« 世界経済フォーラム (WEF) 世界のサイバーセキュリティ概況 2024 | Main | 米国 NIST SP800-100 情報セキュリティハンドブック: 管理者のためのガイドの改訂に向けた意見募集 »

2024.01.13

米国 GAO NISTの研究情報の保護についての監査... (2023.12.14)

こんにちは、丸山満彦です。

先端の研究開発をするためには、世界各国から幅広く優秀な人材を集めることが重要ですが、一方そうすると、重要な研究情報が盗まれる可能性も高まりますよね。

そのバランスをどうとるのか、これはこれからの日本にとっても重要な課題だろうと思います。。。まさか、純日本人だけで先端研究はできないし、日本で先端研究をしなければ、優秀な日本人はもっと海外に流出してしまうし、、、

ということで、このGAOの報告書は参考になるかもしれませんね。。。

 

U.S. Government Accountability Office

・2023.12.14 National Institute of Standards and Technology:Strengthening Disclosure Requirements and Assessing Training Could Improve Research Security

 

National Institute of Standards and Technology:Strengthening Disclosure Requirements and Assessing Training Could Improve Research Security 国立標準技術研究所:情報開示要件の強化と訓練の評価により、研究セキュリティを改善できる可能性がある。
GAO-24-106074 GAO-24-106074
Fast Facts 速報
Some foreign governments try to acquire U.S. research and technology dishonestly. Protecting federally funded research from such threats is critical. 外国政府の中には、米国の研究や技術を不正に取得しようとするものがある。連邦政府が資金提供した研究をそのような脅威から保護することは極めて重要である。
The National Institute of Standards and Technology collaborates with foreign and domestic researchers—requiring them to disclose potential conflicts of interest. But NIST doesn't require domestic researchers to disclose as much information as foreign nationals. NIST needs to ensure it can identify research security risks posed by all researchers. 国立標準技術研究所は国内外の研究者と共同研究を行っており、潜在的な利益相反を開示するよう求めている。しかし、NISTは国内の研究者に対して、外国人ほど多くの情報を開示することを求めていない。NISTは、すべての研究者がもたらす研究セキュリティリスクを確実に特定できるようにする必要がある。
In addition, NIST doesn't evaluate whether staff training on security policies and practices is effective. さらにNISTは、セキュリティの方針と実施方法に関する職員研修が効果的であるかどうかを評価していない。
We recommended that NIST address these issues. 我々は、NISTがこれらの問題に対処するよう勧告した。
Summary of NIST’s Process for Reviewing and Hosting Foreign National Associates 外国籍研究者の審査と受け入れに関するNISTのプロセスの概要
1_20240112223201
Highlights ハイライト
What GAO Found GAOが発見したこと
Researchers employed at the National Institute of Standards and Technology (NIST) collaborate on research projects with about 2,500 domestic and foreign national researchers (known as “associates”) each year. The agency also awards grants and cooperative agreements under which extramural (i.e., external) researchers carry out research. While such collaborations are intended to benefit NIST, they may pose security risks. NIST has taken steps to help ensure research security by requiring researchers to disclose information that can help it determine whether they have potential conflicts of interest or commitment. 国立標準技術研究所(NIST)の研究者は、毎年約2500人の国内外の研究者(「アソシエイト」と呼ばれる)と共同研究を行っている。同機関はまた、学外(すなわち外部)の研究者が研究を実施するための助成金や協力協定も授与している。このような共同研究はNISTに利益をもたらすことを目的としているが、セキュリティリスクをもたらす可能性もある。NISTは、潜在的な利益相反やコミットメントがあるかどうかを判断するのに役立つ情報を開示するよう研究者に義務付けることで、研究のセキュリティを確保するための措置を講じている。
However, at the time of our review, NIST had not fully implemented federal disclosure requirements as the agency was waiting for the Office of Science and Technology Policy (OSTP) to issue government-wide guidance in two areas: しかし、我々のレビュー時点では、NISTは米国科学技術政策局(OSTP)が2つの分野で政府全体のガイダンスを発行するのを待っていたため、連邦政府の開示要件を完全には実施していなかった:
uniform disclosure forms for extramural researchers, and 学外研究者のための統一された開示フォーム、および
guidelines on foreign talent recruitment programs, which seek to recruit researchers—sometimes with malign intent. 外国人材リクルートプログラムに関するガイドラインである。
According to NIST officials, OSTP's delays in issuing the forms and guidelines have delayed NIST's collection of certain disclosures. Without these disclosures, NIST is missing key information—such as domestic researchers' participation in foreign talent recruitment programs—that could help it address research security risks. NISTの職員によると、OSTPがフォームとガイドラインの発行を遅らせたために、NISTが特定の情報開示を収集するのが遅れたという。これらの情報開示がなければ、NISTは、国内研究者の外国人人材リクルートプログラムへの参加など、研究セキュリティリスクへの対処に役立つ重要な情報を見逃していることになる。
Separately, NIST requires fewer disclosures from domestic associates than from foreign national associates. Officials said the agency primarily focuses on risks posed by foreign national associates and by certain countries of concern. However, domestic researchers can also have concerning affiliations with foreign entities. By not requiring domestic associates to disclose the same information as foreign national associates, NIST is missing opportunities to assess and mitigate risks. これとは別に、NISTは外国籍の研究者よりも国内の研究者に開示を求めている件数が少ない。関係者によると、NISTは主に外国人研究者や特定の懸念国がもたらすリスクに焦点を当てているという。しかし、国内の研究者も外国の事業体と関係を持つことがある。NISTは、国内の関連機関に外国の関連機関と同じ情報の開示を求めないことで、リスクをアセスメントし、軽減する機会を逃している。
Information That NIST Requires Associates to Disclose NISTが共同研究者に開示を求める情報
20240112-223321
NIST and Commerce also help ensure research security by training researchers. The training program generally aligns with most selected leading training practices. However, because they do not evaluate the program's effectiveness, the agencies are limited in their ability to identify opportunities for improvement. For example, NIST employees told GAO that NIST could provide more examples of risks that employees may encounter. Collecting and analyzing such feedback could help strengthen the agency's training and improve research security. NISTと商務部はまた、研究者を訓練することによって、研究のセキュリティ確保を支援している。この研修プログラムは、一般的に、最も選択された主要な研修慣行と一致している。しかし、両機関はプログラムの有効性を評価していないため、改善の機会を特定する能力に限界がある。例えば、NISTの職員はGAOに対し、NISTは職員が遭遇する可能性のあるリスクの例をもっと提供することができると述べた。このようなフィードバックを収集・分析することは、同機関の訓練を強化し、研究セキュリティを改善するのに役立つ可能性がある。
Why GAO Did This Study GAOがこの調査を行った理由
Countries of concern pose security risks to U.S. research and innovation. Such countries have sought to access information through collaborative research efforts. NIST employees regularly collaborate with outside researchers from academia or private-sector companies. The Research and Development, Competition, and Innovation Act includes a provision for GAO to review NIST's research security program. 懸念国は米国の研究とイノベーションにセキュリティリスクをもたらす。そのような国々は、共同研究を通じて情報にアクセスしようとしている。NISTの職員は、学界や民間企業の外部研究者と定期的に共同研究を行っている。研究開発・競争・イノベーション法には、GAOがNISTの研究セキュリティプログラムをレビューする条項が含まれている。
This report examines, among other things, NIST's efforts to (1) meet federal disclosure requirements for intramural and extramural researchers, (2) collect and review disclosures from foreign national associates and domestic associates, and (3) align its security training with selected leading training practices. 本報告書では、特に、(1)学内外の研究者に対する連邦政府の情報開示要件を満たすこと、(2)外国籍の共同研究者および国内の共同研究者からの情報開示を収集し、レビューすること、(3)セキュリティ訓練を厳選された先進的な訓練慣行と整合させること、に対するNISTの取り組みについて調査している。
GAO reviewed NIST's information and available data on identified risks, research security policies, and procedures, and interviewed agency officials. GAO also compared NIST's policies and practices against selected federal requirements and leading practices on training. GAOは、特定されたリスク、研究セキュリティ方針、手順に関するNISTの情報と入手可能なデータを検討し、NIST職員にインタビューを行った。GAOはまた、NISTの方針と実務を、選択された連邦政府の要件および訓練に関する先進的な実務と比較した。
Recommendations 勧告
GAO is making three recommendations: one to OSTP on issuing timely research security guidance; and two to NIST on strengthening disclosure requirements for domestic associates and evaluating its training program. OSTP and NIST agreed with the recommendations. 一つはOSTPに対し、タイムリーな研究セキュリティガイダンスの発行について、二つはNISTに対し、国内関係者に対する情報開示要件の強化と研修プログラムの評価についてである。OSTPとNISTは勧告に同意した。
Recommendations for Executive Action 長官等に関する勧告
Agency Affected / Recommendation 影響を受ける機関/勧告
Office of Science and Technology Policy 米国科学技術政策局
The Director of OSTP should expedite the development and issuance of guidelines on foreign talent recruitment programs as required by section 10631 of the CHIPS and Science Act of 2022. (Recommendation 1) OSTP長官は、2022年CHIPSおよび科学法の第10631条が要求する外国人材採用プログラムに関するガイドラインの作成と発行を迅速に行うべきである。(勧告1)
National Institute of Standards and Technology 国立標準技術研究所
The Director of NIST should, consistent with applicable statutes and regulations, collect and review disclosures from domestic associates—including information on positions and appointments, current and pending research support, and participation in foreign talent recruitment programs—and require updates to these disclosures, as appropriate. (Recommendation 2) NISTの所長は、適用される法令と規則に従い、役職や任命、現在および申請中の研究支援、外国人材採用プログラムへの参加に関する情報を含め、国内の関連機関から情報開示を収集・見直し、必要に応じてこれらの情報開示の更新を求めるべきである。(勧告2)
National Institute of Standards and Technology 国立標準技術研究所
The Director of NIST should, in coordination with the Secretary of Commerce as appropriate, evaluate the effectiveness of research security training courses for NIST staff. For example, this could include collecting and analyzing employee feedback. (Recommendation 3) NIST 長官は、適宜商務長官と連携して、NIST 職員を対象とした研究セキュリティ研修コースの有効性を評価すべきである。例えば、従業員からのフィードバックの収集・分析などが考えられる。(勧告 3)

 

・[PDF] Full Report

20240112-224031

・[DOCX] 仮訳

 

 

・[PDF] Highlights

20240112-224020

 

ブログ

・2023.12.20 外国の窃盗からアメリカの研究を守る

Protecting American Research from Foreign Theft 外国の窃盗から米国の研究を保護する
The United States is a global leader in science and technology. Part of our strength comes from the open exchange of ideas and collaboration among researchers, including across international borders. But some foreign governments are exploiting that openness to acquire U.S. research and technology, both legally and illegally.  米国は科学技術の世界的リーダーである。その強さの一端は、国境を越えたオープンな意見交換と研究者間の協力にある。しかし、一部の外国政府は、その開放性を悪用し、合法・非合法を問わず、米国の研究・技術を取得しようとしている。
One of many potential targets is the National Institute of Standards and Technology (NIST), which employs about 1,400 researchers. NIST works on emerging technologies—such as quantum computing and 5G—that could have significant economic and national security implications. 潜在的な標的のひとつが、約1400人の研究者を抱える国立標準技術研究所(NIST)である。NISTは量子コンピューティングや5Gなど、経済や国家安全保障に重大な影響を及ぼす可能性のある新技術に取り組んでいる。
Today’s WatchBlog post looks at our new report on NIST’s efforts to ensure research security. 本日のWatchBlogでは、研究の安全性を確保するためのNISTの取り組みに関する新しいレポートを紹介する。
What’s the threat? 脅威とは何か?
NIST, like many research institutions, enhances its work by collaborating with outside researchers. These collaborations pave the way for new technologies, medical treatments, and better infrastructure. But this success also comes with risks of theft by foreign competitors. NISTは、多くの研究機構と同様、外部の研究者と協力することでその研究を強化している。こうした共同研究は、新しい技術や医療、より優れたインフラへの道を開く。しかし、この成功には外国の競争相手による盗用のリスクも伴う。
Foreign adversaries, whose conduct harms U.S. national security or foreign policy, have tried to use collaborative research efforts to access sensitive information. They might try to send researchers to NIST sites to access unpublished research or might try to recruit NIST staff to gain sensitive information. These countries can also request NIST’s measurement services for their own military or commercial benefit, such as by asking NIST to calibrate scientific instruments. 米国の国家安全保障や外交政策に害を及ぼす外国の敵対者は、機密情報にアクセスするために共同研究の努力を利用しようとしてきた。未発表の研究にアクセスするためにNISTの拠点に研究者を送り込もうとしたり、機密情報を得るためにNISTのスタッフをリクルートしようとするかもしれない。これらの国はまた、自国の軍事的または商業的利益のために、NISTに科学機器の校正を依頼するなど、NISTの測定サービスを要求することもある。
NIST efforts to safeguard American research 米国の研究を保護するためのNISTの取り組み
NIST has several safeguards in place to prevent an adversary from obtaining sensitive research information. An important one is to assess all potential collaborations with foreign adversaries. For example, NIST receives requests from countries to meet either virtually or by sending NIST staff abroad. If there are concerns about a requesting country’s motives, NIST may decline the collaboration. One such rejection came in fiscal year 2022, when a Chinese institute requested NIST’s assistance in calibrating a scientific tool. NIST rejected this request because the tool had potential military applications. NISTは、敵対者が機密研究情報を入手するのを防ぐために、いくつかの安全策を講じている。重要なものは、外国の敵対勢力との潜在的な協力関係をすべて評価することである。例えば、NISTは各国から、バーチャルに、あるいはNISTのスタッフを海外に派遣して、会合を開く要請を受ける。要請した国の動機に懸念がある場合、NISTは協力を断ることがある。2022会計年度には、中国の機構から科学ツールの校正に関するNISTの支援が要請された。NISTがこの要請を拒否したのは、そのツールが軍事的に応用される可能性があったからである。
Another safeguard NIST uses is to look into the backgrounds of researchers who collaborate in person at NIST facilities. These researchers are not NIST employees and are referred to as either domestic associates or foreign national associates, depending on their citizenship. On average, NIST researchers collaborate with about 1,700 domestic associates and 800 foreign associates each year. NISTが採用しているもう一つのセーフガードは、NISTの施設で直接共同研究を行う研究者の経歴を調べることである。これらの研究者はNISTの職員ではなく、国籍に応じて国内アソシエイトまたは外国人アソシエイトと呼ばれる。平均して、NISTの研究者は毎年約1,700人の国内アソシエイトと、800人の外国人アソシエイトと共同研究を行っている。
NIST requires foreign associates to disclose information—such as their employment, affiliations, and sources of funding. This information can help reveal a security concern if, for example, an associate has been employed or supported by a U.S. adversary.   NISTは外国籍のアソシエイトに対し、雇用、所属、資金源などの情報の開示を義務付けている。この情報は、例えばある共同研究者が米国の敵対勢力に雇用されていたり、支援を受けていたりする場合、安全保障上の懸念を明らかにするのに役立つ。 
But threats to U.S. research aren’t just coming from foreign associates. American researchers can also be a threat. For example, a former Harvard chemistry professor who had received $18 million in federal research funding was convicted in December 2021 of crimes related to lying to U.S. authorities about his foreign involvement and income. He had a research contract with China’s Thousand Talents program—a “foreign talent recruitment program” that paid him a salary and funded his research—but denied the affiliation to authorities. しかし、米国の研究に対する脅威は、外国人研究者からのものだけではない。米国人研究者も脅威となりうる。例えば、連邦政府から1,800万ドルの研究資金を得ていたハーバード大学の元化学教授は、2021年12月、米国当局に外国での関与や収入について嘘をついたとして有罪判決を受けた。彼は中国のサウザンド・タレント・プログラム(「外国人人材リクルート・プログラム」)と研究契約を結び、給与と研究資金を受け取っていたが、当局にはその認可を否定していた。
This example did not involve NIST, but NIST’s domestic associates may similarly find themselves influenced by foreign interests. And in our report we found that NIST requires fewer disclosures from domestic associates. For example, it does not require domestic associates to disclose participation in a foreign talent recruitment program. Officials told us NIST primarily focuses on risks posed by foreign national associates and by certain adversaries. この例はNISTが関与したものではないが、NISTの国内関係者も同様に外国の影響を受けている可能性がある。また、我々の報告書では、NISTが国内の関係者に要求している情報開示は少ないことがわかった。例えば、NISTは、外国人人材採用プログラムへの参加を開示することを国内関係者に要求していない。関係者によると、NISTは主に外国籍の関係者や特定の敵対者によってもたらされるリスクに焦点を当てているという。
In addition, NIST hasn’t been able to implement certain disclosure requirements because the White House Office of Science and Technology Policy (OSTP) has not released the needed guidance. Specifically, OSTP had not issued guidance on foreign talent recruitment programs. Without these guidelines, NIST can’t develop its own policy, as required by law. さらに、ホワイトハウスの米国科学技術政策局(OSTP)が必要なガイダンスを発表していないため、NISTは特定の開示要件を実施できていない。具体的には、OSTPは外国人人材採用プログラムに関するガイダンスを発表していなかった。これらの指針がなければ、NISTは法律で義務付けられている独自の方針を策定することができない。
What more should be done? これ以上何をすべきか?
NIST is missing critical information that could help respond to the risk of research being divulged to foreign entities. So, we recommended that NIST strengthen disclosure requirements for domestic associates. We also recommended that OSTP expedite its guidelines on foreign talent recruitment programs to help NIST better assess research security risks. NISTには、研究が外国事業体に漏洩するリスクに対応するための重要な情報が欠けている。そこで我々は、NISTが国内の関連機関に対する開示要件を強化するよう勧告した。また、NISTが研究セキュリティリスクをより適切に評価できるよう、OSTPが外国人材採用プログラムに関するガイドラインを早急に作成することも勧告した。
Learn more about NIST’s efforts to protect U.S. research from foreign threats by reading our new report. 外国の脅威から米国の研究を守るためのNISTの取り組みについては、新しい報告書をご覧いただきたい。

 

|

« 世界経済フォーラム (WEF) 世界のサイバーセキュリティ概況 2024 | Main | 米国 NIST SP800-100 情報セキュリティハンドブック: 管理者のためのガイドの改訂に向けた意見募集 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 世界経済フォーラム (WEF) 世界のサイバーセキュリティ概況 2024 | Main | 米国 NIST SP800-100 情報セキュリティハンドブック: 管理者のためのガイドの改訂に向けた意見募集 »