEC 19790 附属書 B に対する CMVP 検証機関

こんにちは、丸山満彦です。

NISTの暗号モジュール検証プログラムのセキュリティポリシー要件についてのSPの改訂です。。。

● NIST - ITL

・2023.11.17 NIST SP 800-140B Rev. 1 Cryptographic Module Validation Program (CMVP) Security Policy Requirements: CMVP Validation Authority Updates to ISO/IEC 24759 and ISO/IEC 19790 Annex B

NIST SP 800-140B Rev. 1 Cryptographic Module Validation Program (CMVP) Security Policy Requirements: CMVP Validation Authority Updates to ISO/IEC 24759 and ISO/IEC 19790 Annex B	NIST SP 800-140B Rev. 1 暗号モジュール検証プログラム（CMVP）セキュリティポリシー要件： ISO/IEC 24759 及び ISO/IEC 19790 附属書 B に対する CMVP 検証機関
Abstract	概要
NIST Special Publication (SP) 800-140Br1 is to be used in conjunction with ISO/IEC 19790 Annex B and ISO/IEC 24759 section 6.14. The special publication modifies only those requirements identified in this document. SP 800-140Br1 also specifies the content of the information required in ISO/IEC 19790 Annex B. As a validation authority, the Cryptographic Module Validation Program (CMVP) may modify, add, or delete Vendor Evidence (VE) and/or Test Evidence (TE) specified under paragraph 6.14 of the ISO/IEC 24759 and specify the order of the security policy as specified in ISO/IEC 19790:2012 B.1.	NIST 特別刊行物 (SP) 800-140Br1 は、ISO/IEC 19790 附属書 B および ISO/IEC 24759の6.14項とともに使用される。SP 800-140Br1 は、ISO/IEC 19790 附属書 B 及び ISO/IEC 24759 セクション 6.14 とともに使用される。SP 800-140Br1 は、ISO/IEC 19790 附属書 B で要求される情報の内容も規定している。検証機関として、暗号モジュール検証プログラム（CMVP）は、ISO/IEC 24759 の 6.14 項で規定されるベンダーエビデンス（VE）および／またはテストエビデンス（TE）を修正、追加、または削除し、ISO/IEC 19790:2012 B.1 で規定されるセキュリティポリシーの順序を指定することができる。"

・[PDF] SP.800-140Br1

目次...

1. Introduction	1. 序文
1.1. Scope	1.1. 適用範囲
1.2. Normative References	1.2. 規範となる参考文献
2. Document Organization	2. 文書の構成
2.1. General	2.1. 一般事項
2.2. Modifications	2.2. 変更点
3. Security Requirements	3. セキュリティ要件
3.1. Changes to ISO/IEC 24759 Section 6.14 and ISO/IEC 19790 Annex B Requirements	3.1. ISO/IEC 24759セクション6.14及びISO/IEC 19790附属書Bの要求事項の変更
3.2. Documentation Requirement Additions	3.2. 文書化要件の追加
3.3. Documentation Input, Structure, and Formatting	3.3. 文書入力、構造、フォーマット
Appendix A. Document Revisions	附属書 A. 文書の改訂
Appendix B. List of Symbols, Abbreviations, and Acronyms	附属書 B. 記号、略語、頭字語のリスト

SP800-140の現状...

2020.03.20	Final	SP800-140	FIPS 140-3 Derived Test Requirements (DTR): CMVP Validation Authority Updates to ISO/IEC 24759	FIPS 140-3 派生テスト要件（DTR）： ISO/IEC 24759に対するCMVP検証認可の更新
2020.03.20	Final	SP800-140A	CMVP Documentation Requirements: CMVP Validation Authority Updates to ISO/IEC 24759	CMVP 文書要件： CMVP 検証権限 ISO/IEC 24759 への更新
2023.11.17	Final	SP800-140B Rev. 1	Cryptographic Module Validation Program (CMVP) Security Policy Requirements: CMVP Validation Authority Updates to ISO/IEC 24759 and ISO/IEC 19790 Annex B	暗号モジュール検証プログラム（CMVP）セキュリティポリシー要件：CMVP 検証機関は、ISO/IEC 24759 に更新する： ISO/IEC 24759 及び ISO/IEC 19790 附属書 B に対する CMVP 検証認可の更新
2023.07.25	Final	SP800-140C Rev. 2	Cryptographic Module Validation Program (CMVP)-Approved Security Functions: CMVP Validation Authority Updates to ISO/IEC 24759	暗号モジュール検証プログラム（CMVP）承認セキュリティ機能： ISO/IEC 24759 に対する CMVP 検証認可の更新
2023.07.25	Final	SP800-140D Rev. 2	Cryptographic Module Validation Program (CMVP)-Approved Sensitive Security Parameter Generation and Establishment Methods: CMVP Validation Authority Updates to ISO/IEC 24759	暗号モジュール検証プログラム（CMVP）-承認されたセンシティブ・セキュリティ・パラメータ生成及び確立方法： ISO/IEC 24759 に対する CMVP 検証機関の更新情報
2020.03.20	Final	SP800-140E	CMVP Approved Authentication Mechanisms: CMVP Validation Authority Requirements for ISO/IEC 19790 Annex E and ISO/IEC 24579 Section 6.17	CMVPが承認した本人認証メカニズム： ISO/IEC 19790 附属書 E および ISO/IEC 24579 セクション 6.17 に対する CMVP 検証機関の要件
2020.03.20	Final	SP800-140F	CMVP Approved Non-Invasive Attack Mitigation Test Metrics: CMVP Validation Authority Updates to ISO/IEC 24759	CMVP承認非侵襲攻撃低減テストメトリクス： ISO/IEC 24759 に対する CMVP 検証機関のアップデート
2021.08.20	Draft	SP800-140F Rev. 1	CMVP Approved Non-Invasive Attack Mitigation Test Metrics: CMVP Validation Authority Updates to ISO/IEC 24759	CMVPは、非侵襲的攻撃軽減テスト指標を承認した： CMVP 検証機関の ISO/IEC 24759 への更新

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.08.01 米国 NIST SP800-140C Rev. 2 CMVP 承認されたセキュリティ機能、 SP800-140D Rev.2 CMVP 承認された機密セキュリティー・パラメーターの生成及び確立方法

・2022.10.25 NIST SP 800-140B Rev. 1 (Draft) CMVP セキュリティポリシー要求事項 ISO/IEC 24759 および ISO/IEC 19790 附属書 B に対する CMVP 検証権限の更新（第2次公開草案）

・2022.05.25 NIST SP 800-140C Rev.1 CMVP 承認されたセキュリティ機能：ISO/IEC 24759 に対する CMVP 検証機関に関する更新、SP 800-140D Rev.1 CMVP 承認のセンシティブパラメーター生成及び確立方法：ISO/IEC 24759 に対する CMVP 検証機関の更新

・2022.05.14 NIST SP 800-140B Rev.1（ドラフト）CMVP セキュリティポリシー要件：ISO/IEC 24759 及び ISO/IEC 19790 附属書Bに対する CMVP検証権限の更新

・2022.02.12 NIST SP 800-140D Rev.1（ドラフト）CMVP認定済みのセンシティブパラメータ生成・確立方法：ISO/IEC 24759に対するCMVP検証機関のアップデート（第2稿）

・2022.02.12 NIST SP 800-140C Rev.1（ドラフト）CMVP認定済みのセキュリティ機能: ISO/IEC 24759に対するCMVP検証機関の更新（第2稿）

・2020.03.21 NIST SP 800-140 FIPS 140-3 Derived Test Requirements (DTR): CMVP Validation Authority Updates to ISO/IEC 24759

2023.11.23 07:28 in 情報セキュリティ / サイバーセキュリティ, in 暗号 / 電子署名 / ブロックチェーン | Permalink | Comments (0)
Tweet

米国財務省世界最大の仮想通貨取引所バイナンス社に対しマネーロンダリング防止法および制裁法違反で和解　和解額43億ドル()yaku

こんにちは、丸山満彦です。

財務省と世界最大の仮想通貨取引所バイナンス社 [wikipedia] がマネーロンダリング防止法および制裁法違反の件について違反金を約43億ドル（約6,400億円）支払うということで和解したようですね。。。

金融犯罪取締ネットワーク（Financial Crimes Enforcement Network：FinCEN）との和解額は34億ドル。外国資産管理局（Office of Foreign Assets Control：OFAC）の罰金は9億6800万ドル。

バイナンス社は、Wikipediaを見ている限り、法律を守らずにやってきた感じですよね。。。創設者で元CEOの趙昌鵬 (Changpeng Zhao) [wikipedia] は中国出身者で今はカナダ国籍のようですね。。。

業界トップがこういう状況では、産業として発展するのは難しいようにおもいますが、今回の件で、業界をリードするくらいの状況になれば、変わる可能性はありますね。。。

ランサムウェアの身代金として得たお金を渡してはならない人にも渡していたようですから、今回の件で、ランサムウェアを含む犯罪が減少することになればより良いですよね。。。

財務省のウェブページ

● U.S. DEPARTMENT OF THE TREASURY

・2023.11.21 U.S. Treasury Announces Largest Settlements in History with World’s Largest Virtual Currency Exchange Binance for Violations of U.S. Anti-Money Laundering and Sanctions Laws

金融犯罪取締ネットワーク

● Financial Crimes Enforcement Network：FinCEN

・enforcement-actions

・[PDF] In the Matter of Binance Holdings Limited, et. al. d/b/a Binance and Binance.com

外国資産管理局

● Office of Foreign Assets Control：OFAC

和解合意書

・2023.11.21 [PDF] SETTLEMENT AGREEMENT

・2023.11.21 Settlement Agreement between the U.S. Department of the Treasury’s Office of Foreign Assets Control and Binance Holdings, Ltd.

司法省

● Department of Justice - Deputy Attorney General News

・2023.11.21 VIDEO Binance and CEO Plead Guilty to Federal Charges in $4B Resolution

・2023.11.21 Binance and CEO Plead Guilty to Federal Charges in $4B Resolution

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.07.29 米国 GAO 暗号資産の包括的な監視を確保するために立法と規制措置が必要である (2023.07.23)

・2023.07.18 金融安定理事会 (FSB) 暗号資産とステーブルコインに関するグローバルな規制枠組みを最終決定

・2023.04.27 EU 議会暗号資産に関する法案を承認

・2023.03.29 米国司法省 30億ドル以上の違法取引を処理したダークネット暗号通貨ミキサーのテイクダウンに成功 (2023.03.15)

・2023.01.04 世界経済フォーラム (WEF) 暗号通貨の未来はこうなる

・2022.12.03 Interpol サイバー化された金融犯罪：インターポールの世界的な警察活動で1億3,000万米ドル（175億円）を阻止 (2022.11.24)

・2022.10.15 警察庁金融庁 NISC 北朝鮮当局の下部組織とされるラザルスと呼称されるサイバー攻撃グループによる暗号資産関連事業者等を標的としたサイバー攻撃について（注意喚起）

・2022.10.12 金融安定理事会 (FSB) 暗号資産活動の国際的規制の枠組みの提案

・2022.09.21 米国デジタル資産の責任ある開発に関する包括的フレームワーク (2022.09.16)

・2022.08.01 金融庁寄稿暗号資産交換所ビジネスの現状とモニタリングの方向性（金融財政事情 2022.05.17）

・2022.04.12 金融庁「マネー・ローンダリング・テロ資金供与・拡散金融対策の現状と課題」（2022年3月）(2022.04.08)

・2022.03.18 米国 FBIが新たに仮想資産課 (VAU) を設立...

・2022.03.10 米国デジタル資産の責任ある開発を確保するための大統領令

・2022.03.03 米国司法省タスクフォース KleptoCapture （ロシアの資金源を断つ？）

・2023.08.09 ロシアデジタル・ルーブルのロゴ

・2023.07.13 ロシアデジタル・ルーブル

・2023.07.04 世界経済フォーラム (WEF) 中央銀行デジタル通貨 (CBDC) グローバル相互運用性原則

・2023.07.01 欧州委員会デジタルユーロの立法案

・2022.04.04 米国デジタル・ドルができる？ H.R. 7231 電子通貨および安全なハードウェア（ECASH）法案

・2021.12.13 中国第14次5カ年計画デジタル経済開発計画

・2021.07.15 国際決済銀行 (BIS) ・国際通貨基金 (IMF) ・世界銀行国際決済のための中央銀行デジタル通貨 (CBDC) に関するG20への報告書

2023.11.23 01:23 in 法律 / 犯罪, in 内部統制 / リスクマネジメント, in 暗号 / 電子署名 / ブロックチェーン | Permalink | Comments (0)
Tweet

ENISA 2024年のEU議会議員選挙に向けたサイバー演習

こんにちは、丸山満彦です。

2024年はEU議会議員選挙に向けて、各国およびEUのパートナーは、欧州の選挙に影響を及ぼす可能性のあるサイバーセキュリティ・インシデントに対する危機管理計画と対応策をテストしたようですね。。。

米国でも選挙は重要インフラとして保護の対象となっていますね。。。日本って選挙は基幹インフラに含まれていたっけ？？？

さて、ENISAによる演習では、潜在的なサイバー脅威やインシデントを想定したさまざまなシナリオに基づき、以下のことを実施したようですね。。。

他の利害関係者（政党、選挙運動組織、関連IT機器のサプライヤーなど）の意識レベルの評価も含め、欧州選挙における重要な側面のレベルについて知識を深める；
国家レベルの関連当局（選挙当局、サイバーセキュリティ当局、コンピュータセキュリティインシデント対応チーム（CSIRT）、データ保護当局（DPA）、偽情報問題に対処する当局などのその他の関連機関・機関、およびデジタルサービス法（DSA）の施行を担当する欧州委員会のサービスなどのEUレベルの関連機関・機関を含む）間の協力を強化する；
既存のEU加盟国が、欧州選挙のサイバーセキュリティに関するリスクを適切に評価し、状況認識を迅速に展開し、国民への情報伝達を調整する能力を有していることを検証する；
既存の危機管理計画や、サイバーセキュリティ攻撃や偽情報キャンペーンを含むハイブリッドな脅威を予防、検知、管理、対応するための関連手順をテストする；
その他すべての潜在的なギャップを特定し、欧州議会選挙に先駆けて実施すべき適切なリスク軽減策を特定する。

詳細はわかりませんが、偽情報についても触れられているので、そういうことも含めて対応の訓練をしたのかもしれませんね。。。

● ENISA

・2023.11.21 EU cybersecurity exercise: foster cooperation, secure free and fair EU elections

関連情報

欧州選挙に関する詳細情報
サイバー演習
AIによる情報操作の台頭で危機に瀕するEUの選挙
2023.10.16 EU Elections at Risk with Rise of AI-Enabled Information Manipulation

選挙関係。。。

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.11.14 スイス ETH Zürich ハイブリッド戦争の評価：事実と虚構を分ける

・2023.10.26 ENISA 脅威状況2023 - AIによる情報操作の台頭でEUの選挙がリスクにさらされる

・2023.09.20 ENISA 2030の脅威の展望 (2023.09.13)

・2023.08.25 シンガポール CSR 大統領選に向け立候補者、有権者、それぞれに向けてサイバー関連の注意喚起

・2023.08.07 米国 MITRE グローバル民主主義への脅威

・2023.06.07 ドイツ電子投票システムのプロテクションプロファイル、非政治的な選挙を実施するためのITセキュリティ要件についての技術ガイド

・2023.04.05 米国政府による監視技術の使用に関する指導原則　権威主義的な政権に対抗するための民主主義を肯定する検閲防止技術を推進するための米国政府官民の呼びかけ (2023.03.30)

・2023.04.04 米国ファクトシート：「民主主義のための技術の進歩」と「バイデン-ハリス政権の国内外における民主主義の再生への揺るぎないコミットメント」 (2023.03.29)

・2023.04.04 ENISA 先見の明 2030年に向けたサイバーセキュリティの脅威 (2023.03.29)

米国のサイバー軍が守る対象の中には、選挙システムがありますね。。。

・2023.03.13 サイバー軍ポール・M・ナカソネ将軍の姿勢表明

米国のサイバー戦略にも選挙はでてきますね。。。

・2023.03.04 米国国家サイバーセキュリティ戦略を発表

米国のCISAにもサイバー軍の成果として選挙の保護がありますね。。。

・2023.01.17 米国 CISA 2022年の振り返り (2023.01.12)

・2023.01.03 米国サイバー司令部の2022年

・2022.10.11 米国 FBI 中間選挙を前にサイバーセキュリティについて議論

・2022.09.21 米国 CISA 戦略計画 2023-2025

・2022.08.27 米国サイバー司令部：米サイバー軍とNSAは中間選挙をどう守るか。一つのチーム、一つの戦い

・2022.08.26 スイス ETH Zürichsで公表されている最近のサイバー作戦、サイバー攻撃等、サイバー関連の最近の記事、論文

・2022.08.14 米国国土安全保障省監察官室国土安全保障省は偽情報キャンペーンに対する統一的な戦略が必要

・2022.04.06 第117回米国連邦議会におけるポール・M・ナカソネ米サイバー軍司令官の姿勢表明

・2022.03.03 笹川平和財団「我が国のサイバー安全保障の確保」事業　政策提言 "外国からのディスインフォメーションに備えを！～サイバー空間の情報操作の脅威～" (2022.02.07)

・2021.12.16 CISA 新しいサイバーセキュリティ諮問委員会の設立会合を開催（委員長等の選任と５つの小委員会の設立）

ドイツのサイバーセキュリティ戦略にも選挙システムは記載されていますね。。。

・2021.09.26 独国サイバーセキュリティ戦略2021 at 2021.09.08

・2021.05.03 U.S. CISA 偽情報・誤情報の脅威とその対応方法についての（いかにもアメリカンな）漫画

・2021.03.30 NISTIR 8310 (Draft) サイバーセキュリティフレームワーク(CSF) 選挙インフラのプロファイル

・2020.08.20 FBIロサンゼルスは、選挙の安全性と海外の悪質な影響力について市民を教育するための全国メッセージングキャンペーンに参加

2023.11.23 00:00 in 情報セキュリティ / サイバーセキュリティ, in AI/Deep Learning, in 安全保障 | Permalink | Comments (0)
Tweet

2023.11.22

COSO 不正リスク管理ガイド第2版

こんにちは、丸山満彦です。

COSOが不正リスク管理ガイド第2版を公表していましたね。。。2016年に初版が公開されて第2版ということになりますね。。。要旨が無料で読めます。。。

個人情報や機密情報漏えいの観点からいえば、組織内部の人が情報漏えいに加担しているケースなどは、不正リスクということも言えますね。特に正式なアクセス権を持っている人がそれを行う場合は、通常の予防的コントロールがあまり効かないので、それ以外の手法、例えば発見的統制、また、それによる抑止効果なども含めて、複層的に考える必要がありますね。。。

この分野は、長い歴史を持つ、公認会計士の経験が生きる分野だろうと思います...

● COSO

・The Fraud Risk Management Guide: 2nd Edition

・[PDF]

The Ever-Present Risk of Fraud and its Costs	常に存在する不正のリスクとそのコスト
All organizations are subject to fraud risks. Some organizational leaders may question whether the benefits derived from implementing and maintaining a Fraud Risk Management Program outweigh the costs. This Guide demonstrates why the answer to that question is Yes, and provides help in implementing such a program.	すべての組織は不正リスクにさらされている。組織のリーダーの中には、不正リスク管理プログラムを実施・維持することで得られる便益がコストを上回るかどうか疑問に思う人もいるかもしれない。本ガイドは、その疑問に対する答えが「イエス」である理由を示し、そのようなプログラムを実施する際の支援を提供する。
Publicized fraudulent behavior by key executives, other employees, and outsiders repeatedly demonstrate the reality of this ever-present risk and how it negatively impacts reputations, brands, and images of many organizations around the globe. Large frauds have led to the collapse of entire organizations, massive asset losses, significant legal costs, incarceration of key individuals, and erosion of confidence in capital markets, government, and not-for-profit entities. Even relatively small frauds can be devastating to an organization, resulting in:	主要幹部、その他の従業員、部外者による不正行為が公表されるたびに、この常に存在するリスクの現実と、それが世界中の多くの組織の評判、ブランド、イメージにいかに悪影響を及ぼすかが実証されている。大規模な不正行為は、組織全体の崩壊、巨額の資産損失、多額の訴訟費用、重要人物の投獄、資本市場や政府、非営利団体に対する信頼の失墜につながった。比較的小規模な不正行為であっても、組織に壊滅的な打撃を与え、以下のような結果をもたらす：
• Loss of trust in management and the breakdown of teamwork and organizational cohesion	・経営陣の信頼を失い,チームワークと組織の結束が崩壊する。
• Increased scrutiny from law enforcement and regulatory bodies	・法執行機関や規制機関からの監視の強化
• Loss of trust by stakeholders (shareholders, donors, customers, taxpayers, and the public)	・利害関係者（株主、寄付者、顧客、納税者、一般市民）からの信頼の失墜
• Increased employee and management turnover	・従業員や経営陣の離職率の増加
• Reputational damage	・風評被害
• Loss of competitive advantage	・競争上の優位性の喪失
It is impossible and impractical to eliminate all fraud in all organizations. However, effective leaders address fraud risk as they do any risk — they manage it. The Fraud Risk Management Guide provides a blueprint to do just that. It is based on the proven principles of enterprise risk management as published by COSO, most recently in 2017. This Guide gives organizations, whether large or small, government or private, profit or non-profit, the information necessary to design a plan specific to the risks for that entity. There is no “one-size-fits-all approach” to managing fraud risk. But with the right approach, an organization can create a custom-fitted program tailored to its specific needs.	全ての組織において全ての不正を排除することは不可能であり、現実的ではない。しかし、効果的なリーダーは、あらゆるリスクと同じように不正リスクに対処する-管理するのである。不正リスクマネジメントガイドは、まさにそのための青写真を提供するものである。本ガイドは、COSOが2017年に発表したエンタープライズ・リスク・マネジメントの原則に基づいている。本ガイドは、規模の大小、政府・民間、営利・非営利を問わず、各組織のリスクに特化した計画を策定するために必要な情報を提供する。不正リスク管理に「万能なアプローチ」は存在しない。しかし、適切なアプローチを用いれば、組織固有のニーズに合わせたカスタムメイドのプログラムを作成することができる。
A Growing Area of Fraud Risk	拡大する不正リスクの領域
Organizations committed to fraud prevention, detection, and deterrence will address not just internal fraud risks — frauds perpetrated by parties within the organization, but also external fraud risks — fraud perpetrated on the organization by outside parties such as ransomware, data breaches, identity theft, and a wide range of corruption schemes that continue to evolve.	不正行為の防止、検知、抑止に取り組む組織は、内部不正リスク（組織内の関係者によって行われる不正行為）だけでなく、外部不正リスク（ランサムウェア、データ漏洩、個人情報の盗難、進化し続ける幅広い腐敗スキームなど、外部の関係者によって組織に行われる不正行為）にも取り組むことになる。
Fraud Deterrence Now and in the Future	現在と将来の不正抑止策
Implementation of the principles in this Guide will maximize the likelihood that fraud will be prevented or detected in a timely manner and can create a strong fraud deterrence effect.	本ガイドの原則を実施することで、不正を防止または適時に発見できる可能性を最大限に高め、強力な不正抑止効果を生み出すことができる。
COSO’s mission is to help organizations improve performance by developing thought leadership that enhances internal control, risk management, governance and fraud deterrence. The Fraud Risk Management Guide is a key tool for furthering this mission, particularly with respect to fraud deterrence.	COSOの使命は、内部統制、リスク管理、ガバナンス、不正抑止を強化するソートリーダーシップを開発することにより、組織の業績向上を支援することである。不正リスク管理ガイドは、特に不正抑止に関して、この使命を推進するための重要なツールである。
As a first step in discussing fraud deterrence, the following practical definition of fraud1 is used in this Guide:	不正抑止について議論する第一歩として、本ガイドでは以下のような不正の実践的定義1 を用いている：
Therefore, to successfully achieve fraud deterrence, organizations will implement policies and procedures that target the prevention and detection of fraud. Organizations that implement a rigorous Fraud Risk Management Program will further strengthen fraud deterrence by making it known that potential fraud perpetrators face a significant likelihood of getting caught and being punished.	したがって、不正抑止を成功裏に達成するために、組織は不正の防止と発見を目標とする方針と手続を実施する。厳格な不正リスク管理プログラムを実施する組織は、潜在的な不正加害者が捕まり処罰を受ける可能性が高いことを周知させることで、不正抑止力をさらに強化する。
Deterrence is also supported and enhanced by the knowledge throughout the organization that:	抑止力はまた、次のような組織全体の知識によっても支えられ、強化される：
• Those charged with governance have made a commitment to comprehensive fraud risk management	・ガバナンスを担う者が,包括的な不正リスク管理に取り組んでいる。
• Periodic fraud risk assessments are being conducted and updated as risks change or new information becomes known	・定期的な不正リスク評価を実施し,リスクの変化や新情報の判明に応じて更新する。
• Fraud preventive and detective control activities, including data analytics — overt and covert — are being conducted	・公然・非公然を問わず,データ分析を含む不正の予防・発見管理活動が実施されている。
• Suspected frauds are investigated quickly	・不正の疑いがある場合は迅速に調査している
• Fraud reporting mechanisms are in place	・不正報告体制が整備されている
• Discovered frauds are remediated thoroughly	・発見された不正は徹底的に是正される
• Wrongdoing has been appropriately disciplined	・不正行為が適切に処分されている
• The entire Fraud Risk Management Program is being constantly monitored	・不正リスク管理プログラム全体が常に監視されている
Roles and Responsibilities	役割と責任
The board of directors2 and top management have responsibility for managing fraud risk. In particular, they are expected to understand how the organization is responding to heightened risks and emerging exposures, as well as public and stakeholder scrutiny; what form of Fraud Risk Management Program the organization has in place; how it identifies fraud risks; what it is doing to better prevent fraud, or at least detect it sooner; and what processes are in place to investigate fraud and take corrective action. Further, personnel at all levels of the organization have a responsibility to understand the effects of fraud and the importance of preventing fraud. This Guide is designed to help address these complex issues.	取締役会2 とトップマネジメントは、不正リスクを管理する責任を負う。特に、組織がリスクの高まりや新たなエクスポージャー、世間や利害関係者の監視にどのように対応しているか、組織がどのような不正リスク管理プログラムを導入しているか、不正リスクをどのように特定しているか、不正をよりよく防止するため、あるいは少なくともより早く発見するために何をしているか、不正を調査し是正措置を講じるためにどのようなプロセスがあるかを理解することが期待されている。さらに、組織のあらゆるレベルの職員には、不正の影響と不正防止の重要性を理解する責任がある。本ガイドは、このような複雑な問題に対処するためのものである。
How it Works	仕組み
This Guide provides implementation guidance for a Fraud Risk Management Program that defines principles and points of focus for fraud risk management and describes how organizations of various sizes and types can establish their own Fraud Risk Management Programs. The Guide includes examples of key program components and resources that organizations can use as a starting place to develop a Fraud Risk Management Program effectively and efficiently. In addition, and recognizing that no two organizations are the same, the Guide contains references to other sources of guidance to allow for tailoring a Fraud Risk Management Program to a particular industry or to government or not-for-profit organizations. Each organization will assess the degree of emphasis to place on fraud risk management based on its size and circumstances. The Guide also contains valuable information for users who are implementing a Fraud Risk Management Program. This includes addressing fraud risk management roles and responsibilities, fraud risk management considerations for smaller organizations, data analytics, and managing fraud risk in the government environment.	本ガイドは、不正リスク管理プログラムの実施ガイダンスを提供し、不正リスク管理の原則と重点を定め、様々な規模や種類の組織が、どのように独自の不正リスク管理プログラムを確立できるかを説明する。本ガイドには、組織が効果的かつ効率的に不正リスク管理プログラムを策定するための出発点として利用できる、プログラムの主要な構成要素やリソースの例が含まれている。加えて、どの組織も同じではないことを認識し、特定の業種や政府・非営利団体に合わせた不正リスク管理プログラムを作成できるよう、本ガイドには他のガイダンス・ソースへの参照も含まれている。各組織は、その規模や状況に応じて、不正リスク管理にどの程度重点を置くべきかを判断することになる。また、本ガイドには、不正リスクマネジメントプログラムを実施するユーザーにとっても貴重な情報が含まれている。これには、不正リスク管理の役割と責任、小規模組織における不正リスク管理の考慮事項、データ分析、政府環境における不正リスク管理などが含まれる。
What’s New in the 2023 Fraud Risk Management Guide?	2023年不正リスクマネジメントガイドの新機能
Following publication of the Fraud Risk Management Guide in 2016, it became recognized as containing a widely accepted set of leading practices for anti-fraud professionals and organizations intent on deterring fraud. But, fraud is not static. Accordingly, COSO and ACFE initiated an update process that included reaching out to a broad range of users for recommendations on where the Guide can be improved, and assembled a team to take a refreshed look at the Guide and assess how and where it should be updated. Following are the key changes to this 2023 edition:	2016年に発行された「不正リスクマネジメントガイド」は、不正対策の専門家や不正抑止を目的とする組織にとって、広く受け入れられている主要な慣行が含まれていると認識されるようになった。しかし、不正は静的なものではない。そこで、COSOとACFEは、本ガイドの改善点に関する提言を求めるため、幅広いユーザーへの働きかけを含む更新プロセスを開始し、本ガイドを再点検し、どのように、どこを更新すべきかを評価するチームを編成した。以下は、2023年版の主な変更点である：
• Fraud risk management and deterrence. This edition explains how fraud risk management relates to and supports fraud deterrence — a key theme in COSO’s missions.	• 不正リスク管理と抑止この版では,不正リスクマネジメントが,COSOのミッションの主要テーマである不正抑止とどのように関連し,どのように支援しているかについて説明している。
• Relationships among COSO’s two frameworks and fraud risk management. This edition explains how the COSO 2013 Internal Control — Integrated Framework, the COSO 2017 Enterprise Risk Management — Integrating with Strategy and Performance Framework and the Fraud Risk Management Guide are related and support each other.	• COSOの2つのフレームワークと不正リスクマネジメントの関係。この版では、COSO 2013内部統制-統合フレームワーク、COSO 2017エンタープライズ・リスク・マネジメント-戦略及びパフォーマンスとの統合フレームワーク、及び不正リスクマネジメントガイドが、どのように関連し、互いに支援し合っているかを説明している。
• Expanded information on data analytics. Data analytics continues to grow in importance as a key tool for the prevention and early detection of fraud. Advanced applications of data analytics may be less familiar to some users than standard tools, such as interviewing and whistleblower systems. Accordingly, this edition includes expanded and updated information on data analytics, while continuing to emphasize the importance of interviewing and whistleblower systems. A data analytics Point of Focus has been added to each of the five fraud risk management principles to demonstrate how the use of data analytics is an integral part of each principle. Further, the data analytics appendix has been updated and expanded. This approach is not meant to downplay the importance of other tools, but rather, to highlight the increasing power of data analytics in managing fraud risk.	• データアナリティクスに関する情報の拡充。データアナリティクスは,不正の防止と早期発見のための重要なツールとして重要性を増し続けている。データアナリティクスの高度なアプリケーションは,聞き取り調査や内部告発システムといった標準的なツールに比べ,ユーザーによっては馴染みが薄いかもしれない。従って,本版では,データ分析に関する情報を拡充・更新するとともに,引き続き事情聴取や内部通報システムの重要性を強調している。また,不正リスク管理の5つの原則のそれぞれにデータ分析のPoint of Focusが追加され,データ分析の活用が各原則に不可欠な要素であることが示されている。さらに,データ分析の附属書も更新され,拡充された。このアプローチは,他のツールの重要性を軽視することを意図しているのではなく,むしろ不正リスク管理におけるデータ分析の威力が増していることを強調するものである。
• Internal control and fraud risk management. This edition explains how internal control and fraud risk management are related and support each other, but are different in some important respects. Examples are provided to show that many “go-to” internal control processes and procedures may be adequate for ensuring accuracy in accounting and financial reporting but may not provide sufficient fraud protection.	• 内部統制と不正リスク管理この版では,内部統制と不正リスク管理がどのように関連し,互いに支え合っているのか,しかし重要な点では異なっているのかを説明している。多くの「よくある」内部統制のプロセスや手続きは,会計や財務報告の正確性を確保するためには適切であっても,十分な不正防止策を提供できない場合があることを示すために,事例が示されている。
• Assessing the effectiveness of existing control procedures as related to fraud risk. Chapter 2 (Fraud Risk Assessment) provides additional information on this important step in the fraud risk assessment process. It clarifies and emphasizes that assessing control effectiveness involves (a) identifying existing control procedures related to each identified inherent fraud risk, (b) assuring that the controls have been implemented and are working as designed, and (c) assessing whether the controls are adequate to address the fraud risks that have been identified. That last step is in addition to an assessment of the design and operating effectiveness of controls from an internal control over financial reporting perspective. Further, it is the key to identifying residual fraud risk so that additional fraud control activities such as additional data analytics can be applied.	• 不正リスクに関連する既存の統制手続の有効性を評価する。第2章（不正リスク評価）では、不正リスク評価プロセスにおけるこの重要なステップに関する追加情報を提供している。この章では、統制の有効性の評価には、(a)識別された固有の不正リスクに関連する既存の統制手続を識別すること、(b)統制が実施され、設計通りに機能していることを保証すること、(c)識別された不正リスクに対処するために統制が適切であるかどうかを評価することが含まれることを明確にし、強調している。この最後のステップは、財務報告に係る内部統制の観点からの統制の設計及び運用の有効性の評価に加えて行われる。さらに、データ分析の追加など、追加的な不正管理活動を適用できるよう、残存する不正リスクを特定する鍵となる。
• Changes in the legal and regulatory environment. This edition includes updated information with respect to recent legal and regulatory developments in the U.S. pertaining to fraud and fraud risk management, including:	• 法規制環境の変化本号では、不正行為及び不正リスク管理に関連する米国における最近の法規制の動向に関して、以下のような最新情報が含まれている：
- The Department of Justice’s Evaluation of Corporate Compliance Programs	・司法省による企業コンプライアンス・プログラムの評価
- The Government Accountability Office’s A Framework for Managing Fraud Risks in Federal Programs	・政府説明責任局の「連邦プログラムにおける不正リスク管理の枠組み
- U.S. Securities and Exchange Commission’s Climate and Environmental, Social, and Governance (ESG) Task Force Reports	・米国証券取引委員会の気候および環境・社会・ガバナンス（ESG）タスクフォース報告書
• Fraud reporting systems or hotlines. ACFE research consistently shows that the majority of frauds are discovered through tips, often from employees in an organization. This edition includes updated and expanded information related to the importance of fraud reporting systems in detecting, preventing, and deterring fraud.	• 不正報告システムまたはホットライン ACFEの調査によると,不正行為の大部分は,組織の従業員からの通報によって発見されることが多い。本版では,不正の発見,防止,抑止における不正報告システムの重要性に関連する情報を更新・拡充している。
• Changes in the external environment and fraud landscape. The fraud landscape is changing rapidly. This edition includes information on this changing environment, including:	• 外部環境と不正の状況の変化不正を取り巻く環境は急速に変化している。本号では、このような環境の変化に関する情報を含む：
- Environmental, Social, and Governance (ESG) initiatives and reporting	・環境・社会・ガバナンス（ESG）への取り組みと報告
- Cyber fraud	・サイバー詐欺
- Blockchain, cryptocurrency, and digital assets	・ブロックチェーン,暗号通貨,デジタル資産
- Ransomware	・ランサムウェア
- COVID-19 response efforts, the CARES Act (Public Law 116-136) and other related programs	・COVID-19対応の取り組み、CARES法（公法116-136）およびその他の関連プログラム
- Remote working and hybrid working environments	・リモートワークやハイブリッドワーク環境
- Innovative and virtual management tools and accounting procedures	・革新的かつ仮想的な管理ツールおよび会計手順
• Appendices changes. The 2016 Guide had 19 appendices. This 2023 edition has 7. Several of the 2016 appendices have been moved to ACFE’s Fraud Risk Management Tools web site so that they can be updated as needed. The appendices moved are:	• 附属書の変更。2016年版ガイドには19の附属書があった。2016年版の附属書のいくつかは、必要に応じて更新できるように、ACFEの不正リスク管理ツールのウェブサイトに移動された。移動された附属書は以下の通りである：
- Sample Fraud Control Policy Framework (2016 Appendix F-1)	・サンプル不正管理ポリシーフレームワーク(2016年版附属書F-1)
- Fraud Risk Management High-Level Assessment (2016 Appendix F-2)	・不正リスク管理ハイレベル・アセスメント (2016 Appendix F-2)
- Sample Fraud Policy Responsibility Matrix (2016 Appendix F-3)	・サンプル不正ポリシー責任マトリックス (2016 Appendix F-3)
- Sample Fraud Risk Management Policy (2016 Appendix F-4)	・サンプル不正リスク管理ポリシー (2016年附属書F-4)
- Sample Fraud Risk Management Survey (2016 Appendix F-5)	・不正リスク管理調査サンプル（2016年附属書F-5）
- Fraud Risk Exposures (2016 Appendix G)	・不正リスクエクスポージャー（2016年附属書G）
- The five Fraud Risk Management Scorecards (2016 Appendices I-1 through I-5)	・5つの不正リスク管理スコアカード（2016年附属書I-1～I-5）
The Appendix, Managing the Risk of Fraud, Waste, and Abuse in the Government Environment, has been updated and expanded, and remains in the Guide as a valuable resource.	附属書「政府環境における不正・浪費・濫用のリスク管理」は更新・拡充され、貴重な資料として引き続きガイドに掲載されている。
Finally, and significantly, the ACFE tools site includes a greatly-expanded list of fraud risk exposures and fraud schemes. Each scheme in the expanded list is hyperlinked to an underlying description of the scheme and how it is carried out. This list contains generic schemes — schemes that can victimize any organization — but also ind ustry-specific schemes (healthcare, financial services, manufacturing, and so forth). Again, through input from users, this resource will continue to expand. These dynamic resources are readily accessible to anti-fraud professionals implementing Fraud Risk Management Programs.	最後に、重要な点として、ACFEのツール・サイトには、不正リスク・エクスポージャーと不正スキームのリストが大幅に拡張されている。拡張されたリストの各スキームは、スキームとその実行方法の基本的な説明にハイパーリンクされている。このリストには、一般的なスキーム（どのような組織でも被害を受ける可能性のあるスキーム）だけでなく、業界特有のスキーム（ヘルスケア、金融サービス、製造業など）も含まれている。繰り返しになるが、ユーザーからの意見によって、このリソースは今後も拡張される予定である。これらのダイナミックなリソースは、不正リスク管理プログラムを実施する不正対策の専門家がすぐに利用できる。
COSO and ACFE are confident that this updated Fraud Risk Management Guide will continue to grow in importance as the set of leading practices for preventing, detecting, and deterring fraud.	COSOとACFEは、更新されたこの「不正リスクマネジメントガイド」が、不正を防止、検出、抑止するための一連のリーディングプラクティスとして、今後も重要性を増していくことを確信している。

2016年の第1版

・2016 [PDF] Fraud Risk Management Guide

Executive Summary \| Fraud Risk Management	要旨｜不正リスクマネジメント
Fraud is any intentional act or omission designed to deceive others, resulting in the victim suffering a loss and/or the perpetrator achieving a gain.[3]	詐欺とは、他者を欺くために意図的に行われる行為や不作為のことであり、その結果、被害者は損失を被り、加害者は利益を得ることになる[3]。
All organizations are subject to fraud risks. It is impossible to eliminate all fraud in all organizations. However, implementation of the principles in this guide will maximize the likelihood that fraud will be prevented or detected in a timely manner and will create a strong fraud deterrence effect.	すべての組織は不正リスクにさらされている。すべての組織において、すべての不正を排除することは不可能である。しかし、本ガイドの原則を実施することで、不正を防止または適時に発見できる可能性を最大化し、強力な不正抑止効果を生み出すことができる。
The board of directors[4] and top management and personnel at all levels of the organization — including every level of management, staff, and internal auditors — have responsibility for managing fraud risk. Particularly, they are expected to understand how the organization is responding to heightened risks and regulations, as well as public and stakeholder scrutiny; what form of Fraud Risk Management Program the organization has in place; how it identifies fraud risks; what it is doing to better prevent fraud, or at least detect it sooner; and what process is in place to investigate fraud and take corrective action. This Fraud Risk Management Guide (guide) is designed to help address these complex issues.	取締役会[4]、トップマネジメント、及び組織の各レベルの人員（経営陣、スタッフ、内部監査人を含む）には、不正リスクを管理する責任がある。特に、組織が高まるリスクや規制、社会や利害関係者の監視にどのように対応しているか、組織がどのような形態の不正リスク管理プログラムを導入しているか、不正リスクをどのように識別しているか、不正をよりよく防止し、少なくともより早く発見するために何をしているか、不正を調査し是正措置を講じるためにどのようなプロセスを導入しているかを理解することが期待されている。この「不正リスク管理ガイド（手引書）」は、このような複雑な問題に対処するために作成された。
This guide recommends ways in which governing boards, senior management, staff at all levels, and internal auditors can deter fraud in their organization. Fraud deterrence is a process of eliminating factors that may cause fraud to occur. Deterrence is achieved when an organization implements a fraud risk management process that:	本ガイドは、理事会、上級管理職、あらゆるレベルの職員、内部監査人が組織内の不正を抑止するための方法を推奨している。不正抑止とは、不正を引き起こす可能性のある要因を排除するプロセスである。不正抑止は、組織が以下のような不正リスク管理プロセスを実施することで達成される：
• Establishes a visible and rigorous fraud governance process	・目に見える厳格な不正ガバナンス・プロセスを確立する。
• Creates a transparent and sound anti-fraud culture	・透明で健全な不正防止文化を構築する。
• Includes a thorough fraud risk assessment periodically	・徹底した不正リスク評価を定期的に実施する
• Designs, implements, and maintains preventive and detective fraud control processes and procedures	・不正の予防と発見のための管理プロセスと手順を策定し,実施し,維持する
• Takes swift action in response to allegations of fraud, including, where appropriate, actions against those involved in wrongdoing	・不正行為の申し立てに対し,適切な場合には不正行為に関与した者に対する処分を含め,迅速な行動をとる。
This guide provides implementation guidance that defines principles and points of focus[5] for fraud risk management and describes how organizations of various sizes and types can establish their own Fraud Risk Management Programs. The guide includes examples of key program components and resources that organizations can use as a starting place to develop a Fraud Risk Management Program effectively and efficiently. In addition, the guide contains references to other sources of guidance to allow for tailoring a Fraud Risk Management Program to a particular industry or to government or not-for-profit organizations. Each organization needs to assess the degree of emphasis to place on fraud risk management based on its size and circumstances.	本ガイドラインは、不正リスクマネジメントの原則と着眼点[5]を定義し、様々な規模やタイプの組織がどのように独自の不正リスクマネジメントプログラムを構築できるかを説明する実施ガイダンスを提供する。本ガイドには、組織が不正リスク管理プログラムを効果的かつ効率的に策定するための出発点として利用できる、プログラムの主要な構成要素やリソースの例が含まれている。さらに、本ガイドには、特定の業種や政府機関、非営利団体に合わせた不正リスク管理プログラムを作成できるよう、他のガイダンス・ソースへの参照も含まれている。各組織は、その規模や状況に応じて、不正リスク管理にどの程度重点を置くべきかを判断する必要がある。
The guide also contains valuable information for users who are implementing a fraud risk management process. For example, it addresses fraud risk management roles and responsibilities, fraud risk management considerations for smaller organizations, data analytics employed as a part of fraud risk management, and managing fraud risk in the government environment.	また、本ガイドには、不正リスクマネジメントプロセスを実施しようとするユーザーにとっても貴重な情報が含まれている。例えば、不正リスクマネジメントの役割と責任、小規模組織における不正リスクマネジメントの考慮事項、不正リスクマネジメントの一環として採用されるデータ分析、政府環境における不正リスクマネジメントなどが取り上げられている。

[3] For purposes of this guide, the authors developed this practical definition. The authors recognize that many other definitions of fraud exist, including those developed by the Auditing Standards Board of the American Institute of Certified Public Accountants, the Public Company Accounting Oversight Board, and the Government Accountability Office.	[3] 本ガイドの目的のため、著者らはこの実践的な定義を作成した。著者らは、米国公認会計士協会の監査基準委員会、公開会社会計監視委員会、及び政府説明責任局によって作成されたものを含め、他にも多くの不正の定義が存在することを認識している。
[4] Throughout this guide, the terms board and board of directors refer to the governing or oversight body or those charged with governance of the organization.	[4] 本ガイドブックを通じて、取締役会及び取締役会という用語は、組織の統治機関又は監督機関、又は統治を担う者を指す。
[5] Per COSO’s Internal Control — Integrated Framework (May 2013) (2013 COSO Framework), Relevant Principles represent fundamental concepts associated with components of internal control. Points of Focus are important characteristics of principles.	[5] COSOの「内部統制-統合的枠組み（2013年5月）」（2013 COSO Framework）によると、関連原則は内部統制の構成要素に関連する基本的な概念を表している。着眼点は、原則の重要な特徴である。

2023.11.22 04:17 in 法律 / 犯罪, in 内部統制 / リスクマネジメント | Permalink | Comments (0)
Tweet

内部監査人協会 COSO『サステナビリティ報告に係る有効な内部統制(ICSR)の実現』の翻訳 (2023.10.04)

こんにちは、丸山満彦です。

内部監査人協会が、COSO（トレッドウェイ委員会支援組織委員会）が2023年3月に公表したガイダンス “Achieving Effective Internal Control over Sustainability Reporting (ICSR)”の日本語訳版「COSO『サステナビリティ報告に係る有効な内部統制(ICSR)の実現』」を公表していました。。。

● 内部監査人協会

・2023.10.04 COSO『サステナビリティ報告に係る有効な内部統制(ICSR)の実現』

オリジナル...

● COSO

・2023.03 [PDF] ACHIEVING EFFECTIVE INTERNAL CONTROL OVER SUSTAINABILITY REPORTING (ICSR): Building Trust and Confidence through the COSO Internal Control—Integrated Framework

2023.11.22 03:17 in 監査 / 認証, in ESG/CSR, in 内部統制 / リスクマネジメント | Permalink | Comments (0)
Tweet

内部監査財団リスク・イン・フォーカス 2024

こんにちは、丸山満彦です。

内部監査財団が内部監査人とその関係者が今日のリスク環境を理解し、次年度の監査計画を作成するのに役立つ、データに基づいた実践的な調査である、リスク・イン・フォーカス 2024 です。日本内部監査協会がグローバル版について日本語訳を提供してくれています。

とても参考になりますね。。。

トップリスクのトップはサイバーセキュリティですね。。。しかも、わりとダントツで...

日本の内部監査部門はサイバーセキュリティの監査ってどの程度しているんでしょうね。。。

監査分野	全地域平均	アジア太平洋	中南米	アフリカ	北米	中東	欧州
サイバーセキュリティ	73%	66%	75%	58%	85%	70%	84%
人的資本	51%	59%	44%	39%	65%	47%	50%
事業継続	47%	61%	47%	52%	36%	53%	35%
規制等の変更	39%	35%	48%	32%	43%	33%	43%
デジタル化による破壊的変化	34%	30%	38%	33%	36%	32%	33%
財務流動性	32%	21%	33%	47%	28%	38%	26%
市場の変化	32%	47%	26%	21%	41%	26%	30%
地政学的不確実性	30%	28%	42%	25%	28%	16%	43%
ガバナンス／企業報告	27%	24%	18%	36%	16%	45%	22%
サプライチェーン及びアウトソーシング	26%	27%	16%	19%	36%	28%	30%
組織文化	26%	23%	26%	34%	21%	30%	20%
不正	24%	22%	30%	46%	9%	26%	13%
コミュニケーション／評判	21%	18%	22%	27%	21%	28%	12%
気候変動	19%	22%	22%	19%	12%	10%	31%
健康及び安全	11%	12%	8%	10%	17%	9%	13%
合併及び買収	6%	4%	3%	3%	8%	10%	8%

● The Institute of Internal Auditors

・Risk in Focus Today's Global Risk Landscape

グローバル	リスク・イン・フォーカス調査への世界的な参加は、異なる地域間のリスクと監査計画を比較する貴重な機会を提供している。	EN	JP
アフリカ	強力なデジタル化の波は、アフリカの経済と政府システムの変革を後押ししているが、その一方で、組織はサイバー攻撃に対してより脆弱になり、顧客はオンライン詐欺やモバイル詐欺に巻き込まれやすくなっている。	View
アジア太平洋	内部監査員によれば、アジア太平洋地域のリスクは、同地域の国々が経済的・政治的に高度に相互接続しているため、独特の複雑さを抱えているという。	View
欧州	マクロ経済の不安定さは、欧州の内部監査員に、同地域で相互に関連する課題に直面するための努力の再調整を促している。	View
中南米	ラテンアメリカとカリブ海地域のCAEは、組織内および地域内の他の企業や団体との関係構築が不可欠であると述べている。	View
中東	中東の内部監査員は、長期的な計画とスキル開発により、組織の成熟度を高めることを提唱している。	View
北米	北米の内部監査人は、利害関係者との緊密な連携を求めており、ミッションクリティカルなプロジェクトにおいて、取締役会や経営陣のアドバイザーとして活動することが多い。	View

各地域については、役員向けの「ブリーフィング」と内部監査人向けの「詳細版」がありますね。。。

● 日本内部監査協会

・2023.11.20 内部監査財団より「リスク・イン・フォーカス」レポート公表

2023.11.22 02:42 in 情報セキュリティ / サイバーセキュリティ, in 法律 / 犯罪, in 監査 / 認証, in ESG/CSR, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in AI/Deep Learning | Permalink | Comments (0)
Tweet

2023.11.21

EDPS 説明可能な人工知能

こんにちは、丸山満彦です。

欧州データ保護監督官 (EUROPEAN DATA PROTECTION SUPERVISOR: EDPS) が説明可能な人工知能 (Explainable Artificial Intelligence) を公表していました。。。

大規模言語モデルなど、データとその解析をするためのパラメータが多く、入力に対してどのような出力をだすのか、わからない、いわゆる関数のブラックボックス化がAIの問題として捉えられることが多いように思います。

関数がブラックボックスになので、バイアス、不正確さ、幻覚などが生じても、生じているかどうかを判定できない場合もあるだろう。。。

ブラックボックスなので、その結果を利用することにより、社会や個人にとって有害な状況が生じるかもしれない。

その結果に対して責任は誰がとるべきなのか？開発者？利用者？その両方？状況次第？

でも考えてみたら当たり前の話ですよね。。。人間を模倣して作ったのだから当然に関数はブラックボックスになる。だって、人間の思考関数はブラックボックスだから。。。

むしろ、人間の思考より再現性が高いくらいだと思います。

私はAIをむしろ人間と同じように捉えて、ブラックボックス、つまり入力値から出力値を正確に予測できないことを前提にいろいろと考えたほうが良いのだろうと思います。

なので、AIが出した結果については、AIの開発者と利用者双方で責任をどのように負うのかということを考えるようにすべきなのではないかと思います。

おそらく次のような考え方がよいのではないかと思っています。

1. 政府等が出荷されるAIについての認定基準をつくり、検査した結果、合格したものだけが社会に提供される制度をつくる

2. AI開発者は認定AIのみを社会に提供する。この認定基準に違反した製品を社会に提供した場合に開発者に責任が問われる。

3. 利用者は認定したAIを調整して利用することができるが、その調整した後、生じた結果については利用者が責任を負うことになる。場合によってはけんさを受けてそれを認定AIとすることもできる。

4. 認定AIの生じた結果による損害は、政府または基金から補償することにする。

細かいことは検討できていないのですが、ざっとそんな感じが社会的にも受け入れやすいのではないかと思いますが、どうでしょうか？？？

ただ、だからといって、透明性、解釈可能性、説明可能性をおろそかにするということではないとは思います。これらを出来うる限り追求するのだけれども、必ずしも完全にはそうできないから、そのできない部分をどうするのか、、、ということだと思います。。。

さて、本題...

● EUROPEAN DATA PROTECTION SUPERVISOR: EDPS

・2023.11.16 Explainable Artificial Intelligence

・[PDF]

2023.11.21 01:03 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 法律 / 犯罪, in 内部統制 / リスクマネジメント, in AI/Deep Learning | Permalink | Comments (0)
Tweet

EDPS プライバシーおよび個人情報保護の基本的権利の本質に関する研究 (2023.11.08)

こんにちは、丸山満彦です。

欧州データ保護監督官 (EUROPEAN DATA PROTECTION SUPERVISOR: EDPS) がプライバシーおよび個人情報保護の基本的権利の本質に関する研究 (Study on the Essence of the fundamental rights to privacy and to the protection of personal data) を公表していました。。。

この報告書自体は2022年12月のようですね。。。

● EUROPEAN DATA PROTECTION SUPERVISOR: EDPS

・2023.11.08 Study on the Essence of the fundamental rights to privacy and to the protection of personal data

Abstract:

概要

This background paper explores the requirement of respecting the ‘essence’ of the rights to respect for private life and of right to the protection of personal data whenever these rights are limited under European Union (EU) law. The requirement is explicitly established in Article 52(1) of the Charter of Fundamental Rights of the EU, and currently also mentioned in EU secondary law. With the aim of facilitating further reflection and discussion on the requirement’s application notably when limitations of the right to personal data protection are at stake, the paper reviews current knowledge on the subject and illustrates the significant limitations of existing knowledge. Taking stock of the relevant literature and case law, mainly of the Court of Justice of the EU and of the European Court of Human Rights (ECHR), it also identifies a few key issues deserving further analysis and discussion. The paper concludes by suggesting it can be useful to focus not on speculating about what would be the essence of the rights at stake, but rather on when must a limitation of a right be regarded as a breach of the essence requirement.

本稿では、欧州連合（EU）法の下で私生活の尊重と個人情報保護の権利が制限される場合、その「本質」を尊重するという要件について考察する。この要件は、EU基本権憲章第52条1項で明確に規定されており、現在EUの二次法でも言及されている。本稿では、特に個人情報保護の権利の制約が問題となっている場合に、この要件の適用に関する考察と議論を促進することを目的として、このテーマに関する現在の知見をレビューし、既存の知見には大きな限界があることを説明する。主にEU司法裁判所と欧州人権裁判所(ECHR)の関連文献と判例を概観し、さらなる分析と議論に値するいくつかの重要な問題を明らかにする。本稿の結論は、問題となっている権利の本質が何であるかを推測することではなく、むしろ、権利の制限が本質要件の違反とみなされるのはどのような場合であるかに焦点を当てることが有益であることを示唆している。

・[PDF]

・[DOCX] 英語

Executive summary	要旨
The Charter of Fundamental Rights of the European Union (EU) establishes that the EU fundamental rights to the respect for private life and to the protection of personal data may be limited only if the limitations at stake respect the rights’ essence. The paper reviews current knowledge on this ‘essence requirement’ taking stock of the pertinent case law of Court of Justice of the EU (CJEU), the European Court of Human Rights (ECtHR) and selected national courts, building on the growing literature on the subject.	欧州連合（EU）の基本権憲章は、私生活の尊重と個人データの保護に関するEUの基本権は、その制限が権利の本質を尊重する場合にのみ制限されることを定めている。本稿では、EU司法裁判所（CJEU）、欧州人権裁判所（ECtHR）、および特定の国内裁判所の関連判例を概観しながら、この「本質的要件」に関する現在の知見をレビューし、このテーマに関する増加しつつある文献を紹介する。
The starting point of the contribution is that the interpretation of the essence requirement finds itself at the crossroads of three elusive issues: the very notion of ‘essence’ in EU fundamental rights law, the content of the EU fundamental right to personal data protection, and the oftenambiguous relation between this right and the right to respect for private life. These three issues are discussed in detail.	この寄稿の出発点は、本質的要件の解釈が、3つのとらえどころのない問題の交差点にあるということである：すなわち、EU基本権法における「本質」の概念そのもの、個人データ保護に関するEU基本権の内容、そしてこの権利と私生活尊重の権利との間のしばしば曖昧な関係である。これら3つの問題について詳しく論じる。
The explicit reference in Article 52(1) of the EU Charter to the obligation to respect the essence of rights as a condition for their lawful limitations was formally a novelty, even though the CJEU had previously already referred to the need to respect the very substance of fundamental rights, and the ECtHR had also relied on similar arguments. Similar mechanisms can also be found in national legal frameworks.	EU憲章第52条1項で、権利が合法的に制限されるための条件として、権利の本質を尊重する義務について明確に言及したことは、形式的には斬新なものであったが、それ以前にCJEUはすでに基本的権利の本質を尊重する必要性に言及しており、ECtHRも同様の議論に依拠していた。同様の仕組みは国内法の枠組みにも見られる。
The case law of CJEU reveals that the essence requirement may be applied by the Court without there being a particularly clear delimitation of the essence of a right as such. In this sense, it can be useful to envision the essence requirement not as an imperative imposed on courts to clearly delimit a core area of each right, but rather as a tool put in their hands to declare unlawful certain types of limitations of rights.	CJEUの判例法は、権利の本質が特に明確に規定されていなくても、裁判所が本質要件を適用する可能性があることを明らかにしている。この意味で、本質的要件は、各権利の中核的領域を明確に画定するよう裁判所に課せられた命令ではなく、むしろ、ある種の権利の制限を違法と宣言するために裁判所が手にする道具として想定することが有益である。
Regarding the content of the EU fundamental right to personal data protection, there is currently no consensus on what it comprises exactly. This unsettled status of the content of the EU fundamental right to personal data does not facilitate the identification of what could be its essence. In addition, a certain ambiguity also surrounds the relation between this right and the EU fundamental right to respect for private life. Even though there has been an evolution in the CJEU case law, and the two rights have been progressively recognised as existing independently and detached from each other, they are not necessarily applied in isolation.	個人データ保護に関するEUの基本的権利の内容については、現在のところ、それが具体的にどのようなものであるかについてのコンセンサスは得られていない。このように個人データに関するEUの基本的権利の内容が定まっていない状態は、その本質となりうるものの特定を容易にしていない。さらに、この権利とEUの私生活尊重の基本的権利との関係にも、ある種の曖昧さがつきまとっている。CJEUの判例法には進化があり、この2つの権利は互いに独立し、切り離されて存在するものとして徐々に認められてきたとはいえ、必ずしも切り離して適用されるわけではない。
The essence requirement has played an important role in the case law of the CJEU about the rights to respect for private life at personal data protection – it has been mentioned in multiple judgments. The cases where a specific right’s limitation was deemed not to respect the essence of a right are nevertheless, comparatively, only a few instances.	本質的要件は、私生活の尊重と個人データ保護の権利に関するCJEUの判例法において重要な役割を果たしており、複数の判決で言及されている。とはいえ、特定の権利の制限が権利の本質を尊重していないと判断されたケースは、比較的少数である。
A recurrent mismatch between what the CJEU has stressed as important elements of the right to personal data protection, on the one hand, and the facets mentioned by the Court when applying the essence requirement, on the other, appears to confirm that the CJEU is not primarily concerned with construing the essence of the right as the core of a well-articulated series of spheres.	日本欧州委員会（CJEU）が個人情報保護の権利の重要な要素として強調してきたことと、裁判所が本質の要件を適用する際に言及した側面との間にミスマッチが繰り返し生じていることは、CJEUが権利の本質を一連の領域の核心として解釈することに主眼を置いていないことを裏付けているように思われる。
In light of the described landscape can be identified a number of issues deserving further consideration, taking also into account ongoing policy and legislative developments. These issues concern the mentioned connection between the essence requirement and the delimitation of right’s content, the specificity of the right to personal data protection, the criteria to determine that the essence requirement is not respected, and, finally, the surfacing of references to the essence requirement in other instruments of EU data protection law.	以上のような状況に照らして、現在進行中の政策や法制の進展も考慮に入れつつ、さらに検討すべき多くの問題を特定することができる。これらの問題は、本質的要件と権利内容の限定との間に言及された関連性、個人データ保護の権利の特異性、本質的要件が尊重されていないと判断する基準、そして最後に、EUデータ保護法の他の文書における本質的要件への言及の表面化に関するものである。
As the essence requirement may be applied without a simultaneous clear demarcation by the courts of the content of a right, the content of the right to personal data protection may therefore be, at least to some extent, discussed independently from the limited list of elements highlighted when the essence requirement is at stake in the CJEU case law. The question of which data protection safeguards are part of the content of the right guaranteed under Article 8 of the EU Charter remains in any case open.	エッセンス要件は、裁判所が権利の内容を同時に明確に区分することなく適用される可能性があるため、個人データ保護の権利の内容は、少なくともある程度は、CJEUの判例法においてエッセンス要件が問題となった際に強調された限られた要素のリストとは独立して議論される可能性がある。どのデータ保護保護措置がEU憲章第8条で保障された権利の内容に含まれるのかという問題は、いずれにせよ未解決のままである。
Another important question that remains open is whether the progressive increase in requests for preliminary rulings specifically on the interpretation of the General Data Protection Regulation (GDPR), which refers in its first Recital to Article 8 of the EU Charter but not Article 7, will eventually lead to a clearer focus in the CJEU case law on the singularity of Article 8 of the EU Charter. Future case law should throw further light on the criteria relevant to determining that the essence requirement is not respected.	また、EU憲章第8条には言及しているが第7条には言及していない一般データ保護規則（GDPR）の解釈に関する仮判決の請求が増加していることから、EU憲章第8条の特異性に関してCJEUの判例法がより明確な焦点を当てるようになるかどうかも重要な問題である。今後の判例法は、本質的要件が尊重されていないと判断するための基準についてさらに光を当てるはずである。
In any case, references to the essence requirement are currently not confined to Article 52(1) of the EU Charter - the requirement appears also in provisions of secondary law. Examples of such more recent manifestations are the reference to the essence in Article 25 of Regulation 2018/1725, for instance, or in the Standard Contractual Clauses adopted by the European Commission in June 2021. These developments imply that not only the legislator and the judiciary, but also data controllers and processors, should be able to determine there has been a breach of the requirement to respect the essence of EU fundamental rights, including of the essence of the rights to respect for private life and to personal data protection.	いずれにせよ、本質要件への言及は現在、EU憲章第52条1項に限定されているわけではなく、二次法の規定にも現れている。例えば、規則2018/1725の第25条や、2021年6月に欧州委員会が採択した標準契約条項における本質への言及がその例である。こうした動きは、立法者や司法だけでなく、データ管理者や処理者も、私生活の尊重や個人データ保護の権利の本質を含め、EUの基本的権利の本質を尊重する義務に違反したと判断できるようになることを示唆している。
This study thus situates existing knowledge on the essence requirement insofar as it relates to the EU fundamental right to personal data protection, illustrating the limitations of such knowledge. The numerous cases pending in front of the CJEU which concern data protection law in general could in the upcoming months and years offer more relevant insights on the way in which courts might use this tool to put an end to unacceptable violations of the EU Charter. In the meantime, references to the essence requirement are surfacing in a variety of instruments, including, for instance, Standard Contractual Clauses, obliging actors different from the courts and the legislator to understand how to deal in practice with this still elusive requirement. A pragmatic approach to the current challenges could focus not on speculating on what would be the very essence of the rights at stake, but rather on when must a limitation of a right be regarded as a breach of the essence requirement.	本研究は、このように、個人データ保護に対するEUの基本的権利に関連する限りにおいて、本質的要件に関する既存の知識を位置づけ、そのような知識の限界を説明するものである。データ保護法一般に関わるCJEUで係争中の数多くの事例から、今後数カ月から数年のうちに、裁判所がEU憲章の容認しがたい違反に終止符を打つためにこの手段を用いる方法について、より適切な洞察が得られる可能性がある。その一方で、例えば標準契約条項を含む様々な文書において、本質的要件への言及が表面化しており、裁判所や立法者とは異なる主体が、このまだ捉えどころのない要件に実際にどのように対処すべきかを理解することを義務付けている。現在の課題に対する実際的なアプローチは、問題となっている権利の本質が何であるかを推測することではなく、むしろ、権利の制限が本質要件の違反とみなされるのはどのような場合か、ということに焦点を当てることができるだろう。

目次...

1. Introduction	1. はじめに
2. Legal framework	2. 法的枠組み
3. State of knowledge	3. 知識の現状
3.1. The essence requirement	3.1. 本質的要件
3.2. The right to the protection of personal data	3.2. 個人情報保護の権利
3.3. The right to respect for private life	3.3. 私生活を尊重する権利
4. Case law on the essence of the rights of Art. 7 and 8 EU Charter	4. EU憲章第7条および第8条の権利の本質に関する判例法
4.1. ECtHR	4.1. ECtHR
4.2. CJEU	4.2. CJEU
5. Key issues	5. 主な争点
5.1. Link between the essence and the content of rights	5.1. 権利の本質と内容の関連性
5.2. The specificity of the right to personal data protection	5.2. 個人データ保護の権利の特殊性
5.3. Criteria for the qualification of the limitation	5.3. 制限の認定基準
5.4. References to the essence in other instruments	5.4. 他の文書における本質への言及
6. Concluding remarks	6. 結論
Bibliographical references	参考文献

欧州連合基本権憲章

● EUR -Lex

・Charter of Fundamental Rights of the European Union

・CHARTER OF FUNDAMENTAL RIGHTS OF THE EUROPEAN UNION

Article 7	第7条
Respect for private and family life	私生活および家庭生活の尊重
Everyone has the right to respect for his or her private and family life, home and communications.	すべての人は、自己の私生活、家庭生活及び通信手段を尊重される権利を有する。

Article 8	第8条
Protection of personal data	個人情報の保護
1. Everyone has the right to the protection of personal data concerning him or her.	1. すべての人は、自己に関する個人情報を保護される権利を有する。
2. Such data must be processed fairly for specified purposes and on the basis of the consent of the person concerned or some other legitimate basis laid down by law. Everyone has the right of access to data which has been collected concerning him or her, and the right to have it rectified.	2. 個人情報は、特定された目的のために、本人の同意または法律で定められたその他の正当な根拠に基づいて、公正に処理されなければならない。すべての人は、自分に関して収集されたデータにアクセスする権利、およびそれを修正させる権利を有する。
3. Compliance with these rules shall be subject to control by an independent authority.	3. 本規則の遵守は、独立機関による管理の対象とする。

Article 52	第52条
Scope and interpretation of rights and principles	権利および原則の範囲と解釈
1. Any limitation on the exercise of the rights and freedoms recognised by this Charter must be provided for by law and respect the essence of those rights and freedoms. Subject to the principle of proportionality, limitations may be made only if they are necessary and genuinely meet objectives of general interest recognised by the Union or the need to protect the rights and freedoms of others.	1. 本憲章によって認められる権利および自由の行使に対するいかなる制限も、法律によって定められ、かつ、これらの権利および自由の本質を尊重しなければならない。比例原則に従い、制限は、それが必要であり、かつ、真に同盟が認める一般的利益の目的または他人の権利および自由を保護する必要を満たす場合に限り、行うことができる。
2. Rights recognised by this Charter for which provision is made in the Treaties shall be exercised under the conditions and within the limits defined by those Treaties.	2. 本憲章によって認められる権利であって、条約において規定されているものは、条約によって定められた条件および範囲内で行使されるものとする。
3. In so far as this Charter contains rights which correspond to rights guaranteed by the Convention for the Protection of Human Rights and Fundamental Freedoms, the meaning and scope of those rights shall be the same as those laid down by the said Convention. This provision shall not prevent Union law providing more extensive protection.	3. 本憲章が人権及び基本的自由の保護に関する条約によって保障される権利に対応する権利を含む限りにおいて、これらの権利の意味及び範囲は、同条約が定めるものと同一とする。この規定は、連合法がより広範な保護を提供することを妨げるものではない。
4. In so far as this Charter recognises fundamental rights as they result from the constitutional traditions common to the Member States, those rights shall be interpreted in harmony with those traditions.	4. この憲章が、加盟国に共通する憲法の伝統から生じる基本的権利を認める限りにおいて、これらの権利は、これらの伝統と調和して解釈されるものとする。
5. The provisions of this Charter which contain principles may be implemented by legislative and executive acts taken by institutions, bodies, offices and agencies of the Union, and by acts of Member States when they are implementing Union law, in the exercise of their respective powers. They shall be judicially cognisable only in the interpretation of such acts and in the ruling on their legality.	5. 原則を含むこの憲章の規定は、連合の機関、団体、官庁および機関がそれぞれの権限を行使する際にとる立法行為および行政行為、ならびに加盟国が連合法を実施する際にとる行為によって実施することができる。これらの行為は、当該行為の解釈およびその適法性に関する裁定においてのみ、司法上認められるものとする。
6. Full account shall be taken of national laws and practices as specified in this Charter.	6. 本憲章に規定された国内法および慣行を十分に考慮しなければならない。
7. The explanations drawn up as a way of providing guidance in the interpretation of this Charter shall be given due regard by the courts of the Union and of the Member States.	7. 本憲章の解釈の指針として作成された解説は、連合国および加盟国の裁判所において、十分に考慮されるものとする。

2023.11.21 00:18 in 個人情報保護 / プライバシー, in 法律 / 犯罪 | Permalink | Comments (0)
Tweet

2023.11.20

NIST SP 800-221 情報通信技術リスクのエンタープライズへの影響：エンタープライズリスクポートフォリオにおけるICTリスクプログラムのガバナンスとマネジメント, NIST SP 800-221A 情報通信技術（ICT）リスクの成果： ICTリスクマネジメントプログラムとエンタープライズリスクポートフォリオの統合

こんにちは、丸山満彦です。

NISTがICTリスクとERMを結ぶ、「SP800-221 情報通信技術リスクのエンタープライズへの影響：エンタープライズリスクポートフォリオにおけるICTリスクプログラムのガバナンスとマネジメント」とその補足文書である「NIST SP 800-221A 情報通信技術（ICT）リスクの成果： ICTリスクマネジメントプログラムとエンタープライズリスクポートフォリオの統合」の確定版を公表していますね。。。

2023.03に経済産業省からサイバーセキュリティ経営ガイドライン Ver 3.0 を公表したのですが、これはNISTのこの流れを踏まえてサイバーセキュリティリスクをERMの一部として考えることにより、経営全体の一部として経営者が取り組みやすいように考えたものなんです。。。

● NIST - ITL

・2023.11.17 NIST SP 800-221 Enterprise Impact of Information and Communications Technology Risk: Governing and Managing ICT Risk Programs Within an Enterprise Risk Portfolio

NIST SP 800-221 Enterprise Impact of Information and Communications Technology Risk: Governing and Managing ICT Risk Programs Within an Enterprise Risk Portfolio	NIST SP 800-221 情報通信技術リスクのエンタープライズへの影響：エンタープライズリスクポートフォリオにおけるICTリスクプログラムのガバナンスとマネジメント
Abstract	概要
All enterprises should ensure that information and communications technology (ICT) risk receives appropriate attention within their enterprise risk management (ERM) programs. This document is intended to help individual organizations within an enterprise improve their ICT risk management (ICTRM). This can enable enterprises and their component organizations to better identify, assess, and manage their ICT risks in the context of their broader mission and business objectives. This document explains the value of rolling up and integrating risks that may be addressed at lower system and organizational levels to the broader enterprise level by focusing on the use of ICT risk registers as input to the enterprise risk profile.	すべてのエンタープライズは、エンタープライズリスクマネジメント（ERM）プログラムの中で、情報通信技術（ICT）リスクに適切な注意を払うようにすべきである。本文書は、エンタープライズ内の各組織がICTリスクマネジメント（ICTRM）を改善するのを支援することを意図している。これにより、エンタープライズとその構成組織は、より広範なミッションとビジネス目標との関連において、ICTリスクをより適切に識別、アセスメント、管理できるようになる。本文書は、エンタープライズ・リスク・プロファイルへのインプットとしての ICT リスク登録の使用に焦点を当てることにより、より低いシステム及び組織レベルで対処される可能性のあるリスクを、より広範なエンタープライズ・レベルにロールアップし統合することの価値を説明する。

・[PDF] NIST.SP.800-221

・[DOCX] 仮訳

エグゼクティブサマリー...

Executive Summary	エグゼクティブ・サマリー
All types of organizations, from corporations to federal agencies, face a broad array of risks. For federal agencies, the Office of Management and Budget (OMB) Circular A-11 defines risk as “the effect of uncertainty on objectives” [OMB-A11]. The effect of uncertainty on enterprise mission and business objectives may then be considered an “enterprise risk” that must be similarly managed. An enterprise is an organization that exists at the top level of a hierarchy with unique risk management responsibilities. Managing risks at that level — enterprise risk management (ERM) — calls for understanding the core risks that an enterprise faces, determining how best to address those risks, and ensuring that the necessary actions are taken. In the Federal Government, ERM is considered “an effective agency-wide approach to addressing the full spectrum of the organization’s significant risks by understanding the combined impact of risks as an interrelated portfolio, rather than addressing risks only within silos” [OMB-A11]. OMB Circular A-123 “establishes an expectation for federal agencies to proactively consider and address risks through an integrated…view of events, conditions, or scenarios that impact mission achievement” [OMB-A123].	企業から連邦政府機関まで、あらゆる種類の組織が、広範なリスクに直面している。連邦政府機関については、OMB（Office of Management and Budget）通達A-11が、リスクを「目的に対する不確実性の影響」と定義している［OMB-A11］。そのため、エンタープライズのミッションや事業目標に対する不確実性の影響は、同様に管理されなければならない「エンタープライズリスク」と考えられる。エンタープライズとは、独自のリスクマネジメント責任を持つ階層の最上位に存在する組織である。そのレベルでリスクを管理すること、すなわちエンタープライズ・リスク・マネジメント（ERM）は、エンタープライズが直面する中核的なリスクを理解し、それらのリスクに対処する最善の方法を決定し、必要な措置を確実に講じることを求めている。連邦政府では、ERMは「サイロの中だけでリスクに対処するのではなく、相互に関連するポートフォリオとしてリスクの複合的な影響を理解することにより、組織の重大なリスクの全領域に対処する効果的な全庁的アプローチ」［OMB-A11］と考えられている。OMB通達A-123は、「連邦政府機関が、ミッション達成に影響を与える事象、状況、シナリオを統合的に捉えることにより、リスクを積極的に検討し、対処することを求めている」［OMB-A123］。
The information and communications technology (ICT) on which an enterprise relies is managed through a broad set of ICT risk disciplines that include privacy, supply chain, and cybersecurity. ICT includes a broad range of information and technology that extends far beyond traditional information technology considerations. For example, a growing number of enterprises rely on operational technology (OT) and IoT (Internet of Things) devices’ sensors or actuators bridging the physical world and the digital world. Increasingly, artificial intelligence (AI) factors into enterprise risk. NIST’s AI Risk Management Framework points out that “AI risk management should be integrated and incorporated into broader enterprise risk management strategies and processes. Treating AI risks along with other critical risks, such as cybersecurity and privacy, will yield a more integrated outcome and organizational efficiencies.”[1]	エンタープライズが依存する情報通信技術（ICT）は、プライバシー、サプライチェーン、サイバーセキュリティを含む広範なICTリスク分野を通じて管理される。ICTには、従来の情報技術に関する検討事項をはるかに超える広範な情報と技術が含まれる。例えば、物理的世界とデジタル世界の橋渡しをするOT（オペレーション技術）やIoT（モノのインターネット）デバイスのセンサーやアクチュエーターに依存するエンタープライズが増えている。エンタープライズリスクに人工知能（AI）を取り込むケースも増えている。NISTのAIリスクマネジメントフレームワークは、「AIリスクマネジメントは、より広範なエンタープライズリスクマネジメント戦略とプロセスに統合され、組み込まれるべきである」と指摘している。AIリスクをサイバーセキュリティやプライバシーなど他の重要リスクとともに扱うことで、より統合された結果と組織の効率性が得られる」。 [1]
This publication addresses OMB’s points above for ensuring that ERM considerations and decisions take an ICT portfolio perspective. This publication examines the relationships among ICT risk disciplines and enterprise risk practices. Notably, OMB has stressed the need for enterprise risk considerations and decisions to be based on a portfolio-wide perspective. Individual risk programs have an important role and must integrate activities as part of that enterprise portfolio. Doing so ensures a focus on achieving enterprise objectives and helps identify those risks that will have the most significant impact on the entity’s mission. This publication extends that NIST risk program guidance to recognize that risk extends beyond the boundaries of individual programs. There are extensive ICT risk considerations (e.g., Internet of Things, supply chain, privacy, cybersecurity) as well as risk management frameworks that support the management of a mosaic of interrelated risks. Effectively addressing these ICT risks at the enterprise level requires coordination, communication, and collaboration. This publication examines the relationships between ICT risk disciplines and enterprise risk practices.	本書は、ICTポートフォリオの視点に立ったERMの検討と決定を確保するためのOMBの上記の指摘に対応するものである。本書は、ICTリスク規律とエンタープライズリスク実務の関係を検証している。特にOMBは、エンタープライズ・リスクの検討と決定はポートフォリオ全体の視点に基づく必要性を強調している。個々のリスクプログラムには重要な役割があり、エンタープライズポートフォリオの一部として活動を統合しなければならない。そうすることで、エンタープライズ目標の達成に焦点を絞ることができ、事業体のミッションに最も大きな影響を与えるリスクを特定することができる。本書は、NISTリスクプログラムガイダンスを拡張し、リスクは個々のプログラムの境界を越えて拡大することを認識するものである。広範なICTリスク（モノのインターネット、サプライチェーンリスク、プライバシーリスク、サイバーセキュリティリスクなど）の検討や、相互に関連するモザイク状のリスクのマネジメントを支援するリスクマネジメントフレームワークが存在する。エンタープライズレベルでこれらのICTリスクに効果的に対処するには、調整、コミュニケーション、コラボレーションが必要である。本書では、ICTリスク分野とエンタープライズリスク実務の関係を検証する。
The broad set of ICT disciplines forms an adaptive system-of-systems composed of many interdependent components and channels. The resulting data represent information, control signals, and sensor readings. As with other complex systems-of-systems, the interconnectedness of these technologies produces system behaviors that cannot be determined by the behavior of individual components. That interconnectedness causes risks that exist between and across multiple risk programs. As systems become more complex, they present exploitable vulnerabilities, emergent risks, and system instabilities that — once triggered — can have a runaway effect with multiple severe and often irreversible consequences. In the contemporary enterprise, emergency and real-time circumstances can turn a relatively minor ICT-based risk into true operational risks that disrupt an organization’s ability to perform mission or business functions. Many organizations have applied traditional fault tolerance and resilience measures to support the availability of essential functions and services. Those measures themselves can introduce fragility and increase attack surface, as can system complexity (e.g., real-time control systems), so the enterprise may need to consider more advanced resilience techniques.	ICT分野の幅広いセットは、相互に依存し合う多くのコンポーネントとチャンネルで構成される適応システム・オブ・システムを形成している。結果として生じるデータは、情報、制御信号、センサーの読み取り値を表す。他の複雑なシステム・オブ・システムと同様に、これらの技術の相互接続性は、個々の構成要素の動作では決定できないシステム動作を生み出す。その相互接続性により、複数のリスクプログラム間、あるいは複数のリスクプログラムにまたがって存在するリスクが発生する。システムが複雑化するにつれて、脆弱性、顕在化リスク、システムの不安定性が顕在化し、一旦それが引き起こされると、複数の深刻でしばしば取り返しのつかない結果をもたらす暴走を引き起こす可能性がある。現代のエンタープライズでは、緊急時やリアルタイムの状況は、比較的軽微なICTベースのリスクを、組織のミッションやビジネス機能の遂行能力を混乱させる真のオペレーションリスクに変える可能性がある。多くの組織は、必要不可欠な機能やサービスの可用性をサポートするために、従来のフォールト・トレランスやレジリエンスを適用してきた。このような対策は、システムの複雑さ (たとえば、リアルタイム制御システム) と同様に、それ自体が脆弱性をもたらし、攻撃サーフェスを増大させる可能性があるため、エンタープライズは、より高度なレジリエンス技術を検討する必要があるかもしれない。
This publication supports an interconnected approach to risk frameworks and programs that address ICT risk areas (e.g., cybersecurity, privacy, supply chain) within an enterprise risk portfolio. This publication encourages the practice of aggregating and normalizing ICT risk information. Doing so helps to identify, quantify, and communicate risk scenarios and their consequences to support effective decision-making. This integrated approach ensures that shareholder and stakeholder value is quantified in financial, mission, and reputation metrics similar to those attributed to other (non-technical) enterprise risks, thereby enabling executives and officials to prudently reallocate resources among varied competing risk types.	本書は、エンタープライズリスクポートフォリオの中で ICT リスク分野（例えば、サイバーセキュリティ、プライバシー、サプライチェーン）に対応するリスクフレームワーク及びプログラムに対する相互連結的なアプローチを支援するものである。本書は、ICT リスク情報を集約し、正規化することを奨励する。そうすることで、リスクシナリオとその結果を識別、定量化、及びコミュニケーションすることができ、効果的な意思決定を支援することができる。この統合的アプローチにより、株主及び利害関係者の価値が、他の（非テクニカルな）エンタープライズリスクと同様に、財務、ミッション、及びレピュテーションの指標で定量化されることが保証され、それにより、経営幹部及び関係者は、様々な競合するリスクタイプ間でリソースを慎重に再配分することが可能となる。
While NIST is widely recognized as a source of cybersecurity guidance, cyber is only one portion of a large and complex set of risk types that also include financial, legal, legislative, safety, and strategic risks. As part of an ERM program, senior leaders (e.g., corporate officers, government senior executive staff) often have fiduciary and reporting responsibilities that other organizational stakeholders do not, so they have a unique responsibility to holistically manage the combined set of risks. ERM provides the umbrella under which risks are aggregated and prioritized so that all risks can be evaluated and “stovepiped” risk reporting can be avoided. ERM also provides an opportunity to identify operational risk — a subset of enterprise risks that is so significant that potential losses could jeopardize one or more aspects of operations. Risk managers determine whether a failed internal process (related to enterprise people, processes, technology, or governance) may directly cause a significant operational impact. Some risk response activities directly protect mission operations. Enterprise leaders should define these operational risk parameters as part of enterprise risk strategy.	NISTはサイバーセキュリティに関するガイダンスの情報源として広く認知されているが、サイバーは、財務リスク、法的リスク、立法リスク、安全リスク、戦略リスクなど、大規模かつ複雑なリスク群の一部分に過ぎない。ERMプログラムの一環として、シニアリーダー（例えば、会社役員、政府の上級幹部職員）は、他の組織の利害関係者にはない受託責任や報告責任を負うことが多いため、複合的なリスクを総合的に管理する独自の責任を負う。ERMは、すべてのリスクを評価し、「縦割り」のリスク報告を避けることができるように、リスクを集約し、優先順位をつけるための傘を提供する。ERMはまた、オペレーショナル・リスク（潜在的な損失がオペレーションの1つ以上の側面を危険にさらす可能性があるほど重大なエンタープライズ・リスクのサブセット）を識別する機会も提供する。リスクマネジメントは、社内プロセス（エンタープライズの人材、プロセス、テクノロジー、またはガバナンスに関連する）の失敗が、直接的に業務に重大な影響を及ぼすかどうかを判断する。リスク対応活動の中には、ミッション業務を直接的に保護するものもある。エンタープライズリーダーは、エンタープライズリスク戦略の一環として、これらのオペレーショナルリスクパラメータを定義すべきである。
This publication explores the high-level ICT risk management (ICTRM) process illustrated by Fig. 1. Many resources — such as well-known frameworks from the Committee of Sponsoring Organizations (COSO), OMB circulars, and the International Organization for Standardization (ISO) — document ERM frameworks and processes. They generally include similar approaches: identify context, identify risk, analyze risk, estimate risk importance, determine and execute the risk response, and identify and respond to changes over time. The process recognizes that no risk response should occur without understanding stakeholder expectations for managing risk to an acceptable level, as informed by leadership’s risk appetite and risk tolerance statements.	本書では、図1に示すハイレベルのICTリスクマネジメント（ICTRM）プロセスについて検討する。COSO（Committee of Sponsoring Organizations：支援組織委員会）、OMB通達、ISO（International Organization for Standardization：国際標準化機構）の有名なフレームワークなど、多くのリソースがERMのフレームワークとプロセスを文書化している。これらのフレームワークには一般的に、「コンテキストの特定」、「リスクの特定」、「リスクの分析」、「リスクの重要性の見積もり」、「リスク対応の決定と実行」、「経年変化の特定と対応」という類似のアプローチが含まれている。このプロセスでは、リーダーシップのリスク選好度及びリスク許容度の声明によって知らされる、リスクを許容可能なレベルにマネジメントすることに対する利害関係者の期待を理解することなしに、リスク対応は行われるべきではないことを認識する。
To ensure that leaders can be provided with a composite understanding of the various threats and consequences each organization and enterprise faces, risk information is recorded and shared through risk registers.[2] At higher levels in the enterprise structure, various risk registers (including those related to ICTRM) are aggregated, normalized, and prioritized into risk profiles.	各組織とエンタープライズが直面する様々な脅威とその結果について、リーダーが複合的な理解を提供できるようにするため、リスク情報はリスク登録簿を通じて記録され、共有される [2] エンタープライズ構造のより高いレベルでは、様々なリスク登録簿（ICTRM に関連するものを含む）が集約され、正規化され、リスクプロファイルに優先順位付けされる。

Fig. 1. ICTRM integration cycle	図1.ICTRM統合サイクル
While it is critical for an enterprise to address potential negative impacts on mission and business objectives, it is equally critical (and required for federal agencies) that enterprises plan for success. OMB states that “the [Enterprise Risk] profile must identify sources of uncertainty, both positive (opportunities) and negative (threats)” [OMB-A123].	エンタープライズにとって、ミッションや事業目標への潜在的な負の影響に対処することは極めて重要であるが、エンタープライズが成功に向けて計画を立てることも同様に重要である（連邦政府機関にとっては必須である）。OMBは、「[エンタープライズ・リスク]プロフィールは、プラス（機会）とマイナス（脅威）の両方の不確実性の原因を特定しなければならない」と述べている[OMB-A123]。
Enterprise-level decision makers use the risk profile to choose which enterprise risks to address, allocate resources, and delegate responsibilities to appropriate risk owners. ERM strategy includes defining terminology, formats, criteria, and other guidance for risk inputs from lower levels of the enterprise.	エンタープライズレベルの意思決定者は、リスクプロファイルを用いて、対応すべきエンタープライズリスクを選択し、リソースを配分し、適切なリスク所有者に責任を委譲する。ERM戦略には、用語、形式、基準、及びエンタープライズ下層からのリスクインプットに関するその他のガイダンスを定義することが含まれる。
Integrating risk management information from throughout the enterprise supports a full-scope enterprise risk register (ERR) and a prioritized enterprise risk profile (ERP). These artifacts enhance ERM deliberations, decisions, and actions. Integrating this information enables the inclusion of ICT risks (including various operational technology, supply chain, privacy, and cybersecurity risks) as part of financial, valuation, mission, and reputation exposure. A comprehensive ERR and ERP support communication and disclosure requirements. The integration of technology-specific risk management activities supports an understanding of exposures related to corporate reporting (e.g., income statements, balance sheets, cash flow) and similar requirements (e.g., reporting for appropriation and oversight authorities) for public-sector entities. The iterative ICTRM process enables adjustments to risk management direction. As leaders receive feedback regarding enterprise progress, strategy can be adjusted to take advantage of an opportunity or to better address negative risks as information is collected and shared.	エンタープライズ全体のリスクマネジメント情報を統合することで、全範囲のエンタープライズリスクレジスター（ERR）と優先順位付けされたエンタープライズリスク・プロファイル（ERP）をサポートする。これらの成果物は、ERMの審議、決定、及び行動を強化する。これらの情報を統合することにより、財務、評価、ミッション、及びレピュテーションのエクスポージャーの一部として、ICTリスク（様々なオペレーショナルテクノロジー、サプライチェーン、プライバシー、及びサイバーセキュリティリスクを含む）を含めることが可能となる。包括的なERRとERPは、コミュニケーションと情報開示の要件をサポートする。技術固有のリスクマネジメント活動の統合は、企業報告（損益計算書、貸借対照表、キャッシュフロー等）及び公共部門事業体の類似の要求事項（処分及び監督当局への報告等）に関連するエクスポージャーの理解を支援する。反復的なICTRMプロセスにより、リスクマネジメントの方向性を調整することができる。リーダーがエンタープライズの進捗状況についてフィードバックを受けると、情報が収集され共有されるにつれて、戦略を調整して好機を生かしたり、ネガティブリスクによりよく対処したりすることができる。
Applying a consistent approach to identify, assess, respond to, and communicate risk throughout the enterprise about the entire portfolio of ICT risk disciplines will help ensure that leaders and executives are accurately informed and able to support effective strategic and tactical decisions. While the methods for managing risk among different disciplines will vary widely, an ICT-wide approach to directing risk management, reporting and monitoring the results, and adjusting to optimize the achievement of enterprise objectives will provide valuable benefits.	ICTリスク分野のポートフォリオ全体について、エンタープライズ全体でリスクを特定、アセスメント、対応、及びコミュニケーションするための一貫したアプローチを適用することは、リーダー及び経営幹部が正確な情報を入手し、効果的な戦略的及び戦術的意思決定を支援できるようにするのに役立つ。各分野におけるリスクマネジメントの方法は多岐にわたるが、リスクマネジメントを指揮し、結果を報告し、監視し、エンタープライズ目標の達成を最適化するために調整するための ICT 全体のアプローチは、価値ある利益をもたらす。

^[1] The NIST Artificial Intelligence Risk Management Framework (AI RMF 1.0) is available at https://doi.org/10.6028/NIST.AI.100-1.	^[1] NIST人工知能リスクマネジメントフレームワーク（AI RMF 1.0）はhttps://doi.org/10.6028/NIST.AI.100-1。
[2] OMB Circular A-11 defines a risk register as “a repository of risk information including the data understood about risks over time” [OMB-A11].	[2] OMB通達A-11では、リスク登録簿を「経時的にリスクについて理解されるデータを含むリスク情報のリポジトリ」と定義している[OMB-A11]。

・2023.11.17 NIST SP 800-221A Information and Communications Technology (ICT) Risk Outcomes: Integrating ICT Risk Management Programs with the Enterprise Risk Portfolio

NIST SP 800-221A Information and Communications Technology (ICT) Risk Outcomes: Integrating ICT Risk Management Programs with the Enterprise Risk Portfolio	NIST SP 800-221A 情報通信技術（ICT）リスクの成果： ICTリスクマネジメントプログラムとエンタープライズリスクポートフォリオの統合
Abstract	概要
The increasing frequency, creativity, and severity of technology attacks means that all enterprises should ensure that information and communications technology (ICT) risk is receiving appropriate attention within their enterprise risk management (ERM) programs. Specific types of ICT risk include, but are not limited to, cybersecurity, privacy, and supply chain. This document provides a framework of outcomes that applies to all types of ICT risk. It complements NIST Special Publication (SP) 800-221, Enterprise Impact of Information and Communications Technology Risk, which focuses on the use of risk registers to communicate and manage ICT risk.<	テクノロジー攻撃の頻度、創造性、及び重大性が増していることから、すべてのエンタープライズは、情報通信技術（ICT）リスクが企業リスクマネジメント（ERM）プログラムの中で適切な注意を払っていることを確認する必要がある。ICTリスクの具体的な種類としては、サイバーセキュリティ、プライバシー、サプライチェーンなどが挙げられるが、これらに限定されるものではない。本文書は、あらゆる種類の ICT リスクに適用される成果のフレームワークを提供する。これは、NIST 特別刊行物（SP）800-221「情報通信技術のリスクのエンタープライズへの影響」を補完するものであり、ICT リスクを伝達しマネジメントするためのリスク登録の使用に焦点を当てている。

・[PDF] NIST.SP.800-221A

・[DOCX] 仮訳

● まるちゃんの情報セキュリティ気まぐれ日記

・2022.07.25 NIST SP 800-221 (ドラフト) 情報通信技術リスクのエンタープライズへの影響：エンタープライズ・リスクポートフォリオの中でのICTリスクプログラムの統治と管理 SP 800-221A (ドラフト) 情報通信技術 (ICT) リスクの成果：ICTリスクマネジメントプログラムとエンタープライズリスクポートフォリオの統合

経営ガイドライン Veer3.0

・2023.11.09 IPA サイバーセキュリティ経営ガイドライン Ver 3.0実践のためのプラクティス集 (2023.10.31)

・2023.03.26 経済産業省サイバーセキュリティ経営ガイドラインVer 3.0

・2022.12.10 経団連「サイバーセキュリティ経営ガイドライン Ver3.0 (案) 」に対する意見

2023.11.20 16:16 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in AI/Deep Learning | Permalink | Comments (0)
Tweet

NIST 意見募集 IR8496 NIST IR 8496（初公開ドラフト）データ収集改善のためのデータ格付の概念と考察

こんにちは、丸山満彦です。

組織が情報セキュリティ対策を検討する際に、初期段階では守るべき情報資産の識別 (identify) とその格付け (classification) が重要となるのですが、面倒なので、多くの組織では十分できていないことが多いですよね。。。

格付けの概念は理解できるが、実務上するのは本当に面倒ですよね。。。今まで適当にしてお茶を濁してきていたのですが、経済安全保障関係でクリアランス制度なんかが検討され、場合によっては民間人にも刑事罰？までつこうとしているのであれば、情報資産の識別と格付けは避けては通れなくなるので、面倒ですがやらないといけなくなりますよね。。。

ちなみに日本でも、特定秘密保護法ではすでに実施されていて、その管理の概要は内閣官房のウェブページに公表されていますね。。。

● 内閣官房 - 内閣情報調査室 - 特定秘密保護法関連

・特定秘密の指定及びその解除並びに適性評価の実施の状況に関する報告

・各行政機関における特定秘密の指定状況等について

さて、このIRは米国連邦政府用ですが、その他組織でも参考になりますよね。。。

● NIST - NNCoE

・2023.11.15 NCCoE Releases Draft NIST IR 8496 for Data Classification

● NIST- ITL

・2023.11.15 NIST IR 8496 (Initial Public Draft) Data Classification Concepts and Considerations for Improving Data Collection

NIST IR 8496 (Initial Public Draft) Data Classification Concepts and Considerations for Improving Data Collection	NIST IR 8496（初公開ドラフト）データ収集改善のためのデータ格付の概念と考察
Announcement	発表
Data classification is the process an organization uses to characterize its data assets using persistent labels so those assets can be managed properly. Data classification is vital for protecting an organization’s data at scale because it enables application of cybersecurity and privacy protection requirements to the organization’s data assets. This publication defines basic terminology and explains fundamental concepts in data classification so there is a common language for all to use. It can also help organizations improve the quality and efficiency of their data protection approaches by becoming more aware of data classification considerations and taking them into account in business and mission use cases, such as secure data sharing, compliance reporting and monitoring, zero-trust architecture, and large language models.	データ分類とは、組織が永続的なラベルを使用してデータ資産を特徴付け、それらの資産を適切に管理できるようにするプロセスである。データ格付は、組織のデータ資産にサイバーセキュリティとプライバシー保護の要件を適用することを可能にするため、組織のデータを大規模に保護するために不可欠である。本書は、基本的な用語を定義し、データ格付の基本的な概念を説明することで、すべての人が使用できる共通言語を提供する。また、安全なデータ共有、コンプライアンス・レポーティングとモニタリング、ゼロトラスト・アーキテクチャ、大規模言語モデルなどのビジネスやミッションのユースケースにおいて、データ分類の考慮事項をより深く理解し、それらを考慮に入れることで、組織がデータ保護アプローチの質と効率を改善するのにも役立つ。
Abstract	概要
...	（発表と同じなので省略）

・[PDF] IR.8496.ipd

目次...

1. Introduction	1. 序文
1.1. Purpose and Scope	1.1. 目的と範囲
1.2. Publication Structure	1.2. 出版構成
2. Background	2. 背景
2.1. Data Lifecycle	2.1. データのライフサイクル
2.2. Structured, Unstructured, and Semi-Structured Data	2.2. 構造化データ、非構造化データ、半構造化データ
2.3. Data Governance and Data Management	2.3. データガバナンスとデータ管理
3. Data Classification Functions	3. データ格付機能
3.1. Defining the Data Classification Policy	3.1. データ格付方針の定義
3.2. Identifying Data Assets to Classify	3.2. 分類すべきデータ資産の識別
3.3. Determining Data Classifications for Data Assets	3.3. データ資産のデータ格付の決定
3.4. Labeling Data Assets	3.4. データ資産にラベルを付ける
3.5. Monitoring Data Assets	3.5. データ資産の監視
References	参考文献
Appendix A. List of Symbols, Abbreviations, and Acronyms	附属書A. 記号、略語、頭字語のリスト
Appendix B. Glossary	附属書B. 用語集

本文...

1. Introduction	1. 序文
Data are “a representation of information, including digital and non-digital formats.” [NISTPF] A data asset is “an information-based resource” such as a database, document, webpage, or service. [CNSSI4009] This publication uses the term “data asset” throughout to indicate the relative importance of specific data resources, as opposed to data in general. Metadata are information regarding the context of a specific data asset, like who or what created the data asset (i.e., data provenance) and when and where the data asset was collected.	データとは「情報の表現であり、デジタル及び非デジタル形式を含む。[NISTPF] データ資産とは、データベース、文書、ウェブページ、サービスなどの「情報ベースのリソース」である。[CNSSI4009] 本書では、データ全般ではなく、特定のデータリソースの相対的な重要性を示すために、全体を通して「データ資産」という用語を使用する。メタデータとは、特定のデータ資産のコンテキストに関する情報であり、誰が、または何がデータ資産を作成したのか（すなわち、データの出所）、データ資産はいつ、どこで収集されたのか、などである。
Data classification is the process an organization uses to characterize its data assets using persistent labels so those assets can be managed properly. Examples of possible data classifications include “protected health information (PHI),” “personally identifiable information (PII),” and “financial records.” Applying data classification practices can benefit organizations in:	データ格付とは、組織がデータ資産を適切に管理できるように、永続的なラベルを使用してデータ資産を特徴付けるプロセスである。データ格付の例としては、"保護された医療情報（PHI）"、"個人を特定できる情報（PII）"、"財務記録 "などがある。データ格付の適用により、組織には次のようなメリットがある：
• enabling application of cybersecurity and privacy protection requirements to the organization’s data assets;	・組織のデータ資産にサイバーセキュリティとプライバシー保護の要件を適用できるようにする；
• securely sharing data assets with partners, contractors, and other organizations;	・データ資産をパートナー、請負業者、その他の組織と安全に共有する；
• knowing which requirements from laws, regulations, contracts, and other sources apply to a particular data asset;	・法律、規制、契約、その他の情報源から、どの要件が特定のデータ資産に適用されるかを把握する；
• maintaining awareness of data assets and the criticality of each asset, which supports implementation of zero-trust architectures and other cybersecurity and privacy technologies;	・データ資産と各資産の重要性に関する認識を維持し、ゼロトラストアーキテクチャやその他のサイバーセキュリティおよびプライバシー技術の実装を支援する；
• enforcing restrictions on access to and transfer of an organization’s intellectual property;	・組織の知的財産へのアクセスと移転の制限を実施する；
• capturing metadata about the source of data assets consumed by generative artificial intelligence (AI) technologies (e.g., large language models [LLMs]); and	・生成的人工知能（AI）技術（大規模言語モデル[LLM]など）によって消費されるデータ資産のソースに関するメタデータを取得する。
• identifying and recording metadata for data assets when that metadata might not be needed today but will be needed in the future; an example is for post-quantum readiness and migration planning.	・データ資産のメタデータを特定し,記録する。そのメタデータが現在は必要ないかもしれないが,将来必要になる場合。
1.1. Purpose and Scope	1.1. 目的と範囲
This publication has two purposes. First, it defines basic terminology and explains fundamental concepts in data classification so there is a common language for all to use, thus alleviating existing confusion and ambiguity regarding what particular terms mean. Second, this publication can help organizations improve the quality and efficiency of their data protection approaches by becoming more aware of data classification considerations and taking them into account in business and mission use cases.	本書には2つの目的がある。第一に、基本的な用語を定義し、データ格付の基本的な概念を説明することで、すべての人が使用できる共通言語を確立し、特定の用語の意味するところに関する既存の混乱や曖昧さを緩和することである。第二に、本書は、組織がデータ格付を意識し、ビジネスやミッションのユースケースにおいてデータ格付を考慮することにより、データ保護アプローチの質と効率を向上させるのに役立つ。
This publication’s terms and concepts will be used throughout the NCCoE’s Special Publication (SP) 1800-39, Implementing Data Classification Practices series of practice guides [SP1800-39], and will also be used by other NIST efforts, including the NCCoE’s Data Security and Zero Trust Architecture projects. This publication also may inform future versions of NIST SP 800-60, Guide for Mapping Types of Information and Information Systems to Security Categories [SP800-60], as well as help organizations with adopting the NIST Cybersecurity Framework [NISTCSF], the NIST Privacy Framework [NISTPF], and other NIST frameworks and guidance.	本書の用語と概念は、NCCoEの特別刊行物（SP）1800-39「データ格付の実施」シリーズの実践ガイド[SP1800-39]全体で使用されるほか、NCCoEのデータセキュリティやゼロトラストアーキテクチャプロジェクトなど、NISTの他の取り組みでも使用される予定である。本書はまた、NIST SP 800-60「情報と情報システムの種類をセキュリティカテゴリーにマッピングするためのガイド」[SP800-60]の将来のバージョンに情報を提供するだけでなく、NISTサイバーセキュリティフレームワーク[NISTCSF]、NISTプライバシーフレームワーク[NISTPF]、その他のNISTフレームワークやガイダンスを組織が採用する際にも役立つ可能性がある。
The scope of this publication is data classification considerations to enable data protection. Details of how technologies enforce data protection requirements are out of scope for this publication.	本書の対象範囲は、データ保護を可能にするためのデータ格付の検討である。データ保護要件を強制する技術の詳細については、本書の対象外である。
This publication applies to any data classifications and data classification schemes that organizations may use, not just those used by the U.S. government or military.	本書は、米国政府や軍で使用されているものだけでなく、組織が使用するあらゆるデータ格付およびデータ分類スキームに適用される。
1.2. Publication Structure	1.2. 出版物の構成
The rest of this publication is comprised of the following sections and appendices:	本書の残りの部分は以下のセクションと附属書で構成されている：
• Section 2 provides background information on the data lifecycle, data governance and management, and types of data.	・セクション2では,データライフサイクル,データガバナンスと管理,データの種類に関する背景情報を提供する。
• Section 3 describes the primary practices involved in data classification and discusses considerations that organizations should take into account for their data classification practices.	・セクション3では,データ格付に関わる主な慣行について説明し,組織がデータ格付を行う際に考慮すべき点について論じている。
• The References section lists the references cited throughout the publication.	・参考文献の項では,本書の中で引用されている参考文献を列挙している。
• Appendix A lists the acronyms used in the publication.	・附属書Aは本書で使用されている略語の一覧である。
• Appendix B provides a glossary with definitions of selected terms from the publication.	・附属書Bは,本書で使用した用語の定義を示した用語集である。
2. Background	2. 背景
This section defines basic terminology and explains fundamental concepts from data governance and data management as background for understanding the data classification practices and considerations explained in Section 3.	この章では基本的な用語を定義し、データガバナンスとデータマネジメントの基本的な概念を説明する。
2.1. Data Lifecycle	2.1. データライフサイクル
An organization manages its data assets through the data lifecycle. There are many valid data lifecycles that originate from different technical practices. This publication describes a simple lifecycle that focuses on those high-level phases important to data classification: Identify, Use, Maintain, and Dispose. Not all data lifecycle phases occur for every data asset.	組織はデータライフサイクルを通じてデータ資産を管理する。様々な技術的慣行に由来する多くの有効なデータライフサイクルがある。本書では、データ格付に重要なハイレベルのフェーズに焦点を当てた単純なライフサイクルを説明する：識別、使用、維持、廃棄である。すべてのデータ資産ですべてのデータ・ライフサイクル・フェーズが発生するわけではない。
• Identify: The organization identifies data assets. Section 3.2 contains more information on methods for identifying data assets.	・識別する: 組織はデータ資産を識別する。セクション3.2にデータ資産の識別方法の詳細が記載されている。
• Use: The organization accesses, views, shares, and modifies part or all of a data asset. As part of use, new data assets may be created by the aggregation (multiple assets joined into one) or disaggregation (one data asset broken into multiple assets) of existing data assets. Data assets may also be repurposed (i.e., used for a different reason or in a different way than originally intended).	・使用：組織はデータ資産の一部または全部にアクセスし、閲覧し、共有し、変更する。使用の一環として、既存のデータ資産を集約（複数の資産を1つに結合）または分割（1つのデータ資産を複数の資産に分割）することにより、新しいデータ資産が作成されることがある。また、データ資産が再利用されることもある（すなわち、当初の意図とは異なる理由または異なる方法で使用される）。
• Maintain: The organization preserves data assets over time. This may include converting a data asset to a different format or representation as technologies change so it will continue to be usable.	・維持する: 組織はデータ資産を長期にわたって保全する。これには、技術の変化に応じてデータ資産を異なる形式や表現に変換し、引き続き使用できるようにすることが含まれる。
• Dispose: The organization disposes of data assets at the end of the data lifecycle. Data assets that are no longer needed are destroyed or otherwise disposed of to free resources and to prevent data from being accessed by unauthorized parties—for example, when storage media is disposed of.	・廃棄: 組織は、データライフサイクルの終了時にデータ資産を廃棄する。例えば、記憶媒体を廃棄する場合などである。リソースを解放し、不正な第三者によるデータへのアクセスを防止するために、不要になったデータ資産は破棄またはその他の方法で処分する。
2.2. Structured, Unstructured, and Semi-Structured Data	2.2. 構造化データ、非構造化データ、半構造化データ
How a data asset is represented can be described in three broad categories: structured, semistructured, and unstructured. Each of these terms describes the degree to which a data asset conforms to a logical or physical data model—a specification for the elements of data contained within a data asset—within the context of a particular business domain.	データ資産の代表者は、構造化、半構造化、非構造化の3つのカテゴリーに大別できる。これらの用語はそれぞれ、データ資産が特定のビジネスドメインのコンテキストにおいて、論理的または物理的データモデル（データ資産に含まれるデータの要素の仕様）に適合する度合いを表す。
• Structured data follow a physical data model that describes in detail how the data are to be represented and how a representation should be interpreted. Structured data may be found in a database or other mechanism that clearly indicates what type of information each data field contains, like customer ID or part number. Structured data can be validated against the data model to ensure their meaningfulness.	・構造化データは物理的データモデルに従う。物理的データモデルには,データがどのように表現され,表現がどのように解釈されるべきかが詳細に記述されている。構造化データは,顧客IDや部品番号のように,各データフィールドがどのような種類の情報を含んでいるかを明確に示すデータベースやその他の仕組みの中に見出すことができる。構造化データは,データモデルと照らし合わせて検証することで,その意味性を確認することができる。
• Semi-structured data describe their own data model (self-describing). Semi-structured data are expressed in formats like the Extensible Markup Language (XML) and JavaScript Object Notation (JSON) for sharing proprietary data sets, sensitive configurations parameters, and other information.	・半構造化データは、それ自身のデータモデルを記述する（自己記述型）。半構造化データは、XML（Extensible Markup Language）やJSON（JavaScript Object Notation）のような形式で表現され、独自のデータセットや機密性の高い設定パラメータ、その他の情報を共有することができる。
• Unstructured data do not follow a detailed data model that is meaningful to a business domain. Examples include documents and videos. Unstructured data might be stored in a specific format, such as a proprietary document format or a standards-based video format. For example, a video could show a patient’s medical procedure, people entering and exiting a facility, or a training course for new employees. A document with unstructured data not only could contain nearly any type of information, but it may also have other types of data embedded within it, such as graphics, videos, and other documents, each containing one or more other instances of data.	・非構造化データは,ビジネス・ドメインにとって意味のある詳細なデータ・モデルに従っていない。例えば,文書やビデオなどがある。非構造化データは,独自の文書フォーマットや標準ベースのビデオフォーマットなど,特定のフォーマットで保存される場合がある。例えば,ビデオには患者の医療処置,施設に出入りする人々,新入社員向けのトレーニングコースなどを映すことができる。非構造化データを含む文書には,ほぼすべてのタイプの情報が含まれる可能性があるだけでなく,グラフィックス,ビデオ,その他の文書など,他のタイプのデータが埋め込まれている可能性もある。
2.3. Data Governance and Data Management	2.3. データガバナンスとデータ管理
Data governance encompasses the actions an organization needs to perform to ensure that its data assets are managed properly. Aspects of data classification that are particularly important for data governance are defining the organization’s data classification policies and related data protection requirements, and determining how those policies should be implemented and enforced, including roles and responsibilities both within the organization and outside the organization.	データガバナンスは、データ資産が適切に管理されていることを保証するために組織が実行する必要のある行動を包含する。データガバナンスにとって特に重要なデータ格付の側面は、組織のデータ分類方針及び関連するデータ保護要件を定義すること、並びに、組織内外の役割及び責任を含め、それらの方針をどのように実施し執行すべきかを決定することである。
Data management is the implementation and enforcement of the policies and practices resulting from data governance. Data management should occur for all data assets throughout the data lifecycle. Metadata are a form of data, so metadata also need to be managed. Although explaining data management in detail is outside the scope of this publication, some basic understanding of the following areas of data management is necessary in order to understand data classification’s role as part of data management:	データ管理は、データガバナンスの結果として得られた方針と実務の実施と実施である。データ管理は、データライフサイクル全体を通じて、すべてのデータ資産に対して行われる必要がある。メタデータもデータの一形態であるため、メタデータも管理する必要がある。データ管理について詳細に説明することは本書の範囲外であるが、データ管理の一部としてのデータ格付の役割を理解するためには、データ管理の以下の分野について基本的な理解が必要である：
• Data definition: In order to manage a data asset, an organization first needs to define it. Data definition varies by data asset, but it usually includes identifying the applicable data type and data model, as well as collecting metadata regarding the origin, nature, purpose, and quality of the data asset (data cataloging). Data definition strives to gather sufficient information about a data asset so that the organization can ascertain its data classifications. The formality and rigor of data definition varies greatly among data assets, but it is typically related to whether the data asset is structured, semi-structured, or unstructured.	・データの定義：データ定義：データ資産を管理するためには、組織はまずそれを定義する必要がある。データの定義：組織がデータ資産を管理するためには、まずそれを定義する必要がある。データの定義はデータ資産によって異なるが、通常は識別データタイプとデータモデルを特定することと、データ資産の起源、性質、目的、品質に関するメタデータを収集すること（データカタログ化）が含まれる。データ定義は、組織がデータ格付を確認できるように、データ資産に関する十分な情報を収集することに努める。データ定義の形式と厳密さはデータ資産によって大きく異なるが、一般的にはデータ資産が構造化、半構造化、非構造化のいずれであるかに関係する。
• Data classification: The data classifications for a data asset are selected and assigned based on one or more of the following: its data definition, its catalogued metadata, and review or analysis of its contents. Section 3 discusses this topic in detail.	・データ格付: データ資産のデータ格付は、そのデータ定義、カタログ化されたメタデータ、およびコンテンツのレビューまたは分析のうちの1つ以上に基づいて選択され、割り当てられる。セクション3ではこのトピックについて詳述する。
• Data protection: Once data classifications are assigned, the organization needs to enforce the data protection requirements associated with each of those classifications. These encompass all of the controls needed to protect each data asset in accordance with its classifications. An example is a data classification associated with requirements to encrypt the data asset when at rest or in transit, use a data integrity mechanism to detect tampering, allow access by members of a particular group only, and retain the data asset for at least two years from the date it was acquired.	・データ保護: データ格付が割り当てられたら、組織は各分類に関連するデータ保護要件を実施する必要がある。これらの要件には、各データ資産をその分類に従って保護するために必要なすべての防御が含まれる。例えば、静止時または転送時にデータ資産を暗号化する、改ざんを検出するためにデータ完全性メカニズムを使用する、特定のグループのメンバーのみにアクセスを許可する、データ資産を取得日から少なくとも2年間保持する、といった要件に関連するデータ格付が挙げられる。
• Data monitoring: Data monitoring is needed to identify any changes to the data definition or the data asset itself that might necessitate changes to data classifications and/or data protection. Data monitoring can also identify lessons learned from real-world data classification and protection experiences that may improve data management.	・データの監視: データモニタリングは,データ分類及び/又はデータ保護の変更が必要となるようなデータ定義又はデータ資産自体の変更を特定するために必要である。データモニタリングはまた,データ管理を改善する可能性のある,実際のデータ格付やデータ防御の経験から得られた教訓を特定することもできる。
3. Data Classification Functions	3. データ格付の機能
The process of data classification includes the following functions:	データ格付のプロセスには以下の機能が含まれる：
1. Define the organization’s data classification policy, which is the taxonomy of data asset types and the rules for identifying data assets of each type.	1. 組織のデータ格付方針を定義する。これはデータ資産タイプの分類法であり、各タイプのデータ資産を識別するためのルールである。
2. Identify the organization’s data assets to be classified.	2. 分類すべき組織のデータ資産を識別する。
3. Analyze the data assets and determine the appropriate data classifications for each.	3. データ資産を分析し、それぞれに適切なデータ格付を決定する。
4. Associate data classification labels with each data asset. (Once labels are assigned, the applicable cybersecurity and privacy requirements can be enforced for each data asset.)	4. データ分類ラベルを各データ資産に関連付ける。(ラベルが割り当てられると、各データ資産に適用されるサイバーセキュリティとプライバシーの要件を実施することができる)。
5. Monitor each data asset for changes that may necessitate updating its data classifications and/or the data classification policy.	5. データ分類および／またはデータ分類ポリシーの更新が必要となるような変更がないか、各データ資産を監視する。
This section provides more information on each of the functions, including considerations that organizations may choose to adopt. Taking these considerations into account can help organizations improve the quality and efficiency of their data classification implementations, which can have positive impacts throughout the data lifecycle.	このセクションでは、組織が採用することを選択できる考慮事項を含む、各機能の詳細について説明する。これらの考慮事項を考慮することで、組織はデータ分類の実施における品質と効率を改善することができ、データライフサイクル全体に好影響を与えることができる。
3.1. Defining the Data Classification Policy	3.1. データ格付方針の定義
A data classification scheme is a taxonomy of all of an organization’s known data asset types. For example, part of a classification scheme might involve data classifications that characterize high-level business data types of a data asset—for instance, “vendor invoices,” “customer invoices,” “employee records,” etc. Data assets may also be classified based on source information, like “internally created,” “licensed data,” or “acquired data.” Additional data classifications could include geopolitical information about the data asset, e.g., “US person” or “EU entity”. With those three independent classifications applied to a data asset, the organization can then protect the data asset according to the requirements corresponding to its business data type, source, and geopolitical origin. When data are shared from one organization to another organization, the two organizations’ data classification schemes may need to be mapped to a common, shared taxonomy.	データ格付スキームは、組織の既知のデータ資産タイプすべてを分類したものである。例えば、データ分類スキームの一部には、データ資産のハイレベルなビジネス・データ・タイプを特徴付けるデータ分類が含まれるかもしれない-例えば、「ベンダーの請求書」、「顧客の請求書」、「従業員の記録」など。データ資産はまた、"内部で作成されたデータ"、"ライセンスされたデータ"、"取得したデータ "などのソース情報に基づいて分類することもできる。追加のデータ格付には、データ資産に関する地政学的情報、例えば "米国人 "や "EU事業体 "を含めることもできる。これら3つの独立したデータ格付をデータ資産に適用することで、組織はそのビジネスデータの種類、ソース、地理的起源に対応する要件に従ってデータ資産を保護することができる。ある組織から別の組織へデータを共有する場合、2つの組織のデータ格付スキームを共通の共有分類法にマッピングする必要がある。
A data classification policy is comprised of the data classification scheme and the formal description of the data types within an organization. It is used to enable identification of data types from a data asset. Classification policies can be expressed as digital policies to enable automated classification determinations. Organizations should define their data classification policies in such a way that all affected parties, including external parties who share or receive data assets, have a common understanding of them. Any ambiguity in these policies may cause errors and inconsistency in how data are classified and protected, which could increase the risk of compromises and compliance violations.	データ格付方針は、組織内のデータ分類スキームとデータ種別の正式な記述で構成される。データ分類ポリシーは、データ資産からデータタイプを識別するために使用される。分類方針は、自動化された分類決定を可能にするために、デジタルポリシーとして表現することができる。組織は、データ資産を共有したり受け取ったりする外部の関係者を含め、影響を受けるすべての関係者がデータ格付方針を共通理解できるように定義すべきである。これらのポリシーに曖昧さがあると、データの分類方法や保護方法に誤りや矛盾が生じ、防御やコンプライアンス違反のリスクが高まる可能性がある。
The data classification scheme and policy do not directly indicate how the data assets must be protected; instead, each data classification is linked to a set of associated data protection requirements. Generally, a data asset must be protected in accordance with the consolidated requirements of all of its data classifications.	データ格付スキームとポリシーは、データ資産がどのように防御されなければならないかを直接示すものではない。一般に、データ資産はそのすべてのデータ格付の統合要件に従って保護されなければならない。
The specificity of a data classification scheme will determine the nuance afforded to developing data protection policies. For instance, classifying a data asset only as “sensitive data” typically does not provide enough information to identify all the data protection requirements for that data asset, since many types of data are considered sensitive. Classifying a data asset as “PHI” instead of “sensitive data” enables more fine-grained protection policies, such as preventing certain types of PHI from being sent to certain business partners. However, more specificity in the data classification scheme can make the process of classifying new or modified data more difficult or costly. An organization should balance the effort and costs of analyzing its data to determine classifications against the versatility it requires for protecting various types of data assets.	データ格付スキームの具体性によって、データ保護ポリシーの策定に与えられるニュアンスが決まる。例えば、データ資産を「センシティブ・データ」のみに分類しても、多くの種類のデータがセンシティブとみなされるため、そのデータ資産に対するすべてのデータ保護要件を特定するには十分な情報が得られないのが一般的である。データ資産を「機密データ」ではなく「PHI」に分類することで、特定のタイプのPHIを特定のビジネスパートナーに送信しないようにするなど、よりきめ細かな保護ポリシーが可能になる。しかし、データ格付スキームをより具体的にすることで、新規または変更されたデータの分類プロセスがより困難になったり、コストが高くなったりする可能性がある。組織は、分類を決定するためのデータ分析の労力とコストと、様々なタイプのデータ資産を保護するために必要な汎用性とのバランスをとるべきである。
In most situations, three groups of people need to work together to ensure the data assets are properly protected:	多くの場合、データ資産を適切に防御するためには、3つのグループが協力する必要がある：
• The data asset’s business owner understands the origin, nature, and purpose of the data asset and its importance to the organization’s mission. The business owner is key for determining the data classifications.	・データ資産のビジネスオーナーは,データ資産の起源,性質,目的,組織のミッションに対する重要性を理解している。ビジネスオーナーは,データ格付を決定する鍵となる。
• The compliance staff understands the legal and regulatory requirements for protecting data assets associated with each of the organization’s data classifications. Compliance staff also perform auditing and reporting to ensure and document adherence to those requirements.	・コンプライアンス担当者は,組織の各データ格付に関連するデータ資産を防御するための法的及び規制上の要件を理解している。コンプライアンス・スタッフは,これらの要件の遵守を確認し文書化するための監査と報告も行う。
• The technology owners understand the technology that houses, interacts with, and safeguards the data asset throughout the data lifecycle. Cybersecurity and privacy professionals, system administrators, and others acting on behalf of technology owners are responsible for implementation and enforcement of the requirements for protecting data assets based on the assets’ data classifications.	・テクノロジー・オーナーは,データ・ライフサイクルを通じてデータ資産を収容し,データ資産と相互作用し,データ資産を保護するテクノロジーを理解する。サイバーセキュリティとプライバシーの専門家,システム管理者,およびテクノロジー所有者の代理を務めるその他の者は,資産のデータ格付に基づいてデータ資産を保護するための要件の実装と実施に責任を負う。
Cybersecurity, privacy, compliance, and business requirements should all be addressed holistically in the data classification definitions and policies. Personnel from each of these areas should be involved in developing, reviewing, and updating the definitions and policies.	サイバーセキュリティ、プライバシー、コンプライアンス、およびビジネス要件はすべて、データ格付の定義とポリシーの中で総合的に扱われるべきである。これらの各分野の担当者は、定義とポリシーの策定、レビュー、更新に関与する必要がある。
Generally, data classifications and classification schemes should be defined separately from data protection requirements. The protection requirements for any particular data asset are highly likely to change over time, while the data classifications themselves tend to be static. For example, the text of laws defining what PHI is does not change, but the technologies that house PHI and the cybersecurity and privacy controls that protect PHI may change over time.	一般に、データ格付と分類スキームはデータ保護要件とは別に定義されるべきである。特定のデータ資産に対する保護要件は時間の経過とともに変化する可能性が高いが、データ格付自体は固定的である傾向がある。例えば、PHI が何であるかを定義する法律の条文は変化しないが、PHI を収容する技術、PHI を保護するサイバーセキュリティとプライバシー管理は時とともに変化する可能性がある。
Data classification policies should be monitored and auditable, and changes to the policies should be controlled to prevent unauthorized changes to the data classification definitions or assignments. Access, especially modifications, to policy stores should be logged so organizations can verify and validate the effective state of their data classification processes at any time. Also, the data classification policies and protection requirements should each be versioned. Over time, version information will allow individuals and automated systems to quickly and reliably identify stale or obsolete classification information and take appropriate actions such as flagging the discrepancy or requesting updated information.	データ格付ポリシーは監視され、監査可能であるべきであり、ポリシーの変更は、データ分類の定義や割り当てが不正に変更されないように管理されるべきである。組織がデータ分類プロセスの有効な状態をいつでも検証し、妥当性を確認できるように、ポリシーストアへのアクセス（特に変更）はログに記録されるべきである。また、データ格付ポリシーと保護要件はそれぞれバージョン管理されるべきである。バージョン情報によって、個人および自動化システムは、古くなった分類情報または陳腐化した分類情報を迅速かつ確実に識別し、矛盾にフラグを立てたり、更新情報を要求したりするなどの適切な措置をとることができるようになる。
3.2. Identifying Data Assets to Classify	3.2. 分類すべきデータ資産の識別
A data asset is identified as needing classification when activities such as the following take place:	データ資産は、以下のような活動が行われたときに、分類が必要であると識別される：
• Creating: Data assets are identified as part of their creation process. Examples include an employee entering a customer’s personal information into an application, a process automatically producing new data by analyzing existing data, or a sensor capturing measurements of environmental characteristics (e.g., temperature).	・作成する：データ資産は、その作成プロセスの一部として識別される。例えば、従業員が顧客の個人情報をアプリケーションに入力すること、既存のデータを分析して新しいデータを自動的に生成するプロセス、環境特性（温度など）の測定値を取得するセンサーなどがある。
• Discovering: Existing data assets within an organization that have not been classified are located. Discovery searches an organization’s technology assets such as desktop workstations, servers, and cloud services for data. An example is an employee having written a new ad hoc document.	・発見する: 分類されていない組織内の既存のデータ資産を探し出す。発見では,デスクトップ・ワークステーション,サーバー,クラウド・サービスなど,組織のテクノロジー資産からデータを探し出す。例としては,従業員が新しいアドホック文書を書いたことが挙げられる。
• Importing: An external organization’s data assets are identified within the organization. It is responsible for ensuring an organization’s commitments for managing and protecting data assets belonging to external organizations are met. An example is a business partner providing a copy of one of its databases for the organization to use.	・インポート: 外部組織のデータ資産を組織内で識別する。外部組織に属するデータ資産を管理・保護するための組織の防御が確実に満たされるようにする責任がある。例えば,ビジネスパートナーが,組織で使用するためにデータベースのコピーを提供するような場合である。
An organization’s business processes should take all these means into account so that all data assets are classified promptly and appropriately.	組織のビジネスプロセスは、全てのデータ資産が迅速かつ適切に分類されるように、これら全ての手段を考慮に入れるべきである。
Data assets should be classified as close to the time of their creation, discovery, or importation as possible. One reason for this is to support properly protecting the data as soon as possible. Another reason is that capturing the original metadata for a data asset may be particularly helpful in providing context and transparency vital for assigning data classifications. The later the metadata are collected, the less helpful they will generally be for data classification purposes, both now and in the future. For example, a new classification need, like a new regulation or a change to an existing regulation, may require analyzing existing data assets to determine if the new data classification applies to them. Having more metadata on hand may make this analysis easier and more accurate.	データ資産は、その作成、発見、またはインポート時にできるだけ近い時点で分類されるべきである。その理由の一つは、できるだけ早くデータを適切に防御するためである。もう一つの理由は、データ分類に不可欠なコンテキストと透明性を提供する上で、データ資産のオリジナルのメタデータを収集することが特に役立つ可能性があるからである。メタデータの収集が遅れれば遅れるほど、現在も将来もデータ分類の目的には役に立たなくなるのが一般的である。例えば、新しい規制や既存の規制の変更のような新しい分類の必要性が生じた場合、新しいデータ分類が適用されるかどうかを判断するために既存のデータ資産を分析する必要があるかもしれない。より多くのメタデータが手元にあれば、この分析がより簡単に、より正確になるかもしれない。
When data assets are identified, an organization may need to revise its data classification policy to fully address the assets. Even information of the same type that is found may be structured differently in newly found data sets. The tools used to analyze and label data assets may also need to be updated to properly classify these data assets in the future.	データ資産が特定された場合、組織はその資産に完全に対応するためにデータ格付方針を改訂する必要があるかもしれない。同じ種類の情報であっても、新たに発見されたデータセットでは異なる構造になっていることがある。データ資産を分析しラベル付けするために使用するツールも、将来これらのデータ資産を適切に分類するために更新する必要があるかもしれない。
Data assets imported from another organization should usually be re-classified, even if that organization provided their classification information. The data may have been misclassified by that organization, or your organization may be subject to additional requirements. The act of sharing the data may itself introduce additional requirements. At this time, many industries lack standards for classifying data cross-organization or cross-sector. Moreover, there is limited interoperability among technologies for data classifications. These limitations alone are likely to necessitate the re-classification of imported data so that the organization can ensure the appropriate protection of received data.	他の組織からインポートされたデータ資産は、たとえその組織が分類情報を提供していたとしても、通常は再分類する必要がある。データがその組織によって誤って分類されている可能性もあるし、あなたの組織が追加要件の対象になっている可能性もある。データを共有するという行為自体が、追加要件をもたらすかもしれない。現時点では、多くの業界で、組織やセクターを横断してデータを分類する標準が欠如している。さらに、データ格付のための技術間の相互運用性も限られている。このような制約があるだけで、組織が受信データの適切な保護を確保できるように、インポートされたデータの再分類が必要になる可能性が高い。
When possible, the original classification information from the originating organization should be preserved. To disambiguate external data classifications, their identifiers and labels should be prefixed with a scope that identifies the origin of the classification. This could simply be the name of the organization providing the data asset, or it could refer to an external standards organization if or when such standards exist. For data imported from other organizations, this allows maintenance of the original classification information in addition to labeling the data with the importing organization’s classifications.	可能であれば、元の組織からの元の分類情報を保存しておくべきである。外部データ格付を曖昧にしないために、その識別子とラベルの先頭に、分類の出所を識別するスコープを付けるべきである。これは単純にデータ資産をプロバイダする組織の名前でもよいし、外部の標準組織が存在する場合はその標準組織を指すこともできる。他の組織からインポートしたデータについては、インポートした組織の分類でラベル付けするだけでなく、元の分類情報を保守することができる。
3.3. Determining Data Classifications for Data Assets	3.3. データ資産のデータ格付の決定
Classifying data is the process of analyzing a data asset and determining which data classifications to assign to it. Classification is performed by a classifier, a person or technology that applies the organization’s classification policy to a data asset to determine what data classifications that asset should be assigned. For some types of data, data classification can be solely based on the data definition and thus fully automated, but more often—especially for unstructured data—classifying data involves additional analysis of the metadata and/or the data itself. Responsibilities for data classification decisions are sometimes assigned to end users, like requiring them to manually determine the classifications for the documents they create.	データ格付とは、データ資産を分析し、どのデータ分類を割り当てるかを決定するプロセスである。データ格付は、組織の分類ポリシーをデータ資産に適用して、その資産にどのようなデータ分類を割り当てるべきかを決定する個人または技術である分類者によって実行される。データの種類によっては、データ分類はデータ定義のみに基づいて完全に自動化されることもあるが、多くの場合（特に非構造化データの場合）、データ分類にはメタデータやデータ自体の分析が必要になる。データ分類の決定責任は、エンドユーザーに割り当てられることもある。例えば、エンドユーザーが作成する文書の分類を手動で決定することが求められる。
Highly controlled structured data, like a set of databases being created for use within a major enterprise application, normally have well-defined fields and extensively validate data values to ensure they comply with the data model. The field for a person’s first name could not contain a driver’s license number, birthdate, or other unexpected information. Data classifications would be identified as part of the data model’s creation, recorded in the databases, and enforced by the enterprise application and its supporting platforms.	主要なエンタープライズ・アプリケーションで使用するために作成される一連のデータベースのように、高度に管理された構造化データは、通常、明確に定義されたフィールドを持ち、データモデルに準拠していることを確認するためにデータ値を広範囲にわたって検証する。個人のファーストネームのフィールドには、運転免許証番号、生年月日、その他の予期せぬ情報を含めることはできない。データ格付は、データモデル作成の一環として特定され、データベースに記録され、エンタープライズ・アプリケーションとそれをサポートするプラットフォームによって強制される。
While their flexibility may present some challenges, semi-structured data may provide some of the context necessary for classification through its self-described data model.	半構造化データは、その柔軟性からいくつかの課題が生じる可能性があるが、自己記述型のデータモデルを通じて、分類に必要なコンテキストの一部をプロバイダが提供できる可能性がある。
Unstructured data, where the data model is informal or nonexistent—such as a new text document—present the greatest challenge to data classification. Most organizations will need to use a combination of approaches such as the following for classifying their unstructured data:	構造化されていないデータは、データモデルが非公式であるか、存在しない（新しいテキスト文書など）場合、データ格付の最大の課題となる。ほとんどの組織は、非構造化データを分類するために、以下のようなアプローチを組み合わせて使用する必要がある：
• Automatically select classifications based on metadata analysis. Ideally, data classifications can be derived from existing metadata such as filename, file extension, author, creation date, and location. Metadata can act as a proxy for specific characteristics of the data that drive classification, but their accuracy as a proxy will vary. For instance, if existing business processes and systems adequately control where data are stored, and storage is compartmented such that data’s inherent attributes dictate its storage location, then location would be an accurate proxy when selecting location-specific data classifications. Conversely, if the location of the data is a shared document folder with few controls and broad access, its location would not reflect its inherent attributes and would not be a valid proxy for data classifications.	・メタデータの分析に基づいて分類を自動的に選択する。理想的には,ファイル名,ファイル拡張子,認可,作成日,場所などの既存のメタデータからデータ格付を導き出すことができる。メタデータは,分類の原動力となるデータの特定の特性のプロキシとして機能するが,プロキシとしての精度は様々である。例えば,既存のビジネスプロセスやシステムでデータの保管場所が適切に管理され,データの固有属性によって保管場所が決まるように保管場所が区分されている場合,場所固有のデータ格付を選択する際には,場所が正確なプロキシとなる。逆に,データの保存場所が共有文書フォルダで,データ管理者がほとんどおらず,広範なアクセスが可能な場合,データの保存場所はデータ固有の属性を反映しておらず,データ格付の有効なプロキシにはならない。
• Automatically select classifications based on content (data) analysis. Deriving data classifications from the contents of the data may provide the most accurate results when there is no enforced data model. However, especially with unstructured data, it can be difficult to correctly interpret the significance of its contents. Technologies like optical character recognition (OCR) can assist in locating content in files. Examples of content analysis tools for data classification purposes include:	・コンテンツ（データ）分析に基づいて分類を自動的に選択する。強制的なデータモデルがない場合、データの内容からデータ格付を導き出すことが最も正確な結果をもたらすかもしれない。しかし、特に非構造化データでは、その内容の重要性を正しく解釈することが難しい場合がある。光学式文字認識（OCR）のような技術は、ファイル内のコンテンツの位置を特定するのに役立つ。データ格付を目的としたコンテンツ分析ツールの例を以下に挙げる：
o Token-based analytical approaches scan the data looking for the presence and count of specific tokens (i.e., keywords) within the data. These tools are simple to understand and use, but they are limited in determining how each token is used and may be ineffective for many classification schemes.	o トークン・ベースの分析アプローチは、データ内の特定のトークン（すなわちキーワード）の存在と数を探してデータをスキャンする。これらのツールは理解も使用も簡単であるが、各トークンがどのように使用されているかを判断するには限界があり、多くの分類スキームには効果がない可能性がある。
o Regular expression matching tools allow for more sophisticated matching of strings within the text compared to token-based analytics, including patterns such as telephone numbers, social security numbers, credit card numbers, physical addresses, and email addresses. These tools can be used to identify more complex patterns in the data that are necessary to support more nuanced classification schemes.	o 正規表現マッチングツールは、トークン・ベースの分析に比べて、テキスト内の文字列をより高度にマッチングすることができる。これらのツールは、より微妙な分類スキームをサポートするために必要な、データのより複雑なパターンを識別するために使用することができる。
o Machine learning (ML) tools can be used to look for the patterns in the data that indicate the attributes that drive classification. In this approach, a set of example data is classified, and then one or more models are trained to analyze and classify the data. This approach appears to be the most capable means of deriving classifications for data automatically but can be complex to establish and manage. The data sets used for training the model(s) must be a comprehensive corpus of data that provides sufficient information for each classification to be detected.	o 機械学習（ML）ツールは、分類の原動力となる属性を示すデータ中のパターンを探すために使用することができる。このアプローチでは、一組のサンプルデータが分類され、次にデータを分析・分類するために1つ以上のモデルが訓練される。このアプローチは、データの分類を自動的に導き出す最も有能な手段と思われるが、確立と管理が複雑になる可能性がある。モデルの学習に使用するデータ・セットは、各分類を検出するのに十分な情報を提供する包括的なデータ・コーパスでなければならない。
• Manually select classifications. Automatic classification may not be feasible for all instances of data, especially ad hoc instances. In these cases, manual classification performed by a human is necessary. Unfortunately, manual classification is usually difficult to implement consistently at scale, and it relies on the accuracy and understanding of each person performing classification.	・手動で分類を選択する。自動分類は,データのすべてのインスタンス,特にアドホックなインスタンスでは実行不可能な場合がある。このような場合,人間による手動分類が必要となる。残念なことに,手動分類は通常,一貫して大規模に実施することが難しく,分類を行う各人の正確さと理解度に依存する。
3.4. Labeling Data Assets	3.4. データ資産のラベル付け
A label is a metadata attribute that represents a data classification. A data asset may have more than one label. Labeling is the process by which the labels are associated with a data asset, such as by cryptographic binding or by associating the data asset and its labels in a data catalog.	ラベルはデータ格付を代表するメタデータ属性である。データ資産は複数のラベルを持つことができる。ラベリングとは、暗号バインディングやデータカタログにおけるデータ資産とそのラベルの関連付けなど、ラベルをデータ資産に関連付けるプロセスのことである。
Note that while some people consider the term “label” to be synonymous with the term “tag,” others do not. Also, “label” is increasingly being used as the primary term for this concept, so this publication only uses “label” for consistency.	ラベル」という用語は「タグ」という用語と同義であると考える人もいるが、そうでない人もいることに注意。また、"ラベル "がこの概念の主要な用語として使用されることが多くなってきているため、本書では一貫性を保つために "ラベル "のみを使用する。
Data classification assignments, including labels and metadata used for data classification purposes, need to be safeguarded. Without adequate protection, labels and metadata can be altered or deleted. When data or data classifications change, the data’s labels and metadata may need to be updated in a controlled fashion. This is especially true if data are aggregated.	データ分類の目的に使用されるラベルやメタデータを含むデータ格付は保護される必要がある。十分な保護がなければ、ラベルやメタデータは改ざんされたり削除されたりする可能性がある。データやデータ格付が変更された場合、データのラベルやメタデータを管理された方法で更新する必要がある。データが集約されている場合は特にそうである。
Making data labels “stick” with data as it moves from place to place, and especially from one organization to another, is one of the largest challenges in data classification for most organizations. There are additional challenges involving portion marking, when different portions of a data asset, such as sections of a document or file, each have different classification labels. Numerous technological approaches to labeling are currently in use, but no approach works universally across data assets, technologies, and organizations. Further discussion of labeling technologies is outside the scope of this document.	データラベルを、データが場所から場所へ、特に組織から組織へと移動する際に「定着」させることは、ほとんどの組織にとってデータ格付における最大の課題の一つである。文書やファイルのセクションなど、データ資産の異なる部分がそれぞれ異なる分類ラベルを持つ場合、ポーションマーキングがさらに課題となる。現在、ラベリングに対する数多くの技術的アプローチが使用されているが、データ資産、技術、組織にまたがって普遍的に機能するアプローチはない。ラベリング技術に関するさらなる議論は、本文書の範囲外である。
3.5. Monitoring Data Assets	3.5. データ資産のモニタリング
Each data asset should be monitored after its data classification and labeling to identify any changes that may necessitate updating its data classifications and labels. The appropriate monitoring method will depend primarily on whether the data are structured, semi-structured, or unstructured. For example, changes to the nature of structured and semi-structured data are most likely detectable by monitoring their data models for changes to the data definition. However, changes to the content of unstructured data, especially ad hoc files, may be happening all the time, and many of those changes will not affect data classifications.	各データ資産は、そのデータ分類とラベルの更新を必要とする可能性のある変化を特定するために、データ分類とラベル付け後にモニタリングされなければならない。適切なモニタリング方法は、主にデータが構造化されているか、半構造化されているか、非構造化されているかによって異なる。例えば、構造化データや半構造化データの性質の変更は、データモデルを監視してデータ定義の変更を確認することで検知できる可能性が高い。しかし、非構造化データ（特にアドホックファイル）のコンテンツに対する変更は常に起こっている可能性があり、そのような変更の多くはデータ格付に影響しない。
Further discussion of technologies and methodologies for monitoring data assets for changes impacting their data classifications is outside the scope of this publication. Please refer to the NCCoE’s SP 1800-39, Implementing Data Classification Practices series of practice guides [SP1800-39].	データ分類に影響を与える変更がないかデータ資産を監視する技術や方法論については、本書の範囲外である。NCCoEのSP1800-39「データ格付の実施」シリーズの実践ガイド[SP1800-39]を参照されたい。

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.04.26 米国 NIST SP 1800-39 データ格付の実践（初期ドラフト）

2023.11.20 04:29 in 情報セキュリティ / サイバーセキュリティ, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続 | Permalink | Comments (0)
Tweet

2023.11.19

APEC デジタルアジェンダ関係

こんにちは、丸山満彦です。

APEC2023が開催されていましたね。。。First Roundの議題の中にデジタル経済のアジェンダがあったようで、米国国務省のページに記載がありましたので、紹介です。。。

DFFTにも少し関係しますかね。。。

● U.S. Department of State

・Asia-Pacific Economic Cooperation

・2023.11.17 U.S. 2023 APEC Outcomes

デジタルアジェンダの部分だけ...

DIGITAL PACIFIC AGENDA	デジタル・パシフィック・アジェンダ
Through the Digital Pacific Agenda, the United States committed to working with APEC economies to shape the rules, norms, and standards that govern the digital economy, expand secure digital access for consumers and businesses, and support the responsible design, development, and deployment of emerging digital technologies.	デジタル・パシフィック・アジェンダを通じて、米国はAPECエコノミーと協力し、デジタル経済を管理するルール、規範、標準を形成し、消費者と企業のための安全なデジタルアクセスを拡大し、新興デジタル技術の責任ある設計、開発、展開を支援することを約束した。
Digital Economy and Digitalization	デジタル経済とデジタル化
The United States along with fellow Global Cross-Border Privacy Rules Forum Members established the Global Cooperation Arrangement for Privacy Enforcement (CAPE), bringing APEC’s cooperation in privacy enforcement through the APEC Cross-Border Privacy Enforcement Arrangement (CPEA) to the global stages.	米国は、グローバル・クロスボーダー・プライバシー・ルール・フォーラムの加盟国とともに、プライバシー執行のためのグローバル協力取り決め（CAPE）を設立し、APECクロスボーダー・プライバシー執行取り決め（CPEA）を通じたプライバシー執行におけるAPECの協力を世界的な段階に引き上げた。
The United States hosted the inaugural APEC Digital Month in August in Seattle, which convened hundreds of public and private sector experts in more than 40 technical workshops, roundtables, and public-private dialogues on a range of digital topics.	米国は8月にシアトルで第1回APECデジタル月間を主催し、40以上の技術ワークショップ、円卓会議、官民対話に数百人の官民専門家を集め、デジタルに関する様々なトピックを議論した。
APEC has endorsed the Recommendations for Cloud Transformation in APEC which will promote the accelerated adoption of cloud computing technologies in the region.	APECは「APECにおけるクラウド・トランスフォーメーションのための提言」を承認し、域内におけるクラウド・コンピューティング技術の導入加速を促進する。
The United States initiated a dialogue about new and emerging low-earth orbit satellite communication systems that can advance the objective of extending connectivity to everyone in the APEC region.	米国は、APEC地域のすべての人々に接続性を拡大するという目的を推進することができる、新しい低軌道衛星通信システムに関する対話を開始した。
The United States furthered APEC’s work on digital assets to help economies commit to maintaining high regulatory standards, closing regulatory gaps, and promoting financial stability.	米国は、エコノミーが高い規制標準を維持し、規制格差を是正し、金融の安定を促進することを約束できるよう、デジタル資産に関するAPECの作業をさらに進めた。
The APEC Closing the Digital Skills Gap Forum sought to provide economies with tools to invest in the digital upskilling and reskilling of the workforce and address the skills gap exacerbated by the COVID-19 pandemic.	APEC Closing the Digital Skills Gap Forumは、エコノミーが労働力のデジタル・アップスキリングとリスキリングに投資し、COVID-19パンデミックによって悪化したスキル・ギャップに対処するためのツールを提供することを目指した。
APEC members worked to increase capacity to integrate digital health and telehealth solutions and further develop health ecosystems, including through exploring the possible development of digital health-focused toolbox for APEC economies.	APECメンバーは、APECエコノミーのためのデジタルヘルスに焦点を当てたツールボックスの開発の可能性を探ることを含め、デジタルヘルスと遠隔医療ソリューションを統合し、ヘルスエコシステムをさらに発展させる能力を高めるために努力した。
Promoting Digital Trade	デジタル貿易の促進
The U.S. held trade policy dialogues on Digital Trade, focused on building regulatory environments conducive to maximizing the flow of data and on building a worker-centric digital trade agenda across the APEC region.	米国はデジタル貿易に関する貿易政策対話を開催し、データの流れを最大化するのに資する規制環境の構築と、APEC地域全体で労働者中心のデジタル貿易アジェンダを構築することに焦点を当てた。
In May, APEC Trade Ministers endorsed Principles for the Interoperability of E-Invoicing Systems, which will promote interoperable approaches and the use of digital technologies to facilitate trade and investment .	この原則は、貿易と投資を促進するための相互運用可能なアプローチとデジタル技術の利用を促進するものである。
In May, APEC Trade Ministers endorsed Principles for the Interoperability of E-Invoicing Systems, which will promote interoperable approaches and the use of digital technologies to facilitate trade and investment.	APECエコノミーは、オープンな政府データへのアクセスを促進するための原則を承認した。この原則は、公共部門データへの相互運用性とアクセスの基本原則を促進するために、異なる管轄区域間の協力を強化することを目指すものである。

米国中国バイデン大統領と習近平主席との会談 (2023.11.15) + APEC関係

こんにちは、丸山満彦です。

APECの開催に合わせて、各国の首脳同士の会談が行われたわけですが、バイデン大統領と習近平主席との会談も行われましたね。。。

首脳会談前...

● 中国中央人民政府

・2023.11.15 习近平：这个地球容得下中美两国，我们各自的成功是彼此的机遇

习近平：这个地球容得下中美两国，我们各自的成功是彼此的机遇	習近平：この星には中国とアメリカのためのスペースがある。
2023-11-16 05:12 来源：新华社	2023-11-16 05:12 ソース：新華社通信
习近平：作为世界上最重要的双边关系，中美关系要放在世界百年变局加速演进这个大背景下来思考和谋划，为两国人民带来福祉，为人类进步展现担当。	習近平：世界で最も重要な二国間関係として、中米関係は世界の100年にわたる変化の加速進化の文脈に位置づけられ、考え、計画し、両国民に幸福をもたらし、人類の進歩へのコミットメントを示すべきである。
习近平：这么（中美）两个大国，不打交道是不行的，想改变对方是不切实际的，冲突对抗的后果是谁都不能承受的。	習近平：だから（中国と米国）2つの大国は、対処することは不可能であり、お互いを変更したいが、非現実的であり、結果の紛争や対立は誰も余裕がない。
习近平：我还是那个看法，大国竞争不是这个时代的底色，解决不了中美两国和世界面临的问题。这个地球容得下中美两国，我们各自的成功是彼此的机遇。	習近平：私は依然として、大国の対立はこの時代の基調ではなく、中国と米国と世界が直面している問題を解決することはできないという同じ見解を持っている。この星には中国と米国のための余地があり、それぞれの成功は互いにとってのチャンスでもある。
习近平：中美两国历史文化、社会制度、发展道路不同，这是客观现实。但是，只要双方坚持相互尊重、和平共处、合作共赢，完全可以超越分歧，找到两个大国正确相处之道。我坚信，中美关系的前途是光明的。	習近平：中国と米国が異なる歴史と文化、社会制度、発展の道を歩んできたことは客観的な現実である。しかし、双方が相互尊重、平和共存、ウィンウィンの協力を堅持する限り、違いを超え、2つの大国が仲良くするための正しい道を見つけることは十分に可能だ。私は、中米関係の未来は明るいと固く信じている。
习近平：我和（拜登）总统先生是中美关系的掌舵者，对人民、对世界、对历史都担负着沉甸甸的责任。我期待今天同总统先生就事关中美关系的战略性、全局性、方向性问题，事关世界和平和发展的重大问题深入交换意见，达成新的共识。	習近平：（バイデン）国家主席と私は中米関係の舵取り役であり、人民、世界、歴史に対して重い責任を負っている。本日、主席と中米関係に関する戦略的、全体的、方向的な問題、世界の平和と発展に関する重大な問題について突っ込んだ意見交換を行い、新たな合意に達することを楽しみにしている。

会談にはいる前のあいさつ...

● U.S. White House

・2023.11.15 Remarks by President Biden and President Xi Jinping of the People’s Republic of China Before Bilateral Meeting | Woodside, CA

Remarks by President Biden and President Xi Jinping of the People’s Republic of China Before Bilateral Meeting \| Woodside, CA	バイデン大統領と習近平国家主席の二国間会談前の発言｜Woodside, CA
Filoli Historic House & Garden	フィローリ・ヒストリック・ハウス＆ガーデン
Woodside, California	カリフォルニア州ウッドサイド
11:23 A.M. PST	午前11時23分（太平洋標準時）
PRESIDENT BIDEN: Well, Mr. President, it’s good to see you again.	バイデン大統領：またお会いできてうれしいです。
We’ve spent many hours together over the last 10 or 12 years. And — and to host you in the United States is a great honor and a pleasure, particularly as it relates to our summit today and for the APEC Leaders’ Meeting this week.	この10年、12年の間、何時間も一緒に過ごしてきました。そして、米国であなたをお迎えできることを大変光栄に思いますし、特に今日の首脳会談や今週のAPEC首脳会議に関連することで、喜びを感じています。
Look, this time of year — about a year and a day ago, we met in Bali on the sidelines of the G20. Since then, key members of our teams have had important discussions on issues — matters to both our nations and to the world.	1年と1日前、私たちはG20の傍ら、バリでお会いしました。それ以来、私たちのチームの主要メンバーは、私たちの国と世界双方にとって重要な問題について、重要な話し合いを行ってきました。
But as always, there is no substitute to face-to-face discussions. I’ve always found our discussions straightforward and frank, and I’ve always appreciated them.	しかし、いつも通り、顔を合わせての話し合いに代わるものはありません。私は、私たちの話し合いが常に率直で率直なものであると感じており、いつも感謝しています。
Mr. President, we’ve known each other for a long time. We haven’t always agreed, which was not a surprise to anyone, but our meetings have always been candid, straightforward, and useful. I’ve never doubted what you’ve told me in terms of your candid nature in which you speak.	主席、私たちは長い付き合いです。いつも意見が一致するわけではありませんでしたが、それは誰もが驚くことではありませんでした。私は、あなたの率直な発言という点で、あなたが私に語ったことを疑ったことはありません。
I value our conversation because I think it’s paramount that you and I understand each other clearly, leader to leader, with no misconceptions or miscommunication.	私が私たちの会話を大切にしているのは、あなたと私が、リーダー同士、誤解や行き違いのないようにはっきりと理解し合うことが最も重要だと思うからです。
We have to ensure that competition does not veer into conflict. And we also have to manage it responsibly — that competition.	私たちは、競争が対立に陥らないようにしなければなりません。そして、責任を持って管理しなければなりません。
That’s what the United States want and what we intend to do. We also — I also believe that’s what the world wants from both of us: candid exchange.	それが米国の望みであり、私たちの意図するところです。私たちはまた、それが世界が私たち双方に望んでいることだと信じています。
We also have a responsibility to our people and the work — and the world to work together when we see it in our interest to do so.	私たちはまた、私たちの国民や仕事、そして世界に対して、そうすることが私たちの利益になると判断した場合には協力する責任があります。
And the critical global challenges we face, from climate change to counternarcotics to artificial intelligence, demand our joint efforts.	気候変動から麻薬対策、人工知能に至るまで、私たちが直面する重大な世界的課題は、私たちの共同の努力を必要としています。
So, I look forward to beginning this discussion. And I welcome you.	ですから、この議論を始めることを楽しみにしています。歓迎いたします。
And the floor is yours, Mr. President. And, again, welcome back.	では、主席、どうぞ。お帰りなさい。
PRESIDENT XI: (As interpreted.) Mr. President, good morning.	習近平主席：おはようございます。
Coming here, I thought of — I think of your trip to China when I was the vice president of China. We had a meeting. It was 12 years ago. I still remember our interactions very vividly, and it always gives me a lot of thoughts.	私が中国副主席だった頃、あなたが中国を訪問されたことを思い出します。私たちは会談をしました。もう12年も前のことです。今でも鮮明に覚えています。
Last time, we met in Bali. You said it was a year and a day ago. A lot has happened since then.	前回はバリでお会いしました。年と1日前とおっしゃいましたね。あれからいろいろなことがありました。
The world has emerged from the COVID pandemic, but it’s still under its tremendous impacts. The global economy is recovering, but its momentum remains sluggish. Industrial and supply chains are still under the threat of interruption and protectionism is rising. All these are grave problems.	世界はCOVIDのパンデミックから抜け出しましたが、いまだその甚大な影響下にあります。世界経済は回復しつつありますが、その勢いはまだ鈍いままです。産業チェーンやサプライチェーンは依然として中断の脅威にさらされており、保護主義も台頭しています。これらはすべて重大な問題です。
The China-U.S. relationship, which is the most important bilateral relationship in the world, should be perceived and envisioned in a broad context of the — of the accelerating global transformations unseen in a century. It should develop in a way that benefits our two peoples and fulfills our responsibility for human progress.	世界で最も重要な二国間関係である中米関係は、100年ぶりに加速するグローバルな変革という幅広い文脈の中で認識され、構想されるべきです。それは、両国民の利益と人類の進歩に対する責任を果たす形で発展すべきものです。
China-U.S. relationship has never been smooth sailing over the past 50 years and more, and it always faces problems of one kind or another. Yet, it has kept moving forward amid twists and turns.	中米関係は過去50年以上にわたって決して順風満帆ではなく、常に何らかの問題に直面してきました。しかし、紆余曲折の中で前進を続けてきました。
For two large countries like China and the United States, turning their back on each other is not an option. It is unrealistic for one side to remodel the other, and conflict and confrontation has unbearable consequences for both sides.	中国と米国のような2つの大国にとって、互いに背を向けるという選択肢はありません。一方が他方を改造することは非現実的であり、対立や衝突は双方にとって耐え難い結果をもたらします。
I am still of the view that major-country competition is not the prevailing trend of current times and cannot solve the problems facing China and the United States or the world at large. Planet Earth is big enough for the two countries to succeed, and one country’s success is an opportunity for the other.	私は今でも、大国間の競争は現在の主流ではなく、中国と米国、あるいは世界全体が直面している問題を解決することはできないという考えを持っています。地球は両国が成功するのに十分な広さがあり、一方の国の成功は他方にとってチャンスなのです。
It is an objective fact that China and the United States are different in history, culture, social system, and development path. However, as long as they respect each other, coexist in peace, and pursue win-win cooperation, they will be fully capable of rising above differences and find the right way for the two major countries to get along with each other.	中国と米国が歴史、文化、社会システム、発展の道筋において異なることは客観的な事実です。しかし、互いを尊重し、平和のうちに共存し、ウィンウィンの協力を追求する限り、違いを乗り越えて、二大国が仲良くするための正しい道を見出すことは十分に可能でしょう。
I firmly believe in the promising future of the bilateral relationship.	私は二国間関係の有望な未来を固く信じています。
Mr. President, you and I, we are at the helm of China-U.S. relations. We shoulder heavy responsibilities for the two peoples, for the world, and for history. I look forward to having an in-depth exchange of views and reach new — reach new understandings with you on strategic and overarching issues critical to the direction of China-U.S. relations and on major issues affecting world peace and development.	大統領、あなたと私、私たちは中米関係の舵取り役です。私たちは両国民のため、世界のため、そして歴史のために重い責任を担っています。私は、中米関係の方向性にとって重要な戦略的・包括的問題や、世界の平和と発展に影響を与える重大な問題について、皆様と深い意見交換を行い、新たな-新たな理解に達することを楽しみにしています。
I wish to thank you for your thoughtful arrangements for our meeting today and for our participation at the APEC meeting.	本日の会談とAPEC会議への参加に際してのご配慮に感謝申し上げます。
Thank you.	ありがとうございました。
PRESIDENT BIDEN: Well, thank you, Mr. President.	バイデン大統領：ありがとうございました。
11:30 A.M. PST	午前11時30分（太平洋標準時）

バイデン大統領の部分だけですが...

・[YouTube] President Biden Meets with President Xi Jinping of the People's Republic of China

会談後...

● U.S. White House

・2023.11.15 Readout of President Joe Biden’s Meeting with President Xi Jinping of the People’s Republic of China

Readout of President Joe Biden’s Meeting with President Xi Jinping of the People’s Republic of China	バイデン大統領と習近平国家主席との会談要旨
President Joseph R. Biden, Jr. today held a Summit with President Xi Jinping of the People’s Republic of China (PRC), in Woodside, California. The two leaders held a candid and constructive discussion on a range of bilateral and global issues including areas of potential cooperation and exchanged views on areas of difference.	ジョセフ・R・バイデン大統領は本日、カリフォルニア州ウッドサイドで、中華人民共和国の習近平国家主席と首脳会談を行った。両首脳は、潜在的な協力分野を含む二国間および世界的な諸問題について率直かつ建設的な議論を行い、相違する分野についても意見を交換した。
President Biden emphasized that the United States and China are in competition, noting that the United States would continue to invest in the sources of American strength at home and align with allies and partners around the world. He stressed that the United States would always stand up for its interests, its values, and its allies and partners. He reiterated that the world expects the United States and China to manage competition responsibly to prevent it from veering into conflict, confrontation, or a new Cold War.	バイデン大統領は、米国と中国は競争関係にあることを強調し、米国は自国における米国の強さの源泉に投資を続け、世界中の同盟国やパートナーと連携していくと述べた。また、米国は常に自国の利益、価値観、同盟国やパートナーのために立ち上がることを強調した。また、米国と中国が責任を持って競争を管理し、紛争や対立、新たな冷戦に陥ることを防ぐことを世界は期待していると繰り返し述べた。
The two leaders made progress on a number of key issues. They welcomed the resumption of bilateral cooperation to combat global illicit drug manufacturing and trafficking, including synthetic drugs like fentanyl, and establishment of a working group for ongoing communication and law enforcement coordination on counternarcotics issues. President Biden stressed that this new step will advance the U.S. whole-of-government effort to counter the evolving threat of illicit synthetic drugs and to reduce the diversion of precursor chemicals and pill presses to drug cartels.	両首脳は、多くの重要な問題で進展を見せた。両首脳は、フェンタニルのような合成麻薬を含む、世界的な違法薬物の製造と密売と闘うための二国間協力の再開と、麻薬対策問題に関する継続的なコミュニケーションと法執行の調整のための作業部会の設立を歓迎した。バイデン大統領は、この新たな一歩が、進化する違法合成麻薬の脅威に対抗し、麻薬カルテルへの前駆体化学物質や錠剤印刷機の横流しを減らすための米国の政府全体の取り組みを前進させると強調した。
The two leaders welcomed the resumption of high-level military-to-military communication, as well as the U.S.-China Defense Policy Coordination Talks and the U.S.-China Military Maritime Consultative Agreement meetings. Both sides are also resuming telephone conversations between theater commanders.	両首脳は、米中国防政策調整協議や米中軍事海事協議協定の会合と同様に、ハイレベルの軍事間コミュニケーションの再開を歓迎した。双方はまた、戦域司令官間の電話会談も再開している。
The leaders affirmed the need to address the risks of advanced AI systems and improve AI safety through U.S.-China government talks.	両首脳は、米中政府間協議を通じて、高度AIシステムのリスクに対処し、AIの安全性を改善する必要性を確認した。
The two leaders exchanged views on key regional and global challenges. President Biden underscored the United States’ support for a free and open Indo-Pacific that is connected, prosperous, secure, and resilient. The President reaffirmed the United States’ ironclad commitment to defending our Indo-Pacific allies. The President emphasized the United States’ enduring commitment to freedom of navigation and overflight, adherence to international law, maintaining peace and stability in the South China Sea and East China Sea, and the complete denuclearization of the Korean Peninsula.	両首脳は、地域的・世界的な重要課題について意見交換した。バイデン大統領は、自由で開かれたインド太平洋の実現に向けた米国の支持を強調した。大統領は、米国がインド太平洋の同盟国を防衛するという鉄壁の約束を再確認した。大統領は、航行と上空飛行の自由、国際法の順守、南シナ海と東シナ海の平和と安定の維持、朝鮮半島の完全な非核化に対する米国の永続的なコミットメントを強調した。
President Biden reaffirmed that the United States, alongside allies and partners, will continue to support Ukraine’s defense against Russian aggression, to ensure Ukraine emerges from this war as a democratic, independent, sovereign, and prosperous nation that can deter and defend itself against future aggression. Regarding the Israel-Hamas conflict, the President reiterated U.S. support for Israel’s right to defend itself against terrorism and emphasized the importance of all countries using their influence to prevent escalation and expansion of the conflict.	バイデン大統領は、米国が同盟国やパートナーとともに、ロシアの侵略に対するウクライナの防衛を引き続き支援し、ウクライナがこの戦争から、将来の侵略を抑止し自衛できる民主的で独立した主権を持つ豊かな国家として立ち上がることを確実にすることを再確認した。イスラエルとハマスの紛争について、大統領は、テロから自国を守るイスラエルの権利に対する米国の支持を改めて表明し、すべての国が影響力を行使して紛争の激化と拡大を防ぐことの重要性を強調した。
President Biden underscored the universality of human rights and the responsibility of all nations to respect their international human rights commitments. He raised concerns regarding PRC human rights abuses, including in Xinjiang, Tibet, and Hong Kong. On Taiwan, President Biden emphasized that our one China policy has not changed and has been consistent across decades and administrations. He reiterated that the United States opposes any unilateral changes to the status quo from either side, that we expect cross-strait differences to be resolved by peaceful means, and that the world has an interest in peace and stability in the Taiwan Strait. He called for restraint in the PRC’s use of military activity in and around the Taiwan Strait. President Biden also raised continued concerns about the PRC’s unfair trade policies, non-market economic practices, and punitive actions against U.S. firms, which harm American workers and families. The President emphasized that the United States will continue to take necessary actions to prevent advanced U.S. technologies from being used to undermine our own national security, without unduly limiting trade and investment.	バイデン大統領は、人権の普遍性と、国際的な人権に関する約束を尊重するすべての国の責任を強調した。また、新疆ウイグル自治区、チベット、香港を含む中国による人権侵害について懸念を表明した。台湾については、バイデン大統領は、われわれの一つの中国政策は変わっておらず、数十年、政権を超えて一貫していると強調した。また、米国はいずれの側からの一方的な現状変更にも反対していること、両岸の相違は平和的手段によって解決されることを期待していること、世界は台湾海峡の平和と安定に関心を持っていることを改めて強調した。また、中国による台湾海峡およびその周辺での軍事活動の自制を求めた。バイデン大統領はまた、中国の不公正な貿易政策、非市場経済慣行、米国企業に対する懲罰的措置など、米国の労働者や家族に損害を与える行為について、引き続き懸念を表明した。大統領は、貿易や投資を過度に制限することなく、米国の先端技術が自国の国家安全保障を損なうために利用されるのを防ぐため、米国は必要な措置を取り続けると強調した。
The President again emphasized that it remains a priority to resolve the cases of American citizens who are wrongfully detained or subject to exit bans in China.	大統領はまた、中国で不当に拘束されたり、出国禁止措置を受けている米国民のケースを解決することが引き続き優先事項であると強調した。
The two leaders reiterated the importance of ties between the people of the United States and the People’s Republic of China, and committed to work towards a significant further increase in scheduled passenger flights early next year, in parallel with actions to restore full implementation of the U.S.-China air transportation agreement, to support exchanges between the two countries. The two leaders also encouraged the expansion of educational, student, youth, cultural, sports, and business exchanges.	両首脳は、米国と中華人民共和国の国民間の結びつきの重要性を改めて強調し、米中航空輸送協定の完全な履行を回復するための行動と並行して、来年早々にも旅客定期便の大幅な増便に取り組み、両国間の交流を支援することを約束した。両首脳はまた、教育、学生、青少年、文化、スポーツ、ビジネス交流の拡大を奨励した。
The two leaders underscored the importance of working together to accelerate efforts to tackle the climate crisis in this critical decade. They welcomed recent positive discussions between their respective special envoys for climate, including on national actions to reduce emissions in the 2020s, on common approaches toward a successful COP 28, and on operationalizing the Working Group on Enhancing Climate Action in the 2020s to accelerate concrete climate actions. President Biden stated that the United States stands ready to work together with the PRC to address transnational challenges, such as health security and debt and climate finance in developing countries and emerging markets.	両首脳は、この重要な10年間に気候危機への取り組みを加速させるために協力することの重要性を強調した。両首脳は、2020年代の排出量削減のための各国行動、COP28の成功に向けた共通のアプローチ、具体的な気候変動行動を加速させるための2020年代の気候変動行動強化に関する作業部会の運営など、最近の両国の気候担当特使間の前向きな議論を歓迎した。バイデン大統領は、米国は中国と協力し、途上国や新興国における健康安全保障や債務、気候変動資金といった国境を越えた課題に取り組む用意があると述べた。
Building on the November 2022 meeting in Bali where they discussed the development of principles related to U.S. – China relations, the two leaders acknowledged the efforts of their respective teams to explore best practices for the relationship. They stressed the importance of responsibly managing competitive aspects of the relationship, preventing conflict, maintaining open lines of communication, cooperating on areas of shared interest, upholding the UN Charter, and all countries treating each other with respect and finding a way to live alongside each other peacefully. The leaders welcomed continued discussions in this regard.	両首脳は、米中関係に関する原則の策定について話し合った2022年11月のバリでの会談を踏まえ、米中関係のベストプラクティスを模索するためのそれぞれのチームの努力を認めた。両首脳は、米中関係の競争的側面を責任を持って管理すること、紛争を防止すること、オープンなコミュニケーションラインを維持すること、共通の関心分野で協力すること、国連憲章を守ること、すべての国が互いに敬意をもって接し、平和的に共存する道を見つけることの重要性を強調した。両首脳は、この点に関する議論の継続を歓迎した。
The two leaders agreed that their teams will follow-up on their discussions in San Francisco with continued high-level diplomacy and interactions, including visits in both directions and ongoing working-level consultations in key areas, including on commercial, economic, financial, Asia-Pacific, arms control and nonproliferation, maritime, export control enforcement, policy-planning, agriculture, and disability issues.	両首脳は、サンフランシスコでの協議をフォローアップするため、双方向の訪問や、商業、経済、金融、アジア太平洋、軍備管理・不拡散、海洋、輸出管理執行、政策立案、農業、障害者問題など、主要分野における実務者協議を含め、ハイレベルの外交・交流を継続することで合意した。
###	###

・[YouTube] President Biden Hosts a Bilateral Meeting with President Xi Jinping of China

● 中国中央人民政府

・2023.11.16 习近平同美国总统拜登举行中美元首会晤

2023-11-16 10:20 発信地：新華社通信

习近平同美国总统拜登举行中美元首会晤	習近平・バイデン米大統領、中米首脳会談を開催
2023-11-16 10:20 来源：新华社	2023-11-16 10:20 発信：新華社通信
新华社旧金山11月15日电（记者倪四义颜亮吴晓凌）当地时间11月15日，国家主席习近平在美国旧金山斐洛里庄园同美国总统拜登举行中美元首会晤。两国元首就事关中美关系的战略性、全局性、方向性问题以及事关世界和平和发展的重大问题坦诚深入地交换了意见。	サンフランシスコ11月15日（新華社）】習近平国家主席とジョー・バイデン米大統領は現地時間15日、米サンフランシスコのフィロリー・エステートで中米ドル首脳会談を開催した。両首脳は、中米関係に関する戦略的、全体的、方向的な問題や、世界の平和と発展に関わる重大な問題について、率直かつ踏み込んだ意見交換を行った。
习近平抵达斐洛里庄园时，受到拜登热情迎接。	習近平国家主席はフィロリー・エステートに到着した際、バイデンに温かく迎えられた。
当地时间11月15日，国家主席习近平在美国旧金山斐洛里庄园同美国总统拜登举行中美元首会晤。新华社记者饶爱民摄	習近平国家主席は現地時間11月15日、米サンフランシスコのフィロリー・エステートで、ジョー・バイデン米大統領と米ドルで会談した。新華社通信の饒愛民記者が撮影した。
习近平指出，当今世界正经历百年未有之大变局，中美有两种选择：一种是加强团结合作，携手应对全球性挑战，促进世界安全和繁荣。另一种是抱持零和思维，挑动阵营对立，让世界走向动荡和分裂。两种选择代表着两个方向，将决定人类前途和地球未来。作为世界上最重要的双边关系，中美关系要放在这个大背景下思考和谋划。中美不打交道是不行的，想改变对方是不切实际的，冲突对抗的后果是谁都不能承受的。大国竞争解决不了中美两国和世界面临的问题。这个地球容得下中美两国。中美各自的成功是彼此的机遇。	習主席は、世界は今、100年に一度の変化を経験しており、中国と米国には2つの選択肢があると指摘した。1つは、連帯と協力を強化し、協力して世界の課題に取り組み、世界の安全と繁栄を促進すること。もうひとつは、ゼロサム的な考え方を持ち、陣営間の対立をあおり、世界を混乱と分裂へと導くことである。この2つの選択は、人類の未来と地球の未来を左右する2つの方向性を表している。世界で最も重要な二国間関係である中米関係は、このような広い文脈の中で考え、計画されなければならない。中国と米国が互いに相手にしないことは不可能であり、相手を変えようとすることは非現実的であり、対立や衝突の結果は誰にとっても耐え難いものである。大国間の対立は、中国、米国、そして世界が直面している問題を解決することはできない。この惑星には、中国と米国のための余地がある。中国と米国のそれぞれの成功は、互いにとってのチャンスである。
习近平深刻阐释了中国式现代化的本质特征和内涵意义，以及中国的发展前景和战略意图。习近平指出，中国的发展有自身的逻辑和规律，中国正在以中国式现代化全面推进中华民族伟大复兴，中国不走殖民掠夺的老路，不走国强必霸的歪路，也不搞意识形态输出。中国没有超越或者取代美国的规划，美国也不要有打压遏制中国的打算。	習近平は、中国式現代化の本質的な特徴と意味合い、中国の発展の見通しと戦略的意図について深く説明した。習主席は、中国の発展には独自の論理と法則があり、中国は中国式現代化によって中華民族の偉大な若返りを全面的に推進していること、中国は植民地略奪の古い道や、国が強くなれば覇権を握るという曲がった道をたどらず、イデオロギーの輸出も行わないことを指摘した。中国は米国を追い越したり取って代わったりする計画はなく、米国は中国を抑圧したり封じ込めたりする意図はないはずだ。
习近平指出，相互尊重、和平共处、合作共赢，这既是从50年中美关系历程中提炼出的经验，也是历史上大国冲突带来的启示，应该是中美共同努力的方向。这次旧金山会晤，中美应该有新的愿景，共同努力浇筑中美关系的五根支柱。	習主席は、相互尊重、平和共存、ウィンウィンの協力は、50年にわたる中米関係から抽出された経験であり、大国間の歴史的対立から明らかになったことでもあり、中米が共同で努力する方向となるべきだと指摘した。今回のサンフランシスコ会議で、中米両国は新たなビジョンを持ち、中米関係の5つの柱を注いで協力すべきである。
一是共同树立正确认知。中国始终致力于构建稳定、健康、可持续的中美关系。同时，中国有必须维护的利益、必须捍卫的原则、必须坚守的底线。希望两国做伙伴，相互尊重、和平共处。	第一に、正しい認識を確立するために協力すべきである。中国は常に、安定的で健全かつ持続可能な中米関係の構築に尽力してきた。同時に、中国には守るべき利益、守るべき原則、守るべき底力がある。我々は、両国がパートナーとなり、互いを尊重し、平和的に共存することを望んでいる。
二是共同有效管控分歧。不能让分歧成为横亘在两国之间的鸿沟，而是要想办法架起相向而行的桥梁。双方要了解彼此的原则底线，不折腾、不挑事、不越界，多沟通、多对话、多商量，冷静处理分歧和意外。	第二に、我々は効果的に相違を管理するために協力すべきである。相違が両国間の亀裂となることを許すべきではなく、むしろ互いの架け橋となる方法を見つけるべきである。双方は互いの原則の底辺を理解し、翻弄せず、喧嘩を売らず、一線を越えず、より多くのコミュニケーション、より多くの対話、より多くの議論を行い、違いやアクシデントに冷静に対処すべきである。
三是共同推进互利合作。中美在诸多领域存在广泛共同利益，既包括经贸、农业等传统领域，也包括气候变化、人工智能等新兴领域。当前形势下，两国共同利益不是减少了，而是更多了。双方要充分用好在外交、经济、金融、商务、农业等领域恢复或建立的机制，开展禁毒、司法执法、人工智能、科技等领域合作。	第三に、我々は協力して互恵協力を推進すべきである。中国と米国は、貿易や農業といった伝統的な分野だけでなく、気候変動や人工知能といった新たな分野も含め、多くの分野で広範な共通の利益を有している。現在の状況では、両国の共通の利益は少なくなっているのではなく、多くなっている。双方は、外交、経済、金融、通商、農業などの分野で復活・確立したメカニズムを十分に活用し、反麻薬、司法法執行、人工知能、科学技術などの分野で協力を行うべきである。
四是共同承担大国责任。解决人类社会面临的麻烦离不开大国合作。中美应该做表率，加强在国际和地区问题上的协调合作，向全球提供更多公共产品。双方提出的倡议要彼此开放，也可以协调对接，形成合力，造福世界。	第四に、大国の責任を分かち合うことである。人類社会が直面している問題の解決は、大国の協力と切り離すことはできない。中国と米国は、国際問題や地域問題での協調と協力を強化し、世界により多くの公共財を提供することで、模範を示すべきである。双方が提案するイニシアティブは互いに開かれたものであるべきであり、世界の利益のために相乗効果を形成するよう調整し、連携させることができる。
五是共同促进人文交流。要增加两国航班、促进旅游合作、扩大地方交往、加强教育、残疾人事务合作，减少阻碍人文交流的负面因素，鼓励和支持两国人民多来往、多沟通，为中美关系健康发展夯实基础。	第5に、我々は共同で人的交流を促進すべきである。両国間の航空便を増便し、観光協力を推進し、地方交流を拡大し、教育や障害者問題での協力を強化し、人文交流を妨げるマイナス要因を減らし、両国民の交流と意思疎通をさらに奨励・支援し、中米関係の健全な発展のための強固な基礎を築くべきだ。
当地时间11月15日，国家主席习近平在美国旧金山斐洛里庄园同美国总统拜登举行中美元首会晤。新华社记者饶爱民摄	習近平国家主席は現地時間11月15日、サンフランシスコのフロリディアン・マナーでジョー・バイデン米大統領と米米会談を行った。新華社通信の饒愛民記者が撮影した。
习近平深入阐述了台湾问题上的原则立场，指出，台湾问题始终是中美关系中最重要、最敏感的问题。中方重视美方在巴厘岛会晤中作出的有关积极表态。美方应该将不支持“台独”的表态体现在具体行动上，停止武装台湾，支持中国和平统一。中国终将统一，也必然统一。	習近平は台湾問題に対する原則的立場を詳しく説明し、台湾問題は常に中米関係における最も重要で敏感な問題であると指摘した。中国は、バリ会議での米国側の前向きな発言を重視している。米国は台湾の独立を支持しないという声明を具体的な行動に移し、台湾への武装をやめ、中国の平和的統一を支持すべきである。中国はいずれ統一され、統一されるに違いない。
习近平指出，美方在出口管制、投资审查、单边制裁方面不断采取针对中国的举措，严重损害中方正当利益。中国的发展是以创新驱动的，打压中国科技就是遏制中国高质量发展，剥夺中国人民的发展权利。中国的发展壮大有内生逻辑，是外部力量阻挡不了的。希望美方严肃对待中方关切，采取行动，取消单边制裁，为中国企业提供公平、公正、非歧视的环境。	習主席は、米側が輸出管理、投資審査、単独制裁などで中国に対抗する動きを続けており、中国の合法的利益を著しく損なっていると指摘した。中国の発展はイノベーションが原動力であり、中国の科学技術を抑圧することは、中国の質の高い発展を抑制し、中国人民の発展の権利を奪うことになる。中国の発展と成長には内発的な論理があり、外的な力で阻止することはできない。米側が中国の懸念を真摯に受け止め、一方的な制裁を解除する行動をとり、中国企業に公平・公正で差別のない環境を提供することが望まれる。
拜登对习近平应邀赴美出席美中元首会晤表示热烈欢迎。拜登表示，去年我同习近平主席在巴厘岛进行了重要会晤。旧金山是华人最先抵达美国的地方，是美中共同参与签署《联合国宪章》的地方，也是美中最早建立友城的地方。今天我们在旧金山再次面对面会晤具有特殊重要意义，我期待在巴厘岛会晤基础上取得新的共识和成果。	バイデンは、習主席の米中首脳会談への招待を温かく歓迎した。私は昨年、習近平国家主席とバリで重要な会談を行った。サンフランシスコは、中国人が初めて米国に到着した場所であり、米中が国連憲章の調印に共同で参加した場所であり、米中が初めて友好都市を設立した場所である。今日、私たちはサンフランシスコで再び顔を合わせることは特別な意義があり、新たなコンセンサスと成果に基づいて、バリでの会談を楽しみにしている。
拜登表示，我始终认为，美中关系是世界上最重要的双边关系，美中冲突并非不可避免，一个稳定和发展的中国符合美国和世界的利益，中国经济增长有利于美国，也有利于世界。美中关系保持稳定，防止冲突，管控分歧，并在符合双方利益的领域开展合作，有助于两国更好应对各自和共同面临的问题。我愿重申在巴厘岛会晤中作出的五点承诺，即：美国不寻求新冷战，不寻求改变中国体制，不寻求通过强化同盟关系反对中国，不支持“台湾独立”，无意同中国发生冲突。美中经济相互依赖，美国乐见中国发展富裕，不寻求打压遏制中国发展，不寻求同中国脱钩。美方恪守一个中国政策，欢迎双方各部门各层级开展对话，愿继续同中方保持开放坦诚的沟通，增进了解，避免误解，管控分歧。美方愿同中方持续发展经贸关系，在气候变化、禁毒、人工智能等重要领域加强合作，乐见两国增加直航航班，扩大教育科技交流和人员往来。	バイデンは、「私は常に、米中関係は世界で最も重要な二国間関係であり、米中対立は避けられないものではなく、安定し発展する中国は米国と世界の利益に沿うものであり、中国の経済成長は米国にとっても有益であるが、世界にとっても有益であると信じてきた。米中関係の安定を維持し、対立を防ぎ、相違を管理し、相互利益の分野で協力することは、両国が個々に、そして共に直面する問題に、よりよく対処する助けとなる。米国は新たな冷戦を求めず、中国の制度を変えようとせず、同盟関係の強化を通じて中国に対抗しようとせず、「台湾独立」を支持せず、中国と対立するつもりはない。米国と中国は経済的に相互依存関係にあり、米国は中国が発展し豊かになることを喜んでいる。米国は一帯一路政策を堅持し、あらゆるレベル、あらゆる分野における双方の対話を歓迎し、理解を深め、誤解を避け、相違を管理するために、中国側とのオープンで率直なコミュニケーションを維持し続けることを望んでいる。米国側は、中国側との経済・貿易関係を引き続き発展させ、気候変動、麻薬対策、人工知能などの重要分野での協力を強化することを望んでおり、両国間の直行便の増加や、教育、科学技術交流、人的交流の拡大を喜んでいる。
两国元首认可双方团队自巴厘岛会晤以来讨论确立中美关系指导原则所作努力，强调要相互尊重、和平共处、保持沟通、防止冲突、恪守《联合国宪章》，在有共同利益的领域开展合作，负责任地管控双边关系中的竞争因素。两国元首欢迎双方团队继续就此讨论。	両首脳は、バリでの会談以来、中米関係の指導原則の確立について議論してきた双方のチームの努力を認め、相互尊重、平和的共存、意思疎通の維持、紛争の防止、国連憲章の遵守、共通の利益分野における協力、二国間関係における競合要因の責任ある管理の必要性を強調した。両首脳は、この点に関する両チーム間の協議の継続を歓迎した。
两国元首同意推动和加强中美各领域对话合作，包括：建立人工智能政府间对话；成立中美禁毒合作工作组，开展禁毒合作；在平等和尊重基础上恢复两军高层沟通、中美国防部工作会晤、中美海上军事安全磋商机制会议，开展中美两军战区领导通话；同意明年早些时候进一步大幅增加航班；扩大教育、留学生、青年、文化、体育和工商界交流，等等。	両首脳は、人工知能に関する政府間対話の設置、中米反ドラッグ協力作業部会の設置による反ドラッグ協力の実施、中米両軍のハイレベルの意思疎通、中米国防省間の実務者会合、中米海上軍事安全保障協議メカニズムの平等と尊重を基礎とした会合の再開、中米両軍の戦闘区域の指導者間の連絡の実施、来年早々の更なる大幅な増便の合意など、様々な分野における中米対話・協力の促進・強化に合意した；教育、留学生、青少年、文化、スポーツ、経済界などの交流を拡大する。
两国元首强调在当下关键十年中美加快努力应对气候危机的重要性，欢迎两国气候特使近期开展的积极讨论，包括：2020年代国内减排行动，共同推动联合国气候变化迪拜大会（COP28）成功，启动中美“21世纪20年代强化气候行动工作组”以加快具体气候行动。	両首脳は、この重要な10年間における気候危機への米中の取り組みを加速させることの重要性を強調し、2020年代における国内の緩和行動、ドバイで開催された国連気候変動会議（COP28）の成功を促進するための協力、具体的な気候変動行動を加速させるための米中「2120年代における気候変動行動強化タスクフォース」の立ち上げなど、両国の気候担当特使による最近の前向きな議論を歓迎した。「具体的な気候変動対策を加速させる
会谈后，拜登为习近平举行午宴。两国元首就共同关心的巴以冲突等国际和地区问题交换了意见。	会談後、バイデンは習近平を招いて昼食会を開催した。両首脳は、パレスチナ・イスラエル紛争など、共通の関心事である国際問題や地域問題について意見を交換した。
拜登还邀请习近平一道在斐洛里庄园里散步，并亲自将习近平送到上车处道别。	バイデンはまた、習近平をフィロリー邸周辺の散策に招待し、習近平を自ら車までエスコートして別れを告げた。
当地时间11月15日，国家主席习近平在美国旧金山斐洛里庄园同美国总统拜登举行中美元首会晤。这是会谈后，拜登邀请习近平一道在斐洛里庄园里散步。新华社记者李学仁摄	現地時間11月15日、習近平国家主席とジョー・バイデン米大統領は、米サンフランシスコのフィロリー・エステートで中米首脳会談を行った。会談後、バイデン氏は習氏をフェラーリ邸の散策に招待した。新華社通信撮影李雪仁
这次会晤积极、全面、富有建设性，为改善和发展中美关系指明了方向。旧金山应该成为稳定中美关系的新起点。两国元首责成双方团队在落实好巴厘岛会晤共识基础上，及时跟进和落实本次会晤达成的新愿景。两国元首同意继续保持经常性联系。	会談は積極的、包括的、建設的で、中米関係の改善と発展の方向性を指摘した。サンフランシスコは中米関係を安定させる新たな出発点になるはずだ。両首脳は、バリ会議で得られたコンセンサスに基づき、今回の会議で得られた新たなビジョンをタイムリーにフォローアップし、実行に移すことをそれぞれのチームに課した。両首脳は、今後も定期的に連絡を取り合うことで合意した。
蔡奇、王毅出席上述活动。	蔡奇と王毅は上記の行事に出席した。

この写真はとても良い写真と思いました...

当地时间11月15日，国家主席习近平在美国旧金山斐洛里庄园同美国总统拜登举行中美元首会晤。这是会谈后，拜登邀请习近平一道在斐洛里庄园里散步。新华社记者李学仁摄

米国側の21分の記者会見。。。

しかし記者の質問の大半はガザ地域...米国民の関心はむしろそちらなのでしょうね。。。

● U.S. White House

・2023.11.16 Remarks by President Biden in a Press Conference | Woodside, CA

Remarks by President Biden in a Press Conference \| Woodside, CA	バイデン大統領記者会見｜カリフォルニア州ウッドサイド
5:20 P.M. PST	午後5時20分
THE PRESIDENT: I didn’t know there were this many people in town. Please have a seat. As you know, I just concluded several hours of meetings with President Xi, and I believe they were some of the most constructive and productive discussions we’ve had.	大統領：こんなに大勢の方がいらっしゃるとは知りませんでした。どうぞお掛けください。ご承知のように、私は習主席との数時間に及ぶ会談を終えたところです。
I’ve been meeting with President Xi since both of us were vice president over 10 years ago. Our meetings have always been candid and straightforward. We haven’t always agreed, but they’ve been straightforward. And today, built on the groundwork we laid over the past several months of high-level diplomacy between our teams, we’ve made some important progress, I believe.	習主席とは、10年以上前の副主席時代から会っています。私たちの会談は常に率直で率直でした。いつも意見が一致したわけではありませんが、率直でした。そして今日、過去数カ月にわたる両チームのハイレベル外交で築いた土台の上に、いくつかの重要な進展があったと思います。
First, I am pleased to announce that after many years of being on hold, we are restarting cooperation between the United States and the PRC on counternarcotics.	まず、長年中断していた米国と中国の麻薬対策に関する協力を再開することを発表できることを嬉しく思います。
In 2019, you may remember, China took action to greatly reduce the amount of fentanyl shipped directly from China to the United States. But in the years since that time, the challenge has evolved from finished fentanyl to fentanyl chemical ingredients and — and pill presses, which are being shipped without controls. And, by the way, some of these pills are being inserted in other drugs, like cocaine, and a lot of people are dying.	2019年、中国は中国から米国に直接出荷されるフェンタニルの量を大幅に削減する措置を取ったことを覚えておられるかもしれません。しかし、それ以降の数年間で、課題は完成品のフェンタニルから、フェンタニルの化学成分や-錠剤プレス機へと発展し、これらは管理されることなく出荷されています。ところで、これらの錠剤の一部は、コカインのような他の薬物の中に挿入され、多くの人々が命を落としています。
More people in the United States between the ages of 18 to 49 die from fentanyl than from guns, car accidents, or any other cause. Period.	米国で18歳から49歳の間にフェンタニルが原因で死亡する人の数は、銃や交通事故などによる死亡者数よりも多いのです。
So, today, with this new understanding, we’re taking action to significantly reduce the flow of precursor chemicals and pill presses from China to the Western Hemisphere. It’s going to save lives, and I appreciate President Xi’s commitment on this issue.	そこで今日、私たちはこの新たな理解をもとに、中国から西半球への前駆体化学物質と錠剤印刷機の流入を大幅に削減するための行動を起こしています。これは人命を救うものであり、この問題に対する習主席のコミットメントに感謝します。
President Xi and I tasked our teams to maintain a policy and law enforcement coordination going forward to make sure it works.	習主席と私は、政策と法執行の協調を維持し、それが確実に機能するよう、私たちのチームに課しました。
I also want to thank the bipartisan congressional delegation to China, led by Leader Schumer, in October for supporting efforts — this effort so strongly.	また、10月にシューマー党首率いる超党派の訪中団が、この取り組みを強力に支援してくれたことにも感謝したいと思います。
Secondly, and this is critically important, we are reassuming military-to-military contact — direct contacts. As a lot of you press know who follow this, that’s been cut off, and it’s been worri- — worrisome. That’s how accidents happen: misunderstandings. So, we’re back to direct, open, clear, direct communications on a — on a ba- — on a direct basis.	次に、これは決定的に重要なことですが、私たちは軍と軍との接触、つまり直接の接触を再開しています。この問題を追っている多くの報道関係者の皆さんはご存知のように、軍と軍の直接の連絡は断たれており、それが心配で心配でたまりません。事故は誤解から起こるものです。ですから、私たちは、直接的で、オープンで、クリアで、直接的なコミュニケーションに戻りました。
Vital miscalculations on either side can — are — can cause real, real trouble with a — with a country like China or any other major country. And so, I think we made real progress there as well.	どちらにとっても重大な誤算は、中国やその他の主要国との間で、本当に、本当に大きな問題を引き起こす可能性があります。ですから、私たちはこの点でも真の進歩を遂げたと思います。
And thirdly, we’re going to get our experts together to discuss risk and safety issues associated with artificial intelligence. As many of you who travel with me around the world almost everywhere I go — every major leader wants to talk about the impact of artificial intelligence.	そして3つ目は、専門家を集めて人工知能に関連するリスクと安全性の問題を議論することです。私が行く先々で一緒に世界中を旅している多くの皆さんがそうであるように、どの主要な指導者も人工知能の影響について話したがっています。
These are tangible steps in the right direction to determine what’s useful and what’s not useful, what’s dangerous and what’s acceptable.	これらは、何が有用で何が有用でないか、何が危険で何が許容されるかを判断するための、正しい方向への具体的な一歩です。
Moreover, there are evidence of cases that — that I’ve made all along: The United States will continue to compete vigorously with the PRC. But we’ll manage that competition responsibly so it doesn’t veer into conflict or accidental conflict.	さらに、私がずっと主張してきたことの証拠もあります：米国は中国と激しく競争し続けるでしょう。しかし、その競争が衝突や偶発的な衝突に発展しないよう、責任を持って管理します。
And where it’s possible, where it is in our interests are — coincide, we’re going to work together, like we did on fentanyl.	そして可能な限り、私たちの利害が一致する場合には、フェンタニルの件でもそうであったように、協力し合うつもりです。
That’s what the world expects of us — the rest of the world expects, not just in — people in China and the United States, but the rest of the world expects that of us. And that’s what the United States is going to be doing.	中国や米国の人々だけでなく、世界中の人々が私たちに期待していることです。そして、米国はそれを実行しようとしています。
Today, President Xi and I also exchanged views on a range of regional and global issues, including Russia’s refusal and brutal war to stop the war — and brutal war of aggression against Ukraine and — and the conflict in Gaza.	今日、習主席と私はまた、ロシアのウクライナに対する侵略戦争、そしてガザ紛争を止めることを拒否し、残忍な戦争を含む、さまざまな地域的・世界的問題について意見交換を行いました。
And as I always do, I raised areas where the United States has concerns about the PRC’s actions, including detained and ex- — and exit-banned U.S. citizens, human rights, and corrective — coercive activities in the South China Sea. We discussed all three of those things. I gave them names of individuals that we think are being held, and hopefully we can get them released as well. No agreement on that. No agreement on that.	また、いつものように、米国が中国の行動に懸念を抱いている分野として、拘束され出国を禁止された米国市民、人権、南シナ海における是正-強圧的活動などを挙げました。私たちはこれら3つすべてについて話し合いました。拘束されていると思われる人物の名前を伝えました。それについての合意はありません。それについての合意はありません。
I also stressed the importance of peace and stability in the Taiwan Straits.	私はまた、台湾海峡の平和と安定の重要性を強調しました。
It’s clear that we object to Beiji- — to Beijing’s non-market economic practices and disadvantage — that disadvantage American businesses and workers and that we’ll continue to address them. And I named what I thought a number of those were.	北京の非市場的な経済慣行や、アメリカの企業や労働者を不利にするような慣行に対して、私たちが反対していることは明らかです。そして、そのうちのいくつかを挙げました。
I welcome the positive steps we’ve taken today, and it’s important for the world to see that we are implementing the approach in the best traditions of American diplomacy. We’re talking to our competitors. And the key el- — and just talking, just being blunt with one another so there’s no misunderstanding is a key element to maintaining global stability and delivering for the American people.	私は、今日私たちが取った前向きな措置を歓迎しますし、私たちがアメリカ外交の最高の伝統に則ったアプローチを実施していることを世界に知ってもらうことが重要です。私たちは競争相手と話し合っています。そして、重要なのは、誤解のないように、ただ話し合うこと、ただ率直に話し合うことが、世界の安定を維持し、米国民に利益をもたらすための重要な要素であるということです。
And in the months ahead, we’re going to continue to preserve and pursue high-level diplomacy with the PRC in both directions to keep the lines of communication open, including between President Xi and me. He and I agreed that either one of us could pick up the phone, call directly, and we’d be heard immediately.	そして今後数カ月間、私たちは中国とのハイレベルな外交を双方向で維持・追求し、習主席と私の間を含め、コミュニケーションラインを常にオープンにしていくつもりです。習主席と私は、どちらか一方が直接電話を取れば、すぐに連絡が取れるということで合意しました。
And that’s — now I’d like to be able to take some questions, if I may. And I’m told that Demetri of the Financial Times has the first question.	それでは、質問をお受けしたいと思います。最初の質問はフィナンシャル・タイムズ紙のディミトリさんからと聞いています。
Q Thank you. And as an Irishman, I apologize for bringing the rain.	Q ありがとうございます。アイルランド人として、雨を降らせてしまったことをお詫びします。
THE PRESIDENT: Well, holy God, I wouldn’t have called on you if I had known that. (Laughter.) No, I’m teasing. Go ahead. Fire away, Demetri.	大統領：いやはや、それを知っていたらお呼びしなかったのに。 (笑）いや、冗談です。どうぞ続けてください、ディミトリ。
Q President Biden, given that America is playing a key role in two major global crises — Ukraine and in Gaza — does that alter your previous commitment to defend Taiwan from any Chinese military action? And did Xi Jinping outline the conditions under which China would attack Taiwan?	Q バイデン大統領、アメリカがウクライナとガザという2つの大きな世界的危機において重要な役割を果たしていることを考えると、中国のいかなる軍事行動からも台湾を守るというあなたのこれまでの公約は変わるのでしょうか？また、習近平は中国が台湾を攻撃する条件について説明しましたか？
THE PRESIDENT: Look, I reiterate what I’ve said since I’ve become president and what every previous president of late has said — that we — we maintain an agreement that there is a One China policy and that — and I’m not going to change that. That’s not going to change.	大統領：いいですか、私が大統領になってから言ってきたこと、そして最近の歴代大統領が言ってきたことを繰り返します。私たちは、中国は一つであるという合意を維持しており、それを変えるつもりはありません。そして、それは変わりません。
And so, that’s about the extent to which we discussed it.	というのが、私たちが話した範囲です。
Next question, sorry, was Bloomberg.	次の質問は、すみません、ブルームバーグでした。
Q Good evening, Mr. President. It appears, among other issues, that your agreement with President Xi over fentanyl would require — will require a lot of trust and verification to ensure success in curbing those drug flows. I’m wondering: After today and considering all that you’ve been through in the past year, would you say, Mr. President, that you trust President Xi?	Q こんばんは、大統領。フェンタニルをめぐる習主席との合意には、薬物流入の抑制を成功させるために多くの信頼と検証が必要だと思われます。私は疑問に思っています：今日、そしてこの1年の経験を踏まえて、習主席を信頼していると言えますか？
And secondly, if I could, on Taiwan. You’ve — you and your administration officials have warned President Xi and Chi- — China about interference in the upcoming election. I’m wondering what would the consequences be if they do, in fact, interfere in the election. Thank you.	次に、台湾についてです。あなたは......あなたとあなたの政権関係者は、習主席と中国に対し、次期選挙への干渉について警告を発しています。もし実際に選挙に介入した場合、どのような結果になるのでしょうか？ありがとうございます。
THE PRESIDENT: Well, I may have had that discussion with him, too. I made it clear: I didn’t expect any interference, any at all. And we had that discussion as — as he was leaving.	大統領：ええ、私も彼とそのような話し合いをしたかもしれません。私は、いかなる干渉も期待していないとはっきり言いました。そして、彼が去ろうとしているときに、その話し合いをしました。
Look, do I trust? You know, I — “trust but verify,” as the old saying goes. That’s where I am.	私は信頼しているか？私は......古いことわざにあるように、"信頼はするが、それを検証しない"。それが私の立場です。
And, you know, we’re in a competitive relationship, China and the United States. But my responsibility is to — to make it — make this rational and manageable so it — so it doesn’t result in conflict.	中国と米国は競争関係にあります。しかし、私の責任は、この関係を合理的で管理可能なものにし、対立を生まないようにすることです。
That’s what I’m all about, and that’s what this is about: to find a place where we can come together and where we find mutual interests that — but, most importantly, from my perspective, that are in the interests of the American people. That’s what this is about, and that’s exactly what we’ll do.	それこそが私のすべてであり、この問題の本質なのです。つまり、私たちが協力し合い、相互の利益を見出すことができる場所を見つけること。それこそが私たちの目的であり、私たちが行うことなのです。
You know, we’re in a situation where we agreed that fentanyl and its precur- — its precursors will be curbed substantially and the pill presses. That’s a big — that’s a big movement. They’re doing —	フェンタニルとその前駆体を大幅に抑制し、錠剤を圧搾することで合意しました。これは大きな動きです。これは大きな動きです。
And, by the way, you know, I won’t — I guess I shouldn’t identify where it occurred. But, John, I know two people near where I live. Their kids, literally, as I said — stra- — they woke up dead. Someone had inserted in — whether the young man did or not — inserted, in a drug he was taking, fentanyl.	ところで、この事件がどこで起きたかは特定しないほうがいいと思います。でも、ジョン、私が住んでいる近くに2人の知り合いがいます。彼らの子供たちは、文字通り、目を覚ますと死んでいました。誰かが--その若者がやったかどうかは別として--彼が服用していた薬、フェンタニルを挿入したんです。
Again, I — I don’t — I hope you don’t have any experience with knowing anyone, but this is the largest killer of people in that age category.	繰り返しになりますが、知り合いがいないことを祈りますが、これはその年代のカテゴリーで最大の殺人問題です。
And, you know, I guess the other thing I think is most important is that since I — I’ve spent more time with President Xi than any world leader has, just because we were vice presidents. His president was President Hu; I’m not making a joke. President Hu and — and President Obama thought we should get to know one another. It wasn’t appropriate for the president of United States to be walking — dealing with the vice president.	そしてもうひとつ、私が最も重要だと思うのは、習主席とは副主席を務めて以来、どの世界の指導者よりも長い時間を一緒に過ごしてきたということです。冗談を言っているのではありません。胡錦濤国家主席とオバマ大統領は、お互いに知り合うべきだと考えていました。米国大統領が副大統領を相手にするのは適切ではありません。
So, we met — if I’m not mistaken, I think it was 68 hours of just face to face — just us and a simultaneous interpreter.	だから、私たちは--私の記憶が間違っていなければ--68時間、私たちと同時通訳者だけで顔を合わせました。
So, I — I think I know the man. I know his modus operandi. He’s been — we have disagreements. He has a different view than I have on a lot of things. But he’s been straight. I don’t mean that he’s good, bad, or indifferent. He’s just been straight.	だから、彼のことはよく知っています。彼の考え方は知っています。私たちは意見の相違があります。彼は多くのことについて私とは異なる見解を持っています。でも、彼はまっすぐな人です。彼が良いとか悪いとか、無関心だとかいう意味ではありません。ただまっすぐということです。
And so, you know, we — as I said, the thing that I — I find most assuring is he raised and I fully agreed that if either one of us have any concern, Mr. Ambassador — any concern about anything between our nations or happening in our region, we should pick up the phone and then call one another, and we’ll take the call. That’s an important progress.	そして、先ほど申し上げたように、私が最も心強く感じたのは、大使が、私たちの国家間やこの地域で起きていることについて何か懸念があれば、電話を取り、そしてお互いに電話をかけ、そして私たちがその電話に応じよう、と言ってくれたことです。これは重要な進歩です。
I’m embarrassed — I think it’s CBS, but I can’t remember who with CBS. I’m sorry.	お恥ずかしいのですが--CBSだと思うのですが、CBSの誰が誰だか思い出せません。すみません。
Q Thank you, Mr. President. Weijia Jiang with CBS.	Q ありがとうございます。 CBSのWeijia Jiangです。
THE PRESIDENT: Sorry. (Laughs.) I apologize.	大統領：すみません。（笑）申し訳ありません。
Q You continue to stress the need to ensure competition with China does not veer into conflict or confrontation. In the past two years, there have been more than 180 incidents of Chinese aggression against U.S aircraft in the Indo-Pacific and, of course, the ramped up military activity in the South China Sea. If that does not count as veering into confrontation, then what does? And did you issue any warnings Xi against continuing that behavior?	Q あなたは中国との競争が対立や衝突に陥らないようにする必要性を強調し続けています。過去2年間で、インド太平洋における中国による米軍機への接触は180件を超え、もちろん南シナ海での軍事活動の活発化もありました。これが対立への道でないとすれば、何が対立なのでしょうか？また、そのような行動を続けることに対して習近平に警告を発しましたか？
THE PRESIDENT: Well, first of all, none of it did end up in a con- — conflict. Number one.	大統領：まず第一に、いずれも対立には至っていません。それがまず、その1です。
Number two, you may recall: I did a few little things like get the Quad together, allow Australia to have access to new submarines, moving in the direction of working with the Philippines. So, our actions speak louder than our words. He fully understands.	その２ですが、思い出してください：私は、クワッドをまとめたり、オーストラリアが新しい潜水艦にアクセスできるようにしたり、フィリピンと協力する方向に進めたりと、少しずつすすめてきました。つまり、私たちの行動は言葉よりも雄弁なのです。彼は十分に理解しています。
Q And because of the news of the day, sir, I do have a question about the IDF raid on the Al-Shifa Hospital, as it tries to contain and take out the Hamas operative that is there.	Q 今日のニュースの中で、ハマスの工作員を封じ込め、排除しようとしているアル・シファ病院へのIDFの急襲について質問があります。
This week, you also said that we must protect hospitals. So, when you weigh the target against the number of civilians inside the hospital, is the operation underway justified?	今週、あなたは病院を守らなければならないとも言いました。では、病院内の民間人の数と標的を比較した場合、この作戦は正当化されるのでしょうか？
THE PRESIDENT: Well, look, we did discuss this, by the way. We can’t let it get out of control.	大統領：そうですね。私たちは、これを制御不能にさせることはできません。
Here’s the situation: You have a circumstance where the first war crime is being committed by Hamas by having their headquarters, their military hidden under a hospital. And that’s a fact. That’s what’s happened.	状況はこうです：最初の戦争犯罪は、ハマスがその司令部や軍隊を病院の下に隠すことによって犯しているという状況です。これは事実です。これが事実です。
Israel did not go in with a large number of troops, did not raid, did not rush everything down. They’ve gone in and they’ve gone in with their soldiers carrying weapons or guns. They were told — told — let me be precise.	イスラエルは大軍で突入したわけでも、急襲したわけでも、すべてを破壊したわけでもありません。武器や銃を携行した兵士が侵入したのです。彼らは言われたのです。
We’ve discussed the need for them to be incredibly careful. You have a circumstance where you know there is a fair number of Hamas terrorists. Hamas has already said publicly that they plan on attacking Israel again like they did before, to where they were cutting babies’ heads off to burn — burning women and children alive.	私たちは、彼らが細心の注意を払う必要があることを話し合いました。あなたは、ハマスのテロリストがかなりの数いることを知っています。ハマスがすでに公言しているのは、以前彼らがやったように、またイスラエルを攻撃するつもりだということです。
And so, the idea that they’re going to just stop and not do anything is not realistic. This is not the carpet bombing. This is a different thing. They’re going through these tunnels; they’re going in the hospital.	だから、彼らがただ立ち止まって何もしないという考えは現実的ではありません。これは絨毯爆撃ではありません。これは別物です。彼らはトンネルを通り抜け、病院に入っていきます。
And if you notice, I — I was mildly preoccupied today. I apologize, I didn’t see everything. But what I did see, whether — I haven’t had it confirmed yet — I have asked my team to answer the question. But what happened is they’re also bringing in incubators. They’re bringing in other — other means to help the people in the hospital, and they’ve given the doctors and — I’m told — the doctors and nurses and personnel an opportunity to get out of harm’s way.	そして、お気づきのように、私は--今日は少し時間をとっていました。申し訳ありませんが、すべてを見たわけではありません。しかし、私が見たものは、まだ確認はしていませんが、私のチームに答えを求めています。しかし、何が起こったかというと、彼らはインキュベーターも連れてきています。そして、医師や看護師、職員に危険から逃れる機会を与えたと聞いています。
So, this is a different story than I believe was occurring before, an indiscriminate bombing.	無差別爆撃が起こる前とは違うということですね。
What do you got? Washington Post. I think that’s right.	何かわかりましたか？ワシントン・ポスト紙その通りだと思います。
Q Thank you, Mr. President.	Q ありがとうございます、大統領閣下。
THE PRESIDENT: Oh, there you are. Sorry. I couldn’t see you in the light.	大統領：ああ、ここにいましたか。すみません。明るくて見えませんでした。
Q That’s okay. Mr. President, Israel’s war in Gaza has killed more than 11,000 Palestinians in just over a month and created —	Q 大丈夫です。大統領、イスラエルのガザでの戦争は、わずか1カ月余りで11,000人以上のパレスチナ人を殺害しました。
THE PRESIDENT: I’m sorry, you’re breaking up. I didn’t — would you —	大統領：申し訳ありません。もう一度行ってくれますか？
Q Israel’s war in Gaza has killed more than 11,000 Palestinians in just over a month and created a humanitarian disaster. Israeli officials have said this war could take months or even years. Have you communicated to Prime Minister Netanyahu any sort of deadline or timeframe for how long you are willing to support Israel in this operation? Are you comfortable with the operation going on indefinitely? And is there any deal underway to free hostages? Thank you.	Q イスラエルのガザでの戦争は、わずか1カ月余りで11,000人以上のパレスチナ人を殺害し、人道的災害をもたらしました。イスラエル政府関係者は、この戦争は数カ月から数年かかる可能性があると述べています。あなたはネタニヤフ首相に、この作戦でイスラエルをいつまで支援するつもりなのか、期限や時間枠のようなものを伝えましたか？この作戦を無期限に続けることに抵抗はないのですか？また、人質を解放するための取引は進行中ですか？ありがとうございます。
THE PRESIDENT: Yes, no — working backwards forward. Look, I have been deeply involved in moving on the hostage negotiation, and I don’t want to get ahead of myself here because I don’t know what’s happened in the last four hours.	大統領：はい、いいえ。私は人質交渉の進展に深くかかわってきましたし、この4時間の間に何が起こったのかわからないので、ここで先走ることはしたくありません。
But they’re — I have — we’ve gotten great cooperation from the Qataris. I’ve spoken with them as well a number of times. I think the pause and that Israeli — that the Israelis have agreed to is down to — I’m getting into too much detail. I know, Mr. Secretary. I’m going to stop.	この4時間の間に何が起こったかわかりませんから。しかし、カタールからは大きな協力を得ています。彼らとも何度も話をしました。イスラエルが合意した一時停止は、私が細かいことを言いすぎたせいだと思います。そうですね、長官。もうやめます。
The — but I am — I am mildly hopeful. I’m mildly hopeful.	しかし、私は軽い希望を抱いています。軽い希望です。
With regard to when is this going to stop, I think it’s going to stop when the — when Hamas no longer maintains the capacity to murder and abuse and — and just do horrific things to the Israelis. And they are in — and they still think they — at least as of this morning, they still thought they could.	ハマスがイスラエル人を殺害し、虐待し、恐ろしいことをする能力を維持できなくなったときです。そして彼らはまだ、少なくとも今朝の時点では、まだできると考えているのです。
I — I guess the best way for me to say it is that I take a look. The IDF, the Israeli Defense Forces, acknowledges they have an obligation to use as much caution as they can in going after their targets. It’s not like they’re rushing in the hospital, knocking down doors, and, you know, pulling people aside and shooting people indiscriminately.	私がそれを言うのに最も適しているのは、見てみることだと思います。イスラエル国防軍（IDF）は、標的を狙う際にはできる限り慎重を期す義務があることを認めています。病院に駆け込んだり、ドアを叩き壊したり、人を脇に引き寄せて無差別に撃ち殺したりするようなことはしません。
But Hamas, as I said, said they plan on attacking the Israelis again. And this is a terrible dilemma. So, what do you do?	しかし、ハマスが言ったように、彼らは再びイスラエルを攻撃するつもりです。これはひどいジレンマです。どうしますか？
I think that Israel is also taking risks themselves about their folks being killed one-to-one going through these hospital rooms, hospital halls. But one thing has been established is that Hamas does have headquarters, weapons, materiel below this hospital and, I suspect, others. But how long it’s going to last, I don’t know.	イスラエルもまた、病室やホールを1対1で殺されるリスクを負っていると思います。しかし、ハマスがこの病院の地下に司令部や武器、資材を持っていることは確かです。しかし、それがいつまで続くかはわかりません。
Look, I made it clear to the Israelis that — and to Bibi and to his War Cabinet that I think the only ultimate answer here is a two-state solution that’s real. We got to get to the point where there is an ability to be able to even talk without worrying about whether or not we’re just dealing with — they’re dealing with Hamas — that’s going to engage in the same activities they did over the past — on — on the 7th.	私はイスラエル人に、そしてビビと彼の戦争内閣に、ここでの唯一の最終的な答えは2国家解決であり、それは現実的なものだと思います。ハマスが相手だというだけで、7日に過去と同じような活動をするのではないかという心配をすることなく、話し合いができるようにならなければなりません。
So, it’s — but I can’t tell — I’m not a fortuneteller. I can’t tell you how long it’s going to last. But I can tell you I don’t think it ultimately ends until there’s a two-state solution. I made it clear to the Israelis I think it’s a big mistake to — for them to think they’re going to occupy Gaza and maintain Gaza. I don’t think that works.	私は占い師ではありません。いつまで続くかはわかりません。しかし、最終的には2国家による解決が実現するまでは終わらないと思います。ガザを占領し、ガザを維持しようと考えるのは大きな間違いだと思います。それはうまくいかないと思います。
And so, we’re going to — I think you’re going to see efforts to bring along — well, I shouldn’t go into it anymore, because that’s — that’s things I’ve been negotiating with Arab countries and others about what the next steps are.	ですから、私たちは、アラブ諸国やその他の国々と次のステップについて交渉してきたのです、そして、私がアラブ諸国やその他の国々と次のステップについて交渉していることですから。
But anyway, thank you all very much. Appreciate it very much.	いずれにせよ、本当にありがとうございました。ありがとうございました。
MS. JEAN-PIERRE: Thank you. This ends the press conference.	MS. ジャン＝ピエール：ありがとうございました。これで記者会見を終わります。
(Cross-talk.)	（クロストーク）
Q Sir, on the hostages, you said, “We’re coming for you.” What did you mean when you said, “We’re coming for you”?	Q 人質について、あなたは "We're coming for you. "と言いましたね。迎えに行く」とはどういう意味ですか？
THE PRESIDENT: When — when Hama- — well, Hamas said they plan on doing the same thing again — what — what they did — what they did on the 7th. They’re going to go in — they want to slaughter Israelis. They want to do it again. And they’ve said it out loud. They’re not even kidding about it. They’re not backing off.	大統領：ハマスが、7日に彼らがしたことを、また同じことをするつもりだと言いました。彼らはイスラエル人を虐殺するつもりです。またやりたいんです。彼らはそれを口に出して言っています。冗談でもなんでもなく。彼らは一歩も引きません。
And so, I just asked the rhetorical question, “I wonder what we would do if that were the case?”	もしそうだとしたら、私たちはどうするのでしょうか？
Q On the hostages though, you said, “We’re coming for you.” What did you mean to the American hostages when you said —	Q 人質について、あなたは「迎えに行く」と言いましたね。アメリカ人の人質に対してどのような意味で言ったのですか？
THE PRESIDENT: Oh —	大統領：ああ......。
Q — “Hang tight. We’re coming for you.”	Q - "Hang tight. 私たちが迎えに行きますから。
THE PRESIDENT: What I meant was I’m doing everything in my power to get you out — coming to help you to get you out. I don’t mean sending military in to get them. Is — is that what you thought I might mean?	大統領：私が言いたかったのは、あなた方を救い出すために全力を尽くすということです。軍隊を送り込んで救出するという意味ではありません。そういう意味だと思われましたか？
Q I — I defer to you.	Q 私はあなたに従います。
THE PRESIDENT: No, no, no it’s — it — I was not talking about a military. I was talking about we — you’re on our mind every single day. Five to six times a day, I’m working on how I can be helpful in getting the hostages released and have a period of time where there’s a pause long enough to let that happen.	大統領：いえ、いえ、いえ、軍隊のことではありません。私たちは毎日、あなたのことを考えています。 1日に5、6回は、どうすれば人質を解放できるか、どうすれば人質を解放するのに十分な時間を確保できるか、どうすれば人質を解放するのに十分な時間を確保できるかについて考えています。
And there is somewhere between 50 and 100 hostages there, we think.	そこには50人から100人の人質がいると思います。
Q And, sir, one is a three-year-old American child.	Q そして、1人は3歳のアメリカ人の子どもです。
THE PRESIDENT: You’re darn right it is. That’s why I’m not going to stop till we get her.	大統領：その通りです。だから、彼女を捕まえるまで止めないつもりです。
Thank you. Thank you.	ありがとうございます。ありがとうございました。
(Cross-talk.)	（クロストーク）
THE PRESIDENT: Who can holler the loudest?	大統領：誰が一番大きな声で叫べますか？
Q Can you just detail for us what kind of evidence the U.S. has seen that Hamas has a command center under Al-Shifa Hospital?	Q ハマスがアル・シファ病院の下に司令部を持っているという、米国が見た証拠の詳細を教えてください。
THE PRESIDENT: No, I can’t tell you. I won’t tell you.	大統領：いいえ、言えません。申し上げません。
Q Do you feel absolutely confident based on what you know —	Q あなたは、あなたが知っていることに基づいて、絶対的な自信を感じていますか？
THE PRESIDENT: Yes.	大統領：はい。
Q — that that is the truth?	Q - それは真実ですか？
THE PRESIDENT: Yes.	大統領：はい。
Q And, Mr. President, after today, would you still refer to President Xi as a “dictator”? This is a term that you used earlier this year.	Q そして大統領、今日以降も習主席を「独裁者」と呼びますか？これは今年の初めにあなたが使った言葉です。
THE PRESIDENT: Well, look, he is. I mean, he’s a dictator in the sense that he — he is a guy who runs a country that — it’s a communist country that is based on a form of government totally different than ours.	大統領：そうです。つまり、彼は、私たちとはまったく異なる政治形態に基づく共産主義国家を運営する人物という意味では独裁者です。
Anyway, we made progress.	ともあれ、進展はありました。
5:41 P.M. PST	午後5時41分PST

・[YouTube] President Biden Holds a Press Conference

中国は、友好団体？での習近平主席の講演内容もアップしていますね。。。

● 中国中央人民政府

・2023.11.16 习近平：中美关系希望在人民，基础在民间，未来在青年，活力在地方

习近平：中美关系希望在人民，基础在民间，未来在青年，活力在地方	習近平：中米関係の希望は人にあり、基礎は民俗にあり、未来は若者にあり、活力は地方にある
习近平主席在美国友好团体联合欢迎宴会上发表演讲。	習近平国家主席は米友好団体の合同歓迎宴でスピーチを行った。
习近平：中美关系希望在人民，基础在民间，未来在青年，活力在地方。我欢迎更多美国州长、议员访华，欢迎美国各界人士到中国去。	習近平：中米関係の希望は人民にあり、基礎は人民にあり、未来は若者にあり、活力は地方にある。私は、より多くの米国の知事や議員が中国を訪問することを歓迎し、あらゆる階層の米国人が中国を訪れることを歓迎する。
习近平：中美关系的故事是由人民书写的。我第一次访问美国时，住在艾奥瓦州的德沃切克夫妇家中，我还记得门牌号是邦尼街2911号。这是我同美国民众首次面对面接触，也是一段我和美国人民共同生活的难忘经历。对我来说，他们就是美国。	習近平：中米関係の物語は人々によって書かれる。私が初めて米国を訪れたとき、アイオワ州のドヴォルチェク夫妻の家に泊まった。その家の番号がボニー通り2911番地だったことを今でも覚えている。アメリカの人々と初めて対面し、彼らとともに暮らした忘れられない経験だった。私にとって、彼らはアメリカなのだ。
习近平：中美关系的未来是由人民创造的。越是困难的时候，越需要拉紧人民的纽带、增进人心的沟通，越需要更多的人站出来为中美关系鼓与呼。我们要为人民之间的交往搭建更多桥梁、铺设更多道路，而不是设置各种障碍、制造“寒蝉效应”。	習近平：中米関係の未来は国民が創るものだ。困難な時代であればあるほど、人民の絆を強め、人民の心の交流を強化する必要があり、より多くの人民が立ち上がり、中米関係を擁護する必要がある。さまざまな障害を設けて「冷やかし効果」を生み出すのではなく、人と人との交流のためにもっと橋を架け、道を拓く必要がある。
习近平：中国从不赌美国输，从不干涉美国内政，也无意挑战和取代美国，乐见一个自信开放、发展繁荣的美国。同样，美国也不要赌中国输，不要干涉中国内政，应该欢迎一个和平、稳定、繁荣的中国。	習近平：中国は決して米国の負けに賭けることはなく、米国の内政に干渉することもなく、米国に挑戦したり取って代わったりするつもりもなく、自信に満ち、開放的で、発展し、繁栄する米国を見ることを喜んでいる。同様に、米国は中国の損失に賭けるべきではなく、中国の内政に干渉すべきではなく、平和で安定し繁栄する中国を歓迎すべきである。
习近平：我愿在此宣布，为扩大中美两国人民特别是青少年一代交流，中方未来5年愿邀请5万名美国青少年来华交流学习。	習近平：ここで発表したいのは、中米両国民、特に青少年世代の交流を拡大するため、中国は今後5年間に5万人のアメリカの青少年を中国に招き、交流や留学をさせるということだ。
习近平：新中国成立70多年来，中国没有主动挑起过任何一场战争和冲突，没有侵占过别国一寸土地，是唯一将和平发展写入宪法和执政党党章、上升为国家意志的大国。中国是现行国际秩序的受益者和维护者。	習近平：新中国建国以来70年以上、中国はいかなる戦争や紛争も起こさず、他国の国土を一センチたりとも侵犯していない。平和的発展を憲法と与党憲法に記し、国家意志に昇華させた唯一の大国である。中国は既存の国際秩序の受益者であり、擁護者でもある。

米国 APEC関係

● U.S. White House

ゴールデンゲート宣言...

・2023.11.17 2023 APEC Leaders’ Golden GateDeclaration

国務省

● Department of State

・2023.11.17 U.S. 2023 APEC Outcomes

White House の報道から、APECを検索し、2023.09.01以降を日付降順でならびかえたもの・・・

2023.11.17	STATEMENTS AND RELEASES	2023 APEC Leaders’ Golden Gate Declaration	2023年APEC首脳ゴールデンゲート宣言
2023.11.17	STATEMENTS AND RELEASES	FACT SHEET: President Biden Welcomes Asia-Pacific Leaders To San Francisco, Drives Inclusive and Sustainable Economic Growth at Home and Throughout APEC	ファクトシート：バイデン大統領、アジア太平洋地域の首脳をサンフランシスコに迎え、国内およびAPEC全体で包括的かつ持続可能な経済成長を促進する
2023.11.17	SPEECHES AND REMARKS	Remarks by President Biden at the APEC Leaders Retreat Meeting	APEC首脳会議でのバイデン大統領の発言
2023.11.17	STATEMENTS AND RELEASES	Chair’s Statement on the APEC Economic Leader’s Meeting	APEC首脳会議に関する議長声明
2023.11.17	SPEECHES AND REMARKS	Remarks as Prepared for Delivery by First Lady Jill Biden at an APEC Spousal Program on Mental Health	ジル・バイデン副大統領夫人によるAPECメンタルヘルス配偶者プログラムでの発言
2023.11.17	SPEECHES AND REMARKS	Remarks by President Biden at APEC Dinner \| San Francisco, CA	APEC晩餐会におけるバイデン大統領の発言｜カリフォルニア州サンフランシスコ
2023.11.17	SPEECHES AND REMARKS	Remarks by Vice President Harris at a Campaign Reception \| San Francisco, CA	ハリス副大統領、キャンペーン・レセプションで発言｜カリフォルニア州サンフランシスコ
2023.11.16	SPEECHES AND REMARKS	Remarks by Vice President Harris at APEC Business Advisory Council Meeting \| San Francisco, CA	APECビジネス諮問委員会でのハリス副大統領の発言（カリフォルニア州サンフランシスコ
2023.11.16	STATEMENTS AND RELEASES	FACT SHEET: $50B+ of U.S. Private Sector Investments into APEC Economies, as well as Private Sector Contributions to Sustainability, Inclusivity, and Resilience	ファクトシート：米国の民間セクターによるAPEC経済への500億ドル以上の投資、および民間セクターによる持続可能性、包括性、レジリエンスへの貢献
2023.11.16	SPEECHES AND REMARKS	Remarks by President Biden at the APEC CEO Summit \| San Francisco, CA	APEC最高経営責任者（CEO）サミット（カリフォルニア州サンフランシスコ）でのバイデン大統領の発言
2023.11.16	SPEECHES AND REMARKS	Remarks by President Biden at a Welcome Reception for APEC Leaders \| San Francisco, CA	APEC首脳歓迎レセプションにおけるバイデン議長の発言｜サンフランシスコ、カリフォルニア州
2023.11.16	SPEECHES AND REMARKS	Remarks by Vice President Harris at a Welcome Reception for APEC Leaders	ハリス副大統領、APEC首脳歓迎レセプションで発言
2023.11.16	PRESS BRIEFINGS	On-the-Record Press Call by NSC Coordinator for Strategic Communications John Kirby and Deputy National Security Advisor for International Economics Mike Pyle to Preview President Biden’s Day Ahead at APEC	バイデン大統領のAPECでの一日をプレビューするため、ジョン・カービーNSC戦略コミュニケーション調整官とマイク・パイル国家安全保障副顧問（国際経済担当）が記者会見した。
2023.11.16	STATEMENTS AND RELEASES	Readout of Vice President Harris’s Meeting with Prime Minister Marape of Papua New Guinea	ハリス副大統領、パプアニューギニアのマラペ首相との会談要旨
2023.11.16	STATEMENTS AND RELEASES	FACT SHEET: Biden-⁠Harris Administration Highlights Nearly $200 Billion of Private Sector Investments from the Asia-Pacific into the United States Since Taking Office	ファクトシート：バイデン-ハリス政権、就任以来約2000億ドルのアジア太平洋地域から米国への民間投資を強調
2023.11.16	SPEECHES AND REMARKS	Remarks by President Biden at the Indo-Pacific Economic Framework \| San Francisco, CA	バイデン大統領、インド太平洋経済枠組み会合で発言｜サンフランシスコ、カリフォルニア州
2023.11.16	SPEECHES AND REMARKS	Remarks by President Biden at an APEC Informal Dialogue and Working Lunch \| San Francisco, CA	APEC非公式対話およびワーキングランチにおけるバイデン大統領の発言（カリフォルニア州サンフランシスコ
2023.11.16	STATEMENTS AND RELEASES	Fact Sheet: Vice President Harris Launches Women in the Sustainable Economy Initiative, Totaling Over $900 Million in Commitments	ファクトシートハリス副大統領、総額9億ドルを超える「持続可能な経済における女性のイニシアチブ」を開始
2023.11.16	SPEECHES AND REMARKS	Remarks by Vice President Harris at the APEC Women’s Economic Participation in the Industries of the Future Meeting \| San Francisco, CA	APEC「未来産業における女性の経済参加」会議におけるハリス副大統領の発言（カリフォルニア州サンフランシスコ
2023.11.15	SPEECHES AND REMARKS	Remarks by President Biden and President Xi Jinping of the People’s Republic of China Before Bilateral Meeting \| Woodside, CA	バイデン大統領と習近平国家主席の二国間会談前の発言｜カリフォルニア州ウッドサイド
2023.11.15	SPEECHES AND REMARKS	Remarks by President Biden and First Lady Jill Biden After a Welcome Reception for APEC Leaders \| San Francisco, CA	APEC首脳歓迎レセプション後のバイデン大統領とジル・バイデン夫人の発言｜カリフォルニア州サンフランシスコ
2023.11.15	SPEECHES AND REMARKS	Remarks by President Biden at Campaign Reception \| San Francisco, CA	バイデン大統領によるキャンペーンレセプションでの発言｜カリフォルニア州サンフランシスコ
2023.11.14	PRESS BRIEFINGS	Press Gaggle by Press Secretary Karine Jean-Pierre and NSC Coordinator for Strategic Communications John Kirby En Route San Francisco, CA	カリーヌ・ジャン＝ピエール報道官とジョン・カービーNSC戦略コミュニケーション・コーディネーターによる記者会見（カリフォルニア州サンフランシスコにて
2023.11.14	PRESS BRIEFINGS	Press Briefing by Press Secretary Karine Jean-Pierre and National Security Advisor Jake Sullivan	カリーヌ・ジャン＝ピエール報道官とジェイク・サリバン国家安全保障顧問によるプレス・ブリーフィング
2023.11.13	STATEMENTS AND RELEASES	Statement from Press Secretary Karine Jean-Pierre on the Bilateral Meeting Between President Joe Biden and President Andrés Manuel López Obrador of Mexico	バイデン大統領とメキシコのアンドレス・マヌエル・ロペス・オブラドール大統領との二国間会談に関するカリーヌ・ジャン＝ピエール報道官の声明
2023.11.13	SPEECHES AND REMARKS	Remarks by President Biden and President Joko Widodo of Indonesia Before Bilateral Meeting	バイデン大統領とジョコ・ウィドド・インドネシア大統領の二国間会談前の発言
2023.11.13	STATEMENTS AND RELEASES	Joint Statement from the Leaders of the United States and the Republic of Indonesia: Elevating Relations to a Comprehensive Strategic Partnership	米国とインドネシア共和国の首脳による共同声明：関係を包括的戦略的パートナーシップに高める
2023.11.12	PRESS BRIEFINGS	Background Press Call by Senior Administration Officials Previewing the Bilateral Engagement of President Biden and President Joko Widodo of Indonesia	バイデン大統領とジョコ・ウィドド・インドネシア大統領との二国間協議をプレビューする政権高官による記者会見の背景
2023.11.09	PRESS BRIEFINGS	Press Gaggle with NSC Coordinator for Strategic Communications John Kirby	ジョン・カービーNSC戦略コミュニケーション・コーディネーターとの記者懇談会
2023.11.09	PRESS BRIEFINGS	Background Press Call by Senior Administration Officials Previewing the President’s Upcoming Bilateral Engagement	政権高官によるプレス・コール（大統領による今後の二国間関与のプレビュー
2023.11.08	PRESS BRIEFINGS	Press Briefing by Press Secretary Karine Jean-Pierre and NSC Coordinator for Strategic Communications John Kirby	カリーヌ・ジャン＝ピエール報道官とジョン・カービーNSC戦略コミュニケーション調整官によるプレス・ブリーフィング
2023.10.27	STATEMENTS AND RELEASES	Statement from Press Secretary Karine Jean-Pierre on President Biden’s Travel to San Francisco for APEC Leaders’ Week	APEC首脳週間のためのバイデン大統領のサンフランシスコ訪問に関するカリーヌ・ジャン＝ピエール報道官の声明
2023.10.26	SPEECHES AND REMARKS	Remarks by Vice President Harris, U.S. Secretary of State Antony Blinken, and Prime Minister Anthony Albanese of Australia at State Luncheon	ハリス副大統領、アントニー・ブリンケン米国務長官、アンソニー・アルバネーゼ豪首相によるステート・ランチョンでの発言
2023.10.25	STATEMENTS AND RELEASES	United States-Australia Joint Leaders’ StatementBuilding an Innovation Alliance	米国・オーストラリア共同首脳声明イノベーション同盟の構築
2023.10.24	PRESS BRIEFINGS	Press Briefing by Press Secretary Karine Jean-Pierre and NSC Coordinator for Strategic Communications John Kirby	カリーヌ・ジャン＝ピエール報道官とジョン・カービーNSC戦略コミュニケーション・コーディネーターによるプレス・ブリーフィング
2023.10.11	PRESS BRIEFINGS	Press Briefing by Press Secretary Karine Jean-Pierre and NSC Coordinator for Strategic Communications John Kirby	カリーヌ・ジャンピエール報道官とジョン・カービーNSC戦略コミュニケーション調整官によるプレス・ブリーフィング
2023.10.02	PRESS BRIEFINGS	Press Briefing by Press Secretary Karine Jean-Pierre	カリーヌ・ジャン＝ピエール報道官によるプレス・ブリーフィング
2023.09.30	PRESS BRIEFINGS	Press Briefing by Press Secretary Karine Jean-Pierre and Office of Management and Budget Director Shalanda Young	カリーヌ・ジェーン＝ピエール報道官とシャランダ・ヤング行政予算局長の記者ブリーフィング
2023.09.22	PRESS BRIEFINGS	Press Briefing by Press Secretary Karine Jean-Pierre and Representative Lucy McBath	カリーヌ・ジャン＝ピエール報道官とルーシー・マクバス代表者によるプレス・ブリーフィング
2023.09.21	PRESS BRIEFINGS	Press Briefing by Press Secretary Karine Jean-Pierre and National Security Advisor Jake Sullivan	カリーヌ・ジェーン＝ピエール報道官とジェイク・サリバン国家安全保障顧問によるプレス・ブリーフィング
2023.09.11	STATEMENTS AND RELEASES	Readout of President Biden’s Meeting with President Vo Van Thuong of Vietnam	バイデン副大統領、ベトナムのヴォ・ヴァン・トゥオン国家主席との会談詳報
2023.09.11	SPEECHES AND REMARKS	Remarks by President Biden and President Võ Văn Thưởng of Vietnam Before Bilateral Meeting \| Hanoi, Vietnam	バイデン副大統領とヴォー・ヴァン・トゥオン国家主席、二国間会談前の挨拶｜ベトナム・ハノイ
2023.09.11	STATEMENTS AND RELEASES	JOINT LEADERS’ STATEMENT: ELEVATING UNITED STATES-VIETNAM RELATIONS TO A COMPREHENSIVE STRATEGIC PARTNERSHIP	共同首脳声明米国とベトナムの関係を包括的な戦略的パートナーシップへと高める
2023.09.09	STATEMENTS AND RELEASES	Readout of President Biden’s Engagement with President Joko Widodo of Indonesia	バイデン大統領とインドネシアのジョコ・ウィドド大統領との会談について
2023.09.06	SPEECHES AND REMARKS	Remarks by Vice President Harris and President Joko Widodo of the Republic of Indonesia Before Bilateral Meeting	ハリス副大統領とジョコ・ウィドド・インドネシア共和国大統領による二国間会談前の発言
2023.09.01	PRESS BRIEFINGS	Press Briefing by Press Secretary Karine Jean-Pierre and Homeland Security Advisor and Deputy National Security Advisor Dr. Elizabeth Sherwood-Randall	カリーヌ・ジャン＝ピエール報道官、エリザベス・シャーウッド＝ランドール国土安全保障顧問兼国家安全保障副顧問によるプレス・ブリーフィング

・岸田さんとの話...

・2023.11.16 Readout of President Biden’s Meeting with Prime Minister Kishida of Japan

外務省...

・2023.11.17 岸田総理大臣のAPEC首脳会議（第2セッション）への出席

・2023.11.16 日中首脳会談

・2023.11.16 日米首脳会談

・2023.11.16 岸田総理大臣のAPEC首脳会議（第1セッション）への出席

・

2023.11.19 06:07 in 法律 / 犯罪, in 安全保障 | Permalink | Comments (0)
Tweet

2023.11.18

個人情報保護委員会　個人情報データベース等不正提供等罪の適用事例等を踏まえた安全管理措置及び漏えい等の報告に関する留意点に関する注意喚起

こんにちは、丸山満彦です。

個人情報保護委員会が、個人情報データベース等不正提供等罪の適用事例等を踏まえた安全管理措置及び漏えい等の報告に関する留意点に関する注意喚起について、を公表していますね。。。

個人情報取扱事業者の元従業者が、元勤務先が管理する名刺情報管理システムのログイン認証情報を不正に転職先の従業者に提供し、同システムを第三者が利用可能な状態に置いた事例については、この個人情報データベース等不正提供等罪（法179条）等により元従業者が逮捕・起訴され、
有罪が確定していること、また類似の事案が増えているかもしれないので、注意喚起をすることになったのかもしれませんね。。。

● 個人情報保護委員会

・2023.11.16 個人情報データベース等不正提供等罪の適用事例等を踏まえた安全管理措置及び漏えい等の報告に関する留意点に関する注意喚起について

・[PDF]【別添】個人情報データベース等不正提供等罪の適用事例等を踏まえた安全管理措置及び漏えい等の報告に関する留意点について（注意喚起）

１安全管理措置（法第 23 条）等に関する留意点

２漏えい等の報告（法第 26 条第１項）に関する留意点

が特に強調されていますね。。。

・[PDF] 個人情報の保護に関する法律についてのガイドライン（通則編）

昔話になりますが、法律ができたことから、経済産業省でガイドラインをつくることになり、私と他２名が中心となって安全管理帥についてのガイドラインを策定したのですが、その当時からあまり変わっていな感じがします。もちろん、無理に変える必要はないのですが、もう少し工夫があってもよいかなぁと感じますね。。。

そうそう、当時は漏洩をした時に、どうすべきかは法律にかかれていなかったのですが、個人の権利利益を守るという趣旨から、漏洩をした場合には、その結果生じるリスクについては、本人が知りうる状態にすることが重要と感じ、本人に通知することが望ましいということにしましたね。。たくさんの人がいる場合、連絡先がわからない場合には、ウェブ等で幅広く周知して、本人が漏洩したかもしれない企業に問い合わせられるようにするようにしましたね。。。

それで、漏洩すると公表する慣例ができ、個人情報保護法が厳しい・・・みたいな感じになったようにも思いますが、しかたがないように思っています。。。

2023.11.18 16:57 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 法律 / 犯罪, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続 | Permalink | Comments (0)
Tweet

ENISA EUにおけるサイバーセキュリティ投資 2023

こんにちは、丸山満彦です。

ENISAがセキュリティ投資に関する報告書2023年版を公表していますね。。。

なかなか興味深いです。。。

EU及びその諸国が政策を立案する際の参考にするために、行なっているようです。今年で4年目？。今年度は輸送セクターに焦点を当てていますね。。。

EUもグローバルの比較データが欲しいと思うので（一部は組み込まれていますが、、、）、日本も政策立案の際には必要となるのでしょうから、調整をして同じ調査をしても良いように思うんですけどね。。。どうかしら。。。

日本って政策立案についての定量的な分析を十分にせずに、一部の、政府職員、政治家、一部有識者？、それらの取り巻き？の思い、思いつきできまってしまうことが多くないでしょうかね。。。もう少し定量データ等を取り入れたらどうでしょうかね。。。

● ENISA

・2023.11.16 Cybersecurity Investment: Spotlight on Vulnerability Management

Cybersecurity Investment: Spotlight on Vulnerability Management	サイバーセキュリティ投資：脆弱性管理にスポットライトを当てる
The new report of the European Union Agency for Cybersecurity (ENISA) confirms investment continues to grow but stresses the importance of vulnerability management.	欧州連合サイバーセキュリティ機関（ENISA）の新しい報告書は、投資が引き続き増加していることを確認する一方で、脆弱性管理の重要性を強調している。
Despite a 25% increase of the cost of major cyber incidents in 2022 compared to 2021, the new report on cybersecurity investment reveals a slight increase of 0,4% of IT budget dedicated to cybersecurity by EU operators in scope of the NIS Directive.	2022年の主要なサイバーインシデントのコストは2021年と比較して25％増加したにもかかわらず、サイバーセキュリティ投資に関する新しい報告書では、NIS指令の適用範囲にあるEUの事業者によるサイバーセキュリティに充てられるIT予算の0.4％のわずかな増加が明らかになった。
However, if organisations are inclined to allocate more budget to cybersecurity, 47% of the total of organisations surveyed do not plan to hire information security Full Time Equivalents (FTEs) in the next two years. Besides, 83% of these organisations claim recruitment difficulties in at least one information security domain. Such hiring issues surfacing in the report could be one of the factors when it comes to managing vulnerabilities.	しかし、組織がサイバーセキュリティにより多くの予算を割り当てる傾向があるとしても、調査対象となった組織全体の47%は、今後2年間に情報セキュリティ専任者（FTE）を雇用する予定がない。また、これらの組織の83％は、少なくとも1つの情報セキュリティ分野で採用難に陥っていると主張している。報告書で表面化したこのような雇用の問題は、脆弱性の管理に関して言えば、その要因の一つである可能性がある。
Indeed, an analysis on patching of critical IT and OT assets in the transport sector shows that 51% of the organisations in the transport sector need one month to patch critical vulnerabilities and 21% need a time between 1 month and six months. Only 28% of the surveyed organisations fix critical vulnerabilities on critical assets in one week.	実際、運輸部門における重要なITおよびOT資産のパッチ適用に関する分析によると、運輸部門の組織の51％が重要な脆弱性のパッチ適用に1カ月、21％が1カ月から6カ月の期間を必要としている。調査対象となった組織のうち、重要な資産の脆弱性を1週間で修正しているのは28％に過ぎない。
EU Agency for Cybersecurity, Executive Director, Juhan Lepassaar, said: “Allocating sufficient budgetary and human resources to cybersecurity is key to our success. Managing vulnerabilities is essential and must go hand-in-hand with "secure by design" initiatives. In the meantime, we do need to continually invest in areas such as identifying, managing and reporting vulnerabilities that can have an impact on the security of the whole Digital Single Market.”	EUサイバーセキュリティ機関のジュハン・レパサール事務局長は、次のように述べている：「サイバーセキュリティに十分な予算と人的資源を割くことが成功の鍵である。脆弱性の管理は不可欠であり、"セキュア・バイ・デザイン "の取り組みと密接に連携しなければならない。その一方で、デジタル単一市場全体のセキュリティに影響を与えうる脆弱性の識別、管理、報告といった分野に継続的に投資する必要がある」と述べた。
Objective of the report on cybersecurity investment	サイバーセキュリティ投資に関する報告書の目的
The new report investigates how operators invest in cybersecurity and comply with the objectives of the NIS Directive. Collected from a total of 1,080 Operators of Essential Services (OES) and Digital Services Providers (DSP) from all 27 EU Member States, the data apply to reference year 2022.	新しい報告書は、事業者がどのようにサイバーセキュリティに投資し、NIS指令の目的を遵守しているかを調査している。EU全27加盟国の1,080の基幹サービス事業者（OES）およびデジタルサービスプロバイダー（DSP）から収集したもので、2022年を基準年としている。
Scope of the report	レポートの範囲
For the purpose of the analysis published today, the survey performed looked at OES and DSP as identified in the European Union's Directive on Network and Information Security Systems (NIS Directive). The objective of the report was to identify how organisation invest in cybersecurity in relation to the objective of meeting the requirements set by the initial NIS Directive.	本日発表された分析では、欧州連合（EU）のネットワークと情報セキュリティシステムに関する指令（NIS指令）で特定されたOESとDSPを対象とした。この報告書の目的は、NIS指令で定められた要件を満たすという目的に関連して、組織がどのようにサイバーセキュリティに投資しているかを明らかにすることである。
However, the concept of investment also extends to the human element. 2023 is the European Year of Skills. This is why particular emphasis was placed on the topic of cybersecurity skills among OES and DSPs and to cybersecurity workforce hiring and gender balance.	しかし、投資の概念は人的要素にも及ぶ。2023年は欧州技能年である。このため、OESとDSPのサイバーセキュリティ・スキル、サイバーセキュリティ人材の雇用とジェンダー・バランスに特に重点が置かれている。
The report therefore delves into IT security staffing and organisation of information security by OES and DSP with a special focus on the transport sector.	そこで本報告書では、運輸部門に特に焦点を当て、OESとDSPによるITセキュリティの人員配置と情報セキュリティの組織について掘り下げている。
Key findings	主な調査結果
・The part of IT budget OES/DSPs dedicated to cybersecurity reached 7,1% in 2022, representing an increase of 0,4% compared to 2021;	・OES/DSPがサイバーセキュリティに充てるIT予算の割合は、2022年には7.1%に達し、2021年と比較して0.4%増加した；
・42% of OES/DSPs subscribed to a dedicated cyber insurance solution in 2022, representing a 30% increase from 2021. Still only 13% of SMEs subscribe to cyber insurance;	・OES/DSPの42%が2022年にサイバー保険に加入し、2021年から30%増加した。サイバー保険に加入している中小企業はまだ13%に過ぎない；
・OES/DSPs allocate 11,9% of their IT FTEs for information security (IS) a decrease of 0,1%	・OES/DSPは、IT部門の従業員数の11.9％を情報セキュリティ（IS）に割り当てているが、これは0.1％の減少である。
・OES/DSPs employ an average of 11% of women in IS FTEs. With median being at zero percent most of surveyed organisations do not employ any women as part of their IS FTEs;	・OES/DSPは、ISのFTEに平均11％の女性を雇用している。中央値は0％で、調査対象組織のほとんどがIS FTEに女性を雇用していない；
・47% of OES or DSPs do not plan to hire IS FTEs in the next two years,	・OESまたはDSPの47％は、今後2年間にIS FTEを雇用する予定はない、
・The organisations planning to hire information security FTEs in the next two years aim to hire 2 FTEs, with an average of 4 FTEs but 83% of the surveyed organisations claim recruitment difficulties in at least one information security domain.	・今後2年間に情報セキュリティのFTEを採用する予定の組織は、2FTE、平均4FTEを採用することを目標としているが、調査対象組織の83％は、少なくとも1つの情報セキュリティ分野で採用難を訴えている。
T・he NIS Directive is the main driver for cybersecurity investments for 55% of OES in the transport sector;	・NIS指令は、運輸部門のOESの55％にとってサイバーセキュリティ投資の主な推進力となっている；
・51% of the transport organisations manage OT security with the same unit or people as IT cybersecurity.	・運輸組織の51%は、ITサイバーセキュリティと同じ部署や人員でOTセキュリティを管理している。
Vulnerability Management	脆弱性管理
Vulnerability management describes the process to identify and assess the associated risk of security vulnerabilities in order to resolve the cause before these can be exploited or intelligently reduce the risk of it by implementing adequate mitigation measures.	脆弱性マネジメントとは、セキュリティ脆弱性が悪用される前にその原因を解決するため、または適切な軽減策を実施することでリスクを識別し、関連するリスクを評価するプロセスを指す。
Managing vulnerabilities and ensuring patches are available protects the end-users and helps to ensure security is applied across the whole lifecycle of any product. The 2022 edition of the NIS Investments report found that for 46 % of organisations surveyed it takes more than 1 month to patch critical vulnerabilities. Improving interoperability, automation and streamlined processes in order to exchange information can go a long way towards ensuring vulnerability disclosure. At the same time, vendors need to have the appropriate tools, processes and people in place to implement secure-by-design practices in order to reduce the risk for users, whereas organisations are responsible to reduce the time between the disclosure of vulnerabilities and their remediation by enabling tooling for automated vulnerability information sharing.	脆弱性を管理し、パッチを確実に適用することは、エンドユーザーを保護し、あらゆる製品のライフサイクル全体にわたってセキュリティが確実に適用されることにつながる。NISインベストメンツ・レポートの2022年版によると、調査対象となった組織の46％で、重要な脆弱性のパッチ適用に1カ月以上かかっている。情報交換のための相互運用性の改善、自動化、合理化されたプロセスは、脆弱性の情報開示を確実にするために大いに役立つ。同時に、ベンダーは、ユーザーのリスクを低減するために、セキュアバイデザインの実践のための適切なツール、プロセス、人材を用意する必要がある。一方、組織は、自動化された脆弱性情報共有のためのツールを有効にすることで、脆弱性の開示からその修復までの時間を短縮する責任がある。
EU Vulnerability Coordination and Vulnerability Database	EU脆弱性調整と脆弱性データベース
The NIS2 establishes a basic framework with responsible key actors on coordinated vulnerability disclosure for newly discovered vulnerabilities across the EU and creates an EU vulnerability database for publicly known vulnerabilities in ICT products and ICT services, to be operated and maintained by the EU agency for cybersecurity (ENISA). The combination of national and EU efforts will form the basis for a mature vulnerability disclosure ecosystem within the EU. Importantly, these initiatives will contribute to an enhanced vulnerability management landscape.	NIS2は、EU全域で新たに発見された脆弱性について、責任ある主要な関係者が協調して脆弱性を開示する基本的な枠組みを確立し、ICT製品およびICTサービスにおける公知の脆弱性に関するEU脆弱性データベースを構築し、EUのサイバーセキュリティ機関（ENISA）が運営・管理する。国内とEUの取り組みが組み合わさることで、EU域内で成熟した脆弱性情報公開のエコシステムが形成されることになる。重要なことは、これらの取り組みが脆弱性管理の強化に貢献することである。
The EU cybersecurity policy framework includes a number of proposed policy files. These include the Cyber Resilience Act (CRA) and the Cyber Solidarity Act (CSoA) which include provisions that propose to further improve vulnerability management in the EU, such as additional measures ensuring the quality of products and services that will contribute to the application of security aspects throughout the entire product lifecycle.	EUのサイバーセキュリティ政策の枠組みには、数多くの政策ファイルが提案されている。これらには、サイバーレジリエンス法（CRA）やサイバー連帯法（CSoA）が含まれ、製品のライフサイクル全体を通じてセキュリティの側面を適用することに貢献する製品やサービスの品質を保証する追加措置など、EUにおける脆弱性管理のさらなる改善を提案する条項が含まれている。
Background	背景
The objective of the Directive on Security of Network and Information Systems (NIS Directive) is to achieve a high common level of cybersecurity across all Member States. The revised directive known as NIS2 came into force on 16 January 2023 extended the scope to new economic sectors.	ネットワークと情報システムのセキュリティに関する指令（NIS指令）の目的は、全加盟国に共通するサイバーセキュリティの高いレベルを達成することである。NIS2として知られる改正指令は2023年1月16日に発効し、新たな経済分野にも適用範囲が拡大された。
One of the three pillars of the NIS Directive is the implementation of risk management and reporting obligations for OES and DSP.	NIS指令の3つの柱の1つは、OESとDSPに対するリスクマネジメントと報告義務の実施である。
OES provide essential services in strategic sectors of energy (electricity, oil and gas), transport (air, rail, water and road), banking, financial market infrastructures, health, drinking water supply and distribution, and digital infrastructure (Internet exchange points, domain name system service providers, top-level domain name registries).	OESは、エネルギー（電力、石油、ガス）、運輸（航空、鉄道、水運、道路）、銀行、金融市場インフラ、健康、飲料水の供給と配給、デジタルインフラ（インターネットエクスチェンジポイント、ドメインネームシステムサービスプロバイダー、トップレベルドメイン名レジストリ）の戦略的セクターで必要不可欠なサービスを提供している。
DSP operate in an online environment, namely online marketplaces, online search engines and cloud computing services.	DSPは、オンラインマーケットプレイス、オンライン検索エンジン、クラウドコンピューティング・サービスといったオンライン環境で事業を展開している。
The report investigates how operators invest in cybersecurity and comply with the objectives of the NIS Directive. It also gives an overview of the situation in relation to such aspects as IT security staffing, cyber insurance and organisation of information security in OES and DSP.	本報告書では、事業者がサイバーセキュリティにどのように投資し、NIS指令の目的をどのように遵守しているかを調査している。また、OESとDSPにおけるITセキュリティスタッフの配置、サイバー保険、情報セキュリティの組織化といった側面に関する状況についても概観している。
Further Information	詳細情報
NIS Investments – ENISA report 2023	NIS投資 - ENISAレポート2023
NIS Investments – ENISA report 2022	NIS投資 - ENISAレポート2022
ENISA Topic - NIS Directive	ENISAトピック - NIS指令
Directive on measures for a high common level of cybersecurity across the Union (NIS2)	欧州連合全体におけるサイバーセキュリティの高度な共通レベルの対策に関する指令（NIS2）

・2023.11.16 NIS Investments Report 2023

・[PDF]

・[DOCX] 仮訳

● まるちゃんの情報セキュリティ気まぐれ日記

・2022.11.25 ENISA EUにおけるサイバーセキュリティ投資 2022

・2021.11.26 ENISA NIS投資動向報告書2021 at 2021.11.17

2023.11.18 07:42 in 情報セキュリティ / サイバーセキュリティ, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in クラウド, in 安全保障 | Permalink | Comments (0)
Tweet

EDPB 意見募集 Privacy指令の対象となるトラッキング技術を明確にするためのガイドライン（案）(2023.11.16)

こんにちは、丸山満彦です。

EDPB、ePrivacy指令の対象となるトラッキング技術を明確にするガイドライン案を公表し、意見募集をしていますね。。。

ガイドライ名は、Guidelines 2/2023 on Technical Scope of Art. 5(3) of ePrivacy Directive （ePrivacy指令第5条(3)の技術的範囲に関するガイドライン 2/2023）

● European Data Protection Board; EDPB

・2023.11.16 EDPB provides clarity on tracking techniques covered by the ePrivacy Directive 15 November 2023 EDPB

・2023.11.16 Guidelines 2/2023 on Technical Scope of Art. 5(3) of ePrivacy Directive

・[PDF]

Guidelines 2/2023 on Technical Scope of Art. 5(3) of ePrivacy Directive	ePrivacy指令第5条(3)の技術的範囲に関するガイドライン 2/2023
Adopted on 14 November 2023	2023年11月14日採択
Executive summary	要旨
In these Guidelines, the EDPB addresses the applicability of Article 5(3) of the ePrivacy Directive to different technical solutions. These Guidelines expand upon the Opinion 9/2014 of the Article 29 Working Party on the application of ePrivacy Directive to device fingerprinting and aim to provide a clear understanding of the technical operations covered by Article 5(3) of the ePrivacy Directive.	本ガイドラインにおいて、EDPB は ePrivacy 指令第 5 条(3)の様々な技術的ソリューションへの適用可能性を取り上げる。本ガイドラインは、デバイスのフィンガープリンティングへの ePrivacy 指令の適用に関する Article 29 Working Party の意見 9/2014 を発展させ、ePrivacy 指令の Article 5(3)の対象となる技術的操作の明確な理解を提供することを目的とする。
The emergence of new tracking methods to both replace existing tracking tools (for example, cookies, due to discontinued support for third-party cookies) and create new business models has become a critical data protection concern. While the applicability of Article 5(3) of the ePrivacy Directive is well established and implemented for some tracking technologies such as cookies, there is a need to remove ambiguities related to the application of the said provision to emerging tracking tools.	既存の追跡ツール（例えば、サードパーティ製クッキーのサポートが打ち切られたことによるクッキー）に取って代わり、また新たなビジネスモデルを生み出す新たな追跡方法の出現は、データ保護の重大な関心事となっている。eプライバシー指令の第5条3項の適用可能性は、クッキーのようないくつかのトラッキング技術については十分に確立され、実施されているが、新たなトラッキングツールへの同規定の適用に関する曖昧さを取り除く必要がある。
The Guidelines identify four key elements for the applicability of Article 5(3) of the ePrivacy Directive (section 2.1), namely ‘information’, ‘terminal equipment of a subscriber or user’, ‘gaining access and ‘stored information and storage’. The Guidelines further provide a detailed analysis of each element (section 2.2-2.6).	本ガイドラインは、eプライバシー指令第5条3項（2.1項）の適用可能性に関する4つの重要な要素、すなわち「情報」、「加入者またはユーザーの端末機器」、「アクセスの獲得」、「保存された情報および保存」を特定している。ガイドラインはさらに、各要素の詳細な分析を提供している（2.2-2.6項）。
In section 3, that analysis is applied to a non-exhaustive list of use cases representing common techniques, namely:	セクション3では、その分析が、一般的な技術を代表するユースケースの非網羅的なリストに適用されている：
- URL and pixel tracking	・URLとピクセルのトラッキング
- Local processing	・ローカル処理
- Tracking based on IP only	・IPのみに基づくトラッキング
- Intermittent and mediated Internet of Things (IoT) reporting	・断続的かつ媒介されたモノのインターネット（IoT）報告
- Unique Identifier	・一意識別子
TABLE OF CONTENTS	目次
1 Introduction	1 序文
2 Analysis	2 分析
2.1 Key elements for the applicability of Article 5(3) ePD	2.1 ePD第5条3項が適用されるための主な要素
2.2 Notion of ‘information’	2.2 「情報」の概念
2.3 Notion of ‘Terminal Equipment of a Subscriber or User’	2.3 「加入者または利用者の端末機器」の概念
2.4 Notion of ‘electronic communications network’	2.4 「電子コミュニケーション・ネットワーク」の概念
2.5 Notion of ‘gaining access’	2.5 「アクセスを得る」という概念
2.6 Notions of ‘Stored Information’ and ‘Storage’	2.6 「蓄積情報」および「保管」の概念
3 Use cases	3 ユースケース
3.1 URL and pixel tracking	3.1 URLとピクセルのトラッキング
3.2 Local processing	3.2 ローカル処理
3.3 Tracking based on IP only	3.3 IPのみに基づくトラッキング
3.4 Intermittent and mediated IoT reporting	3.4 断続的かつ媒介的なIoT報告
3.5 Unique Identifier	3.5 一意識別子
The European Data Protection Board	欧州データ保護委員会
Having regard to Article 70 (1)(e) of the Regulation 2016/679/EU of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC, (hereinafter, ‘GDPR’),	個⼈データの処理に関する⾃然⼈の保護及び当該データの⾃由な移動に関する 2016 年 4 ⽉ 27 ⽇付欧州議会及び理事会規則（EU）2016/679、並びに指令 95/46/ECの廃⽌（以下「GDPR」という、）の第 70 条(1)(e)を考慮し、
Having regard to the EEA Agreement and in particular to Annex XI and Protocol 37 thereof, as amended by the Decision of the EEA joint Committee No 154/2018 of 6 July 2018 ,	EEA協定、特に2018年7月6日付EEA合同委員会決定第154/2018号により改正された附属書XIおよびその第37議定書を考慮し、
Having regard to Article 15(3) of the Directive 2002/58/EC of the European Parliament and of the Council of 12 July 2002 concerning the processing of personal data and the protection of privacy in the electronic communications sector, as amended by Directive 2009/136/EC (hereinafter, ‘ePrivacy Directive’ or ‘ePD’),	指令2009/136/EC（以下、「eプライバシー指令」又は「ePD」）により改正された、電子コミュニケーション分野における個人データの処理及びプライバシーの保護に関する2002年7月12日の欧州議会及び理事会指令2002/58/ECの第15条3項を考慮し、
Having regard to Article 12 and Article 22 of its Rules of Procedure,	その手続規則の第12条および第22条を考慮し、
Has Adopted The Following Guidelines:	以下のガイドラインを採択した：
-----	-----
1 INTRODUCTION	1 序文
1. According to Article 5(3) ePD, ‘the storing of information, or the gaining of access to information already stored, in the terminal equipment of a subscriber or user’ is only allowed on the basis of consent or necessity for specific purposes set out in that Article. As reminded in Recital 24 of the ePD, the goal of that provision is to protect the users’ terminal equipment, as they are part of the private sphere of the users. It results from the wording of the Article and has been made clear (for example, in the Article 29 Working Party (hereinafter, ‘WP29’) Opinion 4/2012 on Cookie Consent Exemption ), that Article 5(3) ePD does not exclusively apply to cookies, but also to ‘similar technologies’. However, there is currently no comprehensive list of the technical operations covered by Article 5(3) ePD.	1. ePD第5条3項によると、「加入者または利用者の端末機器に情報を保存すること、またはすでに保存された情報にアクセスすること」は、同条に規定された特定の目的のための同意または必要性に基づいてのみ許可される。ePDのRecital 24にあるように、この規定の目的は、利用者の端末機器を保護することである。ePD第5条(3)がクッキーにのみ適用されるのではなく、「類似の技術」にも適用されることは、同条の文言から明らかであり、（例えば、クッキーに関する同意の免除に関する第29条作業部会（以下、「WP29」）の意見4/2012において）明らかにされている。しかし、現在のところ、第5条3項ePDの対象となる技術的操作の包括的なリストはない。
2. WP29 Opinion 9/2014 on the application of ePrivacy Directive to device fingerprinting (hereinafter, ‘WP29 Opinion 9/2014’) has already clarified that fingerprinting falls within the technical scope of Article 5(3) ePD, but due to the new advances in technologies further guidance is needed with respect to the tracking techniques currently observed. The technical landscape has been evolving during the last decade, with the increasing use of identifiers embedded in operating systems, as well as the creation of new tools allowing the storage of information in terminals.	2. デバイスのフィンガープリンティングへの ePrivacy 指令の適用に関する WP29 の意見 9/2014（以下、「WP29 の意見 9/2014」）は、フィンガープリンティングが第 5 条(3)ePD の技術的範囲に含まれることを既に明確にしているが、技術の新たな進歩により、現在観察されている追跡技術に関して更なるガイダンスが必要である。オペレーティングシステムに埋め込まれた識別子の使用が増加しているほか、端末に情報を保存できる新しいツールが開発されるなど、技術的な状況は過去10年間に進化している。
3. The ambiguities regarding the scope of application of Article 5(3) ePD have created incentives to implement alternative solutions for tracking internet users and lead to a tendency to circumvent the legal obligations provided by Article 5(3) ePD. All such situations raise concerns and require a supplementary analysis in order to complement the previous guidance from the EDPB.	3. ePD第5条3項の適用範囲に関する曖昧さは、インターネットユーザーを追跡するための代替ソリューションを導入する誘因を生み出し、ePD第5条3項が提供する法的義務を回避する傾向につながっている。このような状況はすべて懸念を生じさせるものであり、EDPBによるこれまでのガイダンスを補完するために補足的な分析が必要である。
4. The aim of these Guidelines is to conduct a technical analysis on the scope of application of Article 5(3) ePD, namely to clarify what is covered by the phrase ‘to store information or to gain access to information stored in the terminal equipment of a subscriber or user’. These Guidelines do not intend to address the circumstances under which a processing operation may fall within the exemptions from the consent requirement provided for by the ePD.	4. 本ガイドラインの目的は、第5条(3)ePDの適用範囲に関する技術的分析を行うこと、すなわち、「情報を保存するため、または加入者もしくはユーザーの端末機器に保存された情報にアクセスするため」という表現によって何がカバーされるのかを明確にすることである。本ガイドラインは、処理操作がePDが規定する同意要件の適用除外に該当する可能性がある状況を取り上げる意図はない。
5. A non-exhaustive list of specific use-cases will be analysed in the final part of these Guidelines.	5. 具体的なユースケースの非網羅的なリストは、本ガイドラインの最終部分で分析される。
2 ANALYSIS	2 分析
2.1 Key elements for the applicability of Article 5(3) ePD	2.1 ePD第5条(3)の適用可能性に関する重要な要素
6. Article 5(3) ePD applies if:	6. 第5条(3)ePDは以下の場合に適用される：
a. CRITERION A: the operations carried out relate to ‘information’. It should be noted that the term used is not ’personal data’, but ‘information’.	a. 判断基準 A：実施される業務が「情報」に関するものである。ここで使用されている用語は「個人データ」ではなく「情報」であることに留意すべきである。
b. CRITERION B: the operations carried out involve a ‘terminal equipment’ of a subscriber or user.	b. 判断基準 B：実施される業務が、加入者または利用者の「端末機器」に関係する。
c. CRITERION C: the operations carried out are made in the context of the ‘provision of publicly available electronic communications services in public communications networks’.	c. 判断基準 C：実施される業務が、「公衆通信網における公に利用可能な電子通信サービスの提供」という文脈で行われる。
d. CRITERION D: the operations carried out indeed constitute a ‘gaining of access’ or ‘storage’. Those two notions can be studied independently, as reminded in WP29 Opinion 9/2014: ‘Use of the words “stored or accessed” indicates that the storage and access do not need to occur within the same communication and do not need to be performed by the same party.	d. 判断基準 D：実施された操作は、確かに「アクセスの獲得」または「保存」を構成する。これら二つの概念は、WP29 意見書 9/2014 で想起されたように、独立して検討することができる：保管又はアクセスされる」という文言の使用は、保管とアクセスが同一のコミュニケーション内で行われる必要はなく、同一の当事者によって行われる必要もないことを示している。
For the sake of readability, the entity gaining access to information stored in the user’s terminal equipment will be hereafter referred to as an ‘accessing entity’.	読みやすくするため、ユーザの端末機器に保存された情報にアクセスする事業体を、以後「アクセスする事業体」と呼ぶ。
2.2 Notion of ‘information’	2.2 「情報」の概念
7. As expressed in CRITERION A, this section details what is covered by the notion of ‘information’. The choice of the term, much broader than the notion of personal data, is related to the scope of the ePrivacy Directive.	7. 基準Aで示したように、本節では「情報」の概念でカバーされる内容を詳述する。個人データの概念よりはるかに広いこの用語の選択は、ePrivacy 指令の範囲に関連している。
8. The goal of Article 5(3) ePD is to protect the private sphere of the users, as stated in its Recital 24: ‘Terminal equipment of users of electronic communications networks and any information stored on such equipment are part of the private sphere of the users requiring protection under the European Convention for the Protection of Human Rights and Fundamental Freedoms’. Consequently, it is also protected by Article 7 of the EU Charter of Fundamental Rights.	8. ePD第5条3項の目的は、そのリサイタル24に記載されているように、利用者の私的領域を保護することである。「電子コミュニケーションネットワークの利用者の端末機器および当該機器に保存された情報は、人権および基本的自由の保護に関する欧州条約に基づく保護を必要とする利用者の私的領域の一部である」。その結果、EU基本権憲章第7条によっても保護される。
9. In fact, scenarios that do intrude into this private sphere even without involving any personal data are explicitly covered by the wording of the Article 5(3) ePD and by Recital 24, for example the storage of viruses on the user’s terminal. This shows that the definition of the term ‘information’ should not be limited the property of being related to an identified or identifiable natural person.	9. 実際、個人データに関係なくとも、この私的領域に侵入するシナリオは、ePD第5条3項の文言と前文24によって明確にカバーされている。このことは、「情報」という用語の定義が、個人を特定できる自然人に関連するという性質に限定されるべきではないことを示している。
10. This has been confirmed by the Court of Justice of the EU: ‘That protection applies to any information stored in such terminal equipment, regardless of whether or not it is personal data, and is intended, in particular, as is clear from that recital, to protect users from the risk that hidden identifiers and other similar devices enter those users’ terminal equipment without their knowledge’ .	10. この保護は、個人データであるか否かにかかわらず、そのような端末機器に保存されているあらゆる情報に適用され、特に、同議定書から明らかなように、隠れた識別子やその他類似のデバイスがユーザーの知らないうちにユーザーの端末機器に入り込むリスクからユーザーを保護することを意図している」。
11. Whether the origin of this information and the reasons why it is stored in the terminal equipment should be considered when assessing the applicability of Article 5(3) ePD have been previously clarified, for example in the WP29 Opinion 9/2014: ‘It is not correct to interpret this as meaning that the third-party does not require consent to access this information simply because he did not store it. The consent requirement also applies when a read-only value is accessed (e.g. requesting the MAC address of a network interface via the OS API)’.	11. ePD 第 5 条(3)の適用可能性を評価する際に、この情報の出所と端末機器に保存される理由を考慮すべきかどうかは、例えば WP29 の意見書 9/2014 で以前に明確にされている：サードパーティがこの情報を保存していないという理由だけで、サードパーティがこの情報にアクセスするための同意を必要としないという意味に解釈するのは正しくない。同意の要件は、読み取り専用の値にアクセスする場合にも適用される（例えば、OS API 経由でネットワークインターフェースの MAC アドレスを要求する）。
12. In conclusion, the notion of information includes both non-personal data and personal data, regardless of how this data was stored and by whom, i.e. whether by an external entity (also including other entities than the one having access), by the user, by a manufacturer, or any other scenario.	12. 結論として、情報の概念には、非個人データと個人データの両方が含まれ、このデータがどのように保存され、誰によって保存されたかに関係なく、すなわち、外部事業体（アクセス権を有する事業体以外の事業体も含む）、ユーザー、製造者、またはその他のシナリオによるものであるかどうかに関係なく、非個人データと個人データの両方が含まれる。
2.3 Notion of ‘Terminal Equipment of a Subscriber or User’	2.3 「加入者またはユーザーの端末機器」の概念
13. This section builds on the definition used in Directive 2008/63/EC, where ‘terminal equipment’ is defined as: ‘equipment directly or indirectly connected to the interface of a public telecommunications network to send, process or receive information; in either case (direct or indirect), the connection may be made by wire, optical fibre or electromagnetically; a connection is indirect if equipment is placed between the terminal equipment and the interface of the network’ .	13. このセクションは、指令2008/63/ECで使用されている定義に基づいており、「端末機器」は以下のように定義されている：直接的または間接的に公衆電気通信網のインターフェースに接続され、情報の送信、処理、受信を行う機器。いずれの場合（直接的または間接的）でも、接続は有線、光ファイバー、または電磁気的に行われる。
14. Recital 24 ePD provides a clear understanding of the role of the terminal equipment for the protection offered by Article 5(3) ePD. The ePD protects users’ privacy not only in relation to the confidentiality of their information but also by safeguarding the integrity of the user’s terminal equipment. This understanding will guide the interpretation of the notion of the terminal equipment throughout these Guidelines.	14. ePDの説明24は、ePD第5条3項が提供する保護における端末機器の役割について明確な理解を示している。ePDは、利用者のプライバシーを、利用者の情報の機密性だけでなく、利用者の端末機器の完全性を保護することによっても保護している。この理解は、本ガイドライン全体を通して、端末機器の概念の解釈の指針となる。
15. Whenever a device is not an endpoint of a communication and only conveys information without performing any modifications to that information, it would not be considered as the terminal equipment in that context. Hence, if a device solely acts as a communication relay, it should not be considered a terminal equipment under Article 5(3) ePD.	15. デバイスがコミュニケーションのエンドポイントでなく、情報に変更を加えることなく情報を伝達するだけである場合、そのデバイスは端末機器とはみなされない。従って、デバイスが通信の中継としてのみ機能する場合、それは第 5 条(3)ePD に基づく端末機器とみなされるべきではない。
16. A terminal equipment may be comprised of any number of individual pieces of hardware, which together form the terminal equipment. This may or may not take the form of a physically enclosed device hosting all the display, processing, storage and peripheral hardware (for example, smartphones, laptops, connected cars or connected TVs, smart glasses).	16. 端末機器は、端末機器を形成する任意の数の個々のハードウェアから構成される場合がある。これは、すべての表示、処理、記憶、および周辺ハードウェア（例えば、スマートフォン、ラップトップ、コネクティッドカーまたはコネクティッドテレビ、スマートグラス）をホストする物理的に密閉されたデバイスの形態をとる場合もとらない場合もある。
17. The ePD acknowledges that the protection of the confidentiality of the information stored on a user’s terminal equipment and integrity of the user’s terminal equipment is not limited to the protection of the private sphere of natural persons but also concerns the right to respect for their correspondence or the legitimate interests of legal persons. As such, a terminal equipment that allows for this correspondence and the legitimate interests of the legal persons to be carried out is protected under Article 5(3) ePD.	17. ePDは、ユーザーの端末機器に保存された情報の機密性とユーザーの端末機器の完全性の保護は、自然人の私的領域の保護に限定されるものではなく、その通信または法人の正当な利益を尊重する権利にも関係することを認めている。そのため、このような通信や法人の正当な利益の遂行を可能にする端末機器は、ePD第5条第3項により保護される。
18. The user or subscriber may own or rent or otherwise be provided with the terminal equipment. Multiple users or subscribers may share the same terminal equipment in the context of multiple communications (for example, in the case of a connected car) and a single communication may involve more than one terminal equipment.	18. ユーザーまたは加入者は、端末機器を所有するか、レンタルするか、またはその他の方法で提供されることができる。複数のユーザーまたは加入者は、複数のコミュニケーション（例えば、コネクティッドカーの場合）において同じ端末機器を共有することができ、1 つのコミュニケーションに複数の端末機器が関与することがある。
19. The protection is guaranteed by the ePD to the terminal equipment associated to the user or subscriber involved in the communication, and it is not dependant on whether the electronic communication was initiated by the user or even on whether the user is aware of the said communication.	19. 保護は、通信に関与するユーザーまたは加入者に関連する端末機器に対して ePD によって保証され、電子通信がユーザーによって開始されたかどうか、またはユーザーが当該通信を認識しているかどうかにさえ依存しない。
2.4 Notion of ‘electronic communications network’	2.4 「電子通信ネットワーク」の概念
20. Another element to consider in order to assess the applicability of Article 5(3) ePD is the notion of ‘electronic communications network’. In fact, the situation regulated by the ePD is the one related to ‘the provision of publicly available electronic communications services in public communications networks in the Community’. It is therefore crucial to delimit the electronic communications network context in which Article 5(3) ePD applies.	20. ePD 第 5 条(3)の適用可能性を評価するために考慮すべきもう一つの要素は、「電子コミュニケーション・ネットワーク」の概念である。実際、ePDが規制する状況は、「共同体内の公衆通信網における公に利用可能な電子通信サービスの提供」に関するものである。したがって、ePD第5条3項が適用される電子通信ネットワークの文脈を限定することは極めて重要である。
21. The notion of electronic communications network is not defined within the ePD itself. That concept was referred to originally in Directive 2002/21/EC (the Framework Directive) on a common regulatory framework for electronic communications networks and services , subsequently replaced by Directive 2018/1972 (the European Electronic Communications Code). It now reads:	21. 電子通信ネットワークの概念は、ePD自体では定義されていない。この概念はもともと、電子通信ネットワークおよびサービスの共通規制枠組みに関する指令2002/21/EC（枠組み指令）で言及され、その後、指令2018/1972（欧州電子通信規約）で置き換えられた。現在はこうなっている：
‘”electronic communications network” means transmission systems, whether or not based on a permanent infrastructure or centralised administration capacity, and, where applicable, switching or routing equipment and other resources, including network elements which are not active, which permit the conveyance of signals by wire, radio, optical or other electromagnetic means, including satellite networks, fixed (circuit- and packet-switched, including internet) and mobile networks, electricity cable systems, to the extent that they are used for the purpose of transmitting signals, networks used for radio and television broadcasting, and cable television networks, irrespective of the type of information conveyed’.	電子通信ネットワーク」とは、恒久的なインフラまたは集中管理能力に基づくか否かを問わず、伝送システム、および該当する場合、有線、無線、光またはその他の電磁的手段による信号の伝達を可能にする、能動的でないネットワーク要素を含む交換またはルーティング装置およびその他のリソースを意味する、伝達される情報の種類に関係なく、衛星ネットワーク、固定（回線交換およびパケット交換、インターネットを含む）およびモバイルネットワーク、電力ケーブルシステム、ラジオおよびテレビ放送に使用されるネットワーク、ケーブルテレビネットワークを含む。
22. This definition is neutral with respect to the transmission technologies. An electronic communications network, according to this definition, is any network system that allows transmission of electronic signals between its nodes, regardless of the equipment and protocols used.	22. この定義は、伝送技術に関しては中立である。この定義によれば、電子コミュニケーション・ネットワークとは、使用される機器やプロトコルに関係なく、ノード間で電子信号の伝送を可能にするあらゆるネットワーク・システムを指す。
23. The notion of electronic communications network under Directive 2018/1972 does not depend on the public or private nature of the infrastructure, nor on the way the network is deployed or managed (‘whether or not based on a permanent infrastructure or centralised administration capacity’ .) As a result, the definition of electronic communications network, under Article 2 of Directive 2018/1972, is broad enough to cover any type of infrastructure. It includes networks managed or not by an operator, networks co-managed by a group of operators, or even ad-hoc networks in which a terminal equipment may dynamically join or leave a mesh of other terminal equipment using short range transmission protocols.	23. 指令 2018/1972 に基づく電子通信網の概念は、インフラの公衆・私有の性質、ネットワークの配備・管理方法（「恒久的なインフラまたは集中管理能力に基づくか否か」）には依存しない。その結果、指令2018/1972の第2条に基づく電子コミュニケーションネットワークの定義は、あらゆるタイプのインフラをカバーするのに十分な広さとなっている。これには、事業者によって管理されるか否かにかかわらず、事業者グループによって共同管理されるネットワーク、あるいは、端末機器が短距離伝送プロトコルを使用して他の端末機器のメッシュに動的に参加または離脱するアドホックネットワークも含まれる。
24. This definition of network does not give any limitation with regards to the number of terminal equipment present in the network at any time. Some networking schemes rely on asynchronous information propagation to present peers in the network and can at some point in time have as little as two peers communicating. Article 5(3) ePD would still apply in such cases, as long as the network protocol allows for further inclusion of peers.	24. このネットワークの定義は、ネットワークに存在する端末機器の数に関して、いかなる制限も与えない。一部のネットワーキング方式は、ネットワーク内のピアを提示するための非同期情報伝播に依存しており、ある時点で通信しているピアがわずか2台になることがある。このような場合でも、ネットワーク・プロトコルがピアの追加を許容する限り、ePD第5条3項が適用される。
25. The public availability of the communication service over the communication network is necessary for the applicability of Article 5(3) ePD . It should be noted that the fact that the network is made available to a limited subset of the public (for example, subscribers, whether paying or not, subject to eligibility conditions) does not make such a network private.	25. 通信ネットワーク上でコミュニケーション・サービスが公に利用可能であることは、第5条3項ePDが適用されるために必要である。ネットワークが公衆の限定されたサブセット（例えば、有料か有料でないかを問わず、加入資格条件に従う加入者）に利用可能であるという事実は、そのようなネットワークを私的なものとするものではないことに留意すべきである。
2.5 Notion of ‘gaining access’	2.5 「アクセスを得る」という概念
26. To correctly frame the notion of ‘gaining access’, it is important to consider the scope of the ePD, stated in its Article 1: ‘to ensure an equivalent level of protection of fundamental rights and freedoms, and in particular the right to privacy, with respect to the processing of personal data in the electronic communication sector and to ensure the free movement of such data and of electronic communication equipment and services in the Community’.	26. すなわち、「電子通信分野における個人データの処理に関し、基本的権利及び自由、特にプライバシーに対する権利の同等レベルの保護を確保し、かつ、共同体内における当該データ並びに電子通信機器及びサービスの自由な移動を確保すること」である。
27. In a nutshell, the ePD is a privacy preserving legal instrument aiming to protect the confidentiality of communications and the integrity of devices. In Recital 24 ePD, it is clarified that, in the case of natural persons, the user’s terminal equipment is part of their private sphere and that accessing information stored on it without their knowledge may seriously intrude upon their privacy.	27. 一言で言えば、ePDは、コミュニケーションの機密性と機器の完全性を保護することを目的としたプライバシー保護の法的文書である。ePDのリサイタル24では、自然人の場合、ユーザーの端末機器はプライベートな領域の一部であり、本人が知らないうちに端末機器に保存された情報にアクセスすることは、プライバシーを著しく侵害する可能性があることが明確にされている。
28. Legal persons are also safeguarded by the ePD . In consequence, the notion of ‘gaining access’ under Article 5(3) ePD, has to be interpreted in a way that safeguards those rights against violation by third parties.	28. 法人もePDによって保護されている。その結果、ePD第5条3項の「アクセスを得る」という概念は、第三者による侵害からこれらの権利を保護するように解釈されなければならない。
29. Storage and access do not need to be cumulatively present for Article 5(3) ePD to apply. The notion of ’gaining access’ is independent from the notion of ‘storing information’. Moreover, the two operations do not need to be carried out by the same entity.	29. ePD 第 5 条(3)項が適用されるためには、保管とアクセスが累積的に存在する必要はない。アクセスを得る」という概念は、「情報を保管する」という概念から独立している。さらに、この2つの操作は同一の事業体によって行われる必要はない。
30. As noted in the WP29 Opinion 9/2014 on the application of Directive 2002/58/EC to device fingerprinting: ‘Use of the words “stored or accessed” indicates that the storage and access do not need to occur within the same communication and do not need to be performed by the same party. Information that is stored by one party (including information stored by the user or device manufacturer) which is later accessed by another party is therefore within the scope of Art. 5(3)’. Consequently, there are no restrictions placed on the origin of information on the terminal equipment for the notion of access to apply.	30. デバイスのフィンガープリンティングへの指令 2002/58/EC の適用に関する WP29 意見書 9/2014 で指摘されているように、「保存またはアクセスされる」という言葉の使用は、保存とアクセスが同一のコミュニケーション内で行われる必要はなく、同一の当事者によって実行される必要もないことを示している。従って、ある当事者によって保存された情報（ユーザーまたはデバイス製造者によって保存された情報を含む）であって、後に別の当事者によってアクセスされるものは、第 5 条(3)の範囲内である。5(3)'. したがって、アクセスという概念が適用されるためには、端末機器上の情報の出所に制限はない。
31. Whenever the accessing entity wishes to gain access to information stored in the terminal equipment and actively takes steps towards that end, Article 5(3) ePD would apply. Usually this entails the accessing entity to proactively send specific instructions to the terminal equipment in order to receive back the targeted information. For example, this is the case for cookies, where the accessing entity instructs the terminal equipment to proactively send information on each subsequent HTTP (Hypertext Transfer Protocol) call.	31. アクセスする事業体が端末機器に保存された情報へのアクセスを希望し、積極的にそのための措置を講じる場合は常に、ePD第5条第3項が適用される。通常、これには、アクセス事業体が、対象となる情報を受信するために、端末機器に特定の指示を積極的に送信することが必要となる。例えば、これはクッキーの場合であり、アクセス事業体は、後続の各 HTTP（ハイパーテキスト転送プロトコル）呼び出しで情報を積極的に送信するよう端末機器に指示する。
32. That is equally the case when the accessing entity distributes software on the terminal of the user that will then proactively call an API (application programming interface) endpoint over the network. Additional examples would include JavaScript code, where the accessing entity instructs the browser of the user to send asynchronous requests with the targeted content. Such access clearly falls within the scope of Article 5(3) ePD, as the accessing entity explicitly instructs the terminal equipment to send the information.	32. アクセスする事業体がユーザーの端末にソフトウェアを配布し、そのソフトウェアがネットワークを介してAPI（アプリケーション・プログラミング・インターフェース）エンドポイントを主体的に呼び出す場合も、同様である。その他の例としては、アクセス事業体がユーザーのブラウザーに対して、対象となるコンテンツを含む非同期リクエストの送信を指示するJavaScriptコードがある。このようなアクセスは、アクセス主体が端末機器に情報を送信するよう明示的に指示するため、明らかに ePD 第 5 条(3)項の適用範囲に入る。
33. In some cases, the entity instructing the terminal to send back the targeted data and the entity receiving information might not be the same. This may result from the provision and/or use of a common mechanism between the two entities. For example, one entity may have used protocols that imply the proactive sending of information by the terminal equipment which may be processed by the receiving entity. In these circumstances, Article 5(3) ePD may still apply.	33. 場合によっては、端末に対象データの送り返しを指示する事業体と、情報を受信する事業体が同一でないことがある。これは、2つの事業体間で共通のメカニズムが提供および／または使用されていることに起因する可能性がある。例えば、一方の事業体が、受信側事業体によって処理される可能性のある端末機器による積極的な情報送信を意味するプロトコルを使用している可能性がある。このような状況でも、ePD 第 5 条(3)が適用される可能性がある。
2.6 Notions of ‘Stored Information’ and ‘Storage’	2.6 「保存情報」と「保管」の概念
34. Storage of information in the sense of Article 5(3) ePD refers to placing information on a physical electronic storage medium that is part of a user or subscriber’s terminal equipment.	34. 第 5 条(3)ePD の意味での情報の保管とは、ユーザーまたは加入者の端末機器の一部である物理的な電子記憶媒体に情報を置くことを指す。
35. Typically, information is not stored in the terminal equipment of a user or subscriber through direct access by another party, but rather by instructing software on the terminal equipment to generate specific information. Storage taking place through such instructions is considered to be initiated directly by the other party. This includes making use of established protocols such as browser cookie storage as well as customized software, regardless of who created or installed the protocols or software on the terminal equipment.	35. 通常、情報は、他者による直接アクセスによってユーザーまたは加入者の端末機器に保存されるのではなく、端末機器上のソフトウェアに特定の情報を生成するよう指示することによって保存される。このような指示によって行われる保存は、相手によって直接開始されたものとみなされる。これには、ブラウザクッキーストレージのような確立されたプロトコルの利用や、カスタマイズされたソフトウェアが含まれ、誰がそのプロトコルやソフトウェアを端末機器に作成またはインストールしたかは問わない。
36. The ePD does not place any upper or lower limit on the length of time that information must persist on a storage medium to be counted as stored, nor is there an upper or lower limit on the amount of information to be stored.	36. ePD は、保存されたものとしてカウントされるために情報が記憶媒体上に存続しなければならない時間の長さに上限または下限を設けず、保存される情報量に上限または下限を設けない。
37. Similarly, the notion of storage does not depend on the type of medium on which the information is stored. Typical examples would include hard disc drives (HDD), solid state drives (SSD), flash drives and random-access memory (RAM), but less typical scenarios involving a medium such as magnetic tape or central processing unit (CPU) cache are not excluded from the scope of application. The storage medium may be connected internally (e.g. through a SATA connection), externally (e.g. through a USB connection) or through a network protocol (e.g. a network-attached-storage device).	37. 同様に、保存という概念は、情報が保存される媒体の種類に依存しない。典型的な例としては、ハードディスクドライブ（HDD）、ソリッドステートドライブ（SSD）、フラッシュドライブ、ランダムアクセスメモリ（RAM）などが挙げられるが、磁気テープや中央処理装置（CPU）キャッシュなどの媒体を含む、あまり典型的でないシナリオも適用範囲から除外されない。記憶媒体は、内部（SATA接続など）、外部（USB接続など）、またはネットワークプロトコル（ネットワーク接続記憶装置など）を介して接続することができる。
38. As long as the networked storage medium constitutes a functional equivalent of a local storage medium (including the fact that its only purpose is for the user of the terminal equipment to store information that will be processed on the terminal equipment itself), that storage medium will be considered part of the terminal equipment.	38. ネットワーク接続された記憶媒体がローカル記憶媒体と機能的に同等である限り（その唯一の目的が、端末機器のユーザーが端末機器自体で処理される情報を記憶することであることを含む）、その記憶媒体は端末機器の一部とみなされる。
39. Finally, ‘stored information’ may not just result from information storage in the sense of Article 5(3) ePD as described above (either by the same party that would later gain access or by another third party). It may also be stored by the user or subscriber, or by a hardware manufacturer, or any other entity; be the result of sensors integrated into the terminal; or be produced through processes and programs executed on the terminal equipment, which may or may not produce information that is dependent on or derived from stored information.	39. 最後に、「保存された情報」は、上述の第 5 条(3)ePD の意味での情報保存（後にアクセスする同じパーティ又は別のサードパーティによる）により生じるだけではない。また、利用者または加入者、ハードウェア製造者、またはその他の事業体によって保存される場合、端末に統合されたセンサーの結果である場合、端末装置上で実行されるプロセスおよびプログラムを通じて生成される場合もあり、これらのプロセスおよびプログラムは、保存された情報に依存または派生する情報を生成する場合も、生成しない場合もある。
3 USE CASES	3 利用事例
40. Without prejudice of the specific context in which those technical categories can be used which are necessary to qualify whether Article 5(3) ePD is applicable, it is possible to identify, in a non-exhaustive manner, broad categories of identifiers and information that are widely used and can be subject to the applicability of Article 5(3) ePD.	40. 第 5 条(3)ePD が適用されるかどうかを判断するために必要な技術仕様のカテゴリーが使用され得る具体的な状況を害することなく、広く使用され、第 5 条(3)ePD の適用可能性の対象となり得る識別子および情報の大まかなカテゴリーを、非網羅的な方法で特定することが可能である。
41. Network communication usually relies on a layered model that necessitates the use of identifiers to allow for a proper establishment and carrying out of the communication. The communication of those identifiers to remote actors is instructed through software following agreed upon communication protocols. As outlined above, the fact that the receiving entity might not be the entity instructing the sending of information does not preclude the application of Article 5(3) ePD. This might concern routing identifiers such as the MAC or IP address of the terminal equipment, but also session identifiers (SSRC, Websocket identifier), or authentication tokens.	41. ネットワーク・コミュニケーションは、通常、通信の適切な確立と実行を可能にする識別子の使用を必要とするレイヤ・モデルに依存している。これらの識別子を遠隔地にいる行為者に伝達することは、合意された通信プロトコルに従ったソフトウェアを通じて指示される。上述したように、受信事業体が情報の送信を指示する事業体でない可能性があるという事実は、ePD第5条3項の適用を妨げるものではない。これは、端末機器の MAC アドレスや IP アドレスのようなルーティング識別子だけでなく、セッション識別子（SSRC、Websocket 識別子）、または認証トークンに関する場合もある。
42. In the same manner, the application protocol can include several mechanisms to provide context data (such as HTTP header including ‘accept’ field or user agent), caching mechanism (such as ETag or HSTS) or other functionalities (cookies being one of them). Once again, the abuse of those mechanisms (for example in the context of fingerprinting or the tracking of resource identifiers) can lead to the application of Article 5(3) ePD.	42. 同じように、アプリケーションプロトコルは、コンテキストデータ(「accept」フィールドやユーザエージェントを含むHTTPヘッダなど)、キャッシュメカニズム(ETagやHSTSなど)、または他の機能(クッキーはその一つ)を提供するためのいくつかのメカニズムを含むことができる。繰り返しになるが、（例えばフィンガープリンティングやリソース識別子の追跡の文脈で）これらのメカニズムを悪用すると、ePD 第 5 条(3)項が適用される可能性がある。
43. On the other hand, there are some contexts in which local applications installed in the terminal uses some information strictly inside the terminal, as it might be the case for smartphone system APIs (access to camera, microphone, GPS sensor, accelerator chip, radio chip, local file access, contact list, identifiers access, etc.). This might also be the case for web browsers that process information stored or generated information inside the device (such as cookies, local storage, WebSQL, or even information provided by the users themselves). The use of such information by an application would not be subject to Article 5(3) ePD as long as the information does not leave the device, but when this information or any derivation of this information is accessed through the communication network, Article 5(3) ePD may apply.	43. 一方、スマートフォンのシステム API（カメラ、マイク、GPS センサ、アクセラレータチップ、無線チップ、ローカルファイルアクセス、コンタクトリスト、識別子のアクセスなど）のように、端末にインストールされたローカルアプリケーションが端末内部で厳密に情報を使用するコンテキストもある。また、デバイス内部に保存された情報や生成された情報（クッキー、ローカルストレージ、WebSQL、あるいはユーザー自身によって提供された情報など）を処理するウェブブラウザの場合もそうかもしれない。アプリケーションによるこのような情報の使用は、情報がデバイスから出ない限り、第5条3項ePDの対象とはならないが、この情報またはこの情報の派生物がコミュニケーション・ネットワークを通じてアクセスされる場合、第5条3項ePDが適用される可能性がある。
44. Finally, in some cases malicious software elements are distributed over a network by actors, for example crypto mining software or more generally malware, exploiting the processing abilities of the terminal for the benefit of the distributing actor. While that software may only establish a network connection that would trigger the application of Article 5(3) ePD at a later stage (for example to retrieve a computed result), the sole fact that the software instructing the nefarious processing has been distributed over a network would imply the application of Article 5(3) ePD.	44. 最後に、悪意のあるソフトウェア要素が、例えば暗号マイニングソフトウェアやより一般的なマルウェアのように、配布行為者の利益のために端末の処理能力を悪用する行為者によってネットワーク上で配布される場合がある。そのソフトウェアは、後の段階（例えば、計算された結果を取得するため）で第 5 条(3)項 ePD の適用を引き起こすネットワーク接続を確立するだけかもしれないが、不正な処理を指示するソフトウェアがネットワーク上で配布されたという事実だけで、第 5 条(3)項 ePD の適用を意味する。
45. For a subset of these categories that present a specific interest, either because of their widespread usage or because a specific study is warranted with regards to the circumstances of their use, a specific analysis is provided below.	45. これらのカテゴリのうち、広く使用されているため、またはその使用状況に関して特定の調査が正当化されるため、特定の関心を示すサブセットについては、以下に具体的な分析を示す。
3.1 URL and pixel tracking	3.1 URLとピクセルのトラッキング
46. A tracking pixel is a hyperlink to a resource, usually an image file, embedded into a piece of content like a website or an email. This pixel usually fulfils no purpose related to the content itself; its sole purpose is to establish a communication by the client to the host of the pixel, which would otherwise not have occurred. Establishment of a communication transmits various information to the host of the pixel, depending on the specific use case.	46. トラッキングピクセルとは、ウェブサイトや電子メールなどのコンテンツに埋め込まれたリソース（通常は画像ファイル）へのハイパーリンクのことである。このピクセルは通常、コンテンツ自体とは無関係の目的を果たす。その唯一の目的は、クライアントがピクセルのホストとコミュニケーションを確立することであり、それ以外の方法では発生しない。コミュニケーションの確立により、特定のユースケースに応じて、様々な情報がピクセルのホストに送信される。
47. In the case of an email, the sender may include a tracking pixel to detect when the receiver reads the email. Tracking pixels on websites may link to an entity aggregating many such requests and thus being able to track users’ behaviour. Such tracking pixels may also contain additional identifiers as part of the link. These identifiers may be added by the owner of the website, possibly related to the user’s activity on that website. They may also be dynamically generated through client-side applicative logic. In some cases, links to legitimate images may also be used for the same purpose by adding additional information to the link.	47. 電子メールの場合、送信者は、受信者がいつ電子メールを読んだかを検知するために、トラッキングピクセルを含めることができる。ウェブサイト上のトラッキングピクセルは、そのような多数のリクエストを集約する事業体にリンクし、ユーザーの行動を追跡できる場合がある。このようなトラッキングピクセルは、リンクの一部として追加の識別子を含むこともある。これらの識別子は、ウェブサイトの所有者によって追加される場合があり、そのウェブサイトでのユーザーの行動に関連する場合がある。また、クライアント側のアプリケーションロジックによって動的に生成される場合もある。場合によっては、正当な画像へのリンクも、リンクに追加情報を追加することで、同じ目的で使用されることがある。
48. Tracking links are functioning in the same way, but the identifier is appended to the website address. When the URL (Uniform Resource Locator) is visited by the user, the targeted website loads the requested resource but also collects an identifier which is not relevant in terms of resource identification. They are very commonly used by websites to identify the origin of their inbound source of traffic. For example, e-commerce websites can provide tracked links to partners to use on their domain so that the e-commerce website knows which of their partners is responsible for a sale and pay a commission, a practice known as affiliate marketing.	48. トラッキングリンクも同様に機能するが、識別子はウェブサイトのアドレスに付加される。URL（Uniform Resource Locator）がユーザーによって訪問されると、対象となるウェブサイトは要求されたリソースをロードするが、リソースの識別という点では関係のない識別子も収集する。これらは、ウェブサイトがインバウンドのトラフィック・ソースの発信元を特定するために、非常に一般的に使用されている。例えば、電子商取引ウェブサイトは、そのドメインで使用するために、追跡リンクをパートナーに提供することができ、電子商取引ウェブサイトは、どのパートナーが販売に責任があり、手数料を支払うかを知ることができる。
49. Both tracking links and tracking pixels can be distributed through a wide variety of channels, for example through emails, websites, or even, in the case of tracking links, through any kind of text messaging systems.	49. トラッキングリンクとトラッキングピクセルは、電子メール、ウェブサイト、あるいはトラッキングリンクの場合、あらゆる種類のテキストメッセージングシステムなど、多種多様なチャネルを通じて配布することができる。
50. Under the condition that said pixel or tracked URL have been distributed over a public communication network, it is clear that it constitutes storage on the communication network user’s terminal equipment, at the very least through the caching mechanism of the client-side software. As such, Article 5(3) ePD is applicable.	50. 当該ピクセルやトラッキングURLが公衆通信網を通じて配布されたという条件下では、少なくともクライアント側ソフトウェアのキャッシュメカニズムを通じて、通信網利用者の端末機器に保存されることは明らかである。そのため、ePD第5条3項が適用される。
51. The inclusion of such tracking pixels or tracked links in the content sent to the user constitutes an instruction to the terminal equipment to send back the targeted information (the specified identifier). In the case of dynamically constructed tracking pixels, it is the distribution of the applicative logic (usually a JavaScript code) that constitutes the instruction. As a consequence, it can be considered that the collection of the identifiers provided by tracking pixels and tracked URL do constitute a ‘gaining of access’ in the meaning of Article 5(3) ePD and thus the latter is applicable to that step as well.	51. ユーザーに送信されるコンテンツにこのようなトラッキングピクセルまたはトラッキングリンクが含まれることは、端末機器に対し、対象となる情報（識別）を返送するよう指示することになる。動的に構築されたトラッキングピクセルの場合、指示を構成するのはアプリケーションロジック（通常はJavaScriptコード）の配布である。結果として、トラッキングピクセル及びトラッキングされたURLによって提供される識別子の収集は、ePD第5条(3)の意味における「アクセスの獲得」を構成し、従って後者はそのステップにも適用されると考えることができる。
3.2 Local processing	3.2 ローカル処理
52. Some technologies rely on local processing instructed by software distributed on users’ terminal, where the information produced by the local processing is then made available to selected actors through client-side API. This may for example be the case for an API provided by the web browser, where locally generated results may be accessed remotely.	52. 一部の技術は、利用者の端末に分散されたソフトウェアによって指示されるローカル処理に依存し、ローカル処理によって生成された情報は、クライアント側のAPIを通じて選択された関係者が利用できるようになる。これは例えば、ウェブブラウザによって提供されるAPIの場合であり、ローカルで生成された結果にリモートでアクセスすることができる。
53. If at any point and for example in the client-side code, the processed information made available is being sent back over the network, for example to a server, such an operation (instructed by the entity producing the client-side code distributed on the user terminal) would constitute a ‘gaining of access to information already stored’. The fact that this information is being produced locally does not preclude the application of Article 5(3) ePD.	53. どの時点でも、例えばクライアント側のコードにおいて、利用可能にされた処理された情報がネットワークを介して、例えばサーバーに送り返される場合、そのような操作（ユーザー端末に配布されるクライアント側のコードを生成する事業体によって指示される）は、「既に保存された情報へのアクセスの獲得」を構成する。この情報がローカルで作成されているという事実は、ePD第5条3項の適用を妨げるものではない。
3.3 Tracking based on IP only	3.3 IPのみに基づく追跡
54. Some providers are developing advertising solutions that only rely on the collection of one component, namely the IP address, in order to track the navigation of the user, in some case across multiple domains. In that context Article 5(3) ePD could apply even though the instruction to make the IP available has been made by a different entity than the receiving one.	54. プロバイダの中には、ユーザーのナビゲーションを追跡するために、1つの要素、すなわちIPアドレスの収集にのみ依存する広告ソリューションを、場合によっては複数のドメインにわたって開発しているところもある。このような場合、IP を利用可能にする指示が、受信側とは異なる事業体によって行われたとしても、 ePD 第 5 条(3)項が適用される可能性がある。
55. However, gaining access to IP addresses would only trigger the application of Article 5(3) ePD in cases where this information originates from the terminal equipment of a subscriber or user. While it is not systematically the case (for example when CGNAT is activated), the static outbound IPv4 originating from a user’s router would fall within that case, as well as IPV6 addresses since they are partly defined by the host. Unless the entity can ensure that the IP address does not originate from the terminal equipment of a user or subscriber, it has to take all the steps pursuant to the Article 5(3) ePD.	55. しかしながら、IPアドレスにアクセスできるようになるのは、この情報が加入者またはユーザーの端末機器から発信された場合に限り、第5条3項ePDの適用を引き起こす。システム的にそうなっているわけではないが（例えば、CGNAT が有効化されている場合）、ユーザのルータから発信される静的なアウトバウンド IPv4 は、IPV6 アドレスと同様に、ホストによって部分的に定義されるため、このケースに該当するであろう。事業体は、IP アドレスがユーザまたは加入者の端末機器から発信されたものでないことを確認できない限り、ePD 第 5 条(3)に従ったすべての措置を講じなければならない。
3.4 Intermittent and mediated IoT reporting	3.4 断続的かつ媒介的な IoT 報告
56. IoT (Internet of Things) devices produce information continuously over time, for example through sensors embedded in the device, which may or may not be locally pre-processed. In many cases, information is made available to a remote server, but the modalities for that collection varies.	56. IoT（Internet of Things）機器は、例えば機器に組み込まれたセンサーなどを通じて、時間にわたって継続的に情報を生成する。多くの場合、情報はリモートサーバーに提供されるが、その収集方法は様々である。
57. Some IoT devices have a direct connection to a public communication network, for example through the use of WIFI or a cellular SIM card. IoT devices might be instructed by the manufacturer to always stream the collected information, yet still locally cache the information first, for example until a connection is available.	57. IoTデバイスの中には、例えばWIFIや携帯電話SIMカードの使用を通じて、公衆通信網に直接接続するものもある。IoTデバイスは、収集された情報を常にストリーミングするよう製造業者によって指示されるかもしれないが、それでもなお、例えば接続が利用可能になるまで、情報をまずローカルにキャッシュする。
58. Other IoT devices do not have a direct connection to a public communication network and might be instructed to relay the information to another device through a point-to-point connection (for example, through Bluetooth). The other device is generally a smartphone which may or may not preprocess the information before sending it to the server.	58. 他のIoTデバイスは、公衆通信網への直接接続を持たず、ポイント・ツー・ポイント接続を通じて（例えばブルートゥースを通じて）他のデバイスに情報を中継するよう指示される場合がある。他のデバイスは一般的にスマートフォンであり、サーバーに送信する前に情報を前処理してもしなくてもよい。
59. In the first case the IoT device, where it is connected to a public communications network, would itself be considered a terminal. The fact that the information is streamed or cached for intermittent reporting does not change the nature of that information. In both situations Article 5(3) ePD would apply as it is, through the instruction of the IoT device to send the dynamically stored data to the remote server, there is ‘gaining of access’.	59. 最初のケースでは、IoTデバイスは公衆通信網に接続されており、それ自体が端末とみなされる。情報が断続的な報告のためにストリーミングまたはキャッシュされるという事実は、その情報の性質を変えるものではない。いずれの状況においても、動的に保存されたデータをリモートサーバーに送信するよう IoT デバイスが指示することで、「アクセスの獲得」が行われるため、ePD 第 5 条 3 項がそのまま適用される。
60. In the case of IoT devices connected to the network via a relay device (a smartphone, a dedicated hub, etc.) with a purely point to point connection between the IoT device and the relay device, the transmission of data to the relay could fall outside of the Article 5(3) ePD as the communication does not take place on a public communication network. However, the information received by the relay device would be considered stored by a terminal and Article 5(3) ePD would apply as soon as this relay is instructed to send that information to a remote server.	60. 中継機器（スマートフォン、専用ハブ等）を介してネットワークに接続され、IoT 機器と中継機器が純粋に point to point で接続されている IoT 機器の場合、中継機器へのデータ送信は公衆通信網上で行われないため、第5条第3項ePDの適用外となる可能性がある。しかし、中継装置によって受信された情報は端末によって保存されたものとみなされ、この中継装置がその情報をリモートサーバーに送信するよう指示された時点で、第5条3項ePDが適用されることになる。
3.5 Unique Identifier	3.5 一意識別子
61. A common tool used by advertising companies is the notion of ’unique identifiers‘ or ’persistent identifiers‘. Such identifiers are usually derived from persistent personal data (name and surname, email, phone number, etc.), that is hashed on the user’s device, collected and shared amongst several controllers to uniquely identify a person over different datasets (usage data collected through the use of website or application, customer relation management (CRM) data related to online or offline purchase or subscription, etc.). On websites, the persistent personal data is generally obtained in the context of authentication or the subscription to newsletters.	61. 広告会社が使用する一般的な手段は、「一意識別子」または「永続識別子」という概念である。このような識別子は通常、永続的な個人データ（氏名、姓、電子メール、電話番号など）から導出され、異なるデータセット（ウェブサイトやアプリケーションの使用を通じて収集される使用データ、オンラインまたはオフラインの購入や購読に関連する顧客関係管理（CRM）データなど）上で個人を一意に識別するために、ユーザーのデバイス上でハッシュ化され、収集され、複数のデータ管理者の間で共有される。ウェブサイト上では、永続的個人データは一般的に本人認証やニュースレターの購読に関連して取得される。
62. As outlined before, the fact that the information is being inputted by the user would not preclude the application of Article 5(3) ePD with regards to storage, as this information is stored temporarily on the terminal before being collected.	62. 前述のとおり、この情報は収集される前に端末に一時的に保存されるため、情報がユーザーによって入力されるという事実は、保存に関して ePD 第 5 条(3)項の適用を妨げるものではない。
63. In the context of ‘unique identifier’ collection on websites or mobile applications, the entity collecting is instructing the browser (through the distribution of client-side code) to send that information. As such a ’gaining of access’ is taking place and Article 5(3) ePD applies.	63. ウェブサイトやモバイルアプリケーションでの「一意識別子」収集の文脈では、収集する事業体は、（クライアント側コードの配布を通じて）ブラウザにその情報を送信するよう指示する。そのため、「アクセス権の獲得」が行われ、ePD第5条3項が適用される。

^[1] References to ‘Member States’ made throughout this document should be understood as references to ‘EEA Member States’.	[1] 本文書全体を通じて「加盟国」とあるのは、「EEA 加盟国」を指すものと理解すること。
^[2] WP29 Opinion 4/2012 on Cookie Consent Exemption, WP 194, p. 2.	[2] クッキーによる同意の例外に関する意見書4/2012 WP 194, p. 2.
^[3] WP29 Opinion 9/2014 on the application of Directive 2002/58/EC to device fingerprinting.	[3] デバイスのフィンガープリンティングへの指令 2002/58/EC の適用に関する WP29 意見 9/2014.
^[4] Judgement of the Court of Justice of 1 October 2019, Planet 49, Case C‑673/17, ECLI:EU:C:2019:801, paragraph 70.	[4] 2019年10月1日の司法裁判所の判決、プラネット49、ケースC-673/17、ECLI:EU:C:2019:801、パラグラフ70。
^[5] Commission Directive 2008/63/EC of 20 June 2008 on competition in the markets in telecommunications terminal equipment (Codified version), Article 1(1).	[5] 電気通信端末機器市場における競争に関する2008年6月20日の欧州委員会指令2008/63/EC（成文化版）、第1条(1)。
^[6] Directive 2002/21/EC of the European Parliament and of the Council of 7 March 2002 on a common regulatory framework for electronic communications networks and services (Framework Directive)	[6] 電子通信ネットワークおよびサービスの共通規制枠組みに関する2002年3月7日の欧州議会および理事会指令2002/21/EC（枠組み指令）。
^[7] Directive (EU) 2018/1972 of the European Parliament and of the Council of 11 December 2018 establishing the European Electronic Communications Code (Recast), Text with EEA relevance, Article 2(1).	[7] 2018年12月11日の欧州議会及び理事会指令（EU）2018/1972は、欧州電子コミュニケーションコード（Recast）を制定し、EEAに関連するテキスト、第2条（1）。
^[8] Directive (EU) 2018/1972 of the European Parliament and of the Council of 11 December 2018 establishing the European Electronic Communications Code (Recast), Text with EEA relevance, Article 2(1).	[8] 2018年12月11日付欧州議会及び理事会指令（EU）2018/1972は、欧州電子コミュニケーションコード（Recast）、EEA関連テキスト、第2条1項を制定した。
^[9] Article 2 ePD defines the user as ‘any natural person using a publicly available electronic communications service, for private or business purposes, without necessarily having subscribed to this service’. In addition, Article 3 ePD states that it should apply in the context of ‘the provision of publicly available electronic communications services in public communications networks’. Finally, the terminal equipment itself as defined in the Directive 2008/63/EC is described as ‘equipment directly or indirectly connected to the interface of a public telecommunications network’.	[9] ePD第2条は、ユーザーを「必ずしもこのサービスに加入していなくても、私的または事業目的で、公に利用可能な電子通信サービスを利用する自然人」と定義している。さらに、ePD第3条は、「公衆通信網における公衆利用可能な電子通信サービスの提供」という文脈で適用されるべきであると述べている。最後に、指令2008/63/ECで定義されている端末機器自体は、「公衆通信網のインターフェースに直接または間接的に接続されている機器」と説明されている。
^[10] Recital 26 ePD, see paragraph 17 above.	[10] ePDのリサイタル26、上記パラグラフ17を参照のこと。
^[11] As defined in section 2.3 of these Guidelines.	[11] 本ガイドラインのセクション2.3で定義されている。
^[12] Carrier-grade NAT or CGNAT is used by Internet service providers to maximise the use of limited IP address space. It groups a number of subscribers under the same public IP address.	[12] キャリアグレードNATまたはCGNATは、限られたIPアドレス空間を最大限に利用するためにインターネットサービスプロバイダによって使用される。これは、多数の加入者を同一のパブリックIPアドレスの下にグループ化する。

2023.11.18 00:00 in ウイルス, in 監査 / 認証, in クラウド, in パブコメ | Permalink | Comments (0)
Tweet

2023.11.17

米国連邦CIO室意見募集政府機関における人工知能活用のためのガバナンス、イノベーション、リスクマネジメントの推進 (2023.11.01)

こんにちは、丸山満彦です。

米国行政管理予算局 (0MB)の連邦最高情報責任者 (CIO) 事務局が、を政府機関における人工知能活用のためのガバナンス、イノベーション、リスクマネジメントの推進に関する覚書案を発表し、意見募集をしていますね。。。意見募集は2023.12.05までです。。。

米国、英国、中国？も政府におけるAIの活用に関してすごく力をいれている感じはしますね。。。

● U.S. White House - Office of the Federal Chief Information Officer

・2023.11.01 [PDF] (DRAFT) M-24-XX Advancing Governance, Innovation, and Risk Management for Agency Use of Artificial Intelligence

・[DOCX] 仮訳

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.11.06 米国の「人工知能の安全、安心、信頼できる開発と利用に関する大統領令」についての各界からの反応...

・2023.09.27 米国行政管理局 (OMB) M-23-22 デジタルファーストの公共体験の提供（日本政府の職員も是非読んでください...）(2023.09.22)

・2023.10.27 米国 MITRE 重要インフラにおけるAIサイバーリスク低減の原則：優先順位付けのアプローチ

・2023.10.05 米国 IT産業協議会 (ITI) がEUのAI法案に対する提言

・2023.09.26 米国商工会議所教育・提言キャンペーン「責任あるAIビジネス・リーダーシップ・イニシアティブ」

・2023.09.20 米国 GAO 人工知能の活用と急成長がその可能性と危険性を浮き彫りにする

・2023.09.17 米国 NSA FBI CISA 組織に対するディープフェイクの脅威の文脈化

・2023.08.29 米国ピュー研究所過半数の米国民はAIに懸念を感じている？そして、ChatGPTを使ったことがある米国民は1/4？

・2023.08.14 米国特定の国家安全保障技術および製品への米国投資に関する大統領令 (2023.08.09)

・2023.08.13 米国国防総省 CDAOが国防総省の新しい生成的AIタスクフォース（タスクフォース・リマ）の指揮を執る

・2023.08.11 米国 AIサイバーチャレンジ DEF CON32-33 (2024-2025) by DARPA (2023.08.08)

・2023.07.31 米国 FBI長官がサイバー脅威サミットで人工知能に対するFBIの姿勢を示す

・2023.07.22 米国ホワイトハウス 7つの米国AI企業が、バイデン政権とした３つの分野の８つの約束

・2023.06.17 米国国防総省最高デジタル・AI室が第6回グローバル情報支配実験 (GIDE) を開催

・2023.06.16 米国 MITRE AIセキュリティのための賢明な規制の枠組み

・2023.06.15 米国 GAO 科学技術スポットライト:生成的AI

・2023.05.27 米国国家人工知能研究開発戦略計画 2023更新 (2023.05.23)

・2023.05.26 米国ファクトシート：バイデン-ハリス政権、責任ある人工知能の研究・開発・実装を進める新たなステップを導入

・2023.05.08 米国ホワイトハウス「米国人の権利と安全を守る責任あるAIイノベーションを推進する新たな行動」 (2023.05.04)

・2023.05.06 米国連邦取引委員会 AIと消費者の信頼の工学 (It’s cool to use the computer. Don’t let the computer use you. by Prince in 1999)

・2023.05.01 米国国家人工知能諮問委員会1年間の活動報告書

・2023.04.30 米国国土安全保障省人工知能タスクフォースを設立 (2023.04.20)

・2023.04.28 米国連邦取引委員会司法省消費者金融保護局雇用機会均等委員会「自動化システムにおける差別やバイアスに対する執行努力に関する共同声明」

・2023.03.23 OECD AIにおけるアカウンタビリティの高度化 (2023.02.23)

・2023.03.14 米国商工会議所人工知能報告書

・2023.03.08 米国情報技術産業協会 (ITI) AIに関する新たな政策提言を発表 (2023.03.02)

・2022.10.07 米国科学技術政策局 AI権利章典の青写真

・2022.09.20 米国 ITI AIシステムの透明性を実現するためのグローバルな政策原則 (2022.09.15)

・2022.08.19 NIST ホワイトペーパー（ドラフト）コンテキストにおけるAI/MLバイアスの緩和

・2022.06.01 米国消費者金融保護局 AIを使った与信結果についても消費者にその理由を説明しなければならない

・2022.04.30 米国 GAO ブログ人工知能は国家安全保障をどう変えるか (2022.04.19)

・2022.04.20 米国商務省国家AI諮問委員会に27名を任命

・2022.03.20 米国ピュー研究所 AIと人間強化についての調査

・2021.09.10 米国 CSET AIの偶発事故：新たな脅威となる可能性

・2021.09.10 米国連邦商務省国家人工知能諮問委員会を設立

・2021.05.10 米国連邦政府人工知能イニシアティブ

・2021.03.31 米国 CSET AI安全性の主要概念：概要

・2020.11.30 米国 OMBが「人工知能アプリケーション規制のためのガイダンス」を発行

・2020.07.05 米国国防省の内部監査部門が「AIのプロジェクトのガバナンスとセキュリティをしっかりせい」とおっしゃっているようです。。。

・2023.10.30 中国グローバルAIガバナンス・イニシアティブ (2023.10.19)

2023.11.17 06:22 in 情報セキュリティ / サイバーセキュリティ, in 法律 / 犯罪, in 内部統制 / リスクマネジメント, in AI/Deep Learning | Permalink | Comments (0)
Tweet

2023.11.16

中国 TC260 国家標準「情報セキュリティ技術サイバーセキュリティ保険申込ガイド」公開草案 (2023.09.13)

こんにちは、丸山満彦です。

サイバー保険については、ISO/IEC 27102があるのですが、それの中国標準ということになるのでしょうかね。。。

● 全国信息安全标准化技术委员会

・2023.09.13 关于国家标准《信息安全技术网络安全保险应用指南》征求意见稿征求意见的通知

標準案：[PDF] 信息安全技术网络安全保险应用指南-标准文本

・[DOCX] 仮訳

概要说明：[DOCX] 信息安全技术网络安全保险应用指南-编制说明

● ISO

・2019.11 ISO/IEC 27102:2019(en) Information security management — Guidelines for cyber-insurance

目次...

Foreword	序文
Introduction	はじめに
1 Scope	1 適用範囲
2 Normative references	2 引用規格
3 Terms and definitions	3 用語と定義
4 Structure of this document	4 本書の構成
5 Overview of cyber-insurance and cyber-insurance policy	5 サイバー保険とサイバー保険ポリシーの概要
5.1 Cyber-insurance	5.1 サイバー保険
5.2 Cyber-insurance policy	5.2 サイバー保険ポリシー
6 Cyber-risk and insurance coverage	6 サイバーリスクと保険
6.1 Risk management process and cyber-insurance	6.1 リスク管理プロセスとサイバー保険
6.2 Cyber-incidents	6.2 サイバーインシデント
6.2.1 General	6.2.1 一般
6.2.2 Cyber-incident types	6.2.2 サイバー事故の種類
6.3 Business impact and insurable losses	6.3 事業への影響と保険の対象となる損失
6.3.1 Overview	6.3.1 概要
6.3.2 Type of coverage	6.3.2 補償の種類
6.3.3 Liability	6.3.3 賠償責任
6.3.4 Incident response costs	6.3.4 事故対応コスト
6.3.4.1 Overview	6.3.4.1 概要
6.3.4.2 Loss, theft or damage to information	6.3.4.2 情報の損失、盗難、損害
6.3.4.3 Reputational damage	6.3.4.3 風評被害
6.3.4.4 Customer or employee notification costs	6.3.4.4 顧客または従業員への通知費用
6.3.4.5 Customer or employee protection costs	6.3.4.5 顧客または従業員の保護費用
6.3.4.6 Specialist expertise costs	6.3.4.6 専門知識コスト
6.3.4.7 Operational cost to manage incidents	6.3.4.7 事故を管理するための運営コスト
6.3.4.8 Staff and personnel costs	6.3.4.8 スタッフ及び人件費
6.3.5 Cyber-extortion costs	6.3.5 サイバー攻撃コスト
6.3.6 Business interruption	6.3.6 事業中断
6.3.7 Legal and regulatory fines and penalties	6.3.7 法的及び規制上の罰金及び違約金
6.3.8 Contractual penalties	6.3.8 契約上の違約金
6.3.9 Systems damage	6.3.9 システム損害
6.4 Supplier risk	6.4 サプライヤーリスク
6.5 Silent or non-affirmative coverage in other insurance policies	6.5 他の保険契約における無保証または非肯定的補償
6.6 Vendors and counsel for incident response	6.6 インシデント対応のためのベンダーと弁護士
6.7 Cyber-insurance policy exclusions	6.7 サイバー保険契約の免責事項
6.8 Coverage amount limits	6.8 補償限度額
7 Risk assessment supporting cyber-insurance underwriting	7 サイバー保険の引受をサポートするリスク評価
7.1 Overview	7.1 概要
7.2 Information collection	7.2 情報収集
7.3 Cyber-risk assessment of the insured	7.3 被保険者のサイバーリスク評価
7.3.1 General	7.3.1 一般
7.3.2 Inherent cyber-risk assessment	7.3.2 本来のサイバーリスク評価
7.3.3 Information security controls assessment	7.3.3 情報セキュリティ管理評価
7.3.4 Review prior cyber-losses	7.3.4 過去のサイバー損害のレビュー
8 Role of ISMS in support of cyber-insurance	8 サイバー保険を支える ISMS の役割
8.1 Overview	8.1 概要
8.2 ISMS as a source of information	8.2 情報源としての ISMS
8.2.1 ISMS	8.2.1 ISMS
8.2.2 Planning	8.2.2 計画
8.2.3 Support	8.2.3 支援
8.2.4 Operation	8.2.4 運用
8.2.5 Performance evaluation	8.2.5 パフォーマンス評価
8.2.6 Improvement	8.2.6 改善
8.3 Sharing of information about risks and controls	8.3 リスクと管理に関する情報の共有
8.4 Meeting cyber-insurance policy obligations	8.4 サイバー保険契約の義務を満たす
Annex A Examples of ISMS documents for sharing	附属書A 共有するためのISMS文書の例
Bibliography	参考文献

2023.11.16 11:40 in 情報セキュリティ / サイバーセキュリティ, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続 | Permalink | Comments (0)
Tweet

英国 NCSC Annual Review 2023 国家サイバーセキュリティセンター2023年報告書 - 英国の重要インフラに対する永続的かつ重大な脅威を警告

こんにちは、丸山満彦です。

英国のサイバーセキュリティセンターが年次報告書を公表していますね。。。

重要インフラに対する脅威を強調していますね。。。HITCON CISO Summitに参加させてもらって、CISAやMITREの人と話す機会があり、彼らの話を聞いていると、可能性があれば検討する、それをどこまで実施できるかは、予算等の制約があるからその時に考える、、、という感じで考えていることがわかりました。。。とにかく、もれなく可能性は洗い出す。。。次に見積もりをして、優先順位をつけ、資源の制約に応じて、実施するための計画を立てて、実施していくという考え方なのだろうと思います。

その瞬間は、ありえないようなことということもあるでしょうが、網羅的に把握しておくこという考え方は、2000年問題の時に、米国のプロジェクトで経験したことに通じると感じました。。。

あっ、こちらは英国の報告書ですが、、、

● NCSC

・2023.11.14 NCSC warns of enduring and significant threat to UK's critical infrastructure

NCSC warns of enduring and significant threat to UK's critical infrastructure	NCSCは英国の重要インフラに対する永続的かつ重大な脅威を警告する
The NCSC's seventh Annual Review raises awareness of the increasingly unpredictable threat landscape.	NCSCの第7回年次レビューは、ますます予測不可能になる脅威の状況について認識を高めるものである。
・National Cyber Security Centre – part of GCHQ – uses Annual Review to raise awareness of increasingly unpredictable threat landscape.	・GCHQの一部である国家サイバーセキュリティセンターは、アニュアル・レビューで、ますます予測不可能になる脅威の状況について認識を高める。
・UK’s critical sectors facing 'enduring and significant’ threat, in part due to a rise of state-aligned groups and an increase in aggressive cyber activity.	・英国の重要部門は、国家と連携するグループの台頭や攻撃的なサイバー活動の増加もあり、「永続的かつ重大な」脅威に直面している。
・Review calls for continued collaboration with allies and industry in countering epoch-defining challenge posed by China.	・中国による画期的な挑戦に対抗するため、同盟国や産業界との協力の継続を求める。
・Rise of artificial intelligence and evolving geopolitical landscape highlighted as significant areas of risk to UK electoral processes.	・人工知能の台頭と進化する地政学的状況が、英国の選挙プロセスに対する重大なリスク領域として浮き彫りになった。
The UK's cyber chief has today signalled that the threat to the nation’s most critical infrastructure is ‘enduring and significant’, amid a rise of state-aligned groups, an increase in aggressive cyber activity, and ongoing geopolitical challenges.	英国のサイバー担当責任者は本日、国家と連携するグループの台頭、攻撃的なサイバー活動の増加、地政学的な課題が続く中、国家の最も重要なインフラに対する脅威は「永続的かつ重大」であると指摘した。
In its latest Annual Review, published today, the National Cyber Security Centre (NCSC) – which is a part of GCHQ – warned that the UK needs to accelerate work to keep pace with the changing threat, particularly in relation to enhancing cyber resilience in the nation’s most critical sectors.	GCHQの一部であるナショナル・サイバー・セキュリティ・センター（NCSC）は、本日発表した最新の年次レビューの中で、英国は脅威の変化に対応するため、特に国家の最重要部門におけるサイバー耐性を強化するための作業を加速させる必要があると警告した。
These sectors include those that provide the country with safe drinking water, electricity, communications, its transport and financial networks, and internet connectivity.	これらの部門には、安全な飲料水、電力、通信、輸送、金融ネットワーク、インターネット接続などを提供する部門が含まれる。
Over the past 12 months, the NCSC has observed the emergence of a new class of cyber adversary in the form of state-aligned actors, who are often sympathetic to Russia’s further invasion of Ukraine and are ideologically, rather than financially, motivated.	過去12ヶ月間、NCSCは、ロシアによるウクライナ侵攻に同調し、金銭的な動機よりもイデオロギー的な動機を持つ、国家と連携した新たなサイバー敵対者の出現を観察してきた。
In May this year, the NCSC issued a joint advisory revealing details of ‘Snake’ malware, which has been a core component in Russian espionage operations carried out by Russia’s Federal Security Service (FSB) for nearly two decades.	今年5月、NCSCは共同勧告を発表し、「Snake」マルウェアの詳細を明らかにした。このマルウェアは、ロシア連邦保安庁（FSB）が20年近く行ってきたロシアのスパイ活動の中核をなすものであった。
Today, the NCSC is reiterating its warning of an enduring and significant threat posed by states and state-aligned groups to the national assets that the UK relies on for the everyday functioning of society.	今日、NCSCは、英国が社会の日常的な機能のために依存している国家資産に対して、国家や国家と連携するグループによってもたらされる永続的かつ重大な脅威について、改めて警告を発している。
More broadly, the UK government remains steadfast in its commitment to safeguarding democratic processes. Recent milestones include the implementation of digital imprint rules under the Elections Act to foster transparency in digital campaigning, fortifying defences against foreign interference through the National Security Act, and advancing online safety measures through the implementation of the Online Safety Act.	より広範に言えば、英国政府は民主的プロセスの保護に対するコミットメントを堅持している。最近の画期的な出来事としては、デジタル選挙運動の透明性を促進するための選挙法に基づくデジタル刻印ルールの実施、国家安全保障法による外国からの干渉に対する防御の強化、オンライン安全法の実施によるオンライン安全対策の推進などが挙げられる。
NCSC CEO Lindy Cameron said:	NCSCのリンディ・キャメロン最高経営責任者（CEO）は次のように述べた：
“The last year has seen a significant evolution in the cyber threat to the UK – not least because of Russia’s ongoing invasion of Ukraine but also from the availability and capability of emerging tech.	「昨年は、英国に対するサイバー脅威が大きく進化した年であった。少なくともロシアによるウクライナ侵攻が進行しているためであるが、新興の技術が利用可能になり、能力が向上したためでもある。
“As our Annual Review shows, the NCSC and our partners have supported government, the public and private sector, citizens, and organisations of all sizes across the UK to raise awareness of the cyber threats and improve our collective resilience.	「我々の年次レビューが示すように、NCSCと我々のパートナーは、政府、公共部門、民間部門、市民、そして英国中のあらゆる規模の組織を支援し、サイバー脅威に対する認識を高め、我々の集団的な回復力を向上させてきた。
“Beyond the present challenges, we are very aware of the threats on the horizon, including rapid advancements in tech and the growing market for cyber capabilities. We are committed to facing those head on and keeping the UK at the forefront of cyber security.”	「現在の課題だけでなく、技術の急速な進歩やサイバー能力の市場の拡大など、地平線上にある脅威を強く意識している。我々は、これらの脅威に真っ向から立ち向かい、英国がサイバーセキュリティの最前線に立ち続けることを約束する。
Defending Democracy	民主主義を守る
The Annual Review highlights a new trend of malicious actors targeting the personal email accounts of high-profile and influential individuals involved in politics. Rather than a mass campaign against the public, the NCSC warns that there is a “persistent effort” by attackers to specifically target people who they think hold information of interest.	年次レビューは、政治に関わる著名人や影響力のある人物の個人メールアカウントを標的とする悪意ある行為者の新たな傾向を浮き彫りにしている。NCSCは、一般市民に対する大規模なキャンペーンというよりも、攻撃者が関心のある情報を持っていると思われる人物を特別に標的にする「持続的な努力」が行われていると警告している。
The NCSC assesses that personal as opposed to corporate accounts are being targeted as security is less likely to be managed in depth by a dedicated team. In response, earlier this year the NCSC launched a new opt-in service for high-risk individuals to be alerted if malicious activity on personal devices or accounts is detected and to swiftly advise them on steps to take to protect themselves.	NCSCは、セキュリティが専門チームによって深く管理されている可能性が低いため、企業アカウントではなく個人アカウントが狙われていると評価している。これを受け、NCSCは今年初め、リスクの高い個人を対象に、個人のデバイスやアカウントで悪質な活動が検出された場合に警告を発し、自らを守るための措置を迅速に助言する新しいオプトイン・サービスを開始した。
The Annual Review also highlights how the next general election will be the first to take place against the backdrop of significant advances in artificial Intelligence (AI), which will enable and enhance existing challenges.	年次レビューはまた、次の総選挙が人工知能（AI）の著しい進歩を背景に行われる初めての選挙であり、既存の課題を可能にし、強化するものであることを強調している。
More specifically, the NCSC assesses that large language models (LLMs) will almost certainly be used to generate fabricated content; that hyper-realistic bots will make the spread of disinformation easier; and that deepfake campaigns are likely to become more advanced in the run up to the next nationwide vote, scheduled to take place by January 2025.	具体的には、大規模な言語モデル（LLM）が捏造コンテンツの生成にほぼ確実に使用されること、超リアルなボットが偽情報の拡散を容易にすること、2025年1月までに予定されている次の全国投票に向けてディープフェイク・キャンペーンがより高度になる可能性が高いこと、などをNCSCは評価している。
The NCSC also assesses that democratic event, such as elections, almost certainly represent attractive targets for malicious actors and so organisations and individuals need to be prepared for threats, old and new.	NCSCはまた、選挙のような民主的なイベントは、悪意ある行為者にとって魅力的な標的であることはほぼ間違いないため、組織や個人は新旧の脅威に備える必要があると評価している。
In response, the Annual Review highlights the work of the NCSC and wider government in weaving resilience into the fabric of the UK’s democratic processes ahead of the next election, which includes the establishment of the Joint Election Security Preparedness (JESP) unit.	これを受けて、年次報告書では、NCSCと政府全体が、次の選挙に向けて英国の民主的プロセスにレジリエンス（回復力）を織り込んでいることを強調している。
China	中国
As part of broader risks to the UK’s cyber security, the Annual Review highlights that the NCSC continues to see evidence of China state-affiliated cyber actors deploying sophisticated capability to pursue strategic objectives which threaten the security and stability of UK interests.	英国のサイバーセキュリティに対するより広範なリスクの一環として、年次レビューでは、NCSCが引き続き、中国国家関連のサイバー関係者が、英国の利益の安全と安定を脅かす戦略的目標を追求するために、洗練された能力を展開している証拠を確認していることを強調している。
In May, the NCSC and international partner agencies issued a joint advisory highlighting how recent China state-sponsored activity had targeted critical infrastructure networks in the US and could be applied worldwide.	5月、NCSCと国際的なパートナー機関は共同勧告を発表し、最近の中国国家による活動が米国の重要インフラ・ネットワークを標的としており、世界中に適用される可能性があることを強調した。
In response to the ongoing challenge from China, the NCSC has called for continued collaboration with allies and industry to further develop its understanding of the cyber capabilities threatening the UK.	中国からの継続的な挑戦を受けて、NCSCは英国を脅かすサイバー能力に対する理解をさらに深めるため、同盟国や産業界との継続的な協力を呼びかけている。
Russia	ロシア
The Annual Review highlights how Russia continues to be one of the most prolific actors in cyberspace, dedicating substantial resources towards conducting operations around the globe and continuing to pose a significant threat to the UK.	アニュアル・レビューは、ロシアがサイバー空間における最も多作なアクターの1つであり続け、世界中で作戦を実施するために多大な資源を投入し、英国に重大な脅威を与え続けていることを強調している。
The NCSC has continued to observe cyber activity targeting Ukraine by Russia and Russia aligned actors, though these appear to by opportunistic rather than strategic. Overall, the impact on Ukraine has been less than many expected, in part due to well-developed Ukrainian cyber security and support from industry and international partners, which includes the UK’s own cyber programme.	NCSCは、ロシアおよびロシアと連携する行為者によるウクライナを標的としたサイバー活動を引き続き観測しているが、これらは戦略的というよりはむしろ日和見的なものと思われる。全体として、ウクライナへの影響は多くの予想を下回っているが、その一因は、ウクライナのサイバーセキュリティがよく発達していることと、英国独自のサイバープログラムを含む産業界や国際パートナーからの支援によるものである。
Elsewhere, Russian language criminals operating ransomware and ‘ransomware as a service’ models continue to be responsible for the most high-profile cyber attacks against the UK.	その他では、ランサムウェアや「サービスとしてのランサムウェア」モデルを操るロシア語犯罪者が、英国に対する最も有名なサイバー攻撃の原因となっている。
The ransomware model continues to evolve, with a sophisticated business model, facilitating the proliferation of capabilities through the ‘ransomware as a service’ model. This is lowering the barriers to entry and smaller criminal groups are adopting ransomware and extortion tactics which are making a huge impact.	ランサムウェアのモデルは進化を続けており、洗練されたビジネスモデルによって、「サービスとしてのランサムウェア」モデルによる能力の拡散が促進されている。これにより参入障壁が下がり、小規模な犯罪グループがランサムウェアや恐喝の手口を採用するようになり、大きな影響を与えている。
Iran	イラン
While less sophisticated than Russia and China, Iran continues to use digital intrusions to achieve their objectives, including through theft and sabotage.	ロシアや中国に比べれば洗練度は低いが、イランは窃盗や妨害行為など、目的を達成するためにデジタル侵入を利用し続けている。
In September 2022, the NCSC and international partners issued a cyber advisory highlighting that actors affiliated with Iran’s Islamic Revolutionary Guard Corps (IRFC) targeted known vulnerabilities to launch ransomware operations against multiple sectors, including critical national infrastructure organisations.	2022年9月、NCSCと国際的パートナーは、イランのイスラム革命防衛隊（IRFC）に所属する行為者が、重要な国家インフラ組織を含む複数のセクターに対してランサムウェア作戦を開始するために、既知の脆弱性を標的としたことを強調するサイバー勧告を発表した。
In January 2023, the NCSC warned of the threat from targeted spear-phishing campaigns and against UK organisations and individuals carried out by cyber actors based in Iran. Spear-phishing involves an attacker sending malicious links, for example via email, to specific targets to try to induce them to share sensitive information.	2023年1月、NCSCは、イランに拠点を置くサイバー行為者が英国の組織や個人を標的に行うスピアフィッシング・キャンペーンの脅威について警告した。スピアフィッシングとは、攻撃者が特定のターゲットに電子メールなどで悪意のあるリンクを送り、機密情報を共有させようとするものである。
The attacks were not aimed at the public but targets in specified sectors, including academia, defence, government organisations, NGOs, think-tanks, as well as politicians, journalists, and activists.	この攻撃は一般市民を狙ったものではなく、政治家、ジャーナリスト、活動家だけでなく、学術界、防衛、政府組織、NGO、シンクタンクなど、特定分野の標的を狙ったものであった。
NCSC Annual Review 2023	NCSC年次レビュー2023
Looking back at the National Cyber Security Centre's seventh year and its key developments and highlights, between 1 September 2022 and 31 August 2023.	2022年9月1日から2023年8月31日までのナショナル・サイバー・セキュリティ・センターの7年目を振り返り、その主な進展とハイライトを紹介する。

報告書は...

・NCSC Annual Review 2023

NCSC Annual Review 2023	NCSC 年次レビュー 2023
Overview	概要
Ministerial Foreword	大臣序文
Director GCHQ<	GCHQ長官
CEO Foreword	CEO序文
Timeline: 2022 - 2023	年表：2022年～2023年
Threats and risks	脅威とリスク
Case study: Russia - an acute and chronic cyber threat	ケーススタディ：ロシア - 急性と慢性のサイバー脅威
Resilience	レジリエンス
Case study: Securing the UK's critical national infrastructure	ケーススタディ：英国の重要な国家インフラの保護
Case study: Defending our democracy in a new digital age - at the ballot box and beyond	ケーススタディ：新しいデジタル時代の民主主義を守る - 投票所とその先で
Case study: The next generation of UK cyber security services	ケーススタディ：英国の次世代サイバー・セキュリティ・サービス
Ecosystem	エコシステム
Technology	テクノロジー
Case study: The cyber security of artificial intelligence	ケーススタディ：人工知能のサイバーセキュリティ
Afterword	あとがき

この表紙は、AIが作成したようですね。。。

その解説が興味深いです。。。

A note on our front cover, produced with AI	AIで制作された表紙について
The front cover of this year’s Annual Review, along with the illustrations included within, were created using an image generator, powered by artificial intelligence (AI). Working closely with a design agency, we wanted to explore the opportunities that AI presents as well as its limitations.	今年のアニュアル・レビューの表紙とその中に掲載されたイラストは、人工知能（AI）を利用したイメージ・ジェネレーターを使って制作された。デザイン・エージェンシーと緊密に協力し、AIがもたらす可能性とその限界を探ろうとした。
This effort has been an iterative one, as initial prompts used included ‘cyber security’, ‘future’ and ‘technology’. These prompts alone generated the stylised green coding, dark quasi-dystopian images and men in hoodies hunched over laptops which we have become accustomed to, reinforcing a stereotypical representation of cyber security.	この取り組みは反復的なもので、最初に使われたプロンプトには「サイバーセキュリティ」、「未来」、「テクノロジー」などがあった。これらのプロンプトだけでは、様式化された緑色のコーディング、暗い準ディストピア的なイメージ、ラップトップPCにかぶりつくパーカー姿の男性といった、私たちが慣れ親しんできたサイバーセキュリティのステレオタイプ的な表現を生み出してしまった。
When asked to show people within these images, biases were common, too.	これらのイメージの中にいる人々を示すよう求められたときにも、バイアスが一般的に見られた。
When we amended the prompts to incorporate ‘inclusion’, ‘open and resilient society’ and ‘diversity’, the images began to change – and with our design agency, we created a front cover which better aligns to the kind of future the NCSC aims to shape for the whole of society.	私たちは、プロンプトに「インクルージョン」、「オープンでレジリエントな社会」、「多様性」を盛り込むように修正したところ、イメージが変わり始めた。そして、デザインエージェンシーとともに、NCSCが社会全体のために形作ることを目指す、より良い未来に沿った表紙を作成した。
These tools will have their uses but what this exploration reinforces is that an inclusive, diverse, and open future of cyber security requires our collective intent – it will not happen organically, without effort.	これらのツールには使い道があるだろうが、この調査によって強化されたのは、包括的で多様性に富み、オープンなサイバーセキュリティの未来には、私たちの集団的な意思が必要だということだ。
Generative AI tools pose ethical, legal, and existential questions which society is grappling with, and will continue to grapple with, for years to come. While AI as an emerging technology presents a huge opportunity for global governments and wider society, 'in the context of increasing interest and intrigue from the UK public' it’s vital that those using these technologies understand the cyber security risks, as our CEO Lindy Cameron warned earlier this year.	生成的なAIツールは、倫理的、法的、実存的な問題を提起しており、社会はこれに取り組んでおり、今後も取り組み続けるだろう。新興テクノロジーとしてのAIは、世界政府やより広い社会にとって大きな機会をもたらす一方で、「英国国民の関心と興味が高まっている状況下では」、これらのテクノロジーを使用する人々がサイバーセキュリティのリスクを理解することが不可欠である、とリンディ・キャメロンCEOが今年初めに警告した。
It is incumbent on us all to use AI responsibly and for us at the NCSC, working with industry and governments around the world to ensure that cyber security is thoroughly considered during the development and adoption of new AI technologies.	私たちNCSCは、世界中の産業界や政府と協力し、新しいAI技術の開発・導入の際にサイバーセキュリティが十分に考慮されるよう取り組んでいる。

・[PDF]

過去の報告書

2022年

・2022.11.01 NCSC Annual Review 2022

Overview	概要
Ministerial Foreword	大臣序文
Director GCHQ	GCHQ長官
CEO Foreword	CEO序文
Timeline: 2021 - 2022	タイムライン：2021-2022年
Threats, Risks and Vulnerabilities	脅威、リスク、脆弱性
State threats	国家の脅威
Cyber crime	サイバー犯罪
Cyber incidents in the UK	英国におけるサイバー事件
Evolving Technical Threat	進化する技術的脅威
NCSC View: Future Threat Challenges	NCSCの見解今後の脅威の課題
Resilience	レジリエンス
Ransomware	ランサムウェア
Russia	ロシア
Resilience renewed	レジリエンスの刷新
Active Cyber Defence	積極的なサイバー防御
Resilience tools and services	レジリエンス・ツールとサービス
Critical national infrastructure and essential services	重要な国家インフラと必須サービス
NCSC View: Actions for a resilient UK	NCSCの見解レジリエントな英国のための行動
Technology	テクノロジー
National context	国家的背景
Technology standards	技術標準
Digital dependence	デジタル依存
Fragmentation	断片化
The NCSC's response	NCSCの対応
NCSC View: Future technology challenges	NCSCの見解今後の技術的課題
Ecosystem	エコシステム
Engaging young people	若者の参画
Further and higher education	高等教育
Innovation and growth	イノベーションと成長
Setting, certifying, assuring and testing standards, products and services	標準、製品、サービスの設定、認証、保証、試験
NCSC View: Future ecosystem challenges	NCSCの見解将来のエコシステムの課題

・[PDF]

2021年
・2021.11.17 (news) The NCSC Annual Review 2021 - a summary

・2021.11.17 (guidance) NCSC Annual Review 2021

Making the UK the safest place to live and work online

・[PDF]

2020年
・2020.11.03 (news) The NCSC Annual Review 2020

・・ (speach) Lindy Cameron on the NCSC's fourth Annual Review - The NCSC's new CEO introduces the Annual Review 2020.

・・[PDF] Annual Review 2020

・・[web] The Digital Annual Review 2020. <- お勧め

・2020.11.03 (news) NCSC defends UK from more than 700 cyber attacks while supporting national pandemic response

The NCSC's fourth Annual Review reveals its ongoing work against cyber attacks, support for the UK during the coronavirus pandemic.

2019年

・2019.10.23 (news) The NCSC Annual Review 2019

Developments and highlights from the last twelve months at the NCSC.

・・[PDF] Annual Review 2019

・・[web] The Digital Annual Review 2019

2018年

・2018.10.15 Annual Review 2018

The Annual Review 2018 - the story of the second year of operations at the National Cyber Security Centre.

・・[PDF] Annual Review 2018

・・[web] The Digital Annual Review 2018

2017年

・2017.10.02 The 2017 Annual Review

The 2017 Annual Review sets out the progress made within the first year of operations at the National Cyber Security Centre.

・・[PDF] 2017 Annual Review

去年のをブログに載せるのを忘れていましたね。。。

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.11.19 英国 NCSC Annual Review 2021 国家サイバーセキュリティセンター2021年報告書

・2020.11.09 英国 NCSC Annual Review 2020 国家サイバーセキュリティセンター2020年報告書

2023.11.16 07:24 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 法律 / 犯罪, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in AI/Deep Learning, in 安全保障 | Permalink | Comments (0)
Tweet

OECD 主要国でのプライバシー・ガイドラインの実施状況

こんにちは、丸山満彦です。

OECDが、主要国でのプライバシー・ガイドラインの実施状況についての報告書をまとめています。アンケートをとっていてところどころ、興味深い内容がありますね。。。

DFFTを考える上でも参考になることが、あるかもですね。。。

● OECD

・2023.11 09 Report on the implementation of the OECD Privacy Guidelines

Report on the implementation of the OECD Privacy Guidelines

OECDプライバシー・ガイドライン実施報告書

First adopted in 1980, the OECD Privacy Guidelines are the first internationally agreed-upon set of privacy principles. They are framed in concise, technology-neutral language and have significantly influenced legislation and policy in OECD member countries and beyond. In 2018, the OECD initiated a comprehensive review of the Privacy Guidelines, which included a survey of Adherents, an ad hoc group of experts, and several workshops to explore the main challenges for privacy and personal data protection in an ever-evolving digital environment. This report presents the review's findings, confirming the continued importance and relevance of the Privacy Guidelines. However, it also highlights persistent and emerging implementation challenges and provides recommendations for addressing them.

1980年に初めて採択されたOECDプライバシー・ガイドラインは、国際的に合意された最初のプライバシー原則である。このガイドラインは、簡潔で技術に中立的な言葉で枠組みされており、OECD加盟国およびそれ以外の国の法律や政策に大きな影響を与えてきた。2018年、OECDはプライバシー・ガイドラインの包括的なレビューを開始した。これには、被申請人に対する調査、専門家によるアドホック・グループ、および進化し続けるデジタル環境におけるプライバシーと個人データ保護の主な課題を探るための複数のワークショップが含まれる。本報告書は、プライバシー・ガイドラインの継続的な重要性と妥当性を確認するレビューの結果を提示する。しかし、同時に、持続的かつ新たな実施上の課題も浮き彫りにし、それらに対処するための提言も提供している。

・[PDF]

・[DOCX] 仮訳

2023.11.16 06:24 in 個人情報保護 / プライバシー, in 法律 / 犯罪, in AI/Deep Learning | Permalink | Comments (0)
Tweet

2023.11.15

NATO CCDCOE 自律的サイバー能力と悪意あるサイバー作戦に対する一方的自助手段

こんにちは、丸山満彦です。

NATOのCCDCOEが、サイバー攻撃があった場合に、AI等を利用して自動的に反撃することの可能性について検討をした論考を公表していますね。。。

日本では、サイバー攻撃があった場合の反撃（あるいは、無力化）についての議論がされています。憲法解釈とも関係してくるので、簡単ではない部分もあるので、慎重な議論が必要なのでしょう。

こちらは、その反撃を自動的に行えいうるのか？という感じですかね。。。

国際法的な部分はわからないことが多いのですが、大変参考になります。。。

● NATO CCECOE

・2023.11 Autonomous cyber capabilities and unilateral measures of self-help against malicious cyber operations

Autonomous cyber capabilities and unilateral measures of self-help against malicious cyber operations

自律的サイバー能力と悪意あるサイバー作戦に対する一方的自助手段

Autonomous cyber capabilities – that is, cyber capabilities able to operate without real-time human intervention – are currently being researched and developed by several states as a result of the increasing use of artificial intelligence and autonomy in the military domain. Whereas these capabilities are expected to be mainly employed to respond to malicious cyber operations, their use for defensive purposes raises some legal challenges that deserve to be explored. This paper seeks to analyse whether autonomous cyber capabilities can be used in compliance with international law to respond to malicious cyber operations using unilateral measures of self-help. After briefly introducing the notion of autonomous cyber capabilities and their current state of technological development, this paper will consider whether autonomous cyber capabilities can be used in compliance with the law regulating self-defence, countermeasures, plea of necessity and retorsions. As will be shown, their potential use in circumstances precluding wrongfulness (i.e., self-defence, countermeasures and plea of necessity) is highly problematic, as autonomous cyber capabilities seem to be currently unable to identify the objective and subjective element of the malicious cyber operation (whether it amounts to an internationally wrongful act and whether it is attributable to a state), and to calibrate their response in the light of the principles of necessity and proportionality. Yet, it will be suggested that states may still cautiously use autonomous cyber capabilities to carry out acts of retorsion.

自律的サイバー能力、すなわち、リアルタイムで人間の介入なしに運用できるサイバー能力は、軍事領域における人工知能と自律性の利用の増加の結果として、現在いくつかの国家によって研究開発されている。これらの能力は、主に悪意あるサイバー作戦に対応するために採用されると予想されるが、防衛目的での使用は、検討に値するいくつかの法的課題を提起している。本稿では、一方的な自助手段を用いて悪意あるサイバー作戦に対処するために、自律的サイバー能力を国際法に従って使用することが可能かどうかを分析する。自律的サイバー能力の概念とその技術開発の現状を簡単に紹介した後、本稿では、自律的サイバー能力が、自衛、対抗措置、必要性の訴え、退却を規制する法律を遵守して使用できるかどうかを検討する。示されるように、不正行為（すなわち、自衛、対抗措置、必要性の主張）を排除する状況において、自律的サイバー能力を使用する可能性は、非常に問題がある。というのも、自律的サイバー能力は、現在のところ、悪意のあるサイバー操作の客観的・主観的要素（国際的に不正な行為に相当するかどうか、国家に帰属するかどうか）を特定することができず、必要性と比例性の原則に照らして対応を調整することができないように思われるからである。とはいえ、国家が自律的なサイバー能力を用いて報復行為を行うことには慎重であることが示唆される。

・[PDF]

・[DOCX] 仮訳

2023.11.15 05:49 in 情報セキュリティ / サイバーセキュリティ, in 法律 / 犯罪, in AI/Deep Learning, in 安全保障 | Permalink | Comments (0)
Tweet

2023.11.14

英国 Ada Lovelace 協会ミッション・クリティカル - AIの安全性に関する関連分野からの教訓 (2023.10.31)

こんにちは、丸山満彦です。

英国 Ada Lovelace 協会がAIの安全性に関する論考を公開していますね。。。ここは、過去から多くのAIに関する論考等を公開していますね。。。

他の分野との比較など、興味深い分析だと思いました。。。

あと、AIの保証はどのように実現できるのか、、、というのも気になります。。。技術的な実現方法はわかるのですが、社会実装方法をどうするか。。。という点で気になる感じですね。。。

2023.11.01-02に英国でAI安全サミットが開催され、ブレッチリー宣言がだされるなど、活躍が目立ちますね。。。英国はAIの安全性の分野で世界の主導をとろうとしているのでしょうね。。。

● Ada Lovelace Institute

・2023.10.31 Mission critical: Lessons from relevant sectors for AI safety

Mission critical: Lessons from relevant sectors for AI safety	ミッション・クリティカル - AIの安全性に関する関連分野からの教訓
AI systems are rapidly becoming ubiquitous as they are integrated into almost every aspect of our lives: from schools to public services, and from our phones to the cars we drive. Organisations across all sectors of the global economy are looking to develop, deploy and make use of the potential of these technologies. At the same time, we are already seeing considerable harms caused by the use of AI systems: ranging from discrimination, misuse and system failure, to socioeconomic and environmental harms.	AIシステムは、学校から公共サービス、携帯電話から自動車に至るまで、私たちの生活のほとんどあらゆる場面に組み込まれ、急速にユビキタス化している。世界経済のあらゆる部門の組織が、こうしたテクノロジーの可能性を開発し、展開し、活用しようとしている。同時に、私たちはすでに、AIシステムの使用によって引き起こされるかなりの害を目の当たりにしている。差別、誤用、システム障害から、社会経済的、環境的な害に至るまで、その範囲は多岐にわたる。
The UK Government’s announcement of an ‘AI Safety Summit’ – taking place on 1 and 2 November 2023 – has led to a surge of public interest in these topics. As world leaders and leading figures from industry and civil society descend on Bletchley Park, the words ‘AI safety’ are likely to feature prominently – but this term is a contested one, with no consensus definition.	英国政府が2023年11月1日と2日に開催する「AIセーフティ・サミット」を発表したことで、これらのテーマに対する社会的関心が急上昇している。世界のリーダーや産業界、市民社会から有力者がブレッチリー・パークに集結する中、「AIの安全性」という言葉が大きく取り上げられることになりそうだ。
This policy briefing explores approaches to regulation and governance around other emerging, complex technologies and sets out a roadmap to securing governance that ensures AI works for people and society.	本政策ブリーフィングは、他の新たな複雑な技術をめぐる規制とガバナンスのアプローチを検討し、AIが人々と社会のために機能することを保証するガバナンスを確保するためのロードマップを示すものである。

PDFで読まずに普通にHTMLで読んだ方が読みやすいように思いますが、一応...(^^)

・[PDF]

背景...

Background	背景
The Government’s agenda for the AI Safety Summit is focused primarily on technical methods for avoiding hypothetical ‘extreme risks’ that could emerge from the misuse or loss of control of advanced ‘frontier’ AI systems. While this focus has broadened somewhat to include other types of risk in the weeks leading to the Summit, many within industry, academia and civil society have rejected the Summit’s focus as overly narrow and insufficiently attentive to the wide range of AI harms people are currently experiencing – without adequate protection.1	AIセーフティ・サミットにおける政府の議題は、主に、先進的な「フロンティア」AIシステムの誤用や制御不能から生じうる仮想的な「極度のリスク」を回避するための技術的手法に焦点が当てられている。この焦点は、サミット開催までの数週間で、他の種類のリスクも含むようにいくらか広がったが、産業界、学界、市民社会の多くは、サミットの焦点は過度に狭く、適切な保護なしに人々が現在経験している幅広いAI被害への配慮が不十分であるとして拒否している1。
In other domains of cross-economy importance – such as medicine, transport and food – we take a more expansive approach to governance. Regulation in these sectors is designed to ensure that systems and technologies function as intended, that the harms they present are proportionate, and that they enjoy public trust. In this way, regulation is an enabler of innovation – rather than an inhibitor – as it ensures products and services are safe for people to use.2	医療、運輸、食品など、経済横断的に重要な他の領域では、私たちはガバナンスに対してより広範なアプローチをとっている。これらの分野における規制は、システムや技術が意図したとおりに機能すること、それらがもたらす危害が適切なものであること、そして社会から信頼されることを保証するために設計されている。このように、規制は、製品やサービスが人々にとって安全に使用されることを保証するため、イノベーションを阻害するものではなく、むしろ促進するものなのである2。
As we use AI systems more and more in our daily lives, they begin to form a part of our critical products and services. This means failures in technology design and deployment can cascade down into the contexts they are used in, and lead to severe consequences.	日常生活でAIシステムの利用が増えるにつれ、AIシステムは重要な製品やサービスの一部を構成するようになる。これは、技術の設計と展開における失敗が、それらが使用されるコンテクストにまで連鎖し、深刻な結果につながる可能性があることを意味する。
Recent advances in foundation models – defined as a single AI model capable of a wide range of tasks – exacerbate this challenge as AI is integrated into the digital economy. These models are capable of a range of general tasks (such as text synthesis, image manipulation and audio generation). Notable examples are OpenAI’s GPT-3 and GPT-4, the foundation models that underpin the conversational chat agent ChatGPT. They provide a foundation on which downstream products and services can be created.	基礎モデル（幅広いタスクに対応できる単一のAIモデルとして定義される）の最近の進歩は、AIがデジタル経済に統合されるにつれて、この課題を悪化させている。これらのモデルは、さまざまな一般的なタスク（テキスト合成、画像操作、音声生成など）に対応している。注目すべき例として、OpenAIのGPT-3とGPT-4がある。これは会話型チャットエージェントChatGPTを支える基盤モデルである。これらは、下流の製品やサービスを生み出すための基盤を提供する。
If AI systems become more integrated into different parts of our lives, our AI governance institutions will need to reflect the role AI plays in our societies and economies. This policy briefing provides an introduction to how regulation operates in other sectors, laying out early answers to some key questions that Ada will explore in the coming months:	AIシステムが私たちの生活の様々な部分に統合されるようになれば、AIガバナンス機構は、AIが私たちの社会や経済で果たす役割を反映する必要がある。このポリシー・ブリーフィングは、他のセクターにおける規制の運用方法について序文を提供し、エイダが今後数ヶ月で探求するいくつかの重要な疑問に対する初期の答えを示すものである：
・What roles are different types of AI likely to play in our future economy and society?	・将来の経済社会において、様々なタイプのAIはどのような役割を果たすのか？
・What are the goals of regulation in other sectors that play a similar role?	・同じような役割を果たす他のセクターにおける規制の目標は何か？
・What regulatory mechanisms are used to achieve these goals?	・これらの目標を達成するために、どのような規制メカニズムが用いられるのか？
・What are the key features of these regulatory systems that enable their success?	・これらの規制システムの成功を可能にする主な特徴は何か？
Regulation in other sectors can inspire AI regulation, either by providing examples of best practices or examples of regulatory failures that should be avoided in the future. We hope that this briefing can inform conversations at Bletchley Park and elsewhere, during the Summit and into the future, and provide constructive lessons for the announcements brought forward by Government.	他部門の規制は、ベストプラクティスの例や、今後避けるべき規制の失敗例を提供することで、AI規制を鼓舞することができる。このブリーフィングが、ブレッチリー・パークや他の場所、サミット期間中、そして将来にわたる会話に有益な情報を提供し、政府による発表に建設的な教訓を提供することを願っている。

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.10.30 英国科学技術革新省フロンティアAI：その能力とリスク - ディスカッション・ペーパー

・2023.08.25 英国 AIサミットは11月1日2日にブレッチリー・パークで開催

・2023.08.20 英国人工知能にゲームをさせることからの学び

・2023.08.17 英国国家サイバー戦略 2022 の進捗報告 (2022-2023)

・2023.08.15 英国年内のAI安全サミットに向けて陣頭指揮をとる2名を任命し、Aiヘルスケア研究に1300万£（約24億円）を拠出... (2023.08.10)

・2023.07.20 英国 Ada Lovelace 協会英国のAI規制、AIリスクなど4つの報告書

・2023.07.18 英国科学技術省データ倫理・イノベーションセンターブログ AI保証の専門家が他の領域から学ぶべき6つの教訓 (2023.07.12)

・2023.07.09 英国著作権と人工知能 (AI) に関する実施規範をつくるようですね。。。(2023.06.29)

・2023.07.07 英国 Ada Lovelace 協会 AIサプライチェーンにおける説明責任の分担 (2023.06.29)

・2023.06.19 英国科学技術省データ倫理・イノベーションセンター「AIシステムをより公平にするために、人口統計データへの責任あるアクセスを可能にする」

・2023.06.18 英国科学技術省データ倫理・イノベーションセンター AI保証事例集 (2023.06.07)

・2022.12.10 英国データ倫理・イノベーションセンター「業界温度チェック：AI保証の障壁と実現要因」

・2023.04.01 英国意見募集 AI規制白書

・2023.03.10 英国 ICO Blog 国際女性デーに向けて...AIによる差別への対処が重要な理由

・2022.11.06 英国データ倫理・イノベーションセンターデータおよびAIに対する国民の意識：トラッカー調査（第2回）

・2022.10.29 英国 ICO 雇用慣行とデータ保護：労働者の健康情報案に関するコンサルテーション (2022.10.27)

・2022.09.25 英国 Ada Lovelace 協会欧州におけるAI責任：EUのAI責任指令の先取り

・2022.06.18 英国 Ada Lovelace 協会: EUのAI法について説明 (2022.04.11)

・2021.06.22 人工知能技術に芸術と人文科学はどのように貢献できるか？ by John Tasioulas（オックスフォード大学のAI倫理研究所所長）

・2020.05.01 （人工知能 AI）ブラックボックスの検証：アルゴリズムシステムを評価するためのツール - アルゴリズムの監査・影響評価のための共通言語の特定

2023.11.14 06:12 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in ESG/CSR, in 内部統制 / リスクマネジメント, in AI/Deep Learning | Permalink | Comments (0)
Tweet

スイス ETH Zürich ハイブリッド戦争の評価：事実と虚構を分ける

こんにちは、丸山満彦です。

スイス連邦工科大学にある研究機関、ETH Zürich (wikipedia)でハイブリッド戦の論考がでていますね。。。

偽情報の流布による混乱を生じさせることにより競合相手より相対的に有利な状況に持ち込むことは、戦争状態に至る前の状況でも十分に活用されるだろうということで、グレー状況での偽情報の武器化？に注目があつまっているのかもしれません。。。特にSNSによる拡散力が大きい現在では。。。もちろん、生成AIによるもっともらしい情報が大量に生成できるようになっているのも大きな変化点かもしれませんね。。。

この文書では Hybrid Warとかいているので、ハイブリッド戦争と訳しています。。。

● ETH Zürich

・CSS Analyses in Security Policy No. 332, November 2023

・2023.11 Assessing Hybrid War: Separating Fact from Fiction

Assessing Hybrid War: Separating Fact from Fiction	ハイブリッド戦争の評価：事実と虚構を分ける
Fear of “Hybrid War”, a blanket term describing gray zone aggression short of all-out war, remains widespread. Many expect information technology to enable revolutionary gains in this strategic space. Yet, Hybrid War’s track record does not support these expectations. Consequently, it is crucial to conduct a more systematic assessment of the different instruments used under this umbrella term.	ハイブリッド戦争」とは、全面戦争に至らないグレーゾーンの侵略を表す包括的な用語であり、その恐怖は依然として広がっている。多くの人々は、情報技術によってこの戦略領域で革命的な利益が得られると期待している。しかし、ハイブリッド戦争の実績は、こうした期待を裏付けるものではない。したがって、この包括的な用語の下で使用されるさまざまな手段について、より体系的な評価を行うことが極めて重要である。
By Lennart Maschmeyer	レナート・マッシュマイヤー
For close to a decade, analysts and defense planners have now warned of the looming menace of “Hybrid War”. Yet, it remains strikingly unclear which instruments of power politics this involves, and the extent of a threat Hybrid War actually poses. Nonetheless, Western states have expended significant resources to fend off this threat. This year, the EU has announced an entire mission in Moldova tasked with countering “hybrid threats”, its first mission of this kind. Hence, it is both urgent and important to assess these threats.	この10年近く、アナリストや国防プランナーは「ハイブリッド戦争」の脅威が迫っていることを警告してきた。しかし、ハイブリッド戦争がどのようなパワーポリティクスの手段によるものなのか、またハイブリッド戦争が実際にどの程度の脅威をもたらすものなのかは、依然として不明確である。それにもかかわらず、西側諸国はこの脅威を退けるために多大な資源を費やしてきた。今年、EUは「ハイブリッドの脅威」に対抗することを任務とするモルドバでのミッション全体を発表したが、これはこの種のミッションとしては初めてのことである。したがって、こうした脅威を評価することは緊急かつ重要である。
Unfortunately, Hybrid War is notoriously ill-defined. Both policy debates and academia use it mostly as an umbrella term for all kinds of aggression short of all-out warfare. These include, but are not limited to, disinformation, sabotage, subversion, and cyber operations. Russia’s takeover and illegal annexation of Crimea in 2014, its support of armed separatists in Ukraine’s Donbass region (including through unmarked troops of “little green men”), and a large-scale cyber campaign were perceived to demonstrate the power of these instruments. Academic interest skyrocketed and many scholars have argued that such lowintensity aggression would become the future of warfare. Policymakers picked up these arguments and associated threat perceptions, and have shifted strategy and defense priorities accordingly.	残念ながら、ハイブリッド戦争は定義が不明確なことで知られている。政策論議でも学界でも、全面戦争に至らないあらゆる種類の侵略の包括的な用語として使われることがほとんどである。これには偽情報、妨害工作、破壊工作、サイバー作戦などが含まれるが、これらに限定されるものではない。ロシアによる2014年のクリミア占領と違法な併合、ウクライナのドンバス地方における武装分離主義者の支援（「小さな緑の男」の無名の軍隊を通じた支援も含む）、大規模なサイバーキャンペーンは、こうした手段の威力を示すものと受け止められた。学術的な関心は急上昇し、多くの学者がこのような低強度侵略が戦争の未来になると主張した。政策立案者はこうした議論と関連する脅威認識を受け止め、それに応じて戦略と防衛の優先順位を変えてきた。
A Technological Revolution?	技術革命？
Aggression short of war itself is nothing new. States have long employed instruments in the “gray zone” between war and peace. Prevailing conceptions of Hybrid War assume that the use of information technologies makes gray zone aggression more effective. Specifically, there is an expectation that information technologies expand the speed, scale, and intensity of gray zone conflict through cyber and social media influence operations. Cyber operations offer the ability to reach across borders to sabotage infrastructure, cause economic havoc, and disrupt communications at a moment’s notice. Meanwhile, social media influence campaigns have the potential to sow panic, create confusion, and sway public opinion to change voting outcomes. Consequently, many expect states an now achieve outcomes that were not previously possible without going to war.	戦争そのものを伴わない侵略は、目新しいものではない。国家は長い間、戦争と平和の間の「グレーゾーン」で手段を用いてきた。ハイブリッド戦争に関する一般的な概念は、情報技術の使用がグレーゾーンでの侵略をより効果的なものにすると想定している。具体的には、情報技術はサイバーやソーシャルメディアによる影響力作戦を通じて、グレーゾーン紛争のスピード、規模、激しさを拡大させるという期待がある。サイバー作戦は、国境を越えて、瞬時にインフラを破壊し、経済的大混乱を引き起こし、コミュニケーションを混乱させる能力を提供する。一方、ソーシャルメディアの影響力キャンペーンは、パニックを引き起こし、混乱を生じさせ、世論を動かして投票結果を変える可能性を秘めている。その結果、多くの国家は、戦争に踏み切らなければ以前は不可能だった成果を達成できると期待している。
Reflecting this common threat perception, states have adjusted their defensive strategies and priorities towards countering Hybrid War. NATO has made countering “hybrid threats” a core priority of its strategy in 2015.These threats are understood as a combination of “military and non-military as well as covert and overt means, including disinformation, cyber-attacks, economic pressure, deployment of irregular armed groups and use of regular force”. The recent establishment of a European Partnership Mission in Moldova, whose priority is to defend against hybrid threats from Russia, further suggests that policymakers clearly perceive Hybrid War as a significant threat, despite a lack of clear definition. While there are no official figures for budget allocations to this specific threat, given the prioritization of the concept in strategy and official statements, it is reasonable to expect expenditure to be significant. The current debate on adding Hybrid War as a fourth core task to NATOs mission further underlines this point. Even Russia, ostensibly an expert in hybrid warfare, has justified a 70 per cent increase in military spending in 2023 by claiming the need to counter Hybrid War being “unleashed by the West”. Meanwhile, China has made influence operations, or cognitive warfare in military terms, a key component of its doctrine in order to make up for its forces’ lack of wartime fighting experience.	このような共通の脅威認識を反映して、各国はハイブリッド戦争に対抗するための防衛戦略と優先順位を調整してきた。NATOは2015年、「ハイブリッドの脅威」に対抗することを戦略の中核的な優先事項としている。これらの脅威は、「軍事的・非軍事的、また偽情報、サイバー攻撃、経済的圧力、非正規武装集団の展開、正規の武力行使を含む、秘密裏の手段とあからさまな手段」の組み合わせとして理解されている。最近、ロシアからのハイブリッドな脅威から身を守ることを最優先とする欧州パートナーシップ・ミッションがモルドバに設置されたことは、明確な定義がないにもかかわらず、政策立案者たちがハイブリッド戦争を重大な脅威と明確に認識していることを示唆している。この具体的な脅威に対する予算配分の公式な数字はないが、戦略や公式声明でこの概念が優先されていることを考えれば、その支出は相当なものであると予想するのが妥当である。NATOの任務に第4の中核任務としてハイブリッド戦争を加えるという現在の議論は、この点をさらに強調している。表向きはハイブリッド戦の専門家であるロシアでさえ、「西側諸国によって解き放たれた」ハイブリッド戦争に対抗する必要性を主張することで、2023年の軍事費の70％増を正当化している。一方、中国は自国軍の戦時戦闘経験の不足を補うため、影響力作戦、軍事用語でいう認知戦をドクトリンの重要な構成要素にしている。
Prevailing conceptions of Hybrid War assume that the use of information technology makes gray zone aggression more effective.	ハイブリッド戦争に関する一般的な概念は、情報技術の使用によってグレーゾーンでの侵略がより効果的になると想定している。
An Underwhelming Track Record	圧倒的な実績
In contrast to prevailing fears, however, Hybrid War’s actual track record is rather modest. The biggest success, by far, is Russia’s 2014 takeover of Crimea. However, according to recent research, cyber operations and social media disinformation campaigns played no role in this feat. Rather, this was a traditional subversive operation without any cyber component. It involved subversive proxy actors, primarily fringe religious groups, which handlers from Moscow had groomed over years. Conversely, the Russian cyber campaign against Ukraine that followed in its wake largely fell short of producing measurable strategic gains. Hence, expectations of a technologically enhanced revolution in conflict have not been confirmed.	しかし、一般的な懸念とは対照的に、ハイブリッド戦争の実際の実績はかなり控えめである。最大の成功は、ロシアによる2014年のクリミア占領である。しかし、最近の調査によると、サイバー作戦やソーシャルメディア偽情報キャンペーンは、この偉業に何の役割も果たしていない。むしろ、これはサイバー要素を含まない伝統的な破壊活動だった。この作戦には、主にフリンジ宗教団体などの破壊的な代理活動家が関与しており、モスクワのハンドラーが何年もかけて育てたものだった。逆に、ウクライナに対するロシアのサイバーキャンペーンは、戦略的な成果を上げるには至らなかった。したがって、技術的に強化された紛争革命への期待は裏切られたわけではない。
On the contrary, if Hybrid War allows states to achieve strategic goals that were not previously possible without going to war, then the logical assessment of Russia’s “Hybrid War” against Ukraine since 2014 is that it failed since it pursued a full-scale invasion in 2022. One explanation is that Russia failed to achieve its strategic goals, including its primary goal of reversing Ukraine’s pro-Western foreign policy. In that case, the core expectation of Hybrid War theorists is proven false by the very conflict that made the concept so popular. Russia went to war precisely because aggression short of full-scale war faltered.	逆に、ハイブリッド戦争によって、国家が戦争に踏み切らなければ以前は不可能だった戦略的目標を達成できるようになるのであれば、2014年以降のロシアのウクライナに対する「ハイブリッド戦争」は、2022年に全面的な侵攻を目指したために失敗したというのが論理的な評価となる。1つの説明は、ロシアがウクライナの親欧米外交政策を逆転させるという第一目標を含む戦略目標を達成できなかったということである。その場合、ハイブリッド戦争理論家の核心的な期待は、その概念をこれほど流行らせた紛争そのものによって誤りであることが証明される。ロシアが戦争に踏み切ったのは、まさに全面戦争に至らない侵略が頓挫したからである。
Alternatively, one might argue that Hybrid War alone is incapable of achieving Russia’s strategic goals. This would imply that Hybrid War is nothing but “old school” gray zone conflict, making the term irrelevant. Yet, the fear of Hybrid War remains very much alive. Even Russia’s initial theory of victory significantly relied on “hybrid” means such as sleeper cells, corrupt local officials, and commando forces, which failed in the face of unexpectedly effective resistance by Ukraine. Importantly, the effectiveness of Ukraine’s resistance also defies prevailing fears that hybrid threats erode the cohesion of societies and their capacity to resist aggression over the long term.	あるいは、ハイブリッド戦争だけではロシアの戦略目標を達成できないと主張する人もいるかもしれない。この場合、ハイブリッド戦争は「旧式の」グレーゾーン紛争にすぎず、ハイブリッド戦争という言葉は無意味だということになる。しかし、ハイブリッド戦争への懸念は依然として根強い。ロシアの当初の勝利理論でさえ、スリーパー細胞、腐敗した地方公務員、コマンド部隊といった「ハイブリッド」な手段に大きく依存していたが、ウクライナの予想外に効果的な抵抗の前に失敗した。重要なのは、ウクライナの抵抗が効果的であったことで、ハイブリッドの脅威が社会の結束力を低下させ、長期にわたって侵略に抵抗する能力を失わせるという一般的な懸念が覆されたことである。
If anything, one could make a strong case that Russia’s persistent aggression has enhanced Ukraine’s resilience by “training” its defenders in fending off cyber-attacks among other things. Of course, Ukraine has also received significant assistance from its Western partners. Still, while the precise causes of Ukraine’s capacity to resist still require more research, there is a striking absence of “smoking gun” evidence proving the success of Hybrid War. This situation is not unique to Ukraine.	むしろ、ロシアの執拗な侵略が、サイバー攻撃をかわすための防衛者の「訓練」などを通じて、ウクライナのレジリエンスを高めてきたと強く主張することができるだろう。もちろん、ウクライナは西側のパートナーからも多大な援助を受けている。それでもなお、ウクライナの抵抗力の正確な原因についてはさらなる研究が必要だが、ハイブリッド・ウォーの成功を証明する「決定的証拠」は驚くほど欠如している。こうした状況はウクライナに限ったことではない。
In 2007, Russian hacking groups mounted a series of disruptive cyber operations against Estonia in retaliation for the removal of a Soviet statue in an Estonian town. At the time, this was heralded as the advent of cyberwar, illustrating its grave threat to Western societies. Yet, these operations had little measurable impact on Estonia’s economy, government, or society and are best classified as temporary nuisances. Instead of eroding Estonia’s strength, this aggression galvanized its resilience and directly contributed to the establishment of NATO’s Cooperative Cyber Defence Centre of Excellence in its capital Tallinn, which significantly enhanced not only Estonia’s but also NATO’s cyber capabilities.	2007年、ロシアのハッキング集団は、エストニアの町のソ連像撤去への報復として、エストニアに対して一連の破壊的サイバー作戦を展開した。当時、これはサイバー戦争の到来と喧伝され、西側社会への重大な脅威を示した。しかし、これらの作戦は、エストニアの経済、政府、社会にほとんど測定可能な影響を与えず、一時的な迷惑行為に分類するのが最も適切である。この攻撃はエストニアの国力を低下させるどころか、レジリエンスを活性化させ、首都タリンにNATOのCooperative Cyber Defence Centre of Excellenceが設立され、エストニアだけでなくNATOのサイバー能力を大幅に強化することに直接貢献した。
Russia’s meddling in the 2016 US Presidential Elections offers a plausible case of a successful hybrid warfare operation. Moscow combined the use of cyber operations to hack and leak the Democratic National Convention’s emails, as well as the emails of Hillary Clinton’s campaign manager John Podesta, social media disinformation to sway voters and exacerbate polarization, and traditional subversion by placing assets in Donald Trump’s campaign and subsequent administration. Through these means, Russia may have contributed to the election win of its preferred candidate. A vast amount of alarmist news headlines, followed by dire warning from policymakers and a flurry of academic research mapping purported troll networks on social media suggest this operation was a great success. Yet, despite the intense interest in and research done on this case, there is a striking absence of evidence indicating measurable contributions of these Russian activities toward political outcomes, namely voting outcomes. In fact, a recent study by New York University showed that exposure to Russian influence operations via Twitter did not change attitudes or voting behavior. When assessing Russian hybrid warfare activities over the past decade, there is a striking lack of clear evidence of its effectiveness compared to mounting evidence of its limitations.	ロシアによる2016年米国大統領選挙への干渉は、ハイブリッド戦の成功例としてもっともらしい事例を提示している。モスクワは、民主党全国大会のメールやヒラリー・クリントンのキャンペーン・マネージャー、ジョン・ポデスタのメールをハッキングして流出させるためのサイバー作戦、有権者を動かして分極化を悪化させるためのソーシャルメディア偽情報、そしてドナルド・トランプのキャンペーンとその後の政権に資産を配置することによる伝統的な破壊工作を組み合わせた。これらの手段を通じて、ロシアは自国の支持する候補者の当選に貢献した可能性がある。憂慮に満ちた膨大な量のニュースの見出し、それに続く政策立案者からの悲痛な警告、ソーシャルメディア上のトロール・ネットワークとされるものをマッピングする学術研究の慌ただしさは、この作戦が大成功であったことを示唆している。しかし、この事件に対する強い関心と研究にもかかわらず、ロシアのこうした活動が政治的成果、すなわち投票結果に測定可能な貢献をしたことを示す証拠は驚くほど欠如している。事実、ニューヨーク大学による最近の研究では、ツイッターを通じたロシアの影響力工作へのエクスポージャーは、態度や投票行動を変化させなかったことが示されている。過去10年間のロシアのハイブリッド戦の活動を評価するとき、その限界を示す証拠の積み重ねに比べ、その有効性を示す明確な証拠が著しく不足している。
A More Systematic Assessment	より体系的な評価
This situation underlines the urgent need for a more systematic assessment of the strategic role of the diverse gray zone instruments commonly grouped under the concept of Hybrid War. The first crucial step is to identify and distinguish these different instruments. There are multiple relevant types of operations and corresponding effects.	このような状況は、ハイブリッド戦争という概念で一般的にグループ化されている多様なグレーゾーンの手段の戦略的役割について、より体系的な評価が緊急に必要であることを強調している。最初の重要なステップは、こうしたさまざまな手段を識別し、区別することである。関連する作戦の種類とそれに対応する効果は複数ある。
First, influence operations aim to sway public opinion as well as the perception of political leaders. The desired goal is to manipulate political decision-making and outcomes, as well as societal trust and cohesion. Second, sabotage degrades and damages infrastructure and material capabilities. The desired goal is to weaken the adversary and shift the balance of power in one’s favor. Third, subversion is a specific way to achieve some of these goals through the targeted infiltration of adversary societies and institutions. Cyber operations are best conceptualized as new instruments of subversion. Apart from influencing and sabotaging, subversion can fulfill more ambitious goals as well, such as overthrowing a government through an internal coup or by triggering a revolution, either armed or unarmed. This effect is an especially potent instrument of power since it changes the underlying preferences of a state, thus aligning it with one’s own interests in a way that goes deeper than coercion through military force. Meanwhile, armed revolution highlights a fourth type of covert operations, namely the clandestine and covert use of force. Clandestine operations refer to hiding the activity itself, such as the stealthy US operation to kill Osama Bin Laden. Covertness in turn refers to hiding the identity of the aggressor, such as through the deployment of unmarked soldiers – the infamous Russian “little green men” in Crimea.	第一に、影響力の行使は、世論と政治指導者の認識を揺さぶることを目的とする。その目的は、政治的意思決定とその結果、さらには社会の信頼と結束を操作することである。第2に、破壊工作は、インフラや物的能力を低下させ、損害を与える。その目的は、敵対勢力を弱体化させ、パワーバランスを自国に有利な方向にシフトさせることである。第三に、破壊工作は、敵対する社会や機構に標的を定めて侵入することで、これらの目標のいくつかを達成する具体的な方法である。サイバー作戦は、破壊工作の新たな手段として最もよく概念化されている。影響力や破壊工作とは別に、破壊工作は、内部クーデターによる政府転覆や、武装・非武装を問わず革命を引き起こすなど、より野心的な目標を達成することもできる。この効果は、国家の根底にある選好を変化させるため、軍事力による強制よりも深い形で、国家を自らの利益と一致させることができるため、特に強力な権力手段となる。一方、武力革命は、秘密の作戦の第4のタイプ、すなわち秘密裏の武力行使を浮き彫りにしている。秘密工作とは、オサマ・ビン・ラディンを殺害するためのアメリカのステルス作戦のように、活動そのものを隠すことを指す。隠密行動とは、クリミアにおける悪名高いロシアの「リトル・グリーン・マン」のように、無名の兵士を配備するなどして、侵略者の身元を隠すことである。
Once the instrument is established, the next steps are determining the larger strategic goals the adversary aims to achieve, and then a careful examination of available evidence on the capacity of the instrument in question to achieve these goals. Finally, based on this evidence, a systematic assessment of the conditions under which these different instruments can succeed helps clarify the extent of the threat.	いったん手段が確定すれば、次のステップは、敵が達成しようとしているより大きな戦略目標を決定することであり、その目標を達成するために問題の手段がどのような能力を持つかについて、入手可能な証拠を慎重に検討することである。最後に、この証拠に基づいて、さまざまな手段が成功しうる条件を体系的に評価することで、脅威の程度を明確にすることができる。
Lessons from History	歴史からの教訓
For policymakers, the first challenge in countering Hybrid War is to separate fiction from fact. Of course, policymakers must plan for contingencies and consider both past and hypothetical scenarios. However, the best way to realistically project what could happen in the future is to draw inferences from what happened in the past. Accordingly, a useful baseline for addressing future threats is what Hybrid War has actually achieved in practice. Such an assessment, including historical examples namely the vert operations during the Cold War, gives reasons for confidence. Fear of influence operations and sabotage is nothing new but was a key theme among Western defense planners and policymakers. Fortunately, these fears were not always justified.	政策立案者にとって、ハイブリッド戦争に対抗するための最初の課題は、虚構と事実を分けることである。もちろん、政策立案者は不測の事態を想定し、過去と仮定の両方のシナリオを考慮しなければならない。しかし、将来起こりうることを現実的に予測する最善の方法は、過去に起こったことから推論を導くことである。したがって、将来の脅威に対処するための有効な基準線は、ハイブリッド戦争が実際に何を達成したかである。このような評価は、歴史的な例、すなわち冷戦期のヴェルト作戦を含めて、自信を持つ理由を与えてくれる。影響力の行使や破壊工作に対する恐怖は、今に始まったことではないが、西側の国防計画者や政策立案者の間では重要なテーマだった。幸いなことに、こうした懸念は必ずしも正当化されるものではなかった。
A 1981 report by the US Department of State on Soviet “active measures” provides an instructive example. It argues that the KGB’s decades-long expertise in mounting active measures – the contemporary term for hybrid warfare – combined with the openness of Western political and media systems created a ripe environment for Russian influence operations and subversion and drew a pessimistic picture of resulting threats to Western societies. And yet, as we now know, the Soviet Union collapsed soon after. Arguably, the situation is not dissimilar today. Fears among policymakers and defense planners of Soviet influence operations and subversion during the Cold War were mostly based on what could potentially happen, neglecting the significant obstacles involved in producing these desired effects in practice. The same applies to threat perceptions and assessments concerning cyber operations and social media disinformation campaigns. Recent studies found that the vast majority of subversive operations aiming to overthrow regimes failed. Mounting evidence of the shortcomings of cyber operations points in a similar direction. Fortunately, not all that is possible in theory is feasible in practice.	1981年の米国務省によるソ連の「積極的措置」に関する報告書は、有益な例を示している。この報告書では、KGBが数十年にわたってハイブリッド戦の現代用語である「能動的手段」を講じてきたノウハウと、西側の政治・メディア・システムの開放性とが相まって、ロシアの影響力工作や破壊工作がしやすい環境を作り出し、その結果、西側社会に脅威がもたらされるという悲観的な図式が描かれていると論じている。しかし、我々が知っているように、ソ連は直後に崩壊した。おそらく、今日も状況は似ていないわけではない。冷戦時代、ソ連の影響力工作や破壊工作に対する政策立案者や国防計画者の懸念は、そのほとんどが起こりうる可能性に基づいたものであり、実際にこのような望ましい効果を生み出すには大きな障害が伴うことを軽視していた。サイバー作戦やソーシャルメディア偽情報キャンペーンに関する脅威認識や評価も同様である。最近の研究では、政権転覆を狙った破壊活動の大半が失敗していることがわかった。サイバー作戦の欠点を示す証拠も、同様の方向を示している。幸いなことに、理論的に可能なことがすべて実際に可能なわけではない。
A more systematic assessment of the strategic role of the diverse gray zone instruments grouped under the concept of Hybrid War is needed	ハイブリッド戦争という概念で括られる多様なグレーゾーンの手段の戦略的役割について、より体系的な評価が必要である。
Reasons for Optimism	楽観論の理由
Moreover, there are clear signs of unintended “blowback” of influence operations. Subversion, influence and disinformation operations are described by experts like putting a virus in the bloodstream of your enemy. Yet, just like actual viruses, there is a real risk of spread beyond the targeted society. Accordingly, the Mitrokhin archive (a record of KGB operations leaked by the defector Vasili Mitrokhin) documents a growing paranoia among the KGB’s leadership over the course of the Cold War about potential traitors in its own ranks, and correspondingly growing efforts and expenditure to hunt down and punish these traitors. These efforts increasingly undermined the KGB’s core mission: namely, to weaken the United States. Specifically, there are multiple examples of the KGB leadership, and by extension the Soviet leadership, believing its own propaganda and making policy decisions based on it, with detrimental outcomes. The decision to invade Czechoslovakia in 1968 is one of them. The Soviet leadership expected an impending counterrevolution and overwhelming public support for the Soviet intervention, both of which only existed in Soviet propaganda. Consequently, what was supposed to be a short-term occupation had to be extended for the rest of the Cold War. Russia’s invasion of Ukraine, with troops expecting public support for “liberating” the country, suggests a similar situation now. In fact, there is a growing consensus among analysts that Putin, having expelled any non-loyalists from his administration, has been misinformed and prone to believe Russian propaganda. Without access to the Kremlin, this remains hard to prove.	さらに、影響力行使の意図せざる「反撃」の兆候は明らかである。破壊工作、影響力工作、偽情報工作は、敵の血流にウイルスを送り込むようなものだと専門家は表現する。しかし、実際のウイルスがそうであるように、標的とした社会を越えて拡散する現実的なリスクがある。したがって、ミトロヒン・アーカイブ（脱北者ヴァシリ・ミトロヒンによってリークされたKGBの活動記録）には、冷戦の過程でKGBの指導者たちの間で、内部に潜在的な裏切り者がいるのではないかという被害妄想が強まり、それに応じて裏切り者を追い詰め、処罰するための努力と支出が増大したことが記録されている。こうした努力は、KGBの中核的使命、すなわち米国を弱体化させることをますます弱体化させていった。具体的には、KGB指導部、ひいてはソ連指導部が自らのプロパガンダを信じ、それに基づいて政策を決定し、有害な結果を招いた例が複数ある。1968年のチェコスロバキア侵攻の決定はその一つだ。ソ連指導部は、差し迫った反革命とソ連の介入に対する圧倒的な国民の支持を期待していたが、どちらもソ連のプロパガンダの中にしか存在しなかった。その結果、短期的な占領のはずが、冷戦の残りの期間まで延長されることになった。ロシアのウクライナ侵攻は、ウクライナの「解放」に対する国民の支持を期待してのものであり、現在も同じような状況にあることを示唆している。実際、アナリストの間では、プーチンは政権から非忠誠主義者を追放したため、誤情報を流され、ロシアのプロパガンダを信じがちになっているとの見方が強まっている。クレムリンへのアクセスがなければ、これを証明するのは難しい。
Perhaps counterintuitively, closed and autocratic systems may be more vulnerable to blowback and dysfunction than open and democratic systems. While the openness of democratic systems facilitates influence operations, the existence of multiple sources of information and competing narratives within the public sphere provides opportunities to challenge and counter disinformation narratives. Of course, this depends on a functioning media ecosystem and becomes increasingly less possible as polarization increases. In closed autocratic systems, however, there are typically far less alternate sources of information and competing narratives. Therefore, autocratic systems are intimately vulnerable to fall prey to their own disinformation and manipulation. These structural differences provide strengths and weaknesses, both of which should be considered. Such an assessment suggests a relative advantage for democratic systems that should be a source of confidence in countering disinformation and influence operations.	直観に反するかもしれないが、閉鎖的で独裁的な体制は、開放的で民主的な体制に比べ、反動や機能不全に脆弱である。民主主義体制の開放性は影響力行使を容易にする一方で、公共圏内に複数の情報源と競合する物語が存在することは、偽情報の物語に異議を唱え、対抗する機会を提供する。もちろん、これはメディアのエコシステムが機能しているかどうかにかかっており、分極化が進むにつれてその可能性はますます低くなっていく。しかし、閉鎖的な独裁体制では、代替的な情報源や競合するナラティブが圧倒的に少ないのが一般的である。したがって、独裁体制は自らの偽情報や情報操作の餌食になりやすいという脆弱性をはらんでいる。このような構造的な違いは、長所と短所をもたらすものであり、その両方を考慮する必要がある。このような評価は、偽情報や影響力工作に対抗する際の自信の源泉となるべき、民主主義体制の相対的優位性を示唆している。
Even if Hybrid War is less effective than is commonly assumed, it still constitutes a potentially significant threat. Hence, the key conclusion is not to dismiss Hybrid War. Rather, effective counterstrategies require a more systematic assessment of the specific instruments involved and how to neutralize them. On the one hand, this means acknowledging the lasting importance of traditional (non-technologically enhanced) influence, sabotage and subversion operations and prioritizing responses accordingly. On the other hand, considering the strategic heritage of the gray zone instruments that Hybrid War comprises is also crucial. Since these instruments are not as new as they may appear, building on counterintelligence strategies and lessons learned from the past can help. In particular, the logic of deception and its value both in offense and defense is important to consider. A significant challenge will be the fact that integrated campaigns, which are comprised of a range of gray zone instruments – both traditional and “cyber” – , will require an integrated response that bridges existing institutional and doctrinal silos.	ハイブリッド戦争が一般に想定されているよりも効果的でないとしても、潜在的に重大な脅威であることに変わりはない。したがって、重要な結論は、ハイブリッド戦争を否定することではない。むしろ、効果的な対抗戦略には、ハイブリッド戦争に関わる具体的な手段と、それを無力化する方法をより体系的に評価する必要がある。一方では、伝統的な（技術的に強化されていない）影響力、破壊工作、転覆工作の永続的な重要性を認め、それに応じて対応の優先順位をつけることを意味する。他方で、ハイブリッド戦争が構成するグレーゾーンの手段の戦略的遺産を考慮することも極めて重要である。これらの手段は見かけほど新しいものではないため、防諜戦略や過去から学んだ教訓を基にすることが有効である。特に、欺瞞の論理と、攻撃と防衛の両方におけるその価値を考慮することが重要である。重要な課題は、伝統的なものから「サイバー」的なものまで、さまざまなグレーゾーンの機構からなる統合キャンペーンには、既存の制度や教義のサイロを埋める統合的な対応が必要になるという事実である。
Closed and autocratic systems may be more vulnerable to blowback and dysfunction than open and democratic systems.	閉鎖的で独裁的な体制は、開放的で民主的な体制よりも、反撃や機能不全に対して脆弱性が高いかもしれない。
Further Reading	参考文献
Chiara Libisller, “’Hybrid Warfare” as an Academic Fashion,” Journal of Strategic Studies 46:4 (2023), pp. 1–23.	Chiara Libisller, "'Hybrid Warfare" as an Academic Fashion," Journal of Strategic Studies 46:4 (2023), pp.1-23
Rory Cormac / Richard J. Aldrich, “Grey Is the New Black: Covert Action and Implausible Deniability,” International Affairs 94:3 (2018), pp. 477–94.	Rory Cormac / Richard J. Aldrich, "Grey Is the New Black： Covert Action and Implausible Deniability," International Affairs 94:3 (2018), pp.477-94.
Christopher S. Chivvis, “Hybrid War: Russian Contemporary Political Warfare,” Bulletin of the Atomic Scientists 73:5 (2017) pp. 316–21.	Christopher S. Chivvis, "Hybrid War: Russian Contemporary Political Warfare," Bulletin of the Atomic Scientists 73:5 (2017) pp.316-21.
Arsalan Bilal, “NATO Review – Hybrid Warfare – New Threats, Complexity, and ‘Trust’ as the Antidote,” NATO Review, 30.11.2021.	Arsalan Bilal, "NATO Review - Hybrid Warfare - New Threats, Complexity, and 'Trust' as the Antidote," NATO Review, 30.11.2021.
Mark Galeotti, “Hybrid, Ambiguous, and Non-Linear? How New Is Russia’s ‘New Way of War’?,” Small Wars & Insurgencies 27:2 (2016) pp. 282–301.	Mark Galeotti, "Hybrid, Ambiguous, and Non-Linear? ロシアの『新しい戦争のやり方』はどれほど新しいのか」Small Wars & Insurgencies 27:2 (2016) pp.282-301.
Lennart Maschmeyer, “The Subversive Trilemma: Why Cyber Operations Fall Short of Expectations,” International Security 46:2 (2021) pp. 51–90.	Lennart Maschmeyer, "The Subversive Trilemma: Why Cyber Operations Fall Out of Expectations," International Security 46:2 (2021) pp.
For more on Military Doctrine and Arms Procurement, see CSS core theme page.	軍事ドクトリンと武器調達については、CSSのコアテーマページを参照のこと。
Lennart Maschmeyer is Senior Researcher at the Center for Security Studies (CSS) at ETH Zürich, where he focuses on cyber conflict, power politics, and subversion.	Lennart Maschmeyer チューリッヒ工科大学安全保障研究センター（CSS）の上級研究員で、サイバー紛争、パワーポリティクス、破壊工作を専門としている。
CSS Analyses in Security Policy is published by the Center for Security Studies (CSS) at ETH Zürich. The CSS is a center of competence for Swiss and international security policy. Each month, two analyses are published in German, French, and English.	CSS Analyses in Security Policy」はチューリッヒ工科大学安全保障研究センター（CSS）が発行している。CSSはスイスおよび国際的な安全保障政策の専門機関である。毎月2本の分析がドイツ語、フランス語、英語で掲載されている。
Editor: Névine Schepers Language editing: Névine Schepers Layout and graphics: Miriam Dahinden-Ganzoni	編集者 Névine Schepers 言語編集：レイアウト、グラフィック：Névine Schepers ミリアム・ダヒンデン・ガンゾーニ
Feedback and comments: analysen@sipo.gess.ethz.ch More editions and online subscription: www.css.ethz.ch/cssanalyses	フィードバックとコメント: analysen@sipo.gess.ethz.ch その他の版とオンライン購読: www.css.ethz.ch/cssanalyses
Most recent editions:	最近の文献
The Role of Mediation Support Structures No.331	調停支援機構の役割 No.331
UN Peacekeeping No. 330	国連平和維持 No.330
German Military Planning: Aims and Trade-Offs No.329	ドイツの軍事計画：第329号ドイツの軍事計画：狙いとトレードオフ
Managing Disaster Costs No. 328	災害コストの管理 No.328
Central Asia in an Era of Great-Power Rivalry No.327	大国間競争時代の中央アジア No.327
The Promise and Paradox of Science Diplomacy No. 326	科学外交の期待とパラドックス No.326

2023.11.14 05:38 in 情報セキュリティ / サイバーセキュリティ, in 安全保障 | Permalink | Comments (0)
Tweet

2023.11.13

NIST 意見募集 SP 800-171 Rev.3（最終ドラフト）非連邦政府組織およびシステムにおける管理対象非機密情報の保護、NIST SP 800-171A 改訂第3版（初期公開ドラフト）管理対象非機密情報のセキュリティ要件の評価

こんにちは、丸山満彦です。

みんな大好き？NIST SP800-171の第3版の最終ドラフトが公開され、意見募集がされていますね。。。今年の5月にドラフトが公開され、昨年の7月に改訂のアナウンスがでていますので、それと合わせt読むとよりよいかもしれません。。。これから私も、最終ドラフトを読んでみようと思います(^^)

そして、今回は、あわせてSP800-171の評価版であるSP800-171Aの初期ドラフトも公開され、意見募集がされていますね。。。ちなみに171Aも第3版の初期ドラフトですが、171にあわせるために第2版は飛ばしています...

⚫︎NIST - ITL

171の最終ドラフト

・2023.11.09 NIST SP 800-171A Rev. 3 (Initial Public Draft) Assessing Security Requirements for Controlled Unclassified Information

NIST SP 800-171 Rev. 3 (Final Public Draft) Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations	NIST SP 800-171 Rev.3（最終公開ドラフト）連邦政府以外のシステムおよび組織における管理対象非機密情報の保護
Announcement	発表
This update to NIST SP 800-171 represents over one year of data collection, technical analyses, customer interaction, redesign, and development of the security requirements and supporting information for the protection of Controlled Unclassified Information (CUI). Many trade-offs have been made to ensure that the technical and non-technical requirements have been stated clearly and concisely while also recognizing the specific needs of both federal and nonfederal organizations.	今回のNIST SP 800-171の更新は、管理対象非機密情報（CUI）の保護に関するセキュリティ要求事項及びそれを裏付ける情報のデータ収集、技術分析、顧客との対話、再設計、及び開発に1年以上を費やしたことを示すものである。技術的および非技術的な要求事項が明確かつ簡潔に記述され、同時に連邦および非連邦組織の特定のニーズを認識するために、多くのトレードオフが行われた。
In response to the 1600+ comments received on the initial public draft and its supporting resources, NIST continued to refine the security requirements to:	最初の公開ドラフトとその支援資料に対して寄せられた1,600件を超えるコメントを受けて、NISTは引き続きセキュリティ要件を以下のように改良した：
・Reduce the number of organization-defined parameters (ODP)	・組織定義パラメータ（ODP）の数を減らす。
・Reevaluate the tailoring categories and tailoring decisions	・テーラリングのカテゴリーとテーラリングの決定を再評価する。
・Restructure and streamline the discussion sections	・議論セクションを再構成し、スリム化する
Additional files include an FAQ, a detailed analysis of the changes between Revision 2 and Revision 3, and a prototype CUI Overlay.	追加ファイルには、FAQ、改訂2版と改訂3版の間の変更点の詳細な分析、CUIオーバーレイのプロトタイプが含まれる。
Concurrently, the initial public draft (ipd) of NIST SP 800-171Ar3 (Revision 3), Assessing Security Requirements for Controlled Unclassified Information, is also available.	同時に、NIST SP 800-171Ar3（改訂3版）「管理対象非機密情報に対するセキュリティ要件の評価」の初期公開ドラフト（ipd）も公開されている。
Submit Your Comments	意見を提出する
The public comment period is open now through January 12, 2024. We strongly encourage you to use this comment template if possible, and submit it to [web].	パブリックコメント期間は、2024年1月12日までである。可能であればこのコメントテンプレートを使用し、 [web]。
Reviewers are encouraged to comment on all or parts of draft NIST SP 800-171, Revision 3. NIST is specifically interested in comments, feedback, and recommendations for the following topics:	レビュワーは、NIST SP 800-171改訂第3版の全部または一部についてコメントすることが推奨される。NISTは、特に以下のトピックに関するコメント、フィードバック、および推奨に関心を持っている：
・Re-categorized controls (e.g., controls formerly categorized as NFO)	・再分類された管理（例えば、以前は NFO に分類されていた管理）。
・New tailoring criterion (e.g., other related controls [ORC])	・新たな調整基準（例えば、その他の関連する管理［ORC］）・組織で定義された基準を含める。
・Inclusion of organization-defined parameters (ODP)	・組織定義パラメータ（ODP）の包含
・New or revised requirements	・新規または改訂された要求事項
・Prototype CUI overlay	・CUIオーバーレイのプロトタイプ
...	...
Abstract	概要
The protection of Controlled Unclassified Information (CUI) resident in nonfederal systems and organizations is of paramount importance to federal agencies and can directly impact the ability of the Federal Government to successfully conduct its essential missions and functions. This publication provides federal agencies with recommended security requirements for protecting the confidentiality of CUI when the information is resident in nonfederal systems and organizations. The requirements apply to components of nonfederal systems that process, store, or transmit CUI or that provide protection for such components. The security requirements are intended for use by federal agencies in contractual vehicles or other agreements established between those agencies and nonfederal organizations.	連邦政府以外のシステムや組織に常駐する管理対象非機密情報 (CUI) の保護は、連邦政府機関にとって最も重要であり、連邦政府がその重要なミッションや機能を成功裏に遂行する能力に直接影響を与える可能性がある。本書は、連邦機関に対し、情報が連邦機関以外のシステムおよび組織に常駐している場合に、CUIの機密性を保護するための推奨セキュリティ要件を提供する。要件は、CUIを処理、保管、または送信する連邦政府以外のシステムのコンポーネント、またはそのようなコンポーネントの保護を提供するコンポーネントに適用される。セキュリティ要件は、連邦機関と連邦機関以外の組織との間で締結される契約書またはその他の合意において、連邦機関が使用することを意図している。

・[PDF] NIST.SP.800-171r3.fpd

初期ドラフトからの変更点など...

• Eliminated the NFO control tailoring category	・NFOの管理調整カテゴリーを廃止した。
• Introduced a new control tailoring category for controls that are addressed by other related controls (ORC)	・他の関連する管理（ORC）により対処される管理のための新しい管理調整カテゴリーを導入した。
• Eliminated selected organization-defined parameters (ODPs) where the ODP specification did not significantly impact the security requirement	・ODP の仕様がセキュリティ要件に重大な影響を与えない場合、選択した組織定義パラメータ（ODP）を廃止した
• Clarified the responsibility for assigning ODP values	・ODP 値の割り当て責任を明確化した
• Combined security requirements (or parts of requirements) with other requirements for consistency and ease of use	・一貫性と使いやすさを考慮し、セキュリティ要件（または要件の一部）を他の要件と組み合わせた
• Added security requirements due to control categorization changes	・管理分類の変更に伴いセキュリティ要件を追加した
• Sequenced the content in the discussion sections to align with the individual parts of the requirements	・ディスカッションセクションの内容を要件の各部分と整合させるために順序を変更した
• Modified the tailoring categories of selected controls and control items (subparts of controls)	・選択した管理策と管理項目（管理策の下位部分）の調整カテゴリーを変更した
• Added leading zeros to security requirement numbers to achieve greater consistency with SP 800-171A numbering formats and to support automated tool usage	・SP 800-171A の番号付け形式との整合性を高め、自動化ツールの使用をサポートするため、セキュリティ要件の番号に先頭のゼロを追加した。

目次...

1. Introduction	1. 序文
1.1. Purpose and Applicability	1.1. 目的と適用性
1.2. Organization of This Publication	1.2. 本書の構成
2. The Fundamentals	2. 基礎知識
2.1. Basic Assumptions	2.1. 基本的な前提
2.2. Security Requirement Development Methodology	2.2. セキュリティ要件開発手法
3. The Requirements	3. 要求事項
3.1. Access Control	3.1. アクセス制御
3.1.1. Account Management	3.1.1. アカウント管理
3.1.2. Access Enforcement	3.1.2. アクセスの強制
3.1.3. Information Flow Enforcement	3.1.3. 情報の流れの強制
3.1.4. Separation of Duties	3.1.4. 職務の分離
3.1.5. Least Privilege	3.1.5. 最小限の特権
3.1.6. Least Privilege – Privileged Accounts	3.1.6. 最小特権 - 特権アカウント
3.1.7. Least Privilege – Privileged Functions	3.1.7. 最小特権 - 特権機能
3.1.8. Unsuccessful Logon Attempts	3.1.8. 失敗したログオン試行
3.1.9. System Use Notification	3.1.9. システム使用通知
3.1.10. Device Lock	3.1.10. デバイスロック
3.1.11. Session Termination	3.1.11. セッションの終了
3.1.12. Remote Access	3.1.12. リモート・アクセス
3.1.13. Withdrawn	3.1.13. 廃止
3.1.14. Withdrawn	3.1.14. 廃止
3.1.15. Withdrawn	3.1.15. 廃止
3.1.16. Wireless Access	3.1.16. 無線アクセス
3.1.17. Withdrawn	3.1.17. 廃止
3.1.18. Access Control for Mobile Devices	3.1.18. モバイル機器のアクセス制御
3.1.19. Withdrawn	3.1.19. 廃止
3.1.20. Use of External Systems	3.1.20. 外部システムの利用
3.1.21. Withdrawn	3.1.21. 廃止
3.1.22. Publicly Accessible Content	3.1.22. 公にアクセス可能なコンテンツ
3.2. Awareness and Training	3.2. 意識向上およびトレーニング
3.2.1. Literacy Training and Awareness	3.2.1. 識字率向上およびトレーニング
3.2.2. Role-Based Training	3.2.2. 役割に応じたトレーニング
3.2.3. Withdrawn	3.2.3. 廃止
3.3. Audit and Accountability	3.3. 監査と説明責任
3.3.1. Event Logging	3.3.1. イベントロギング
3.3.2. Audit Record Content	3.3.2. 監査記録の内容
3.3.3. Audit Record Generation	3.3.3. 監査記録の生成
3.3.4. Response to Audit Logging Process Failures	3.3.4. 監査記録作成プロセスの失敗への対応
3.3.5. Audit Record Review, Analysis, and Reporting	3.3.5. 監査記録のレビュー、分析、報告
3.3.6. Audit Record Reduction and Report Generation	3.3.6. 監査記録の削減とレポート作成
3.3.7. Time Stamps	3.3.7. タイムスタンプ
3.3.8. Protection of Audit Information	3.3.8. 監査情報の防御
3.3.9. Withdrawn	3.3.9. 廃止
3.4. Configuration Management	3.4. コンフィギュレーション管理
3.4.1. Baseline Configuration	3.4.1. ベースライン構成
3.4.2. Configuration Settings	3.4.2. コンフィギュレーション設定
3.4.3. Configuration Change Control	3.4.3. コンフィギュレーション変更制御
3.4.4. Impact Analyses	3.4.4. 影響分析
3.4.5. Access Restrictions for Change	3.4.5. 変更のためのアクセス制限
3.4.6. Least Functionality	3.4.6. 最小機能
3.4.7. Withdrawn	3.4.7. 廃止
3.4.8. Authorized Software – Allow by Exception	3.4.8. 認可ソフトウェア - 例外的に許可する
3.4.9. Withdrawn	3.4.9. 廃止
3.4.10. System Component Inventory	3.4.10. システム・コンポーネント・インベントリ
3.4.11. Information Location	3.4.11. 情報ロケーション
3.4.12. System and Component Configuration for High-Risk Areas	3.4.12. 高リスク地域のシステムおよびコンポーネント構成
3.5. Identification and Authentication	3.5. 本人確認と認証
3.5.1. User Identification, Authentication, and Re-Authentication	3.5.1. 利用者の本人認証、認証、および再認証
3.5.2. Device Identification and Authentication	3.5.2. 機器の識別と本人認証
3.5.3. Incident Response Testing	3.5.3. インシデント対応テスト
3.5.4. Replay-Resistant Authentication	3.5.4. リプレイ耐性認証
3.5.5. Identifier Management	3.5.5. 識別子の管理
3.5.6. Withdrawn	3.5.6. 廃止
3.5.7. Password Management	3.5.7. パスワード管理
3.5.8. Withdrawn	3.5.8. 廃止
3.5.9. Withdrawn	3.5.9. 廃止
3.5.10. Withdrawn	3.5.10. 廃止
3.5.11. Authentication Feedback	3.5.11. 本人認証フィードバック
3.5.12. Authenticator Management	3.5.12. 本人認証管理
3.6. Incident Response	3.6. インシデント・レスポンス
3.6.1. Incident Response Plan and Handling	3.6.1. インシデント対応計画とハンドリング
3.6.2. Incident Monitoring, Reporting, and Response Assistance	3.6.2. インシデントの監視、報告、対応支援
3.6.3. Incident Response Testing	3.6.3. インシデント対応テスト
3.6.4. Incident Response Training	3.6.4. インシデント対応トレーニング
3.7. Maintenance	3.7. 保守
3.7.1. Withdrawn	3.7.1. 廃止
3.7.2. Withdrawn	3.7.2. 廃止
3.7.3. Withdrawn	3.7.3. 廃止
3.7.4. Maintenance Tools	3.7.4. 保守ツール
3.7.5. Nonlocal Maintenance	3.7.5. 非ローカル保守
3.7.6. Maintenance Personnel	3.7.6. 保守要員
3.8. Media Protection	3.8. メディア防御
3.8.1. Media Storage	3.8.1. メディアの保管
3.8.2. Media Access	3.8.2. メディアへのアクセス
3.8.3. Media Sanitization	3.8.3. メディアのサニタイゼーション
3.8.4. Media Marking	3.8.4. メディアのマーキング
3.8.5. Media Transport	3.8.5. メディアの輸送
3.8.6. Withdrawn	3.8.6. 廃止
3.8.7. Media Use	3.8.7. メディア使用
3.8.8. Withdrawn	3.8.8. 廃止
3.8.9. System Backup – Cryptographic Protection	3.8.9. システムバックアップ - 暗号防御
3.9. Personnel Security	3.9. 人的セキュリティ
3.9.1. Personnel Screening	3.9.1. 人事審査
3.9.2. Personnel Termination and Transfer	3.9.2. 人員の解雇と異動
3.10. Physical Protection	3.10. 物理的防御
3.10.1. Physical Access Authorizations	3.10.1. 物理的アクセス認可
3.10.2. Monitoring Physical Access	3.10.2. 物理的アクセスの監視
3.10.3. Withdrawn	3.10.3. 廃止
3.10.4. Withdrawn	3.10.4. 廃止
3.10.5. Withdrawn	3.10.5. 廃止
3.10.6. Alternate Work Site	3.10.6. 代替作業場所
3.10.7. Physical Access Control	3.10.7. 物理的アクセス制御
3.10.8. Access Control for Transmission and Output Devices	3.10.8. 伝送装置および出力装置のアクセス管理
3.11. Risk Assessment	3.11. リスクアセスメント
3.11.1. Risk Assessment	3.11.1. リスクアセスメント
3.11.2. Vulnerability Monitoring and Scanning	3.11.2. 脆弱性の監視とスキャン
3.11.3. Withdrawn	3.11.3. 廃止
3.12. Security Assessment and Monitoring	3.12. セキュリティ評価と監視
3.12.1. Security Assessment	3.12.1. セキュリティ評価
3.12.2. Plan of Action and Milestones	3.12.2. 行動計画とマイルストーン
3.12.3. Continuous Monitoring	3.12.3. 継続的モニタリング
3.12.4. Withdrawn	3.12.4. 廃止
3.12.5. Information Exchange	3.12.5. 情報交換
3.13. System and Communications Protection	3.13. システムおよびコミュニケーションの防御
3.13.1. Boundary Protection	3.13.1. バウンダリーの防御
3.13.2. Withdrawn	3.13.2. 廃止
3.13.3. Withdrawn	3.13.3. 廃止
3.13.4. Information in Shared System Resources	3.13.4. 共有システムリソース内の情報
3.13.5. Withdrawn	3.13.5. 廃止
3.13.6. Network Communications – Deny by Default – Allow by Exception	3.13.6. ネットワークコミュニケーション - デフォルト拒否・例外で許可
3.13.7. Withdrawn	3.13.7. 廃止
3.13.8. Transmission and Storage Confidentiality	3.13.8. 送信と保管の機密性
3.13.9. Network Disconnect	3.13.9. ネットワークの切断
3.13.10. Cryptographic Key Establishment and Management	3.13.10. 暗号鍵の確立と管理
3.13.11. Cryptographic Protection	3.13.11. 暗号防御
3.13.12. Collaborative Computing Devices and Applications	3.13.12. 共同コンピューティング機器とアプリケーション
3.13.13. Mobile Code	3.13.13. モバイルコード
3.13.14. Withdrawn	3.13.14. 廃止
3.13.15. Session Authenticity	3.13.15. セッション本人認証
3.13.16. Withdrawn	3.13.16. 廃止
3.14. System and Information Integrity .	3.14. システムと情報の完全性 .
3.14.1. Flaw Remediation	3.14.1. 欠陥の修復
3.14.2. Malicious Code Protection	3.14.2. 悪意のあるコードの防御
3.14.3. Security Alerts, Advisories, and Directives	3.14.3. セキュリティ警告、勧告、指令
3.14.4. Withdrawn	3.14.4. 廃止
3.14.5. Withdrawn	3.14.5. 廃止
3.14.6. System Monitoring	3.14.6. システム・モニタリング
3.14.7. Withdrawn	3.14.7. 廃止
3.14.8. Information Management and Retention	3.14.8. 情報の管理と保持
3.15. Planning	3.15. 計画
3.15.1. Policy and Procedures	3.15.1. 方針と手続き
3.15.2. System Security Plan	3.15.2. システム・セキュリティ計画
3.15.3. Rules of Behavior	3.15.3. 行動規則
3.16. System and Services Acquisition	3.16. システム及びサービスの取得
3.16.1. Acquisition Process	3.16.1. 取得プロセス
3.16.2. Unsupported System Components	3.16.2. 未サポートのシステムコンポーネント
3.16.3. External System Services	3.16.3. 外部システムサービス
3.17. Supply Chain Risk Management	3.17. サプライチェーンリスクマネジメント
3.17.1. Supply Chain Risk Management Plan	3.17.1. サプライチェーンリスクマネジメント計画
3.17.2. Acquisition Strategies, Tools, and Methods	3.17.2. 取得戦略、ツール、方法
3.17.3. Supply Chain Requirements and Processes	3.17.3. サプライチェーン要件及びプロセス
References	参考文献
Appendix A. Acronyms	附属書 A. 頭字語
Appendix B. Glossary	附属書 B. 用語集
Appendix C. Tailoring Criteria	附属書 C. テーラリング基準
Appendix D. Change Log	附属書 D. 変更履歴

171Aの初期ドラフト

・2023.11.09 NIST SP 800-171A Rev. 3 (Initial Public Draft) Assessing Security Requirements for Controlled Unclassified Information

NIST SP 800-171A Rev. 3 (Initial Public Draft) Assessing Security Requirements for Controlled Unclassified Information	NIST SP 800-171A 改訂第 3 版（初期公開草案）管理対象非機密情報のセキュリティ要件の評価
Announcement	発表
This initial public draft is being released along with NIST SP 800-171r3 fpd (final public draft).	この初期公開草案は、NIST SP 800-171r3 fpd（最終公開草案）と共に公表される。
In addition to reflecting the security requirements in NIST SP 800-171r3 fpd, the following significant changes have been made:	NIST SP 800-171r3 fpdのセキュリティ要求事項を反映することに加え、以下の重要な変更が加えられた：
・Restructured the assessment procedure syntax to align with NIST SP 800-53A	・NIST SP 800-53A と整合させるために、評価手順の構文を再構築した。
・The addition of a references section to provide source assessment procedures from NIST SP 800-53A	・NIST SP 800-53A の出典であるアセスメント手順を提供するための参考文献のセクションを追加した。
・A one-time change to the publication version number (skipping “Revision 2”) to align with NIST SP 800-171r3	・NIST SP 800-171r3と整合させるために、出版物のバージョン番号を一度だけ変更した（「改訂2」をスキップ）。
Submit Your Comments	意見を提出する
The public comment period is open now through January 12, 2024. We strongly encourage you to use this comment template if possible, and submit it to [mail].	パブリックコメント期間は、2024 年 1 月 12 日までである。可能であればこのコメントテンプレートを使用し、[mail]に提出することを強く推奨する。
Reviewers are encouraged to comment on all or parts of draft NIST SP 800-171A, Revision 3. NIST is specifically interested in comments, feedback, and recommendations for the following topics:	レビュワーは、NIST SP 800-171A改訂第3版の全部または一部についてコメントすることが推奨される。NIST は、特に以下のトピックに関するコメント、フィードバック、および推奨に関心を持っている：
・The alignment of the assessment procedures to NIST SP 800-53A	・NIST SP 800-53A に対する評価手順の整合性
・The use of organization-defined parameters (ODPs) in the assessment procedures	・評価手順における組織定義パラメータ（ODP）の使用
・The ease-of-use of the assessment	・アセスメントの使いやすさ
...	...
Abstract	概要
The protection of Controlled Unclassified Information (CUI) resident in nonfederal systems and organizations is of paramount importance to federal agencies and can directly impact the ability of the Federal Government to successfully conduct its essential missions and functions. This publication provides federal and nonfederal organizations with assessment procedures and a methodology that can be employed to conduct assessments of the security requirements in NIST Special Publication 800-171, Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations. The assessment procedures are flexible and can be customized to the needs of organizations and assessors. Security assessments can be conducted as independent, third-party assessments or as government-sponsored assessments. The assessments can also be applied with various degrees of rigor based on customer-defined depth and coverage attributes. The findings and evidence produced during the assessments can facilitate risk-based decisions by organizations related to the security requirements.	連邦政府以外のシステムおよび組織に常に存在する非機密管理情報 (CUI) の保護は、連邦政府機関にとって最も重要であり、連邦政府がその重要な任務および機能を成功裏に遂行する能力に直接影響を与える可能性がある。本書は、NIST Special Publication 800-171「非連邦システムおよび組織における管理対象非機密情報の保護」のセキュリティ要件の評価を実施するために採用できる評価手順および方法論を、連邦および非連邦組織に提供するものである。評価手順は柔軟であり、組織や評価者のニーズに合わせてカスタマイズすることができる。セキュリティ評価は、独立した第三者による評価として実施することも、政府主催の評価として実施することもできる。また、顧客が定義した深度や適用範囲の属性に基づき、さまざまな厳しさで評価を適用することもできる。アセスメントで得られた知見や証拠は、セキュリティ要件に関連する組織のリスクベースの意思決定を促進することができる。

・[PDF] NIST.SP.800-171Ar3.ipd

前バージョンからの変更点

• The restructuring of the assessment procedure syntax to align with NIST SP 800-53A [5].	・NIST SP 800-53A [5]と整合させるために、評価手順シンタックスを再構築した。
• The addition of a references section to provide source assessment procedures from NIST SP 800-53A [5].	・NIST SP 800-53A [5]からのソース評価手順を提供するための参考文献セクションの追加。
There has also been a one-time change to the publication version number to align with NIST SP 800-171, Revision 3 [3].	また、NIST SP 800-171、改訂 3 [3]と整合させるために、出版物のバージョン番号を一度だけ変更した。

レビューしてもらいたい点

• The alignment of the assessment procedures to NIST SP 800-53A [5].	・評価手順の NIST SP 800-53A [5]への整合。
• The use of organization-defined parameters (ODPs) in the assessment procedures.	・評価手順における組織定義パラメータ（ODP）の使用。
• The ease-of-use of the assessment procedures in conducting assessments of the CUI security requirements.	・CUIセキュリティ要件の評価を実施する際の評価手順の使いやすさ。

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.05.13 米国 NIST 意見募集 SP 800-171 Rev.3（ドラフト）非連邦政府組織およびシステムにおける管理対象非機密情報の保護

・2022.07.21 NIST SP 800-171 Rev. 3 (ドラフト) 非連邦政府組織およびシステムにおける管理対象非機密情報CUIの保護の作成に向けた意見募集

・2022.03.18 NIST SP 800-172A 管理対象非機密情報に対する強化版セキュリティ要件の評価

・2022.01.27 NIST SP 800-53A Rev. 5 情報システムと組織におけるセキュリティとプライバシーのコントロールの評価

・2021.11.07 米国 DoD サイバーセキュリティ成熟度モデル認証（CMMC）プログラムの戦略的方向性 - CMMC2.0

・2021.08.06 NIST SP 800-53A Rev. 5 (Draft) 情報システムと組織におけるセキュリティとプライバシーのコントロールの評価

・2021.07.19 IPA NIST文書SP800-53 rev.5「組織と情報システムのためのセキュリティおよびプライバシー管理策」及びSP800-53B「組織と情報システムのための管理策ベースライン」の翻訳版を公開

・2021.04.28 NIST SP 800-172A 管理対象非機密情報 (CUI) に対する強化版セキュリティ要件の評価

・2021.02.04 NIST SP 800-172 Enhanced Security Requirements for Protecting Controlled Unclassified Information: A Supplement to NIST Special Publication 800-171

・2020.12.11 SP 800-53 Rev. 5 Security and Privacy Controls for Information Systems and Organizations, SP 800-53B Control Baselines for Information Systems and Organizationsの記載ミスの修正と第5版と第４版の更新分析、ISO／IEC27001とのマッピング表等の追加

・2020.10.30 NIST SP 800-53B Control Baselines for Information Systems and Organizations 情報システムと組織のコントロールベースライン

・2020.10.02 米国国防省がCMMCの暫定規則(DFARS Case 2019-D041)を公表し、意見募集を行っています

・2020.09.24 NIST SP 800-53 Rev. 5 Security and Privacy Controls for Information Systems and Organizations

・2020.08.01 NIST SP 800-53B (Draft) Control Baselines for Information Systems and Organizations

・2020.07.09 NIST SP 800-172 (Draft) Enhanced Security Requirements for Protecting Controlled Unclassified Information: A Supplement to NIST Special Publication 800-171 (Final Public Draft)

・2020.03.31 CMMC概要 An Introduction to the Cybersecurity Maturity Model Certification (CMMC)

・2020.03.17 NIST SP 800-53 Rev. 5(Draft) Security and Privacy Controls for Information Systems and Organizations (Final Public Draft)

・2020.03.09 Cybersecurity Maturity Model Certification (CMMC) Version 1.0

・2020.02.22 NIST Publishes SP 800-171 Revision 2: Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations

少し前...

・2012.03.01 NIST Draft SP 800-53 Rev. 4 Security and Privacy Controls for Federal Information Systems and Organizations

・2011.07.22 NIST Draft SP 800-53 Appendix J DRAFT Privacy Control Catalog

・2010.05.10 NIST SP800-53関係の情報

2023.11.13 14:47 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 監査 / 認証, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続 | Permalink | Comments (0)
Tweet

世界経済フォーラム (WEF) ランサムウェアの警告サインに注意しよう (2023.11.08)

こんにちは、丸山満彦です。

世界経済フォーラム (WEF)が、11月13日〜15日で開催される年次総会の一部として、サイバー犯罪と凶悪犯罪は融合しつつある：どのように対策するか？、という記事をのせていますね。。。

Infostealer malware（情報窃取マルウェア）に感染していることをまずは見つけよう！てきな話ですかね。。。

・2023.11.08 The ransomware warning sign we should all have on our radar

The ransomware warning sign we should all have on our radar	ランサムウェアの警告サインに注意しよう
・In 2023, over 80% of companies were affected by ransomware in the preceding 12 months.	・2023年には、80％以上の企業が過去12ヶ月間にランサムウェアの被害を受けている。
・By looking more closely at how ransomware attacks happen, we can spot warning signs sooner and act on them to prevent future attacks.	・ランサムウェア攻撃がどのように起こるかをより詳細に調べることで、警告の兆候をより早く発見し、今後の攻撃を防ぐために行動することができる。
・In the fight against ransomware, the best defence is one built on data and aligned properly to the threats a company faces.	・ランサムウェアとの戦いにおいて、最善の防御策は、データを基に構築され、企業が直面する脅威に適切に対応することである。
The cybersecurity community talks a lot about ransomware attacks: who the latest ransomware gangs are, common attack vectors, how much companies are shelling out in ransom payments and what the proper incident response protocols are for security teams.	サイバーセキュリティのコミュニティでは、ランサムウェア攻撃について多くのことが語られている。最新のランサムウェアのギャングが誰なのか、一般的な攻撃ベクトル、企業が身代金の支払いに支払っている金額、セキュリティチームにとって適切なインシデント対応プロトコルとは何かなどだ。
That all matters, of course. By and large though, security teams are already aware of the threat ransomware poses due to firsthand experience. In 2023, 81% of companies were affected by ransomware in the preceding 12 months. Reported effects vary widely, from needing to purchase a solution to combat ransomware attacks, to being actively targeted, to actually paying a ransom. Regardless, the rate of companies affected by ransomware has remained consistently high since 2021.	もちろん、それはすべて重要だ。しかし、概してセキュリティ・チームは、ランサムウェアがもたらす脅威を実体験としてすでに認識している。2023年には、81％の企業が過去12カ月間にランサムウェアの被害に遭っている。ランサムウェア攻撃に対抗するためのソリューションを購入する必要があったり、積極的に標的にされたり、実際に身代金を支払ったりと、報告された影響はさまざまだ。いずれにせよ、ランサムウェアの被害を受けた企業の割合は、2021年以降一貫して高い水準を維持している。
The far-reaching impacts of ransomware, combined with the fact that we’re on track for the second costliest year for ransomware in history, means it’s time to take another look at the ransomware problem and think about tackling it from a new angle. By looking more closely at how ransomware attacks happen in the first place – through means that may not be on security teams’ radars yet – we can spot warning signs sooner and act on them to defend against attacks altogether.	ランサムウェアの広範囲に及ぶ影響に加え、ランサムウェアの被害額が史上2番目に大きい年になりそうだという事実は、ランサムウェアの問題をもう一度見直し、新たな角度から取り組むことを考える時期に来ていることを意味する。そもそもランサムウェア攻撃がどのようにして発生するのか、セキュリティ・チームのレーダーにはまだ映っていないような手段で発生するのかをより詳しく調べることで、警告の兆候をより早く発見し、それに基づいて行動することで、攻撃を完全に防御することができる。
Have you read?	既に読んだ？
・How we can use AI and organization to harness diversity and inclusion in cybersecurity	・サイバーセキュリティにおける多様性と包括性を活用するためにAIと組織をどのように活用できるか
・Cybercrime and violent crime are converging: here’s how to deal with it	・サイバー犯罪と暴力犯罪は融合しつつある。
・How closing the cyber skills gap can help organizations build resilience	・サイバースキルギャップを解消することが、組織のレジリエンス構築にいかに役立つか
How ransomware usually starts	ランサムウェアは通常どのように始まるか
Let’s start with one of the most common entry points for a ransomware attack: compromised credentials.	ランサムウェア攻撃の最も一般的な侵入経路の1つである、漏洩した認証情報から始めよう。
Criminals love authentication credentials because they are a reliable lever for gaining access to systems and information that allow them to perpetrate crimes. Threat actors often get their hands on credentials by using infostealer malware, which is typically deployed through malicious websites, botnets or phishing emails.	犯罪者が認証情報を好むのは、認証情報が犯罪を実行するためのシステムや情報にアクセスするための信頼できる手段だからだ。脅威者は、通常、悪意のあるウェブサイト、ボットネット、またはフィッシングEメールを通じて展開される情報窃取マルウェア(Infostealer malware) を使用して認証情報を入手することが多い。
With one click, a user can become infected, allowing the malware to steal a wide variety of information stored on the user’s machine – from private data, such as credit card numbers, to usernames and passwords and even web session cookies that open doors to corporate resources.	このマルウェアは通常、悪意のあるウェブサイトやボットネット、フィッシングEメールを通じて展開される。ワンクリックでユーザーは感染し、マルウェアはユーザーのマシンに保存されている様々な情報（クレジットカード番号などの個人データから、ユーザー名やパスワード、さらには企業リソースへの扉を開くウェブセッションクッキーまで）を盗むことができる。
And, when one door opens many others often do, too. SpyCloud research shows that 72% of users whose data was exposed in two or more breaches in 2022 reused their passwords across applications. That means that nearly three in four people were actively using a compromised password, making it pretty easy for threat actors to take one exposed credential pair and gain access to their information and files across multiple accounts, including work applications.	そして、1つのドアが開くと、他の多くのドアも開くことが多い。SpyCloudの調査によると、2022年に2件以上の情報漏えいでデータが流出したユーザーの72％が、アプリケーション間でパスワードを再利用していた。つまり、4人に3人近くが漏洩したパスワードを積極的に使用していたことになり、脅威行為者は1組の漏洩したクレデンシャルを手に入れるだけで、仕事用のアプリケーションを含む複数のアカウントにまたがる情報やファイルに簡単にアクセスできるようになる。
DISCOVER	発見事項
How is the World Economic Forum addressing rising cybersecurity challenges?	世界経済フォーラムはサイバーセキュリティの課題にどのように取り組んでいるか？
The Global Security Outlook 2023 revealed that 43% of leaders polled believe that a cyberattack will materially affect their organization in the next two years.	Global Security Outlook 2023」では、世論調査を行ったリーダーの43％が、今後2年間にサイバー攻撃が組織に重大な影響を及ぼすと考えていることが明らかになった。
The World Economic Forum’s Centre for Cybersecurity drives global action to address systemic cybersecurity challenges. It is an independent and impartial platform fostering collaboration on cybersecurity in the public and private sectors.	世界経済フォーラムのサイバーセキュリティ・センターは、体系的なサイバーセキュリティの課題に対処するためのグローバルな行動を推進している。同センターは、官民のサイバーセキュリティに関する協力を促進する独立した公平なプラットフォームである。
Learn more about our impact:	私たちの影響についてもっと知る：
・Cybersecurity training: In collaboration with Salesforce, Fortinet and the Global Cyber Alliance, we are providing free training to the next generation of cybersecurity experts. To date, we have trained more than 122,000 people worldwide.	・サイバーセキュリティのトレーニングセールスフォース、フォーティネット、グローバル・サイバー・アライアンスと協力して、次世代のサイバーセキュリティ専門家に無料のトレーニングを提供している。現在までに、世界中で122,000人以上にトレーニングを提供している。
・Cyber resilience: Working with more than 170 partners, our centre is playing a pivotal role in enhancing cyber resilience across multiple industries: oil and gas, electricity, manufacturing and aviation.	・サイバー・レジリエンス当センターは170以上のパートナーと協力し、石油・ガス、電力、製造、航空など、さまざまな業界のサイバー耐性を強化する上で極めて重要な役割を果たしている。
What new research says about the infostealer malware	情報窃取マルウェアに関する新たな研究結果
Here’s where it gets interesting. With access credentials gained via infostealer malware, threat actors can connect dots to then steal, encrypt and ransom sensitive or proprietary data across an enterprise system – launching a full-blown ransomware attack. For the first time, cutting-edge research confirms this is what (at least some) threat actors are doing. The presence of an infostealer infection is indeed an early warning signal of the potential for ransomware.	ここからが興味深いところだ。脅威者は、情報窃取マルウェアを介して得たアクセス認証情報を使って、企業システム全体の機密データや専有データを盗み、暗号化し、身代金を要求することができる。今回初めて、最先端の調査によって、これが（少なくとも一部の）脅威行為者の行動であることが確認された。情報窃取マルウェア感染の存在は、まさにランサムウェアの可能性を示す早期警告シグナルである。

Image: SpyCloud	画像 SpyCloud
In a sample of North American and European companies that experienced a ransomware attack in 2023, nearly one in three were infected with infostealer malware in the months leading up to the attack (2023 SpyCloud Ransomware Defence Report).	2023年にランサムウェア攻撃を経験した北米とヨーロッパの企業のサンプルでは、3社に1社近くが攻撃までの数ヶ月間に情報窃取マルウェアに感染していた（2023 SpyCloud Ransomware Defence Report）。
What does this mean for security teams?	これはセキュリティチームにとって何を意味するのだろうか？
As a risk signal, an infostealer malware presence should trigger companies’ ransomware radar and motivate a comprehensive malware remediation response.	リスクシグナルとして、情報窃取マルウェアの存在は、企業のランサムウェアレーダーを起動させ、包括的なマルウェア修復対応の動機付けとなるはずだ。
We can’t say with certainty that a ransomware attack follows an infostealer malware infection every time. Only threat actors themselves know how they intend to use the information they steal. But, infostealer malware presence is a good starting point for better defence and prevention.	しかし、情報窃取マルウェアの感染後に必ずランサムウェア攻撃が発生するとは断言できない。窃取した情報をどのように利用するつもりなのかは、脅威行為者自身にしか分からないからだ。しかし、インフォステア・マルウェアの存在は、より良い防御と予防のための良い出発点となる。
We can use this starting point to build out a broader picture to understand the role that infostealers play in a ransomware attack. This will improve awareness of potential threats and better inform security defence priorities and tactics.	この出発点を利用して、ランサムウェア攻撃においてインフォステーラーが果たす役割を理解するための、より広範なイメージを構築することができる。そうすることで、潜在的な脅威に対する認識が向上し、セキュリティ防御の優先順位や戦術をより的確に伝えることができる。
So, how do we build upon the role of infostealer infections in a ransomware kill chain?	では、ランサムウェアのキルチェーンにおける情報窃取マルウェア感染の役割をどのように構築すればよいのだろうか？
First, we broaden our perspective. We assess the circumstances that preceded the infection. Patching priorities that focus on exploitable vulnerabilities, for example, may make it more difficult for a threat actor to gain entry in the first place. Security awareness training that keeps up with modern attacker techniques could have a similar mitigating effect on the risk of infostealer malware.	まず、視野を広げる。感染前の状況を評価する。例えば、悪用可能な脆弱性に焦点を当てたパッチ適用の優先順位は、脅威行為者が最初に侵入することをより困難にするかもしれない。最新の攻撃者テクニックに対応したセキュリティ意識向上トレーニングも、同様に情報窃取マルウェアのリスクを軽減する効果がある。
We also consider the steps an attacker is likely to take after infection and the data to which they have access. Perhaps single sign-on credentials and additional application access are the actor’s targets. Or, perhaps malicious actors are after crypto wallets.	また、攻撃者が感染後に取る可能性の高い手順や、アクセス可能なデータについても検討する。シングル・サインオンの認証情報や追加アプリケーション・アクセスが攻撃者のターゲットかもしれない。あるいは、悪意のある行為者は暗号ウォレットを狙っているのかもしれない。
Collecting and evaluating signals around infostealer malware can shed light on a company’s status and circumstances and help to locate infostealer malware appropriately in a ransomware kill chain. These additional signals will add context and nuance to our understanding of infostealer malware and might even serve as additional early warning signals themselves.	情報窃取マルウェアに関するシグナルを収集し評価することで、企業のステータスや状況を明らかにし、ランサムウェアのキルチェーンにおいて情報窃取マルウェアの位置を適切に特定することができる。これらの追加的なシグナルは、情報窃取マルウェアに対する私たちの理解に文脈とニュアンスを加え、それ自体がさらなる早期警戒シグナルとして機能する可能性さえある。
Second, we act on what we know – and keep watching. We get to work monitoring for, and remediating, infostealer malware infections and take steps to limit the potential damage that could result from data exfiltration.	第二に、私たちは知っていることを行動に移し、監視を続ける。私たちは、情報搾取マルウェア感染の監視と修復に取り掛かり、データ流出による潜在的な損害を抑えるための措置を講じる。
Then we continue to collect and evaluate data and signals as companies either fall victim to or evade ransomware attackers. Over time, these signals will reveal patterns that will further contextualize the infostealer-ransomware connection. They will allow researchers to leverage large-scale analytics and machine-learning algorithms to understand it, learn from it and use it to support defensive tactics.	そして、企業がランサムウェア攻撃者の被害に遭ったり、攻撃を回避したりする際のデータやシグナルを収集し、評価し続ける。時間の経過とともに、これらのシグナルは、情報窃盗犯とランサムウェアの関連性をさらに文脈化するパターンを明らかにするだろう。これにより、研究者は大規模な分析と機械学習アルゴリズムを活用して、ランサムウェアを理解し、そこから学び、防御戦術をサポートするために利用することができるようになる。
In the fight against ransomware, the best defence is one built on data and aligned appropriately to the threats a company faces. An organization’s vulnerability to ransomware attacks will rely in part on its unique environment, characteristics and needs. Our research at SpyCloud indicates, however, that the connection between infostealer infections and ransomware attacks persists regardless of company shape or size.	ランサムウェアとの戦いにおいて、最良の防御策は、データに基づいて構築され、企業が直面する脅威に対して適切に調整されたものである。ランサムウェア攻撃に対する組織の脆弱性は、その組織独自の環境、特性、ニーズに依存する部分がある。しかし、SpyCloudの調査によると、情報窃取者の感染とランサムウェア攻撃の関係は、企業の形態や規模に関係なく続いている。
If that is the case, a ransomware prevention plan can only be considered comprehensive if it includes monitoring for and remediating infostealer malware exposure.	もしそうであれば、ランサムウェア対策は、情報窃取マルウェアに感染していないか監視し、修復することを含んで初めて包括的な対策と言える。

2023.11.13 05:57 in 情報セキュリティ / サイバーセキュリティ, in フォレンジック, in ウイルス, in 法律 / 犯罪, in 内部統制 / リスクマネジメント | Permalink | Comments (0)
Tweet

2023.11.12

米国 NSA CISA ソフトウェアサプライチェーンの確保：ソフトウェア部品表の開示に関する推奨事項

こんにちは、丸山満彦です。

一緒にしたセミナーのパネルディスカッションで、猪俣先生が、SBOMの必要性について、米国のお菓子の成分表を例に説明していて非常にわかりやすかったです。

そのパネルでも、必要性の理解はできたし、海外でも取り組み始めているのは理解したけど、実装はどうするんだ...という話になりました。。。

特に３つあるデータ形式は何を使うの？みたいな話もでましたね。。。

NSA（国家安全保障局）、CISA等が協力してが、SBOMについての文書を公表しています。。。

● National Security Agency/Central Security Service

・2023.11.09 [PDF] CTR: Securing the Software Supply Chain: Recommended Practices for Software Bill of Materials Consumption

[DOCX] 仮訳

エグゼクティブサマリー...

Executive Summary	要旨
Cyberattacks are conducted via cyberspace and target an enterprise’s use of cyberspace for the purpose of disrupting, disabling, destroying, or maliciously controlling a computing environment or infrastructure; or destroying the integrity of the data or stealing controlled information.	サイバー攻撃はサイバースペースを通じて行われ、コンピューティング環境やインフラを混乱させたり、使用不能にしたり、破壊したり、悪意を持ってコントロールしたり、データの完全性を破壊したり、コントロールされた情報を盗んだりする目的で、企業がサイバースペースを使用することを標的にする。
Cyberattacks such as those executed against SolarWinds and its customers and exploits that take advantage of vulnerabilities such as Log4j, highlight weaknesses within software supply chains, an issue which spans both commercial and open source software and impacts both private and Government enterprises. Accordingly, there is an increased need for software supply chain security awareness and cognizance regarding the potential for software supply chains to be weaponized by nation state adversaries using similar tactics, techniques, and procedures (TTPs).	SolarWindsとその顧客に対して実行されたサイバー攻撃や、Log4jなどの脆弱性を利用した悪用は、ソフトウェアサプライチェーン内の弱点を浮き彫りにしており、この問題は商用ソフトウェアとオープンソースソフトウェアの両方にまたがり、民間企業と政府企業の両方に影響を与えている。したがって、ソフトウェア・サプライ・チェーンのセキュリティに対する認識と、ソフトウェア・サプライ・チェーンが、同様の戦術、技術、手順（TTPs）を使用する国家の敵対者によって武器化される可能性に関する認識の必要性が高まっている。
In response, the White House released an Executive Order on Improving the Nation’s Cybersecurity (EO 14028) that established new requirements to secure the federal government’s software supply chain. The Enduring Security Framework (ESF) , led by a collaborative partnership across private industry, academia and government, established the Software Supply Chain Working Panel which released a three part Recommended Practices Guide series to serve as a compendium of suggested practices to help ensure a more secure software supply chain for developers, suppliers, and customer stakeholders.	これを受けてホワイトハウスは、連邦政府のソフトウェア・サプライ・チェーンを保護するための新たな要件を定めた「国家のサイバーセキュリティの改善に関する大統領令」（EO 14028）を発表した。民間企業、学術界、政府間の協力的なパートナーシップによって設立された「不朽のセキュリティフレームワーク（ESF）」は、ソフトウェアサプライチェーンワーキングパネルを設置し、開発者、サプライヤー、顧客の利害関係者にとって、より安全なソフトウェアサプライチェーンを確保するための提案プラクティスの大要として、3部構成の推奨プラクティスガイドシリーズを発表した。
Similarly, the ESF Software Supply Chain Working Panel established this second phase of guidance to provide further details for several of the Phase I Recommended Practices Guide activities. This guidance may be used as a basis of describing, assessing and measuring security practices relative to the software lifecycle. Additionally, suggested practices listed herein may be applied across the acquisition, deployment, and operational phases of a software supply chain.	同様に、ESF ソフトウエアサプライチェーンワーキングパネルは、第 1 段階の推奨実践ガイドの活動のいくつかをさらに詳しく説明するために、この第 2 段階のガイダンスを策定した。このガイダンスは、ソフトウエアのライフサイクルに関連するセキュリティ対策の記述、評価、測定の基礎として使用することができる。さらに、ここに記載された推奨される実施方法は、ソフトウエアサプライチェーンの取得、配備、運用の各フェーズに適用することができる。
The software supplier is responsible for liaising between the customer and software developer. Accordingly, vendor responsibilities include ensuring the integrity and security of software via contractual agreements, software releases and updates, notifications, and mitigations of vulnerabilities. This guidance contains recommended best practices and standards to aid customers in these tasks.	ソフトウエア供給者は、顧客とソフトウエア開発者との間の連絡に責任を負う。したがって、ベンダーの責任には、契約合意、ソフトウェアのリリースと更新、通知、脆弱性の緩和を通じて、ソフトウエアの完全性とセキュリティを確保することが含まれる。本ガイダンスには、これらの作業において顧客を支援するために推奨されるベストプラクティスと基準が含まれている。
This document will provide guidance in line with industry best practices and principles which software developers and software suppliers are encouraged to reference. These principles include managing open source software and software bills of materials to maintain and provide awareness about the security of software.	本文書は、業界のベストプラクティスと原則に沿ったガイダンスを提供するものであり、ソフトウェア開発者とソフトウェア供給者はこれを参照することが推奨される。これらの原則には、オープンソースソフトウェアやソフトウェア部品表を管理し、ソフトウェアのセキュリティに関する意識を維持・提供することが含まれる。
[1] Committee on National Security Systems (CNSS)	[1] 国家安全保障システム委員会（CNSS）
[2] https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-onimproving-the-nations-cybersecurity/
[3] ESF is a cross-sector working group that operates under the auspices of Critical Infrastructure Partnership Advisory Council (CIPAC) to address threats and risks to the security and stability of U.S. national security systems. It is comprised of experts from the U.S. government as well as representatives from the Information Technology, Communications, and the Defense Industrial Base sectors. The ESF is charged with bringing together representatives from private and public sectors to work on intelligence-driven, shared cybersecurity challenges.	[3] ESFは、米国の国家安全保障システムの安全性と安定性に対する脅威とリスクに対処するため、重要インフラパートナーシップ諮問委員会（CIPAC）の後援の下で運営されるセクター横断的な作業部会である。ESFは、米国政府の専門家、情報技術、通信、防衛産業基盤の各セクターの代表者で構成されている。ESFは、民間部門と公的部門の代表者を集め、情報主導でサイバーセキュリティの課題を共有することに取り組んでいる。

参考...

開発者向け

・2023.08 [PDF] SECURING THE SOFTWARE SUPPLY CHAIN RECOMMENDED PRACTICES GUIDE FOR DEVELOPERS

顧客向け

・2023.10 [PDF] SECURING THE SOFTWARE SUPPLY CHAIN RECOMMENDED PRACTICES GUIDE FOR COSTOMERS

2023.11.12 06:45 in 情報セキュリティ / サイバーセキュリティ, in 脆弱性, in 内部統制 / リスクマネジメント | Permalink | Comments (0)
Tweet

2023.11.11

国際ランサムウェア対策イニシアティブ 2023 共同声明 (2023.11.01)

こんにちは、丸山満彦です。

ランサムウェアの犯罪に対する国際的な連携は非常に重要ですよね。。。

毎年11月1日に公表していますね。。。今年は50カ国。12カ国とインターポールを新たなメンバーとしていますね。。。

紛争状況にあったり、対立関係にあったりするかもですが、中国、ロシア、北朝鮮、イランもね。。。（とはいえ、ハイブリッド戦の一部として、ランサムウェアを利用しているかもだから難しいのはわかるんですけどね。。。）

● U.S. White House

・2023.11.01 International Counter Ransomware Initiative 2023 Joint Statem

International Counter Ransomware Initiative 2023 Joint Statem	国際ランサムウェア対策イニシアティブ 2023 共同声明
The 50 members of the International Counter Ransomware Initiative (CRI)—Albania, Australia, Austria, Belgium, Brazil, Bulgaria, Canada, Colombia, Costa Rica, Croatia, the Czech Republic, the Dominican Republic, Egypt, Estonia, the European Union, France, Germany, Greece, India, INTERPOL, Ireland, Israel, Italy, Japan, Jordan, Kenya, Lithuania, Mexico, the Netherlands, New Zealand, Nigeria, Norway, Papua New Guinea, Poland, Portugal, the Republic of Korea, Romania, Rwanda, Sierra Leone, Singapore, Slovakia, South Africa, Spain, Sweden, Switzerland, Ukraine, the United Arab Emirates, the United Kingdom, the United States, and Uruguay—met in Washington, D.C. on October 31–-November 1, 2023 for the third convening of the CRI. Previously participating states welcomed Albania, Colombia, Costa Rica, Egypt, Greece, INTERPOL, Jordan, Papua New Guinea, Portugal, Rwanda, Sierra Leone, Slovakia, and Uruguay as new CRI members.	国際ランサムウェア対策イニシアティブ（CRI）の50の加盟国-アルバニア、オーストラリア、オーストリア、ベルギー、ブラジル、ブルガリア、カナダ、コロンビア、コスタリカ、クロアチア、チェコ共和国、ドミニカ共和国、エジプト、エストニア、欧州連合、フランス、ドイツ、ギリシャ、インド、国際刑事警察機構（INTERPOL）、アイルランド、イスラエル、イタリア、日本、ヨルダン、ケニア、リトアニア、メキシコ、オランダ、ニュージーランド、ナイジェリア、ノルウェー、パプアニューギニア、ポーランド、ポルトガル、大韓民国、ルーマニア、ルワンダ、シエラレオネ、シンガポール、スロバキア、南アフリカ、スペイン、スウェーデン、スイス、ウクライナ、アラブ首長国連邦、英国、米国、ウルグアイが、10月31日から11月31日にかけてワシントンで会合を開いた。 2023年10月31日から11月1日にかけて、ワシントンD.C.で第3回CRIが開催された。前回参加国は、アルバニア、コロンビア、コスタリカ、エジプト、ギリシャ、インターポール、ヨルダン、パプアニューギニア、ポルトガル、ルワンダ、シエラレオネ、スロバキア、ウルグアイをCRIの新メンバーとして迎えた。
During the third CRI gathering, members reaffirmed our joint commitment to building our collective resilience to ransomware, cooperating to undercut the viability of ransomware and pursue the actors responsible, countering illicit finance that underpins the ransomware ecosystem, working with the private sector to defend against ransomware attacks, and continuing to cooperate internationally across all elements of the ransomware threat.	第3回CRIの会合では、ランサムウェアに対する集団的な耐性を構築すること、ランサムウェアの実行可能性を削ぎ、責任を負う行為者を追及するために協力すること、ランサムウェアのエコシステムを支える不正資金に対抗すること、ランサムウェア攻撃から身を守るために民間セクターと協力すること、ランサムウェアの脅威のあらゆる要素にわたって国際協力を継続すること、といった共同コミットメントをメンバーが再確認した。
Over the past year, this group of nations and organizations has grown and built upon the commitments made at the second convening of the CRI in 2022. Through unveiling operational tools, the International Counter Ransomware Task Force (ICRTF)—established at last year’s meeting—began developing platforms for coordinating and disrupting ransomware at an operational level. By adding thirteen new members to the coalition, the Diplomacy and Capacity Building Pillar expanded the CRI’s like-minded umbrella and incorporated capacity building efforts throughout all pillars and working groups of the CRI. The Policy Pillar led efforts to counter the business model that underpins the ransomware ecosystem. This included research on cyber insurance, victim behavior, seizure and confiscation of virtual assets, ransom payments, and best practices in incident reporting and information sharing. Throughout the year, the coalition sought to incorporate the private sector and integrate capacity building at every opportunity.	この1年間で、この国や組織のグループは成長し、2022年のCRIの第2回招集でなされたコミットメントを土台にしてきた。昨年の会議で設立された国際ランサムウェア対策タスクフォース（ICRTF）は、運用ツールを発表することで、ランサムウェアを運用レベルで調整し、破壊するためのプラットフォームの開発に着手した。外交と能力構築の柱は、13の新メンバーを連合に加えることで、CRIの志を同じくする傘下組織を拡大し、CRIのすべての柱と作業部会を通じて能力構築の取り組みを取り入れた。政策の柱は、ランサムウェアのエコシステムを支えるビジネスモデルに対抗する取り組みを主導した。これには、サイバー保険、被害者の行動、仮想資産の差し押さえと没収、身代金の支払い、インシデント報告と情報共有のベストプラクティスに関する調査が含まれた。この1年を通じて、連合はあらゆる機会に民間部門を取り込み、キャパシティ・ビルディングを統合するよう努めた。
We remain committed to using all appropriate tools of national power to achieve these goals and jointly committed to the following actions in support of this mission.	我々は、これらの目標を達成するために、国力のあらゆる適切な手段を用いることを引き続き約束し、この使命を支援するために、以下の行動を共同で約束する。
2023 Key CRI Deliverables	2023年CRIの主な成果物
This year’s CRI gathering is focused on developing capabilities to disrupt attackers and the infrastructure they use to conduct their attacks, improving cybersecurity through sharing information, and fighting back against ransomware actors.	今年のCRIは、攻撃者と攻撃者が攻撃に使用するインフラを混乱させる能力の開発、情報共有によるサイバーセキュリティの向上、ランサムウェア対策に焦点を当てている。
Developing Capabilities	能力開発
・Leading a mentorship and tactical training program for new CRI members to build their cyber capacity, including Israel mentoring Jordan;	・イスラエルがヨルダンを指導するなど、CRIの新メンバーを対象に、サイバー能力を高めるための指導・戦術訓練プログラムを主導する；
・Launching a project to leverage artificial intelligence to counter ransomware;	・ランサムウェア対策に人工知能を活用するプロジェクトを立ち上げる；
Sharing Information	情報の共有
・Launching innovative information sharing platforms enabling CRI member countries to rapidly share threat indicators, including Lithuania’s Malware Information Sharing Project (MISP) and Israel and the UAE’s Crystal Ball platforms;	・リトアニアのマルウェア情報共有プロジェクト（MISP）、イスラエルとアラブ首長国連邦のクリスタルボールプラットフォームなど、CRIメンバー国が脅威指標を迅速に共有できる革新的な情報共有プラットフォームを立ち上げる；
・Building the CRI website, maintained by Australia, which includes a forum for members to request assistance from CRI members;	・オーストラリアが管理するCRIウェブサイトを構築し、メンバーがCRIメンバーに支援を要請するためのフォーラムを設ける；
・Encouraging reporting of ransomware incidents to relevant government authorities; and	・ランサムウェアのインシデントを関連する政府当局に報告することを奨励する。
・Sharing actionable information with the CRI members.	・CRIメンバーと実用的な情報を共有する。
Fighting Back	反撃
・Developing the first-ever joint CRI policy statement declaring that member governments should not pay ransoms;	・会員政府は身代金を支払うべきではないと宣言する、史上初のCRI共同政策声明を策定する；
・Creating a shared blacklist of wallets through the U.S. Department of the Treasury’s pledge to share data on illicit wallets used by ransomware actors with all CRI members;	・ランサムウェアの実行者が使用する不正なウォレットに関するデータをすべてのCRIメンバーと共有するという米国財務省の誓約を通じて、ウォレットの共有ブラックリストを作成する；
・Committing to assist any CRI member with incident response if their government or lifeline sectors are hit with a ransomware attack.	・政府やライフライン部門がランサムウェア攻撃を受けた場合、インシデント対応でCRIメンバーを支援することを約束する。
The CRI provides an opportunity to create long-term cooperative approaches and common understandings of accountability in cyberspace, consistent with international law as well as state actions as embodied in the Framework for Responsible State Behavior in Cyberspace, endorsed by all United Nations member states.	CRIは、すべての国連加盟国によって承認された「サイバースペースにおける責任ある国家行動のための枠組み」に具現化されている国家行動と同様に、国際法にも合致する、サイバースペースにおける説明責任について、長期的な協力アプローチと共通の理解を生み出す機会を提供する。
Through the Policy Pillar, CRI members affirmed the importance of strong and aligned messaging discouraging paying ransomware demands and leading by example. CRI members endorsed a statement that relevant institutions under our national government authority should not pay ransomware extortion demands. CRI members intend to implement the Financial Action Task Force (FATF)’s Recommendation 15 on the regulation of virtual assets and related service providers, which would help stem the illicit flow of funds and disrupt the ransomware payment ecosystem. CRI members also affirmed the importance of encouraging ransomware incident reporting within their own jurisdiction, and sharing meaningful information to strengthen our collective efforts to disrupt ransomware actors. The Policy Pillar also examined the centrality of the cyber insurance industry in tackling ransomware, and committed to enhancing engagement with industry, as well as undertaking research into the importance of developing effective crypto asset seizure regimes.	政策の柱を通じて、CRIのメンバーは、ランサムウェアの要求に対する支払いを思いとどまらせ、模範となるような強いメッセージの重要性を確認した。CRIメンバーは、政府権限下の関連機関はランサムウェアの恐喝要求を支払うべきではないという声明を支持した。CRIメンバーは、仮想資産と関連サービス・プロバイダーの規制に関する金融活動作業部会（FATF）の勧告15を実施する意向である。CRIのメンバーはまた、ランサムウェアのインシデントの報告をそれぞれの管轄区域内で奨励し、ランサムウェアの行為者を混乱させるための集団的な取り組みを強化するために有意義な情報を共有することの重要性を確認した。政策柱はまた、ランサムウェアへの取り組みにおけるサイバー保険業界の重要性を検討し、業界との関わりを強化するとともに、効果的な暗号資産差し押さえ制度の開発の重要性に関する調査を実施することを約束した。
Over the next year, the Diplomacy and Capacity Building Pillar will continue to expand the CRI’s mentorship program and onboarding program. The Pillar will prioritize opportunities to inform potential new members about the Initiative, and it will develop tailored capacity building opportunities to match members’ and potential new members’ needs and requests.	今後1年間、外交・能力構築の柱は、CRIのメンターシップ・プログラムとオンボーディング・プログラムの拡大を継続する。この柱は、潜在的な新メンバーにイニシアティブについて情報を提供する機会を優先し、メンバーや潜在的な新メンバーのニーズや要望に合わせた能力構築の機会を開発する。
Going forward, the ICRTF will build upon the successes of its inaugural year by operationalizing the tools and platforms developed by its members. Members will work toward attaining a comprehensive understanding of the ransomware threat by sharing information and exchanging knowledge through virtual seminars and labs. Members plan to create and share resources to build their national counter-ransomware capacity, working closely with the other pillars to develop practical tools for governments to prevent, respond to, and recover from ransomware attacks, uplift cyber capabilities across the existing CRI membership, and advocate new membership to those countries who will most benefit from what the CRI has to offer. The ICRTF will also continue to support transnational operations conducted by its members and collaborate with industry to target disruptive activities at key components of ransomware ecosystem, in recognition that ransomware is a cross-border and cross-sectoral threat that necessitates close collaboration across governments and sectors to be effectively combatted.	今後、ICRTFは、メンバーによって開発されたツールやプラットフォームを運用することにより、初年度の成功を土台とする。メンバーは、バーチャル・セミナーやラボを通じて情報を共有し、知識を交換することで、ランサムウェアの脅威に対する包括的な理解を得ることに努める。メンバーは、各国政府がランサムウェア攻撃を防止、対応、復旧するための実用的なツールを開発し、既存のCRIメンバー全体のサイバー能力を向上させ、CRIが提供するものから最も恩恵を受ける国々に対して新規加入を勧めるため、他の柱と緊密に協力しながら、各国のランサムウェア対策能力を構築するためのリソースを作成し、共有することを計画している。ICRTFはまた、ランサムウェアが国境を越えたセクター横断的な脅威であり、効果的に対処するためには政府やセクターを超えた緊密な協力が必要であるとの認識の下、会員が実施する国境を越えた活動を引き続き支援し、ランサムウェアのエコシステムの主要な構成要素に破壊的な活動の照準を合わせるために産業界と協力していく。
The third convening of the CRI leveraged the expertise of like-minded partners, private sector participants, and capacity building experts to further reshape the cyber environment so members are better equipped to combat ransomware. Members from around the world reaffirmed our joint commitment to building out our toolkit for collective resilience to ransomware, cooperating to disrupt ransomware, and working together to curb the illicit money flow that ransomware actors rely upon. We are building capacity through long-term cooperative approaches and refining our understanding of accountability in cyberspace, bringing us one step closer to rooting out criminal actors and responding with collective resolve. The members express their gratitude towards the countries who have taken on leadership roles in the CRI: the United States as Secretariat; Australia as lead of the ICRTF; Singapore and the United Kingdom as Policy Pillar leads; and Germany and Nigeria as Diplomacy and Capacity Building Pillar leads. Through the Initiative’s annual meeting, as well as the dedicated work that is happening between each gatherings, we commit to working together on a policy and operational level to counter ransomware threats and hold perpetrators of these vicious attacks accountable.	CRIの第3回会合は、志を同じくするパートナー、民間セクターの参加者、能力構築の専門家の専門知識を活用し、サイバー環境をさらに再構築することで、メンバーがランサムウェアと闘うためのより良い体制を整えた。世界中のメンバーは、ランサムウェアに対する集団的な耐性を高めるためのツールキットを構築し、ランサムウェアを混乱させるために協力し、ランサムウェアの実行者が依拠する不正な資金の流れを抑制するために協力するという共同のコミットメントを再確認した。我々は、長期的な協力アプローチを通じて能力を構築し、サイバー空間におけるアカウンタビリティについての理解を深めることで、犯罪行為者を根絶し、集団的な決意をもって対応することに一歩近づいている。事務局を務める米国、ICRTFのリーダーを務めるオーストラリア、政策柱のリーダーを務めるシンガポールと英国、外交・能力構築柱のリーダーを務めるドイツとナイジェリアである。イニシアチブの年次会合や、会合の合間を縫って行われている献身的な活動を通じて、私たちは、ランサムウェアの脅威に対抗し、このような悪質な攻撃の加害者に責任を負わせるため、政策・運営レベルで協力していくことを約束する。

昨年

・2022.11.01 International Counter Ransomware Initiative 2022 Joint Statement

英国とシンガポールで

● Gov UK

・2023.11.02 UK and Singapore secure agreement against ransomware payments 

UK and Singapore secure agreement against ransomware payments	英国とシンガポール、身代金要求に対する合意を取り付ける
Members of the CRI have signed a joint statement pledging that central government funds should not be used to pay ransoms to cyber criminals.	CRIのメンバーは、中央政府の資金がサイバー犯罪者への身代金の支払いに使用されないことを誓約する共同声明に署名した。
In a world first, Counter Ransomware Initiative (CRI) members have signed a joint statement denouncing ransomware and payments being made to cyber criminals.	世界初の試みとして、ランサムウェア対策イニシアティブ（CRI）のメンバーは、ランサムウェアとサイバー犯罪者への支払いを非難する共同声明に署名した。
Led by the UK and Singapore, members of the CRI affirmed today (2 November) that relevant funds from central government should not be used to pay a ransomware attacker – the first international statement of its kind.	英国とシンガポールが主導するCRIのメンバーは本日（11月2日）、中央政府の関連資金をランサムウェア攻撃者への支払いに使うべきではないことを確認した。
It sends a clear message that the global community strongly opposes ransomware payments and is committed to disrupting organised cybercrime.	これは、国際社会がランサムウェアの支払いに強く反対し、組織的なサイバー犯罪を阻止することを約束するという明確なメッセージを送るものである。
The statement was signed on the same day the UK hosted the first ever global summit on artificial intelligence at Bletchley Park and is another demonstration of the UK’s leadership on cyber and tech issues globally.	この声明は、英国がブレッチリー・パークで人工知能に関する史上初の世界サミットを開催した同じ日に署名され、サイバーとハイテク問題における英国の世界的なリーダーシップのもうひとつの証明となった。
Security Minister Tom Tugendhat said:	トム・トゥゲンドハット安全保障相は次のように述べた：
Crime should not pay. That’s why the UK and her allies are demonstrating leadership on cybersecurity by pledging not to pay off criminals when they try and extort the taxpayer using ransomware.	犯罪にお金を払ってはならない。だからこそ、英国とその同盟国は、犯罪者がランサムウェアを使って納税者から税金を脅し取ろうとしても、犯罪者に金を払わないと誓約することで、サイバーセキュリティに関するリーダーシップを発揮しているのだ。
This pledge is an important step forward in our efforts to disrupt highly organised and sophisticated cyber criminals, and sets a new global norm that will help disrupt their business models and deter them from targeting our country.	この誓約は、高度に組織化され洗練されたサイバー犯罪者を混乱させるための我々の努力における重要な前進であり、彼らのビジネスモデルを混乱させ、我が国を標的にすることを抑止するのに役立つ新たな世界的規範を設定するものである。
Ransomware criminals typically access a computer through a malicious piece of software and then often encrypt or steal data. The victim is then told that the offenders will decrypt or return the data in exchange for a large fee, paid in cryptocurrency.	ランサムウェアの犯罪者は通常、悪意のあるソフトウェアを通じてコンピューターにアクセスし、データを暗号化したり盗んだりする。そして被害者は、犯罪者が暗号通貨で支払う高額な料金と引き換えに、データを復号化または返却すると告げられる。
The joint statement makes clear that paying a fee only serves to benefit these organised criminals and provides an incentive to continue offending. It does not guarantee the release of data or the removal of malware from an affected network.	この共同声明は、手数料を支払うことはこれらの組織的犯罪者を利するだけであり、犯罪を継続するインセンティブを与えるだけであることを明確にしている。これは、データの公開や感染したネットワークからのマルウェアの除去を保証するものではない。
The CRI is the only dedicated multilateral body that the UK and international partners use to develop robust and effective policies and practices to enhance the global response to ransomware.	CRIは、ランサムウェアへの世界的な対応を強化するために、英国および国際的なパートナーが強固で効果的な方針と慣行を策定するために利用する唯一の多国間専門機関である。
A key ambition of the UK, and all international partners within the CRI, is to stem the flow of money to cyber criminals and build collective resilience through international cooperation and engagement.	英国およびCRI内のすべての国際的パートナーの重要な野心は、国際的な協力と関与を通じて、サイバー犯罪者への資金の流れを止め、集団的な回復力を構築することである。
Felicity Oswald, NCSC Chief Operating Officer, said:	NCSCの最高執行責任者であるフェリシティ・オズワルドは、次のように述べた：
Ransomware poses a significant threat to organisations in the UK and around the world and so international collaboration is essential for bearing down on cyber-criminal operations.	ランサムウェアは、英国および世界中の組織にとって重大な脅威であるため、サイバー犯罪の撲滅には国際的な協力が不可欠である。
The joint statement today demonstrates that the UK and a likeminded community of countries do not support payment of online criminals as we know this only makes the threat landscape worse for everyone.	今日の共同声明は、英国や同様の考えを持つ国々のコミュニティが、オンライン犯罪者への支払いを支持しないことを示している。
Many ransomware incidents can be prevented by ensuring that appropriate security measures are in place. We strongly encourage organisations to follow NCSC advice to effectively mitigate the risks and help protect themselves online.	ランサムウェアの多くは、適切なセキュリティ対策を講じることで防ぐことができる。我々は、組織がNCSCのアドバイスに従い、リスクを効果的に軽減し、オンライン上で自らを守ることを強く推奨する。
It has been a long-standing policy that the UK government will never meet the demands of ransomware actors, and no fee has ever been paid by central government, but this is the first time the position has been publicly confirmed.	英国政府はランサムウェアの実行者の要求には決して応じないというのが長年の方針であり、中央政府から料金が支払われたことは一度もないが、この立場が公に確認されたのは今回が初めてである。
Further to this, the National Crime Agency’s Strategic Risk Assessment 2023 states that the biggest threat comes from Russian-speaking crime groups who are tolerated by, and sometimes linked to, the Russian state.	さらに、国家犯罪庁の戦略的リスクアセスメント2023では、最大の脅威はロシア語を話す犯罪グループによるものであり、彼らはロシア国家によって容認され、時にはロシア国家と結びついているとしている。
The UK’s cyber resilience, however, is among the strongest in the world and the government has taken steps to enhance the nation’s defences. This includes the NCSC’s online ransomware hub, which is accessible through their website and provides expert information and practical advice for organisations.	しかし、英国のサイバー耐性は世界で最も強固なもののひとつであり、政府は国の防御を強化するための措置を講じている。 これにはNCSCのオンライン・ランサムウェア・ハブが含まれ、ウェブサイトからアクセス可能で、専門的な情報と実践的なアドバイスを組織に提供している。
The UK additionally has the capability to work with international partners to target and disrupt cyber criminals.	英国はさらに、国際的なパートナーと協力してサイバー犯罪者を標的にし、混乱させる能力を持っている。
This includes 2 comprehensive sanctions packages which were issued in unison with the United States. The sanctions targeted 18 Russian-speaking cyber criminals who were responsible for extorting at least £150 million ($180 million) from victims globally. In the UK there were 149 victims who collectively lost £27 million.	これには、米国と一体となって発動された2つの包括的制裁パッケージが含まれる。この制裁は、全世界の被害者から少なくとも1億5000万ポンド（1億8000万ドル）を恐喝したロシア語を話す18人のサイバー犯罪者を標的にした。英国では149人の被害者がおり、合計で2700万ポンドを失った。
The National Crime Agency has additionally been involved in several high-profile operations which have led to the shutdown of prolific organised crime groups. This includes HIVE, which provided ransomware software to cybercriminals and extorted more than $100 million.	国家犯罪対策庁はさらに、大規模な組織犯罪グループの閉鎖につながったいくつかの有名な作戦にも関与している。その中には、サイバー犯罪者にランサムウェア・ソフトウェアを提供し、1億ドル以上を恐喝したHIVEも含まれている。
The statement was agreed by all countries present at the Summit. The statement, and the list of signatories, can be viewed on GOV.UK.	この声明は、サミットに出席したすべての国によって合意された。声明と署名者のリストはGOV.UKで見ることができる。
The CRI was created in 2021 and is chaired by the United States. Membership is voluntary.	CRIは2021年に創設され、米国が議長を務めている。加盟は任意である。

● まるちゃんの情報セキュリティ気まぐれ日記

・2022.11.03 国際ランサムウェア対策イニシアティブ 2022 共同声明 (2022.11.01)

・2021.11.05 米国 White House 国際的なランサムウェア対策の継続的な取り組みに関する声明

2023.11.11 07:10 in 情報セキュリティ / サイバーセキュリティ, in 法律 / 犯罪 | Permalink | Comments (0)
Tweet

2023.11.10

世界経済フォーラム (WEF) サイバー犯罪と凶悪犯罪は融合しつつある：どのように対策するか？ (2023.10.31)

こんにちは、丸山満彦です。

・2023.10.31 Cybercrime and violent crime are converging: here’s how to deal with it

インターネットの普及で、人々は便利に買い物できるようになり、しかもグローバルでやり取りができるようになった、のですが、犯罪者にとっても同じはなしで、グローバルにより低コストで犯罪ができるようになったという話ですね。。。人身売買が取り上げられています。。。

まぁ、ネット取引の内容が、合法か違法かの違いだけですからね。。。

2023.11.10 05:48 in 法律 / 犯罪, in AI/Deep Learning | Permalink | Comments (0)
Tweet

世界経済フォーラム (WEF) サイバーセキュリティにとって人工知能は両刃の剣 (2023.10.27)

こんにちは、丸山満彦です。

世界経済フォーラム (WEF)が、11月13日〜15日で開催される年次総会の一部として、サイバーセキュリティにとって人工知能は両刃の剣という記事をのせていますね。。。

・2020.10.25 『スマートサイバー AI活用時代のサイバーリスク管理』第24回サイバー犯罪に関する白浜シンポジウムの発表資料

・2023.10.27 The double-edged sword of artificial intelligence in cybersecurity

生成的AIが身近に使えることになって、大きく環境はかわったということで、AIが再びクローズアップされて、サイバーセキュリティと関連して、このような話題が増えていますね。。。

（攻撃サイド）生成的AIをつかって新たなマルウェアを量産できる？

（防御サイド）AIを使って効率的に防御する

みたいな話ですよね。。。

2020年に私がサイバー犯罪に関する白浜シンポジウムで話をした内容も参考にしてくださいませ。。。

● まるちゃんの情報セキュリティ気まぐれ日記

・[PDF] スマートサイバー　AI活用時代のサイバーリスク管理（配布用）

2023.11.10 05:34 in 情報セキュリティ / サイバーセキュリティ, in 法律 / 犯罪, in AI/Deep Learning | Permalink | Comments (0)
Tweet

2023.11.09

米国 CISA 脆弱性悪用可能性交換情報の発行時期

こんにちは、丸山満彦です。

VEX (脆弱性悪用可能性交換情報）の発行時期に関する文書がCISAから公開されていますね。。。

● CISA

・2023.11.06 When to Issue VEX Information

CISA Published When to Issue VEX Information	CISA、VEX情報の発行時期を発表
Today, CISA published When to Issue Vulnerability Exploitability eXchange (VEX) Information, developed by a community of industry and government experts with the goal to offer some guidance and structure for the software security world, including the large and growing global SBOM community.	本日、CISAは「脆弱性悪用可能性交換（VEX）情報の発行時期（When to Issue Vulnerability Exploitability eXchange (VEX) Information）」を公表した。これは、業界と政府の専門家からなるコミュニティが、大きく成長しつつある世界的なSBOMコミュニティを含むソフトウェアセキュリティの世界に何らかの指針と仕組みを提供することを目的として開発したものである。
This guide explains the circumstances and events that could lead an entity to issue VEX information and describes the entities that create or consume VEX information. Whether, and when, to issue VEX information is a business decision for most suppliers and possibly a more individual decision for independent open source developers. This document identifies factors that influence the decision.	このガイドでは、事業体がVEX情報を発行する可能性のある状況や事象について説明し、VEX情報を作成または消費する事業体について記述する。VEX 情報を発行するかどうか、またいつ発行するかは、ほとんどの供給者にとってはビジネス上の決定であり、おそらく独立したオープンソース開発者にとってはより個人的な決定である。この文書では、その決定に影響を与える要因を特定する。
For more information, read the new reference material When to Issue Vulnerability Exploitability eXchange (VEX) Information.	詳細については、新しい参考資料「脆弱性悪用可能性交換（When to Issue Vulnerability Exploitability eXchange: VEX）情報」を参照のこと。

・2023.11.06 When to Issue VEX Information

・[PDF] When to Issue VEX Information

When to Issue VEX Information	VEX情報の発行時期
Introduction	序文
“The goal of Vulnerability Exploitability eXchange (VEX) is to allow a software supplier or other parties to assert the exploitability status of specific vulnerabilities in a particular product or set of products.” Issuing VEX information allows developers, suppliers, and others to provide information in a human-readable and machine-comprehensible format, regardless of whether or not software is affected by a specific vulnerability. This allows downstream users to make their own assessments of the risks associated with the vulnerability.	脆弱性悪用可能性交換（VEX）の目的は、ソフトウェア供給者などが、特定の製品または製品群における特定の脆弱性の悪用可能性を主張できるようにすることである。 VEX情報を発行することで、ソフトウェアが特定の脆弱性の影響を受けるかどうかにかかわらず、開発者、供給者、その他の関係者が、人間が読め、機械が理解できる形式で情報を提供できるようになる。これにより、下流のユーザーは、脆弱性に関連するリスクを独自にアセスメントすることができる。
This document seeks to explain the circumstances and events that could lead an entity to issue VEX information and describes the entities that create or consume VEX information. Whether, and when, to issue VEX information is a business decision for most suppliers and possibly a more individual decision for independent open source developers. This document identifies factors that influence the decision.	本文書は、事業体がVEX情報を発行することになる状況や事象を説明し、VEX情報を作成または消費する事業体について説明することを目的とする。VEX 情報を発行するかどうか、いつ発行するかは、ほとんどの供給者にとってはビジネス上の決定事項であり、独立したオープンソース開発者にとっては、おそらくより個人的な決定事項である。本文書は、その決定に影響を与える要因を特定する。
For background information on VEX, including definitions of VEX data elements and other terminology used in this document, see Minimum Requirements for Vulnerability Exploitability eXchange (VEX),^[1] Vulnerability Exploitability eXchange (VEX) - Status Justifications,^[2] and Vulnerability Exploitability eXchange (VEX) - Use Cases.^[3]	脆弱性悪用可能性交換（VEX）の最低要件[1]、脆弱性悪用可能性交換（VEX） - 状況の正当性[2]、および脆弱性悪用可能性交換（VEX） - 使用事例[3]を参照のこと。
Who issues VEX information	誰が VEX 情報を発行するか
Various roles may issue VEX information. This section offers some common examples, but it is not meant to be an exhaustive or limiting set.	さまざまな役割が VEX 情報を発行する可能性がある。このセクションでは、一般的な例をいくつか示すが、網羅的または限定的なセットであることを意図するものではない。
Supplier	供給者
A supplier is an entity that provides a particular product, software package, library, or component. A supplier could be the original developer of the software, a downstream commercial user, or a third party that repackages the software as a component or dependency of another product. Examples of suppliers include individual software developers, commercial software or device producers, and Linux distributions. Suppliers can issue VEX information to inform their users or customers about the status of a vulnerability in a given product.	供給者とは、特定の製品、ソフトウェアパッケージ、ライブラリ、コンポーネントをプロバイダとして提供する事業体である。供給者は、そのソフトウエアの最初の開発者、下流の商用ユーザ、またはそのソフトウエアを他の製品のコンポーネントや依存要素として再パッケージ化するサードパーティである。供給者の例としては、個々のソフトウェア開発者、商用ソフトウェアやデバイスの製造者、Linuxディストリビューションなどがある。供給者は、ある製品の脆弱性の状況をユーザや顧客に知らせるために、VEX情報を発行することができる。
Open-source software	オープンソースソフトウェア
In the context of open source software, active developers, maintainers, or project members are examples of suppliers who could provide VEX information. If such roles do not exist, downstream users or community members could provide VEX information. Unmaintained software carries a variety of security and development risks beyond the availability of VEX information.	オープンソースソフトウェアの文脈では、活動的な開発者、メンテナ、またはプロジェクトメンバが、VEX情報を提供できる供給者の例である。そのような役割が存在しない場合、下流のユーザやコミュニティメンバが VEX 情報を提供する可能性がある。保守されていないソフトウェアには、VEX 情報の利用可能性以外にも、様々なセキュリティリスクや開発リスクがある。
Researcher	研究者
A researcher or finder is an individual or organization that conducts security research or similar assessments and discovers potential vulnerabilities. Examples of this would be individual security researchers or academics, professional bug bounty hunters, or commercial security companies. Researchers could use VEX to report vulnerabilities to suppliers or to publish the status of their findings. Depending on the researcher’s visibility and access to the software, their VEX information may be different than VEX information from suppliers.	研究者または発見者は、セキュリティ研究または類似の評価を実施し、潜在的な脆弱性を発見する個人または組織である。この例としては、個人のセキュリティ研究者や学者、プロのバグ報奨金ハンター、あるいは商業的なセキュリティ会社が挙げられる。研究者は、脆弱性を供給者に報告したり、発見した状況の公表のために VEX を利用することができる。ソフトウエアに対する研究者の可視性とアクセス権によっては、研究者の VEX 情報は、供給者の VEX 情報とは異なるかもしれない。
Vulnerability coordinator	脆弱性コーディネーター
A vulnerability coordinator is not directly involved in the production of software and assists suppliers, researchers, and others to disclose vulnerabilities in a way that minimizes overall risk. Examples include publicly funded teams like CISA and JPCERT/CC. Commercial bug bounty platforms can also act as coordinators. Coordinators could issue VEX information to provide the status of cases they coordinate. Depending on the coordinator’s visibility and access to the software, their VEX information may be different than VEX information from suppliers.	脆弱性コーディネータは、ソフトウェアの製造には直接関与せず、供給者、研究者、その他の者が全体的なリスクを最小化する方法で脆弱性を開示するのを支援する。例としては、CISA や JPCERT/CC のような公的資金で運営されているチームがある。商用のバグ報奨金プラットフォームもコーディネータとして機能することができる。コーディネータは、VEX 情報を発行して、コーディネートするケースの状況を提供することができる。コーディネーターの可視性とソフトウエアへのアクセスによって、コーディネーターのVEX情報は、供給者からのVEX情報とは異なる可能性がある。
Vulnerability detection and management	脆弱性の検知と管理
Vulnerability detection and management tools are designed to detect, manage, and report on vulnerabilities. Examples include proprietary or open source vulnerability scanners, software composition analysis (SCA), binary analysis, Application Security Posture Management (ASPM), penetration testing, and security information and event management (SIEM) systems. Such tools may consume or produce VEX information. To reduce false positives, these tools should sufficiently validate the accuracy of VEX information, involving human analysts when necessary.	脆弱性検知・管理ツールは、脆弱性を検知し、管理し、報告するように設計されている。例えば、プロプライエタリまたはオープンソースの脆弱性スキャナ、ソフトウェア構成分析（SCA）、バイナリ分析、アプリケーションセキュリティポスチャ管理（ASPM）、侵入テスト、セキュリティ情報・イベント管理（SIEM）システムなどがある。このようなツールは、VEX情報を消費または生成する可能性がある。誤検知を減らすために、これらのツールは、VEX 情報の正確性を十分に検証し、必要な場合は人間の分析者が関与すべきである。
Other parties	その他の関係者
Other parties that may issue VEX information include any entity that might assume responsibility for testing the security of particular software. Examples include regulators, reviewers, service providers, sophisticated software users, auditors, software and technology distributors, and contract software support organizations.	VEX 情報を発行する可能性のあるその他の関係者には、特定のソフトウエアのセキュリティをテストする責任を負う可能性のある事業体が含まれる。例えば、規制当局、レビュワー、サービスプロバイダー、高度なソフトウエアユーザー、監査人、ソフトウエア及び技術の販売業者、ソフトウエアのサポート業務を請け負う組織などである。
When VEX information could be issued	VEX情報の発行時期
Various events can drive the issuance of VEX information. The decisions and timing around providing VEX information are primarily business decisions and are not determined by a strict protocol. Common examples are described in this section. These examples are not intended to be comprehensive and are not organized in any specific way. These examples do not limit the events or time frames that can influence the issuance of VEX information.	VEX情報の発行は、様々な出来事によって推進される可能性がある。VEX情報の提供に関する決定とタイミングは、主としてビジネス上の決定であり、厳密な手順によって決定されるものではない。よくある例をこのセクションで説明する。これらの例は包括的であることを意図しておらず、特定の方法で整理されているわけでもない。これらの例は、VEX情報の発行に影響を及ぼしうる事象や時間枠を限定するものではない。
Upstream vulnerability discovered	上流で脆弱性が発見される
As new vulnerabilities are discovered and disclosed, it is common for users or customers to ask for status updates. Issuing VEX information allows users, customers, and the public (if desired) to see the current status and should reduce the number of questions about the vulnerability.	新たな脆弱性が発見され公表されると、ユーザーや顧客から状況の更新を求められるのが一般的である。VEX情報を発行することで、ユーザ、顧客、および（必要であれば）一般の人々が現在の状況を確認することができ、脆弱性に関する質問の数を減らすことができるはずである。
In the course of vulnerability management or other security monitoring activities, a supplier becomes aware of a newly discovered vulnerability that affects an upstream component used by one or more of the supplier’s products. While many upstream component vulnerabilities are not exploitable in downstream products, it is natural to assume that the presence of the vulnerable software or component implies risk, especially when the vulnerability is in a known component listed in a software bill of materials (SBOM).	脆弱性管理又は他のセキュリティ監視活動の過程で、供給者は、供給者の一つ又はそれ以上の製品で使用されている上流コンポーネントに影響する脆弱性が新たに発見されたことに気づく。上流コンポーネントの脆弱性の多くは下流製品では悪用できないが、脆弱性のあるソフトウェアやコンポーネントの存在はリスクを意味すると考えるのは自然なことである。
When this happens, users will attempt to determine to what extent they are affected by the vulnerability. It is common for users to contact the supplier directly, placing a burden on the supplier’s communications, support, and cybersecurity teams. By issuing VEX information, the supplier can reduce support calls and communications for incident response teams. As the supplier refines its understanding of the vulnerability, the supplier should update or issue additional VEX information. A vulnerability response program using VEX should provide uniform, up to date, and timely information to help users and suppliers manage their cybersecurity response.	このような場合、ユーザーは、自分たちが脆弱性の影響をどの程度受けるかを判断しようとする。ユーザが供給者に直接連絡するのが一般的であり、供給者のコミュニケーション、サポート、サイバーセキュリティチームに負担がかかる。VEX 情報を発行することで、供給者はサポートへの問い合わせやインシデント対応チームのコミュニケーションを減らすことができる。供給者が脆弱性の理解を深めるにつれて、供給者は追加の VEX 情報を更新または発行すべきである。VEX を使用する脆弱性対応プログラムは、ユーザと供給者がサイバーセキュリティ対応を管理するのに役立つ、統一された最新かつタイムリーな情報を提供すべきである。
Significant public attention	大きな社会的注目
When a vulnerability is “in the news” (see Figure 1Figure 1) and receiving significant public attention—often in the case of “zero-day,” other surprising public disclosure, or reports of active exploitation—it is imperative to provide status and mitigation information using VEX. Users, customers, and the public can access VEX information to obtain the latest vulnerability and exploitability information about the newly disclosed vulnerability. Even when suppliers are also surprised by the disclosure, they can use VEX to convey status information, including an initial “under_investigation.” Other parties can also issue VEX information. For example, a researcher or analyst could confirm exploitability for certain products or components.	脆弱性が「ニュースになり」（図 1 図 1 を参照）、社会的に大きく注目されている場合（多くの場合、「ゼロデイ」、その他の驚くような一般公開、または活発な悪用の報告の場合）には、VEX を使用してステータスと低減情報を提供することが不可欠である。ユーザ、顧客、および一般市民は、VEX の情報にアクセスすることで、新たに公開された脆弱性に関する最新の脆弱性と悪用可能性に関する情報を入手することができる。供給者もまた開示に驚いている場合でも、VEXを使用して、最初の "under_investigation "を含むステータス情報を伝えることができる。他の関係者もVEX情報を発行することができる。例えば、研究者やアナリストは、特定の製品やコンポーネントについて悪用可能性を確認することができる。

Figure 1: Timeline of named vulnerabilities	図 1: 名前が付けられた脆弱性のタイムライン
Active exploitation	積極的な悪用
When determining what vulnerabilities can have the most significant impact on the software supply chain, organizations should prioritize vulnerabilities causing immediate harm based on current adversarial activity. VEX “affected” status means that a vulnerability is exploitable, subject to a variety of circumstances. VEX does not specifically describe threat or the degree to which a vulnerability is being exploited, however, such information could be included in the “action_statement” field. Timeliness of notification when considering actively exploited vulnerabilities is vital. This will ensure organizations that consume the software product or component in question are equipped with the necessary information to limit their likelihood of compromise during the time in which the product or underlying components are actively targeted by malicious actors.	ソフトウェア・サプライチェーンに最も重大な影響を及ぼす脆弱性を決定する場合、組織は、現在の敵対的な活動に基づいて、直接的な被害をもたらす脆弱性に優先順位を付けるべきである。VEX の「影響を受ける（affected）」ステータスは、脆弱性が悪用可能であることを意味する。VEX では、脆弱性の脅威や脆弱性が悪用されている度合いを具体的に記述していないが、「action_statement」フィールドにそのような情報を含めることは可能である。積極的に悪用される脆弱性を考慮する場合、通知の適時性は極めて重要である。これにより、当該ソフトウェア製品またはコンポーネントを利用する組織は、当該製品またはその基礎となるコンポーネントが悪意のある行為者に積極的に狙われている間、侵害の可能性を抑えるために必要な情報を確実に入手することができる。
There are a variety of public and proprietary sources that organizations may use to determine what known vulnerabilities are being actively exploited in the wild. For example, CISA maintains a publicly available database of exploited vulnerabilities in the Known Exploited Vulnerability (KEV) catalog.[4]	どのような既知の脆弱性が積極的に悪用されているかを判断するために、組織が利用できるさまざまな公開情報源や専有情報源がある。例えば、CISA は、Known Exploited Vulnerability（KEV）カタログにおいて、悪用された脆弱性の公開データベースを維持している[4]。
Status changes	状況の変化
In general, VEX issuers are expected to communicate any changes in status. Ideally, when a new vulnerability is disclosed, an “under_investigation” status should be issued. When the investigation has concluded, status should be updated, for example, noting that the product is “affected” or “not_affected.”	一般に、VEX の発行者は、ステータスに変更があれば、それをコミュニケーションすることが期待される。理想的には、新たな脆弱性が公表された場合、「調査中」のステータスが発行されるべきである。調査が終了したら、ステータスを更新し、例えばその製品が "affected" あるいは "not_affected" であることを示すべきである。
VEX information includes timestamps to indicate when the information was first issued and most recently updated. By updating a timestamp but not changing status or other information, a VEX issuer can reaffirm that the current status remains accurate at the present time.	VEXの情報には、その情報が最初に発行され、直近で更新された時期を示すタイムスタンプが含まれる。タイムスタンプは更新するが、ステータスやその他の情報は変更しないことで、 VEX発行者は、現在のステータスが現時点でも正確であることを再確認できる。
In addition to changes in vulnerability status, VEX can also convey changes to remediation actions (“action_statement”) and further details about “not_affected” status (“impact_statement”).	脆弱性ステータスの変更に加えて、VEXは改善措置の変更（「action_statement」）や「not_affected」ステータスの詳細（「impact_statement」）も伝えることができる。
Coordinated vulnerability disclosure	調整された脆弱性の開示
Coordinated vulnerability disclosure (CVD) and VEX are independent concepts and VEX is neither required by CVD nor does VEX affect CVD. VEX can be used during CVD whenever parties want to convey vulnerability status. For example, a researcher can use VEX as part of a private vulnerability report to a supplier or a supplier can use VEX to privately inform other suppliers. As covered elsewhere, VEX can be used in published vulnerability advisories.	調整された脆弱性の開示（CVD）とVEXは独立した概念であり、VEXはCVDに要求されるものでも、VEXがCVDに影響するものでもない。VEXは、当事者が脆弱性の状態を伝えたいときはいつでも、CVD中に使用することができる。例えば、研究者が供給者にプライベートな脆弱性報告の一部としてVEXを使用したり、供給者が他の供給者にプライベートな情報を伝えるためにVEXを使用したりすることができる。また、VEXは公表された脆弱性アドバイザリにも使用できる。
Legal requirements	法的要件
There may be legal requirements that create an obligation to issue VEX information. Contract terms could require that a supplier provides VEX information. Industries or sectors could develop guidance about using VEX. Governments could require the use of VEX, for example, in safety-regulated sectors.	VEX情報を発行する義務を生じさせる法的要件があるかもしれない。契約条項により、供給者がVEX情報を提供することを義務付けることができる。業界や部門がVEXの使用に関する指針を策定することができる。ガバナンスは、例えば安全規制部門においてVEXの使用を義務付けることができる。
Discussion	議論
While not strictly required for decisions to issue VEX information, the following sections provide additional guidance that may be important in deciding when to issue VEX information.	VEX情報を発行する決定には厳密には必要ではないが、以下のセクションは、VEX情報をいつ発行するかを決定する際に重要となりうる追加ガイダンスを提供する。
Tools and automation	ツールと自動化
To work well at scale, VEX will require automation and tools that support the ecosystem. In general, such tools can be grouped into the following three functional categories:	VEXを規模に応じてうまく機能させるためには、エコシステムをサポートする自動化とツールが必要となる。一般的に、そのようなツールは以下の3つの機能カテゴリーに分類することができる：
1. Tools that support the creation and maintenance of VEX information	1. VEX情報の作成と保守をサポートするツール
2. Tools that support the consumption of VEX information, also including automated response tools	2. VEX情報の消費をサポートするツール（自動応答ツールも含む
3. Tools that provide distribution or retrieval methods for VEX information	3. VEX情報の配布または検索方法をプロバイダするツール。
Different VEX implementations provide these functions within their ecosystem. Interoperability will be important as VEX concepts and implementations develop to support automation and VEX users choose the most appropriate tools for their ecosystems.	さまざまなVEX実装が、それぞれのエコシステム内でこれらの機能をプロバイダしている。VEXのコンセプトと実装が自動化をサポートするように発展し、VEXユーザーがそれぞれのエコシステムに最も適したツールを選択するようになれば、相互運用性が重要になる。
In general, the cost of tool creation, communication, and consumption can be reduced dramatically through automation. Nevertheless, some parts, e.g., the analysis of whether the product is affected, might still need human interaction and will therefore be hard to automate. Also, the unique identification of products and correlation against existing inventories are difficult problems to solve at scale, as long as there is a lack of consensus around a global software identification system.	一般的に、ツールの作成、コミュニケーション、消費にかかるコストは、自動化によって劇的に削減できる。とはいえ、いくつかの部分、例えば製品が影響を受けるかどうかの分析には、まだ人間との対話が必要な場合があり、自動化は難しいだろう。また、製品の一意な識別と既存の在庫との相関は、グローバルなソフトウェア識別システムに関するコンセンサスがない限り、大規模に解決するのは難しい問題である。
Software supply chain considerations	ソフトウェア・サプライチェーンの考慮事項
Supply chains and dependency relationships influence when to issue and how to use VEX information. Status inheritance	サプライチェーンと依存関係は、VEX 情報をいつ発行し、どのように使用するかに影響する。ステータスの継承
VEX information conveys data to VEX consumers who are often developers or suppliers. As a warning, VEX consumers should carefully evaluate if it is valid to inherit status from upstream components. Strictly speaking, consumers should not assume the status of an upstream component applies to a product that uses the component. Each component or product throughout a supply chain may require an independent VEX evaluation.	VEX情報は、多くの場合開発者や供給者であるVEXコンシューマーにデータを伝える。警告として、VEXコンシューマは、上流のコンポーネントからステータスを継承することが妥当かどうかを注意深く評価すべきである。厳密に言えば、コンシューマは、上流コンポーネントのステータスが、そのコンポーネントを使用する製品に適用されると仮定すべきではない。サプライチェーン全体を通して、各コンポーネントまたは製品ごとに、独立したVEX評価が必要となる場合がある。
In certain cases, and with due consideration, a VEX consumer may assume the VEX status of an upstream component can be inherited downstream. For example, a VEX status of “not_affected” with justification “component_not_present” or “vulnerable_code_not_present” could be inherited downstream, unless the vulnerable code is re-introduced elsewhere downstream.	場合によっては、十分な配慮のもと、VEXの消費者は、上流部品のVEXステータスが下流に継承されると仮定してもよい。例えば、「component_not_present」又は「vulnerable_code_not_present」の正当性を伴う「not_affected」の VEX ステータスは、脆弱性コードが下流の別の場所に再導入されない限り、下流に継承される可能性がある。
Multiple supply chain paths	複数のサプライチェーンパス
VEX consumers should evaluate all supply chain paths and deconflict VEX information for multiple occurrences of the same upstream component. For example, the same upstream component may be used by multiple intermediate components and appear in multiple supply chain paths. To comprehensively evaluate supply chain paths, all VEX information needs to be provided and collected. Accurate SBOM information is important in understanding supply chain paths. VEX authors should consider how best to provide up to date VEX information to VEX consumers.	VEX コンシューマは、すべてのサプライチェーンパスを評価し、同じ上流コンポーネントが複数存在する場合、VEX 情報の矛盾を解消すべきである。例えば、同じ上流コンポーネントが複数の中間コンポーネントによって使用され、複数のサプライチェーンパスに現れることがある。サプライチェーンパスを包括的に評価するためには、全てのVEX情報をプロバイダが提供し、収集する必要がある。正確な SBOM 情報は、サプライチェーンパスを理解する上で重要である。VEX認可者は、VEX消費者に最新のVEX情報を提供する最善の方法を検討すべきである。
Trust in VEX information	VEX情報の信頼性
VEX conveys assertions from the author. The downstream consumer of this information chooses the level of trust and confidence to place in this information. VEX information itself does not convey trust between VEX authors and consumers. Digitally signing VEX information is recommended to support trust in the origin and integrity of the information. Authors and consumers have different types of trust relationships and varying requirements to understand the pedigree and provenance of VEX information. VEX consumers may choose to apply additional validation of VEX information and authors, based on the consumer’s regulatory, compliance, or risk management obligations.	VEXは認可者の主張を伝えるものである。この情報の川下の消費者は、この情報にどの程度の信頼と確信を置くかを選択する。VEX情報そのものは、VEX作成者とVEX消費者の間の信頼を伝えるものではない。情報の出所と完全性に対する信頼を裏付けるために、VEX情報にデジタル署名を付けることが推奨される。認可者と消費者は、異なるタイプの信頼関係を持ち、VEX情報の血統と出所を理解するための要件も様々である。VEX コンシューマは、コンシューマの規制、コンプライアンス、またはリスクマネジメントの義務に基づき、VEX 情報および著者について追加的な検証を適用することを選択することができる。
It is common and reasonable to treat VEX information from a supplier as authoritative for components and products produced or maintained by that supplier. VEX, however, does not dictate this or any trust policy. VEX includes authorship (the “author” field) and VEX consumers are free to determine their trust in sources of VEX information.	供給者が製造または保守する部品および製品については、供給者からのVEX情報を権威あるものとして扱うことが一般的かつ合理的である。ただし、VEXはこれまたはいかなる信頼方針も指示しない。VEXには認可（"author "フィールド）が含まれており、VEXの消費者はVEXの情報源に対する信頼を自由に決定することができる。
Open-source software	オープンソースソフトウェア
Regarding VEX, both open source and proprietary software components should operate similarly. For downstream consumers and suppliers of open source components, there are nuances around how upstream open source communities manage vulnerabilities.	VEXに関しては、オープンソースソフトウェアもプロプライエタリなソフトウェアコンポーネントも、同様に運用されるべきである。オープンソースコンポーネントの下流の消費者と供給者にとっては、上流のオープンソースコミュニティが脆弱性をどのように管理するかについて、微妙な違いがある。
For the purposes of VEX and the scope of this document, there are no meaningful differences between open source and proprietary software. Open source components are widely used in proprietary software products and open source suppliers can and should issue VEX information. Open source components can be used in different ways and independent VEX information should be issued for each use of any upstream component. However, it is important to acknowledge that many open source projects and maintainers do not have the resources to create and update VEX information. Similar to proprietary software, no user of open source software should assume that the absence of VEX, or other vulnerability information, implies a lack of risk.	VEXの目的と本文書の範囲では、オープンソースとプロプライエタリ・ソフトウェアの間に意味のある違いはない。オープンソース・コンポーネントは、プロプライエタリ・ソフトウェア製品に広く使用されており、オープンソース・供給者は、VEX情報を発行することができ、また発行すべきである。オープンソースコンポーネントは、様々な方法で使用することができ、アップストリームコンポーネントの使用ごとに、独立したVEX情報を発行すべきである。しかし、多くのオープンソースプロジェクトやメンテナには、VEX情報を作成・更新するリソースがないことを認識することが重要である。プロプライエタリ・ソフトウェアと同様に、オープンソースソフトウェアの利用者は、VEXやその他の脆弱性情報がないことを、リスクがないことを意味すると考えるべきではない。

[1] CISA. Minimum Requirements for Vulnerability Exploitability eXchange (VEX). Apri 21, 2023. https://www.cisa.gov/resources -tools/resources/minimum -requirements -vulnerability -exploitability - exchange -vex .

[2] CISA. Vulnerability Exploitability eXchange (VEX) Status Justification Document. June 1, 2022. https://www.cisa.gov/resources -tools/resources/vulnerability -exploitability -exchange - vex -status -justification -document -june -2022 .

[3] CISA. Vulnerability Exploitability eXchange (VEX) Use Case Document. April 1, 2022. https://www.cisa.gov/resources -tools/resources/vulnerability -exploitability -exchange -vex -use -case - document -april -2022 .

[4] CISA. Known Exploited Vulnerabilities Catalogue. October 10, 2023. https://www.cisa.gov/known -exploited vulnerabilities -catalog

2023.11.09 12:48 in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in 安全保障 | Permalink | Comments (0)
Tweet

IPA サイバーセキュリティ経営ガイドライン Ver 3.0実践のためのプラクティス集 (2023.10.31)

こんにちは、丸山満彦です。

案内は来ていたのですが、ここで紹介するのが遅れました(^^;;

● IPA

・2023.10.31 サイバーセキュリティ経営ガイドライン Ver 3.0実践のためのプラクティス集

[PDF] プラクティス集第4版

[PDF] 第4版変更履歴

気になるところはありますよね。。。

こちらに↓

プラクティス集アンケート

● まるちゃんの情報セキュリティ気まぐれ日記

イギリス版?

・2023.06.27 英国 NSCS （サイバーセキュリティ向け）リスクマネジメントガイドの改訂 (2023.06.23) + 取締役会向けサイバーセキュリティ・ツールキット (2023.03.30)

経営ガイドライン

・2023.03.26 経済産業省サイバーセキュリティ経営ガイドラインVer 3.0

・2023.03.09 総務省経済産業省警察庁、内閣官房「サイバー攻撃被害に係る情報の共有・公表ガイダンス」を公表

・2022.12.10 経団連「サイバーセキュリティ経営ガイドライン Ver3.0 (案) 」に対する意見

・2022.06.16 経済産業省「サイバーセキュリティ体制構築・人材確保の手引き」（第2.0版）

・2022.03.30 IPA サイバーセキュリティ経営ガイドライン Ver 2.0実践のためのプラクティス集

・2021.08.18 経済産業省 / IPA サイバーセキュリティ経営可視化ツールWeb版（V1.0版）

・2021.04.27 経済産業省「サイバーセキュリティ体制構築・人材確保の手引き」（第1.1版）

・2021.04.06 IPA 「2020年度サイバーセキュリティ経営ガイドライン実践のためのプラクティスの在り方に関する調査」報告書

・2020.09.30 経済産業省からサイバーセキュリティ経営ガイドラインVer2.0の付録として「サイバーセキュリティ体制構築・人材確保の手引き」が公開されていますね。。。

・2020.06.04 IPA サイバーセキュリティ経営ガイドライン Ver 2.0実践のためのプラクティス集

・2020.03.26 IPA サイバーセキュリティ経営ガイドライン実践状況の可視化ツールβ版

2023.11.09 06:50 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in フォレンジック, in 監査 / 認証, in ESG/CSR, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in IoT | Permalink | Comments (0)
Tweet

AICPA & CIMA 2023 エンタープライズリスク監視の世界情勢 - 第6版

こんにちは、丸山満彦です。

米国公認会計士協会＆公認管理会計士協会が「2023 エンタープライズリスク監視の世界情勢 - 第6版」を公表しています。

● AICPA & CIMA

・2023.10.31 2023 Global State of Enterprise Risk Oversight – 6th Edition

2023 Global State of Enterprise Risk Oversight – 6th Edition	2023 エンタープライズリスク監視の世界情勢 - 第6版
No organization is immune to uncertainties in the global economy that can trigger risks at any point. Organizations of all types, industries, sizes, and geographies face risks that can impact – both positively and negatively – an entity’s mission, business model, and strategies. Ignoring the importance of effective enterprise-wide risk oversight can blindside senior executives and their boards, negatively impacting an organization’s resiliency toward withstanding events that might derail strategic objectives or threaten the entity’s survivability. Said differently, risk oversight makes good business sense.	どのような組織も、グローバル経済の不確実性を免れることはできない。あらゆる種類、業種、規模、地域の組織が、事業体のミッション、ビジネスモデル、戦略にプラスにもマイナスにも影響を与えうるリスクに直面している。効果的なエンタープライズ全体のリスク監視の重要性を無視すると、経営幹部や取締役会が盲目となり、戦略目標を頓挫させたり、事業体の存続を脅かしたりするような事象に耐えるための組織のレジリエンスに悪影響を与えかねない。言い方を変えれば、リスク監視はビジネス上の理にかなっている。
To gain a global perspective on the state of risk oversight practices in organizations around the world the AICPA & CIMA in partnership with North Carolina State University ERM Initiative, surveyed executives to understand what processes they have in place to navigate the rapidly changing risk landscape. The report summarizes findings from 983 executives in organizations around the world and provides insights on the current state of enterprise-wide risk oversight across four separate geographic regions:	AICPAとCIMAは、ノースカロライナ州立大学ERMイニシアチブと共同で、世界中の組織におけるリスク監視の実践状況をグローバルな視点から把握するため、経営幹部を対象に調査を実施した。本レポートは、世界中の組織のエグゼクティブ983名から得た調査結果をまとめたもので、4つの地域別にエンタープライズ全体のリスク監視の現状に関する洞察を提供している：
• Europe & the U.K.	・欧州&英国
• Asia & Australasia	・アジア&オーストラレーシア
• Africa & the Middle East	・アフリカ&中東
• United States	・米国

・[PDF] [downloaded]

主な発見事項...

KEY FINDINGS	主な発見
Messaging from the organisation’s leaders may be negatively impacting the “tone at the top” about the value of risk oversight. Failure to communicate the importance of risk management may lead to per- ceptions that there are other more important priorities and there are insufficient resources available for investing in risk oversight. Risk oversight leadership may be needed to help shift the mindset across the organisation about the need for risk management for strategic decision making.	組織のリーダーからのメッセージは、リスク監視の価値に関する「トップのトーン」に悪影響を及ぼしている可能性がある。リスクマネジメントの重要性が伝わらないと、他にもっと重要な優先事項があるとのコミュニケーションにつながり、リスク監視に投資できるリソースが不足する可能性がある。戦略的意思決定におけるリスクマネジメントの必要性について、組織全体の考え方を転換させるためには、リスク監視のリーダーシップが必要かもしれない。
Uncertain Levels of Board Engagement	不透明な取締役会の関与
While the oversight of management’s risk-taking actions is a critical responsibility for the full board of directors, most boards delegate risk oversight responsibilities to a subcommittee. U.S. organisations are more likely to delegate to the audit committee while organisations in Asia & Australasia and Africa and the Middle East are more likely to delegate to risk committees. What is uncertain is the extent to which the full board is robustly engaged in risk oversight activities. Are tasks delegated fully?	リスクマネジメントの行動を監視することは、取締役会全体にとって重要な責任であるが、ほとんどの取締役会はリスク監視責任を小委員会に委任している。米国の組織は監査委員会に委任する傾向が強いが、アジア・オーストラレーシア、アフリカ・中東の組織はリスク委員会に委任する傾向が強い。不透明なのは、取締役会全体がリスク監視活動にどの程度しっかりと関与しているかという点である。タスクは完全に委譲されているか？
While strategy and risk oversight are core responsibilities of the full board of directors, less than one- half of the organisations’ boards discuss information generated by the ERM process when discussing the strategic plan.	戦略とリスク監視は取締役会の中核的責務であるが、戦略計画を議論する際に、ERMプロセスから生み出された情報を議論している組織の取締役会は半数以下である。
Boards in Asia & Australasia and Africa & the Middle East are much more likely to be demanding more senior executive involvement in risk oversight relative to those in Europe & the UK and the U.S. That likely explains why the CEOs in those regions are also wanting more involvement as well.	アジア・オーストラレーシア、アフリカ・中東の取締役会は、欧州・英国、米国の取締役会に比べて、リスク監視への上級幹部の関与を求める傾向が強い。
Investment in Risk Identification Practices Warranted	リスク識別プラクティスへの投資は正当化される
While many organisations have implemented important components of an effective risk oversight pro- cess, there are large percentages of organisations that are lacking some of the basic risk identification processes.	多くの組織が効果的なリスク監視プロセスの重要な構成要素を導入している一方で、基本的なリスク識別プロセスの一部が欠けている組織もかなりの割合で存在する。
Organisations in Asia & Australasia and in Africa & the Middle East are noticeably more likely to have formal policy statements regarding their enterprise-wide approach to risk oversight. However, about half of the organisations in other regions, especially the U.S., have not done so.	アジアとオーストラレーシア、アフリカと中東の組織は、リスク監視に対するエンタープライズ全体のアプローチに関する正式な方針声明を持っている傾向が顕著である。しかし、その他の地域、特に米国では、約半数の組織がこれを実施していない。
U.S. organisations report to be least likely to maintain risk inventories on a formal basis and are least likely (relative to the other three regions) to formally update their risk inventories. If management and the board fail to have any organized list of potential risk exposures on the horizon, they are likely to take a scatterplot view of possible risks as they digest the latest news coming into view. That may be distracting them from risks most relevant to their organisation.	米国の組織は、リスク・インベントリーを公式ベースで維持している可能性が最も低く、また、リスク・インベントリーを公式に更新している可能性も（他の3地域と比較して）最も低い。リスクマネジメントや取締役会が、潜在的なリスクエクスポージャーの整理されたリストを持っていない場合、彼らは、視界に入る最新のニュースを消化する際に、起こりうるリスクを散布図的に捉えてしまう可能性が高い。そのため、組織に最も関連するリスクから目をそらしている可能性がある。
Most respondents are not satisfied with the robustness of their key risk indicators regarding their en- tity’s top risk exposures.	ほとんどの回答者は、自社のトップリスク・エクスポージャーに関する主要リスク指標の堅牢性に満足していない。
****** *	****** *
Where Do We Go From Here?	我々はこれからどこへ向かうのか？
Hopefully these insights will spur conversation among executives and boards about changes needed to their organisation’s risk oversight approach. Failure to rethink and redesign how the organisation is managing risks means risk management practices embraced decades ago are the ones still being used in today’s incredibly complex, fast-changing environment.	これらの洞察が、組織のリスク監視アプローチに必要な変化について、経営幹部や取締役会の間で議論に拍車をかけることを願っている。組織がどのようにリスクを管理しているかを再考し、再設計することを怠ると、数十年前に採用されたリスクマネジメント慣行が、今日の驚くほど複雑で変化の激しい環境でも未だに使用されていることになる。
Scattered throughout this report are a number of thought questions for readers to assess their organ- isation’s risk management approach. At the end of the report, there are 10 Diagnostic Questions that can be used to foster discussions and dialogue among executives and boards about opportunities to enhance strategic insights that can be garnered from a strategically focused and robust risk manage- ment process.	本報告書には、読者が自組織のリスクマネジメントのアプローチを評価するための、いくつかの設問が散りばめられている。本レポートの最後には、戦略的に焦点を絞った強固なリスクマネジメントプロセスから得られる戦略的洞察力を強化する機会について、経営幹部や取締役会の間で議論や対話を促進するために使用できる10の診断用質問が掲載されている。

2023.11.09 06:38 in 内部統制 / リスクマネジメント | Permalink | Comments (0)
Tweet

2023.11.08

NTT Data 全国銀行データ通信システムの障害に関する取り組みについて

こんにちは、丸山満彦です。

2023.10.10に発生した全国銀行データ通信システムに関するシステム障害について、NTT Dataが発表をしていますね。。。

事実認識、発生原因分析等について、金融庁に中間報告を含めて11月末までに報告することになっていますから、その辺りで詳細なものが公表されるのかもしれません。

他山の石として役立つような報告書が公表されるとよいですね。。。

● NTT Data

・2023.11.06 全国銀行データ通信システムの障害に関する取り組みについて

2023年11月6日

株式会社NTTデータグループ

株式会社NTTデータグループ（以下、NTTデータグループ）は、10月10日に発生した全国銀行データ通信システムに関するシステム障害により、預金者・金融機関・関係各所・世の中の皆様に、多大なるご心配・ご迷惑をおかけしたことをお詫び申し上げます。
現時点でご説明できる全国銀行データ通信システムの障害の状況と今後の取り組みについて、別紙の通りご案内申し上げます。

別紙　

[downloaded]

金融庁からの報告徴収命令の件...

・2023.10.30 金融庁による報告徴求命令の受領について

2023年10月30日

株式会社NTTデータグループ

株式会社NTTデータグループ（以下、NTTデータグループ）は、10月10日に発生した全国銀行データ通信システムに関するシステム障害により、預金者・金融機関・関係各所・世の中の皆様に、多大なるご心配・ご迷惑をおかけしたことをお詫び申し上げます。
当グループ配下の株式会社NTTデータ（以下、NTTデータ）は、本障害及びその対応に関し、資金決済に関する法律第80条第2項にもとづく報告徴求命令を金融庁から10月27日に受領しました。
NTTデータは、本件に関する事実認識、発生原因分析等につき、金融庁に中間報告を含めて11月末までに報告予定です。

なお、本命令を受け、NTTデータグループとして、今回の障害が、日本の決済基盤を揺るがす重大トラブルである事を重く受け止め、グループ全体として取り組む所存です。
つきましては、社長の本間を筆頭とした総点検タスクフォースチーム（仮称）を立上げ、今回の全銀システム障害の真因分析・再発防止策検討は勿論、当該内容を踏まえた当社関連の重要システムの総点検を実施します。

影響がまだよく見えないし、そこまで大きな影響はないかもなので、特に記載はないですね。。。

・2023.11.06 2024年3月期第2四半期決算短信について

・2023.10.27 「統合レポート 2023」および「サステナビリティレポート2023 Data Book」の発行について

米国 SEC ソーラーウィンズ社と最高情報セキュリティ責任者を詐欺と内部統制の不備で告発 (2023.10.30)

こんにちは、丸山満彦です。

米国の証券取引委員会 (SEC) がソーラーウィンズ社と最高情報セキュリティ責任者(CISO)を詐欺と内部統制の不備で告発していますね。。。

内部統制に不備があり、その結果情報セキュリティリスクが高かったにも関わらず、そのリスクを適切に開示しておらず不適切で、投資家を騙す結果となったということで、SECが会社とCISOを訴えたということですかね。。。

情報セキュリティリスクが経営に与える影響は大きくなってきていて、CISOを設置する企業も増えていますが、その責任がより重くなってきているということですね。。。

CISOとしては、リスクを感じているのであれば、経営会議、取締役会等で適切い主張することが重要ですね。結果的にそれが、取締役会で否定されたとしても、その結果は議事録等に残る（残ってなかったら、残すようにいわないとだめですが...）ので、CISOの責任は一定軽減されることになると思います。。。

米国における財務諸表等の開示については、日本の感覚より、かなり厳しいという認識はもっておいたほうがよいと思います。内容の詳細さもそうなのですが、特に誠実さ。。。

日本では銀行預金が多いですが、米国では株式投資も普通で、資本主義社会として、投資は社会発展の重要なエンジンと考えていて、それに対する違反というのは、国家反逆罪的な勢いなのではないかと思います(^^)

訴訟の行方が注目されますね。。。

ちなみに、SolarWinds Onion製品はSBOMへの流れを加速したとも思うんですよね。。。という意味では、なかなか大きな事件だったとは思います。。。

● U.S. Securityes and Exchange Commission: SEC

・2023.10.30 SEC Charges SolarWinds and Chief Information Security Officer with Fraud, Internal Control Failures

SEC Charges SolarWinds and Chief Information Security Officer with Fraud, Internal Control Failures	米証券取引委員会（SEC）、ソーラーウィンズ社と最高情報セキュリティ責任者を詐欺と内部統制の不備で告発
Complaint alleges software company misled investors about its cybersecurity practices and known risks	ソフトウェア会社がサイバーセキュリティの実践と既知のリスクについて投資家を欺いたとして訴追される。
FOR IMMEDIATE RELEASE	即時リリース
2023-227	2023-227
Washington D.C., Oct. 30, 2023 —	ワシントンD.C.、2023年10月30日-。
The Securities and Exchange Commission today announced charges against Austin, Texas-based software company SolarWinds Corporation and its chief information security officer, Timothy G. Brown, for fraud and internal control failures relating to allegedly known cybersecurity risks and vulnerabilities. The complaint alleges that, from at least its October 2018 initial public offering through at least its December 2020 announcement that it was the target of a massive, nearly two-year long cyberattack, dubbed “SUNBURST,” SolarWinds and Brown defrauded investors by overstating SolarWinds' cybersecurity practices and understating or failing to disclose known risks. In its filings with the SEC during this period, SolarWinds allegedly misled investors by disclosing only generic and hypothetical risks at a time when the company and Brown knew of specific deficiencies in SolarWinds’ cybersecurity practices as well as the increasingly elevated risks the company faced at the same time.	証券取引委員会は本日、テキサス州オースティンを拠点とするソフトウェア会社ソーラーウィンズ・コーポレーションと同社の最高情報セキュリティー責任者であるティモシー・G・ブラウン氏に対し、既知のサイバーセキュリティーのリスクと脆弱性に関連した詐欺行為と内部統制の不備で告発したことを発表した。訴状では、少なくとも2018年10月の新規株式公開から、少なくとも2020年12月の「SUNBURST」と呼ばれる2年近くに及ぶ大規模なサイバー攻撃の標的であるとの発表まで、ソーラーウィンズ社とブラウンは、ソーラーウィンズ社のサイバーセキュリティの実践を過大に誇張し、既知のリスクを過小に開示したり開示しなかったりして投資家を欺いたとしている。この時期、ソーラーウインズ社はSECに提出した書類の中で、同社とブラウンはソーラーウインズ社のサイバーセキュリティ対策に具体的な欠陥があり、同時に同社が直面していたリスクがますます高まっていることを知っていたにもかかわらず、一般的で仮定のリスクしか開示せず、投資家を欺いたとされている。
As the complaint alleges, SolarWinds’ public statements about its cybersecurity practices and risks were at odds with its internal assessments, including a 2018 presentation prepared by a company engineer and shared internally, including with Brown, that SolarWinds’ remote access set-up was “not very secure” and that someone exploiting the vulnerability “can basically do whatever without us detecting it until it’s too late,” which could lead to “major reputation and financial loss” for SolarWinds. Similarly, as alleged in the SEC’s complaint, 2018 and 2019 presentations by Brown stated, respectively, that the “current state of security leaves us in a very vulnerable state for our critical assets” and that “[a]ccess and privilege to critical systems/data is inappropriate.”	訴状で主張されているように、サイバーセキュリティの実践とリスクに関するソーラーウインズ社の公式声明は、同社のエンジニアが作成し、ブラウン氏を含む社内で共有された2018年のプレゼンテーションを含め、ソーラーウインズ社のリモートアクセスのセットアップは「あまり安全ではない」、脆弱性を悪用する者は「基本的に手遅れになるまで検知せずに何でもできる」、ソーラーウインズ社にとって「大きな評判と財務上の損失」につながる可能性がある、といった同社の内部アセスメントと食い違っていた。同様に、SECの訴状で主張されているように、ブラウンによる2018年と2019年のプレゼンテーションでは、それぞれ、"セキュリティの現状は、当社の重要な資産にとって非常に脆弱性を残す状態 "であり、"重要なシステム／データへのアクセスと特権は不適切 "であると述べられている。
In addition, the SEC’s complaint alleges that multiple communications among SolarWinds employees, including Brown, throughout 2019 and 2020 questioned the company’s ability to protect its critical assets from cyberattacks. For example, according to the SEC’s complaint, in June 2020, while investigating a cyberattack on a SolarWinds customer, Brown wrote that it was “very concerning” that the attacker may have been looking to use SolarWinds’ Orion software in larger attacks because “our backends are not that resilient;” and a September 2020 internal document shared with Brown and others stated, “the volume of security issues being identified over the last month have [sic] outstripped the capacity of Engineering teams to resolve.”	さらにSECの訴状によると、2019年から2020年にかけて、ブラウンを含むソーラーウィンズ社の従業員の間で、同社の重要資産をサイバー攻撃から守る能力を疑問視するコミュニケーションが複数あったという。例えば、SECの訴状によると、2020年6月、ソーラーウインズ社の顧客に対するサイバー攻撃を調査していたブラウン氏は、攻撃者がソーラーウインズのOrionソフトウェアをより大規模な攻撃に利用しようとしていた可能性があることを「非常に懸念している」と記している。
The SEC’s complaint alleges that Brown was aware of SolarWinds’ cybersecurity risks and vulnerabilities but failed to resolve the issues or, at times, sufficiently raise them further within the company. As a result of these lapses, the company allegedly also could not provide reasonable assurances that its most valuable assets, including its flagship Orion product, were adequately protected.	SECの訴状によると、ブラウン氏はソーラーウインズ社のサイバーセキュリティのリスクと脆弱性を認識していたにもかかわらず、その問題を解決することを怠り、時には社内でさらに十分に問題提起することもしなかったという。こうした怠慢の結果、同社は主力製品であるOrionを含む同社の最も貴重な資産が適切に保護されているという合理的な保証も提供できなかったとされている。
SolarWinds made an incomplete disclosure about the SUNBURST attack in a December 14, 2020, Form 8-K filing, following which its stock price dropped approximately 25 percent over the next two days and approximately 35 percent by the end of the month.	ソーラーウインズ社は、2020年12月14日に提出したフォーム8-KでSUNBURST攻撃について不完全な開示を行い、その後株価は2日間で約25％、月末までに約35％下落した。
“We allege that, for years, SolarWinds and Brown ignored repeated red flags about SolarWinds’ cyber risks, which were well known throughout the company and led one of Brown’s subordinates to conclude: ‘We’re so far from being a security minded company,’” said Gurbir S. Grewal, Director of the SEC’s Division of Enforcement. “Rather than address these vulnerabilities, SolarWinds and Brown engaged in a campaign to paint a false picture of the company’s cyber controls environment, thereby depriving investors of accurate material information. Today’s enforcement action not only charges SolarWinds and Brown for misleading the investing public and failing to protect the company’s ‘crown jewel’ assets, but also underscores our message to issuers: implement strong controls calibrated to your risk environments and level with investors about known concerns.”	SEC執行部のガービル・S・グレワル部長は、次のように述べた。「ソーラーウインズ社とブラウン氏は何年もの間、ソーラーウインズ社のサイバーリスクに関する度重なる赤信号を無視していたと我々は主張している。ソーラーウインズ社とブラウン氏は、こうした脆弱性に対処するどころか、同社のサイバー管理環境について虚像を描くキャンペーンを展開し、投資家から正確な重要情報を奪った。本日の強制措置は、ソーラーウインズ社とブラウン氏が投資家を欺き、同社の "王冠の宝石 "のような資産を保護しなかったことを告発するだけでなく、発行体に対する我々のメッセージを強調するものである。」
The SEC’s complaint, filed in the Southern District of New York, alleges that SolarWinds and Brown violated the antifraud provisions of the Securities Act of 1933 and of the Securities Exchange Act of 1934; SolarWinds violated reporting and internal controls provisions of the Exchange Act; and Brown aided and abetted the company’s violations. The complaint seeks permanent injunctive relief, disgorgement with prejudgment interest, civil penalties, and an officer and director bar against Brown.	SECの訴状はニューヨーク州南部地区で提出され、ソーラーウィンズ社とブラウン氏が1933年証券法および1934年証券取引法の詐欺防止規定に違反したこと、ソーラーウィンズ社が証券取引法の報告および内部統制規定に違反したこと、ブラウン氏が同社の違反を幇助したことを主張している。訴状は、ブラウン氏に対し、永久的差止命令による救済、予見利息を伴う遺贈、民事罰、役員および取締役の資格停止を求めている。
The SEC’s investigation was conducted by W. Bradley Ney, Lory Stone, and Benjamin Brutlag, with assistance from the Trial Unit’s Christopher Bruckmann and Kristen Warden, and was supervised by Carolyn M. Welshhans and Melissa R. Hodgman. The SEC’s litigation will be led by Mr. Bruckmann and Ms. Warden under the supervision of Melissa Armstrong.	SECの調査は、W.ブラッドリー・ネイ、ローリー・ストーン、ベンジャミン・ブルトラグが行ない、トライアル・ユニットのクリストファー・ブルックマンとクリステン・ウォーデンが支援し、キャロリン・M.ウェルシュハンスとメリッサ・R.ホッジマンが監督した。SECの訴訟は、メリッサ・アームストロングの監督の下、ブルックマン氏とウォーデン氏が指揮する。

ちなみに、

欧州 EASA 航空安全に関する情報セキュリティ規則 (2023.10.31)

こんにちは、丸山満彦です。

欧州連合航空安全機関 (European Union Aviation Safety Agency: EASA) が情報セキュリティ規則への簡単アクセスツール (Easy Access Rules (EAR) for Information Security ) を公表していますね。。。欧州連合航空安全機関は、米国の連邦航空局 (Federal Aviation Administration: FAA) に相当する欧州の機関。。。

規則、委任規則、許容される遵守手段 (acceptable means of compliance: AMC) 、ガイダンス資料 (guidance material: GM) と複層的にルールが作られるので、それらを分かりやすく統合した資料という感じですね。。。

● European Union Aviation Safety Agency: EASA

プレス...

・2023.10.31 EASA published first Easy Access Rules for Information Security

規則...

・2023.10.31 First Easy Access Rules for Information Security (Regulations (EU) 2023/203 and 2022/1645)

・[PDF]

・[HTML]

・[XML]

全体像を理解するには、PDFの方が分かりやすいけど、使う時はHTMLの方がわかりやすいですね。。。

含まれる規則等...

Commission Implementing Regulation (EU) 2023/203	欧州委員会規則（EU）2023/203	欧州委員会規則（EU）No 1178/2011の対象となる組織および管轄当局のための、航空安全に影響を及ぼす可能性のある情報セキュリティリスク管理の要件に関する規則（EU）2018/1139の適用規則を定め、同規則を改正する規則。設計組織承認 (Design Organisations Approvals: DOA)、生産組織承認 (Production Organisations: POA)、エプロン管理者 (Apron Management)、飛行場運営者 (Aerodrome Operators) 向け
Commission Delegated Regulation (EU) 2022/1645	欧州委員会委任規則（EU）第2022/1645号	第748/2012号および（EU）第139/2014号の対象となる組織に対する航空安全に影響を及ぼす可能性のある情報セキュリティリスクの管理に関する要求事項に関して、規則（EU）2018/1139号の適用に関する規則を定め、同規則を改正する欧州委員会委任規則（EU）第2022/1645号
ED Decision 2023/008/R ‘Management of information security risks’	ED決定2023/008/R「情報セキュリティリスクの管理」	規則（EU）2022/1645および規則（EU）2023/203の条文に対するAMCおよびGMを規定する；
ED Decision 2023/009/R ‘Management of information security risks’	ED決定2023/009/R「情報セキュリティリスクの管理」	AMC&GMがPart-IS規制パッケージ（Part-IS.D.ORとPart-IS.I.OR）の実施を支援することを規定する。
ED Decision 2023/010/R ‘Management of information security risks’	ED決定2023/010/R「情報セキュリティリスクの管理」	AMCとGMがPart-IS規制パッケージ（Part-IS.AR）の実施を支援することを規定する。

Continue reading "欧州 EASA 航空安全に関する情報セキュリティ規則 (2023.10.31)"

2023.11.08 06:18 in 情報セキュリティ / サイバーセキュリティ, in 法律 / 犯罪, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in IoT | Permalink | Comments (0)
Tweet

2023.11.07

EDPS AI法に関するEDPS最終提言 (2023.10.24)

こんにちは、丸山満彦です。

欧州データ保護監督官 (European Data Protection Supervisor: EDPS)が、欧州AI法案についての最終提言を発表していました。。。

機械学習によるAIはデータを使うわけなので、どうしてもプライバシーとの調整が避けられませんよね。。。AIの社会への影響力が大きければ、それだけプライバシー規制との調整も重要となる。。。

以下の感覚は重要だろうと思います...

個人とその基本的権利に許容できないリスクをもたらすAIシステムの使用を禁止することが最も重要である。これには、例えば、公共空間における人間の特徴やその他の行動信号の自動認識や、バイオメトリックな特徴に基づく個人の分類にAIシステムを使用することの禁止が含まれる。このような文脈でのAIシステムやリスクの高いAIシステムの使用は、個人の生活への侵入性が高く、人間の尊厳に影響を与えるため、禁止されるべきである。

● European Data Protection Supervisor: EDPS

プレスリリース

・2023.10.24 EDPS' Final Recommendations on the AI Act

EDPS' Final Recommendations on the AI Act	AI法に関するEDPSの最終提言
The EDPS published today its own-initiative Opinion on the Artificial Intelligence Act (AI Act) as this proposed Regulation enters the final stages of negotiations between the EU’s co-legislators. The AI Act aims to regulate the development and use of Artificial Intelligence (AI) systems in the EU, including in the EU institutions, bodies, offices and agencies (EUIs). With this Opinion, the EDPS provides specific suggestions focusing on the EDPS’ future tasks as the authority in charge of overseeing AI systems in the EUIs.	EDPSは本日、人工知能法（AI法）に関する独自の意見書を発表した。この規則案は、EUの共同立法者による交渉の最終段階に入った。AI法は、EUの機構、団体、事務所、機関（EUI）を含め、EUにおける人工知能（AI）システムの開発と利用を規制することを目的としている。本意見書により、EDPSは、EUIにおけるAIシステムの監督を担当する認可機関としてのEDPSの今後の任務に焦点を当てた具体的な提案を行う。
Wojciech Wiewiórowski, EDPS, said: “It is my duty to ensure that the tasks and duties of the EDPS, as the future AI Supervisor of the EUIs, are clearly spelled out so that we can guarantee that the AI systems used and developed by EUIs are safe and sound. I also reiterate my call for the prohibition of AI systems posing unacceptable risks to individuals.”	EDPSのWojciech Wiewiórowski氏は次のように述べている：「EUIが使用・開発するAIシステムが安全かつ健全であることを保証できるよう、EUIの将来のAI監督機関としてのEDPSの任務と義務を明確に規定することが私の義務である。また、個人にとって受け入れがたいリスクをもたらすAIシステムの禁止を改めて求める。
As stated by the European Data Protection Authorities in the EDPS-EDPB Joint Opinion on the AI Act, it is paramount that the use of AI systems that pose unacceptable risks to individuals and their fundamental rights are prohibited. This includes the prohibition to use AI systems for automated recognition of human features and other behavioural signals in public spaces, and the categorisation of individuals based on their biometric features, for example. Using AI systems and high-risk AI systems in these contexts should be prohibited due to their high level of intrusiveness into individuals’ lives, and their impact on human dignity.	AI法に関するEDPS-EDPB共同意見で欧州データ保護当局が述べているように、個人とその基本的権利に許容できないリスクをもたらすAIシステムの使用を禁止することが最も重要である。これには、例えば、公共空間における人間の特徴やその他の行動信号の自動認識や、バイオメトリックな特徴に基づく個人の分類にAIシステムを使用することの禁止が含まれる。このような文脈でのAIシステムやリスクの高いAIシステムの使用は、個人の生活への侵入性が高く、人間の尊厳に影響を与えるため、禁止されるべきである。
The AI Act designates the EDPS as notified body and market surveillance authority to assess the conformity of high-risk AI systems that are developed or deployed by EUIs; as well as competent authority for the supervision of the provision or use of AI systems by EUIs. Based on its experience with enforcing fundamental rights, the EDPS stands ready to take on the role of AI Supervisor of the EUIs. In this context, the EDPS requests that its role, tasks and powers are clarified under the AI Act, taking into account the particularities of the legal framework applicable to EUIs. The EDPS also reiterates the need for appropriate financial and human resources to fulfil its role as AI Supervisor.	AI法は、EDPSを、EUIが開発または導入する高リスクのAIシステムの適合性を評価する通知機関および市場監視当局、ならびにEUIによるAIシステムの提供または使用を監督する主務官庁として指定している。EDPSは、基本的権利の執行に関する経験に基づき、EUIのAI監督官の役割を担う用意がある。この観点から、EDPSは、EUIに適用される法的枠組みの特殊性を考慮し、その役割、任務、権限をAI法の下で明確化することを要請する。また、EDPSは、AI監督官としての役割を果たすために、適切な財政的・人的資源が必要であることを改めて表明する。
The EDPS considers that individuals affected by the use of AI systems should be provided with the right to lodge a complaint before a competent authority, in case providers and users of AI systems infringe on the AI Act. To this end, the AI Act should explicitly include the competence of the EDPS to receive complaints. More broadly, the EDPS recommends that data protection authorities are designated as national supervisory authorities under the AI Act to cooperate with authorities that have specific expertise in deploying AI systems, to ensure trustworthiness.	EDPSは、AIシステムのプロバイダや利用者がAI法を侵害した場合、AIシステムの利用によって影響を受ける個人が管轄当局に苦情を申し立てる権利を提供すべきであると考える。そのためには、AI法にEDPSが苦情を受け付ける権限を明記すべきである。より広義には、EDPSは、データ保護当局をAI法に基づく国内監督当局として指定し、AIシステムの導入に関する特定の専門知識を有する当局と協力することで、信頼性を確保することを提言する。
Persuaded that a European approach to enforcing the AI Act is essential, especially in cross-border cases, the EDPS welcomes the establishment of the European Artificial Intelligence Office (AI Office). The EDPS supports the objectives of the AI Office to centralise the enforcement of the AI Act in certain cases and to harmonise its application across the EU Member States. The EDPS also stands ready to perform joint investigations on equal footing with national supervisory authorities, as well as take part in the other activities of the AI Office.	AI法の施行には欧州のアプローチが不可欠であり、特に国境を越えたケースにおいて、EDPSは欧州人工知能庁（AI Office）の設立を歓迎する。EDPSは、特定のケースにおけるAI法の施行を一元化し、EU加盟国間での適用を調和させるというAIオフィスの目的を支持する。EDPSはまた、各国の監督当局と対等な立場で共同調査を行い、AIオフィスのその他の活動にも参加する用意がある。
Accordingly, the EDPS calls the co-legislator to attribute the voting rights to the EDPS as full member of the AI Office’s management board. Building on its experience as provider of the EDPB Secretariat, which has led to substantial savings and synergies, the EDPS requests to take on this role for the AI Office as well.	従って、EDPSは共同立法者に対し、EDPSをAIオフィスの経営委員会のフルメンバーとして議決権を与えるよう要請する。EDPSは、EDPB事務局のプロバイダとして大幅な経費節減と相乗効果をもたらした経験に基づき、AI事務局においてもこの役割を担うことを要請する。
Background information	背景情報
The rules for data protection in the EU institutions, as well as the duties of the European Data Protection Supervisor (EDPS), are set out in Regulation (EU) 2018/1725.	EU機構におけるデータ保護に関する規則および欧州データ保護監督者（EDPS）の任務は、規則（EU）2018/1725に定められている。
About the EDPS: The EDPS is the independent supervisory authority with responsibility for monitoring the processing of personal data by the EU institutions and bodies, advising on policies and legislation that affect privacy and cooperating with similar authorities to ensure consistent data protection. Our mission is also to raise awareness on risks and protect people’s rights and freedoms when their personal data is processed.	EDPSについて：EDPSは、EU機構および団体による個人データの処理を監視し、プライバシーに影響を及ぼす政策や法律について助言し、一貫したデータ保護を確保するために類似の当局と協力する責任を負う独立した監督当局である。また、個人データが処理される際のリスクについての認識を高め、人々の権利と自由を保護することも使命である。
Wojciech Wiewiórowski(EDPS) was appointed by a joint decision of the European Parliament and the Council to serve a five-year term, beginning on 6 December 2019.	ヴォイチェフ・ヴィエウォロフスキ（EDPS）は、欧州議会と理事会の共同決定により任命され、任期は2019年12月6日から5年間となった。

全文...

・2023.10.23 [PDF] Opinion 44/2023 on the Proposal for Artificial Intelligence Act in the light of legislative developments

第45回グローバル・プライバシー総会でEDPSが提出した「生成的人工知能に関する決議」

・2023.10.20 [PDF] Resolution on Generative Artificial Intelligence Systems

AIとデータ保護に関するEDPSの取り組みに関するファクトシート

・2023.10 [PDF] EDPS at work DATA PROTECTION and ARTIFICIAL INTELLIGENCE (AI)

・2023.10.24 Artificial Intelligence Act - Wojciech Wiewiórowski

2023.11.07 16:55 in 個人情報保護 / プライバシー, in 法律 / 犯罪, in AI/Deep Learning | Permalink | Comments (0)
Tweet

OECD OECDのAI原則の4年後の実施状況 (2023.10.27)

こんにちは、丸山満彦です。

これは、主要国のAI政策（法律、標準、原則）を簡単にまとめていて整理するのに役立ちますね。。。

2023年5月現在、OECDのAI政策データベースに報告されている各国のAI戦略

● OECD

・2023.10.27 The state of implementation of the OECD AI Principles four years on

・[PDF]

・[DOCX] 仮訳

こちらに記事として載せていて分かりやすいかも...

● OECD.AI

・2023.10.31 How countries are implementing the OECD Principles for Trustworthy AI

2023.11.07 15:18 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 法律 / 犯罪, in 内部統制 / リスクマネジメント, in AI/Deep Learning | Permalink | Comments (0)
Tweet

米国ピュー研究所米国民のプライバシー、AI等に対する意識調査 (2023.10.18)

こんにちは、丸山満彦です。

米国のシンクタンクであるピュー研究所 (Pew Reserch Center) [wikipedia] が米国民のプライバシー、AI等に対する意識調査の結果を発表していますね。。。

プライバシーについては、色々問題はあるのだろうけど、

言ったところで仕方ないし、むちゃくちゃ酷い状況でもなさそうなので、

まぁ、いいか...

ってかんじなんでしょうかね。。。興味深いですね。。。

● Pew Reserch Center

・2023.10.18 How Americans View Data Privacy

目次的...

How Americans View Data Privacy	アメリカ人はデータプライバシーをどう見ているか？
Role of social media, tech companies and government regulation	ソーシャルメディア、ハイテク企業、政府規制の役割
Americans’ day-to-day experiences with online privacy	アメリカ人のオンラインプライバシーに関する日々の経験
1. Views of data privacy risks, personal data and digital privacy laws	1. データ・プライバシーのリスク、個人データ、デジタル・プライバシー法についての見解
Personal data and information	個人データと情報
Feelings of concern, confusion and a lack of control over one’s data	自分のデータに対する不安、混乱、管理者不足を感じている。
Privacy laws and regulation	プライバシー法と規制
Americans largely favor more regulation to protect personal information	アメリカ人は個人情報保護のための規制強化に賛成している。
Trust in social media executives	ソーシャルメディア幹部への信頼
Children’s online privacy: Concerns and responsibility	子どものオンラインプライバシー：懸念と責任
Law enforcement and surveillance	法執行と監視
AI and data collection	AIとデータ収集
Trust in companies that use AI	AIを利用する企業への信頼
2. How Americans protect their online data	2. アメリカ人はオンライン・データをどのように保護しているか
How people approach privacy policies	人々はプライバシー・ポリシーにどのように取り組んでいるか
How people are protecting their digital privacy	人々はどのようにデジタルプライバシーを保護しているか
How Americans handle their passwords	アメリカ人はパスワードをどのように扱っているか
Data breaches and hacks	データ漏洩とハッキング
3. A deep dive into online privacy choices	3. オンライン・プライバシーの選択肢を深く掘り下げる
Identifying the most and least knowledgeable, confident and concerned	最も知識があり、自信があり、懸念している人とそうでない人を識別する。
Knowledge and privacy choices	知識とプライバシーの選択
Confidence and privacy choices	自信とプライバシーの選択
Concern and privacy choices	懸念とプライバシーの選択
The case of privacy policies	プライバシー・ポリシーの場合
Acknowledgments	謝辞
Methodology	調査方法
The American Trends Panel survey methodology	アメリカン・トレンド・パネルの調査方法
Appendix A: Law enforcement’s use of technology in investigations	附属書A：捜査における法執行機関のテクノロジー利用
Appendix B: Privacy outcomes by knowledge, confidence and concern	附属書B：知識、信頼、懸念別にみたプライバシーの成果
Appendix C: Confident and independent use of digital devices, by age and education	附属書C：デジタル機器の自信と自立した使用（年齢・教育別

サマリー的な部分。。。

How Americans View Data Privacy	アメリカ人はデータプライバシーをどう見ているか？
The role of technology companies, AI and regulation – plus personal experiences with data breaches, passwords, cybersecurity and privacy policies	テクノロジー企業、AI、規制の役割 - さらに、データ漏えい、パスワード、サイバーセキュリティ、プライバシーポリシーに関する個人的な経験も紹介する。
How we did this	調査方法
Pew Research Center has a long record of studying Americans’ views of privacy and their personal data, as well as their online habits. This study sought to understand how people think about each of these things – and what, if anything, they do to manage their privacy online.	ピュー・リサーチ・センターは、アメリカ人のプライバシーや個人データに対する考え方、オンライン習慣について長年調査してきた。この調査では、人々がこれらのそれぞれについてどのように考えているのか、また、オンラインでプライバシーを管理するために何かしているとすればどのようなことなのかを理解しようとした。
This survey was conducted among 5,101 U.S. adults from May 15 to 21, 2023. Everyone who took part in the survey is a member of the Center’s American Trends Panel (ATP), an online survey panel that is recruited through national, random sampling of residential addresses. This way nearly all U.S. adults have a chance of selection. The survey is weighted to be representative of the U.S. adult population by gender, race and ethnicity, partisan affiliation, education and other categories. Read more about the ATP’s methodology.	この調査は、2023年5月15日から21日にかけて、米国の成人5,101人を対象に実施された。この調査に参加した人は全員、当センターのアメリカン・トレンド・パネル（ATP）のメンバーである。ATPは、居住地の住所から全国的に無作為抽出されたオンライン調査パネルである。このようにして、ほぼすべての米国の成人が選ばれる可能性がある。この調査は、性別、人種、民族、党派、学歴、その他のカテゴリー別に、米国の成人人口を代表するように重み付けされている。ATPの方法論についてもっと読む。
Here are the questions used for this analysis, along with responses, and its methodology.	この分析に使用された質問と回答、そしてその方法は以下の通りである。
In an era where every click, tap or keystroke leaves a digital trail, Americans remain uneasy and uncertain about their personal data and feel they have little control over how it’s used.	すべてのクリック、タップ、キーストロークがデジタル痕跡を残す時代において、アメリカ人は自分の個人データについて不安と不確実性を抱えたままであり、その使用方法についてほとんどコントロールできていないと感じている。
This wariness is even ticking up in some areas like government data collection, according to a new Pew Research Center survey of U.S. adults conducted May 15-21, 2023.	2023年5月15日から21日にかけて実施されたピュー・リサーチ・センターの米国成人に対する新しい調査によると、この警戒心は、政府のデータ収集のような一部の分野ではさらに高まっている。

Today, as in the past, most Americans are concerned about how companies and the government use their information. But there have been some changes in recent years:	今日でも、過去と同様、ほとんどのアメリカ人は企業や政府が自分の情報をどのように利用するかに懸念を抱いている。しかし、近年いくつかの変化が見られる：
Americans – particularly Republicans – have grown more concerned about how the government uses their data. The share who say they are worried about government use of people’s data has increased from 64% in 2019 to 71% today. That reflects rising concern among Republicans (from 63% to 77%), while Democrats’ concern has held steady. (Each group includes those who lean toward the respective party.)	アメリカ人、特に共和党員は、政府が自分たちのデータをどのように利用するかについて、より懸念を強めている。政府による人々のデータ利用を懸念していると答えた人の割合は、2019年の64％から現在は71％に増加している。これは共和党員の懸念の高まり（63％から77％へ）を反映しているが、民主党員の懸念は安定している。(各グループは各政党寄りである。）

The public increasingly says they don’t understand what companies are doing with their data. Some 67% say they understand little to nothing about what companies are doing with their personal data, up from 59%.	企業が自分たちのデータで何をしているのか理解できないと言う人が増えている。企業が自分の個人データをどう扱っているのか、ほとんど何も理解していないと答えた人が59％から67％に増えた。
Most believe they have little to no control over what companies or the government do with their data. While these shares have ticked down compared with 2019, vast majorities feel this way about data collected by companies (73%) and the government (79%).	ほとんどの人が、企業や政府が自分のデータをどう扱うかについて、ほとんど何も管理できていないと考えている。この割合は2019年と比べて低下しているが、企業（73％）や政府（79％）が収集したデータについて、大多数がこのように感じている。
We’ve studied Americans’ views on data privacy for years. The topic remains in the national spotlight today, and it’s particularly relevant given the policy debates ranging from regulating AI to protecting kids on social media. But these are far from abstract concepts. They play out in the day-to-day lives of Americans in the passwords they choose, the privacy policies they agree to and the tactics they take – or not – to secure their personal information. We surveyed 5,101 U.S. adults using Pew Research Center’s American Trends Panel to give voice to people’s views and experiences on these topics.	我々は長年にわたり、データプライバシーに関するアメリカ人の意見を調査してきた。このトピックは現在も全米で注目されており、AIの規制からソーシャルメディア上の子供の保護に至るまで、さまざまな政策論争を考えると、特に関連性が高い。しかし、これらは抽象的な概念とは程遠い。これらの概念は、アメリカ人の日常生活において、彼らが選択するパスワード、同意するプライバシー・ポリシー、そして個人情報を保護するために取る（あるいは取らない）戦術の中で実践されている。我々は、ピュー・リサーチ・センターのアメリカン・トレンド・パネルを使って、5,101人の米国成人を調査し、これらのトピックに関する人々の見解と経験を明らかにした。
In addition to the key findings covered on this page, the three chapters of this report provide more detail on:	このページで取り上げた主な調査結果に加え、本レポートの3つの章では、さらに詳細な情報を提供している：
・Views of data privacy risks, personal data and digital privacy laws (Chapter 1). Concerns, feelings and trust, plus children’s online privacy, social media companies and views of law enforcement.	データ・プライバシーのリスク、個人データ、デジタル・プライバシー法についての見解（第1章）。懸念、感情、信頼、さらに子供のオンラインプライバシー、ソーシャルメディア企業、法執行機関の見解。
・How Americans protect their online data (Chapter 2). Data breaches and hacks, passwords, cybersecurity and privacy policies.	アメリカ人はオンラインデータをどのように保護しているか（第2章）。データ漏洩とハッキング、パスワード、サイバーセキュリティ、プライバシーポリシー。
・A deep dive into online privacy choices (Chapter 3). How knowledge, confidence and concern relate to online privacy choices.	オンライン・プライバシーの選択肢を深く掘り下げる（第3章）。知識、信頼、懸念がオンラインプライバシーの選択にどのように関係しているか。
Role of social media, tech companies and government regulation	ソーシャルメディア、ハイテク企業、政府規制の役割
Trust in social media CEOs	ソーシャルメディアCEOへの信頼
Americans have little faith that social media executives will responsibly handle user privacy.	アメリカ人は、ソーシャルメディアの経営陣が責任を持ってユーザーのプライバシーを扱うことをほとんど信用していない。
Some 77% of Americans have little or no trust in leaders of social media companies to publicly admit mistakes and take responsibility for data misuse.	約77％のアメリカ人は、ソーシャルメディア企業のリーダーが間違いを公に認め、データの誤用に責任を取ることをほとんど、あるいはまったく信用していない。
And they are no more optimistic about the government’s ability to rein them in: 71% have little to no trust that these tech leaders will be held accountable by the government for data missteps.	また、彼らを抑制する政府の能力についても楽観的ではない： 71%は、こうしたハイテク企業のリーダーがデータの誤用について政府から責任を問われることをほとんど信用していない。

Artificial intelligence	人工知能
People’s views on artificial intelligence (AI) are marked with distrust and worry about their data.	人工知能（AI）に対する人々の見方は、データに対する不信感と心配が際立っている。
As AI raises new frontiers in how people’s data is being used, unease is high. Among those who’ve heard about AI, 70% have little to no trust in companies to make responsible decisions about how they use it in their products.	AIが人々のデータの使われ方に新たなフロンティアをもたらす中、不安は高まっている。AIについて聞いたことがある人のうち70％が、自社製品への活用方法について責任ある決定を下す企業をほとんど信頼していない。
And about eight-in-ten of those familiar with AI say its use by companies will lead to people’s personal information being used in ways they won’t be comfortable with (81%) or that weren’t originally intended (80%).	また、AIをよく知る人の約10人に8人は、企業によるAIの利用は、人々の個人情報が本人にとって不都合な方法で利用されたり（81％）、本来意図されていなかった方法で利用されたり（80％）すると答えている。
Still, there’s some positivity: 62% of Americans who’ve heard of AI think that as companies use it, people’s information will be used to make life easier.	それでも、肯定的な意見もある。AIについて聞いたことがあるアメリカ人の62％は、企業がAIを使うことで、人々の情報が生活をより便利にするために使われると考えている。

Children’s online privacy	子供のオンラインプライバシー
Americans worry about kids’ online privacy – but largely expect parents to take responsibility. Some 89% are very or somewhat concerned about social media platforms knowing personal information about kids. Large shares also worry about advertisers and online games or gaming apps using kids’ data. And while most Americans (85%) say parents hold a great deal of responsibility for protecting kids’ online privacy, 59% also say this about tech companies and 46% about the government.	アメリカ人は子供のオンラインプライバシーを心配している。約89％が、ソーシャルメディア・プラットフォームが子供の個人情報を知っていることを非常に、あるいは多少心配している。また、広告主やオンラインゲーム、ゲームアプリが子供のデータを使用することを心配する割合も高い。そして、ほとんどのアメリカ人（85％）は、子供のオンラインプライバシーを保護する責任は親に大いにあると答えているが、59％はハイテク企業、46％は政府に対してもそう答えている。
Government regulation	政府による規制
There is bipartisan support for more regulation of what companies can do with people’s data. Some 72% of Americans say there should be more regulation than there is now; just 7% say there should be less. Support for more regulation reaches across the political aisle, with 78% of Democrats and 68% of Republicans taking this stance.	企業が人々のデータをどう扱うかについての規制強化については、超党派の支持がある。約72％のアメリカ人が、現在よりも規制を強化すべきだと回答している。規制強化への支持は政治的な隔たりを超えており、民主党の78％、共和党の68％がこの立場をとっている。
Americans’ day-to-day experiences with online privacy	オンラインプライバシーに関するアメリカ人の日々の経験
Americans’ day-to-day experiences reflect the difficulty of managing your privacy, even amid widespread concern. Some people are overwhelmed navigating the options tech companies provide or skeptical these steps will make a difference. And at times, people fail to take steps to safeguard their data.	アメリカ人の日々の経験は、広く懸念されている中でも、プライバシーを管理することの難しさを反映している。ハイテク企業が提供する選択肢をナビゲートすることに圧倒されたり、これらのステップが変化をもたらすかどうか懐疑的な人もいる。また、データを保護するための措置を講じないこともある。
Feelings about managing online privacy	オンライン・プライバシーの管理に対する感覚
Americans’ feelings about managing their online privacy range from confident to overwhelmed. Most Americans (78%) trust themselves to make the right decisions about their personal information.	オンライン・プライバシーの管理に関するアメリカ人の感覚は、自信に満ちたものから圧倒されるものまで様々である。ほとんどのアメリカ人（78％）は、自分の個人情報について正しい判断ができると信じている。
But a majority say they’re skeptical anything they do will make much difference. And only about one-in-five are confident that those who have their personal information will treat it responsibly.	しかし、大多数は、自分が何をしたところで大して変わらないと考えている。また、自分の個人情報を持っている人が、責任を持ってそれを扱うと確信している人は、5人に1人しかいない。

How people approach privacy policies	プライバシー・ポリシーに対する人々の考え方
Privacy policies used by apps, websites and other online services allow users to review and consent to what is being done with their data.	アプリやウェブサイト、その他のオンラインサービスで使用されるプライバシーポリシーは、ユーザーが自分のデータをどう扱うかを確認し、同意することを可能にする。
But many say privacy policies’ long and technical nature can limit their usefulness – and that consumers lack meaningful choices.	しかし、プライバシーポリシーの長さと技術的な性質が、その有用性を制限し、消費者が有意義な選択肢を持てないと言う人も多い。
Our survey finds that a majority of Americans ignore privacy policies altogether: 56% frequently click “agree” without actually reading their content.	我々の調査によると、アメリカ人の大多数はプライバシーポリシーを完全に無視している： 56％が実際に内容を読まずに「同意する」を頻繁にクリックしている。
People are also largely skeptical that privacy policies do what they’re intended to do. Some 61% think they’re ineffective at explaining how companies use people’s data. And 69% say they view these policies as just something to get past.	また、プライバシー・ポリシーが意図したとおりに機能しているかどうかについても、大多数が懐疑的である。約61％が、企業が人々のデータをどのように利用しているかを説明するのに有効でないと考えている。そして69%は、これらのポリシーはただ通り過ぎるためのものだと考えているという。

Password Overload	パスワード過剰
From social media accounts to mobile banking and streaming services, Americans must keep track of numerous passwords. This can leave many feeling fatigued, resigned and even anxious.	ソーシャルメディアのアカウントからモバイルバンキング、ストリーミングサービスに至るまで、アメリカ人は数多くのパスワードを管理しなければならない。そのため、多くの人が疲労感やあきらめ、さらには不安を感じている。
This survey finds about seven-in-ten Americans (69%) are overwhelmed by the number of passwords they have to keep track of. And nearly half (45%) report feeling anxious about whether their passwords are strong and secure.	この調査では、10人に7人のアメリカ人（69％）が、管理しなければならないパスワードの数に圧倒されていることがわかった。また、半数近く（45％）が、自分のパスワードが強固で安全かどうか不安に感じていると報告している。
But despite these concerns, only half of adults say they typically choose passwords that are more secure, even if they are harder to remember. A slightly smaller share opts for passwords that are easier to remember, even if they are less secure.	しかし、このような懸念があるにもかかわらず、たとえ覚えにくくても、より安全なパスワードを選ぶのが普通だと答えた成人は半数に過ぎない。安全性が低くても、覚えやすいパスワードを選ぶ人の割合はやや少ない。

Password management	パスワード管理
The public is adopting a range of strategies for managing their passwords.	一般の人々は、パスワードの管理に様々な戦略を採用している。
Some 41% of Americans say they always, almost always or often write down their passwords. A slightly smaller share (34%) save their passwords in their browser with the same frequency. And 21% regularly reset the passwords to their online accounts.	約41％のアメリカ人が、パスワードを常に、またはほとんど常に、あるいはしばしば書き留めていると答えている。同じ頻度でブラウザにパスワードを保存している人の割合は、34％とやや少ない。また、21％が定期的にオンラインアカウントのパスワードをリセットしている。
These tactics vary across age groups. Some 63% of Americans ages 65 and older regularly write their passwords down. By contrast, 49% of adults under 30 say the same about saving their passwords in their browser.	これらの戦術は年齢層によって異なる。65歳以上のアメリカ人の約63％が定期的にパスワードを書き留めている。対照的に、30歳未満の成人の49%は、ブラウザにパスワードを保存することについて同じことを答えている。
One recommended approach to password management is becoming more common: More Americans are turning to password managers for help.	パスワード管理に対する一つの推奨アプローチが一般的になりつつある。
The share who say they use a password manager has risen from 20% in 2019 to 32% today. And roughly half of those ages 18 to 29 (49%) say they use these tools.	パスワード・マネージャーを利用していると答えた人の割合は、2019年の20％から現在は32％に上昇している。また、18歳から29歳の約半数（49％）がこれらのツールを使っていると答えている。

Smartphone security	スマートフォンのセキュリティ
Even so, some riskier privacy habits linger. Notably, 16% of smartphone users say they do not use a security feature – like a passcode, fingerprint or face recognition – to unlock their phone.	それでも、いくつかの危険なプライバシー習慣は残っている。特筆すべきは、スマートフォンユーザーの16％が、パスコード、指紋認証、顔認証などのセキュリティ機能を使ってロックを解除していないと答えていることだ。
And this is more common among older smartphone users. Those ages 65 and older are more likely than adults under 30 to say they do not use a security feature to unlock their mobile devices (28% vs. 9%).	そして、これは高齢のスマートフォンユーザーに多い。65歳以上では、30歳未満の成人よりも、携帯端末のロック解除にセキュリティ機能を使用していないと回答する割合が高い（28％対9％）。
Still, most users across age groups do take this security precaution.	それでも、年齢層を問わず、ほとんどのユーザーがこのセキュリティ対策を行っている。

Data breaches and hacks	データ漏洩とハッキング
Today’s data environment also comes with tangible risks: Some Americans’ personal information has fallen into the wrong hands.	今日のデータ環境には具体的なリスクも伴う：一部のアメリカ人の個人情報が悪用されているのだ。
Roughly one-quarter of Americans (26%) say someone has put fraudulent charges on their debit or credit card in the last 12 months. And 11% have had their email or social media accounts taken over without permission, while 7% have had someone attempt to open a line of credit or apply for a loan in their name.	アメリカ人のおよそ4分の1（26％）が、過去12ヶ月の間にデビットカードやクレジットカードに不正な請求をされたと答えている。また、11％がEメールやソーシャルメディアのアカウントを勝手に乗っ取られた経験があり、7％が自分の名前でクレジットラインを開設されたり、ローンを申し込まれたりした経験がある。
All told, 34% have experienced at least one of these things in the past year.	合計すると、34％が過去1年間にこれらのうち少なくとも1つを経験している。

・[PDF]

2023.11.07 00:00 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in AI/Deep Learning | Permalink | Comments (0)
Tweet

2023.11.06

米国の「人工知能の安全、安心、信頼できる開発と利用に関する大統領令」についての各界からの反応...

こんにちは、丸山満彦です。

2023.10.30に「人工知能の安全、安心、信頼できる開発と利用に関する大統領令」(Factsheet, EO)が発出されましたが、これについての反応...

まぁ、概ね期待する意見ですね。。。

議会関係

● Senate Committee on Homeland Security Gvoernmental Affairs

・2023.10.31 PETERS STATEMENT ON PRESIDENT BIDEN’S EXECUTIVE ACTIONS ON ARTIFICIAL INTELLIGENCE

PETERS STATEMENT ON PRESIDENT BIDEN’S EXECUTIVE ACTIONS ON ARTIFICIAL INTELLIGENCE	バイデン大統領の人工知能に関する行政行動に関するピーターズの声明
WASHINGTON, DC – U.S. Senator Gary Peters (D-MI), Chairman of the Homeland Security and Governmental Affairs Committee, released the following statement after President Joe Biden issued an executive order to establish new standards for use of artificial intelligence (AI):	ワシントンDC - 国土安全保障・政府問題委員会委員長のゲーリー・ピーターズ上院議員（民主党）は、ジョー・バイデン大統領が人工知能（AI）利用に関する新たな標準を定める大統領令を発表したことを受け、以下の声明を発表した：
“We need to ensure there are guardrails in place for artificial intelligence to be used safely, ethically, and in a way that protects privacy rights and American jobs. The executive actions the Administration announced today will build on legislation I passed into law to set standards for how the federal government uses artificial intelligence and will help expand those standards to the private sector. It’s critical that we work to help ensure the United States continues to lead the world in artificial intelligence development and its safe and responsible use.”	「我々は、人工知能が安全かつ倫理的に、そしてプライバシーの権利とアメリカの雇用を保護する方法で使用されるためのガードレールを確保する必要がある。本日ガバナンスが発表した行政措置は、連邦政府が人工知能をどのように利用するかの標準を定めるために私が可決し、法律化した法案を基礎とするものであり、そうした標準を民間部門に拡大する一助となる。米国が人工知能の開発とその安全かつ責任ある利用において、世界をリードし続けることを確実にするために、我々が取り組むことは極めて重要だ。
The Executive Order announced today comes after the AI in Government Act, which Peters cosponsored, became law in 2020. That legislation required the Administration to provide resources and guidance to federal agencies on the responsible acquisition and use of AI, advancing AI innovation, and managing AI risks in the federal government. The Executive Order reiterates and expands on the requirements of the AI in Government Act, and tasks the Office of Management and Budget to provide specific guidelines and oversee government use of AI.	本日発表された大統領令は、ピーターズが共同提出したAI in Government Actが2020年に法制化された後のものだ。この法律は、AIの責任ある取得と使用、AIイノベーションの促進、連邦政府におけるAIのリスクマネジメントについて、連邦政府機関にリソースとガイダンスを提供することをガバナンスに求めていた。大統領令は、AI in Government Actの要件を繰り返し、さらに拡大し、行政管理予算局に具体的なガイドラインを提供し、政府によるAIの利用を監督するよう命じている。
In addition, the Executive Order requires federal agencies to make AI training opportunities available. This requirement builds on Peters’ legislation that was signed into law in 2022 to create a training program to help federal employees responsible for purchasing and managing AI capabilities better understand the capabilities and risks of these technologies. Peters has also introduced bipartisan legislation to create an AI training program for federal supervisors and management officials.	さらに大統領令は、連邦政府機関に対してAIのトレーニング機会を提供することを求めている。この要求は、AI能力の購入と管理を担当する連邦政府職員が、これらの技術の能力とリスクをよりよく理解できるようにするための研修プログラムを創設するもので、2022年に署名されたピーターズの法案に基づくものである。ピーターズ氏はまた、連邦政府の監督・管理官を対象としたAI研修プログラムを創設する超党派法案を提出している。
The Executive Order also reiterates the requirements set out in Peters’ Advancing American AI Act—which was signed into law last year—for federal agencies to protect privacy, civil rights, and civil liberties, among other considerations, when purchasing AI systems, and for agencies to ensure transparency through publication of inventories of the AI systems they are using. The Administration is also requiring federal agencies to appoint a Chief AI Officer and creating an inter-agency AI Council, both requirements that Peters championed through his AI LEAD Act, which passed out of the Homeland Security and Governmental Affairs Committee earlier this year. The Executive Order also highlights the importance of transparency when agencies use automated systems. Peters’ bipartisan Transparent Automated Governance Act would require federal agencies to notify individuals when they are interacting with or subject to decisions made using automated systems, and directs agencies to establish a redress process with human review of AI-generated decisions.	大統領令はまた、昨年署名されたピーターズのAdvancing American AI Actで規定された、連邦政府機関がAIシステムを購入する際にプライバシー、公民権、市民的自由などを保護すること、そして連邦政府機関が使用しているAIシステムのインベントリーを公表することで透明性を確保することを改めて要求している。この2つの要件は、ピーターズ氏が今年初めに国土安全保障・政府問題委員会を通過させた「AI LEAD Act（AIリード法）」を通じて提唱したものである。大統領令はまた、各省庁が自動システムを利用する際の透明性の重要性を強調している。ピーターズ氏の超党派の「透明性のある自動ガバナンス法」は、連邦政府機関に対して、自動システムを使って意思決定が行われた場合、またはその対象となった場合、その旨を個人に通知することを義務付けるもので、AIが生成した意思決定について、人間がレビューする救済プロセスを確立するよう指示している。

政府関係...

ホームランドセキュリティ省

● Department of Homeland Security: DHS

・2023.10.30 Statement from Secretary Mayorkas on President Biden’s Executive Order on Artificial Intelligence

Statement from Secretary Mayorkas on President Biden’s Executive Order on Artificial Intelligence	バイデン大統領の人工知能に関する大統領令に関するマヨルカス長官の声明
Release Date: October 30, 2023	発表日 2023年10月30日
WASHINGTON – Today, Secretary of Homeland Security Alejandro N. Mayorkas released the following statement regarding the Biden-Harris Administration Executive Order on Artificial Intelligence:	ワシントン - 本日、アレハンドロ・N・マヨルカス国土安全保障長官は、バイデン-ハリス政権による人工知能に関する大統領令に関して以下の声明を発表した：
“I was proud to join President Biden at the White House today to mark the signing of his Executive Order on Artificial Intelligence (AI). The President has asked the Department of Homeland Security (DHS) to play a critical role in ensuring that AI is used safely and securely. This is a top priority for our Department.	「本日、ホワイトハウスでバイデン大統領とともに、人工知能（AI）に関する大統領令に署名できたことを誇りに思う。大統領は国土安全保障省（DHS）に対し、AIが安全かつ確実に使用されるよう、重要な役割を果たすよう要請した。これは当省の最優先事項である。
“The unprecedented speed of AI’s development and adoption presents significant risks we must quickly mitigate, along with opportunities to advance and improve our work on behalf of the American people. The President’s Executive Order defines a seminal path for the safe and secure use of AI. It directs DHS to manage AI in critical infrastructure and cyberspace, promote the adoption of AI safety standards globally, reduce the risk of AI’s use to create weapons of mass destruction, combat AI-related intellectual property theft, and ensure our immigration system attracts talent to develop responsible AI in the United States. The AI Safety and Security Advisory Board, which I look forward to chairing, will bring together industry experts, leading academics, and government leaders to help guide the responsible development and safe deployment of AI.	「前例のないスピードで進むAIの開発と普及は、米国民のために我々の活動を前進・改善させる機会とともに、我々が速やかに低減しなければならない重大なリスクをもたらしている。大統領令は、AIの安全かつ確実な利用のための重要な道筋を定義している。DHSに対し、重要インフラやサイバー空間におけるAIのマネジメント、世界的なAI安全基準の採用促進、AIが大量破壊兵器を生み出すリスクの低減、AI関連の知的財産の窃盗との闘い、米国で責任あるAIを開発する人材を惹きつける移民制度の確保を指示している。私が議長を務めることを楽しみにしているAI安全・セキュリティ諮問委員会は、業界の専門家、一流の学者、政府のリーダーを集め、AIの責任ある開発と安全な配備を導く手助けをする。
“DHS is already deploying AI responsibly to achieve our missions, and this Executive Order will build on that leadership. In April 2023, I established the Department’s first AI Task Force to drive specific applications of AI and, since then, we have quickly developed guidance on the acquisition and use of AI technology and the responsible use of face recognition technologies. I have also appointed the Department’s first Chief AI Officer to promote these efforts. As we continue this critical work, it will be centered on our commitment and responsibility to protect privacy, civil rights, and civil liberties.”	「国土安全保障省（DHS）はすでに、任務を達成するために責任を持ってAIを導入しており、この大統領令はそのリーダーシップに基づくものだ。2023年4月、私はAIの具体的な応用を推進するため、同省初のAIタスクフォースを設置し、それ以来、AI技術の取得と使用、顔認識技術の責任ある使用に関する指針を迅速に策定してきた。私はまた、こうした取り組みを推進するため、同省初のAI最高責任者を任命した。われわれがこの重要な作業を継続する際には、プライバシー、市民権、市民的自由を保護するというわれわれのコミットメントと責任を中心に据えることになる」。
For more information on the DHS’s use of AI, please visit: www.dhs.gov/ai. In addition, DHS has published a fact sheet on how it is leading the responsible development of AI.	DHSのAI活用に関する詳細は、www.dhs.gov/ai。また、DHSはAIの責任ある開発をどのように主導しているかについてのファクトシートを公表している。
###	###

国立科学財団

● U.S. National Science Foundation

・2023.10.31 NSF invests $10.9M in the development of safe artificial intelligence technologies

NSF invests $10.9M in the development of safe artificial intelligence technologies	NSF、安全な人工知能技術の開発に1,090万ドルを投資
The U.S. National Science Foundation today announced an investment of $10.9 million to support research that will help ensure advances in artificial intelligence go hand in hand with user safety.	米国国立科学財団（NSF）は本日、人工知能の進歩が利用者の安全性と確実に両立するための研究を支援するため、1,090万ドルを投資することを発表した。
The objective of the Safe Learning-Enabled Systems program, a partnership between NSF, Open Philanthropy and Good Ventures, is to foster foundational research that leads to the design and implementation of safe computerized learning-enabled systems — including autonomous and generative AI technologies — that are both safe and resilient.	NSF、Open Philanthropy、Good VenturesのパートナーシップによるSafe Learning-Enabled Systemsプログラムの目的は、安全でレジリエンスに優れた、自律的・生成的AI技術を含む安全なコンピュータ学習可能システムの設計と実装につながる基礎研究を促進することである。
"NSF's commitment to studying how we can guarantee the safety of AI systems sends a clear message to the AI research community: We consider safety paramount to the responsible expansion and evolution of AI," said NSF Director Sethuraman Panchanathan. "NSF continues to drive cutting-edge AI research — not only to find opportunities for innovation, but also to improve safety."	「NSFがAIシステムの安全性を保証する方法を研究するというコミットメントは、AI研究コミュニティに明確なメッセージを送るものだ： NSFのセスラマン・パンチャナサン所長は、「我々は、AIの責任ある拡大と進化には安全性が最も重要であると考えている。「NSFは、イノベーションの機会を見つけるだけでなく、安全性を改善するためにも、最先端のAI研究を推進し続ける。
As AI systems rapidly grow in size, acquire new capabilities, and are deployed in high-stakes settings like healthcare, commerce and transportation, the safety of those systems becomes extremely important. These awards represent key NSF investments in AI by designing resilient automated systems with clear and precise end-to-end safety constraints that have been rigorously tested to ensure that unsafe behaviors will not arise when deployed.	AIシステムが急速に規模を拡大し、新たな能力を獲得し、医療、商業、輸送などの重要な場面で導入されるにつれ、これらのシステムの安全性は極めて重要になっている。これらの賞は、配備時に危険な挙動が生じないことを確実にするために厳格にテストされた、明確かつ正確なエンドツーエンドの安全制約を持つレジリエンス自動化システムを設計することで、AIに対するNSFの重要な投資を代表するものである。
The following list identifies and summarizes the recipients' projects:	以下のリストは、取得者のプロジェクトを特定し、要約したものである：
・Foundations of Safety-Aware Learning in the Wild, University of Wisconsin-Madison.	・ウィスコンシン大学マディソン校「Foundations of Safety-Aware Learning in the Wild」。
Researchers will design new safety-aware machine learning algorithms and methodologies that can detect data that are outside of the normal distribution to protect systems that are deployed in the wild in increasingly dynamic and unpredictable environments.	研究者たちは、ますますダイナミックで予測不可能な環境の中で、野生のシステムに配備されるシステムを保護するために、正規分布から外れたデータを検知できる新しい安全認識機械学習アルゴリズムと方法論を設計する。
・Vision-Based Maximally-Symbolic Safety Supervisor with Graceful Degradation and Procedural Validation, Princeton University.	Vision-Based Maximally-Symbolic Safety Supervisor with Graceful Degradation and Procedural Validation、プリンストン大学。
Researchers will work to develop new technology that can continuously monitor the actions of autonomous robotic systems, such as self-driving cars and home robots, and intervene as needed to ensure safety.	自動運転車や家庭用ロボットなどの自律型ロボットシステムの動作を継続的に監視し、必要に応じて介入して安全を確保する新技術の開発に取り組む。
・Safety under Distributional Shift in Learning-Enabled Power Systems, Virginia Tech and University of California, Berkeley.	学習可能な電力システムにおける分配シフト下での安全性、バージニア工科大学およびカリフォルニア大学バークレー校。
Primarily focusing on power systems, researchers will design novel learning-enabled, safety-critical systems, explore systems for cooperative decision-making, and apply rigorous stress testing to ensure the capability of these systems during rare or unexpected events.	主に電力システムに焦点を当て、研究者は、新規の学習可能なセーフティ・クリティカル・システムを設計し、協調的意思決定のためのシステムを探求し、稀な事象や予期せぬ事象が発生した場合に、これらのシステムの能力を確保するための厳格なストレステストを適用する。
・Safe Distributional-Reinforcement Learning-Enabled Systems: Theories, Algorithms, and Experiments, University of Michigan, Arizona State University and The Ohio State University.	安全な分布強化学習可能システム：理論、アルゴリズム、実験、ミシガン大学、アリゾナ州立大学、オハイオ州立大学。
Researchers will work towards limiting a major obstacle associated with reinforcement learning techniques — a lack of safety guarantees — by developing foundational technologies for safe learning-enabled systems based on distributional reinforcement learning techniques.	研究者らは、分布型強化学習技術に基づく安全な学習可能システムの基盤技術を開発することにより、強化学習技術に関連する主要な障害である安全性の保証の欠如を制限することに取り組む。
・Specification-guided Perception-enabled Conformal Safe Reinforcement Learning, University of Pennsylvania.	仕様ガイド付き知覚対応適合安全強化学習、ペンシルベニア大学。
This project will bring together researchers with expertise in reinforcement learning, formal methods, theory of machine learning, and robotics to design and implement a reinforcement learning framework with precise mathematical and empirical safety guarantees and constraints.	このプロジェクトは、強化学習、形式手法、機械学習理論、ロボット工学の専門知識を持つ研究者を集め、正確な数学的・経験的安全性保証と制約を持つ強化学習フレームワークを設計・実装する。
・A Theoretical Lens on Generative AI Safety: Near and Long Term, Harvard University.	生成的AIの安全性に関する理論的レンズ：ハーバード大学。
Researchers will develop mathematically rigorous AI deployment methods that come with solid theoretical assurances that AI systems will not stray from their intended behavior. This is done by establishing sustainable checks and fail-safes for generative AI technologies like ChatGPT.	研究者は、AIシステムがその意図した行動から外れることがないという確かな理論的保証を伴う、数学的に厳密なAIの展開方法を開発する。これは、ChatGPTのような生成的AI技術に対して、持続可能なチェックとフェイルセーフを確立することによって行われる。
・Guaranteed Tubes for Safe Learning across Autonomy Architectures, University of Illinois Urbana-Champaign and University of South Carolina.	Guaranteed Tubes for Safe Learning across Autonomy Architectures（イリノイ大学アーバナ・シャンペーン校とサウスカロライナ大学）。
This research will design a novel system, called "Data-enabled Simplex," that lays the groundwork for advancing autonomous learning-enabled systems by allowing them to learn and adapt to unexpected changes and unknown obstacles.	この研究では、「データ対応シンプレクス」と呼ばれる新しいシステムを設計し、予期せぬ変化や未知の障害に対して学習・適応できるようにすることで、自律学習対応システムを進歩させるための基礎を築く。
・Bridging offline design and online adaptation in safe learning-enabled systems, University of Pennsylvania and University of California, Berkeley.	安全な学習可能システムにおけるオフライン設計とオンライン適応の橋渡し、ペンシルバニア大学およびカリフォルニア大学バークレー校。
This project is focused on mitigating the uncertainties associated with learning-enabled systems in unknown environments by using novel designs that allow for principled tradeoffs between risks to system safety and active data collection and learning, thus closing the loop between online safety monitoring and offline design.	このプロジェクトは、システムの安全性に対するリスクと能動的なデータ収集と学習の間の原則的なトレードオフを可能にする斬新な設計を使用することにより、未知の環境における学習可能システムに関連する不確実性を低減することに焦点を当てている。
・CRASH - Challenging Reinforcement-learning based Adversarial scenarios for Safety Hardening, University of Virginia.	CRASH - Challenging Reinforcement-learning based Adversarial scenarios for Safety Hardening、バージニア大学。
This project will develop a new framework to stress test existing autonomous vehicle software, helping identify potential software failures. The framework uses rare, but realistic, scenarios that may cause autonomous vehicles to fail, and then enhances the software to ensure failure does not reoccur.	このプロジェクトは、既存の自律走行車ソフトウェアをストレステストする新しいフレームワークを開発し、潜在的なソフトウェアの不具合を特定するのに役立てる。このフレームワークは、自律走行車が故障する可能性のある、まれではあるが現実的なシナリオを使用し、故障が再発しないようにソフトウェアを強化する。
・Foundations of Qualitative and Quantitative Safety Assessment of Learning-enabled Systems, University of Nebraska-Lincoln and Augusta University Research Institute.	学習可能システムの定性的・定量的安全性評価の機構、ネブラスカ大学リンカーン校およびオーガスタ大学研究所。
This project aims to build the foundations of end-to-end qualitative and quantitative safety assessments for learning-enabled autonomous systems, allowing for a thorough understanding of safety concerns and enabling effective safety verification in uncertain environments.	このプロジェクトは、学習可能な自律システムのエンドツーエンドの定性的・定量的安全性評価の基礎を構築することを目的としており、安全性に関する懸念を徹底的に理解し、不確実な環境における効果的な安全性検証を可能にする。
・Verifying and Enforcing Safety Constraints in AI-based Sequential Generation, UCLA and University of Illinois at Urbana-Champaign.	AIベースの逐次生成における安全制約の検証と実施、UCLAとイリノイ大学アーバナ・シャンペーン校。
A team of researchers will develop algorithms to assess the safety of AI programs under various scenarios and provide assurance of their behavior under mission-critical situations. This analysis will reduce unexpected AI failures, prevent bias and discrimination in AI technologies, align AI systems with human values and societal norms, and build public trust for AI-enabled applications.	研究者チームは、様々なシナリオ下でのAIプログラムの安全性を評価するアルゴリズムを開発し、ミッションクリティカルな状況下での挙動を保証する。この分析により、予期せぬAIの失敗を減らし、AI技術におけるバイアスや差別を防ぎ、AIシステムを人間の価値観や社会規範に合致させ、AI対応アプリケーションに対する社会的信頼を構築する。

● FedRAMP

・202310.31 FedRAMP's Role In The AI Executive Order

FedRAMP's Role In The AI Executive Order	AI大統領令におけるFedRAMPの役割
On Monday, October 30, the White House issued an Executive Order (EO) on Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence (AI), which will support an array of work across the federal government. To advance the objectives of the AI EO, FedRAMP will establish strategies for authorizing emerging technologies, including cloud-based AI-related products, ensuring agencies have the tools they need to more effectively serve the public.	ホワイトハウスは10月30日（月）、連邦政府全体のさまざまな業務を支援する「人工知能（AI）の安全、安心、信頼できる開発と使用に関する大統領令（EO）」を発表した。AI EOの目的を推進するため、FedRAMPはクラウドベースのAI関連製品を含む新技術を認可するための戦略を確立し、各省庁がより効果的に国民にサービスを提供するために必要なツールを確保する。
In collaboration with stakeholders from the commercial and federal space, FedRAMP is conducting an analysis to determine the impact to security controls with the introduction of AI systems into a FedRAMP authorized system boundary. We will also spearhead collaboration with the FedRAMP Board, the Office of Management & Budget, the National Institute of Standards and Technology, and the Federal Secure Cloud Advisory Committee to create and gain consensus on the authorization strategy for emerging technologies.	FedRAMPは、民間および連邦政府の関係者と協力して、FedRAMPが認可したシステム境界へのAIシステムの導入に伴うセキュリティ管理への影響を判断するための分析を実施している。また、FedRAMP理事会、行政管理予算局、国立標準技術研究所、連邦セキュア・クラウド諮問委員会との協力の先頭に立ち、新興技術の認可戦略を策定し、コンセンサスを得る。
FedRAMP will communicate the details of the finalized framework through a series of FAQs, blogs, and forums to educate and train the community.	FedRAMPは、一連のFAQ、ブログ、フォーラムを通じて、最終化されたフレームワークの詳細を伝え、コミュニティを教育・訓練する。
We look forward to partnering with our stakeholders on this important endeavor as we set the standard for what’s possible through AI and emerging technologies.	われわれは、AIと先端技術によって可能なことの標準を設定するために、この重要な取り組みで関係者と協力することを楽しみにしている。

民間...

米国商工会議所

●

・2023.10.30 AI Executive Order Addresses Important Priorities but Needs More Work

AI Executive Order Addresses Important Priorities but Needs More Work	AI大統領令は重要な優先事項に取り組んでいるが、さらなる取り組みが必要
Tom Quaadman, Executive Vice President of the U.S. Chamber’s Technology Engagement Center, issued the following statement in response to the Biden Administration’s Executive Order on Artificial Intelligence.	米国商工会議所テクノロジー・エンゲージメント・センターのトム・クワッドマン上級副会頭は、バイデン政権の人工知能に関する大統領令に対し、以下の声明を発表した。
WASHINGTON, D.C. — Tom Quaadman, Executive Vice President of the U.S. Chamber’s Technology Engagement Center, issued the following statement in response to the Biden Administration’s Executive Order on Artificial Intelligence.	ワシントンD.C.-米国商工会議所テクノロジー・エンゲージメント・センターのトム・クオードマン上級副会頭は、バイデン政権の人工知能に関する大統領令を受けて、以下の声明を発表した。
“The United States faces stiff competition from China in AI development. This competition is so fierce that it is unclear which nation will emerge as the global leader, raising significant security concerns for the United States and its allies. It is imperative for the United States to lead the effort to create a risk-based AI regulatory and policy framework that is reinforced by industry standards and promotes the safe and responsible development and use of this transformational technology. The Biden Administration’s AI Executive Order is a step towards achieving that goal, but more work needs to be done.	「米国はAI開発において中国との厳しい競争に直面している。この競争は熾烈を極め、どの国が世界のリーダーになるかは不透明であり、米国とその同盟国に安全保障上の重大な懸念をもたらしている。米国は、業界標準によって強化され、この変革的技術の安全かつ責任ある開発と利用を促進する、リスクに基づくAIの規制と政策の枠組みを構築する努力を主導することが不可欠である。バイデン政権のAI大統領令はその目標達成に向けた一歩であるが、より多くの作業を行う必要がある。
“The Chamber appreciates the priorities outlined in the Executive Order, such as attracting highly skilled workers, bolstering resources needed for intra-government coordination, and speeding up the development of standards.	「商工会議所は、大統領令で示された優先事項、例えば、高度なスキルを持つ労働者の誘致、政府内調整に必要なリソースの強化、標準開発の迅速化などを高く評価している。
“However, substantive and process problems still exist. Short overlapping timelines for agency-required action endangers necessary stakeholder input, thereby creating conditions for ill-informed rulemaking and degrading intra-government cooperation. Finally, agencies such as the FTC and CFPB, should not view this as a license to do as they please—all agencies must continue to act within the limits of their Congressional mandates and abide by the Major Questions Doctrine as articulated by the Supreme Court.	「しかし、実質的な問題やプロセス上の問題は依然として存在している。政府機関が要求する措置のスケジュールが短期間で重複することは、必要な利害関係者の意見を危険にさらすものであり、その結果、情報不足のルール作りの条件を作り出し、政府内の協力を低下させる。最後に、FTCやCFPBのような機関は、これを自分たちの好きなように行動するためのライセンスと見なすべきではない。
“The U.S. Chamber’s Commission on AI Competitiveness, Inclusion, and Innovation and AI Working Group have been at the forefront in providing the federal government a roadmap for achieving an AI regulatory framework that optimizes the benefits of the technology and mitigates its potential risks. We look forward to working with the Administration and Congress to ensure American technological leadership, the safeguarding of America’s national security and values, and the enabling of responsible AI leadership at scale.”	「米国商工会議所のAI競争力、インクルージョン、イノベーションに関する委員会とAI作業部会は、連邦政府に対し、AI技術の利点を最適化し、潜在的リスクを軽減するAI規制の枠組みを実現するためのロードマップを提供する最前線に立ってきた。我々は、米国の技術的リーダーシップを確保し、米国の国家安全保障と価値を守り、責任あるAIのリーダーシップを大規模に可能にするために、政権および議会と協力することを楽しみにしている。

情報技術産業協会

● The Information Technology Industry Council: ITI

ITI: AI Executive Order Can Advance Safe and Secure AI With Industry Collaboration	ITI：AI大統領令は産業界の協力により安全でセキュアなAIを推進できる
WASHINGTON - Today, global tech trade association ITI issued the following statement from its Executive Vice President of Policy Rob Strayer in response to President Biden’s Executive Order on Safe, Secure, and Trustworthy Artificial Intelligence:	ワシントン - 本日、世界的なハイテク業界団体であるITIは、バイデン大統領の「安全、安心、信頼できる人工知能に関する大統領令」に対し、ロブ・ストレイヤー政策担当上級副社長から以下の声明を発表した：
“The tech industry is committed to developing and deploying safe and responsible AI. We appreciate the Biden Administration’s thorough approach in considering how to help this transformative technology flourish while mitigating risk. As we review today’s extensive Executive Order, we are encouraged to see a whole-of-government approach to AI policy, steps to harness innovation, commitments to working with international partners, and a call to pass comprehensive federal privacy legislation to address privacy-related AI risks.	「ハイテク業界は、安全で責任あるAIの開発と導入に取り組んでいる。ハイテク業界は、安全で責任あるAIの開発と導入に尽力している。我々は、リスクを低減しつつ、この革新的なテクノロジーの発展を支援する方法を検討するバイデン政権の徹底したアプローチを高く評価する。本日の広範な大統領令を検討する中で、AI政策への政府全体のアプローチ、イノベーションを活用するためのステップ、国際的なパートナーとの協力へのコミットメント、プライバシー関連のAIリスクに対処するための包括的な連邦プライバシー法成立の呼びかけを目にし、勇気づけられた。
“To successfully implement this significant measure, we urge the administration to work with its global partners and industry to advance a common vision of safe and secure AI, leveraging a risk-based approach to address potential harms while also realizing AI’s incredible potential. Agencies must prioritize appropriate resources for the activities needed to operationalize these new AI policies, while managing an increasingly complex procurement environment without suppressing innovation. ITI looks forward to continuing to work with the administration to implement a policy framework that advances AI in a way that benefits everyone.”	「この重要な措置を成功させるために、我々は政権が世界的なパートナーや産業界と協力し、安全でセキュアなAIの共通ビジョンを推進し、リスクベースのアプローチを活用して潜在的な危害に対処する一方で、AIの驚くべき可能性を実現することを強く求める。各省庁は、イノベーションを抑制することなく、複雑化する調達環境を管理しながら、これらの新しいAI政策の運用に必要な活動に適切な資源を優先的に投入しなければならない。ITIは、すべての人に利益をもたらす方法でAIを発展させる政策枠組みを実施するため、引き続き政権と協力していくことを楽しみにしている。
ITI is actively engaged in AI policy around the world. ITI’s Global Policy Principles for Enabling Transparency of AI Systems underscore that transparency is a critical part of developing accountable and trustworthy AI systems and avoiding unintended outcomes or other harmful impacts. ITI’s comprehensive Global AI Policy Recommendations are a guide for governments around the world as they consider how to approach the establishment of AI policy frameworks, and emphasize the importance of private and public sector collaboration. ITI’s Executive Vice President of Policy Rob Strayer testified before the U.S. Senate for the hearing, The Need for Transparency in Artificial Intelligence outlining how Congress to support a pro-innovation agenda that harnesses AI’s potential and mitigates risk. ITI’s affiliated standards development organization INCITS leads and convenes the U.S. standardization program on AI (ISO/IEC JTC 1/SC 42), which can be a voluntary method for companies to measure, assess, and take steps to ensure its safe and responsible deployment.	ITIは世界中でAI政策に積極的に取り組んでいる。ITIの「AIシステムの透明性を実現するためのグローバル政策原則」は、説明責任を果たし信頼できるAIシステムを開発し、意図しない結果やその他の有害な影響を回避するためには、透明性が重要な要素であることを強調している。ITIの包括的な「グローバルAI政策提言」は、世界各国の政府がAI政策の枠組み構築にどのように取り組むべきかを検討する際の指針となるもので、官民協力の重要性を強調している。ITIの政策担当エグゼクティブ・バイス・プレジデントのロブ・ストレイヤーは、米上院の公聴会「人工知能における透明性の必要性」で証言し、AIの潜在能力を活用しリスクを低減するイノベーション促進アジェンダを議会が支援する方法を概説した。ITIの関連標準開発組織であるINCITSは、AIに関する米国の標準化プログラム（ISO/IEC JTC 1/SC 42）を主導し、招集している。

ついでに...

・2023.10.31 ITI Welcomes Industry Engagement in UK Global AI Safety Summit and G7 Hiroshima AI Process

・2023.11.01 ITI to Join Majority Leader Schumer’s AI Forum

プライバシー関係...

● Eletronic Privacy Information Center: EPIC

・2023.10.31 White House Publishes Wide-Ranging AI Executive Order

White House Publishes Wide-Ranging AI Executive Order	ホワイトハウス、広範なAI大統領令を発表
The Biden-Harris Administration issued an Executive Order entitled “Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence” that emphasizes the need for regulation of high-risk AI and critically recognizes the link between privacy and AI.	バイデン-ハリス政権は、「安全、安心、信頼できる人工知能の開発と利用」と題する大統領令を発表し、リスクの高いAIに対する規制の必要性を強調するとともに、プライバシーとAIの関連性を批判的に認識した。
“EPIC commends the Biden-Harris Administration for this landmark executive action, which calls on agencies throughout the federal government to combat algorithmic discrimination and establish human rights safeguards around AI,” said EPIC Executive Director Alan Butler. “EPIC looks forward to working with federal agencies to carry out the Executive Order and ensure that artificial intelligence systems reflect our fundamental values and serve the public interest.”	「EPICは、バイデン-ハリス政府によるこの画期的な行政措置を称賛する。この行政措置は、連邦政府全体に対し、アルゴリズムによる差別と闘い、AIをめぐる人権保障措置を確立するよう求めるものである」とEPICのアラン・バトラー事務局長は述べた。「EPICは、大統領令を実行し、人工知能システムが我々の基本的価値観を反映し、公共の利益に資することを確実にするために、連邦政府機関と協力することを楽しみにしている。
Notably, the order requires the developers of the most powerful AI systems to share their safety test results with the government, promises federal support for development and agencies use of privacy-preserving techniques, requires an evaluation of how agencies collect and use commercially available data (including from data brokers), and requires increased training on how to investigate and prosecute civil rights violations related to AI.	注目すべきは、この大統領令は、最も強力なAIシステムの開発者に対し、その安全性テスト結果を政府と共有することを要求し、プライバシー保護技術の開発と政府機関の利用に対する連邦政府の支援を約束し、政府機関が（データブローカーからのものも含め）商業的に入手可能なデータを収集し利用する方法の評価を要求し、AIに関連する公民権侵害を調査し起訴する方法に関するトレーニングの強化を要求していることだ。
The order tasks agencies with a number of responsibilities that will lead to standards from the National Institute of Standards and Technology to layout responsible AI testing frameworks and guidance for content authentication and watermarking.	この命令は、国立標準技術研究所が責任あるAIのテストフレームワークや、コンテンツ認証と電子透かしに関するガイダンスを策定するための標準につながる、多くの責任を機構に課している。
For government use of AI, the EO requires the development of guidance for agency use of AI and a faster and more efficient process for agencies to procure AI products and services. The directive also calls for the rapid hiring of AI professionals and the training of employees at all levels. The content of a forthcoming Office of Management and Budget memo will dictate the details of how government AI use will change.	政府によるAIの利用については、EOは、政府機関によるAI利用のためのガイダンスの策定と、政府機関によるAI製品やサービスの調達プロセスの迅速化・効率化を求めている。この指令はまた、AIの専門家を迅速に雇用し、あらゆるレベルの職員を訓練することも求めている。今後発表される行政管理予算局のメモの内容によって、政府のAI利用がどのように変化するのかの詳細が決まるだろう。
EPIC has long advocated for comprehensive privacy protections, rigorous testing protocols, expanded resources for evaluation of AI systems, and a government-whole effort to fighting algorithmic discrimination.	EPICは以前から、包括的なプライバシー保護、厳格なテストプロトコル、AIシステム評価のためのリソース拡大、アルゴリズムによる差別と闘う政府全体の取り組みを提唱してきた。

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.10 A Diverse and Trusted Workforce - Examining Elements That Could Contribute to the Potential for Bias and Sources of Inequity in National Security Personnel Vetting

・2023.10.30 中国グローバルAIガバナンス・イニシアティブ (2023.10.19)

2023.11.06 04:55 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in AI/Deep Learning | Permalink | Comments (0)
Tweet

AIが普及すると所得格差はより拡大する？（BIS 人工知能、サービスのグローバル化、所得格差）(2023.10.25)

こんにちは、丸山満彦です。

AIが普及と所得格差が拡大するだろうとは感覚的にはおもっていましたが、BISの調査によると、やはりそんな感じですね。。。

AI企業を持つ国はより強大になるということにもつながるかもしれませんね。。。そうなると。。。

● BIS - Research at BIS

・2023.10.25 Artificial intelligence, services globalisation and income inequality

Artificial intelligence, services globalisation and income inequality	人工知能、サービスのグローバル化、所得格差
Summary	概要
Focus	焦点
Artificial intelligence (AI) is increasingly embedded into modern economies. This prompts fundamental questions about its implications for income distribution. This study seeks to explore how AI-related investment is associated with changes in income and income shares for various segments of the population. As AI continues to expand its capabilities, outperforming human capabilities in an array of tasks, the implications of this technological evolution for income inequality become even more important. The primary focus is on how AI-induced structural shifts in production and the labour market relate to income disparities.	人工知能（AI）はますます現代経済に組み込まれつつある。このことは、所得分配に対するその意味合いについての基本的な疑問を促している。本研究では、AI関連投資が、国民の様々な層における所得および所得分配の変化とどのように関連しているかを探ろうとするものである。AIがその能力を拡大し続け、様々なタスクにおいて人間の能力を凌駕するようになるにつれ、この技術進化が所得格差に与える影響はさらに重要になる。主な焦点は、AIによって誘発された生産と労働市場の構造的シフトが、所得格差とどのように関係しているかにある。
Contribution	貢献
Drawing from a rich data set that covers 86 countries over 2010–19, this paper presents high-level cross-country evidence on how AI-related investment is associated with economic outcomes, including real incomes and income shares across different income groups. We assemble a novel data set combining several public and private sector sources to gain insights into AI investment, real incomes and income shares and labour market outcomes. Our research sheds light on the potential mechanisms through which AI adoption might influence income distribution, including structural transformation, market concentration and skill-biased technical change.	本論文は、2010年から19年にかけての86カ国を網羅する豊富なデータセットから、AI関連投資が実質所得や異なる所得グループ間の所得シェアを含む経済的成果とどのように関連するかについて、ハイレベルなクロスカントリー証拠を提示する。我々は、AI投資、実質所得、所得シェア、労働市場の成果に関する洞察を得るために、複数の公共部門と民間部門の情報源を組み合わせた新しいデータセットを構築した。我々の研究は、AI導入が所得分配に影響を与える潜在的なメカニズムに光を当てるものであり、これには構造転換、市場集中、スキルに偏った技術変化などが含まれる。
Findings	調査結果
Our results indicate a clear association between greater AI investments and higher income inequality during our sample period. In particular, we find that higher AI investment is associated with higher income and a higher income share for the top decile, while the income share declines for the bottom decile. Investment in AI in the real estate, network technology and robotics sectors has an especially pronounced link with inequality. Furthermore, AI investment is associated with broader economic shifts, including increased total factor productivity (TFP) and modern service exports. There is also a shift from mid-skill jobs to high-skill and managerial positions, accompanied by a decline in the labour share of income. Overall, these findings are consistent with structural transformation and skill-biased technical change, as seen over the last decade, leading to widening income inequality.	我々の結果は、サンプル期間におけるAI投資の拡大と所得格差の拡大との間に明確な関連があることを示している。特に、AI投資の増加は上位10％の高所得および高所得シェアと関連する一方、下位10％の所得シェアは減少することが分かった。不動産、ネットワーク・テクノロジー、ロボット工学セクターにおけるAIへの投資は、特に不平等との関連が顕著である。さらに、AI投資は、全要素生産性（TFP）の向上や近代的サービス輸出など、より広範な経済シフトと関連している。また、所得に占める労働分配率の低下を伴って、中技能職から高技能職や管理職へのシフトも見られる。全体として、これらの知見は、過去10年間に見られたような構造転換とスキルにバイアスされた技術革新が、所得不平等の拡大をもたらしていることと整合的である。
Abstract	要旨
How does economic activity related to artificial intelligence (AI) impact the income of various groups in an economy? This study, using a panel of 86 countries over 2010–19, finds that investment in AI is associated with higher income inequality. In particular, AI investment is tied to higher real incomes and income shares for households in the top decile, while households in the fifth and bottom decile see a decline in their income shares. We also find a positive association with exports of modern services linked to AI. In labour markets, there is a contraction in overall employment, a shift from mid-skill to high-skill managerial roles and a reduced labour share of income.	人工知能（AI）に関連する経済活動は、経済の様々なグループの所得にどのような影響を与えるのだろうか？本研究では、2010年から19年にかけての86カ国のパネルを用いて、AIへの投資が所得格差の拡大と関連していることを明らかにした。特に、AIへの投資は、上位10％の世帯の実質所得と所得シェアの上昇に結びつく一方、5番目と下位10％の世帯の所得シェアは低下する。また、AIに関連する近代的サービスの輸出にも正の相関が見られる。労働市場では、全体的な雇用の縮小、中技能職から高技能の管理職へのシフト、所得に占める労働分配率の低下が見られる。

・[PDF]

・[DOCX] 仮訳

2023.11.06 00:00 in AI/Deep Learning | Permalink | Comments (0)
Tweet

2023.11.05

NATO CCDCOE 国際サイバー法の実践；インタラクティブ・ツールキットの新規募集 (2023.10.23)

こんにちは、丸山満彦です。

NATO CCDCOEでは、国際サイバー法の実践；インタラクティブ・ツールキットとして、28の仮想シナリオを公開していますが、新規のシナリオの募集をしていますね。。。

ツールキットのウェブページ

● NATO CCECOE - International Cyber Law in Practice: Interactive Toolkit

28のシナリオ

S01	Election interference	選挙妨害
S02	Political espionage	政治スパイ
S03	Power grid	送電網
S04	International organization	国際機関
S05	Criminal investigation	犯罪捜査
S06	Enabling State	国家を動かす
S07	Hacking tools	ハッキング・ツール
S08	Certificate authority	認可機関
S09	Economic espionage	経済スパイ
S10	Cyber weapons	サイバー兵器
S11	Surveillance tools	監視ツール
S12	Computer data	コンピューター・データ
S13	Armed conflict	武力紛争
S14	Ransomware campaign	ランサムウェアキャンペーン
S15	Cyber deception	サイバー詐欺
S16	High seas	公海
S17	Collective responses	集団的対応
S18	Cyber operators	サイバー工作員
S19	Hate speech	ヘイトスピーチ
S20	Medical facilities	医療施設
S21	Misattribution	誤爆
S22	Methods of warfare	戦争の方法
S23	Vaccine research	ワクチン研究
S24	Internet blockage	インターネット遮断
S25	Humanitarian assistance	人道支援
S26	Export licensing	輸出許可
S27	Redirecting attacks	リダイレクト攻撃
S28	Incidental harm	偶発的被害

新しいシナリオの募集...

・2023.10.23 Cyber Law Toolkit 2024

募集文

・[PDF] Cyber Law Toolkit: Call for Submissions for the 2024 Annual Update

2023.11.05 20:27 in 情報セキュリティ / サイバーセキュリティ, in フィッシング, in 個人情報保護 / プライバシー, in ウイルス, in ロボット, in クラウド, in IoT, in AI/Deep Learning, in 暗号 / 電子署名 / ブロックチェーン, in 安全保障 | Permalink | Comments (0)
Tweet

RAND研究所多様で信頼される労働力 - 国家安全保障担当者の審査における偏見の可能性と不公平の原因となりうる要素の検証

こんにちは、丸山満彦です。

日本では、経済安全保障の文脈で民間事業者に対するセキュリティ・クリアランス制度の導入の議論が進んでいますが、いろいろと参考になることもあるかもです。。。

● Rand Corporation

・[PDF]

・[DOCX] 仮訳

A Diverse and Trusted Workforce - Examining Elements That Could Contribute to the Potential for Bias and Sources of Inequity in National Security Personnel Vetting	多様で信頼される労働力 - 国家安全保障要員の審査におけるバイアスの可能性と不公平の原因となる要素を検証する
Applicants for the national security workforce are required to provide detailed personal information as part of the background investigation process to adjudicate their eligibility for a security clearance. As a result, during the course of the personnel vetting process, an individual's race or ethnicity, gender, gender identity, sexual orientation, and neurodivergence may be knowable or inferred by the personnel conducting the investigations and adjudications. Human judgment and biases that manifest themselves in other employment or social contexts have the potential to contribute to bias and sources of inequity in the human element of the process of determining security clearance eligibility. The authors explore the potential for related bias or sources of inequity within the federal personnel vetting process. Such potential biases and inequities could inhibit the U.S. government's goals and abilities to hire and maintain national security personnel with diverse backgrounds and perspectives.	国家安全保障の労働力に応募する者は、セキュリティ・クリアランスの資格を判断するための身元調査プロセスの一環として、詳細な個人情報を提供する必要がある。その結果、人事審査の過程で、個人の人種や民族性、性別、性自認、性的指向、神経ダイバージェンスが、調査や裁定を行う職員によって知ることができたり、推測されたりすることがある。他の雇用や社会的文脈で現れる人間の判断やバイアスは、セキュリティ・クリアランスの適格性を決定するプロセスの人的要素における偏りや不公平の原因になる可能性がある。認可者は、連邦政府の人事審査プロセスにおいて、関連するバイアスや不公平の原因となる可能性を探っている。このような潜在的なバイアスや不公平は、多様な経歴や考え方を持つ国家安全保障要員を雇用し、維持するという米国政府の目標や能力を阻害する可能性がある。
Research Question	研究課題
What elements have the potential to contribute to bias and sources of inequity related to an individual's race or ethnicity, gender, gender identity, sexual orientation, or neurodivergence within the security clearance vetting process?	セキュリティ・クリアランスの審査プロセスにおいて、個人の人種や民族性、性別、性自認、性的指向、神経ダイバージェンスに関連するバイアスや不公平の原因となる可能性がある要素は何か。
Key Findings	主な調査結果
Potential for bias and sources of inequity exist in the structural and human elements of the security clearance personnel vetting process	セキュリティ・クリアランスの人事審査プロセスの構造的・人的要素に、バイアスと不公平の原因が存在する可能性がある。
In a security clearance investigation, an applicant's race or ethnicity, gender, gender identity, sexual orientation, and neurodivergence are either knowable from the documentation that applicants are required to submit as part of the structural element of the process or can be inferred by the personnel conducting the investigative, review, and adjudicative human elements of the process.	セキュリティ・クリアランスの調査において、申請者の人種や民族性、性別、性自認、性的指向、神経ダイバージェンスは、プロセスの構造的要素の一部として申請者が提出を義務付けられている書類から知ることができるか、プロセスの調査、審査、裁定を行う人的要素を行う職員によって推測することができる。
A literature review emphasized that human judgment and biases that manifest in other employment or social contexts have the potential to contribute to bias and sources of inequity in the human element of the process of determining security clearance eligibility.	文献調査では、他の雇用または社会的文脈で現れる人間の判断やバイアスが、セキュリティ・クリアランスの資格を決定するプロセスの人的要素における偏りや不公平の原因になる可能性があることが強調された。
Some components of the forms and guidelines that make up the elements of the security clearance personnel vetting process have the potential to contribute to bias and sources of inequity because of the nature of the information requested, the language used to request it, and the language in the guidelines used to adjudicate that information.	セキュリティ・クリアランスの人事審査プロセスの要素を構成する書式やガイドラインの構成要素には、要求される情報の性質、それを要求するために使用される言葉、その情報を判断するために使用されるガイドラインの言葉のために、バイアスや不公平の原因を助長する可能性があるものがある。
Although training for personnel vetting staff includes cognitive bias awareness, investigator and adjudicator training does not include modules that train or prepare staff for unbiased engagement with applicants from diverse backgrounds.	人事審査スタッフのトレーニングには、認知バイアスを意識向上させるものが含まれているが、調査官および裁定官のトレーニングには、多様な背景を持つ申請者と公平に関わるためのトレーニングや準備を行うモジュールは含まれていない。
Demographic data on racial or ethnic, gender, gender identity, sexual orientation, and neurodivergence categories are not collected or analyzed in the security clearance process, limiting the ability to assess the process and adjudicative outcomes for applicants to determine whether and where bias and inequity may be occurring.	セキュリティ・クリアランスのプロセスにおいて、人種や民族、性別、性自認、性的指向、神経ダイバージェンスのカテゴリーに関する人口統計学的データが収集または分析されていないため、申請者のプロセスや審査結果を評価し、どこでバイアスと不公平が発生しているかを判断する能力が制限されている。
Recommendations	提言
Officials should review and revise the Standard Form 86 and Security Executive Agent Directive 4 guidelines (and other personnel vetting forms and guidelines) to minimize the potential for bias and sources of inequity related to race or ethnicity, gender, gender identity, sexual orientation, and neurodivergence, while still collecting the information that is essential to support a national security clearance adjudicative decision.	当局は、標準書式 86 と安全保障行政官指令 4 のガイドライン（およびその他の人事審査書式とガイドライン）を見直し、改訂し、人種や民族、性別、性自認、性的指向、神経ダイバージェンスに関連するバイアスの可能性と不公平の原因を最小化する一方で、国家安全保障のクリアランス審査決定を裏付けるために不可欠な情報を収集すべきである。
Officials should implement standardized and tailored training to prepare individuals in the investigative and adjudicative process for interactions with applicants from diverse cultures, experiences, and lifestyles.	当局は、多様な文化、経験、ライフスタイルを持つ申請者と接することができるよう、調査・裁判プロセスに携わる個人を準備するために、標準化され、かつ個別に調整された研修を実施すべきである。
Officials should explore implementing a mechanism by which personnel vetting applicants could voluntarily provide demographic information about race/ethnicity, gender, sexual orientation, gender identity, and neurodivergence (via a survey or other method) for follow-on independent analysis that is separate from the formal background investigation and adjudication process.	当局は、申請者を審査する職員が、人種・民族、性別、性的指向、性自認、神経ダイバージェンスに関する人口統計学的情報を（調査またはその他の方法で）自発的に提供し、正式な経歴調査や裁決プロセスとは別の独立した分析を行うことができる仕組みの導入を検討すべきである。
Table of Contents	目次
Chapter One: Introduction and Background	第1章：序論と背景
Chapter Two: Literature Review	第2章：文献レビュー
Chapter Three: Observations and Themes from Discussions with Personnel Vetting and DEIA Experts	第3章身元審査およびDEIAの専門家との意見交換から得られた観察とテーマ
Chapter Four: Conclusions, Observations, and Recommendations	第4章結論結論、観察、提言
Appendix A: An Initial Framing Approach—Strategic Questions for Evaluating Personnel Vetting Forms and Guidelines	附属書A：最初のフレーミング・アプローチ-身元審査書式とガイドラインを評価するための戦略的質問
Appendix B: Literature Review Methods	附属書B：文献レビューの方法
Appendix C: Discussant List and Discussion Protocols	附属書C：討論者リストと討論プロトコル
Appendix D: Dedoose Discussion Analysis Coding Scheme	附属書D：Dedoose討論分析のコーディングスキーム

こちらも併せて読むと理解がすすむかも...

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.07.24 Rand研究所セキュリティ・クリアランス・プロセスに関するネット上の誤解を評価する（＋米国セキュリティクリアランス関連リンク）

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.10.12 内閣官房経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議

・2023.10.10 特定社会基盤事業者の指定基準に該当すると見込まれる者 R5.10.4時点

・2023.08.27 参議院常任委員会調査室・特別調査室：セキュリティ・クリアランス制度導入の方向性と主な論点 ~技術流出の防止等による国力向上を目指した制度構築に向けて~

・2023.07.24 Rand研究所セキュリティ・クリアランス・プロセスに関するネット上の誤解を評価する（＋米国セキュリティクリアランス関連リンク）

・2023.06.08 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議中間論点整理

・2023.04.11 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議第4回会議 (2023.04.07)

・2023.04.08 自民党セキュリティ・クリアランスで法整備を経済安保推進本部・安全保障調査会・サイバーセキュリティ対策本部・デジタル社会推進本部が提言

・2023.02.27 内閣官房経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議

・2022.12.18 国家安全保障戦略が閣議決定されましたね。。。(2022.12.16) 対英訳付き...

・2022.10.19 自民党わが国が目指すべき経済安全保障の全体像について～新たな国家安全保障戦略策定に向けて～ (2022.10.04)

・2022.01.19 中国海外上場をする企業にセキュリティ審査をする国家安全保障上の意図の説明 at 2022.01.07

・2021.09.21 国務省OIG 国務省のセキュリティ・クリアランス・データを国家情報長官室に報告するプロセスには改善が必要

2023.11.05 03:00 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 法律 / 犯罪, in 安全保障 | Permalink | Comments (0)
Tweet

英国 AI安全研究所の設立 (2023.11.02)

こんにちは、丸山満彦です。

英国で2024.11.01-02にAI安全サミットが開催され、ブレッチリー宣言が採択されましたが...英国がAI安全研究所を設立しましたね...

動き方が上手いですね...

● GOV U.K. - Business and industry - Science and innovation - Artificial intelligence

・2023.11.02 Prime Minister launches new AI Safety Institute

Prime Minister launches new AI Safety Institute	首相が新しいAI安全研究所を立ち上げる
World's first AI Safety Institute launched in UK, tasked with testing the safety of emerging types of AI.	世界初のAI安全研究所が英国に設立され、新たなタイプのAIの安全性をテストすることを任務とする。
・Government’s plan for the AI Safety Institute unveiled to cement the UK’s position as a world leader in AI safety	・政府は、AI安全性において世界のリーダーとしての英国の地位を確固たるものにするため、AI安全性研究所の計画を発表した。
・new hub will help spur international collaboration on AI’s safe development, with leading AI companies and nations including the US, Singapore and Google DeepMind agreeing to partner with the institute	・この新しいハブは、AIの安全な開発に関する国際的な協力に拍車をかけるもので、米国、シンガポール、グーグルディープマインドを含む主要なAI企業や国家が研究所と提携することに合意している。
・the AI Safety Institute puts the UK’s leading Frontier AI Taskforce on a permanent footing, following two days of praise for its work on AI safety	・AIセーフティ・インスティテュートは、AIの安全性に関する取り組みが2日間にわたって高く評価されたことを受け、英国をリードするフロンティアAIタスクフォースを恒久的な基盤に据える。
A new global hub based in the UK and tasked with testing the safety of emerging types of AI has been backed by leading AI companies and nations, as the world’s first AI Safety Institute launches today (2 November).	英国を拠点とし、新たなタイプのAIの安全性をテストすることを任務とする新たなグローバル・ハブは、世界初のAI安全研究所が本日（11月2日）発足したことで、主要なAI企業や国家から支援を受けた。
After four months of building the first team inside a G7 Government that can evaluate the risks of frontier AI models, it has been confirmed today that the Frontier AI Taskforce will now evolve to become the AI Safety Institute, with Ian Hogarth continuing as its Chair. The External Advisory Board for the Taskforce, made up of industry heavyweights from national security to computer science, will now advise the new global hub.	フロンティアAIモデルのリスクを評価することができる初のチームをG7政府内で4ヶ月かけて構築した後、本日、フロンティアAIタスクフォースがAI安全研究所へと発展し、イアン・ホガースが引き続きその委員長を務めることが確認された。タスクフォースの外部諮問委員会は、国家安全保障からコンピューターサイエンスまでの業界の重鎮で構成されており、今後は新しいグローバルハブに助言を与えることになる。
The Institute will carefully test new types of frontier AI before and after they are released to address the potentially harmful capabilities of AI models, including exploring all the risks, from social harms like bias and misinformation, to the most unlikely but extreme risk, such as humanity losing control of AI completely. In undertaking this research, the AI Safety Institute will look to work closely with the Alan Turing Institute, as the national institute for data science and AI.	研究所は、AIモデルの潜在的な有害能力に対処するため、新しいタイプのフロンティアAIをリリース前後に慎重にテストする。これには、バイアスや誤情報のような社会的危害から、人類がAIを完全に制御できなくなるといった、最も可能性は低いが極端なリスクまで、あらゆるリスクを探ることも含まれる。この研究に取り組むにあたり、AI安全研究所は、データサイエンスとAIの国立研究所として、アラン・チューリング研究所と緊密に連携することを視野に入れている。
In launching the AI Safety Institute, the UK is continuing to cement its position as a world leader in AI safety, working to develop the most advanced AI protections of any country in the world and giving the British people peace of mind that the countless benefits of AI can be safely captured for future generations to come.	AI安全研究所を立ち上げることで、英国はAIの安全性において世界のリーダーとしての地位を固めつつあり、世界のどの国よりも先進的なAI保護の開発に取り組んでいる。
World leaders and major AI companies have today expressed their support for the Institute as the world’s first AI Safety Summit concludes. From Japan and Canada to OpenAI and DeepMind, the collective backing of key players will strengthen international collaboration on the safe development of frontier AI – putting the UK in prime position to become the home of AI safety and lead the world in seizing its enormous benefits.	世界初のAI安全サミットが閉幕した本日、世界のリーダーや主要AI企業が研究所への支持を表明した。日本やカナダからOpenAIやDeepMindに至るまで、主要企業が一丸となって支援することで、フロンティアAIの安全な開発に関する国際協力が強化される。
Leading researchers at the Alan Turing Institute and Imperial College London have also welcomed the Institute’s launch, alongside representatives of the tech sector in TechUK and the Startup Coalition.	アラン・チューリング研究所とインペリアル・カレッジ・ロンドンの主要研究者も、テックUKとスタートアップ連合のハイテクセクター代表者と共に、研究所の発足を歓迎している。
Already, the UK has agreed two partnerships: with the US AI Safety Institute, and with the Government of Singapore to collaborate on AI safety testing – two of the world’s biggest AI powers.	すでに英国は、米国のAI安全性研究所と、シンガポール政府とAIの安全性テストに関する協力という2つのパートナーシップに合意している。
Deepening the UK’s stake and influence in this transformative technology, it will also advance the world’s knowledge of AI safety – with the Prime Minister committing to invest in its safe development for the rest of the decade, as part of the Government’s record investment into R&D.	この変革的技術における英国の利害と影響力を深めることで、AIの安全性に関する世界の知識も向上する。首相は、政府の研究開発への記録的な投資の一環として、残りの10年間、AIの安全な開発に投資することを約束した。
Prime Minister Rishi Sunak said:	リシ・スナック首相は次のように述べた：
Our AI Safety Institute will act as a global hub on AI safety, leading on vital research into the capabilities and risks of this fast-moving technology.	我々のAI安全研究所は、AIの安全性に関する世界的なハブとして機能し、この急速に進歩する技術の能力とリスクに関する重要な研究を主導する。
It is fantastic to see such support from global partners and the AI companies themselves to work together so we can ensure AI develops safely for the benefit of all our people. This is the right approach for the long-term interests of the UK.	グローバル・パートナーやAI企業自身からこのような支援を受け、すべての人々の利益のためにAIを安全に発展させるために協力することは素晴らしいことだ。これは英国の長期的な利益にとって正しいアプローチである。
Secretary of State for Science, Innovation, and Technology, Michelle Donelan said:	ミシェル・ドネラン科学・イノベーション・技術担当国務長官は、次のように述べた：
The AI Safety Institute will be an international standard bearer. With the backing of leading AI nations, it will help policymakers across the globe in gripping the risks posed by the most advanced AI capabilities, so that we can maximise the enormous benefits.	AI安全研究所は国際標準となる。AI先進国の支援により、最先端のAI能力がもたらすリスクを把握する上で、世界中の政策立案者を支援し、莫大な利益を最大化することができるだろう。
We have spoken at length about the Summit at Bletchley Park being a starting point, and as we reach the final day of discussions, I am enormously encouraged by the progress we have made and the lasting processes we have set in motion.	我々は、ブレッチリー・パークでのサミットが出発点であることを長々と話してきたが、議論の最終日を迎えるにあたり、我々が成し遂げてきた進展と、我々が動き出した永続的なプロセスに非常に勇気づけられている。
The launch of the AI Safety Institute marks the UK’s contribution to the collaboration on AI safety testing agreed by world leaders and the companies developing frontier AI at a session in Bletchley Park this afternoon.	AI安全研究所の発足は、本日午後にブレッチリー・パークで開催されたセッションで、世界のリーダーたちとフロンティアAIを開発する企業によって合意されたAIの安全性テストに関する協力に、英国が貢献することを意味する。
New details revealed today, as governments from across the globe gathered for a second day of talks, set out the body’s mission to prevent surprise to the UK and humanity from rapid and unexpected advances in AI. Ahead of new powerful models expected to be released next year whose capabilities may not be fully understood, its first task will be to quickly put in place the processes and systems to test them before they launch – including open-source models.	本日、世界各国の政府が2日目の協議に集まった際に明らかにされた新たな詳細は、AIの急速かつ予期せぬ進歩による英国や人類への驚きを防ぐという、この団体の使命を示している。来年には、その能力が完全には理解されていない可能性のある強力な新モデルが発表されると予想されるが、それに先立ち、その最初の仕事は、オープンソースモデルを含め、発売前にそれらをテストするプロセスとシステムを迅速に導入することである。
From its research informing UK and international policymaking, to providing technical tools for governance and regulation – such as the ability to analyse data being used to train these systems for bias - it will see the government take action to make sure AI developers are not marking their own homework when it comes to safety.	英国や国際的な政策立案に情報を提供する研究から、ガバナンスや規制のための技術的ツールのプロバイダ（例えば、これらのシステムの訓練に使用されるデータのバイアス分析機能など）まで、政府は、AI開発者が安全性に関して自分たちの宿題に印をつけることがないよう、行動を起こすことになる。
AI Safety Institute Chair Ian Hogarth, said:	AI安全研究所のイアン・ホガース委員長は、次のように述べた：
The support of international governments and companies is an important validation of the work we’ll be carrying out to advance AI safety and ensure its responsible development.	国際的な政府や企業の支援は、AIの安全性を向上させ、責任ある開発を保証するために我々が実施する作業の重要な検証である。
Through the AI Safety Institute, we will play an important role in rallying the global community to address the challenges of this fast-moving technology.	AIセーフティ・インスティテュートを通じて、我々は、この急速に変化するテクノロジーの課題に取り組むために、グローバル・コミュニティを結集させる重要な役割を果たすだろう。
Researchers are already in place to head up the work of the Institute who will be provided with access to the compute needed to support their work. This includes making use of the new AI Research Resource, an expanding £300 million network that will include some of Europe’s largest super computers, increasing the UK’s AI super compute capacity by a factor of thirty.	この研究所の活動を率いる研究者はすでに決まっており、彼らの研究をサポートするために必要な計算機へのアクセスがプロバイダとして提供される。これには、ヨーロッパ最大のスーパーコンピューターを含む3億ポンド規模のネットワークである新しいAIリサーチ・リソースの利用も含まれ、英国のAIスーパーコンピューター能力は30倍に増加する。
It follows the UK Government’s announcement yesterday of additional investment in Bristol’s “Isambard-AI” and a new computer called “Dawn” in Cambridge, that researchers will be able to access at the same time to boost their research and make AI safe. The AI Safety Institute will have priority access to this cutting-edge supercomputer to help develop its programme of research into the safety of frontier AI models and supporting government with this analysis.	これは、英国政府が昨日発表した、ブリストルの「Isambard-AI」とケンブリッジの「Dawn」と呼ばれる新型コンピューターへの追加投資に続くもので、研究者は研究を後押しし、AIを安全にするために同時にアクセスできるようになる。AI安全研究所は、この最先端のスーパーコンピュータに優先的にアクセスできるようになり、フロンティアAIモデルの安全性に関する研究プログラムの開発や、政府への分析支援に役立てる。
It comes as government representatives were joined by CEOs of leading AI companies and a number of civil society leaders earlier today to discuss the year ahead and consider what immediate steps are needed - by countries, companies, and other stakeholders – to ensure the safety of frontier AI.	これは、政府代表者が本日未明、大手AI企業のCEOや多くの市民社会リーダーとともに、今後の1年を議論し、フロンティアAIの安全性を確保するために、国、企業、その他の利害関係者がどのような緊急措置を講じる必要があるかを検討したことを受けてのものだ。
As the final day of talks come to a close at Bletchley Park, the AI Safety Summit has already laid the foundations for talks on frontier AI safety to be an enduring discussion with South Korea set to host next year.	最終日のブレッチリー・パークでの会議が閉幕する中、AIセーフティ・サミットはすでに、フロンティアAIの安全性に関する会議が、来年韓国で開催される予定の永続的な議論となるための基礎を築いた。
Further information:	詳細はこちら：
Read an overview of the AI Safety Institute.	AI安全研究所の概要を読む。
A CEO for the Institute will be recruited in due course.	研究所のCEOは追って募集される予定である。
Notes for editors:	編集後記
U.S. Secretary of Commerce Gina Raimondo said:	ジーナ・ライモンド米国商務長官は次のように述べた：
I welcome the United Kingdom’s announcement to establish an AI Safety Institute, which will work together in lockstep with the U.S. AI Safety Institute to ensure the safe, secure, and trustworthy development and use of advanced AI. AI is the defining technology of our generation, carrying both enormous potential and profound risk. Our coordinated efforts through these institutes is only the beginning of actions to facilitate the development of safety standards, build testing capabilities for advanced AI models, and to expand information-sharing, research collaboration, interoperability, and policy alignment across the globe on AI safety.	先進的なAIの安全・安心で信頼できる開発と利用を確保するため、米国のAI安全研究所と歩調を合わせて協力する。AIは我々の世代を定義する技術であり、巨大な可能性と深刻なリスクの両方を抱えている。これらの研究所を通じた我々の協調的な取り組みは、安全標準の開発を促進し、先進的なAIモデルのテスト能力を構築し、AIの安全性に関する情報共有、研究協力、相互運用性、政策の調整を世界中で拡大するための行動の始まりに過ぎない。
Singapore Minister for Communications and Information Josephine Teo said:	シンガポールのジョセフィン・テオ・コミュニケーション・情報大臣は次のように述べた：
The rapid acceleration of AI investment, deployment and capabilities will bring enormous opportunities for productivity and public good. We believe that governments have an obligation to ensure that AI is deployed safely. We agree with the principle that governments should develop capabilities to test the safety of frontier AI systems. Following the MoUs on Emerging Technologies and Data Cooperation signed by Singapore and the UK earlier this year, we have agreed to collaborate directly with the UK to build capabilities and tools for evaluating frontier AI models. This will involve a partnership between Singapore’s Infocomm Media Development Authority and the UK’s new AI Safety Institute. The objective is to build a shared understanding of the risks posed by frontier AI. We look forward to working together with the UK to build shared technical and research expertise to meet this goal.	AIへの投資、配備、能力の急速な加速は、生産性と公益に莫大な機会をもたらすだろう。政府にはAIが安全に導入されるようにする義務があると考える。我々は、政府がAIシステムの安全性をテストする能力を開発すべきという原則に同意する。今年初めにシンガポールと英国が締結した新興技術とデータ協力に関する覚書に続き、我々は、フロンティアAIモデルを評価するための能力とツールを構築するために、英国と直接協力することに合意した。これには、シンガポールの情報通信メディア開発庁と英国の新しいAI安全研究所とのパートナーシップが含まれる。その目的は、フロンティアAIがもたらすリスクについて共通の理解を構築することである。我々は、この目標を達成するために、英国と協力して技術的・研究的専門知識を共有することを楽しみにしている。
Canadian Minister of Innovation, Science and Industry, the Honourable François-Philippe Champagne said:	カナダのフランソワ・フィリップ・シャンパーニュ革新科学産業大臣は次のように述べた：
Canada welcomes the launch of the UK’s AI Safety Institute. Our government looks forward to working with the UK and leveraging the exceptional Canadian AI knowledge and expertise, including the knowledge developed by our AI institutes to support the safe and responsible development of AI.	カナダは、英国のAI安全研究所の発足を歓迎する。我が国政府は、英国と協力し、AIの安全で責任ある開発を支援するために、我が国のAI研究所が開発した知識を含め、カナダの卓越したAIの知識と専門性を活用することを期待している。
The Government of Japan said:	日本政府は次のように述べた：
The Japanese Government appreciate the UK’s leadership in holding the AI Safety Summit and welcomes the UK initiative to establish the UK AI Safety Institute. We look forward to working with the UK and other partners on AI safety issues toward achieving safe, secure, and trustworthy AI.	日本政府は、AI安全サミットの開催における英国のリーダーシップに感謝するとともに、英国AI安全研究所の設立という英国のイニシアチブを歓迎する。安全、安心、信頼できるAIの実現に向け、英国や他のパートナーとAIの安全問題について協力していくことを期待している。
The German Government said:	ドイツ政府は次のように述べた：
Germany is interestedly taking notice of the foundation of the AI Safety Institute and is looking forward to exploring possibilities of cooperation.	ドイツはAI安全研究所の設立に関心を寄せており、協力の可能性を探ることを楽しみにしている。
CEO of Amazon Web Services Adam Selipsky said:	アマゾン・ウェブ・サービスのアダム・セリプスキーCEOは次のように述べた：
We commend the launch of the UK AI Safety Institute. As one of the world’s leading developers and deployers of AI tools and services, Amazon is committed to collaborating with government and industry in the UK and around the world to support the safe, secure, and responsible development of AI technology. We are dedicated to driving innovation on behalf of our customers and consumers, while also establishing and implementing the necessary safeguards to protect them.	英国のAI安全研究所の設立を称賛する。世界有数のAIツールおよびサービスの開発・展開企業として、アマゾンは英国をはじめ世界中の政府や産業界と協力し、AI技術の安全・安心で責任ある開発を支援することを約束する。我々は、顧客と消費者のためにイノベーションを推進すると同時に、顧客と消費者を保護するために必要な保護措置を確立し、実施することに専心している。
CEO & co-founder of Anthropic Dario Amodei said:	Anthropicのダリオ・アモデイ最高経営責任者（CEO）兼共同設立者は、次のように述べている：
While AI promises significant societal benefits, it also poses a range of potential harms. Critical to managing these risks is government capacity to measure and monitor the capability and safety characteristics of AI models. The AI Safety Institute is poised to play an important role in promoting independent evaluations across the spectrum of risks and advancing fundamental safety research. We welcome its establishment and look forward to partnering closely to advance safe and responsible AI.	AIは大きな社会的利益を約束する一方で、さまざまな潜在的危害をもたらす。これらのリスクをマネジメントするために不可欠なのは、政府がAIモデルの能力と安全特性を測定・監視する能力である。AI安全研究所は、様々なリスクに対する独立した評価を促進し、安全に関する基礎研究を推進する上で重要な役割を果たす用意がある。我々はその設立を歓迎し、安全で責任あるAIを推進するために緊密に提携することを楽しみにしている。
CEO & co-founder of Google DeepMind Demis Hassabis said:	グーグルディープマインドのデミス・ハサビス最高経営責任者（CEO）兼共同創業者は、次のように述べている：
AI can help solve some of the most critical challenges of our time, from curing disease to addressing the climate crisis. But it will also present new challenges for the world and we must ensure the technology is built and deployed safely. Getting this right will take a collective effort from governments, industry and civil society to inform and develop robust safety tests and evaluations. I’m excited to see the UK launch the AI Safety Institute to accelerate progress on this vital work.	AIは、病気の治療から気候危機への対処まで、現代における最も重要な課題の解決に貢献できる。しかし、AIは世界にとって新たな課題も提示することになり、私たちはAIが安全に構築され、導入されることを保証しなければならない。これを正しく行うには、政府、産業界、市民社会が総力を挙げて、強固な安全性試験と評価に取り組み、開発する必要がある。英国がAI安全研究所を発足させ、この重要な作業の進展を加速させることに興奮している。
CEO & co-founder of Inflection Mustafa Suleyman said:	インフレクションのムスタファ・スレイマン最高経営責任者（CEO）兼共同創業者は、次のように述べた：
We welcome the Prime Minister’s leadership in establishing the UK AI Safety Institute and look forward to collaborating to ensure the world reaps the benefit of safe AI.	我々は、英国AI安全研究所設立における首相のリーダーシップを歓迎し、世界が安全なAIの恩恵を享受できるよう協力していくことを楽しみにしている。
President of Global Affairs at Meta Sir Nick Clegg said:	メタ社のニック・クレッグ社長は次のように述べた：
Everyone has a responsibility to ensure AI is built and deployed responsibly to create social and economic opportunities for all. We look forward to working with the new Institute to deepen understanding of the technology, and help develop effective and workable benchmarks to evaluate models. It’s vital that we establish ways to assess and address the current challenges AI presents, as well as the potential risks from technology that does not yet exist.	すべての人に社会的・経済的機会を創出するために、AIが責任を持って構築・導入されることを保証する責任がすべての人にある。我々は、新しい研究所と協力して技術への理解を深め、モデルを評価するための効果的で実行可能なベンチマークの開発を支援することを楽しみにしている。AIがもたらす現在の課題と、まだ存在しないテクノロジーによる潜在的なリスクを評価し、対処する方法を確立することが不可欠だ。
Vice Chair and President of Microsoft Brad Smith said:	マイクロソフトのブラッド・スミス副会長兼社長は次のように述べた：
We applaud the UK Government’s creation of an AI Safety Institute with its own testing capacity for safety and security. Microsoft is committed to supporting the new Institute and to advancing the close collaboration that will be needed among governments, with industry, and with academic researchers and across civil society. These new steps will be vital to ensuring that innovation and safety move forward together.	英国政府が、安全性とセキュリティに関する独自のテスト能力を持つAI安全研究所を設立したことを歓迎する。マイクロソフトは、この新しい研究所を支援し、政府間、産業界、学術研究者、市民社会全体で必要とされる緊密なコラボレーションを推進することを約束する。これらの新たなステップは、イノベーションと安全性を共に前進させるために不可欠である。
CEO of OpenAI Sam Altman said:	OpenAIのサム・アルトマン最高経営責任者（CEO）は、次のように述べた：
The UK AI Safety Institute is poised to make important contributions in progressing the science of the measurement and evaluation of frontier system risks. Such work is integral to our mission – ensuring that artificial general intelligence is safe and benefits all of humanity – and we look forward to working with the Institute in this effort.	英国AI安全研究所は、フロンティアシステムのリスクの測定と評価の科学を進歩させる上で重要な貢献をする用意がある。このような仕事は、人工知能が安全で、全人類に利益をもたらすことを確実にするという我々の使命に不可欠であり、この取り組みにおいて研究所と協力できることを楽しみにしている。
Dr Jean Innes, CEO of The Alan Turing Institute, said:	アラン・チューリング研究所のCEO、ジャン・イネス博士は次のように述べた：
AI has immense potential to do good, but in order to realise the benefits our societies must be confident that risks are being addressed. We welcome the AI Safety Institute which will generate further momentum in this global endeavour, and we look forward to collaborating in the weeks and months ahead, helping to leverage the Turing’s expertise alongside the science and innovation capabilities of the UK’s universities, research community and wider AI ecosystem, building on the country’s strong track record of delivering work on AI safety, ethics and standards.	AIには良いことをする計り知れない可能性があるが、その利益を実現するためには、我々の社会はリスクに対処していることを確信しなければならない。私たちは、この世界的な取り組みに更なる勢いを生み出すであろうAI安全研究所を歓迎し、今後数週間から数ヶ月の間に協力し、英国の大学、研究コミュニティ、より広範なAIエコシステムの科学とイノベーション能力とともに、チューリングの専門知識を活用する手助けをすることを楽しみにしている。
Executive Director of Startup Coalition Dom Hallas said:	スタートアップ連合のドム・ハラス専務理事は、次のように述べた：
We’re proud to see the UK take this critical step in its work on AI safety because a well-rounded approach to the issues at hand is vital to the AI ecosystem. When partnered with the UK’s other initiatives - and hopefully future ones that tackle talent, compute, and investment - that all focus on safe scaling and AI adoption, the UK is well on its way to creating a state capacity unlike any of our international competitors. Nailing the fundamentals of AI safety and building the regulatory capacity to keep up with the rate of innovation are large steps. When coupled with a well-rounded approach that tackles the needs of our AI startups and scaleups, the AI Safety Institute will help ensure the UK and its businesses’ places as global AI leaders.	我々は、英国がAIの安全性に関する取り組みにおいて重要な一歩を踏み出したことを誇りに思っている。安全なスケーリングとAI導入に焦点を当てた英国の他の取り組み、そして将来的には人材、コンピュート、投資に取り組む取り組みと組み合わせることで、英国は国際的な競争相手とは一線を画す国家能力を生み出す道を順調に歩んでいる。AIの安全性の基礎を固め、イノベーションの速度に追いつく規制能力を構築することは、大きな一歩である。AIの新興企業やスケールアップ企業のニーズに取り組む包括的なアプローチと相まって、AI安全研究所は、英国とその企業が世界のAIリーダーとしての地位を確保するのに役立つだろう。
Julian David, CEO of techUK, said:	techUKのCEOであるジュリアン・デイヴィッドは、次のように述べている：
techUK welcomes the establishment of the AI Safety Institute which will carry forward the UK’s pioneering work on Frontier AI. We are pleased that the Institute will have three clear objectives: to develop and conduct evaluations on advanced AI systems; to drive foundational AI safety research; and to facilitate information exchange. These are important but complex tasks and it is vital that the Institute has access to the compute capacity and skills that it will need.The diplomatic effort invested in the AI Safety Summit should help to ensure that the Institute is well placed to build further international collaboration on frontier AI. We look forward to working with the AI Safety Institute to facilitate industry collaboration in this important area.	techUKは、フロンティアAIに関する英国の先駆的な取り組みを継承するAI安全研究所の研究所設立を歓迎する。この研究所は、先進的なAIシステムの開発と評価、AI安全性研究の推進、情報交換の促進という3つの明確な目標を掲げている。AIセーフティ・サミットに投資された外交努力は、研究所がフロンティアAIに関する国際的な協力関係をさらに構築するのに役立つはずだ。我々は、AIセーフティ研究所と協力して、この重要な分野における産業界の協力を促進することを楽しみにしている。
Professor Mary Ryan, Vice-Provost (Research and Enterprise), Imperial College London said:	インペリアル・カレッジ・ロンドンの副学長（研究・エンタープライズ）であるメアリー・ライアン教授は、次のように述べている：
The new UK AI Safety Institute is an important step in our understanding of AI risks. Universities will play a critical role with the new Institute in the UK AI ecosystem - accelerating innovation from foundational to applied AI. Only by combining deep technical and academic expertise together with that of industry and policymakers, can we effectively develop frameworks that will ensure the safe, productive and accelerated deployment of AI.	新しいUK AI Safety Instituteは、AIのリスクを理解する上で重要な一歩となる。大学は、英国のAIエコシステムにおいて、この新しい研究所とともに重要な役割を果たすことになる。深い技術的・学術的専門知識と、産業界や政策立案者の専門知識を組み合わせることによってのみ、AIの安全で生産的かつ迅速な導入を保証する枠組みを効果的に開発することができる。
Shahid Omer, Director of Policy at Universities UK said:	英国大学協会（Universities UK）の政策担当ディレクターであるシャヒード・オメル氏は、次のように述べた：
We welcome today’s announcement that will help to cement the UK’s status as a world-leader in AI research and AI safety. Backed by the world-leading research and innovation of UK universities, this important new Institute can help the UK to further understand and take advantage of AI, in a safe and secure manner.	我々は、AI研究とAIの安全性において世界のリーダーとしての英国の地位を確固たるものにする助けとなる本日の発表を歓迎する。世界をリードする英国の大学の研究とイノベーションに支えられたこの重要な新しい研究所は、英国がAIをさらに理解し、安全かつ確実に活用するのに役立つだろう。
UK universities are well placed to explore both the technological and societal impacts of AI. New funding announced earlier this week will also enable our universities to continue to carry out cutting-edge research into AI, boost the UK’s own AI skills base, as well as help attract talented AI researchers from overseas.	英国の大学は、AIの技術的影響と社会的影響の両方を探求するのに適した立場にある。今週初めに発表された新たな資金により、英国の大学がAIに関する最先端の研究を継続的に実施し、英国自身のAIスキル基盤を向上させるとともに、海外から優秀なAI研究者を誘致することも可能になる。

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.10.30 英国科学技術革新省フロンティアAI：その能力とリスク - ディスカッション・ペーパー

・2023.08.25 英国 AIサミットは11月1日2日にブレッチリー・パークで開催

● Bundesamt für Sicherheit in der Informationstechnik: BSI

・2023.10.30 中国グローバルAIガバナンス・イニシアティブ (2023.10.19)

・2023.10.30 経団連 AI活用戦略Ⅱ －わが国のAI-Powered化に向けて－　(2023.10.17)

・2023.10.25 インド AIに関する専門家の報告書「インディアAI 2023」を公表 (2023.10.14)

2023.11.05 00:00 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 法律 / 犯罪, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in AI/Deep Learning, in 安全保障 | Permalink | Comments (0)
Tweet

2023.11.04

米国 FBIが一般市民に呼びかけるアカウント保護の方法例 (2023.10.24)

こんにちは、丸山満彦です。

米国では10月はサイバーセキュリティ月間でしたが、テキサス州のエルパソのFBIがTech Tuesdayの取り組みの中で、市民にアカウント保護の方法として、次のような文書を出していますね。。。

市民向けの啓発の仕方として参考になるかもですね。。。

シンプルで分かりやすく、人の頭に残るサイズの情報量...

● FBI - EL PASO

・2023.10.24 FBI Tech Tuesday: Strong Passphrases and Account Protection

ポイントとしては、

できるだけ長いパスワードにしろ（複雑さより長さ）
- 複数の単語を組み合わせた15文字以上のパスフレーズを使う（例：TechTuesday2023Strengthen！
  ）
少なくとも、電子メール、金融、健康関連のアカウントには、すべて異なる固有のパスワードを設定する
アカウントに多要素認証を設定する
パスワードの "ヒント "を許可しない

といった感じです。。。

ちなみに、IC3によると、テキサス州では2023年1月以降、200件以上の個人情報漏えいの被害が報告され、被害額は1,070万ドル以上に上ったそうです。。。

2023.11.04 06:52 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 法律 / 犯罪 | Permalink | Comments (0)
Tweet

中国王毅外相の訪米 (2023.10.27-29)

こんにちは、丸山満彦です。

中国の王毅外相が、10月27-29日に訪米し、バイデン米大統領、サリバン大統領補佐官（国家安全保障問題担当）と個別に会談し、ブリンケン米国務長官と2回にわたり会談し、その他、戦略系グループ、財界、産業界などの代表とそれぞれ会談していますね。。。

サンフランシスコ会談に向けての地慣らしといったところでしょうかね...

2023.10.27

・王毅外相ーブリンケン国務大臣 (1)

● 中国政府王毅同美国国务卿布林肯举行首日会谈

王毅同美国国务卿布林肯举行首日会谈	王毅外相、ブリンケン米国務長官と会談初日を迎える
当地时间2023年10月26日，中共中央政治局委员、外交部长王毅在应邀访美期间在华盛顿同美国国务卿布林肯举行会谈。	現地時間2023年10月26日、王毅中国共産党中央委員会政治局委員兼外相は、招待訪米中のブリンケン米国務長官とワシントンD.C.で会談を行った。
此次访问是对布林肯今年6月访华的回访。双方在建设性气氛中就中美关系和共同关心的问题深入交换了意见。	今回の訪問は、今年6月にブリンケン氏が訪中した際の再訪問である。双方は建設的な雰囲気の中で、中米関係や共通の関心事について踏み込んだ意見交換を行った。
双方将于10月27日上午继续会谈。	双方は10月27日の午前中にも会談を続ける予定である。

米国側

● The Department of State: Secretary Blinken’s Meeting with People’s Republic of China Director of the Chinese Communist Party (CCP) Central Foreign Affairs Commission and Foreign Minister Wang Yi

Secretary Blinken’s Meeting with People’s Republic of China Director of the Chinese Communist Party (CCP) Central Foreign Affairs Commission and Foreign Minister Wang Yi	ブリンケン長官と中国共産党中央外交委員会主任および王毅外相との会談について
The below is attributable to Spokesperson Matthew Miller:	以下はマシュー・ミラー報道官による：
Secretary of State Antony J. Blinken hosted PRC Director of the CCP Central Foreign Affairs Commission and Foreign Minister Wang Yi for an official visit today in Washington. The meeting was part of a reciprocal visit following the Secretary’s travel to Beijing and recent high-level meetings as part of ongoing efforts to maintain open lines of communication and responsibly manage U.S.-China relations. The Secretary and Director and Foreign Minister Wang discussed a range of bilateral, regional, and global issues, including addressing areas of difference as well as exploring areas of cooperation. The Secretary reiterated that the United States will continue to stand up for our interests and values and those of our allies and partners.	アントニー・J・ブリンケン国務長官は本日、中国共産党中央対外連絡委員会主任と王毅外相をワシントンで公式訪問させた。この会談は、同長官の北京訪問と最近のハイレベル会談に続く相互訪問の一環であり、オープンなコミュニケーションラインを維持し、米中関係を責任を持って管理するための継続的な努力の一環である。同長官と王外相は、二国間、地域、世界的な諸問題について協議し、相違点への対応や協力分野の模索などを行った。長官は、米国は引き続き、わが国の利益と価値観、そして同盟国やパートナーの利益と価値観のために立ち上がっていくことを改めて表明した。
The Secretary expressed his condolences on the passing of former Premier Li Keqiang.	長官は、李克強前首相の死去に哀悼の意を表明した。
The Secretary and Director and Foreign Minister Wang will continue their discussions on Friday, October 27	同長官と王外相は、10月27日（金）にも引き続き協議を行う。

・王毅外相ーサリバン大統領補佐官

● 中国政府王毅会见美国总统国家安全事务助理沙利文

中国の立場としては、台湾海峡の平和と安定に対する最大の脅威は「台湾独立」であり、中米関係に対する最大の挑戦も「台湾独立」と述べていますね。。。

王毅会见美国总统国家安全事务助理沙利文	王毅、サリバン米大統領補佐官（国家安全保障問題担当）と会談
当地时间2023年10月27日，中共中央政治局委员、中央外办主任王毅在华盛顿会见美国总统国家安全事务助理沙利文。	王毅・中国共産党中央委員会政治局委員兼中央対外連絡弁公室主任は現地時間10月27日、ワシントンでサリバン米大統領補佐官（国家安全保障問題担当）と会談した。
双方就中美关系、两国高层交往及巴以冲突等共同关心的国际地区问题进行了实质性、建设性战略沟通。	双方は、中米関係、両国間のハイレベル交流、イスラエル・パレスチナ紛争など共通の関心事である国際・地域問題について、実質的かつ建設的な戦略的意思疎通を行った。
双方同意，为实现两国元首旧金山会晤共同努力。	双方は、両首脳によるサンフランシスコ会談の実現に向けて共同で努力することで合意した。
王毅指出，台海和平稳定面临的最大威胁是“台独”，中美关系面临的最大挑战也是“台独”，必须坚决加以反对，并体现在具体政策和行动上。	王毅は、台湾海峡の平和と安定に対する最大の脅威は「台湾独立」であり、中米関係に対する最大の挑戦も「台湾独立」であり、断固として反対し、具体的な政策と行動に反映させなければならないと指摘した。
王毅还阐述了中方在南海问题上的严正立场。	王副首相はまた、南シナ海問題に関する中国の厳粛な立場についても詳しく説明した。
双方同意继续保持战略沟通。	双方は引き続き戦略的な意思疎通を図っていくことで一致した。

● U.S. White House Readout of National Security Advisor Jake Sullivan’s Meeting with People’s Republic of China Director of the Office of the Foreign Affairs Commission and Foreign Minister Wang Yi

中国側の発表に比べて台湾への言及の熱量がすくないですね...

Readout of National Security Advisor Jake Sullivan’s Meeting with People’s Republic of China Director of the Office of the Foreign Affairs Commission and Foreign Minister Wang Yi	ジェイク・サリバン国家安全保障顧問、中華人民共和国外交委員会主任および王毅外相との会談を読み上げる
National Security Advisor Jake Sullivan met today with People’s Republic of China Director of the Office of the Foreign Affairs Commission and Foreign Minister Wang Yi in Washington, D.C.	ジェイク・サリバン国家安全保障顧問は本日、中華人民共和国の王毅外交部長兼外相とワシントンで会談した。
National Security Advisor Sullivan and Director Wang had candid, constructive, and substantive discussions on key issues in the U.S.-China bilateral relationship, the Israel-Hamas conflict, Russia’s war against Ukraine, and cross-Strait issues, among other topics.	サリバン国家安全保障顧問と王部長は、米中二国間関係の重要問題、イスラエル・ハマース紛争、ロシアの対ウクライナ戦争、両岸問題などについて、率直かつ建設的で実質的な議論を行った。
National Security Advisor Sullivan discussed concerns over China’s dangerous and unlawful actions in the South China Sea. He raised the importance of peace and stability across the Taiwan Strait.	サリバン国家安全保障顧問は、南シナ海における中国の危険かつ非合法な行動に対する懸念について議論した。彼は台湾海峡の平和と安定の重要性を提起した。
The two sides reaffirmed their desire to maintain this strategic channel of communication and to pursue additional high-level diplomacy, including working together towards a meeting between President Biden and President Xi Jinping in San Francisco in November.	双方は、この戦略的なコミュニケーション・チャンネルを維持し、11月にサンフランシスコで行われるバイデン大統領と習近平国家主席の会談に向けて協力するなど、さらなるハイレベル外交を追求していくことを再確認した。
National Security Advisor Sullivan expressed his condolences on the passing of former Premier Li Keqiang.	サリバン国家安全保障顧問は、李克強前首相の死去に哀悼の意を表明した。

・王毅外相ーブリンケン国務大臣 (2)

● 中国政府王毅同美国国务卿布林肯举行会谈

５つのマストを実施することの重要性を述べていますね。。。

両国元首のコンセンサスを守ること
中米二国間関係を安定させること
意思疎通のチャンネルをオープンに保つこと
相違や矛盾、摩擦をコントロールすること
互恵協力を推進すること

王毅同美国国务卿布林肯举行会谈	王毅、ブリンケン米国務長官と会談
当地时间2023年10月26日至27日，中共中央政治局委员、外交部长王毅在华盛顿同美国国务卿布林肯举行两轮会谈。双方同意，为实现两国元首旧金山会晤而共同努力。	現地時間10月26日から27日にかけて、王毅中国共産党中央委員会政治局委員兼中華人民共和国外相はワシントンでブリンケン米国務長官と2回の会談を行った。双方は、両首脳のサンフランシスコ会談の実現に向け、共同で努力することで合意した。
王毅说，当前国际局势变乱交织，中美关系也处于关键十字路口。作为世界前两大经济体和安理会常任理事国，中美两国既面临各自发展任务，也面临共同问题挑战。我们始终认为，中美共同利益大于分歧矛盾，中美各自取得成功对彼此是机遇而非挑战，大国相处之道应是对话合作而非零和博弈。我们主张中美关系应尽快重回健康稳定发展轨道，以造福两国，惠及世界。	王毅は、現在の国際情勢は変化と混乱が絡み合っており、中米関係も重大な岐路に立っていると述べた。世界のトップ2の経済大国として、また安全保障理事会の常任理事国として、中国と米国はそれぞれの発展課題に直面していると同時に、共通の課題にも直面している。我々は常に、中国と米国の共通の利益はその相違や矛盾を凌駕し、中国と米国の成功は互いにとって挑戦ではなくむしろ機会であり、大国同士が仲良くする方法はゼロサムゲームではなく、対話と協力であるべきだと信じてきた。我々は、中米関係が両国と世界の利益のために、できるだけ早く健全で安定した発展の軌道に戻るべきだと提唱する。
王毅表示，回首今年以来中美关系曲折历程，经验值得总结，教训需要汲取，最关键是要做到“五个必须”：必须遵守两国元首共识；必须稳定中美双边关系；必须保持沟通渠道畅通；必须管控分歧矛盾摩擦；必须推进互利合作。王毅强调，要实现中美关系稳下来、好起来，双方还应客观认识对方战略意图，正确看待中美交往中的竞争因素，厘清国家安全概念。	王毅氏は、今年の中米関係の紆余曲折を振り返り、経験は総括する価値があり、教訓を学ぶ必要があり、最も重要なことは「5つのマスト」を実行することであると述べた。王毅は、中米関係の安定と良好な関係を実現するためには、双方は互いの戦略的意図を客観的に理解し、中米間の相互作用における競争要因を正しく捉え、国家安全保障の概念を明確にする必要もあると強調した。
布林肯表示，近段时间，美中保持交往和互动，开展坦率、建设性沟通，取得积极成效。美方希望两国关系稳定、可持续，愿同中方加强沟通，防止误判，探讨在需要合作的领域开展合作，筹备好美中下阶段高层交往。	ブリンケン氏は、「ここ最近、米中は接触と交流を維持し、率直で建設的な意思疎通を行い、前向きな成果を上げてきた」と述べた。米側は両国関係の安定と持続を望んでおり、中国側との意思疎通を強化し、誤算を防ぎ、協力が必要な分野での協力を模索し、米中ハイレベル接触の次の段階に備えたいと考えている。
双方将于近日分别举行中美海洋事务磋商、中美军控和防扩散磋商、中美外交政策磋商、中美残疾人事务协调会并探讨签署残疾人事务合作谅解备忘录。双方同意进一步增加客运直航航班。	双方は、「米中海洋問題協議」、「米中軍備管理・不拡散協議」、「米中外交政策協議」、「米中障害者問題調整会議」を開催し、障害者問題での協力に関する覚書（MOU）の締結を模索する。双方は、旅客直行便のさらなる増便に合意した。
双方就巴以冲突等国际和地区问题交换意见。王毅表示，当务之急是防止更大范围的人道主义灾难，根本出路是落实“两国方案”。大国应冷静客观，秉持公道，联合国有必要发挥应有作用。中方愿同各方一道，合作激活促和机制，为落实“两国方案”形成更广泛国际共识，探讨提供更有效国际保障。布林肯表示，中东地区维续和平稳定符合各方利益，美方同样认为应回归并落实“两国方案”。	双方は、イスラエル・パレスチナ紛争などの国際問題や地域問題について意見を交換した。王毅国家主席は、広範な人道的災害を防ぐことが急務であり、根本的な解決策は「2国家解決」を実行することだと述べた。大国は冷静かつ客観的で公正であるべきであり、国連は相応の役割を果たす必要がある。中国はすべての当事者と協力し、平和促進メカニズムを活性化させ、「2国家解決」の実施についてより広範な国際的コンセンサスを形成し、より効果的な国際的保証の提供を模索することを望んでいる。ブリンケン氏は、中東の平和と安定を維持することはすべての当事者の利益であり、米国は「2国家解決策」に立ち返り、それを実施すべきであるという見解を共有していると述べた。
双方还就乌克兰、朝鲜半岛核问题等交换了看法。	双方はまた、ウクライナと朝鮮半島の核問題についても意見を交換した。

米国政府側...

中国で米国民がしゅっこくできなｋなってきてるこ

Secretary Blinken’s Meeting with People’s Republic of China Director of the Chinese Communist Party (CCP) Central Foreign Affairs Commission and Foreign Minister Wang Yi	ブリンケン長官と中国共産党中央外交委員会主任・王毅外相との会談
The following is attributable to Spokesperson Matthew Miller:	以下はマシュー・ミラー報道官による：
Secretary of State Antony J. Blinken met with PRC Director of the CCP Central Foreign Affairs Commission and Foreign Minister Wang Yi in Washington October 26-27.	アントニー・J・ブリンケン国務長官は10月26日から27日にかけて、ワシントンで中国共産党中央対外連絡委員会主任および王毅外相と会談した。
The two sides met for more than seven hours over two days and had constructive and in-depth discussions, building on recent high-level meetings between the two countries as part of ongoing efforts to maintain open lines of communication on a full range of issues and responsibly manage the U.S.-China relationship. The Secretary emphasized that the United States will continue to use diplomacy to advance U.S. interests and values. He noted that we both have a responsibility to manage our differences and to work together on issues that matter to our people and the world. The Secretary also reiterated the importance of resuming military-to-military channels to reduce the risk of miscalculation.	両者は2日間にわたり7時間以上会談し、建設的かつ踏み込んだ議論を行った。これは、あらゆる問題について開かれたコミュニケーションラインを維持し、米中関係を責任を持って管理するための継続的な努力の一環として、両国間で最近行われたハイレベル会談を踏まえたものである。長官は、米国は米国の利益と価値観を促進するために外交を継続していくことを強調した。長官は、われわれ両国には、互いの違いを管理し、国民と世界にとって重要な問題で協力する責任があると指摘した。長官はまた、誤算のリスクを減らすため、軍対軍のチャンネルを再開することの重要性を改めて強調した。
Secretary Blinken underscored that it remains a priority for the United States to resolve the cases of American citizens who are wrongfully detained or subject to exit bans in China.	ブリンケン長官は、中国で不当に拘束されたり、出国禁止の対象となっている米国市民のケースを解決することが、米国にとって引き続き優先事項であることを強調した。
The two sides discussed the importance of the United States and China taking concrete steps to disrupt the global flow of synthetic drugs and their precursor chemicals into the United States that fuels the fentanyl crisis. The Secretary noted that the two sides have worked together before to make progress on counternarcotics that has saved American lives and should do so again.	双方は、フェンタニル危機を煽る合成麻薬とその前駆体化学物質の米国への世界的な流入を阻止するため、米国と中国が具体的な措置を講じることの重要性について話し合った。長官は、米中両国は以前にも協力して麻薬対策を進展させ、アメリカ人の命を救ってきたが、今回もそうすべきだと指摘した。
The two sides continued to discuss the development of principles to guide the bilateral relationship as discussed by President Biden and President Xi in Bali last November. Reiterating the importance of ties between the people of the United States and the PRC, both sides welcomed strengthening people-to-people exchanges between students, scholars, and business, including working to increase the number of direct flights between our two countries.	双方は、昨年11月にバリでバイデン大統領と習主席が話し合ったように、二国間関係の指針となる原則の策定について引き続き話し合った。米国と中国の人々の結びつきの重要性を改めて強調し、双方は、両国間の直行便の増便に努めるなど、学生、学者、ビジネス界の人的交流の強化を歓迎した。
The Secretary raised concerns about PRC human rights violations in Xinjiang, Tibet, and Hong Kong, as well as individual cases of concern. On respective economic policies, the Secretary stressed that the United States seeks healthy and robust economic competition with the PRC based on reciprocity and a level playing field for U.S. workers and businesses. He addressed the PRC’s unfair treatment of U.S. companies in China and nonmarket economic practices. The Secretary discussed the U.S. approach to de-risking and diversifying and underscored that our policies are narrowly targeted at technologies that have clear national security or human rights impacts and not about containing China’s economic growth.	長官は、新疆ウイグル自治区、チベット、香港における中国の人権侵害や、懸念される個別の事例について懸念を表明した。それぞれの経済政策について、長官は、米国は互恵主義と米国の労働者と企業にとって公平な競争条件に基づき、中国との健全で強固な経済競争を求めていると強調した。同長官は、中国における米国企業の不当な扱いと非市場経済慣行について言及した。長官は、リスク回避と多角化に対する米国のアプローチについて議論し、わが国の政策は、国家安全保障や人権に明らかに影響を与える技術に的を絞ったものであり、中国の経済成長を封じ込めるためのものではないことを強調した。
The two sides exchanged views on a range of regional and global issues. The Secretary reiterated U.S. support for Israel’s right to defend itself and emphasized the importance of all countries – particularly permanent members of the United Nations Security Council –unequivocally denouncing Hamas’s terrorist attacks and using their influence to prevent escalation and expansion of the conflict. The Secretary detailed U.S. efforts to enable humanitarian assistance and protect civilian lives. The two sides discussed Russia’s war against Ukraine, as well as the DPRK’s missile launches in violation of UN Security Council Resolutions and other provocative actions.	双方は、様々な地域的・世界的問題について意見を交換した。長官は、イスラエルの自衛権に対する米国の支持を改めて表明するとともに、すべての国、特に国連安全保障理事会の常任理事国が、ハマスのテロ攻撃を明確に非難し、紛争の激化と拡大を防ぐために影響力を行使することの重要性を強調した。長官は、人道支援を可能にし、市民の命を守るための米国の取り組みについて詳述した。双方は、ロシアのウクライナに対する戦争や、朝鮮民主主義人民共和国の国連安保理決議に違反するミサイル発射などの挑発行為について話し合った。
The Secretary underscored the United States’ concerns with the PRC’s dangerous and unlawful actions obstructing an October 22 Philippine resupply mission to Second Thomas Shoal in the South China Sea, reaffirmed our commitments to our Philippine allies, and raised broader concerns about PRC actions in the South and East China Seas. The Secretary emphasized the importance of maintaining peace and stability across the Taiwan Strait.	長官は、10月22日にフィリピンが南シナ海の第2トーマス珊瑚礁に行った補給活動を妨害した中国の危険かつ違法な行動に対する米国の懸念を強調し、フィリピンの同盟国に対する米国のコミットメントを再確認するとともに、南シナ海および東シナ海における中国の行動に対するより広範な懸念を提起した。長官は、台湾海峡の平和と安定を維持することの重要性を強調した。
The two sides discussed the importance of working together to address other shared challenges, including climate, noting the importance of an ambitious outcome at the upcoming COP28, as well as global macroeconomic stability, food security, public health, and counternarcotics.	双方は、今後開催されるCOP28での野心的な成果の重要性を指摘するとともに、世界的なマクロ経済の安定、食糧安全保障、公衆衛生、麻薬対策など、気候を含むその他の共通の課題に協力して取り組むことの重要性について話し合った。
Both sides reiterated their commitment to maintaining open lines of communication across the full range of issues, and look forward to additional engagements and consultations, to include arms control, maritime, policy planning, and disability, in the coming weeks.	双方は、あらゆる問題にわたって開かれたコミュニケーションラインを維持することに改めてコミットし、今後数週間のうちに、軍備管理、海洋、政策立案、障害などを含む追加的な関与や協議を行うことを期待した。

・王毅外相ーバイデン大統領

● 中国政府美国总统拜登会见王毅

美国总统拜登会见王毅	バイデン米大統領、王毅氏と会談
当地时间2023年10月27日，美国总统拜登在白宫会见到访的中共中央政治局委员、外交部长王毅。	2023年10月27日、ジョー・バイデン米大統領は、訪問中の王毅外相（中国共産党中央委員会政治局委員）とホワイトハウスで会談した。
王毅首先转达习近平主席对拜登总统的问候，表示此次访问的目的就是同美方沟通，切实落实两国元首重要共识，在重返巴厘岛基础上，面向旧金山，推动中美关系止跌企稳，尽快回到健康稳定发展轨道。	王毅外相はまず、習近平国家主席のあいさつをバイデン大統領に伝え、「今回の訪問の目的は、米側と意思疎通を図り、両首脳の重要なコンセンサスを効果的に履行し、サンフランシスコに面したバリへの回帰を基礎に、中米関係が衰退を止め、安定し、健全で安定した発展の軌道に一日も早く戻るよう推進することだ」と述べた。
王毅表示，一个中国原则和中美三个联合公报是两国关系最重要的政治基础，必须排除干扰，切实维护。中方重视美方希稳定和改善对华关系。我们要本着对世界、对历史、对人民负责任态度，按照习近平主席提出的相互尊重、和平共处、合作共赢三原则，推动中美关系真正稳下来、好起来，这不仅符合两国和两国人民根本利益，也是国际社会的共同期待。	王毅氏は、一帯一路の原則と中米3カ国共同コミュニケは両国関係の最も重要な政治的基礎であり、干渉を排除し、効果的に維持しなければならないと述べた。中国は、米国側が中国との関係を安定させ、改善することを重視している。我々は、世界、歴史、人々に対して責任ある態度をとり、習近平国家主席の相互尊重、平和共存、ウィンウィンの協力という3つの原則に従って中米関係を推進し、中米関係を真に安定させ、改善させるべきである。
拜登向习近平主席致以问候，阐述了重视对华关系的立场，表示美方愿同中方保持沟通，共同应对全球性挑战。	バイデン氏は習近平国家主席に挨拶を送り、中国との関係を重視する立場を詳しく説明し、米国側は中国側との意思疎通を維持し、世界的な課題に共同で取り組んでいきたいと述べた。
访问期间，王毅还同美国国务卿布林肯举行两轮会谈，同美国总统国家安全事务助理沙利文进行了战略沟通。	訪問中、王氏はブリンケン米国務長官と2回会談し、サリバン米大統領補佐官（国家安全保障問題担当）と戦略的な意思疎通を行った。

● U.S. White House Readout of President Joe Biden’s Meeting with People’s Republic of China Director of the Office of the Foreign Affairs Commission and Foreign Minister Wang Yi

Readout of President Joe Biden’s Meeting with People’s Republic of China Director of the Office of the Foreign Affairs Commission and Foreign Minister Wang Yi	ジョー・バイデン大統領と中華人民共和国外交委員会主任・王毅外相との会談抄録
President Joseph R. Biden, Jr. met today with the People’s Republic of China Director of the Office of the Foreign Affairs Commission and Foreign Minister Wang Yi.	ジョセフ・R・バイデン大統領は本日、中華人民共和国外交委員会主任および王毅外相と会談した。
The President emphasized that both the United States and China need to manage competition in the relationship responsibly and maintain open lines of communication. He underscored that the United States and China must work together to address global challenges.	大統領は、米国と中国の両国は、関係における競争を責任を持って管理し、オープンなコミュニケーションラインを維持する必要があると強調した。また、米国と中国が協力して世界的な課題に取り組まなければならないことを強調した。
President Biden expressed his condolences on the passing of former Premier Li Keqiang.	バイデン大統領は、李克強前首相の死去に哀悼の意を表した。

戦略系グループとの会談

・2023.10.29 王毅同美国战略界人士座谈

中米両軍の交流、金融、科学技術、人文交流・協力、中国の投資環境と市場アクセス、中東情勢やウクライナ危機などについて議論しようですね。。。

王毅同美国战略界人士座谈	王毅、米戦略コミュニティと会談
当地时间2023年10月28日，中共中央政治局委员、外交部长王毅在华盛顿同美国战略界人士举行座谈。	現地時間2023年10月28日、王毅中国共産党中央委員会政治局委員兼外相はワシントンで米戦略コミュニティのメンバーと会談を行った。
王毅表示，此次访美期间，中美双方本着平等和相互尊重的态度，就共同关心的诸多问题进行了深入、建设性、实质性战略沟通，共同发出了稳定和改善中美关系的积极信号。尽管中美之间还存在各种分歧矛盾，仍有许多问题需要解决，但双方都认为，中美两个大国保持对话是有益而且必要的。双方都希望中美关系尽快稳下来，争取好起来。双方都同意朝着实现旧金山元首会晤共同努力。同时，“通往旧金山”不会是一马平川，不能靠“自动驾驶”。为此，双方要切实“重回巴厘岛”，把两国元首的共识真正落到实处，排除干扰，克服障碍，增进共识，积累成果。	王毅外相は、今回の訪米で、中米両国は平等と相互尊重の態度で、共通の関心事である多くの問題について、綿密で建設的、実質的な戦略的意思疎通を行い、中米関係の安定と改善に向けた積極的なシグナルを共同で発信したと述べた。中米間には依然として様々な相違や矛盾があり、解決すべき問題も多いが、双方は、両国が対話を維持することは有益であり、必要であると考えている。双方は、中米関係が一日も早く安定し、より良くなるよう努力することを望んでいる。双方はサンフランシスコ・サミットに向けて協力することで合意した。同時に、「サンフランシスコへの道」は平坦なものではなく、「自動操縦」でもないだろう。このため、双方は効果的に「バリに戻り」、両首脳のコンセンサスを実践し、干渉を排除し、障害を克服し、コンセンサスを高め、成果を積み重ねるべきである。
王毅赞赏与会人员深度参与并致力于中美关系发展，欢迎大家多去中国走走看看，鼓励大家继续发出理性声音，为增进美国各界对华客观认知，正确看待处理双方差异分歧发挥建设性作用，为中美关系健康稳定可持续发展贡献更多智慧。	王毅氏は、参加者の中米関係発展への深い参加とコミットメントを高く評価し、より頻繁に中国を訪問することを歓迎し、理性的な発言を続け、米国各界の中国に関する客観的な知識を高めるために建設的な役割を果たし、双方の相違や意見の相違を正しく見て対処し、中米関係の健全で安定した持続可能な発展にさらに知恵を提供するよう奨励した。
与会人员表示，稳定的美中关系符合双方利益。美中合作在解决国际和地区热点问题中曾经并将继续发挥关键作用。美国战略界不赞同“美中接触失败论”，支持双方重启各领域对话，推进经贸科技合作，便利人员往来，通过深入沟通增进了解，防止误解误判。面对地缘冲突和世界失序，美中有必要加强沟通，共同应对全球性挑战。	参加者は、安定した米中関係は双方の利益になると述べた。米中協力は、国際的・地域的なホットスポット問題の解決において重要な役割を果たしてきたし、今後も果たしていくだろう。米国の戦略コミュニティは「米中関与失敗論」に同意しておらず、双方の各分野における対話の再開、経済・貿易・技術協力の促進、人的交流の促進、綿密なコミュニケーションによる理解の増進、誤解や誤算の防止を支持している。地政学的な対立や世界の混乱に直面する中、米中両国が意思疎通を強化し、グローバルな課題に共同で取り組むことが必要である。
王毅还就中美两军交往，金融、科技、人文交流合作，中国投资环境、市场准入以及中东局势、乌克兰危机等与会人员关心的问题同大家深入交流。	王毅はまた、両軍の交流、金融、科学技術、人文科学の交流と協力、中国の投資環境と市場アクセス、中東情勢やウクライナ危機など、参加者の関心事について突っ込んだ意見交換を行った。
座谈会由美国阿斯彭战略小组主办。	シンポジウムはアスペン・ストラテジー・グループが主催した。

米国財界との会談

・2023.10.29 王毅同美国工商界等代表座谈

中国の経済見通し、市場のアクセス、知財保護の取り組み等を説明したようですね。。。

王毅同美国工商界等代表座谈	王毅、米経済界代表らと会談
当地时间2023年10月28日，中共中央政治局委员、外交部长王毅在华盛顿同美国工商业等各界代表座谈。	現地時間2023年10月28日、王毅中国共産党中央委員会政治局委員兼外相はワシントンで米経済界などの代表と懇談した。
王毅介绍了此次访美的背景和中美沟通情况，表示这次访问的主线就是“重返巴厘岛”，“通往旧金山”。中方愿同美方一道，将两国元首重要共识真正落到实处，体现在具体行动中，扩大双边关系积极议程，减少消极议程，在此基础上排除干扰，克服障碍，为实现两国元首旧金山会晤而共同努力。	王毅外相は、今回の訪米の背景と中米間の意思疎通について紹介し、今回の訪米の主な路線は「バリへの回帰」と「サンフランシスコへの先導」であると述べた。中国は米国と協力し、両首脳の重要なコンセンサスを具体的な行動に具体化し、二国間関係の積極的議題を拡大し、消極的議題を削減し、これを基礎に干渉を排除し、障害を克服し、両首脳のサンフランシスコ会談の実現に向けて共同で努力することを望んでいる。
王毅表示，中国对外开放的大门越开越大，营商环境持续改善，创新水平日益提升。习近平主席在第三届“一带一路”国际合作高峰论坛上宣布一系列重大举措，为推进国际合作，加强中美经贸往来带来重要利好。中方赞赏美国工商界克服中美关系跌宕起伏困难，坚持致力于促进中美友好。中美互利合作的动力依然强劲，基础依然深厚，空间依然广阔，希望大家抓住中国高质量发展和高水平开放新机遇，发挥经贸合作压舱石作用，培育两国友好的民意和社会基础，为中美关系改善发展作出新的贡献。	王毅国家主席は、中国の対外扉はますます広く開かれ、ビジネス環境は改善され続け、イノベーションのレベルも高まっていると述べた。習近平国家主席は第3回「一帯一路」国際協力サミット・フォーラムで一連の重大なイニシアティブを発表し、国際協力の推進と中米間の経済・貿易交流の強化に重要な利益をもたらした。中国は、中米関係の浮き沈みにもかかわらず、米国の経済界が中米友好の促進に尽力していることを高く評価している。中米両国が中国の高品質な発展とハイレベルな開放という新たなチャンスを捉え、経済貿易協力のバラストの役割を果たし、両国友好の世論と社会的基盤を培い、中米関係の改善と発展に新たな貢献をすることが期待される。
与会代表表示，美中逐步恢复各层级对话交往令人深受鼓舞。双方利益紧密融合，强劲的美中关系对两国各自成功至关重要。美国工商界重视中国向高质量发展转型，对中国市场充满信心，支持两国政府采取有效措施，便利人员往来。期待拓展双方经贸、科技、创新、应对气变合作，给两国人民带来更多福祉。	参加者は、米中両国があらゆるレベルで対話と意思疎通を徐々に再開していることは非常に心強いことだと述べた。双方の利益は密接に絡み合っており、強固な米中関係は各国の成功に不可欠である。米国のビジネス界は、中国の質の高い発展への移行を非常に重視し、中国市場に全幅の信頼を寄せており、両政府が人的交流を促進するための効果的な措置をとることを支持している。我々は、経済・貿易、科学技術、イノベーション、気候変動への対応などにおける双方の協力を拡大し、両国の国民により多くの利益をもたらすことを期待している」と述べた。
王毅还介绍了中国经济发展前景以及在市场准入、知识产权保护等领域采取的积极举措。	王副会長はまた、中国の経済発展の見通しや、市場アクセスや知的財産権保護の分野での積極的な取り組みについても紹介した。
座谈会由美中贸委会、美中关系全国委员会和美国商会共同举办。	このシンポジウムは米中ビジネス協議会、米中関係全国委員会、米国商工会議所の共催である。

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.09.29 米国中国経済・金融作業部会の設置 (2023.09.22)

2023.11.04 00:14 in 安全保障 | Permalink | Comments (0)
Tweet

ドイツ連邦情報セキュリティ局 (BSI) ドイツにおける ITセキュリティの現状 2023年 (2023.11.02)

こんにちは、丸山満彦です。

ドイツ連邦情報セキュリティ局 (BSI) が2023年版「ドイツにおける ITセキュリティの現状」を公表していますね。。。

・2023.11.02 Die Lage der IT-S icherhe it in Deutschland 2023

Die Lage der IT-Sicherheit in Deutschland 2023	2023年のドイツのITセキュリティ状況
Mit seinem Bericht zur Lage der IT-Sicherheit in Deutschland gibt das Bundesamt für Sicherheit in der Informationstechnik (BSI) jährlich einen umfassenden Überblick über die Bedrohungen im Cyberraum. Im Bericht für das Jahr 2023 kommt die Cybersicherheitsbehörde des Bundes zum Fazit: Die Bedrohung im Cyberraum ist so hoch wie nie zuvor.	連邦情報セキュリティー局（BSI）は、ドイツのITセキュリティー状況に関する年次報告書で、サイバースペースの脅威を包括的に概観している。2023年の報告書において、連邦サイバーセキュリティ当局は、サイバー空間における脅威はかつてないほど高まっていると結論付けている。

・[PDF]

● まるちゃんの情報セキュリティ気まぐれ日記

過去分...

・2022.10.31 ドイツ連邦情報セキュリティ局 (BSI) ドイツにおける ITセキュリティの現状 2022年 (2022.10.25)

・2021.10.25 独国 BSIがITセキュリティの状況（2021年）に関するレポートを公開

2023.11.04 00:00 | Permalink | Comments (0)
Tweet

2023.11.03

中国新時代における中国の近隣外交政策展望 (2023.10.24)

こんにちは、丸山満彦です。

中国が2023.10.24に北京で「親誠・親寛容・周辺外交」構想10周年記念国際シンポジウムを開催し、「新時代における中国の近隣外交政策展望」を公表していますね。。。

過去からいろいろとある陸続きの国同士ですから、いろいろと気にすべきことは多いのかもしれませんね。周りをきちんと固めておくことは重要なのでしょうね。。。

中国は周辺外交政策の継続性と安定性を維持し、隣国によくし、隣国を仲間とする政策を引き続き追求し、親慈悲、誠意、恩恵、寛容の理念を実践する。隣国に対して親切で善良であり、信義を説き、和を培い、誠意をもって接し、相互扶助し、互恵・ウィンウィンの協力を行い、寛容・相互理解の原則を堅持し、相違点を留保しつつ共通点を模索する。われわれは、中国と隣国との政治的関係をより友好的なものにし、経済的関係をより強固なものにし、安全保障協力をより深いものにし、人文的関係をより緊密なものとする

新時代における中国の近隣外交政策展望

● 中国政府

・2023.10.24 新时代中国的周边外交政策展望（全文）

新时代中国的周边外交政策展望	新時代における中国の周辺外交政策展望
前言	まえがき
中国与周边国家山水相连，人文相通，利益相融，命运与共。双方逾千年的友好交往历史就是一部生动的文明交流互鉴史，充分展示了“贯四时而不衰，历夷险而益固”的友好情谊。	中国と近隣諸国は山河で結ばれ、同じ人文を共有し、共通の利益を持ち、同じ運命を共有している。過去1,000年にわたる両国の友好交流の歴史は、文明交流と相互理解の鮮烈な歴史であり、「四季を通じて続き、障壁と危険を乗り越えて固まった」友好と友情を十分に示してきた。
周边是中国安身立命之所，发展繁荣之基。作为亚洲大家庭一员和负责任大国，中国高度重视周边外交，始终将周边置于外交全局首要位置，始终致力于促进地区和平稳定与发展繁荣。	中国の隣国は、中国の発展と繁栄の基盤である。アジア・ファミリーの一員として、また責任ある大国として、中国は近隣外交を非常に重視し、常に近隣を外交課題の最前線に置き、地域の平和、安定、発展、繁栄の促進に尽力している。
《新时代中国的周边外交政策展望》基于对亚洲当前形势和未来趋势的评估及看法，全面阐述中国周边外交的实践成果、政策理念和目标，宣示中国将坚持走和平发展道路，以自身发展促进周边发展，同地区国家共同推进现代化进程，共同构建周边命运共同体，携手绘就和平安宁、繁荣美丽、友好共生的新时代亚洲愿景。	新時代における中国の近隣外交政策の展望』は、アジアの現状と将来の動向のアセスメントに基づき、中国の近隣外交の実践的成果、政策理念、目標を包括的に詳しく説明し、中国が平和的発展の道を歩むことを主張し、自らの発展とともに近隣の発展を促進し、地域諸国とともに現代化のプロセスを推進し、近隣運命共同体を構築し、手を携えて平和で穏やかな、繁栄した美しいアジアを描くことを宣言する、そして、近隣に運命共同体を構築し、平和と安寧、繁栄と美、そして友好共存の新時代のアジア像を共同で描くために、共に努力する。
一	I
亚洲面临新的机遇和挑战	アジアは新たなチャンスと課題に直面している
中共中央总书记、国家主席习近平在中国共产党二十大报告中指出，世界之变、时代之变、历史之变正以前所未有的方式展开，世界又一次站在历史的十字路口。亚洲置身世界百年未有之大变局，站在迈向发展振兴的新起点，面临前所未有的机遇和挑战。	中国共産党中央委員会総書記で中華人民共和国国家主席の習近平氏は、中国共産党第20回全国代表大会の報告の中で、世界、時代、歴史の変化がかつてない形で展開されており、世界は再び歴史の岐路に立っていると指摘した。アジアは再び歴史の岐路に立たされている。アジアは世界がこの100年間で経験したことのない大変化の真っただ中にあり、未曾有のチャンスと挑戦に直面し、発展と再生の新たな出発点に立っている。
亚洲地广物丰，人口众多，文化多元，发展多样，过去几十年总体保持稳定，地区国家之间政治互信不断增强，合作交流日益深化。正是得益于此，亚洲仅用40年左右的时间实现了经济总量占世界比重的翻倍，实现了从低收入到中等收入的飞跃，形成合作发展和快速崛起势头。近年来，亚洲作为拉动世界经济复苏和增长的重要引擎，对世界经济增长贡献率超过50%。亚洲是全球最富活力和潜力的地区，将持续成为全球发展繁荣的热土。	広大な国土、豊富な資源、多くの人口、多様な文化、多様な発展を有するアジアは、過去数十年にわたって全体的な安定を維持し、域内諸国間の政治的相互信頼は高まり続け、協力と交流は深まってきた。アジアがわずか40年で世界経済に占める割合を倍増させ、低所得国から中所得国へと飛躍し、協力的な発展と急速な上昇の勢いを形成したのは、このおかげである。近年、アジアは世界経済の回復と成長の重要なエンジンとして、世界の経済成長に50％以上貢献している。アジアは世界で最もダイナミックで有望な地域であり、今後も世界の発展と繁栄の温床であり続けるだろう。
同时，全球治理失序，冷战思维回潮，单边主义、保护主义、霸权主义横行，能源、粮食、金融、产供链、气候变化等多重风险对亚洲影响日益突出。亚洲也面临经济发展不平衡、安全和治理问题突出等挑战。一些国家加紧构建地区军事同盟，朝鲜半岛问题复杂难解，阿富汗重建挑战重重，恐怖主义、自然灾害等非传统安全威胁犹存。	その一方で、グローバル・ガバナンスは秩序を失い、冷戦構造が復活し、一国主義、保護主義、覇権主義が横行し、エネルギー、食糧、金融、生産・サプライチェーン、気候変動など、複数のリスクがアジアに与える影響はますます顕著になっている。アジアはまた、不均衡な経済発展や顕著な安全保障とガバナンスの問題といった課題にも直面している。朝鮮半島問題は複雑で解決が難しく、アフガニスタンの復興には多くの課題があり、テロや自然災害といった非伝統的な安全保障上の脅威も依然として存在している。
围绕亚洲的前途，出现了两种截然不同的主张和走向。一种是坚持开放的区域主义，维护真正的多边主义。坚持发展优先，致力互利合作，坚持开放包容，推进融合发展，实现和合共生。另一种是重拾冷战思维，再搞封闭式集团，推行价值观划线，将经济问题政治化，将地区安全阵营化，鼓动分裂、制造对抗。	アジアの将来をめぐっては、2つの異なる考え方や方向性が浮上している。ひとつは、開かれた地域主義を堅持し、真の多国間主義を堅持することである。開発を優先し、互恵的な協力にコミットし、開放性と包摂性を堅持し、統合的な発展を促進し、調和と共存を実現する。もうひとつは、冷戦思考に逆戻りし、閉鎖的なブロックに関与し、価値観に基づく線引きを推し進め、経済問題や地域の安全保障陣営を政治化し、分裂と対立を扇動することである。
凡益之道，与时偕行。亚洲的正确抉择应该是开放而不是封闭，是团结而不是分裂，是合作而不是对抗，是公道而不是霸道，是共生而不是零和，这不仅关乎地区各国的未来前景，也将从根本上长远影响亚洲乃至世界的前途命运。构建人类命运共同体是共创繁荣美好的亚洲和世界的必由之路。	良いことはすべて時代とともにやってくる。アジアにとって正しい選択とは、閉鎖よりも開放、分裂よりも団結、対立よりも協力、覇権主義よりも公正、ゼロサムよりも共生であるべきだ。人類運命共同体の構築は、豊かで美しいアジアと世界を創造する唯一の方法である。
二	II
中国同周边国家关系发展不断取得重大成果	中国と近隣諸国との関係は重要な成果を上げ続けている
过去半个多世纪，亚洲走出积贫积弱、动荡战乱，成功走向和平稳定、发展繁荣，这主要得益于地区国家坚持独立自主、联合自强，坚持相互尊重、包容互鉴，坚持互惠互利、合作共赢。在此过程中，中国同亚洲国家共同倡导和平共处五项原则，弘扬团结、友谊、合作的万隆精神，不断推动睦邻友好和互利合作向前发展。2012年中国共产党第十八次全国代表大会召开以来，中国同周边国家关系加快提质升级，取得丰硕成果。	過去半世紀余り、アジアは貧困と弱体、混乱と戦争から平和、安定、発展、繁栄へと脱皮したが、これは主にアジア諸国が独立、団結、自己改善、相互尊重、寛容、相互理解、互恵・ウィンウィンの協力を主張してきたおかげである。この過程において、中国とアジア諸国は共同で「平和共存五原則」を提唱し、「バンドン精神」の団結、友好、協力を推進し、善隣友好と互恵協力を絶えず推進してきた。2012年の中国共産党第18回全国代表大会の開催以来、中国は近隣諸国との関係のアップグレードと高度化を加速させ、実り多い成果を挙げてきた。
政治互信不断增强。截至本文件发布之日，中国已同周边28国^①和东盟建立形式多样、内涵丰富的伙伴关系、合作关系或战略互惠关系。中国同巴基斯坦、老挝、柬埔寨、缅甸、印度尼西亚、哈萨克斯坦、塔吉克斯坦、乌兹别克斯坦、泰国、蒙古国、土库曼斯坦、马来西亚、吉尔吉斯斯坦等国达成构建命运共同体共识，同湄公河五国^②确定共建澜湄国家命运共同体，同中亚五国^③宣布打造中国－中亚命运共同体。中国与12个陆地邻国^④通过谈判解决了历史遗留的边界问题，同周边9个国家^⑤签署了睦邻友好合作条约。中国签署并批准《中亚无核武器区条约》议定书，尊重蒙古国的无核武器地位，率先加入《东南亚友好合作条约》，对随时签署《东南亚无核武器区条约》议定书作好了充分准备。	政治的な相互信頼も高まり続けている。本書の日付現在、中国は28の近隣諸国1およびASEANと、さまざまな形態と豊かな内容で、パートナーシップ、協力関係、戦略的互恵関係を築いている。中国は、パキスタン、ラオス、カンボジア、ミャンマー、インドネシア、カザフスタン、タジキスタン、ウズベキスタン、タイ、モンゴル、トルクメニスタン、マレーシア、キルギスと運命共同体を構築することで合意に達し、メコン5カ国とは運命共同体を構築し、中央アジア5カ国とは中国・中央アジア運命共同体を宣言した。中国は中央アジア5カ国と中国・中央アジア運命共同体の樹立を宣言した。中国は12の陸上隣接国4との交渉を通じて歴史的国境問題を解決し、9つの隣接国5と善隣協力条約を締結した。中国は、中央アジア非核兵器地帯条約の議定書に署名・批准し、モンゴルの非核兵器地帯の地位を尊重し、東南アジア友好協力条約に率先して加盟し、東南アジア非核兵器地帯条約の議定書にいつでも署名できるよう万全の準備を整えている。
互利共赢合作深化。中国是周边18国^⑥的最大贸易伙伴，2022年中国与周边国家进出口商品总额突破2.17万亿美元，较2012年增长78%。中国同东盟双向投资额累计超过3800亿美元。中国率先批准《区域全面经济伙伴关系协定》并推动协定生效实施，为促进区域经济一体化赋能增效。	互恵・ウィンウィンの協力関係が深まった。中国は近隣18カ国の最大の貿易相手国であり6 、中国と近隣諸国との間の輸出入商品の総額は、2022年には2兆1700億米ドルを超え、2012年から78％増加する。中国とASEAN間の双方向投資は、総額3,800億ドルを超えている。中国は地域包括的経済連携協定（RCEPA）の批准を主導し、その発効と実施を促進した。
“一带一路”惠利周边。中国秉持共商共建共享原则，坚持开放、绿色、廉洁理念，努力实现高标准、可持续、惠民生目标，同周边24国^⑦签署共建“一带一路”合作文件，同东盟、欧亚经济联盟等合作规划对接。倡导建立亚洲基础设施投资银行，设立丝路基金，为基础设施项目建设提供资金支持。在各方共同努力下，“六廊六路多国多港”的互联互通架构基本形成，“一带一路”合作硕果累累，有力促进当地经济发展、民生改善，为地区经济复苏注入强劲动力。	「一帯一路構想は近隣諸国に恩恵をもたらした。中国は、"共通の大義と共通の分かち合い "の原則と、開放性、グリーン性、誠実性の概念を堅持し、高水準、持続可能性、人々の生活という目標の達成に努め、近隣24カ国と "一帯一路 "建設に関する協力文書に調印し、ASEANやユーラシア経済連合との協力計画にも同調した。また、アジアインフラ投資銀行とシルクロード基金の設立を提唱し、インフラプロジェクトに資金援助を提供している。各方面の共同の努力により、「6つの回廊、6つの道路、複数の国、複数の港湾」という連結性の枠組みは基本的に具体化し、「一帯一路」協力は実り豊かなものとなり、地域経済の発展と人々の生活向上を力強く推進し、地域経済の回復に強い原動力を注入している。
区域合作走深走实。中国与周边国家共同创立的上海合作组织已发展成为世界上幅员最广、人口最多的综合性区域合作组织。中国与中亚五国建立中国－中亚机制，成为推进六国深度合作的重要平台。澜湄合作是次区域互利合作的成功实践，澜湄流域经济发展带正在形成。中国坚持开放包容的精神，积极参与以东盟为中心的东亚合作机制、中日韩合作、亚太经合组织等多边合作，促进了地区融合发展和人民福祉。	地域協力はより深化し、より実践的になっている。中国が近隣諸国と共同で設立した上海協力機構（SCO）は、世界最大かつ最も人口の多い包括的地域協力組織に発展した。中国と中央アジア5カ国は中国・中央アジア・メカニズムを設立し、6カ国間の綿密な協力を推進する重要なプラットフォームとなっている。瀾滄江協力はサブリージョンにおける互恵協力の成功例であり、瀾滄江流域経済開発ベルトは具体化しつつある。中国は開放と包摂の精神を堅持し、ASEANを中心とする東アジア協力メカニズム、中日韓協力、APEC、その他の多国間協力に積極的に参加し、地域の統合と発展、人々の幸福を促進している。
有效管控热点问题。中国为推动政治解决地区热点问题积极贡献中国智慧，提出并践行中国特色热点问题解决之道。在朝鲜半岛问题上，着眼维护半岛和平稳定并实现长治久安，创造性提出“双暂停”倡议和“双轨并进”思路，坚持政治解决方向，积极劝和促谈。在阿富汗问题上，搭建阿富汗邻国协调合作机制，重启中阿巴三方外长对话，提出帮助阿富汗重建发展的《屯溪倡议》，汇聚各方合力。在缅甸问题上，促推各方弥合分歧，恢复国家社会稳定，尽快启动政治对话。	ホットスポット問題を効果的にコントロールする。中国は地域のホットスポット問題の政治的解決に中国の知恵を積極的に提供し、中国の特色あるホットスポット問題の解決策を打ち出し、実践してきた。朝鮮半島問題では、中国は半島の平和と安定を維持し、長期的な平和と安定を実現することを重視し、「ダブルサスペンション」イニシアティブと「デュアルトラック方式」を創造的に打ち出し、政治的解決の方向を堅持し、平和と会談を積極的に推進してきた。アフガニスタン問題では、我々はアフガニスタンの近隣諸国との協調・協力メカニズムを構築し、中国、アフガニスタン、パキスタンの3カ国外相対話を再開し、アフガニスタンの復興と発展を支援する「屯渓イニシアティブ」を打ち出し、各方面の一致団結した努力を結集した。ミャンマーについては、我々は各方面に対し、意見の相違を埋め、同国の社会的安定を回復し、一刻も早く政治対話を開始するよう促した。
有力应对风险挑战。中国与周边国家同舟共济，携手应对恐怖主义、分裂主义、地区金融危机等挑战。新冠疫情发生以来，中国与周边国家同心抗疫，共克时艰，生动诠释了命运共同体精神，为全球团结抗疫发挥引领作用。	リスクと課題に強力に対応する。中国は近隣諸国と同じ船に乗り、テロ、分離主義、地域金融危機などの課題に協力して取り組んできた。新疆ウイグル自治区の疫病発生以来、中国と近隣諸国は協力して疫病と闘い、困難を克服し、運命共同体の精神を鮮明に示し、疫病に対する世界的連帯の主導的役割を果たしてきた。
亚洲取得今天的进步和成就是中国和周边国家共同努力的结果，值得倍加珍惜。中国的发展离不开和平稳定的周边环境，中国同周边的发展相互促进、相得益彰。中国的发展将给亚洲各国带来重大机遇和长期利好，将为亚洲的和平与发展作出更大贡献。	アジアの今日の進歩と成果は、中国と近隣諸国の共同の努力の結果であり、大切にされるべきである。中国の発展は、平和で安定した近隣の環境と切り離すことはできず、中国と近隣諸国の発展は相互に強化し補完し合うものである。中国の発展は、アジア諸国に大きなチャンスと長期的な利益をもたらし、アジアの平和と発展により大きく貢献するだろう。
三	III
新时代的中国周边外交理念主张	新時代における中国の近隣外交の理念と提案
习近平总书记在中国共产党二十大报告中强调，“中国始终坚持维护世界和平、促进共同发展的外交政策宗旨，致力于推动构建人类命运共同体”。中国将在习近平外交思想指引下，保持周边外交政策延续性和稳定性，继续奉行与邻为善、以邻为伴方针，践行亲诚惠容理念。坚持亲仁善邻、讲信修睦；坚持以诚相待、守望相助；坚持互惠互利、合作共赢；坚持包容互鉴、求同存异。努力使中国同周边政治关系更加友好、经济纽带更加牢固、安全合作更加深化、人文联系更加紧密，深入推进周边命运共同体建设。	習近平総書記は第20回中国共産党全国代表大会の報告で、「中国は常に世界平和を守り、共同発展を促進するという外交政策の理念を堅持し、人類運命共同体の構築を促進することに尽力している」と強調した。習近平の外交イデオロギーに導かれ、中国は周辺外交政策の継続性と安定性を維持し、隣国によくし、隣国を仲間とする政策を引き続き追求し、親慈悲、誠意、恩恵、寛容の理念を実践する。隣国に対して親切で善良であり、信義を説き、和を培い、誠意をもって接し、相互扶助し、互恵・ウィンウィンの協力を行い、寛容・相互理解の原則を堅持し、相違点を留保しつつ共通点を模索する。われわれは、中国と隣国との政治的関係をより友好的なものにし、経済的関係をより強固なものにし、安全保障協力をより深いものにし、人文的関係をより緊密なものにするよう努力し、隣国における運命共同体の構築をさらに促進する。
中国将推动构建新型国际关系，同地区国家共同深化平等、开放、合作的伙伴关系。中国坚定维护自身主权、安全和发展利益，尊重各国主权和领土完整，尊重各国人民自主选择的发展道路和社会制度，不干涉他国内政。坚持大小国家一律平等，促进“全球南方”团结与合作，维护发展中国家共同利益，增强新兴市场国家和发展中国家在全球事务中的代表性和发言权。促进大国协调和良性互动，推动构建和平共处、总体稳定、均衡发展的大国关系格局。中美应在相互尊重、和平共处、合作共赢基础上，在亚太实现良性互动，为地区稳定发展提供正能量。	中国は、新しいタイプの国際関係の構築を推進し、地域諸国と協力し、平等、開放、協力のパートナーシップを深めていく。中国は、自国の主権、安全保障、発展の利益を断固として守り、すべての国の主権と領土保全を尊重し、すべての国の人民が自主的に選択した発展の道と社会体制を尊重し、他国の内政に干渉しない。大小を問わずすべての国の平等を主張し、「南半球」における連帯と協力を推進し、発展途上国の共通の利益を守り、世界情勢における新興市場国や発展途上国の代表権と発言力を強化する。我々は、大国間の協調と積極的な相互作用を促進し、平和的共存、全体的安定、均衡ある発展に基づく大国関係のパターンの確立を推し進めるべきである。中国と米国は、相互尊重、平和共存、ウィンウィンの協力に基づき、アジア太平洋における良性交流を実現し、同地域の安定的発展に前向きなエネルギーを提供すべきである。
中国将坚持平等互利、合作共赢原则，同地区国家共同推进现代化进程。中国式现代化为广大发展中国家探索现代化道路提供了全新选择。中国将在坚定维护地区和平与发展中谋求自身发展，不断以中国新发展为周边提供新机遇，同周边国家共走开放发展、合作发展、共赢发展之路。	中国は平等、互恵、ウィンウィンの原則を堅持し、地域諸国と協力して近代化プロセスを推進する。中国式の現代化は、膨大な数の発展途上国が現代化の道を模索するための真新しい選択肢を提供する。中国は、地域の平和と発展をしっかりと守りつつ、自国の発展を追求し、中国の新たな発展とともに隣国に新たなチャンスを絶えず提供し、隣国とともに開かれた発展、協力、ウィンウィンの発展の道を歩む。
中国将坚持共同、综合、合作、可持续的安全观，同地区国家共同维护地区和平稳定。摒弃冷战思维，反对单边主义，不搞集团政治和阵营对抗。坚持重视各国合理安全关切，秉持安全不可分割原则，构建均衡、有效、可持续的安全架构，同地区国家走出一条对话而不对抗、结伴而不结盟、共赢而非零和的新型安全之路。	中国は、共通、包括的、協力的かつ持続可能な安全保障の概念を堅持し、地域諸国と協力して地域の平和と安定を維持する。冷戦の考え方を捨て、一国主義に反対し、ブロック政治や陣営対立を控える。すべての国の合理的な安全保障上の懸念を重視し、安全保障の不可分性の原則を堅持し、バランスの取れた、効果的で持続可能な安全保障体制を構築し、地域諸国と協力して、対立ではなく対話、同盟ではなくパートナーシップ、ゼロサムではなくウィン・ウィンに基づく新しいタイプの安全保障の道を発展させる。
中国将坚定维护以联合国为核心的国际体系、以国际法为基础的国际秩序、以联合国宪章宗旨和原则为基础的国际关系基本准则。坚持开放的区域主义，践行真正的多边主义，同周边国家共同构建以和平、合作、包容、融合为核心的亚洲价值观，促进亚洲团结和发展振兴。倡导不同文明包容共存、交流互鉴，和而不同、多元共生，倡导相互尊重、协商一致的亚洲方式，践行和衷共济、守望相助的亚洲传统。坚定支持东盟在区域架构中的中心地位，不断增进同包括东盟在内的周边国家利益交融和民心相通。	中国は、国連を中核とする国際システム、国際法に基づく国際秩序、国連憲章の目的と原則に基づく国際関係の基本規範を堅持する。開かれた地域主義を堅持し、真の多国間主義を実践し、近隣諸国と協力して平和、協力、包摂、統合を中心とするアジアの価値を構築し、アジアの連帯、発展、活性化を促進する。我々は、異なる文明の包摂的共存、交流、相互理解、調和と差異、多元的共存を提唱し、相互尊重とコンセンサスのアジア流を提唱し、調和と相互扶助のアジアの伝統を実践する。中国は、地域構造におけるASEANの中心的地位を断固として支持し、ASEANを含む近隣諸国との利益の収斂と人と人との結びつきを引き続き強化する。
中国将坚定不移推进祖国统一大业，坚决反对任何形式的“台独”分裂活动，坚决维护国家主权和领土完整。我们赞赏亚洲各国坚持和恪守一个中国原则。维护一个中国原则的态度越鲜明，遏制分裂势力的措施越有力，台海和平稳定就越有可能，地区和平繁荣就越有保障。	中国は祖国統一の大義を揺るぎなく推し進め、いかなる形の「台湾独立」分離独立活動にも断固として反対し、国家主権と領土保全を断固として守る。我々は、アジア諸国が一帯一路の原則を堅持していることを高く評価する。一帯一路の原則を堅持する態度がより明確で、分離主義勢力を抑制する措置がより強力であればあるほど、台湾海峡の平和と安定がより実現しやすくなり、地域の平和と繁栄がより保証されることになる。
讲信修睦、亲仁善邻是中华文明一贯的处世之道。中国过去是、现在是、将来也永远是地区国家的好邻居、好朋友、好伙伴，将始终做维护和平稳定、促进发展繁荣的中流砥柱。	中華文明の一貫した世界との付き合い方は、信頼と調和について語り、隣人に親切にすることである。中国はこれまでも、そしてこれからも、この地域の国々にとって良き隣人であり、友人であり、パートナーであり、平和と安定を維持し、発展と繁栄を促進する主役であり続けるだろう。
四	IV
新时代“亚洲世纪”新愿景	新時代における「アジアの世紀」の新たなビジョン
今天的亚洲，和平稳定是大势所趋，发展繁荣是民心所向。中国同地区国家身处同一个大陆、同一片海洋，我们生于斯、长于斯，同地区国家一荣俱荣，一损俱损，谁也离不开谁。我们愿同地区各国齐心协力，携手同进，共建和平安宁、繁荣美丽、友好共生的亚洲大家园。	今日のアジアでは、平和と安定が一般的な趨勢であり、発展と繁栄が民意である。中国とアジア地域諸国は同じ大陸、同じ海にあり、われわれはアジア地域で生まれ育ち、アジア地域諸国は繁栄と喪失を共有しており、どちらか一方を切り離すことはできない。我々は、この地域の国々と力を合わせ、平和で穏やかな、豊かで美しい、友好的で共存するアジアの祖国を築くために、手を携えて努力していく所存である。
共建和平安宁家园。和平、和睦、和谐是亚洲国家为人类社会贡献的重大文明成果。我们主张坚持和平共处理念，守住和平稳定底线，重视各国合理安全关切，携手应对破坏和平的威胁。中国愿同周边邻国长期友好，求同存异，聚同化异，坚持以和平方式解决国家间的分歧和争端，共同维护地区持久和平。无论发展到什么程度，中国永远不称霸，永远不搞扩张。中国将继续同东盟国家全面有效落实《南海各方行为宣言》，积极推进并完成“南海行为准则”磋商，同南海当事国通过对话协商妥处海上矛盾分歧，加强海上合作，深化互信安全，推动共同开发，致力于将南海建设成为和平之海、友谊之海、合作之海。	平和と安寧の祖国を築く。平和、調和、和合は、アジア諸国が人類社会に貢献してきた主要な文明的成果である。我々は、平和共存の理念を堅持し、平和と安定の底辺を守り、すべての国の正当な安全保障上の懸念を重視し、平和を損なう脅威に手を携えて対処することを提唱する。中国は、近隣諸国と長期的な友好関係を維持し、相違点を留保しながら共通点を模索し、相違点を収集し、変容させ、平和的手段によって国家間の相違や紛争を解決することを主張し、地域の恒久的な平和を共同で維持することを望んでいる。発展の程度にかかわらず、中国は決して覇権を主張したり、膨張に関与したりはしない。中国は引き続きASEAN諸国と協力し、南シナ海における締約国の行動に関する宣言を完全かつ効果的に実施し、南シナ海における行動規範に関する協議を積極的に推し進め、完了させ、南シナ海の関係諸国と協力し、対話と協議を通じて同海域における紛争と相違を解決し、海洋協力を強化し、相互信頼と安全を深め、共同発展を促進し、南シナ海を平和、友好、協力の海に築くことを約束する。中国は、南シナ海を平和、友好、協力の海にすることを約束する。
中国愿同地区国家一道，统筹治理地区安全事务。加强经济金融安全合作，深化宏观经济政策协调，增强区域金融稳定。推进反恐、去极端化、打击跨国犯罪等领域合作，加强核设施、网络、外空、极地等领域安全合作。提升区域公共卫生安全治理能力，增强生物安全、危险传染病防治、医疗物资、疫苗药物技术等领域合作。加强粮食能源安全合作，确保产供链安全稳定。	中国は、地域の安全保障問題を統合的に管理するために、地域諸国と協力することを望んでいる。経済・金融安全保障協力を強化し、マクロ経済政策協調を深め、地域金融の安定を強化する。我々は、テロ対策、非過激化、国際犯罪対策の分野における協力を推進し、核施設、ネットワーク、宇宙、極地における安全保障協力を強化する。我々は、地域の公衆衛生安全保障のガバナンス能力を向上させ、バイオセキュリティ、危険な感染症の予防と治療、医薬品、ワクチン、医薬品技術の分野における協力を強化する。我々は、食料・エネルギー安全保障協力を強化し、生産・供給チェーンの安全と安定を確保する。
共建繁荣美丽家园。中国将继续坚定奉行开放发展、互利共赢战略，提高贸易和投资自由化便利化水平，深化区域经济一体化，推动亚洲形成更加开放的大市场。中国将进一步扩大同地区国家贸易规模，增加自周边国家进口，提升通关便利化水平。继续推进加入《全面与进步跨太平洋伙伴关系协定》和《数字经济伙伴关系协定》，愿同更多地区国家商签高标准自贸协定，完善区域自贸网络，打造共同大市场。推动共建“一带一路”高质量发展，优先推进同邻国铁路、公路等联通走廊项目，加快国际陆海贸易新通道建设。我们要加紧推进中国东盟自贸区3.0版建设，实施好《区域全面经济伙伴关系协定》并适时扩大成员、推动升级。维护产业链供应链稳定畅通，保持合作开放与包容。大力发展数字经济，在人工智能、生物医药、现代能源等领域加强交流合作，使科技创新成果更好造福周边各国人民。	繁栄と美しき故郷を共に築く。中国は，引き続き，開かれた発展，互恵・ウィンウィンの協力の戦略を堅持し，貿易・投資の自由化・円滑化の水準を引き上げ，地域経済統合を深化させ，アジアのより開かれた市場の形成を促進する。中国は、地域諸国との貿易規模をさらに拡大し、近隣諸国からの輸入を増やし、通関の円滑化レベルを引き上げる。中国は、包括的かつ先進的な環太平洋パートナーシップ協定とデジタル経済連携協定への加盟を引き続き推進し、地域のFTAネットワークを改善し、大規模な共通市場を創出するため、より多くの地域諸国と標準的なFTAを交渉・締結する意向である。我々は、「一帯一路」の質の高い発展を促進し、近隣諸国との鉄道、道路、その他の連結回廊プロジェクトを優先し、新たな国際陸海貿易回廊の建設を加速する。中国・ASEAN自由貿易圏（FTA）バージョン3.0の建設を強化し、地域包括的経済連携協定（RCEPA）を実施し、加盟国を拡大し、順次アップグレードを推進すべきである。安定的で円滑な産業チェーンのサプライチェーンを維持し、協力をオープンで包括的なものにする。デジタル経済を精力的に発展させ、人工知能、生物医学、現代エネルギーなどの分野における交流と協力を強化し、科学技術革新の成果が近隣諸国の人々により良い利益をもたらすようにする。
中国愿同地区国家一道，坚持绿色发展理念，加快形成绿色发展方式，以创新为驱动，大力推进经济、能源、产业结构转型升级，努力平衡减排和发展的关系，构建经济与环境协同共进的亚洲家园。坚持共同但有区别的责任原则，加强应对气候变化合作。中国愿在实现碳达峰碳中和的进程中，同周边国家互学互鉴、互利共赢，加强绿色金融和绿色投资合作，为地区低碳可持续发展提供支撑。构建蓝色经济伙伴关系，促进海洋可持续发展。	中国は、この地域の国々と協力し、グリーンな発展の理念を堅持し、グリーンな発展モードの形成を加速させ、イノベーションを原動力とする経済・エネルギー・産業構造の転換と高度化を力強く推し進め、排出削減と発展の両立に努め、経済と環境が一体となったアジアの祖国を建設することを望んでいる。中国は、共通だが差異ある責任の原則を堅持し、気候変動への対応における協力を強化する。中国は、カーボン・ピーク及びカーボン・ニュートラルの達成過程において、近隣諸国と互いに学び合い、相互利益とウィンウィンの成果を達成し、グリーン金融及びグリーン投資における協力を強化し、地域の低炭素で持続可能な発展への支援を提供することを望んでいる。我々は、ブルーエコノミー・パートナーシップを構築し、海洋の持続可能な発展を促進する。
共建友好共生家园。我们主张相互尊重、平等相待，推动不同文明交流对话、包容互鉴。从绵延数千年的亚洲历史文明中汲取养分，凝聚对亚洲价值、亚洲方式、亚洲传统的集体认同，拓展地区人文交流合作，夯实睦邻友好民意基础。采取更多便利人员往来举措。加强职业教育、高等教育、学历互认等合作，面向周边国家增加中国政府奖学金、各类高校和专业奖学金名额，为留学生往来提供便利条件。继续推进文化、艺术、青年、旅游、地方、媒体、智库、民间团体等领域交流，加强亚洲文体产业合作。	我々は、友好的で共生的な家庭を築く。我々は、相互尊重と平等な扱いを提唱し、異なる文明間の交流と対話、寛容と相互理解を促進する。我々は、数千年にわたるアジアの歴史と文明から糧を得、アジアの価値観、アジアの方法、アジアの伝統の集団的アイデンティティを構築し、地域の人文交流と協力を拡大し、善隣友好の世論基盤を強化する。我々は、人と人との交流を促進するためにより多くの措置を講じる。職業教育、高等教育および学歴の相互承認における協力を強化し、中国政府奨学金および近隣諸国向け各種大学・職業奨学金の数を増やし、留学生の交流を促進する。中国は、文化、芸術、青少年、観光、地域社会、メディア、シンクタンク、市民社会の分野における交流を引き続き促進し、アジアの文化・スポーツ産業における協力を強化する。
中国愿同地区国家一道，依托联通、发展、安全和人文四大支柱，聚焦政治、经贸、科技、安全、人文、全球性挑战六大领域，构建理念有共鸣、发展共规划、成果共分享、安全共维护、责任共担当的周边命运共同体。共同打造高质量共建“一带一路”示范区，深化基础设施“硬联通”和规则标准“软联通”。共同打造全球发展倡议先行区，建设更加平等均衡普惠的发展伙伴关系。共同打造全球安全倡议实验区，走共建共享共赢的亚洲安全之路。共同打造全球文明倡议首善区，持续扩大人文交流，促进文明交流互鉴、和合共生。	中国は地域諸国と協力し、「連結性」「発展」「安全保障」「人文科学」の4つの柱に基づき、「政治」「経済・貿易」「科学技術」「安全保障」「人文科学」「グローバルな課題」の6大分野に焦点を当て、共通の哲学的信念、発展計画、成果、安全保障、責任を共有する運命共同体を構築することを望んでいる。我々は、「一帯一路」建設のための質の高い実証区を共同で建設し、インフラという「ハードの連結性」とルール・標準という「ソフトの連結性」を深める。我々は、グローバルな開発イニシアティブのパイロットゾーンを共同で構築し、より平等でバランスの取れた包括的な開発パートナーシップを構築する。我々は、グローバルな安全保障イニシアティブのパイロットゾーンを共同で構築し、アジアにおける安全保障の構築、共有、ウィンウィンの道を歩む。我々は、世界文明イニシアティブのプレミアゾーンを共同で構築し、人文交流を継続的に拡大し、文明間の交流と相互理解、ならびに調和と共存を促進する。
中国将积极参与东亚合作、中国－中亚机制、上海合作组织、金砖国家合作机制、亚太经合组织、亚洲相互协作与信任措施会议等多边机制和组织，加强同太平洋岛国论坛、环印度洋联盟等区域性组织对话合作，共同促进亚洲－太平洋－印度洋地区的联通、稳定与发展。	中国は、東アジア協力、中国・中央アジア・メカニズム、上海協力機構、BRICS協力メカニズム、アジア太平洋経済協力、アジアにおける交流と信頼醸成措置に関する会議などの多国間メカニズムや組織に積極的に参加し、太平洋諸島フォーラムや環インド洋連合などの地域組織との対話と協力を強化し、アジア太平洋・インド洋を共同で促進する。インド洋を共同で促進し、アジア太平洋・インド洋地域の連結性、安定性、発展を共同で促進する。
结束语	結びの言葉
亚洲前景可期、振兴当时。习近平主席指出，亚洲好世界才能更好。我们要把亚洲发展好、建设好，展现亚洲的韧性、智慧、力量，打造世界的和平稳定锚、增长动力源、合作新高地。	アジアには有望な未来があり、今こそ活性化の時である。習近平国家主席が指摘したように、より良いアジアはより良い世界である。我々はアジアをしっかりと発展させ、築き上げ、その回復力、知恵、強さを発揮し、平和と安定の錨、成長の動力源、そして世界における協力の新たな高台を創造しなければならない。
同一个亚洲，同一个命运。我们同处一个充满挑战、也充满希望的时代。前所未有的机遇和挑战更需要各国开展前所未有的团结与协作。只有各国行天下之大道，和睦相处、合作共赢，繁荣才能持久、安全才有保障。	ひとつのアジア、ひとつの運命私たちは、挑戦と希望に満ちた時代に生きている。前例のない機会と挑戦には、すべての国々が前例のない連帯と協力を必要としている。すべての国が世界の道を歩み、共生し、ウィンウィンの協力を行ってこそ、繁栄が維持され、安全が保証される。
中国正在全面建设社会主义现代化国家，努力实现中华民族伟大复兴的中国梦，愿一如既往支持和帮助地区各国人民追求幸福美好生活，携手实现持久和平、共同发展的亚洲梦，共同构建周边命运共同体！	中国は、包括的な方法で現代社会主義国家を建設し、中華民族の偉大な若返りという中国の夢の実現に努めており、より良い、より幸せな生活を求めているこの地域のすべての国の人々を支援し、助け、恒久的な平和と共通の発展というアジアの夢の実現に向けて手を携え、近隣諸国で運命を共にする共同体を共同で構築する用意がある！
①同中国建立伙伴关系、合作关系或战略互惠关系的28国为阿富汗、巴基斯坦、朝鲜、东帝汶、俄罗斯、菲律宾、哈萨克斯坦、韩国、吉尔吉斯斯坦、柬埔寨、老挝、马尔代夫、马来西亚、蒙古国、孟加拉国、缅甸、尼泊尔、日本、斯里兰卡、塔吉克斯坦、泰国、土库曼斯坦、文莱、乌兹别克斯坦、新加坡、印度、印度尼西亚、越南。	①中国がパートナーシップ、協力、戦略的互恵関係を築いている28カ国は、アフガニスタン、パキスタン、北朝鮮、東ティモール、ロシア、フィリピン、カザフスタン、大韓民国、キルギス、カンボジア、ラオス、モルディブ、マレーシア、モンゴル、バングラデシュ、ミャンマー、ネパール、日本、スリランカ、タジキスタン、タイ、トルクメニスタン、ブルネイ、ウズベキスタン、シンガポール、インド、インドネシア、ベトナムである、ウズベキスタン、シンガポール、インド、インドネシア、ベトナムである。
②湄公河五国分别为柬埔寨、老挝、缅甸、泰国、越南。	②メコン5カ国は、カンボジア、ラオス、ミャンマー、タイ、ベトナムである。
③中亚五国分别为哈萨克斯坦、吉尔吉斯斯坦、塔吉克斯坦、土库曼斯坦、乌兹别克斯坦。	③中央アジア5カ国とは、カザフスタン、キルギス、タジキスタン、トルクメニスタン、ウズベキスタンである。
④与中国通过谈判解决历史遗留边界问题的12个陆地邻国是朝鲜、俄罗斯、蒙古国、哈萨克斯坦、吉尔吉斯斯坦、塔吉克斯坦、阿富汗、巴基斯坦、尼泊尔、缅甸、老挝、越南。	④中国が交渉によって歴史的国境問題を解決した陸続きの隣国は、北朝鮮、ロシア、モンゴル、カザフスタン、キルギス、タジキスタン、アフガニスタン、パキスタン、ネパール、ミャンマー、ラオス、ベトナムの12カ国である。
⑤同中国签署睦邻友好合作条约的9国分别为阿富汗、巴基斯坦、朝鲜、俄罗斯、哈萨克斯坦、蒙古国、塔吉克斯坦、土库曼斯坦、乌兹别克斯坦。	⑤中国が「善隣友好協力条約」を締結しているのは、アフガニスタン、パキスタン、北朝鮮、ロシア、カザフスタン、モンゴル、タジキスタン、トルクメニスタン、ウズベキスタンの9カ国である。
⑥中国是最大贸易伙伴的周边18国为巴基斯坦、朝鲜、俄罗斯、菲律宾、韩国、吉尔吉斯斯坦、柬埔寨、马来西亚、蒙古国、孟加拉国、缅甸、日本、泰国、土库曼斯坦、乌兹别克斯坦、新加坡、印度尼西亚、越南。	⑥中国が最大の貿易相手国である近隣18カ国は、パキスタン、北朝鮮、ロシア、フィリピン、韓国、キルギス、カンボジア、マレーシア、モンゴル、バングラデシュ、ミャンマー、日本、タイ、トルクメニスタン、ウズベキスタン、シンガポール、インドネシア、ベトナムである。
⑦同中国签署共建“一带一路”合作文件的周边24国分别为阿富汗、东帝汶、俄罗斯、菲律宾、韩国、哈萨克斯坦、老挝、柬埔寨、吉尔吉斯斯坦、蒙古国、马来西亚、缅甸、文莱、巴基斯坦、斯里兰卡、孟加拉国、尼泊尔、马尔代夫、新加坡、塔吉克斯坦、泰国、乌兹别克斯坦、印度尼西亚、越南。	⑦「一帯一路」建設のために中国と協力文書に署名した近隣諸国は、アフガニスタン、東ティモール、ロシア、フィリピン、大韓民国、カザフスタン、ラオス、カンボジア、キルギス、モンゴル、マレーシア、ミャンマー、ブルネイ、パキスタン、スリランカ、バングラデシュ、ネパール、モルディブの24カ国である、シンガポール、タジキスタン、タイ、ウズベキスタン、インドネシア、ベトナムである。

「親誠・親寛容・周辺外交」構想10周年記念国際シンポジウム

● 中国政府

・2023.10.24 习近平向纪念亲诚惠容周边外交理念提出10周年国际研讨会发表书面致辞

习近平向纪念亲诚惠容周边外交理念提出10周年国际研讨会发表书面致辞	習近平主席、親誠・親寛容の近隣外交構想10周年記念国際セミナーでメッセージ文書を発表
新华社北京10月24日电 10月24日，国家主席习近平向纪念亲诚惠容周边外交理念提出10周年国际研讨会发表书面致辞。	北京 10月24日（新華社） -- 習近平国家主席は、親中国外交構想10周年を記念する国際シンポジウムでメッセージ文書を発表した。
习近平指出，中国周边外交的基本方针，就是坚持与邻为善、以邻为伴，坚持睦邻、安邻、富邻，突出体现亲诚惠容的理念。10年来，中国积极践行亲诚惠容理念，全面发展同周边国家的友好合作关系，双方政治互信不断增强，利益融合持续深化，走出了一条睦邻友好、合作共赢的光明大道。	習主席は、中国の周辺外交の基本方針は、隣国と良好な関係を保ち、隣国を仲間とし、良好で安全で豊かな隣国を作ることを主張することであると指摘し、親誠、親寛容などの理念を強調した。過去10年間、中国は積極的に親誠、親寛容、親寛容の理念を実践し、隣国との友好協力関係を全面的に発展させ、双方の政治的相互信頼は絶えず高まり、互いの利益は深まり続け、ウィンウィンの善隣友好協力の明るい道を歩き出した。
习近平强调，新的时代背景下，我们将赋予亲诚惠容理念新的内涵，弘扬以和平、合作、包容、融合为核心的亚洲价值观，为地区团结、开放和进步提供新的助力。我们将推动亲诚惠容理念新的发展，让中国式现代化更多惠及周边，共同推进亚洲现代化进程，使中国高质量发展与良好周边环境相互促进、相得益彰。中国将继续践行亲诚惠容理念，同地区国家携手构建和平安宁、繁荣美丽、友好共生的亚洲家园，共同谱写推动构建亚洲命运共同体和人类命运共同体的新篇章！	習近平国家主席は、新時代の文脈において、親善、誠意、寛容の概念に新たな意味を与え、平和、協力、包摂、統合を中心とするアジアの価値を前進させ、地域の団結、開放性、進歩に新たな原動力を与えると強調した。われわれは親善・親寛容の理念の新たな発展を促進し、中国式の近代化が近隣諸国により多くの利益をもたらし、アジアの近代化プロセスを共同で推し進め、中国の質の高い発展と近隣諸国の良好な環境が相互に強化し補完し合うようにする。中国は引き続き親誠、親寛容の理念を実践し、域内諸国と協力して、平和と安寧、繁栄と美、友好と共存のアジアの故郷を建設し、アジアの運命共同体、人類の運命共同体の構築を推進する新たな章を共同で書き上げる！
纪念亲诚惠容周边外交理念提出10周年国际研讨会当日在北京举行，主题为“亲诚惠容：新内涵新发展新愿景”，由中央外办、外交部联名举办。	繁栄・誠意・寛容の隣国外交」構想10周年記念国際シンポジウムは同日、「繁栄・誠意・寛容：新たな意味合い、新たな発展、新たなビジョン」をテーマに北京で開催され、中央外交部（CFO）と外交部（外務省）が共催した。

● 中国政府外交部

・2023.10.24 王毅出席纪念亲诚惠容周边外交理念10周年国际研讨会开幕式

王毅出席纪念亲诚惠容周边外交理念10周年国际研讨会开幕式	王毅、「親誠・恩恵・寛容」周辺外交理念10周年記念国際セミナーの開幕式に出席
2023年10月24日，纪念亲诚惠容周边外交理念10周年国际研讨会在京举行。中共中央政治局委员、中央外办主任王毅首先宣读了习近平主席书面致辞。	2023年10月24日、「親誠・恩恵・寛容の周辺外交概念10周年記念国際シンポジウム」が北京で開催された。中国共産党中央委員会政治局委員で中央対外連絡弁公室（CFAO）主任の王毅氏はまず、習近平国家主席からのメッセージ文書を読み上げた。
王毅说，10年前，面对亚洲深刻变局和各国期待，习近平主席把握世界大势和地区发展规律，提出了亲诚惠容的周边外交理念。10年来，中国积极践行这一重要理念，始终将周边置于中国外交全局的首要位置，坚定不移走长期睦邻友好、共同发展繁荣的正确道路。亲诚惠容从理念到行动，从愿景到现实，思想内涵不断丰富，实践效果持续显现，为亚洲友好合作、团结振兴注入了强大动力，为构建人类命运共同体提供了有益镜鉴。“亲”体现在亲仁善邻，亚洲大家庭展现新力量。“诚”体现在以诚相待，伙伴关系得到新提升。“惠”体现在互惠互利，务实合作迈上新台阶。“容”体现在开放包容，区域融合开拓新局面。	王毅は、「10年前、習近平国家主席はアジアの重大な変化と各国の期待に直面し、世界の潮流と地域発展の法則を把握し、親誠・親寛容の周辺外交の理念を打ち出した。この10年間、中国はこの重要な理念を積極的に実践し、周辺を常に中国外交全体の最前線に置き、長期的な善隣関係と共同発展・繁栄の正しい道を揺るぎなく歩んできた。概念から行動へ、ビジョンから現実へ、イデオロギー的な意味合いは絶えず豊かになり、実際的な効果は示し続け、アジアの友好協力、団結と活性化のために、人類運命共同体の建設に強い原動力を注入し、有用な鏡を提供してきた。「プロ」は隣人に親切にするという精神に具現化され、アジアの家族は新たな力を発揮した。 "誠意 "は、互いに誠意をもって接することで体現され、パートナーシップは新たなレベルに引き上げられた。「利益」は相互利益に反映され、実際的な協力は新たなレベルに達した。「寛容」は開放性と包摂性で体現され、地域統合の新たな地平を切り開いた。
王毅表示，10年来，中国与周边国家携手前行，在国际风云激荡中守护来之不易的和平安宁，在重重危机挑战中建设全球最有活力的发展高地。放眼未来，中国愿与各方一道，倍加珍惜睦邻友好合作局面，共同弘扬亲诚惠容理念，充实拓展丰富内涵，不断照亮亚洲各国的前行之路。	王毅は、過去10年間、中国と近隣諸国は手を携えて前進し、国際的な混乱の中で苦労して勝ち取った平和と平穏を守り、危機の挑戦の中で世界で最もダイナミックな発展台地を築いてきたと述べた。将来を見据え、中国はすべての関係者と協力し、善隣、友好、協力を大切にし、親和、誠意、恩恵、寛容の理念を共同で推進し、豊かな意味合いを豊かにし、拡大し、アジア諸国の前途を絶えず照らしていきたい。
一要让和平安全的传统薪火相传。地区各国要独立自主、团结自强，坚持共同、综合、合作、可持续的新安全观，建立相互尊重、求同存异、对话协商的亚洲安全模式，始终把亚洲长治久安的前途掌握在自己手中。	第一に、平和と安全の伝統を継承すべきである。域内諸国は、独立、団結、自立し、共通、包括、協力、持続可能な発展という新たな安全保障の理念を堅持し、相互尊重、相違点を留保しつつ共通点を模索、対話と協議というアジアの安全保障モデルを確立し、アジアの長期的な安定と安全の未来を常に自らの手で切り開くべきである。
二要让合作共赢的成果普惠各方。始终把发展摆在优先位置，坚持互惠互利而不是你输我赢，开放合作而不是脱钩断链，在更高水平合作中实现更高质量发展。	第二に、ウィン・ウィンの協力の成果をすべての人に有益なものとすることである。我々は常に発展を優先し、勝ち負けよりも互恵、切り離しよりも開放と協力を主張し、より高いレベルの協力を通じてより質の高い発展を実現すべきである。
三要让开放包容的理念发扬光大。倡导和平、发展、公平、正义、民主、自由的全人类共同价值，坚持和而不同，践行开放的区域主义，在交流互鉴中取长补短、美美与共，调动一切积极因素，推动区域合作更好发展。	第三に、開放性と包摂性の概念を前進させるべきである。全人類の平和、発展、公正、正義、民主主義、自由という共通の価値を提唱し、調和と差異を主張し、開かれた地域主義を実践し、交流と相互学習において互いの長所と短所を補完し合い、より良い地域協力を推進するためにあらゆるプラス要素を動員すべきである。
四要让融合共生的潮流浩荡前行。坚持推动命运共同体意识落地生根，将自身发展融入到地区发展大势中，把我们赖以生存的家园维护好、建设好、发展好。	第四に、統合と共存の流れを前進させることである。運命共同体意識を根付かせ、自らの発展を地域の発展の流れに統合し、われわれが依存する故郷を維持、建設、発展させることを主張する。
王毅强调，亚洲正处于迈向发展振兴的重要关口。我们今天的选择，将塑造亚洲的明天。亚洲的未来，关键在做好自己的事情。亚洲的振兴，关键在地区国家团结奋斗。亚洲不仅是众多悠久文明的诞生地，更是全球发展繁荣的热土，完全可以成为开放合作的广阔天地。中国正在以中国式现代化全面推进中华民族伟大复兴，必将为世界各国特别是亚洲邻国带来持久红利，提供更多机遇，注入不竭动力。	王毅は、アジアは発展と再生に向けた重要な岐路にあると強調した。今日の選択がアジアの明日を形作る。アジアの未来への鍵は、アジア独自のことをすることにある。アジアの活性化の鍵は、この地域の国々の団結と闘争にある。アジアは多くの悠久の文明の発祥の地であるだけでなく、世界の発展と繁栄のホットスポットでもあり、開放と協力の広大な世界になる可能性を十分に秘めている。中国は、中国式の近代化によって中華民族の偉大な若返りを包括的に推進しており、それは必ずや世界のすべての国、特にアジアの近隣諸国に永続的な配当をもたらし、より多くの機会を提供し、無尽蔵の力を注入するだろう。
王毅表示，中方将保持周边外交政策的延续性和稳定性，秉持亲诚惠容理念，深化同周边国家友好合作和利益融合，共同构建和平安宁、繁荣美丽、友好共生的亚洲家园，为构建亚洲命运共同体和人类命运共同体贡献更多智慧和力量。王毅就此提出四点建议：	王毅国家主席は、中国は近隣外交政策の継続性と安定性を維持し、誠意と寛容の理念を堅持し、近隣諸国との友好、協力、利益の融合を深め、友好と共存が花開く平和で平穏、繁栄した美しいアジアの祖国を共同で建設し、アジアの運命共同体、人類の運命共同体の建設により多くの知恵と力を貢献すると述べた。王毅はこの点について4つの提案を行った：
一是坚持共商共建共享，打造“一带一路”示范区。落实好第三届“一带一路”国际合作高峰论坛成果，深化地区国家基础设施“硬联通”和规则标准“软联通”。积极推动“一带一路”倡议与地区各国发展战略对接，促进区域经济循环畅通升级，为地区各国人民带来更多福祉。	第一に、「共同発展・共有」の原則を堅持し、「一帯一路」実証区を創設する。第3回「一帯一路」国際協力サミットフォーラムの成果を実行に移し、インフラという「ハードの連結」と域内諸国のルール・標準という「ソフトの連結」を深める。我々は、「一帯一路」構想と域内諸国の発展戦略との連携を積極的に推進し、域内経済循環の円滑な流れと高度化を促進し、域内諸国の国民により多くの利益をもたらす。
二是坚持共谋发展，打造全球发展倡议先行区。加快落实联合国2030年可持续发展议程，共同实施好《区域全面经济伙伴关系协定》，力争2024年内完成中国—东盟自贸区3.0版谈判。加快推进区域经济一体化和贸易合作便利化，拓展合作领域，培育合作新增长极。	第二に、我々は、共通の発展を追求し、世界的な発展イニシアティブの先駆的地帯を創造することを主張する。我々は、国連持続可能な開発のための2030アジェンダの実施を加速し、地域包括的経済連携協定を共同で実施し、中国・ASEAN FTA3.0の交渉を2024年内に完了するよう努力する。我々は、地域経済統合と貿易協力の円滑化を加速し、協力分野を拡大し、協力の新たな成長極を開拓する。
三是坚持和衷共济，打造全球安全倡议实验区。尊重各国自主选择的发展道路，坚决反对外部势力干涉地区国家内政。旗帜鲜明反对冷战思维，决不让地缘冲突的悲剧在本地区上演。通过协商谈判寻求公平合理的历史遗留争议解决方案，走亚洲共同安全之路。	第三に、我々は、調和と連帯の原則を堅持し、グローバルな安全保障イニシアティブの実験地帯を創造する。我々は、各国が独自に選択した発展の道を尊重し、地域諸国の内政に対する外部勢力の干渉に断固として反対する。我々は、冷戦思考に明確に反対し、この地域で地政学的対立の悲劇が展開するのを決して許さない。われわれは、協議と交渉を通じて歴史的紛争の公正かつ合理的な解決を図り、アジア共通の安全保障の道を歩む。
四是坚持亚洲价值，打造全球文明倡议首善区。弘扬以和平、合作、包容、融合为核心的亚洲价值观，深化文明交流互鉴。拓展地区国家人文交流，促进民心相通，不断筑牢相知相亲、世代友好的基石。	第四に、我々はアジアの価値観を堅持し、世界文明構想のための最高の地域を創造すべきである。平和、協力、包摂、統合を中心とするアジアの価値を推進し、文明間の交流と相互理解を深める。域内諸国間の人文交流を拡大し、人と人との交流を促進し、世代を超えた相互理解と友好の礎を築き続ける。
纪念亲诚惠容周边外交理念10周年国际研讨会由中央外办、外交部共同举办。巴基斯坦参议院主席桑吉拉尼、蒙古国总理奥云额尔登、尼泊尔总理普拉昌达、柬埔寨副首相孙占托、日本前首相福田康夫、韩国前总理李海瓒、吉尔吉斯斯坦前总理博罗诺夫、上海合作组织秘书长张明等以线下或线上方式出席。	親誠・親寛容・親周辺外交の概念10周年を記念する国際セミナーは、中央外事弁公室と外務省の共催で開催された。パキスタンのサンギラニ上院議長、モンゴルのオユン・エルデン首相、ネパールのプラチャンダ首相、カンボジアのスン・チャムソル副首相、日本の福田康夫元首相、韓国の李海山元首相、キルギスのボロノフ元首相、上海協力機構（SCO）の張明事務局長がオフラインまたはオンラインでセミナーに出席した。
研讨会当日还发布了《新时代中国的周边外交政策展望》文件。	また、セミナーは同日、文書『新時代における中国の周辺外交政策の展望』を発表した。

弘扬亲诚惠容理念，共建美好亚洲家园	親和、誠意、恩恵、寛容の理念を前進させ、より良いアジアの故郷を共に築く
——王毅在纪念亲诚惠容周边外交理念10周年国际研讨会开幕式上的讲话	・近接外交概念10周年記念国際シンポジウム開会式王毅スピーチ
各位来宾，各位朋友，大家上午好。	来賓の皆様、友人の皆様、おはよう。
很高兴和大家相聚北京。在习近平主席提出亲诚惠容理念10周年之际，我们在此共商大计，共同盘点亚洲发展的春华秋实，共同探讨地区合作的美好未来。习近平主席高度重视中国同周边国家合作，专门向研讨会发来重要贺辞。在此，我谨代表中国政府，向大家表示热烈欢迎，向长期支持中国发展、促进地区合作的各位朋友致以衷心感谢！	北京で皆様にお会いできて大変光栄である。習近平国家主席の「親誠・親寛容」構想10周年を記念し、我々はここで偉大な計画について話し合い、アジアの発展の春と秋を振り返り、地域協力の明るい未来について話し合う。習近平国家主席は、中国の近隣諸国との協力を非常に重視しており、このセミナーに重要なメッセージを送っている。ここに中国政府を代表し、皆様を温かく歓迎するとともに、中国の発展を長年支え、地域協力を推進してきた皆様に心から感謝の意を表したい！
10年前，面对亚洲深刻复杂变局和各国期待，习近平主席把握世界大势和地区发展规律，在坚持与邻为善、以邻为伴和睦邻、安邻、富邻方针基础上，与时俱进提出了亲诚惠容的周边外交理念。10年来，在习近平外交思想指引下，中国积极践行这一重要理念，始终将周边置于中国外交全局的首要位置，我们同地区国家一道，坚定不移走长期睦邻友好、共同发展繁荣的正确道路。我们高兴地看到，亲诚惠容从理念到行动，从愿景到现实，思想内涵不断丰富，实践效果持续显现，为亚洲友好合作、团结振兴注入了强大动力，为构建人类命运共同体提供了有益镜鉴。	10年前、アジアの深く複雑な変化と各国の期待に直面し、習近平国家主席は世界の趨勢と地域発展の法則を把握し、「隣人によくし、隣人を仲間とする」、「良き隣人」、「平和な隣人」、「豊かな隣人」という原則を堅持し、時代に遅れることなく、近接、誠実、利益、寛容という近隣外交の理念を打ち出した。10年前、習近平の外交思想に導かれ、中国はこの重要な理念を積極的に実践し、近隣を常に外交の最前線に据えてきた。この地域の国々とともに、われわれは長期的な善隣、共同発展、繁栄という正しい道を着実に歩んできた。親善、誠意、寛容」の概念が、概念から行動へ、ビジョンから現実へと豊かになり、その実践的効果が継続的に現れ、アジアにおける友好、協力、団結、活性化のための強力な原動力を注入し、人類運命共同体の構築に有用な鏡を提供していることを、われわれは喜ばしく思う。
“亲”体现在亲仁善邻，亚洲大家庭展现新力量。中华民族历来注重敦亲修睦、协和万邦，同周边国家发展睦邻友好关系是中国周边外交的一贯方针。10年来，习近平主席亲自擘画中国同周边国家交往蓝图，出访足迹遍及周边各国，有力引领拓展睦邻友好格局。中国同周边国家在常来常往中相知相亲，在守望互助中共建家园。我们共同应对新冠疫情、恐怖主义等挑战，我们共同克服地震、洪水等自然灾害，书写了同甘共苦的邻里佳话。中国救援队第一个驰援尼泊尔地震救灾，中国疫苗第一个支援东帝汶抗击疫情，中国已经向东盟国家提供超过6亿剂疫苗，总数相当于东盟各国人口总和，以实际行动诠释了命运共同体精神。	親は親善と善隣に体現され、アジア・ファミリーは新たな力を発揮した。この10年間、習近平国家主席は自ら中国と近隣諸国との関係の青写真を描き、この地域の多くの国々を訪問し、善隣関係の拡大を主導してきた。中国と近隣諸国は、頻繁な交流を通じてお互いを知り、相互扶助と見守りを通じて共通の故郷を築いてきた。新型インフルエンザやテロなどの難題に共同で対処し、地震や洪水などの自然災害を共に乗り越え、隣国で良い時も悪い時も分かち合うという良い物語を書いてきた。中国は地震救援のためにネパールに救援隊を派遣した最初の国であり、伝染病と闘うために東ティモールにワクチンを提供した最初の国であり、中国はASEAN諸国に6億回分以上のワクチンを提供し、その総量はASEAN諸国の人口の合計に相当し、運命共同体の精神を実践的な行動で解釈してきた。
“诚”体现在以诚相待，伙伴关系得到新提升。中国外交向来注重礼尚往来、诚而有信。10年来，我们践约守诺、平等待人，同周边国家广泛建立了战略合作伙伴关系，同东盟国家、中亚、澜湄五国的命运共同体建设扎实推进。中国积极践行新安全观，作为第一个加入《东南亚友好合作条约》的东盟对话伙伴国，我们同地区国家携手构建起多层次安全对话合作机制。中国始终坚持同地区国家以真诚沟通增进理解信任，以对话协商寻求解决分歧，以实际行动维护本地区的共同安全。	誠意をもって接することが体現され、パートナーシップは新たにアップグレードされた。過去10年間、中国の外交は常に礼儀と誠意を基調とし、約束を守り、対等に接し、近隣諸国と広範な戦略的協力パートナーシップを築き、ASEAN諸国、中央アジア、瀾滄江五カ国との運命共同体の構築は堅固に進んでいる。中国は新たな安全保障理念を積極的に実践し、ASEANで初めて東南アジア友好協力条約（TAC）に加盟した対話パートナーとして、域内諸国と手を携えてマルチレベルの安全保障対話・協力メカニズムを構築してきた。中国は常に、地域諸国と真摯に意思疎通を図り、理解と信頼を高め、対話と協議を通じて相違点の解決を図り、地域の共通の安全保障を守るために実際的な行動をとることを主張してきた。
“惠”体现在互惠互利，务实合作迈上新台阶。中国始终本着互惠互利原则同周边国家开展合作，共享发展成果。共建“一带一路”源自中国，始于周边。10年来，地区国家纷纷加入共建“一带一路”，中国—东盟自贸区3.0版建设加快推进，中国—中亚天然气管道、中巴经济走廊、中马“两国双园”等一大批项目形成示范效应。中老铁路助力老挝人民实现“陆锁国”变为“陆联国”的梦想，雅万高铁作为东南亚第一条高速铁路正式通车，为当地经济插上腾飞翅膀。中国成为亚洲国家主要贸易伙伴和重要投资来源地，已连续3年同东盟互为最大贸易伙伴，双方贸易额比10年前翻了一番多。地区国家达成《区域全面经济伙伴关系协定》，建成全球规模最大、潜力最大的自贸区，在全球化逆风中树立了合作典范。	利益は相互利益に反映され、実際的な協力は新たなレベルに達している。中国は常に互恵の原則に基づいて近隣諸国と協力し、発展の成果を分かち合ってきた。過去10年間、域内諸国は「一帯一路」の建設に参加し、中国・ASEAN自由貿易圏（FTA）3.0の建設が加速し、中国・中央アジアガスパイプライン、中国・パキスタン経済協力協定（CPEA）、中国・パキスタン経済協力協定（CPEA）が実施された。過去10年間で、この地域の国々は「一帯一路」の建設に参加し、中国・ASEAN FTA 3.0の建設が加速し、中国・中央アジア天然ガスパイプライン、中国・パキスタン経済回廊、中国・マレーシア「二国間ツインパーク」などの多くのプロジェクトがモデル効果を形成した。中国-ラオス鉄道は、陸の孤島を陸続きの国にするというラオスの人々の夢を実現させ、東南アジア初の高速鉄道であるヤバン高速鉄道は正式に開通し、地元経済に翼を与えている。中国はアジア諸国にとって主要な貿易相手国であり、重要な投資源となっており、ASEANとは3年連続で最大の貿易相手国となっており、双方の貿易額は10年前の2倍以上となっている。域内諸国は地域包括的経済連携協定（RCEPA）に到達し、世界最大かつ最も有望な自由貿易圏を確立し、グローバル化の逆風の中で協力の模範を示した。
“容”体现在开放包容，区域融合开拓新局面。海纳百川、有容乃大。10年来，中国以宽广胸襟促进区域合作，践行真正的多边主义，构建开放而非排他的朋友圈。在各方共同努力下，上海合作组织不断发展壮大，成为世界上幅员最广、人口最多的综合性区域合作组织。中国坚定支持东盟在区域架构中的中心地位，积极推动东亚合作、亚太经合组织、亚信等框架下合作，主动发起中国—中亚峰会、澜沧江—湄公河合作，推动中日韩合作深入发展，举办亚洲文明对话大会，搭建多层次、跨领域合作平台。着眼各方向睦邻合作，持续打造中国—东盟博览会、中国西部国际博览会以及中国—南亚博览会等一张张闪亮的名片。	「寛容」は開放性と包摂性に反映され、地域統合は新たな地平を切り開いた。過去10年間、中国は広い心で地域協力を推進し、真の多国間主義を実践し、開放的だが排他的ではない友人の輪を築いてきた。すべての関係者の共同の努力により、SCOは成長を続け、世界最大かつ最も人口の多い包括的地域協力組織となった。中国は、地域構造におけるASEANの中心的地位を断固として支持し、東アジア協力、APEC、ASEANの枠組みの下での協力を積極的に推進し、中国・中央アジアサミットと瀾滄江・メコン協力を率先して立ち上げ、中国・日本・韓国の協力の踏み込んだ発展を促進し、アジア文明対話会議を主催して、多層的・分野横断的協力のプラットフォームを構築している。全方位の善隣協力を重視し、中国-ASEAN博覧会、中国西部国際博覧会、中国-南アジア博覧会など、輝く名刺を作り続けてきた。
亲望亲好，邻望邻好。10年来，正是在亲诚惠容理念指引下，中国与周边国家携手前行，在国际风云激荡中守护来之不易的和平安宁，在重重危机挑战中建设全球最有活力的发展高地。放眼未来，中国愿同各方一道，倍加珍惜睦邻友好合作局面，共同弘扬亲诚惠容理念，充实拓展这一重要理念的丰富内涵，不断照亮亚洲各国的前行之路。	過去10年間、「親善、誠意、寛容」の理念の下、中国と近隣諸国は手を携えて、国際的な激動の中で苦労して勝ち取った平和と平穏を守り、危機の試練の中で世界で最もダイナミックな発展台地を築いてきた。未来に向けて、中国はすべての関係者と協力し、善隣、友好、協力を大切にし、「親善、誠意、恩恵、寛容」の理念を推進し、この重要な理念の豊かな意味合いを豊かにし、拡大することで、アジア各国の前途を絶えず照らしていきたい。
——我们要让和平安全的传统薪火相传。习近平主席指出，和平犹如空气和阳光，受益而不觉，失之则难存。历史昭示我们，和平与安全是发展的前提，和平共处五项原则是地区各国自主探索出来的相处之道，是亚洲长期发展繁荣的坚实基础。冷战思维只会破坏全球稳定，霸凌强权只会危害世界和平。地区各国要独立自主、团结自强，坚持共同、综合、合作、可持续的新安全观，建立相互尊重、求同存异、对话协商的亚洲安全模式，警惕形形色色的冷战思维、集团对抗、外部干涉，始终把亚洲长治久安的前途掌握在自己手中。	・平和と安全の伝統を継承しなければならない。習近平国家主席は,平和は空気や太陽のようなもので,実現しなくても恩恵を受けることはできるが,実現しなければ生き延びることは難しいと指摘している。歴史は,平和と安全が発展の前提条件であること,そして,この地域の国々が独自に模索した共存の道である平和共存五原則が,アジアの長期的な発展と繁栄のための強固な基盤であることを示している。冷戦思考は世界の安定を損なうだけであり,覇権主義と権力は世界の平和を危うくするだけである。この地域のすべての国々は,独立,団結,自立し,共通,包括的,協力的,持続可能な発展という新しい安全保障の概念を堅持し,相互尊重,相違点を留保しながらも共通点を模索すること,対話と協議に基づくアジアの安全保障モデルを確立し,あらゆる形態の冷戦的思考,ブロック間の対立,外部からの干渉に対して警戒を怠らず,アジアの長期的な平和と安定の未来を常に自らの手に委ねるべきである。
——我们要让合作共赢的成果普惠各方。“亚洲发展奇迹”的历程表明，成功的密码是合作共赢，而不是零和博弈。地区国家比邻而居，共同利益、共同责任把我们紧紧联系在一起。47亿多亚洲人民要过上幸福生活，离不开互帮互助、互利合作。众行才能致远，共赢才有未来。只有始终把发展摆在优先位置，坚持互惠互利而不是你输我赢，开放合作而不是脱钩断链，才能在更高水平合作中实现更高质量发展。	・ウィン・ウィンの協力の成果をすべての人に有益なものにしなければならない。アジア発展の奇跡」の歴史は,成功の秘訣がゼロサムゲームではなく,ウィン・ウィンの協力であることを示している。アジアの47億の人々は,相互扶助と有益な協力なしには幸せな生活を送ることはできない。共に行動してこそ前進があり,共に勝利してこそ未来がある。発展を優先し,「あなたが負ければ私が勝つ」のではなく相互利益を主張し,デカップリングではなく開放することによってのみ,より高いレベルの協力の中で,より質の高い発展を達成することができる。
——我们要让开放包容的理念发扬光大。泰山不让土壤，故能成其大；河海不择细流，故能就其深。地区国家不论大小、强弱、贫富，都是平等一员；各国的事由各国人民做主，地区的事大家商量着办，这是亚洲模式对当今世界的重要贡献。倡导和平、发展、公平、正义、民主、自由的全人类共同价值，坚持和而不同，践行开放的区域主义，在交流互鉴中取长补短、美美与共，才能调动一切积极因素，推动区域合作更好发展，充满自信拥抱世界。	・開放性と包摂性の概念を花開かせるべきだ。ターザンは土が大きくなることを許さない。川と海は最も小さな流れを選ばないから,深くなることができる。地域諸国は,その大きさ,強弱,貧富の差に関係なく,すべて平等なメンバーであり,それぞれの国の人々が自国の問題を決定し,地域的な問題はみんなで話し合い,処理する。これは,アジアモデルが今日の世界にもたらした重要な貢献である。全人類に平和,発展,公正,正義,民主主義,自由という共通の価値を提唱し,調和と差異を主張し,開かれた地域主義を実践し,交流と相互学習において互いの長所と短所を補い合うことによって,我々はあらゆるプラス要素を動員し,より良い地域協力を推進し,自信を持って世界を受け入れることができる。
——我们要让融合共生的潮流浩荡前行。文明是多样的，亚洲是多彩的。亚洲是我们生于斯长于斯的共同家园，地区各国是搬不走的邻居、离不开的伙伴，已经成为你中有我、我中有你的大家庭。任何把地区阵营化、集团化、分裂化的行径，都违反潮流、不得人心。只有坚持推动命运共同体意识落地生根，将自身发展融入到地区发展大势中，才能把我们赖以生存的家园维护好、建设好、发展好。	・我々は,統合と共存の潮流を前進させるべきである。文明は多様であり,アジアはカラフルである。アジアは私たちが生まれ育った共通の故郷であり,この地域の国々は私たちの隣人であり,切っても切れないパートナーである。この地域を陣営化したり,ブロック化したり,分裂させようとする試みは,時代の流れに逆行するものであり,不人気である。運命共同体という意識を根気強く推進し,私たち自身の発展を地域の発展という一般的な流れに統合することによってのみ,私たちが生存を依存している祖国を維持し,建設し,発展させることができるのである。
各位朋友，	親愛なる諸君。
当前，亚洲正处于迈向发展振兴的重要关口。我们今天的选择，将塑造亚洲的明天。亚洲的未来，关键在做好自己的事情。亚洲的振兴，关键在地区国家团结奋斗。亚洲幅员广袤，横亘两洋，通衢五洲，这里不仅是众多悠久文明的诞生地，更是全球发展繁荣的热土，完全可以成为开放合作的广阔天地。	現在、アジアは発展と再生に向けた重要な岐路に立っている。私たちが今日行う選択が、アジアの明日を形作る。アジアの未来への鍵は、アジア独自のことを行うことにある。アジアの活性化の鍵は、アジア諸国が一丸となって取り組むことにある。広大な領土、2つの海、5つの大陸を持つアジアは、多くの悠久の文明の発祥の地であるだけでなく、世界の発展と繁栄のホットスポットであり、開放と協力の広大な世界となるにふさわしい位置にある。
中国正在以中国式现代化全面推进中华民族伟大复兴，将持续推动高质量发展、坚持高水平对外开放，加快构建新发展格局。中国对世界经济增长的贡献率长期保持在30%以上，对亚洲地区经济的贡献率保持在60%以上。中国的现代化必将为世界各国特别是亚洲邻国带来持久红利，提供更多机遇，注入不竭动力。	中国は中国式の現代化を通じて中華民族の偉大な若返りを全面的に推進しており、引き続き質の高い発展を推進し、高いレベルでの対外開放を堅持し、新たな発展パターンの構築を加速させていく。世界の経済成長に対する中国の寄与率は長期にわたって30％以上を維持し、アジア地域の経済に対する寄与率は60％以上を維持している。中国の近代化は、世界の他の地域、特にアジアの近隣諸国に、永続的な配当とより多くの機会をもたらし、無尽蔵の勢いを注入することは間違いない。
回首10年前，习近平主席提出构建人类命运共同体，为世界发展指明了正确方向，为国际合作凝聚了强大共识。同样也是在10年前，习近平主席提出共建“一带一路”倡议，为推动构建人类命运共同体搭建了全球合作平台。这几年，习近平主席又相继提出全球发展倡议、全球安全倡议、全球文明倡议，为维护世界和平、推动共同发展、深化互利合作、加强文明互鉴提出了中国方案，得到越来越多周边国家的欢迎、支持和参与。	10年前を振り返ると、習近平国家主席は人類運命共同体の構築を提唱し、世界の発展の正しい方向性を指摘し、国際協力のための強力なコンセンサスを構築した。習近平主席が「一帯一路」構想を打ち出し、人類運命共同体の構築を推進するための世界協力のプラットフォームを構築したのも10年前のことだ。ここ数年、習近平主席は「世界発展イニシアティブ」、「世界安全保障イニシアティブ」、「世界文明イニシアティブ」も提唱しており、これらは世界平和を守り、共同発展を促進し、互恵協力を深め、文明間の相互理解を強化するための中国の提案として、ますます多くの近隣諸国から歓迎され、支持され、参加されている。
展望未来，中方将保持周边外交政策的延续性和稳定性，将始终秉持亲诚惠容理念，坚持与邻为善、以邻为伴和睦邻、安邻、富邻方针，深化同周边国家友好合作和利益融合，建设好我们的共同家园。为此，中方愿提出四点建议：	今後，中国は，近隣諸国における外交政策の継続性と安定性を維持し，常に近接，誠実，恩恵，寛容の理念を堅持し，近隣諸国と良好な関係を保ち，近隣諸国を仲間として維持し，良好で安全かつ豊かな近隣諸国を作るという原則を堅持し，近隣諸国との友好，協力，利益の融合を深め，共通の祖国を建設する。そのために、中国は4つの提案をしたい：
第一，坚持共商共建共享，携手打造“一带一路”示范区。前几天，中国成功举办第三届“一带一路”国际合作高峰论坛，全球150多个国家、40多个国际组织代表齐聚北京。我们要落实好本届论坛成果，深化基础设施“硬联通”和规则标准“软联通”。积极推动“一带一路”倡议同地区各国发展战略对接，促进区域经济循环畅通升级，为地区各国人民带来更多福祉。	第一に、「共通の大義、共通の建設、共有」の原則を堅持し、手を携えて「一帯一路」実証区を建設すべきである。数日前、中国は第3回「一帯一路」国際協力サミットフォーラムを北京で成功裏に開催し、150カ国以上と40の国際機関の代表が一堂に会した。われわれはこのフォーラムの成果を実行に移し、インフラという「ハードの接続性」とルールや標準という「ソフトの接続性」を深めるべきである。また、「一帯一路」イニシアティブと域内各国の発展戦略との連携を積極的に推進し、域内経済サイクルの円滑な流れと高度化を促進し、域内人民により多くの利益をもたらす。
第二，坚持共谋发展，携手打造全球发展倡议先行区。我们要加快落实联合国2030年可持续发展议程，加强国际发展合作，促进改善民生。共同实施好《区域全面经济伙伴关系协定》（RCEP），力争2024年内完成中国—东盟自贸区3.0版谈判。加快推进区域经济一体化和贸易合作便利化，拓展数字经济、绿色经济、海洋经济等领域合作，培育合作新增长极。	第二に、われわれは共同発展を求める原則を堅持し、手を携えてグローバルな発展イニシアティブの先進地帯を創造すべきである。我々は、国連「持続可能な開発のための2030アジェンダ」の実施を加速し、国際開発協力を強化し、人々の生活向上を促進すべきである。我々は、地域包括的経済連携協定（RCEP）を共同で実施し、中国・ASEAN FTA3.0の交渉を2024年内に完了するよう努力する。我々は、地域経済統合と貿易協力の円滑化を加速し、デジタル経済、グリーン経済、海洋経済等の分野における協力を拡大し、協力の新たな成長極を開拓する。
第三，坚持和衷共济，携手打造全球安全倡议实验区。我们要尊重各国自主选择的发展道路，坚决反对外部势力干涉地区国家内政。旗帜鲜明反对冷战思维，决不让地缘冲突的悲剧在本地区上演。中国愿同东盟国家全面有效落实《南海各方行为宣言》（DOC），力争早日达成“南海行为准则（COC）”，共同建设和平之海、合作之海。对于历史遗留的争议问题，中国愿通过协商谈判寻求公平合理的解决方案，走亚洲共同安全之路。	第三に、我々は、調和と連帯の原則を堅持し、手を携えてグローバルな安全保障構想の実験地帯を構築する。我々は、各国が独自に選択した発展の道を尊重し、地域諸国の内政に対する外部勢力の干渉に断固として反対する。われわれは冷戦的な考え方に明確に反対し、地政学的対立の悲劇をこの地域で展開させることは決してない。中国は、ASEAN諸国と協力し、南シナ海における当事国の行動に関する宣言（DOC）を包括的かつ効果的に実施し、南シナ海行動規範（COC）の早期妥結に努め、平和と協力の海を共同で築いていく所存である。歴史に残された紛争については、中国は、協議と交渉を通じて公正かつ合理的な解決を図り、アジア共通の安全保障の道を歩むことを望んでいる。
第四，坚持亚洲价值，携手打造全球文明倡议首善区。我们要从悠久历史和多元文化中汲取智慧，弘扬以和平、合作、包容、融合为核心的亚洲价值观，深化文明交流互鉴。以2024年举办“中国东盟人文交流年”等一系列活动为契机，拓展地区国家人文交流。促进体育、智库、媒体、旅游等领域交流，促进民心相通，不断筑牢相知相亲、世代友好的基石。借此机会，中方将在此宣布，中方将于今天正式发布《新时代中国的周边外交政策展望》，大家可以更全面、准确了解中国的立场主张。	第四に、われわれはアジアの価値観を堅持し、手を携えて世界文明構想のプレミア地帯を建設すべきである。われわれは、長い歴史と多様な文化から知恵を引き出し、平和、協力、包摂、統合を中心とするアジアの価値を促進し、文明間の交流と相互理解を深めるべきである。我々は、2024年の中国・ASEAN人文交流年の開催を、域内諸国間の人文交流を拡大する契機とする。我々は、スポーツ、シンクタンク、メディア、観光などの分野での交流を推進し、人と人との交流を促進し、世代を超えた相互理解と友好の礎を築き続ける。この機会に、中国は本日、『新時代における中国の近隣外交政策の展望』を正式に発表し、中国の立場と提案をより包括的かつ正確に理解していただけるようにすることをここに発表する。
各位来宾，朋友们，	賓客の皆様、友人の皆様。
中国人常说，家和万事兴，人和百业顺。让我们携起手来，坚持践行亲诚惠容理念，彰显亚洲世纪的蓬勃力量，焕发亚洲文明的时代活力，共同构建和平安宁、繁荣美丽、友好共生的亚洲家园，为构建亚洲命运共同体和人类命运共同体贡献更多智慧和力量！	中国人がよく言うように、家族の和があれば万物は栄え、人々の和があれば事業は順調に進む。われわれは手を携え、「親誠・恩恵・寛容」の理念を堅持し、アジアの世紀の活力を顕現させ、アジア文明の活力を活性化させ、平和と安寧、繁栄と美、友好と共存のアジアの祖国を共同で建設し、アジアの運命共同体、人類の運命共同体の建設にさらなる知恵と力を提供しよう！
预祝本次研讨会取得圆满成功！谢谢大家！	このセミナーの成功を祈念する！ありがとう！

・2023.10.24 王毅集体会见出席纪念亲诚惠容周边外交理念10周年国际研讨会的外方嘉宾

・2023.10.24 王毅就共建亚洲家园提出四点建议

王毅就共建亚洲家园提出四点建议	王毅、アジアの故郷を共に築く4項目の提言を発表
2023年10月24日，中共中央政治局委员、中央外办主任王毅出席纪念亲诚惠容周边外交理念10周年国际研讨会开幕式时表示，中方将始终秉持亲诚惠容理念，坚持与邻为善、以邻为伴和睦邻、安邻、富邻方针，深化同周边国家友好合作和利益融合，建设好我们的共同家园。为此提出四点建议。	2023年10月24日、中国共産党中央委員会政治局委員で中央対外連絡弁公室（CFAO）主任の王毅氏は、「周辺外交における繁栄、誠意、利益、寛容の概念10周年記念国際シンポジウム」の開幕式で、「中国は常に親誠・利益、寛容を容認する概念を堅持し、隣国によくし、隣国を仲間とし、隣国によくし、隣国に安心し、隣国に富むという指針を堅持し、周辺諸国との友好、協力、利益の融合を深め、良好な共通の故郷を建設する」と述べた。そのために、私は4つの提案をしたい。
一是坚持共商共建共享，打造“一带一路”示范区。要落实好第三届“一带一路”国际合作高峰论坛成果，深化基础设施“硬联通”和规则标准“软联通”。积极推动“一带一路”倡议与地区各国发展战略对接，促进区域经济循环畅通升级，为地区各国人民带来更多福祉。	第一に、共通建設と共有を堅持し、「一帯一路」実証区を作ることだ。第3回「一帯一路」国際協力サミットフォーラムの成果を実行に移し、インフラという「ハードの連結」とルール・標準という「ソフトの連結」を深める。われわれは「一帯一路」イニシアティブを積極的に推進し、域内諸国の発展戦略に合致させ、域内経済循環の円滑な流れと高度化を促進し、域内諸国の国民により多くの利益をもたらす。
二是坚持共谋发展，打造全球发展倡议先行区。要加快落实联合国2030年可持续发展议程，加强国际发展合作，促进改善民生。共同实施好《区域全面经济伙伴关系协定》，力争2024年内完成中国—东盟自贸区3.0版谈判。加快推进区域经济一体化和贸易合作便利化，拓展数字经济、绿色经济、海洋经济合作，培育合作新增长极。	第二に、我々は、共通の発展を求める原則を堅持し、グローバルな開発イニシアティブのパイオニア地帯を創造すべきである。我々は、国連「持続可能な開発のための2030アジェンダ」の実施を加速し、国際開発協力を強化し、人々の生活向上を促進すべきである。我々は、地域包括的経済連携協定を共同で実施し、中国・ASEAN FTA3.0の交渉を2024年内に完了するよう努力する。我々は、地域経済統合と貿易協力の円滑化を加速し、デジタル経済、グリーン経済、海洋経済における協力を拡大し、協力のための新たな成長ポールを開拓する。
三是坚持和衷共济，打造全球安全倡议实验区。要尊重各国自主选择的发展道路，反对外部势力干涉地区国家内政。旗帜鲜明反对冷战思维，决不让地缘冲突的悲剧在本地区上演。中国愿同东盟国家全面有效落实《南海各方行为宣言》，力争早日达成“南海行为准则”，共同建设和平之海、合作之海。对于历史遗留的争议问题，中国愿通过协商谈判寻求公平合理的解决方案，走亚洲共同安全之路。	第三に、われわれは調和と連帯の原則を堅持し、グローバルな安全保障構想の実験地帯を創造すべきである。我々は、各国が独自に選択した発展の道を尊重し、地域諸国の内政に対する外部勢力の干渉に反対すべきである。われわれは、冷戦的な考え方に明確に反対し、地政学的対立の悲劇をこの地域で展開させることは決してない。中国はASEAN諸国と協力し、南シナ海における当事国の行動に関する宣言を完全かつ効果的に実施し、南シナ海行動規範の早期妥結に努め、平和と協力の海を共同で構築することを望んでいる。歴史に残された論争の的となっている問題については、中国は協議と交渉を通じて公正かつ合理的な解決策を模索し、アジア共通の安全保障の道を歩むことを望んでいる。
四是坚持亚洲价值，打造全球文明倡议首善区。要从悠久历史和多元文化中汲取智慧，弘扬以和平、合作、包容、融合为核心的亚洲价值观，深化文明交流互鉴。以2024年举办“中国东盟人文交流年”等一系列活动为契机，拓展地区国家人文交流。推进体育、智库、媒体、旅游等领域交流，促进民心相通，不断筑牢相知相亲、世代友好的基石。	第四に、我々はアジアの価値観を堅持し、世界文明構想のプレミアゾーンを創造すべきである。長い歴史と多様な文化から知恵を引き出し、平和、協力、包摂、統合を中心とするアジアの価値観を推進し、文明間の交流と相互理解を深めるべきである。 2024年の「中国・ASEAN人文交流年」を契機として、域内諸国間の人文交流を拡大する。スポーツ、シンクタンク、メディア、観光などの分野での交流を推進し、人的交流を促進することで、相互理解と世代友好の礎を継続的に築いていく。

そのた...

王毅：让融合共生的潮流浩荡前行	王毅：統合と共生の潮流を前進させよう
王毅：让开放包容的理念发扬光大	王毅：開放と包摂の理念を前進させよう
王毅：让合作共赢的成果普惠各方	王毅：ウィンウィンの協力の成果をすべての当事者にもたらそう
王毅：让和平安全的传统薪火相传	王毅：平和と安全の伝統を次世代に伝えよう
王毅：亲诚惠容理念助力区域融合开拓新局面	王毅：近接、誠意、利益、寛容の理念は地域統合の新たな地平を切り開くのに役立つ
王毅：亲诚惠容推动务实合作迈上新台阶	王毅：近さ、誠意、利益、寛容が実務的協力を新たなレベルに押し上げる
王毅：亲诚惠容助力周边伙伴关系新提升	王毅：近さ、誠意、利益、寛容は近隣パートナーシップの強化に役立つ
王毅：亲诚惠容展现亚洲大家庭新力量	王毅：近さ、誠意、利益、寛容がアジア・ファミリーの新たな力を示す

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.10.17 中国第3回「一帯一路」サミット国際協力フォーラム（2023.10.17から）

2023.11.03 16:10 in 安全保障 | Permalink | Comments (0)
Tweet

日中平和友好条約45周年レセプション (2023.10.23)

こんにちは、丸山満彦です。

米中の安全保障問題に日本は過敏になり過ぎているところも多いのではないかと、元防衛関係の方と中国人が経営している中華料理屋さんで食事をしつつ思いました。。。

安全保障に関わる部分はどの国に対しても毅然とした態度であるべきであるけれども、基本的にはどの国とも友好的につきあうことをベースとすることは重要なのではないかと思います。。。

ちなみに、外務部長をまたすることになった王毅さん[wikipedia EN JP CN] は、学生時代に日本語を学び、1989年に駐日中国大使館に勤務し、2004年9月から2007年9月には駐日中国大使も務めるなど、日本とは関わりが深い方なんですね。。。

福田康夫元総理とも会談をしていますね。。。

2023.10.23 日中平和友好条約45周年レセプション

● 中国政府 - 外務部

・2023.10.24 王毅在纪念中日和平友好条约缔结45周年招待会上的致辞

王毅在纪念中日和平友好条约缔结45周年招待会上的致辞	日中平和友好条約締結45周年記念レセプションにおける王毅の挨拶
尊敬的福田康夫前首相，	福田康夫元首相
各位来宾，各位朋友：	来賓の皆様、友人の皆様：
大家晚上好！	皆さん、こんばんは！
很高兴与各位新老朋友一起，共同纪念中日和平友好条约缔结45周年。今天，两国领导人互致贺电，强调双方要重温缔约精神，牢牢把握两国关系的正确发展方向，致力于构建契合新时代要求的中日关系。在此，我首先代表中国政府，向今天的各位来宾，向长期以来致力于中日和平友好事业的各界朋友表示诚挚问候！	日中平和友好条約締結45周年を記念し、新旧の友人の皆様とご一緒できることを大変嬉しく思う。本日、両国首脳は祝賀メッセージを交換し、双方が条約の精神を再確認し、両国関係の正しい発展方向をしっかりと把握し、新時代の要求に合致した中日関係の構築に尽力する必要性を強調した。ここに、中国政府を代表し、本日のご来賓の皆様、そして中日両国の平和と友好のために長年尽力してこられた各界の友人の皆様に、心からのご挨拶を申し上げたい！
45年前，邓小平先生、福田赳夫先生等中日两国老一辈领导人本着以史为鉴、面向未来的精神，做出缔结和平友好条约的战略决断，以法律形式将和平友好确定为双方共同的目标和义务，树立了中日关系史上重要的里程碑。	今から45年前、鄧小平氏、福田赳夫氏をはじめとする中日両国の古い世代の指導者たちは、歴史に学び、未来を見据えるという精神に基づき、平和友好条約を締結するという戦略的な決定を下し、平和と友好を双方の共通の目標と義務として法的に定義し、中日関係の歴史に重要な一里塚を打ち立てた。
45年来，在包括和平友好条约在内的中日四个政治文件指引下，两国关系尽管历经波折，但依然砥砺前行，给两国人民带来重要福祉，为地区繁荣稳定发挥了重要作用。	過去45年間、平和友好条約を含む中日の4つの政治文書の指導の下、両国関係は浮き沈みしながらも前進を続け、両国国民に重要な利益をもたらし、地域の繁栄と安定に重要な役割を果たしてきた。
当前，面对变乱交织的国际形势，两国关系再次站在关键路口。习近平主席指出，中日关系的重要性没有变，也不会变。一个稳定互惠的中日关系，对两国至关重要，对亚洲不可或缺，对世界有重要影响。让我们以纪念缔约45周年为契机，牢记条约初心，恪守条约共识，践行条约原则，推动中日关系重回健康发展轨道。我们认为，	現在、両国は国際情勢の変化に直面し、再び重要な分岐点に立っている。習近平国家主席は、中日関係の重要性は変わっておらず、今後も変わることはないと指摘している。安定的で互恵的な中日関係は両国にとって不可欠であり、アジアにとって不可欠であり、世界に重要な影響を与える。条約45周年を契機に、条約の本来の精神を肝に銘じ、条約のコンセンサスを守り、条約の原則を実践し、中日関係を健全な発展の軌道に押し戻そう。我々は次のように考える。
对条约最好的纪念，就是坚持互尊互信，筑牢和平共处的政治根基。希望日方从战略高度把握好两国关系的正确方向，客观理性看待中国的发展振兴，将“互为合作伙伴、互不构成威胁”的重要共识体现到具体政策和行动中。历史、台湾等问题事关两国关系政治基础和基本信义，希望日方回归缔约初衷，铭记历史教训，尤其要警惕日本国内一些人煽动“台湾有事”等危险言论，确保中日关系政治根基不受损、不动摇，两国和平发展进程不偏航、不倒退。	条約を記念する最善の方法は、相互尊重と信頼を堅持し、平和共存のための確固たる政治的基礎を築くことである。日本側が両国関係の正しい方向性を戦略的に把握し、中国の発展と活性化を客観的かつ理性的に見つめ、「相互のパートナーであり脅威ではない」という重要なコンセンサスを具体的な政策と行動に移すことを希望する。歴史や台湾などの問題は、両国関係の政治的基盤や基本的信頼性に関わるものであり、日本側が条約の原点に立ち返り、歴史の教訓を肝に銘じ、特に日本国内の一部の人々が「台湾がおかしい」などと危険な発言を煽ることに警戒し、日中関係の政治的基盤が損なわれたり揺らぐことがないよう、また両国の平和的発展のプロセスが脇道にそれたり後退したりすることがないよう、努めていただきたい。
对条约最好的传承，就是坚持睦邻友好，改善两国关系的民意基础。中日互为重要近邻，睦邻友好是唯一正确选择。近年来两国国民感情不容乐观，同时舆论调查显示，两国年轻一代的相互好感度明显高于其他年龄段，这是中日关系未来发展的重要民意基础。两国间有着悠久历史渊源和紧密文化纽带，要充分发挥地理相近、人文相通的独特优势，持续开展多领域、多渠道友好交流，促进两国民众特别是年轻一代树立客观友善的相互认知，续写中日友好新的时代篇章。	条約を継承する最善の方法は、善隣友好の原則を堅持し、両国関係の世論基盤を改善することである。中国と日本は互いに重要な緊密な隣国であり、善隣は唯一の正しい選択である。近年、両国間の国民感情は楽観的とは言えないが、世論調査によると、両国の若い世代は他の年齢層に比べて相互親善の度合いが著しく高く、これは今後の中日関係の発展にとって重要な世論基盤である。両国は長い歴史と緊密な文化的結びつきを有しており、地理的近接性と人文コミュニケーションという独自の長所を十分に発揮し、引き続き多方面、多チャンネルで友好交流を行い、両国国民、特に若い世代の間に客観的で友好的な相互理解の確立を促進し、中日友好の新たな章を時代に刻み続けるべきである。
对条约最好的践行，就是坚持互利互惠，释放务实合作的巨大潜力。今年适逢中国改革开放45周年。45年来，中日互利合作从涓涓细流汇成浩荡江河，为两国人民带来重要福祉。当前中国大力推进高质量发展和高水平对外开放，必将给世界特别是邻国带来重要和持久机遇。就在上周，第三届“一带一路”国际合作高峰论坛在京成功举办，150多个国家和40多个国际组织共襄盛举，充分反映出团结合作、共谋发展仍然是时代主旋律。中日应牢固树立伙伴意识，反对“脱钩断链”，抵制“小院高墙”，不以所谓“经济安保”旗号人为设限，为地区乃至世界发展繁荣作出应有贡献。	条約を履行する最善の方法は、互恵を堅持し、現実的な協力の巨大な潜在力を引き出すことである。今年は中国の改革開放45周年にあたるが、この45年間、中日両国の互恵協力は小水から大河へと成長し、両国の国民に重要な利益をもたらしてきた。現在、中国は質の高い発展とハイレベルな対外開放を精力的に推進しており、これは世界、特に近隣諸国に重要かつ永続的なチャンスをもたらすに違いない。先週、北京で第3回「一帯一路」国際協力サミットフォーラムが成功裏に開催され、150以上の国と40以上の国際機関が参加した。中日両国は、パートナーシップの意識をしっかりと確立し、「鎖国と断絶」に反対し、「小さな庭と高い壁」に抵抗し、いわゆる「経済安全保障」の旗印の下で人為的な制限を設けることを控え、地域と世界の発展と繁栄に相応の貢献を行うべきである。我々は、地域と世界の発展と繁栄に相応の貢献をする。
各位朋友，	親愛なる諸君。
当今世界并不太平，乌克兰危机战火未泯，巴以冲突硝烟又起。亚洲作为全球经济增长重要引擎，保持着和平稳定大局，迎来历史性崛起机遇。求和平、谋发展，不仅符合地区各国人民共同利益，也是地区国家的共同愿望。中日同处亚洲，对这一地区的未来负有责任。我们要顺应时代的发展大势，践行真正的多边主义，弘扬开放的区域主义，倡导“和合共生”的东方哲学，反对制造意识形态对立，拒绝挑动“新冷战”的倒行逆施，为维护地区和平稳定注入更多正能量，为应对全球性挑战提供更多新动力。	今日の世界は、ウクライナ危機が依然として激化し、イスラエル・パレスチナ紛争が再燃するなど、決して平和な場所ではない。アジアは、世界経済成長の重要なエンジンとして、平和と安定を維持し、歴史的な上昇の機会を手にしている。平和と発展を求めることは、この地域の人々の共通の利益であるだけでなく、この地域の国々の共通の願いでもある。中国と日本は共にアジアにあり、この地域の未来に責任を負っている。我々は、時代の発展の流れに従い、真の多国間主義を実践し、開かれた地域主義を推進し、「調和と共存」という東洋の理念を提唱し、イデオロギー対立の創出に反対し、「新冷戦」をあおる陋習を拒否し、地域の平和と安定を維持すべきである。われわれは、地域の平和と安定の維持により積極的なエネルギーを注入し、グローバルな課題に対処するための新たな原動力を提供する。
各位朋友，	友人たち
邻居可以选择，邻国不能选择。和平共处、世代友好是邻国之间的正确相处之道。让我们恪守条约精神，坚守和平信念，推动中日关系继往开来、行稳致远，为亚洲和世界的和平、稳定与发展做出新的贡献。	隣人は選ぶことができるが、隣人は選ぶことができない。平和的共存と世代を超えた友情こそが、隣国とうまくやっていくための正しい道である。条約の精神を守り、平和への信念を堅持し、未来に向けて中日関係を促進し、アジアと世界の平和、安定、発展に新たな貢献をしよう。
谢谢大家。	ありがとう。

レセプション出席についての記事

・2023.10.24 王毅出席纪念中日和平友好条约缔结45周年招待会

王毅出席纪念中日和平友好条约缔结45周年招待会	王毅、日中平和友好条約締結45周年記念レセプションに出席
2023年10月23日晚，中共中央政治局委员、中央外办主任王毅在钓鱼台国宾馆出席纪念中日和平友好条约缔结45周年招待会。日本前首相福田康夫和约200名中日各界代表出席。	2023年10月23日夜、中国共産党中央委員会政治局委員兼中央対外連絡弁公室主任の王毅氏は釣魚台国賓館で開かれた日中平和友好条約締結45周年記念レセプションに出席した。福田康夫元首相をはじめ、中日両国の各界代表約200人が出席した。
王毅首先代表中国政府向长期以来致力于中日和平友好事业的各界朋友表示诚挚问候。王毅说，45年前，邓小平、福田赳夫等中日两国老一辈领导人本着以史为鉴、面向未来的精神，作出缔结中日和平友好条约的战略决断，以法律形式将和平友好确定为双方共同的目标和义务，树立了中日关系史上重要的里程碑。45年来，在包括和平友好条约在内的中日四个政治文件指引下，中日关系尽管历经波折，但依然砥砺前行，给两国人民带来重要福祉，为地区繁荣稳定发挥了重要作用。	中国政府を代表し、王毅氏はまず、中日両国の平和と友好のために長年尽力してきた各界の友人に心からの挨拶を述べた。王毅氏は、「45年前、鄧小平、福田赳夫ら中日旧世代の指導者たちは、歴史に学び、未来を見据える精神で、中日平和友好条約を締結するという戦略的決定を下し、平和と友好を双方の共通の目標と義務として法的に確立し、中日関係の歴史に重要な一里塚を打ち立てた。過去45年間、平和友好条約を含む4つの中日政治文書の指導の下、中日関係は浮き沈みがあったものの、成功を収めてきた。過去45年間、平和友好条約を含む4つの政治文書の指導の下、中日関係は浮き沈みにもかかわらず前進し、両国国民に重要な利益をもたらし、地域の繁栄と安定に重要な役割を果たしてきた。
王毅指出，当前，面对变乱交织的国际形势，中日关系再次站在关键路口。习近平主席指出，中日关系的重要性没有变，也不会变。一个稳定互惠的中日关系对两国至关重要，对亚洲不可或缺，对世界有重要影响。今天，两国领导人互致贺电，强调双方要重温缔约精神，致力于构建契合新时代要求的中日关系。我们要以纪念缔约45周年为契机，牢记条约初心，恪守条约共识，践行条约原则，推动中日关系重回健康发展轨道。	王毅国家主席は、変化と混乱に包まれた国際情勢を前に、現在、中日関係は再び重要な分岐点に立っていると指摘した。習近平国家主席は、中日関係の重要性は変わっていないし、これからも変わらないと指摘した。安定的で互恵的な中日関係は両国にとって不可欠であり、アジアにとって不可欠であり、世界に重要な影響を与える。本日、両国首脳は祝賀のメッセージを交換し、双方が条約の精神を再検討し、新時代の要求に合致した中日関係の構築にコミットする必要性を強調した。条約締結45周年を契機として、条約本来の精神を肝に銘じ、条約のコンセンサスを遵守し、条約の原則を実践し、中日関係の健全な発展を軌道に戻すよう推進すべきである。
王毅强调，对条约最好的纪念，就是坚持互尊互信，筑牢和平共处的政治根基。希望日方从战略高度把握好两国关系的正确方向，客观理性看待中国的发展振兴，将“互为合作伙伴、互不构成威胁”的重要共识体现到具体政策和行动中。历史、台湾等问题事关两国关系政治基础和基本信义，希望日方回归缔约初衷，铭记历史教训，确保中日关系政治根基不受损、不动摇，两国和平发展进程不偏航、不倒退。	王毅氏は、条約を記念する最善の方法は、相互尊重と相互信頼を堅持し、平和共存の政治的基礎を築くことだと強調した。日本側が両国関係の正しい方向性を戦略的に把握し、中国の発展と活性化を客観的かつ理性的に見つめ、「相互パートナー、非脅威」という重要なコンセンサスを具体的な政策と行動に反映させることが望まれる。歴史、台湾、その他の問題は、両国関係の政治的基盤やその基本的信頼性に関わるものであり、日本側が条約の本来の趣旨に立ち返り、歴史の教訓を念頭に置き、日中関係の政治的基盤が損なわれたり揺らぐことがないよう、また両国の平和的発展のプロセスが脇道にそれたり後退したりすることがないよう、配慮することを希望する。
对条约最好的传承，就是坚持睦邻友好，改善两国关系的民意基础。中日互为重要近邻，有着悠久历史渊源和紧密文化纽带，睦邻友好是双方唯一正确选择。要充分发挥两国地理相近、人文相通的独特优势，持续开展多领域、多渠道友好交流，促进两国民众特别是年轻一代树立客观友善的相互认知，续写中日友好新的时代篇章。	条約を継承する最善の方法は、善隣関係を堅持し、両国関係の世論基盤を改善することである。中国と日本は、長い歴史的ルーツと緊密な文化的結びつきを持つ重要な緊密な隣国であり、善隣関係は双方にとって唯一の正しい選択である。両国の地理的近接性と人文交流という独自の長所を十分に発揮し、多方面、多チャンネルで友好交流を継続し、両国国民、特に若い世代が客観的で友好的な相互理解を確立することを促進し、中日友好の新たな章を時代に刻み続けるべきである。
对条约最好的践行，就是坚持互利互惠，释放务实合作的巨大潜力。中国改革开放45年来，中日互利合作从涓涓细流汇成浩荡江河，为两国人民带来重要福祉。当前中国大力推进高质量发展和高水平对外开放，必将给世界特别是邻国带来重要和持久机遇。中日应牢固树立伙伴意识，反对“脱钩断链”，抵制“小院高墙”，不以所谓“经济安保”旗号人为设限，为地区乃至世界发展繁荣作出应有贡献。	条約を実践する最善の方法は、互恵を堅持し、実務的協力の巨大な潜在力を引き出すことである。中国の改革開放の過去45年間、中日間の互恵協力は小水から大河へと成長し、両国の国民に重要な利益をもたらしてきた。現在、中国は質の高い発展とハイレベルな対外開放を精力的に推進しており、これは世界、特に近隣諸国に重要かつ永続的なチャンスをもたらすに違いない。中日両国は、パートナーシップ意識をしっかりと確立し、「鎖国と断絶」に反対し、「小さな庭と高い壁」に抵抗し、いわゆる「経済安全保障」の旗印を使って人為的な制限を設けず、地域と世界の発展と繁栄に相応の貢献をすべきである。我々は、地域と世界の発展と繁栄に相応の貢献をする。
王毅指出，当今世界并不太平，亚洲作为全球经济增长重要引擎，保持着和平稳定大局，迎来历史性崛起机遇。中日同处亚洲，对亚洲地区的未来负有责任。我们要顺应时代发展大势，践行真正的多边主义，弘扬开放的区域主义，倡导“和合共生”的东方哲学，反对制造意识形态对立，拒绝挑动“新冷战”的倒行逆施，为维护地区和平稳定注入更多正能量，为应对全球性挑战提供更多新动力。	王毅は、今日の世界は平和ではなく、アジアは世界経済成長の重要なエンジンとして、平和と安定を維持し、上昇する歴史的な機会を切り開いていると指摘した。中国と日本はアジアに位置し、アジア地域の将来に対する責任がある。我々は、時代の発展の流れに従い、真の多国間主義を実践し、開かれた地域主義を推進し、「調和と共存」という東洋の理念を提唱し、イデオロギー的対立の創出に反対し、「新冷戦」を扇動する陋習を拒否し、地域の平和と安定を維持すべきである。これは、地域の平和と安定の維持により積極的なエネルギーを注入し、世界的な課題に対処するための新たな原動力となる。
王毅表示，邻居可以选择，邻国不能选择。和平共处、世代友好是邻国正确相处之道。让我们恪守条约精神，坚守和平信念，推动中日关系继往开来、行稳致远，为亚洲和世界的和平、稳定与发展作出新的贡献。	王毅は、隣国は選ぶことができるが、隣国は選ぶことができないと述べた。平和的共存と世代を超えた友情は、隣国が仲良くするための正しい道である。条約の精神を守り、平和への信念を堅持し、中日関係が着実に前進するよう促進し、アジアと世界の平和、安定、発展に新たな貢献をしよう」と述べた。
福田康夫在致辞中表示，日中缔结和平友好条约意义重大。条约缔结以来，中国经济实现快速发展，日中合作也取得重要成果。日方愿同中方一道，弘扬条约宗旨，克服面临的困难，为进一步促进日中睦邻友好，深化日中和平、友好、合作而不懈努力。	福田康夫首相はスピーチの中で、日中平和友好条約の締結には大きな意義があると述べた。条約締結以来、中国経済は急速な発展を遂げ、日中協力は重要な成果を上げている。日本は中国と協力して条約の趣旨を継承し、直面する困難を克服し、日中善隣友好をさらに促進し、日中平和友好協力を深化させるためにたゆまぬ努力を惜しまない。
招待会由中国人民对外友好协会和中国日本友好协会共同举办。	レセプションは中国人民対外友好協会と中日友好協会の共催で行われた。

福田康夫元総理との会談

・2023.10.24 王毅会见福田康夫率领的日本友好人士访华团

王毅会见福田康夫率领的日本友好人士访华团	王毅氏、福田康夫氏率いる訪中日本友好奨学生代表団と会見
2023年10月23日，中共中央政治局委员、中央外办主任王毅在钓鱼台国宾馆会见由日本前首相福田康夫率领的日本友好人士访华团。	2023年10月23日、王毅中国共産党中央委員会政治局委員兼中央対外連絡弁公室主任は釣魚台国賓館で福田康夫元首相率いる日本友好訪中団と会見した。
王毅表示，今年是中日和平友好条约缔结45周年，是中日关系承前启后的重要年头。今天则是条约生效纪念日，是一个值得共同纪念的重要日子。45年前，两国领导人审时度势，作出缔结和平友好条约的战略决断，以法律形式确认了中日联合声明规定的各项原则，提出了两国关系发展的前进方向。双方应以条约缔结45周年为契机，以史为鉴、开辟未来，坚守初心、与时俱进，共同构建契合新时代要求的中日关系。	王毅氏は、今年は中日平和友好条約締結45周年であり、中日関係にとって重要な年であると述べた。今日は条約発効記念日であり、共に記念する価値のある重要な日である。45年前、両国の指導者は情勢を見極め、平和友好条約を締結するという戦略的決定を下し、中日共同宣言に規定された原則を法律という形で確認し、両国関係発展の道筋を提示した。双方は条約締結45周年を契機に、歴史に学び、未来を切り開き、原精神を堅持し、時代とともに前進し、新時代の要求に合致した中日関係を共同で構築すべきである。
王毅指出，当前中日关系面临复杂局面，这不符合两国人民利益。希望日本政府对华政策尽快回归积极、务实、正确的轨道。当年缔结和约的福田赳夫首相曾向邓小平先生表示，和平友好条约为两国架起了一座牢固的“铁桥”。45年后的今天，我们不能让这座“铁桥”生锈，更不能让它坍塌，而是应共同努力，不断巩固它，让“铁桥”变成“钢桥”，成为联结两国人民的牢固纽带。国与国关系说到底是人民与人民之间的关系，希望日本各界有识之士继续发扬以民促官的传统，为中日友好事业作出不懈努力。	王毅氏は、中日関係は現在複雑な状況に直面しており、両国民の利益にはならないと指摘した。日本政府の対中政策が一刻も早く、前向きで現実的な正しい軌道に戻ることが望まれる」と述べた。平和条約を締結した福田赳夫首相は、かつて鄧小平氏に、平和友好条約は両国の間に強固な「鉄の橋」を築いた、45年後の今日、この「鉄の橋」を錆びつかせるのではなく、ましてや崩壊させるのでもなく、共同で強化に努めるべきだと語った。 45年後の今日、私たちはこの「鉄の橋」を錆び付かせることなく、ましてや崩壊させることなく、「鉄の橋」が「鉄の橋」となり、両国民の強い絆となるよう、力を合わせて強固なものにしていかなければならない。最終的には、国と国との関係は人と人との関係であり、日本の各界の人々が、人民とともに政府を推し進める伝統を継承し、日中友好の大義のためにたゆまぬ努力を続けることを願っている。
福田康夫表示，日中是邻国，两国关系十分重要。日方愿以两国缔结和平友好条约45周年为契机，同中方保持高层交往，增信释疑，深化经贸、人文等领域交流合作，推动日中关系稳定发展。	福田康夫首相は、日本と中国は隣国であり、両国の関係は非常に重要であると述べた。日本は、日中平和友好条約締結45周年を契機に、中国とのハイレベルな交流を維持し、信頼を高め、疑念を払拭し、経済・貿易、人文などの分野での交流・協力を深め、日中関係の安定的な発展を促進していきたい」と述べた。

● 外務省

・2023.10.23日中平和友好条約45周年レセプションにおける上川外務大臣挨拶

・2023.10.23 日中平和友好条約45周年に関する日中両国首脳・外相間のメッセージ交換

・2023.10.23 [PDF] 岸田文雄内閣総理大臣と李強中国国務院総理とのメッセージの交換

・2023.10.23 [PDF] 上川陽子外務大臣と王毅中国外交部長とのメッセージの交換

2023.11.03 14:45 in 安全保障 | Permalink | Comments (0)
Tweet

NIST SP 1800-36 (初期ドラフト第2版) 信頼できるIoT機器のネットワーク層の実装とライフサイクル管理：インターネットプロトコルベースのIoT機器とネットワークのセキュリティ強化 (B,C,E)

こんにちは、丸山満彦です。

NISTがIPベースのIoTデバイスとネットワークのセキュリティ強化のための実践ガイドの初期ドラフト第2版を公表、意見募集をしていますね。。。

昨年12月にA（エグゼクティブサマリー）が、今年の5月にBからEが、そして、9月末はAとDの改訂ドラフト、今回は残りのB, C, Eの改訂ドラフトですね。。。

● NNCoE

・2023.10.31 NCCoE Releases Drafts for NIST SP 1800-36, Trusted IoT Onboarding (Vols. B, C, and E)

● NIST- ITL

・2023.10.31 NIST SP 1800-36 (2nd Preliminary Draft) Trusted Internet of Things (IoT) Device Network-Layer Onboarding and Lifecycle Management: Enhancing Internet Protocol-Based IoT Device and Network Security

・

・[PDF] NIST SP 1800-36B 2prd Approach, Architecture, and Security Characteristics

・アプローチ、アーキテクチャ、セキュリティの特徴

目次...

1 Summary	1 概要
1.1 Challenge	1.1 課題
1.2 Solution.	1.2 解決策
1.3 Benefits	1.3 メリット
2 How to Use This Guide	2 このガイドの使い方
2.1 Typographic Conventions	2.1 タイポグラフィの規則
3 Approach	3 アプローチ
3.1 Audience	3.1 想定読者
3.2 Scope	3.2 適用範囲
3.3 Assumptions and Definitions.	3.3 前提条件と定義
3.3.1 Credential Types	3.3.1 クレデンシャルタイプ
3.3.2 Integrating Security Enhancements	3.3.2 セキュリティ強化の統合
3.3.3 Device Limitations	3.3.3 機器の制限事項
3.3.4 Specifications Are Still Improving	3.3.4 仕様はまだ改善中
3.4 Collaborators and Their Contributions	3.4 協力者とその貢献
3.4.1 Aruba, a Hewlett Packard Enterprise Company	3.4.1 ヒューレット・パッカード・エンタープライズ：アルーバ
3.4.2 CableLabs	3.4.2 ケーブルラボ
3.4.3 Cisco	3.4.3 シスコ
3.4.4 Foundries.io	3.4.4 Foundries.io
3.4.5 Kudelski IoT	3.4.5 クデルスキーIoT
3.4.6 NquiringMinds	3.4.6 NquiringMinds
3.4.7 NXP Semiconductors	3.4.7 NXPセミコンダクターズ
3.4.8 Open Connectivity Foundation (OCF)	3.4.8 オープン・コネクティビティ・ファンデーション（OCF）
3.4.9 Sandelman Software Works	3.4.9 サンデルマンソフトウェアワークス
3.4.10 SEALSQ, a subsidiary of WISeKey	3.4.10 SEALSQ：WISeKeyの子会社
3.4.11 VaultIC405	3.4.11 VaultIC405
3.4.12 Silicon Labs.	3.4.12 シリコンラボ
4 Reference Architecture	4 リファレンス・アーキテクチャ
4.1 Device Manufacture and Factory Provisioning Process	4.1 機器の製造と工場での準備プロセス
4.2 Device Ownership and Bootstrapping Information Transfer Process	4.2 機器の所有権とブートストラップ情報転送プロセス
4.3 Trusted Network-Layer Onboarding Process	4.3 信頼されたネットワーク層の実装プロセス
4.4 Trusted Application-Layer Onboarding Process	4.4 信頼されたアプリケーション層の実装プロセス
4.5 Continuous Verification	4.5 継続的検証
5 Laboratory Physical Architecture	5 ラボ物理アーキテクチャ
5.1 Shared Environment	5.1 共有環境
5.1.1 Domain Controller	5.1.1 ドメインコントローラ
5.1.2 Jumpbox	5.1.2 ジャンプボックス
5.2 Build 1 (Wi-Fi Easy Connect, Aruba/HPE) Physical Architecture	5.2 ビルド1（Wi-Fi Easy Connect、アルーバ/HPE）物理アーキテクチャ
5.3 Build 2 (Wi-Fi Easy Connect, CableLabs, OCF) Physical Architecture	5.3 ビルド2（Wi-Fi Easy Connect、ケーブルラボ、OCF）物理アーキテクチャ
5.4 Build 3 (BRSKI, Sandelman Software Works) Physical Architecture	5.4 ビルド3（BRSKI、Sandelman Software Works）物理アーキテクチャ
5.5 Build 4 (Thread, Silicon Labs, Kudelski IoT) Physical Architecture	5.5 ビルド4 (Thread、Silicon Labs、Kudelski IoT) 物理アーキテクチャ
5.6 Build 5 (BRSKI, NquiringMinds) Physical Architecture	5.6 ビルド5（BRSKI、NquiringMinds）物理アーキテクチャ
5.7 BRSKI Factory Provisioning Build Physical Architecture	5.7 BRSKI Factory 準備ビルド物理アーキテクチャ
5.8 Wi-Fi Easy Connect Factory Provisioning Build Physical Architecture	5.8 Wi-Fi Easy Connect Factory Provisioning ビルド物理アーキテクチャ
6 General Findings	6 一般的な知見
6.1 Wi-Fi Easy Connect	6.1 Wi-Fi Easy Connect
6.1.1 Mutual Authentication	6.1.1 相互認証
6.1.2 Mutual Authorization	6.1.2 相互認可
6.1.3 Secure Storage	6.1.3 安全なストレージ
6.2 BRSKI	6.2 BRSKI
6.2.1 Reliance on the Device Manufacturer	6.2.1 機器・メーカーへの依存
6.2.2 Mutual Authentication	6.2.2 相互認証
6.2.3 Mutual Authorization	6.2.3 相互認証
7 Future Build Considerations	7 将来の構築に関する考慮事項
7.1 Network Authentication	7.1 ネットワーク認証
7.2 Device Intent	7.2 機器の意図
7.3 Integration with a Lifecycle Management Service	7.3 ライフサイクル管理サービスとの統合
7.4 Network Credential Renewal	7.4 ネットワーク・クレデンシャルの更新
7.5 Integration with Supply Chain Management Tools	7.5 サプライチェーン管理ツールとの統合
7.6 Attestation	7.6 認証
7.7 Mutual Attestation	7.7 相互認証
7.8 Behavioral Analysis	7.8 行動分析
7.9 Device Trustworthiness Scale	7.9 機器信頼性尺度
7.10 Resource Constrained Systems	7.10 資源制約のあるシステム
Appendix A List of Acronyms	附属書A 略語一覧
Appendix B Glossary	附属書B 用語集
Appendix C Build 1 (Wi-Fi Easy Connect, Aruba/HPE)	附属書C 構築1（Wi-Fi Easy Connect、アルーバ/HPE）
C.1 Technologies	C.1 技術
C.2 Build 1 Architecture	C.2 ビルド 1 アーキテクチャ
C.2.1 Build 1 Logical Architecture	C.2.1 ビルド1 論理アーキテクチャ
C.2.2 Build 1 Physical Architecture	C.2.2 ビルド1 物理アーキテクチャ
Appendix D Build 2 (Wi-Fi Easy Connect, CableLabs, OCF)	附属書D ビルド2（Wi-Fi Easy Connect、ケーブルラボ、OCF）
D.1 Technologies	D.1 技術
D.2 Build 2 Architecture	D.2 ビルド2 アーキテクチャ
D.2.1 Build 2 Logical Architecture	D.2.1 ビルド2 論理アーキテクチャ
D.2.2 Build 2 Physical Architecture	D.2.2 ビルド2 物理アーキテクチャ
Appendix E Build 3 (BRSKI, Sandelman Software Works)	附属書E ビルド3（BRSKI、Sandelman Software Works）
E.1 Technologies	E.1 技術
E.2 Build 3 Architecture	E.2 ビルド3 アーキテクチャ
E.2.1 Build 3 Logical Architecture	E.2.1 ビルド3 論理アーキテクチャ
E.2.2 Build 3 Physical Architecture	E.2.2 ビルド3 物理アーキテクチャ
Appendix F References	附属書F 参考文献

・[PDF] NIST SP 1800-36C 2prd How-To Guides

・利用ガイド

目次...

1 Introduction	1 序文
1.1 How to Use This Guide	1.1 このガイドの使い方
1.2 Build Overview	1.2 ビルドの概要
1.2.1 Reference Architecture Summary	1.2.1 リファレンスアーキテクチャの概要
1.2.2 Physical Architecture Summary	1.2.2 物理アーキテクチャの概要
1.3 Typographic Conventions	1.3 タイポグラフィの規則
2 Build 1 (Wi-Fi Easy Connect, Aruba/HPE)	2 ビルド 1（Wi-Fi Easy Connect、アルーバ/HPE）
2.1 Aruba Central/Hewlett Packard Enterprise (HPE) Cloud	2.1 アルーバ Central/Hewlett Packard Enterprise（HPE）クラウド
2.2 Aruba Wireless Access Point	2.2 アルーバワイヤレス・アクセス・ポイント
2.2.1 Wi-Fi Network Setup/Configuration	2.2.1 Wi-Fi ネットワークの設定/構成
2.2.2 Wi-Fi Easy Connect Configuration	2.2.2 Wi-Fi Easy Connectの設定
2.3 Cisco Catalyst 3850-S Switch	2.3 Cisco Catalyst 3850-Sスイッチ
2.3.1 Configuration	2.3.1 設定
2.4 Aruba User Experience Insight (UXI) Sensor	2.4 アルーバ User Experience Insight (UXI) センサー
2.4.1 Configuration	2.4.1 構成
2.5 Raspberry Pi	2.5 Raspberry Pi
2.5.1 Configuration	2.5.1 構成
2.5.2 DPP Onboarding	2.5.2 DPP 実装
2.6 Certificate Authority	2.6 認証局
2.6.1 Private Certificate Authority	2.6.1 プライベート認証局
2.6.2 SEALSQ INeS	2.6.2 SEALSQ INeS
2.7 UXI Cloud	2.7 UXIクラウド
3 Build 2 (Wi-Fi Easy Connect, CableLabs, OCF)	3 ビルド 2 (Wi-Fi Easy Connect、ケーブルラボ、OCF)
3.1 CableLabs Platform Controller	3.1 ケーブルラボプラットフォームコントローラ
3.1.1 Operation/Demonstration	3.1.1 操作/デモンストレーション
3.2 CableLabs Custom Connectivity Gateway	3.2 ケーブルラボカスタム接続ゲートウェイ
3.2.1 Installation/Configuration	3.2.1 インストール/設定
3.2.2 Integration with CableLabs Platform Controller	3.2.2 ケーブルラボプラットフォームコントローラーとの統合
3.2.3 Operation/Demonstration	3.2.3 操作/デモンストレーション
3.3 Reference Clients/IoT Devices	3.3 リファレンスクライアント/IoT機器
3.3.1 Installation/Configuration	3.3.1 インストール/設定
3.3.2 Operation/Demonstration	3.3.2 操作/デモンストレーション
4 Build 3 (BRSKI, Sandelman Software Works)	4 ビルド3（BRSKI、サンデルマンソフトウェアワークス）
4.1 Onboarding Router/Join Proxy	4.1 オンボード・ルーター/ジョイン・プロキシ
4.1.1 Setup and Configuration	4.1.1 セットアップと設定
4.2 Minerva Join Registrar Coordinator	4.2 Minerva Joinレジストラコーディネータ
4.2.1 Setup and Configuration	4.2.1 セットアップと設定
4.3 Reach Pledge Simulator	4.3 リーチ誓約シミュレーター
4.3.1 Setup and Configuration	4.3.1 セットアップと設定
4.4 Serial Console Server	4.4 シリアルコンソールサーバー
4.5 Minerva Highway MASA Server	4.5 Minerva Highway MASAサーバー
4.5.1 Setup and Configuration	4.5.1 セットアップと設定
4.6 IoT Devices	4.6 IoT機器
4.6.1 Setup/Installation	4.6.1 セットアップ/インストール
4.7 SEALSQ Certificate Authority	4.7 SEALSQ認証局
5 Build 4 (Thread, Silicon Labs, Kudelski IoT)	5 ビルド4（Thread、Silicon Labs、Kudelski IoT）
6 Build 5 (BRSKI, NquiringMinds)	6 ビルド 5（BRSKI、NquiringMinds）
7 Factory Provisioning Builds	7 ファクトリー・準備ビルド
Appendix A List of Acronyms	附属書 A 頭字語リスト
Appendix B References	附属書 B 参考文献

・[PDF] NIST SP 1800-36E 2prd Risk and Compliance Management

・リスク・コンプライアンス・マネジメント

目次...

1 Introduction	1 序文
1.1 How to Use This Guide	1.1 本ガイドの使用方法
2 Risks Addressed by Trusted Network-Layer Onboarding and Lifecycle Management	2 信頼されるネットワーク層の実装とライフサイクル管理で対処されるリスク
2.1 Risks to the Network	2.1 ネットワークに対するリスク
2.1.1 Risks to the Network Due to Device Limitations	2.1.1 機器の制限によるネットワークへのリスク
2.1.2 Risks to the Network Due to Use of Shared Network Credentials	2.1.2 共有ネットワーククレデンシャルの使用によるネットワークへのリスク
2.1.3 Risks to the Network Due to Insecure Network Credential Provisioning	2.1.3 安全でないネットワーククレデンシャルプロビジョニングによるネットワークへのリスク
2.1.4 Risks to the Network Due to Supply Chain Attacks	2.1.4 サプライチェーン攻撃によるネットワークへのリスク
2.2 Risks to the Device	2.2 機器へのリスク
2.3 Risks to Secure Lifecycle Management	2.3 安全なライフサイクルマネジメントに対するリスク
2.4 Limitations and Dependencies of Trusted Onboarding	2.4 信頼された実装の限界と依存関係
3 Mapping Use Cases, Approach, and Terminology	3 ユースケース、アプローチ、用語のマッピング
3.1 Use Cases	3.1 ユースケース
3.2 Mapping Producers	3.2 生産者のマッピング
3.3 Mapping Approach	3.3 マッピングのアプローチ
3.3.1 Mapping Terminology	3.3.1 マッピング用語
3.3.2 Mapping Process	3.3.2 マッピングプロセス
4 Mappings	4 マッピング
4.1 NIST CSF Subcategory Mappings	4.1 NIST CSF サブカテゴリーのマッピング
4.1.1 Mappings Between Reference Design Functions and NIST CSF Subcategories	4.1.1 参照設計機能と NIST CSF サブカテゴリーとの間のマッピング
4.1.2 Mappings Between Specific Onboarding Protocols and NIST CSF Subcategories	4.1.2 特定の実装・プロトコルと NIST CSF サブカテゴリーとの間のマッピング
4.1.3 Mappings Between Specific Builds and NIST CSF Subcategories	4.1.3 特定のビルドと NIST CSF サブカテゴリーとの間のマッピング
4.2 NIST SP 800-53 Control Mappings	4.2 NIST SP 800-53 コントロールマッピング
4.2.1 Mappings Between Reference Design Functions and NIST SP 800-53 Controls	4.2.1 参照設計機能と NIST SP 800-53 コントロールとの間のマッピング
4.2.2 Mappings Between Specific Onboarding Protocols and NIST SP 800-53 Controls	4.2.2 特定の実装・プロトコルと NIST SP 800-53 コントロールとの間のマッピング
4.2.3 Mappings Between Specific Builds and NIST SP 800-53 Controls	4.2.3 特定のビルドと NIST SP 800-53 コントロールとの間のマッピング
Appendix A References	附属書 A 参考文献

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.09.30 NIST SP 1800-36 (初期ドラフト第2版) 信頼できるIoTデバイスのネットワーク層オンボーディングとライフサイクル管理：インターネットプロトコルベースのIoTデバイスとネットワークのセキュリティ強化 (A,D)

・2023.05.07 米国 NIST SP 1800-36 (ドラフト) 信頼できるIoTデバイスのネットワーク層オンボーディングとライフサイクル管理：インターネットプロトコルベースのIoTデバイスとネットワークのセキュリティ強化（初期ドラフト）(2023.05.03)

・2022.12.13 NIST SP 1800-36 (ドラフト) 信頼できるIoTデバイスのネットワーク層オンボーディングとライフサイクル管理：インターネットプロトコルベースのIoTデバイスとネットワークのセキュリティ強化（初期ドラフト）(2022.12.05)

SP 800-213, NIST IR 8259関係

・2022.05.19 NIST IoTセキュリティ関連の文書についてNISTのブログで簡単に説明されていますね。。。

・2021.11.30 NIST SP 800-213 連邦政府のためのIoTデバイスサイバーセキュリティ・ガイダンス：IoTデバイスのサイバーセキュリティ要件の確立、SP 800-213A 連邦政府のためのIoTデバイスサイバーセキュリティ・ガイダンス：IoTデバイス・サイバーセキュリティ要件カタログ

・2021.08.29 NISTIR 8259B IoT非技術的支援能力コアベースライン

・2020.12.17 NIST SP 800-213 (Draft) 連邦政府向け「 IoTデバイスサイバーセキュリティ要件の確立」、NISTIR 8259B、8259C、8259D

・2020.05.30 NIST IoT機器製造者向けセキュリティの実践資料 NISTIR 8259 Foundational Cybersecurity Activities for IoT Device Manufacturers, NISTIR 8259A IoT Device Cybersecurity Capability Core Baseline

・2020.02.06 NISTがIoT機器製造者向けセキュリティの実践資料のドラフト（Ver.2）を公開していますね。。。

IoTのネットワーク関係

・2022.01.21 NISTIR 8349（ドラフト）IoTデバイスのネットワーク動作を特徴づける方法論 at 2022.01.11

消費者向けの方...

・2023.07.19 米国消費者向けIoT製品のセキュリティ認証制度、サイバートラスト・マーク (U.S. Cyber Trust Mark) を発表

・2022.02.07 NIST ホワイトペーパー：消費者向けソフトウェアのサイバーセキュリティラベルの推奨規準

・2022.02.06 NIST ホワイトペーパー：消費者向けIoT製品のサイバーセキュリティラベルの推奨規準

・2021.09.02 NIST ホワイトペーパー（ドラフト）：消費者向けIoTデバイスのベースライン・セキュリティ基準

・2021.05.15 NIST White Paper ドラフト IoTデバイスセキュリティの信頼を確立するために：どうすればいいのか？

・2021.03.31 NISTIR 8333 「消費者向け家庭用IoT製品におけるサイバーセキュリティ・リスク」に関するオンラインワークショップの要旨

法制化の件...

・2020.11.19 米国 2020年IoTサイバーセキュリティ改善法が上院を通過

・2020.10.01 米国連邦政府がIoT製品を調達するためのガイドラインの法制化が近づいている？

2023.11.03 06:40 in 情報セキュリティ / サイバーセキュリティ, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in IoT | Permalink | Comments (0)
Tweet

米国 OMB AI実施ガイダンス案

こんにちは、丸山満彦です。

先日、AIに関する大統領令がでましたが、その大統領令を受けて、OMB（行政管理予算局）が実施ガイダンス案（2023.12.05まで意見を受け付け）を公開していますね。。。

最高AI責任者（CAIO: Chief AI Officer）の設置が求められていますね。。。

CAIOは、連邦政府でのAIの利用促進とリスク管理の両方をすることになっていますね。。。

OMB Releases Implementation Guidance Following President Biden’s Executive Order on Artificial Intelligence	OMB、バイデン大統領による人工知能に関する大統領令を受け、実施ガイダンスを発表
This week, President Biden signed a landmark Executive Order on the Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence. As the United States takes action to realize the tremendous promise of AI while managing its risks, the federal government will lead by example and provide a model for the responsible use of the technology. As part of this commitment, today, ahead of the UK Safety Summit, Vice President Harris will announce that the Office of Management and Budget (OMB) is releasing for comment a new draft policy on Advancing Governance, Innovation, and Risk Management for Agency Use of Artificial Intelligence. This guidance would establish AI governance structures in federal agencies, advance responsible AI innovation, increase transparency, protect federal workers, and manage risks from government uses of AI.	今週、バイデン大統領は、人工知能の安全、安心、信頼できる開発と利用に関する画期的な大統領令に署名した。米国が人工知能のリスクを管理しつつ、その大きな可能性を実現するための行動を起こすにあたり、連邦政府は模範を示し、責任ある技術利用のモデルを提供する。このコミットメントの一環として、本日、英国安全サミットに先立ち、ハリス副大統領は、行政管理予算局（OMB）が、人工知能の政府機関利用のためのガバナンス、イノベーション、リスク管理の推進に関する新たな方針案をコメント募集のために公表することを発表する。このガイダンスは、連邦政府機関におけるAIのガバナンス構造を確立し、責任あるAIのイノベーションを推進し、透明性を高め、連邦政府職員を保護し、政府によるAI利用によるリスクを管理するものである。
Every day, the federal government makes decisions and takes actions that have profound impacts on the lives of Americans. Federal agencies have a distinct responsibility to identify and manage AI risks because of the role they play in our society. OMB’s proposed guidance builds on the Blueprint for an AI Bill of Rights and the AI Risk Management Framework by mandating a set of minimum evaluation, monitoring, and risk mitigation practices derived from these frameworks and tailoring them to context of the federal government. In particular, the guidance provides direction to agencies across three pillars:	連邦政府は毎日、アメリカ人の生活に重大な影響を与える決定を下し、行動を起こしている。連邦政府機関は、我々の社会で果たす役割のため、AIリスクを特定し管理する明確な責任を負っている。OMBが提案するガイダンスは、AI権利章典のための青写真とAIリスク管理フレームワークに基づいており、これらのフレームワークから派生した一連の最低限の評価、監視、リスク軽減の実践を義務付け、連邦政府の状況に合わせたものとなっている。特に、ガイダンスは3つの柱にわたって各機関に方向性を示している：
Strengthening AI Governance	AIガバナンスの強化
To improve coordination, oversight, and leadership for AI, the draft guidance would direct federal departments and agencies to:	AIに関する調整、監督、リーダーシップを向上させるため、ガイダンス草案では連邦政府各機関に以下のことを指示している：
・Designate Chief AI Officers, who would have the responsibility to advise agency leadership on AI, coordinate and track the agency’s AI activities, advance the use of AI in the agency’s mission, and oversee the management of AI risks.	・AI最高責任者（Chief AI Officer）を任命し、AIに関する政府指導部への助言、政府機関のAI活動の調整と追跡、政府機関の任務におけるAI利用の促進、AIリスクの管理を監督する。
Establish internal mechanisms for coordinating the efforts of the many existing officials responsible for issues related to AI. As part of this, large agencies would be required to establish AI Governance Boards, chaired by the Deputy Secretary or equivalent and vice-chaired by the Chief AI Officer.	・AIに関連する問題を担当する多くの既存職員の努力を調整するための内部メカニズムを確立する。その一環として、大規模な機関には、副長官またはそれに準ずる者が議長を務め、AI最高責任者が副議長を務めるAIガバナンス委員会の設置を義務付ける。
Expand reporting on the ways agencies use AI, including providing additional detail on AI systems’ risks and how the agency is managing those risks.	・AIシステムのリスクとそのリスク管理方法に関する追加的な詳細を提供するなど、機関のAI活用方法に関する報告を拡大する。
・Publish plans for the agency’s compliance with the guidance.	・機関がガイダンスを遵守するための計画を公表する。
Advancing Responsible AI Innovation	責任あるAIイノベーションの推進
To expand and improve the responsible application of AI to the agency’s mission, the draft guidance would direct federal agencies to:	政府機関の使命に対するAIの責任ある適用を拡大・改善するため、ガイダンス案は連邦政府機関に以下を指示する：
・Develop an agency AI strategy, covering areas for future investment as well as plans to improve the agency’s enterprise AI infrastructure, its AI workforce, its capacity to successfully develop and use AI, and its ability to govern AI and manage its risks.	・AI戦略を策定し、将来の投資分野や、AIインフラ、AI人材、AIを開発・利用する能力、AIを管理しリスクを管理する能力を向上させる計画を策定する。
・Remove unnecessary barriers to the responsible use of AI, including those related to insufficient information technology infrastructure, inadequate data and sharing of data, gaps in the agency’s AI workforce and workforce practices, and cybersecurity approval processes that are poorly suited to AI systems.	・不十分な情報技術インフラ、不十分なデータとデータの共有、機関のAI労働力と労働力の慣行におけるギャップ、AIシステムに適していないサイバーセキュリティ承認プロセスなどに関連するものを含め、AIの責任ある利用に対する不必要な障壁を取り除く。
・Explore the use of generative AI in the agency, with adequate safeguards and oversight mechanisms.	・適切な保護措置と監視メカニズムを備えた上で、同庁におけるジェネレーティブAIの利用を検討する。
Managing Risks from the Use of AI	AIの使用によるリスクを管理する
To ensure that agencies establish safeguards for safety- and rights-impacting uses of AI and provide transparency to the public, the draft guidance would:	AIの安全性や権利に影響を与える使用に対するセーフガードを機関が確立し、国民に透明性を提供することを確実にするため、ガイダンス案は以下のようになる：
・Mandate the implementation of specific safeguards for uses of AI that impact the rights and safety of the public. These safeguards include conducting AI impact assessments and independent evaluations; testing the AI in a real-world context; identifying and mitigating factors contributing to algorithmic discrimination and disparate impacts; monitoring deployed AI; sufficiently training AI operators; ensuring that AI advances equity, dignity, and fairness; consulting with affected groups and incorporating their feedback; notifying and consulting with the public about the use of AI and their plans to achieve consistency with the proposed policy; notifying individuals potentially harmed by a use of AI and offering avenues for remedy; and more.	・国民の権利と安全に影響を与えるAIの使用について、特定のセーフガードの実施を義務付ける。これらのセーフガードには、AIの影響評価と独立した評価の実施、現実世界でのAIのテスト、アルゴリズムによる差別や格差のある影響の要因の特定と緩和、導入されたAIの監視、AIのオペレーターの十分な訓練、AIが公平性、尊厳、公正さを向上させることの確保、影響を受けるグループとの協議とそのフィードバックの反映、AIの使用と提案された方針との整合性を達成するための計画についての一般市民への通知と協議、AIの使用によって被害を受ける可能性のある個人への通知と救済手段の提供、などが含まれる。
・Define uses of AI that are presumed to impact rights and safety, including many uses involved in health, education, employment, housing, federal benefits, law enforcement, immigration, child welfare, transportation, critical infrastructure, and safety and environmental controls.	・保健、教育、雇用、住宅、連邦給付、法執行、移民、児童福祉、交通、重要インフラ、安全・環境管理など、権利と安全に影響を与えると推定されるAIの利用を定義する。
・Provide recommendations for managing risk in federal procurement of AI. After finalization of the proposed guidance, OMB will also develop a means to ensure that federal contracts align with its recommendations, as required by the Advancing American AI Act and President Biden’s AI Executive Order of October 30, 2023.	・AIの連邦調達におけるリスク管理のための勧告を提供する。ガイダンス案の最終決定後、OMBは、Advancing American AI Actとバイデン大統領のAI大統領令（2023年10月30日）で義務付けられているように、連邦政府の契約がガイダンスの勧告に沿うようにするための手段も開発する。
AI is already helping the government better serve the American people, including by improving health outcomes, addressing climate change, and protecting federal agencies from cyber threats. In 2023, federal agencies identified over 700 ways they use AI to advance their missions, and this number is only likely to grow. When AI is used in agency functions, the public deserves assurance that the government will respect their rights and protect their safety.	AIはすでに、健康状態の改善、気候変動への対応、サイバー脅威からの連邦政府機関の保護など、政府による米国民へのサービス向上に役立っている。2023年、連邦政府機関は、その任務を推進するためにAIを使用する700以上の方法を特定し、この数は増える一方である。AIが政府機関の機能で使用される場合、国民は政府が国民の権利を尊重し、安全を守ることを保証される必要がある。
Some examples of where AI has already been successfully deployed by the Federal government include:	連邦政府がすでにAIの導入に成功している例としては、以下のようなものがある：
・Department of Health and Human Services, whereAI is used to predict infectious diseases and assist in preparing for potential pandemics, as well as anticipate and mitigate prescription drug shortages and supply chain issues.	・保健福祉省では、AIを使って感染症を予測し、潜在的なパンデミックへの備えを支援するとともに、処方箋薬の不足やサプライチェーンの問題を予測・緩和している。
・Department of Energy, whereAI is used to predict natural disasters and preemptively prepare for recoveries.	・エネルギー省では、AIが自然災害を予測し、先手を打って復旧に備えるために使用されている。
・Department of Commerce, where AI is used to provide timely and actionable notifications to keep people safe from severe weather events.	・商務省では、厳しい気象現象から人々の安全を守るため、タイムリーで実用的な通知を提供するためにAIが使用されている。
・National Aeronautics and Space Administration, whereAI is used to assist in the monitoring of Earth’s environment, which aids in safe execution of mission-planning.	・米航空宇宙局（National Aeronautics and Space Administration）では、AIが地球環境のモニタリングを支援し、ミッション計画の安全な遂行を助けている。
・Department of Homeland Security, whereAI is used to assist cyber forensic specialists to detect anomalies and potential threats in federal civilian networks.	・国土安全保障省では、連邦政府の民間ネットワークにおける異常や潜在的な脅威を検知するために、サイバーフォレンジックの専門家を支援するためにAIが使用されている。
The draft guidance takes a risk-based approach to managing AI harms to avoid unnecessary barriers to government innovation while ensuring that in higher-risk contexts, agencies follow a set of practices to strengthen protections for the public. AI is increasingly common in modern life, and not all uses of AI are equally risky. Many are benign, such as auto-correcting text messages and noise-cancelling headphones. By prioritizing safeguards for AI systems that pose risks to the rights and safety of the public—safeguards like AI impact assessments, real-world testing, independent evaluations, and public notification and consultation—the guidance would focus resources and attention on concrete harms, without imposing undue barriers to AI innovation.	ガイダンス草案では、リスクベースのアプローチでAIの害を管理し、政府のイノベーションに対する不必要な障壁を回避する一方、よりリスクの高い状況においては、各機関が一連の慣行に従うことで、国民への保護を強化することを保証している。AIは現代生活においてますます一般的になってきており、AIのすべての用途が同じようにリスクが高いわけではない。自動修正テキストメッセージやノイズキャンセリングヘッドフォンなど、多くのものは良性である。一般市民の権利と安全にリスクをもたらすAIシステムに対するセーフガード（AI影響評価、実環境テスト、独立評価、一般市民への通知と協議などのセーフガード）を優先することで、ガイダンスは、AIイノベーションに過度の障壁を課すことなく、具体的な危害に資源と注意を集中させるだろう。
This announcement is the latest step by the Biden-Harris Administration to advance the safe, secure, and trustworthy development and use of AI, and it is a major milestone for implementing President Biden’s AI Executive Order. The proposed guidance would establish the specific leadership, milestones, and transparency mechanisms to drive and track implementation of these practices. With the current rapid pace of technological development, bold leadership in AI is needed. With this draft guidance, the government is demonstrating that it can lead in AI and ensure that the technology benefits all.	今回の発表は、バイデン-ハリス政権がAIの安全、安心、信頼できる開発と利用を推進するための最新のステップであり、バイデン大統領のAI大統領令を実施するための大きなマイルストーンである。提案されているガイダンスは、これらの実践を推進・追跡するための具体的なリーダーシップ、マイルストーン、透明性のメカニズムを確立するものである。現在の技術開発の急速なペースに伴い、AIにおける大胆なリーダーシップが必要とされている。このガイダンス案により、政府はAIをリードし、このテクノロジーがすべての人に利益をもたらすことを確実にできることを実証する。
Make your voice heard	声を届ける
To help ensure public trust in the applications of AI, OMB is soliciting public comment on the draft guidance until December 5^th, 2023.	AIの応用に対する国民の信頼を確保するため、OMBは2023年12月5日までガイダンス草案に対するパブリックコメントを募集している。
Learn more	詳細はこちら
Read the draft guidance: WH.gov	ガイダンス草案を読む： WH.gov
Submit a public comment: regulations.gov	パブリックコメントを提出する：regulations.gov
See the full scope of AI actions from the Biden-Harris Administration: AI.gov	バイデン-ハリス政権のAIアクションの全範囲を見る： AI.gov

・[PDF] Advancing Governance, Innovation, and Risk Management for Agency Use of Artificial Intelligence

・[DOCX] 仮訳

内容...

1. OVERVIEW	1. 概要
2. SCOPE	2. 範囲
3. STRENGTHENING ARTIFICIAL INTELLIGENCE GOVERNANCE	3. 人工知能ガバナンスの強化
a. Actions	a. 行動
b. Roles, Responsibilities, Seniority, Position, and Reporting Structure of Chief Artificial Intelligence Officers	b. 最高AI責任者の役割、責任、序列、役職、報告体制
c. Internal Agency AI Coordination	c. 機関内部のAI調整
4. ADVANCING RESPONSIBLE ARTIFICIAL INTELLIGENCE INNOVATION	4. 責任ある人工知能イノベーションを推進する
a. AI Strategies	a. AI戦略
b. Removing Barriers to the Responsible Use of Artificial Intelligence	b. 人工知能の責任ある利用への障壁を取り除く
5. MANAGING RISKS FROM THE USE OF ARTIFICIAL INTELLIGENCE	5. 人工知能の使用によるリスクを管理する
a. Actions	a. 行動
b. Determining Which Artificial Intelligence Is Presumed to Be Safety-Impacting or RightsImpacting	b. どの人工知能が安全性に影響を与えるか、あるいは権利に影響を与えると推定されるかを判断する。
c. Minimum Practices for Safety-Impacting and Rights-Impacting Artificial Intelligence	c. 安全性に影響を与える人工知能と権利に影響を与える人工知能のための最低実施事項
d. Managing Risks in Federal Procurement of Artificial Intelligence	d. 人工知能の連邦調達におけるリスク管理
6. DEFINITIONS	6. 定義
Appendix I: Consolidated Table of Actions	附属書I：統合行動表

● まるちゃんの情報セキュリティ気まぐれ日記

● AI SAFETY SUMMIT　HOSTED BY THE UK

2023.11.03 00:00 in 情報セキュリティ / サイバーセキュリティ, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in パブコメ, in AI/Deep Learning | Permalink | Comments (0)
Tweet

2023.11.02

英国 AI安全サミット出席国によるブレッチリー宣言

こんにちは、丸山満彦です。

このブログでも取り上げていましたが、2023.11.01-02で英国のブリッチリーパーク (Bletchley Park [wikipedia] ) でAI安全サミットが開催されていますね。。。

ブリッチリーパークは、第二次世界大戦中、アラン・チューリング [wikipedia] たちが、エニグマ暗号、ローレンツ暗号を解読していた場所ですよね。。。The Imitation Game [wikipedia] という映画になりましたね。。。

さて、この会議ですが、米国、EU、日本、中国を含め28カ国＋EUが参加していますね。。。アフリカ3カ国、南北アメリカ4カ国、アジア8カ国、ヨーロッパ11カ国、中東3カ国というバランスですね。。。

初日に、出席国によりブリッチリー宣言が採択されましたね。。この宣言は、フロンティアAI（最も緊急かつ危険なリスクに直面するシステム）に関する機会、リスク、国際的行動の必要性について述べたものということですね。。。内容は当たり障りのないような感じ？ですかね。。。合意できる内容とでもいいますか。。。

インドは10.17に

米国は10.30に「人工知能の安全、安心、信頼できる開発と利用に関する大統領令」を公表したところですが、説明はおこなわれたのでしょうかね。。。

そして、英国政府は、アフリカに対する支援を発表していますね。。。

国王もオンラインで挨拶したようです。なんか外交が上手いですね。。。

● GOV UK

プレス...

・2023.11.01 Countries agree to safe and responsible development of frontier AI in landmark Bletchley Declaration

アフリカを支援する発表

・2023.011.01 UK unites with global partners to accelerate development using AI

ブリッチリー宣言...

・2023.11.01 The Bletchley Declaration by Countries Attending the AI Safety Summit, 1-2 November 2023

The Bletchley Declaration by Countries Attending the AI Safety Summit, 1-2 November 2023	2023年11月1-2日に開催されるAI安全サミット出席国によるブレッチリー宣言
Artificial Intelligence (AI) presents enormous global opportunities: it has the potential to transform and enhance human wellbeing, peace and prosperity. To realise this, we affirm that, for the good of all, AI should be designed, developed, deployed, and used, in a manner that is safe, in such a way as to be human-centric, trustworthy and responsible. We welcome the international community’s efforts so far to cooperate on AI to promote inclusive economic growth, sustainable development and innovation, to protect human rights and fundamental freedoms, and to foster public trust and confidence in AI systems to fully realise their potential.	人工知能（AI）は、人間の福利、平和、繁栄を変革し、向上させる可能性を秘めている。これを実現するために、我々は、すべての人の利益のために、AIは安全で、人間中心で、信頼でき、責任ある方法で、設計、開発、配備、使用されるべきであることを確認する。我々は、包摂的な経済成長、持続可能な開発、イノベーションを促進し、人権と基本的自由を保護し、AIシステムの潜在能力を十分に発揮させるために、国民の信頼と信用を醸成するために、AIに関して国際社会がこれまで協力してきたことを歓迎する。
AI systems are already deployed across many domains of daily life including housing, employment, transport, education, health, accessibility, and justice, and their use is likely to increase. We recognise that this is therefore a unique moment to act and affirm the need for the safe development of AI and for the transformative opportunities of AI to be used for good and for all, in an inclusive manner in our countries and globally. This includes for public services such as health and education, food security, in science, clean energy, biodiversity, and climate, to realise the enjoyment of human rights, and to strengthen efforts towards the achievement of the United Nations Sustainable Development Goals.	AIシステムは、住宅、雇用、交通、教育、健康、アクセシビリティ、司法など、日常生活の多くの領域ですでに導入されており、その利用はさらに拡大すると思われる。私たちは、今がAIの安全な発展と、AIの変革の機会が、私たちの国や世界において、包括的な方法で、すべての人のために、善のために利用されることの必要性を確認し、行動するまたとない機会であると認識しています。これには、健康や教育、食糧安全保障、科学、クリーンエネルギー、生物多様性、気候などの公共サービス、人権の享受の実現、国連の持続可能な開発目標の達成に向けた取り組みの強化などが含まれる。
Alongside these opportunities, AI also poses significant risks, including in those domains of daily life. To that end, we welcome relevant international efforts to examine and address the potential impact of AI systems in existing fora and other relevant initiatives, and the recognition that the protection of human rights, transparency and explainability, fairness, accountability, regulation, safety, appropriate human oversight, ethics, bias mitigation, privacy and data protection needs to be addressed. We also note the potential for unforeseen risks stemming from the capability to manipulate content or generate deceptive content. All of these issues are critically important and we affirm the necessity and urgency of addressing them.	このような機会とともに、AIは日常生活の領域を含め、重大なリスクももたらす。そのため、私たちは、既存のフォーラムやその他の関連するイニシアティブにおいて、AIシステムの潜在的な影響を検討し、対処するための関連する国際的な取り組みを歓迎するとともに、人権の保護、透明性と説明可能性、公平性、説明責任、規制、安全性、適切な人的監視、倫理、バイアスの緩和、プライバシー、データ保護に取り組む必要があるとの認識を歓迎する。また、コンテンツを操作したり、欺瞞的なコンテンツを生成したりする機能から生じる、予期せぬリスクの可能性にも留意する。これらの問題はすべて決定的に重要であり、我々はそれらに取り組む必要性と緊急性を確認する。
Particular safety risks arise at the ‘frontier’ of AI, understood as being those highly capable general-purpose AI models, including foundation models, that could perform a wide variety of tasks - as well as relevant specific narrow AI that could exhibit capabilities that cause harm - which match or exceed the capabilities present in today’s most advanced models. Substantial risks may arise from potential intentional misuse or unintended issues of control relating to alignment with human intent. These issues are in part because those capabilities are not fully understood and are therefore hard to predict. We are especially concerned by such risks in domains such as cybersecurity and biotechnology, as well as where frontier AI systems may amplify risks such as disinformation. There is potential for serious, even catastrophic, harm, either deliberate or unintentional, stemming from the most significant capabilities of these AI models. Given the rapid and uncertain rate of change of AI, and in the context of the acceleration of investment in technology, we affirm that deepening our understanding of these potential risks and of actions to address them is especially urgent.	AIの「フロンティア」において、特に安全性のリスクが生じる。これは、基盤モデルを含む、多種多様なタスクを実行する可能性のある、非常に能力の高い汎用AIモデルであり、また、危害を引き起こす可能性のある能力を示す可能性のある、関連する特定の狭いAIであると理解される。潜在的な意図的誤用や、人間の意図との整合性に関する意図しない制御の問題から、重大なリスクが生じる可能性がある。このような問題は、これらの能力が十分に理解されておらず、したがって予測が困難であるためでもある。私たちは、サイバーセキュリティやバイオテクノロジーのような領域や、最先端のAIシステムが偽情報のようなリスクを増幅させる可能性のある領域におけるこのようなリスクを特に懸念している。このようなAIモデルの最も重要な能力から、意図的であれ意図的でないものであれ、深刻な、さらには破滅的な被害が発生する可能性がある。AIの変化の速度が急速かつ不確実であること、そしてテクノロジーへの投資が加速していることを考慮すると、これらの潜在的リスクとそれに対処するための行動についての理解を深めることが特に急務であることを確認する。
Many risks arising from AI are inherently international in nature, and so are best addressed through international cooperation. We resolve to work together in an inclusive manner to ensure human-centric, trustworthy and responsible AI that is safe, and supports the good of all through existing international fora and other relevant initiatives, to promote cooperation to address the broad range of risks posed by AI. In doing so, we recognise that countries should consider the importance of a pro-innovation and proportionate governance and regulatory approach that maximises the benefits and takes into account the risks associated with AI. This could include making, where appropriate, classifications and categorisations of risk based on national circumstances and applicable legal frameworks. We also note the relevance of cooperation, where appropriate, on approaches such as common principles and codes of conduct. With regard to the specific risks most likely found in relation to frontier AI, we resolve to intensify and sustain our cooperation, and broaden it with further countries, to identify, understand and as appropriate act, through existing international fora and other relevant initiatives, including future international AI Safety Summits.	AIから生じる多くのリスクは、本質的に国際的なものであるため、国際協力を通じて対処するのが最善である。我々は、AIがもたらす広範なリスクに対処するための協力を促進するため、既存の国際フォーラムやその他の関連するイニシアティブを通じて、安全で、万人の利益を支援する、人間中心の、信頼できる、責任あるAIを確保するために、包括的な方法で協力することを決意する。その際、各国は、AIがもたらす利益を最大化し、リスクを考慮した、イノベーションを促進し、適切なガバナンスと規制のアプローチの重要性を考慮すべきであると認識する。これには、適切な場合には、各国の状況や適用される法的枠組みに基づいて、リスクを分類・分類することも含まれる。また、適切な場合には、共通の原則や行動規範のようなアプローチで協力することも重要である。フロンティアAIに関連する特定のリスクに関して、我々は、将来の国際AI安全サミットを含む、既存の国際的な場及びその他の関連するイニシアティブを通じて、特定し、理解し、必要に応じて行動するために、協力を強化し、維持し、更なる国々との協力を拡大することを決意する。
All actors have a role to play in ensuring the safety of AI: nations, international fora and other initiatives, companies, civil society and academia will need to work together. Noting the importance of inclusive AI and bridging the digital divide, we reaffirm that international collaboration should endeavour to engage and involve a broad range of partners as appropriate, and welcome development-orientated approaches and policies that could help developing countries strengthen AI capacity building and leverage the enabling role of AI to support sustainable growth and address the development gap.	国家、国際フォーラム、その他のイニシアティブ、企業、市民社会、学界が協力する必要がある。インクルーシブAIとデジタルデバイド解消の重要性に留意し、国際協力は、適切な範囲で幅広いパートナーを巻き込み、関与させるよう努めるべきであることを再確認し、開発途上国がAIの能力構築を強化し、持続可能な成長を支援し、開発格差に対処するためにAIの実現可能な役割を活用することを支援できるような、開発指向のアプローチや政策を歓迎する。
We affirm that, whilst safety must be considered across the AI lifecycle, actors developing frontier AI capabilities, in particular those AI systems which are unusually powerful and potentially harmful, have a particularly strong responsibility for ensuring the safety of these AI systems, including through systems for safety testing, through evaluations, and by other appropriate measures. We encourage all relevant actors to provide context-appropriate transparency and accountability on their plans to measure, monitor and mitigate potentially harmful capabilities and the associated effects that may emerge, in particular to prevent misuse and issues of control, and the amplification of other risks.	我々は、AIのライフサイクル全体にわたって安全性が考慮されなければならない一方で、フロンティアAIの能力を開発する主体、特に、異常に強力で潜在的に有害なAIシステムを開発する主体には、安全性テストのためのシステム、評価、その他の適切な手段を含め、これらのAIシステムの安全性を確保するための特に強い責任があることを確認する。我々は、すべての関連する主体に対し、特に誤用や制御の問題、その他のリスクの増幅を防止するため、潜在的に有害な能力と、出現する可能性のある関連する影響を測定、監視、軽減する計画について、状況に応じた透明性と説明責任を提供することを奨励する。
In the context of our cooperation, and to inform action at the national and international levels, our agenda for addressing frontier AI risk will focus on:	我々の協力の文脈において、また、国レベルおよび国際レベルでの行動に情報を提供するために、フロンティアAIのリスクに対処するための我々のアジェンダは、以下に焦点を当てる：
identifying AI safety risks of shared concern, building a shared scientific and evidence-based understanding of these risks, and sustaining that understanding as capabilities continue to increase, in the context of a wider global approach to understanding the impact of AI in our societies.	私たちの社会におけるAIの影響を理解するためのより広範でグローバルなアプローチとの関連において、共有される懸念のあるAIの安全リスクを特定し、これらのリスクに関する科学的かつ証拠に基づく共通の理解を構築し、能力が増大し続ける中でその理解を維持すること。
building respective risk-based policies across our countries to ensure safety in light of such risks, collaborating as appropriate while recognising our approaches may differ based on national circumstances and applicable legal frameworks. This includes, alongside increased transparency by private actors developing frontier AI capabilities, appropriate evaluation metrics, tools for safety testing, and developing relevant public sector capability and scientific research.	このようなリスクに照らして安全性を確保するために、各国間でそれぞれのリスクに基づく政策を構築し、各国の状況や適用される法的枠組みによってアプローチが異なる可能性があることを認識しつつ、適宜協力する。これには、フロンティアAIの能力を開発する民間主体による透明性の向上、適切な評価指標、安全性テストのためのツール、関連する公共部門の能力と科学的研究の開発が含まれる。
In furtherance of this agenda, we resolve to support an internationally inclusive network of scientific research on frontier AI safety that encompasses and complements existing and new multilateral, plurilateral and bilateral collaboration, including through existing international fora and other relevant initiatives, to facilitate the provision of the best science available for policy making and the public good.	このアジェンダを推進するため、我々は、政策立案と公益のために利用可能な最善の科学の提供を促進するために、既存の国際フォーラムやその他の関連するイニシアティブを通じたものを含め、既存の、そして新たな多国間、多国間、二国間の協力を包含し、補完する、フロンティアAIの安全性に関する科学的研究の国際的に包括的なネットワークを支援することを決意する。
In recognition of the transformative positive potential of AI, and as part of ensuring wider international cooperation on AI, we resolve to sustain an inclusive global dialogue that engages existing international fora and other relevant initiatives and contributes in an open manner to broader international discussions, and to continue research on frontier AI safety to ensure that the benefits of the technology can be harnessed responsibly for good and for all. We look forward to meeting again in 2024.	AIの変革をもたらすポジティブな可能性を認識し、AIに関するより広範な国際協力を確保する一環として、我々は、既存の国際フォーラムやその他の関連するイニシアティブに関与し、より広範な国際的議論にオープンな形で貢献する、包括的なグローバル対話を維持することを決意し、また、技術の利益が善と全ての人のために責任を持って活用されることを確保するため、フロンティアAIの安全性に関する研究を継続することを決意する。我々は、2024年の再会を楽しみにしている。
Agreement	合意事項
The countries represented were:	代表者は以下の通り：
Australia	オーストラリア
Brazil	ブラジル
Canada	カナダ
Chile	チリ
China	中国
European Union	欧州連合
France	フランス
Germany	ドイツ
India	インド
Indonesia	インドネシア
Ireland	アイルランド
Israel	イスラエル
Italy	イタリア
Japan	日本
Kenya	ケニア
Kingdom of Saudi Arabia	サウジアラビア王国
Netherlands	オランダ
Nigeria	ナイジェリア
The Philippines	フィリピン共和国
Republic of Korea	大韓民国
Rwanda	ルワンダ
Singapore	シンガポール
Spain	スペイン
Switzerland	スイス
Türkiye	トルコ
Ukraine	ウクライナ
United Arab Emirates	アラブ首長国連邦
United Kingdom of Great Britain and Northern Ireland	グレートブリテンおよび北アイルランド連合王国
United States of America	米国
References to ‘governments’ and ‘countries’ include international organisations acting in accordance with their legislative or executive competences.	「政府」および「国」のガバナンスには、立法または行政の権限に従って行動する国際機関を含む。

サミットのページ

● GOV UK

・AI Safety Summit 2023

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.10.30 英国科学技術革新省フロンティアAI：その能力とリスク - ディスカッション・ペーパー

・2023.08.25 英国 AIサミットは11月1日2日にブレッチリー・パークで開催