« November 2023 | Main | January 2024 »

December 2023

2023.12.31

OECD.AI AIアルゴリズム監査 (2023.12.19)

こんにちは、丸山満彦です。

OECD.AIでAIアルゴリズム監査についての全体的な記事がありますね。。。

AIに関連する監査については、これから重要になると思われます。(もちろん、保証といういみで、助言ではないです。。。)

ただ、AIの監査はある意味、システム監査ともいえますので、

適切な監査基準(独立性や品質管理、品質確保のための行為規範など)とクライテリア(どういうことを保証するか)をつくれば、可能です。

日本も勉強と社会的コンセンサス作りは始めた方が良いかもですね。。。特に監査の厳格さ(保証水準につながる)については、コンセンサスをとるのに時間がかかると思われるので、早めに議論をしたほうがよいですね。。。

・高い保証水準(合理的保証水準)(例えば、会計監査、内部統制監査、WebTrust(電子認証局の監査等)、EUデジタルサービス法の監査)はコストと時間がかかるが、ユーザの安心感は高まる。

・中位の保証水準(限定的保証水準)(例えば、四半期レビュー、)

・もう少し保証水準が低い?(例えば、ISOマネジメントシステムの監査)

というのがありえそうですが、どれを選択すべきか?

 

 

 

OECD.AI

Blob

・2023.12.19 The argument for holistic AI audits

こちらの記事では、AIアルゴリズム監査を

  • 技術的な監査
  • ガバナンス監査

の両方にわけています。

技術的な監査という意味では、NYCの144条のバイアス監査がそうだと言っていますね。。。

一方、ガバナンス監査の一つとしては、EUのデジタルサービス法 (DSA) で義務付けられている監査を挙げています。(AIに特化した監査ではないが、ガバナンス監査という意味で、AIも含みうるということだろうと思います。)

で、おそらく両方が重要だと思います。

 


この記事でも引用されている?Holistic AIの記事も参考に...

監査の局面を4つにわけていますね。。。

Holistic AI

・2022.12.21 What is AI Auditing?

 

63a2f09f0a748dfc958856e3_holisticaiinfog

 

Triage トリアージ
During the initial stage of an audit, the system is documented, and processes are assigned an inherent risk level ranging from high-risk to low-risk. The risk level given to a system depends on factors, including the context that it is used in and the type of AI that it utilises. 監査の初期段階では、システムは文書化され、プロセスには高リスクから低リスクまでの固有のリスクレベルが割り当てられる。システムに与えられるリスクレベルは、そのシステムが使用される状況や利用するAIの種類などの要因によって決まる。
Assessment アセスメント
During the assessment phase, the system is assessed on five main verticals to give a clear evaluation of the current state of the system: アセスメントの段階では、システムの現状を明確に評価するために、5つの主要な項目でシステムが評価される:
Efficacy 有効性
The key question in this vertical is whether the system delivers an appropriate performance level that matches the system's use case and context. In other words, does the system do what it is meant to and perform as expected? This vertical is particularly important for systems where failure would have significant consequences, such as financial loss. Ensuring a system is efficacious can prevent a poorly performing system from deploying and derailing essential processes. この項目で重要なのは、システムのユースケースとコンテキストに見合った適切なパフォーマンス・レベルをシステムが提供しているかどうかである。言い換えれば、システムは、それが意図することを実行し、期待通りに機能するかということである。この垂直方向は、経済的損失など、失敗が重大な結果をもたらすシステムにとって特に重要である。システムが効率的であることを保証することで、性能の悪いシステムが配備され、重要なプロセスが脱線するのを防ぐことができる。
Robustness & safety 堅牢性と安全性
This vertical addresses the risk that the algorithm fails in unexpected circumstances or when under attack, by asking whether the system is reliable and robust to changes in data or attacks from adversaries. This aims to investigate whether the system has been trained to withstand adversarial attacks, whether it performs differently in different contexts, and whether the algorithm performs as expected on unseen data. この縦軸は、システムがデータの変化や敵からの攻撃に対して信頼性があり、ロバストであるかどうかを問うことによって、アルゴリズムが予期せぬ状況や攻撃を受けているときに失敗するリスクに対処するものである。これは、システムが敵の攻撃に耐えられるように訓練されているか、異なる文脈で異なるパフォーマンスを示すか、未知のデータでアルゴリズムが期待通りに機能するかなどを調査することを目的としている。
Bias バイアス
Algorithmic bias can manifest in several ways with varying degrees of consequences for different subject groups. As such, the bias vertical investigates whether the system treats individuals fairly regardless of their subgroup membership or whether the system performs differently across different groups based on characteristics such as age, gender, and ethnicity. Ensuring a system is free from bias can prevent preferential or discriminatory treatment of individuals and ensure fairer outcomes and can help to ensure compliance with equal opportunity laws. アルゴリズムのバイアスは、様々な方法で現れる可能性があり、その程度は被験者グループによって異なる。そのため、バイアスは、システムがサブグループに属しているかどうかに関係なく個人を公平に扱っているかどうか、または年齢、性別、民族性などの特徴に基づいて、システムが異なるグループ間で異なるパフォーマンスをしているかどうかを調査する。システムに偏りがないことを確認することで、個人の優遇や差別的な扱いを防ぎ、より公平な結果を保証することができる。
‍Explainability 説明可能性
To evaluate the explainability of a system, questions centre around whether the system's outputs are understood, whether the capabilities and purpose of a system are communicated to relevant stakeholders, and whether the mechanics of the system are explainable in human terms. The vertical of explainability is key for critical applications that affect a large number of users and is important in cases where the outcomes of systems are disputed. システムの説明可能性を評価するためには、システムのアウトプットが理解されているか、システムの能力と目的が関連する利害関係者に伝えられているか、システムの仕組みが人間的な用語で説明可能であるか、などが中心になる。説明可能性の高低は、多数のユーザーに影響を与える重要なアプリケーションにとって重要であり、システムの結果が争点となる場合にも重要である。
Algorithm Privacy アルゴリズムのプライバシー
This vertical is the most important for applications that process personal and sensitive data and can be assessed by investigating whether the system has appropriate data minimisation and data stewardship practices. Having adequate privacy mechanisms can prevent data breaches and unlawful processing, enable swift action in the event of any breaches, and can ensure that individuals consent to the use of their data. このレベルは、個人データや機密データを処理するアプリケーションにとって最も重要であり、システムが適切なデータ最小化およびデータ・スチュワードシップを実践しているかどうかを調査することによって評価することができる。適切なプライバシーの仕組みを持つことで、データ侵害や違法な処理を防ぐことができ、万が一侵害が発生した場合には迅速な対応が可能となり、個人が自分のデータの使用に同意していることを確認することができる。
Mitigation 軽減
The outcomes of the assessment are used to inform the residual risk of the system. Based on this, actions to lower this risk are suggested. These can be technical, addressing the system itself, or non-technical, addressing issues such as system governance, accountability, and documentation. アセスメントの結果は、システムの残存リスクを知るために使用される。これに基づき、リスクを低減するための措置が提案される。これには、システム自体に対処する技術的なものと、システムガバナンス、説明責任、文書化などの問題に対処する非技術的なものがある。
For example, bias can be mitigated by debiasing the data the model is trained on, amending the model to make it fairer across groups, or amending the outputs of the model to make the predictions fairer, depending on the source of the bias. And to reduce explainability risks, better documentation procedures can be developed, and tools can be used to interpret better the model's decisions, including how different features are weighted. 例えば、バイアスは、バイアスの原因に応じて、モデルが学習したデータをデビアスしたり、グループ間で公平になるようにモデルを修正したり、予測が公平になるようにモデルの出力を修正することで軽減することができる。また、説明可能性リスクを低減するために、より良い文書化手順を開発し、異なる特徴の重み付け方法など、モデルの決定をより良く解釈するためのツールを使用することができる。
Assurance 保証
Assurance is the process of declaring that a system conforms to predetermined standards, practices, or regulations. Assurance can also be given on a conditional basis, with mitigation actions still outstanding for higher risk processes. 保証とは、システムがあらかじめ決められた基準、慣行、または規制に適合していることを宣言するプロセスである。保証は条件付きで与えることも可能であり、その場合、高リスクのプロセ スについては緩和措置がまだ残っていることになる。
For organisations operating in areas where such audits are required, such as New York City, this would also take the form of certification that the requirements of the regulation were met. Similarly, the EU AI Act will require conformity assessments to ensure that high-risk systems are meeting the obligations imposed on them. ニューヨーク市など、このような監査が義務付けられている地域で活動する組織の場合、これは規制の要件が満たされていることを証明する形にもなる。同様に、EUのAI法では、高リスクのシステムが課せられた義務を満たしていることを確認するために、適合性評価が必要となる。

 

 

 

 

 


 

AI監査といえば、ニューヨーク州の自動雇用決定ツール (Automated Employment Decision Tools; AEDT) を使う場合の規制(使用後1年以内に偏見監査を受けなければ使用を禁止する)(Local Law 144 of 2021)が有名ですよね。。。

 

New York City

Nyc

Automated Employment Decision Tools (AEDT)

 

条文...

・Subchapter 25 Automated Employment Decision Tools

Int. No. 1894-A Int. 第1894-A号
By Council Members Cumbo, Ampry-Samuel, Rosenthal, Cornegy, Kallos, Adams, Louis, Chin, Cabrera, Rose, Gibson, Brannan, Rivera, Levine, Ayala, Miller, Levin and Barron Cumbo、Ampry-Samuel、Rosenthal、Cornegy、Kallos、Adams、Louis、Chin、Cabrera、Rose、Gibson、Brannan、Rivera、Levine、Ayala、Miller、Levin、Barron各議員による
A Local Law to amend the administrative code of the city of New York, in relation to automated employment decision tools 自動雇用決定ツールに関するニューヨーク市行政法を改正する地方法
Be it enacted by the Council as follows: 以下の通り制定する:
Section 1. Chapter 5 of title 20 of the administrative code of the city of New York is amended by adding a new subchapter 25 to read as follows: 第1節 ニューヨーク市行政法第20章の第5章を改正し、新たに第25章を追加する:
Subchapter 25 第25章
Automated Employment Decision Tools 自動雇用決定ツール
§ 20-870 Definitions. For the purposes of this subchapter, the following terms have the following meanings: § 第 20-870 条 定義 本章において、以下の用語は以下の意味を持つ:
Automated employment decision tool. The term “automated employment decision tool” means any computational process, derived from machine learning, statistical modeling, data analytics, or artificial intelligence, that issues simplified output, including a score, classification, or recommendation, that is used to substantially assist or replace discretionary decision making for making employment decisions that impact natural persons. The term “automated employment decision tool” does not include a tool that does not automate, support, substantially assist or replace discretionary decision-making processes and that does not materially impact natural persons, including, but not limited to, a junk email filter, firewall, antivirus software, calculator, spreadsheet, database, data set, or other compilation of data. 自動雇用決定ツール。自動雇用決定ツール」とは、機械学習、統計モデリング、データ分析、または人工知能に由来す る、スコア、分類、または推奨を含む簡略化された出力を発行するあらゆる計算プロセスを意味 し、自然人に影響を与える雇用決定を行うための裁量による意思決定を実質的に支援または代替する ために使用される。自動雇用判断ツール」という用語には、裁量的な意思決定プロセスを自動化、支援、実質的に支援、または代替するものではなく、自然人に重大な影響を与えないツールは含まれない。これには、迷惑メールフィルタ、ファイアウォール、ウイルス対策ソフトウェア、計算機、スプレッドシート、データベース、データセット、またはその他のデータの編集物が含まれるが、これらに限定されない。
Bias audit. The term “bias audit” means an impartial evaluation by an independent auditor. Such bias audit shall include but not be limited to the testing of an automated employment decision tool to assess the tool’s disparate impact on persons of any component 1 category required to be reported by employers pursuant to subsection (c) of section 2000e-8 of title 42 of the United States code as specified in part 1602.7 of title 29 of the code of federal regulations. バイアス監査。バイアス監査」とは、独立監査人による公平な評価を意味する。このようなバイアス監査には、連邦規則集第 29 編第 1602.7 項に規定される、合衆国法律第 42 編第 2000e-8 項第(c)節に従って雇用主が報告することが義務付けられている構成要素 1 のカテゴリーに属する人に対するツールのバイアス影響を評価するための、自動雇用決定ツールのテストを含むが、これに限定されない。
Employment decision. The term “employment decision” means to screen candidates for employment or employees for promotion within the city. 雇用決定。採用決定」とは、市内で採用候補者または昇進のための従業員を選別することを意味する。
§ 20-871 Requirements for automated employment decision tools. a. In the city, it shall be unlawful for an employer or an employment agency to use an automated employment decision tool to screen a candidate or employee for an employment decision unless: § 第 20-871 条 自動雇用決定ツールの要件 a. 市内では、雇用主または雇用機関が、雇用決定のために候補者または被雇用者を選別 するために自動雇用決定ツールを使用することは、以下の場合を除き違法とする:
1. Such tool has been the subject of a bias audit conducted no more than one year prior to the use of such tool; and 1. 当該ツールは、使用前 1 年以内に実施されたバイアス監査の対象である。
2. A summary of the results of the most recent bias audit of such tool as well as the distribution date of the tool to which such audit applies has been made publicly available on the website of the employer or employment agency prior to the use of such tool. 2. 当該ツールの使用前に、当該ツールに関する直近のバイアス監査結果の概要と、当該監査が適用されたツールの配布日が、雇用主または雇用機関のウェブサイトで公開されていること。
b. Notices required. In the city, any employer or employment agency that uses an automated employment decision tool to screen an employee or a candidate who has applied for a position for an employment decision shall notify each such employee or candidate who resides in the city of the following: b. 通知が必要である。本市において、自動雇用判断ツールを用いて従業員または求人に応募した候補者をスクリーニングし、雇用判断を行う雇用主または雇用機関は、本市に居住する各従業員または候補者に対し、以下の事項を通知しなければならない:
1. That an automated employment decision tool will be used in connection with the assessment or evaluation of such employee or candidate that resides in the city. Such notice shall be made no less than ten business days before such use and allow a candidate to request an alternative selection process or accommodation; 1. 市内に居住する当該従業員または候補者の評価または査定に関して、自動雇用決定ツールが使用されること。このような通知は、その使用の10営業日以上前に行われ、候補者が代替の選考プロセスまたは便宜を求めることができるようにする;
2. The job qualifications and characteristics that such automated employment decision tool will use in the assessment of such candidate or employee. Such notice shall be made no less than 10 business days before such use; and 2. 当該自動雇用決定ツールが、当該候補者または従業員の評価に使用する職務上の資格および特性。このような通知は、その使用の10営業日以上前に行われるものとする。
3. If not disclosed on the employer or employment agency’s website, information about the type of data collected for the automated employment decision tool, the source of such data and the employer or employment agency’s data retention policy shall be available upon written request by a candidate or employee.  Such information shall be provided within 30 days of the written request. Information pursuant to this section shall not be disclosed where such disclosure would violate local, state, or federal law, or interfere with a law enforcement investigation. 3. 雇用主または職業紹介業者のウェブサイトに開示されていない場合、自動雇用決定ツールのために収集されたデータの種類、当該データの出所、雇用主または職業紹介業者のデータ保持方針に関する情報は、候補者または従業員からの書面による要求があれば入手できるものとする。 当該情報は、書面による要請から30日以内に提供されなければならない。本項に基づく情報の開示が、地方法、州法、または連邦法に違反する場合、あるいは法執行 捜査を妨害する場合は、情報を開示してはならない。
§ 20-872 Penalties. a. Any person that violates any provision of this subchapter or any rule promulgated pursuant to this subchapter is liable for a civil penalty of not more than $500 for a first violation and each additional violation occurring on the same day as the first violation, and not less than $500 nor more than $1,500 for each subsequent violation. § 第20-872条 罰則 a. 本章の規定または本章に従って公布された規則に違反した者は、最初の違反および最初の違 反と同日に発生した追加の違反については500ドル以下、それ以降の違反については500ドル 以上1,500ドル以下の民事罰の責任を負う。
b. Each day on which an automated employment decision tool is used in violation of this section shall give rise to a separate violation of subdivision a of section 20-871. b. 本項に違反して自動雇用決定ツールが使用された各日は、第 20 項第 a 項の別個の違反となる。
c. Failure to provide any notice to a candidate or an employee in violation of paragraphs 1, 2 or 3 of subdivision b of section 20-871 shall constitute a separate violation. c. 第 20-871 項第 b 項第 1 項、第 2 項または第 3 項に違反して、候補者または従業員に 通知を行わなかった場合は、別の違反となる。
d. A proceeding to recover any civil penalty authorized by this subchapter is returnable to any tribunal established within the office of administrative trials and hearings or within any agency of the city designated to conduct such proceedings. d. 第20-873条 本章により許可された民事罰の回収手続きは、行政裁判・聴聞局内、またはそのような手続き を行うよう指定された市の機関内に設置された法廷に戻すことができる。
§ 20-873 Enforcement. The corporation counsel or such other persons designated by the corporation  counsel  on behalf  of  the  department may initiate in any court of competent jurisdiction any action or proceeding that may be appropriate or necessary for correction of any violation issued pursuant this subchapter, including mandating compliance with the provisions of this chapter or such other relief as may be appropriate. § 第20-873条 強制執行。第 20-873条 会社の顧問弁護士、または部署を代表して会社の顧問弁護士が指名するその他の人物は、 管轄裁判所において、本章の規定への遵守の義務付けまたは適切なその他の救済を含め、本章に従って 発布された違反の是正のために適切または必要な訴訟または手続きを開始することができる。
§ 20-874 Construction. The provisions of this subchapter shall not be construed to limit any right of any candidate or employee for an employment decision to bring a civil action in any court of competent jurisdiction, or to limit the authority of the commission on human rights to enforce the provisions of title 8, in accordance with law. § 第 20-874条 構成。第 20-874条 本章の規定は、雇用決定に対する候補者または被雇用者が、管轄権を有する裁判所に民事 訴訟を提起する権利を制限するもの、または、法律に従い、タイトル8の規定を執行する 人権委員会の権限を制限するものと解釈してはならない。
§ 2.  This local law takes effect on January 1, 2023. § 2.  この地方法は 2023 年 1 月 1 日に発効する。

 

FAQ...

・[PDF] Automated Employment Decision Tools: Frequently Asked Questions

Automated Employment Decision Tools: 自動雇用決定ツール
Frequently Asked Questions よくある質問
The NYC Department of Consumer and Worker Protection (DCWP) enforces Local Law 144 of 2021 which regulates automated employment decision tools. These FAQ provide general information and guidance. Sections include: ニューヨーク市消費者・労働者保護局(DCWP)は、自動雇用決定ツールを規制する2021年地方法第144号を施行する。これらのFAQは、一般的な情報とガイダンスを提供する。セクションは以下の通りである:
I. Overview of the Law I. 法律の概要
II. General Bias Audit Requirements II. 一般的なバイアス監査要件
III. Data Requirements III. データ要件
IV. Independent Auditors IV. 独立監査人
V. Responsibility for Bias Audits V. バイアス監査の責任
VI. Notice Requirements  VI. 通知要件 
VII.  Complaints VII.  苦情
I. Overview of the Law I. 法律の概要
1. What is Local Law 144 of 2021? 1. 2021年地方法第144号とは何か?
The Law prohibits employers and employment agencies from using an automated employment decision tool (AEDT) in New York City unless they ensure a bias audit was done and provide required notices. この法律は、ニューヨーク市において、雇用主や職業紹介業者が、バイアス監査が行われたことを確認し、必要な通知を行わない限り、自動雇用判断ツール(AEDT)を使用することを禁止するものである。
The Law was enacted in 2021. It took effect on January 1, 2023. Enforcement begins on July 5, 2023. 同法は2021年に制定された。2023年1月1日に施行された。施行は2023年7月5日に始まる。
2. What is an AEDT? An AEDT is a computer-based tool that: 2. AEDTとは何か?AEDTとは、コンピューターベースのツールである:
• Uses machine learning, statistical modeling, data analytics, or artificial intelligence. AND ・機械学習、統計モデリング、データ分析、人工知能を使用する。そして
• Helps employers and employment agencies make employment decisions. AND ・雇用主や職業紹介事業者の雇用決定を支援する。そして
• Substantially assists or replaces discretionary decision-making. ・かつ,裁量による意思決定を実質的に補助または代替する。
3. How can you tell if a tool uses machine learning, statistical modeling, data analytics, or artificial intelligence? 3. 機械学習、統計モデリング、データ分析、人工知能を使用したツールかどうかをどのように見分けるか?
Machine learning, statistical modeling, data analytics, or artificial intelligence are mathematical, computer-based techniques used to: 機械学習、統計モデリング、データ分析、または人工知能は、数学的、コンピュータベースの技術であり、以下の目的で使用される:
• Generate a prediction or a classification. AND ・予測や分類を行う。そして
• Identify the inputs, the relative importance of the identified inputs, and any other parameters to improve the accuracy of the generated prediction or classification. ・生成された予測または分類の精度を向上させるために,入力,特定された入力の相対的重要性,その他のパラメータを特定する。
A prediction includes but is not limited to an assessment of a candidate’s fit for the job or likelihood of success. 予測には、候補者の職務への適合性または成功の可能性の評価が含まれるが、これに限定されない。
A classification is an assignment of an observation to a group, such as categorizations based on skill sets or aptitude. 分類とは、スキルセットや適性に基づく分類など、観察結果をあるグループに割り当てることである。
See The Rules of the City of New York
for additional guidance.
その他の指針については、『ニューヨーク市規則』を参照のこと。
4. What are the Law’s requirements and how do they apply to an AEDT used “in the city”? 4. 同法の要件とは何か、また「市内で」使用されるAEDTにどのように適用されるのか。
The Law applies only to employers and employment agencies that use an AEDT “in the city.” This means: この法律は、"市内で "AEDTを使用する雇用主および職業紹介業者にのみ適用される。つまり
• The job location is an office in NYC, at least part time. OR ・勤務地がニューヨーク市内にあり、少なくともパートタイムである。または
• The job is fully remote but the location associated with it is an office in NYC. OR ・完全な遠隔地勤務であるが、勤務地がニューヨーク市内のオフィスである。または
• The location of the employment agency using the AEDT is NYC or, if the location of the employment agency is outside NYC, one of the bullets above is true. ・AEDTを使用する雇用エージェントの所在地がニューヨーク市であるか、または雇用エージェントの所在地がニューヨーク市以外の場合、上記の箇条書きのいずれかが当てはまる。
If the Law applies: 法律が適用される場合
• A bias audit of the AEDT must be completed before its use. AND ・AEDTを使用する前にAEDTのバイアス監査を完了しなければならない。および
• Job candidates who are New York City residents must receive notice that the employer or employment agency uses an AEDT. ・ニューヨーク市在住の求職者は,雇用主または職業紹介業者がAEDTを使用していることを通知されなければならない。
5. Is an “employment decision” just the final hiring or promotion decision?  5. 雇用上の決定」とは、最終的な採用や昇進の決定だけか?
No. The Law defines employment decision more broadly to include screening. いいえ、法律は雇用の決定をより広く定義しており、選考も含まれる。
If employers or employment agencies use an AEDT to substantially help them assess or screen candidates at any point in the hiring or promotion process, they must comply with the Law’s requirements before using an AEDT. 雇用主または雇用代理店が、採用または昇進プロセスのいずれかの時点で、候補者の評価または選考に実質的に役立てるためにAEDTを使用する場合、AEDTを使用する前に同法の要件を遵守しなければならない。
6. Do the Law’s requirements apply if an employer or employment agency uses an AEDT to scan a resume bank, conduct outreach to potential candidates, or invite applications? 6. 雇用主または人材派遣会社が、履歴書バンクのスキャン、潜在的候補者への働きかけ、または応募の呼びかけのためにAEDTを使用する場合、同法の要件は適用されるか?
No. The requirements apply to AEDT use to assess candidates for hiring or promotion only. A candidate for employment is a person who has applied for a specific position by submitting the necessary information or items in the format required by the employer or employment agency. いいえ。要件は、採用または昇進の候補者を評価するためにのみAEDTを使用する場合に適用される。採用候補者とは、雇用主または雇用機関が要求するフォーマットで必要な情報や項目を提出し、特定のポジションに応募した人のことである。
If AEDT use is to assess someone who is not an employee being considered for promotion and who has not applied for a specific position for employment, the bias audit and notice requirements do not apply. AEDTの使用が、昇進を検討されている従業員ではなく、雇用のための特定のポジションに応募していない人を評価するためのものである場合、バイアス監査および通知要件は適用されない。
II. General Bias Audit Requirements II. 一般的なバイアス監査の要件
1. What is a bias audit? 1. バイアス監査とは何か?
A bias audit is an impartial evaluation by an independent auditor. バイアス監査とは、独立監査人による公平な評価である。
At a minimum, an independent auditor’s evaluation must include calculations of selection or scoring rates and the impact ratio across sex categories, race/ethnicity categories, and intersectional categories. 最低限、独立監査人の評価には、選択率または得点率の計算と、性別カテゴリー、人種/民族カテゴリー、および交差カテゴリーにわたる影響比率が含まれていなければならない。
See TRules of the City of New York for examples of what must be in a bias audit. バイアス監査の記載事項の例については、『ニューヨーク市規則』を参照のこと。
2. Do employers and employment agencies have to stop using an AEDT if the results of a bias audit seem to indicate a disparate impact? 2. バイアス監査の結果が差別的影響を示していると思われる場合、雇用主や雇用機関はAEDTの使用を中止しなければならないのか?
The Law requires employers and employment agencies to do a bias audit; however, the Law does not require any specific actions based on the results of a bias audit. 同法は、雇用主および雇用機関にバイアス監査を義務付けているが、バイアス監査の結果に基づく具体的な措置を義務付けてはいない。
Important: Federal, state, and New York City laws prohibit discrimination. Employers and employment agencies must comply with all relevant Anti-Discrimination laws and rules to determine any necessary actions based on the results of a bias audit. 重要である: 連邦法、州法、ニューヨーク市の法律は差別を禁止している。雇用主および雇用機関は、バイアス監査の結果に基づいて必要な措置を決定するために、関連するすべての反差別法および規則を遵守しなければならない。
Visit nyc.gov/humanrights for more information about the NYC Human Rights Law. ニューヨーク市人権法の詳細については、nyc.gov/humanrightsを参照のこと。
3. Do employers and employment agencies have to publicly share the results of a bias audit? 3. 雇用主や雇用機関は、バイアス監査の結果を公に共有しなければならないのか?
Yes. Employers and employment agencies must publish: はい。雇用主および雇用機関は、以下を公表しなければならない:
• A summary of the results of the most recent bias audit. AND ・直近のバイアス監査結果の要約。そして
• The distribution date of the AEDT. ・AEDTの配布日。
Distribution date is the date employers and employment agencies began using the AEDT. 配布日とは、雇用主および雇用機関がAEDTの使用を開始した日である。
They can: 雇用主や職業紹介事業者は、以下を行うことができる:
• Post this information on the employment section of their website. AND/OR ・この情報をウェブサイトの雇用セクションに掲載する。または
• Provide an active hyperlink to a website with this information. ・この情報が掲載されたウェブサイトへのアクティブなハイパーリンクを提供する。
The summary of results must include: 結果の概要には、以下を含めなければならない:
• The date of the most recent bias audit of the AEDT. AND ・AEDTの直近のバイアス監査の日付。および
• The source and explanation of the data used to conduct the bias audit. AND ・バイアス監査の実施に使用されたデータの出典と説明。および
• The number of individuals the AEDT assessed that fall within an unknown category. AND ・AEDTが評価した個人のうち,不明なカテゴリーに属する人の数。AND
• The number of applicants or candidates, the selection or scoring rates, as applicable, and the ・申請者または候補者の数,該当する場合は選考率または採点率,および全カテゴリーの影響比率。
impact ratios for all categories. 全カテゴリーの影響比率。
4. How often must employers and employment agencies perform a bias audit? 4. 雇用主や職業紹介会社は、どのくらいの頻度でバイアス監査を実施しなければならないのか?
Every year. Employers and employment agencies can only rely on a bias audit for one year from the date it was conducted. To be able to use an AEDT, they must ensure the AEDT has had a bias audit within the past year. 毎年である。雇用主や雇用機関は、バイアス監査を実施した日から1年間しか依拠することができない。AEDTを使用するためには、AEDTが過去1年以内にバイアス監査を受けたことを確認しなければならない。
III. Data Requirements III. データ要件
1. What data should employers and employment agencies use to conduct a bias audit? 1. 雇用主と職業紹介会社は、バイアス監査を実施するためにどのようなデータを使用すべきか?
Historical data of the AEDT must be used to conduct a bias audit. “Historical data” is the data collected during an employer’s or employment agency’s use of an AEDT to assess candidates for employment or employees for promotion. バイアス監査の実施には、AEDTの過去のデータを使用しなければならない。「履歴データ」とは、雇用主または雇用機関が雇用候補者または昇進のための従業員を評価するためにAEDTを使用する際に収集されたデータのことである。
There are exceptions for test data. See the FAQ that follow. テストデータについては例外がある。以下のFAQを参照のこと。
2. Can a bias audit use historical data from another employer’s or employment agency’s use of the same AEDT? 2. バイアス監査は、別の雇用主または雇用機関が同じAEDTを使用した際の履歴データを使用できるか?
Yes. A bias audit can use the historical data of multiple employers or employment agencies that use the same AEDT; however, employers and employment agencies can only rely on it if: はい。バイアス監査は、同じAEDTを使用している複数の雇用主または雇用機関の履歴データを使用することができる:
• They provided historical data from their use of the AEDT to the independent auditor conducting the bias audit. OR ・バイアス監査を実施する独立監査人にAEDTの使用履歴データを提供している。または
• It is the first time they are using the AEDT. ・初めて AEDT を使用する。
3. Can employers and employment agencies limit the historical data—for example, time periods—used for a bias audit? 3. 雇用主や職業紹介会社は、バイアス監査に使用する履歴データ(例えば、期間)を制限することができるか?
The Law has no specific requirement about the historical data used for a bias audit. However, the summary of the results of a bias audit must include the source and explanation of the data used to conduct the bias audit. If the historical data was limited in any way, including to a specific region or time period, the audit should explain why. この法律では、バイアス監査に使用する過去のデータについて特別な要件は設けていない。しかし、バイアス監査の結果の要約には、バイアス監査を実施するために使用したデータの出典と説明を含めなければならない。過去のデータが、特定の地域や期間を含め、何らかの形で限定されていた場合、監査はその理由を説明すべきである。
4. Can companies that hire for different positions rely on a bias audit based on the historical data of multiple employers or employment agencies? 4. 異なる職種を採用する企業は、複数の雇用主または職業紹介業者の履歴データに基づくバイアス監査に頼ることができるか?
Yes. However, companies can only rely on it if: はい。ただし、以下の場合に限り依拠することができる:
• They provided historical data from their use of the AEDT to the independent auditor conducting the bias audit. OR ・バイアス監査を実施する独立監査人に,AEDTの使用履歴データを提供した。または
• It is the first time they are using the AEDT. ・初めてAEDTを使用する。
There is no additional requirement that the companies providing historical data used the AEDT to hire or promote for the same type of position. 過去のデータを提供した企業が、同じ職種の採用や昇進にAEDTを使用したという追加要件はない。
5. What should employers and employment agencies do if they do not collect demographic data from applicants or if they have minimal historical data from their use of an AEDT? 5. 応募者から人口統計学的データを収集していない場合、またはAEDTを使用した履歴データがほとんどない場合、雇用主や人材紹介会社はどうすればよいか?
If there is insufficient historical data available to conduct a statistically significant bias audit, test data can be used to conduct a bias audit. 統計的に有意なバイアス監査を行うために利用できる過去のデータが不十分な場合、テストデータを使用してバイアス監査を行うことができる。
See The Rules of the City of New York for specific examples of data use. データ使用の具体例については、ニューヨーク市の規則を参照のこと。
6. Can employers and employment agencies impute  demographic information to applicants or use algorithmic software to infer it? 6. 雇用主や就職斡旋業者は、応募者に人口統計学的情報を付与したり、アルゴリズムソフトを使用して推論することができるか?
No. Imputed or inferred data cannot be used to conduct a bias audit. いいえ。バイアス監査を実施するために、インプットまたは推論されたデータを使用することはできない。
Historical data must be used to conduct a bias audit. Historical data is data collected during an employer’s or employment agency’s use of an AEDT to assess candidates for employment or employees for promotion. バイアス監査の実施には、過去のデータを使用しなければならない。履歴データとは、雇用主または雇用機関が採用候補者または昇進を希望する従業員を評価するためにAEDTを使用する際に収集されたデータのことである。
If there is insufficient historical data available to conduct a statistically significant bias audit, the following can be used to conduct a bias audit: 統計的に有意なバイアス監査を実施するために利用できる過去のデータが不十分な場合、バイアス監査を実施するために以下を利用することができる:
• Historical data of other employers or employment agencies. OR ・他の雇用主または雇用機関の過去のデータ。または
• Test data. ・試験データ。
7. What is a “statistically significant bias audit”? 7. 統計的に有意なバイアス監査」とは何か?
DCWP has not set a specific requirement for statistical significance. If an independent auditor determines there is insufficient historical data to conduct a statistically significant bias audit, test data may be used to conduct the bias audit. The summary of results of the bias audit must explain why test data was used and include the source and description of the data. DCWP は、統計的有意性についての具体的な要件を定めていない。独立監査人が、統計的に有意なバイアス監査を実施するには過去のデータが不十分であると判断した場合、試験データを使用してバイアス監査を実施することができる。バイアス監査結果の要約には、テストデータを使用した理由を説明し、データの出所と説明を含め なければならない。
8. What are the requirements for test data? 8. テストデータの要件は何か?
To allow for flexibility and development of best practices in this rapidly developing field, DCWP has not set requirements for test data. However, the summary of results of the bias audit must include the source and explanation of the data used to conduct the bias audit. In addition, if the bias audit used test data, the summary should explain how the data was sourced or developed. 急速に発展しているこの分野におけるベストプラクティスを柔軟に発展させるため、DCWP はテス トデータに関する要件を定めていない。ただし、バイアス監査の結果の要約には、バイアス監査の実施に使用したデータの出典と説明を含めなければならない。加えて、バイアス監査がテストデータを使用した場合、要約は、そのデータがどのように入手または開発されたかを説明しなければならない。
9. When can the calculations in a bias audit exclude a sex, race/ethnicity, or intersectional category? 9. バイアス監査において、性別、人種/民族、または交差カテゴリーを除外して計算できるのはどのような場合か?
If a category represents less than 2% of the data used for the bias audit, it can be excluded from the required calculations. However, the calculations must include all other categories. あるカテゴリーがバイアス監査に使用されたデータの2%未満である場合、必要な計算から除外することができる。ただし、計算には他のすべてのカテゴリーを含めなければならない。
Note: The requirements for the bias audit are minimum requirements. An independent auditor can provide further explanation of the data or calculations. 注:バイアス監査の要件は最低要件である。独立監査人は、データや計算についてさらなる説明を行うことができる。
IV. Independent Auditors IV. 独立監査人
1. Does DCWP have a list of approved independent auditors? 1. DCWP は、承認された独立監査人のリストを持っているか?
No. The Law does not require independent auditors to be approved by DCWP. 法律は、独立監査人が DCWP によって承認されることを義務付けていない。
2. Who can be an independent auditor? 2. 誰が会計監査人になれるのか。
An independent auditor is someone who exercises objective and impartial judgment in the performance of a bias audit. 独立監査人とは、偏った監査の実施において客観的かつ公平な判断を行う者である。
Auditors are NOT independent if they: 以下の場合、独立監査人ではない:
• Work for the employer or employment agency that will use the AEDT or the vendor that developed or distributes the AEDT. OR ・AEDT を使用する雇用主または雇用機関,あるいは AEDT を開発または配布したベンダーのために働いている。または
• Were involved in using, developing, or distributing the AEDT regardless of where they work currently. OR ・現在働いている場所にかかわらず,AEDT の使用,開発,配布に関与していた。または
• Have a direct financial interest or a material indirect financial interest in the employer or employment agency that will use the AEDT or the vendor that developed or distributed the AEDT. ・AEDTを使用する雇用主もしくは雇用機関,またはAEDTを開発もしくは配布したベンダーと直接的な金銭的利害関係,または重大な間接的金銭的利害関係がある。
V. Responsibility for Bias Audits V. バイアス監査の責任
1. Who is responsible for complying with the Law's bias audit requirement? 1. 法のバイアス監査要件を遵守する責任は誰にあるのか?
Employers and employment agencies are responsible for ensuring they do not use an AEDT unless a bias audit was done. 雇用主および人材派遣会社は、バイアス監査が行われない限り、AEDTを使用しないようにする責任がある。
The vendor that created the AEDT is not responsible for a bias audit of the tool. AEDTを作成したベンダーは、そのツールのバイアス監査に責任を負わない。
2. Can a vendor do a bias audit of its own tool? 2. ベンダーは自社のツールのバイアス監査を行うことができるか?
Yes. A vendor can have an independent auditor do a bias audit of its tool. The Law does not prohibit a vendor from having a bias audit done or coordinating the collection of data to use to conduct a bias audit. できる。ベンダーは、独立監査人に自社のツールのバイアス監査を行わせることができる。この法律は、ベンダーがバイアス監査を行うことや、バイアス監査を行うためのデータ収集を調整することを禁止していない。
Important: Employers and employment agencies are ultimately responsible for ensuring a bias audit was done before using an AEDT. 重要:雇用主や雇用機関は、AEDTを使用する前にバイアス監査が行われたことを確認する最終的な責任を負う。
VI. Notice Requirements VI. 通知要件
1. How must employers and employment agencies provide notice of AEDT use? 1. 雇用主及び雇用機関は、AEDT使用についてどのように通知しなければならないか?
Employers and employment agencies must notify employees and job candidates who are residents of New York City that they are using an AEDT and the job qualifications or characteristics the AEDT will assess. Employers and employment agencies must: 雇用主および人材派遣会社は、ニューヨーク市に居住する従業員および求職者に対し、AEDT を使用すること、および AEDT が評価する職務上の資格または特性を通知しなければならない。雇用主および人材派遣会社は、以下を行わなければならない:
•  Include in the notice instructions to request a reasonable accommodation under other laws. AND ・他の法律に基づく合理的配慮を要求するための指示を通知に含めること。そして
•  Provide the notice 10 business days before using an AEDT. AND ・AEDT を使用する 10 営業日前に通知すること。そして
•  Provide the notice in a job posting or by mail or email. Note: ・求人広告,郵便,Eメールで通知すること。注記
o For job applicants: As an alternative, employers and employment agencies can provide notice on the employment section of their website. Notice on a website does not have to be positionspecific. o 求職者の場合:代替案として、雇用主や人材紹介会社は、そのウェブサイトの採用セクションで通知を行うことができる。ウェブサイトでの告知は職種を特定する必要はない。
o For candidates for promotion: As an alternative, employers and employment agencies can include notice in a written policy or procedure. Notice provided in this way does not have to be position-specific. o 昇格候補者の場合:代替案として、雇用主や雇用機関は書面による方針や手順に通知を含めることができる。この方法で提供される通知は、職種に特化したものである必要はない。
2. If employers and employment agencies provide notice on their website, when can they start using an AEDT to assess applicants for a position? 2. 雇用主や雇用機関がウェブサイトで通知を提供する場合、いつからAEDTを使用して応募者を評価することができるのか?
Employers and employment agencies can begin using an AEDT 10 business days after posting notice on their website regardless of when a specific job posted. 雇用主や人材派遣会社は、特定の求人がいつ掲載されたかに関わらず、ウェブサイトに通知を掲載してから10営業日後からAEDTの使用を開始することができる。
VII. Complaints VII. 苦情
1. How can someone make a complaint about violations of the Law? 1. 法律違反に関する苦情はどのように申し立てるのか?
To submit a complaint, contact 311 or visit the DCWP website at nyc.gov/dcwp. 苦情を申し立てるには、311に連絡するか、DCWPのウェブサイト(nyc.gov/dcwp)を参照のこと。
Complaints should include all of the following: 苦情には以下のすべてを含めること:
• Details of the job posting or position ・求人広告またはポジションの詳細
• Name and type of AEDT ・AEDTの名前と種類
• Notice provided, if any ・通知がある場合はその内容
• Explanation of suspected violation (for example, AEDT used without notice) ・違反の疑いの説明(例えば,通知なしにAEDTが使用されたなど)
2. How will DCWP handle discrimination complaints involving AEDT use? 2. DCWP は、AEDT 使用に関する差別の苦情をどのように扱うのか?
DCWP enforces the Law’s prohibition on AEDT use without a bias audit and required notices. DCWPは、バイアス監査と必要な通知なしにAEDTを使用することを禁止する法律を施行する。
Claims of discrimination involving AEDT use should go to the NYC Commission on Human Rights (Commission) which enforces the NYC Human Rights Law. AEDT使用に関する差別の申し立ては、ニューヨーク市人権法を施行するニューヨーク市人権委員会(Commission on Human Rights)に行う。
DCWP will refer any claims of discrimination to the Commission. DCWPは、差別の申し立てをすべて委員会に照会する。

 

 


 

EUのデジタルサービス法における監査については、

このブログの

・2023.12.30 欧州委員会 デジタルサービス法に基づく独立監査に関する委任規則 (2023.10.20)

 

が参考になるかも...

 

| | Comments (0)

2023.12.30

欧州委員会 デジタルサービス法に基づく独立監査に関する委任規則 (2023.10.20)

こんにちは、丸山満彦です。

残念ながら、日本の企業には関係ない(対象はこちら...)ので、少し後回しにしていたのですが、、

デジタルサービス法に基づく超大規模オンラインプラットフォーム(VLOP)および超大規模オンライン検索エンジン(VLOSE)の監査に関する規則が発行されているので、いまさらですが、紹介です。。

これは、デジタルサービス法 (DSA) の第37条に基づく監査についての規則です。。。

VLOPとVLOSEは

(a) 第III章に規定された義務

(b) 第45条と第46条の行動規範と第48条の危機プロトコルに従って実施されたコミットメント

についての監査を受けることが義務付けられていますが、その監査についての規則ですね。。。

 

デジタル空間のトラストについては、カナダの当時の勅許会計士協会(CICA) 米国会計士協会(AICPA) が1998年に開発したWebTrustが最初のように思いますが、それから25年たって、超大規模オンラインプラットフォームと超大規模オンライ検索エンジンについても、同様の監査を義務付けるようになりましたね。。。これからますます目に見えないサービスに社会が依存していくのでこういうのは重要となってくるでしょうね。。。

 

監査についてですが、ISOのマネジメント監査のようなものではなく、会計監査をしている監査人が従う監査基準(保証基準)に従ったような監査ですよね。。。

ただ、監査報告書は、表形式っぽいテンプレートになっていますね。。。監査(保証業務)という観点からは興味深い内容です。。。

 

European Commission

・2023.10.20 Delegated Regulation on independent audits under the Digital Services Act

・[PDF] 1- Delegated Regulation supplementing Regulation (EU) 2022/2065 of the European Parliament and of the Council, by laying down rules on the performance of audits for very large online platforms and very large online search engines

超大規模オンラインプラットフォームおよび超大規模オンライン検索エンジンの監査の実施に関する規則を定めることにより、欧州議会および理事会規則(EU)2022/2065を補完する委任規則

20231230-64454

 

条文の目次...

SECTION I   GENERAL PROVISIONS セクション I 総則
Article 1  Subject matter 第1条 主題
Article 2   Definitions 第2条 定義
Article 3  Scope of the audit and reasonable level of assurance 第3条 監査の範囲と合理的保証水準
SECTION II   CONDITIONS FOR THE PERFORMANCE OF THE AUDIT セクション II   監査実施の条件
Article 4  Selection of the auditing organisation 第4条 監査組織の選定
Article 5  Cooperation and assistance between the audited provider and the auditing organisation 第5条 被監査事業者と監査組織の間の協力と支援
SECTION III   PERFORMANCE OF AUDITS セクション III   監査の実施
Article 6  Audit report and audit implementation report 第6条 監査報告書および監査実施報告書
Article 7  Procedures for the preparations for the audit 第7条 監査準備の手続き
Article 8  Audit opinion, audit conclusions and recommendations 第8条 監査意見、監査結論および勧告
SECTION IV  AUDIT METHODOLOGIES セクションIV 監査手法
Article 9  Audit risks analysis 第9条 監査リスク分析
Article 10  Appropriate audit methodologies 第10条 適切な監査手法
Article 11  Quality of audit evidence 第11条 監査証拠の質
Article 12  Sampling methods 第12条 サンプリング方法
Article 13  Specific methodologies for auditing compliance with Article 34 of Regulation (EU) 2022/2065 on risk assessment 第13条 リスクアセスメントに関する規則(EU)2022/2065 第34条を遵守するための具体的な監査手法
Article 14  Specific methodologies for auditing compliance with Article 35 of Regulation (EU) 2022/2065 on mitigation of risks 第14条 リスク軽減に関する規則(EU)2022/2065 第35条を遵守するための具体的な監査手法
Article 15  Specific methodologies for auditing compliance with Article 36 of Regulation (EU) 2022/2065 on crisis response mechanism 第15条 危機対応メカニズムに関する規則(EU)2022/2065 第36条を遵守するための具体的な監査手法
Article 16  Auditing compliance with Article 37 of Regulation (EU) 2022/2065 on independent audit 第16条 独立監査に関する規則(EU)2022/2065 第37条に準拠した監査
Article 17  Auditing compliance with codes of conduct and crisis protocols 第17条   行動規範および危機管理プロトコルの遵守状況の監査
SECTION V   FINAL PROVISIONS セクションV 最終規定
Article 18  Entry into force 第18条 発効

 

・[PDF] 2- Annexes to the Delegated Regulation

20231230-64013




二つ合わせてた仮訳

・ [DOCX] 仮訳

 


 

デジタルサービス法 (官報)

EUR-Lex

・2022.10.19 Regulation (EU) 2022/2065 of the European Parliament and of the Council of 19 October 2022 on a Single Market For Digital Services and amending Directive 2000/31/EC (Digital Services Act) (Text with EEA relevance)

 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.07.11 欧州議会 デジタルサービス法 (DSA) デジタル市場法 (DMA) が可決 (2022.07.05)

・2020.12.16 欧州委員会 デジタルプラットフォーマを規制するためのデジタルサービス法とデジタル市場法の最終提案を公表

 

 

| | Comments (0)

2023.12.29

Partnership on AI 責任あるAIのすすめ:2023年のPAIリソーストップ4

こんにちは、丸山満彦です。

2016年に設立され、世界(といっても米国中心ですが...)から113組織が加盟している、AIの責任ある利用に取り組む非営利団体のPartnership on AI; PAI;  [wikipedia]  が2023年を振り返って、発表した内容で特筆すべきものとして4点挙げています。。。

参加組織は113あるわけですが、日本企業という意味では、SONY(だけ)が参加していますね。。。設立はAmazonFacebookGoogleDeepMindMicrosoftIBMで、その後Appleも加盟しています。。。中国からも1団体(学術)が参加しています。

その中でも2月に発表した合成メディアの倫理的な開発と利用を導くことを目的としたフレームワークは確かに重要なものですね。。。私は発表当時見逃していたけど..(^^;)

生成AIがいろいろと話題になった2023年でしたが、AIで自由に本物らしい画像や音声が作れるようになると、報道機関の役割というのがより高まるように思います。組織的に情報の質を検証して発表していくわけですから。。。

普段のおもしろ情報はSNSでもよいのですが、いろいろと意思決定をするときに使う情報というのは、報道機関等により情報の質を検証されたものであることになるでしょうね。。。(フェイクニュース等を検証する団体も重要性が高まるように思いますが、本来的には報道機関がちゃんとしてれば問題ないんですけどね。。。)

ということで、報道機関も生成AIを敵視せずに上手く利用しつつ、自分等の本質的な価値を高めていってほしいかなぁ。。

ということで、これからは報道機関の重要性がさらに高まっていくように思います。。。

 

また、合否や人事といった人の評価に関わることにAIが利用されることになれば、説明可能性が必要となってきますが、その分野もこれから重要となってくるでしょうね。。。(今の人事制度等でも評価者の頭の中はブラックボックスですが、評価をする際には、その一部でもコメントとして表にでてきていますから。。。)。ということで、根拠を示しながら結論を示すというAIというのが重要となってくる局面が増えるでしょうね。。。

 

Partnership on AI - blog

・2023.12.20 Responsible AI Recommendations: Top Four PAI Resources of 2023

 

Responsible AI Recommendations: Top Four PAI Resources of 2023 責任あるAIのすすめ: 2023年のPAIリソーストップ4
Despite what many sci-fi movies may lead us to believe, we are not destined to live in a world where AI harms society for the benefit of a select few. While the risks are real, no technological future is fixed. If technology is to work for the benefit of all of humanity, it will need to be designed and deployed in dialogue with all stakeholders — and not treat their differing needs as an afterthought. 多くのSF映画が私たちを信じ込ませているにもかかわらず、私たちは、AIが一部の人間の利益のために社会を害するような世界に住む運命にはない。リスクは現実に存在するが、テクノロジーの未来が決まっているわけではない。テクノロジーが人類全体の利益のために機能するためには、すべてのステークホルダーとの対話の中で設計され、展開される必要がある。
With multistakeholder collaboration and responsible policymaking, we can build an equitable future empowered by AI. In that spirit, Partnership on AI, develops tools, resources, and recommendations, to change industry practice and ensure advancements in AI benefit people and society. マルチステークホルダーの協力と責任ある政策立案によって、我々はAIによって力を与えられた公平な未来を築くことができる。その精神に基づき、Partnership on AIは、業界の慣行を変え、AIの進歩が人々と社会に利益をもたらすことを確実にするためのツール、リソース、提言を開発する。
Over the course of 2023, we published four sets of recommended practices towards the following goals: 2023年の間に、我々は以下の目標に向けた4つの推奨事項を発表した:
・responsible development, creation, and sharing of synthetic media ・合成メディアの責任ある開発、作成、共有
・safe deployment of foundation models ・基盤モデルの安全な展開
・AI development and deployment that truly works for workers ・労働者のために真に機能するAIの開発と導入
・responsible AI adoption by news organizations ・報道機関による責任あるAIの採用
Through a collaborative process with our partner community, including AI practitioners, civil society experts, and academic researchers, among others, our team identifies actionable recommendations that, if adopted at scale, can prevent AI’s potential harms and expand its benefits. AIの実務家、市民社会の専門家、学術研究者など、我々のパートナー・コミュニティとの共同プロセスを通じて、我々のチームは、大規模に採用されれば、AIの潜在的な危害を防止し、その利益を拡大することができる実行可能な勧告を特定する。
The PAI recommendations released in 2023 aimed to: 2023年に発表されたPAIの提言は、以下を目的としている:
Set Real Rules for “Fake” Media 「フェイク」メディアに真のルールを設定する
AI-generated content, once the product of experimental research in computer science labs, has become a major engine of digital content creation. In February 2023, we launched PAI’s Responsible Practices for Synthetic Media, a framework on how to responsibly develop, create, and share synthetic media: the audiovisual content often generated or modified by AI. The Framework is the culmination of a year of consultation with PAI partners and collaborators, and 18 organizations, from OpenAI to TikTok to WITNESS, have signed on as Framework supporters. AIによって生成されたコンテンツは、かつてはコンピューターサイエンスの研究室における実験的研究の産物であったが、今やデジタルコンテンツ制作の主要なエンジンとなっている。2023年2月、我々はPAIの「合成メディアのための責任ある行動規範」を発表した。これは、責任を持って合成メディア(AIによって生成または修正されることの多い視聴覚コンテンツ)を開発、作成、共有する方法に関するフレームワークである。このフレームワークは、PAIのパートナーや協力者との1年にわたる協議の集大成であり、OpenAIからTikTok、WITNESSまで、18の組織がフレームワークのサポーターとして署名している。
Provide Custom Guidance for Model Deployers モデル展開者にカスタムガイダンスを提供する
Given the potentially far-reaching impacts of foundation models, we collaborated with our global community to develop PAI’s Guidance for Safe Foundation Model Deployment. This is a framework for model providers to responsibly develop and deploy foundation models across a spectrum of current and emerging capabilities, helping anticipate and address risks. We are currently accepting public comments on the Guidance; please submit feedback by Jan. 15, 2024. 財団モデルの潜在的な影響が広範囲に及ぶ可能性があることから、私たちはグローバルコミュニティと協力して、PAIの「安全な財団モデル展開のためのガイダンス」を開発した。これは、モデルプロバイダーが責任を持って、現在および今後出現する様々な機能の基盤モデルを開発・展開するための枠組みであり、リスクの予測と対処を支援するものである。現在、このガイダンスに関するパブリックコメントを受け付けている。
Make AI Work for Workers and the Economy AIを労働者と経済のために働かせる
AI has the potential to radically disrupt people’s economic lives in both positive and negative ways. It remains to be determined which of these we’ll see more of. AI developers, AI users, policymakers, labor organizations, and workers can all help steer AI so its economic benefits are shared by all. Using PAI’s Shared Prosperity Guidelines, these stakeholders can minimize the chance that individual AI systems worsen shared prosperity-relevant outcomes. We continue to seek input on the Guidelines; please get in touch to share feedback
.
AIは、ポジティブな意味でもネガティブな意味でも、人々の経済生活を根本的に破壊する可能性を秘めている。私たちがどちらをより多く目にすることになるかは、まだ確定していない。AI開発者、AIユーザー、政策立案者、労働団体、そして労働者は皆、AIがもたらす経済的利益を皆で分かち合えるよう、舵取りを支援することができる。PAIのシェアード・プロスぺリティ・ガイドラインを使えば、これらのステークホルダーは、個々のAIシステムがシェアード・プロスぺリティに関連する成果を悪化させる可能性を最小限に抑えることができる。ガイドラインに関するご意見を引き続き募集している。
Help News Organizations Responsibly Adopt AI 報道機関が責任を持ってAIを導入できるよう支援する
AI is already changing the way news is being reported. While many AI tools can benefit journalists and streamline processes, their use can present many risks. From potentially spreading misinformation to making biased statements, the cost — both literally and figuratively — of misusing AI in journalism can be high. AI Adoption for Newsrooms: A 10-Step Guide provides a step-by-step roadmap to support newsrooms navigating the difficult questions posed by AI tool identification, procurement, and use
.
AIはすでにニュース報道のあり方を変えつつある。多くのAIツールはジャーナリストに利益をもたらし、プロセスを合理化する一方で、その使用には多くのリスクが伴う。誤った情報を広める可能性から偏った発言をする可能性まで、ジャーナリズムにおけるAIの誤用がもたらす代償は、文字通りの意味でも比喩的な意味でも、高くつく可能性がある。ニュースルームのためのAI導入: A 10-Step Guide』は、AIツールの識別、調達、使用によってもたらされる困難な問題に対処するニュースルームを支援するための、段階的なロードマップを提供する。
* * * * * *
In the past year, we’ve seen policymakers and regulators around the globe seek to implement AI policies to protect citizens from potential AI harms. PAI’s recommendations provide important examples of practical guidance created with input from stakeholders across the AI ecosystem. 昨年、世界中の政策立案者や規制当局が、AIの潜在的な害悪から市民を守るためにAI政策を実施しようとしているのを目にした。PAIの提言は、AIエコシステム全体の利害関係者の意見を取り入れて作成された実践的なガイダンスの重要な例を示している。
We look forward to working with our community to implement and refine these recommendations in 2024. 我々は、2024年にこれらの提言を実施し、洗練させるためにコミュニティと協力することを楽しみにしている。

 

合成メディアの責任ある開発、作成、共有<

・2023.02.27 PAI’s Responsible Practices for Synthetic Media - A Framework for Collective Action

・[PDF

20231229-74132

 

 

基盤モデルの安全な展開

PAI’s Guidance for Safe Foundation Model Deployment - A Framework for Collective Action

・[PDF

20231229-74635

 

 

労働者のために真に機能するAIの開発と導入

・2023.06.07 Guidelines for AI and Shared Prosperity

・[PDF

20231229-75056

 

報道機関による責任あるAIの採用

・2023.11.14 AI Adoption for Newsrooms: A 10-Step Guide - A step by step guide to the responsible adoption of AI tools in newsrooms

・[PDF

20231229-75318

 

 


 

● 

 

 

| | Comments (0)

JNSA 2023セキュリティ十大ニュース ~日本のサイバー社会を支える安心構造に破綻の予兆かも~ (2023.12.26)

こんにちは、丸山満彦です。

本ネットワークセキュリティ協会が2023年 セキュリティ十大ニュースを発表していますね。

わたしは、この選定にはこれまできっちり関わっていないので、毎年楽しみにして待っています (^^)

選んだ人たちの目線というか、意識がどこにいっているのかが興味深いですね。。。

今年の選考は、いわゆるサイバー攻撃によるものではなく、従来型の運用ミス、システム障害、内部犯行、そして偽情報という感じですね。。。

まぁ、実際にセキュリティ事故で表にでることのほとんどは、システム障害ですからね。。。そして、偽情報は気になると。。。偽情報に関しては生成よりも、拡散が重要なポイントですね。。。

 

● 日本ネットワークセキュリティ協会 (JNSA)

・2023.12.26 JNSA 2023セキュリティ十大ニュース ~日本のサイバー社会を支える安心構造に破綻の予兆かも~

# Date タイトル サブタイトル
1 2023.09.20 マイナンバー相次ぐ紐付けトラブル、デジタル庁に行政指導も 紐づけミス、ルールの未整備とミスを誘発する運用設計に問題? 
2 2023.10.17 元派遣社員の顧客情報持ち出し10年間、ずさんな内部不正対策 2014年の第1位だった内部不正による情報漏洩事件がまた上位にランクイン 
3 2023.10.10 全銀ネットでシステム障害 三菱UFJやりそななど10の銀行で振込できず 50年間続いた安定稼働を過信しガバナンスおろそかになったか 
4 2023.11.04 報道番組を装った総理大臣の偽動画拡散、AIのセキュリティリスク 生成AIでディープフェイクが劇的に簡単化、対抗策に画像のワクチン 
5 2023.08.04 内閣サイバーセキュリティセンターが不正侵入被害 情報公開巡りJPCERT/CCがNISCに苦言?
6 2023.07.04 ランサムウェア感染により名古屋港の全ターミナルが機能停止 続出するランサム被害、多くがリモート接続用のVPN機器から侵入 
7 2023.06.30 富士通への行政指導、サイバー攻撃対策とシステム品質にダメ出し 通信の秘密が外部に流出、コンビニ交付の証明書誤発行も、がんばれ富士通! 
8 2023.10.26 ハマス・イスラエル戦争のサイバー攻撃余波、日本にも サイバー空間も戦場になっていく中で、日本のサイバー戦略は大丈夫なのか 
9 2023.02.23 偽セキュリティ警告(サポート詐欺)の月間相談件数が過去最高に 個人狙い詐欺多発、QRコードから不正サイトへ誘導も 
10 2023.09.21 ニンテンドーアカウントがパスキー対応 パスワード不要でログイン可能に パスキー普及で、2023年が「パスワードレス元年」となるか? 

 

 

ちなみに2022年は、、、

# Date タイトル サブタイトル
1 2022.02.24 ロシアがウクライナへ軍事侵攻 国家間の戦争においてサイバー攻撃はどう位置付けられるのか?
2 2022.03.01 取引先企業へのサイバー攻撃でトヨタ自動車の国内全工場が稼働停止 改めて浮き彫りになったサプライチェーン全体でのセキュリティ対策の重要性
3 2022.06.23 全市民46万人余の個人情報入ったUSBを紛失 尼崎市が発表 情報に 対する思いの サイイタク(差異痛く/再委託)
4 2022.07.02 KDDI大規模通信障害 丸2日間 119番通報を含む生活インフラに過去最大級の障害
5 2022.10.31 大阪急性期・総合医療センターでランサム被害 人質は電子カルテ、外来診療や手術の停止など深刻な影響
6 2022.05.18 経済安全保障推進法公布 国民生活や国家の安全確保の一端をサイバーセキュリティが担う時代が到来
7 2022.11.04 休眠から再び戻ってきたEmotetが活動再開、猛威は続く 活動開始から8年、進化を続けるEmotetに終焉は来るのか
8 2022.04.01 改正個人情報保護法施行 迅速な法整備とそれに足並みを揃えた社会への展開が課題
9 2022.09.01 デジタル庁発足1週年、期待と実績、改革は道半ば 全員参加で大胆な改革を!
10 2022.07.11 米国政府はLog4jの脆弱性に前例のない警鐘を鳴らした 既に侵入されている? 動き出した攻撃者に対策は間に合うのか
2022.11.01 SMAP-LIU運用開始 Low-ImpactはHigh-Impactになるか、その影響力に期待

 

ちなみに2021年は、、、

# Date タイトル サブタイトル
1 2021.05.07 ランサムウェアの被害広範囲に、影響は一般市民にも ランサムウェア攻撃の脅威を思い知らされた1年
2 2021.03.17 LINEデータ管理の不備が指摘される にわかに盛り上がる経済安全保障の論議
3 2021.01.27 EMOTETテイクダウンの朗報、しかし再燃の動きも 国際間協力により完全破壊するも11月には復活
4 2021.05.26 ProjectWEBへの不正アクセスで官公庁等の情報が流出 今後のITサプライチェーンの課題は?
5 2021.11.26 みずほ銀行のシステム障害多発に金融庁が業務改善命令 日本企業の経営層に求められるITに対する理解
6 2021.01.29 Salesforce設定ミスによる情報流出にNISCが注意喚起 クラウド・バイ・デフォルト時代における新たな責任の自覚
7 2021.10.21 NTTと東京オリパラ大会組織委員会、サイバーセキュリティ対策を報告 懸念されたサイバー攻撃を防御し、東京オリパラは無事終了
8 2021.01.12 ソフトバンク元社員を不正競争防止法違反で逮捕 社員による会社情報持ち出しの抑止力となるか?
9 2021.07.28 「戦争の原因になり得る」とサイバー攻撃に強い危機感 対岸は存在しないサイバー空間の攻防
10 2021.09.28 VPN狙い撃ちの被害続く中、米政府堅牢化のガイダンスを公開 攻撃は境界型防衛への最後通告か

 

 

ちなみに、2023.02に20+3周年の記念講演で発表した資料の10大ニュースの部分のアップデート。2001年からすべてを一覧で見れます・・・

・[PDF] JNSA セキュリティ十大ニュース

 

20231229-61912

 

ついでに、当時の発表資料のPDF

 

・[PDF] JNSA 20+3周年

20231229-63601

 

 


 

● まるちゃんの情報セキュリティきまぐれ日記

・2022.12.22 JNSA 2022セキュリティ十大ニュース

・2021.12.24 JNSA 2021セキュリティ十大ニュース

・2020.12.26 JNSAの2020年セキュリティ十大ニュース

・2009.12.29 JNSA 2009セキュリティ十大ニュース発表

 

| | Comments (0)

警察庁サイバー警察局 IPA サイバー事案の対処に関する連携協定の締結 (2023.12.22)

こんにちは、丸山満彦です。

警察庁サイバー警察局とIPAがサイバー事案の対処に関する連携協定を締結しましたね。サイバー警察局はグローバルにも連携をしていますが、国内でもこのように積極的に関係機関と連携していて良いですね。。。

米国連邦政府ですら、サイバー犯罪等への対応については、官民連携、国際連携がなければやっていけないと言っているわけですから、より小さな日本では、当然そうしなければならないでしょうね。。。ましてや、官官連携は当然ということで。。。

社会的に大きな問題になっている事案については、関係者の協力、連携による力強い対応というのが重要ですね。。。

 

IPA

・2023.12.22 警察庁サイバー警察局とサイバー事案の対処に関する連携協定を締結

・[PDF] サイバー事案の対処に関する連携協定書

20231229-50054

 

警察庁 - サイバー警察局

・2023.12.22 [PDF] サイバー事案の対処に関する協定書

 


サイバー事案の対処に関する協定書

(目的)

第1条 本協定は、企業等におけるサイバー事案(そのおそれがある事案を含む。以下同じ。)の未然防止及びサイバー事案発生時の被害の拡大防止等に関し、警察庁サイバー警察局(以下「甲」という。)と独立行政法人情報処理推進機構(以下「乙」という。)が相互に緊密な連携を推進することを目的として締結する。

(サイバー事案等相談受理時における連携)

第2条 甲は、都道府県警察においてサイバー事案被害等に係る通報・相談者から、サイバーセキュリティ対策等の一般的な技術支援・助言を求められた場合は、当該通報・相談者の意向を確認した上で、必要に応じ、乙が運営する情報セキュリティ安心相談窓口を紹介するよう都道府県警察に対し指導する。

2 乙は、サイバー事案被害に係る相談を受理した場合は、必要に応じ、当該相談者に対し、速やかに警察へ通報・相談するよう助言する。

3 甲及び乙は、サイバー事案に関する初動対応、事実関係の調査、原因究明の過程で得た情報について可能な範囲で共有するなど、再発防止策の検討及び注意喚起の発出等に資する連携を行う。

(平時における連携)

第3条 甲及び乙は、甲若しくは都道府県警察又は乙において広報啓発セミナー、注意喚起等の情報発信等を実施するに当たり、必要に応じ、双方の取組の活用、共催・共同での実施、受付窓口の紹介等により、一体的・包括的に双方の制度の活用の促進を図るなど、相互に連携する。

2 甲及び乙は、必要に応じ、双方が保有する次の(1)及び(2)の情報を可能な範囲で共有する。

(1) 調査・研究や公表資料等の作成等に資するサイバー事案の手口や発生状況等

(2) サイバー事案発生時に行う再発防止策に関する助言等に資する最新の脅威情報や技術動向等

3 乙は、甲又は都道府県警察が実施するサイバー・デジタル分野に係る対処能力の向上に関する部内教養・研修に、甲又は都道府県警察の求めに応じて講師を派遣する。

4 甲は、第1項及び第3項に定める事項の実施に当たり、乙との連携を推進するよう、都道府県警察に対し指導する。

5 各連携事項を実施するに当たっての具体的な方法は、別途甲乙合意の上、決定する。

(共有された情報の管理等)

第4条 甲及び乙は、前条第2項に基づき情報を共有するに当たって、当該情報の共有範囲を指定することができる。甲及び乙は、相手方の同意を得ることなく、当該共有範囲を超えて情報の共有を行ってはならない。

(有効期間)

第5条 本協定の有効期間は、協定締結の日から起算して1年間とする。ただし、期間満了日の1か月前までに甲又は乙から申し出がない場合は、本協定の効力は更に1年間延長されるものとし、以後も同様とする。

(協議解決)

第6条 本協定に記載のない事項又は本協定の条項の運用に疑義が生じた事項については、甲及び乙が協議の上、解決するものとする。

本協定の成立を証するため、本書2通を作成し、各1通を保有するものとする。

令和5年12月22日

(甲) 東京都千代田区霞が関2-1-2       警察庁サイバー警察局       局 長 河原 淳平

         (公印省略)

(乙) 東京都文京区本駒込2-28-8      独立行政法人情報処理推進機構      理事長 齊藤 裕

        (公印省略)


 

 

 

| | Comments (0)

2023.12.28

金融安定理事会( FSB) 第三者のリスク管理・監督強化のためのツールキット (2023.12.04)

こんにちは、丸山満彦です。

金融安定理事会 (Financial Stability Board; FSB) がアウトソーシング先を含む委託先などの第三者のリスク管理・監督強化のためのツールキットを公表していました。。。

FSBは2020年11月に[PDF]市中協議文書「アウトソーシング・サードパーティに関する規制・監督上の論点(ディスカッションペーパー)」を公表し、サードパーティに関する規制・監督にかかる当時の状況と課題を明らかにし、意見を募集していますね。。。その結果は、2021年6月に[PDF]「アウトソーシング・サードパーティに関する規制・監督上の論点(市中協議に寄せられた意見の概要)」として、公開されていますね。。。

そして、2023.06.22にこのツールキットの[PDF]意見募集版が公開されています。。。

今回のツールキットは

・用語の定義一覧

・サードパーティリスクを管理するためのツール

・サードパーティリスク管理の監督をするためのツール

という感じですかね。。。

金融機関なので、リスクという意味ではレジリエンスに中心を置いていますね。。。

 

Financial Stability Board; FSB

・2023.12.04 FSB publishes toolkit for enhancing third-party risk management and oversight

FSB publishes toolkit for enhancing third-party risk management and oversight FSB、サードパーティリスク管理・監督強化のためのツールキットを公表
・The toolkit has been developed in response to concerns over the risks to financial institutions from outsourcing and third-party service relationships. 本ツールキットは、アウトソーシングやサードパーティとのサービス関係から生じる金融機関のリスクに対する懸念に対応するために作成された。
・The toolkit aims to strengthen financial institutions’ ability to manage third-party risks and financial authorities’ ability to monitor and strengthen the resilience of the financial system. 本ツールキットは、金融機関のサードパーティリスク管理能力と、金融当局の金融システム のレジリエンスを監視・強化する能力を強化することを目的としている。
・The toolkit aims to reduce fragmentation in regulatory and supervisory approaches across jurisdictions and financial services sectors and to facilitate coordination among financial authorities, financial institutions, and third-party services providers. 本ツールキットは、各国・法域や金融サービスセクター間の規制・監督手法の分断を是正し、 金融当局、金融機関、サードパーティ・サービス提供者間の協調を促進することを 目的としている。
The Financial Stability Board (FSB) published today a toolkit for financial authorities and financial institutions for their third-party risk management and oversight. The toolkit was developed in response to concerns over the extent and nature of financial institutions’ interactions with a broad and diverse ecosystem of third-party service providers, which could have implications for financial stability. 金融安定理事会(FSB)は本日、金融当局と金融機関がサードパーティー・リスクの管理と監督を行うためのツールキットを公表した。このツールキットは、金融機関が広範かつ多様なサードパーティ・サービス提供者と相互作用する範囲や性質が、金融の安定に影響を及ぼす可能性があるとの懸念に応えるために作成された。
The primary emphasis of the toolkit is on critical third-party services, given the potential impact of their disruption on financial institutions’ critical operations and financial stability. It also looks holistically at financial institutions’ third-party risk management in light of changing industry practices and recent regulatory and supervisory approaches to operational resilience. このツールキットは、金融機関の重要な業務や金融の安定性に影響を及ぼす可能性のある、重要なサードパーティ・サービスに重点を置いている。また、業界慣行の変化や、オペレーショナル・レジリエンスに対する最近の規制・監督当局のアプローチに照らして、金融機関のサードパーティリスク管理を総合的に検討している。
The toolkit, which incorporates feedback from a public consultation conducted over the summer, aims to (i) reduce fragmentation in regulatory and supervisory approaches to third-party risk management across jurisdictions and different areas of the financial services sector; (ii) strengthen financial institutions’ ability to manage third-party risks and financial authorities’ ability to monitor and strengthen the resilience of the financial system; and (iii) facilitate coordination among relevant stakeholders (i.e. financial authorities, financial institutions and third-party service providers).   このツールキットは、夏に実施されたパブリックコンサルテーションからのフィードバックを反映したものであり、(i)サードパーティリスク管理に対する規制・監督のアプローチが、法域や金融サービスセクターのさまざまな分野で分断されていることを減らすこと、(ii)金融機関のサードパーティリスク管理能力と、金融当局の金融システムのレジリエンスを監視・強化する能力を強化すること、(iii)関連するステークホルダー(金融当局、金融機関、サードパーティ・サービス提供者など)間の協調を促進することを目的としている。 
The toolkit promotes comparability and interoperability of regulatory and supervisory approaches across sectors and jurisdictions. It comprises: ツールキットは、セクターや法域を超えた規制・監督アプローチの比較可能性と相互運用性を促進する。ツールキットの構成は以下の通りである:
・a list of common terms and definitions to improve clarity and consistency regarding third-party risk management across financial institutions. ・金融機関間のサードパーティリスク管理に関する明確性と一貫性を向上させるための、 共通の用語と定義のリスト。
・tools to help financial institutions identify critical services and manage potential risks throughout the lifecycle of a third-party service relationship. ・金融機関がサードパーティ・サービス関係のライフサイクルを通じて、重要なサービスを特定し、潜在的なリスクを管理するためのツール。
・tools for supervising how financial institutions manage third-party risks, and for identifying, monitoring, and managing systemic third-party dependencies and potential systemic risks. ・金融機関がサードパーティリスクをどのように管理しているかを監督し、サードパーティのシステミックな依存関係や潜在的なシステミック・リスクを特定、モニタリング、管理するためのツール。
The tools cover areas such as incident reporting, including the possibility of enhancing the existing cyber reporting framework to include reporting by service providers where an incident could give rise to potential risks to financial stability; non-exhaustive criteria to help financial authorities identify systemic third-party dependencies and assess potential systemic risks; and tools to identify and manage potential systemic risks, including sector-wide exercises and incident response coordination frameworks. The principle of proportionality is applicable throughout, allowing the tools to be adapted to smaller, less complex institutions or intra-group third-party service relationships. このツールは、既存のサイバー報告枠組みを強化し、インシデントが金融の安定性に対する潜在的なリスクを生じさせる可能性があるサービス提供者による報告を含める可能性を含む、インシデント報告、金融当局がシステミックなサードパーティ依存関係を特定し、潜在的なシステミック・リスクをアセスメントするのに役立つ非網羅的基準、セクター全体の演習やインシデント対応の調整枠組みを含む、潜在的なシステミック・リスクを特定・管理するためのツールなどの分野をカバーしている。比例原則は全体を通じて適用され、小規模で複雑でない機構やグループ内のサードパーティ・サービス関係にもツールを適応できるようになっている。
The FSB has also set out ways to explore greater convergence of regulatory and supervisory frameworks around systemic third-party dependencies; options for greater cross-border information-sharing; and cross-border resilience testing and exercises. FSBはまた、システミックなサードパーティ依存関係をめぐる規制・監督の枠組みのより大きな収斂、国境を越えた情報共有の拡大オプション、国境を越えたレジリエンス・テストと演習を模索する方法も示している。
Notes to editors 編集後記
The FSB toolkit completes the FSB's work on third party risk management, which stemmed from a discussion paper on regulatory and supervisory issues relating to outsourcing and third-party service relationships, published in November 2020. FSBツールキットは、2020年11月に公表された「アウトソーシング・サードパーティに関する規制・監督上の論点(ディスカッションペーパー)」に端を発する、サードパーティリスク管理に関するFSBの作業を完了するものである。
Based on feedback to the discussion paper, in September 2021 the FSB’s Standing Committee on Supervisory and Regulatory Cooperation (SRC) decided to develop a toolkit for financial authorities focused on their oversight of financial institutions’ reliance on critical service providers, including common terms and definitions on third-party risk management. In June 2023, the FSB launched a public consultation on its proposed toolkit. The overview of the responses to this consultation has also been published today. ディスカッション・ペーパーへのフィードバックに基づき、2021年9月、FSBの監督・規制協力に関する常設委員会(SRC)は、サードパーティリスク管理に関する共通の用語や定義を含む、金融機関の重要なサービス提供者への依存に対する金融当局の監督に焦点を当てたツールキットを開発することを決定した。2023年6月、FSBはツールキット案に関する公開協議を開始した。このコンサルテーションに対する回答の概要も本日公表された。
The FSB coordinates at the international level the work of national financial authorities and international standard-setting bodies and develops and promotes the implementation of effective regulatory, supervisory, and other financial sector policies in the interest of financial stability. It brings together national authorities responsible for financial stability in 24 countries and jurisdictions, international financial institutions, sector-specific international groupings of regulators and supervisors, and committees of central bank experts. The FSB also conducts outreach with approximately 70 other jurisdictions through its six Regional Consultative Groups. FSBは、各国金融当局と国際標準設定団体の作業を国際レベルで調整し、金融の安定のために効果的な規制・監督・その他の金融セクター政策の策定と実施を促進している。FSBは、24カ国・地域の金融安定に責任を負う各国当局、国際金融機構、規制・監督当局からなるセクター別の国際グループ、中央銀行の専門家からなる委員会を結集している。FSBはまた、6つの地域協議グループ(Regional Consultative Groups)を通じて、他の約70の国・地域ともアウトリーチを行っている。
The FSB is chaired by Klaas Knot, President of De Nederlandsche Bank. The FSB Secretariat is located in Basel, Switzerland and hosted by the Bank for International Settlements. FSBの議長はクラース・ノットオランダ銀行総裁が務めている。FSB事務局はスイスのバーゼルにあり、国際決済銀行がホスティングしている。

 

 

・2023.12.04 Final report on enhancing third-party risk management and oversight – a toolkit for financial institutions and financial authorities

Final report on enhancing third-party risk management and oversight – a toolkit for financial institutions and financial authorities サードパーティリスク管理・監督の強化に関する最終報告書-金融機関と金融当局のためのツールキット
Financial institutions have long relied on outsourcing and other third-party service relationships. However, in recent years, the extent and nature of financial institutions’ interactions with a broad and diverse ecosystem of third-party service providers have evolved and increased. 金融機関は長い間、アウトソーシングやその他のサードパーティとのサービス関係に依存してきた。しかし近年、金融機関とサードパーティ・サービス提供者の広範かつ多様なエコシステムとの相互作用の範囲と性質は進化し、増大している。
The developments in recent years have both brought benefits and introduced different types of risks to financial institutions. If such risks are not appropriately managed, these relationships could lead to risks to financial stability. 近年の進展は、金融機関に便益をもたらすと同時に、さまざまな種類のリスクをもたらしている。こうしたリスクが適切にマネジメントされなければ、こうした関係は金融の安定性に対するリスクにつながりかねない。
In response to concerns over the risks related to outsourcing and third-party service relationships, the FSB has developed a toolkit for financial authorities and financial institutions for enhancing their third-party risk management and oversight. Recognising differences across jurisdictions and financial institutions, the FSB has developed a flexible and risk-based set of tools (“toolkit”), which financial authorities and financial institutions may consider based on their circumstances, including the legal framework and specific features of the financial services sector in their jurisdictions. At the same time, the toolkit seeks to promote comparable and interoperable approaches across jurisdictions. FSBは、アウトソーシングやサードパーティとのサービス関係に関連するリスクに対する懸念に応え、金融当局や金融機関がサードパーティのリスクマネジメントや監督を強化するためのツールキットを開発した。FSBは、法域や金融機関によって違いがあることを認識した上で、金融当局や金融機関がそれぞれの状況に応じて検討することができる、柔軟でリスクに応じた一連のツール(「ツールキット」)を開発しており、金融当局や金融機関がそれぞれの状況に基づいて検討することができる。同時に、ツールキットは、法域を越えて比較可能で相互運用可能なアプローチを促進することを目指す。
The toolkit comprises: ツールキットの構成
・a list of common terms and definitions to improve clarity and consistency regarding third-party risk management across financial institutions, enhancing communication among relevant stakeholders. ・金融機関全体のサードパーティリスク管理に関する明確性と一貫性を改善し、関係者間のコミュニ ケーションを強化するための共通の用語と定義のリスト。
・tools to help financial institutions identify critical third-party services and manage potential risks throughout the lifecycle of a third-party service relationship. ・金融機関が重要なサードパーティ・サービスを特定し、サードパーティ・サービス関係のライフ サイクルを通じて潜在的なリスクを管理するためのツール。
・tools for supervising how financial institutions manage third-party risks, and for identifying, monitoring and managing systemic third-party dependencies and potential systemic risks. ・金融機関がサードパーティリスクをどのように管理しているかを監督し、サードパーティのシステミックな依存関係や潜在的なシステミック・リスクを特定、モニタリング、管理するためのツール。
The toolkit is designed to complement and build on relevant existing standards and guidance by international standard-setting bodies (SSBs) and financial authorities, but not replace them. 本ツールキットは、国際標準設定団体(SSBs)や金融当局による関連する既存の標準やガイダンスを補完・構築するものであり、それらに取って代わるものではない。

 

・[PDF]

20231228-62125

・[DOCX] 仮訳

 

 

目次...

Executive summary 要旨
Introduction はじめに
1. Common terms and definitions 1. 一般的な用語と定義
2. Scope and general approaches 2. 範囲と一般的アプローチ
2.1. Focus on critical services 2.1. 重要サービスに焦点を当てる
2.2. Holistic focus on third-party risk management 2.2. サードパーティ・リスク管理の全体的な焦点
2.3. Regulatory interoperability across jurisdictions and sectors 2.3. 管轄やセクターを超えた規制の相互運用性
2.4. Proportionality 2.4. 比例性
3. Financial institutions’ third-party risk management 3. 金融機関のサードパーティリスク管理
3.1. Identification of critical services and assessment of criticality 3.1. 重要サービスの特定と重要性の評価
3.2. Onboarding and ongoing monitoring of service providers 3.2. サービス提供者のオンボーディングと継続的モニタリング
3.3. Incident reporting to financial institutions 3.3. 金融機関への事故報告
3.4. Financial institutions’ registers of third-party service relationships 3.4. 金融機関のサードパーティサービス関係登録簿
3.5. Management of risks from service providers’ supply chains 3.5. サービス提供者のサプライチェーンリスクマネジメント
3.6. Business continuity 3.6. 事業継続性
3.7. Exit strategies 3.7. 出口戦略
3.8. Management of concentration-related risks by individual financial institutions 3.8. 個々の金融機関による集中関連リスクの管理
4. Financial authorities’ oversight of third-party risks 4. サードパーティリスクに対する金融当局の監督
4.1. Financial authorities’ supervision of financial institutions’ third-party risk management . 4.1. 金融機関のサードパーティリスク管理に対する金融当局の監督
4.2. Incident reporting to financial authorities 4.2. 金融当局への事故報告
4.3. Financial authorities’ identification, monitoring and management of systemic third-party dependencies and potential systemic risks  4.3. 金融当局によるシステミックなサードパーティ依存と潜在的なシステミック・リスクの特定、監視、管理
4.4. Cross-border supervisory cooperation and information sharing 4.4. 国境を越えた監督協力と情報共有
Annex 1: Relevant Developments at the Standard Setting Bodies 附属書1:基準設定主体における関連する動き
Annex 2: Regimes pursuing supervision of certain critical third-party services and/or service providers . Abbreviations 附属書2:特定の重要なサードパーティ・サービスおよび/またはサービス提供者の監督を追求する制度

 

 エグゼクティブサマリー...

Executive summary  要旨 
Financial institutions rely on third-party service providers for a range of services, some of which support their critical operations. These dependencies have grown in recent years as part of the digitalisation of the financial services sector and can bring multiple benefits to financial institutions including flexibility, innovation and improved operational resilience. However, if not properly managed, disruption to critical services or service providers could pose risks to financial institutions and, in some cases, financial stability.  金融機関は様々なサービスをサードパーティ・サービス提供者に依存しており、その一部は重要な業務を支えている。こうした依存関係は、金融サービス部門のデジタル化の一環として近年拡大しており、柔軟性、革新性、業務回復力の向上など、金融機関に複数のメリットをもたらす可能性がある。しかし、適切に管理されなければ、重要サービスやサービス提供者への混乱は、金融機関や、場合によっては金融の安定性にリスクをもたらす可能性がある。 
The FSB has developed a toolkit for financial authorities and financial institutions as well as service providers for their third-party risk management and oversight. The toolkit also aims to reduce fragmentation in regulatory and supervisory approaches across jurisdictions and different areas of the financial services sector, thereby helping mitigate compliance costs for both financial institutions and third-party service providers, and facilitate coordination among relevant stakeholders.  FSBは、金融当局、金融機関およびサービス提供者がサードパーティのリスク管理・監督を行うためのツールキットを開発した。このツールキットはまた、金融サービスセクターの法域や異なる領域における規制・監督アプローチの分断を減らし、金融機関とサードパーティサービス提供者の双方にとってのコンプライアンス・コストを軽減し、関連するステークホルダー間の協調を促進することを目的としている。 
The toolkit comprises 4 main chapters. Chapter 1 presents a list of common terms and definitions as a foundation. While complete harmonisation of terms is not always possible or desirable, a common understanding of terms and definitions can help improve clarity and consistency, assisting and enhancing communication among stakeholders under interoperable approaches.  このツールキットは、主に4つの章で構成されている。第1章では、基礎となる共通の用語と定義のリストを示す。用語の完全な調和は常に可能であるわけでも、望ましいわけでもないが、用語と定義の共通理解は、相互運用可能なアプローチの下で、明確性と一貫性を改善し、利害関係者間のコミュニケーションを支援し、強化するのに役立つ。 
Chapter 2 summarises the toolkit’s approach. In particular, the primary emphasis is on critical services given the potential impact of their disruption on financial institutions’ critical operations and financial stability. It also looks holistically at third-party risk management, which is wider than the historical narrower focus on outsourcing, in light of changing industry practices and recent regulatory and supervisory approaches to operational resilience. Similar to the terms and definitions, the toolkit aims to promote interoperability of regulatory and supervisory approaches, stopping short of full homogeneity. Finally, the principle of proportionality is applicable throughout the toolkit, which allows the tools to be adapted to smaller, less complex institutions or intra-group third-party service relationships.  第2章はツールキットのアプローチを要約している。特に、金融機関の重要な業務や金融の安定性に潜在的な影響を与える重要サービスに重点を置いている。また、業界の慣行の変化や、オペレーショナル・レジリエンスに対する最近の規制・監督当局のアプローチに鑑み、従来のアウトソーシングに焦点を絞った狭い範囲ではなく、より広い範囲でのサードパーティ・リスク管理を総合的に検討している。用語と定義と同様に、ツールキットは規制・監督アプローチの相互運用性を促進することを目的としており、完全な同質化には至っていない。最後に、比例原則はツールキット全体に適用され、小規模で複雑でない機関やグループ内のサードパーティサービス関係にもツールを適応できるようになっている。 
Chapter 3 sets out tools to help financial institutions identify critical services and manage potential risks throughout the lifecycle of a third-party service relationship. These tools seek to help financial institutions to:  第3章は、金融機関が重要サービスを識別し、サードパーティサービス関係のライフサイクルを 通じて潜在的なリスクを管理するのに役立つツールを示している。これらのツールは、金融機関が以下を行うことを支援するものである: 
■ Identify critical services consistently yet flexibly;  ■ 重要サービスを一貫して、しかも柔軟に識別する; 
■ Have consistent mapping of financial institutions’ third-party service relationships;  ■ 金融機関のサードパーティサービス関係を一貫してマッピングする; 
■ Conduct due diligence, contracting and ongoing monitoring of critical services and service providers;  ■ 重要サービスやサービス提供者のデューデリジェンス、契約、継続的な監視を行う; 
■ Be informed of incidents affecting critical services in a timely way;  ■ 重要サービスに影響を及ぼすインシデントについて、タイムリーに報告を受ける; 
■ Manage risks relating to their third-party service providers’ use of service supply chains;  ■ サードパーティサービス提供者のサービスサプライチェーンの利用に関連するリスクを管理する; 
■ Implement and test business continuity plans and coordinate with their third-party service providers for their business continuity;  ■ 事業継続計画を実施し、テストし、事業継続のためにサードパーティサービス提供者と調整する; 
■ Develop effective exit strategies; and ■ 効果的な撤退戦略を策定する。
■ Strengthen the identification and management of service provider concentration, and concentration-related risks. ■ サービス提供者の集中および集中関連リスクの特定と管理を強化する。
Chapter 4 sets out financial authorities’ current and developing approaches and tools for supervising how financial institutions manage third-party risks, and for identifying, monitoring and managing systemic third-party dependencies and potential systemic risks. In some jurisdictions or regions, financial authorities have or are in the process of acquiring regulatory powers to formally designate certain service providers as critical for the financial system and oversee these service providers and their services to financial institutions. However, this is not the case in other jurisdictions. Accordingly, the tools in this toolkit are versatile and can be adopted through either voluntary collaboration between financial authorities, financial institutions and relevant service providers, requirements or expectations on financial institutions, or direct requirements or expectations on service providers.  第4章は、金融機関がサードパーティのリスクをどのように管理しているか、また、システミックなサードパーティの依存関係や潜在的なシステミック・リスクを識別、モニタリング、管理するための、金融当局の現在および開発中のアプローチや手段について述べている。法域や地域によっては、金融当局が、特定のサービス提供者を正式に金融シス テムにとって重要な存在として指定し、これらのサービス提供者や金融 機関へのサービスを監督する規制権限を有しているか、あるいはその過程にある。しかし、他の法域ではそうではない。従って、本ツールキットのツールは汎用性があり、金融当局、金融機関、関連サービス提供者間の自主的な協働、金融機関に対する要求事項や期待事項、あるいはサービス提供者に対する直接的な要求事項や期待事項のいずれによっても採用することができる。 
Among other areas, the tools cover:  他の分野では、ツールがカバーしている: 
■ Incident reporting to financial authorities, including the possibility of enhancing the existing cyber reporting framework to include reporting by service providers where an incident could give rise to potential risks to financial stability;  ■ 金融当局へのインシデント報告。既存のサイバー報告枠組みを強化し、インシデントが金融の安定性に対する潜在的なリスクを生じさせる可能性がある場合、サービス提供者による報告を含める可能性を含む; 
■ Non-exhaustive criteria to help financial authorities identify systemic third-party dependencies and assess potential systemic risks; and  ■ 金融当局がシステミックなサードパーティ依存関係を特定し、潜在的なシステミック・リスクを評価するための非網羅的基準。 
■ Tools to identify and manage potential systemic risks, including but not limited to sectorwide exercises and incident response coordination frameworks.  ■ 潜在的なシステミック・リスクを特定し管理するためのツール(セクター全体の演習やインシデント対応の調整枠組みを含むが、これに限定されない)。 
Finally, the importance of cross-border supervisory cooperation and information sharing is underscored. For this objective, the chapter sets out certain ways to explore greater convergence of regulatory and supervisory frameworks around systemic third-party dependencies, options for greater cross-border information-sharing, and cross-border resilience testing and exercises. 最後に、国境を越えた監督上の協力と情報共有の重要性が強調されている。この目的のため、本章では、システミックなサードパーティ依存関係をめぐる規制・監督上の枠組みの収束を促進するための一定の方法、クロスボーダーでの情報共有を拡大するための選択肢、クロスボーダーでのレジリエンス・テストと演習を提示している。 

 

 

 

意見に関するコメント

・2023.12.04

Enhancing Third-Party Risk Management and Oversight: Overview of responses to the consultation サードパーティリスク管理と監督を強化する: コンサルテーションへの回答の概要
On 22 June 2023, the FSB published a consultative document on enhancing third-party risk management and oversight. The consultative document set out a toolkit for financial authorities and financial institutions for their third-party risk management and oversight. 2023年6月22日、FSBはサードパーティリスク管理と監督の強化に関する諮問文書を公表した。協議文書では、金融当局や金融機関がサードパーティリスク管理・監督を行うためのツールキットが示されている。
The FSB received 26 responses to the consultation which ended on 22 August 2023. Respondents included trade associations that represent financial institutions (12), regulated financial institutions (5), third-party service providers (4) and others (5). The FSB also organised a workshop on 21 July to gather further feedback on the consultation report. FSBは、2023年8月22日に終了したコンサルテーションに対し、26件の回答を得た。回答者には、金融機関を代表する業界団体(12)、規制対象金融機関(5)、サードパーティ・サービス提供者(4)、その他(5)が含まれる。FSBはまた、7月21日にワークショップを開催し、コンサルテーションレポートに対する更なるフィードバックを集めた。
This document summarises the comments raised in the public consultation and sets out the main changes made to the final report in order to address them. 本書は、パブリックコンサルテーションで提起されたコメントを要約し、それらに対応するために最終報告書に加えられた主な変更点を示している。

 

・[PDF

20231228-62142

・[DOCX] 仮訳

 



 

 


 

金融庁

・2023.12.07 金融安定理事会による「サードパーティリスクの管理とオーバーサイトの向上:金融機関と金融当局のためのツールキット」の公表について

 

意見募集時...

・2023.06.25 金融安定理事会による市中協議文書「サードパーティリスクの管理とオーバーサイトの向上:金融機関と金融当局のためのツールキット」の公表について

 

| | Comments (0)

2023.12.27

米国 GAO 医療機器のサイバーセキュリティ:効果的な連携を確保するために各省庁は協定を更新する必要がある (2023.12.21)

こんにちは、丸山満彦です。

医療機器セキュリティについて、GAOが報告書を公表しています。

 

Medical Device Cybersecurity:Agencies Need to Update Agreement to Ensure Effective Coordination 医療機器のサイバーセキュリティ:効果的な連携を確保するために各省庁は協定を更新する必要がある
GAO-24-106683 GAO-24-106683
Fast Facts 速報
Cybersecurity vulnerabilities that threaten medical devices aren't commonly exploited but still pose risks to hospital networks—and patients, according to a federal study. 連邦政府の調査によると、医療機器を脅かすサイバーセキュリティの脆弱性は一般的には悪用されていないが、それでも病院ネットワークや患者にリスクをもたらしている。
The Food and Drug Administration has primary responsibility for medical device cybersecurity. FDA formally collaborates with the Cybersecurity and Infrastructure Security Agency on security guidance for device manufacturers, public alerts about current vulnerabilities, and more. 食品医薬品局 (FDA) は、医療機器のサイバーセキュリティに関する主要な責任を負っている。FDAはサイバーセキュリティ・インフラセキュリティ庁と正式に協力し、機器製造者向けのセキュリティガイダンス、現在の脆弱性に関する一般向け警告などを実施している。
However, the agencies' formal agreement is 5 years old. We recommended updating the agreement to improve agency coordination and clarify roles. しかし、両機関の正式な合意は5年前のものである。我々は、省庁間の連携を改善し、役割を明確にするために、この協定を更新することを推奨した。
Medical devices, such as heart monitors, connected to a hospital network may be vulnerable to cyber threats 病院のネットワークに接続された心臓モニターなどの医療機器は、サイバー脅威に脆弱である可能性がある。
Highlights ハイライト
What GAO Found GAOの発見
According to the Department of Health and Human Services (HHS), available data on cybersecurity incidents in hospitals do not show that medical device vulnerabilities have been common exploits. Nevertheless, HHS maintains that such devices are a source of cybersecurity concern warranting significant attention and can introduce threats to hospital cybersecurity (see figure). 保健福祉省(HHS)によると、病院におけるサイバーセキュリティインシデントに関する入手可能なデータからは、医療機器の脆弱性が一般的に悪用されていることは示されていない。とはいえ、HHSは、医療機器は重大な注意を払うべきサイバーセキュリティ上の懸念の種であり、病院のサイバーセキュリティに脅威をもたらす可能性があると主張している(図参照)。
Figure: Example of a Compromised Medical Device That Can Lead to Disruption of Other Devices on a Hospital Network 図:病院ネットワーク上の他の機器を混乱させる可能性のある、危殆化した医療機器の例
20231227-65152
Non-federal entities representing health care providers, patients, and other relevant parties identified challenges in accessing federal support to address cybersecurity vulnerabilities. Entities described challenges with (1) a lack of awareness of resources or contacts and (2) difficulties understanding vulnerability communications from the federal government. Agencies are taking steps that, if implemented effectively, can meet these challenges. 医療提供者、患者、その他の代表者を代表する連邦政府以外の事業体は、サイバーセキュリティの脆弱性に対処するために連邦政府の支援を利用する際の課題を明らかにした。事業体は、(1) リソースや連絡先の認識不足、(2) 連邦政府からの脆弱性コミュニケーションを理解することの難しさ、について課題を述べている。各省庁は、効果的に実施されれば、これらの課題に対応できる措置を講じている。
Key agencies are also managing medical device cybersecurity through active coordination. Specifically, the Food and Drug Administration (FDA) and the Cybersecurity and Infrastructure Security Agency (CISA) developed an agreement addressing most leading practices for collaboration. However, this 5-year-old agreement did not address all such practices and needs to be updated to reflect organizational and procedural changes that have occurred since 2018. 主要機関は、積極的な連携を通じて医療機器のサイバーセキュリティも管理している。具体的には、食品医薬品局(FDA)とサイバーセキュリティ・インフラセキュリティ庁(CISA)は、連携のためのほとんどのリーディング・プラクティスに対応する協定を策定した。しかし、この5年前の合意は、そのような実践のすべてに対応したものではなく、2018年以降に発生した組織や手続きの変更を反映するために更新する必要がある。
FDA authority over medical device cybersecurity has recently increased. Specifically, December 2022 legislation requires medical device manufacturers to submit to FDA, among other things, their plans to monitor, identify, and address cybersecurity vulnerabilities for any new medical device that is to be introduced to consumers starting in March 2023. This legislation is limited to new devices and does not retroactively apply to those devices introduced prior to March 2023, unless the manufacturer is submitting a new marketing application for changes to the device. 医療機器のサイバーセキュリティに関するFDAの認可は最近増加した。具体的には、2022年12月の法律により、医療機器製造者は、2023年3月から消費者に導入されるすべての新しい医療機器について、サイバーセキュリティの脆弱性を監視し、特定し、対処する計画をFDAに提出することなどが義務付けられている。この法律は新しい医療機器に限定されており、製造業者が医療機器の変更について新たな販売申請を提出しない限り、2023年3月以前に導入された医療機器には遡及適用されない。
FDA officials are implementing new cybersecurity authorities and have not yet identified the need for any additional authority. They can take measures to help ensure device cybersecurity under existing authorities such as monitoring health sector and CISA alerts, as well as directing manufacturers to communicate vulnerabilities to user communities and to remediate the vulnerabilities. FDA当局は新たなサイバーセキュリティの認可を実施中であり、追加的な権限の必要性はまだ認識していない。FDAは、医療分野やCISAアラートの監視などの既存の権限に基づき、機器のサイバーセキュリティを確保するための対策を講じることができ、また、脆弱性をユーザーコミュニティに伝え、脆弱性を修正するよう製造者に指示することもできる。
According to FDA guidance, if manufacturers do not remediate vulnerabilities, FDA may find the device to be in violation of federal law and subject to enforcement actions. FDAのガイダンスによれば、製造者が脆弱性を是正しない場合、FDAはその機器が連邦法に違反していると判断し、強制措置の対象となる可能性がある。
Why GAO Did This Study GAOが調査を行った理由
Cyber threats that target medical devices could delay critical patient care, reveal sensitive patient data, shut down health care operations, and necessitate costly recovery efforts. FDA is responsible for ensuring that medical devices sold in the U.S. provide reasonable assurance of safety and effectiveness. 医療機器を標的としたサイバー脅威は、重要な患者の治療を遅らせ、患者の機密データを明らかにし、医療業務を停止させ、費用のかかる復旧作業を必要とする可能性がある。FDAは、米国で販売される医療機器が安全性と有効性を合理的に保証することを保証する責任を負っている。
The Consolidated Appropriations Act, 2023, includes a provision for GAO to review cybersecurity in medical devices. This report addresses the extent to which (1) relevant non-federal entities are facing challenges in accessing federal support on medical device cybersecurity, (2) federal agencies have addressed identified challenges, (3) key agencies are coordinating on medical device cybersecurity, and (4) limitations exist in agencies' authority over medical device cybersecurity. 2023年連結歳出法には、GAOが医療機器のサイバーセキュリティをレビューする条項が含まれている。本報告書では、(1)関連する非連邦事業体が医療機器のサイバーセキュリティに関する連邦政府の支援にアクセスする際にどの程度の課題に直面しているか、(2)連邦政府機関は特定された課題に対処しているか、(3)主要機関は医療機器のサイバーセキュリティに関して協調しているか、(4)医療機器のサイバーセキュリティに関する機関の権限には制限が存在するか、について取り上げる。
GAO identified federal agencies with roles in medical device cybersecurity. It also selected 25 non-federal entities representing health care providers, patients, and medical device manufacturers. GAO interviewed these entities on challenges in accessing federal cybersecurity support. In addition, GAO assessed agency documentation and compared coordination efforts against leading collaboration practices; reviewed relevant legislation and guidance; and interviewed agency officials. GAOは、医療機器サイバーセキュリティの役割を担う連邦政府機関を識別した。また、医療提供者、患者、医療機器製造者を代表する25の非連邦事業体を選定した。GAOはこれらの事業体に、連邦政府のサイバーセキュリティ支援にアクセスする際の課題についてインタビューした。さらに、GAOは、機関の文書を評価し、主要な連携慣行と連携努力を比較し、関連する法律とガイダンスを検討し、機関職員にインタビューした。
Recommendations 勧告
GAO is making recommendations to FDA and CISA to update their agreement to reflect organizational and procedural changes that have occurred. Both agencies concurred with the recommendations. GAOは、FDAとCISAに対し、発生した組織的・手続き的な変更を反映させるため、協定を更新するよう提言している。両機関は勧告に同意した。
Recommendations for Executive Action 行政措置に関する勧告
Agency Affected / Recommendation 影響を受ける機関/勧告
Food and Drug Administration 食品医薬品局
The Commissioner of Food and Drugs should work with the Cybersecurity and Infrastructure Security Agency to update the agencies' agreement to reflect organizational and procedural changes that have occurred. (Recommendation 1) 食品医薬品庁長官は、サイバーセキュリティ・インフラセキュリティ庁と協力し、発生した組織的・手続き的変更を反映させるため、両機関の合意を更新すべきである。(勧告1)
Cybersecurity and Infrastructure Security Agency サイバーセキュリティ・インフラセキュリティ庁
The Director of the Cybersecurity and Infrastructure Security Agency should work with the Food and Drug Administration to update the agencies' agreement to reflect organizational and procedural changes that have occurred. (Recommendation 2) サイバーセキュリティ・インフラセキュリティ庁長官は、食品医薬品安全庁と協力して、発生した組織的・手続き的変更を反映させるため、両機関の合意を更新すべきである。(勧告 2)

 

・[PDF] Highlights

20231227-65036

 

・[PDF] Full Report

20231227-65054

 

・[DOCX] 仮訳

 

 

 

 

| | Comments (0)

米国 全米科学財団 サイバーセキュリティ奨学金のために6つの学術機構に1,600万ドル (24億円) 以上を投資 (2023.12.19)

こんにちは、丸山満彦です。

全米科学財団 (U.S. National Science Fundation; NSF)  が、サイバーセキュリティ奨学金のために6つの学術機構に1,600万ドル (24億円) 以上を投資をするようですね。。。

合計すると2,000万ドル以上になるけど、2割くらいは消化されないかも。。。とおもっているのですかね。。。

予算もあり、人もいる国というのは、いろいろな選択肢がとれますよね。。。

 

今年の内容はこんな感じですが。。。

最近の受賞傾向と同じく、サイバーセキュリティ x AI ですね。。。

 

内容   大学 授与予定額
CyberCorps Scholarship for Service: Building the Next Generation Cybersecurity-Ready Workforce サイバーセキュリティに対応できる次世代人材の育成 フロリダ・アトランティック大学 2,624,440.00
Defending Cyberspace through Active Learning アクティブ・ラーニングによるサイバー空間の防衛 デラウェア大学 3,435,151.00
Empowering the Cybersecurity Workforce with a Focus on Artificial Intelligence 人工知能に焦点を当てたサイバーセキュリティ人材の強化 ネバダ州高等教育システム理事会 3,113,425.00
Building Research-minded Cyber Leaders 研究熱心なサイバーリーダーを育成する ブリガム・ヤング大学 3,735,010.00
CyberRamblers Bolster National Security サイバーランブラーによる国家安全保障の強化 シカゴ大学大学ロヨラ校 3,803,006.00
Preparing a Diverse Next-Generation Workforce Through Integrated Cybersecurity and Artificial Intelligence Scholar Experience サイバーセキュリティと人工知能の統合的な奨学生経験を通した多様な次世代人材の育成 州立ボイシ大学 3,541,722.00
    合計 20,252,754.00

 

U.S. National Fundation; NSF

・2023.12.19 NSF invests over $16M in six academic institutions for cybersecurity scholarships

NSF invests over $16M in six academic institutions for cybersecurity scholarships NSF、サイバーセキュリティ奨学金のために6つの学術機構に1,600万ドル以上を投資
Today the U.S. National Science Foundation announced six new academic institutions are being awarded CyberCorps® Scholarship for Service (SFS) grants, an investment of over $16 million toward training the next generation of cybersecurity professionals and strengthening the cybersecurity workforce at government organizations. 米国国立科学財団(NSF)は本日、新たに6つの学術機構にサイバーコープス・スカラーシップ・フォー・サービス(CyberCorps® Scholarship for Service:SFS)助成金を授与することを発表した。これは、次世代のサイバーセキュリティ専門家の育成と政府機関におけるサイバーセキュリティ人材の強化に向けた1600万ドルを超える投資である。
"It is critical that we unleash the enormous talent embedded in our communities and bring new, diverse perspectives into the nation's cybersecurity workforce," said NSF Director Sethuraman Panchanathan. "NSF recognizes the persistent shortage of cybersecurity talent in the United States and strives to bridge this gap by providing diverse student populations with innovative and high-quality educational experiences. This investment reaffirms NSF's commitment to developing a solid workforce of cybersecurity graduates with integrated AI skills, ready to tackle future cyber threats." 「NSFのセスラマン・パンチャナサン所長は、「地域社会に埋もれている莫大な才能を解き放ち、新たな多様な視点を国のサイバーセキュリティ人材に取り込むことが極めて重要である。「NSFは、米国におけるサイバーセキュリティ人材の持続的な不足を認識しており、多様な学生に革新的で質の高い教育経験を提供することで、このギャップを埋めようと努力している。今回の投資は、将来のサイバー脅威に対処できるAIスキルを統合したサイバーセキュリティの卒業生を育成するというNSFのコミットメントを再確認するものである。"
Spanning 43 states, the District of Columbia and Puerto Rico, the CyberCorps SFS program stands as a beacon in addressing the escalating demand for cybersecurity professionals. This program not only extends full scholarships and stipends to students but also forges a modern approach to cybersecurity education. The recipients of these scholarships commit to contributing their expertise to federal, state, local or tribal government cybersecurity roles post-graduation. 43の州、コロンビア特別区、プエルトリコにまたがるサイバーコープSFSプログラムは、サイバーセキュリティの専門家に対する需要の高まりに対応するための道標となっている。このプログラムは、学生に全額奨学金と奨学金を支給するだけでなく、サイバーセキュリティ教育への現代的なアプローチを構築している。この奨学金の取得者は、卒業後、連邦政府、州政府、地方自治体、部族政府のサイバーセキュリティの役割に専門知識を提供することを約束する。
CyberCorps SFS aims to both address the shortage of cybersecurity professionals and emphasize the importance of diversity in the field. Each project is committed to recruiting and retaining a diverse student body, ensuring representation from historically underrepresented groups in cybersecurity careers. CyberCorps SFSは、サイバーセキュリティの専門家不足に対処するとともに、この分野における多様性の重要性を強調することを目的としている。各プロジェクトは、多様な学生を採用し、確保することを約束し、サイバーセキュリティのキャリアにおいて歴史的に代表的でない団体の代表を確保する。
Awardees will dive into cutting-edge technologies, including artificial intelligence, machine learning, hardware security and other interdisciplinary cybersecurity fields such as psychology and criminology. The projects undertaken by the scholarship recipients will be instrumental in shaping the future cybersecurity workforce and landscape. 受賞者は、人工知能、機械学習、ハードウェア・セキュリティ、心理学や犯罪学などの学際的なサイバーセキュリティ分野を含む最先端技術に飛び込むことになる。奨学金取得者が取り組むプロジェクトは、将来のサイバーセキュリティの人材や状況を形成する上で重要な役割を果たすだろう。
The awardees and their projects are: 受賞者とそのプロジェクトは以下の通り:
CyberCorps Scholarship for Service: Building the Next-Generation Cybersecurity-Ready Workforce, Florida Atlantic University. ・CyberCorps奨学金:次世代サイバーセキュリティ人材の育成(フロリダ・アトランティック大学)
CyberCorps Scholarship for Service: Defending Cyberspace through Active Learning, University of Delaware. ・CyberCorps奨学金:アクティブ・ラーニングによるサイバー空間の防衛(デラウェア大学)
CyberCorps Scholarship for Service: Empowering the Cybersecurity Workforce with a Focus on Artificial Intelligence, University of Nevada, Las Vegas. ・CyberCorps奨学金:人工知能に焦点を当てたサイバーセキュリティ人材の強化(ネバダ大学ラスベガス校)
CyberCorps Scholarship for Service: Building Research-minded Cyber Leaders, Brigham Young University. ・CyberCorps奨学金:研究熱心なサイバー・リーダーの育成(ブリガム・ヤング大学)
CyberCorps Scholarship for Service: CyberRamblers Bolster National Security, Loyola University Chicago. ・CyberCorps奨学金:サイバー・ランブラーによる国家安全保障の強化(シカゴ・ロヨラ大学)
CyberCorps Scholarship for Service: Preparing a Diverse Next-Generation Workforce Through Integrated Cybersecurity and Artificial Intelligence Scholar Experience, Boise State University. ・CyberCorps奨学金:サイバーセキュリティと人工知能の統合的な奨学生経験を通した多様な次世代人材の育成(州立ボイジ大学)
More information about CyberCorps SFS can be found at nsf.gov. CyberCorps SFSの詳細については、nsf.govを参照のこと。

 

プログラム

CyberCorps Scholarship for Service (SFS)

過去授与分

・[ELSX] 概要仮訳

過去も含めて授与内容をみていると興味深いですね。。。

 

今年の受賞分

Award Abstract # 2336456 CyberCorps Scholarship for Service: Building the Next Generation Cybersecurity-Ready Workforce 受賞要旨 # 2336456 ・CyberCorps奨学金:サイバーセキュリティに対応できる次世代人材の育成
Recipient: FLORIDA ATLANTIC UNIVERSITY 取得者:フロリダ・アトランティック大学
Total Intended Award Amount: ? 2,624,440.00 授与予定額: 2,624,440.00
ABSTRACT 概要
This project establishes a new CyberCorps? Scholarship for Service (SFS) program at Florida Atlantic University (FAU) and addresses the increasing demand for a skilled and diverse cybersecurity workforce. This project leverages faculty expertise and course offerings to drive student training and skill development at the intersection of cybersecurity and thematic areas of artificial intelligence (AI), post-quantum cryptography, and hardware security. The FAU SFS program will develop an integrated cybersecurity workforce development model combining foundational preparation through coursework, deep skill development with cutting-edge research, practical internship experiences, and integrated professional development. Activities for professional development, including certifications, are integrated into the program to prepare scholarship recipients for a cybersecurity career in the federal government. Students will be recruited from the diverse FAU student body, with more than 49% members of underrepresented communities. Five students will be recruited and trained per cohort for a total of 20 SFS scholars over the five years. Students will gain a broad understanding of cybersecurity opportunities in the federal government and be prepared to compete and secure jobs there. Students will graduate with deep skills and preparation in cybersecurity and will serve the national security needs by completing their service obligation.<br/><br/>Each SFS scholar receives two years of scholarship support and training leading to a master’s degree from one of the three collaborating Colleges at FAU ?Engineering and Computer Science, Science, and Business. Scholars will also complete undergraduate and graduate certificates or tracks in cybersecurity as part of their training. FAU faculty’s ongoing collaborations, which include industry and Department of Defense agencies, bring substantive experience with federal government cybersecurity needs and contribute to a rich set of extracurricular activities for scholars. These activities will serve multiple purposes, including attracting and recruiting students, educating them about the benefits and challenges of working for the federal government, and assisting them in securing internship opportunities and jobs. Student research engagement will contribute to new knowledge at the intersection of cybersecurity, AI, post-quantum cryptography, and hardware security.<br/><br/>This project is supported by the CyberCorps? Scholarship for Service (SFS) program, which funds proposals establishing or continuing scholarship programs in cybersecurity and aligns with the U.S. National Cyber Strategy to develop a superior cybersecurity workforce. Following graduation, scholarship recipients are required to work in cybersecurity for a federal, state, local, or tribal Government organization for the same duration as their scholarship support.<br/><br/>This award reflects NSF's statutory mission and has been deemed worthy of support through evaluation using the Foundation's intellectual merit and broader impacts review criteria. このプロジェクトは、フロリダ・アトランティック大学(FAU)に新しいサイバーコープス(CyberCorps? このプロジェクトは、フロリダ・アトランティック大学(FAU)に新しいSFS(Solarship for Service)プログラムを設立し、熟練した多様なサイバーセキュリティ人材に対する需要の高まりに対処するものである。このプロジェクトは、教授陣の専門知識とコースの提供を活用し、サイバーセキュリティと人工知能(AI)、ポスト量子暗号、ハードウェア・セキュリティの各テーマ分野の交差点で、学生の訓練とスキル開発を推進する。FAUのSFSプログラムは、コースワークによる基礎的な準備、最先端の研究による深いスキル開発、実践的なインターンシップ経験、統合的な専門能力開発を組み合わせた、統合的なサイバーセキュリティ人材開発モデルを開発する。資格取得を含む専門能力開発のためのガバナンスは、奨学金取得者が連邦政府でのサイバーセキュリティ・キャリアに備えられるよう、プログラムに統合される。学生はFAUの多様な学生から募集され、49%以上が社会的地位の低い団体に属している。5年間で合計20人のSFS奨学生が、1つのコホートにつき5人の学生を採用し、訓練を受ける。学生は、連邦政府におけるサイバーセキュリティの機会を幅広く理解し、そこで競争し、職を確保する準備をする。<br/><br/>各SFS奨学生は、FAUの3つの連携カレッジ(工学・コンピュータサイエンス、科学、ビジネス)のいずれかから修士号取得につながる2年間の奨学金支援と訓練を受ける。また、奨学生は研修の一環として、サイバーセキュリティに関する学部および大学院の修了証またはコースを修了する。FAUの教授陣は、産業界や国防省などとの継続的な協力関係を築いており、連邦政府のサイバーセキュリティ・ニーズに関する実質的な経験をもたらすとともに、奨学生の充実した課外活動に貢献する。これらの活動は、学生を惹きつけて採用し、連邦政府で働くことの利点や課題について教育し、インターンシップの機会や仕事を確保するための支援を行うなど、複数の目的を果たすことになる。学生の研究参加は、サイバーセキュリティ、AI、ポスト量子暗号、ハードウェア・セキュリティの交差点における新たな知識に貢献するだろう。<br/><br/>このプロジェクトはサイバーコープス? このプロジェクトは、サイバーセキュリティの奨学金プログラムを設立または継続する提案に資金を提供する「SFS(Solarship for Service)」プログラムの支援を受けており、優れたサイバーセキュリティ人材を育成する米国の国家サイバー戦略に沿ったものである。<br/><br/>この賞はNSFの法定使命を反映したものであり、財団の知的メリットとより広範な影響の審査基準を用いて評価し、支援に値すると判断されたものである。
   
Award Abstract # 2336586 CyberCorps Scholarship for Service: Defending Cyberspace through Active Learning 受賞要旨 # 2336586 CyberCorps奨学金: アクティブ・ラーニングによるサイバー空間の防衛
Recipient: UNIVERSITY OF DELAWARE 取得者 デラウェア大学
Total Intended Award Amount: ? 3,435,151.00 授与予定額: 3,435,151.00
ABSTRACT 概要
The UDare Cyber Scholarships For Service (SFS) program at the University of Delaware (UD) will advance cybersecurity education and cultivate a skilled workforce by preparing highly qualified cybersecurity professionals for service in crucial roles across federal, state, local, and tribal security sectors. This SFS project will prepare twenty undergraduate and Master's students from UD’s broad cybersecurity degree programs, employing a multifaceted approach to professional development. SFS scholars will be immersed in rigorous academic training and practical, hands-on experiences through research, diverse enrichment activities, and internships. Furthermore, the UDare program will foster a diverse and globally competitive STEM workforce by actively recruiting and involving members of underrepresented groups, including women, individuals with disabilities, and minorities. This comprehensive training model addresses a critical national need for skilled cybersecurity professionals, contributing to safeguarding U.S. cyberspace against various threats. In addition, the project enhances public cybersecurity literacy, contributing significantly to societal well-being and national security.<br/><br/>The UDare program is designed to advance both the theoretical and practical aspects of cybersecurity. The program will provide scholarships to students from UD’s undergraduate Cybersecurity Engineering and the graduate Cybersecurity degree programs. These students are guided by two faculty advisors each, ensuring a well-rounded and diverse perspective in their field of study. The curriculum covers various concentrations within cybersecurity, including Secure Software, Secure Systems, Security Analytics, and Security Management, providing a comprehensive knowledge base. A key component of the UDare SFS program is students' engagement in cutting-edge research, documented through thesis or senior projects, and their participation in cybersecurity-focused conferences and workshops. The program also includes enrichment activities like the Cybersecurity Scholars Program, Distinguished Lecture series, and Capture the Flag competitions to enhance practical skills and industry readiness. A specialized Professional Development course will prepare students for internship experiences and eventual job placements within the federal government. Finally, an independent evaluator will assess the program's effectiveness and impact, ensuring continuous improvement and accountability. <br/><br/>This project is supported by the CyberCorps? Scholarship for Service (SFS) program, which funds proposals establishing or continuing scholarship programs in cybersecurity and aligns with the U.S. National Cyber Strategy to develop a superior cybersecurity workforce. Following graduation, scholarship recipients are required to work in cybersecurity for a federal, state, local, or tribal Government organization for the same duration as their scholarship support.<br/><br/>This award reflects NSF's statutory mission and has been deemed worthy of support through evaluation using the Foundation's intellectual merit and broader impacts review criteria. デラウェア大学(UD)のUDare Cyber Scholarships For Service(SFS)プログラムは、連邦、州、地方、部族のセキュリティ部門において重要な役割を果たす有能なサイバーセキュリティ専門家を育成することで、サイバーセキュリティ教育を推進し、熟練した労働力を育成する。このSFSプロジェクトでは、UDの幅広いサイバーセキュリティ学位プログラムの学部生と修士課程の学生20人を、専門家育成のための多面的なアプローチを用いて準備する。SFS奨学生は、研究、多様な充実した活動、インターンシップを通じて、厳しい学問的訓練と実践的な実地体験に没頭する。さらに、UDareプログラムは、女性、障がい者、マイノリティなど、社会的地位の低いグループのメンバーを積極的に採用し、参加させることで、多様で国際競争力のあるSTEM人材を育成する。この包括的な訓練モデルは、熟練したサイバーセキュリティの専門家に対する国家の重要なニーズに対応し、さまざまな脅威から米国のサイバー空間を守ることに貢献する。<br/><br/>UDareプログラムは、サイバーセキュリティの理論的側面と実践的側面の両方を向上させるように設計されている。このプログラムは、UDのサイバーセキュリティ工学部と大学院のサイバーセキュリティ学位プログラムの学生に奨学金を提供する。これらの学生は、それぞれ2人の指導教官の指導を受け、研究分野における均整のとれた多様な視野を確保する。カリキュラムは、セキュア・ソフトウェア、セキュア・システム、セキュリティ・アナリティクス、セキュリティ・マネジメントなど、サイバーセキュリティのさまざまな分野をカバーしており、包括的な知識ベースを提供している。UDare SFSプログラムの重要な要素は、学生が最先端の研究に取り組むことであり、卒業論文や卒業プロジェクトを通じて文書化され、サイバーセキュリティに焦点を当てた会議やワークショップに参加する。このプログラムには、サイバーセキュリティ奨学生プログラム、特別講義シリーズ、Capture the Flagコンテストなどの充実した活動も含まれ、実践的なスキルと業界への即応性を高めている。専門能力開発コースでは、連邦政府内でのインターンシップ経験や最終的な就職に備える。最後に、独立した評価者がプログラムの効果と影響を評価し、継続的な改善と説明責任を果たす。<br/><br/>このプロジェクトはCyberCorps? このプログラムは、サイバーセキュリティ分野の奨学金プログラムを設立または継続する提案に資金を提供するもので、優れたサイバーセキュリティ人材を育成する米国の国家サイバー戦略に沿ったものである。<br/><br/>この賞はNSFの法定使命を反映したものであり、財団の知的メリットとより広範な影響に関する審査基準を用いて評価し、支援に値すると判断されたものである。
   
Award Abstract # 2336539 CyberCorps Scholarship for Service: Empowering the Cybersecurity Workforce with a Focus on Artificial Intelligence 受賞要旨 # 2336539 CyberCorps奨学金: 人工知能に焦点を当てたサイバーセキュリティ人材の強化
Recipient: BOARD OF REGENTS OF NEVADA SYSTEM OF HIGHER EDUCATION 取得者:ネバダ州高等教育システム理事会
Total Intended Award Amount: ? 3,113,425.00 授与予定額: 3,113,425.00
ABSTRACT 概要
The current cybersecurity landscape highlights the importance of artificial intelligence (AI) and machine learning (ML) as critical enhancements to traditional security measures in effectively safeguarding the national cyberspace. This project aims to establish a new CyberCorps? Scholarship for Service (SFS) program at the University of Nevada, Las Vegas (UNLV) to cultivate a group of cybersecurity experts skilled in AI/ML for government service. The UNLV curriculum integrates computer science and cybersecurity and is bolstered by AI/ML research focused on national infrastructure protection. In addition, this SFS program is designed to attract and mentor high-caliber undergraduate and graduate students and proactively engage with local high schools and community colleges to fortify the talent pipeline. In line with UNLV's recognition as the nation's fourth most diverse institution and its designation as a Minority-serving and Hispanic-serving Institution, the program will emphasize increasing the participation of underrepresented and female students in cybersecurity. <br/><br/>This project leverages UNLV's existing resources and expertise to equip graduates for an immediate impact in government cybersecurity roles. It embodies a comprehensive educational approach that merges theoretical knowledge with practical experiences and develops soft skills. Students engage in extensive cybersecurity and AI/ML training through academic coursework, online modules, and industry-recognized certifications, all designed to enable them to detect, thwart, and prevent cyber-attacks using AI/ML techniques. Direct mentorship with dedicated research supervision facilitate independent research into pressing cybersecurity challenges. Moreover, students refine their practical abilities by participating in cyber competitions, attending conferences, completing summer internships, and obtaining real-world experience through the unique cybersecurity clinic program, where they work with actual clients. The cybersecurity clinic also helps students improve their soft skills, including report writing, public speaking, project management, and leadership. UNLV students also contribute to cybersecurity educational initiatives aimed at high school students and consistently participate in federal and industrial cybersecurity events. UNLV’s multifaceted educational approach is designed to nurture well-rounded cybersecurity professionals prepared to contribute to the workforce immediately.<br/><br/>This project is supported by the CyberCorps? Scholarship for Service (SFS) program, which funds proposals establishing or continuing scholarship programs in cybersecurity and aligns with the U.S. National Cyber Strategy to develop a superior cybersecurity workforce. Following graduation, scholarship recipients are required to work in cybersecurity for a federal, state, local, or tribal Government organization for the same duration as their scholarship support.<br/><br/>This award reflects NSF's statutory mission and has been deemed worthy of support through evaluation using the Foundation's intellectual merit and broader impacts review criteria. 現在のサイバーセキュリティの状況において、人工知能(AI)と機械学習(ML)は、国のサイバー空間を効果的に保護する上で、従来のセキュリティ対策の重要な強化策として重要であることが浮き彫りになっている。このプロジェクトは、新しいCyberCorps? Scholarship for Service (SFS)プログラムをネバダ大学ラスベガス校(UNLV)に新設し、AI/MLに長けたサイバーセキュリティ専門家集団を育成し、政府への貢献を目指している。UNLVのカリキュラムは、コンピューターサイエンスとサイバーセキュリティを統合し、国家インフラ保護に焦点を当てたAI/ML研究によって強化されている。さらに、このSFSプログラムは、優秀な学部生や大学院生を集め、指導し、地元の高校やコミュニティカレッジと積極的に関わり、人材パイプラインを強化するように設計されている。このプログラムは、UNLVが全米で4番目に多様性のある機構であり、マイノリティ支援機関およびヒスパニック支援機関として指定されていることから、サイバーセキュリティ分野への社会的地位の低い学生や女子学生の参加を増やすことを重視している。<br/><br/>このプロジェクトはUNLVの既存のリソースと専門知識を活用し、卒業生が政府のサイバーセキュリティの役割に即座に影響を与えられるようにする。理論的な知識を実践的な経験と融合させ、ソフトスキルを開発する包括的な教育アプローチを体現している。学生は、アカデミックなコースワーク、オンラインモジュール、業界が認定する認定を通じて、広範なサイバーセキュリティとAI/MLのトレーニングに従事し、AI/ML技術を使用してサイバー攻撃を検知、阻止、防止できるように設計されている。専任の研究監督者による直接指導により、サイバーセキュリティの差し迫った課題に対する独自の研究が促進される。さらに、学生はサイバーコンペティションへの参加、カンファレンスへの出席、サマーインターンシップの修了、実際のクライアントと仕事をするユニークなサイバーセキュリティ・クリニック・プログラムを通じて実社会での経験を積むことで、実践的な能力を磨いている。サイバーセキュリティ・クリニックでは、レポート作成、スピーチ、プロジェクト管理、リーダーシップなどのソフトスキルの向上にも役立っている。UNLVの学生はまた、高校生を対象としたサイバーセキュリティ教育イニシアチブに貢献し、連邦政府や産業界のサイバーセキュリティ・イベントに常に参加している。UNLVの多面的な教育アプローチは、即戦力となるサイバーセキュリティの専門家を育成するためのものである。<br/><br/>このプロジェクトは、サイバーコープス? <br/><br/>このプロジェクトは、サイバーセキュリティの奨学金プログラムを設立または継続する提案に資金を提供する「SFS(Solarship for Service)」プログラムの支援を受けており、優れたサイバーセキュリティ人材を育成する米国の国家サイバー戦略に沿ったものである。<br/><br/>この賞はNSFの法定使命を反映したものであり、財団の知的メリットとより広範な影響の審査基準を用いて評価し、支援に値すると判断されたものである。
   
Award Abstract # 2336409 CyberCorps Scholarship for Service: Building Research-minded Cyber Leaders 受賞要旨 # 2336409 CyberCorps奨学金: 研究熱心なサイバーリーダーの育成
Recipient: BRIGHAM YOUNG UNIVERSITY 取得者 ブリガム・ヤング大学
Total Intended Award Amount: ? 3,735,010.00 授与予定額: 3,735,010.00
ABSTRACT 概要
This project will establish a new CyberCorps? Scholarship for Service (SFS) program at Brigham Young University (BYU). Over the next five years, this project will support 23 undergraduate and graduate students studying Cybersecurity. These future cyber leaders will enter the government workforce with a strong grounding in cybersecurity's technical and human dimensions. SFS undergraduate and graduate students will have opportunities to participate in faculty-mentored research, BYU’s Security Operations Center (SOC), a new CyberClinic, cybersecurity and networking clubs, competitions, career fairs, government internships, and outreach efforts. In addition, this project will enable strategic enhancements at BYU designed to increase the cybersecurity student diversity profile, build a strong community among SFS students, and promote student research. This will, in turn, provide the government with an increasingly diverse set of capable, well-connected graduates ready to solve the cybersecurity challenges of today and the future.<br/><br/>The BYU SFS program is designed to motivate students to become ethical cyber leaders in government, raise the visibility of cybersecurity programs and opportunities at BYU, and further develop partnerships with government agencies. The project will support an SFS student research symposium, a government cybersecurity career event tied to BYU’s STEM Fair, and new diversity outreach efforts that will better integrate efforts across campus (e.g., BYU Engineering BE Together, Women in Cybersecurity Club, CS Belonging, Women in Computer Science, BYU Multicultural Student Services) and the community to recruit more women, minorities, and first-generation students into the field. A new Cybersecurity SFS Seminar will help build a community among SFS students and faculty and bring in experts from other universities and government agencies. Students participating in research will work with faculty studying high-priority areas, including AI and cybersecurity, human aspects of cybersecurity, embedded systems security, network security, and cybersecurity education. Graduate SFS students will complete a rigorous thesis centered around a cybersecurity topic, helping prepare them for cutting-edge research within government institutions.<br/><br/>This project is supported by the CyberCorps? Scholarship for Service (SFS) program, which funds proposals establishing or continuing scholarship programs in cybersecurity and aligns with the U.S. National Cyber Strategy to develop a superior cybersecurity workforce. Following graduation, scholarship recipients are required to work in cybersecurity for a federal, state, local, or tribal Government organization for the same duration as their scholarship support.<br/><br/>This award reflects NSF's statutory mission and has been deemed worthy of support through evaluation using the Foundation's intellectual merit and broader impacts review criteria. このプロジェクトは、ブリガム・ヤング大学(BYU)に新しいサイバーコープス(CyberCorps? サービス奨学金(SFS)プログラムをブリガム・ヤング大学(BYU)に新設する。今後5年間で、このプロジェクトはサイバーセキュリティを学ぶ23人の大学生と大学院生を支援する。これらの将来のサイバーリーダーは、サイバーセキュリティの技術的側面と人間的側面をしっかりと学んだ上で政府の労働力になる。SFSの学部生と大学院生は、教員の指導による研究、BYUのセキュリティ・オペレーションセンター(SOC)、新しいサイバー・クリニック、サイバーセキュリティ・ネットワーキングクラブ、コンテスト、キャリアフェア、政府インターンシップ、アウトリーチ活動に参加する機会を得る。さらに、このプロジェクトは、サイバーセキュリティ専攻の学生の多様性を高め、SFSの学生間の強力なコミュニティを構築し、学生の研究を促進することを目的としたBYUの戦略的強化を可能にする。<br/><br/>BYUのSFSプログラムは、政府が倫理的なサイバー・リーダーとなるよう学生を動機付け、BYUのサイバーセキュリティ・プログラムと機会の認知度を高め、政府機関とのパートナーシップをさらに発展させるように設計されている。このプロジェクトは、SFSの学生研究シンポジウム、BYUのSTEMフェアに関連した政府のサイバーセキュリティ・キャリア・イベント、および、より多くの女性、マイノリティ、および第一世代の学生をこの分野にリクルートするためのキャンパス全体(BYU Engineering BE Together、Women in Cybersecurity Club、CS Belonging、Women in Computer Science、BYU Multicultural Student Servicesなど)や地域社会での取り組みをよりよく統合する新しい多様性アウトリーチ活動を支援する。新しいサイバーセキュリティSFSセミナーは、SFSの学生や教授陣のコミュニティ形成に役立ち、他大学や政府機関から専門家を招く。研究に参加する学生は、AIとサイバーセキュリティ、サイバーセキュリティの人間的側面、組込みシステムセキュリティ、ネットワークセキュリティ、サイバーセキュリティ教育など、優先度の高い分野を研究する教員と協力する。<br/><br/>このプロジェクトはCyberCorps? <br/><br/>このプロジェクトは、サイバーセキュリティの奨学金プログラムを設立または継続する提案に資金を提供する「SFS(Solarship for Service)」プログラムの支援を受けており、優れたサイバーセキュリティ人材を育成する米国の国家サイバー戦略に沿ったものである。<br/><br/>この賞はNSFの法定使命を反映したものであり、財団の知的メリットとより広範な影響に関する審査基準を用いて評価し、支援に値すると判断されたものである。
   
Award Abstract # 2336386 CyberCorps Scholarship for Service: CyberRamblers Bolster National Security 受賞要旨 # 2336386 CyberCorps奨学金: サイバーランブラーによる国家安全保障の強化
Recipient: LOYOLA UNIVERSITY OF CHICAGO 取得者:シカゴ大学大学ロヨラ校
Total Intended Award Amount: ? 3,803,006.00 授与予定額: 3,803,006.00
ABSTRACT 概要
Cybersecurity is critical to all aspects of modern life, from energy, commerce, finance, education, and healthcare to manufacturing and agriculture. Well-trained cybersecurity professionals serving in the government workforce are critical to national security. This project will establish the CyberRamblers ? Loyola University Chicago CyberCorps? Scholarship for Service program to improve the United States' national security. Scholars will be trained in technical knowledge from Computer Science and Cybersecurity, and social and behavioral knowledge of cybercrime from Psychology, and Criminal Justice and Criminology. This leads to scholars receiving a well-rounded cybersecurity education and training. Four cohorts of undergraduate students majoring in the B.S. for Cybersecurity program will be recruited for a total of 20 students over five years. The student recruitment process emphasizes recruiting and retaining members of underrepresented and underserved groups. The outcome of this project will be a well-prepared cohort of cybersecurity professionals and leaders ready to meet the nation’s cybersecurity workforce needs.<br/><br/>The project will build on the existing interdisciplinary cybersecurity program to recruit students from Computer Science, Cybersecurity, Psychology, and Criminal Justice and Criminology. Each CyberRambler scholar will receive two years of scholarship support and advising and mentoring support to ensure adequate progress toward graduation and successful job placement. Scholars will be involved in interdisciplinary research and education and receive training to develop the critical thinking, independence, teamwork, and technical knowledge required in a cybersecurity career. These scholarships for service will provide the necessary hands-on training and education for scholars to start a successful cybersecurity career as part of the government workforce. To ensure the effectiveness and sustainability of the program, comprehensive formative and summative evaluation mechanisms will be used to assess the progress and achievements of the student scholars. These will specifically focus on scholars’ skill development, knowledge acquisition, and readiness to meet the nation's cybersecurity workforce needs. This project aims to create cybersecurity professionals who will positively impact national security and meet the evolving challenges of the cyber landscape through strategic recruitment, interdisciplinary cybersecurity-focused curriculum, rigorous evaluation, and government partnerships.<br/><br/>This project is supported by the CyberCorps? Scholarship for Service (SFS) program, which funds proposals establishing or continuing scholarship programs in cybersecurity and aligns with the U.S. National Cyber Strategy to develop a superior cybersecurity workforce. Following graduation, scholarship recipients are required to work in cybersecurity for a federal, state, local, or tribal Government organization for the same duration as their scholarship support.<br/><br/>This award reflects NSF's statutory mission and has been deemed worthy of support through evaluation using the Foundation's intellectual merit and broader impacts review criteria. サイバーセキュリティは、エネルギー、商業、金融、教育、ヘルスケアから製造業や農業に至るまで、現代生活のあらゆる側面にとって極めて重要である。政府の労働力に従事する十分な訓練を受けたサイバーセキュリティの専門家は、国家安全保障にとって不可欠である。このプロジェクトは、CyberRamblers ? ロヨラ大学シカゴ・サイバーコープス? 奨学金プログラムを設立し、米国の国家安全保障を改善する。奨学生は、コンピューター・サイエンスとサイバーセキュリティの技術的知識と、心理学と刑事司法・犯罪学のサイバー犯罪に関する社会的・行動的知識の訓練を受ける。これにより、奨学生は総合的なサイバーセキュリティ教育と訓練を受けることになる。サイバーセキュリティ学士課程を専攻する学部生は、5年間で4期生、合計20名が募集される。この学生募集プロセスでは、社会的地位が低く、十分なサービスを受けていないグループのメンバーを募集し、確保することを重視している。<br/><br/>このプロジェクトは、既存の学際的なサイバーセキュリティ・プログラムを基盤として、コンピューター・サイエンス、サイバーセキュリティ、心理学、刑事司法・犯罪学から学生を募集する。各サイバー・ランブラー奨学生は、2年間の奨学金支援と、卒業と就職に向けた十分な進捗を保証するための助言・指導支援を受ける。奨学生は学際的な研究と教育に携わり、サイバーセキュリティのキャリアに必要な批判的思考、自立心、チームワーク、技術的知識を身につけるための訓練を受ける。これらの奨学金は、奨学生が政府の労働力としてサイバーセキュリティのキャリアを成功させるために必要な実地訓練と教育を提供する。プログラムの有効性と持続可能性を確保するため、包括的な形成的評価と総括的評価の仕組みを用いて、学生奨学生の進歩や成果を評価する。これらは特に、奨学生のスキル開発、知識習得、国のサイバーセキュリティ人材のニーズに応える準備態勢に焦点を当てる。このプロジェクトは、戦略的な採用、サイバーセキュリティに焦点を当てた学際的なカリキュラム、厳格な評価、政府とのパートナーシップを通じて、国家安全保障にプラスの影響を与え、サイバー環境の進化する課題に対応するサイバーセキュリティの専門家を育成することを目的としている。<br/><br/>このプロジェクトは、サイバーセキュリティの奨学金プログラムを設立または継続する提案に資金を提供するSFS(Solarship for Service)プログラムの支援を受けており、優れたサイバーセキュリティ人材を育成する米国の国家サイバー戦略に沿ったものである。<br/><br/>この賞はNSFの法定使命を反映したものであり、財団の知的メリットとより広範な影響の審査基準を用いて評価し、支援に値すると判断されたものである。
   
Award Abstract # 2336545 CyberCorps Scholarship for Service: Preparing a Diverse Next-Generation Workforce Through Integrated Cybersecurity and Artificial Intelligence Scholar Experience 受賞要旨 # 2336545 CyberCorps奨学金: サイバーセキュリティと人工知能の統合的な奨学生経験を通した多様な次世代人材の育成
Recipient: BOISE STATE UNIVERSITY 取得者:州立ボイシ大学
Total Intended Award Amount: 授与予定額: 3,541,722.00
ABSTRACT 概要
There is an urgent need for technical experts in cybersecurity and artificial intelligence (AI) committed to serving in government roles. These individuals can provide knowledgeable and future-oriented guidance that protects national defense and resources while facilitating growth across society. The CyberCorps? Scholarship for Service (SFS) project at Boise State University (BSU) will help to meet that need by nurturing a diverse cohort of 17 scholars into cybersecurity professionals ready to serve in public sector organizations. BSU’s Computer Science department provides state-of-the-art technical instruction and continuous hands-on research experiences for Undergraduate, Master's, and PhD level cybersecurity and AI students. Scholars will be equipped with the requisite knowledge and skills to safeguard AI systems while leveraging AI to enhance cybersecurity systems' efficiency and effectiveness ethically. The project is aligned with the Federal Cybersecurity Research and Development Strategic Plan, which highlights AI and Education and Workforce Development (EWD) as key areas.<br/><br/>This project aims to achieve the following objectives: 1) recruit a diverse cohort interested in serving in cybersecurity, 2) build scholars’ competencies at the Intersection of AI and cybersecurity, and 3) foster engagement, ensure retention, and facilitate employment. The project team will systemically engage contemporary learning science and performance-improving methods. In addition, the project team will partner with other Idaho community and four-year colleges, and existing BSU cybersecurity programs to attract and retain scholars. The project will emphasize improving the participation of members of groups underrepresented in cybersecurity and those with diverse life experiences. In addition to coursework, seminars, and mentoring support, scholars will participate in various activities, including internships and hands-on training in BSU’s Institute for Pervasive Cybersecurity. <br/><br/>This project is supported by the CyberCorps? Scholarship for Service (SFS) program, which funds proposals establishing or continuing scholarship programs in cybersecurity and aligns with the U.S. National Cyber Strategy to develop a superior cybersecurity workforce. Following graduation, scholarship recipients are required to work in cybersecurity for a federal, state, local, or tribal Government organization for the same duration as their scholarship support.<br/><br/>This award reflects NSF's statutory mission and has been deemed worthy of support through evaluation using the Foundation's intellectual merit and broader impacts review criteria. サイバーセキュリティと人工知能(AI)の技術専門家が政府の職務に就くことが急務となっている。このような人材は、社会全体の成長を促進しながら、国防と資源を保護する知識豊富で未来志向の指導を提供することができる。サイバーコープス? ボイジー州立大学(BSU)のSFS(Scholarship for Service)プロジェクトは、17人の多様な奨学生を公共部門で活躍できるサイバーセキュリティの専門家に育成することで、このニーズに応える一助となる。ボイジー州立大学(BSU)のコンピューターサイエンス学部は、学部、修士、博士レベルのサイバーセキュリティとAIを学ぶ学生に、最先端の技術指導と継続的な実践研究を提供している。奨学生は、AIを活用してサイバーセキュリティシステムの効率性と有効性を倫理的に向上させながら、AIシステムを保護するために必要な知識とスキルを身につける。このプロジェクトは連邦サイバーセキュリティ研究開発戦略計画に沿ったもので、AIと教育・人材開発(EWD)を重要分野として強調している。<br/><br/>このプロジェクトは以下の目的を達成することを目指す: 1)サイバーセキュリティに従事することに関心のある多様な集団をリクルートする、2)AIとサイバーセキュリティの交差点における奨学生の能力を構築する、3)関与を促進し、維持を確保し、雇用を促進する。プロジェクトチームは、現代の学習科学とパフォーマンス改善手法に体系的に取り組む。さらに、プロジェクト・チームは、アイダホ州の他のコミュニティ・カレッジや4年制カレッジ、BSUの既存のサイバーセキュリティ・プログラムと提携し、奨学生の獲得と定着を図る。このプロジェクトでは、サイバーセキュリティ分野で十分な経験を積んでいないグループのメンバーや、多様な人生経験を持つ人々の参加を改善することを重視する。コースワーク、セミナー、指導支援に加え、奨学生はBSUのサイバーセキュリティ研究所でのインターンシップや実習を含む様々な活動に参加する。<br/><br/>このプロジェクトはCyberCorps? このプログラムは、サイバーセキュリティ分野の奨学金プログラムを設立または継続する提案に資金を提供するもので、優れたサイバーセキュリティ人材を育成する米国の国家サイバー戦略に沿ったものである。<br/><br/>この賞はNSFの法定使命を反映したものであり、財団の知的メリットとより広範な影響の審査基準を用いて評価し、支援に値すると判断されたものである。

 

1_20231227062601

 

 

 

| | Comments (0)

2023.12.26

米国 バイデン大統領が2024年国防授権法にサインをしましたね。。。(2023.12.22)

こんにちは、丸山満彦です。

米国 バイデン大統領が2024年国防授権法にサインをしましたね。。。

外国情報監視法 (Foreign Intelligence Surveillance Act) [wikipedia] が延長されています。。。想定通りですが。。。

 

Fig1_20210802074601

U.S. White House

・2023.12.22 Bill Signed: H.R. 2670

Bill Signed: H.R. 2670 法案署名: H.R. 2670
On Friday, December 22, 2023, the President signed into law: 2023年12月22日(金)、大統領は法案に署名した:
H.R. 2670, the “National Defense Authorization Act for Fiscal Year 2024,” which authorizes fiscal year 2024 appropriations principally for Department of Defense programs and military construction, Department of Energy national security programs, Department of State, and Intelligence programs; specifies authorities relating to the U.S. Armed Forces; extends the Foreign Intelligence Surveillance Act; and other matters. 同法案は、主に国防総省のプログラムおよび軍事建設、エネルギー省の国家安全保障プログラム、国務省および情報機関のプログラムに対する2024会計年度の予算計上を承認し、米軍に関する権限を明記し、外国情報監視法を延長するものである。
Thank you to Representatives Rogers and Smith, Senators Reed and Wicker, and many others for their leadership. ロジャーズ下院議員、スミス下院議員、リード上院議員、ウィッカー上院議員、その他多くの方々のリーダーシップに感謝する。

 

・2023.12.22 Statement from President Joe Biden on H.R. 2670, National Defense Authorization Act for Fiscal Year 2024

Statement from President Joe Biden on H.R. 2670, National Defense Authorization Act for Fiscal Year 2024 H.R.2670「2024会計年度国防権限法」に関するジョー・バイデン大統領の声明
Today, I have signed into law H.R. 2670, the “National Defense Authorization Act (NDAA) for Fiscal Year 2024” (the “Act”).  The Act authorizes fiscal year appropriations principally for the Department of Defense, Department of Energy national security programs, Department of State, and the Intelligence Community.  The Act provides the critical authorities we need to build the military required to deter future conflicts, while supporting service members and their spouses and families who carry out that mission every day.  I also thank the Congress for its extension of title VII of the Foreign Intelligence Surveillance Act.  My Administration looks forward to working with the Congress on the reauthorization of this vital national security authority as soon as possible in the new year.  While I am pleased to support the critical objectives of the NDAA, I note that certain provisions of the Act raise concerns. 本日、私は、H.R.2670「2024 会計年度国防権限法(NDAA)」(以下「本法律」)に署名した。 同法は、主に国防総省、エネルギー省の国家安全保障プログラム、国務省、情報コミュニティに対する会計年度予算を承認するものである。 同法は、将来の紛争を抑止するために必要な軍備を構築するために必要な重要な権限を提供するとともに、日々その任務を遂行する軍人やその配偶者、家族を支援するものである。 また、議会がタイトルVIIである外国情報監視法(Foreign Intelligence Surveillance Act)を延長してくれたことにも感謝する。 私の政権は、新年早々にも、この重要な国家安全保障権限の再承認について議会と協力することを楽しみにしている。 NDAAの重要な目的を支持できることは喜ばしいが、この法律のある条項には懸念がある。
     Section 1033 of the Act continues to bar the use of funds appropriated to the Department of Defense to transfer Guantánamo Bay detainees to the custody or effective control of certain foreign countries.  Section 1031 likewise would continue to prohibit the use of such funds to transfer Guantánamo Bay detainees into the United States.  It is the longstanding position of the executive branch that these provisions unduly impair the ability of the executive branch to determine when and where to prosecute Guantánamo Bay detainees and where to send them upon release.  In some circumstances, these provisions could make it difficult to comply with the final judgment of a court that has directed the release of a detainee on writ of habeas corpus, including by constraining the flexibility of the executive branch with respect to its engagement in delicate negotiations with foreign countries over the potential transfer of detainees.      同法第1033条は、グアンタナモ湾の抑留者を特定の外国に移送するために国防総省に充当される資金の使用を引き続き禁止する。 第1031条も同様に、グアンタナモ湾の被拘禁者を米国内に移送するためにそのような資金を使用することを引き続き禁止する。 これらの規定は、グアンタナモ湾の被拘禁者をいつ、どこで起訴し、釈放後にどこに送還するかを決定する行政府の能力を不当に損なうというのが、行政府の長年の立場である。 状況によっては、これらの規定は、人身保護令状に基づき被拘禁者の釈放を指示した裁判所の最終判決に従うことを困難にする可能性があり、これには、被拘禁者の移送の可能性をめぐる外国との微妙な交渉への関与に関して、行政府の柔軟性を制約することも含まれる。
     I urge the Congress to eliminate these restrictions as soon as possible.  Moreover, certain provisions of the Act raise constitutional concerns or questions of construction.      私は議会に対し、このような制限をできるだけ早く撤廃するよう強く求める。 さらに、この法律の一部の条項には、憲法上の懸念や解釈上の問題がある。
     Certain provisions of the Act, including sections 856(c), 1221(a)(7), 1269, 1687, 7315, and 7351 would require the President and other officials to submit reports and plans to committees of the Congress that will, in the ordinary course, include highly sensitive classified information, including information that could reveal critical intelligence sources or military operational plans or could implicate executive branch confidentiality interests.  The Constitution vests the President with the authority to prevent the disclosure of such highly sensitive information in order to discharge his responsibility to protect the national security.  At the same time, congressional committees have legitimate needs to perform vital oversight and other legislative functions with respect to national security and military matters.  Accordingly, it has been the common practice of the executive branch to comply with statutory reporting requirements in a way that satisfies congressional needs pursuant to the traditional accommodation practice and consistent with due regard for the protection from unauthorized disclosure of classified information relating to sensitive intelligence sources and methods or other exceptionally sensitive matters, as well as to preserve the confidentiality of internal executive branch deliberations, particularly those with respect to decisions bearing on the Nation’s national security.  I believe the Congress shares this understanding, and my Administration will presume that it is incorporated into statutory reporting requirements of the kind at issue in the Act.      第856条(c)項、第1221条(a)(7)項、第1269条、第1687条、第7315条、第7351条を含むこの法律の特定の条項は、大統領やその他の当局者に、議会の委員会に報告書や計画を提出することを要求するものであり、通常であれば、重要な情報源や軍事作戦計画を明らかにする可能性のある情報、あるいは行政府の守秘義務に関わる可能性のある情報など、機密性の高い情報を含むことになる。 憲法は、国家安全保障を守る責任を果たすため、大統領にそのような機密性の高い情報の開示を防ぐ権限を与えている。 同時に、議会の委員会には、国家安全保障や軍事に関する重要な監視やその他の立法機能を果たす正当なニーズがある。 従って行政府は、伝統的な慣例に従い、また機密情報源や方法、あるいはその他の例外的に機微な事項に関する機密情報の不正な開示からの保護や、行政府内部の審議、特に国家の安全保障に関わる決定に関する機密保持に十分配慮した上で、議会のニーズを満たす方法で法定報告要件を遵守するのが一般的な慣例となっている。 私は、議会がこのような理解を共有していると信じており、私の政権も、この法律で問題になっているような法定報告要件にこの理解が盛り込まれていると推定する。
     A number of provisions of the Act may, in certain circumstances, interfere with the exercise of the President’s constitutional authority to articulate the positions of the United States in international negotiations or fora including sections 825(c)(1), 1013(b), 1255(b)(2), 1256(c)(2), 1305, 1309(a), 1518(a), 5411(a), 5602(c), and 6406.  I recognize that “[i]t is not for the President alone to determine the whole content of the Nation’s foreign policy” (Zivotofsky v. Kerry) and will make every effort to take action consistent with these provisions.  Indeed, I do not necessarily oppose many of the objectives in these provisions.  Nevertheless, I will not treat them as limiting the President’s constitutional discretion to articulate the views of the United States before international organizations and with foreign governments.      同法の多くの条項は、状況によっては、第825条(c)(1)、第1013条(b)、第1255条(b)(2)、第1256条(c)(2)、第1305条、第1309条(a)、第1518条(a)、第5411条(a)、第5602 条(c)、題6406条など、国際交渉や場において米国の立場を明確にする大統領の憲法上の権限の行使を妨げる可能性がある。 私は、「国家の外交政策の全内容を大統領一人で決定することはできない」(ジヴォトフスキー対ケリー戦)ことを認識しており、これらの規定に沿った行動を取るためにあらゆる努力を払うつもりである。 実際、私はこれらの規定の目的の多くに必ずしも反対しているわけではない。 とはいえ、国際機関や外国政府に対して米国の見解を表明する大統領の憲法上の裁量を制限するものとして扱うつもりはない。
     Section 1555(a) of the Act requires recipients of certain Department of Defense (the “Department”) advertising contracts to certify that they “[do] not place advertisements in news sources based on personal or institutional political preferences or biases, or determinations of misinformation.”  The Department will comply with this provision by requiring recipients of such contracts to certify that they will not place the Department’s advertisements based on the enumerated grounds.  But the Department must also comply with the First Amendment, which limits the Government in “leverag[ing] funding to regulate speech outside the contours of the [governmental] program itself” (Agency for International Development v. Alliance for Open Society International, Inc.).  The Department of Defense will implement the certification required by section 1555(a) consistent with the First Amendment.      同法第1555条(a)は、国防総省(以下「省」)の特定の広告契約の受領者に対し、「個人的または組織的な政治的嗜好や偏見、あるいは誤報の判断に基づいてニュースソースに広告を掲載しない」ことを証明するよう求めている。 同省は、このような契約の受領者に、列挙された根拠に基づいて同省の広告を掲載しないことを証明するよう求めることで、この規定を遵守する。 しかし国防総省は、「(政府の)プログラム自体の枠外で言論を規制するために資金を活用すること」(国際開発庁対オープン・ソサエティー・インターナショナル同盟)において政府を制限する憲法修正第1条も遵守しなければならない。 国防総省は、第1555条(a)で要求される認証を、憲法修正第1条と矛盾しないように実施する。

 

 


法律。。。

Congress

H.R.2670 - National Defense Authorization Act for Fiscal Year 2024

 

・[TXT] Text: H.R.2670 — 118th Congress (2023-2024)

 

・[XML/HTMLText: H.R.2670 — 118th Congress (2023-2024)

 

全体構成...

(1) Division A--Department of Defense Authorizations. (1) ディビジョンA--国防総省認可 Sec.101 Sec.1853
(2) Division B--Military Construction Authorizations. (2) ディビジョンB--軍事建設認可 Sec.2001 Sec.2882
(3) Division C--Department of Energy National Security Authorizations and Other Authorizations. (3) ディビジョンC--エネルギー省の国家安全保障認可およびその他の認可 Sec.3101 Sec.3537
(4) Division D--Funding Tables. (4) ディビジョンD--資金表 Sec.4001 Sec.4701
(5) Division E--Other Matters. (5) ディビジョンE--その他の事項 Sec.5001 Sec.5801
(6) Division F--Department of State Authorization Act of 2023. (6) ディビジョンF--2023年国務省認可法 Sec.6001 Sec.6710
(7) Division G--Intelligence Authorization Act for Fiscal Year 2024. (7) ディビジョンG--2024会計年度情報認可法 Sec.7001 Sec.7902

 

Cyberで検索すると466件(昨年は935件)Hitしました...

気になるようなところは、次のあたりですかね。。。

 

(1) Division A--Department of Defense Authorizations. (1) ディビジョンA--国防総省認可
TITLE V--MILITARY PERSONNEL POLICY タイトルV--軍事人事政策
Sec. 509. Improvements relating to service obligation for Marine Corps cyberspace operations officers. 第509条 海兵隊のサイバー空間作戦将校の勤務義務に関する改善
   
TITLE XV--CYBERSPACE-RELATED MATTERS タイトルXV--サイバー空間関連事項
Subtitle A--Cyber Operations サブタイトルA--サイバー作戦
Sec. 1501. Performance metrics for pilot program on sharing cyber capabilities and related information with foreign operational partners. 第1501条 外国の作戦パートナーとのサイバー能力および関連情報の共有に関するパイロット・プログラムのパフォーマンス評価基準
Sec. 1502. Harmonization and clarification of Strategic Cybersecurity Program and related matters. 第1502条 戦略的サイバーセキュリティ・プログラム及び関連事項の調和と明確化
Sec. 1503. Modification of authority to use operation and maintenance funds for cyber operations-peculiar capability development projects. 第1503条 サイバー・オペレーション特有の能力開発プロジェクトに運用保守資金を使用する認可を変更する
Sec. 1504. Quarterly briefings on joint all domain command and control effort. 第1504条 全領域における共同指揮統制の取り組みについて、四半期ごとにブリーフィングを行う
Sec. 1505. Authority for countering illegal trafficking by Mexican transnational criminal organizations in cyberspace. 第1505条 サイバー空間におけるメキシコの国際犯罪組織による違法取引に対抗する認可
Sec. 1506. Development of cyber support mechanisms for geographic combatant commands. 第1506条 地理的戦闘司令部のためのサイバー支援メカニズムを開発する
Sec. 1507. Review and plan relating to cyber red teams of Department of Defense. 第1507条 国防総省のサイバーレッドチームに関する見直しと計画
Subtitle B--Cybersecurity サブタイトルB--サイバーセキュリティ
Sec. 1511. Responsibility for cybersecurity and critical infrastructure protection of defense industrial base. 第1511条 防衛産業基盤のサイバーセキュリティと重要インフラ保護に対する責任
Sec. 1512. Cybersecurity enhancements for nuclear command, control, and communications network. 第1512条 核指揮統制コミュニケーション・ネットワークのサイバーセキュリティ強化
Sec. 1513. Pilot program relating to semiconductor supply chain and Cybersecurity Collaboration Center. 第1513条 半導体サプライチェーンとサイバーセキュリティ・コラボレーシ ョン・センターに関するパイロット・プログラム
Sec. 1514. Transfer of data and technology developed under MOSAICS program. 第1514条 MOSAICS プログラムで開発されたデータおよび技術の移転
Sec. 1515. Modernization program for network boundary and cross-domain defense. 第1515条 ネットワーク境界およびクロスドメイン防衛のための近代化プログラム
Sec. 1516. Establishment of certain identity, credential, and access management activities as program of record. 第1516条 特定の ID、クレデンシャル、およびアクセス管理活動を記録プログラムとして確立する
Sec. 1517. Pilot program on assuring critical infrastructure support for military contingencies. 第1517条 軍事的不測の事態に対する重要インフラ支援を保証するパイロット・プログラム
Sec. 1518. Military cybersecurity cooperation with Taiwan. 第1518条 台湾との軍事サイバーセキュリティ協力
Sec. 1519. Guidance regarding securing laboratories of the Armed Forces. 第1519条 軍の研究所の安全確保に関するガイダンス
Subtitle C--Information Technology and Data Management サブタイトルC--情報技術とデータ管理
Sec. 1521. Control and management of Department of Defense data; establishment of Chief Digital and Artificial Intelligence Officer Governing Council. 第1521条 国防総省のデータ管理者、最高デジタル・人工知能責任者ガバナンス協議会の設置
Sec. 1522. Modification to Department of Defense enterprise-wide procurement of cyber data products and services. 第1522条 国防総省のエンタープライズ規模でのサイバー・データ製品・サービスの調達の変更
Sec. 1523. Management of data assets by Chief Digital and Artificial Intelligence Officer. 第1523条 最高デジタル・人工知能責任者によるデータ資産の管理
Sec. 1524. Course of education and pilot program on authentication of digital content provenance for certain Department of Defense media content. 第1524条 国防総省の特定のメディア・コンテンツのデジタル・コンテンツの出所の本人認証に関する教育課程および試験プログラム
Sec. 1525. Prize competitions for business systems modernization. 第1525条 業務システム近代化のための懸賞
Sec. 1526. Requirements for deployment of fifth generation information and communications capabilities to military installations and other Department facilities. 第1526条 軍施設およびその他の国防総省施設への第 5 世代情報通信能力の配備要件
Sec. 1527. Required policies to establish datalink strategy of Department of Defense. 第1527条 国防総省のデータリンク戦略を確立するために必要な政策
Subtitle D--Personnel サブタイトルD--人事
Sec. 1531. Office for academic engagement relating to cyber activities. 第1531条 サイバー活動に関する学術的関与のための事務所
Sec. 1532. Selected Reserve order to active duty to respond to a significant cyber incident. 第1532条 重要なサイバーインシデントに対応するため、選ばれた予備役が現役任務に就く
Sec. 1533. Post-graduate employment of Department of Defense Cyber Service Academy scholarship recipients in intelligence community. 第1533条 国防総省サイバーサービスアカデミーの奨学金取得者の情報コミュニティにおける 卒後の雇用
Sec. 1534. Minimum number of scholarships to be awarded annually through Department of Defense Cyber Service Academy. 第1534条 国防省サイバーサービスアカデミーを通じて毎年授与される奨学金の最低数
Sec. 1535. Pilot program and other measures to enhance readiness and effectiveness of Cyber Mission Force. 第1535条 サイバー・ミッション・フォースの即応性と有効性を強化するためのパイロット・ プログラムおよびその他の措置
Sec. 1536. Authority to conduct pilot program on Civilian Cybersecurity Reserve. 第1536条 民間サイバーセキュリティ予備役に関する試験的プログラムを実施する認可
Sec. 1537. Requirements for implementation of user activity monitoring for certain personnel. 第1537条 特定の要員に対するユーザ活動監視の実施要件
Sec. 1538. Study on occupational resiliency of Cyber Mission Force. 第1538条 サイバー・ミッション・フォースの職業的レジリエンシーに関する研究
Subtitle E--Artificial Intelligence サブタイトル E--人工知能
Sec. 1541. Modification to acquisition authority of senior official with principal responsibility for artificial intelligence and machine learning. 第1541条 人工知能及び機械学習を主管する高官の認可を変更する
Sec. 1542. Artificial intelligence bug bounty programs. 第1542条 人工知能バグ報奨金プログラム
Sec. 1543. Prize competition for technology that detects and watermarks use of generative artificial intelligence. 第1543条 生成的人工知能の使用を検知し、透かしを入れる技術のための賞金コンペティション
Sec. 1544. Plans, strategies, and other matters relating to artificial intelligence. 第1544条 人工知能に関する計画、戦略、その他の事項
Sec. 1545. Study to analyze vulnerability for artificial intelligence-enabled military applications. 第1545条 人工知能を利用した軍事アプリケーションの脆弱性を分析するための研究
Subtitle F--Reports and Other Matters サブタイトルF--報告書およびその他の事項
Sec. 1551. Limitation on availability of funds for travel for Office of Under Secretary of Defense for Personnel and Readiness pending strategy relating to Defense Travel System. 第1551条 国防旅行システムに関連する戦略保留中の国防次官補室(人事・即応担当)の旅行資金の利用可能性を制限する
Sec. 1552. Management by Department of Defense of mobile applications. 第1552条 国防総省によるモバイル・アプリケーションの管理
Sec. 1553. Report on Department of Defense Enterprise capabilities for cybersecurity. 第1553条 サイバーセキュリティのための国防総省エンタープライズ能力に関する報告
Sec. 1554. Report on technology modernization for Army Human Resources Command 2030 Transformation Plan. 第1554条 陸軍人的資源司令部 2030 年変革計画のための技術近代化に関する報告
Sec. 1555. Certification requirement regarding contracting for military recruiting. 第1555条 軍募集の契約に関する認証要件
   
Division B--Military Construction Authorizations. ディビジョンB--軍事建設認可
TITLE XXVII--BASE REALIGNMENT AND CLOSURE ACTIVITIES タイトル XXVII--基地再編・閉鎖活動
Sec. 2809. Incorporation of cybersecurity supply chain risk management tools and methods. 第2809条 サイバーセキュリティのサプライチェーンリスクマネジメントツールと方法の導入
   
Division C--Department of Energy National Security Authorizations and Other Authorizations. ディビジョンC--エネルギー省の国家安全保障認可およびその他の認可
TITLE XXXI--DEPARTMENT OF ENERGY NATIONAL SECURITY PROGRAMS タイトル XXXI--エネルギー省国家安全保障プログラム
Subtitle B--Program Authorizations, Restrictions, and Limitations サブタイトルB--プログラムの認可、制限、限界
Sec. 3111. Transfer of cybersecurity responsibilities to Administrator for Nuclear Security. 第3111条 サイバーセキュリティの責任を核セキュリティ担当長官に移管する
Sec. 3113. Cybersecurity Risk Inventory, Assessment, and Mitigation Working Group. 第3113条 サイバーセキュリティ・リスクのインベントリ、アセスメント、低減ワーキンググループ
   
Division F--Department of State Authorization Act of 2023. ディビジョンF--2023年国務省認可法
TITLE LXIII--INFORMATION SECURITY AND CYBER DIPLOMACY タイトル LXIII--情報セキュリティとサイバー外交
Sec. 6301. Data-informed diplomacy. 第6301条 データ情報外交
Sec. 6302. Establishment and expansion of the Bureau Chief Data Officer Program. 第6302条 局チーフ・データ・オフィサー・プログラムの設立と拡大
Sec. 6303. Establishment of the Chief Artificial Intelligence Officer of the Department of State. 第6303条 国務省のチーフ・アーティフィシャル・インテリジェンス・オフィサー(Chief Artificial Intelligence Officer)を設置する
Sec. 6304. Strengthening the Chief Information Officer of the Department of State. 第6304条 国務省の最高情報責任者を強化する
Sec. 6305. Sense of Congress on strengthening enterprise governance. 第6305条 エンタープライズガバナンスの強化に関する政府見解
Sec. 6306. Digital connectivity and cybersecurity partnership. 第6306条 デジタル接続とサイバーセキュリティ・パートナーシップ
Sec. 6307. Establishment of a cyberspace, digital connectivity, and related technologies (CDT) fund. 第6307条 サイバー空間、デジタル接続、関連技術(CDT)基金を設立する
Sec. 6308. Cyber protection support for personnel of the Department of State in positions highly vulnerable to cyber attack. 第6308条 サイバー攻撃に非常に脆弱な立場にある国務省職員に対するサイバー防御支援
Sec. 6309. Implementation of GAO High Risk List recommendations. 第6309条 GAO 高リスクリスト勧告の実施
   
Division G--Intelligence Authorization Act for Fiscal Year 2024. ディビジョンG--2024会計年度情報認可法
TITLE III--INTELLIGENCE COMMUNITY MATTERS タイトル III--情報コミュニティに関する事項
Subtitle D--Matters Relating to National Security Agency, Cyber, and Commercial Cloud Enterprise サブタイトルD--国家安全保障局、サイバー、商業クラウドエンタープライズに関する事項
Sec. 7351. Congressional notification by National Security Agency of intelligence collection adjustments. 第7351条 国家安全保障局による情報収集調整の議会通知
Sec. 7352. Modifications to enforcement of cybersecurity requirements for national security systems. 第7352条 国家安全保障システムに対するサイバーセキュリティ要件の実施に関する修正
Sec. 7353. Support by intelligence community for certain cross-functional team of Department of Defense. 第7353条 国防総省の特定の部門横断チームに対する情報コミュニティによる支援
Sec. 7354. Commercial Cloud Enterprise notification. 第7354条 商業クラウドエンタープライズへの通知
Sec. 7355. Commercial Cloud Enterprise sole source task order notification requirement. 第7355条 商業クラウドエンタープライズ単独発注の通知要件
Sec. 7356. Analysis of commercial cloud initiatives of intelligence community. 第7356条 情報コミュニティの商業クラウド構想の分析

 

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2022.12.25 米国 バイデン大統領が2023年国防授権法にサインをしましたね。。。

・2021.12.29 米国 バイデン大統領が2022年国防授権法にサインをしましたね。。。

・2021.01.06 米国 2021年度 National Defense Authorization Act (NDAA) (国防授権法)成立 サイバー関係も・・・

・2020.07.25 米国連邦議会 2021年度の国防授権法が下院で可決しましたね。。。

 

| | Comments (0)

2023.12.25

NIST AIに関する大統領令のSec. 4.1、4.5、11に基づくNISTの任務に関する情報提供の要請(RFI)(2023.12.19)

こんにちは、丸山満彦です。

AIに関する大統領令 EO14110が10月末に発布され、米国連邦政府ではAIに関する各種取り組みが加速していますが、技術的な標準をまかされているNISTにもその影響は当然にありますね。。。

今回は、EO14110の、

  • Sec. 4.1:AIの安全性とセキュリティに関するガイドライン、標準、ベスト・プラクティスの策定。
  • Sec. 4.2:合成コンテンツがもたらすリスクの低減。
  • Sec. 11項:海外での米国のリーダーシップの強化。

についての情報要請 (RFI) です。。。

 

プレス

⚫️ NIST - ITL

・2023.12.19 NIST Calls for Information to Support Safe, Secure and Trustworthy Development and Use of Artificial Intelligence

NIST Calls for Information to Support Safe, Secure and Trustworthy Development and Use of Artificial Intelligence NIST、人工知能の安全・安心・信頼できる開発・利用を支援する情報を募集
・NIST seeks information to support its response to the Executive Order on AI. ・NISTは、AIに関する大統領令への対応を支援するための情報を求めている。
・Comments received will help NIST develop guidelines for evaluation and red-teaming; consensus-based standards; and more. ・寄せられた意見は、NISTが評価とレッドチームのガイドライン、コンセンサスに基づく基準などを開発するのに役立つ。
・Responses are due Feb. 2, 2024. ・回答期限は2024年2月2日である。
GAITHERSBURG, Md. — The U.S. Department of Commerce’s National Institute of Standards and Technology (NIST) has issued a Request for Information (RFI) that will assist in the implementations of its responsibilities under the recent Executive Order on Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence (AI). The order directs NIST to develop guidelines for evaluation, red-teaming and more; facilitate development of consensus-based standards; and provide testing environments for the evaluation of AI systems. These guidelines and infrastructure will be a resource to help the AI community in the safe and trustworthy development and responsible use of AI.   米商務省標準技術局(NIST)は、「人工知能(AI)の安全、セキュアかつ信頼できる開発および使用に関する大統領令」に基づくNISTの責務の遂行を支援する情報提供要請書(RFI)を発行した。同大統領令はNISTに対し、評価やレッドチームなどのガイドラインを策定し、コンセンサスに基づく標準の開発を促進し、AIシステムの評価のためのテスト環境を提供するよう指示している。これらのガイドラインとインフラは、AIの安全で信頼できる開発と責任ある利用において、AIコミュニティを支援するリソースとなる。 
“President Biden has been clear — AI is the defining technology of our generation, and we have an obligation to harness the power of AI for good while protecting people from its risks. As part of the president’s Executive Order, the Department of Commerce is soliciting feedback across industry, academia, civil society and more so we can develop industry standards around AI safety, security, and trust that will enable America to continue leading the world in the responsible development and use of this rapidly evolving technology,” said U.S. Secretary of Commerce Gina Raimondo.   「バイデン大統領は明言している-AIは我々の世代を定義する技術であり、我々はAIの力を善のために活用する一方で、そのリスクから人々を守る義務がある。大統領の大統領令の一環として、米国商務省は産業界、学界、市民社会などからの意見を募集し、AIの安全性、セキュリティ、信頼に関する業界標準を策定することで、米国がこの急速に進化する技術の責任ある開発と利用において世界をリードし続けることができるようにする」とジーナ・ライモンド米商務長官は述べた。 
The responses to the request for information will support NIST’s efforts to evaluate capabilities relating to AI technologies and develop a variety of guidelines called for in the Executive Order. The RFI specifically calls for information related to AI red-teaming, generative AI risk management, reducing the risk of synthetic content, and advancing responsible global technical standards for AI development. 情報提供要請への回答は、AI技術に関する能力を評価し、大統領令で求められている様々なガイドラインを策定するNISTの取り組みを支援することになる。RFIでは特に、AIのレッドチーム、生成的AIのリスク管理、合成コンテンツのリスク低減、AI開発のための責任あるグローバル技術標準の推進に関連する情報を求めている。
“We look forward to strengthening our engagement with the community to advance our understanding of AI measurement and evaluation as we begin to work toward the goals set out in the Executive Order,” said Under Secretary of Standards and Technology and NIST Director Laurie E. Locascio. “I want to invite the broader AI community to engage with our talented and dedicated team through this request for information to advance the measurement and practice of AI safety and trust. It is essential that we gather all perspectives as we work to establish a strong and unbiased scientific understanding of AI, which has the potential to impact so many areas of our lives.” 「私たちは、大統領令で定められた目標に向けた取り組みを始めるにあたり、AIの測定と評価に関する理解を深めるため、コミュニティとの連携を強化することを楽しみにしている」と、ローリー・E・ロカシオ標準技術次官兼NIST所長は述べた。「AIの安全性と信頼の測定と実践を前進させるため、この情報提供要請を通じて、より広範なAIコミュニティに、我々の有能で献身的なチームとの関与を呼びかけたい。我々の生活の多くの分野に影響を与える可能性のあるAIについて、強力かつ公平な科学的理解を確立するために、あらゆる視点を集めることが不可欠である。"
NIST develops guidance through an open and transparent process that involves a wide range of stakeholders from industry, academia, government and civil society.  NISTは、産業界、学界、政府、市民社会など幅広い利害関係者が参加するオープンで透明性の高いプロセスを通じてガイダンスを策定している。
Other assignments to NIST in the Executive Order related to cybersecurity and privacy, synthetic nucleic acid sequencing, and supporting agencies’ implementation of minimum risk-management practices are being addressed separately from this RFI. Information about NIST’s assignments and plans under the Executive Order, along with further opportunities for public input, may be found on the NIST website. サイバーセキュリティとプライバシー、合成核酸配列決定、最小限のリスク管理手法の実施支援に関する大統領令におけるNISTへのその他の任務は、本RFIとは別に扱われている。大統領令の下でのNISTの任務と計画に関する情報は、一般からの意見募集の機会とともに、NISTのウェブサイトに掲載されている。 

 

官報

Federal Register

・2023.12.19 Request for Information (RFI) Related to NIST's Assignments Under Sections 4.1, 4.5 and 11 of the Executive Order Concerning Artificial Intelligence (Sections 4.1, 4.5, and 11)

・[PDF]

20231225-75120

 

 


大統領令

ホワイトハウス公表

・2023.10.30 FACT SHEET: President Biden Issues Executive Order on Safe, Secure, and Trustworthy Artificial Intelligence

 

官報 (Federal Register)

・2023.10.30 Executive Order 14110 Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.12.15 連邦政府テクノロジー・リーダーがOMBのAI政策ドラフトについて知っておくべきことトップ10

・2023.11.28 米国 CISA AI導入のロードマップ (2023.11.14)

・2023.11.06 米国の「人工知能の安全、安心、信頼できる開発と利用に関する大統領令」についての 各界からの反応...

・2023.11.03 米国 OMB AI実施ガイダンス案

 

・2023.10.31 米国 人工知能の安全、安心、信頼できる開発と利用に関する大統領令

 

・2023.10.27 米国 MITRE 重要インフラにおけるAIサイバーリスク低減の原則: 優先順位付けのアプローチ

・2023.10.05 米国 IT産業協議会 (ITI) がEUのAI法案に対する提言

・2023.09.27 米国 行政管理局 (OMB) M-23-22 デジタルファーストの公共体験の提供(日本政府の職員も是非読んでください...)(2023.09.22)

・2023.09.26 米国 商工会議所 教育・提言キャンペーン「責任あるAIビジネス・リーダーシップ・イニシアティブ」

・2023.09.20 米国 GAO 人工知能の活用と急成長がその可能性と危険性を浮き彫りにする

・2023.09.17 米国 NSA FBI CISA 組織に対するディープフェイクの脅威の文脈化

・2023.08.29 米国 ピュー研究所 過半数の米国民はAIに懸念を感じている?そして、ChatGPTを使ったことがある米国民は1/4?

・2023.08.14 米国 特定の国家安全保障技術および製品への米国投資に関する大統領令 (2023.08.09)

・2023.08.13 米国 国防総省 CDAOが国防総省の新しい生成的AIタスクフォース(タスクフォース・リマ)の指揮を執る

・2023.08.11 米国 AIサイバーチャレンジ DEF CON32-33 (2024-2025) by DARPA (2023.08.08)

・2023.07.31 米国 FBI長官がサイバー脅威サミットで人工知能に対するFBIの姿勢を示す

・2023.07.22 米国 ホワイトハウス 7つの米国AI企業が、バイデン政権とした3つの分野の8つの約束

・2023.06.17 米国 国防総省 最高デジタル・AI室が第6回グローバル情報支配実験 (GIDE) を開催

・2023.06.16 米国 MITRE AIセキュリティのための賢明な規制の枠組み

・2023.06.15 米国 GAO 科学技術スポットライト:生成的AI

・2023.05.27 米国 国家人工知能研究開発 戦略計画 2023更新 (2023.05.23)

・2023.05.26 米国 ファクトシート:バイデン-ハリス政権、責任ある人工知能の研究・開発・実装を進める新たなステップを導入

・2023.05.08 米国 ホワイトハウス 「米国人の権利と安全を守る責任あるAIイノベーションを推進する新たな行動」 (2023.05.04)

・2023.05.06 米国 連邦取引委員会 AIと消費者の信頼の工学 (It’s cool to use the computer. Don’t let the computer use you. by Prince in 1999)

・2023.05.01 米国 国家人工知能諮問委員会1年間の活動報告書

・2023.04.30 米国 国土安全保障省 人工知能タスクフォースを設立 (2023.04.20)

・2023.04.28 米国 連邦取引委員会 司法省 消費者金融保護局 雇用機会均等委員会 「自動化システムにおける差別やバイアスに対する執行努力に関する共同声明 」

・2023.04.04 米国 ファクトシート:「民主主義のための技術の進歩」と「バイデン-ハリス政権の国内外における民主主義の再生への揺るぎないコミットメント」 (2023.03.29)

・2023.03.23 OECD AIにおけるアカウンタビリティの高度化 (2023.02.23)

・2023.03.14 米国商工会議所 人工知能報告書

・2023.03.08 米国 情報技術産業協会 (ITI) AIに関する新たな政策提言を発表 (2023.03.02)

 

・2022.10.07 米国 科学技術政策局 AI権利章典の青写真

 

・2022.09.20 米国 ITI AIシステムの透明性を実現するためのグローバルな政策原則 (2022.09.15)

・2022.08.19 NIST ホワイトペーパー(ドラフト) コンテキストにおけるAI/MLバイアスの緩和

・2022.06.01 米国 消費者金融保護局 AIを使った与信結果についても消費者にその理由を説明しなければならない

・2022.04.30 米国 GAO ブログ 人工知能は国家安全保障をどう変えるか (2022.04.19)

・2022.04.20 米国 商務省 国家AI諮問委員会に27名を任命

・2022.03.20 米国 ピュー研究所 AIと人間強化についての調査

・2021.09.10 米国 CSET AIの偶発事故:新たな脅威となる可能性

・2021.09.10 米国 連邦商務省 国家人工知能諮問委員会を設立

・2021.05.10 米国連邦政府 人工知能イニシアティブ

・2021.03.31 米国 CSET AI安全性の主要概念:概要

・2020.11.30 米国 OMBが「人工知能アプリケーション規制のためのガイダンス」を発行

・2020.07.05 米国 国防省の内部監査部門が「AIのプロジェクトのガバナンスとセキュリティをしっかりせい」とおっしゃっているようです。。。

 

 

 

| | Comments (0)

ISO/IEC 42001 情報技術 人工知能 - マネジメントシステム

こんにちは、丸山満彦です。

AIについてのマネジメントシステムが標準化されましたね。。。組織内でのAIの開発、運用等についての管理体制についての標準で、これに適合しているかどうかの第三者認証も受けられるようになりますね。。。

 

AIMS認証...

International Organization for Standardization; ISO

1_20240206121501

 

・2023.12.23 ISO/IEC 42001:2023 Information technology Artificial intelligence - Management system

Preview

目次...

Foreword まえがき
Introduction 序文
1 Scope 1 適用範囲
2 Normative references 2 引用規格
3 Terms and definitions 3 用語と定義
4 Context of the organization 4 組織の状況
4.1 Understanding the organization and its context 4.1 組織とその背景を理解する
4.2 Understanding the needs and expectations of interested parties 4.2 関係者のニーズと期待を理解する
4.3 Determining the scope of the AI management system 4.3 AIマネジメントシステムの適用範囲の決定
4.4 AI management system 4.4 AIマネジメントシステム
5 Leadership 5 リーダーシップ
5.1 Leadership and commitment 5.1 リーダーシップとコミットメント
5.2 AI policy 5.2 AI方針
5.3 Roles, responsibilities and authorities 5.3 役割、責任、認可
6 Planning 6 計画
6.1 Actions to address risks and opportunities 6.1 リスクと機会に対処するための行動
6.1.1 General 6.1.1 一般事項
6.1.2 AI risk assessment 6.1.2 AIリスクアセスメント
6.1.3 AI risk treatment 6.1.3 AIリスク処理
6.1.4 AI system impact assessment 6.1.4 AIシステム影響評価
6.2 AI objectives and planning to achieve them 6.2 AI目標とその達成計画
6.3 Planning of changes 6.3 変更の計画
7 Support 7 サポート
7.1 Resources 7.1 リソース
7.2 Competence 7.2 能力
7.3 Awareness 7.3 意識
7.4 Communication 7.4 コミュニケーション
7.5 Documented information 7.5 文書化された情報
7.5.1 General 7.5.1 一般的なこと
7.5.2 Creating and updating documented information 7.5.2 文書化された情報の作成及び更新
7.5.3 Control of documented information 7.5.3 文書化された情報の管理
8 Operation 8 運用
8.1 Operational planning and control 8.1 運用計画と管理
8.2 AI risk assessment 8.2 AIリスクアセスメント
8.3 AI risk treatment 8.3 AIリスクの処置
8.4 AI system impact assessment 8.4 AIシステム影響評価
9 Performance evaluation 9 パフォーマンス評価
9.1 Monitoring, measurement, analysis and evaluation 9.1 モニタリング、測定、分析、評価
9.2 Internal audit 9.2 内部監査
9.2.1 General 9.2.1 一般
9.2.2 Internal audit programme 9.2.2 内部監査プログラム
9.3 Management review 9.3 マネジメントレビュー
9.3.1 General 9.3.1 一般
9.3.2 Management review inputs 9.3.2 マネジメントレビューのインプット
9.3.3 Management review results 9.3.3 マネジメントレビューの結果
10 Improvement 10 改善
10.1 Continual improvement 10.1 継続的改善
10.2 Nonconformity and corrective action 10.2 不適合及び是正処置
Annex A Reference control objectives and controls 附属書 A 参照管理目標及び管理策
A.1 General A.1 一般
Annex B Implementation guidance for AI controls 附属書 B AI 管理の実施指針
B.1 General B.1 一般
B.2 Policies related to AI B.2 AIに関する方針
B.2.1 Objective B.2.1 目的
B.2.2 AI policy B.2.2 AIに関する方針
B.2.3 Alignment with other organizational policies B.2.3 他の組織方針との整合性
B.2.4 Review of the AI policy B.2.4 AI方針の見直し
B.3 Internal organization B.3 社内組織
B.3.1 Objective B.3.1 目的
B.3.2 AI roles and responsibilities B.3.2 AIの役割と責任
B.3.3 Reporting of concerns B.3.3 懸念事項の報告
B.4 Resources for AI systems B.4 AIシステムのためのリソース
B.4.1 Objective B.4.1 目的
B.4.2 Resource documentation B.4.2 リソースの文書化
B.4.3 Data resources B.4.3 データ資源
B.4.4 Tooling resources B.4.4 ツール資源
B.4.5 System and computing resources B.4.5 システムおよびコンピューティング資源
B.4.6 Human resources B.4.6 人的資源
B.5 Assessing impacts of AI systems B.5 AIシステムの影響の評価
B.5.1 Objective B.5.1 目的
B.5.2 AI system impact assessment process B.5.2 AIシステムの影響評価プロセス
B.5.3 Documentation of AI system impact assessments B.5.3 AIシステムの影響評価の文書化
B.5.4 Assessing AI system impact on individuals or groups of individuals B.5.4 個人又は個人の集団に対するAIシステムの影響の評価
B.5.5 Assessing societal impacts of AI systems B.5.5 AIシステムの社会的影響の評価
B.6 AI system life cycle B.6 AIシステムのライフサイクル
B.6.1 Management guidance for AI system development B.6.1 AIシステム開発のための管理指針
B.6.1.1 Objective B.6.1.1 目的
B.6.1.2 Objectives for responsible development of AI system B.6.1.2 AIシステムの責任ある開発のための目標
B.6.1.3 Processes for responsible design and development of AI systems B.6.1.3 AIシステムの責任ある設計及び開発のためのプロセス
B.6.2 AI system life cycle B.6.2 AIシステムのライフサイクル
B.6.2.1 Objective B.6.2.1 目的
B.6.2.2 AI system requirements and specification B.6.2.2 AIシステムの要件及び仕様
B.6.2.3 Documentation of AI system design and development B.6.2.3 AIシステムの設計及び開発の文書化
B.6.2.4 AI system verification and validation B.6.2.4 AIシステムの検証と妥当性確認
B.6.2.5 AI system deployment B.6.2.5 AIシステムの展開
B.6.2.6 AI system operation and monitoring B.6.2.6 AIシステムの運用及び監視
B.6.2.7 AI system technical documentation B.6.2.7 AIシステムの技術文書化
B.6.2.8 AI system recording of event logs B.6.2.8 AIシステムのイベントログの記録
B.7 Data for AI systems B.7 AIシステムのデータ
B.7.1 Objective B.7.1 目的
B.7.2 Data for development and enhancement of AI system B.7.2 AIシステムの開発及び強化のためのデータ
B.7.3 Acquisition of data B.7.3 データの取得
B.7.4 Quality of data for AI systems B.7.4 AIシステム用データの品質
B.7.5 Data provenance B.7.5 データの出所
B.7.6 Data preparation B.7.6 データの準備
B.8 Information for interested parties B.8 関係者向け情報
B.8.1 Objective B.8.1 目的
B.8.2 System documentation and information for users B.8.2 システムの文書化及び利用者のための情報
B.8.3 External reporting B.8.3 外部への報告
B.8.4 Communication of incidents B.8.4 インシデントのコミュニケーション
B.8.5 Information for interested parties B.8.5 関係者のための情報
B.9 Use of AI systems B.9 AIシステムの利用
B.9.1 Objective B.9.1 目的
B.9.2 Processes for responsible use of AI systems B.9.2 AIシステムの責任ある使用のためのプロセス
B.9.3 Objectives for responsible use of AI system B.9.3 AIシステムの責任ある使用の目的
B.9.4 Intended use of the AI system B.9.4 AIシステムの使用目的
B.10 Third-party and customer relationships B.10 サードパーティと顧客との関係
B.10.1 Objective B.10.1 目的
B.10.2 Allocating responsibilities B.10.2 責任の分担
B.10.3 Suppliers B.10.3 サプライヤ
B.10.4 Customers B.10.4 顧客
Annex C Potential AI-related organizational objectives and risk sources 附属書C AIに関連する可能性のある組織の目的とリスク源
C.1 General C.1 一般
C.2 Objectives C.2 目標
C.2.1 Accountability C.2.1 説明責任
C.2.2 AI expertise C.2.2 AIに関する専門知識
C.2.3 Availability and quality of training and test data C.2.3 訓練データとテストデータの入手可能性と質
C.2.4 Environmental impact C.2.4 環境への影響
C.2.5 Fairness C.2.5 公平性
C.2.6 Maintainability C.2.6 保守性
C.2.7 Privacy C.2.7 プライバシー
C.2.8 Robustness C.2.8 堅牢性
C.2.9 Safety C.2.9 安全性
C.2.10 Security C.2.10 セキュリティ
C.2.11 Transparency and explainability C.2.11 透明性と説明可能性
C.3 Risk sources C.3 リスク源
C.3.1 Complexity of environment C.3.1 環境の複雑さ
C.3.2 Lack of transparency and explainability C.3.2 透明性と説明可能性の欠如
C.3.3 Level of automation C.3.3 自動化のレベル
C.3.4 Risk sources related to machine learning C.3.4 機械学習に関するリスク源
C.3.5 System hardware issues C.3.5 システムハードウェアの問題
C.3.6 System life cycle issues C.3.6 システムライフサイクルの問題
C.3.7 Technology readiness C.3.7 技術の準備
Annex D Use of the AI management system across domains or sectors 附属書D ドメイン又はセクターを超えたAIマネジメントシステムの使用
D.1 General D.1 一般的事項
D.2 Integration of AI management system with other management system standards D.2 AIマネジメントシステムと他のマネジメントシステム標準との統合
Bibliography 参考文献

 

序文と適用範囲...

 

Introduction 序文
Artificial intelligence (AI) is increasingly applied across all sectors utilizing information technology and is expected to be one of the main economic drivers. A consequence of this trend is that certain applications can give rise to societal challenges over the coming years. 人工知能(AI)は、情報技術を活用したあらゆる分野への応用が進んでおり、主要な経済牽引役のひとつになると期待されている。この傾向の結果として、特定のアプリケーションは、今後数年の間に社会的な課題を生じさせる可能性がある。
This document intends to help organizations responsibly perform their role with respect to AI systems (e.g. to use, develop, monitor or provide products or services that utilize AI). AI potentially raises specific considerations such as: 本文書は、組織がAIシステムに関して責任をもってその役割を果たす(例えば、AIを利用した製品やサービスを使用、開発、監視、提供する)ことを支援することを意図している。AIは潜在的に、以下のような特定の検討事項を提起する:
— The use of AI for automatic decision-making, sometimes in a non-transparent and non-explainable way, can require specific management beyond the management of classical IT systems. ・自動的な意思決定のためのAIの使用は,時には透明性がなく説明不可能な方法で行われるため,従来のITシステムの管理を超えた特別な管理を必要とする可能性がある。
— The use of data analysis, insight and machine learning, rather than human-coded logic to design systems, both increases the application opportunities for AI systems and changes the way that such systems are developed, justified and deployed. ・システム設計に人間がコード化したロジックではなく,データ分析,洞察,機械学習を使用することで,AIシステムの適用機会が増えると同時に,そのようなシステムの開発,正当化,配備の方法が変わる。
— AI systems that perform continuous learning change their behaviour during use. They require special consideration to ensure their responsible use continues with changing behaviour. ・継続的な学習を行うAIシステムは,使用中にその行動を変化させる。挙動が変化しても責任ある使用が継続されるよう,特別な配慮が必要である。
This document provides requirements for establishing, implementing, maintaining and continually improving an AI management system within the context of an organization. Organizations are expected to focus their application of requirements on features that are unique to AI. Certain features of AI, such as the ability to continuously learn and improve or a lack of transparency or explainability, can warrant different safeguards if they raise additional concerns compared to how the task would traditionally be performed. The adoption of an AI management system to extend the existing management structures is a strategic decision for an organization. 本文書は、組織の中でAIマネジメントシステムを確立し、実施し、維持し、継続的に改善するための要件を提供する。組織は、AIに特有の特徴に重点を置いて要求事項を適用することが期待されている。継続的に学習し改善する能力、透明性や説明可能性の欠如など、AIのある種の特徴は、そのタスクが伝統的に実行される方法と比較して追加的な懸念を引き起こす場合、異なるセーフガードを保証することができる。既存の管理構造を拡張するためにAIマネジメントシステムを採用することは、組織にとって戦略的な決定である。
The organization’s needs and objectives, processes, size and structure as well as the expectations of various interested parties influence the establishment and implementation of the AI management system. Another set of factors that influence the establishment and implementation of the AI management system are the many use cases for AI and the need to strike the appropriate balance between governance mechanisms and innovation. Organizations can elect to apply these requirements using a risk-based approach to ensure that the appropriate level of control is applied for the particular AI use cases, services or products within the organization’s scope. All these influencing factors are expected to change and be reviewed from time to time. 組織のニーズや目的、プロセス、規模、構造だけでなく、様々な利害関係者の期待も、AIマネジメントシステムの確立と導入に影響を与える。AIマネジメントシステムの構築と導入に影響を与えるもう1つの要因は、AIの多くのユースケースと、ガバナンス機構とイノベーションの適切なバランスを取る必要性である。組織は、組織の範囲内にある特定のAIユースケース、サービス、製品に対して適切なレベルの管理が適用されるように、リスクベースのアプローチを用いてこれらの要件を適用することを選択できる。これらの影響因子はすべて変化し、随時見直されることが予想される。
The AI management system should be integrated with the organization’s processes and overall management structure. Specific issues related to AI should be considered in the design of processes, information systems and controls. Crucial examples of such management processes are: AIマネジメントシステムは、組織のプロセスや全体的な管理構造と統合されるべきである。プロセス、情報システム、統制の設計においては、AIに関連する特定の問題を考慮する必要がある。そのような管理プロセスの重要な例としては、以下が挙げられる:
— determination of organizational objectives, involvement of interested parties and organizational policy; ・組織目標の決定,利害関係者の関与,組織方針
— management of risks and opportunities; ・リスクと機会のマネジメント;
— processes for the management of concerns related to the trustworthiness of AI systems such as security, safety, fairness, transparency, data quality and quality of AI systems throughout their life cycle; ・セキュリティ、安全性、公平性、透明性、データ品質、AIシステムの品質など、AIシステムの信頼性に関連する懸念事項を、そのライフサイクルを通じて管理するためのプロセス;
— processes for the management of suppliers, partners and third parties that provide or develop AI systems for the organization. ・組織のためにAIシステムを提供又は開発するサプライヤー,パートナー及びサードパーティーの管理のためのプロセス。
This document provides guidelines for the deployment of applicable controls to support such processes. 本文書は、このようなプロセスを支援するために適用可能な統制を展開するためのガイドラインを提供する。
This document avoids specific guidance on management processes. The organization can combine generally accepted frameworks, other International Standards and its own experience to implement crucial processes such as risk management, life cycle management and data quality management which are appropriate for the specific AI use cases, products or services within the scope. この文書では、管理プロセスに関する具体的な指針は避けている。組織は,一般に認められたフレームワーク,他の国際標準及び自らの経験を組み合わせて,適用範囲内の特定のAIユースケース,製品又はサービスに適したリスクマネジメント,ライフサイクルマネジメント及びデータ品質マネジメントなどの重要なプロセスを実施することができる。
An organization conforming with the requirements in this document can generate evidence of its responsibility and accountability regarding its role with respect to AI systems. 本文書の要求事項に適合する組織は、AIシステムに関する役割について、その責任と説明責任を証明する証拠を生成することができる。
The order in which requirements are presented in this document does not reflect their importance or imply the order in which they are implemented. The list items are enumerated for reference purposes only. 本文書における要求事項の順序は、その重要性を反映するものでも、実装の順序を意味するものでもない。リスト項目は、参考のためだけに列挙されている。
Compatibility with other management system standards 他のマネジメントシステム標準との互換性
This document applies the harmonized structure (identical clause numbers, clause titles, text and common terms and core definitions) developed to enhance alignment among management system standards (MSS). The AI management system provides requirements specific to managing the issues and risks arising from using AI in an organization. This common approach facilitates implementation and consistency with other management system standards, e.g. related to quality, safety, security and privacy. 本文書は、マネジメントシステム規格(MSS)間の整合性を高めるために開発された調和構造(同一の条項番号、条項タイトル、本文、共通の用語及び中核的定義)を適用している。AIマネジメントシステムは、組織においてAIを使用することから生じる問題及びリスクのマネジメントに特有の要求事項を提供する。この共通アプローチは、品質、安全、セキュリティ、プライバシーなど、他のマネジメントシステム標準との整合性と実施を容易にする。
1   Scope 1 適用範囲
This document specifies the requirements and provides guidance for establishing, implementing, maintaining and continually improving an AI (artificial intelligence) management system within the context of an organization. 本文書は、組織の中でAI(人工知能)マネジメントシステムを確立し、実施し、維持し、継続的に改善するための要件を規定し、ガイダンスを提供する。
This document is intended for use by an organization providing or using products or services that utilize AI systems. This document is intended to help the organization develop, provide or use AI systems responsibly in pursuing its objectives and meet applicable requirements, obligations related to interested parties and expectations from them. 本文書は、AIシステムを利用する製品又はサービスをプロバイダ又は利用する組織が使用することを意図している。この文書は、組織がその目的を追求し、適用される要求事項、利害関係者に関連する義務、及び利害関係者からの期待を満たす上で、責任を持ってAIシステムを開発、提供、又は使用することを支援することを意図している。
This document is applicable to any organization, regardless of size, type and nature, that provides or uses products or services that utilize AI systems. この文書は、規模、種類、性質に関係なく、AIシステムを利用する製品又はサービスを提供又は利用するあらゆる組織に適用される。

 

関連標準

ISO/IEC 22989:2022 Information technology Artificial intelligence - Artificial intelligence concepts and terminology

・[PDF] (downloaded)

・JIS X 22989 (preview)

 

ISO/IEC 23894:2023 Information technology Artificial intelligence - Guidance on risk management

・(preview)

 

 

開発中の関連標準

ISO/IEC DIS 42005 Information technology Artificial intelligence - AI system impact assessment

ISO/IEC DIS 42006 Information technology Artificial intelligence - Requirements for bodies providing audit and certification of artificial intelligence management systems

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.07.22 米国 ホワイトハウス 7つの米国AI企業が、バイデン政権とした3つの分野の8つの約束

・2023.07.18 英国 科学技術省データ倫理・イノベーションセンターブログ AI保証の専門家が他の領域から学ぶべき6つの教訓 (2023.07.12)

・2023.03.22 ENISA AIのサイバーセキュリティと標準化 (2023.03.14)

 

| | Comments (0)

2023.12.24

フランス ドイツ ANSSIとBSIが遠隔本人確認に関する報告書を発表

こんにちは、丸山満彦です。

フランスの情報セキュリティ機関であるANSSI(Agence nationale de la sécurité des systèmes d'information)と、ドイツの情報セキュリティ機関であるBSI (Bundesamt für Sicherheit in der Informationstechnik) が遠隔本人確認 (Remote Identity Proofing) に関する報告書を発表しています。

 

Agence nationale de la sécurité des systèmes d'information; ANSSI

・2023.12.20 L’ANSSI et le BSI publient un rapport sur la vérification d’identité à distance

・[PDF] Remote Identity Proofing

20231224-71800

 

Bundesamt für Sicherheit in der Informationstechnik; BSI

・2023.12.20 BSI und ANSSI veröffentlichen Publikation zu Remote Identity Proofing

・[PDF] Remote Identity Proofing

 


 

全体。。。

1. Biometric verification

2. Identity document verification

3. Matching and Results

20231224-73245

 

 

| | Comments (0)

ダイハツ 第三者委員会による調査報告書 (2023.12.20)

こんにちは、丸山満彦です。

ダイハツは、2023.04.28に側面衝突試験の認証申請における当社の不正行為を発表し、それを受けて2023.05.15に第三者委員会を設置し、 事案の全容解明および原因分析に加え、当社の組織の在り方や開発プロセスにまで踏み込んだ再発防止策の提言を依頼し、その報告書を2023.12.20に会社が受領したことから、その報告書を公表し、今後の対応についての発表をしていますね。。。

ニュースでも話題となっていましたが、全てのダイハツ開発車種の出荷を一旦停止にするということです。。。


今回の調査結果を受け、本日、現在国内外で生産中の全てのダイハツ開発車種の出荷を一旦停止することを決定いたしました。今後、国土交通省をはじめ、各国の関係当局に報告・相談の上、必要な対応を進めてまいります。


 

● ダイハツ

・2023.12.20 第三者委員会による調査結果および今後の対応について 

・[PDF] (downloaded)

 

・[PDF] 第三者委員会 調査報告書(概要版) (downloaded)

20231224-11839

 

・[PDF] 第三者委員会 調査報告書 (downloaded)

20231224-11851

 

・[PDF] 【別紙】新たに不正が判明した車種一覧表 (downloaded)

20231224-11913

 


(1)第三者委員会による記者会見(日本語のみ)
開始時刻:15時15分

(2)ダイハツ・トヨタによる共同記者会見(日本語および英語同時通訳)
開始時刻:16時45分頃(第三者委員会会見終了後)


関連リリース

・2023.12.20 第三者委員会による調査結果および今後の対応について (downloaded)

・2023.12.20 第三者委員会による調査報告書公表のお知らせ (downloaded)

・2023.05.31 <2023年6月1日付組織改正>認証申請での不正行為を受け、開発と法規認証の体制を見直し (downloaded)

・2023.05.26 ダイハツ・ロッキーHEVおよびトヨタ・ライズHEVの運転者席側のポール側面衝突・社内試験結果について (downloaded)

・2023.05.19 ダイハツ・ロッキーおよびトヨタ・ライズのHEV車の認証申請における不正行為について (downloaded)

・2023.05.15 第三者委員会の設置について (downloaded)

・2023.04.28 側面衝突試験の認証申請における当社の不正行為について (downloaded)

 

 


 

国土交通省 - 大臣会見

・2023.12.22 斉藤大臣会見要旨ダイハツ本社への立入検査について


ダイハツ本社への立入検査について

(記者)

もう1点伺います。自動車メーカーのダイハツ工業の不正問題についてです。昨日大阪の本社に立入検査が行われましたが、国土交通省として現在把握している状況などで、進捗等があればお伺いしたいと思います。

(大臣)

国土交通省では、昨日(21日)より、ダイハツ工業の本社に対する立入検査を行っており、事実関係の確認を進めているところです。今日もその検査を行っています。このため、今後の処分の有無やスケジュールも含めて、現時点で予断をもってお答えすることは差し控えさせていただきたいと思います。いずれにしても、国土交通省としては、国民の安全・安心の確保を大前提として、道路運送車両法に基づき、厳正に対処していきたいと思います。その中で特に新聞報道でもたくさんありますが、今自分が乗っている車は大丈夫なのか、というご不安をお持ちの方がたくさんいらっしゃるかと思います。使用を継続しても安全上問題はないのか、という疑問もこちらに寄せられているところです。国土交通省としては、不正行為が確認された車種について、速やかに確認試験を行っていきます。その上でリコールが必要なものは、速やかにリコール届出を行うよう指導し、基準適合性が確認されたものは、順次、その結果を公表するなど、ユーザーの安心、安全のために取り組んでいきたいと思っています。また、ダイハツ工業に対しては、自動車の使用について不安を感じるユーザーに丁寧な説明及び対応を行うよう指導しており、引き続き、指導していきたいと思っています。

 

 

| | Comments (0)

2023.12.23

NISTIR 8432 ゲノムデータのサイバーセキュリティ

こんにちは、丸山満彦です。

NISTが、ゲノムデータのサイバーセキュリティについてのIRを確定しました。

ゲノム系データのIRには、NISTIR 8467 (Draft) Cybersecurity Framework Profile for Genomic Data (ゲノムデータのサイバーセキュリティフレームワーク・プロファイル)がありますが、こちらもまもなく確定すると思います。。。

 

次の内容は、いろいろな場面で参考になるかもですね。。。

2.6 ゲノムデータの特徴から...

Phenotype 表現型 Phenotype refers to the observable characteristics imparted by the genome, such as size, appearance, blood type, and color. DNA can reveal a great deal of information about an individual or their relatives, including phenotype or health information.  表現型とは、大きさ、外見、血液型、色など、ゲノムによって付与された観察可能な特徴を指す。DNAは、表現型や健康情報など、個人やその親族に関する多くの情報を明らかにすることができる。 
Health 健康 Health means that DNA contains information about an organism’s disease presence, disease risk, vigor, and longevity. Clinical genetic testing can identify variants within one’s genome that may contribute to certain health outcomes.   健康とは、DNAが生物の疾病の有無、疾病リスク、活力、寿命に関する情報を含んでいることを意味する。臨床遺伝学的検査は、特定の健康結果に寄与すると思われるゲノム内の変異体を同定することができる。  
Immutable 不変 Immutable means that an organism’s DNA does not change significantly during the organism’s life. An individual’s genome is practically immutable, with a negligible lifetime mutation rate for most applications, which increases the long-term consequences of a data breach.   不変とは、生物のDNAがその生物の生存中に大きく変化しないことを意味する。個人のゲノムは実質的に不変であり、ほとんどの用途において生涯の突然変異率は無視できるほど低い。  
Unique ユニーク Unique means that individuals of species with sexual reproduction can be identified. Except in the case of identical siblings, a person’s genome is unique to them.   ユニークとは、有性生殖を行う種の個体を識別できることを意味する。一卵性双生児の場合を除き、人のゲノムはその人固有のものである。  
Mystique ミスティーク Mystique refers to the public perception about the mystery of DNA and its possible future uses.   ミスティークとは、DNAの謎とその将来的な利用可能性に関する一般的な認識のことである。  
Value 価値 Value refers to the importance of the information content of DNA. The value of genomic information is predicted to grow as we learn more about the genomes of humans and other organisms. Value also grows as technology advances, and we are able to query the genome in novel ways.  価値とは、DNAの情報内容の重要性を指す。ゲノム情報の価値は、ヒトや他の生物のゲノムをより深く知るにつれて増大すると予測される。また、技術が進歩し、ゲノムを新しい方法で照会できるようになるにつれて、価値も増大する。 
Kinship 親族関係 Kinship means that common ancestors and descendants of the organism can be identified from DNA samples. Consumer genetic testing services provide information about one’s ancestral lineage, including the potential to identify relatives.   親族関係とは、DNAサンプルから生物の共通の祖先と子孫を同定できることを意味する。消費者向け遺伝子検査サービスは、親族を特定する可能性を含め、自分の先祖の血統に関する情報を提供する。  

 

NIST - ITL

・2023.12.20 NIST IR 8432 Cybersecurity of Genomic Data

NIST IR 8432 Cybersecurity of Genomic Data NIST IR 8432 ゲノムデータのサイバーセキュリティ
Abstract 概要
Genomic data has enabled the rapid growth of the U.S. bioeconomy and is valuable to the individual, industry, and government because it has multiple intrinsic properties that in combination make it different from other types of data that possess only a subset of these properties. The characteristics of genomic data compared to other datasets raise some correspondingly unique cybersecurity and privacy concerns that are inadequately addressed with current policies, guidance documents, and technical controls. ゲノムデータは、米国のバイオエコノミーの急速な成長を可能にし、個人、産業界、政府にとって貴重なものである。なぜなら、ゲノムデータには複数の本質的特性があり、その組み合わせにより、これらの特性のサブセットしか持たない他の種類のデータとは異なっているからである。他のデータセットと比較した場合、ゲノムデータの特性は、それに対応する独自のサイバーセキュリティとプライバシーの懸念を生じさせるが、現行のポリシー、ガイダンス文書、技術管理者では十分に対処できない。
This report describes current practices in cybersecurity and privacy risk management for protecting genomic data, along with relevant challenges and concerns identified during 2022 NCCoE-hosted workshops with bioeconomy stakeholders and subsequent related research. Gaps that were identified by stakeholders include: practices across the lifecycle concerning genomic data generation; safe and responsible sharing of genomic data; monitoring the systems processing genomic data; lack of specific guidance documents addressing the unique needs of genomic data processors; and regulatory/policy gaps with respect to national security and privacy threats in the collection, storage, sharing, and aggregation of human genomic data. 本報告書では、ゲノムデータを保護するためのサイバーセキュリティとプライバシーのリスクマネジメ ントにおける現在の慣行について、2022 年に NCCoE が主催したバイオエコノミーの利害関係者との ワークショップで特定された関連する課題と懸念、およびその後の関連研究について述べる。利害関係者によって特定されたギャップには、ゲノムデータ生成に関するライフサイクル全般にわたる慣行、ゲノムデータの安全かつ責任ある共有、ゲノムデータを処理するシステムの監視、ゲノムデータ処理者固有のニーズに対応する具体的なガイダンス文書の欠如、ヒトゲノムデータの収集、保存、共有、集約における国家セキュリティとプライバシーの脅威に関する規制・政策のギャップなどが含まれる。
The report proposes a set of solution ideas that address real-life use cases occurring at various stages of the genomic data lifecycle along with candidate mitigation strategies and the expected benefits of the solutions. The solutions recorded in this report reflect the bioeconomy workshop stakeholders’ proposed actions and activities. 本報告書では、ゲノムデータライフサイクルの様々な段階で実際に発生するユースケースに対応する一連の解決策を、候補となる低減戦略およびその解決策によって期待される利益とともに提案している。本報告書に収録された解決策は、バイオエコノミーワークショップの関係者が提案した行動と活動を反映したものである。

 

・[PDF] NIST.IR.8432

20231223-32124

・[DOCX] 仮訳

 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.06.24 NISTIR 8467(ドラフト)ゲノムデータのサイバーセキュリティフレームワーク・プロファイル

・2023.03.05 NISTIR 8432(ドラフト)ゲノムデータのサイバーセキュリティ

 

| | Comments (0)

NIST IR 8450 属性暗号に基づくアクセス制御の概要と考察(軽微な修正)

こんにちは、丸山満彦です。

NISTが、9月に公表したNIST IR 8450 属性暗号に基づくアクセス制御の概要と考察について軽微な修正版を公表していますね。。。

修正した箇所は、

5章 ABE システムに関する考察の説明を一部わかりやすくしたことと、

参照に文献を3つ追加したことのようです。。。

発表時については、このブログの

・2023.09.09 NIST IR 8450 属性暗号に基づくアクセス制御の概要と考察

 

NIST - ITL

・2023.12.20 NIST IR 8450 Overview and Considerations of Access Control Based on Attribute Encryption

・[PDF] NIST.IR.8450-upd1

20231223-14151

 


 

参考...

まるちゃんの情報セキュリティ気まぐれ日記

・2023.09.09 NIST IR 8450 属性暗号に基づくアクセス制御の概要と考察

・2023.05.13 米国 NIST 意見募集 NISTIR 8450(ドラフト) 属性暗号に基づくアクセス制御の概要と留意点

 

| | Comments (0)

総務省 経済産業省 AI事業者ガイドライン案

こんにちは、丸山満彦です。

経済産業省 AI事業者ガイドライン検討会で、AI事業者ガイドラインが検討されていましたが、内閣府のAI戦略会議で案が公開されていますね。。。

総務省が作った「人間中心のAI社会原則」を土台にし、経済産業省がつくた「AI開発ガイドライン」「AI利活用ガイドライン」「AI減速実践のためのガバナンス・ガイドライン」を統合見直し(経済産業省のAI事業者ガイドライン検討会で議論)をしたものということですね。。。

20240110-45510

 

内容はともかく、これって、EUのように法制化って不要ですかね。。。

 

 

内閣府AI戦略会議

・2023.12.23 第7回

・[PDF] AI事業者ガイドライン案 概要

・[PDF] AI事業者ガイドライン案

 

20240110-44120

 

A. 基本理念

Dignity ① 人間の尊厳が尊重される社会 AI を利活用して効率性や利便性を追求するあまり、人間が AI に過度に依存したり、人間の行動を コントロールすることに AI が利用される社会を構築するのではなく、人間が AI を道具として使いこなす ことによって、人間の様々な能力をさらに発揮することを可能とし、より大きな創造性を発揮したり、やりがいのある仕事に従事したりすることで、物質的にも精神的にも豊かな生活を送ることができるよう な、人間の尊厳が尊重される社会を構築する必要がある
Diversity and Inclusion ② 多様な背景を持つ人々が多様な幸せを追求できる社会 多様な背景と価値観、考え方を持つ人々が多様な幸せを追求し、それらを柔軟に包摂した上で新 たな価値を創造できる社会は、現代における一つの理想であり、大きなチャレンジである。AI という強 力な技術は、この理想に我々を近づける一つの有力な道具となりうる。我々は AI の適切な開発と展 開によって、このように社会の在り方を変革していく必要がある
Sustainability ③ 持続可能な社会 我々は、AI の活用によりビジネスやソリューションを次々と生み、社会の格差を解消し、地球規模の 環境問題や気候変動等にも対応が可能な持続性のある社会を構築する方向へ展開させる必要が ある。科学・技術立国としての我が国は、その科学的・技術的蓄積を AI によって強化し、そのような 社会を作ることに貢献する責務がある

 

B. 原則

各主体が取り組む事項

各主体は、基本理念より導き出される人間中心の考え方を基に、AI システム・サービスの開発・提供・利用 を促進し、人間の尊厳を守りながら、事業における価値の創出や社会課題の解決等、AI の目的を実現していくことが重要である。このため、各主体は、AI 活用に伴う社会的リスクの低減を図るべく、安全性・公平性といった 価値を確 することが重要である。また、個人情報の不適正な利用等の防止を始めとするプライバシー 護、シ ステムの脆弱性等による可用性の低下や外部からの攻撃等のリスクに対応するセキュリティ確 を行うことが重 要である。上記を実現するために、各主体は、システムの検証可能性を確 しながら、ステークホルダー6に対す る適切な情報を提供することにより透明性を向上させ、アカウンタビリティを果たすことが重要となる。 加えて、今後、AI アーキテクチャの多様化に伴うバリューチーン変動等により、各主体の役割が変動する可 能性を踏まえた上で、各主体間で連携し、バリューチーン全体での AI の品質の向上に努めることが重要である。

なお、これらの取組は、各主体が開発・提供・利用する AI システム・サービスの特性や用途、目的や社会的 文脈を踏まえ、各主体の資源制 を考 しながら自主的に進めることが重要である。このような対応を行うことで、各主体が、AI のリスクを最低限に抑制しつつ、AI システム・サービスの開発・提供・利用を通じて最大限の便益を享受することが期待される。

社会と連携した取組が期待される事項

AI による社会への便益を一 増大させ、我々が目指すべき理念を実現していくためには、各主体それぞれの 取組に加え、社会(政府・自治体やコミュニティも含む)と積極的に連携することが期待される。このため、各主 体は、社会と連携して、社会の分 を回避し、全ての人々に AI の恩恵が行き渡るための教育・リテラシー確 の機会を提供することが期待される。加えて、新たなビジネス・サービスが創出され、持続的な経済成長の維持と社会課題の解決策が提示されるよう、公正競争の確保やイノベーションの促進に貢献していくことが期待される。

 

C. 共通の指針

各主体が取り組む事項 1) 人間中心
2) 安全性
3) 公平性
4) プライバシー保護
5) セキュリティ確保
6) 透明性
7) アカウンタビリティ
社会と連携した取組が期待される事項 8) 教育・リテラシー
9) 公正競争確保
10) イノベーション

 

もう少し確認詳細...

各主体が取り組む事項 1) 人間中心 ① 人間の尊厳と個人の自律
② AI による意思決定・感情の操作等への留意
③ 偽情報等への対策
④ 多様性・包摂性の確保
⑤ 利用者支援
⑥ 持続可能性の確保
2) 安全性 ① 人間の生命・心身・財産、及び環境への配慮
② 適正利用
③ 適正学習
3) 公平性 ① AI モデルの各構成技術に含まれるバイアスへの配慮
② 人間の判断の介在
4) プライバシー保護 ① AI システム・サービス全般におけるプライバシーの保護
5) セキュリティ確保 ① AI システム・サービスに影響するセキュリティ対策
② 最新動向への留意
6) 透明性 ① 検証可能性の確保
② 関連するステークホルダーへの情報提供
③ 合理的かつ誠実な対応
④ 関連するステークホルダーへの説明可能性・解釈可能性の向上
7) アカウンタビリティ ① トレーサビリティの向上
② 共通の指針の対応状況の説明
③ 責任者の明示
④ 関係者間の責任の分配
⑤ ステークホルダーへの具体的な対応
⑥ 文書化
社会と連携した取組が期待される事項 8) 教育・リテラシー ① AI リテラシーの確保
② 教育・リスキリング
③ ステークホルダーへのフォローアップ
9) 公正競争確保  
10) イノベーション ① オープンイノベーション等の推進
② 相互接続性・相互運用性への留意
③ 適切な情報提供

 

 

 

・[PDF] AI戦略会議の今後の課題(案)

 

 

内閣府AI戦略会議

 

第07回 2023.12.21 議事次第・配付資料 議事
      1.広島AIプロセス及びAI事業者ガイドライン
 (1)広島AIプロセスの報告
 (2)AI事業者ガイドラインの報告
2.来年のAI戦略会議の課題について
資料
資料1-1 広島AIプロセス資料について
資料1-2 AI事業者ガイドライン案 概要
資料1-3 AI事業者ガイドライン案
資料2 AI戦略会議の今後の課題(案)
参考資料 AI戦略会議 構成員名簿
議事要旨  
第06回 2023.11.07 議事次第・配付資料 議事
      1.広島AIプロセス及びAI事業者ガイドライン
 (1)広島AIプロセスの報告
 (2)AI事業者ガイドラインの報告
 (3)AI事業者ガイドライン等の行動規範の履行確保及びAI資料の促進の検討
2.AI学習データの提供促進
3.人材育成
4.経済対策におけるAI施策
資料
資料1-1 広島AIプロセスに関するG7首脳声明の発出
資料1-2 広島AIプロセスの検討状況と今後の進め方
資料1-3 AI事業者ガイドライン等の行動規範の履行確保及びAI利用の促進の検討について(案)
資料2 AI学習データの提供促進に向けたアクションプランver1.0
資料3 デジタル分野における人材育成の強化について
資料4 経済対策における主なAI施策について
参考資料1 AI戦略会議 構成員名簿
参考資料2 広島AIプロセスに関するG7首脳声明(仮訳・原文)
参考資料3 高度なAIシステムを開発する組織向けの広島プロセス国際指針(仮訳・原文)
参考資料4 高度なAIシステムを開発する組織向けの広島プロセス国際行動規範(仮訳・原文)
議事要旨  
第05回 2023.09.08 議事次第・配付資料 議事
      1.広島AIプロセスの報告と統合ガイドライン
 (1)広島AIプロセスの報告
 (2)統合ガイドライン
2.AI開発力の強化の報告
3.その他の報告事項
 (1)知的財産権の今後の検討
 (2)政府のAI利用
 (3)学習用言語データのアクセス提供
資料
資料1-1 広島AIプロセス閣僚級会合の報告
資料1-2 新AI事業者ガイドラインスケルトン(案)
資料2 AI関連の主要な施策について
資料3-1 知的財産権の今後の検討について
資料3-2「ChatGPT等の生成AIの業務利用に関する申合せ」改定について【非公開】
資料3-3 ChatGPT等の生成AIの業務利用に関する申合せ(第2版)(案)
資料3-4 総務省・NICTが整備する学習用言語データのアクセス提供について
参考資料 AI戦略会議 構成員名簿
議事要旨  
第04回 2023.08.04 議事次第・配付資料 議事
      1.広島AIプロセスの今後の進め方
2.AI開発力の強化
資料
資料1-1 広島AIプロセスの今後の進め方について
資料1-2 広島AIプロセスの中間報告(日本提案)のイメージ(案)【非公表】
資料2 AI関連の主要な施策について(案)
参考資料 AI戦略会議 構成員名簿
議事要旨  
第03回 2023.06.26 議事次第・配付資料 議事
      1.AIに関する取組状況について
2.広島AIプロセスにおける今後の対応に関する討議
資料
資料1-1 個人情報保護法の対応について(報告)
資料1-2 「知的財産推進計画2023」について(報告)
資料1-3 初等中等教育段階における生成AIの利用に関する暫定的なガイドライン(ポイント)(報告)【非公表】
資料1-4 初等中等教育段階における生成AIの利用に関する暫定的なガイドライン(報告)【非公表】
資料2 当面の対応について(討議)【非公表】
参考資料1 広島AIプロセス質問票(概要)と回答案【非公表】
参考資料2 AI戦略会議 構成員名簿
議事要旨  
第02回 2023.05.26 議事次第・配付資料 議事
      1.AIに関する暫定的な論点整理について
資料
資料1-1 AIに関する暫定的な論点整理案【非公開】
資料1-2 AIに関する暫定的な論点整理案(概要)【非公開】
資料1-3 AIに関する暫定的な論点整理案(概要 ・ 仮英訳)【非公開】
資料2-1 江間構成員 資料
資料2-2 岡田構成員 資料
資料2-3 川原構成員 資料
資料2-4 田中構成員 資料
資料2-5 山口構成員 資料
資料2-6 松尾構成員 資料
参考資料1 AI戦略会議 構成員名簿
参考資料2 AI戦略チーム 構成員名簿
(会議後確定版)
AIに関する暫定的な論点整理
AIに関する暫定的な論点整理 (要旨)
AIに関する暫定的な論点整理 (要旨・仮英訳)
議事要旨  
第01回 2023.05.11 議事次第・配付資料 議事
      1.AIを巡る主な論点について
資料
資料1 AI戦略会議 構成員名簿
資料2 AIを巡る主な論点
議事要旨  

 



 

● まるちゃんの情報セキュリティ気まぐれ日記

2023.12.22 自由民主党 AI の安全性確保と活用促進に関する緊急提言 (2023.12.14)

・2023.12.21 経済産業省 AI事業者ガイドライン検討会

・2022.01.29 経済産業省 AI原則実践のためのガバナンス・ガイドライン ver. 1.1

・2021.07.11 経済産業省 意見募集 AI原則実践のためのガバナンス・ガイドライン Ver1.0

 

| | Comments (0)

2023.12.22

内閣官房 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議(第9回)

こんにちは、丸山満彦です。

経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議は、6月に中間発表が公表され、10月に第7回会合がひらかれてから月1度のペースで開催されていて、2023.12.20に第9回の会合が開催されていますね。。。

議論が、

  • CEOや取締役もクリアランスがいるのではないか?
  • 外国政府、外国人の影響を受ける組織の取り扱いの話
  • プライバシーとの関係の議論
  • 罰金、罰則の話

とあ、普通に行き当たるであろう議論について主に米国(それ以外には、英国、ドイツ、フランス)を参考に議論が進んでいる感じです。

「米国のクリアランスがないから、米国の秘密情報を開示してもらえず、競争上不利だ」という産業界からの声もあって始まった議論のような気もしますが、本気なら日本で同様の制度をつくることにちからをいれるよりも、「米国のクリアランスを取得すればよいではないか?」という議論や、「日本でクリアランス制度をつくっても、米国政府等が開示してくれるかどうかは、必要性によるからわからない(米国の国益と日本の国益はからなずしも同じではないですからね)」とか、いう話は最初からありましたが、

米国のクリアランス制度の実態を理解した上で、どれほどの施設や個人がクリアランスを取得するのか、国がクリアランスの認定を行うことになるとは思うけど、その運用予算はどれほどかかりそうか、、、とか、

ポータビリティとかの話はこんな感じ...

20231222-35645

20231222-35650

20231222-35656

20231222-35703

20231222-35715  

 

 

 

既存制度との関係では、、


<基本的な考え方>

特定秘密保護法と経済安保セキュリティ・クリアランス制度は、別の制度であり、特定秘密に当たる情報は本制度の対象とはならない。

特定秘密保護法におけるセキュリティ・クリアランスが認められている場合、同じ行政機関の長から、経済安保セキュリティ・クリアランスが認められたものとみなす。


 

事業者に対する信頼性確認との関係では


<基本的な考え方>

特定秘密保護法においては、事業者に対する信頼性確認として、契約の当事者たる各行政機関が適合事業者の適合性を判断している。

新たな制度においても、事業者に対する信頼性確認は、各行政機関において実施することとする。

一方、各行政機関による適合性の判断の斉一化が図られるよう、基準を作成し、各行政機関から情報を集約していくことなども、検討していくこととする。


とのこと...

議論すべき点はもう少し出てきそうですね。。。しらんけど。。。

 

内閣官房 - 経済安全保障推進会議 - 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議

2023.02.22 第1回 議事次第
資料1 事務局 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議の開催について
資料2 事務局 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議運営要領
資料3 事務局 経済安全保障分野における
議事要旨    
2023.03.14 第2回 議事次第
資料1 事務局 第1回会議の議論の整理(主なポイント)
資料2 事務局 情報の区分(イメージ)
資料3 電機メーカー・A社 セキュリティ・クリアランス制度への期待
資料4 電機メーカー・B社 セキュリティクリアランス制度に対する要望
議事要旨    
2023.03.27 第3回 議事次第
資料1 事務局 第2回会議の議論の整理(主なポイント)
資料2 事務局 諸外国における情報保全制度の比較
資料3 電機メーカー・C社 セキュリティ・クリアランス制度について~期待と要望~
資料4 永野秀雄委員 米国におけるセキュリティクリアランス制度の基本情報
議事要旨    
2023.04.07 第4回 議事次第
資料1 事務局 第3回会議の議論の整理(主なポイント)
資料2 重要インフラ事業者 セキュリティクリアランス制度に対する要望
資料3   セキュリティ・クリアランス制度について
議事要旨    
2023.04.25 第5回 議事次第
資料1 事務局 第4回会議の議論の整理(主なポイント)
資料2 事務局 スタートアップとの意見交換結果
資料3 内閣情報調査室 特定秘密保護法概要
資料4 防衛装備庁 防衛産業保全について
議事要旨    
2023.05.29 第6回 議事次第
資料 事務局 中間論点整理(骨子案)
議事要旨    
2023.06.06 中間論点整理  
    中間論点整理(骨子)
    中間論点整理
2023.10.11 第7回 議事次第
資料 事務局 中間論点整理の概要
今回の検討の前提
新しい制度の基本的な骨格
経済安全保障上の重要な情報のイメージ
経済安全保障上重要な情報の候補
論点
・新しい制度の射程について
・新しい制度の基本的な骨格について 経済安全保障上の重要な情報の秘密指定
・・指定解除、 経済安全保障上の重要な情報の管理
・・提供ルール、 罰則
・経済安全保障上の重要な情報について
議事要旨    
2023.11.20 第8回 議事次第
資料 事務局 第7回会議の議論の整理(主なポイント)
論点
・事業者に対する信頼性確認
・個人に対する信頼性確認
・漏洩等に対する罰則
議事要旨    
2023.12.20 第9回 議事次第
資料1 事務局 第8回会議の議論の整理(主なポイント)
(1)事業者に対する信頼性確認(クリアランスが必要となる事業者・従業員)
(2)事業者に対する信頼性確認(FOCI)
(3)個人に対する信頼性確認、調査とプライバシー
(4)罰則
(5)その他
資料2 事務局 論点
〇調査の一元化の関係
• 「一元化機関」における調査事項と調査手法
• 調査機能の一元化のスキーム
〇プライバシー・労働法制等との関係
• 評価対象者に対する配慮
資料3 事務局 前回会議の指摘事項について
・アメリカのNISPOMについて
・海外の制度概要(組織・施設クリアランス)
・国内法との関係(外為法)
・罰則
・諸外国における国家秘密情報漏洩時の罰則について
議事要旨 事務局  

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.10.12 内閣官房 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議(第7回)

・2023.06.08 経済安全保障分野におけるセキュリティ・クリアランス制度等に関する有識者会議 中間論点整理

 

 

| | Comments (0)

自由民主党 AI の安全性確保と活用促進に関する緊急提言 (2023.12.14)

こんにちは、丸山満彦です。

自由民主党の「AIの進化と実装に関するプロジェクトチーム」(座長 平将明衆議院議員)が「AI の安全性確保と活用促進に関する緊急提言」を公表していますね。。。

自由民主党の「AIの進化と実装に関するプロジェクトチーム」は2023年1月に発足し、座長が「平将明 衆議院議員」で、事務局長は2023.11移行は「尾崎正直 衆議院議員」それまでは「塩崎彰久 衆議院議員」となっていますね。。。

そういえば、政府の動きが遅いから、自民党から議員立法でAIに関する法律を国会に提出するといっていたような、いなかったような。。。

 

自由民主党「AIの進化と実装に関するプロジェクトチーム」 (2023.11 以前)( 2023.11 以前

 

で、緊急提言を2023.12.14に公表しています。。。

その概要ですが...

1. 国内ガイドラインの活用促進国内の AI 関連事業者向けのガイドラインの策定=>法制化)

2. AI 安全研究所の創設(安全保障、サイバーセキュリティ、AI 技術など幅広い専門家が参画する府省横断的+米英との連携)

3. 必要な予算の確保と AI の安全性に関する技術開発(AI の安全性に関する技術開発を強化)

4. AI 戦略推進体制の拡充 (「AI戦略チーム」、「AI国際戦略推進チーム」の体制強化)

といったところですかね。。。

 

自由民主党デジタル社会推進本部

・2023.12.14 [PDF] AI の安全性確保と活用促進に関する緊急提言

・[PDF] AIの安全性確保と活用促進に関する緊急提言日本語)(英語

20231222-05835

AI の安全性確保と活用促進に関する緊急提言 Urgent Proposal for Ensuring the Safety and Promoting the Use of AI
自由民主党デジタル社会推進本部 Liberal Democratic Party of Japan Headquarters for the Promotion of Digital Society 
デジタル社会推進本部において、AI の進化と実装に関するプロジェクトチームが本年 4 月に策定した「AI ホワイトペーパー~AI 新時代における日本の国家戦略~」等をきっかけに、政府における AI 政策の検討は加速し、岸田文雄首相による「G7 広島 AI プロセス」の提唱、「AI 戦略会議」の創設、「AI 戦略チーム」と「AI 国際戦略推進チーム」の設置など様々な取組みがスタートした。  This April, The Project Team on the Evolution and Implementation of AI established under the LDP Headquarters for the Promotion of Digital Society, published the "AI White Paper: Japan's National Strategy in the New Era of AI". The document accelerated the government's consideration of AI policy, which has led to the advocacy of the "G7 Hiroshima AI Process" by Prime Minister Fumio Kishida, the establishment of the "AI Strategy Council" and the formulation of the  "AI Strategy Team" and the "AI International Strategy Promotion Team" within the government. 
G7 広島 AI プロセスは、信頼できる AI のための議論を日本が議長国として主導し、今月初旬に G7 首脳から行動指針・行動規範が公表された。国内では、5 月に AI 戦略会議が「暫定的な論点整理」をとりまとめ、中央省庁における生成 AI 利用に関する統一的な方針の申合せ、初等中等教育段階における生成 AI 利用に関するガイドラインの策定などが行われ、AI と著作権や知的財産権に関する議論なども進んでいる。そして、広島 AI プロセスを踏まえ、国内事業者向けのガイドラインも検討されている。  The G7 Hiroshima AI Process, under the chairmanship of Japan, led discussions for reliable AI, and the G7 leaders released the Hiroshima Process International Guiding Principles and Code of Conduct earlier this month. In Japan, the AI Strategy Council compiled a "Tentative Summary of AI issues" in May, and government ministries and agencies agreed on a unified policy for the use of generative AI, and have formulated the guideline for the use of generative AI in primary and secondary education. New guideline for domestic AI-related businesses is also being developed based on the Hiroshima AI Process. 
これらの政府による迅速な取組みは高く評価したい。一方で、世界はルールメーキングの次を見ている。AI の安全性の確保に向けて、安全保障、サイバーセキュリティも含む幅広い関係者を巻き込み、より具体的な検討が始まっている。英国でのAI サミットの開催、米英の AI 安全研究所の設立、英米はじめ 18 ヶ国の政府機関による「セキュア AI システム開発ガイドライン」の策定、「AI の安心、安全で信頼できる開発と利用に関する米国大統領令」などは、その表れであろう。  These prompt efforts by the government are highly commendable. Meanwhile, the world is turning its eyes to the next stage of rulemaking. In order to ensure the safety of AI, detailed studies have begun involving a wide range of stakeholders, including national security and cybersecurity. The holding of the AI Summit in the UK, the establishment of the AI Safety Institute in the UK and the US, the formulation of the Guidelines for secure AI system development by government agencies in the UK, US, and 16 other countries, and the Executive Order on the Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence by the President of the US are all indicative of this trend. 
この提言では、特に AI の安全性に関して、政府が緊急に取り組むべきことを記す。  In this report, we describe what the Japanese government should urgently do, especially with regard to AI safety. 
なお、日本の AI 開発力の強化、AI の利用促進等に関しては、あらためて提言を予定している。  We plan to make further recommendations on strengthening Japan's AI development capabilities and promoting the use of AI. 
1.国内ガイドラインの活用促進  1. Promotion of the use of the domestic guideline 
広島 AI プロセス国際行動指針・行動規範を踏まえ、国内の AI 関連事業者向けのガイドラインを策定すること。  The guideline for domestic AI-related businesses should be established based on the Hiroshima Process International Guiding Principles and Code of Conduct. 
その際、プログラミングの様に仕事の仕方が大きく変わる分野があることも踏まえ、各分野・業種における AI 活用の課題・対処方法をそれぞれ明らかにすることにより、AI の社会実装・活用の加速に資するものとすること。  In doing so, the guideline should contribute to accelerating social implementation and utilization of AI by clarifying issues and measures for AI utilization in each field and industry, taking into account that there are fields, such as programming, in which the way of work changes drastically. 
更に、当該ガイドライン遵守の履行確保のため、法制化に向けて検討を進めること。  Furthermore, in order to ensure compliance with the guideline, consideration should be given to the establishment of a new legislation. 
2.AI 安全研究所の創設  2. Establishment of an AI Safety Institute 
安全保障、サイバーセキュリティ、AI 技術など幅広い専門家が参画する府省横断的な AI 安全研究所を早急に創設すること。  The AI Safety Institute should be established as soon as possible as a cross-ministry, cross-functional organization, with the participation of a wide range of experts in national security, cyber security, and AI technology. 
同研究所と米英の AI 安全研究所等との連携を強化し、AI に関する基準・規格等の策定、AI の安全性に関する調査・研究、AI ガバナンスを担う人材の育成などを進めること。  Strong collaboration should be established among the Japan AI Safety Institute and that of the US and the UK to formulate AI-related standards, conduct surveys and research on AI safety, and train personnel to take charge of AI governance. 
3.必要な予算の確保と AI の安全性に関する技術開発 3. Secure the necessary budget and develop technologies related to AI safety 
リスク対応、利用促進、開発力強化等のために必要な予算の確保に努めること。 
AI とサイバーセキュリティ、偽情報対策など、AI の安全性に関する技術開発を強化すること。 
Efforts should be made to secure necessary budgets for response to risks, promotion of use, and enhancement of development capabilities. Technological development related to AI safety, including AI and cyber security, countermeasures against disinformation, etc. should be strengthened. 
4.AI 戦略推進体制の拡充  4. Strengthen the government's AI strategy promotion structure 
「AI戦略チーム」、「AI国際戦略推進チーム」は、関係省庁の担当者がチーム員を兼務しているが、今後増加が予想されるAI関連の業務に対応するため、これらのチームによる省庁間連携は維持しつつ、事務局に専従職員を配置するなど、早急に体制を強化すること。  The "AI Strategy Team" and the "AI International Strategy Promotion Team" were formed by the personnel of relevant ministries and agencies, but in order to cope with the expected increase in AI-related tasks, while maintaining inter-ministerial coordination among these teams, the government's AI strategy promotion structure should be promptly strengthened by assigning dedicated staff at the secretariat.

 

過去の開催及び資料等

開催日 テーマ 発表者 資料
26 2023.12.07 1 自治体における生成AI利活用の取組について 大阪市デジタル統括室
2 生成AI時代の社会変革について 株式会社Graffer 石井大地社長
3 広島AIプロセス G7デジタル・技術大臣会合の結果概要  
25 2023.12.04   NVIDIAのAI戦略について NVIDIA社ジェンスン・ファン社長 NA
24 2023.11.29   顧客企業向け各種AIサービス「アインシュタイン」の取り組みについて セールスフォース米国本社 政策渉外部責任者 エリック・ローブ氏
23 2023.11.28 1 AI分野における世界の中での日本の勝ち筋について 伊藤穰一 千葉工業大学学長
2   松尾 豊 東京大学大学院工学系研究科 教授
3 セキュアAIシステム開発ガイドラインについて 内閣府
22 2023.11.22 1 AI関係経済対策(補正予算)について  
2 AI学習データの提供促進に向けたアクションプラン    
3 AI関係省庁内での生成AI活用事例について デジタル庁
経済産業省
総務省
農林水産省
21 2023.11.17 1 モデル開発支援について 経済産業省
2 開発事業からのヒアリング ソフトバンク
 NTT
20 2023.11.08 1 広島AIプロセスの報告・今後の予定 総務省
英訳
AI事業者ガイドライン等の行動規範の履行確保及びAI利用の促進の検討について  
2 アメリカにおける大統領令に関する報告 内閣府  
19 2023.09.27   各国のAI規制について    
1 EUのAI規則案について 小泉雄介(国際社会経済研究所・主幹研究員)
2 中国における生成AI業界の現状と規制動向 李智慧(野村総合研究所・エキスパートコンサルタント)
18 2023.09.07   各種LLMの活用について    
1 AI at META META社 非公開
2 NECの生成AI領域の取り組み 日本電機株式会社
3 ABEJAにおけるLLMの取り組みについて 株式会社ABEJA
17 2023.07.27   LLM開発のための計算資源確保    
1 AI用計算資源の確保に向けて 経済産業省  
2 AI/ML 学習・推論ワークロードを支えるためのAWSの取り組み 〜AWS独自設計チップ Trainium/Inferential 搭載インスタン アマゾンウェブサービス
3 Microsoftが提供する生成AI基盤について マイクロソフト
16 2023.07.18   AIリスクへの対応    
1 広島AIプロセスの概要と今後の進め方 総務省
2 AIリスクに立ち向かう第三者検証 大柴行人(Robust Intelligence共同創業者)
15 2023.06.22   自治体業務における生成AIの利活用    
1 ChatGPTの導入について 神奈川県横須賀市
2 行政のためのプロンプト・エンジニアリング入門 深津貴之(The  GUILD代表)
14 2023.06.09   AIのデータ利活用:個人情報とデータバイアス    
1 生成AIサービスの利用に関する注意喚起等について 個人情報保護委員会
2 国立国会図書館のデジタル化資料及びそのテキストデータについて 国立国会図書館
3 国立公文書館における取り組み等 国立公文書館
13 2023.06.07   AI技術と偽情報対策について    
1 AIで拡大する偽・誤情報問題と求められる対策 山口真一(准教授・国際大学グローバルコミュニケーションセンター)
2 AIの発達で求められるデジタルIDの信頼性と利便性 日下光(CEO・xID株式会社)
3 コンテンツ認証イニシアチブのご紹介 西山正一(CDO・アドビ株式会社)
12 2023.06.02   民間における生成系AIの利活用    
1 パナソニックグループにおけるChatGPT活用状況のご紹介 玉置肇(パナソニックホールディングス執行役員・CIO)
2 日本における生成AI導入の状況 ベイン・アンド・カンパニー
11 2023.05.25   AI新時代の規制のかたちについて    
  AI新時代の規制のあり方に関するBSAからの提言 Jared Ragland (ザ・ソフトウェア・アライアンス アジア太平洋政策担当シニア・ディレクター)
10 2023.05.11   翻訳AIの進化について    
1 AIコミュニケーションと日本 Jarek Kutylowski (DeepL, 創業者・CEO)
2 G7デジタル・技術大臣会合の閣僚宣言におけるAI関連のポイント 総務省
3 AI戦略会議について 内閣府
9 2023.04.10   ChatGPTなどの利活用と日本への提案 Sam Altman (OpenAI, CEO)
* AIホワイトペーパー(英語版) 本文
要旨
8 2023.03.30   AIホワイトペーパー(案)*について(とりまとめ)    
* AIホワイトペーパー 要旨
本文
7 2023.03.23   AI新時代における世界の潮流    
  生成系AIを巡る各国の状況 伊藤れん(Stability.Ai COO)
6 2023.03.17   AI利活用の新たな可能性    
1 ChatGPT:OpenAIとMicrosoft 日本マイクロソフト
2 パーソナルAIについて 橋田浩一(東京大学教授・ソーシャルICT研究センター長)
5 2023.03.14 1 AI新時代のデータ資源・計算資源について 北野 宏明(ソニーコンピューターサイエンス研究所)
2   西川徹 (プリファードネットワークス )
4 2023.03.03   AIの進化とガバナンス    
1 AIの進化と日本の選択肢 伊藤穰一(千葉工業大学変革センター長)
2 AIガバナンスのすゝめ 大柴行人(Robust Intelligence)
3 2023.02.20   AI新時代の規制のあり方    
1 AI新時代の規制のあり方」 AI・契約レビューテクノロジー協会
2 日本のデータ活用力について デジタル庁
3 デジタル原則に照らした規制の点検・見直し作業 デジタル庁
2 2023.02.17   AI新時代の日本の戦略    
1 AIの進化と日本の戦略 松尾豊(東京大学教授)
2 時代局面を考える 安宅和人(慶應大学教授)
1 2023.02.03   国内外のAI政策の現状について    
1 AI戦略と政府の取り組みについて 内閣府
2 AIを支えるデータ基盤の整備 デジタル庁
3 EUのAI規則案と米国の動向 三部裕幸弁護士

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2023.12.21 経済産業省 AI事業者ガイドライン検討会

 

| | Comments (0)

金融庁 金融セクターのサードパーティ・サプライチェーンのサイバーリスク管理に関する調査報告書

こんにちは、丸山満彦です。

金融庁が、「金融セクターのサードパーティ・サプライチェーンのサイバーリスク管理に関する調査報告書」を公表していますね。。。サードパーティ・サプライチェーンサイバーリスク管理(Third Party Cyber Risk Management: TPCRM / Cyber Supply Chain Risk Management: CS-CRM) に関する米国金融機関の先行事例についての調査報告書です。デロイト トーマツ サイバー合同会社が調査をしていますね。。。

調査領域は、

  1. 組織体制、人的リソース、管理の仕組み、ツール
  2. リスク管理プロセス
  3. ソフトウェア管理
  4. ハードウェア管理

で、先行事例として、


  • 組織体制について、TPCRM を専門に担当するチームまたは要員が 1 線部門内に存在し、利用部門である業務部門を牽制する 1.5 線的な役割を果たしている金融機関がある。また、2 線部門でも、オペレーショナルリスク部門に TPCRM の専任者が存在し、1 線部門のリスク評価に場合によっては異議を唱え、または介入するなどの牽制の仕組みが整備されている。このように、米国大手金融機関においては、1 線及び 2 線において牽制機能があるなどの組織的に TPCRM を行うための仕組みがある。

  • 人的リソースについて、数千社のサードパーティを管理するために、TPCRM 部門には百人規模 でサードパーティのサイバーリスク管理の専門家を配置し、サイバーリスク評価に特化し効率的 に業務経験を積ませ、社内トレーニングやメンター制度の活用なども合わせて人材の量と質の 向上に努めている。

  • リスク管理に関わる作業は内製、市販ツールの活用により効率化している。

  • リスク管理プロセスについて、評価対象をリスクレベルで分類し、高リスクの評価対象に注力する継続的モニタリングを行っている。必要に応じ、4th パーティ(とそれ以降)のリスク評価 も金融機関が自ら行っている。自社と同レベルのセキュリティ水準をサードパーティに求めるため、契約や要綱に詳細を明記している。

  • 自社が使用するソフトウェアの脆弱性は自社で確認するとの方針の下、技術的評価を実施するチームを持ち、評価を実施している。ソースコードレビューやソフトウェア構成解析(SCA)などの技術的に可能な手法を積極的に採用し、高度化を進める取組みが認められる。

  • ハードウェアセキュリティについては、ファームウェアや UEFI(BIOS)の真正性を確保するための 対策の導入などにより、セキュアな調達を実現する取組みが認められる。

が挙げられていますね。。。

サプライチェーンリスクは、サードパーティリスク、つまり自分ではリスクそのものを管理できないというのが本質で、特に委託先の先の委託先は伝言ゲームの世界になりますよね。。。これは個人情報保護法のガイドラインを作った時に、委託先管理のところで考えた話と同じです。

これをあらゆる面で厳密にやりだすと、輸送中にBIOSを書き換えられたPCにすり替えられたら、、、みたいな話にもなっていきます。

サードパーティリスクを低減させる一番の方法はプライチェーンをできるだけ短く、少なく、できる限り自前で。。。といういことになります。

システム関係でいえば、できる限り自社が管理している環境に、外注事業者に入ってもらうようにすることにより、委託先をつかっていても管理できる範囲は増えるし、再委託ではなく、すべて委託管理にすることもできる。(これを昔から言っていることなので、目新しいことではないですが。。。)

 

金融庁

・2023.12.20 「金融セクターのサードパーティ・サプライチェーンのサイバーリスク管理に関する調査報告書」の公表について

・[PDF] 金融セクターのサードパーティ・サプライチェーンのサイバーリスク管理に関する調査」報告書

20231222-01501

 

・[PDF] 「金融セクターのサードパーティ・サプライチェーンのサイバーリスク管理に関する調査」概要

20231222-01736

 

 

| | Comments (0)

NIST SP 1800-38(初期ドラフト)耐量子暗号への移行: 量子安全暗号の実装と採用を検討するための準備

こんにちは、丸山満彦です。

今年の4月に耐量子暗号への移行ということで、SP1800-38のエグゼクティブサマリーの初期ドラフトが公開されていましたが、今回は、

NIST SP 1800-38B Quantum Readiness: Cryptographic Discovery, 量子対応: 暗号ディスカバリ
NIST SP 1800-38C Quantum Readiness: Testing Draft Standards for Interoperability and Performance 量子対応: 相互運用性と性能のための標準ドラフトの検証

の初期ドラフトですね。。。

 

NIST - ITL

・2023.12.19 NIST SP 1800-38 (Initial Preliminary Draft) Migration to Post-Quantum Cryptography: Preparation for Considering the Implementation and Adoption of Quantum Safe Cryptography

NIST SP 1800-38 (Initial Preliminary Draft) Migration to Post-Quantum Cryptography: Preparation for Considering the Implementation and Adoption of Quantum Safe Cryptography NIST SP 1800-38(初期ドラフト)耐量子暗号への移行: 量子安全暗号の実装と採用を検討するための準備
Announcement 発表
The National Cybersecurity Center of Excellence (NCCoE) has published for comment the Preliminary Draft of Volumes B and C for NIST SP 1800-38A, Migration to Post-Quantum Cryptography.  国立サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)は、NIST SP 1800-38A「耐量子暗号への移行」のB巻とC巻の初期ドラフトを公開し、コメントを求めている。
The public comment period for this draft is open through February 20, 2024. このドラフトのパブリックコメント期間は2024年2月20日までである。
NIST SP 1800-38B, Quantum Readiness: Cryptographic Discovery, is a preliminary draft offering (1) a functional test plan that exercises the cryptographic discovery tools to determine baseline capabilities ; (2) a use case scenario to provide context and scope our demonstration; (3) an examination of the threats addressed in this demonstration; (4) a multifaceted approach to start the discovery process that most organizations can start today; and (5) a high-level architecture based on our use case that integrates contributed discovery tools in our lab.   NIST SP 1800-38B、量子対応: 暗号ディスカバリは、(1)暗号ディスカバリツールを演習してベースライン機能を決定する機能テスト計画、(2)コンテクストを提供し、実証の範囲を示すユースケースシナリオ、(3)本実証で扱う脅威の検討、(4)ほとんどの組織が今日から開始できるディスカバリプロセスを開始するための多面的アプローチ、(5)ユースケースに基づき、ラボに貢献したディスカバリツールを統合するハイレベルアーキテクチャを提供する初期ドラフトである。 
NIST SP 1800-38C, Quantum Readiness: Testing Draft Standards for Interoperability and Performance, is a preliminary draft offering (1) identification of compatibility issues between quantum ready algorithms, (2) resolution of compatibility issues in a controlled, non-production environment, and (3) reduction of time spent by individual organizations performing similar interoperability testing for their own PQC migration efforts.  NIST SP 1800-38C、量子対応: 相互運用性と性能のための標準ドラフトの検証は、(1)量子レディーアルゴリズム間の互換性問題の特定、(2)管理された非生産環境における互換性問題の解決、(3)各組織がPQC移行の取り組みのために同様の相互運用性テストを実施する際の時間短縮、を提供する初期ドラフトである。
As the project progresses, this preliminary draft will be updated, and additional volumes will also be released for comment. プロジェクトの進捗に伴い、この初期ドラフトは更新され、またコメント募集のために追加版が公開される予定である。

 

・[PDF] NIST SP 1800-38B Quantum Readiness: Cryptographic Discovery

20231221-114210

目次...

1  Summary 1 概要
1.1  Challenge 1.1 課題
1.2  Outcomes 1.2 成果
1.3  Preparing for the New Post-Quantum Standards 1.3 耐量子標準への準備
1.3.1 Public-Key Cryptographic Technologies 1.3.1 公開鍵暗号技術
1.4 Demonstration Activity 1.4 デモ活動
2  How to Use This Guide 2 このガイドの使い方
3  Approach: The Migration to Post-Quantum Cryptography Project’s Contribution to Quantum Readiness 3 アプローチ 耐量子暗号への移行プロジェクトが量子準備に貢献する
3.1  Audience 3.1 対象者
3.2  Scope 3.2 適用範囲
 3.2.1  Example Discovery Scenario for a Medium-Sized Business  3.2.1 中規模ビジネスにおける発見シナリオ例
 3.2.2  Project Execution of Example Scenario in Our Lab  3.2.2 我々の研究室におけるシナリオ例のプロジェクト実行
 3.2.3  Vulnerable Cryptographic Algorithms  3.2.3 脆弱性暗号アルゴリズム
3.3  Terminology 3.3 専門用語
3.4  Risk Assessment 3.4 リスクアセスメント
 3.4.1  Threats to Classical Cryptography  3.4.1 古典暗号に対する脅威
 3.4.2 Vulnerabilities  3.4.2 脆弱性
 3.4.3 Survey of Risk Methodologies  3.4.3 リスク手法の調査
4 Architecture 4 アーキテクチャ
4.1  Architecture Description 4.1 アーキテクチャの説明
 4.1.1  Protecting the Code Development Pipeline  4.1.1 コード開発パイプラインの防御
 4.1.2  Operational Systems and Applications  4.1.2 運用システムとアプリケーション
 4.1.3  Transport Protocols and Network Services  4.1.3 トランスポートプロトコルとネットワークサービス
 4.1.4  Common Output Elements for Identifying Vulnerable Systems  4.1.4 脆弱性システムを識別するための共通出力要素
5  Technologies 5 技術
5.1  Consortium Members 5.1 コンソーシアムのメンバー
 5.1.1  Cisco  5.1.1 シスコ
 5.1.2  IBM  5.1.2 IBM
 5.1.3  Infosec Global (ISG)  5.1.3 インフォセック・グローバル(ISG)
 5.1.4  ISARA Corporation  5.1.4 株式会社アイサラ
 5.1.5  Keyfactor  5.1.5 キーファクター
 5.1.6  Microsoft  5.1.6 マイクロソフト
 5.1.7  SafeLogic  5.1.7 セーフロジック
 5.1.8  Samsung SDS  5.1.8 サムスンSDS
 5.1.9  SandboxAQ  5.1.9 SandboxAQ
 5.1.10 wolfSSL  5.1.10 wolfSSL
5.2 Products and Technologies 5.2 製品と技術
6  Future Project Considerations 6 今後のプロジェクトに関する考察
Appendix A List of Acronyms 附属書A 頭字語リスト
Appendix B References 附属書B 参考文献
Appendix C Discovery Platform Lab Functional Demonstration Plan 附属書C Discovery Platform Lab機能実証計画書
Appendix D IBM Z16 Remote Discovery Platform Functional Demonstration Plan  附属書D IBM Z16リモート・ディスカバリー・プラットフォーム機能実証計画書 

 

・[PDF] NIST SP 1800-38C Quantum Readiness: Testing Draft Standards for Interoperability and Performance

20231221-114219

目次...

1  Introduction 1 序文
2  Project Scope 2 プロジェクトの範囲
3  Testing Scope 3 検証範囲
3.1  Selected Post-Quantum Algorithms 3.1 耐量子アルゴリズムの選択
3.2  Protocols, Standards, and Use-Cases 3.2 プロトコル、標準、ユースケース
3.3  Out of Scope 3.3 適用範囲外
4 Collaborators and Their Contributions 4 協力者とその貢献
5 Secure Shell (SSH) 5 セキュア・シェル(SSH)
5.1  Interoperability and Performance Discussion 5.1 相互運用性と性能に関する議論
5.2  Interoperability Testing 5.2 相互運用性検証
 5.2.1  PQC Hybrid Key Exchange Test Profile  5.2.1 PQC ハイブリッド鍵交換検証・プロファイル
 5.2.2  PQC Hybrid Key Exchange and Authentication Test Profiles  5.2.2 PQC ハイブリッド鍵交換および本人認証検証・プロファイル
5.3  Performance Testing 5.3 性能検証
5.4  Lessons Learned 5.4 教訓
6  Transport Layer Security (TLS) 6 トランスポート層セキュリティ(TLS)
6.1  Interoperability and Performance Discussion 6.1 相互運用性と性能に関する議論
6.2  Interoperability Testing 6.2 相互運用性検証
 6.2.1  PQC Hybrid Key Exchange Test Profile  6.2.1 PQC ハイブリッド鍵交換検証プロファイル
 6.2.2  PQC Hybrid Key Exchange and Authentication Test Profile  6.2.2 PQC ハイブリッド鍵交換および本人認証検証プロファイル
6.3  Performance Testing  6.3 性能検証
 6.3.1  OQS-OpenSSL  6.3.1 OQS-OpenSSL
 6.3.2  Samsung SDS PQC-TLS (s-pqc-tls)  6.3.2 Samsung SDS PQC-TLS (s-pqc-tls)
 6.3.3 AWS s2n-tls  6.3.3 AWS s2n-tls
6.4 Lessons Learned 6.4 教訓
7 QUIC 7 QUIC
7.1  Interoperability and Performance Discussion 7.1 相互運用性と性能に関する議論
7.2  Interoperability Testing 7.2 相互運用性検証
 7.2.1  PQC Hybrid Key Exchange Test Profile  7.2.1 PQCハイブリッド鍵交換検証プロファイル
 7.2.2  PQC Hybrid Key Exchange and Authentication Test Profiles  7.2.2 PQC ハイブリッド鍵交換および本人認証検証・プロファイル
7.3  Performance Testing 7.3 性能検証
7.4  Lessons Learned 7.4 教訓
8  X.509 8 X.509
8.1  Interoperability and Performance Discussion 8.1 相互運用性と性能に関する議論
 8.1.1  Introduction  8.1.1 序文
 8.1.2  X.509 Certificate Formats  8.1.2 X.509 証明書フォーマット
8.2  Interoperability Testing 8.2 相互運用性検証
 8.2.1  Testing Procedure  8.2.1 検証手順
 8.2.2  Test Profiles  8.2.2 検証プロファイル
 8.2.3  Test Results  8.2.3 検証結果
8.3  Performance Testing 8.3 性能検証
8.4  Lessons Learned 8.4 教訓
9  Hardware Security Modules (HSMs) 9 ハードウェア・セキュリティ・モジュール(HSM)
9.1  Discussion about Interoperability and Performance 9.1 相互運用性と性能に関する議論
 9.1.1  OID Usage  9.1.1 OIDの使用
 9.1.2  Algorithm Versions Tested  9.1.2 検証されたアルゴリズム・バージョン
9.2  Interoperability Test Results 9.2 相互運用性検証の結果
 9.2.1  Basic Capabilities  9.2.1 基本能力
 9.2.2  PQC Key Generation, Export, and Import  9.2.2 PQC 鍵の生成、エクスポート、およびインポート
 9.2.3  PQC Signature Generation and Verification  9.2.3 PQC 署名生成および検証
 9.2.4  PQC Key Encapsulation and Decapsulation  9.2.4 PQC 鍵のカプセル化とカプセル解除
9.3  Summary of Results 9.3 結果のまとめ
10 Overall Status and Themes 10 全体的な状況とテーマ
Appendix A List of Acronyms 附属書A 略語一覧
Appendix B References 附属書B 参考文献
Appendix C Hash and Sign Analysis 附属書C ハッシュと符号の分析
C.1  Introduction of the Digest-then-Sign Dilemma C.1 ダイジェストと符号のジレンマの序文
 C.1.1  Terminology  C.1.1 用語
C.2  Performance for PQC Signatures C.2 PQC署名の性能
C.3  The EdDSA Precedent C.3 EdDSAの前例
C.4  The PKCS#11 Challenge C.4 PKCS#11の課題
C.5  Options for Standardization C.5 標準化の選択肢
 C.5.1  No-digest Before Signing  C.5.1 署名前のダイジェストなし
 C.5.2  Digest-then-sign  C.5.2 ダイジェストしてから署名する
C.6  Conclusion C.6 結論
Appendix D Hash then Sign Previous Discussions 附属書D ハッシュしてから署名 これまでの議論
D.1 Internet Research Task Force (IRTF) Crypto Forum Research Group (CFRG) D.1 インターネット研究タスクフォース(IRTF) 暗号フォーラム研究グループ(CFRG)
D.2 IETF LAMPS (Limited Additional Mechanisms for PKIX and SMIME) Working Group (LAMPS WG) D.2 IETF LAMPS(Limited Additional Mechanisms for PKIX and SMIME)作業グループ(LAMPS WG)
D.3 NIST PQC Forum D.3 NIST PQCフォーラム
D.4 Liboqs and OpenSSL 1.1.1 Signature Performance Platform Details D.4 LiboqsとOpenSSL 1.1.1署名性能プラットフォームの詳細
D.5 Security Issues when Externalizing the Internal Digest D.5 内部ダイジェストを外部化する際のセキュリティ問題

 

 

 


まるちゃんの情報セキュリティ気まぐれ日記

・2023.08.22 米国 CISA NSA NIST 量子対応:耐量子暗号への移行

2023.04.26 米国 NIST SP 1800-38A「耐量子暗号への移行」の初期ドラフト

 

 

 

| | Comments (0)

2023.12.21

経済産業省 AI事業者ガイドライン検討会

こんにちは、丸山満彦です。

経済産業省で、AI原則の実践の在り方に関する検討会の後続として、AI事業者ガイドライン検討会が2023.10.15から開催されていますね。。。2023.12.15に第二回の会合がおこなわれたようです。そこでは、表題にあるとおり、AI事業者ガイドライン案が検討されているようですね。。。

ただ、公開が原則の政府委員会において、会議自体が公開ではないだけでなく、配布資料も非公開ですね。。。

ガイドライン案等の検討途中の文書については、「審議、検討又は協議に関する情報であって、公にすることにより、率直な意見の交換若しくは意思決定の中立性が不当に損なわれるおそれ、不当に国民の間に混乱を生じさせるおそれ又は特定の者に不当に利益を与え若しくは不利益を及ぼすおそれがあるもの」(行政機関の保有する情報の公開に関する法律 第5条 第 5 号)

ということのようです。。。

欧州では、先日AI法案について委員会、議会、理事会で意見がまとまったようで、2024年中に議会で可決、理事会で承認され、確定、2026年に施行というタイムラインが見えてきました。。。米国は、EO14110 人工知能の安全、安心、信頼できる開発と利用に関する大統領令が発表され、民間団体も含めて歓迎されている感じですね。。。英国は、AI立国になるという国家戦略のもと、AI安全サミットを開催し、主要国と共同でブリッチリー宣言を発表するなど、世界でのリーダー的なポジションをとることに向けて着々と進めている感じですね。。。中国も国家戦略としてAIを推進していますが、共産主義国としての独自の価値観を踏まえた上で、国際的な調和とのバランスを模索しているように見えます。(NRIのこのページや、PwC Japanのこのページがわかりやすいかも...)

日本は、内閣府のもと2019年には[PDF]人間中心のAI 社会原則を策定し、戦略等として[PDF]AI戦略 2019、[PDF]AI 戦略 2019フォローアップ、[PDF]AI戦略 2021、[PDF]AI戦略 2022、そして、2023.05には、[PDF]AIに関する暫定的な論点整理を策定しているものの、国家としてのAIの開発投資、利活用、人材育成に関しての骨太感がない感じですね。。。(個人の感想です(^^)...)

そういえば、ISO/IEC SC42 の6つあるWGのうち、日本は2つのWGの議長国をしているのに、うまくいかせきれているのかしら。。。

WG/JWG 議長国 タイトル 作業範囲(スコープ)
WG1 カナダ 基礎的標準 Alの用語、概念などの基礎規格の標準化
WG2 米国 データ Al、ビッグデータ、データ分析におけるデータに関する標準化
WG3  アイルランド 信頼性 Alの信頼性の分野での標準化
WG4 日本 ユースケースと応用 Alのユースケースとアプリケーションの収集,社会的な関心の視点も含む
WG5 中国 計算アプローチと計算的特徴 Alシステムの計算論的アプローチと特徴に関する標準化
JWG1 日本 Alのガバナンス 組織がAlを利用する際のガバナンスに関する標準化

 

ということで、話は最初にもどって...

 

経済産業省 - AI事業者ガイドライン検討会

1_20231221053301

AI事業者ガイドライン検討会
2023.12.15 第2回 資料1 議事次第
資料2 委員名簿
資料3 公開等について
資料4 AI事業者ガイドライン案 本編(非公開)
資料5 AI事業者ガイドライン案 概要版(非公開)
資料6 AI事業者ガイドライン案 別添(付属資料)(非公開)
資料7 事務局説明資料(非公開)
資料8 ご議論いただきたい事項(非公開)
  議事要旨 (後日掲載)
2023.10.15 第1回 資料1 議事次第
資料2 委員名簿
資料3 公開等について
資料4 事務局説明資料(非公開)
資料5 AI時代の知的財産権検討会について(非公開)
資料6 AIと著作権について(非公開)
資料7 生成AIサービスの利用に関する注意喚起等について(非公開)
資料8 広島AIプロセスについて(非公開)
資料9 AI事業者ガイドライン案 本編(非公開)
資料10 AI事業者ガイドライン案 概要版(非公開)
資料11 ご議論いただきたい事項(非公開)
AI原則の実践の在り方に関する検討会
2023.03.01 第8回    議事次第
資料1 AI原則の実践の在り方に関する検討会 令和4年度委員名簿
資料2 富士通のAI倫理ガバナンス
資料3 欧州評議会AIに関する委員会(CAI)AI条約交渉の概要
資料4 今後の取組の方向性に関する意見(非公表)
参考資料1 第7回 AI原則の実践の在り方に関する検討会 議事概要
参考資料2 AI関連政策の海外動向
  議事要旨
2023.02.03 第7回   議事次第
資料1 AI原則の実践の在り方に関する検討会 令和4年度委員名簿
資料2 パナソニックグループにおける AI 倫理活動と課題
資料3 Citadel AI様資料(24時間信頼できるAIをあなたに)
参考資料1 第6回 AI原則の実践の在り方に関する検討会 議事概要
  議事要旨
2022.12.05 第6回   議事次第
資料1 AI原則の実践の在り方に関する検討会 令和4年度委員名簿
資料2 AI原則の実践の在り方に関する検討会 今年度の進め方
資料3 GPAIサミット2022について
資料4 NECのAIガバナンスの取り組み
資料5 Update around AI standardization activities(AI標準化関連報告)(非公表)
参考資料1 第5回 AI原則の実践の在り方に関する検討会 議事概要
  議事要旨
2022.03.07 第5回   議事次第
資料1 AI原則の実践の在り方に関する検討会 委員名簿
資料2 富士通のAIガバナンスに関する取り組み
資料3 シンガポールの「AIとガバナンス」に関する取り組み(非公表)
資料4 AI原則と公共調達
資料5 検討会の成果と今後の課題(非公表)
参考資料1 第4回 AI原則の実践の在り方に関する検討会 議事概要
  議事要旨
2022.01.28 ガイドライン(ver. 1.1) AI原則実践のためのガバナンス・ガイドライン ver. 1.1
Governance Guidelines for Implementation of AI Principles ver. 1.1
2022.01.17 第4回   議事次第
資料1 AI原則の実践の在り方に関する検討会 委員名簿
資料2 メルカリグループにおける AI に関する取り組みのご説明(非公表)
資料3 米国を中心とする AI 規制・ガバナンスの動向(非公表)
資料4-1 AI ガバナンス・ガイドライン Ver. 1.1(非公表)
資料4-2 AI Governance Guidelines Ver. 1.1(非公表)
資料4-3 パブリックコメントの概要と対応の方向性(補足説明付き)(非公表)
参考資料1 第3回 AI原則の実践の在り方に関する検討会 議事概要
  議事要旨
2021.11.05

第3回   議事次第
資料1 AI原則の実践の在り方に関する検討会 委員名簿
資料2 一般社団法人ピープルアナリティクス&HRテクノロジー協会活動のご紹介
資料3 人事データ分析の現状とAIガバナンス・ガイドラインへの期待
資料4 AIガバナンスの実効性向上に関する動向
資料5 パブリックコメントの概要と対応の方向性(非公表)
参考資料1 第2回 AI原則の実践の在り方に関する検討会 議事概要 
  AIガバナンス・ガイドラインに関する周知活動(非公表)
  議事要旨
2021.07.09 ガイドライン(ver. 1.0) AI原則実践のためのガバナンス・ガイドライン ver. 1.0
AI原則実践のためのガバナンス・ガイドライン ver. 1.0(概要)
Governance Guidelines for Implementation of AI Principles ver. 1.0
2021.07.09 報告書(ver. 1.1) 我が国のAIガバナンスの在り方 ver. 1.0 (AI社会実装アーキテクチャー検討会 中間報告書)
我が国のAIガバナンスの在り方 ver. 1.0 概要資料
AI Governance in Japan Ver. 1.0 (interim report)
中間報告書への意見募集に対する回答
2021.07.06 第2回   議事次第
資料1 AI原則の実践の在り方に関する検討会 委員名簿
資料2 AIガバナンスの取り組み(仮題)(非公表)
資料3-1 『我が国のAIガバナンスの在り方 ver. 1.1』報告書(案)(非公表)
資料3-2 パブリックコメントに対する回答(非公表)
資料4-1 AIガバナンス・ガイドライン(案)(非公表)
資料4-2 AIガバナンス・ガイドライン概要(案)(非公表)
資料4-3 AIガバナンス・ガイドライン公表時のアナウンス(非公表)
資料5 今後の課題(非公表)
参考資料1 第1回AI原則の実践の在り方に関する検討会 議事概要
  議事概要
2021.05.11 第1回   議事次第
資料1 AI原則の実践の在り方に関する検討会の趣旨
資料2 AI原則の実践の在り方に関する検討会 委員名簿
資料3 AI原則の実践の在り方に関する検討会の公開等について(案)
資料4 人権、民主主義、法の支配とAI(欧州評議会CAHAIのアプローチ)
資料5 EUのAI規則案の概要等
資料6-1 AIガバナンス・ガイドラインの構成(非公表)
資料6-2 AIガバナンス・ガイドライン(案)(非公表)
資料7 中間報告書へのパブコメへの対応(案)(非公表)
参考資料 参考資料 第5回AI社会実装アーキテクチャー検討会 議事概要
  議事概要
AI社会実装アーキテクチャー検討会
2021.03.05 第5回   議事次第
資料1 出席者名簿
資料2-1 欧州AI政策について
資料2-2 国際動向のアップデート(EU以外)(非公表)
資料3 パブコメの概要(非公表)
資料4-1 AIガバナンス・ガイドラインの構成案(非公表)
資料4-2 AIガバナンス・ガイドラインのイメージ(非公表)
資料5 今後の進め方(案)(非公表)
参考資料1 第4回AI社会実装アーキテクチャー検討会議事概要
参考資料2 OECD, DSTI-CDEP(2020)13(非公表)
  議事概要
2020.12.11 第4回   議事次第
資料1 出席者名簿
資料2 国際動向のアップデート(非公表)
資料3 AI社会実装アーキテクチャー検討会中間報告書(案)(非公表)
  第2回AI社会実装アーキテクチャー検討会議事概要
  関係府省庁のAI関連の指針等(非公表)
  議事概要
2020.10.23 第3回   議事次第
資料1 出席者名簿
資料2 AI標準化の現状と今後の課題(非公表)
資料3-1 AI社会実装アーキテクチャー検討会報告書(案)(非公表)
資料3-2 AI社会実装アーキテクチャー検討会報告書サマリー(案)(非公表)
資料3-3 AI社会実装アーキテクチャー検討会報告書とガイドの位置づけ(非公表)
参考資料1 第2回AI社会実装アーキテクチャー検討会議事概要
参考資料2 第3回AI社会実装ガイド・ワーキンググループ議事概要
  議事概要
2020.09.07 第2回   議事次第
資料1 出席者名簿
資料2 AIに関するルール形成等の動向等(非公表)
資料3 AI社会実装ガイド構成案(非公表)
参考資料1 第1回AI社会実装アーキテクチャー検討会議事概要
参考資料2 第2回AI社会実装ガイド・ワーキンググループ出席者名簿
参考資料3 第2回AI社会実装ガイド・ワーキンググループ議事概要
  議事概要
2020.06.30 第1回   議事次第
資料1 出席者名簿
資料2 「第1回 AI社会実装アーキテクチャー検討会」検討資料(非公表)
資料3 報告書ドラフト版(非公表)
資料4 ヒアリング結果サマリ集(非公表)
資料5 キユーピーにおけるAIによるイノベーション(キユーピー株式会社 生産本部未来技術・次世代技術担当 荻野武様)(非公表)
資料6 機械学習品質マネジメントガイドライン策定の取り組み(国立研究開発法人産業技術総合研究所 サイバーフィジカルセキュリティ研究センター 大岩寛様)(非公表)
  議事概要

 

 


 

内閣府 AI戦略

1_20231221083401

 

AIに関する暫定的な論点整理
本文 要旨 要旨(仮訳
AI戦略2022 本文 別紙 概要
AI Strategy 2022 tentative tarnslation   overview
【過去の資料】      
AI戦略2021 本文  別紙 概要
AI 戦略 2019      
AI Strategy 2019 tentative translation    
AI 戦略 2019フォローアップ 本文 別紙 概要

 

AI戦略会議(イノベーション政策強化推進のための有識者会議)

AI戦略チーム(関係省庁連携)

人間中心のAI社会原則会議

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.01.29 経済産業省 AI原則実践のためのガバナンス・ガイドライン ver. 1.1

・2021.07.11 経済産業省 意見募集 AI原則実践のためのガバナンス・ガイドライン Ver1.0

 

[2023.12.22追記]

・2023.12.22 自由民主党 AI の安全性確保と活用促進に関する緊急提言 (2023.12.14)

 

 

| | Comments (0)

欧州対外活動庁 EUと中国の関係 ファクトシート (2023.12.07)

こんにちは、丸山満彦です。

自由民主主義的な価値観を重要視する国々(EU、米国、日本、韓国など)と、いわゆる権威主義的な国々(例えば、中国、ロシア、北朝鮮など)の間の競争的な関係が高まっていますが、EUと中国の関係としては、米国と同様に競争するところは競争するものの、協力できるところは協力していこうという視点ですね。。。

冒頭の文に対応の難しさが表れているような気がします。でも、それをうまくするのがEUですよね。。。

 

 

● EU - EUROPEAN EXTERNAL ACTION SERVICE

・2023.12.07 EU-China Relations factsheet

・[PDF

20231220-172518

 

The EU sees China as a partner for cooperation, an economic competitor and a systemic rival. However, EUChina relations have become increasingly complex due to a growing number of irritants. China has become less open to the world and more repressive at home, while taking a more assertive posture abroad, resorting to economic coercion, boycotts of European goods, and export controls on critical raw materials.  EUは中国を、協力のためのパートナーであり、経済的競争相手であり、体制的ライバルであると考えている。しかし、EUと中国の関係は、苛立ちの増大によりますます複雑になっている。中国は、国内では開放的でなくなり、抑圧的になる一方で、国外ではより主張的な姿勢をとり、経済的強制、欧州製品のボイコット、重要な原材料の輸出規制などに訴えている。
Our bilateral relations are marked by differences, such as China’s position on Russia’s war of aggression against Ukraine, human rights, market access and investment, environment issues, and key foreign and security policy issues. EU-China trade relations have become unbalanced. The EU must ensure a level playing field and make competition fairer. This is why the EU is reducing critical dependencies and vulnerabilities, including in its supply chains, and de-risking and diversifying where necessary. EUと中国の二国間関係は、ロシアのウクライナ侵略戦争、人権、市場アクセスと投資、環境問題、主要な外交・安全保障政策問題に対する中国の立場など、相違点が目立つ。EUと中国の貿易関係は不均衡になっている。EUは公平な競争条件を確保し、競争をより公正なものにしなければならない。このためEUは、サプライチェーンを含め、重要な依存性と脆弱性を削減し、必要な場合にはリスク回避と多様化を図っている。
At the same time, the EU continues to pursue cooperation with China on global issues, such as climate change, debt relief for developing countries, sustainable finance, and bilateral issues.  同時に、EUは、気候変動、途上国の債務救済、持続可能な金融、二国間問題などのグローバルな課題において、中国との協力を追求し続けている。
The EU-China Summit on 7 December is an opportunity to discuss a more ambitious relationship that benefits both sides. The EU will engage in good faith, while protecting its interests, and addressing disagreements through dialogue. 12月7日のEU・中国首脳協議は、双方に利益をもたらすより野心的な関係について話し合う機会である。EUは、自国の利益を守り、対話を通じて意見の相違に対処しながら、誠意をもって関与していく。

 

 

| | Comments (0)

2023.12.20

米国 CISA 医療・公衆衛生分野の主要リスクと脆弱性に関する調査結果

こんにちは、丸山満彦です。

米国のCISAが、医療・公衆衛生分野の主要リスクと脆弱性に関する調査結果を公表していますね。。。これは、医療・公衆衛生分野の組織(オンプレミス・ソフトウェアを展開する大組織)からの依頼により、脆弱性と改善点を特定するためのRisk and Vulnerability Assessment (RVA)を実施した結果のようです。

RVAは、組織全体に対する2週間の侵入テストで、1週間の外部テストと、1週間の内部ネットワークの評価を行うようです。RVAでは、ウェブ・アプリケーション、フィッシング、侵入、データベース、ワイヤレスの評価を実施したようです。

外部評価では、悪意のある行為者が組織のネットワークへの初期アクセスを容易に取得できるような、重大な状態や悪用可能な状態はなかったようですが、内部評価では、設定ミス、脆弱なパスワード、その他の問題を複数の攻撃経路を通じて悪用し、組織のドメインを取得できたようです。

この報告書の記載方法は、侵入テストをする組織にとっても参考になるように思います。

特徴的と思ったのは、「Noted Strengths(注目される強み)」といった、良い点の記載の仕方ですかね。。。これは、新たなセキュリティ投資を検討する際の優先順位付の参考になりますね。。。

で、今回の調査のリコメンデーションは、内部評価に関するもので、次の3つを強調していますね。。。

1. Use phishing-resistant multi-factor authentication (MFA) for all administrative access. 1. すべての管理者へのアクセスにフィッシング耐性のある多要素認証(MFA)を使用する。
2. Verify the implementation of appropriate hardening measures, and change, remove, or deactivate all default credentials. 2. 適切な堅牢化対策の実装を検証し、すべてのデフォルト認証情報を変更、削除、または無効化する。
3. Implement network segregation controls. 3. ネットワークの分離制御を実施する。

 

・2023.12.15 CISA Releases Key Risk and Vulnerability Findings for Healthcare and Public Health Sector

・[PDF

20231220-53657

 

| | Comments (0)

中国 「指先の形式主義」?対策

こんにちは、丸山満彦です。

中国政府のウェブページを見ていると、「指尖上的形式主义」という言葉がでてくるのですが、どうもよくわからないのです。。。

2020年ごろ?官官僚が、WeChatのグループ機能等を使って、自分の仕事ぶり等の様子の写真等を撮ってもらい、それを指導部に報告していたり、末端組織の役人に指示をだして、その成果を送らせたり、、、みたいな動きがあり、末端役人に指示だけして実際に仕事をしていないのに、仕事をしているようにすることを「指尖上的形式主义」というような感じなんですかね。。。それを2021年に摘発し、グループを解体したりしたんですかね。。。[Baidu百科]

しかし、そういうことはどこの国、企業、組織でもあるわけですが、それを正々堂々と正面から捉えて対応をしているという意味では、素晴らしいことだと思います。(普通、そういうことって、わかっていても見て見ぬ振りしたりしがちなような気がしますし...)

腐敗防止という観点もあるんですかね。。。

今回の方針は、なかなか力強い。。。

 

国家互联网信息办公室(国家サイバースペース管理局)

プレス発表...

・2023.12.18 中央网络安全和信息化委员会印发《关于防治“指尖上的形式主义”的若干意见》

 

対策についての意見...

・2023.12.18 关于防治“指尖上的形式主义”的若干意见

 

記者向けFAQ的な...

・2023.12.18 中央网信办有关负责人就《关于防治“指尖上的形式主义”的若干意见》答记者问

 

グラフィック

・2023.12.18 一图读懂|《关于防治“指尖上的形式主义”的若干意见》

 

17045640951580431704564095167632

 

 

 

| | Comments (0)

2023.12.19

中国 広東・香港・マカオ・グレーターベイエリア(本土・香港)における個人データの越境移転に関する標準契約の実施ガイドライン

こんにちは、丸山満彦です。

中国の粤港澳大湾区 [wikipedia] の個人データの移転についてのガイドラインが国家サイバースペース管理局と香港特別行政区政府創新科技産業局の連名で公表されていますね。。。

粤港澳大湾区は、広州市、深圳市など広東省の9つのメガシティ、香港、マカオを含む、人口7000万人超(でも中国の5%)の都市圏で、これからも発展が期待されている地域ですよね。。。

備忘録です。。。

 

国家互联网信息办公室(国家サイバースペース管理局)

・2023.12.13 粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引

 

1_20231218203101

 

| | Comments (0)

第1回英国・EUサイバー対話@ブリュッセル

こんにちは、丸山満彦です。

欧州と英国が第1回英国・EUサイバー対話をブリュッセルで開催したようです。。。

どんな話をしたかということですが、、、

EUの発表では、

  • サイバーセキュリティとレジリエンス、
  • 多国間、地域、マルチステークホルダーによる協議、
  • サイバーインシデントや攻撃への備えと対応、
  • サイバー犯罪、
  • サイバー防衛、
  • さらには第三国へのサイバー能力構築

 

英国の発表では、

  • 国際安全保障、
  • 新興技術、
  • インターネット・ガバナンス、
  • サイバーセキュリティ、
  • サイバー防衛、
  • サイバー犯罪を含む幅広いサイバー問題

となっていますね。。。

 

●  European Union External Action

・2023.12.14 Cyber: EU and UK launch Cyber Dialogue

Cyber: EU and UK launch Cyber Dialogue サイバー EUと英国がサイバー対話を開始
On 14 December, the European Union (EU) and United Kingdom (UK) held their first Cyber Dialogue in Brussels. Underlining the need to advance an open, free, stable and secure cyberspace respecting human rights and fundamental freedoms, the EU and UK presented their latest developments on a range of cyber policy issues as set out under the EU-UK Trade and Cooperation Agreement (TCA).  12月14日、欧州連合(EU)と英国(UK)は、ブリュッセルで初のサイバー対話を開催した。EUと英国は、人権と基本的自由を尊重し、開かれた、自由で、安定した、安全なサイバー空間を推進する必要性を強調し、EU・英国通商協力協定(TCA)の下で規定されているさまざまなサイバー政策に関する最新の進展について発表した。
In the context of the evolving global cyber threat landscape, marked by Russia’s illegal military aggression against Ukraine, the Dialogue included exchanges on cyber security and resilience, multilateral, regional and multi-stakeholder discussions, preparedness and response to cyber incidents and attacks, cybercrime, cyber defence as well as cyber capacity building to third countries. ロシアによるウクライナへの違法な軍事侵攻に端を発し、世界的なサイバー脅威の状況が進展する中、同対話では、サイバーセキュリティとレジリエンス、多国間、地域、マルチステークホルダーによる協議、サイバーインシデントや攻撃への備えと対応、サイバー犯罪、サイバー防衛、さらには第三国へのサイバー能力構築に関する意見交換が行われた。
The EU and the UK provided updates on the latest legislative developments in these areas and agreed to continue their exchanges on policy developments in view of promoting the UN framework of responsible state behaviour in cyberspace, including through the United Nations’ Cyber Programme of Action, enhancing global cyber resilience as well as addressing malicious cyber activities. EUと英国は、これらの分野における最新の法整備に関する最新情報をプロバイダとして提供し、国連のサイバー行動計画を含むサイバー空間における責任ある国家の行動という国連の枠組みを促進し、世界的なサイバーレジリエンスを強化するとともに、悪意あるサイバー活動に対処する観点から、政策展開に関する意見交換を継続することで合意した。
The 1st EU-UK Cyber Dialogue was co-chaired by Joanneke BALFOORT, Director for Security and Defence Policy, European External Action Service (EEAS), Lorena BOIX ALONSO, Director for Digital Society, Trust and Cybersecurity, Directorate General for Communications Networks, Content and Technology (DG CONNECT), European Commission and Will MIDDLETON, Cyber Director, Cyber Policy Department at the Foreign, Commonwealth & Development Office and Andrew Elliot, Deputy Director, Cyber Security at the Department for Science, Innovation and Technology (DSIT). 第1回EU・英国サイバー対話は、欧州対外行動庁(EEAS)のジョアンネケ・バルフォールト安全保障・防衛政策局長、欧州委員会のロレーナ・ボワ・アロンソ通信ネットワーク・コンテンツ・技術総局(DG CONNECT)デジタル社会・トラスト・サイバーセキュリティ担当局長、外務・英連邦・開発省のウィル・ミドルトン サイバー政策局長、科学技術省(DSIT)のアンドリュー・エリオット サイバーセキュリティ担当副局長が共同議長を務めた。
The next meeting is planned to take place in London in 2024. 次回の会合は2024年にロンドンで開催される予定である。

 

 

GOV.UK

・2023.12.14 The first UK-EU Cyber Dialogue takes place in Brussels

The first UK-EU Cyber Dialogue takes place in Brussels 第1回英国・EUサイバー対話がブリュッセルで開催される
The inaugural UK-EU Cyber Dialogue took place in Brussels on 14 December 2023, the first one held under the UK-EU Trade and Cooperation Agreement. 2023年12月14日、ブリュッセルで第1回UK-EUサイバー対話が開催された。これは、UK-EU貿易協力協定の下で開催される最初の対話である。
On 14 December 2023, the inaugural UK-EU Cyber Dialogue took place in Brussels. It was the first dialogue held under the UK-EU Trade and Cooperation Agreement. The Cyber Dialogue was a welcome opportunity for the European Union (EU) and the United Kingdom (UK) to discuss a wide range of cyber issues including international security, emerging technologies, internet governance, cybersecurity, cyber defence and cybercrime.   2023年12月14日、ブリュッセルで第1回UK-EUサイバー対話が開催された。英国とEUの貿易協力協定の下で開催された最初の対話であった。サイバー対話は、欧州連合(EU)と英国(UK)にとって、国際安全保障、新興技術、インターネット・ガバナンス、サイバーセキュリティ、サイバー防衛、サイバー犯罪を含む幅広いサイバー問題について話し合う歓迎すべき機会となった。 
Officials exchanged views on policies for secure technology, digital identity and cyber resilience, as well as deterrence strategies against cyber threats, cyber sanctions, and capacity building. The 2 sides also spoke about global cyber governance, responsible behaviour in cyberspace, and international cooperation in multilateral fora including the United Nations’ Programme of Action to Advance Responsible State Behaviour in Cyberspace and Cybercrime Treaty negotiations and agreed to continue their exchanges. 関係者は、安全な技術、デジタル・アイデンティティ、サイバー・レジリエンスに関する政策や、サイバー脅威に対する抑止戦略、サイバー制裁、能力開発などについて意見を交換した。両者はまた、グローバル・サイバー・ガバナンス、サイバー空間における責任ある行動、国連の「サイバー空間における責任ある国家の行動を促進するための行動プログラム」やサイバー犯罪条約交渉を含む多国間フォーラムにおける国際協力についても話し、今後も交流を続けていくことで合意した。
The UK delegation was co-chaired by Will Middleton, Cyber Director in the Foreign, Commonwealth and Development Office (FCDO), and Andrew Elliot, Deputy Director for Cyber Security, in the Department for Science, Innovation and Technology (DSIT). Officials from the Home Office, DSIT, FCDO and the UK Mission to the European Union also participated. On the EU side, which also included observers from EU member states, the Dialogue was co-chaired by Joanneke Balfoort, Director for Security and Defence Policy, of the European External Action Service (EEAS) and Lorena Biox Alonso, Director for Digital Society, Trust and Cybersecurity of the European Commission’s Directorate General for Communications Networks, Content and Technology (DG Connect). 英国代表団の共同議長は、外務・英連邦・開発省(FCDO)のウィル・ミドルトン(Will Middleton)サイバーディレクターと、科学・イノベーション・技術省(DSIT)のアンドリュー・エリオット(Andrew Elliot)サイバーセキュリティ担当副ディレクターが務めた。また、内務省、DSIT、FCDO、駐EU英国代表部の職員も参加した。EU加盟国のオブザーバーも参加したEU側では、欧州対外行動庁(EEAS)のジョアンネケ・バルフォールト安全保障・防衛政策局長と、欧州委員会のロレーナ・ビオクス・アロンソ通信ネットワーク・コンテンツ・技術総局(DG Connect)のデジタル社会・トラスト・サイバーセキュリティ担当局長が対話の共同議長を務めた。
Both sides agreed to hold the next UK-EU Cyber Dialogue in London in 2024. 両者は、次回の英・EUサイバー対話を2024年にロンドンで開催することで合意した。

 

2_20231218194801

 

| | Comments (0)

クアッド 第3回 日米豪印上級サイバーグループ共同プレスリリース

こんにちは、丸山満彦です。

2023.12.05 - 06 に東京で、第3回日米豪印上級サイバーグループ対面会合が開催されましたが、14日に合同発表が行われたようですね。。。

レジリエンスに焦点があたっていますね。。。

そして、IoT製品のラベリング制度についても触れられていますね。。。

 

1_20231218183701

 

U.S. White House

・2023.12.15 Joint Statement of the Quad Senior Cyber Group

日本外務省

・2023.12.14 日米豪印上級サイバーグループ共同プレスリリース

 

Joint Statement of the Quad Senior Cyber Group 日米豪印上級サイバーグループ共同プレスリリース
Based on the discussion of Quad Senior Cyber Group 3rd In-person Meeting of Principles which was held in Tokyo the on December 5 and 6, the head of delegation of each country issued the following Joint Press Release of the Quad Senior Group on December 14. 12月5日及び6日、東京において行われた第3回日米豪印上級サイバーグループ対面会合の議論を踏まえ、12月14日、同グループの日米豪印各首席代表は、以下の共同プレスリリースを発出しました。
We — Deputy Secretary Cyber and Infrastructure Security Hamish Hansford of Australia’s Department of Home Affairs, National Cyber Security Coordinator Lt General MU Nair of India, Deputy National Security Advisor and Assistant Chief Cabinet Secretary Keiichi Ichikawa of Japan, and Deputy Assistant to the President and Deputy National Security Advisor for Cyber and Emerging Technology Anne Neuberger of the United States of America – met in Tokyo, Japan for the third in-person Quad Senior Cyber Group (QSCG) Principal Meeting, hosted by Deputy National Security Advisor and Assistant Chief Cabinet Secretary Keiichi Ichikawa. 我々、豪州のハミッシュ・ハンスフォード内務次官補(サイバー・インフラセキュリティ担当)、インドのMUナイール国家サイバーセキュリ ティ調整官(中将)、日本の市川恵一国家安全保障局次長兼内閣官房副長官補、米国のアン・ニューバーガー国家安全保障担当大統領次席補佐官(サイバー・新興技術担当)は、市川恵一国家安全保障局次長兼内閣官房副長官補主催の下、東京で開催された第3回日米豪印上級サイバーグループ対面会合に出席した。
Together, we reaffirm our steadfast commitment to an Indo-Pacific that is resilient and equipped to detect and deter cyber attacks. Quad countries are among the world’s leaders in advancing digital technology, connectivity, and resilience and are undertaking efforts to provide capacity building in the Indo-Pacific region to strengthen the ability to defend their government networks and critical infrastructure from cyber disruptions. 我々は共に、強靱かつサイバー攻撃を検知し抑止する態勢が整っているインド太平洋への確固たるコミットメントを再確認する。日米豪印はデジタル技術、連結性、及び強靱性の推進における世界のリーダーであり、インド太平洋地域において能力構築を提供し、サイバー攻撃による破壊からそれぞれの政府ネットワークと重要インフラを守る能力を強化させることに努めている。
We reaffirmed the application of international law to cyberspace and expressed serious concern about cyber attacks in the region on critical infrastructure. 我々は、サイバー空間への国際法の適用を再確認し、地域における重要インフラに対するサイバー攻撃について深刻な懸念を表明した。
During the meeting, we welcomed progress on Quad cyber initiatives. We reaffirmed our support for the Quad Cybersecurity Partnership: Joint Principles, including through work done in Secure Software, Cybersecurity of Critical Infrastructure, Supply Chain resilience and security, Cyber awareness through the Quad Cyber Challenge events to encourage participants across the Indo-Pacific for enhancing their cyber security and cyber awareness. We also welcomed the idea of sharing cyber resources through capacity building projects, to improve the security of infrastructure in the Indo-Pacific. We also shared the recognition that a safe and secure cyberspace contributes to a healthy and secure society, and that international cooperation is key to this. 会合では、我々は日米豪印のサイバー分野での取組の進捗を歓迎した。我々は、ソフトウェア・セキュリティ、重要インフラのサイバーセキュリティ、サプライチェーン強靱性及び安全性、そして、インド太平洋地域の参加者に対してサイバーセキュリティ及びサイバー啓発の向上を奨励する日米豪印サイバー・チャレンジを通じたサイバー啓発活動といった取組を含む「日米豪印サイバーセキュリティ・パートナーシップ:共同原則」に対する支持を再確認した。我々はまた、インド太平洋におけるインフラの安全性を高めるため、能力構築プロジェクトを通じて、サイバー資源を共有するとの考えを歓迎した。さらに、我々は、安心かつ安全なサイバー空間が健全かつ安全な社会に寄与し、国際協力が鍵であるとの認識で一致した。
Based on the shared recognition that cyber attacks have been increasing in frequency and sophistication, we discussed the importance of enhanced cooperation on securing the resilience of Information Technology (IT) and Operational Technology (OT) systems in critical infrastructure ; ensuring mutual recognition of Quad nations’ labeling schemes for cybersecurity of Internet of Things (IoT) products; and the use of critical and emerging technologies such as artificial intelligence and machine learning. We also reaffirmed the need for reliable, secure and resilient supply chains for critical sectors. サイバー攻撃が増加するとともに高度化しているという共通の認識に基づき、我々は重要インフラの情報技術(IT)及び運用技術(OT)システムのレジリエンス確保に関する強化された協力の重要性、日米豪印のIoT製品のセキュリティ確保に向けたセキュリティ適合性評価制度の相互承認の確保、及びAIや機械学習等重要・新興技術の利用について議論した。我々はまた、重要なセクターにおける信頼され安全で強靱なサプライチェーンの必要性を再確認した。
We discussed our fields of cooperation necessary to realize secure and resilient cyberspace in the region including digital infrastructure and connectivity such as undersea cables, telecommunications networks, and cloud services. We will continue to work together with Indo-Pacific countries to deliver practical outcomes that will support capacity building in the region through the QSCG. 我々は、海底ケーブル、電気通信ネットワーク及びクラウドサービスといった、デジタルインフラ及び連結性を含む地域における安全で強靱なサイバー空間を実現するために必要な協力分野について議論した。我々は、日米豪印上級サイバーグループを通じて、地域における能力構築を支援する実用的な成果を提供するため、インド太平洋地域の国々と協働し続けていく。
We reaffirm our commitment to leveraging Quad partners’ respective strengths and resources to progressing Quad cyber initiatives to promote a more secure cyber space and deliver Quad Leaders’ vision for a free and open Indo-Pacific that is inclusive and resilient, with a focus on the next Quad Leaders’ Meeting. 我々は、次回の日米豪印首脳会合を念頭に、日米豪印各国それぞれの強みと資源を活用し、日米豪印のサイバーの取組を進展させつつ、より安全なサイバー空間を促進し、包括的かつ強靱な、自由で開かれたインド太平洋に関する日米豪印首脳のビジョンを実現させるという決意を再確認する。

 

20231218-183900

 

12月は25日までWhite Houseのロゴがクリスマスバージョンになりますね。。。

 

日本外務省

・2023.12.06 第3回日米豪印上級サイバーグループ対面会合の開催(結果)

 

 

| | Comments (0)

2023.12.18

米国 OMB 2024年度:連邦情報セキュリティおよびプライバシー管理要件に関するガイダンス (2023.12.04)

こんにちは、丸山満彦です。

米国連邦政府のOMBのCIO室が、2024年度の連邦情報セキュリティおよびプライバシー管理要件に関するガイダンスを公表していますね。。。

 

● U.S. White House  - Office of Management and Budget; OMB - Office of the Federal Chief Information Officer

・[PDF] M-24-04 Fiscal Year 2024 Guidance on Federal Information Security and Privacy Management Requirements 

20231218-72741

・[DOCX] 仮訳

 

Purpose 目的
Introduction 序文
Section I: Increasing Coordination with and Visibility of Continuous Diagnostics and Mitigation Capabilities セクションI:継続的な診断と低減能力との連携と可視性の向上
CISA’s Continuous Diagnostics and Mitigation (CDM) Program CISAの継続的診断と低減(CDM)プログラム
CDM Implementation and Agency Responsibilities and Expectations CDMの実施と機関の責任と期待
Section II: Internet of Things セクション II: IoT
Scoping and Definitions of Internet of Things Devices and Operational Technology IoT機器と運用技術の範囲と定義
IoT Inventory IoTインベントリー
Best Practices ベストプラクティス
IoT Waiver Process IoT免除プロセス
Section III: Requirements for FISMA Reporting to OMB and DHS セクションIII:OMBおよびDHSへのFISMA報告要件
Section IV: CIO Reporting セクションIV:CIOの報告
Section V: IG Reporting セクションV:IG報告
Section VI: SAOP Reporting セクションVI:SAOP報告
Section VII: Agency Head Letter for Annual Reporting Requirement to OMB セクションVII:OMBへの年次報告要件に関する省庁長レター
Section VIII: Annual Reporting to Congress and the Government Accountability Office セクションVIII:連邦議会および政府アカウンタビリティ室への年次報告
Section IX: Incident Reporting Requirements セクションIX:インシデント報告要件
Incident Reporting インシデント報告
Modernizing Incident Reporting インシデント報告の近代化
Major Incident Definition 重大インシデントの定義
Reporting Major Incidents 重大インシデントの報告
Section X: Contact Information and Additional Resources セクションX:連絡先情報およびその他のリソース
ATTACHMENT: APPENDIX A: Additional CISA Responsibilities and Agency Implications 添付資料: 附属書A:追加的なCISAの責務と省庁への影響
Scanning Internet-Accessible Addresses and Systems インターネットにアクセス可能なアドレスとシステムをスキャンする
Facilitating Information Sharing 情報共有の促進

 

 

ちからの入れどころの参考ということで。。。

 

 

 

 

 

| | Comments (0)

2023.12.17

NIST SP 1800-29(初期公開ドラフト)データの機密性: データ漏洩の検知、対応、復旧

こんにちは、丸山満彦です。

NISTが、

NIST SP 1800-28 (Initial Public Draft) Data Confidentiality: Identifying and Protecting Assets Against Data Breaches NIST SP 1800-28 (初期公開ドラフト) データの機密性: データ漏洩に対する資産の識別と防御
NIST SP 1800-29 (Initial Public Draft) Data Confidentiality: Detect, Respond to, and Recover from Data Breaches NIST SP 1800-29(初期公開ドラフト)データの機密性: データ漏洩の検知、対応、復旧

を公表し、意見募集をしていますね。。。

CSF1.1に従って、予防的コントロールである、Identifing(識別)とProtection(防御)を1800-28に、発見的コントロールである、Detect(検知)、Respond(対応)、Recover(復旧)を1800-29にまとめていますね。。。

 

次に、1800-29...

● NIST - ITL

・2023.12.13 NIST SP 1800-29 (Initial Public Draft) Data Confidentiality: Detect, Respond to, and Recover from Data Breaches

NIST SP 1800-29 (Initial Public Draft) Data Confidentiality: Detect, Respond to, and Recover from Data Breaches NIST SP 1800-29(初期公開ドラフト)データの機密性: データ漏洩の検知、対応、復旧
Announcement 発表
In our increasingly digital world, data has become one of the most valuable assets for individuals and organizations alike. At the same time, data breaches have become all too common, with consequences that can be devastating. With this growing reliance on data comes the pressing need for cybersecurity and privacy controls to achieve confidentiality. デジタル化が進む現代社会において、データは個人にとっても組織にとっても最も貴重な資産のひとつとなっている。同時に、データ侵害はあまりにも一般的になり、壊滅的な結果をもたらすこともある。このようにデータへの依存度が高まるにつれ、機密性を確保するためのサイバーセキュリティとプライバシーの管理が急務となっている。
In response, the NIST National Cybersecurity Center of Excellence (NCCoE) has worked closely with the industry and tech community to develop two draft NIST Special Publications (SP): これを受けて、NIST National Cybersecurity Center of Excellence (NCCoE)は、業界や技術コミュニティと緊密に協力し、2つのNIST Special Publications (SP)のドラフトを作成した:
SP 1800-28, Data Confidentiality: Identifying and Protecting Assets Against Data Breaches (Vol A-C) SP 1800-28 データ機密性:データ漏えいに対する資産の識別と防御(Vol A-C)
SP 1800-29, Data Confidentiality: Detect, Respond to, and Recover from Data Breaches (Vol A-C) SP 1800-29 データ機密性:データ漏えいの検知、対応、復旧(Vol A-C)
These guides provide recommendations on how to prevent and recover from data breaches, including cybersecurity and privacy considerations to prepare for data breaches and specific technical direction for implementation. これらのガイドは、データ漏洩に備えるためのサイバーセキュリティとプライバシーの考慮事項や、実施のための具体的な技術的方向性など、データ漏洩を防止し、データ漏洩から復旧する方法に関する推奨事項を提供している。
Abstract 概要
Attacks that target data are of concern to companies and organizations across many industries. Data breaches represent a threat that can have monetary, reputational, and legal impacts. This guide seeks to provide guidance around the threat of data breaches, exemplifying standards and technologies that are useful for a variety of organizations defending against this threat. Specifically, this guide seeks to help organizations detect, respond, and recover from a data confidentiality attack. データを標的とした攻撃は、様々な業界の企業や組織にとって懸念事項である。データ侵害は、金銭的、評判的、法的な影響を及ぼしうる脅威である。本ガイドは、データ漏えいの脅威に関するガイダンスを提供することを目的とし、この脅威から身を守る様々な組織にとって有用な基準や技術を例示している。具体的には、本ガイドは、組織がデータ機密性攻撃を検知し、対応し、復旧するための一助となることを目指している。

 

・[PDF] SP 1800-29 ipd (Complete Guide)

20231217-65121

 

2_20231217065701

1_20231220105001

 

Executive Summary  エグゼクティブ・サマリー 
CHALLENGE  課題 
In our data-driven world, organizations must prioritize cybersecurity as part of their business risk management strategy. Specifically, data security remains a challenge as attacks against an organization’s data can compromise emails, employee records, financial records, and customer information thereby impacting business operations, revenue, and reputation. In the event of a data breach, data confidentiality can be compromised via unauthorized exfiltration, leaking, or spills of data or corporate information to unauthorized parties, including the general public. This can be intentional or accidental.  データ主導の世界では、企業はビジネスリスクマネジメント戦略の一環としてサイバーセキュリティを優先しなければならない。特に、組織のデータに対する攻撃は、電子メール、従業員記録、財務記録、顧客情報を危険にさらし、それによって事業運営、収益、評判に影響を与える可能性があるため、データセキュリティは依然として課題となっている。データ侵害が発生した場合、データや企業情報の不正な流出、漏洩、流出によって、データの機密性が損なわれる可能性がある。これは意図的な場合も偶発的な場合もある。
In the event of an ongoing data breach, it is essential that an organization be able to detect the ongoing breach themselves, as well as begin to execute a response and recovery plan that leverages security technology and controls.  継続的なデータ侵害が発生した場合、組織自身が継続的な侵害を検知し、セキュリティ技術と管理策を活用した対応・復旧計画を実行に移すことが不可欠である。
BENEFITS  メリット 
The National Cybersecurity Center of Excellence (NCCoE) at the National Institute of Standards and Technology (NIST) developed this guide to help organizations implement strategies for preventing and recovering from data confidentiality attacks. This NIST Cybersecurity Practice Guide demonstrates how organizations can develop and implement appropriate actions to detect, respond and recover from a data confidentiality cybersecurity event. It includes numerous technology and security recommendations to improve your organization’s cybersecurity posture.  米国国立標準技術研究所(NIST)の国家サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)は、組織がデータ機密性攻撃からの復旧を防止するための戦略を実施するのを支援するために、このガイドを開発した。この NIST NCCoE サイバーセキュリティ実践ガイドでは、機密性サイバーセキュリティイベントを検知し、それに対応、復旧するための適切なアクションを組織がどのように策定し、実施できるかを示している。このガイドには、組織のサイバーセキュリティ態勢を改善するための技術およびセキュリティに関する推奨事項が数多く含まれている。
This practice guide can help your organization:  この実践ガイドは、次のような場合に役立つ: 
・Detect losses of data confidentiality in your organization  組織におけるデータ機密性の損失を検知する。
・Respond to data breach events using your organization’s security architecture  組織のセキュリティ・アーキテクチャを使用してデータ侵害イベントに対応する。
・Recover from a data breach in a manner that lessens monetary and reputational damage  金銭的および風評的な損害を軽減する方法で、データ侵害から復旧する。
APPROACH  アプローチ 
This publication is part of a series of projects that seek to provide guidance to improve an organization’s data security in the context of the CIA triad. The CIA triad represents the three pillars of information security: confidentiality, integrity, and availability. This practice guide focuses on data confidentiality: the property that data has not been disclosed in an unauthorized fashion. Data confidentiality concerns data in storage, during processing, and while in transit. (Note: These definitions are from National Institute of Standards and Technology (NIST) Special Publication (SP) 800-12 Rev 1, An Introduction to Information Security.)   本書は、CIAの3要素に照らして組織のデータセキュリティを改善するためのガイダンスを提供することを目的とした一連のプロジェクトの一部である。CIA三要素とは、情報セキュリティの3本柱である機密性、完全性、可用性を表す。このプラクティスガイドは、データの機密性(データが不正な方法で開示されていないという性質)に焦点を当てている。データの機密性は、保管中、処理中、輸送中のデータに関係する。(注:これらの定義は、国立標準技術研究所(NIST)特別刊行物(SP)800-12 Rev 1「情報セキュリティ序文」からのものである)。 
This guide applies data confidentiality principles through the lens of the NIST Cybersecurity Framework version 1.1. Specifically this practice guide focuses on the latter three of those functions, informing organizations on how to detect, respond to, and recover from a data confidentiality attack, and manage data confidentiality risks. A complementary project and accompanying practice guide (SP1800-XX) addresses data confidentiality through the lens of the principles of identify and protect.   本ガイドは、NIST サイバーセキュリティフレームワーク バージョン 1.1 のレンズを通してデータ機密性の原則を適用する。具体的には、この実践ガイドはこれらの機能のうち後半の 3 つに焦点を当て、データ機密性攻撃を検知、対応、復旧する方法、およびデータ機密性リスクを管理する方法について組織に情報を提供する。補完的なプロジェクトと付随するプラクティス・ガイド(SP1800-XX)は、識別と防御の原則というレンズを通してデータ機密性を扱っている。 
The NCCoE developed and implemented a solution that incorporates multiple systems working in concert to detect, respond to, and recover from data confidentiality cybersecurity events. The solution will demonstrate the ability to detect an ongoing data breach, as well as recommending technical and policy remediations against the same.   NCCoE は、データ機密のサイバーセキュリティイベントを検知し、対応し、復旧するために連携して動作する複数のシステムを組み込んだソリューションを開発し、実装した。このソリューションは、現在進行中のデータ侵害を検知する能力を示すとともに、同事象に対する技術的およびポリシー的な是正措置を推奨する。 
In developing this solution, the NCCoE sought existing technologies that provided the following capabilities:  このソリューションの開発にあたり、NCCoE は以下の機能を提供する既存技術を探した: 
・Logging  ・ロギング 
・Data protection ・データ防御 
・Event detection  ・イベント検知
・User access control  ・ユーザーアクセス制御 
Collaborator : Security Capability or Component  協力者 : セキュリティ能力またはコンポーネント 
Dispel: Network Protection Dispel: ネットワーク防御
Cisco: Event Detection, User Access Control Cisco:イベント検知、ユーザーアクセス制御
FireEye: Logging FireEye: ロギング
PKWARE: Data Protection PKWARE:データ防御
While the NCCoE used a suite of commercial products to address this challenge, this guide does not endorse these particular products, nor does it guarantee compliance with any regulatory initiatives. Your organization's information security experts should identify the products that will best integrate with your existing tools and IT system infrastructure. Your organization can adopt this solution or one that adheres to these guidelines in whole, or you can use this guide as a starting point for tailoring and implementing parts of a solution.  NCCoEはこの課題に対処するために一連の商用製品を使用したが、本ガイドはこれらの識別の製品を推奨するものではなく、またいかなる規制イニシアチブへの準拠を保証するものでもない。組織の情報セキュリティ専門家は、既存のツールや IT システムインフラストラクチャと最もよく統合できる製品を識別する必要がある。貴組織は、本ガイドラインまたは本ガイドラインに準拠したソリューションを全面的に採用することもできるし、本ガイドラインを出発点としてソリューションの一部をカスタマイズして導入することもできる。
HOW TO USE THIS GUIDE  このガイドの使い方 
Depending on your role in your organization, you might use this guide in different ways:  組織における役割に応じて、本ガイドラインの使用方法は異なる: 
Business decision makers, including chief information security and technology officers can use this part of the guide, NIST SP 1800-29a: Executive Summary, to understand the drivers for the guide, the cybersecurity challenge we address, our approach to solving this challenge, and how the solution could benefit your organization.  最高情報セキュリティ責任者や技術責任者などの経営意思決定者は、本ガイドのこの部分「NIST SP 1800-29a:エグゼクティブサマリー」を使用して、本ガイドの推進要因、本ガイドが取り組むサイバーセキュリティの課題、この課題を解決するためのアプローチ、およびこのソリューションがどのように組織に利益をもたらすかを理解することができる。
Technology, security, and privacy program managers who are concerned with how to identify, understand, assess, and mitigate risk can use NIST SP 1800-29b: Approach, Architecture, and Security Characteristics, which describes what we built and why, including the risk analysis performed and the security/privacy control mappings.  リスクを識別、理解、評価、軽減する方法に関心のある技術、セキュリティ、プライバシーのプログラム管理者は、NIST SP 1800-29b:アプローチ、アーキテクチャ、セキュリティの特徴を利用することができる。これには、実施したリスク分析、セキュリティ/プライバシー管理マッピングなど、私たちが構築したものとその理由が記載されている。
IT professionals who want to implement an approach like this can make use of NIST SP 1800-29c: HowTo Guides, which provide specific product installation, configuration, and integration instructions for building the example implementation, allowing you to replicate all or parts of this project.   このようなアプローチを実施しようとするITプロフェッショナルは、NIST SP 1800-29cを利用することができる。これには、実施例を構築するための具体的な製品のインストール、設定、統合の手順が記載されており、このプロジェクトの全部または一部を再現することができる。 

 

目次...

Contents  目次 
1  Summary 1 概要
1.1  Challenge 1.1 課題
1.2 Solution 1.2 解決策
1.3 Benefits 1.3 メリット
2  How to Use This Guide 2 このガイドの使い方
2.1 Typographic Conventions 2.1 組版規則
3 Approach 3 アプローチ
3.1  Audience 3.1 想定読者
3.2  Scope 3.2 範囲
3.3  Assumptions 3.3 前提条件
3.4  Privacy Considerations 3.4 プライバシーへの配慮
3.5  Risk Assessment 3.5 リスクアセスメント
 3.5.1  Security Risk Assessment  3.5.1 セキュリティリスクのアセスメント
 3.5.2 Privacy Risk Assessment  3.5.2 プライバシーリスクのアセスメント
3.6 Technologies 3.6 テクノロジー
4 Architecture 4 アーキテクチャ
4.1  Architecture Description 4.1 アーキテクチャの説明
5  Security & Privacy Characteristic Analysis 5 セキュリティとプライバシーの特性分析
5.1  Assumptions and Limitations 5.1 前提条件と制限
5.2  Security Scenarios 5.2 セキュリティ・シナリオ
 5.2.1  Exfiltration of Encrypted Data  5.2.1 暗号化データの流出
 5.2.2  Spear Phishing Campaign  5.2.2 スピアフィッシングキャンペーン
 5.2.3  Ransomware  5.2.3 ランサムウェア
 5.2.4  Accidental Email  5.2.4 誤送信メール
 5.2.5  Lost Laptop  5.2.5 ノートパソコンの紛失
 5.2.6  Privilege Misuse  5.2.6 特権の悪用
 5.2.7  Eavesdropping  5.2.7 盗聴
5.3  Privacy Scenarios 5.3 プライバシーのシナリオ
 5.3.1  User Login with Multifactor Authentication  5.3.1 多要素認証による本人ログイン
 5.3.2  Authentication to Virtual Desktop Interface Solution  5.3.2 仮想デスクトップインターフェースソリューションへの本人認証
 5.3.3  Monitoring by Network Detection Solution  5.3.3 ネットワーク検知ソリューションによる監視
 5.3.4  Monitoring by Logging Solution  5.3.4 ロギング・ソリューションによる監視
6  Future Build Considerations 6 今後の構築に関する考察
Appendix A List of Acronyms 附属書 A 頭字語リスト
Appendix B Glossary 附属書 B 用語集
Appendix C References 附属書 C 参考文献
Appendix D Security Control Map 附属書 D セキュリティ・コントロール・マップ
Appendix E Privacy Control Map 附属書 E プライバシー・コントロール・マップ

 

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.12.17 NIST SP 1800-29(初期公開ドラフト)データの機密性: データ漏洩の検知、対応、復旧

・2023.12.17 NIST SP 1800-28 (初期公開ドラフト) データの機密性: データ漏洩に対する資産の識別と防御

・2020.12.09 SP 1800-26 Data Integrity: Detecting and Responding to Ransomware and Other Destructive Events

・2020.12.09 SP 1800-25 Data Integrity: Identifying and Protecting Assets Against Ransomware and Other Destructive Events

・2020.01.29 NIST SP 1800-26(Draft) Data Integrity: Detecting and Responding to Ransomware and Other Destructive Events 

・2020.01.29 NIST SP 1800-25(Draft) Data Integrity: Identifying and Protecting Assets Against Ransomware and Other Destructive Events

・2020.09.23 NIST SP 1800-11 Data Integrity: Recovering from Ransomware and Other Destructive Events  ランサムウェア等の破壊的なイベントからの復旧

 

| | Comments (0)

NIST SP 1800-28 (初期公開ドラフト) データの機密性: データ漏洩に対する資産の識別と防御

こんにちは、丸山満彦です。

NISTが、

NIST SP 1800-28 (Initial Public Draft) Data Confidentiality: Identifying and Protecting Assets Against Data Breaches NIST SP 1800-28 (初期公開ドラフト) データの機密性: データ漏洩に対する資産の識別と防御
NIST SP 1800-29 (Initial Public Draft) Data Confidentiality: Detect, Respond to, and Recover from Data Breaches NIST SP 1800-29(初期公開ドラフト)データの機密性: データ漏洩の検知、対応、復旧

を公表し、意見募集をしていますね。。。

CSF1.1に従って、予防的コントロールである、Identifing(識別)とProtection(防御)を1800-28に、発見的コントロールである、Detect(検知)、Respond(対応)、Recover(復旧)を1800-29にまとめていますね。。。

 

まず、1800-28...

● NIST - ITL

・2023.12.13 NIST SP 1800-28 (Initial Public Draft) Data Confidentiality: Identifying and Protecting Assets Against Data Breaches

NIST SP 1800-28 (Initial Public Draft) Data Confidentiality: Identifying and Protecting Assets Against Data Breaches NIST SP 1800-28 (初期公開ドラフト) データの機密性: データ漏洩に対する資産の識別と防御
Announcement 発表
In our increasingly digital world, data has become one of the most valuable assets for individuals and organizations alike. At the same time, data breaches have become all too common, with consequences that can be devastating. With this growing reliance on data comes the pressing need for cybersecurity and privacy controls to achieve confidentiality. デジタル化が進む現代社会において、データは個人にとっても組織にとっても最も貴重な資産のひとつとなっている。同時に、データ侵害はあまりにも一般的になり、壊滅的な結果をもたらすこともある。このようにデータへの依存度が高まるにつれ、機密性を確保するためのサイバーセキュリティとプライバシーの管理が急務となっている。
In response, the NIST National Cybersecurity Center of Excellence (NCCoE) has worked closely with the industry and tech community to develop two draft NIST Special Publications (SP): これを受けて、NIST National Cybersecurity Center of Excellence (NCCoE)は、業界や技術コミュニティと緊密に協力し、2つのNIST Special Publications (SP)のドラフトを作成した:
SP 1800-28, Data Confidentiality: Identifying and Protecting Assets Against Data Breaches (Vol A-C) SP 1800-28 データ機密性:データ侵害に対する資産の識別と防御(Vol A-C)
SP 1800-29, Data Confidentiality: Detect, Respond to, and Recover from Data Breaches (Vol A-C) SP 1800-29 データ機密性:データ侵害の検知、対応、復旧(Vol A-C)
These guides provide recommendations on how to prevent and recover from data breaches, including cybersecurity and privacy considerations to prepare for data breaches and specific technical direction for implementation. これらのガイドは、データ漏洩に備えるためのサイバーセキュリティとプライバシーの考慮事項や、実施のための具体的な技術的方向性など、データ漏洩を防止し、データ漏洩から復旧する方法に関する推奨事項を提供している。
Abstract 概要
Attacks that target data are of concern to companies and organizations across many industries. Data breaches represent a threat that can have monetary, reputational, and legal impacts. This guide seeks to provide guidance concerning the threat of data breaches, exemplifying standards and technologies that are useful for a variety of organizations defending against this threat. Specifically, this guide seeks to help organizations identify and protect assets, including data, against a data confidentiality attack.  データを標的とした攻撃は、様々な業界の企業や組織にとって懸念事項である。データ漏洩は、金銭的、評判的、法的な影響を及ぼしうる脅威である。本ガイドブックは、データ漏洩の脅威に関するガイダンスを提供することを目的とし、この脅威から身を守る様々な組織にとって有用な基準や技術を例示する。具体的には、本ガイドは、組織がデータを含む資産を識別し、データ機密性攻撃から防御するのに役立てようとするものである。

 

・[PDF] SP 1800-28 ipd (Complete Guide)

20231217-63807

 

1_20231217064201

1_20231220103301

Executive Summary  要旨 
CHALLENGE  課題 
In our data-driven world, organizations must prioritize cybersecurity as part of their business risk management strategy. Specifically, data security remains a challenge as attacks against an organization’s data can compromise emails, employee records, financial records, and customer information thereby impacting business operations, revenue, and reputation. In the event of a data breach, data confidentiality can be compromised via unauthorized exfiltration, leaking, or spills of data or corporate information to unauthorized parties, including the general public. This can be intentional or accidental.  データ主導の世界では、組織はビジネスリスク管理戦略の一環としてサイバーセキュリティを優先しなければならない。特に、組織のデータに対する攻撃は、電子メール、従業員記録、財務記録、顧客情報を危険にさらす可能性があり、それによって事業運営、収益、評判に影響を与えるため、データ・セキュリティは依然として課題である。データ侵害が発生した場合、データまたは企業情報の不正な流出、漏えい、流出によって、データの機密性が損なわれる可能性がある。これは意図的な場合も偶発的な場合もある。
In the event of an ongoing data breach, it is essential that an organization be able to detect the ongoing breach themselves, as well as begin to execute a response and recovery plan that leverages security technology and controls.  継続的なデータ侵害が発生した場合、組織自身が継続的な侵害を検知し、セキュリティ技術と管理策を活用した対応・復旧計画を実行に移すことが不可欠である。
BENEFITS  メリット 
The National Cybersecurity Center of Excellence (NCCoE) at the National Institute of Standards and Technology (NIST) developed this guide to help organizations implement strategies for preventing recovering from data confidentiality attacks. This NIST NCCoE Cybersecurity Practice Guide demonstrates how organizations can develop and implement appropriate actions to identify and protect data against a confidentiality cybersecurity event. It includes numerous technology and security recommendations to improve your organization’s cybersecurity posture.  米国国立標準技術研究所(NIST)の国家サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)は、組織がデータ機密性攻撃からの復旧を防止するための戦略を実施するのを支援するために、このガイドを開発した。この NIST NCCoE サイバーセキュリティ実践ガイドでは、機密性サイバーセキュリティイベントを識別し、それに対してデータを防御するための適切なアクションを組織がどのように策定し、実施できるかを示している。このガイドには、組織のサイバーセキュリティ態勢を改善するための技術およびセキュリティに関する推奨事項が数多く含まれている。
This practice guide can help your organization:  この実践ガイドは、次のような場合に役立つ: 
・Identify data on your network that is vulnerable to a data breach  データ漏えいの脆弱性があるネットワーク上のデータを識別する。
・Identify vulnerabilities to data breaches on your network  ネットワーク上のデータ侵害に対する脆弱性を識別する。
・Implement protective technologies to prevent data breaches  データ侵害を防御するための防御技術を導入する 
APPROACH  アプローチ 
This is part of a series of projects that seek to provide guidance to improve an organization’s data security in the context of the CIA triad. The CIA triad represents the three pillars of information security: confidentiality, integrity, and availability. This practice guide focuses on data confidentiality: the property that data has not been disclosed in an unauthorized fashion. Data confidentiality concerns data in storage, during processing, and while in transit. (Note: These definitions are from National Institute of Standards and Technology (NIST) 29 Special Publication (SP) 800-12 Rev 1, An Introduction to Information Security.) 本ガイドは、CIAの3要素に照らして組織のデータ・セキュリティを向上させるためのガイダンスを提供しようとする一連のプロジェクトの一部である。CIA三要素とは、情報セキュリティの三本柱である機密性、完全性、可用性を表す。このプラクティスガイドは、データの機密性(データが不正な方法で開示されていないという性質)に焦点を当てている。データの機密性は、保管中、処理中、輸送中のデータに関係する。(注:これらの定義は、米国国立標準技術研究所(NIST)29 特別刊行物(SP)800-12 Rev 1「情報セキュリティ入門」からのものである)。
This guide applies data confidentiality principles through the lens of the NIST Cybersecurity Framework version 1.1. Specifically, this practice guide informs organizations of how to identify and protect assets, including data, against a data confidentiality attack, and in turn understand how to manage data confidentiality risks and implement the appropriate safeguards. A complementary project and accompanying practice guide (SP1800-29) addresses data confidentiality through the lens of detecting, responding, and recovering from a data confidentiality attack.   本ガイドは、NIST サイバーセキュリティフレームワーク バージョン 1.1 のレンズを通してデータ機密性の原則を適用する。具体的には、この実践ガイドは、データを含む資産を識別し、データ機密性攻撃から防御する方法を組織に通知し、その結果、データ機密性リスクを管理し、適切なセーフガードを実装する方法を理解する。補完的なプロジェクトと付随するプラクティス・ガイド(SP1800-29)は、データ機密性攻撃の検知、対応、復旧という観点からデータ機密性を取り上げている。 
The NCCoE developed and implemented a solution that incorporates multiple systems working in concert to identify and protect assets and data against detected data confidentiality cybersecurity events. The solution will demonstrate the ability to identify assets and data that are at risk of a data breach and recommend capabilities to help protect them.   NCCoE は、検知されたデータ機密のサイバーセキュリティ・イベントに対して資産とデータを識別し、防御するために連携して動作する複数のシステムを組み込んだソリューションを開発し、実装した。このソリューションは、データ侵害のリスクにさらされている資産やデータを識別し、それらを防御するための機能を推奨する能力を実証する。 
In developing this solution, the NCCoE sought existing technologies that provided the following capabilities:  このソリューションの開発にあたり、NCCoE は以下の機能を提供する既存技術を探した: 
・Logging  ・ロギング 
・Network protection  ・ネットワーク防御 
・User access control  ・ユーザーアクセス制御 
・Data management  ・データ管理 
・Data protection  ・データ防御 
・Policy enforcement  ・ポリシー実施 
Browser isolation  ・ブラウザの分離 
Collaborator : Security Capability or Component  協力者:セキュリティ機能またはコンポーネント 
Avrio Software (now known as Aerstone) : Data Management  Avrio Software (現Aerstone) : データ管理 
Cisco : Policy Enforcement, User Access Control  Cisco : ポリシー実施、ユーザーアクセス制御 
Dispel : Network Protection  Dispel : ネットワーク防御 
FireEye : Logging  FireEye : ロギング 
PKWARE : Data Protection  PKWARE : データ防御 
Qcor : Data Protection  Qcor : データ防御
Strongkey : Data Protection  Strongkey : データ防御 
Symantec, a Division of Broadcom : Browser Isolation   Symantec, a Division of Broadcom : ブラウザ分離  
While the NCCoE used a suite of commercial products to address this challenge, this guide does not endorse these particular products, nor does it guarantee compliance with any regulatory initiatives. Your organization's information security experts should identify the products that will best integrate with your existing tools and IT system infrastructure. Your organization can adopt this solution or one that adheres to these guidelines in whole, or you can use this guide as a starting point for tailoring and implementing parts of a solution.  NCCoEはこの課題に対処するために一連の商用製品を使用したが、本ガイドはこれらの識別の製品を推奨するものではなく、またいかなる規制イニシアチブへの準拠を保証するものでもない。組織の情報セキュリティ専門家は、既存のツールや IT システムインフラストラクチャと最もよく統合できる製品を識別する必要がある。貴組織は、本ガイドラインまたは本ガイドラインに準拠したソリューションを全面的に採用することもできるし、本ガイドラインを出発点としてソリューションの一部をカスタマイズして導入することもできる。
HOW TO USE THIS GUIDE  このガイドの使い方 
Depending on your role in your organization, you might use this guide in different ways:  組織における役割に応じて、本ガイドラインの使用方法は異なる: 
Business decision makers, including chief information security and technology officers can use this part of the guide, NIST SP 1800-28a: Executive Summary, to understand the drivers for the guide, the cybersecurity challenge we address, our approach to solving this challenge, and how the solution could benefit your organization.  最高情報セキュリティ責任者や技術責任者などのビジネス意思決定者は、本ガイドのこの部分「NIST SP 1800-28a:エグゼクティブサマリー」を使用して、本ガイドの推進要因、本ガイドが取り組むサイバーセキュリティの課題、この課題を解決するためのアプローチ、およびこのソリューションが組織にどのような利益をもたらすかを理解することができる。
Technology, security, and privacy program managers who are concerned with how to identify, understand, assess, and mitigate risk can use NIST SP 1800-28b: Approach, Architecture, and Security Characteristics, which describes what we built and why, including the risk analysis performed and the security/privacy control mappings.  リスクを識別、理解、評価、軽減する方法に関心のある技術、セキュリティ、プライバシーのプログラム管理者は、NIST SP 1800-28b:アプローチ、アーキテクチャ、セキュリティの特徴を利用することができる。これには、実施したリスク分析、セキュリティ/プライバシー管理マッピングなど、私たちが構築したものとその理由が記載されている。
IT professionals who want to implement an approach like this can make use of NIST SP 1800-28c: HowTo Guides, which provide specific product installation, configuration, and integration instructions for building the example implementation, allowing you to replicate all or parts of this project.   このようなアプローチを実施しようとするITプロフェッショナルは、NIST SP 1800-28cを利用することができる。これには、実施例を構築するための具体的な製品のインストール、設定、統合の手順が記載されており、このプロジェクトの全部または一部を再現することができる。 

 

目次...

Contents 目次 
1 Summary 1 概要
1.1 Challenge 1.1 課題
1.2 Solution 1.2 解決策
1.3 Benefits 1.3 メリット
2 How to Use This Guide 2 このガイドの使い方